时间:2023-09-14 17:43:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全分析,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:IPv4;IPv6;网络安全;分析
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)16-21207-01
The Analysis of IPv6 and IPv4 Network Security
ZHANG Lian-huan, ZHU Xiao-fei
( 91065 Army, Huludao125001,China )
Abstract: This article first make a summary of IPv4 and IPv6 ,discussed the shortcomings of IPv4 and IPv6 advantages. Then IPv4 security flaws were analyzed, discussed IPv6 improve on these deficiencies, at the last the IPv6 security issues are also analyzed.
Key words: IPv4 and IPv6; network security; analysis
随着网络的繁荣发展,加上最初设计的地址分类方法不合理,造成了今天IP地址极度缺乏的状况。其次,由于它起初主要面向研究和开发机构,对安全性的考虑不是很充分,而在实现网络商业化的今天,不安全的通信信道带来的网络攻击越来越多,其影响力也越来越大。IPv4获得的巨大成功反而使得它本身陷入了一个尴尬的境地,此时IPv6的推出成为大势所趋。
1 IPv4与IPv6概述
第一代互联网美国军方从60年代开始,70年代正式进行开发建设,1994年正式投入商业运营,并统一采用TCP/IP协议[1]。IPV4之所以向IPV6演进,主要是因为IPV4的地址协议出现明显的局限,IP地址已经不能满足需要。IPV4的IP地址大约为40多亿,但是却存在着严重的分配不均匀问题,其中美国掌握了绝对的控制权,IP地址分配上美国占着绝对的优势。造成了我国的公众网因IP地址匮乏,被迫大量使用转换地址,严重影响了互联网的正常发展,这就形成了对IPV6的迫切需要。下面对IPV4和IPV6进行简单介绍:
1.1 IPv4
目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。有预测表明,所有IPv4地址将在2005~2010年间分配完毕。另外,由于IPv4采用与网络拓扑结构无关的形式来分配地址,所以随着连入网络数目的增涨,路由器数目飞速增加,相应的,决定数据传输路由的路由表也就不断增大,路由器在路由表中查询正确路由的时间就越长。IPv4也缺乏网络服务质量的支持,也没有对移动服务的支持。
1.2 IPv6
IPV6设计的初衷就是为了扩大地址空间,拟通过IPv6重新定义地址空间可以满足互联网发展的需要。IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。具体地说,IPv6具有以下优势:①扩展了地址容量,IPv6支持的IP地址长度由原来的32位扩充到128位;②自动地址分配,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。③简化了报头格式,有效减少了路由器及交换机对报头的处理开销;④提高了服务质量,IPv6数据包的格式包含一个8位的业务流类别(Class)和一个新的20位的流标签(Flow Label),可以知道数据包的QoS需求,并进行快速的转发;⑤提供了认证和私密性,IPv6将IP安全性(IPSec)作为自身标准的有机组成部分;⑥支持移动服务,IPv6对于移动性的支持是作为一个必需的协议内嵌在IP协议中的,IPv6的移动性支持取消了异地,完全支持路由优化,彻底消除了三角路由问题,并且为移动终端提供了足够的地址资源,使得移动IP的实际应用成为可能。
2 IPv4的安全分析
在IPv4体系下,网络层几乎是毫无安全性可言的。
(1) IPv4地址分配的不合理性,导致IP地址分布十分零散。这就使得伪造源IP地址进行网络攻击成为可能,攻击者可以任意伪造源IP地址对目标地址进行攻击。
(下转第1213页)
(上接第1207页)
(2) 由于网络中存在的MTU的限制,因此传送大于该网络MTU的数据包要进行分片,但由此也会带来安全上的漏洞。攻击者只需要2个UDP分片,即可造成一些操作系统崩溃。
(3) 假冒IP地址,即攻击者利用被攻击者的IP地址或者一个根本不存在的地址作为特殊数据包的源地址,通过发送大量数据包占用被攻击者的资源,造成被攻击者的不正常工作。
3 IPv6安全分析
3.1 IPv6的改进
IPv6的巨大地址空间以及引入IPSEC带来的加密和认证机制,实现了网络层的身份认证和数据包的完整性、机密性,增强了网络层的安全,对于应对网络威胁与攻击,保障网络通信安全成效显著。IPv6的优势具体有以下几点:
3.1.1 IPv6地址资源丰富。
IPv6采用128位地址,且地址采用前缀表示法,格式前缀(也称全局路由前缀)是一个IP地址的高位,它用来识别子网或某种特殊类型的地址。其中,在全球范围内可唯一标识的地址是“可聚类全局单播地址”,它基于一个分层的原则,把128位地址分成6个部分,第一部分是标识该地址使用的是“可聚类全局单播地址”,第二部分用作保留,再往下依次是“次级聚类标识符”,“站点级聚类标识符”,最后64位表示接口ID,所以IPv6可以提供的IP地址资源更加丰富。
3.1.2 与IPSec有机结合
由于IPv4协议本身没有对数据进行有效保护,无法保证数据的完整性、机密性以及对身份的验证,在网络安全方面存在较大隐患。因此,在设计IPv6时,协议安全作为一个重要的方面进行考虑,将IP安全体系结构(IPSec)纳入了协议整体之中,成为协议的一个有机组成部分。数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分,IPSec通过身份验证头(AH)与封装安全性净荷头(ESP)相结合,配合相关的密钥管理机制, IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证。但在实际部署IPv6网络时,由于技术能力不够和现有安全基础设施不足等原因,使得IPv6网络往往没有采用任何安全措施。而且,其网络传输数据包的基本机制也与IPv4相同,所以现有的IPv6网络并不比IPv4网络安全,这也有待完善。
3.1.3 数据认证
IPv6使数据包的接收者可以验证数据的真实性、完整性,还可以与数字签名结合,保证数据的不可抵赖性,使数据在接收端可得到认证,确保数据的真实可靠。而且,IPv6允许数据传输采用隧道模式和传输模式两种方式,它既可为两个节点间的简单直接的数据包传送提供身份验证和保护,也可用于对发给安全性网关或由安全性网关发出的整个数据包进行包装,并加入认证信息。
3.1.4 数据加密
在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。
3.2 IPv6的安全缺陷
网络安全永远是一个相对概念,也不要指望IPv6能够彻底所有的网络安全问题。
IPv6中仍保留着IPv4的诸多结构特点,如选项分片和TTL等。这些选项都曾经被黑客用来攻击IPv4节点。而且,目前为止,IPv6中并没有提出新的安全策略――所有使用的安全策略都是在IPv4下已经存在的,因此它无法从根本上解决安全性能的问题。
IPv6主要解决的是网络层的身份认证、数据包完整性和加密问题。因此,一些从上层发起的攻击如应用层的缓冲区溢出攻击和传输层的TCP SYN FLOOD攻击等在IPv6下仍然存在。
IPv6协议本身还有一些问题有待解决,IP网中许多不安全问题主要是管理造成的。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现,因此缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围的网络故障定位和性能分析的手段。没有网管,无法保障网络高效、安全运行。IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发尚需时日。
参考文献:
[1] 刘斌.浅析IPv4和IPv6.高校实验室工作研究,2006(3).
[2] 高嵩,贾卓生.关于IPv4及IPv6的安全讨论.计算机与现代化,2006(6).
[3] 杨碧天,常立夏,詹德新.IPv6安全性能研究.网络安全技术与应用,2008(1).
[4] 刘世杰,李祥和.IPv6对网络安全的改进.电视技术,2007(2).
【 关键词 】 “互联网+”时代;网络安全;管理策略;安全体系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2 “互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1 内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2 主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3 基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3 “互联网+”时代网络安全分析
3.1 特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2 现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3 威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4 “互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1 基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2 基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3 基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5 结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).
[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
[11] 周鹏.大数据时代网络安全的防护[J].网络安全技术与应用,2015(04).
