网络信息安全与防御

网络信息安全与防御（共10篇）

网络信息安全与防御 篇1

1 网络信息安全的特征

网络信息系统是一个服务开放、信息共享的系统, 因而网络信息安全具有如下特征: (1) 安全的不确定性和动态性网络要受到来自内、外网不同身份、不同应用需求的用户访问使用, 其网络安全受到多方面因素的制约和影响。 (2) 综合性网络信息安全并非是个单纯的技术层面的问题, 它还涉及到内部管理、外部环境、用户水平等各个方面, 必然把每个环节紧密联系起来, 统筹考虑。 (3) 不易管理性网络信息安全相对于“用户至上”而言是相互矛盾的。因此, 网络信息安全与用户之间需要一个平衡, 通过不同技术的控制手段和管理相互结合来实现最佳效果。

2 网络信息安全的现状

2.1 计算机犯罪案件逐年递增

计算机犯罪对全球造成了前所未有的新威胁, 犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。我国自1986年深圳发生第一起计算机犯罪案件以来, 计算机犯罪呈直线上升趋势, 犯罪手段也日趋技术化、多样化, 犯罪领域也不断扩展, 许多传统犯罪形式在互联网上都能找到影子, 而且其危害性已远远超过传统犯罪。计算机犯罪的犯罪主体大多是掌握了计算机和网络技术的专业人士, 甚至一些原为计算机及网络技术和信息安全技术专家的职业人员也铤而走险, 其犯罪所采用的手段则更趋专业化。他们洞悉网络的缺陷与漏洞, 运用丰富的电脑及网络技术, 借助四通八达的网络, 对网络及各种电子数据、资料等信息发动进攻, 进行破坏。

2.2 计算机病毒危害突出

计算机病毒是一种人为编制的程序, 能在计算机系统运行的过程中自身精确地拷贝或有修改地拷贝到其他程序体内, 给计算机系统带来某种故障或使其完全瘫痪, 它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。随着互联网的发展, 计算机病毒的种类急剧增加, 扩散速度大大加快, 受感染的范围也越来越广。据粗略统计, 全世界已发现的计算机病毒的种类有上万种, 并且正以平均每月300-500的速度疯狂增长。计算机病毒不仅通过软盘、硬盘传播, 还可经电子邮件、下载文件、文件服务器、浏览网页等方式传播。近年来先后爆发的CIH病毒、爱虫病毒、求职信病毒、尼姆达病毒等对网络造成的危害极大, 许多网络系统遭病毒感染, 服务器瘫痪, 使网络信息服务无法开展, 甚至于丢失了许多数据, 造成了极大的损失。

2.3 黑客攻击手段多样

网络空间是一个无疆界的、开放的领域, 无论在什么时间, 跨部门、跨地区、跨国界的网上攻击都可能发生。目前世界上有20多万个黑客网站, 其攻击方法达几千种之多, 每当一种新的攻击手段产生, 便能在一周内传遍世界, 对计算机网络造成各种破坏。在国内经济、金融领域, 黑客通过窃取网络系统的口令和密码, 非法进入网络金融系统, 篡改数据、盗用资金, 严重破坏了正常的金融秩序。在国家安全领域内, 黑客利用计算机控制国家机密的军事指挥系统成为可能。

3 网络信息系统的安全防御

3.1 防火墙技术

根据CNCERT/CC调查显示, 在各类网络安全技术使用中, 防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜, 易安装, 并可在线升级等特点。防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。因而防火墙的主要作用是定义了唯一的一个瓶颈, 通过它就可以把未授权用户排除到受保护的网络外, 禁止脆弱的服务进入或离开网络, 防止各种IP盗用和路由攻击, 同时还可以提供必要的服务。

3.2 认证技术

认证是防止主动攻击的重要技术, 它对开放环境中的各种消息系统的安全有重要作用, 认证的主要目的有两个:①验证信息的发送者是真正的:②验证信息的完整性, 保证信息在传送过程中未被窜改、重放或延迟等。目前有关认证的主要技术有:消息认证, 身份认证和数字签名。消息认证和身份认证解决了通信双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收, 以及防止本人事后否认已进行过的发送和接收活动, 数字签名使用的是公钥密码技术RSA非对称加密法, 安全性很高。

3.3信息加密技术

加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密, 两种方法各有所长, 可以结合使用, 互补长短。对称密钥加密, 加密解密速度快、算法易实现、安全性好, 缺点是密钥长度短、密码空间小、“穷举”方式进攻的代价小。非对称密钥加密, 容易实现密钥管理, 便于数字签名, 缺点是算法较复杂, 加密解密花费时间长。加密技术中的另一重要的问题是密钥管理, 主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。

4 结语

随着网络和计算机技术日新月益的飞速发展, 新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新, 从而使网络的信息能安全可靠地为广大用户服务。

摘要：网络信息安全事关国家安全、社会稳定、经济发展和文化建设等各个领域, 已经成为全球关注的热点问题。如果一个国家不能保证网络信息在采集、存储、传输和认证等方面的安全, 就不可能获得信息化的效率和效益, 其社会经济生活也难以健康有序地进行, 国家安全更无法保障。当前我国网络信息安全现状不容乐观, 人们要正确对待信息化进程中所引起的负面影响, 采取积极对策, 保障我国网络信息的安全。

关键词：网络,安全,保护

参考文献

[1]李俊宇.信息安全技术基础[M].北京:冶金工业出版社, 2004.

[2]郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报, 2003, (3) .

[3]柳国胜.计算机网络的安全管理[J].宝鸡文理学院学报, 2001, (2) .

计算机网络信息安全防御技术研究 篇2

【关键词】计算机网络；安全；黑客；防火墙；网络信息

【中图分类号】TP393.08【文献标识码】A【文章编号】1672-5158（2013）02-0131-01

网络安全问题是一个非常复杂的综合问题。在现实环境下，各种网络安全漏洞不是单一存在的，一个计算机网络往往同时存在口令、协议等诸多漏洞，而攻击者也常常采用多种攻击方式对网络进行攻击。因此，采用单一的安全技术措施远远不能满足要求，必须在综合运用防火墙、数据加密、数字签名等技术手段的同时，对相关人员进行安全意识及安全措施方面的培训，并在制度规范等诸多方面加强管理。只有从技术、人员、制度和管理全方位入手，才有可能解决好网络安全问题，使计算机网络在保证安全的前提下，为我们的工作和生活提供最大的便利。

1 计算机网络信息面临的威胁

1.1 人为因素

（1）来自黑客的威胁。近些年来，计算机网络上黑客攻击的事件正凸显出日益增加的趋势，一些具有高智商、专业特长的黑客非法入侵他人系统，以窃听、盗取、攻击等手段获取重要信息，修改、监听或者破坏网络信息，造成重要数据泄漏或者网络瘫痪，给国家带来非常大的负面影响和巨大的经济损失。

（2）计算机病毒

自从20世纪90年代开始，计算机病毒的数量和危害程度正以惊人的速度增长，每年带来的经济损失已经超过了70亿美元。现在，随着智能手机性能的提高和普及，手机病毒也也开始威胁到人们的信息安全，具有隐蔽性更高、带来的损失更直接、能够窃取用户的私密信息等特点。

（3）钓鱼攻击

很多网络用户都会都到过一些类似的邮件或者信息，比如说某些中奖信息、大型购物网站的购货通知或者网上银行的提示信息等等，有些用户会误认为是真的，点开发来的链接并按照要求填写钓鱼网站提供的表格。这些表格内容会包括信用卡账号、密码、个人资料等私密信息，中招的用户会在不知情的情况下将这些重要信息泄露。

2、网络信息安全的常用技术策略

不安全的网络一旦遭到恶意攻击， 将意味着一场灾难。网络信息安全是一项系统工程， 针对来自不同方面的安全威胁， 需要采取不同的安全对策。需要从法律、制度、管理和技术上采取综合措施， 以便相互补充，达到较好的安全效果。目前， 技术措施仍是最直接的屏障， 常用而有效的网络信息安全技术策略有如下几种：

2.1 物理安全

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作； 确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏（ 即 TEMPEST 技术） 是物理安全策略的一个主要问题。目前主要防护措施有两类： 一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器， 减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护， 这类防护措施又可分为以下两种： 一是采用各种电磁屏蔽措施， 如对设备的金属屏蔽和各种接插件的屏蔽， 同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离； 二是干扰的防护措施， 即在计算机系统工作的同时， 利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2.2 访问控制

