1、1第一章 网络信息安全问题如今的互联网技术发展千变万化,但是仍然存在一定的网络信息安全问题,并且这个问题是不容小觑的。网络信息安全与国家重要文件信息保护机密、社会安全稳定、民族发展、社会经济发展等方面有着密切的关系。随着信息全球化的发展,网络信息安全的重要性体现的越来越明显。网络安全问题已经对网络用户的合法权益造成一定的干扰。随着社会网站的活跃,在各大网站上注册的用户越来越多,虽然网民可以通过网站了解社会的各项信息和其它方面的信息,但是随之而来的电脑病毒和木马攻击网络系统,这样就严重侵害了网民的合法权益和个人隐私,更严重者会造成用户的个人财产。黑客通过盗取网民的账号来获取网民的信息和网上银行账
2、户,这些问题都影响网民的正常生活,同时也阻碍了互联网技术的发展。在网络信息中,有很多都是比较敏感的信息,有的关系国家机密,如果不法分子获取了这方面信息,就会造成他们对国家政府的攻击,由于利用互联网技术进行犯罪,一般不会留下犯罪痕迹,这样就提高了利用网络犯罪的几率。1.1 计算机网络安全的重要性计算机网络的安全性能,不仅对计算机运行具备重要性,而且对网络信息存在极高的保护功能。首先安全网络的形成,为计算机用户提供稳定、可靠的系统支持,保障用户零风险的网络办公环境,体现网络安全的重要性;其次网络安全可以避免机密信息外泄,一般企业内部对网络安全的要求极高,不仅最大化维护公司内部的信息,而且避免同行公
3、司不法的窃取手段;最后有效提高网络性能,安全度较高的网络环境,能够提高用户对计算机的信任度,有利于计算机行业的发展,推进互联网事业的进步,进而体现互联网的优势。1.2 计算机网络安全的潜在威胁近几年,互联网的飞速进展,促使基于网络化的病毒、木马呈现出多样性2表现,着实增加网络的安全威胁,造成信息处于不安全的环境内,因此对计算机网络面临的安全威胁因素进行实质分析。1.2.1 网络脆弱性互联网技术是一把双刃剑,如果我们好好利用就会丰富和方便我们的生活;但是也可能给我们的生活带来困扰。互联网技术具有开放性,但是也正是由于这种开放性,使得网络的安全性有所降低。其网络系统在运行 TCP/IP 协议时,其
4、信息和敏感数据很容易受到其他危险分子的篡改和窃取。这是因为 Internet技术采用的就是 TCP/IP 协议,而该协议的安全性并不是很高2 。1.2.2 恶意攻击恶意攻击对计算机的网络安全具有很大的潜在危害。一般来说,其可以分为两种:被动攻击以及主动攻击。第一种被动攻击指的是:在不被用户察觉的情况下,窃取和破译重要的信息;第二种主动攻击指的是:攻击者对用户的信息进行破坏以及窃取。无论是哪一种情况都是我们不愿意看到的,因为都会对用户带来很大的威胁以及困扰。网络不可避免地具有一些漏洞,黑客们正是利用这些漏洞对用户进行攻击,对国家和人民的生活和财产都会造成极大的损失。1.2.3 自然灾害自然灾害也
5、是威胁计算机网络信息安全的一个因素。这是因为雷电、电磁干扰、水灾、火灾甚至是潮湿都有可能对计算机网络信息造成重大影响。在防护的过程中,要充分考虑到计算机信息系统所处的环境,同时要对不可抗力进行充分防护,尽量将损失降到最低3。1.2.4 操作失误3操作失误主要针对的主体是用户自身。有些用户的安全意识很差,所用的密码并不复杂。这就有可能造成用户信息泄露,进而对网络信息安全造成影响。1.2.5 计算机网络的管理威胁管理上存在的安全威胁,主要是由于技术工作者防盗工作不到位,造成信息丢失。例如:技术员在进行信息加密时,除预留原始文件外,还需备份处理,防止文件丢失,但是实际技术员过于信任网络环境,未对数据
6、信息实行备份,导致原始数据丢失后,无法进行二次 copy,大量信息不能被及时还原,既造成不可挽回的经济损失,也导致信息处于不安全的环境中,有可能随时遭遇篡改、窃取的威胁。1.2.6 计算机网络的安全漏洞计算机网络内,由于存在部分安全漏洞,或者部分软件含有设计缺陷,导致其成为恶意攻击和入侵的途径,此类型的安全漏洞,遭遇攻击时,不易察觉。例如:TCP/IP,其在认证方面,存在漏洞,部分攻击者对用户计算机中的TCP/IP 实行软件解析,快速分析信息传输路径,发起恶意攻击或拦截,导致计算机拒绝各类服务。1.2.7 计算机网络的外界攻击外界攻击主要包括:木马植入、黑客攻击以及病毒入侵。病毒与木马是黑客入
