‘壹’ 大数据时代网络安全进入产业爆发期
大数据时代网络安全进入产业爆发期
2017年中国云市场竞争中,“1分中标”、“1元中标”案例已经不新鲜,在竞争白热化的云计算市场中,第一部网络安全相关法律的出台,再次搅动业界神经,安全成为各大云服务厂商标榜的核心竞争力。以近日菜鸟和顺丰的争议为例,数据安全、云市场争夺都被成为各执一词的缘由。
21世纪经济报道记者近日采访包括阿里云在内的云服务公司以及网络安全领域的创业者和专家,解读云服务市场的安全竞争。其中阿里云总裁胡晓明一一回应跟阿里云相关的竞争和安全问题。他表示,“根本不存在(阿里云)与腾讯云争夺顺丰一事,另外如果阿里云做侵犯用户隐私的事情,那应该倒闭。”
阿里云回应“不安全”
6月1日,《网络安全法》实施第一天,顺丰和菜鸟陷入数据之争,在数据资源方面互不让步,双方皆以保护用户数据隐私安全的名义指责对方。卷入这场“罗生门”的,还有顺丰和菜鸟各执一词的“云市场”争夺,即腾讯云和阿里云的的云服务市场竞争。
在这场风波中,关于安全的讨论争议也很多。
近日,胡晓明在上海接受21世纪经济报道记者采访时回应菜鸟顺丰之争。“顺丰早就是我们的客户了,我也没有提要跟顺丰进一步加大云计算的合作,我们都没有找过对方。”胡晓明说。
他表示,一方面不存在与腾讯云争夺顺丰一事,另外一方面从技术角度也不可能实现通过用户IP地址获取用户核心数据的可能。
在接受采访的一个小时时间里,胡晓明约有一半时间在谈安全、回应与安全相关的质疑。据介绍,阿里云平台上承载了大概37%的中国网站业务,阿里云平均每天承受的攻击是16亿次。
据胡晓明介绍,阿里云有严格的内部审计制度。阿里云工程师进行任何运维管理操作时,都会有内部审计和实时违规预警。所有工程师都需要双因素认证来完成操作人的身份验证。此外,还通过定期的安全扫描和模拟渗透,来确保数据安全的内部控制有效、完整性。
“为什么我们今天特别欢迎网络安全法的正式实施?就像交通法规定的红绿灯一样,交通规则越严格越好。”阿里云的另一位负责人补充说,这个也是整个云计算产业发展的前提。
网络安全产业爆发期
从5月份的勒索病毒事件,再到6月的菜鸟顺丰事件,叠加《网络安全法》的落地,网络安全的概念被热炒到了新高度。
法律对于网络运营者的管理责任作了较为明确的规定,《网络安全法》规定了网络安全等级保护制度,而网络运营者则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据泄露或被窃取或篡改。
6月13日,21世纪经济报道记者在2017中国网络安全大会采访十余家参会网络安全公司,其中瑞星安全的一位负责人告诉21世纪经济报道记者,近期咨询业务的客户明显增加,行业向好。
北京另一家做云安全服务的创业公司人士表示,国外的网络安全市场相对成熟,中国相当于刚刚做完基础设施建设,对安全的需求正处于爆发的上升期,产业也在爆发期。他们公司2015年创立,现在基本能做到盈亏平衡,比较难得。
据介绍,他们的客户主要是政府的政务云平台和金融机构,客户的安全意识还是比较强的,特别是《网络安全法》出台后,对一些网络数据管理运营平台担负的责任进一步清晰,大家也不得不重视起来。
某信息安全众包服务电商平台的CEO陈新龙表示,网络安全元年,应该从2017年《网络安全法》的实施开始。
根据国家互联网应急中心数据显示,2016年1月至11月,中国境内被篡改网站数量总数达到62894个,其中被篡改政府网站数量达到1483个。已收集到的信息系统安全漏洞达9756个,其中高危漏洞3764个,占比为38.6%。
又一份IDC 报告数据显示,截至 2014 年底,中国信息安全投资的比例依然不足 1%,和美国(3.6%)及日本(6%)等成熟市场差距明显,中国网络安全市场还有很大的释放空间。
陈新龙告诉21世纪经济报道记者,2017年他所创立的安全服务平台,新入驻的网络安全厂商增长迅速。
此前,工信部电子科学技术情报研究所总工程师尹丽波在接受21世纪经济报道记者采访时也表示,目前政府的意识很强,包括工信部和网信办,这些年都在对政府部门在做安全培训和检查,提升网络安全意识,普及网络安全技能和知识。在保护安全方面,大部分政府部门都已经行动起来。但企业这块还有很大的空间,特别是中小企业,信息化程度很低,更别说网络安全措施。所以海量的中小企业,可能会是将来网络安全产业的巨大目标群体。
‘贰’ IMS的问题分析
IP多媒体子系统(IMS)是3GPP在R5规范中提出的,旨在建立一个与接入无关、基于开放的SIP/IP协议及支持多种多媒体业务类型的平台来提供丰富的业务。它将蜂窝移动通信网络技术、传统固定网络技术和互联网技术有机结合起来,为未来的基于全IP网络多媒体应用提供了一个通用的业务智能平台,也为未来网络发展过程中的网络融合提供了技术基础。IMS的诸多特点使得其一经提出就成为业界的研究热点,是业界普遍认同的解决未来网络融合的理想方案和发展方向,但对于IMS将来如何提供统一的业务平台实现全业务运营,IMS的标准化及安全等问题仍需要进一步的研究和探讨。
1、IMS存在的安全问题分析
传统的电信网络采用独立的信令网来完成呼叫的建立、路由和控制等过程,信令网的安全能够保证网络的安全。而且传输采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,避免了来自其他终端用户的各种窃听和攻击。
而IMS网络与互联网相连接,基于IP协议和开放的网络架构可以将语音、数据、多媒体等多种不同业务,通过采用多种不同的接入方式来共享业务平台,增加了网络的灵活性和终端之间的互通性,不同的运营商可以有效快速地开展和提供各种业务。由于IMS是建立在IP基础上,使得IMS的安全性要求比传统运营商在独立网络上运营要高的多,不管是由移动接入还是固定接入,IMS的安全问题都不容忽视。
IMS的安全威胁主要来自于几个方面:未经授权地访问敏感数据以破坏机密性;未经授权地篡改敏感数据以破坏完整性;干扰或滥用网络业务导致拒绝服务或降低系统可用性;用户或网络否认已完成的操作;未经授权地接入业务等。主要涉及到IMS的接入安全(3GPP TS33.203),包括用户和网络认证及保护IMS终端和网络间的业务;以及IMS的网络安全(3GPP TS33.210),处理属于同一运营商或不同运营商网络节点之间的业务保护。除此之外,还对用户终端设备和通用集成电路卡/IP多媒体业务身份识别模块(UICC/ISIM)安全构成威胁。
2、IMS安全体系
IMS系统安全的主要应对措施是IP安全协议(IPSec),通过IPSec提供了接入安全保护,使用IPSec来完成网络域内部的实体和网络域之间的安全保护。3GPP IMS实质上是叠加在原有核心网分组域上的网络,对PS域没有太大的依赖性,在PS域中,业务的提供需要移动设备和移动网络之间建立一个安全联盟(SA)后才能完成。对于IMS系统,多媒体用户也需要与IMS网络之间先建立一个独立的SA之后才能接入多媒体业务。
3GPP终端的核心是通用集成电路卡(UICC),它包含多个逻辑应用,主要有用户识别模块(SIM)、UMTS用户业务识别模块(USIM)和ISIM。ISIM中包含了IMS系统用户终端在系统中进行操作的一系列参数(如身份识别、用户授权和终端设置数据等),而且存储了共享密钥和相应的AKA(Authentication and Key Agreement)算法。其中,保存在UICC上的用户侧的IMS认证密钥和认证功能可以独立于PS域的认证密钥和认证功能,也可和PS使用相同的认证密钥和认证功能。IMS的安全体系如图1所示。
图1中显示了5个不同的安全联盟用以满足IMS系统中不同的需求,分别用①、②、③、④、⑤来加以标识。①提供终端用户和IMS网络之间的相互认证。
②在UE和P-CSCF之间提供一个安全链接(Link)和一个安全联盟(SA),用以保护Gm接口,同时提供数据源认证。
