浅谈信息网络安全基础

举报
运气男孩 发表于 2022/03/04 22:54:34 2022/03/04
【摘要】 前言"信息技术的迅速发展把人类推进到信息革命的历史潮流,信息革命成为人类第三次最伟大的生产力革命。数字化生存的方式、空间、时间不断开拓,信息成为当今社会中须臾不可离开的基本生活要素,比如银行账户信息、个人邮件数据等。如何保证计算机系统中存储数据的安全受到广泛关注。"现结合自身所学和了解,简单谈一谈对信息网络安全的理解,系好安全带,发车了!1.计算机安全计算机安全(Computer Secur...

前言


"信息技术的迅速发展把人类推进到信息革命的历史潮流,信息革命成为人类第三次最伟大的生产力革命。数字化生存的方式、空间、时间不断开拓,信息成为当今社会中须臾不可离开的基本生活要素,比如银行账户信息、个人邮件数据等。如何保证计算机系统中存储数据的安全受到广泛关注。"

现结合自身所学和了解,简单谈一谈对信息网络安全的理解,系好安全带,发车了!

1.计算机安全
计算机安全(Computer Security)是计算机与网络领域的信息安全( InformationSecurity)的一个分支,其目标包括保护信息免受未经授权的访问、中断和修改,同时为系统的预期用户保持系统的可用性。计算机系统安全的定义是:为数据处理系统建立和采用的技术以及管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由于它的目的在于防止不需要的行为发生而非使得某些行为发生,其策略和方法常与其他大多数的计算机技术不同。

2.网络安全
网络安全的研究对象是整个网络,研究领域比计算机系统安全更为广泛。网络安全的目标是要创造一个能够保证整个网络安全的环境,包括网络内的计算机资源、网络中传输及存储的数据和计算机用户。通过采用各种技术和管理措施使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等问题。网络安全涉及的领域主要包括密码学设计、各种网络协议的通信以及各种安全实践等。

3.信息安全
信息安全作为一个更大的研究领域,对应信息化的发展,信息安全包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多个方面的安全需要。信息安全是信息化社会的需要,是对应于信息不安全的状态,也是对应于人们努力的结果。信息安全是为防止意外事故和恶意攻击而对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护。

信息安全目前面临的挑战

1.互联网是开放式体系结构,这种特性推动了互联网的迅速发展,加速了计算机产业和网际空间的发展,但同时,因为缺少整体的规划,当前很多协议制定是为了弥补之前的设计漏洞,蓝图的缺失带来了计算机网络基础设施和协议中的各种风险。同时,网络基础设施和协议的设计者遵循着一条原则——尽可能创造用户友好性、透明性高的接口,使得网络能够为尽可能多的用户提供服务,但这样也带来了另外的问题:一方面用户容易忽视系统的安全状况,另一方面也引来了不法分子利用网络的漏洞来满足个人的目的。

这里举个例子:

我们大多熟悉的C/S架构,也就是客户端和服务器相互通信,在进行通信之前,要通过三次握手过程建立 TCP连接。首先,客户端向服务器发送一个同步(sYN)数据包;然后,服务器响应一个ACK位和SYN位置位的数据包;最后,客户端响应一个ACK位置位的数据包。三次握手过程存在着半打开(half-open)问题,由于服务器对之前发起握手的客户端存在信任关系,就会使端口一直处于打开状态以等待客户端的通信,而这个特性往往会被恶意攻击者利用。

下图是三次握手的过程

现存的对网络安全威胁方式

  • 黑客

       从普通用户角度来看,黑客是对计算机和网络通信构成威胁的最大因素,其通过使用病毒、蠕虫以及拒绝服务等攻击手段对计算机以及网络通信系统发动毁灭式  的攻击,以获取个人利益。

  • 恶意软件

      也就是我们常说的流氓软件,经常有的操作有广告弹窗,恶意下载,修改浏览器主页、难以卸载、恶意捆绑、非法搜集用户个人隐私信息,这里比如某60全家桶和某345全系列。

  • 操作系统漏洞

      软件错误是造成计算机系统严重安全威胁的重要因素之一,尤其是网络操作系统的错误。操作系统不但对于方便快捷地使用计算机系统起到重要的作用,而且在系统安全方面也起到了关键作用。攻击者会利用操作系统的漏洞取得操作系统中高级用户的权限,进行更改文件,安装和运行软件,格式化硬盘等操作。

  • 内部安全

在组织内部需要特别注意安全专家和系统管理员。这些人拥有访问系统的极大权限,一旦有了不良企图,就会对组织造成严重影响。因此在设计安全控制时应该注意不要给某一个人赋予过多的权利。举个例子,删库跑路!

  • 社会工程学

社会工程学(Social Engineering)是一种利用受害者心理弱点、本能反应、好奇心、信任、贪婪等心理缺陷进行诸如欺骗、伤害等危害手段取得自身利益的手法,近年来已成迅速上升甚至泛滥的趋势。社会工程学是通过搜集大量的信息,针对对方的实际情况进行心理战术的一种手法。通常以交谈、欺骗、假冒或口语等方式,从合法用户中套取用户系统的秘密。实施社会工程学的手段有很多,可以通过网络、电话,甚至书信方式扮演拥有系统访问权的用户。

信息安全五大特性

1. 完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2. 保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3. 可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4. 不可否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5. 可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。

总结


随着互联网的快速发展和国家对网络安全方面的重视,如今的网络环境相对友好,建议大家在使用计算机时多多注意网络安全方面的问题,防止造成不必要的损失。

本篇博客结束,如有错误,欢迎指正,谢谢!

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200