試談網(wǎng)絡(luò)信息安全問題及防范對策

謝彬

所謂網(wǎng)絡(luò)信息安全就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全；從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的完整性、機密性、有效性、等相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)信息安全的研究領(lǐng)域。近年來，隨著計算機科學(xué)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)的應(yīng)用變得越來越廣泛，給人們帶來了數(shù)不盡的便捷和好處，是行政機關(guān)、企事業(yè)單位內(nèi)外各種信息交互、傳輸和共享的基礎(chǔ)。但由于網(wǎng)絡(luò)自身的開放性、互聯(lián)性以及連接形式多樣性、終端分布不均勻等特點，致使網(wǎng)絡(luò)易受黑客、惡意軟件等攻擊，因此網(wǎng)絡(luò)安全問題和有效的防范措施凸顯出其重要性。

網(wǎng)絡(luò)信息安全的基本內(nèi)涵——信息安全是指防止任何對數(shù)據(jù)進行未授權(quán)訪問的措施，或者防止造成信息有意無意泄漏、破壞、丟失等問題的發(fā)生，讓數(shù)據(jù)處于遠(yuǎn)離危險、免于威脅的狀態(tài)或特性。網(wǎng)絡(luò)安全是指計算機網(wǎng)絡(luò)環(huán)境下的信息安全。因此網(wǎng)絡(luò)信息安全就是指計算機網(wǎng)絡(luò)信息系統(tǒng)的硬件設(shè)備或者軟件及其重要數(shù)據(jù)信息受到保護，不因突發(fā)事件或者惡意破壞而遭到損害、更改或者泄露，從而使網(wǎng)絡(luò)信息系統(tǒng)能夠連續(xù)安全運行。

網(wǎng)絡(luò)信息系統(tǒng)面臨的主要安全性問題——網(wǎng)絡(luò)信息系統(tǒng)面臨的安全性攻擊有被動攻擊和主動攻擊兩種類型。

被動攻擊是攻擊者對信息系統(tǒng)實施的一種“被動性”攻擊，主要特征是竊密，其行為一般不妨礙信息系統(tǒng)本身的正常工作。被動攻擊主要包含以下攻擊行為。

非法閱讀和復(fù)制文件攻擊者未經(jīng)授權(quán)而非法進入信息系統(tǒng)閱讀或復(fù)制信息系統(tǒng)程序和其它文件等。

竊聽通信信息攻擊者通過搭線竊聽、空中攔截等手段，截取他人信息。

通信流量分析攻擊者通過流量監(jiān)測，也可獲得有用信息。例如某系統(tǒng)平時流量大致穩(wěn)定，某天通訊流量突然激增，預(yù)示著有重大事件發(fā)生，攻擊者必千方百計探知。由于被動攻擊不影響信息系統(tǒng)的正常工作，因此這種方式攻擊隱蔽性強，通過檢測等一般方法很難發(fā)現(xiàn)。對付這種攻擊的有效途徑不是檢測而是預(yù)防。

主動攻擊是攻擊者對信息系統(tǒng)實施的一種“主動性”攻擊，主要特征是假冒、偽造和篡改，其行為妨礙信息系統(tǒng)本身的正常工作。主動攻擊主要包含以下攻擊行為。

假冒攻擊者假冒他人身份，欺騙合法實體。例如，犯罪分子制作以假亂真的網(wǎng)上銀行網(wǎng)頁，盜取用戶的用戶名和密碼，然后將用戶的存款通過真正網(wǎng)銀網(wǎng)頁轉(zhuǎn)移到他的賬戶上。

重放攻擊（replay attacks）又稱重播攻擊、回放攻擊或新鮮性攻擊（freshness attacks），是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程，破壞認(rèn)證的正確性。這種攻擊會不斷惡意或欺詐性地重復(fù)一個有效的數(shù)據(jù)傳輸，重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進行。攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。重放攻擊在任何網(wǎng)絡(luò)通訊過程中都可能發(fā)生。

篡改攻擊者通過插入、修改、刪除等手段篡改所訪問或攔截的信息系統(tǒng)信息。

偽造攻擊者偽造信息并通過網(wǎng)絡(luò)傳送給接收者。

中斷攻擊者無休止地對網(wǎng)上的服務(wù)實體不斷進行干擾，使其超負(fù)荷運轉(zhuǎn)，執(zhí)行非服務(wù)性操作，最終導(dǎo)致系統(tǒng)無法正常使用甚至癱瘓。由于主動攻擊影響信息系統(tǒng)的正常工作，因此容易通過檢測發(fā)現(xiàn)，但難以預(yù)防此種行為的發(fā)生。因此對付這種攻擊的有效途徑不是預(yù)防而是檢測和恢復(fù)。

