㈠ 網路安全具備哪五個特性
網路安全五個屬性:保密性、完整性、可用性、可控性以及不可抵賴性。這五個屬性適用於國家信息基礎設施的教育、娛樂、醫療、運輸、國家安全、電力供給及通信等領域。
第一、保密性
信息不泄露給非授權用戶、實體或者過程,或供其利用的特性。保密性是指網路中的信息不被非授權實體獲取與使用。這些信息不僅包括國家機密,也包括企業和社會團體的商業機密或者工作機密,還包括個人信息。人們在應用網路時很自然地要求網路能夠提供保密服務,而被保密的信息既包括在網路中傳輸的信息,也包括存儲在計算機系統中的信棚凱息。
第二、完整性
數據未授權不能進行改變的特襪碼性。即信息存儲或傳輸過程中保持不被修改、不被破壞或丟失的特性。數據的完整性是指保證計算機系統上的數據和信息處於一種完整和未受損害的狀態,這就是說數據不會因為有意或者無意的事件而被改變或丟失。除了數據本身不能被破壞外,數據的完整性還要求數據的來源具有正確性和可信性,也就是說需要首先驗證數據是真實可信的,然後再驗證數據是否被破壞。
第三、可用性
可用性是指對信息或資源的期望使用能力,即可授權實體或用戶訪問並按要求使用信息的特性。簡單來說,就是保證信息在需要時能為授權者所用,防止由於主客觀因素造成的系統拒絕服務。比如網路環境下的拒絕服務、破壞網路和有關系統的正常運行都屬於對可用性的攻擊。
第四、可控性
可控性是人們對信息的傳播路徑、范告和哪圍及其內容所具有的控制能力,即不允許不良內容通過公共網路進行傳輸,使信息在合法用戶的有效掌控之中。
第五、不可抵賴性
也就是所謂的不可否認性。在信息交換過程中,確信參與方的真實統一性,即所有參與者都不能否認和抵賴曾經完成的操作或者承諾。簡單來說,就是發送信息方不能否認發送過信息,信息的接收方不能否認接收過信息。
互聯網網路安全的隱患及防範
對於網路安全的隱患,我認為它主要包括兩個方面,第一個是互聯網目前面臨的威脅。這有一個比較標準的定義,可能是導致對系統或者是組織產生損害,這樣的意外事件發生的潛在的原因。比如說黑客攻擊、網路上泛濫的病毒、垃圾郵件、各種軟硬體的漏洞,這些都是互聯網所面臨的威脅。
第二個就是互聯網的脆弱性。指的是可能會被一個或者是多個威脅所利用的弱點。關於互聯網的弱點,我認為本身互聯網是跑在一個TCIP的協議之上,所以對於很多上行的應用有一些脆弱的部分。而且網路的實體,也是受到自然災害和環境的影響,也存在著一定的脆弱性。比如說台灣地震的時候,導致了海底的光纜中斷,影響了東南亞的用戶,這就是網路脆弱性的表現。
互聯網存在的安全隱患,主要有6個方面。
第一個是網路安全管理方面存在的隱患。都說安全管理工作是三分技術七分管理,如果你採用了安全技術進行管理,還出現隱患,那麼就是管理方法方面遇到了隱患。
第二個就是軟硬體存在的漏洞。歸根到底都是軟硬體系統的漏洞,所以我們放在第二位。
第三個是黑客的攻擊和威脅。
第四個計算機病毒、垃圾郵件和間諜軟體。
第五個是信息戰的威脅。
第六個是自然或人為災害。
那麼網路安全方面的隱患,首先是是否友好的安全側,然後有一個嚴格的管理制度,人民有一個負責的高效運作的管理團隊和人員,能夠把安全管理程序實施到位。那麼還要對於安全管理團隊的成員進行適當的培訓,以及全體員工的安全風險或者是安全意識的教育。另外一個就是看看這個單位是否有一個定期的風險評估或者是整改工作。因為只有通過風險評估,你才能發現你是否切切實實存在一些隱患,然後並加以整改。
第二個方面就是軟硬體系統的漏洞。互聯網目前所面臨的威脅,有很大一部分都是可以追溯到軟硬體的漏洞方面。比如說目前DNS軟體存在的漏洞,現在大家都知道BING是域名系統最廣泛應用的軟體,但是它多次出現在SAAS公布的排名當中,而且是威脅第一的。那麼這可能導致攻擊事件或者是惡意網站這樣安全事件的發生。
