網路安全

網路安全

網路安全是指網路系統的硬體軟體及其系統中的資料受到保護,不因偶然的或者惡意的原因而遭受到破壞、變更、泄露,系統連續可靠正常地運行,網路服務不中斷。

  • 中文名稱
    網路安全
  • 外文名稱
    Network Security
  • 類別
    網路環境
  • 套用
    維護網路系統上的信息安全
  • 關聯
    電腦、通信、數學、信息安全等
  • 危機
    黑客入侵防不勝防

基本概念

網路安全

網路的安全是指通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路資料的可用性、完整性和保密性。網路安全的具體含義會隨著“角度”的變化而變化。比如:從使用者(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上載輸時受到機密性、完整性和真實性的保護。而從企業的角度來說,最重要的就是內部信息上的安全加密以及保護。

網路安全

國際標準化組織

為資料處理系統建立和採用的技術和管理的安全保護,保護電腦硬體、軟體和資料不因偶然和惡意的原因遭到破壞、變更和泄露。

選擇適當的技術和產品,如基于NACC、802.1x、EOU技術的UniNAC網路準入、終端安全管理產品,利用此類產品性能製訂靈活的網路安全策略,在保證網路安全的情況下,提供靈活的網路服務通道。

採用適當的安全體系設計和管理計畫,能夠有效降低網路安全對網路性能的影響並降低管理費用。

主要特點

保密性

      信息不泄露給非授權使用者、實體或過程,或供其利用的特徵。

網路安全

完整性

資料未經授權不能進行改變的特徵。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特徵,而且還需要有相關連線埠的保護。

可用性

可被授權實體訪問並按需求使用的特徵。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬于對可用性的攻擊

網路安全

可控性

對信息的傳播及內容具有控製、穩定、保護、修改的能力。

可審查性

出現安全問題時提供依據與手段

從網路運行和管理者角度說,他們希望對在地網路信息的訪問、讀寫等操作受到保護和控製,避免出現“陷門”、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控製等威脅,製止和防御網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控製。

隨著電腦技術的迅速發展,在電腦上處理的業務也由基于單機的數學運算、檔案處理,基于簡單連線的內部網路的內部業務處理、辦公自動化等發展到基于復雜的內部網(Intranet)、企業外部網(Extranet)、全球網際網路(Internet)的企業級電腦處理系統和世界範圍內的信息共享和業務處理。在系統處理能力提高的同時,系統的連線能力也在不斷的提高。但在連線能力信息、流通能力提高的同時,基于網路連線的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:網路的物理安全、網路拓撲結構安全、網路系統安全、套用系統安全和網路管理的安全等。

因此電腦安全問題,應該像每家每戶的防火防盜問題一樣,做到防範于未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。

維護網路安全的工具有VIEID、數位證書數位簽名和基于在地或雲端的防毒軟體等構成。在法律方面有中華人民共和國電腦信息系統安全保護條例、中華人民共和國電子簽名法等。

網路安全現狀

隨著電腦技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、資料篡改、資料刪添、電腦病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。

國外

2012年02月04日,黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音,時長17分鍾,主要內容是雙方討論如何尋找證據和逮捕Anonymous, LulzSec, Antisec, CSL Security等黑帽子黑客的方式,而其中涉及未成年黑客得敏感內容被遮蓋。

目前FBI已經確認了該通話錄音得真實性,安全研究人員已經開始著手解決電話會議系統得漏洞問題。

2012年02月13日,據稱一系列政府網站均遭到了Anonymous 組織的攻擊,而其中CIA官網周五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談,並隨後上載于網路。

國內

2010年,Google發布公告稱將考慮退出中國市場,而公告中稱:造成此決定的重要原因是因為Google被黑客攻擊。

2011年12月21日,國內知名程式員網站CSDN遭到黑客攻擊,大量使用者資料庫被公布在網際網路上,600多萬個明文的註冊信箱被迫裸奔。

2011年12月29日下午訊息,繼CSDN、天涯社區使用者資料泄露後,網際網路行業一片人心惶惶,而在使用者資料最為重要的電商領域,也不斷傳出存在漏洞、使用者泄露的訊息,漏洞報告平台烏雲昨日發布漏洞報告稱,支付寶使用者大量泄露,被用于網路行銷,泄露總量達1500萬~2500萬之多,泄露時間不明,裏面隻有支付使用者的賬號,沒有密碼。目前已經被卷入的企業有京東(微博)商城、支付寶(微博)和當當(微博)網,其中京東及 支付寶否認信息泄露,而當當則表示已經向當地公安報案。

基本術語

通常,系統安全與性能和功能是一對矛盾的關系。如果某個系統不向外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,企業接入國際互連網路,提供網上商店和電子商務等服務,等于將一個內部封閉的網路建成了一個開放的網路環境,也就開放了一個個加密的部件性程式,各種安全包括系統級的安全問題也隨之產生。