③在网络域内为Cx接口提供安全。
④为不同网络之间的SIP节点提供安全,并且这个安全联盟只适用于代理呼叫会话控制功能(P-CSCF)位于拜访网络(VN)时。
⑤为同一网络内部的SIP节点提供安全,并且这个安全联盟同样适用于P-CSCF位于归属网络(HN)时。
除上述接口之外,IMS中还存在其他的接口,在上图中未完整标识出来,这些接口位于安全域内或是位于不同的安全域之间。这些接口(除了Gm接口之外)的保护都受IMS网络安全保护。
SIP信令的保密性和完整性是以逐跳的方式提供的,它包括一个复杂的安全体系,要求每个代理对消息进行解密。SIP使用两种安全协议:传输层安全协议(TLS)和IPSec,TLS可以实现认证、完整性和机密性,用TLS来保证安全的请求必须使用可靠的传输层协议,如传输控制协议(TCP)或流控制传输协议(SCTP);IPSec通过在IP层对SIP消息提供安全来实现认证、完整性和机密性,它同时支持TCP和用户数据报协议(UDP)。在IMS核心网中,可通过NDS/IP来完成对网络中SIP信令的保护;而第一跳,即UE和P-CSCF间的信令保护则需要附加的测量,在3GPP TS 33.203中有具体描述。
3、IMS的接入安全
IMS用户终端(UE)接入到IMS核心网需经一系列认证和密钥协商过程,具体而言,UE用户签约信息存储在归属网络的HSS中,且对外部实体保密。当用户发起注册请求时,查询呼叫会话控制功能(I-CSCF)将为请求用户分配一个服务呼叫会话控制功能(S-CSCF),用户的签约信息将通过Cx接口从HSS下载到S-CSCF中。当用户发起接入IMS请求时,该S-CSCF将通过对请求内容与用户签约信息进行比较,以决定用户是否被允许继续请求。
在IMS接入安全中,IPSec封装安全净荷(ESP)将在IP层为UE和P-CSCF间所有SIP信令提供机密性保护,对于呼叫会话控制功能(CSCF)之间和CSCF和HSS之间的加密可以通过安全网关(SEG)来实现。同时,IMS还采用IPSec ESP为UE和P-CSCF间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
在完成注册鉴权之后,UE和P-CSCF之间同时建立两对单向的SA,这些SA由TCP和UDP共享。其中一对用于UE端口为客户端、P-CSCF端口作为服务器端的业务流,另一对用于UE端口为服务器、P-CSCF端口作为客户端的业务流。用两对SA可以允许终端和P-CSCF使用UDP在另一个端口上接收某个请求的响应,而不是使用发送请求的那个端口。同时,终端和P-CSCF之间使用TCP连接,在收到请求的同一个TCP连接上发送响应;而且通过建立SA实现在IMS AKA提供的共享密钥以及指明在保护方法的一系列参数上达成一致。SA的管理涉及到两个数据库,即内部和外部数据库(SPD和SAD)。SPD包含所有入站和出站业务流在主机或安全网关上进行分类的策略。SAD是所有激活SA与相关参数的容器。SPD使用一系列选择器将业务流映射到特定的SA,这些选择器包括IP层和上层(如TCP和UDP)协议的字段值。
与此同时,为了保护SIP代理的身份和网络运营商的网络运作内部细节,可通过选择网络隐藏机制来隐藏其网络内部拓扑,归属网络中的所有I-CSCF将共享一个加密和解密密钥。
在通用移动通信系统(UMTS)中相互认证机制称为UMTS AKA,在AKA过程中采用双向鉴权以防止未经授权的“非法”用户接入网络,以及未经授权的“非法”网络为用户提供服务。AKA协议是一种挑战响应协议,包含用户鉴权五元参数组的挑战由AUC在归属层发起而发送到服务网络。
UMTS系统中AKA协议,其相同的概念和原理被IMS系统重用,我们称之为IMS AKA。AKA实现了ISIM和AUC之间的相互认证,并建设了一对加密和完整性密钥。用来认证用户的身份是私有的身份(IMPI),HSS和ISIM共享一个与IMPI相关联的长期密钥。当网络发起一个包含RAND和AUTN的认证请求时,ISIM对AUTN进行验证,从而对网络本身的真实性进行验证。每个终端也为每一轮认证过程维护一个序列号,如果ISIM检测到超出了序列号码范围之外的认证请求,那么它就放弃该认证并向网络返回一个同步失败消息,其中包含了正确的序列号码。
为了响应网络的认证请求,ISIM将密钥应用于随机挑战(RAND),从而产生一个认证响应(RES)。网络对RES进行验证以认证ISIM。此时,UE和网络已经成功地完成了相互认证,并且生成了一对会话密钥:加密密钥(CK)和完整性密钥(IK)用以两个实体之间通信的安全保护。
4、IMS的网络安全
在第二代移动通信系统中,由于在核心网中缺乏标准的安全解决方案,使得安全问题尤为突出。虽然在无线接入过程中,移动用户终端和基站之间通常可由加密来保护,但是在核心网时,系统的节点之间却是以明文来传送业务流,这就让攻击者有机可乘,接入到这些媒体的攻击者可以轻而易举对整个通信过程进行窃听。
针对2G系统中的安全缺陷,第三代移动通信系统中采用NDS对核心网中的所有IP数据业务流进行保护。可以为通信服务提供保密性、数据完整性、认证和防止重放攻击,同时通过应用在IPSec中的密码安全机制和协议安全机制来解决安全问题。
在NDS中有几个重要的概念,它们分别是安全域(Security Domains)、安全网关(SEG)。
4.1安全域
NDS中最核心的概念是安全域,安全域是一个由单独的管理机构管理运营的网络。在同一安全域内采用统一的安全策略来管理,因此同一安全域内部的安全等级和安全服务通常是相同的。大多情况下,一个安全域直接对应着一个运营商的核心网,不过,一个运营商也可以运营多个安全域,每个安全域都是该运营商整个核心网络中的一个子集。在NDS/IP中,不同的安全域之间的接口定义为Za接口,同一个安全域内部的不同实体之间的安全接口则定义为Zb接口。其中Za接口为必选接口,Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。
4.2安全网关
SEG位于IP安全域的边界处,是保护安全域之间的边界。业务流通过一个SEG进入和离开安全域,SEG被用来处理通过Za接口的通信,将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条(hub-and-spoke)模型,它为不同安全域之间提供逐跳的安全保护。SEG负责在不同安全域之间传送业务流时实施安全策略,也可以包括分组过滤或者防火墙等的功能。IMS核心网中的所有业务流都是通过SEG进行传送,每个安全域可以有一个或多个SEG,网络运营商可以设置多个SEG以避免某独立点出现故障或失败。当所保护的IMS业务流跨越不同安全域时,NDS/IP必须提供相应的机密性、数据完整性和认证。
4.3基于IP的网络域安全体系[2]
NDS/IP体系结构最基本的思想就是提供上从一跳到下一跳的安全,逐跳的安全也简化了内部和面向其他外部安全域分离的安全策略的操作。
在NDS/IP中只有SEG负责与其他安全域中的实体间进行直接通信。两个SEG之间的业务被采用隧道模式下的IPSec ESP安全联盟进行保护,安全网关之间的网络连接通过使用IKE来建立和维护[3]。网络实体(NE)能够面向某个安全网关或相同安全域的其他安全实体,建立维护所需的ESP安全联盟。所有来自不同安全域的网络实体的NDS/IP业务通过安全网关被路由,它将面向最终目标被提供逐跳的安全保护[5]。其网络域安全体系结构如图2所示。
4.4密钥管理和分配机制[5]每个SEG负责建立和维护与其对等SEG之间的IPSec SA。这些SA使用因特网密钥交换(IKE)协议进行协商,其中的认证使用保存在SEG中的长期有效的密钥来完成。每个对等连接的两个SA都是由SEG维护的:一个SA用于入向的业务流,另一个用于出向的业务流。另外,SEG还维护了一个单独的因特网安全联盟和密钥管理协议(ISAKMP)SA,这个SA与密钥管理有关,用于构建实际的对等主机之间的IPSec SA。对于ISAKMP SA而言,一个关键的前提就是这两个对等实体必须都已经通过认证。在NDS/IP中,认证是基于预先共享的密钥。