【关键词】移动通信网络;安全问题;互联网
一、前言
现代移动通信网络的安全问题已经不再体现为原始的信息泄露方面,变得更加多元化,尤其实在手机与互联网的接驳,使得互联网的安全问题也开始影响移动通信网络的安全,这样的发展形势下,保证移动通信网络的安全,保护信息在移动通信网络中传输不会被窃取、毁坏、篡改就变得更加的艰难。
二、移动通信网络的定义
移动通信网络是指移动物体或者移动物体与固定物体之间的通信网络。就实际的应用来说,与人们最为密切的,就是现有的通信网络、手机、无绳电话、卫星电话等。
现在的移动通信网络与互联网的相似程度越来越高,而且依托于手机网络的很多聊天工具的出现使得,移动通信出现了很大的变化。也容易将移动通信网络与互联网相混淆。实际上手机通信网络与互联网是两个不同的网络,手机可以使用互联网是因为手机移动网络与互联网有链接,而不是移动通信网络包括互联网,这是一个需要具体区分的概念[1]。4G网络支持的视频电话与互联网的视频聊天不同,它所使用的不是互联网而是现有的移动通信网络,原有的移动通信网络传输语音信号,而现在可以传输视频信号。这是一个看似相同但是本质上不同的问题。
移动通信网络更加注重私密性,相对于互联网来说,它所需要的保密性更强,能够共享的信息更少,在发展中更注重安全问题,和信息的保护。在人们的认识中移动通信网络更加的安全。
三、移动通信网络的新局面
随着移动通信技术的不断深化,互联网与移动通信网络的重合部分也越来越大,这就产生了新的局面,与互联网重合的部分和相似的部分越多,安全问题的重合和相似的部分也就越多。传统的信号传输仅限于语音信号和文字信号,这些信号对于系统的要求低,而且技术性不高,所面对的安全问题也仅限于保证信息的泄露。而现代移动通信可以需要的安全性就高,适应性也更广。在实际生活中,手机所需要负责的也更多,不仅仅是通话,发短信还可以进行工作,浏览网页,看书等等,这样的转变使移动通信网络的功能性有了很大的开发,很多以前幻想的情况通过一定的技术手段得以实现。现在的移动通信因为智能手机的出现变成了计算机互联网的补充用品,在无法使用电脑或者携带不方便时,手机就在一定程度上替代了电脑的作用,移动通信网络成了与互联网相连接的桥梁。这就是现代移动通信网络的新局面,传统方式的移动通信网络运行模式已经无法适应现在的情况。数据传输内容,传输方式的改变,迫使移动通信网络的安全保护方式作出新的适应和改变[2]。
四、移动通信网络的安全问题
1.传统问题
传统的移动通信网络问题主要是集中在通信网络上的窃听与反窃听上,因为信号传输能力和技术手段的问题,不存在信息篡改的情况。但是现代的移动通信网络面临的将是传统问题从根源上的改变,新技术带来的不仅仅是好的变化,在现代的移动通信网络中,窃听反窃听的手段也越来越多样,有依托于信息传输种植“种子”的,有劫持手机信号的还有很多方式,这样的情况下传统的移动通信网络安全策略就无法有效的保护使用者的信息安全,造成了严重的信息危机。
2.新的问题
这些问题很明显的带有互联网的色彩,可以说都是互联网的负面衍生品,移动通信网络在一定程度上替代了计算机网络的使用功能,在移动信息网络高质量高数量的数据传输的同时,智能手机依靠其与电脑的同质性崛起,可以说此二者是相辅相成的,但是这样的改变使得,电脑病毒、黑客等互联网安全问题有了更大的施展空间。
手机软件在功用上可以与计算机相仿,但是手机的基本防护能力与计算机相比有着很大的差距,手机受限于硬件和数据空间的大小无法运行过大的防御软件,但是这样的限制对于病毒,黑客等安全问题几乎没有影响。甚至现代移动通信网络发展初期就已经有了专用的手机病毒,这就表示在移动通行网络整体防御机制没有建立起来时,网络破坏程序已经开始了发展,这样的威胁世界为严重的[3]。
再有手机用户的手机经济行为越来越多,是很多罪犯将目标放在了移动通行网络上,这就标志着移动通信网络犯罪将成为移动通信网络安全的首要问题。
五、移动通信网络的安全对策
1.线路保护
移动通信网络的基础是遍布全球的通信基站、主服务器和卫星,可以说这些系统是对外不对内的,一旦线路出现问题,那么整个系统将毫无保留的呈现在入侵者面前,这样的结果是不能被接受,损失也是整个世界所不能承受的,所以保护移动通信线路时需要严格的。
2.加密保护
最传统的保护方式也是最为使用的保护方式,将整个系统进行加密,在移动通信网络中流动的数据,经过严格的加密程序可以有效地保护起来。在新的技术的支持下,加密程序更加的复杂,步骤也更加的繁琐。利用技术上的优势保护系统内的信息,可以完成对于绝大多数使用者的保护。
3.身份认证
身份认证是一个十分重要的环节,这个身份既可以指个人身份,也可以指系统身份。个人身份就像现在的手机实名制,是一种可以有效保护个人的系统信息的方式。系统身份是作为信息的接受者或者信息的者的一种认证模式,再这样的体系统,无法进行认证的使用者会被拒绝接入,利用这种方式对使用者的信息进行保护[4]。
4.信息筛选
在现代移动信息网络中使用者是无法对接收信息进行筛选的,作为最终端的地系统只有接收和发射的能力,这就给使用者带来了使用安全。以手机为例,现在的手机都是一杀毒软件屏蔽的方式来进行对于信息的筛选,但是移动网络本身没有这样的能力,单纯依靠杀毒软件达不到很好地信息筛选的效果,很多的入侵都是以杀毒系统识别不到的方式侵入手机盗取信息。
而移动网络系统的信息筛选将从根源上解决这些问题,系统将直接筛选安全的信息传入移动通信网络,这就避免了很多不安全信息在传入移动通信网络后对于网络用户的伤害。
六、总结
现代移动通信网络有着不同于之前的时代性和进步性,这样的进步不仅影响着使用者的使用效果,也带来更多更严峻的安全问题,再这样的背景下,现代移动通信网络加强自身的安全建设将成为首要的问题。在未来的发展中信息安全问题一直会影响着移动通信网络的发展,也是我们将一直面对为之努力的问题。
参考文献
[1]王歌.现代移动通信网络安全分析[J].电子技术与软件工程,2013,08(06):47.
[2]杨光辉,李晓蔚.现代移动通信网络安全关键技术探讨[J].长沙通信职业技术学院学报,2010,06(02):29-35.
