網絡信息安全隱患與技術防范淺議

摘要：網絡信息安全問題，是伴隨著信息化的發展以及信息戰的崛起而產生的。本文從網絡信息安全隱患和技術防范兩個方面進行了剖析。

關鍵詞：網絡 信息 安全 隱患

隨著互聯網技術的飛速發展和廣泛應用，網絡信息安全問題顯得愈來愈突出。據悉，各種利用網絡進行技術犯罪的案件正以每年30%的速度遞增。網絡安全已不僅僅是引起人們關注的問題，而是到了如何具體解決的時刻。本文分析了網絡信息安全存在的隱患，并據此提出了相應的技術防范措施。

1 網絡信息安全隱患分析

1.1 信息破壞 信息破壞主要是指制造和傳播惡意程序，破壞計算機內所存儲的信息和程序，甚至破壞計算機硬件。對網絡信息安全威脅較大的惡意程序主要有：①計算機病毒，即一種人為制造的在計算機運行中對計算機信息或系統產生破壞作用的程序。②計算機“蠕蟲”，即一種通過網絡的通信功能將自身從一個結點發送到另一個結點并啟動的程序。③“特洛伊木馬”，即一種執行超出程序定義之外的程序。④“郵件炸彈”，即網絡中轉站匿名發送一組由大最無用的電子郵件、威脅性言論和其它無用信息，以阻塞對方的計算機系統。⑤“邏輯炸彈”，即一種當運行環境滿足某種特定條件時，執行其它特殊功能的程序。

此外，對網絡信息的威脅還有來自被稱為黑客的敵意破壞者。他們采用各種手段，利用網上漏洞和缺陷，非法進入主機，啟動破譯和監聽程序，以盜竊口令和密碼，修改、增刪、破壞系統功能，甚至在遠端控制整個系統使用權，從而制造不安和混亂。

1.2 信息污染 信息污染是指無用信息、劣質信息或有害信息滲透到信息資源中，對信息資源的收集、開發和利用，造成干擾甚至對用戶和國家產生危害。具體表現在：①無用信息。它對絕大多數用戶沒有任何實用價值，除了影響信息資源開發利用的速度和效率外，一般對信息用戶不會產生其它不良作用或對用戶的負面影響較小。無用信息主要包括重復信息、過時信息和某些個人的自由言論等。②劣質信息。劣質信息是指具有一定的使用價值但作用不大，且質量較低的信息。劣質信急包括內容不完整、不準確、文字錯誤較多的信息。③有害信息。有害信息是指利用后給用戶和社會帶來不良影響的信息。有害信息包括虛假信息、色情信息、誹謗煽動信息等。

1.3 信息失密 信息失密是指網絡中的信息在存儲、傳播、使用或獲取的時候被其他人非法取得的過程。失密信息具體表現為：①個人隱私，即個人信息。如個人的生理與心理特征、年齡、婚姻、病歷、收入狀況、銀行存款、保險、宗教信仰、犯罪前科等方而的信息。②來源于企業的商業秘密，是指企業所具有不允許為外人和競爭者知曉的信息。如技術數據、工藝流程、作業藍圖、操作技巧、營銷策略、管理訣竅、財務信息等。③來源于政府部門或軍事機關的機密信息，此類信息大多是涉及國家安全的最高秘密，一旦失竊會造成嚴重后果。

2 網絡信息安全的技術防范

2.1 防火墻技術 防火墻是近期發展起來的一種保護計算機網絡安全的訪問控制技術。它是通過對網絡拓撲結構和服務類型上的隔離來加強網絡安全的手段，防范來自網絡外部的威脅和攻擊。所謂“防火墻”是由硬件和軟件組成的網絡的守門裝置，通過采取對所有企圖進入網絡的行為進行密碼核對和身份驗證等適當技術，在公共網絡和專用網絡之間設一道隔離墻，在此檢查進出專用網絡的信息是否被準許通過，或用戶的服務請求是否被允許，從而阻止對信息資源的非法訪問和非授權用戶的進入。

