毕业论文信息安全与探究及策略湛江师范学院湛科院专本连读.docx
《毕业论文信息安全与探究及策略湛江师范学院湛科院专本连读.docx》由会员分享,可在线阅读,更多相关《毕业论文信息安全与探究及策略湛江师范学院湛科院专本连读.docx(19页珍藏版)》请在冰豆网上搜索。
毕业论文信息安全与探究及策略湛江师范学院湛科院专本连读
毕业论文信息安全与探究及策略湛江师范学院
湛科院专本连读
DOCUmentSerialnumber[LGGKGB-LGG98YT-LGGT8CB-LGUT-
1前言3
2信息安全存在的问题4
网络信息安全4
网络信息安全作为现代社会各国关注的问题它有英自己的特性4
相对性4
综合性4
产品单一性4
动态性4
不易管理性4
黑盒性5
网络信息安全隐患分析5
网络系统本身的安全隐患5
5
计算机系统的脆弱性、易欺骗性和易被监控性5
网络信息安全的特性必然导致安全问题6
网络信息可以在全球范围内传递声像6
由于信息网络的自由开放性6
网络信息安全涉及的问题6
法律政策问题6
管理问题7
技术问题7
威胁信息安全的因素7
威胁信息安全的主要途径8
计算机泄密8
8
计算机网络泄密8
人为因素泄密9
其他方式泄密10
确保网络信息安全的严峻性及重要性10
信息安全和信息加密的重要性10
3策略与防范技术10
防火墙技术11
入侵检测技术12
加密技术12
数字签名技术13
病毒防范技术14
技术15
技术15
计算机网络安全的加密技术16
1616
SSL协议提供的服务17
保证信息安全的措施19
推动信息安全产业的发展19
采取信息安全的防范措施20
关于计算机泄密的技术防范20
20
高度重视信息安全人员的素质教育20
结论21
致谢21
参考文献22
信息安全与探究及策略
黄志培湛江师范学院信息学院摘要:
随着现代计算机技术的发展和网络的普及,网络信息存储和传输安全的重要性就尤为突出。
主要对网络信息安全加以论述。
首先从总体上对信息安全进行论述.总结了信息安全所涉及的问题。
着重讨论了目前广泛研究与应用的几种网络信息安全防范技术。
关键词:
网络信息安全:
安全问题:
防范技术
InfOrmatiOllSeCUrityandexploreandStrategy
HUangZhiPei
SChOOlOfinformationSCienCeandtechnology,ZhanjiangNOrmalUniversity,
Abstract:
VViththedevelopmentOfmodernCOmPUtertechnologydevelopmentandthePOPUIariZatiOnOftheInternet9IIetWOrkinformationStOrageandtransmissionSafetyOftheSignifiCanCeOfPartiCUIarIyOUtStanding・MainIyfortheIIetWOrkinformationSafetyWereexpounded・First?
fromtheOVerallOninformationSeCUrityisdiscussed,andSUInInariZeStheinformationSeCUrityPrObIelnSinvolved・DiSCUSSedtheCIIrrentextensiveresearchandapplicationOfSeVeralnetworkinformationSeCUritytechnology.