关键词:网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。
1.操作系统(Windows2003)的安全配置
(1)系统升级、打操作系统补丁,尤其是IIS6.0补丁。
(2)禁止默认共享。
(3)打开管理工具-本地安全策略,在本地策略-安全选项中,开启不显示上次的登录用户名。
(4)禁用TCP/IP上的NetBIOS。
(5)停掉Guest帐号,并给guest加一个异常复杂的密码。
(6)关闭不必要的端口。
(7)启用WIN2003的自身带的网络防火墙,并进行端口的改变。
(8)打开审核策略,这个也非常重要,必须开启。
2.数据库(SQLServer2000)的安全配置
(1)安装完SQLServer2000数据库上微软网站打最新的SP4补丁。
nbsp;(2)使用安全的密码策略
。设置复杂的sa密码。
(3)在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
(4)使用操作系统自己的IPSec可以实现IP数据包的安全性。
(五)管理员的工具
除了以上的一些安全措施以外,作为网络管理员还要准备一些针对网络监控的管理工具,通过这些工具来加强对网络安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP协议的探测工具。
Ipconfig/winipcfg,查看和修改网络中的TCP/IP协议的有关配置,
Netstat,利用该工具可以显示有关统计信息和当前TCP/IP网络连接的情况,用户或网络管理人员可以得到非常详尽的统计结果。
SolarWindsEngineer''''sEditionToolset
另外本中心还采用SolarWindsEngineer''''sEditionToolset。它的用途十分广泛,涵盖了从简单、变化的ping监控器及子网计算器(Subnetcalculators)到更为复杂的性能监控器何地址管理功能。”
SolarWindsEngineer''''sEditionToolset的介绍:
SolarWindsEngineer’sEdition是一套非常全面的网络工具库,包括了网络恢复、错误监控、性能监控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition还增加了新的SwitchPortMapper工具,它可以在您的switch上自动执行Layer2和Layer3恢复。工程师版包含了SolarwindsMIB浏览器和网络性能监控器(NetworkPerformanceMonitor),以及其他附加网络管理工具。
SnifferPro能够了解本机网络的使用情况,它使用流量显示和图表绘制功能在众多网管软件中最为强大最为灵活;它能在于混杂模式下的监听,也就是说它可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
除了上面说的五个措施以外,还有不少其他的措施加强了安全问题的管理:
制订相应的机房管理制度;
制订相应的软件管理制度;
制订严格的操作管理规程;
制订在紧急情况下系统如何尽快恢复的应急措施,使损失减至最小;
【关键词】服务器 网络安全
1 服务器网络安全概述
服务器网络安全由服务器安全与网络安全同时构成,其是指服务器网络资源安全,即服务器网络信息系统资源和用户信息资源不被自然与非自然因素的威胁。服务器网络安全是指通过应用服务器系统管理措施和各种技术来使得网络系统可以正常运行,进而确保服务器网络资料可以正常传输、使用和保密。
2 服务器安全防护技术
2.1 系统访问IP过滤
基于服务器访问的IP过滤,实质上就是要对软件防火墙进行构建,对于那些经过服务器的IP 数据包进行过滤,对那些没有经过授权网站的访问以及某些比较特别的指定协议进行有效的控制。由于该技术需要对IP进行设置,因此其保护性高,但设置较为繁琐,对于过滤IP地址发送数据包一律禁止,对于服务器来说一般不适用。
2.2 入侵检测系统
入侵检测系统根据不同的分类标准,可以分为不同的类型。根据其提取的入侵数据的地点,将其分为两大类,即基于网络的入侵检测和基于服务器的入侵检测。这种方法获取的信息量大实时性高,但原始的信息包居多,分析量比较大。应用范围较小,并不会对威胁进行阻拦。主要针对利用操作系统和应用程序的漏洞及运行特征进行的攻击行为。
2.3 防火墙技术
防火墙可以配置成许多不同的级别,用户可以根据自己的需要来控制。防火墙能强化服务器网络安全,可以最大范围地记录互联网上的活动,防火墙还能防止暴露用户网络点,它还可以用来隔开网络中一个网段与其他网段的连接。但由于防火墙只是被动的进行对可疑数据进行阻拦,并没有主动去记录以及分析,因此其对于应用层的防御较为薄弱,对于新兴威胁无法阻拦。
2.4 加密技术
在需要使用加密技术的服务器网络的进出口处设置用于检查信息资源加密情况的网关,对内部网内出网的信息资源,规定其必须加盖保密印章标识,并对信息资源进行加密和检查;对无密级的文件,允许出关。驱动层加密由于其是对数据进行加密,因此其部署在数据库的最前方,但可能会对系统性能以及其他驱动产生影响,而在应用层进行加密则更容易被黑客寻找到漏洞。
2.5 服务器安全防护待解决问题
由于服务器网络安全需对服务器安全以及网络安全同时进行考虑,而由于这些防御技术其都是独立的,兼容性并不是很好。服务器安全与网络安全的防御技术很难进行有效结合,易被黑客分而破之。例如,当网络用户需要远程访问以及登入服务器系统时,最安全的服务器防护措施就是不允许其控制,这样可以避免大部分的黑客入侵。而这对系统管理员来说则不便捷。而如果允许登入,那么就很难确定访问者是不是用合法的方式登入,而一旦非法用户通过一些手段登入系统其就可以获得与管理员相当的权限,这样对于服务器来说威胁相当大。
现有的保护措施采用的技术基本是在服务器之外的,例如硬件防火墙,安全路由器以及其他一些保护手段难以获得实时的网络访问特性,且对外部环境依赖性大。而内置防火墙主要是对网络安全进行考虑,并没有过多去考虑服务器方面的安全,对于冒充管理员的的攻击方式无法进行很好防御。
3 服务器网络安全系统体系结构设计
随着现代社会对于网络的需求度不断增加,单一的安全防护措施已经不足以应付现有的安全问题,因此如何建立一个全面的安全系统体系已经成为如今网络安全的主要研究方向。
3.1 服务器网络安全系统体系结构构想
服务器网络安全中对用户进行的访问进行严格分类是最基本工作特点,其可以对访问资源类型分为外部资源访问与内部资源访问控制。在服务器网络安全系统体系结构模型中,外网安全检测其的作用与防火墙类似,是指通过按照用户设定的安全级别对来往数据包进行过滤。
内部系统资源中对于非用户级资源为了尽可能使其方便,可以在其通过外网安全检测后直接对资源进行访问。而对于用户级资源则需要其通过外网登入验证系统来进行进一步安全验证,这里可以使用通过对移动端发送验证请求使移动端产生一个随机验证码,通过在外网登入验证中输入验证码与移动端进行对比从而确定其是否为非法用户,对于通过验证的将访问请求发回登入端并调用其需要访问的用户级资源或权限。对于没有通过或非法绕过登入的服务器可以在无法抵御的情况下进行自动关机防止网络用户利用系统漏洞从而获取ROOT权限以及服务器资料。
网络用户对于外部资源的访问,通过外部资源访问控制器,通过对控制器进行设置,防止网络用户以本地服务器名义对其他服务器进行访问。
3.2 相关技术难点分析
服务器网络安全技术是对现有单一技术进行整合并推出一个尽可能全面的防护系统。其可以说是把防火墙技术以及入侵检测系统等一系列技术结合在一起,通过防护与检测的有效结合,来实现网络用户对于资源访问的有效控制。现如今,入侵检测系统以及防火墙技术都相当成熟,但如何就入侵检测系统以及防火墙技术在与操作系统有效结合起来进行工作却是如今网络安全技术的难题所在。比如,如何把外网登入系统与移动端口有效结合使用,如何终止网络用户对服务器的连接并同时拉入IP过滤名单中,如何实时监控网络用户是否在对访问服务器进行攻击。而要克服这些难题,必定会涉及到服务器中的主网络系统以及其他一些系统设置问题。这些问题对于现阶段处于外挂式的服务器网络安全系统来说还是及其困难的难题。
解决问题的办法有:
(1)把服务器网络安全系统内嵌至主系统中,这是最根本的解决方式。但它对主系统提供者的依赖度极高。
(2)对现有英特网协议栈进行修订与对服务器中软件进行设置,其相对应的嵌入防火墙技术与对资源进行细致化分类。其特点是可操作性强,实用性较高。但同时,其的工作量极为巨大。
参考文献
[1]李应勇,马玉春,李壮.网络环境下的主机信息安全研究[J].琼州学院学报,2011.
[2]胡卫红.浅谈网站主机的网络安全[J].计算机与网络,2013.
