第一篇:淺談如何保障網絡信息安全
淺談如何保障網絡信息安全
什么是網絡安全呢?網絡安全的定義為:計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統能連續正常運行。”因此,所謂網絡安全就是指基于網絡的互聯互通和運作而涉及的物理線路和連接的安全,網絡系統的安全,操作系統的安全,應用服務的安全和人員管理的安全等幾個方面。但總的說來,計算機網絡的安全性是由數據的安全性、通信的安全性和管理人員的安全意識三部分組成。
一、產生網絡安全的問題的幾個因素
1、信息網絡安全技術的發展滯后于信息網絡技術
網絡技術的發展可以說是日新月異,新技術、新產品層出不窮,但是這些投入對產品本身的安全性來說,進展不大,有的還在延續第一代產品的安全技術,以Cisco的路由器為例,其低端路由產品從Cisco2500系列到7500系列,其密碼加密算法基本一致,僅僅是將數據吞吐能力及數據交換速率提高數倍。還有IPS防御系統等,考慮到經濟預算、實際要求等并未采用安全性能最好的產品,從而在硬件條件上落后于網絡黑客技術的更新。
2、操作系統及IT業務系統本身的安全性,來自Internet的郵件夾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件
目前流行的許多操作系統均存在網絡安全漏洞,還有許多數據庫軟件、office辦公軟件等都存在系統漏洞,這些漏洞都能為黑客侵入系統所用。而來自外部網絡的病毒郵件及web惡意插件主要是是偽裝官方郵件或者網站,從而達到利用計算機網絡作為自己繁殖和傳播的載體及工具。企業很多計算機用戶并不太懂電腦的安全使用,安全意識缺乏,計算機系統漏洞不及時修復,計算機密碼不經常修改且未符合策略要求,下班后未關閉計算機,這都為網絡安全留下了隱患。
3、來自內部網用戶的安全威脅以及物理環境安全威脅
來自內部用戶的安全威脅遠大于外部網用戶的安全威脅,特別是一些安裝了防火墻的網絡系統,對內部網用戶來說一點作用也沒有。再強大的入侵防御系統對于自然災害、人為破壞都是無可奈何的。
4、缺乏有效的手段監視、評估網絡系統的安全性
完整準確的安全評估是網絡安全防范體系的基礎。它對現有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估,并保障將要實施的安全策略技術上的可實現性、經濟上的可行性和組織上的可執行性。網絡安全評估分析就是對網絡進行檢查,查找其中是否有系統漏洞,對系統安全狀況進行評估、分析,并對發現的問題提出建議從而提高網絡系統安全性能的過程。如今正在進行的系統劃級等保工作,就是對單位內使用的應用系統進行評估預測并作出相對應的防御措施。
5、使用者缺乏安全意識,許多應用服務系統在訪問控制及安全通信方面考慮較少,并且如果系統設置錯誤,很容易造成損失。
在一個安全設計充分的網絡中,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限,利用這些權限破壞網絡安全的隱患也是存在的。如操作口令的泄漏,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,內部人員有意無意的泄漏給網絡攻擊帶來可乘之機等,都可能使網絡安全機制形同虛設。
那么針對以上越來越多的網絡漏洞、網絡攻擊、信息泄密,我們應該如何著手信息安全工作呢?以下將圍繞如何保障企業網絡安全環境進行研究,主要從硬件安全、人員管理安全、安全防御系統部署等幾個方面進行闡述。
二、網絡安全的幾點做法和管理方法
1、硬件安全
網絡安全的防護中,硬件安全是最基礎的也是最簡單的。定時檢查網絡安全以防鏈路的老化,人為破壞,被動物咬斷。及時修復網絡設備自身故障。常見的硬件安全保障措施主要有使用UPS電源,以確保網絡能夠以持續的電壓運行;防雷、防水、防火、防盜、防電磁干擾及對存儲媒體的安全防護。
2、系統安全
