摘要：隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到國家的政府、軍事、文教等諸多領域，存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。文章發表在《制造業自動化》上，是電子工程師論文發表范文，供同行參考。

　　關鍵字：信息系統,信息安全,身份認證,安全檢測

　　網絡信息安全是一個關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。

　　一、目前信息系統技術安全的研究

　　1.信息安全現狀分析

　　隨著信息化進程的深入，信息安全己經引起人們的重視，但依然存在不少問題。一是安全技術保障體系尚不完善，許多企業、單位花了大量的金錢購買了信息安全設備，但是技術保障不成體系，達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業、單位信息安全的標準、制度建設滯后。

　　2003年5月至2004年5月，在7072家被調查單位中有4057家單位發生過信息網絡安全事件，占被調查總數的58%。其中，發生過1次的占總數的22%,2次的占13%,3次以上的占23%，此外，有7%的調查對象不清楚是否發生過網絡安全事件。從發生安全事件的類型分析，遭受計算機病毒、蠕蟲和木馬程序破壞的情況最為突出，占安全事件總數的79%，其次是垃圾郵件，占36%，拒絕服務、端口掃描和篡改網頁等網絡攻擊情況也比較突出，共占到總數的43%.

　　調查結果表明，造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%，登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.

　　對于網絡安全管理情況的調查:調查表明，近年來，使用單位對信息網絡安全管理工作的重視程度普遍提高，80%的被調查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務企業提供專業化的安全服務。

　　2.企業信息安全防范的任務

　　信息安全的任務是多方面的，根據當前信息安全的現狀，制定信息安全防范的任務主要是:

　　從安全技術上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。

　　從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，增強安全防范意識。

　　息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。

　　二、信息系統常見技術安全漏洞與技術安全隱患

　　每個系統都有漏洞，不論你在系統安全性上投入多少財力，攻擊者仍然可以發現一些可利用的特征和配置缺陷。發現一個已知的漏洞，遠比發現一個未知漏洞要容易的多，這就意味著:多數攻擊者所利用的都是常見的漏洞。這樣的話，采用適當的工具，就能在黑客利用這些常見漏洞之前，查出網絡的薄弱之處。漏洞大體上分為以下幾大類:

　　(1)權限攻擊。攻擊者無須一個賬號登錄到本地直接獲得遠程系統的管理員權限，通常通過攻擊以root身份執行的有缺陷的系統守護進程來完成。漏洞的絕大部分來源于緩沖區溢出，少部分來自守護進程本身的邏輯缺陷。

　　(2)讀取受限文件。攻擊者通過利用某些漏洞，讀取系統中他應該沒有權限的文件，這些文件通常是安全相關的。這些漏洞的存在可能是文件設置權限不正確，或者是特權進程對文件的不正確處理和意外dumpcore使受限文件的一部份dump到了core文件中.

　　(3)拒絕服務。攻擊者利用這類漏洞，無須登錄即可對系統發起拒絕服務攻擊，使系統或相關的應用程序崩潰或失去響應能力。這類漏洞通常是系統本身或其守護進程有缺陷或設置不正確造成的。

　　(4)口令恢復。因為采用了很弱的口令加密方式，使攻擊者可以很容易的分析出口令的加密方法，從而使攻擊者通過某種方法得到密碼后還原出明文來。

　　漏洞的存在是個客觀事實，但漏洞只能以一定的方式被利用，每個漏洞都要求攻擊處于網絡空間一個特定的位置。

　　計算機職稱論文快速發表：《制造業自動化》雜志是自動化行業綜合性技術刊物，主要刊載制造業自動化領域所取得的新技術、新成果、新產品、新方法以及自動化技術應用成果、科技動態與信息等，及時地介紹國內外最新制造技術、機電產品信息及實踐經驗。