吴春香

(南京晓庄学院 数学与信息技术学院，江苏 南京 211171)

浅析网络信息安全技术及其防范措施*

吴春香

(南京晓庄学院 数学与信息技术学院，江苏 南京 211171)

当前，计算机系统在国家安全、政治、经济及文化等各方面起到的作用越来越重要，它已成为国家、企业及公民的宝贵财富，同时也成为一些别有用心者的非法攻击对象.所以，计算机系统的安全越来越受到人们的重视.计算机单机系统和网络系统均可能遭到各种各样的攻击，如何保障计算机系统的安全，是现在必须面对和研究的课题.

网络信息;安全技术;预防措施

随着统计信息化建设的逐步深入，越来越多的统计工作由传统模式转向网络模式，极大地提高了工作效率，统计工作对网络系统的依赖也日益增强，但应该注意的是网络的另外一面，由于系统的漏洞和网络的开放性，病毒侵袭、网络欺诈、信息污染、黑客攻击等问题也对统计信息安全造成严重威胁，信息安全也势必成为统计信息化建设的一个重要内容［1］.

1 网络信息安全概述

“信息安全”最初是指信息的保密性，信息安全包括的范围很大，涉及国家军事政治信息、企业商业机密信息以及公民的个人信息等.信息可以有多种存在方式，可以写在纸上，储存在电子文档里，也可以用邮递或电子手段发送，可以在电影上放映或者说话中提到，无论信息以何种方式表示、共享和存储，都应当适当地保护起来.进入信息时代，大量信息主要被储存在机器里，信息安全主要是设在专用机房内的主机上重要数据的安全，这时信息安全主要是指信息的保密性、完整性和可用性.

信息和数据安全的范围要比网络安全和计算机安全更为广泛.它包括了信息系统中从信息的产生直至信息的应用这一全部过程.我们日常生活中接触的数据比比皆是，考试的分数、银行的存款、人员的年龄、商品的库存量等等，按照某种需要或一定的规则进行收集，经过不同的分类、运算和加工整理，形成对管理决策有指导价值和倾向性说明的信息.

信息系统的安全问题直接影响到社会经济、政治、军事、个人生活的各个领域，甚至影响到国家安全.不解决信息安全问题，不加强信息系统的安全保障，信息化不可能得到持续健康的发展.如何对信息提供足够的保护，已经成为商家和用户都十分关心的话题.信息安全研究涉及的范围很广，包括密码技术、信息设施安全、信息管理安全、安全防范、安全审计与安全评估、计算机病毒攻击与防范等.随着计算机技术的发展，信息安全的含义也将不断深入、不断发展变化.

2 网络信息面临的威胁和攻击

网络信息面临的威胁和攻击，来自于很多方面，大体上可分为以下几种.

2.1 自然威胁

自然威胁指各种自然灾害、恶劣的环境因素、电磁场的干扰或电磁泄漏、网络设备的自然老化等威胁.自然威胁往往具有不可抗拒性.

2.2 偶然无意构成的威胁

如硬件设备故障、突然断电或电源波动大、检测不到的软件错误或缺陷等.偶然事故有以下几种可能的情况.(1)软、硬件的故障引起的安全策略失败.(2)工作人员的误操作，使信息遭到严重破坏或无意地被别人看到了机密信息.(3)自然灾害，使计算机系统受到严重破坏.(4)环境因素的突然变化造成信息出错、丢失或破坏［2］.

2.3 人为攻击的威胁

如国外间谍窃取机密情报、内部工作人员的非法访问、用户的渎职行为以及利用计算机技术进行犯罪等.人为攻击有以下几种手段.(1)利用系统本身的脆弱性.(2)滥用特殊身份.(3)不合法地使用.(4)修改或非法复制系统中的数据.

