網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略

網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略Internet是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò)，也是全球最大的信息超級(jí)市場(chǎng)。自Internet問(wèn)世以來(lái)，資源共享和信息安全一直作為一對(duì)矛盾體而存在著，計(jì)算機(jī)網(wǎng)絡(luò)資源共享的進(jìn)一步加強(qiáng)隨之而來(lái)的信息安全問(wèn)題也日益突出，各種計(jì)算機(jī)病毒和網(wǎng)上黑客（Hackers）對(duì)Internet的攻擊越來(lái)越激烈，許多網(wǎng)站遭受破壞的事例不勝枚舉。那么，黑客的攻擊為什么屢屢得手呢？其主要有以下幾個(gè)原因：●現(xiàn)有網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在安全的脆弱性?！駥?duì)網(wǎng)絡(luò)的管理思想麻痹，沒(méi)有重視黑客攻擊所造成的嚴(yán)重后果，舍不得投入必要的人力、財(cái)力、物力來(lái)加強(qiáng)網(wǎng)絡(luò)安全性?！駴](méi)有采取正確的安全策略和安全機(jī)制。●缺乏先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品?！袢狈ο冗M(jìn)的系統(tǒng)恢復(fù)、備份技術(shù)和工具。鑒于上述原因，為了加強(qiáng)Internet信息安全保護(hù)，有必要針對(duì)目前黑客對(duì)Internet網(wǎng)站采取的攻擊手段制定相應(yīng)有效的防范措施。Internet選擇的幾種安全模式目前，在Internet應(yīng)用中可采取各種的防衛(wèi)安全模式，歸納起來(lái)不外乎以下幾種方式：1.無(wú)安全防衛(wèi)這在Internet應(yīng)用初期多數(shù)采取此方式，安全防衛(wèi)上不采取任何措施，只使用從銷(xiāo)售商那里提供的安全防衛(wèi)措施。這種方法是不采取的，應(yīng)當(dāng)摒棄它。2.模糊安全防衛(wèi)采用這種方式的網(wǎng)站總認(rèn)為自己的站點(diǎn)規(guī)模小，對(duì)外無(wú)足輕重，沒(méi)人知道，即使知道，黑客也不會(huì)對(duì)其實(shí)行攻擊。這種想法是非常錯(cuò)誤的，事實(shí)上，只要是一個(gè)網(wǎng)站，很快就會(huì)引起人們的關(guān)注。因?yàn)椋S多入侵者并不是瞄準(zhǔn)特定目標(biāo)，只是想闖入盡可能多的機(jī)器，雖然它們不會(huì)永遠(yuǎn)駐留在你的站點(diǎn)上，但它們?yōu)榱搜谏w闖入你網(wǎng)站的罪證，勢(shì)必將對(duì)你的網(wǎng)站的有關(guān)內(nèi)容進(jìn)行破壞，從而給你們的網(wǎng)站帶來(lái)重大損失。為此要求每個(gè)站點(diǎn)要進(jìn)行必要的登記注冊(cè)。這樣，一旦有人使用服務(wù)時(shí)，提供服務(wù)的人知道它從哪來(lái)，但是這種站點(diǎn)防衛(wèi)信息很容易被發(fā)現(xiàn)。例如登記時(shí)會(huì)有站點(diǎn)的軟、硬件以及所用操作系統(tǒng)的信息，黑客就能從這發(fā)現(xiàn)安全漏洞，同樣在站點(diǎn)與其它站點(diǎn)連機(jī)或向別人發(fā)送信息時(shí)，也很容易被入侵者獲得有關(guān)信息，因此這種模糊安全防衛(wèi)方式也是不可取的。3.主機(jī)安全防衛(wèi)主機(jī)安全防衛(wèi)可能是最常用的一種防衛(wèi)方式，即每個(gè)用戶(hù)對(duì)自己的機(jī)器加強(qiáng)安全防衛(wèi)，盡可能避免已知的可能影響特定主機(jī)安全的問(wèn)題，這是主機(jī)安全防衛(wèi)的本質(zhì)。但是由于環(huán)境的復(fù)雜性和多樣性，例如操作系統(tǒng)的版本不同、配置不同以及不同的服務(wù)和不同的子系統(tǒng)都會(huì)帶來(lái)各種安全問(wèn)題。即使這些安全問(wèn)題都解決了，主機(jī)防衛(wèi)還要受到銷(xiāo)售商軟件缺陷的影響，有時(shí)也缺少有合適功能和安全的軟件?？墒侵鳈C(jī)安全防衛(wèi)對(duì)一個(gè)小的網(wǎng)站或是有強(qiáng)烈安全要求的基地是很合適的，但隨著機(jī)器數(shù)量的增加和有權(quán)使用機(jī)器的用戶(hù)數(shù)的增加，這種安全防衛(wèi)比一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全防衛(wèi)工作還難搞。4.網(wǎng)絡(luò)安全防衛(wèi)網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第1頁(yè)。