時間:2022-04-04 08:42:00
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇計算機安全技術論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
1盜取信息
保存著互聯網上的信息在傳輸過程中,通常情況下都需要進行加密處理,一旦發生加密措施不到位或者缺少保護措施,那么就給了入侵者可乘之機,他們可以掌握信息的傳輸格式和規律等,將截取的信息進行分析對比,這樣就能夠得到消費者的個人身份信息甚至個人銀行卡密碼等重要私密信息。或者經過非法手段盜取企業的商業機密,將信息外泄,給個人和企業的安全帶來了極大的威脅和困擾。
2篡改信息
我們在進行電子商務交易之前首先需要在網上進行個人基本信息注冊,某些甚至需要實名制,填寫身份證號和銀行卡號等重要信息,方可完成注冊。這樣一來,一旦相關網絡企業的系統被不法分子攻擊,就很有可能導致個人信息泄露。而入侵者借機利用技術手段對信息進行肆意篡改,或者增添內容或者刪除內容,或修改內容,最后再將所有信息打包整理發送到指定接收地點。這種做法既嚴重阻礙了電子商務交易的正常操作,又破壞了信息的完整性和真實性。
3假冒信息
由于不法分子入侵網絡得逞之后,掌握了全部消費者信息,這時可以在按自己意愿篡改信息后假冒合法的客戶對信息進行接收和發送。而計算機網絡本身具有的虛擬特性使得交易雙方很難識別信息的真偽,侵害了消費者的合法權益。慣用的手法是偽造客戶的收貨單據或訂貨憑證,隨意更改交易流程的允許訪問權限設置等。
二計算機安全技術在電子商務中的應用
1防火墻技術
防火墻技術好比保護電子商務交易安全進行的一道隔離墻,有效防止外部違法入侵,同時對計算機病毒進行全程時時隔離,將本機與復雜、危險的外部網絡進行隔離控制。主要包括包過濾技術防火墻、服務防火墻和地址遷移防火墻。
2數據加密技術
防火墻技術本身也有一些不可避免的缺陷:對于一些靠數據驅動的入侵無法進行攔截;對一些不易被察覺的攜帶病毒的文件沒有抵抗力,一旦進行下載就會使病毒迅速擴撒,導致計算機中毒;對一些繞過防火墻攔截的軟件,對電腦主機實行攻擊,找計算機漏洞進行病毒攻擊。而這時就需要數據加密技術來彌補防火墻技術的缺憾,運用對稱加密和分對稱加密,在信息交換環節通過公開密鑰體系進行完整的加密,保證電子商務交易與信息傳送的安全、暢通。
3身份識別技術
用戶需要在首次注冊時填寫個人身份證信息,網絡管理員對個人信息進行綜合審核后,合格者允許通行,放開其對網絡資源的使用權限。在電子商務中身份鑒別是必不可少的環節,通過此技術可以準確的識別對方身份的真實性,可以保證交易的安全。隨著技術的發展,身份識別技術的種類也在不斷擴大,包括智能卡鑒別技術、口令身份識別技術。盡管如此,但是這種技術仍然處在發展階段,需要不斷改進,但是研究成本較高,花費時間較長,受到各方面因素的限制,需要我們共同努力進行技術研發。
三結束語
[關鍵詞]電子商務計算機安全技術
隨著電子商務不斷的擴大影響,勢必將成為一種新型的交易模式走入人們日常生活,計算機技術與其是密不可分,相輔相成的。電子商務的發展將帶動計算機技術應用的更加廣泛,計算機技術的進步將推動電子商務的蓬勃發展。而其在發展的過程中安全問題也變得越來越突出,可以說,沒有安全就沒有電子商務。
一、電子商務網絡的安全隱患
1.竊取信息。(1)交易雙方進行交易的內容被第三方竊取。(2)交易一方提供給另一方使用的文件被第三方非法使用。
2.篡改信息。電子的交易信息在網絡傳輸的過程中,可能被他人非法的修改、刪除這樣就使信息失去了真實性和完整性。
3.假冒。第三方可以冒充合法用戶發送假冒的信息或者主動獲取信息,有可能假冒一方的信謄或盜取被假冒一方的交易成果等。
4.惡意破壞。由于攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,破壞網絡的硬件或軟件而導致交易信息傳遞丟失與謬誤。計算機網絡本身容易遭到一些惡意程序的破壞,而使電子商務信息遭到破壞。
二、電子商務的安全要求
1.交易者身份的可認證性。在傳統的交易中,交易雙方往往是面對面進行活動的,這樣很容易確認對方的身份。即使開始不熟悉,不能確信對方,也可以通過對方的簽名、印章、證書等一系列有形的身份憑證來鑒別身份。然而,在進行網上交易時,情況就大不一樣了,因為網上交易的雙方可能素昧平生,相隔千里,并且在整個交易過程中都可能不見一面。要使交易成功,首先要能驗證對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店是不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
