時間:2023-12-14 09:50:03
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全及信息安全范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
中圖分類號:TP393.08文獻標識碼:A文章編號:16727800(2011)012014502
作者簡介:張新豪(1982-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;郭喜建(1978-),男,河南鄭州人,黃河科技學院現代教育中心助教,研究方向為計算機應用;宋朝(1983-),男,河南鄭州人,黃河科技學院現代教育技術中心職員,研究方向為信息服務質量管理。1網絡信息安全
信息安全是指信息網絡的硬件、軟件及其系統中數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續、可靠、正常地運行,信息服務不中斷。信息安全是一門設計計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上說,設計信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。
信息安全要實現的目標主要有:①真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別;②保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義;③完整性:保證數據的一致性,防止數據被非法用戶篡改;④可用性:保證合法用戶對信息和資源的使用不會被不正當的拒絕;⑤不可抵賴性:建立有效的責任機制,防止用戶否認其行為;⑥可控制性:對信息的傳播及內容具有控制能力;⑦可審查性:對出現的網絡安全故障為您能夠提供調查的依據和手段。
2網絡信息安全性等級
2.1信息安全等級保護
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央文件明確規定,要實行信息安全等級保護,重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度。信息安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法,也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施,也是一項事關國家安全、社會穩定、國家利益的重要任務。
2.2DoD可信計算機系統評估準則
1983年,美國國家計算機中心發表了著名的“可信任計算機標準評價準則”(Trusted Computer Standards Evaluation Criteria,簡稱TCSEC,俗稱橘皮書)。TCSEC是在20世紀70年代的基礎理論研究成果Bell & La Padula模型基礎上提出的,其初衷是針對操作系統的安全性進行評估。1985年,美國國防部計算機安全中心(簡稱DoDCSC)對TCSEC文本進行了修訂,推出了“DoD可信計算機系統評估準則,DoD5200.28-STD”。
美國國防部計算機安全中心(DoDCSC)提出的安全性評估要求有:①安全策略:必須有一個明確的、確定的由系統實施的安全策略;②識別:必須唯一而可靠地識別每個主體,以便檢查主體/客體的訪問請求;③標記:必須給每個客體(目標)作一個“標號”,指明該客體的安全級別。這種結合必須做到對該目標進行訪問請求時都能得到該標號以便進行對比;④可檢查性:系統對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖;⑤保障措施:系統必須含實施安全性的機制并能評價其有效性;⑥連續的保護:實現安全性的機制必須受到保護以防止未經批準的改變。
根據以上6條要求,“可信計算機系統評估準則”將計算機系統的安全性分為A、B、C、D 4個等級,A、B3、B2、B1、C2、C1、D 7個級別,如表1所示。
表1網絡安全性標準(DoD5200.28――STD)
等級名稱主要特征A可驗證的安全設計形式化的最高級描述和驗證,形式化的隱密通道分析,非形式化的代碼一致性證明B3安全域機制安全內核,高抗滲透能力B2結構化安全保護設計系統時必須有一個合理的總體設計方案,面向安全的體系結構,遵循最小授權原則,較好的抗滲透能力,訪問控制應對所有的主體和客體提供保護,對系統進行隱蔽通道分析B1標號安全保護除了C2級別的安全需求外,增加安全策略模型,數據標號(安全和屬性),托管訪問控制C2受控的訪問環境存取控制以用戶為單位廣泛的審計C1選擇的安全保護有選擇的存取控制,用戶與數據分離,數據的保護以用戶組為單位D最小保護保護措施很少,沒有安全功能2.3計算機信息系統安全保護等級劃分準則
在我國,以《計算機信息系統安全保護等級劃分準則》為指導,根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度,針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本的安全保護水平等因素,將信息和信息系統的安全保護分為5個等級。
第一級:用戶自主保護級。本級的計算機信息系統可信計算基通過隔離用戶與數據,使用戶具備自主安全保護的能力。它為用戶提供可行的手段,保護用戶和用戶組信息,避免其他用戶對數據的非法讀寫與破壞。
第二級:系統審計保護級。與用戶自主保護級相比,本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制,它通過登錄規程、審計安全性相關事件和隔離資源,使用戶對自己的行為負責。
第三級:安全標記保護級。本級的計算機信息系統可信計算基具有系統審計保護級所有功能。具有準確地標記輸出信息的能力,消除通過測試發現的任何錯誤。
第四級:結構化保護級。本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上,將第三級系統中的自主和強制訪問控制擴展到所有主體與客體,同時考慮隱蔽通道。關于可信計算基則結構化為關鍵保護元素和非關鍵保護元素,必須明確定義可信計算基的接口。加強了鑒別機制,增強了配置管理控制,具有相當的抗滲透能力。
第五級:訪問驗證保護級。本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的,信息系統支持安全管理員職能,具有擴充審計機制,提供系統恢復機制。系統具有很高的抗滲透能力。
3結束語
信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法,是維護國家信息安全的根本保障。通過開展信息安全等級保護工作,可以有效地解決我國信息安全面臨的主要問題,將有限的財力、人力、物力投入到重要信息系統的安全保護中去。參考文獻:
[1]趙鵬,李劍.國內外信息安全發展新趨勢[J].信息網絡安全,2011(7).
[2]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全,2011(7).
[3]馬力,畢馬寧.安全保護模型與等級保護安全要求關系的研究[J].信息網絡安全,2011(6).
Research on Network Information Security
2網絡信息安全的內涵和目標
