基于網絡平臺的信息系統安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學電子技術學院，河南 鄭州 450004

基于網絡平臺的信息系統安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學電子技術學院，河南 鄭州 450004

隨著計算機網絡技術的飛速發展,各類信息系統對網絡這一平臺的依賴越來越大。由此而產生的信息系統安全問題也日益突出，本文在介紹了有關網絡信息系統安全知識的基礎上，對常見的在網絡應用中信息系統易出現的各類安全問題進行闡述和探討，并提出針對這些問題的對策和建議。

網絡平臺；信息系統安全；信息安全

引言

隨著計算機網絡技術的飛速發展，計算機網絡與運行在其上的各類信息系統已經成為社會經濟發展的基礎平臺與保證。網絡系統中流轉有很多都是敏感或機密信息，因此必定會吸引來自各方面的各種人為攻擊。通常利用計算機網絡犯罪很難留下犯罪證據，這也在一定程度上刺激了計算機高技術犯罪案件的發生。另外加之我們很多管理者對網絡系統運行的環境狀況缺乏詳細的了解,使得我們運行在網絡平臺下的各類信息系統面臨著很大的安全威脅，這已發展成為嚴重的社會問題之一。

1 網絡信息系統安全分析

網絡信息系統安全已引起世界各國的高度重視。目前，學術界中對于網絡信息系統安全的內容劃分比較復雜，概念范圍比較廣，對網絡信息安全威脅也還沒有統一的分類，但是在總體上大致可分為兩大類。

1.1 自然威脅。即因水、火、雷電、地震等自然災害和信息系統本身對環境的溫度、濕度、空氣質量、靜電和電磁干擾等物理條件的改變所造成的各種各樣的設備故障及安全隱患等。因其具有突發性、自然性、非針對性和不抗拒性的特點，這就要求我們網絡信息系統的管理者應常常保持警惕之心，小心防備，把系統運行對環境的各項要求牢記于心。

1.2 人為威脅。這類威脅又分為無意識和有意識兩種。無意識威脅是指由于操作者的操作失誤造成的信息泄露或破壞。有意識威脅是指某些組織或個人（如國際黑客、金融犯罪分子等），出于各自的目的或利益通過國際互聯網直接破壞網絡信息系統設備、篡改重要的數據信息、制造及散播計算機病毒或改變系統功能與權限等。有意識威脅又包含被動威脅和主動威脅兩種。前者只對信息進行監聽，不修改數據；而后者則會對數據信息進行惡意篡改。因此后者才是網絡信息安全防范和考慮的重點，也是網絡信息系統安全的最大威脅因素之一。

2 常見的網絡信息系統安全威脅

從網絡信息系統安全事件來看，網絡攻擊主要是利用計算機網絡操作系統的漏洞、軟硬件的設計缺陷以及對網絡信息系統安全認識不足導致的人為操作失誤等進行的一系列破壞活動。常見的網絡信息系統安全威脅主要集中在以下幾個方面。

2.1 非授權訪問

非授權訪問指預先并沒有獲得信息系統給予的相應授權，就訪問該系統的資源。亦即：設法避開信息系統的訪問控制權限，對信息系統中的各類信息資源和數據文件進行非法使用，或擅自擴大權限，越權訪問數據信息。其形式主要有以下幾種：假冒、身份攻擊、非法用戶進入網絡信息系統進行違法操作、合法用戶以未授權方式操作等。

2.2 信息泄露

信息泄露指有價值的數據資料或敏感信息在人為的有意或無意中被泄露出去或丟失，它包括數據信息在網絡傳輸過程中的丟失或泄露和在各種存儲介質中的丟失或泄露。目前多數網絡信息系統仍以安全性較差的簡單加密方式或明文傳輸來服務，導致該網絡系統的使用者賬號、密碼、郵件等資料，全都可以使用監聽方式取得。黑客利用各種方式截獲機密信息并進行分析，進而得到有價值的信息。

2.3 拒絕服務攻擊

拒絕服務攻擊指即攻擊者想盡一切辦法讓目標信息系統停止提供正常服務，只要能夠對目標信息系統造成麻煩，使目標信息系統服務被暫停甚至主機死機，都屬于拒絕服務攻擊，是黑客常用的攻擊手段之一。攻擊者進行拒絕服務攻擊，實際上讓目標系統的服務器出現兩種效果：一是迫使服務器的緩沖區滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接，使其不能進入網絡服務系統，得不到相應的服務。如“報文洪水攻擊”、“電子郵件炸彈”就是典型的例子。

2.4 惡意代碼

惡意代碼（Unwanted Code）是指沒有作用卻會帶來危險的代碼，主要包括病毒、蠕蟲、間諜軟件、木馬及其他后門。目前，計算機病毒是威脅網絡信息安全的禍首，成為很多黑客入侵的先導，使網絡系統癱瘓，重要數據無法訪問甚至丟失。惡意代碼（Malicious code）或者叫惡意軟件Malware（Malicious Software）具有如下共同特征:(1)惡意的目的;(2)本身是程序;(3)通過執行發生作用。

