1引言
随着信息技术的发展和Internet技术的广泛应用,如今的网络已经成为人们生活中不可缺少的一部分,人们对信息网络系统的需求和依赖程度正在日益增加。与此同时,对网络安全的威胁也变得越来越严重。因此,分析影响网络安全的原因,提出保障网络安全的相关对策变得十分重要。Inter¬net的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全隐患。为了解决这些安全问题,各种各样的安全机制、安全策略和网络安全工具被人们开发和应用。
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要指保护网络系统的硬件、软件及其系统中的数据,不受偶然的或者恶意的原因破坏、更改和泄露,保证系统连续可靠正常地运行,网络服务不中断。
2计算机网络信息面临的安全威胁
网络存在着各式各样的安全威胁,常见的有自然灾害、网络系统本身的脆弱性、用户操作失误、人为的恶意攻击、计算机病毒、垃圾邮件和间谍软件、计算机犯罪等。
1)自然灾害
计算机信息系统仅仅是一个智能的机器,容易受到自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少使用计算机空间都没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也欠缺周到考虑,抵御自然灾害和意外事故的能力较差。
2) 网络系统本身的脆弱性
Internet技术的最显著优点是开放性。然而,这种广泛的开放性,从安全性上看,反而成了易受攻击的弱点。加上Internet所依赖的TCP/IP协议本身安全性就不高,运行该协议的网络系统就存在欺骗攻击、拒绝服务、数据截取和数据篡改等威胁和攻击。
3) 用户操作失误
用户安全意识不强,用户口令设置简单用户将自己的账号随意泄露等,都会对网络安全带来威胁。
4) 人为的恶意攻击
这种攻击是计算机网络面临的最大威胁。恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种方式有选择地破坏信息的有效性和完整性;被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息121。这两种攻击均可对计算机网络造成极大的危害,并导致重要数据的泄漏。现在使用的网络软件或多或少存在一定的缺陷和漏洞,网络黑客们通常采用非法侵入重要信息系统的手段,窃听、获取、攻击侵入有关敏感性的重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪给国家造成重大政治影响和经济损失。
5) 计算机病毒
计算机病毒是可存储、可执行、可隐藏在可执行程序和数据文件中而不被人发现,触发后可获取系统控制的一段可执行程序,它具有传染性、潜伏性、可触发性和破坏性等特点141。计算机病毒主要是通过复制文件、传送文件、运行程序等操作传播。在日常的使用中,软盘、硬盘、光盘和网络是传播病毒的主要途径。计算机病毒运行后轻则可能降低系统工作效率,重则可能损坏文件,甚至删除文件,使数据丢失,破坏系统硬件,造成各种难以预料的后果。近年来出现的多种恶性病毒都是基于网络进行传播的,这些计算机网络病毒破坏性很大,如“CIH病毒”、“熊猫烧香病毒”可谓是人人谈之而色变,它给网络带来了很严重的损失。
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息,威胁用户隐私和计算机安全,并可能小范围的影响系统性能。
7)计算机犯罪
通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
3常用的计算机网络信息安全防护策略
尽管计算机网络信息安全受到威胁,但是采取适当的防护措施就能有效地保护网络信息的安全。常用的计算机网络信息安全防护策略有:
1) 加强用户账号的安全
用户账号的涉及面很广,包括系统登录账号和电子邮件账号、网上银行账号等应用账号,而获取合法的账号和密码是黑客攻击网络系统最常用的方法。首先是对系统登录账号设置复杂的密码;其次是尽量不要设置相同或者相似的账号,尽量采用数字与字母、特殊符号的组合的方式设置账号和密码,并且要尽量设置长密码并定期更换。
2) 安装防火墙和杀毒软件
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以确定网络之间的通信是否被允许,并监视网络运行状态。根据防火墙所采用的技术不同,可将它分为:包过滤型、地址转换型、代理型和监测型。
包过滤型防火墙采用网络中的分包传输技术,通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
地址转换型防火墙将内侧IP地址转换成临时的、外部的、注册的IP地址。内部网络访问因特网时,对外隐藏了真实的IP地址。外部网络通过网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求代理型防火墙也称为代理服务器,位于客户端与服务器之间,完全阻挡了二者间的数据交流。当客户端需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据请求向服务器索取数据,然后再传输给客户端。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
监测型防火墙是新一代防火墙产品,所采用技术已经超越了最初的防火墙的定义。此类型防火墙能够对各层的数据进行主动的、实时的监测,通过分析这些数据,能够有效地判断出各层中的非法侵入。同时,监测型防火墙一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
个人计算机使用的防火墙主要是软件防火墙,通常和杀毒软件配套安装。杀毒软件是我们使用的最多的安全技术这种技术主要针对病毒,可以查杀病毒,且现在的主流杀毒软件还可以防御木马及其他的一些黑客程序的入侵。但要注意,杀毒软件必须及时升级,升级到最新的版本才能有效地防毒。
