計(jì)算機(jī)網(wǎng)絡(luò)信息安全

計(jì)算機(jī)網(wǎng)絡(luò)信息安全淺析網(wǎng)絡(luò)信息安全摘要：隨著世界科學(xué)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，特別是我國國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng)，信息網(wǎng)絡(luò)已成為國家和社會(huì)發(fā)展新的重要戰(zhàn)略資源。與此同時(shí)，社會(huì)信息的依賴程度越來越高，網(wǎng)絡(luò)和信息系統(tǒng)的安全問題愈加重要。保障網(wǎng)絡(luò)與信息系統(tǒng)安全，更好地維護(hù)國家安全、經(jīng)濟(jì)和社會(huì)穩(wěn)定，是信息化發(fā)展中必須要解決的重大問題。關(guān)鍵字：計(jì)算機(jī)；網(wǎng)絡(luò)信息；安全管理；防范措施面對復(fù)雜多變的國際環(huán)境和互聯(lián)網(wǎng)的廣泛使用，我國信息安全問題日益突出。加入世界貿(mào)易組織、發(fā)展電子政務(wù)等，對信息安全保障提出了新的、更高的要求。雖然計(jì)算機(jī)網(wǎng)絡(luò)在為人們提供便利，卻在同時(shí)也使人類面臨著信息安全的巨大挑戰(zhàn)。在我國經(jīng)濟(jì)正在日益不斷發(fā)展的今天，對于計(jì)算機(jī)網(wǎng)絡(luò)信息安全保障工作的全面部署也自然成為當(dāng)務(wù)之急。計(jì)算機(jī)系統(tǒng)安全1.1計(jì)算機(jī)安全包括的內(nèi)容。1.11設(shè)備安全一些病毒具備破壞計(jì)算機(jī)硬件的能力，以及自然災(zāi)害也可能造成設(shè)備的嚴(yán)重?fù)p毀。出于安全考慮，計(jì)算機(jī)應(yīng)具備準(zhǔn)入控制功能，比如可以通過設(shè)置開機(jī)密碼，加鎖等機(jī)制防止非授權(quán)用戶使用設(shè)備，同時(shí)我們也應(yīng)該重視計(jì)算機(jī)機(jī)房的建設(shè)工作，加強(qiáng)機(jī)房的保衛(wèi)措施。1.12環(huán)境安全對于一些重要的計(jì)算機(jī)，為了能保證其能連續(xù)正常的運(yùn)行，需要環(huán)境保持適宜的溫度、濕度，而且需要穩(wěn)定的電源。另外，電磁屏蔽也是要重點(diǎn)考慮的問題，外來的電磁輻射會(huì)導(dǎo)致某些計(jì)算機(jī)硬件受到干擾，無法正常工作，而計(jì)算機(jī)本身產(chǎn)生的電磁輻射還可能導(dǎo)致機(jī)密般采用層次結(jié)構(gòu)。在分層結(jié)構(gòu)中，對等實(shí)體表示不同系統(tǒng)內(nèi)同一層次上的兩個(gè)實(shí)體。通過分層結(jié)構(gòu)，對等實(shí)體可以進(jìn)行虛擬通信；下層向上層通信提供服務(wù)；實(shí)際通信總在最底層完成。目前最具代表性的網(wǎng)絡(luò)體系結(jié)構(gòu)是OSI參考模型和TCP/IP參考模型。OSI七層模型從下到上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層及應(yīng)用層。TCP/IP參考模型分為四層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。在計(jì)算機(jī)網(wǎng)絡(luò)中，主要的安全防護(hù)措施被稱作安全服務(wù)。安全服務(wù)主要包括認(rèn)證服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、數(shù)據(jù)完整性服務(wù)和非否認(rèn)服務(wù)。3.2IPSec協(xié)議。IPSec協(xié)議是由互聯(lián)網(wǎng)工程任務(wù)組設(shè)計(jì)的確保網(wǎng)絡(luò)層通信安全的機(jī)制。IPSec協(xié)議能夠在網(wǎng)絡(luò)層提供認(rèn)證、訪問控制、機(jī)密性、完整性等安全服務(wù)，它主要包括AH協(xié)議、ESP協(xié)議，以及用于建立會(huì)話密鑰的IKE協(xié)議。