關于信息安全問題的探究

鄺楚文

惠州經濟職業技術學院，廣東 惠州 516057

0 引言

隨著信息技術的飛速發展，人類社會步入了信息時代。信息資源已經成為影響社會生產、生活各方面的重要因素。信息的可共享、多效用、可增值等這些特性，使其成為社會競爭中的重要資源。特別是信息資源中的敏感信息，如個人隱私、商業秘密、國家機密等使得別有用心者虎視眈眈。在信息時代，計算機及網絡成為了信息資源傳輸和存儲的主要載體，而由此產生的計算機信息安全問題值得我們探究。

1 什么是信息安全

廣義上講，信息是事物運動的狀態與方式，是物質的一種屬性。這里所說的事物既包括客觀世界的物質客體，也包括主觀世界的精神現象。而通俗地說，信息就是以聲音、文字、圖像等方式所表示出來的實際存在。

信息安全就是指信息系統中的硬件、軟件和數據在存取、傳輸和處理等過程中均受到保護，不會因為偶然的或者惡意的行為而造成破壞、修改、泄露，信息系統連續可靠正常地運行。

信息安全所涉及的范圍很廣，大至國家的政治軍事機密的安全保證，小至企業的商業秘密不被泄露、個人的信息得到保護、對于社會不良信息的有效控制等。網絡環境下的信息安全體系則是保證信息安全實現的關鍵。

信息安全的目標是使得信息系統在存取、處理和傳輸等過程中實現保密性、完整性、可用性、真實性、不可否認性、可控制性和可追究性。

2 信息安全的威脅

隨著計算機網絡技術、通信技術的高速發展，信息系統的安全性問題也逐步顯現出來。在世界范圍內，信息安全事故時有發生。信息安全問題所引發的信息泄露、破壞和更改等給個人和社會組織帶來了不同程度的損失。信息安全所面對的威脅來自很多方面，總的來說可以歸結為自然的威脅與人為的威脅兩大類。

自然的威脅是指自然現象對計算機信息系統的物理設施所造成的影響。通常這些威脅都具有突發性、不可抗拒性等。比如地震、火災、雷擊、風暴等，一旦發生所造成的損失將會很嚴重。

人為的威脅方面，常見的有以下幾種：

1）非授權的訪問：是指事先并沒有被授予相應的權限，而對系統的資源進行訪問。這種越權行為包括非授權用戶對系統資源進行訪問，或者是授權用戶通過各種手段來訪問超越自身權限的資源；

2）信息泄露：是指本應保密的有價值的信息資源被非授權的實體所獲取；

3）信息完整性的破壞：屬于主動性的安全威脅，是指非授權實體通過各種手段對截取的有用信息進行更改、刪除、重發等，使正常服務遭受干擾；

4）拒絕服務攻擊：通過攻擊網絡協議的弱點、漏洞或者其它暴力手段對計算機或網絡資源進行消耗，從而破壞正常服務的實現；

5）網絡監聽：屬于被動的安全威脅，是指利用網絡監聽工具，將網絡端口設置成監聽狀態，從而捕獲網絡傳輸中的口令等有用信息；

6）軟件或系統中漏洞、后門的存在：通過這些漏洞和后門，使得入侵者們可以繞過計算機的安全性防御體系而直接訪問系統資源，嚴重威脅計算機的信息安全；

7）計算機病毒的威脅：計算機病毒是一種人為設置的對計算機的軟件甚至硬件進行破壞的程序。

3 信息安全防范策略

3.1 網絡監聽的檢測與預防

網絡監聽技術總是扮演著正反兩方面的角色，一方面它可以幫助信息安全管理人員對網絡的狀態、數據的流動、信息的傳輸等進行監控，而另一方面入侵者們喜歡利用監聽技術來捕獲口令。無論是局域網中的某一臺主機，還是網關上，都可以實施網絡監聽。通常情況下，網絡監聽是很難被發現的，因為在監聽的過程中它只是被動地接受局域網中傳輸的信息，不會主動與其它主機進行交流，也不能修改傳輸中的信息包。