“防火墻”的安全控制措施有如下幾種：

包過濾。該技術是對通過“防火墻”的數據包進行過濾，篩除不符合要求的數據包。具體做法是檢查所傳輸的數據包的來源、目的、IP地址和TCP/UDP端口號等參數、并與用戶預置的訪問控制表進行比較，從而將符合條件的數據包轉發到相應的目的地址端口，其余的數據包則被阻塞，從數據流中刪除。包過濾技術實現比較簡單、效率較高。但由于這一功能在網絡層實現，它對更高層的信息無理解能力，因此，對來自更高層的安全威脅無防范能力。

應用網關。應用網關建立在網絡的應用層，通常由一臺專用計算機來實現。它針對特別的網絡應用服務協議指定數據過濾邏輯，并依據該邏輯對出入內部網絡的數據包進行過濾。應用網關技術可以對數據包的分析結果和采取的措施進行登記，供統計、分析使用。應用網關的過濾機制需要為每個網絡應用提供專用的控制碼，因此這種方法效率較低，但它更為安全。

代理服務。它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用。其功能類似干一個數據轉發器，它主要控制哪類用戶能訪問哪些服務類型。

2.2 防病毒技術 計算機病毒是網絡信息系統安全最重要的威脅源之一。防病毒技術主要從病毒防御、檢測及安全清除三個方面考慮。現采用的計算機網絡病毒防治手段有：①以網為本。防治病毒應從網絡整體考慮，從方便管理人員的工作出發，透過網絡管理整體。②多層防御。新的病毒防治手段應將病毒檢治、多層數據保護和集中式管理功能集成起來，形成多層防御體系。③網關、服務器上的防毒。大量的病毒針對網上的應用程序進行攻擊，這樣的病毒存在于信息共享的網絡介質上，因而要在網關上設防，在網絡前端實時殺毒。防范手段應集中在網絡整體上，單臺計算機獨自解決病毒問題不可取，這也不是網絡應用環境下的防范措施。在個人計算機的硬件和軟件、LAN服務器、服務器的網關，層層設防，對每種病毒都實行隔離過濾。在后臺實時進行監控，發現病毒，隨時殺毒，而前端用戶根本沒有感應，甚至根本不知道殺毒的過程，這才是比較科學的、全面的解決方案。

2.3 信息加密技術 信息加密是指對信息內容進行某種方式的改變，從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀，這種處理過程稱為“加密”。信息加密技術是目前保護信息不被截獲最有效、最經濟的方法之一。在計算機網絡中，加密技術可分為“通信加密”(即傳輸過程中的數據加密)和“文件加密”（即存儲數據加密)。這些可用于維護數據庫的隱蔽性、完整性、反竊聽等安全防護工作。

常用的加密算法有兩種：對稱密鑰加密算法和公開密鑰加密算法。加密與解密使用同一密鑰(算法)，或者密鑰不同，但可以由一個推導出另一個，這種加密機制我們稱之為對稱密鑰體系。這種情況下，通信雙方必須交換彼此密鑰。與對稱密鑰相對應的是非對稱密鑰，即公開密鑰，它要求密鑰成對使用，即加密和解密分別由兩個密鑰（算法)實現，不能由一個推導出另一個。

2.4 安全檢查(或身份認證)技術 在網絡通信過程中，信息交流雙方需要對對方進行安全檢查(或身份認證)也是至關重要的一環。安全檢查(或身份認證)機制提供了判明和確認信息交流雙方真實身份的方法，可作為訪問控制的基礎。目前，這種身份認證包括身份識別和身份驗證，前者是指用戶向系統出示自己的身份證明的過程;后者則是系統核查用戶的身份證明的過程，即查明用戶是否具有他所請求資源的存儲和使用權。身份認證必須做到準確無誤地將對方辨別出來，同時還應該雙向的認證，即相互證明自己的身份。

參考文獻：

[1]《網絡安全初階-黑客技術揭秘與防范》建新編著.ISBN 7-5323-

5588-8/IP.146.

[2]《信息網絡安全》張紅旗等編著.ISBN 7-302-05957-8/IP.3546.