基于網(wǎng)絡平臺的信息系統(tǒng)安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學電子技術(shù)學院，河南 鄭州 450004

基于網(wǎng)絡平臺的信息系統(tǒng)安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學電子技術(shù)學院，河南 鄭州 450004

隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展,各類信息系統(tǒng)對網(wǎng)絡這一平臺的依賴越來越大。由此而產(chǎn)生的信息系統(tǒng)安全問題也日益突出，本文在介紹了有關(guān)網(wǎng)絡信息系統(tǒng)安全知識的基礎(chǔ)上，對常見的在網(wǎng)絡應用中信息系統(tǒng)易出現(xiàn)的各類安全問題進行闡述和探討，并提出針對這些問題的對策和建議。

網(wǎng)絡平臺；信息系統(tǒng)安全；信息安全

引言

隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展，計算機網(wǎng)絡與運行在其上的各類信息系統(tǒng)已經(jīng)成為社會經(jīng)濟發(fā)展的基礎(chǔ)平臺與保證。網(wǎng)絡系統(tǒng)中流轉(zhuǎn)有很多都是敏感或機密信息，因此必定會吸引來自各方面的各種人為攻擊。通常利用計算機網(wǎng)絡犯罪很難留下犯罪證據(jù)，這也在一定程度上刺激了計算機高技術(shù)犯罪案件的發(fā)生。另外加之我們很多管理者對網(wǎng)絡系統(tǒng)運行的環(huán)境狀況缺乏詳細的了解,使得我們運行在網(wǎng)絡平臺下的各類信息系統(tǒng)面臨著很大的安全威脅，這已發(fā)展成為嚴重的社會問題之一。

1 網(wǎng)絡信息系統(tǒng)安全分析

網(wǎng)絡信息系統(tǒng)安全已引起世界各國的高度重視。目前，學術(shù)界中對于網(wǎng)絡信息系統(tǒng)安全的內(nèi)容劃分比較復雜，概念范圍比較廣，對網(wǎng)絡信息安全威脅也還沒有統(tǒng)一的分類，但是在總體上大致可分為兩大類。

1.1 自然威脅。即因水、火、雷電、地震等自然災害和信息系統(tǒng)本身對環(huán)境的溫度、濕度、空氣質(zhì)量、靜電和電磁干擾等物理條件的改變所造成的各種各樣的設(shè)備故障及安全隱患等。因其具有突發(fā)性、自然性、非針對性和不抗拒性的特點，這就要求我們網(wǎng)絡信息系統(tǒng)的管理者應常常保持警惕之心，小心防備，把系統(tǒng)運行對環(huán)境的各項要求牢記于心。

1.2 人為威脅。這類威脅又分為無意識和有意識兩種。無意識威脅是指由于操作者的操作失誤造成的信息泄露或破壞。有意識威脅是指某些組織或個人（如國際黑客、金融犯罪分子等），出于各自的目的或利益通過國際互聯(lián)網(wǎng)直接破壞網(wǎng)絡信息系統(tǒng)設(shè)備、篡改重要的數(shù)據(jù)信息、制造及散播計算機病毒或改變系統(tǒng)功能與權(quán)限等。有意識威脅又包含被動威脅和主動威脅兩種。前者只對信息進行監(jiān)聽，不修改數(shù)據(jù)；而后者則會對數(shù)據(jù)信息進行惡意篡改。因此后者才是網(wǎng)絡信息安全防范和考慮的重點，也是網(wǎng)絡信息系統(tǒng)安全的最大威脅因素之一。

2 常見的網(wǎng)絡信息系統(tǒng)安全威脅

從網(wǎng)絡信息系統(tǒng)安全事件來看，網(wǎng)絡攻擊主要是利用計算機網(wǎng)絡操作系統(tǒng)的漏洞、軟硬件的設(shè)計缺陷以及對網(wǎng)絡信息系統(tǒng)安全認識不足導致的人為操作失誤等進行的一系列破壞活動。常見的網(wǎng)絡信息系統(tǒng)安全威脅主要集中在以下幾個方面。

2.1 非授權(quán)訪問

非授權(quán)訪問指預先并沒有獲得信息系統(tǒng)給予的相應授權(quán)，就訪問該系統(tǒng)的資源。亦即：設(shè)法避開信息系統(tǒng)的訪問控制權(quán)限，對信息系統(tǒng)中的各類信息資源和數(shù)據(jù)文件進行非法使用，或擅自擴大權(quán)限，越權(quán)訪問數(shù)據(jù)信息。其形式主要有以下幾種：假冒、身份攻擊、非法用戶進入網(wǎng)絡信息系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式操作等。