3 防范網絡信息系統安全威脅的常用技術

3.1 防火墻技術

防火墻（FireWall）技術成為近年來新興的保護計算機網絡系統信息安全的技術性措施之一。起初，防火墻就是用來阻擋外部不安全因素對內部網絡信息系統影響的安全門戶，其目的就是防止系統外部網絡用戶的未授權訪問。現在它已經發展成為一種計算機硬件和軟件的結合的隔離控制技術，主要是在某個特定單位用戶的內部網絡和外部互聯網絡（如Internet）之間搭設一張屏障，阻止對外部未授權用戶對內部網絡信息資源的非法訪問，也可以阻止內部網絡中的重要敏感或機密信息從本單位的內部傳輸網絡上被非法泄露出去。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成。從實現原理上分，防火墻的技術包括四大類：網絡級防火墻（也叫包過濾型防火墻）、應用級網關、電路級網關和規則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看信息系統安全級別的具體需要。

3.2 入侵檢測技術

入侵檢測技術可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（IntrusionDetectionSystem，簡稱IDS）。作為對防火墻的補充，入侵檢測通過監視受保護的網絡信息系統的一切活動，檢測該系統配置的正確性和系統安全漏洞，對異常行為模式的統計與分析，及時發現未授權或惡意的侵入，并對入侵事件立即反應及時關閉相應服務甚至切斷內外部網絡。

3.3 加密技術

在信息系統的網絡交互傳輸過程中，跨越公共網絡傳輸的敏感或機密數據必須加密，明文傳輸極易被黑客利用監聽或偵測工具竊取到用戶信息和密碼等，因此為保證數據的安全性，加密技術則必不可少。數據加密的基本原理是利用技術手段改變信息的排列方式或按某種規則進行代替或置換，把重要的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密），從而使得只有合法的收發雙方才能理解信息的內容，對傳輸的信息起保密作用。常見的網絡傳輸采用的是通過Ipsec技術建立起加密的VPN隧道來實現的。

4 針對當前網絡信息系統安全威脅的對策和建議

網絡信息系統安全是我們所面臨的一個重要難題，它是一個全方位的問題集合，是一個系統的工程, 涉及安全體系構建的諸多方面，從信息系統自身到設備采購、從安全技術到責任管理，需要技術支持、制度保護，以及對安全維護人員的管理教育等。首先要保證網絡信息系統設備的有序運行，然后才是信息系統的自身安全。保證網絡信息系統安全的主要技術手段包括:包過濾、應用代理、安全漏洞掃描、入侵檢測技術、防病毒系統、訪問控制、行為審計等。除專業技術的支持外，網絡信息系統的安全還需要法律和道德的約束以及安全管理制度來輔助支持。沒有絕對安全的信息系統，只有將現有的資源和技術合理配置，使其發揮最大功用，這才是構建與本單位實際相符的最有效用的安全體系的關鍵。

5 結語

隨著計算機與網絡通信技術的飛速發展，各種網絡安全的威脅層出不窮，其對應的防范技術也在日新月異地發展，知彼知己，方能百戰不殆。任何一個網絡信息系統的安全，在很大程度上都依賴于最初設計時制定的網絡信息系統安全策略及相關管理制度規章。因為后期所使用的一切安全技術和手段，都圍繞這一策略來實施和展開，如果在安全管理策略上出了問題，相當于放開了網絡信息安全系統最大的一個口子，后果也就不堪設想了。同時，從大角度來看，網絡信息系統安全與規范和完善的管理是密不可分的。在網絡信息系統安全領域,技術手段和相關安全工具只是輔助手段，沒有完善的管理制度與措施的保證，再好的技術手段也沒法完全發揮其應有的作用的。

[1]甘群文,李好文.網絡信息安全的威脅與防范技術研究[J].計算機安全,2009.5

[2]邱寒,計算機網絡信息安全及對策研究[J].科技致富向導,2011.29

[3]崔興全,陳紅波.計算機網絡信息安全管理與防護策略[J].科技風,2011.13

[4]曹天人,張穎.淺談計算機網絡信息安全現狀及防護[J].科學咨詢,2011.9

[5]崔海航.網絡信息安全的研究及對策[J].無線互聯科技,2011.5

[6]張吉紅.計算機網絡信息安全分析與管理探究[J].計算機光盤軟件與應用, 2011.14

10.3969/j.issn.1001-8972.2011.24.048

李恒武(1984-)，男，本科，研究方向：數字信息化，網絡安全與技術等。

高博(1983-)，男，本科，研究方向：教學管理，計算機科學與技術等。

郭義喜(1969-)，男，碩士研究生，研究方向：裝備工程，實驗室管理與建設，計算機網絡與信息安全等。