李恒武 高博 郭义喜

解放军信息工程大学电子技术学院，河南 郑州 450004

基于网络平台的信息系统安全问题探讨

李恒武 高博 郭义喜

解放军信息工程大学电子技术学院，河南 郑州 450004

随着计算机网络技术的飞速发展,各类信息系统对网络这一平台的依赖越来越大。由此而产生的信息系统安全问题也日益突出，本文在介绍了有关网络信息系统安全知识的基础上，对常见的在网络应用中信息系统易出现的各类安全问题进行阐述和探讨，并提出针对这些问题的对策和建议。

网络平台；信息系统安全；信息安全

引言

随着计算机网络技术的飞速发展，计算机网络与运行在其上的各类信息系统已经成为社会经济发展的基础平台与保证。网络系统中流转有很多都是敏感或机密信息，因此必定会吸引来自各方面的各种人为攻击。通常利用计算机网络犯罪很难留下犯罪证据，这也在一定程度上刺激了计算机高技术犯罪案件的发生。另外加之我们很多管理者对网络系统运行的环境状况缺乏详细的了解,使得我们运行在网络平台下的各类信息系统面临着很大的安全威胁，这已发展成为严重的社会问题之一。

1 网络信息系统安全分析

网络信息系统安全已引起世界各国的高度重视。目前，学术界中对于网络信息系统安全的内容划分比较复杂，概念范围比较广，对网络信息安全威胁也还没有统一的分类，但是在总体上大致可分为两大类。

1.1 自然威胁。即因水、火、雷电、地震等自然灾害和信息系统本身对环境的温度、湿度、空气质量、静电和电磁干扰等物理条件的改变所造成的各种各样的设备故障及安全隐患等。因其具有突发性、自然性、非针对性和不抗拒性的特点，这就要求我们网络信息系统的管理者应常常保持警惕之心，小心防备，把系统运行对环境的各项要求牢记于心。

1.2 人为威胁。这类威胁又分为无意识和有意识两种。无意识威胁是指由于操作者的操作失误造成的信息泄露或破坏。有意识威胁是指某些组织或个人（如国际黑客、金融犯罪分子等），出于各自的目的或利益通过国际互联网直接破坏网络信息系统设备、篡改重要的数据信息、制造及散播计算机病毒或改变系统功能与权限等。有意识威胁又包含被动威胁和主动威胁两种。前者只对信息进行监听，不修改数据；而后者则会对数据信息进行恶意篡改。因此后者才是网络信息安全防范和考虑的重点，也是网络信息系统安全的最大威胁因素之一。

2 常见的网络信息系统安全威胁

从网络信息系统安全事件来看，网络攻击主要是利用计算机网络操作系统的漏洞、软硬件的设计缺陷以及对网络信息系统安全认识不足导致的人为操作失误等进行的一系列破坏活动。常见的网络信息系统安全威胁主要集中在以下几个方面。

2.1 非授权访问

非授权访问指预先并没有获得信息系统给予的相应授权，就访问该系统的资源。亦即：设法避开信息系统的访问控制权限，对信息系统中的各类信息资源和数据文件进行非法使用，或擅自扩大权限，越权访问数据信息。其形式主要有以下几种：假冒、身份攻击、非法用户进入网络信息系统进行违法操作、合法用户以未授权方式操作等。

2.2 信息泄露

信息泄露指有价值的数据资料或敏感信息在人为的有意或无意中被泄露出去或丟失，它包括数据信息在网络传输过程中的丢失或泄露和在各种存储介质中的丢失或泄露。目前多数网络信息系统仍以安全性较差的简单加密方式或明文传输来服务，导致该网络系统的使用者账号、密码、邮件等资料，全都可以使用监听方式取得。黑客利用各种方式截获机密信息并进行分析，进而得到有价值的信息。

2.3 拒绝服务攻击

拒绝服务攻击指即攻击者想尽一切办法让目标信息系统停止提供正常服务，只要能够对目标信息系统造成麻烦，使目标信息系统服务被暂停甚至主机死机，都属于拒绝服务攻击，是黑客常用的攻击手段之一。攻击者进行拒绝服务攻击，实际上让目标系统的服务器出现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接，使其不能进入网络服务系统，得不到相应的服务。如“报文洪水攻击”、“电子邮件炸弹”就是典型的例子。

