时间:2023-09-14 17:43:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全分析,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:IPv4;IPv6;网络安全;分析
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21207-01
The Analysis of IPv6 and IPv4 Network Security
ZHANG Lian-huan, ZHU Xiao-fei
( 91065 Army, Huludao125001,China )
Abstract: This article first make a summary of IPv4 and IPv6 ,discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.
Key words: IPv4 and IPv6; network security; analysis
随着网络的繁荣发展,加上最初设计的地址分类方法不合理,造成了今天IP地址极度缺乏的状况。其次,由于它起初主要面向研究和开发机构,对安全性的考虑不是很充分,而在实现网络商业化的今天,不安全的通信信道带来的网络攻击越来越多,其影响力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地,此时IPv6的推出成为大势所趋。
1 IPv4与IPv6概述
第一代互联网美国军方从60年代开始,70年代正式进行开发建设,1994年正式投入商业运营,并统一采用TCP/IP协议[1]。IPV4之所以向IPV6演进,主要是因为IPV4的地址协议出现明显的局限,IP地址已经不能满足需要。IPV4的IP地址大约为40多亿,但是却存在着严重的分配不均匀问题,其中美国掌握了绝对的控制权,IP地址分配上美国占着绝对的优势。造成了我国的公众网因IP地址匮乏,被迫大量使用转换地址,严重影响了互联网的正常发展,这就形成了对IPV6的迫切需要。下面对IPV4和IPV6进行简单介绍:
1.1 IPv4
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。有预测表明,所有IPv4地址将在2005~2010年间分配完毕。另外,由于IPv4采用与网络拓扑结构无关的形式来分配地址,所以随着连入网络数目的增涨,路由器数目飞速增加,相应的,决定数据传输路由的路由表也就不断增大,路由器在路由表中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持,也没有对移动服务的支持。
1.2 IPv6
IPV6设计的初衷就是为了扩大地址空间,拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。具体地说,IPv6具有以下优势:①扩展了地址容量,IPv6支持的IP地址长度由原来的32位扩充到128位;②自动地址分配,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。③简化了报头格式,有效减少了路由器及交换机对报头的处理开销;④提高了服务质量,IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label),可以知道数据包的QoS需求,并进行快速的转发;⑤提供了认证和私密性,IPv6将IP安全性(IPSec)作为自身标准的有机组成部分;⑥支持移动服务,IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的,IPv6的移动性支持取消了异地,完全支持路由优化,彻底消除了三角路由问题,并且为移动终端提供了足够的地址资源,使得移动IP的实际应用成为可能。
2 IPv4的安全分析
在IPv4体系下,网络层几乎是毫无安全性可言的。
(1) IPv4地址分配的不合理性,导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能,攻击者可以任意伪造源IP地址对目标地址进行攻击。
(下转第1213页)
(上接第1207页)
(2) 由于网络中存在的MTU的限制,因此传送大于该网络MTU的数据包要进行分片,但由此也会带来安全上的漏洞。攻击者只需要2个UDP分片,即可造成一些操作系统崩溃。
(3) 假冒IP地址,即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址,通过发送大量数据包占用被攻击者的资源,造成被攻击者的不正常工作。
3 IPv6安全分析
3.1 IPv6的改进
IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制,实现了网络层的身份认证和数据包的完整性、机密性,增强了网络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。IPv6的优势具体有以下几点:
3.1.1 IPv6地址资源丰富。
IPv6采用128位地址,且地址采用前缀表示法,格式前缀(也称全局路由前缀)是一个IP地址的高位,它用来识别子网或某种特殊类型的地址。其中,在全球范围内可唯一标识的地址是“可聚类全局单播地址”,它基于一个分层的原则,把128位地址分成6个部分,第一部分是标识该地址使用的是“可聚类全局单播地址”,第二部分用作保留,再往下依次是“次级聚类标识符”,“站点级聚类标识符”,最后64位表示接口ID,所以IPv6可以提供的IP地址资源更加丰富。
3.1.2 与IPSec有机结合
由于IPv4协议本身没有对数据进行有效保护,无法保证数据的完整性、机密性以及对身份的验证,在网络安全方面存在较大隐患。因此,在设计IPv6时,协议安全作为一个重要的方面进行考虑,将IP安全体系结构(IPSec)纳入了协议整体之中,成为协议的一个有机组成部分。数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分,IPSec通过身份验证头(AH)与封装安全性净荷头(ESP)相结合,配合相关的密钥管理机制, IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全,这也有待完善。
3.1.3 数据认证
IPv6使数据包的接收者可以验证数据的真实性、完整性,还可以与数字签名结合,保证数据的不可抵赖性,使数据在接收端可得到认证,确保数据的真实可靠。而且,IPv6允许数据传输采用隧道模式和传输模式两种方式,它既可为两个节点间的简单直接的数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装,并加入认证信息。
3.1.4 数据加密
在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。
3.2 IPv6的安全缺陷
网络安全永远是一个相对概念,也不要指望IPv6能够彻底所有的网络安全问题。
IPv6中仍保留着IPv4的诸多结构特点,如选项分片和TTL等。这些选项都曾经被黑客用来攻击IPv4节点。而且,目前为止,IPv6中并没有提出新的安全策略――所有使用的安全策略都是在IPv4下已经存在的,因此它无法从根本上解决安全性能的问题。
IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此,一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。
IPv6协议本身还有一些问题有待解决,IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。
参考文献:
[1] 刘斌.浅析IPv4和IPv6.高校实验室工作研究,2006(3).
[2] 高嵩,贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化,2006(6).
[3] 杨碧天,常立夏,詹德新.IPv6安全性能研究.网络安全技术与应用,2008(1).
[4] 刘世杰,李祥和.IPv6对网络安全的改进.电视技术,2007(2).
【 关键词 】 “互联网+”时代;网络安全;管理策略;安全体系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2 “互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1 内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2 主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3 基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3 “互联网+”时代网络安全分析
3.1 特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2 现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3 威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4 “互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1 基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2 基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3 基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5 结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).
[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
[11] 周鹏.大数据时代网络安全的防护[J].网络安全技术与应用,2015(04).
