久久精品99久久|国产剧情网站91|天天色天天干超碰|婷婷五天月一av|亚州特黄一级片|亚欧超清无码在线|欧美乱码一区二区|男女拍拍免费视频|加勒比亚无码人妻|婷婷五月自拍偷拍

信息安全畢業(yè)論文

內(nèi)部網(wǎng)信息安全分析

時間:2022-10-08 21:18:46 信息安全畢業(yè)論文 我要投稿
  • 相關(guān)推薦

內(nèi)部網(wǎng)信息安全分析

  【摘 要】本文通過對內(nèi)網(wǎng)面臨的安全威脅和現(xiàn)有安全產(chǎn)品的功能進行分析,提出了一種以多因素身份認證為基礎,基于加密網(wǎng)絡協(xié)議和加密磁盤文件系統(tǒng),同時具有強移動存儲安全管理的方便、有效、先進的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案,可以有效解決內(nèi)網(wǎng)的諸多安全問題。

  【關(guān)鍵詞】內(nèi)網(wǎng) 網(wǎng)絡安全 加密 身份認證

  一、引言

  隨著信息技術(shù)特別是網(wǎng)絡技術(shù)的發(fā)展,大部分的企業(yè)或機關(guān)單位都組建了內(nèi)部局域網(wǎng),實現(xiàn)了資源共享,信息傳遞快速有效,極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時,內(nèi)網(wǎng)中一般會有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡進行傳遞。例如政府、軍隊或軍工單位內(nèi)具有一定密級的文件、文檔、設計圖紙等;設計院所的圖紙和設計圖庫等;研發(fā)型企業(yè)的設計方案、源代碼和圖紙等數(shù)字知識產(chǎn)權(quán);企事業(yè)單位的財務數(shù)據(jù)等,都是保密數(shù)據(jù)信息。如何對這些保密數(shù)據(jù)信息進行全方位的保護,是非常重要的。

  二、內(nèi)部網(wǎng)絡安全面臨的威脅

  隨著技術(shù)的發(fā)展,網(wǎng)絡讓信息的獲取、共享和傳播更加方便,同時內(nèi)部局域網(wǎng)開放共享的特點,使得分布在各臺主機中的重要信息資源處于一種高風險的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測、網(wǎng)絡隔離裝置等網(wǎng)絡安全保護對于防止外部入侵有不可替代的作用,而對于內(nèi)部泄密顯得無可奈何,內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國國家信息安全測評認證中心調(diào)查,信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。根據(jù)對內(nèi)網(wǎng)具體情況的總結(jié)分析,來自內(nèi)部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計算機非法接入內(nèi)網(wǎng)或者非法直接鏈接計算機終端,竊取內(nèi)網(wǎng)重要數(shù)據(jù);b.竊取者直接利用局域網(wǎng)中的某一臺主機,通過網(wǎng)絡攻擊或欺騙的手段,非法取得其他主機甚至是某臺服務器的重要數(shù)據(jù);c.內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復制、打印、非法撥號外聯(lián)等手段泄漏到外部;d.內(nèi)部人員竊取管理員用戶名和密碼,非法進入重要的系統(tǒng)和應用服務器獲取內(nèi)部重要數(shù)據(jù)。 在網(wǎng)絡互聯(lián)互通實現(xiàn)信息快速交換的同時,如何加強網(wǎng)絡內(nèi)部的安全,防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡中泄漏出去,是網(wǎng)絡安全領(lǐng)域內(nèi)一個主要的發(fā)展方向。

  三、現(xiàn)有內(nèi)部網(wǎng)絡安全產(chǎn)品分析

  為了解決內(nèi)網(wǎng)安全問題,市場上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品,主要分為三類。

  1.監(jiān)控與審計系統(tǒng)

  現(xiàn)有各廠商的監(jiān)控與審計系統(tǒng)一般都由三部分組成:客戶端、服務器。其中,客戶端安裝在受控的計算機終端,用來收集數(shù)據(jù)信息,并執(zhí)行來自服務器模塊的指令;服務器端一般安裝在內(nèi)網(wǎng)中一臺具有高性能CPU和大容量內(nèi)存的用作服務器的計算機上,存儲和管理所有客戶端計算機數(shù)據(jù);系統(tǒng)安全管理員可以登錄到服務器端管理各類審計功能模塊,并制定各種安全策略?蛻舳烁鶕(jù)控制端下發(fā)的安全策略,對受控主機進行相應的監(jiān)控,并將相應的信息上傳至服務器。它能夠獲取受控主機的信息資料,對各類輸入輸出端口如USB、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進行控制與監(jiān)控,也可以對各類應用程序進行監(jiān)控,防止終端計算機非法接入、非法外聯(lián),對文件操作等行為進行審計。