2.信息的機密性。由于電子商務是建立在一個開放的網絡環境上的,維護商業機密是電子商務全面推廣應用的重要保障。當交易雙方通過Internet交換信息時,如果不采取適當的保密措施,就可能將通信內容泄密;另外,在網絡上的文件信息如果不加密的話,也有可能被黑客竊取。上述種種情況都有可能造成敏感商業信息的泄漏,導致商業上的巨大損失。因此,電子商務一個重要的安全需求就是信息的保密性。這意味著,一定要對敏感信息進行加密,即使別人截獲或竊取了數據,也無法識別信息的真實內容,以使商業機密信息難以被泄漏。
3.信息的真實完整性。信息輸入時的意外差錯或欺詐行為、傳輸過程中信息的丟失、重復或傳送次序差異都會導致貿易各方信息的不同。交易的文件是不可被修改的,應該保證接受方收到的信息確實是發送方發送的,中途沒有被非法用戶篡改過。電子交易文件必須做到不可修改,以保障交易的嚴肅和公正。
三、電子商務交易中的一些網絡安全技術
針對以上問題現在廣泛采用了身份識別技術、數據加密技術、數字簽名技術和放火墻技術。
1.身份識別技術。通過電子網絡開展電子商務,身份識別問題是一個必須解決的問題。一方面,只有合法用戶才可以使用網絡資源,所以網絡資源管理要求識別用戶的身份;另一方面,傳統的交易方式,交易雙方可以面對面地談判交涉,很容易識別對方的身份。通過電子網絡交易方式,交易雙方不見面,并且通過普通的電子傳輸信息很難確認對方的身份。因此,電子商務中的身份識別問題顯得尤為突出。
2.數據加密技術。加密技術是電子商務中采取的主要安全措施,貿易方可根據需要在信息交換的階段使用。目前,加密技術分為兩類,即對稱加密/對稱密鑰加密/專用密鑰加密和非對稱加密/公開密鑰加密。現在許多機構運用PKI(publickeyInfrastructur的縮寫,即“公開密鑰體系”)技術實施構建完整的加密/簽名體系,更有效地解決上述難題,在充分利用互聯網實現資源共享的前提下從真正意義上確保了網上交易與信息傳遞的安全。3.智能化防火墻技術。智能防火墻從技術特征上,是利用統計、記憶、概率和決策的智能方法來對數據進行識別,并達到訪問控制的目的。新的方法,消除了匹配檢查所需要的海量計算,高效發現網絡行為的特征值,直接進行訪問控制。智能防火墻成功地解決了普遍存在的拒絕服務攻擊(DDOS)的問題、病毒傳播問題和高級應用入侵問題,代表著防火墻的主流發展方向。新型智能防火墻自身的安全性較傳統的防火墻有很大的提高,在特權最小化、系統最小化、內核安全、系統加固、系統優化和網絡性能最大化方面,與傳統防火墻相比較有質的飛躍。
四、結束語
電子商務安全對計算機網絡安全與商務安全提出了雙重要求,其復雜程度比大多數計算機網絡都高。在電子商務的建設過程中涉及到許多安全技術問題,制定安全技術規則和實施安全技術手段不僅可以推動安全技術的發展,同時也促進安全的電子商務體系的形成。當然,任何一個安全技術都不會提供永遠和絕對的安全,因為網絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步才是真正的安全保障。
參考文獻:
1.1外界因素
外界因素指不是因計算機網絡的自身問題出現網絡破壞,它是指人為的惡意破壞。如黑客盜取信息、木馬病毒的入侵等,這兩類是引發網絡安全問題最常見的因素。計算機不斷更新與發展使得計算機安全防范的技術已經遠遠的落后于網絡發展的步伐。因而,在計算機內潛伏著大量隱蔽性較好的病毒,這些病毒隨時都能夠對計算機網絡造成威脅,嚴重的甚至會使得整個網絡系統崩潰。網絡病毒是主要是通過各種瀏覽途徑進行傳播,如,瀏覽安全未知的網頁和打開陌生人的郵件,或是在計算機上安裝軟件時對安裝軟件的安全性沒有考慮。這些外界原因都在一定的程度上造成了網絡安全問題的出現。
1.2網絡系統
對計算機的網絡系統來說,作為開放的系統本身就存在很多漏洞,如何整個網絡系統缺乏有效的管理,使得任何人都有可能進入到網頁,這會導致企業或是個人的隱私信息泄漏,給不法分子以可乘之機,并且軟件的設計人員按照一定的定向思維的邏輯對計算機進行編程的活動,不可避免的會造成一定的缺陷。甚至還有部分軟件設計后門,便于編程人員操作,這些都會導致網絡安全出現一定的隱患。
1.3網絡管理人員
管理者在使用IP地址不采取一定的措施進行有效的管理,它往往會造成網絡的堵塞。另外有部分管理者不重視訪問的設計權限,有的部門用戶缺乏網絡安全意識,在使用計算機的時候,不注重對防范措施的防護,而且瀏覽任意網頁,對自己的保密文件也不重視保密措施,并且計算機在運行中出現了漏洞與安全問題不能得到及時的處理,從而產生各種網絡問題的出現。
2計算機的網絡管理
2.1計算機網絡的故障管理
職業中專使用計算機的網絡技術過程中,都需要一個穩定的計算機網絡。當某個網絡的零部件出現問題時,需要管理管理系統能夠迅速的查處故障源將故障迅速的排除。一般來講,故障管理主要包括三個方面,分別為檢測故障、隔離故障和糾正故障三個方面。三種故障屬于三個類型的故障,故障檢測主要是對網絡零部件的檢測為依據,而對于嚴重的故障來說,需要進行報警,及時向網絡管理操作員發送通知。網絡管理的應用應該以故障信息為依據,來實施處理,如遇到較為復雜的網絡故障時,網絡管理系統應該通過一系列的診斷測試來對故障的原因進行辨別與分析。
