信息安全隐患有哪些

信息安全四大隐患是什么？~

随着网络经济和网络社会时代的到来，网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络，作为国家重要基础设施的网络的安全和可靠将成为世界各国共同关注的焦点。而Internet原有的跨国界性、无主管性，不设防性、缺少法律约束性，为各国带来机遇的同时也带来了巨大的风险。为了使Internet/Intranet在我国能健康地发展必须要重视这些风险和冲突。

关健词：网络网络安全信息安全措施

信息既是一种资源，也是一种财富。随着知识经济时代的到来，保护重要信息的安全，已经成为全社会普遍关注的问题。有资料表明，目前在互联网上大约有将近20％以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40％以上的用户特别是局域网用户没有安装防火墙(Firewall)便可以窥见一斑。特别从最近发作的几起网络病毒对网络系统及网络安全所造成的危害来看，网络的安全隐患十分严重，不得不引起大家的足够重视，本文就网络安全与防范措施谈点看法。

网络既是信息共享的场所，同时也是信息安全隐患最突出的场所

随着国民经济信息化的迅速发展，人们对网络信息安全的要求越来越迫切，尤其自Internet得到普遍应用以来，信息系统的安全已涉及到国家主权等许多重大问题。据统计，在所发生的事件中，有32％的事件系内部黑客所为。另外，据美国国家电脑安全协会（NCSA）的调查表明，近期在各企业的病毒感染案例中，有近一半来自网络中的电子邮件。

目前，我国大多数机关、院校都在其内部建立了Intranet，并通过电子邮件、网关和防火墙与全世界的Internet相联。入网内部的文件很容易受到病毒的感染，这些带毒的文件被执行后，整个的网络很快也会受到株连，从而导致数据丢失，甚至造成网络瘫痪。最近出现的Redcode和nimda两种病毒其传播速度之快和传播范围之广，出乎网络界从业人员的意料，所造成的危害令人十分震惊，大部分系统受到及其严重的干扰，影响到教学和训练的正常进行。

在因特网上，电脑黑客的破坏力非常大：轻则窜入内部网内非法浏览资料；重则破坏、篡改在因特网上存放的软件与机密文件。他们刺探商业情报，盗取巨额资金，破坏通信指挥，盗窃军事机密。因此，你在因特网上收发电子邮件或传送文件时，应特别注意是否有电脑黑客正躲在暗处悄悄作策。

黑客技能主要有：破解密码和口令字，制造并传播计算机病毒，制造逻辑炸弹，突破网络防火墙，使用记录设施窃取显示器向外辐射的无线电波信息，等等。在Internet上黑客使用的工具很多，目前已发现BO（BACKORIFICE）、NETBUS、NETSPY、BACKDOOR等十几种黑客程序。如Rootkin软件就具有特洛伊木马、网络敏感、轨迹跟踪的功能。

黑客的攻击手法主要包括：猎取访问线路，猎取口令，强行闯入，清理磁盘，改变与建立UAF（用户授权文件）记录，窃取额外特权，引入"特洛伊木马"软件来掩盖其真实企图，引入命令过程或"蠕虫"程序把自己寄生在特权用户上，使用一个接点作为网关（代理）连到其他节点上，通过隐蔽信道突破网络防火墙进行非法活动等。

黑客在网络上经常采用的攻击手法是：利用UNIX操作系统提供的Telnetdaemon、FTPdaemon、Remoteexecdaemon等缺省帐户进行攻击；用命令Finger与Rusers收集的信息不断提高自己的攻击能力；利用Sendmail；采用Debug、Wizard、Pipe、假名进行攻击；利用FTP采用无口令访问进行攻击；利用NFS进行攻击；通过WindowsNT的135端口进行攻击；及利用XWindows进行攻击等。

