本文目录一览:
网络安全与防范措施
网络安全与防范措施【1】
摘要:随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦点。
越来越多的计算机用户足不出户就可访问到全球网络系统丰富的信息资源,经济、文化、军事和社会活动也强烈依赖于网络,一个网络化的社会已呈现在我们面前。
随着网络应用的不断增多,网络安全问题也越来越突出。
由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。
为确保信息的安全与畅通,研究网络的安全与防范措施已迫在眉捷。
本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出了针对性的对策。
关键词:网络安全;防范;隐患;措施
引言
随着计算机技术的突飞猛进,计算机网络的新月异,网络已经深入到我们生活的各个角落。
计算机网络在扮演着越来越重要的角色。
然而,在我们每天通过互联网络与朋友通信,和同行交流,通过互联网了解新闻获取信息的同时,我们对这个网络究竟了解多少,我们是否能意识到给我们生活、工作带来快捷、便利的网络所潜伏的不安全因素。
1计算机网络安全的概念
计算机网络安全的具体定义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被偷听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的 自然 灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题 ,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2、计算机网络安全的隐患及攻击形式
2.1计算机网络硬件安全隐患
计算机网络硬件设施是互联网中必不可少的部分,硬件设施本身就有着安全隐患。
电子辐射泄露就是其主要的安全隐患问题,也就是说计算机和网络所包含的电磁信息泄露了,这增加了窃密、失密、泄密的危险;此外安全隐患问题也体现在通信部分的脆弱性上,在进行数据与信息的交换和通信活动时,主要通过四种线路,即光缆、电话线、专线、微波,除光缆外其它三种线路上的信息比较容易被窃取;除上述方面外,计算机的操作系统与硬件组成的脆弱性,也给系统的滥用埋下了隐患。
?另外,移动存储介质。
移动存储介质比如U盘、移动硬盘等,由于其自身具有方便小巧、存储量大、通用性强、易携带等特点,应用比较广泛,尤其是涉密单位,这给网络系统的信息安全造成很大的隐患。
2.2计算机软件漏洞
黑客通过精心构造的恶意代码,攻击某些网站并上传恶意代码到被攻击网站的服务器。
用户访问被攻击的网站时,可能导致用户隐私信息泄露。
无论多强大的软件在设计之初都难免存在缺陷或漏洞,操作系统软件也不例外。
系统主机之间互异的操作系统具有相对的独立性,同样性质的漏洞,也会由于操作系统软件设计开发过程的不同,而具有不一样的表现形式。
攻击者可以很“方便”的通过漏洞对计算机系统进行破坏,造成主机瘫痪、重要资料丢失等,严重影响系统的正常运行。
2.3黑客攻击和计算机病毒攻击
这是一种最严重的网络安全威胁。
攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。
网络病毒发病和传播速度极快,而许多计算机用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,病毒程序轻者降低系统工作效率,重者导致系统崩溃、数据丢失,造成无可挽回的损失,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。
2.4网络自身的安全缺陷
网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。
通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。
3.网络安全的防范措施
3.1防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
当一个网络接上Inter net之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。
3.2数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。
数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。
数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。
数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.3防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。
在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。
网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。
那么建立统一的整体网络病毒防范体系是对计算机网络整体有效防护的解决办法。
3.4服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。
另外对用户和账户进行必要的权限设置。