对信息进行人为的故意破坏或窃取称为攻击.根据攻击的方法不同，可分为被动攻击和主动攻击两类.

a.被动攻击是指一切窃密的攻击.它是在不干扰系统正常工作的情况下侦听、截获、窃取系统信息，以便破译分析;观察、控制信息的内容来获得目标系统的位置、身份;研究机密信息的长度和传递的频度获得信息的性质.被动攻击不容易被用户发现，由此可以看出被动攻击更具有持续性和危害性.

b.主动攻击是指篡改信息的攻击.它不仅能截获，而且还威胁到信息的完整性和可靠性.它是以各种各样的方式，进行修改、添加、删除、伪造和重排信息内容，从而引起网络信息的丢失.

2.4 软件漏洞

(1)陷门.陷门是在程序开发时插入的一小段程序，目的可能是测试某个模块，或是为了将来的更改和升级程序，也可能是为了将来发生故障后，为程序员提供方便.通常应在程序开发后期就去掉这些陷门，但是由于各种原因，陷门可能被保留，一旦被利用将会带来严重的后果.

(2)数据库的安全漏洞.将原始数据以明文形式存储于数据库中是不够安全的.高明的入侵者可以从系统内存中导出所需的信息，或者采用某种方式进入系统，从系统的后备存储器上窃取或篡改数据.因此，必要时应该对存储数据进行加密保护.考虑到数据一般具有较长的生命周期，数据库的加密应该采用独特的加密方法和密钥管理方法.因此，必要时应该对存储的数据进行加密保护.

(3)TCP/IP的安全漏洞

TCP/IP在设计初期并没有考虑安全问题.现在，用户和网络管理员没有足够的精力专注于网络安全控制，操作系统和应用程序越来越复杂，开发人员不可能测试出所有的安全漏洞，因而连接到网络的计算机系统受到外界的恶意攻击和窃取的风险越来越大.

2.5 结构隐患

结构隐患一般指网络拓扑结构的隐患和网络硬件的安全缺陷.网络的拓扑结构本身有可能给网络的安全带来问题.作为网络信息系统的载体，网络硬件的安全隐患也是网络结构隐患的重要方面.

基于各国的不同国情，网络信息系统存在的安全问题也不尽相同.对于我国而言，由于我国还是一个发展中国家，网络信息安全系统除了具有上述普遍存在的安全缺陷之外，还存在因软、硬件核心技术掌握在别人手中而造成的技术被动等方面的安全隐患［3］.

3 网络信息安全防护技术

3.1 防火墙技术

实现防火墙的新产品主要有两大类:一类是网络级防火墙，另一类是应用级防火墙.目前的一种趋势是把这两种技术结合起来.为了实现防火墙的设计目标，人们采取了不同的技术方案［4］.从思路来看，无非是发现非授权访问的特点而拒之，隐蔽内部网的参数而护之.归纳起来，主要有包过滤技术、状态检查技术、代理技术和地址翻译技术等.

(1)包过滤技术

基于包过滤技术的防火墙叫做包过滤路用器，它含有一个包检查模块，依据一套规则对收到的IP包进行处理，决定是转发还是丢弃.包过滤被设置为两个方向(从外网进入内网或者相反)，对过往的数据包进行过滤，因此可以控制站点与站点、站点与网络、网络与网络之间的互访，但不能控制传输的数据内容.

(2)状态检查技术

包过滤防火墙在网络层拦截所有的数据包，并根据各个数据包的信息实行过滤操作，不考虑上层的上下文内容.大多数运行在TCP协议上的标准应用程序都遵循客户机/服务器的工作模式，当本地主机使用TCP协议的应用程序与远端主机会话时，将被动态分配一个高端口(大于1024)连接，简单包过滤技术一般允许基于TCP的通信在高端口通过，为未授权用户非法使用这些高端口提供了条件.

(3)代理技术

作为访问者与被访问者之间的中介，代理起到隔离双方的作用.代理服务器在通信中扮演一个消息传递者的角色，无论对外部网还是对内部网来说，它们“见”到的都只是代理服务器.

像包过滤路由器那样，仅仅依赖于数据包的信息(例如源与目标的IP地址)就远远不够了，代理必须综合考虑与应用相关的状态及部分与传输有关的信息，并根据这些信息做出是否为双方传递消息的决定.

