何良軍

摘 要：從網(wǎng)絡(luò)平臺(tái)、應(yīng)用平臺(tái)、管理平臺(tái)以及計(jì)算機(jī)系統(tǒng)的物理安全等方面著手，分析了可能存在的網(wǎng)絡(luò)信息安全隱患，并在此基礎(chǔ)上提出了相應(yīng)的網(wǎng)絡(luò)信息安全解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；安全隱患；解決方案

21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，隨著Internet的發(fā)展，網(wǎng)絡(luò)豐富的信息資源給用戶帶來(lái)了極大的方便，但同時(shí)也給用戶帶來(lái)了網(wǎng)絡(luò)信息安全問(wèn)題。由于Internet的開(kāi)放性和超越組織與國(guó)界等特點(diǎn)，使它在安全性上存在一些隱患，而且信息安全的內(nèi)涵也發(fā)生了根本的變化。

一、什么是信息安全

在探討網(wǎng)絡(luò)信息安全前，必須首先明確什么是信息安全，其具體內(nèi)容是什么。目前，有關(guān)信息安全的定義比較流行的主要有以下幾種說(shuō)法：

國(guó)際標(biāo)準(zhǔn)化組織（ISO）定義：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露?！蔽覈?guó)安全專家繆道期則認(rèn)為：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然的和惡意的原因而遭到破壞、更改和顯露，系統(tǒng)連續(xù)正常運(yùn)行。”兩種說(shuō)法究其根源是一致的，前者偏重于靜態(tài)信息保護(hù)，后者著重于動(dòng)態(tài)意義描述。

總的來(lái)說(shuō)，信息安全的主要目標(biāo)是保護(hù)信息資源以免受毀壞、替換、盜竊和丟失。這些信息資源包括計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)、軟件、計(jì)算機(jī)輸出材料和數(shù)據(jù)。信息安全可分為物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等；邏輯安全包括信息完整性、保密性和可用性。

二、網(wǎng)絡(luò)信息安全隱患分析

（一）對(duì)各類型安全隱患的分析

下面我們就從網(wǎng)絡(luò)平臺(tái)、應(yīng)用平臺(tái)、管理平臺(tái)以及計(jì)算機(jī)系統(tǒng)的物理安全等多方面來(lái)分析可能存在的安全隱患，并在此基礎(chǔ)上對(duì)每種類別的安全隱患進(jìn)行具體分析描述。

1.網(wǎng)絡(luò)平臺(tái)存在的安全隱患

（1）內(nèi)網(wǎng)連接外網(wǎng)后，經(jīng)常遭受來(lái)自外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)、黑客對(duì)系統(tǒng)的惡意攻擊以及病毒入侵。

（2）系統(tǒng)內(nèi)部不同域相互連接后，會(huì)遭受來(lái)自內(nèi)部有意或無(wú)意的非授權(quán)訪問(wèn)、惡意攻擊以及病毒入侵。

（3）信息在廣域網(wǎng)上傳輸時(shí)數(shù)據(jù)泄露的危險(xiǎn)。

2.應(yīng)用平臺(tái)存在的安全隱患

（1）關(guān)鍵業(yè)務(wù)主機(jī)系統(tǒng)的安全隱患：不能實(shí)時(shí)監(jiān)控關(guān)鍵業(yè)務(wù)主機(jī)硬件系統(tǒng)的運(yùn)行情況；不能實(shí)時(shí)報(bào)告關(guān)鍵業(yè)務(wù)主機(jī)系統(tǒng)故障；操作系統(tǒng)的安全級(jí)別低，缺乏對(duì)關(guān)鍵業(yè)務(wù)主機(jī)操作系統(tǒng)用戶權(quán)限的嚴(yán)格控制、文件系統(tǒng)的保護(hù)等。

（2）數(shù)據(jù)庫(kù)系統(tǒng)的安全隱患：系統(tǒng)漏洞的安全隱患；不能實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行情況，包括數(shù)據(jù)庫(kù)文件存儲(chǔ)空間、系統(tǒng)資源使用率、數(shù)據(jù)庫(kù)進(jìn)程狀態(tài)、進(jìn)程所占內(nèi)存空間等；黑客利用已知的系統(tǒng)漏洞對(duì)系統(tǒng)進(jìn)行攻擊。

3.管理平臺(tái)存在的安全隱患

（1）信息安全管理體系的安全隱患：

①?zèng)]有統(tǒng)一的信息安全報(bào)警系統(tǒng)，不能及時(shí)發(fā)現(xiàn)已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件；

