前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全的認(rèn)識主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);防火墻;網(wǎng)絡(luò)安全;防護(hù)認(rèn)識
中圖分類號:TP393
隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,信息網(wǎng)絡(luò)的不斷成熟和完善,計(jì)算機(jī)網(wǎng)絡(luò)在社會發(fā)展和人們生活中越來越發(fā)揮著重要的作用,它正深刻的改變著人們信息交流方式,實(shí)現(xiàn)了真正地資源共享。計(jì)算機(jī)網(wǎng)絡(luò)帶來便利的同時(shí)其網(wǎng)絡(luò)安全性問題值得關(guān)注,為此,為了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全,為了確保信息共享通暢,很多網(wǎng)絡(luò)安全維護(hù)技術(shù)相繼提出,其中防火墻技術(shù)是其中最有效、最主要、最容易實(shí)施的方法之一,防火墻技術(shù)具有很強(qiáng)的網(wǎng)絡(luò)防御能力和廣泛的適用領(lǐng)域。作為計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)重要組成,防火墻通過監(jiān)測和控制內(nèi)網(wǎng)與外網(wǎng)之間的信息交換活動,從而實(shí)現(xiàn)了對計(jì)算機(jī)網(wǎng)絡(luò)安全的有效管理。本文首先介紹防火墻技術(shù)相關(guān)概念,然后對防火墻技術(shù)策略及主要功能進(jìn)行了分析,最后防火墻技術(shù)發(fā)展做出了展望。
1 防火墻技術(shù)概述
一般講,防火墻是指利用一組設(shè)備,將受信任的內(nèi)網(wǎng)與不受信任的外網(wǎng)以及專用網(wǎng)與公共網(wǎng)進(jìn)行隔離。防火墻的主要目的是依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)用戶的安全防護(hù)策略,對流通于網(wǎng)絡(luò)之間的數(shù)據(jù)信息實(shí)施安全監(jiān)控,以防御未知的、具有破壞性的侵入。使用防火墻可以保護(hù)個(gè)人或企業(yè)專用網(wǎng)不容易遭受“壞家伙”入侵,同時(shí)也保證了內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)用戶交流信息安全。
1.1 防火墻分類
按防火墻在計(jì)算機(jī)網(wǎng)絡(luò)中的位置劃分可以分為分布式防火墻和邊界防火墻。其中分布式防火墻又可以劃分為網(wǎng)絡(luò)防火墻、主機(jī)防火墻;按防火墻實(shí)現(xiàn)手段可以劃分為軟件防火墻、硬件防火墻及軟硬結(jié)合防火墻。
1.2 防火墻工作原理
一般來說,防火墻主要用來監(jiān)控內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)信息。防火墻技術(shù)對確保計(jì)算機(jī)網(wǎng)絡(luò)安全起到了很重要的作用,在網(wǎng)絡(luò)數(shù)據(jù)交流中,只有得到授權(quán)數(shù)據(jù)才能進(jìn)行流通。防火墻主要由內(nèi)網(wǎng)與外網(wǎng)之間的部件組合而成,在安裝有防火墻的計(jì)算機(jī)網(wǎng)絡(luò)中,內(nèi)網(wǎng)和外網(wǎng)之間的網(wǎng)絡(luò)數(shù)據(jù)信息通信必須經(jīng)過防火墻監(jiān)控,并且只有符合安全防護(hù)策略的數(shù)據(jù)信息才能經(jīng)過防火墻,完成于內(nèi)部計(jì)算機(jī)的信息通信。通常,防火墻具有十分頑強(qiáng)的防御能力和抗入侵能力,一般講一個(gè)安全性能良好的防火墻通常具有下列性質(zhì):一是內(nèi)網(wǎng)與外網(wǎng)之間的所有數(shù)據(jù)信息必須經(jīng)過防火墻;二是只有符合受保護(hù)網(wǎng)絡(luò)的安全防護(hù)策略并得到授權(quán)的數(shù)據(jù)通信才能夠可以經(jīng)過防火墻;三是防火墻對經(jīng)過防火墻的所有數(shù)據(jù)信息、行為活動以及網(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)控、記錄和報(bào)警,進(jìn)一步的提高了防火墻防御各種惡意攻擊的能力。
1.3 防火墻功能
(1)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻能夠增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全性,使得內(nèi)部網(wǎng)絡(luò)處于風(fēng)險(xiǎn)較小的環(huán)境中。對于內(nèi)網(wǎng)中必要的服務(wù)例如NIS或NFS,防火墻通過采用公用的方式進(jìn)行使用,有效地減輕了內(nèi)網(wǎng)管理系統(tǒng)負(fù)擔(dān)。(2)監(jiān)控訪問內(nèi)網(wǎng)系統(tǒng)行為。防火墻具有監(jiān)控外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)行為的能力。排除郵件服務(wù)或信息服務(wù)等少數(shù)特殊情況,防火墻通過過濾掉不需要的外部訪問,能夠有效的阻止外網(wǎng)對內(nèi)網(wǎng)的訪問,起到保護(hù)內(nèi)網(wǎng)安全的作用。(3)防止內(nèi)網(wǎng)信息外泄。防火墻完成了內(nèi)部網(wǎng)絡(luò)的合理劃分,實(shí)現(xiàn)了內(nèi)網(wǎng)內(nèi)部重點(diǎn)網(wǎng)絡(luò)的隔離,從而限制了內(nèi)網(wǎng)中不同網(wǎng)絡(luò)之間的訪問,確保了內(nèi)網(wǎng)重要數(shù)據(jù)的安全。(4)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)訪問行為。由于內(nèi)網(wǎng)與外網(wǎng)之間的所有數(shù)據(jù)訪問行為都要經(jīng)過防火墻,因此防火墻能夠記錄訪問行為日志,提供網(wǎng)絡(luò)使用情況統(tǒng)計(jì)數(shù)據(jù)。當(dāng)察覺疑似入侵行為時(shí),防火墻做出報(bào)警,從而實(shí)現(xiàn)了對網(wǎng)絡(luò)訪問行為的有效監(jiān)控。(5)網(wǎng)絡(luò)地址轉(zhuǎn)換。在全部IP地址中,一些特殊的IP地址被指定為“專用地址”,比如IP地址為192.168.0.0,其被指定為局域網(wǎng)專用的網(wǎng)段IP地址,這些IP地址應(yīng)用于企業(yè)網(wǎng)絡(luò)內(nèi)部,但是在互聯(lián)網(wǎng)中毫無意義。由于這些“專用地址”無法通過互聯(lián)網(wǎng)路由,使得內(nèi)部設(shè)備得到了一定程度的防入侵保護(hù)。當(dāng)這些內(nèi)部設(shè)備需要訪問互聯(lián)網(wǎng)時(shí),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)可以將“專用地址”轉(zhuǎn)換成互聯(lián)網(wǎng)地址。防火墻技術(shù)起到了完成網(wǎng)絡(luò)地址轉(zhuǎn)換的功能,其隱藏了服務(wù)器的真IP地址,有效地防止惡意攻擊對服務(wù)器或內(nèi)網(wǎng)的主機(jī)的攻擊。
2 防火墻技術(shù)策略及未來發(fā)展趨勢
2.1 防火墻技術(shù)策略
由于防火墻具有多種類型,因此不同的防火墻采用了不同的防火墻技術(shù),常見的防火墻技術(shù)策略主要有以下幾種:
(1)屏蔽路由技術(shù)。目前最為簡單和流行的防火墻技術(shù)是屏蔽路由器。屏蔽路由器主要工作在網(wǎng)絡(luò)層(有的包括傳輸層),其主要利用包過濾技術(shù)或虛電路技術(shù)。其中,包過濾技術(shù)通過檢查IP網(wǎng)絡(luò)包,獲得IP頭信息,并根據(jù)這些信息,做出禁止或允許動作指令。比照相關(guān)的信息過濾規(guī)則,包過濾技術(shù)限制與內(nèi)部網(wǎng)絡(luò)進(jìn)行通信的數(shù)據(jù)流,只有得到授權(quán)的數(shù)據(jù)信息才能通過,并且阻止沒有獲得授權(quán)的數(shù)據(jù)信息通過。采用包過濾技術(shù)的防火墻主要工作在網(wǎng)絡(luò)層和邏輯鏈路層之間,其通過截取所有IP網(wǎng)絡(luò)包獲取過濾所需的有關(guān)信息,并與訪問監(jiān)控規(guī)則進(jìn)行匹配和比較,然后執(zhí)行有關(guān)的動作指令。
(2)基于防火墻技術(shù)?;诜阑饓夹g(shù)一般配置為“雙宿主網(wǎng)關(guān)”,其主要包括兩個(gè)網(wǎng)絡(luò)接口卡,并且同時(shí)連接內(nèi)網(wǎng)和外網(wǎng)。網(wǎng)關(guān)的特殊安裝位置使得其能夠與兩個(gè)網(wǎng)絡(luò)通信,并且是安裝數(shù)據(jù)交換軟件(這種軟件被稱為“”)的最佳位置。服務(wù)規(guī)定外網(wǎng)與內(nèi)網(wǎng)不直接進(jìn)行通信,而是通過服務(wù)器進(jìn)行數(shù)據(jù)交換。服務(wù)完成用戶和服務(wù)器之間的所有數(shù)據(jù)流交換,并且能夠?qū)徲?jì)追蹤所有的數(shù)據(jù)流。目前,多數(shù)專家普遍認(rèn)為基于防火墻更加安全,這是由于軟件能夠根據(jù)內(nèi)部網(wǎng)絡(luò)中主機(jī)的性能制定相應(yīng)的監(jiān)控策略,從而達(dá)到防御已知攻擊的目的。
(3)動態(tài)防火墻技術(shù)。動態(tài)防火墻技術(shù)是相對靜態(tài)包過濾技術(shù)提出的一種全新的防火墻技術(shù)。動態(tài)防火墻技術(shù)能夠動態(tài)的創(chuàng)建相關(guān)規(guī)則,且能夠很好的適應(yīng)不斷變化的計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)服務(wù)。動態(tài)防火墻對所有經(jīng)過防火墻的數(shù)據(jù)流進(jìn)行分析,獲取相關(guān)的通訊及狀態(tài)信息,并根據(jù)這些信息區(qū)分每次連接,并在此基礎(chǔ)上創(chuàng)建動態(tài)連接表。與此同時(shí),動態(tài)防火墻還要完成后續(xù)通訊檢查工作,并應(yīng)及時(shí)更新這些信息。當(dāng)一次連接結(jié)束后,動態(tài)防火墻及時(shí)的將相應(yīng)信息從連接表中進(jìn)行刪除。
2.2 防火墻技術(shù)的未來發(fā)展趨勢
計(jì)算機(jī)網(wǎng)絡(luò)安全不是絕對的而是相對的,防火墻技術(shù)不斷發(fā)展和升級的同時(shí),惡意攻擊等行為也在不斷升級,因此,維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全工作是永無止境的。隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)安全性需求也在不斷提高,這也對防火墻技術(shù)提出了更高要求。未來防火墻技術(shù)發(fā)展趨勢為:(1)防火墻將重點(diǎn)研發(fā)對網(wǎng)絡(luò)攻擊行為的監(jiān)控和報(bào)警。(2)疑似入侵行為活動日志分析工具將發(fā)展為防火墻中重要的組成部分。(3)不斷提高過濾深度,并開發(fā)病毒掃除功能。(4)安全協(xié)議開發(fā)將是防火墻技術(shù)研發(fā)的一大熱點(diǎn)。
4 結(jié)束語
隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,防火墻技術(shù)也在不斷升級,隨著IP協(xié)議經(jīng)歷IPv4到IPv6發(fā)展歷程,防火墻技術(shù)將會發(fā)生重大變革。我們有理由相信,未來的防火墻技術(shù)會與病毒檢查、入侵監(jiān)控檢測等網(wǎng)絡(luò)安全防護(hù)技術(shù)相結(jié)合,共同創(chuàng)建安全、合理、有效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)體系。
參考文獻(xiàn):
[1]韓彬.防火墻技術(shù)在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用[J].科技資訊,2010,1.
