淺談網(wǎng)絡(luò)信息安全防范措施

PAGE1-淺談網(wǎng)絡(luò)信息安全防范措施摘要：隨著科學(xué)技術(shù)的進步，計算機及網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介，并且滲透到社會生活的各個角落。但網(wǎng)絡(luò)給我們帶來極大方便的同時，隨之而來網(wǎng)絡(luò)安全與信息安全的問題日益突出；如何能最大程度的保證網(wǎng)絡(luò)的安全、信息的完整就顯得尤為重要。本文從網(wǎng)絡(luò)與信息安全理論以及技術(shù)防范兩個方面來加以討論，讓讀者對網(wǎng)絡(luò)與信息安全有一個比較全面的了解和認識。關(guān)鍵詞：網(wǎng)絡(luò)與信息安全概念；網(wǎng)絡(luò)與信息安全技術(shù)；所謂網(wǎng)絡(luò)信息安全就是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)信息安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全；從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的完整性、機密性、有效性、等相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)信息安全的研究領(lǐng)域。1、信息安全概念理解信息安全的概念有利于人們更容易地了解各種名目繁多及眾多延伸出來的信息安全理論及其方法技措施。問題就是：什么樣的信息才認為是安全的呢？（1）信息的完整性信息在存儲、傳遞和提取的過程中沒有殘缺、丟失等現(xiàn)象的出現(xiàn)，這就要求信息的存儲介質(zhì)、存儲方式、傳播媒體、傳播方法、讀取方式等要完全可靠，因為信息總是以一定的方式來記錄、傳遞與提取的，它以多種多樣的形式存儲于多樣的物理介質(zhì)中，并隨時可能通過某種方式來傳遞。簡單地說如果一段記錄由于某種原因而殘缺不全了，那么其記錄的信息也就不完整了。那么我們就可以認為這種存儲方式或傳遞方式是不安全的。（2）信息的機密性就是信息不被泄露或竊取。這也是一般人們所理解的安全概念。人們總希望有些信息不被自己不信任的人所知曉，因而采用一些方法來防止，比如把秘密的信息進行加密，把秘密的文件放在別人無法拿到的地方等等，都是實現(xiàn)信息機密性的方法。（3）信息的有效性一種是對信息的存取有效性的保證，即以規(guī)定的方法能夠準確無誤地存取特定的信息資源；一種是信息的時效性，指信息在特定的時間段內(nèi)能被有權(quán)存取該信息的主體所存取。2、網(wǎng)絡(luò)信息安全所要解決的問題計算機網(wǎng)絡(luò)安全的層次上大致可分為：物理安全、安全控制、安全服務(wù)三個方面。2.1、物理安全物理安全是指在物理介質(zhì)層次上對存儲和傳輸?shù)木W(wǎng)絡(luò)信息的安全保護。對于計算機網(wǎng)絡(luò)設(shè)備、設(shè)施等免于遭受自然或人為的破壞。主境需要不同的安全策略。3、網(wǎng)絡(luò)信息安全技術(shù)由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來堵塞安全漏洞和提供安全的通信服務(wù)。如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、身份驗證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。(1)網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很牢靠的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。（2）防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護網(wǎng)絡(luò)和外界之間的一道屏障，是通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來實何保證通信網(wǎng)絡(luò)的安全對今后計算機通信網(wǎng)絡(luò)的發(fā)展尤為重要?，F(xiàn)對網(wǎng)絡(luò)的安全保護。防火墻的組成可以表示為：防火墻=過濾器+安全策略+網(wǎng)關(guān)，它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。在Internet上，通過它來隔離風(fēng)險區(qū)域與安全區(qū)域的連接，但不防礙人們對風(fēng)險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信數(shù)據(jù)，從而完成僅讓安全、核準的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入的任務(wù)。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點有三：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是無法執(zhí)行某些安全策略。網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT?！澳悴荒芄裟憧床灰姷臇|西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時，NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址，并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當一個數(shù)據(jù)包返回到NAT系統(tǒng)，這一過程將被逆轉(zhuǎn)。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包，他們也不能確定發(fā)送端的真實IP地址，從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計算機。NAT技術(shù)也存在一些缺點，例如：木馬程序可以通過NAT進行外部連接，穿透防火墻。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點是速度相對較慢。監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。它是由CheckPoint軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻。總的來說，具有：高安全性，高效性，可伸縮性和易擴展性。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器也集成了包過濾技術(shù),這兩種技術(shù)的混合顯然比單獨使用具有更大的優(yōu)勢?？偟膩碚f，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價的，防火墻只是整個網(wǎng)絡(luò)安全防護體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強安全保護，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進行加密和解密，非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。（3）身份驗證技術(shù)。身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎(chǔ)上的。為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡(luò)需要采用的識別技術(shù)。常用的識別方法有口令、唯一標識符、標記識別等?？诹钍亲畛Ｓ玫淖R別用戶的方法，通常是由計算機系統(tǒng)隨機產(chǎn)生，不易猜測、保密性強，必要時，還可以隨時更改，實行固定或不固定使用有效期制度，進一步提高網(wǎng)絡(luò)使用的安全性；唯一標識符一般用于高度安全的網(wǎng)絡(luò)系統(tǒng)，采用對存取控制和網(wǎng)絡(luò)管理實行精確而唯一的標識用戶的方法，每個用戶的唯一標識符是由網(wǎng)絡(luò)系統(tǒng)在用戶建立時生成的一個數(shù)字，且該數(shù)字在系統(tǒng)周期內(nèi)不會被別的用戶再度使用；標記識別是一種包括一個隨機精確碼卡片（如磁卡等）的識別方式，一個標記是一個口令的物理實現(xiàn)，用它來代替系統(tǒng)打入一個口令。一個用戶必須具有一個卡片，但為了提高安全性，可以用于多個口令的使用。(4)網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡(luò)防病毒，那可能給社會造成災(zāi)難性的后果，因此計算機病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對全網(wǎng)的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都能及時知道，從而從管理中心處予以解決。訪問控制也是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段，可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它主要包括：身份驗證、存取控制、入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制等。4、結(jié)束語網(wǎng)絡(luò)信息安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面問題，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，而一種技術(shù)只能解決一方面的安