2.2計算機網絡的配置管理
網絡配置管理主要使用通過對網絡的配置,來實現提供網絡服務。配置管理具備一個網絡對象的必須的功能,其管理實施的目的在意實現網絡性能或是某個特定功能的優化,并且網絡配置管理是集定義、控制和監控于一體的管理形式。
3計算機網絡管理及安全技術的特點與問題
當前,隨著科學技術的發展,計算機網絡技術也在飛速的發展,但由于管理方面的失誤造成了計算機的網絡管理出現了許多亟待解決的問題,這些問題嚴重的阻礙了科學技術的發展。以職業中專計算機網絡管理的安全技術的特點與問題進行具體的分析。
3.1計算機網絡管理及安全技術的特點
計算機的網絡管理不同于一般的信息管理,其較為明顯的特點分別為開放性、智能性和互動性。這些特點在一定的程度上使得計算機網絡內的資源可以在共享的基礎上使得信息得到及時的處理,從而使得實時的信息可以得到及時的交流與溝通。
3.2當前計算機網絡管理與安全技術存在的問題
計算機的網絡管理方為了方便自身的管理,往往會將大量的信息投放到網上,并且在很長的一段時間內不會對信行更新和刪除,久而久之會使得網上出現許多無用的信息。這些無用的信息給計算機網絡用戶在查詢資料的過程中帶來了極大的不便,當查詢相關的信息與網頁時,還應該將一些無用的甚至是過時的信息閱讀篩選,從而給用戶的工作帶來不便,而且在一定的程度上使得信息的傳播速度及效率產生一定的影響。在計算機網絡管理及安全技術出現的問題中還會出現一些問題,其計算機網絡數據及文件信息在處理和分析時,如果在該時間內出現網絡系統故障都會對網絡信息的安全產生嚴重的后果。計算機的網絡系統在運行的過程中如果出現故障輕者會使得計算機網絡中存儲的數據和資源,嚴重者會使得整個計算機的網絡系統出現癱瘓,因而這種破壞會波及到計算機的網絡管理。計算機網絡中存儲著用戶重要的信息及文件,如果遇到故障,其安全性也受到威脅。對于重要的信息而言,很可能被盜取,從而使得管理無法正常繼續的進行。
4計算機網絡安全技術的應用
4.1試論計算機網絡安全技術的應用措施
4.1.1進行維護
對于計算機網絡管理者來說,還應該在日常的管理中注意一些工作的細節,避免出現不必要的問題。其目的能夠確保系統的安全穩定,可以防范各種計算機的安全隱患問題。針對出現的安全問題,計算機網絡為了維護自身的安全性,需要對計算機網絡的硬件設備進行維護,便于使得用戶在健康的網絡環境中進行使用。這就需要計算機網絡的管理人員定期對計算機的硬件及相應的網絡設備進行檢查,確保計算機網絡能良好的運行,另外,還應該進一步加強計算機中央機房的維修工作。
4.1.2加強系統軟件應用水平
計算機網絡管理部門在對計算機網絡進行管理的過程中還需要注重對應用軟件進行開發,它在一定的程度上能夠提高其應用的水平。這就應該要求計算機的網絡管理部門應該在完成自身工作的同時有針對的對系統軟件進行研制與開發。
4.1.3增強用戶的安全意識
對于用戶而言,大多都知道網絡危害,以及相應的網絡病毒,但是其安全意識還是比較欠缺,這就需要用戶在使用計算機時,充分的認識到網絡的危害,增強自身的安全意識,在運用計算機時,在計算機中安裝殺毒軟件,不隨意的瀏覽安全未知的網頁不隨手打開匿名的郵件,并且對系統的安全漏洞進行及時的修復,從而使得計算機網絡能夠在健康的環境中滿足更多用戶需求。
4.2計算機網絡管理及安全技術的發展趨勢
1.1來自網絡系統本身的問題
計算機網絡體系相對來說屬于一項比較新型的科學技術,不可避免的存在自身系統的不完善,時下人們常用的許多操作系統都存在網絡安全漏洞,比較常見的漏洞來源是文件服務器和網卡用工作站。文件服務器漏洞影響網絡系統的質量主要是指文件服務器運行不穩定、功能不完善;網卡用工作站不當則會導致網絡不穩定,缺乏安全策略。再比如一些網站為了增大自身的訪問流量,在防火墻配置上無意識地擴大訪問權限,卻忽視了訪問權被濫用的可能性,給他人以可乘之機。人們通常說說的黑客入侵,就是指黑客利用網絡的安全漏洞侵入系統,對人們的基本利益造成了不可挽回的損失。
1.2缺乏有效的監管評估系統
網絡安全評估是一種對網絡進行漏洞檢查,評估系統安全與否并提供相應意見從而提高網絡系統安全性能的一種科學、準確的途徑,是對現有或將要構建的整個網絡提供保障以達到在技術上的可實現性、經濟上的可行性和組織上的可執行性。建立完整準確的安全評估是防范黑客入侵最有效的手段。
1.3計算機網絡病毒的傳播與更新的黑客攻擊手段
病毒因為破壞力強破壞力大隱蔽性強等原因成為威脅網絡安全的另一個問題,在威脅網絡安全的同時已經嚴重的影響了人們的正常工作生活。比如蠕蟲與木馬病毒會影響系統的運行速度,還有些病毒會影響系統的運行速度,甚至導致系統癱瘓給人們帶來重大損失。再比如,病毒都有很強的繁殖功能,可以通過復制程序的代碼和指令再對其進行更改,從而達到破壞計算機網絡的目的。
2使計算機網絡安全的應急技術
所謂網絡百分之百的安全狀態是不可能達到的,既然沒有辦法解決問題,我們能做的只有盡最大可能來避免問題。