一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。
二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.5建立更安全的电子邮件系统
目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。
各用户要多方分析、比较,选择优秀的电子邮件安全系统保证网络的邮件系统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。
3.6提高网络工作人员的素质,强化网络安全责任
为了强化网络安全的责任,还有一项重要任务――提高网络工作人员的管理素质。
要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提高责任心,并通过相关业务技术培训,提高工作人员的操作技能,网络系统的安全管理要加以重视,避免人为事故的发生。
由于网络研究在我国起步较晚,因此网络安全技术还有待提高和发展。
此外,为了保障网络能够安全运行,我们还应该制定完善的管理措施,建立严格的管理制度,完善法规、法律,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
4.结束语
计算机网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了计算机网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的计算机网络系统。
网络安全与防范措施【2】
[摘要]随着计算机网络的普及,我们对网络的依赖程度越来越高。
网络的开放性使得网络信息的安全受到前所未有的威胁。
我们必须积极采取各种有效的防范措施以确保重要信息不受损失。
本文主要从分析计算机网络安全隐患入手来探究其防范措施。
[关键词]计算机网络;网络安全;防范措施;防火墙
随着高新科技的发展,信息技术已渗透各个领域,对行业现代化建设发挥越来越重要的作用。
特别是信息技术在生活中的广泛渗透和发展,不但改变了传统的生活模式、办公方式、管理方式。
信息化已作为社会发展的核心内容,成为促进社会发展的助推器。
然而,随着信息网规模的逐渐扩大和系统应用的不断深入。
各种网络安全问题也随之而来。
例如系统不稳定、网速缓慢或瘫痪:访问登录失败、设备和信息安全事故、黑客和计算机病毒入侵等故障,严重影响,网络的正常使用,成为阻碍网络进一步深化和发展的瓶颈。
因此,研究网络安全防范技术具有十分重要的意义。
1计算机网络安全的概念
网络安全从本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,免受破坏、更改和泄露,系统可靠正常地运行,网络服务小中断;从用户的角度来看,他们希望涉及个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用偷听,篡改、抵赖等于段对自己的利益和隐私造成损害和侵犯;从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和黑客的攻击。
计算机安全主要是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的元凶而遭到破坏,更改和泄漏。
从本质上来讲,网络安全包括组成网络系统的硬件,软件及其住网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏。
网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2网络安全的隐患
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。
其中,人为因素是指一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。
人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
在使用互联网时应注意以下几项不可靠的安全性。
2.1.1网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。
或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2.1.2网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
2.1.3网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的`上网,发布和获取各类信息。
2.2操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。
操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。
操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
2.2.1操作系统结构体系的缺陷。
操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。
所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2.2.2操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。
