前言:寻找写作灵感?中文期刊网用心挑选的计算机网络信息安全防护解析(4篇),希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
【摘要】本文介绍了现阶段军队计算机网络信息安全存在的问题。结合现有网络信息安全技术,阐述了加强军队计算机网络安全的对策。
【关键词】信息化建设;计算机网络;信息安全
1引言
随着我军信息化建设步伐的不断加快,计算机网络技术在部队的应用日趋广泛。但从整体情况看,我军网络信息安全工作滞后于网络系统建设工作,网络信息安全还存在很多问题。比如,计算机网络安全防护能力弱、信息安全技术落后、使用和管理人员对信息安全意识淡薄、信息安全管理制度不完善等。
这些安全隐患问题如果不能很好解决,不但会引起泄密事件和网络被攻击事件的发生,更会影响到计算机网络技术在军队信息化建设中的推广和应用,甚至会成为在未来信息化战争中的死穴,直接影响战争的结果。
2军队计算机网络信息安全存在的问题
2.1计算机网络安全技术问题
(1)缺乏自主的计算机网络软、硬件核心技术。我国信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库、网关软件大多依赖进口。我军计算机网络中普遍使用的操作系统来自国外,这些系统都存在大量的安全漏洞,极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患;计算机网络中使用的网管设备和软件绝大多数是舶来品,在网络上运行时,存在着很大的安全隐患。这就使军队计算机网络的安全性能大大降低,网络处于被窃听、干扰、监视和欺诈等多种安全威胁中,网络安全处于极脆弱的状态。
(2)长期存在被病毒感染的风险。现代病毒可以借助文件、邮件等诸多方式在网络中进行传播和蔓延,它们具有自启动功能,常常潜入系统核心与内存,为所欲为。军用计算机一旦受感染,它们就会利用被控制的计算机为平台,窃取和破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个军队计算机网络数据传输中断和系统瘫痪。
(3)军事涉密信息在网络中传输的安全可靠性低。军事涉密信息存储在网络系统内,很容易被搜集而造成泄密。这些涉密资料在传输过程中,由于要经过许多外节点,在其中任何节点上均有可能被截取或恶意修改,且难以查证。
(4)存在来自网络外部和内部攻击的潜在威胁。网络中无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用大量资源,修改网络数据,窃取、破译机密信息,破坏软件执行等。在网络内部,则会有非法用户冒用合法用户的口令,以合法身份登录系统,查看机密信息,修改信息内容及破坏应用系统的运行。
2.2信息安全管理问题
(1)领导思想认识不足,经费投入不够。在军队网络建设中,高投入地进行网络基础设施建设,而相应的网络安全管理措施却没有跟上,在网络安全上的投资也是微乎其微。有些错误地认为,网络安全投资只有投入却不见直观效果,对军队教育训练影响不大。因此,对安全领域的投入和管理远远不能满足安全防范的要求。一旦安全上出了问题,又没有行之有效的措施补救,有的甚至是采取关闭网络系统、禁止使用的消极手段,根本问题依然得不到实质性的解决。
(2)网络运行管理机制存在缺陷,安全措施不到位。国家和军队相继出台了系列信息网络安全保密的法规,如《中华人民共和国计算机信息系统安全保护条例》、《中国人民解放军计算机信息系统安全保密规定》等,这些法规的出台从一定程度上规范了军事信息网络安全的管理,但还不能满足军事信息网络安全管理的发展需求。网络运行管理机制存在缺陷,军队网络安全管理人才匮乏,安全措施不到位,出现安全问题后缺乏综合性的解决方案,信息安全系统在迅速反应、快速行动和预防范等主要方面,缺少方向感、敏感度和应对能力。在网络运行过程中,往往缺乏行之有效的安全检查和应对保护制度。
(3)网络管理和使用人员素质不高、安全意识淡薄。目前,军事计算机网络系统和用户飞速发展,然而部分人员网络安全知识掌握很少,安全意识不强,甚至有些网络管理人员都缺少或没有安全意识。经常是在没有任何防范措施的前提下,随便把电脑接入网络系统;在不知情的情况下将带有保密信息的计算机连入因特网,或者使用因特网传递保密信息;对数据不能进行及时备份,经常造成数据的破坏或丢失;对系统不采取有效的防病毒、防攻击措施,杀毒软件不能及时升级。
3加强军队计算机网络安全的对策
解决军队计算机网络中的安全问题,关键在于建立和完善军队计算机网络信息安全防护体系。总体对策是在技术层面上建立完整的网络安全解决方案,在管理层面上制定和落实严格的网络安全管理制度。
3.1网络安全技术对策
(1)采用安全性能较高的系统和使用数据加密技术。美国国防部技术标准把操作系统安全等级分为Dl、Cl、C2、B1、B2、B3、A级,安全等级由低到高。目前主要的操作系统等级为C2级,在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在比较重要的系统中,应采用B级操作系统。
