1 概述(5) (网络安全、 网络安全所面对的几个首要问题) 1 . 1 1 . 2 网络安全的概念及特征 网络安全问题的类型 1 . 3 根本网络安全技能及安全办法的目 标 2 根据软件东西的网络安全问题的处理计划(1 0) 2. 1 网络安全存在的问题 2. 2 软件东西完结处理网络安全问题的计划 2. 3 软件东西完结处理网络安全问题的中心问题 3 根据“智能网全”东西软件的网络安全问题实证(1 5) 3. 1 “智能网全”产品概述(2-3) 3. 2 “智能网全”根据网络安全问题的剖析与实证 4 结束语 1 网络安全概述 1 . 1 网络安全概念及特征 网络安全的...
1 概述(5) (网络安全、 网络安全所面对的几个首要问题) 1 . 1 1 . 2 网络安全的概念及特征 网络安全问题的类型 1 . 3 根本网络安全技能及安全办法的目 标 2 根据软件东西的网络安全问题的处理计划(1 0) 2. 1 网络安全存在的问题 2. 2 软件东西完结处理网络安全问题的计划 2. 3 软件东西完结处理网络安全问题的中心问题 3 根据“智能网全”东西软件的网络安全问题实证(1 5) 3. 1 “智能网全”产品概述(2-3) 3. 2 “智能网全”根据网络安全问题的剖析与实证 4 结束语 1 网络安全概述 1 . 1 网络安全概念及特征 网络安全的概念 网络安全是指网络体系的硬件、 软件及其体系中的数据遭到维护, 不因偶尔的或许歹意的原因而遭遭到损坏、 更改、 走漏, 体系接连牢靠正常地运转, 网络服务不中止。 网络安全从其本质上来讲便是网络上的信息安全。 从广义来说, 但凡触及到网络上信息的保密性、 完整性、 可用性、 真实性和可控性的相关技能和理论都是网络安全的研讨范畴。 网络安全是一门触及计算机科学、 网络技能、 通讯技能、 暗码技能、 信息安全技能、 运用数学、 数论、 信息论等多种学科的归纳性学科。 世界标准化安排(ISO) 对计算机体系安全的界说是: 为数据处理体系树立和选用的技能和办理的安全维护, 维护计算机硬件、 软件和数据不因偶尔和歹意的原因遭到损坏、 更改和走漏。 由此能够将计算机网络的安全了解为: 经过选用各种技能和办理办法, 使网络体系正常运转, 然后确保网络数据的可用性、 完整性和保密性。 所以,树立网络安全维护办法的意图是确保经过网络传输和交流的数据不会产生添加、 修正、 丢掉和走漏等。 网络安全应具有以下五个方面的特征: 保密性: 信息不走漏给非授权用户、 实体或进程, 或供其运用的特性。 完整性: 数据未经授权不能进行改动的特性。 即信息在存储或传输进程中坚持不被修正、不被损坏和丢掉的特性。 可用性: 可被授权实体拜访并按需求运用的特性。 即当需求时能否存取所需的信息。 例如网络环境下回绝服务、 损坏网络和有关体系的正常运转等都归于对可用性的进犯; 可控性: 对信息的传达及内容具有操控能力。 可查看性: 呈现的安全问题时供应根据与手法 网络安全问题的分类 网络安全要挟的类型 网络要挟是对网络安全缺点的潜在运用, 这些缺点或许导致非授权拜访、 信息走漏、资源耗尽、 资源被盗或许损坏等。 1、 偷听: 在播送式网络体系中, 每个结点都能够读取网上传输的数据, 如搭线偷听、 装置通讯监督器和读取网上信息等。 网络体系结构答应监督器承受网上传输的一切数据帧而不考虑帧的传输方针地址, 这种特性使得偷听网上的数据或非授权拜访得简略并且不易被发现。 2、 冒充: 当一个实体假扮成另一个实体进行网络活动时就产生了冒充。 