3.2 数字签名

通信和数据系统的安全性常常取决于能否正确识别通信用户或终端的身份.人们在日常交往中为了证明信息的真伪往往采用签名的方法.在互联网上，常用数字签名的方法解决鉴别数字信息真伪的问题.数字签名的实质是数字加密技术，现在一般都采用公开密钥加密技术进行数字签名［5］.在数据发送方用私钥进行加密，实质上是签名，然后将签了名的密文传送出去.接收方对接收到的密文用公钥进行解密获得报文.需要注意的是，数字签名并没有解决信息加密，因为任何人都可以得到发送方的公钥，任何人都可以获得这个报文，所以还需要与密钥相配合，进行信息的加密.

3.3 报文鉴别

对付被动攻击可以采用加密的方式，对付主动攻击则需要采用报文鉴别技术.报文鉴别技术主要是解决信息在传输过程中被截获并篡改的问题，通过报文鉴别可以判断出报文的完整性.

报文鉴别过程是:发送方在发送报文前先将报文进行哈希函数运算，得到一个定长的报文摘要(MD)，然后对MD进行加密，追加到报文后面发送出去.接收方对接收到的MD进行解密，并且对报文用同样的哈希函数进行运算，用得到的MD与解密的MD进行比较，如果相同，证明报文在传输过程中没有被篡改.

3.4 入侵检测技术

入侵检测(Intrusion Detection)技术与防火墙等其他网络安全策略相比，是一种比较新的网络安全策略.入侵检测系统通过对网络中的数据或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击做出响应.

入侵检测系统在识别人侵和攻击时，具有一定的智能，可以对入侵特征进行提取和汇总，在检测到入侵后能够主动采取响应措施，并对响应进行合并与融合.入侵检测技术是一种主动防御技术.

3.5 取证技术

计算机取证专家Judd Robbins这样定义:计算机取证(forensics)技术就是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取.同时针对黑客的入侵，保障网络的安全.

在信息时代，人们每天面对大量的计算机犯罪案例.这些案例的取证工作需要提取存在于计算机系统中的数据，常常需要从已经被删除、加密或破坏的文件中重新获得信息.电子证据本身和取证过程的许多有别于传统物证和取证的特点，对司法和计算机科学提出了新的挑战.

证据可以在计算机犯罪或误用这一大范围中收集，包括窃取商业秘密、窃取或破坏知识产权和欺诈行为等.

计算机专家可以提供一系列的方法来挖掘存储于计算机系统中的数据，或恢复已删除的、被加密的或被破坏的文件信息.这些信息在收集证词、宣誓作证或实际诉讼过程中都可能有用.

计算机取证包括对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档，即对电子证据的收集、保存、分析和陈述.

4 结论

网络技术应该发挥监管方面的积极作用.要在网络接入时，要建立一套完整的网络监管体系.网络安全技术的发展只能走技术集成这条路.由于网络安全不仅仅是一个纯技术问题，单凭技术因素确保网络安全是不可能的.网络安全问题是涉及法律、管理和技术等多方因素的复杂系统问题.因此网络安全体系是由网络安全法律体系、网络安全管理体系和网络安全技术体系三部分组成，它们相辅相成.只有协调好三者的关系，才能有效地保护网络的安全.

［1］张玉珍.大学计算机应用基础［M］.北京:人民邮电出版社，2009.09:102 ～103.

［2］田艳，高集荣.现代统计信息技术［M］.北京:中国统计出版社，2008.12:98 ～100.

［3］李军.计算机网络信息安全技术探讨［J］.价值工程，2011，(8):67 ～68.

［4］尚荣斌.电子商务网络信息安全技术应用浅析［J］.科技信息，2011，(4):112.

［5］左享拔.网络信息安全技术浅析［J］.景德镇高专学报，2011，(6):120.

TP3

A

1006－5342(2011)12－0095－02

2011－10－23