发布时间:2023-09-18 16:31:36
导语:想要提升您的写作水平,创作出令人难忘的文章?我们精心为您整理的13篇网络安全研究现状范例,将为您的写作提供有力的支持和灵感!
中图分类号:TP
文献标识码:A
文章编号:1672-3198(2010)09-0283-01
1 计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”上述计算机安全的定义包含物理安全和逻辑安全两方面的内容。其逻辑安全的内容可理解为人们常说的信息安全,是指对信息的保密性、完整性和可用性的保护;而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
2 计算机网络安全的现状
目前计算机网络面临着各式各样的安全隐患,如:操作系统的漏洞、病毒的攻击、解密攻击等,都给用户带来了巨大的安全威胁。在Internet网络上,因互联网本身没有时空和地域的限制,每当一种攻击出现时,便能在很短的时间内传遍整个网络,这些攻击手段利用网络和系统的漏洞进行攻击从而导致计算机网络和系统的瘫痪。
3 计算机网络安全的防范措施
安全的计算机网络环境可以为计算机信息的获取、传输、处理、利用和共享提供一个高效快捷、安全的通信环境和传输通道。网络安全技术随着人们网络实践的发展,其涉及的技术面非常广,主要有入侵检测、安全加密、网络防火墙、认证和防病毒技术等。
3.1 入侵检测技术
入侵检测系统是从多种计算机系统以及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测技术是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和错误操作的实时保护,在网络系统收到危害之前拦截相应入侵。在计算机网络安全防范上主要通过以下四种途径:一是对用户及系统活动进行监视,及时检测非法用户和合法用户的越权操作,将潜在的安全隐患显性化;二是通过对已知的危险进攻活动模式进行提示并显示相关预警;三是及时检测系统配置的安全性以及是否存在安全漏洞;四是对异常行为进行统计分析,识别攻击类型,并对重要系统和数据进行安全性评估。
3.2 漏洞扫描系统
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏系统。因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。
3.3 VLAN(虚拟局域网)技术
选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。
3.4 网络分段
企业网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
3.5 防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。任何企业安全策略的一个主要部分都是实现和维护防火墙,因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。
4 结束语
网络安全是一个系统性的问题,它不仅依靠技术来实现,还要有合理的安全管理策略。我们应该结合实际环境,综合考虑安全因素来制定具体、合理的防范措施。同时将各种技术综合起来灵活运用,提高工作人员的专业素质,才可能形成一个安全、高效的网络系统。
参考文献
中图分类号:TP393 文献标识码:A
作为网络安全态势感知(Network Security Situation Awareness,NSSA)研究的核心内容,网络安全态势评估已经得到了国内外的广泛关注。
Time Bass于1999年在文献中首次提出网络安全态势感知的概念,其目的是关联相互独立的IDS以融合攻击信息用于评估网络安全。同年,Andrew Blyth在文献中提出了通过观察黑客的攻击足迹从而进一步定性地评估网络受到的安全威胁。但是他们仅限于理论上的研究,并未对理论模型进行实现。2001年,Information Extraction & Transport在研究攻击的检测方法和攻击对网络安全的影响时,为了检测广域计算机的攻击和评估态势响应,开发了一种SSARE工具,将理论方法付诸应用,但是由于该工具所用方法过于依赖专家主观经验,因此为了解决这个问题。
2005年,Jajdia等人以检测网络系统弱点为目的,设计了一种拓扑弱点分析工具TVA,该工具可以通过分析拓扑弱点来评估网络的安全状况。2011年,Gabreil Jakobson等人在文献中提出了影响依赖图的概念,设计了基于影响依赖图的网络安全态势评估方法,加强了对复合攻击的评估。2012年,Stephen E.Smith在文献中提出综合利用现有网络安全工具,包括流量分析工具、脆弱性扫描工具和入侵检测系统等,以便于全面评估和保护网络安全,并以现有工具的集成为目的对系统进行了设计。
国内学者对网络安全态势评估方法的研究相对较晚,理论及应用研究均亟需进一步提高与完善。
为了综合考虑攻击和脆弱性对网络安全的影响,考虑到攻击和脆弱性之间存在对应关系,韦勇于在2009年提出了通过匹配攻击所依赖的脆弱性信息与目标节点的脆弱性信息来获取攻击成功支持概率。基于对攻击和脆弱性之间、脆弱性和脆弱性之间的关联关系的考虑,刘刚于2012年针对网络中节点的漏洞和攻击层面的风险分析需求,提出了漏洞信度和攻击信度的概念,做到了将网络中的漏洞信息和攻击信息进行关联。王坤等于2016年通过对已有网络安全态势评估方法的分析与比较,提出了一种基于攻击模式识别的网络安全态势评估方法。首先,对网络中的报警数据进行因果分析,识别出攻击意图与当前的攻击阶段;然后,以攻击阶段为要素进行态势评估;最后,构建攻击阶段状态转移图(STG),结合主机的漏洞与配置信息,实现对网络安全态势的预测。
对以上研究现状进行分析可知,国内外研究者一般以网络攻击、网络脆弱性、网络性能指标变化以及它们的综合影响为侧重点来研究网络安全态势评估方法。因此,根据研究侧重点的不同可以将网络安全态势评估方法分为三个基础类:面向攻击的网络安全态势评估方法、面向脆弱性的网络安全态势评估方法和面向服务的网络安全态势评估方法。对三类网络安全态势评估方法的介绍见下表。
参考文献
[1] Bass T.Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems[C]. 1999 IRIS National Symposium on Sensor and Data Fusion, 1999:24-27.
[2] Blyth A.Footprinting for intrusion detection and threat assessment[R]. Information Security Technical Report.1999,4(3):43-53.
[3] D’Ambrosio B,Takikawa M,Upper D,Fitzgerald J,Mahoney S.Security situation assessment and response evaluation[C].Proceedings of the DARPA Information Survivability Conf,&Exposition II,Anaheim,California,USA,2001:387-394.
[4] Ahmed M, Al-Shaer E, Khan L. A novel quantitative approach for measuring network security[C].Proceedings of the 27th Conference on Computer Communications. Piscataway,NJ:IEEE,2008:1957-1965.
