網絡攻擊的防范措施
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡攻擊的防范措施范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡攻擊的防范措施范文第1篇
一、網絡常見的攻擊方法
1.網絡監聽攻擊。網絡監聽是一種監視網絡狀態、數據流,以及網絡上傳輸信息的管理工具,它可以將網絡接口設置在監聽模式,并且可以截獲網絡上傳輸的信息,取得目標主機的超級用戶權限。作為一種發展比較成熟的技術,監聽在協助網絡管理員監測網絡傳輸數據、排除網絡故障等方面具有不可替代的作用。然而,網絡監聽也給網絡安全帶來了極大的隱患,當信息傳播的時候,只要利用工具將網絡接口設置在監聽的模式,就可以將網絡中正在傳播的信息截獲,從而進行攻擊。網絡監聽在網絡中的任何一個位置模式下都可實施進行。而入侵者一般都是利用網絡監聽工具來截獲用戶口令的。
2.緩沖區溢出攻擊。簡單地說就是程序對接受的輸入數據沒有進行有效檢測導致的錯誤,后果可能造成程序崩潰或者是執行攻擊者的命令。UNIX和Windows本身和在這兩個系統上運行的許多應用程序都是C語言編寫的,C、C++語言對數組下標訪問越界不作檢查,是引起緩沖區溢出的根本原因。在某些情況下,如果用戶輸入的數據長度超過應用程序給定的緩沖區,就會覆蓋其他數據區,這就稱“緩沖區溢出”。
3.拒絕服務攻擊。拒絕服務攻擊,即攻擊者想辦法讓目標機器停止提供服務或資源訪問。這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。最常見的拒絕服務攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指用極大的通信量沖擊網絡,使得所有的網絡資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。這是由網絡協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器緩沖區滿負荷,不接受新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
4.基于瀏覽器的攻擊。基于瀏覽器的攻擊主要是利用瀏覽器系統對電腦的數據處理系統進行破壞,或者是黑客利用瀏覽器與用戶許可體系進行攻擊,訪問計算機并盜取或破壞其中的重要信息,還很多種其它的表現形式,如傳播病毒、隱藏木馬等。
5.系統漏洞的攻擊。系統漏洞是程序中無意造成的缺陷,它形成了一個不被注意的通道。漏洞也指無意的配置錯誤,如使用默認服務器配置。許多時候,運行在服務器上的操作系統或程序包含這些代碼問題。黑客就利用這些問題,利用它們進行攻擊。
6.系統默認設置。在系統安全中最常見和最緊迫的問題是絕大多數系統使用默認的配置,幾乎所有的網絡后臺運行程序在默認設置的情況下都泄漏很多的信息。在連接過程中,每臺計算機為了在服務器和Internet之間建立一個連接,必須提供具有潛在敏感性的信息。如運行在任何服務器上的標題信息,對黑客來說至關重要,因為他們可以通過此信息識別主機上運行的操作系統和Internet服務的類型。有時,標題信息可以通過直接遠程登錄到主機上的一個特殊端口而獲得。
7.木馬攻擊。完整的木馬程序一般由兩個部分組成:一個是服務器程序,一個是控制器程序。“中了木馬”就是指安裝了木馬的服務器程序,服務端程序就相當于一個應用程序服務器一樣,一旦運行會一直監聽某個端口,等待客戶的請求。若你的電腦被安裝了服務器程序,則擁有控制器程序的人就可以通過網絡控制你的電腦為所欲為,這時你電腦上的各種文件、程序,以及在你電腦上使用的賬號、密碼就無安全可言了。
8.間諜軟件。間諜軟件是一種來自互聯網的,能夠在用戶不知情的情況下偷偷進行非法安裝,并悄悄把截獲的一些機密信息發送給第三者的軟件。隱藏在用戶計算機中秘密監視用戶活動,對用戶電腦攻擊,竊取密碼、信用卡號和其它機密數據,消耗計算能力,使計算機崩潰。
二、攻擊的一般過程
