問題一:網路安全包括哪幾個方面 1、企業安全制度(最重撫)
2、數據安全(防災備份機制)
3、傳輸安全(路由熱備份、NAT、ACL等)
4、伺服器安全(包括冗餘、DMZ區域等)
5、防火牆安全(硬體或軟體實現、背靠背、DMZ等)
6、防病毒安全
問題二:什麼是網路安全?網路安全應包括幾方面內容? 網路安全是一個關系國家安全和 *** 、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快而變到越來越重要。「家門就是國門」,安全問題刻不容緩。
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,? 問和破壞。
從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。
對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
2、增強網路安全意識刻不容緩
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。信息網路涉及到國家的 *** 、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的 *** 宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據,這大大 *** 了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加,使各國的計算機系統特別是網路系統面臨著很大的威脅,並成為嚴重的社會問題之一。
3、網路安全案例
96年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
94年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一家小軟體公司的聯網計算機上,向美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
96年8月17日,美國司法部的網路伺服器遭到黑客入侵,並將「 美國司法部」 的主頁改為「 美國不公正部」 ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文......>>
問題三:網路安全是什麼 網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。 網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及貳算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
問題四:網路安全的目標有哪些 1.安裝好殺毒軟體和防火牆並及時更新。
2.養成良好的上網習慣,不去點擊一些不良網站和郵件。
3.定期殺毒,及時給系統打好補叮
4.學習網路安全知識,遠離黑客工具。
問題五:網路安全包括哪幾方面? 環境;資源共享;數據通信;計算機病毒;網路管理
問題六:互聯網信息安全都包括那些? 信息安全本身包括的范圍很大。大到國家軍事政治等機密安全,小到如防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網路環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何一個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網路安全服務的基本理論,以及基於新一代信息網路體系結構的網路安全服務體系結構。 到了今天的互聯網時代,信息安全要防範的主要方面有:計算機犯罪、黑客行為、信息丟失、電子諜報(比如信息流量分析、信息竊取等)、信息戰、網路協議自身缺陷(例如TCP/IP協議的安全問題)、嗅探(嗅探器可以竊聽網路上流經的數據包)等等。
問題七:什麼是網路安全?常用的網路安全軟體有哪些 網路從外到內: 從光纖---->電腦客戶端
設備依次有: 路由器(可做埠屏蔽,帶寬管理qos,防洪水flood攻擊等)-------防火牆(有普通防火牆和UTM等,可以做網路三層埠管理、IPS(入侵檢測)、IDP(入侵檢測防禦)、安全審計認證、防病毒、防垃圾和病毒郵件、流量監控(QOS)等)--------行為管理器(可做UTM的所有功能、還有一些完全審計,網路記錄等等功能,這個比較強大)--------核心交換機(可以劃分vlan、屏蔽廣播、以及基本的acl列表)
安全的網路連接方式:現在流行的有 MPLS VPN ,SDH專線、VPN等,其中VPN常見的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
問題八:網路安全管理包括什麼內容? 網路安全管理是一個體系的東西,內容很多
網路安全管理大體上分為管理策略和具體的管理內容,管理內容又包括邊界安全管理,內網安全管理等,這里給你一個參考的內容,金牌網管員之網路信息安全管理,你可以了解下:
ean-info/2009/0908/100
同時具體的內容涉及:
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念:
信息安全三元組,標識、認證、責任、授權和隱私的概念,人員角色
安全控制的主要目標:
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊:
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全(PDR模型)
風險評估:
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能:
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒:
防病毒系統的主要技訂、防病毒系統的部署、防病毒技術的發展趨勢
防火牆:
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學:
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術:
