网络信息安全防御措施.docx
《网络信息安全防御措施.docx》由会员分享,可在线阅读,更多相关《网络信息安全防御措施.docx(10页珍藏版)》请在冰豆网上搜索。
网络信息安全防御措施
网络信息安全防御措施
专业:
计算机科学与技术
班级:
11计算机二班
学号:
110806051242
姓名:
张美玲
网络信息安全防御措施
随着我国社会经济的发展,计算机网络也迅速普及,渗透到我们生活的方方面面。
然而由于网络自身固有的脆弱和中国的网络信息技术起步比较晚使网络安全存在很多潜在的威胁。
在当今这样“数字经济”的时代,网络安全显得尤为重要,也受到人们越来越多的关注。
本文主要是从分析我国网络安全存在的问题以及解决对策两个方面入手。
“计算机安全”被计算机网络安全国际标准化组织(ISO)将定义为:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。
网络自身的原因导致的计算机网络安全问题,主要有以下的因素。
系统的安全存在漏洞所謂系统漏洞,用专业术语可以这样解释,是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误一旦被不法者或者电脑黑客利用,通过植入木马、病毒等方式可以达到攻击或控制整个电脑,从而窃取您电脑中的数据,信息资料,甚至破坏您的系统。
而每一个系统都并不是完美无缺的,没有任何一个系统可以避免系统漏洞的存在,事实上,要修补系统漏洞也是十分困难的事情。
漏洞会影响到的范围很大,他会影响到包括系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。
也就是说在这些不同的软硬件设备中都会存在不同的安全漏洞。
近年来,我国计算机的运用普及,以及在数字经济时代所作出的推动作用,网络安全也受到大家的关注。
总之网络安全并不是一个简单的技术问题,还涉及到管理的方面。
在日益发展的技术时代,网络安全技术也会不断的进步和发展。
随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。
但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
信息与网络安全的防护能力较弱。
我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站。
但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。
根据有关报告称,在网络黑客攻击的国家中,中国是最大的受害国。
我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。
我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱。
被认为是易窥视和易打击的“玻璃网”。
由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
信息犯罪在我国有快速发展趋势。
除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
由于我国的经济基础薄弱,在信息产业上的投入还是不足,特别是在核心技术及安全产品的开发生产上缺少有力的资金支持和自主创新意识。
其次,全民信息安全意识淡薄,警惕性不高。
大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
针对我国网络信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。
因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。
同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。
攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
重放攻击在任何网络通讯过程中都可能发生。
攻击者通过插入、修改、删除等手段篡改所访问或拦截的信息系统信息。
攻击者伪造信息并通过网络传送给接收者。
攻击者无休止地对网上的服务实体不断进行干扰,使其超负荷运转,执行非服务性操作,最终导致系统无法正常使用甚至瘫痪。
由于主动攻击影响信息系统的正常工作,因此容易通过检测发现,但难以预防此种行为的发生。
因此对付这种攻击的有效途径不是预防而是检测和恢复。
来自内部网用户的安全威胁内网就是局域网,它是以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。
如果将内部网和外部网相比较,来自内部网用户的威胁要远远大于外部网用户的威胁,这是由于内部网用户在使用中缺乏安全意识,例如移动存储介质的无序管理、使用盗版软件等,都是内网所存在的网络安全的隐患。
缺乏有效的手段监视网络安全评估系统所谓网络安全评估系统,用比较通俗易懂的话来说,就是对网络进行检查,看是否有会被黑客利用的漏洞。
因此如果不经常运用安全评估系统,对其进行相应的检查和作出修补,就会造成数据信息资料的外泄。
安全工具更新过慢安全工具指的是保护系统正常运行,并且有效防止数据、资料信息外泄的工具。
由于技术在不断的进步,黑客的技术也在不断的提升,如果安全工具更新过慢,黑客就会利用新的技术,对其系统存在的漏洞导致一些未知的安全隐患。
由于中国的计算机星期并且广泛的被使用是近20多年的事情,因而在这么快速的不可遏制的发展趋势下,还没有来得及形成一整套比较完整的法律法规。
这就为许多的不法分子对于信息的盗取提供了可趁之机,也就留下了许多的隐患。
保证我国计算机网络安全的对策针对上面所说到的影响因素,我们采取以下措施:
一是建立安全管理机构。
计算机网络安全系统其自身是脆弱并且存在漏洞的,但是要避免其数据资料的外泄,也并不是无计可施,比如建立安全管理机构,就可以有效的防止由于系统漏洞所带来的不良后果。
使黑客没有下手的可能。
二是安装必要的安全软件,并及时更新。
安装必要的杀毒软件,可以保证在遇到黑客攻击或者是有不良病毒入侵的时候,及时的隔离或者提醒用户,防止恶意不法分子对重要信息的窃取和访问,或者因此而带来的关于电脑的瘫痪。
