信息工程学院 信息资源与管理论文 第 1 页 共 1 页 信息安全研究现状模型
【摘要】随着电子商务技术的发展,信息安全得到越来越多的重视,网络交易安全成了电子商务发展的核心和关键问题,对于网络隐私数据(网络隐私权)安全的有效保护,成为电子商务顺利发展的重要市场环境条件。网络信息安全技术、信息安全协议等的隐私安全保护的有效手段。信息安全最初用于保护信息系统中处理和传递的秘密数据,注重机密性, 计算机网络的普及和发展,人们的生活和工作越来越依赖于网络,与此同时网络安全问题也随之呈现出来。首先分析了常用的安全技术:防火墙技术,数据加密技术,入侵检测技术,网络安全扫描技术,然后讨论了网络安全策略,最后给出了网络安全技术的发展趋势。随着Internet的普及和发展,计算机网络已经和人们的学习、工作紧密地联系在一起,越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源,以及方便快捷地收发信息。人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验,网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们。因此,解决网络安全问题势在必行。
【关键词】信息安全、网络隐私;安全协议、安全对策 1.1信息安全的内容 1.1.1硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。 1.1.2软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效。不被非法复制。 1.1.3运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。 1.1.4数据安全。即网络中存储及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。 信息工程学院 信息资源与管理论文 第 2 页 共 2 页 2.重要信息系统的主要安全隐患及安全防范的突出问题 2.1数据的篡改 2.1.1程序漏洞、配置文件不合理等造成对动态网页、网站的数据篡改
根据国内一些网络安全研究机构的资料,国内大部分的ISP、ICP、IT 公司、政府、教育和科研机构等都没有精力对网络安全进行必要的人力和物力投入;很多重要站点的管理员都是Internet 的新手,一些操作系统如UNIX,在那些有经验的系统管理员的配置下尚且有缺陷,在这些新手的操作中更是漏洞百出。很多服务器至少有三种以上的漏洞可以使入侵者获取系统的最高控制权。为了使广大用户对自己的网络系统安全现状有一个清醒的认识,同时提高对信息安全概念的了解和认识,强化网络系统安全性能,首创网络近日向用户推出免费安全扫描服务活动。
2.1.2安全意识淡薄、管理层措施不到位等造成内部人员篡改数据
2009年,通过对某部委级政府网 站的子网站进行渗透测试.测试人员 发现。该网站的网页是静态页面.但其 网站的后台管理及贞面发布界面对巨联 网开放,测试人员使用简单的口令暴力 破解程序就破解了后台管理的管理员口令,以管理员身份登录到页面发布系统, 在这里可以进行页面上传、删除等操 作。如果该网站的后台管理系统被黑客 人侵,整个网站的页面都可以被随意修 改,后果十分严重。我们认为。一般导 致静态网贞被篡改的几大问题为: 1)后台管理贞面对互联网公开可见,没有启用加密措施对其实施隐藏保 护,使其成为系统被入侵的重要入口;2) 后台管理贞面没有安全验证机制,使得 利用工具对登录页面进行管理员账户口令暴力破解成为可能;3)后台管理贞面登录口令强度偏弱.使暴力软件在有限 的时间内就猜解出了管理员账户口令;4) 没有使用网页防篡改产品。使得网页被篡改后不能及时发现问题并还原网页。 易以管理员身份登录管理页面;5)网站上传功能没有内容验证,使攻击者可 以轻易上传后门程序,并最终利用后门 程序控制整个网站、篡改网站数据。 2.1.3软件代码安全造成软件产品漏洞或后门安全隐患
软件产品漏洞或后门安全隐患往往是由于软件代码安全等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门安全隐患的几大问题是:软件设计阶段没有考虑来自互联网信息工程学院 信息资源与管理论文 第 3 页 共 3 页 的安全威胁;软件开发阶段缺少针对源代码安全质量的监控;软件在交付使用前没有进行源代码安全分析。 2.2系统入侵与网络攻击 2.2.1技术手段落后造成针对系统的远程节点的入
软件产品漏洞或后门安全隐患往往是由于软件代码安全等问题造成的。一般在重要信息系统中导致软件产品漏洞或后门安全隐患的几大问题是:软件设计阶段没有考虑来自互联网的安全威胁;软件开发阶段缺少针对源代码安全质量的监控;软件在交付使用前没有进行源代码安全分析。远程控制是指一个远程用户控制一台位于其他地方的计算机。这台计算机可能是有专门用途的服务器系统,也可能是用户自己的计算机。他跟远程节点访问类似,但又有所不同。当用户通过远程节点访问服务器,则用户自己并不知道有人在访问自己。而通过远程控制访问的话,则在窗口中可以直接显现出来。 2.2.2保护措施不到位造成针对公共网站的域名劫持