  這類產(chǎn)品提供了一定的安全控制功能,但由于其重點是按照安全策略進行記錄和審計,屬于事后審計產(chǎn)品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現(xiàn)泄密事件發(fā)生,損失已經(jīng)造成,所以這類產(chǎn)品的安全作用有一定的局限性。

  2.文檔加密系統(tǒng)

  文檔加密系統(tǒng)采用一定的加密算法對文件進行加密,實現(xiàn)對各類電子文檔內(nèi)容級的安全保護,一般由客戶端加解密軟件和認證服務器構(gòu)成。加密軟件對涉密文件進行加密,設置不同級別的使用權(quán)限。權(quán)限設計可由管理員或加密文件的擁有者進行設置。管理員可以控制終端用戶對重要文件的讀取、存儲、復制、打印等,從而防止用戶之間非法復制、外部發(fā)行、光盤拷貝,可以杜絕使用U盤、軟盤、光盤、電子郵件等方式竊取企事業(yè)單位的電子文檔。

  文檔加密可以實現(xiàn)對重要數(shù)據(jù)的加密保護,但是管理不靈活,而且內(nèi)網(wǎng)資源眾多,需要分別進行權(quán)限的設置,管理難度大,尤其當用戶權(quán)限發(fā)生頻繁更換的時候,容易造成漏洞,此類產(chǎn)品可操作性較差。

  3.身份認證系統(tǒng)

  用戶認證系統(tǒng)采用各種認證方式實現(xiàn)用戶的安全登陸和認證,獨立于計算機原有的登陸系統(tǒng),安全可靠性更高。一般由認證服務器和認證代理組成,有些產(chǎn)品提供認證令牌。認證服務器是網(wǎng)絡中的認證引擎,由安全管理員進行管理,主要用于令牌簽發(fā),安全策略的設置與實施,日志創(chuàng)建等;認證代理是一種安裝在終端計算機上的專用代理軟件,實施認證服務器建立的各種安全策略;認證令牌以硬件、軟件或智能卡等多種形式向用戶提供,用來確認用戶身份,如果令牌認證正確,就可以高度確信該用戶是合法用戶。目前這類產(chǎn)品主要實現(xiàn)了單一的用戶身份鑒別,并不能實現(xiàn)對計算機的有效訪問控制,其應用范圍相對有限。

  上述三類產(chǎn)品在一定程度上或某些方面解決了內(nèi)網(wǎng)信息安全問題,并沒有實現(xiàn)計算機、用戶、策略三個方面的全面防護。四、內(nèi)網(wǎng)安全產(chǎn)品關(guān)鍵性能探討  內(nèi)網(wǎng)對信息安全的要求越來越高,內(nèi)網(wǎng)安全產(chǎn)品不應該只是解決單方面的問題,應該從用戶身份認證、計算機安全性、網(wǎng)絡通信安全性、數(shù)據(jù)自身安全性、外設安全管理、綜合安全審計等方面提供一整套完善的解決方案(見圖2),對數(shù)據(jù)的存儲、傳輸和使用在整個生命周期內(nèi)進行控制、保護和審計,確保數(shù)據(jù)的完整性和保密性,從而防止敏感信息泄漏,為企事業(yè)單位構(gòu)建可信可控的內(nèi)部網(wǎng)絡。

  1.統(tǒng)一建立身份認證授權(quán)體系應完全獨立于計算機、網(wǎng)絡系統(tǒng)原有的認證體系,采用軟硬件相結(jié)合的多重認證體系,提高可靠性,使用方便,對原有的內(nèi)網(wǎng)體系影響很小。同時,對所有外設、輸入/輸出端口及操作的授權(quán)管理,實現(xiàn)授權(quán)的人僅能操作授權(quán)的計算機,僅能使用授權(quán)的磁盤、磁盤分區(qū)、外設、移動存儲設備等,僅能使用授權(quán)的輸入輸出接口,為安全系統(tǒng)的可靠運行奠定基礎。

