-
让品牌有温度、有情感
专注品牌策划15年
十大常见网络信息安全隐患(网络安全防范措施五种)
发布时间:2023-04-08 04:34:24
稿源:
创意岭 阅读:
145
大家好!今天让创意岭的小编来大家介绍下关于十大常见网络信息安全隐患的问题,以下是小编对此问题的归纳整理,让我们一起来看看吧。
开始之前先推荐一个非常厉害的Ai人工智能工具,一键生成原创文章、方案、文案、工作计划、工作报告、论文、代码、作文、做题和对话答疑等等
只需要输入关键词,就能返回你想要的内容,越精准,写出的就越详细,有微信小程序端、在线网页版、PC客户端
创意岭作为行业内优秀的企业,服务客户遍布全球各地,如需了解SEO相关业务请拨打电话175-8598-2043,或添加微信:1454722008
本文目录:
.jpg)
一、信息安全隐患有哪些
从大的方面讲,信息安全主要包括:运行安全(主要是由网络和计算机构成的平台)、交易安全(传输过程中的数据安全)、内容安全、个人或单位隐私保护。几年前,谈论信息安全还仅限于政府部门内部,而且所涉及的也大多是内容安全、防止泄密等。但近几年,在新经济的环境下,所有人的生活已与网络形成了非常紧密的联系,随着安全问题越来越引起政府和企业的关注,各种安全技术和产品也不断涌现出来。但值得思考的是,为什么在强大的防御技术的保护下,信息的安全问题反而越来越多,入侵与反入侵技术总是在上演“道高一尺,魔高一丈”的活剧?在中国,信息安全应用的最大隐患到底在哪里?其症结究竟是什么?
管理:信息安全应用的最大漏洞
据统计,在美国被中国黑客攻击的网站中,政府网站占3%,而在中国遭到美国黑客攻击的网站中,政府网站竟占37%还多。这个数字充分说明,中国的政府网站应该进行的管理没有到位。其实,美国人所采用的攻击手段并不高明,其中许多技术漏洞都是被中国人最早发现并公布的,但正是由于在管理上没有得到足够的重视,才让别人利用简单的技术钻了空子。
提高安全管理意识已刻不容缓。中国国家计算机网络与信息安全实验室主任白硕先生在接受记者采访时说:“目前,中国的信息安全在技术上的最大隐患是,操作系统、微电子芯片、路由器等核心技术都掌握在别人手里,这是一个极为严重的问题。像中国这样一个大国,没有自己的核心技术,就好像所有的信息系统都建筑在沙滩上一样,稍有风吹草动,我们就会失去平衡。尽管不久前中国国防科技大学推出了自主研制的核心路由器,中科院软件所也有了相应的安全操作系统软件推出,但这些刚刚起步的技术离可用还有一段距离,况且面对着如此具大的应用市场,这一点突破仍然是杯水车薪。”
那么,如何解决当前的问题?在只能采用国外产品的情况下如何保证信息的安全?怎样在现有条件下,对一些疑点进行修补呢?白硕先生认为,一个最直接、最有效的方法就是拉紧管理这根线,用严密的制度弥补技术上的不足。近几年,我国的政府机构为了加强对信息安全的保障,实行了内网与外网分离的策略,但这种隔离从严格意义上讲只能防外而不能防内。事实上,不管多么先进的安全技术,都抵挡不住从内部攻破,先进技术解决不了人的问题,“家贼难防”是尽人皆懂的道理。北京邮电大学信息安全中心杨义先生曾说过,信息安全在管理方面还存在几个问题:一是CA(数字证书认证中心)的建设,目前全国共建立了不下20个CA认证机构,其实有一个就足够了;二是目前的安全问题,包括病毒、网络安全、加密等,也分属很多部门管理,各有各的标准。建议设立一个统一的部门,把认证及所有安全问题统一管起来,以保证拥有一个标准的控制手段。
投资失衡:信息安全应用的隐患之一
信息安全在技术与管理上的比重失调还明显地体现在投入上。目前在中国,大多数企、事业单位在建立信息系统时,安全建设方面的投入均不足整个系统的5%,而国外在这方面的投入一般都在10%~15%。如果对这5%的投入进行具体分析,其中用于购买硬件设备的投资已基本接近发达国家的水平,而购买服务和管理的投资几乎为零,因而从信息系统建设一开始就已经给安全带来了极大的隐患。
那么,企、事业单位在IT投资时,安全管理方面的资金应该投到哪些方面呢?在一个信息化系统中,属于管理的问题有很多,在某些情况下,与信息化配套的管理机制不可能自发地产生,这时安全管理就必须进行购买,也就是花钱买管理。企业或事业单位应该与一些专业从事安全管理的公司进行合作,共同建立起一套管理体系,包括质量管理体系、文档管理体系、组织体系、监督检查机制等,要根据各单位具体的安全需求配置安全级别。单位中需要管理的事务很多,如果管理机制得不到很好的惯彻,安全是无从谈起的。
