影響網路安全的主要因素
由於企業網路由內部網路、外部網路和企業廣域網組成,網路結構復雜,威脅主要來自:病毒的侵襲、黑客的非法闖入、數據"竊聽"和攔截、拒絕服務、內部網路安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。
下面來分析幾個典型的網路攻擊方式:
1.病毒的侵襲
幾乎有計算機的地方,就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內,伺機進行自我復制,並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大,所以它的危害最能引起人們的關注。
病毒的"毒性"不同,輕者只會玩笑性地在受害機器上顯示幾個警告信息,重則有可能破壞或危及個人計算機乃至整個企業網路的安全。
有些黑客會有意釋放病毒來破壞數據,而大部分病毒是在不經意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件,這導致了病毒的傳播。這些病毒會從一台個人計算機傳播到另一台,因而很難從某一中心點對其進行檢測。
任何類型的網路免受病毒攻擊最保險和最有效的方法是對網路中的每一台計算機安裝防病毒軟體,並定期對軟體中的病毒定義進行更新。值得用戶信賴的防病毒軟體包括Symantec、Norton和McAfee等。然而,如果沒有"憂患意識",很容易陷入"盲從殺毒軟體"的誤區。
因此,光有工具不行,還必須在意識上加強防範,並且注重操作的正確性;重要的是在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
2.黑客的非法闖入
隨著越來越多黑客案件的報道,企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網路的安全漏洞,不經允許非法訪問企業內部網路或數據資源,從事刪除、復制甚至毀壞數據的活動。一般來說,黑客常用的入侵動機和形式可以分為兩種。
黑客通過尋找未設防的路徑進入網路或個人計算機,一旦進入,他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網路,所有這些都會對企業造成危害。黑客非法闖入將具備企業殺手的潛力,企業不得不加以謹慎預防。
防火牆是防禦黑客攻擊的最好手段。位於企業內部網與外部之間的防火牆產品能夠對所有企圖進入內部網路的流量進行監控。不論是基於硬體還是軟體的防火牆都能識別、記錄並阻塞任何有非法入侵企圖的可疑的網路活動。硬體防火牆產品應該具備以下先進功能:
●包狀態檢查:在數據包通過防火牆時對數據進行檢查,以確定是否允許進入區域網絡。
●流量控制:根據數據的重要性管理流入的數據。
●虛擬專用網(VPN)技術:使遠程用戶能夠安全地連接區域網。
●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應用程序運行。
●代理伺服器屏蔽(Proxyblocking):防止區域網用戶繞過互聯網過濾系統。
●電子郵件發信監控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發送,以避免企業員工故意或無意的泄露某些特定信息。
3.數據"竊聽"和攔截
這種方式是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。一些企業在與第三方網路進行傳輸時,需要採取有效措施來防止重要數據被中途截獲,如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法,其可以將數據變成只有授權接收者才能還原並閱讀的編碼。
進行加密的最好辦法是採用虛擬專用網(VPN)技術。一條VPN鏈路是一條採用加密隧道(tunnel)構成的遠程安全鏈路,它能夠將數據從企業網路中安全地輸送出去。兩家企業可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業區域網的VPN鏈路來安全地訪問企業內部數據。
4、拒絕服務
這類攻擊一般能使單個計算機或整個網路癱瘓,黑客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網路用戶使用該服務或破壞正常的商務活動。例如,通過破壞兩台計算機之間的連接而阻止用戶訪問服務;通過向企業的網路發送大量信息而堵塞合法的網路通信,最後不僅摧毀網路架構本身,也破壞整個企業運作。
5.內部網路安全
為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。例如,銷售人員不能夠瀏覽企業人事信息等。但是,大多數小型企業無法按照這一安全要求操作,企業規模越小,越要求每一個人承擔更多的工作。如果一家企業在近期內會迅速成長,內部網路的安全性將是需要認真考慮的問題。
6.電子商務攻擊
