1 信息处理时的安全问题
1.1 病毒
病毒是一种具有自我复制能力并会对系统造成巨大破坏的恶意代码,它首先隐藏在某个实用的程序中,隐藏过程可以由实用程序设计者完成,或者通过病毒感染该实用程序的过程完成。当某个计算机下载该实用程序并运行它时,将运行隐藏在其中的恶意代码,即病毒,病毒将感染其他文件,尤其是可执行文件,并接管一些系统常驻软件,如鼠标中断处理程序。如果病毒接管了鼠标中断处理程序,当鼠标操作激发该中断处理程序时,将首先激发病毒程序,病毒程序可以再次感染其他文件,并视情况执行破坏操作,如清除所有硬盘中的文件。当感染了病毒的使用程序被其他计算机复制执行时,病毒将蔓延到该计算机。
对于单台计算机,病毒传播主要通过相互复制实用程序完成,对于接入网络的计算机,从服务器下载软件、下载主页、接受电子邮件等操作都有可能感染病毒。接入网络的计算机一旦感染病毒,安全将不复存在,存储在计算机中的信息将随时有可能被破坏,机密信息随意外泄,非授权用户随时有可能通过远程桌面这样的工作对计算机进行非法访问。
1.2 非法访问
非法访问是指非授权用户通过远程登录或远程桌面等工具访问计算机的资源,造成非法访问的原因是有病毒、操作系统和应用程序漏洞等等。特洛伊木马病毒可以将通过网络接收到的命令作为特权用户输入的命令发送给命令解释程序,从而达到访问系统资源的目的。操作系统和应用程序漏洞可以使普通用户获得特权用户的访问权限,从而使非授权用户访问到本不该访问的资源。
1.3 拒绝服务供给
一种类型的拒绝服务攻击利用操作系统或应用程序的漏洞使系统崩溃,从而使系统无法继续提供有效服务,如缓冲器一处就是利用应用程序不对需要处理的数据长度进行检测的漏洞,导致应用程序的缓冲器溢出,因而影响系统的正常运行,甚至崩溃,从而使系统无法继续提供有效服务。
另一种类型的拒绝服务攻击是消耗某个计算机的有效资源,使其没有用于对正常用户提供有效服务所需要的资源。如攻击者向某个计算机发送大量IP分组,以此消耗掉计算机的计入带宽、导致正常用户请求服务的IP分组无法到达该计算机,因而无法获得服务。还有SYN泛洪攻击,通过用大量无效的TCP连接建立请求消耗掉计算机的TCP绘话表资源,从而使计算机没有用于和正常用户建立TCP连接的TCP会话表资源。
1.4 计算机安全问题的应对措施
一部分计算机安全问题由操作系统或应用程序的漏洞引起的,解决这些安全问题的方法是及时为漏洞打上补丁,因此,必须有一套保障所有终端系统都能及时通过补丁软件消除已发现漏洞的机制,最大限度地避免系统遭到攻击。及时发现操作系统和应用程序的漏洞,并通过下载补丁予以修补并不是网络安全的范畴,但目前,由于网络中系统众多,各个系统的管理、应用人员的计算机水平不同,要求所有系统的管理人员都能及时发现系统所安装的操作系统和应用程序的漏洞,并通过下载补丁软件予以修补是比较困难的,因此,需要在网络中安装监控系统,由网络检测系统对所有系统安装的操系统和应用程序进行监控,获取他们的类型和版本号,检测他们是否修不了已发现的漏洞,并对由安全问题的系统进行提醒。安装网络监测系统是一种通过网络安全机制来解决网络中所有系统因为操作系统和应用程序的漏洞而引发的安全问题的方法。
2 信息传输时的安全问题
2.1 非法接入
每个企业都有内部网络,或许这样的内部网络也和Internet相连,但只允许企业内部人员访问企业内部网络的资源。所谓非法接入是指非企业内部人员连接到企业内部网络并获得访问内部网络资源的途径。攻击者实现非法接入的手段很多,如通过笔记本计算机直接进入企业内部网络的某个以太网交换机端口,通过远程拨号接入方法接入企业内部网络,利用无线局域网接入企业内部网络等。
2.2 信息窃取
如果攻击者非法接入企业内部网络,或者信息需要经过公共传输网络进行传输,传输的信息很容易被拦截、窃取、篡改。如攻击者通过修改路由器路由表,将信息发送给攻击者的终端。攻击者通过类似集线器这样的共享式传输设备连接到内部网络的某条主干传输通路上等。这样经过网络传输的信息有可能被攻击者截取,攻击者可以窃取这些信息,设置篡改后继续转发给原始目的终端。
2.3 源地址欺骗
源IP地址是信息发送者的一个重要标识符,接收者常用IP分组的源IP地址来确定信息发送者的身份。为了控制信息流动,夜场对允许交换信息的子网进行限制,因此,IP分组的源和目的IP地址也是确定信息是否允许经过路由器转发的依据。攻击者为了达到非法范文的目的,或是为了躲避责任,常用本不存在的,或是其他合法用户的IP地址,作为自己发送的IP分组的源IP地址。
2.4 传输安全问题的应对措施
防护攻击者非法接入的方式是构建一个能够阻断非法接入途径的内部网络,如以太网的接入认证机制、安全端口机制、无线局域网的安全机制等防止信息窃取。篡改的最好办法是加密和报文摘要技术。防止元地址欺骗的方式是除了源IP地址,还采取数字签名来标识信息发送者,同时,通过测试接收IP分组的端口是否连接通往源IP地址所确定的发送者的路径来判别IP分组源IP地址的真伪。
关键词:网络安全 技术
计算机和信息技术的飞速发展,网络安全也伴随着信息技术同步发展起来的。随着网络应用的不断增多,网络安全问题日益突出,已被信息社会的各个领域所重视,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
一、网络安全的重要性