三是网络系统备份和恢复。
网络系统备份是指对于重要的资料和核心数据进行备份,以保证当计算机遭遇了黑客攻击,还可以通过系统快速的恢复相关资料。
这是使用计算机应该养成的一个良好的习惯。
四是完善相应的法律规章制度。
在技术上做到防止其信息安全可能发生的同时,也应该在管理上做出相应的对策,对其建立完整,行之有效的一个制度,以保证能够在技术和管理上相得益彰的保证网络信息的安全。
2.5加强职业道德教育不管是建立安全管理机构还是安装安全软件或者资料备份,这些并不是解决网络安全的根本方法。
而只有加强计算机从业者进行道德教育,培训,增强他们的安全意识,并且对于青年人进行必要的网络安全知识的素质教育,才能做到比较切实的防患。
加强全民信息安全教育,提高警惕性。
有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
发展有自主知识产权的信息安全产业,加大信息产业投入。
增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
创造良好的信息化安全支撑环境。
完善我国信息安全的法规体系,制定相关的法律法规,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
高度重视信息安全基础研究和人才的培养。
为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
加强国际防范,创造良好的安全外部环境。
必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,加强信息网络安全。
对计算机网络安全问题采取的几点防范措施 。
网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
(1)网络信息安全在很大程度上依赖于技术的完善,包括防火墙、访问控制、入侵检测、密码、数字签名、病毒检测及清除、网络隐患扫描、系统安全监测报警等技术。
1.防火墙技术。
防火墙(firewall)是指一个由软件系统和硬件设备组合而成的,在内部网和外部网之间的界面上构造的保护屏障。
所有的内部网和外部网之间的连接都必须经过此保护层,在此进行检查和连接。
只有被授权的通信才能通过此保护层,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源,执行安全管制措施,记录所有可疑事件。
根据对数据处理方法的不同,防火墙大致可分为两大体系:
包过滤防火墙和代理防火墙。
2.访问控制技术 。
访问控制(access control)技术是对信息系统资源进行保护的重要措施,它设计的三个基本概念为:
主体、客体和授权访问。
主体是指一个主动的实体,它可以访问客体,包括有用户、用户组、终端、主机或一个应用。
客体是一个被动的实体,访问客体受到一定的限制。
客体可以是一个字节、字段、记录、程序或文件等。
授权访问是指对主题访问客体的允许,对于每一个主体和客体来说,授权访问都是给定的。
访问控制技术的访问策略通常有三种:
自主访问控制、强制访问控制以及基于角色的访问控制。
访问控制的技术与策略主要有:
入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。
3.入侵检测技术 。
入侵检测系统(intrusion detection system 简称 ids)通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
提供了对内部入侵、外部入侵和错误操作的实时保护,在网络系统受到危害之前拦截相应入侵。
4.数据加密技术 。
所谓数据加密(data encryption)技术是指将一个信息(或称明文)经过加密密钥及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密密钥还原成明文。
数据加密是网络中采用的最基本的安全技术,目的是为了防止合法接收者之外的人获取信息系统中的机密信息。
5.数字签名技术 。
数字签名(digital signature)技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送的公钥才能解密被加密的摘要信息,然后用hash函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。
如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。
6.防病毒技术 。
随着计算机网络的发展,计算机病毒从早期感染单机已发展到利用计算机网络技术进行病毒传播,其蔓延的速度更加迅速,破坏性也更为严重。
在病毒防范中普遍使用的防病毒软件,网络防病毒软件主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。
(二)人为的网络入侵和攻击行为使得网络安全面临新的挑战。
在做好技术安全防护措施的同时,也要加强对信息系统及相关人员的管理,只有技术与管理并重,信息系统才能真正做到安全防护。
首先,网络设备科学合理的管理。
对网络设备进行合理的管理,必定能增加网络的安全性。
比如将一些重要的设备尽量进行集中管理,如主干交换机、各种服务器等;对终端设备实行落实到人,进行严格管理,如工作站以及其他转接设备;对各种通信线路尽量进行架空、穿线或者深埋,并做好相应的标记等。
其次,是对网络的安全管理。
建立各项网络信息安全制度,坚持预防为主、补救为辅的原则。
制定工作岗位责任制,任务到人,责任到人,责、权、利分明,以最少的投入达到最佳安全状态。
此外还必须对管理人员进行安全管理意识培训,加强对管理员安全技术和用户安全意识的培训工作。
计算机网络信息安全是一个系统的工程,涉及技术、管理、使用等许多方面,我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
1、VPN网络的安全。
VPN(Virtual Private Network,虚拟专用网络)是一种通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络 。