KeyWOrds:
thenetworkinformationsafety,SeCUrityproblem;PreVeIltatiOntechnology
1前言
全球化的信息技术浪潮使整个社全发生了巨大的变化,国家的政治、经济、教育
等纷纷卷入网中,信息为他人享用成为可能,信息安全受到威胁。
如果不能保障信息安全,就不能获得信息化的效率和效益,在国际“信息战”威胁和国内外高技术犯罪的干扰下,社会生活难以有健康、有序的进行。
将信息安全放在战略高度来进行审视,是我们当询面临的十分紧迫的任务。
2信息安全存在的问题
网络信息安全
从严格意义上讲,网络信息安全就是网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改或泄露,系统连续可幕正常地运行,网络服务不中断。
网络信息安全从其本质上来讲,就是网络上的信息安全。
从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性、可控性的相关技术和理论都是网络安全的研究领域。
网络信息安全作为现代社会各国关注的问题它有其自己的特性
相对性。
网络上没有绝对的安全,只有相对的安全。
综合性。
网络安全并非一个单纯的技术层面的问题,它还涉及到管理、意识和国家法律等各个层面。
因此,网络安全是一个综合性的问题,它的各个环节紧密衔接在一起。
产品单一性。
如防黑客的产品不能用来防病毒等。
动态性。
因为网络的攻防是此消彼长,道高一尺、魔高一丈的事情。
在前一段时间看来是较为安全的问题随着黑客技术的发展也会暴露出原来未经检测到的漏洞。
需要对黑客的行为模式不断研究巴尽量作到技术上的及时跟进和维护支持。
不易管理性。
显然,安全保护越好就越不方便,然而我们不能因此放弃利用网络带来的优势。
因此投资、安全和便捷之间需要一个平衡,通过将不同技术的控制手段和管理相互结合来实现最佳效果。
黑盒性。
网络的不安全性是相对透明的,而网络安全则是黑盒性的。
网络安全工具和设备在运行时对用户是不可见的,到底能防多少黑客、系统会受到多少伤害、是否带来新的不安全因素等,包括整个安全体系都是很模糊的,用户不知如何管理。
网络信息安全隐患分析
据资料显示,全球网络信息安全问题以每年30%的速度增加,平均20秒就有一起黑客事件发生,U前全球约有80%的网站均不同程度地存在着安全隐患。
据行业主管部门佔计,中国电脑病毒的感染率高达55%以上,60%的行政事业单位的网站可以进入,经济部门中70%信息安全的设备是进口的,计算机系统的网络信息安全问题不仅会造成巨大的经济损失,其至会危及国家的安全和社会的稳定,因此网络信息安全问题在今天成为一个异常严峻的课题⑵。
网络系统本身的安全隐患
包括硬件和软件系统的安全隐患。
网络涉及的设备分布极为广泛,任何个人或部门都不可能时刻对这些设备进行全面的监控。
任何安置在不能上锁的地方的设施,包括通信线、电话线、局域网、远程网等都有可能遭到破坏,从而引起业务的中断。
如果是包含数据的软盘、光碟、主机等被盗,更会引起数据的丢失和泄露。
口前网络大都是利Internet技术构建的,同时乂与Internet相连。
Internet网的共事性和开放性使网上信息安
全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且Internet最初的设讣基本没有考虑安全问题叫因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适性。
汁算机系统的脆弱性、易欺骗性和易被监控性,加上薄弱的认证环节以及服务的缺陷和系统主机的复杂设置与控制,使得汁算机网络容易遭受到威胁和攻击。
汁算机系统一般在DOS或WindOWS操作系统下进行,其操作系统本身具有很多漏洞和缺陷;主机与终端通过各种链接而成,中间也会出现这样那样的问题。
总之资源共事和分布增加了网络受威胁、攻击的可能性
网络信息安全的特性必然导致安全问题
网络信息可以在全球范围内传递声像、图文并茂的多媒体信息,具有速度快、使用方便和难以监控的特点,因此它成为许多不法分子传播色情信息的工具与场所,色情在电脑网络可以说已到了无孔不入的地步
山于信息网络的自山开放性,任何人都可以在网络上发表作品,任何机构都无权干涉他人在网络上发表作品,因而在网络世界中剽窃抄袭他人作品发表比现实世界要容易得多,另外,信息渗透也是导致网络信息安全的一大问题,通过信息网络进行政治渗透和价值观的推销,既方便乂有效。
如最近闹得网络很热的360与QQ的斗争,可以山此引发我们对互联网的深层思考:
1)国内的互联网基本是以抄袭为生存,所以只能通过骂战的方式来让用户按照道德来选择使用,而不是通过优质的服务和高端的技术来吸引用户;2)国外的也有骂战的,比如苹果和谷歌对于移动操作系统,现在微软也加入了战团,不过他们的骂战是建立在高新的术基础之上的,别人不能够简单的模仿就能够获得成功,要想模仿就要付出巨大的成本,其至法律的制裁,他们发布的技术的好与坏是让用户来决定使用的!