网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统就可能会造成崩溃。
像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。
所以,建议尽量少使用一些来历不明,或者无法证明它安全性的软件。
2.2.3操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。
所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉。
但是有些进程是一些病毒,碰到特定的情况就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时可能不起作用,可是在某些条件下发生后,就会发生作用。
如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
3网络安全的防患措施
上面已经分析了网络安全所存在的一系列隐患,其中包括网络本身所具有的脆弱性和一些管理上的失当等原因。
而作为计算机用户,应该积极地采取有效的措施进行防患,以避免严重后果发生的可能性。
网络安全采用的主要防范措施如下:
3.1提高安全意识,加大安全管理力度
(1)配备专业的安全管理人员。
安全管理要有专人负责,同时还要有技术人员去落实。
(2)控制对网络的访问和使用。
控制用户对网络的访问和使用的目的是保证网络资源不被非法使用和非法访问。
(3)增强防病毒意识。
查、杀病毒是确保网络系统安全的必不可少的重要手段。
(4)及时做好数据备份工作,确保网络信息的安全。
3.2及时修补“漏洞”
网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标。
3.3利用网络安全技术
3.3.1防火墙技术
目前保护网络安全最主要的手段之一就是构筑防火墙。
防火墙是一种形象的说法,其实它是一种计算机硬件和软件相结合的技术,是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。
这种技术强制所有出入内外网的数据流都必须经过此安全系统。
它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。
因而防火墙可以被认为是一种访问控制机制,用来在不安全的公共网络环境下实现局部网络的安全性。
3.3.2身份认证
身份认证是任何一个安全的计算机所必需的组成部分。
身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触,传统的指纹手段等已无法使用,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。
3.3.3访问控制
访问控制也叫接入控制,阻止非授权用户进入网络,防止任何对计算机资源和通信资源的非授权访问。
即根据用户的身份赋予其相应的权限,也就是说按事先确定的规则决定主体对客体的访问是否合法。
访问控制主要通过注册口令、用户分组控制、文件权限控制三个层次来实现。
3.3.4基于密码论的技术
密码技术是集数学、计算机科学、电子与通信等诸多学科于一体的交叉学科,是保护信息安全的主要手段之一,它不仅具有保证信息机密性的信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。
(1)密钥技术。
密钥技术的任务是在一个密码系统中控制密钥的选择和分配。
密钥是一段数字信息,它与加密算法相互作用,以控制信息的加密。
(2)数字签名。
数字签名是一种用于鉴别的重要技术。
数字签名是一个数,它依赖于消息的所有位以及一个保密密钥。
它的正确性可以用一个公开密钥来检验。
数字签名可以用于鉴别服务,也可以用于完整性服务和无拒绝服务。
当数字签名用于无拒绝服务时,它是和公证一起使用的。
公证是通过可信任的第三方来验证消息的。
(3)验证技术。
验证技术可分为基于共享密钥的认证和基于公钥的认证。
前者实际上是执行一种查询―问答协议,发送方发送一个随机数给接收方,接收方解密后以一种特殊形式转换它并传回结果,从而实现认证。
该协议的关键是如何建立共享密钥。
3.3.5反病毒软件
即使有防火墙、身份认证和加密措施,人们仍担心遭到病毒和黑客的攻击。
随着计算机网络的发展,携带病毒和黑客程序的数据包和电子邮件越来越多,打开或运行这些文件,计算机就有可能感染病毒。
假如安装有反病毒软件,就可以预防、检测一些病毒和黑客程序。
总之,网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。
网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。
我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强网络立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。
此外,由于网络病毒、网络犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的网络犯罪和网络病毒等问题,确保网络安全。
参考文献:
[1]白斌.防火墙在网络安全中的应用[J].科技创新导报,2007(35).
[2]彭,高.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(01).