【关键词】移动通信网络;安全问题;互联网
一、前言
现代移动通信网络的安全问题已经不再体现为原始的信息泄露方面,变得更加多元化,尤其实在手机与互联网的接驳,使得互联网的安全问题也开始影响移动通信网络的安全,这样的发展形势下,保证移动通信网络的安全,保护信息在移动通信网络中传输不会被窃取、毁坏、篡改就变得更加的艰难。
二、移动通信网络的定义
移动通信网络是指移动物体或者移动物体与固定物体之间的通信网络。就实际的应用来说,与人们最为密切的,就是现有的通信网络、手机、无绳电话、卫星电话等。
现在的移动通信网络与互联网的相似程度越来越高,而且依托于手机网络的很多聊天工具的出现使得,移动通信出现了很大的变化。也容易将移动通信网络与互联网相混淆。实际上手机通信网络与互联网是两个不同的网络,手机可以使用互联网是因为手机移动网络与互联网有链接,而不是移动通信网络包括互联网,这是一个需要具体区分的概念[1]。4G网络支持的视频电话与互联网的视频聊天不同,它所使用的不是互联网而是现有的移动通信网络,原有的移动通信网络传输语音信号,而现在可以传输视频信号。这是一个看似相同但是本质上不同的问题。
移动通信网络更加注重私密性,相对于互联网来说,它所需要的保密性更强,能够共享的信息更少,在发展中更注重安全问题,和信息的保护。在人们的认识中移动通信网络更加的安全。
三、移动通信网络的新局面
随着移动通信技术的不断深化,互联网与移动通信网络的重合部分也越来越大,这就产生了新的局面,与互联网重合的部分和相似的部分越多,安全问题的重合和相似的部分也就越多。传统的信号传输仅限于语音信号和文字信号,这些信号对于系统的要求低,而且技术性不高,所面对的安全问题也仅限于保证信息的泄露。而现代移动通信可以需要的安全性就高,适应性也更广。在实际生活中,手机所需要负责的也更多,不仅仅是通话,发短信还可以进行工作,浏览网页,看书等等,这样的转变使移动通信网络的功能性有了很大的开发,很多以前幻想的情况通过一定的技术手段得以实现。现在的移动通信因为智能手机的出现变成了计算机互联网的补充用品,在无法使用电脑或者携带不方便时,手机就在一定程度上替代了电脑的作用,移动通信网络成了与互联网相连接的桥梁。这就是现代移动通信网络的新局面,传统方式的移动通信网络运行模式已经无法适应现在的情况。数据传输内容,传输方式的改变,迫使移动通信网络的安全保护方式作出新的适应和改变[2]。
四、移动通信网络的安全问题
1.传统问题
传统的移动通信网络问题主要是集中在通信网络上的窃听与反窃听上,因为信号传输能力和技术手段的问题,不存在信息篡改的情况。但是现代的移动通信网络面临的将是传统问题从根源上的改变,新技术带来的不仅仅是好的变化,在现代的移动通信网络中,窃听反窃听的手段也越来越多样,有依托于信息传输种植“种子”的,有劫持手机信号的还有很多方式,这样的情况下传统的移动通信网络安全策略就无法有效的保护使用者的信息安全,造成了严重的信息危机。
2.新的问题
这些问题很明显的带有互联网的色彩,可以说都是互联网的负面衍生品,移动通信网络在一定程度上替代了计算机网络的使用功能,在移动信息网络高质量高数量的数据传输的同时,智能手机依靠其与电脑的同质性崛起,可以说此二者是相辅相成的,但是这样的改变使得,电脑病毒、黑客等互联网安全问题有了更大的施展空间。
手机软件在功用上可以与计算机相仿,但是手机的基本防护能力与计算机相比有着很大的差距,手机受限于硬件和数据空间的大小无法运行过大的防御软件,但是这样的限制对于病毒,黑客等安全问题几乎没有影响。甚至现代移动通信网络发展初期就已经有了专用的手机病毒,这就表示在移动通行网络整体防御机制没有建立起来时,网络破坏程序已经开始了发展,这样的威胁世界为严重的[3]。
再有手机用户的手机经济行为越来越多,是很多罪犯将目标放在了移动通行网络上,这就标志着移动通信网络犯罪将成为移动通信网络安全的首要问题。
五、移动通信网络的安全对策
1.线路保护
移动通信网络的基础是遍布全球的通信基站、主服务器和卫星,可以说这些系统是对外不对内的,一旦线路出现问题,那么整个系统将毫无保留的呈现在入侵者面前,这样的结果是不能被接受,损失也是整个世界所不能承受的,所以保护移动通信线路时需要严格的。
2.加密保护
最传统的保护方式也是最为使用的保护方式,将整个系统进行加密,在移动通信网络中流动的数据,经过严格的加密程序可以有效地保护起来。在新的技术的支持下,加密程序更加的复杂,步骤也更加的繁琐。利用技术上的优势保护系统内的信息,可以完成对于绝大多数使用者的保护。
3.身份认证
身份认证是一个十分重要的环节,这个身份既可以指个人身份,也可以指系统身份。个人身份就像现在的手机实名制,是一种可以有效保护个人的系统信息的方式。系统身份是作为信息的接受者或者信息的者的一种认证模式,再这样的体系统,无法进行认证的使用者会被拒绝接入,利用这种方式对使用者的信息进行保护[4]。
4.信息筛选
在现代移动信息网络中使用者是无法对接收信息进行筛选的,作为最终端的地系统只有接收和发射的能力,这就给使用者带来了使用安全。以手机为例,现在的手机都是一杀毒软件屏蔽的方式来进行对于信息的筛选,但是移动网络本身没有这样的能力,单纯依靠杀毒软件达不到很好地信息筛选的效果,很多的入侵都是以杀毒系统识别不到的方式侵入手机盗取信息。
而移动网络系统的信息筛选将从根源上解决这些问题,系统将直接筛选安全的信息传入移动通信网络,这就避免了很多不安全信息在传入移动通信网络后对于网络用户的伤害。
六、总结
现代移动通信网络有着不同于之前的时代性和进步性,这样的进步不仅影响着使用者的使用效果,也带来更多更严峻的安全问题,再这样的背景下,现代移动通信网络加强自身的安全建设将成为首要的问题。在未来的发展中信息安全问题一直会影响着移动通信网络的发展,也是我们将一直面对为之努力的问题。
参考文献
[1]王歌.现代移动通信网络安全分析[J].电子技术与软件工程,2013,08(06):47.
[2]杨光辉,李晓蔚.现代移动通信网络安全关键技术探讨[J].长沙通信职业技术学院学报,2010,06(02):29-35.
关键词:网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。
1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
nbsp;(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
【关键词】 社交网络 安全问题 对策
社交网络现在已成为人们在互联网上进行信息交流的主要平台,并且随着社会的不断进步与发展,使用社交网络的人会越来越多。人们除了关注社交网络给人们的交流与沟通带来的便利,也应该关注社交网络中潜在的威胁与问题,如不及时的解决当前出现的问题,将对社交网络的发展产生制约。因此,找到有效解决社交网络中安全问题的途径已成为当务之急。
1 社交网络的概念及特点
