試談網絡信息安全問題及防范對策

謝彬

所謂網絡信息安全就是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡信息安全從其本質上來講就是網絡上的信息安全；從廣義來說，凡是涉及到網絡上信息的完整性、機密性、有效性、等相關技術和理論都是網絡信息安全的研究領域。近年來，隨著計算機科學技術的迅猛發展，網絡的應用變得越來越廣泛，給人們帶來了數不盡的便捷和好處，是行政機關、企事業單位內外各種信息交互、傳輸和共享的基礎。但由于網絡自身的開放性、互聯性以及連接形式多樣性、終端分布不均勻等特點，致使網絡易受黑客、惡意軟件等攻擊，因此網絡安全問題和有效的防范措施凸顯出其重要性。

網絡信息安全的基本內涵——信息安全是指防止任何對數據進行未授權訪問的措施，或者防止造成信息有意無意泄漏、破壞、丟失等問題的發生，讓數據處于遠離危險、免于威脅的狀態或特性。網絡安全是指計算機網絡環境下的信息安全。因此網絡信息安全就是指計算機網絡信息系統的硬件設備或者軟件及其重要數據信息受到保護，不因突發事件或者惡意破壞而遭到損害、更改或者泄露，從而使網絡信息系統能夠連續安全運行。

網絡信息系統面臨的主要安全性問題——網絡信息系統面臨的安全性攻擊有被動攻擊和主動攻擊兩種類型。

被動攻擊是攻擊者對信息系統實施的一種“被動性”攻擊，主要特征是竊密，其行為一般不妨礙信息系統本身的正常工作。被動攻擊主要包含以下攻擊行為。

非法閱讀和復制文件攻擊者未經授權而非法進入信息系統閱讀或復制信息系統程序和其它文件等。

竊聽通信信息攻擊者通過搭線竊聽、空中攔截等手段，截取他人信息。

通信流量分析攻擊者通過流量監測，也可獲得有用信息。例如某系統平時流量大致穩定，某天通訊流量突然激增，預示著有重大事件發生，攻擊者必千方百計探知。由于被動攻擊不影響信息系統的正常工作，因此這種方式攻擊隱蔽性強，通過檢測等一般方法很難發現。對付這種攻擊的有效途徑不是檢測而是預防。

主動攻擊是攻擊者對信息系統實施的一種“主動性”攻擊，主要特征是假冒、偽造和篡改，其行為妨礙信息系統本身的正常工作。主動攻擊主要包含以下攻擊行為。

假冒攻擊者假冒他人身份，欺騙合法實體。例如，犯罪分子制作以假亂真的網上銀行網頁，盜取用戶的用戶名和密碼，然后將用戶的存款通過真正網銀網頁轉移到他的賬戶上。

重放攻擊（replay attacks）又稱重播攻擊、回放攻擊或新鮮性攻擊（freshness attacks），是指攻擊者發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證過程，破壞認證的正確性。這種攻擊會不斷惡意或欺詐性地重復一個有效的數據傳輸，重放攻擊可以由發起者，也可以由攔截并重發該數據的敵方進行。攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給認證服務器。重放攻擊在任何網絡通訊過程中都可能發生。

篡改攻擊者通過插入、修改、刪除等手段篡改所訪問或攔截的信息系統信息。

偽造攻擊者偽造信息并通過網絡傳送給接收者。

中斷攻擊者無休止地對網上的服務實體不斷進行干擾，使其超負荷運轉，執行非服務性操作，最終導致系統無法正常使用甚至癱瘓。由于主動攻擊影響信息系統的正常工作，因此容易通過檢測發現，但難以預防此種行為的發生。因此對付這種攻擊的有效途徑不是預防而是檢測和恢復。

對計算機網絡安全問題采取的幾點防范措施網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

網絡信息安全在很大程度上依賴于技術的完善，包括防火墻、訪問控制、入侵檢測、密碼、數字簽名、病毒檢測及清除、網絡隱患掃描、系統安全監測報警等技術。

防火墻技術。防火墻（firewall）是指一個由軟件系統和硬件設備組合而成的，在內部網和外部網之間的界面上構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層，在此進行檢查和連接。只有被授權的通信才能通過此保護層，從而使內部網絡與外部網絡在一定意義下隔離，防止非法入侵、非法使用系統資源，執行安全管制措施，記錄所有可疑事件。根據對數據處理方法的不同，防火墻大致可分為兩大體系：包過濾防火墻和代理防火墻。

訪問控制技術訪問控制（access control）技術是對信息系統資源進行保護的重要措施，它設計的三個基本概念為：主體、客體和授權訪問。主體是指一個主動的實體，它可以訪問客體，包括有用戶、用戶組、終端、主機或一個應用。客體是一個被動的實體，訪問客體受到一定的限制。客體可以是一個字節、字段、記錄、程序或文件等。授權訪問是指對主題訪問客體的允許，對于每一個主體和客體來說，授權訪問都是給定的。訪問控制技術的訪問策略通常有三種：自主訪問控制、強制訪問控制以及基于角色的訪問控制。訪問控制的技術與策略主要有：入網訪問控制、網絡權限控制、目錄級控制、屬性控制以及服務器安全控制等多種手段。

入侵檢測技術入侵檢測系統（intrusion detection system，簡稱 ids）通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。提供了對內部入侵、外部入侵和錯誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。

所謂數據加密（data encryption）技術是指將一個信息（或稱明文）經過加密密鑰及加密函數轉換，變成無意義的密文，而接收方則將此密文經過解密函數、解密密鑰還原成明文。數據加密是網絡中采用的最基本的安全技術，目的是為了防止合法接收者之外的人獲取信息系統中的機密信息。

數字簽名（digital signature）技術是將摘要信息用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送的公鑰才能解密被加密的摘要信息，然后用 hash 函數對收到的原文產生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數字簽名能夠驗證信息的完整性。

隨著計算機網絡的發展，計算機病毒從早期感染單機已發展到利用計算機網絡技術進行病毒傳播，其蔓延的速度更加迅速，破壞性也更為嚴重。在病毒防范中普遍使用的防病毒軟件，網絡防病毒軟件主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其他資源傳染，網絡防病毒軟件會立刻檢測到并加以刪除。

人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。在做好技術安全防護措施的同時，也要加強對信息系統及相關人員的管理，只有技術與管理并重，信息系統才能真正做到安全防護。首先，網絡設備科學合理的管理。對網絡設備進行合理的管理，必定能增加網絡的安全性。比如將一些重要的設備盡量進行集中管理，如主干交換機、各種服務器等；對終端設備實行落實到人，進行嚴格管理，如工作站以及其他轉接設備；對各種通信線路盡量進行架空、穿線或者深埋，并做好相應的標記等。其次，是對網絡的安全管理。建立各項網絡信息安全制度，堅持預防為主、補救為輔的原則。制定工作崗位責任制，任務到人，責任到人，責、權、利分明，以最少的投入達到最佳安全狀態。此外還必須對管理人員進行安全管理意識培訓，加強對管理員安全技術和用戶安全意識的培訓工作。

計算機網絡信息安全是一個系統的工程，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，而一種技術只能解決一方面的安全問題，而不是萬能的。必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統，隨著計算機網絡技術的進一步發展，網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。

作者單位：貴州省赫章縣公安局