基于WEB訪問行為中的信息安全分析研究

王朝暉

【摘 要】網絡技術的迅猛發展，應用領域的不斷擴大，導致信息安全問題日益突出。信息安全正逐漸成為一個綜合性的多層面的問題。它是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識、控制。本文就人們日常的網絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

【關鍵詞】網絡訪問；訪問行為；信息安全

【Abstract】The rapid development of network technology， expanding the field of application， information security has become an acute problem. The information security is becoming an integrated and multidimensional problems. It refers to the prevention of information property was intentionally or accidental unauthorized disclosure， alteration， destruction or illegal system identification， and control. This daily network access behaviors， may result in information security-conscious user behavior analysis， visit find a safe and civilized behavior.

【Key words】Network access； Access behavior； Information security

0 引言

互聯網是由若干個計算機網絡互相連接而組成的網絡，目前最大的互聯網是因特網，它由眾多的計算機網絡互相連接組成、覆蓋全球的開放性網絡，廣泛應用于社會經濟、教育、文化傳播等等方面。我國互聯網的產生雖然比較晚，但是經過幾十年的發展，依托于中國國民經濟和政府體制改革的成果，已經顯露出巨大的發展潛力[1]。中國已經成為國際互聯網的一部分，并且將會成為最大的互聯網用戶群體。

隨著社會的發展，人們對網絡信息的需求和依賴日益增強，計算機網絡已經悄然進入尋常百姓的生活，滲透了衣、食、住、行、娛等各個領域。網絡技術的高度發展，為我們進行現代化建設提供了技術保障。然而，網絡應用中卻存在著許多不安全因素，其主要表現在信息泄漏、信息篡改、非法使用網絡資源、非法信息滲透、假冒信息等等。本文就人們日常的網絡訪問行為中，可能會導致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

1 計算機網絡的信息安全隱患

計算機網絡信息安全主要面臨兩類威脅，一類是計算機信息泄漏，另一類是數據破壞。由于計算機系統脆弱的安全性，只要用計算機來處理、存儲和傳輸數據就會存在安全隱患。近年來，隨著計算機網絡信息泄漏和信息破壞事件不斷上長的趨勢，計算機信息安全問題已經從單一的技術問題，演變成為突出的社會問題，因此，計算機網絡信息系統的安全與防范顯得越發重要。

計算機網絡的三個最重要功能是數據通信、資源共享和分布處理，在這些環節當中，都存在信息安全問題。信息安全是指利用網絡管理控制和技術措施，防止網絡本身及網上傳輸的信息數據被故意地或偶然地非授權泄漏、更改、破壞，或使網上傳輸的信息被非法系統辨認、控制，即確保網上傳輸的信息數據的完整性、保密性、可用性受到保護[1]。目前，在網絡信息安全方面，主要存在以下的安全隱患：

1.1 網絡中存在的不安全因素

用戶可以通過網絡自由發布和獲取各類信息，因此，網絡的威脅也來自方方面面。在這些威脅中最主要的是在計算機協議或證書中存在的不安全性因素[3]，如計算機協議主要包括： FTP、IP/TCP協議、SSL、NFS、SET等協議，這些協議中如果存在漏洞網絡入侵者就能夠根據這些漏洞搜索用戶名，可以猜測到機器密碼口令，攻擊計算機防火墻。

數字證書則是通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。當一些惡意、非法的偽造數字安全證書被安裝后，網絡信息就被完全暴露。而且，網絡用戶對計算機及網絡知識了解并不多，一旦頁面上出現的諸多提示，往往是一路“確定”下去。

1.2 數據庫管理系統的不安全

數據庫管理系統是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數據庫的不安全因素的存在就會將用戶上網瀏覽的痕跡泄漏，用戶在網上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財產隱私安全。

1.3 計算機操作系統存在的不安全因素

計算機的整個支撐軟件是它的操作系統，電腦中的所有程序運行都靠支撐軟件為其提供環境。一旦網絡入侵者控制了操作系統，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。

2 獲取網絡用戶信息的方式分析

智慧城市概念的提出，伴隨著網絡帝國的崛起、移動技術的融合發展，知識社會環境下的智慧城市是繼數字城市之后信息化城市發展的高級形態。從內容上看，信息化過程可分為信息的生產、應用和保障三大方面。信息的獲取方式多種多樣，涉及到網絡用戶信息的方式有如下幾種類型：

（1）網絡及系統漏洞：在傳統安全防御技術中，系統的后門因其隱蔽性而被人們所忽視，作為網絡協議和網絡服務實現的載體，網絡操作系統本身負有不可推卸的責任，在程序運行過程中存在的缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足，導致這類入侵行為可以堂而皇之經過防火墻而很難被察覺。

Cookie這種網絡小甜餅是一些會自動運行的小程序。網站設計師使用它們來為你提供方便而高效的服務[2]。但同時通過使用這些小程序，商業公司和網絡入侵者能夠輕易獲得你機器上的信息。JavaJava作為一種技術，一直備受爭議，現實中有無數利用Java的漏洞成功入侵案例。

（2）網絡惡意攻擊：通俗來說就是網絡黑客攻擊和網絡病毒，這兩類問題是目前公認的網絡安全公敵。隨著計算機文化在社會各個階層的滲透，使得這類攻擊變得越來越容易，一旦發現有關目標機器的詳細資料，利用程序工具，對目標機器的文件資料、配置進行閱讀、拷貝、修改等等[4]。網絡病毒傳播利用用戶訪問自己的網站或下載文件資料的同時傳播病毒，以達到竊取信息的目的。

