网络信息安全论文通用8篇
时间:2023-12-06 20:09:26
非法入侵者主要通过计算机网络设备和操作系统中的安全漏洞对计算机信息系统进行攻击和非法侵入,攻击侵入、截取、窃听网络系统的重要信息,破坏和修改计算机网络信息,造成计算机网络系统瘫痪或者数据文件丢失。这里是整理的网络信息安全论文通用8篇,如果能帮助到您,小编的一切努力都是值得的。
网络信息安全论文 篇1
最近几年,水利部门根据水利工作的实际状况,在对治水经验和实际操作进行总结的过程中,提出要转变过去的水利发展道路,坚持走可持续发展水利道路,建立水利现代化的发展道路。随着水利事业的不断发展和变革,水利信息化构建也取得了一定的成绩,逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理,水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成,水利信息化基础设备也在不断的健全,对业务的使用能力也在逐渐加强。防汛抗旱,城市水资源的监控管理,水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中,相关的保证水利信息化安全的体系也逐渐形成。
2强化水利网络信息安全的解决措施
网络和信息的安全隐患问题,使得水利信息化的发展受到阻碍,所以要及时的进行预防,综合治理和科学管理,逐渐增加信息的安全性,加强其中的保护能力,保证水利信息化的持续运行。
2.1加强信息安全管理
信息安全规划包含了技术、管理和相关法律等多个层面的问题,是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理,还是信息化形成的重要力量。在信息安全管理的过程中,信息系统安全构建和管理要更加具有系统性、整体性和目标性。
2.1.1以信息化规划为基础,构建信息化建设
信息安全是在信息化规划的基础上,对信息安全进行系统的整理,是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究,更好的发现信息化中存在的安全隐患,还要根据信息化规划以及信息化发展的主要战略和思路,有效的处理信息安全的问题。
2.1.2构建信息安全系统
信息安全规划需要从技术安全、组织安全、战略安全等方面入手,构建相关的信息安全系统,从而更好的保证信息化的安全。
2.2日常的运维管理
2.2.1注重网络的安全监控
网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以,注重互联网安全监控,从而及时的采取相关的安全防护措施,是现在日常安全管理工作中的主要内容。
2.2.2安全状态研究
网络信息安全是处于不断变化的过程中,需要定时对网络安全环境进行整体的分析,这样不但可以发现其中的问题,还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理,通过统计和分析,综合评价网络系统的安全性,并且对发展的状态进行判断。
2.2.3信息安全风险评估
风险评估是信息安全管理工作中的重要部分。通过进行风险评估,可以及时的发现信息安全中的问题,并且找到积极有效的解决措施。安全风险评估的主要方法是:(1)对被评估的主要信息进行确定;(2)通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法,对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理;(3)对取得的信息资料进行综合的分析,判别被评估信息资产中存在的主要问题和风险;(4)从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面,根据风险程度的不同,分析和管理相关的安全问题;(5)根据上面的分析结果,建立相关的信息安全风险评估报告。
2.2.4应急响应
所谓的应急响应就是信息安全保护的最后一道屏障,主要是为了尽量的减少和控制信息安全所造成的严重影响,进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施,并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题,对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合,才能更好的发挥应急响应的重要作用。
2.3教育培养
人是信息安全的主要力量,其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养,及时的进行信息安全教育,提升人们的信息安全意识,从而有效的减少信息安全问题的出现。
3总结
随着社会经济的不断发展,信息系统中的安全问题也逐渐增多。因此需要不断的加强信息安全管理工作,对于网络信息安全管理中的问题进行深入的研究,找到具有针对性的解决措施,从而保证水利信息化的健康发展。
网络信息安全论文 篇2
1.1电子政务早在上世纪九十年代开始,就开始流行电子政务。在本世纪初,国务院总理朱镕基在召开国家信息化小组的会议中将电子政务列为了重点建设项目,这是我国电子政务重点建设时期,同时这也确定了电子政务在日常政务的中重要性。在不同领域给电子政务的定义不同,电子政务最广泛的理解是通过计算机网络技术,与通讯技术的结合,实现一些机构组织对工作流程的优化和重组,这种优化和重组跨越了时间空间,甚至是部门的限制。这种运行模式以公正,高效著称,主要的作用是全方位的向相应的人群提供透明化,优质的服务和管理。但是这种运行方式最常见于政府和大型的商业机构中,对信息安全的要求性要求很高。因为电子政务是一个政府或一个大型商业机构的核心信息所在之处,也往往因为某些原因,这种实行电子政务的机构很容易受到外界不法人员的攻击,有的为的是政府的机密,有的为的是商业机密等,但是不管是出于什么目的,信息是绝对不允许被泄露的。
1.2电子政务中存在的信息安全隐患有人说过安全是相对的,因此是没有的安全,总会在一些地方存在一些潜在安全问题。在行政中电子政务的应用,安全问题值得注意,在发现问题后应该及时去解决问题,所以在问题出现前,首先要客观的去评价电子政务建设的质量问题和技术问题,再就是根据问题所在地来想出相应的应对策略。常见的影响信息安全的因素有以下四类,一是使用者的操作方式不安全,二是在电子政务建设中存在的问题,关于提高电子政务网络信息安全的探讨文/通拉嘎现在是信息高速发展的时代,网络信息时代,信息多而杂。在现在的网络信息中含有大量的木马等病毒,这是需要上网人员自己去识别,排除的信息安全问题。而且我国也早就开始使用电子政务,这就更需要注意网络信息安全问题,除了需要好的网站维护的后勤组织,好的病毒防火墙,还需要使用者在操作过程中注意好的安全意识,只有这样才能尽量的减少电子政务信息的泄露。摘要三是技术层面上的不足,四是相关工作人员的泄露。