计算机安全是互联网的一个根本技术,它起源于纯粹学术上的好奇心,发展到现在已经演变成为一个十分重要的商业应用。在互联网上,任何企业或个人都无法忽略对安全的需求。网络上贸易机密、客户资料、金钱等被窃取的风险是真实存在的。由计算机安问题所造成的损失也可能是相当巨大的。例如ILOVEYOU病毒,据不完全统计,它在全球范围内造成的损失已高达100亿美元;其中生产上的损失占了绝大部分,同时它带来了其它间接的影响:顾客的流失、品牌和商誉上的损害,这些都是难以进行估计的。除此之外,新的问题将接踵而至。因为欧洲的国家都有严格的隐私法:如果公司或企业不采取相关措施来保护客户的隐私,他们将被追究法律责任。虽然在互联网上进行业务的同时伴随着如此大的风险,但是公司和企业并不会停止去利用这个平台。因为网络能给企业带来新的市场,新的客户,新的收入来源,甚至新的商业模式。这是具有相当巨大的诱惑力的,所以即便是存在这样的风险性,他们也会不断地在这个互联网环境里拓展自己的业务。正因如此,比起其它问题,计算机安全更加显得重要。
二、网络系统存在的主要问题
1、网络操作系统的漏洞
网络操作系统足网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。而且快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统存在新的攻击漏洞。
2、网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
3、计算机病毒
计算机病毒,简单来讲,其实就是一种可执行的计算机程序。和生物界的病毒类似,会寻找寄主将自身附着到寄主身上。除了自我复制外,某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中,病毒对计算机的安全构成极大威胁:与网络黑客内外配合。窃取用户口令及帐号等变化多端的方式。使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。病毒最成功之处在于其传播能力,传播能力越强,生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后,就会传播给临近的项目。
三、加强网络安全防范技术
1、应用数据加密技术
数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被非法破译而采用的主要技术手段之一。目前常用的加密技术分为对称加密技术和非对称加密技术。信息加密过程是由加密算法来实现的,两种加密技术所对应的算法分别是常规密码算法和公钥密码算法。
2、配置防火墙
所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术,是一种由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。防火墙的功能有两个:一个“允许”,另一个是“阻止”。允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止非法用户的访问,防止他们随意更改、移动甚至删除网络上的重要信息。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
3、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措拖。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全:同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
4、加强内部网络管理人员以及使用人员的安全意识
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。当计算机病毒对网上资源的应用程序进行攻击时.这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
总之,网络安全不仅仅是技术问题,也是一个安全管理问题。必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等,做好计算机网络安全防范措施。
参考文献:
[1]陈斌.计算机网络安全防御.成都:信息技术与网络服务,2006
关键词:网络信息;网络安全;安全策略;数据加密;网络攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)20-4826-02
Network Information Security and DefenseCivil Aviation College
HU Wei
(Guangzhou Zip Code, Guangzhou 510405,China)
Abstract: With the development of computer technology and information technology, network-based security has become increasingly prominent, and extranet or intranet are plagued by security problems. Positive measures should be taken in order to safeguard the security of network information.
