A. 信息安全和網路安全的區別和聯系
信息安全與網路安全的區別和聯系,信息安全不僅限於網路,包括人、財、物等信息安全。
(1)信息安全的有關概念。信息安全(Information Security)是指系統的硬體、軟體及其信息受到保護,並持續正常地運行和服務。信息安全的實質是保護信息系統和信息資源免受各種威脅、干擾和破壞,即保證信息的安全性。主要目標是防止信息被非授權泄露、更改、破壞或被非法的系統辨識與控制,確保信息的保密性、完整性、可用性、可控性和可審查性(信息安全5大特徵)。在《計算機信息系統安全保護條例》中指出,計算機信息系統的安全保護,應當保障計算機及其相關的配套設備、設施(含網路)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統安全運行。
國際標准化組織(ISO)對於信息安全給出的定義是:為數據處理系統建立和採取的技術及管理保護,保護計算機硬體、軟體、數據不因偶然及惡意的原因而遭到破壞、更改和泄漏。
(2)網路安全與網路空間安全的概念。網路安全(Network Security)指利用網路技術、管理和控制等措施,保證網路系統和信息的保密性、完整性、可用性、可控性和可審查性受到保護。即保證網路系統的硬體、軟體及系統中的數據資源得到完整、准確、連續運行與服務不受干擾破壞和非授權使用。ISO/IEC27032的網路安全定義則是指對網路的設計、實施和運營等過程中的信息及其相關系統的安全保護。
注意:網路安全不僅限於計算機網路安全,還包括手機網路安全等。實際上,網路安全是一個相對性的概念,世界上不存在絕對的安全,過分提高網路的安全性可能降低網路傳輸速度等方面的性能,而且浪費資源和成本代價。
網路空間安全(Cyberspace Security)是研究網路空間中的信息在產生、傳輸、存儲、處理等環節中所面臨的威脅和防禦措施,以及網路和系統本身的威脅和防護機制。不僅包括傳統信息安全所研究的信息的保密性、完整性和可用性,還包括構成網路空間基礎設施的基礎設施的安全和可信。需要明確信息安全、網路安全、網路空間安全概念之異同,三者均屬於非傳統安全,均聚焦於信息安全問題。網路安全及網路空間安全的核心是信息安全,只是出發點和側重點有所差別。
摘自:網路安全技術及應用(第3版),機械工業出版社,賈鐵軍主編,2017
B. 網路安全學習難度大不大
計算機網路的不安全因素:一般來說,計算機網路本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。一方面,計算機網路的硬體和通信設施極易遭受自然環境的影響,以及自然災害和人為的物理破壞;另一方面,計算機網路的軟體資源和數據信息易受到非法的竊取、復制、篡改和毀壞;再有,計算機網路硬體的自然損耗和自然失效,以及軟體的邏輯錯誤,同樣會影響系統的正常工作,造成計算機網路系統內信息的損壞、丟失和安全事故。
不安全的因素:偶發因素、自然災害、人為因素。人為因素又分為被動攻擊、主動攻擊、鄰近攻擊、內部人員攻擊。
互聯網的不安全性:互聯網是開放的、國際的、自由性的網路。
計算機網路安全,廣義上說是凡是涉及網路上信息的保密性、完整性、可用性、不可否認性和可控性的相關技術和理論都是網路安全的研究領域;具體上來說是指利用管理控制和技術措施,保證在一個網路環境里,信息數據的機密性、完整性及可使用性受到保護。
計算機網路安全的目標:保密性、完整性、可用性、不可否認性、可控性。
OSI安全體系結構中定義了五大類安全服務,也稱為安全防護措施,分別為鑒別服務、訪問控制服務、數據機密性服務、數據完整性服務、抗抵賴性服務。
PPDR模型具體內容是安全策略(Policy)、保護(Protection)、檢測(Detection)和響應(Response)。。
網路安全技術可從以下幾個方面來分析:一、物理安全措施:環境安全、設備安全、媒體安全。二、數據傳輸安全技術:通常採用的是數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。數據傳輸加密技術可從三個不同的層次來分別,分別是鏈路加密、節點加密、端到端加密。一般常用的是鏈路加密和端到端加密。防抵賴技術常用的方法是數字簽名。三、訪問控制技術:受託者指派和繼承許可權屏蔽是實現這種技術的兩種方式。四、防病毒技術包括預防病毒、檢測病毒、消除病毒。
網路安全威脅和攻擊機制的發展趨勢:一、與INTERNET更加緊密地結合,利用一切可以利用的方式進行傳播。二、所有的病毒都具有混合型特徵,集文件傳染、蠕蟲、木馬和黑客程序的特點於一身,破壞性大大增強。三、其擴散極快,而更加註重欺騙性。四、利用系統漏洞將成為病毒有力的傳播方式。五、無疑網路技術的發展,使遠程網路攻擊的可能性加大。六、各種境外情報、諜報人員將越來越多地通過信息網路渠道收集情報和竊取資料。七、各種病毒、蠕蟲和後門技術越來越智能化,並出現整合趨勢,形成混合性威脅。八、各種攻擊技術的隱秘性增強,常規防範手段難以識別。九、分布式計算技術用於攻擊的趨勢增強,威脅高強度密碼的安全性。十、一些政府部門的超級計算機資源將成為攻擊者利用的跳板。十一、網路管理安全問題日益突出。