網絡設備應使用大小寫字母和數字以及特殊符號混合的密碼,且安裝防病毒軟件并及時對系統補丁進行更新,對于不必要的服務及權限盡可能的關閉,對于外來的存儲介質一定要先進行病毒查殺后再使用,對于已中病毒或者木馬的計算機應該迅速切斷網絡并進行病毒查殺,必要時重新安裝操作系統。
3、防御系統及備份恢復系統
防火墻是網絡安全領域首要的、基礎的設備,它對維護內部網絡的安全起著重要的作用。利用防火墻可以有效地劃分網絡不同安全級別區域間的邊界,并在邊界上對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。入侵檢測是防火墻的合理補充,能幫助系統對付網絡攻擊,提高了信息安全基礎結構的完整性。入侵檢測系統(IPS)是一種主動保護網絡資源的網絡安全系統,它從計算機網絡中的關鍵點收集信息,并進行分析,查看網絡中是否有違反安全策略的行為和受到攻擊的跡象。建立網絡監控和恢復系統能夠在系統受到攻擊時具備繼續完成既定任務的能力,可及時發現入侵行為并做出快速、準確的響應,預防同類事件的再發生。在災難發生后,使用完善的備份機制確保內容的可恢復性,將損失降至最低。
4、安全審計與系統運維
安全審計平臺及運維系統是彌補防火墻及IPS不能監控網絡內容和已經授權的正常內部網絡訪問行為,對正常網絡訪問行為導致的信息泄密事件、網絡資源濫用行為(即時通訊、論壇、在線視頻、P2P下載、網絡游戲等)無能為力的補充,它可以實時了解網內各客戶機及服務器出現的情況,存在的異常進程及硬件的改變,系統漏洞補丁的修復情況等等,從而達到起到實時提醒,安全使用計算機。
5、人員管理與制度安全
加強計算機人員安全防范意識,提高人員的安全素質以及健全的規章制度和有效、易于操作的網絡安全管理平臺是做好網絡安全工作的重要條件。行業部分員工缺乏互聯網安全意識,對不明來源的軟件、網頁和郵件等缺乏警惕意識,這些都給網絡安全帶來了危機。人是信息系統的操作者與管理者,而人又極易受到外部環境的影響,可能因為操作失誤等原因造成安全威脅。為此,“防外”應先“安內”,即對行業內部涉密人員加強管理。在人員發生工作調動、提升、免職、退休等時,要做好涉密信息及操作權限的交接工作,加強涉密人員的思想教育和安全業務培訓。目前,網絡技術飛速發展,企業要不斷加強對企業網絡管理員和系統管理員的培訓,引領他們順應新形勢,學習新技術,提高自身技能。
三、結束語
網絡安全與網絡的發展戚戚相關。網絡系統是一個人機系統,安全保護的對象是網絡設備,而安全保護的主體則是人,應重視對計算機網絡安全硬件產品的保護,也應注重樹立人的網絡安全意識,才可能防微杜漸,把可能出現的損失降低到最低點。總之,網絡安全是一個系統工程,不能僅僅依靠防火墻等單個的系統,而需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,與科學的網絡管理結合在一起,才能生成一個高效、通用、安全的網絡系統。
第二篇:網絡信息安全保障方案
網絡信息安全保障方案
保障公司網絡基礎設施及主要業務系統的安全,保證業務不中斷,系統不癱瘓,不出重大信息安全事故。
一、做好信息系統網絡運行維護
1、加強信息系統設備巡檢、網絡監控,再次組織開展網絡安全隱患排查和治理。核心設備系統實行專人專項檢查,堅持重大操作填寫操作票,嚴格審批流程,執行監護制度。技術人員24小時通訊暢通,保證第一時間處理異常,確保BFS++、PI、OA、網絡、網管、公司專線等安全可靠運行。
2、加大信息機房監控力度。加強電源系統、消防系統、空調系統的監控,確保機房供電、溫度、濕度符合標準。
3、進一步完善專業應急預案,保證應急預案的可操作性和可實施性,加強應急保障預案演練機制。
二、強化信息安全防護
1、加強互聯網安全監控。加大對信息安全設備的管理力度,嚴格邊界防火墻防護策略,防止有害信息的侵入和擴散。
2、加強深信服上網行為管理的監控力度。整理、梳理上網設備,控制互聯網聯網機器,細化監控內容,擴大監控范圍,切實提高網絡信息系統的防攻擊、防病毒、防竊密等安全防護工作。
3、做好信息系統安全管理。提高服務器安全配置管理等級,及時更新系統安全補丁,強化網絡與信息業務系統數據的備份,確保業務系統安全運行。
第三篇:網絡與信息安全保障措施
