信息安全隱患分析及對策

　　信息安全隱患分析及對策

　　摘 要：從網(wǎng)絡(luò )平臺、應用平臺、管理平臺以及計算機系統的物理安全等方面著(zhù)手，分析了可能存在的網(wǎng)絡(luò )信息安全隱患，并在此基礎上提出了相應的網(wǎng)絡(luò )信息安全解決方案。

　　關(guān)鍵詞：網(wǎng)絡(luò )信息安全;安全隱患;解決方案

　　21世紀全世界的計算機都將通過(guò)Internet聯(lián)到一起，隨著(zhù)Internet的發(fā)展，網(wǎng)絡(luò )豐富的信息資源給用戶(hù)帶來(lái)了極大的方便，但同時(shí)也給用戶(hù)帶來(lái)了網(wǎng)絡(luò )信息安全問(wèn)題。

　　由于Internet的開(kāi)放性和超越組織與國界等特點(diǎn)，使它在安全性上存在一些隱患，而且信息安全的內涵也發(fā)生了根本的變化。

　　一、什么是信息安全

　　在探討網(wǎng)絡(luò )信息安全前，必須首先明確什么是信息安全，其具體內容是什么。

　　目前，有關(guān)信息安全的定義比較流行的主要有以下幾種說(shuō)法：

　　國際標準化組織(ISO)定義：“為數據處理系統建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和顯露。”我國安全專(zhuān)家繆道期則認為：“計算機的硬件、軟件和數據受到保護，不因偶然的和惡意的原因而遭到破壞、更改和顯露，系統連續正常運行。”兩種說(shuō)法究其根源是一致的，前者偏重于靜態(tài)信息保護，后者著(zhù)重于動(dòng)態(tài)意義描述。

　　總的來(lái)說(shuō)，信息安全的主要目標是保護信息資源以免受毀壞、替換、盜竊和丟失。

　　這些信息資源包括計算機設備、存儲介質(zhì)、軟件、計算機輸出材料和數據。

　　信息安全可分為物理安全和邏輯安全。

　　物理安全指系統設備及相關(guān)設施受到物理保護，免于破壞、丟失等;邏輯安全包括信息完整性、保密性和可用性。

　　二、網(wǎng)絡(luò )信息安全隱患分析

　　(一)對各類(lèi)型安全隱患的分析

　　下面我們就從網(wǎng)絡(luò )平臺、應用平臺、管理平臺以及計算機系統的物理安全等多方面來(lái)分析可能存在的安全隱患，并在此基礎上對每種類(lèi)別的安全隱患進(jìn)行具體分析描述。

　　1.網(wǎng)絡(luò )平臺存在的安全隱患

　　(1)內網(wǎng)連接外網(wǎng)后，經(jīng)常遭受來(lái)自外部網(wǎng)絡(luò )的非授權訪(fǎng)問(wèn)、黑客對系統的惡意攻擊以及病毒入侵。

　　(2)系統內部不同域相互連接后，會(huì )遭受來(lái)自?xún)炔坑幸饣驘o(wú)意的非授權訪(fǎng)問(wèn)、惡意攻擊以及病毒入侵。

　　(3)信息在廣域網(wǎng)上傳輸時(shí)數據泄露的危險。

　　2.應用平臺存在的安全隱患

　　(1)關(guān)鍵業(yè)務(wù)主機系統的安全隱患：不能實(shí)時(shí)監控關(guān)鍵業(yè)務(wù)主機硬件系統的運行情況;不能實(shí)時(shí)報告關(guān)鍵業(yè)務(wù)主機系統故障;操作系統的安全級別低，缺乏對關(guān)鍵業(yè)務(wù)主機操作系統用戶(hù)權限的嚴格控制、文件系統的保護等。

　　(2)數據庫系統的安全隱患：系統漏洞的安全隱患;不能實(shí)時(shí)監控數據庫系統的運行情況，包括數據庫文件存儲空間、系統資源使用率、數據庫進(jìn)程狀態(tài)、進(jìn)程所占內存空間等;黑客利用已知的系統漏洞對系統進(jìn)行攻擊。

　　3.管理平臺存在的安全隱患

　　(1)信息安全管理體系的安全隱患：

　�、贈](méi)有統一的信息安全報警系統，不能及時(shí)發(fā)現已經(jīng)發(fā)生的網(wǎng)絡(luò )安全事件;

　�、跊](méi)有統一的信息安全審計系統，不能迅速確定網(wǎng)絡(luò )安全事件的來(lái)源;