7、侵最常用的方式,一般黑客会自行编写程序,攻击用户计算机,有目的的对用户信息进行复制、监视或破坏,当黑客达到一定目的后,会以木马、病毒的方式,致使计算机无法进行正常工作,由于病毒隐蔽性高、破坏能力强,最终造成系统瘫痪,降低安全度。41.3 计算机信息系统面临的安全问题1.3.1 非法入侵和攻击非法入侵者主要通过计算机网络设备和操作系统中的安全漏洞对计算机信息系统进行攻击和非法侵入,攻击侵入、截取、窃听网络系统的重要信息,破坏和修改计算机网络信息,造成计算机网络系统瘫痪或者数据文件丢失。非法入侵者通过多种手段和方式,破坏系统、访问资源、删改数据,严重破坏计算机网络系统的信息安全。1.3.2 计算机
8、病毒计算机病毒是一种恶意的程序代码,不仅隐蔽性好、潜伏期长、破坏力强,而且传播速度非常快,经常通过运行程序、传送文件、复制文件、网页捆绑、电子邮件等方式在计算机网络系统中快速传播,并且可以隐藏和储存在计算机网络的数据文件和执行程序中。一旦计算机系统在运行过程中激活计算机病毒,系统就会出现异常的情况,网络黑客可以趁机攻击用户的计算机系统,窃取计算机网络系统中的重要信息资源,使得一些重要的信息文件丢失,系统运行缓慢,甚至导致整个计算机网络系统瘫痪,严重威胁着计算机网络的信息安全。关法律法规还不完善,监督和管理的力度不够,一些色情、赌博、垃圾邮件等信息充斥在计算机信息系统中,一些诈骗信息公然在计算机
9、网络系统中传播,严重损害了计算机网络系统的信息安全。1.4 计算机的安全现状1.4.1 系统设计存在问题5安全问题要从细节入手,服务器代码的设计与执行要有效的管理。通过大量的公开的漏洞报告,我们可以发现,很多黑客借输入检查不完全的漏洞发动拒绝服务的攻击,进而任意修改服务器上的内容。这警示我们解决计算机系统设计存在的问题是多么的有必要。1.4.2 过多的使用合法工具因为黑客会用多种工具软件去收集一些敏感的、隐私的信息或者浏览一些敏感性的信息,而这些工具软件又会对软件有较大的攻击力度,但很多系统却没有能够加强这些软件的完善,使得那些黑客有了可趁之机。1.4.3 系统以及软件本身存在漏洞目前市面上,
10、有着众多的操作系统以及计算机必要的一些软件,并且还在不断的开发研制出新的操作系统和软件,但与之而来各种漏洞层出不穷。例如缓冲区溢出,这个系统漏洞是最容易被黑客抓住、利用的,他通过拒绝服务使得 TCP/IP 的连接次序被扰乱。最典型的是 Dos 攻击能够耗尽甚至破环一个或者多个系统的资源即磁盘空间、CPU 周期、内存,最终使得系统不能处理那些合法的程序。1.4.4 系统维护措施不科学虽然我们可以时而对软件升级或更新、系统进行维护,但由于防火墙与路由器的过滤规则太复杂,所以日常的系统维护并没有做到全面,此外系统可能还会出现新的漏洞,这就要求我们经常、高效地改善对系统的管理以降低系统的风险。6第二章
11、 网络信息安全的对策2.1 信息安全控制的基本原理信息安全主要是针对网络系统内的信息和数据库做到保密和相对的完整性,对于那些系统之外的信息要对其进行一定的辨别以及确定信息是否安全的一种控制手段。这种手段是用来保证网络用户的安全要求,来预防各类信息对网络系统的攻击和威胁,从而保证整个系统能够安全稳定、正常的运行。信息安全保护是一个比较复杂的系统,主要包括计算机的主机和整个的网络系统,因此信息安全在本质上指的是整个信息系统的安全。现在的信息安全控制大都是自动化控制,自动化控制指的是在没有人员参与控制的前提下,设备和装置依据原先以及制定好的信息参数,根据特有的规律进行运转。由于信息的特殊性使得信息安