2.1網絡信息安全的概念和內涵網絡信息安全定義是:不因偶然或惡意的因素,使網絡信息遭受非法篡改、插入、刪除或顯現,以保證信息的完整性、安全保密性和可用性[1]。同時網絡信息安全是涉及計算機技術、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論、社會心理等多種技術的邊緣性的綜合學科。就總體而言,信息安全主要包括信息本體安全、計算機系統安全、網絡安全、管理體系安全四個層次的內容。只有通過對上述諸多研究領域長期的知識積累,才能確保網絡信息安全合理的共享。本文主要將敘述其中的應用協議、數據加密、病毒學、防火墻、入侵檢測等技術。
2.2網絡信息安全的主要目標綜觀國內外有關信息安全事件,網絡信息安全的研究目標應主要集中在以下五個方面:
(1)、網絡的可靠性這是網絡安全最基本的要求之一。目前,對于網絡可靠性的研究基本上偏重于硬件可靠性方面,研制高可靠性元器件設備,采取合理的冗余備份措施仍是最基本可靠性對策。但有資料表明,系統失效性很大一部分是由人為因素造成的。
(2)、網絡的可用性
網絡最基本的功能是向用戶提供所需信息和通信服務,必須隨時滿足用戶通信的要求。為此網絡需要采用科學合理的網絡拓撲結構、冗余容錯和備份措施以及網絡自愈技術、負荷分擔、各種完善的物理安全和應急措施等,保障網絡安全。
(3)、信息的保密性
采用訪問控制技術,可以有效地防止網絡信息資源不被非法使用和訪問。訪問控制包括入網訪問控制、網絡權限控制、服務器控制等多種技術手段。
(4)、信息的完整性
由于網絡本身的不安全,會導致信息在傳輸過程中遭受非法用戶的竊取、破壞,而通過信息加密技術,即使信息被竊取,加密后的信息也不易泄漏,可將損失降到最低點。
(5)、信息的不可抵賴性
隨著通信業務不斷擴大,電子商務、電子金融和辦公自動化等許多信息處理過程都需要通信雙方對信息內容的真實性進行認同,需要對此應采用數字簽名、認證等有效措施。
3現行主要信息安全技術
3.1通信協議安全
便捷和高效的互聯網絡一直是網絡標準制定者力求達到的目標,網絡的安全是影響這兩者的最重要因素。IPv6作為下一代互聯網通信協議,具有很強安全性。IPv6強制實施Internet安全協議IPSec,它主要由3個部分組成,即認證協議(AH)、封裝安全載荷(ESP)和Internet密鑰交換協議(IKEhIPSec為IPv6提供了具有極強的互操作能力、高質量和基于密碼的安全,在IP層實現多種安全服務,包括訪問控制、無連接完整性、數據源驗證、抗重播、加密和有限的業務流機密性。和網絡協議不同,網絡信息安全目前還沒有統一的標準,但美國國防部的計算機安全橙皮書(1985)得到廣泛支持,成為制定計算機安全標準的基礎。橙皮書將計算機安全分為A、B、C、D四個安全級別,每個級別內還可再細分。其中C2級已成為事實上的工業標準,許多計算機廠商都采用C2標準中各項準則和原理來完善自己的系統安全特性。GSSP是另一組重要的信息安全標準,它是由美國信息系統安全協會GSSP委員會為實現信息安全制定的一組原理,與C2標準不同,GSSP更強調個人管理而不是系統管理。
3.2密碼技術
密碼技術是信息安全的核心與關鍵。一般而言,密碼體制分為單鑰(對稱密碼)、雙鑰(不對稱密碼)、混合密碼(單雙鑰的混合實現)三種體制。采用加密技術網絡系統的優點在于:不僅不需要特殊網絡拓撲結構的支持,而且在數據傳輸過程中也不會對所經過網絡路徑的安全程度作出要求,從而真正實現了網絡通信過程端到端的安全保障。當前網絡信息加密主要使用的是不對稱密碼或混合密碼。
3.2.1公鑰密碼曾經作為美國聯邦信息處理標準的DES算法在1997年被攻破。IDEA作為DES的一種改進方法,具有128bit的密鑰和更強的安全性。為了保證公鑰密碼RSA的安全性,公鑰長度至少要600bit,實現速度比DES至少要慢兩個數量級。近來提出的一種基于Montgomery算法的RSA公鑰密碼可以同時進行乘法和模減運算,取代原先的除法運算模式,使得運算速度大幅提高,成為現今廣泛采用的RSA密碼。基于橢圓曲線的公鑰密碼ECC是密碼學研究和應用的熱門領域,很多廠商己經開發出符合IEEEP1363標準的橢圓曲線公鑰密碼。己有將ECC的數字簽名應用于電子政務中的可行方案,并且橢圓曲線密碼從試驗結果來看加密性和運行速度均優于RSA算法[3],很有可能取代RSA的地位,成為主流的公鑰加密算法,目前己有ECC在CDMA和IC智能卡上的應用方案提出。
3.2.2Hash函數王小云于2005年給出了SHA-0的碰撞,以及SHA-1的理論破解,將破解SHA-1的計算量降低了3個數量級,這對評估Hash函數的安全現狀以及未來Hash函數的設計會產生極大影響。MD5和SHA-1的破解,動搖了目前數字簽名的理論根基,對現有的數字簽名方法構成了威脅。美國國家技術與標準局(NIST)計劃在2010年前逐步淘汰SHA-1,換用其他更長更安全的算法(如SHA-384,SHA-512)來替代。
3.2.3量子密碼將來有可能取代公鑰加密算法的還有一種加密方法,即量子加密系統。量子加密是兩個用戶各自產生一個私有的隨機數字字符串。第1個用戶向第2個用戶的接收裝置發送代表數字字符串的單個量子序列(光脈沖),接收裝置從2個字符中取出相匹配的比特值,這些比特值就組成了密鑰的基礎。量子加密法的先進之處在于這種方法依賴的是量子力學定律,傳輸的量子是無法被竊聽的,如果有人竊聽,通信雙方會得知,這是因為竊聽動作本身會對通信系統造成干擾,使通信系統的量子狀態出現不可挽回的變化,這樣通信雙方會結束通信,生成新的密鑰。試驗證明,這種加密方法在衛星通信中也是可行的,但只有在寬帶光纖通信中才可以進行量子密鑰的發送。在實際的應用中,通過光纖傳輸的量子密鑰可以用于加密普通寬帶數據信道所傳送的信息。2004年6月,美國BBN公司建立的世界上第一個量子密碼通信網絡在馬塞諸塞州劍橋城正式投入運行,它標志著量子密碼通信技術己進入實際應用階段。
3.2.4其它加密體制其它一些領域的研究也對信息加密產生了積極的影響,甚至可能帶來革命性轉變,其中較引人注意的有混沌密碼、DNA密碼和神經網絡在密碼學上的應用。
1)混沌密碼:由于混沌系統對初值及參數極其敏感,同時還具有非周期性和偽隨機性的特點,可針對現有方法數據運算量大的缺陷,在運用整數計算代替浮點數計算減低計算量,提供了一種新的實現方法,已引起了密碼學領域的廣泛關注。
2)DNA密碼:DNA密碼是近年來伴隨著DNA計算的研究而出現的密碼學新領域,其特征是以DNA為信息載體,以現代生物技術為實現工具,挖掘DNA固有的高存儲密度和高并行性等優點,實現加密、認證及簽名等密碼學功能。2000年,加拿大DNATechnology公司把DNA序列用到了悉尼奧運會的產品認證上。DNA密碼現在仍處于發展階段,它的廣泛應用還有待各方面技術的進一步發展。
3)神經網絡:目前神經網絡在許多學科領域都獲得了成功的應用,其中通信及保密通信就是神經網絡的重要研究領域,并己成為神經網絡應用研究的一個熱點。
3.3計算機病毒
近2年來,隨著網絡廣泛融入各個經濟金融領域,計算機病毒的攻擊技術也越來越復雜,破壞力越來越強,并且更多地以獲取經濟利益為目標,例如竊取銀行賬戶信息,盜取網游密碼等。在網絡游戲市場,網上虛擬裝備交易十分活躍,一件好的裝備或高級別的賬號賣出上萬元人民幣并不鮮見,大批針對網絡游戲的木馬病毒因此而出現,如2007年初爆發的竊取“魔獸世界”游戲帳號木馬。該木馬破解了游戲的加密算法,主動截取局域網中的數據包,通過分析游戲里的通訊協議來獲得玩家的賬號、密碼和裝備等信息。并且局域網中1臺計算機一旦感染了魔獸木馬,其余的計算機用戶也會感染,該病毒還可以阻止防毒軟件的運行。2006年8月出現了針對AMD芯片的病毒w32.bounds和w64bounds,病毒感染計算機后能夠獲得比操作系統更高的權限,即可以躲避處理器或軟件的防毒功能而進行肆意的傳播和破壞。它的出現是一個病毒由通過軟件漏洞傳播轉向通過硬件漏洞傳播的標志,相信這種形式的傳播將具有更強的攻擊性。目前,快速更新病毒庫和增強殺毒軟件自行識別新病毒的能力是作為防范病毒攻擊的兩種較為有效方法。