從技術層次分析,試圖非法入侵的黑客,或者通過猜測程序對截獲的用戶賬號和口令進行破譯,以便進入系統後做更進一步的操作;或者利用伺服器對外提供的某些服務進程的漏洞,獲取有用信息從而進入系統;或者利用網路和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘,以獲取進一步的有用信息;或者通過系統應用程序的漏洞獲得用戶口令,侵入系統。
除上述威脅企業網路安全的主要因素外,還有如下網路安全隱患:
惡意掃描:這種方式是利用掃描工具(軟體)對特定機器進行掃描,發現漏洞進而發起相應攻擊。
密碼破解:這種方式是先設法獲取對方機器上的密碼文件,然後再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊,攻擊者也有可能通過猜測或網路竊聽等方式獲取密碼。
數據篡改:這種方式是截獲並修改網路上特定的數據包來破壞目標數據的完整性。
地址欺騙:這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址,以此來獲得對方的信任。
垃圾郵件 主要表現為黑客利用自己在網路上所控制的計算機向企業的郵件伺服器發送大量的垃圾郵件,或者利用企業的郵件伺服器把垃圾郵件發送到網路上其他的伺服器上。
基礎設施破壞:這種方式是破壞DNS或路由器等基礎設施,使得目標機器無法正常使用網路。
由上述諸多入侵方式可見,企業可以做的是如何盡可能降低危害程度。除了採用防火牆、數據加密以及藉助公鑰密碼體制等手段以外,對安全系數要求高的企業還可以充分利用網路上專門機構公布的常見入侵行為特徵數據-通過分析這些數據,企業可以形成適合自身的安全性策略,努力使風險降低到企業可以接受且可以管理的程度。
企業網路安全的防範
技術與管理相結合:技術與管理不是孤立的,對於一個信息化的企業來說,網路信息安全不僅僅是一個技術問題,也是一個管理問題。在很多病毒或安全漏洞出現不久,網上通常就會有相應的殺毒程序或者軟體補丁出現,但為什麼還會讓病毒肆虐全球呢?為什麼微軟主頁上面及時發布的補丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢?歸根結底還是因為很多用戶(包括企業級用戶)沒有養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。
要保證系統安全的關鍵,首先要做到重視安全管理,不要"坐以待斃",可以說,企業的信息安全,是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,並切實認真地實施這些策略,才能達到提高企業信息系統安全性的目的。
風險評估:要求企業清楚自身有哪些系統已經聯網、企業網路有哪些弱點、這些弱點對企業運作都有哪些具體風險,以及這些風險對於公司整體會有怎樣的影響。
安全計劃:包括建立企業的安全政策,掌握保障安全性所需的基礎技術,並規劃好發生特定安全事故時企業應該採取的解決方案。企業網路安全的防範策略目的就是決定一個組織機構怎樣來保護自己。
一般來說,安全策略包括兩個部分:一個總體的安全策略和具體的規則。總體安全策略制定一個組織機構的戰略性安全指導方針,並為實現這個方針分配必要的人力物力。
計劃實施:所有的安全政策,必須由一套完善的管理控制架構所支持,其中最重要的要素是要建立完整的安全性解決方案。
物理隔離:即在網路建設的時候單獨建立兩套相互獨立的網路,一套用於部門內部辦公自動化,另一套用於連接到Internet,在同一時候,始終只有一塊硬碟處於工作狀態,這樣就達到了真正意義上的物理安全隔離。
遠程訪問控制:主要是針對於企業遠程撥號用戶,在內部網路中配置用戶身份認證伺服器。在技術上通過對接入的用戶進行身份和密碼驗證,並對所有的用戶機器的MAC地址進行注冊,採用IP地址與MAC地址的動態綁定,以保證非授權用戶不能進入。
病毒的防護:培養企業的集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
防火牆:目前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆的安全性能很高,是最不容易被破壞和入侵的。
網路安全問題簡單化
大多數企業家缺乏對IT技術的深入了解,他們通常會被網路的安全需求所困擾、嚇倒或征服。許多企業領導,不了解一部網關與一台路由器之間的區別,卻不願去學習,或因為太忙而沒時間去學。
他們只希望能夠確保財務紀錄沒被竊取,伺服器不會受到一次"拒絕服務攻擊"。他們希望實現這些目標,但不希望為超出他們需求范圍的技術或服務付出更高的成本,就像銷售計算機設備的零售店不願意提供額外服務一樣。
企業網路安全是一個永遠說不完的話題,今天企業網路安全已被提到重要的議事日程。一個安全的網路系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。