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描:
漏洞掃描概述、漏洞掃描的應用
訪問控制:
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份:
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境
問題九:網路安全策略都包括哪些方面的策略 (1)物理安全策略:物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略:入網訪問控制,網路的許可權控制,目錄級安全控制,屬性安全控制,網路監測和鎖定控制,網路埠和結點的安全控制。
(3)防火牆控制防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻擋外部網路的侵入。當前主流的防火牆主要分為三類:包過濾防火牆、代理防火牆和雙穴主機防火牆。
(4)信息加密策略網路加密常用的方法有鏈路加密、端點加密和結點加密三種。鏈路加密的目的是保護網路結點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供保護。
(5)網路安全管理策略在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房的管理制度;制訂網路系統的維護制度和應急措施等。
Ⅱ 計算機網路安全體系結構包括什麼
計算機網路安全體系結構是確保網路通信安全的一系列硬體、軟體、通信協議和政策的集合。它旨在保護網路系統免受潛在的威脅和攻擊,確保數據的機密性、完整性和可用性。該體系主要涵蓋以下幾個關鍵部分:
1. 網路硬體:包括網路設備、傳輸介質和網路連接設備等。
2. 通信軟體:用於實現網路通信的各種軟體,如TCP/IP協議棧等。
3. 操作系統安全機制:操作系統的安全機制對網路和系統安全起到至關重要的作用,如訪問控制、加密和安全審計等。
影響計算機網路安全的因素包括:
1. 網路的開放性:網路技術的開放性使得網路面臨來自多方面的攻擊,包括物理傳輸線路的攻擊和網路通信協議的攻擊等。
2. 國際化挑戰:互聯網是全球性的,對網路的攻擊可能來自全球任何地方,使得網路安全的挑戰具有國際化特性。
3. 硬體和軟體故障:計算機系統自身的硬體和軟體故障可能導致系統無法正常運行,從而影響到網路的安全性。
4. 數據泄露風險:網路中的信息可能會被非法獲取或篡改,造成數據泄露或破壞。
計算機網路安全主要涉及以下內容:
1. 數據保密性:確保數據在傳輸和存儲過程中的機密性,不被未經授權的人員獲取。
2. 數據完整性:保證數據的准確性和一致性,防止數據在傳輸過程中被篡改或破壞。
3. 可用性:確保網路系統在需要時能夠正常提供服務,避免因意外情況導致網路無法訪問。
為了確保計算機網路的安全,採用了一系列網路安全技術機制,主要包括:
1. 加密機制:通過使用加密演算法對數據進行加密,確保數據在傳輸過程中的安全。
2. 安全認證機制:驗證網路用戶的身份,確保只有經過授權的用戶才能訪問網路資源。
3. 訪問控制策略:對網路資源的訪問進行控制和限制,防止未經授權的用戶訪問敏感信息。
4. 網路體系結構的安全設計原則和政策:制定和實施網路安全政策和標准,確保網路系統的安全性和穩定性。
這些技術機制相互配合,共同保護網路的安全。同時,計算機網路體系結構的標准也在不斷發展,如OSI七層模型和TCP/IP體系結構等,為不同計算機之間的互連和互操作提供了相應的規范和標准。
Ⅲ 網路安全技術主要有哪些
1、防火牆
網路防火牆技術是一種特殊的網路互聯設備,用於加強網路間的訪問控制,防止外網用戶通過外網非法進入內網,訪問內網資源,保護內網運行環境。它根據一定的安全策略,檢查兩個或多個網路之間傳輸的數據包,如鏈路模式,以決定網路之間的通信是否允許,並監控網路運行狀態。
目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。
2、殺毒軟體技術
殺毒軟體絕對是使用最廣泛的安全技術解決方案,因為這種技術最容易實現,但是我們都知道殺毒軟體的主要功能是殺毒,功能非常有限,不能完全滿足網路安全的需求,這種方式可能還是能滿足個人用戶或者小企業的需求,但是如果個人或者企業有電子商務的需求,就不能完全滿足。
幸運的是,隨著反病毒軟體技術的不斷發展,目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆,具有一定的防火牆功能,在一定程度上可以起到硬體防火牆的作用,比如KV300、金山防火牆、諾頓防火牆等等。
3、文件加密和數字簽名技術
與防火牆結合使用的安全技術包括文件加密和數字簽名技術,其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展,人們越來越關注網路安全和信息保密。
目前,各國除了在法律和管理上加強數據安全保護外,還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。
(3)互聯網新型網路安全體系擴展閱讀:
首屆全VR線上網路安全大會舉辦
日前,DEF CON CHINA組委會正式官宣,歷經20餘月的漫長等待,DEF CON CHINA Party將於3月20日在線上舉辦。
根據DEF CON CHINA官方提供的信息,本次DEF CON CHINA Party將全程使用VR的方式在線上進行,這也是DEF CON歷史上的首次「全VR」大會。為此,主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中,Construct通常被譯為結構體。
Ⅳ 網路安全機制包括些什麼
有三種網路安全機制。 概述:
隨著TCP/IP協議群在互聯網上的廣泛採用,信息技術與網路技術得到了飛速發展。隨之而來的是安全風險問題的急劇增加。為了保護國家公眾信息網以及企業內聯網和外聯網信息和數據的安全,要大力發展基於信息網路的安全技術。
信息與網路安全技術的目標
由於互聯網的開放性、連通性和自由性,用戶在享受各類共有信息資源的同事,也存在著自己的秘密信息可能被侵犯或被惡意破壞的危險。信息安全的目標就是保護有可能被侵犯或破壞的機密信息不被外界非法操作者的控制。具體要達到:保密性、完整性、可用性、可控性等目標。
