網絡信息安全防御措施

網絡信息安全防御措施-可編輯修改-網絡信息安全防御措施專業(yè)：計算機科學與技術班級：11計算機二班學號：110806051242姓名：張美玲網絡信息安全防御措施全文共15頁，當前為第1頁。網絡信息安全防御措施全文共15頁，當前為第1頁。網絡信息安全防御措施隨著我國社會經濟的發(fā)展，計算機網絡也迅速普及，滲透到我們生活的方方面面。然而由于網絡自身固有的脆弱和中國的網絡信息技術起步比較晚使網絡安全存在很多潛在的威脅。在當今這樣“數字經濟”的時代，網絡安全顯得尤為重要，也受到人們越來越多的關注。本文主要是從分析我國網絡安全存在的問題以及解決對策兩個方面入手。

“計算機安全”被計算機網絡安全國際標準化組織（ISO）將定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。網絡自身的原因導致的計算機網絡安全問題，主要有以下的因素。

網絡信息安全防御措施全文共15頁，當前為第2頁。系統的安全存在漏洞所謂系統漏洞，用專業(yè)術語可以這樣解釋，是指應用軟件或操作系統軟件在邏輯設計上的缺陷或在編寫時產生的錯誤，這個缺陷或錯誤一旦被不法者或者電腦黑客利用，通過植入木馬、病毒等方式可以達到攻擊或控制整個電腦，從而竊取您電腦中的數據，信息資料，甚至破壞您的系統。而每一個系統都并不是完美無缺的，沒有任何一個系統可以避免系統漏洞的存在，事實上，要修補系統漏洞也是十分困難的事情。漏洞會影響到的范圍很大，他會影響到包括系統本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。也就是說在這些不同的軟硬件設備中都會存在不同的安全漏洞。網絡信息安全防御措施全文共15頁，當前為第2頁。近年來，我國計算機的運用普及，以及在數字經濟時代所作出的推動作用，網絡安全也受到大家的關注。總之網絡安全并不是一個簡單的技術問題，還涉及到管理的方面。在日益發(fā)展的技術時代，網絡安全技術也會不斷的進步和發(fā)展。隨著國家宏觀管理和支持力度的加強、信息安全技術產業(yè)化工作的繼續(xù)進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環(huán)境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

信息與網絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速，各個企業(yè)紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續(xù)設立了自己的網站。但是由于許多網站沒有防火墻設備、安全審計系統、入侵監(jiān)測系統等防護設備，整個系統存在著相當大的信息安全隱患。根據有關報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

網絡信息安全防御措施全文共15頁，當前為第3頁。

我國基礎信息產業(yè)薄弱，核心技術嚴重依賴國外，缺乏自主創(chuàng)新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱。被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態(tài)。

信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網絡進行攻擊，國內也有部分人利用系統漏洞進行網絡犯罪，例如傳播病毒、竊取他人網絡銀行賬號密碼等。在研究開發(fā)、產業(yè)發(fā)展、人才培養(yǎng)、隊伍建設等方面與迅速發(fā)展的形勢極不適應。

由于我國的經濟基礎薄弱，在信息產業(yè)上的投入還是不足，特別是在核心技術及安全產品的開發(fā)生產上缺少有力的資金支持和自主創(chuàng)新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

除此之外，我國目前信息技術領域的不安全局面，也與西方發(fā)達國家對我國的技術輸出進行控制有關。

網絡信息安全防御措施全文共15頁，當前為第3頁。針對我國網絡信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規(guī)和信息安全教育。

隨著網絡和計算機技術日新月異地飛速發(fā)展，新的安全問題不斷產生和變化。因此網絡信息的安全必須依靠不斷創(chuàng)新的技術進步與應用、自身管理制度的不斷完善和加強、網絡工作人員素質的不斷提高等措施來保障。同時要加快網絡信息安全技術手段的研究和創(chuàng)新，從而使網絡的信息能安全可靠地為廣大用戶服務。

網絡信息安全防御措施全文共15頁，當前為第4頁。攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數據的敵方進行。攻擊者利用網絡監(jiān)聽或者其他方式盜取認證憑據，之后再把它重新發(fā)給認證服務器。重放攻擊在任何網絡通訊過程中都可能發(fā)生。攻擊者通過插入、修改、刪除等手段篡改所訪問或攔截的信息系統信息。攻擊者偽造信息并通過網絡傳送給接收者。攻擊者無休止地對網上的服務實體不斷進行干擾，使其超負荷運轉，執(zhí)行非服務性操作，最終導致系統無法正常使用甚至癱瘓。