網路安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點,把握住企業網路安全的大門,從而確保證企業的順利成長
⑵ 網路安全員應該具備的條件
網路安全管理員必須具備以下條件:1、堅持「四項基本原則」,遵照國家公安部關於使用網路的管理條例及國家有關網路工作的規定,嚴守國家機密;2、思想端正,作風嚴謹,虛心好學,不斷追求;3、服從領導,團結協作,雷厲風行,完成本職;4、熟悉本單位情況,掌握本單位信息知識及一定的計算機基礎知識,具有一定的計算機網路管理技能。網路安全管理員負責網路安全運行,保證辦公、學習、生活等提供安全、暢通的高速信息通道。
⑶ 請問網路安全方面的標准有哪些
前幾天我朋友的電腦中了病毒,病毒感染了很多EXE文件,修復難度很大,無奈只好格式化掉,損失慘重。我的電腦很少中毒,至少在我知道的情況下我的電腦沒用中過毒。消滅病毒的難度是很大的,但做好預防工作卻是非常容易的。下面是我的一些做法,個人認為做好下面的措施,電腦中毒機會的就會是微乎其微,這些措施只針對Windows操作系統。
1、必須安裝防火牆和殺毒軟體
不管你是怎樣的高手,這兩種軟體還是需要安裝的。雖然在面對新病毒時,殺毒軟體會變得手足無措,倒不如自己上網找殺毒辦法。但有一個殺毒軟體就是多了一道屏障,不管這道屏障有多高或多矮,始終是利大於弊的。殺毒軟體我用的是金山毒霸,我覺得不錯,建議安裝金山毒霸!
防火牆也是必須要安裝的,同時最好還安裝一些監測網路進程的程序,時刻監視有無惡意程序在進行非法操作。
另外,一些流氓軟體專殺也是非常有用的,比如360安全衛士,金山清理專家等。
2、為Administrator用戶降權
在Windows操作系統里,Administrator是最高級的用戶,在正常的登陸模式是無法看到的,因此很容易忽略由Administrator用戶帶來的安全問題。
Administrator用戶的初始密碼是空的,如果沒用安裝防火牆,黑客很容易通過Administrator帳戶進入你的電腦。這時做什麼都已經為時已晚了。
事實上,這並不是降權,是創建一個偽造的,無實際權利的Administrator用戶。
具體操作如下,先以一個非Administrator的管理員帳戶登陸windows,然後打開:控制面板-管理工具-計算機管理-本地用戶和組-用戶,刪除Administrator用戶,再創建一個新的Administrator用戶,右擊設置密碼,密碼有多復雜就多復雜,讓其隸屬於最低級別的用戶組,並在屬性里勾選帳戶已停用。如圖1所示。
這樣,即使別人破解了你的Administrator帳戶,進入後也發現只是一個沒用實權的帳戶。
3、禁止所有磁碟自動運行
如今U盤病毒盛行,稍不小心就會導致「格盤」。U盤病毒一般的運行機制是通過雙擊盤符自動運行,因此,禁用所有磁碟的自動運行是一種相當有效的預防手段。
具體的操作過程是:運行輸入gpedit.msc-->用戶配置-->管理模板-->系統,雙擊右側列表裡的關閉自動播放,選擇「所有驅動器」,然後選擇「已啟動」。確定退出。
4、不雙擊U盤
如果你沒用禁止所有磁碟自動運行,又或者你在別人的計算機上使用U盤,最好不要雙擊U盤。這很容易觸發U盤病毒,最好的方法是先用殺毒軟體掃描。
U盤里的病毒一般清除方法是,通過資源管理器進去看看U盤里有無autorun.inf文件,通常是隱藏的。刪除autorun.inf文件以及它所指向的程序,然後重新拔插U盤。
5、經常檢查開機啟動項
經常在運行里輸入msconfig查看啟動項,發現有異常的馬上在網上找資料,看看是不是病毒。當然,你不一定要用msconfig,超級兔子等軟體也是非常不錯的。如圖2所示。
6、經常備份重要數據
一些重要的數據,必須經常備份,例如重要的圖片、個人信息等等。我大概一個月會刻錄一次重要的資料,以防萬一。
7、使用GHOST
經常使用Ghost備份操作系統盤,遇到嚴重問題時直接恢復整個系統盤,這是懶人的做法,懶得找病毒的隱藏地,但同時也是高效快捷的方法。問題是你必須經常使用Ghost進行備份,不然你恢復系統盤也會有所損失,至少損失了最近安裝的程序(的注冊信息)。
8、隱私文件要加密
使用一些加密程序加密那些你認為不能暴露於公眾的文件,網上有很多這樣的免費軟體。不要以為隱藏了文件就行,隱藏只是一種自欺欺人的方式,加密了,即使你有類似「陳冠希」的照片也不會太危險。
9、使用Google
之所以推薦使用Google不是因為我對Google的偏愛,而是Google搜索里提供的網站安全信息提示。當搜索結果的某網頁里含有病毒或木馬時,Google會給出提示。
10、使用Firefox
Firefox不是萬能的,但總比IE好,相比起IE,使用Firefox能有效地降低中毒幾率。
11、使用復雜的密碼
這是老生常談的話題了,但還有很多人使用簡單的數字密碼,例如生日、身份證號等等,這是極容易被猜測的。「放心,我的生日只有我的朋友知道」,誰說你的朋友一定不會窺看你的隱私?