作者简介
张亮(1982-),硕士学位。现为南昌大学人民武装学院讲师。
作者单位
(山东理工大学计算机科学与技术学院,山东 淄博 255049)
【摘要】物联网是基于互联网技术为全球商品供应链提供服务而建立的平台,互联网的安全性对物联网的开发和使用至关重要,它影响着使用者本身的安全以及他们自身隐私信息的安全。因此加强物联网网络安全,提高物联网的安全措施,提高自身抗攻击能力,采用数据安全认证、建立客户的隐私保护机制、健全法律体系对物联网的安全保证,从技术和法制上对物联网加强安全。
关键词 物联网;数据安全;隐私权;网络安全
1物联网定义
物联网是在互联网快速发展的基础上延伸和扩展的网络应用,通过射频识别、红外感应、全球定位、激光扫描等信息传感设备,根据指定的协议,把客户、商品与互联网相连接,进行信息交换和通信的平台,实现网络对商品的智能化识别、定位、跟踪、监控和管理。物联网被称为世界信息产业发展的第三次浪潮,它是互联网基础上的业务拓展和网络应用。[1]
2物联网的安全和隐私保护问题
物联网技术主要是为人和人、物和物以及人和物之间建立一个信息共享相互联系的网络,这样就可能存在数据安全和个人隐私被泄露问题。物联网作为一个新型信息共享网络平台,它的发展和建设都要涉及到海量的隐私信息和数据保护,然而当前还是缺乏认可的统一的技术的手段以及基于安全隐私保护监管法规,导致对物联网应用缺乏信心和安全感。只有在隐私信息受到安全保护,在提供完善的信息数据安全保护措施以及完善的安全管理策略保障的前提下,物联网才能被广大用户接受和使用。因此互联网安全问题已经成为制约物联网发展的关键问题,对信息的处理主要包括信息采集、汇聚、融合以及传输和控制等进程,这其中每个环节都决定了物联网安全的特性与要求。[2]
(1)信息采集传输中的安全。信息数据在传输过程中很可能对数据不能进行有效的加密保护,导致在广播或多播等方式的传输过程别无线模式下,传输的信息可能会遭到诸如恶意节点中断、中途拦截、篡改路由协议以及伪造虚假的路由信息等方式对网络中传输的信息进行窃取和破坏。另外,网络中节点多源异构性、多样性,网络节点中电池的续航能力,耐高温、高寒的能力以及道路导航的自动控制能力,数据传输和消息的及时性和准确性等也关系到网络安全。这些对物联网的发展的安全保护体系建设提出了更高的要求。
(2)物联网业务安全。物联网运行中存在着不同的与业务相关的安全平台,像云计算、海量信息处理以及分布式计算系统等,这些支撑物联网业务平台必须为它们相应的上层服务管理以及相应的大规模应用建立一个可靠、高效的安全系统,这些都会对安全技术提出更高的要求。
(3)物联网中隐私信息的安全性。物联网在应用中使用了数量庞大的电子标签和无人值守设备,让隐私信息受到安全威胁,比如设备劫持等是用户的信息甚至关系国家安全的信息遭到泄露,导致用户被恶意跟踪或隐私信息被利用做一些不法勾当。因此物联网的安全的机密性、完整性以及使用的灵活性对于隐私信息的保护至关重要,直接体现物联网的安全可靠性问题。[3]
(4)物联网的稳定、可靠性关系到隐私安全。信息的完整性、可用性在整个物联网应用中贯穿整个数据流,如果由于网络攻击、拒绝服务攻击、路由攻击等都会使物联网的数据流不完整、遭到破坏,物联网业务不能完成,其中一些敏感的隐私信息就有可能被窃取。并且在物联网的应用中需要和大量的其他应用领域的物理设备相关联,因此物联网必须要稳定可靠地运行,保证在数据传输过程中信息完整性,可用性以及安全性。
3物联网安全保障技术
物联网应用的广泛性、普及性和决定性的因素就是物联网安全问题特别是某些关键信息的保护的程度。现在物联网应用领域广泛,其安全性研究牵扯到各个行业,研究难度广。
(1)密钥系统是物联网安全的技术基础。包括非对称和对称密钥系统,一种方式是通过互联网密钥分配中心对密钥系统进行管理和分配。二种方式是通过各个网络中心进行分布式管理,通过各自的网络结构对各个网络节点的通信节点间的密钥协商来管理。密钥算法生成的密钥的安全强度与网络攻击破解之间的代价大小来保障数据包传输过程的机密性,尽量缩短密钥周期性,让先前截获的密钥破解后无法再生成有效的的密钥继续进行非法勾当。[4]
(2)数据处理中隐私信息的处理。物联网在信息采集、传输过程中都关系着隐私信息的安全保护,在可靠、可信的网络安全技术下保证信息在传输中不被篡改或被非法窃取。特别是在物联网应用中基于位置信息的服务是最基本的服务,定位、电子地图或者基于手机信号的位置定位、无线传感网的定位和隐私信息查询等安全保护面临严峻挑战,目前多采用空间加密、位置伪装和时空匿名等方式加以保护。
(3)网络中的路由安全协议。物联网平台跨越了许多不同类型的平台,每个平台都有各自的路由协议和算法,比如基于IP地址的路由协议、移动通信和传感网的路由协议,因此需要解决多网融合中间统一的抗攻击的路由安全算法,尽量防止虚假路由、选择性转发攻击、虫洞攻击以及确认攻击等通过路由的安全漏洞进行攻击的模式。目前比较有效的路由技术是根据路由算法实现进行相关的划分,比如以数据为中心的层次式路由、根据位置信息的路由建立的地理路由。[5]
(4)认证和访问控制技术。物联网的使用者需要通过通信确认对方的身份的真实性并交换会话密钥,其中及时性和保密性是其基础。另外还包括消息认证,通过给对方发送确认消息来确认对方的真实性。物联网的认证机制主要包含公钥认证技术、预共享密钥认证技术、随机密钥预分布技术以及其他辅助认证技术等相结合来对用户进行合法认证和控制。
(5)入侵检测以及容错技术。在有恶意入侵时网络要具有容错性,防止由于恶意入侵导致网络的停止或崩溃,提高网络的抗干扰性。主要表现在网络拓扑中的容错、网络覆盖中的容错以及数据检测中的容错机制等,保证在网络出现断裂、部分节点、链路失效和恶劣环境下特定事件发生时网络、通信正常,数据传输无误。[5]
4物联网安全面临的挑战
物联网发展中信息安全、网络安全、数据安全的问题更加突出,相应关键安全技术的研究关系着其中的成本、复杂性,安全技术的开发和研究与所投入成正比的。物联网的应用范围广而且安全技术复杂,设防和攻击是相辅相成的,逐级提高,破解反破解,攻击反攻击高效并存。因此物联网系统受到攻击的复杂性和不确定性很难把握,不能从根本上防止各种攻击。网络环境、技术条件以及应用的要求的复杂性加大了物联网安全技术研究的难度,再加上当前硬件技术的发展跟不上物联网需求的发展要求。计算设备的更新换代频繁,计算能力的迅速提高对于当前密钥技术的研究也提出了挑战。[6]因此,随着计算机技术的不断发展,物联网就需要能够适应各种变化的全新的具备灵活性、可编程、可重构的蜜钥算法。
参考文献
[1]李海涛,范红.物联网安全性研究与分析[J].信息安全与技术,2012,11.
[2]施荣华,杨政宇.物联网安全技术[M].电子工业出版社,2013.
[3]李维,冯刚.物联网系统安全与可靠性测评技术研究[J].计算机技术与发展,2013,4.
[4]张学记.智慧城市:物联网体系架构及应用[M].电子工业出版社,2014.
[5]张硕雪,宋增国.物联网安全问题分析[J].计算机安全,2012,5.
