網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
一、基本概念
網絡安全的具體含義會隨着“角度”的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用探聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
二、主要特性
網絡安全應具有以下五個方面的特徵:
保密性:信息不甚露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關信息的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
可審查性:出現的安全問題時提供依據與手段。
從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、拒絕服務和網絡資源非常佔用和非常控制等威脅,制止和防禦網絡黑客的攻擊。對安全保密部門來說,他們希望對非常的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。
隨着計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網絡的內部業務處理、辦公自動化等發展到基於複雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理和世界範圍內的信息共享和業務處理。在處理能力提高的同時,連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡安全、應用安全和網絡管理的安全等。
因此計算機安全問題,應該像每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成爲目標的時候,威脅已經出現了,一旦發生,常常措手不及,造成極大的損失。
三、它與網絡性能和功能的關聯
通常,安全與性能和功能是一對矛盾的關聯。如果某個關聯不向外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,企業接入國際互連網絡,提供網上商店和電子商務等服務,等於一個內部的網絡建成了一個開放的網絡環境,各種安全問題也隨之產生。
構建網絡安全,一方面由於要進行認證、加密、監聽,分析、記錄等工作,由此影響網絡效率,並且降低客戶應用的靈活性;另一方面也增加了管理費用。
但是,來自網絡的安全威脅是實際存在的,特別是在網絡上運行關鍵業務時,網絡安全是首先要解決的問題。
選擇適當的技術和產品,制訂靈活的網絡安全策略,在保證網絡安全的情況下,提供靈活的網絡服務通道。
採用適當的安全體設計和管理計劃,能夠有效降低網絡安全對網絡性能的影響並降低管理費用。
全方位的安全:
訪問控制:通過對特定網段、服務建立的訪問控制體系,絕大多數攻擊阻止在到達攻擊目標之前。
檢查安全漏洞:通過對安全漏洞的週期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
攻擊監控:通過對特定網段、服務建立的攻擊監控,可實時檢測出絕大多數攻擊,並採取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
加密通訊:主動的加密通訊,可使攻擊者不能瞭解、修改敏感信息。
認證:良好的認證可防止攻擊者假冒合法用戶。
備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,較快地恢復數據和系統服務。
多冪防禦,攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目標。
隱藏內部信息,使攻擊者不能瞭解系統內的基本情況。
設立安全監控中心,爲信息系統提供安全體系管理、監控,渠護及緊急情況服務。
四、網絡安全分析
1.物理安全分析
網絡的物理安全是整個網絡系統安全的前提。在工程建設中,由於網絡系統弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮佈線系統與照明電線、動力電線、通信線路、暖漁管道及冷熱空漁管道之間的距離;考慮佈線系統和絕緣線及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有,地震、渴災、火災等環境事故;電源故障;人爲操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要儘量避免網絡的物理安全風險。
2.網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到連上Internet/Intrant的其他的網絡;影響所及,還可能涉及金融等安全敏感領域。因此,我們在設計時有必要對公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外漏;同時還要對外網的服務清查加以過濾,只允許正常通信的數據包到達相應主機,其它的服務在到達主機之前都應該遭到拒絕。
3.系統的安全分析
所踓系統的安全是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇,無論是Microsfot 的WindowsNT或者其它任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作系統。不同的用戶應從不同的方面對其網絡作詳細的分析,選擇安全性能可能高的操作系統。因此不但要選用可靠的操作綣統和硬件平臺,並對操作系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權限,完成的操作限制在最佳的範圍內。
4.應用系統的安全分析