“拒绝服务”是一种破坏性的攻击。这种攻击最早由"电子邮件炸弹"引发，当用户受到它的攻击后，就会在很短的时间内收到大量的电子邮件，使网络系统不能正常工作，严重时会使系统死机、网络瘫痪。后来制造的"信息炸弹"更具破坏威力，信息炸弹一旦爆炸，就会引起网络系统死机。
随着工具软件的丰富与完善，黑客的攻击手段还在不断翻新。由于黑客程序可被植入计算机系统，而不被人察觉，一旦计算机被黑客程序潜入，黑客就可与它里应外合，使其攻击变得十分容易。根据一个专门从事Internet安全监测的机构的统计，对网络攻击法80％是网络管理员未能察觉的。虽然你制止不了黑客的攻击，但你可以使用各种有效的方法追踪这个破坏者。因此，尽快防范黑客入侵已成为计算机领域的当务之急


1、BIND漏洞

位于十大之首的是BIND漏洞，有些系统默认安装运行了BIND，这种系统即使不提供DNS服务，也很容易受到攻击。

防范措施

建议执行一个数据包过滤器和防火墙，仔细检查BIND软件;确保非特权用户在chroot()环境下运行;禁止对外的分区传送;查看分区映射情况，确认对此做了补丁，建立了日志;对BIND进行修改，使得它不会对不可信任主机提供分区传送。

