信息安全技术(共9篇)
查评估指南》编制说明
一、工作简况 1.1 任务来源
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术 关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术 关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。
《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。1.2 主要工作过程
2017年1月至3月,《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。2017年4月,本标准获得由全国信息安全标准化技术委员会立项。2017年4月,向中央网信办领导汇报标准进展工作,拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。
2016年5月,正式成立标准编制组,标准编制组由五家主要参与单位共同组成,集中讨论集中办公,讨论标准的框架、方法论、具体的内容等。
2016年5月25日,召开第一次专家会,地点在中央网信办,由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报,5位WG7专家对标准提出了修改意见。
2016年6-7月,标准编制组继续集中办公,集中讨论,并根据第一次专家会意见逐一进行修订,此外与其他安全厂商、科研单位进行交流,就本标准指标方法听取意见,并最终形成标准第二稿。
2016年7月18日,召开第二次WG7专家会,由项目组向专家汇报了标准项目进展,以及根据第一次专家会议的专家意见修订情况,5位WG7专家对标准提出了更进一步的修改意见,随后项目组召开标准讨论封闭会议,根据此次专家会意见对草案作了进一步修订,形成了第三稿。
2017年7月21日,参加WG7组会议,汇报了项目进展和标准修订情况,会议决议最终该标准可以进入征求意见阶段,并根据标准周答辩专家意见对标准草案进行部分修订,完善草案内容。
二、编制原则和主要内容 2.1 编制原则
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关 键信息基础设施的网络安全防护能力。
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2.2 主要内容
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全 性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。
被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。
两种技术检测方式最终输出技术检测结果。分析评估
分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。
标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准,与正在制定的其他WG7系列标准一起,共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析:
GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》 是本标准引用的标准之一,本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,”的要求,在合规检查的内容中重点强调了对等级保护制度落实情况的检查。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范也是本标准引用的标准之一,本标准在第9节引入了风险评估的方法论,通过对关键信息基础设施的关键性分析,并根据合规检查和技术检测发现的问题进一步进行风险分析,最后根据风险分析的结果定性分析出整体安全状况的评价。
此外,正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施,并对关键信息基础设施保护提出了具体的要求,而本标准中有专门的项是对改要求的验证,强调的是评估流程的标准化、评估内容标准化,以及评估结果的标准化。
此外,正在制定的标准草案《信息安全技术关键信息基础设施安全保障指 标体系》与该标准关联,该标准的输出评估结果可以用于标准的量化计算。
三、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
编制组在标准编制过程中,专门分析了美国NIST的安全评估方法,参考我国已有相关信息安全标准,综合考虑制定了本标准。
四、重大分歧意见的处理经过和依据
本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。
五、国家标准作为强制性国家标准或推荐性国家标准的建议
建议作为推荐性国家标准发布实施。
六、其他事项说明
本标准不涉及专利。
1.1电力系统信息网络基本构架由于电力企业生产的特殊性, 电力通信的建设是伴随着电力企业建设同步进行的。由于现代大电网运行管理的信息交换量越来越大, 各种应用和服务对信息质量提出了越来越高的要求, 其中包括实时性、可靠性、安全性、数据完整性、通信容量和标准化等方面。为了解决这些问题, 国电公司又建立了信息网络, 作为电力系统的专用广域网。国家电力信息网 (SPI net) 即中国电力系统数据网络 (CED net) 采用分组交换技术和数字网络复接技术, 形成了独立的数据通信网络, 实现了电网调度自动化系统全国联网。它可以分为4级结构:国电公司到各区电力公司 (西北、华北、华东、华中) 是一级网络, 从大区电力公司到省电力公司是二级网络, 省电力公司到地区供电局是三级网络, 地区供电局以下就属于四级网络。
