1、个人网络信息安全防范学 号:20104328020学 院:电子信息学院专 业:电子与通信工程姓 名:王大力教 师:徐清源个人网络信息安全防范摘要网络的普及,可以使人们更快捷地共享信息和利用信息,但是,随之而来的网络个人信息安全问题,越来越引起人们的担忧和重视,本文探析了网络个人信息安全的现状,在此基础上,分析几种个人信息安全防范工具的原理及不足,给出对个人信息安全的几点建议。关键字:信息安全 防火墙 路由器 杀毒软件“信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息
2、的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。”目前,随着互联网技术及应用的飞速发展,互联网己成为个人不可或缺的日常应用。但是人们在享受网络带来便捷的同时,个人电脑网络安全问题也日渐突出,非法分子利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响了网络的正常秩序,损害了网民的利益。2009年3月15日,央视315晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。“海量信息科技网,全国各地的车主信息,各大银行用户数据,甚至股民信息等等,这个网站一应俱全,而且价格也极其低廉。我们仅仅花了100
3、元就买到了1000条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。如果说上面这些信息你觉得还不够全面,接下来的这个木马程序一定会让你心惊肉跳,种了这种木马后,电脑会在你毫不知情的情况下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发展的今天,个人信息安全问题的解决提上日程已是刻不容缓。安 全 技 术 防 范 是 以 安 全 防 范 技 术 为 先 导 , 以 人 力 防 范 为 基 础 , 以 技 术 防范 和 实 体 防 范 为 手 段 , 所 建 立 的 一 种 具 有 探 测 、 延 迟 、 反 应 有 序 结 合 的 安 全防 范 服 务 保 障 体
4、 系 。 互联网环境下提高个人电脑网络安全性就在于养成良好的安全应用习惯和采取安全防护技术。良好的安全习惯应有自我防范意识,要加强对用户的管理。在网上管理中,身份验证和访问授权是网上管理用户的基本措施。口令、安全帐号和密码是最常用的验证,可以通过采用加长口令,使用较大字符集构造口令、限制用户键人口令次数及用户注册时间等方法来保证用户登录的安全性等。安全防护技术主要包括安全防护工具的安装使用。下面介绍几种安全防范工具的原理及不足。(一)防火墙技术(1)防火墙的基本概念防火墙是一种隔离控制技术,通过预定义的安全策略,用来隔离内部网和外部网,对内部网的应用系统加以保护。实施访问控制常用的防火墙技术有
5、包过滤技术、状态检测技术、应用网关技术等。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑。检查数据流中的侮个数据包,根据数据包的源地址,目标地址以及所使用的端u确定是否允许该类数据包通过。状态检测技术采用的是一种基丁连接的状态检测机制,将属于同一连接的所有数据包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合。对表中的各个连接状态加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有良好的灵活性和安全性;应用网关技术在应用层实现其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。(2)防火墙的工作原理“防火墙” 是一种形象的说法,从
6、其组织结构方面来看,防火墙主要包括安全操作系统、过滤器、网关、域名服务和函件处理等五个部分,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。从狭义上来看,防火墙是安装了防火墙软件的主机或路由器系统;从广义上来看,防火墙还应该包括整个网络的安全策略和安全行为。防火墙是设置在被保护网络和外部网络之间的一道屏障,使内部网和互联网之间建立起一个安全网关(securitygateway),从而防止发生不可预测的、具有潜在破坏性的侵入。它可以通过监视、限耐、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保
