網絡信息安全的隱患與防范

金學軍

（大連91550部隊94分隊，遼寧 大連 116023）

1 前言

隨著Internet技術和信息化建設的迅速發展，計算機網絡在我國飛速發展，已經成為各級政府、企業、院校、部隊等單位對內管理和對外交流必不可少的平臺。隨著國家經濟的迅猛發展，網絡應用的范圍越來越擴大，但同時網絡蠕蟲的快速傳播、網絡的數據竊賊、針對系統漏洞的網絡攻擊、垃圾信息的泛濫以及黑客的攻擊等也越來越猖獗，造成用戶網速變慢、信息丟失以及網絡癱瘓等嚴重后果，對各單位內部網絡安全構成巨大威脅。所以研究和構建一個完善的網絡信息安全防范體系勢在必行。

2 網絡信息安全存在的普遍問題

2.1 計算機網絡信息安全技術問題

2.1.1 操作系統自身的漏洞

網絡系統的安全依賴于各主機所使用操作系統的安全。目前我國各網絡服務器常用的操作系統 Windows、Unix、Linux等都符合 C2 級安全級別，但也存在如Windows的IE漏洞、IIS漏洞等問題，許多病毒正是利用操作系統的漏洞進行傳染。如果對這些漏洞不采取相應的措施，就會使操作系統完全暴露給入侵者，對網絡安全構成威脅。

2.1.2 缺乏自主的計算機網絡軟、硬件核心技術

我國的信息化建設過程中缺乏自主的核心技術支撐，主要軟、硬件，如CPU芯片、操作系統和數據庫、網關軟件等大多依賴進口，極易留下嵌入式病毒、隱性通道和可恢復密鑰的密碼等隱患，這使計算機網絡的安全性能大大降低，網絡處于被竊聽、干擾、監視等多種安全威脅中，網絡安全極其脆弱。

2.1.3 安全防護體系的缺陷

2.1.3.1 網絡自身的TCP/IP協議缺乏相應的安全措施，在共享和開放的機制下其安全存在先天不足，在大規模攻擊面前幾乎無能為力。

2.1.3.2 大多數網絡防護體系中缺少硬件級防火墻措施，沒有對內部網和外部網進行有效的隔離。

2.1.4 計算機病毒的危害

目前針對計算機系統的網絡缺陷、漏洞的各式各樣病毒的入侵可導致計算機系統的癱瘓、程序和數據的嚴重破壞，使網絡的效率和作用大大降低，許多功能無法使用。

2.1.5 網絡中傳輸的安全可靠性低

個人隱私及涉密信息存儲在網絡內，很容易被搜集而造成泄密。這些涉密資料在傳輸過程中，在任何中介節點均可能被讀取或惡意修改。

2.1.6 非授權訪問

對網絡設備及信息資源進行非正常使用或越權使用，例如：使用下載的黑客工具和木馬程序來攻擊網絡服務器、路由器、個人主機等設備；盜用別人的地址上網、蓄意攻擊辦公電腦、非法獲取訪問權限、竊取機密數據和文件、篡改網頁內容等。

2.1.7 軟件程序編寫得不嚴謹

目前流行的Web服務其后臺程序一般為asp、jsp等腳本程序，很多程序員只考慮程序運行穩定而沒有考慮安全因素，這樣就無形中留下了漏洞，很多黑客可以利用對腳本程序的熟悉，通過輸入特殊的字符對他人進行攻擊，以獲取到他所需要的資料文件，嚴重時甚至可以讓服務器執行系統指令而進行破壞行為。

2.2 計算機網絡安全管理問題

影響網絡安全的因素中，人為因素危害較大，主要有以下幾方面：

2.2.1 人為失誤造成

操作員安全配置不當、用戶安全意識不強、口令選擇不慎、自己的帳號隨意轉借他人或與別人共享等一些無意的行為都會對網絡安全帶來威脅。

2.2.2 人員管理的問題

主要是內部工作人員的泄密，一是無知導致的泄密，對計算機系統沒有采取任何安全措施而泄露秘密信息；二是故意泄密，用信息系統的秘密換取金錢利益；三是操作失誤而造成的系統故障。因此內部工作人員的安全問題更應引起重視。