2、有漏洞的通用网关接口程序

位于十大脆弱性中第二位的是有漏洞的CGI程序和Web服务器上的扩展程序。入侵者很容易利用CGI程序中的漏洞来修改网页，窃取信用卡信息，甚至为下一次入侵建立后门。

希望我的回答能帮助你

从大的方面讲，信息安全主要包括：运行安全（主要是由网络和计算机构成的平台）、交易安全（传输过程中的数据安全）、内容安全、个人或单位隐私保护。几年前，谈论信息安全还仅限于政府部门内部，而且所涉及的也大多是内容安全、防止泄密等。但近几年，在新经济的环境下，所有人的生活已与网络形成了非常紧密的联系，随着安全问题越来越引起政府和企业的关注，各种安全技术和产品也不断涌现出来。但值得思考的是，为什么在强大的防御技术的保护下，信息的安全问题反而越来越多，入侵与反入侵技术总是在上演“道高一尺，魔高一丈”的活剧？在中国，信息安全应用的最大隐患到底在哪里？其症结究竟是什么？
管理：信息安全应用的最大漏洞
据统计，在美国被中国黑客攻击的网站中，政府网站占3％，而在中国遭到美国黑客攻击的网站中，政府网站竟占37％还多。这个数字充分说明，中国的政府网站应该进行的管理没有到位。其实，美国人所采用的攻击手段并不高明，其中许多技术漏洞都是被中国人最早发现并公布的，但正是由于在管理上没有得到足够的重视，才让别人利用简单的技术钻了空子。
提高安全管理意识已刻不容缓。中国国家计算机网络与信息安全实验室主任白硕先生在接受记者采访时说：“目前，中国的信息安全在技术上的最大隐患是，操作系统、微电子芯片、路由器等核心技术都掌握在别人手里，这是一个极为严重的问题。像中国这样一个大国，没有自己的核心技术，就好像所有的信息系统都建筑在沙滩上一样，稍有风吹草动，我们就会失去平衡。尽管不久前中国国防科技大学推出了自主研制的核心路由器，中科院软件所也有了相应的安全操作系统软件推出，但这些刚刚起步的技术离可用还有一段距离，况且面对着如此具大的应用市场，这一点突破仍然是杯水车薪。”
那么，如何解决当前的问题?在只能采用国外产品的情况下如何保证信息的安全？怎样在现有条件下，对一些疑点进行修补呢？白硕先生认为，一个最直接、最有效的方法就是拉紧管理这根线，用严密的制度弥补技术上的不足。近几年，我国的政府机构为了加强对信息安全的保障，实行了内网与外网分离的策略，但这种隔离从严格意义上讲只能防外而不能防内。事实上，不管多么先进的安全技术，都抵挡不住从内部攻破，先进技术解决不了人的问题，“家贼难防”是尽人皆懂的道理。北京邮电大学信息安全中心杨义先生曾说过，信息安全在管理方面还存在几个问题：一是CA(数字证书认证中心)的建设，目前全国共建立了不下20个CA认证机构，其实有一个就足够了；二是目前的安全问题，包括病毒、网络安全、加密等，也分属很多部门管理，各有各的标准。建议设立一个统一的部门，把认证及所有安全问题统一管起来，以保证拥有一个标准的控制手段。
投资失衡：信息安全应用的隐患之一
信息安全在技术与管理上的比重失调还明显地体现在投入上。目前在中国，大多数企、事业单位在建立信息系统时，安全建设方面的投入均不足整个系统的5％，而国外在这方面的投入一般都在10％～15％。如果对这5％的投入进行具体分析，其中用于购买硬件设备的投资已基本接近发达国家的水平，而购买服务和管理的投资几乎为零，因而从信息系统建设一开始就已经给安全带来了极大的隐患。
