網(wǎng)絡(luò)信息安全對(duì)策研究論文
時(shí)間:2022-09-09 08:24:00
導(dǎo)語(yǔ):網(wǎng)絡(luò)信息安全對(duì)策研究論文一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
摘要:信息科技的高速發(fā)展,給人們生活帶來(lái)極大便利的同時(shí),也給許多部門和單位帶來(lái)了極大的風(fēng)險(xiǎn)。本文主要探討了網(wǎng)絡(luò)信息安全中存在的威脅,并提出了相應(yīng)的應(yīng)對(duì)措施。
關(guān)鍵字:網(wǎng)絡(luò)信息安全黑客病毒
一、網(wǎng)絡(luò)信息安全概述
信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù),以實(shí)現(xiàn)電子信息的保密性、完整性、可用性和可控性。當(dāng)今信息時(shí)代,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而,由于計(jì)算機(jī)網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽,致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對(duì)侵襲網(wǎng)絡(luò)安全的種種威脅,必須考慮信息的安全這個(gè)至關(guān)重要的問(wèn)題。
網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全,即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全,即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全,包括數(shù)據(jù)加密、備份、程序等。
(一)網(wǎng)絡(luò)信息安全的內(nèi)容
1.硬件安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬設(shè)施不受損害,能夠正常工作。
2.軟件安全。即計(jì)算機(jī)及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會(huì)失效,不被非法復(fù)制。
3.運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè),發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài),保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。
4.數(shù)據(jù)安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的女全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。
(二)網(wǎng)絡(luò)信忽安全的目標(biāo)
1.保密性。保密性是指信息不泄露給非授權(quán)人、實(shí)休和過(guò)程,或供其使用的特性。
2.完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問(wèn)并能按要求順序使用信息的特性,即保證合法用戶在需要時(shí)可以訪問(wèn)到信息
4.可控性。可控性是指授權(quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性,可以控制授權(quán)范圍內(nèi)的信息流向以及方式。
5.可審查性。在信息交流過(guò)程結(jié)束后,通信雙方不能抵賴曾經(jīng)做出的行為,也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。
二、網(wǎng)絡(luò)信息安全面臨的問(wèn)題
1.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷
因特網(wǎng)的基石是TCP/IP協(xié)議簇,該協(xié)議簇在實(shí)現(xiàn)上力求效率,而沒(méi)有考慮安全因素,因?yàn)槟菢訜o(wú)疑增大代碼量,從而降低了TCP/IP的運(yùn)行效率,所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。很容易被竊聽和欺騙:大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的,電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問(wèn)題,這很容易被一些對(duì)TCP/IP十分了解的人所利用,一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。缺乏安全策略:許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限,忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用,黑客從一些服務(wù)中可以獲得有用的信息,而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性:訪問(wèn)控制的配置一般十分復(fù)雜,所以很容易被錯(cuò)誤配置,從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現(xiàn)在,銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的,這樣就可以有效地防止入侵。當(dāng)然,人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密,這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。
2.黑客攻擊手段多樣
進(jìn)人2006年以來(lái),網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法,用形同互聯(lián)網(wǎng)黃頁(yè)的域名系統(tǒng)服務(wù)器來(lái)發(fā)動(dòng)攻擊,擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下,常見的拒絕服務(wù)攻擊方式主要有兩種,一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對(duì)服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網(wǎng)絡(luò)流量急速提高,導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰,或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。
調(diào)查資料顯示,2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往,而且來(lái)源不是被綁架的“僵尸”電腦,而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo),目標(biāo)系統(tǒng)不論是網(wǎng)頁(yè)服務(wù)器、域名服務(wù)器,還是電子郵件服務(wù)器,都會(huì)被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來(lái)的巨量信息給淹沒(méi)。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理,借以切斷攻擊目標(biāo)對(duì)外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡(luò),把大量的查詢要求傳至開放的DNS服務(wù)器,這些查詢信息會(huì)假裝成被巨量信息攻擊的目標(biāo)所傳出的,因此DNS服務(wù)器會(huì)把回應(yīng)信息傳到那個(gè)網(wǎng)址。
美國(guó)司法部的一項(xiàng)調(diào)查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權(quán)用戶或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認(rèn)證環(huán)境下,外來(lái)攻擊者僅憑盜取的相關(guān)用戶身份憑證就能以任何臺(tái)設(shè)備進(jìn)人網(wǎng)絡(luò),即使最嚴(yán)密的用戶認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外,由于企業(yè)員工可以通過(guò)任何一臺(tái)未經(jīng)確認(rèn)和處理的設(shè)備,以有效合法的個(gè)人身份憑證進(jìn)入網(wǎng)絡(luò),使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘,嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。