2网络信息安全
良好的网络环境是需要很长时间的建设,但是网络环境在理论上来说,是没有绝对的优质,只有相对较好,所以在多数时候,基础干部的网络工作环境是并不是很好,这就需要培养基础干部的信息安全意识。
3电子政务中安全问题的应对策略
3.1安全意识的培养安全意识需要从基础开始培养的,因此对相关的基层人员进行相应的知识培训。一般的电子政务的是一个政府机构的官方网站,而且这些网站的后台都需要登录域名和密码,还有就是网站的信息等需要登录后台或者是需要用户名才可以,这些就存在入侵空间了,类似的还有很多,因此要对基层人员培养安全意识,最有用的方法就是向基层人员讲解那些方面存在安全隐患,并实时对这些基层进行抽查,避免他们进行危险操作。这些都是简单的从表面上解决问题,但这并不能根除所有的安全隐患,因此要提高安全性,还要从另外几个方向上解决根本的问题。
3.2规范操作方式对安全意识的培养,只是在理论上对基层人员进行了一定程度上的培养,但是还需要在实际操作上进行培养。这主要包括安全浏览,安全登录,安全。安全浏览主要是指日常工作在网页上的安全使用,要求在使用前进行杀毒处理,检查是否开启防火墙,不要在非官网上填写登录名等;安全登录是指在安全的网络环境中登录账号,主要操作为先检查网络环境是否安全,在进行防火墙设置,最重要的是在登录账号之前进行病毒查杀,在进行相关的内容,或信息浏览等,在做完所有的事项之后退出账号。这非常重要的一步,有很多基层人员做好了所有的事,但是最后忘了退出了,就导致账号信息的泄露,这也是很常见的基础错误,还有一种就是很多人喜欢保存登录号密码,这会在别人用你的电脑时,可以很轻松的登录进入相关页面,并进行违法操作等。
3.3提高电子政务建设中的技术支持很多时候不是电子政务的建设上的问题,而是后台的维护技术不足,再遇到病毒时,安全维护工具和防火墙技术不足,导致网站被病毒感染,使不法分子利用,从而获取民众的信息,这在一定程度上这也是地方政府的失误。在防火墙的技术方面的突破,是需要政府进行招聘的高技术人员,进行防火墙技术升级,网站优化等技术方面的改善。
3.4加强相关人员的保密工作有的地方政府会把很简单把电子政务建设的工作简简单单的交给一个网络公司来完成,在这个过程中就会存在很多的问题。因为网站的第一设计者并不是政府人员,这个在一定程度上就存在很大的安全隐患,毕竟网站设计过程存在的bug只有网站设计者最为清楚,如果网站设计者将这个网站的设计脚本泄露了,那么就给了那些不法分子利用的机会,可以通过网站设计的源代码来找出设计上的bug,借此来来寻找机会攻击网站,严重的会导致所有的信息泄露。因此为了杜绝这些事项的发生,地方政府在建设网站时,可以将网站设计的任务交给网络设计公司,但是同时也要和他们签订相应的协议,一是为防止他们泄露网站设计思路和源代码,二是在防止他们私自登录网站的后台。还有就是利用政府的网络技术人员对网站进行修改,在一定程度上完善网站设计,减少bug,以减少信息泄露的风险。
4结语
信息安全在电子政务应用十分重要,影响信息安全的因素有很多,主要有四类,这四个方面在不同的角度介绍了影响信息安全的因素,但是在一定程度上寻找相应的措施,可以有效的提高信息安全性。虽然只是在分析影响信息安全的因素,但是这却在根本上是在介绍如何去提高信息的安全性。提高信息安全意识和信息保护意识,是在根本上提高电子政务网络信息安全。
网络信息安全论文 篇3
1.1提高对网络信息安全的重视度
首先,维护网络信息安全是需要所有使用网络信息技术的人员共同承担的责任。网络信息安全得到了保障,才能够使存储的信息不被破坏,减少日常工作与生活中出现不必要的麻烦。其次,提高对网络信息安全的重视度是国家经济建设的重要内容。在一些国家直属机关,做好国家机密信息的保护是减少敌对势力入侵的前提,更是维护国家尊严的体现。
1.1.1开展必要的保密教育工作相关部门要针对上述出现的信息泄露等问题定期对人员进行培训教育,不断提高人员的保密安全观念与意识,使其具有保密自觉性。还要定期开展科学性强、有教育意义的宣传活动,对国内典型的信息外泄事件进行分析,结合具体的信息安全保密方法,提高人们对网络信息安全的关注度。
1.1.2不断对技术进行研究与开发随着现代科技的飞速发展,应用在网络信息安全保障中的技术要能够不断进行更新,借助现代化手段对网络安全技术进行改进与创新。要将研究出来网络信息安全技术应用到网络系统中,使其从形式转变为方法,真正发挥其在整个网络系统中的重要作用。
1.2网络安全保障措施
1.2.1采用先进技术支持网络安全关系到每一个单位的发展与经营,为此,要在技术上做好监管,其网络性能要从内置软件到传输硬件等多个方面进行加强,运用先进的技术手段落实各项操作。通常来说,防火墙技术加密处理是最常见的应用方法,能够为整个系统网络提供必要的技术支持。
1.2.2保障系统稳定运行要能够从多个角度分析网络安全,必要时对系统稳定性进行检测,对整个网络系统进行维护与创新,确保整个网络系统各项程序能够安全运行。还要对系统冗余进行防护,在分析多个角度的运行安全效果以后,提高网络安全运用水平。做好防火墙的技术加密处理,从而为系统提供一个安全、稳定的平台。
1.2.3重视外部网络可靠性外部网络能够为企业提供必要、稳定的系统支持,这个方面的安全问题是不容小觑的,无论是外部还是内部都能够体现出外网的时效性与稳定性。为此,要能够适当的将外网的故障降到最低,并要提供连续性的服务。
1.2.4重视开放性监督一般来说,网络安全系统的开放程度非常强,正是因为这种开放性,在网络中加强对其的监督非常有必要,在数据传输中,其安全性也能够有效体现出来。
1.3系统硬件及软件上的保障对策
计算机一般都是以CPU为主进行设置的,其设置标准是33位。为此,其服务器具有非常强的稳定性,随着科技进步,当前的CPU已经扩充到了65位,其有效处理器最高能够达到百分之七十,如果内存增大,内部配置量也会随之增加。由此,借助硬件设备的改进提高网络安全性能是非常有效的。软件技术对网络信息安全也有非常重要的保障作用,因为硬件系统在可靠性与安全性上有非常强大的处理功能,能够为软件性能创造足够的空间。比如,可以将槽位进行扩充,这样能够使计算机的信息存储能力增强,还可以在网络系统的外部增添一些功能全面的辅助设备,这些软硬件设备共同运行更能够保障系统安全运行。此外,在信息安全保障方面,还要做好日常保密管理工作,要对网站进行定期维护检测,定期对存在的系统垃圾进行删除,使系统的运行能够更加轻松,更有效的防止病毒入侵。
2结语
在此主要对网络信息安全技术保障面临的挑战进行了分析,并针对网络信息安全技术发展存在的问题提出了几点技术保障对策。并指出,要想使网络信息安全得到技术上的保障,首先要提高人们对网络信息安全的重视度,在软件及硬件方面做好技术研发,依靠先进的技术与规范的制度保障网络信息安全。
