信息時代的網絡信息安全問題

□文/崔 柏 孫毓川

（河北聯合大學 河北·唐山）

一、影響及威脅網絡信息安全的主要因素

（一）網絡面臨的安全威脅。隨著互聯網的普及，計算機和網絡正被廣泛應用于社會的各個領域，基于先進的計算機、電子、網絡等技術建立起來的信息系統正在改變著人們的生活、工作方式。如今，信息已經逐步上升為推動經濟和社會發展的關鍵因素。信息跨越了時空的界限，給人們的生活、工作都帶來了無限好處。在我們享受信息系統帶來的方便的同時，必須正視資源共享帶來的安全和威脅。據美國FBI 統計，每年因信息和網絡安全問題所造成的損失高達75 億美元，而且還有上升的趨勢。在我國的信息技術和網絡信息安全技術與國外相比還存在著較大的差距，大量的硬件，軟件基礎設施都是依靠從國外引進。據統計，目前我國的計算機使用的操作系統幾乎全是美國微軟公司的Windows 系統，并且Windows 程序能夠自動搜集有關用戶的信息，即使用戶已經指明不要這樣做，注冊程序還是會在用戶不知情的情況下將這些信息發送給微軟，這些無疑給我國的用戶安全造成巨大威脅。

（二）網絡安全的大敵——黑客。“黑客”一詞來源于英語hack 意為“惡作劇”，今天被人們引用到計算機領域，意指那些未經許可擅自闖入別人計算機系統的人。

1、黑客攻擊的方式。（1）外部攻擊，是指外部黑客通過各種手段，從該子網以外的地方向該子網或者該子網內的系統發動攻擊。外部攻擊的時間一般發生在目標系統當地時間的晚上或者凌晨時分，外部攻擊發起者一般不會用自己的機器直接發動攻擊，而是通過跳板的方式，對目標進行迂回攻擊，以迷惑系統管理員，防止暴露真實身份；（2）內部攻擊，是指本單位的內部人員，通過所在的局域同，向本單位的其他系統發動攻擊，在本機上進行非法越權訪問也是本地攻擊。本地攻擊不排除使用跳板的可能；（3）偽外部攻擊，是指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，攻擊過程從外部遠程發起，造成外部入侵的假象，從而使追查者以為攻擊者是來自外單位。

2、黑客攻擊的主要類型。主要有：（1）竊聽，主要通過檢測從連線上發射出來的電磁輻射來收集所需要的信號；（2）口令陷阱，是指設計一個代碼模塊（運行后和登錄屏幕一樣）。使用戶看到的是兩個登錄屏幕，第一次登錄顯示失敗后，用戶被要求輸入用戶名和口令。而實際上第一次登錄并未失敗，代碼設計者只是將登錄的數據寫入一個數據文件以便今后使用，從而非法進入該系統；（3）拒絕服務，是指臨時降低系統性能，系統崩潰而需要人工重新啟動，或因數據永久性的丟失而導致較大范圍的系統崩漬；（4）非法訪問，是指了解到某個機構的賬戶，該機構的網絡又缺少安全防范措施，侵入者可通過遠程撥號訪問該機構的網絡，從而破壞該機構的網絡系統；（5）篡改信息，是指數據傳輸的內容被改變而用戶未發覺，并導致一種未授權后果；（6）特洛伊木馬，是指把黑客設計的程序偽裝成系統上已存在的某一程序，而該系統用戶并不知情，當運行該程序時，黑客程序同時被啟動運行，從而達到毀壞數據，破壞系統的目的。

二、網絡信息安全性的目標及要求

（一）網絡信息安全性目標。1、保密性，是指不向未授權用戶泄露信息和資源；2、完整性，是指保證信息和資源不被非授權的用戶修改或利用；3、可用性，是指保證信息和資源不拒絕授權用戶的訪問。