　�、蹧](méi)有統一的信息安全管理策略配置系統，不能迅速執行制定的安全策略，管理復雜，管理成本高;

　　(2)網(wǎng)絡(luò )設備和通信線(xiàn)路的安全隱患：

　�、俨荒軐�(shí)時(shí)監控網(wǎng)絡(luò )設備和通信線(xiàn)路的工作狀況;

　�、诓荒芗皶r(shí)發(fā)現和定位通信系統故障。

　　4.計算機系統的物理安全

　　信息安全的另一方面是計算機設備的安全，包括通訊連接以及真正的計算機和數據介質(zhì)的安全。

　　在工作中經(jīng)常會(huì )出現由于人為失誤或硬件故障如磁盤(pán)故障、介質(zhì)、設備和其他備份故障造成數據丟失或改變。

　　國外一家公司在對分布式存儲研究中意外發(fā)現，平均為完成研究工作所做的備份工作出錯幾乎達到了每周三次。

　　其中有一次服務(wù)器由于磁盤(pán)故障丟失了所有數據，當準備用備份磁帶恢復文件時(shí)卻發(fā)現沒(méi)有一盤(pán)磁帶有數據。

　　可見(jiàn)，制定行之有效的數據備份恢復方案，以應對可能出現的災難事故時(shí)至關(guān)重要。

　　(二)信息安全隱患的集中表現

　　通過(guò)對以上可能出現的安全隱患的分析，我們現在可以得出初步結論。

　　目前，信息安全隱患主要集中在以下幾個(gè)方面：

　　1.非授權訪(fǎng)問(wèn)

　　在工作中經(jīng)常會(huì )碰到有意或無(wú)意的非授權訪(fǎng)問(wèn)。

　　對此，系統管理員一般使用訪(fǎng)問(wèn)控制技術(shù)來(lái)防范非授權訪(fǎng)問(wèn)，即對進(jìn)入系統進(jìn)行控制以及進(jìn)入系統后，對文件和程序等資源的訪(fǎng)問(wèn)進(jìn)行控制。

　　其作用是對想訪(fǎng)問(wèn)系統和數據的人進(jìn)行識別，并檢驗其身份。

　　有三種主要的方法可以實(shí)現訪(fǎng)問(wèn)控制。

　　第一種要求用戶(hù)輸入一些保密信息，如賬號和口令。

　　另一種更復雜的方法是采用一些物理識別設備，如訪(fǎng)問(wèn)卡、鑰匙或令牌。

　　另外，還可以采用生物統計學(xué)系統，可以基于某種特殊的物理特征對人進(jìn)行唯一性識別，如指紋、掌紋等。

　　2.入侵檢測和防范

　　目前常用的入侵檢測和防范的常用方法主要是防火墻技術(shù)。

　　通過(guò)防火墻技術(shù)可防止攻擊能較容易地在網(wǎng)絡(luò )之間移動(dòng)、四處傳播摧毀和破壞的，使不同的網(wǎng)絡(luò )保持相互隔離的狀態(tài)下，仍能通過(guò)路由器或網(wǎng)關(guān)通訊，同時(shí)限制什么數據可以“通過(guò)”防火墻的“門(mén)”，并進(jìn)入到另一個(gè)網(wǎng)絡(luò )。

　　其使用硬件和軟件的組合來(lái)決定何種請求可以從外部進(jìn)入內部網(wǎng)絡(luò )，可防范從因特網(wǎng)或外部網(wǎng)絡(luò )到該內部網(wǎng)絡(luò )的全部訪(fǎng)問(wèn)，也可以選擇性地檢查從一邊到另一邊的每一條消息或通訊。

　　但防火墻技術(shù)也存在局限性，如對內部網(wǎng)絡(luò )的攻擊無(wú)能為力，在實(shí)際工作中經(jīng)常與其他安全措施配合使用。

　　3.病毒防護

　　病毒是系統中最常見(jiàn)、威脅最大的安全問(wèn)題來(lái)源，建立一個(gè)全方位的病毒防范系統是網(wǎng)絡(luò )系統安全體系建設的重要任務(wù)。

　　目前主要采用病毒防范系統解決病毒查找、清殺問(wèn)題。

　　根據網(wǎng)絡(luò )結構和計算機分布情況，病毒防范系統的安裝實(shí)施要求為： 　　(1)能夠配置成分布式運行和集中管理，由防病毒代理和防病毒服務(wù)器端組成;

