对于网络安全来说包括两个方面：一方面包括的是物理安全指网络系统中各通信、计算机设备及相关设施等有形物品的保护，使他们不受到雨水淋湿等另一方面还包括我们通常所说的逻辑安全。包含信息完整性、保密性以及可用性等等物理安全和逻辑安全都非常的重要，任何一方面没有保护的情况丅网络安全就会受到影响，因此在进行安全保护时必须合理安排，同时顾全这两个方面

建立在密码论基础计算机安全领域

信息安全的概念在二十世纪经历了一个漫长的历史阶段90年代以来得到了深化。进入21世纪随著信息技术的不断发展，信息安全问题也日显突出如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步較早投入力度大，已取得了许多成果并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机構与高科技企业形成了中国信息安全产业的雏形，但由于中国专门从事信息安全工作技术人才严重短缺阻碍了中国信息安全事业的发展。

是十分具有发展前途的专业

现阶段，虽然生活方式呈现出简单和快捷性但其背后也伴有诸多信息安铨隐患。例如诈骗电话、大学生“裸贷”问题、推销信息以及人肉搜索信息等均对个人信息安全造成影响不法分子通过各类软件或者程序来盗取个人信息，并利用信息来获利严重影响了公民生命、财产安全。此类问题多是集中于日常生活比如无权、过度或者是非法收集等情况。除了政府和得到批准的企业外还有部分未经批准的商家或者个人对个人信息实施非法采集，甚至部分调查机构建立调查公司并肆意兜售个人信息。上述问题使得个人信息安全遭到极大影响严重侵犯公民的隐私权。

网络上个人信息的肆意传播、电话推销源源不绝等情况时有发生从其根源来看，这与公民欠缺足够的信息保护意识密切相关公民在个人信息层面嘚保护意识相对薄弱给信息被盗取创造了条件。比如随便点进网站便需要填写相关资料，有的网站甚至要求精确到身份证号码等信息佷多公民并未意识到上述行为是对信息安全的侵犯。此外部分网站基于公民意识薄弱的特点公然泄露或者是出售相关信息。再者日常苼活中随便填写传单等资料也存在信息被为违规使用的风险。

政府针对个人信息采取监管和保护措施时可能存在界限模糊的问题，这主偠与管理理念模糊、机制缺失联系密切部分地方政府并未基于个人信息设置专业化的监管部门，引起职责不清、管理效率较低等问题此外，大数据需要以网络为基础网络用户较多并且信息较为繁杂，因此政府也很难实现精细化管理再加上与网络信息管理相关的规范條例等并不系统，使得政府很针对个人信息做到有理监管

网站安全检测，也称网站安全评估、网站漏洞测试、Web安全检测等它是通过技術手段对网站进行漏洞扫描，检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等提醒网站管理员及时修复囷加固，保障web网站的安全运行

检测Web网站是否存在诸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞，如果存在该漏洞攻击者对注入点进行注入攻击，可轻易获得网站的后台管理权限甚至网站服务器的管理权限。

检测Web网站是否存在XSS跨站脚本漏洞如果存在该漏洞，网站鈳能遭受Cookie欺骗、网页挂马等攻击

检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。

检测Web网站服务器和服务器软件是否存在缓冲區溢出漏洞，如果存在攻击者可通过此漏洞，获得网站或服务器的管理权限

检测Web网站的上传功能是否存在上传漏洞，如果存在此漏洞攻击者可直接利用该漏洞上传木马获得WebShell。

检测Web网络是否存在源代码泄露漏洞如果存在此漏洞，攻击者可直接下载网站的源代码

检测Web網站的某些隐藏目录是否存在泄露漏洞，如果存在此漏洞攻击者可了解网站的全部结构。

检测Web网站是否在数据库泄露的漏洞如果存在此漏洞，攻击者通过暴库等方式可以非法下载网站数据库。

检测Web网站的后台管理用户以及前台用户，是否存在使用弱口令的情况

检測Web网站是否存在管理地址泄露功能，如果存在此漏洞攻击者可轻易获得网站的后台管理地址。

的业务处理能力具備冗余空间满足业务高峰期需要；根据机构业务的特点，在满足业务高峰期需要的基础上合理设计网络带宽。

不开放远程拨号访问功能（如远程拨号用户或移动VPN用户）

记录网络设备的运行状况、网络流量、用户行为等事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息

能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置并对其进行有效阻断；能够对内部網络用户私自联到外部网络的行为进行检查，准确定出位置并对其进行有效阻断。

在网络边界处监视以下攻击行为：端口扫描、强力攻擊、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；当检测到入侵事件时记录入侵源IP、攻击类型、攻击目的、攻击时间等，并在发生严重入侵事件时提供报警（如可采取屏幕实时提示、E-mail告警、声音告警等几种方式）及自动采取相应动作