②沒(méi)有統(tǒng)一的信息安全審計(jì)系統(tǒng)，不能迅速確定網(wǎng)絡(luò)安全事件的來(lái)源；

③沒(méi)有統(tǒng)一的信息安全管理策略配置系統(tǒng)，不能迅速執(zhí)行制定的安全策略，管理復(fù)雜，管理成本高；

（2）網(wǎng)絡(luò)設(shè)備和通信線路的安全隱患：

①不能實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備和通信線路的工作狀況；

②不能及時(shí)發(fā)現(xiàn)和定位通信系統(tǒng)故障。

4.計(jì)算機(jī)系統(tǒng)的物理安全

信息安全的另一方面是計(jì)算機(jī)設(shè)備的安全，包括通訊連接以及真正的計(jì)算機(jī)和數(shù)據(jù)介質(zhì)的安全。在工作中經(jīng)常會(huì)出現(xiàn)由于人為失誤或硬件故障如磁盤(pán)故障、介質(zhì)、設(shè)備和其他備份故障造成數(shù)據(jù)丟失或改變。國(guó)外一家公司在對(duì)分布式存儲(chǔ)研究中意外發(fā)現(xiàn)，平均為完成研究工作所做的備份工作出錯(cuò)幾乎達(dá)到了每周三次。其中有一次服務(wù)器由于磁盤(pán)故障丟失了所有數(shù)據(jù)，當(dāng)準(zhǔn)備用備份磁帶恢復(fù)文件時(shí)卻發(fā)現(xiàn)沒(méi)有一盤(pán)磁帶有數(shù)據(jù)。可見(jiàn)，制定行之有效的數(shù)據(jù)備份恢復(fù)方案，以應(yīng)對(duì)可能出現(xiàn)的災(zāi)難事故時(shí)至關(guān)重要。

（二）信息安全隱患的集中表現(xiàn)

通過(guò)對(duì)以上可能出現(xiàn)的安全隱患的分析，我們現(xiàn)在可以得出初步結(jié)論。目前，信息安全隱患主要集中在以下幾個(gè)方面：

1.非授權(quán)訪問(wèn)

在工作中經(jīng)常會(huì)碰到有意或無(wú)意的非授權(quán)訪問(wèn)。對(duì)此，系統(tǒng)管理員一般使用訪問(wèn)控制技術(shù)來(lái)防范非授權(quán)訪問(wèn)，即對(duì)進(jìn)入系統(tǒng)進(jìn)行控制以及進(jìn)入系統(tǒng)后，對(duì)文件和程序等資源的訪問(wèn)進(jìn)行控制。其作用是對(duì)想訪問(wèn)系統(tǒng)和數(shù)據(jù)的人進(jìn)行識(shí)別，并檢驗(yàn)其身份。

有三種主要的方法可以實(shí)現(xiàn)訪問(wèn)控制。第一種要求用戶輸入一些保密信息，如賬號(hào)和口令。另一種更復(fù)雜的方法是采用一些物理識(shí)別設(shè)備，如訪問(wèn)卡、鑰匙或令牌。另外，還可以采用生物統(tǒng)計(jì)學(xué)系統(tǒng)，可以基于某種特殊的物理特征對(duì)人進(jìn)行唯一性識(shí)別，如指紋、掌紋等。

2.入侵檢測(cè)和防范

目前常用的入侵檢測(cè)和防范的常用方法主要是防火墻技術(shù)。通過(guò)防火墻技術(shù)可防止攻擊能較容易地在網(wǎng)絡(luò)之間移動(dòng)、四處傳播摧毀和破壞的，使不同的網(wǎng)絡(luò)保持相互隔離的狀態(tài)下，仍能通過(guò)路由器或網(wǎng)關(guān)通訊，同時(shí)限制什么數(shù)據(jù)可以“通過(guò)”防火墻的“門(mén)”，并進(jìn)入到另一個(gè)網(wǎng)絡(luò)。其使用硬件和軟件的組合來(lái)決定何種請(qǐng)求可以從外部進(jìn)入內(nèi)部網(wǎng)絡(luò)，可防范從因特網(wǎng)或外部網(wǎng)絡(luò)到該內(nèi)部網(wǎng)絡(luò)的全部訪問(wèn)，也可以選擇性地檢查從一邊到另一邊的每一條消息或通訊。但防火墻技術(shù)也存在局限性，如對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊無(wú)能為力，在實(shí)際工作中經(jīng)常與其他安全措施配合使用。

3.病毒防護(hù)

病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全問(wèn)題來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是網(wǎng)絡(luò)系統(tǒng)安全體系建設(shè)的重要任務(wù)。

目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。

根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布情況，病毒防范系統(tǒng)的安裝實(shí)施要求為：