2.1配置防火墻技術
防火墻是一種訪問控制尺度,是相對于網站等開放性的對立。通過防火墻可以自主的選擇同意訪問的人數以及可以訪問的區域,拒絕存在隱患的數據用戶,盡可能的阻止網絡黑客的“來訪”,防止其隨意篡改網絡上的重要信息。拒絕了黑客,計算機網絡的安全性將會更有保障。防火墻的工作主要包括三個方面,一個是通過在外部網和內部網之間建立屏障,保護內網免受非法用戶入侵;另一個是通過對內網的模塊等級劃分,按照不同的保護等級設置用戶與密碼,來應對各種漏洞攻擊;還有一個是通過自身的監控功能及時對非法的用戶進行安全預警。現存的防火墻主要包括嵌入式防火墻、硬件防火墻和軟件防火墻等幾種類型。
2.2加強入侵系統的檢測能力
其實從某些層面上來講,防火墻的防護屬于一種被動的防護,防火墻只有在遭遇外界的“刺激”時才會激發匹配的防護措施。那么,能不能采取一種有效的方法在網絡黑客入侵計算機系統的初級,就能進行及時有效地檢測,繼而對其進行阻止,最終達到有效保證計算機網絡的安全性?基于此,加強入侵系統的檢測能力也被提上了日程,人們需要開發一個相對而言能夠較為主動地體系對入侵的“刺激”進行預警,并開啟一系列應急措施以實現有效地防護。由于入侵檢測技術整合了入侵檢測、網絡管理和網絡監控,通過對計算機安全性的檢測,可以做到比防火墻更為有效的防止病毒入侵,防止因漏洞而造成的不良后果。
2.3數字加密技術的推廣和應用
數字加密技術對網絡安全而言重要程度無異于密碼對于銀行卡。通過對所要保護的信息進行加密保護,將系統自身想要傳達的信息轉換成一種非普遍意義的特殊文字,在這種情況下即便是信息被非法用戶或者黑客盜取,也無法破解出網絡信息真正想表達的含義,繼而實現保護網絡安全的作用。在這一點上可以效仿金融界,吸取他們的成功經驗,并將這些經驗應用于保護計算機網絡的安全工作上。
2.4加大病毒的防范及新的安全工具的開發
除了配置防火墻技術和加強入侵系統的檢測能力之外,加大病毒的防范及新的安全工具的開發,如采用集病毒的查殺監測與預防等方面為一體的防病毒軟件,定期或者不定期的對病毒防范安全工具進行升級;使用有效的漏洞掃描系統對網絡中存在或可能存在隱患點進行有側重點的關注和優化,在日常監測中實現查漏補缺,繼而全面保護計算機網絡的安全。
3保護計算機網絡安全可以采取的其他方式
3.1來自法律方面的保護及約束
為了建立健全安全機制,我國在法律方面已經出臺了《互聯網信息服務管理辦法》《、中國互聯網絡域名注冊暫行管理辦法》和《互聯網站從事登載新聞業務管理暫行規定》等相關法律法規,但是為了保證網絡安全運行,還需要在加大法律法規力度的同時,在全民范圍內開展網絡安全教育和培訓,科普計算機網絡知識,提高全民素質,給網絡計算機運行提供一個相對良好的發展空間。
3.2采取有效的手段防止IP盜用的問題
在現今的計算機網絡當中,早已經不存在一個IP絕對對應一個專業用戶的情況,手機等電子產品涉足網絡,無形中加大了黑客對計算機網絡入侵的風險。要針對性的解決這一問題,可以嘗試著在路由器上同時捆綁IP和MAC地址,當這兩者的信息不相符的時候,系統自發的進行攔截或者提示警告。
4結束語
病毒通常具有很強的傳染性、隱蔽性和破壞性,能夠自我復制,通過網絡快速蔓延,一旦發生作用往往產生大范圍影響。具體的入侵手段包括口令入侵、WWW欺騙技術、電子郵件攻擊等。口令入侵是指黑客盜用合法用戶口令,登陸系統后對系統進行攻擊。WWW欺騙技術是指黑客模仿某些網站、網頁制造類似的假網站、網頁,用戶在進行網絡訪問時沒分辨清就會被利用而受到攻擊。電子郵件攻擊是指黑客利用炸彈軟件等向用戶郵箱發送大量垃圾郵件,不僅影響郵箱的使用而且可能導致系統癱瘓。除人為的惡意攻擊外,計算機網絡安全隱患還來自于自身漏洞,尤其是各種應用軟件的漏洞。許多計算機中安裝一定量的應用軟件滿足功能需求,雖然每種應用軟件在開發過程中都經過無數次試驗,但仍然無法保證不存在漏洞,同樣也無法保證使用過程不出任何問題。
有的漏洞容易被黑客利用,有的漏洞會使計算機直接受到損害。除此之外,在計算機網絡使用過程中,對軟件的配置或操作不當,也可能產生安全漏洞,例如,防火墻軟件安全配置不合理導致防火墻安全技術形同虛設,有的用戶使用的軟件被捆綁,一旦啟動某一軟件,其他軟件將同時啟動,也會打開安全缺口埋下隱患。還有的用戶安全意識不強,賬號口令保護不周,容易被他人盜用。
二、主要的計算機網絡安全技術
計算機網絡安全受到的威脅主要來自惡意攻擊、缺陷漏洞、結構隱患等方面,主要攻擊武器包括病毒、掃描器、嗅探器、口令攻擊器、郵件炸彈、特洛伊木馬,等等。計算機網絡需要借助必要的技術力量和一定的管理手段,才能保證系統、設備和數據安全。
