网络信息安全防范措施

1、2网络信息安全防范措施作者:日期:浅谈网络信息安全防范措施摘 要：随着科学技术的进步，计算机及网络技术得到了飞速的发展，网 络已经成为农业、工业、第三产业和国防工业的重要信息交换媒介，并且渗透 到社会生活的各个角落。但网络给我们带来极大方便的同时，随之而来网络安 全与信息安全的问题日益突出；如何能最大程度的保证网络的安全、信息的完 整就显得尤为重要。本文从网络与信息安全理论以及技术防范两个方面来加以 讨论，让读者对网络与信息安全有一个比较全面的了解和认识。关键词：网络与信息安全概念；网络与信息安全技术；所谓网络信息安全就是指网络系统的硬件、软件及其系统中的数据受到 保护，不受偶然的或者恶意的原

2、因而遭到破坏、更改、泄露，系统连续 可靠正常地运行，网络服务不中断。网络信息安全从其本质上来讲就是 网络上的信息安全；从广义来说，凡是涉及到网络上信息的完整性、机 密性、有效性、等相关技术和理论都是网络信息安全的研究领域。1、信息安全概念理解信息安全的概念有利于人们更容易地了解各种名目繁多及众多 延伸出来的信息安全理论及其方法技措施。问题就是：什么样的信息才 认为是安全的呢？(1)信息的完整性信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现，- - -这就要求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠，因为信息总是以一定的方式来记录、传递与提取的，它 以多种多样

3、的形式存储于多样的物理介质中，并随时可能通过某种方式 来传递。简单地说如果一段记录由于某种原因而残缺不全了，那么其记 录的信息也就不完整了。那么我们就可以认为这种存储方式或传递方式 是不安全的。(2)信息的机密性就是信息不被泄露或窃取。这也是一般人们所理解的安全概念。人们总希望有些信息不被自己不信任的人所知晓，因而采用一些方法来 防止，比如把秘密的信息进行加密，把秘密的文件放在别人无法拿到的 地方等等，都是实现信息机密性的方法。(3)信息的有效性一种是对信息的存取有效性的保证，即以规定的方法能够准确无 误地存取特定的信息资源；一种是信息的时效性，指信息在特定的时间 段内能被有权存取该信息的主体

4、所存取。2、网络信息安全所要解决的问题计算机网络安全的层次上大致可分为：物理安全、安全控制、安全 服务三个方面。物理安全物理安全是指在物理介质层次上对存储和传输的网络信息的安 全保护。对于计算机网络设备、设施等免于遭受自然或人为的破坏。主 要有环境安全(即自然环境对计算机网络设备与设施的影响)；设备安全则是指防止设备被盗窃、毁坏、电磁辐射、电磁干扰、窃听等；媒体 安全，保证媒体本身以及媒体所载数据的安全性。该层次上的不安全因 素包括三大类：(1)自然灾害、物理损坏、设备故障此类不安全因素的特点是：突发 性、自然性、非针对性。这种不安全因素对网络信息的完整性和可用性 威胁最大，而对网络信息的保密

5、性影响却较小，因为在一般情况下，物 理上的破坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采 取各种防护措施、制定安全规章、随时备份数据等。(2)电磁辐射、痕迹泄露等此类不安全因素的特点是：隐蔽性、人为 实施的故意性、信息的无意泄露性。这种不安全因素主要破坏网络信息 的保密性，而对网络信息的完整性和可用性影响不大。解决此类不安全 隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。(3)操作失误、意外疏漏其特点是：人为实施的无意性和非针对性。 主要破坏了网络信息的完整性和可用性，而对保密性影响不大。主要采 用状态检测、报警确认、应急恢复等来防范。安全控制安全控制是指在网络信息系统中对