[2]周熠.防火墻及其安全技術(shù)的發(fā)展[J].安全技術(shù),2010,4.
[3]章楚.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:人民郵電出版社,2007.
1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)概述及其安全威脅
1.1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)
網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是基于IP網(wǎng)的圖像遠(yuǎn)程監(jiān)控、傳輸、存儲、管理的視頻監(jiān)控系統(tǒng),將分散、獨(dú)立的圖像采集點(diǎn)進(jìn)行聯(lián)網(wǎng),實(shí)現(xiàn)跨區(qū)域的統(tǒng)一監(jiān)控、統(tǒng)一存儲、統(tǒng)一管理、資源共享。典型網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)主要由前端監(jiān)控設(shè)備(攝像機(jī)、視頻服務(wù)器/編碼器)、監(jiān)控中心(中心服務(wù)器)、監(jiān)控客戶端(監(jiān)控工作站)三部分組成。通過對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)所面臨的安全狀況的分析,網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全性在總體結(jié)構(gòu)上分為四個(gè)層次:物理安全、接入安全、傳輸和網(wǎng)絡(luò)安全、業(yè)務(wù)安全和信息安全。
1.2視頻監(jiān)控系統(tǒng)面臨的安全威脅
視頻監(jiān)控網(wǎng)絡(luò)中通常存在哪些威脅?我們根據(jù)對視頻監(jiān)控網(wǎng)絡(luò)的結(jié)構(gòu)、業(yè)務(wù)特征進(jìn)行分析,主要威脅如下:
(1)前端設(shè)備(網(wǎng)絡(luò)攝像頭)的非法替換接入;
(2)視頻監(jiān)控網(wǎng)絡(luò)的終端、網(wǎng)絡(luò)設(shè)備非法接入;
(3)NVR/集中管理系統(tǒng)自身的安全漏洞,如系統(tǒng)漏洞、弱口令等;
(4)視頻監(jiān)控系統(tǒng)管理終端的安全問題;
(5)使用視頻監(jiān)控網(wǎng)絡(luò)的人員的安全問題。
我們可以看到,事實(shí)上從前端設(shè)備終端、網(wǎng)絡(luò)環(huán)境、管理系統(tǒng)、管理終端到管理人員,這些任何一個(gè)環(huán)節(jié)出現(xiàn)問題都可能帶來嚴(yán)重的安全事件。因此,保護(hù)視頻監(jiān)控網(wǎng)絡(luò)絕不是一個(gè)頭痛醫(yī)頭、腳痛醫(yī)腳的問題,需要一種全局的思維,一個(gè)全方位多維度的安全解決方案從根本上解決問題。
2視頻監(jiān)控信息安全機(jī)制的標(biāo)準(zhǔn)
針對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全威脅,業(yè)界制定了多種安全機(jī)制,主要有ONVIF(Open Network Video Interface Forum,開放型網(wǎng)絡(luò)視頻產(chǎn)品接口開發(fā)論壇)、CCSA《電信網(wǎng)視頻監(jiān)控系統(tǒng)安全要求》等標(biāo)準(zhǔn)。此外,運(yùn)營商和廠商各自制定了針對自己系統(tǒng)的安全標(biāo)準(zhǔn)和解決方案,其中ONVIF和《城市監(jiān)控報(bào)警聯(lián)網(wǎng)系統(tǒng)技術(shù)標(biāo)準(zhǔn)安全技術(shù)要求》是業(yè)界采用比較多的監(jiān)控標(biāo)準(zhǔn)。ONVIF由安訊士網(wǎng)絡(luò)通訊公司聯(lián)合博世集團(tuán)及索尼公司三方攜手共同成立,關(guān)注IP視頻監(jiān)控,目標(biāo)是實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)視頻框架協(xié)議,使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品(包括攝錄前端、錄像設(shè)備等)完全互通。ONVIF規(guī)范向視頻監(jiān)控引入了Web Services的概念。設(shè)備的實(shí)際功能均被抽象為Web Services的服務(wù),視頻監(jiān)控系統(tǒng)的控制單元以客戶端的身份出現(xiàn),通過Web請求的形式完成控制操作。
由于ONVIF基于Web Services,Web Services主要利用HTTP和SOAP使數(shù)據(jù)在Web上傳輸,其在信息安全方面主要有以下要求:
(1)獲取或設(shè)置訪問安全策略。
(2)服務(wù)器端HTTPS(secure hypertext transfer protocol,安全超文本傳輸協(xié)議認(rèn)證。
(3)客戶端HTTPS認(rèn)證。
(4)密鑰生成和證書下載功能。
(5)IEEE 802.1x supplicant認(rèn)證。
(6)IEEE 802.1x CA認(rèn)證。
(7)IEEE 802.1x配置。
(8)在信息安全性方面,ONVIF規(guī)范支持摘要認(rèn)證和WSS安全框架。
(9)在用戶認(rèn)證方面,最基本驗(yàn)證包括HTTP摘要認(rèn)證和WSS摘要認(rèn)證(用戶名令牌描述(username token profile)),高級驗(yàn)證包括TLS-based access。
(10)在用戶認(rèn)證通過后,通過“獲取或設(shè)置訪問安全策略”實(shí)現(xiàn)基于用戶的權(quán)限控制,以授權(quán)其能訪問的前端監(jiān)控設(shè)備。
在信息的安全通信層面,ONVIF規(guī)范定義了兩種通信層面的安全架構(gòu):傳輸層安全(transport layer security,TLS)和消息層安全。傳輸層安全協(xié)議用于保護(hù)ONVIF提供的所有服務(wù)。同時(shí)還需要保護(hù)媒體流的RTP(real-time transport protocol,實(shí)時(shí)傳輸協(xié)議)、RTSP/HTTPS。設(shè)備應(yīng)該支持TLS 1.0、TLS 1.1,可以支持TLS 1.2;加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。客戶端應(yīng)支持TLS 1.1、TLS 1.0,加密算法。
支持TLS_RSA_WITH_AES_128_CBC_SH、TLS_RSA_NULL_SHA。在服務(wù)器端認(rèn)證方面,設(shè)備支持X.509(X.509是由國際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標(biāo)準(zhǔn))服務(wù)器認(rèn)證。RSA key長度至少為l024 bit,客戶端支持TLS服務(wù)器認(rèn)證??蛻舳苏J(rèn)證功能可以在設(shè)備管理命令中禁止和啟用。支持TLS的設(shè)備應(yīng)該在證書請求中支持RSA認(rèn)證類型。而且應(yīng)該支持RSA客戶端認(rèn)證和簽名驗(yàn)證。
3安全機(jī)制的應(yīng)用建議
通常,一個(gè)監(jiān)控系統(tǒng)應(yīng)根據(jù)加密等級和系統(tǒng)架構(gòu)的不同采用相應(yīng)的安全機(jī)制。對于一般的安全監(jiān)控系統(tǒng),要求支持對業(yè)務(wù)數(shù)據(jù)訪問權(quán)限進(jìn)行安全認(rèn)證和授權(quán),實(shí)現(xiàn)業(yè)務(wù)信令流的加密和傳輸。訪問權(quán)限的安全認(rèn)證可采用口令、數(shù)字證書或數(shù)字摘要等標(biāo)準(zhǔn)算法,信令流的加密算法根據(jù)業(yè)界標(biāo)準(zhǔn)可采用DES、3DES、AES(128bit)等算法,信令流的安全傳輸可根據(jù)監(jiān)控架構(gòu)協(xié)議采用不同的通信安全協(xié)議,如HTTPS、IEEE802.1x等。
視頻監(jiān)控平臺服務(wù)器定期隨機(jī)產(chǎn)生一個(gè)AES加密/解密密鑰。分別使用各個(gè)終端或客戶端用戶密碼對AES加密密鑰進(jìn)行加密,形成傳輸密鑰發(fā)往各個(gè)設(shè)備,各個(gè)設(shè)備對傳輸密鑰的內(nèi)容進(jìn)行解密,即可獲取AES加密/解密密鑰。在以后的監(jiān)控過程中,所有設(shè)備就可以使用該AES加密/解密密鑰對信令和媒體碼流進(jìn)行加密和解密。
對于監(jiān)控系統(tǒng)中靜止的數(shù)據(jù),如存儲的錄像文件、音頻數(shù)據(jù),為保證安全性,需要加密處理,可采用通用的針對錄像文件加密的方法,如3DES、AES(128 bit)、SCB2等。為了確保圖片和視頻數(shù)據(jù)的安全可靠,監(jiān)控系統(tǒng)還可采用數(shù)字摘要、數(shù)字時(shí)間戳及數(shù)字水印等技術(shù)防止信息的完整性被破壞。
關(guān)鍵詞:無線傳感器網(wǎng)絡(luò);密鑰預(yù)分配;二進(jìn)制認(rèn)證樹
中圖分類號 TP391
1 相關(guān)原理