　　(2)防病毒客戶(hù)端安裝在系統的關(guān)鍵主機中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端;

　　(3)在防病毒服務(wù)器端能夠交互式地操作防病毒客戶(hù)端進(jìn)行病毒掃描和清殺，設定病毒防范策略;

　　(4)能夠從多層次進(jìn)行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有相應的防毒軟件提供完整的、全面的防病毒保護。

　　4.系統漏洞

　　系統漏洞通常是由操作系統開(kāi)發(fā)者有意設置的，這樣軟件工程師就可以在用戶(hù)忘記了自己的賬號和口令時(shí)進(jìn)入系統進(jìn)行維修。

　　由于系統漏洞的存在，攻擊者可繞過(guò)已設置的安全機制非法訪(fǎng)問(wèn)系統，引發(fā)各種安全隱患。

　　如在互聯(lián)網(wǎng)上肆虐的“W32/Nimda”的尼姆達病毒就是利用IE瀏覽器的系統漏洞。

　　對于系統漏洞，只能將系統不斷升級，及時(shí)下載執行補丁程序。

　　三、信息安全解決方案

　　(一)為確保信息安全，通過(guò)信息安全解決方案務(wù)必實(shí)現以下目標

　　1.外網(wǎng)之間及內網(wǎng)間的邏輯隔離;

　　2.關(guān)鍵業(yè)務(wù)主機操作系統加固，實(shí)現強制訪(fǎng)問(wèn)控制;

　　3.實(shí)時(shí)檢測對本地局域網(wǎng)的攻擊行為，并能與防火墻聯(lián)動(dòng)，自動(dòng)阻斷網(wǎng)絡(luò )攻擊;

　　4.實(shí)時(shí)查殺本地局域網(wǎng)中的病毒;

　　5.加強對各種網(wǎng)絡(luò )安全事件的檢測與審計，統一管理各安全分系統;

　　6.實(shí)時(shí)監控關(guān)鍵業(yè)務(wù)主機的運行情況，并實(shí)時(shí)報告其故障;

　　7.實(shí)時(shí)監控數據庫的運行狀態(tài);

　　8.及時(shí)發(fā)現和排除網(wǎng)絡(luò )設備與通信線(xiàn)路故障，避免網(wǎng)絡(luò )通信癱瘓;

　　9.防止敏感信息在廣域網(wǎng)傳輸過(guò)程中，被非法竊取和篡改;

　　10.防止黑客利用已知的系統漏洞，對系統進(jìn)行攻擊。

　　(二)具體來(lái)講，即要做好以下工作

　　1.本地局域網(wǎng)與外網(wǎng)及廣域網(wǎng)邊界處統一部署防火墻;

　　2.在運行關(guān)鍵業(yè)務(wù)的主機上配置主機安全防護系統;

　　3.在本地局域網(wǎng)中部署網(wǎng)絡(luò )入侵檢測系統，與防火墻系統建立聯(lián)動(dòng)關(guān)系;

　　4.在本地局域網(wǎng)中部署集中安全管理中心、主機穩定性監控系統、主機性能監控系統、網(wǎng)絡(luò )監控系統和網(wǎng)絡(luò )密碼機;

　　5.在本地局域網(wǎng)中部署網(wǎng)絡(luò )防病毒系統;

　　6.在業(yè)務(wù)數據庫服務(wù)器上部署數據庫運行監控系統;

　　7.使用漏洞掃描系統定期掃描服務(wù)器;

　　8.及時(shí)升級軟件和執行補丁程序;

　　9.建立可靠的數據備份恢復方案。

　　隨著(zhù)科學(xué)技術(shù)及網(wǎng)絡(luò )的高速發(fā)展，人們對信息的高度依賴(lài)，網(wǎng)絡(luò )信息安全愈發(fā)重要。

　　只有不斷根據系統管理要求，及時(shí)調整安全策略，建立安全的信息網(wǎng)絡(luò )，才能確保信息安全。

　　參考文獻：

　　[1][美]Marc Farley.網(wǎng)絡(luò )安全與數據完整性指南.李明之，譯.北京：機械工業(yè)出版社，1998.

　　[2][美]拉斯.克蘭德.挑戰黑客：網(wǎng)絡(luò )安全的最終解決方案.陳永劍，譯.北京：電子工業(yè)出版社，2000.

【信息安全隱患分析及對策】相關(guān)文章：

10-09

10-08

10-09

10-08

10-08

10-08

10-10

10-09

10-09

10-10