关键词:网络安全 计算机安全 网络安全技术 信息化
一、威胁网络安全的因素
1.计算机系统和硬件上的漏洞是由操作系统、数据库、应用软件及网络设备等设计存在缺陷和漏洞造成,绝大多数病毒、木马都通过漏洞进行网络传播和攻击。
2.病毒传播和木马威胁是造成网络安全的又一因素。当前很多网络病毒和木马伪装成驱动程序或系统程序,杀毒软件即使发现也无法删除。这些东西能快速在内网和外网传播,占用大量的网络带宽,网络一旦中招,就有可能造成系统崩溃和网络瘫痪,甚至破坏和删除重要的数据文件,窃取用户信息。
3.企业局域网外网连通了Internet互联网,自然面临来自互联网的攻击和威胁,同时内部用户通过内网或外网的攻击也可能存在。在企业局域网内有WEB服务、流媒体服务、数据库服务等等,不同的网络服务会使用不同的网络端口,一些蠕虫病毒则通过端口对网络进行攻击,从而使应用服务无法启用;还有一些不良用户还会利用网络工具对网络中的WEB服务器、文件服务器、流媒体服务器、数据库服务器等进行扫描和攻击,造成网络拥堵,使一些服务器拒绝提供服务,从而造成整个网络瘫痪。常见的网络攻击有:拒绝服务、口令攻击、地址欺骗、IP盗用,窃听等。
4.在实际网络管理中,管理本身也存在漏洞,如安全制度不够细化;对用户访问权限设置和安全策略规划不全,系统和用户密码设置过于简单,系统和设备漏洞补丁未及时更新。
5.许多企业用户未经允许随意接入局域网,造成网络环路、ip地址冲突和交换设备损坏。还有的私自拆换电脑配件,随意更改电脑配置,造成电脑瘫痪。
二、对策措施
1.定期检查所有计算机及服务器硬件,安装安全杀毒软件,完善系统漏洞。
2.定期督促企业用户对自己电脑进行病毒查杀,在任何时间都要做好备份,一旦网络或网站出现故障、数据库或系统崩溃,网络管理人员都能在第一时间处理故障,及时恢复网络运行,做好备份和应急响应。
3.建立内外网络隔离体系。首先,对不同的职能按VLAN进行网络划分,为不同的VLAN之间建立安全访问机制;其次,在网络设备中将IP和MAC进行捆绑,以防止各节点随意修改IP,造成IP地址冲突。最后,在需要联通互联网的电脑上安装隔离卡,通过网络隔离卡分开使用内外网。
4.建设虚拟专用网(VPN),为企业用户在外登陆公司内网提供方便。
5.设置内外网络防火墙。防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统,采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击。
6.部署安全性能更高的安全产品。通过对产品合理的安全策略和设置,实施对公司网络进行流量监控,并对非法入侵和攻击进行拦截,同时对一些异常数据进行过滤,检测出流量异常的端口确定计算机及使用人,从而快速判断出发生安全问题的性质,及时采取相应的安全措施和策略,不断提升网络系统安全级别。在企业中通过应用防火墙,IPS(入侵检测)及SG(防病毒网关)对局域网定期进行网络安全扫描检测。
7.采取相应措施,细化网络安全管理制度。建立安全有效的安全管理制度,对网络中各个环节进行细化管理,责任到人,确定每位员工使用的计算机登记在册,加强管理人员的安全意识,加强对网络管理人员的安全技术和管理培训,从技术上提高应对各种网络安全威胁的能力和提升整体的网络管理水平。
8.加强企业用户的网络安全教育,提高安全和法律意识。培养上网安全意识,用户要及时安装杀毒软件和防火墙,不得随意下载软件或上传含有恶意代码的软件。让用户知道编写和传播病毒、非法入侵和攻击等是违法行为。
总之,企业用户养成良好的网络安全意识和使用习惯,对整个网络的安全运行都有着重要作用。
三、结束语
企业计算机网络安全是一个系统的工程,需要认真构思信息系统的安全需求,将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。企业计算机网络安全也是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括业务系统本身的安全问题,也有物理的和逻辑的技术措施。因此,只有完善保密政策,明晰安全策略以及提高网络管理人才的素质才能完好、实时地保证信息的完整性和确证性,为网络提供强大的网络安全技术支持。
计算机网络安全是个综合性和复杂性的问题。面对网络安全行业的飞速发展以及整个社会越来越快的信息化进程,各种新技术将会不断出现和应用。网络安全孕育着无限的机遇和挑战,作为一个热门的研究领域和其拥有的重要战略意义,相信未来网络安全技术将会取得更加长足的发展。
参考文献
[1]孙健敏.计算机网络技术与应用.西安电子科技大学出版社.2010
关键词:IP专用网络;网络安全;系统
1 概述
近年来IP网络不断发展,资源共享给军事、政治和经济等领域带来了不尽的方便与快捷。在网上可以随时索取所需资料,可以传送电子邮件,还可以网上购物等等。然而当计算机遭受“黑客” 图谋不轨的恶意攻击时,你会发现部分数据已被窃取、修改和破坏,IP网络背后存在的安全隐患也就将暴露无疑。随着IP网络系统和数据等安全问题的出现,引起计算机领域、通信领域以及相关领域的重视。
2 IP专用网络系统安全需求分析
2.1 IP专用网络系统应用特点
根据IP专用网络的使用实际,主要网络应用有实时数据传输、语音信息传输处理、视频信息传输处理、多媒体信息传输处理和由数据库作后台支持的MIS应用系统等。尽管各种网络应用千差万变,但应用主体在网络中扮演的角色是一致的。网络应用中有两种重要的角色:客户与服务器。而网络的信息流向不外乎以下三种方式:客户与客户之间;客户与服务器之间;服务器与服务器之间。IP专用网络系统应用形式是第二、三种结合。
2.2 IP专用网络系统安全需求
无论信息传递的收、发方是谁,网络安全包括:在网络正常运行时,受到外来攻击,能够保证网络系统继续运行。网络管理系统设置等重要资料不被破坏。数据安全保证数据不被窃取、修改和破坏。具有先进的入侵防范体系,对于图谋不轨的恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制,确保应用系统不被非法访问。保障合法用户的正常请求得到安全服务,防范来自网络内部其它系统的破坏所造成的安全隐患。系统和数据在遭到破坏时能够及时恢复。
2.3 IP专用网络系统安全的功能
建立IP专用网络系统安全体系应具备加密通讯、签名/认证、备份/恢复、多层防御、内部信息加密、安全审计等功能。
3 IP专用网络系统安全方案设计
3.1 安全系统总体结构
从提供网络有效信息服务的角度来看,网络系统安全包括:硬件配置及基础设施应确保支持系统的不间断运行;软硬件运行环境应确保系统正确、可靠运行。从网络系统组成的角度来看,系统安全可分为五个层次:物理层的硬件平台安全、系统层的操作系统和数据库系统安全、网络层的网络系统安全、应用层的应用系统安全和管理层的系统安全管理。
3.2 物理层安全
硬件平台的安全主要是支持软件系统正确、可靠运行,同时又要防止物理上可能造成的信息泄露。无线信道必须采取加密手段;外网连接必须采用硬件防火墙设备;选用符合电磁兼容性等要求的IP专用网络设备;机房建设应符合电磁兼容性要求。
3.3 系统层安全
网络操作系统安全是防止系统在正常运行状态下遭受破坏;数据库系统安全主要保护以库结构形式存放的数据,防止非授权用户以各种非法途径获取,并确保数据库系统运行正常。
建立用户权限认证体系,健全系统访问日志,提供有效的监督机制。用户权限认证属于网络层的安全策略。系统管理员负责监督管理所有系统资源的分配、控制,分配不同级别的用户权限,进行数据库的备份与恢复;系统工程师负责操作系统中的所有设置和网络参数;系统操作员负责操作系统中的部分设置和网络参数;只读用户只能监视系统中的设备状态。
系统内部安全防范也可采用先进的具有中国版权的指纹识别系统,指纹识别系统采用活体指纹实行密码登录,确保系统安全,它与口令双重加密,更无懈可击。
3.4 网络层安全
网络隐患扫描是在非法入侵之前,帮助系统管理员主动对网络上的设备进行安全测试。外部扫描是模拟黑客攻击的过程在网络上进行扫描,并分析扫描信息,结合不断更新的漏洞库来发现网络存在的隐患;内部扫描是模拟系统管理员从主机内部扫描,检查一切和网络安全有关的配置是否正确,从而从内部清除隐患。入侵检测系统用来检查一个局域网段上的通信,可以和防火墙设备配合来监测来自外部的通信;可以监测内部网络用户对于敏感数据或应用系统的使用情况。当发现可疑行为时,网络监测预警系统能够根据系统安全策略做出反应,实时报警、事件登录、自动阻断通信连接或执行其它有效安全策略。
3.5 应用层安全
应用层安全策略可采用防止病毒侵害手段,建立完整的防病毒体系。如在网络管理系统环境,购买并安装Norton Antivirus或其他国产网络防杀病毒软件。为保护主机端数据的完整性,也采用有效的数据备份及恢复系统。
3.6 管理层安全
制定相应的管理制度和操作规范:制定机房管理制度、系统管理员职责、机房值班员守则、数据库管理规定及网络安全管理规范等;制定严格的操作规程,明确各级人员职责和权限,各负其责,不允许超越自己的管辖范围;制定完备的系统运行维护制度;强化各类人员的安全意识,严格按照有关规定办事。
4 结束语
IP专用网络安全的需求分析必须切合实际,网络安全设计的目标和原则要合理可行,IP专用网络安全方案的设计方法适合其它类型网络的安全设计。全面的安全策略需要投入大量的软、硬件设备,付出可观的资金。根据IP专用网的实际需求和经费支持情况,可以适当采用方案中的部分安全策略,达到理想的安全防范目的。
参考文献
【 关键词 】 医院;网络安全;安全防护
Network Security Analysis and Protection in the Construction of Hospital Informatization
Han Hui
(People's Hospital of Pei County,Jiangsu Province JiangsuPeixian 221600)
【 Abstract 】 Due to the development of modern medical technology, the hospital of dependence on the network and system has been enhanced, hospital network security directly related to the normal conduct of business. In this paper, through the analysis of internal, external security risks of hospital network that may exist, to solve the security problem through the security technology and management system, forming a system, the associated security architecture, provides a feasible solution for network security protection of hospital.