1.2省网级电力信息网络省网级电力信息网络处于我国国家电力信息网 (SPI net) 的第二和第三级, 起着承上启下的作用。它既要完成区域电网和国家电网之间的信息沟通, 同时也要承担区域电网内部之间各种生产信息和管理信息的管理和传输, 保障电网的安全有效的运行。目前通道采用微波和光纤混合使用, 速率从64Kbps到2M bps, 有的省份则达到155M bps高速传输。未来将大力发展光纤通信, 从微波为主逐步过渡到以光纤为主, 建成全国电力通信光纤传输一级网络:80%的网公司建成电力通信光纤传输二级网络, 50%的省公司建成电力通信光纤传输三级网络。区域电力信息网络基本框架如图1所示。
IP网络的传输方案在实际应用中采用IP over SDH, IP over SDH将IP网技术介入到SDH传送平台川, 可以与各种不同的技术标准相兼容, 实现网络互联及多媒体业务互通, 具有较高的传输效率, 相对便宜的价格。IP over SDH是城市与城市, 干线数据传输中最有效的技术。
1.3地市级电力信息网络地市级电力信息网是指包括县、区在内的所有供电单位的计算机局域网及连接这些局域网的计算机广域网。地市级网络逻辑图如图2所示。
建设地市级电力信息网, 可以有效的提高电力企业效率, 实现办公自动化、决策智能化, 在保障地方安全可靠供电的同时为省电网公司、国家电网公司提供可靠的基础信息, 保障整个电网快速、健康、稳定的发展。中国电力信息网作为电力行业内的Intranet, 其广域网体系结构主要采用TPC/IP, 为了与中国电力信息网顺利连接, 同时为了将来与Internet, 地市级电力信息网须将TPC/IP作为主要协议体系。根据地市电力企业网络建设的具体情况, 应采用主干网和局域子网两个层次, 地调和地市电力企业机关直接接人主干网中, 而下属分支单位和县级电力企业可自组局域网并作为局域子网接人到主干网中。
2 电力系统信息安全关键技术的分析
电力信息安全是电网安全运行和可靠供电的保障, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。网络中有许多的安全隐患。
2.1现状及局限性 (1) 缺乏统一的信息安全管理规范:电力系统急需一套统一、完善的能够用于指导整个电力系统信息网络系统安全运行的管理规范; (2) 电力职工的网络安全意识有待提高:随着信息技术高速发展, 信息安全策略和技术取得了非常大的进步, 但是我们目前的认识与实际差距较大, 对新出现的信息安全问题认识不足; (3) 需要建立一套适合电力企业其自身特点的信息安全体系:电力信息网络应用可分为4类:管理信息类、生产控制类、话音视频类、经营类。生产控制类应用与其他应用的物理隔离, 以确保实时的生产控制类应用的安全。同时外网与内网间也应该物理隔离。
2.2密码保护措施当网络交易的动作开始后, 接下来要担心的就是如何防止网络交易的资料被篡改、窃取、迟滞、冒名传送、否认己传送或是非法侵人等威胁, 所以网际网络上的信息安全是非常重要的。在金融界、企业界大家在信息安全技术内广泛运用了DES以及RSA等加密技术作为信息安全的保障。
2.3电力系统信息安全关键技术的分析电力信息安全是电网安全运行和可靠供电的保障, 是一项涉及电网调度自动化、厂站自动化、配电网自动化、电力负荷控制、继电保护及安全装置、电力营销、电力市场等有关生产、经营和管理方面的多领域、复杂的大型系统工程, 但是现实是电力系统信息没有建立安全体系, 有的只是购买了防病毒软件和防火墙。有的网络连防火墙也没有, 没有对网络安全做统一长远的规划。
3 电力系统信息安全关键技术的应用展望
对电力企业信息网络这样一个年轻的又特殊的网络来说, 在网络安全问题上有其特殊性, 同时它所面临的安全威胁是比较严重的。我们可以采取有效的应对手段, 包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御, 只要应对得当, 足以有效保护电力系统信息网络安全, 保障电力生产经营活动的安全。未来将采用更加先进的网络安全体系架构、密码算法、防火墙、IDS和病毒防治软件等来保卫电力系统的信息安全, 但是堡垒往往是从内部攻破的。因此需要一套良好的安全制度和安全思想, 才是确保系统安全的根本。
3.1改进网络安全技术 (1) 科学安全的设置和保管密码。密码安全可以说是网络安全中最为重要的。一旦密码被泄漏, 非法用户可以很轻易的进人你的系统。由于穷举软件的流行, Root的密码要求最少要10位, 一般用户的密码要求最少要8位, 并且应该有英文字母大小写以及数字和其他符号进行不规则的设置。同时不要选取如生日、名字等熟悉的信息作为密码; (2) 加强人员的安全意识和管理。思想意识松懈造成的系统隐患要远大于系统自身的漏洞。将不知是否有病毒的软盘随意的插人计算机中、不当的设置密码、将密码写下来或存人计算机的文件中、长期不改密码、随意的从网上下载不明文件或内部合法用户本身的非法活动等都给企业信息网络带来最大的威胁; (3) 实时的监控网络端口和节点的信息流向, 定期对企业信息网络进行安全检查、日志审计和病毒扫描, 对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系同样对企业信息网络的安全运行有着很重要的意义。
