吳春香

(南京曉莊學(xué)院 數(shù)學(xué)與信息技術(shù)學(xué)院，江蘇 南京 211171)

淺析網(wǎng)絡(luò)信息安全技術(shù)及其防范措施*

吳春香

(南京曉莊學(xué)院 數(shù)學(xué)與信息技術(shù)學(xué)院，江蘇 南京 211171)

當(dāng)前，計(jì)算機(jī)系統(tǒng)在國(guó)家安全、政治、經(jīng)濟(jì)及文化等各方面起到的作用越來(lái)越重要，它已成為國(guó)家、企業(yè)及公民的寶貴財(cái)富，同時(shí)也成為一些別有用心者的非法攻擊對(duì)象.所以，計(jì)算機(jī)系統(tǒng)的安全越來(lái)越受到人們的重視.計(jì)算機(jī)單機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)均可能遭到各種各樣的攻擊，如何保障計(jì)算機(jī)系統(tǒng)的安全，是現(xiàn)在必須面對(duì)和研究的課題.

網(wǎng)絡(luò)信息;安全技術(shù);預(yù)防措施

隨著統(tǒng)計(jì)信息化建設(shè)的逐步深入，越來(lái)越多的統(tǒng)計(jì)工作由傳統(tǒng)模式轉(zhuǎn)向網(wǎng)絡(luò)模式，極大地提高了工作效率，統(tǒng)計(jì)工作對(duì)網(wǎng)絡(luò)系統(tǒng)的依賴(lài)也日益增強(qiáng)，但應(yīng)該注意的是網(wǎng)絡(luò)的另外一面，由于系統(tǒng)的漏洞和網(wǎng)絡(luò)的開(kāi)放性，病毒侵襲、網(wǎng)絡(luò)欺詐、信息污染、黑客攻擊等問(wèn)題也對(duì)統(tǒng)計(jì)信息安全造成嚴(yán)重威脅，信息安全也勢(shì)必成為統(tǒng)計(jì)信息化建設(shè)的一個(gè)重要內(nèi)容［1］.

1 網(wǎng)絡(luò)信息安全概述

“信息安全”最初是指信息的保密性，信息安全包括的范圍很大，涉及國(guó)家軍事政治信息、企業(yè)商業(yè)機(jī)密信息以及公民的個(gè)人信息等.信息可以有多種存在方式，可以寫(xiě)在紙上，儲(chǔ)存在電子文檔里，也可以用郵遞或電子手段發(fā)送，可以在電影上放映或者說(shuō)話(huà)中提到，無(wú)論信息以何種方式表示、共享和存儲(chǔ)，都應(yīng)當(dāng)適當(dāng)?shù)乇Ｗo(hù)起來(lái).進(jìn)入信息時(shí)代，大量信息主要被儲(chǔ)存在機(jī)器里，信息安全主要是設(shè)在專(zhuān)用機(jī)房?jī)?nèi)的主機(jī)上重要數(shù)據(jù)的安全，這時(shí)信息安全主要是指信息的保密性、完整性和可用性.

信息和數(shù)據(jù)安全的范圍要比網(wǎng)絡(luò)安全和計(jì)算機(jī)安全更為廣泛.它包括了信息系統(tǒng)中從信息的產(chǎn)生直至信息的應(yīng)用這一全部過(guò)程.我們?nèi)粘Ｉ钪薪佑|的數(shù)據(jù)比比皆是，考試的分?jǐn)?shù)、銀行的存款、人員的年齡、商品的庫(kù)存量等等，按照某種需要或一定的規(guī)則進(jìn)行收集，經(jīng)過(guò)不同的分類(lèi)、運(yùn)算和加工整理，形成對(duì)管理決策有指導(dǎo)價(jià)值和傾向性說(shuō)明的信息.