網路安全體系結構
國際標准化組織(ISO)在開放系統互聯參考模型(OSI/RM)的基礎上,於1989年制定了在OSI環境下解決網路安全的規則:安全體系結構。它擴充了基本參考模型,加入了安全問題的各個方面,為開放系統的安全通信提供了一種概念性、功能性及一致性的途徑。OSI安全體系包含七個層次:物理層、數據鏈路層、網路層、傳輸層、會話層、表示層和應用層。在各層次間進行的安全機制有:
1、加密機制
衡量一個加密技術的可靠性,主要取決於解密過程的難度,而這取決於密鑰的長度和演算法。
1)對稱密鑰加密體制對稱密鑰加密技術使用相同的密鑰對數據進行加密和解密,發送者和接收者用相同的密鑰。對稱密鑰加密技術的典型演算法是DES(Data Encryption Standard數據加密標准)。DES的密鑰長度為56bit,其加密演算法是公開的,其保密性僅取決於對密鑰的保密。優點是:加密處理簡單,加密解密速度快。缺點是:密鑰管理困難。
2)非對稱密鑰加密體制非對稱密鑰加密系統,又稱公鑰和私鑰系統。其特點是加密和解密使用不同的密鑰。
(1)非對稱加密系統的關鍵是尋找對應的公鑰和私鑰,並運用某種數學方法使得加密過程成為一個不可逆過程,即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密;反之亦然。
(2)非對稱密鑰加密的典型演算法是RSA。RSA演算法的理論基礎是數論的歐拉定律,其安全性是基於大數分解的困難性。
優點:(1)解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;(2)由於密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;(3)具有很高的加密強度。
缺點:加密、解密的速度較慢。
2、安全認證機制
在電子商務活動中,為保證商務、交易及支付活動的真實可靠,需要有一種機制來驗證活動中各方的真實身份。安全認證是維持電子商務活動正常進行的保證,它涉及到安全管理、加密處理、PKI及認證管理等重要問題。目前已經有一套完整的技術解決方案可以應用。採用國際通用的PKI技術、X.509證書標准和X.500信息發布標准等技術標准可以安全發放證書,進行安全認證。當然,認證機制還需要法律法規支持。安全認證需要的法律問題包括信用立法、電子簽名法、電子交易法、認證管理法律等。
1)數字摘要
數字摘要採用單向Hash函數對信息進行某種變換運算得到固定長度的摘要,並在傳輸信息時將之加入文件一同送給接收方;接收方收到文件後,用相同的方法進行變換運算得到另一個摘要;然後將自己運算得到的摘要與發送過來的摘要進行比較。這種方法可以驗證數據的完整性。
2)數字信封
數字信封用加密技術來保證只有特定的收信人才能閱讀信的內容。具體方法是:信息發送方採用對稱密鑰來加密信息,然後再用接收方的公鑰來加密此對稱密鑰(這部分稱為數字信封),再將它和信息一起發送給接收方;接收方先用相應的私鑰打開數字信封,得到對稱密鑰,然後使用對稱密鑰再解開信息。
3)數字簽名
數字簽名是指發送方以電子形式簽名一個消息或文件,表示簽名人對該消息或文件的內容負有責任。數字簽名綜合使用了數字摘要和非對稱加密技術,可以在保證數據完整性的同時保證數據的真實性。
4)數字時間戳
數字時間戳服務(DTS)是提供電子文件發表時間認證的網路安全服務。它由專門的機構(DTS)提供。
5)數字證書
數字證書(Digital ID)含有證書持有者的有關信息,是在網路上證明證書持有者身份的數字標識,它由權威的認證中心(CA)頒發。CA是一個專門驗證交易各方身份的權威機構,它向涉及交易的實體頒發數字證書。數字證書由CA做了數字簽名,任何第三方都無法修改證書內容。交易各方通過出示自己的數字證書來證明自己的身份。
在電子商務中,數字證書主要有客戶證書、商家證書兩種。客戶證書用於證明電子商務活動中客戶端的身份,一般安裝在客戶瀏覽器上。商家證書簽發給向客戶提供服務的商家,一般安裝在商家的伺服器中,用於向客戶證明商家的合法身份。
3、訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。下面我們分述幾種常見的訪問控制策略。
1)入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,以及用戶入網時間和入網地點。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。只有通過各道關卡,該用戶才能順利入網。
對用戶名和口令進行驗證是防止非法訪問的首道防線。用戶登錄時,首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證輸入的口令,否則,用戶將被拒之網路之外。用戶口令是用戶入網的關鍵所在。為保證口令的安全性,口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
2)網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3)目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在月錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(MOdify)、文件查找許可權(FileScan)、存取控制許可權(AccessControl)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問,從而加強了網路和伺服器的安全性。
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路信息傳輸的安全性將變得十分重要。
Ⅳ 如何建立移動互聯網業務安全保障和管理體系
移動互聯網的信息安全防護
摘要:隨著移動通信技術和互聯網技術的發展,兩者的進一步整合已成為信息通信領域的一大發展趨勢,而移動互聯網即是在這樣的技術背景下孕育而生的。但是在移動互聯網業務深入開展的過程中,信息安全問題也日益顯現:一方面,傳統互聯網的安全問題在向這種新形態的網路轉移;另一方面,移動互聯網由於其自身的特殊性,又出現了一些新的安全問題。本文即立足於移動互聯網當前的發展現狀,初步介紹了移動互聯網的層次化安全結構,並針對該新型網路所面臨的安全問題,進一步探討了適用於移動互聯網路的信息安全防護技術。