對計算機網(wǎng)絡(luò)安全問題采取的幾點防范措施網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

網(wǎng)絡(luò)信息安全在很大程度上依賴于技術(shù)的完善，包括防火墻、訪問控制、入侵檢測、密碼、數(shù)字簽名、病毒檢測及清除、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測報警等技術(shù)。

防火墻技術(shù)。防火墻（firewall）是指一個由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護層，在此進行檢查和連接。只有被授權(quán)的通信才能通過此保護層，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管制措施，記錄所有可疑事件。根據(jù)對數(shù)據(jù)處理方法的不同，防火墻大致可分為兩大體系：包過濾防火墻和代理防火墻。

訪問控制技術(shù)訪問控制（access control）技術(shù)是對信息系統(tǒng)資源進行保護的重要措施，它設(shè)計的三個基本概念為：主體、客體和授權(quán)訪問。主體是指一個主動的實體，它可以訪問客體，包括有用戶、用戶組、終端、主機或一個應(yīng)用?？腕w是一個被動的實體，訪問客體受到一定的限制?？腕w可以是一個字節(jié)、字段、記錄、程序或文件等。授權(quán)訪問是指對主題訪問客體的允許，對于每一個主體和客體來說，授權(quán)訪問都是給定的。訪問控制技術(shù)的訪問策略通常有三種：自主訪問控制、強制訪問控制以及基于角色的訪問控制。訪問控制的技術(shù)與策略主要有：入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制、屬性控制以及服務(wù)器安全控制等多種手段。

入侵檢測技術(shù)入侵檢測系統(tǒng)（intrusion detection system，簡稱 ids）通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。提供了對內(nèi)部入侵、外部入侵和錯誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。

所謂數(shù)據(jù)加密（data encryption）技術(shù)是指將一個信息（或稱明文）經(jīng)過加密密鑰及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密密鑰還原成明文。數(shù)據(jù)加密是網(wǎng)絡(luò)中采用的最基本的安全技術(shù)，目的是為了防止合法接收者之外的人獲取信息系統(tǒng)中的機密信息。

數(shù)字簽名（digital signature）技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用 hash 函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。

隨著計算機網(wǎng)絡(luò)的發(fā)展，計算機病毒從早期感染單機已發(fā)展到利用計算機網(wǎng)絡(luò)技術(shù)進行病毒傳播，其蔓延的速度更加迅速，破壞性也更為嚴(yán)重。在病毒防范中普遍使用的防病毒軟件，網(wǎng)絡(luò)防病毒軟件主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其他資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。

人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。在做好技術(shù)安全防護措施的同時，也要加強對信息系統(tǒng)及相關(guān)人員的管理，只有技術(shù)與管理并重，信息系統(tǒng)才能真正做到安全防護。首先，網(wǎng)絡(luò)設(shè)備科學(xué)合理的管理。對網(wǎng)絡(luò)設(shè)備進行合理的管理，必定能增加網(wǎng)絡(luò)的安全性。比如將一些重要的設(shè)備盡量進行集中管理，如主干交換機、各種服務(wù)器等；對終端設(shè)備實行落實到人，進行嚴(yán)格管理，如工作站以及其他轉(zhuǎn)接設(shè)備；對各種通信線路盡量進行架空、穿線或者深埋，并做好相應(yīng)的標(biāo)記等。其次，是對網(wǎng)絡(luò)的安全管理。建立各項網(wǎng)絡(luò)信息安全制度，堅持預(yù)防為主、補救為輔的原則。制定工作崗位責(zé)任制，任務(wù)到人，責(zé)任到人，責(zé)、權(quán)、利分明，以最少的投入達到最佳安全狀態(tài)。此外還必須對管理人員進行安全管理意識培訓(xùn)，加強對管理員安全技術(shù)和用戶安全意識的培訓(xùn)工作。

計算機網(wǎng)絡(luò)信息安全是一個系統(tǒng)的工程，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，而一種技術(shù)只能解決一方面的安全問題，而不是萬能的。必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全防護技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

作者單位：貴州省赫章縣公安局