信息安全论文

时间：2022-10-01 20:47:25 信息安全毕业论文我要投稿

信息安全论文

　　随着计算机技术的发展，信息的安全越来越先后到威胁，下面小编就为大家推荐，欢迎大家阅读信息安全管理与电子商务信息的安全!

信息安全论文

　　摘要： 随着计算机技术和网络技术的发展，网络安全问题，在今天已经成为网络世界里最为人关注的问题之一，危害网络安全的因素很多，他们主要依附于各种恶意软件，其中病毒和木马最为一般网民所熟悉。针对这些危害因素，网络安全技术得以快速发展，这也大大提高了网络的安全性。本文结合实际情况，首先介绍了信息安全的起源、然后具体分析了信息安全所面对的不通过方面的威胁，并且具体介绍了信息安全技术，最后也对以后的发展进行了一些期望，希望能够在这安全方面做得更好，更加完善。

　　关键词：网络安全、信息安全技术、网络威胁。

　　一、引言

　　信息安全起源于计算机安全。计算机安全就是计算机硬件的物理位置远离外部威胁，同时确保计算机软件正常、可靠地运行，随着网络技术不断地发展，计算机安全的范围也在不断地扩大，其中涉及到数据的安全、对数据的随机访问限制和对未授权访问的控制等问题。由此，单纯的计算机安全开始向信息安全演进。互联网的出现使得这种通信更加频繁，由此而衍生出来的信息安全问题层出不穷。

　　近年来，百度收索引擎被恶意攻击，致使服务器瘫痪;腾讯公司业务系统黑客入侵后得到权限，并被勒索百万人民币。2008年公安部网监局调查了7起网络木马程序案件，每起案件的木马销售获利均超过1000万元，据有关方面统计，目前美国由于每年网络信息安全问题而遭到的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，日本、新加坡在这方面的问题也很严重。另一方面，病毒、流氓软件的大肆泛滥又让人们开始对杀毒软件产生怀疑，杀毒软件永远落后于病毒的传播，因此人们对不断更新变种的病毒防不胜防。

　　二、信息安全定义

　　“信息安全”曾经仅是学术界所关心的事情，就像“计算机”、“网络”这些术语一样，以前都是学术界从事具体研究的人员想了解其究竟解决相关问题。但是随着互联网的普及，信息安全已经变得家喻户晓，危及到信息安全的因素也越来越多，因此对它的重视程度也在逐渐提高。由于理解的形式不同，国内外对“信息安全”没有统一的定义。

　　《中华人民共和过计算机信息系统安全保护条例》的定义：“保障计算机及其相关的和配套的设备、设施(网络)的安全，运行环境的安全，保障信息安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全”。国家信息安全重点实验室的定义：“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性”。国际标准化委员会的定义：“为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。

　　广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。信息安全又以下几个特性：

　　(1)保密性：保护数据不受非法截获和未经授权浏览。对于敏感数据的传输尤为重要，同时也是通信网络中处理用户的私人信息所必须的。存储信息的机密性主要通过访问控制来实现，不同的用户对不同的数据拥有不同的权限。

　　(2)完整性：能保障被传输、接收或存储的数据是完整的和未被篡改的特性。对于保证重要数据的精确性尤为关键。除了数据本身不能破坏外，数据的完整性还要求数据的来源具有正确性和可信性。

　　(4)可控性：保证信息和信息系统的授权认证和监控管理。可确保某个实体(人或系统)的身份的真实性，也可确保执政者对社会的执法管理行为。

　　(4)可用性：尽管存在可能的突发事件如供电中断、自然灾害、事故或攻击等，但用户依然可得到或使用数据，服务也处于正常运转状态。当然，数据不可用也可能是由软件缺陷造成的，如微软的Windows总是有缺陷被发现。