信息系統(tǒng)的安全問(wèn)題直接影響到社會(huì)經(jīng)濟(jì)、政治、軍事、個(gè)人生活的各個(gè)領(lǐng)域，甚至影響到國(guó)家安全.不解決信息安全問(wèn)題，不加強(qiáng)信息系統(tǒng)的安全保障，信息化不可能得到持續(xù)健康的發(fā)展.如何對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶(hù)都十分關(guān)心的話(huà)題.信息安全研究涉及的范圍很廣，包括密碼技術(shù)、信息設(shè)施安全、信息管理安全、安全防范、安全審計(jì)與安全評(píng)估、計(jì)算機(jī)病毒攻擊與防范等.隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息安全的含義也將不斷深入、不斷發(fā)展變化.

2 網(wǎng)絡(luò)信息面臨的威脅和攻擊

網(wǎng)絡(luò)信息面臨的威脅和攻擊，來(lái)自于很多方面，大體上可分為以下幾種.

2.1 自然威脅

自然威脅指各種自然災(zāi)害、惡劣的環(huán)境因素、電磁場(chǎng)的干擾或電磁泄漏、網(wǎng)絡(luò)設(shè)備的自然老化等威脅.自然威脅往往具有不可抗拒性.

2.2 偶然無(wú)意構(gòu)成的威脅

如硬件設(shè)備故障、突然斷電或電源波動(dòng)大、檢測(cè)不到的軟件錯(cuò)誤或缺陷等.偶然事故有以下幾種可能的情況.(1)軟、硬件的故障引起的安全策略失敗.(2)工作人員的誤操作，使信息遭到嚴(yán)重破壞或無(wú)意地被別人看到了機(jī)密信息.(3)自然災(zāi)害，使計(jì)算機(jī)系統(tǒng)受到嚴(yán)重破壞.(4)環(huán)境因素的突然變化造成信息出錯(cuò)、丟失或破壞［2］.

2.3 人為攻擊的威脅

如國(guó)外間諜竊取機(jī)密情報(bào)、內(nèi)部工作人員的非法訪問(wèn)、用戶(hù)的瀆職行為以及利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪等.人為攻擊有以下幾種手段.(1)利用系統(tǒng)本身的脆弱性.(2)濫用特殊身份.(3)不合法地使用.(4)修改或非法復(fù)制系統(tǒng)中的數(shù)據(jù).

對(duì)信息進(jìn)行人為的故意破壞或竊取稱(chēng)為攻擊.根據(jù)攻擊的方法不同，可分為被動(dòng)攻擊和主動(dòng)攻擊兩類(lèi).

a.被動(dòng)攻擊是指一切竊密的攻擊.它是在不干擾系統(tǒng)正常工作的情況下偵聽(tīng)、截獲、竊取系統(tǒng)信息，以便破譯分析;觀察、控制信息的內(nèi)容來(lái)獲得目標(biāo)系統(tǒng)的位置、身份;研究機(jī)密信息的長(zhǎng)度和傳遞的頻度獲得信息的性質(zhì).被動(dòng)攻擊不容易被用戶(hù)發(fā)現(xiàn)，由此可以看出被動(dòng)攻擊更具有持續(xù)性和危害性.

b.主動(dòng)攻擊是指篡改信息的攻擊.它不僅能截獲，而且還威脅到信息的完整性和可靠性.它是以各種各樣的方式，進(jìn)行修改、添加、刪除、偽造和重排信息內(nèi)容，從而引起網(wǎng)絡(luò)信息的丟失.

2.4 軟件漏洞

(1)陷門(mén).陷門(mén)是在程序開(kāi)發(fā)時(shí)插入的一小段程序，目的可能是測(cè)試某個(gè)模塊，或是為了將來(lái)的更改和升級(jí)程序，也可能是為了將來(lái)發(fā)生故障后，為程序員提供方便.通常應(yīng)在程序開(kāi)發(fā)后期就去掉這些陷門(mén)，但是由于各種原因，陷門(mén)可能被保留，一旦被利用將會(huì)帶來(lái)嚴(yán)重的后果.

