了解网络和信息安全技术通过学习网络安全这门课程,我们进一步了解了网络安全技术方面的知识。 一般而言,网络安全提供了保护网络系统各种硬件、软件、数据信息等的屏障,保护数据信息免受恶意入侵、被盗等侵害,网络服务和系统运行持续随着计算机技术的发展,在计算机网络日益扩大和普及的今天,对计算机安全的要求更高,涉及更广泛。 信息安全面临的危险渗透到各个方面,包括社会经济、军事技术、国家安全、知识产权、商业秘密以及隐私。 因此,网络安全技术不仅要求预防病毒,提高系统对外部非法入侵者的抵抗力,还要求提高远程数据传输的机密性,防止传输过程中受到非法入侵。 但是,开放的信息系统必然存在许多潜在的安全风险,安全技术作为一个独特的领域越来越受到关注,如何有效地防范或检测对网络的攻击已成为当务之急。
网络安全技术涉及非常广泛的层面,但最流行的技术知识包括:
1 .防火墙技术防止网络攻击最常见的方法是防火墙。 防火墙是目前最流行和最广泛使用的网络安全技术之一,它将内部网络与互联网或其他外部网络隔离,并限制网络的相互访问以保护内部网络防火墙作为内部网络安全的屏障,其主要目标是保护内部网络资源,加强网络安全策略,防止内部信息泄露和外部入侵,提供网络资源访问控制,监控网络活动防火墙技术可用于提供经过精心配置、一般在内外网络之间安全的网络保护,降低网络安全风险。 防火墙的技术主要有以下三种。
1.1包过滤技术包过滤防火墙的安全性基于数据包IP地址的检查。 在像互联网这样的TCP/IP代理网络中,所有交换的信息都作为数据包传输,数据包中包含发送者的IP地址和接收者的IP地址的信息。 包过滤用于读取所有通过的分组中的发送者IP地址、接收者IP地址、TCP端口、TCP链路状态等信息,根据系统管理员设置的过滤规则对分组进行过滤。 不符合规定IP地址的数据包被防火墙屏蔽,确保网络系统的安全。 这是一种基于网络层的安全技术,对作为APP应用层的内部用户的黑客行为无能为力。
1.2代理技术代理服务器适用于特定的互联网服务,如HTTP、FTP等。 代理服务器在收到客户端请求后,检查并验证其有效性。 如果合法,代理服务器会像客户端一样检索所需的信息并将其转发给客户端。 代理服务器像墙一样挡在内部用户和外部用户之间,将内部系统和外部隔离开来。 从外部只能看到该代理服务器,而无法获得任何内部资源,如用户的IP地址。 此外,还将详细记录所有访问状态信息。 代理服务器只通过代理所在的服务,而所有其他服务都将被阻止。 这对于系统安全至关重要,只允许“受信任”的服务通过防火墙。 代理服务还可以过滤协议。 例如,可以过滤FTP连接或拒绝使用FTP命令,以防止用户将文件写入匿名服务器。 代理服务具有隐藏信息、保证有效认证和登录、简化过滤规则等优点。
网络地址转换服务屏蔽内部网络的IP地址,以防止外部看到网络结构。
1.3状态监测技术状态监测服务监测模块在不影响网络安全正常运行的前提下,采用提取相关数据的方法对网络通信各层实施监测,提取状态信息,动态存储作为安全决策的依据。 监控模组支援多个网路通讯协定和APP应用程式通讯协定,让您轻松扩充APP应用程式和服务。 与包过滤和代理服务不同的是,在用户的访问请求到达网关的操作系统之前,状态监视器会提取和分析相关数据,并将网络配置和安全规则相结合进行接受、拒绝、认证和安全规则状态监视服务可以监视远程过程调用(RPC )和UDP (UDP )端口信息,不能进行包过滤,也不能进行代理服务。
2 .信息安全和数据加密技术以及与防火墙合作使用的安全技术还有数据加密技术。 数据加密技术是提高信息系统和数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。
2.1信息安全属性(1)机密性/机密性
信息不会泄露给未经授权的用户、实体或进程或被利用的特性。 不仅是信息内容的保密,还包括信息状态的保密。
)2)完整性
指信息不能非法更改的特性。 也就是说,信息在保存或传输过程中保持不因偶然或故意删除、修改、模仿、无序、播放、插入等而破坏或丢失的特性。
)3)可用性
信息是授权实体可以访问并在必要时使用的特性。 可用性通常用系统正常使用时间与整个正常运行时间的比值来衡量。 信息可用性与硬件可用性、软件可用性、环境可用性等相关。
2.2个人敏感信息个人财产信息:银行账号、凭据(密码)、存款信息(包括资金数量、支付收款记录等)、房地产信息、信用记录、征信信息、交易与消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等
个人健康生理信息(如病症、住院史、订单、检查报告、手术及麻醉记录、护理记录、用药记录、药物过敏信息、生育信息、既往病史、诊疗情况、家族病史、现病史、传染病史等与个人健康状况相关的信息)用于个人疾病治疗等
个人识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、人脸识别特征等。
个人身份信息:身份证、军官证、护照、驾照、工作证、社保卡、居住证等
网络身份信息:个人信息主体帐户、密码、密码保护答案、用户个人数字证书等组
合。其他信息:性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。 2.3数据传输加密技术
