網(wǎng)絡(luò)信息安全及應(yīng)對策略

1、網(wǎng)絡(luò)信息安全及對策 201107010118 馬云波 計本一班 摘要 : 如今, 隨著互聯(lián)網(wǎng)的發(fā)展，它正以驚人的速度徹底地改變著人 們的工作效率和生活方式， 通過它， 人們可以方便快捷地完成許多的 商務(wù)和政務(wù) , 使信息共享應(yīng)用日益廣泛與深入，由于互聯(lián)網(wǎng)的開放性 和匿名性， 不可避免的存在許多安全隱患， 企業(yè)的信息在公共網(wǎng)絡(luò)上 傳輸, 可能會被非法竊聽、截取、篡改或破壞，而造成不可估量的損 失。然而不僅僅是商業(yè)，更涉及到國家的軍政文教等諸多領(lǐng)域，難免 不會吸引來自世界各地的各種人為攻擊 （ 例如信息泄漏、信息竊取、 數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等） 。通常利用計算機犯罪很難留 下犯罪證據(jù)，

2、這也大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。 計算機 犯罪率的迅速增加， 使各國的計算機系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大 的威脅，并成為嚴重的社會問題甚至上升至國家安全問題的高度。 關(guān)鍵字 : 互聯(lián)網(wǎng)，信息 , 安全一、網(wǎng)絡(luò)信息安全存在的問題 網(wǎng)絡(luò)信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、 軟件及其系統(tǒng)中的數(shù)據(jù)受到 保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)能 連續(xù)可靠地運行， 網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)信息安全性的含義主要是信 息的完整性、可用性、保密和可靠。信息安全問題豐要體現(xiàn)在以下三 個方面：1、安全協(xié)議問題。 目前安全協(xié)議還沒有全球性的標準和規(guī)范 , 相對制約了國際性的商務(wù)活動。 此外，在安全

3、管理方面還存在很大隱 患，普遍難以抵御黑客的攻擊 .2、防病毒問題。 互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的 媒介，不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑， 如何有效防范病 毒也是一個十分緊迫的問題。3、服務(wù)器的安全問題。 裝有大量應(yīng)用軟件和用戶信息的系統(tǒng)服 務(wù)器是互聯(lián)網(wǎng)絡(luò)的核心， 所以服務(wù)器特別容易受到安全的威脅， 并且 一旦出現(xiàn)安全問題，造成的后果會非常嚴重。二、信息安全技術(shù) 有了制度，就有了根基。 互聯(lián)網(wǎng)信息安全在很大程度上依賴于技 術(shù)的完善，這些技術(shù)包括 : 密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信 息流控制技術(shù)、 數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、 數(shù)字認證、網(wǎng)絡(luò)隱患掃描

4、技術(shù)、制定各種安全協(xié)議等。1、常用的信息安全技術(shù)有如下幾種 （ 1）、防火墻技術(shù)：防火墻 （Firewall） 是近年來發(fā)展的最重要的安全技術(shù)， 它的主要功能是加強 網(wǎng)絡(luò)之間的訪問控制， 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進 入內(nèi)部網(wǎng)絡(luò)（被保護網(wǎng)絡(luò)） 。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包 和鏈接方式按照一定的安全策略對其進行檢查 , 來決定網(wǎng)絡(luò)之間的通 信是否被允許 , 并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。防火墻的安全策略有兩條。 一是“凡是未被準許的就是禁止的 " 。 防火墻先是封閉所有信息流 , 然后審查要求通過的信息，符合條件的 就讓通過； 二是“凡是未被禁止的就是允許的”， 防火墻先是轉(zhuǎn)

