网络信息安全规划

        1、网络的基本结构

       在本文中涉及到的主要是计算机网络。在典型的企业应用环境中，用户有两种主要的网络接入方式，即固定用户的直接接入方式和移动用户的拨号接入方式。下面分别对这两种接入方式下的网络基本结构进行分析。

       在直接接入方式下，整个网络系统大致包括以下三个部分：

       1)用户网络：是整个骨干网络的端系统，同时用户企业/部门内部的业务处理专用网络，包括了与用户企业日常业务处理直接相关的业务系统和信息资源，以及为支持这些系统的有效运行而建立的用户内部网络系统(可以是局域网或Intranet)。由于企业间合作的不断开展，用户网络之间需要进行大量的资源共享和交流，这一般需要通过骨干网络进行。

        2)接入网络：是指实现用户网络到骨干网络接入的中间网络部分，是用户网络的应用信息通过骨干网络传输的一个中介。由于用户网络和骨干网络之间的安全性能上存在较大的差异，因此接入网络需要解决的一个重要的问题就是对用户网络及其内部的各种资源进行安全保护。本教程所指的接入网络概念与电信网络的术语“接入网”不完全相同。

       3)骨干网络：是用户网络之间交换和传输应用信息的传输媒体，是通过在大量的用户网络之间共享网络传输带宽来实现信息的高速、廉价传输的。由于骨干网络应用环境的开放性特点，其安全性能一般无法保证。

        对于移动用户远程接入的方式，整个网络结构主要包括以下二个部分：

       1)接入网络：是实现移动用户接入到骨干网络的中间网络部分。典型的接入网络包括ISP/IAP以及移动用户到相应的ISP/IAP之间的电信网络传输网络部分(PSTN/IDSN)。

       2)骨干网络：是移动用户与目标网络之间的信息传输媒体。

       随着网络和信息技术在各个方面的全面应用，企业的组织方式将变得越来越灵活，而移动计算模式将逐步普及，因此在研究网络及信息安全问题时必须将移动用户的接入方式作为一个重点加以研究。

        2、网络及信息安全问题的内涵

        网络及信息的安全问题是一个相当广义的概念，其内容至少涉及以下几个方面：

       1)物理安全：确保整个网络系统正常运行、安全工作的首要条件是确保计算机及其网络设备等关键性网络固件的物理安全，包括设备机房的防雷击、电磁屏蔽、抗灾性能、安全警卫等方面，要求整个网络系统从系统设计、安装施工、运行管理各方面加强对物理安全的精确控制与有效管理。

        2)网络系统安全：骨干网络部分的主要功能在于向大量的用户网络提供可用的网络传输带宽，因此传输网络的安全性主要体现在对网络传输带宽可用性的保证上，主要是维持整个传输网络的路由机制和网络管理机制的正常运作。

        3)计算机系统安全：用户网络的主要功能体现在企业内部信息资源的开发利用以及业务流程的辅助实施方面，不仅要满足内部用户的需求，还应根据企业发展战略的需要有针对性地向外部用户提供服务和资源。因此计算机系统安全主要体现在对应用系统和信息资源的安全保护两个方面，而对信息资源的安全性保护主要几种在数据的保密性、完整性和可用性方面。

        3、网络及信息安全问题的主要成因

       由于网络及信息安全问题的涉及的领域具有相当的广泛性，其安全问题的来源和因由也是相当复杂的，下面仅列出部分主要的安全问题成因，给大家对此有一个初步的了解：

        3.1 网络及信息安全的技术成因

        网络及信息安全问题的技术成因主要包括以下几个方面：

       1)电磁信号的辐射：由于网络设备以及计算机信息系统的特殊构造与工作方式，它不可避免地会向邻近空间辐射电磁波。这些泄露出来的电磁辐射信号频谱成分丰富，携带大量信息，从而对某些信息处理的信息安全性造成威胁。目前网络通信中涉及到的传输电缆、计算机设备、网络系统设备均会不同程度的产生电磁场辐射向外泄露，对此只需要简单的仪器设备就可以在通信双方毫不知情的情况下对通信内容实施监听。

       2)网络协议的安全性：网络协议是计算机之间为了互联彼此共同遵守的通信规则。目前的互联网络所采用的主流协议TCP/IP协议构架主要是面向信息资源的共享的。由于在其设计之初人们过分强调其开发性和便利性，而对其安全性的设计上没有深思熟虑，因此相当部分的网络协议都存在严重的安全漏洞，给互联网留下了许多安全隐患。事实上，这已经成为当前网络及信息安全问题最主要根源之一。另外，某些网络协议缺陷造成的安全漏洞往往被黑客直接利用发起安全攻击。比较典型的如FTP、SMTP、Telnet等应用协议，用户的口令等信息是以明文形式在网络中传输的，同时这些协议底层所依赖的TCP协议自身也并不能确保信号传输过程的安全。

       3)工作环境的安全漏洞：现有的操作系统和数据库系统等典型的企业用户工作环境，由于本身就是软件产品，软件产品的特殊性造成了其必然存在一定的已知及未知安全漏洞，包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门。这些来自系统底层的安全漏洞带来的安全隐患，有可能会使用户精心构建部署的应用系统毁于一旦。

       4)安全产品自身的问题：对于用户网络内部已经采用的网络及信息安全产品，其自身实现过程中的安全漏洞或错误都有可能引发用户内部网络安全防范机制的失效。同时，即使安全产品自身的安全漏洞可以忽略，在产品的实际使用过程中由于用户的配置或操作不当均可能造成产品安全性能的降低或丧失。

       5)缺乏总体的安全规划：目前的各种网络及信息安全技术和产品一般基于不同的原理和安全模型工作，虽然独立来看都是功能不错的产品，但当所有这些产品整合到一起，应用到同一个网络系统中时，彼此之间在互操作性及兼容性上往往无法得到有效保证，从而带来许多意想不到的新安全问题。

       6)信息的共享性：信息资源的网络共享确实在促进国际间的信息交流与技术合作上起到了前所未有的成功，大力推动了全世界科技水平的提高，但同时这也成为网络及信息安全问题的一个重要成因。各种计算机病毒、各种攻击小软件都可以便捷地从互联网上获取，甚至网络黑客们还专门成立了虚拟社区，通过讨论组、BBS等形式交流黑客经验。在这各方面可以说信息共享起到了推波助澜的负面作用。

        3.2 网络及信息安全的管理成因

        网络及信息安全问题的管理成因主要包括以下几个方面：

       1)互联网缺乏有效的管理：国际互联网是全球性的分布式网络。在技术层面上，不存在某个国家或某个利益集团通过某种技术手段来达到控制互联网的目的。由于互联网是分布式的，各个节点由各类民间组织以自愿形式进行管理，同时不同国家民族在地域、法律、文化等方面的巨大差异存在，导致了互联网在整体上缺乏一个有效的安全管理规划，给网络黑客留下了充分的活动空间，使他们可以低成本的进行信息安全犯罪活动而逍遥法外。

        2)配套的管理体制尚未建立：传统的政府部门的行政管理体制一般是建立在地域划分和部门条块分割基础上，实施监督管理的职能。而超越地域空间限制的网络环境使得传统的管理模式捉襟见肘，监管部门的管理职能难以有效发挥作用。同时信息化社会中原有的法规政策在具体实施和操作中会遇到或多或少的种种困难，所有这些客观上使得网络黑客活动一定程度上具备了逃避法规监管的可能，助长了网络黑客的气焰。