网络信息安全的保护技术和策略方案一、引言Internet是世界上最大的互联网,它是全球最大的信息超级市场,目前Internet正成为人们不可缺少的工具。然而,Internet是一个全开放的信息系统,已经成为各国信息战的战略目标,窃密和反窃密、破坏与反破坏的斗争是全方位的,不只是个人、集团级的行为,而且是国家级的行为。自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。那么,黑客的攻击为什么屡屡得手呢?其主要有以下几个原因:*现有网络系统具有内在安全的脆弱性。*对网络的管理思想麻痹,没有重视黑客攻击所造成的严重后果,舍不得投入必要的人力、财力、物力来加强网络安全性。*没有采取正确的安全策略和安全机制。*缺乏先进的网络安全技术、工具、手段和产品。*缺乏先进的系统恢复、备份技术和工具。鉴于上述原因,为了加强Internet信息安全保护,有必要针对目前黑客对Internet网站采取的攻击手段制定相应有效的防范措施。二、Internet选择的几种安全模式目前,在Internet应用中可采取各种的防卫安全模式,归纳起来不外乎以下几种方式:1.无安全防卫:这在Internet应用初期多数采取此方式,安全防卫上不采取任何措施,只使用从销售商那里提供的安全防卫措施。这种方法是不采取的,应当摒弃它。2.模糊安全防卫:采用这种方式的网站总认为自己的站点规模小,对外无足轻重,没人知道,即使知道,黑客也不会对其实行攻击。这种想法是非常错误的,事实上,只要是一个网站,很快就会引起人们的关注。因为,许多入侵者并不是瞄准特定目标,只是想闯入尽可能多的机器,虽然它们不会永远驻留在你的站点上,但它们为了掩盖闯入你网站的罪证,势必将对你的网站的有关内容进行破坏,从而给你们的网站带来重大损失。为此要求每个站点要进行必要的登记注册。这样,一旦有人使用服务时,提供服务的人知道它从哪来,但是这种站点防卫信息很容易被发现,例如登记时会有站点的软、硬件以及所用操作系统的信息,黑客就能从这发现安全漏洞,同样在站点与其它站点连机或向别人发送信息时,也很容易被入侵者获得有关信息,因此这种模糊安全防卫方式也是不可取的。3.主机安全防卫:主机安全防卫可能是最常用的一种防卫方式,即每个用户对自己的机器加强安全防卫,尽可能避免已知的可能影响特定主机安全的问题,这是主机安全防卫的本质。但是由于环境的复杂性和多样性,例如操作系统的版本不同、配置不同以及不同的服务和不同的子系统都会带来各种安全问题。即使这些安全问题都解决了,主机防卫还要受到销售商软件缺陷的影响,有时也缺少有合适功能和安全的软件。可是主机安全防卫对一个小的网站或是有强烈安全要求的基地是很合适的,但随着机器数量的增加和有权使用机器的用户数的增加,这种安全防卫比一个计算机网络安全防卫工作还难搞。4.网络安全防卫:这是目前Internet中各网站所采取的安全防卫方式,网络安全防卫方式也就是将注意力集中在控制不同主机的网络通道和所提供的服务上,要比上述几种防卫方式更有效,网络安全防卫包括建立防火墙来保护内部系统和网络、运用各种可靠的认证手段(如:一次性密码等),对敏感数据在网络上传输时,采用密码保护的方式进行。三、安全防卫的技术手段在Internet中,对各网站中的信息安全,在技术上主要是计算机安全和信息传输安全这二个技术环节,主要是由这二方面来完成网络中各种信息的安全。1.计算机安全技术*健壮的操作系统:操作系统是计算机和网络中的工作平台,在选用操作系统时,应选用软件工具齐全、丰富、缩放性强,如果有很多版本可供选择,应选用户群最少的那个版本,这样使入侵者用各种方法(如Unix中采用预编译的方法来攻击计算机)攻击计算机的可能性减少,另外还要有较高访问控制和系统设计等安全功能。*容错技术计算机尽量使其具有较强的容错能力,例如,组件全冗余、没有单点硬件失效、动态系统域、动态重组、错误校正互连:通过错误校正码和奇偶校验的结合保护数据和地址总线;在线增减域或更换系统组件,创建或删除系统域,而不干扰系统应用的进行,也可以采取双机备份同步校验方式,保证网络系统在一个系统由于意外而崩溃时,计算机进行自动切换以确保正常运转,保证各项数据信息的完整性和一致性。2.