2.2 信息泄露

信息泄露指有價值的數(shù)據(jù)資料或敏感信息在人為的有意或無意中被泄露出去或丟失，它包括數(shù)據(jù)信息在網(wǎng)絡傳輸過程中的丟失或泄露和在各種存儲介質(zhì)中的丟失或泄露。目前多數(shù)網(wǎng)絡信息系統(tǒng)仍以安全性較差的簡單加密方式或明文傳輸來服務，導致該網(wǎng)絡系統(tǒng)的使用者賬號、密碼、郵件等資料，全都可以使用監(jiān)聽方式取得。黑客利用各種方式截獲機密信息并進行分析，進而得到有價值的信息。

2.3 拒絕服務攻擊

拒絕服務攻擊指即攻擊者想盡一切辦法讓目標信息系統(tǒng)停止提供正常服務，只要能夠?qū)δ繕诵畔⑾到y(tǒng)造成麻煩，使目標信息系統(tǒng)服務被暫停甚至主機死機，都屬于拒絕服務攻擊，是黑客常用的攻擊手段之一。攻擊者進行拒絕服務攻擊，實際上讓目標系統(tǒng)的服務器出現(xiàn)兩種效果：一是迫使服務器的緩沖區(qū)滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接，使其不能進入網(wǎng)絡服務系統(tǒng)，得不到相應的服務。如“報文洪水攻擊”、“電子郵件炸彈”就是典型的例子。

2.4 惡意代碼

惡意代碼（Unwanted Code）是指沒有作用卻會帶來危險的代碼，主要包括病毒、蠕蟲、間諜軟件、木馬及其他后門。目前，計算機病毒是威脅網(wǎng)絡信息安全的禍首，成為很多黑客入侵的先導，使網(wǎng)絡系統(tǒng)癱瘓，重要數(shù)據(jù)無法訪問甚至丟失。惡意代碼（Malicious code）或者叫惡意軟件Malware（Malicious Software）具有如下共同特征:(1)惡意的目的;(2)本身是程序;(3)通過執(zhí)行發(fā)生作用。

3 防范網(wǎng)絡信息系統(tǒng)安全威脅的常用技術(shù)

3.1 防火墻技術(shù)

防火墻（FireWall）技術(shù)成為近年來新興的保護計算機網(wǎng)絡系統(tǒng)信息安全的技術(shù)性措施之一。起初，防火墻就是用來阻擋外部不安全因素對內(nèi)部網(wǎng)絡信息系統(tǒng)影響的安全門戶，其目的就是防止系統(tǒng)外部網(wǎng)絡用戶的未授權(quán)訪問?，F(xiàn)在它已經(jīng)發(fā)展成為一種計算機硬件和軟件的結(jié)合的隔離控制技術(shù)，主要是在某個特定單位用戶的內(nèi)部網(wǎng)絡和外部互聯(lián)網(wǎng)絡（如Internet）之間搭設(shè)一張屏障，阻止對外部未授權(quán)用戶對內(nèi)部網(wǎng)絡信息資源的非法訪問，也可以阻止內(nèi)部網(wǎng)絡中的重要敏感或機密信息從本單位的內(nèi)部傳輸網(wǎng)絡上被非法泄露出去。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關(guān)4個部分組成。從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡級防火墻（也叫包過濾型防火墻）、應用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看信息系統(tǒng)安全級別的具體需要。

3.2 入侵檢測技術(shù)

入侵檢測技術(shù)可以被定義為對計算機和網(wǎng)絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。作為對防火墻的補充，入侵檢測通過監(jiān)視受保護的網(wǎng)絡信息系統(tǒng)的一切活動，檢測該系統(tǒng)配置的正確性和系統(tǒng)安全漏洞，對異常行為模式的統(tǒng)計與分析，及時發(fā)現(xiàn)未授權(quán)或惡意的侵入，并對入侵事件立即反應及時關(guān)閉相應服務甚至切斷內(nèi)外部網(wǎng)絡。

3.3 加密技術(shù)