5、發(fā)所 有的信息，然后再逐項剔除有害的內(nèi)容，被禁止的內(nèi)容越多，防火墻 的作用就越大。 網(wǎng)絡(luò)是動態(tài)發(fā)展的， 安全策略的制定不應(yīng)建立在靜態(tài) 的基礎(chǔ)之上。 在制定防火墻安全規(guī)則時， 應(yīng)符合“可適應(yīng)性的安全管 理”模型的原則， 即：安全=風險分析 +執(zhí)行策略 +系統(tǒng)實施 +漏洞監(jiān)測 +實時響應(yīng)。防火墻技術(shù)的優(yōu)點很多 , 一是通過過濾不安全的服務(wù) ,極大地提 高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險； 二是可以提供對系統(tǒng)的訪問控 制；三是可以阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息； 四是防火墻 還可以記錄與統(tǒng)計通過它的網(wǎng)絡(luò)通信，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù) 據(jù)，根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測 ; 五是防火墻提供制定

6、與 執(zhí)行網(wǎng)絡(luò)安全策略的手段 , 它可以對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管 理。防火墻技術(shù)的不足有三 : 一是防火墻不能防止繞過防火墻的攻擊 二是防火墻經(jīng)不起人為因素的攻擊。 由于防火墻對網(wǎng)絡(luò)安全實施單點 控制，因此可能受到黑客的攻擊 ; 三是防火墻不能保證數(shù)據(jù)的秘密性， 不能對數(shù)據(jù)進行鑒別，也不能保證網(wǎng)絡(luò)不受病毒的攻擊。(2 )、加密技術(shù) :數(shù)據(jù)加密被認為是最可靠的安全保障形式 ,它可 以從根本上滿足信息完整性的要求， 是一種主動安全防范策略。 數(shù)據(jù) 加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的 密文數(shù)據(jù)。通過使用不同的密鑰，可用同一加密算法，將同一明文加 密成不同的密文。當需要時可使

7、用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)， 稱為解密 .密鑰加密技術(shù)分為對稱密鑰加密和非對稱密鑰加密兩類。 對稱加 密技術(shù)是在加密與解密過程中使用相同的密鑰加以控制， 它的保密度 主要取決于對密鑰的保密。它的特點是數(shù)字運算量小，加密速度快 , 弱點是密鑰管理困難，一旦密鑰泄露，將直接影響到信息的安全。非 對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制， 加 密密鑰是公開的， 解密密鑰是保密的。 它的保密度依賴于從公開的加 密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性 . 算法 的核心是運用一種特殊的數(shù)學函數(shù)單向陷門函數(shù)， 即從一個方向 求值是容易的 , 但其逆向計算卻很困難，從而在實

8、際上成為不可能。 除了密鑰加密技術(shù)外， 還有數(shù)據(jù)加密技術(shù) .一是鏈路加密技術(shù) . 鏈路加 密是對通信線路加密； 二是節(jié)點加密技術(shù)。 節(jié)點加密是指對存儲在節(jié) 點內(nèi)的文件和數(shù)據(jù)庫信息進行的加密保護。(3)、訪問控制：身份驗證：身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。 身份驗證主要包括驗證依據(jù)、 驗 證系統(tǒng)和安全要求。 身份驗證技術(shù)是在計算機中最早應(yīng)用的安全技術(shù) 現(xiàn)在也仍在廣泛應(yīng)用，它是互聯(lián)網(wǎng)信息安全的第一道屏障 . 存取控 制：存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。 存取控制 是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標識、權(quán)限控 制、類型控制和風險分析 . 存

9、取控制也是最早采用的安全技術(shù)之一， 它一般與身份驗證技術(shù)一起使用 , 賦予不同身份的用戶以不同的操作 權(quán)限，以實現(xiàn)不同安全級別的信息分級管理。三、宏觀信息安全應(yīng)對策略1、首先應(yīng)該立足本位。利用防火墻來阻止網(wǎng)絡(luò)攻擊、加強教育和宣傳、建立、 健全法律和管理制度，建立一個實時有效的安全管理 機構(gòu), 把網(wǎng)絡(luò)信息遭受的損失減小到最低限度，從而確保實現(xiàn)網(wǎng)絡(luò)信 息的安全。 接著進一步制定健全的管理制度， 最大限度地避免別有用 心的人利用網(wǎng)絡(luò)的漏洞，惡意攻擊網(wǎng)絡(luò) .2、加強網(wǎng)絡(luò)安全管理 . 我國網(wǎng)絡(luò)安全管理除現(xiàn)有的部門分工外， 要建立一個具有高度權(quán)威的信息安全領(lǐng)導機構(gòu)， 有效統(tǒng)一、 協(xié)調(diào)各部 門的職能，研究未