12、全控制也有一定的特殊性,主要有:信息系统有不断变化的趋势,因此整个系统的信息安全控制也随之有着不断变化的趋势;还有就是信息系统不仅有外界信息的威胁与攻击,系统内部还存在一定的缺陷和威胁。因此,一定要建立健全信息安全控制对策,有效防止那些构成威胁信息系统安全的各项因素。信息安全控制的主要目的就是有效防止信息系统威胁和攻击事件的发生,防止信息系统安全发生威胁的措施主要有:一是要阻止外部系统威胁对信息系统的攻击和威胁;二是因为整个系统自身就存在一定的缺陷和漏洞,所以攻击者就跟很容易找到信息内部系统的漏洞进而对其进行一定的破坏,因此在信息系统内部要建立健全科学、合理的安全2.2 基于信息安全控制原理的
13、安全网络技术7信息安全的控制原理在本质上就是防止一切可能威胁信息系统的发生,不断完善内部信息系统,降低其出现漏洞的可能性。下面几种是安全效果比较好的安全网络技术。2.2.1 虚拟网技术虚拟网技术就是在有限的网络区域内在交换技术上产生的,交换技术就是把原有的局域网技术转换为面向性连接技术。虚拟网技术有着一个最为显著的优点就是只要信息可以到达就能达到的地方,这样就能够有效防止网络监视和监听的不良入侵手段,同时也可以控制虚拟网之外的外部网络连接点对网络内部连接点的访问。但是现在这种虚拟网技术还存在一定的问题,就是设备装置太过复杂,更方便成为黑客的攻击对象。VLAN 以及 MAC 不能有效防止 MAC
14、 的攻击。2.2.2 防火墙技术防火墙技术可以对各个网络之间进行有效控制的访问,对于那些不明确的信息数据和链接会对其进行一定的安全检测,按照检测的结果来决定是否可以进行通信,对信息网络进行实时监视。防火墙技术的优点是比较多的,它有着可以保护网络服务、检查外部系统对内部系统的访问、进行集体的安全管理、增加一定的保密性等优势。但是它还是存在一定的不足,例如不能有效防止其他渠道的攻击,不能阻止内部系统的威胁等。2.2.3 病毒防护技术信息系统病毒是一种外部环境攻击系统的常见方式,由于信息网络具备一定的普及性和开放性,这样就使得病毒传播的速度非常快。现在病毒传播的渠道主要包括:通过电子邮件进行传播、通
15、过网页浏览进行传播以及通过光盘和8U 盘进行传播。现在针对病毒传播的预防手段有:利用防火墙和防毒监测软件对病毒进行有效地控制和阻止;检查和清理病毒,利用杀毒软件对信息系统进行定期的检查,有利于及时清除病毒;由于病毒数据的发展使比较快的,这就需要杀毒软件的数据库进行升级和不断更新;安装扫描信息安全软件,对下载和安装的软件进行严格的控制和管理。2.2.4 安全扫描技术在信息网络系统安全中,安全扫描技术是保障系统安全的重要技术之一,它与防火墙技术进行相互配合使用,有助于保证网络的安全稳定。2.2.5 防火墙技术防火墙(firewall)是指设置于局域网和互联网之间的确保网络安全的硬件设备或者软件程序
16、,其工作原理是通过控制和监管网络之间的信息交流以保证网络信息系统的安全,同时记录跟防火墙有关的数据来源、记录任何企图入侵系统的信息以及服务器的通信量3。防火墙又可分为软件防火墙、硬件防火墙以及芯片级防火墙。芯片级防火墙有专门的 ASIC 芯片,可以提高防火墙的性能、处理速度以及处理能力,自身漏洞相对比另外两者较少;而另外两种需要有操作系统的支持才能正常工作。2.2.6 数据加密技术加密技术的原理是利用加密算法,将待加密的明文转换成为不能直接读取的密文,只有通过预先设计好的匹配的密钥才能够将其还原,确保非法用户无法直接获取用户的原始数据4。数据加密技术的一大优点是它的主动而非被动的防御性,它是当
17、前信息安全技术的核心技术,也是其他计算机网络安全技术的基础。对称性加密技术和非对称加密技术是当前的两大类加密技术。除此之外,还有数字摘要加密技术,数字签名加密技术,数字摘要与数字签名混合加9密,各自应用在不同的场合。另外数字信封,数字时间戳,数字证书,安全认证协议等等也是目前使用比较广泛的加密技术。2.2.7 入侵检测技术入侵检测技术就是通过软硬件方法对来自网络中的数据与检测系统中的入侵特征数据库的数据进行分析对比,当有任何违反安全策略的行为或系统被攻击的迹象被发现时,系统就会马上通知防火墙(firewall)系统调整访问网络的控制策略甚至切断网络连接。其功能主要包括:一、识别常用的黑客入侵手
