网络信息安全之我见

网络信息安全之我见 摘要: 安全问题是计算机及网络领域非常重要的课题。随着科学技术的迅猛发展和信息技术的广泛应用，网络与信息系统的基础性、全局性作用日益增强，信息网络已成为国家和社会发展新的重要战略资源。与此同时，社会对信息的依赖程度越来越高，网络和信息系统的安全问题也越来越重要。对网络信息安全及其防治，我们又该怎样认识呢,本文从网络信息安全的重要性和一些基本安全防范出发， 谈谈自己对网络信息安全的认识。 关键字:网络信息、信息安全、网络安全、安全措施 一、 信息安全基本知识 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。从安全需求的角度来讲，信息安全包括以下几个基本要素:机密性、完整性、可靠性、可用性、可控性和不可抵赖性等。 1. 机密性:机密性是指网络信息不被泄露给非授权用户、实体或过程。不被非法利用; 2. 完整性:网络信息在存储和传输中保持不被偶然或者蓄意删除、修改、伪造、乱序、重 放、等破坏或丢失的特性，保证数据的一致性，防止数据被非法用户篡改。 3. 可靠性:是指网络信息系统能够在规定条件下和规定的时间内完成规定的功能的 特性。 4. 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。 5. 可控性:是指可以控制授权范围内的信息流向及行为方式，对信息的传播和内容 具有控制能力。 6. 不可抵赖性:也称不可否认性。建立有效的责任机制，防止用户否认其行为，这 一点在电子商务中是极其重要的。 网络安全威胁是指某个人、物或事件对网络资源的机密性、完整性、可靠性、可用性、可控性及不可抵赖性所造成的危害。总的来说，安全威胁来自两个方面的因素:人为地和非人为因素。非人为威胁包括各种系统故障和自然灾害;人为威胁通过攻击系统暴漏的要害和弱点，使得网络信息受到破坏，造成不可挽回的经济损失和政治损失。人为威胁又分为两种:一种是以操作失误为代的无意威胁;另一种是以计算机犯罪为代表的有意威胁，即恶意攻击。一般情况下，我们所指的网络安全，是由恶意攻击而引起的安全问题。 二、 网络面临的安全威胁 在上面已经提到，一般所指的网络信息安全是指有恶意攻击而引起的安全问题，那么什么是恶意攻击,恶意攻击又有哪些危害呢, 人为恶意攻击企图明显，危害性相当大，给国家安全、知识产权和用户个人信息带来巨大危害。恶意攻击的行为主要有以下几种: 1、 窃听。在广播式网络系统中，每一个节点都能读取网上的信息。窃听主要是指各种可能 的合法或非法的手段窃取系统中的信息资源和敏感信息。 2、 破坏完整性。有意无意破坏信息系统，或者在非授权和不能检测的方式下对数据进行修 改。 3、 重发。重发是重复一份报文和报文的一部分，以便产生一个被授权的效果。 4、 假冒。当一个实体假扮另一个实体时，就发生了假冒。黑客大多是采用假冒攻击。 5、 拒绝服务。对信息或其他资源的合法访问被无条件地阻止。 6、 资源的非授权使用。即所定义的安全策略不一致的使用。被授权以某一目的使用某一 系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。 7、 干扰。干扰是由一个节点产生数据来扰乱提供给其他节点的服务，也能由一个已经损坏 的并还在继续传送报文的节点所引起。那些令人讨厌的垃圾邮件就是典型的干扰形式之 一。 8、 病毒。编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用 并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性，复制性和传染性。 9、 物理侵入:侵入者绕过物理控制而获得对系统的访问。 在网络环境中，在更广阔的领域恶意攻击带来的安全威胁，一方面，在互联网上以人为恶意攻击为代表的高技术犯罪的发展趋势是网络犯罪集团化。给司法带来挑战。在经济领域，利用互联网手机重要的商业情报，其目的是获取有价值的信息、能力、技术或对自身有利的谈判地位。商业间谍属于一种集团行为的恶意攻击。另外，众多的个人行为或者小团体行为恶意攻击数量巨大，目的复杂。 三、 网络信息安全需求 网络信息安全主要针对各种信息的存储、传输的安全。互联网大家庭中，有各种各样的角色，网络用户、网站经营者面临的恶意攻击的目的也有所不同，每个网络用户面临的安全问题是不一样的。网络信息安全的需求随着角度的变化而变化。 1、 从用户的角度来讲，他们最希望的是涉及个人隐私和商业利益的信息在网络上传输时受 到机密性、完整性和真实性的保护，避免他人利用窃听、冒充、篡改抵赖等手段侵犯用 户的利益和隐私。 2、 从网络运营商和管理者的角度来看，他们希望对本地网络信息的访问、读写等操作受到 保护和控制，避免出现病毒、后门、非法存取、拒绝服务和网络资源非法占用等威胁， 防治遭到黑客的攻击。 3、 对于安全保密部门来说，他们希望对非法的、有害的涉及国家利益的信息进行过滤和防 毒，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。 四、网络信息安全应对策略 1、 严格的管理 主要包括两方面的内容。一是加强立法，制定严格的法律法规;二是严格的管理，各网络使用机构、也事业单位应该建立起完善的信息安全管理办法，加强内部管理，提高整体的信息安全意识 2、 先进的技术 先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统，还要定期升级相关的技术。 五、个人信息网络安全应对措施 , 认证:在个人计算机安全防范中，允许某个用户访问计算机系统，首要的考虑就是认证。 , 访问控制:最典型的就是运用防火墙，它在内部网络与不安全的外部网络之间设置障碍， 阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。 , 数字证:数字证书把一个特定的人链接或绑定到一个公开密钥，数字证书由第三方认 证机构提供支持，它可以证明所有者就是他深沉的那个人。 , 安全路由器:由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。 通常采用访问控制列表技术来控制网络信息流。 , 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其 实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有 安全相关事件的审计和跟踪。 , 安全管理中心:由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集 中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络 安全设备的运行状态，负责收集网络安全设备的审计信息等。 , 密码:当涉及到数量众多的计算机账户的密码时，最好的就绝办法就是每个账户设置一 个单独密码。密码在很多安全策略中，密码是第一道防线。 , 数据备份:备份是计算机安全的一个重要工作，数据应该有规律的备份到其他媒介并安 全的存储。 , 物理措施:保护网络关键设备，制定严格的网络安全规章等。 , 数据加密:对网络中传输的数据进行加密，目的是防止非法用户截获并盗用信息。 , 安全数据库:由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感 的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审 计性及存取控制与用户身份识别等。 随着互联网的迅猛发展，安全问题越来越引起人们的关注，网络信息安全是一个综合性的课题。涉及技术、管理、使用等多方面的问题。信息网络已成为国家和社会发展新的重要战略资源，社会对信息的依赖程度越来越高，网络和信息系统的安全问题也越来越重要。对网络信息安全及其防治也应当引起足够的重视。