那么，企、事业单位在IT投资时，安全管理方面的资金应该投到哪些方面呢？在一个信息化系统中，属于管理的问题有很多，在某些情况下，与信息化配套的管理机制不可能自发地产生，这时安全管理就必须进行购买，也就是花钱买管理。企业或事业单位应该与一些专业从事安全管理的公司进行合作，共同建立起一套管理体系，包括质量管理体系、文档管理体系、组织体系、监督检查机制等，要根据各单位具体的安全需求配置安全级别。单位中需要管理的事务很多，如果管理机制得不到很好的惯彻，安全是无从谈起的。
另一个资金投向应该是安全服务。信息技术在不断地发展，安全问题也将随着网络应用的不断深化而变化出更多的新内容，安全漏洞防不胜防。然而，目前对于中国的许多企、事业单位来说，最为困难的还是缺少能够全面承担起各种安全系统管理重任的人才，在这种情况下，唯一的变通方法就是花钱买服务。但是，目前在中国，各单位在安全服务方面的投入也基本为零。
技术分布失衡：信息安全应用的隐患之二
白硕先生认为，目前在国内市场上，保障网络安全的产品不是太少，而是太多了。但从分布上看，少数类型的产品又过于集中。例如防火墙，现在许多厂商都在做防火墙，已经造成一种水平不高的重复，从宏观上看这并不是一种理想的技术格局。网络安全保障具有非常多的环节，包括预防（漏洞扫描、风险评估等）、实时检测、审计、记录取证、灾难恢复以及对于攻击的响应手段等，但目前这些安全环节在产品开发上并没有得到合理的分布，如安全中的必要环节审计、取证、备份和灾难恢复等产品数量偏少，而且没有过硬的技术。
作为政府的信息安全管理部门，信息产业部计算机网络与信息安全中心目前非常关注安全产品和服务的标准及立法等问题(即对于安全产品及服务的合格认证)。不久他们将召开一次关于网络安全服务试点选择的会议，并将出台一系列具有长远规划的安全法规和政策，力图让人们看到国家信息安全发展的脉络。而对于标准，他们希望改变现有的工作模式。过去的方法是，由国家下达一个标准化研究任务，一些专门从事标准研究的机构就开始制定工作，现在看来这种方式已经不适应时代的发展，因为专职研究机构距离研制安全产品的第一线还有相当大的距离，因此对于一些策略的理解还存在很大差距。信息产业部希望，将这种研究方式转化成以企业为主的标准研究方式，把一些真正有实力的大型企业联合起来，共同承担标准的制定工作。
追求安全不应该制约发展
安全问题是现代经济发展的最大障碍，但是不是因为安全问题得不到很好的解决，国家和企业就必须放慢发展的步伐呢？在讨论安全与发展的关系之前，我们需要搞清楚的是，什么样的系统是安全的系统。一个商业系统，永远也做不到政府和军方那样的安全程度。招商银行总行电脑部周天虹说：“在商业系统内部，安全是一个相对的概念，因为我们无法追求绝对安全。什么叫相对安全？首先，安全问题所带来的损失是商业企业能够承受的。例如信用卡业务，它的风险很大，但是银行仍然在大规模地开展这项业务，这是由于信用卡风险大同时利润也很大，招商银行大约30％的利润都来自信用卡；第二，一定要确保不给客户造成损失，这是在任何银行系统中都必须遵循的一个硬指标。一旦出现问题，只要有证据显示责任不在客户，银行必须承担损失。有了这两条原则，银行就可以求发展。”
信息安全是一个综合性的问题，从政府部门的角度看，安全与发展也是一个辩证的关系。政府机构对于安全的需求也是分等级、分层次的，只要不突破安全底线，还是要边发展边完善。目前保障安全的技术已经很多了，其中用户的身份识别就是一个极为重要的方面，此外还有服务器端的管理，如安装监测软件、防火墙等等。但最关键的一点还是如何使用这些技术，使系统既安全又好用。总的来说，一个系统是不是安全，绝不是单纯的技术问题，对于业务的管理已影响到了信息安全应用的方方面面，如事后监督、实时监控等。如果从管理和技术两方面都能够做到万无一失，我们就可以得到一个相对安全的环境。