NDS/IP中用于加密、数据完整性保护和认证的安全协议是隧道模式的IPSec ESP。在隧道模式的ESP中,包括IP头的完整的IP数据包被封装到ESP分组中。对于三重DES加密(3DES)算法是强制使用的,而对于数据完整性和认证,MD5和SHA-1都可以使用。
4.5IPSec安全体系中的几个重要组成和概念[5]
1)IPSec:IPSec在IP层(包括IPv4和IPv6)提供了多种安全服务,从而为上层协议提供保护。IPSec一般用来保护主机和安全网关之间的通信安全,提供相应的安全服务。
2)ISAKMP:ISAKMP用来对SA和相关参数进行协商、建立、修改和删除。它定义了SA对等认证的创建和管理过程以及包格式,还有用于密钥产生的技术,它还包括缓解某些威胁的机制。
3)IKE:IKE是一种密钥交换协议,和ISAKMP一起,为SA协商认证密钥材料。IKE可以使用两种模式来建立第一阶段ISAKMP SA,即主模式和侵略性模式。两种模式均使用短暂的Diffie-Hellman密钥交换算法来生成ISAKMP SA的密钥材料。
4)ESP:ESP用来在IPv4和IPv6中提供安全服务。它可以单独使用或与AH一起使用,可提供机密性(如加密)或完整性(如认证)或同时提供两种功能。ESP可以工作在传送模式或隧道模式。在传送模式中,ESP头插入到IP数据报中IP头后面、所有上层协议头前面的位置;而在隧道模式中,它位于所封装的IP数据报之前。
标准化组织对IMS的安全体系和机制做了相应规定,其中UE和P-CSCF之间的安全由接入网络安全机制提供,IMS网络之上的安全由IP网络的安全机制保证,UE与IMS的承载层分组网络安全仍由原来的承载层安全机制支持。所有IP网络端到端安全基于IPSec,密钥管理基于IKE协议。对于移动终端接入IMS之前已经进行了相应的鉴权,所以安全性更高一些。但是对于固定终端来说,由于固定接入不存在类似移动网络空中接口的鉴权,P-CSCF将直接暴露给所有固定终端,这使P-CSCF更易受到攻击。为此,在IMS的接入安全方面有待于进一步的研究,需要不断完善IMS的安全机制。
‘叁’ 什么是网络安全事件
您好:
以下是网络安全事件的解答:
可以说当前是一个进行攻击的黄金时期,很多的系统都很脆弱并且很容易受到攻击,所以这是一个成为黑客的大好时代,可让他们利用的方法和工具是如此之多!在此我们仅对经常被使用的入侵攻击手段做一讨论。
【 拒绝服务攻击 】
拒绝服务攻击(Denial of Service, DoS)是一种最悠久也是最常见的攻击形式。严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。
通常拒绝服务攻击可分为两种类型。
第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。
第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。
这两种攻击既可以在本地机上进行也可以通过网络进行。
※ 拒绝服务攻击类型
1 Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
2 Teardrop
IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
3 Land
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4 Smurf
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
5 SYN flood
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
6 CPU Hog
一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击,利用Windows NT排定当前运行程序的方式所进行的攻击。
7 Win Nuke
是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139,即netbios发送大量的数据。因为这些数据并不是目的主机所需要的,所以会导致目的主机的死机。
8 RPC Locator
攻击者通过telnet连接到受害者机器的端口135上,发送数据,导致CPU资源完全耗尽。依照程序设置和是否有其他程序运行,这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况,要使计算机恢复正常运行速度必须重新启动。
※ 分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是攻击者经常采用而且难以防范的攻击手段。DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。所以分布式的拒绝服务攻击手段(DDoS)就应运而生了。如果用一台攻击机来攻击不再能起作用的话,攻击者就使用10台、100台…攻击机同时攻击。
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
一个比较完善的DDoS攻击体系分成四大部分:
攻击者所在机
控制机(用来控制傀儡机)
傀儡机
受害者
先来看一下最重要的控制机和傀儡机:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对受害者来说,DDoS的实际攻击包是从攻击傀儡机上发出的,控制机只发布命令而不参与实际的攻击。对控制机和傀儡机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1.考虑如何留好后门,2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较初级的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。但是在攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
※ 拒绝服务攻击工具
Targa
可以进行8种不同的拒绝服务攻击,作者是Mixter,可以在[url]http://packerstorm.security.com[/url]和[url]www.rootshell.com[/url]网站下载。Mixter把独立的dos攻击代码放在一起,做出一个易用的程序。攻击者可以选择进行单个的攻击或尝试所有的攻击,直到成功为止。
FN2K
DDOS工具。可以看作是Traga加强的程序。TFN2K运行的DOS攻击与Traga相同,并增加了5种攻击。另外,它是一个DDOS工具,这意味着它可以运行分布模式,即Internet上的几台计算机可以同时攻击一台计算机和网络。Trinoo
DDOS工具,是发布最早的主流工具,因而功能上与TFN2K比较不是那么强大。Trinoo使用tcp和udp,因而如果一个公司在正常的基础上用扫描程序检测端口,攻击程序很容易被检测到。
Stacheldraht
Stacheldraht是另一个DDOS攻击工具,它结合了TFN与trinoo的特点,并添加了一些补充特征,如加密组件之间的通信和自动更新守护进程。
希望对你有用
‘肆’ 弱弱的问下,路由器的宽带叠加功能是什么意思谢谢
以下是抄来的,同时我也学习到了!