3.2完善电力系统建设 (1) 电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联, 或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时, 必须采用经国家有关部门认证的专用、可靠的安全隔离设施; (2) 建立和完善电力调度数据网络, 应在专用通道上利用专用网络设备组网, 采用专线、同步数字序列、准同步数字序列等方式, 实现物理层面上与公用信息网络的安全隔离。电力调度数据网络只允许传输与电力调度生产直接相关的数据业务。 (3) 电力监控系统和电力调度数据网络均不得和互联网相连, 并严格限制电子邮件的使用。
参考文献
[1]殷小贡, 刘涤尘.电力系统通信工程[M].武汉:武汉大学出版社, 2004.
[2]杨明.密码编码学与网络安全[M].北京:电子工业出版社, 2002.
所谓信息安全,主要是保证信息的可用性、完整性、鉴别性、机密性和非抵赖性,所涉及的领域已从主机的安全发展到网络结构体系的安全,从单一层次的安全发展到多层次的立体安全。
1.信息加密技术
信息加密技术是实施信息保护的主要手段。通过数据加密,可有效保证信息在传输过程中不被泄露和破坏。
信息加密技术分为基于数学的密码技术和非数学的密码技术两种。基于数学的密码技术包括公钥密码、分组密码、流密码、数字签名、密钥管理、身份鉴别、消息认证、密钥共享和PKI技术等。非数学的密码技术包括量子密码、DNA密码等,其中量子密码、DNA密码具有广阔的发展前景。
量子密码是以海森堡“测不准理论”为物理基础,运用量子光学方法通过公开信道(通信光纤)异地产生物理噪声来加密的,可以真正实现一报一密,构成理论上不可破译的密码体制。运用量子加密法时,两个用户之间会各自产生一个私有的随机数字符串,除了发件人和收件人之外,任何人都无法掌握量子的状态,也无法复制量子。若攻击者企图接收并检测发件人的信息(偏振),就会造成量子状态的改变,而这种改变对攻击者而言是不可恢复的。但是,收发双方却能很容易检测出信息是否受到攻击,并设法将其消除。目前,国际学术界正围绕如何克服对量子相干性的干扰破坏、有效的量子受控门和量子逻辑网络设计、量子信息理论体系和量子密码的实用技术等问题展开研究。
近年来,DNA技术为信息加密技术发展带来了新的机遇。DNA分子在酶的作用下,可以通过生物化学反应,从某种基因代码转变成另一种基因代码。把转换前的基因代码作为输入数据,转换后的基因代码作为运算结果,能够进行很多高级逻辑运算和数学运算,而利用生物化学反应过程可以研制新型生物计算机,也可以为密码运算和密码分析提供理论依托。
DNA生物化学反应的优势,是能够并行工作。利用这种特性,可以并行处理解决问题的所有可能方法。以DNA分子链取代硅片存储和处理信息,具有计算速度快、存储量大、体积小等特点,可逐步模拟人脑的功能。有人预言,倘若DNA计算机研制成功,其几十个小时的运算量,就相当于目前全球所有计算机问世以来运算量的总和。
当前,DNA密码编码和密码分析的理论研究主要集中在以下几个领域:DNA的筛选、合成与纯化,繁殖与修饰;DNA有序排列点阵的形成;DNA密码编码变换的实施,编码信息的获取;DNA密码分析的实施,破译信息的获取;DNA芯片与DNA诊断薄膜原型器件的研制,等等。
2.信息伪装技术
信息加密技术可以保证“黑客”无法破译机密信息,却不能防止“黑客”阻碍合法接收者读取机密信息,因为“黑客”可以稳、准、狠地破坏被加密的信息。信息伪装技术则可以在很大程度上弥补这一缺点,使“黑客”感觉不到机密信息的存在,从而达到保护信息安全的目的。有潜在应用价值的信息伪装技术主要有信息隐藏、数字水印、叠像术和潜信道等。
2.1信息隐藏
信息隐藏是信息伪装的主体,以至于人们经常将其与信息伪装当成一回事。形象地说,信息隐藏就是将机密信息隐藏在普通信息之中,且不露任何破绽。信息隐藏的基本原理,是利用人类感官系统对某些细节的不敏感性,对载体作某些微小变动,却不引起观察者的怀疑。
2.2数字水印
数字水印是信息伪装的一个重要分支,也是目前国际学术界研究的热门课题。数字水印是永久镶嵌在宿主数据中的具有可鉴别性的数字信息,且不影响宿主数据的可用性。
2.3叠像术
叠像术是由可视化密码技术发展而来的一种新的信息伪装技术。其思想是把要隐藏的机密信息,通过算法隐藏到两个或多个子密钥图片中。这些图片可以存放在磁盘上,也可以印刷到透明胶片上,而每一张图片上都有随机分布的黑点和白点。由于黑、白点是随机分布的,故持有单张图片的人不论用什么方法,都无法得出任何有用的信息。而如果把所有图片叠加在一起,就可以恢复原有的机密信息。
2.4潜信道
潜信道又名隐信道。顾名思义,就是普通人感觉不到此信道的存在,而系统却可以利用这些感觉不到但真实存在的信道传送(存储)机密信息。
3.认证技术
所谓认证,就是确认接收到的数据确实来自所希望的源端。与认证相关的是非抵赖(non-repudiation)问题,即防止信息的发送者抵赖其发送的信息,或者确认接收者确实收到了发送者所发送的信息。认证与下面提到的访问控制都必须注意的一个问题,就是对以前截获信息流的重放。重放技术容易被非授权的主机使用以欺骗目的主机,而利用时间戳技术可有效防止这种问题的发生。
4.访问控制技术
访问控制技术是通过不同手段和策略实现对网络信息系统访问控制的,其目的是保护网络信息资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,对提出资源访问的请求加以控制。根据控制策略的不同,访问控制技术可分为自主访问控制、强制访问控制和角色访问控制三种形式。
自主访问控制是针对访问资源的用户或应用来设置访问控制权限的,安全性最低,但灵活性比较高。
强制访问控制在自主访问控制的基础上,增加了对网络资源的属性划分,规定了不同属性下的访问权限,可防止用户无意或有意使用自主访问的权利。其安全性比自主访问控制有所提高,但灵活性要差一些。
