基于WEB訪問行為中的信息安全分析研究

王朝暉

【摘 要】網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，應(yīng)用領(lǐng)域的不斷擴大，導(dǎo)致信息安全問題日益突出。信息安全正逐漸成為一個綜合性的多層面的問題。它是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法系統(tǒng)辨識、控制。本文就人們?nèi)粘５木W(wǎng)絡(luò)訪問行為中，可能會導(dǎo)致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

【關(guān)鍵詞】網(wǎng)絡(luò)訪問；訪問行為；信息安全

【Abstract】The rapid development of network technology， expanding the field of application， information security has become an acute problem. The information security is becoming an integrated and multidimensional problems. It refers to the prevention of information property was intentionally or accidental unauthorized disclosure， alteration， destruction or illegal system identification， and control. This daily network access behaviors， may result in information security-conscious user behavior analysis， visit find a safe and civilized behavior.

【Key words】Network access； Access behavior； Information security

0 引言

互聯(lián)網(wǎng)是由若干個計算機網(wǎng)絡(luò)互相連接而組成的網(wǎng)絡(luò)，目前最大的互聯(lián)網(wǎng)是因特網(wǎng)，它由眾多的計算機網(wǎng)絡(luò)互相連接組成、覆蓋全球的開放性網(wǎng)絡(luò)，廣泛應(yīng)用于社會經(jīng)濟、教育、文化傳播等等方面。我國互聯(lián)網(wǎng)的產(chǎn)生雖然比較晚，但是經(jīng)過幾十年的發(fā)展，依托于中國國民經(jīng)濟和政府體制改革的成果，已經(jīng)顯露出巨大的發(fā)展?jié)摿1]。中國已經(jīng)成為國際互聯(lián)網(wǎng)的一部分，并且將會成為最大的互聯(lián)網(wǎng)用戶群體。

隨著社會的發(fā)展，人們對網(wǎng)絡(luò)信息的需求和依賴日益增強，計算機網(wǎng)絡(luò)已經(jīng)悄然進入尋常百姓的生活，滲透了衣、食、住、行、娛等各個領(lǐng)域。網(wǎng)絡(luò)技術(shù)的高度發(fā)展，為我們進行現(xiàn)代化建設(shè)提供了技術(shù)保障。然而，網(wǎng)絡(luò)應(yīng)用中卻存在著許多不安全因素，其主要表現(xiàn)在信息泄漏、信息篡改、非法使用網(wǎng)絡(luò)資源、非法信息滲透、假冒信息等等。本文就人們?nèi)粘５木W(wǎng)絡(luò)訪問行為中，可能會導(dǎo)致信息安全問題的用戶行為進行分析研究，尋求一種安全、文明的訪問行為。

1 計算機網(wǎng)絡(luò)的信息安全隱患

計算機網(wǎng)絡(luò)信息安全主要面臨兩類威脅，一類是計算機信息泄漏，另一類是數(shù)據(jù)破壞。由于計算機系統(tǒng)脆弱的安全性，只要用計算機來處理、存儲和傳輸數(shù)據(jù)就會存在安全隱患。近年來，隨著計算機網(wǎng)絡(luò)信息泄漏和信息破壞事件不斷上長的趨勢，計算機信息安全問題已經(jīng)從單一的技術(shù)問題，演變成為突出的社會問題，因此，計算機網(wǎng)絡(luò)信息系統(tǒng)的安全與防范顯得越發(fā)重要。

計算機網(wǎng)絡(luò)的三個最重要功能是數(shù)據(jù)通信、資源共享和分布處理，在這些環(huán)節(jié)當(dāng)中，都存在信息安全問題。信息安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，防止網(wǎng)絡(luò)本身及網(wǎng)上傳輸?shù)男畔?shù)據(jù)被故意地或偶然地非授權(quán)泄漏、更改、破壞，或使網(wǎng)上傳輸?shù)男畔⒈环欠ㄏ到y(tǒng)辨認(rèn)、控制，即確保網(wǎng)上傳輸?shù)男畔?shù)據(jù)的完整性、保密性、可用性受到保護[1]。目前，在網(wǎng)絡(luò)信息安全方面，主要存在以下的安全隱患：

1.1 網(wǎng)絡(luò)中存在的不安全因素

用戶可以通過網(wǎng)絡(luò)自由發(fā)布和獲取各類信息，因此，網(wǎng)絡(luò)的威脅也來自方方面面。在這些威脅中最主要的是在計算機協(xié)議或證書中存在的不安全性因素[3]，如計算機協(xié)議主要包括： FTP、IP/TCP協(xié)議、SSL、NFS、SET等協(xié)議，這些協(xié)議中如果存在漏洞網(wǎng)絡(luò)入侵者就能夠根據(jù)這些漏洞搜索用戶名，可以猜測到機器密碼口令，攻擊計算機防火墻。

數(shù)字證書則是通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。當(dāng)一些惡意、非法的偽造數(shù)字安全證書被安裝后，網(wǎng)絡(luò)信息就被完全暴露。而且，網(wǎng)絡(luò)用戶對計算機及網(wǎng)絡(luò)知識了解并不多，一旦頁面上出現(xiàn)的諸多提示，往往是一路“確定”下去。