对军事涉密信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安全保证。在传输保存军事涉密信息的过程中,不但要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、接收者。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹和标签等技术手段将涉密资料先隐藏到普通的文件中,然后再通过网络来传递,提高信息保密的可靠性。
(2)安装防病毒软件和防火墙。在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行全面实时监控,发现异常情况及时处理。
防火墙是硬件和软件的组合,它在内部网和外部网之间建立起安全网关,过滤数据包,决定是否转发到目的地。它能够控制网络进出的信息流向,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节等。它还可以帮助军事网络系统进行有效的网络安全隔离,通过安全过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部来的恶意攻击。同时,防火墙可以进行时间安全规则变化策略,控制内网用户访问外网时间。更重要的是,防火墙不但能将大量的恶意攻击直接阻挡在外而,同时也可以屏蔽来自网络内部的不良行为,让其不能把涉密信息散播到外部的公共网络上去。
(3)使用安全路由器和虚拟专用网技术。安全路由器采用了密码算法和加/解密专用芯片,通过在路由器主板上增加安全加密模件来实现路由器信息和IP包的加密、身份鉴别、数据完整性验证、分布式密钥管理等功能。使用安全路由器可以实现军队各单位内部网络与外部网络的互联、隔离、流量控制、网络和信息安全维护,也可以阻塞广播信息和不知名地址的传输,达到保护内部信息与网络建设安全的目的。
目前我国自主独立开发的安全路由器,能为军队计算机网络提供安全可靠的保障。建设军队虚拟专用网是在军队广域网中将若干全区域网络实体利用隧道技术连接成全虚拟的独立网络,网络中的数据利用加/解密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防止未授权用户窃取、篡改信息。
(4)安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量全防御体系是否完整有效的重要因素。入侵检测的软件和硬件共同组成了入侵检测系统。强大的、完整的入侵检测系统可以弥补军队网络防火墙相对静态防御的不足,可以对内部攻击、、外部攻击和误操作进行实时防护,在军队计算机网络和系统受到危害之前进行拦截和响应,为系统及时消除威胁。
网络诱骗系统是通过构建真实的网络和主机的欺骗环境,或用软件模拟的网络和主机,诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后,将攻击重定向到该严格控制的欺骗环境中,从而保护实际运行的系统;同时收集入侵信息,借以观察入侵者的行为,记录其活动,以便分析入侵者的水平、目的、所用工具、入侵手段等,并对入侵者的破坏行为提供证据。
3.2网络安全管理对策
(1)强化思想教育、加强制度落实是网络安全管理工作的基础。搞好军队网络安全管理工作,首先是要做好人的工作。要认真学习军委、总部先后下发的有关法规文件和安全教材,强化军事通信安全保密观念,增强网络安全保密意识,增长网络安全保密知识,提高网络保密素质,改善网络安全保密环境。还可以通过举办信息安全技术培训、组织专家到基层部队宣讲网络信息安全保密知识、举办网上信息战知识竞赛等系列活动,使广大官兵牢固树立信息安全领域没有和平期的观念,在头脑中筑起军队网络信息安全的防火墙。
(2)制定严格的信息安全管理制度。设立专门的信息安全管理机构,组成人员应包括领导和专业人员,按照不同任务进行分类确立各自的职责。一类人员负责确定安全措施,包括方针、政策、规定的制定,并协调、监督、检查安全措施的实施;另一类人员负责分工具体管理系统的安全工作,包括信息安全管理员、信息保密员和系统管理员等。
在分工的基础上,应有具体的责任人负责整个网络系统的安全。确立安全管理的原则:一是任期有限原则,即任何人不得长期担任与安全相关的职务,应不定期地循环任职;二是职责分离原则,如计算机的编程与操作、涉密资料的传送和接收、系统管理与安全管理等工作职责应当由不同人员负责。另外,各单位还可以根据自身的特点制定系列的规章制度。如要求用户必须定期升级杀毒软件、定期备份重要资料,规定涉密计算机不得随意安装来路不明的软件、不得打开陌生邮件,对违反规定的进行处理等等。
(3)重视网络信息安全人才的培养。加强对操作人员和管理人员的安全培训,主要是在平时训练过程中提高能力,通过不问断的培训,提高保密观念和责任心,加强业务、技术的培训,提高操作技能;加强计算机网络指挥人员的培训,使网络指挥人员能够通过计算机网络实施正确的指挥和对信息进行有效的安全管理,保证部队的网络信息安全。
对内部高度涉密人员更要加强人事管理,定期组织思想教育和安全业务培训,不断提高人员的思想素质、技术素质和职业道德。研究军队计算机网络攻防战的特点规律,寻找进入和破坏敌方网络系统的办法,探索阻止敌方网络入侵、保护己方网络系统安全的手段。只有拥有一支训练有素、善于信息安全管理的队伍,才能保证军队在未来的信息化战争中占据主动权。
参考文献
[1]王贻峰.信息化作战中基于信息系统的协调控制效能发挥面临的矛盾与对策[J].军队指挥自动化,2012,3;44-45.