3.4防火墻技術
防火墻技術是在內部與外部網絡間非常有效的實施訪問控制的一種手段,它邏輯上處于內部網和外部網之間,是為確保內部網正常安全運行的一組軟硬件的有機組合[6]。它可提供存取控制和保密服務,從而為企業網提供了抵抗外部侵襲的能力。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。在引入防火墻之后,內部網和外部網之間的通信必須經過防火墻進行,當某企業決定設置防火墻時,首先需由網絡決策者及網絡專家共同決定本企業網的安全策略,即確定什么類型的信息不允許通過防火墻。防火墻的職責就是根據這一安全策略,對外部網絡與內部網絡交流的信息進行檢查,符合的予以放行,不符合的拒之門外。
防火墻技術主要分三大類:
⑴包過濾技術(Packetfiltering):作用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址,目的IP地址,TCP/UDP源端口號、TCP/UDP目的端口號,及數據包頭中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
(2)(Proxy)服務技術用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時中間轉接作用,內部網絡只接受提出的服務請求,拒絕外部網絡其它節點的直接請求。運行服務的主機被稱為應用網關,服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
(3)狀態監控(StateInspection)技術它是一種新的防火墻技術,在網絡層完成所有必要的防火墻功能一一包過濾和網絡服務。目前最有效的實現方法一般采用CheckPoint提出的虛擬機方式(InspectVirtualMachine)。
防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展,但防火墻只是靜態安全防御技術,對網絡環境下日新月異的攻擊手段缺乏主動的響應,不能提供完全的網絡安全性,它不能阻止所有的外部入侵;它不能防病毒;有經驗的黑客也會破“墻”而入。在過去的統計中曾遭受過“黑客”入侵的網絡用戶有三分之一是有防火墻保護的[7]。防火墻對內部襲擊毫無防范作用,需要有特殊的相對較為封閉的網絡拓撲結構支持,也就是說還必須有例如對數據加密處理、對內部網絡的有效控制和管理一系列措施來實現網絡安全。
3.5入侵檢測技術
入侵檢測系統是對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程[8]。它不僅監測來自外部的入侵行為,同時也對內部用戶的未授權活動進行檢測,還能對網絡入侵事件和過程做出實時響應,是網絡動態安全的核心技術。
根據不同的分類標準,入侵檢測技術主要有基于行為的入侵檢測和基于知識的入侵檢測兩類:基于行為的入侵檢測(也稱異常檢測)是指根據使用者的行為或資源使用狀況的正常程度來判斷是否發生入侵;基于知識的入侵檢測(也稱誤用檢測)是指運用己知的攻擊方法通過分析入侵跡象來加以判斷是否發生入侵。通過對跡象的分析,不僅對己發生的入侵行為有幫助,而且對即將發生的入侵也會產生警戒作用。
21世紀是互聯網信息高速發展的時代,隨著計算機網絡的不斷發展,信息網絡化與全球化成為了世界潮流。計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化已成為信息時代的主要推動力。網絡信息的安全問題日益突出,解決網絡信息安全問題是值得我們深思的重要課題。
一、網絡信息安全之現狀
1、病毒的危害
計算機病毒是專門用來破壞計算機正常工作,具有高級技巧的程序。它并不獨立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。常見的計算機病毒有:
1.1系統病毒:系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統的*.exe和*.dll文件,并通過這些文件進行傳播。如CIH病毒。
1.2木馬病毒、黑客病毒:木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。
1.3蠕蟲病毒:蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如沖擊波(阻塞網絡),小郵差(發帶毒郵件)等。
2、信息安全管理制度不完善
在有關機構進行的信息安全調查中,2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的46%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%。信息安全管理制度的重要性并不低于信息技術本身,而是能在很大程度上能夠彌補技術缺陷本身所帶來的安全隱患。
3、黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵入重要信息系統,竊聽、獲取、攻擊侵入網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。黑客問題的出現并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發現漏洞。
二、網絡信息安全之防護技術
1、防火墻技術
1.1是網絡安全的屏障
一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。
1.2防止內部信息的外泄
通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
1.3可強化網絡安全策略
通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
2、身份認證技術
身份認證(Authentication)是系統核查用戶身份證明的過程,其實質是查明用戶是否具有它所請求資源的存儲使用權。身份識別(Adentification)是指用戶向系統出示自己的身份證明的過程.這兩項工作通常被稱為身份認證。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限。對于身份認證系統來說,最重要的技術指標是合法用戶的身份是否易于被別人冒充.用戶身份被冒充不僅可能損害用戶自身的利益,也可能損害其他用戶的利益或整個系統。因此,身份認證是授權控制的基礎。只有有效的身份認證,才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。身份認證技術有以下幾種:基于口令的認證技術、給予密鑰的認證鑒別技術、基于智能卡和智能密碼鑰匙(USB KEY)的認證技術、基于生物特征識別的認證技術。