1、加快网络速度,动态负载均衡有效利用资源。带宽大与带宽小的根本区别是速度快慢,使用多WAN口路由器同时接入多条线路提高线路总体带宽,目前能提供足够大带宽的线路成本普遍较高,如果捆绑多条窄带宽线路汇聚线路带宽,就可以在节省成本的同时提高线路带宽,并且通过很好的动态负载均衡机制,有效的利用线路带宽,局域网内的上网请求是突发的,将这些突发的请求动态的分配到多条线路,从宏观上看可以均衡的利用各条线路带宽,避免了一条线路阻塞而另一条线路空闲的局面发生,可以充分有效的利用资源。
2、统一管理,不再划分网段使用。使用多WAN口路由器将多条线路接入到一台设备,对于局域网来说只有一个网关,避免了使用多条线路有多个网关的弊病,所有网段的局域网之间实现了真正的互连和信息共享,并且将局域网集中起来统一管理,网络管理人员可以省去很多不必要的重复工作,只要对一台设备进行管理就可以实现对局域网多种应用的管理。
3、主动选择出口,信息流向可控。通过规则设定使得宽带路由器主动选择信息出口,信息的流向可控,指定的访问请求从指定的线路流出,同时又满足了不同部门复杂多样的网络访问需求,同时保证信息的安全性。
4、实现电信网通的同时高速访问,现如今,众多主流路由器厂家的多WAN产品中都带了策略路由功能,可以现在同时的高速访问电信和网通服务器,对于一些网络环境要求高的地方,多WAN性能涉及了ADSL甚至光纤达不到的领域。独特的策略路由功能,让你在电信,联通之中畅行无阻。
问题1:负载均衡能不能达到宽带叠加。
回答:这要看你的宽带叠加的理解方向。单线程下载,负载均衡达不到下载速度的真正叠加,微观方面发送数据包的同时就已经确定了定向连接。走的哪条ADSL,那是在数据包发送的开始就已经得到了确定。单线程的下载速度始终达不到2条ADSL1+1=2的效果。多线程下载的同时。路由器的负载均衡里面。每个线程通道分别走不同的线路,是可以达到理论意义上的叠加。1+1》1.5
问题2:能不能达到当一条ADSL断网的时候游戏不掉线同时转到另一条宽带上.
回答。现在的宽带路由器是达不到这个结果的,对于游戏程序的连接来说,也是认定公网IP实现定向连接的。公网IP一变动。游戏的连接方式必然掉线,然后进行重新定向连接。就和很多游戏,一个号在线的时候,同时。这个帐号在另一个地点同时登陆的时候,在后台数据上就会显示出,并弹出此帐号已在其他地方登陆。
问题3:策略路由的作用有这么明显么?
回答:就一些网络环境转换高的网络环境而言,策略路由是个很实在的功能,电信和网通的高效访问一直是个难题。电信客户连接网通的时候,延迟大家是可以知道,对于一些高品质的游戏玩家而言,同时能玩电信和网通能解决很多时候的烦恼。
现如今,家用市场也出现了功能型的多WAN产品。负载均衡。策略路由已经出现在家用多WAN市场,组建高品质的家用,小型公司网络
‘伍’ 计算机网络安全防范的好处
1. 网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
2.
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为45000美元,每年计算机犯罪造成的经济损失高达50亿美元。
3.威胁网络安全因素
自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等; 信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两类:渗入威胁和植入威胁渗入威胁主要有:假冒、旁路控制、授权侵犯;
植入威胁主要有:特洛伊木马、陷门。
陷门:将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。
4. 在网络设备和网络应用市场蓬勃发展的带动下,近年来网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。
随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下,网络安全产品将发生了一系列的变革。
结合实际应用需求,在新的网络安全理念的指引下,网络安全解决方案正向着以下几个方向来发展:
主动防御走向市场
主动防御的理念已经发展了一些年,但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为,根据预先设定的规则,判定是否属于危险程序或病毒,从而进行防御或者清除操作。不过,从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的,如何发现、判断、检测威胁并主动防御,成为主动防御理念走向市场的最大阻碍。
由于主动防御可以提升安全策略的执行效率,对企业推进网络安全建设起到了积极作用,所以尽管其产品还不完善,但是随着未来几年技术的进步,以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展,高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场,主动防御技术走向市场将成为一种必然的趋势。
安全技术融合备受重视
随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。
软硬结合,管理策略走入安全整体解决方案
面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。
‘陆’ 网络安全技术的发展趋势
专家论坛——信息网络安全技术及发展趋势 - 华为 中文 [ 选择地区/语言 ]
在信息网络普及的同时,信息安全威胁随之也在不断增加,信息网络的安全性越来越引起人们的重视。在当前复杂的应用环境下,信息网络面临的安全角势非常严峻。
安全威胁攻击方法的演进
过去的一年里,重大信息安全事件的发生率确实已经有所下降,往年震动业界的安全事件几乎没有发生。但是在这种较为平静的表面之下,信息安全的攻击手段正变得更具有针对性,安全角势更加严峻。信息安全威胁方式的演进主要体现在如下几个方面。
实施网络攻击的主体发生了变化
实施网络攻击的主要人群正由好奇心重、炫耀攻防能力的兴趣型黑客群,向更具犯罪思想的赢利型攻击人群过渡,针对终端系统漏洞实施“zero-day攻击”和利用网络攻击获取经济利益,逐步成为主要趋势。其中以僵尸网络、间谍软件为手段的恶意代码攻击,以敲诈勒索为目的的分布式拒绝服务攻击,以网络仿冒、网址嫁接、网络劫持等方式进行的在线身份窃取等安全事件持续快增,而针对P2P、IM等新型网络应用的安全攻击也在迅速发展。近期以“熊猫烧香”、“灰鸽子”事件为代表形成的黑色产业链,也凸显了解决信息安全问题的迫切性和重要性。
