网络信息系统安全风险分析与防范对策.doc

网络信息系统安全风险分析与防范对策摘 要：随着网络信息日益普及，网络信息的安全性显得尤为重要。本文通过对网络信息系统访问（特别是逻辑访问）的安全风险分析，在应用系统编程、数据库系统设置、操作系统设置三个层次提出了相应的防范对策。关键词：网络信息系统 安全风险 防范对策随着网络信息系统的迅猛发展，网络信息已成为人们日常工作和生活的重要载体，但网络信息系统是一把“双刃剑”，在给人们带来方便、大幅度提高生产力水平的同时，也给个人、单位乃至整个国家的信息安全带来了较大冲击，因此，进行网络信息安全风险分析与对策研究十分重要。1 网络信息安全的定义网络信息安全的定义是确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的保密性、完整性和可用性，以及与人、网络、环境有关的技术安全、结构安全和管理安全。简言之，网络信息安全就是保证网络信息系统的合法用户在允许的时间内、从允许的地点、通过允许的方法，对允许范围内的信息进行所允许的处理，同时能有效防范非法用户访问与攻击网络信息系统。2 网络信息安全管理的重要性信息时代，政治、经济、军事、科技和文化等信息成为国家的重要战略资源，目前世界各国都不惜巨资，招集最优秀人才，利用最先进技术，打造最可靠的网络。信息时代，强国推行信息强权和信息垄断，依仗信息优势控制弱国的信息技术。一旦信息弱国却步，又缺乏自主创新的网络安全策略和手段，国家的信息主权就有可能被葬送。因此，网络信息安全成为左右国家政治命脉、经济发展、军事强弱和文化复兴的关键因素。近年来，网络攻击在政治、经济、军事领域造成严重后果的事件层出不穷，如1996年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“美国司法部”的主页改为“美国不公正部”，令美国上下一片哗然；2005年6月,美国最大信用卡公司之一的万事达公司众多用户的银行资料被黑客窃取，酿成美国最大规模信用卡用户信息泄密案；2007年4月，爱沙尼亚互联网遭俄青年运动组织纳什（nashi）大规模网络袭击，攻击者仅用大规模重复访问使服务器瘫痪这一简单手法，就掌握了爱沙尼亚互联网的制网权，此次事件被视为首次针对国家的网络战；2008年8月的俄格冲突中，俄罗斯在军事行动前攻击了格鲁吉亚的互联网，致使格政府、交通、通讯、媒体和金融服务业处于瘫痪状态，此事件被定义为全球第一次针对制网权的、与传统军事行动同步的网络攻击，也是第一次大规模网络战争。因此，网络信息安全不仅影响着政治、经济、军事、科技、文化的发展走势，更与家国的安全紧密相连。3 信息系统安全风险分析与对策3.1 物理访问的安全管理物理访问安全主要指对网络信息系统直接或近距离访问而造成的安全问题，包括如下因素：非法使用、辐射、硬件故障、搭线窃听、盗用、偷窃等等。如线路窃听就是网上“黑客”们经常采用且很难被发现的手段。除光缆外的各种通信介质都不同程度的存在着电磁辐射。modem、terminal、电缆接口等亦都存在电磁辐射，有些甚至可在较远距离内将信号还原。“黑客”们便经常利用这些电磁辐射，使用各种高性能的协议分析仪和信道监测器进行搭线窃听，对信息流进行分析，将信号还原，从而得到口令、id及账号、涉密信息等敏感数据。 物理访问的风险大多来自恶意或具有犯罪倾向的人员（:如：离职人员、竞争者、盗窃者、犯罪集团、黑客等），因此应制定对策，保证硬件设施在合理的范围内能防止非法访问与入侵，如：主要设备是否有安全保护措施（防辐射、防盗窃、访非法使用等）。只要措施得力、制度完善、严格执行，物理访问的风险是可以事先得到控制的。3.2 逻辑访问的安全管理由于现代信息系统都是处在网络环境中，因此存在非法用户通过网络进行非法访问的风险，非法用户的非法访问有可能造成敏感数据泄露、系统瘫痪、业务中断等严重后果。非法逻辑访问往往通过假冒主机或用户进行非授权访问，达到对信息完整性攻击和对服务干扰的目的。