在信息系統(tǒng)的網(wǎng)絡交互傳輸過程中，跨越公共網(wǎng)絡傳輸?shù)拿舾谢驒C密數(shù)據(jù)必須加密，明文傳輸極易被黑客利用監(jiān)聽或偵測工具竊取到用戶信息和密碼等，因此為保證數(shù)據(jù)的安全性，加密技術(shù)則必不可少。數(shù)據(jù)加密的基本原理是利用技術(shù)手段改變信息的排列方式或按某種規(guī)則進行代替或置換，把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密），從而使得只有合法的收發(fā)雙方才能理解信息的內(nèi)容，對傳輸?shù)男畔⑵鸨Ｃ茏饔?。常見的網(wǎng)絡傳輸采用的是通過Ipsec技術(shù)建立起加密的VPN隧道來實現(xiàn)的。

4 針對當前網(wǎng)絡信息系統(tǒng)安全威脅的對策和建議

網(wǎng)絡信息系統(tǒng)安全是我們所面臨的一個重要難題，它是一個全方位的問題集合，是一個系統(tǒng)的工程, 涉及安全體系構(gòu)建的諸多方面，從信息系統(tǒng)自身到設(shè)備采購、從安全技術(shù)到責任管理，需要技術(shù)支持、制度保護，以及對安全維護人員的管理教育等。首先要保證網(wǎng)絡信息系統(tǒng)設(shè)備的有序運行，然后才是信息系統(tǒng)的自身安全。保證網(wǎng)絡信息系統(tǒng)安全的主要技術(shù)手段包括:包過濾、應用代理、安全漏洞掃描、入侵檢測技術(shù)、防病毒系統(tǒng)、訪問控制、行為審計等。除專業(yè)技術(shù)的支持外，網(wǎng)絡信息系統(tǒng)的安全還需要法律和道德的約束以及安全管理制度來輔助支持。沒有絕對安全的信息系統(tǒng)，只有將現(xiàn)有的資源和技術(shù)合理配置，使其發(fā)揮最大功用，這才是構(gòu)建與本單位實際相符的最有效用的安全體系的關(guān)鍵。

5 結(jié)語

隨著計算機與網(wǎng)絡通信技術(shù)的飛速發(fā)展，各種網(wǎng)絡安全的威脅層出不窮，其對應的防范技術(shù)也在日新月異地發(fā)展，知彼知己，方能百戰(zhàn)不殆。任何一個網(wǎng)絡信息系統(tǒng)的安全，在很大程度上都依賴于最初設(shè)計時制定的網(wǎng)絡信息系統(tǒng)安全策略及相關(guān)管理制度規(guī)章。因為后期所使用的一切安全技術(shù)和手段，都圍繞這一策略來實施和展開，如果在安全管理策略上出了問題，相當于放開了網(wǎng)絡信息安全系統(tǒng)最大的一個口子，后果也就不堪設(shè)想了。同時，從大角度來看，網(wǎng)絡信息系統(tǒng)安全與規(guī)范和完善的管理是密不可分的。在網(wǎng)絡信息系統(tǒng)安全領(lǐng)域,技術(shù)手段和相關(guān)安全工具只是輔助手段，沒有完善的管理制度與措施的保證，再好的技術(shù)手段也沒法完全發(fā)揮其應有的作用的。

[1]甘群文,李好文.網(wǎng)絡信息安全的威脅與防范技術(shù)研究[J].計算機安全,2009.5

[2]邱寒,計算機網(wǎng)絡信息安全及對策研究[J].科技致富向?qū)?2011.29

[3]崔興全,陳紅波.計算機網(wǎng)絡信息安全管理與防護策略[J].科技風,2011.13

[4]曹天人,張穎.淺談計算機網(wǎng)絡信息安全現(xiàn)狀及防護[J].科學咨詢,2011.9

[5]崔海航.網(wǎng)絡信息安全的研究及對策[J].無線互聯(lián)科技,2011.5

[6]張吉紅.計算機網(wǎng)絡信息安全分析與管理探究[J].計算機光盤軟件與應用, 2011.14

10.3969/j.issn.1001-8972.2011.24.048

李恒武(1984-)，男，本科，研究方向：數(shù)字信息化，網(wǎng)絡安全與技術(shù)等。

高博(1983-)，男，本科，研究方向：教學管理，計算機科學與技術(shù)等。

郭義喜(1969-)，男，碩士研究生，研究方向：裝備工程，實驗室管理與建設(shè)，計算機網(wǎng)絡與信息安全等。