1.收集信息,分析存在的漏洞。黑客首先要確定攻擊的目標,在獲取目標機及其所在的網絡類型后,還需進一步獲取有關信息,如目標機的IP地址、操作系統類型和版本、系統管理人員的郵件地址等,根據這些信息進行分析,可得到有關被攻擊方系統中可能存在的漏洞。如運行一個host命令,可以獲得目標網絡中有關機器的IP地址信息,還可識別出目標機的操作系統類型。利用WHOIS查詢,可了解技術管理人員的名字信息。運行一些Usernet和Web查詢可了解有關技術人員是否經常上Usernet,收集有關技術人員重要信息。每個操作系統都有自己的一套漏洞,有些是已知的,而有些則需要仔細研究才能發現。管理員不可能不停地閱讀每個平臺的安全報告,因此極有可能對某個系統的安全特性掌握得不夠。通過對上述信息的分析,黑客就可以得到對方計算機網絡可能存在的漏洞,并針對這些存在的漏洞進行攻擊。
2.建立模擬環境,進行模擬攻擊。根據第一步所獲得的信息,建立模擬環境,然后對模擬目標機進行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據。
網絡攻擊的防范措施范文第2篇
關鍵詞:網絡熵 計算機網絡 攻擊 安全性 效果 定量評估 方法 分析
中圖分類號:G623.58 文獻標識碼:A 文章編號:1672-3791(2013)02(b)-0018-01
隨著計算機技術以及網絡信息技術在實際應用中的不斷發展進步,計算機網絡安全的要求也隨之提高。比如,在信息安全領域,對于信息安全的內涵理解就在不斷的延伸擴展,由原來的對于信息安全的保密性理解,逐漸擴展成為不僅包含信息保密性,更包括信息的完整性以及可用性、可靠性、不可否認性等,同時在進行信息安全保護的過程中,也逐漸發展并包含了對于信息攻擊以及防范、檢測、控制、管理、評估等多方面的安全防護理論以及技術等。在現代的信息管理系統中,對于信息安全的管理主要核心就是對于信息安全密碼的應用與管理,實現對于信息安全密碼的應用管理,首先需要通過進行可信信息系統的建立與評估,在此基礎上,實現對于信息密碼安全管理。計算機網絡攻擊效果的評估是信息系統安全綜合評估的重要組成部分,進行計算機網絡攻擊效果的評估,不僅有利于提高計算機信息系統在復雜網絡環境下的突發網絡攻擊應對能力,而且對于計算機網絡攻擊反擊也具有一定的應對參考作用。
1 計算機網絡安全性能指標的選取分析
在進行計算機網絡攻擊效果的定量評估過程中,要實現對于計算機網絡攻擊效果的評估分析,首先需要通過選取計算機網絡安全性能指標因素,對于計算機網絡攻擊前后的安全變化情況進行分析的基礎上,才能實現對于計算機網絡攻擊效果的評估。
通常情況下,進行計算機網絡攻擊的目的,就是為了破壞計算機網絡的安全特性,是計算機網絡失效或者是達到降低的效果。因此,通過對于計算機網絡攻擊前后安全性能指標的選取分析,來實現對于計算機網絡攻擊前后安全性能的變化描述,并且計算機網絡攻擊前后的安全性能指標差值,就是進行計算網絡攻擊效果評價的重要標準。本文主要通過系統分析法,通過對于計算機網絡安全機制的研究分析,通過計算機網絡安全機制以及準則、指標三級特性,實現對于計算機網絡攻擊效果的評估。通常情況下,計算機網絡安全機制主要包含計算機網絡的放繞過性、防篡改性以及可驗證性、正確性、可用性等各種性能機制,而計算機網絡安全的準則則主要包含防更改性、多樣性以及隔離性、多重性、強制性等各要素,而通常情況下,根據計算機網絡安全指標的測量結果,對于計算機網絡的安全特性又可以分為布爾型、實數型以及分級數值等各種類型,并且在進行網絡安全性能指標的選取過程中,進行安全性能指標的選取,還需要根據整體性或者是時效性等選擇原則要求進行選取實施,比較麻煩并且繁雜,在實際選擇評估應用中,需要注意結合指標選取實際情況進行簡化選取實施。
2 基于網絡熵的網絡攻擊效果計算分析
2.1 網絡熵的含義概述
通常情況下,在進行計算機網絡攻擊效果的評估過程中,進行網絡安全性能指標的簡化選取之后,由于進行網絡攻擊效果的評估只是對于網絡攻擊前后的安全性能變化的評估分析,因此,評估分析過程中可以使用網絡熵對于網絡安全性能情況進行描述評價,通常情況下網絡熵的值越小,那么就表示計算機網絡系統的安全性能越好,而一旦計算機網絡在服務運行過程中受到攻擊,那么網絡服務的性能就會下降,同時計算機網絡系統的穩定性就會受到破壞,網絡熵值也會增加。一般用下列公式(1)所示的網絡熵差值對于計算機網絡攻擊效果進行表示描述。
2.2 單個網絡安全指標網絡熵差計算方法
在計算機網絡安全性能指標因素中,根據計算機網絡安全機制以及準則等的不同,會有各方面不同的對于網絡安全性能產生影響的重要指標因素,比較復雜并且繁多,因此,在實際計算機網路安全性能指標的選取中,應注意進行簡化選擇。以計算機網絡系統的可用性為例,在確定網絡安全可用性的影響指標后,對于網絡熵差值的計算方法如下。
