定期更新杀毒软件!打开防火墙!小心陌生信息!不进不安全的网页!
❷ 网络安全存在的问题及对策分析
网络安全存在的问题及对策分析
随着互联网的快速发展,互联网在各个领域的应用取得了积极进展,互联网已经成为多个领域的重要辅助手段,对提高工作效率和改变生活方式起到积极的促进作用。但是随着网络个人信息的增多,以及人们对网络的依赖,网络安全问题成为了制约网络发展的重要因素。同时,网络安全问题还对用户的信息及财产产生了严重的影响和威胁。为此,我们应对网络安全问题引起足够的重视,应从网络安全现存问题入手,分析问题的成因,制定具体的应对策略,保证网络安全问题得到有效解决,提高网络安全性,为用户营造一个安全稳定的网络环境。
网络安全的概念分析
网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改。系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。网络服务不中断。广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
网络安全存在的主要问题分析
从目前网络安全所暴露出的问题来看,重要包括两个大的方面,即自然因素引起的网络安全问题和人为因素引起的网络安全问题,以下我们着重分析这两种网络安全问题。
1、自然因素及偶发因素引起的网络安全问题
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对网络安全造成威胁。
2、人为因素引起的网络安全问题
从计算机网络的实际使用来看,人为因素引起的网络安全问题主要表现在以下几个方面:
(1)网络应用中的不安全问题
在网络的应用中,由于网络具有较为开放的特征,因此在网络中信息的传输和交换非常频繁,由此造成的信息安全也成为了网络安全面临的主要问题。在互联网中,用户之间由于现实的数据传输需求,需要保证自己的网络终端属于开放的状态,由此就给他人以植入木马程序等电脑病毒的机会。所以,网络使用中存在的不安全问题是网络安全问题的重要类别。
(2)操作系统本身存在的安全漏洞和缺陷
在网络应用中,操作系统是网络终端用户的重要软件系统。虽然操作系统在开发过程中均会对安全设置予以高度重视,并在使用中起到一定的安全防护作用。但是随着网络黑客手段的升级,操作系统本身存在的.安全漏洞和缺陷逐渐被网络黑客所破解,由此给网络用户的信息和资金安全带来了较大的影响。为此,我们必须对操作系统本身存在的安全漏洞和缺陷有足够的重视,采取积极措施予以弥补。
(3)数据库存在的安全隐患
在互联网使用中,不管是网络用户终端还是各个网站,都会有相应的数据库。在数据库中,存储着大量的信息数据和关键信息。其中有些涉及个人隐私,有些则是涉及资金安全的重要信息。但是从目前数据库建设来看,数据库的安全防御措施比较薄弱,一旦遇到网络入侵,难以形成对数据信息的有效保护,数据库的安全隐患已经成为网络安全的重要问题之一。
(4)网络防火墙存在的安全漏洞和局限性
为了提高网络终端用户的安全防御能力,网络防火墙系统是重要的网终端防御系统。但是受到多种因素的困扰以及网络防火墙技术的限制,在实际使用过程中,网络防火墙不可避免的存在安全漏洞和局限性,这一缺陷导致了网络防火墙只能抵御一般性网络攻击,一旦遇到升级版本的计算机病毒,将无法形成对系统的保护,进而给网络安全造成严重影响。
网络安全问题的应对策略分析
考虑到网络安全问题造成的严重影响,以及网络安全的重要性,在网络使用过程中,我们应对网络安全问题进行认真分析,应从网络发展实际出发,围绕着网络安全存在的问题,制定具体的应对策略,保证网络安全问题得到有效解决,提高网络的安全性和可靠性,促进网络的快速健康发展,为网络用户提供一个安全的网络环境。为此,我们应从以下几个方面入手,制定网络安全问题的应对策略:
1、建立完善的网络安全管理制度,应对网络安全突发事件
为了防范网络系统突然遭遇外界因素干扰进而发生安全问题,应在网络使用过程中,根据自身需要,建立完善的网络安全管理制度,保证对网络安全问题能够有够的预见,并做到在网络安全突发事件中能够采取有效措施予以应对。考虑到网络安全面临的现实影响和威胁,我们应在建立完善的网络安全管理制度的基础上,对网络系统和数据进行备份,避免因外界因素导致数据损坏或丢失。
2、对操作系统进行及时更新,堵塞操作系统的安全漏洞
从目前计算机操作系统的发展来看,操作系统的研发部门能够在操作系统使用一段时间后意识到其存在的漏洞和缺陷,能够通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞,从而满足操作系统的安全性能指标,提高操作系统的防御能力。所以,我们应在网络使用过程中,对操作系统进行及时更新,防患于未然。
