基于WEB访问行为中的信息安全分析研究

王朝晖

【摘 要】网络技术的迅猛发展，应用领域的不断扩大，导致信息安全问题日益突出。信息安全正逐渐成为一个综合性的多层面的问题。它是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识、控制。本文就人们日常的网络访问行为中，可能会导致信息安全问题的用户行为进行分析研究，寻求一种安全、文明的访问行为。

【关键词】网络访问；访问行为；信息安全

【Abstract】The rapid development of network technology， expanding the field of application， information security has become an acute problem. The information security is becoming an integrated and multidimensional problems. It refers to the prevention of information property was intentionally or accidental unauthorized disclosure， alteration， destruction or illegal system identification， and control. This daily network access behaviors， may result in information security-conscious user behavior analysis， visit find a safe and civilized behavior.

【Key words】Network access； Access behavior； Information security

0 引言

互联网是由若干个计算机网络互相连接而组成的网络，目前最大的互联网是因特网，它由众多的计算机网络互相连接组成、覆盖全球的开放性网络，广泛应用于社会经济、教育、文化传播等等方面。我国互联网的产生虽然比较晚，但是经过几十年的发展，依托于中国国民经济和政府体制改革的成果，已经显露出巨大的发展潜力[1]。中国已经成为国际互联网的一部分，并且将会成为最大的互联网用户群体。

随着社会的发展，人们对网络信息的需求和依赖日益增强，计算机网络已经悄然进入寻常百姓的生活，渗透了衣、食、住、行、娱等各个领域。网络技术的高度发展，为我们进行现代化建设提供了技术保障。然而，网络应用中却存在着许多不安全因素，其主要表现在信息泄漏、信息篡改、非法使用网络资源、非法信息渗透、假冒信息等等。本文就人们日常的网络访问行为中，可能会导致信息安全问题的用户行为进行分析研究，寻求一种安全、文明的访问行为。

1 计算机网络的信息安全隐患

计算机网络信息安全主要面临两类威胁，一类是计算机信息泄漏，另一类是数据破坏。由于计算机系统脆弱的安全性，只要用计算机来处理、存储和传输数据就会存在安全隐患。近年来，随着计算机网络信息泄漏和信息破坏事件不断上长的趋势，计算机信息安全问题已经从单一的技术问题，演变成为突出的社会问题，因此，计算机网络信息系统的安全与防范显得越发重要。

计算机网络的三个最重要功能是数据通信、资源共享和分布处理，在这些环节当中，都存在信息安全问题。信息安全是指利用网络管理控制和技术措施，防止网络本身及网上传输的信息数据被故意地或偶然地非授权泄漏、更改、破坏，或使网上传输的信息被非法系统辨认、控制，即确保网上传输的信息数据的完整性、保密性、可用性受到保护[1]。目前，在网络信息安全方面，主要存在以下的安全隐患：

1.1 网络中存在的不安全因素

用户可以通过网络自由发布和获取各类信息，因此，网络的威胁也来自方方面面。在这些威胁中最主要的是在计算机协议或证书中存在的不安全性因素[3]，如计算机协议主要包括： FTP、IP/TCP协议、SSL、NFS、SET等协议，这些协议中如果存在漏洞网络入侵者就能够根据这些漏洞搜索用户名，可以猜测到机器密码口令，攻击计算机防火墙。

数字证书则是通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。当一些恶意、非法的伪造数字安全证书被安装后，网络信息就被完全暴露。而且，网络用户对计算机及网络知识了解并不多，一旦页面上出现的诸多提示，往往是一路“确定”下去。

1.2 数据库管理系统的不安全

数据库管理系统是基于分级管理的理念而建立，本身就存在缺陷。因此，由于数据库的不安全因素的存在就会将用户上网浏览的痕迹泄漏，用户在网上存储和浏览的信息，通过这些用户的账号，密码都会被泄漏，这样就会大大威胁到用户的财产隐私安全。

1.3 计算机操作系统存在的不安全因素

计算机的整个支撑软件是它的操作系统，电脑中的所有程序运行都靠支撑软件为其提供环境。一旦网络入侵者控制了操作系统，那么用户口令就会被泄露，用户在各个程序中残留的信息就会被入侵者截取。

2 获取网络用户信息的方式分析

智慧城市概念的提出，伴随着网络帝国的崛起、移动技术的融合发展，知识社会环境下的智慧城市是继数字城市之后信息化城市发展的高级形态。从内容上看，信息化过程可分为信息的生产、应用和保障三大方面。信息的获取方式多种多样，涉及到网络用户信息的方式有如下几种类型：

（1）网络及系统漏洞：在传统安全防御技术中，系统的后门因其隐蔽性而被人们所忽视，作为网络协议和网络服务实现的载体，网络操作系统本身负有不可推卸的责任，在程序运行过程中存在的缺陷和漏洞在所难免。由于防火墙对这类入侵的拦截力度不足，导致这类入侵行为可以堂而皇之经过防火墙而很难被察觉。

Cookie这种网络小甜饼是一些会自动运行的小程序。网站设计师使用它们来为你提供方便而高效的服务[2]。但同时通过使用这些小程序，商业公司和网络入侵者能够轻易获得你机器上的信息。JavaJava作为一种技术，一直备受争议，现实中有无数利用Java的漏洞成功入侵案例。