非法逻辑访问的手段和方法很多，如：sql注入攻击、特洛伊木马、计算机病毒、蠕虫、逻辑炸弹、口令入侵、拒绝服务攻击（dos）等，下面就以一种 “黑客”们常用的且危害极大的攻击方法sql注入攻击作具体分析，找出具体对策。3.2.1 sql注入攻击的原理与危害sql 是结构化查询语言（structured query language）的缩写，是标准的数据库操作语言，当今的信息系统都离不开数据库，因此也离不开sql。sql注入攻击（sql injection attack）是攻击者应用http（hypertext transfer protocol，超文本传输协议）的请求向b/s模式的信息系统发送恶意的sql脚本，探测出信息系统开发者编程过程中的漏洞，然后利用这些漏洞，对信息系统的数据库内容进行直接检索或修改。信息系统基本上都是靠数据库来支撑的，尽管现用的数据管理系统种类较多（如oracle，ms sql server，sybase，db2，mysql，access等），但基本上都支持sql，虽然针对各种数据库管理系统的sql语法不尽相同，但基本上是大同小异，易于区分和掌握，并且对于绝大多数防火墙来说，这种攻击是“合法”的，因此sql注入攻击易于实施，具有广泛性。一旦攻击成功，信息系统所用数据库中的数据可以任由攻击者查看和修改，攻击者可以直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限，其危害是极其严重的：如果信息系统中存放有秘密数据，则造成秘密泄露；如果攻击者修改数据库中的数据，要么造成系统的瘫痪，要么使系统中的数据以假乱真，误导系统的使用者做出错误的决策，从而造成更大的危害。当今的数据库管理系统都有一些工具和功能组件，可以直接与操作系统及网络联接。这就意味着攻击者通过sql注入攻击一个信息系统后，其危害就不只局限于存储在数据库中的数据，攻击者还可以设法获得对dbms（数据库管理系统）所在的主机的交互式访问，使其危害从数据库向操作系统、甚至整个网络蔓延。因此，我们不仅应当将sql注入攻击看作是一个对存储在数据库上数据的威胁，而且应当看作是对整个网络的威胁。”值得注意的是，专门进行sql注入攻击的黑客工具现早就出现了，利用这些黑客工具来进行攻击可能只需要几分钟时间就能成功，攻击者可能轻易获得数据库和信息系统的管理权限，甚至获得整个服务器的管理权限，其危害程度是可想而知的。3.2.2 sql注入攻击的防范对策要有效防范sql注入攻击，需要同时采取多种措施，可从应用系统编程防范、安全配置数据库管理系统、安全配置操作系统等方面进行。（1）编程防范编程防范就是在编写的程序中加强安全防范，堵塞漏洞。编程防范总的原则是少特权、多检验。少特权就是不要给数据库连接或数据库用户太多的权限，应为不同类型的操作建立和使用不同的账户，其权限与其操作相匹配，不要授予多余的权限。有些编程者为了方便，直接使用超级用户的连接数据库，这样就给系统带来了很大的安全隐患，一旦攻击者攻击成功，系统就会任其摆布，危害极大。编程中应尽量多采用存储过程，如果一定要使用sql语句，那么用标准的方式组建sql语句，比如可以利用parameters对象，避免用字符串直接拼写sql命令。多检验就是对用户输入从多方面检验其合法性，如检验数据中是否包含单引号、双引号、分号、逗号、冒号、连接号等特殊字符或sql语句、函数、数据类型等保留字符串，数据类型是否与预期类型匹配，数据长度是否超长等，一旦发现与预期不符的情况，应放弃执行。检验用户输入数据的其合法性，应在客户端和服务端都进行，两端的检验函数大体相同，在客户端检查没有通过就不提交到服务器端执行，这样可以降低服务器负荷，减少网络流量。当然，攻击者可以绕过客户端检验，直接将攻击代码提交到服务器端，因此，服务器端的检验更为重要。此外还要注意，当sql语句执行出错时，不要直接将数据库返回的错误信息显示给用户，因为数据库返回的错误信息往往会透露一些数据库设计的细节（如表名、字段名等），攻击者往往故意设计一些使数据库报错的sql语句来了解数据库的设计细节，达到进一步攻击的目的。