6、存储和传输辐射信息的操作和 进程进行控制和管理。在网络信息处理层次上对信息进行安全保护。(1)操作系统的安全控制包括对用户合法身份的核实，对文件读写权限的控制等。此类控制 主要是保护被存储数据的安全。(2)网络接口模块的安全控制在网络环境下对来自其他机器的网络通信进程进行安全控制。此类 控制主要包括身份认证、客户权限设置与判别、日志审计等手段。(3)网络互连设备的安全控制对整个子网内的所有主机的传输信息和运行状态进行安全检测和 控制。此类控制主要通过网管软件或路由器配置实现。安全服务安全服务是指在应用程序层对网络信息的保密性、完整性和真实性 进行保护和鉴别，防止各种安全威胁和攻击，其可以在一定

7、程度上弥补 和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包 括：安全机制、安全连接、安全协议、安全策略等。(1)安全机制是利用密码算法对重要而敏感的数据进行处理。以保护 网络信息的保密性为目标的数据加密和解密；以保证网络信息来源的真 实性和合法性为目标的数字签名和签名验证；以保护网络信息的完整 性，防止和检测数据被修改、插入、删除和改变的信息认证等。(2)安全连接是在安全处理前与网络通信方之间的连接过程。安全连 接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的分 配和生成以及身份验证。(3)安全协议使网络环境下互不信任的通信方能够相互配合，并通过安全连接和安全机制的

8、实现来保证通信过程的安全性、 可靠性、公平性。(4)安全策略是安全机制、安全连接和安全协议的有机组合方式，是 网络信息安全性完整的解决方案。不同的网络信息系统和不同的应用环 境需要不同的安全策略。3、网络信息安全技术由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应 的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发 展的网络安全技术能从不同角度来保证网络信息不受侵犯，网络安全的 基本技术主要包括网络加密技术、防火墙技术、身份验证技术、网络防 病毒技术。(1)网络加密技术。网络加密技术是网络安全最有效的技术之一。一 个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也

9、是对 付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、 文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有 链路加密，端点加密和节点加密三种。链路加密的目的是保护网络节点 之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数 据提供加密保护；节点加密的目的是对源节点到目的节点之间的传输链 路提供加密保护。用户可根据网络情况选择上述三种加密方式。信息加 密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方 法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数 百种。如果按照收发双

10、方的密钥是否相同来分类，可以将这些加密算法分 为常规密码算法和公钥密码算法。在实际应用中，人们通常将常规密码 和公钥密码结合在一起使用，比如：利用 DES或者IDEA来加密信息， 而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码算法和分组密码算法，前者每次只加密一个比特。(2)防火墙技术。防火墙技术是设置在被保护网络和外界之间的 一道屏障，是通过计算机硬件和软件的组合来建立起一个安全网关，从 而保护内部网络免受非法用户的入侵，它可以通过鉴别、限制，更改跨 越防火墙的数据流，来实何保证通信网络的安全对今后计算机通信网络 的发展尤为重要。现对网络的安全保护

11、。防火墙的组成可以表示为：防 火墙=过滤器+安全策略+网关，它是一种非常有效的网络安全技术。 在Internet 上，通过它来隔离风险区域与安全区域的连接，但不防碍 人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完 成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入 的任务。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型： 包过滤型、网络地址转换一NAT代理型和状态监测型。包过滤型产品是防火墙的初级产品，具技术依据是网络中的分包传 输技术，工作在网络层。网络上的数据都是以“包”为单位进行传输的， 数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定

12、 信息，如数据的源地址、目标地址、源端口和目标端口等。防火墙通过 读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点， 一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。但 包过滤防火墙的缺点有三：一是非法访问一旦突破防火墙，即可对主机 上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒；三是无法执行某些安全策略。网络地址转化一NAT “你不能攻击你看不见的东西”是网络地址 转换的理论基础。网络地址转换是一种用于把 IP地址转换成临时的、 外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访 问因特网