[2]薄明霞.浅谈云计算的安全隐患及防护策略[J].信息安全与技术,2011,9;62-64.
[3]韩伟红,隋品波,贾焰.大规模网络安全态势分析与预测系统YHSAS[J].信息网络安全,2012,(08):11-14.
[4]张明德,郑雪峰,蔡翌.应用安全模型研究[J].信息网络安全,2012,(08):121-125.
[5]常艳,王冠.网络安全渗透测试研究[J].信息网络安全,2012,(11):3-4.
第二篇:计算机网络信息安全防护
[摘要]本文介绍了网络信息安全的概念和常见的四种安全隐患,从四个层面探讨了多种信息安全新技术,并简要叙述了安全技术的具体应用。
[关键词]网络安全;信息安全;访问控制;身份认证
伴随着我国国民经济信息化进程的推进和信息技术的普及,各种网络信息系统已成为国家的基础设施,支撑着电子政务、电子商务、电子金融、科学研究、网络教育和社会保障等方方面面。由于网络具有的开放性和共享性,人们在利用互联网获取信息的同时,其安全问题也日益突出。据统计,美国每年因为网络安全造成的经济损失超过170亿美元,在全球平均每20秒钟就发生一次网上入侵事件。2000年的“2月黑客事件”中,世界著名的雅虎、亚马逊、微软等网络遭黑客攻击而几乎全面瘫痪,直接经济损失高达数十亿美元。这些例子说明网络信息安全已威胁到一个国家的政治、经济、军事、文化、意识形态等领域。因此,有必要对网络环境下信息存在的安全隐患及防护做深入的研究和探讨。
一、网络信息安全中常见的隐患
网络信息安全中常见的隐患有恶意攻击、窃取机密攻击、计算机病毒、非法访问等四种。
恶意攻击主要包括缓冲溢出攻击、拒绝服务攻击(DenialofService,DoS)、分布式拒绝服务攻击(DistributedDenialofSerivice,DDoS)、硬件设备破坏型攻击、网页篡改攻击等。
窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络、窃取信息。常见的形式有网络踩点、协议栈指纹鉴别、信息流监视、会话劫持等。
计算机病毒是指为了某种目的而蓄意编制的计算机程序,它能在实际系统中生存、自我复制和传播,并且给计算机系统造成严重的损坏。
非法访问包括口令破解、IP欺骗、特洛伊木马等。
二、网络信息安全防护技术
网络信息安全是一个非常关键而又复杂的问题,它涉及技术、管理等方面的安全措施和相应的政策法律。在这里仅从技术的角度来研究对信息安全的保护,包括身份认证、访问控制、内容安全、审计和跟踪、响应和恢复几个部分。
1.网络安全的访问控制技术
访问控制的主要任务是采取各种措施保证网络信息系统不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。访问控制所包括的典型技术有:防火墙、虚拟专用网(VPN)、授权管理基础设施(PMI)等。
防火墙(firewall)是指设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的惟一出入口。防火墙技术分为网络层与应用层两类,分别是包过滤防火墙与应用层网关。
虚拟专网(VPN)技术是采用密码技术,使用IP隧道封装加密数据,进行信息加密传输,保证信息完整,并结合网络访问控制技术,抵抗各种外来攻击。在IP层实现了认证、数据加密、防止DOS攻击、访问控制以及审计等安全机制,从而使其成为安全可靠的网络信息安全传输工具。
PMI(PrivilegeManagementInfrastructure)是属性机构、属性证书、属性证书注册申请中心、属性库、策略库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销功能。PMI可以向应用系统提供对实体(人、服务器、程序等)的权限管理和授权服务,实现实体身份到应用权限的映射,提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。
2.网络安全的身份认证技术
身份认证是对网络中的主体和客体的身份进行验证的过程,所包括的典型技术有:口令认证机制、公开密钥基础设施(PKI)强认证机制、基于生物特征的认证等。
口令认证,是最常用的一种认证方式。通常情况下,用户先输入某种标志信息,然后系统询问用户口令,如果口令相匹配,用户即可进入系统访问。
PKI认证,PKI(PublicKeyInfrastructure)技术是通过公钥密码体制中用户私钥的机密性来提供用户身份的惟一性验证,并通过数字证书的方式为每个合法用户的公钥提供一个合法性的证明,建立了用户公钥到证书ID号之间的惟一映射关系。PKI的认证是一种强认证机制,综合采用了摘要算法、非对称加密、对称加密、数字签名等技术很好地将安全性和高效性结合起来。这种认证方法目前广泛应用在电子邮件、应用服务器访问、客户端认证、防火墙认证等领域。