3、在网络终端系统中安装杀毒软件,提高防御能力
从目前网络使用过程来看,计算机病毒作为一种特殊代码,无法从根本上予以消除。为了保证网络终端能够满足安全性能要求,我们应在网络终端系统中安装杀毒软件,定期对网络终端系统进行杀毒,保证网络终端系统能够抵御病毒攻击,提高网络终端系统的安全性。在当前网络保护中,安装杀毒软件是一种保护系统安全的有效方式,我们应广泛采用。
4、采用信息加密技术,提高数据库的安全性
考虑到数据信息安全的重要性,在网络使用中,我们应结合数据库的使用特点,对数据库中的信息采取加密技术,防止数据库中的数据被盗用,提高数据的安全性。在数据库信息加密过程中,我们可以采用最新的加密技术,并不定期的更新密钥,保证数据库不被计算机病毒和黑客入侵,达到保护数据库安全的目的。
5、安装高版本的防火墙,采用防火墙和密码相结合的方式提高安全性
对于计算机终端而言,防火墙对防御外界攻击提高系统安全性具有重要意义。为此,我们应在计算机终端上积极安装高版本的防火墙,提高防火墙的防御能力,满足计算机终端的防御需要,同时,我们还可以采用防火墙与密码相结合的方式,提高防火墙和计算机终端的安全性,有效解决网络安全问题。所以,应在每一个计算机终端上都安装防火墙。
通过本文的分析可知,随着互联网的快速发展,网络安全问题不容忽视。为此,我们应从网络安全制度建设、操作系统更新、安装杀毒软件、采用信息加密技术和安装高版本防火墙等手段,有效提高网络安全性能,满足网络安全发展需要。
;❸ 如何保护内网安全
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。今天就给大家脑补一下内网安全的保护方法。
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的'目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1 这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
❹ 讨论校园网系统的安全性如何保证
校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。
一、网络信息安全系统设计原则
目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:
满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。
--第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。
--第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。
--第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
可用性原则安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。
分步实施原则:分级管理分步实施由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
二、网络信息安全系统设计步骤
网络安全需求分析
确立合理的目标基线和安全策略
明确准备付出的代价
制定可行的技术方案
工程实施方案(产品的选购与定制)
制定配套的法规、条例和管理办法
本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。
三、网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:
局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现
在连接Internet时,如何在网络层实现安全性
应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵
如何实现广域网信息传输的安全保密性
加密系统如何布置,包括建立证书管理中心、应用系统集成加密等
如何实现远程访问的安全性
如何评价网络系统的整体安全性
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