（3）社交軟件：有超過95%的網民正在使用的各類工具軟件，它的及時、便捷給大家帶來方便的同時，也給信息的泄漏帶來可乘之機。如“微信三點定位” 引發的熱議，折射出了公眾對隱私暴露的不安。個人信息與隱私界定標準的模糊讓人頭疼，用戶亦因此不自覺地泄露個人信息。

（4）用戶習慣：當使用者在使用某網站的某些認證時，每當有窗口彈出顯示認證和授權時，絕大多數人會毫不猶豫地按下“Yes”。這就好比你購買商品時，售貨員問：“把你錢包給我，請相信我會取出合適數量的錢替您付款，您說好嗎？”你一定會斬釘截鐵地回答：“No”這兩種情況本質上完全一樣。

3 網絡訪問行為調查分析

那些非法竊取在線信息和通訊的黑客入侵者以及試圖保護信息安全的人們已經陷入一場軍備競賽。每年都會發生各種入侵攻擊，日益進化的網絡技術導致安全行業努力利用現有工具抵抗攻擊，同時收集有關新威脅的情報[3]。用戶也是這一問題的一部分，他們粗心或者惡意的網絡行為讓入侵者有機可乘，或者直接導致網絡泄密。

通過對不同年齡段人群進行網絡訪問的行為調查，共發放500份調查問卷，內容涉及網絡訪問需求、訪問類型、訪問行為方式、具體問題的處理方式和一些網絡安全基本知識，回收到有效的問卷486份，對問卷進行統計分析后，得到了以下的網絡訪問行為的分析結果：

從不同群體對網絡的需要比例來看（見圖1），網絡速度是第一位的需求，安全性要求擺在末位，顯示受訪者的網絡安全意識淡薄，甚至把網絡速度作為衡量網絡使用效果、計算機質量好壞的判斷依據。

針對不同受訪群體的網絡訪問類型（見圖2），從統計結果來看，社交軟件是普遍使用較多的應用。據DCCI互聯網數據中心聯合360手機安全中心發布的《2015年Android手機隱私安全報告》顯示，要求讀取設備信息以91%的比例高居首位，占比76.8%的讀取位置信息位居第二。無論是PC端還是手機移動終端，使用相關軟件時，都應該進行相應的安全設置，以保護個人信息與隱私的安全。

電子郵件在中青年人群應用較多，需要注意的是當電子郵件中有附件時，應使用下載附件的郵件閱讀方式，而非直接打開進行在線閱讀的方式，這樣可以有效杜絕惡意軟件的傳播與在線運行行為。

根據不同人群對計算機及網絡安全的關注情況來看（見圖3），老年群體的計算機及網絡安全狀態令人擔心，在這些措施當中，依賴第三方安全管理軟件進行計算機與網絡的安全管理比重較大，顯示了網民對計算機與網絡知識薄弱，這樣就存在著如何選擇合適的第三方安全管理軟件的問題。

更令人擔憂的是，網民普遍存在對計算機及網絡相應的安全設置不明白、不清楚的現象，沒有設置好的計算機與網絡軟硬件環境，這就意味著信息安全的第一道防線不攻自破，此時更談不上網絡訪問行為中的信息安全了。

從不同群體網絡訪問時遇到的問題比例來看（見圖4），網絡騷擾信息、虛假信息較多，而且成為普遍的現象。這些問卷顯示，在網絡上下載一些軟件后，經常會自動彈出一些頁面，當用戶不經意點擊鏈接后，可能跳轉到欺騙網站、虛假頁面等網絡陷阱中去，進而導致信息安全得不到有效保護，甚至產生人生安全、財產損失等嚴重后果。

圖4 不同群體網絡訪問時遇到的問題比例

4 結論

計算機網絡信息安全面臨的威脅中，除了管理層面的數據破壞所帶來的問題外，另一類是用戶層面的計算機信息泄漏[4]。導致計算機信息泄漏的途徑有很多。首先，必須有一個安全可靠的計算機及網絡環境，在人們日常的網絡訪問行為中，要學會進行必要的計算機及網絡的相關安全設置，及時下載系統及軟件補丁，安裝殺毒軟件和防火墻等安全管理軟件，營造良好網絡訪問環境；其次，是在進行網絡訪問時，要有真假信息的甄別能力，網絡信息量龐大，學會辨別是非是信息安全、文明上網的有效舉措；最后，對于用戶而言，更為重要的是良好網絡訪問習慣的養成，在正規網站下載軟件，遇到網頁提示要認真看清讀懂，不隨便在論壇及社交網站發布個人敏感信息，樹立牢固的信息安全防范意識，保護好個人隱私。

【參考文獻】

[1]蔣蔚.網絡行為管理系統研宄及設計[D].浙江工業大學，2012.

[2]楊宗長，徐繼生，孫洪.Web 訪問者網絡行為跟蹤[J].計算機安全，2004（8）.

[3]Ross Anderson.齊寧（譯）.信息安全工程[M].北京：清華大學出版社，2012.

[4]王宇，閻慧.信息安全保密技術[M].北京：國防工業出版社，2010.

[責任編輯：湯靜]