社交网络主要来自于现代社会中的各种网络关系所形成的系统思想及其应用形式,为了给人们建立一个基于社会网络的应用互联网服务,由代表不同个人或者团体的节点构成,所呈现出的是实体之间的关系网络[1]。人们可以通过社交网络与朋友以及家人保持联系,也可以与陌生人成为好友,在网络中聊天,并且能够将用户的信息进行公开。社交网络为用户提供一些其他人的列表,以帮助用户选择可以联系的成员。社交网络的开放性,使得人们可以进行音乐共享,互相发表评论等。总之,社交网络给人们的交流与互动提供了很大的便利,它也具备如下几个特点:(1)所拥有的用户数目大,并且用户的的种类比较多,并不是只针对单一的人群,在交互方式上也实现了多样化。(2)社交网络应用起来相对比较灵活,具有强大的功能,这也使得网站对用户的各种行为无法进行控制。(3)社交网络中所蕴含的信息量特别多,同时又具有高开放性,更加增大了对用户的管理难度。社交网络所具有的特点使得安全问题更加突出,为了社会的和谐与稳定,应加大对社交网络中安全问题的重视,不断探索解决的对策。
2 社交网络安全需求
人们之所以使用社交网络主要是想将自己的观点以及生活中所发生的故事与他人进行分享,通常情况下,将个人主页不断进行更新的用户,其主页的浏览量也会更加的多。然而如何在频繁分享信息的情况下,保证个人数据的安全是值得思考的问题。以下主要是从社交网络的完整性、保密性以及可用性这三个方面对社交网络的安全需求进行了探讨。
2.1 完整性
大部分社交网络对现实世界中已有的人际关系是早已承认的,在较为理想的状态下,社交网络可以作为人们在离线状态下的关系网络[2]。社交网络要保证数据的完整就应该将虚拟与现实的这种精确对应关系保持下去,对于所有偏离这种对应关系的企图都将被看作是攻击,这种攻击可以利用适当的机制来检测,进而对其进行纠正。数据的完整性受到攻击主要是体现在联系丢失以及节点丢失这两种形式。节点丢失现已成为社交网络中较为基本的问题,它的发生总会引起一些其他问题的发生。例如攻击者利用名人的身份在网络中散布谣言,并从中获得一定的利益。因此,社交网络的用户应确保与自己进行交流的对象是可靠的。
2.2 保密性
对于使用社交网络的用户而言,个人隐私信息若被盗用将会对用户的生活及个人带来巨大的伤害。因此,要保证数据的保密性是非常重要的。用户的个人隐私可以分为身份隐私、个人空间隐私以及通信隐私三种[3]。身份隐私主要是指要保证与用户身份有关的信息安全,不会被他人盗用。个人空间方面的隐私主要还是与所使用的社交网络具有的各项功能有关。通信隐私主要是指在网络中与联系人的信息交流,除了用户本人以及其所信任的联系人之外,其他第三方不会获知,信息受到严格的保护。
2.3 可用性
现代社会,社交网络所发挥的作用越来越大,尤其是在各种信息的以及人际之间的交流方面,这就需要社交网络的主页中被设置成公开的所有信息项,应该为用户提供随时可用的服务。社交网络应为用户保证信息在任何时候都能够可用。
3 社交网络安全问题分析
由于各种因素的影响,社交网络平台也存在诸多的不安全因素,使得网络安全问题越发突出,要想加强社交网络管理,就必须针对其中的问题进行向西方恩熙。
3.1 针对社交网络的数据进行挖掘
在社交网络中,很多信息数据可以被除用户外的第三方进行下载或者收集,长此以往,用户的信息被积攒,最终可以整合成一个关于用户本人的完整档案,容易被他人非法使用。除了用户自愿公开的信息之外,还有一些网络运营所产生的数据,如登录的地址,上线时长、用户主页浏览量等,这些数据都能够被他人用作定位或者识别的信息[4]。对于用户来说是一种潜在的威胁。一些社交网站,要求用户将本人的照片传到自己的个人主页以对个人信息进行完善,如果被他人通过人脸识别就会将用户在其它网站上的信息泄露。
3.2 传统形式的安全威胁
原有的垃圾信息主要是以电子邮件为主,将一些垃圾邮件、广告邮件等恶意的发送到用户的邮箱中,社交网络中的信息攻击可以通过用户的好友列表将垃圾信息快速的传播,使得网络负载增加,造成一定的信任缺失,通常会以申请好友为由以达到钓鱼等目的。传统的安全威胁还包括对系统可用性的破坏,攻击者为加大网络的负载会选用多种手段,重新定向用户的请求,以使网络的性能降低,破坏网络的系统服务。攻击者通常选用的攻击方式主要有黑洞攻击、拒绝服务攻击等[5]。
3.3 与身份相关的威胁
通常,攻击者会将自己伪装成用户的好友,以不同的手段诱骗用户,让其访问带有恶意插件的资源。社交网络主要是为了让人们结交朋友的,对于陌生人的请求并没有什么约束,所以,对于这种攻击用户就很容易受到威胁。还有些攻击者一方面通过虚假的身份对合法用户的信息进行盗取,另一方面以不同的手段破坏转发路径。此外,主要针对社交网络的一种攻击方式为Wormhole攻击,攻击者从网络的一端将报文接收之后,再以一种特殊的通道方式将报文传到另一端的网络中进行重播。例如用户将自己身份标识的报文发送到网络一端的服务器上,攻击者就会将此报文截获,继而在网络的其他地方重新发表此报文。攻击者不仅盗取信息进行胡乱的更改,还假冒用户的身份,是一种严重的网络破坏行为。
4 解决社交网络安全问题的几条对策
4.1 健全网站的安全建设
用户使用社交网络是一种特殊的消费,社交网络企业应以用户的需求为主要标准,为用户提供良好的服务,保障用户的信息安全,因此应加强对网站的安全建设。由于很多攻击者总是冒充合法用户的好友或者采用申请好友的方式对个人信息实施盗取,因此网站可以在建设初期,对用户所输入的内容进行严格的限制管理,尤其是在好友输入框所在的页面实行代码检测,以对用户所输内容的安全度进行检查,在测试的过程中如果发现有脚本错误存在或者出现框架变形的情况,这就表明网站有可能存在恶意漏洞。此外,在对网站的管理方面也应不断加强,除对输入框要逐一的进行手动排查之外,还可以使用一些检测漏洞的软件,如Paros软件等。
4.2 用户自身做好防范工作
社交网站的安全除了需要网站一方不断努力之外,用户也应该从自身出发,加强自身的安全意识。对于陌生人的请求要经过认真的考虑,对于个人信息尽量不要在社交网站上透漏,尤其是自己的收入以及银行账户等方面的信息。这些信息极易引起攻击者的注意。在QQ或者MSN这样的社交网站上要根据网站所具有的强大功能进行安全设置,以对自己的信息安全负责。对于自己的密码要及时的修改以免被他人窃取,泄露重要的信息。只有用户自身做好防范工作,才能真正减少攻击者的侵害。
4.3 加强立法保障
当前我国关于网络安全上的立法还不完善,整体上的操作性不强,为了加强网络安全方面的建设,应尽快建立与当前社会互联网发展形势相适应的法律体系。尤其是社交网络这几年的迅速发展,网络安全问题突出,亟需与个人信息保护有关的法律出台。在法律上进行约束管理,可以有效打击当前社交网络中各种攻击者的猖狂行为。同时,对于违法犯罪的网络黑客要给予严厉的惩罚,以杜绝网络中盗取信息、诱骗合法用户的现象,为建立安全的社交网络环境提供法律保障。
5 结语
社交网络的安全问题正随着社交网络的普及越来越突出,社交网络企业以及用户都应该对当前的安全问题予以重视,企业应健全网站的安全建设,用户需要提高自身的安全意识,而国家应加强立法方面的保障,以共同确保社交网络的安全。
参考文献:
[1]许琼来,傅四保,刘薇.网络信任及其影响因素和模型研究[J].北京邮电大学学报(社会科学版),2011(3):90-91.
[2]郑宇钧,林琳.当校园SNS照进现实――校内网的人际传播模式探讨[J].广东技术师范学院学报,2012(3):48-49.
[3]蔡晓莲,李平.计算机网络安全威胁及防范策略的探讨[J].网络与信息,2012(6):58-59.