常見的網絡監聽工具有Sniffer Pro、Ethereal、Sniffit、Dsniff等。對網絡監聽可采取如下的檢測和預防措施：1）從邏輯或物理上對網絡分段；2）使用加密技術；3）運用VLAN（虛擬局域網）技術，將以太網通信變為點到點通信；4）使用反監聽工具如anti-sniffer等；5）觀察異常情況。比如監聽工具由于要接收和處理大量的數據信息會占用大量的資源，當發現在局域網中有主機的性能大幅下降，應注意并檢查。

3.2 針對DoS/DDoS攻擊的防范

DoS攻擊即拒絕服務攻擊，是指利用網絡協議實現的弱點或直接采用野蠻手段來耗盡目標資源的攻擊方法。其目的是使得目標計算機或網絡無法正常地提供服務，使目標系統重啟、死機甚至崩潰。為解決發動攻擊的帶寬資源問題及加強攻擊威力，攻擊者還會采用DDoS（分布式拒絕服務）攻擊，通過控制眾多的傀儡機來對一個或多個目標發動集合的拒絕服務攻擊。常見的DoS攻擊工具有HGOD、DDoSer等。

雖然目前還沒有從根本上解決DoS/DDoS攻擊的方法，但我們可以通過一些措施來實現一定程度上的預防：

1）所有主機都使用最新的系統，并及時打上安全補丁；

2）對局域網內所有的主機都進行優化，禁止所有不必要的服務；

3）充分利用網絡設備保護網絡資源。所謂網絡設備是指路由器、防火墻等負載均衡設備，它們可將網絡有效地保護起來；

4）優化路由和網絡結構，調整路由表，限制SYN半開數據包的流量和個數；

5）在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數據包才可進入該網段；

6）經常檢查網絡設備和各主機的系統日志；

7）不要在關閉防火墻的情況下使用文件共享。

3.3 后門的防御方法

后門是指那些可以繞過安全防御體系而直接獲得對程序或系統訪問權限的方法。后門的本意是為了方便軟件開發人員對程序或者系統進行升級維護、修改缺陷等所設置的。但它也為入侵者們提供了攻擊計算機的缺口。雖然一般后門的權限比較單一，但是入侵者可以通過一些技術、漏洞來提升權限，或者是安裝木馬病毒從而完全掌握計算機系統。為了盡量降低后門的安全威脅，可以采取以下防御方法：

1）首先要對自己的操作系統以及安裝的程序有全面的了解，檢查是否存在后門，一經發現立刻關閉。比如Windows操作系統的遠程桌面、遠程協助，我們在安裝系統后要將它們關閉，以防止入侵者的利用；

2）關閉一些不必要的系統服務。有些服務不僅對大部分的個人用戶來說是沒有用的，甚至還存在安全隱患，如 Remote Registry Service、ClipBook、Messenger、Computer Browser、Indexing Service等 ；

3）安裝防火墻；

4）安裝最新版本的殺毒軟件，并及時升級病毒庫。雖然木馬病毒的變種多、破壞性強，但是最新版本的殺毒軟件可以清除大部分已知的木馬程序。

3.4 身份認證技術的采用

身份認證技術是在計算機網絡中確認用戶身份、保護數據安全的有效方法。計算機網絡世界中的一切信息包括用戶的身份資料都是以數據的形式存在，計算機能夠識別的只是用戶的數字信息，并且用戶被授予的各種權限都是基于數字身份的。為保證數字身份操作者就是真實世界中的合法所有者，身份認證技術便作為保護網絡資產的第一道關卡發揮重要的作用。

身份認證技術的實現方法有很多，常見的有如下幾種：1）靜態密碼；2）智能卡；3）短信密碼；4）動態口令牌；5）USB KEY。

4 結論

信息資源的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。基于這種社會價值的存在，信息技術將會向更高的方向發展，信息安全也將面臨著越來越多的挑戰。

[1]韋文思，徐津.信息安全防御技術與實施[M].北京：電子工業出版社，2009.

[2]李劍，張然.信息安全概論[M].北京：機械工業出版社，2009.

[3]雷良波.加密與解密實例教程[M].珠海：珠海出版社，2004.

[4]趙樹升，等.信息安全原理與實施[M].北京：清華大學出版社，2004.

[5]李建霞.計算機網絡安全與防范[J].中國西部科技，2009，36.

[6]胥家瑞.網絡信息安全及其防護策略的探究[J].計算機安全，2011(9).

[7]王斌君，吉增瑞.信息安全技術體系研究[J].計算機應用，2009.