如何構(gòu)建網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)信息安全體系

年4月19日如何構(gòu)建網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)信息安全體系文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。如何構(gòu)建網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)信息安全體系計(jì)算機(jī)技術(shù)的不斷發(fā)展網(wǎng)絡(luò)的不斷普及在給我們的工作學(xué)習(xí)生活?yuàn)蕵穾砹藰O大的方便和好處同時(shí)也給我們帶來了新的威脅那就是計(jì)算機(jī)系統(tǒng)安全問題。而我們的常常論的計(jì)算機(jī)系統(tǒng)安全包括計(jì)算機(jī)安全、網(wǎng)絡(luò)安全和信息安全。其中信息安全是主線它貫穿計(jì)算機(jī)安全和網(wǎng)絡(luò)安全之中。正是網(wǎng)絡(luò)的廣泛應(yīng)用在工作和生活中扮演如此重要的角色如何來保障信息安全已經(jīng)成為一個(gè)重要的問題。值得注意的是在實(shí)際應(yīng)用中由于操作系統(tǒng)的不同網(wǎng)絡(luò)拓?fù)浼夹g(shù)的區(qū)別連接介質(zhì)的選擇,網(wǎng)絡(luò)接入技術(shù)的變化給實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全帶來了復(fù)雜的操作性。根據(jù)參考資料，總結(jié)出3個(gè)層次的安全策略：技術(shù)安全，行為安全，意識(shí)安全。1技術(shù)安全從本質(zhì)上來講網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。在實(shí)際工作中,威脅信息安全的主要是木馬病毒。由于木馬和病毒的存在,常常使我們對信息的安全性失去把握。黑客入侵主要有兩種途徑：1)木馬入侵。木馬能夠是在黑客獲得計(jì)算機(jī)操作權(quán)限后上傳的,也可能是瀏覽含有不良代碼的網(wǎng)頁給黑客利用IE漏洞植入的。2)共享入侵。例如微軟NT結(jié)構(gòu)的操作系統(tǒng)中的PC$共享,就是黑客入侵的一條便利通道。如果你的操作系統(tǒng)不存在安全口令,那么入侵將是致命的。3)IIS漏洞入侵。遠(yuǎn)程攻擊者只要使用webdavx3這個(gè)漏洞攻擊程序和telnet命令就能夠成一次對IIS的遠(yuǎn)程攻擊。4)注冊表入侵。我們?yōu)g覽網(wǎng)頁的時(shí)候不可避免的會(huì)遇到一些不正規(guī)的網(wǎng)站,它們會(huì)擅自修改瀏覽者的注冊表,其直接體現(xiàn)便是修改IE的默認(rèn)主頁,鎖定注冊表,修改鼠標(biāo)右鍵菜單等等。實(shí)際上絕大部分的網(wǎng)頁惡意代碼都是經(jīng)過修改我們的注冊表示到目的。5)溢出攻擊。溢出攻擊”已經(jīng)成為黑客最常見的方式之一,引起緩沖區(qū)溢出問題的根本原因是C(與其后代C++)本質(zhì)就是不安全的,沒有界來檢查數(shù)組和指針的引用。比如利用“格式化字符”實(shí)現(xiàn)溢出攻擊。攻擊者用十六進(jìn)制編碼向內(nèi)存寫入攻擊代碼,并按照一定格式編排格式化字符,讓系統(tǒng)執(zhí)行到這些字符的時(shí)候不再按照原本的程序思路執(zhí)行,而是扭轉(zhuǎn)到攻擊代碼所在的內(nèi)存位置,這就導(dǎo)致了“溢出”。我們的解決方案從技術(shù)角度能夠經(jīng)過以下途徑解決:(1)對于木馬入侵,我們能夠安全木馬查殺軟件,及時(shí)更新木馬特征庫。(2)對于共享入侵,我們能夠禁用server服務(wù)，TaskScheduler服務(wù),去掉網(wǎng)絡(luò)文件和打印機(jī)共享,同時(shí)健壯自己的安全口令。(3)對于IIS漏洞當(dāng)然是從微軟官方站點(diǎn),及時(shí)安裝IIS的漏洞補(bǔ)丁。（4)對于注冊表攻擊,我們禁用RemoteRegistryService服務(wù),同時(shí)使用防火墻加強(qiáng)保護(hù)。(5)對于溢出攻擊,首先及時(shí)下載和更新官方操作系統(tǒng)補(bǔ)丁,其次創(chuàng)立一個(gè)新的用戶,能夠在用戶名前加$進(jìn)行隱藏,再次,能夠選擇對cmd·exe,net·exe和tftp·exe等命令進(jìn)行權(quán)限限制,同時(shí)修改相應(yīng)的敏感端口。2行為安全如果僅僅從技術(shù)角度來考慮信息安全,顯然是不夠,還必須從管理角度來思考。信息安全涉及的內(nèi)容既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊,管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問題。,技術(shù)上的安全能夠很輕易的被管理操作上的漏洞和疏忽摧毀!僅僅注重了技術(shù)上安全,而忽略了管理顯然是無法在真正意義上的實(shí)現(xiàn)信息安全的。因?yàn)?我們提出了一個(gè)新的概念,信息安全需要行為安全。而行為安全的本質(zhì)是規(guī)范的信息管理體制和規(guī)范的信息操作行為。3意識(shí)安全最近常常思考“先有雞還是先有蛋”的問題可是這個(gè)問題沒有想清楚,倒是清先有病毒才有殺毒的辦法,先有木馬攻擊才有木馬防御手段,正如感冒病毒不斷變種一般,計(jì)算機(jī)病毒和木馬也在不斷進(jìn)化。如果總是消極的防御和治療,顯然是只能是在受到侵害之后的才能有所應(yīng)對。如果要“御敵于國門之外”,當(dāng)然靠的是安全意識(shí)。提高信息意識(shí)安全能夠從以下幾個(gè)方面思考:1)建立對信息安全的正確認(rèn)識(shí),而且注意及時(shí)更新安全知識(shí),正如及時(shí)打預(yù)防針劑一樣,防范于未然。