❺ 1. 现在老是听到有人在说内网安全,什么是内网安全,为什么做内网安全。内网安全做了是干什么的
信息数据安全如何保障
由普华永道与CIO、CSO举办,130个国家和地区、7200多名管理人员参与的全球信息安全调查显示,企业信息安全要“对症下药”,首先必须考虑数据的安全防护。56%的受访者表示自己的企业缺乏数据丢失防护能力。而接近半数的中国受访者表示,数据丢失保护的同时,没有实行数据访问授权控制的措施。
在今天,企业的信息和数据大多以为电子文档的形式进行存储和传递。从设计图纸到客户信息,从财务数据到无纸化公文,电子文档大大加快了信息的流动与共享,加速了组织的业务流程。但是,电子文档本身所具有的易获取、易复制、易传播的开放性特征,以及发达的互联网应用,随处可见的移动存储设备,都是电子文档安全防护过程中不可回避的难题。
系统应用效率难以评估和控制
最近公布的一项调查结果表明,在工作中使用MSN、QQ等聊天的人数高达89.2%,网页浏览中新闻网页占65.9%居于首位。一个月薪2000元的员工,每天“隐性旷工”2小时,每年为企业带来的直接损失高达6000元。一个拥有50人的企业仅此一项每年将损失30万。并且滥用网络和系统资源还可能将暗藏于互联网的安全隐患带入企业网络内,威胁系统安全。
系统维护及资产管理繁琐
Gartner及ForresterResearch的研究指出,IT部门接近一半的工作时间用于为计算机安装及升级软件,IT人员为PC做简单的日常维护工作占其总工作量的70-80%,大大增加计算机网络的综合管理成本。如果问题没有得到及时有效的处理,也会极大影响企业的业务连续性。
合力天下内网安全监控平台正是一个为企业解决上述问题的有力工具。合力天下内网安全监控平台运用系统管理思想,采用功能模块式设计,充分利用行为审计,分级授权,访问控制、集中管理和文档透明加解密等技术手段,为企业提供信息安全、应用效率和系统管理的全面解决方案。
其中,合力天下内网安全监控平台文档透明加解密模块,采用多种先进技术保证文档的完整性和可用性;同时,高速缓冲技术的加入也使其对系统性能的损耗微乎其微。其高安全性、高稳定性、高可用性的特点,适合各种规模的商业企业、政府机构、事业单位、科研院所等保护其机密信息。
❻ 企业对网络安全的需求都有哪些
企业对安全方案的需求
早在20世纪90年代,如果企业和政府机构希望能具有竞争力,他们就必须对市场需求作出强有力的响应。这就引发了依靠互联网来获取和共享信息的趋势。然而,随着经济状况在近年来所发生的转变,市场的焦点又返回到了基本的原则。目前,企业和政府领导者们都认识到,对未来增长和生产效率产生最大约束的因素就是网络安全性和可用性。
生产效率为什么如此重要呢?生产效率的提高与营业收入的增长是直接相关的:
如果生产效率增长率为2.5%,那么营业收入每隔三十年就能翻一番。
如果生产效率增长率为10%,那么营业收入每隔七年就能翻一番。
近年来的经济挑战强调的是进一步提高生产效率进而推动未来增长,而基于互联网的生产效率工具则取决于网络安全性和可用性。
网络的转型
在过去,网络大多是封闭式的,因此比较容易确保其安全性。那时的安全性是取决于周边环境的,因为网络本身是一个静态的环境。周边环境是很容易定义的,网络智能是不需要的,而简单的安全性设备足以承担封堵安全性漏洞的任务。
然而,网络已经发生了变化,时至今日,确保网络安全性和可用性已经成为更加复杂的任务。市场对于网络支持居家办公方式、分支机构连通性、无线移动性和新的企业到企业战略的需求不断增加,现代的网络周边环境的封闭性已经被打破。在今天的情况下,用户每一次连接到网络之后,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品,因为他们的业务不断增长,目前所使用的针对早期、不很复杂的网络而设计的安全设备都已经无能为力了。
目前市场中所部署的多数安全解决方案都要求客户将安全功能与联网战略分离开来,这样才能应用不能识别网络的、不是针对与网络服务合作而设计的工具。这就使得此类网络极其脆弱,在现代黑客所发起的狡猾的攻击面前不堪一击。
泛滥成灾的互联网攻击
发动毁灭性网络攻击并不困难。有很多种攻击工具都可以很容易地从互联网上找到和下载。网络攻击的次数在迅速增多。据联邦调查局(FBI)统计,70%的安全犯罪都是由内部人员实施的。(然而,近期证据还表明,外部攻击的次数也在增多。)
考虑到业务的损失和生产效率的下降, 以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可以是毁灭性的。此外,严重的安全性攻击还可导致企业的公众形象的破坏、法律上的责任、乃至客户信心的丧失,并进而造成无法估量的成本损失。
