網絡信息安全及規劃

　　網絡是現代社會中信息傳輸的主要載體，包括計算機網絡和電信網絡兩大部分，其中計算機網絡的典范是Internet，而電信網絡則包括有線電話網和移動通信網。隨著技術的發展，這兩種網絡之間的差異正在逐步縮小，未來的發展趨勢將是一個統一的、能提供綜合業務能力的信息傳輸網絡。

　　1、網絡的基本結構

　　在本文中涉及到的主要是計算機網絡。在典型的企業應用環境中，用戶有兩種主要的網絡接入方式，即固定用戶的直接接入方式和移動用戶的撥號接入方式。下面分別對這兩種接入方式下的網絡基本結構進行分析。

　　在直接接入方式下，整個網絡系統大致包括以下三個部分：

　　1)用戶網絡：是整個骨干網絡的端系統，同時用戶企業/部門內部的業務處理專用網絡，包括了與用戶企業日常業務處理直接相關的業務系統和信息資源，以及為支持這些系統的有效運行而建立的用戶內部網絡系統（可以是局域網或Intranet）。由于企業間合作的不斷開展，用戶網絡之間需要進行大量的資源共享和交流，這一般需要通過骨干網絡進行。

　　2)接入網絡：是指實現用戶網絡到骨干網絡接入的中間網絡部分，是用戶網絡的應用信息通過骨干網絡傳輸的一個中介。由于用戶網絡和骨干網絡之間的安全性能上存在較大的差異，因此接入網絡需要解決的一個重要的問題就是對用戶網絡及其內部的各種資源進行安全保護。本教程所指的接入網絡概念與電信網絡的術語“接入網”不完全相同。

　　3)骨干網絡：是用戶網絡之間交換和傳輸應用信息的傳輸媒體，是通過在大量的用戶網絡之間共享網絡傳輸帶寬來實現信息的高速、廉價傳輸的。由于骨干網絡應用環境的開放性特點，其安全性能一般無法保證。

　　對于移動用戶遠程接入的方式，整個網絡結構主要包括以下二個部分：

　　1)接入網絡：是實現移動用戶接入到骨干網絡的中間網絡部分。典型的接入網絡包括ISP/IAP以及移動用戶到相應的ISP/IAP之間的電信網絡傳輸網絡部分（PSTN/IDSN）。

　　2)骨干網絡：是移動用戶與目標網絡之間的信息傳輸媒體。

　　隨著網絡和信息技術在各個方面的全面應用，企業的組織方式將變得越來越靈活，而移動計算模式將逐步普及，因此在研究網絡及信息安全問題時必須將移動用戶的接入方式作為一個重點加以研究。

　　2、網絡及信息安全問題的內涵

　　網絡及信息的安全問題是一個相當廣義的概念，其內容至少涉及以下幾個方面：

　　1)物理安全：確保整個網絡系統正常運行、安全工作的首要條件是確保計算機及其網絡設備等關鍵性網絡固件的物理安全，包括設備機房的防雷擊、電磁屏蔽、抗災性能、安全警衛等方面，要求整個網絡系統從系統設計、安裝施工、運行管理各方面加強對物理安全的精確控制與有效管理。

　　2)網絡系統安全：骨干網絡部分的主要功能在于向大量的用戶網絡提供可用的網絡傳輸帶寬，因此傳輸網絡的安全性主要體現在對網絡傳輸帶寬可用性的保證上，主要是維持整個傳輸網絡的路由機制和網絡管理機制的正常運作。

　　3)計算機系統安全：用戶網絡的主要功能體現在企業內部信息資源的開發利用以及業務流程的輔助實施方面，不僅要滿足內部用戶的需求，還應根據企業發展戰略的需要有針對性地向外部用戶提供服務和資源。因此計算機系統安全主要體現在對應用系統和信息資源的安全保護兩個方面，而對信息資源的安全性保護主要幾種在數據的保密性、完整性和可用性方面。

　　3、網絡及信息安全問題的主要成因

　　由于網絡及信息安全問題的涉及的領域具有相當的廣泛性，其安全問題的來源和因由也是相當復雜的，下面僅列出部分主要的安全問題成因，給大家對此有一個初步的了解：

　　3.1 網絡及信息安全的技術成因

　　網絡及信息安全問題的技術成因主要包括以下幾個方面：

　　1)電磁信號的輻射：由于網絡設備以及計算機信息系統的特殊構造與工作方式，它不可避免地會向鄰近空間輻射電磁波。這些泄露出來的電磁輻射信號頻譜成分豐富，攜帶大量信息，從而對某些信息處理的信息安全性造成威脅。目前網絡通信中涉及到的傳輸電纜、計算機設備、網絡系統設備均會不同程度的產生電磁場輻射向外泄露，對此只需要簡單的儀器設備就可以在通信雙方毫不知情的情況下對通信內容實施監聽。

