浅析网络信息安全防范措施方案.docx
《浅析网络信息安全防范措施方案.docx》由会员分享,可在线阅读,更多相关《浅析网络信息安全防范措施方案.docx(8页珍藏版)》请在冰点文库上搜索。
浅析网络信息安全防范措施方案
浅谈网络信息安全防X措施
摘要:
随着科学技术的进步,计算机与网络技术得到了飞速的发展,网络已经成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。
但网络给我们带来极大方便的同时,随之而来网络安全与信息安全的问题日益突出;如何能最大程度的保证网络的安全、信息的完整就显得尤为重要。
本文从网络与信息安全理论以与技术防X两个方面来加以讨论,让读者对网络与信息安全有一个比较全面的了解和认识。
关键词:
网络与信息安全概念;网络与信息安全技术;
所谓网络信息安全就是指网络系统的硬件、软件与其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络信息安全从其本质上来讲就是网络上的信息安全;从广义来说,凡是涉与到网络上信息的完整性、XX性、有效性、等相关技术和理论都是网络信息安全的研究领域。
1、信息安全概念
理解信息安全的概念有利于人们更容易地了解各种名目繁多与众多延伸出来的信息安全理论与其方法技措施。
问题就是:
什么样的信息才认为是安全的呢?
(1)信息的完整性
信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现,这就要求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠,因为信息总是以一定的方式来记录、传递与提取的,它以多种多样的形式存储于多样的物理介质中,并随时可能通过某种方式来传递。
简单地说如果一段记录由于某种原因而残缺不全了,那么其记录的信息也就不完整了。
那么我们就可以认为这种存储方式或传递方式是不安全的。
(2)信息的XX性
就是信息不被泄露或窃取。
这也是一般人们所理解的安全概念。
人们总希望有些信息不被自己不信任的人所知晓,因而采用一些方法来防止,比如把秘密的信息进行加密,把秘密的文件放在别人无法拿到的地方等等,都是实现信息XX性的方法。
(3)信息的有效性
一种是对信息的存取有效性的保证,即以规定的方法能够准确无误地存取特定的信息资源;一种是信息的时效性,指信息在特定的时间段内能被有权存取该信息的主体所存取。
2、网络信息安全所要解决的问题
计算机网络安全的层次上大致可分为:
物理安全、安全控制、安全服务三个方面。
2.1、物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。
对于计算机网络设备、设施等免于遭受自然或人为的破坏。
主要有环境安全(即自然环境对计算机网络设备与设施的影响);设备安全则是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等;媒体安全,保证媒体本身以与媒体所载数据的安全性。
该层次上的不安全因素包括三大类:
(1)自然灾害、物理损坏、设备故障此类不安全因素的特点是:
突发性、自然性、非针对性。
这种不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的XX性影响却较小,因为在一般情况下,物理上的破坏将销毁网络信息本身。
解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时备份数据等。
(2)电磁辐射、痕迹泄露等此类不安全因素的特点是:
隐蔽性、人为实施的故意性、信息的无意泄露性。
这种不安全因素主要破坏网络信息的XX性,而对网络信息的完整性和可用性影响不大。
解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。
(3)操作失误、意外疏漏其特点是:
人为实施的无意性和非针对性。
主要破坏了网络信息的完整性和可用性,而对XX性影响不大。
主要采用状态检测、报警确认、应急恢复等来防X。
2.2、安全控制
安全控制是指在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理。
在网络信息处理层次上对信息进行安全保护。
(1)操作系统的安全控制
包括对用户合法身份的核实,对文件读写权限的控制等。
此类控制主要是保护被存储数据的安全。
(2)网络接口模块的安全控制
在网络环境下对来自其他机器的网络通信进程进行安全控制。
此类控制主要包括身份认证、客户权限设置与判别、日志审计等手段。
(3)网络互连设备的安全控制
对整个子网内的所有主机的传输信息和运行状态进行安全检测和控制。
此类控制主要通过网管软件或路由器配置实现。
2.3、安全服务
安全服务是指在应用程序层对网络信息的XX性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。
安全服务主要内容包括:
安全机制、安全连接、安全协议、安全策略等。
(1)安全机制是利用密码算法对重要而敏感的数据进行处理。
以保护网络信息的XX性为目标的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证;以保护网络信息的完整性,防止和检测数据被修改、插入、删除和改变的信息认证等。
(2)安全连接是在安全处理前与网络通信方之间的连接过程。
安全连接为安全处理进行了必要的准备工作。
安全连接主要包括会话密钥的分配和生成以与身份验证。
(3)安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性、公平性。
(4)安全策略是安全机制、安全连接和安全协议的有机组合方式,是网络信息安全性完整的解决方案。
不同的网络信息系统和不同的应用环境需要不同的安全策略。
3、网络信息安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。
如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、身份验证技术、网络防病毒技术。
(1)网络加密技术。
网络加密技术是网络安全最有效的技术之一。
一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有链路加密,端点加密和节点加密三种。
链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。
在多数情况下,信息加密是保证信息XX性的唯一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:
