计算机网络信息安全

计算机网络信息安全浅析网络信息安全摘要：随着世界科学技术的迅猛发展和信息技术的广泛应用，特别是我国国民经济和社会信息化进程的全面加快，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。与此同时，社会信息的依赖程度越来越高，网络和信息系统的安全问题愈加重要。保障网络与信息系统安全，更好地维护国家安全、经济和社会稳定，是信息化发展中必须要解决的重大问题。关键字：计算机；网络信息；安全管理；防范措施面对复杂多变的国际环境和互联网的广泛使用，我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等，对信息安全保障提出了新的、更高的要求。虽然计算机网络在为人们提供便利，却在同时也使人类面临着信息安全的巨大挑战。在我国经济正在日益不断发展的今天，对于计算机网络信息安全保障工作的全面部署也自然成为当务之急。计算机系统安全1.1计算机安全包括的内容。1.11设备安全一些病毒具备破坏计算机硬件的能力，以及自然灾害也可能造成设备的严重损毁。出于安全考虑，计算机应具备准入控制功能，比如可以通过设置开机密码，加锁等机制防止非授权用户使用设备，同时我们也应该重视计算机机房的建设工作，加强机房的保卫措施。1.12环境安全对于一些重要的计算机，为了能保证其能连续正常的运行，需要环境保持适宜的温度、湿度，而且需要稳定的电源。另外，电磁屏蔽也是要重点考虑的问题，外来的电磁辐射会导致某些计算机硬件受到干扰，无法正常工作，而计算机本身产生的电磁辐射还可能导致机密般采用层次结构。在分层结构中，对等实体表示不同系统内同一层次上的两个实体。通过分层结构，对等实体可以进行虚拟通信；下层向上层通信提供服务；实际通信总在最底层完成。目前最具代表性的网络体系结构是OSI参考模型和TCP/IP参考模型。OSI七层模型从下到上依次为物理层、数据链路层、网络层、传输层、会话层、表示层及应用层。TCP/IP参考模型分为四层：应用层、传输层、网络层和网络接口层。在计算机网络中，主要的安全防护措施被称作安全服务。安全服务主要包括认证服务、访问控制服务、机密性服务、数据完整性服务和非否认服务。3.2IPSec协议。IPSec协议是由互联网工程任务组设计的确保网络层通信安全的机制。IPSec协议能够在网络层提供认证、访问控制、机密性、完整性等安全服务，它主要包括AH协议、ESP协议，以及用于建立会话密钥的IKE协议。3.21AH协议AH协议为IP报文提供数据完整性保护和身份认证，但不提供数据机密性服务。AH的处理分为两部分：对发送的数据包进行添加AH头的输出处理；对收到的含有AH头的数据包进行还原处理。3.22ESP协议ESP协议不但能为IP报文提供数据完整性保护和身份认证，而且能够提供数据机密性服务。ESP协议输出处理时，先对数据包的相应部分进行加密处理，然后连同密文一起进行完整性检验处理，产生验证数据；输入处理时，先对验证数据进行验证，然后对密文解密，恢复出原始数据。3.23IKE协议IKE协议通过密钥交换过程为IPSec通信双方提供加密算法和完整性校验算法使用的对称密钥，实际上IKE交换的最终结果是建立通信双方的安全关联SA。IKE定义了两个阶段，第一阶段中，通信双方协商如何保护以后的通信，双方建立一个通过身份鉴别和安全保护的通道；然后，使用第一阶段协商的密钥，双方之间可以建立多个第二阶段使用的安全关联SA。3.3SSL/TLS协议。SSL是Netscape公司设计的主要同于Web的安全传输协议，SSL协议为客户和服务器之间的数据传送提供了安全可靠的保证。为了防止客户-服务器应用中的消息窃听、消息篡改以及消息伪造等攻击，SSL协议提供了认证服务、完整性服务和机密性服务。3.31SSL记录协议SSL记录协议为SSL连接提供两种服务：机密性服务和数据完整性服务。3.32SSL握手协议SSL握手协议支持服务器和客户端的相互认证，双方协商加密算法、MAC算法以及相应的密钥。