网络安全现状及应对措施

1、网络平安现状及应对措施论文导读：国际标准化组织ISO将计算机平安;定义为：为数据处理系统建立和采取的技术和管理的平安保护。而网络平安性的含义是信息平安的引申。主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。关键词：网络平安,技术,防火墙1. 网络平安的概念及其现状1.1 网络平安的概念国际标准化组织ISO将计算机平安;定义为：为数据处理系统建立和采取的技术和管理的平安保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏;。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容，其逻辑平安的内容可理解为我们常说的信息平安，是指对信息的保密性、完整性和可用性的保护

2、，而网络平安性的含义是信息平安的引申，即网络平安是对网络信息保密性、完整性和可用性的保护。免费。1.2 网络平安的现状目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元，而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋势公司称，像SOBIG、Slammer等网络病毒和蠕虫造成的网络大塞车，2005年就给企业造成了550亿美元的损失。消息报道， 1998及1999年，DOD美国国防部两次向外界透露其电脑系统遭到过攻击。 在2001年一年里共遭到14,500次黑客攻击，只有70次攻击成功。在这70次当中，有3次造成过危害。 黑客及病毒的成功入侵，不是因为黑客及病毒编写者变得

3、如何厉害，而是相对低水平的系统管理员没有成功堵塞系统中存在的漏洞。他说：网络平安问题主要在于人们不会及时打补丁，以及系统管理员没有做他们应当做的工作。;单单爱虫;病毒就给美国军事及民用计算机网络造成80亿美元的损失。然而，长期与曾经威胁过他们的恶意黑客作斗争而进行的效劳工作，造成的损失就更大。从身份窃贼到间谍在内的其他网络危险造成的损失那么很难量化，网络平安问题带来的损失由此可见一斑。2. 网络平安的主要技术网络设计之初仅考虑到信息交流的便利和开放，而对于保障信息平安方面的规划那么非常有限，这样，伴随计算机与通信技术的迅猛开展，网络攻击与防御技术循环递升，原来网络固有优越性的开放性和互联性变成

4、信息的平安性隐患之便利桥梁。网络平安已变成越来越棘手的问题，只要是接入到因特网中的主机都有可能被攻击或入侵了，而遭受平安问题的困扰。目前所运用的TCP/IP协议在设计时，对平安问题的无视造成网络自身的一些特点，而所有的应用平安协议都架设在TCP/IP之上，TCP/IP协议本身的平安问题，极大地影响了上层应用的平安。网络的普及和应用还是近10年的事，而操作系统的产生和应用要远早于此，故而操作系统、软件系统的不完善性也造成平安漏洞；在平安体系结构的设计和实现方面，即使再完美的体系结构，也可能一个小小的编程缺陷，带来巨大的平安隐患；而且，平安体系中的各种构件间缺乏紧密的通信和合作，容易导致整个系统被

5、各个击破。平安是网络赖以生存的保障，只有平安得到保障，网络才能实现自身的价值。网络平安技术随着人们网络实践的开展而开展，其涉及的技术面非常广，主要的技术如认证、加密、防火墙及入侵检测是网络平安的重要防线。2.1 认证对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下：当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简易方法进行用户身份的认证识别。主要是通信双方对通信的内容进行验证，以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改正。主要是确认用户对

6、某资源的访问权限。数字签名是一种使用加密认证电子信息的方法，其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的，可用对称加密算法、非对称加密算法或混合加密算法来实现。2.2 数据加密加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。主要存在两种主要的加密类型：私匙加密和公匙加密。私匙加密又称对称密匙加密，因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性，它不提供认证，因为使用该密匙的任何人都可以创立、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快，很容易在硬件和软件件中实现。公匙加密比私匙加密出现得

7、晚，私匙加密使用同一个密匙加密和解密，而公匙加密使用两个密匙，一个用于加密信息，另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过假设将两者结合起来，就可以得到一个更复杂的系统。2.3 防火墙技术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理效劳器技术，它们的平安级别依次升

8、高，但具体实践中既要考虑体系的性价比，又要考虑平安兼顾网络连接能力。此外，现今良好的防火墙还采用了、检视和入侵检测技术。防火墙的平安控制主要是基于IP地址的，难以为用户在防火墙内外提供一致的平安策略；而且防火墙只实现了粗粒度的访问控制，也不能与企业内部使用的其他平安机制如访问控制集成使用；另外，防火墙难于管理和配置，由多个系统路由器、过滤器、代理效劳器、网关、保垒主机组成的防火墙，管理上难免有所疏忽。2.4 入侵检测系统入侵检测技术是网络平安研究的一个热点，是一种积极主动的平安防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的开展，入侵检测技

9、术将朝着三个方向开展：分布式入侵检测、智能化入侵检测和全面的平安防御方案。入侵检测系统Instusion Detection System， 简称IDS是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测局部阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止、封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。2.5 虚拟专用网技术是目前解决信息平安问题的一个最新、最成功的技术课题之一，所谓虚拟专用网技术就是在公共网络上建立专用网络，使数据通过平安的加密管道;在公共网络中传播。用以在公共通信网络上构建有两种主流的机制，这两种机制为路由过滤技

10、术和隧道技术。目前主要采用了如下四项技术来保障平安：隧道技术Tunneling、加解密技术Encryption Decryption、密匙管理技术Key Management和使用者与设备身份认证技术Authentication。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。隧道机制应能技术不同层次的平安效劳，这些平安效劳包括不同强度的源鉴别、数据加密和数据完整性等。也有几种分类方法，如按接入方式分成专线和拨号；按隧道协议可分为第二层和第三层的；按发起方式可分成客户发起的和效劳器发起的。2.6 其他网络平安技术1智能卡技术，智能卡技术和加密技术相近，其实智能卡就是密匙的一种媒体，