3、 重放: 重复一份报文或报文的一部分, 以便产生一个被授权的效果。 4、 流量剖析: 经过对网上信息流的调查和剖析推断出网上传输的有用信息。 因为报头信息不能加密, 所以即便对数据进行了加密处理, 也能够进行有用的流量剖析 5、 数据完整性损坏: 有意或无意地修正或损坏信息体系, 或许在非授权和不能监测的方法下对数据进行修正。 6、 回绝服务: 当一个授权实体不能取得应有的对网络资源的拜访或紧迫操作被推迟时, 就产生了回绝服务。 7、 资源的非授权运用: 与所界说的安全策略不共同的运用。 8、 陷门和特洛伊木马: 经过替换体系合法程序, 或许在合法程序里刺进歹意代码以完结非授权进程, 然后到达某种特定目 的。 9、 病毒: 跟着人们对计算机体系和网络依靠程度的添加, 计算机病毒现已对计算机体系和网络构成了 严峻要挟。 10、 诽谤: 运用计算机信息体系的广泛互联性和匿名性, 散布过错的音讯以到达诽谤某个方针的形象和知名度的目 的。 网络安全缝隙 信息体系的安全性十分软弱, 首要体现在操作体系、 计算机网络和数据库办理体系都存在安全隐患这些安全隐患表现在: 1、 物理安全性: 但凡能够让非授权机器物理介入的当地, 都会存在潜在的安全问题, 也便是能让介入用户做本答应做的作业。 2、 软件安全缝隙: “特权” 软件中带有歹意的程序代码, 然后能够导致其取得额定的权限。 3、 不兼容运用安全缝隙: 当体系办理员把软件和硬件绑缚在一起时, 从安全的视点来看, 能够以为体系将有或许产生严峻安全隐患。 所谓的不兼容性问题是指把两个毫无联系但有用的事物衔接在一起, 然后导致了 安全缝隙。 一旦体系树立和运转, 这种问题很难被发现。 4、 挑选适宜的安全道理: 这是一种对安全概念的了解和直觉。 完美的软件、 受维护的硬件和兼容部件并不能确保正常而有用地作业, 除非用户挑选了 恰当的安全策略和打开了能添加其体系安全的部件。 网络进犯 “进犯” 是指任何的非授权行为。 供应的规模从简略的使服务器无法供应正常作业到彻底损坏或操控服务器。 在网络上成功施行的进犯等级依靠于用户采纳的安全办法。 网络进犯分为以下几类: 1、 被迫进犯: 进犯者经过监督一切的信息流以取得某些隐秘。 这种进犯能够是根据网络(盯梢通讯链路) 或根据体系(用隐秘抓取数据的特洛伊木马替代体系部件) 的。 被迫进犯是最难被检测到的, 故抵挡这种进犯的重点是防备, 首要手法如数据加密等。 2、 主动进犯: 进犯者企图打破网络的安全防地。 这种进犯触及到修正数据流或创立过错流,首要进犯方式有冒充、 重放、 诈骗、 音讯篡改、 回绝服务等。 这种进犯无法防护, 但却易于检测, 故抵挡的重点是检测, 首要手法如防火墙、 侵略检测技能等。 3、 物理挨近进犯: 在物理挨近进犯中, 未授权者可物理上挨近网络、 体系或设备, 意图是修正、 搜集或回绝拜访信息。 4、 内部人员进犯: 内部人员进犯的施行人要么被授权在信息安全处理体系的物理规模内, 要么对信息安全处理体系具有直接拜访权。 内部人员进犯包含歹意的和非歹意的(不小心或无知的用户) 两种。 5、 分发进犯: 指在软件和硬件开发出来之后和装置之前这段时刻, 或当它从一个当地传到另一个当地时, 共记者歹意修正软、 硬件。 1 . 3 根本网络安全技能及安全方针 根本安全技能 任何方式的互联网服务都会导致安全方面的危险, 问题是怎么将危险降低到最低程度。 