1.计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的机密性、完整性及可使用性受到保护。要做到这一点,必须保证网络系统软件、应用软件、数据库系统具有一定的安全保护功能,并保证网络部件,如终端、调制解调器、数据链路的功能仅仅能被那些被授权的人访问。网络的安全问题实际上包括两方面的内容,一是网络的系统安全,二是网络的信息安全,而保护网络的信息安全是最终目的。
从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全的具体含义随观察者角度的不同而不同。从用户(个人、企业等)的角度来说,希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和不可否认性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯,使用户的利益和隐私不被非法窃取和破坏;从网络运行和管理者角度说,希望其网络的访问、读写等操作受到保护和控制,避免出现“后门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御黑客的攻击;对安全保密部门来说,希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,防止对社会产生危害,并给国家造成损失;从社会教育和意识形态角度来说,网络上不健康的内容会对社会的稳定和人类的发展造成威胁,必须对其进行控制。
2.网络信息安全特征
保证信息安全,最根本的就是保证信息安全的基本特征发挥作用。因此,下面首先介绍信息安全的5大特征。
(1)完整性
完整性指信息在传输、交换、存储和处理过程中保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
(2)保密性
保密性指信息按给定要求不泄漏给非授权的个人或实体,强调有用信息只被授权对象使用的特征。
(3)可用性
可用性指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
(4)不可否认性
不可否认性指通信双方在信息交互过程中,确认参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
(5)可控性
可控性指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
3.信息安全保护技术(www.daowen.com)
网络信息安全强调的是通过技术和管理手段,能够实现和保护信息在公用网络信息系统中传输、交换和存储流通的保密性、完整性、可用性、真实性和不可抵赖性。因此,当前采用的网络信息安全保护技术主要有两种,即主动防御保护技术和被动防御保护技术。
(1)主动防御保护技术
主动防御保护技术一般采用数据加密、身份鉴别、存取控制、权限设置和虚拟专用网络等技术来实现。
1)数据加密。密码技术被公认为是保护网络信息安全的最实用方法。对数据最有效的保护就是加密,因为加密可用不同手段来实现。数据加密就是通过加密系统把原始的数字数据(明文),按照加密算法变换成与明文完全不同的数字数据(密文)的过程。
2)身份鉴别。身份鉴别强调一致性验证,验证要与一致性证明相匹配。通常,身份鉴别包括验证依据、验证系统和安全要求。数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,以代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。
3)存取控制。存取控制表征主体对客体具有规定权限操作的能力。存取控制的内容包括:人员限制、访问权限设置、数据标识、控制类型和风险分析等。它是内部网络信息安全的重要方面。
4)权限设置。规定合法用户访问网络信息资源的资格范围,即反映用户能对资源进行何种操作。
5)虚拟专用网技术。虚拟网技术就是在公网基础上进行逻辑分割而虚拟构建的一种特殊通信环境,使其具有私有性和隐蔽性。
(2)被动防御保护技术
被动防御保护技术主要有防火墙技术、入侵检测系统、安全扫描器、口令验证、审计跟踪、物理保护与安全管理等。
1)防火墙技术。防火墙是内部网与Internet(或一般外网)间实现安全策略要求的访问控制保护,是一种具有防范免疫功能的系统或系统保护技术,其核心的控制思想是包过滤技术。从所采用的技术上看,防火墙有6种基本类型,分别为包过滤型、代理服务器型、电路层网关、混合型、应用层网关、自适应代理技术。
2)入侵检测系统(Intrusion Detection System,IDS)。入侵检测系统是在系统中的检查位置执行入侵检测功能的程序或硬件执行体,可对当前的系统资源和状态进行监控,检测可能的入侵行为。
3)安全扫描器。可自动检测远程或本地主机及网络系统的安全性漏洞点的专用功能程序,可用于观察网络信息系统的运行情况。
4)口令验证。利用密码检查器中的口令验证程序查验口令集中的薄弱子口令。防止攻击者假冒身份登入系统。
5)审计跟踪。对网络信息系统的运行状态进行详尽审计,并保存审计记录和日志,帮助发现系统存在的安全弱点和入侵点,尽量降低安全风险。
6)物理保护与安全管理。通过制定标准、管理办法和条例,对物理实体和信息系统加强规范管理,减少人为管理因素不力的负面影响。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。