18、段和攻击,确保网络稳定;二、完善和提高网络的安全管理质量;三、实时监测网络中存在的各种通信异常,并加以处理;四、扫描系统中存在的各种漏洞以及隐藏的后门利用,并进行修复;因此,入侵检测系统就是漏洞扫描系统、防病毒、防火墙和 IDS 系统等技术的结合,几乎融合了上述各种技术的优点,从而实现在尽量不影响网络性能的前提下对网络进行必要的监控和检测,大大提高了网络的安全性。2.2.8 网络安全扫描技术该技术与上面提到的几种其他安全技术互相配合,能极大地提高网络的安全性。通过对网络的全面扫描获取必要的信息,例如系统中目前正在运行的应用、服务以及系统的安全配置等,从而能及时准确地发现网络中存在的安全漏洞同时
19、给予修复,或者评估风险等级。安全扫描主要分成主机的安全扫描技术和网络的安全扫描技术,前者发现漏洞的方法是通过执行专门为安全目的设计的脚本文件来模拟攻击计算机系统的行为并记录系统的反应,为进一步处理提供依据;而后者则是对系统中设置的脆弱的密码和同安全规则抵触的对象进行检查,从而发现问题。2.2.9 反病毒技术10反病毒技术就是对病毒代码进行特征扫描识别和分析、提取对应的特征值,然后利用这些特征值对计算机存储空间的数据进行扫描分析对比,从而确定病毒的位置,辨别病毒种类,进而对感染病毒程序进行查询和恢复,实现病毒清除的技术。反病毒技术根据其措施可划分为静态反病毒技术和实时的反病毒技术两大类。其中静态
20、反病毒技术因其无法对计算机网络信息进行实时的监控、不能及时判断系统是否已经被病毒感染,正逐步失去它的价值,而逐渐被计算机用户所抛弃。相反地,实时的反病毒技术因其比其他应用程序的优先级更高的,更接近系统底层资源,可以更全面彻底地控制系统资源,在病毒入侵时能实时告警,正日益地得到了广泛的应用。2.3 计算机网络安全的防护策略计算机受到的安全威胁是不可避免的,但是我们可以采取有效的措施确保网络信息安全。一般来说,计算机网络信息的安全防护策略有如下几种:2.3.1 安装防火墙和杀毒软件所谓网络防火墙,是能够有效组织外部网络用户入侵本机的技术。它能够对计算机与计算机之间的网络进行有效地控制。在计算机与计
21、算机之间进行网络的信息传递时,网络防火墙会按照一定的安全策略对数据进行检查。网络防火墙可以分为很多种类型,比如监测型和过滤型等等。2.3.2 更换管理员账户管理员账户是计算机用户中拥有最大权限的用户,能够对计算机的所有重要信息做出更改及设置。如果黑客在入侵的过程中获取了管理员账户的密码,那么计算机中所有用户的信息都会受到威胁。为了防止黑客轻易窃取管理员账户,管理员的密码应该足够复杂。112.3.3 入侵检测和网络监控技术入侵检测主要是监测计算机及网络是否被入侵的技术。它涉及了统计技术、网络通信技术以及人工智能等多种学科,是一种十分先进新兴的学科。入侵检测依据不通过的分析技术大体上可以分成两种:
22、统计分析法和签名分析法。2.3.4 及时安装漏洞补丁。但是黑客会轻易通过漏洞对计算机信息网络造成严重影响。我们普通用户在使用计算机网络时,应该及时更新系统最新补丁,这样黑客就不会轻易有机可乘。同时我们也可以通过 QQ 管家或者 36 安全卫士等更新软件和下载扫描漏洞4。2.4 提升计算机网络安全度的对策围绕以上三点计算机安全威胁,提出相关的应对措施,一方面要保障计算机网络为用户提供最优质的服务环境,另一方面保障计算机网络,可在安全环境中实现运行。因此,提出保障计算机网络安全质量的对策。2.4.1 加强计算机网络安全管理安全管理,主要是对技术员进行一定程度的安全教育,无论是在意识上,还是在技术上
23、,技术员应时刻保持安全操作。1)系统加密,技术员对重点使用的计算机、各类系统以及文件,设置密码,保障网络私密性,进而保障网络信息的安全性,针对有价值的信息,养成加密、备份、存盘的习惯,即使信息丢失,在入侵者未打开信息的同时,技术员可利用备份文件,及时支持系统运行,12既可以防止内部信息丢失,又不会影响正常的系统运行;2)在计算机网络中安装杀毒软件,优化网络环境,技术员对软件下载、网页浏览的频率相对较高,其中包含钓鱼网站、恶意插件、攻击文件也不断增加,为避免此类信息对计算机网络形成冲击,技术员通过杀毒软件,维持网络系统的安全性。2.4.2 利用密钥实现网络加密对网络系统实行密钥加密处理,主要是以