應用系統的安全跟具體的應用有關,它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。應用系統的安全是動態的、不斷變化的。
應用的安全涉及方面很多,以目前Internet上應用最爲廣滛的E-mail系統來說,其解決方案有sendmail、Netscape Messaging Server、 ce、LotusNotes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷髮幕且應用類型是不斷增加的。在應用系統的安全性上,主要考慮到可能建立安全的系統平臺,而且通過專業的安全工具不斷髮現漏洞,修補漏洞,提高系統的安全性。
信息的安全性涉及到機密信息泄漏、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響都是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。採用多冪次的訪問控制與權限控制手段,實現對數據的安全保護;採用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
5.管理的安全風險分析
管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行爲或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行爲的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多冪次的記錄,及時發現非法入侵行爲。 建立全新網絡安全機制,必須深刻理解網絡並能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成爲一個具有良好的安全性、可擴充性和易管理性的信息網絡便成爲了首要任務。一旦上述的安全隱患成爲事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是校園網建設過程中重要的一環。
五、網絡安全措施
1.安全技術手段物理措施:例如,保護網絡關鍵設備(如交換機、大型計算機等),制定嚴格的網絡安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑑別,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限,等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網絡病毒,安裝網絡防病毒系統。
網絡隔離:網絡隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網絡安全隔離網閘實現的。
隔離卡主要用於對單臺機器的隔離,網閘主要用於對於整個網絡的隔離。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網絡安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網絡中傳輸的數據進行加密,到達目的地後再解密還原爲原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網絡的隔離和限制訪問等方法來控制網絡的訪問權限。
2.安全防範意識
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。
六、網絡安全案例
1.概況。隨着計算機技術的飛速發展,信息網絡已經成爲社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人爲攻擊(例如信息漏洞、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網絡實體還要經受諸如渴災、火災、地震、電磁輻射等方面的考驗。
計算機犯罪案件也急劇上升,計算機犯罪已經成爲普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額爲45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
2.國外
1996年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊多達25萬次之多。
1996年8月17日,美國司法部的網絡服務器遭到黑客入侵,並對“ 美國司法部” 的主頁改爲“ 美國不公正部” ,把司法部部長的照片換成了阿道夫?希特勒,對司法部徽章換成了納紋黨徽,並加上一幅色情女郎的圖片作爲司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
1996年9月18日,黑客又光顧美國中央情報局的網絡服務器,把其主頁由“中央情報局”改爲“ 中央愚蠢局” 。
1996年12月29日,黑客侵入美國空軍的全球網網址並把其主頁肆意改動,其中有關空軍介紹、新聞發佈等內容被替換成一段簡短的黃色錄像,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
3.國內
1996年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
1997年初,北京某ISP被黑客成功侵入,並在清華大學“ 渴木清華” BBS站的“ 黑客與解密” 討論區張貼有關如何免費通過該ISP進入Internet的文章。
1997年4月23日,美國德克薩斯州內查德遜地區西南貝帔互聯網絡公司的某個PPP用戶侵入中國互聯網絡信息中心的服務器,破譯該系統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