12、不要告訴任何人你的密碼
在聊天工具里告訴別人你的密碼你將面臨4種風險:
A、你的電腦可能被掛馬,密碼被竊取了。
B、聊天工具提供商也有可能竊取你的密碼。
C、聊天對方有可能利用你對他的信任去做不誠實的行為。
D、聊天對方的電腦中毒了,你的密碼被竊取。
13、不要隨便接收文件
尤其是在QQ里,別人發來文件,不要二話不說就接收,這是很危險的。一定要問清楚別人發的是什麼東西,是不是他主動發的。接收後也不要馬上運行,先用殺毒軟體掃描一遍。
⑷ 網路安全員應該具備的條件
網路安全管理員作為維護網路環境安全的重要角色,必須具備一系列關鍵條件。首先,他們必須堅定不移地遵循「四項基本原則」,嚴格遵守國家公安部關於網路使用的管理條例以及國家關於網路工作的各項規定,確保國家機密的安全與保密。這一職責要求他們具備高度的責任感和職業道德,確保在任何情況下都能堅守原則,不泄露任何敏感信息。
其次,網路安全管理員需要擁有端正的思想和良好的工作作風。他們應始終保持謙遜的態度,虛心向他人學習,不斷追求專業知識的提升和技能的精進。這種持續學習和進步的精神,對於應對日益復雜多變的網路安全威脅至關重要。
此外,他們還需具備良好的組織紀律性,服從上級領導的指揮和安排,與團隊成員緊密合作,確保工作的高效執行。這種團結協作的精神,有助於構建和諧的團隊氛圍,提升整體工作效率。
在專業技能方面,網路安全管理員需對本單位的情況了如指掌,掌握豐富的信息知識和計算機基礎知識。同時,他們還應具備一定的計算機網路管理技能,能夠熟練地進行網路配置、故障排查和安全防護等工作。這些技能是確保網路安全運行、為辦公、學習和生活提供安全、暢通高速信息通道的基礎。
綜上所述,網路安全管理員的角色不僅要求具備高度的責任感和職業道德,還強調持續學習、團隊協作和專業技能的掌握。他們的工作是維護網路環境安全的重要保障,為信息的順暢傳輸和單位的穩定運行提供堅實的支撐。
⑸ 中國網路安全現狀
計算機網路的日益發達,給人們帶來便利的同時又給人們帶來許多「麻煩」,主要是包括:人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。要保護這些信息就需要有一套完善的網路安全保護機制。那麼到底什麼是計算機網路安全?現在面臨哪些計算機網路安全問題?面對諸多的網路安全問題,我們又能採取哪些措施呢?
引言
隨著計算機互聯網技術的飛速發展,在計算機上處理業務已由單機處理功能發展到面向內部區域網、全球互聯網的世界范圍內的信息共享和業務處理功能。網路信息已經成為社會發展的重要組成部分。涉及到國家的政府、軍事、經濟、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國家機密。由於計算機網路組成形式多樣性、終端分布廣和網路的開放性、互聯性等特徵,致使這些網路信息容易受到來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。要保護這些信息就需要有一套完善的網路安全保護機制。那麼到底什麼是計算機網路安全?現在面臨哪些計算機網路安全問題?面對諸多的網路安全問題,我們又能採取哪些措施呢?
