網(wǎng)絡(luò)信息安全的保護技術(shù)和策略方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上網(wǎng)絡(luò)信息安全的保護技術(shù)和策略方案一、引言 Internet是世界上最大的互聯(lián)網(wǎng)，它是全球最大的信息超級市場，目前Internet正成為人們不可缺少的工具。然而，Internet 是一個全開放的信息系統(tǒng)，已經(jīng)成為各國信息戰(zhàn)的戰(zhàn)略目標(biāo)，竊密和反竊密、破壞與反破壞的斗爭是全方位的，不只是個人、集團級的行為，而且是國家級的行為。自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計算機網(wǎng)絡(luò)資源共享的進一步加強隨之而來的信息安全問題也日益突出，各種計算機病毒和網(wǎng)上黑客（Hackers）對Internet的攻擊越來越激烈，許多網(wǎng)站遭受破壞的事例不勝枚舉。那么

2、，黑客的攻擊為什么屢屢得手呢？其主要有以下幾個原因：* 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)具有內(nèi)在安全的脆弱性。 * 對網(wǎng)絡(luò)的管理思想麻痹，沒有重視黑客攻擊所造成的嚴(yán)重后果，舍不得投入必要的人力、財力、物力來加強網(wǎng)絡(luò)安全性。 * 沒有采取正確的安全策略和安全機制。 * 缺乏先進的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品。 * 缺乏先進的系統(tǒng)恢復(fù)、備份技術(shù)和工具。 鑒于上述原因，為了加強Internet信息安全保護，有必要針對目前黑客對Internet網(wǎng)站采取的攻擊手段制定相應(yīng)有效的防范措施。 二、Internet選擇的幾種安全模式 目前，在Internet應(yīng)用中可采取各種的防衛(wèi)安全模式，歸納起來不外乎以下幾種方式： 1. 無

3、安全防衛(wèi)：這在Internet應(yīng)用初期多數(shù)采取此方式，安全防衛(wèi)上不采取任何措施，只使用從銷售商那里提供的安全防衛(wèi)措施。這種方法是不采取的，應(yīng)當(dāng)摒棄它。 2. 模糊安全防衛(wèi)： 采用這種方式的網(wǎng)站總認為自己的站點規(guī)模小，對外無足輕重，沒人知道，即使知道，黑客也不會對其實行攻擊。這種想法是非常錯誤的，事實上，只要是一個網(wǎng)站，很快就會引起人們的關(guān)注。因為，許多入侵者并不是瞄準(zhǔn)特定目標(biāo)，只是想闖入盡可能多的機器，雖然它們不會永遠駐留在你的站點上，但它們?yōu)榱搜谏w闖入你網(wǎng)站的罪證，勢必將對你的網(wǎng)站的有關(guān)內(nèi)容進行破壞，從而給你們的網(wǎng)站帶來重大損失。為此要求每個站點要進行必要的登記注冊。這樣，一旦有人使用服務(wù)時

4、，提供服務(wù)的人知道它從哪來，但是這種站點防衛(wèi)信息很容易被發(fā)現(xiàn)，例如登記時會有站點的軟、硬件以及所用操作系統(tǒng)的信息，黑客就能從這發(fā)現(xiàn)安全漏洞，同樣在站點與其它站點連機或向別人發(fā)送信息時，也很容易被入侵者獲得有關(guān)信息，因此這種模糊安全防衛(wèi)方式也是不可取的。 3. 主機安全防衛(wèi)： 主機安全防衛(wèi)可能是最常用的一種防衛(wèi)方式，即每個用戶對自己的機器加強安全防衛(wèi)，盡可能避免已知的可能影響特定主機安全的問題，這是主機安全防衛(wèi)的本質(zhì)。但是由于環(huán)境的復(fù)雜性和多樣性，例如操作系統(tǒng)的版本不同、配置不同以及不同的服務(wù)和不同的子系統(tǒng)都會帶來各種安全問題。即使這些安全問題都解決了，主機防衛(wèi)還要受到銷售商軟件缺陷的影響，有時

5、也缺少有合適功能和安全的軟件?？墒侵鳈C安全防衛(wèi)對一個小的網(wǎng)站或是有強烈安全要求的基地是很合適的，但隨著機器數(shù)量的增加和有權(quán)使用機器的用戶數(shù)的增加，這種安全防衛(wèi)比一個計算機網(wǎng)絡(luò)安全防衛(wèi)工作還難搞。 4. 網(wǎng)絡(luò)安全防衛(wèi)： 這是目前Internet中各網(wǎng)站所采取的安全防衛(wèi)方式，網(wǎng)絡(luò)安全防衛(wèi)方式也就是將注意力集中在控制不同主機的網(wǎng)絡(luò)通道和所提供的服務(wù)上，要比上述幾種防衛(wèi)方式更有效，網(wǎng)絡(luò)安全防衛(wèi)包括建立防火墻來保護內(nèi)部系統(tǒng)和網(wǎng)絡(luò)、運用各種可靠的認證手段（如：一次性密碼等），對敏感數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時，采用密碼保護的方式進行。 三、安全防衛(wèi)的技術(shù)手段在Internet中，對各網(wǎng)站中的信息安全，在技術(shù)上主要是

