【摘 要】随着当今社会计算机网络在生活中的普及,网络信息安全及防护策略研究对于现实生活具有重要的意义。本文分析了目前计算机网络信息安全存在的问题,并提出了加强安全管理的相关措施。
【关键词】网络;信息安全;措施
【中图分类号】G250.72【文献标识码】A【文章编号】1672-5158(2013)07-0132-02
一、网络中心P信息安全的性能衡量
(1)完整性一一指网络中心的信息安全、精,确与有效,不因种种不安全因素而改变信息原有的内容、形式与流向,使系统内程序与数据不被非法删改和破坏。
(2)保密性一一指网络中心有保密要求的信息只能供经过允许的人员,以经过允许的方式使用,防止系统内信息非法泄漏。
(3)可靠性一一指网络中心信息在需要时即可使用,不因系统故障或操作失误等使信息丢失,或妨碍对信息的使用。
二、网络中心信息安全应注意的问题
2.1 网络中心机房建设物理全安
为了保护网络中心实体的设备安全,应采取良好的屏蔽 及避雷措施,防止雷电和工业射电干扰,采用稳压电源,防止电压波动,采用不间断电源(UPS)防止突然断电引起设备损坏或数据丢失。尤其应当注意在高温天气,断电后空调空调停止运转,网络设备继续运行,时间较长时对设备可能造成的损坏,应安装报警器、各种监视系统及安全门锁等。按计算机安全场地要求采取防火、防水、防尘、防震、防静电等技术措施,采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界或其他设备的电磁干扰而影响其正常工作,也不因其自身的电磁辐射泄漏数据信息、同时不影响周围其他设备的正常工作。
2.2 网络安全技术在信息安全中的作用
①防火墙技术。防火墙是近年发展起来的一项网络安全技术,其特征是通过在网络边界上建立相应的网络通信监控系统,达到保障网络安全的目的。所谓“防火墙”就是指设置在不同网络或网络安全域之间的一系列软硬件设施的组合。它可通过监测,限制、更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
从原理上分,防火墙的技术包括4大类网络级防火墙(也叫包过滤防火墙)、应用级网关、电路级网关和规则检查防火墙。它们各有所长,使用哪一种或是否混合使用,要看具体需要。防火墙的作用是保护脆弱的系统应用服务、控制对系统的访问、集中的安全管理和策略制定、增强保密性、记录和统计网络利用数据以及非法使用数据,对非法人侵的监测和报警等。防火墙的局限性在于无法防范通过防火墙以外的其他途径的攻击,不能防止传送已感染病毒的软件或文件,不能防止来自内部用户的威胁,无法防范数据驱动型的攻击。
三、入侵检测 (IDS)
侵检测是防火墙技术的重要补充,在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。入侵检测和漏洞扫描技术结合起来是预防黑客攻击的主要手段,是一项新的安全技术。目前 入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。基于主机的系统通过软件来分析来自各个地方的数据,这些数据可以是事件日志 (1og文件 )、配置文件password文件等;基于网络的系统通过网络监听的方式从网络中获取数据,并根据事先定义 好的规则检查它,从而判定通信是否合法。
四、网络中心信息安全应采取的措施
身份认证,数据加密,系统备份与恢复,防治病毒,反间谍软件系统。
①身份认证与数字签名。身份认证是证明某人或某物身份的过程,当用户之间建立连 接时,为了防止非法连接或被欺骗,就可实施身份确认,以确保只有合法身份的用户才能与之建立连接。其具体实现过程如下;用户B选择一个公开密码交给用户A自己留私用密钥,A选择一个随机数,用B的公开密钥将该数加密,并要求B将其解密并送回。这样只有知道解密钥的B才能完成这一解密,冒充者在这样的测试中则会暴露。随着电子商务的应用与发展,计算机化的报文代替纸墨文件的传送势在必行。数字签名被设计用来代替亲笔签名或印章来证明报文的真实性,它可以达到下列功能。(1)接收者能够核实和确认发送者对报文的签名,但不能伪造对报文的签名(收方条件)。(2)发送者事后不能否认和抵赖对报文的签名(发方条件)。(3)公证方能确认收发双方的信息,作出仲裁,但不能伪造这一过程(公证条件)。目前数字签名技术大致分为:采用秘密密钥的数字签名和采用公开密钥的数字签名两种。
②数据加密技术。数据加密过程由各种加密算法实现,它以很小的代价提供较大的安全保护。如果按照收发双方密钥早否相同来分类,可以将这些加密算件分为常规密码算法和公钥密码算法,DES及RSA是它们的典型代表。常规密码的优点是有很高的保密强度,但其密钥必须通过安全的途径传送,密钥管理困难。公钥密码的优点是可以适应网络的开放性要求,密钥管理问题也较为简单,可方便地实现数字签名和验证,但其算法复杂,加密数据的速率较低。随着现代电子技术和密码技术的发展,公钥密码算法将逐渐成为网络安全加密体制的主流。在现在的网络安全应用中人们通常将常规密码和公钥密码结合使用。一般的网络数据加密有链路加密、节点加密和端对端加密3种方式。链路加密是目前最常用的加密方法,通常用硬件在网络的萄软各层和物理层实现。它用于保护通信节点间传输的数据,对用户是透明的。节点加密是对链路加密的改进,克服了链路加密在节点处易遭非法存取的缺点,在协议传输层上进行加密,是对源节点和目标节点之间传输的数据进行加密保护。端对端加密是网络层以上的加密,是面向网络中高层主体进行加密,在协议表示层上对传输的数据进行加密,而不对下层协议信息加密。端对端加密一般由软件来完成,具有比链路加密技术成本低、安全性高的特点。