根據計算機可用性的影響指標因素情況,主要有網絡數據吞吐量、網絡信道利用率以及網絡延遲情況、延遲抖動頻率等,其中用S1表示計算機網絡攻擊前的吞吐量情況,用S2計算機網絡攻擊后的吞吐量情況,根據相關要求原則,那么網絡數據流量在該項指標的攻擊效果可表示為下列公式(2)所示。
2.3 計算機網絡系統的網絡熵差值計算
根據上述對于計算機網絡安全性能單個指標的網絡熵差值計算表示分析,在進行整個計算機網絡系統的網絡熵差值的計算中,就是在進行安全性能指標權重值確定的情況下,通過對于計算機網絡安全性能指標的權重因素的網絡熵差值計算,來實現對于計算機網絡系統網絡熵差值的計算描述。如下公式(4)所示,就是系統網絡熵為H情況下,用H’表示網絡攻擊后系統的網絡熵值,那么對于網絡攻擊效果的計算就可以表示為如下公式所示。
3 結語
總之,基于網絡熵的計算機網絡攻擊效果定量評估方法,是通過網絡熵描述理論,在對于計算機網絡安全性能指標權重因素的定量計算分析基礎上實現的,對于計算機網絡攻擊效果的評估具有一定的適用性。
參考文獻
[1] 張義榮,鮮明,王國玉.一種基于網絡熵的計算機網絡攻擊效果定量評估方法[J].通信學報,2004(11).
[2] 王桐桐.計算機網絡安全面臨的問題及防范措施[J].都市家教,2012(9).
[3] 黃祖文.計算機網絡運行中常見安全威脅與防范措施[J].中國新通信,2012(22).
網絡攻擊的防范措施范文第3篇
隨著計算機的普及以及網絡的飛速發展,人們生活的各個方面越來越多地依賴于計算機,它
為人類帶來了新的工作學習和生活方式,人們與計算機網絡的聯系也越來越密切。計算機網絡系統給用戶提供了很多可用的共享資源,但是也增加了網絡系統的脆弱性和受攻擊的可能性以及網絡安全等問題,網絡的安全性逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。對于這一問題我們應該十分重視。
一、計算機網絡中的安全缺陷及產生的原因
網絡出現安全問題的原因主要有:
第一,TCP/IP的脆弱性。
因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
第二,網絡結構的不安全性
因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
第三,缺乏安全意識
雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。
二、網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:
利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中,入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時,網絡入侵者最容易獲得目標網絡的信任關系,從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址,它們之間互相信任。由于這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。
三、確保計算機網絡安全的防范措施
1.防火墻技術
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。
目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
2.強化訪問控制,力促計算機網絡系統運行正常。
訪問控制是網絡安全防范和保護的主要措施,它的任務是保證網絡資源不被非法用戶使用和非常訪問,是網絡安全最重要的核心策略之一。
第一,建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
第二建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。
3.數據加密技術
網絡攻擊的防范措施范文第4篇
關鍵詞:計算機網絡;網絡安全;威脅;防范措施