网络信息安全论文范文 篇4
【关键词】通讯企业;信息网络;网络安全;控制通讯
企业信息网络比较复杂和繁琐,不仅包括受理人的资料,而且还有相关产品的详细资料以及企业内部员工的资料等,信息网络系统能否正常运行,直接关系到通讯企业发展的好与坏[1]。但是由于计算机网络和信息技术不断的发展,经常存在各种各样的要素威胁着系统的安全,从而损坏甚至丢失内部的重要信息,从而影响通信企业内部正常的运作,最终导致一系列损失[2]。因此,对于通信企业信息网络安全的控制刻不容缓,应该加大力度提高系统的安全性能。
1.信息网络安全概述
信息网络安全是指通过各种各样的网络技术手段,保证计算机在正常运行的过程中处于安全的状态,避免硬件及软件受到网络相关的危险因素的干扰与破坏,同时还可以阻止一些危险程序对整个系统进行攻击与破坏,从而将信息泄露和篡改等,最终保证信息网络在互联网的大环境中正常运行[3]。信息网络安全的维护主要是以信息与数据的完整性与可控性作为核心,并且能够通过用户的操作,实现基本的应用目的。在信息网络的安全维护中,主要包括两个方面。一是设备安全,包括计算机系统的稳定、硬件实体的安全以及软件的正常运行。二是信息安全,主要指的是数据的备份、数据库的安全性等。
2.通信企业信息网络面临的主要安全威胁
2.1人为的恶意攻击
目前信息网络所面临的最大的威胁和挑战就是认为的恶意攻击,人们采取各种各样的方式对于信息进行选择性的破坏和控制,从而造成机密信息的丢失和篡改。
2.2人为的无意失误
通讯企业通过对专门的管理人员进行管理与培训从而保证信息网络系统的正常运行,在日常管理和培训的过程中,会无意的使相应的措施处理不当,这是在所难免的,当工作人员因为自己的原因导致操作不当,会使信息网络系统出现或多或少的漏洞,还有可能造成设备的损坏,这些都是由于人为的无意失误造成的后果[4]。
2.3计算机病毒
由于计算机网络的复杂性及联系性,在工作过程中会尽可能的实现资源共享,因此所接收的结点会有很多。由于无法检测每个结点是否是安全的,因此极容易造成系统的病毒感染。而一旦信息网络受到病毒的感染后,病毒会在信息网络中以非常快的速度进行再生并且传染给其他系统,最终将波及整个网络,后果将不堪设想[5]。
3.通信企业做好信息网络工作的措施
3.1对内部网的访问保护
(1)用户身份认证。如果用户想要进入网络必须经过三个步骤即首先进行用户名进行验证,其次进行用户口令进行验证,最后依据用户帐号进入网络。在这三个步骤中最关键的操作就是用户口令,用户口令需要同时进行系统的加密从而保护网络的安全,并且还应控制同一个账户同时登陆多个计算机的这种现象[6]。(2)权限控制。管理员及用户在进入网络前需要履行某一个任务因此必须遵守所谓的权限原则,这种控制方法可以有效的防止一些非法的用户在一定时间内访问网络资源,从而从根本上阻断这条途径。在进行权限设置的过程中,一定要遵守一些原则,第一,一定要合理的设置网络权限,确保网络权限设置的准确性,不能因为所设置的权限从而影响了整个网络的正常工作,影响了工作的整体效率;第二应该增加一些先进的合理的加密操作技术来减少病毒的入侵,从而从一定程度上保证网络的正常运行,对网络信息数据使用系统性的加密来确保网络安全性和合理性,最终实现对计算机所有结点信息的实时保护。(3)加密技术。通过合理准确的数学函数转换的方法对系统以密文的形式代替明文的现象称之为数据加密,当数据加密后,只有特定的管理人员可以对其进行解密,在数据加密的过程中主要包含两大类:对称加密和不对称加密。
3.2对内外网间的访问保护
(1)安全扫描。互联网互动过程中,及时的对计算机安全卫士和杀毒软件等进行升级,以便及时的对流动数据包进行检测,以便及时有效的对网络中发现的木马和病毒采取有效的防护措施。(2)防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障,是一种加强网络之间访问控制,以此来决定网络之间传输信息的准确性、真实性及安全性,对于计算机的安全与正常运行具有重要的意义[7]。(3)入侵检测。计算机当中的病毒传播的速度较快且危害性极大,为此应该对网络系统进行病毒的预防及统一的、集中管理,采用防病毒技术及时有效的进行杀毒软件系统的升级,以便对网络互动中发现的木马或病毒程序采取及时的防护措施。
3.3网络物理隔离
在进行信息网络安全控制的过程中不能单一的采用一种安全控制对其保护,而应该根据网络的复杂性采取不同的安全策略加以控制,因此管理人员可以依据密保的等级的程度、各种功能的保护以及不同形式安全设施的水平等差异,通过网络分段隔离的方式提高通信企业信息网络安全。这样的形式及控制方法将以往的错综复杂的控制体系转变成为细化的安全控制体系,能够对于各种恶意的攻击和入侵所造成的危害降低到最小。我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离,在不同的时间运行,那么就可以得到两个完全物理隔离的系统[8]。
3.4安全审计及入侵检测技术
安全审计技术对于整个信息网络安全的控制起到了关键性作用,它可以针对不同的用户其入侵的方式、过程以及活动进行系统精密的记录,主要分为两个阶段即诱捕和反击。诱捕是一种特异安排出现的漏洞,可以在一定程度允许入侵者在一定时间内侵入,以便在今后能够获得更多的入侵证据及入侵的特征;当获得足够多的特征及证据的基础上开始进行反击,通过计算机精密的系统对用户的非法入侵的行为进行秘密跟踪并且在较快的时间里查询对方的身份以及来源,从而将系统与入侵者的连接切断,还可追踪定位并对攻击源进行反击。
3.5制定切实可行的网络安全管理策略
要想使通信企业信息网络安全正常运行其前提必须保证整个网络系统的安全,必须针对网络安全提出相应的安全策略,应该使信息网络使用起来安全方便,从而寻找最方便有效的安全措施。在工作的过程中管理人员一定要熟知对于开放性和安全性的具体要求,并且在工作过程中试图寻求两者的共同点和平衡点,当两者出现矛盾的时候应该考虑事情的实际情况有进行准确的取舍。对本网络拓扑结构和能够承受的安全风险进行评估,从网络安全技术方面为保证信息基础的安全性提供了一个支撑。
信息网络的发展需要计算机技术具有跟高的要求,特别是针对通信企业的信息网络安全的控制问题应该加以关注,这直接关系到整个企业的发展。信息网络工程是一个巨大而又复杂的动态的系统工程,需要从多角度进行思索与探讨从而进行综合性的分析,才能选择出更好地安全网络设备,并且对其进行有针对的系统的优化,从而提高管理人员及工作人员的业务水平,最终全面提高整个通讯企业信息网络安全。
作者:王春宝 于晓鹏 单位:吉林师范大学计算机学院
[1]卢昱。网络控制论浅叙[J].装备指挥技术学院学报,2002,3(6):60-64.
