信息安全隱患分析及對策

何良軍

摘 要：從網絡平臺、應用平臺、管理平臺以及計算機系統的物理安全等方面著手，分析了可能存在的網絡信息安全隱患，并在此基礎上提出了相應的網絡信息安全解決方案。

關鍵詞：網絡信息安全；安全隱患；解決方案

21世紀全世界的計算機都將通過Internet聯到一起，隨著Internet的發展，網絡豐富的信息資源給用戶帶來了極大的方便，但同時也給用戶帶來了網絡信息安全問題。由于Internet的開放性和超越組織與國界等特點，使它在安全性上存在一些隱患，而且信息安全的內涵也發生了根本的變化。

一、什么是信息安全

在探討網絡信息安全前，必須首先明確什么是信息安全，其具體內容是什么。目前，有關信息安全的定義比較流行的主要有以下幾種說法：

國際標準化組織（ISO）定義：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和顯露。”我國安全專家繆道期則認為：“計算機的硬件、軟件和數據受到保護，不因偶然的和惡意的原因而遭到破壞、更改和顯露，系統連續正常運行。”兩種說法究其根源是一致的，前者偏重于靜態信息保護，后者著重于動態意義描述。

總的來說，信息安全的主要目標是保護信息資源以免受毀壞、替換、盜竊和丟失。這些信息資源包括計算機設備、存儲介質、軟件、計算機輸出材料和數據。信息安全可分為物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等；邏輯安全包括信息完整性、保密性和可用性。

二、網絡信息安全隱患分析

（一）對各類型安全隱患的分析

下面我們就從網絡平臺、應用平臺、管理平臺以及計算機系統的物理安全等多方面來分析可能存在的安全隱患，并在此基礎上對每種類別的安全隱患進行具體分析描述。

1.網絡平臺存在的安全隱患

（1）內網連接外網后，經常遭受來自外部網絡的非授權訪問、黑客對系統的惡意攻擊以及病毒入侵。

（2）系統內部不同域相互連接后，會遭受來自內部有意或無意的非授權訪問、惡意攻擊以及病毒入侵。

（3）信息在廣域網上傳輸時數據泄露的危險。

2.應用平臺存在的安全隱患

（1）關鍵業務主機系統的安全隱患：不能實時監控關鍵業務主機硬件系統的運行情況；不能實時報告關鍵業務主機系統故障；操作系統的安全級別低，缺乏對關鍵業務主機操作系統用戶權限的嚴格控制、文件系統的保護等。

（2）數據庫系統的安全隱患：系統漏洞的安全隱患；不能實時監控數據庫系統的運行情況，包括數據庫文件存儲空間、系統資源使用率、數據庫進程狀態、進程所占內存空間等；黑客利用已知的系統漏洞對系統進行攻擊。

3.管理平臺存在的安全隱患

（1）信息安全管理體系的安全隱患：

①沒有統一的信息安全報警系統，不能及時發現已經發生的網絡安全事件；

②沒有統一的信息安全審計系統，不能迅速確定網絡安全事件的來源；

③沒有統一的信息安全管理策略配置系統，不能迅速執行制定的安全策略，管理復雜，管理成本高；

（2）網絡設備和通信線路的安全隱患：

①不能實時監控網絡設備和通信線路的工作狀況；

②不能及時發現和定位通信系統故障。

4.計算機系統的物理安全

信息安全的另一方面是計算機設備的安全，包括通訊連接以及真正的計算機和數據介質的安全。在工作中經常會出現由于人為失誤或硬件故障如磁盤故障、介質、設備和其他備份故障造成數據丟失或改變。國外一家公司在對分布式存儲研究中意外發現，平均為完成研究工作所做的備份工作出錯幾乎達到了每周三次。其中有一次服務器由于磁盤故障丟失了所有數據，當準備用備份磁帶恢復文件時卻發現沒有一盤磁帶有數據。可見，制定行之有效的數據備份恢復方案，以應對可能出現的災難事故時至關重要。

（二）信息安全隱患的集中表現

通過對以上可能出現的安全隱患的分析，我們現在可以得出初步結論。目前，信息安全隱患主要集中在以下幾個方面：

1.非授權訪問

在工作中經常會碰到有意或無意的非授權訪問。對此，系統管理員一般使用訪問控制技術來防范非授權訪問，即對進入系統進行控制以及進入系統后，對文件和程序等資源的訪問進行控制。其作用是對想訪問系統和數據的人進行識別，并檢驗其身份。

