网络信息系统常见安全问题及其对策发表时间：2010-11-18T11:32:41.043Z 来源：《中小企业管理与科技》2010年6月下旬刊供稿作者：刘若珍[导读] 文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。

刘若珍（中国电子科技集团公司第二十八研究所）摘要：当前，随着信息技术发展和社会信息化进程的全面加快，国民经济对信息和信息系统的依赖越来越大。

由此而产生的信息安全问题也日益突出，需高度重视，并有充分的对策。

论文在介绍了有关网络信息安全的知识的基础上，对以下内容进行了阐述：网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法，提出并阐述针对这些问题的对策。

最后提出任何一个信息系统的安全，很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略，在网络信息系统安全领域，技术手段和完善的管理制度与措施不可或缺。

关键词：网络信息安全网络攻击信息安全产品网络安全管理引言随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。

信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。

其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。

通常利用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件的发生。

计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。

1 网络安全分析网络信息系统安全已引起各国的高度重视。

对于上网的信息，如果安全得不到保障，攻击破坏者就可以通过窃取相关数据密码获得相应的权限，然后进行非法操作。

所以，在这个虚拟的网络社会中，安全问题显得至关重要。

随着社会信息化程度的不断提高，网络信息系统的安全与否已成为影响国家安全的重要因素。

因此，可以认为网络信息系统的安全性主要集中在网络安全、信息安全和文化安全三个主要方面。

网络安全包含物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。

我们在承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为并针对性地做出预防处理。

信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。

2 网络攻击的常见方法在笔者进行网络信息系统安全研究的过程中发现，网络攻击主要是利用计算机网络软硬件漏洞、操作系统缺陷以及对网络安全认识不足导致的人为失误进行的。

2.1 口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。

这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

2.2 放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。

当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。

攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

2.3 WWW的欺骗技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。

然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

2.4 电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。

攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。

当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。

2.5 安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。

其中一些是操作系统或应用软件本身具有的。

如缓冲区溢出攻击。

由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。

这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。

若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。

3 保证网络信息系统安全的主要技术及产品 3.1 防火墙技术 “防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。

从物理上说，防火墙就是放在两个网络之间的各种系统的集合，这些组建具有以下特性：①所有从内到外和从外到内的数据包都要经过防火墙；②只有安全策略允许的数据包才能通过防火墙；③防火墙本身应具有预防侵入的功能，防火墙主要用来保护安全网络免受来自不安全的侵入。

这里笔者需要说明的是，并不是所有网络用户都需要安装防火墙。

一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。

另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。

3.2 数据加密技术所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的，这种技术的目的是对传输中的数据流加密。

目前最常用的加密技术有对称加密技术和非对称加密技术。

对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”，这两个密钥必须配对使用，也就是说用公钥加密的文件必须用相应人的私钥才能解密，反之亦然。

3.3 访问控制3.3.1 身份验证身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。

身份验证主要包括验证依据、验证系统和安全要求。

身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网信息安全的第一道屏障。

3.3.2 存取控制存取控制规定何种主体对何种客体具有何种操作权力。

存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。

存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。

3.4 信息安全产品3.4.1 安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。

通常采用访问控制列表技术来控制网络信息流。

3.4.2 虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。

VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

3.4.3 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

3.4.4 电子签证机构--CA和PKI产品：电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。

CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。

3.4.5 安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。

它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

3.4.6 入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

3.4.7 入侵防御系统（IPS）：入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

3.4.8 安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。

安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

3.4.9 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

3.4.10 DG图文档加密:能够智能识别计算机所运行的涉密数据，并自动强制对所有涉密数据进行加密操作，而不需要人的参与。

体现了安全面前人人平等，从根源解决信息泄密。

4 当前面对网络威胁可以采取的主要对策4.1 加强对网络信息安全的重视网络信息安全是我们所面临的一个重要问题，它是一个综合性的课题，是一个系统的工程，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，更有使用者对网络安全的充分认知。

4.2 强化信息网络安全建设笔者认为，保证网络安全的技术手段包括：过滤、信息分析监控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。