信息网络安全问题及其对策,本文主要内容关键词为:对策论文,信息网络安全论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,现代信息技术逐渐地应用于社会的各个领域,这些先进技术建立起来的信息系统正在改变着人们的生活和工作方式。然而,在我们享受着众多信息系统带来的方便的同时,也时常受到来自各方面对其安全的威胁。目前,信息网络安全已涉及到国家的政治、经济、军事及众多社会生活,成为影响国家发展和长远利益的重大关键问题。
1 网络安全的概念
所谓网络安全,是指计算机信息系统中信息的安全,不包括建立在手工处理基础上的信息系统中的信息安全。它是一门涉及计算机科学、网络技术、通信技术、信息安全技术等多种学科的综合性学科。网络安全主要强调网络信息的保密性(Confidcntiality:防止信息的非授权性泄露);完整性(Integrity:防止信息的非法修改);可用性(Avai-lability:防止信息或资源被非法截留)。信息网络安全就是保护计算机信息资源,防止未经受权者或偶然因素对信息资源的破坏、更动、非法利用或恶意泄露,以实现网络信息保密性、完整性和可用性的要求。
网络信息的保密性就是保证只有授权用户可以访问计算机系统中的信息,而限制其他人对计算机信息访问。保密性包括网络传输中的保密和信息存储保密。
网络信息的完整性就是保证计算机系统中的信息处于一种完整和未受损害的状况,也就是说信息不会因有意或无意的事件而被改变或丢失,网络信息完整性的丧失直接影响到信息的可用性。影响信息完整性的因素很多,有人为的蓄意破坏,有软硬件的失效等。
保证网络信息可用性,首先要保证信息是完整的,其次还要保证系统是正常运转的,使得在网络中不会出现严重的拥挤,以免用户请求使用信息时,网络信息不能被及时传过去。
2 黑客技术与攻击的主要手段
黑客现在专指在计算机网络中那些利用自己掌握的技术,偷阅、篡改或窃取他人的机密数据资料,甚至在电脑网络上进行犯罪活动的人。黑客行动几乎涉及了所有的操作系统。黑客用发现网上的一切漏洞和缺陷的方法,以及针对这些缺陷修改网页非法进入主机,进入银行盗取和转移资金,窃取信息、发送假冒的电子邮件的技术,则被称为黑客技术,黑客通常采用以下手段闯入系统:
(1)利用UNIX操作系统提供的缺省账户进行攻击。许多主机都有ftp和guest等账户,有的帐户甚至没有口令,黑客用UNIX操作系统提供的命令如fiuger和ruser等收集信息,不断提高自己的攻击能力。
(2)截取口令。通过网络监听或记录用户的击键得到用户的口令。如设计圈套者先写出一个代码模块运行后和登录屏幕一样,使用户看到的是两个登录屏幕,第一次登录显示失败后,用户被要求输入用户名和口令,而实际上第一次登录并未失败,设计圈套者只是将登录的数据(如用户名和口令)写入了一个数据文件以便今后使用从而非法进入该系统。
(3)寻找系统漏洞。许多系统都有这样那样的安全漏洞,其中某些是操作系统本身的,而有些是管理人员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出。
(4)强力闯入。可以采用物理访问的方法,如在控制台用boot-s命令,也可以无数次地猜口令。
(5)偷取特权。使用特洛伊木马程序或者缓冲区溢出程序都有可能得到系统特权。
(6)使用一个节点作为根据地,攻击其它节点。可以使用网络监听的方法,也可以利用主机信任关系,在突破一台主机后尝试攻破同一网络内的其它主机。
(7)清理磁盘。在一些删除的文件、回收站内的文件或者是临时目录内的文件中,往往含有重要信息,黑客可以清理这些文件,找到有用的信息。
3 建立信息网络安全保障体系
为了保证信息网络安全必须建立信息安全的保障体系。传统的信息安全模式已不再适应现代安全环境。数据安全、平台安全、服务安全要求用完整的网络信息保障体系来发展传统的信息安全概念。针对网络不安全因素和黑客攻击手段,笔者认为应采取以下措施来保证网络安全。
(1)网络服务器的选择。一定要使用堡垒主机设置,即在满足服务功能的前提下,卸载不使用的程序,关闭不使用的网络应用,删除不用的帐户等。UNIX中要清查具有Suid位设置的程序,使用诸如Tripwear类的软件审计重要系统文件的变化。Windows系统应该关闭诸如自动执行光盘Autorun、预览文件内容等设置。
(2)操作系统的安全性。及时安装安全补丁程序,这需要网管员经常关注是否有新的补丁程序推出,可订阅一些网络安全漏洞邮件来了解补丁程序的状态,也可使用系统漏洞扫描软件来主动地检查安全漏洞。
(3)用户的安全性。最好使用具有集中管理功能的网络版防病毒软件,它可以确保每台主机的病毒特征码都能及进更新,也可规避由于主机使用者的计算机水平不高而对防病毒软件使用不当的问题。同时,还大大减少网络管理员的重复劳动。
(4)保护措施。建立访问控制防火墙。在内部网络和连接外部网络的路由器之间部署防火墙,建立内外网络的“扼制点”,对进出网络的每个数据做允许或拒绝的决定,通过严格的访问控制,控制外部网络对内部网络的访问,保护内部网络数据的安全。
使用VPN以及数据加密技术。配合防火墙系统,使用VPN技术,在各级部门及各分支机构中建立安全的数据通信隧道,保证各子网间信息传输的保密性、完整性和确定性。
(5)检测。使用入侵检测系统。SVA的入侵检测系统不仅能识别外部网络对内部网络的攻击,还同时能保护处于SMZ区的网站及内部网络中的关键主机,使其免受来自外部的和内部的攻击。同时入侵检测系统还能和路由器及防火墙有机配合,在发现攻击同时及时做出阻断等响应,同时入侵检测软件可极大地帮助网管员监控,定位网络中的可疑数据流。因为系统日志对安全事件的记录不很全面,如果有入侵检测软件的帮助,就可方便地定位问题所在。
(6)数据的安全性。建立有效地账号管理和访问授权体系,要控制内部人员对网络资源的合法使用,建立完善的用户帐号约束、口令系统、访问控制、监测系统,防止内部人员对信息的窃取,删除等破坏。