1、网络信息系统常见的安全隐患

    信息网络环境中的信息安全威胁有：

    (1)假冒：是指不合法的用户侵入到系统，通过输入账号等信息冒充合法用户从而窃取信息的行为。

    (2)身份窃取：是指合法用户在正常通信过程中被其他非法用户拦截。

    (3)数据窃取：指非法用户截获通信网络的数据。

    (4)否认：指通信方在参加某次活动后却不承认自己参与了。

    (5)拒绝服务：指合法用户在提出正当的申请时，遭到了拒绝或者延迟服务。

    (6)错误路由。

    (7)非授权访问。

2、网络信息安全系统的的安全指标

    (1)保密性：在加密技术的应用下，网络信息系统能够对申请访问的用户展开删选，允许有权限的用户访问网络信息，而拒绝无权限用户的访问申请。

    (2)完整性：在加密、散列函数等多种信息技术的作用下，网络信息系统能够有效阻挡非法与垃圾信息，提升整个系统的安全性。

    (3)可用性：网络信息资源的可用性不仅仅是向终端用户提供有价值的信息资源，还能够在系统遭受破坏时快速恢复信息资源，满足用户的使用需求。

    (4)授权性：在对网络信息资源进行访问之前，终端用户需要先获取系统的授权。授权能够明确用户的权限，这决定了用户能否对网络信息系统进行访问，是用户进一步操作各项信息数据的前提。

    (5)认证性：在当前技术条件下，人们能够接受的认证方式主要有：一种是实体性的认证，一种是数据源认证。之所以要在用户访问网络信息系统前展开认证，是为了令提供权限用户和拥有权限的用户为同一对象。

    (6)不可抵赖性：网络信息系统领域的抗抵赖性，简单来说，任何用户在使用网络信息资源的时候都会在系统中留下一定痕迹，操作用户无法否认自身在网络上的各项操作，整个操作过程均能够被有效记录。这样做能够应对不法分子否认自身违法行为的情况，提升整个网络信息系统的安全性，创造更好的网络环境。

3、网络信息系统安全策略

    网络信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险(安全威胁)进行有效地识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。

    安全策略的核心内容是“定方案、定岗、定位、定员、定目标、定机制、定工作流程”。

4、网络信息系统的安全层次

    网络信息系统安全的层次通常可划分为：

    (1)设备安全：包括设备的稳定性、可靠性、可用性等。

    (2)数据安全：包括数据的秘密性、完整性、可用性等。数据安全就是传统的“信息系统”

概念。

    (3)内容安全：包括政治上健康、符合国家法律法规、符合道德规范等；广义的内容安全还包括内容保密、知识产权保护、信息隐藏和保护隐私等。

    (4)行为安全：数据安全本质上是一种静态的安全，而行为安全则是指一种动态的安全，包括：行为的秘密性、行为的完整性、行为的可控性等。

5、网络信息安全系统的体系架构

    网络信息安全系统是一个多层面、多因素的、综合的、动态的过程，其体系架构如下图所示：

6、网络信息安全的木桶效应

    网络信息安全的“木桶原理”是指网络信息系统的整体安全水平由安全级别最低的那个部分所决定的。

    网络信息安全建设是一个系统工程，它需求对网络信息系统的各个环节进行统一的综合考虑、规划和构架，并且要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。

    构建网络信息安全系统要遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，在风险分析的基础上设计恰当安全策略机制，建立合理的信息安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性。

7、常用的网络信息安全防御技术

 (1)数据库管理安全防范：在具体的计算机网络数据库安全管理中经常出现各类由于人为因素造成的计算机网络数据库安全隐患，对数据库安全造成了较大的不利影响。例如，由于人为操作不当，可能会使计算机网络数据库中遗留有害程序，这些程序严重影响计算机系统的安全运行，甚至会给用户带来巨大的经济损失。基于此，现代计算机用户和管理者应能够依据不同风险因素采取有效控制防范措施，从意识上真正重视网络信息系统的安全管理与保护，加强计算机网络数据库的安全管理工作力度。

    (2)提高硬件质量：影响计算机网络信息安全的因素不仅有软件质量，还有硬件质量，并且两者之间存在一定区别，硬件系统在考虑安全性的基础上，还必须重视硬件的使用年限问题；硬件作为计算机的重要构成要件，其具有随着使用时间增加其性能会逐渐降低的特点；用户应注意这一点，在日常中加强维护与修理；例如，若某硬盘的最佳使用年限为2年，尽量不要使用其超过4年。

    (3)改善自然环境：改善自然环境是指改善计算机的灰尘、湿度及温度等使用环境。具体来说就是在计算机的日常使用中定期清理其表面灰尘，保证在其干净的环境下工作，有效地避免计算机硬件老化；最好不要在温度过高和潮湿的环境中使用计算机，注重计算机的外部环境维护。