3) 及时安装漏洞补丁程序
漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等。美国威斯康星大学的Miller给出一份有关现今流行的操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷121。如今越来越多的病毒和黑客利用软件漏洞攻击网络用户,比如有名的攻击波病毒就是利用微软的RPC漏洞进行传播,震荡波病毒就是利用Windows的LSASS中存在的一个缓冲区溢出漏洞进行攻击。当我们的系统程序中有漏洞时,就会造成极大的安全隐患。为了纠正这些漏洞,软件厂商发布补丁程序。我们应及时安装漏洞补丁程序,有效解决漏洞程序所带来的安全问题。扫描漏洞可以使用专门的漏洞扫描器,比如COPS、tripwire>tiger等软件,也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁。
4) 入侵检测和网络监控技术
入侵检测是近年来发展起来的一种防范技术综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。分析法。签名分析法:用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名,编写到Ds系统的代码里,签名分析实际上是一种模板匹配操作。统计分析法:以统计学为理论基础,以系统正常使用情况下观察到的动作模式为依据来辨别某个动作是否偏离了正常轨道。
5)文件加密和数字签名技术
文件加密与数字签名技术是为提高信息系统及数据的安全保密性,防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一。根据作用不同,文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种。
数据传输加密技术主要用来对传输中的数据流加密,通常有线路加密和端对端加密两种。前者侧重在路线上而不考虑信源与信宿,是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,当这些信息到达目的地时,由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
数据存储加密技术的目的是防止在存储环节上的数据失密,可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方式对本地存储的文件进行加密和数字签名。后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
数据完整性鉴别技术主要是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,一般包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
数字签名是解决网络通信中特有安全问题的一种有效方法,它能够实现电子文档的辨认和验证,在保证数据的完整性、私有性、不可抵赖性方面有着极其重要的作用。数字签名的算法有很多,其中应用最广泛的是:Hash签名、DSS签名和RSA签名。
数字签名的实现一般有以下几种形式:1)一般数字签名。发送方A要给接收方B发送消息M,名。这样能确认信息的来源和保证信息的完整性,其工作流程如图1所示。2)用非对称加密算法和单向散列函数进行数字签名。此方法使用两个密钥(公开密钥和私有密钥)分别对数据进行加密和解密。如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改(流程见图2)。3)用对称加密算法进行数字签名。此方法所用的加密密钥和解密密钥通常是相同的,即使不同也可以很容易地由其中的任意一个推导出另一个。在此算法中,加、解密双方所用的密钥都要保守秘密。由于计算速度快而广泛应用于对大量数据库文件的加密过程中,如RD4和DES。4)接收方不可抵赖数字签名。这种方法既可以防止发送方的抵赖,也可以防止接收方的抵赖,适合通信要求比较高的场合。但是这种方法加密和解密次数过多,影响了数据传输的效率。5)基于时间戳的数字签名。该方法引入时间戳的概念,减少了数据加密和解密的次数,也减少了确认信息加密和解密的时间,并且在保证数据传输的可靠性、安全性和发送方、接收方都不可抵赖的情况下提高了数据加密、解密和传输的效率更适合数据传输要求较高的场合。数字签名技术作为信息安全的一项重要技术,其应用领域也日益广泛。
伴随着计算机网络的飞速发展,许多领域对数字签名技术提出了新的应用需求。目前应用于一些特殊场合具有特殊用途的数如防失败签名(Fail-stop)将防范拥有充足计算资源的攻击者;盲签?1994-2014ChinaAcademicJoumarEIectromc(BlindSignature)将更为广泛地用于选举投票和数字货币协议中;而群签名(Group-orientedSigna¬ture)在网上大规模的集团采购中会发挥更加重要的作用,将显著降低电子商务交易的成本,大大提高交易的效率。
4网络信息安全防护体系
随着攻击手段的不断演变,传统的依靠防火墙、加密和身份认证等手段已经满足不了要求,监测和响应环节在现代网络安全体系中的地位越来越重要,正在逐步成为构建网络安全体系中的重要部分,不仅是单纯的网络运行过程的防护,还包括对网络的安全评估,以及使用安全防护技术后的服务体系(如图3所示)。
5结语
网络信息安全是一个不断变化、快速更新的领域。这就意味着单纯运用某一种防护措施是无法保证网络信息安全的,我们必须综合运用各种防护策略,集众家之所长,互相配合,从而建立起网络信息安全的防护体系。因此,我们对网络信息安全的防护必须非常谨慎,最大程度地降低黑客入侵的可能,从而保护网络信息的安全。