网络信息安全及其防护策略浅析
2012-04-29杨素
杨素
摘要:网络信息安全问题是当前计算机领域关注的焦点。该文在分析了网络信息系统存在的主要安全威胁及原因的基础上,探索性与针对性的提出了防护措施,以期对当前网络信息安全问题的解决有所启示。
关键词:网络信息安全;防护策略;威胁
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)02-0298-02
网络已成为人们日常生活的重要组成部分,对网络系统的需求及其依赖程度与日俱增。但网络的开放性导致了网络环境下的计算机网络系统存在着诸多的安全威胁与隐患。由此,网络安全威胁及其防护问题也引起越来越多人的关注。因此,分析当前主要存在哪些的网络安全威胁及其产生原因,提出有效的应对策略,就显得尤为重要。
1当前网络信息系统的主要安全威胁及原因
网络信息安全是指涉及计算机、通信、网络、信息安全、密码、数论和信息论等一系列技术的综合性学科。目的就是保护计算机与网络系统中的硬件、软件及其它系统资源不因偶然或故意的外界因素发生破坏、更改和泄露,以保证计算机网络系统能够连续、可靠的运行,使网络服务不发生中断。其存在的安全威胁主要有以下几种:
1)源于外部环境的自然灾害:我们所说的计算机信息系统,是一个相对比较智能的软件,其容易受到来自于外界的自然灾害等环境因素影响,如环境的温度、湿度、强烈的振动和冲击等。当前我们使用的计算机及网络系统设施很少设置防震、防水、防火、防雷及防电磁干扰等措施,对于当前应用比较广泛的接地系统也可以说是欠考虑,它对抵御像自然灾害、意外事故等的能力是比较差的。
2)网络信息系统本身的脆弱性:网络技术最显著的特点之一莫过于开放性。可以说,这种广泛意义上的开放性决定了网络信息系统更容易遭受攻击。就当前互联网普遍使用与依赖的TCP/IP协议来说,它本身的安全性就不是很高,以该协议为基础的网络信息系统很容易受到欺骗攻击、数据截取、数据篡改和拒绝服务等的威胁和攻击。
3)用户的误操作:网络信息安全威胁的一个重要原因,就是用户的安全意识不强,主要表现为:用户密码设置太简单,甚至随意将私人账号泄露给他人,等等,这些做法都很容易给使用的网络信息系统安全性带来比较严重的威胁。
4)黑客等的恶意攻击:人为恶意攻击,是当前网络信息系统面临的最大威胁之一。当前接受比较普遍的是将恶意攻击分为主动性攻击和被动性攻击两种。主动性攻击是以多种方式有选择、有针对性的破坏网络所传输数据、信息的完整性与有效性;被动性攻击则多是在不影响当前网络正常运行的情况下,通过秘密截获、窃取、破译等手段,达到获取机密信息的目的。这里的无论那一种攻击都有可能对网络信息系统造成大的危害,并有可能导致重要数据信息泄漏或者网络瘫痪。
5)计算机病毒的威胁:对于计算机病毒来说,它具有可存储、可隐藏和可执行等的特点,通常情况下不易被发现,也不会引起系统运行的异常,但是一旦触发即使计算机病毒程序运行起来,就会对计算机及网络系统造成不同程度的破坏。如“CIH”、“熊猫烧香”等病毒给网络及人们的生活带来了严重的损失。计算机病毒的威胁主要源于日常生活中使用的U盘、软盘、硬盘等外部设备以及网络,是计算机病毒传播的主要途径。
6)垃圾邮件和间谍软件等:垃圾邮件是指某一部分人利用电子邮件地址的“众所周之”性以及网络信息系统的“广播性”从事商业广告、宗教传播等活动,将自己的电子邮件强行的“推”到别人的电子邮箱中,迫使用户接受自己的邮件,从而导致计算机和网络系统的瘫痪。间谍软件与垃圾邮件或计算机病毒不同,它的目的在于窃取计算机、网络系统或者用户重要信息,目的不是破坏系统的正常运行,它对网络信息系统性能的影响比较少。
2网络信息安全威胁的防护策略
针对上述威胁,对于其防护我们可以如下几种策略:
1)加大使用账号、口令的安全强度:对于当前用户使用的账号、口令来说,其涉及面较广,种类也比较多;比较重要的通常包括系统登录账户、口令,电子邮件登录账户、口令,网银账户、口令,而获取用户的合法账户和口令是当前黑客恶意攻击网络系统中使用最多的方法之一。首先,我们可以对账户设置较为复杂的口令,如字母、数字、特殊符号等多种组合;其次,不同用途的账号、口令尽量不要相似甚至相同;最后,定期更换口令。这样我们就可以有效减少账户、口令泄漏的可能性。