隐私权与安全性立法对行业的影响
目前(美国)在医疗保健(HIPAA)、金融服务(GLBA)和零售(在线隐私权法案)等某些行业中,强制实施隐私权和安全性的联邦法案和相关规定已经作为法律颁布实行。HIPAA就是"医疗保险可移植性与可信度法案",到2003年4月,该法案中所规定的机构都必须遵守隐私权法规。该法案中所包括的机构应该以下列方式开始自己的HIPAA规划过程:进行网络安全性分析(如思科公司所提供的安全性状况评估)并进行隐私权与商业策略差距分析(思科公司生态系统合作伙伴可以提供)。
❼ 现在的网络环境存在怎样的安全问题
一、网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求,这主要表现在:开放性的网络,导致网络的技术是全开放的,任何一个人、团体都可能获得,因而网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击;可以是对软件实施攻击,也可以对硬件实施攻击。国际性的一个网络还意味着网络的攻击不仅仅来自本地网络的用户,它可以来自Internet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。自由意味着网络最初对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络,自由地使用和发布各种类型的信息。用户只对自己的行为负责,而没有任何的法律限制。
尽管开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用Internet提高办事效率和市场反应能力,以便更具竞争力。通过Internet,他们可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
1. 什么是安全
安全包括五个要素:机密性、完整性、可用性、可控性与可审查性。
· 机密性:确保信息不暴露给未授权的实体或进程。
· 完整性:只有被允许的人才能修改数据,并能够判别出数据是否已被篡改。
· 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
· 可控性:可以控制授权范围内的信息流向及行为方式。
· 可审查性:对出现的网络安全问题提供调查的依据和手段。
2. 安全威胁
一般认为,目前网络存在的威胁主要表现在:
· 利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
· 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
· 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、账号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
· 破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
· 拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
3. 安全服务、机制与技术
· 安全服务:包括服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务 。
· 安全机制:包括访问控制机制、加密机制、认证交换机制、数字签名机制、防业务流分析机制、路由控制机制 。
· 安全技术:包括防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术 。
在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
4. 安全工作目的
安全工作的目的就是为了在安全法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,完成以下任务:
· 使用访问控制机制,阻止非授权用户进入网络,即“进不来”,从而保证网络系统的可用性。
· 使用授权机制,实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。
· 使用加密机制,确保信息不暴露给未授权的实体或进程,即“看不懂”,从而实现信息的保密性。
· 使用数据完整性鉴别机制,保证只有得到允许的人才能修改数据,而其它人“改不了”,从而确保信息的完整性。