(山东理工大学计算机科学与技术学院,山东 淄博 255049)
【摘要】物联网是基于互联网技术为全球商品供应链提供服务而建立的平台,互联网的安全性对物联网的开发和使用至关重要,它影响着使用者本身的安全以及他们自身隐私信息的安全。因此加强物联网网络安全,提高物联网的安全措施,提高自身抗攻击能力,采用数据安全认证、建立客户的隐私保护机制、健全法律体系对物联网的安全保证,从技术和法制上对物联网加强安全。
关键词 物联网;数据安全;隐私权;网络安全
1物联网定义
物联网是在互联网快速发展的基础上延伸和扩展的网络应用,通过射频识别、红外感应、全球定位、激光扫描等信息传感设备,根据指定的协议,把客户、商品与互联网相连接,进行信息交换和通信的平台,实现网络对商品的智能化识别、定位、跟踪、监控和管理。物联网被称为世界信息产业发展的第三次浪潮,它是互联网基础上的业务拓展和网络应用。[1]
2物联网的安全和隐私保护问题
物联网技术主要是为人和人、物和物以及人和物之间建立一个信息共享相互联系的网络,这样就可能存在数据安全和个人隐私被泄露问题。物联网作为一个新型信息共享网络平台,它的发展和建设都要涉及到海量的隐私信息和数据保护,然而当前还是缺乏认可的统一的技术的手段以及基于安全隐私保护监管法规,导致对物联网应用缺乏信心和安全感。只有在隐私信息受到安全保护,在提供完善的信息数据安全保护措施以及完善的安全管理策略保障的前提下,物联网才能被广大用户接受和使用。因此互联网安全问题已经成为制约物联网发展的关键问题,对信息的处理主要包括信息采集、汇聚、融合以及传输和控制等进程,这其中每个环节都决定了物联网安全的特性与要求。[2]
(1)信息采集传输中的安全。信息数据在传输过程中很可能对数据不能进行有效的加密保护,导致在广播或多播等方式的传输过程别无线模式下,传输的信息可能会遭到诸如恶意节点中断、中途拦截、篡改路由协议以及伪造虚假的路由信息等方式对网络中传输的信息进行窃取和破坏。另外,网络中节点多源异构性、多样性,网络节点中电池的续航能力,耐高温、高寒的能力以及道路导航的自动控制能力,数据传输和消息的及时性和准确性等也关系到网络安全。这些对物联网的发展的安全保护体系建设提出了更高的要求。
(2)物联网业务安全。物联网运行中存在着不同的与业务相关的安全平台,像云计算、海量信息处理以及分布式计算系统等,这些支撑物联网业务平台必须为它们相应的上层服务管理以及相应的大规模应用建立一个可靠、高效的安全系统,这些都会对安全技术提出更高的要求。
(3)物联网中隐私信息的安全性。物联网在应用中使用了数量庞大的电子标签和无人值守设备,让隐私信息受到安全威胁,比如设备劫持等是用户的信息甚至关系国家安全的信息遭到泄露,导致用户被恶意跟踪或隐私信息被利用做一些不法勾当。因此物联网的安全的机密性、完整性以及使用的灵活性对于隐私信息的保护至关重要,直接体现物联网的安全可靠性问题。[3]
(4)物联网的稳定、可靠性关系到隐私安全。信息的完整性、可用性在整个物联网应用中贯穿整个数据流,如果由于网络攻击、拒绝服务攻击、路由攻击等都会使物联网的数据流不完整、遭到破坏,物联网业务不能完成,其中一些敏感的隐私信息就有可能被窃取。并且在物联网的应用中需要和大量的其他应用领域的物理设备相关联,因此物联网必须要稳定可靠地运行,保证在数据传输过程中信息完整性,可用性以及安全性。
3物联网安全保障技术
物联网应用的广泛性、普及性和决定性的因素就是物联网安全问题特别是某些关键信息的保护的程度。现在物联网应用领域广泛,其安全性研究牵扯到各个行业,研究难度广。
(1)密钥系统是物联网安全的技术基础。包括非对称和对称密钥系统,一种方式是通过互联网密钥分配中心对密钥系统进行管理和分配。二种方式是通过各个网络中心进行分布式管理,通过各自的网络结构对各个网络节点的通信节点间的密钥协商来管理。密钥算法生成的密钥的安全强度与网络攻击破解之间的代价大小来保障数据包传输过程的机密性,尽量缩短密钥周期性,让先前截获的密钥破解后无法再生成有效的的密钥继续进行非法勾当。[4]
(2)数据处理中隐私信息的处理。物联网在信息采集、传输过程中都关系着隐私信息的安全保护,在可靠、可信的网络安全技术下保证信息在传输中不被篡改或被非法窃取。特别是在物联网应用中基于位置信息的服务是最基本的服务,定位、电子地图或者基于手机信号的位置定位、无线传感网的定位和隐私信息查询等安全保护面临严峻挑战,目前多采用空间加密、位置伪装和时空匿名等方式加以保护。
(3)网络中的路由安全协议。物联网平台跨越了许多不同类型的平台,每个平台都有各自的路由协议和算法,比如基于IP地址的路由协议、移动通信和传感网的路由协议,因此需要解决多网融合中间统一的抗攻击的路由安全算法,尽量防止虚假路由、选择性转发攻击、虫洞攻击以及确认攻击等通过路由的安全漏洞进行攻击的模式。目前比较有效的路由技术是根据路由算法实现进行相关的划分,比如以数据为中心的层次式路由、根据位置信息的路由建立的地理路由。[5]
(4)认证和访问控制技术。物联网的使用者需要通过通信确认对方的身份的真实性并交换会话密钥,其中及时性和保密性是其基础。另外还包括消息认证,通过给对方发送确认消息来确认对方的真实性。物联网的认证机制主要包含公钥认证技术、预共享密钥认证技术、随机密钥预分布技术以及其他辅助认证技术等相结合来对用户进行合法认证和控制。
(5)入侵检测以及容错技术。在有恶意入侵时网络要具有容错性,防止由于恶意入侵导致网络的停止或崩溃,提高网络的抗干扰性。主要表现在网络拓扑中的容错、网络覆盖中的容错以及数据检测中的容错机制等,保证在网络出现断裂、部分节点、链路失效和恶劣环境下特定事件发生时网络、通信正常,数据传输无误。[5]
4物联网安全面临的挑战
物联网发展中信息安全、网络安全、数据安全的问题更加突出,相应关键安全技术的研究关系着其中的成本、复杂性,安全技术的开发和研究与所投入成正比的。物联网的应用范围广而且安全技术复杂,设防和攻击是相辅相成的,逐级提高,破解反破解,攻击反攻击高效并存。因此物联网系统受到攻击的复杂性和不确定性很难把握,不能从根本上防止各种攻击。网络环境、技术条件以及应用的要求的复杂性加大了物联网安全技术研究的难度,再加上当前硬件技术的发展跟不上物联网需求的发展要求。计算设备的更新换代频繁,计算能力的迅速提高对于当前密钥技术的研究也提出了挑战。[6]因此,随着计算机技术的不断发展,物联网就需要能够适应各种变化的全新的具备灵活性、可编程、可重构的蜜钥算法。
参考文献
[1]李海涛,范红.物联网安全性研究与分析[J].信息安全与技术,2012,11.
[2]施荣华,杨政宇.物联网安全技术[M].电子工业出版社,2013.
[3]李维,冯刚.物联网系统安全与可靠性测评技术研究[J].计算机技术与发展,2013,4.
[4]张学记.智慧城市:物联网体系架构及应用[M].电子工业出版社,2014.
[5]张硕雪,宋增国.物联网安全问题分析[J].计算机安全,2012,5.