企业内部对安全威胁的认识发生了变化
过去,企业信息网络安全的防护中心一直定位于网络边界及核心数据区,通过部署各种各样的安全设备实现安全保障。但随着企业信息边界安全体系的基本完善,信息安全事件仍然层出不穷。内部员工安全管理不足、员工上网使用不当等行为带来的安全风险更为严重,企业管理人员也逐步认识到加强内部安全管理、采取相关的安全管理技术手段控制企业信息安全风险的重要性。
安全攻击的主要手段发生了变化
安全攻击的手段多种多样,典型的手段包含拒绝服务攻击、非法接入、IP欺骗、网络嗅探、中间人攻击、木马攻击以及信息垃圾等等。随着攻击技术的发展,主要攻击手段由原来单一的攻击手段,向多种攻击手段结合的综合性攻击发展。例如结合木马、网络嗅探、防拒绝服务等多种攻击手段的结合带来的危害,将远远大于单一手法的攻击,且更难控制。
信息安全防护技术综述
信息网络的发展本身就是信息安全防护技术和信息安全攻击技术不断博弈的过程。随着信息安全技术的发展,我们经历了从基本安全隔离、主机加固阶段、到后来的网络认证阶段,直到将行为监控和审计也纳入安全的范畴。这样的演变不仅仅是为了避免恶意攻击,更重要的是为了提高网络的可信度。下面分析信息网络中常用的信息安全技术和网络防护方法。
基本信息安全技术
信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。目前信息网络常用的基础性安全技术包括以下几方面的内容。
身份认证技术:用来确定用户或者设备身份的合法性,典型的手段有用户名口令、身份识别、PKI证书和生物认证等。
加解密技术:在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。
边界防护技术:防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的特殊网络互连设备,典型的设备有防火墙和入侵检测设备。
访问控制技术:保证网络资源不被非法使用和访问。访问控制是网络安全防范和保护的主要核心策略,规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以权限控制。
主机加固技术:操作系统或者数据库的实现会不可避免地出现某些漏洞,从而使信息网络系统遭受严重的威胁。主机加固技术对操作系统、数据库等进行漏洞加固和保护,提高系统的抗攻击能力。
安全审计技术:包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保管理的安全。
检测监控技术:对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。
网络安全防护思路
为了保证信息网络的安全性,降低信息网络所面临的安全风险,单一的安全技术是不够的。根据信息系统面临的不同安全威胁以及不同的防护重点和出发点,有对应的不同网络安全防护方法。下面分析一些有效的网络安全防护思路。
基于主动防御的边界安全控制
以内网应用系统保护为核心,在各层的网络边缘建立多级的安全边界,从而实施进行安全访问的控制,防止恶意的攻击和访问。这种防护方式更多的是通过在数据网络中部署防火墙、入侵检测、防病毒等产品来实现。
基于攻击检测的综合联动控制
所有的安全威胁都体现为攻击者的一些恶意网络行为,通过对网络攻击行为特征的检测,从而对攻击进行有效的识别,通过安全设备与网络设备的联动进行有效控制,从而防止攻击的发生。这种方式主要是通过部署漏洞扫描、入侵检测等产品,并实现入侵检测产品和防火墙、路由器、交换机之间的联动控制。
基于源头控制的统一接入管理
绝大多数的攻击都是通过终端的恶意用户发起,通过对接入用户的有效认证、以及对终端的检查可以大大降低信息网络所面临的安全威胁。这种防护通过部署桌面安全代理、并在网络端设置策略服务器,从而实现与交换机、网络宽带接入设备等联动实现安全控制。
基于安全融合的综合威胁管理
未来的大多数攻击将是混合型的攻击,某种功能单一的安全设备将无法有效地对这种攻击进行防御,快速变化的安全威胁形势促使综合性安全网关成为安全市场中增长最快的领域。这种防护通过部署融合防火墙、防病毒、入侵检测、VPN等为一体的UTM设备来实现。
基于资产保护的闭环策略管理
信息安全的目标就是保护资产,信息安全的实质是“三分技术、七分管理”。在资产保护中,信息安全管理将成为重要的因素,制定安全策略、实施安全管理并辅以安全技术配合将成为资产保护的核心,从而形成对企业资产的闭环保护。目前典型的实现方式是通过制定信息安全管理制度,同时采用内网安全管理产品以及其它安全监控审计等产品,从而实现技术支撑管理。
信息网络安全防护策略
“魔高一尺,道高一丈”,信息网络的不断普及,网络攻击手段也不断复杂化、多样化,随之产生的信息安全技术和解决方案也在不断发展变化,安全产品和解决方案也更趋于合理化、适用化。经过多年的发展,安全防御体系已从如下几个方面进行变革:由“被动防范”向“主动防御”发展,由“产品叠加”向“策略管理”过渡,由“保护网络”向“保护资产”过渡。
根据对信息网络安全威胁以及安全技术发展趋势的现状分析,并综合各种安全防护思路的优点,信息网络安全防护可以按照三阶段演进的策略。通过实现每一阶段所面临的安全威胁和关键安全需求,逐步构建可防、可控、可信的信息网络架构。
信息网络安全防护演进策略
信息网络安全防护演进将分为三个阶段。
第一阶段:以边界保护、主机防毒为特点的纵深防御阶段
纵深防御网络基于传统的攻击防御的边界安全防护思路,利用经典的边界安全设备来对网络提供基本的安全保障,采取堵漏洞、作高墙、防外攻等防范方法。比如通过防火墙对网络进行边界防护,采用入侵检测系统对发生的攻击进行检测,通过主机病毒软件对受到攻击的系统进行防护和病毒查杀,以此达到信息网络核心部件的基本安全。防火墙、入侵检测系统、防病毒成为纵深防御网络常用的安全设备,被称为“老三样”。
随着攻击技术的发展,纵深防御的局限性越来越明显。网络边界越来越模糊,病毒和漏洞种类越来越多,使得病毒库和攻击特征库越来越庞大。新的攻击特别是网络病毒在短短的数小时之内足以使整个系统瘫痪,纵深防御的网络已经不能有效解决信息网络面临的安全问题。这个阶段是其它安全管理阶段的基础。
第二阶段:以设备联动、功能融合为特点的安全免疫阶段