當(dāng)傳感器網(wǎng)絡(luò)被布置在一個(gè)敵對的環(huán)境里,安全是一個(gè)很關(guān)鍵的問題。密鑰建立是一個(gè)重要的安全原語,它是很多安全服務(wù)的構(gòu)建塊。在傳統(tǒng)的網(wǎng)絡(luò)里,公鑰密碼學(xué)提供了一個(gè)完整的解決方案。所有的公鑰基礎(chǔ)設(shè)施都需要一個(gè)可信第三方來分發(fā)證書。在傳感器節(jié)點(diǎn)分配上,很多節(jié)點(diǎn)不能接到全部信息。為了解決這一問題,有人提出了使用對稱加密或基于身份的簽名方案。此外,我們還是用了公鑰算法[1]。
必須對路由協(xié)議進(jìn)行安全保護(hù)[2],足以抵抗來自外部(或)內(nèi)部節(jié)點(diǎn)的攻擊。在外部攻擊中,一個(gè)偽裝成可信節(jié)點(diǎn)的惡意節(jié)點(diǎn)能夠產(chǎn)生大量的虛假服務(wù)請求,即使它沒有參與路由過程,例如阻斷服務(wù)(DOS)攻擊[3]。因此更是難以檢測到內(nèi)部節(jié)點(diǎn)。第二協(xié)議必須與QoS路由方案結(jié)合來支持承載流量的QoS需求[4]?,F(xiàn)存的無線傳感器網(wǎng)絡(luò)安全路由協(xié)議經(jīng)常避開最有挑戰(zhàn)性的攻擊(或)承載流量的QoS需求。
為提供更多安全和性能問題,我們引進(jìn)了穩(wěn)健有效的簽名方案-二進(jìn)制認(rèn)證樹(BAT):(1)穩(wěn)健性:BAT方案適用于帶有虛假信息的不利攻擊場景。每個(gè)路由器能夠迅速從所有真實(shí)信息中區(qū)分出虛假信息。因此,BAT在很大程度上能夠有效的容忍信息泛濫的攻擊。(2)效率:BAT方案可以有效的消除降低計(jì)算量所造成的性能瓶頸。為驗(yàn)證接收到的帶有k>=1的虛假信息,耗時(shí)配對操作的次數(shù)約等于(k+1).log(n/k)+4k-2。在理想情況下(k=0),驗(yàn)證所有信息的計(jì)算量能夠從2n次耗時(shí)配對操作顯著降低到2。BAT方案是第一個(gè)包括驗(yàn)證復(fù)雜性的評估理論界限。其適用于攻擊條件下的基于身份簽名的批量驗(yàn)證,可以用來對安全與性能進(jìn)行平衡。
2 提出的算法
我們可以使用二進(jìn)制認(rèn)證樹(BAT)方案。它包括4個(gè)基本條件:(1)設(shè)置:我們可以設(shè)置MD-5算法。(2)提取:我們可以從很多節(jié)點(diǎn)中提取信息。(3)標(biāo)記:通過使用DSRC協(xié)議,我們創(chuàng)建簽名并在簽名上附加信息,然后連同簽名把信息傳遞到目的地。(4)驗(yàn)證:以接收到信息,我們就可以運(yùn)用散列函數(shù)產(chǎn)生信息摘要及與接收到的信息摘要作比較并作驗(yàn)證。
3 二進(jìn)制認(rèn)證算法:
binary_auth()
{if(fast_check()=TRUE
return FS
if(h=1)
return FS=FS U{^< h, v >};//finding fake signature//
returnbinary_auth(^Fs);
returnbinary_auth(^Fs);}
4 仿真結(jié)果
圖1 網(wǎng)絡(luò)里有20個(gè)惡意節(jié)點(diǎn)存在的情況下,傳輸數(shù)據(jù)包的總數(shù)
為此我們通過使用NS-2模擬器對提出的無線傳感器網(wǎng)絡(luò)SRP協(xié)議進(jìn)行模擬。仿真實(shí)驗(yàn)環(huán)境為現(xiàn)在通用的PC電腦環(huán)境,具體參數(shù)為:CPU為Intel酷睿i5 4570;系統(tǒng)為WIN7;硬盤為500G;內(nèi)存為2G。最終實(shí)驗(yàn)數(shù)據(jù)使用MATLAB進(jìn)行了分析。通過使用提出的協(xié)議,我們可以在具有20個(gè)惡意節(jié)點(diǎn)(隨著認(rèn)證服務(wù)的節(jié)點(diǎn)增加)的情況下傳輸數(shù)據(jù)包。如圖1所示,在網(wǎng)絡(luò)里存在20個(gè)惡意節(jié)點(diǎn)的情況下,隨著可靠認(rèn)證服務(wù)節(jié)點(diǎn)的增加,網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)所傳輸?shù)臄?shù)據(jù)包的數(shù)量也會隨之增加,在40個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)之前,數(shù)據(jù)包的數(shù)量隨著認(rèn)證節(jié)點(diǎn)數(shù)量近似線性變化,但是在接近50個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)時(shí),二進(jìn)制認(rèn)證樹(BAT)方案達(dá)到極限,即最多只能依靠50多個(gè)認(rèn)證服務(wù)節(jié)點(diǎn)來提高協(xié)議質(zhì)量,方案到達(dá)峰值效果。也就是說在網(wǎng)絡(luò)存在20個(gè)惡意節(jié)點(diǎn)的情況下,二進(jìn)制認(rèn)證樹(BAT)方案所需要的最佳認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量為50。
通過分析可得,在惡意節(jié)點(diǎn)數(shù)量不是很大的情況下,本文提出的方法能夠在不需要大量認(rèn)證服務(wù)節(jié)點(diǎn)的情況下,完成大數(shù)據(jù)量的傳輸任務(wù)。而且在后續(xù)工作中,可以將惡意節(jié)點(diǎn)數(shù)量和對應(yīng)所需的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量的對應(yīng)關(guān)系進(jìn)行統(tǒng)計(jì)分析,可以預(yù)見在惡意節(jié)點(diǎn)數(shù)量較少的情況下,如0到10多的情況下,所需的認(rèn)證服務(wù)節(jié)點(diǎn)在任意為網(wǎng)絡(luò)環(huán)境下都大致分布在1得到10時(shí)間,數(shù)量比較固定,這是因?yàn)閻阂夤?jié)點(diǎn)數(shù)量很少,二進(jìn)制分叉樹的選擇范圍較少,即二進(jìn)制樹的分叉枝葉較少,因此所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量很少。但是在惡意節(jié)點(diǎn)增加到10到20階段時(shí),所需要的認(rèn)證服務(wù)節(jié)點(diǎn)開始線性增加,并且需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量開始好過惡意節(jié)點(diǎn)數(shù)量,并且在惡意節(jié)點(diǎn)數(shù)量是20時(shí),所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量開始超過網(wǎng)絡(luò)中存在的惡意節(jié)點(diǎn)的數(shù)量。但是本文提出的二進(jìn)制認(rèn)證樹(BAT)方案安全路由協(xié)議,可以實(shí)現(xiàn)讓所需要的認(rèn)證服務(wù)節(jié)點(diǎn)數(shù)量存在極限值,也就是說在達(dá)到某一峰值情況下,不會再需要增加認(rèn)證服務(wù)節(jié)點(diǎn),這是本文方法的優(yōu)勢所在。
5 結(jié)束語
在本文中,我們解決了最具挑戰(zhàn)性問題,即設(shè)計(jì)出一個(gè)由QoS支持的二進(jìn)制認(rèn)證樹(BAT)方案安全路由協(xié)議。這種方案是通過使用對稱密鑰為無線傳感器網(wǎng)絡(luò)實(shí)現(xiàn)認(rèn)證服務(wù)。提出的方案稱為無線傳感器網(wǎng)絡(luò)安全路由協(xié)議(SRPWSN)。由于路由協(xié)議是為了檢測的主要的內(nèi)部攻擊,我們提出了在拓?fù)渌阉髌陂g使用路由和消息冗余。對于每一條進(jìn)入信息,我們可以通過使用二進(jìn)制認(rèn)證樹來運(yùn)用認(rèn)證服務(wù)。這種方案對于檢測這種網(wǎng)絡(luò)路由協(xié)議的主要攻擊起著至關(guān)重要的作用;同時(shí),它也為網(wǎng)絡(luò)流量提供了一定程度的服務(wù)質(zhì)量(QoS)。當(dāng)在一個(gè)需要的時(shí)間間隔內(nèi)驗(yàn)證大量的簽名,甚至在帶有虛假信息的不利情況下,為了獲得認(rèn)證服務(wù),我們使用二進(jìn)制認(rèn)證樹(BAT)方案能夠有效的消除性能瓶頸。
參考文獻(xiàn):
[1]靳志成.云計(jì)算環(huán)境下的軟件動態(tài)部署[D].上海交通大學(xué),2011.
[2]王春波,靳志成,曹健.面向云計(jì)算環(huán)境的分布式軟件部署算法[J].2012(02):42-45.
[3]H.Meyerhenke,B.Monien,S.Schamberger.Graph partitioning and disturbeddiffusion[J].Parallel Computing,2009(35).
[4]T.Verbelen,T.Stevens,P.Simoens,F(xiàn).De Turck,B.Dhoedt.Dynamic deployment and quality adaptation for mobile augmented reality applications[J].Journal of Systems and Software,2011(84):1871-1882.