24、硬件为基础,形成安全核心,避免攻击者通过计算机的硬件环境,侵入网络系统内,密钥技术是可在信息交互的过程中,形成特殊的密码配对,以识别为目的,避免由于安全漏洞的存在,导致网络系统遭遇攻击。首先采取合理的加密技术,网络信息在传输时,进行始端加密,待信息到达目的地后,会采取另外的解密方式,解读信息,信息加密时,采用安全算法,利用公钥、私钥的方式解密,避免信息传输中,遭遇拦截或攻击;然后是网络系统内的协议处理,用户在使用完计算机后,需定期处理协议,尽量避免多余或空白协议的存在,删除协议,在服务器端口列表中,关闭不常用协议,尤其是与外界共享协议端口尽量关闭,此为计算机与外界沟通协议,安全系数非常低;最后
25、是选择安全性能强的服务器,其不仅具备高质量的支持性能,而且安全系数极高,有效防止恶意信息的植入,影响网络环境。2.4.3 利用防火墙防止外界攻击目前,避免计算机网络受病毒、木马的攻击,最有效的方式是在计算机系统中引入防火墙技术,形成有效的防护体系,防火墙不仅可以自行进行病毒库更新、升级,而且主动对一定时期的网络系统进行检测,采取“查杀-隔离- 修复”的方式,防止病毒、木马入侵,例如:防火墙可自动检测 USB 接口处的介入设备,只要检测到有设备接入,立即全方面的检测,确保安全后,执行其他操作。通过安装防火墙软件,形成防护系统,计算机用户最常使用的防火墙软件为:金山网盾、贝壳 ARP 防火墙、Co
26、modoFirewall 等。132.4.4 采用先进的产品与技术目前通常采用的技术与产品有:数据加密技术、认证技术、防火墙技术;杀毒软件。防火墙技术是保护计算机网络安全的最早的、最成熟的技术。防火墙指的是在外部公共网络与被保护网之间建立一道屏障,防火墙可以是硬件、软件也可以是软件与硬件都有,它可以是一个或者一组系统,能够根据用户的要求来实现阻止或传送数据。防火墙主要包括数据包过滤、代理服务器以及应用层网关等。数据加密技术是为了防止信息、数据被偷窃或破坏,从而加强计算机的保密性与安全性。认证技术的优点有:确保验证信息的完整性,使其不被延迟或非法修改;验证信息的发送者的身份判别真假。目前常用的认
27、证技术主要包括:数字签名、消息认证、身份认证。安装杀毒软件能够增强计算机对病毒入侵的防御力,一个好的杀毒软件应该具备实时监控的能力;良好的查毒以及杀毒能力;具有升级完善的功能。2.4.5 提高网络安全的监管能力网络的安全不仅要增加安全服务并提高系统的安全保密,还要重视对网络安全的监管。对网络进行安全监管需要遵循的原则有:实施任期有限制、把职责分开、多人负责原则。2.4.6 增强信息安全防护隐藏 IP 地址能够有效的避免黑客的攻击,隐藏 IP 地址最常用的方法是采用待处理服务器。经常的更变管理员的帐号与密码,Administrator 账户拥有最高的系统权限,黑客也很难入侵,他们通常会试图获取使
28、用者帐号的密码。这样我们除了在 Administrator 账户上设置复杂的、安全性高的密码外,还应经常的改变密码,以确保系统帐户的安全。为了避免 Guest 账户的入侵,建议删除或禁用,如果必须使用,那就需要设置高安全性的密码,并设置详细的 Guest 账户的对应物理路径访问权限。虽然 JavaApplets 与 ActiveX 控件具有强大的功能,14但网页中的那些恶意代码却往往是利用这些控件来编写小程序,一旦打开网页这些小程序就会运行,因此要做好 IE 的安全设置。此外要经常、及时的打补丁。2.5 计算机信息安全防护的有效措施2.5.1 计算机运行环境和硬件设备安全计算机良好的运行环境和