  2.透明模式強制網(wǎng)絡通訊加密由于標準的計算機通信協(xié)議本身設計上沒有考慮安全性,是一個開放的協(xié)議,使得網(wǎng)絡中傳輸?shù)臄?shù)據(jù)能夠被截獲。為確保內(nèi)網(wǎng)信息安全,必須要解決內(nèi)網(wǎng)中任意兩臺機器之間進行通信時數(shù)據(jù)的安全性問題。內(nèi)網(wǎng)安全產(chǎn)品應實現(xiàn)網(wǎng)絡傳輸?shù)膹娭萍用,任意兩臺計算機間的通信密鑰都是不一樣的,這有效防止了網(wǎng)內(nèi)使用惡意偵聽軟件的行為。同時,由于網(wǎng)絡協(xié)議數(shù)據(jù)封裝格式不通,內(nèi)部網(wǎng)絡的計算機的各種方式非法外聯(lián)也無法進行通信,這有效的防止了非法外聯(lián)行為的發(fā)生。非法接入內(nèi)部網(wǎng)絡的計算機,因為無法獲得有效的網(wǎng)絡通信密鑰,也都將無法聯(lián)通,有效防止了非法接入行為的發(fā)生。

  3.透明模式強制加密本地硬盤采用強加密算法改寫系統(tǒng)層對文件的讀寫操作,使得本地硬盤中的除系統(tǒng)盤外的所有文件均為加密存儲,只能在內(nèi)網(wǎng)安全產(chǎn)品啟動的情況下才能正常讀寫這些文件。同時根據(jù)需要制定審計策略,對特別重要的文件的讀寫操作進行審計。所有本地文件,都將被系統(tǒng)自動強制加密保存在磁盤中。同時為了在保證數(shù)據(jù)安全性的同時不影響用戶日常使用習慣,加解密必須采用透明方式。通過強制加密,即使磁盤被盜用或者丟失,都不會造成重要信息的泄密。防止了因為硬盤丟失、多操作系統(tǒng)和光盤啟動等造成的數(shù)據(jù)泄密事件的發(fā)生。

  4.加強對移動存儲介質(zhì)的安全管理通過管理員的注冊、認證、授權(quán)后才能在指定的范圍內(nèi)按照指定的讀寫策略使用移動存儲設備,可以實現(xiàn)對軟盤、U盤和移動硬盤等便攜式移動存儲設備的有效管理。

  當移動存儲設備被注冊為加密讀寫策略的時候,所有寫入該移動存儲設備的文件數(shù)據(jù)將被強制加密,只能在管理員授權(quán)允許的終端上正常使用。如果使用移動存儲介質(zhì)將這些數(shù)據(jù)攜帶到出此范圍,無法正常讀寫,只是毫無意義的加密數(shù)據(jù)。這種方式有效地限定了數(shù)據(jù)的可用范圍,對于用戶來說,既可以享受移動存儲設備共享數(shù)據(jù)的方便性,又可以實現(xiàn)有效地數(shù)據(jù)共享范圍管理。

  總之,新型的內(nèi)網(wǎng)信息安全產(chǎn)品要提供一種方便、有效、先進的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案,解決內(nèi)部網(wǎng)絡的用戶身份和計算機管理、網(wǎng)絡信息保密等安全問題,達到外部入侵進不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果,有效防止機密敏感信息的泄漏,為企事業(yè)單位構(gòu)建了一個可信可控的內(nèi)網(wǎng)。

  參考文獻:

  [1]張敏波.網(wǎng)絡安全實戰(zhàn)詳解[M].北京:電子工業(yè)出版社,2008.

  [2]吳亞非,李新友,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007.

  [3]閆宏生,王雪莉,楊軍.計算機網(wǎng)絡安全與防護[M].北京:電子工業(yè)出版社,2007.

  [4]薛質(zhì).信息安全技術(shù)基礎和安全策略[M].北京:清華大學出版社,2007.

【內(nèi)部網(wǎng)信息安全分析】相關(guān)文章:

淺談企業(yè)內(nèi)部網(wǎng)絡信息安全與防護論文10-08

分析信息安全問題10-01

信息安全工程分析論文10-11

分析軍訓網(wǎng)信息安全的對策10-01

大數(shù)據(jù)時代信息安全分析10-08

電力信息安全分析與措施論文10-09

信息安全隱患分析及對策10-07

信息安全管理提升的分析與研究的論文10-08

信息安全等級保護的分析論文10-09