由于系统或网站保护措施不到位,导致域名被劫持。特别是政府网站、大型门户网站、 搜索引擎成为了域名劫持的主要对象。 针对公共网站的域名劫持往往是由于保护措施不到位 等问题造成的。 总结出重要信息系统中, 针对大型公共网站的域名劫持的几大问题, 它们是: 1) 域名提供商的程序有漏洞; 2) 域名注册信息可见,特别是用于域名更改的确认邮件可见。这也是重大安全 问题。一旦这个邮件账户被劫持,就可以冒充合法用户修改网站域名。 2.3.1网络安全
网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设备的安全运行,提供有效的网络服务;另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,是的在尽可能安全的情况下实现最大程度的资源共享,这是实现网络安全的理想目标。 由于网络具有开放等特点,相比其他方面的安全要求,网络安全更需要注重整体性,及要信息工程学院 信息资源与管理论文 第 4 页 共 4 页 求从全局安全角度关注网络整体结构和网络边界(网络边界包括外部边界和内部边界),也需要从局部角度关注网络设备自身安全等方面。 网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设别、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用防火墙、入侵检测系统、恶意代码防范系统、边界完整性检查系统及安全管理中心等安全产品提供的安全功能来满足。而结构安全是不能够由任何设备提供的,它是对网络安全结构设计的整体要求。 2.3.2主机安全
主机是由服务器、终端/工作站等引硬件设备与设备内运行的操作系统、数据库系统及其他系统级软件共同构成。主机安全要求通过操作系统、数据库管理 系统及其他安全软件(包括防病毒、防入侵、木马检测等软件)实现了安全功能来满足。信息系统内的服务器按其功能划分,可分为应用服务器、数据库服务器、安全服务器、网络管理服务器、通信服务器、文件服务器等多种服务器。终端可分为管理终端、业务中断、办公终端等。主机是网络上的单个节点,因此主机安全是分散在各个主机系统上的,不像网络安全需要考虑安全功能的整体效果。 2.3.3 应用安全
应用安全是继网络、主机系统的安全防护之后,信息系统整体防御的最后一道防线。但应用系统安全与网络、主机安全不同,应用系统一般需要根据业务流程、业务需求由用户定制开发。因此,应用系统安全的实现机制更具灵活性和复杂性。应用系统是直接面向最终的用户,为用户提供所需的数据和处理相关信息、因此应用系统可以提供更多与信息保护相关的安全功能。 应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的,一般不同层的应用都需要实现同样强度的身份鉴别,访问控制、安全审计、剩余信息保护及资源控制等,但通信保密性、完整性一般在同一个层面实现。 2.3.4数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起信息工程学院 信息资源与管理论文 第 5 页 共 5 页 着至关重要的作用。一旦数据遭到破坏(泄露、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机系统、应用等)都对各类数据进行传输、存储和处理,因此对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
【结束语】 随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
【参考文献】 [1] 吴立军,赵洋,信息安全概论.北京市:清华大学出版社,2013.11 [2] 杨义先,马春光,信息安全新技术.北京市:北京邮电大学出版社,2013.1, [3] 张建标,赖英旭,信息安全体系结构.北京市:北京工业大学出版社,2011.9, [4] 李园园,信息安全研究价值.上海市:世界图书上海出版公司,2014.1 [5] 李春东,信息安全管理.武汉市:武汉大学出版社,2008,2 [6] 李建华,信息安全综合实践.北京市:清华大学出版社,2010.1, [7] 郎庆兵,孙毅. 个人信息安全研究与实践.北京市:人名出版社,2012.11: [8] 应飞虎, 信息、权力与交易安全:消费者保护研究..北京市:北京大学出版社,2008.9; [9] 卢丽丽,质量安全信息集成研究.北京市:中国质检出版社,2013.12,, [10] 王海军,网络信息安全研究管理.济南市:山东大学出版社,2010.8,266页 [11] 唐珂,网络环境下信息安全管理体系研究.北京市:中国长安出版社,2007.4, [12] 王丽娜,信息安全导论.武汉市:武汉大学出版社,2008.8, [13] 张鹏洲,传媒信息安全策略与实施.北京市:中国传媒大学出版社,2007, [14]冯景超,温浩宇, 信息安全与通信保密.陕西省:西安邮电学院学报,2006 [15]王宇红,网络信息安全的立法评析与完善对策[j]情报杂志,2003.3