有資料顯示,最近拉美國(guó)家的網(wǎng)絡(luò)詐騙活動(dòng)增多,作案手段先進(jìn)。犯罪活動(dòng)已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”,網(wǎng)上詐騙活動(dòng)日益增多。
3.計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是專門用來(lái)破壞計(jì)算機(jī)正常工作,具有高級(jí)技巧的程序。它并不獨(dú)立存在,而是寄生在其他程序之中,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)空間的廣泛運(yùn)用,病毒的種類急劇增加。目前全世界的計(jì)算機(jī)活體病毒達(dá)14萬(wàn)多種,其傳播途徑不僅通過(guò)軟盤、硬盤傳播,還可以通過(guò)網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中日常監(jiān)測(cè)結(jié)果來(lái)看,計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。據(jù)2001年調(diào)查,我國(guó)約73%的計(jì)算機(jī)用戶曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用戶高達(dá)59%,而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%,破壞部分?jǐn)?shù)據(jù)的占57%。只要帶病毒的電腦在運(yùn)行過(guò)程中滿足設(shè)計(jì)者所預(yù)定的條件,計(jì)算機(jī)病毒便會(huì)發(fā)作,輕者造成速度減慢、顯示異常、丟失文件,重者損壞硬件、造成系統(tǒng)癱瘓。
三、保障網(wǎng)絡(luò)信息安全的對(duì)策
1.安全通信協(xié)議和有關(guān)標(biāo)準(zhǔn)。
在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域,安全通信協(xié)議提供了一種標(biāo)準(zhǔn),基于這些標(biāo)準(zhǔn),企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有SSL(TLS)、IPsec和S/MIME
SSL提供基于客戶/服務(wù)器模式的安全標(biāo)準(zhǔn),SSL(TLS)在傳輸層和應(yīng)用層之間嵌入一個(gè)子層,主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制,提供面向連接的保護(hù);IP安全協(xié)議(IPsec)提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn),在網(wǎng)絡(luò)層實(shí)現(xiàn),IPsec能夠保護(hù)整個(gè)網(wǎng)絡(luò);S/MIME在應(yīng)用層提供對(duì)信息的安全保護(hù),主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務(wù),但是他們的具體應(yīng)用范圍是不同的,在實(shí)際應(yīng)用中,應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。
2.防火墻技術(shù)
防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過(guò)這一保護(hù)層接受檢查過(guò)濾,只有被授權(quán)的通信才允許通過(guò)。防火墻的安全意義是雙向的,一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn),另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問(wèn)。同時(shí),防火墻還可以對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì),對(duì)可疑動(dòng)作告警,以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種,一
種是分組過(guò)濾技術(shù),一種是服務(wù)技術(shù)。分組過(guò)濾基于路由器技術(shù),其機(jī)理是由分組過(guò)濾路由器對(duì)IP分組進(jìn)行選擇,根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過(guò)濾掉某些IP地址分組,從而保護(hù)內(nèi)部網(wǎng)絡(luò)。服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為服務(wù)器,對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查,然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。
3.訪問(wèn)拉制技術(shù)
訪問(wèn)控制根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限,即按事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法,當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí),該機(jī)制將拒絕這一企圖,其主要通過(guò)注冊(cè)口令、用戶分組控制、文件權(quán)限控制三個(gè)層次完成。此外,審計(jì)、日志、入侵偵察及報(bào)警等對(duì)保護(hù)網(wǎng)絡(luò)安全起一定的輔助作用,只有將上述各項(xiàng)技術(shù)很好地配合起來(lái),才能為網(wǎng)絡(luò)建立一道安全的屏障。
4.PKI技術(shù)
PKI是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái),能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理,從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境,從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里,能夠確認(rèn)彼此的身份和所交換的信息,能夠安全地從事商務(wù)活動(dòng)。目前,PKI技術(shù)己趨于成熟,其應(yīng)用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域,許多企業(yè)和個(gè)人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。
在PKI體系中,CA(CertificateAuthority,認(rèn)證中心)和數(shù)字證書是密不可分的兩個(gè)部分。認(rèn)證中心又叫CA中心,它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié),因此又稱作PKI/CA。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu),上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書,最下一級(jí)的認(rèn)證中心直接面向最終用戶。
數(shù)字證書,又叫“數(shù)字身份證”、“數(shù)字ID”,是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的,包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件,可以用來(lái)證明數(shù)字證書持有者的真實(shí)身份。
參考文獻(xiàn):
李俊宇.信息安全技術(shù)基礎(chǔ)冶金工業(yè)出版社.2004.12
王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào),第19卷第2期.2005
何萬(wàn)敏.網(wǎng)絡(luò)信息安全與防范技術(shù)甘肅農(nóng)業(yè).2005年第1期
黃慧陳閡中.針對(duì)黑客攻擊的預(yù)防措施計(jì)算機(jī)安全.2005