第三個方面是黑客威脅的攻擊。目前來說,黑客的攻擊目標是越來越明確,而且是呈現了有組織和區域性的趨勢。所以,它現在對於互聯網造成的威脅是最大的。根據CNCERT,就是國家計算機網路應急處理技術協調中心公布的2007年上半年的報告,光在中國大陸他們監測到感染僵屍網路的比例是520萬台。黑客可以利用僵屍網路發動攻擊或者是發送垃圾郵件、傳送病毒等等這樣一系列的威脅和攻擊。尤其是拒絕服務攻擊,很大一部分帶有勒索的性質。比如說針對以網路為核心的中小企業的攻擊,很可能有勒索的性質,導致中小企業不得不屈從於黑客的要求。
另外,還有針對DNS的拒絕服務攻擊,這樣的話,會導致用戶很多的網站不能訪問,很多的互聯網的應用不能使用。
關於計算機病毒、垃圾郵件、間諜軟體,這這邊列出了國家計算機病毒中心2007年的十大病毒排行榜。這10種病毒裡面除了德芙、灰鴿子和Smail以外,其他的都是和盜竊帳號相關的病毒。所以,現在的病毒有一種傾向,所以它造成互聯網上面的威脅也越來越大。那麼根據CNCERT2007年上半年的網路安全事件報告中,25%都是和垃圾郵件相關的。那麼這會導致你這個用戶的信息北道區或者是傳播病毒,或者是傳播了色情非法的信息。
第五個就是信息站的威脅。因為現在的計算機網路系統涉及到社會的整個方方面面,跟國家的經濟、軍事密切相關。所以,也會成為網路間諜或者是敵軍勢力攻擊的目標。這個從2007年的下半年曝光的台灣間諜竊取大陸機密信息的事件,還有一些西方媒體莫須有的宣傳中國黑客的入侵事件的報道當中,可以發現信息站的威脅是確確實實存在的。
最後一個就是自然或人為災害。因為互聯網也是一個自然的信息系統,也可能造成自然災害或者是環境的影響,不是所有的計算機房都有防地震、洪水等等一系列的要求。另外一個是人為的災害,比如說發生戰爭,咱們的網路系統被敵方摧毀,還比如說遭到了敵對分子的蓄意破壞等等。
那麼在講完了對於互聯網網路安全隱患的分類之後,再看一下美國互聯網的系統網路安全協會在2008年1月份公布的10大網路安全威脅。在他們公布的10大威脅當中,可以歸為上面介紹到的幾個分類當中去。比如說排在第一位的是針對網路瀏覽器,尤其是針對插件的攻擊。本身為什麼插件容易遭到攻擊呢?本身是因為它存在漏洞,而且不能隨著瀏覽器的升級而升級,所以它本身來說是軟、硬體系統的漏洞。
第二位的就是數量越來越多或者是技術越來越成熟的僵屍網路。這個本質上來說,就是屬於黑客的威脅和攻擊。另外8種就不一一地給大家介紹了。
關於互聯網安全隱患的預防措施,我認為可以從三個方面來著手。
第一個是安全管理制度跟安全隊伍的建設。所有跟互聯網相關的單位,都應該注意網路安全的隱患。因為你有了安全設施之後,並不一定可以完全避免網路安全內部的隱患,所以我們要加強安全管理隊伍的建設,而且要制定嚴格的安全管理制度。目前,國際上已經有了相關的國際標准,比如說ISO27002標准。國內的一些企業或者是單位,也已經針對這個標准,來進行了具體的安全工作,很多的單位也通過了相關的認證。
國內跟這個標准相對應的國標,也實行了草案的分析意見。
另外一個方面就是技術方面,這我就不做很詳細的解釋。實際上就是一些通用的安全技術,比如說防火牆、數據加密、入侵檢測和防護、防病毒、抗攻擊等等,這些都是一些比較通用的技術。另外就是要結合本單位的實際,設計一些和本單位相關的技術,比如說內部審計的技術等等。
另外一種比較重要的就是災備中心的建設,這個在抵禦自然和人為方面的損害還是比較有效的手段。