它替代了传统的拨号访问,通过一个公用网络(Internet、帧中继、ATM)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,利用公网资源作为企业专网的延续,节省了租用专线的费用。
VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN也可作为电信专线(DDN、FR)备份线路,当专线出现故障时可迅速切换到VPN链路进行数据传输,确保数据无间断性地传输。
进行远程访问时,远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到总公司的防火墙或是交换机上,在实现访问信息资源的同时可节省长途拨号的费用。
当一个数据传输通道的两个端点被认为是可信的时候,安全性主要在于加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。
2.Web服务器的安全
Intranet是目前最为流行的网络技术。
利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。
Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。
因此,Web服务器的安全是不容忽视的。
而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。
SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。
SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。
目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。
要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:
密钥对(Key pair)和证书(Certificate)。
SSL使用安全握手来初始化客户机与服务器之间的安全连接。
在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。
客户机使用服务器证书验证服务器。
握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。
3.数据库的安全
在办公自动化中, 数据库在描述、存储、组织和共享数据中发挥了巨大的作用,它的安全直接关系到系统的有效性、数据和交易的完整性、保密性。
但并不是访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。
现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。
所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。
例如:
可以用TCP/IP协议从1521和1526端口访问Oracle 7.3和8数据库。
多数数据库系统还有众所周知的默认帐号和密码,可支持对数据库资源的各级访问。
从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协。
因此,要保证数据库的完整性,首先应做好备份,同时要有严格的用户身份鉴别,对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,用以跟踪和记录用户对数据库和数据库对象的操作,全方面保障数据库系统的安全。
4.网络安全防范
现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:
(1)配置防病毒软件
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。
如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。
如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。
所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(2)利用防火墙
利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(3)Web、Email的安全监测系统
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。
及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
(4)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。
面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。
解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
(5)利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。
在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。
设计一个子网专用的监听程序。
该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
总之,网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。
但由于系统中的安全隐患、黑客的攻击手段和技术在不断提高,因此我们对安全的概念要不断的扩展,安全的技术也应不断更新,这就有大量的工作需要我们去研究、开发和探索,以此才能保证我国信息网络的安全,推动我国国民经济的高速发展。
THANKS!
!
!
致力为企业和个人提供合同协议,策划案计划书,学习课件等等
打造全网一站式需求
欢迎您的下载,资料仅供参考
升级会员 