吳春香

(南京曉莊學院 數(shù)學與信息技術學院，江蘇 南京 211171)

淺析網(wǎng)絡信息安全技術及其防范措施*

吳春香

(南京曉莊學院 數(shù)學與信息技術學院，江蘇 南京 211171)

當前，計算機系統(tǒng)在國家安全、政治、經(jīng)濟及文化等各方面起到的作用越來越重要，它已成為國家、企業(yè)及公民的寶貴財富，同時也成為一些別有用心者的非法攻擊對象.所以，計算機系統(tǒng)的安全越來越受到人們的重視.計算機單機系統(tǒng)和網(wǎng)絡系統(tǒng)均可能遭到各種各樣的攻擊，如何保障計算機系統(tǒng)的安全，是現(xiàn)在必須面對和研究的課題.

網(wǎng)絡信息;安全技術;預防措施

隨著統(tǒng)計信息化建設的逐步深入，越來越多的統(tǒng)計工作由傳統(tǒng)模式轉向網(wǎng)絡模式，極大地提高了工作效率，統(tǒng)計工作對網(wǎng)絡系統(tǒng)的依賴也日益增強，但應該注意的是網(wǎng)絡的另外一面，由于系統(tǒng)的漏洞和網(wǎng)絡的開放性，病毒侵襲、網(wǎng)絡欺詐、信息污染、黑客攻擊等問題也對統(tǒng)計信息安全造成嚴重威脅，信息安全也勢必成為統(tǒng)計信息化建設的一個重要內(nèi)容［1］.

1 網(wǎng)絡信息安全概述

“信息安全”最初是指信息的保密性，信息安全包括的范圍很大，涉及國家軍事政治信息、企業(yè)商業(yè)機密信息以及公民的個人信息等.信息可以有多種存在方式，可以寫在紙上，儲存在電子文檔里，也可以用郵遞或電子手段發(fā)送，可以在電影上放映或者說話中提到，無論信息以何種方式表示、共享和存儲，都應當適當?shù)乇Ｗo起來.進入信息時代，大量信息主要被儲存在機器里，信息安全主要是設在專用機房內(nèi)的主機上重要數(shù)據(jù)的安全，這時信息安全主要是指信息的保密性、完整性和可用性.

信息和數(shù)據(jù)安全的范圍要比網(wǎng)絡安全和計算機安全更為廣泛.它包括了信息系統(tǒng)中從信息的產(chǎn)生直至信息的應用這一全部過程.我們?nèi)粘Ｉ钪薪佑|的數(shù)據(jù)比比皆是，考試的分數(shù)、銀行的存款、人員的年齡、商品的庫存量等等，按照某種需要或一定的規(guī)則進行收集，經(jīng)過不同的分類、運算和加工整理，形成對管理決策有指導價值和傾向性說明的信息.

信息系統(tǒng)的安全問題直接影響到社會經(jīng)濟、政治、軍事、個人生活的各個領域，甚至影響到國家安全.不解決信息安全問題，不加強信息系統(tǒng)的安全保障，信息化不可能得到持續(xù)健康的發(fā)展.如何對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關心的話題.信息安全研究涉及的范圍很廣，包括密碼技術、信息設施安全、信息管理安全、安全防范、安全審計與安全評估、計算機病毒攻擊與防范等.隨著計算機技術的發(fā)展，信息安全的含義也將不斷深入、不斷發(fā)展變化.

2 網(wǎng)絡信息面臨的威脅和攻擊

網(wǎng)絡信息面臨的威脅和攻擊，來自于很多方面，大體上可分為以下幾種.

2.1 自然威脅

自然威脅指各種自然災害、惡劣的環(huán)境因素、電磁場的干擾或電磁泄漏、網(wǎng)絡設備的自然老化等威脅.自然威脅往往具有不可抗拒性.