对于非英语国家和发展中国家来说,使用信息网络更多地是接受信息,随着信息化的扩张,信息网络可以把发达国家的文化毫无阻碍地传播到世界最偏远的角落;这些异质文化被各国国民模仿,而各国自己古老的风俗、传统习惯、纯朴的生活方式被瓦解和同化⑷,因而电子文化更多地强化了欧美中心意识。
网络信息安全涉及的问题
汁算机网络信息安全是指利用网络管理控制技术防止网络本身及网上传输的信息被故意的或偶然的非授权泄漏、更改、破坏,或使信息被非法系统辨认、控制。
法律政策问题
要使信息安全运行、传递,需要必要的法律建设,以法制化来强化信息安全。
这主要涉及到网络规划与建设的法律,网络管理与经营的法律,信息安全的法律,用户数据的法律保护,电子资金划转的法律认证,计算机犯罪与刑事立法,计算机证据的法律效力等。
法律是信息安全的第一道防线。
管理问题
管理问题包括组织建设、制度建设和人员意识。
组织建设是指有关安全管理机构的建设。
信息安全管理包括安全规划、风险管理、应急计•划、安全教育培训,安全系统评估、安全认证等。
技术问题
影响汁算机网络环境下信息安全的技术问题包括通信安全技术和汁算机安全技术两个方面,二者共同维护信息安全。
主要有信息加密技术、信息确认技术、网络控制技术、容错汁算机技术、安全操作系统。
反病毒技术等。
威胁信息安全的因素
计算机信息安全受到的威胁包括:
黑客攻击、计算机病毒、拒绝服务攻击
(DeniaIOfSerViCeAttaCk)信息安全威胁主要表现为:
1)非授权访问:
没有预先经过同意,就使用网络或计算机资源被看作是非授权访问。
主要有假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
2)窃听:
攻击者通过监视网络数据获得敏感信息。
3)重传:
攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
4)伪造:
攻击者将伪造的信息发送给接收者。
5)篡改:
攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。
6)拒绝服务攻击:
攻击者通过某种方法使系统响应减慢其至瘫痪,阻止合法用户获得服务。
7)行为否认:
通讯实体否认已经发生的行为。
8)传播病毒:
通过网络传播讣算机病毒。
威胁信息安全的主要途径
电磁波辐射泄密
计算机是靠高频脉冲电路工作的,工作时电磁场的变化将会向外辐射电磁波,这些电磁波与汁算机所执行的操作相联系,携带着计•算机的工作信号。
如果具有相应的接收设备,就可以将电磁波接收,进行特定的技术处理,对接收的信息进行还原,就能从中窃得秘密信息。
试验表明,在1公里左右能接收和还原计算机显示终端的信息,在开阔地带距其IOO米外,用监听设备,就能收到辐射信号。
接收或译解计•算机辐射的电磁波⑸,现在已成为惜报部门的一项常用窃密技术,并已达到很高的水平。
现在大量的秘密数据和档案资料被存贮在汁算机硬盘或其他存储器里,变为磁性介质和光学介质,很容易被复制、纂改和窃取。
这些存储设备积小、容量大,一旦被盗,损失巨大。
计算机出故障时,如果存有秘密信息的硬盘不经技术处理或没有技术监督而出去修理.就有可能造成泄密。
经过数次消磁的软盘,仍有办法恢复原有记录,用户认为已经清除了磁盘上的信息,有时却被别人恢复利用。
计算机网络泄密
互联网络是一个对全世界所有国家开放的网络,任何团体和个人都可以在网上方便的传送和获取各种各样的信息。
而山于网络迅速发展和自身的安全防护能力较弱,许多应用系统处于防不胜防的状态,存在着极大的信息安全风险和隐患,人类面临着信息安全方面的巨大挑战。