从大的方面讲，信息安全主要包括：运行安全（主要是由网络和计算机构成的平台）、交易安全（传输过程中的数据安全）、内容安全、个人或单位隐私保护。几年前，谈论信息安全还仅限于政府部门内部，而且所涉及的也大多是内容安全、防止泄密等。但近几年，在新经济的环境下，所有人的生活已与网络形成了非常紧密的联系，随着安全问题越来越引起政府和企业的关注，各种安全技术和产品也不断涌现出来。但值得思考的是，为什么在强大的防御技术的保护下，信息的安全问题反而越来越多，入侵与反入侵技术总是在上演“道高一尺，魔高一丈”的活剧？在中国，信息安全应用的最大隐患到底在哪里？其症结究竟是什么？
管理：信息安全应用的最大漏洞
据统计，在美国被中国黑客攻击的网站中，政府网站占3％，而在中国遭到美国黑客攻击的网站中，政府网站竟占37％还多。这个数字充分说明，中国的政府网站应该进行的管理没有到位。其实，美国人所采用的攻击手段并不高明，其中许多技术漏洞都是被中国人最早发现并公布的，但正是由于在管理上没有得到足够的重视，才让别人利用简单的技术钻了空子。
提高安全管理意识已刻不容缓。中国国家计算机网络与信息安全实验室主任白硕先生在接受记者采访时说：“目前，中国的信息安全在技术上的最大隐患是，操作系统、微电子芯片、路由器等核心技术都掌握在别人手里，这是一个极为严重的问题。像中国这样一个大国，没有自己的核心技术，就好像所有的信息系统都建筑在沙滩上一样，稍有风吹草动，我们就会失去平衡。尽管不久前中国国防科技大学推出了自主研制的核心路由器，中科院软件所也有了相应的安全操作系统软件推出，但这些刚刚起步的技术离可用还有一段距离，况且面对着如此具大的应用市场，这一点突破仍然是杯水车薪。”
那么，如何解决当前的问题?在只能采用国外产品的情况下如何保证信息的安全？怎样在现有条件下，对一些疑点进行修补呢？白硕先生认为，一个最直接、最有效的方法就是拉紧管理这根线，用严密的制度弥补技术上的不足。近几年，我国的政府机构为了加强对信息安全的保障，实行了内网与外网分离的策略，但这种隔离从严格意义上讲只能防外而不能防内。事实上，不管多么先进的安全技术，都抵挡不住从内部攻破，先进技术解决不了人的问题，“家贼难防”是尽人皆懂的道理。北京邮电大学信息安全中心杨义先生曾说过，信息安全在管理方面还存在几个问题：一是CA(数字证书认证中心)的建设，目前全国共建立了不下20个CA认证机构，其实有一个就足够了；二是目前的安全问题，包括病毒、网络安全、加密等，也分属很多部门管理，各有各的标准。建议设立一个统一的部门，把认证及所有安全问题统一管起来，以保证拥有一个标准的控制手段。
投资失衡：信息安全应用的隐患之一
信息安全在技术与管理上的比重失调还明显地体现在投入上。目前在中国，大多数企、事业单位在建立信息系统时，安全建设方面的投入均不足整个系统的5％，而国外在这方面的投入一般都在10％～15％。如果对这5％的投入进行具体分析，其中用于购买硬件设备的投资已基本接近发达国家的水平，而购买服务和管理的投资几乎为零，因而从信息系统建设一开始就已经给安全带来了极大的隐患。
那么，企、事业单位在IT投资时，安全管理方面的资金应该投到哪些方面呢？在一个信息化系统中，属于管理的问题有很多，在某些情况下，与信息化配套的管理机制不可能自发地产生，这时安全管理就必须进行购买，也就是花钱买管理。企业或事业单位应该与一些专业从事安全管理的公司进行合作，共同建立起一套管理体系，包括质量管理体系、文档管理体系、组织体系、监督检查机制等，要根据各单位具体的安全需求配置安全级别。单位中需要管理的事务很多，如果管理机制得不到很好的惯彻，安全是无从谈起的。
另一个资金投向应该是安全服务。信息技术在不断地发展，安全问题也将随着网络应用的不断深化而变化出更多的新内容，安全漏洞防不胜防。然而，目前对于中国的许多企、事业单位来说，最为困难的还是缺少能够全面承担起各种安全系统管理重任的人才，在这种情况下，唯一的变通方法就是花钱买服务。但是，目前在中国，各单位在安全服务方面的投入也基本为零。
技术分布失衡：信息安全应用的隐患之二
白硕先生认为，目前在国内市场上，保障网络安全的产品不是太少，而是太多了。但从分布上看，少数类型的产品又过于集中。例如防火墙，现在许多厂商都在做防火墙，已经造成一种水平不高的重复，从宏观上看这并不是一种理想的技术格局。网络安全保障具有非常多的环节，包括预防（漏洞扫描、风险评估等）、实时检测、审计、记录取证、灾难恢复以及对于攻击的响应手段等，但目前这些安全环节在产品开发上并没有得到合理的分布，如安全中的必要环节审计、取证、备份和灾难恢复等产品数量偏少，而且没有过硬的技术。
作为政府的信息安全管理部门，信息产业部计算机网络与信息安全中心目前非常关注安全产品和服务的标准及立法等问题(即对于安全产品及服务的合格认证)。不久他们将召开一次关于网络安全服务试点选择的会议，并将出台一系列具有长远规划的安全法规和政策，力图让人们看到国家信息安全发展的脉络。而对于标准，他们希望改变现有的工作模式。过去的方法是，由国家下达一个标准化研究任务，一些专门从事标准研究的机构就开始制定工作，现在看来这种方式已经不适应时代的发展，因为专职研究机构距离研制安全产品的第一线还有相当大的距离，因此对于一些策略的理解还存在很大差距。信息产业部希望，将这种研究方式转化成以企业为主的标准研究方式，把一些真正有实力的大型企业联合起来，共同承担标准的制定工作。
追求安全不应该制约发展
安全问题是现代经济发展的最大障碍，但是不是因为安全问题得不到很好的解决，国家和企业就必须放慢发展的步伐呢？在讨论安全与发展的关系之前，我们需要搞清楚的是，什么样的系统是安全的系统。一个商业系统，永远也做不到政府和军方那样的安全程度。招商银行总行电脑部周天虹说：“在商业系统内部，安全是一个相对的概念，因为我们无法追求绝对安全。什么叫相对安全？首先，安全问题所带来的损失是商业企业能够承受的。例如信用卡业务，它的风险很大，但是银行仍然在大规模地开展这项业务，这是由于信用卡风险大同时利润也很大，招商银行大约30％的利润都来自信用卡；第二，一定要确保不给客户造成损失，这是在任何银行系统中都必须遵循的一个硬指标。一旦出现问题，只要有证据显示责任不在客户，银行必须承担损失。有了这两条原则，银行就可以求发展。”
信息安全是一个综合性的问题，从政府部门的角度看，安全与发展也是一个辩证的关系。政府机构对于安全的需求也是分等级、分层次的，只要不突破安全底线，还是要边发展边完善。目前保障安全的技术已经很多了，其中用户的身份识别就是一个极为重要的方面，此外还有服务器端的管理，如安装监测软件、防火墙等等。但最关键的一点还是如何使用这些技术，使系统既安全又好用。总的来说，一个系统是不是安全，绝不是单纯的技术问题，对于业务的管理已影响到了信息安全应用的方方面面，如事后监督、实时监控等。如果从管理和技术两方面都能够做到万无一失，我们就可以得到一个相对安全的环境。