網絡與信息安全保障措施
網絡與信息的安全不僅關系到公司業務的開展,還將影響到國家的安全、社會的穩定。我公司將認真開展網絡與信息安全工作,通過檢查進一步名群安全責任,建立健全的管理制度,落實技術防范措施,保證必要的經費和條件,對有毒有害的信息進行過濾、對用戶信息進行保密,確保網絡與信息安全。
一、網站運行安全保障措施
1、安全意識淡薄是造成網絡安全事件的主要原因。我公司宣傳和網絡管理部分將加強對全體職工的網絡安全教育,增強網絡安全意識,將網絡安全意識與政治意識、責任意識、保密意識聯系起來,樹立網絡與信息安全人人有責的觀念。
2、我公司網站主機采用的虛擬主機服務器,由服務器提供商提供安全可靠的防火墻和主機軟硬件安全服務。機房按照電信機房標準建設,內有必備的獨立 UPS不間斷電源,能定期進行電力、防火、防潮、防磁和防鼠檢查。
3、維護計算機信息安全,裝殺毒軟件及管理軟件,并確保管理軟件正常運行。
4、公司內部要加強自身管理和自我監督,公司內部網絡系統嚴格劃分內網、外網的不同職能,做到內外有別。由網站系統管理員設置共享數據庫信息的訪問權限,并設置相應的密碼及口令。對造作人員的權限嚴格按照崗位職責設定,并有網站系統管理員定期檢查操作人員權限。
5、防止和處理危害網絡安全的突發事件,制定突發事件和敏感時期處置工作預案。處理突發事件要及時果斷,最大限度地遏制突發事件的影響和有害信息的擴散。
6、建立了健全的網站安全管理制度,實現網站安全運行責任制,切實負起確保網站安全的責任。明確責任人和職責,細化工作措施和流程,建立完善管理制度和實施辦法,確保網站的安全有效運行。
7、及時對網站運行情況進行監視,保存、清除和備份的制度。所有網站信息都及時做多種途徑備份,確保存儲安全,減少不必要的損失。
8、制定并遵守安全教育和培訓制度。加大宣傳教育力度,增強用戶網絡安全意識,自覺遵守網絡安全管理有關法律、法規。工作人員及時參加網絡安全技術的培訓,掌握新動態,學習最新網絡安全防范技術。
二、信息安全保密管理制度
1、我公司建立了健全的信息安全保密管理制度,實現信息安全保密責任制,其實負起確保網絡與信息安全保密的責任。嚴格按照“誰主管、誰負責”、“誰主辦、誰負責”的原則,落實責任制,明確責任人和職責,細化工作措施和流程建立完善管理制度和實施辦法,確保使用網絡和提供信息服務的安全。
2、網站信息內容更新全部有網站工作人員完成或管理,工作人員素質高、專業水平好,有強烈的責任心和責任感。網站相關信息發布之前有一定的審核程序。工作人員采集信息將嚴格遵守國家的有關管理法律、法規和相關規定。嚴禁通過我公司網站散布《互聯網信息管理辦法》等相關法律法規明令禁止的信息(即“九不準”),一經發現,立即刪除。
3、遵守對網站服務信息監視、保存、清除和備份的制度。開展網絡有害信息的清理整治工作,對違法犯罪案件,報告并協助公安機關查處。
4、所有信息都及時做備份。按照國家有關規定,網站將保存6個月內系統進行日志和用戶使用日志記錄。
5、制定并遵守安全教育和培訓制度。加大宣傳教育制度,增強網絡安全意識,直覺遵守互聯網管理有關法律、法規、不泄密、不制作和傳播有害信息,不鏈接有害信息或網頁。
三、用戶信息安全管理制度
1、我公司鄭重承諾尊重并保護用戶的個人隱私,除了在與用戶簽署的隱私政策和網站服務條款以及其他公布的準則規定的情況下,未經用戶授權我司不會隨意公布與用戶個人身份有關的資料,除非有法律或程序要求。
2、嚴格遵守網站用戶賬號使用登記和操作權限管理制度,對用戶信息專人管理,嚴格保密,未經允許不得向他人泄密。
我司將嚴格執行本規章制度,并形成規范化管理,建立健全信息網絡安全小組。安全小組由單位領導負責,網絡技術、客戶服務等部門參加,并確定至少1名安全負責人作為突發事件處理的聯系人。
廣州市潤杰醫療器械有限公司
第四篇:網絡信息安全保障責任書(2011 版)
網絡信息安全保障責任書(2011 版)
互聯網接入業務(包括互聯網類專線、主機托管、虛擬主機等)客戶以及信息源責任單位(增值業務服務提供商 SP和增值業務內容提供商 CP、應用提供商 AP、信息發布和傳播等單位)接入中國電信股份有限公司山東分公司(以下簡稱“山東電信”)的各業務內容保證遵守以下各項規定:
第一條 遵守國家有關法律、行政法規和管理規章,嚴格執行網絡信息安全管理規定。
第二條 互聯網接入業務客戶以及信息源責任單位應建立有效的網絡信息安全管理制度和技術保障措施,建立完善的內容管理審核制度,定期組織自查自糾,及時處理各種隱患。落實信息安全責任制,加強從事信息管理人員的教育檢查工作,并接受相關業務主管部門的管理、監督和檢查。
第三條 不得利用中國電信移動通信網、中國電信互聯網或相關業務平臺從事危害國家安全、泄露國家機密等違法犯罪活動,不得利用中國電信移動通信網、中國電信互聯網或相關業務平臺制作、查閱、復制和傳播違反憲法和法律、妨礙社會治安破壞國家統一、破壞民族團結、色情、暴力等的信息,不得利用中國電信移動通信網、中國電信互聯網或相關業務平臺發布任何含有下列內容之一的信息:
1、反對憲法所確定的基本原則的;
2、危害國家安全,泄露國家機密,顛覆國家政權,破壞國家統一的;
3、損害國家榮譽和利益的;
4、煽動民族仇恨、民族歧視,破壞民族團結的;
5、破壞國家宗教政策,宣揚邪教和封建迷信的;
6、散布謠言,擾亂社會秩序,破壞社會穩定的;
7、散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
8、侮辱或者誹謗他人,侵害他人合法權益的;
9、含有法律、行政法規禁止的其他內容的。
10、除上述內容外,信息發布單位必須保證所發布的信息不存在互聯網低俗內容,低俗內容定義見“第十四條”。發現上述違法犯罪活動和有害信息,信息源責任單位應立即采取措施制止并及時向有關主管部門報告。
第四條 手機 WAP 網站不得制作、傳播淫穢色情等有害信息。
第五條 行業短信業務、SP/CP 合作業務等短信群發行為不得發生兩類行為:一是利用行業短信端口向未同意接收信息的用戶發送信息;二是擅自轉租行業短信端口群發信息。
第六條 接入中國電信移動通信網、中國電信互聯網或相關業務平臺的 wap 網站、互聯網網站、短信、彩信及電話信息服務必須具備互聯網信息服務經營許可證及網站備案號。
第七條 保證不通過各種形式利用中國電信各業務系統為任何其他在合法約定之外的業務和服務代收費。
第八條 不得以“家政服務”、“心理咨詢”等名義開辦無特定內容的人工聊天欄目。
第九條 從事電話信息服務的專業咨詢人員必須具備相應的資質,并在信息臺固定經營場所接聽電話,不得將用戶電話呼轉到其他場所。
第十條 從事電話信息服務的所有人工服務要全程錄音,并保存至少 6 個月。
第十一條 在合作業務推廣過程中,信息源責任單位應保證業務、推廣渠道中無任何違法、違規、色情及低俗信息內容;不得利用廣告聯盟等第三方進行合作業務的推廣。
第十二條 接入中國電信移動通信網、中國電信互聯網或相關業務平臺的服務器未經電信方同意,不得為第三方提供服務;服務器未經電信方不得擅自轉租,否則轉租者承擔一切經濟和刑事責任。第十三條 網站備案規定
一、先備案再接入中國電信移動通信網、中國電信互聯網或相關業務平臺的 wap 網站、互聯網網站必須具備互聯網信息服務經營許可證及網站備案號,必須嚴格遵循“先備案、后接入”的原則。未備案嚴禁接入,一經發現未備案網站山東電信立即關停,網站業主承擔工業與信息化部、山東省通信管理局等主管單位的所有懲罰責任,如現金罰款、刑事責任等。
二、保證網站備案信息準確依據《非經營性互聯網備案管理辦法》第二十三條規定,接入中國電信移動通信網、中國電信互聯網或相關業務平臺的 wap 網站、互聯網網站用戶提交的所有備案信息真實準確,備案信息發生變化時,要及時在備案系統中提交更新信息,否則,山東電信有權關閉網站并注銷備案。
第十四條 業務信息中不得有以下互聯網低俗內容:
一、表現或隱晦表現性行為、令人產生性聯想、具有挑逗性或者侮辱性的內容;
二、對人體性部位的直接暴露和描寫;
三、對性行為、性過程、性方式的描述或者帶有性暗示、性挑逗的語言;
四、對性部位描述、暴露,或者只用很小遮蓋物的內容;
