基于網(wǎng)絡(luò)平臺(tái)的信息系統(tǒng)安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學(xué)電子技術(shù)學(xué)院，河南 鄭州 450004

基于網(wǎng)絡(luò)平臺(tái)的信息系統(tǒng)安全問題探討

李恒武 高博 郭義喜

解放軍信息工程大學(xué)電子技術(shù)學(xué)院，河南 鄭州 450004

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,各類信息系統(tǒng)對(duì)網(wǎng)絡(luò)這一平臺(tái)的依賴越來越大。由此而產(chǎn)生的信息系統(tǒng)安全問題也日益突出，本文在介紹了有關(guān)網(wǎng)絡(luò)信息系統(tǒng)安全知識(shí)的基礎(chǔ)上，對(duì)常見的在網(wǎng)絡(luò)應(yīng)用中信息系統(tǒng)易出現(xiàn)的各類安全問題進(jìn)行闡述和探討，并提出針對(duì)這些問題的對(duì)策和建議。

網(wǎng)絡(luò)平臺(tái)；信息系統(tǒng)安全；信息安全

引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)與運(yùn)行在其上的各類信息系統(tǒng)已經(jīng)成為社會(huì)經(jīng)濟(jì)發(fā)展的基礎(chǔ)平臺(tái)與保證。網(wǎng)絡(luò)系統(tǒng)中流轉(zhuǎn)有很多都是敏感或機(jī)密信息，因此必定會(huì)吸引來自各方面的各種人為攻擊。通常利用計(jì)算機(jī)網(wǎng)絡(luò)犯罪很難留下犯罪證據(jù)，這也在一定程度上刺激了計(jì)算機(jī)高技術(shù)犯罪案件的發(fā)生。另外加之我們很多管理者對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的環(huán)境狀況缺乏詳細(xì)的了解,使得我們運(yùn)行在網(wǎng)絡(luò)平臺(tái)下的各類信息系統(tǒng)面臨著很大的安全威脅，這已發(fā)展成為嚴(yán)重的社會(huì)問題之一。

1 網(wǎng)絡(luò)信息系統(tǒng)安全分析

網(wǎng)絡(luò)信息系統(tǒng)安全已引起世界各國的高度重視。目前，學(xué)術(shù)界中對(duì)于網(wǎng)絡(luò)信息系統(tǒng)安全的內(nèi)容劃分比較復(fù)雜，概念范圍比較廣，對(duì)網(wǎng)絡(luò)信息安全威脅也還沒有統(tǒng)一的分類，但是在總體上大致可分為兩大類。

1.1 自然威脅。即因水、火、雷電、地震等自然災(zāi)害和信息系統(tǒng)本身對(duì)環(huán)境的溫度、濕度、空氣質(zhì)量、靜電和電磁干擾等物理?xiàng)l件的改變所造成的各種各樣的設(shè)備故障及安全隱患等。因其具有突發(fā)性、自然性、非針對(duì)性和不抗拒性的特點(diǎn)，這就要求我們網(wǎng)絡(luò)信息系統(tǒng)的管理者應(yīng)常常保持警惕之心，小心防備，把系統(tǒng)運(yùn)行對(duì)環(huán)境的各項(xiàng)要求牢記于心。

1.2 人為威脅。這類威脅又分為無意識(shí)和有意識(shí)兩種。無意識(shí)威脅是指由于操作者的操作失誤造成的信息泄露或破壞。有意識(shí)威脅是指某些組織或個(gè)人（如國際黑客、金融犯罪分子等），出于各自的目的或利益通過國際互聯(lián)網(wǎng)直接破壞網(wǎng)絡(luò)信息系統(tǒng)設(shè)備、篡改重要的數(shù)據(jù)信息、制造及散播計(jì)算機(jī)病毒或改變系統(tǒng)功能與權(quán)限等。有意識(shí)威脅又包含被動(dòng)威脅和主動(dòng)威脅兩種。前者只對(duì)信息進(jìn)行監(jiān)聽，不修改數(shù)據(jù)；而后者則會(huì)對(duì)數(shù)據(jù)信息進(jìn)行惡意篡改。因此后者才是網(wǎng)絡(luò)信息安全防范和考慮的重點(diǎn)，也是網(wǎng)絡(luò)信息系統(tǒng)安全的最大威脅因素之一。

2 常見的網(wǎng)絡(luò)信息系統(tǒng)安全威脅

從網(wǎng)絡(luò)信息系統(tǒng)安全事件來看，網(wǎng)絡(luò)攻擊主要是利用計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)的漏洞、軟硬件的設(shè)計(jì)缺陷以及對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全認(rèn)識(shí)不足導(dǎo)致的人為操作失誤等進(jìn)行的一系列破壞活動(dòng)。常見的網(wǎng)絡(luò)信息系統(tǒng)安全威脅主要集中在以下幾個(gè)方面。