汁算机联网后,传输线路大多山载波线路和微波线路构成,窃取者在网络中任意一条分支、节点、终端上进行截取,就可以获得整个网络传送的信息,网络越大,线路通道分支就越多,输送信息的区域就越广,截取信息的条件就越便利。
因此,处理涉密信息的汁算机系统与互联网连接将使该系统的安全遭受严重的威胁。
日本政府的网站及政府网页近些年来数次被偷袭,美国国家安全局的汁算机系统呈崩溃状态,设防极为严密的五角大楼仅1995年就被网络“黑客”袭击达25万次之多。
我国2002年涉嫌泄密的案件中1/3与网络有关。
山于我国基础信息产业薄弱,电脑行业严重依赖国外,我国信息安全行业面临着巨大威胁。
如果对引进的技术设备缺乏必要的管理和技术改造,就给外国的情报机构获取我国的机密信息提供了潜在的可能。
山于国外电脑硬件、软件可能隐藏着“特洛伊木马”,会在一定情况下控制网络,不但会造成电脑网络、电信系统瘫痪,而且会进入联网信息系统进行窃密。
有关人员山于不懂得汁算机及互联网会泄露秘密信息,工作时不采取任何措施,就给他人提供了窃密的机会;对汁算机硬盘、软盘管理不善,缺乏保密意识,将存有秘密信息的媒体乱放或任人随意查看,都给有意窃密者提供可乘之机;网络管理者安全保密意识不强或缺乏精湛的技术知识,造成网络管理的漏洞⑹,也将严重的威胁着整个系统安全。
外国惜报机关常常通过各种手段收买别国的计算机工作人员以窃取其秘密信息,这比利用电子监听、攻击网络等办法有利得多;一些大的集团或公司也经常利用收买对方内部工作人员的方法获取对手的机密。
如果计算机操作人员被收买,对方就可以得知计算机系统软件保密措施,获得计算机的口令和密钥,从而进入汁算机网络,窃取信息系统、数据库内的重要秘密;工作人员也可能向外直接提供秘密惜报,或给外人提供接近汁算机来装置窃密设备的机会等。
犯罪分子窃取情报的手段是很多也是非常高明的,我们自己可能想象不到。
山于我国的许多现代产品譬如电视、手机、电脑等为外国进口,这给外国人窃取信息提供可能。
它们的出现在给我们的生活带来便利的同时,也给我们的国家机密带来一些威胁。
确保网络信息安全的严峻性及重要性
随着Internet在全世界的迅猛发展和广泛应用,这一问题越来越严重。
计算机黑客的入侵,网络病毒的泛滥、保密信息的泄露、网络事故等,不仅给单位和个人造成难以弥补的经济损失,而且破坏和扰乱了正常的社会经济秩序和人们的正常工作和生活秩序,严重的其至威胁着国家政治、经济和军事安全、危及国家主权。
网络信息安全已成为亟待解决、影响国家全局和长远利益的重大关键问题。
它不但是发展信息革命带来的高效率、高效益的有力保证,而且也是对抗霸权主义、抵御信息侵略的重要保障。
网络信息安全问题如果解决不好,将全方位地危及各国政治、军事、经济、文化等各方面的安全,使国家处于信息战和经济金融风险的威胁之中。
随着信息化的不断发展,信息安全的重要性也就表现得更加突出了。
不夸张地说,信息安全在一定程度上就是国家和社会安全,就是公民利益的安全随着计算机技术和通信技术的发展,计算机网络已成为工业、农业和国防等领域信息交换的手段,但是在网络中进行信息交换时,存在诸多不安全因素,比如信息被窃听、篡改和伪造等。
一方面可以在物理方面采取一些措施,如增强物理线路和网络中间接点的安全性,另一方面,可釆取积极主动的防护措施,即对传输中的信息进行加密。
3策略与防范技术
防火墙技术
防火墙是一道介于内部网络与Internet之间起隔离以保护网络和信息安全的屏障。
它位于内网与外网之间,在内外网进行通讯时严格执行一种访问控制和安全策略的机制,过滤带有病毒或木马程序的数据包,控制不安全的服务和非法用户访问,保护网络避免基于路山的攻击,阻止攻击者进行口令探寻攻击,关闭不必要的端口。
目前防火墙常见三种类型:
包过滤防火墙、应用层网关、状态检测。