構建網路安全系統,一方面由于要進行識別、加密、監聽,分析、記錄等工作,由此影響網路效率,並且降低客戶套用的彈性;另一方面也增加了管理費用。

但是,來自網路的安全威脅是實際存在的,特別是在網路上運行關鍵業務時,網路安全是首先要解決的問題。

選擇適當的技術和產品,基于UniNAC技術、製訂靈活的網路安全策略,在保證網路安全的情況下,提供靈活的網路服務通道。

採用適當的安全體系設計和管理計畫,能夠有效降低網路安全對網路性能的影響並降低管理費用。

全方位的安全體系

與其它安全體系(如保全系統)類似,企業套用系統的安全體系應包含:

訪問控製:通過對特定網段、服務建立的訪問控製體系,將絕大多數攻擊阻止在到達攻擊目標之前。

檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。

攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可即時檢測出絕大多數攻擊,並採取相應的行動(如斷開網路連線、記錄攻擊過程、跟蹤攻擊源等)。

加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。

識別:良好的識別體系可防止攻擊者假冒合法使用者。

備份和恢復:良好的備份和恢復機製,可在攻擊造成損失時,盡快地恢復資料和系統服務。

多層防御,攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目標。

隱藏內部信息,使攻擊者不能了解系統內的基本情況。

設立安全監控中心,為信息系統提供安全體系管理、監控,渠護及緊急情況服務。

物理安全分析

網路的物理安全是整個網路系統安全的前提。在校園網工程建設中,由于網路系統屬于弱電工程,耐壓值很低。因此,在網路工程的設計和施工中,必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害;考慮布線系統與照明電線、動力電線、通信線路、暖氣通路及冷熱空氣通路之間的距離;考慮布線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮電腦及其他弱電耐壓設備的防雷。整體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁幹擾;線路截獲;高可用性的硬體;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要盡量避免網路的物理安全風險。

網路結構的安全分析

網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時,內部網路的機器安全就會受到威脅,同時也影響在同一網路上的許多其他系統。透過網路傳播,還會影響到連上Internet/Intranet的其他的網路;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開伺服器(WEB、DNS、EMAIL等)和外網及內部其它業務網路進行必要的隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,隻允許正常通信的封包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。

系統的安全分析

所謂系統的安全是指整個網路作業系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的作業系統可以選擇,無論是Microsoft 的Windows NT或者其它任何商用UNIX作業系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的作業系統。不同的使用者應從不同的方面對其網路作詳盡的分析,選擇安全性盡可能高的作業系統。因此不但要選用盡可能可靠的作業系統和硬體平台,並對作業系統進行安全配置。而且,必須加強登錄過程的識別(特別是在到達伺服器主機之前的識別),確保使用者的合法性;其次應該嚴格限製登錄者的操作許可權,將其完成的操作限製在最小的範圍內。

套用系統的安全分析

套用系統的安全跟具體的套用有關,它涉及面廣。套用系統的安全是動態的、不斷變化的。套用的安全性也涉及到信息的安全性,它包括很多方面。

——套用系統的安全是動態的、不斷變化的。

套用的安全涉及方面很多,以目前Internet上套用最為廣泛的E-mail系統來說,其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。套用系統是不斷發展且套用類型是不斷增加的。在套用系統的安全性上,主要考慮盡可能建立安全的系統平台,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高系統的安全性。

——套用的安全性涉及到信息、資料的安全性。

信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對使用者使用電腦必須進行身份識別,對于重要信息的通訊必須授權,傳輸必須加密。採用多層次的訪問控製與許可權控製手段,實現對資料的安全保護;採用加密技術,保證網上載輸的信息(包括管理員口令與帳戶、上載信息等)的機密性與完整性。

管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明,安全管理製度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行即時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。

建立全新網路安全機製,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是製定健全的管理製度和嚴格管理相結合。保障網路的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網路的損失都是難以估計的。因此,網路的安全建設是校園網建設過程中重要的一環。

主要類型

運行系統安全,即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由于電磁泄漏,產生信息泄露,幹擾他人,受他人幹擾。

網路上系統信息的安全。包括使用者口令鑒別,使用者存取許可權控製,資料存取許可權、方式控製,安全審計,安全問題跟蹤,電腦病毒防治,資料加密。

網路上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重于防止和控製非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。

網路上信息內容的安全。它側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐欺等有損于合法使用者的行為。本質上是保護使用者的利益和隱私。

安全特征

網路安全應具有以下四個方面的特征:

保密性:信息不泄露給非授權使用者、實體或過程,或供其利用的特徵。

完整性:資料未經授權不能進行改變的特徵。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特徵。

可用性:可被授權實體訪問並按需求使用的特徵。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬于對可用性的攻擊;

可控性:對信息的傳播及內容具有控製能力。

物理安全

自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁幹擾等),意外事故。解決方案是:防護措施,安全製度,資料備份等。

電磁泄漏,信息泄漏,幹擾他人,受他人幹擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解決方案是:輻射防護,螢幕口令,隱藏銷毀等。

操作失誤(如移除檔案,格式化硬碟,線路拆除等),意外疏漏。解決方案是:狀態檢測,報警確認,應急恢復等。

電腦系統機房環境的安全。特點是:可控性強,損失也大。解決方案:加強機房管理,運行管理,安全組織和人事管理。

安全控製

作業系統的安全控製:如使用者開機鍵入的口令(某些微機主機板有“ 萬能口令” ),對檔案的讀寫存取的控製(如Unix系統的檔案屬性控製機製)。

網路接口模組的安全控製。在網路環境下對來自其他機器的網路通信進程進行安全控製。主要包括:身份識別,客戶許可權設定與判別,審計日志等。

網路互聯設備的安全控製。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控製。主要通過網管軟體或路由器配置實現。