【 Keywords 】 hospital; network security; security protection
1 前言
随着医院信息化的不断发展,医院的HIS、CIS、RIS、LIS等信息系统大大提高了医疗水平与诊断准确性及效率,但是随着业务系统的逐渐扩展,对于网络的管理越来越复杂,而恶意软件的猖獗,对医院的网络造成了更多安全威胁,网络安全是一项动态工程,既需要技术手段,更需要人为配合,如何保障医院网络的健康运转行,已成为当前医院信息化建设过程中所需关注的重要事项之一。
2 医院信息化建设中存在的安全隐患
2.1 影响医院网络安全的技术因素
医院在进行信息化建设过程中,与其它局域网相同,涉及到基础链路、网络设备、存储设备、服务器、客户端、业务系统等多种元素。医院信息化水平的不断发展大大提高医院的治疗、服务水平,但是其网络安全问题也日益突出,如物理环境的安全性、操作系统的安全性、数据备份的安全性等问题,采取传统的防火墙与防病毒等被动式的防御措施已无法解决各个层面可能产生的安全问题,由此导致的重要数据损坏、丢失等问题,不仅影响了医院业务网络的正常运转,同时也威胁到了患者的隐私数据甚至生命安全,需要更全面的安全解决方案。
安全设备简单罗列,未规划一个整体的安全防御体系。医院在进行安全防范时,存在一定的思维误区,认为有了防火墙就可高枕无忧,关于网络的管理可做可不做,实际上防火墙仅是安全类产品中的之一,其功能存在一定的局限性,对于基于网络内部或旁路的攻击无法抵御,对基于内容的攻击也无法防范。IDS设备也是如此,仅可对存在的安全问题提供报警信息,并不能有效防御;数据库审计,虽可以记录到登录到数据库的用户所做的操作,可定位到操作的源IP地址,但是无法防止对数据的恶意操作者,如窃取、篡改等操作的具体医务人员,也即无法追究到最终的责任人。
安全措施操作复杂,且无关联性。如IP与MAC地址绑定,产生的问题之一是管理人员需要单独操作每台交换机,对其绑定信息进行逐条输入,工作量非常大,操作不便。问题之二是拥有网络基础知识的内部人员可轻松更改IP地址与MAC地址,导致绑定失效。再如医院主机上安全了杀毒软件,但是由于数量之多,且对各个主机的杀毒软件缺乏统一管理,对于病毒库是否更新、主机是否开启了杀毒软件都不得而知,操作系统的补丁更新也存在同样的问题。医院可能花费大量的人力、物力制定了大量的安全措施与手段,但是对其可操作性,相互之间的关联性未做评估,造成形同虚设。
2.2 影响医院网络安全的人为因素
无专门的网络管理部门,无法在出现问题时责任到人;未制定统一的医院信息系统建设的安全规范或标准;无强制性的安全检查、监督机制,且无第三方专业机构介入;无网络安全上岗人员资质认定标准,无定期的网络安全知识培训、宣传、考核制度。
由以上因素可能造成严重的安全问题,如医院内部的人员将个人电脑接入医院内部网络,可能会将携带的病毒感染至医院内网,影响业务系统的正常运行;或医院内部人员将业务网络的电脑接入至互联网,也可能将互联网上的木马、病毒传播至医院内网;医院内部人员利用职务之便,直接访问数据库窃取重要数据、篡改医患的数据数据,造成医院的重大经济损失。此外,黑客可利用电脑,非法接入医院的业务网络,发动攻击,由于医院与医保等社保网络是必须相联进行相应的数据验证,因此一旦被攻击,其后果可想而知。
3 医院信息化建设中的安全防护策略
医院网络安全构架见图1所示,通过管理与技术两方面对其安全性进行保障。
3.1 网络安全技术手段
3.1.1运行环境安全
物理环境是所有设备、业务系统运行的基础,因此它的安全性也是整个网络安全的基础。机房中旋转服务器或网络设备的机柜均上锁,并设专人保管钥匙。机房内安装专业视频监控设备,配备防雷、防静电、防尘装置。重要的网络设备安装UPS或提供双路供电;部分重要科室的汇聚层交换机应设计为互相冗余,避免因单点传输故障造成的业务中断,确保医院重要业务的不间断运行。医院网络基础建设中应采取VPN技术,防止外部网络未授权用户的非法访问。
3.1.2网络边界安全
安全隔离设备:用于实现医院内网与互联网的安全物理隔离,为各类威胁进入医院内网设置第一道屏障,同时可根据配置实现相应的安全数据交换。
下一代防火墙:用于对医院内部网络与外部网络通信内容的扫描,过滤来自互联网的攻击,如DOS攻击、Java、JavaScript侵入等,还可用于通过关闭不必要的端口增强安全性,禁止来自非法站点的访问,用以抵御不明通信,除了传统防火墙功能外,下一代防火墙还具备应用识别功能,包括识别普通应用与移动应用中包含的风险,识别应用中的用户信息,并具备主动防御功能。
入侵检测系统IDS:依照相应的安全策略库,监测网络与业务系统的通信情况,对不符合安全策略的可能入侵情况进行告警,并可与防火墙进行联动,阻断攻击事件,抵御主机资源免受来自内部或外部网络的攻击。
划分VLAN划分:用于划分不同科室的用户可访问的信息资源,避免医院内部网络遭受广播风暴,同时可降低工作人员的管理与维护负担。
3.1.3重要信息系统安全
流量监测系统:此处的流量监测系统是针对医院的重要信息系统,一般旁路部署于三层交换机,通过镜像端口进行各个应用系统流量的分流,分别可对其访问流量、访问用户、停留时间等进行全面监测与分析,通过用户自行设置的阀值进行判断,一旦发现异常则告警。
SAN存储系统:对数据存储设备进行集中管理与整合,可实现存储的冗余,并利用数据的权限设置、数据备份、容灾等技术保障数据的安全性。
3.1.4桌面终端安全
防病毒软件:建立可自动下载、统一分发、同步更新、集中管理的防病毒中心,无论是最新病毒,还是流行病毒,无论是基于Windows,还是Linux,一旦发现其入侵到任意系统,便可即刻清除。
终端管理:主要用于对终端使用USB、移动硬盘等外接设备的控制,安装和使用互联网非法软件的控制,访问非法网站的控制等功能,将安全风险降到最低。
软件升级:主要用于进行系统补丁的即时更新与分发,修复全网的安全漏洞。
3.1.5全网安全监测与管理
安全监测平台:通过与其它安全设备的联动,实现对医院内部全网的所有基础设备与安全设备进行全面监测,包括业务的运行情况、性能、配置的分析与预警、风险分析并生成量化报告、将安全运维的流程进行标准化等功能,将单点的安全防范提升为整体的安全把控。
云安全管理平台:一般借助虚拟化平台,将各类安全措施进行集中管理,如数据防丢失(DLP)、安全信息与事件管理(SIEM)与终端保护方案等,用于提供相应的云服务,以虚拟化降低维护成本,同时高效地解决医院内部网络安全问题,例如,通过防病毒厂商与VMware vSphere 5结合实现服务器的安全检测,实时地识别网络通信和阻止虚拟架构的配置更改,可有效停止用户的未授权操作,并在不影响系统正常运行的前提下抵御0day攻击。
3.2 网络安全管理制度
一方面,需要建立套较为完善,且操作性较强的管理制度,如业务系统管理制度、病毒防范制度、安全管理登记制度、日常维护记录查看制度等,对于未遵守相关规章制度的人员有相应的惩罚措施。另一方面,需要制度详尽的应急预案,并成立常年的应急小组,根据事件的严重事件进行适时采用,当发生灾难时尽快恢复,将医院中断时间、故障损失与社会影响降到最低,并形成问题整改的长效机制。此外,需要对医院网络的所有使用人员进行安全意识培训,尤其是对于网络管理人员,需定期对其进行考核,以确认其岗位胜任与否。
4 结束语
网络发展越智能,其伴随而来的安全问题越复杂,医院在进行病患病情分析、诊断、治疗等多个环节都需要借助信息系统,医院网络的正常运转直接影响到其业务与服务的开展,因此医院网络的安全性与医院利益息息相关,需要从技术方面、管理方面,上至领导,下至工作中的每个员工共同来维护其安全性,共同铸造一道牢不可破的安全防线。
参考文献
[1] 管丽莹,黄小蓉.医院计算机网络及信息安全管理[J].现代医院,2006,6(8):144.