[2]王雨田,控制论、信息论、系统科学与哲学[M].北京:中国人民大学出版社,1986.
[3]南湘浩,陈钟。网络安全技术概论[M].北京:国防工业出版社,2003.
[4]涂华。医院信息系统的网络安全与防范[J].中山大学学报论丛,2011,04(12).
[5]王芸《.电子商务法规》.高等教育出版社,2010年版。
[6]张新宝主编:《互联网上的侵权问题研究》,中国人民大学出版社,2003年版。
网络信息安全论文 篇5
目前,对信息异化概念有不同的说法,多是处于人的视角,认为信息异化是人类创造了信息,信息在生产、传播和利用等活动过程中有各种的阻碍,使得信息丧失其初衷,反客为主演变成外在的异化力量,反过来支配、统治和控制人的力量。其意针对的是人们创造的那部分信息,研究的是信息所拥有的社会属性,说到底是研究人造成的异化问题,只是使用了限定词的一个信息而已,疑似把“信息异化”当作“信息过程中人的异化”同一个归类。这样,使得异化的被动内涵被隐藏起来,结果造就了“信息对人的异化”方面的研究,疏忽对信息自然属性及“信息被异化”的研究,最后使信息异化研究具有片面性。笔者最后选择一个信息异化概念。“信息异化”是指信息在实践活动(包括信息的生产、制造,传播及接收等)过程中,在信息不自由的状态下变为异在于其本真活动结果的现象。关于信息安全,部分专家对信息安全的定义为:“一个国家的社会信息化状态不受外来的威胁与侵害;一个国家的信息技术体系不受外来的威胁与侵害。”这个定义,包含现有对信息安全的先进认识,又包含了更加广泛的信息安全领域,是目前较为全面且被认可的定义。信息安全本身包括的范围极大,其中包括如何防范企业商机泄露、防范未成年人对不良信息的浏览、个人信息的泄露损失等。所以网络信息安全体系的建立是保证信息安全的重要关键,其中包含计算机安全操作系统、各种的安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,只要一环出现漏洞便会产生危险危害。如今,网络安全技术杂乱零散且繁多,实现成本相应增加,对网络性能的影响逐渐增大。其复杂性使得它的臃肿的弊端慢慢显现出来,业界需要相应的创新的理念和战略去解决网络安全问题以及它的性能问题,在这种背景下可信网络开始出现在世人的眼中。现在大众可信网络有不同理解与观点,有的认为可信应该以认证为基础,有的认为是以现有安全技术的整合为基石;有的认为是网络的内容可信化,有的认为可信是网络是基于自身的可信,有的认为是网络上提供服务的可信等,虽说众说纷纭,但其目的是一致的:提升网络以及服务的安全性,使人类在信息社会中受益。可信网络可提升并改进网络的性能,减少因为不信任带来的监视、不信任等系统的成本,提高系统的整体性能。
二、可信网络国内外研究
(一)可信网络国外研究
在可信网络的研究中,Clark等学者在NewArch项目的研究中提出了“信任调节透明性”(trust-modulatedtransparency)原则,他们期望在现实社会的互相信任关系能够反映在网络上。基于双方用户的信任需求,网络可以提供一定范围的服务,如果双方彼此完全信任,则他们的交流将是透明化、没有约束的,如果不是则需要被检查甚至是被约束。美国高级研究计划局出的CHAT(compostablehigh-Assurancetrustworthysystems)项目研究了在指定条件下运行如何开发出可快速配置的高可信系统及网络来满足关键的需求,其中包含了安全性、可生存性、可靠性、性能和其他相关因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)项目研究了以策略为中心的入校检测模型,他们利用模型去提高网络系统的可信性。但因为网络有着复杂基于信息异化下的信息安全中可信网络分析研究柳世豫,郭东强摘要:互联网逐渐成为我们生活中不可或缺的同时,其弊端也开始出现。未来网络应该是可信的,这一观点已成为业界共性的特点,如何构建可信网络是需要研究的。因此TCG先进行较为简单的可信网络连接问题。它将可信计算机制延伸到网络的技术,在终端连入网络前,开始进行用户的身份认证;若用户认证通过,再进行终端平台的身份认证;若终端平台的身份认证也通过,最后进行终端平台的可信状态度量,若度量结果满足网络连入的安全策略,将允许终端连入网络,失败则将终端连入相应隔离区域,对它进行安全性补丁和升级。TNC是网络接入控制的一种实现方式,是相对主动的一种网络防御技术,它能够防御大部分的潜在攻击并且在他们攻击前就进行防御。2004年5月TCG成立了可信网络连接分组(trustednetworkconnectionsubgroup),主要负责研究及制定可信网络连接TNC(trustednetworkconnection)框架及相关的标准。2009年5月,TNC了TNC1.4版本的架构规范,实现以TNC架构为核心、多种组件之间交互接口为支撑的规范体系结构,实现了与Microsoft的网络访问保护(networkaccessprotection,NAP)之间的互操作,他们将相关规范起草到互联网工程任务组(internationalengineertaskforce,IETF)的网络访问控制(networkaccesscontrol,NAC)规范中。如今已有许多企业的产品使用TNC体系结构,如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信网络国内研究
我国也有学者进行了可信网络的研究。林闯等进行了可信网络概念研究以及建立相关模型,提出网络可信属性的定量计算方法。期望基于网络体系结构自身来改善信息安全的方式来解决网络脆弱性问题,通过保护网络信息中的完整性、可用性、秘密性和真实性来保护网络的安全性、可控性以及可生存性。利用在网络体系结构中的信任机制集成,使安全机制增强,在架构上对可信网络提出了相关设计原则。闵应骅认为能够提供可信服务的网络是可信网络,并且服务是可信赖和可验证的。这里的可信性包括健壮性、安全性、可维护性、可靠性、可测试性与可用性等。TNC进行设计过程中需要考虑架构的安全性,同时也要考虑其兼容性,在一定程度上配合现有技术,因此TNC在优点以外也有着局限性。TNC的突出优点是安全性和开放性。TNC架构是针对互操作的,向公众开放所有规范,用户能够无偿获得规范文档。此外,它使用了很多现有的标准规范,如EAP、802.1X等,使得TNC可以适应不同环境的需要,它没有与某个具体的产品进行绑定。TNC与NAC架构、NAP架构的互操作也说明了该架构的开放性。NC的扩展是传统网络接入控制技术用户身份认证的基础上增加的平台身份认证以及完整性验证。这使得连入网络的终端需要更高的要求,但同时提升了提供接入的网络安全性。虽然TNC具有上述的优点,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性为基础面对终端的可信验证。但这种可信验证只能保证软件的静态可信,动态可信的内容还处于研究中。因此TNC接入终端的可信还处于未完善的阶段。
