如何構(gòu)建網(wǎng)絡安全防護系統(tǒng)
??? 網(wǎng)絡化時代已經(jīng)不可逆轉(zhuǎn)�,幾乎各行各業(yè)都與之聯(lián)系,借因特網(wǎng)來運營���、宣傳�����、發(fā)展����,不和網(wǎng)絡掛鉤的企業(yè)終究會被大趨勢所淘汰��。當我們慶幸因特網(wǎng)給我們帶來的巨大利潤與盈利的同時���,各種各樣的網(wǎng)絡安全問題也給我們以當頭棒喝?��,F(xiàn)階段,中國企業(yè)種類繁多,經(jīng)營范圍廣泛,業(yè)務類型不盡相同,因而各自所面臨的網(wǎng)絡安全威脅也參差不齊,但它們都或多或少的受到黑客攻擊�����、惡意代碼��、數(shù)據(jù)泄漏和內(nèi)部濫用等安全隱患,企業(yè)網(wǎng)絡環(huán)境不容樂觀��。不僅是企業(yè)深受其害,廣大網(wǎng)民們也日益成為被攻擊對象,隱私與資金安全得不到保障,頻頻遭受信息泄露和資金被盜等網(wǎng)絡安全事件的迫害���。不可否認,網(wǎng)絡是把雙刃劍����。因此我們必須重視網(wǎng)絡安全問題,重點是構(gòu)建網(wǎng)絡安全防護體系���。通過大半個學期的網(wǎng)絡安全技術的學習����,我對網(wǎng)絡安全有了以下認識:
一.網(wǎng)絡安全所面臨的各種威脅��。
?? 1.惡意代碼
??? 惡意代碼包括傳統(tǒng)的計算機病毒����、木馬��、蠕蟲�����、邏輯炸彈、腳本病毒����、用戶級RootKit、核心級RootKit等���。
?? 2.系統(tǒng)漏洞
??? 目前的操作系統(tǒng)存在安全漏洞��,尤其是Windows的普遍性和可操作性��,使它成為最不安全的服務器操作系統(tǒng)��,還有Office的漏洞��、瀏覽器漏洞����、ⅡS漏洞、SQL注人漏洞����、代碼漏洞及其他各種應用系統(tǒng)漏洞對網(wǎng)絡安全構(gòu)成重大威脅。系統(tǒng)漏洞是計算機軟件系統(tǒng)存在的結(jié)構(gòu)缺陷��,對待系統(tǒng)漏洞����,除了要既是進行漏洞修補之外,還要從計算機軟件系統(tǒng)的設計人手�,盡量減少系統(tǒng)漏洞的數(shù)量。
?? 3�����、垃圾郵件與非法訪問
內(nèi)部用戶對Internet的非法訪問威脅��,如瀏覽黃色���、暴力�、反動等網(wǎng)站�����,以及垃圾郵件和非法郵件鏈接導致的點擊和誤擊事件時有發(fā)生。目前網(wǎng)絡中的垃圾郵件普遍帶有計算機病毒及木馬程序�,如果對垃圾郵件進行傳播,并對非法鏈接進行訪問�,很容易造成計算機感染病毒,引起計算機系統(tǒng)癱瘓����。
二.一些常見的安全服務機制。
?? 1.加密機制
這種機制提供數(shù)據(jù)或信息流的保密�,并可作為對其他安全機制的補充�。加密算法分為兩種類型:
(1)對稱密鑰密碼體制,加密和解密使用相同的秘密密鑰����;
(2)非對稱密鑰密碼體制,加密使用公開密鑰����,解密使用私人密鑰。網(wǎng)絡條件下的數(shù)據(jù)加密必然使用密鑰管理機制����。
?? 2.數(shù)字簽名機制
數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所做的密碼變換��,這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收方確認數(shù)據(jù)單元來源或數(shù)據(jù)單元的完整性,并保護數(shù)據(jù)���,防止被人偽造����。數(shù)字簽名機制確定包括兩個過程����,對數(shù)據(jù)單元簽名、驗證簽過名的數(shù)據(jù)單元���。
?? 3.訪問控制機制
訪問控制機制使用已鑒別的實體身份�、實體的有關信息或?qū)嶓w的能力來確定并實施該實體的訪問權(quán)限����。
?? 4.數(shù)據(jù)完整性機制
數(shù)據(jù)完整性包括兩個方面:一是單個數(shù)據(jù)單元或字段的完整性,二是數(shù)據(jù)單元或字段序列的完整性���。
?? 5.鑒別交換機制
??? 鑒別交換機通過互換信息的方式來確定實體身份的機制�����。這種機制可使用如下技術:發(fā)送方實體提供鑒別信息(如通行字)���,由接收方實體驗證����;加密技術�����;實體的特征和屬性等����。???