· 使用审计、监控、防抵赖等安全机制,使得攻击者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
二、网络安全问题分析
网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害,我们这里主要研究的是前者。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段;病毒与恶意攻击,即通过网络传播病毒或恶意Java、XActive等。
除此之外,Internet非法内容也形成了对网络的另一大威胁。有关部门统计显示,有30%-40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。在这样的情况下,Internet资源被严重浪费。尤其对教育网来说,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些不良网站含有暴力、色情、反动消息等内容,将极大地危害青少年的身心健康。
三、网络安全策略
通过对网络的全面了解,按照安全策略的要求及风险分析的结果,整个网络措施应按系统体系建立,具体的安全控制系统由以下几个方面组成: 物理安全、网络安全、信息安全。
1. 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米,这给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
2. 网络安全
网络安全,包括:系统(主机、服务器)安全、反病毒、系统安全检测、审计分析网络运行安全、备份与恢复、局域网与子网安全、访问控制(防火墙)、网络安全检测、入侵检测。
3. 信息安全
主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,具体包括数据加密、数据完整性鉴别、防抵赖、信息存储安全、数据库安全、终端安全、信息的防泄密、信息内容审计、用户授权。
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理,组织管理和人员录用等方面有许多的不安全因素,而这又是计算机网络安全所必须考虑的基本问题,所以应引起网络管理员的重视。
四、防治计算机病毒
计算机病毒在网络中泛滥已久,一旦入侵到本地网络,在本地局域网中会快速繁殖,导致局域网计算机的相互感染,下面介绍一下有关局域网病毒的入侵原理及防范方法。
1. 局域网病毒入侵原理及现象
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几种。
1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中
4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。
在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。
1)感染速度快
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在十几分钟内将网上的数百台计算机全部感染。
2)扩散面广
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。
3)传播的形式复杂多样
计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的,但现在病毒技术进步了不少,传播的形式复杂多样。
4)难于彻底清除
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行杀毒,并不能解决病毒对网络的危害。
5)破坏性大
网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使网络服务瘫痪。
2. 局域网病毒防范方法
查杀病毒的基本步骤:
1)首先要断开网络,使受感染的机器隔离;
2)使用杀毒软件进行查杀,可以使用金山或瑞星的专杀工具,彻底清除病毒;
3)安装IE 相应最新补丁或升级IE 版本,如果是服务器还要安装IIS补丁;
4)把系统中出现的一些非法共享(如C、D 等),应该将其共享属性去掉;对于服务器,查看一下Administrators 组中是否加进了“guest”用户,要把guest 用户从Administrators 组中删除。