29、安全的硬件设备是计算机信息系统安全稳定运行的根本基础。因此首先要在计算机系统中采取复制控制技术、防电磁泄露技术、访问控制硬件技术以及文件加密技术等保护技术,提高计算机硬件设备的安全性。另外,计算机运行环境中的腐蚀、电磁和电气干扰、温度以及湿度等也会影响计算机的信息安全,因此要严格按照计算机系统安装规范和要求,合理规划计算机系统。2.5.2 加强计算机操作系统安全防护(1)补丁升级。计算机操作系统中的应用软件越多,其内部的安全漏洞也越多,因此用户要及时安装正版的软件补丁包,提高计算机操作系统的防御能力,降低操作系统安全风险。计算机操作系统的软件补丁升级是一项及时性、持续性的工作,可以通过补丁升级
30、 WSUS(WindowsServerUpdateService) ,在计算机信息系统的局域网中每隔一段距离安装一个升级服务器,使系统中的计算机系统自动完成补丁升级。(2)漏洞扫描。在计算机操作系统中安装漏洞扫描软件,实时检测远程的或者本地的计算机网络系统的信息安全,通过对计算机操作系统的定期扫描,可以发现计算机网络系统协议的安全情况、TCP 端口的信息传递情况以及计算机系统的安全漏洞情况。当前,在计算机操作系统中有两种漏洞扫描软件,计算机主机漏洞扫描软件和计算机网络系统漏洞扫描软件。15(3)杀毒软件。在计算机操作系统中安装正版的杀毒软件,清除操作系统中计算机病毒,对木马病毒、蠕虫病毒等进行
31、集中的清除和扫描,有效地防御计算机病毒。另外由于计算机病毒也在不断发展,因此计算机网络用户要及时修复系统漏洞,加强维护防毒补丁,注意查杀发生变异和最新产生的病毒,定期对杀毒软件进行更新升级。2.5.3 加强计算机网络安全防护(1)VPN 技术。VPN(VirtualPrivateNet-work )虚拟专用网络以计算机网络加密协议为基础,可以在满足计算机公共网络信息通信的基础上,在计算机的异地网络或者本地网络之间架设一条计算机虚拟专用网络,进行保密、安全的通信,不需要架设实际的通信线路。(2)防火墙技术。防火墙技术按照一定的计算机网络系统中的相关安全标准,实时检测计算机网络系统中传输的数据包,
32、如果发现数据包的来源地质存在安全风险,会立即阻止传输数据进入网络,可以有效地阻止非法入侵者或者网络黑客以非法手段获取内部信息数据或者访问内部网络,能够有效地过滤计算机网络中的危险因素,并且利用防火墙技术可以实时记录和监控计算机网络中的多种操作,计算机网络中的任何操作经过防火墙,都会留下监测记录信息。(3)IDS 技术。IDS(IntrusionDetectionSystem)入侵检测系统可以实时监测计算机网络系统的信息通信情况,当监测到异常的访问行为或者数据传输时,IDS 可以自动采取主动防护措施或者发出报警信号。当前,入侵检测系统主要通过误用检测和异常检测这两种检测方法,检测计算机网络系统中
33、的入侵行为。(4)身份认证技术。数字化的 PKI 体制的身份认证技术和传统的使用口令及用户名认证技术不同相比,其安全性能更高。用户在登陆计算机网络系统时,在访问计算机网络信息资源时,需要使用会话和证书信息,通过这些来验证用户的真实身份,有效地组织非法入侵者假冒合法用户的行为。另外,这种数字化的 PKI 体制的身份认证技术还可以有效地提高计算机网络系统智能卡登录、电子印章、WWW 网站、电子邮件、权限管理和控制以及日志管理和审计等方16面.2.5.4 关于人为因素的防范策略企业信息系统的安全防御是一个错综复杂的系统,不仅涉及技术要素,更重要是的人为因素。人为因素主要包括,无意识因素,比如信息操作
34、及管理人员、缺乏有效的安全配置产生的安全隐患;有意识因素,比如黑客的恶意攻击,对信息系统的有效性多造成的破坏。上述人为因素都是对信息安全的巨大威胁,对此,首先应该自上而下的构建石油信息安全领导机构,由企业负责人直接牵头,各个层级都有相应的负责人,开展长期有效的信息安全培训与学习,对其岗位职责和权限进行确认,提升全体员工的信息安全防范意识。其次建立信息安全制度规章,再次完善信息安全保护措施,消除信息安全隐患。2.5.5 关于内部技术的防御策略站在内部技术的视角,信息安全防御内容为:(一)信息设备与运行环境的安全防御。信息设备与运行环境的安全,包括:因为地震、火灾、洪水等自然灾害或电力故障、盗窃等