2)为系统安装杀毒软件和防火墙:防火墙是当前一种有效加强不同网络之间访问控制的技术。它能够有效防止外网用户通过非法手段访问内网,保护内网资源和操作环境的安全。它能过检测通过防火墙的数据包来判断是否存在攻击性,一般情况下分为包过滤型、代理型、地址转换型和监测型几种,是当前保证内网安全的有效措施。而杀毒软件是当前网络用户使用最多的安全防护技术之一,它主要针对计算机和网络系统中存在的病毒而研发,可以有效防御木马及其他黑客程序的恶意入侵和攻击。但要想保证杀毒软件应用的有效性,必须及时升级,在升级到最新版本的情况下,才有可能实现及时防毒。
3)及时安装系统漏洞补丁程序:系统漏洞是来自外界网络攻击利用最多的弱点,它可能是计算机和网络系统中软件、程序的设计缺陷,也有可能是硬件功能设计、配置上的缺陷等。如今大多数黑客程序或病毒都是利用系统漏洞实现网络攻击的。比如:震荡波病毒、攻击波病毒等。为了弥补软件、程序设计、开发过种中存在的漏洞,及时消除安全隐患,不同软件厂商会根据出现的漏洞情况不定期发布补丁程序。这时就需要我们及时的为计算机和网络系统安装补丁程序,以及消除不必要的安全威胁。
4)入侵检测和网络监控技术的应用:入侵检测是近几年发展起来的一种相对比较有效的防范恶意攻击的技术,它综合采用了统计、网络通信、规则方法、人工智能、推理学以及密码学等先进的技术和方法,主要监控计算机和网络系统中是否存在被黑客、病毒等入侵的征兆。如:签名分析法和统计分析法。前者主要是用来监测针对系统已知弱点的攻击行为,实质上是一种针对已知攻击模式的模板匹配操作;而后者是以统计学为基础,是以当前计算机和网络系统正在使用的或者观察到的被确定为合理的动作模式为依据来判别某个动作是否偏离了已知模式,进而判断是不是已经遭受到了入侵或攻击。
5)文件加密技术的应用:文件加密技术,依据其在计算机和网络系统中发挥的作用不同可以分为数据传输、存储和完整性鉴别三种。数据传输加密技术,又可以分为线路加密和端对端加密。前者侧重在路线上回密,对信源和信宿关注较少;后者则是在发送端通过专用的加密软件对数据进行加密,然后数据的接收到使用专门密钥进行解密,如数据发生改变则接收者的密钥会失效证明数据在传输过程中可以遭受到攻击。数据存储加密技术则是为了防止数据在存储过程中遭受入侵或被病毒感染,导致数据信息失密;它有两种类型分别为存取控制和密文存储。存取控制主要是对用户的资格和权限予以审查和限制,防止非法用户对数据进行存取或者合法的用户进行越权数据存取操作;后者则是通过加密算法转换、附加特殊密码等方式对存储数据文件进行加密或者数字签名。数据完整性的鉴别则是通过验证信息传送、处理和存取过程中用户的身份和相关数据内容,确定是否达到保密要求,其包括对用户口令、身份、密钥、数据内容等的对比验证。
6)数字签名技术的应用:数字签名技术是解决当前网络系统安全问题最有效的方法之一,其通过对电子文档的验证和辨认,对数据的完整性、不可抵赖性和私有性有重要的保护作用。数字签名技术的实现一般有以下几种签名形式:1)一般数字签名。他是在使用单向散列数形成信息摘要MD的基础上签名。2)非对称加密和单向散列函数签名。此方法使用公钥和私钥分别对数据进行加密和解密,如果用公钥加密,只有对应私钥才能解密;如果用私钥加密,则只有对应公钥才能解密。3)对称加密算法签名。此方法也是使用密钥进行加密和解密,但与非对称加密不同的是使用的两个密钥是同一个,这就要求双方对密钥都要保密。4)不可抵赖签名。该种方法发送方和接收方的抵赖行为可以起到有效的遏制作用,适合通信要求较高的场合。5)时间戳签名。时间戳概念的引入有效减少了数据加解密的次数,减少了信息加密和解密确认的时间,保证了数据传输过程中的安全性和可靠性,也保证发送和接收两方的不可抵赖性。
3结束语
网络信息安全是一个不断变化、更新的领域。这就意味着单纯的运用某一种网络安全防护措施是不可能真正实现网络信息安全目的的。因此,我们只有综合运用多种防护技术与措施,最大程度的降低计算机和网络系统遭到入侵的可能性,从而建立起一个值得信任网络信息安全系统。
参考文献:
[1]邓斌,李新月.网络入侵检测系统方案探讨[J].山西财经大学学报,2011,(S4).
[2]冉爱民.网络信息安全问题的分析与防范[J].铜仁职业技术学院学报,2011,(05).