访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。

2.3 数据加密

数据加密方法多种多样， 在网络信息中一般是利用信息变换规则把明文的信息变成密文的信息。既可对传输信息加密， 也可对存储信息加密， 把计算机数据变成一堆乱七八糟的数据， 攻击者即使得到经过加密的信息， 也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。

2.4 数字签名

数字签名机制提供了一种鉴别方法， 以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议， 使得收发数据的双方能够满足两个条件： 接受方能够鉴别发送方宣称的身份； 发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术， 发送方对整个明文进行加密变换， 得到一个值， 将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算， 如其结果为明文， 则签名有效，证明对方身份是真实的。

2.5 鉴别

鉴别能提供对传输报文数据的有效性及完整性的验证， 他是数据保密的一部分。他允许每一个通信者验证收报文的来源、内容、时间性和规定的目的地址。

2.6 通信及文件保密

在计算机网络中， 通信保密分为链路加密、结点加密和端端加密。在这3种方式中， 端对端加密从成本、灵活性和保密性方面看是优于其他两种方式的。端对端加密指的是在发送结点加密数据， 在中间结点传送加密数据（ 数据不以明文出现），而在接受结点解密数据。而对于网络中的重要资源是文件， 网络安全系统一般采用口令、访问控制等安全措施， 但这些措施抗渗透性不强， 容易被伪造、假冒， 从而使非法用户侵入文件系统， 针对这种攻击， 必须采用文件加密来保护。这样， 即使非法用户获得了文件， 也无法看懂， 只有文件的合法使用者用自己的秘密密钥，才能看到文件的真实原文。

2.7 防火墙

防火墙作为内部网络与外部网络之间的第一道安全屏障，是近期发展起来的一种保护计算机网络安全的技术性措施， 它是一个用以阻止网络中的黑客访问某个机构网络的屏障， 也可称之为控制进/出两个方向通信的门槛， 是最先受到人们重视的网络安全技术， 是实施安全防范的系统， 可被认为是一种访问控制机制， 用于确定哪些内部服务允许外部访问， 以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络， 以阻档外部网络的侵入。另外， 计算机病毒的预防和诊治通常采用病毒检测和消毒软件、病毒"疫苗"（ 比如防病毒卡） 、"广谱型"防病毒系统、固化可信程序（ 比如安全无毒的操作系统、编译程序等） 等技术。由于计算机病毒种类不断增加， 侵入能力越来越强， 因此很难设计出一个能检查和诊治计算机病毒的通用程序， 这就要特别强调法律和行政措施， 加强管理， 实现计算机生产的完全国产化， 防止病毒传染源， 只有从技术、管理、生产等方面兼防， 才能有效地对付计算机病毒。

结束语

在网络信息化时代，网络安全已越来越受重视了。虽然现在用于网络安全防护的产品有很多，但是黑客他们仍然无孔不入，对社会造成了严重的危害。根本原因是网络自身的安全隐患无法根除，这就使得黑客进行入侵有机可乘。尽管如此，随着网络安全技术日趋完善，降低黑客入侵的可能性，使网络信息安全得到保障。如何把握网络技术给人们带来方便的同时，又能使信息安全得到保证，这将是我们培养新一代网络管理人员的目标。

参考文献

[1] 倪超凡.计算机信息系统安全技术初探[J].赤峰学院学报，2009（12）：45-46.

[2] 任志勇，张洪毅，孟祥鑫.网络信息安全技术的发展[J].信息与电脑，2009（8）：91-93.

浅论网络信息安全与防御 篇3

网络安全的具体含义会随着“角度”的变化而变化。比如;从用户 (个人、企业等) 的角度来说, 他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护, 避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐, 同时也避免其它用户的非授权访问和破坏。

从网络运行和管理者角度说, 他们希望对本地网络信息的访问、读写等操作受到保护和控制, 避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁, 制止和防御网络黑客的攻击。从社会教育和意识形态角度来讲, 网络上不健康的内容, 会对社会的稳定和人类的发展造成阻碍, 必须对其进行控制。

从本质上来讲, 网络安全就是网络上的信息安全, 是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。广义来说, 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。

二、典型的网络攻击方式

1、病毒的侵袭

几乎有计算机的地方, 就有出现计算机病毒的可能性。计算机病毒通常是隐藏在文件或程序代码内, 伺机进行自我复制, 并能够通过网络、磁盘、光盘等诸多手段进行传播。

2、黑客的非法闯人

黑客的非法闯入是指黑客利用企业网络的安全漏洞, 不经允许非法访问企业内部网络或数据资源从事删除复制甚至毁坏数据的活动。攻击者利用已知的系统漏洞, 如CGI asp漏洞、“.ida/.idq”I-IS4.0/IIS5.0远程溢出、unicode编码二次漏洞、“Tomcat 4.0-b2”两次解码漏洞、Sql server空口令等进行攻击。

3、数据“窃听”和拦截

这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。窃听工作因为网络的特性使然, 如以太网络本身就是以广播方式传递信息的, IP协议中的路由器也能取得使用者传送的资料。目前多数网络仍以安全性较差的方式提供服务, 广泛使用的收信协议, 使用者账号、密码、邮件等资料, 全都可以使用窃听方式取得。

4、拒绝服务

拒绝服务的目的在于瘫痪系统, 并可能取得伪装系统的身份。拒绝服务通常是利用系统提供特定服务时的设计缺陷, 消耗掉大量服务能力, 若系统设计不完善, 也可能造成系统崩溃。而分布式的拒绝服务, 则进一步利用其他遭侵入的系统同时要求大量的服务。拒绝服务攻击发生时, 系统通常并不会遭到破解, 但该服务会丧失有效性。

5、电子商务攻击

从技术层次分析, 试图非法入侵的黑客, 或者通过猜测程序对截获的用户账号和口令进行破译, 以便进入系统后做更进一步的操作或者利用服务器对外提供的某些服务进程的漏洞, 获取有用信息从而进入系统;或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令侵入系统。

6、网络欺骗

包括ARP欺骗和域名欺骗。ARP欺骗往往应用于一个内部网络, 进一步扩大一个已经存在的网络安全漏洞。ARP欺骗主要是利用ARP协议漏洞更改主机的ARP表。域名欺骗是攻击者通过某种方法 (比如攻破DNS服务器, DNS欺骗, 控制路由器) 把目标机器域名对应的IP指到攻击者所控制的机器, 这样所有外界对目标机器的请求将涌向攻击者的机器, 这时攻击者可以转发所有的请求到目标机器, 让目标机器进行处理。把攻击者的机器设成目标机器的代理服务器, 这样, 所有外界进入目标机器的数据流都在攻击者的监视之下了, 攻击者可以任意窃听甚至修改数据流里的数据, 收集到大量的信息。

7、缓冲区溢出攻击

通过往程序的缓冲区写超出其长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 使程序转而执行其他指令, 以达到攻击的目的。它分为基于栈的缓冲区溢出、格式串溢出和基于堆的缓冲区溢出。2.6恶意代码这类攻击可能会使系统执行特定的程序, 引发严重的灾情, 主要包括病毒、蠕虫、木马及其他后门程序等。

8、暴力破解

就是从口令候选器中一个一个选取单词, 或用枚举法选取, 然后用各种各样的加密算法进行加密再比较, 一致则猜测成功。防范暴力破解的措施有加大密码长度、定期更换密码和使用标准的口令原则 (即数字、英文、特殊字符混用) 等。

三、网络安全防范

1、做好基础性的防护工作

服务器安装干净的操作系统, 不需要的服务一律不装, 多一项就多一种被入侵的可能性, 打齐所有补丁, 有的网络有硬件防火墙, 当然好, 但仅仅依靠硬件防火墙, 并不能阻挡hacker的攻击, 利用反向连接型的木马和其他的办法还是可以突破硬件防火墙的阻挡。

2、修补所有已知的漏洞

未知的就没法修补了, 所以要养成良好的习惯, 就是要经常去关注。了解自己的系统, 知彼知己, 百战百胜。所有补丁是否打齐, 比如mssql, server-U, 论坛程序是否还有漏洞, 系统开了哪些服务, 开了哪些端口, 目前开的这些服务中有没有漏洞可以被黑客应用, 经常性的了解当前黑客攻击的手法和可以被利用的漏洞, 检查自己的系统中是否存在这些漏洞。

