淺談網(wǎng)絡信息安全的現(xiàn)狀與防御措施

摘要：本文介紹了網(wǎng)絡信息安全的現(xiàn)狀，探討了網(wǎng)絡信息安全的內(nèi)涵，分析了網(wǎng)絡信息安全的主要威脅，最后給出了網(wǎng)絡信息安全的實現(xiàn)技術和防范措施，以保障計算機網(wǎng)絡的信息安全，從而充分發(fā)揮計算機網(wǎng)絡的作用。

關鍵詞：計算機；網(wǎng)絡安全；安全管理；密鑰安全技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 (2012) 09-0000-02

一、網(wǎng)絡信息安全的內(nèi)涵

網(wǎng)絡安全從其本質上講就是網(wǎng)絡上的信息安全，指網(wǎng)絡系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)?？梢姡W(wǎng)絡安全至少應包括靜態(tài)安全和動態(tài)安全兩種。靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性；動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。

二、影響網(wǎng)絡安全的主要因素

隨著計算機網(wǎng)絡的普及，網(wǎng)絡安全問題成了人們關心的焦點，影響計算機網(wǎng)絡安全的主要因素有：

（一）TCP/IP的脆弱性。作為所有網(wǎng)絡安全協(xié)議基石的TCP/IP協(xié)議，其本身對于網(wǎng)絡安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實施網(wǎng)絡攻擊。

（二）軟件系統(tǒng)的不完善性造成了網(wǎng)絡安全漏洞，給攻擊者打開方便之門。

（三）網(wǎng)絡結構的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術，因此當兩臺主機進行通信時，攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機，就可以劫持用戶的數(shù)據(jù)包。

（四）缺乏安全意識和策略。由于人們普遍缺乏安全意識，網(wǎng)絡中許多安全屏障形同虛設。如為了避開防火墻的額外認證，直接進行PPP連接，給他人留下可乘之機等。

（五）管理制度不健全，網(wǎng)絡管理、維護任其自然。

三、網(wǎng)絡信息安全的現(xiàn)狀

中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布的《第23次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》。報告顯示，截至2008年底，中國網(wǎng)民數(shù)達到2.98億，手機網(wǎng)民數(shù)超1億達1.137億

iResearch艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示，2006年中國(大陸)病毒造成的主要危害情況：“瀏覽器配置被修改”是用戶提及率最高的選項，達20.9%，其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%，“系統(tǒng)使用受限”16.1%，“密碼被盜”13.1%，另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。

（一）計算機犯罪案件逐年遞增

計算機犯罪對全球造成了前所未有的新威脅，犯罪學家預言未來信息化社會犯罪的形式將主要是計算機網(wǎng)絡犯罪。我國自1986年深圳發(fā)生第一起計算機犯罪案件以來，計算機犯罪呈直線上升趨勢，犯罪手段也日趨技術化、多樣化，犯罪領域也不斷擴展，許多傳統(tǒng)犯罪形式在互聯(lián)網(wǎng)上都能找到影子，而且其危害性已遠遠超過傳統(tǒng)犯罪。計算機犯罪的犯罪主體大多是掌握了計算機和網(wǎng)絡技術的專業(yè)人士，甚至一些原為計算機及網(wǎng)絡技術和信息安全技術專家的職業(yè)人員也鋌而走險，其犯罪所采用的手段則更趨專業(yè)化。他們洞悉網(wǎng)絡的缺陷與漏洞，運用豐富的電腦及網(wǎng)絡技術，借助四通八達的網(wǎng)絡，對網(wǎng)絡及各種電子數(shù)據(jù)、資料等信息發(fā)動進攻，進行破壞。

（二）計算機病毒危害突出

計算機病毒是一種人為編制的程序，能在計算機系統(tǒng)運行的過程中自身精確地拷貝或有修改地拷貝到其他程序體內(nèi)，給計算機系統(tǒng)帶來某種故障或使其完全癱瘓，它具有傳染性、隱蔽性、激發(fā)性、復制性、破壞性等特點。隨著互聯(lián)網(wǎng)的發(fā)展，計算機病毒的種類急劇增加，擴散速度大大加快，受感染的范圍也越來越廣。據(jù)粗略統(tǒng)計，全世界已發(fā)現(xiàn)的計算機病毒的種類有上萬種，并且正以平均每月300-500的速度瘋狂增長。

（三）黑客攻擊手段多樣

網(wǎng)絡空間是一個無疆界的、開放的領域，無論在什么時間，跨部門、跨地區(qū)、跨國界的網(wǎng)上攻擊都可能發(fā)生。目前世界上有20多萬個黑客網(wǎng)站，其攻擊方法達幾千種之多，每當一種新的攻擊手段產(chǎn)生，便能在一周內(nèi)傳遍世界，對計算機網(wǎng)絡造成各種破壞。在國內(nèi)經(jīng)濟、金融領域，黑客通過竊取網(wǎng)絡系統(tǒng)的口令和密碼，非法進入網(wǎng)絡金融系統(tǒng)，篡改數(shù)據(jù)、盜用資金，嚴重破壞了正常的金融秩序。在國家安全領域內(nèi)，黑客利用計算機控制國家機密的軍事指揮系統(tǒng)成為可能。

