□文/崔 柏 孫毓川

（河北聯(lián)合大學(xué) 河北·唐山）

一、影響及威脅網(wǎng)絡(luò)信息安全的主要因素

（一）網(wǎng)絡(luò)面臨的安全威脅。隨著互聯(lián)網(wǎng)的普及，計(jì)算機(jī)和網(wǎng)絡(luò)正被廣泛應(yīng)用于社會的各個(gè)領(lǐng)域，基于先進(jìn)的計(jì)算機(jī)、電子、網(wǎng)絡(luò)等技術(shù)建立起來的信息系統(tǒng)正在改變著人們的生活、工作方式。如今，信息已經(jīng)逐步上升為推動經(jīng)濟(jì)和社會發(fā)展的關(guān)鍵因素。信息跨越了時(shí)空的界限，給人們的生活、工作都帶來了無限好處。在我們享受信息系統(tǒng)帶來的方便的同時(shí)，必須正視資源共享帶來的安全和威脅。據(jù)美國FBI 統(tǒng)計(jì)，每年因信息和網(wǎng)絡(luò)安全問題所造成的損失高達(dá)75 億美元，而且還有上升的趨勢。在我國的信息技術(shù)和網(wǎng)絡(luò)信息安全技術(shù)與國外相比還存在著較大的差距，大量的硬件，軟件基礎(chǔ)設(shè)施都是依靠從國外引進(jìn)。據(jù)統(tǒng)計(jì)，目前我國的計(jì)算機(jī)使用的操作系統(tǒng)幾乎全是美國微軟公司的Windows 系統(tǒng)，并且Windows 程序能夠自動搜集有關(guān)用戶的信息，即使用戶已經(jīng)指明不要這樣做，注冊程序還是會在用戶不知情的情況下將這些信息發(fā)送給微軟，這些無疑給我國的用戶安全造成巨大威脅。

（二）網(wǎng)絡(luò)安全的大敵——黑客?！昂诳汀币辉~來源于英語hack 意為“惡作劇”，今天被人們引用到計(jì)算機(jī)領(lǐng)域，意指那些未經(jīng)許可擅自闖入別人計(jì)算機(jī)系統(tǒng)的人。

1、黑客攻擊的方式。（1）外部攻擊，是指外部黑客通過各種手段，從該子網(wǎng)以外的地方向該子網(wǎng)或者該子網(wǎng)內(nèi)的系統(tǒng)發(fā)動攻擊。外部攻擊的時(shí)間一般發(fā)生在目標(biāo)系統(tǒng)當(dāng)?shù)貢r(shí)間的晚上或者凌晨時(shí)分，外部攻擊發(fā)起者一般不會用自己的機(jī)器直接發(fā)動攻擊，而是通過跳板的方式，對目標(biāo)進(jìn)行迂回攻擊，以迷惑系統(tǒng)管理員，防止暴露真實(shí)身份；（2）內(nèi)部攻擊，是指本單位的內(nèi)部人員，通過所在的局域同，向本單位的其他系統(tǒng)發(fā)動攻擊，在本機(jī)上進(jìn)行非法越權(quán)訪問也是本地攻擊。本地攻擊不排除使用跳板的可能；（3）偽外部攻擊，是指內(nèi)部人員為了掩蓋攻擊者的身份，從本地獲取目標(biāo)的一些必要信息后，攻擊過程從外部遠(yuǎn)程發(fā)起，造成外部入侵的假象，從而使追查者以為攻擊者是來自外單位。

2、黑客攻擊的主要類型。主要有：（1）竊聽，主要通過檢測從連線上發(fā)射出來的電磁輻射來收集所需要的信號；（2）口令陷阱，是指設(shè)計(jì)一個(gè)代碼模塊（運(yùn)行后和登錄屏幕一樣）。使用戶看到的是兩個(gè)登錄屏幕，第一次登錄顯示失敗后，用戶被要求輸入用戶名和口令。而實(shí)際上第一次登錄并未失敗，代碼設(shè)計(jì)者只是將登錄的數(shù)據(jù)寫入一個(gè)數(shù)據(jù)文件以便今后使用，從而非法進(jìn)入該系統(tǒng)；（3）拒絕服務(wù)，是指臨時(shí)降低系統(tǒng)性能，系統(tǒng)崩潰而需要人工重新啟動，或因數(shù)據(jù)永久性的丟失而導(dǎo)致較大范圍的系統(tǒng)崩漬；（4）非法訪問，是指了解到某個(gè)機(jī)構(gòu)的賬戶，該機(jī)構(gòu)的網(wǎng)絡(luò)又缺少安全防范措施，侵入者可通過遠(yuǎn)程撥號訪問該機(jī)構(gòu)的網(wǎng)絡(luò)，從而破壞該機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)；（5）篡改信息，是指數(shù)據(jù)傳輸?shù)膬?nèi)容被改變而用戶未發(fā)覺，并導(dǎo)致一種未授權(quán)后果；（6）特洛伊木馬，是指把黑客設(shè)計(jì)的程序偽裝成系統(tǒng)上已存在的某一程序，而該系統(tǒng)用戶并不知情，當(dāng)運(yùn)行該程序時(shí)，黑客程序同時(shí)被啟動運(yùn)行，從而達(dá)到毀壞數(shù)據(jù)，破壞系統(tǒng)的目的。

二、網(wǎng)絡(luò)信息安全性的目標(biāo)及要求

（一）網(wǎng)絡(luò)信息安全性目標(biāo)。1、保密性，是指不向未授權(quán)用戶泄露信息和資源；2、完整性，是指保證信息和資源不被非授權(quán)的用戶修改或利用；3、可用性，是指保證信息和資源不拒絕授權(quán)用戶的訪問。