    (4)结构安全与网段划分：网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；根据机构业务的特点，在满足业务高峰期需要的基础上，合理设计网络带宽和划分网段(VLAN)。

    (5)拨号访问控制：不开放远程拨号访问功能(如远程拨号用户或移动VPN用户)。

    (6)访问控制技术：是指通过用户自己对某些信息进行访问权限的设置，或者利用控制功能实现访问限制，来避免非法访问情况的发生，实现保护用户信息的目的。

    (7)边界完整性检查：能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

    (8)网络入侵防范与入侵检测技术：若用户的程序设计或者配置不当，黑客便会利用程序漏洞入侵他人的计算机，窃取或者损坏信息资源，对他人造成一定程度上的经济损失。因此，在出现程序漏洞时用户必须要及时处理，可以通过安装漏洞补丁来加以解决。专业的入侵检测技术是通信技术、密码技术等技术的综合体；它在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；当检测到入侵事件时，记录入侵源IP、攻击类型、攻击目的、攻击时间等，并在发生严重入侵事件时提供报警(如可采取屏幕实时提示、E-mail告警、声音告警等几种方式)及自动采取相应动作；使用户能够及时了解到计算机中存在的各种安全威胁，并采取一定的措施进行处理，有效地保障计算机网络信息系统的安全性。

    此外，用户还应当对计算机设备进行定期的检修、维护和加强网络安全保护，并对计算机系统进行实时的监测，防范网络入侵的风险，进而保证计算机网络信息系统的安全稳定运行。

    (9)防火墙：防火墙是一种能够有效保护计算机安全的重要技术，由软硬件设备组合而成，通过建立检测和监控系统来阻挡外部网络的入侵。用户可以使用防火墙有效地控制外界因素对计算机系统的访问，确保计算机网络信息系统的保密性、稳定性以及安全性。

    (10)病毒防护技术：病毒防护技术是指通过安装杀毒软件进行安全防御，并且及时地更新软件，如金山毒霸、360安全防护中心、电脑安全管家等；其主要的作用是对计算机系统进行实时监控，同时防止病毒入侵计算机系统对计算机网络信息系统造成危害，将病毒进行截杀与消灭，实现对计算机网络信息系统的安全防护。此外，用户还应当积极主动地学习计算机安全防护的知识，在网上下载资源时尽量不要选择不熟悉的网站，若是必须下载则还要对下载好的资源进行杀毒处理，保证该资源不会对计算机安全运行造成负面影响。

    (11)生物识别技术：生物识别技术是指通过对人体的特征(包括指纹、视网膜、声音等)识别来决定是否给予应用的权利；这种技术能够最大程度地保证计算机互联网信息的安全性。目前，应用最为广泛的就是指纹识别技术，该技术在安全保密的基础上也有着稳定简便的特点，为人们带来了极大的便利。

    (12)信息加密、解密处理/技术：信息加密技术是指用户可以对需要进行保护的文件进行加密处理，设置有一定难度的复杂密码，并牢记密码以保证其有效性，保证网络信息系统在传输过程或存储过程中的安全性。

    (13)数字签名：数字签名技术主要针对于电子商务，该技术能有效的保证信息在传播过程中的保密性以及安全性，同时也能够避免计算机受到恶意攻击或侵袭等问题发生。

    (14)安全防护技术：包含网络防护技术(防火墙、UTM、入侵检测防御等)、应用防护技术(如应用程序接口安全技术等)、系统防护技术(如防篡改、系统备份与恢复技术等)，防止外部网络用户以非法手段进入内部网络，访问内部资源，保护内部网络操作环境的相关技术。

    (15)安全审计技术：包含网络安全审计、日志审计和行为审计，记录网络设备的运行状况、网络流量、用户行为等事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；通过日志审计协助管理员在受到攻击后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击的轨迹，并能为实时防御提供手段；通过对员工或用户的网络行为审计，确认行为的合规性，可以确保信息及网络使用的合规性。

    (16)安全检测与监控技术：对信息系统中的流量以及应用内容进行二至七层的检测并进行适度监管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播。

    (17)身份认证技术：用来确定访问或介入信息系统用户或者设备身份的合法性的技术，典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。

    (18)恶意代码防范：在网络边界处对恶意代码进行检测和清除；维护恶意代码库的升级和检测系统的更新。

    (19)网络设备防护：对登录网络设备的用户进行身份鉴别；对网络设备的管理员登录地址进行限制；主要网络设备对同一用户选择两种或两种以上的组合鉴别技术来进行身份鉴别。