（二）網絡信息安全性要求。1、安全策略，是指有一種由系統實施的、明確的、定義好的安全策略；2、安全級別，是指為表示信息的不同敏感程度，按保密程度的不同對信息進行層次劃分；3、安全標識，是指用于安全可靠地識別每個主體。主體（通常為用戶）必須在得到身份驗證之后才能訪問客體；4、安全標記，是指每個客體（通常為文件）必須有一個安全標記，這個標記顯示客體的安全級別并記錄哪些主體可以對特定的客體進行訪問；5、安全機制，是指計算機系統必須有一系列實施網絡安全的機制，并且能夠評價這些安全機制的有效性；6、安全管理，是指主要是指安全服務管理和安全機制的管理。

三、網絡信息安全防范措施

（一）網絡層的安全管理。用戶應該制定網絡安全規范，明確各級部門對網絡使用的范圍與權限，保證經授權許可的信息才能在客戶機和服務器之間通信。

1、訪問控制。訪問控制是在向鑒別機制提供的信息基礎上，判斷某一主體對特定網絡資源是否能訪問。

2、密碼保護。設置密碼是最常用的網絡安全手段，而密碼的獲取是黑客們最喜歡做的事情。獲取密碼的方法有：字符窮舉法、字典窮舉法、密碼文件破譯法、特洛伊木馬法等。

3、地址轉換。使用地址轉換技術，讓IP 數據包的源地址和目的地址以及CP或UDP 的端口號在進出內部網時發生改變，這樣可以屏蔽網絡內部細節，防止外部黑客利用IP 探測技術發現內部網絡結構和服務器真實地址。

4、安裝防火墻。防火端技術是近年來維護網絡安全的較重要的手段，他是一個位于內聯網與因特同之間的計算機或網絡設備中的一個功能模塊，是按照一定的安全策略建立起來的硬件和軟件的有機組成體，通過網絡拓撲結構和服務類型上的隔離來加強網絡安全的保護。

5、安裝入侵檢測系統。傳統的防火墻技術對于來自網絡內部的攻擊無能為力（而據調查50/100 的攻擊來自于內部），對于病毒的入侵也束手無策，在此基礎上，出現入侵檢測系統（簡稱IDS），它彌補了防火墻的不足。IDS 從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象，為制定網絡的安全策略提供依據。

（二）系統的安全管理。是指操作系統和應用系統的安全管理問題。1、使用安全性較高的網絡操作系統。“Linux 已被證明是高性能、穩定可靠的操作系統，有著空前強大的網絡功能。除進行必要的安全配置外，還應配備安全掃描系統，對操作系統進行安全掃描，并有針對性地對網絡設備重新配置或升級；2、安裝所有的操作系統和服務器的補丁程序，隨時與銷售商保持聯系，以取得最新的補丁程序；3、更新操作系統和與網絡相關的軟件，在計算機桌面上，刪除未與局域網相連的用戶，檢查與局域網相連的用戶的網絡適配器、網卡、協議，除上網使用的適配器外，其他的協議都要刪除；4、開發我國自己的操作系統及軟件產品。要做到網絡信息安全，更重要的一點是要擺脫國外產品的限制，努力開發自己的操作系統及應用軟件。

（三）注重用戶的安全管理。1、提高安全意識。不隨便運行不太了解的人給你的程序；不隨意透露個人信息；不隨意運行黑客程序。2、實施單一的登錄機制。實行一人一個賬號一個口令的管理模式。可采用ATM 和PIN 密鑰管理、數據加密、數字簽名等安全機制，最大限度地保證用戶和口令等信息的安全。

［I］彭珺，高珺.計算機網絡信息安全及防護策略研究［J］.計算機與數字工程，2011.1.

［2］袁宏昊.淺談計算機網絡安全技術的應用［J］.科技咨訊，2009.14.

［3］張愛華.試論我國網絡信息安全的現狀與對策［J］.江西社會科學，2006.9.