關鍵字:接入網;IP承載網;IPsec ;WTLS
引言:
近年來,移動通信技術飛速發展,網路帶寬不斷提高,終端處理能力也越來越強,眾多互聯網業務開始向移動互聯網滲透。當前,即時搜索、SNS業務、即時通信等在移動互聯網業務中佔有相當大的比例。從移動互聯網業務的發展趨勢可以看出,IM類業務和Facebook等SNS類業務的發展速度較快,移動互聯網業務越來越體現出交互性、即時性和群體性的特徵。隨著移動互聯網的快速發展及其用戶群的不斷增大,隨之而來的安全問題也已經初露端倪,針對手機的病毒、垃圾郵件以及惡意代碼正呈現出不斷增多的態勢,網路威脅的表現形式也多樣化。據CNNIC相關統計數據,我國已經有86%的移動互聯網用戶開始擔心終端的安全問題,如欺詐賬單、信息盜用等;34%的用戶開始對目前的終端及其服務的安全質疑;59%的用戶希望運營商能夠把保障終端和業務安全放在首位。因此,移動互聯網的信息安全問題已經成為制約其發展的重要因素之一。
隨著我國移動互聯網業務的進一步開放,其安全問題也會逐漸顯現,如何保證移動互聯網的信息安全,對於建設移動互聯網顯得格外重要。本文即根據當前移動互聯網的發展現狀及其所面臨的安全問題,對移動互聯網的信息安全防護技術進行了探討。
1. 移動互聯網的本質和特點
1.1移動互聯網的本質
移動互聯網融合了傳統的蜂窩移動網路業務和互聯網業務,因此不同的領域對於移動互聯網的理解有所不同,目前仍沒有統一的定義,這些差異不僅僅體現在技術及其標准方面,其商業模式、思想理念也有著一定的區別。本文從業務形態方面來理解,可以將移動互聯網分為以下兩種模式,具體如圖1.1所示
圖1.1 移動互聯網網路結構(略)
(1)WiFi等無線通信網路方式接入,然後通過WAP網關中轉接入運營商的WAP網路以及公共WAP網路來使用特定的移動互聯網業務。
(2)移動通信網路接入,採用移動終端(手機,PDA,上網本)通過移動網路(包括2G,2.5G,3G,E3G)接入互聯網,從而實現對開放互聯網業務的使用。
1.2移動互聯網的特點
Ⅵ 互聯網安全是指哪些方面的要如何才能實現安全
主流網路安全技術全方面縱覽 一、網路安全的概念 國際標准化組織(ISO)對計算機系統安全的定義是:為數據處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網路的安全理解為:通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。所以,建立網路安全保護措施的目的是確保經過網路傳輸和交換的數據不會發生增加、修改、丟失和泄露等。 二、Internet上存在的主要安全隱患 Internet的安全隱患主要體現在下列幾方面: 1. Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。 2. Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。 3. Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。 4.在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。 5.電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。 6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。 三、網路安全防範的內容 一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全等。因此針對計算機網路本身可能存在的安全問題,實施網路安全保護方案以確保計算機網路自身的安全性是每一個計算機網路都要認真對待的一個重要問題。網路安全防範的重點主要有兩個方面:一是計算機病毒,二是黑客犯罪。 計算機病毒是我們大家都比較熟悉的一種危害計算機系統和網路安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段,盜取密碼侵入他人計算機網路,非法獲得信息、盜用特權等,如非法轉移銀行資金、盜用他人銀行帳號購物等。隨著網路經濟的發展和電子商務的展開,嚴防黑客入侵、切實保障網路交易的安全,不僅關繫到個人的資金安全、商家的貨物安全,還關繫到國家的經濟安全、國家經濟秩序的穩定問題,因此各級組織和部門必須給予高度重視。 四、確保網路安全的主要技術 1,防火牆技術 網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態。 目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。 防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇。負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。 根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換-NAT、代理型和監測型。具體如下: (1)包過濾型 包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。 (2)網路地址轉化-NAT 網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。 NAT的工作過程是:在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。 (3)代理型 代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。 (4)監測型 監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。 雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。 雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊。id=405