论文网络信息安全和应对策略.docx
《论文网络信息安全和应对策略.docx》由会员分享,可在线阅读,更多相关《论文网络信息安全和应对策略.docx(8页珍藏版)》请在冰豆网上搜索。
论文网络信息安全和应对策略
网络信息安全及对策
2马云波计本一班
摘要:
如今,随着互联网的发展,它正以惊人的速度彻底地改变着人们的工作效率和生活方式,通过它,人们可以方便快捷地完成许多的商务和政务,使信息共享使用日益广泛和深入,由于互联网的开放性和匿名性,不可避免的存在许多安全隐患,企业的信息在公共网络上传输,可能会被非法窃听、截取、篡改或破坏,而造成不可估量的损失。
然而不仅仅是商业,更涉及到国家的军政文教等诸多领域,难免不会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题甚至上升至国家安全问题的高度。
关键字:
互联网,信息,安全
一、网络信息安全存在的问题
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统能连续可靠地运行,网络服务不中断。
网络信息安全性的含义主要是信息的完整性、可用性、保密和可靠。
信息安全问题丰要体现在以下三个方面:
1、安全协议问题。
目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。
此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
2、防病毒问题。
互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,如何有效防范病毒也是一个十分紧迫的问题。
3、服务器的安全问题。
装有大量使用软件和用户信息的系统服务器是互联网络的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
二、信息安全技术
有了制度,就有了根基。
互联网信息安全在很大程度上依赖于技术的完善,这些技术包括:
密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、数字认证、网络隐患扫描技术、制定各种安全协议等。
1、常用的信息安全技术有如下几种
(1)、防火墙技术:
防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。
防火墙的安全策略有两条。
一是“凡是未被准许的就是禁止的”。
防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。
网络是动态发展的,安全策略的制定不应建立在静态的基础之上。
在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:
安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录和统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定和执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三:
一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。
由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
(2)、加密技术:
数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。
数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。
通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。
当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。
对称加密技术是在加密和解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。
它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。
非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。
它的保密度依赖于从公开的加密密钥或密文和明文的对照推算解密密钥在计算上的不可能性。
算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。
一是链路加密技术。
链路加密是对通信线路加密;二是节点加密技术。
节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
(3)、访问控制:
①身份验证:
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。
身份验证主要包括验证依据、验证系统和安全要求。
身份验证技术是在计算机中最早使用的安全技术,现在也仍在广泛使用,它是互联网信息安全的第一道屏障。
②存取控制:
存取控制规定何种主体对何种客体具有何种操作权力。
存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。
存取控制也是最早采用的安全技术之一,它一般和身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
三、宏观信息安全应对策略
1、首先应该立足本位。
利用防火墙来阻止网络攻击、加强教育和宣传、建立、健全法律和管理制度,建立一个实时有效的安全管理机构,把网络信息遭受的损失减小到最低限度,从而确保实现网络信息的安全。
接着进一步制定健全的管理制度,最大限度地避免别有用心的人利用网络的漏洞,恶意攻击网络。
2、加强网络安全管理。
我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,有效统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
3、加快网络安全专业人才的培养。
要注重加强和国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
4、把好网络建设立项关。
在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
5、强化网络技术创新。
如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。
为了建立起我国自主的信息安全技术体系,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,构筑具有中国特色的信息安全体系。
四、个体信息安全应对策略
1、提高安全意识。
不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
2、使用防毒、防黑等防火墙软件。
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。
在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3、设置代理服务器,隐藏自己的IP地址。
保护自己的IP地址是很重要的。
事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。
代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。
当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。
4、将防毒、防黑当成日常例性工作。
定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
5、提高警惕。
由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。
6、备份资料。
对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
五、国外面对网络威胁采取的对策
鉴于当前世界网络面临如此多的安全隐患,世界各国均十分重视,纷纷采取对策。
下面节选国外信息安全相关文献,仅供大家参考:
NewSecurityTechniques
(1)
Therunningbattlebetweenhackersandnetworksecurityprofessionalshasmovedbeyondtheperimeterfirewalltohand-to-handcombatatindividualWebandcorporateservers.
AndnewsecurityweaponshaveemergedthatuseingeniousmethodstoprotectWebsitesandcorporatenetworksfromexternalandinternalsecuritythreats.Herearesomeofthelatesttoolsatyourdisposal.
安全新技术
(1)
黑客和网络安全专业人士之间方兴未艾的战斗已经超出了防火墙的范围,进入了在各个网站和公司服务器上面对面的格斗。
利用独创的方法保护网站和公司网络不受外部和内部的安全威胁的新颖安全武器已经出现。
下面是几个最新的(安全)工具,供您选用:
●Noexit
GilianG-ServerdoesncarehowthehackergotinorwhatchangestheymayhavemadetoyourWebsite.GilianExitControltechnologypreventstheworldfromseeingtheconsequencesofasecuritybreach.