(一)防火墻技術防護墻技術是網絡安全技術的重要組成部分,在不同網絡或網絡安全域間設置一系列部件的組合,是唯一的信息出入口,能夠根據一定的安全政策控制信息流的交互,本身也具有一定的抗攻擊能力,是當前保證網絡信息安全的必要基礎設施。防火墻具有分析、分離、限制的作用,能夠監控網絡間的活動,保證網絡自身安全。當前,防火墻技術主要分為包過濾型和應用型兩個類別。包過濾型防火墻根據數據包頭源地址等標志確定是否允許數據包通過,只把滿足過濾條件才能發往目的地。應用型防火墻是在應用層工作,完全阻隔網絡通信流,編制針對應用服務的程序,并依靠這些程序監視和控制通信流。
(二)加密技術加密技術能夠有效解決網絡信息傳輸的安全問題,是網絡安全的主要技術手段,其核心在于加密算法,根據加密算法所得密匙的不同可以分為對稱加密技術和非對稱加密技術。其中,對稱加密技術信息加密與解密的鑰匙相同,信息交換雙方無需彼此研究交換,只要保證私有密鑰不泄露就能保證信息的機密性和完整性,目前被廣泛采用,例如,DES加密標準。這種技術存在的問題是交換一方有多少個交換對象,就需要維護對應多少個私有密鑰,而且交換信息的雙方共享一把私有密匙。非對稱加密技術將密鑰分解為公開密鑰與私有密鑰,一對密鑰中的一把可以非保密地作為公開密鑰,另一把需要保密,作為私有密鑰,其中,公開密鑰加密,而私有密鑰解密且掌握在生成密鑰的交換方手里,公開密鑰雖然公開但只對應私有密鑰,因此,這種技術能夠在無需交換密鑰的前提下保證通信安全,被應用于身份認證等專業領域,比較有代表性的是RSA公鑰密碼體制。RSA算法產生于1977年第一個完善的公鑰密碼體制,由于缺乏有效的算法分解兩大素數之積的原理保證了該算法的安全性。
(三)防病毒技術病毒是計算機網絡安全的最大危害者,病毒的發生率高、傳染性強、破壞力大,因此,有效防范病毒是計算機網絡安全的重要課題。目前,防病毒技術主要包括預防、檢測、消除三個方面的許多技術手段。在病毒預防技術類別里,主要是借助技術手段避免計算機病毒的攻擊,一般技術手段有磁盤引導區保護技術、系統監控技術、加密可執行程序技術等。在病毒檢測技術類別里,主要借助技術手段判斷確定計算機病毒,包括判斷病毒特征的監測技術和文件自身檢測技術。在病毒消除技術類別里,主要是借助技術手段研發消除病毒同時恢復文件信息的軟件系統,通過殺滅消除病毒保護計算機網絡安全。
(四)PKI技術PKI技術使用公開密鑰技術和數字證書保護計算機網絡安全,驗證數字證書持有者身份,是現代電子商務的基礎技術,也是保護信息安全的關鍵技術,能夠為計算機網絡系統提供集中、統一的安全體系,具體服務包括認證、加密、安全通信、抗抵賴、特權管理等。實際上,PKI技術是軟硬件系統與安全策略的集合,為計算機網絡提供了整套安全機制,能夠保證用戶在不清楚對象的情況下基于證書和一系列信任關系完成通訊和交易,保證過程的安全性。一個典型的PKI系統包括PKI策略、系統、PKI應用和證書機構、注冊機構以及證書系統等。
(五)虛擬專用網技術虛擬專用網技術利用互聯網傳輸私有信息,采用隧道技術、加解密技術、身份認證技術和密鑰管理保證網絡安全,能夠避免欺詐,加強保密和認證,增強網絡安全性能,從而防范黑客攻擊。(六)安全隔離技術計算機網絡安全威脅主要來源于物理層、協議層、應用層,物理層的威脅一般是因網絡線路問題被迫中斷通信,協議層的威脅一般是網絡地址偽裝等,應用層的威脅一般是郵件病毒、非法URL提交等。安全隔離技術能夠將有害攻擊隔離出去,在內部信息不外泄的基礎上保證網絡間信息交換安全。安全隔離技術發展到今天歷經多代更新,目前已能夠避免以往隔離技術的缺陷,在隔離的同時,內外網數據可以高效、安全地交換。
三、結語
隨著信息產業的高速發展,眾多企業都利用互聯網建立了自己的信息系統,以充分利用各類信息資源。但是我們在享受信息產業發展帶給我們的便利的同時,也面臨著巨大的風險。我們的系統隨時可能遭受病毒的感染、黑客的入侵,這都可以給我們造成巨大的損失。本文主要介紹了信息系統所面臨的技術安全隱患,并提出了行之有效的解決方案。
關鍵字:信息系統信息安全身份認證安全檢測
Abstract:
Alongwiththehigh-speeddevelopmentofinformationindustries,themultitudinousenterprisehasestablishedtheirowninformationsystemusingtheInternettouseeachkindofinformationresource.Butwhileweenjoytheinformationindustriesdevelopmenttotaketoourconvenient,wealsofacedthehugerisk.Oursystempossiblysuffersviralinfection,hacker’sinvasion;thisallmaycreatemassivelosstous.Thisarticlemainlyintroducedthetechnicalsecurityhiddendanger,whichtheinformationsystemfaces,andproposedtheeffectivesolution.