关键词:网络安全 计算机安全 网络安全技术 信息化
一、威胁网络安全的因素
1.计算机系统和硬件上的漏洞是由操作系统、数据库、应用软件及网络设备等设计存在缺陷和漏洞造成,绝大多数病毒、木马都通过漏洞进行网络传播和攻击。
2.病毒传播和木马威胁是造成网络安全的又一因素。当前很多网络病毒和木马伪装成驱动程序或系统程序,杀毒软件即使发现也无法删除。这些东西能快速在内网和外网传播,占用大量的网络带宽,网络一旦中招,就有可能造成系统崩溃和网络瘫痪,甚至破坏和删除重要的数据文件,窃取用户信息。
3.企业局域网外网连通了Internet互联网,自然面临来自互联网的攻击和威胁,同时内部用户通过内网或外网的攻击也可能存在。在企业局域网内有WEB服务、流媒体服务、数据库服务等等,不同的网络服务会使用不同的网络端口,一些蠕虫病毒则通过端口对网络进行攻击,从而使应用服务无法启用;还有一些不良用户还会利用网络工具对网络中的WEB服务器、文件服务器、流媒体服务器、数据库服务器等进行扫描和攻击,造成网络拥堵,使一些服务器拒绝提供服务,从而造成整个网络瘫痪。常见的网络攻击有:拒绝服务、口令攻击、地址欺骗、IP盗用,窃听等。
4.在实际网络管理中,管理本身也存在漏洞,如安全制度不够细化;对用户访问权限设置和安全策略规划不全,系统和用户密码设置过于简单,系统和设备漏洞补丁未及时更新。
5.许多企业用户未经允许随意接入局域网,造成网络环路、ip地址冲突和交换设备损坏。还有的私自拆换电脑配件,随意更改电脑配置,造成电脑瘫痪。
二、对策措施
1.定期检查所有计算机及服务器硬件,安装安全杀毒软件,完善系统漏洞。
2.定期督促企业用户对自己电脑进行病毒查杀,在任何时间都要做好备份,一旦网络或网站出现故障、数据库或系统崩溃,网络管理人员都能在第一时间处理故障,及时恢复网络运行,做好备份和应急响应。
3.建立内外网络隔离体系。首先,对不同的职能按VLAN进行网络划分,为不同的VLAN之间建立安全访问机制;其次,在网络设备中将IP和MAC进行捆绑,以防止各节点随意修改IP,造成IP地址冲突。最后,在需要联通互联网的电脑上安装隔离卡,通过网络隔离卡分开使用内外网。
4.建设虚拟专用网(VPN),为企业用户在外登陆公司内网提供方便。
5.设置内外网络防火墙。防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统,采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击。
6.部署安全性能更高的安全产品。通过对产品合理的安全策略和设置,实施对公司网络进行流量监控,并对非法入侵和攻击进行拦截,同时对一些异常数据进行过滤,检测出流量异常的端口确定计算机及使用人,从而快速判断出发生安全问题的性质,及时采取相应的安全措施和策略,不断提升网络系统安全级别。在企业中通过应用防火墙,IPS(入侵检测)及SG(防病毒网关)对局域网定期进行网络安全扫描检测。
7.采取相应措施,细化网络安全管理制度。建立安全有效的安全管理制度,对网络中各个环节进行细化管理,责任到人,确定每位员工使用的计算机登记在册,加强管理人员的安全意识,加强对网络管理人员的安全技术和管理培训,从技术上提高应对各种网络安全威胁的能力和提升整体的网络管理水平。
8.加强企业用户的网络安全教育,提高安全和法律意识。培养上网安全意识,用户要及时安装杀毒软件和防火墙,不得随意下载软件或上传含有恶意代码的软件。让用户知道编写和传播病毒、非法入侵和攻击等是违法行为。
总之,企业用户养成良好的网络安全意识和使用习惯,对整个网络的安全运行都有着重要作用。
三、结束语
企业计算机网络安全是一个系统的工程,需要认真构思信息系统的安全需求,将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。企业计算机网络安全也是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括业务系统本身的安全问题,也有物理的和逻辑的技术措施。因此,只有完善保密政策,明晰安全策略以及提高网络管理人才的素质才能完好、实时地保证信息的完整性和确证性,为网络提供强大的网络安全技术支持。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域和其拥有的重要战略意义,相信未来网络安全技术将会取得更加长足的发展。
参考文献
[1]孙健敏.计算机网络技术与应用.西安电子科技大学出版社.2010
【关键词】 计算机网络 网络安全隐患 网络安全技术
随着计算机技术和通信技术的飞速发展,计算机网络迅速普及、发展、成熟并已渗透至人类社会的各个领域。与此同时,军队信息化建设持续快速推进,计算机网络安全问题日益凸显。深入分析军用计算机网络面临的安全隐患,研究予以应对的网络安全技术,对于我军不断提升信息化建设水平、打赢信息化战争具有重要意义。
一、计算机网络安全的内涵
计算机网络安全涉及计算机科学、通信技术、密码技术、信息安全技术等诸多领域,它是指利用各种网络监控管理手段,保护网络系统本身及其采集、加工、存储、传输的信息数据,保证网络系统的软硬件以及数据不受自然或人为原因的泄露、篡改和破坏,防止非授权的访问、窃取和使用,保障网络系统的安全可靠运行,确保所提供服务的持续稳定。
军用计算机网络安全具备如下特征。第一,有效性,确保数据访问的有效性不被敌方破坏。第二,保密性,确保数据仅支持我方用户使用,防止敌方截取。第三,完整性,确保数据在存储或传输过程中不被敌方篡改或破坏。第四,可用性,确保数据仅支持我方授权用户按照要求使用。第五,可控性,确保授权机构对网络系统的机密性具有控制能力。第六,可靠性,确保网络系统为我方用户提供符合质量要求的服务。第七,不可抵赖性,确保网络系统的参与者不可否认所完成的操作。
二、军用计算机网络面临的安全隐患
1、自然、人为以及系统自身因素。组成军用计算机网络的各类电子设备容易受到环境因素(如温度、湿度、静电等)和自然灾害(如雷击、地震、洪水等)的影响,从而导致硬件损坏或数据丢失。而网络系统本身涉及操作系统、网络协议和应用软件等要素,各要素均存在不同程度的漏洞或后门,容易为敌方利用作为攻击目标。此外,军用网络的维护管理、操作使用都涉及人为因素,管理不当、疏忽大意、违规操作或蓄意破坏等行为都可能导致网络安全隐患。
2、计算机病毒。计算机病毒是指一组能够破坏软硬件系统及数据并可自我复制传播从而造成大规模网络安全问题的计算机指令或代码,具有传染方式多、传播速度快、清除难度大、隐蔽性及破坏性强的特点。敌方可针对我方军用网络的漏洞,通过植入病毒或木马程序以达到窃取数据信息或摧毁网络系统的目的。
3、敌方攻击。敌方攻击可分为实体攻击和网络攻击。其中,实体攻击是以常规物理方式直接攻击军用计算机网络物理实体的硬杀伤,包括兵力打击、火力摧毁和电磁攻击等;网络攻击则属于软杀伤,包括中断攻击、窃取攻击和劫持攻击等方式,分别破坏网络服务的有效性、保密性和完整性,导致网络服务中断、网络信息泄露以及网络会话控制权的丢失,攻击方法包括拒绝服务攻击、口令密码攻击和消息截取篡改等。
三、军用计算机网络安全技术
1、加密技术。加密技术属于主动网络安全技术,它是指在传输数据时采用编码方式以便隐藏信息、避免敌方截获,从而提高网络系统和信息数据的保密性。加密技术包括链路加密和数据加密两种方式,由于军用网络的机动性和时限性需求,链路加密应采取高带宽、低时延的硬件加密方式以提高通信效率,而数据加密则主要通过对密钥的保护而非对硬件自身的保护来提高系统的安全性。2、防病毒技术。防病毒技术应以预防为主、防治结合,包括防御技术、检测技术和清除技术。其中,防御技术侧重于从入口处防止病毒侵入,检测技术通过病毒特征来筛查网络中已经感染的病毒,清除技术则用于杀毒和系统复原。3、访问控制技术。访问控制技术通过设置访问权限来判断主体对客体访问的合法性,以保证授权用户获取资源并避免因其操作不当而造成损失,同时阻止非授权用户或敌方的非法侵入。4、容灾备份技术。容灾备份技术通过在异地构建本地软、硬件系统的实时备份系统,以保证网络系统和信息数据在自然灾害、设备故障或敌方攻击时迅速完成系统切换,保障网络业务的不间断运行。5、防火墙技术。防火墙是一种基于网络边界控制的被动安全技术,它通过在内部网与外部网之间设置网络通信监控系统,监测、分析、筛选和限制跨越边界的数据流,从而对外屏蔽内网信息和结构、保护内网免受外网的非授权访问。该技术可以解决网络层的安全问题,其局限性在于无法阻止源于内网的攻击以及数据驱动式攻击。6、入侵检测技术。入侵检测技术通过对计算机网络系统中若干关键点收集信息并分析,以判断网络系统中是否存在违反安全策略的行为或遭受攻击的现象,从而在网路系统受到来自内部或外部攻击之前拦截入侵行为,并使系统能够快速恢复正常,同时收集入侵相关的参数资料以便改进系统、增强抵御入侵的能力。