Key words: network information; network security; security policy; data encryption; cyber attacks
1网络信息安全的概念和含义
网络信息安全包含三个基本要素。一是保密性,即保证信息为授权者享用而不泄露给未经授权者。二是完整性,即数据的完整性(未被未授权篡改或损坏)和系统的完整性(系统未被非授权操纵,按既定的功能运行)。三是可用性,即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。实际上,计算机网络信息安全,就是通过采用各种技术措施和管理措施确保网络系统的正常运行,从而保证网络信息和数据的完整性、保密性和可用性,其目的是防止网络传输后的信息和数据不会发生改变和泄露。
网络信息系统是一个开放的信息共享的系统,因此网络信息系统在接受不同需求的用户访问时存在很大的安全隐患。网络信息的安全问题并不是单纯的技术问题,它包含了技术及管理等多个方面。因此,在网络信息安全问题上要综合考虑,在用户与安全之间寻找平衡点,通过技术和管理手段实现最佳安全效果。
2影响网络及网络信息安全的主要因素
对计算机和网络信息安全造成威胁的可分为两类:一是对网络本身的威胁,即这种威胁是针对网络设备和网络软件系统平台的;二是对网络中信息的威胁,即这种威胁是针对网络中的数据以及处理这些数据的信息系统和应用软件的。
影响计算机网络信息安全的因素有很多,其中一个主要的因素是来自于用户在操作中的失误,如口令选择不慎,随意将自己的账户借给他人或与他人共享等等,这些都会对网络信息安全造成威胁。然而,计算机网络信息安全所面临的最大威胁则来自于人为的恶意攻击。这种人为攻击分两种,一是主动攻击,即以各种方式对系统和数据的有效性和完整性进行有选择性的破坏。二是被动攻击,即在不影响网络和系统正常运行的情况下,对重要的机密信息进行截获和窃取。软件本身存在的缺陷和漏洞以及由于安全配置不当所造成的安全漏洞(如防火墙软件配置的不正确),这些也是威胁网络信息安全的因素之一。另外,还有一个威胁网络信息安全的因素就是计算机病毒。计算机病毒由于其特点具有隐蔽性、潜伏性、传染性和破坏性,因而对计算机网络信息安全所造成的破坏也十分巨大。
3应用于网络信息安全的主要技术
随着计算机技术及网络技术的发展,网络信息安全的内涵在不断延伸,从早期的信息保密性到信息的完整性、可用性、可控性和不可否认性,发展为攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术。目前,网络信息常用的安全技术包括:入侵预防技术、防火墙技术、病毒防范技术、数据加密技术、漏洞扫描技术、蜜罐技术和系统容灾技术。
入侵预防技术就是根据事先设定好的防范规则,并依此规则来判断哪些行为可以通过,哪些行为带有威胁性。入侵预防技术重在预防,它能积极主动地加强桌面系统和服务器的安全,防止受到网络攻击和破坏。
防火墙技术是设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据网络自身的安全政策控制出入网络的信息流,并具有较强的抗攻击能力。
病毒防范技术的注入方式为无线电方式、“固化”式方式、后门攻击方式和数据控制链攻击方式等。病毒防范技术的应用范围主要是对病毒客户端的管理、对邮件的传播进行控制、对有害信息进行过滤及建立多层次多级别的防病毒系统。
数据加密技术是在传输过程或存储过程中进行信息数据的加解密,常用的加密体制是采用对称加密和非对称加密。对称加密技术是指同时运用一个密钥进行加密和解密;非对称加密技术是指加密和解密所用的密钥不一样,它有一对密钥,分别为“公钥”和“私钥”,这两个密钥必须配对使用。
漏洞扫描技术就是通过一定的方法来检测系统中重要数据和文件是否存在黑客能利用的漏洞。通常有两种方法,一是端口扫描法,即通过端口扫描获知并查看是否存在漏洞。二是模拟黑客的攻击法,即通过模拟攻击测试安全漏洞。