3、服务器的远程管理

相信很多人都喜欢用server自带的远程终端, 简洁速度快。但对于外网开放的服务器来说, 就要谨慎了, 要想到自己能用, 那么这个端口就对外开放了, 黑客也可以用, 所以也要做一些防护了。一是用证书策略来限制访问者, 给TS配置安全证书, 客户端访问需要安全证书。二是限制能够访问服务器终端服务的IP地址。三是可以在前两者的基础上再把默认的3389端口改一下。当然也可以用其他的远程管理软件, pcanywhere也不错。

四、网络安全防范技术

1、防火墙技术

根据CNCERT/CC调查显示, 在各类网络安全技术使用中, 防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜, 易安装, 并可在线升级等特点。防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。因而防火墙的主要作用是定义了唯一的一个瓶颈, 通过它就可以把未授权用户排除到受保护的网络外, 禁止脆弱的服务进入或离开网络, 防止各种IP盗用和路由攻击, 同时还可以提供必要的服务。

2、信息加密技术

加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密, 两种方法各有所长, 可以结合使用, 互补长短。对称密钥加密, 加密解密速度快、算法易实现、安全性好, 缺点是密钥长度短、密码空间小、“穷举”方式进攻的代价小。非对称密钥加密, 容易实现密钥管理, 便于数字签名, 缺点是算法较复杂, 加密解密花费时间长。加密技术中的另一重要的问题是密钥管理, 主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。

3、网络安全漏洞扫描技术

漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口, 并记录目标的响应, 收集关于某些特定项目的有用信息, 如正在进行的服务, 拥有这些服务的用户是否支持匿名登录, 是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序。扫描程序是一个强大的工具, 它可以用来为审计收集初步的数据。在任何一个现有的平台上都有几百个熟知的安全脆弱点, 人工测试单台主机的这些脆弱点要花几天的时间, 而扫描程序可在很短的时间内就能解决这些问题。扫描程序开发者利用可得到的常用攻击方法, 并把它们集成到整个扫描中, 输出的结果格式统一, 容易参考和分析。

4、网络入侵检测技术

试图破坏信息系统的完整性、机密性、可信性的任何网络活动, 都称为网络入侵。入侵检测 (In-trusion Deteetion) 的定义为:识别针对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程。它不仅检测来自外部的入侵行为, 同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略, 它所提供的数据不仅有可能用来发现合法用户滥用特权, 还有可能在一定程度上提供追究入侵者法律责任的有效证据。

5、其它防范措施

(1) 备份和镜像技术

用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施, 它是指对需要保护的数据在另一个地方制作一个备份, 一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。

(2) 防病毒技术

为使计算机系统免遭病毒的威胁, 除了建立完善的管理措施之外, 还要有病毒扫描、检测技术, 病毒分析技术, 软件自身的防病毒技术, 系统防病技术, 系统遭病毒破坏后的数据恢复技术, 以及消除病毒的工具及其技术等。

结语

网络的安全是一项复杂的长期性的系统工程, 不是单一的产品和技术可以完全解决的。这是因为网络安全包含多个层面, 既有层次上的划分、结构上的划分, 也有防范目标上的差别, 层次上涉及到网络层、传输层、应用层的安全等, 在结构上不同结点考虑的安全是不同的。制定适当完备的网络安全策略是实现网络安全的前提, 高水平的计算机网络安全技术是保证。

参考文献

[1]邵波.计算机网络安全技术及应用[M].北京:电子工业出版社.2005[1]邵波.计算机网络安全技术及应用[M].北京:电子工业出版社.2005

[2]刘宏毅《分析与探讨网络信息安全与防范技术》.现代情报.2004.4[2]刘宏毅《分析与探讨网络信息安全与防范技术》.现代情报.2004.4

网络信息安全与防御 篇4

关键词：医院 网络安全 防御 软件 硬件 操作 维护

一、医院计算机网络安全隐患的来源分析

（一）软件风险

互联网最常见的特征就是他具有开放性的特征。虽然医院内部采取很多方法来防止防御黑客攻击以及非法入侵等外界因素，但是，现在我国的黑客已经逐渐“专业化、集团化”，假如说，黑客被人收买，进而对医院的网络系统进行侵袭，那么，这就必然给医院的计算机系统的数据安全带来严重的威胁。其手段往往首先采取的就是利用软件程序、系统漏洞来获得入侵的机会。比如从最初的放置特洛伊木马程序、制造传播病毒，到当前多见的利用制造逻辑炸弹、系统漏洞、恶意软件等手段。可以说，这些手段的发展，几乎与计算机网络安全技术同步发展。致使医院计算机网络系统必须时刻提高对安全隐患的防范。

（二）硬件风险

硬件风险是指医院计算机及网络设备因各种突发灾害、运行环境或硬件本身的缺陷、故障导致系统不能正常工作而带来的风险。由于不可抗力，如火灾、水灾、雷击、电磁、温度等，尽管这些意外的灾害现象不多，但是一旦出现，就会给医院计算机系统资源带来严重的后果。同时，比较常见的，比如供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断，同样会给医院计算机及网络系统带来风险。另外，从医院计算机网络维护与管理角度来说，计算机机房管理中如果技术手段不过关，如；计算机及网络设计没有可靠接地、缺乏防雷防尘设备、接触不良、设备老化等，同样给计算机硬件带来损害，以致缩短计算机运行寿命给系统带来风险。

（三）操作风险

医院计算机网络安全隐患，除了来自硬件和软件两方面以外，还有来自操作的风险。由于医院工作人员信息技术素质层次不齐，一旦操作不当，必然会在使用医院计算机网络系统过程中给系统带来风险。比如尽管医院计算机使用管理中禁止员工私自安装各种软件和插件，但这种现象仍然存在；又如，通过移动存储设备来复制资料，在不知不觉中使病毒植入医院计算机系统当中。因此，员工在使用计算机过程中，期操作是否规范，是否遵照医院计算机网络使用管理条列，将直接影响到医院计算机网络的安全风险。

二、医院计算机网络安全隐患的防范对策

（一）加强对计算机网络硬件设备的安全维护

对医院计算机网络硬件设备加强管理与维护，主要从两方面着手开展工作：首先，应加强计算机硬件及网络设备的管理。从技术层面来看，好的设备还需要运用得当才能发挥出最佳运行效果。因此网络建设技术处理是否得当，将直接影响到医院计算机网络系统运行是否流程、稳定。这也是我们广大计算机工作者需要不断努力的方向之一。另一方面，要加强对医院中央机房的维护与管理工作。计算机机房的日常管理，是保证网络系统稳定运行的关键环节。要使机柜及服务器环境保持清洁，机房温度要保证正常，定期检查安全日志等。做好这些日常管理工作，有助于维护系统的稳定性，延长其使用寿命。

（二）提高医院计算机系统软件的开发与应用水平

医院应重视应用软件的开发研制工作。要结合本单位的业务需要，从实际出发，把医院信息化建设提高到战略高度进行工作部署。在清除了业务需要之后，就会清楚本单位需要构建什么样的网络，应当进行哪方面的软件开发与研制，从而不断提高编写的软件程序的安全性和可靠性。当然，在日常的数据处理过程中，一定要做好数据备份，确保数据安全。对数据库本身的安全脆弱问题，更要做相应的处理，对数据要进行多重备份、异地异处存放，以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段，以保证数据信息的完整性。

（三）提升对医院职工使用计算机网络的安全教育

职工在使用计算机网络过程中，其操作规范应当在医院相应的规章制度中得以体现。但我们不能将制定的网络安全管理制度形同虚设，一定要落到实处，防止意外的发生。因此，要加大对医院职工使用计算机网络的安全教育，增强他们的信息安全意识。同时，很有必要对计算机网络管理人员进行网络安全防护意识教育，使他们清楚自己的职责，提高他们的业务水平，从而为医院计算机网络系统安全提供重要保障。