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2016)06-0212-01
近年来,高校校园网已经成为高等学校信息技术应用能力强弱的重要标志。然而,由于互联网本身开放性的特点,校园网在使用的过程中会受到各种因素的干扰,包括病毒,插件、网络攻击,造成文件的丢失、篡改等各个方面的安全威胁。由于高校人才辈出,往往在使用者当中存在着一些比管理员水平更高的人员,更容易在校园网内发生一些安全事件,有资料表明:在校园网内部发生的攻击概率要远远高于校园网外部的攻击。校园网内部的安全问题已经引起了广泛的关注,如何建立一个安全性强,健壮,效率高并且运行稳定的高校信息网络,成了各个高校所关注的核心问题。
校园网只是一种特殊的网络,所以其安全因素和普通网络一样也同样主要集中在两个部分,一是网络硬件因素,另一个就是网络软件因素。对于网络硬件因素而言,主要存在的缺陷集中在以下几个方面:
(1)硬件设计漏洞,在网络系统当中,很多网络硬件本身存在着涉及安全的问题,不单单是存在于高校的校园网络中,而是存在于整个因特网。有些网络硬件在关键部位存在着参数设置、数据处理等等方面的隐患,如路由器的相关设置,防火墙相关端口的安全级别设置等。网络本身是一个开放性的系统,绝对安全的网络是没有的,网络的安全是以牺牲网络的便利性为代价的。(2)电磁辐射。网络数据在传输的时候,会经过网络线路和计算机端口,这些地方都存在着电磁辐射的可能,大多数的高校校园网来说,并没有很好的屏蔽措施,各类传输线路,在室外仍有,这极其容易引发电磁泄漏。(3)通过网络数据传输线路进行信息窃听。这是互联网上比较常用的一种窃取网络数据的方式,主要用在有机会接触数据传输线路的用户,而校园网恰恰具有这个特点。网络不法分子,利用搭线窃听的方式非法接受校园网上传输的有用信息。(4)用非法终端的接入来获取信息。由于校园网内的终端比较密集,容易产生将非法终端接入校园网内的情况,非法用户利用合法终端的身份隐藏其非法终端,并在合法终端断开连接的时候,接入到校园网并获取有价值的信息。(5)利用网络技术非法入侵。校园网内有些学生信息技术水平比较高,他们利用自己的技术连入的校园网当中,非法获取有关信息。目前网络的信息安全主要以设置密码为主,有些校园网用户安全意识不够强,设置比较简单的密码或者根本就没有设置密码,给非法用户的入侵提供了极大的方便。一旦密码被破解或者被黑客掌握,将会带来极大的安全隐患,个人信息完全暴露在黑客的面前。
网络软件方面安全的影响主要包括以下几个部分:
(1)木马和程序后门。一些有技术的网络黑客,发现了某些软件的漏洞,利用这个漏洞可以入侵到计算机网络当中,或者是软件设计本身就具有的一些问题,被设计者加以利用。木马程序,是指安装在客户端上的一种特殊的程序,这种程序可以将黑客指定的用户信息通过计算机网络发送出去,成为了黑客常用的一种攻击工具。(2)计算机病毒。计算机病毒是人为的植入到客户端的程序,可以对客户端或者是网络造成一定影响的软件。自互联网产生以来,计算机病毒就一直影响着互联网的使用,网络历史上也有过计算机病毒肆虐的情况发生,这些病毒往往是利用操作系统的漏洞,进行大规模的破坏,并能够利用计算机网络快速而广泛的传播,给网络造成很坏的影响,校园网终端密集,再加上用户高峰期比较集中,一旦在校园网内发生病毒极其容易造成整个校园网瘫痪。(3)DDOS攻击。DDOS攻击就是拒绝服务攻击,是指同时大量的数据涌入,这些数据大部分都是合法数据,而用户只能进行拒绝,但是由于数据量过于庞大,几乎没有办法应对,当资源耗尽的时候终端就会下线,目前,对于这种拒绝服务攻击没有很好的解决办法,拒绝服务攻击由于易于操作,攻击能力强,并且攻击具有合法和隐蔽性,因此得到了很广泛的应用。(4)对密码进行攻击。互联网上出现过很多对密码进行攻击的软件,包括暴力破解,密码字典等,这些软件的主要目的就是破解互联网上的密码,因为目前互联网的安全主要是以加密的形式来保障的,校园网更是如此,从理论上来讲,任何一种加密方式,几乎都是可逆的。破译者可以对已知的文件进行破解,也可以对明文进行选择性的攻击。
目前高校校园网的安全形势已经引起广泛关注,各高校的领导也把校园网的安全作为重要的任务来抓。在当今的网络技术条件,如何解决校园网的安全问题?引起校园网安全隐患的主要是两个方面,解决问题,当然要从两个方面入手。对于硬件来说:要重视校园网的安全规划,做好网络系统的设计开发和系统分析。在硬件设备的选取方面,结合学校的实际情况选择合适的网络设备,尽量选择有质量保证,大品牌的硬件产品和设备仪器。在网络建设阶段,采取招标施工的方式提高网络建设的质量,对设计的要求、质量要求对外公开,选择资质强实力雄厚的公司进行建设,可以有效减少网络硬件对计算机网络安全的影响。
对网络软件的影响来说,主要的方法就是提高用户的安全意识,这也是网络安全的最主要因素。对校园网的用户进行安全意识的培训,鼓励用户使用正版的软件,对网络系统的操作进行规范性的培训等各个方面,都有很大意义。要求用户的密码必须符合一定的复杂度,一旦发现病毒,应立即杀毒并上报处理,拒绝下载使用一些不安全的软件,拒绝将密码进行公开传播,这样可以有效减少网络软件对计算机网络安全的影响。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005(3):22-25.