第三方面就是法律法規的完善,這就是需要建立互聯網網路時間的應急處理機制。信產部在年初已經發布了07年修訂的互聯網網路安全應急處置預案。然後,各大運營商包括我們CNNIC都是成員單位。
另外一點,就是公安部牽頭的信息系統的登記保護工作,還有互聯網的立法。比如說刑法有一條對於攻擊國家政府網站的處罰規定,還有互聯網電子郵件服務管理辦法。雖然這些制度的完善,互聯網的安全隱患會慢慢地降低。
最後,我介紹一下CNNIC互聯網安全隱患的關注重點。
這是05年對於CN域名的節點進行了重新的部署,在國內5大ISP進行了分布,同時在韓國和德國設立了海外節點。通過ISP的分布,DNS解析的有效性會很高。
第二,在開發自有的DNS軟體,目前已經進入了實際的測試階段。
第三,在06、07年,分別完成了同城災備中心和異地災備中心的建設,全面應對自然災害這種不可控因素。
最後,我想在這里發一個呼籲。大家可以看現在這張圖,是一個完整地DNS解析的過程。一次完整的DNS解析,不僅涉及到根伺服器,.cn的根伺服器,其實還包括的各級的權威伺服器和本地的DNS。在整個的解析服務當中,出現安全隱患的環節,包括了網路層的DNS報文劫持,還包括了黑客利用DNS軟體漏洞進行入侵控制,篡改DNS數據等等,所有這些都可以使用戶在使用互聯網的時候遇到障礙。所以,希望各DNS伺服器的維護服務單位,都加強DNS的安全管理。提高冗餘容量來抵抗攻擊,盡量在DNS解析方面,降低互聯網所面臨的威脅。
㈢ 簡述計算機安全的三種類型
1、實體安全
計算機系統實體是指計算機系統的硬體部分,應包括計算機本身的硬體和各種介面、各種相應的外部設備、計算機網路的通訊設備、線路和信道等。
而計算機實體安全是指為了保證計算機信息系統安全可靠運行,確保在對信息進行採集、處理、傳輸和存儲過程中,不致受到人為或自然因素的危害,而使信息丟失、泄密或破壞,對計算機設備、設施(包括機房建築、供電、空調等)、環境、人員等採取適當的安全措施。
是防止對信息威脅和攻擊的第一步,也是防止對信息威脅和攻擊的天然屏障,是基礎。主要包括以下內容:
環境安全。主要是對計算機信息系統所在環境的區域保護和災難保護。要求計算機場地要有防火、防水、防盜措施和設施,有攔截、屏蔽、均壓分流、接地防雷等設施;有防靜電、防塵設備,溫度、濕度和潔凈度在一定的控制范圍等等。
設備安全。主要是對計算機信息系統設備的安全保護,包括設備的防毀、防盜、防止電磁信號輻射泄漏、防止線路截獲;對UPS、存儲器和外部設備的保護等。
媒體安全。主要包括媒體數據的安全及媒體本身的安全。目的是保護媒體數據的安全刪除和媒體的安全銷毀,防止媒體實體被盜、防毀和防霉等。
2、運行安全
系統的運行安全是計算機信息系統安全的重要環節,因為只有計算機信息系統的運行過程中的安全得到保證,才能完成對信息的正確處理,達到發揮系統各項功能的目的。包括系統風險管理、審計跟蹤、備份與恢復、應急處理四個方面內容。
風險分析是指用於威脅發生的可能性以及系統易於受到攻擊的脆弱性而引起的潛在損失步驟,是風險管理程序的基礎,其最終目的是幫助選擇安全防護並將風險降低到可接受的程度。
計算機信息系統在設計前和運行前需要進行靜態分析,旨在發現系統的潛在安全隱患;其次對系統進行動態分析,即在系統運行過程中測試,跟蹤並記錄其活動,旨在發現系統運行期的安全漏洞;最後是系統運行後的分析,並提供相應的系統脆弱性分析報告。
常見的風險有後門/陷阱門、犯大錯誤、拒絕使用、無法使用、偽造、故意對程序或數據破壞、邏輯炸彈、錯誤傳遞、計算機病毒和超級處理等。常見分析工具有自動風險評估系統ARESH、Bayesian判決輔助系統、Livermore風險分析法等。