利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
(2)防火墙技术。
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。
现对网络的安全保护。
防火墙的组成可以表示为:
防火墙=过滤器+安全策略+网关,它是一种非常有效的网络安全技术。
在Internet上,通过它来隔离风险区域与安全区域的连接,但不防碍人们对风险区域的访问。
防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:
包过滤型、网络地址转换—NAT、代理型和状态监测型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术,工作在网络层。
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、源端口和目标端口等。
防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
但包过滤防火墙的缺点有三:
一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以与IP的端口号都在数据包的头部,很有可能被窃听或假冒;三是无法执行某些安全策略。
网络地址转化—NAT。
“你不能攻击你看不见的东西”是网络地址转换的理论基础。
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。
它允许具有私有IP地址的内部网络访问因特网。
当数据包流经网络时,NAT将从发送端的数据包中移去专用的IP地址,并用一个伪IP地址代替。
NAT软件保留专用IP地址和伪IP地址的一X地址映射表。
当一个数据包返回到NAT系统,这一过程将被逆转。
当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。
当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
如果黑客在网上捕获到这个数据包,他们也不能确定发送端的真实IP地址,从而无法攻击内部网络中的计算机。
NAT技术也存在一些缺点,例如:
木马程序可以通过NAT进行外部连接,穿透防火墙。
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,它分为应用层网关和电路层网关。
代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。
从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部结构的作用,这种防火墙是网络专家公的最安全的防火墙。
缺点是速度相对较慢。
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。
它是由CheckPoint软件技术XX率先提出的,也称为动态包过滤防火墙。
总的来说,具有:
高安全性,高效性,可伸缩性和易扩展性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器也集成了包过滤技术,这两种技术的混合显然比单独使用具有更大的优势。
总的来说,网络的安全性通常是以网络服务的开放性和灵活性为代价的,防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
除了使用了防火墙后技术,我们还使用了其他技术来加强安全保护,数据加密技术是保障信息安全的基石。
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。
目前最常用的加密技术有对称加密技术和非对称加密技术。
对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样。
(3)身份验证技术。
身份验证技术身份验证技术是用户向系统出示自己XX明的过程。
身份认证是系统查核用户XX明的过程。
这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。
从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。
常用的识别方法有口令、唯一标识符、标记识别等。
口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、XX性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。
一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。
(4)网络防病毒技术。
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。
CIH病毒与爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防X也是网络安全技术中重要的一环。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录与文件设置访问权限等。
防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能与时知道,从而从管理中心处予以解决。
访问控制也是网络安全防X和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。
它主要包括:
身份验证、存取控制、入网访问控制、网络的权限控制、目录级安全控制、属性安全控制等。
4、结束语
网络信息安全是一个综合性的课题,涉与技术、管理、使用等许多方面问题,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,而一种技术只能解决一方面的安全问题,而不是万能的。
在够建和谐社会的今天,我们必须科学立法、严格执法、注重预防、加强合作,动员一切可以动员的力量积极主动的开展计算机网络犯罪预防工作,加大打击处罚力度,保证计算机网络健康发展,使之更好的为人类的进步与发展服务。
如何把握网络技术给人们带来方便的同时,又能使信息安全得到保证,这将是我们培养新一代网络管理人员的目标。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
2011年10月
升级会员 