2.可信评估的单向性。TNC的初衷是确保网络安全,在保护终端的安全上缺乏考虑。终端在接入网络之前,在提供自身的平台可信性证据的基础上,还需要对接入的网络进行可信性评估,否则不能确保从网络中获取的服务可信。
3.网络接入后的安全保护。TNC只在终端接入网络的过程中对终端进行了平台认证与完整性验证,在终端接入网络之后就不再对网络和终端进行保护。终端平台有可能在接入之后发生意外的转变,因此需要构建并加强接入后的控制机制。在TNC1.3架构中增加了安全信息动态共享,在一定程度上增强了动态控制功能。
4.安全协议支持。TNC架构中,多个实体需要进行信息交互,如TNCS与TNCC、TNCC与IMC、IMV与TNCS、IMC与IMV,都需要进行繁多的信息交互,但TNC架构并没有给出相对应的安全协议。
5.范围的局限性。TNC应用目前局限在企业内部网络,难以提供多层次、分布式、电信级、跨网络域的网络访问控制架构。在TNC1.4架构中增加了对跨网络域认证的支持,以及对无TNC客户端场景的支持,在一定程度上改善了应用的局限性。我国学者在研究分析TNC的优缺点的同时结合中国的实际情况,对TNC进行了一些改进,形成了中国的可信网络连接架构。我国的可信网络架构使用了集中管理、对等、三元、二层的结构模式。策略管理器作为可信的第三方,它可以集中管理访问请求者和访问控制器,网络访问控制层和可信平台评估层执行以策略管理器为基础的可信第三方的三元对等鉴别协议,实现访问请求者和访问控制器之间的双向用户身份认证和双向平台可信性评估。该架构采用国家自主知识产权的鉴别协议,将访问控制器以及访问请求者作为对等实体,通过策可信第三方的略管理器,简化了身份管理、策略管理和证书管理机制,同时进行终端与网络的双向认证,提供了一种新思路。在国家“863”计划项目的支持下,取得了如下成果:
(1)在对TNC在网络访问控制机制方面的局限性进行研究分析后,同时考虑可信网络连接的基本要求,提出了一种融合网络访问控制机制、系统访问控制机制和网络安全机制的统一网络访问控制LTNAC模型,对BLP模型进行动态可信性扩展,建立了TE-BLP模型,期望把可信度与统一网络访问控制模型结合起来。
(2)通过研究获得了一个完整的可信网络连接原型系统。该系统支持多样认证方式和基于完整性挑战与完整性验证协议的远程证明,来实现系统平台间双向证明和以远程证明为基础的完整性度量器和验证器,最后完成可信网络连接的整体流程。
三、可信网络模型分析
(一)网络与用户行为的可信模型
可信是在传统网络安全的基础上的拓展:安全是外在的表现形式,可信则是进行行为过程分析所得到的可度量的一种属性。如何构建高效分析刻画网络和用户行为的可信模型是理解和研究可信网络的关键。这是目前网络安全研究领域的一个新共识。构建网络和用户的可信模型的重要性体现于:它只准确而抽象地说明了系统的可信需求却不涉及到其他相关实现细节,这使得我们能通过数学模型分析方法去发现系统在安全上的漏洞。可信模型同时也是系统进行研发的关键步骤,在美国国防部的“可信计算机系统的评价标准(TCSEC)”中,从B级阶段就需要对全模型进行形式化描述和验证,以及形式化的隐通道分析等。我们还需要可信模型的形式化描述、验证和利用能够提高网络系统安全的可信度。最后,构建理论来说明网络的脆弱性评估和用户遭受攻击行为描述等的可信评估,这是实现系统可信监测、预测和干预的前提,是可信网络研究的理论所有基础。完全安全的网络系统目前还无法实现,因此网络脆弱性评估的最终目的不是完全消除脆弱性,而是找到一个解决方案,让系统管理员在“提供服务”和“保证安全”之间找到平衡,主动检测在攻击发生之前,如建立攻击行为的设定描述,通过在用户中区分隐藏的威胁,以可信评估为基础上进行主机的接入控制。传统检测多为以规则为基础的局部检测,它很难进行整体检测。但我们现有的脆弱性评估工具却绝大多数都是传统基于规则的检测工具,顶多对单一的主机的多种服务进行简陋的检查,对多终端构建的网络进行有效评估还只能依靠大量人力。以模型为基础的模式为整个系统建立一个模型,通过模型可取得系统所有可能发生的行为和状态,利用模型分析工具测试,对整个系统的可信性评估。图2说明了可信性分析的元素。网络行为的信任评估包括行为和身份的信任,而行为可信又建立在防护能力、信任推荐、行为记录、服务能力等基础之上。
(二)可信网络的体系结构
互联网因技术和理论的不足在建立时无法考量其安全周全,这是网络脆弱性的一个重要产生因素。但是如今很多网络安全设计却常常忽略网络体系的核心内容,大多是单一的防御、单一的信息安全和补丁补充机制,遵从“堵漏洞、作高墙、防外攻”的建设样式,通过共享信息资源为中心把非法侵入者拒之门外,被动的达到防止外部攻击的目的。在黑客技术日渐复杂多元的情况下,冗长的单一防御技术让系统规模庞大,却降低了网络性能,甚至破坏了系统设计的开放性、简单性的原则。因此这些被动防御的网络安全是不可信的,所以从结构设计的角度减少系统脆弱性且提供系统的安全服务特别重要。尽管在开放式系统互连参考模型的扩展部分增加了有关安全体系结构的描述,但那只是不完善的概念性框架。网络安全不再只是信息的可用性、机密性和完整性,服务的安全作为一个整体属性被用户所需求,因此研究人员在重新设计网络体系时需考虑从整合多种安全技术并使其在多个层面上相互协同运作。传统的补丁而补充到网络系统上的安全机制已经因为单个安全技术或者安全产品的功能和性能使得它有着极大地局限性,它只能满足单一的需求而不是整体需求,这使得安全系统无法防御多种类的不同攻击,严重威胁这些防御设施功效的发挥。如入侵检测不能对抗电脑病毒,防火墙对术马攻击也无法防范。因为如此,网络安全研究的方向开始从被动防御转向了主动防御,不再只是对信息的非法封堵,更需要从访问源端就进行安全分析,尽量将不信任的访问操作控制在源端达到攻击前的防范。因此我们非常需要为网络提供可信的体系结构,从被动转向主动,单一转向整体。可信网络结构研究必须充分认识到网络的复杂异构性,从系统的角度确保安全服务的一致性。新体系结构如图3所示,监控信息(分发和监测)以及业务数据的传输通过相同的物理链路,控制信息路径和数据路径相互独立,这样监控信息路径的管理不再只依赖于数据平面对路径的配置管理,从而可以建立高可靠的控制路径。其形成的强烈对比是对现有网络的控制和管理信息的传输,必须依赖由协议事先成功设置的传输路径。