其他資料

安全技術手段

物理措施:例如,保護網路關鍵設備(如交換機、大型電腦等),製定嚴格的網路安全規章製度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。

訪問控製:對使用者訪問網路資源的許可權進行嚴格的識別和控製。例如,進行使用者身份識別,對口令加密、更新和鑒別,設定使用者訪問目錄和檔案的許可權,控製網路設備配置的許可權,等等。

資料加密:加密是保護資料安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止電腦網路病毒,安裝網路防病毒系統。

網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。

隔離卡主要用于對單台機器的隔離,網閘主要用于對于整個網路的隔離。這兩者的區別可參見參考資料。

其他措施:其他措施包括信息過濾、容錯、資料鏡像、資料備份和審計等。近年來,圍繞網路安全問題提出了許多解決辦法,例如資料加密技術和防火牆技術等。資料加密是對網路中傳輸的資料進行加密,到達目的地後再解密還原為原始資料,目的是防止非法使用者截獲後盜用信息。防火牆技術是通過對網路的隔離和限製訪問等方法來控製網路的訪問許可權。

安全防範意識

擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

主機安全檢查

要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決區域網路安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對區域網路電腦進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。

主機物理安全

伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器托管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有資料的安全。我不想在這裏討論這些因素,因為在選擇IDC時你自己會作出決策。

在這裏著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房隻提供機架。所謂機櫃,就是類似于家裏的櫥櫃那樣的鐵櫃子,前後有門,裏面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,隻有機房的管理人員才有鑰匙開啟。而機架就是一個個鐵架子,開放式的,伺服器上架時隻要把它插到拖架裏去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃裏的伺服器要安全得多。

如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麽安全性可言?

如果你的伺服器隻能放在開放式機架的機房,那麽你可以這樣做:

(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;

(2)安裝完系統後,重啓伺服器,在重啓的過程中把鍵盤和滑鼠拔掉,這樣在系統啓動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)

(3)跟機房值班人員搞好關系,不要得罪機房裏其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。

威脅因素

自然災害、意外事故;電腦犯罪; 人為行為,比如使用不當,安全意識差等;黑客” 行為:由于黑客的入侵或侵擾,比如非法訪問、拒絕服務電腦病毒、非法連線等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等; 信息戰;網路協定中的缺陷,例如TCP/IP協定的安全問題等等。

網路安全威脅主要包括兩類:滲入威脅植入威脅。滲入威脅主要有:假冒、旁路控製、授權侵犯;

植入威脅主要有:特洛伊木馬、陷門。

陷門:將某一“特征”設立于某個系統或系統部件之中,使得在提供特定的輸入資料時,允許安全策略被違反。

防火牆

Internet防火牆是這樣的系統(或一組系統),它能增強機構內部網路的安全性,一開始是由1989年的張琳婧網路安全工程師設計和命名的。防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的信息都必須經過防火牆,接受防火牆的檢查。防火牆隻允許授權的資料通過,並且防火牆本身也必須能夠免于滲透。

防火牆與安全策略

防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的設備的組合,防火牆是安全策略的一個部分。

安全策略建立全方位的防御體系,甚至包括:告訴使用者應有的責任,公司規定的網路訪問、服務訪問、在地和遠地的使用者識別、撥入和撥出、磁碟和資料加密、病毒防護措施,以及僱員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。

僅設立防火牆系統,而沒有全面的安全策略,那麽防火牆就形同虛設。

防火牆的好處

Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同于其中最弱的系統。

防火牆的作用

Internet防火牆允許網路管理員定義一個中心“ 扼製點” 來防止非法使用者,比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網路的安全性是在防火牆系統上得到加固,而不是分布在內部網路的所有主機上。

防火牆上可以很方便的監視網路的安全性,並產生報警。(註意:對一個與Internet相聯的內部網路來說,重要的問題並不是網路是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網路管理員必須審計並記錄所有通過防火牆的重要信息。如果網路管理員不能及時回響報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網路管理員永遠不會知道防火牆是否受到攻擊。

Internet防火牆可以作為部署NAT(Network Address Translator,網路地址變換)的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。

Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連線的費用情況,查出潛在的頻寬瓶頸的位置,並根據機構的核算模式提供部門級計費。

與網閘的區別

在設計理念方面,防火牆是以套用為主、以安全為輔的,也就是說在支持盡可能多的套用的前提下,來保證使用的安全。防火牆的這一設計理念使得它可以廣泛地用于盡可能多的領域,擁有更加廣泛的市場,甚至包括個人電腦都可以使用,但是它的安全性往往就差強人意。而網閘則是以安全為主,在保證安全的前提下,支持盡可能多地套用。網閘主要用于安全性要求極高的領域,例如對政府網路,工業控製系統的保護等等。