10、來趨勢，制定宏觀政策，實施重大決定。3、加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。要注重加強與國外的經(jīng)驗技 術(shù)交流，及時掌握國際上最先進的安全防范手段和技術(shù)措施 , 確保在 較高層次上處于主動。4、把好網(wǎng)絡(luò)建設(shè)立項關(guān)。在對網(wǎng)絡(luò)的開放性、適應(yīng)性、成熟性、 先進性、靈活性、易操作性、可擴充性綜合把關(guān)的同時，在立項時更 應(yīng)注重對網(wǎng)絡(luò)的可靠性、安全性評估，力爭將安全隱患杜絕于立項、 決策階段。5、強化網(wǎng)絡(luò)技術(shù)創(chuàng)新 . 如果在基礎(chǔ)硬件、芯片方面不能自主 , 將 嚴重影響我們對信息安全的監(jiān)控。 為了建立起我國自主的信息安全技 術(shù)體系，需要以我為主，統(tǒng)一組織進行信息安全關(guān)鍵技術(shù)攻關(guān)，以創(chuàng) 新的思想 , 構(gòu)筑具有中國特色的

11、信息安全體系。四、個體信息安全應(yīng)對策略1、提高安全意識。不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序；盡量避免從 Internet 下載 不知名的軟件、游戲程序；密碼設(shè)置盡可能使用字母數(shù)字混排 , 單純 的英文或者數(shù)字很容易窮舉； 及時下載安裝系統(tǒng)補丁程序； 不隨便運 行黑客程序，不少這類程序運行時會發(fā)出你的個人信息。2、使用防毒、防黑等防火墻軟件。防火墻是一個用以阻止網(wǎng)絡(luò) 中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進 / 出兩個方向 通信的門檻 . 在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來 隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。3、設(shè)置代理服務(wù)器，

12、隱藏自己的 IP 地址。保護自己的 IP 地址 是很重要的。事實上，即便你的機器上被安裝了木馬程序 , 若沒有你 的 IP 地址，攻擊者也是沒有辦法的， 而保護 IP 地址的最好方法就是 設(shè)置代理服務(wù)器。 代理服務(wù)器能起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中 間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器 , 它主要控制哪些用戶能 訪問哪些服務(wù)類型 . 當外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請某種網(wǎng)絡(luò)服務(wù)時，代 理服務(wù)器接受申請，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對 象、服務(wù)者申請的時間、 申請者的域名范圍等來決定是否接受此項服 務(wù), 如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項請求。4、將防毒、防黑當成日常例性工作。定時更新防毒

13、組件，將防 毒軟件保持在常駐狀態(tài)，以徹底防毒。5、提高警惕。由于黑客經(jīng)常會針對特定的日期發(fā)動攻擊，計算 機用戶在此期間應(yīng)特別提高警戒。6、備份資料。對于重要的個人資料做好嚴密的保護 , 并養(yǎng)成資料 備份的習慣 .五、國外面對網(wǎng)絡(luò)威脅采取的對策鑒于當前世界網(wǎng)絡(luò)面臨如此多的安全隱患 , 世界各國均十分重視 紛紛采取對策 .下面節(jié)選國外信息安全相關(guān)文獻 , 僅供大家參考 : New Security Techniques（1 ）The running battle between hackers and network security professionals has moved beyond