蜜罐技术,简单地说,就是通过真实或模拟的网络和服务来吸引攻击,然后分析黑客攻击蜜罐期间的行为和过程,收集信息并发出预警。蜜罐技术虽然不会修补任何东西,也不会直接提高计算机网络安全,但它却是其他安全策略所不能替代的一种主动型防御技术。
系统容灾技术是指在较远的异地建立多套功能相同的IT系统,这些系统相互之间可以进行健康状态监视和功能切换,当一处系统因灾难停止运行时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,这是异地容灾技术。还有一种本地容灾技术,即包括磁盘保护、数据保护和数据备份等,通过保护这些存储设备达到系统不被外来对象入侵的目的。
4网络信息安全防护思路
为了保证网络信息的安全性,降低网络信息面临的安全风险,靠单一的安全技术是不够的。根据信息系统面临的不同安全威胁和防护重点,有针对性地应用一些不同的网络安全防护方法。这里将给出一些有效的网络安全防护思路。
1)基于主动防御的边界安全控制:这是以内网应用系统保护为核心的,在各层的网络边缘建立多级的安全边界,从而实施进行安全访问的控制,防止恶意的攻击和访问。
2)基于攻击检测的综合联动控制:所有的安全威胁都体现为攻击者的一些恶意网络行为,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。
3)基于源头控制的统一接入管理:绝大多数的攻击都是通过终端的恶意用户发起,通过对介入用户的有效认证和终端检查,可以降低网络信息所面临的安全威胁。
4)基于安全融合的综合威胁管理:未来的大多数攻击将是混合型的攻击,功能单一的安全设备无法有效地防御这种攻击。因而综合性安全网关迅猛地发展起来。
5)基于资产保护的闭环策略管理:信息安全的目标就是保护资产,实现信息安全重在管理。在资产保护中,信息安全管理是重点,安全策略加实施安全管理并辅以安全技术相配合,形成对资产的闭环保护。
5结束语
当前,网络攻击手段正在不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,同时,安全产品和解决方案也更趋于合理化、多样化和适用化。因此,对网络信息安全威胁和安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,网络信息的安全防护应该逐步构建成可防、可控、可信的信息网络构架。
参考文献:
根据相关理论,网络信息安全主要受技术、操作及管理等三方面因素的影响。其中,管理是影响网络信息安全最核心的因素,值得网络信息安全工作中高度关注。
(1)技术。
主要指信息产品和过程,比如防火墙技术、杀毒软件、侵入检测技术及信息加密方法等。
(2)操作。
主要包括信息安全的强化机制与方法、各种信息安全威胁所引起的运行缺陷纠正措施、物理干预方法、数据备份机制、环境威胁规避方法等。
(3)管理。
一般指信息安全的非技术性领域,包含所应用的政策、员工培训计划、业务规划策略等。其中,网络安全信息领域所应用的“三全”工作模式便是近些年来大范围推广的网络信息安全管理方法。
2信息安全及网络安全“三全”工作模式探讨
为确保信息安全工作基础得以进一步的强化,提升信息安全的保障能力及提高运维服务能力,在网络信息安全领域中应用“三全”工作模式显得极其重要。主要可从以下渠道进行:
(1)健全信息化项目管理机制。
在信息化工作中,逐步落实《信息化工作职责一览表》及《信息化工作整体流程图》等制度的制定工作,并推进实际信息化建设与管理中的整体流程及职责落地工作。另外,还需要不断完善信息项目管理机制及过程管控机制,不断优化完善信息化管控体系管理手册、过程管控文件、工作记录文件及过程文件等不同等级的文档,以确保项目推进规范化。项目得以顺利推进的核心在于项目沟通协调监理机制的完善。
(2)推进信息安全长效机制建设。
在网络信息安全工作中,以“三全”工作管理模式作为基本的契合点,不断完善应用系统的“三全”基础性信息库,并依据信息基础设施及业务系统的实际动态情况进行及时性地更新、调整,以确保信息化基础性数据处于最新的状态下。另外,加强应用系统技术性及信息管理问题的排查工作,提出相应的整改方法,明确整改责任人,限定最后的整改期限,确保整改工作得以高效、顺利进行。