　　2)網絡協議的安全性：網絡協議是計算機之間為了互聯彼此共同遵守的通信規則。目前的互聯網絡所采用的主流協議TCP/IP協議構架主要是面向信息資源的共享的。由于在其設計之初人們過分強調其開發性和便利性，而對其安全性的設計上沒有深思熟慮，因此相當部分的網絡協議都存在嚴重的安全漏洞，給互聯網留下了許多安全隱患。事實上，這已經成為當前網絡及信息安全問題最主要根源之一。另外，某些網絡協議缺陷造成的安全漏洞往往被黑客直接利用發起安全攻擊。比較典型的如FTP、SMTP、Telnet等應用協議，用戶的口令等信息是以明文形式在網絡中傳輸的，同時這些協議底層所依賴的TCP協議自身也并不能確保信號傳輸過程的安全。

　　3)工作環境的安全漏洞：現有的操作系統和數據庫系統等典型的企業用戶工作環境，由于本身就是軟件產品，軟件產品的特殊性造成了其必然存在一定的已知及未知安全漏洞，包括自身的體系結構問題、對特定網絡協議實現的錯誤以及系統開發過程中遺留的后門和陷門。這些來自系統底層的安全漏洞帶來的安全隱患，有可能會使用戶精心構建部署的應用系統毀于一旦。

　　4)安全產品自身的問題：對于用戶網絡內部已經采用的網絡及信息安全產品，其自身實現過程中的安全漏洞或錯誤都有可能引發用戶內部網絡安全防范機制的失效。同時，即使安全產品自身的安全漏洞可以忽略，在產品的實際使用過程中由于用戶的配置或操作不當均可能造成產品安全性能的降低或喪失。

　　5)缺乏總體的安全規劃：目前的各種網絡及信息安全技術和產品一般基于不同的原理和安全模型工作，雖然獨立來看都是功能不錯的產品，但當所有這些產品整合到一起，應用到同一個網絡系統中時，彼此之間在互操作性及兼容性上往往無法得到有效保證，從而帶來許多意想不到的新安全問題。

　　6)信息的共享性：信息資源的網絡共享確實在促進國際間的信息交流與技術合作上起到了前所未有的成功，大力推動了全世界科技水平的提高，但同時這也成為網絡及信息安全問題的一個重要成因。各種計算機病毒、各種攻擊小軟件都可以便捷地從互聯網上獲取，甚至網絡黑客們還專門成立了虛擬社區，通過討論組、BBS等形式交流黑客經驗。在這各方面可以說信息共享起到了推波助瀾的負面作用。

　　3.2 網絡及信息安全的管理成因

　　網絡及信息安全問題的管理成因主要包括以下幾個方面：

　　1)互聯網缺乏有效的管理：國際互聯網是全球性的分布式網絡。在技術層面上，不存在某個國家或某個利益集團通過某種技術手段來達到控制互聯網的目的。由于互聯網是分布式的，各個節點由各類民間組織以自愿形式進行管理，同時不同國家民族在地域、法律、文化等方面的巨大差異存在，導致了互聯網在整體上缺乏一個有效的安全管理規劃，給網絡黑客留下了充分的活動空間，使他們可以低成本的進行信息安全犯罪活動而逍遙法外。

　　2)配套的管理體制尚未建立：傳統的政府部門的行政管理體制一般是建立在地域劃分和部門條塊分割基礎上，實施監督管理的職能。而超越地域空間限制的網絡環境使得傳統的管理模式捉襟見肘，監管部門的管理職能難以有效發揮作用。同時信息化社會中原有的法規政策在具體實施和操作中會遇到或多或少的種種困難，所有這些客觀上使得網絡黑客活動一定程度上具備了逃避法規監管的可能，助長了網絡黑客的氣焰。

　　3)觀念上的重視不夠：目前政府部門、金融部門、企事業單位的大量業務依賴于信息系統安全運行，信息安全重要性日益凸顯。大多數單位已經意識到了網絡及信息安全問題的重要性，但往往由于部門負責人的信息化水平本身不高導致其對信息安全管理認知水平仍停留在較粗淺的低層次上。這主要表現在，沒有配備專職的網絡安全管理員或其業務素質不高，沒有建立和落實完整的網絡系統安全防范制度，沒有對網絡系統和安全產品的配置進行有效的管理等方面。