14、the perimeter firewall to hand-to hand combat at individual Web andcorporate servers And new security weapons have emerged that use ingenious methods to protect Web sites and corporate networks from external and internal security threats Here are some of thelatest tools at your disposal 。安全新技術(shù)（ 1） 黑

15、客與網(wǎng)絡(luò)安全專業(yè)人士之間方興未艾的戰(zhàn)斗已經(jīng)超出了防火墻的 范圍，進入了在各個網(wǎng)站和公司服務(wù)器上面對面的格斗。利用獨創(chuàng)的方法保護網(wǎng)站和公司網(wǎng)絡(luò)不受外部和內(nèi)部的安全威脅的 新穎安全武器已經(jīng)出現(xiàn) . 下面是幾個最新的（安全）工具，供您選用： No exitGilian G Server doesn care how the hacker got in or what changes they mayhave madeto your Website Gilian Exit Control technology prevents the world from seeing the consequence

16、s of a security breach Gilian G-Server sits between the Web server and the router or firewall that connects the Web server to the Internetinspectingevery piece of content that goes out。The ExitControl GServer contains a collection of digital signatures made from authorized Web content during the pub

17、lication process Each time the site content producers publish a new or revised object ，the G-Server saves a digital backup of the object along with a digital signature.Signatures that don't match send up a red flag which triggers the G-Server to immediately replace a bogus page with a secure arc

18、hived copy of the original ，while simultaneously alerting appropriate personal Tripwire ，Inc. Tripwire for Servers is a similar data and network integrity product However,Tripwire for Servers takes a different approach - its software is loaded onto the server that you want to protect It monitors all

19、 file changes,whether they originate from inside or outside the company，and reports back if a change violates predetermined policies. 無出口Gilian 公司的 GServer 不管黑客是如何攻入的或者對您的網(wǎng)站或 者可能做了哪些修改。 Gilian 公司的出口控制技術(shù)防止外界看到安 全漏洞的后果。Gilian 公司的 G-Server 位于網(wǎng)站服務(wù)器和將網(wǎng)站服務(wù)器與因特網(wǎng)相 連的路由器或防火墻之間， 它檢查送出的每一條內(nèi)容。 采用出口控制 技術(shù)的 G-Serv

20、er 含有數(shù)字簽名的集合，這些簽名是在發(fā)表過程中從 批準的網(wǎng)站內(nèi)容中產(chǎn)生的。每次網(wǎng)站的內(nèi)容生成者發(fā)表新的或修改的對象 ,G-Server 就對該對象 和數(shù)字簽名一起做一個數(shù)字備份 .簽名不匹配就亮出一面紅旗，并觸發(fā) G-Server 馬上用原件存檔的安 全副本替換虛假頁面，同時立即向有關(guān)人員報警。Tripwire 公司的 Tripwire for Servers 是一個類似的數(shù)據(jù)與網(wǎng)絡(luò)完 整性產(chǎn)品。但它采用了不同的方法軟件被裝載到您要保護的服務(wù) 器中. 它監(jiān)視所有文件的變化，不管這些文件最初是來自公司的內(nèi)部 還是外部，如果一個變化破壞了預定的政策，還將（向有關(guān)人士）報 告. Demolishi

21、ng DoS attacksPerhaps one of the newest categories of security is productsthat target denial of-service （DoS） attacks and more 。 By definition ， DoS attacks makecomputer systems inaccessible by exploiting software bugs or overloading servers or networks so that legitimate users can no longer access

22、those resources。The product category is so new that someproducts are still in beta test or on the cusp of entering the marketplace。Going after one of the most malicious types of computer vandalism, the DoS attack ， are Arbor Networks, of Waltham,Mass。； Mazu Networks, of Cambridge， Mass。； and Asta Networks in Seattle 。Mazu's solution to distributed DoS attacks works via intelligent traffic analysis and filteringacross the network.A monitoring device ， such as a packet sniffer or packet analyzer ， evaluates packets on the network a