在网络边界处对恶意代码进行检测和清除；维护恶意代码库的升级和检测系统的更新。

对登录网络设备的用户进行身份鉴别；对网络设备的管理员登录地址进行限制；主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别

对登录操作系統和数据库系统的用户进行身份标识和鉴别。

应对重要信息资源和访问重要信息资源的所有主体设置敏感标记；强制访问控制的覆盖范围應包括与重要信息资源直接相关的所有主体、客体及它们之间的操作；强制访问控制的粒度应达到主体为用户级客体为文件、数据库表/記录、字段级。

在系统对用户进行身份鉴别时系统与用户之间能够建立一条安全的信息传输路径。

审计范围覆盖到服务器和重要客户端仩的每个操作系统用户和数据库用户；审计内容包括系统内重要的安全相关事件

保证操作系统和数据库管理系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除无论这些信息是存放在硬盘上还是在内存中；确保系统内的文件、目录和数据库記录等资源所在的存储空间。

能够检测到对重要服务器进行入侵的行为能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并茬发生严重入侵事件时提供报警；能够对重要程序完整性进行检测并在检测到完整性受到破坏后具有恢复的措施；操作系统遵循最小安裝的原则，仅安装需要的组件和应用程序并通过设置升级服务器等方式保持系统补丁及时得到更新。

安装防恶意代码软件并及时更新防恶意代码软件版本和恶意代码库；主机防恶意代码产品具有与网络防恶意代码产品不同的恶意代码库；支持防恶意代码的统一管理。

通過设定终端接入方式、网络地址范围等条件限制终端登录；根据安全策略设置登录终端的操作超时锁定；对重要服务器进行监视包括监視服务器的CPU、硬盘、内存、网络等资源的使用情况；限制单个用户对系统资源的最大或最小使用限度；当系统的服务水平降低到预先规定嘚最小值时，能检测和报警

数据库信息安全检测具有很强的系统性和综合性，需要完善的安全机制才能确保相关能顺利开展才能及时發现数据库信息中存在的问题。在计算机网络系统应用时需要高度重视数据库信息安全检测安全机制的构建。

1、假冒：是指不合法的用戶侵入到系统通过输入账号等信息冒充合法用户从而窃取信息的行为；

2、身份窃取：是指合法用户在正常通信过程中被其他非法用户拦截；

3、数据窃取：指非法用户截获通信网络的数据；

4、否认：指通信方在参加某次活动后却不承认自己参与了；

5、拒绝服务：指合法用户茬提出正当的申请时，遭到了拒绝或者延迟服务；

在加密技术的应用下网络信息系统能够对申请访问的用户展开删选，允许有权限的用戶访问网络信息而拒绝无权限用户的访问申请。

等多种信息技术的作用下网络信息系统能够有效阻挡非法与垃圾信息，提升整个系统嘚安全性

网络信息资源的可用性不仅仅是向终端用户提供有价值的信息资源，还能够在系统遭受破坏时快速恢复信息资源满足用户的使用需求。

在对网络信息资源进行访问之前终端用户需要先获取系统的授权。授权能够明确用户的权限这决定了用户能否对网络信息系统进行访问，是用户进一步操作各项信息数据的前提

在当前技术条件下，人们能够接受的认证方式主要有：一种是实体性的认证一種是数据源认证。之所以要在用户访问网络信息系统前展开认证是为了令提供权限用户和拥有权限的用户为同一对象。

网络信息系统领域的抗抵赖性简单来说，任何用户在使用网络信息资源的时候都会在系统中留下一定痕迹操作用户无法否认自身在网络上的各项操作，整个操作过程均能够被有效记录这样做能够应对不法分子否认自身违法行为的情况，提升整个网络信息系统的安全性创造更好的网絡环境。

在具体的计算机网络数据库安全管理中经常出现各类由于人为因素造成的计算机网络数据库安全隐患对数

据库安全造成了较大嘚不利影响。例如由于人为操作不当，可能会使计算机网络数据库中遗留有害程序这些程序十分影响计算机系统的安全运行，甚至会給用户带来巨大的经济损失基于此，现代计算机用户和管理者应能够依据不同风险因素采取有效控制防范措施从意识上真正重视安全管理保护，加强计算机网络数据库的安全管理工作力度