(三)服务的可生存性
可生存性在特定领域中是一种资源调度问题,也就是通过合理地调度策略来进行服务关联的冗余资源设计,通过实时监测机制来监视调控这些资源的性能、机密性、完整性等。但网络系统的脆弱性、客观存在的破坏行为和人为的失误,在网络系统基础性作用逐渐增强的现实,确保网络的可生存性就有着重要的现实意义。由于当时技术与理论的不足,使得网络存在着脆弱性表现在设计、实现、运行管理的各个环节。网络上的计算机需要提供某些服务才能与其他计算机相互通信,其脆弱性在复杂的系统中更加体现出来。除了人为疏忽的编程错误,其脆弱性还应该包含网络节点的服务失误和软件的不当使用和网络协议的缺陷。协议定义了网络上计算机会话和通信的规则,若协议本身就有问题,无论实现该协议的方法多么完美,它都存在漏洞。安全服务是网络系统的关键服务,它的某个部分失去效用就代表系统会更加危险,就会导致更多服务的失控甚至是系统自身瘫痪。因此必须将这些关键服务的失效控制在用户许可的范围内。可生存性的研究必须在独立于具体破坏行为的可生存性的基本特征上进行理论拓展,提升系统的容错率来减少系统脆弱性,将失控的系统控制在可接受范围内,通过容侵设计使脆弱性被非法入侵者侵入时,尽可能减少破坏带来的影响,替恢复的可能性创造机会。
(四)网络的可管理性
目前网络已成为一个复杂巨大的非线性系统,具有规模庞大、用户数量持续增加、业务种类繁多、协议体系复杂等特点。这已远超设计的初衷,这让网络管理难度加大。网络的可管理性是指在内外干扰的网络环境情况下,对用户行为和网络环境持续的监测、分析和决策,然后对设备、协议和机制的控制参数进行自适应优化配置,使网络的数据传输、用户服务和资源分配达到期望的目标。现有网络体系结构的基础上添加网络管理功能,它无法实现网络的有效管理,这是因为现有的网络体系与管理协议不兼容。可信网络必须是可管理的网络,网络的可管理性对于网络的其他本质属性,如安全性、普适性、鲁棒性等也都有着重要的支撑作用。“网络管理”是指对网络情况持续进行监测,优化网络设备配置并运行参数的过程,包括优化决策和网络扫描两个重要方面。研究管理性是通过改善网络体系中会导致可管理性不足的设计,达到网络可管理性,实现网络行为的可信姓,再解决网络本质问题如安全性、鲁棒性、普适性、QoS保障等,提供支撑,使网络的适应能力加强。
四、结论
综上所述,互联网有着复杂性和脆弱性等特征,当前孤立分散、单一性的防御、系统补充的网络安全系统己经无法应对具有隐蔽多样可传播特点的破坏行为,我们不可避免系统的脆弱性,可以说网络正面临重要的挑战。我国网络系统的可信网络研究从理论技术上来说还处于初级阶段,缺乏统一的标准,但是它己经明确成为国内外信息安全研究的新方向。随着大数据的到来,全球的头脑风暴让信息技术日新月异,新技术带来的不只有繁荣,同时也带来异化。昨日的技术已经无法适应今日的需求,从以往的例子中可以得知信息安全的灾难是广泛的、破坏性巨大、持续的,我们必须未雨绸缪并且不停地发展信息安全的技术与制度来阻止悲剧的发生。信息异化带来的信息安全问题是必不可免的,它是网络世界一个严峻的挑战,对于可信网络的未来我们可以从安全性、可控性、可生存性来创新发展,新的防御系统将通过冗余、异构、入侵检测、自动入侵响应、入侵容忍等多种技术手段提高系统抵抗攻击、识别攻击、修复系统及自适应的能力,从而达到我们所需的实用系统。可以通过下述研究方向来发展可信网络:
(一)网络系统区别于一般系统的基本属性
之一是复杂性,网络可信性研究需要通过宏观与微观上对网络系统结构属性的定性,定量刻画,深入探索网络系统可靠性的影响,这样才能为网络可信设计、改进、控制等提供支持。因此,以复杂网络为基础的可信网络会成为一个基础研究方向。
(二)网络系统区别于一般系统的第二个重要属性
是动态性,其包含网络系统历经时间的演化动态性和网络失去效用行为的级联动态性。如今,学术上对可信网络静态性研究较多,而动态性研究较少,这无疑是未来可信网络研究的一大方向。
(三)网络系统的范围与规模日渐庞大
节点数量最多以百万计算,在可信网络研究中我们需要去解决复杂性问题计算,这是一个可信网络研究需要解决的问题。如今重中之重是研究构建可靠地可信模型与相应的算法,而近似算法、仿真算法将成为主要解决途径。
网络信息安全论文 篇6
1.网上沟通的复杂性和隐身性,使新的犯罪诱因大量滋生,给高校预防工作带来诸多问题。
互联网、移动通信等新型信息交流平台的特有属性,对人们的思想、行为和社会交往方式产生了深远影响,也衍生出许多新的诱发违法违纪问题的因素,给高校预防犯罪工作带来诸多新的课题。一是网络使犯罪活动隐身。手机、互联网交流的匿名性、虚拟性特点,助长了个别人以此进行违法犯罪活动的侥幸心理。近年来,高校发生的各类犯罪案件中,涉案人员都想方设法利用手机、网络的这种特性进行违法犯罪活动。二是网络使聊天交友便捷。手机、互联网交流的适时性、开放性特点,为个别师生不正当交往提供了便利渠道。随着拇指一族、网络一族走进高校,以网上交流不当而导致的违法违纪问题层出不穷。三是网络使痴迷者心理失衡。网上聊天、网络游戏的依赖性、成瘾性特点,使许多痴迷者产生了严重的网络心理问题。近年来,师生心理问题引发的案件事故逐渐增多,其中网络心理问题占有相当比例,应予以高度关注。四是网络使不良信息泛滥成灾。互联网是一个畅通无阻的虚拟世界,使信息交流呈现出前所未有的便利和开放性特点,从而使信息内容的可控性大大降低。长期接触网上不良信息,部分高校师生极易产生心理偏差,进而导致大量心理性疾病的产生。
2.网络传播的适时性和快捷性,使不良事态发展难以控制,给高校危机管理带来新挑战。
一是事态发展难把握。信息化条件下,一件极小的事情,一旦处置不当就可能通过网络迅速升级,引起师生广泛关注,甚至使参与者成几何级数增长,最终导致事态越来越严重。二是影响范围难控制。网络时代条件下,即便是发生在偏远地方的事件,只要进入网络就会被迅速扩散,引起广泛的社会影响。三是负面影响难消除。任何信息只要接触网络,往往都会在极短的时间内被克隆延伸出无数个版本,转接到各个网站,甚至被下载到各个网络用户的终端,无法彻底清除。高校发生的各类问题,只要被发送到互联网上,就很难根除痕迹,随时有被人任意篡改、恶意歪曲、重新炒作的可能。必须清醒认识到信息网络所具有的负面作用。