要確保計算機網路的安全,就必須依靠先進的技術、嚴格的管理、配套的法律。
物理安全主要包括以下幾個方面:機房環境安全、通信線路安全、設備安全、電源安全。
計算機機房安全技術措施主要包括防盜報警、實時監控、安全門禁等。
計算機機房的安全等級分為A類、B類、C類三個等級。
C. 網路信息安全包括哪些方面
網路信息安全包括以下方面:
1、網路安全模型
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
2、信息安全框架
網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
3、安全拓展
網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。
(3)計算機網路安全的最終目標是擴展閱讀:
網路信息安全的主要特徵:
1、完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2、保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3、可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4、不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5、可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
D. 計算機信息安全的目標是什麼
1、真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
2、保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
3、完整性:保證數據的一致性,防止數據被非法用戶篡改。
4、可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
5、不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
6、可控制性:對信息的傳播及內容具有控制能力。
(4)計算機網路安全的最終目標是擴展閱讀
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。
計算機網路本身存在一些固有的弱點(脆弱性),非授權用戶利用這些脆弱性可對網路系統進行非法訪問,這種非法訪問會使系統內數據的完整性受到威脅,也可能使信息遭到破壞而不能繼續使用,更為嚴重的是有價值的信息被竊取而不留任何痕跡。
E. 計算機網路通信安全的五個目標是什麼
計算機網路通信安全的五個目標是
(1) 防止析出報文內容;
(2) 防止通信量分析;
(3) 檢測更改報文流;
(4) 檢測拒絕報文服務;
(5) 檢測偽造初始化。
計算機網路技術是通信技術與計算機技術相結合的產物。計算機網路是按照網路協議,將地球上分散的、獨立的計算機相互連接的集合。連接介質可以是電纜、雙絞線、光纖、微波、載波或通信衛星。計算機網路具有共享硬體、軟體和數據資源的功能,具有對共享數據資源集中處理及管理和維護的能力。
F. 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。
G. 什麼是計算機安全安全專家通常將計算機安全分為哪三類
計算機安全,國際標准化委員會的定義是「為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。」
我國公安部計算機管理監察司的定義是「計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。」
安全專家通常將計算機安全分為:實體安全、網路與信息安全、應用安全。
1、實體安全
計算機系統實體是指計算機系統的硬體部分,應包括計算機本身的硬體和各種介面、各種相應的外部設備、計算機網路的通訊設備、線路和信道等。
2、網路與信息安全
包括網路的暢通、准確及其網上的信息安全。網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
3、應用安全
包括程序開發運行、輸入輸出、資料庫等的安全。系統的運行安全是計算機信息系統安全的重要環節,因為只有計算機信息系統的運行過程中的安全得到保證,才能完成對信息的正確處理,達到發揮系統各項功能的目的。包括系統風險管理、審計跟蹤、備份與恢復、應急處理四個方面內容。
(7)計算機網路安全的最終目標是擴展閱讀:
計算機網路安全的相關要求:
1、計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