参 考 文 献
[关键词] 医院信息系统;日常维护;网络安全doi : 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 10. 024
[中图分类号] TP393.1;R197.32 [文献标识码] A [文章编号] 1673 - 0194(2013)10- 0046- 02
随着网络的迅猛发展,网络安全已经成为最迫切需要解决的问题之一。应用医院管理信息系统在为医院带来这些便利的同时,也给自己带来了一个很严峻的考验,那就是系统的安全问题。医院管理信息系统的安全应从技术保护和管理机制入手,只有做好安全防范,才能确保整个信息系统的安全、高效、可靠。所以信息系统的网络安全问题不容忽视。
1 概述
要实现医院综合信息网在全院各部门的广泛应用,目标是在保证具有足够开放性的前提下提供信息资源的保密性、完整性和可靠性。①保密性:防止非法侵入未审查的信息;②完整性:对信息数据的准确性和完整性有保护的能力;③可靠性:保证信息和其他重要资源在需要时能供用户使用。
目前,绝大多数医院均采用树型和星型的混合拓扑,利用标准五类或超五类双绞线综合布线,楼栋间采用光纤进行中长距离连接。 将宽带或专线接入网络中的路由器,从而与外网进行信息交换。
医院信息系统网络不仅要保护计算机网络设备安全和计算机网络系统安全,同时还要保护系统数据库数据安全等。所以医院信息系统网络安全防范的重点主要包括医院内部威胁和医院外部威胁。
内部威胁主要有:医院内部工作人员将携带病毒的个人电脑或移动存储介质接入医院信息系统网络,使医院信息系统网络计算机感染病毒,对网络造成破坏,导致业务中断,其次是医院内部个别非法人员利用权限之便,非法访问数据库,从而对有价值的数据产生威胁并有可能篡改病人就诊数据,为医患纠纷埋下隐患,使医院蒙受巨大损失。
外部威胁主要有:外来人员利用非授权电脑,私自接入医院信息系统网络,有意或无意发动攻击、传播病毒、窃取或篡改数据;医院业务系统需要与医保中心、新农合等社保网络相连,进行数据传输,由此也会为医院带来安全的威胁。
2 安全维护技术要点
2.1 备份技术
无论信息系统设计、维护得多严格、科学、合理,故障的发生都是不可避免的。因此任何计算机系统在设计时都应考虑容灾解决方案,即建立备份系统。
备份技术是在医院信息系统发生故障数据库无法使用时,能够保障信息系统在很短的时间内完全恢复系统运行。数据备份是由备份软件和备份设备共同完成的。医院信息系统管理员设计合理的备份策略,确定备份频度、备份时间、恢复时间等。备份策略主要有3种:只备份数据库、备份数据库和事务日志、增量备份。根据时间情况选择合适的备份策略。
2.2 冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余、以太网冗余等技术。
2.3 防火墙技术
防火墙是屏蔽黑客入侵、保证系统安全的主要手段。防火墙是负责管理风险区域和内部网络之间的访问,在内部网和外部网之间的界面上构造保护层,所有的内部网和外部网之间的连接必须经过此保护层,从而使内部网和外部网在一定意义下隔离,防止非法入侵和破坏行为。
2.4 加密技术
信息交换加密技术分为2类,即对称加密和非对称加密,具体如下所述:在对称加密技术中,通常是用的一把钥匙开把锁,对信息的加密和解密都使用相同的密钥。 这样有利于简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法,这样更省心。
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。 这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。
2.5 身份验证
根据角色级别、用户类型及其对信息系统的重要性来选择是否进行身份认证,对不同用户选择恰当的身份认证手段。访问控制策略要有具体的时间和空间条件限制,保证具有访问权限的用户,只有在职权范围内的时间、空间方位,才有权限访问信息系统。具体地,需要将用户对信息系统进行操作的时间进行分类,对不同时间条件下的用户权限分别进行定义;而且用户在信息系统中的操作权限必须在限定的设备、网络接口来行使。同时对不同类型角色的用户权限进行合理的分配,权限分配遵守最小权限原则、权限分离原则。授权机制要适应分布式环境的特点,采用动态授权。
3 安全管理方案
医院信息系统的建立和实施增强了医院的信息化建设和管理,同时也使医院的整体运作过程中,完全依赖于计算机信息化、网络化管理。这就使得医院网络信息安全变得越来越重要,一旦信息系统安全受到威胁或破坏,整个医院将受到巨大的损失和直接的社会影响。因此,网络便成了整个医院信息系统的运行的核心保障,全医院日常工作能否正常进行,便取决于网络是否畅通无阻,可见网络安全是医院日常工作正常进行的保证和支持。
3.1 网络硬件的安全
网络安全问题涉及的因素诸多,但最重要的莫过于网络中硬件的安全。网络硬件安全主要指是网络硬件设备和网络线路的安全,因为它们构成了整个网络安全的基础,例如:数据库服务器、中心交换机、二级交换机、UPS电源以及HUB等构成了整个网络中的关键设备,因此它们性能的好坏,能否正常工作直接影响到整个系统的运行。建议医院应根据实际情况选择合理的网络设备,同时要制定一系列的应急方法措施和严格的值班考勤规章制度,要做到定期对网络硬件设备进行维护和检修,真正做到防患于未然。例如,对医院中心机房的供电设备一定要措施到位,设备充足,要考虑到应该有足够的UPS在医院突发停电的情况下对主机系统供电,同时也保证来电压的稳定。
3.2 网络设计
关于安全网络设计的问题,应特别注意网络设计缺陷和网络设备选型缺陷对网络安全的影响问题。 网络总体设计应以高性能、高可靠性、高安全性、良好的可扩展性、可管理性为原则,并采用模块化的设计方法。 网络采用三层架构模式,即核心层、汇聚层和接入层。
3.3 客户端的安全措施
目前,医院客户端大多使用的是Windows 操作系统,由于网络用户可以修改其中的网络配置,这样无形中为医院网络安全带来一定的隐患。所以应根据医院的现况,应该将与网络安全有关的设置运用到实际中去,应该进行相应的修改防护措施,这样可以保证网络的安全性。
4 结 论
医院的各级领导、组织和部门工作人员不仅仅需要从思想上重视医院信息系统网络安全这一问题,更需要从行动上加以重视,体现在医院的领导以及相关的工作人员应该定期学习相关知识,医院可以举办相关讲座、培训、考试、考核等等内容,这样既可以使工作人员学到更多的网络安全知识,维护医院的网络安全,又可以丰富大家的生活,增强单位人员的集体责任心和安全感。
同时,人员的管理和培训应该制定具体的细则,通过对每一个操作员工安排网前培训,不仅可以让他们熟悉入网的操作流程和相关的规章制度,同时还能够增强操作人员的网络安全知识和网络安全的意识。
此外,医院应建立起日常操作规章制度、网络安全的保密制度等等。 医院的网络化管理已经是现代化管理不能够缺少的系统工程,而且医院的网络化管理在医院的日常工作中起着十分重要的作用,一定不能无视,网络安全管理对医院的日常正常运行起着越来越重要的作用。
主要参考文献
[1]傅征,任连仲.医院管理信息系统建设与应用[M].北京:人民军医出版社,2002.