(2)數(shù)據(jù)庫(kù)的安全漏洞.將原始數(shù)據(jù)以明文形式存儲(chǔ)于數(shù)據(jù)庫(kù)中是不夠安全的.高明的入侵者可以從系統(tǒng)內(nèi)存中導(dǎo)出所需的信息，或者采用某種方式進(jìn)入系統(tǒng)，從系統(tǒng)的后備存儲(chǔ)器上竊取或篡改數(shù)據(jù).因此，必要時(shí)應(yīng)該對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密保護(hù).考慮到數(shù)據(jù)一般具有較長(zhǎng)的生命周期，數(shù)據(jù)庫(kù)的加密應(yīng)該采用獨(dú)特的加密方法和密鑰管理方法.因此，必要時(shí)應(yīng)該對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密保護(hù).

(3)TCP/IP的安全漏洞

TCP/IP在設(shè)計(jì)初期并沒(méi)有考慮安全問(wèn)題.現(xiàn)在，用戶(hù)和網(wǎng)絡(luò)管理員沒(méi)有足夠的精力專(zhuān)注于網(wǎng)絡(luò)安全控制，操作系統(tǒng)和應(yīng)用程序越來(lái)越復(fù)雜，開(kāi)發(fā)人員不可能測(cè)試出所有的安全漏洞，因而連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)受到外界的惡意攻擊和竊取的風(fēng)險(xiǎn)越來(lái)越大.

2.5 結(jié)構(gòu)隱患

結(jié)構(gòu)隱患一般指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的隱患和網(wǎng)絡(luò)硬件的安全缺陷.網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)本身有可能給網(wǎng)絡(luò)的安全帶來(lái)問(wèn)題.作為網(wǎng)絡(luò)信息系統(tǒng)的載體，網(wǎng)絡(luò)硬件的安全隱患也是網(wǎng)絡(luò)結(jié)構(gòu)隱患的重要方面.

基于各國(guó)的不同國(guó)情，網(wǎng)絡(luò)信息系統(tǒng)存在的安全問(wèn)題也不盡相同.對(duì)于我國(guó)而言，由于我國(guó)還是一個(gè)發(fā)展中國(guó)家，網(wǎng)絡(luò)信息安全系統(tǒng)除了具有上述普遍存在的安全缺陷之外，還存在因軟、硬件核心技術(shù)掌握在別人手中而造成的技術(shù)被動(dòng)等方面的安全隱患［3］.

3 網(wǎng)絡(luò)信息安全防護(hù)技術(shù)

3.1 防火墻技術(shù)

實(shí)現(xiàn)防火墻的新產(chǎn)品主要有兩大類(lèi):一類(lèi)是網(wǎng)絡(luò)級(jí)防火墻，另一類(lèi)是應(yīng)用級(jí)防火墻.目前的一種趨勢(shì)是把這兩種技術(shù)結(jié)合起來(lái).為了實(shí)現(xiàn)防火墻的設(shè)計(jì)目標(biāo)，人們采取了不同的技術(shù)方案［4］.從思路來(lái)看，無(wú)非是發(fā)現(xiàn)非授權(quán)訪問(wèn)的特點(diǎn)而拒之，隱蔽內(nèi)部網(wǎng)的參數(shù)而護(hù)之.歸納起來(lái)，主要有包過(guò)濾技術(shù)、狀態(tài)檢查技術(shù)、代理技術(shù)和地址翻譯技術(shù)等.

(1)包過(guò)濾技術(shù)

基于包過(guò)濾技術(shù)的防火墻叫做包過(guò)濾路用器，它含有一個(gè)包檢查模塊，依據(jù)一套規(guī)則對(duì)收到的IP包進(jìn)行處理，決定是轉(zhuǎn)發(fā)還是丟棄.包過(guò)濾被設(shè)置為兩個(gè)方向(從外網(wǎng)進(jìn)入內(nèi)網(wǎng)或者相反)，對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行過(guò)濾，因此可以控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的互訪，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容.