该阶段采用“积极防御,综合防范”的理念,结合多种安全防护思路,特别是基于源头抑制的统一接入控制和安全融合的统一威胁管理,体现为安全功能与网络设备融合以及不同安全功能的融合,使信息网络具备较强的安全免疫能力。例如网络接入设备融合安全控制的能力,拒绝不安全终端接入,对存在安全漏洞的终端强制进行修复,使之具有安全免疫能力;网络设备对攻击和业务进行深层感知,与网络设备进行全网策略联动,形成信息网络主动防御能力。
功能融合和全网设备联动是安全免疫网络的特征。与纵深防御网络相比,具有明显的主动防御能力。安全免疫网络是目前业界网络安全的主题。在纵深防御网络的基础上,从源头上对安全威胁进行抑制,通过功能融合、综合管理和有效联动,克服了纵深防御的局限性。
第三阶段:以资产保护、业务增值为特点的可信增值阶段
可信增值网络基于信息资产增值的思想,在基于资产保护的闭环策略管理的安全防护思路的基础上,通过建立统一的认证平台,完善的网络接入认证机制,保证设备、用户、应用等各个层面的可信,从而提供一个可信的网络环境,促进各种杀手级应用的发展,实现信息网络资产的增值。
在可信增值网络中,从设备、终端以及操作系统等多个层面确保终端可信,确保用户的合法性和资源的一致性,使用户只能按照规定的权限和访问控制规则进行操作,做到具有权限级别的人只能做与其身份规定相应的访问操作,建立合理的用户控制策略,并对用户的行为分析建立统一的用户信任管理。
从业界的信息安全管理发展趋势来看,基本上会遵循上述的三个阶段来发展。目前还处于第二阶段,第三阶段的部分技术和解决方案也在开发中。下面我们详细介绍第二阶段——安全免疫阶段。
安全免疫网络介绍
采用“堵漏洞、作高墙、防外攻”等防范方法的纵深防御网络在过去的一段时间里对信息网络的安全管理发挥了重要作用。但是目前网络威胁呈现出复杂性和动态性的特征,黑客日益聚焦于混合型攻击,结合各种有害代码来探测和攻击系统漏洞,并使之成为僵尸或跳板,再进一步发动大规模组合攻击。攻击速度超乎想象,已经按小时和分钟来计算,出现了所谓大量的零日或零小时攻击的新未知攻击。纵深防御网络已经不能胜任当前的网络安全状况。
用户更需要零距离、多功能的综合保护。安全能力与网络能力的融合,使网络具备足够的安全能力,将成为信息网络发展的趋势。安全免疫网络基于主动防御的理念,通过安全设备融合网络功能、网络设备融合安全能力,以及多种安全功能设备的融合,并与网络控制设备进行全网联动,从而有效防御信息网络中的各种安全威胁。
免疫网络具备以下两大特点
产品、功能和技术的融合
在安全免疫网络中,安全功能将与网络功能相互融合,同时安全功能之间将进行集成融合。此时,在安全产品中可以集成数据网络应用的网卡、接口技术、封装技术等,如E1/T1接口、电话拨号、ISDN等都可以集成进安全网关。此外,新的安全网关技术可以支持RIP、OSPF、BGP、IPv6等协议,满足中小企业对安全功能和路由功能融合的需求。网关安全产品已经从单一的状态检测防火墙发展到了加入IPS、VPN、杀毒、反垃圾邮件的UTM,再到整合了路由、语音、上网行为管理甚至广域网优化技术的新型安全设备。
此外,在交换机、路由器甚至宽带接入设备中也可以集成防火墙、入侵检测、VPN以及深度检测功能,而且原有的防火墙、深度检测、VPN、防病毒等功能也可以集成在一个统一的设备中。相关的网络设备或者安全设备可以部署在网络边缘,从而对网络进行全方位保护。
终端、网络和设备的联动
安全免疫网络的联动有两个核心。第一个核心是接入控制,通过提供终端安全保护能力,在终端与安全策略设备、安全策略设备与网络设备之间建立联动协议。第二个核心是综合安全管理,综合安全管理中心作为一个集中设备,提供对全网设备、主机以及应用的安全攻击事件的管理。在中心与网络设备、安全设备之间建立联动协议,从而实现全网安全事件的精确控制。
安全功能融合以及联动防御成为安全免疫网络的主题。融合的作用将使安全功能更集中、更强大,同时安全设备与路由功能的融合、安全功能与网络设备的融合将使网络对攻击具备更强的免疫能力;通过基于安全策略的网络联动,可实现统一的安全管理和全网的综合安全防御。
‘柒’ 什么是Internet Explorer的累积安全性更新
Internet Explorer的累积安全性更新简单的来说就是IE浏览器的追加堆叠的安全更新。
首先,Internet Explorer原称Microsoft Internet Explorer(6版本以前)和Windows Internet Explorer(7,8,9,10,11版本),简称IE(以下如无特殊说明,所有涉及Microsoft Internet Explorer或Windows Internet Explorer的名称均用简称IE表示)。在IE7以前中文直译为“网络探路者”,但在IE7以后便直接俗称"IE浏览器"。是美国微软公司推出的一款网页浏览器。
其次,累积性安全更新指的是当关闭了windows本身的自动更新后,网络不能及时更新漏洞。积累了多个更新。在安装了另外更新软件后,或重新开启win更新后,这些更新被发现。或者在重新安装系统后,由于版本存在落后性,也积累了一些更新。这些更新被发现后,都要一次显示出来,就是累积的安全更新。
通过以上的两点说明,Internet Explorer的累积安全性更新也就可以理解为IE浏览器由于长时间未进行更新修补漏洞,而累积叠加的很多关于IE浏览器的安全性的更新补丁包。
参考资料:
网络IEhttp://ke..com/view/85144.htm
‘捌’ 网速慢可以叠加网络来提升网速吗
您好,是不可以的,网络速率是无法叠加的,目前运营商都是不支持多拨的。
提升宽带速率的小方法:
1、选用高配置电脑。选用处理器能力较强、内存容量较高的电脑。
2、升级操作系统。及时安装操作系统补丁,选择适当的杀毒软件并合理配置,提高电脑的安全性和可靠性,防范蠕虫病毒。
3、清理和优化电脑。定期清理电脑内不再使用的软件程序和临时文件等。
4、关闭不使用的程序或窗口。加载过多的应用程序或同时打开过多的窗口会导致电脑系统资源不足,影响性能,从而导致上网速度变慢。可尝试关闭不使用的程序或窗口,或留出足够的缓存空间。
5、给”猫”降温。“ 猫”应避免放置在密闭狭小空间内,防止影响散热导致设备不稳定。一旦网速是在持续上网较长时间后变慢,可以尝试关闭“猫”的电源,散热后再重新打开电源。
6、安装的无线路由器要加密。家中安装无线路由器(AP)后,及时设置密码,防止“蹭网”。
7、使用带屏蔽功能的网线。如果网线经过电视等电器,建议使用带屏蔽功能的网线。
8、检查网线连接。网线接触不良也可能引起网速变慢甚至断网。
9、同时下载文件的数量不要过多。网速变慢时,关闭一些网页或窗口,减少下载文件数量。
10、避开上网高峰时段。如果不是急需的文件,可选择上网用户少的时段下载。