（四）电脑系统的环境条件

电脑系统要想安全、稳定的运行，就必须对湿度、温度、空气洁净度、冲击、电气影响、虫害等多个方面加强关注，并且根据具体的标准和要求严格执行。

（五）合理使用密码

使用密码技术的是保障目前电脑网络安全的关键方法，实施密码设置可以显著的加强电脑信息安全的完整性。比如经过身份实名认证与设置密码相结合的双重验证模式可以更好的保证电脑网络信息的安全性，目前的密码技术包含有公钥密码方式、单钥密码方式、数字签名、以及密钥管理等等。

三、结语

综上所述，在互联网时代，计算机网络为提高医院管理水平，提高工作效率和社会效益方面起到了巨大的推动作用。但同时也带来了安全威胁与风险。因此，医院应树立正确的认识，认识到医院计算机网络安全隐患的防范，是一个整体和全面的技术问题，同时也是一个长期和动态的过程。我们不可能做到一劳永逸的，需要从技术、管理两个层面来加以防范，这样才能实现提高医院计算机网络安全性的目的。

参考文献：

[1]洪小坚.浅谈计算机的网络安全应用及防御措施[J].计算机光盘软件与应用，2013，02：181-18

[2]王一飞.让医院的安全防御“动起来”医院信息安全建设思路[J].医学信息（中旬刊），2011，04：1615-1616

[3]白雪.计算机网络安全应用及防御措施的探讨[J].计算机光盘软件与应用，2012，01：56+55

[4]战红君.计算机网络防御措施模型[J].硅谷，2012，12：12+58

网络信息安全与防御 篇5

1.1个人与商业组织的侵权行为

个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;未经授权而进入他人计算机系统收集、窃取信息资料或骚扰他人;未经授权截取、复制他人正在传递的电子信息。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息资料,利用他人隐私,为广告商滥发垃圾邮件。将收集的个人信息资料转让、出卖给他人或其他公司以谋利,或是用于其他商业目的。

1.2部分软硬件设备供应商的蓄意侵权行为

某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,从而轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。

1.3网络提供商的侵权行为及网络所有者的监视

(1)互联网服务提供商(ISP)的侵权行为:(1)ISP具有直接故意或间接故意,直接侵害用户的隐私权。例:ISP将客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。(2)ISP对他人在网站上发表侵权信息应承担责任。(2)互联网内容提供商(ICP)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP应当承担相应的过错责任。

二、信息侵犯问题产生的原因

1.互联网的开放性。网络是一个自由、开放的世界,由于互联网成员的多样和位置的分散,一些人或组织通过对某个关键节点的扫描跟踪来窃取用户信息,使搜集个人隐私极为方便,也为非法散布隐私提供了一个大平台。

2.网络小甜饼cookie。Cookie主要包含用户的相关信息,现在许多网站在进入网站时,将cookie放入用户电脑,掌握用户在网站上看过哪些内容,买过什么,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。

3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:告知用户在申请或开始使用服务时可能带来的对个人权利的危害;需采取必须的步骤和技术保护个人的权利;匿名访问及参加一些活动的权利。目前,网上的许多服务都是免费的,如免费下载软件、阅读下载资料、免费注册会员、免费咨询服务等,当接受这些免费服务时,需用户提供姓名、联系方式、地址、兴趣爱好等信息资料,然服务商就存在着将这些信息挪作他用甚至出卖的可能。

三、针对信息安全的对策

1.加强网络隐私安全管理及网络隐私安全人才的培养。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,培养专业技术人才,制定宏观政策,实施重大决定。

2.开展网络隐私安全立法和执法、网络基础设施建设和网络风险防范机制。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。在网络建设中,建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等,来提高网络信息安全。在网络经营中,因为安全技术滞后等原因,往往会使电子商务陷于困境,这就需建立网络风险防范机制。同时,建议网络经营者可以在保险标的范围内允许标保的财产进行标保,降低风险。

3.强化网络技术创新,建立网络规范标准。统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。网络没有统一的规范标准,就不能互连、互通、互动,也难以形成网络安全产业规模。目前,国际上出现许多关于网络隐私安全的规范标准,目的就是要在统一的网络环境中保证隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,也要拿出既符合国情又顺应国际潮流的规范标准。

结束语:信息安全技术是一门还没有得到足够重视的技术,本文虽然做了一些有益的探索和归纳总结,却是远远不够的。随着网络应用的不断深入,信息安全技术跻身于计算机安全中的依赖性将会越来越明显,信息安全系统的用户需求也将越来越迫切,因此,它必须引起人们的重视,并更加深入地研究。

参考文献

[1]王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2015,02:72-84.

[2]尹建国.美国网络信息安全治理机制及其对我国之启示[J].法商研究,2013,02:138-146.

网络信息安全与防御 篇6

信息网络依其信息共享灵活便捷、信息交互快速畅通等优势而得到广泛应用,但其面临的安全挑战也日益严峻。如何构建安全有效的防护体系,已成为网络应用亟需解决的问题。构建信息网络安全防御体系,其目标就是要保障用户网络活动的安全性。本文根据用户网络活动的层次性将网络防御划分为网络、主机、应用和数据等四个层次,该层次结构至下往上支撑起用户的网络活动。基于网络防御层次的结构划分方法,本文研究建立起信息网络安全防御体系结构,并系统研究分析了各层次的安全防御技术特征,为构建综合有效的信息网络安全防御体系提供了理论和方法支撑。

2 信息网络安全防御体系设计

根据用户网络活动的层次结构,信息网络从底层基础到上层应用可以划分为网络、主机、应用和数据等四个层次,这四个层次全面覆盖了用户网络活动的全部阶段。基于网络应用的层次划分结构,有针对性地部署应用相关的安全防护技术,可以由此建立起层次化的信息网络安全防御体系,如图1所示。

信息网络安全防御体系主要包括四个层次,即网络防御层、主机防御层、应用防御层和数据防御层四个方面。每一个防御层次主要包括防御功能和防御技术两部分,防御功能分布按照不同防御层特点,采用根据层次软件功能等类别进行划分。防御技术则按照每个层次的主要安全防护技术进行划分。

3 信息网络安全防御技术体系

3.1 网络防御层

网络防御层主要针对信息网络安全防御体系中的网络边界进行防护,根据网络层次结构划分及防护层面的不同,主要包括应用层、传输层和网络层的分层防御功能。主要的防御技术包括协议分析、模式匹配和包过滤等基本技术。

网络安全层面从本质上来讲就是保障网络信息安全,其防御目标旨在采取有效的安全措施保护网络信息不被破坏、篡改和泄露,保护联网计算机系统免受侵扰。但因为网络上信息传播方式存在多样性、广泛性和难追溯性等特点,使得网络极易遭受攻击,因此必须采取一定的安全措施来抵御这些恶意攻击。同时,因为网络信息的安全会在很大程度上影响受保护主机和应用系统的安全,故网络安全是信息网络安全防御体系中最重要的组成部分,是构建信息网络安全防御体系的基础。只有构建起有效的网络安全基础,才能支撑起上层主机和应用的安全防御。

3.2 主机防御层

主机防御层的防护功能主要是通过主动防御、病毒查杀和防火墙防护等三个层面,并通过各自对应软件实现。主要的防护技术包括安全审计、访问控制、主动行为防御、特征码查杀和软件防火墙保护等。

主机层面主要针对操作系统平台进行安全防御,在操作系统平台上通过部署防火墙软件、杀毒软件和主动防御软件等实现防御策略,主机防护主要采用的技术包括:软件防火墙防护、病毒特征码查杀、主动行为防御访问控制及安全审计等。

主机(包括终端和服务器)是信息系统的重要组成部分,承担着信息的存储和处理工作。由于主机是信息泄露的源头,也是各类攻击的最终目标,因此主机的安全关系到整个信息系统中信息的安全,主机安全建设是信息系统安全建设的重要内容。

主机层面的安全主要涉及到操作系统安全和数据库安全, 通常通过部署和实施操作系统自身安全配置相关安全软件和第三方安全设备来实现。目前,运行在主机上的主流操作系统有Windows、Linux、Sun Solaris,IBM AIX和HP-UX等。这些不同类型的操作系统在应用过程中,因为网络技术的飞速发展和网络应用的日益广泛,其主机安全问题也日益暴露出来,各种类型的恶意软件程序层出不穷,导致主机上的数据信息极易遭受破坏。此外,对于那些安装了此类操作系统的服务器,因为保存有更为关键的数据信息,其对主机层面的安全防御会提出更高的要求。