(2)狀態(tài)檢查技術(shù)

包過(guò)濾防火墻在網(wǎng)絡(luò)層攔截所有的數(shù)據(jù)包，并根據(jù)各個(gè)數(shù)據(jù)包的信息實(shí)行過(guò)濾操作，不考慮上層的上下文內(nèi)容.大多數(shù)運(yùn)行在TCP協(xié)議上的標(biāo)準(zhǔn)應(yīng)用程序都遵循客戶(hù)機(jī)/服務(wù)器的工作模式，當(dāng)本地主機(jī)使用TCP協(xié)議的應(yīng)用程序與遠(yuǎn)端主機(jī)會(huì)話(huà)時(shí)，將被動(dòng)態(tài)分配一個(gè)高端口(大于1024)連接，簡(jiǎn)單包過(guò)濾技術(shù)一般允許基于TCP的通信在高端口通過(guò)，為未授權(quán)用戶(hù)非法使用這些高端口提供了條件.

(3)代理技術(shù)

作為訪問(wèn)者與被訪問(wèn)者之間的中介，代理起到隔離雙方的作用.代理服務(wù)器在通信中扮演一個(gè)消息傳遞者的角色，無(wú)論對(duì)外部網(wǎng)還是對(duì)內(nèi)部網(wǎng)來(lái)說(shuō)，它們“見(jiàn)”到的都只是代理服務(wù)器.

像包過(guò)濾路由器那樣，僅僅依賴(lài)于數(shù)據(jù)包的信息(例如源與目標(biāo)的IP地址)就遠(yuǎn)遠(yuǎn)不夠了，代理必須綜合考慮與應(yīng)用相關(guān)的狀態(tài)及部分與傳輸有關(guān)的信息，并根據(jù)這些信息做出是否為雙方傳遞消息的決定.

3.2 數(shù)字簽名

通信和數(shù)據(jù)系統(tǒng)的安全性常常取決于能否正確識(shí)別通信用戶(hù)或終端的身份.人們?cè)谌粘＝煌袨榱俗C明信息的真?zhèn)瓮捎煤灻姆椒?在互聯(lián)網(wǎng)上，常用數(shù)字簽名的方法解決鑒別數(shù)字信息真?zhèn)蔚膯?wèn)題.數(shù)字簽名的實(shí)質(zhì)是數(shù)字加密技術(shù)，現(xiàn)在一般都采用公開(kāi)密鑰加密技術(shù)進(jìn)行數(shù)字簽名［5］.在數(shù)據(jù)發(fā)送方用私鑰進(jìn)行加密，實(shí)質(zhì)上是簽名，然后將簽了名的密文傳送出去.接收方對(duì)接收到的密文用公鑰進(jìn)行解密獲得報(bào)文.需要注意的是，數(shù)字簽名并沒(méi)有解決信息加密，因?yàn)槿魏稳硕伎梢缘玫桨l(fā)送方的公鑰，任何人都可以獲得這個(gè)報(bào)文，所以還需要與密鑰相配合，進(jìn)行信息的加密.

3.3 報(bào)文鑒別

對(duì)付被動(dòng)攻擊可以采用加密的方式，對(duì)付主動(dòng)攻擊則需要采用報(bào)文鑒別技術(shù).報(bào)文鑒別技術(shù)主要是解決信息在傳輸過(guò)程中被截獲并篡改的問(wèn)題，通過(guò)報(bào)文鑒別可以判斷出報(bào)文的完整性.

報(bào)文鑒別過(guò)程是:發(fā)送方在發(fā)送報(bào)文前先將報(bào)文進(jìn)行哈希函數(shù)運(yùn)算，得到一個(gè)定長(zhǎng)的報(bào)文摘要(MD)，然后對(duì)MD進(jìn)行加密，追加到報(bào)文后面發(fā)送出去.接收方對(duì)接收到的MD進(jìn)行解密，并且對(duì)報(bào)文用同樣的哈希函數(shù)進(jìn)行運(yùn)算，用得到的MD與解密的MD進(jìn)行比較，如果相同，證明報(bào)文在傳輸過(guò)程中沒(méi)有被篡改.