(3)加快信息安全保障体系构建。
开展应用系统的安全层级保护整改项目的稳健落地,积极评估信息安全风险,加强对信息安全的配置,网络信息安全领域的管理体系咨询工作;对现有及未来将采购的信息化应用产品、系统软硬件平台及自主开发的信息安全管控模块与不同信息化平台进行整合为具备特定信息安全等级的集成系统,并全面规划企业网络信息安全技术集成方案。另外,后续所开发的业务管理运营系统需确保与公司所推进的网络信息安全管理体系相匹配,以扎实推进信息安全管控体系的实施落地。
(4)积极开展信息安全应急演练。
应急方案演练,是提升信息安全等级的重要渠道之一。可高效利用周末实际,根据企业实际情况安排停机时间,结合企业实际情况编写信息安全应急演练方案,按照应急演练通知,组织培训、掌握应急方案,开展应急演练,现场实际操作等流程规范化、有序化地进行应急演练活动。对于应急演练中所发现的各项问题,应有计划性地进行结语与评估,并认真研究有效的处理方法,提升企业网络信息安全管控水平。
(5)加强网站及邮件系统安全防护。
在公共服务区外网入口区域部署防DNS攻击、入侵实时监测、预防网络篡改、网络负载均衡、反垃圾邮件等软硬件系统,为互联网公共服务提供有效的保护策略。每个季度、每个月定期化地进行一次企业内部操作系统、应用系统的安全性检测,提高网络运行的安全稳定性。
3结语
关键词 网络安全 因素 个人信息 安全
中图分类号:TP393.08 文献标识码:A
通过考察近几年在Internet上发生的黑客攻击事件,我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后,加之Internet提供的便利,攻击者可以很方便地组成团体,使得网络安全受到的威胁更加严重。
隐藏在世界各地的攻击者通常可以越过算法本身,不需要去试每一个可能的密钥,甚至不需要去寻找算法本身的漏洞,他们能够利用所有可能就范的错误,包括设计错误、安装配置错误及教育培训失误等,向网络发起攻击。但在大多数情况下,他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。
我们可以粗略地将对系统安全造成的威胁归结为6大类 : 教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。需要指出的是,这几类威胁之间可能会有交叉与重叠之处。另外,一些文献对系统安全的威胁分类方法可能同这里给出的不同,但大多没有本质的区别。
要真正理解网络的信息安全,需要对网络信息系统存在的安全缺陷和可能受到的各种攻击有深入正确的理解。所谓“知已知彼,百战不殆”,通过对系统缺陷和攻击手段进行分类与归纳,可让人们正视系统的不足与所受威胁。
对于安全系统的使用者来说,可以采用 2 种不同的安全模型。
(1)火车司机型在这种系统中,使用者只需要控制系统的启停,安全系统便能够辨别出危险信号,自动找寻安全道路,使用者在其他时间可以放心大胆地干别的事情。
(2)航空飞行员型在这种模型中,即使系统已经拥有很先进的自动导航设备,而且大多数情况下系统已经处在自动运行中,仍然要求使用者必须在安全方面训练有素。
在这 2 种模型中,第一种显得非常好用。用惯了图形用户界面的人都希望安全系统在经过简单的指导安装之后,不用再亲自介入以后的运行了。这种想法很自然,但实现起来并不容易。网络世界远远没有铁路系统那么有序,缺少像铁轨那样严格控制并引导列车前进的机制,由于可能出现的异常情况太多,所以没有什么办法可以让人一劳永逸。
有些人会认为:“不是还有防火墙吗?交给它好了!”这同样是错的,防火墙并不是万灵药,它虽然堵住了大量不安全的缺口,但还是小心翼翼地向外界打开了一扇访问内部信息的小门。尽管此门的开启受到限制,可路却通了。如果有人利用这条路径进行数据驱动型的攻击,防火墙是无能为力的。
最近,电视和网上公布一些网上个人信息被泄密的信息,这直接关系到个人秘密和隐私,在当今互联网飞速发展的时代,加强网络信息保护至关重要,势在必行。