3.3 应用防御层

应用层面主要防范功能用于防御应用程序被恶意程序篡改, 及利用应用软件漏洞进行恶意程序的植入应用层面的安全防御技术可通过数字签名验证技术、漏洞利用防范技术来实现。

应用层主要包括各种类型的信息系统使用工具。借助应用系统, 用户才能对数据和信息进行操作和使用在网络和主机系统安全防护的基础上,应用安全成为信息系统整体防御的又一道防线。应用安全是指信息在应用过程中的安全,也就是信息的使用安全。应用层面的安全目的是要保证信息用户的真实性,信息数据的机密性、完整性和可用性,以及信息用户和信息数据的可审性,以对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。这就需要对不同的应用安全漏洞进行检测, 采取相应的安全措施降低应用的安全风险信息系统应用层的安全防御,其总的目标就是确保在大规模部署试用应用软件且应用复杂度急剧升高的情况下,能够及时发现并解决系统中存在的安全漏洞,并采取有效的修正和完善措施,从而有效降低系统面临的安全风险。应用层面安全防御的目标侧重于设计开发出来的系统是否安全。虽然这些安全目标都源自于网络安全和主机安全,但因为其实现方式的不同,所以更加依赖于在开发出来的系统中予以解决。

3.4 数据防御层

数据层的防御目标主要是防止非授权用户对数据的非法访问,包括对磁盘分区中文件的访问,以及对数据库文件的访问。该层次主要的防御措施是通过加密和访问控制实现对数据访问用户和访问权限的控制,并且在数据存储过程中使用加密技术来保护数据的安全。数据层的主要技术措施包括三个方面数据完整性、数据保密性与数据的备份和恢复。

因为数据是用户使用网络的最终访问和操作对象所以数据层面的安全是计算机信息安全系统的最终目的和核心目标。计算机系统的相关安全防御措施,其最终目的都是为了保证系统中数据在应用、存储和传输和处理等过程中的安全性,以实现数据的机密性、完整性可控性和不可否认性,并可以进行数据备份和恢复。该层次的主要安全防护技术包括: 数据完整性校验技术加密技术及备份与恢复技术。

4 结束语

网络信息的安全和防御 篇7

网络信息安全包含三个基本要素。一是保密性,即保证信息为授权者享用而不泄露给未经授权者。二是完整性,即数据的完整性(未被未授权篡改或损坏)和系统的完整性(系统未被非授权操纵,按既定的功能运行)。三是可用性,即保证信息和信息系统随时为授权者提供服务,而不要出现非授权者滥用却对授权者拒绝服务的情况。实际上,计算机网络信息安全,就是通过采用各种技术措施和管理措施确保网络系统的正常运行,从而保证网络信息和数据的完整性、保密性和可用性,其目的是防止网络传输后的信息和数据不会发生改变和泄露。

网络信息系统是一个开放的信息共享的系统,因此网络信息系统在接受不同需求的用户访问时存在很大的安全隐患。网络信息的安全问题并不是单纯的技术问题,它包含了技术及管理等多个方面。因此,在网络信息安全问题上要综合考虑,在用户与安全之间寻找平衡点,通过技术和管理手段实现最佳安全效果。

2 影响网络及网络信息安全的主要因素

对计算机和网络信息安全造成威胁的可分为两类:一是对网络本身的威胁,即这种威胁是针对网络设备和网络软件系统平台的;二是对网络中信息的威胁,即这种威胁是针对网络中的数据以及处理这些数据的信息系统和应用软件的。

影响计算机网络信息安全的因素有很多,其中一个主要的因素是来自于用户在操作中的失误,如口令选择不慎,随意将自己的账户借给他人或与他人共享等等,这些都会对网络信息安全造成威胁。然而,计算机网络信息安全所面临的最大威胁则来自于人为的恶意攻击。这种人为攻击分两种,一是主动攻击,即以各种方式对系统和数据的有效性和完整性进行有选择性的破坏。二是被动攻击,即在不影响网络和系统正常运行的情况下,对重要的机密信息进行截获和窃取。软件本身存在的缺陷和漏洞以及由于安全配置不当所造成的安全漏洞(如防火墙软件配置的不正确),这些也是威胁网络信息安全的因素之一。另外,还有一个威胁网络信息安全的因素就是计算机病毒。计算机病毒由于其特点具有隐蔽性、潜伏性、传染性和破坏性,因而对计算机网络信息安全所造成的破坏也十分巨大。

3 应用于网络信息安全的主要技术

随着计算机技术及网络技术的发展,网络信息安全的内涵在不断延伸,从早期的信息保密性到信息的完整性、可用性、可控性和不可否认性,发展为攻击、防范、监测、控制、管理、评估等多方面的基础理论和实施技术。目前,网络信息常用的安全技术包括:入侵预防技术、防火墙技术、病毒防范技术、数据加密技术、漏洞扫描技术、蜜罐技术和系统容灾技术。

入侵预防技术就是根据事先设定好的防范规则,并依此规则来判断哪些行为可以通过,哪些行为带有威胁性。入侵预防技术重在预防,它能积极主动地加强桌面系统和服务器的安全,防止受到网络攻击和破坏。

防火墙技术是设置在不同网络或网络安全域之间的一系列部件的组合。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据网络自身的安全政策控制出入网络的信息流,并具有较强的抗攻击能力。

病毒防范技术的注入方式为无线电方式、“固化”式方式、后门攻击方式和数据控制链攻击方式等。病毒防范技术的应用范围主要是对病毒客户端的管理、对邮件的传播进行控制、对有害信息进行过滤及建立多层次多级别的防病毒系统。

数据加密技术是在传输过程或存储过程中进行信息数据的加解密,常用的加密体制是采用对称加密和非对称加密。对称加密技术是指同时运用一个密钥进行加密和解密;非对称加密技术是指加密和解密所用的密钥不一样,它有一对密钥,分别为“公钥”和“私钥”,这两个密钥必须配对使用。

漏洞扫描技术就是通过一定的方法来检测系统中重要数据和文件是否存在黑客能利用的漏洞。通常有两种方法,一是端口扫描法,即通过端口扫描获知并查看是否存在漏洞。二是模拟黑客的攻击法,即通过模拟攻击测试安全漏洞。

蜜罐技术,简单地说,就是通过真实或模拟的网络和服务来吸引攻击,然后分析黑客攻击蜜罐期间的行为和过程,收集信息并发出预警。蜜罐技术虽然不会修补任何东西,也不会直接提高计算机网络安全,但它却是其他安全策略所不能替代的一种主动型防御技术。

系统容灾技术是指在较远的异地建立多套功能相同的IT系统,这些系统相互之间可以进行健康状态监视和功能切换,当一处系统因灾难停止运行时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,这是异地容灾技术。还有一种本地容灾技术,即包括磁盘保护、数据保护和数据备份等,通过保护这些存储设备达到系统不被外来对象入侵的目的。

4 网络信息安全防护思路

为了保证网络信息的安全性,降低网络信息面临的安全风险,靠单一的安全技术是不够的。根据信息系统面临的不同安全威胁和防护重点,有针对性地应用一些不同的网络安全防护方法。这里将给出一些有效的网络安全防护思路。

1)基于主动防御的边界安全控制:这是以内网应用系统保护为核心的,在各层的网络边缘建立多级的安全边界,从而实施进行安全访问的控制,防止恶意的攻击和访问。

2)基于攻击检测的综合联动控制:所有的安全威胁都体现为攻击者的一些恶意网络行为,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。

3)基于源头控制的统一接入管理:绝大多数的攻击都是通过终端的恶意用户发起,通过对介入用户的有效认证和终端检查,可以降低网络信息所面临的安全威胁。

4)基于安全融合的综合威胁管理:未来的大多数攻击将是混合型的攻击,功能单一的安全设备无法有效地防御这种攻击。因而综合性安全网关迅猛地发展起来。

5)基于资产保护的闭环策略管理:信息安全的目标就是保护资产,实现信息安全重在管理。在资产保护中,信息安全管理是重点,安全策略加实施安全管理并辅以安全技术相配合,形成对资产的闭环保护。

5 结束语

当前,网络攻击手段正在不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,同时,安全产品和解决方案也更趋于合理化、多样化和适用化。因此,对网络信息安全威胁和安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,网络信息的安全防护应该逐步构建成可防、可控、可信的信息网络构架。

摘要：网络信息的安全关系到国家安全经济发展和文化建设等多个领域。伴随着计算机技术、网络技术和信息化的发展,基于网络的安全问题也日益突出。无论外部网还是内部网都会受到安全问题的困扰,对此,应采取积极对策,以保障网络信息的安全。

关键词：网络信息,网络安全,安全策略,数据加密,网络攻击

参考文献

[1]张国祥.基于Apache的Web安全技术的应用研究[J].武汉理工大学学报,2004(3).