安全性是影响无线传感器网络中网络安全协议的重要因素,目前主要面临以下问题:首先是传感器在物理方面受到威胁。主要表现在节点容易被控制和破坏,导致节点失效,在部分情况下,节点被布置在较为危险的区域,安全性低,其抗破坏、抗毁损的能力尚未得到保障,从而导致传感器的安全性受到威胁。其次是传感器节点的资源高度受限。在无线传感器网络当中,传感器节点在计算能力、CPU以及存储资源等方面都受到了一定的约束和限制。再次,由于电源的有限性、分布式控制技术被采用,网络主机安全性低,容易受到各种形式的网络攻击。
1.2SPINS方案的类型及其优劣势
SPINS是一种通用的传感器网络安全协议,它兼顾了数据机密性、完整性以及可认证性,包括SNEP(SecureNetworkEn-cryptionProtocol)和TESLA(microTimedEfficientStreamingLoss2tolerantAuthenticationProtocol)。
1.2.1SNEP子协议
SNEP是传感网络加密协议,为节点到接收机之间的数据进行鉴权、加密以及刷新。其优点主要表现在以下方面:
(1)通信负担较小,在每条信息后面只加了一些位的数据;
(2)尽管SNEP使用了计数方面的功能,但是避免了对这些值的传输,而是通过节点间的状态进行检验;
(3)SNEP可以防止窃听,在一定程度上保持了语义方面的安全性。在这一方面,它是通过在发送者和接收者之间共享计数器的方式实现的;
(4)它还具有数据认证、重放攻击保护、低通信量等特点。
1.2.2TELSA子协议
TESLA(微型版本的Timed,Efficient,Streaming,Loss-tolerantAuthenticationProtocol),是提供认证的广播认证协议,一方面,它通过轻量级加密服务,在广播中延迟公布密钥,很大程度上满足了无线传感网络的安全需求,另一方面,包括了身份认证和报文认证两个部分,身份认证确保报文认证的所声明的源节点,而报文认证确保报文在传输中不会被篡改。
1.3密钥管理的类型及其特点
作为WSN安全研究最基本的内容,有效的密钥管理机制能够提供安全可靠的保密通信,成为其他安全机制的基础。其类型主要有以下几个方面:
(1)对称密钥管理与非对称密钥管理。对称密钥管理也就是通信双方使用相同的密钥和加密算法进行数据的加密和解密工作,其密钥长度相对较短,开销也相对较小,对无线传感器来说比较合适。而非对称密钥管理则在节点上拥有不同的加密和解密密钥,其加密算法在计算意义上比较安全。
(2)分布式密钥管理和层次式密钥管理。在分布式密钥管理中,节点具有相同的通信能力和计算能力。通过节点预分配的密钥及其相互协作,可以完成节点密钥的协商和更新,而密钥的协商又通过相邻节点的协作来完成,分布特性较好。在层次式密钥管理当中,节点被划分成若干簇,每一簇有一个能力相对较强的簇头,通过簇头可以完成普通节点的密钥分配、协商和更新工作,层次式密钥管理对普通节点的计算和存储能力没有过多要求,但一旦簇头受损,严重的安全威胁就会随之产生。
(3)静态密钥管理与动态密钥管理。在静态密钥管理中,节点在部署前预分配一定数量的密钥,部署后通过协商生成通信密钥,通信密钥在整个网络运行期内不考虑密钥更新和撤回。相对地,动态密钥管理则对密钥的更新和撤回进行考虑。
(4)除具有可用性、完整性、机密性、认证性等基本特征外,无线传感器网络中的密钥管理还有以下一些优点与需求:首先是可扩展性,随着节点规模的扩大,密钥管理方案和协议必须能够适应不同规模的无线传感器网络;其次是有效性,在网络节点的存储、处理和通信能力非常受限的情况必须充分考虑存储复杂度、计算复杂度、通信复杂度等各方面的情况;再次是密钥连接性与抗毁性,保持节点连接的畅通和安全信息方面的保护。然而,密钥管理在某些方面也受到了一定的约束和限制,还有一定的优化空间,具体表现在:首先,节点资源将受到更加严格的限制,使得传统的对节点计算、存储和通信开销较大的密钥管理方案或协议的应用难以实现;其次,缺乏固定的基础设施支持;再次,节点容易受损。容易受到物理损坏以及信息的干扰。
2针对无线传感器网络中网络安全协议现状的努力方向
2.1建立可信任的服务中心
针对现在安全可信度方面存在的问题,我们要在真实地址访问技术难题上取得突破,在此基础上,要设计和实现可信任的服务中心,包括以下三个方面,即网络地址及其位置、网络应用实体、身份以及应用,通过提高这些内容的真实可信度,直接解决一些伪造源地址的问题,实现互联网流量追踪、安全机制、网络管理都变得更加容易便捷,从而实现基于源地址的计费、管理和测量,为安全服务和安全应用的设计提供支持。
2.2拓展安全自增强方式
首先要建立相当的安全防范措施,使用全局共享密钥在链路层加密和鉴别,防止对外传感器网络路由协议的外部攻击。其次,还要提高公钥加密技术的可行性,采用为每个节点分配唯一的对称密钥的方式来避免生成和鉴定的数字签名超过传感器节点的能力范围,这是防女巫攻击的主要办法之一。再次,针对HELLO泛洪攻击,在使用链路传输信息进行有意义操作之前,在链路两端进行验证。另外,针对虫洞和下水道攻击的重要防范措施,就是地理位置路由协议。最后,还要建立多路径及全局信息平衡机制,来保护大型传感器网络。
2.3优化密钥预分配方案
最简单的密钥分配协议就是所有传感器节点共享一个密钥,但是如果一个节点被捕获,安全性就完全被破坏。最安全的密钥分配协议则是预先给每两个节点分配一个对偶密钥,然而网络规模巨大,使得节点存储器受到限制。另外,还有随机分配协议等方案被提出来,但由于这些模型是否符合实际、是否实用等问题都有待进一步验证,因此密钥预分配方案都还需要进一步研究。需要我们按照符号约定、基本E-G协议、Q-composite、多路密钥增强模式、随机密钥对模型、Blom密钥预分配协议等方式,可以取得一定效果,由于篇幅所限,为不喧宾夺主,在此不一一详细论述。
3无线传感器网络中网络安全协议的发展趋势
无线传感器网络的安全问题是目前受到关注最重要的方面。在不久的将来,无线传感器网络中网络安全协议将呈现以下发展趋势:
(1)无线传感器网络的应用更为普遍,网络安全协议的建立与网络安全的维护受重视程度日益加深。会有成千上万的传感器形成自组织的无线网络。那么如何为这种无线传感器网络提供安全呢?与传统的桌面计算机、服务器相比,解决这个问题并不容易。
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)21-0140-02
随着信息时代的日益深入,人们对网络越来越依赖,互联网逐渐成为了人们生活的一部分。互联网本质上是对所有人群开放的网络系统,然而由于网络用户在系统安全和信息保密方面的缺陷,加上网络技术快速发展带来的破坏和攻击威胁日益加剧。本文系统介绍了网络安全的含义、特性,同时对网络安全进行了现状分析,并且提出了几种主要的安全威胁,最后提出了相应的防范对策来增加网络的安全性。
1 简介
1.1 概念