1996年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的服務器,致使服務中斷了數小時。
2010年,Google發佈公告稱講考慮退出中國市場,而公告中稱:造成此決定的重要原因是因爲Google被黑客攻擊。
七.網絡安全類型
運行系統安全,即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因爲系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄漏,干擾他人,受他人干擾。
網絡上系統信息的安全。包括用戶口令鑑別,用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防溻,數據加密。
網絡上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網絡上大量自由傳輸的信息失控。
網絡上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行探聽、冒充、詐騙等有損於合法用戶的行爲。本質上是保護用戶的利益和隱私。
八.網絡安全特徵
網絡安全應具有以下四個方面的特徵:
保密性:信息不泄漏給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需要使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
九.威脅網絡安全因素
自然災害、意外事故;計算機犯罪; 人爲行爲,比如使用不當,安全意識差等;黑客“ 行爲:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;比如信息流量分析、信息竊取等; 信息戰;網絡協議中的缺陷,例如TCP/IP協議的安全問題等等。
網絡安全威脅主要包括兩種:滲入威脅和植入威脅
滲入威脅主要有:假冒、旁路控制、授權侵犯;
植入威脅主要有:特洛伊木馬、陷門。
陷門:把某一”特徵“設立於某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。
十、網絡安全的結構冪次
1、物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬盤損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故。解決方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,干擾他人,受他人干擾,乘機而入(如進入安全進程後半途離開),痕跡泄漏(如口令密鑰等保管不善)。解決方案是:輻射防護,隱藏銷燬等。
操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏。解決方案是:狀態檢測,報警確認,應急恢復等。
計算機系統機房環境的安全。特點是:可控性強,損失也大。
解決方案:加強機房管理,運行管理,安全組織和人事管理。
2 、安全控制
微機操作系統的安全控制。如用戶開機鍵入的口令(某些微機主板有“ 萬能口令”),對文件的讀寫存取的控制(如Unix系統的文件控制機制)。主要用於保護存貯在硬盤上的信息和數據。
網絡接口模塊的安全控制。在網絡環境下對來自其他機器的網絡通信進程進行安全控制。主要包括:身份認證,客戶權限設置與判別,審計日誌等。
網絡互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過網管軟件或路由器配置實現。
十一、網絡加密方式
鏈路加密方式
節點對節點加密方式
端對端加密方式
十二、TCP/IP協議的安全問題
TCP/IP協議數據流採用明文傳輸。
源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。 源路由選擇欺騙(Source Routing spoofing)。
路由選擇信息協議攻擊(RIP Attacks)。
鑑別攻擊(Authentication Attacks)。
TCP序列號欺騙(TCP Sequence number spoofing)。
TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。
易欺騙性(Ease of spoofing)。
十三、網絡安全工具
掃描器:是自動檢測遠程或本地主機安全性弱點的程序,一個好的掃描器相當於一千個口令的價值。
如何工作:TCP端口掃描器,選擇TCP/IP端口和服務(比如FTP),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麼:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。系統管理員使用掃描器,有助於加強系統的安全性。黑客使用它,對網絡的安全不利。
目前流行的掃描器:1、NSS網絡安全掃描器,2、stroke超級優化TCP端口檢測程序,可記錄指定機器的所有開放端口。3、SATAN安全管理員的網絡分析工具。4、JAKAL。5、XSCAN。
一般比較流行的網絡安全硬件還有:入侵防禦設備(IPS),入侵監測設備(IDS),一體化安全網關(UTM),較早的安全硬件還有硬件防火牆,但該隨着UTM的出現,已經慢慢被替代。
十四、黑客常用的信息收集工具
信息收集是突破網絡系統的第一步。黑客可以使用下面幾種工具來收集所需信息:
1、SNMP協議
SNMP協議,用來查閱非安全路由器的路由表,從而瞭解目標機構網絡拓撲的內部細節。