　　4、網絡及信息安全的規劃

　　從網絡信息系統的穩定與安全、社會經濟的有序發展和保護企業利益的角度來看，一定要高屋建瓴地進行網絡信息安全保障體系建設規劃工作，做好基礎性工作和基礎設施建設，建立信息安全保障。下面主要介紹如何進行有效的網絡及信息安全規劃工作。

　　4.1 風險分析和評估

　　安全規劃的第一步是對用戶內部網絡所面臨的安全風險進行分析和評估。根據現代的經濟運作理論，對于網絡及信息安全方面的投資將被視為一種投資方式，這種投資將帶來企業在運行管理成本、安全事故損失以及企業形象等方面的收益。在市場經濟領域中任何一種投資都必須有相應的回報，因此投資前的一個重要措施就是風險分析和評估，用以確定所需的資金投入。

　　安全風險分析和評估主要應從以下二個方面入手：

　　1)安全威脅及其可見性分析：對用戶企業所面臨的各種潛在的安全威脅因素及其對外的可見性進行全面分析。安全威脅的存在不一定會造成事實的安全事故，安全威脅對外部是可見的，才有可能引發安全事故。可能的安全威脅應包括軟、硬件以及用戶自身。

　　2)組織對潛在安全風險的敏感性分析：這里的敏感性包括對安全事故造成的直接經濟損失以及政治上和商業形象上的損失的敏感程度。敏感性分析的結果將直接關系到安全規劃過程中對各類安全措施的投入比重和優先級問題。

　　4.2 安全策略制定

　　在安全風險分析和評估的基礎上，應進一步制定網絡系統的安全策略。在制定安全策略過程中應充分權衡安全性和方便性，并應注意使安全策略切實可行，與企業的技術和資金能力現狀相適應。

　　安全策略應包括一下兩個層次的內容：

　　1)整體安全策略制定：主要用于確立企業級的網絡安全防范管理體制，并落實與之相配套的具體事實規劃和所需人力、物力的落實計劃，并應明確違反安全策略行為的處理措施。整體的安全策略主要用于領導高層決策和管理使用。

　　2)系統級的安全策略：在整體安全策略所確定的框架之上進一步從技術角度針對特定的系統專門制定詳細的安全策略，主要用于具體的技術實施使用。

　　在安全策略的制定和實施并不只是單純的管理層的任務，而是應充分發揮技術人員的作用。

　　4.3 系統的管理與維護

　　在系統的運行過程中應進行一下幾方面的管理與維護工作：

　　1)數據備份：對系統中關鍵性的信息根據應用的特點確定備份的方式和備份策略。

　　2)安全審計：對系統中的資源訪問和各種異常情況進行安全審計，及時地發現系統配置中的安全漏洞并加以補救，并對已發生的安全事故進行責任追查。

　　4.4 技術不是一切

　　對于網絡及信息安全問題，需要著重指出的一個問題是：“技術不是一切”。某種程度上說，網絡技術及信息技術本身就是技術含量很高的高科技，因此在網絡及信息領域的整體安全解決方案中，技術因素必然是起著決定性作用的，這一點是不可否認的。事實上任何一種技術都是在正、反兩方面的應用和較量的過程中逐步完善和發展起來的，對于網絡及信息安全問題則更將是一場智慧與技術的反復較量。

　　但同時也應該看到，網絡及信息安全問題涉及到了人的因素。與任何其它涉及到人的問題一樣，網絡及信息安全領域中并不是只依靠單純的技術力量就能有效解決一切問題的。

　　1) 功能再強大的網絡及信息安全產品，若使用者沒有進行合理地配置或者正確地操作，其安全性能不但無法得到有效利用，還有可能形成許多新的安全漏洞。

　　2)再完善的安全管理制度，只為了貪圖一時方便而不去執行它，那么所有的安全措施都有可能形同虛設。最簡單的例子是用戶違反口令管理的規定選取過于簡單的口令或干脆直接采用系統缺省口令就足以給網絡黑客敞開大門。

　　3)只要用戶個人出于對工作條件的不滿或其它情感因素，完全有可能利用其合法的用戶身份從系統內部發起攻擊或將系統內部信息透露給其它惡意用戶。而根據美國FBI的統計，80%以上（奏效）的網絡攻擊都屬于這種“后院起火”的類型。因此，在從技術角度加強網絡及信息安全防范的同時，還必須加強對企業內部網絡系統的安全管理，才能使公司在安全產品和技術方面的投資發揮其應有的作用。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：網絡信息安全及規劃

本文網址：http://www.lukmueng.com/html/consultation/10839510944.html