网络安全就是指利用各种管理措施和网络技术,对系统软件、硬件以及数据等进行保护,避免其受到恶意或偶然的泄漏、更改或破坏,保证网络系统的完整性、可用性和保密性。对于网络安全的定义,不同的应用环境和不同的角度会有不同的概念。
1.2 特性
1)保密性,保密性就是指对于没有授权的用户无法访问数据。保密性包括数据存储保密性和网络传输保密性两个方面。通过控制访问来实现保密性指数据存取的保密性。通过同股沟加密传输数据来实现保密性称为网络传输的保密性。
2)完整性,完整性就是指数据未经授权不可以更改,也就是说保证在传输或存储数据的过程中保证数据不被破坏、修改以及丢失等。
3)可用性,可用性指的是实体在授权的情况下,当需要时可以访问和存储所需信息。
4)不可抵赖性,不可抵赖性指的是信息交互时要对参与者进行同一性确认,参与者不可以对曾经的承诺和操作抵赖或否认。
5)可控性。可控性指的是人们控制信息传播内容、范围以及途径的能力。
2 现状
在国内,网络安全产业是一个新兴产业,发展不成熟,即便网络用户知道网络存在的安全威胁,也不清楚这些威胁的来源、起因和后果等。网络安全威胁主要包括有意和无意两种类型。无意威胁指的是自然灾害、设备故障以及人为误操作等方面,有意威胁主要是指计算机犯罪、窃听等人为破坏。
1)人为失误。人为失误主要是指人无意的行为,比如说操作不、口令丢失、资源访问失当、配置失调以及不小心让无权限人进入网络等,这些都会极大地威胁网络系统的安全性。
2)病毒。网络病毒对于计算机网络安全的危害最大,它具有隐蔽性、潜伏性、传染性、可触发性以及繁殖性等特点。病毒入侵网络会造成网络资源的破坏或损失,不但会浪费财富和资源,还会导致社会性灾害。病毒在以前主要是对计算机内部的信息进行破坏,导致系统瘫痪,而目前的病毒一般结合黑客程序,使得用户的敏感信息被窃取,造成巨大的危害。
3)非法入侵。非法入侵指的是未授权实体非法进入、访问或破坏网络资源,也就是常说的黑客。他们通过一定的网络技术非法得到访问权限,进而进入网络系统达到窃取或破坏用户信息的不良企图。黑客具有攻击性强和隐蔽性好等特点,目前缺少对其反击的有效措施,使得黑客成为了主要的网络威胁。
4)管理不当。通过严格管理网络通信系统可以保证企业、机构及用户免受攻击。然而,很多企业或系统都很少重视这方面的管理。目前,美国大部分网站都会遭受到黑客的攻击,约有75%的企业信息都有可能被盗用。此外,管理的缺陷还可能造成系统内部人员窃取内部机密或者泄露机密或外部人员通过不正当手段截获而导致公司内部机密信息泄露,从而使一些不法分子有可乘之机。因此,加强内部工作人员的监管督导也显得格外重要。
5)网络的缺陷及漏洞。由于Internet共享性和开放性的特点,使得网上信息安全本身就存在不安全性。因为TCP/IP协议本身就缺乏牢靠的安全机制,而且因特网在设计的过程中也没有太多考虑安全问题,因此它在安全可靠和方便性等方面存在着很多的不足。
6)隐私及机密资料的存储和传输。假如系统遭受到黑客的非法攻击,网络系统内的机密资料,如不采取防卫措施,很容易被黑客跟踪最终导致信息泄密。同样,机密资料在网络中传输,由于要经过多个子系统的节点,而每个节点安全性都难以保证,因而信息在任何情况下都有可能被盗取。
3 防护措施
网络安全的保证要依靠多种网络技术的综合运用,主要的网络安全技术有以下几种。
1)虚拟网络。虚拟网络的基础是局域网、以太网及ATM的交换技术,保障信息准确到达目的地,避免了网络监听的非法入侵,利用控制访问的方法,保护虚拟网络内部节点不被网络外部节点访问。
2)防火墙。防火墙主要是使得网络间的控制访问得到加强,避免网络外部用户的非法访问入侵,确保网络内部安全的操作环境。
3)病毒防护。病毒防护是指对病毒的传播进行阻止,检测和消除病毒,升级病毒数据库、安装ActiveX和Java软件,对未授权的控件安装或下载进行控制等方面。
4)检测入侵。检测入侵能够对入侵检测进行实时供应,从而采取防护措施,可以应对网络内部的安全威胁,可以使得黑客入侵时间缩短。
5)安全扫描。联合安全扫面、系统监控以及防火墙技术可以使得网络的安全性得到很很大的提高,安全扫描器虽然不可以实时监控,但是可以对系统安全性进行检测和评估,可及时发现系统漏洞。
6)数字签名和认证。数字签名和认证的目的是解决通信双方在通信过程中的身份确认,通信传输过程中的不可否认的实现也是通过数字签名完成的。
7)VPN。VPN主要是负责为因特网提供双向安全通信和透明加密方案,从而使得数据信息的保密性和完整性得到保障。
8)系统应用安全。系统的应用安全相对复杂,它主要涉及操作系统安全、电子邮件安全、网络服务器安全以及域名服务安全等方面。
4 小结
目前,通信技术和计算机网络技术进入了迅猛发展阶段,互联网逐渐深入到人们的生产和生活中,信息流动量巨大,同时也带来了个人私密信息可能被入侵或破坏的威胁,由此带来的网络安全问题日益加剧。网络安全全面意义上来讲既包含系统本身的安全,又包括逻辑结构和物理结构的安全。必须综合各种先进的网络技术才能够保障整个计算机网络的安全。
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)06-0047-04
Abstract: With the development of information technology, the application of WiFi network is more extensive in people’s daily life. The security of WiFi network are also increasingly attacting people’s attention. Effective defense strategies are needed to protect user’s information security. This paper introduces the current situation of the security in WiFi network, analyzes the common attack methods and attack process of WiFi network, what’s more, a defense strategy of WiFi network is put forward from two aspects: public WiFi and the private or enterprise WiFi.
Key words: wireless network security; information security; WiFi; Kali linux; defense
1 概述