角色访问控制是通过验证合法访问者的身份,来确定访问者在系统中对哪类信息有什么样的访问权限的,具有便于授权管理、便于赋予最小特权、便于根据工作需要分级、便于任务分担、便于文件分级管理、便于大规模实现等优点,是一种有效而灵活的安全措施。目前已有的防火墙、代理服务器、路由器和专用访问控制服务器,都可以视为实现访问控制的产品。
5.病毒防护技术
互联网的迅速普及为计算机病毒的广泛传播营造了有利环境,而其本身的安全漏洞也为培育新一代病毒——网络病毒,提供了绝佳的条件。
根据传播属性不同,计算机病毒可划分为网络病毒和主机病毒。主机病毒的攻击对象是主机中的各种资源,即通过对主机内存、硬盘、主板及各种文件等资源的破坏,导致主机的不可用;网络病毒不仅具有主机病毒的破坏属性,而且具有更粗的破坏粒度,可通过消耗网络中的各种通信资源,如耗尽路由器、交换机和重要服务器等网络资源的处理能力,导致网络的不可用。对于主机病毒,现在已有很多有效的反病毒程序,而对于网络病毒的研究就不那么多了。
在病毒与反病毒的对抗中,反病毒技术将会在应用防毒和未知杀毒两个方面寻求突破。
作者在文章探讨并研究了我国信息通讯网络安全技术的发展现状及其必要性,并阐述了影响信息通讯安全技术发展的主要诱因,最后进行了信息通讯安全技术分析,希望对我国信息通讯技术的发展与进步提供参考和借鉴。
关键词:信息通信;安全技术;发展现状;必要性;影响因素
1 我国信息通讯网络安全技术的发展现状及其必要性
信息通讯技术具有很强的开放性和虚拟性,其给人们的日常生活带来的便利是显而易见的,它方便了人与人之间的联系和交往,使得“秀才不出门全知天下事”成为可能,然而,信息通讯技术固然具有数不胜数的优点,但是对于任何事物必须一分为二的看待,信息通讯技术的发展面临的主要问题就是如何保证通讯过程中各方的安全,这个话题也是我国信息通讯行业一直以来都较为热门的一个话题,有必要对信息通讯网络安全技术给予足够高的重视程度。
互联网的诞生使得人们获得信息的渠道变得更为快捷和便利,同时,人们对信息量的要求也是越发得多,人们为了满足自身的需求,需要把得到的信息进行系统化,整合成一个方便利用的整体,但是不论是信息的获得,还是信息的传输,都是依赖于各种网络平台进行的,而各种网络平台不具备真实性和稳定性,而且始终处于变化当中,开放性较强,但正是这些特点暴露了信息通讯自身的弱点和缺陷。
虚拟的网络环境使人们沉溺在不现实的生活之中,常常耽误了正常的生活和生产,网络上的各种信息并不都是真实的,有一部分是被人刻意构造的,人们一旦对各种假冒的信息信以为真,很有可能为自己带来财产、人身方面的巨大损失,此外,网络环境极容易受到病毒的.侵扰,造成网络系统瘫痪,归根结底就是信息通讯的安全性得不到充足的保证。
不论是从哪个角度来说,建立健全信息通讯安全技术防范体系势在必行。
从宏观上来讲,我国信息通讯安全中存在问题是由于国家信息通讯安全体系不够健全和完备,而如果从微观上来讲,就是个人的责任了。
一般人认为个人不会对我国的信息通讯安全产生多大的影响,但殊不知我国是一个人口大国,每一个人的行为对信息通讯安全的影响都是不容忽视的。
教学目标:
(1)了解常见的网络设备。(2)了解 IP 地址和域名的基本概念。
(3)掌握网络信息搜索的基本方法。(4)掌握合法获取与保存网上信息的方法。(5)网络信息安全。
教学重点和难点 教学重点
(1)常见的网络设备。(2)IP 地址和域名的基本方法。
(3)合法获取与保存网上信息的方法。(4)网络信息安全。
教学难点
(1)常见的网络设备。(2)IP 地址和域名的基本概念。
教学方法 1.讨论探究法:讨论学生家庭网络的结构,分析不同网络之间的连接。
2.评价检测法:通过评价检测学生对每个环节知识点的掌握情况。
3.问题引导法:本课通过四个问题,层层递进,引导学生逐步认识各种网络的连接,以及要使用到的设备。
4.类比教学法:类比讲解计算机网络最常见的分类方法,有利于学生了解常见网络分类。
教学准备 1.教学环境。
硬件环境:计算机网络教室。软件环境:操作系统,教学广播软件 2.资源准备 教学课件相关文字图片、音视频资料等 教学过程 新课导入:1.播放一个视频关于网络检索来关于网络资源、网络信息安全内容,2:课件展示本节课主题:正确获取网资源; 网络信息检索方法:1 提出问题:我们平时如何找到需要的网页的?引导学生回答,并引导分析这几种找到网页的方式优缺点;2:
直接访问网面,可以快速准确到达网站,但是无法访问未知网站; 网上搜索方式,可以查找所需信息息,但同量也会返回大量无关信息,需要我们去甄别。3:怎么能找到更确切信息。让学生掌握通过修饰关键词,查询在线数据库,了解专业资料查询方法 保存网络信息:1.引导搜索到我们需要信息以后,我们可以这些信息保存自己计算机中,注意需要有知识产权保护意识,(拓展练习:分别保存网页中的文字、图片,以及下载网页视频、文档、音乐等)
网络信息安全:1:提出问题如何保护安全,物理安全、逻辑安全。引导学生正视网络负面影响,加强信息安全意识,学习维护网络信息安全防范措施,提高自我保护意识,树立网络行为及道德规范,文明上网,共同维护网络文明。
动手实践:引导学生自主完成电子邮箱注册。
课堂小结:引导学生回顾 1.常用信息检索方法;2。网络信息保存方法;3.保障网络信息安全 教学反思方向 1.学生能否积极配合,参与教学活动,参与练习?
2.学生能否顺利回答问题,完成练习的情况如何? 3.总结归纳时,学生自主总结情况如何,参与总结情况如何? 附:授课流程 一、引课:师生互动,提问几个关于网络网站问题 二、播放网络信息检索方法的视频 三、得出网络信息检索方法有三种:1:直接访问网页;2:使用搜索引擎 3。查询在线数据库 四、这是本节重点:操作演示使用搜索引擎注意事项; 1、搜索内容用双引号括起来,所有返回结果字数和字的顺序都要完全匹配双引号内容。