這是目前Internet中各網(wǎng)站所采取的安全防衛(wèi)方式，網(wǎng)絡(luò)安全防衛(wèi)方式也就是將注意力集中在控制不同主機(jī)的網(wǎng)絡(luò)通道和所提供的服務(wù)上，要比上述幾種防衛(wèi)方式更有效，網(wǎng)絡(luò)安全防衛(wèi)包括建立防火墻來(lái)保護(hù)內(nèi)部系統(tǒng)和網(wǎng)絡(luò)、運(yùn)用各種可靠的認(rèn)證手段（如：一次性密碼等），網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第2頁(yè)。對(duì)敏感數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)，采用密碼保護(hù)的方式進(jìn)行。網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第1頁(yè)。網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第2頁(yè)。安全防衛(wèi)的技術(shù)手段在Internet中，對(duì)各網(wǎng)站中的信息安全，在技術(shù)上主要是計(jì)算機(jī)安全和信息傳輸安全這二個(gè)技術(shù)環(huán)節(jié)，主要是由這兩方面來(lái)完成網(wǎng)絡(luò)中各種信息的安全。1.計(jì)算機(jī)安全技術(shù)(1)健壯的操作系統(tǒng)：操作系統(tǒng)是計(jì)算機(jī)和網(wǎng)絡(luò)中的工作平臺(tái)，在選用操作系統(tǒng)時(shí)，應(yīng)選用軟件工具齊全、豐富、縮放性強(qiáng)，如果有很多版本可供選擇，應(yīng)選用戶(hù)群最少的那個(gè)版本，這樣使入侵者用各種方法（如Unix中采用預(yù)編譯的方法來(lái)攻擊計(jì)算機(jī)）攻擊計(jì)算機(jī)的可能性減少，另外還要有較高訪問(wèn)控制和系統(tǒng)設(shè)計(jì)等安全功能。(2)容錯(cuò)技術(shù):計(jì)算機(jī)盡量使其具有較強(qiáng)的容錯(cuò)能力，例如，組件全冗余、沒(méi)有單點(diǎn)硬件失效、動(dòng)態(tài)系統(tǒng)域、動(dòng)態(tài)重組、錯(cuò)誤校正互連（通過(guò)錯(cuò)誤校正碼和奇偶校驗(yàn)的結(jié)合保護(hù)數(shù)據(jù)和地址總線）；在線增減域或更換系統(tǒng)組件，創(chuàng)建或刪除系統(tǒng)域，而不干擾系統(tǒng)應(yīng)用的進(jìn)行，也可以采取雙機(jī)備份同步校驗(yàn)方式，保證網(wǎng)絡(luò)系統(tǒng)在一個(gè)系統(tǒng)由于意外而崩潰時(shí)，計(jì)算機(jī)進(jìn)行自動(dòng)切換以確保正常運(yùn)轉(zhuǎn)，保證各項(xiàng)數(shù)據(jù)信息的完整性和一致性。2.網(wǎng)絡(luò)信息安全技術(shù)有以下幾種技術(shù)：(1)網(wǎng)絡(luò)訪問(wèn)控制技術(shù):防火墻技術(shù)：它是一種有效的網(wǎng)絡(luò)安全機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部服務(wù)訪問(wèn)內(nèi)部服務(wù)，其準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的，防火墻有下列幾種類(lèi)型：●包過(guò)濾技術(shù)：通常安裝在路由器上（網(wǎng)絡(luò)層），對(duì)數(shù)據(jù)進(jìn)行選擇，它以IP包信息為基礎(chǔ)，對(duì)IP源地址，IP目標(biāo)地址、封裝協(xié)議（TCP/UDP/ICMP/IPtunnel）、端口號(hào)等進(jìn)行篩選，在OSI協(xié)議的網(wǎng)絡(luò)層進(jìn)行。●代理服務(wù)技術(shù)：通常由兩部分構(gòu)成，服務(wù)端程序和客戶(hù)端程序、客戶(hù)端程序與中間節(jié)點(diǎn)（ProxyServer）連接，中間節(jié)點(diǎn)與要訪問(wèn)的外部服務(wù)器實(shí)際連接，與包過(guò)濾防火墻不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時(shí)提供審計(jì)和日志服務(wù)?！駨?fù)合型技術(shù)：把包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái)，可形成新的防火墻，所用主機(jī)稱(chēng)為保壘主機(jī)，負(fù)責(zé)提供代理服務(wù)。●審計(jì)技術(shù)：通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的各種訪問(wèn)過(guò)程進(jìn)行記錄和產(chǎn)生日志，并對(duì)日志進(jìn)行統(tǒng)計(jì)分析，從而對(duì)資源使用情況進(jìn)行分析，對(duì)異常現(xiàn)象進(jìn)行追蹤監(jiān)視?！衤酚善骷用芗夹g(shù)：加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò)傳達(dá)室輸?shù)侥康亩诉M(jìn)行解壓縮和解密。