3、信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密,兩種方法各有所長,可以結合使用,互補長短。對稱密鑰加密,加密解密速度快、算法易實現、安全性好,缺點是密鑰長度短、密碼空間小、“窮舉”方式進攻的代價小。非對稱密鑰加密,容易實現密鑰管理,便于數字簽名,缺點是算法較復雜,加密解密花費時間長。加密技術中的另一重要的問題是密鑰管理,主要考慮密鑰設置協議、密鑰分配、密鑰保護、密鑰產生及進入等方面的問題。
總而言之,在當前網絡時代,保障計算機網絡信息安全是非常有必要的。除了上述幾點,我們還應加快網絡信息安全技術手段的研究和創新,從而使網絡的信息能安全可靠地為廣大用戶服務。
中圖分類號:TP393 文獻標識碼:A 文章編號:1003-9082(2014)04-0009-01
一、網絡信息安全的具體概念
1.完整性
信息在傳遞、提取和存儲的過程中并沒有丟失與殘缺的現象出現,這樣就要求保持信息的存儲方式、存儲介質、傳播媒體、讀取方式、傳播方法等的完全可靠。因為信息是以固定的方式來傳遞、提取與記錄的,它以多樣的形式被儲存與各種物理介質中,并隨時通過其他方式來傳遞。
2.機密性
就是信息不被竊取和泄露。人們總希望某些信息不被別人所知,所以會采取一些方法來進行阻止,例如把信息加密,把這些文件放置在其他人無法取到的地方,這些都是信息加密的方法。
3.有效性
一種是對存儲信息的有效性保證,用規定的方法實現準確的存儲信息資源;另一種是時效性,指信息在規定的時間內能夠存儲信息的主體等。
二、網絡安全需要解決的問題
1.物理安全
是指在關于物理介質的層次上對傳輸和儲存的信息的安全上的保護。對于計算機的網絡設施和設備等免于被人為或自然的破壞。主要是由環境安全,指自然環境對于計算機的影響;設備安全,指防止設備被毀壞、竊取、電磁輻射、竊聽、電磁干擾等;媒體安全,指保證媒體自身及所在數據的安全性
2.安全服務
安全機制就是利用一種密碼算法對敏感而重要的數據實現處理。通過保護網絡信息來為目標的數據進行解密和加密;以保證信息來源的合法性和真實性。
安全連接是只在進行安全處理前和通信方間的連接的過程。它為安全處理提供了重要的準備工作。
安全協議能使在網絡的大環境下,不夠相互信任的通信雙方達到相互配合,并且通過安全機制和安全連接的實現來使通信過程達到公平、可靠、安全。
安全策略是安全連接、安全協議和安全機制的有機組合,是網絡信息安全的完整解決方案。
三、網絡信息安全的技術
1.防火墻技術
是指在公眾訪問網和內部局域網間設置的屏障,實際上它是一種重要的隔離技術。它是一種訪問控制尺度,能夠允許主體同意的數據和人進入網絡,與此同時,也能夠將你不同意的數據和人擋在外面,從而阻止黑客來訪問計算機,防止他們進行拷貝、更改和損壞你的信息。它的基本原則有:一切未被阻止的就是允許的;一切允許的就是被阻止的。
服務是設計在網絡防火墻的網關的專用代碼。他準許網管員拒絕或允許的一個應用程序或特定功能。防火墻應用層的連接是通過服務的鏈接來實現的,這樣就成功的是防火墻實現了隔離的功能。與此同時,服務也可用于對較強數據的過濾、監控、報告和記錄等功能。
應用網關是建立在網絡應用基礎上的協議過濾。他能夠對數據包形成并分析出具體的報告。它對一些易于控制和登陸所有輸出和輸入的通信環境都能提供嚴格的控制。從而防止有價值的數據和程序被盜取。
包過濾是在網絡中對數據包的實施具有選擇性的通過。依據系統自身事先以定的過濾邏輯,檢查完數據包后,根據原地址、所有的TCP鏈路狀態和TCP端口、目的地址等因素來對是否允許通過數據包的決定。它作為防火墻的應用分為三大類:一是設備在完成路由的選擇數據的轉發外,與此同時也進行包過濾,這種方式較為常用。二是工作站中對軟件使用包過濾。三是在屏蔽路由器啟用包過濾功能。
數據加密技術它是最普通的網絡安全技術,主要通過對傳輸的信息進行加密,從而保障其的安全性,它是種主動防御策略,用較小的代價就可以實現對信息的巨大安全保護。加密是一種對網上數據傳輸訪問權的限制的一種技術。原始數據被密鑰加密和加密設備實施后,從而產生有編碼的數據,這種數據稱為密文。解密是加密的反向處理,同時解密者要利用同類型的密鑰和加密設備對密文實現解密的功能。
對稱算法就是解密密鑰能推算出加密密鑰,反之成立。這些算法同時也可稱為單密鑰算法或秘密密鑰算法。他要求接受者或發送者在通信安全之前,商定出一個真實密鑰。同時只要通信需保密,密鑰就必須得到保密。對稱算法又可分為兩類:序列算法和分組算法。
非對稱算法又叫公開密鑰算法,使用一對密鑰對信息進行解密,加密的不同于解密的,并且解密的密鑰并不能根據合理的財力和時間計算出來。按作用不同,還可分為數據存儲、傳輸、以及完整性的鑒別。
3.身份認證技術
身份認證是一種系統對身份證明核查的過程,其本質是對用戶是否擁有它所需求的存儲資源的過程。身份識別是指自己的身份的證明被系統作出具體證明的過程。此兩項工作被稱為身份認證。
4.安全協議
安全協議的完善和建立是安全的保密系統踏上標準化和規范化道路的最基本因素。
4.1加密協議
據有兩個要素:一是把保密數據最終轉換為公開的數據,得到自由輸送。二是能用于控制授權,其他人員并無法解讀。
4.2密鑰管理協議
包括密鑰的分發、生成、存儲、公正等協議。
四、結束語
隨著網絡的普及,以及人們對于網絡的安全意識的具體增強,許多技術都得到了發展和完善。但從總體來看,很多單位對網絡安全的意識還處于較為初級的階段,有的甚至并不對外界設防。所以,在對網絡信息安全的技術的提高的同時,也要加強人們對其的認識,這是很必要的。當前,一種情況要針對安全性要求應用的不同,綜合多種安全的技術來制定不同的方案來解決問題,以及針對具體內部人員的安全問題來提出安全策略;另一種是安全理論的具體進步,并能在技術上得以具體實現,例如新的生物識別技術及加密技術等。
參考文獻
[1]李剛,張魏.加強網絡信息安全的技術問題思考[J].軟件(教育現代化)(電子版) ,2013,(7):98-98.
由于網絡的快速發展和計算機的普及,讓我們的生活和工作都發生了巨變。但是網絡的高速發展,也會產生各種網絡信息技術安全問題,從而影響計算機日常的使用和運行。因此在平常的使用和運行中,我們需要了解和認識到計算機網絡信息技術安全防范和管理的必要性,并對計算機網絡信息安全問題制定相應合理的防范和管理應用措施,才能讓我們在生活和工作中安心的享受網絡所帶來的便利性。
一、計算機網絡信息安全面臨著的問題分析
(一)計算機病毒
計算機病毒可以使計算機的數據丟失或損壞,從而使計算機無法正常運行文件。它具有隱蔽性高,破壞性強,傳播性高等一系列較為突出的特點。具體的特點如下:1)隱蔽性高,大部分地計算機病毒在侵襲計算機成功之后,立刻就會被激活,但也有小部分地計算機病毒在侵襲計算機成功之后會馬上隱藏起來,需要在相關操作或特殊設定時間的條件下被動激活,令計算機不能及時發現計算機病毒,令計算機網絡始終處于危境當中。2)破壞性強,計算機病毒在侵襲計算機成功后,會對計算機中的文件程序進行破壞,使文件程序遭到破壞,從而無法正常運行,令計算機陷入癱瘓。3)傳播性高,計算機病毒在成功侵襲計算機后,無視任何限制,會直接傳染計算機系統中的重要文件,即使我們使用殺毒軟件進行全面的清理,也不能保證計算機中的病毒是否已經清理干凈,甚至還會將被傳染的重要文件直接清除,導致重要文件丟失和損壞,而未被清理干凈的計算機病毒則會繼續傳染其他文件,進行循環傳染。[1]
(二)計算機木馬
1)植入性強,一般情況下計算機木馬都是依附在文件或程序軟件中,直到被人為下載啟動之后,計算機木馬才會被立刻激活。2)頑固性高,計算機一旦被計算機木馬侵襲到,就會出現難清理的現象,即使我們用殺毒軟件進行了清理,還是會發現計算機木馬依然在運行。[2]
(三)人為操作不當