　　(5)非否认性：能够保证信息行为人不能否认其信息行为。可防止参与某次通信交换的一方事后否认本次交换曾经发生过。数据签名技术是解决不可否认性的重要手段之一。

　　总体来看，信息安全就是要保证信息的基本属性不被破坏，信息按照发送方的意愿成功被接收方接收。

　　三、信息安全的体系结构

　　信息安全是一个完整、系统的概念，它既是一个理论问题，又是一个工程实践问题。由于计算机网络的开放性、复杂性和多样性，使得网络安全系统需要一个完整的、严谨的体系结构来保证。1995年ISO颁布了ISO GB/T9487.2-1995标准，即五大类安全服务、八大种安全机制和相应的安全管理标准。

　　其中五大类安全服务包括认证服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。

　　(1) 认证服务：提供对通信中对等实体和数据来源的认证。

　　(2)访问控制服务：用来防止未授权用户非法使用系统资源，包括用户身份认证和用户权限确认。

　　(4)数据保密性服务：为防止网络个系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。同时，对有可能通过观察信息流就能推导出信息的情况进行防范。

　　(4)数据完整性服务：用于阻止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。

　　(5)抗否认性服务：用于防止发送方在发送数据后否认发送和接收方在接收到数据后否认受到或者伪造数据的行为。

　　八大种安全机制包括加密机制、数字签名机制、访问控制机制、数据完整性机制、认证机制、业务流填充机制、路由控制机制、公正机制。

　　四、影响网络信息安全的因素分析

　　计算机通信网络的安全涉及到多种学科，包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种，这些技术各司其职，保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露，保证系统连续可靠正常运行。

　　4.1影响计算机通信网络安全的客观因素。

　　4.1.1网络资源的共享性。

　　计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角，还是远在天边，只要有网络，就能找到你所需要的信息。所以，资源共享的确为我们提供了很大的便利，但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。

　　4.1.2网络操作系统的漏洞。

　　操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性，决定了操作系统必然存在各种的缺陷和漏洞。

　　4.1.4网络系统设计的缺陷。

　　网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。

　　4.1.4网络的开放性。

　　网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的信息。

　　4.1.5恶意攻击。

　　恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也越来越多，影响越来越大。无论是DOS 攻击还是DDOS 攻击，简单的看，都只是一种破坏网络服务的黑客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。具体表现方式有以下几种：

　　(1)制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。

　　(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。

　　(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误而分配大量系统资源，使主机处于挂起状态甚至死机。

　　DOS 攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是，要找DOS 的工具一点不难，黑客网络社区都有共享黑客软件的传统，并会在一起交流攻击的心得经验，你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。

　　4.2影响计算机网络通信安全的主观因素。

　　主要是计算机系统网络管理人员缺乏安全观念和必备技术，如安全意识、防范意思等。

　　五、计算机网络的安全策略

　　5.1物理安全策略。

　　物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络安全管理策略包括：确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

　　5.2常用的网络安全技术。

　　由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯，网络安全的基本技术主要包括网络加密技术、防火墙技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。

　　5.2.1 网络加密技术。

　　网络加密技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃闻和入网，而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密，端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。

　　如果按照收发双方的密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中，人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES 或者IDEA 来加密信息，而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码算法和分组密码算法，前者每次只加密一个比特。

　　5.2.2 防火墙技术。

　　防火墙技术是设置在被保护网络和外界之间的一道屏障，是通过计算机硬件和软件的组合来建立起一个安全网关，从而保护内部网络免受非法用户的入侵，它可以通过鉴别、限制，更改跨越防火墙的数据流，来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。现对网络的安全保护。防火墙的组成可以表示为：防火墙= 过滤器+ 安全策略+ 网关，它是一种非常有效的网络安全技术。在Internet 上，通过它来隔离风险区域与安全区域的连接，但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。

　　根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。

　　包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术，工作在网络层。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现

　　来自危险站点的数据包,防火墙便会将这些数据拒之门外。但包过滤防火墙的缺点有三：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP 的端口号都在数据包的头部，很有可能被窃闻或假冒;三是无法执行某些安全策略。