二、认识有偏差,防范不到位,网络尚未完全纳入高校安全管理范畴
1.对网络的现实威胁和潜在影响,认识不够。
一是对网络信息的影响力认识不清。对网络信息给师生思想带来的消极影响认识不清楚。有的认为网络信息如同报纸、电视、广播等大众传媒一样,是社会发展到一定阶段的必然产物,忽视了必要的教育引导;有的不善于学习研究新事物,对网络信息一知半解,对网络信息的危害说不清、道不明,缺乏教育引导的说服力。二是对网络窃密的严峻性认识不清。对网络技术已成为隐蔽敌对势力渗透重要工具的现实危险认识不清楚。有的思想麻痹,对隐蔽敌对势力进攻的猖狂程度估计不足,有的敌情观念淡薄,对互联网给意识形态渗透工作带来的冲击和影响估计不足。三是对涉网事件的冲击力认识不清。对涉网事件可能给高校声誉、政治稳定造成的恶劣影响认识不清。有的高校思想政治工作者仍然只注意传统媒体信息,对网络信息关注不够,特别是对涉及高校的负面信息在网上的传播、炒作缺乏应有的警惕。
2.对网络的巨大冲击和负面因素,措施不利。
一是思想工作不深入。有的搞教育时不注重对象,不从实际出发“,一刀切”“一锅煮”;有的矫正错误思想软弱无力,少数师生受社会错误思潮的影响,拜金主义、享乐主义和极端个人主义不断增长,甚至在日常生活中都有所流露,所在单位普遍忽视对他们的教育帮助,错失了将事件扼杀在萌芽状态的良机。二是交往关口没把住。不正常对外交往是案件和问题发生的重要原因。有的案犯案发前就交往过滥,单位不少人包括高校的党政领导都可能知道,但没有人制止;有的学生平时生活西化,酗酒上网,夜不归校,高校学工干部没有深究细查;有的热衷网络交友,有事不找教工找网友,经常去网吧,或与网友约会,甚至把网友带入校园留宿,但学校却没有采取有效措施解决。
三、教育谋实效,管理求科学,加强信息化条件下高校安全管理工作
1.加强警示教育力度,筑牢高校安全管理的思想防线。
一是教育要有针对性。就警示性法制教育效果而言,教育要有针对性,立足师生不同的文化程度、不同的家庭背景、不同的生活经历、不同的思想觉悟、不同的工作性质、组织的不同教育内容和教育方法,做到因人施教,因事施教,因时施教。人员上要区分干部、群众,科研岗位、教学岗位、服务岗位干部和高年级、低年级学生等层次;环节上要区分入学、实习和社会实践等学习时段;时机上要区分重要节日、重大活动、敏感时期、季节变化、重大舆情发生及毕业生离校、新生入学、干部调整工作接替敏感时机等。二是教育要有渗透性。要把教育渗透到具体工作中,结合师生的本职岗位、本职工作搞好经常性教育。把教育渗透到现实生活中,注重运用身边违法违纪的人和事,教育警示师生,让师生切实感受到违法违纪行为给他人、自己、家庭、高校、社会造成的严重危害,自觉远离违法乱纪。要把教育渗透到校园环境中,坚持点滴养成,耳濡目染,在校区、实习场所以及办公场所等重点部位,适当张贴警示性标语,营造警示性氛围,使师生抬头见警示、低头思责任,时刻注意安全稳定。通过强有力的教育渗透,真正使企图违法犯罪的人受到震慑,知道违法犯罪是要受到法律制裁的,使心存侥幸的人悬崖勒马,使违反纪律的人受到警醒,使每一名师生都受到触动,知道工作失职酿成重大案件是要追究责任的,自觉远离法律的“高压线”、划清道德的“情感线”、把握工作的“原则线”、绷紧学习的“意识线”。三是教育要有融合性。善于把警示教育与高校主题教育相融合,搞好统筹,保证效果。善于把警示性教育与管理相结合,既突出教育的引导作用、警示作用,更发挥教育的行为规范作用,让师生边提高思想认识边矫正不良行为,培养良好的思想道德品质和行为习惯。四是教育要有覆盖面。警示性教育必须强调覆盖全员,既要抓基层师生,又要突出领导机关和学工干部;既要抓好在校人员的基本教育,又要强化外出实践学习流动人员的延伸管理,确保人人受教育,个个受触动。
2.把握网络问题重点,做好高校涉网案件的预防工作。
注重预防受网上舆论影响可能发生的政治性问题。针对网上集中出现的政治性敏感、热点话题和错误言论以及各种不良政治信息,要保持高度的政治敏锐性。始终把坚定师生政治信仰、把握高校的社会主义办学方向、确保党对高校的绝对领导,放在安全稳定工作最核心、最重要的位置来抓。及时加强对师生的正面教育和思想引导,澄清各种错误思想的影响和干扰,严格政治纪律,坚决抵御、反对不负责任的政治言论,坚决查处违背政治纪律的言行,确保高校政治上的集中统一。注重预防网上敌对势力和错误思潮的引诱。近年来,高校发生的此类案件和问题重点集中在以下五种人:犯了错误、受了挫折,丧失了前进动力的人;提职无望、晋升职称泡汤,认为组织亏待了自己的人;纪律性差、经常外出,交往过滥的师生;追求高消费、花钱大手大脚,经济花费超出家庭承载供给能力的学生;个人家庭生活困难且长期得不到解决,思想波动较大的人。要重点加强教育和管控,切实掌握他们的思想底数和行为动向,满腔热忱、想方设法帮他们解决工作和生活上的各种实际困难。网络信息交流已成为当下师生社会交往的重要渠道之一,特别是网络征婚、求偶、,对高校年轻师生更具吸引力。要通过深入细致的思想政治工作,真诚务实地抓好高校内部风气、内部关系建设,切实把师生从被网络恋情的虚无寄托中拉回来,防止由此引发的各种违法违纪行为。
3.妥善处理涉网危机,确保高校危机管理不失控。
网络时代条件下,高校安全稳定与社会的关联性、互动性进一步增强,案件和问题的多样性、突发性和不可控性特征明显。一般性案件问题诱发、转化为重大安全问题的可能性大大增加,及时稳妥地应对处置各种危机问题至关重要。危机处置要“快”。受领情况要快,行动部署要快,调查处置要快,善后处理要快,要用处置工作的高速度和高效益来应对网络传播的高速,通过快速反应取得的正面效果来遏制消除网上可能形成的负面影响。问题解决要“早”。危机具有复杂性和传染性,特别是在信息化条件下,信息传递扩散的速度快,控制影响难,如果危机处理不当,极易带来连锁反应,使小问题酿成重大安全问题,个体问题扩展成,单一问题发展成复杂的国际外交问题,必须见事早、反应快,及时采取有效措施,努力把危机化解在初期、控制在局部、解决在当地,把危害控制在最小程度。处理质量要“高”。危机处置事关所在单位和相关人员的切身利益,如果凭感情、想当然,主观臆断,草率从事,处理不公,极易拖泥带水,产生一系列后遗症。在危机处置过程中,应严格掌握政策法规,坚持客观、公正、准确,坚持精到、坚决、彻底,努力使问题的处理经得起政策、法律和历史的检验,做到案结即事了,不留后患。校内校外联合要“牢”。危机处置涉及高校建设的方方面面,网络时代条件下发生的的可控性差,仅靠高校自身很难控制局面,需要高校和地方维护治安的公安人员联合采取行动,才能尽快平息事态。在危机处置中应充分发挥地方政府和有关部门的资源和技术优势,加强沟通协调,在资源共享中消除危机,在互助共赢中维护稳定。