基于生物特征的认证,是一项正处于研究开发阶段的技术,常见的有指纹、声音、视网膜或虹膜、手掌几何学等。这种利用个人生理特征进行鉴别的方式具有很高的安全性。
3.网络安全的内容安全技术
内容安全主要是直接保护系统中传输和存储的数据。主要是通过对信息和内容本身进行变形和变换,或者对具体的内容进行检查来实现。内容安全所包括的典型技术有:加密、防病毒、内容过滤等。
加密是信息安全领域的一种基本、实用且非常重要的技术。主要分为对称加密、非对称加密两类。对称加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高,但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难;非对称加密算法也称公开密钥加密算法,其特点是有两个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。由于非对称算法拥有两个密钥,它特别适用于分布式系统中的数据加密,因此在Internet中得到广泛应用。在实际应用中,通常将对称加密和非对称加密结合起来,同时保证了加密的高效性(对称密钥的快速加密)和高强度性(公钥的强加密)。
防病毒,病毒是一种进行自我复制、广泛传播、对计算机及其数据进行严重破坏的程序。由于病毒具有隐蔽性与随机性的特点,使用户防不胜防,因此,防范病毒必须建立多层的网络级病毒防治系统,综合运用预防病毒、检测病毒和杀除病毒技术。
内容过滤,内容过滤就是采取适当的技术措施,对网络上的不良信息进行过滤,既阻止不良信息对人们的侵害,又可以通过规范用户的上网行为,提高工作效率,合理利用网络资源。
4.网络安全的审计和跟踪技术
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统等。
IDS,是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
漏洞扫描系统,是自动检测网络或主机安全漏洞的技术,通过执行一些脚本文件对系统进行攻击并记录它的反应,从而发现其中的漏洞并采取补救措施。不管攻击者是从外部还是从内部攻击某一网络系统,攻击机会来自已经知道的漏洞。对于系统管理员来说,漏洞扫描系统是最好的助手,它能够主动发现系统的漏洞,及时修补漏洞。漏洞扫描系统分为网络扫描系统、主机扫描系统和数据库扫描系统三种。
安全审计,是对网络或主机的活动轨迹进行记录形成日志,并对日志进行审计,从而发现可疑行为。
响应和恢复,从过程上看,响应和恢复是对异常、故障、事故、入侵等事件发生后做出的反应,但从根本的实现上看,事前的准备才是该技术的关键。一般的数据备份策略有全备份、增量备份和差分备份三种。全备备份系统中所有的数据;增量备份只备份上次备份以后有变化的数据;而差分备份则备份上次完全备份以后有变化的数据。恢复措施在整个备份机制中占有相当重要的地位。恢复操作通常分为全盘恢复、个别文件恢复。
三、总结
网络信息安全是一项复杂的长期性的系统工程。只有融合各种安全技术,构建综合的动态网络来最大化安全防护的效果;同时开展网络信息安全和防范技术教育,从法律法规、管理、技术这三个层次上采取有效措施,加强防范,避免黑客人侵、信息被窃,以保证信息网络的正常运行。
参考文献:
[1]张小斌:黑客分析与防范技术[M].北京:清华大学出版社,1999
[2]周慧:网络的信息安全技术[J].山东:烟台教育学院学报,2003(3)
[3]宋玲吕立坚蒋华:基于PKI实现网络通信安全性的研究[J].计算机工程与应用,2002(13)
[4]卿斯汉:密码学与计算机网络安全[M].北京:清华大学出版社,2001
[5]余晓征谷皓张兴东:构建网络信息安全的综合防护体系[J].广州广播电视大学学报,2004(2)
第三篇:网络环境下计算机信息安全防护措施
摘要:本文主要阐述了计算机安全的现状,阐明了计算机网络信息安全存在的安全隐患,明确了计算机网络信息的安全目标,提出了计算机存在安全问题,并给出了计算机网络的安全防范措施。
关键词:计算机;网络信息;安全
随着信息技术的发展,单位、企业及个人的计算机信息网络得到推广普及运用,而随之而来的计算机网络信息安全问题已成为了人们所担心和思考的问题,当前在全球范围内看来,受计算机黑客袭击、网络病毒、网络虚假有害信息和系统漏洞等危害时常发生,严重地破坏计算机安全使用,面对这样威胁,如何在计算机的硬件、软件及系统上加强防护,确保计算机的信息不受窃取、被篡改和泄漏,提高计算机的信息的机密性、完整性、可用性和可控性,保证计算机信息系统正常运用。因此本文基于所述的计算机信息安全问题,加强计算机信息安全防护措施,作出以下几方面的探讨;
一、计算机网络存在的安全问题
(一)固有的安全漏洞