[3]陈爱梅.基于防火墙技术的网络安全的研究[J].科协论坛(下半月),2008(05).
[4]郭勇.计算机网络安全浅析[J].科技广场,2009(09).
黑客攻击的目的是什么?
攻击目的
进程执行
攻击者在登上了目标主机后,或许只是运行了一些简单的程序,也可能这些程序是无伤大雅的,仅仅只是消耗了一些系统的CPU时间。
但是事情并不如此简单,我们都知道,有些程序只能在一种系统中运行,到了另一个系统将无法运行。一个特殊的例子就是一些扫描只能在UNIX系统中运行,在这种情况下,攻击者为了攻击的需要,往往就会找一个中间站点来运行所需要的程序,并且这样也可以避免暴露自己的真实目的所在。即使被发现了,也只能找到中间的站点地址。
获取数据
攻击者的目标就是系统中的重要数据,因此攻击者通过登上目标主机,或是使用网络监听进行攻击事实上,即使连入侵者都没有确定要于什么时,在一般情况下,他会将当前用户目录下的文件系统中的/etc/hosts或/etc/passwd复制回去。
获取权限
具有超级用户的权限,意味着可以做任何事情,这对入侵者无疑是一个莫大的诱惑。在UNIX系统中支持网络监听程序必需有这种权限,因此在一个局域网中,掌握了一台主机的超级用户权限,才可以说掌握了整个子网。
非法访问
有许多的系统是不允许其他的用户访问的,比如一个公司、组织的网络。因此,必须以一种非常的行为来得到访问的权力。这种攻击的目的并不一定要做什么,或许只是为访问面攻击。在一个有许多windows95
的用户网络中,常常有许多的用户把自己的目录共享出未,于是别人就可以从容地在这些计算机上浏览、寻找自己感兴趣的东西,或者删除更换文件。或许通过攻击来证明自己技术的行为才是我们想像中的黑客行径,毕竟,谁都不喜欢些专门搞破坏,或者给别人带来麻烦的入侵者。但是,这种非法访问的的黑客行为,人们也不喜欢的。
操作
有时候,用户被允许访问某些资源,但通常受到许多的限制。在一个UNIX系统中没有超级用户的权限,许多事情将无法做,于是有了一个普通的户头,总想得到一个更大权限。在windowsNT系统中一样,系统中隐藏的秘密太多了,人们总经不起诱惑。例如网关对一些站点的访问进行严格控制等。许多的用户都有意无意地去尝试尽量获取超出允许的一些权限,于是便寻找管理员在展示被黑客利用来攻击政府机构网站的电脑置中的漏洞,或者去找一些工具来突破系统的安全防线,例如,特洛伊木马就是一种使用多的手段。
拒绝服务
同上面的目的进行比较,拒绝服务便是一种有目的的破坏行为了。拒绝服务的方式很多,如将连接局域网的电缆接地;向域名服务器发送大量的无意义的请求,使得它无法完成从其他的主机来的名字解析请求;制造网络风暴,让网络中充斥大量的封包,占据网络的带宽,延缓网络的传输。
涂改信息
涂改信息包括对重要文件的修改、更换,删除,是一种很恶劣的攻击行为。不真实的或者错误的信息都将对用户造成很大的损失。
暴露信息
入侵的站点有许多重要的信息和数据可以用。攻击者若使用一些系统工具往往会被系统记录下来如果直接发给自己的站点也会暴露自己的身份和地址,于是窃取信息时,攻击者往往将这些信息和数据送到一个公开的FTP站点,或者利用电子邮件寄往一个可以拿到的地方,等以后再从这些地方取走。
这样做可以很好隐藏自己。将这些重要的信息发往公开的站点造成了信息的扩散,由于那些公开的站点常常会有许多人访问,其他的用户完全有可能得到这些情息,并再次扩散出去。
哪些行为属于威胁计算机网络安全的因素?
从技术角度上看,Internet的不安全因素,一方面由于它是面向所有用户的,所有资源通过网络共享;另一方面它的技术是开放和标准化的。
从技术角度上看,Internet的不安全因素,一方面由于它是面向所有用户的,所有资源通过网络共享;另一方面它的技术是开放和标准化的。因此,Internet的技术基础仍是不安全的。从威胁对象讲,计算机网络安全所面临的威胁主要分为两大类:一是对网络中信息的威胁;二是对网络中设备的威胁。从威胁形式上讲,自然灾害、意外事故、计算机犯罪、人为行为、“黑客”行为、内部泄露、外部泄密、信息丢失、电子谍报、信息战、网络协议中的缺陷等,都是威胁网络安全的重要因素。从人的因素考虑,影响网络安全的因素还存在着人为和非人为两种情况。
(1)人为情况包括无意失误和恶意攻击。
①人为为的无意失误。操作员使用不当,安全配置不规范造成的安全漏洞,用户安全意识不强,选择用户口令不慎,将自己的账号随意转告他人或与别人共享等情况,都会对网络安全构成威胁。
②人为的恶意攻击。可以分为两种,一种是主动攻击,它的目的在于纂改系统中所含信息,或者改变系统的状态和操作,它以各种方式有选择地破坏信息的有效性、完整性和真实性:另一种是被动攻击,它在不影响网络正常工作的情况下,进行信息的截获和窃取,分析信息流量,并通过信息的破译获得重要机密信息,它不会导致系统中信息的任何改动,而且系统的操作和状态也不被改变,因此被动攻击主要威胁信息的保密性。这两种攻击均可对网络安全造成极大的危害,并导致机密数据的泄露。
(2)非人为因素主要指网络软件的“漏洞”和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,如TCP/IP协议的安全问题。然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,导致黑客频频攻入网络内部的主要原因就是相应系统和应用软件本身的脆弱性和安全措施的不完善。另外,软件的“后门”都是软件设计编程人员为了自便而设置的,一般不为外人所知。但是一日“后门”洞开,将使黑客对网络系统资源的非法使用成为可能。
哪些是“黑客”攻击的目标?