　　网络地址转化—NAT。 “你不能攻击你看不见的东西”是网络地址转换的理论基础。网络地址转换是一种用于把IP 地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有IP 地址的内部网络访问因特网。当数据包流经网络时，NAT 将从发送端的数据包中移去专用的IP 地址，并用一个伪IP 地址代替。NAT 软件保留专用IP 地址和伪IP 地址的一张地址映射表。当一个数据包返回到NAT 系统，这一过程将被逆转。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。如果黑客在网上捕获到这个数据包，他们也不能确定发送端的真实IP 地址，从而无法攻击内部网络中的计算机。NAT 技术也存在一些缺点，例如：木马程序可以通过NAT 进行外部连接，穿透防火墙。

　　代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品, 它分为应用层网关和电路层网关。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据, 然后再由代理服务器将数据传输给客户机。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部结构的作用，这种防火墙是网络专家公的最安全的防火墙。缺点是速度相对较慢。

　　监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。它是由Check Point 软件技术有限公司率先提出的，也称为动态包过滤防火墙。总的来说，具有：高安全性，高效性，可伸缩性和易扩展性。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器也集成了包过滤技术,这两种技术的混合显然比单独使用具有更大的优势。总的来说，网络的安全性通常是以网络服务的开放性和灵活性为代价的，防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。除了使用了防火墙后技术，我们还使用了其他技术来加强安全保护，数据加密技术是保障信息安全的基石。

　　5.2.4 操作系统安全内核技术。

　　操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性，尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去，从而使系统更安全。操作系统平台的安全措施包括：采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B4、A 级，其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括：

　　①用户必须通过用户注册名和口令让系统识别;

　　②系统可以根据用户注册名决定用户访问资源的权限;

　　③系统可以对系统中发生的每一件事进行审核和记录;

　　④可以创建其他具有系统管理权限的用户。

　　5.2.4 身份验证技术身份验证技术。

　　身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否为合法的用户，如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其身份验证是建立在对称加密的基础上的。

　　为了使网络具有是否允许用户存取数据的判别能力，避免出现非法传送、复制或篡改数据等不安全现象，网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法，通常是由计算机系统随机产生，不易猜测、保密性强，必要时，还可以随时更改，实行固定或不固定使用有效期制度，进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统，采用对存取控制和网络管理实行精确而唯一的标识用户的方法，每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字，且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式，一个标记是一个口令的物理实现，用它来代替系统打入一个口令。一个用户必须具有一个卡片，但为了提高安全性，可以用于多个口令的使用。

　　5.2.5 网络防病毒技术。

　　在网络环境下，计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒，那可能给社会造成灾难性的后果，因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑，从方便管理人员的能，在夜间对全网的客户机进行扫描，检查病毒情况;利用在线报警功能，网络上每一台机器出现故障、病毒侵入时，网络管理人员都能及时知道，从而从管理中心处予以解决。

　　访问控制也是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。它主要包括：身份验证、存取控制、入网访问控制、网络的权限控制、目录级安全控制、属性安全控制等。计算机信息访问控制技术最早产生于上世纪60年代，随后出现了两种重要的访问控制技术，自主访问控制和强制访问控制。随着网络的发展，为了满足新的安全需求，今年来出现了以基于角色的访问控制技术,基于任务的访问控制。

　　六、结束语

　　总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。网络攻击的日益猖獗已经对网络安全造成了很大的威胁。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。

　　计算机病毒形式以及传播途径日趋多样化，计算机安全问题日益复杂话，我们必须正确认识、感知、防范计算机病毒的攻击，以保护计算机数据安全，使得计算机网络发挥其积极的作用，只要对其有充分的认识，就能筑起心理上和技术防范措施上的防线。对于任何黑客的恶意攻击，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。减少因网络安全引起的不必要的损失。

　　因此，加强计算机技术和技能的学习，掌握各种基础软件的使用技巧，已经刻不容缓。

【信息安全论文】相关文章：