互聯網一直不平靜,近來鬧得沸沸揚揚的“斯諾登事件”和“棱鏡門”揭示了黑客行為不單是個人所為,還有政府組織背景。筆者無意探討其中的是非曲折,僅結合計算機網絡中的一些的安全威脅及防范措施進行分析和探討。據《CNCERT互聯網安全威脅報告》,2013年4月份我國境內感染網絡病毒的終端數近371萬個;被篡改網站數量為9020個,其中被篡改政府網站數量為810個;CNVD收集到系統安全漏洞732個,其中高危漏洞226個,可被利用實施遠程攻擊的漏洞有624個。這里指出了計算機網絡常見的幾大安全威脅:病毒、網絡攻擊、安全漏洞。下面進行討論。
一、網絡安全與主要威脅
1.關于網絡安全。網絡安全是指計算機網絡系統的軟硬件以及系統數據處于保護狀態,不因自然因素或人為惡意破壞而導致系統破壞、數據被惡意地篡改和泄漏,從而保證計算機系統可以安全、可靠、穩定的運行。從該定義可以看出,“棱鏡門”導致全球范圍內難以計數的計算機系統受到了安全威脅,因為在人們不知不覺中個人信息可能已經泄漏出去了。
2.計算機網絡主要威脅。(1)病毒威脅。按照《中華人民共和國計算機信息系統安全保護條例》給出的定義,病毒(Virus)是編寫或插入計算機程序中,具有破壞計算機功能或數據,影響計算機使用并且可以自我復制的一組計算機指令或程序代碼。計算機病毒可以像生物病毒那樣,通過電腦硬盤、光盤、U盤、網絡等途徑自我復制而大量傳播,也能像生物病毒對待宿主那樣造成巨大破壞,例如幾年前“熊貓燒香”病毒的破壞力人們記憶尤存。(2)木馬威脅。木馬(Trojan)源于希臘傳說特洛伊木馬計的故事。木馬也是一種計算機程序,與病毒不同的是它一般不會自我復制,也不會感染其他文件,而常常偽裝成游戲或對話框吸引用戶下載,一旦進入用戶計算機系統就如同施了特洛伊木馬計那樣,在用戶電腦中破壞、盜取數據或者通過遠程操控用戶電腦。可見,木馬的危害不亞于病毒。(3) 黑客攻擊。黑客(Hacker)是指那些利用網絡攻擊技術攻擊計算機網絡中的計算機系統的人。黑客攻擊目標可能是個人電腦,也可能是企業、政府部門的服務器系統,攻擊所要達到的目的可以是獲取商業機密,進行網絡詐騙、網絡釣魚,也可能懷有某種政治目的而進行破壞,如篡改網站,攻擊政府、企事業單位的網站而使其癱瘓。(4)安全漏洞。安全漏洞是指計算機系統中存在的可能被黑客利用的缺陷,它包括系統漏洞、應用軟件漏洞、網絡設備漏洞、安全產品漏洞(如防火墻、入侵檢測系統等存在的漏洞)等。漏洞是客觀存在的,而且很難完全避免,這是由計算機系統的復雜性所決定的。但有那么一些漏洞是人為設置的,如軟件后門。(5)操作與管理漏洞。有些計算機用戶操作不當及安全意識較差。例如無意中的操作失誤,口令設置過于簡單,隨意將自己的帳號轉借給他人或者與人共享等。部分集團用戶缺乏嚴密的管理措施,使內部網絡容易受到攻擊,如一些單位的局域網、校園網為了便于資源共享,訪問控制或安全通信方面有所欠缺,采用移動設備無線傳輸數據時不經過必要的安全檢查,增加了數據泄密的幾率。
3.網絡威脅的后果。計算機網絡中的威脅已帶來許多不良影響,比較典型的后果有:一是數據丟失,對于失去重要的商業資料,其經濟損失難以估量;二是系統癱瘓,對于一些經營性網站將無法提供服務;三是機密失竊,對于推行辦公自動化的部門、單位而言,核心機密失竊不僅意味著巨大經濟損失,而且對其以后發展可能是致命的;四是威脅社會安定,一些政府網站信息資料被篡改及傳播謠言,將對社會穩定構成極大威脅。
二、計算機網絡安全防范措施
1.構建網絡安全防護體系。目前,網絡安全的形勢已不單局限于國內、某一部門、單位或個人,“棱鏡門”事件說明網絡安全更需要國際合作。從國內來說網絡安全的法律體系尚不完善,針對網絡犯罪存在一些明顯的不足,例如量刑程度較粗,相比傳統犯罪刑罰偏輕,所以健全法律法規體系建設是確保網絡安全的基礎。網絡安全防護體系應由網絡安全評估體系、網絡安全服務體系和安全防護結構體系組成。評估體系是對網絡漏洞、管理進行評估;服務體系包括應急服務體系、數據恢復服務和安全技術培訓服務;防護結構體系包括病毒防護體系、網絡訪問控制技術、網絡監控技術和數據保密技術。