由于主動攻擊影響信息系統的正常工作，因此容易通過檢測發(fā)現，但難以預防此種行為的發(fā)生。因此對付這種攻擊的有效途徑不是預防而是檢測和恢復。網絡信息安全防御措施全文共15頁，當前為第4頁。來自內部網用戶的安全威脅內網就是局域網，它是以NAT（網絡地址轉換）協議，通過一個公共的網關訪問Internet。如果將內部網和外部網相比較，來自內部網用戶的威脅要遠遠大于外部網用戶的威脅，這是由于內部網用戶在使用中缺乏安全意識，例如移動存儲介質的無序管理、使用盜版軟件等，都是內網所存在的網絡安全的隱患。

缺乏有效的手段監(jiān)視網絡安全評估系統所謂網絡安全評估系統，用比較通俗易懂的話來說，就是對網絡進行檢查，看是否有會被黑客利用的漏洞。因此如果不經常運用安全評估系統，對其進行相應的檢查和作出修補，就會造成數據信息資料的外泄。

安全工具更新過慢安全工具指的是保護系統正常運行，并且有效防止數據、資料信息外泄的工具。由于技術在不斷的進步，黑客的技術也在不斷的提升，如果安全工具更新過慢，黑客就會利用新的技術，對其系統存在的漏洞導致一些未知的安全隱患。

由于中國的計算機星期并且廣泛的被使用是近20多年的事情，因而在這么快速的不可遏制的發(fā)展趨勢下，還沒有來得及形成一整套比較完整的法律法規(guī)。這就為許多的不法分子對于信息的盜取提供了可趁之機，也就留下了許多的隱患。

網絡信息安全防御措施全文共15頁，當前為第5頁。保證我國計算機網絡安全的對策針對上面所說到的影響因素，我們采取以下措施：

網絡信息安全防御措施全文共15頁，當前為第5頁。一是建立安全管理機構。計算機網絡安全系統其自身是脆弱并且存在漏洞的，但是要避免其數據資料的外泄，也并不是無計可施，比如建立安全管理機構，就可以有效的防止由于系統漏洞所帶來的不良后果。使黑客沒有下手的可能。

二是安裝必要的安全軟件，并及時更新。安裝必要的殺毒軟件，可以保證在遇到黑客攻擊或者是有不良病毒入侵的時候，及時的隔離或者提醒用戶，防止惡意不法分子對重要信息的竊取和訪問，或者因此而帶來的關于電腦的癱瘓。

三是網絡系統備份和恢復。網絡系統備份是指對于重要的資料和核心數據進行備份，以保證當計算機遭遇了黑客攻擊，還可以通過系統快速的恢復相關資料。這是使用計算機應該養(yǎng)成的一個良好的習慣。

四是完善相應的法律規(guī)章制度。在技術上做到防止其信息安全可能發(fā)生的同時，也應該在管理上做出相應的對策，對其建立完整，行之有效的一個制度，以保證能夠在技術和管理上相得益彰的保證網絡信息的安全。2.5加強職業(yè)道德教育不管是建立安全管理機構還是安裝安全軟件或者資料備份，這些并不是解決網絡安全的根本方法。而只有加強計算機從業(yè)者進行道德教育，培訓，增強他們的安全意識，并且對于青年人進行必要的網絡安全知識的素質教育，才能做到比較切實的防患。

加強全民信息安全教育，提高警惕性。有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

網絡信息安全防御措施全文共15頁，當前為第6頁。

發(fā)展有自主知識產權的信息安全產業(yè)，加大信息產業(yè)投入。增強自主創(chuàng)新意識，加大核心技術的研發(fā)，尤其是信息安全產品，減小對國外產品的依賴程度。

網絡信息安全防御措施全文共15頁，當前為第6頁。

創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關的法律法規(guī)，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

高度重視信息安全基礎研究和人才的培養(yǎng)。為了在高技術環(huán)境下發(fā)展自主知識產權的信息安全產業(yè)，應大力培養(yǎng)信息安全專業(yè)人才，建立信息安全人才培養(yǎng)體系。

加強國際防范，創(chuàng)造良好的安全外部環(huán)境。必須積極參與國際合作，通過吸收和轉化有關信息網絡安全管理的國際法律規(guī)范，加強信息網絡安全。