（2）数据库配置防范数据库管理系统往往提供一些安全方面的配置项，如果将这些配置项配置准确，可以大幅度提高防范攻击能力，下面就以microsoft sql server为例，讲讲如何进行安全配置。使用安全的帐号和密码策略sql server具有一个超级用户帐号，其用户名称是：sa，该用户名不能被修改也不能被删除，所以，必须对这个帐号进行最强的保护。不在数据库应用中直接使用sa帐号，新建一个与sa一样权限的超级用户来管理数据库，其它用户根据实际需要分配仅仅能够满足应用要求的权限，不要赋予多余的权限，所有用户（特别是超级用户）都要使用复杂的密码，同时养成定期修改密码的好习惯。使用 windows 身份验证模式sql server的认证模式有windows身份认证和混合身份认证两种。应该使用 windows 身份验证模式，因为它通过限制对microsoft windows用户和域用户帐户的连接，保护 sql server 免受大部分 internet 的工具的侵害，而且，服务器也可以从 windows 安全增强机制中获益，例如windows的身份验证协议以及强制的密码复杂性和过期时间提示。在客户端，windows 身份验证模式不再需要存储密码，存储密码是使用标准 sql server 登录的应用程序的主要漏洞之一。管理扩展存储过程存储过程是sql server提供给用户的扩展功能，其实很多存储过程在多数应用中根本用不到，而有些系统的存储过程很容易被黑客用来攻击或破坏系统，所以需要删除不必要的存储过程，比如xp_cmdshell存储过程就需要禁用，因为xp_cmdshell存储过程可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，并以文本行方式返回任何输出，是一个功能非常强大的扩展存贮过程。一般的黑客攻击sql server时，首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库。一般情况下，xp_cmdshell对管理员来说也不是必需的，xp_cmdshell的禁用不会对server造成任何影响。为了数据库安全起见，最好禁用xp_cmdshell。（3）操作系统配置防范操作系统一般都提供一些安全功能，如果配置好这些安全功能，就能对攻击起到一定的防范作用。选择安全的文件系统安全的文件系统可以对文件或文件的访问权限进行有效控制。如果服务器安装的是windows系列操作系统，在硬盘分区时就应该选择ntfs作为文件系统的格式，因为它比 fat 文件系统更安全。ntfs文件系统在性能、安全、可靠性方面提供了很多高级功能，通过它可以实现任意文件及文件夹的加密和权限设置，磁盘配额和压缩等高级功能。对数据库文件进行权限设置与加密数据库文件是攻击者的重要目标，因此需要重点保护。我们可以利用过操作系统提供的文件权限设置和加密功能保护数据库文件。比如：将sql server数据库系统安装到ntfs上，sql server 将在注册表键和文件上设置合适的 acl（access control list），应用这些访问控制列表可实现权限控制。通过操作系统提供的加密文件系统efs，数据库文件可在运行 sql server 的帐户身份下进行加密，只有这个帐户才能解密这些文件，使数据库更加安全。对应用系统文件进行权限设置与加密应用系统所在的文件夹及文件也是攻击者的重要目标，我们同样可以利用过操作系统提供的文件权限设置和加密功能对其进行保护。比如：如果应用系统采用iis提供信息服务，就需要对web站点目录的设置合适的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限，只给予.asp文件目录以脚本的权限，而不要给予执行权限等。以上通过对sql注入攻击分析后在应用系统编程、数据库系统设置、操作系统设置三个层次提出的防范对策，对防范其它非法逻辑访问也同样具有参考