7、护。具体来讲,防火墙主要功能包括过滤不安全的服务和非法用户,强化安全策略;有效记录Internet上的活动,管理进出网络的访问行为,限制暴露用户,封堵禁止的网络行为,是一个安全策略的检查站,对网络攻击进行探测和告警。 (3)防火墙的缺点1.防火墙可以阻断攻击,但不能消灭攻击源。“各扫自家门前雪,不管他人瓦上霜”,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。2.防火墙不能抵抗最新的未设置策略的攻击漏洞就如杀毒软件与病
8、毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的 cracker 的把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您的。3.防火墙的并发连接数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。4.防火墙对服务器合法开放的端口的攻击大多无法阻止某些情况下,攻击者利用服务器提供的服务进行缺陷攻
9、击。例如利用开放了 3389 端口取得没打过 sp 补丁的 win2k 的超级权限、利用 asp 程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的,因此就被简单地放行了。5.防火墙对待内部主动发起连接的攻击一般无法阻止“外紧内松”是一般局域网络的特点。防火墙的基本防御原则就是“防外不防内”,就是只对来自外部网络的通信进行检测,而对受保护的内部网络或网段中的用户通信不作任何阻挡。一旦外部入侵者进入了系统,那么防火墙就无能为力了。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁
10、一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。6防火墙本身也会出现问题和受到攻击防火墙也是一个 os,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。7防火墙不处理病毒不管是 funlove 病毒也好,还是 CIH 也好。在内部网络用户下载外网的带毒文件的时候,防火墙是不为所动的(这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能,虽然它们不少都叫“病毒防火墙”)。 另外防火墙还存在成本高、低性能、不易管理、对于Web应用程序防范能力不足等缺点。(二)杀毒软件(1)杀毒软件的基本概念
11、杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。 (2)杀毒软件的工作原理杀毒软件就是一个信息分析的系统,它监控所有的数据流动,当它发现某些信息被感染后,就会清除其中的病毒。信息的分析(或扫描)方式取决于其来源,杀毒软件在监控光驱、电子邮件或局域网间数据移动时工作方式是不同的。 杀毒软 件 的 任 务 是 实 时 监 控 和 扫 描 磁 盘 。 部 分 杀毒
12、软 件 通 过 在 系 统 添 加驱 动 程 序 的 方 式 , 进 驻 系 统 , 并 且 随 操 作 系 统 启 动 。 杀毒软 件 的 实 时 监 控方 式 因 软 件 而 异 。 有 的 反 病 毒 软 件 , 是 通 过 在 内 存 里 划 分 一 部 分 空 间 , 将电 脑 里 流 过 内 存 的 数 据 与 反 病 毒 软 件 自 身 所 带 的 病 毒 库 ( 包 含 病 毒 定 义 )的 特 征 码 相 比 较 , 以 判 断 是 否 为 病 毒 。 另 一 些 杀毒软 件 则 在 所 划 分 到 的 内存 空 间 里 面 , 虚 拟 执 行 系 统 或 用 户 提 交 的
13、 程 序 , 根 据 其 行 为 或 结 果 作 出 判 断 。而 扫 描 磁 盘 的 方 式 , 则 和 上 面 提 到 的 实 时 监 控 的 第 一 种 工 作 方 式 一 样 , 只是 在 这 里 , 杀毒软 件 将 会 将 磁 盘 上 所 有 的 文 件 做 一 次 检 查 。防范病毒:指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。查找病毒:指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。清除病毒:指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。(3)杀毒软件的缺点随
14、着计算机网络的发展,病毒种类增多,特别是变形病毒和隐藏性的病毒的发展,杀毒软件的缺陷越来越严重。主要体现在如下方面: 被动性:杀毒软件不能杀未知病毒(即新病毒),根据杀毒软件的杀毒机理,杀毒软件永远在病毒之后,用户发现病毒时,资源已经被病毒破坏,忙羊补牢,为时已晚。 病毒频繁升级。新的病毒的出现另杀毒软件报告你的计算机无毒,只能说明没有该查毒软件查出来的病毒。面对这个难题,在现实中只能靠杀毒软件的频繁升级来换取计算机资源的安全将越来越困难。 病毒加密。软件加密技术应用于病毒软件加密之后,这种反跟踪技术和变形性病毒的出现,使得杀毒软件编写者困难重重。 开发式反病毒方法的重大缺陷。开发式反病毒方法
