王朝暉
【摘 要】網(wǎng)絡技術的迅猛發(fā)展,應用領域的不斷擴大,導致信息安全問題日益突出。信息安全正逐漸成為一個綜合性的多層面的問題。它是指防止信息財產(chǎn)被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制。本文就人們?nèi)粘5木W(wǎng)絡訪問行為中,可能會導致信息安全問題的用戶行為進行分析研究,尋求一種安全、文明的訪問行為。
【關鍵詞】網(wǎng)絡訪問;訪問行為;信息安全
【Abstract】The rapid development of network technology, expanding the field of application, information security has become an acute problem. The information security is becoming an integrated and multidimensional problems. It refers to the prevention of information property was intentionally or accidental unauthorized disclosure, alteration, destruction or illegal system identification, and control. This daily network access behaviors, may result in information security-conscious user behavior analysis, visit find a safe and civilized behavior.
【Key words】Network access; Access behavior; Information security
0 引言
互聯(lián)網(wǎng)是由若干個計算機網(wǎng)絡互相連接而組成的網(wǎng)絡,目前最大的互聯(lián)網(wǎng)是因特網(wǎng),它由眾多的計算機網(wǎng)絡互相連接組成、覆蓋全球的開放性網(wǎng)絡,廣泛應用于社會經(jīng)濟、教育、文化傳播等等方面。我國互聯(lián)網(wǎng)的產(chǎn)生雖然比較晚,但是經(jīng)過幾十年的發(fā)展,依托于中國國民經(jīng)濟和政府體制改革的成果,已經(jīng)顯露出巨大的發(fā)展?jié)摿1]。中國已經(jīng)成為國際互聯(lián)網(wǎng)的一部分,并且將會成為最大的互聯(lián)網(wǎng)用戶群體。
隨著社會的發(fā)展,人們對網(wǎng)絡信息的需求和依賴日益增強,計算機網(wǎng)絡已經(jīng)悄然進入尋常百姓的生活,滲透了衣、食、住、行、娛等各個領域。網(wǎng)絡技術的高度發(fā)展,為我們進行現(xiàn)代化建設提供了技術保障。然而,網(wǎng)絡應用中卻存在著許多不安全因素,其主要表現(xiàn)在信息泄漏、信息篡改、非法使用網(wǎng)絡資源、非法信息滲透、假冒信息等等。本文就人們?nèi)粘5木W(wǎng)絡訪問行為中,可能會導致信息安全問題的用戶行為進行分析研究,尋求一種安全、文明的訪問行為。
1 計算機網(wǎng)絡的信息安全隱患
計算機網(wǎng)絡信息安全主要面臨兩類威脅,一類是計算機信息泄漏,另一類是數(shù)據(jù)破壞。由于計算機系統(tǒng)脆弱的安全性,只要用計算機來處理、存儲和傳輸數(shù)據(jù)就會存在安全隱患。近年來,隨著計算機網(wǎng)絡信息泄漏和信息破壞事件不斷上長的趨勢,計算機信息安全問題已經(jīng)從單一的技術問題,演變成為突出的社會問題,因此,計算機網(wǎng)絡信息系統(tǒng)的安全與防范顯得越發(fā)重要。
計算機網(wǎng)絡的三個最重要功能是數(shù)據(jù)通信、資源共享和分布處理,在這些環(huán)節(jié)當中,都存在信息安全問題。信息安全是指利用網(wǎng)絡管理控制和技術措施,防止網(wǎng)絡本身及網(wǎng)上傳輸?shù)男畔?shù)據(jù)被故意地或偶然地非授權泄漏、更改、破壞,或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)辨認、控制,即確保網(wǎng)上傳輸?shù)男畔?shù)據(jù)的完整性、保密性、可用性受到保護[1]。目前,在網(wǎng)絡信息安全方面,主要存在以下的安全隱患:
1.1 網(wǎng)絡中存在的不安全因素
用戶可以通過網(wǎng)絡自由發(fā)布和獲取各類信息,因此,網(wǎng)絡的威脅也來自方方面面。在這些威脅中最主要的是在計算機協(xié)議或證書中存在的不安全性因素[3],如計算機協(xié)議主要包括: FTP、IP/TCP協(xié)議、SSL、NFS、SET等協(xié)議,這些協(xié)議中如果存在漏洞網(wǎng)絡入侵者就能夠根據(jù)這些漏洞搜索用戶名,可以猜測到機器密碼口令,攻擊計算機防火墻。
數(shù)字證書則是通過標志交易各方身份信息的一系列數(shù)據(jù),提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。當一些惡意、非法的偽造數(shù)字安全證書被安裝后,網(wǎng)絡信息就被完全暴露。而且,網(wǎng)絡用戶對計算機及網(wǎng)絡知識了解并不多,一旦頁面上出現(xiàn)的諸多提示,往往是一路“確定”下去。
1.2 數(shù)據(jù)庫管理系統(tǒng)的不安全
數(shù)據(jù)庫管理系統(tǒng)是基于分級管理的理念而建立,本身就存在缺陷。因此,由于數(shù)據(jù)庫的不安全因素的存在就會將用戶上網(wǎng)瀏覽的痕跡泄漏,用戶在網(wǎng)上存儲和瀏覽的信息,通過這些用戶的賬號,密碼都會被泄漏,這樣就會大大威脅到用戶的財產(chǎn)隱私安全。
1.3 計算機操作系統(tǒng)存在的不安全因素
計算機的整個支撐軟件是它的操作系統(tǒng),電腦中的所有程序運行都靠支撐軟件為其提供環(huán)境。一旦網(wǎng)絡入侵者控制了操作系統(tǒng),那么用戶口令就會被泄露,用戶在各個程序中殘留的信息就會被入侵者截取。
2 獲取網(wǎng)絡用戶信息的方式分析
智慧城市概念的提出,伴隨著網(wǎng)絡帝國的崛起、移動技術的融合發(fā)展,知識社會環(huán)境下的智慧城市是繼數(shù)字城市之后信息化城市發(fā)展的高級形態(tài)。從內(nèi)容上看,信息化過程可分為信息的生產(chǎn)、應用和保障三大方面。信息的獲取方式多種多樣,涉及到網(wǎng)絡用戶信息的方式有如下幾種類型:
(1)網(wǎng)絡及系統(tǒng)漏洞:在傳統(tǒng)安全防御技術中,系統(tǒng)的后門因其隱蔽性而被人們所忽視,作為網(wǎng)絡協(xié)議和網(wǎng)絡服務實現(xiàn)的載體,網(wǎng)絡操作系統(tǒng)本身負有不可推卸的責任,在程序運行過程中存在的缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足,導致這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。
Cookie這種網(wǎng)絡小甜餅是一些會自動運行的小程序。網(wǎng)站設計師使用它們來為你提供方便而高效的服務[2]。但同時通過使用這些小程序,商業(yè)公司和網(wǎng)絡入侵者能夠輕易獲得你機器上的信息。JavaJava作為一種技術,一直備受爭議,現(xiàn)實中有無數(shù)利用Java的漏洞成功入侵案例。
(2)網(wǎng)絡惡意攻擊:通俗來說就是網(wǎng)絡黑客攻擊和網(wǎng)絡病毒,這兩類問題是目前公認的網(wǎng)絡安全公敵。隨著計算機文化在社會各個階層的滲透,使得這類攻擊變得越來越容易,一旦發(fā)現(xiàn)有關目標機器的詳細資料,利用程序工具,對目標機器的文件資料、配置進行閱讀、拷貝、修改等等[4]。網(wǎng)絡病毒傳播利用用戶訪問自己的網(wǎng)站或下載文件資料的同時傳播病毒,以達到竊取信息的目的。
(3)社交軟件:有超過95%的網(wǎng)民正在使用的各類工具軟件,它的及時、便捷給大家?guī)矸奖愕耐瑫r,也給信息的泄漏帶來可乘之機。如“微信三點定位” 引發(fā)的熱議,折射出了公眾對隱私暴露的不安。個人信息與隱私界定標準的模糊讓人頭疼,用戶亦因此不自覺地泄露個人信息。
(4)用戶習慣:當使用者在使用某網(wǎng)站的某些認證時,每當有窗口彈出顯示認證和授權時,絕大多數(shù)人會毫不猶豫地按下“Yes”。這就好比你購買商品時,售貨員問:“把你錢包給我,請相信我會取出合適數(shù)量的錢替您付款,您說好嗎?”你一定會斬釘截鐵地回答:“No”這兩種情況本質(zhì)上完全一樣。
3 網(wǎng)絡訪問行為調(diào)查分析