11、由授权用户持有并由该用户赋与它一个口令或密码字，该密码字与内部网络效劳器上注册的密码一致。智能卡技术一般与身份验证联合使用。2 平安脆弱性扫描技术，它为能针对网络分析系统当前的设置和防御手段，指出系统存在或潜在的平安漏洞，以改良系统对网络入侵的防御能力的一种平安技术。3 网络数据存储、备份及容灾规划，它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据，使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。其他网络平安技术还有我们较熟悉的各种网络防杀病毒技术等等。3. 九条永恒的远离黑客的平安法那么1、当您选择运行一个程序时，您也在做出将计算机的控制权移交给该程序的决定。程序一旦运行便可以

12、执行任何操作，其上限是您自己能在该计算机上执行的所有操作。2、说到底，操作系统只是一系列的 1 和 0，它们在处理器的解释下让计算机执行特定的操作。 改变这些 1 和 0，执行的操作就不同了。 这些1 和 0 存储在什么地方呢？ 还用问？就在计算机上，和其他所有内容在一起！ 它们只不过是文件，如果使用计算机的其他人可以更改这些文件，那就游戏结束;了。3、如果有人能物理地访问您的计算机，他/她就可以完全控制计算机并能执行任何操作如修改数据、偷取数据、拿走硬件或物理地捣毁计算机。4、如果您运行的是 Web 站点，就需要限制访问者的行为。 您应该只允许由您或您所信任的开发人员编写的程序在站点上运行。

13、 但这还不够。 如果您的站点与其他站点共享同一台效劳器，就需要额外小心。如果某个别有用心的人攻陷了该效劳器上的其他站点，他就有可能进一步控制该效劳器，并因此控制该效劳器上的所有站点 包括您的站点。5、不可信的管理员可以取消您采取的所有其他平安措施。他可以更改计算机上的权限、修改系统平安策略、安装恶意软件、添加虚假用户或执行其他种种操作。 因为拥有控制权，他实际上可以彻底破坏操作系统中的任何保护措施。 最糟的是，他可以隐去行踪。如果您遇上了不可信的管理员，您没有半点平安可言。6、许多操作系统和加密软件产品都提供在计算机上存储加密密钥的功能。这样做的好处是方便，因为您无需处理密钥，但却要付出平安代

14、价。 通常情况下，这些密钥会经过变体处理即进行隐藏，有些变体处理方法还相当不错。 但最终不管密码隐藏得多么好，只要它保存在计算机上，就总可以找到。而且它必须能被找到：毕竟软件可以找到密钥，因此一个绞尽脑汁的不良分子也同样能找到。 只要有可能，就请使用脱机的方法存储密钥。7、病毒扫描程序的工作方式是将计算机上的数据与一系列病毒签名进行比拟。 每个签名都是特定病毒的特征。当扫描程序发现文件、电子邮件或其他位置的数据与签名相匹配时，就会认为发现了病毒。 不过，病毒扫描程序只能发现它知道的病毒。保持病毒扫描程序的病毒签名文件处于最新状态非常重要，因为每天都有新的病毒出现。8、在Internet 上保护

15、您的隐私的最正确方式与在日常生活中保护隐私的方式相同 即通过您的行为进行保护。请阅读所访问站点上的隐私声明，且只与认可其做法的站点打交道。 如果对 cookie 不放心，可以禁用它们。 最重要的是防止不加选择地浏览 Web 页：要知道，就像多数大都市都有应尽量避开的阴暗面一样，Internet 也是如此。9、完美的平安性需要到达的完美程度还不存在，事实上永远也不可能存在。这对于软件和人类所涉猎的几乎所有领域都是客观事实。 软件开发不是一门完美的科学，事实上所有软件都有缺陷。 其中有些缺陷可能会被人利用而破坏平安性。 这就是无法更改的事实。但是，即使软件可做到尽善尽美，也不能彻底解决问题。大多数

16、攻击在某种程度上牵涉到对人类本性的操纵 这通常被称为社交工程;。 如果对平安技术进行攻击的本钱和难度提高，别有用心的人会改变其应对策略：即将重点从技术转移到控制台处的人。 了解您在维护稳固的平安性方面所起的作用非常重要，否那么，您本人就会成为自己系统平安保护层上的漏洞;。4. 思考网络平安建设是一个系统工程、是一个社会工程，网络平安问题的对策可从下面4个方面着手。网络平安的保障从技术角度看。首先，要树立正确的思想准备。免费。网络平安的特性决定了这是一个不断变化、快速更新的领域，况且我国在信息平安领域技术方面和国外兴旺国家还有较大的差距，这都意味着技术上的持久战;，也意味着人们对于网络平安领域的

17、投资是长期的行为。其次，建立高素质的人才队伍。目前在我国，网络信息平安存在的突出问题是人才稀缺、人才流失，尤其是拔尖人才，同时网络平安人才培养方面的投入还有较大缺欠。最后，在具体完成网络平安保障的需求时，要根据实际情况，结合各种要求如性价比等，需要多种技术的合理综合运用。网络平安的保障从管理角度看。考察一个内部网是否平安，不仅要看其技术手段，而更重要的是看对该网络所采取的综合措施，不光看重物理的防范因素，更要看重人员的素质等软;因素，这主要是重在管理，平安源于管理，向管理要平安;。再好的技术、设备，而没有高质量的管理，也只是一堆废铁。网络平安的保障从组织体系角度看。免费。要尽快建立完善的网络平安组织体系，明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系，和认证认可各级结构，保证信息平安技术、信息平安工程、信息平安产品，信息平安管理工作的组织体系。最后，在尽快加强网络