目的是对传输中的数据流加密,常用的方法有线路加密和端一端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者指信息由发送者端自动加密,并进人TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,被将自动重组、解密,成为可读数据。
2.4 数据存储加密技术目的是防止在存储环节上的数据失密,分为密文存储和存取控制两种。前者通常是通过加密算法转换、附加密码、加密模块等方法来实现的。后者是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
2.5 数据完整性鉴别技术目的是对介人信息的传送、存取、处理的人的身份和相关数据内容进行验证,达到保密的要求,通常包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输人的特征值是否符合预先设定的参数,实现对数据的安全保护。
2.6 密钥管理技术为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
2.7 常用国密算法国密算法是我国自主研发创新的一套数据加密算法,经过多年的发展, 已经颁布了多个算法标准。
种类 国外 国产
分组密码 DES SM4
公钥密码 RSA SM2
哈希函数 MD5 SM3
为什么采用国密算法:
(1) 网络安全已经上升成我国的国家战略,没有网络安全就没有国家安全② 保障数据安全的本质就是依靠密码算法和安全体系确保数据在传输和存储过程中安全、可信。③ 长期以来,我国一直采用国外制定的安全协议和加密算法,这无法满足关键系统、设备的安全、自主、可控,网络安全形势不容乐观。
VPN(虚拟专用网络技术)的核心是采用隧道技术,将专用网络的数据加密后,透过虚拟的公用网络隧道进行传输,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取,从而防止敏感数据的被窃。
4.入侵检测,攻击防御技术防火墙是系统的第一道防线,用以防止非法数据的进人。但防火墙并不是万能的,它只能防止外部网络对内部网络的破坏,只能按照规则的设定一成不变的阻止网络数据传送。入侵检测、攻击防御系统则是按对整个网络上的各种活动进行监听,判断网络上的违规活动向系统管理员报警,同时按照管理员制定的规则进行阻断和其它防范措施。
5.网络安全等级保护规定五个动作定级:按照等级保护的管理规范和技术标准,确定其安全保护等级。
备案:按照相关管理规定报送本地区公安机关备案。
建设整改:对已有的等级保护对象,根据已经确定的安全保护等级,完成系统整改。对新建、改建、扩建的等级保护对象应当按照等级保护的管理规范和技术标准进行规划设计、建设施工。
等级测评:按照其安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估,及时消除安全隐患和漏洞。
监督检查:公安机关按照等级保护的管理规范和技术标准的要求,重点对第三级、第四级等级保护对象的安全等级保护状况进行监督检查。
风险评估是全面分析用户网络的安全风险和威胁,并估计可能由此造成的损失或影响。风险评估的过程:风险分析中涉及资产、威胁、脆弱性三个基本要素。风险分析的主要内容为:1.对资产进行识别,并对资产的价值进行赋值。2.对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。3.对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。4.根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。5.根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失。6.根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。在风险分析过程中,还要对现有安全措施进行评价,在此基础上提出对风险处置的具体建议。
风险评估目的:查找、分析和预测工程、系统存在的危险、有害因素及可能导致的危险、危害后果和程度,提出合理可行的安全对策措施,指导危险源监控和事故预防,以达到最低事故率、最少损失和最优的安全投资效益。
(1).提高系统本质安全化程度。
(2).实现全过程安全控制。
(3).建立系统安全的最优方案,为决策提供依据。
(4).为实现安全技术、安全管理的标准化和科学化创造条件。
选择相应的安全机制和安全技术,把所用的安全产品和安全管理制度融合为一个整体即防御系统,并对防御系统在运行中的各个环节进行监控检测,对异常情况进行预警。
6.2 响应与恢复根据预警系统的提示信息,对异常的文件制定及实施不同的响应机制和流程,并采用恢复和备份相结合的技术手段。根据响应和恢复的情况,可发现防御系统中的薄弱环节或安全策略中的漏洞,进一步进行风险评估,加强网络安全措施。
7.总结所谓的网络安全是一种相对的安全,并没有绝对的安全网络,一般来说,安全性越高,其实现就越复杂,费用也相应的越高。新的安全问题的出现需要新的技术和手段来解决,因此用户应该选择那些能够正视网络现存问题的技术。