网络信息安全的内容主要包含以下内容。因此,信息传递的安全性日益成为企业信息安全中重要的一环。据不完全统计,信息安全的威胁来自内部的比例更高。克服实施过程中人为因素的干扰,保障信息安全措施的落实以及信息安全体系自身的不断完善。......
2023-11-16
网络信息安全服务及其重要性
【摘要】:网络信息系统需要用户选择适当的安全服务来对其实施安全防护,消除安全威胁可能带来的危害。在网络信息安全体系中,主要有5种安全服务。从网络安全的角度来看,用户验证错综复杂。
网络信息系统需要用户选择适当的安全服务来对其实施安全防护,消除安全威胁可能带来的危害。在网络信息安全体系中,主要有5种安全服务。
(一)实体认证安全服务
身份认证(authentication)即用户验证,也称实体认证,是证明一个对象的身份的过程。从网络安全的角度来看,用户验证错综复杂。这里我们关心两种形式的用户验证Extranet的安全,一是在初始化登录的顺序过程中,用户—机器的用户验证;另一个是在操作期间机器—机器的用户验证。第一种用户验证的解决办法一般被分类为“你知道某物”“你拥有某物”以及“你是某物”。机器—机器的用户验证一般划分为两种类型:“密码”方法和“其他”方法(一些人喜欢说成“保密的”和“弱的”)。用户验证的等级取决于资产的重要程度以及所用方法的成本。
数字摘要是指发送者通过使用单向散列函数对某个被传输信息的摘要进行加密处理,形成具有密文性质的摘要值,并将此摘要值与原始信息报文一起发送给接收者,接收者应用此摘要值来检验信息报文在传递过程中是否发生改变,并确定报文信息的真实性。数字信封是指发送方采用对称加密技术,对信息进行加密,然后将此对称密钥用接收方的公钥加密之后,将它和信息一起发送给接收方,接收方先用相应的私钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。数字信封安全性能高,能够确保只有规定的接收方才能阅读信息的内容。数字签名也称电子签名,是指利用加密技术在要发送的信息中附加一个特殊的唯一代表发送者身份的标记,用来证明信息是由发送者发出的,它是非对称加密和数字摘要技术的联合应用,在保证信息完整性的同时,保证信息的真实性和不可否认性,同时确认信息发送名的身份。
(二)访问控制安全服务
网络访问控制的目标是保护网络化服务。应该控制对内外网络服务的访问,必须确保访问网络和网络服务的用户不会破坏这些网络服务的安全,确保组织网络与其他组织网络或公用网络之间正确连接、用户和设备都具有适当的身份验证机制、在用户访问信息服务时进行控制。
1.入网访问控制策略
入网访问控制是网络访问的第一层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源,控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行:用户名的识别与验证,用户密码的识别与验证,用户账户的默认权限检查。
用户登录时首先输入用户名和密码,服务器将验证所输入的用户名是否合法。用户的密码是用户入网的关键所在。网络管理员可以对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户名或用户账户是所有计算机系统中最基本的安全形式,用户账户应该只有网络管理员才能建立。用户密码是用户访问网络所必须提交的准入证。用户名和密码通过验证之后,系统需要进一步对用户账户的默认权限进行检查。网络应能控制用户登录入网的位置、限制用户登录入网的时间及限制用户入网的主机数量。当交费网络的用户登录时,如果系统发现“资费”用尽,应还能对用户的操作进行限制。
2.路径控制策略
从用户终端到计算机服务的路径需要进行控制。网络按其设计应该允许最大限度的资源共享和路由选择灵活性。但是,这些特点也会为非法访问业务应用或非法使用信息设施创造条件。对用户终端与用户有权访问的计算机服务之间的路由进行控制(如创建一个实施控制的路径),可以降低这种风险。采用实施控制的路径,是为了防止任何用户不使用用户终端与用户有权访问的服务间的路由,而采用其他路由。
这通常要求在不同的路由位置实施若干个控制措施,其目的是为了通过预定方案在网络各点上限制路由选择方案。
(1)分配专线或专门电话号码。
(2)自动将端口连接到指定应用系统或安全网关。
(3)限制个人用户的菜单和子菜单选项。
(4)防止无限制的网络漫游。
(5)强制外部网络用户使用指定应用系统和/或安全网关。
(6)通过安全网关(如防火墙)积极控制允许进行的信息源到目的地址的通信。
(7)通过为组织内用户组设置不同的逻辑域(如VPN)来限制网络访问。
(8)对实施控制的路径的要求应该基于业务访问控制策略。
3.操作权限控制策略