網(wǎng)絡(luò)是進(jìn)行信息交流的平臺,由于其開放性的存在,進(jìn)而導(dǎo)致了很多潛在的安全隱患的存在成為可能。因此就要對網(wǎng)絡(luò)安全進(jìn)行重視。這就需要我們從事網(wǎng)絡(luò)安全的工作人員,從觀念上對網(wǎng)絡(luò)安全進(jìn)行重視。很多工作人員由于觀念落后,在技術(shù)上面不懂得提高,對于網(wǎng)絡(luò)的工作原理并不清楚,這樣就給不法分子提供了作案的機(jī)會。同時(shí),要意識到安全軟件都是滯后于病毒產(chǎn)生的,所以不要覺得通過殺毒就可以將所有的病毒全部查找出來并且殺掉。
2提高計(jì)算機(jī)網(wǎng)絡(luò)安全的對策
2.1安裝殺毒軟件和防火墻
殺毒軟件是由于網(wǎng)絡(luò)安全問題的出現(xiàn)而產(chǎn)生的一款專門針對網(wǎng)絡(luò)病毒和非法入侵的軟件,主要對木馬、病毒以及一些入侵行為進(jìn)行監(jiān)控和阻止。防火墻技術(shù)是加強(qiáng)對網(wǎng)絡(luò)防衛(wèi)進(jìn)行監(jiān)管,保證上網(wǎng)環(huán)境和瀏覽環(huán)境安全的技術(shù),是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行檢查,進(jìn)而確定數(shù)據(jù)安全性的網(wǎng)絡(luò)安全技術(shù)。同時(shí),防火墻還具有對網(wǎng)絡(luò)運(yùn)行進(jìn)行監(jiān)控的功能,對外部的入侵行為進(jìn)行阻止。目前的防火墻技術(shù)非常多,通常可分為包過濾型、監(jiān)測型、地址轉(zhuǎn)換型等,針對不同類型的網(wǎng)絡(luò)安全,防火墻技術(shù)也不一樣。這樣通過使用防火墻,就會對網(wǎng)絡(luò)的安全進(jìn)行一定的保障。
2.2采用信息加密手段
網(wǎng)絡(luò)信息加密主要有端點(diǎn)加密、節(jié)點(diǎn)加密、鏈路加密等,端點(diǎn)加密是保證源端用戶到目的端用戶的信息安全、數(shù)據(jù)傳輸安全,對數(shù)據(jù)提供保護(hù);節(jié)點(diǎn)加密是通過數(shù)據(jù)傳輸鏈路的保護(hù),從而保護(hù)源節(jié)點(diǎn)和目的節(jié)點(diǎn)的數(shù)據(jù)傳輸安全;鏈路加密是節(jié)點(diǎn)間鏈路安全的保證。用戶可以根據(jù)自己的使用需求不同而對信息加密的方式進(jìn)行不同的選擇,對所需要保護(hù)的信息安全進(jìn)行保護(hù)。用戶的賬戶種類很多,主要包含郵件賬號、網(wǎng)頁賬號以及銀行賬號等,賬號和密碼往往是黑客進(jìn)行網(wǎng)路攻擊的主要目標(biāo),所以對于網(wǎng)絡(luò)賬戶和密碼一定要加強(qiáng)保護(hù)意識。對于密碼的保護(hù),要做到以下幾點(diǎn):第一是對密碼的設(shè)置進(jìn)行下劃線、數(shù)字以及字母的組合運(yùn)用,這樣就可以增加解碼器的難度;第二是通過對密碼進(jìn)行手機(jī)綁定和認(rèn)證,增加更大的安全性能。
2.3及時(shí)修復(fù)系統(tǒng)漏洞
操作系統(tǒng)存在漏洞是非常普遍的,所以漏洞的存在,對于網(wǎng)絡(luò)安全也是一種隱患。漏洞經(jīng)常出現(xiàn)在程序、應(yīng)用軟件以及硬件等各個(gè)方面。所以,用戶在使用的過程中,一定要有自己的安全意識,及時(shí)對漏洞進(jìn)行檢查和修復(fù),對于不必要的網(wǎng)站和安全軟件顯示為具有威脅的網(wǎng)站盡量不要打開。
2.4加大安全技術(shù)管理
首先是轉(zhuǎn)變認(rèn)知觀念,要對網(wǎng)絡(luò)安全進(jìn)行深刻認(rèn)識,了解到自身利益與網(wǎng)絡(luò)安全的關(guān)系,對于網(wǎng)絡(luò)安全存在的問題要提高警惕;其次,在對網(wǎng)絡(luò)安全進(jìn)行管理的過程中,加強(qiáng)網(wǎng)絡(luò)安全的立法,以法律為基礎(chǔ)對網(wǎng)絡(luò)安全破壞者進(jìn)行打擊;最后,提高網(wǎng)絡(luò)安全保護(hù)意識和機(jī)能,增加網(wǎng)絡(luò)安全技術(shù)研發(fā)和應(yīng)用投入。
3結(jié)束語
但是現(xiàn)階段我國針對保護(hù)信息化網(wǎng)絡(luò)安全的法制建設(shè)還處于初級階段,雖然行進(jìn)出臺了幾個(gè)法規(guī),但是相對快速發(fā)展的網(wǎng)絡(luò)技術(shù)以及日益嚴(yán)重的網(wǎng)絡(luò)問題,這些法規(guī)遠(yuǎn)遠(yuǎn)不能滿足地方政府信息化建設(shè)的要求。
2加強(qiáng)信息化網(wǎng)絡(luò)安全的策略
地方政府在認(rèn)清網(wǎng)絡(luò)安全存在的問題后,應(yīng)當(dāng)積極尋找解決問題的科學(xué)策略,從技術(shù)水平、法律法規(guī)以及安全意識等多方面來提升地方政府的網(wǎng)絡(luò)安全性能。
2.1提高地方政府網(wǎng)絡(luò)安全技術(shù)水平
首先,地方政府應(yīng)注重引進(jìn)和培養(yǎng)專業(yè)人才,通過高校教育培訓(xùn)高素質(zhì)網(wǎng)絡(luò)管理精英,堅(jiān)持實(shí)行持證上崗制度,從而為地方政府信息化網(wǎng)絡(luò)建設(shè)提供智力支持與人才保證。與此同時(shí),為加強(qiáng)現(xiàn)有工作人員的網(wǎng)絡(luò)安全知識,地方政府可以委托有關(guān)行業(yè)或是網(wǎng)絡(luò)協(xié)會來舉辦短期基礎(chǔ)知識培訓(xùn)班,以提高政府網(wǎng)絡(luò)安全技術(shù)的整體水平。其次,地方政府還要加大建設(shè)投入,建立一個(gè)能夠應(yīng)對不同網(wǎng)絡(luò)安全等級的立體性安全防護(hù)體系,集防火墻、防病毒、檢測入侵及掃描于一體,同時(shí)政府可以通過適當(dāng)投資以及政策支持來鼓勵(lì)當(dāng)?shù)乜蒲兴_發(fā)具有自主知識產(chǎn)權(quán)的軟硬件,為地方政府網(wǎng)絡(luò)安全提供堅(jiān)實(shí)的技術(shù)基礎(chǔ)。最后,政府還應(yīng)努力提高控制與應(yīng)對網(wǎng)絡(luò)安全問題的能力。地方政府要致力于指揮調(diào)度機(jī)制和網(wǎng)絡(luò)安全通報(bào)制度的建立,并加大對自主研制生產(chǎn)網(wǎng)絡(luò)產(chǎn)品和安全防護(hù)產(chǎn)品的支持力度,還要制定并不斷完善網(wǎng)絡(luò)安全應(yīng)急處置預(yù)案,將網(wǎng)絡(luò)安全問題控制在可以解決的范圍,以保障地方政府的網(wǎng)絡(luò)安全。
2.2完善地方政府網(wǎng)絡(luò)安全的法律法規(guī)
首先,地方政府要健全法律法規(guī)體系,充分利用政府頒布的管理辦法嚴(yán)格界定法律沒有覆蓋的網(wǎng)絡(luò)安全領(lǐng)域。此外,政府要不斷完善管理措施,并進(jìn)一步調(diào)整現(xiàn)行的法令規(guī)章,通過加大執(zhí)法力度來凈化網(wǎng)絡(luò)環(huán)境,維護(hù)網(wǎng)絡(luò)安全,引導(dǎo)人們合理利用網(wǎng)絡(luò),并積極遵循網(wǎng)絡(luò)使用法律。其次,地方政府還要加強(qiáng)自我管理,與信息中心加強(qiáng)合作,加速建立一個(gè)高層次、權(quán)威性的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機(jī)構(gòu)以有效協(xié)調(diào)各有關(guān)職能部門的工作,確定網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn),并依照此標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全進(jìn)行定期評估,從而進(jìn)一步升級改進(jìn)現(xiàn)有的網(wǎng)絡(luò)體系,以保證信息網(wǎng)絡(luò)的安全。最后,地方政府網(wǎng)絡(luò)管理部門要加強(qiáng)對網(wǎng)絡(luò)安全的監(jiān)管,積極干預(yù)網(wǎng)絡(luò)流行的不法行為,并利用相應(yīng)的服務(wù)器對網(wǎng)絡(luò)上的禁止行為進(jìn)行警告提示,科學(xué)過濾入侵的有害網(wǎng)絡(luò)信息;注重對網(wǎng)絡(luò)服務(wù)商的教育與管理,加強(qiáng)對地方網(wǎng)絡(luò)服務(wù)點(diǎn)自律宣傳,積極引導(dǎo)青少年文明上網(wǎng),對制造網(wǎng)絡(luò)病毒、黑客攻擊以及竊取技術(shù)等不法行為進(jìn)行進(jìn)行嚴(yán)厲懲處。
2.3加強(qiáng)網(wǎng)絡(luò)安全意識
首先,地方政府網(wǎng)絡(luò)安全管理部門應(yīng)樹立正確的網(wǎng)絡(luò)安全觀念,加強(qiáng)對網(wǎng)絡(luò)安全的維護(hù),在公務(wù)員培訓(xùn)中加入對機(jī)關(guān)人員的網(wǎng)絡(luò)安全培訓(xùn),從而使機(jī)關(guān)工作人員自覺提升安全防范意識,擺脫傳統(tǒng)的思維模式,突破網(wǎng)絡(luò)認(rèn)識誤區(qū)。加強(qiáng)對對網(wǎng)絡(luò)黑客尤其是未成年人黑客的網(wǎng)絡(luò)道德和法律教育,使網(wǎng)民充分認(rèn)識到權(quán)利、義務(wù)以及該承擔(dān)的法律責(zé)任,提高他們的法律意識,從而使他們自覺遵守網(wǎng)絡(luò)使用的法律法規(guī)。其次,地方政府應(yīng)當(dāng)利用合理有效的方式普及對網(wǎng)民有關(guān)于網(wǎng)絡(luò)法律法規(guī)及網(wǎng)絡(luò)知識的教育,以提高他們的網(wǎng)絡(luò)安全意識。例如,政府通過開辟專門的“計(jì)算機(jī)病毒防治”欄目,對計(jì)算機(jī)病毒、黑客攻擊情況提供情況通報(bào)、預(yù)防措施、清除方法等技術(shù)服務(wù),對相應(yīng)的法律法規(guī)、相關(guān)案例提供聲訊咨詢、網(wǎng)絡(luò)法律服務(wù)等等,提高全民的網(wǎng)絡(luò)安全意識。
3結(jié)語
【關(guān)鍵詞】國內(nèi)互聯(lián)網(wǎng) 網(wǎng)絡(luò)安全問題 分析
1 引言
通常而言,唯有那些“黑客”運(yùn)用我們在互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)上的漏洞或者對于資源的不良利用來進(jìn)行網(wǎng)絡(luò)病毒的傳播等一系列不良的網(wǎng)絡(luò)安全侵入都屬于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的范疇。此外互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的范疇除了以上我們提及的病毒之外,還有黑客技術(shù)中的攔截、服務(wù)攻擊等一系列內(nèi)容。通過我們以上的分析,我們可以發(fā)現(xiàn)對于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的理解,存在一定的局限性和片面性。
對于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全真是“確切”的版本應(yīng)該為:互聯(lián)網(wǎng)網(wǎng)絡(luò)安全是指是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。這個(gè)定義被最大多數(shù)的專家所接受和認(rèn)同。