随着各公司机构内部网不断建立和扩充,用户通过局域网与因特网连接,内部有Web服务器和FTP服务器,一旦网络病毒在内部局域网传播,即便将每台电脑的网线都拔下,也很难彻底查杀干净,另外管理员的工作量也变得很大。实际上目前已经有很多解决这种问题的产品和方案,网络版杀毒软件是其中比较好的一个选择。网络版杀毒软件和单机版杀毒软件最大的区别在于,网络版是针对局域网内部电脑的管理而设置了控制操作平台,供网管统一管理使用,而单机版杀毒软件是不具备管理功能的。并且,随着信息化进程的不断推进,网络环境日益复杂,面对日益复杂的网络环境,以及一些黑客程序和木马程序的攻击,单机版无法保证整个网络安全。如果把单机版杀毒软件当作网络版杀毒软件使用,用户将不能随时了解每台机器的状况。若局域网中的一台机器感染了病毒,将会在很短的时间内传播开,而通过网络版杀毒软件,网络管理员就可以通过一台服务器管理整个局域网的机器,由中心端来对客户端进行统一管理,对客户端自动分发最新病毒码,即便客户端不能访问外网,也可以保持最新的病毒码定义。
五、过滤不良网络信息
网络一项重要的功能就是让用户通过路由器或代理服务器(网关)浏览Internet,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站的娱乐、游戏、甚至暴力、色情、 反动消息等不良内容,将极大地危害青少年学生的身心健康。
许多企业和学校都在努力尝试解决不良信息的浏览问题,由于多数不良信息来源于互联网,解决方法主要是针对互联网进行限制,主要可以分为三类:断开物理连接、地址库过滤和防火墙过滤。
断开物理连接的做法很直接,就是在内网里使用虚拟互联网软件单独设置一个区域给用户用来上网,但是实际上这个区域和互联网是断开的,用户使用浏览器浏览网页的时候实际上是在浏览本地服务器。用户虽然可以用浏览器浏览网页,但是可以浏览的资源有限,而且网页内容也完全取决于本地服务器的更新速度。这样做虽然可以起到一定的作用,但同时也忽视了互联网最大的特点──实时性,而且可浏览的范围太小。而且因为要经常从互联网下载网页,网络管理员的工作量增加,大大降低了网络的使用效率。
地址库过滤则是在局域网连接互联网接口的网关处设置一个软件的“关卡”,这个“关卡”会检查每个HTTP 请求,把每个请求和一个记录着被禁止访问的网站地址库进行比较。这样的处理方式会大大降低浏览互联网的速度,而且地址库的更新也是问题。每天在互联网上出现的新网站有成千上万,不可能被及时的一一检查。
防火墙过滤也是在局域网连接互联网接口的网关处设置软、硬件设施,这类过滤形式可以设置对关键词比如说“性”等的禁止,当软件发现含有关键词的访问请求时,会自动切断访问,但对于打包的邮件无能为力;而且,这种过滤往往矫枉过正,比如说软件发现“正确性”一词中含有“性”,也不分青红皂白一律关闭;由于牵涉到在入口处对内容进行检查,Internet的浏览速度在人数多时奇慢无比;另外从资金角度来看,由于目前适合中小规模局域网使用的低价位防火墙大多依赖于LINUX 操作系统,学校或企业需要另行购买一台防火墙服务器,加大了资金投入。
七、拒绝恶意网页和垃圾邮件
1. 拒绝恶意网页
Internet 网上除了前面说过的不良信息外,还有危害更大的网络陷阱,其中以一些恶意网页为代表,这些网页通过恶意代码纂改注册表中的源代码,达到更改用户主页的目的,轻则造成用户IE 浏览器被锁定、主页无法改回、弹出众多窗口耗尽资源等严重危害,重则通过浏览网页让电脑在不知不觉中被植入木马,传播病毒,或盗取用户重要个人信息,其危害可见一斑。
实际上恶意网页一般都是利用IE的文本漏洞通过编辑的脚本程序修改注册表,以达到篡改用户浏览器设置的目的。我们常见到的比如IE标题栏显示“欢迎访问⋯⋯网站”、默认主页被更改为陌生网址、每次打开IE都自动登录到此网站、右键菜单被添加莫名其妙的广告、用户无法更改IE设置等现象都属此类问题,解决方法有两种:第一种方法是使用注册表编辑器,手动把被篡改的注册表信息改回初始值。第二种方法是使用专门的解锁工具,如着名的“超级兔子”或“3721 网络工具”等可以很简单地解除被修改的IE 浏览器。
另外有的恶意网页是利用IE 的脚本漏洞,用含有有害代码的ActiveX网页文件,让用户自动运行木马程序,因此建议在访问一些陌生网站时在IE 设置中将ActiveX 插件和控件、Java 脚本等禁止。由于IE 是使用频率最高的网络浏览器,因此针对其本身漏洞的攻击也非常多,要保持及时给IE 升级或打补丁,这样才能尽量堵塞漏洞,提高IE 的安全性。
2. 拒绝垃圾邮件