2.1 非授權(quán)訪問

非授權(quán)訪問指預(yù)先并沒有獲得信息系統(tǒng)給予的相應(yīng)授權(quán)，就訪問該系統(tǒng)的資源。亦即：設(shè)法避開信息系統(tǒng)的訪問控制權(quán)限，對(duì)信息系統(tǒng)中的各類信息資源和數(shù)據(jù)文件進(jìn)行非法使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問數(shù)據(jù)信息。其形式主要有以下幾種：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式操作等。

2.2 信息泄露

信息泄露指有價(jià)值的數(shù)據(jù)資料或敏感信息在人為的有意或無意中被泄露出去或丟失，它包括數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸過程中的丟失或泄露和在各種存儲(chǔ)介質(zhì)中的丟失或泄露。目前多數(shù)網(wǎng)絡(luò)信息系統(tǒng)仍以安全性較差的簡單加密方式或明文傳輸來服務(wù)，導(dǎo)致該網(wǎng)絡(luò)系統(tǒng)的使用者賬號(hào)、密碼、郵件等資料，全都可以使用監(jiān)聽方式取得。黑客利用各種方式截獲機(jī)密信息并進(jìn)行分析，進(jìn)而得到有價(jià)值的信息。

2.3 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊指即攻擊者想盡一切辦法讓目標(biāo)信息系統(tǒng)停止提供正常服務(wù)，只要能夠?qū)δ繕?biāo)信息系統(tǒng)造成麻煩，使目標(biāo)信息系統(tǒng)服務(wù)被暫停甚至主機(jī)死機(jī)，都屬于拒絕服務(wù)攻擊，是黑客常用的攻擊手段之一。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓目標(biāo)系統(tǒng)的服務(wù)器出現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用IP欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接，使其不能進(jìn)入網(wǎng)絡(luò)服務(wù)系統(tǒng)，得不到相應(yīng)的服務(wù)。如“報(bào)文洪水攻擊”、“電子郵件炸彈”就是典型的例子。

2.4 惡意代碼

惡意代碼（Unwanted Code）是指沒有作用卻會(huì)帶來危險(xiǎn)的代碼，主要包括病毒、蠕蟲、間諜軟件、木馬及其他后門。目前，計(jì)算機(jī)病毒是威脅網(wǎng)絡(luò)信息安全的禍?zhǔn)祝蔀楹芏嗪诳腿肭值南葘?dǎo)，使網(wǎng)絡(luò)系統(tǒng)癱瘓，重要數(shù)據(jù)無法訪問甚至丟失。惡意代碼（Malicious code）或者叫惡意軟件Malware（Malicious Software）具有如下共同特征:(1)惡意的目的;(2)本身是程序;(3)通過執(zhí)行發(fā)生作用。

3 防范網(wǎng)絡(luò)信息系統(tǒng)安全威脅的常用技術(shù)

3.1 防火墻技術(shù)

防火墻（FireWall）技術(shù)成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)信息安全的技術(shù)性措施之一。起初，防火墻就是用來阻擋外部不安全因素對(duì)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)影響的安全門戶，其目的就是防止系統(tǒng)外部網(wǎng)絡(luò)用戶的未授權(quán)訪問。現(xiàn)在它已經(jīng)發(fā)展成為一種計(jì)算機(jī)硬件和軟件的結(jié)合的隔離控制技術(shù)，主要是在某個(gè)特定單位用戶的內(nèi)部網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)（如Internet）之間搭設(shè)一張屏障，阻止對(duì)外部未授權(quán)用戶對(duì)內(nèi)部網(wǎng)絡(luò)信息資源的非法訪問，也可以阻止內(nèi)部網(wǎng)絡(luò)中的重要敏感或機(jī)密信息從本單位的內(nèi)部傳輸網(wǎng)絡(luò)上被非法泄露出去。防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看信息系統(tǒng)安全級(jí)別的具體需要。

3.2 入侵檢測技術(shù)

入侵檢測技術(shù)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。作為對(duì)防火墻的補(bǔ)充，入侵檢測通過監(jiān)視受保護(hù)的網(wǎng)絡(luò)信息系統(tǒng)的一切活動(dòng)，檢測該系統(tǒng)配置的正確性和系統(tǒng)安全漏洞，對(duì)異常行為模式的統(tǒng)計(jì)與分析，及時(shí)發(fā)現(xiàn)未授權(quán)或惡意的侵入，并對(duì)入侵事件立即反應(yīng)及時(shí)關(guān)閉相應(yīng)服務(wù)甚至切斷內(nèi)外部網(wǎng)絡(luò)。

3.3 加密技術(shù)