2 國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢
根據(jù)以上我們對互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的認(rèn)識我們可以發(fā)現(xiàn),針對我們現(xiàn)在的認(rèn)識和理解可以講互聯(lián)網(wǎng)網(wǎng)絡(luò)安全分為以下幾個(gè)部分,分別是傳送內(nèi)容安全、身份認(rèn)證的安全、網(wǎng)絡(luò)行為的安全,根據(jù)這三個(gè)部分對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析。
2.1 傳送內(nèi)容安全
傳送內(nèi)容安全:對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全中的傳送內(nèi)容安全主要是針對節(jié)點(diǎn)傳送內(nèi)容安全而言,我們可以發(fā)現(xiàn)節(jié)點(diǎn)傳送安全是指,當(dāng)我們在指定的節(jié)點(diǎn)發(fā)出的信息內(nèi)容,這個(gè)節(jié)點(diǎn)所發(fā)出的信息對于整個(gè)網(wǎng)絡(luò)系統(tǒng)而言,是完全安全的沒有任何威脅,在這里我們所提到的傳送內(nèi)容,主要是指那些影響網(wǎng)絡(luò)運(yùn)行的控制信息。對于我們現(xiàn)有的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全中,危害我們的節(jié)點(diǎn)傳送內(nèi)容安全主要是指大多數(shù)路由節(jié)點(diǎn)上的網(wǎng)絡(luò)安全設(shè)置低,這就使得虛假路由可達(dá)性信息很容易通過,這樣一來回危害整個(gè)網(wǎng)絡(luò)的安全,甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)安全的癱瘓以至于不能正常的使用。對于傳送內(nèi)容安全而言,我們不僅僅要從人為的方面找原因,節(jié)點(diǎn)自身的協(xié)議漏洞也是一個(gè)方面。
2.2 身份認(rèn)證的安全
身份認(rèn)證的安全:對于身份認(rèn)證的安全而言,其指的是對于一些像交換機(jī)、路由器之類的終端的身份的認(rèn)證。對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全而言,身份認(rèn)證的安全是我們互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的根基,對于我們之前所謂的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全節(jié)點(diǎn)的身份認(rèn)證而言,一個(gè)節(jié)點(diǎn)通常(IP地址)具有兩種屬性,分別為我們所說的身份特性和節(jié)點(diǎn)的位置特性,對于我們現(xiàn)階段的互聯(lián)網(wǎng)協(xié)議而言,開放性是其基本特性,我們從節(jié)點(diǎn)的IP特定可以了解到,一個(gè)其他方節(jié)點(diǎn)很輕松的就能狗得到一個(gè)通信方和接收方的基本身份信息和相應(yīng)的位置地點(diǎn),然后在進(jìn)行一定的偽造通過進(jìn)行適當(dāng)?shù)膫窝b,對雙方的安全造成威脅,通常造成了一定的經(jīng)濟(jì)損失。
2.3 節(jié)點(diǎn)網(wǎng)絡(luò)行為安全
節(jié)點(diǎn)網(wǎng)絡(luò)行為安全:通過以上兩個(gè)方面的分析,我們僅僅分析了互聯(lián)網(wǎng)網(wǎng)絡(luò)傳輸過程和基本身份信息的安全,并沒有對一些網(wǎng)絡(luò)安全行為進(jìn)行分析,在此我們對節(jié)點(diǎn)網(wǎng)絡(luò)行為安全進(jìn)行說明。對于這種節(jié)點(diǎn)網(wǎng)絡(luò)行為安全通常指的是那些危害網(wǎng)絡(luò)安全的不合法行為,例如惡意下載、惡意上傳等在短時(shí)間內(nèi)進(jìn)行大量的非法操作,比如說在2010年爆發(fā)了對某貼吧的惡意破吧就屬于節(jié)點(diǎn)網(wǎng)絡(luò)行為安全的一種,這種不良的網(wǎng)絡(luò)行為嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)行,對網(wǎng)絡(luò)產(chǎn)生影響。對于現(xiàn)階段的網(wǎng)絡(luò)安全協(xié)議是指在20世紀(jì)末形成的網(wǎng)絡(luò)協(xié)議,并沒有將這些情況考慮到設(shè)計(jì)的過程中去,因此而言現(xiàn)階段的ARP等的網(wǎng)絡(luò)安全漏洞,導(dǎo)致網(wǎng)絡(luò)的過度使用。
通過我們對傳送內(nèi)容安全、身份認(rèn)證的安全、網(wǎng)絡(luò)行為的安全這三個(gè)部分國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的分析有利我們對整個(gè)網(wǎng)絡(luò)安全的認(rèn)識和深度理解。下面我們主要針對公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全進(jìn)行分析。
3 公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全
通過我們對互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的三個(gè)方面進(jìn)行分析,我們發(fā)現(xiàn)在我們信息時(shí)代雖然科技不斷發(fā)展但是我們?nèi)匀幻媾R著許多無形的、潛在的危害。
3.1 DDOS攻擊嚴(yán)重影響互聯(lián)網(wǎng)網(wǎng)絡(luò)安全
DDOS攻擊嚴(yán)重影響互聯(lián)網(wǎng)網(wǎng)絡(luò)安全:自從2012年6月以來,DDOS攻擊主要有兩種主流的攻擊方式,這兩種攻擊方式非別為虛假的源頭的IP地址對節(jié)點(diǎn)的攻擊,以及“嫁接”方式對我們的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行攻擊。我們可以從2012年發(fā)生在我國某重要的國際城市政府網(wǎng)站的事件可以發(fā)現(xiàn)。2012年下半年,此政府的網(wǎng)站短時(shí)間內(nèi)遭到多次的惡意攻擊,經(jīng)過一段時(shí)間的調(diào)查發(fā)現(xiàn),是某知名公司的下屬網(wǎng)站在遭到黑客攻擊之后將其域名更改為該系統(tǒng)的域名,這就是我們所謂的“嫁接”方式網(wǎng)絡(luò)攻擊。對于虛假的源頭的IP地址攻擊而言,顧名思義我們可以發(fā)現(xiàn)這種攻擊方式主要針對攻擊一方采用偽裝IP地址的形式,這種方式在查找的過程中給網(wǎng)絡(luò)警察帶來了很大的不便。
3.2 木馬程序和僵尸程序影響互聯(lián)網(wǎng)網(wǎng)絡(luò)安全
最傳統(tǒng)的兩種方式危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全:木馬程序和僵尸程序,這兩種方式依然是危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全最傳統(tǒng)的方式之一。據(jù)相關(guān)組織不完全統(tǒng)計(jì)在2013年下半年,共發(fā)現(xiàn)651萬多個(gè)主機(jī)遭到了不同程度的攻擊,特別是發(fā)生在10月的木馬程序和僵尸程序攻擊時(shí)其他幾個(gè)月平均攻擊的2倍之余。
3.3 漏洞是危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的一個(gè)根本要素
不能忽略的網(wǎng)絡(luò)安全漏洞是危害互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的一個(gè)根本要素。對于現(xiàn)階段存在的較多的網(wǎng)絡(luò)安全漏洞主要以3種特點(diǎn)存在,分別是存量漏洞多、漏洞影響大危害深、漏洞增速快。
存量漏洞多:據(jù)國外的媒體對我國的漏洞進(jìn)行報(bào)道發(fā)現(xiàn),我國的漏洞已發(fā)現(xiàn)的已超過5萬個(gè)(自2003年到2013年底),由于漏洞修復(fù)具有一定的時(shí)間,而且漏洞的衍變形式較為豐富,因此而言,漏洞的危害相當(dāng)?shù)拇?,不斷上升的漏洞信息給我們的信息安全造成了重大的危害。
漏洞影響大危害深:由于現(xiàn)階段我們國內(nèi)的互聯(lián)網(wǎng)快速普及,而且玩羅德受眾群體相當(dāng)之大,一旦某大型網(wǎng)站受到危害,其信息將會遭到泄露。
漏洞增速快:根據(jù)我們國家信息安全漏洞共享平臺公布的信息發(fā)現(xiàn),自從2013年整整一年之內(nèi),我國的網(wǎng)絡(luò)漏洞的增加速度平均每天增長在10個(gè)以上,這種高速增長的網(wǎng)絡(luò)安全漏洞是我們現(xiàn)階段網(wǎng)絡(luò)安全問題的一個(gè)重要的組成部分。
對于網(wǎng)絡(luò)安全服務(wù)要實(shí)現(xiàn)主動性的安全架構(gòu),必須具有4個(gè)方面,如下圖1主動性的安全架構(gòu)所示。
分別是:防火墻,其包括身份驗(yàn)證、身份加密、相應(yīng)的防毒網(wǎng)絡(luò)、防火墻、已經(jīng)對應(yīng)的入侵檢測盒VPN;其次是相應(yīng)的階段,包括對于相應(yīng)內(nèi)容的實(shí)時(shí)更新和安全相應(yīng)、全球的網(wǎng)絡(luò)系統(tǒng)支持、以及攻擊回復(fù)服務(wù);第三,管理階段主要包括策略的一致性、事件與事故管理、訪問控制與相應(yīng)的授權(quán)、身份的管理、配置的管理等;最后是警報(bào)階段,這就包括蜜罐與誘引技術(shù)、漏洞的實(shí)時(shí)評估、威脅管理與預(yù)警。
4 結(jié)論
通過我們對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題的分析,我們發(fā)現(xiàn)對于國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢主要分為三個(gè)方面分別是傳送內(nèi)容安全、身份認(rèn)證的安全、網(wǎng)絡(luò)行為的安全,這三個(gè)方面是影響網(wǎng)絡(luò)態(tài)勢安全的重要物理誘因;對于影響我們公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的根本因素同樣有3個(gè)方面分別是DDOS攻擊、木馬程序和僵尸程序、漏洞;最后我們對網(wǎng)絡(luò)安全服務(wù)要實(shí)現(xiàn)主動性的安全架構(gòu)進(jìn)行了淺要的分析和說明,其主要有四個(gè)方面組成,通過我們對國內(nèi)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題的分析我們發(fā)現(xiàn),現(xiàn)階段我們對于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全已經(jīng)重視了許多,但是仍然有許多地方需要改進(jìn),只有對網(wǎng)絡(luò)安全常抓不懈,才能最大限度避免網(wǎng)絡(luò)安全事件所帶來的危害。
參考文獻(xiàn)
[1]穆祥昆,趙晨飛,霍英東,唐召東.基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測系統(tǒng)研究[A].第28次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C].2013.