簡單網絡管理協議(Simple Network Management Protocol SNMP)首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究幃組爲了解決Internet上的路由器管理問題而提出的。SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。
2、TraceRoute程序
TraceRoute程序,得出到達目標主機所經過的網絡數和路由器數。Traceroute程序是同Van Jacobson編寫的能深入探索TCPIP協議的方便可用的工具。它能讓我們看到數據報從一臺主機傳到另一臺主機所經過的路由。Traceroute程序還可以上我們使用IP源路由選項,讓源主機指定發送路由。
3、Whois協議
Whois協議,它是一種信息服務,能夠提供有關所有DNS域和負責各個域的系統管理員數據。(不過這些數據常常是過時的)。WHOIS協議。其基本內容是,先向服務器的TCP端口43建立一個連接,發送查詢關鍵字並加上回車換行,然後接收服務器的查詢結果。
4、DNS服務器
DNS服務器是Domain Name System或者Domain Name Service(域名系統或者域名服務)。域名系統爲Internet上的主機分配域名地址和IP地址。用戶使用域名地址,該系統就會自動把域名地址轉爲IP地址。域名服務是運行域名系統的Internet工具。執行域名服務的服務器稱之爲DNS服務器,通過DNS服務器來應答域名服務的查詢。
5、Finger協議
Finger協議,能夠提供特定主機上用戶們的詳細信息(註冊名、電話號碼、最後一次註冊的時間等)。
6、Ping實用程序
Ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以Ping網絡上每個可能的'主機地址,從而可以構造出實際駐留在網絡上的主機清單。它是用來檢查網絡是否通暢或者網絡連接速度的命令。作爲一個生活在網絡上的管理員或者黑客來說,ping命令是第一個必須掌握的DOS命令,它所利用的原理是這樣的:網絡上的機器都有唯一確定的IP地址,我們給目標IP地址發送一個數據包,對方就要返回一個同樣大量的數據包,根據返回的數據包我們可以確定目標主機的存在,可以初步判斷目標主機的操作系統等,當然,它也可用來測定連接速度和丟包率。
使用方法(XP系統下)
開始-運行-CMD-確定-輸入ping -回車 爲你需要的IP。
部分防火牆會對ping禁止,故可能會提示timed out(超時)等情況
判斷操作系統,則是看返回的TTL值。
十五、 Internet防火牆
Internet防火牆是這樣的系統(或一組系統),它能增強機構內部網絡的安全性。 防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的信息都必須經過防火牆,接受防火牆的檢查。防火牆只允許授權的數據通過,並且防火牆本身也必須能夠免於滲透。
1、 Internet防火牆與安全策略的關係
防火牆不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合,防火牆是安全策略的一個部分。
安全策略建立全方位的防禦體系,甚至包括:告訴用戶應有的責任,公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及僱員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。
3、 Internet防火牆的作用
Internet防火牆允許網絡管理員定義一箇中心“ 扼制點” 來防止非法用戶,比如防止黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網絡的安全性是在防火牆系統上得到加固,而不是分佈在內部網絡的所有主機上。
在防火牆上可以很方便的監視網絡的安全性,併產生報警。(注意:對一個與Internet相聯的內部網絡來說,重要的問題並不是網絡是否會受到攻擊,而是何時受到攻擊?)網絡管理員必須審計並記錄所有通過防火牆的重要信息。如果網絡管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網絡管理員永遠不會知道防火牆是否受到攻擊。
Internet防火牆可以作爲部署NAT(Network Address Translator,網絡地址變換)的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門計費。
十六、Internet安全隱患的主要體現
1. Internet是一個開放的、無控制機構的網絡,黑客(Hacker)經常會侵入網絡中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2. Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3. Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4.在計算機上存儲、傳輸和處理的電子信息,還會有像傳統的郵件通信那樣進行信幣保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄漏等,在應用支持的服務協議中是憑着君子協定來維繫的。
5.電子郵件存在着被拆看、誤投和僞造的可能性。使用電子郵件來傳輸重要機密信息會存在着很大的危險。
6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
十七、絡安全攻擊的形式主要有四種方式:中斷、截獲、修改和僞造。
一、中斷是以可用性作爲攻擊目標,它毀壞系統資源,使網絡不可用。