15、是让用户自行升级,故其接口必须设计的非常简单,这就留给病毒以可乘之机,用户在对病毒无任何戒备的状态下,即使文件被病毒破坏,用这种自行升级的软件去查也只能得到没有任何病毒的报告。 (三)路由器技术(1)路由器的基本概念路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译” ,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。(2)路由器的工作原理路由器是一种典型的网络层设备。它在两个局域网之间按帧传输数据,在OSIRM之中被称之为中介系统,完成网络层责在两个局域网的网络层间按帧传输数据,转发帧时需要改变帧中的地址。它在OSIRM中的位置如图1所示。 当
16、 IP 子网中的一台主机发送 IP 分组给同一 IP 子网的另一台主机时,它将直接把 IP 分组送到网络上,对方就能收到。而要送给不同 IP 子网上的主机时,它要选择一个能到达目的子网上的路由器,把 IP 分组送给该路由器,由路由器负责把 IP 分组送到目的地。如果没有找到这样的路由器,主机就把 IP 分组送给一个称为“缺省网关(default gateway) ”的路由器上。 “缺省网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的 IP 地址。路由器转发 IP 分组时,只根据 IP 分组目的 IP 地址的网络号部分,选择合适的端口,把 IP 分组送出去。同主机一样,路
17、由器也要判定端口所接的是否是目的子网,如果是,就直接把分组通过端口送到网络上,否则,也要选择下一个路由器来传送分组。路由器也有它的缺省网关,用来传送不知道往哪儿送的 IP 分组。这样,通过路由器把知道如何传送的 IP 分组正确转发出去,不知道的 IP分组送给“缺省网关”路由器,这样一级级地传送,IP 分组最终将送到目的地,送不到目的地的 IP 分组则被网络丢弃了。目前 TCPIP 网络,全部是通过路由器互连起来的,Internet 就是成千上万个 IP 子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络(router based network) ,形成了以路由器为节点的“网
18、间网” 。在“网间网”中,路由器不仅负责对 IP 分组的转发,还要负责与别的路由器进行联络,共同确定“网间网”的路由选择和维护路由表。路由动作包括两项基本内容:寻径和转发。寻径即判定到达目的地的最佳路径,由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法,要相对复杂一些。为了判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中,根据路由表可将目的网络与下一站(nexthop)的关系告诉路由器。路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度
19、来决定最佳路径。这就是路由选择协议(routing protocol) ,例如路由信息协议(RIP) 、开放式最短路径优先协议(OSPF)和边界网关协议(BGP)等。转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找,判明是否知道如何将分组发送到下一个站点(路由器或主机) ,如果路由器不知道如何发送分组,通常将该分组丢弃;否则就根据路由表的相应表项将分组发送到下一个站点,如果目的网络直接与路由器相连,路由器就把分组直接送到相应的端口上。路由器可以起到保护作用是因为路由器有如下功能:防火墙功能、IP 地址过滤功能、域名过滤功能、安全认证功能等。(3)路由器的缺点 1.它不支持非路由协
20、议2.安装复杂3.价格高个人网络信息安全防范工具除了上面介绍的之外还有诸如数字证书、双向认证、入侵检测系统、安全卫士等等。关于安全防范的问题,我想说的是,安全类软件不能100%的保证你不遭受攻击或者中毒,只能降低你中毒和被攻击的风险,这个世界上没有固若金汤的防御,任何一个新的安全技术的诞生,总是免不了有人去想方设法的找到对付这类安全技术的方法,直到完全能够攻击成功为止。下面给出个人对信息安全防范的几点建议:1.养成良好的上网习惯凡是来自于网上的东西都要持谨慎态度。下载软件应尽量从知名软件开发商的站点下载,执行前最好都要用正版最新杀毒软件进行病毒查杀;不要轻易安装共享软件、“免费软件”,切忌默认