2.2.3 制度管理

網絡安全管理意識、規章制度、人員分工、督促檢查等管理制度的缺乏；管理者專業安全意識不強；專業技術人員匱乏、隊伍建設滯后等問題使得網絡系統安全難以保障。

3 網絡信息的安全防范措施

針對計算機網絡存在的安全問題，其所采取的措施也主要是技術和管理方面：

3.1 技術防范

3.1.1 操作系統

針對目前主流操作系統存在的漏洞，采取及時查漏補漏、實時監控以及正確的安全設置等策略，可在一定程度上防止系統受到非法訪問、黑客攻擊和病毒破壞。

3.1.2 防火墻技術

網絡防火墻技術是架在內部網絡與外部網絡之間的第一道安全屏障，是一種用來加強網絡之間訪問控制、防止外部網絡用戶非法進人內部網絡、保護內部網絡操作環境的特殊網絡互聯設備。它通過預定義的安全策略，使用分組過濾技術、應用層網關技術和代理服務技術對內外網通信強制實施訪問控制，監視網絡運行狀態。它還可以通過檢查服務類型、地址、數據甚至與數據流相關的用戶，來決定是否將連接傳送到其他網絡、或者直接丟棄。

3.1.3 備份和鏡像技術

通過備份技術對需要保護的數據制作備份，即使失去原件還能使用數據備份；而采用鏡像技術可以保證其中一個設備出現故障，另一個仍可以繼續工作。用備份和鏡像技術可以提高數據的完整性。

3.1.4 加密技術

對網絡數據傳輸、在線電子商務等操作采用對稱密鑰加密和公開密鑰加密等數據加密技術。文件口令和控制信息的加密策略也可以保證信息機密性。

3.1.5 訪問控制策略

訪問控制的主要任務是保證網絡資源不被非法使用和訪問，它是保證網絡安全最重要的核心策略之一。

3.1.6 入侵檢測技術

檢測計算機網絡中違反安全策略行為的技術，以保證計算機系統的安全設計與配置能夠及時發現系統中的異常現象。

3.2 安全管理

安全管理是安全防范體系能夠正常運行的保障，它能使各種安全技術發揮出最大功效，使安全策略得以實現。

3.2.1 加大計算機核心軟硬件和網絡安全產品的自主研發能力，以保障在技術更新飛速發展的網絡世界的信息安全。

3.2.2 強化計算機管理，建立分層管理和多級安全層次和級別；建立入網訪問控制，將網絡安全系統分為不同的級別；建立檔案信息加密制度，防止數據非法泄漏；建立網絡的權限控制模塊，對用戶操作權限分級；對網絡服務器設定鎖定控制、登錄時間限制、防火墻安裝等，從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網絡中不同層次的各種實際需求。

3.2.3 建立嚴格規范的管理制度和網絡使用規范。

3.2.4 重視網絡信息安全人才的培養

4 結束語

隨著網絡技術的不斷成熟，網絡環境也越來越復雜多變并且也越來越脆弱，無論是在局域網還是在廣域網中，都存在著自然的和人為的、技術和管理等諸多因素的潛在威脅。信息安全保障能力是國家經濟發展和安全的重要組成部分，提高信息安全保障能力已經成為現代信息社會的當務之急。因此，必須針對各種不同的威脅和系統的脆弱性，全方位系統化地制定信息系統的安全措施，也就是建立一套完整的網絡安全體系來保障網絡安全可靠地運行，這樣才能確保信息系統的安全性。

[1]陳應明.計算機網絡與應用[M],北京:冶金工業出版社.2005

[2]戴英俠.計算機網絡安全[M],北京:清華大學出版社.2005

[3]黃元飛.信息安全與加密解密核心技術[M],上海浦東電子出版社.2001

[4]盛思源.網絡安全技術的研究和發展,機械工業出版社.2007

[5]袁津生.郭敏哲 計算機網絡與安全實用編程,北京人民郵電大學出版社.2005