握手协议包括四个阶段：发起阶段、服务器认证和密钥交换阶段、客户端认证和密钥交换阶段及结束阶段。3.4网络边界防护与防火墙技术。把不同安全级别的网络相连，就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。防火墙技术是保护网络边界的最成熟、最早产品化的技术措施。防火墙指的是隔离在本地网络与外界网络之间执行访问控制策略的一道防御系统，包括硬件和软件，目的是保护网络不被他人侵扰。防火墙实际上是一种隔离控制技术，它要求所进出网络的数据流都应该通过防火墙。防火墙按照事先制定的配置和规则，检测并过滤这些信息，只允许符合规则的数据通过。虽然防火墙能够在网络边界上进行极好的防范，但是针对某些攻击，防火墙却是无能为力的。例如，针对内部攻击者的攻击、附在电子邮件上的病毒、使用拨号上网绕过防火墙等。3.5入侵检测技术。入侵检测系统主要包括三个基本模块：数据采集与预处理、数据分析检测和事件响应。3.51入侵检测方法入侵检测的方法主要有异常检测和误用检测。异常检测方法的工作原理是首先收集一段时间内的主机、用户行为的历史数据，通过这些数据建立主机、用户的正常模式；然后对数据源采集的数据使用不同的方法判定所检测的活动是否偏离了正常行为模式，从而判定是否有入侵行为发生。误用入侵检测方法的工作原理是首先对已知的入侵行为进行分析，提取检测特性，构建攻击特征率；当检测的用户或系统行为与库中的记录相匹配时，攻击行为立即被检测到。3.52入侵检测技术面临的挑战虽然入侵检测技术的发展十分迅速，但该领域从理论研究到实际应用还存在很多的难题有待研究和探索。主要表现有：高速网络对入侵检测的实时性和数据处理能力提出了挑战；现有的入侵检测系统并不具备检测新攻击类型的能力；入侵检测系统的可扩展性问题。安全基础设施安全基础设施就是整个组织提供安全的基本框架，可以被组织中任何需要安全的应用和对象使用。具有普适性的安全基础设施首先应该是适用于多种环境的框架。这个框架避免了零碎的、点对点的，特别是没有互操作性的解决方案，引入了可管理的机制以及跨越多个应用和计算平台的一致安全性。安全基础设施的主要目标就是实现“应用支撑”的功能。安全基础设施能够让应用程序增强自己的数据和资源的安全，以及与其他数据和资源交换中的安全。怎样使增加安全功能变得简单、易于实现是最有用的，例如：具有易于使用、众所周知的界面；基础设施提供的服务可预测且有效；应用设备无需了解基础设施如何提供服务。信息安全管理5.1信息安全管理的目的和作用。管理一词已经深入到我们生活中的方方面面，国家、组织、企业、部门等各个层次的管理对象都需要实施与之相匹配的管理，才能有效地达到管理对象的目标。信息安全工作是通过有效的管理，保证各项安全工作按照统一的部署来逐步开展，充分发挥安全产品的效果，实现安全资源的统筹使用，真正提高信息安全保障水平。5.2网络管理的功能。5.21故障管理故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术，网络管理者可以尽快地定位问题或故障点，排除问题故障。5.22配置管理配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问，增强网络管理人员对网络的控制；可以将正在使用的配置数据域存储在系统中的数据进行比较，而发现问题；可以根据需要方便地修改配置。5.23安全管理安全管理是控制对计算机网络中的信息的访问的过程，主要功能是正确操作网络管理和保护管理对象等安全方面的功能。5.3我国主要的信息安全管理机构。我国的信息安全管理工作是由多个部委分工合作、共同实施的，其主要的信息安全管理机构有：国务院信息化工作办公室、公安部和各级公安机关、工业与信息化部、国家保密工作部门及国家密码管理局。结束语信息安全是国家发展所面临的一个重要问题，对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全