2、如果要避免搜索某个词语,可以在这个词前面加个减号。在减号前必需有空格,但减号和检索词之间不能留空格 3、限定在标题中搜索(TITLE)。如要搜索以“北京奥运会闭幕式”为标题的信息,可以输入“TITLE:北京奥运会闭幕式”。
一、公司秘密具体范围包括:
1.1 公司股东、董事会资料,会议记录,保密期限内的重要决定事项 1.2 公司的工作总结,财务预算决算报告,缴纳税款、营销报表和各种综合统计报表 1.3 公司有关销售业务资料,货源情报和对供应商调研资料 1.4 公司开发设计资料,技术资料和生产情况 1.5 客户提供的一切文件、样板等 1.6 公司各部门人员编制.调整,未公布的计划,员工福利待遇资料及员工手册 1.7 公司的安全防范状况及存在的问题 1.8 公司员工违法违纪的检举.投诉.调查材料,发生案件、事故的调查登记资料 1.9 公司、法人代表的印章、营业执照、财务印章合同协议。
二、公司的保密制度 2.1 文件、传真邮件的收发登记、签收、催办、清退、借阅、归档由指定人员处理 2.2 凡涉及公司内部秘密的文件资料的报废处理,必须首先碎纸,不准未经碎纸丢弃处理 2.3 公司员工持有的各种文件、资料、电子文档(磁碟,光盘等),当离开办公室外出时,须存放入文件柜或抽屉上锁,不准随意乱放,未经批准,不能复制抄录或携带外出 2.4 未经公司领导批准,不得向外界提供公司的任何保密资料 2.5 未经公司领导批准,不得向提供客户的任何资料
2.6 妥善保管好各种财务账册、公司证照、印章 三、电脑保密措施 3.1 不要将机密文件及可能是受保护文件随意存放,文件的存放在分类分目录存放于指定位置。
3.2 未经领导批准,不得随意打开他人文件,以避免泄密或文件的损坏。
3.3 对来历不明的邮件或文件不要查看或尝试打开,以避免计算机中病毒或感染木马程序,并尽快请公司网络管理人员来检查。
3.4 在一些邮件中的附件中,如果有出现一些附加名是:EXE,COM 等可执行的附件或其它可疑附件时,请先用杀毒软件详细查杀后再使用,或请网络管理人员处理。
3.5 不要随便尝试不明的或不熟悉的计算机操作步骤。遇到计算机发生异常而自己无法解决时,就立即通知网络管理人员解决。
3.6 不要随便安装或使用不明来源的软件或程序。不要随便运行或删除电脑上的文件或程序。不要随意更改计算机参数等。
3.7 收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄这些邮件。
3.8 不向他人泄露使用密码,防止他人接触计算机系统造成意外。
3.9 需要至少每个季度进行密码更换,并由 IT 负责人进行监督实施,做好《密码更新记录》表,如发现密码已泄漏,就尽快更换。预设的密码及由别人提供的密码应不能采用。定期用杀毒程序扫描计算机系统。对于新的软件、档案或电子邮件,应选用杀毒软件扫描,检查是否带有病毒、有害的程序编码,进行适当的处理后才可开启使用。
3.10 先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送。在适当的情况下,利用数定证书为信息及数据加密或加上数字签名。
3.11 关闭电子邮件所备有自动处理电子邮件附件功能,关闭电子邮件应用系统或其它应用软件中可自动处理的功能,以防电脑病毒入侵。
3.12 未经主管人员许可,不要让他人随意使用你的计算机。不要随意将公司或个人的文件发送给他人,或给他人查看或使用。
3.13 计算机使用或管理过程中如有任何疑问,请询问公司网络管理人员。
四、公司的保密措施 1.公司中层以上领导,要自觉带头遵守保密制度。
2.公司各部门要运用各种形式经常对所属员工进行保密教育,增强保密观念。
3.全体员工应自觉遵守保密基本准则,做到:不该说的机密,绝对不说,不该看的机密,绝对不看(含超越自己职责、业务范围的文件、资料、电子文档)。
4..对员工依照公司规定,保守公司秘密,发现他人泄密,立即采取补救措施,避免或减轻损害后果;对泄密或者非法获取公司秘密的行为及时检举投诉的,按照规定给予奖励。
5..对员工不遵守公司规定,造成泄密事件,依照有关法规及公司的警告规定给予处理,严重者直至追究刑事责任。
五、数据的备份机制 5.1 数据每月需要进行备份,如在重要数据更新时,需要及时进行备份 5.2 数据备份后可刻录成光盘,或存于移动硬盘中,并存放于档案室 六、记录表单
关键词:电子信息安全,安全技术,安全要素
0 引言
在企业的管理信息系统中有众多的企业文件在流转, 其中肯定有重要性文件, 有的甚至涉及到企业的发展前途, 如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造, 将会严重威胁企业的发展, 所以, 企业电子信息安全技术的研究具有重要意义。
1 企业的信息化建设意义
在这个网络信息时代, 伴随着信息化的进程的发展, 提升管理水平的重要手段就是信息, 这也是企业成败的关键。而根据最新的调查结果显示, 只有不到四分之一的企业应用了电子商务这样关系到交易。也就是说, 约有82%的企业对网站的应用还处于初级阶段———即停留在对企业形象的宣传, 对产品和服务信息的发布和对客户资料的简单收集。电子商务形势已被现在的企业商务活动采用, 信息化技术已经被企业的生产运作, 运输和销售等诸多方面加以运用。例如, 利用网络收集各种原材料信息从而建立对采购有重要作用的原材料信息系统, 电子信息化水准经由分析系统的网络数据得到采购建议和对策得以实现。但还不到四分之一这一数据说明企业还未充分开发和利用商业渠道信息。企业信息化时代已经到来, 企业应该加快信息化的建设。
2 电子信息安全技术阐述