关键词:信息安全;多重防护;专业人才
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)28-0045-02
随着信息化时代的来临,网络技术获得了长远发展,网络已经融入到人们的生活中。伴随着智能手机和移动互联的发展,网络更是影响到了人们生活的方方面面。人们的饮食起居、娱乐活动、交通出行等等,都已经和网络挂钩。在网络数据吞吐量如此之大的今天,如何做好网络信息的安全保障工作,是网络公司的首要考虑问题,这一问题也是用户的关注焦点。
1 计算机网络安全的概念
1.1网络安全的含义
计算机网络安全是指通过采取技术控制措施,以加强计算机网络的安全管理工作,保障网络服务器的数据安全储存、数据的安全传输、数据的加密安全可靠、避免因黑客攻击或安全漏洞所造成的网络数据泄露。网络安全分为两个部分,一个是硬件部分,另一个是软件部分。硬件部分是网络的硬件运行与维护,确保网络硬件的良好、可靠运行,不因物理损伤而造成网络数据的损失。软件部分是通过软件防控,保证数据的安全性、可靠性、保密性。
1.2网络安全的脆弱性
计算机网络虽然功能强大,但是网络结构复杂,系统庞大,势必存在着一定的缺陷与漏洞。这些漏洞各种各样,对网络造成了严重的威胁。网络的开放性是造成计算机网络脆弱的原因之一,网络的开放性指网络对所有用户是开放的,使用网络的人涵盖各个阶层,而且网络技术也是开放的,这种开放既促进了网络技术的发展,它极大地促进了网络的开发基础和开发人员的参与热情,但是这种开放也给网络的发展带来了威胁,它使网络极易遭受各个方向的攻击。另一个造成网络脆弱的原因是网络的自由性,网络不是万能的,但是网络可以超距离的实现人类的很多追求,任何人在网络都可以自由发言,网络的这种自由既给了网民最大限度地自由,也给了网民违法犯罪的机会,近年来,高智商、高技术的网络犯罪都是由网络的自由性造成的。网络的脆弱体现在开放性和自由性,这两种特性使网络在便利人们生活的同时,也承受着极高的风险。
2 计算机网络安全方面存在的主要问题
2.1因黑客攻击造成的威胁
黑客一词是hackerde 中文翻译,本意是专门寻找计算机BUG的,由于经济利益的驱动,黑客开始使用病毒软件对计算机网络进行攻击。早些年时,黑客往往使用“灰鸽子”进行远程控制和钓鱼,以达到控制别人主机的目的。随着网络技术的发展,黑客开始更高级的病毒,通过网络进行网络攻击,据统计,因为黑客网络攻击所造成的经济损失,占网络总收益的15%,每年全球因网络攻击造成的损失高达4000亿美元。黑客通过公共通用网络侵入企业、事业单位、个人甚至政府机关的内部网络,窃取有价值的数据和资料,已达到赚取巨额佣金的目的。虽然各个公司都有专门的网络技术维护人员,但是与处于暗处且手段层出不穷的黑客对比,仍是无法有效应付。2015年7月28日,福建福州市一名股民因为黑客窃取了他的股票交易账户和密码,将他价值100多万的股票低价抛出,给他造成了严重的经济损失。这是一例黑客通过网络实施病毒攻击的真实案例,这个案例只是冰山一角,每年我国因为黑客攻击造成的经济损失高达近百亿元人民币,因此黑客攻击是计算机网络安全存在的巨大隐患。
2.2计算机病毒对网络造成的威胁
计算机病毒是利用计算机代码漏洞制作的攻击性软件,以达到攻破网络安全保护层,侵入网络内部或者破坏网络的正常运行,造成网络的瘫痪。计算机病毒不仅仅利用网络系统的漏洞进行编程,也利用网络设备的软件进行攻击。正是病毒攻击的双重性,造成网络系统在遭受黑客攻击时往往变得“脆弱”。病毒多种多样,攻击的方式也是五花八门,不走寻常路。病毒按其攻击方式可以分为源码型病毒、嵌入性病毒、外壳型病毒、操作系统病毒等。网络病毒主要通过网络感染主机和网络设备,实现大范围的传播和迫害,给个人和企业带来巨大的经济和资源损失。最常见的网络病毒是“木马”病毒,这类病毒具有极高的潜伏性、传播性、爆发性,且一旦被激活,不易被清除干净,是网络系统最易遭受到的病毒攻击种类。以腾讯公司为例,腾讯公司是国内著名的门户网站和社交平台,旗下业务涉及社交、游戏、新闻等各个行业,其网络服务器更是每天吞吐巨量数据,据腾讯官方宣称,其8月份时每天拦截数百万次黑客攻击,其网络系统的安全措施面临巨大的压力,在2015年7月22日时,腾讯云遭受有史以来最大的数据损失,泄露数据高达300G,据悉,这是一起病毒攻击引发的数据泄露事件。由此可见,计算机网络系统因为计算机病毒而遭受了巨大的风险和压力。
2.3计算机网络协议的脆弱性
计算机网络协议是为了便于计算机通过网络按照一定的约定进行合法的“交流”,这种交流时为了保证计算机网络的安全。常见的计算机网络协议有TCP/IP协议、IPX/SPX协议、NetBEUI协议等,这些协议便于各个计算机主机通过网络交流信息,也使网络获得了大范围的传播,实现了网络的开放性和国际性。但是计算机网络协议的初衷是为了便于网络信息的交互,在网络安全性上设计不足,网络协议的开放性和自由性过度,在网络协议的认证和加密上缺乏安全保障,给计算机网络留下了安全漏洞。计算机网络技术发展速度快,网络协议的制定跟不上网路技术的发展速度,面临新出的网络威胁,应对力度不足。最常用的TCP/IP协议经过多年使用,其代码编程和网络架构早已被熟知,在安全上存在着众多安全漏洞,尤其以IP为重灾区。
3 加强计算机网络安全的防范措施
3.1网络入侵安全检测机制
在网络入侵检测上已由静态的防范过渡到了动态的防范措施,通过建立网络入侵安全检测机制可以实现网络的识别行为:识别入侵网络的行为、识别入侵网络的操作者、检测网络系统的漏洞并报警、记录网络入侵的活动、为网络系统漏洞的修复提供必要的信息。而且网络入侵安全机制具有经济性、安全性、时效性和可扩展性。具有良好的发挥空间,通过建立IDS系统,可以为网络安全加一把”锁“,这把锁是存在于网络的各个层面,是建立在网络的整体中的,为网络系统在遭受攻击时可以主动的、实时的记录攻击活动并报警,为网络系统的反击和防止攻击行为的扩大,提供必要的时间。
3.2采用网络数据安全加密技术
网络系统中最重要的便是网络数据,为了加强网络数据的安全,需要对其采用数据加密技术。在网络系统中采用数据加密技术,一是对网络中存储的数据进行加密;二是对传输中的网络数据进行加密;三是对接收方的数据进行数据加密;四是对上传的数据进行加密。通过采用对数据进行多重加密,加大数据被破解的难度。在网络数据的加密上可以使用DES加密算法和专用密匙。其中DES加密算法是采用了64位数字算法,极大地提高了网络数据的安全。
3.3加强网络系统的安全管理
加强网络安全系统的安全管理是针对网络系统管理不完善的现状提出的应对举措。首先要加强对网络设备的安全管理,将网络设备置于安全的、适宜的工作环境中,避免因物理因素造成的网路设备损坏,例如今年发生的支付宝发生的通讯中断故障便是因为通信光纤被挖断所导致的,因此需要在网络设备上采取多重防护措施。其次要经常进行网络系统的杀毒工作,及时更新病毒库,加大对网络病毒的查杀工作。建立动态的防护措施,由专业的技术人员进行专业操作,采用防火墙技术和云安全技术,加强网络的安全防范。最后可以使用VPN网络架构,将内网严密的保护起来,使用虚拟网络进行数据的传输。
4 结束语
计算机网络的安全工作需要跟着时代信息技术的发展而发展,需要国家立法,打击网络犯罪行为,需要采用多种防护措施进行防御,但是这种防御不是被动防御,而是积极防御,以有备备无患。
参考文献:
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
防护措施:
1、对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
2、数据加密防护:加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
3、网络隔离防护:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。
(来源:文章屋网 )
Abstract: As the technology becomes more advanced, network is gradually integrated into people's lives, and the network security issues are coming too. This article put forward the analysis method of network security based on weaknesses correlation from the network security status quo and the definition of the weakness relationship.