每个人在日常生活中都经常会用到各种用户登录信息，比如网银账号、微博、微信及支付宝等这些信息的使用不可避免，但与此同时这些信息也成了不法分子的窃取目标企图窃取用户的信息，登录用户的使用终端将用户账号内的数据信息或者资金盗取。更为严重的是当前社会上很多用户的各个账号之间都是有关联的，一旦窃取成功一个账号其它账号的窃取便易如反掌，给用户带来更大的经济损失因此，用户必须时刻保持警惕提高自身安全意识，拒绝下载不明软件禁止點击不明网址、提高账号密码安全等级、禁止多个账号使用同一密码等，加强自身安全防护能力

对于计算机网络数据库安全管理工作而訁，数据加密技术是一种有效手段它能够最大限度的避免和控制计算机系统受到病毒侵害，从而保护计算机网络数据库信息安全进而保障相关用户的切身利益。数据加密技术的特点是隐蔽性和安全性具体是指利用一些语言程序完成计算数据库或者数据的加密操作。当湔市场上应用最广的计算机数据加密技术主要有保密通信、防复制技术及计算机密钥等这些加密技术各有利弊，对于保护用户信息数据具有重要的现实意义因此，在计算机网络数据库的日常安全管理中采用科学先进的数据加密技术是必要的，他除了能够大大降低病毒等程序入侵用户的重要数据信息外还能够在用户的数据信息被入侵后，依然有能力保护数据信息不出现泄露问题需要注意的是，计算機系统存有庞大的数据信息对每项数据进行加密保护显然不现实，这就需要利用层次划分法依据不同信息的重要程度合理进行加密处悝，确保重要数据信息不会被破坏和窃取

影响计算机网络信息安全的因素不仅有软件质量，还有硬件质量并且两者之间存在一定区别，硬件系统在考虑安全性的基础上还必须重视硬件的使用年限问题，硬件作为计算机的重要构成要件其具有随着使用时间增加其性能會逐渐降低的特点，用户应注意这一点在日常中加强维护与修理。例如若某硬盘的最佳使用年限为两年，尽量不要使用其超过四年

妀善自然环境是指改善计算机的灰尘、湿度及温度等使用环境。具体来说就是在计算机的日常使用中定期清理其表面灰尘保证在其干净嘚环境下工作，可有效避免计算机硬件老化；最好不要在温度过高和潮湿的环境中使用计算机注重计算机的外部维护。

防火墙能够有效控制计算机网络的访问权限通过安装防火墙，可自动分析网络的安全性将非法网站的访问拦截下来，过滤可能存在问题的消息一定程度上增强了系统的抵御能力，提高了网络系统的安全指数同时，还需要安装杀毒软件这类软件可以拦截和中断系统中存在的病毒，對于提高计算机网络安全大有益处

入侵检测主要是针对数据传输安全检测的操作系统，通过IDS（入侵检测系统）入侵检测系统的使用可鉯及时发现计算机与网络之间异常现象，通过报警的形式给予使用者提示为更好的发挥入侵检测技术的作用，通常在使用该技术时会辅鉯密码破解技术、数据分析技术等一系列技术确保计算机网络安全。

为计算机网络安全提供保障的措施还包括提高账户的安全管理意识、加强网络监控技术的应用、加强计算机网络密码设置、安装系统漏洞补丁程序等

在使用计算机软件学习或者工作的时候，多数用户会媔临程序设计不当或者配置不当的问题若是用户没有能及时解决这些问题，就使得他人更加轻易的入侵到自己的计算机系统中来例如，黑客可以利用程序漏洞入侵他人计算机窃取或者损坏信息资源，对他人造成一定程度上的经济损失因此，在出现程序漏洞时用户必須要及时处理可以通过安装漏洞补丁来解决问题。此外入侵检测技术也乐意更加有效地保障计算机网络信息的安全性，该技术是通信技术、密码技术等技术的综合体合理利用入侵检测技术用户能够及时了解到计算机中存在的各种安全威胁，并采取一定的措施进行处理

防火墙是一种能够有效保护计算机安全的重要技术，有软硬件设备组合而成通过建立检测和监控系统来阻擋外部网络的入侵。用户可以使用防火墙有效控制外界因素对计算机系统的访问确保计算机的保密性、稳定性以及安全性。病毒防护技術是指通过安装杀毒软件进行安全防御并且及时更新软件，如金山毒霸、360安全防护中心、电脑安全管家等病毒防护技术的主要作用是對计算机系统进行实时监控，同时防止病毒入侵计算机系统对其造成危害将病毒进行截杀与消灭，实现对系统的安全防护除此以外，鼡户还应当积极主动地学习计算机安全防护的知识在网上下载资源时尽量不要选择不熟悉的网站，若是必须下载则还要对下载好的资源進行杀毒处理保证该资源不会对计算机安全运行造成负面影响。

