伍賢偉

【摘要】本文介紹了計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全內(nèi)容，并對計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全面臨的問題及防御措施作了詳細(xì)分析。

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)；安全威脅

【中圖分類號】TP393.08 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01—0159-01

在社會高速網(wǎng)絡(luò)化的今天，社會各行各業(yè)對網(wǎng)絡(luò)的依賴越來越大。各種重要信息如政務(wù)，商務(wù)，銀行轉(zhuǎn)賬信息等等都會在計算機(jī)網(wǎng)絡(luò)中存儲、傳輸和處理。隨著互聯(lián)網(wǎng)的迅速發(fā)展，計算機(jī)網(wǎng)絡(luò)中的資源共享也更加廣泛，網(wǎng)絡(luò)信息系統(tǒng)的安全也就提上日程。

一、安全內(nèi)容

計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全是指通過網(wǎng)絡(luò)技術(shù)和管理手段確保網(wǎng)絡(luò)信息系統(tǒng)中信息的完整性、保密性和可用性受到保護(hù)。

從比較實際的情況看主要包括：（1）實體安全：是指確保對信息采集、處理、傳輸和存儲過程不被破壞，（2）運(yùn)行安全：是指保證與計算機(jī)系統(tǒng)運(yùn)行有關(guān)的軟、硬件設(shè)備正常運(yùn)作；（3）信息安全：是指確保在信息采集、處理、儲存和傳輸中信息不被泄露、竊取和篡改。要真正實現(xiàn)計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全，首先要全方面了解可能構(gòu)成計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全威脅的因素，然后采取必要的安全措施，做到防患于未然。

二、構(gòu)成安全威脅的因素

2.1 內(nèi)部因素

2.1.1 硬件因素

這類因素主要是指硬件物理損壞、設(shè)備故障以及傳輸線路安全與質(zhì)量問題等，它對網(wǎng)絡(luò)信息的完整性、可用性及保密性的威脅很大。

2.1.2 軟件因素

這類因素主要包括計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)本身有缺陷，系統(tǒng)建立時沒有采取有效的安全措施，如對網(wǎng)絡(luò)互聯(lián)沒有驗證、共享文件沒有保護(hù)、文件沒有及時備份等；系統(tǒng)安全防護(hù)配置不合理，沒有起到應(yīng)有的作用；系統(tǒng)權(quán)限設(shè)置太少，用戶口令簡短且缺乏安全管理；系統(tǒng)在增加新的應(yīng)用軟件或自身軟件升級時審核制度不嚴(yán)。

2.2 外來威脅

2.2.1 病毒威脅

病毒主要侵害系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、破壞磁盤；干擾系統(tǒng)運(yùn)行、降低系統(tǒng)效率、擾亂系統(tǒng)顯示、禁止鍵盤及鼠標(biāo)運(yùn)行、攻擊CMOS、干擾打印機(jī)。病毒的特點(diǎn)是傳染性、潛伏性、破壞性、隱蔽性、不可預(yù)見性。開始病毒主要還是危害DOS系統(tǒng)，主要在DOS引導(dǎo)，DOS執(zhí)行時危害計算機(jī)；后發(fā)展至：伴隨及批次階段、幽靈及多形階段、網(wǎng)絡(luò)蠕蟲階段、視窗階段、宏病毒階段、互聯(lián)網(wǎng)階段、JAWA及郵件炸彈階段。在未來，“超級”蠕蟲病毒以其傳播惡意代碼速度快、范圍廣和難以被追查等特點(diǎn)將成為攻擊者的首選。

2.2.2 主動攻擊

主動攻擊又分為內(nèi)部攻擊和遠(yuǎn)程攻擊。內(nèi)部攻擊是指攻擊者在網(wǎng)絡(luò)中取得合法身份后，在局域網(wǎng)內(nèi)采取攻擊的手段以獲取超越權(quán)限的信息資料。遠(yuǎn)程攻擊是指攻擊者通過掃描程序等網(wǎng)絡(luò)工具對遠(yuǎn)程機(jī)器的網(wǎng)絡(luò)概況、操作系統(tǒng)進(jìn)行搜索，發(fā)現(xiàn)有關(guān)目標(biāo)機(jī)的詳細(xì)資料，利用口令攻擊程序等工具，對目標(biāo)機(jī)器的文件資料、配置進(jìn)行閱讀、拷貝、修改，甚至控制機(jī)器。

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊者——黑客的數(shù)量在增加，攻擊方式也在不斷改進(jìn)。未來對計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)威脅最大的遠(yuǎn)程攻擊可能為以下幾種：

（1）隱蔽攻擊。黑客利用網(wǎng)絡(luò)中不斷出現(xiàn)的新技術(shù)和軟件產(chǎn)品，將惡意代碼在傳播過程中改頭換面，對代碼進(jìn)行加密，并隱藏其攻擊目標(biāo)，掩蓋入侵路徑和傳播途徑，在不知不覺中盜竊、破壞信息，甚至控制機(jī)器。