除了猖獗的网络病毒外,垃圾邮件的危害也早已受到了人们的普遍关注,实际上现在网络病毒中有约80%是通过邮件传播的,更不用说一些色情、反动、迷信邮件的危害了。有效地防范垃圾邮件已经成为所有网络用户的共同目标,在学校教育中防范垃圾邮件也是衡量校园网络安全的重要标准之一。
首先要做好预防工作,保护自己的邮箱不会成为垃圾邮件的攻击目标,经查阅有关资料,有关专家提出了以下建议:
1) 给信箱起个相对复杂的名称。如果用户名过于简单或者过于常见,则很容易被当作攻击目标。因为过于简单的名字,垃圾邮件的发送者很可能通过简单排列组合,搜索到用户的邮件地址,从而发送垃圾邮件。因此在申请邮箱时,不妨起个保护性强一点的用户名,比如英文和数字的组合,尽量长一点,可以少受垃圾邮件骚扰。
2) 避免泄露邮件地址。不要随意地在浏览BBS(Bulletin Board Service,公告牌服务)时,公开自己的邮件地址,目前有一些别有用心的人往往在BBS 上散布一些具有诱惑性的消息,诱使其他用户提供电子邮件地址进行收集。
3) 不要轻易回应垃圾邮件。因为一旦回复,就等于告诉垃圾邮件发送者该地址是有效的,这样会招来更多的垃圾邮件。
4) 最实用的是使用邮件客户端程序的邮件管理、过滤功能。
5)最后还可以利用一些专门的防垃圾邮件软件指定条件检测邮件接收服务器,自动删除垃圾邮件。
对于一些恶意的病毒邮件,就不仅是干扰人们正常生活这么简单了,邮件病毒其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为邮件病毒。它们一般是通过在邮件中附件夹带的方法进行扩散的,运行了该附件中的病毒程序,才能够使电脑染毒。知道了这一点,我们就不难采取相应的措施进行防范了。
当遇到带有附件的邮件时,如果附件为可执行文件(*.exe、*.com)或word文档时,不要急于打开,可以用两种方法来检测是否带有病毒。一种方法是,利用杀毒软件的邮件病毒监视功能来过滤掉邮件中可能存在的病毒;另一种方法是,把附件先存放在硬盘上,然后利用杀毒软件查毒。所以在邮件接收过程中用一款可靠的防毒软件对邮件进行扫描过滤是非常有效的手段,我们通过设置杀毒软件中的邮件监视功能,在接收邮件过程中对邮件进行处理,可以有效防止邮件病毒的侵入。
八、结语
网络安全的主要问题是网络安全和信息安全,具体可分为预防病毒、访问控制、身份验证和加密技术、系统安全漏洞等问题。
对网络内的网络病毒,处理方法是选择优秀的杀毒软件;对网络不良信息的处理方法应该以使用网络信息过滤系统为主;在面对网络上的各种恶意网页和垃圾邮件时应通过设置邮件系统安全选项,提高安全意识并结合杀毒软件提供保护。
要想建设一个合格的网络,一方面要考虑网络内部的安全性,一方面要关注本网络和外部信息网络互联时的安全性。网络的安全问题是一个较为复杂的系统工程,从严格的意义上来讲,没有绝对安全的网络系统,提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防毒软件、防火墙、加密技术等多项措施,互相配合,加强管理,从中寻找到确保网络安全与网络效率的平衡点,综合提高网络的安全性,从而建立起一套真正适合民众使用的安全体系。
❽ 网络信息系统安全性分析
给我分哦,谢谢
http://bbs.wuyou.net/viewthread.php?tid=8894
网 络 安 全 毕 业 论 文
网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐,同时也避免其它用户的非授权访问和破坏。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。 对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。 从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。
不同环境和应用中的网络安全
运行系统安全:即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。 网络上系统信息的安全:包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密。 网络上信息传播安全:即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。 网络上信息内容的安全:它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私 .