操作权限控制是针对可能出现的网络非法操作而采取的安全保护措施。用户和用户组被赋予一定的操作权限:网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些服务器和计算机,可以在服务器或计算机上操控哪些程序,访问哪些目录、子目录、文件和其他资源。网络管理员还可以根据访问权限将用户分为特殊用户、普通用户和审计用户,可以设定用户对允许访问的文件、目录、设备能够执行何种操作。特殊用户是指包括网络管理员的对网络、系统和应用软件服务有特权操作许可的用户;普通用户是指那些由网络管理员根据实际需要为其分配操作权限的用户;审计用户负责网络的安全控制与资源使用情况的审计。系统通常将操作权限控制策略,通过访问控制表来描述用户对网络资源的操作权限。
4.远程诊断端口的保护
对诊断端口的访问应该严加控制。许多计算机和通信系统安装了一种维护工程师使用的拨号远程诊断工具,这些诊断端口如果不予以保护就会提供一条非法访问途径。因此,应该使用适当的安全机制(如密钥锁)对其进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行适当安排后才能访问。
5.目录安全控制策略(www.chuimin.cn)
访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目录安全控制策略允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对目录下的子目录和文件的控制权限。对目录和文件的常规操作有读取(Read)、写入(Write)、创建(Create)、删除(Delete)、修改(Modifv)等。网络管理员应当为用户设置适当的操作权限,操作权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对网络资源的访问。
6.网络划分
随着商业合作伙伴关系的建立,要求对信息处理和联网设施进行互联或共享。因此,网络在不断地扩充,超越了传统的组织界限,这样的扩充会提高对使用网络的已有信息系统非法访问的风险。有些系统由于敏感性或重要性的原因要求进行保护,不允许其他网络用户进行访问。在这种情况下,应考虑在网络内采用一些控制措施把信息服务组、用户组和信息系统分离开来。
控制大型网络安全的一种方法是将其分割成不同的逻辑网络域(如组织的内部网络域和外部网络域),每个域都使用一个明确的安全界限来加以保护。在两个要互联的网络之间安装一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动。同时还应该对该网关进行配置,以便按照组织的访问控制策略对这些域之间的通信进行过滤,阻止非法访问,此类网关的一个例子就是常常称为防火墙的东西。网络分割成域的标准应该是访问控制策略和访问要求,还应该考虑采用适用的路由选择或网关技术的相对成本以及它对性能所产生的影响。
7.防火墙控制
防火墙是一种保护计算机网络安全的技术性措施,是用来阻止网络黑客进入企业内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种,通常防火墙都是安置在网络边界上,通过网络通信监控系统隔离内部网络和外部网络,以阻挡来自外部网络的入侵。
(三)数据保密性安全服务
数据保密性就是保证只有授权用户可以访问数据,而限制其他人对数据的访问。数据保密性分为网络传输保密性和数据存储保密性。
就像电话可以被窃听一样,网络传输也可以被窃听,解决这个问题的办法就是对传输数据进行加密,数据加密现在已经大量应用在网络传输过程中。
数据保密性是防止信息泄露的安全措施。数据保密性安全服务又细分为:
(1)报文保密。保护通信系统中的报文或数据库中的数据。
(2)选择段保密。保护报文中所选择的数据段。
(3)通信业务流保密。防止通过观察和分析通信业务流(如信源、信宿、传送时间、频率和路由等)来获得敏感信息等。
数据保密性主要是通过访问控制来实现的,系统管理员把数据分类,分成敏感型数据、机密型数据、私有型数据和公用型数据,对这些数据的访问可以有不同的访问控制,如领导可以访问所有数据,部分人员可以访问敏感型数据和机密型数据,一般人员只能访问私有型数据和公用型数据。这种访问控制是不难实现的,许多操作系统都能实现,如UNIX、Windows NT/2000/XP等操作系统,而Windows 98/95和DOS等操作系统不具有这种功能。
保证数据安全性另一个重要的也是最容易被人们忽略的环节是人的安全意识,一个有经验的黑客可能会收买一个职员或欺骗一个无知的职员,从而获得机密数据,这是一种常见的攻击方式,被称为社会工程(Social Engineering)。
数据保密性在国家机关、商业、军事等领域是十分重要的,如果一个商业计划、军事秘密或国家机关机密、财政机密等被泄露或被人窃取,那将会产生严重的后果或重大损失。
(四)数据完整性安全服务
数据完整性是防止非法篡改数据报、文件或通信业务流,保证正确无误地获得资源的安全措施。数据完整性安全服务又细分为:
(1)面向连接完整性。为一次面向连接传输中的所有数据报提供完整性。其方法是验证数据报是否被非法篡改、插入、删除或重放。
(2)面向连接选择段完整性。在一次面向连接传输中,为数据报中所选择字段提供完整性。其方法是验证数据报中所选择字段是否被非法篡改、插入、删除或重放。
(3)无连接完整性。为一次无连接传输中的所有数据报提供完整性。其方法是验证所接收的数据报是否被非法篡改。
(4)无连接选择段完整性。在一次无连接传输中,为数据报中所选择报字段提供完整性。其方法是验证数据报中所选择报字段是否被非法篡改。
(五)不可否认性安全服务
主要是用来防止发送数据方发送数据后否认自己发送过数据,或接收数据方收到数据后否认自己收到过数据。这种服务又可细分为不得否认发送、不得否认接收和依靠第三方3种。不得否认发送服务向数据的接收者提供数据来源的证据,从而可防止发送者否认发送过这些数据或否认这些数据的内容;不得否认接收服务向数据的发送者提供数据交付证据,从而防止了数据接收者事后否认收到过这些数据或否认它的内容;依靠第三方服务是在通信双方互不信任,但对第三方(公证方)则绝对信任的情况下,依靠第三方来证实已发生的操作。
有关计算机网络与信息安全的文章
- 详细阅读
-
拒绝服务攻击及其类型-网络工程与设计详细阅读
拒绝服务攻击是指一个用户占据了大量的共享资源,使系统没剩余的资源给其他用户再提供服务的一种攻击方式。拒绝服务攻击的结果可以降低系统资源的可用性,这些资源可以是CPU、磁盘空间、Modem、打印机等。拒绝服务攻击的方式有以下几种。2)带宽DoS攻击:用足够多的人,配合上SYN一起实施DoS,消耗服务器的缓冲区和服务器的带宽,是初级DoS攻击。......
2023-11-25
-
网络信息安全研究与防范详细阅读
刘刚严超徐绍飞摘要:在信息化迅速发展的今天,网络技术已经应用于各个领域并产生了深远的影响,网络安全已经成为一个不可忽视的重要问题。网络信息安全问题不仅给个人带来了威胁,也会对国家和社会的和谐产生影响,因此解决潜在的网络安全问题势在必行。作者简介:刘刚,男,1983年生,大学本科,学士,主要从事及研究领域:信息安全、网络安全架构设计及安全风险评估、Web渗透测试等方面的安全研究。......
2023-10-21
-
计算机网络服务类型与信息安全详细阅读
(三)FTP服务FTP服务允许用户在计算机之间传送文件,并且文件的类型不限,可以是文本文件,也可以是二进制可执行文件、声音文件、图像文件、数据压缩文件等。FTP服务是一种实时的联机服务,在进行工作前必须首先登录到对方的计算机上,登录后才能进行文件搜索和文件传送等有关操作。为此,一些信息服务机构为了方便互联网的用户通过网络使用他们公开发布的信息,提供了一种“匿名FTP服务”。......
2023-10-18
-
计算机网络与信息安全-用户名操作及服务启动详细阅读
username添加、删除、更改或查看用户账号名。该参数仅在Windows NT Server域成员的Windows NTWorkstation计算机上可用。默认情况下,Windows NT Server计算机在主域控制器中执行操作。(三)net start作用:启动服务,或显示已启动服务的列表。domainname指定另一个域。username指定登录的用户名。/delete取消指定网络连接。......
2023-10-18
-
计算机网络与信息安全:概念和重要性详细阅读
(二)计算机网络信息安全的重要性在信息社会中,信息具有与能源、物源同等的价值,在某些时候甚至具有更高的价值。随着信息安全保障重要性的日益提高,它在现代战争中已上升为五大作战能力之一。而以计算机为核心的信息网络已经成为现代社会的神经中枢。因此,信息安全与信息安全保障的重点是网络信息安全保障。......
2023-10-18
-
典型应用服务安全的分析-计算机网络与信息安全详细阅读
目前的Internet上,有两套成型的端到端安全电子邮件标准:PGP和S/MIME。基于VPN和其他IP通道技术,封装所有的TCP/IP服务,也是实现安全电子邮件传输的一种方法,这种模式往往是整体网络安全机制的一部分。邮件服务器的安全与可靠性建立一个安全的电子邮件系统,采用合适的安全标准非常重要。但仅仅依赖安全标准是不够的,邮件服务器本身必须是安全、可靠、久经实战考验的。此时电子邮件服务器可能正忙于处理极大数量的信息。......
2023-10-18
-
网络信息安全对策分析:计算机网络与信息安全详细阅读
它是提供信息安全服务,实现网络和信息安全的基础设施,是目前保护网络免遭黑客袭击的有效手段。政府应加快制定网络信息安全管理政策和制度,保证信息产业安全发展。其次,要在道德和文化层面,明确每一位网络使用者的权利和义务,使用者在享受权利的同时,也要自觉履行自身的义务,并和破坏网络信息安全的违法犯罪行为做斗争。在这种情况下,各国积极重视计算机网络信息安全防护工作,并取得了巨大进步。......
2023-10-18
相关推荐