審計跟蹤是利用對計算機信息系統審計的方法,對計算機信息系統工作過程進行詳盡的審計跟蹤,記錄和跟蹤各種系統狀態的變化,如用戶使用系統的時間和日期及操作,對程序和文件的使用監控等,以保存、維護和管理審計日誌,實現對各種安全事故的定位。
也是一種保證計算機信息系統運行安全的常用且有效的技術手段。
備份與恢復是對重要的系統文件、數據進行備份,且備份放在異處,甚至對重要設備也有備份,以確保在系統崩潰或數據丟失後能及時准確進行恢復,保障信息處理操作仍能進行。可採取磁碟鏡像、磁碟冗餘陣列等技術。
應急處理主要是在計算機信息系統受到損害、系統崩潰或發生災難事件時,應有完善可行的應急計劃和快速恢復實施應急措施,基本做到反應緊急、備份完備和恢復及時,使系統能正常運行,以盡可能減少由此而產生的損失。
3、信息安全
計算機信息系統的信息安全是核心,是指防止信息財產被故意或偶然的泄漏、更改、破壞或使信息被非法系統辨識、控制,確保信息的保密性、完整性、可用性和可控性。針對計算機信息系統中的信息存在形式和運行特點,信息安全可分為操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制和加密。
操作系統安全。是指操作系統對計算機信息系統的硬體和軟體資源進行有效控制,對程序執行期間使用資源的合法性進行檢查,利用對程序和數據的讀、寫管理,防止因蓄意破壞或意外事故對信息造成的威脅,從而達到保護信息的完整性、可用性和保密性。
操作系統安全可通過用戶認證、隔離、存取控制及完整性等幾種方法來實現。用戶認證就是系統有一個對用戶識別的方法,通過用戶名和口令實現,口令機制有口令字、IC卡控制、指紋鑒別和視網膜鑒別等。
隔離技術是在電子數據處理成份的周圍建立屏障,以使該環境中實施存取規則,可通過物理隔離、時間隔離、邏輯隔離和密碼技術隔離來實現。
存取控制是對程序執行期間訪問資源的合法性進行檢查,並通過控制對數據和程序的讀、寫、修改、刪除和執行等操作進行保護,防止因事故和有意破壞造成對信息的威脅。系統完整性涉及到程序和數據兩方面,程序完整性要在整個程序設計活動中嚴格控制;數據完整性由錯誤控制進行保護。
資料庫安全。資料庫系統中的數據的安全性包括:完整性——只有授權用戶才能修改信息,不允許用戶對信息進行非法修改;可用性——當授權用戶存取其有權使用的信息時,資料庫系統一定能提供這些信息;保密性——只有授權用戶才能存取信息。
實現資料庫安全可通過用戶認證、身份鑒別、訪問控制和資料庫內外加密等方法來實現。用戶認證通過在操作系統用戶認證基礎上,要求用戶對通行字、日期和時間檢查認證。身份鑒別是資料庫系統具備的獨立的用戶身份鑒別機制。
訪問機制,運用安全級元素的確定、視圖技術等方法,確保用戶僅能訪問已授權的數據,並可保證同一組數據的不同用戶被授予不同訪問許可權。
資料庫外加密是操作系統完成的,如採用文件加密方法等,把數據形成存儲塊送入資料庫;資料庫內加密是對資料庫以數據元素、域或記錄形式加密,常用加密方法有DES加密、子密鑰資料庫加密和秘密同態加密技術等。
訪問控制。是系統安全機制的核心,對處理狀態下的信息進行保護,對所有直接存取活動進行授權;同時,對程序執行期間訪問資源的合法性進行檢查,控制對數據和程序的讀、寫、修改、刪除、執行等操作,防止因事故和有意破壞對信息的威脅,主要包括授權、確定存取許可權和實施許可權三個內容。
通過最小授權、存取權分離、實體許可權的時效性和對存取訪問的監督檢查、訪問控製表、訪問控制矩陣和能力表等方法來實現。