关键词: 弱点;相关性;网络安全;方法
Key words: weakness;correlation;network security;method
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2013)02-0194-02
1 网络安全现状
目前网路安全问题越来越突出。网络攻击者不仅利用单个弱点来攻击网络系统,还一起组合攻击,所谓组合攻击并不是组织多个攻击者一起攻击,而是攻击者把多个主机的弱点结合起来对网络进行攻击,这对网络安全来说是极大的威胁。为了对网络安全进行评估,就必须深入管理网络安全系统。网络安全性的分析方法已经不能满足当前的形势,因为它具有单一性,并没有综合各个因素来考虑。所以,目前最重要的是提高网络安全性分析方法,要对基于多个弱点相关性的网络安全性分析方法进行深入研究。
2 弱点相关性的定义
网络系统在特定一个环境中,虽然有其安全保护措施,但是攻击者还是可以利用一个固定节点上的弱点来盗取权限,随后,又利用此权限来盗取下一个权限,反反复复,最后使整个系统的权限都被盗取。在权限一个接着一个被盗取的过程中,我们可以看出弱点是具有非常强的关联性的,只要具有关联性盗取权限的工作就变得越来越简单了。可以一眼看出的是,这些弱点存在的方式是多样的,既可以在同一主机的不同软件上,也可以在不同的网络节点上。基于这样的情况来看,我们就可以从相关性这一概念入手,对弱点在环节上的相互关系作解释说明,把每个弱点在攻击中发挥出的不同作用表现出来,只有这样才能从多个角度来考虑弱点对网络系统产生的影响,对网路系统做更进一步的评估工作。
3 基于弱点相关性的网络安全性分析方法
3.1 网络安全分析类型
3.1.1 物理安全分析 对于整个网络安全系统来说,网络物理安全分析法是整个网络安全的基础条件。在某些网络系统比较弱的工程建设中,比如说校园网络工程建设,它的耐压值是非常低的。为了不出现一些状况,在进行网络工程建设的设计前就应该做好相关准备工作,在正式施工的过程中,要先考虑到人和设备不受外界因素影响,比如说雷击等自然灾害,还要考虑其布线系统与各个系统之间的距离、安全等。需要注意的是,必须要建设其防雷系统,因为雷击这种自然现象对系统的危害是非常大的。在考虑安装防雷系统时,不仅仅是需要考虑到其计算机所在建筑物得防雷,还要考虑到计算机内部的防雷装置。总而言之,物理安全的风险主要有水灾、火灾、地震等自然灾害,操作失误、错误等人为灾害,一定要对这些方面做出相应的解决措施,避免出现网络系统的物理安全风险。
3.1.2 网络结构安全分析 对于网络系统来说,网络拓扑结构设计也是会影响其安全性的。一旦外部网与内部网通信,内部网络的所有设备都会受到一定的威胁,对于同一网络的系统来说也会受到其影响。透过一定的网络传播,还会对连上Internet/Intranet的其他的网络有所影响。在某些时候,还涉及到法律和金融等敏感领域。所以,我们在设计其网络系统时一定要考虑到将服务器公开,还要对内部的资料与外网进行一定的隔离,避免出现机密泄露的情况。还需要注意的一点是,要对外网进入的请求过滤,允许安全的信息进入。
3.1.3 系统安全分析 这里的系统安全指的是对全部网络操作系统以及网络硬件平台进行一个检测的工作,只允许安全的信息进入。就目前的情况来看,并没有绝对安全的操作系统,只有安全性比较高的系统罢了。举一个例子来说,Microsoft 的Windows NT以及其它任何商用UNIX操作系统,里面必然有其Back-Door。综上所述,完全安全的操作系统是没有的。所以每个用户都应该综合考虑然后对网络进行分析工作,一定要选择安全性高的操作系统。除了要选用安全的操作系统外,还要对其系统定期进行检查工作,设定一些安全配置。还需要注意的一点就是,要对登录过程进行严格的认证,确保用户的合法性,操作者的权限限制也要控制在最小的范围之内。
3.2 方法
3.2.1 物理措施 基于弱点相关性的网络安全系统,是可以对其采取物理措施的,举一些例子来说,比如网络的关键设备,其包括交换机和大型计算机等;制定一定的网络安全制度,还可以采取一些方便安装的措施,像防火装置和防辐射装置等。
3.2.2 访问控制 对用户的访问权限进行严格的认证,这些认证主要指的是用户访问网络资源的时候。举一个例子来说,一个用户在访问一个网站,一般情况下,在这个网页打开之前,一定会弹出一个对话框,判定这个网页是否具有一定的安全性,就是在这个基础上,对其系统的安全性再进一步的提高,加大对带有病毒的网页控制工作。
3.2.3 数据加密 在日常生活中,对事物进行加密措施是很常见的,网络安全工作必然也少不了这一重要环节。对于网络的资料数据安全来说,机密是最基本也是最重要的手段之一。加密的作用是避免出现信息外泄的情况,是防御有企图的人的有效方法,另外,还有降低计算机中病毒的概率。
3.2.4 网络隔离 网络隔离有隔离卡和安全隔离两种方式。隔离开主要用于对象是单台机器,而安全隔离的范围相对来说是比较广的,它是用于整个网络的,这是它们最显著的区别。
3.2.5 其他措施 除了上面介绍到物理措施、访问控制、数据加密以及网络隔离四种方法以外,对信息的过滤、容错、备份等措施也是有一定的作用的。在近些年来,许多研究者在基于弱点相关性的网络安全中提出了许多的方法,其方法运用到实际操作中也取得了一定的效果,不管是数据加密,还是防火墙技术,都是基于弱点相关性的网络安全性分析方法。
3.3 主机弱点列表如表1。
参考文献:
[1]张晗,万明杰,王寒凝.战术互联网同质层基于信任评估的安全分簇算法[J].计算机应用,2007,(10).
[2]刘密霞.网络安全态势分析与可生存性评估研究[D].兰州理工大学,2008.
[3]杨秀华,李天博,李振建,杨玉芬.基于网络蠕虫特征的检测技术研究[A].中国仪器仪表学会第九届青年学术会议论文集[C].2007.
[4]甘早斌,吴平,路松峰,李瑞轩.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究,2007,(11).