安全隱患

1、 Internet是一個開放的、無控製機構的網路,黑客(Hacker)經常會侵入網路中的電腦系統,或竊取機密資料和盜用特權,或破壞重要資料,或使系統功能得不到充分發揮直至癱瘓。

2、 Internet的資料傳輸是基于TCP/IP通信協定進行的,這些協定缺乏使傳輸過程中的信息不被竊取的安全措施。

3、 Internet上的通信業務多數使用Unix作業系統來支持,Unix作業系統中明顯存在的安全脆弱性問題會直接影響安全服務。

4、在電腦上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在套用層支持的服務協定中是憑著君子協定來維系的。

5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。

6、電腦病毒通過Internet的傳播給上網使用者帶來極大的危害,病毒可以使電腦和電腦網路系統癱瘓、資料和檔案丟失。在網路上載播病毒可以通過公共匿名FTP檔案傳送、也可以通過郵件和郵件的附加檔案傳播。

攻擊形式

主要有四種方式中斷、截獲、修改和偽造。

中斷是以可用性作為攻擊目標,它毀壞系統資源,使網路不可用。

截獲是以保密性作為攻擊目標,非授權使用者通過某種手段獲得對系統資源的訪問。

修改是以完整性作為攻擊目標,非授權使用者不僅獲得訪問而且對資料進行修改。

偽造是以完整性作為攻擊目標,非授權使用者將偽造的資料插入到正常傳輸的資料中。

網路安全的解決方案

一、入侵檢測系統部署   

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火牆相對靜態防御的不足。對來自外部網和校園網內部的各種行為進行即時檢測,及時發現各種可能的攻擊企圖,並採取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網路管理和網路監視功能于一身,能即時捕獲內外網之間傳輸的所有資料,利用內置的攻擊特征庫,使用模式匹配和智慧型分析的方法,檢測網路上發生的入侵行為和異常現象,並在資料庫中記錄有關事件,作為網路管理員事後分析的依據;如果情況嚴重,系統可以發出即時報警,使得學校管理員能夠及時採取應對措施。

二、漏洞掃描系統

採用目前最先進的漏洞掃描系統定期對工作站、伺服器、交換機等進行安全檢查,並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網路安全整體水準產生重要依據。

三、網路版防毒產品部署

在該網路防病毒方案中,我們最終要達到一個目的就是:要在整個區域網路內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網路內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網路的防病毒體系,應能實現遠程安裝、智慧型升級、遠程報警、集中管理、分布查殺等多種功能。

主要設備

在網路設備和網路套用市場蓬勃發展的帶動下,近年來網路安全市場迎來了高速發展期,一方面隨著網路的延伸,網路規模迅速擴大,安全問題變得日益復雜,建設可管、可控、可信的網路也是進一步推進網路套用發展的前提;另一方面隨著網路所承載的業務日益復雜,保證套用層安全是網路安全發展的新的方向。

隨著網路技術的快速發展,原來網路威脅單點疊加式的防護手段已經難以有效抵御日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智慧型安全的整體安全體系,為使用者提供多層次、全方位的立體防護體系成為信息安全建設的新理念。在此理念下,網路安全產品將發生了一系列的變革。

結合實際套用需求,在新的網路安全理念的指引下,網路安全解決方案正向著以下幾個方向來發展:

1、主動防御走向市場

主動防御的理念已經發展了一些年,但是從理論走向套用一直存在著多種阻礙。主動防御主要是通過分析並掃描指定程式或執行緒的行為,根據預先設定的規則,判定是否屬于危險程式或病毒,從而進行防御或者清除操作。不過,從主動防御理念向產品發展的最重要因素就是智慧型化問題。由于電腦是在一系列的規則下產生的,如何發現、判斷、檢測威脅並主動防御,成為主動防御理念走向市場的最大阻礙。

由于主動防御可以提升安全策略的執行效率,對企業推進網路安全建設起到了積極作用,所以盡管其產品還不完善,但是隨著未來幾年技術的進步,以程式自動監控、程式自動分析、程式自動診斷為主要功能的主動防御型產品將與傳統網路安全設備相結合。尤其是隨著技術的發展,高效準確的對病毒、蠕蟲、木馬等惡意攻擊行為的主動防御產品將逐步發展成熟並推向市場,主動防御技術走向市場將成為一種必然的趨勢。

2、安全技術融合備受重視

隨著網路技術的日新月異,網路普及率的快速提高,網路所面臨的潛在威脅也越來越大,單一的防護產品早已不能滿足市場的需要。發展網路安全整體解決方案已經成為必然趨勢,使用者對務實有效的安全整體解決方案需求愈加迫切。安全整體解決方案需要產品更加集成化、智慧型化、便于集中管理。未來幾年開發網路安全整體解決方案將成為主要廠商差異化競爭的重要手段。軟硬結合,管理策略走入安全整體解決方案

網路安全

面對規模越來越龐大和復雜的網路,僅依靠傳統的網路安全設備來保證網路層的安全和暢通已經不能滿足網路的可管、可控要求,因此以終端準入解決方案為代表的網路管理軟體開始融合進整體的安全解決方案。終端準入解決方案通過控製使用者終端安全接入網路入手,對接入使用者終端強製實施使用者安全策略,嚴格控製終端網路使用行為,為網路安全提供了有效保障,幫助使用者實現更加主動的安全防護,實現高效、便捷地網路管理目標,全面推動網路整體安全體系建設的進程。