‘玖’ 网络安全,学习,教程
Internet安全问题,是人们十分关注的问题。据有关方面的了解,2001年的爱虫病毒与2002年的Code red蠕虫在若干小时之内传染了几十万台主机,每次造成10亿美元左右的损失。有一份调查报告谈到,截止2002年10月,有88%的网站承认,它们中间有90%已经安装了防火墙和入侵监测等安全设备。但最后一年内有88%受到病毒传染,而有关网络的研究表明,Internet具有free scale的性质,其感染病毒的域值,几乎为零。所以国内外一些有识之士提出安全的“范式转换”,例如国外对现在的安全范式提出过两点看法: 1) 传统的安全范式对Internet的“复杂性”缺乏足够的认识,安全最麻烦的问题所在是“复杂性”。 2) 以往(例如欧洲)对于信息安全所采取的措施是建立防火墙、堵漏洞,但没有从整体性、协同方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。 如果对Internet(或万维网www)加以分析,WWW是计算机与网民构成的人 . 网相结合的系统,我们从系统科学的观点来分析,WWW是一个“开放的复杂巨系统”(OCGS),这种系统是我国科学家于20世纪90年代提炼出来的,但网络专家往往对此不容易接受。我们曾经专门写了一篇题为“Internet —— 一个开放的复杂巨系统”的文章,将在《 中国科学 》上发表专门讨论这个问题,这里就不多说了。更为重要的是国内不仅提出像WWW这样的开放复杂巨系统,而且于1992年提出处理OCGS的方法论,即与“从定性到定量的综合集成研讨厅体系”,把各行各业的智慧、群体经验、古今中外的安全知识与高性能计算机、海量储存器、宽带网络和数据融合、挖掘、过滤等技术结合起来,形成一个处理复杂问题及系统风险(Systemicrisks)决策的平台。研讨厅体系的精要可概括如下: 1. 电脑是人脑研制出来的,在解决问题时,两者应互相配合,以人为主,充分发挥两者的积极作用。我国的一位哲学家熊十力曾经把人的智慧(Human mind,心智或称脑智)分为性智与量智两类;性智一个人把握全面、定性的预测、判断的能力,是通过文学艺术等方面的培养与训练而形成的;我国古代的读书人所学的功课中,包括琴、棋、书、画,这对一个人的修身养性起着重要作用。 性智可以说是形象思维的结果,难以用电脑模拟,人们对艺术、音乐、绘画等方面的创造与鉴赏能力等都是形象思维的体现。心智的另一部分称为量智,量智是通过对问题的分析、计算,通过科学的训练而形成的智慧。人们对理论的掌握与推导,用系统的方法解决问题的能力都属于量智,是逻辑思维的体现。所以对青少年的培养来说,艺术与科学是两个十分重要的方面。分析现在的电脑的体系结构,用电脑对量智进行模拟是有效的。人工智能的研究表明了用电脑对逻辑思维的模拟,可以取得成功;但是用现在的电脑模拟形象思维基本上是行不通的。电脑毕竟是人研制出来的,是死的不是活的,我们用不着一定要电脑做它做不到的事。总而言之,明智的方法是人脑与电脑相结合;性智由人来创造与实现,而与量智有关的事由电脑来实现,这是合理而又有实效的途径。从体系上讲,人作为系统中的成员,综合到整个系统中去,利用并发挥人类和计算机各自的长处,把人和计算机结合起来形成新的体系。 2. 以“实践论”为指导,把认识从定性提高到定量 面对未知的问题,采用综合集成法进行分析与解决的过程如下:首先由专家或专家群体提出解决该问题的猜想,根据以往经验性认识提出意见,这种意见或见解属于“定性”性质;再利用精密科学中所用的建模方法(数学建模或计算机建模),用人机结合的方法建立和反复修改模型,达到从定性认识上升到总的定量的认识,这也可以说是专家们的大胆假设通过电脑包括信息网络加以细心求证的过程。这一过程需要计算机软硬件环境,各种数据库、知识库以及信息网络的支持,是充分利用信息技术的体现。 3. 以Internet为基础,体现民主集中制,寻求科学与经验相结合的解答 “综合集成研讨厅”可以看成是总体规划信息革命思维工作方法的核心。它实际上是将我国民主集中制的原则运用于现代科学技术的方法之中,并以Internet为工具系统,寻求科学与经验相结合的解答。 一些从事网络安全的专家的看法归纳为: 1. Internet不是一般的系统,是开放,人在其中,与社会系统紧密耦合的复杂巨系统; 2. Internet是一个时时处处有人参预的、自适应的、不断演化的,不断涌现出新的整体特性的过程; 3. Internet的安全管理,不是一般管理手段的叠加和集成,而是综合集成(metasynthesis)。两者的本质区别在于强调人的关键作用,是人网结合、人机结合,发挥各自的优势。 在信息社会中网络将逐渐成为人们离不开的工作与生活中的必须品。众多网民(上网的人)的行为必须有所规范,理所应当的必须遵循“网络道德原则”。下面引用北大出版《 信息科学技术与当代社会 》中,有关“网络行为规范”与“网络道德原则”的论点,作为进一步思考的参考。 (一) 网络行为规范 到目前为止,在Internet上,或在整个世界范围内,一种全球性的网络规范并没有形成,有的只是各地区、各组织为了网络正常运作而制订的一些协会性、行业性计算机网络规范。这些规范由于考虑了一般道德要求在网络上的反映,也在很大程度上保证了目前网络发展的基本需要,因此很多规范具有普遍的“网络规范”的特征。而且,人们可以从不同的网络规范中抽取共相同的、普遍的东西出来,最终上升为人类普遍的规范和准则。 国外研究者认为,每个网民必须认识到:一个网民在接近大量的网络服务器、地址、系统和人时,其行为最终是要负责任的。“Internet”或者“网络”不仅仅是一个简单的网络,它更是一个由成千上万的个人组成的网络网络“社会”,就像你驾车要达到某个目的地一样必须通过不同的交通路段,你在网络上实际也是在通过不同的网络“地段”,因此,参与到网络系统中的用户不仅应该意识到“交通”或网络规则,也应认识到其他网络参与者的存在,即最终要认识到网络网络行为无论如何是要遵循一定的规范的。作为一个网络用户,你可以被允许接受其他网络或者连接到网络上的计算机系统,但你也要认识到每个网络或系统都有它自己的规则和程序,在一个网络或系统中被允许的行为在另一个网络或系统中也许是受控制,甚至是被禁止的。因此,遵守其他网络的规则和程序也是网络用户的责任,作为网络用户要记住这样一个简单的事实,一个用户“能够”采取一种特殊的行为并不意味着他“应该”采取那样的行为。 因此,既然网络行为和其他社会一样,需要一定的规范和原则,因而国外一些计算机和网络组织为其用户制定了一系列相应的规范。