[2]閻婷.對奧運(yùn)信息網(wǎng)絡(luò)安全保障工作的幾點(diǎn)體會――學(xué)習(xí)北京奧運(yùn)會,寫在上海世博會前[J].信息網(wǎng)絡(luò)安全,2008(12).
[3]公安部部長助理朱恩濤在“中國信息網(wǎng)絡(luò)安全”網(wǎng)站開通儀式上的講話[J].信息網(wǎng)絡(luò)安全,2001(02).
[4]中國國家互聯(lián)網(wǎng)應(yīng)急中心:網(wǎng)絡(luò)安全威脅出現(xiàn)新特點(diǎn)[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn),2011(04).
[5]曾潤喜,徐曉林.國家政治安全視角下的中國互聯(lián)網(wǎng)虛擬社會安全[J].華中科技大學(xué)學(xué)報(bào)(社會科學(xué)版),2012(02).
[6]張凌.淺談計(jì)算機(jī)信息網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制建設(shè)[J].中國公共安全(學(xué)術(shù)版),2009(03).
關(guān)鍵詞內(nèi)部網(wǎng)絡(luò);網(wǎng)絡(luò)安全
1引言
目前,在我國的各個(gè)行業(yè)系統(tǒng)中,無論是涉及科學(xué)研究的大型研究所,還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè),都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲在計(jì)算機(jī)和網(wǎng)絡(luò)中,如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息,已引起各單位的巨大關(guān)注!
防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段,我們通常認(rèn)為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲,因此采取了一系列的防范措施,如建立兩套網(wǎng)絡(luò),一套僅用于內(nèi)部員工辦公和資源共享,稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料,稱之為外部網(wǎng)絡(luò),同時(shí)使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等。但是,各種計(jì)算機(jī)網(wǎng)絡(luò)、存儲數(shù)據(jù)遭受的攻擊和破壞,80%是內(nèi)部人員所為!(ComputerWorld,Jan-uary2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞,遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊!事實(shí)上,來自內(nèi)部的攻擊更易奏效!
2內(nèi)部網(wǎng)絡(luò)更易受到攻擊
為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下:
(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分,基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及,典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等,這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。
(2)在對Internet嚴(yán)防死守和物理隔離的措施下,對網(wǎng)絡(luò)的破壞,大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?nèi)部網(wǎng)絡(luò)安全的重視程度不夠,系統(tǒng)的安裝有大量的漏洞沒有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺,自然有更多的系統(tǒng)漏洞。
(3)黑客工具在Internet上很容易獲得,這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。
(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快,百兆甚至千兆的帶寬,能讓黑客工具大顯身手。
(5)為了簡單和易用,在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的,這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。
(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進(jìn)行操作,利用內(nèi)網(wǎng)速度快的特性,對關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。
(7)眾多的使用者所有不同的權(quán)限,管理更困難,系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴(yán)格,對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。
(8)信息不僅僅限于服務(wù)器,同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中,目前對個(gè)人硬盤上的信息缺乏有效的控制和監(jiān)督管理辦法。
(9)由于人們對口令的不重視,弱口令很容易產(chǎn)生,很多人用諸如生日、姓名等作為口令,在內(nèi)網(wǎng)中,黑客的口令破解程序更易奏效。
3內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程,在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),并按照國家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展,典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP),逐步實(shí)現(xiàn)企業(yè)信息的高度集成,構(gòu)成完善的企事業(yè)問題解決鏈。
在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認(rèn)識,或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定,購置部分網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上,然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施,在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強(qiáng),但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、信息分散的特點(diǎn),各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題,而沒有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時(shí)在安全性和費(fèi)用問題上形成一個(gè)相互對立的局面,如何在其中尋找到一個(gè)平衡點(diǎn),也是眾多企業(yè)中普遍存在的焦點(diǎn)問題。
4保護(hù)內(nèi)部網(wǎng)絡(luò)的安全
內(nèi)部網(wǎng)絡(luò)的安全威脅所造成的損失是顯而易見的,如何保護(hù)內(nèi)部網(wǎng)絡(luò),使遭受的損失減少到最低限度是目前網(wǎng)絡(luò)安全研究人員不斷探索的目標(biāo)。筆者根據(jù)多年的網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗(yàn),形成自己對網(wǎng)絡(luò)安全的理解,闡述如下。
4.1內(nèi)部網(wǎng)絡(luò)的安全體系
筆者認(rèn)為比較完整的內(nèi)部網(wǎng)絡(luò)的安全體系包括安全產(chǎn)品、安全技術(shù)和策略、安全管理以及安全制度等多個(gè)方面,整個(gè)體系為分層結(jié)構(gòu),分為水平層面上的安全產(chǎn)品、安全技術(shù)和策略、安全管理,其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全制度,從上至下地規(guī)定各個(gè)水平層面上的安全行為。
4.2安全產(chǎn)品
安全產(chǎn)品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此還必須有好的安全工具把安全管理的措施具體化。目前市場上的網(wǎng)絡(luò)安全產(chǎn)品林林總總,功能也千差萬別,通常一個(gè)廠家的產(chǎn)品只在某個(gè)方面占據(jù)領(lǐng)先的地位,各個(gè)廠家的安全產(chǎn)品在遵守安全標(biāo)準(zhǔn)的同時(shí),會利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實(shí)現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品基礎(chǔ)之上的。那么在選擇產(chǎn)品的時(shí)候會面臨這樣一個(gè)問題,即是選擇所需要的每個(gè)方面的頂尖產(chǎn)品呢,還是同一廠家聯(lián)盟的產(chǎn)品?筆者認(rèn)為選擇每個(gè)方面的頂尖產(chǎn)品在價(jià)格上會居高不下,而且在性能上并不能達(dá)到l+1等于2甚至大于2的效果。這是因?yàn)檫@些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作,不能形成聯(lián)動的、動態(tài)的安全保護(hù)層,一方面使得這些網(wǎng)絡(luò)安全產(chǎn)品本身所具有的強(qiáng)大功效遠(yuǎn)沒有得到充分的發(fā)揮,另一方面,這些安全產(chǎn)品在技術(shù)實(shí)現(xiàn)上,有許多重復(fù)工作,這也影響了應(yīng)用的效率。因此網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該是建立在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上,即實(shí)現(xiàn)防火墻、IDS、病毒防護(hù)系統(tǒng)、信息審計(jì)系統(tǒng)等的互通與聯(lián)動,以實(shí)現(xiàn)最大程度和最快效果的安全保證。目前在國內(nèi)外都存在這樣的網(wǎng)絡(luò)安全聯(lián)盟實(shí)現(xiàn)產(chǎn)品之間的互聯(lián)互動,達(dá)到動態(tài)反應(yīng)的安全效果。
4.3網(wǎng)絡(luò)安全技術(shù)和策略
內(nèi)部網(wǎng)絡(luò)的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復(fù)這三個(gè)大方向,那么安全技術(shù)和策略的實(shí)現(xiàn)也應(yīng)從這三個(gè)方面來考慮。
積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人,而不是技術(shù)。因此,應(yīng)重點(diǎn)由發(fā)現(xiàn)問題并填補(bǔ)漏洞迅速轉(zhuǎn)向查出誰是破壞者、采取彌補(bǔ)措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰,就無法解決問題。真正的安全策略的最佳工具應(yīng)包括實(shí)時(shí)審查目錄和服務(wù)器的功能,具體包括:不斷地自動監(jiān)視目錄,檢查用戶權(quán)限和用戶組帳戶有無變更;警惕地監(jiān)視服務(wù)器,檢查有無可疑的文件活動。無論未授權(quán)用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞,真正的安全管理工具會通知相應(yīng)管理員,并自動采取預(yù)定行動。