五、全身或者隱私部位未著衣物,僅用肢體遮蓋隱私部位的內容;
六、帶有侵犯個人隱私性質的走光、偷拍、漏點等內容;
七、以挑逗性標題吸引點擊的;
八、相關部門禁止傳播的色情、低俗小說,音視頻內容,包括一些電影的刪節片段; 九、一夜情、換妻、SM 等不正當交友信息;
十、情色動漫;
十一、宣揚血腥暴力、惡意謾罵、侮辱他人等內容;
十二、非法“性藥品”廣告和性病治療廣告;
十三、未經他人允許或利用“人肉搜索”惡意傳播他人隱私信息。
第十五條 互聯網接入業務客戶以及信息源責任單位承諾對所發布信息的內容和涉及的版權問題負責,并承擔由此導致的一切法律責任。
第十六條 如需要開辦留言版、BBS、聊天室等電子公告服務,需向屬地通信管理局申請經營性互聯網信息服務許可或者辦理非經營性互聯網信息服務備案時,提出專項申請或者專項備案。凡開辦留言版、BBS、聊天室內容的必須有專人負責安全審核與管理,如出現問題,要承擔一切法律責任。
第十七條 若違反上述規定,山東電信視情節嚴重程度,有權要求互聯網接入業務客戶以及信息源責任單位交納伍仟到壹萬元不等的違約金,并暫停業務接入,直至互聯網接入業務客戶以及信息源責任單位按照業務協議規定及《信息安全保障責任書》的要求完成整改后,方可再次接入。對于二次違規或首次違規造成嚴重后果的,一律禁止恢復接入服務,且不退還任何已交納費用。
第十八條 本責任書經甲乙雙方簽字后生效,責任書文本一式兩份,雙方各執一份。互聯網接入業務客戶以及信息源責任單位:
責任人簽字:(單位蓋章)
日期:
第五篇:網絡信息安全
網絡信息安全
信息安全是指為建立信息處理系統而采取的技術上和管理上的安全保護,以實現電子信息的保密性、完整性、可用性和可控性。當今信息時代,計算機網絡已經成為一種不可缺少的信息交換工具。然而,由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身存在的技術弱點和人為的疏忽,致使網絡易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網絡安全的種種威脅,必須考慮信息的安全這個至關重要的問題。
網絡信息安全分為網絡安全和信息安全兩個層面。網絡安全包括系統安全,即硬件平臺、操作系統、應用軟件;運行服務安全,即保證服務的連續性、高效率。信息安全則主要是指數據安全,包括數據加密、備份、程序等。
1.硬件安全。即網絡硬件和存儲媒體的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡中各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即網絡中的各個信息系統能夠正常運行并能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的監測,發現不安全因素能及時報警并采取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存儲及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的目的。
1.防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現,而專用防火墻提供更加可靠的網絡安全控制方法。
防火墻的安全策略有兩條。一是“凡是未被準許的就是禁止的”。防火墻先是封閉所有信息流,然后審查要求通過的信息,符合條件的就讓通過;二是“凡是未被禁止的就是允許的”,防火墻先是轉發所有的信息,然后再逐項剔除有害的內容,被禁止的內容越多,防火墻的作用就越大。網絡是動態發展的,安全策略的制定不應建立在靜態的基礎之上。在制定防火墻安全規則時,應符合“可適應性的安全管理”模型的原則,即:安全=風險分析+執行策略+系統實施+漏洞監測+實時響應。防火墻技術主要有以下三類:
●包過濾技術(Packct Filtering)。它一般用在網絡層,主要根據防火墻系統所收到的每個數據包的源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包中的各種標志位來進行判定,根據系統設定的安全策略來決定是否讓數據包通過,其核心就是安全策略,即過濾算法的設計。
●代理(Proxy)服務技術。它用來提供應用層服務的控制,起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受代理提出的服務請求,拒絕外部網絡其它節點的直接請求。運行代理服務的主機被稱為應用機關。代理服務還可以用于實施較強的數據流監控、過濾、記錄等功能。
●狀態監控(Statc Innspection)技術。它是一種新的防火墻技術。在網絡層完成所有必要的防火墻功能——包過濾與網絡服務代理。目前最有效的實現方法是采用 Check Point)提出的虛擬機方式(Inspect Virtual Machine)。
防火墻技術的優點很多,一是通過過濾不安全的服務,極大地提高網絡安全和減少子網中主機的風險;二是可以提供對系統的訪問控制;三是可以阻擊攻擊者獲取攻擊網絡系統的有用信息;四是防火墻還可以記錄與統計通過它的網絡通信,提供關于網絡使用的統計數據,根據統計數據來判斷可能的攻擊和探測;五是防火墻提供制定與執行網絡安全策略的手段,它可以對企業內部網實現集中的安全管理。
防火墻技術的不足有三。一是防火墻不能防止繞過防火墻的攻擊;二是防火墻經不起人為因素的攻擊。由于防火墻對網絡安全實施單點控制,因此可能受到黑客的攻擊;三是防火墻不能保證數據的秘密性,不能對數據進行鑒別,也不能保證網絡不受病毒的攻擊。
2.加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據。通過使用不同的密鑰,可用同一加密算法,將同一明文加密成不同的密文。當需要時可使用密鑰將密文數據還原成明文數據,稱為解密。
密鑰加密技術分為對稱密鑰加密和非對稱密鑰加密兩類。對稱加密技術是在加密與解密過程中使用相同的密鑰加以控制,它的保密度主要取決于對密鑰的保密。它的特點是數字運算量小,加密速度快,弱點是密鑰管理困難,一旦密鑰泄露,將直接影響到信息的安全。非對稱密鑰加密法是在加密和解密過程中使用不同的密鑰加以控制,加密密鑰是公開的,解密密鑰是保密的。它的保密度依賴于從公開的加密密鑰或密文與明文的對照推算解密密鑰在計算上的不可能性。算法的核心是運用一種特殊的數學函數——單向陷門函數,即從一個方向求值是容易的,但其逆向計算卻很困難,從而在實際上成為不可能。
除了密鑰加密技術外,還有數據加密技術。一是鏈路加密技術。鏈路加密是對通信線路加密;二是節點加密技術。節點加密是指對存儲在節點內的文件和數據庫信息進行的加密保護。
3.數字簽名技術。數字簽名(Digital Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
在書面文件上簽名是確認文件的一種手段,其作用有兩點,一是因為自己的簽名難以否認,從而確認文件已簽署這一事實;二是因為簽名不易仿冒,從而確定了文件是真的這一事實。數字簽名與書面簽名有相同相通之處,也能確認兩點,一是信息是由簽名者發送的,二是信息自簽發后到收到為止未曾做過任何修改。這樣,數字簽名就可用來防止:電子信息因易于修改而有人作偽;冒用別人名義發送信息;發出(收到)信件后又加以否認。
廣泛應用的數字簽名方法有RSA簽名、DSS簽名和 Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公開密鑰加密使用兩個不同的密鑰,其中一個是公開的,另一個是保密的。公開密鑰可以保存在系統目錄內、未加密的電子郵件信息中、電話黃頁上或公告牌里,網上的任何用戶都可獲得公開密鑰。保密密鑰是用戶專用的,由用戶本身持有,它可以對公開密鑰加密的信息解密。DSS數字簽名是由美國政府頒布實施的,主要用于跟美國做生意的公司。它只是一個簽名系統,而且美國不提倡使用任何削弱政府竊聽能力的加密軟件。Hash簽名是最主要的數字簽名方法,跟單獨簽名的RSA數字簽名不同,它是將數字簽名和要發送的信息捆在一起,所以更適合電子商務。