?? 6.通信業(yè)務填充機制
??? 通信業(yè)務填充機制可用來提供各種不同級別的保護,對抗通信業(yè)務分析�����。這種機制產(chǎn)生偽造的信息流并填充協(xié)議數(shù)據(jù)單元以達到固定長度�����,有限的防止流量分析����。只有當信息流加密保護時���,本機制才有效�����。
?? 7.路由選擇機制
??? 路由能動態(tài)的預定的選取���,以便只使用物理上安全的子網(wǎng)絡�、中繼站或鏈路��;在檢測到持續(xù)的操作攻擊時��,端系統(tǒng)可以指示網(wǎng)絡服務的提供者經(jīng)不同的路由建立連接�;帶有某些安全標記的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)絡、中繼站或鏈路�。
?? 8.公證機制
這種機制確證兩個或多個實體之間的數(shù)據(jù)通信的特征:數(shù)據(jù)的完整性、源點�����、終點及收發(fā)時間��。這種保證由通信實體信賴的第三方——公證員提供��。在可檢測方式下,公證員掌握用以確證的必要信息����。公證機制提供服務還使用到數(shù)字簽名、加密和完整性服務�。
三.構(gòu)建網(wǎng)絡安全防護體系政策建議。
?? 1.建立防火墻
防火墻是一種有效的防御工具�����,一方面它使得本地系統(tǒng)和網(wǎng)絡免于受到網(wǎng)絡安全方面的威脅���,另一方面提供了通過廣域網(wǎng)和Internet對外界進行訪問的有效方式���。網(wǎng)絡防火墻隔離了內(nèi)部網(wǎng)絡和外部網(wǎng)絡,在企業(yè)內(nèi)部和外部網(wǎng)(Internet)之間訪問控制策略�����,以防止發(fā)生不可預測的��、外界對內(nèi)部網(wǎng)資源的非法訪問或潛在破壞性侵入���。
防火墻被設計成只運行專門用于訪問控制軟件的設備,而沒有其他設備,具有相對較少的缺陷和安全漏洞�;此外,防火墻改進了登錄和監(jiān)測功能�,可以進行專門的管理;而且��,對整個內(nèi)部網(wǎng)的主機的安全管理就變成了對防火墻的安全管理����,使得安全管理更方便、易于控制����。它是目前實現(xiàn)網(wǎng)絡安全策略最有效的工具之一,也是控制外部用戶訪問內(nèi)部網(wǎng)的第一道關口����,因此構(gòu)建網(wǎng)絡安全防護體系首先應加強和完善防火墻。
?? 2.安裝必要的殺毒軟件
良好的安全防護體系不僅要在事前進行保護�、檢測,而且要在病毒感染后能有效消除。防火墻可以有效阻止病毒入侵,但不能徹底消滅病毒,當計算機中毒時就需要專門的殺毒軟件進行清除,因而有必要在計算機上安裝多種殺毒軟件���。殺毒軟件一般都具有廣譜殺毒能力���,能夠查殺90%以上的病毒�����、小烏��、蠕蟲和后門����,可以查找并消除相應的電腦病毒���、惡意軟件和特洛伊木馬等,它具備多個功能,如實時監(jiān)控計算機���、掃描與清除病毒、自動更新病毒庫等��。在計算機上安裝殺毒軟件,對于保護好網(wǎng)絡信息安全有著非常重要的作用����。基于這一認識����,在計箅機軟件系統(tǒng)中應積極應用網(wǎng)絡殺毒軟件��,實現(xiàn)對計算機病毒的快速查殺。