2.1 电子信息中的加密技术
为保证数据的传送更加完整和安全, 电子信息重要使用加密技术。对称加密技术和非对称加密技术是加密技术的两种类型。对称加密技术的实现经由包括明文、密钥、加密算法和解密算法这样的五个基本成分在内的分组机密或序列密码。而非对称加密技术解密和加密相对独立, 经由两把不同的密钥进行加密和解密。被称为公钥的加密秘钥向公众公开, 被称为私钥的加密秘钥秘密保存, 二者必须配对使用。
被传送的加密信息经过加密技术起到了保密作用。发送电子信息的过程中, 所要发出的信息被发送人经过加密秘钥加密后发出, 如果信息在传输过程被窃取, 他也只能拿到没办法没理解的密文, 但是密文可以被接受者用解密秘钥进行解密, 得到明文。
2.2 电子信息中的防火墙技术
网络技术的发展也使网络安全收到了来自网络黑客, 邮件炸弹以及木马病毒的威胁。其网络也同样被企业的信息化以这样的形式所威胁着以至于难以保证企业电子信息的安全。防火墙这一保护措施在这种网络极度不安全的情况下被最初采用。防火墙在阻止电脑信息被恶意篡改和防止被黑客入侵等方面也同样在个人电脑的保护中起到了重要的作用。
2.3 电子信息中的认证技术
电子信息的认证技术分为身份认证和消息认证两种。身份认证包括识别 (明确并区分访问者身份) 以及验证 (确认访问者身份) , 用于对用户身份的鉴别。身份认证必须在用户访问不公开的资源时被通过。消息认证是用来辨别信息的真伪和信息有没有经过第三方的伪造或者修改, 被用于确认和保证信息的完整性和抗否认性。
3 企业电子信息的主要安全要素
3.1 企业电子信息的机密性
信息的保密工作随着网络的发展已经变得越来越困难。但是身为企业商业机密代表的信息其重要性也不言而喻。摆在各个企业面前的首要解决问题就是:应当怎样确保自己的信息安全地在互联网上传递而不被第三方进行窃取和篡改或者滥用和破坏。
3.2 企业电子信息的有效性
现今, 企业的信息传递大多采用电子的形式, 这是电子信息技术发展的必然结果。关系企业贸易能否顺利进行和整个企业的经济利益的前提条件就是信息的有效性。要保证信息传递的有效性, 排除各类潜在的对信息有效传递存在威胁的因素尤为重要。
3.3 企业电子信息的完整性
对企业交易双方都十分重要的一点是要保证交易各方的信息的完整, 因其经营的策略被交易方的信息完整性所制约。所以企业之间进行交易的基础就是防止信息在传送的过程中丢失, 或被随意生成或者篡改, 保证信息的完整性。
4 企业中电子信息安全问题的解决策略
电子信息技术发展的安全性直接关系着企业以及个人发展的根本利益, 因此, 我们应该在这方面加强建设的力度, 采取有效的措施提高网络信息的安全。
4.1 提高电子信息发展的安全意识
随着社会发展的需要, 各个领域的发展都在逐步走向智能化, 这与网络信息技术的发展是息息相关的, 尤其是网络技术在军事和经济上的应用更应该引起我们的重视, 直接关系着整个国家的发展和国防的安全性。为此, 我们应该清楚的认识到电子信息安全的重要性, 树立维护电子信息安全的意识, 促进网络的安全发展。
4.2 构建企业信息安全管理体制
保证顺利进行信息安全的管理, 除了对各种安全技术的使用之外, 建立完善的电子信息安全管理的制度也是十分必要的。一个信息系统的安全被一开始建立的相关的信息管理制度所制约。这是一般的企业中都存在的。信息的安全性无法被保证都是因为相关的安全管理制度的问题所致, 因为这一制度的相关安全管理技术都无法被正常进行, 可见一个严格的管理制度极度影响着信息系统的安全。电子信息安全技术及其工具无法发挥相应作用的重要原因之一就是没有一套完善且严格的信息安全管理制度。
4.3 培养专业技术人才
我国电子信息技术的发展还存在很大的发展空间, 各方面的技术还有待提高, 因此, 应该进一步的进行发展和研究。而电子信息的发展离不开专业化、高素质的信息安全人才。为了提高信息技术安全发展的脚步, 我们加大对人才的培养力度。通过加大对科研教育的投入, 使他们能够拥有更高端的实验器材以及科研资金进行技术的研究和开发;同时与国际接轨, 进行学术上的经验交流, 学习优秀的技术并应用到我国发展的实际当中, 提高我国信息技术的发展水平;加强对企业内部人员的培训, 提高工作人员的专业水平和道德修养, 保证工作团队的团结协作, 为我国信息技术的发展凝聚力量。
4.4 利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成, 企业良好的信息安全服务是经由优良的网络条件来提供的。技术标准、安全公告和法规经由企业网络平台发布, 同时信息安全软件下载和安全设备选择也可通过这一平台提供。除此之外, 企业的员工也可以利用这一平台进行经验交流, 进行信息安全的在线教育培训等。
4.5 定期评估和改进安全防护软件系统
企业的信息安全技术和应用随着企业的发展也在推进发展着, 伴随技术发展, 人们对信息安全问题的认识也在提高。安全防护软件系统———这一用来解决信息的安全问题的“解药”也应伴随着信息安全问题的发现而定期评估和改进。
5 总结
电子信息技术的应用越来越广泛, 电子商务的发展已经在全球范围内得到发展, 正是由于信息发展的全球化, 我们更应该重视信息发展的安全性, 从而保证国家和人民发展的根本利益。我们应该在技术上不断的创新和发展, 并逐步完善。电子信息发展的安全性不仅依赖于新技术同时也与技术开发的团队息息相关, 因此, 我们在加强技术的同时也要注重对工作人员素质的培养, 相信在不断探索的道路上, 我国信息技术的发展将会取得更大的成就。
参考文献
[1]陈宏愚, 欧明籼.我国信息安全技术的发展[J].中国信息导报, 2002 (06) .
[2]李德毅.信息安全技术的发展及其对公共安全的影响[J].计算机安全, 2002 (01) .