2、選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3、提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
H. 計算機安全指的是什麼
國際標准化委員會的定義是「為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。」
美國國防部國家計算機安全中心的定義是「要討論計算機安全首先必須討論對安全需求的陳述,......。一般說來,安全的系統會利用一些專門的安全特性來控制對信息的訪問,只有經過適當授權的人,或者以這些人的名義進行的進程可以讀、寫、創建和刪除這些信息。」
我國公安部計算機管理監察司的定義是「計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。」
■ 網路安全分類(三類)及基本功能
根據國家計算機安全規范,可把計算機的安全大致分為三類。一是實體安全,包括機房、線路,主機等;二是網路與信息安全,包括網路的暢通、准確及其網上的信息安全;三是應用安全,包括程序開發運行、輸入輸出、資料庫等的安全。下面重點探討第二類網路與信息的安全問題。
網路信息安全需求可以歸結為以下幾類:
1.基本安全類
包括訪問控制、授權、認證、加密和內容安全等。
訪問控制是提供企業內部與外界及內部不同信息源之間隔離的基本機制,也是企業的基本要求。但是提供隔離不是最終目的,企業利用Internet技術的最終目的應當是在安全的前題下提供方便的信息訪問,這就是授權需求。同時,用戶也希望對授權的人的身份進行有效的識別,這就是認證的需求。為了保證信息在存儲和傳輸中不被纂改、竊聽等需要加密功能,同時,為了實施對進出企業網的流量進行有效的控制,就需要引入內容安全要求。
2.管理與記帳類
包括安全策略管理、企業范圍內的集中管理、記帳、實時監控,報警等功能。
3.網路互聯設備安全類
包括路由器安全管理、遠程訪問伺服器安全管理、通信伺服器安全管理、交換機安全管理等。
4.連接控制類
主要為發布企業消息的伺服器提供可靠的連接服務,包括負載均衡、高可靠性以及流量管理等。
什麼叫網路安全?
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
前言
以Internet為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如政府部門業務系統、金融業務系統、證券業務系統等。與此同時,這股強勁的Internet旋風也以驚人的速度滲透到企業的各個方面。現在,大企業已經利用現有的網路技術打造自己的「網路航母」,包括銷售、宣傳、服務、ERP、ARP等。給企業的發展提供強有力的支持。
企業從事的網路信息直接關繫到公司的發展,所涉及的公司的商業機蜜、網路交易等,如有信息外泄,直接關繫到公司的形象和信譽,所以為了保障網路的安全,必須對網路進行安全設計
■ 影響網路安全的因素
現今的企業網路信息安全存在的威脅主要表現在以下幾個方面。
1.非授權訪問。指對網路設備及信息資源進行非正常使用或越權使用等。
2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權,以達到佔用
合法用戶資源的目的。
3.破壞數據的完整性。指使用非法手段,刪除、修改、重發某些重要信息,以干擾用戶的正常使
用。
4.干擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段。
5.病毒與惡意攻擊。指通過網路傳播病毒或惡意Java、XActive等。
6.線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。
■ 安全缺口
安全策略經常會與用戶方便性相矛盾,從而產生相反的壓力,使安全措施與安全策略相脫節。這種情況稱為安全缺口。為什麼會存在安全缺口呢?有下面四個因素:
1、網路設備種類繁多——當前使用的有各種各樣的網路設備,從Windows NT和UNIX 伺服器到防
火牆、路由器和Web伺服器,每種設備均有其獨特的安全狀況和保密功能;
2、訪問方式的多樣化——一般來說,您的網路環境存在多種進出方式,許多過程拔號登錄點以及
新的Internet訪問方式可能會使安全策略的設立復雜化;
3、網路的不斷變化——網路不是靜態的,一直都處於發展變化中。啟用新的硬體設備和操作系
統,實施新的應用程序和Web伺服器時,安全配置也有不盡相同;
4、用戶保安專業知識的缺乏——許多組織所擁有的對網路進行有效保護的保安專業知識十分有
限,這實際上是造成安全缺口最為主要的一點。
■ 網路安全評估
為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網路安全狀況進行評估:
1、 從企業外部進行評估:考察企業計算機基礎設施中的防火牆;
2、 從企業內部進行評估:考察內部網路系統中的計算機;
3、 從應用系統進行評估:考察每台硬體設備上運行的操作系統。
網際協議安全(IPSecurity)?