构建网络信息的安全防御体系 篇8

随着信息化时代的到来以及计算机网络的广泛运用,我国在政治、军事、金融、教育和科研等许多重要领域的安全保障越来越依赖于计算机网络和信息的安全运行。根据CNNIC(中国互联网络中心)调查数据显示,截止2007年6月30日,我国大陆地区上网用户总数达到1.62亿户,上网计算机总数达到5 940万台,网络国际出口带宽总容量达到256 696MB,网站数达到84.3万个。与此同时,电子政务、电子商务、网络游戏、网络博客等互联网正在快速发展,新的操作系统、新的应用软件不断投入使用,这些都导致人为疏忽和网络系统漏洞大量产生。我们一方面面临着黑客入侵、病毒袭击、垃圾邮件、流氓软件等各种计算机网络不安全因素的严重威胁,另一方面越来越多的信息资源又必须通过计算机网络进行存储、处理和传输,再加上众多计算机网络的使用者缺乏最基本的网络安全意识和防护技能,使网络泄密和窃密的问题日趋严重。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题。

本文首先阐述我国当前网络信息安全面临严峻的威胁;接着进一步分析危及网络信息安全的主要因素;最后提出构筑网络信息安全防线的具体措施。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,其本质就是网络上的信息安全。ISO(国际标准化组织)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。”

1 网络信息面临的威胁

1.1 涉密信息系统建设、维护和开通存在不规范行为

在网络建设中,普遍存在着急功近利的思想,对网络基础设备投入得多,而对安全保密方面投入得少;对网络应用产品研究投人得多,对网络安全的基础研究投入得少。这就使得信息安全技术的发展滞后。《涉及国家秘密的计算机信息系统集成资质管理办法》已于2005年7月10日正式施行。党政机关及军工科研院所涉密信息系统的规划、设计、施工以及服务、咨询工作应当由经保密工作部门依法审查、批准,具有相应涉密集成资质的单位承担建设,而且资质项目的内容和地域不同,准许承担的建设项目也会有所区别。因此,一些单位选择不具备相应资质单位承担涉密计算机网络的建设任务,导致涉密网络建设达不到国家规定的安全和保密标准,其信息安全就很难得到保证,甚至会从根子上留下泄密的硬伤和窃密的隐患。另外,在维护涉密网络的过程中,由于缺乏有效的监管措施,涉密数据被外人无意下载、恶意拷贝的情况都有发生。境外情报机关甚至有针对性地策反涉密网络的维修人员,伺机窃取计算机网络内的涉密数据。

1.2 信息产业的核心技术被少数国家垄断和封锁

我国信息技术起步较晚,信息系统安全基础薄弱,核心技术受制于人。我国使用的计算机CPU芯片、操作系统主要是国外生产的,网络高端设备几乎全是国外产品,网络技术通用标准性和网络安全协议也是国外制定的,我们并没有掌握信息安全的主动权。一些西方国家为了达到信息制控目的,利用技术优势,在对外出口的信息技术关键产品中设置“后门”集成窃密程序等方法,制造安全隐患,一旦出现异常情况,在国与国之间的信息对抗中,我们必将受制于人。

造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自企业网络内部。目前这些攻击越来越普遍,手段也更大胆、更精巧。网络的信息安全已成为现代社会的热门话题。

2 危及网络信息安全的主要因素

2.1 网络和系统特性的缺陷

研究表明,从网络协议到操作系统,从服务器的安全机制到应用平台的各种应用事务,都存在着许多设计缺陷。任何一个操作系统,任何一个应用程序不可能一次就做到完美无缺。像WindowsNT这样的大型网络操作系统,新版本刚推出不久就相继发布一系列修订系统缺陷的补丁程序。因此,操作系统的任何一个缺陷都可能是网络信息安全的隐患。

2.2 网络黑客的恶意攻击

黑客攻击的目的通常有两个:一是获取信息和网络的系统资源;二是干扰和破坏网络系统。黑客攻击的方式虽然千变万化,但概括起来,其最常用的主要手段有两种:窃取合法账号和特洛伊木马术。

a)窃取合法账号:账号是合法用户进行网络登录的钥匙,黑客获取了账号就拥有了合法用户的一切权限。尤其是窃取了网络管理员的账号,对系统操作、控制的权限就更大,这是对网络系统安全的最大威胁。网络黑客通常利用网络传输协议的一些漏洞,进行IP地址的欺骗,获取系统文件破解其保密字。例如,FTP协议可能存在的安全漏洞有:通过匿名用户登录执行系统命令,下载超级用户系统文件,从而窃取超级用户权限。

b)特洛伊木马术:特洛伊木马和病毒、蠕虫之类的恶意程序一样,会删除或修改用户计算机存储的文件、格式化用户的计算机硬盘、上传和下载计算机存储的文件、骚扰用户操作自己的计算机等。特洛伊木马最具特色的性能就是实施远程窃密和远程控制。它们一旦潜入受害的计算机系统,就可以获得对受害计算机系统的控制权,从而随心所欲地对被攻击系统的文件系统、进程控制乃至系统注册表等系统资源进行操作。

2.3 人为因素造成的网络安全隐患

在构建网络安全体系时,人为因素对网络安全的影响非常重要。即使是网络管理员已经制定了相应完善的安全制度,如果操作员不认真履行规范性操作规程或违法执行某些越权的行为,都将对系统安全造成威胁。

人为因素造成的网络安全隐患主要表现在以下几个方面:

a)网络操作人员缺乏信息安全常识。不设防地将网络信息资源共享,轻而易举地将信息泄露出去;网络线路和闲置接口没有采取保护措施,使得不法分子通过便携机就可以很方便地接人到网络系统中,从而进行非法操作。

b)用户为了操作方便,追求简单,往往将保密字设置得过于简单,极易被黑客破解;一个口令长期使用、很少变更,这些都可能给不法分子有可乘之机。

c)安全制度不落实。即使制定了完善的网络管理制度,如果操作人员不能够认真履行,不能按照操作规程去做,甚至执行一些超越权限和明文禁止的操作,从而留下安全隐患。

d)电磁泄漏。重要涉密单位通常上级配发有干扰设备,如果操作人员思想上不重视或忘记了使用干扰器,就有可能造成电磁泄漏现象。这也是造成网络安全隐患的一个因素。

3 构筑网络信息的安全防线

构筑网络信息的安全防线主要指通过操作系统安全使用和部署安全防护软件等,实现信息化网络安全和信息安全。

3.1 完善网络信息安全系统

3.1.1 防病毒系统

常见的计算机病毒主要是针对微软的操作系统,如果使用其他操作系统如UNIX或Linux,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。对企业而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为止尚未发现“万能”防病毒系统,所以只能及时更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。

3.1.2 防火墙

防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。防火墙从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。现在的防火墙在功能上不断加强,可以实现流量控制、病毒检测、VPN(虚拟专用网)功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。

3.1.3 入侵检测

如果对系统的安全性要求较高,如为了保护电子商务网站和企业互联网接口等,有必要采用入侵检测产品,对重点主机或设备加强安全防护。大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。

3.1.4 认证加密

应用系统的安全也是不可缺少的。企业内部可通过部署认证加密系统保障办公自动化流程、控制敏感信息的访问,特别是对电子商务,如何确认交易各方的身份,确保交易信息的保密性、完整性和不可否认性是交易正常进行的基本保证。认证加密是保证应用安全的有效手段,它主要通过数字证书来实现。数字证书是一个经证书授权中心数字签名并包含客户的公钥等与客户身份相关的信息数字证书,是网络通信中标志通信各方身份信息的数据,它提供了一种公开承认的在互联网上验证身份的方式,一般由权威机构———CA(认证中心)发行。数字证书可存储在IC卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通信的基础。

