网络信息安全存在的问题及策略

宋杭选

摘 要 计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备通过通信线路连接起来，在网络操作系统、网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传输的计算机系统。从一般意义来看，网络信息安全是指没有危险和不出事故。对于计算机网络而言，其网络信息安全问题是指网络系统的硬件、软件及其信息系统中的数据受到保护，不遭到偶然的或者恶意的原因破坏、更改、泄露，网络服务不中断。

【关键词】计算机 网络 安全

1 网络信息安全存在的问题

计算机网络的安全隐患多数是利用网络系统本身存在的安全弱点，而在网络的使用、管理过程中的不当行为可能会进一步加剧安全问题的严重性。影响网络安全的问题有很多，归纳起来主要包括3个方面：技术问题、管理问题和人为问题。

1.1 技术问题

从技术问题来看，主要包括硬件系统的安全缺陷、软件系统的安全漏洞和系统安全配置不当造成的其他安全漏洞3种情况。

（1）硬件系统的安全缺陷。由于理论或技术的局限性，必然会导致计算机及其硬件设备存在这样或那样的不足，进而在使用时可能产生各种各样的安全问题。

（2）软件系统的安全漏洞。在软件设计时期，人们为了能够方便不断改进和完善所涉及的系统软件和应用软件，开设了“后门”以便更新和修改软件的内容，这种后门一旦被攻击者掌握将成为影响系统安全的漏洞。同时，在软件开发过程中，由于结构设计的缺陷或编写过程的不规范也会导致安全漏洞的产生。

（3）系统安全配置不当造成的其他安全漏洞。通常在系统中都有一个默认配置，而默认配置的安全性通常较低。此外，在网络配置时出现错误，存在匿名FTP、Telnet的开放、密码文件缺乏适当的安全保护、命令的不合理使用等问题都会导致或多或少的安全漏洞。黑客就有可能利用这些漏洞攻击网络，影响网络的安全性。

1.2 管理问题

管理问题主要是指网络管理方面的漏洞。通常来说，很多机构在设计内部网络时，主要关注来自外部的威胁，对来自内部的攻击考虑较少，导致内部网络缺乏审计跟踪机制，网络管理员没有足够重视系统的日志和其他信息。另外，管理人员的素质较差、管理措施的完善程度不够以及用户的安全意识淡薄等都会导致网络安全问题。

1.3 人为问题

安全问题最终根源都是人的问题。前面提到的技术问题和管理问题均可以归结到人的问题。根据人的行为可以将网络安全问题分为人为的无意失误和人为的恶意攻击。

1.3.1 人为的无意失误

此类问题主要是由系统本身故障、操作失误或软件出错导致的。例如管理员安全配置不当造成的安全漏洞、网络用户安全意识不强带来的安全威胁等。

1.3.2 人为的恶意攻击

此类问题是指利用系统中的漏洞而进行的攻击行为或直接破坏物理设备和设施的攻击行为。例如病毒可以突破网络的安全防御人侵到网络主机上，可能造成网络系统的瘫痪等安全问题。

1.4 易欺骗性问题

TCP或UDP服务相信主机的地址。如果使用“IP Source Routing”，那么攻击者的主机就可以冒充一个被信任的主机或客户。使用“IP Source Routing”，采用如下操作可把攻击者的系统假扮成某一一特定服务器的可信任的客户：

（1）攻击者要使用那个被信任的客户的IP地址取代自己的地址。

（2）攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器的路径的最后节点。

（3）攻击者用这条路径向服务器发出客户申请。

（4）服务器接受客户申请，就好像是从可信任客户直接发出的一样，然后给可信任客户返回响应。

（5）可信任客户使用这条路径将包向前传送给攻击者的主机。

许多UNIX主机接收到这种包后将继续把它们向指定的地方传送。许多路由器也是这样，但有些路由器可以配置以阻塞这种包。

一个更简单的方法是等客户系统关机后来模仿该系统。许多组织中UNIX主机作为局域网服务器使用，职员用个人计算机和TCP/IP网络软件来连接和使用它们。个人计算机一般使用NFS来对服务器的目录和文件进行访问（NFS仅仅使用IP地址来验证客户）。一个攻击者几小时就可以设置好一台与别人使用相同名字和IP地址的个人计算机，然后与UNIX主机建立连接，就好像它是“真的”客户。这是非常容易实行的攻击手段，但应该是内部人员所为。

2 网络信息安全问题的策略

在设计一个网络安全系统时，首要任务是确认该单位的需要和目标，并制定安全策略。安全策略需要反映出该单位同公用网络连接的理由，并分别规定对内部用户和公众用户提供的服务。在建立安全策略时，这是关键性的，但往往又是容易被忽视的一步。准许访问除明确拒绝以外的全部服务程序，对大部分服务程序都很少干预。危及安全的服务程序可能被使用并已引发问题，直到管理人员明确加以禁止为止，安全问题颇为突出。此时，用户需要将该新服务程序通知管理人员，对该程序进行鉴定后决定是否允许被使用。

在作出基本的决策之后，决定哪些服务程序向内部用户提供，哪些服务程序向外部网络用户提供使用。安全策略设计还需要有监视安全的方式和实施策略的方式。

在设计安全策略和选择网络安全系统时，还需要考虑成本与方便二者的平衡。这取决于所期望的安全程度和所选用的安全系统，可能需要额外的硬件，如路由器和专用主机，也可能需要特殊的软件，还可能需要安全专家进行系统编程和维护工作。其他需要考虑的问题是安全系统对生产率和服务利用率的影响。有的网络安全系统工具会降低网络速度；有的会限制或拒绝网络上一些有用的服务程序，如邮件和文件传输；有的则需要新软件分配给内部网络中每一台主机，给用户带来了诸多的不便。因此，网络安全系统应该被设计成一个透明的安全系统，这样才能为网络提供安全保护而不会对网络性能有重大的影响，也不会迫使用户放弃一些服务程序或迫使用户去学习某些新的服务程序。

在网络安全系统设计时，需要考虑的另一个重要问题是，对安全程度和复杂程度二者的平衡。网络安全系统的复杂程度，由于下述问题而增加：增添和管理较多的网络，追加额外的硬件，增加筛选规则的数量。复杂的系统不容易进行正确的配置，从而可能导致发生安全问题。

总之，在制定网络安全策略时应当考虑如下问题：

（1）对于内部用户和外部用户分别提供哪些服务程序；

（2）初始投資额和后续投资额（新的硬件、软件及工作人员）；

（3）方便程度和服务效率；

（4）复杂程度和安全等级的平衡；

（5）网络性能。

参考文献

[1]庄友军.计算机网网络安全管理[J].电脑知识与技术，2010.

[2]薛新慈.任艳斐.计算机网络管理与安全技术探析[J].通信技术，2010.

[3]陈汇远.计算机信息系统安全技术的研究及其应用[D].铁道部科学研究院，2004.

作者单位

黑龙江省电力科学研究院 黑龙江省哈尔滨 150030