IPSec作為安全網路的長期方向,是基於密碼學的保護服務和安全協議的套件。因為它不需要更改應用程序或協議,您可以很容易地給現有網路部署IPSec。IPSec對使用L2TP協議的VPN連接提供機器級身份驗證和數據加密。在保護密碼和數據的L2TP連接建立之前,IPSec在計算機及其遠程隧道伺服器之間進行協商。
什麼叫埠?
進出計算機的路徑。個人計算機的串口和並口是用於插接通訊線、modem和列印機的外部插槽。在編程過程中,埠可以是符號介面,也可來自於應用程序或實用工具。
什麼叫防火牆(Firewall)?
用於將網際網路的子網與網際網路的其餘部分相隔離,以達到網路和信息安全效果的軟體或硬體設施。防火牆可以被安裝在一個單獨的路由器中,用來過濾不想要的信息包,也可以被安裝在路由器和主機中,發揮更大的網路安全保護作用。防火牆被廣泛用來讓用戶在一個安全屏障後接入互聯網,還被用來把一家企業的公共網路伺服器和企業內部網路隔開。另外,防火牆還可以被用來保護企業內部網路某一個部分的安全。例如,一個研究或者會計子網可能很容易受到來自企業內部網路裡面的窺探。
防火牆可以確定哪些內部服務允許外部訪問,哪些外人被許可訪問所允許的內部服務,哪些外部服務可由內部人員訪問。為了使防火牆發揮效力,來自和發往網際網路的所有信息都必須經由防火牆出入。防火牆只允許授權信息通過,而防火牆本身不能被滲透。
什麼叫後門(Back Door)?
繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段,程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或是在發布軟體之前沒有刪除後門,那麼它就成了安全風險。
什麼叫網關(Gateway)?
網關即將兩個使用不同協議的網路段連接在一起的設備。它的作用就是對兩個網路段中的使用不同傳輸協議的數據進行互相的翻譯轉換。
什麼叫PAP密碼驗證協議(Password Authentication Protocol)?
密碼驗證協議是一種用於對試圖登錄到點對點協議伺服器上的用戶進行身份驗證的方法。
什麼叫PKI公開密鑰基礎設施(Public Key Infrastructure)?
PKI是近幾年涌現的一種新的安全技術,它是由公開密鑰密碼技術、數字證書、證書發行機構(Certificate Authority,CA)和關於公開密鑰的安全策略等基本成分共同組成的。
什麼叫計算機病毒(Computer Virus)?
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼叫黑客?
計算機黑客是指未經許可擅自進入某個計算機網路系統的非法用戶。計算機黑客往往具有一定的計算機技術,採取截獲密碼等方法,非法闖入某個計算機系統,進行盜竊、修改信息,破壞系統運行等活動,對計算機網路造成很大的損失和破壞。
我國新修訂的《刑法》,增加了有關利用計算機犯罪的條款,非法製造、傳播計算機病毒和非法進入計算機網路系統進行破壞都是犯罪行為。
什麼叫郵件炸彈(E-mail Bomb)?
使得攻擊目標主機收到超量的電子郵件,使得主機無法承受導致郵件系統崩潰。
什麼叫拒絕服務(DoS)?
DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。 什麼叫尼姆達病毒(nimda)?