1)包过滤技术是根据数据包的源地址⑺、IJ的地址、封装协议和端口号等,来决定是否允许此数据包通过。
路山设备在完成路山选择和数据转发外,还要进行包过滤。
其优点是简单实用、成本较低。
缺点是对网络的保护有限,只能对网络层的数据包过滤,不能对网络更高层协议的信息进行分析和处理,无法阻止高层的恶意侵入。
2)应用层网关乂称为代理服务器,它位于客户机和服务器之间,完全阻挡二者间的直接数据通讯,其工作过程是:
当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取据,然后再山代理服务器将数据传输给客户机。
优点是有较好的安全访问控制,对应用层的恶意侵入很有效。
缺点是缺乏“透明度”,每种协议需要相应代理软件,工作量大,效率不高。
3)状态检测是对各层的数据进行主动、实时的检测并分析,有效地判断出各层中的非法侵入,在各种应用服务器和其他网络节点之中安置分布式探测器,不仅能检测出来自外网的攻击,而且对来自内网的恶意破坏也有极强的防范。
其工作流程是:
在网关上执行网络安全策略的软件引擎,称为检测模块,在不影响网络正常工作的前提下,采用抽取相关状态信息的方法对网络通信的各层实施监测,并动态保存状息作为以后制定安全决策的参考。
其优点:
首先,在数据链路层和网络层进行原始数据包截取和分析,安全范围大为提高;其次,数据包在低层处理,对非法包进行拦截,协议的任何上层不用再处理,提高执行
效率。
缺点是在进行记录、测试和分析信息包时可能造成网络连接的迟滞,实现成本较高,且不易管理。
入侵检测技术
入侵检测技术是对网络或汁算机系统中的若干个关键点收集信息并进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,及时报告系统有未授权访问或异常现象的技术。
作为对防火墙的补充,入侵检测能精确判断入侵事件,对入侵立即反应并及时关闭服务甚至切断链路,可以识别来自来本网段、其他网段或外部网络的全部攻击行为,提高网络信息的安全性⑻。
入侵检测作为一种积极主动的新型网络安全防护技术,通过监视网络或受保护系统的活动,检测系统配置的正确性和安全漏洞,对异常行为模式的统汁与分析,及时发现未授权或恶意的入侵,达到防范入侵行为的H的。
加密技术
黑客们常采用如Sn辻fer网络协议分析工具,轻易地在信息传输过程中获取所有信息的内容,包括账号、密码等重要信息,因此,跨越外网传输的重要数据必须加密,保证数据不被窃取。
数据加密的基本思想是改变信息的排列方式或按某种规则进行代替或置换,使得只有合法的收发双方才能理解信息的内容,对信息起保密作用。
信息的加密过程如图1所示。
图1对称加密的信息加密与解密过程
当收发双方使用的密钥Kl和K2相同时,称为对称加密。
进行对称加密时,信息的发送方通过加密算法加上密钥对明文进行加密,密文通过传输到达接收方后,接收方通过解密算法用相同的密钥对密文进行解密。
其特点是速度快,效率高,适合加密大量数据的场合。
缺点是密钥的管理和分发较复杂,安全保障差。
若n个用户使用同一个对称密钥,一旦密钥被破解,整个信息系统就会遭到毁灭性崩溃。
若n个用户用不同的对称密钥则需n(n-l)个密钥,密钥数呈平方级数增长,密钥的保密就很难保证。
代表算法DES、
3DES算法。
当Kl和K2不同时,称为不对称加密(亦称公共密钥加密)。
其原理是:
给每个用户分配一对密钥:
一个称为私有密钥,只有用户本人知道,是保密的;一个称为公共密钥,可以让其他用户知道,是公开的。
用公共密钥加密的信息只有使用相应的私有密钥才能解密;同样,用私有密钥加密的信息也只有使用相应的公共密钥才能解密,如图2所示。
不对称加密的密钥管理比对称加密简单,安全性较高,但其计算较复杂,速度慢,效率低。
代表算法是RSA⑼算法。