（2）网络恶意攻击：通俗来说就是网络黑客攻击和网络病毒，这两类问题是目前公认的网络安全公敌。随着计算机文化在社会各个阶层的渗透，使得这类攻击变得越来越容易，一旦发现有关目标机器的详细资料，利用程序工具，对目标机器的文件资料、配置进行阅读、拷贝、修改等等[4]。网络病毒传播利用用户访问自己的网站或下载文件资料的同时传播病毒，以达到窃取信息的目的。

（3）社交软件：有超过95%的网民正在使用的各类工具软件，它的及时、便捷给大家带来方便的同时，也给信息的泄漏带来可乘之机。如“微信三点定位” 引发的热议，折射出了公众对隐私暴露的不安。个人信息与隐私界定标准的模糊让人头疼，用户亦因此不自觉地泄露个人信息。

（4）用户习惯：当使用者在使用某网站的某些认证时，每当有窗口弹出显示认证和授权时，绝大多数人会毫不犹豫地按下“Yes”。这就好比你购买商品时，售货员问：“把你钱包给我，请相信我会取出合适数量的钱替您付款，您说好吗？”你一定会斩钉截铁地回答：“No”这两种情况本质上完全一样。

3 网络访问行为调查分析

那些非法窃取在线信息和通讯的黑客入侵者以及试图保护信息安全的人们已经陷入一场军备竞赛。每年都会发生各种入侵攻击，日益进化的网络技术导致安全行业努力利用现有工具抵抗攻击，同时收集有关新威胁的情报[3]。用户也是这一问题的一部分，他们粗心或者恶意的网络行为让入侵者有机可乘，或者直接导致网络泄密。

通过对不同年龄段人群进行网络访问的行为调查，共发放500份调查问卷，内容涉及网络访问需求、访问类型、访问行为方式、具体问题的处理方式和一些网络安全基本知识，回收到有效的问卷486份，对问卷进行统计分析后，得到了以下的网络访问行为的分析结果：

从不同群体对网络的需要比例来看（见图1），网络速度是第一位的需求，安全性要求摆在末位，显示受访者的网络安全意识淡薄，甚至把网络速度作为衡量网络使用效果、计算机质量好坏的判断依据。

针对不同受访群体的网络访问类型（见图2），从统计结果来看，社交软件是普遍使用较多的应用。据DCCI互联网数据中心联合360手机安全中心发布的《2015年Android手机隐私安全报告》显示，要求读取设备信息以91%的比例高居首位，占比76.8%的读取位置信息位居第二。无论是PC端还是手机移动终端，使用相关软件时，都应该进行相应的安全设置，以保护个人信息与隐私的安全。

电子邮件在中青年人群应用较多，需要注意的是当电子邮件中有附件时，应使用下载附件的邮件阅读方式，而非直接打开进行在线阅读的方式，这样可以有效杜绝恶意软件的传播与在线运行行为。

根据不同人群对计算机及网络安全的关注情况来看（见图3），老年群体的计算机及网络安全状态令人担心，在这些措施当中，依赖第三方安全管理软件进行计算机与网络的安全管理比重较大，显示了网民对计算机与网络知识薄弱，这样就存在着如何选择合适的第三方安全管理软件的问题。

更令人担忧的是，网民普遍存在对计算机及网络相应的安全设置不明白、不清楚的现象，没有设置好的计算机与网络软硬件环境，这就意味着信息安全的第一道防线不攻自破，此时更谈不上网络访问行为中的信息安全了。

从不同群体网络访问时遇到的问题比例来看（见图4），网络骚扰信息、虚假信息较多，而且成为普遍的现象。这些问卷显示，在网络上下载一些软件后，经常会自动弹出一些页面，当用户不经意点击链接后，可能跳转到欺骗网站、虚假页面等网络陷阱中去，进而导致信息安全得不到有效保护，甚至产生人生安全、财产损失等严重后果。

图4 不同群体网络访问时遇到的问题比例

4 结论

计算机网络信息安全面临的威胁中，除了管理层面的数据破坏所带来的问题外，另一类是用户层面的计算机信息泄漏[4]。导致计算机信息泄漏的途径有很多。首先，必须有一个安全可靠的计算机及网络环境，在人们日常的网络访问行为中，要学会进行必要的计算机及网络的相关安全设置，及时下载系统及软件补丁，安装杀毒软件和防火墙等安全管理软件，营造良好网络访问环境；其次，是在进行网络访问时，要有真假信息的甄别能力，网络信息量庞大，学会辨别是非是信息安全、文明上网的有效举措；最后，对于用户而言，更为重要的是良好网络访问习惯的养成，在正规网站下载软件，遇到网页提示要认真看清读懂，不随便在论坛及社交网站发布个人敏感信息，树立牢固的信息安全防范意识，保护好个人隐私。

【参考文献】

[1]蒋蔚.网络行为管理系统研宄及设计[D].浙江工业大学，2012.

[2]杨宗长，徐继生，孙洪.Web 访问者网络行为跟踪[J].计算机安全，2004（8）.

[3]Ross Anderson.齐宁（译）.信息安全工程[M].北京：清华大学出版社，2012.

[4]王宇，阎慧.信息安全保密技术[M].北京：国防工业出版社，2010.

[责任编辑：汤静]