在積極查詢的同時(shí),也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議,如HTTP、Telnet,其中的用戶名和密碼的傳遞采用的是明文傳遞的方式,極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護(hù),理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認(rèn)證和高強(qiáng)度的加密數(shù)據(jù)傳輸技術(shù),同時(shí)采用安全的密鑰分發(fā)技術(shù),這樣既防止用戶對業(yè)務(wù)的否認(rèn)和抵賴,同時(shí)又防止數(shù)據(jù)遭到竊聽后被破解,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。攻擊后恢?fù)首先是數(shù)據(jù)的安全存儲和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復(fù);針對WWW服務(wù)器網(wǎng)頁安全問題,實(shí)施對Web文件內(nèi)容的實(shí)時(shí)監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時(shí)報(bào)警并自動恢復(fù),同時(shí)形成監(jiān)控和恢復(fù)日志,并提供友好的用戶界面以便用戶查看、使用,有效地保證了Web文件的完整性和真實(shí)性。
4.4安全管理
安全管理主要是指安全管理人員。有了好的安全工具和策略,還必須有好的安全管理人員來有效的使用工具和實(shí)現(xiàn)策略。經(jīng)過培訓(xùn)的安全管理員能夠隨時(shí)掌握網(wǎng)絡(luò)安全的最新動態(tài),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的用戶行為,保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全,并對可能存在的網(wǎng)絡(luò)威脅有一定的預(yù)見能力和采取相應(yīng)的應(yīng)對措施,同時(shí)對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時(shí)間內(nèi)做出響應(yīng),使企業(yè)的損失減少到最低限度。
企業(yè)領(lǐng)導(dǎo)在認(rèn)識到網(wǎng)絡(luò)安全的重要性的同時(shí),應(yīng)當(dāng)投入相當(dāng)?shù)慕?jīng)費(fèi)用于網(wǎng)絡(luò)安全管理人員的培訓(xùn),或者聘請安全服務(wù)提供商來維護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
4.5網(wǎng)絡(luò)安全制度
網(wǎng)絡(luò)安全的威脅來自人對網(wǎng)絡(luò)的使用,因此好的網(wǎng)絡(luò)安全管理首先是對人的約束,企業(yè)并不缺乏對人的管理辦法,但在網(wǎng)絡(luò)安全方面常常忽視對網(wǎng)絡(luò)使用者的控制。要從網(wǎng)絡(luò)安全的角度來實(shí)施對人的管理,企業(yè)的領(lǐng)導(dǎo)必須首先認(rèn)識到網(wǎng)絡(luò)安全的重要性,惟有領(lǐng)導(dǎo)重視了,員工才會普遍重視,在此基礎(chǔ)上制定相應(yīng)的政策法規(guī),使網(wǎng)絡(luò)安全的相關(guān)問題做到有法可依、有據(jù)可查、有功必獎(jiǎng)、有過必懲,最大限度地提高員工的安全意識和安全技能,并在一定程度上造成對蓄意破壞分子的心理震懾。
目前許多企業(yè)已認(rèn)識到網(wǎng)絡(luò)安全的重要性,已采取了一些措施并購買了相應(yīng)的設(shè)備,但在網(wǎng)絡(luò)安全法規(guī)上還沒有清醒的認(rèn)識,或者是沒有較為系統(tǒng)和完善的制度,這樣在企業(yè)上下往往會造成對網(wǎng)絡(luò)安全的忽視,給不法分子以可乘之機(jī)。國際上,以ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立,并已被廣泛采用,企業(yè)可以此為標(biāo)準(zhǔn)開展安全制度的建立工作。具體應(yīng)當(dāng)明確企業(yè)領(lǐng)導(dǎo)、安全管理員、財(cái)物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責(zé)。安全組織應(yīng)當(dāng)有企業(yè)高層掛帥,由專職的安全管理員負(fù)責(zé)安全設(shè)備的管理與維護(hù),監(jiān)督其它人員設(shè)備安全配置的執(zhí)行情況。單位還應(yīng)形成定期的安全評審機(jī)制。只有通過以上手段加強(qiáng)安全管理,才能保證由安全產(chǎn)品和安全技術(shù)組成的安全防護(hù)體系能夠被有效地使用。
5結(jié)論
要想保證內(nèi)部網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時(shí),更要做好內(nèi)部網(wǎng)絡(luò)的管理。所以,目前在安全業(yè)界,安全重在管理的觀念已被廣泛接受。沒有好的管理思想,嚴(yán)格的管理制度,負(fù)責(zé)的管理人員和實(shí)施到位的管理程序,就沒有真正的安全。在有了“法治”的同時(shí),還要有“人治”,即經(jīng)驗(yàn)豐富的安全管理人員和先進(jìn)的網(wǎng)絡(luò)安全工具,有了這兩方面的治理,才能得到一個(gè)真正安全的網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]楊義先、鈕心忻,網(wǎng)絡(luò)安全理論與技術(shù)[M.人民郵電出版社,2003
筆者認(rèn)為,加強(qiáng)網(wǎng)絡(luò)安全,采取有效的技術(shù)措施是關(guān)鍵,這就首先要了解網(wǎng)絡(luò)安全的主要特性,其次要對網(wǎng)絡(luò)安全進(jìn)行分析,再次就是要采取有效網(wǎng)絡(luò)安全技術(shù)措施,加強(qiáng)網(wǎng)絡(luò)安全的防范和維護(hù)。
1 網(wǎng)絡(luò)安全的特性分析
對網(wǎng)絡(luò)安全的特性進(jìn)行分析,是加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范的基礎(chǔ)環(huán)節(jié),是研究、探索、加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的前提和保障。要了解網(wǎng)絡(luò)安全的特性,就要首先知道什么是網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)是什么。簡而言之,網(wǎng)絡(luò)安全就是通過軟硬件措施保障網(wǎng)絡(luò)傳送信息的安全性、有效性、真實(shí)性,表現(xiàn)為計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)相關(guān)系統(tǒng)和交易平臺的軟件、硬件、相關(guān)的信息和數(shù)據(jù)能夠得到有效的保護(hù)和傳送,不會因?yàn)榕既坏幕蛘邜阂獾脑蚴艿饺肭终哂袩o目的性的截獲、篡改、毀壞、泄露,計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)相關(guān)系統(tǒng)和交易平臺可以連續(xù)、穩(wěn)定、有效、無故障地運(yùn)行,網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性是衡量網(wǎng)絡(luò)是否安全的標(biāo)準(zhǔn)之一。
從網(wǎng)絡(luò)安全含義和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)出發(fā),我們可以總結(jié)出網(wǎng)絡(luò)安全的主要特性。首先是保密性,如在網(wǎng)絡(luò)商務(wù)交易過程中,要保障信息發(fā)出方與信息接收方的單一性,信息在發(fā)出、傳送過程、接收環(huán)節(jié)不被非授權(quán)用戶獲取;其次是具有完整性,也就是網(wǎng)絡(luò)信息數(shù)據(jù)的真實(shí)性。關(guān)鍵點(diǎn)是網(wǎng)絡(luò)信息數(shù)據(jù)在傳送過程中要做到未經(jīng)合法用戶授權(quán)不可更改,保證信息數(shù)據(jù)在系統(tǒng)存儲、傳送、接收過程中不被網(wǎng)絡(luò)入侵者截獲、篡改、利用,保證信息數(shù)據(jù)全過程的完整、真實(shí);再就是要具有可用性,即合法用戶需要訪問網(wǎng)絡(luò)獲取信息數(shù)據(jù)時(shí)可以提供安全運(yùn)行的網(wǎng)絡(luò)環(huán)境和真實(shí)的信息數(shù)據(jù),不被網(wǎng)絡(luò)入侵者破壞;同時(shí)還要具有可控性和可審查性。可控性就是要采取有效的網(wǎng)絡(luò)安全技術(shù)措施,對網(wǎng)絡(luò)信息數(shù)據(jù)內(nèi)容的傳送過程具有掌控能力。有可審查性,就是對可能出現(xiàn)的不安全現(xiàn)象早期做出防范措施,一量出現(xiàn)安全問題可以立即查找出產(chǎn)生問題的原因,并及時(shí)采取措施解決出現(xiàn)的網(wǎng)絡(luò)安全問題,制止和防御網(wǎng)絡(luò)黑客的攻擊。
2 網(wǎng)絡(luò)安全的技術(shù)分析
網(wǎng)絡(luò)安全的技術(shù)分析,我們可以網(wǎng)絡(luò)結(jié)構(gòu)安全分析、網(wǎng)絡(luò)物理安全分析、操作系統(tǒng)的安全分析、網(wǎng)絡(luò)管理安全風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全分析5個(gè)方面進(jìn)行了解。
2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全分析
網(wǎng)絡(luò)結(jié)構(gòu)會致使網(wǎng)絡(luò)產(chǎn)生不安全因素,如:外網(wǎng)與內(nèi)網(wǎng)的結(jié)構(gòu)設(shè)計(jì)上就需要加以注意。外網(wǎng)與內(nèi)網(wǎng)之間信息數(shù)據(jù)的傳送是產(chǎn)生網(wǎng)絡(luò)不安全因素的主要原因,而且可以通過內(nèi)網(wǎng)的某一系統(tǒng)進(jìn)行更廣泛的傳播,影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。因此,我們在外網(wǎng)與內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)上,要將外網(wǎng)和內(nèi)部網(wǎng)的相關(guān)業(yè)務(wù)網(wǎng)絡(luò)與公開服務(wù)器通過技術(shù)措施進(jìn)行分離,以防止因網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)備使網(wǎng)絡(luò)信息數(shù)據(jù)外泄。最好是只許可正常通信的數(shù)據(jù)包到達(dá)對應(yīng)的機(jī)器,其余的請求服務(wù)在到達(dá)主機(jī)之前就要拒絕服務(wù)。
2.2網(wǎng)絡(luò)物理安全分析
網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的有效保障。網(wǎng)絡(luò)物理安全的風(fēng)險(xiǎn)主要有環(huán)境事故、電源故障、設(shè)備被盜、電磁干擾、線路截獲。因此,在網(wǎng)絡(luò)工程前期圖紙?jiān)O(shè)計(jì)和后期施工階段,我們首先要重點(diǎn)考慮的是如何保護(hù)人和硬件設(shè)備不會受到雷、電、火的攻擊,并安裝避雷裝置。要充分考慮電路和通信線路的布置和距離,做到安全第一、長遠(yuǎn)考慮、合理規(guī)劃、方便使用。