网络时代,个人信息是网络交易的前提和基础,一旦被对方掌握,会给信息安全造成极大威胁。由于缺少相关法律,对利用公民个人信息谋取巨额利润的一些商家甚至不法分子难以追究其法律责任。如果我国不加快个人信息保护立法步伐,将会带来公民对个人信息安全缺乏信心、互联网公司收集不到有效信息、社会公信难以形成等问题。
目前我国一些法律虽然涉及了对个人信息保护的内容,但比较零散,也缺乏法律位阶比较高的法律,还难以形成严密的保护个人信息的法律网,这就容易使不法分子钻空子。
在加强网络信息管理过程中,建议对那些提供公共或专业服务、涉及个人信息储存和利用的机构,要对其承担的相关法律义务加以明确;对于非法手段获取个人信息的行为,应规定较为严厉的惩治措施。
在完善法律法规的同时,还要多措并举、多管齐下,各有关监管部门切实担负起监管职责,执法部门严格执法,网民也应增强提高个人信息的保护和防范意识互联网是社会大众共有的虚拟世界,这一虚拟世界早已和现实社会密不可分,这就决定了互联网不是绝对自由的平台,而应该是和谐与法治秩序的领地。如果管理不善,国家信息安全就会受到威胁,企业电子商务就会受到影响,大众个人隐私就会受到损害。
关键词:服务支持体系;安全动态模型
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
在近些年,金盾工程进一步展开,各项信息网都得到了长足的发展,电子信息技术以计算机为应用基础,网络技术在各行各业中得到了越来越广泛的应用,信息量的传递速度与共享范围达到了前所未有的程度。
一、网络和信息安全存在的威胁因素
计算机网络的应用在日常生活中越来越普及,网络系统及其中的重要信息资源无时无刻不面临着来自四面八方的安全威胁,具体表现在如下几个方面。
首先,内部人员的错误操作以及违规使用
这一类的情况主要有:蓄意盗窃网络密码、越权进入系统、越权操作访问、人为蓄意破坏等。调查显示,对网络系统产生严重影响的行为一般来自于网络内部的错误操作和违规使用,所以每个网络管理者必须面对和思考的问题就是如何能有效地杜绝这一类的行为,在事后能够较为成功的进行定位并及时取证分析。
第二,外部威胁
来自于外部的非法入侵主要是指外部远程用户利用非法软件和系统,进入网络系统,并对相关信息数据进行盗窃、篡改甚至毁坏性掠夺,从而导致网络服务瘫痪乃至整个服务进程的中止。
第三,拒绝服务攻击
表现在对网络服务系统所进行的不间断干扰,有时表现为改变网络服务系统中正常进行的作业流程,或者是执行无关的程序,进而加重整个系统的运转负荷,导致系统响应速度减慢,严重影响正常用户的使用,调查显示,网络因受攻击而拒绝服务的趋势明显上升。
第四,网络病毒
在所有的网络威胁中,网络病毒无疑是最为臭名昭著的,它是最为常见、最重要、最难防范的威胁,它对各种局域网,甚至对整个互联网的安全所产生的威胁是随时存在的。
二、建立网络和信息安全动态策略
网络技术的普及,提高了工作效率,因此构建一个良好的网络环境十分必要,然而,伴随着计算机网络在各行各业中的广泛应用,相关的安全问题也不可避免地日渐突出,如果放任网络上各种安全问题滋生扩大,不仅会严重的降低生产效率和生活质量,还会给人民的生命和财产安全带来极其巨大的威胁和损害。
首先,网络安全主要分为四个主要层面:物理安全、文化安全、信息安全以及系统安全。
第一,物理安全即指包括了各种通讯线路以及设备、计算机主机等硬件设施在内的所有网络基础设施,例如:容错、容外部损伤、对干扰的抵抗等。
第二,系统安全。即是指代存在于网络通信中的基础协议,包含了操作系统以及应用系统在内的可用性,包括使用的合法性。例如,遇到网络阻塞时的防护措施、对非法入侵行为的防护以及防护计算机病毒的自我保护行为等等。其核心内容和技术为:身份认证、日志的审查统计、对所授权限的管理、检测系统漏洞并进行修补、对病毒以及其它各种形式的入侵行为的防护等。对入侵防护技术的概念则为:入侵防范、之后的检测以及响应和系统的恢复。