2.4 恶意代码

恶意代码（Unwanted Code）是指没有作用却会带来危险的代码，主要包括病毒、蠕虫、间谍软件、木马及其他后门。目前，计算机病毒是威胁网络信息安全的祸首，成为很多黑客入侵的先导，使网络系统瘫痪，重要数据无法访问甚至丢失。恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征:(1)恶意的目的;(2)本身是程序;(3)通过执行发生作用。

3 防范网络信息系统安全威胁的常用技术

3.1 防火墙技术

防火墙（FireWall）技术成为近年来新兴的保护计算机网络系统信息安全的技术性措施之一。起初，防火墙就是用来阻挡外部不安全因素对内部网络信息系统影响的安全门户，其目的就是防止系统外部网络用户的未授权访问。现在它已经发展成为一种计算机硬件和软件的结合的隔离控制技术，主要是在某个特定单位用户的内部网络和外部互联网络（如Internet）之间搭设一张屏障，阻止对外部未授权用户对内部网络信息资源的非法访问，也可以阻止内部网络中的重要敏感或机密信息从本单位的内部传输网络上被非法泄露出去。防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看信息系统安全级别的具体需要。

3.2 入侵检测技术

入侵检测技术可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。作为对防火墙的补充，入侵检测通过监视受保护的网络信息系统的一切活动，检测该系统配置的正确性和系统安全漏洞，对异常行为模式的统计与分析，及时发现未授权或恶意的侵入，并对入侵事件立即反应及时关闭相应服务甚至切断内外部网络。

3.3 加密技术

在信息系统的网络交互传输过程中，跨越公共网络传输的敏感或机密数据必须加密，明文传输极易被黑客利用监听或侦测工具窃取到用户信息和密码等，因此为保证数据的安全性，加密技术则必不可少。数据加密的基本原理是利用技术手段改变信息的排列方式或按某种规则进行代替或置换，把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密），从而使得只有合法的收发双方才能理解信息的内容，对传输的信息起保密作用。常见的网络传输采用的是通过Ipsec技术建立起加密的VPN隧道来实现的。

4 针对当前网络信息系统安全威胁的对策和建议

网络信息系统安全是我们所面临的一个重要难题，它是一个全方位的问题集合，是一个系统的工程, 涉及安全体系构建的诸多方面，从信息系统自身到设备采购、从安全技术到责任管理，需要技术支持、制度保护，以及对安全维护人员的管理教育等。首先要保证网络信息系统设备的有序运行，然后才是信息系统的自身安全。保证网络信息系统安全的主要技术手段包括:包过滤、应用代理、安全漏洞扫描、入侵检测技术、防病毒系统、访问控制、行为审计等。除专业技术的支持外，网络信息系统的安全还需要法律和道德的约束以及安全管理制度来辅助支持。没有绝对安全的信息系统，只有将现有的资源和技术合理配置，使其发挥最大功用，这才是构建与本单位实际相符的最有效用的安全体系的关键。

5 结语

随着计算机与网络通信技术的飞速发展，各种网络安全的威胁层出不穷，其对应的防范技术也在日新月异地发展，知彼知己，方能百战不殆。任何一个网络信息系统的安全，在很大程度上都依赖于最初设计时制定的网络信息系统安全策略及相关管理制度规章。因为后期所使用的一切安全技术和手段，都围绕这一策略来实施和展开，如果在安全管理策略上出了问题，相当于放开了网络信息安全系统最大的一个口子，后果也就不堪设想了。同时，从大角度来看，网络信息系统安全与规范和完善的管理是密不可分的。在网络信息系统安全领域,技术手段和相关安全工具只是辅助手段，没有完善的管理制度与措施的保证，再好的技术手段也没法完全发挥其应有的作用的。

[1]甘群文,李好文.网络信息安全的威胁与防范技术研究[J].计算机安全,2009.5

[2]邱寒,计算机网络信息安全及对策研究[J].科技致富向导,2011.29

[3]崔兴全,陈红波.计算机网络信息安全管理与防护策略[J].科技风,2011.13

[4]曹天人,张颖.浅谈计算机网络信息安全现状及防护[J].科学咨询,2011.9

[5]崔海航.网络信息安全的研究及对策[J].无线互联科技,2011.5

[6]张吉红.计算机网络信息安全分析与管理探究[J].计算机光盘软件与应用, 2011.14

10.3969/j.issn.1001-8972.2011.24.048

李恒武(1984-)，男，本科，研究方向：数字信息化，网络安全与技术等。

高博(1983-)，男，本科，研究方向：教学管理，计算机科学与技术等。

郭义喜(1969-)，男，硕士研究生，研究方向：装备工程，实验室管理与建设，计算机网络与信息安全等。