那些非法竊取在線信息和通訊的黑客入侵者以及試圖保護信息安全的人們已經(jīng)陷入一場軍備競賽。每年都會發(fā)生各種入侵攻擊,日益進化的網(wǎng)絡技術導致安全行業(yè)努力利用現(xiàn)有工具抵抗攻擊,同時收集有關新威脅的情報[3]。用戶也是這一問題的一部分,他們粗心或者惡意的網(wǎng)絡行為讓入侵者有機可乘,或者直接導致網(wǎng)絡泄密。
通過對不同年齡段人群進行網(wǎng)絡訪問的行為調(diào)查,共發(fā)放500份調(diào)查問卷,內(nèi)容涉及網(wǎng)絡訪問需求、訪問類型、訪問行為方式、具體問題的處理方式和一些網(wǎng)絡安全基本知識,回收到有效的問卷486份,對問卷進行統(tǒng)計分析后,得到了以下的網(wǎng)絡訪問行為的分析結果:
從不同群體對網(wǎng)絡的需要比例來看(見圖1),網(wǎng)絡速度是第一位的需求,安全性要求擺在末位,顯示受訪者的網(wǎng)絡安全意識淡薄,甚至把網(wǎng)絡速度作為衡量網(wǎng)絡使用效果、計算機質(zhì)量好壞的判斷依據(jù)。
針對不同受訪群體的網(wǎng)絡訪問類型(見圖2),從統(tǒng)計結果來看,社交軟件是普遍使用較多的應用。據(jù)DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合360手機安全中心發(fā)布的《2015年Android手機隱私安全報告》顯示,要求讀取設備信息以91%的比例高居首位,占比76.8%的讀取位置信息位居第二。無論是PC端還是手機移動終端,使用相關軟件時,都應該進行相應的安全設置,以保護個人信息與隱私的安全。
電子郵件在中青年人群應用較多,需要注意的是當電子郵件中有附件時,應使用下載附件的郵件閱讀方式,而非直接打開進行在線閱讀的方式,這樣可以有效杜絕惡意軟件的傳播與在線運行行為。
根據(jù)不同人群對計算機及網(wǎng)絡安全的關注情況來看(見圖3),老年群體的計算機及網(wǎng)絡安全狀態(tài)令人擔心,在這些措施當中,依賴第三方安全管理軟件進行計算機與網(wǎng)絡的安全管理比重較大,顯示了網(wǎng)民對計算機與網(wǎng)絡知識薄弱,這樣就存在著如何選擇合適的第三方安全管理軟件的問題。
更令人擔憂的是,網(wǎng)民普遍存在對計算機及網(wǎng)絡相應的安全設置不明白、不清楚的現(xiàn)象,沒有設置好的計算機與網(wǎng)絡軟硬件環(huán)境,這就意味著信息安全的第一道防線不攻自破,此時更談不上網(wǎng)絡訪問行為中的信息安全了。
從不同群體網(wǎng)絡訪問時遇到的問題比例來看(見圖4),網(wǎng)絡騷擾信息、虛假信息較多,而且成為普遍的現(xiàn)象。這些問卷顯示,在網(wǎng)絡上下載一些軟件后,經(jīng)常會自動彈出一些頁面,當用戶不經(jīng)意點擊鏈接后,可能跳轉(zhuǎn)到欺騙網(wǎng)站、虛假頁面等網(wǎng)絡陷阱中去,進而導致信息安全得不到有效保護,甚至產(chǎn)生人生安全、財產(chǎn)損失等嚴重后果。
圖4 不同群體網(wǎng)絡訪問時遇到的問題比例
4 結論
計算機網(wǎng)絡信息安全面臨的威脅中,除了管理層面的數(shù)據(jù)破壞所帶來的問題外,另一類是用戶層面的計算機信息泄漏[4]。導致計算機信息泄漏的途徑有很多。首先,必須有一個安全可靠的計算機及網(wǎng)絡環(huán)境,在人們?nèi)粘5木W(wǎng)絡訪問行為中,要學會進行必要的計算機及網(wǎng)絡的相關安全設置,及時下載系統(tǒng)及軟件補丁,安裝殺毒軟件和防火墻等安全管理軟件,營造良好網(wǎng)絡訪問環(huán)境;其次,是在進行網(wǎng)絡訪問時,要有真假信息的甄別能力,網(wǎng)絡信息量龐大,學會辨別是非是信息安全、文明上網(wǎng)的有效舉措;最后,對于用戶而言,更為重要的是良好網(wǎng)絡訪問習慣的養(yǎng)成,在正規(guī)網(wǎng)站下載軟件,遇到網(wǎng)頁提示要認真看清讀懂,不隨便在論壇及社交網(wǎng)站發(fā)布個人敏感信息,樹立牢固的信息安全防范意識,保護好個人隱私。
【參考文獻】
[1]蔣蔚.網(wǎng)絡行為管理系統(tǒng)研宄及設計[D].浙江工業(yè)大學,2012.
[2]楊宗長,徐繼生,孫洪.Web 訪問者網(wǎng)絡行為跟蹤[J].計算機安全,2004(8).
[3]Ross Anderson.齊寧(譯).信息安全工程[M].北京:清華大學出版社,2012.
[4]王宇,閻慧.信息安全保密技術[M].北京:國防工業(yè)出版社,2010.
[責任編輯:湯靜]