“黑客”一词,源于英语的“HACK”,在20世纪早期美国麻省理工学院的校园语中是“恶作剧”的意思,尤其指手段巧妙、技术高明的恶作剧,也可理解为“干了一件非常漂亮的工作”。
话不虚假,计算机黑客个个都是编程高手,在20世纪六七十年代,做一名黑客甚至是一件很荣耀的事情。但是随着时间的推移,一些黑客任意侵入别人的计算机系统,并给系统的使用者带来了巨大的损失,现在,黑客的名誉几乎已经扫地,向着非法入侵的破坏者甚至网络犯罪者发展了。
人们最为担忧的事情是网络犯罪的问题。随着社会活动信息化,网络上的电脑已经成为机密和财富最集中的宝库,这当然成为智能犯罪的主要目标。对于黑客们来说,计算机系统并不强大。美国每年因电脑盗窃、诈骗造成的损失要以10亿美元计,比其他任何一种偷盗损失都要多得多。事实上,因特网犯罪在我国也已出现。
网上犯罪的首选攻击目标是银行,通过侵入银行的计算机系统,他们可以改变资金的流向,并盗取银行保存的珍贵信息,直接获得经济利益,这和偷窃并无区别。
攻击企业网络也是经常的事情。黑客获得商业机密后,或者用来威胁企业,或者直接出售给第三方企业,以获得报酬。
网上黑客的活动还威胁着国家的军事机密。
网络安全风险与对策
网络安全风险与对策【1】
摘要:要使网络信息在一个良好的环境中运行,加强网络信息安全至关重要。
必须全方位解析网络的脆弱性和威胁,才能构建网络的安全措施,确保网络安全。
本文在介绍网络安全的脆弱性与威胁的基础上,简述了网络安全的技术对策。
关键词:网络安全 脆弱性 威胁 技术对策
一、网络安全的脆弱性
计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,使计算机网络存在很多严重的脆弱性。
1.不设防的网络有许多个漏洞和后门
系统漏洞为病毒留后门,计算机的多个端口、各种软件,甚至有些安全产品都存在着或多或少的漏洞和后门,安全得不到可靠保证。
2.电磁辐射
电磁辐射在网络中表现出两方面的脆弱性:一方面,网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;另一方面,网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄露,可以将这些数据(包括在终端屏幕上显示的数据)接收下来,并且重新恢复。
4.串音干扰
串音的作用是产生传输噪音,噪音能对网络上传输的信号造成严重的破坏。
5.硬件故障
硬件故障可造成软件系统中断和通信中断,带来重大损害。
6.软件故障
通信网络软件包含有大量的管理系统安全的部分,如果这些软件程序受到损害,则该系统就是一个极不安全的网络系统。
7.人为因素
系统内部人员盗窃机密数据或破坏系统资源,甚至直接破坏网络系统。
8.网络规模
网络规模越大,其安全的脆弱性越大。
9.网络物理环境
这种脆弱性来源于自然灾害。
10.通信系统
一般的通信系统,获得存取权是相对简单的,并且机会总是存在的。
一旦信息从生成和存储的设备发送出去,它将成为对方分析研究的内容。
二、网络安全的威胁
网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。
造成这两种威胁的因有很多:有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等,归结起来,主要有三种:
1.人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
2.人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。
此类攻击又分为以下两种:一种是主动攻击,它是以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
3.网络软件的漏洞和后门
网络软件不可能是百分之百的`无缺陷和漏洞的。
然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,黑客攻入网络内部就是因为安全措施不完善所招致的苦果。
另外,软件的后门都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦后门洞开,其造成的后果将不堪设想。
三、网络安全的技术对策
一个不设防的网络,一旦遭到恶意攻击,将意味着一场灾难。
居安思危、未雨绸缪,克服脆弱、抑制威胁,防患于未然。
网络安全是对付威胁、克服脆弱性、保护网络资源的所有措施的总和。
针对来自不同方面的安全威胁,需要采取不同的安全对策。
从法律、制度、管理和技术上采取综合措施,以便相互补充,达到较好的安全效果。
技术措施是最直接的屏障,目前常用而有效的网络安全技术对策有如下几种:
1.加密
加密的主要目的是防止信息的非授权泄露。
网络加密常用的方法有链路加密、端点加密和节点加密三种。
链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
信息加密过程是由形形色色的加密算法来具体实施的,加密算法有许多种,如果按照收发双方密钥是否相同来分类,可分为常规密码算法和公钥密码算法,但在实际应用中人们通常将常规密码算法和公钥密码算法结合在一起使用,这样不仅可以实现加密,还可以实现数字签名、鉴别等功能,有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁。
因此,密码技术是信息网络安全的核心技术。
2.数字签名
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等安全问题。
数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。
数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。
接收者使用发送者的公开密钥签名进行解密运算,如其结果为明文,则签名有效,证明对方省份是真实的。
3.鉴别
鉴别的目的是验明用户或信息的正身。
对实体声称的身份进行唯一地识别,以便验证其访问请求、或保证信息来自或到达指定的源目的。
鉴别技术可以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。
按照鉴别对象的不同,鉴别技术可以分为消息源鉴别和通信双方相互鉴别。
鉴别的方法很多;利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防治冒充、非法访问;当今最佳的鉴别方法是数字签名。
利用单方数字签名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴别。
4.访问控制
访问控制是网络安全防范和保护的主要对策,它的目的是防止非法访问,访问控制是采取各种措施保证系统资源不被非法访问和使用。
一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术实现。
5.防火墙
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境中。
在大型网络系统与因特网互连的第一道屏障就是防火墙。
防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,其基本功能为:过滤进、出网络的数据;管理进出网络的访问行为:封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和和告警。
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。
因此,认清网络的脆弱性和潜在威胁,采取强有力的安全对策,对于保障网络的安全性将变得十分重要。
参考文献:
[1]张世永.网络安全原理与应用.北京:科学出版社,2003.
[2]崔国平.国防信息安全战略.北京:金城出版社,2000.
网络安全风险评估的仿真与应用【2】
摘 要 伴随着互联网的普及和应用,网络安全问题日益突出,在采用防火墙技术、入侵检测和防御技术、代理技术、信息加密技术、物理防范技术等一系列网络安全防范技术的同时,人们开始采用网络安全风险评估的方法辅助解决网络安全问题。
为提高网络安全风险评估准确率,本文提出了一种基于支持向量机的评价模型,通过仿真分析,得出采用该模型进行网络安全风险评估具有一定可行性,值得应用。
关键词 网络安全 安全风险评估 仿真
当今时代是信息化时代,计算机网络应用已经深入到了社会各个领域,给人们的工作和生活带来了空前便利。
然而与此同时,网络安全问题也日益突出,如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。
网络安全风险评估技术很早前就受到了信息安全领域的关注,但发展至今,该技术尚需要依赖人员能力和经验,缺乏自主性和实效性,评价准确率较低。
本文主要以支持向量机为基础,构建一个网络安全风险评估模型,将定性分析与定量分析相结合,通过综合数值化分析方法对网络安全风险进行全面评价,以期为网络安全管理提供依据。
1网络安全风险评估模型的构建
网络安全风险模型质量好坏直接影响评估结果,本文主要基于支持向量机,结合具有良好泛化能力和学习能力的组合核函数,将信息系统样本各指标特征映射到一个高维特征空间,构成最优分类超平面,构造网络信息安全风险二分类评估模型。