1.2 數(shù)據(jù)庫管理系統(tǒng)的不安全

數(shù)據(jù)庫管理系統(tǒng)是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數(shù)據(jù)庫的不安全因素的存在就會將用戶上網(wǎng)瀏覽的痕跡泄漏，用戶在網(wǎng)上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財產(chǎn)隱私安全。

1.3 計算機操作系統(tǒng)存在的不安全因素

計算機的整個支撐軟件是它的操作系統(tǒng)，電腦中的所有程序運行都靠支撐軟件為其提供環(huán)境。一旦網(wǎng)絡(luò)入侵者控制了操作系統(tǒng)，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。

2 獲取網(wǎng)絡(luò)用戶信息的方式分析

智慧城市概念的提出，伴隨著網(wǎng)絡(luò)帝國的崛起、移動技術(shù)的融合發(fā)展，知識社會環(huán)境下的智慧城市是繼數(shù)字城市之后信息化城市發(fā)展的高級形態(tài)。從內(nèi)容上看，信息化過程可分為信息的生產(chǎn)、應(yīng)用和保障三大方面。信息的獲取方式多種多樣，涉及到網(wǎng)絡(luò)用戶信息的方式有如下幾種類型：

（1）網(wǎng)絡(luò)及系統(tǒng)漏洞：在傳統(tǒng)安全防御技術(shù)中，系統(tǒng)的后門因其隱蔽性而被人們所忽視，作為網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)實現(xiàn)的載體，網(wǎng)絡(luò)操作系統(tǒng)本身負(fù)有不可推卸的責(zé)任，在程序運行過程中存在的缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足，導(dǎo)致這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。

Cookie這種網(wǎng)絡(luò)小甜餅是一些會自動運行的小程序。網(wǎng)站設(shè)計師使用它們來為你提供方便而高效的服務(wù)[2]。但同時通過使用這些小程序，商業(yè)公司和網(wǎng)絡(luò)入侵者能夠輕易獲得你機器上的信息。JavaJava作為一種技術(shù)，一直備受爭議，現(xiàn)實中有無數(shù)利用Java的漏洞成功入侵案例。

（2）網(wǎng)絡(luò)惡意攻擊：通俗來說就是網(wǎng)絡(luò)黑客攻擊和網(wǎng)絡(luò)病毒，這兩類問題是目前公認(rèn)的網(wǎng)絡(luò)安全公敵。隨著計算機文化在社會各個階層的滲透，使得這類攻擊變得越來越容易，一旦發(fā)現(xiàn)有關(guān)目標(biāo)機器的詳細(xì)資料，利用程序工具，對目標(biāo)機器的文件資料、配置進行閱讀、拷貝、修改等等[4]。網(wǎng)絡(luò)病毒傳播利用用戶訪問自己的網(wǎng)站或下載文件資料的同時傳播病毒，以達到竊取信息的目的。

（3）社交軟件：有超過95%的網(wǎng)民正在使用的各類工具軟件，它的及時、便捷給大家?guī)矸奖愕耐瑫r，也給信息的泄漏帶來可乘之機。如“微信三點定位” 引發(fā)的熱議，折射出了公眾對隱私暴露的不安。個人信息與隱私界定標(biāo)準(zhǔn)的模糊讓人頭疼，用戶亦因此不自覺地泄露個人信息。

（4）用戶習(xí)慣：當(dāng)使用者在使用某網(wǎng)站的某些認(rèn)證時，每當(dāng)有窗口彈出顯示認(rèn)證和授權(quán)時，絕大多數(shù)人會毫不猶豫地按下“Yes”。這就好比你購買商品時，售貨員問：“把你錢包給我，請相信我會取出合適數(shù)量的錢替您付款，您說好嗎？”你一定會斬釘截鐵地回答：“No”這兩種情況本質(zhì)上完全一樣。

3 網(wǎng)絡(luò)訪問行為調(diào)查分析

那些非法竊取在線信息和通訊的黑客入侵者以及試圖保護信息安全的人們已經(jīng)陷入一場軍備競賽。每年都會發(fā)生各種入侵攻擊，日益進化的網(wǎng)絡(luò)技術(shù)導(dǎo)致安全行業(yè)努力利用現(xiàn)有工具抵抗攻擊，同時收集有關(guān)新威脅的情報[3]。用戶也是這一問題的一部分，他們粗心或者惡意的網(wǎng)絡(luò)行為讓入侵者有機可乘，或者直接導(dǎo)致網(wǎng)絡(luò)泄密。

通過對不同年齡段人群進行網(wǎng)絡(luò)訪問的行為調(diào)查，共發(fā)放500份調(diào)查問卷，內(nèi)容涉及網(wǎng)絡(luò)訪問需求、訪問類型、訪問行為方式、具體問題的處理方式和一些網(wǎng)絡(luò)安全基本知識，回收到有效的問卷486份，對問卷進行統(tǒng)計分析后，得到了以下的網(wǎng)絡(luò)訪問行為的分析結(jié)果：