另一个资金投向应该是安全服务。信息技术在不断地发展,安全问题也将随着网络应用的不断深化而变化出更多的新内容,安全漏洞防不胜防。然而,目前对于中国的许多企、事业单位来说,最为困难的还是缺少能够全面承担起各种安全系统管理重任的人才,在这种情况下,唯一的变通方法就是花钱买服务。但是,目前在中国,各单位在安全服务方面的投入也基本为零。
技术分布失衡:信息安全应用的隐患之二
白硕先生认为,目前在国内市场上,保障网络安全的产品不是太少,而是太多了。但从分布上看,少数类型的产品又过于集中。例如防火墙,现在许多厂商都在做防火墙,已经造成一种水平不高的重复,从宏观上看这并不是一种理想的技术格局。网络安全保障具有非常多的环节,包括预防(漏洞扫描、风险评估等)、实时检测、审计、记录取证、灾难恢复以及对于攻击的响应手段等,但目前这些安全环节在产品开发上并没有得到合理的分布,如安全中的必要环节审计、取证、备份和灾难恢复等产品数量偏少,而且没有过硬的技术。
作为政府的信息安全管理部门,信息产业部计算机网络与信息安全中心目前非常关注安全产品和服务的标准及立法等问题(即对于安全产品及服务的合格认证)。不久他们将召开一次关于网络安全服务试点选择的会议,并将出台一系列具有长远规划的安全法规和政策,力图让人们看到国家信息安全发展的脉络。而对于标准,他们希望改变现有的工作模式。过去的方法是,由国家下达一个标准化研究任务,一些专门从事标准研究的机构就开始制定工作,现在看来这种方式已经不适应时代的发展,因为专职研究机构距离研制安全产品的第一线还有相当大的距离,因此对于一些策略的理解还存在很大差距。信息产业部希望,将这种研究方式转化成以企业为主的标准研究方式,把一些真正有实力的大型企业联合起来,共同承担标准的制定工作。
追求安全不应该制约发展
安全问题是现代经济发展的最大障碍,但是不是因为安全问题得不到很好的解决,国家和企业就必须放慢发展的步伐呢?在讨论安全与发展的关系之前,我们需要搞清楚的是,什么样的系统是安全的系统。一个商业系统,永远也做不到政府和军方那样的安全程度。招商银行总行电脑部周天虹说:“在商业系统内部,安全是一个相对的概念,因为我们无法追求绝对安全。什么叫相对安全?首先,安全问题所带来的损失是商业企业能够承受的。例如信用卡业务,它的风险很大,但是银行仍然在大规模地开展这项业务,这是由于信用卡风险大同时利润也很大,招商银行大约30%的利润都来自信用卡;第二,一定要确保不给客户造成损失,这是在任何银行系统中都必须遵循的一个硬指标。一旦出现问题,只要有证据显示责任不在客户,银行必须承担损失。有了这两条原则,银行就可以求发展。”
信息安全是一个综合性的问题,从政府部门的角度看,安全与发展也是一个辩证的关系。政府机构对于安全的需求也是分等级、分层次的,只要不突破安全底线,还是要边发展边完善。目前保障安全的技术已经很多了,其中用户的身份识别就是一个极为重要的方面,此外还有服务器端的管理,如安装监测软件、防火墙等等。但最关键的一点还是如何使用这些技术,使系统既安全又好用。总的来说,一个系统是不是安全,绝不是单纯的技术问题,对于业务的管理已影响到了信息安全应用的方方面面,如事后监督、实时监控等。如果从管理和技术两方面都能够做到万无一失,我们就可以得到一个相对安全的环境。
二、常见的网络安全问题有哪些
1计算机病毒是现在最常见的威胁计算机安全的问题。计算机病毒命名规则:病毒前缀、病毒名称、病毒后缀。其实只看前缀就能分辨出是那种病毒了。系统病毒(例如windows2000)脚本病毒( 例如js和vbscript)捆绑病毒( 例如binder)宏病毒( 例如macor)种植病毒(例如dorpper)蠕虫病毒(worm)木马病毒。破坏性病毒( 例如harm)hack3 拒绝服务攻击是最厉害的攻击手段。攻击方法有好多种:syn flood攻击是针对TCP协议的。smurf攻击方式是利用广播机制。ping of death是利用ping发送大小不合法的测试包。tear drop攻击方式是利用IP数据片段重组上的弱点。2 口令绿色。(1)网络监听。(你的信息有可能在中途被黑客所截获)(2)口令猜测。用网上的软件可以绿色你的密码。
三、网络环境下,会遇到哪些安全隐患
一般网络环境下会遇到的安全隐患有
1.