Keywords:InformationsystemInformationsecurity
StatusauthenticationSafeexamination
一、目前信息系統技術安全的研究
1.企業信息安全現狀分析
隨著信息化進程的深入,企業信息安全己經引起人們的重視,但依然存在不少問題。一是安全技術保障體系尚不完善,企業花了大量的金錢購買了信息安全設備,但是技術保障不成體系,達不到預想的目標:二是應急反應體系沒有經常化、制度化:三是企業信息安全的標準、制度建設滯后。
2003年5月至2004年5月,在7072家被調查單位中有4057家單位發生過信息網絡安全事件,占被調查總數的58%。調查結果表明,造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中,由于未修補或防范軟件漏洞導致發生安全事件的占安全事件總數的“%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占19%.
對于網絡安全管理情況的調查:調查表明,近年來,使用單位對信息網絡安全管理工作的重視程度普遍提高,80%的被調查單位有專職或兼職的安全管理人員,12%的單位建立了安全組織,有2%的單位請信息安全服務企業提供專業化的安全服務。調查表明,認為單位信息網絡安全防護能力“較高”和“一般”的比較多,分別占44%。但是,被調查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經費投入不足和安全產品不能滿足要求等問題,也說明目前安全管理水平和社會化服務的程度還比較低。
2.企業信息安全防范的任務
信息安全的任務是多方面的,根據當前信息安全的現狀,制定信息安全防范的任務主要是:
從安全技術上,進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案;正確配置防火墻、網絡防病毒軟件、入侵檢測系統、建立安全認證系統等安全系統。
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,增強安全防范意識。
信息安全防范要確保以下幾方面的安全。網絡安全:保障各種網絡資源(資源、實體、載體)穩定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality)、完整性(Integrity)、抗否認性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預防內部犯罪。
二、計算機網絡中信息系統的安全防范措施
(一)網絡層安全措施
①防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡為甚。
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。
防火墻是網絡安全的屏障:一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。防止內部信息的外泄:通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。除了安全作用,有的防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN,將企事業單位在地域上分布在全世界各地的LAN或專用子網,有機地聯成一個整體。不僅省去了專用通信線路,而且為信息共享提供了技術保障。
②入侵檢測技術
IETF將一個入侵檢測系統分為四個組件:事件產生器(EventGenerators);事件分析器(EventAnalyzers);響應單元(ResponseUnits)和事件數據庫(EventDataBases)。事件產生器的目的是從整個計算環境中獲得事件,并向系統的其他部分提供此事件。事件分析器分析得到的數據,并產生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。事件數據庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的數據庫,也可以是簡單的文本文件。
根據檢測對象的不同,入侵檢測系統可分為主機型和網絡型。基于主機的監測。主機型入侵檢測系統就是以系統日志、應用程序日志等作為數據源,當然也可以通過其他手段(如監督系統調用)從所在的主機收集信息進行分析。主機型入侵檢測系統保護的一般是所在的系統。這種系統經常運行在被監測的系統之上,用以監測系統上正在運行的進程是否合法。最近出現的一種ID(IntrusionDetection):位于操作系統的內核之中并監測系統的最底層行為。所有這些系統最近已經可以被用于多種平臺。網絡型入侵檢測。它的數據源是網絡上的數據包。往往將一臺機子的網卡設于混雜模式(PromiseMode),對所有本網段內的數據包并進行信息收集,并進行判斷。一般網絡型入侵檢測系統擔負著保護整個網段的任務。
對各種事件進行分析,從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上,入侵檢測分為兩類:一種基于標志(CSignature-Based),另一種基于異常情況(Abnormally-Based)。