（二）網(wǎng)絡(luò)信息安全性要求。1、安全策略，是指有一種由系統(tǒng)實(shí)施的、明確的、定義好的安全策略；2、安全級別，是指為表示信息的不同敏感程度，按保密程度的不同對信息進(jìn)行層次劃分；3、安全標(biāo)識，是指用于安全可靠地識別每個(gè)主體。主體（通常為用戶）必須在得到身份驗(yàn)證之后才能訪問客體；4、安全標(biāo)記，是指每個(gè)客體（通常為文件）必須有一個(gè)安全標(biāo)記，這個(gè)標(biāo)記顯示客體的安全級別并記錄哪些主體可以對特定的客體進(jìn)行訪問；5、安全機(jī)制，是指計(jì)算機(jī)系統(tǒng)必須有一系列實(shí)施網(wǎng)絡(luò)安全的機(jī)制，并且能夠評價(jià)這些安全機(jī)制的有效性；6、安全管理，是指主要是指安全服務(wù)管理和安全機(jī)制的管理。

三、網(wǎng)絡(luò)信息安全防范措施

（一）網(wǎng)絡(luò)層的安全管理。用戶應(yīng)該制定網(wǎng)絡(luò)安全規(guī)范，明確各級部門對網(wǎng)絡(luò)使用的范圍與權(quán)限，保證經(jīng)授權(quán)許可的信息才能在客戶機(jī)和服務(wù)器之間通信。

1、訪問控制。訪問控制是在向鑒別機(jī)制提供的信息基礎(chǔ)上，判斷某一主體對特定網(wǎng)絡(luò)資源是否能訪問。

2、密碼保護(hù)。設(shè)置密碼是最常用的網(wǎng)絡(luò)安全手段，而密碼的獲取是黑客們最喜歡做的事情。獲取密碼的方法有：字符窮舉法、字典窮舉法、密碼文件破譯法、特洛伊木馬法等。

3、地址轉(zhuǎn)換。使用地址轉(zhuǎn)換技術(shù)，讓IP 數(shù)據(jù)包的源地址和目的地址以及CP或UDP 的端口號在進(jìn)出內(nèi)部網(wǎng)時(shí)發(fā)生改變，這樣可以屏蔽網(wǎng)絡(luò)內(nèi)部細(xì)節(jié)，防止外部黑客利用IP 探測技術(shù)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)器真實(shí)地址。

4、安裝防火墻。防火端技術(shù)是近年來維護(hù)網(wǎng)絡(luò)安全的較重要的手段，他是一個(gè)位于內(nèi)聯(lián)網(wǎng)與因特同之間的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備中的一個(gè)功能模塊，是按照一定的安全策略建立起來的硬件和軟件的有機(jī)組成體，通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的保護(hù)。

5、安裝入侵檢測系統(tǒng)。傳統(tǒng)的防火墻技術(shù)對于來自網(wǎng)絡(luò)內(nèi)部的攻擊無能為力（而據(jù)調(diào)查50/100 的攻擊來自于內(nèi)部），對于病毒的入侵也束手無策，在此基礎(chǔ)上，出現(xiàn)入侵檢測系統(tǒng)（簡稱IDS），它彌補(bǔ)了防火墻的不足。IDS 從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象，為制定網(wǎng)絡(luò)的安全策略提供依據(jù)。

（二）系統(tǒng)的安全管理。是指操作系統(tǒng)和應(yīng)用系統(tǒng)的安全管理問題。1、使用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)?！癓inux 已被證明是高性能、穩(wěn)定可靠的操作系統(tǒng)，有著空前強(qiáng)大的網(wǎng)絡(luò)功能。除進(jìn)行必要的安全配置外，還應(yīng)配備安全掃描系統(tǒng)，對操作系統(tǒng)進(jìn)行安全掃描，并有針對性地對網(wǎng)絡(luò)設(shè)備重新配置或升級；2、安裝所有的操作系統(tǒng)和服務(wù)器的補(bǔ)丁程序，隨時(shí)與銷售商保持聯(lián)系，以取得最新的補(bǔ)丁程序；3、更新操作系統(tǒng)和與網(wǎng)絡(luò)相關(guān)的軟件，在計(jì)算機(jī)桌面上，刪除未與局域網(wǎng)相連的用戶，檢查與局域網(wǎng)相連的用戶的網(wǎng)絡(luò)適配器、網(wǎng)卡、協(xié)議，除上網(wǎng)使用的適配器外，其他的協(xié)議都要?jiǎng)h除；4、開發(fā)我國自己的操作系統(tǒng)及軟件產(chǎn)品。要做到網(wǎng)絡(luò)信息安全，更重要的一點(diǎn)是要擺脫國外產(chǎn)品的限制，努力開發(fā)自己的操作系統(tǒng)及應(yīng)用軟件。

（三）注重用戶的安全管理。1、提高安全意識。不隨便運(yùn)行不太了解的人給你的程序；不隨意透露個(gè)人信息；不隨意運(yùn)行黑客程序。2、實(shí)施單一的登錄機(jī)制。實(shí)行一人一個(gè)賬號一個(gè)口令的管理模式?？刹捎肁TM 和PIN 密鑰管理、數(shù)據(jù)加密、數(shù)字簽名等安全機(jī)制，最大限度地保證用戶和口令等信息的安全。

［I］彭珺，高珺.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究［J］.計(jì)算機(jī)與數(shù)字工程，2011.1.

［2］袁宏昊.淺談計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用［J］.科技咨訊，2009.14.

［3］張愛華.試論我國網(wǎng)絡(luò)信息安全的現(xiàn)狀與對策［J］.江西社會科學(xué)，2006.9.