導(dǎo)語：計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)技術(shù)安全論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風(fēng)險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。

關(guān)鍵字：信息系統(tǒng)信息安全身份認(rèn)證安全檢測

Abstract：

Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.

Keywords：InformationsystemInformationsecurity

StatusauthenticationSafeexamination

一、目前信息系統(tǒng)技術(shù)安全的研究

1.企業(yè)信息安全現(xiàn)狀分析

隨著信息化進(jìn)程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒有經(jīng)?；?、制度化:三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識薄弱。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.

對于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務(wù)的程度還比較低。

2.企業(yè)信息安全防范的任務(wù)

信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，制定信息安全防范的任務(wù)主要是:

從安全技術(shù)上，進(jìn)行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，增強(qiáng)安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實(shí)體、載體)穩(wěn)定可靠地運(yùn)行、受控合法地使用。信息安全:保障存儲、傳輸、應(yīng)用的機(jī)密性(Confidentiality)、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、計算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

②入侵檢測技術(shù)

IETF將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器(EventGenerators)；事件分析器(EventAnalyzers)；響應(yīng)單元(ResponseUnits)和事件數(shù)據(jù)庫(EventDataBases)。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型?；谥鳈C(jī)的監(jiān)測。主機(jī)型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。最近出現(xiàn)的一種ID(IntrusionDetection)：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式(PromiseMode)，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集，并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。

對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志(CSignature-Based)，另一種基于異常情況(Abnormally-Based)。

（二）服務(wù)器端安全措施只有正確的安裝和設(shè)置操作系統(tǒng)，才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000SERVER為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個邏輯驅(qū)動器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS,E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因?yàn)?，IIS和FTP是對外服務(wù)的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。

②正確

地選擇安裝順序。

一般的人可能對安裝順序不太重視，認(rèn)為只要安裝好了，怎么裝都可以的。很多時候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡(luò)：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護(hù)它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進(jìn)入你的機(jī)器；同時，只要安裝一完成，各種服務(wù)就會自動運(yùn)行，而這時的服務(wù)器是滿身漏洞，非常容易進(jìn)入的，因此，在完全安裝并配置好Win2000SERVER之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次，補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果，例如：IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)，所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置：

首先，把操作系統(tǒng)在C盤默認(rèn)安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D：\Inetpub。

其次，在IIS安裝時默認(rèn)的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時候再建，需要什么權(quán)限開什么。特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給。

③應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP,ASP和其它確實(shí)需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射，然后就一個個刪除這些映射。點(diǎn)擊“確定”退出時要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。

經(jīng)過了Win2000Server的正確安裝與正確配置，操作系統(tǒng)的漏洞得到了很好的預(yù)防，同時增加了補(bǔ)丁，這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。

雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟，但我們切不可馬虎大意，只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識、采取日新月異的網(wǎng)絡(luò)安全措施，才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。

參考文獻(xiàn)：

劉海平，朱仲英.一個基于ASP的在線會員管理信息系統(tǒng).微型電腦應(yīng)用.2002（10）

東軟集團(tuán)有限公司，NetEye防火墻使用指南3.0，1-3

賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學(xué)出版社

EricMaiwald，Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94

楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購管理系統(tǒng)中的應(yīng)用：（學(xué)位論文）.遼寧：東北大學(xué)，2002

劉廣良.建設(shè)銀行計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究：（學(xué)位論文）.湖南：湖南大學(xué).2001

CelesteRobinson,AlanSimpson.MasteringAccess2000.電子工業(yè)出版社，2002

丁霞軍.基于ASP的管理信息系統(tǒng)開發(fā)及其安全性研究.（學(xué)位論文）.安徽：安徽理工大學(xué).2005