21、安装;对于网上下载的压缩软件,正确的做法是在解压之前就进行病毒查毒工作;对于电子邮件中的附件,如果来历不明,则轻易不要用Word或Excel打开它,以免感染上宏病毒;不要打开msn或者QQ上传送过来的不明文件等:不要以单词、生日、数字、手机号做为密码,要使用复杂的密码:不要相信网上流传的消息,除非得到权威途径的证明;尽量避免在网吧等公共场所使用网上电子商务服务。另外,提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他人透露。2.安装杀毒软件与个人防火墙,打开实时监控,及时升级。个人电脑网络安全从技术上来说,目前广泛运用和比较成熟的网络安全技术主要有防病毒技术和防
22、火墙技术。杀毒软件一般具有拦截、防御、查杀病毒和木马功能,能拦截网站、U盘的木马和病毒入侵,替您将病毒挡在门外;能智能监控未知木马等病毒行为,帮您抢先化解威胁:能清除各种木马、病毒,还你干净系统。因此,对于我们普通用户来说,反病毒的最佳手段就是安装一款优秀的反病毒软件,并要打开实时监控,随时监控电脑的运行状态,同时要打开杀毒软件的即时升级功能,及时升级,否则杀毒软件就不能对一些新病毒或旧病毒的变种有防范作用。个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出。安装个人防火墙是提高电脑安全性可以采取的最有效、最重要的一环,提供了一条抵御人工
23、和自动攻击的有效防线。为保证个人防火墙的最佳状态,同样要注意打开个人防火墙的即时升级功能,及时升级。个人认为,为加强个人电脑网络安全,在个人电脑性能允许的情况下,不仅要安装杀毒软件,还要加装防火墙,二者缺一不可。3.及时更新系统、打补丁,修复漏洞。对于个人用户来说,最大的网络安全隐患往往发生在访问网页时,有一些网站由于程序上的漏洞或者配置不当,往往极易被入侵。4.正确使用移动存储设备(如U盘、移动硬盘、MP3等)。随着U盘、移动硬盘、存储卡等移动存储设备的普及,u盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。为切断这一传播途径,我们在使用移动
24、存储设备(如u盘、移动硬盘、肝3等)时要做到:插入u盘、移动硬盘、MP3和光盘等其他可插拔介质前,一定对它们进行病毒扫描。这点是至关重要的习惯。禁用自动播放功能。Windows系统的自动播放功能设计初衷是很好的,方便用户使用移动存储读取数据。但随着病毒木马的盛行,自动播放功能也带来了相应的危害:在U盘、移动硬盘、MP3和光盘等其他可插拔介质中的病毒、木马立刻自动感染到电脑之中。禁用“自动播放”可以让系统的安全性大大提高。5.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如
25、果删除它们,就能大大减少被攻击。6.进 行 安 全 操 作 时 需 谨 慎 。在 使 用 网 银 等 安 全 操 作 时 更 需 要 谨 慎 对 待 。 输 入 密 码 时 , 在 选 择 输 入框 的 同 时 利 用 鼠 标 不 断 变 换 位 置 , 尽 量 不 要 先 输 入 头 一 位 。 使 用 软 键 盘 功能 , 每 次 打 开 软 键 盘 输 入 一 次 , 键 盘 上 的 字 母 和 数 字 就 会 重 新 变 换 一 次 位 置 ,这 就 造 成 了 hook( 钩 子 ) 的 失 效 。 操 作 完 将 电 子 证 书 、“ U盾 ”等 立 刻 关 闭退 出 并 退 出
26、登 录 关 闭 网 页 。总之,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免的存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。同时,我们要不断学习新的防护知识,抵御各种网络入侵。对付网络安全威胁,最好的方式是防而不是治。我们要提前做好防御工作,毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该做的。对于个人电脑用户来说,提高安全防范意识,养成良好的安全习惯是解决安全问题的根本。参考文献(1)李湘亮.网络时代个人信息安全【J】.(2)官有保,晋国卿.计算机网络安全问题和防范措施【J】.(3)刘伟民.浅析防火墙的原理及配置技术【J】.(4)贾青,高翔.防火墙技术解析与探讨【J】.(5)闫红彦. 浅议计算机病毒对个人电脑用户的危害及其防范【J】.(6)胡晓晔. 浅谈路由器的原理及应用【J】.(7)史红艳,褚梅,王丽丽. 路由器的工作原理及功能的概述【J】.(8)余保明. 基于行为的入侵防护技术研究【D】.