网络安全的结构层次主要包括:物理安全、安全控制和安全服务。
1: 物理安全
物理安全是指在物理介质层次上对存贮和传输的网络信息的安全保护。也就是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。物理安全是网络信息安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。它主要包括三个方面:
环境安全:对系统所在环境的安全保护。
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
目前,该层次上常见的不安全因素包括三大类:
1)自然灾害(比如,地震、火灾、洪水等)、物理损坏(比如,硬盘损坏、设备使用寿命到期、外力破损等)、设备故障(比如,停电断电、电磁干扰等)。此类不安全因素的特点是:突发性、自然性、非针对性。这种不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的保密性影响却较小,因为在一般情况下,物理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施、制定安全规章、随时数据备份等。
2)电磁辐射(比如,侦听微机操作过程),乘机而入(比如,合法用户进入安全进程后半途离开),痕迹泄露(比如,口令密钥等保管不善,被非法用户获得)等。此类不安全因素的特点是:隐蔽性、人为实施的故意性、信息的无意泄露性。这种不安全因素主要破坏网络信息的保密性,而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。
3)操作失误(比如,偶然删除文件,格式化硬盘,线路拆除等),意外疏漏(比如,系统掉电、“死机”等系统崩溃)。此类不安全因素的特点是:人为实施的无意性和非针对性。这种不安全因素主要破坏网络信息的完整性和可用性,而对保密性影响不大。解决此类不安全隐患的有效方法是:状态检测、报警确认、应急恢复等。 显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上探取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。
正常的防范措施主要在三个方面:
1、 对主机房及重要信息存储、收发部门进行屏蔽处理 即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓,磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风波导,门的关起等。
2、 对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用了光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
3、 对终端设备辐射的防范
终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,此类虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
安全控制是指在网络信息系统中对存贮和传输的信息的操作和进程进行控制和管理,重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次:
1)操作系统的安全控制。包括:对用户的合法身份进行核实(比如,开机时要求键入口令)、对文件的读写存取的控制(比如,文件属性控制机制)。此类安全控制主要保护被存贮数据的安全。
2)网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。此类控制主要包括身份认证、客户权限设置与判别、审计日志等。
3)网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或路由器配置实现。需要指明的是,安全控制主要通过现有的操作系统或网管软件、路由器配置等实现。安全控制只提供了初步的安全功能和网络信息保护。
安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别,满足用户的安全需求,防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务的主要内容包括:安全机制、安全连接、安全协议、安全策略等。
1)安全机制是利用密码算法对重要而敏感的数据进行处理。比如,以保护网络信息的保密性为目标的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证;以保护网络信息的完整性,防止和检测数据被修改、插入、删除和改变的信息认证等。安全机制是安全服务乃至整个网络信息安全系统的核心和关键。现代密码学在安全机制的设计中扮演着重要的角色。
2)安全连接是在安全处理前与网络通信方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的分配和生成和身份验证。后者旨在保护信息处理和操作的对等双方的身份真实性和合法性。
3)安全协议。协议是多个使用方为完成某些任务所采取的一系列的有序步骤。协议的特性是:预先建立、相互同意、非二义性和完整性。安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性和公平性。
4)安全策略。安全策略是安全体制、安全连接和安全协议的有机组合方式,是网络信息系统安全性的完整的解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。不同的网络信息系统和不同的应用环境需要不同的安全策略。
网络安全的目标 通俗地说,网络信息安全与保密主要是指保护网络信息系统,使其没有危险、不受威胁、不出事故。从技术角度来说,网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。
1:可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。
2.抗毁性是指系统在人为破坏下的可靠性。比如,部分线路或节点失效后,系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(战争、地震等)造成的大面积瘫痪事件。 生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里,随机性破坏是指系统部件因为自然老化等造成的自然失效。 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下,满足业务性能要求的程度。比如,网络部件失效虽然没有引起连接性故障,但是却造成质量指标下降、平均延时增加、线路阻塞等现象。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内,程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色,因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响,受到其技术熟练程度、责任心和品德等素质方面的影响。因此,人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内,保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。
3:可用性
可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制)、业务流控制(利用均分负荷方法,防止业务流量过度集中而引起网络阻塞)、路由选择控制(选择那些稳定可靠的子网,中继线或链路等)、审计跟踪(把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中,以便分析原因,分清责任,及时采取相应的措施。审计跟踪的信息主要包括:事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息。)
4: 保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。 常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)。
❾ 网络安全需求分析
说了这么多感觉挺高大尚的。网络安不安全还是需要看人。 最主要要的事web电脑的安全,这里破了,其他的基本都好破。可以骗内部人员密码,可以暴力破解。 现在的网络都是很安全的,哪里来的黑客攻击我倒。只要服务器抗ddos,根本不受影响。被人盗了,都是内部有后门,内部人员得问题。给员工好好发工资,稳住人心,管理最主要,管理不好,人心涣散,该走就走,该盗还是会被盗得。