加强档案信息的网络安全保护工作

来源:用户上传      作者: 米士刚

　　全国各地的档案馆已经有很多部门开始使用或者已经使用档案管理系统或者建立自己的网站，使用的操作系统也有Windows98、Win－dows2000、WindowsXP、UNIX等，随着档案工作的电子化、网络化，计算机及网络风险防范问题开始显现。档案馆的网络必须拥有相对较好的安全保护措施，否则该网络将是个没有用的、甚至会泄露重要的机密信息。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保档案馆网络信息的保密性、完整性和可用性。
　　根据计算机自身及计算机网络的特点，我们把这些不安全因素总结为三个方面：
　　一是无意识行为：例如计算机管理员对计算机的安全配置不当造成的安全漏洞；安全意识不够，用户口令选择不慎，用户将自己的账号等信息随意转借他人或与别人共享等都会对网络安全带来安全隐患。
　　二是有意识行为：这是计算机网络所面临的最大威胁。这种行为所采用的方式并不是单一的，根据攻击的方式不同，可以划分为：主动攻击和被动攻击两种方式。第一种方式的目的是有选择地破坏信息的有效性和完整性；第二种方式不影响网络正常工作，但是它会截获、窃取、破译以获得重要机密信息。
　　三是网络软件的漏洞和“后门”程序：任何网络软件都存在一定的缺陷和漏洞，黑客会利用这些漏洞和缺陷对网络进行攻击。有些软件公司在程序开发过程中，设置了一些“后门”程序，一般人不会知道，但是一旦“后门”程序被不法分子发现和利用，会造成很严重的后果。
　　根据防范措施的难易程度，我们可以将这些措施分为：物理安全措施、访问安全措施、信息加密措施。
　　1．物理安全措施。采用这种措施的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路不会受到自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动。
　　2．计算机及网络访问控制措施。该措施可以保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全措施须相互配合方能起到保护作用，但访问控制可以说是保证网络安全最重要的措施之一。下面我们分别叙述一下不同的访问控制措施：
　　1)就是入网访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三个步骤中只要任何一个步骤没有通过，该用户便不能进入该网络。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。
　　2)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为：特殊用户(即系统管理员)；一般用户，系统管理员根据他们的实际需要为他们分配操作权限。
　　3)目录级控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限包括：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。
　　4)属性控制。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问屑性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。
　　5)网络服务器控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据。
　　6)网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。
　　7)网络端口和节点的控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。
　　8)防火墙控制。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进／出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。
　　3．信息加密措施
　　信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法。
　　(作者单位：国家档案局科研所100050)

转载注明来源:https://www.xzbu.com/1/view-308420.htm