网络信息安全技术有以下几种技术:1)网络访问控制技术防火墙技术:它是一种有效的网络安全机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务,其准则就是:一切未被允许的就是禁止的;一切未被禁止的就是允许的,防火墙有下列几种类型:a)包过滤技术:通常安装在路由器上(网络层),对数据进行选择,它以IP包信息为基础,对IP源地址,IP目标地址、封装协议(TCP/UDP/ICMP/IPtunnel)、端口号等进行筛选,在OSI协议的网络层进行。b)代理服务技术:通常由二部分构成,服务端程序和客户端程序、客户端程序与中间节点(ProxyServer)连接,中间节点与要访问的外部服务器实际连接,与包过滤防火墙不同之处在于内部网和外部网之间不存在直接连接,同时提供审计和日志服务。c)复合型技术:把包过滤和代理服务两种方法结合起来,可形成新的防火墙,所用主机称为保垒主机,负责提供代理服务。d)审计技术:通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。e)路由器加密技术:加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传达室输到目的端进行解压缩和解密。2)信息确认技术安全系统的建立都依赖于系统用户之间存在的各种信任关系,目前在安全解决方案中,多采用二种确认方式。一种是第三方信任,另一种是直接信任,以防止信息被非法窃取或伪造,可靠的信息确认技术应具有:具有合法身份的用户可以校验所接收的信息是否真实可靠,并且十分清楚发送方是谁;发送信息者必须是合法身份用户,任何人不可能冒名顶替伪造信息;出现异常时,可由认证系统进行处理。目前,信息确认技术已较成熟,如信息认证,用户认证和密钥认证,数字签名等,为信息安全提供了可靠保障。3)密钥安全技术网络安全中,加密技术种类繁多,它是保障信息安全最关键和最基本的技术手段和理论基础,常用的加密技术分为软件加密和硬件加密。1999年国家颁布了《商用密码使用条例》,信息加密的方法有对称密钥加密和非对称加密,二种方法各有其之所长。*对称密钥加密在此方法中加密和解密使用同样的密钥,目前广泛采用的密钥加密标准是DES算法,DES的优势在于加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、密码空间小,”穷举”方式进攻的代价小,它们机制就是采取初始置换、密钥生成、乘积变换、逆初始置换等几个环节。*非对称密钥加密在此方法中加密和解密使用不同密钥,即公开密钥和秘密密钥,公开密钥用于机密性信息的加密;秘密密钥用于对加密信息的解密。一般采用RSA算法,优点在于易实现密钥管理,便于数字签名。不足是算法较复杂,加密解密花费时间长。从目前实际的安全防范应用中,尤其是信息量较大,网络结构复杂时,采取对称密钥加密技术,为了防范密钥受到各种形式的黑客攻击,如基于Internet的”联机运算”,即利用许多台计算机采用”穷举”方式进行计算来破译密码。因此,密钥的长度越长越好。目前一般密钥的长度为64位、1024位,实践证明它是安全的,同时也满足计算机的速度。2048位的密钥长度,也已开始在某些软件中应用。3.病毒防范技术计算机病毒实际上就是一种在计算机系统运行过程中能够实现传染和侵害计算机系统的功能程序。在系统穿透或违反授权攻击成功后,攻击者通常要在系统中植入一种能力,为以攻击系统、网络提供方便的条件。如向系统中浸入病毒、蛀虫、特洛信木马、限门、逻辑炸弹;或通过窃听、冒充等方式来破坏系统正常工作。从Internet上下载软件和使用盗版软件是病毒的主要来源。针对病毒的严重性,我们应提高防范意识,做到:所有软件必须经过严格审查,经过相应的控制程序后才能使用;采用防病毒软件,定时地对系统中的所有工具软件、应用软件进行检测,防止各种病毒的入侵。以上系统地叙述网络的安全方式以及实际应用中应采取的防范措施和技术手段,随着Internet的迅速发展,网络和信息的安全问题将越来越受到人们的重视。但是,目前Internet中仍缺乏的是安全意识,大多数公司或企业都不愿花费太多的精力与资金投入到网络安全防范技术的研究和应用中,任凭网上黑客自由的进出各个网站,这种现象如果发展下去后果将不堪设想。我们相信,通过各种政策法规和防范策略的制定,Internet一定能够得到健康的发展和不断完善。