试谈网络信息安全问题及防范对策

所谓网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络信息安全从其本质上来讲就是网络上的信息安全；从广义来说，凡是涉及到网络上信息的完整性、机密性、有效性、等相关技术和理论都是网络信息安全的研究领域。近年来，随着计算机科学技术的迅猛发展，网络的应用变得越来越广泛，给人们带来了数不尽的便捷和好处，是行政机关、企事业单位内外各种信息交互、传输和共享的基础。但由于网络自身的开放性、互联性以及连接形式多样性、终端分布不均匀等特点，致使网络易受黑客、恶意软件等攻击，因此网络安全问题和有效的防范措施凸显出其重要性。

网络信息安全的基本内涵――信息安全是指防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全是指计算机网络环境下的信息安全。因此网络信息安全就是指计算机网络信息系统的硬件设备或者软件及其重要数据信息受到保护，不因突发事件或者恶意破坏而遭到损害、更改或者泄露，从而使网络信息系统能够连续安全运行。

网络信息系统面临的主要安全性问题――网络信息系统面临的安全性攻击有被动攻击和主动攻击两种类型。

被动攻击是攻击者对信息系统实施的一种“被动性”攻击，主要特征是窃密，其行为一般不妨碍信息系统本身的正常工作。被动攻击主要包含以下攻击行为。

非法阅读和复制文件攻击者未经授权而非法进入信息系统阅读或复制信息系统程序和其它文件等。

窃听通信信息攻击者通过搭线窃听、空中拦截等手段，截取他人信息。

通信流量分析攻击者通过流量监测，也可获得有用信息。例如某系统平时流量大致稳定，某天通讯流量突然激增，预示着有重大事件发生，攻击者必千方百计探知。由于被动攻击不影响信息系统的正常工作，因此这种方式攻击隐蔽性强，通过检测等一般方法很难发现。对付这种攻击的有效途径不是检测而是预防。

主动攻击是攻击者对信息系统实施的一种“主动性”攻击，主要特征是假冒、伪造和篡改，其行为妨碍信息系统本身的正常工作。主动攻击主要包含以下攻击行为。

假冒攻击者假冒他人身份，欺骗合法实体。例如，犯罪分子制作以假乱真的网上银行网页，盗取用户的用户名和密码，然后将用户的存款通过真正网银网页转移到他的账户上。

重放攻击（replay attacks）又称重播攻击、回放攻击或新鲜性攻击（freshness attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通讯过程中都可能发生。

篡改攻击者通过插入、修改、删除等手段篡改所访问或拦截的信息系统信息。

伪造攻击者伪造信息并通过网络传送给接收者。

中断攻击者无休止地对网上的服务实体不断进行干扰，使其超负荷运转，执行非服务性操作，最终导致系统无法正常使用甚至瘫痪。由于主动攻击影响信息系统的正常工作，因此容易通过检测发现，但难以预防此种行为的发生。因此对付这种攻击的有效途径不是预防而是检测和恢复。

对计算机网络安全问题采取的几点防范措施网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

网络信息安全在很大程度上依赖于技术的完善，包括防火墙、访问控制、入侵检测、密码、数字签名、病毒检测及清除、网络隐患扫描、系统安全监测报警等技术。

防火墙技术。防火墙（firewall）是指一个由软件系统和硬件设备组合而成的，在内部网和外部网之间的界面上构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而使内部网络与外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源，执行安全管制措施，记录所有可疑事件。根据对数据处理方法的不同，防火墙大致可分为两大体系：包过滤防火墙和防火墙。

访问控制技术访问控制（access control）技术是对信息系统资源进行保护的重要措施，它设计的三个基本概念为：主体、客体和授权访问。主体是指一个主动的实体，它可以访问客体，包括有用户、用户组、终端、主机或一个应用。客体是一个被动的实体，访问客体受到一定的限制。客体可以是一个字节、字段、记录、程序或文件等。授权访问是指对主题访问客体的允许，对于每一个主体和客体来说，授权访问都是给定的。访问控制技术的访问策略通常有三种：自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有：入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。

入侵检测技术入侵检测系统（intrusion detection system，简称 ids）通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。提供了对内部入侵、外部入侵和错误操作的实时保护，在网络系统受到危害之前拦截相应入侵。

所谓数据加密（data encryption）技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。数据加密是网络中采用的最基本的安全技术，目的是为了防止合法接收者之外的人获取信息系统中的机密信息。

数字签名（digital signature）技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用 hash 函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

随着计算机网络的发展，计算机病毒从早期感染单机已发展到利用计算机网络技术进行病毒传播，其蔓延的速度更加迅速，破坏性也更为严重。在病毒防范中普遍使用的防病毒软件，网络防病毒软件主要注重网络防病毒，一旦病毒入侵网络或者从网络向其他资源传染，网络防病毒软件会立刻检测到并加以删除。

人为的网络入侵和攻击行为使得网络安全面临新的挑战。在做好技术安全防护措施的同时，也要加强对信息系统及相关人员的管理，只有技术与管理并重，信息系统才能真正做到安全防护。首先，网络设备科学合理的管理。对网络设备进行合理的管理，必定能增加网络的安全性。比如将一些重要的设备尽量进行集中管理，如主干交换机、各种服务器等；对终端设备实行落实到人，进行严格管理，如工作站以及其他转接设备；对各种通信线路尽量进行架空、穿线或者深埋，并做好相应的标记等。其次，是对网络的安全管理。建立各项网络信息安全制度，坚持预防为主、补救为辅的原则。制定工作岗位责任制，任务到人，责任到人，责、权、利分明，以最少的投入达到最佳安全状态。此外还必须对管理人员进行安全管理意识培训，加强对管理员安全技术和用户安全意识的培训工作。

计算机网络信息安全是一个系统的工程，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，而一种技术只能解决一方面的安全问题，而不是万能的。必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。

作者单位：贵州省赫章县公安局