對計算機網絡安全問題采取的幾點防范措施

。網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

網絡信息安全在很大程度上依賴于技術的完善，包括防火墻、訪問控制、入侵檢測、密碼、數字簽名、病毒檢測及清除、網絡隱患掃描、系統安全監(jiān)測報警等技術。防火墻技術。防火墻（firewall）是指一個由軟件系統和硬件設備組合而成的，在內部網和外部網之間的界面上構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層，在此進行檢查和連接。只有被授權的通信才能通過此保護層，從而使內部網絡與外部網絡在一定意義下隔離，防止非法入侵、非法使用系統資源，執(zhí)行安全管制措施，記錄所有可疑事件。根據對數據處理方法的不同，防火墻大致可分為兩大體系:包過濾防火墻和代理防火墻。

網絡信息安全防御措施全文共15頁，當前為第7頁。訪問控制技術

。訪問控制（access

control）技術是對信息系統資源進行保護的重要措施，它設計的三個基本概念為：主體、客體和授權訪問。主體是指一個主動的實體，它可以訪問客體，包括有用戶、用戶組、終端、主機或一個應用。客體是一個被動的實體，訪問客體受到一定的限制。客體可以是一個字節(jié)、字段、記錄、程序或文件等。授權訪問是指對主題訪問客體的允許，對于每一個主體和客體來說，授權訪問都是給定的。訪問控制技術的訪問策略通常有三種：自主訪問控制、強制訪問控制以及基于角色的訪問控制。訪問控制的技術與策略主要有：入網訪問控制、網絡權限控制、目錄級控制、屬性控制以及服務器安全控制等多種手段。網絡信息安全防御措施全文共15頁，當前為第7頁。

3.入侵檢測技術

。入侵檢測系統（intrusion

detection

system

簡稱

ids）通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發(fā)現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。提供了對內部入侵、外部入侵和錯誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。

數據加密技術

。所謂數據加密（data

encryption）技術是指將一個信息（或稱明文）經過加密密鑰及加密函數轉換，變成無意義的密文，而接收方則將此密文經過解密函數、解密密鑰還原成明文。數據加密是網絡中采用的最基本的安全技術，目的是為了防止合法接收者之外的人獲取信息系統中的機密信息。網絡信息安全防御措施全文共15頁，當前為第8頁。

5.數字簽名技術

。數字簽名（digital

signature）技術是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用hash函數對收到的原文產生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數字簽名能夠驗證信息的完整性。網絡信息安全防御措施全文共15頁，當前為第8頁。

6.防病毒技術

。隨著計算機網絡的發(fā)展，計算機病毒從早期感染單機已發(fā)展到利用計算機網絡技術進行病毒傳播，其蔓延的速度更加迅速，破壞性也更為嚴重。在病毒防范中普遍使用的防病毒軟件，網絡防病毒軟件主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其他資源傳染，網絡防病毒軟件會立刻檢測到并加以刪除。

（二）人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰(zhàn)。

在做好技術安全防護措施的同時，也要加強對信息系統及相關人員的管理，只有技術與管理并重，信息系統才能真正做到安全防護。

首先，網絡設備科學合理的管理。對網絡設備進行合理的管理，必定能增加網絡的安全性。比如將一些重要的設備盡量進行集中管理，如主干交換機、各種服務器等；對終端設備實行落實到人，進行嚴格管理，如工作站以及其他轉接設備；對各種通信線路盡量進行架空、穿線或者深埋，并做好相應的標記等。

其次，是對網絡的安全管理。建立各項網絡信息安全制度，堅持預防為主、補救為輔的原則。制定工作崗位責任制，任務到人，責任到人，責、權、利分明，以最少的投入達到最佳安全狀態(tài)。此外還必須對管理人員進行安全管理意識培訓，加強對管理員安全技術和用戶安全意識的培訓工作。

計算機網絡信息安全是一個系統的工程，涉及技術、管理、使用等許多方面，我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規(guī)等。世界上不存在絕對安全的網絡系統，隨著計算機網絡技術的進一步發(fā)展，網絡安全防護技術也必然隨著網絡應用的發(fā)展而不斷發(fā)展。網絡信息安全防御措施全文共15頁，當前為第9頁。

1、VPN網絡的安全。VPN（Virtual

Private

Network，虛擬專用網絡）是一種通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網絡中建立起安全的“專用”網絡

。它替代了傳統的撥號訪問，通過一個公用網絡（Internet、幀中繼、ATM）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道，利用公網資源作為企業(yè)專網的延續(xù)，節(jié)省了租用專線的費用。

網絡信息安全防御措施全文共15頁，當前為第9頁。

VPN是對企業(yè)內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網。VPN也可作為電信專線（DDN、FR）備份線路，當專線出現故障時可迅速切換到VPN鏈路進行數據傳輸，確保數據無間斷性地傳輸。