35、人为因素导致的信息丢失和损坏。其是企业数据安全最大的隐患,所以信息化程度高的石油企业,必须有完备的容灾备份体系。要结合各自信息化建设水平、具体信息安全需求与企业实力来构建容灾备份系统。(二)信息系统运行的安全防御。企业信息化水平越高,系统的持续有效运行要求也就越高。如果系统发生中断,尤其是数据丢失,企业的各项工作就会陷入瘫痪。双机热备解决方案可以有效确保信息系统的持续性。(三)数据库的安全防御。各类数据统一集中存放在数据库系统中,供全员共享,其安全尤其重要。可以从数据备份与数据库软件本身入手。1.从数据库软件本身的性能入手构建安全保护大型数据库是一种很好的方式。通常会选在数据访问和用户登录方面
36、进行,但是要保证用户对使用数据速度的需要。大型数据库中的安全性是通过分层进行的,其安全措施是分层次设置防御。以保护对17服务器的基本存取为目的的注册及用户许可在首层;对不同用户设置不同权限的存取控制在二层;增加限制数据存取的视图和存储过程在三层。2.通过硬件备份系统进行安全防御,一方面可以确保数据库的安全性,另一方面确保网络系统安全。及时快速备份可以有效保护数据安全,在这当中,备份软件和磁带库是备份系统的重中之重。2.5.6 关于网络运行的安全防御策略信息安全问题的核心是网络安全,应该制定全视角、动静结合的防御策略应对网络安全问题。网络安全的影响因素有:操作系统、服务器、网络边界、防病毒、局域
37、网安全等。可以采用以下安全措施:(一)防火墙。防火墙可以在企业局域网和外部网络间设立保护屏障,以防止黑客入侵,确保网络边界安全。防火墙可以对进入网络的数据检查、审核、加解密和认证。(二)系统扫描与风险评估。系统扫描与风险评估也就是漏洞检测系统。系统扫描与风险评估是模仿黑客攻击手段对网络、各种操作系统和服务器等进行扫描,再形成相关安全漏洞报告,提供解决漏洞的措施,以确保操作系统、服务器、网络边界、局域网的安全。(三)网络防病毒产品。网络的推广应用,推进了信息共享和信息交换的广泛应用,使得病毒感染风险也与日俱增。企业网络中一台主机受到感染会迅速在整个网络中传播,会给企业带来无法预估的伤害。对连接外
38、网的计算机必须配备网络版杀毒软件,进行预防、监控与杀毒。对连接局域网的计算机必须配置专业单机版杀毒软件,确保定期对该软件进行统一更新升级。对静态的网络安全来说,应该通过网络的结构设计确保网络安全。对于财务部、人力资源部等安全要求较高的关键部门,必须构建专门的局域网,将其与同互联网与企业其他内网物理隔离起来;同时可以采取模块、链路、路由及设备冗余等冗余设计提升网络安全。(四)访问控制。对于企业综合信息系统的内容所设置的访问权限的限制就是访问控制功能。它建立在有的信息只能对企业内部与合作单位开放的情况基础上,必须对网络进行访问控制设置,这部分的功能可以通过配置路由器来完成。18此外,访问控制是企业
39、中安全要求不同的部门对不同的网络权限要求的问题。设计与选择各应用系统时必须首先要注重的是怎样确保各部室的信息安全性,确保安全保密性要求高的部室在信息网络系统中开展的所有业务可以免受其他人员的破坏。在网络构建中广泛使用第三层交换技术与 VLAN 技术,能够实现在公司内部将部门、财务、领导、员工网络进行逻辑性的分隔,从根本上确保公司信息系统的安全。(五)信息存储。随着网络的推广应用,多媒体的广泛使用,信息数据呈现出爆发性增长的趋势。对于信息的存储安全问题,在现阶段建立在服务器基础上的数据存储模式逐渐向建立在数据基础上的数据存储模式过渡。第三章 现有技术的局限性3 现有技术的局限性3.1 网络防火墙
40、技术的局限性网络防火墙技术由于区分不出内外网之间的区别,因此其对于内网与内网之间的访问,往往起不到作用的。其主要缺点主要表现在:一通过限制和关闭了系统中的部分有用的网络服务来提高网络的安全性,大大减少能访问到的网络信息资源;二是防火墙对来自局域网内部的攻击无能为力;三是只能防御已知的技术漏洞,对于新型的黑客攻击及恶意访问则显得力不从心;四是某些已加载的程序可通过一些技术手段达到绕过防火墙的阻隔的目的。3.2 数据加密技术的局限性文档加密技术和磁盘加密技术是目前主要的两种数据加密技术。前者由于主要是依赖于应用进程和文件的关联关系,但由于在操作过程中的应用程序太19过复杂或由于程序的更新而导致原文