從目前情況來看,雖然計算機用戶已經逐漸了解到計算機使用過程中,網絡信息安全所占有的重要性,但仍然還有大部分的人,不能及時的做出合理有效的網絡信息安全防范及管理措施,致使在使用計算機的過程中會頻頻出現一系列的不恰當操作。如:現在有許多的非法分子經常會注冊大量郵箱,并冒充官方郵箱名稱海量散布郵件,這些郵件無論是賬戶名還是內容信息,一眼看上去都具有較高的正規性,如果不能有效地辨別郵件,且按照郵件中的要求回復了對方就會泄漏個人信息和賬戶信息,稍不留神就會被非法入侵分子乘機而入。[3]
二、計算機網絡信息安全的防護對策
(一)制定計算機病毒及木馬的防護措施
1)安裝正版殺毒軟件。使用計算機必須要安裝正版的殺毒軟件,定期對計算機進行計算機病毒和木馬的查殺,及時有效發現并清除計算機病毒和木馬。2)使用防火墻技術。防火墻主要功能就是防止非計算機使用者未經計算機使用者授權,私自進入到計算機內部網絡進行訪問或獲取資源,因此使用者在計算機使用過程中,必須使防火墻處于開啟狀態,用來規避不必要的傷害。3)及時修復系統漏洞。不管是計算機的操作系統,還是其它應用軟件都會存在自身漏洞,技術超高的黑客會利用他們自身的技術特長,對這些漏洞進行網絡信息安全問題攻擊,在這種情況下,那我們自身在使用過程中必須使用正版操作系統及軟件外,還要及時地進行對操作系統的更新和升級,降低黑客對計算機進行網絡信息安全問題攻擊的風險。4)設置訪問權限。設置用戶訪問權限,給予用戶訪問的權利和限制,用戶只可以訪問權限設置范圍內的相應資源和文件,將一些非法入侵分子阻擋在訪問權限大門之外,降低計算機被入侵的可能性,增強網絡信息的安全性。
(二)增強用戶的網絡信息安全意識
中圖分類號:TB文獻標識碼:Adoi:10.19311/ki.16723198.2016.24.099
1信息網絡安全的概述
目前關于計算機信息網絡安全管理的定義存在很多版本,但是分析其本質內容主要是指計算機網絡系統的硬件、軟件以及數據等不受到各種因素的影響,以此保證系統能夠持續可靠的運行,網絡服務不中斷。結合公安系統計算機網絡管理的本質要求,信息網絡安全主要包括以下幾個方面:一是計算防護層面。公安計算機系統要包含阻值軟件或者硬件受到外界病毒等侵入的技術,以此保證系統數據的保密性、完整性以及可用性等。二是法律法規層面。政府部門要出臺關于保證公安系統計算機網絡安全的相關法律法規,以此實現網絡的安全應用。三是組織管理層面。人是操作計算機的主體,加強對人的管理是降低計算機安全風險的重要因素。
2公安計算機信息網絡安全管理存在的問題
2.1計算機網絡系統的防病毒手段滯后
隨著網絡技術的不斷發展,可以說計算機病毒的更新速度非常快,很多時候在我們研制出查殺某種計算機病毒的時候,其高級版本就會出現,可以說計算機病毒是伴隨著計算機應用的全過程的,由于計算機病毒具有傳染性、破壞性以及隱蔽性,因此在計算機網絡管理中往往會因為計算機病毒防治工作的不合理而導致計算機信息被外界盜取。當然在公安系統中由于受到經費等方面的制約,公安系統的計算機網絡系統技術也比較落后,這樣導致一些先進的病毒防范措施不能及時的應用到公安網絡管理中。
2.2公安信息網絡安全管理制度建設還不完善
目前公安信息網絡安全管理往往將工作重點放在技術安全防范層面,而忽視了制度安全防范的重要性:首先是網絡安全管理缺乏完善的法律法規。通過對現有立法的現狀分析,針對公安網絡安全管理的法律存在滯后性問題,具有較強的計劃經濟色彩,遠遠不能適應市場經濟社會管理工作的需要。其次缺乏完整的公安專網安全標準體系。其主要是在計算機軟件、硬件配置上存在安全標準不統一的問題,例如公安網絡安全建設的標準設置不高。三是缺乏健全的安全管理體制,最終導致安全網絡管理工作落實不到實處。
2.3安全管理人員的專業技能不高,安全管理意識偏差
公安信息網絡安全管理緊緊提高網絡安全管理人員的專業技能是不夠的,而且還必須要提高終端操作人員的專業技能:一方面我國安全管理人員的專業技能不高,主要是針對他們在操作計算機系統時缺乏安全操作的技能,例如很多基層公安人員不懂得基本的計算機應用知識,結果導致計算機系統經常會出現人為強制關機等問題,從而容易出現信息安全問題;另一方面則是計算機管理人員缺乏安全意識。在實踐中經常會出現公安基層人員隨意調取公民信息,導致公民信息被泄露的問題。而且部分人員也經常利用公安內網瀏覽各種不安全的網頁或者下載一些不安全文件等,從而容易導致公安內網被外界病毒侵入,最終導致計算機網絡系統出現癱瘓或者信息被泄露。
結合相關文獻資料,導致公安計算機信息網絡安全管理所存在問題的原因主要是:一是政府部門要加強對公安計算機網絡安全的資金投入力度,建立有效的安全管理機制。在計算機網絡安全管理中需要政府部門的資金投入,尤其是對于計算機網絡安全的維護需要較大的資金,所以政府部門要建立專項資金提高對計算機網絡的安全管理。二是計算機管理人員與使用人員之間缺乏有效的溝通。在計算機信息網絡安全管理中,任何一個環節出現問題都會影響計算機網絡安全的管理工作,根據實踐計算機網絡安全不安全很大一部分與操作人員的不規范使用有關,因此計算機網絡管理人員一定要加強與終端操作人員的溝通,及時告知操作人員如何規范進行操作,并且告知其下載殺毒軟件的流程等。三是提高操作人員的安全意識,規范他們的操作技能。導致計算機網絡信息安全的很大原因是由于操作人員的安全意識淡薄引起的,例如管理人員對崗位使用需求的不了解會直接影響信息安全管理。在公安組織系統中每個崗位都具有明確的權限和任務,而部分人員沒有對自己的崗位進行清晰的認識,結果導致各種不規范行為的操作。
3提高公安計算機信息網絡安全管理的具體對策
3.1加快信息網絡安全立法建設,健全我國信息網絡安全管理法規體系
隨著我國計算機技術的不斷發在,公安網絡安全防范措施也在不斷完善,但是實現網絡的相對安全必須要依靠完善的法律法規體系,因此我國要積極出臺系列的相關法律法規體系:一是立法機關要盡快對我國現存的法律進行修改,及時根據互聯網技術發展制定符合公安計算機網絡安全管理的法律體系,形成系統的法律保障體系。同時地方政府也要盡快出臺關于完善公安計算機網絡安全的規則,以此促進公安計算機網絡的安全管理。二是要進一步完善相關的安全管理制度。一方面要完善相應的安全保密制度,提高對信息使用者和管理者操作流程的規范管理,對于違規操作的人員要追究其責任,形成強大的震懾力。另一方面要完善應急響應機制,保證在安全事故發生的第一時間能夠快速的做出相應的反應。
3.2提高公安計算機信息安全防范技術
計算機網絡安全管理必須要從技術提高入手:一方面要建立完善的防入侵檢測系統,實現對公安網絡系統的全天24小時檢測,在外界不安全因素入侵時可
3.3加強對用戶名以及密碼的管理
在對公安網進行安全管理的過程中,要想實現更加安全的管理效果,就要重視起用戶名以及密碼的管理,這是其中不容忽視的一項環節。加強用戶名以及密碼的保護有助于提高安全管理的水平。具體的工作可以從以下幾個環節中做起。首先是對公安網中的信息管理采取加設密碼的保護方式,其次是在登錄公安網查詢信息時,需要輸入相應的用戶名以及密碼,以起到限制性的作用,不符合數字證書的要求應該限制其登錄。除此之外,密碼的安全等級也具有一定的要求,采用數字與字母結合的方式可以有效的提高密碼的安全系數。
3.4建立一支專業的安全管理隊伍
首先,選用具有較高計算機應用水平和責任心較強的員工擔任各個基層單位和部門的網絡信息安全的管理員,與所屬的領導相互配合,將會計算機信息安全管理工作做好。其次,還要定期培訓網絡信息安全管理員,提供其出國深造的機會,接觸國外先進的安全管理知識,從而使自身的知識水平完善,自我素質得打提升,進而能夠做好我國的公安計算機信息安全管理工作。最后,將計算機網絡信息安全管理的具體職責明確到安全管理人員身上,使其加強對網絡信息安全管理的重視,從事提升其的工作責任意識,一旦發現單位和部門出現違規行為,就要及時的進行通報,對同類事件的發生起到警惕作用