数字签名技术
黑客们往往通过窃听获取I」标信息后,冒名顶替合法的身份发送和接收信息,从而达到篡改信息的Ll的。
这时需用数字签名技术来防止它。
图3数字签名的处理过程
数字签名是附加在传输的数据单元上的一串数据,或是对传输的数据单元所用的密码变换,IJ的是让接收者相信数据的真实性。
数字签名机制起到了认证、核准和生效的作用,解决了信息的伪造、冒充和篡改等安全问题。
如图3所示,数字签名一般采用不对称加密技术,发送方对原始报文利用散列函数进行散列处理得到摘要,再对摘要使用只有发送方知道的私钥进行加密,得到了具有发送方数字签名的加密报文,然后把加密报文添加到原始报文中,一起传送给接收方。
接收方收到加密报文后,先使用发送方的公钥对加密报文进行解密,得到新的报文,如果新报文与刚收到的原始报文内容相同,表明报文确实是对方发送的,并没有被篡改。
病毒防范技术
汁算机病毒是指编制或者在汁算机程序中插入的破坏汁算机功能或者毁坏数据,影响讣算机使用,并能自我复制的一组计算机指令或者程序代码[1]。
2008年8月一个名为“梅勒斯变种〔逊”的病毒,通常与其他盗号木马病毒结合传播,通过挂接键盘设备驱动获取用户键盘输入的信息,侵入电脑后,用户输入的密码、账号等信息都可能被该病毒窃取,记录下来后发送给病毒制造者,从而给用户带来损失。
因此,安装杀毒软件是一个有效办法之一,它一般具有预防病毒、检测病毒、清除病毒的功能。
IJ前快速更新病毒库和增强杀毒软件自行识别新病毒的能力是作为防范病毒攻击的两种较为有效方法[2]。
同时也要对操作系统及时打补丁。
技术
VLAN技术是一种将局域网设备从逻辑上划分一个个网段,从而实现虚拟工作组的数据交换技术。
VLA\的实现方法大致分六类:
基于端口划分、基于MAC地址划分、基于网络层协议划分、基于IP组播划分、按策略划分、按用户定义非用户授权划分。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
通过多划分儿个基于端口的VLAN,缩小广播范围,有效控制广播风暴的产生,从而提高整个网络的整体性能。
增加VLAN的数量,在抵御网络病毒传播上也有很大作用,通过在各个VLAN之间设置访问控制列表来实现包的过滤,当某一VLAN中有主机出现网络病毒传播时,也只能影响到其所在的VLAX,即VLAX之间相互隔离通信,对整个网络不会有太大的影响,大大提高了网络信息的安全性[3]。
技术
虚拟专用网(VirtaIPriVateNetWOrkB∣JVPX),是一条穿过混乱的公用网络的安全、稳定的隧道。
通过对网络数据的封包和加密传输,在一个公用网络(通常是互联网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别。
VPN技术的核心是采用隧道技术。
隧道技术是指用一种网络协议来传输另一种网络协议的数据单元,主要是用网络隧道协议来实现这种功能。
网络隧道协议主要有两种:
一种是第二层的隧道协议(如L2TP),它建立一个点到点协议访问服务隧道。
另一种是第三层隧道协议(如IPSec),主要用于IP网上两点之间数据的加密,它包括查验、加密和数据完整性功能[6]。
将内部网络的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据被窃取。
计算机网络安全的加密技术
汁算机网络安全通信有四项基本需求:
・数据保密:
山于系统无法确认是否有XX的用户截取网络上的数据,因此需要对数据进行保密,即对数据进行加密。
・数据完整性:
系统需要采用数据加密和校验方法来确认送到网络上的数据在传输过程中没有被篡改
・身份验证:
系统需要对网络上的用户进行验证,通过握手和数据加密来验证用户身份