電子商務

電子商務安全從整體上可分為兩大部分:電腦網路安全和商務交易安全。

(一)電腦網路安全的內容包括:  

(1)未進行作業系統相關安全配置

不論採用什麽作業系統,在缺省安裝的條件下都會存在一些安全問題,隻有專門針對作業系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為作業系統缺省安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和“後門” 是進行網路攻擊的首選目標。

(2)未進行CGI程式代碼審計

如果是通用的CGI問題,防範起來還稍微容易一些,但是對于網站或軟體供應商專門開發的一些CGI程式,很多存在嚴重的CGI問題,對于電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

(3)拒絕服務(DoS,Denial of Service)攻擊

隨著電子商務的興起,對網站的即時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。

(4)安全產品使用不當

雖然不少網站採用了一些網路安全設備,但由于安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給使用者做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設定時,很容易產生許多安全問題。

(5)缺少嚴格的網路安全管理製度 

網路安全最重要的還是要思想上高度重視,網站或區域網路內部的安全需要用完備的安全製度來保障。建立和實施嚴密的電腦網路安全製度與策略是真正實現網路安全的基礎。

二)電腦商務交易安全的內容包括:

(1)竊取信息

由于未採用加密措施,資料信息在網路上以明文形式傳送,入侵者在封包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上載輸信息泄密。

(2)篡改信息

當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上載送的信息資料在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。

(3)假冒

由于掌握了資料的格式,並可以篡改通過的信息,攻擊者可以冒充合法使用者傳送假冒的信息或者主動獲取信息,而遠端使用者通常很難分辨。

(4)惡意破壞

由于攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。

安全對策

電腦網路安全措施

電腦網路安全措施主要包括保護網路安全、保護套用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。

(一)保護網路安全。

網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、識別性和訪問控製性是網路安全的重要因素。保護網路安全的主要措施如下:

(1)全面規劃網路平台的安全策略。

(2)製定網路安全的管理措施。

(3)使用防火牆。

(4)盡可能記錄網路上的一切活動。

(5)註意對網路設備的物理保護。

(6)檢驗網路平台系統的脆弱性。

(7)建立可靠的識別和鑒別機製。

(8)對于可以的惡意程式要定時清除和查殺。

(二)保護套用安全。

保護套用安全,主要是針對特定套用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立于網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web流覽器和Web伺服器在套用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多套用還有自己的特定安全要求。

由于電子商務中的套用層對安全的要求最嚴格、最復雜,因此更傾向于在套用層而不是在網路層採取各種安全措施。

雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務套用的安全性。套用層上的安全業務可以涉及識別、訪問控製、機密性、資料完整性、不可否認性、Web安全性、EDI和網路支付等套用的安全性。

(三)保護系統安全。

保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、作業系統、各種套用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:

(1)在安裝的軟體中,如流覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。

(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多識別才允許連通,對所有接入資料必須進行審計,對系統使用者進行嚴格安全管理。

(3)建立詳細的安全審計日志,以便檢測並跟蹤入侵攻擊等。

商務交易安全措施

商務交易安全則緊緊圍繞傳統商務在網際網路絡上套用時產生的各種安全問題,在電腦網路安全的基礎上,如何保障電子商務過程的順利進行。

各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、識別技術和電子商務安全協定等。

(一)加密技術。

加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。

(1)對稱加密。

對稱加密又稱私鑰加密,即信息的傳送方和接收方用同一個密鑰去加密和解密資料。它的最大優勢是加/解密速度快,適合于對大資料量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麽機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起傳送報文摘要或報文散列值來實現。

(2)非對稱加密。

非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由使用者自己秘密儲存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再傳送給甲方,甲方再用自己儲存的私鑰對加密信息進行解密。

(二)識別技術。

識別技術是用電子手段證明傳送者和接收者身份及其檔案完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。

(1)數位簽名。

數位簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子檔案識別、核準和生效的作用。其實現方式是把散列函式和公開密鑰演算法結合起來,傳送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成傳送方的數位簽名;然後,將這個數位簽名作為報文的附屬檔案和報文一起傳送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用傳送方的公開密鑰來對報文附加的數位簽名進行解密;如果這兩個散列值相同,那麽接收方就能確認該數位簽名是傳送方的。數位簽名機製提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。

(2)數位證書。

數位證書是一個經證書授權中心數位簽名的包含公鑰擁有者信息以及公鑰的檔案數位證書的最主要構成包括一個使用者公鑰,加上密鑰所有者的使用者身份標識符,以及被信任的第三方簽名第三方一般是使用者信任的證書權威機構(CA),如政府部門和金融機構。使用者以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後使用者就可以公開這個證書。任何需要使用者公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數位證書通過標志交易各方身份信息的一系列資料,提供了一種驗證各自身份的方式,使用者可以用它來識別對方的身份。