進行遠程訪問時，遠程用戶可以通過VPN技術撥號到當地的ISP,然后通過共享路由網絡,連接到總公司的防火墻或是交換機上,在實現訪問信息資源的同時可節(jié)省長途撥號的費用。當一個數據傳輸通道的兩個端點被認為是可信的時候,安全性主要在于加強兩個虛擬專用網服務器之間的加密和認證手段上,而VPN通過對自己承載的隧道和數據包實施特定的安全協議,主機之間可通過這些協議協商用于保證數據保密性、數據完整性、數據收發(fā)雙方的認證性等安全性所需的加密技術和數據簽字技術。

2.Web服務器的安全

網絡信息安全防御措施全文共15頁，當前為第10頁。

Intranet是目前最為流行的網絡技術。利用Intranet，各個企業(yè)，無論大中小，都可以很方便地建立起自己的內部網絡信息系統。Intranet通過瀏覽器來查看信息，用戶的請求送到Web服務器，由Web服務器對用戶的請求進行操作，直接提交靜態(tài)頁面；或通過CGI進行交互式復雜處理，再由Web服務器負責將處理結果轉化為HTML格式，反饋給用戶。因此，Web服務器的安全是不容忽視的。而安全套接字層SSL(Securesocketlayer)的使用為其提供了較好的安全性。

網絡信息安全防御措施全文共15頁，當前為第10頁。

SSL是用于服務器之上的一個加密系統，是利用傳輸控制協議(TCP)來提供可靠的端到端的安全服務,它可以確保在客戶機與服務器之間傳輸的數據是安全與隱密的。SSL協議分為兩層,底層是建立在可靠的TCP上的SSL記錄層,用來封裝高層的協議,上層通過握手協議、警示協議、更改密碼協議,用于對SSL交換過程的管理,從而實現超文體傳輸協議的傳輸。目前大部分的Web服務器和瀏覽器都支持SSL的資料加密傳輸協議。要使服務器和客戶機使用SSL進行安全的通信，服務器必須有兩樣東西：密鑰對（Key

pair）和證書（Certificate）。SSL使用安全握手來初始化客戶機與服務器之間的安全連接。在握手期間，客戶機和服務器對它們將要為此會話使用的密鑰及加密方法達成一致?？蛻魴C使用服務器證書驗證服務器。握手之后，SSL被用來加密和解密HTTPS（組合SSL和HTTP的一個獨特協議）請求和服務器響應中的所有信息。

3.數據庫的安全

網絡信息安全防御措施全文共15頁，當前為第11頁。

在辦公自動化中,

數據庫在描述、存儲、組織和共享數據中發(fā)揮了巨大的作用，它的安全直接關系到系統的有效性、數據和交易的完整性、保密性。但并不是訪問并鎖定了關鍵的網絡服務和操作系統的漏洞，服務器上的所有應用程序就得到了安全保障?，F代數據庫系統具有多種特征和性能配置方式，在使用時可能會誤用，或危及數據的保密性、有效性和完整性。所有現代關系型數據庫系統都是“可從端口尋址的”，這意味著任何人只要有合適的查詢工具，就都可與數據庫直接相連，并能躲開操作系統的安全機制。例如：可以用TCP/IP協議從1521和1526端口訪問Oracle

7.3和8數據庫。多數數據庫系統還有眾所周知的默認帳號和密碼，可支持對數據庫資源的各級訪問。從這兩個簡單的數據相結合，很多重要的數據庫系統很可能受到威協。因此，要保證數據庫的完整性,首先應做好備份，同時要有嚴格的用戶身份鑒別，對使用數據庫的時間、地點加以限制，另外還需要使用數據庫管理系統提供的審計功能，用以跟蹤和記錄用戶對數據庫和數據庫對象的操作，全方面保障數據庫系統的安全。

網絡信息安全防御措施全文共15頁，當前為第11頁。4.網絡安全防范

現階段為了保證網絡信息的安全，企業(yè)辦公的正常運行，我們將采用以下幾種方式來對網絡安全進行防范：

（1）配置防病毒軟件

在網絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。如果與互聯網相連，就需要網關的防病毒軟件，加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

（2）利用防火墻

網絡信息安全防御措施全文共15頁，當前為第12頁。

利用防火墻可以將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環(huán)。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但不能防止來自內部變節(jié)者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

網絡信息安全防御措施全文共15頁，當前為第12頁。

（3）Web、Email的安全監(jiān)測系統

在網絡的www服務器、Email服務器等中使用網絡安全監(jiān)測系統，實時跟蹤、監(jiān)視網絡，截獲Internet網上傳