组合核函数表示为:
K(x,y)=d1Kpoly(x,y)+d2KRBF(x,y) d1+d2=1
Kpoly为多项式核函数,KRBF为径向基核函数。
组合核函数能够突出测试点附近局部信息,也保留了离测试点较远处的全局信息。
本文主要选用具有良好外推能力的d=2,d=4阶多项式。
另外一方面,当%l=1时,核函数局部性不强,当%l=0.5时,核函数则具有较强局部性,所以组合核函数选用支持向量机d=2,%l=0.5的组合进行测试。
2仿真研究
2.1数据集与实验平台
构建网络安全风险评估模型前,需要在深入了解并归纳网络安全影响因素的基础上,确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标,根据网络安全三要素,确定资产(通信服务、计算服务、信息和数据、设备和设施)、威胁(信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断)和脆弱性(威胁模型、设计规范、实现、操作和配置的脆弱性)为网络安全风险评估指标,从网络层、传输层和物理层三方面出发,构建一个完整的网络安全评估指标体系。
将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。
在此之后,建立网络评估等级,将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。
确定评价指标后,构造样本数据集,即训练样本集和测试样本集。
为验证模型可行性和有效性,基于之前研究中所使用的有效的网络实验环境,构建实验网络,在实验网络中设计网络中各节点的访问控制策略,节点A为外网中的一台PC机,它代表的是目标网络外的访问用户;节点B网络信息服务器,其WWW服务对A开放,Rsh服务可监听本地WWW服务的数据流;节点C为数据库,节点B的WWW服务可向该数据库读写信息;节点D为管理机,可通过Rsh服务和Snmp服务管理节点B;节点E为个人计算机,管理员可向节点C的数据库读写信息。
2.2网络安全风险评估模型实现
将数据分为训练数据和测试数据,如果每一个训练数据可表示为1?6维的行向量,即:
Rm=[Am,0,Am,1,Am,2,……Am,15]
那么,整个网络信息系统安全性能指标矩阵为:
Rm=[R0,R1,R2,……Rm-1]
将这M个项目安全性能指标矩阵作为训练数据集,利用训练数据集对二分类评估模型进行训练,作非线性变换使训练数据成为线性可分,通过训练学习,寻找支持向量,构造最优分类超平面,得出模型决策函数,然后设定最小误差精度和最大训练次数,当训练精度小于预定目标误差,或是网络迭代次数达到最大迭代次数,停止训练,保存网络。
采用主成分析法即“指标数据标准化――计算协方差矩阵――求解特征值和U值――确定主成分”对指标进行降维处理,消除冗余信息,提取较少综合指标尽可能多地将原有指标信息反映出来,提高评价准确率。
实际操作中可取前5个主成分代表16个指标体系。
在训练好的模型中输入经过主成分析法处理后的指标值,对待评估的网络进行评估,根据网络输出等级值来判断网络安全分等级。
2.3实验结果与分析
利用训练后的网络对测试样本集进行测试后,得到测试结果。
结果表明,基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价,评估准确率高达100%,结果与实际更贴近,评估结果完全可以接受。
但即便如此,在日常管理中,仍需加强维护,采取适当网络安全技术防范黑客攻击和病毒侵犯,保证网络正常运行。
3结语
总之,网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。
本文主要提出了一种基于支持向量机的二分类评估模型,通过仿真分析,得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。
未来,我们还应考虑已有安全措施和安全管理因素等对网络安全的影响,通过利用网络数据,进一步改进评估模型和相关评估方法,以达到完善评估效果的目的。
参考文献
[1] 步山岳,张有东.计算机安全技[M].高等教育出版社,2005,10.
[2] 张千里.网络安全新技术[M].人民邮电出版社,2003.
[3] 冯登国.网络安全原理与技术[M].科技出版社,2003,9.
黑客攻击的主要目标是?
攻击的前提是你的电脑存在漏洞或者你的电脑已植入隐藏的木马程序。不合法的黑客,常常搜寻一些有利用价值的对象做为猎物,如有好装备的游戏帐号,有钱的网络银行卡,公司重要资料等。只要不随便打开陌生人发来的文件,少进非法网站,做好系统防黑客工作(常修复系统漏洞,装反病毒软件,防火墙等),我相信黑客不会轻易攻击你