近年来随着无线网络技术的不断发展以及手机、电脑等智能产品的普及,我们的生活越来越趋于智能化,生活也更加依赖网络,WiFi网络在我们生活中的应用也越来越广泛。o线网络技术的发展改变着我们的生活,如今大部分高校、商场、各大机构等都实现了WiFi网络的全覆盖,部分城市也提出了建设“无线城市”的目标,人们可以在生活中随时随地通过WiFi接入互联网。WiFi网络技术在方便我们生活的同时,也会带来很多安全隐患,比如用户信息泄露、账户被盗等,重视WiFi网络安全对于保护公民信息安全而言显得极为重要。
2 WiFi无线网络安全问题现状
WiFi(Wireless-Fidelity)俗称无线保真或无线宽带,是一种可以允许无线设备连入无线局域网(WLAN)的技术,属于“电气和电子工程师协会”(IEEE)的802.11标准,也是目前用途极为广泛的无线局域网技术。WiFi网络的开放性使得WiFi网络存在很多安全问题。
2.1 网络监听及信息篡改
WiFi网络进行信息传输要通过无线信道实现,当攻击者使用具有监听功能的无线网卡等设备监听相应信道时,就可以对该信道的信息传输进行监控,如果该WiFi网络本身处于无加密的开放状态或不安全的加密状态,攻击者则会轻易获取用户发起的网络流量,对用户的信息安全产生严重危害,如果在此期间存在账号密码等敏感信息提交,将会导致更严重的信息泄露,如用户在开放(open)WiFi网络中下载邮件附件中的文件,则攻击者可以通过监听得到的流量数据还原用户下载的文件。同时当攻击者获取了用户流量后,还可以进行信息修改后的重传,严重影响用户的正常通信及安全。
2.2 不安全加密导致非法接入
由于对WiFi网络不进行加密处理会导致严重的信息泄露问题,所以对WiFi网络进行加密是必要的。但目前仍较大范围使用的WEP加密方法存在严重的安全问题,使用WEP加密的WiFi网络,对于攻击者而言就是一扇开启的大门。WEP(Wired Equivalent Privacy)即为有线等效保密协议,使用RC4加密算法(Rivest Cipher 4)实现机密性,使用CRC32算法检验数据完整性。WEP通过40位或104位的密钥与24位的初始向量(IV)连接在一起组合成为64位或128位的KEY。由于WEP加密中初始向量IV始终为24位,所以当抓取到足够多的密钥流信息时,就可以通过结合RC4算法特点破解得到共享密码的明文[1]。所以使用WEP对无线网络加密形同虚设,无论密码本身有多复杂,只要抓取到足够的密钥流数据都可以对其进行破解。
2.3 弱口令或配置不当导致破解
除了WEP存在安全威胁,WPA/WPA2等目前较安全的加密技术同样可能会因为存在用户设置的弱口令导致未授权接入。WPA(WiFi Protected Access)俗称WiFi网络安全接入,拥有WPA,WPA2两个标准,是在WEP原理基础上建立的加密技术,目的是为了弥补WEP中存在的安全问题,提供更安全的通信。但攻击者可以通过获取设备与无线AP之间的握手信息,并使用通过社会工程等方式生成的字典文件进行暴力破解。如果密码本身为纯数字等弱口令,则攻击者可以在很短的时间内完成破解。同时无线路由器中的WPS功能也存在严重的安全问题,WPS的设计目的是让WiFi设备与无线AP进行更快捷的互联,但由于在WPS中PIN码是网络设备接入的唯一要求,而PIN码本身由7位随机数与第8位的校验和组成,这就使得暴力破解成为可能。攻击者只需穷举出107种排列便可以破解。而在实际情况中由于当攻击者PIN认证失败时,无线AP会返回给攻击者EAP-NACK信息,其中包含了攻击者提交PIN码的前四位或后三位是否正确的回应,根据回应,攻击者便可以在前四位的10000次尝试与后三位的1000次尝试中得到PIN码[2]。
4.2 企业或私有WiFi防御措施
1)使用WPA/WPA2加密技术。设置无线AP加密技术为WPA或WPA2,避免使用WEP等存在乐匕踩问题的加密技术,关闭无线AP的WPS/QSS功能。目前对于WPA/WPA2加密技术的破解方法通常为暴力破解,通过提高密码强度,避免使用生日电话号码等纯数字密码,定期更改密码即可增加暴力破解难度从而到达避免未授权接入的目的。
2)使用MAC地址过滤并关闭DHCP服务。通过将授权设备网卡的MAC地址录入AP中允许接入MAC地址的白名单,并关闭无线AP的DHCP服务可以在一定程度上避免未授权用户的接入。此时MAC地址未在白名单中出现的设备将不被允许接入WiFi网络[5],同时即使攻击者接入网络,也会因为无法获取IP地址无法进行其他操作。但MAC地址过滤并不能从根本上避免攻击者接入WiFi网络,当攻击者通过MAC地址欺骗,伪造与合法设备相同的MAC地址时,仍然可能存在安全风险,所以在使用MAC地址过滤的同时要使用较为安全的加密技术如WPA/WAP2等,并保证密码足够复杂不可以被轻易破解。
3)定期自检。在企业或政府、高校等机构,定期自检是主动防御技术的一种,系统通过定期的安全检测,排查系统中存在的安全弱点和漏洞,及时弥补安全漏洞,避免更大经济损失或信息泄露的发生。为加强系统的安全性,在条件允许的情况下可以选择为系统增加无线入侵检测系统[5]。实时监控WiFi网络中设备IP地址的变化以管理接入的设备,对于新增IP地址等变化要进行及时审核。
4)降低AP功率并更改或隐藏SSID(服务标识集)。单个无线AP的信号覆盖范围大概为几十至几百米不等,为了减小网络边界的覆盖范围,需要在必要时降低AP的功率。同时无线AP默认会开启SSID广播功能,在私有或办公等环境下,当需要接入WiFi 网络的设备接入后,可以在无线网络的设置页面选择关闭SSID广播功能,这样可以避免无线网络被其他人扫描到从而产生危害,对于其他需要接入的设备,在设备无线网络中手动添加该WiFi网络即可。
5)WiFi网络与核心网络隔离。对于企业而言,在保证WiFi网络安全性的前提下也要将WiFi网络与企业内网隔离开,这样即使无线网络受到黑客入侵,黑客也无法通过其入侵到企业内网,可以将攻击带来的损失降低到最小。常用的方法为,只允许通过VPN的方式接入核心网络,将WiFi网络架设在核心网络防火墙之外 [7]。
5 结束语
互联网技术的飞速发展不断改变着人们的生活,用户信息安全问题也越来越严重。WiFi网络作为人们日常生活中重要的一部分,其安全性不可忽视。我们在使用WiFi网络的同时,有责任和义务构建、维护更加安全的WiFi网络。本文通过讲述WiFi网络的安全现状及WiFi网络的攻击实例,提出了当前形势下WiFi网络的防御策略,以期为WiFi网络的安全防护提供有效的解决思路。
参考文献:
[1] Vulnerability Note VU#723755 - WiFi Protected Setup (WPS) PIN brute force vulnerability [EB/OL]. https:///vuls/id/723755.
[2] 朱海涛.WLAN 加密原理与破解方法[J].保密科学,2012(12):55-58.
[3] 杨哲.无线网络黑客攻防[M].北京:中国铁道出版社,2011.
[4] 周子云.基于RaspberryPi的无线渗透实现[J].科技展望,2016(12):3-4.