(二)服務器端安全措施只有正確的安裝和設置操作系統,才能使其在安全方面發揮應有的作用。下面以WIN2000SERVER為例。
①正確地分區和分配邏輯盤。
微軟的IIS經常有泄漏源碼/溢出的漏洞,如果把系統和IIS放在同一個驅動器會導致系統文件的泄漏甚至入侵者遠程獲取ADMIN。本系統的配置是建立三個邏輯驅動器,C盤20G,用來裝系統和重要的日志文件,D盤20G放IIS,E盤20G放FTP,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統目錄和系統文件。因為,IIS和FTP是對外服務的,比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。
②正確
地選擇安裝順序。
一般的人可能對安裝順序不太重視,認為只要安裝好了,怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的:
首先,何時接入網絡:Win2000在安裝時有一個漏洞,在你輸入Administrator密碼后,系統就建立了ADMIN$的共享,但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續到你再次啟動后,在此期間,任何人都可以通過ADMIN$進入你的機器;同時,只要安裝一完成,各種服務就會自動運行,而這時的服務器是滿身漏洞,非常容易進入的,因此,在完全安裝并配置好Win2000SERVER之前,一定不要把主機接入網絡。
其次,補丁的安裝:補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換/修改某些系統文件,如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝,盡管很麻煩,卻很必要。
(三)安全配置
①端口::端口是計算機和外部網絡相連的邏輯接口,從安全的角度來看,僅打開你需要使用的端口會比較安全,配置的方法是在網卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選,不過對于Win2000的端口過濾來說,有一個不好的特性:只能規定開哪些端口,不能規定關閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。
②IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,所以IIS的配置是我們的重點,所以在本系統的WWW服務器采取下面的設置:
首先,把操作系統在C盤默認安裝的Inetpub目錄徹底刪掉,在D盤建一個Inetpub在IIS管理器中將主目錄指向D:\Inetpub。
其次,在IIS安裝時默認的scripts等虛擬目錄一概刪除,這些都容易成為攻擊的目標。我們雖然已經把Inetpub從系統盤挪出來了,但這樣作也是完全必要的。如果需要什么權限的目錄可以在需要的時候再建,需要什么權限開什么。特別注意寫權限和執行程序的權限,沒有絕對的必要千萬不要給。
③應用程序配置:在IIS管理器中刪除必須之外的任何無用映射,必須指出的是ASP,ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射,刪除所有的映射,具體操作:在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射,然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。
經過了Win2000Server的正確安裝與正確配置,操作系統的漏洞得到了很好的預防,同時增加了補丁,這樣子就大大增強了操作系統的安全性能。
雖然信息管理系統安全性措施目前已經比較成熟,但我們切不可馬虎大意,只有不斷學習新的網絡安全知識、采取日新月異的網絡安全措施,才能保證我們的網絡安全防御真正金湯。
參考文獻:
劉海平,朱仲英.一個基于ASP的在線會員管理信息系統.微型電腦應用.2002(10)
東軟集團有限公司,NetEye防火墻使用指南3.0,1-3
賈晶,陳元,王麗娜編著,信息系統的安全與保密,第一版,1999.01,清華大學出版社
EricMaiwald,Wi1liEducation,SecurityPlanning&DisasterRecovery,2003,Posts&TelecommunicationsPress,PP.86-94
楊兵.網絡系統安全技術研究及其在寶鋼設備采購管理系統中的應用:(學位論文).遼寧:東北大學,2002
劉廣良.建設銀行計算機網絡信息系統安全管理策略研究:(學位論文).湖南:湖南大學.2001
加密技術主要是對計算機網絡數據進行加密,來保證信息的可靠與安全。在信息安全技術中,對傳輸的數據進行加密,是計算機系統中一項非常關鍵的技術,是一種主動防御措施。在數據傳輸過程中,加密技術運用精密的加密算法,對傳輸的信息進行加工,使其轉化為密文形式,防止不法分子的直接讀取。加密技術有對稱性和非對稱性之分,使信息更具有安全性。
2.防火墻技術