(三)電子商務的安全協定。

除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協定。目前,比較成熟的協定有SET、SSL等。

(1)安全套接層協定SSL。

SSL協定位于傳輸層和套用層之間,由SSL記錄協定、SSL握手協定和SSL警報協定組成的。SSL握手協定被用來在客戶與伺服器真正傳輸套用層資料之前建立安全機製。當客戶與伺服器第一次通信時,雙方通過握手協定在版本號、密鑰交換演算法、資料加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個隻有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生資料加密演算法和Hash演算法參數。SSL記錄協定根據SSL握手協定協商的參數,對套用層送來的資料進行加密、壓縮、計算訊息鑒別碼MAC,然後經網路傳輸層傳送給對方。SSL警報協定用來在客戶和伺服器之間傳遞SSL出錯信息。

(2)安全電子交易協定SET。

SET協定用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、額度卡組織之間的權利義務關系,給定交易信息傳送流程標準。SET主要由三個檔案組成,分別是SET業務描述、SET程式員指南和SET協定描述。SET協定保證了電子商務系統的機密性、資料的完整性、身份的合法性。

SET協定是專為電子商務系統設計的。它位于套用層,其識別體系十分完善,能實現多方識別。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協定十分復雜,交易資料需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協定中除消費者與商家外,還有發卡行、收單行、識別中心、支付網關等其它參與者。

未來趨勢

未來二三十年,信息戰在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點:網際網路無線寬頻及射頻識別等新技術的廣泛套用;實際戰爭代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客達人能夠反復打進對手的電腦網路。

(1)技術對經濟與社會的支配力量日益加重   

在所有的領域,新的技術不斷超越先前的最新技術。攜帶型電腦和有上網功能的手機使使用者一周7天、一天24小時都可收發郵件,流覽網頁。

對信息戰與運作的影響:技術支配力量不斷加強是網路戰的根本基礎。復雜且常是精微的技術增加了全世界的財富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使電腦的控製與監視陷于混亂時,維持行業和支持系統的運轉就非常困難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,“一個常被忽視的情況是犯罪組織對信息技術的使用。”時在2015年,黑手黨通過電子手段消除了得克薩斯州或內布拉斯加州一家中型銀行的所有記錄,然後悄悄訪問了幾家大型金融服務機構的網站,並發布一條簡單的信息:“那是我們幹的——你可能是下一個目標。我們的願望是保護你們。”

未來派學者斯蒂芬·斯蒂爾指出:“網路系統……不單純是信息,而是網路文化。多層次協調一致的網路襲擊將能夠同時進行大(國家安全系統)、中(當地電網)、小(汽車發動)規模的破壞。”

(2)先進的通信技術正在改變我們的工作與生活方式   

電信正在迅速發展,這主要是得益于電子郵件和其他形式的高技術通信。然而,“千禧世代”(1980年-2000年出生的一代——譯註)在大部分情況下已不再使用電子郵件,而喜歡採用即時信息和社交網站與同伴聯系。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的復雜而廣泛的社會。

對信息戰和運作的影響:這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。

破壞或許並不明目張膽,或者易于發現。由于生產系統對客戶的直接輸入日益開放,這就有可能修改電腦控製的機床的程式,以生產略微不合規格的產品——甚至自行修改規格,這樣,產品的差異就永遠不會受到註意。如果作這類篡改時有足夠的想像力,並且謹慎地選準目標,則可以想象這些產品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可構想的軍事後果。

信息技術與商業管理顧問勞倫斯·沃格爾提醒註意雲計算(第三方資料暫存和面向服務的計算)以及Web2.0的使用(社交網及互動性)。他說:“與雲計算相關的網路安全影響值得註意,無論是公共的還是私人的雲計算。隨著更多的公司和政府採用雲計算,它們也就更容易受到破壞和網路襲擊。這可能導致服務及快速的重要軟體套用能力受到破壞。另外,由于Facebook、部落格和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網路上進行互動的和雙向的聯絡,網路襲擊的風險將隨之大增。”

(3)全球經濟日益融合   

這方面的關鍵因素包括跨國公司的興起、民族特徵的弱化(比如在歐盟範圍之內)、網際網路的發展,以及對低工資國家的網上工作外包

對信息戰及運作的影響:網際網路、私人網路、虛擬私人網路以及多種其他技術,正在將地球聯成一個復雜的“信息空間”。這些近乎無限的聯系一旦中斷,必然會對公司甚至對國家經濟造成嚴重破壞。但是,這更意味著它們面臨受到前所未有的間諜活動和秘密襲擊的風險。這是信息戰及運作的又一個重要趨勢。

(4)研究與發展(R&D)促進全球經濟成長的作用日益增強, 美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。 對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。 R&D的主要產品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在電腦裏,通過企業的內聯網傳輸,而且一般是在網際網路上載送。這種可獲取性為間諜提供了極好的目標——無論是工業間諜,還是軍事間諜。這(5)技術變化隨著新一代的發明與套用而加速

在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代,產品周期可持續三四十年。今天,持續三四十周已屬罕見。