4.數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Timestamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名
(二)網絡信忽安全的目標
1.保密性。保密性是指信息不泄露給非授權人、實休和過程,或供其使用的特性。
2.完整性。完整性是指信息未經授權不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網絡信息安全進行攻擊的最終目的就是破壞信息的完整性。
3.可用性。可用性是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息
4.可控性。可控性是指授權機構對信息的內容及傳播具有控制的能力的特性,可以控制授權范圍內的信息流向以及方式。
5.可審查性。在信息交流過程結束后,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
網絡信息安全面臨的問題
1.網絡協議和軟件的安全缺陷
因特網的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。很容易被竊聽和欺騙:大多數因特網上的流量是沒有加密的,電子郵件口令、文件傳輸很容易被監聽和劫持。很多基于TCP/IP的應用服務都在不同程度上存在著安全問題,這很容易被一些對TCP/IP十分了解的人所利用,一些新的處于測試階級的服務有更多的安全缺陷。缺乏安全策略:許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被內部人員濫用,黑客從一些服務中可以獲得有用的信息,而網絡維護人員卻不知道應該禁止這種服務。配置的復雜性:訪問控制的配置一般十分復雜,所以很容易被錯誤配置,從而給黑客以可乘之機。TCP/IP是被公布于世的,了解它的人越多被人破壞的可能性越大。現在,銀行之間在專用網上傳輸數據所用的協議都是保密的,這樣就可以有效地防止入侵。當然,人們不能把TCP/IP和其實現代碼保密,這樣不利于TCP/IP網絡的發展。2.黑客攻擊手段多樣
進人2006年以來,網絡罪犯采用翻新分散式阻斷服務(DDOS)攻擊的手法,用形同互聯網黃頁的域名系統服務器來發動攻擊,擾亂在線商務。寬帶網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。
調查資料顯示,2006年初發現企業的系統承受的攻擊規模甚于以往,而且來源不是被綁架的“僵尸”電腦,而是出自于域名系統(DNS)服務器。一旦成為DDOS攻擊的目標,目標系統不論是網頁服務器、域名服務器,還是電子郵件服務器,都會被網絡上四面八方的系統傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統正常的信息處理,借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網絡,把大量的查詢要求傳至開放的DNS服務器,這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的,因此DNS服務器會把回應信息傳到那個網址。
美國司法部的一項調查資料顯示,1998年3月到2005年2月期間,82%的人侵者掌握授權用戶或設備的數據。在傳統的用戶身份認證環境下,外來攻擊者僅憑盜取的相關用戶身份憑證就能以任何臺設備進人網絡,即使最嚴密的用戶認證保護系統也很難保護網絡安全。另外,由于企業員工可以通過任何一臺未經確認和處理的設備,以有效合法的個人身份憑證進入網絡,使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘,嚴重威脅網絡系統的安全。
有資料顯示,最近拉美國家的網絡詐騙活動增多,作案手段先進。犯罪活動已經從“現實生活轉入虛擬世界”,網上詐騙活動日益增多。3.計算機病毒
點擊咨詢 