(2)信息確認(rèn)技術(shù):安全系統(tǒng)的建立都依賴(lài)于系統(tǒng)用戶(hù)之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用兩種確認(rèn)方式：一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造?？煽康男畔⒋_認(rèn)技術(shù)應(yīng)具有：具有合法身份的用戶(hù)可以校驗(yàn)所接收的信息是否真實(shí)可靠，并且十分清楚發(fā)送方是誰(shuí)；發(fā)送信息者必須是合法身份用戶(hù)，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時(shí)，可由認(rèn)證系統(tǒng)進(jìn)行處理。目前，信息確認(rèn)技術(shù)已較成熟，如信息認(rèn)證、用戶(hù)認(rèn)證和密鑰認(rèn)證，數(shù)字簽名等，為信息安全提供了可靠保障。(3)密鑰安全技術(shù):網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第3頁(yè)。網(wǎng)絡(luò)安全中，加密技術(shù)種類(lèi)繁多，它是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，常用的加密技術(shù)分為軟件加密和硬件加密。網(wǎng)絡(luò)信息安全的保護(hù)技術(shù)和策略全文共4頁(yè)，當(dāng)前為第3頁(yè)。●對(duì)稱(chēng)密鑰加密。在此方法中加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標(biāo)準(zhǔn)是DES算法，DES的優(yōu)勢(shì)在于加密解密速度快、算法易實(shí)現(xiàn)、安全性好。缺點(diǎn)是密鑰長(zhǎng)度短、密碼空間小，“窮舉”方式進(jìn)攻的代價(jià)小，它們機(jī)制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個(gè)環(huán)節(jié)。●非對(duì)稱(chēng)密鑰加密。在此方法中加密和解密使用不同密鑰，即公開(kāi)密鑰和秘密密鑰，公開(kāi)密鑰用于機(jī)密性信息的加密；秘密密鑰用于對(duì)加密信息的解密。一般采用RSA算法，優(yōu)點(diǎn)在于易實(shí)現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復(fù)雜，加密解密花費(fèi)時(shí)間長(zhǎng)。從目前實(shí)際的安全防范應(yīng)用中，尤其是信息量較大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜時(shí)，采取對(duì)稱(chēng)密鑰加密技術(shù)，為了防范密鑰受到各種形式的黑客攻擊，如基于Internet的“聯(lián)機(jī)運(yùn)算”，即利用許多臺(tái)計(jì)算機(jī)采用“窮舉”方式進(jìn)行計(jì)算來(lái)破譯密碼。因此，密鑰的長(zhǎng)度越長(zhǎng)越好。目前一般密鑰的長(zhǎng)度為64位、1024位，實(shí)踐證明它是安全的，同時(shí)也滿足計(jì)算機(jī)的速度。2048位的密鑰長(zhǎng)度，也已開(kāi)始在某些軟件中應(yīng)用。3.病毒防范技術(shù):計(jì)算機(jī)病毒實(shí)際上就是一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中能夠?qū)崿F(xiàn)傳染和侵害計(jì)算機(jī)系統(tǒng)的功能程序。在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為以攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便的條件。如向系統(tǒng)中浸入病毒、蛀蟲(chóng)、特洛伊木馬、限門(mén)、邏輯炸彈；或通過(guò)竊聽(tīng)、冒充等方式來(lái)破壞系統(tǒng)正常工作。從Internet上下載軟件和使用盜版軟件是病毒的主要來(lái)源。針對(duì)病毒的嚴(yán)重性，我們應(yīng)提高防范意識(shí)，做到所有軟件必須經(jīng)過(guò)嚴(yán)格審查，經(jīng)過(guò)相應(yīng)的控制程序后才能使用；采用防病毒軟件，定時(shí)地對(duì)系統(tǒng)中的所有工具軟件、應(yīng)用軟件進(jìn)行檢測(cè)，防止各種病毒的入侵。以上系統(tǒng)地?cái)⑹鼍W(wǎng)絡(luò)的安全方式以及實(shí)際應(yīng)用中應(yīng)采取的防范措施和技術(shù)手段，隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)和信息安全問(wèn)題將越來(lái)越受到人們的重視。但是，目前Internet中仍缺乏的是安全意識(shí),大多數(shù)公司或企業(yè)都不愿花費(fèi)太多的精力與資金投入到網(wǎng)絡(luò)安全防范技術(shù)的研究和應(yīng)用中，任憑網(wǎng)上黑客自由的進(jìn)出各個(gè)網(wǎng)站，這