一、計算機網路安全的定義
國際標准化組織(ISO)將「計算機網路安全」定義為:「為數據處理系統建立和採取的技術和管理的安全保護,保護網路系統的硬體、軟體及其系統中的數據不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠、正常地運行,網路服務不中斷。」
上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的網路上的信息安全,是指對信息的保密性、完整性和可用性的保護,而網路安全性的含義是信息安全的引申,即網路安全是對網路信息保密性、完整性和可用性的保護。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全應具有以下五個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
可審查性:出現的安全問題時提供依據與手段
當然,網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)角度,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
二、計算機網路安全現狀
近年來隨著Internet的飛速發展,計算機網路的資源共享進一步加強,隨之而來的信息安全問題日益突出。據美國FBI統計,美國每年網路安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鍾就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中,Internet/Intranet安全面臨著重大的挑戰,事實上,資源共享和安全歷來是一對矛盾。在一個開放的網路環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。而且計算機網路組成形式多樣性、終端分布廣和網路的開放性、互聯性等特徵更為他們提供便利。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網路詐騙,其「低成本和高收益」又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。
從人為(黑客)角度來看,常見的計算機網路安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網路濫用。
信息泄露:信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。 常見的,能夠導致信息泄露的威脅有:網路監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、後門、流氓軟體、網路釣魚。
完整性破壞:可以通過漏洞利用、物理侵犯、授權侵犯、病毒,木馬,漏洞來等方式實現。
拒絕服務攻擊:對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。
網路濫用:合法的用戶濫用網路,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
常見的計算機網路絡安全威脅的表現形式主要有:竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。
竊聽:攻擊者通過監視網路數據的手段獲得重要的信息,從而導致網路信息的泄密。
重傳:攻擊者事先獲得部分或全部信息,以後將此信息發送給接收者。
篡改:攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網路侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
行為否認:通訊實體否認已經發生的行為。
電子欺騙:通過假冒合法用戶的身份來進行網路攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.
非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問。
傳播病毒:通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。
當然,除了人為因素,網路安全還在很大部分上由網路內部的原因或者安全機制或者安全工具本身的局限性所決定,他們主要表現在:每一種安全機制都有一定的應用范圍和應用環境、安全工具的使用受到人為因素的影響、系統的後門是傳統安全工具難於考慮到的地方、只要是程序,就可能存在BUG。而這一系列的缺陷,更加給想要進行攻擊的人以方便。因此,網路安全問題可以說是由人所引起的。
三、計算機網路安全技術
計算機網路安全從技術上來說,主要由防病毒、防火牆、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網路信息的安全性。早期的網路防護技術的出發點是首先劃分出明確的網路邊界,然後通過在網路邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網路邊界,從而達到阻止對網路攻擊、入侵的目的。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、數據加密技術、防病毒技術等,主要的網路防護措施包括:1、防火牆
防火牆是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火牆技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網路層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的埠確定是否允許該類數據包通過;狀態檢測技術採用的是一種基於連接的狀態檢測機制,將屬於同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火牆的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的「通信數據安全檢查」軟體的工作站來連接被保護網路和其他網路,其目的在於隱蔽被保護網路的具體細節,保護其中的主機及其數據。
2、數據加密與用戶授權訪問控制技術。
與防火牆相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用於開放的網路。用戶授權訪問控制主要用於對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用於對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。
數據加密實質上是對以符號為基礎的數據進行移位和置換的變換演算法,這種變換是受「密鑰」控制的。在傳統的加密演算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為「對稱密鑰演算法」。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密演算法中最具代表性的演算法。如果加密/解密過程各有不相乾的密鑰,構成加密/解密的密鑰對,則稱這種加密演算法為「非對稱加密演算法」或稱為「公鑰加密演算法」,相應的加密/解密密鑰分別稱為「公鑰」和「私鑰」。在公鑰加密演算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用於解密其接收的公鑰加密過的信息。典型的公鑰加密演算法如RSA是目前使用比較廣泛的加密演算法。
3、安全管理隊伍的建設。
在計算機網路系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網路安全的重要保證,只有通過網路管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網路的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防範意識。網路內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對於盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網路的安全可靠得到保障,從而使廣大網路用戶的利益得到保障。
總之,網路安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網路安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
參考文獻:
[1]朱理森,張守連.計算機網路應用技術[M].北京:專利文獻出版社,2001.