网络信息安全论文 篇7
关键字:网络信息安全黑客病毒
一、网络信息安全概述
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
(一)网络信息安全的内容
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
二、网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。
2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。
3.计算机病毒
计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大。被病毒破坏全部数据的占14%,破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。
三、保障网络信息安全的对策
1.安全通信协议和有关标准。
在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPsec和S/MIME
SSL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPsec)提供网关到网关的安全通信标准,在网络层实现,IPsec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。
2.防火墙技术
防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤,只有被授权的通信才允许通过。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时,防火墙还可以对网络存取访问进行记录和统计,对可疑动作告警,以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种,一
种是分组过滤技术,一种是服务技术。分组过滤基于路由器技术,其机理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址分组,从而保护内部网络。服务技术是由一个高层应用网关作为服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器连接。服务技术可使内、外网络信息流动受到双向监控。
3.访问拉制技术
访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
4.PKI技术
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
参考文献:
李俊宇。信息安全技术基础冶金工业出版社。2004.12
王丽辉。网络安全及相关技术吉林农业科技学院学报,第19卷第2期。2005
何万敏。网络信息安全与防范技术甘肃农业。2005年第1期
网络信息安全论文范文 篇8
(1)自然灾害。
由于计算机信息系统会受到自然灾害的影响,其所处环境的温度、湿度以及环境污染等都会对其运行产生影响。除此以外,由于计算器所处环境往往都尚未设置防电磁干扰以及防火灾等措施,这样就造成计算机系统难以有效地防御自然灾害事故。
(2)用户操作失误。
由于一些计算机用户安全意识不强,其所设置的安全口令易于被人识破,安全性较低,这样就极易造成用户的账户与密码被篡改与泄漏,对网络信息安全造成严重威胁。
(3)网络黑客的恶意攻击或不法犯罪。
一些不法犯罪份子以及网络黑客会利用计算机软件自身存在的缺陷与漏洞对计算机实施恶意破坏。在侵入单位或个人计算机以后,会窃取情报和钱财,这样就会对人们的财产造成一定损失,不仅威胁到人们的利益,同时也会影响社会的和谐与稳定。其已经成为威胁计算机网络安全的最大隐患。
(4)病毒入侵与垃圾邮件。
计算机病毒是存储在软件数据文件以及执行程序当中的潜在隐患,其具有较强的隐蔽性,难以被人察觉。而一旦时机成熟,其就会爆发出来,破坏计算机存储文件以及计算机的软硬件等,从而造成文件损毁或者信息丢失,严重者还会造成机器瘫痪。而垃圾邮件在没有经过用户许可的情况下就被强行发送到用户的邮箱中,这也对人们的正常工作的生活造成一定的影响。
2计算机网络信息安全防护策略
2.1安装杀毒软件与防火墙
防火墙是可以有效加强网络间的访问控制,能够有效防止外部的网络用户通过非法的手段进入内部网络,从而保护内部网络操作环境的一种特殊网络互联设备。根据所采用的技术不同,可以将防火墙分成不同的类型,其中主要包括监测型、包过滤型、型以及地址转换型。
2.2提高用户账号的安全性
由于用户账号会涉及很广阔的范围,如网上银行账号与系统登陆账号等应用账号,而黑客攻击网络系统比较常用的方式即为获取用户的合法密码与账号。因此,要加强用户账号的安全性。首先,要对系统登录账号设置比较复杂的密码;其次,要尽可能的不要设置相似或相同的账号,尽可能地采用特殊符号与数字字母相组合的方式设置密码账号,同时还要对密码进行定期的更换。
2.3入侵检测与网络监控技术
作为一种新型防范技术,入侵检测综合采用了人工技能统计技术以及网络通信技术等技术与方法,即可以有效监控计算机系统以及网络是否出现被滥用以及入侵的征兆。在方法上,可根据其采用的分析技术将其分成统计分析法以及签名分析法。所谓的统计分析法,即为以统计学作为理论基础,以系统在正常使用时所观察到的动作模式作为主要依据,以此判断某动作是否偏离正常轨道。而所谓的签名分析法主要是对系统的弱点进行攻击的行为进行监测。
2.4及时安装漏洞补丁程序
所谓的漏洞即为在攻击过程中存在的软硬件配置不当或程序缺点。为了纠正诸多漏洞,软件厂商需要补丁程序,而人们需要及时地下载与安装漏洞补丁程序,这样才能有效地避免漏洞程序带来的安全隐患。在扫描漏洞的时候,可以用专门的漏洞扫描Via,例如泰戈尔软件等,除此以外也可以运用瑞星卡卡等防护软件。
3结语