这些规范涉及网络行为的方方面面,在这些规则和协议中,比较着名的是美国计算机伦理学会(Computer Ethics Institute)为计算机伦理学所制定的十条戒律(The Ten Commandments),也可以说就是计算机行为规范,这些规范是一个计算机用户在任何网络系统中都“应该”遵循的最基本的行为准则,它是从各种具体网络行为中概括出来的一般原则,它对网民要求的具体内容是: 1. 不应用计算机去伤害别人; 2. 不应干扰别人的计算机工作; 3. 不应窥探别人的文件; 4. 不应用计算机进行偷窃; 5. 不应用计算机作伪证; 6. 不应使用或拷贝你没有付钱的软件; 7. 不应未经许可而使用别人的计算机资源; 8. 不应盗用别人智力成果; 9. 应该考虑你所编的程序的社会后果 10. 应该以深思熟虑和慎重的方式来使用计算机。 再如,美国的计算机协会(The Association of Computing Machinery)是一个全国性的组织,它希望它的成员支持下列一般的伦理道德和职业行为规范: 1. 为社会和人类作出贡献; 2. 避免伤害他人; 3. 要诚实可*; 4. 要公正并且不采取歧视性行为; 5. 尊重包括版权和专利在内的财产权; 6. 尊重知识产权; 7. 尊重他人的隐私; 8. 保守秘密。 国外有些机构还明确划定了那些被禁止的网络违规行为,即从反面界定了违反网络规范的行为类型,如南加利福尼亚大学网络伦理声明(the Network Ethics Statement University of Southern California)指出了六种不道德网络行为类型: 1. 有意地造成网络交通混乱或擅自闯入网络及其相联的系统; 2. 商业性地或欺骗性地利用大学计算机资源; 3. 偷窃资料、设备或智力成果; 4. 未经许可接近他人的文件; 5. 在公共用户场合做出引起混乱或造成破坏的行动; 6. 伪造电子函件信息。 上面所列的“规范”的两方面内容,一是“应该”和“可以”做的行为,二是“不应该”和“不可以”做的行为。事实上,无论第一类还是第二类,都与已经确立的基本“规范”相关,只有确立了基本规范,人们才能对究竟什么是道德的或不道德的行为作出具体判断。 (二) 网络道德原则 网络道德的三个斟酌原则是全民原则、兼容原则和互惠原则。 网络道德的全民原则内容包含一切网络行为必须服从于网络社会的整体利益。个体利益服从整体利益;不得损害整个网络社会的整体利益,它还要求网络社会决策和网络运行方式必须以服务于社会一切成员为最终目的,不得以经济、文化、政治和意识形态等方面的差异为借口把网络仅仅建设成只满足社会一部分人需要的工具,并使这部分人成为网络社会新的统治者和社会资源占有者。网络应该为一切愿意参与网络社会交往的成员提供平等交往的机会,它应该排除现有社会成员间存在的政治、经济和文化差异,为所有成员所拥有并服务于社会全体成员。 全民原则包含下面两个基本道德原则:第一,平等原则。每个网络用户和网络社会成员享有平等的社会权利和义务,从网络社会结构上讲,他们都被给予某个特定的网络身份,即用户铭、网址和口令,网络所提供的一切服务和便利他都应该得到,而网络共同体的所有规范他都应该遵守并履行一个网络行为主体所应该履行的义务。第二,公正原则。网络对每一个用户都应该做到一视同仁,它不应该为某些人制订特别的规则并给予某些用户特殊的权利。作为网络用户,你既然与别人具有同样的权利和义务,那么就不要强求网络能够给你与别人不一样的待遇。 网络道德的兼容原则认为,网络主体间的行为方式应符合某种一致的、相互认同的规范和标准、个人的网络行为应该被他人及整个网络社会所接受,最终实现人们网际交往的行为规范化、语言可理解化和信息交流的无障碍化。其中最核心的内容就是要求消除网络社会由于各种原因造成的网络行为主体间的交往障碍. 当我们今天面临网络社会,需要建立一个高速信息网时,兼容问题依然有其重要意义。“当世界各地正在研究环境与停车场的时候,新的竞争的种子也正在不断地播下。例如,Internet正逐渐变得如此重要,以至于只有Windows在被清楚地证明为是连接人们与Internet之间的最佳途径后,才可能兴旺发达起来。所有的操作系统公司都在十万火急地寻找种种能令自己在支持Internet方面略占上风,具有竞争力的方法。” 兼容原则要求网络共同规范适用于一切网络功能和一切网络主体。网络的道德原则只有适用于全体网络用户并得到全体用户的认可,才能被确立为一种标准和准则。要避免网络道德的“沙文主义”和强权措施,谁都没有理由和“特权”硬把自己的行为方式确定为唯一道德的标准,只有公认的标准才是网络道德的标准。 兼容原则总的要求和目的是达到网络社会人们交往的无障碍化和信息交流的畅通性。如果在一个网络社会中,有些人因为计算机硬件和操作系统的原因而无法与别人交流,有些人因为不具备某种语言和文化素养而不能与别人正常进行网络交往,有些人被排斥在网络系统的某个功能之外,这样的网络是不健全的。从道德原则上讲,这种系统和网络社会也是不道德的,因为它排斥了一些参与社会正常交往的基本需要。因此,兼容不仅仅是技术的,也是道德的社会问题。 网络道德的互惠原则表明,任何一个网络用户必须认识到,他(她)既是网络信息和网络服务的使用者和享受者,也是网络信息的生产者和提供者,网民们有网络社会交往的一切权利时,也应承担网络社会对其成员所要求的责任。信息交流和网络服务是双向的,网络主体间的关系是交互式的,用户如果从网络和其他网络用户得到什么利益和便利,也应同时给予网络和对方什么利益和便利。 互惠原则集中体现了网络行为主体道德权利和义务的统一。从伦理学上讲,道德义务是“指人们应当履行的对社会、集体和他人的道德责任。凡是有人群活动的地方,人和人之间总得发生一定的关系,处理这种关系就产生义务问题。”作为网络社会的成员,他必须承担社会赋予他的责任,他有义务为网络提供有价值的信息,有义务通过网络帮助别人,也有义务遵守网络的各种规范以推动网络社会的稳定有序的运行。这里,可以是人们对网络义务自学意识到后而自觉执行,也可以是意识不到而规范“要求”这么做,但无论怎样,义务总是存在的。当然,履行网络道德义务并不排斥行为主体享有各种网络权利,美国学者指出,“权利是对某种可达到的条件的要求,这种条件是个人及其社会为更好地生活所必需的。如果某种东西是生活中得好可得到且必不可少的因素,那么得到它就是一个人的权利。无论什么东西,只要它生活得好是必须的、有价值的,都可以被看作一种权利。如果它不太容易得到,那么,社会就应该使其成为可得到的。”
呵呵,都是这样啦,很正常!
bIwx互№②嫛x互№②嫛zˉ+x互№②嫛uㄎzˉ+rn60778672232011-8-19 20:34:10