随着新的操作系统或其它应该软件不断上市,系统或软件漏洞层重出现,如缓冲区溢出,这是攻击中最容易被利用的系统漏洞;如拒绝服务,拒绝服务攻击的原理是搅乱TCP/IP连接的次序。典型的Dos攻击会耗尽或损坏一个或多个系统的资源(CPU周期、内存和磁盘空间),直至系统无法处理合法的程序。
(二)滥用合法工具
由于破坏者利用各种工具软件去收集非法信息对大部分都具有一定的攻击力度,遗憾的是很多系统未能较完善改进,使这些破坏者逞机而入。
(三)系统维护措施不当
有时虽对系统进行了维护,对软件进行了更新或升级,但路由器及防火墙的过滤规则过复杂,系统又可能会出现新的漏洞。因而及时、有效地改变管理可以大大降低系统所承受的风险。
(四)系统设计不合理
建立安全的架构必须从底层着手。服务器的代码设计及执行也要进行有效管理。最近,有很多公开的漏洞报告指出:在输人检查不完全时,cgibin是非常脆弱的黑客可以利用这一漏洞发动拒绝服务攻击,非法访问敏感信息或是篡改Web服务器的内容,这些都源自计算机系统设计的不合理。
二、计算机网络面临的主要威胁
计算机网络一旦遭到破坏、更改、泄露,将容易导致系统存在较大信息安全威胁利,具体威胁内容主要在以下几个方面:
(一)人为的失误
在系统运行中操作员由于安全意识不强或系统安全配置设置容易出现计算机的安全漏洞,有时会出现将自己或用户账号随意转借他人导致网络安全带来威胁。
(二)人为的恶意攻击
恶意攻击,可以说是当前计算机网络到最大的威胁之一,一般计算机黑客或计算机犯罪分子采用两种方式:一是进行主动攻击,尤其是具有选择性信息进行破坏,影响了数据的完整性和有效性;另外一种是被动攻击,就是一般不影响计算机网络正常运行工作过程中,进行有目的地窃取或截获一些重要机密信息,导致计算机用户造成了较大损失。这两种攻击方式都给计算机网络带来很大危害。
(三)计算机病毒
病毒主要指是计算机害程序,它是一种能能过自身不断地复制和感染其它软件的程序。一旦这个程序得到运行时,就会形成了更多病毒嵌入运行系统或软件程序之中。而这种病毒往往是一种具有较强恶意攻击性编码,一旦被病毒携带恶意攻击性编码侵入系统,即可感染和破坏整个计算机系统
三、计算机网络的安全防范措施
计算机网络系统的安全防范工作是一个极为复杂的系统工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门应自觉执行各项安全制度,在此基础上,加强网络安全管理,采用先进的技术和产品,以及得当的日常防护措施,构造全方位的防御机制,促使网络系统的理想运行。
(一)加强网络的安全管理
网络的安全除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安_全管理。网络的安全需要在软件网络功能上设计具有安全保障功能以以外,还需要系统安全保密措施,此外,更重要是要加大人力的网络安全管理,在网络安全管理过程中应遵循以下三个方面的原则:第一,多人负责的原则,也就是说每项有关安全的活动,要由两或多人在场并签署工作情况记录以证明安全工作得到保障比如;在一些证件发放和回收、信息删除和处理、硬件和软件维护等。第二是任期有限原则,作为计算机工作人员,应该遵循任期有限原则,工作人员应实施办轮值任职、轮值休假、轮值培训等有效地促作任期限制度可行度。第三是职责分离原则。从安全角度考虑,类似计算机编程与计算机操作;安全管理和系统管理;计算机操作与信息处理系统使用媒介的保管;应用程序和系统程序的编制:访问证件的管理与其他工作:机密资料的接收与传送等两项处理的工作进行分开执行。
(二)采用先进的技术和产品
要保证计算机网络系统的安全性,应采用先进的技术和产品予以保障。通常主要采用如下技术和产品:
1.防火墙技术。防火墙技术是保护计算机网络安全的最成熟、最早产品化的技术措施。为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。防火墙可以是硬件的,也可能是软件的,也可以是硬件和软件兼而有之,它是一个或一组系统,并依照用户的规则传送或阻止数据,其主要包括应用层网关、数据包过滤、服务器等几大类型。
2.数据加密技术。为了保证计算机信息和数据的保密性和安全性,防止这些信息和数据被破坏或窃取,应采用防火墙技术和数据加密技术相结合进行防护,同时,还要加强软件和硬件防护措施,推进加密技术和物理防范技术的发展。
3.认证技术。认证是指验证一个最终用户或设备的身份过程。认证的主要目的有两个:第一,验证信息的发送者的真伪;第二,验证信息的完整性,保证信息在传送过程中不被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
4.安装杀毒软件。安装杀毒软件加强计算机防御病毒入侵。好的防病毒软件具有:
(1)较强的查毒、杀毒能力。
(2)完善的升级服务。
(3)实时的监控能力。