尼姆達是以readme.exe為附件通過電子郵件傳播的蠕蟲病毒。此病毒會自動創建染毒文件.eml和.nws。當用戶計算機感染尼姆達後,其蠕蟲病毒會把用戶C盤設為共享,通過感染文件、亂發郵件、網路蠕蟲、區域網蠕蟲四種方式傳播。其病毒特徵與猖狂一時的紅色代碼、藍色代碼如出一轍。
回答者:沒有感覺真要命 - 秀才 三級 12-30 00:21
國際標准化委員會的定義是「為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。」
美國國防部國家計算機安全中心的定義是「要討論計算機安全首先必須討論對安全需求的陳述,......。一般說來,安全的系統會利用一些專門的安全特性來控制對信息的訪問,只有經過適當授權的人,或者以這些人的名義進行的進程可以讀、寫、創建和刪除這些信息。」
我國公安部計算機管理監察司的定義是「計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。」
計算機安全可分成三類,即保密、完整和即需。
保密是指防止未授權的數據暴露並確保數據源的可靠性;完整是防止未經授權的數據修改;即需是防止延遲或拒絕服務。
安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。根據資產的重要性不同,相應的安全措施也有多種。如果保護資產免受安全威脅的成本超過所保護資產的價值,我們就認為對這種資產的安全風險很低或不可能發生。
參考資料:http://hi..com/12231223/blog/item/9f5cc5ef1a901d37adafd5e8.html
I. 防火牆是什麼在網路環境中的應用
防火牆(英語:Firewall)在計算機科學領域中是一個架設在互聯網與企業內網之間的信息安全系統,根據企業預定的策略來監控往來的傳輸。
防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備,從專業角度來說,防火牆是位於兩個(或多個)網路間,實行網路間訪問或控制的一組組件集合之硬體或軟體。
功能
防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域,而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。
它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是:根據最小特權原則,在不同水平的信任區域,透過連通安全政策的運行,提供受控制的連通性。
例如:TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。
如果電腦有使用【網上鄰居】的【共享文件夾】,又沒使用任何防火牆相關的防護措施的話,就等於把自己的【共享文件夾】公開到Internet,使得任何人都有機會瀏覽目錄內的文件。
且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼,但可經由此系統漏洞,達到無須密碼便能瀏覽文件夾的需求)。
防火牆的本義,是指古代構築和使用木製結構房屋時,為防止火災發生及蔓延,人們將堅固石塊堆砌在房屋周圍做為屏障,這種防護結構建築就被稱為防火牆。
現代網路時代引用此喻意,指隔離本地網路與外界網路或是區域網間與互聯網或互聯網的一道防禦系統,藉由控制過濾限制消息來保護內部網資料的安全。
(9)計算機網路安全的最終目標是擴展閱讀:
防火牆的重要性
1、記錄計算機網路之中的數據信息
數據信息對於計算機網路建設工作有著積極的促進作用,同時其對於計算機網路安全也有著一定程度上的影響。
通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容,同時對收集的信息進行分類分組,藉此找出其中存在安全隱患的數據信息,採取針對性的措施進行解決,有效防止這些數據信息影響到計算機網路的安全。
除此之外,工作人員在對防火牆之中記錄的數據信息進行總結之後,能夠明確不同類型的異常數據信息的特點,藉此能夠有效提高計算機網路風險防控工作的效率和質量。
2、防止工作人員訪問存在安全隱患的網站
計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控,一旦發現工作人員即將進入存在安全隱患的網站,防火牆就會立刻發出警報,藉此有效防止工作人員誤入存在安全隱患的網站,有效提高訪問工作的安全性。
3、控制不安全服務
計算機網路在運行的過程當中會出現許多不安全服務,這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險,其能夠將不安全服務有效攔截下來,有效防止非法攻擊對計算機網路安全造成影響。
此外,通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控,藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行,有效防止因為計算機網路問題給用戶帶來經濟損失。
缺點
正常狀況下,所有互聯網的數據包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸。例如在攻擊性數據包出現時,攻擊者會不時寄出數據包,讓防火牆疲於過濾數據包,而使一些合法數據包軟體亦無法正常進出防火牆。