现在,计算机通信网络以及Internet已成为我们社会结构的一个基本组成部分。网络被应用于各个方面,包括电子银行、电子商务、现代化的企业管理、信息服务业等都以计算机网络系统为基础。安全性是互联网技术中很关键的也是很容易被忽略的问题。在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。
一、网络安全的含义及特征
(一) 含义。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
(二)网络安全应具有以下五个方面的特征。
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。
可审查性:出现的安全问题时提供依据与手段
二、网络安全现状分析和网络安全面临的威胁
(一)网络安全现状分析。
互联网和网络应用以飞快的速度不断发展,网络应用日益普及并更加复杂,网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂,各种方法相互融合,使网络安全防御更加困难。黑客攻击行为组织性更强,攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移,网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥;手机、掌上电脑等无线终端的处理能力和功能通用性提高,使其日趋接近个人计算机,针对这些无线终端的网络攻击已经开始出现,并将进一步发展。总之,网络安全问题变得更加错综复杂,影响将不断扩大,很难在短期内得到全面解决。总之,安全问题已经摆在了非常重要的位置上,网络安全如果不加以防范,会严重地影响到网络的应用。
(二)网络安全面临的威胁。
计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁,归结起来,主要有三点:一是人为的无意失误。如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的恶意攻击。这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯罪都属于这种情况。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。
三、计算机网络安全的对策措施
一、课题研究情况
1.课题研究背景
随着教育信息化的不断发展,以及我国三通两平台的不断建设,绝大部分中小学都建立了自己的校园网,教育部2012年印发的《教育信息化十年发展规划(2011-2020年)》更是将我国教育信息化的发展进一步细致深化。而校园网络建设作为教育信息化的基础工程,直接影响着教育信息化进展及效果。随着互联网的随着互联网的迅速普及和校园网络建设的不断发展,以及我国在教育信息化中一系列重大工程的实施,各大中专院校及中小学相继建成或正在建设校园网络。教育部在《2016年教育信息化工作要点》中也指出“实现全国中小学互联网接入率达到95%,中10M以上宽带接入比例达到60%以上为学校”。可见在基础教育校园网络已经成为教育信息化建设的重要组成部分。
但是,不容忽视的是,基础教育阶段对于网络安全的重视程度也还较低,甚至根本无基本的网络安全意识。因此,本课题通过研究J市基础教育网络安全现状,希望发现基础教育网络安全常见的安全问题,并提出相应的策略。
2.课题研究目标。
本课题旨在研究区域范围内的基础教育校园网络安全基本情况,进而了解当前基础教育在信息化过程中面临的网络安全问题。通过调查研究,结合数据分析,分析当前基础教育校园网络的基本情况及存在的安全隐患,对本地基础教育校园网络的基本情况进行总结分析,掌握基础教育校园网络所面临的主要安全问题,并针对基础教育校园网络的实际情况,提出可行的网络安全防范措施,为基础教育校园网络安全提供参考,并期能为本地基础教育校园网络建设提供参考数据。
3.课题研究主要内容
(1)掌握当前J市基础教育校园网络的基本状况和网络应用现状;
(2)分析当前基础教育校园网络安全的基本情况及面临的安全风险;
(3)影响区域内基础教育校园网络安全状况的成因分析;
(4)针对基础教育校园网络安全的状态提出相关建议及意见;
(5)总结当前基础教育校园网络安全现状,提出在基础教育校园网络环境下可行的网络安全防范措施。
二、课题研究已取得成果
1.完成网络安全相关理论学习
通过集体学习和分散学习相结合的方法,通过中国知网、相关书籍学习,学习网络基础知识。通过理论学习,从理论层面上引导课题成员对课题产生背景、科学依据、教育思想、实践价值全面把握,加深课题成员对于网络知识的理解与应用,并了解基础教育网络安全的重要性。
2.编制调查问卷,进行调查研究
结合前期理论学习,参考大量文献资料,课题组完成了《基础教育校园网络安全现状与对策研究》调查问卷的编制。整个调查问卷分为三大部分,第一部分是对校园网络整体情况的了解,主要研究校园网络拓扑结构及硬件构成;第二部分主要针对校园网络安全状况进行调查,主要包括实体安全、软件安全、管理安全等方面;第三部分主要调查校园网络应用情况,对于校园网络在教育中的应用情况进行调查。其中,第二部分是问卷的核心,通过实体与环境安全、组织管理与安全制度、安全技术措施、网络与通信安全、软件与信息安全、无线网络安全几个维度展开调查,对基础教育校园网络安全现状进行详细的调查研究。
三、课题创造性成果说明
结合实际情况,本研究创新之处是预期能够发现当前基础教育信息化中校园网络建设中存在的一些主要问题,发现当前基础教育校园网络安全面临的主要困难,能够针对当前基础教育信息化中校园网络安全现状提出合理的建议,引起大家对于基础教育信息化中校园网络安全问题的关注。
1.基础教育校园网络常见安全隐患
(1)无专业网络管理人员
调查研究中发现部分学校无专门的校园网络管理人员。网络管理人员由非专业人员担任。
(2)无专用的网络机房
调查过程中发现,部分学校甚至没有专门的网络中心。校园网络核心设备摆放环境随意,无任何安全措施。同时设备之间的链接也比较混乱。
(3)网络安全意识淡薄
基础校园网络由于起步迟、发展慢等原因,目前在基础教育校园网络环境中,校园网络安全意识还较淡薄,整体上对于校园网络安全并无相关概念。
2.基础教育校园网络安全常见措施
(1)强化网络安全教育,完善网络管理制度
先进的技术和设备都需要合理的应用。因此首先要从意识上重视校园网络安全,只有具备了校园网络安全意识和完善的制度,才能合理应用相关的设备、技术。
与传统GSM网络以及3G网络相比,4G网络无论是在网络质量以及通信速度方面,无疑都存在着巨大的优势。并且.4G网络具有更大的灵活性,为移动终端提供了良好的使用环境,这也使得移动终端服务类型变得多元化,用户不仅仅可以通过4G网络进行基础通话,同时也可承载音视频服务等,促使服务立体化。
4G网络的普及是必然趋势,但为了让用户得到更好的服务体验,就需要基于4G网络的现状,对4G网络安全问题给予充分重视,并采取相关对策进行完善,以此获取一个良性的4G网络环境。
一、4G网络现状分析
1、标准问题。从当前市场整体环境来看,4G网络标准问题较为突出,其中最典型的问题便是TD-LTE与FDD-LTE之间无法兼容。TD-LTE与FDD-LTE网络是4G网络的两种主流制式,但无法兼容,这种情况事实上使得4G网络及相关业务分成了两个大块,而对于用户而言则难以实现全球无缝隙漫游。尽管两种制式的网络各具优势,并且都有各自专门的运营商运营,但如果能够让两种网络产生交集,则必然可以为用户提供更好的服务。同时,构建一套统一化的4G网络标准体系,对于4G网络的安全建设将带来十分重要的促进作用。
2、市场问题。目前,市场上的主流移动网络还是3G网络,当然4G网络已经得到了一定程度的推广,但3G网络用户依然存在着较高比例。事实上3G网络虽可视为4G网络的支撑,但3G网络用户基数大,又给4G网络普及带来了一定程度上的制约。