2.3操作系統(tǒng)安全分析
對于網(wǎng)絡(luò)安全的要求和標(biāo)準(zhǔn)而言,計(jì)算機(jī)操作系統(tǒng)在初始狀態(tài)下均存在不同程序的安全漏洞,對網(wǎng)絡(luò)系統(tǒng)的安全造成一定的隱患。因此,操作用途不同的網(wǎng)絡(luò)用戶要根據(jù)安全需求分別對待,要對計(jì)算機(jī)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進(jìn)行同步安全設(shè)置,如:登陸認(rèn)證、權(quán)限設(shè)置、復(fù)雜的密碼等,保證網(wǎng)絡(luò)操作的安全性。
2.4網(wǎng)絡(luò)管理安全風(fēng)險(xiǎn)分析
沒有規(guī)矩不成方圓,網(wǎng)絡(luò)安全措施的落實(shí)最終是要靠人來操作和完成。因此,建立健全嚴(yán)格規(guī)范的網(wǎng)絡(luò)安全管理監(jiān)督制度是關(guān)鍵。尤其是對人的安全思想意識的培養(yǎng),防范意識一旦放松就會給黑客攻擊提供機(jī)會,所以要加強(qiáng)網(wǎng)絡(luò)的日常監(jiān)督管理,實(shí)時(shí)進(jìn)行檢測、監(jiān)控、報(bào)告與預(yù)警。對于發(fā)生的網(wǎng)絡(luò)安全事件及時(shí)分析查找原因,制定措施,解決不安全隱患。
2.5網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全分析
網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全要與用戶的操作需求相結(jié)合,并進(jìn)行具體的分析。因?yàn)?,?yīng)用系統(tǒng)的安全是非靜態(tài)的,特點(diǎn)是不斷地進(jìn)行著變化,根本是保證網(wǎng)絡(luò)信息的安全可靠性,關(guān)鍵是網(wǎng)絡(luò)系統(tǒng)的平臺建設(shè)和日常的安全防范。要通過專業(yè)的安全管理軟件發(fā)現(xiàn)漏洞,修補(bǔ)漏洞,提高網(wǎng)絡(luò)系統(tǒng)的安全性。同時(shí),在某些網(wǎng)絡(luò)系統(tǒng)中,涉及到很多機(jī)密信息,如果一些重要信息遭到竊取或破壞,它的經(jīng)濟(jì)、社會影響和政治影響將是很嚴(yán)重的,所以要采用多層次的訪問控制與權(quán)限控制手段,實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。
3 加強(qiáng)網(wǎng)絡(luò)安全的技術(shù)措施
加強(qiáng)網(wǎng)絡(luò)安全的技術(shù)措施歸納起來主要有3個(gè)方面,即:合理運(yùn)用網(wǎng)絡(luò)安全技術(shù)手段、加強(qiáng)主機(jī)的物理安全、加強(qiáng)安全控制。
3.1合理運(yùn)用網(wǎng)絡(luò)安全技術(shù)手段
在物理措施上,健全的規(guī)章制度是根本,同時(shí)要采用防輻射、防火以及安裝不間斷電源等措施作為保障。在訪問控制上,要加強(qiáng)對網(wǎng)絡(luò)訪問權(quán)限管理,要有嚴(yán)格的認(rèn)證和控制機(jī)制作為保障。在數(shù)據(jù)加密措施上,要通過對數(shù)據(jù)進(jìn)行加密處理,信息數(shù)據(jù)不易簡單易懂,要全現(xiàn)復(fù)雜性和多變性。同時(shí),要及時(shí)更新計(jì)算機(jī)殺毒軟件,防止計(jì)算機(jī)感染病毒,還可以采用隔離卡、網(wǎng)閘等對單機(jī)或整個(gè)網(wǎng)絡(luò)進(jìn)行隔離,采用信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等措施綜合保障網(wǎng)絡(luò)安全。
3.2加強(qiáng)主機(jī)的物理安全
要保證網(wǎng)絡(luò)安全,進(jìn)行網(wǎng)絡(luò)安全建設(shè),首先要全面了解系統(tǒng),評估系統(tǒng)安全性,認(rèn)識到自己的風(fēng)險(xiǎn)所在,從而迅速、準(zhǔn)確得解決內(nèi)網(wǎng)安全問題。如:服務(wù)器運(yùn)行的物理安全環(huán)境,具體包括通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等,這些因素會影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全。
3.3加強(qiáng)安全控制
在操作系統(tǒng)安全控制上,我們可以設(shè)置開機(jī)密碼,對文件的讀寫存取進(jìn)行管控。在網(wǎng)絡(luò)接口模塊的安全控制上,可以通過身份認(rèn)證,客戶權(quán)限設(shè)置與判別,審計(jì)日志等對網(wǎng)絡(luò)信息數(shù)據(jù)的通信過程進(jìn)行控制。在網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制,可以通過網(wǎng)絡(luò)管理軟件或路由器設(shè)置,實(shí)現(xiàn)對整個(gè)子網(wǎng)內(nèi)的主要設(shè)備的信息傳送和運(yùn)轉(zhuǎn)形態(tài)進(jìn)行全程監(jiān)測和管控。
總而言之,為實(shí)現(xiàn)更加主動的安全防護(hù),實(shí)現(xiàn)高效、便捷地網(wǎng)絡(luò)管理目標(biāo),全面推動網(wǎng)絡(luò)整體安全體系建設(shè)的建設(shè)步伐,網(wǎng)絡(luò)安全技術(shù)尚需我們在實(shí)踐操作過程中進(jìn)行不斷的探索。
參考文獻(xiàn)
[1]網(wǎng)絡(luò)安全實(shí)用技術(shù)[M].清華大學(xué)出版社.
一、網(wǎng)絡(luò)安全對于電子商務(wù)的重要性
當(dāng)前,電子商務(wù)已逐步覆蓋全球,而網(wǎng)絡(luò)安全問題也得到了業(yè)內(nèi)廣泛關(guān)注。電子商務(wù)的交易方式有別于傳統(tǒng)的面對面交易,在電力商務(wù)中,交易雙方均通過網(wǎng)絡(luò)進(jìn)行信息交流,以網(wǎng)絡(luò)為媒介無疑加大了交易的風(fēng)險(xiǎn)性,因此安全的網(wǎng)絡(luò)環(huán)境能夠給交易雙方均帶來良好的體驗(yàn)。電子商務(wù)的網(wǎng)絡(luò)安全管理較為復(fù)雜,不僅需要高新的技術(shù)做支持,如電子簽名、電子識別等,還需要用戶的配合,通常來說,用戶的個(gè)人信息越全面,網(wǎng)絡(luò)交易平臺對用戶的保護(hù)便會越全方位??梢姡陔娮由虅?wù)交易平臺中,網(wǎng)絡(luò)安全具有十分重要的作用。
二、電子商務(wù)中網(wǎng)絡(luò)安全的技術(shù)要素
1、防火墻技術(shù)。防火墻技術(shù)主要是通過數(shù)據(jù)包過濾以及服務(wù)的方式來實(shí)現(xiàn)病毒的防治和阻擋入侵互聯(lián)網(wǎng)內(nèi)部信息[1]。防火墻好比一個(gè)可以設(shè)定濾網(wǎng)大小的過濾裝置,可以根據(jù)用戶的需求,對信息進(jìn)行過濾、管理。在服務(wù)器中,防火墻的技術(shù)便演化為一種連接各個(gè)網(wǎng)關(guān)的技術(shù),對網(wǎng)關(guān)之間的信息聯(lián)通進(jìn)行過濾。雖然上述兩種過濾管理技術(shù)形式略有區(qū)別,但本質(zhì)相同,在電子商務(wù)中,可以將兩者結(jié)合使用,使各自的優(yōu)勢得到充分發(fā)揮。實(shí)現(xiàn)在防火墻內(nèi)部設(shè)計(jì)好一個(gè)過濾裝置,以便對信息進(jìn)行過濾與確定是否可以通過。
2、數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密是對于指定接收方設(shè)定一個(gè)解密的密碼,由數(shù)學(xué)的方式,轉(zhuǎn)換成安全性高的加密技術(shù),以確保信息的安全。這里面會涉及到一個(gè)認(rèn)證中心,也就是第三方來進(jìn)行服務(wù)的一個(gè)專門機(jī)構(gòu),必須嚴(yán)格按照認(rèn)證操作規(guī)定進(jìn)行服務(wù)[2]。認(rèn)證系統(tǒng)的基本原理是利用可靠性高的第三方認(rèn)證系統(tǒng)CA來確保安全與合法、可靠性的交易行為。主要包括CA和Webpunisher,RA與CA的兩者通過報(bào)文進(jìn)行交易,不過也要通過RSA進(jìn)行加密,必須有解密密鑰才可以對稱,并通過認(rèn)證,如果明文與密文的不對稱,就不會認(rèn)證通過,保證了信息的安全[3]。
3、數(shù)字認(rèn)證技術(shù)。為了使電子商務(wù)交易平臺更為安全、可靠,數(shù)字認(rèn)證技術(shù)便應(yīng)運(yùn)而生,其以第三方信任機(jī)制為主要載體,在進(jìn)行網(wǎng)絡(luò)交易時(shí),用戶需通過這一機(jī)制進(jìn)行身份認(rèn)證,以避免不法分子盜用他人信息。PKI對用戶信息的保護(hù)通過密鑰來實(shí)現(xiàn),密鑰保存了用戶的個(gè)人信息,在用戶下次登陸時(shí),唯有信息對稱相符,才能享受到電子商務(wù)平臺提供的相應(yīng)服務(wù),在密鑰的管理下,數(shù)據(jù)的信息得到充分保護(hù),電子商務(wù)交易的安全性能得到了大幅提升。
三、電子商務(wù)中網(wǎng)絡(luò)安全提升的策略
1、提高對網(wǎng)絡(luò)安全重要性的認(rèn)識。隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)在人們工作、生活中已無處不在,我們在享受網(wǎng)絡(luò)帶來的便利時(shí),還應(yīng)了加強(qiáng)對網(wǎng)絡(luò)安全重要性的了解,樹立網(wǎng)絡(luò)安全防范意識,為加強(qiáng)網(wǎng)絡(luò)安全奠定思想基礎(chǔ)。應(yīng)加強(qiáng)對網(wǎng)絡(luò)安全知識的宣傳和普及,使公民對網(wǎng)絡(luò)安全有一個(gè)全面的了解;同時(shí),還應(yīng)使公民掌握一些維護(hù)網(wǎng)絡(luò)安全的技能,以便發(fā)生網(wǎng)絡(luò)安全問題時(shí),能夠得到及時(shí)控制,避免問題擴(kuò)大化。
2、加快網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)。網(wǎng)絡(luò)安全的提升離不開素質(zhì)過硬的專業(yè)人才,由于網(wǎng)絡(luò)技術(shù)具有一定的門檻,如果對專業(yè)了解不深,技術(shù)上不夠?qū)9?,專業(yè)問題便難以得到有效解決,應(yīng)著力提升電子商務(wù)網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)素養(yǎng),為加強(qiáng)網(wǎng)絡(luò)安全奠定人力基礎(chǔ)。在培養(yǎng)專業(yè)人才時(shí),應(yīng)勤于和國內(nèi)外的專業(yè)人員進(jìn)行技術(shù)交流,加強(qiáng)對網(wǎng)絡(luò)安全領(lǐng)域前沿技術(shù)的了解和掌握,避免在技術(shù)更新上落后于人。
3、開展網(wǎng)絡(luò)安全立法和執(zhí)法。網(wǎng)絡(luò)安全的有效提升需要從法律層面進(jìn)行約束,應(yīng)著力于完善網(wǎng)絡(luò)安全立法和執(zhí)法的相關(guān)工作,加快立法工作的步伐,構(gòu)建科學(xué)、合理的網(wǎng)絡(luò)安全法律體系。自從計(jì)算機(jī)產(chǎn)生以來,世界各國均設(shè)立了維護(hù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)。在新時(shí)期,我國應(yīng)集結(jié)安全部、公安部等職能部門的力量,加強(qiáng)對網(wǎng)絡(luò)安全的管理,力求構(gòu)建一個(gè)安全、健康的網(wǎng)絡(luò)環(huán)境。
四、結(jié)論