网络节点单点故障。只有一个核心交换机,路由器,或网络出口。
2.
网络内的ARP攻击、病毒蠕虫攻击。特别对于网络内主机数量很多的情况。
3.
网络嗅探风险,一般非交换型网络,可以通过抓包软件,获得其他主机的通信信息。
四、网络存在哪些安全隐患及如何解决网络安全隐患
网络安全是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从本质上讲就是网络信息安全,包括静态的信息存储安全和信息传输安全。
进入21世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被开发和应用。但是,即便是在这样的情况下,网络的安全依旧存在很大的隐患。
企业网络的主要安全隐患
随着企业的信息化热潮快速兴起,由于企业信息化投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因,网络安全也成了中小企业必须重视并加以有效防范的问题。病毒、间谍软件、垃圾邮件……这些无一不是企业信息主管的心头之患。
1.安全机制
每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐藏内部网络结构,细致外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往无能为力,很难发觉和防范。
2.安全工具
安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当的设置就会产生不安全因素。
3.安全漏洞和系统后门
操作系统和应用软件中通常都会存在一些BUG,别有心计的员工或客户都可能利用这些漏洞想企业网络发起进攻,导致某个程序或网络丧失功能。有甚者会盗窃机密数据,直接威胁企业网络和企业数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的BUG被发现和公布,程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用,而且这种攻击通常不会产生日志,也无据可查。现有的软件和工具BUG的攻击几乎无法主动防范。
系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以经过防火墙而不被察觉。
第2页:网络安全探讨(二)
4.病毒、蠕虫、木马和间谍软件
这些是目前网络最容易遇到的安全问题。病毒是可执行代码,它们可以破坏计算机系统,通常伪装成合法附件通过电子邮件发送,有的还通过即时信息网络发送。
蠕虫与病毒类似,但比病毒更为普遍,蠕虫经常利用受感染系统的文件传输功能自动进行传播,从而导致网络流量大幅增加。
木马程序程序可以捕捉密码和其它个人信息,使未授权远程用户能够访问安装了特洛伊木马的系统。
间谍软件则是恶意病毒代码,它们可以监控系统性能,并将用户数据发送给间谍软件开发者。
5.拒绝服务攻击
尽管企业在不断的强化网络的安全性,但黑客的攻击手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求,造成服务器超载,不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。
6.误用和滥用
在很多时候,企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中,企业员工的信息安全意识是相对落后的。而企业管理层在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析,中小企业尚无法将信息安全的理念融入到企业的整体经营理念中,这导致了企业的信息管理中存在着大量的安全盲点和误区。
网络安全体系的探讨
1.防火墙
防火墙是企业网络与互联网之间的安全卫士,防火墙的主要目的是拦截不需要的流量,如准备感染带有特定弱点的计算机的蠕虫;另外很多硬件防火墙都提供其它服务,如电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无线接入点选项等等。
在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。
防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。
防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
第3页:网络安全探讨(三)
2.网络病毒的防范
在网络环境下,病毒传播扩散加快,仅用单机版杀毒软件已经很难彻底清除网络病毒,必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,并且定期或不定期更新病毒库,使网络免受病毒侵袭。
3.系统漏洞
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化,仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用黑客工具对网络进行模拟攻击,从而寻找网络的薄弱点。
4.入侵检测
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,能识别出任何不希望有的行为,从而达到限制这些活动,保护系统安全的目的。
5.内网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的入侵则无能为力。在这种情况下我们可以采用对各个子网做一个具有一定功能的审计文件,为管理员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序监听子网内计算机间互联情况,为系统中各个服务器的审计文件提供备份。
企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展,中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上,对于信息安全的需求也会迅速的成长。
总之,网络安全是一个系统工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,与科学的网络管理结合在一起,才能生成一个高效、通用、安全的网络系统。
以上就是关于十大常见网络信息安全隐患相关问题的回答。希望能帮到你,如有更多相关问题,您也可以联系我们的客服进行咨询,客服也会为您讲解更多精彩的知识和内容。
推荐阅读:
赣公网安备 50019002502384号