3.1.5 操作系统安全使用

在信息化网络中,操作系统的安全使用是保证网络安全的重要环节。操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多原则要遵守,最重要的就是不要使用空密码,如当你使用WindowsNT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的,特别是对电子商务网站。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一类漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视。对服务器而言,关闭不需要的服务或端口也是必要的。即使网络很安全,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百安全。使用WindowsNT/2000等操作系统时,尽量使用NTFS分区,对重要信息启用加密保护功能,这样即使信息意外泄露,也无法破解。操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,在微软尚未做出策略性调整之前,根据微软现在的理念,系统的易用性仍然是首先考虑的,所以默认安装会自动安装一些你并不熟悉且根本无用的服务和应用,并打开了许多特殊端口,这些服务、应用和端口很可能成为别人入侵的跳板。

3.2 开发和使用自主产品

目前,我国网络信息系统的主要设备(服务器和路由器等)和核心软件(操作系统、数据库管理系统甚至网络管理软件)广泛采用国外的商用产品,这给我国计算机网络安全带来极大隐患。商用产品因带有黑箱操作而不可控,使用者无法了解细节,对于可能带有的“后门”甚至逻辑炸弹和“间谍”束手无策。商用产品的安全性没有保证,必须发展自主的信息产业,采用自己的安全产品,这是网络安全建设的根本性问题。自主产品可以最大限度地控制不安全因素。首先,自主产品可以信赖。因为开发者可信赖和控制,就能排除有意设置恶意逻辑炸弹、“间谍”和后门的可能性,使自主产品的可信赖程度和可控制程度远远高于国外的商用产品。其次,自主产品可以自主更新。既然我们无法设计和实现一个绝对没有漏洞的系统,那么,发现漏洞和堵塞漏洞将是个长期的过程,没有自主的产品,就无法自主地实施堵塞漏洞的工作。第三,随着安全技术的发展,自主产品可以及时丰富安全功能。网络安全体系是一个不断进化、不断完善的体系,利用自主研制的构件来控制安全关键点,就可以达到在攻防技术的消涨平衡中动态地维持系统处在一个相对安全的水平上。因此,要摆脱受制于人的状况,必须加快自主操作系统、路由器和网络计算机平台的开发,并将其尽快部署在我国网络信息应用系统的关键环节上,以把握住网络信息系统安全的控制权。利用国外的高技术产品必须消除技术隐患,如对某些处理器,可以关闭其序列号功能,或禁止联接Internet。引进的设备和产品不经过安全处理而直接使用,无异于把钥匙交给窃贼。

3.3 培养能够胜任网络防御战的人才群体

网络管理人员负责提出随时出现的计算机和网络安全的新问题及解决方案。并制定出内部安全策略和有关安全制度,包括密钥的管理及对用户账号和口令的管理,定期对网络安全做出评估,提出系统安全报告和紧急情况应对方案。网络安全是一项专业性强、知识面广、实现难度大的综合性工作,没有一定的网络安全人才,就谈不上网络安全。因此,必须抓好网络安全人才培养。

3.4 理顺网络安全管理机制

应健全网络安全管理机构。网络安全保密管理工作的领导机构由主管保密的领导和相关业务部门人员组成,负责领导网络安全管理工作。网络安全技术保障组织由计算机网络专业人员组成,负责软硬件安装、维护、操作、用户授权、审计跟踪、应急恢复等网络日常管理事务。选调网络系统安全管理维护人员要严格审查,把好选拔关。

应落实网络安全管理法规。尽快完善和细化计算机网络规划建设、管理使用等安全保密标准和措施,严格安全检查、信息入网审批等规章制度,明确各级主管和监督部门的职责,为网络安全管理提供依据。加大网络安全检查监管力度,不断加强和改进网络安全管理措施。

4 结束语

构建完整的安全防护体系的目的是把企业的网络风险降低到可以接受的程度。这是一项综合的工程,不能简单地依赖一个产品,需要进行整体规划。在企业中,网络信息安全是一个动态的概念,而且没有绝对的安全。为了提高企业的网络信息安全,除采用可适应的、高可靠的安全措施和安全产品外,管理是极其重要的。网络信息安全是“三分技术,七分管理”。正确制定适应本企业的网络信息安全需求和安全策略,便能有效地实现和提高自己企业的网络信息安全。

参考文献

[1]谢希仁.计算机网络[M].大连:大连理工大学出版社,1996.

[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[3]肖军模,刘军,周海刚.网络信息安全[M].北京:机械工业出版社,2003.

[4]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.

浅析现代网络安全防御技术 篇9

关键词：网络安全；主动防御；网络攻击

中图分类号：TP393.18文献标识码：A文章编号：1007-9599 (2011) 06-0000-01

Modern Network Security Defense Technology Analysis

Zhao Peixin

(Baishan Fusong Hospital,Baishan134500,China)

Abstract:With the development of Internet,network security is threatened as growing.The traditional defense technologies have not deal with some threats.Active defense technologies overcome the shortcomings of traditional defense technologies and as a new technology reflecting a strong advantage.

Keywords:Network security;Active defense;Network sttacks

一、引言

最近几年，网络技术发展迅速，网络攻击越来越严重，传统网络安全防御技术已不能满足人们的需要，因此，主动防御受到广泛关注[1]。主动防御技术是在提高本地网络安全性能的同时，实时发现网络攻击行为，预测和识别未知的攻击，并且采取各种技术阻止攻击行为。主动防御将网络安全防御带入全新的时代，是未来网络安全防御技术的发展方向。

二、现代网络攻击新趋势

目前，由于网络技术的发展，网络攻击技术呈现出新的趋势：

（一）攻击自动化。由于网络技术的发展，对于技术手段高明的黑客们来讲，网络攻击不再是的专利，出现了很多网络自动化攻击工具，网络攻击的技术门槛大大降低。

（二）攻击智能化。网络攻击工具的编写者采用更加先进的技术，很难通过特征检测系统发现攻击行为，网络攻击趋于智能化。

现有的传统防御技术已经不能应付，实施主动防御技术大势所趋。

三、主动防御技术

主动防御技术是针对传统防御来讲的[2]。对于传统的网络安全防御技术，它们主要采用漏洞扫描、防火墙等手段，具有很大的被动性，防护能力是静态的，不能识别新的网络攻击。主动防御不仅是一种防御技术，而是一种思想体系。多种网络安全主动防御技术有机结合，共同组成一个防御技术体系。主动防御是以传统网络安全保护为前提的，是在卫护基本网络安全的基础上进行的。它包含传统的防护技术和检测技术、预测技术和入侵响应技术。下面我们就一一介绍这些主动防御技术的体系。

（一）入侵防护技术。防护技术作为主动防御技术体系的基础，包括身份认证、边界控制、漏洞扫描和病毒网关等。最主要的防护措施包括防火墙、VPN等。其中，网络安全采用最早的防御技术是防火墙，也是目前使用最为广泛的技术，将网络威胁阻挡在网络入口处，保证了内网的安全。加密认证技术比如VPN等将非法用户拒之门外，并加密发送的数据，用以避免在途中被监听、修改或破坏。在主动防御体系中，防护技术通过与检测技术、预测技术和响应技术的有机结合，使网络系统防御始终处于一种动态的状态，实现对系统防护策略的自动配置，系统的防护水平肯定会大大的提高。

（二）入侵检测技术。在主动防御技术体系中，预测的基础和响应的前提检测。检测是一种对网络攻击和入侵之后的应对措施，检测技术具有承前启后的作用。就现代来讲，检测技术大概包括两类：一类基于异常的检测方法。该方法根据通过检测是否存在异常行为，判断是否存在入侵行为，漏报率较低，但是又由于检测技术难以确定正常的操作特征，误报率也很高；二类基于误用的检测方法。该方法的主要缺点是过分依赖特征库，只能检测特征库中存在的入侵行为，不能检测未存在的，漏报率较高，误报率较低。

（三）入侵预测技术。主动防御区别于传统防御的明显特征是具有预测功能。入侵预测体现了主动防御的具有的很重要特点：网络攻击发生前预测攻击行为，取得系统防护的主动权。该技术是一个新的网络安全研究领域，与入侵检测不同，入侵预测在攻击发生前预测将要发生的入侵行为和安全状态，为信息系统的防护和响应提供线索，争取宝贵的响应时间。目前，入侵预测主要包括两种不同的方法：一是基于安全事件的预测方法，该方法分析入侵事件发生的历史，总结其规律性，预测将来一段时间的安全走向，它能够对中长期的安全走向和已知攻击进行预测；二是基于流量检测的预测方法，该方法分析攻击的发生时网络流量的统计特征，用来预测攻击的发生的可能性，它能够对短期安全走向和未知攻击进行预测。