?? 3.堅決抵制使用計算機盜版軟件或硬件
由于當前正版軟件和硬件價格較高,一般的網(wǎng)民和中小型企業(yè)為了節(jié)約成本通常選擇購買盜版軟件和硬件,因而設備本身就屬于易攻擊對象,即使采用了高水平的安全防護技術,仍然容易受到黑客攻擊或者病毒入侵����。購買盜版軟件或硬件不僅使得用戶的計算機處于高危狀態(tài),嚴重的甚至觸犯了我國的版權(quán)保護法,而某些商家為了降低計算機價格吸引客戶,通常在用戶不知情的情況下私自安 裝盜版軟件。面對這一系列的侵權(quán)行為,相關部門應積極監(jiān)督,制定有效的法律法規(guī),加大制裁和懲罰力度���。對于用戶自身,也應增強抵制盜版的意識,不因小失大,不要過于貪圖便宜而購買不正規(guī)的計算機和軟件,確保在使用計算機的初始階段是處于安全健康的狀態(tài),如此將大大降低病毒的入侵����、黑客攻擊的幾率���。
?? 4.養(yǎng)成時時備份信息���、資料的好習慣
??? 當你的電腦中了病毒,都會影響系統(tǒng)的正常運行����,甚至造成這個系統(tǒng)完全癱瘓。備份的任務與意義就在于����,當災難發(fā)生后,通過數(shù)據(jù)備份快速����、簡單��、可靠地恢復一個立即可用的系統(tǒng)�。情況往往是這樣��,我們不心疼一臺電腦的損失��,我們心痛于里面的資料����,這里面的資料可能是無法再重蹈得來的,可能是我們花了好幾年的心血�����,是我們珍貴的記憶���。想要重新還原這樣的一份資料所付出的的人力��,物力��,財力�,大到是我們崩潰��、絕望。而備份卻能是我們只要換一臺安全的主機就能恢復破壞之前的樣子����,這樣能使損失降到最小�。
?? 5.提高網(wǎng)絡安全管理體系
面對網(wǎng)絡安全的脆弱性,除了在網(wǎng)絡設計上增加安全服務功能��,完善系統(tǒng)的安全保密措施外����,還必須花大力氣加強對網(wǎng)絡的安全管理。網(wǎng)絡安全管理體系由法律管理�����、制度管理和培訓管理三部分組成�。
法律管理具有對信息系統(tǒng)主體行為的強制性約束,并且有明確的管理層次性�����;制度管理是法律管理的形式化�����、具體化,是法律�����、法規(guī)和管理對象的接口��;培訓管理是確保信息系統(tǒng)安全的前提��。
??
最后�����,我想說的是網(wǎng)絡安全和每個人都息息相關���,我們每個人都要參與到建設網(wǎng)絡安全的環(huán)境中去�。平時要注意抵制不良信息的誘惑���,不瀏覽惡意網(wǎng)頁��,不下載惡意軟件�,監(jiān)督網(wǎng)絡信息安全性�,對不法信息及時進行舉報;同時也要學會一些簡單的防護措施,比如備份����、安裝殺毒軟件,及時殺毒�����;另外����,以破壞他人網(wǎng)絡安全為恥�,即便有這個技術,也應該利用在合適�、積極的地方,而不是心存僥幸���,認為做個黑客是個值得炫耀的事情����,殊不知我們已經(jīng)走上違法的路上了����。我們作為一名程序員,更應該有自己的原則����,自覺維護好網(wǎng)絡安全���,為大家營造一個健康向上的網(wǎng)絡環(huán)境。
?