2.2 偶然無意構成的威脅

如硬件設備故障、突然斷電或電源波動大、檢測不到的軟件錯誤或缺陷等.偶然事故有以下幾種可能的情況.(1)軟、硬件的故障引起的安全策略失敗.(2)工作人員的誤操作，使信息遭到嚴重破壞或無意地被別人看到了機密信息.(3)自然災害，使計算機系統(tǒng)受到嚴重破壞.(4)環(huán)境因素的突然變化造成信息出錯、丟失或破壞［2］.

2.3 人為攻擊的威脅

如國外間諜竊取機密情報、內(nèi)部工作人員的非法訪問、用戶的瀆職行為以及利用計算機技術進行犯罪等.人為攻擊有以下幾種手段.(1)利用系統(tǒng)本身的脆弱性.(2)濫用特殊身份.(3)不合法地使用.(4)修改或非法復制系統(tǒng)中的數(shù)據(jù).

對信息進行人為的故意破壞或竊取稱為攻擊.根據(jù)攻擊的方法不同，可分為被動攻擊和主動攻擊兩類.

a.被動攻擊是指一切竊密的攻擊.它是在不干擾系統(tǒng)正常工作的情況下偵聽、截獲、竊取系統(tǒng)信息，以便破譯分析;觀察、控制信息的內(nèi)容來獲得目標系統(tǒng)的位置、身份;研究機密信息的長度和傳遞的頻度獲得信息的性質.被動攻擊不容易被用戶發(fā)現(xiàn)，由此可以看出被動攻擊更具有持續(xù)性和危害性.

b.主動攻擊是指篡改信息的攻擊.它不僅能截獲，而且還威脅到信息的完整性和可靠性.它是以各種各樣的方式，進行修改、添加、刪除、偽造和重排信息內(nèi)容，從而引起網(wǎng)絡信息的丟失.

2.4 軟件漏洞

(1)陷門.陷門是在程序開發(fā)時插入的一小段程序，目的可能是測試某個模塊，或是為了將來的更改和升級程序，也可能是為了將來發(fā)生故障后，為程序員提供方便.通常應在程序開發(fā)后期就去掉這些陷門，但是由于各種原因，陷門可能被保留，一旦被利用將會帶來嚴重的后果.

(2)數(shù)據(jù)庫的安全漏洞.將原始數(shù)據(jù)以明文形式存儲于數(shù)據(jù)庫中是不夠安全的.高明的入侵者可以從系統(tǒng)內(nèi)存中導出所需的信息，或者采用某種方式進入系統(tǒng)，從系統(tǒng)的后備存儲器上竊取或篡改數(shù)據(jù).因此，必要時應該對存儲數(shù)據(jù)進行加密保護.考慮到數(shù)據(jù)一般具有較長的生命周期，數(shù)據(jù)庫的加密應該采用獨特的加密方法和密鑰管理方法.因此，必要時應該對存儲的數(shù)據(jù)進行加密保護.

(3)TCP/IP的安全漏洞

TCP/IP在設計初期并沒有考慮安全問題.現(xiàn)在，用戶和網(wǎng)絡管理員沒有足夠的精力專注于網(wǎng)絡安全控制，操作系統(tǒng)和應用程序越來越復雜，開發(fā)人員不可能測試出所有的安全漏洞，因而連接到網(wǎng)絡的計算機系統(tǒng)受到外界的惡意攻擊和竊取的風險越來越大.

2.5 結構隱患

結構隱患一般指網(wǎng)絡拓撲結構的隱患和網(wǎng)絡硬件的安全缺陷.網(wǎng)絡的拓撲結構本身有可能給網(wǎng)絡的安全帶來問題.作為網(wǎng)絡信息系統(tǒng)的載體，網(wǎng)絡硬件的安全隱患也是網(wǎng)絡結構隱患的重要方面.