從不同群體對網(wǎng)絡(luò)的需要比例來看（見圖1），網(wǎng)絡(luò)速度是第一位的需求，安全性要求擺在末位，顯示受訪者的網(wǎng)絡(luò)安全意識淡薄，甚至把網(wǎng)絡(luò)速度作為衡量網(wǎng)絡(luò)使用效果、計算機質(zhì)量好壞的判斷依據(jù)。

針對不同受訪群體的網(wǎng)絡(luò)訪問類型（見圖2），從統(tǒng)計結(jié)果來看，社交軟件是普遍使用較多的應(yīng)用。據(jù)DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合360手機安全中心發(fā)布的《2015年Android手機隱私安全報告》顯示，要求讀取設(shè)備信息以91%的比例高居首位，占比76.8%的讀取位置信息位居第二。無論是PC端還是手機移動終端，使用相關(guān)軟件時，都應(yīng)該進行相應(yīng)的安全設(shè)置，以保護個人信息與隱私的安全。

電子郵件在中青年人群應(yīng)用較多，需要注意的是當(dāng)電子郵件中有附件時，應(yīng)使用下載附件的郵件閱讀方式，而非直接打開進行在線閱讀的方式，這樣可以有效杜絕惡意軟件的傳播與在線運行行為。

根據(jù)不同人群對計算機及網(wǎng)絡(luò)安全的關(guān)注情況來看（見圖3），老年群體的計算機及網(wǎng)絡(luò)安全狀態(tài)令人擔(dān)心，在這些措施當(dāng)中，依賴第三方安全管理軟件進行計算機與網(wǎng)絡(luò)的安全管理比重較大，顯示了網(wǎng)民對計算機與網(wǎng)絡(luò)知識薄弱，這樣就存在著如何選擇合適的第三方安全管理軟件的問題。

更令人擔(dān)憂的是，網(wǎng)民普遍存在對計算機及網(wǎng)絡(luò)相應(yīng)的安全設(shè)置不明白、不清楚的現(xiàn)象，沒有設(shè)置好的計算機與網(wǎng)絡(luò)軟硬件環(huán)境，這就意味著信息安全的第一道防線不攻自破，此時更談不上網(wǎng)絡(luò)訪問行為中的信息安全了。

從不同群體網(wǎng)絡(luò)訪問時遇到的問題比例來看（見圖4），網(wǎng)絡(luò)騷擾信息、虛假信息較多，而且成為普遍的現(xiàn)象。這些問卷顯示，在網(wǎng)絡(luò)上下載一些軟件后，經(jīng)常會自動彈出一些頁面，當(dāng)用戶不經(jīng)意點擊鏈接后，可能跳轉(zhuǎn)到欺騙網(wǎng)站、虛假頁面等網(wǎng)絡(luò)陷阱中去，進而導(dǎo)致信息安全得不到有效保護，甚至產(chǎn)生人生安全、財產(chǎn)損失等嚴(yán)重后果。

圖4 不同群體網(wǎng)絡(luò)訪問時遇到的問題比例

4 結(jié)論

計算機網(wǎng)絡(luò)信息安全面臨的威脅中，除了管理層面的數(shù)據(jù)破壞所帶來的問題外，另一類是用戶層面的計算機信息泄漏[4]。導(dǎo)致計算機信息泄漏的途徑有很多。首先，必須有一個安全可靠的計算機及網(wǎng)絡(luò)環(huán)境，在人們?nèi)粘５木W(wǎng)絡(luò)訪問行為中，要學(xué)會進行必要的計算機及網(wǎng)絡(luò)的相關(guān)安全設(shè)置，及時下載系統(tǒng)及軟件補丁，安裝殺毒軟件和防火墻等安全管理軟件，營造良好網(wǎng)絡(luò)訪問環(huán)境；其次，是在進行網(wǎng)絡(luò)訪問時，要有真假信息的甄別能力，網(wǎng)絡(luò)信息量龐大，學(xué)會辨別是非是信息安全、文明上網(wǎng)的有效舉措；最后，對于用戶而言，更為重要的是良好網(wǎng)絡(luò)訪問習(xí)慣的養(yǎng)成，在正規(guī)網(wǎng)站下載軟件，遇到網(wǎng)頁提示要認(rèn)真看清讀懂，不隨便在論壇及社交網(wǎng)站發(fā)布個人敏感信息，樹立牢固的信息安全防范意識，保護好個人隱私。

【參考文獻】

[1]蔣蔚.網(wǎng)絡(luò)行為管理系統(tǒng)研宄及設(shè)計[D].浙江工業(yè)大學(xué)，2012.

[2]楊宗長，徐繼生，孫洪.Web 訪問者網(wǎng)絡(luò)行為跟蹤[J].計算機安全，2004（8）.

[3]Ross Anderson.齊寧（譯）.信息安全工程[M].北京：清華大學(xué)出版社，2012.

[4]王宇，閻慧.信息安全保密技術(shù)[M].北京：國防工業(yè)出版社，2010.

[責(zé)任編輯：湯靜]