3.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)(Intrusion Detection)技術(shù)與防火墻等其他網(wǎng)絡(luò)安全策略相比，是一種比較新的網(wǎng)絡(luò)安全策略.入侵檢測(cè)系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)或主機(jī)的日志等信息進(jìn)行提取、分析，發(fā)現(xiàn)入侵和攻擊行為，并對(duì)入侵或攻擊做出響應(yīng).

入侵檢測(cè)系統(tǒng)在識(shí)別人侵和攻擊時(shí)，具有一定的智能，可以對(duì)入侵特征進(jìn)行提取和匯總，在檢測(cè)到入侵后能夠主動(dòng)采取響應(yīng)措施，并對(duì)響應(yīng)進(jìn)行合并與融合.入侵檢測(cè)技術(shù)是一種主動(dòng)防御技術(shù).

3.5 取證技術(shù)

計(jì)算機(jī)取證專(zhuān)家Judd Robbins這樣定義:計(jì)算機(jī)取證(forensics)技術(shù)就是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取.同時(shí)針對(duì)黑客的入侵，保障網(wǎng)絡(luò)的安全.

在信息時(shí)代，人們每天面對(duì)大量的計(jì)算機(jī)犯罪案例.這些案例的取證工作需要提取存在于計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)，常常需要從已經(jīng)被刪除、加密或破壞的文件中重新獲得信息.電子證據(jù)本身和取證過(guò)程的許多有別于傳統(tǒng)物證和取證的特點(diǎn)，對(duì)司法和計(jì)算機(jī)科學(xué)提出了新的挑戰(zhàn).

證據(jù)可以在計(jì)算機(jī)犯罪或誤用這一大范圍中收集，包括竊取商業(yè)秘密、竊取或破壞知識(shí)產(chǎn)權(quán)和欺詐行為等.

計(jì)算機(jī)專(zhuān)家可以提供一系列的方法來(lái)挖掘存儲(chǔ)于計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)，或恢復(fù)已刪除的、被加密的或被破壞的文件信息.這些信息在收集證詞、宣誓作證或?qū)嶋H訴訟過(guò)程中都可能有用.

計(jì)算機(jī)取證包括對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔，即對(duì)電子證據(jù)的收集、保存、分析和陳述.

4 結(jié)論

網(wǎng)絡(luò)技術(shù)應(yīng)該發(fā)揮監(jiān)管方面的積極作用.要在網(wǎng)絡(luò)接入時(shí)，要建立一套完整的網(wǎng)絡(luò)監(jiān)管體系.網(wǎng)絡(luò)安全技術(shù)的發(fā)展只能走技術(shù)集成這條路.由于網(wǎng)絡(luò)安全不僅僅是一個(gè)純技術(shù)問(wèn)題，單憑技術(shù)因素確保網(wǎng)絡(luò)安全是不可能的.網(wǎng)絡(luò)安全問(wèn)題是涉及法律、管理和技術(shù)等多方因素的復(fù)雜系統(tǒng)問(wèn)題.因此網(wǎng)絡(luò)安全體系是由網(wǎng)絡(luò)安全法律體系、網(wǎng)絡(luò)安全管理體系和網(wǎng)絡(luò)安全技術(shù)體系三部分組成，它們相輔相成.只有協(xié)調(diào)好三者的關(guān)系，才能有效地保護(hù)網(wǎng)絡(luò)的安全.

［1］張玉珍.大學(xué)計(jì)算機(jī)應(yīng)用基礎(chǔ)［M］.北京:人民郵電出版社，2009.09:102 ～103.

［2］田艷，高集榮.現(xiàn)代統(tǒng)計(jì)信息技術(shù)［M］.北京:中國(guó)統(tǒng)計(jì)出版社，2008.12:98 ～100.

［3］李軍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)探討［J］.價(jià)值工程，2011，(8):67 ～68.

［4］尚榮斌.電子商務(wù)網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用淺析［J］.科技信息，2011，(4):112.

［5］左享拔.網(wǎng)絡(luò)信息安全技術(shù)淺析［J］.景德鎮(zhèn)高專(zhuān)學(xué)報(bào)，2011，(6):120.

TP3

A

1006－5342(2011)12－0095－02

2011－10－23