在計算機的日常維護中,防火墻技術是比較常見的,也是用戶經常使用的安全防護系統。在計算機網絡系統中,它有特定的軟件保護模塊,充分發揮著安全部件的作用,對于計算機系統表現出來的異常狀況,它會在第一時間啟動警報系統,將異常信息及時反饋給用戶,或者上傳給網路監護人員,及時采取相對應的措施對計算機網絡系統予以保護。防火墻技術,主要利用模糊數據庫,來對外來者進行控制和訪問,通過判斷其所執行的網絡行為,來分析其目的或意圖,不需要進行大量的網絡計算,及時攔截不正當的訪問行為,直接提高了計算機網絡系統的防控能力,在信息安全技術中,防火墻技術是最基礎也是最有效的。
3.信息安全掃描技術
在保護計算機網絡安全的措施中,信息安全掃描技術也是極其關鍵的。通過對全網系統給予有目的的安全掃描,對網絡運行的狀態,網路管理員可以及時準確地了解,一旦發現安全泄露問題,可以采取及時的補救措施。在計算機網絡信息安全中,安全掃描技術應用的比較廣泛,可以從防火墻系統、主機操作系統、Web服務站點、局域網等方面給予安全監控,對異常信息給予及時的檢測,提高了系統安全性。
4.防止病毒入侵技術
在網絡信息安全中,病毒入侵對計算機系統的破壞性是極強的,根據前面所講述的,病毒具有很強的隱藏性,它會長期潛伏在我們的計算機系統中,一旦不小心將病毒激活了,那么導致的破壞性是非常強的。所以加強防止病毒入侵技術是非常有必要的,用戶在使用計算機的過程中,在安裝殺毒軟件時,要選擇正版的、專業的殺毒軟件;對于陌生的郵件,用戶要及時給予病毒查殺,有效防止病毒進入計算機系統。
5.結束語
利用立法的手段保障計算機的應用安全,能夠從源頭上有效防止計算機中國家絕密信息的泄露和破壞。可以通過建立相關的行政機構,加強對計算機應用的管理和相關技術的檢測工作來保證計算機的應用安全。該機構要致力于對計算機病毒和黑客的研究,提高自身的抗病毒和抗黑客攻擊的能力,將計算機病毒的方法工作做到最好。
2加強安全技術的應用
2.1防火墻安全技術
防火墻是計算機網絡安全常用的維護技術,能有力確保信息的安全。防火墻技術能夠根據用戶的規則對傳輸的數據執行通過或者拒絕的命令。防火墻技術可以是一臺專門的硬件設備,但其最常見的形式則是作為應用于硬件上的軟件存在,防火墻技術在限制和保護網絡的信息傳輸中發揮重要的作用,其不僅可以保證信息數據的安全性還能將通過防火墻的訪問全部記錄下來,這樣就便于提供數據給預警系統。
2.2加密安全技術
加密技術也是一種能有效保護信息安全的手段,加密技術就是對信息進行重新的編碼加密,將真實的信息進行隱蔽,從而保護這些重要信息的安全。信息數據的加密傳輸主要是通過三種形式,一是鏈接加密,這是在網絡節點間加密的信息技術,該技術在網絡不同節點中傳輸時會對應不同的密碼,在信息傳輸完成后再進行相應的解密工作;二是節點加密,與第一種加密形式相似,但是節點加密要比鏈接加密技術更為安全,因為其在數據傳輸時要通過安全保險箱進行加密和重加密,需要注意的是要講加密硬件進行妥善保管;三是首位加密的方法,這是應用極其廣泛的一項加密技術,是在網絡傳輸時將信息進行加密,再傳輸完成后再進行解密。
2.3網絡防病毒安全技術
計算機網絡具有傳播速度快的顯著特點,這為計算機病毒的發展提供了無限快速的通道,像一滴墨水在水中散開一樣,新病毒在計算機網絡中的傳播速度可謂迅雷不及掩耳之勢,其破壞能力更是不可估量。面對如此嚴峻的形勢,必須要做好病毒入侵的防范工作。計算機網絡的防病毒技術主要是通過監測和掃描網絡服務器中的文件分配不同的訪問權限給網絡目錄和網絡文件,不給病毒留下任何可乘之機。
2.4身份驗證安全技術
身份驗證技術是基于密碼保護的技術,目前已經廣泛應用于該領域之中。應用該技術時,用戶要預先設置好系統密碼,在這之后每一次進行系統應用前都應該提供該密碼進行驗證,通過密碼驗證的方式來判定用戶的合法與否,若是合法用戶,那么系統就會允許用戶做進一步的操作,如果是不合法的用戶,那么便無法直接進入下一步操作程序,會被系統拒絕訪問。
3做好磁盤數據備份
對一個物理磁盤進行精細的硬盤區分是十分必要的,這樣有利于在不同的硬盤區裝設不同的驅動程序、操作系統和常用軟件。在設置好后,要對其進行備份。。其中,最常用的是還原精靈,它可以對磁盤備份區分,在每次開機時對相關內容進行還原。當系統遭到破壞,只要軟件正常,在1分鐘內就可以恢復備份狀態。如果不小心刪除或者添加了某項軟件,通過轉儲功能,也能進行備份處理。在這過程中需要特別注意的是:絕對不能在計算機不安全的狀態下進行轉儲。當機器測試好后,通過ghost可以正確區分各個文件存儲位置與名稱,它可以將C盤鏡像文件直接存儲到E盤,一旦出現問題,通過啟動ghost程序,就能保障文件恢復。
4加強對計算機病毒的研究和管理,避免低水平的重復勞動
要解決重要信息系統的防御病毒能力,同時必須考慮微機抗擊病毒入侵的能力,既要注意抓好要害部門對計算機的病毒的防范,也要加強對計算機工作者的安全教育,強調職業道德和遵紀守法,按規章制度辦事。另外,對計算機病毒的防范不可麻痹大意,掉以輕心,特別應注意以下幾點:
(1)控制自上而下的傳染途徑。盡早檢查從上級部門拷取的代碼,避免給工作帶來損失。
(2)杜絕自下而上的傳染途徑。使用磁盤傳輸數據時,要做到:
①拷貝備份盤若干張;
②不可缺少的文字硬拷貝材料建檔;
③凡是上報的磁盤都要做病毒的檢測,從根本上杜絕病毒自下而上的傳染。
(3)健康地利用計算機網絡。目前,國內計算機多利用校園網或互聯網交換數據,所以應采取以下措施:
①凡上機人員必須辦理申請登記和注冊手續;
②對學生上機實習,要對其使用的軟盤與光盤進行檢查;
③對其他人員也應加強上機管理,以防止對系統的干擾和破壞或病毒的交叉感染;
④盡可能地避開某些可激發病毒程序的日期、數字或字符,以防止病毒的突發,如每月的26日;