【摘 要】文章首先从“以传播协议为途径发动攻击”等五个方面论述了计算机网络应用中的常见安全问题,随后从“运用入侵检测技术”等四个方面论述了相关防护策略。
【主题词】信息网络应用
【中图分类号】TP183 【文献标识码】A 【文章编号】1672-5158(2013)03-0148-01
一、信息安全常见问题
计算机网络具有大跨度、分布式、无边界等特征,为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性,使得计算机网络应用中的恶意攻击性行为肆意妄为,计算机网络应用中常见的安全问题主要有:①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击,通过向Windows系统TCP端口139发送随机数来攻击操作系统,从而让中央处理器(CPU)一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击,通过恶意地请求资源导致服务超载,造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYN Flood攻击。或者,发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪,典型的攻击方法如ICMP F1ood}Connection Floa」等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址,使受攻击的服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植人到目标主机中,用户的主机就被黑客完全控制,成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息,如口令、帐号、密码等,对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer(嗅探器)作为工具进行信息窥探。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,为进一步恶意攻击做准备。而嗅探器(sni$}er)是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被用户发现。
二、网络安全防护常用策略
1、对重要的信息数据进行加密保护
为了防止对网络上传输的数据被人恶意窃听修改,可以对数据进行加密,使数据成为密文。如果没有密钥,即使是数据被别人窃取也无法将之还原为原数据,一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制,常用的算法为DES算法,ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥,每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密,用于解密密钥。具体采取那种加密方式应根据需求而定。
2、采用病毒防护技术
包括:①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原,从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office,Outlook,IE,Winzip,NetAnt等应用软件进行被动式杀毒。
3、运用入侵检测技术
人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。人侵检测系统的应用,能使在人侵攻击对系统发生危害前,检测到人侵攻击,并利用报警与防护系统驱逐人侵攻击。在人侵攻击过程中,能减少人侵攻击所造成的损失。在被人侵攻击后,收集人侵击的相关信息,作为防范系统的知识,添加人知识库内,以增强系统的防范能力。
根据采用的检测技术,人侵检测系统被分为误用检测( Misuse Detec-lion )和异常检测(Anomaly Detection)两大类。误用检测根据事先定义的人侵模式库,人侵模式描述了人侵行为的特征、条件、排列以及事件间关系,检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。它的人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体,漏报率较高。而异常检测技术则是通过提取审计踪迹(如网络流量、日志文件)中的特征数据来描述用户行为,建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较,如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点:误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击,具有低的误报率,但面对新的攻击行为确无能为力,漏报率高;而异常检测技术具有发现新的攻击行为的能力,漏报率低,但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展,如NIDES,EMER-ALD,Haystack都为误用与异常检测的综合系统,其中用误用检测技术检测已知的人侵行为,而异常检测系统检测未知的人侵行为。
4、利用网络防火墙和防毒墙技术
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。以包过滤技术为例,它是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过。。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生,它是指位于网络人口处,用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
三、小结
除了上述的策略外,还有漏洞扫描技术、VPN(虚拟网专用网络)技术、数据备份和容灾技术等,由于篇幅的原因文中没有详细论述。计算机网络应用安全问题随着各种新技术和算法的出现而不断更新和复杂化,相关策略也将愈加先进。
参考文献:
钟琛
(2012级软件开发(3)20150609)
摘 要:随着计算机网络技术的迅速发展,特别是互联网应用得越来越广泛,网络安全成为了社会关注的焦点问题。由于网络开放的、无控制机构的特点,使其安全得不到保障。社会针对计算机网络安全,提出了许多保护措施,其中防火墙技术的应用相对较为明显,不仅显示了高水平的安全保护,于此同时营造了安全、可靠的运行环境。大部分的黑客入侵事件都是因为没有正确安装防火墙而引起的,所以我们应该高度重视和注意防火墙技术。因此,该文对计算机网络安全进行研究,并且分析防火墙技术的应用。关键字:计算机;网络技术;网络安全;防火墙技术
Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology
随着计算机网络的飞速发展,人们的工作,学习和生活正在不断地被计算机信息技术改变,人们的工作效率有了很大的提高,但由于计算机网络的多样性、分布不均的终端、互联性和开放性的特点,这种形式在网络和网络中极容易受到黑客,病毒,恶意软件和其他意图不明的行为攻击,因此网络信息的安全性和保密性是一个关键的问题。因此,网络的安全措施应该是一个能够面对全方位不同的威胁,只有这样网络信息的保密性、完整性和可用性才能得到保障。分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,网络安全反映计算机网络安全和防火墙技术之间的技术优势。计算机网络安全与防火墙技术的分析如下: 1.1计算机网络安全