密碼技術。計算機數據信息的加密基本上屬於通信加密的類型,但又不同於一般的通信保密技術,被加密的明文往往是程序或其他處理的原始數據或是運行結果,而形成的密文是靜態的,一般不是執行中的程序,僅用以存儲或作為通信輸出。
一般密碼系統包括明文、密文、加密、解密和密鑰五部分,常見密碼加密有換位加密、矩陣移位加密、定長置換加密、替代密碼和DES加密、RAS加密、PKI和MD5等演算法。
計算機網路安全。在計算機網路中傳遞的信息普遍面臨著主動攻擊的危害,主動攻擊中最主要的方法就是對信息進行修改,比如對信息的內容進行更改、刪除、添加;改變信息的源或目的地;改變報文分組的順序或將同一報文反復;篡改回執等。
而在計算機網路信息系統中,信息的交換是其存在的基礎。而從安全形度上考慮,就必須保證這些交換過程的安全和內容的有效性及合法性。對於網路安全的實用技術有:身份驗證;報文驗證;數字簽名;防火牆。
計算機病毒。計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的一組計算機指令或程序代碼。其本質是一種具有自我復制能力的程序,具有復制性、傳播性和破壞性。
計算機病毒不同於生物醫學上的「病毒」,計算機病毒不是天然存在的,是人故意編制的一種特殊的計算機程序。計算機病毒對信息系統有極大的危害性,輕者可以增加系統開銷,降低系統工作效率;重者可使程序、數據丟失,甚至系統崩潰,無法工作,更甚者造成計算機主板毀壞,如CIH病毒等。
(3)實體網路安全防範擴展閱讀
常用防護策略
1、安裝殺毒軟體
對於一般用戶而言,首先要做的就是為電腦安裝一套殺毒軟體,並定期升級所安裝的殺毒軟體,打開殺毒軟體的實時監控程序。
2、安裝個人防火牆
安裝個人防火牆(Fire Wall)以抵禦黑客的襲擊,最大限度地阻止網路中的黑客來訪問你的計算機,防止他們更改、拷貝、毀壞你的重要信息。防火牆在安裝後要根據需求進行詳細配置。
3、分類設置密碼並使密碼設置盡可能復雜
在不同的場合使用不同的密碼,如網上銀行、E-Mail、聊天室以及一些網站的會員等。應盡可能使用不同的密碼,以免因一個密碼泄露導致所有資料外泄。對於重要的密碼(如網上銀行的密碼)一定要單獨設置,並且不要與其他密碼相同。
設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字元作為密碼,最好採用字元、數字和特殊符號混合的密碼。建議定期地修改自己的密碼,這樣可以確保即使原密碼泄露,也能將損失減小到最少。
4、不下載不明軟體及程序
應選擇信譽較好的下載網站下載軟體,將下載的軟體及程序集中放在非引導分區的某個目錄,在使用前最好用殺毒軟體查殺病毒。
不要打開來歷不明的電子郵件及其附件,以免遭受病毒郵件的侵害,這些病毒郵件通常都會以帶有噱頭的標題來吸引你打開其附件,如果下載或運行了它的附件,就會受到感染。同樣也不要接收和打開來歷不明的QQ、微信等發過來的文件。
5、防範流氓軟體
對將要在計算機上安裝的共享軟體進行甄別選擇,在安裝共享軟體時,應該仔細閱讀各個步驟出現的協議條款,特別留意那些有關安裝其他軟體行為的語句。
6、僅在必要時共享
一般情況下不要設置文件夾共享,如果共享文件則應該設置密碼,一旦不需要共享時立即關閉。共享時訪問類型一般應該設為只讀,不要將整個分區設定為共享。
7、定期備份
數據備份的重要性毋庸諱言,無論你的防範措施做得多麼嚴密,也無法完全防止「道高一尺,魔高一丈」的情況出現。如果遭到致命的攻擊,操作系統和應用軟體可以重裝,而重要的數據就只能靠你日常的備份了。所以,無論你採取了多麼嚴密的防範措施,也不要忘了隨時備份你的重要數據,做到有備無患!