3.21AH協(xié)議AH協(xié)議為IP報(bào)文提供數(shù)據(jù)完整性保護(hù)和身份認(rèn)證，但不提供數(shù)據(jù)機(jī)密性服務(wù)。AH的處理分為兩部分：對發(fā)送的數(shù)據(jù)包進(jìn)行添加AH頭的輸出處理；對收到的含有AH頭的數(shù)據(jù)包進(jìn)行還原處理。3.22ESP協(xié)議ESP協(xié)議不但能為IP報(bào)文提供數(shù)據(jù)完整性保護(hù)和身份認(rèn)證，而且能夠提供數(shù)據(jù)機(jī)密性服務(wù)。ESP協(xié)議輸出處理時(shí)，先對數(shù)據(jù)包的相應(yīng)部分進(jìn)行加密處理，然后連同密文一起進(jìn)行完整性檢驗(yàn)處理，產(chǎn)生驗(yàn)證數(shù)據(jù)；輸入處理時(shí)，先對驗(yàn)證數(shù)據(jù)進(jìn)行驗(yàn)證，然后對密文解密，恢復(fù)出原始數(shù)據(jù)。3.23IKE協(xié)議IKE協(xié)議通過密鑰交換過程為IPSec通信雙方提供加密算法和完整性校驗(yàn)算法使用的對稱密鑰，實(shí)際上IKE交換的最終結(jié)果是建立通信雙方的安全關(guān)聯(lián)SA。IKE定義了兩個(gè)階段，第一階段中，通信雙方協(xié)商如何保護(hù)以后的通信，雙方建立一個(gè)通過身份鑒別和安全保護(hù)的通道；然后，使用第一階段協(xié)商的密鑰，雙方之間可以建立多個(gè)第二階段使用的安全關(guān)聯(lián)SA。3.3SSL/TLS協(xié)議。SSL是Netscape公司設(shè)計(jì)的主要同于Web的安全傳輸協(xié)議，SSL協(xié)議為客戶和服務(wù)器之間的數(shù)據(jù)傳送提供了安全可靠的保證。為了防止客戶-服務(wù)器應(yīng)用中的消息竊聽、消息篡改以及消息偽造等攻擊，SSL協(xié)議提供了認(rèn)證服務(wù)、完整性服務(wù)和機(jī)密性服務(wù)。3.31SSL記錄協(xié)議SSL記錄協(xié)議為SSL連接提供兩種服務(wù)：機(jī)密性服務(wù)和數(shù)據(jù)完整性服務(wù)。3.32SSL握手協(xié)議SSL握手協(xié)議支持服務(wù)器和客戶端的相互認(rèn)證，雙方協(xié)商加密算法、MAC算法以及相應(yīng)的密鑰。握手協(xié)議包括四個(gè)階段：發(fā)起階段、服務(wù)器認(rèn)證和密鑰交換階段、客戶端認(rèn)證和密鑰交換階段及結(jié)束階段。3.4網(wǎng)絡(luò)邊界防護(hù)與防火墻技術(shù)。把不同安全級(jí)別的網(wǎng)絡(luò)相連，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。防火墻技術(shù)是保護(hù)網(wǎng)絡(luò)邊界的最成熟、最早產(chǎn)品化的技術(shù)措施。防火墻指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一道防御系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。防火墻實(shí)際上是一種隔離控制技術(shù)，它要求所進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該通過防火墻。防火墻按照事先制定的配置和規(guī)則，檢測并過濾這些信息，只允許符合規(guī)則的數(shù)據(jù)通過。雖然防火墻能夠在網(wǎng)絡(luò)邊界上進(jìn)行極好的防范，但是針對某些攻擊，防火墻卻是無能為力的。例如，針對內(nèi)部攻擊者的攻擊、附在電子郵件上的病毒、使用撥號(hào)上網(wǎng)繞過防火墻等。3.5入侵檢測技術(shù)。入侵檢測系統(tǒng)主要包括三個(gè)基本模塊：數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)分析檢測和事件響應(yīng)。3.51入侵檢測方法入侵檢測的方法主要有異常檢測和誤用檢測。異常檢測方法的工作原理是首先收集一段時(shí)間內(nèi)的主機(jī)、用戶行為的歷史數(shù)據(jù)，通過這些數(shù)據(jù)建立主機(jī)、用戶的正常模式；然后對數(shù)據(jù)源采集的數(shù)據(jù)使用不同的方法判定所檢測的活動(dòng)是否偏離了正常行為模式，從而判定是否有入侵行為發(fā)生。