有三種主要的方法可以實現訪問控制。第一種要求用戶輸入一些保密信息，如賬號和口令。另一種更復雜的方法是采用一些物理識別設備，如訪問卡、鑰匙或令牌。另外，還可以采用生物統計學系統，可以基于某種特殊的物理特征對人進行唯一性識別，如指紋、掌紋等。

2.入侵檢測和防范

目前常用的入侵檢測和防范的常用方法主要是防火墻技術。通過防火墻技術可防止攻擊能較容易地在網絡之間移動、四處傳播摧毀和破壞的，使不同的網絡保持相互隔離的狀態下，仍能通過路由器或網關通訊，同時限制什么數據可以“通過”防火墻的“門”，并進入到另一個網絡。其使用硬件和軟件的組合來決定何種請求可以從外部進入內部網絡，可防范從因特網或外部網絡到該內部網絡的全部訪問，也可以選擇性地檢查從一邊到另一邊的每一條消息或通訊。但防火墻技術也存在局限性，如對內部網絡的攻擊無能為力，在實際工作中經常與其他安全措施配合使用。

3.病毒防護

病毒是系統中最常見、威脅最大的安全問題來源，建立一個全方位的病毒防范系統是網絡系統安全體系建設的重要任務。

目前主要采用病毒防范系統解決病毒查找、清殺問題。

根據網絡結構和計算機分布情況，病毒防范系統的安裝實施要求為：

（1）能夠配置成分布式運行和集中管理，由防病毒代理和防病毒服務器端組成；

（2）防病毒客戶端安裝在系統的關鍵主機中，如關鍵服務器、工作站和網管終端；

（3）在防病毒服務器端能夠交互式地操作防病毒客戶端進行病毒掃描和清殺，設定病毒防范策略；

（4）能夠從多層次進行病毒防范，第一層工作站、第二層服務器、第三層網關都能有相應的防毒軟件提供完整的、全面的防病毒保護。

4.系統漏洞

系統漏洞通常是由操作系統開發者有意設置的，這樣軟件工程師就可以在用戶忘記了自己的賬號和口令時進入系統進行維修。由于系統漏洞的存在，攻擊者可繞過已設置的安全機制非法訪問系統，引發各種安全隱患。如在互聯網上肆虐的“W32/Nimda”的尼姆達病毒就是利用IE瀏覽器的系統漏洞。對于系統漏洞，只能將系統不斷升級，及時下載執行補丁程序。

三、信息安全解決方案

（一）為確保信息安全，通過信息安全解決方案務必實現以下目標

1.外網之間及內網間的邏輯隔離；

2.關鍵業務主機操作系統加固，實現強制訪問控制；

3.實時檢測對本地局域網的攻擊行為，并能與防火墻聯動，自動阻斷網絡攻擊；

4.實時查殺本地局域網中的病毒；

5.加強對各種網絡安全事件的檢測與審計，統一管理各安全分系統；

6.實時監控關鍵業務主機的運行情況，并實時報告其故障；

7.實時監控數據庫的運行狀態；

8.及時發現和排除網絡設備與通信線路故障，避免網絡通信癱瘓；

9.防止敏感信息在廣域網傳輸過程中，被非法竊取和篡改；

10.防止黑客利用已知的系統漏洞，對系統進行攻擊。

（二）具體來講，即要做好以下工作

1.本地局域網與外網及廣域網邊界處統一部署防火墻；

2.在運行關鍵業務的主機上配置主機安全防護系統；

3.在本地局域網中部署網絡入侵檢測系統，與防火墻系統建立聯動關系；

4.在本地局域網中部署集中安全管理中心、主機穩定性監控系統、主機性能監控系統、網絡監控系統和網絡密碼機；

5.在本地局域網中部署網絡防病毒系統；

6.在業務數據庫服務器上部署數據庫運行監控系統；

7.使用漏洞掃描系統定期掃描服務器；

8.及時升級軟件和執行補丁程序；

9.建立可靠的數據備份恢復方案。

隨著科學技術及網絡的高速發展，人們對信息的高度依賴，網絡信息安全愈發重要。只有不斷根據系統管理要求，及時調整安全策略，建立安全的信息網絡，才能確保信息安全。

參考文獻：

[1][美]Marc Farley.網絡安全與數據完整性指南.李明之，譯.北京：機械工業出版社，1998.

[2][美]拉斯.克蘭德.挑戰黑客：網絡安全的最終解決方案.陳永劍，譯.北京：電子工業出版社，2000.

|編輯 薛直艷