（2）自動更新應(yīng)用。黑客利用軟件商通過網(wǎng)絡(luò)提供的自動更新服務(wù)，將惡意代碼嵌在更新服務(wù)中或者更改更新服務(wù)的鏈接地址使用戶在鏈接時被定向到攻擊者的機(jī)器上。

（3）路由/DNS攻擊。目前路由邊界網(wǎng)關(guān)協(xié)議的漏洞很少見，但不是無懈可擊，NDNS一直被一些問題困擾。黑客若找出了路由協(xié)議的漏洞或控制了DNS，整個網(wǎng)絡(luò)就失去了可用性。

（4）“信息+物理”的混合攻擊。這種方式是利用信息手段攻擊計算機(jī)網(wǎng)絡(luò)系統(tǒng)，使系統(tǒng)癱瘓，同時以物理方式攻擊系統(tǒng)的物理設(shè)施。

2.2.3 被動攻擊

被動攻擊是指攻擊者利用通訊設(shè)備或其他手段如搭線，從網(wǎng)絡(luò)中盜取信息但不破壞信息系統(tǒng)的攻擊方式，這種攻擊主要威脅信息的保密性。如網(wǎng)絡(luò)監(jiān)聽就是一種最常用的被動攻擊方法。其特點(diǎn)是隱蔽性強(qiáng)、手段靈活、檢測困難。通過網(wǎng)絡(luò)監(jiān)聽，攻擊者能輕易獲得各種重要信息。

2.2.4 拒絕服務(wù)

拒絕服務(wù)是指攻擊者不斷對網(wǎng)絡(luò)服務(wù)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序，使系統(tǒng)響應(yīng)減慢，甚至癱瘓，影響正常用戶的使用。如DoS攻擊、DDoS攻擊、DRDoS攻擊等。

三、安全措施

3.1 建立管理制度和安全制度

網(wǎng)絡(luò)管理員應(yīng)對所有用戶設(shè)置資源使用權(quán)限和口令，并對用戶名和口令進(jìn)行加密存儲、傳輸，能提供完整的用戶使用記錄和分析，建立和維護(hù)完整的數(shù)據(jù)庫；嚴(yán)格對系統(tǒng)日志進(jìn)行管理，對可疑活動要仔細(xì)分析，及時制止破壞或盜竊信息的活動；定期對網(wǎng)絡(luò)安全狀況做出評估和審核；關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全措施。對所有操作人員、操作技術(shù)、設(shè)備軟件和數(shù)據(jù)建立相應(yīng)的管理制度；加強(qiáng)物理環(huán)境的安全防護(hù)，保證設(shè)備和設(shè)施不受自然和人為破壞。

3.2 用備份技術(shù)提高數(shù)據(jù)恢復(fù)時的完整性

備份信息可以有兩種實現(xiàn)方法：手動和自動。一般系統(tǒng)都有簡單的備份系統(tǒng)，但對重要的信息應(yīng)購買專用的系統(tǒng)備份產(chǎn)品。對機(jī)密文件應(yīng)做涉密介質(zhì)備份。

3.3 查殺病毒

定期檢查網(wǎng)絡(luò)系統(tǒng)是否被感染了計算機(jī)病毒，對引導(dǎo)軟盤或下載軟件和文檔應(yīng)加以安全控制。對外來移動存儲設(shè)備在使用前應(yīng)進(jìn)行病毒檢測。要不斷更新殺毒軟件和病毒庫，及時掌握病毒動向，并采取相應(yīng)的有效措施。

3.4 補(bǔ)丁程序

對系統(tǒng)軟件應(yīng)及時安裝補(bǔ)丁程序，不給入侵者以可乘之機(jī)。

3.5 在局域網(wǎng)中設(shè)置防火墻和網(wǎng)絡(luò)安全審計系統(tǒng)

防火墻的作用包括包過濾、包的透明轉(zhuǎn)發(fā)、阻擋外部攻擊和記錄攻擊等。目前防火墻技術(shù)有以下幾種：網(wǎng)絡(luò)級防火墻、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。安全審計系統(tǒng)主要是對系統(tǒng)中新安裝的軟件或軟件升級包進(jìn)行安全審計，杜絕不良因素通過新裝軟件或軟件升級包進(jìn)入系統(tǒng)。

3.6 數(shù)據(jù)加密

密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)：鏈路加密、節(jié)點(diǎn)加密和端到端加密。

四、結(jié)束語

一種技術(shù)只能解決一方面的問題，而計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全是一項復(fù)雜的系統(tǒng)工程，只有嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能保證計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全。

參考文獻(xiàn)

[1]何萬敏.網(wǎng)絡(luò)信息安全與防范技術(shù).甘肅農(nóng)業(yè).2005

[2]費(fèi)宗蓮.動態(tài)威脅防御系統(tǒng).計算機(jī)安全.2005

[3]肖成禹.關(guān)于計算機(jī)網(wǎng)絡(luò)信息安全的思考.鍋爐制造.2006