[2]謝希仁.計算機網路(第4版)[M].北京:電子工業出版社,2003.
[3]張民,徐躍進.網路安全實驗教程,清華大學出版社,2007,6.
[4]許治坤,王偉等.網路滲透技術,電子工業出版社,2005-5-11.
[5]武新華,翟長森等,黑客攻防秘技大曝光,清華大學出版社,2006.
[6](譯)吳世忠、馬芳,網路信息安全的真相,機械工業出版社,2001-9-1.
正在學習網路信息安全嗎?網路搜索→中安致遠→進入主頁→與客服交流注冊賬號→下載客戶端→周一到周五晚上都有網路安全方面的課程講解。是完全免費的。遠程上課,不收費,你可以去試試!
另外還可以考取工信部認證 網路信息安全工程師 證書!
你可以看到有很多說這里是騙子的,其實一想也就知道是怎麼回事,我們這邊是完全免費的,跟某些人的關系沖突了,被詆毀了。。。我們是在線遠程上課,完全免費的哦!
⑹ 網路安全有哪些主要要素,它們分別代表什麼意思
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全威脅主要包括兩類:滲入威脅和植入威脅。滲入威脅主要有:假冒、旁路控制、授權侵犯;
植入威脅主要有:特洛伊木馬、陷門。
陷門:將某一「特徵」設立於某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。
目前我國網路安全存在幾大隱患,影響網路安全性的因素主要有以下幾個方面:
網路結構因素
網路基本拓撲結構有3種:星型、匯流排型和環型。一個單位在建立自己的內部網之前,各部門可能已建 造了自己的區域網,所採用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網路間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網路開放性要求。
網路協議因素
在建造內部網時,用戶為了節省開支,必然會保護原有的網路基礎設施。另外,網路公司為生存的需要,對網路協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網路。
地域因素由於內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網路,而是一個專用網路),網路往往跨越城際,甚至國際。地理位置復雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些「黑客」造成可乘之機。
用戶因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網路的安全性帶來了威脅,因為這里可能就有商業間諜或「黑客。」
主機因素
建立內部網時,使原來的各區域網、單機互聯,增加了主機的種類,如工作站、伺服器,甚至小型機、大中型機。由於它們所使用的操作系統和網路操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網路的大隱患。
單位安全政策
實踐證明,80%的安全問題是由網路內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。
人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網路管理員,制訂出具體措施,提高安全意識。
其他
其他因素如自然災害等,也是影響網路安全的因素。
⑺ 網路安全是什麼
網路安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快而變到越來越重要。「家門就是國門」,安全問題刻不容緩。
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,? 問和破壞。
從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。
對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
2、增強網路安全意識刻不容緩
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。信息網路涉及到國家的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據,這大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加,使各國的計算機系統特別是網路系統面臨著很大的威脅,並成為嚴重的社會問題之一。
3、網路安全案例
96年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
94年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一家小軟體公司的聯網計算機上,向美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
96年8月17日,美國司法部的網路伺服器遭到黑客入侵,並將「 美國司法部」 的主頁改為「 美國不公正部」 ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
96年9月18日,黑客又光顧美國中央情報局的網路伺服器,將其主頁由「中央情報局」 改為「 中央愚蠢局」 。
96年12月29日,黑客侵入美國空軍的全球網網址並將其主頁肆意改動,其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4、我國計算機互連網出現的安全問題案例
96年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
97年初,北京某ISP被黑客成功侵入,並在清華大學「 水木清華」 BBS站的「 黑客與解密」 討論區張貼有關如何免費通過該ISP進入Internet的文章。
97年4月23日,美國德克薩斯州內查德遜地區西南貝爾互聯網路公司的某個PPP用戶侵入中國互聯網路信息中心的伺服器,破譯該系統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
96年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的伺服器,致使服務中斷了數小時。
5、不同環境和應用中的網路安全
運行系統安全,即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄露,干擾他人,受他人干擾。
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
網路上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。