2. 網絡安全技術防范措施。(1) 重視安全漏洞的修補。安全漏洞意味著系統存在可預知的不足,既然如此就應當設法彌補漏洞。如系統漏洞、應用軟件漏洞可借漏洞掃描軟件定期掃描找出漏洞,再打足補丁。對于操作系統和應用軟件應該開啟實時更新功能,及時打上補丁或更新軟件。(2)防范病毒。一般可通過安裝防病毒軟件防范病毒攻擊。防病毒軟件有單機版和網絡版兩種類型。單機版可用于個人電腦和局域網內使用,網絡版可用于互聯網環境。但需要注意的是,在當今網絡環境中使用防病毒軟件也只能提供有限度的防護,對于黑客入侵并不總有效,仍需要其他安全防護措施。(3)利用好防火墻技術。防火墻技術實質上是隔離內網與外網的屏障,避免非授權訪問。使用防火墻的關鍵是合理配置,不少人卻忽略了這一點。正確配置方案包括身份驗證、口令驗證級別以及過濾原則等。(4)訪問控制技術。訪問控制就是根據用戶身份設置不同的訪問權限。通過訪問控制技術可阻止病毒或惡意代碼入侵,減少非授權用戶訪問行為。(5)數據加密技術。數據加密可有效防止機密失竊,即使數據傳輸時被截獲,信息也不會完全泄漏。數據加密方法一般可分為對稱加密算法和非對稱加密算法兩種,前者加密與解密的密鑰相同,系統安全性與密鑰安全性關系較大;后者加密與解密密鑰不同,且需要一一對應,安全性更高。(6)其他常用安全技術。如入侵防御技術(IPS)、入侵檢測技術(IDS)、虛擬專用網技術(VPN)、網絡隔離技術等。日常應加強數據備份管理,確保數據丟失、破壞后可以迅速恢復。
三、結語
計算機網絡已經改變了人們的生活方式,也提升了生活質量,但無法忽略的是網絡威脅也始終相伴。通過有效的管理機制、技術防范措施,可以減少網絡威脅所帶來的問題,然而沒有絕對安全的技術,唯有不斷提高安全意識和更新安全技術,才能最大限度地保障網絡安全。
參考文獻:
網絡攻擊的防范措施范文第5篇
關鍵詞:計算機網絡;網絡安全;網絡攻擊;防范措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)13-3373-02
1 引言
隨著計算機技術、通訊技術、網絡技術的迅速發展,計算機網絡的資源共享進一步加強,大量在網絡中存儲和傳輸的數據就需要保護,隨之而來的計算機網絡安全問題日趨突出。針對來自不同方面的安全威脅,需要采取不同的安全對策,而且必須互相補充,才可以達到較好的效果。因此,既要使網絡開放又要使網絡安全,已成為網絡建設及安全的重大問題。
2 網絡安全問題的產生
可以從不同角度對網絡安全作出不同的解釋。一般意義上,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。然而,正是由于互聯網的上述特性,產生了許多安全問題:
1) 信息泄漏、信息污染、信息不易受控。例如,資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等,這些都是信息安全的技術難點。
2) 在網絡環境中,一些組織或個人出于某種特殊目的,進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透,甚至通過網絡進行政治顛覆等活動,使國家利益、社會公共利益和各類主體的合法權益受到威脅。
3) 網絡運用的趨勢是全社會廣泛參與,隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧,使信息資源的保護和管理出現脫節和真空,從而使信息安全問題變得廣泛而復雜。
4) 隨著社會重要基礎設施的高度信息化,社會的“命脈”和核心控制系統有可能面臨惡意攻擊而導致損壞和癱瘓,包括國防通信設施、動力控制網、金融系統和政府網站等。
3 計算機網絡攻擊的特點
3.1 網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段獲得非法的權限,并通過使用這些非法的權限
使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料顯示在終端或計算機上;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。當攻擊者危害DNS服務器并明確地更改主機名――IP地址映射表時,DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表,將客戶引導到非法的服務器,還可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。
3.2 計算機網絡攻擊的特點
計算機網絡攻擊具有:
1)損失巨大。由于攻擊和入侵的對象是網絡上的計算機,所以一旦他們取得成功,就會使網絡中成千上萬臺計算機處于癱瘓狀態,從而給計算機用戶造成巨大的損失,威脅社會和國家安全。一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。
2)手段多樣,手法隱蔽。計算機攻擊的手段可以說五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息;也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統;還可以通過一些特殊的方法繞過人們精心設計好的防火墻等等。這些過程都可以在很短的時間內通過任何一網的計算機完成。因而犯罪不留痕跡,隱蔽性很強,以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的。
4 網絡安全防范措施
4.1 加密及數字簽名技術
加密技術的出現為全球電子商務提供了保證,從而使基于Internet上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。
不對稱加密,即“公開密鑰密碼體制”,其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道,分別稱為“公開密鑰”和“秘密密鑰”。
目前,廣為采用的一種對稱加密方式是數據加密標準(DES),DES對64位二進制數據加密,產生64位密文數據,實際密鑰長度為56位(有8位用于奇偶校驗,解密時的過程和加密時相似,但密鑰的順序正好相反),這個標準由美國國家安全局和國家標準與技術局來管理。DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。現在DES也可由硬件實現,AT&T首先用LSI芯片實現了DES的全部工作模式,該產品稱為數據加密處理機DEP。另一個系統是國際數據加密算法(IDEA),它比DES的加密性好,而且計算機功能也不需要那么強。在未來,它的應用將被推廣到各個領域。IDEA加密標準由PGP(Pretty Good Privacy)系統使用,PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統。在PGP系統中,使用IDEA(分組長度128bit)、RSA(用于數字簽名、密鑰管理)、MD5(用于數據壓縮)算法,它不但可以對你的郵件保密以防止非授權者閱讀,還能對你的郵件加以數字簽名從而使收信人確信郵件是由你發出。
4.2 網絡安全漏洞及入侵檢測
掃描安全漏洞就是掃描網絡中系統、程序、軟件的漏洞。采用漏洞掃描系統對網絡及各種系統進行定期或不定期的掃描監測,并向安全管理員提供系統最新的漏洞報告,使管理員能夠隨時了解網絡系統當前存在的漏洞并及時采取相應的措施進行修補。
入侵檢測是通過計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。與其它安全產品不同的是,入侵檢測系統需要更多的智能,它必須可以將得到的數據進行分析,并得出有用的結果。
4.3 數據備份和恢復
網絡系統由于各種原因出現災難事件時最為重要的是恢復和分析的手段和依據。網絡運行部門應該制定完整的系統備份計劃,并嚴格實施。備份計劃中應包括網絡系統和用戶數據備份、完全和增量備份的頻度和責任人。
4.4 安裝配置防火墻
利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
5 結束語
網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,僅僅采用一兩項安全技術是不足以全面對抗網絡上所潛在的各種威脅的。因此需要仔細考慮系統的安全需求,并將各種安全技術,如密碼技術等結合在一起,才能生成一個高效、通用、安全的網絡系統。
參考文獻:
[1] 林建平.計算機網絡安全防控策略的若干分析[J].山西廣播電視大學學報,2006(6):26-27.
[2] 袁德明,喬月圓.計算機網絡安全[M].北京:電子工業出版社,2007.
[3] 任紅衛,鄧飛其.計算機網絡安全主要問題與對策[J].網絡安全技術與應用,2004(9).
[4] 黃開枝,孫巖. 網絡防御與安全對策[M].北京:清華大學出版社.2004.