第三,信息安全是指在保证数据和信息的完整性、保密性以及有效性等特性能,在计算机网络中进行存储、处理和传输等各项过程中得到安全的监护和保护。基础行为包括对信息窃取行为的及时制止,防止恶意篡改信息以及冒名的发送伪造信息等,在所有的安全保障手段中,其最核心的技术则是密码技术。顾名思义,即是在密码技术的支持下,对数据加密、数字签名以及相关身份确认等诸如此类的行为得到完整地实现,所以我们可以看见在信息安全以及系统安全中间存在着极强的彼此相互依赖的关系。
三、建立网络与信息安全体系
为了在最大限度上保证全部网络信息合法用户的网络信息安全,应该建立网络与信息安全的一整套体系,其结构可以划分为呈若干层次,所涉及的环节较多,主要包括:网络安全中各种策略的建设性指导、网络安全标准的统一规范、网络安全全面防范的高端技术、网络安全管理全方位保障以及网络安全服务支持体系的建立等。这种安全体系的初衷是要建立一个可控的安全体系机构,管理人员在规范合理的指导下,得以拥有把握网络整体安全状况的权限,从而可以有效的对安全硬件设备以及先进的安全技术进行合理利用和全面管理,使得整个网络与信息的安全性可控得以实现。网络动态安全的实施则应该按步骤,分层次低进行。
首先,必须了解当前网络整体的安全状况,即进行安全风险的合理评估(主要指确定网络资产的安全威胁性和脆弱性,并进一步估算由此可能会造成的损失程度和影响的过程)在综合考虑提高网络安全性、评估风险以及制定对应的安全措施时,应该考虑要有一套较为完整及符合实际情况的风险分析方法(包括了对应的安全措施制定方法),网络安全评估的主要内容有如下两个方面,首先,在考虑了回避最为常见的威胁以及漏洞(包括网络管理部门在实施安全措施的控制之下仍然发生的破坏安全事件的发生概率)。
第二,当安全措施失效从而导致造成了业务的损失(包括到预计中财产信息被公开,还有信息不完整甚至不可用的全面影响)。这种风险评估所得出的结果应该作为制定网络安全策略时所必须参考的依据,在进行风险评估分析的基础上,进一步提出网络和信息安全的整体需求,以期能够确定网络所要达到的安全系数和级别,对进一步可能采取的安全措施进行总体计划,有针对性地发现并及时、彻底地解决网络中存在着的诸多问题和症状,在动态安全体系的正确指导下,制定出更为合理有效的安全措施,并进行较为严格的安全管理。
安全保护及实时监测。即是指选用相关的安全产品(包括前沿技术、能够执行的合适的安全制度)全面的安全管理规章制度的制定,明确安全实施与管理中全部流程,各个方面安全职责的切实确定,提高网络安全性。而安全保护过程中可以使用的手段包括:设置防火墙、对漏洞进行定期扫描及修补、对非法入侵的检测、对病毒的防护、备份与恢复、对信息进行多重加密、日志与审查统计以及动态口令等。
四、结语
总之,安全不是一朝一夕的事,所以当然不可能会有一个一劳永逸的解决方案。安全防护是一个动态的、不断在进行和改革以期逐步完善的过程。这就引出了网络安全的新概念——网络动态安全体系模型。
参考文献:
[1]康募建,姚京橙,林鹏.计算机网络动态适应安全系统[J].中国电脑,200l,13(2):73-75
关键词:网络;信息安全;数据
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
网络信息安全是一个关系国家安全和、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。
1 计算机网络信息安全的特征
计算机网络在运行的过程当中,具有自身的规律和特点,概括起来主要有以下几点:
1.1 保密性
是指计算机信息不泄露给非授权用户、实体或过程,或供其利用的特性。
1.2 完整性
是指计算机当中的数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
1.3 可用性
指的是可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统正常运行等都属于对可用性的攻击。
1.4 可控性
指计算机对信息的传播及内容具有控制能力。
1.5 可审查性
指的是计算机在运行过程当中出现的安全问题时,可提供依据与必要的手段 。
2 影响计算机网络信息安全因素