1、 数据加密: 加密是经过对信息的重新组合使得只要收发两边才干解码并复原信息的一种手法。 2、 数字签名: 数字签名能够用来证明音讯确实是由发送者签发的, 并且, 当数字签名用于存储的数据或程序时, 能够用来验证数据或程序的完整性。 3、 身份认证: 有多种方法来认证一个用户的合法性, 如暗码技能、 运用人体生理特征(如指纹) 进行辨认、 智能 IC 卡和 USB 盘。 4、 防火墙: 防火墙是坐落两个网络之间的屏障, 一边是内部网络(可信任的网络), 另一边 是外部网络(不行信任的网络), 依照体系办理员预先界说好的规矩操控数据包的进出。 5、 内容查看: 即便有了防火墙、 身份认证和加密, 人们仍忧虑遭到病毒的进犯。 安全办法的方针 1、 拜访操控: 确保会话两边(人或计算机) 有权做他所宣称的作业。 2、 认证: 确保会话对方的资源(人或计算机) 同他宣称的相共同。 3、 完整性: 确保接收到的信息同发送的共同。 4、 审计: 确保任何产生的买卖在过后能够被证明, 发信者和收信者都以为交流产生过, 即所谓的不行狡赖性。 5、 保密: 确保灵敏信息不被偷听。 2 根据软件东西的网络安全问题的处理计划 2. 1 网络安全存在的问题 “老三样, 堵缝隙、 做高墙、 防外攻, 防不胜防。 ” 日前, 我国工程院沈昌祥院士这样归纳我国信息安全的根本情况。 信息安全提了这么些年, 终究国内的网络怎么软弱, 怎么一触即溃, 恐怕常人是不行思议的。公安部计算机安全组织、 国家信息中心的领导最熟知。 从现在的实践运营情况看, 或许存在的一些问题, 令主管信息安全的领导忧虑。 本文仅列举出网络安全方面的问题和大忌, 供有识之士宣布高论, 起一个抛砖引玉的效果: 一、 一触即溃的根服务器 互联网的唯共同命缺点便是它彻底依靠于运用根服务器的域名体系(DNS) , 根服务器掌握着世界域名(如 . com, . net, . org) 的一切授权细节。 坐落全球的网络结构的中心中共有 13 台这种根服务器。 这个服务器网络由命名和数字互联网公司(ICANN) 办理, 该公司是一个供应互联网命名规矩咨询服务的集团。 中心或许说 A 服务器办理着主域名列表, 该服务器由一家名叫 Network Solutions 的美国公司办理。 每天, 主域名列表会被复制到坐落世界各地的其它 12 服务器上。 这 12 个服务器大部分在美国的军事、教育站点和 NASA, 别的, 在日本, 瑞典和英国各有一台这种服务器。 据 Excite@Home 的主任技能专家 Milo Medin 讲, 对上述服务器采纳一起、 继续散布式回绝服务(DDoS)的进犯, 就像前几年对闻名电子商务网站 Yahoo! 和的进犯相同, 那么, 整个网络的通讯联络将悉数终断。 当咱们在域名体系中输入一个纯英文的网站地址的时分, 一个叫作quot; BINDquot; 的敞开代码软件就会把这个英文名字转化成悉数由数字构成的互联网协议地址, 也 便是咱们一般所说的 IP 地址。 组成 IP 地址的这些数字向网络发送信息包。 quot;根域名服务器被看作是技能基础设施中至关重要的部分。 而 DDoS 进犯的效果并不会被立刻察觉到。 在遭受进犯后, 那些闻名的网站会比其它网站晚些遭到影响, 因为一般在电脑中有缓存支撑。 进犯所形成的危害会经过那些不是很知名的站点开端不作业显现出来。 最终, 那些没有根服务器的国家的网站, 包含澳大利亚, 我国等,将从整个网络世界中消失。 因为 13 台根服务器被涣散在世界各地, 所以, 对单一根服务器的进犯只会形成很小的影响。