4結束語
公安計算機信息網絡作為公安信息化工作中一個重要部分,許多公安機關通過加大網絡安全管理的投入資金來提高信息網絡系統的安全保密性,可以看出信息網絡的安全管理工作已經成為目前的工作重心。公安部門可以通過有效的技術和行政管理制度來強化信息網絡的安全管理工作,從根本上加強管理人員的安全管理意識,認識到網絡安全的重要性,配備必要的信息網絡安全管理人員,建立專門的信息網絡管理機構等措施來提高公安計算機信息網絡的安全管理水平。
參考文獻
無論是在局域網還是在廣域網中,都存在著諸多因素的安全威脅,如何確保網絡信息的保密性、完整性和可用性成為當前必須要解決和長期維護必要的課題。
一、計算機網絡安全面臨的困難
計算機網絡技術本身就是一種技術集合,肯定存在著一定的安全隱患,再加上一些人的人為因素,使得網絡信息的安全受到嚴重的挑戰。縱觀目前出現的網絡安全問題,我們歸納總結以下5點,來對網絡安全面臨的問題進行詮釋:
一是來自不可抗力因素威脅。主要體現在來自自然災害的破壞,如地震、雷擊、洪水及其他天災造成的損害。
二是來自操作不當帶來的損失。主要是操作人員操作不當造成的系統文件被刪除,磁盤被格式化等,還有就是因為網絡管理員對網絡的設置存在漏洞,造成網絡高手潛入威脅,有些用戶網絡安全意識不強,對用戶口令的選擇考慮不周,或者將自己的帳號沒有防備的輕信他人,造成與別人共享等,都會給網絡安全帶來威脅。
三是網絡“黑客”有意威脅。網絡“黑客”是目前計算機網絡所面臨的最大敵人,他們以各種方式進行有選擇地破壞電腦系統,造成計算機系統信息的不完整性;還有就是他們在不影響你電腦網絡正常工作情況下,在秘密進行截獲電腦傳送、竊取電腦儲存內容、破譯電腦程序以獲得更有效的攻擊目標。
二、計算機網絡的安全策略分析
隨著計算機系統功能的不斷完善,網絡體系化不斷加強,人們對網絡的依賴越來越強,網絡對人們的生活產生了巨大的影響,提高計算機網絡的防御能力,增強網絡的安全措施,已成為當前急需解決的問題。
1、計算機網絡安全的物理安全特性
物理安全是計算機安全的前提,是指計算機存在的環境和操作基本要求,包括自然環境,使用環境,關聯環境等,自然環境是要求設備在天災因素下的保護設施要求,更多的是考慮由于自然環境的變化引起的不必要的其他損害;使用環境強調的是建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生,更加防止計算機人為操作帶來的破壞和搭線攻擊,驗證用戶的身份和使用權限、防止用戶越權操作;關聯環境強調的是確保計算機系統有一個良好的電磁兼容工作環境,打印機、掃描儀、關聯設備的安全。
2、控制訪問策略
控制訪問是網絡安全防范和保護的主要策略,目的是保證計算機正常使用,網絡資源不被非法使用和非常訪問。也是維護網絡系統安全、保護網絡資源的重要手段,控制訪問可以說是保證網絡安全最重要的核心策略之一,只有電腦操作者嚴格控制訪問限制,保護自己的網絡網絡安全是沒有問題的。
一是限制入網訪問權利。入網訪問控制是網絡安全第一道防線。用戶名或用戶帳號是所有計算機系統中最基本的入網許可證據,是最安全形式之一。它控制一些用戶能夠登錄到服務器并獲取網絡資源,控制一些用戶入網的時間和準許他們在哪臺工作站入網等。用戶可以修改自己的口令,但系統管理員可以控制口令的最小長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數等。
二是文件目錄屬性級別安全設置。當文件、目錄和網絡設備在網絡系統管理員賦予一定的指定訪問屬性后。用戶的權限被限制在對所有文件和子目錄有效,還可進一步對指定目錄下的子目錄和文件的權限進行控制。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,來抵御來自各個方面的網絡破壞。
3、網絡信息安全的技術保障策略
不安全的網絡一旦遭到惡意攻擊,將會造成巨大的損失。目前,適應各個行業和不同用戶的網絡軟件技術措施仍是最直接、最常用和有效的的網絡屏障,也是最有效的保護措施,下面就基本的措施做簡單總結。
一是采用先進的密碼技術。密碼技術體現在網絡使用者身上有加密需要,還要有解密技術。加密是網絡與信息安全保密的重要基礎,是防止被破壞網絡的有效措施。它是將需要保護的對象采用一些既定方式進行某種編排和篆寫,形成獨又的一種密文,保護自己的產品不被攻擊。
二是進行數字簽名確認。對于網絡上自由傳輸的電子文檔,完全可以使用數字簽名的方法來實現傳輸內容的確認。數據簽名一般采用不對稱加密技術,通過雙方認可或者約定的認可來證明身份的真實性,來確保文件傳輸的有效性和合法性,杜絕因此產生的流氓、抵賴、交換等行為的發生。
三、計算機網絡安全防范預警
一是必須拒絕不明服務攻擊。通過以上分析,對不明服務要提高警惕,黑客攻擊的主要目標是計算機網絡安全意識不夠的客戶,目的是讓你的計算機及網絡無法提供正常的使用。它基本上可以破壞計算機網絡使用的硬件設備,消耗計算機及網絡中不可再生的資源等,讓計算機處于癱瘓狀態。
二是堅決拒絕欺騙攻擊。黑客會利用TCP/IP協議本身的缺陷進行網絡攻擊,或者進行DNS設置進行欺騙和Web頁面進行欺騙,打破常規預防措施,提高警惕,以免上當受騙。
三是監測功能對移動設備的攻擊。日前,通過手機、PDA及其他無線設備感染惡意軟件的數量在不斷增加,破壞移動設備的正常使用,達到其不法傳播的目的,提高使用者的安全防范迫在眉睫。
縱上所述,只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,避免不必要的損失。
參考文獻:
1.網絡通信安全內涵
網絡通信安全內涵可由不同角度作出解釋,國際組織定義網絡通信安全為信息的可用性、完整性、可靠性及保密性。而從一般意義層面來講,計算機網絡通信的可靠安全性主要指依據網絡特性借助安全措施與技術有效預防計算機網絡通信中的操作系統、硬件、軟件應用與數據信息等遭到不良破壞威脅,杜絕非法用戶對相應服務的竊取。即借助各類安全措施技術預防計算機網絡通信遭到人為因素或自然因素的破壞,進而確保網絡通信系統的持續正常服務運行。由網絡運行具體環節來講,網絡通信安全包含傳輸數據信息安全、設備安全、用戶安全識別等。
2.影響網絡通信安全的主體因素
2.1軟件、硬件設施問題
網絡通信中一些軟硬件系統為了管理方便會預留某些遠程終端便于控制登錄的通道,這樣便給病毒攻擊者、黑客入侵者帶來了可乘之機,其可利用該類漏洞展開入侵攻擊。同時較多軟件在初期設計階段中雖然盡可能多的考慮了各類安全因素,然而在長時間的服務運行后還會出現較多缺陷與漏洞問題,一旦發現該類問題軟件商會采用補丁方式進行漏洞彌補,或新一輪軟件版本對舊版本中包含的風險或問題進行糾正。同時一些商用軟件源程序會為了令形態完全公開化或部分公開而令別用用心的不法分子找到容易進攻竊取的漏洞并展開威脅攻擊。上述因素均會令網絡通信系統面臨嚴重的影響及安全威脅,并破壞了其運行的秩序性與可靠性。
2.2人為破壞影響及TCP/IP協議問題
