王國君

內(nèi)容摘要：隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)、單位都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。本文主要介紹了信息系統(tǒng)所面臨的技術安全隱患，并提出了行之有效的解決方案。

關鍵字：高中計算機 信息系統(tǒng) 信息安全

一、目前信息系統(tǒng)技術安全的研究

1、信息安全現(xiàn)狀分析

隨著信息化進程的深入，信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術保障體系尚不完善，許多企業(yè)、單位花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標:二是應急反應體系沒有經(jīng)?；⒅贫然?三是企業(yè)、單位信息安全的標準、制度建設滯后。

對于網(wǎng)絡安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務。

2、企業(yè)信息安全防范的任務

信息安全的任務是多方面的，根據(jù)當前信息安全的現(xiàn)狀，制定信息安全防范的任務主要是:從安全技術上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

二、信息系統(tǒng)常見技術安全漏洞與技術安全隱患

每個系統(tǒng)都有漏洞，不論你在系統(tǒng)安全性上投入多少財力，攻擊者仍然可以發(fā)現(xiàn)一些可利用的特征和配置缺陷。發(fā)現(xiàn)一個已知的漏洞，遠比發(fā)現(xiàn)一個未知漏洞要容易的多，這就意味著:多數(shù)攻擊者所利用的都是常見的漏洞。這樣的話，采用適當?shù)墓ぞ?，就能在黑客利用這些常見漏洞之前，查出網(wǎng)絡的薄弱之處。漏洞大體上分為以下幾大類:

(1)權限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統(tǒng)的管理員權限，通常通過攻擊以root身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。漏洞的絕大部分來源于緩沖區(qū)溢出，少部分來自守護進程本身的邏輯缺陷。

(2)讀取受限文件。攻擊者通過利用某些漏洞，讀取系統(tǒng)中他應該沒有權限的文件，這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確，或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中。

(3)口令恢復。因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。

三、信息系統(tǒng)的安全防范措施

1、防火墻技術

防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為甚。

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。

2、認證中心（CA）與數(shù)字證書

互聯(lián)網(wǎng)的發(fā)展和信息技術的普及給人們的工作和生活帶來了前所未有的便利。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息安全隱患。為了防范信息安全風險，許多新的安全技術和規(guī)范不斷涌現(xiàn)，PKI(PublicKeyInfrastructure，公開密鑰基礎設施)即是其中一員。

在PKI體系中，CA(CertificateAuthority，認證中心)和數(shù)字證書是密不可分的兩個部分。認證中心又叫CA中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權威機構。認證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認證中心通常采用多層次的分級結構，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。

數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。

3、身份認證

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。我們熟悉的如防火墻、入侵檢測、VPN、安全網(wǎng)關、安全目錄等，與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢?我們從這些安全產(chǎn)品實現(xiàn)的功能來分析就明白了:防火墻保證了未經(jīng)授權的用戶無法訪問相應的端口或使用相應的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經(jīng)授權用戶攻擊系統(tǒng)的企圖;VPN在公共網(wǎng)絡上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權的用戶使用;安全網(wǎng)關保證了用戶無法進入未經(jīng)授權的網(wǎng)段，安全目錄保證了授權用戶能夠?qū)Υ鎯υ谙到y(tǒng)中的資源迅速定位和訪問。這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權限管理，他們解決了哪個數(shù)字身份對應能干什么的問題。而身份認證解決了用戶的物理身份和數(shù)字身份相對應的問題，給他們提供了權限管理的依據(jù)。