安全是计算机网络运行的主要原则,随着现代社会的信息化发展,计算机网络已经得到了推进,但是其在操作过程中依然出现安全威胁,影响计算机网络的安全级别,计算机网络安全威胁包括:
1.1.1 数据威胁
在计算机网络中数据是主体,在运行的过程中数据存在许多漏洞,从而导致计算机网络的安全问题。例如:一个计算机网络节点的数据,比较容易篡改,破坏数据的完整性,攻击者利用数据内容的一部分,窥探内网数据、泄漏数据,利用计算机网络系统漏洞,植入木马、病毒,导致系统数据瘫痪,无法支持计算机网络安全的运行。1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽视的危险部分,最主要的是人为破坏,如:病毒、木马的攻击等。目前,这种类型对计算机网络的影响比较大,一些网站病毒、邮件病毒等方式的攻击者,对用户的计算机进行攻击、病毒植入时,大多是因为用户操作习惯的不正确,从而使计算机网络系统出现漏洞。例如:用户浏览外部网站很长一段时间,但不能对病毒进行定期处理,攻击者可以很容易地找出用户的浏览习惯,添加此类链接的特性攻击网站,当用户点击该网站时,病毒立即开始攻击客户的计算机。1.1.3 环境威胁
在共享环境中的计算机网络,资源受到威胁。环境是计算机网络操作的基础,用户在访问外部网络时必须经过网络环境,所以是有显著的环境威胁的,当用户访问网络时,该攻击在网络环境中非常强,攻击者通过网络环境设置主要攻击范围,特别是对网络环境内交互的数据包进行攻击,保护内部网络的结构受到损坏,对环境的威胁,必须发挥防火墙技术的全部功能。
2防火墙的基本原理 2.1防火墙的概念
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它按照规定的安全策略对网络之间进行传输的数据包进行检查,然后决定是否允许该通信,将内部网对外部网屏蔽信息、运行状况和结构,从而使内部网络达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙本质上是一种隔离控制技术,其核心思想是在网络中不安全的环境,构建一个相对安全的内部网络环境。从逻辑上讲它既是一个解析器又是一个限制器,它要求所有传入和传出的网络数据流必须验证和授权并且将外部网络和内部网络在逻辑上分离出来。
防火墙可以全部是硬件,也可以全部是软件,它也可以是硬件和软件两者。防火墙与内部网络和外部网络(互联网)之间的关系如图1。
图1 2.2 防火墙的作用
2.2.1 “木桶”理论在网络安全的应用
网络安全概念有一个“木桶”理论:一只水桶能装水并不取决于桶有多高,而是取决于高度和最短的那块木板的桶组成。防火墙理论的应用是“木桶”。在一个环境中没有防火墙,网络安全只能体现在许多主机的功能,所有主机都必须共同努力,以实现更高程度的安全性。防火墙可以简化安全管理,网络安全是加强防火墙系统,而不是分布在内部网络中的所有主机上。
2.2.2 内部网络安全性的强化
防火墙可以限制未授权的用户,如防止黑客或者破坏网络的人进入内部网络,不让不安全的脆弱性的服务(如NFS)和没有进行授权的信息或通信进出网络,并抵抗从各个地方和路线来的攻击。
2.2.3 将网络存取和访问进行记录、监控
作为一个单一的网络接入点,所有传入和传出的信息必须通过防火墙,防火墙是非常适合收集系统和网络的使用和误用,并且将记录信息。在防火墙上可以很容易地监控网络安全,并且报警。
2.2.4 限制内部用户访问特殊站点
防火墙来确定合法用户的用户认证。通过事先确定的检查策略,以决定哪些内部用户可以使用该服务,可以访问某些网站。2.2.5 限制暴露用户点,阻止内部攻击
用防火墙将内部网络进行划分,它使网段隔离,以防止网络问题通过整个网络,这限制了本地焦点或敏感网络安全问题的全球网络上传播的影响,同时保护网络从该网络中的其他网络攻击
2.2.6 网络地址转换
防火墙部署为一个NAT逻辑地址,因此防火墙可以使地址空间短缺的问题得到缓解,并当一个组织变革带来的ISP重新编号时消除麻烦。作为一个单一的网络接入点,所有传入和传出的信息必须经过防火 2.2.7 虚拟私人网络
防火墙还支持互联网服务功能的企业网络技术体系VPN。VPN将企业在局域网还是在世界各地的专用子网的地理分布,有机地联系起来,形成一个整体。不仅省去了专用通信线路,而且还提供技术支持,信息共享。3防火墙的类型
在设计中的防火墙,除了安全策略,还要确定防火墙类型和拓扑结构。根据所用不同的防火墙技术,我们可以分为四个基本类型:包过滤型、网络地址转换--NAT,代理服务器型和监视器类型。3.1包过滤型
包过滤防火墙产品是基于其技术网络中的子传输技术在初始产品。网络上的数据传输是以“包”为单位的,数据被划分成大小相当的包,每个包将包含特定信息,如地址数据源,目的地址,TCP / UDP源端口和目的端口等。防火墙通过读取地址信息来确定“包”是否从受信任的安全站点,如果发现来自不安全站点的数据包,防火墙将这些数据阻挡在外部。3.2网络地址转化--NAT 网络地址转换是把IP地址转换成临时的、外部的,注册的D类地址的标准方法。它允许拥有私有IP地址的内网访问互联网。这也意味着,用户不能获得每个设备的IP地址注册为网络。当内网通过安全的网卡访问外网时,会有一个映射记录产生。系统将外出的源地址和源端口映射为一个伪装的地址和端口,所以地址和端口通过不安全网络卡和外部网络连接的伪装,所以它隐藏了真正的内部网络地址。3.2代理(Proxy)型
代理防火墙同样也可以被称为代理服务器,它比包过滤产品更加安全,并已开始开发应用程序层。在客户端和服务器之间的代理服务器位于,完全阻断两者的数据交换。从客户端的角度来看,代理服务器充当真实服务器,从服务器运行时,代理服务器是一个真正的客户端。当客户端需要使用服务器上的数据,第一数据请求发送到代理服务器,然后代理服务器获得数据到服务器响应请求,然后由代理服务器将数据发送给客户端。由于在外部系统与内部服务器之间没有直接的数据联通,这对企业网络系统来说,外部的恶意破坏不足以伤害到。3.4监测型
监控防火墙是新一代的产品,最初的防火墙定义实际上已经被这一技术超越了。防火墙可以监视每一层活性,实时监控数据,在监视器防火墙上的数据的分析的基础上,可以有效地确定各层的非法侵入。与此同时,这种检测防火墙产品一般还具有分布式探测器,这些探测器放置在节点、各种应用服务器和其它网络之间,不仅可以检测来自网络外部的攻击,同时对从内部恶意破坏也有很强的的预防效果。据权威部门计算,在攻击的网络系统中,从网络中有相当比例的是从内部网络开始的。因此,监测的防火墙不仅超越了防火墙的传统定义,而且在安全性也超越了前两代产品。虽然监测防火墙的安全方面已经超出包过滤和代理防火墙,但由于监测防火墙昂贵的实施技术,而且不易于管理,所以现在在实际使用中的防火墙产品仍然在第二代代理型产品,但在某些方面已经开始使用监控防火墙。基于全面考虑了系统成本和安全技术的成本,用户可以选择性地使用某些技术进行监控。这不仅保证了网络的安全性要求,而且还可以有效地控制总拥有成本的安全系统。4 结束语
防火墙是新型的重要的Internet安全措施,在当前社会得到了充分的认可和广泛的应用,并且由于防火墙不仅仅限于TCP / IP 协议的特点,也让它渐渐地在除了Internet之外其他的领域也有了更好的发展。但是防火墙只是保护网络安全和网络政策和策略中的一部分,所以这并不能解决网络安全中的所有问题。防火墙如果要保护网络安全,那么这和许多因素有关,要想得到一个既高效又通用、安全的防火墙,通常要将各种各样的防火墙技术和其它网络安全技术结合在一起,并且配合要有一个可行的组织和管理措施,形成深度有序的安全防御体系。
参考文献
【信息安全技术】推荐阅读:
信息安全技术基础试题12-02
网络与信息安全技术小结06-06
信息安全技术标准试题和答案07-24
计算机信息技术在食品安全控制中的应用07-19
电力信息化与信息安全06-08
信息安全团队06-05
信息安全试题06-27
0836信息安全07-24
信息安全策略集06-08
信息安全的论文07-11