網絡通信運行中相關計算及管理人員、安全技術人員由于欠缺必要的安全意識令人為破壞對系統安全的影響日益加劇。一些不法分子、黑客會利用竊取賬號、密碼手段采用合法身份入侵網絡,展開有目的的竊取、惡意篡改攻擊,對數據信息進行破壞,進而對網絡通信造成了較大的安全威脅。互聯網絡的基礎協議為TCP/IP協議,其在設計上注重實效因而難免忽略了對安全因素的綜合考量,這是由于安全因素的引入會提升代碼量,進而令TCP/IP協議的運行效率有所下降。因此可以說該協議本身設計層面就包含較多安全隱患問題。而較多基于該協議的應用服務,例如FTP服務、電子郵件系統服務等也會由于該因素的影響而不同程度包含安全問題,并被對協議較為了解的別有用心之人所利用。
3.網絡通信安全技術發展應用
3.1數據加密技術
作為數據核心安全技術的數據加密技術在當前數字貨幣、電子商務、網絡通信、電子銀行等業務中得到了廣泛的應用,其具體加密過程即是由明文向密文轉變的過程。相對于加密的環節為解密,即將密文恢復為明文的具體過程,兩類環節均需要通過密碼算法得以實現。數據加密技術在網絡通信中的應用可促進各項數據通信、網絡平臺應用的安全高效,通信雙方可在其安全保護下令信息不被泄密或破壞。同時該技術還可對軟件實施加密,當加密程序自身受到病毒感染便無法檢查出數據或程序是否包含數字簽名或被加過密,因此應確保該類檢查機制的保密性,并將該加密技術應用在殺毒軟件或部分反病毒軟件之中。對網絡數據庫實施加密具有現實必要性,這是由于數據通信傳輸中存儲系統與公共信道較為脆弱,因此可應用數據加密技術實施保護。傳統保護數據庫方式為設定訪問權限及口令,該類問題解決關鍵在于對數據的自身加密,這樣一來即便數據丟失或泄漏也較難被破譯。因此數據加密技術對于系統內部與外部的安全管理尤為重要。隨著數據加密技術的飛速發展,還應促進其與VPN技術的有效結合,令數據以密文形式在互聯網上實現通信傳送,待其達到局域網目的路由器時,便會解密數據,進而令局域網用戶進行明文查閱,這樣一來便實現了局域網與廣域網的有效連接并確保了網絡通信數據傳輸的保密性與安全性。
3.2數字簽名技術與訪問控制機制
數字簽名技術是一種對網絡通信信息論證的科學方式手段,通過單向函數處理傳送報文,進而獲取報文認證來源并核實其是否產生變化。數字網絡通信中數字簽名技術成為一項認證技術的關鍵環節,可良好解決偽造、冒充、否認、篡改等安全問題,確保傳輸信息進程中的可靠完整性,并為發送信息者提供身份認證,具有良好的不可抵賴性。當前數字簽名技術在網絡通信電子政務與商務中得到了廣泛的應用,發展技術相對較為成熟,且具有高度的可操作性,實踐應用中我們應采用科學化、規范化的程序方式鑒定簽名方身份,核準通訊信息內容,確保其真實性、安全性及不可否認性,進而實現良好的控制管理。另外網絡通信實踐運行中還應科學引入訪問控制機制,應用實體的能力、類別與標識確定相應權限,確保計算機網絡的可靠安全運行,建立絕對安全的操作策略與保障機制并有效預防非法入侵者的不良攻擊行為。
4.結語
網絡通信安全問題近年來普遍受到了人們的廣泛關注,安全的通信環境是信息化社會持續發展的必要保證,因此我們只有科學明晰影響網絡通信安全的主體因素,針對相關安全技術探討科學實踐發展策略,才能真正促進網絡通信系統的可靠安全運行并令其實現可持續的全面發展。
現在的網絡安全技術往往不具備預防攻擊的能力,僅能對付被分析過的、已知的攻擊,在新病毒層出不窮的今天,并不能在大規模攻擊爆發的初期就進行有效制止。對于日益突出的網絡連接安全問題,這里主要從以下幾個方面進行探討。
1.影響計算機網絡安全因素探討
1.1 網絡開放性的安全問題思考
網絡環境下計算機系統具有很多安全問題,這部分原因是由于Internet的開放性所致。盡管為了解決上述問題,研發了一些安全策略、安全機制和工具,但是,仍存在比較大的隱患在網絡安全中,主要表現在以下幾個方面[1]:
(1)人為因素影響到安全工具的使用。使用者很大程度上決定了安全工具能不能實現期望效果,這包括普通用戶和系統管理者,不安全的因素往往是由于不正當的設置。同時,安全工具也存在一定的漏洞,也需要進行定期的更新。
(2)安全機制都存在一定的應用環境和應用范圍。對于安全工具的防火墻來說,能夠起到內部網絡結構隱蔽,外部網絡到內部網絡訪問得到限制的作用。但是,防火墻不能作用于內部網絡之間的訪問。所以,防火墻則一般很難發現和防范內部網絡之間的入侵行為,以及相關的內外勾結的入侵行為。
(3)BUG必然會在程序中存在。黑客經常利用系統中的BUG,這種攻擊很難追查,因為往往不產生日志。
(4)傳統安全工具往往難以考慮到系統的后門。這類安全問題在防火墻中很難考慮到,這種入侵能夠穿越防火墻而難被察覺。
(5)面對不斷更新的黑客攻擊手段,系統安全問題隨時出現。具有更加靈活的攻擊手段,相對集中的攻擊源。在日益緊密結合的計算機病毒技術和黑客手段要求下,病毒往往能夠進行機密信息盜取或者替黑客進行后門的安裝,能夠達到企業私有網絡空間。這種混合攻擊出現越來越多,也具有強大的攻擊效果。安全工具更新速度太慢,跟不上黑客的攻擊手段和病毒的發展速度。
1.2 操作系統漏洞及網絡安全設計
網絡安全漏洞在很多操作系統中都存在,許多的系統入侵就是由黑客利用操作系統的漏洞而完成的。在利用網絡系統進行相關設計和使用過程中,不合理、不規范、缺乏安全性的考慮都能造成網絡安全的影響。其他人員容易在缺少必要的網絡安全管理認證的基礎上造成濫用網絡安全情況,這就是網絡安全隱患中的人為因素。
1.3 有效評估網絡系統安全性的方法缺乏
進行準確、科學地利用硬件設備進行整個網絡的安全防護性能進行評估的手段和方法還比較欠缺,也沒有完善的能夠實施保障的安全策略方面的可行性、經濟性方面內容。
1.4 計算機病毒問題
計算機系統的癱瘓往往是由于計算機病毒所致,造成計算機程序數據的嚴重損壞或者盜取,降低網絡使用效率,造成功能損壞。在計算機網絡中,各種各樣的計算機病毒層出不窮,已經在我們日常生活中帶來巨大安全隱患。
2.網絡安全體系思考
企業的網絡安全設計人員在制定網絡安全策略的時候,一定要站的更高,想的更遠,網絡安全之大策略一定要設定好相應的企業的網絡安全基礎建設。所以,網絡的自身價值的實現離不開相應的安全策略,網絡賴以生存的保障就是安全。所以,在分析上述網絡安全存在的問題的基礎上,重點探討了幾種常見的網絡安全策略[2,3]。
第一,防入侵措施。應該對于重要文件的處理進行重點控制,對于文件處理的限制需要進一步加強。為了有效防止非法者進入安全密碼侵入系統,違反安全規程的行為可以通過報警系統進行有效檢測。
第二,傳輸線路進行保護。線路應該遠離輻射源,埋于地下或者具有露天保護措施,這樣能夠電磁干擾引起的數據錯誤盡量減少。在受監視的地方放置交換機和集中器,為了避免搭線竊聽、外連或破壞行為的出現,發生需要定期檢查連接設備。金屬導管應該使用在電纜鋪設中,這樣能夠減輕對發送線路的干擾以及各種輻射引起的電磁泄漏。
第三,訪問控制。所謂的訪問控制,則是通過相應的鑒別機制提供的信息,能夠獲得或者實現個體或過程特權。特別對于文件和數據庫的共享機型劃分,設置相應的安全屬性,對于用戶使用方式進行一定限制,包括相應的只讀、讀/寫、執行等。存取控制在數據庫方面,則不同的等級包括分庫、結構、文件、記錄和數據項等,并要及時清除到其用戶。
第四,加密技術。
(1)對稱加密技術,所謂的對稱加密技術能夠體現出一把鑰匙開一把鎖的特點,相同的密鑰應用在對信息的加密和解密中。加密處理過程通過這種方法而得以簡化,交換專用的加密算法則不必被信息交換雙方而仔細研究。為了保證報文完整性、機密性,一定不要泄露交換階段私有密鑰。
(2)非對稱加密/公開密鑰加密,密鑰被分解為私有密鑰和公開密鑰,這則是非對稱加密體系的特點。公開密鑰(加密密鑰)則是這對密鑰中任何一把,向他人公開則是通過非保密的方式進行,而保存另外一把作為私有密鑰(解密密鑰)。其中,加密則是使用公開密鑰,而解密則是利用私有密鑰,廣泛公布公開密鑰,而生成密鑰的交換方掌握私有密鑰,同時,公開密鑰僅僅只對應于生成密鑰的交換方。通信雙方無須事先交換密鑰,利用非對稱加密方式就可以建立安全通信,在相應的數字簽名、身份認證等領域廣泛應用,RSA公鑰密碼體制則是最具有代表性的一種。