6、計算機安全和信息傳輸安全這二個技術(shù)環(huán)節(jié)，主要是由這二方面來完成網(wǎng)絡(luò)中各種信息的安全。 1. 計算機安全技術(shù) * 健壯的操作系統(tǒng)： 操作系統(tǒng)是計算機和網(wǎng)絡(luò)中的工作平臺，在選用操作系統(tǒng)時，應(yīng)選用軟件工具齊全、豐富、縮放性強，如果有很多版本可供選擇，應(yīng)選用戶群最少的那個版本，這樣使入侵者用各種方法（如Unix中采用預(yù)編譯的方法來攻擊計算機）攻擊計算機的可能性減少，另外還要有較高訪問控制和系統(tǒng)設(shè)計等安全功能。 * 容錯技術(shù) 計算機盡量使其具有較強的容錯能力，例如，組件全冗余、沒有單點硬件失效、動態(tài)系統(tǒng)域、動態(tài)重組、錯誤校正互連：通過錯誤校正碼和奇偶校驗的結(jié)合保護數(shù)據(jù)和地址總線；在線增減域或更換系統(tǒng)組件

7、，創(chuàng)建或刪除系統(tǒng)域，而不干擾系統(tǒng)應(yīng)用的進行，也可以采取雙機備份同步校驗方式，保證網(wǎng)絡(luò)系統(tǒng)在一個系統(tǒng)由于意外而崩潰時，計算機進行自動切換以確保正常運轉(zhuǎn)，保證各項數(shù)據(jù)信息的完整性和一致性。 2. 網(wǎng)絡(luò)信息安全技術(shù) 有以下幾種技術(shù)： 1) 網(wǎng)絡(luò)訪問控制技術(shù) 防火墻技術(shù)：它是一種有效的網(wǎng)絡(luò)安全機制，用于確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)，其準(zhǔn)則就是：一切未被允許的就是禁止的；一切未被禁止的就是允許的，防火墻有下列幾種類型： a) 包過濾技術(shù)：通常安裝在路由器上（網(wǎng)絡(luò)層），對數(shù)據(jù)進行選擇，它以IP包信息為基礎(chǔ)，對IP源地址，IP目標(biāo)地址、封裝協(xié)議（TCP/UDP/ICMP/I

8、Ptunnel）、端口號等進行篩選，在OSI協(xié)議的網(wǎng)絡(luò)層進行。 b) 代理服務(wù)技術(shù)：通常由二部分構(gòu)成，服務(wù)端程序和客戶端程序、客戶端程序與中間節(jié)點（Proxy Server）連接，中間節(jié)點與要訪問的外部服務(wù)器實際連接，與包過濾防火墻不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)。 c) 復(fù)合型技術(shù)：把包過濾和代理服務(wù)兩種方法結(jié)合起來，可形成新的防火墻，所用主機稱為保壘主機，負責(zé)提供代理服務(wù)。 d) 審計技術(shù)：通過對網(wǎng)絡(luò)上發(fā)生的各種訪問過程進行記錄和產(chǎn)生日志，并對日志進行統(tǒng)計分析，從而對資源使用情況進行分析，對異常現(xiàn)象進行追蹤監(jiān)視。 e) 路由器加密技術(shù)：加密路由器對通過路

9、由器的信息流進行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳達室輸?shù)侥康亩诉M行解壓縮和解密。 2) 信息確認技術(shù) 安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用二種確認方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認技術(shù)應(yīng)具有：具有合法身份的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔ⅲ怀霈F(xiàn)異常時，可由認證系統(tǒng)進行處理。目前，信息確認技術(shù)已較成熟，如信息認證，用戶認證和密鑰認證，數(shù)字簽名等，為信息安全提供了可靠保障。 3) 密鑰安全技術(shù) 網(wǎng)絡(luò)安全中，加密技術(shù)種類

10、繁多，它是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，常用的加密技術(shù)分為軟件加密和硬件加密。1999年國家頒布了商用密碼使用條例，信息加密的方法有對稱密鑰加密和非對稱加密，二種方法各有其之所長。 * 對稱密鑰加密在此方法中加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標(biāo)準(zhǔn)是DES算法，DES的優(yōu)勢在于加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、密碼空間小，”窮舉”方式進攻的代價小，它們機制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個環(huán)節(jié)。 * 非對稱密鑰加密在此方法中加密和解密使用不同密鑰，即公開密鑰和秘密密鑰，公開密鑰用于機密性信息的加密；秘密密鑰用于對加密信息的

11、解密。一般采用RSA算法，優(yōu)點在于易實現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復(fù)雜，加密解密花費時間長。 從目前實際的安全防范應(yīng)用中，尤其是信息量較大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜時，采取對稱密鑰加密技術(shù)，為了防范密鑰受到各種形式的黑客攻擊，如基于Internet的”聯(lián)機運算”，即利用許多臺計算機采用”窮舉”方式進行計算來破譯密碼。因此，密鑰的長度越長越好。目前一般密鑰的長度為64位、1024位，實踐證明它是安全的，同時也滿足計算機的速度。2048位的密鑰長度，也已開始在某些軟件中應(yīng)用。 3. 病毒防范技術(shù) 計算機病毒實際上就是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害計算機系統(tǒng)的功能程序。在系統(tǒng)穿透或違反授權(quán)攻擊成功后，攻擊者通常要在系統(tǒng)中植入一種能力，為以攻擊系統(tǒng)、網(wǎng)絡(luò)提供方便的條件。如向系統(tǒng)中浸入病毒、蛀蟲、特洛信木馬、限門、邏輯炸彈；或通過竊聽、冒充等方式來破壞系統(tǒng)正常工作。從Internet上下載軟件和使用盜版軟件是病毒的主要來源。 針對病毒的嚴(yán)重性，我們應(yīng)提高防范意識，做到：所有軟件必須經(jīng)過嚴(yán)格審查，經(jīng)過相應(yīng)的控制程序后才能使用；采用防病毒軟件，定時地對系統(tǒng)中的所有工具軟件、應(yīng)用軟件進行檢測，防止各種病毒的入侵。 以上系統(tǒng)地敘述網(wǎng)絡(luò)的安全方式以及實際應(yīng)用中應(yīng)采取的防范措施和技術(shù)手段，隨著Int