[2] 王玮,鲁万鹏,牟鑫.医院信息系统中的安全运行保障[J].中国医疗设备,2008,23(1):63-65.
[3] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2006:320.
[4] 王辉.浅议网络信息安全[J].农业图书情报学刊,2008,20(6):112-115.
[5] 陈克霞,袁耀岚,李平.计算机网络信息安全策略探讨[J].数字石油和化工,2008,4:38-40.
[6] 肖敏.稳定与高速兼顾 安全与管理并重――珠江医院网络改造纪实[J].中国医药导报,2007,4(25):11.
[7] 宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):104.
关键词:信息安全;多重防护;专业人才
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)28-0045-02
随着信息化时代的来临,网络技术获得了长远发展,网络已经融入到人们的生活中。伴随着智能手机和移动互联的发展,网络更是影响到了人们生活的方方面面。人们的饮食起居、娱乐活动、交通出行等等,都已经和网络挂钩。在网络数据吞吐量如此之大的今天,如何做好网络信息的安全保障工作,是网络公司的首要考虑问题,这一问题也是用户的关注焦点。
1 计算机网络安全的概念
1.1网络安全的含义
计算机网络安全是指通过采取技术控制措施,以加强计算机网络的安全管理工作,保障网络服务器的数据安全储存、数据的安全传输、数据的加密安全可靠、避免因黑客攻击或安全漏洞所造成的网络数据泄露。网络安全分为两个部分,一个是硬件部分,另一个是软件部分。硬件部分是网络的硬件运行与维护,确保网络硬件的良好、可靠运行,不因物理损伤而造成网络数据的损失。软件部分是通过软件防控,保证数据的安全性、可靠性、保密性。
1.2网络安全的脆弱性
计算机网络虽然功能强大,但是网络结构复杂,系统庞大,势必存在着一定的缺陷与漏洞。这些漏洞各种各样,对网络造成了严重的威胁。网络的开放性是造成计算机网络脆弱的原因之一,网络的开放性指网络对所有用户是开放的,使用网络的人涵盖各个阶层,而且网络技术也是开放的,这种开放既促进了网络技术的发展,它极大地促进了网络的开发基础和开发人员的参与热情,但是这种开放也给网络的发展带来了威胁,它使网络极易遭受各个方向的攻击。另一个造成网络脆弱的原因是网络的自由性,网络不是万能的,但是网络可以超距离的实现人类的很多追求,任何人在网络都可以自由发言,网络的这种自由既给了网民最大限度地自由,也给了网民违法犯罪的机会,近年来,高智商、高技术的网络犯罪都是由网络的自由性造成的。网络的脆弱体现在开放性和自由性,这两种特性使网络在便利人们生活的同时,也承受着极高的风险。
2 计算机网络安全方面存在的主要问题
2.1因黑客攻击造成的威胁
黑客一词是hackerde 中文翻译,本意是专门寻找计算机BUG的,由于经济利益的驱动,黑客开始使用病毒软件对计算机网络进行攻击。早些年时,黑客往往使用“灰鸽子”进行远程控制和钓鱼,以达到控制别人主机的目的。随着网络技术的发展,黑客开始更高级的病毒,通过网络进行网络攻击,据统计,因为黑客网络攻击所造成的经济损失,占网络总收益的15%,每年全球因网络攻击造成的损失高达4000亿美元。黑客通过公共通用网络侵入企业、事业单位、个人甚至政府机关的内部网络,窃取有价值的数据和资料,已达到赚取巨额佣金的目的。虽然各个公司都有专门的网络技术维护人员,但是与处于暗处且手段层出不穷的黑客对比,仍是无法有效应付。2015年7月28日,福建福州市一名股民因为黑客窃取了他的股票交易账户和密码,将他价值100多万的股票低价抛出,给他造成了严重的经济损失。这是一例黑客通过网络实施病毒攻击的真实案例,这个案例只是冰山一角,每年我国因为黑客攻击造成的经济损失高达近百亿元人民币,因此黑客攻击是计算机网络安全存在的巨大隐患。
2.2计算机病毒对网络造成的威胁
计算机病毒是利用计算机代码漏洞制作的攻击性软件,以达到攻破网络安全保护层,侵入网络内部或者破坏网络的正常运行,造成网络的瘫痪。计算机病毒不仅仅利用网络系统的漏洞进行编程,也利用网络设备的软件进行攻击。正是病毒攻击的双重性,造成网络系统在遭受黑客攻击时往往变得“脆弱”。病毒多种多样,攻击的方式也是五花八门,不走寻常路。病毒按其攻击方式可以分为源码型病毒、嵌入性病毒、外壳型病毒、操作系统病毒等。网络病毒主要通过网络感染主机和网络设备,实现大范围的传播和迫害,给个人和企业带来巨大的经济和资源损失。最常见的网络病毒是“木马”病毒,这类病毒具有极高的潜伏性、传播性、爆发性,且一旦被激活,不易被清除干净,是网络系统最易遭受到的病毒攻击种类。以腾讯公司为例,腾讯公司是国内著名的门户网站和社交平台,旗下业务涉及社交、游戏、新闻等各个行业,其网络服务器更是每天吞吐巨量数据,据腾讯官方宣称,其8月份时每天拦截数百万次黑客攻击,其网络系统的安全措施面临巨大的压力,在2015年7月22日时,腾讯云遭受有史以来最大的数据损失,泄露数据高达300G,据悉,这是一起病毒攻击引发的数据泄露事件。由此可见,计算机网络系统因为计算机病毒而遭受了巨大的风险和压力。
2.3计算机网络协议的脆弱性
计算机网络协议是为了便于计算机通过网络按照一定的约定进行合法的“交流”,这种交流时为了保证计算机网络的安全。常见的计算机网络协议有TCP/IP协议、IPX/SPX协议、NetBEUI协议等,这些协议便于各个计算机主机通过网络交流信息,也使网络获得了大范围的传播,实现了网络的开放性和国际性。但是计算机网络协议的初衷是为了便于网络信息的交互,在网络安全性上设计不足,网络协议的开放性和自由性过度,在网络协议的认证和加密上缺乏安全保障,给计算机网络留下了安全漏洞。计算机网络技术发展速度快,网络协议的制定跟不上网路技术的发展速度,面临新出的网络威胁,应对力度不足。最常用的TCP/IP协议经过多年使用,其代码编程和网络架构早已被熟知,在安全上存在着众多安全漏洞,尤其以IP为重灾区。
3 加强计算机网络安全的防范措施
3.1网络入侵安全检测机制
在网络入侵检测上已由静态的防范过渡到了动态的防范措施,通过建立网络入侵安全检测机制可以实现网络的识别行为:识别入侵网络的行为、识别入侵网络的操作者、检测网络系统的漏洞并报警、记录网络入侵的活动、为网络系统漏洞的修复提供必要的信息。而且网络入侵安全机制具有经济性、安全性、时效性和可扩展性。具有良好的发挥空间,通过建立IDS系统,可以为网络安全加一把”锁“,这把锁是存在于网络的各个层面,是建立在网络的整体中的,为网络系统在遭受攻击时可以主动的、实时的记录攻击活动并报警,为网络系统的反击和防止攻击行为的扩大,提供必要的时间。
3.2采用网络数据安全加密技术
网络系统中最重要的便是网络数据,为了加强网络数据的安全,需要对其采用数据加密技术。在网络系统中采用数据加密技术,一是对网络中存储的数据进行加密;二是对传输中的网络数据进行加密;三是对接收方的数据进行数据加密;四是对上传的数据进行加密。通过采用对数据进行多重加密,加大数据被破解的难度。在网络数据的加密上可以使用DES加密算法和专用密匙。其中DES加密算法是采用了64位数字算法,极大地提高了网络数据的安全。
3.3加强网络系统的安全管理
加强网络安全系统的安全管理是针对网络系统管理不完善的现状提出的应对举措。首先要加强对网络设备的安全管理,将网络设备置于安全的、适宜的工作环境中,避免因物理因素造成的网路设备损坏,例如今年发生的支付宝发生的通讯中断故障便是因为通信光纤被挖断所导致的,因此需要在网络设备上采取多重防护措施。其次要经常进行网络系统的杀毒工作,及时更新病毒库,加大对网络病毒的查杀工作。建立动态的防护措施,由专业的技术人员进行专业操作,采用防火墙技术和云安全技术,加强网络的安全防范。最后可以使用VPN网络架构,将内网严密的保护起来,使用虚拟网络进行数据的传输。
4 结束语
计算机网络的安全工作需要跟着时代信息技术的发展而发展,需要国家立法,打击网络犯罪行为,需要采用多种防护措施进行防御,但是这种防御不是被动防御,而是积极防御,以有备备无患。
参考文献:
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
防护措施:
1、对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
2、数据加密防护:加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
3、网络隔离防护:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。
(来源:文章屋网 )
Abstract: As the technology becomes more advanced, network is gradually integrated into people's lives, and the network security issues are coming too. This article put forward the analysis method of network security based on weaknesses correlation from the network security status quo and the definition of the weakness relationship.