2)掌握信息安全的基本原則和慣例,良好“慣性”能夠有效避免遭受侵害。3)清楚可能面臨的威脅和風(fēng)險(xiǎn),“生于憂患死于安樂”無疑是信息保衛(wèi)戰(zhàn)中最該具備的思想準(zhǔn)備。4)養(yǎng)成良好的安全習(xí)慣。比如定期檢查防火墻版本,病毒庫,隨時(shí)留意系統(tǒng)出現(xiàn)的不明運(yùn)行程序,不隨意瀏覽不確定站點(diǎn)等等。5)提升組織整體的安全性。比如黑客經(jīng)過共享入侵了電腦,可是由于健壯的用戶密碼體系保護(hù)了信息的安全,正是“整體法則”保護(hù)“局部破損”的有效體現(xiàn)。6)黑客,駭客有,騙客更多。隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)信息安全也越來越受到人們的重視。經(jīng)過對威脅網(wǎng)絡(luò)信息安全因素的分析,進(jìn)而提出了五種常見計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略,并對網(wǎng)絡(luò)信息安全發(fā)展進(jìn)行了展望—形成網(wǎng)絡(luò)信息安全防護(hù)體系。盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅,可是采取適當(dāng)?shù)姆雷o(hù)措施就能有效地保護(hù)網(wǎng)絡(luò)信息的安全。常見的計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略有:1加強(qiáng)用戶賬號的安全。用戶賬號的涉及面很廣,包括系統(tǒng)登錄賬號和電子郵件賬號、網(wǎng)上銀行賬號等應(yīng)用賬號,而獲取合法的賬號和密碼是黑客攻擊網(wǎng)絡(luò)系統(tǒng)最常見的方法。首先是對系統(tǒng)登錄賬號設(shè)置復(fù)雜的密碼;其次是盡量不要設(shè)置相同或者相似的賬號,盡量采用數(shù)字與字母、特殊符號的組合的方式設(shè)置賬號和密碼,而且要盡量設(shè)置長密碼并定期更換。2安裝防火墻和殺毒軟件。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查,以確定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。根據(jù)防火墻所采用的技術(shù)不同,可將它分為:包過濾型、地址轉(zhuǎn)換型、代理型和監(jiān)測型。包過濾型防火墻采用網(wǎng)絡(luò)中的分包傳輸技術(shù),經(jīng)過讀取數(shù)據(jù)包中的地址信息判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。地址轉(zhuǎn)換型防火墻將內(nèi)側(cè)IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址。內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)時(shí),對外隱藏了真實(shí)的IP地址。外部網(wǎng)絡(luò)經(jīng)過網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是經(jīng)過一個(gè)開放的IP地址和端口來請求訪問。程123代理型防火墻也稱為代理服務(wù)器,位于客戶端與服務(wù)器間完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶端需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)請求向服務(wù)器索取數(shù)據(jù),然后再傳輸給客戶端。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到內(nèi)部網(wǎng)絡(luò)系統(tǒng)。監(jiān)測型防火墻是新一代防火墻產(chǎn)品所采用技術(shù)已經(jīng)超越了最初的防火墻的定義。此類型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,經(jīng)過分析這些數(shù)據(jù),能夠有效地判斷出各層中的非法侵入。同時(shí),監(jiān)測型防火墻一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其它網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不但能檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。個(gè)人計(jì)算機(jī)使用的防火墻主要是軟件防火墻,一般和殺毒軟件配套安裝。殺毒軟件是我們使用的最多的安全技術(shù),這種技術(shù)主要針對病毒,能夠查殺病毒,且現(xiàn)在的主流殺毒軟件還能夠防御木馬及其它的一些黑客程序的入侵。但要注意,殺毒軟件必須及時(shí)升級,升級到最新的版本才能有效地防毒。3及時(shí)安裝漏洞補(bǔ)丁程序。漏洞是能夠在攻擊過程中利用的弱點(diǎn),能夠是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)?。美國威斯康星大學(xué)的Miller給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序的研究報(bào)告指出軟件中洞和缺陷。4入侵檢測和網(wǎng)絡(luò)監(jiān)控技術(shù)。入侵檢測是近年來發(fā)展起來的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。根據(jù)采用的分析技術(shù)能夠分為簽名分析法和統(tǒng)計(jì)分析法。簽名分析:用來監(jiān)測對系統(tǒng)的已知弱點(diǎn)進(jìn)行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫到Ds系統(tǒng)的代碼里,