（1）能夠配置成分布式運(yùn)行和集中管理，由防病毒代理和防病毒服務(wù)器端組成；

（2）防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端；

（3）在防病毒服務(wù)器端能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺，設(shè)定病毒防范策略；

（4）能夠從多層次進(jìn)行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。

4.系統(tǒng)漏洞

系統(tǒng)漏洞通常是由操作系統(tǒng)開(kāi)發(fā)者有意設(shè)置的，這樣軟件工程師就可以在用戶忘記了自己的賬號(hào)和口令時(shí)進(jìn)入系統(tǒng)進(jìn)行維修。由于系統(tǒng)漏洞的存在，攻擊者可繞過(guò)已設(shè)置的安全機(jī)制非法訪問(wèn)系統(tǒng)，引發(fā)各種安全隱患。如在互聯(lián)網(wǎng)上肆虐的“W32/Nimda”的尼姆達(dá)病毒就是利用IE瀏覽器的系統(tǒng)漏洞。對(duì)于系統(tǒng)漏洞，只能將系統(tǒng)不斷升級(jí)，及時(shí)下載執(zhí)行補(bǔ)丁程序。

三、信息安全解決方案

（一）為確保信息安全，通過(guò)信息安全解決方案務(wù)必實(shí)現(xiàn)以下目標(biāo)

1.外網(wǎng)之間及內(nèi)網(wǎng)間的邏輯隔離；

2.關(guān)鍵業(yè)務(wù)主機(jī)操作系統(tǒng)加固，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制；

3.實(shí)時(shí)檢測(cè)對(duì)本地局域網(wǎng)的攻擊行為，并能與防火墻聯(lián)動(dòng)，自動(dòng)阻斷網(wǎng)絡(luò)攻擊；

4.實(shí)時(shí)查殺本地局域網(wǎng)中的病毒；

5.加強(qiáng)對(duì)各種網(wǎng)絡(luò)安全事件的檢測(cè)與審計(jì)，統(tǒng)一管理各安全分系統(tǒng)；

6.實(shí)時(shí)監(jiān)控關(guān)鍵業(yè)務(wù)主機(jī)的運(yùn)行情況，并實(shí)時(shí)報(bào)告其故障；

7.實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫(kù)的運(yùn)行狀態(tài)；

8.及時(shí)發(fā)現(xiàn)和排除網(wǎng)絡(luò)設(shè)備與通信線路故障，避免網(wǎng)絡(luò)通信癱瘓；

9.防止敏感信息在廣域網(wǎng)傳輸過(guò)程中，被非法竊取和篡改；

10.防止黑客利用已知的系統(tǒng)漏洞，對(duì)系統(tǒng)進(jìn)行攻擊。

（二）具體來(lái)講，即要做好以下工作

1.本地局域網(wǎng)與外網(wǎng)及廣域網(wǎng)邊界處統(tǒng)一部署防火墻；

2.在運(yùn)行關(guān)鍵業(yè)務(wù)的主機(jī)上配置主機(jī)安全防護(hù)系統(tǒng)；

3.在本地局域網(wǎng)中部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，與防火墻系統(tǒng)建立聯(lián)動(dòng)關(guān)系；

4.在本地局域網(wǎng)中部署集中安全管理中心、主機(jī)穩(wěn)定性監(jiān)控系統(tǒng)、主機(jī)性能監(jiān)控系統(tǒng)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)和網(wǎng)絡(luò)密碼機(jī)；

5.在本地局域網(wǎng)中部署網(wǎng)絡(luò)防病毒系統(tǒng)；

6.在業(yè)務(wù)數(shù)據(jù)庫(kù)服務(wù)器上部署數(shù)據(jù)庫(kù)運(yùn)行監(jiān)控系統(tǒng)；

7.使用漏洞掃描系統(tǒng)定期掃描服務(wù)器；

8.及時(shí)升級(jí)軟件和執(zhí)行補(bǔ)丁程序；

9.建立可靠的數(shù)據(jù)備份恢復(fù)方案。

隨著科學(xué)技術(shù)及網(wǎng)絡(luò)的高速發(fā)展，人們對(duì)信息的高度依賴，網(wǎng)絡(luò)信息安全愈發(fā)重要。只有不斷根據(jù)系統(tǒng)管理要求，及時(shí)調(diào)整安全策略，建立安全的信息網(wǎng)絡(luò)，才能確保信息安全。

參考文獻(xiàn)：

[1][美]Marc Farley.網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南.李明之，譯.北京：機(jī)械工業(yè)出版社，1998.

[2][美]拉斯.克蘭德.挑戰(zhàn)黑客：網(wǎng)絡(luò)安全的最終解決方案.陳永劍，譯.北京：電子工業(yè)出版社，2000.

|編輯 薛直艷