GilianG-ServersitsbetweentheWebserverandtherouterorfirewallthatconnectstheWebservertotheInternet,inspectingeverypieceofcontentthatgoesout.TheExitControlG-ServercontainsacollectionofdigitalsignaturesmadefromauthorizedWebcontentduringthepublicationprocess.
Eachtimethesitecontentproducerspublishaneworrevisedobject,theG-Serversavesadigitalbackupoftheobjectalongwithadigitalsignature.
Signaturesthatdon’tmatchsenduparedflagwhichtriggerstheG-Servertoimmediatelyreplaceaboguspagewithasecurearchivedcopyoftheoriginal,whilesimultaneouslyalertingappropriatepersonal.
Tripwire,Inc.TripwireforServersisasimilardataandnetworkintegrityproduct.However,TripwireforServerstakesadifferentapproach——itssoftwareisloadedontotheserverthatyouwanttoprotect.Itmonitorsallfilechanges,whethertheyoriginatefrominsideoroutsidethecompany,andreportsbackifachangeviolatespredeterminedpolicies.
●无出口
Gilian公司的G-Server不管黑客是如何攻入的或者对您的网站或者可能做了哪些修改。
Gilian公司的出口控制技术防止外界看到安全漏洞的后果。
Gilian公司的G-Server位于网站服务器和将网站服务器和因特网相连的路由器或防火墙之间,它检查送出的每一条内容。
采用出口控制技术的G-Server含有数字签名的集合,这些签名是在发表过程中从批准的网站内容中产生的。
每次网站的内容生成者发表新的或修改的对象,G-Server就对该对象和数字签名一起做一个数字备份。
签名不匹配就亮出一面红旗,并触发G-Server马上用原件存档的安全副本替换虚假页面,同时立即向有关人员报警。
Tripwire公司的TripwireforServers是一个类似的数据和网络完整性产品。
但它采用了不同的方法——软件被装载到您要保护的服务器中。
它监视所有文件的变化,不管这些文件最初是来自公司的内部还是外部,如果一个变化破坏了预定的政策,还将(向有关人士)报告。
●DemolishingDoSattacks
Perhapsoneofthenewestcategoriesofsecurityisproductsthattargetdenial-of-service(DoS)attacksandmore.Bydefinition,DoSattacksmakecomputersystemsinaccessiblebyexploitingsoftwarebugsoroverloadingserversornetworkssothatlegitimateuserscannolongeraccessthoseresources.Theproductcategoryissonewthatsomeproductsarestillinbetatestoronthecuspofenteringthemarketplace.
Goingafteroneofthemostmalicioustypesofcomputervandalism,theDoSattack,areArborNetworks,ofWaltham,Mass.;MazuNetworks,ofCambridge,Mass.;andAstaNetworksinSeattle.
Mazu’ssolutiontodistributedDoSattacksworksviaintelligenttrafficanalysisandfilteringacrossthenetwork.Amonitoringdevice,suchasapacketsnifferorpacketanalyzer,evaluatespacketsonthenetworkatspeedsupto1Gbit/sec.Amonitoringdevicethendetermineswhichtrafficneedstobefilteredout.
●粉碎拒绝服务(DoS)攻击
也许最新的一类安全产品是针对拒绝服务(DoS)攻击和其他攻击的。
根据定义,DoS攻击是利用软件的漏洞或者造成服务器或网络过载而不让合法用户访问计算机系统资源。
此类产品非常新,以至于有的产品还在做beta测试,或者处于即将投放市场的当口。
针对最有恶意的破坏计算机方式之一的拒绝服务攻击,提供(保护)产品的供应商有麻省沃尔瑟姆市的Arbor网络公司、麻省坎布里奇市的Mazu网络公司和西雅图的Asta网络公司。
针对分布式拒绝服务攻击的Mazu解决方案,是通过智能流量分析和整个网络过滤而起作用的。
监视设备,如包嗅探器或包分析器,以高达每秒1G的速度鉴定网上的包。
然后,监视设备决定哪些流量需要被过滤掉。
六、结束语
信息安全是互联网发展的基础,随着网络技术的发展,信息安全技术使用和安全管理策略将不断改进提高。
互联网的安全运行,仅从技术角度防范是远远不够的,还需要健全的法制环境,建立规范的法律体系,制定统一的规范。
相信随着时间的推移,网络所带来的好处必然将远远超过它所带来的风险。
七、后记
感谢导师张明老师,他治学严谨,在繁重的行政事务下,对我们给予悉心指导、提供无微不至的帮助,这一点将永远铭记在心。
参考文献
1、《现行主要网络安全技术介绍》
2、《网络安全典型产品介绍》
3、《防火墙概念和访问控制列表》
4、《赛迪网技术使用》
5、《加密技术的方方面面》
6、《我国信息安全及其技术研究》
7、《世界主要国家信息安全的发展动向》
8、《Intemet上的信息安全保护技术》
升级会员 