13、。当数据包流经网络时，NAT将从发送端的数据包中移去专用 的IP地址，并用一个伪IP地址代替。NAT软件保留专用IP地址和伪 IP地址的一张地址映射表。当一个数据包返回到NAT系统，这一过程将被逆转。当符合规则时，防火墙认为访问是安全的，可以接受访问请 求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时， 防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接 请求。如果黑客在网上捕获到这个数据包，他们也不能确定发送端的真 实IP地址，从而无法攻击内部网络中的计算机。NAT技术也存在一些缺点，例如：木马程序可以通过 NAT进行外部连接，穿透防火墙。代理型防火墙也可以被称为代理

14、服务器，它的安全性要高于包过滤 型产品，它分为应用层网关和电路层网关。代理服务器位于客户机与服 务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相 当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的 客户机。当客户机需要使用服务器上的数据时 ,首先将数据请求发给代 理服务器，代理服务器再根据这一请求向服务器索取数据 ，然后再由代 理服务器将数据传输给客户机。从内部发出的数据包经过这样的防火墙 处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部结构的作用，这种防火墙是网络专家公的最安全的防火墙。缺点是速度相 对较慢。监测型防火墙是新一代的产品，这一技术实际已经

15、超越了最初的防 火墙定义。它是由Check Point软件技术有限公司率先提出的，也称为 动态包过滤防火墙。总的来说，具有：高安全性，高效性，可伸缩性和 易扩展性。实际上，作为当前防火墙产品的主流趋势，大多数代理服务器 也集成了包过滤技术，这两种技术的混合显然比单独使用具有更大的优 势。总的来说，网络的安全性通常是以网络服务的开放性和灵活性为代 价的，防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万 无一失。除了使用了防火墙后技术，我们还使用了其他技术来加强安全 保护，数据加密技术是保障信息安全的基石。所谓数据加密技术就是使 用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要

16、恢 复原先的“消息”是非常困难的。目前最常用的加密技术有对称加密技 术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和 解密，非对称加密技术就是加密和解密所用的密钥不一样。(3)身份验证技术。身份验证技术身份验证技术是用户向系统出 示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这 两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这 两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进 行身份验证，确认其是否为合法的用户，如是合法用户，再审核该用户 是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其身 份验证是建立在对称加密的基础上的。为

17、了使网络具有是否允许用户存取数据的判别能力，避免出现非法 传送、复制或篡改数据等不安全现象，网络需要采用的识别技术。常用 的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用 户的方法，通常是由计算机系统随机产生，不易猜测、保密性强，必要 时，还可以随时更改，实行固定或不固定使用有效期制度，进一步提高 网络使用的安全性；唯一标识符一般用于高度安全的网络系统，采用对 存取控制和网络管理实行精确而唯一的标识用户的方法，每个用户的唯 一标识符是由网络系统在用户建立时生成的一个数字，且该数字在系统周期内不会被别的用户再度使用；标记识别是一种包括一个随机精确码 卡片(如磁卡等)的识别方式，一个

18、标记是一个口令的物理实现，用它 来代替系统打入一个口令。一个用户必须具有一个卡片，但为了提高安 全性，可以用于多个口令的使用。(4)网络防病毒技术。在网络环境下，计算机病毒具有不可估量的 威胁性和破坏力。CIH病毒及爱虫病毒就足以证明如果不重视计算机网 络防病毒，那可能给社会造成灾难性的后果，因此计算机病毒的防范也 是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对 网络服务器中的文件进行频繁地扫描和监测，工作站上采用防病毒芯片 和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑，从 方便管理人员的能，在夜间对全网的客户机进行扫描，检查病毒情况； 利用在线报警功能，网络上每一台机器出现故障、病毒侵入时，网络管 理人员都能及时知道，从而从管理中心处予以解决。访问控制也是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。 它主要包括：身份验证、存取控制、入网访问控制、网络的权限控制、 目录级安全控制、属性安全控制等。4、结束语网络信息安全是一个综合性的课题，涉及技术、管