（四）入侵响应技术。主动防御与传统防御的本质区别就在于主动防御对网络入侵进行实时响应。主动防御技术在网络入侵防护中主动性的具体体现是入侵响应技术。该技术用来对检测到的入侵行为进行处理，并将处理结果反馈给网络系统，进一步提高网络系统的防御能力，也可以对入侵行为实施主动的影响，中最重要的入侵响应技术包括：入侵追踪技术、攻击吸收与转移技术、蜜罐技术、取证技术和自动反击技术。

四、结束语

主动防御技术作为一门新兴的技术，在最近几年内得到了快速的发展，尽管主动防御技术还存在一些尚未解决的难点问题，但这并不能阻止主动防御技术的发展脚步。随着遗传算法和免疫算法和神经网络技术等新的概念引入到入侵检测技术中以来，入侵检测技术将会得到很大的发展，入侵响应技术也将变的更加智能化。通过对主动防御技术的深入探索研究，主动防御技术将逐步走向实用化，必将在网络安全防御领域中得到广泛的应用，成为我们应对网络攻击威胁的有力武器。

参考文献：

[1]应向荣.网络攻击新趋势下主动防御系统的重要性[J].计算机安全,2003

网络信息安全与防御 篇10

Web起源于1991年, 伯纳斯-李制作了一个网络工作所必须的所有工具:第一个万维网浏览器和第一个网页服务器, 标志着因特网上万维网公共服务的首次亮相。

Web是图形化的和易于导航的, 它非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。Web可以提供将图形、音频、视频信息集合于一体的特性。同时, Web是非常易于导航的, 只需要从一个连接跳到另一个连接, 就可以在各页各站点之间进行浏览了。基于Web的优势, 以及计算机网络和通信技术的迅猛发展, Web网络技术倍受青睐, 广泛应用于各个行业, Web网络的管理与安全防御也凸显其重要地位。下面, 将对Web网络的管理及其安全防御技术进行一些表述和探讨。

2 网络管理的作用及发展趋势

2.1 网络管理的作用

网络的应用就是为人们的工作和生活提供便捷, 在信息上的高度共享减少了时间的浪费, 提高了工作效率, 并且在信息沟通方面更加方便。但是由于网络具有开放性的特征, 由此在其运行期间, 也增加了网络安全的管理难度。所谓的网络管理就是对网络在运行期间的状态进行监测和控制, 监测其是否能够正常的运行, 如果出现意外, 要及时的采取有效的措施进行控制。通过网络控制可以对资源进行的合理的调配, 保证各项性能指标都达到最优化, 促进网络发展。

2.2 网络管理的发展趋势

对网络的运行进行安全管理, 主要是保证用户和运营商的利益, 在对网络的应用中不会受到侵害。那么在网络技术日益发展的过程中, 对于网络运行的安全管理将变得十分重要, 只有为用户提供一个安全的运行环境, 才能够真正的促进网络的发展, 所以网络管理技术也在不断的发展, 主要呈现出以下几方面的发展趋势。

2.2.1 网络管理集成化:

允许用户从单一平台管理各种协议的多种网络, 通过一个操作平台实现对多个互连的异构网络的管理。基于Web的网络管理模式融合了Web功能和网络管理技术, 允许网络管理人员通过与WWW同样形式去监视网络系统, 通过使用Web浏览器, 管理人员在网络的任何节点上都可以方便配置、控制及访问网络, 这种新的网络管理模式同时还可以解决异构平台产生的互操作问题。基于Web的网络管理提供比传统网管界面更直接, 更易于使用的界面, 降低了对网络管理操作和维护人员的要求。

2.2.2 网络管理的智能化:

采用人工智能技术进行自动维护、诊断、排除故障以及维持网络运行在最佳状态, 如处理不确定问题、协同工作、适应系统变化并能通过解释和推理对网络实施管理和控制。现代网络管理正朝着网管智能化方向发展。智能化网络有能力综合解释底层信息, 对网络进行管理和控制。同时, 智能化网管能够根据已有的不很完全、不很精确的信息对网络的状态做出判断。

2.2.3 网络管理层次化。

随着网络规模的扩大, SNMP管理机制的弱点被充分暴露出来。SNMP是一种平面型网管架构, 管理者容易成为瓶颈。传输大量的原始数据既浪费带宽, 又消耗管理者大量的CPU时间, 使网管效率降低。解决这个问题, 可以在管理者与代理之间增加中间管理者, 实现分层管理, 将集中式的网管架构改变为层次化的网管架构。

3 Web网络的安全防御

在Web网络架构中, 在每一个站点中都有相应的安全策略, 但是这些安全策略是根据每个站点的实际情况制定的, 在对站点的实际情况作出分析之后, 在针对具体情况制定安全策略。其中进行的分析包括, 有多少个入口点, 对网络造成的主要威胁是来自外部还是内部, 主要针对哪些项目进行攻击, 是对数据进行破坏还是攻击等等。通过这些数据的调查, 分析出威胁的程度然后制定出安全评价策略。

3.1 Web服务器的安全特性

在网络运行中, Web服务器是核心部位, 对于整个网络的运行有至关重要的意义。当用户在应用网络的过程中, 如果需要访问一个网站, 那么在建立连接之前, 会通过网络向Web站点提交请求, 此时站点接受到的是用户的IP地址, 但是有些时候反映的不是用户自身的地址, 而是通过代理服务器的地址, 站点在对IP地址分析后在进行下一步的操作。

如果不要求服务器获得消息, 服务首先会将IP地址转换为客户的域名。在转化域名的过程中, 服务器需要和域名服务器联系, 向其提供用户的IP地址, 然后将域名发送到这个地址。但是在这个过程中, 如果提供的IP地址正确的话, 就可以直接发送域名, 如果地址错误的话, 将无法转换。在Web服务器获取了IP地址以及用户需要的域名后, 就会对用户所需要的信息进行快速的分析检查。在IP地址转换的过程中, 存在一定的漏洞, 因为如果服务器伪造了域名, 那么用户将永远也得不到授权访问的信息, 或者是服务器会向另外的用户提供了信息, 如果有非法用户提交了申请, 但是服务器却没有分辨出来的话, 将会对服务器造成极大的威胁。

3.2 监视控制Web站点出入情况

为了防止和追踪黑客闯入和内部滥用, 需要对Web站点上的出入情况进行监视控制。可以借助一些工具提供帮助, 如, 假定Web服务器置于防火墙之后, 可将一种Web统计软件"Wusage"装在服务器上, 监控通过代理服务器的信息情况, 这一工具可以列出被访问次数最多的站点及站点上来往最频繁的用户。为了加强安全性, 必须监控出入站点的情况、访问请求及命中次数, 这样可以更好的显示站点的状态。

3.3 Web网络的防御措施

为了保证现有的Web网络服务的安全性, 可以对其采取的安全防御措施有以下几项:第一, 在现有网络中安装防火墙, 对重要的需要保护的资源进行有效的隔离, 有效防范攻击;第二, 对于特别重要的信息在存储和传输的过程中, 需要设计密码, 提供安全等级;第三, 对于现有的网络协议, 可以在其基础上对C/S双方的沟通进行身份验证加密程序, 并且可以建立一道秘密的通道来提高安全性;第四, 对没有安全保证的软件实施数字签名, 提供审计、追踪手段, 确保一旦出现问题可立即根据审计日志进行追查等。

其中防火墙是安全防范中最常用的一种方法, 其可以有效的将外部的病毒以及带有攻击性质的行为阻止, 在内部网络和外网之间建立安全隔离, 在软件和硬件方面都具有安全策略, 保护内部网络和主机的安全。按照防火墙的运行机制可以将其分为包过滤和代理两种。

参考文献

[1]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代, 2009.[1]褚英国.关于Web应用层深度防御系统的研究与实践[J].计算机时代, 2009.

[2]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密, 2008.[2]朱星伟.突破单一防御思路的Web安全[J].信息安全与通信保密, 2008.