可是, 在奥林匹克运动会即将于北京 2008 开幕之际, 谁也不知道网络者是否会一起对一切的根服务器采纳进犯举动。 一位澳大利亚的计算机毛病快速反应小组的(AusCERT) 讲话人称, 任何对根服务器的进犯都会形成严峻的影响, 关于澳大利亚来说, 具有自己的根服务器是明智之举。 进犯有必要在数小时内完结并能坚持最大损坏状况数十天, 可是, 很多的备份体系将使进犯变得好不容易。 而康复的时刻或许需求数天, 甚至数周, 这期间世界上整个互联网服务将处于中止状况。 网络之间的彼此联络越是严密, 任何服务中止所形成的不行见连锁反应就越大。 我国现在也没有自己的根服务器供应域名办理服务, 就像澳大利亚相同, 所以在其它根服务器遭到进犯后, 咱们也将失掉与世界上其它当地网络的联络。 是否咱们也要比及举行奥运会的时分才考虑设置自己的根服务器. 美国: 1997 年 7 月, 一次主根服务器停电形成了数据被损坏, 使得网络运营遭到了严峻的影响。 美国政府的商务部授权对该体系面对私有化进行评论。 最终, 评论的成果以为确保互联网的稳定性是任何 DNS 办理体系的首要任务。 二、 软弱性: 银行网络存在严峻的缝隙 来自 CCID 的网络安全商场陈述: 信息产业部 1999 年对银行证券体系的 1546 个经营部分 23 万台计算机的检测中发现悉数都有安全缝隙, 留下了 很多的网络安全隐患。 近期的银行计算机信息体系的安全事情时有产生, 并呈添加趋势, 网络安全事情的丢失呈扩展趋势。 现在我国已有 20 多家银行的 200 多个 分支组织具有网址和主页, 其间展开实质性网络银行事务的分支组织达 50 余家, 客户数超越40 万户。 50 多家银行发行银行卡两亿多张。 跟着网上银行的运用推行, 银行业的网络安全问题将联系到银行新事务增长点的开发、 银行的诺言甚至生计。 我国人民银行现正在起草网络银行事务的办理办法和有关网络金融危险办理的指引, 近期将会出台, 将进一步增强银行业的网络安全意识。 现在, 金融组织和银行信息网络体系存在的缝隙之归纳剖析: 1. 来自互联网危险: 网上银行、 电子商务、 网上买卖体系都是经过 Internet 公网并且都与银行产生联系, 银行体系网络如果与 Internet 公网直接或直接互联, 那么因为互联网自的广泛性、 自由性等特色, 象银行这样的金融体系自 然会被歹意的侵略者列入其进犯目 标的前列。 2. 外单位危险: 银行体系与电信局、 水电部分、 保险公司、 证券买卖所等单位网络互联。 因为银行与这些单位之间不或许是彻底任信联系, 因而, 它们之间的互联, 也使得银行网络体系存在着来自外单位的安全要挟。 3. 来自不信任域危险: 大部分银行体系都发展到全国联网。 一个体系散布在全国各地, 规模之广散布到乡 镇甚至村镇, 并且各级银行也都是独立核算单位, 因而, 对每一个区域银行来说, 其它区域银行都能够说是不信任的。 相同存在安全危胁。 4. 来自内部的危险: 据调查计算, 已产生的网络安全事情中, 70%的进犯是来自内部。 因而内部网的安全危险更严峻。 内部职工对本身企业网络结构、 运用比较了解, 自已进犯或走漏重要信息, 内外勾结, 都将或许成为导致体系受进犯的最丧命安全要挟。 5. 办理安全危险: 银行内部职工的安全意识单薄, 企业的安全办理体制不健全也是网络存在安全危险的重要因素之一, 健全的安全办理体制是一个企业网络安全得以保证及维系的要害...