(三)提高信息安全的防护
1.隐藏IP地址。IP地址在网络安全上是一个很重要的概念,攻击者可以向某个IP发动各种进攻,如Dos(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。使用服务器后,在很大程度上保障了用户的网上安全。
2.关闭不必要的端口。黑客在入侵时常常会扫描你的计算机端口,因此关闭暂时不用的端口,是一种有效的防护措施。
3.更换管理员帐户密码。Administrator帐户拥有最高的系统权限,黑客入侵的常用手段之一就是试图获得该帐户的密码。因此,我们首先在为Administrator帐户设置一个强大复杂的密码的同时,要定期更换密码,确保系统帐户安全。
4.杜绝Guest帐户的入侵。禁用或删除Guest帐户,在必须使用时,要设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。
5.IE的安全设置。ActiveX控件和JavaApplets有较强的功能,但网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行,因此必须做好IE的安全设置。(6)及时给系统打补丁下载与操作系统对应的补丁程序,认真及时打补丁是网络安全的一项重要基础。
四、结语
综上所述,计算机的网络信息安全是一研究项课题,它所涉及的诸多的学科,它需要各相关学科领域工作人员不断地探索和研究,同时,更重要的为作计算机相关工作人员,在日常工作中应该做好病毒、入侵和攻击的防措施。不断地学习和研究安全防护技术,真正使用计算机安全防护技术去解决网络安全隐患问题。确保计算机信息及数据的安全性、有效性和完整性。
参考文献:
[1]杨荣光.计算机系统安全及维护研究[J].电脑知识与技术,2010,5
[3]陈观.浅谈计算机网络安全及防范技术[J].科学之友,2010,22
[2]李昂.浅谈计算机的管理与维护[J].技术与市场,2010,4
第四篇:计算机网络信息安全防护探析
摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。Internet的广泛普及,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
关键词:网络信息;安全;防护
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
一、网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
1.病毒感染。从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
2.来自网络外部的攻击。这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
3.来自网络内部的攻击。在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
4.系统的漏洞及“后门”。操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
二、网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
1.防火墙技术。防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻J网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。VPN,可以将分部在世界各地的LAN或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
2.数据加密技术。数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.入侵检测技术。入侵检测系统(intrusiondetectionsystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
4.身份认证技术。身份认证(Authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(IdentificaIion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
总之,在网络技术十分发达的今大,任何一台计算机都不可能孤立于网络之外。网络安全是一个系统的工程,不能仅仅依靠防火墙、病毒软件或各种各样的安全产品就可以解决安全问题,而需要仔细考虑系统的安全需求,并将各种安全技术,结合在一起,才能生成一个高效、通用、安全的网络系统。