41、件的丢失,需要进行再次扫描,会造成用户环境不稳定的隐患;另外该技术采用了文件重定向的临时缓存文件技术以及多种钩子技术,容易跟防病毒等软件相冲突,这也会降低系统的工作效率以及带来新的不稳定因素,产生安全漏洞。后者过分依赖加密卡,如果加密卡损坏或者丢失,用户自己无法再进入那台被加密过的机器,而加密卡的生产厂商也没有办法复制新的钥匙出来。3.3 入侵检测技术的局限性尽管各类入侵检测系统能够检测网络系统中存在的入侵行为和隐患,但由于网络系统的复杂性,入侵检测系统也有其不足之处,例如通过伪造合法的信息或借道欺骗或绕过入侵检测系统;利用时间差躲开入侵检测系统;直接破坏入侵检测系统及其工作环境。3.4 网络
42、安全扫描技术的局限性因为系统漏洞的确认是以系统配置规则库为基础的,而网络系统漏洞数据库又是网络漏洞扫描的核心,所以如果规则库设计的不准确,就不可能进行准确的预报;网络系统的很多危险的威胁来自于未知的漏洞,预报准确度依赖于规则库的更新情况;部分系统漏洞受漏洞库覆盖范围的限制,可能躲避开检测;还有如果漏洞数据库信息不全或没有及时更新,反而可能会误导系统管理员,使其不能及时有效的采取措施消除系统隐患。3.5 反病毒技术的局限性当前的杀毒软件就其工作机制来说,大多是一个扫描器,例如病毒扫描、启发式扫描、CRC 扫描等。通常都会采用结合使用几种不同算法的扫描方式以期达到更好的查毒、杀毒的目的。这些杀毒软
43、件基本上都是通过一个病毒特征库进行查毒、杀毒,因而不可能免疫所有的病毒,另外如果病毒库的数据量太20大的话,也会导致查毒、杀毒的效率下降。第四章 计算机网络信息安全的发展趋势从上述的各种网络安全技术手段的介绍和分析,我们可以清晰的看到,它们都有其自身的优缺点和使用范围。随着计算机网络技术的发展,未来的计算机网络信息安全的发展趋势必然是充分利用现有技术的优势,并加以改善,同时努力发展更新更好的技术。进一步讲,以后的发展趋势必定是各种技术的更深层次的融合,例如防火墙技术和入侵检测技术等其他安全技术的结合使用,可以有效地克服防火墙在实际应用中的局限性。在提高防火墙自身功能、性能的同时,其他安全技术也
44、可以弥补防火墙的一些缺点(例如其对内网无能为力),从而提高网络整体的安全性。例如在防火墙中加入入侵检测功能以及扫描功能,使得所有要通过防火墙的数据流在接受防火墙的验证的同时,也要接受入侵监测的扫描,从而达到了实时阻断非法入侵的目的;或者按照设置的协议进行通信、传输,只在入侵检测系统或防火墙系统中开放一个供对方调用的接口,出现异常时系统能实时得到告警。在反病毒方面,计算机反病毒技术的发展趋势大致有:一是反病毒技术走向开放式;二是向综合技术化方向发展;三是自身21完整性检查;四是技术向集成化方向发展;五是和应用系统及操作系统的集成化。参考文献:1.冯普胜.AR 病毒和处理方法J,内蒙古电力技术,2
45、008 年 6 月2.王秀和 杨明.计算机网络安全技术浅析J,中国教育技术设备,2007 年 5月3.李辉.计算机网络安全与对策J,潍坊学院学报,2007 年 3 月4.黄叔武 刘建新.计算机网络教程,清华大学出版社,2004 年 11 月5.戴红 王海泉 黄坚.计算机网络安全,电子工业出版社,2008 年 9 月6.程昱 余燕熊.信息系统攻防技术,清华大学出版社,2009 年7.姚华 肖琳.网络安全基础教程M.北京理工大学出版社,2007 年致谢首先感谢我的导师熊国文。本文从开题、写作直至最终定稿,熊老师给予了诸多建设性建议,并在百忙之中三阅其稿。恩师严谨的治学态度、科学的治22学方法、渊博的学识、诲人不倦的精神和平易近人的工作作风令我景仰和敬慕,并将使我终生受益。也感谢在一起愉快的度过毕业论文小组的同学们,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。