---

白碱滩区19528781751： 信息安全四大隐患是什么?？
绪刘欣普： 计算机犯罪 计算机病毒 误操作 计算机设备的物理性破坏

白碱滩区19528781751： 当前我国信息安全存在的主要威胁因素有哪些? - ？
绪刘欣普： 信息安全面临的威胁主要来自以下三个方面: 一、技术安全风险因素 1)基础信息网络和重要信息系统安全防护能力不强. 国家重要的信息系统和信息基础网络是我们信息安全防护的重点,是社会发展的基础.我国的基础网络主要包括互联网...

白碱滩区19528781751： 信息系统安全管理主要风险有哪些? ？
绪刘欣普： 信息系统安全管理主要风险如下:(1) 硬件设备分布物理范围广,设备种类繁多,安全管理难度大,可能导 致设备生命周期短.(2) 业务部门信息安全意识薄弱,对系统和信息安全缺乏有效的监管手段. 少数员工可能恶意或非恶意滥用系统资源,造成系统运行效率降低.(3) 对系统程序的缺陷或漏洞安全防护不够,导致遭受黑客攻击,造成信 息泄露.(4) 对各种计算机病毒防范清理不力,导致系统运行不稳定甚至瘫痪.(5) 缺乏对信息系统操作人员的严密监控,可能导致舞弊和利用计算机犯罪.

白碱滩区19528781751： 企业信息安全面临哪些问题已题 - ？
绪刘欣普： 此问题可分为两方面来看,一是来自外部的木马病毒攻击,勒索软件,同行的资料窃取,再者是内部员工的日常工作行为规范,泄露企业重要文件.总的来说,百分之八十以上的泄密来自于企业内部,百分之九十以上的泄密出于利益的诱惑.

白碱滩区19528781751： 电脑信息安全有哪些隐患 - ？
绪刘欣普： 1.信息被窃取 2.信息倍拦截 3.信息被篡改

白碱滩区19528781751： 对于信息安全知识的缺乏是什么的风险 - ？
绪刘欣普： 对于信息安全知识的缺乏,可能带来以下几种风险:1. 技术安全风险因素:基础信息网络和重要信息系统安全防护能力不强.失泄密隐患严重.2. 人为恶意攻击:相对物理实体和硬件系统及自然灾害而言,精心设计的人为攻击威胁最大.人的因...

白碱滩区19528781751： 请说明威胁网络安全的因素有哪些 - ？
绪刘欣普： 影响计算机网络安全的因素有很多,威胁网络安全则主要来自人为的无意失误、人为的恶意功击和网络软件系统的漏洞以及“后门”三个方面的因素,归纳起来如下: (一)网络自身的威胁 1.应用系统和软件安全漏洞.web服务器和浏览器难以...

白碱滩区19528781751： 当前计算机安全和网络安全存在哪些安全问题 - ？
绪刘欣普： 这个问题问的比较大了,严格意义上讲,能列出的安全隐患的例子太多了. 对于计算机网络的安全隐患,主要的还是信息安全.信息安全是一个非常关键而又复杂的问题.计算机信息系统安全指计算机信息系统资产(包括网络)的安全,即计算...

白碱滩区19528781751： 电子商务信息安全存在的问题 - ？
绪刘欣普： 一、电子商务信息安全问题由于Inter本身的开放性,使电子商务系统面临着各种各样的安全威胁.目前,电子商务主要存在的安全隐患有以下几个方面. 1.身份冒充问题 攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份...

白碱滩区19528781751： 公司信息泄漏的隐患有哪些? ？
绪刘欣普： 由于个人电脑的安全级别很低,员工的安全意识参差不齐,重要资料很容易被窃取、恶意破坏或者由于硬盘故障而丢失 希望我的回答对你有用.