在信息系統(tǒng)的網(wǎng)絡(luò)交互傳輸過程中，跨越公共網(wǎng)絡(luò)傳輸?shù)拿舾谢驒C(jī)密數(shù)據(jù)必須加密，明文傳輸極易被黑客利用監(jiān)聽或偵測工具竊取到用戶信息和密碼等，因此為保證數(shù)據(jù)的安全性，加密技術(shù)則必不可少。數(shù)據(jù)加密的基本原理是利用技術(shù)手段改變信息的排列方式或按某種規(guī)則進(jìn)行代替或置換，把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密），從而使得只有合法的收發(fā)雙方才能理解信息的內(nèi)容，對(duì)傳輸?shù)男畔⑵鸨Ｃ茏饔谩３Ｒ姷木W(wǎng)絡(luò)傳輸采用的是通過Ipsec技術(shù)建立起加密的VPN隧道來實(shí)現(xiàn)的。

4 針對(duì)當(dāng)前網(wǎng)絡(luò)信息系統(tǒng)安全威脅的對(duì)策和建議

網(wǎng)絡(luò)信息系統(tǒng)安全是我們所面臨的一個(gè)重要難題，它是一個(gè)全方位的問題集合，是一個(gè)系統(tǒng)的工程, 涉及安全體系構(gòu)建的諸多方面，從信息系統(tǒng)自身到設(shè)備采購、從安全技術(shù)到責(zé)任管理，需要技術(shù)支持、制度保護(hù)，以及對(duì)安全維護(hù)人員的管理教育等。首先要保證網(wǎng)絡(luò)信息系統(tǒng)設(shè)備的有序運(yùn)行，然后才是信息系統(tǒng)的自身安全。保證網(wǎng)絡(luò)信息系統(tǒng)安全的主要技術(shù)手段包括:包過濾、應(yīng)用代理、安全漏洞掃描、入侵檢測技術(shù)、防病毒系統(tǒng)、訪問控制、行為審計(jì)等。除專業(yè)技術(shù)的支持外，網(wǎng)絡(luò)信息系統(tǒng)的安全還需要法律和道德的約束以及安全管理制度來輔助支持。沒有絕對(duì)安全的信息系統(tǒng)，只有將現(xiàn)有的資源和技術(shù)合理配置，使其發(fā)揮最大功用，這才是構(gòu)建與本單位實(shí)際相符的最有效用的安全體系的關(guān)鍵。

5 結(jié)語

隨著計(jì)算機(jī)與網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展，各種網(wǎng)絡(luò)安全的威脅層出不窮，其對(duì)應(yīng)的防范技術(shù)也在日新月異地發(fā)展，知彼知己，方能百戰(zhàn)不殆。任何一個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全，在很大程度上都依賴于最初設(shè)計(jì)時(shí)制定的網(wǎng)絡(luò)信息系統(tǒng)安全策略及相關(guān)管理制度規(guī)章。因?yàn)楹笃谒褂玫囊磺邪踩夹g(shù)和手段，都圍繞這一策略來實(shí)施和展開，如果在安全管理策略上出了問題，相當(dāng)于放開了網(wǎng)絡(luò)信息安全系統(tǒng)最大的一個(gè)口子，后果也就不堪設(shè)想了。同時(shí)，從大角度來看，網(wǎng)絡(luò)信息系統(tǒng)安全與規(guī)范和完善的管理是密不可分的。在網(wǎng)絡(luò)信息系統(tǒng)安全領(lǐng)域,技術(shù)手段和相關(guān)安全工具只是輔助手段，沒有完善的管理制度與措施的保證，再好的技術(shù)手段也沒法完全發(fā)揮其應(yīng)有的作用的。

[1]甘群文,李好文.網(wǎng)絡(luò)信息安全的威脅與防范技術(shù)研究[J].計(jì)算機(jī)安全,2009.5

[2]邱寒,計(jì)算機(jī)網(wǎng)絡(luò)信息安全及對(duì)策研究[J].科技致富向?qū)?2011.29

[3]崔興全,陳紅波.計(jì)算機(jī)網(wǎng)絡(luò)信息安全管理與防護(hù)策略[J].科技風(fēng),2011.13

[4]曹天人,張穎.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全現(xiàn)狀及防護(hù)[J].科學(xué)咨詢,2011.9

[5]崔海航.網(wǎng)絡(luò)信息安全的研究及對(duì)策[J].無線互聯(lián)科技,2011.5

[6]張吉紅.計(jì)算機(jī)網(wǎng)絡(luò)信息安全分析與管理探究[J].計(jì)算機(jī)光盤軟件與應(yīng)用, 2011.14

10.3969/j.issn.1001-8972.2011.24.048

李恒武(1984-)，男，本科，研究方向：數(shù)字信息化，網(wǎng)絡(luò)安全與技術(shù)等。

高博(1983-)，男，本科，研究方向：教學(xué)管理，計(jì)算機(jī)科學(xué)與技術(shù)等。

郭義喜(1969-)，男，碩士研究生，研究方向：裝備工程，實(shí)驗(yàn)室管理與建設(shè)，計(jì)算機(jī)網(wǎng)絡(luò)與信息安全等。