第五,防火墻技術。網絡之間訪問控制加強可以通過網絡防火墻技術來實現,外部網絡用戶以非法手段進入內部網絡能夠得以有效遏制,從而更好對于內部網絡資源進行保護,這是一種能夠保護內部網絡操作環境的特殊網絡互聯設備,主要包括以下幾種類型。
(1)包過濾型,這種類型則為防火墻的初級產品,對于分割成為一定大小的數據包的數據來說,這是由于以“包”為單位進行在網絡上的數據傳輸,特定的信息肯定在數據包中包含,比如目標端口、TCP/UDP源端口、目標地址、源地址等;
(2)服務器也是對于型防火墻的別稱,相比于包過濾型產品,其安全性能要高一些,并且已經在應用層發展。對于位于客戶機與服務器之間的服務器來說,二者間的數據交流能夠被完全阻擋。在服務器的角度,服務器為客戶機;在客戶機來看,服務器相當于一臺真正的服務器。服務器上的數據被客戶及所需要時,應該數據請求首先發給客戶機,服務器則應該在請求的命令下,把數據從服務器中索取出來,然后,數據傳輸則是由服務器完成發送給客戶機。在企業內部網絡系統能夠有效避免外部的惡意侵害,這是由于直接的數據通道在外部系統與內部服務器之間并不存在。
(3)監測型。新一代的產品的監測型防火墻,已經超越了相應的防火墻定義。能夠實時、主動地監測各層的數據,監測型防火墻并加以分析這些數據,從而能夠科學判斷出各層中的非法侵入。另外,在其他網絡的節點和各種應用服務器所配置的分布式探測器具有重要作用,一方面能夠對于網絡外部的攻擊進行監測,另外一方面,能夠很好防范來自內部的惡意破壞。
3.結束語
只有通過網絡安全技術的有力保障,才能有效促進信息社會的不斷發展,信息網絡發展的關鍵技術之一就是網絡安全技術,保證計算機網絡在安全可靠地運行,就一定要堅持這項長期而艱巨的任務,要了解不斷升級的黑客裝備,不斷發展我們的計算機網絡安全。
參考文獻
1 問題引入
隨著互聯網終端由電腦向智能手機過度,并日益普及,許多人的日常生活中已經離不開網絡。網上購物、網上辦公、網上學習對于現代網絡社會的人來說早已司空見慣。但是,網絡在給人帶來便捷和高效的同時,本身也存在著許多讓人擔憂的問題,其中最大的隱患便是網絡安全隱患。網絡攻擊輕則導致個人信息丟失,嚴重則會給個人財產、個人安全甚至國家安全造成重大危害。所以,在我國當前網絡安全監管體系尚不健全的背景下,以計算機信息管理技術加強網絡安全顯得尤其重要。所以本文就將在對常見網絡安全漏洞進行分析的基礎上,有針對性地研究計算機信息管理技術在學校網絡安全中的應用。
2 學校常見的網絡安全漏洞及原因
導致網絡安全出現問題的原因,一部分在于網絡使用者本身的主觀原因,例如安全意識淡薄、缺乏必要的網絡安全防護技術,還有一個很重要的外部原因便是黑客的惡意攻擊。而且,近年來隨著支付寶等網絡支付和金融平臺的普及,網絡攻擊和網絡犯罪更是呈高發趨勢。統計數據顯示,自我國接入互聯網二十余年時間,尤其是自2010年以來,網絡犯罪率快速攀升,造成的直接和間接經濟損失更是無法估量。所以,分析常見的網絡安全漏洞是研究計算機信息管理技術在網絡安全中應用的第一步。
2.1 網絡信息訪問權限漏洞
網絡信息訪問權限是指對網絡訪問者信息進行識別,網絡信息僅供權限內部人員使用的計算機信息管理技術。是維護網絡信息安全的重要技術手段,也是基礎性手段。一般來講,網絡信息根據自身密級和重要程度的不同,對訪問者權限的設置也會不同,而且根據信息相關人員的需要,訪問權限的識別內容也會有所不同。但是,我國目前許多網絡信息缺少訪問權限設置,許多個人也沒有網絡信息訪問權限設置意識。當今社會,隨著網絡技術開發程度的提高,網絡技術使用門越來越低,遠程訪問操作對于許多網絡使用者來說已經不是什么困難的事情。在這種情況下網絡信息訪問權限的漏洞就更容易被利用。
2.2 網絡信息安全監管漏洞
網絡空間雖然是虛擬空間,但由于其信息來源的廣泛性,其監管復雜性絲毫不亞于現實空間,甚至由于網絡自身的隱蔽性特點,其監管難度甚至高于現實空間。 我國目前的網絡信息安全監管體系尚不健全,網絡信息安全監管技術開發也比較滯后。具體來講,網絡信息安全監管體系沒有建立起常態化監管與突發事件監管相結合的體系,應對網絡突發狀況的能力比較低,監管內容也不夠深入具體。例如前些年的熊貓燒香病毒,就是由于監管漏洞導致其快速傳播,癱瘓大量計算機并造成嚴重的經濟損失。
2.3 計算機及網絡自身系統漏洞
網絡由于其自身對信息開放性和信息共享性的追求,因此在一些網絡協議例如文本傳輸協議等,設計之初就缺乏對于信息安全度審查的考慮,所以這也是網絡系統本身的安全漏洞,也是網絡信息安全出現問題的最根本原因。許多黑客正是利用網絡系統本身的漏洞,竊取網絡信息。因此,解決網絡共享性和信息安全之間的矛盾是保障網絡信息安全最根本的手段。
2.4 外來的網絡系統攻擊
目前,惡性網絡攻擊主要有以下幾類,第一種是網絡黑客制造大量虛假信息并向網絡終端進行發送,網絡終端由于大量信息處理識別而造成網絡系統繁忙甚至服務器癱瘓,個人無法接入網絡;其次,一些黑客還經常利用遠程操控入侵防護等級較低的網絡終端,竊取用戶數據信息,最后一些黑客還會將木馬病毒進行包裝在網絡空間傳播,造成網絡數據信息被惡意刪改,甚至失竊。
3 總結:如何以計算機信息管理技術改善網絡安全環境
3.1 防火墻在網絡安全中的基礎性作用
防火墻是最為重要的網絡信息安全技術手段之一,也是普通網絡用戶最容易操作的網絡信息安全技術手段。現在許多免費的殺毒軟件以及網絡終端本身就帶有防火墻功能,防火墻可以對計算機信息使用者權限以及計算機輸入輸出的網絡信息的大值類型和內容進行識別,防止權限外人員竊取計算機信息,防止偽裝的木馬病毒竊取和刪改計算機信息。
3.2 以加密技術保障重要信息安全
使用特定的計算機算法對計算機數據信息進行加密是維護計算機信息安全的重要渠道,相比防火墻的簡單防護,計算機數據信息加密的防范能力更強,即使信息失竊可能也不會造成嚴重損失,但計算機信息加密使用的技術門檻相對較高。當前的計算機信息加密主要有公開秘鑰和對稱秘鑰兩種。公開秘鑰的加密解密過程所花費的時間相對較長,但是秘鑰管理相對方便;對稱秘鑰的加密解密過程比較簡單,且安全性比較可靠,但是秘鑰設定范圍比較小。根據計算機信息特點可以自行進行選擇,甚至兩種秘鑰搭配使用。
3.3 以技術控制和網絡信息訪問權限管理加強網絡安全
技術控制是以計算機信息管理技術維護網絡安全的最關鍵措施,以技術控制手段維護網絡安全要充分考慮到網絡運行的各個環節,技術手段的覆蓋范圍一定要全面。以技術手段維護計算機和網絡信息安全的關鍵是要建立完善的網絡信息安全系統,由于網絡信息安全系統涉及環節較多,相關內容也比較復雜,因此一定要加強網絡信息安全系統負責人員的技術水平和業務能力。對登陸服務器的用戶信息和用戶權限要加強識別,建立健全信息訪問權限識別系統。
3.4 以明確的網絡信息安全技術系統確保網絡安全
以計算機信息管理技術維護網絡安全一定要注意技術的系統化和組合化運用,建立起從殺毒軟件研發更新,病毒檢測插件更新,到計算機和網絡信息安全動態分析的一整套技術系統。另外還要建立規范化的計算機和網絡信息管理規章制度。全面保障計算機和網絡信息安全。
參考文獻
[1]高永強,郭世澤等編著.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003.
[2]武慶利,王飛編著.跟我學網絡黑客防范[M].北京:機械工業出版社,2002.