6、網路安全的特徵
網路安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
7、主要的網路安全威脅
自然災害、意外事故;
計算機犯罪;
人為行為,比如使用不當,安全意識差等;
「黑客」 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;
內部泄密;
外部泄密;
信息丟失;
電子諜報,比如信息流量分析、信息竊取等;
信息戰;
網路協議中的缺陷,例如TCP/IP協議的安全問題等等。
8、網路安全的結構層次
8.1 物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故。解決方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,干擾他人,受他人干擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解決方案是:輻射防護,屏幕口令,隱藏銷毀等。
操作失誤(如刪除文件,格式化硬碟,線路拆除等),意外疏漏。解決方案是:狀態檢測,報警確認,應急恢復等。
計算機系統機房環境的安全。特點是:可控性強,損失也大。解決方案:加強機房管理,運行管理,安全組織和人事管理。
8.2 安全控制
微機操作系統的安全控制。如用戶開機鍵入的口令(某些微機主板有「 萬能口令」 ),對文件的讀寫存取的控制(如Unix系統的文件屬性控制機制)。主要用於保護存貯在硬碟上的信息和數據。
網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。主要包括:身份認證,客戶許可權設置與判別,審計日誌等。
網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過網管軟體或路由器配置實現。
8.3 安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
9、網路加密方式
鏈路加密方式
節點對節點加密方式
端對端加密方式
10、TCP/IP協議的安全問題
TCP/IP協議數據流採用明文傳輸。
源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。
源路由選擇欺騙(Source Routing spoofing)。
路由選擇信息協議攻擊(RIP Attacks)。
鑒別攻擊(Authentication Attacks)。
TCP序列號欺騙(TCP Sequence number spoofing)。
TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。
易欺騙性(Ease of spoofing)。
11、一種常用的網路安全工具:掃描器
掃描器:是自動檢測遠程或本地主機安全性弱點的 程序,一個好的掃描器相當於一千個口令的價值。
如何工作:TCP埠掃描器,選擇TCP/IP埠和服務(比如FTP),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麼:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。系統管理員使用掃描器,將有助於加強系統的安全性。黑客使用它,對網路的安全將不利。
掃描器的屬性:1、尋找一台機器或一個網路。2、一旦發現一台機器,可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器:1、NSS網路安全掃描器,2、stroke超級優化TCP埠檢測程序,可記錄指定機器的所有開放埠。3、SATAN安全管理員的網路分析工具。4、JAKAL。5、XSCAN。
12、黑客常用的信息收集工具
信息收集是突破網路系統的第一步。黑客可以使用下面幾種工具來收集所需信息:
SNMP協議,用來查閱非安全路由器的路由表,從而了解目標機構網路拓撲的內部細節。
TraceRoute程序,得出到達目標主機所經過的網路數和路由器數。
Whois協議,它是一種信息服務,能夠提供有關所有DNS域和負責各個域的系統管理員數據。(不過這些數據常常是過時的)。
DNS伺服器,可以訪問主機的IP地址表和它們對應的主機名。
Finger協議,能夠提供特定主機上用戶們的詳細信息(注冊名、電話號碼、最後一次注冊的時間等)。
Ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以Ping網路上每個可能的主機地址,從而可以構造出實際駐留在網路上的主機清單。
13、 Internet 防 火 牆
Internet防火牆是這樣的系統(或一組系統),它能增強機構內部網路的安全性。
防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以
及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的信
息都必須經過防火牆,接受防火牆的檢查。防火牆只允許授權的數據通過,並且防火牆本身也
必須能夠免於滲透。
13.1 Internet防火牆與安全策略的關系
防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的設備的組合,防火牆是安全策略的一個部分。
安全策略建立全方位的防禦體系,甚至包括:告訴用戶應有的責任,公司規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
13.2 防 火 牆 的 好 處
Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
13.3 Internet防火牆的作用
Internet防火牆允許網路管理員定義一個中心「 扼制點」 來防止非法用戶,比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網路的安全性是在防火牆系統上得到加固,而不是分布在內部網路的所有主機上。
在防火牆上可以很方便的監視網路的安全性,並產生報警。(注意:對一個與Internet相聯的內部網路來說,重要的問題並不是網路是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網路管理員必須審計並記錄所有通過防火牆的重要信息。如果網路管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網路管理員永遠不會知道防火牆是否受到攻擊。
Internet防火牆可以作為部署NAT(Network Address Translator,網路地址變換)的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門級計費。