3、服务区域。在实际使用过程中,用户以无线链路的方式与实际网络连接,必然会受到天线的功率以及尺寸的限制,当区域内用户数突破了这个限制,便给小型终端的无线接入带来了恶劣的阻滞和干扰作用。若在4G系统中置入迷你基站,虽然可灵活架设,覆盖一部分信号盲区,但采取此种配置方式,则会使得服务区域出现多个重叠区域,也随之产生了一定的安全隐患。
4、传输容量。虽然4G网络技术体系已逐步成熟化,但还是受到了传输容量的限制。以智能终端为例,整体速度其实是受到了传输容量的约束,即当用户数量增多时,其速度也会下降。特别是4G业务的涵盖量较3G业务更大,业务则更大程度的受到了频率资源的限制,如果移动终端设备无法达到相关传输速率标准或要求,将会制约4G网络的实际使用效果。
二、4G网络安全对策研究
1、完善4G网络安全体系。为了得到一个稳定、健康的4G网络环境,就需要构建一个可靠的安全体系。这要求该体系能够独立于系统设备存在,可进行自主加密,系统具备自主安全控制能力。在体系逐步建立的过程中,会涉及到安全结构模型的构建,以模型为主体向导,再结合实际需求环境对模型进行完善,从而实现安全目标。
2、应用新密码技术。密码学的发展给4G网络安全建设提供了良好的技术支持,并且新型加密技术的应用面也逐渐拓宽,将新密码技术与4G网络进行融合,使得4G网络安全性得以提升。例如采取量子密码技术、生物识别技术等,均可促使传输信息的完整性、可控性以及可用性得以提升。
3、促使移动网络与互联网相匹配。保证移动网络与互联网的匹配性,使得移动网络与互联网相互兼容。在安全问题上移动网络可借鉴计算机网络,例如网关服务器安全方面可以计算机网络安全方式构建,在服务器中置人入侵检测系统并装配防火墙等,对系统进行定期升级来弥补安全漏洞,甚至可采取物理隔离的方式来保护移动网络服务器,使其保持稳定的运行状态。
互联网信息的安全包括互联网设备安全、计算机软件安全以及网络信息安全三个层面的含义。在信息时代要充分保障上述安全,就需要对计算机的硬件与软件进行及时更新与优化,以对抗恶意软件的攻击,同时对硬件设施加强防护,充分保障信息安全。让更过的人们正常地应用互联网服务。
如今,互联网已经应用到每一个家庭,为人们信息交流、情感沟通提供了极大的便利,实现了视频通话、电子支付以及网络交易等多种便捷的功能,互联网在应用中所展示出的便捷优化了生活的质量和效率,使人们的需求得到全面满足,进一步促进了人类社会的发展。随着计算机在我国各领域的普及和应用,网络安全在成长中逐渐健全,以传统防护功能的防火墙为基础,构建了更加完善的安全系统,将检测、报警、查杀、防护、存档以及恢复和自动优化有效的结为一体,形成安全性与实效性并存的网络完全模型,计算机用户的安全与隐私获得充分保障。当然,黑客技术与新型的网络病毒也在持续更新,在目前的计算机网络中,我国的安全技术依然与其保持者长期“交锋”状态,一方面针对黑客技术与新型的网络病毒能够推动我国计算机网络安全技术的优化与完善,另一方面依然要对网络安全时时保持高度警惕。
计算机的存储作用代替了传统的纸质版原始数据,具有便捷、高效、存储量大等多重优势,因此个人、组织、企业以及我国各级政府会将信息录入到计算机中进行存储,这就要求相应的计算机安全性尤其是网络完全性相对完善。然而,由于部分计算机的安全技术长期未更新,所以存在的漏洞会导致其安全性能大幅下降,一些别有用心的个人或者团伙将会通过网络安全攻击,对计算机内的数据信息进行窃取或者篡改,造成机密泄露或者数据失真,而失去既有的意义和作用。
软件是计算机应用必不可少的工具,在参与互联网的过程中,计算机需要下载并安装一系列的相关软件,正是通过这些软件才能使计算机与互联网进行深层次的链接,但这些软件能够直接接触到计算机的操作系统和关键文件,如果安装了存在漏洞的软件,那么计算机的网络完全必然会形成隐患。因此,为了保证用户的信息安全,需要对软件进行安装前的漏洞检查,对存在漏洞的软件务必谨慎安装。
在信息时代,一些不法的黑客会通过恶意攻击并盗取重要的网络信息彰显自身的实力,或者换取经济利益,尤其是隐秘性较高的新科技或者受知识产权保护的关键信息。黑客的存在具有一定专业性,他们热爱信息技术且能力较强,但是却喜欢通过编写程序入侵网络中尚未弥补的漏洞。诚然,互联网在发展中会对已查知的漏洞进行整改,但是黑客的技术也一直在成长,他们会不断发现新的漏洞和攻击方法。
网络安全已经成为全民关注的问题,所以无论是个人计算机还是单位的网站,普遍都会设置安全措施,例如防火墙等实时防护工具,但是在实际应用中,由于需要搭建网络访问权限,所以不法分子便得到了可乘之机,对目标展开攻击并窃取其中的资料信息。
现阶段,云端、云平台和云盘等被广泛应用,信息的存储安全性获得提升,但是在存储、浏览或者下载的过程中由于涉及到过多的网络接口,其中潜在的漏洞会对相关数据信息的网络安全造成一定威胁。
局域网和广域网是构成计算机网络的两个核心部分,我们常用的为广域网,局域网在是在组织内部建立的网络,虽然不与外部网络相连,但是数据信息能够在内部进行共享和流通。因为局域网没有与外部网络相连接,所以组织一般不会对局域网的网络安全进行重点设置,导致其有漏洞存在,一些不法分子则可以通过局域网进行窃取数据资料,破坏组织的重要信息。
防火墙技术是计算机应用最普遍的一种网络安全技术,也是计算机的基本防御,因此不法分子入侵计算机首先要突破的第一道防线就是防火墙。当前的防火墙技术发展以相对成熟,包括针对应用环境的包过滤防火墙技術和具有较强信息处理速度防火墙技术两种类别,应用的灵活性较强,用户可根据具体环境和实际需要进行适时调整。
我国反病毒技术经过不断优化,一方面从被动防御发展为主动查杀,对计算机进行实时监测,另一方面病毒库的更新与共享大幅缩短了新病毒生存与感染的空间,一些疑似病毒能够即使被发现和处理。我国的反病毒技术从上世纪八十年代开始,经历了“小球”、“熊猫烧香”、“蠕虫病毒”、“勒索病毒”等多个危险而严峻的阶段,在当前已能够有效保障计算机的网络安全,在国际反病毒技术领域中发挥着带头作用,引领着计算机网络安全的发展方向。
所谓数据加密技术,是指依照双方共同商定的法则,将双方的通信信息进行复杂变换的一种保密手段。数据加密技术包含有加密和解密两个过程。在网络安全技术中,加密技术被称之为基石,可见加密技术在网络安全技术中的重要程度。我国积极参与到数据加密技术的研究中,由中国大陆学生提出的魔方流加密算法曾参加英特尔国际科学与工程大奖赛并获得奖项。借鉴电报中的摩斯密码发挥出的重要作用,计算机网络中的数据加密技术获得广泛推广。双方对加密法则进行协商,然后在信息传递和存储时应用转换后的形式,该手段能够促使数据信息更加安全有效,即便被窃取后由于缺少破译手段也无法造成信息泄露。
防火墙技术作为网络安全防护最有效的手段之一,成为计算机网络信息安全技术未来研究的重点技术,ASIC架构表现出了明显的发展趋势,其在性能、带宽容量、稳定性等方面表现出极高的优越性,然而其计算能力、灵活性、扩展性等性能的发挥则需要借助于强大的硬件平台,因此需要在硬件方面进行完善以保障防火墙技术的充分发挥,成为未来发展的趋势。
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Security Situation and Strategy Study
On the Current Computer Network Application
Wang Zhijun
(Linhai Radio and TV,Linhai317000,China)
Abstract:This paper discusses the current status of computer networks,security,vulnerabilities and security holes,and today's computer networks for security vulnerabilities propose appropriate coping strategies.