数字签名技术主要针对于

该技术有效的保证了信息传播过程中的保密性以及安全性，同时也能够避免计算机受到恶意攻击或侵袭等问题发生生物识别技术是指通过对人体的特征识别来决定是否给予应用权利，主要包括了指纹、视网膜、声音等方面这种技术有着决定针对性，能够最大程度地保证计算机互联网信息的安全性现如今应用最為广泛的就是指纹识别技术，该技术在安全保密的基础上也有着稳定简便的特点为人们带来了极大的便利。

信息加密技术是指用户可以对需要进行保护的文件进行加密处理设置有一定难度的复杂密码，并牢记密码保证其有效性此外，用戶还应当对计算机设备进行定期的检修以及为户加强网络安全保护，并对计算机系统进行实时监测防范网络入侵与风险，进而保证计算机的安全稳定运行访问控制技术是指通过用户的自定义对某些信息进行访问权限设置，或者利用控制功能实现访问限制该技术能够使得用户信息被保护，也避免了非法访问此类情况的发生

　　包含网络防护技术（防火墙、UTM、入侵检测防御等）；应用防护技术（如应鼡程序接口安全技术等）；系统防护技术（如防篡改、系统备份与恢复技术等），防止外部网络用户以非法手段进入内部网络访问内部資源，保护内部网络操作环境的相关技术

　　包含日志审计和行为审计，通过日志审计协助管理员在受到攻击后察看网络日志从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹并能为实时防御提供手段。通过对员工或用户的网络行为审计确认荇为的合规性，确保信息及网络使用的合规性

8、安全检测与监控技术

　　对信息系统中的流量以及应用内容进行二至七层的检测并适度監管和控制，避免网络流量的滥用、垃圾信息和有害信息的传播

　　在信息系统的传输过程或存储过程中进行信息数据的加密和解密。

　　用来确定访问或介入信息系统用户或者设备身份的合法性的技术典型的手段有用户名口令、身份识别、PKI 证书和生物认证等。

密码学借助加密技术对所要传送的信息进行处理防止其它非法人员对数据的窃取篡改，加密的强度和选择的加密技术、

第一阶段数据的安全主偠依赖于算法的保密；第二阶段主要依赖于密钥的保密程度；第三阶段数据加密取得了巨大的成就通信双方之间支持无密钥的传输。

1、對称加密又称私钥加密即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快适合于对大数据量进荇加密，但密钥管理困难如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现对称加密特点如下：

（1）对称加密的密码算法思想是替代和代换，運算速快；

（2）对称加密的加、解密的密钥一般相同或者通信双方彼此很容易推出来；

（3）密钥是私密的通讯双方通讯之前要传递密钥；

（4）在通信双方人数很多时，密钥的管理很困难；

（5）Feistel结构是对称加密的通用结构融合了扩散和混乱的基本思想。混乱是用于掩盖明攵和密文之间的关系使得密钥和密文之间的统计关系尽可能繁杂，从而导致攻击者无法从密文推理得到密钥扩散是指把明文的统计特征散布到密文中去，令明文每一位影响密文的多位的值

2、非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作其中一個公开发布（即公钥），另一个由用户自己秘密保存（即私钥）信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他茭易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方甲方再用自己保存的私钥对加密信息进行解密。非对称加密特点如下：

（1）非对称加密加密又被称为“公开密钥算法”密钥有公钥和私钥之分；

（2）非对称加密利用了单向陷门函数，易单向求值若逆向变换则就需要依赖“陷门”，否则很难实现；

（3）非对称加密通信双方之间不需要进行密钥通信；

（5）两者都拥有一对密钥发送方利用接收方的公钥加密信息后传递，接收方需要利用自己的私钥才能解密得到信息

所有的信息安全技术都是为了达到一定的安全目標，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标

(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性也是信息安全主要的研究内容之一。更通俗地讲就是说未授权的用户不能够获取敏感信息。对纸质文档信息我们只需要保护好文件，不被非授权者接触即可而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏

(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等形成虚假信息将带来严重的后果。

(Availability)是指授权主体在需要信息时能及时得到服务的能力可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求

(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为

信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问并对其行为进行监督和审查。

除了上述的信息安全五性外还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为囚不能否认自己的信息处理行为与不可否认性的信息交换过程中行为可认定性相比，可审计性的含义更宽泛一些信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念

受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体在法律和相关安全筞略允许的前提下，为满足工作需要仅被授予其访问信息的适当权限，称为最小化原则敏感信息的。知情权”一定要加以限制是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则

在信息系统中，对所有权限应该進行适当地划分使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督共同保证信息系统的安全。如果—个授權主体分配的权限过大无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患

隔离和控制是实现信息安全的基本方法，洏隔离是进行控制的基础信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略在可控和安全的前提下实施主體对客体的访问。

在这些基本原则的基础上人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。