計算機安全管理制度
為加強組織企事業單位計算機安全管理,保障計算機系統的正常運行,發揮辦公自動化的效益,保證工作正常實施,確保涉密信息安全,一般需要指定專人負責機房管理,並結合本單位實際情況,制定計算機安全管理制度,提供參考如下:
1、計算機管理實行「誰使用誰負責」的原則。愛護機器,了解並熟悉機器性能,及時檢查或清潔計算機及相關外設。
2、掌握工作軟體、辦公軟體和網路使用的一般知識。
3、無特殊工作要求,各項工作須在內網進行。存儲在存儲介質(優盤、光碟、硬碟、移動硬碟)上的工作內容管理、銷毀要符合保密要求,嚴防外泄。
4、不得在外網或互聯網、內網上處理涉密信息,涉密信息只能在單獨的計算機上操作。
5、涉及到計算機用戶名、口令密碼、硬體加密的要注意保密,嚴禁外泄,密碼設置要合理。
6、有無線互聯功能的計算機不得接入內網,不得操作、存儲機密文件、工作秘密文件。
7、非內部計算機不得接入內網。
8、遵守國家頒布的有關互聯網使用的管理規定,嚴禁登陸非法網站;嚴禁在上班時間上網聊天、玩游戲、看電影、炒股等。
9、堅持「安全第一、預防為主」的方針,加強計算機安全教育,增強員工的安全意識和自覺性。計算機進行經常性的病毒檢查,計算機操作人員發現計算機感染病毒,應立即中斷運行,並及時消除。確保計算機的安全管理工作。
10、下班後及時關機,並切斷電源。
㈣ 信息網路安全的安全策略
信息網路運行部門的安全管理工作應首先研究確定信息網路安全策略,安全策略確定網路安全保護工作的目標和對象。信息網路安全策略涵蓋面很多,如總體安全策略、網路安全策略、應用系統安全策略、部門安全策略、設備安全策略等。一個信息網路的總體安全策略,可以概括為「實體可信,行為可控,資源可管,事件可查,運行可靠」,總體安全策略為其它安全策略的制定提供總的依據。
1. 實體可信:實體指構成信息網路的基本要素,主要有網路基礎設備,如防火牆、VPN等;軟體系統,如Windows7/8系統、UniNAC網路准入系統等;及用戶和數據。保證構建網路的基礎設備和軟體系統安全可信,沒有預留後門或邏輯炸彈。保證接入網路的用戶是可信的,防止惡意用戶對系統的攻擊破壞。保證在網路上傳輸、處理、存儲的數據是可信的,防止搭線竊聽,非授權訪問或惡意篡改。
2. 行為可控:保證用戶行為可控,即保證本地計算機的各種軟硬體資源 ( 例如:內存、中斷、 I / O 埠、硬碟等硬體設備,文件、目錄、進程、系統調用等軟體資源 ) 不被非授權使用或被用於危害本系統或其它系統的安全。保證網路接入可控,即保證用戶接入網路應嚴格受控,用戶上網必須得到申請登記並許可。保證網路行為可控,即保證網路上的通信行為受到監視和控制,防止濫用資源、非法外聯、網路攻擊、非法訪問和傳播有害信息等惡意事件的發生。
3. 資源可管:保證對路由器、交換機、伺服器、郵件系統、目錄系統、資料庫、域名系統、安全設備、密碼設備、密鑰參數、交換機埠、 IP 地址、用戶賬號、服務埠等網路資源進行統一管理。
4. 事件可查:保證對網路上的各類違規事件進行監控記錄,確保日誌記錄的完整性,為安全事件稽查、取證提供依據。
5. 運行可靠:保證網路節點在發生自然災難或遭到硬摧毀時仍能不間斷運行,具有容災抗毀和備份恢復能力。保證能夠有效防範病毒和黑客的攻擊所引起的網路擁塞、系統崩潰和數據丟失,並具有較強的應急響應和災難恢復能力。