原因很簡單:大約80%過往的科學家、工程師、技師和醫生今天仍然活著——在網際網路上即時交流意見。

機器智慧型的發展也將對網路安全產生復雜影響。據知識理論家、未來學派學者布魯斯·拉杜克說:“知識創造是一個可由人重復的過程,也是完全可由機器或在人機互動系統中重復的過程。”人工知識創造將迎來“奇點”,而非人工智慧,或人工基本智慧型(或者技術進步本身)。人工智慧已經可由任何電腦實現,因為情報的定義是儲存起來並可重新獲取(通過人或電腦)的知識。(人工知識創造)技術最新達到者將推動整個範式轉變。

(5)影響網路安全性的因素:目前我國網路安全存在幾大隱患:影響網路安全性的因素主要有以下幾個方面。

網路結構因素

網路基本拓撲結構有3種:星型、匯流排型和環型。一個單位在建立自己的內部網之前,各部門可能已建 造了自己的區域網路,所採用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網路間信息的通信,往往要犧牲一些安全機製的設定和實現,從而提出更高的網路開放性要求。

網路協定因素

在建造內部網時,使用者為了節省開支,必然會保護原有的網路基礎設施。另外,網路公司為生存的需要,對網路協定的兼容性要求越來越高,使眾多廠商的協定能互聯、兼容和相互通信。這在給使用者和廠商帶來利益的同時,也帶來了安全隱患。如在一種協定下傳送的有害程式能很快傳遍整個網路。

地域因素 由于內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網路,而是一個專用網路),網路往往跨越城際,甚至國際。地理位置復雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些“黑客”造成可乘之機。

使用者因素

企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,使用者的範圍必將從企業員工擴大到客戶和想了解企業情況的人。使用者的增加,也給網路的安全性帶來了威脅,因為這裏可能就有商業間諜或“黑客。”

主機因素

建立內部網時,使原來的各區域網路、單機互聯,增加了主機的種類,如工作站、伺服器,甚至小型機、大中型機。由于它們所使用的作業系統和網路作業系統不盡相同,某個作業系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網路的大隱患。

單位安全政策

實踐證明,80%的安全問題是由網路內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須製訂出一套安全管理的規章製度。

人員因素

人的因素是安全問題的薄弱環節。要對使用者進行必要的安全教育,選擇有較高職業道德修養的人做網路管理員,製訂出具體措施,提高安全意識。

其他

其他因素如自然災害等,也是影響網路安全的因素。

(6)網路安全的關鍵技術  

網路安全性問題關系到未來網路套用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、作業系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的網際網路的隔離主要使用“防火牆”技 術。

“防火牆”是一種形象的說法,其實它是一種電腦硬體和軟體的組合,使網際網路與內部網之間建立起 一個安全網關,從而保護內部網免受非法使用者的侵入。

能夠完成“防火牆”工作的可以是簡單的隱蔽路由器,這種“防火牆”如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在網際網路協定連線埠級上阻止網間或主機間通信,起到一定的過濾作用。 由于隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火牆”一級的措施。

真正意義的“防火牆”有兩類,一類被稱為標準“防火牆”;一類叫雙家網關。標準”防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準“防火牆”使用專門的軟體,並要求較高的管理水準,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準“防火牆”的擴充。雙家網關又稱堡壘主機或套用層網關,它是一個單個的系統,但卻能同時完成標準“防火牆”的所有功能。其優點是能運行更復雜的套用,同時防止在網際網路和內部系統之間建立的任何直接的連線,可以確保封包不能直接從外部網路到達內部網路,反之亦然。

隨著“防火牆”技術的進步,在雙家網關的基礎上又演化出兩種“防火牆”配置,一種是隱蔽主機網關,另一種是隱蔽智慧型網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在網際網路和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與網際網路進行通信的唯一系統。目前技術最為復雜而且安全級別最高的”防火牆”當屬隱蔽智慧型網關。所謂隱蔽智慧型網關是將網關隱藏在公共系統之後,它是網際網路使用者唯一能見到的系統。所有網際網路功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種“防火牆”是最不容易被破壞的。

與“防火牆”配合使用的安全技術還有資料加密技術。資料加密技術是為提高信息系統及資料的安全性和保密性,防止秘密資料被外部破析所採用的主要技術手段之一。隨著信息技術的發展,網路安全與信息保密日益引起人們的關註。目前各國除了從法律上、管理上加強資料的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著資料加密技術和物理防範技術的不斷發展。按作用不同,資料加密技術主要分為資料傳輸、資料存儲、資料完整性的鑒別以及密鑰管理技術4種。

與資料加密技術緊密相關的另一項技術則是智慧型卡技術。所謂智慧型卡就是密鑰的一種媒體,一般就像額度卡一樣,由授權使用者所持有並由該使用者賦予它一個口令或密碼字。該密碼字與內部網路伺服器上註冊的密碼一致。當口令與身份特征共同使用時,智慧型卡的保密性能還是相當有效的。

這些網路安全和資料保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員貭素等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。

安全服務 

對等實體識別服務

訪問控製服務

資料保密服務

資料完整性服務

資料源點識別服務

禁止否認服務

安全機製 

加密機製

數位簽名機製

訪問控製機製

資料完整性機製

識別機製

信息流填充機製

路由控製機製

公證機製

加密方式

鏈路加密方式

協定安全

TCP/IP協定資料流採用明文傳輸。

地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。

源路由選擇欺騙(Source Routing spoofing)。

路由選擇信息協定攻擊(RIP Attacks)。

鑒別攻擊(Authentication Attacks)。

TCP序列號欺騙(TCP Sequence number spoofing)。

TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。

易欺騙性(Ease of spoofing)。

網路安全誤解

許多人對于自己的資料和網路目前有一種虛假的安全感:在系統安裝了防火牆、在桌面上安裝了防病毒和防間諜軟體工具、使用加密技術傳送和儲存資料;此外,微軟及各大安全公司不斷增強安全工具和補丁程式……似乎可以松口氣了,但果真如此嗎?