基于各國的不同國情，網(wǎng)絡信息系統(tǒng)存在的安全問題也不盡相同.對于我國而言，由于我國還是一個發(fā)展中國家，網(wǎng)絡信息安全系統(tǒng)除了具有上述普遍存在的安全缺陷之外，還存在因軟、硬件核心技術掌握在別人手中而造成的技術被動等方面的安全隱患［3］.

3 網(wǎng)絡信息安全防護技術

3.1 防火墻技術

實現(xiàn)防火墻的新產(chǎn)品主要有兩大類:一類是網(wǎng)絡級防火墻，另一類是應用級防火墻.目前的一種趨勢是把這兩種技術結合起來.為了實現(xiàn)防火墻的設計目標，人們采取了不同的技術方案［4］.從思路來看，無非是發(fā)現(xiàn)非授權訪問的特點而拒之，隱蔽內(nèi)部網(wǎng)的參數(shù)而護之.歸納起來，主要有包過濾技術、狀態(tài)檢查技術、代理技術和地址翻譯技術等.

(1)包過濾技術

基于包過濾技術的防火墻叫做包過濾路用器，它含有一個包檢查模塊，依據(jù)一套規(guī)則對收到的IP包進行處理，決定是轉發(fā)還是丟棄.包過濾被設置為兩個方向(從外網(wǎng)進入內(nèi)網(wǎng)或者相反)，對過往的數(shù)據(jù)包進行過濾，因此可以控制站點與站點、站點與網(wǎng)絡、網(wǎng)絡與網(wǎng)絡之間的互訪，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容.

(2)狀態(tài)檢查技術

包過濾防火墻在網(wǎng)絡層攔截所有的數(shù)據(jù)包，并根據(jù)各個數(shù)據(jù)包的信息實行過濾操作，不考慮上層的上下文內(nèi)容.大多數(shù)運行在TCP協(xié)議上的標準應用程序都遵循客戶機/服務器的工作模式，當本地主機使用TCP協(xié)議的應用程序與遠端主機會話時，將被動態(tài)分配一個高端口(大于1024)連接，簡單包過濾技術一般允許基于TCP的通信在高端口通過，為未授權用戶非法使用這些高端口提供了條件.

(3)代理技術

作為訪問者與被訪問者之間的中介，代理起到隔離雙方的作用.代理服務器在通信中扮演一個消息傳遞者的角色，無論對外部網(wǎng)還是對內(nèi)部網(wǎng)來說，它們“見”到的都只是代理服務器.

像包過濾路由器那樣，僅僅依賴于數(shù)據(jù)包的信息(例如源與目標的IP地址)就遠遠不夠了，代理必須綜合考慮與應用相關的狀態(tài)及部分與傳輸有關的信息，并根據(jù)這些信息做出是否為雙方傳遞消息的決定.

3.2 數(shù)字簽名

通信和數(shù)據(jù)系統(tǒng)的安全性常常取決于能否正確識別通信用戶或終端的身份.人們在日常交往中為了證明信息的真?zhèn)瓮捎煤灻姆椒?在互聯(lián)網(wǎng)上，常用數(shù)字簽名的方法解決鑒別數(shù)字信息真?zhèn)蔚膯栴}.數(shù)字簽名的實質是數(shù)字加密技術，現(xiàn)在一般都采用公開密鑰加密技術進行數(shù)字簽名［5］.在數(shù)據(jù)發(fā)送方用私鑰進行加密，實質上是簽名，然后將簽了名的密文傳送出去.接收方對接收到的密文用公鑰進行解密獲得報文.需要注意的是，數(shù)字簽名并沒有解決信息加密，因為任何人都可以得到發(fā)送方的公鑰，任何人都可以獲得這個報文，所以還需要與密鑰相配合，進行信息的加密.

3.3 報文鑒別

對付被動攻擊可以采用加密的方式，對付主動攻擊則需要采用報文鑒別技術.報文鑒別技術主要是解決信息在傳輸過程中被截獲并篡改的問題，通過報文鑒別可以判斷出報文的完整性.