关键词: 弱点;相关性;网络安全;方法
Key words: weakness;correlation;network security;method
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2013)02-0194-02
1 网络安全现状
目前网路安全问题越来越突出。网络攻击者不仅利用单个弱点来攻击网络系统,还一起组合攻击,所谓组合攻击并不是组织多个攻击者一起攻击,而是攻击者把多个主机的弱点结合起来对网络进行攻击,这对网络安全来说是极大的威胁。为了对网络安全进行评估,就必须深入管理网络安全系统。网络安全性的分析方法已经不能满足当前的形势,因为它具有单一性,并没有综合各个因素来考虑。所以,目前最重要的是提高网络安全性分析方法,要对基于多个弱点相关性的网络安全性分析方法进行深入研究。
2 弱点相关性的定义
网络系统在特定一个环境中,虽然有其安全保护措施,但是攻击者还是可以利用一个固定节点上的弱点来盗取权限,随后,又利用此权限来盗取下一个权限,反反复复,最后使整个系统的权限都被盗取。在权限一个接着一个被盗取的过程中,我们可以看出弱点是具有非常强的关联性的,只要具有关联性盗取权限的工作就变得越来越简单了。可以一眼看出的是,这些弱点存在的方式是多样的,既可以在同一主机的不同软件上,也可以在不同的网络节点上。基于这样的情况来看,我们就可以从相关性这一概念入手,对弱点在环节上的相互关系作解释说明,把每个弱点在攻击中发挥出的不同作用表现出来,只有这样才能从多个角度来考虑弱点对网络系统产生的影响,对网路系统做更进一步的评估工作。
3 基于弱点相关性的网络安全性分析方法
3.1 网络安全分析类型
3.1.1 物理安全分析 对于整个网络安全系统来说,网络物理安全分析法是整个网络安全的基础条件。在某些网络系统比较弱的工程建设中,比如说校园网络工程建设,它的耐压值是非常低的。为了不出现一些状况,在进行网络工程建设的设计前就应该做好相关准备工作,在正式施工的过程中,要先考虑到人和设备不受外界因素影响,比如说雷击等自然灾害,还要考虑其布线系统与各个系统之间的距离、安全等。需要注意的是,必须要建设其防雷系统,因为雷击这种自然现象对系统的危害是非常大的。在考虑安装防雷系统时,不仅仅是需要考虑到其计算机所在建筑物得防雷,还要考虑到计算机内部的防雷装置。总而言之,物理安全的风险主要有水灾、火灾、地震等自然灾害,操作失误、错误等人为灾害,一定要对这些方面做出相应的解决措施,避免出现网络系统的物理安全风险。
3.1.2 网络结构安全分析 对于网络系统来说,网络拓扑结构设计也是会影响其安全性的。一旦外部网与内部网通信,内部网络的所有设备都会受到一定的威胁,对于同一网络的系统来说也会受到其影响。透过一定的网络传播,还会对连上Internet/Intranet的其他的网络有所影响。在某些时候,还涉及到法律和金融等敏感领域。所以,我们在设计其网络系统时一定要考虑到将服务器公开,还要对内部的资料与外网进行一定的隔离,避免出现机密泄露的情况。还需要注意的一点是,要对外网进入的请求过滤,允许安全的信息进入。
3.1.3 系统安全分析 这里的系统安全指的是对全部网络操作系统以及网络硬件平台进行一个检测的工作,只允许安全的信息进入。就目前的情况来看,并没有绝对安全的操作系统,只有安全性比较高的系统罢了。举一个例子来说,Microsoft 的Windows NT以及其它任何商用UNIX操作系统,里面必然有其Back-Door。综上所述,完全安全的操作系统是没有的。所以每个用户都应该综合考虑然后对网络进行分析工作,一定要选择安全性高的操作系统。除了要选用安全的操作系统外,还要对其系统定期进行检查工作,设定一些安全配置。还需要注意的一点就是,要对登录过程进行严格的认证,确保用户的合法性,操作者的权限限制也要控制在最小的范围之内。
3.2 方法
3.2.1 物理措施 基于弱点相关性的网络安全系统,是可以对其采取物理措施的,举一些例子来说,比如网络的关键设备,其包括交换机和大型计算机等;制定一定的网络安全制度,还可以采取一些方便安装的措施,像防火装置和防辐射装置等。
3.2.2 访问控制 对用户的访问权限进行严格的认证,这些认证主要指的是用户访问网络资源的时候。举一个例子来说,一个用户在访问一个网站,一般情况下,在这个网页打开之前,一定会弹出一个对话框,判定这个网页是否具有一定的安全性,就是在这个基础上,对其系统的安全性再进一步的提高,加大对带有病毒的网页控制工作。
3.2.3 数据加密 在日常生活中,对事物进行加密措施是很常见的,网络安全工作必然也少不了这一重要环节。对于网络的资料数据安全来说,机密是最基本也是最重要的手段之一。加密的作用是避免出现信息外泄的情况,是防御有企图的人的有效方法,另外,还有降低计算机中病毒的概率。
3.2.4 网络隔离 网络隔离有隔离卡和安全隔离两种方式。隔离开主要用于对象是单台机器,而安全隔离的范围相对来说是比较广的,它是用于整个网络的,这是它们最显著的区别。
3.2.5 其他措施 除了上面介绍到物理措施、访问控制、数据加密以及网络隔离四种方法以外,对信息的过滤、容错、备份等措施也是有一定的作用的。在近些年来,许多研究者在基于弱点相关性的网络安全中提出了许多的方法,其方法运用到实际操作中也取得了一定的效果,不管是数据加密,还是防火墙技术,都是基于弱点相关性的网络安全性分析方法。
3.3 主机弱点列表如表1。
参考文献:
[1]张晗,万明杰,王寒凝.战术互联网同质层基于信任评估的安全分簇算法[J].计算机应用,2007,(10).
[2]刘密霞.网络安全态势分析与可生存性评估研究[D].兰州理工大学,2008.
[3]杨秀华,李天博,李振建,杨玉芬.基于网络蠕虫特征的检测技术研究[A].中国仪器仪表学会第九届青年学术会议论文集[C].2007.
[4]甘早斌,吴平,路松峰,李瑞轩.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究,2007,(11).