四、安全防范重在管理

在網(wǎng)絡安全中，無論從采用的管理模型，還是技術控制，最重要的還是貫徹始終的安全管理。管理是多方面的，有信息的管理、人員的管理、制度的管理、機構的管理等，它的作用也是最關鍵的，是網(wǎng)絡安全防范中的靈魂。

在機構或部門中，各層次人員的責任感，對信息安全的認識、理解和重視程度，都與網(wǎng)絡安全息息相關。所以信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設計階段就將安全要求和控制一體化考慮進去，則成本會更低、效率會更高。

那么做好網(wǎng)絡信息安全管理，至少應從下面幾個方面入手，再結合本部門的情況制定管理策略和措施。

1.樹立正確的安全意識，要求每個員工都要清楚自己的職責分工。如設立專職的系統(tǒng)管理員，進行定時強化培訓，對網(wǎng)絡運行情況進行定時檢測等。

2.有了明確的職責分工，還要保障制度的貫徹落實，要加強監(jiān)督檢查。建立嚴格的考核制度和獎懲機制是必要的。

3.對網(wǎng)絡的管理要遵循國家的規(guī)章制度，維持網(wǎng)絡有條不紊地運行。

4.應明確網(wǎng)絡信息的分類，按等級采取不同級別的安全保護。

五、網(wǎng)絡信息系統(tǒng)的安全防御

（一）防火墻技術

根據(jù)CNCERT/CC調(diào)查顯示，在各類網(wǎng)絡安全技術使用中，防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜，易安裝，并可在線升級等特點。防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。因而防火墻的主要作用是定義了唯一的一個瓶頸，通過它就可以把未授權用戶排除到受保護的網(wǎng)絡外，禁止脆弱的服務進入或離開網(wǎng)絡，防止各種IP盜用和路由攻擊，同時還可以提供必要的服務。

（二）認證技術

認證是防止主動攻擊的重要技術，它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認證的主要目的有兩個：

1.驗證信息的發(fā)送者是真正的主人。

2.驗證信息的完整性，保證信息在傳送過程中未被竄改、重放或延遲等。目前有關認證的主要技術有：消息認證，身份認證和數(shù)字簽名。消息認證和身份認證解決了通信雙方利害一致條件下防止第三者偽裝和破壞的問題。數(shù)字簽名能夠防止他人冒名進行信息發(fā)送和接收，以及防止本人事后否認已進行過的發(fā)送和接收活動，數(shù)字簽名使用的是公鑰密碼技術RSA 非對稱加密法，安全性很高。

（三）信息加密技術

加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段。

信息加密的方法有對稱密鑰加密和非對稱密鑰加密，兩種方法各有所長，可以結合使用，互補長短。對稱密鑰加密，加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、密碼空間小、“窮舉”方式進攻的代價小。非對稱密鑰加密，容易實現(xiàn)密鑰管理，便于數(shù)字簽名，缺點是算法較復雜，加密解密花費時間長。加密技術中的另一重要的問題是密鑰管理，主要考慮密鑰設置協(xié)議、密鑰分配、密鑰保護、密鑰產(chǎn)生及進入等方面的問題。

（四）數(shù)字水印技術

信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中，然后通過公開信息的傳輸來傳遞機密信息。對信息隱藏而言，可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在，難以截獲機密信息，從而能保證機密信息的安全。隨著網(wǎng)絡技術和信息技術的廣泛應用，信息隱藏技術的發(fā)展有了更加廣闊的應用前景。數(shù)字水印是信息隱藏技術的一個重要研究方向，它是通過一定的算法將一些標志性信息直接嵌到多媒體內(nèi)容中，但不影響原內(nèi)容的價值和使用，并且不能被人的感覺系統(tǒng)覺察或注意到。

（五）入侵檢測技術的應用

入侵檢測系統(tǒng)(Intrusion Detection System 簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

六、結語

隨著網(wǎng)絡和計算機技術日新月益的飛速發(fā)展，新的安全問題不斷產(chǎn)生和變化。因此網(wǎng)絡信息的安全必須依靠不斷創(chuàng)新的技術進步與應用、自身管理制度的不斷完善和加強、網(wǎng)絡工作人員素質的不斷提高等措施來保障。同時要加快網(wǎng)絡信息安全技術手段的研究和創(chuàng)新，從而使網(wǎng)絡的信息能安全可靠地為廣大用戶服務。

參考文獻：

[1]朱理森，張守連.計算機網(wǎng)絡應用技術[M].北京:專利文獻出版社，2001

[2]劉占全.網(wǎng)絡管理與防火墻[M].北京:人民郵電出版社，1999

[3]張千里，陳光英.網(wǎng)絡安全新技術[M].北京:人民郵電出版社，2003

[4]陳愛民.計算機的安全與保密[M].北京:電子工業(yè)出版社，2002