③系统备份和恢复。网络信息安全防范手段不可能设计得面面俱到,突发性事件的产生、不可抗拒的自然现象或是恶意的外来攻击都会给计算机系统带来不可预知的灾难。因此,必须建立系统的备份与恢复,以便在灾难发生后保障计算机系统正常运行备份方案有多种类型,其最终目标是保证系统连续运行,其中网络通信、主机系统、业务数据是保证系统连续运行不可缺少的环节,在选择备份方案时应把对数据的备份作为重点。日常备份制度是系统备份方案的具体实施细则,在制定完毕后,应严本各陵照制度进行日常备份,否则将无法达到备份方案的目标。此外,还要认真完成一些管理工作,如:定期检查,确保备份的正确性;将备份磁带保存在异地一个安全的地方(如专门的磁带库);按照数据增加和更新速度选择恰当的备份数据。系统备份不仅备份系统中的数据,还要备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息。与系统备份对应的概念是灾难恢复,灾难恢复是指在整个系统都失效时,系统的迅速恢复。它在整个备份制度中占有相当重要的地位。灾难恢复措施包括灾难预防制度、灾难演习制度及灾难恢复。
④病毒防治。首先要增强防网络病毒的观念。计算机病毒给计算机安全运行带来的危害轻则影响工作,重则将磁盘中存储的数据和程序全破坏掉,使用于实时控制的计算机瘫痪,造成无法估计的损失。其次要提高网络安全意识。对一些来历不明的电子邮件,尤其是标题中含有欺骗性或诱惑性语句的不要轻易相信,它可能是病毒制造者投下的“诱饵”;同时要及时观察和发现异常情况,不使病毒传染到整个磁盘,传染到相邻的计算机;最后要选用互联网病毒防火墙系统,防毒软件Inter Sean Vi-rus Wall(国际互联网病毒防火墙),是网络防病毒体系结构中的最上层,安装在Internet服务器或网关上。它在病毒通过Internet人侵内部网络的第一点处设置一道防毒屏障,使得病毒在进人网络之前即被阻截。
⑤间谍软件。目前还没有一个统一的定义,但就某些方面已达到共识;1.在用户不知情的清况下进入电脑;2.能截取用户的个人资料并能返回其开发商;3一旦进入电脑就难以清除。据此,笔者认为所谓间谍软件,就是指任何没有被用户知晓或明确授权的情况下,进入电脑截取用户网络连接信息又很难从计算机上清除的程序。根据这一定义,间谍软件可以分为两类,一类是“监视型间谍软件”,它具有记录键盘操作的键盘记录器功能和屏幕捕获功能,另一类是“广告型间谍软件”,通过软件捆绑或ActiveX控件安装,能记录用户的信息,但用户并不知道它的存在。可以说间谍软件对信息安个构成严重的威胁:
泄漏商业秘密一一通过间谍软件,外部人员可以在网络链入因特网的时候截取网内的机密数据、重要信息以及内联网的U RL等信息并发送到因特网上,一旦这些信息没有加密的话就会引起机密信息的泄漏,带来无法估量的损失。
侵犯个人隐私—对普通用户来说,间谍软件最大的危害就是侵犯个人隐私,它能够在用户上网的时候记录用户IP地址、访问的网站、个人习性、秘密信息甚至是敏感信息,如信用卡号、提款密码等,并将这些调查信息返回到间谍软件开发商的服务器上,在侵犯用户个人隐私权的同时,还给垃圾邮件的发送创造了条件。
破坏电脑的完整性—大部分间谍软件可读性差并且能导致电脑系统的崩溃,而另一部分则有可能影响电脑的正常操作,它会导致操作异常或者非法操作、浏览器异常、用户密码更改甚至是死机。一般来说,将间谍软件清除电脑即可恢复正常,但也有的一旦用户试图清除就会导致电脑异常。
除上述的危害之外,间谍软件还可以改动你的浏览器设置,将其他的网站作为默认的主页,扰乱你的系统部件之间的兼容性,断开你的电脑同你的默认ISP之间的连接。
五、做好网络安全运行监控与管理。
①网络安全运行监控。能够实时监控网络运行:监控网络流量;监控网络合法应用;数据传输跟踪;服务器进程监控;服务器日志监控分析;监控外部入侵与内部破坏;定期提交网络监控分析报告(流量分析、日志分析、运行总结、改进升级建议)。做好网络安全运行监控有利于保证网络中心的动态信息安全,因此,必须随时检测、监控网络运行状况,保证网络中心各个系统安全稳定的运行。
②安全管理制度的完善。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。必须综合考虑安全因素,制定合理的目标、技术方案、相关的配套法规等。在很多系统中,由于管理上的原因造成了大量的安全问题。为了建设一个完善的安全体系,制定一个完善的安全管理制度是必须的。网络中心信息安全问题中最核心的问题是管理问题。“人”是实现网络系统安全的关键因素。如果没有相应的管理制度,再好的网络安全实施方案也形同虚设,因此需要加强人员安全培训,制定安全管理规范,同时,要充分利用各种技术手段进行自动化管理。网络的安全管理规范包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出人机房管理制度;制定网络系统的维护制度和应急措施等。
六、结束语
总之,人民生活水平的提高,网络信息的应用,不仅推动了社会的进步,计算机网络技术的日趋成熟使得各种网络连接更加容易,人们在享受网络带来便利的同时,网络的信息安全也日益受到威胁。计算机网络信息安全问题也随之日益突出,安全现状应当引起人们的关注。