報文鑒別過程是:發(fā)送方在發(fā)送報文前先將報文進行哈希函數(shù)運算，得到一個定長的報文摘要(MD)，然后對MD進行加密，追加到報文后面發(fā)送出去.接收方對接收到的MD進行解密，并且對報文用同樣的哈希函數(shù)進行運算，用得到的MD與解密的MD進行比較，如果相同，證明報文在傳輸過程中沒有被篡改.

3.4 入侵檢測技術

入侵檢測(Intrusion Detection)技術與防火墻等其他網(wǎng)絡安全策略相比，是一種比較新的網(wǎng)絡安全策略.入侵檢測系統(tǒng)通過對網(wǎng)絡中的數(shù)據(jù)或主機的日志等信息進行提取、分析，發(fā)現(xiàn)入侵和攻擊行為，并對入侵或攻擊做出響應.

入侵檢測系統(tǒng)在識別人侵和攻擊時，具有一定的智能，可以對入侵特征進行提取和匯總，在檢測到入侵后能夠主動采取響應措施，并對響應進行合并與融合.入侵檢測技術是一種主動防御技術.

3.5 取證技術

計算機取證專家Judd Robbins這樣定義:計算機取證(forensics)技術就是將計算機調(diào)查和分析技術應用于對潛在的、有法律效力的證據(jù)的確定與獲取.同時針對黑客的入侵，保障網(wǎng)絡的安全.

在信息時代，人們每天面對大量的計算機犯罪案例.這些案例的取證工作需要提取存在于計算機系統(tǒng)中的數(shù)據(jù)，常常需要從已經(jīng)被刪除、加密或破壞的文件中重新獲得信息.電子證據(jù)本身和取證過程的許多有別于傳統(tǒng)物證和取證的特點，對司法和計算機科學提出了新的挑戰(zhàn).

證據(jù)可以在計算機犯罪或誤用這一大范圍中收集，包括竊取商業(yè)秘密、竊取或破壞知識產(chǎn)權和欺詐行為等.

計算機專家可以提供一系列的方法來挖掘存儲于計算機系統(tǒng)中的數(shù)據(jù)，或恢復已刪除的、被加密的或被破壞的文件信息.這些信息在收集證詞、宣誓作證或實際訴訟過程中都可能有用.

計算機取證包括對以磁介質編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔，即對電子證據(jù)的收集、保存、分析和陳述.

4 結論

網(wǎng)絡技術應該發(fā)揮監(jiān)管方面的積極作用.要在網(wǎng)絡接入時，要建立一套完整的網(wǎng)絡監(jiān)管體系.網(wǎng)絡安全技術的發(fā)展只能走技術集成這條路.由于網(wǎng)絡安全不僅僅是一個純技術問題，單憑技術因素確保網(wǎng)絡安全是不可能的.網(wǎng)絡安全問題是涉及法律、管理和技術等多方因素的復雜系統(tǒng)問題.因此網(wǎng)絡安全體系是由網(wǎng)絡安全法律體系、網(wǎng)絡安全管理體系和網(wǎng)絡安全技術體系三部分組成，它們相輔相成.只有協(xié)調(diào)好三者的關系，才能有效地保護網(wǎng)絡的安全.

［1］張玉珍.大學計算機應用基礎［M］.北京:人民郵電出版社，2009.09:102 ～103.

［2］田艷，高集榮.現(xiàn)代統(tǒng)計信息技術［M］.北京:中國統(tǒng)計出版社，2008.12:98 ～100.

［3］李軍.計算機網(wǎng)絡信息安全技術探討［J］.價值工程，2011，(8):67 ～68.

［4］尚榮斌.電子商務網(wǎng)絡信息安全技術應用淺析［J］.科技信息，2011，(4):112.

［5］左享拔.網(wǎng)絡信息安全技術淺析［J］.景德鎮(zhèn)高專學報，2011，(6):120.

TP3

A

1006－5342(2011)12－0095－02

2011－10－23