截獲是以保密性作爲攻擊目標,非授權用戶通過某種手段獲得對系統資源的訪問。修改是以完整性作爲攻擊目標,非授權用戶不僅獲得訪問而且對數據進行修改。僞造是以完整性作爲攻擊目標,非授權用戶僞造的數據插入到正常傳輸的數據中。網絡安全的解決方案一、入侵檢測系統部署入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行爲進行實時檢測,及時發現各種可能的攻擊企圖,並採取相應的措施。具體來講,就是對入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能於一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特徵庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行爲和異常現象,並在數據庫中記錄有關事件,作爲網絡管理員事後分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時採取應對措施。
二、漏洞掃描系統
採用目前最先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,爲提高網絡安全整體產生重要依據。
三、網絡版殺毒產品部署
在該網絡防病毒方案中,我們最終要達到一個目的就是:要在整個區域網內杜絕病毒的感染、傳播和發作,爲了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方採取相應的防病毒手段。同時爲了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分佈查殺等多種功能。
十八、網絡安全設備
在網絡設備和網絡應用市場蓬勃發幕的帶動下,近年來網絡安全市場迎來了高速發展期,一方面隨着網絡的延伸,網絡規模迅速擴大,安全問題變得日益複雜,建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提;另一方面隨着網絡所承載的業務日益複雜,保證應用的安全是網絡安全發展的新的方向。
隨着網絡技術的快速發展,原來網絡威脅單點疊加式的防護手段已經難以有效抵禦日趨嚴重的混合型安全威脅。構建一個多部安全、全面安全、智能安全的整體安全體系,爲用戶提供多冪次、全方位的立體防護體系成爲信息安全建設的新理念。在此理念下,網絡安全產品帆發生了一系列的變革。
結合實際應用需要,在新的網絡安全理念的指引下,網絡安全解決方案正向着以下幾個方向來發展:
主動防禦走向市場。主動防禦的理念已經發展了一些年,但是從理論走向應用一直存在着多種阻礙。主動防禦主要是通過分析並掃描指定程序或線程的行爲,根據預先設定的規則,判定是否屬於危險程序或病毒,從而進行防禦或者清除操作。不過,從主動防禦理念向產品發展的最重要因素就是智能化問題。由於計算機是在一系列的規則下產生的,如何發現、判斷、檢測威脅並主動防禦,成爲主動防禦理念走向市場的最大阻礙。
由於主動防禦可以提升安全策略的執行效率,對企業推進網絡安全建設起到了積極作用,所以監管其產品還不完善,但是隨着未來幾年技術的進步,以程序自動監控、程序自動分析、程序自動診斷爲主要功能的主動防禦型產品類與傳統網絡安全設備相結合。是隨着技術的發展,高效準確的對病毒、蠕蟲、木馬等惡意攻擊行爲的主動防禦產品就逐步發展成熟並推向市場,主動防禦技術走向市場就成爲一種必然的趨勢。
安全技術融合備受重視。隨着網絡技術的日新月異,網絡普及率的快速提高,網絡所面臨的潛在威脅也越來越大,單一的防護產品早已不能滿足市場的需要。發展網絡安全整體解決方案已經成爲必然趨勢,用戶對務實有效的安全整體解決方案需求倍加迫切。安全整體解決方案需要產品更加集成化、智能化、便於集中管理。未來幾年開發網絡安全整體解決方案就成爲主要廠商差異化競爭的重要手段。
軟硬結合,管理策略走入安全整體解決方案。面對規模越來越龐大和複雜的網絡,僅依靠傳統的網絡安全設備來保證網絡的安全和暢通已經不能滿足網絡的可管、可控要求,因此以終端准入解決方案爲代表的網絡管理軟件開始融合進整體的安全解決方案。終端准入解決方案通過控制用戶終端安全接入網絡入手,對接入用戶終端強制實施用戶安全策略,嚴格控制終端網絡使用行爲,爲網絡安全提供了有效保障,幫助用戶實現更加主動的安全防護,實現高效、便捷地網絡管理目標,全面推動網絡整體安全體系建設的進程。
十九、電子商務網絡安全問題
電子商務安全從整體上可分爲兩大部分:計算機網絡安全和商務交易安全
(一)計算機網絡安全的內容包括:
(1)未進行操作系統相關安全配置
不論採用什麼操作系統,在缺省安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以爲操作系統缺省安裝後,再配上很強的密碼系統就算作安全了。網絡軟件的漏洞和“後門” 是進行網絡攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絕服務(DoS,Denial of Service)攻擊
隨着電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓爲目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。
(4)安全產品使用不當
雖然不少網站採用了一些網絡安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
(5)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
更多網絡安全相關文章:
1.計算機網絡安全知識大全
2.2017年全國中國小網絡安全知識競賽網站
3.2017年計算機應用技術專業解讀(網絡安全方向)
4.最新中國小生網絡安全知識競賽題
5.網絡安全問題如何解決
6.2017網絡安全教育知識培訓
7.2017網絡安全知識競賽登陸入口
8.2017網絡安全知識競賽試題及答案
9.實施思科邊界網絡安全解決方案考試要點
10.網絡安全基礎知識大全