以下是有關安全的四大誤解,不妨看看你的資料是否有你想象中的那麽安全。

誤解一 加密確保了資料得到保護

對資料進行加密是保護資料的一個重要環節,但不是絕無差錯。Jon Orbeton是開發ZoneAlarm防火牆軟體的Zone Labs的高級安全研究員,他支持加密技術,不過警告說:如今黑客採用嗅探器可是越來越完善,能夠截獲SSL和SSL交易信號,竊取經過加密的資料。雖然加密有助于保護遭到竊取的資料被人讀取,但加密標準卻存在著幾個漏洞。黑客隻要擁有適當工具,就能夠鑽這些漏洞的空子。Orbeton說:“黑客在想方設法避開安全機製。”

誤解二 防火牆會讓系統固若金湯

SteveThornburg是開發半導體聯網解決方案的Mindspeed科技公司的工程師,他說:“許多人說:‘我們裝有防火牆。’但防火牆功能再好,經過它們的IP資料痕跡照樣能夠被讀取。”黑客隻要跟蹤內含系統網路地址的IP痕跡,就能了解伺服器及與它們相連的電腦的詳細信息,然後利用這些信息鑽網路漏洞的空子。

誤解三 黑客不理睬老的軟體

一些人認為,如果運行老的系統,就不會成為黑客的攻擊目標,因為黑客隻盯住使用較為廣泛的軟體,而這些軟體的版本要比我們自己正在用的來得新。

事實並非如此,Johannes Ullrich說。他是安全分析和預警服務機構——SANS因特網風暴中心的首席技術官,這家機構負責發布有關安全漏洞和錯誤的警告。他提醒,對黑客來說,最近沒有更新或者沒有打上補丁的Web伺服器是一個常見的攻擊點。“許多舊版本的Apache和IIS(因特網信息伺服器)會遭到緩沖器溢出攻擊。”

誤解四 Mac機很安全

Mac OS X環境也容易受到攻擊,即便不是在運行Windows軟體。賽門鐵克公司最近發布的一份報告發現,2004年查明Mac OS X存在37種漏洞。該公司警告,這類漏洞可能會日漸成為黑客的目標,特別是因為Mac系統開始日漸流行。譬如在2004年10月,黑客編寫了名為Opener的一款腳本病毒。該腳本可以讓Mac OS X防火牆失效、獲取個人信息和口令、開後門以便可以遠程控製Mac機,此外還可能會移除資料。    

最新訊息

2014年2月27日,中央網路安全和信息化領導小組(以下簡稱“網信小組”)宣告成立,並在北京召開了第一次會議。親自擔任組長的中共中央總書記、國家主席、中央軍委主席習近平在會上強調,網路安全和信息化是事關國家安全、國家發展和百姓生活的重大戰略問題,要從國際國內大事出發,整體布局,統籌各方,創新發展,努力把我國建設成網路強國。

網信小組的領導人配備採用了最高規格:除習近平掛帥之外,由中共中央政治局常委李克強、劉雲山出任副組長。網信小組的成立和人員配置,意味著網路安全和信息化已經上升到中國的國家安全戰略層面,同時體現了中國最高層全面深化改革、加強頂層設計的意志。

隨著網際網路的高速發展,網路安全問題日益成為國際社會的焦點問題。外交學院院長助理王帆指出,當前網路安全不僅僅涉及信息戰,“還涉及輿論、公共關系、技術,更涉及公共安全。”習近平強調說,沒有網路安全就沒有國家安全,沒有信息化就沒有現代化。

5月22日,國家網際網路信息辦公室宣布,中國將出台網路安全審查製度,規定對進入我國市場的重要信息技術產品及其提供者進行網路安全審查。審查的重點在于產品的安全性和可控性,對不符合安全要求的產品,將不得在中國境內使用。

網路安全網路安全

據了解,我國的網路安全審查製度在實施過程中將遵循“無國別”原則,即對發現存在安全隱患的網路產品和服務,無論是外國企業還是中國境內企業,都要遵從這一管理製度。目的是為了督促提高企業自身的技術和服務能力,滿足國家關鍵基礎設施和重要信息系統的安全性能要求,在保障安全的前提下實現良性發展。在該製度的具體落實上,將依靠權威專業檢測機構對信息技術產品和服務進行技術審查,依托專家力量深入開展專家論證,以及對企業的誠信和安全背景等進行審查,從而綜合評判和認定帶有安全風險的信息技術產品與服務。

網路安全審查製度不是行政許可,也不是對所有的設備和服務進行審查,而是側重于重要信息系統。

相關詞條

相關搜尋

其它詞條