誤用入侵檢測方法的工作原理是首先對已知的入侵行為進(jìn)行分析，提取檢測特性，構(gòu)建攻擊特征率；當(dāng)檢測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，攻擊行為立即被檢測到。3.52入侵檢測技術(shù)面臨的挑戰(zhàn)雖然入侵檢測技術(shù)的發(fā)展十分迅速，但該領(lǐng)域從理論研究到實(shí)際應(yīng)用還存在很多的難題有待研究和探索。主要表現(xiàn)有：高速網(wǎng)絡(luò)對入侵檢測的實(shí)時(shí)性和數(shù)據(jù)處理能力提出了挑戰(zhàn)；現(xiàn)有的入侵檢測系統(tǒng)并不具備檢測新攻擊類型的能力；入侵檢測系統(tǒng)的可擴(kuò)展性問題。安全基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施就是整個(gè)組織提供安全的基本框架，可以被組織中任何需要安全的應(yīng)用和對象使用。具有普適性的安全基礎(chǔ)設(shè)施首先應(yīng)該是適用于多種環(huán)境的框架。這個(gè)框架避免了零碎的、點(diǎn)對點(diǎn)的，特別是沒有互操作性的解決方案，引入了可管理的機(jī)制以及跨越多個(gè)應(yīng)用和計(jì)算平臺(tái)的一致安全性。安全基礎(chǔ)設(shè)施的主要目標(biāo)就是實(shí)現(xiàn)“應(yīng)用支撐”的功能。安全基礎(chǔ)設(shè)施能夠讓應(yīng)用程序增強(qiáng)自己的數(shù)據(jù)和資源的安全，以及與其他數(shù)據(jù)和資源交換中的安全。怎樣使增加安全功能變得簡單、易于實(shí)現(xiàn)是最有用的，例如：具有易于使用、眾所周知的界面；基礎(chǔ)設(shè)施提供的服務(wù)可預(yù)測且有效；應(yīng)用設(shè)備無需了解基礎(chǔ)設(shè)施如何提供服務(wù)。信息安全管理5.1信息安全管理的目的和作用。管理一詞已經(jīng)深入到我們生活中的方方面面，國家、組織、企業(yè)、部門等各個(gè)層次的管理對象都需要實(shí)施與之相匹配的管理，才能有效地達(dá)到管理對象的目標(biāo)。信息安全工作是通過有效的管理，保證各項(xiàng)安全工作按照統(tǒng)一的部署來逐步開展，充分發(fā)揮安全產(chǎn)品的效果，實(shí)現(xiàn)安全資源的統(tǒng)籌使用，真正提高信息安全保障水平。5.2網(wǎng)絡(luò)管理的功能。5.21故障管理故障管理是對網(wǎng)絡(luò)中的問題或故障進(jìn)行檢測、隔離和糾正。使用故障管理技術(shù)，網(wǎng)絡(luò)管理者可以盡快地定位問題或故障點(diǎn)，排除問題故障。5.22配置管理配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理提供的主要功能是通過對設(shè)備的配置數(shù)據(jù)提供快速的訪問，增強(qiáng)網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)的控制；可以將正在使用的配置數(shù)據(jù)域存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)進(jìn)行比較，而發(fā)現(xiàn)問題；可以根據(jù)需要方便地修改配置。5.23安全管理安全管理是控制對計(jì)算機(jī)網(wǎng)絡(luò)中的信息的訪問的過程，主要功能是正確操作網(wǎng)絡(luò)管理和保護(hù)管理對象等安全方面的功能。5.3我國主要的信息安全管理機(jī)構(gòu)。我國的信息安全管理工作是由多個(gè)部委分工合作、共同實(shí)施的，其主要的信息安全管理機(jī)構(gòu)有：國務(wù)院信息化工作辦公室、公安部和各級(jí)公安機(jī)關(guān)、工業(yè)與信息化部、國家保密工作部門及國家密碼管理局。結(jié)束語信息安全是國家發(fā)展所面臨的一個(gè)重要問題，對于這個(gè)問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全