随着科学技术的发展,在利益因素的趋势下,不法分子通过网络窃取计算机信息屡见不鲜。计算机网络信息安全面临着重大的调整。影响计算机网络信息安全因素主要有:
2.1 信息泄密
主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。
2.2 信息被篡改
这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
2.3 软件漏洞
软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP / IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
2.4 人为安全因素
除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。这主要表现在管理措施不完善,安全意识淡薄,管理人员的误操作等。
2.5 网络软件的漏洞和“后门”
网络软件不可能百分之百的无缺陷和无漏洞,那么,这些漏洞和缺陷恰恰就是黑客进行攻击的首选目标。
3 计算机网络信息安全的主要防范措施
3.1 防火墙技术
防火墙技术是一种网络安全控制技术,通过设定好的安全协议内容,对内部和外部的网络实现有效的控制。常用的防火墙技术主要包括网络过滤技术、用户状态监测技术、网络应用开关技术。每一种技术都有自身的运行原理,其中过滤技术就是对网络信息进行有选择性的通过,根据系统设置好的序列进行有选择性的过滤,对网络的细节信息进行详细的分析,根据网络信息的主要地质、目标地址和信息的端口确定都要进行详细的分析,才能通过。而监测技术与过滤技术有许多的相同点,也有很多的不同点。这种不同主要体现在将网络作为一个完整的整体,对每一个构成的链接进行详细的监测,并分析出相关链接点运行是否正常,并作出相应的应对措施。
3.2 数据加密与用户授权访问控制技术
与防火墙的运行原理相比较而言,数据加密技术和用户授权控制技术在运行上更加的灵活,比较适用于越来越开放的网络。其中用户授权访问控制技术主要针对的是静态信息的保护,需要一定规模系统级别的有力支持,因此主要是在操作系统当中出现。而数据加密技术主要针对的是动态性的信息保护。在常规信息威胁的种类上对信息的威胁可分为主动攻击和被动攻击,主动攻击在很大程度上没有办法避免的,但是可以采取有效的监测防护。对于被动攻击,不能进行监测防护,但是可以有效的避免,要有效防止各种攻击行为的发生最根本的技术就是数据加密。数据加密技术的运行原理是通过对符号为基础的计算机数据算法做出相应的调整,这种调整是在密保的控制下进行的。在数据加密密码的推算过程当中加密密码和解密密码的推算原理基本相同,只有授权用户可知。授权用户可以利用这一密码加密各种信息或是解密各种信息。这样用户的个人信息就得到有效的保护。
3.3 安全管理队伍的建设
在计算机网络运行的世界里面,绝对的安全是不可能存在的,制定完善的计算机安全管理机制是计算机网络安全的重要保证。只有通过互联网管理人员与终端用户使用人员的共同努力,运用当前最先进的网络工具和技术,在最大程度上减少和控制一切非法使用网络的行为,尽可能的把各种网络不安全威胁降到最低。同时要加强对计算机网络信息安全的监督管理力度,根据实际需要不断加强各种安全管理技术,对网络技术人员要加强各种培训,不断强化其安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
从以上的分析可以看出,计算机网络信息安全从大方面可以关系到国家安全和、社会稳定、民族文化继承和发扬。小到关系到个人工作信息和隐私的防范。信息和网络安全正随着全球信息化步伐的加快越来越重要。但是随着科学技术的进步各种,不发侵权和盗取信息的现象屡见不鲜,这就需要信息技术研究和管理人员,在平时的工作中根据实际情况的变化,做出针对性的防范措施,保证计算机网络信息的安全。
参考文献:
[1]李强.信息网络安全计划的建立与实施[J].网络安全技术与应用.2005,03.
[2]韩永飞,杨富春,李守鹏;信息和网络安全(一)[J].网络安全技术与应用.2002,02.