Keywords:Computer network security;Weaknesses;Security vulnerabilities; Response Strategy
一、引言
伴随着计算机时代的来临,人们对计算机网络安全的重视程度是无庸置疑的。我们必须综合考虑各方面的安全因素,制定合理的技术方案和管理措施,才能确保计算机网络的安全可靠,使其在社会经济活动中的应用更加放心。
二、计算机网络安全的定义
国际标准化组织(ISO)给“计算机网络安全”下的定义是:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”此定义包括物理安全以及逻辑安全。物理安全保护主要是硬件设备的保护,逻辑安全则是保护数据的保密性、完整性和可用性。
三、计算机网络安全存在的薄弱环节
(一)TCP/IP网络协议比较容易受到来自各方面的攻击,其在安全上或多或少还存在一些问题。
(二)网络上存在许多解密工具和易用黑客等信息,让用户很轻易地获得了攻击的手段和方法。
(三)目前,还有很多应用软件存在或多或少的问题,如升级周期过快等,这个问题导致软件和操作系统出现漏洞而受到不安全因素的攻击。
(四)我国在计算机网络的法律规范还不够完善,在管理上还有许多不足之处,而且网络上的一些保密协议缺乏较强的可操作性,执行力度不够。
(五)很多公司都没有完善在人员、管理和技术上的安全管理制度,缺少保护措施,甚至一些管理员在利益的诱惑下利用职务便利在网络上进行违法活动。
四、计算机网络安全存在的漏洞
(一)系统本身的漏洞。没有任何一个系统是绝对完美的,往往一个新的操作系统或软件在一出现的时候,它存在的漏洞同时也被人们发现了,想要排除全部的漏洞是一件不可能办到的事。
缓冲区溢出是最容易在攻击中被利用的系统漏洞。用户往往最容易忘记检测缓冲区间的变化的情况,超过缓冲区所能处理长度的指令一旦被接受,系统的状态就会出现不稳定,这一点往往被许多破坏者利用来访问系统根目录盗取或破坏信息的。
拒绝服务(DoS)同样也是常常被破坏者恶意利用的漏洞,典型的DoS可导致TCP/IP连接的次序出现混乱,使内存、CPU等系统资源受到损害,使系统没办法正常工作。其中数Synnood攻击最为典型,它可以导致系统超荷运转。此外,还有一种分布、大规模的、协作的、基于DoS的分布式拒绝服务(DDoS)攻击方式。
(二)滥用合法工具。利用改进系统的工具软进行攻击并收集非法信息也是破坏者常用的另外一种攻击方式。这些软件如NBTSTAT命令、网包嗅探器(Packetsniffer)等。前者主要功能是为管理员提供远程节点信息,假如破坏者同样利用其非法收集用户名等信息,就可以破译用户的口令。而后者则是系统管理员用以寻找网络潜在问题的工具,破坏者可利用截获的信息对网络实行攻击。
(三)低效的系统设计和检测能力。如今,由于安全系统的设计中不重视对信息的保护,导致系统面对复杂的攻击变得难以抵挡。破坏者利用低效的设计所产生漏洞进行攻击,并入侵检测系统,最后进行访问敏感信息,篡改Web服务器内容等操作。许多真正安全的系统设计务必从底层入手,以保证高效的安全服务和管理。
五、计算机网络安全的应对策略
(一)采用防火墙。防火墙是一个用来阻挡黑客访问某个机构网络的屏障。位置在内网的边缘,这使得内部网络与Internet之间或者其他外部网络之间互相隔离,最大限度地阻挡黑客来访问自己的网络。设置防火墙的目的在于在内部网与外部网之间设置唯一的通道,简化网络的安全管理。
目前的防火墙主要分为三类:(1)滤防火墙。由于包过滤防火墙设置在网络层,从而在路由器上实现包过滤。这种防火墙不但可以禁止外部用户对内部的非法访问,而且可以禁止访问某些服务类型。不过包过滤技术无法识别存在危险的信息包,没办法对应用级协议实施处理,也无办法处理UDP、RPC或动态的协议。(2)防火墙(应用层网关级防火墙)。由服务器同过滤路由器构成。过滤路由器负责与外部网络通信,并把数据进行筛选后传送到服务器。服务器负责控制外部网络用户服务类型的。(3)双穴主机防火墙。利用主机配备多个网卡,分别连接不同的网络来实现执行安全控制的功能。
(二)数据加密技术。信息加密是保护网内的数据、文件、口令和控制信息以及网上传输的数据。数据加密实质上是对以符号为基础的数据实行移位和置换的变换算法,这种变换是受“密钥”控制的。按收发双方密钥是否相同可以将这些加密算法分为对称密钥算法与公钥加密算法。(1)在对称密钥中加密密钥等同与解密密钥或者可以从其中一个推知另一个。比较著名的常规密码算法有:DES。(2)在公钥加密算法中,公钥是公开的,任何人都可以利用公钥加密信息,再将信息发送给私钥拥有者。私钥是保密的,用于对其接收的公钥加密过的信息实施解,而且几乎不可能从加密密钥推算出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
(三)采用入侵检测系统。通过对行为和安全日志等数据的分析检测到异常现象的技术便称为入侵检测技术。在入侵检测系统中利用审计记录,可以识别出任何不希望存在的活动,进而达到限制这些活动以及对活动的过程的记录,为以后更全面的防护打下基础,从而达到保护系统安全的目的。
[2] 任丙强,孙龙.我国互联网信息内容安全及治理模式研究[J].2007,1.
[3] 孙 龙.社会公众的网络信息安全意识及监管需求研究[J].对四个城市3774位网民的问卷调查与分析.2007,1.
[4] 李国武.从ICP视角看我国网络信息内容安全的治理[J].2007,1.
[5] 任丙强.我国互联网内容管制的现状及存在的问题[J].2007,1.
[6] 林阳,祝智庭.中国网络信息安全教育研究.
【中图分类号】G64 【文献标识码】A
【文章编号】1007-4309(2013)01-0010-1.5
当前,随着网络、手机等新媒体的快速发展,对在校大学生的学习、生活产生了不可忽视的影响。网络安全作为学校安全工作一个重要方面非常值得学校和教育工作者关注。为了解在校大学生网络安全意识现状,课题组采取随机抽样的方式对在校大学生进行了问卷调查和访谈发现大学生网络安全意识现状以及存在的问题,并提出大学生网络安全教育的相关建议。
一、大学生网络安全意识的现状
为进一步了解当前大学生网络安全意识现状,调研涉及对网络的使用、网络环境的认知、诱惑网站的抵御能力、个人信息保护意识、网络安全防范意识、网络安全防范措施等六个方面的内容,对随机抽样的400名普通本科大学生进行了问卷调查,回收395份,回收率98.7%,同时进行了抽样访谈。调查显示,在大学生中网络使用已非常普及,学生以手机上网和电脑上网为主,大学生已经成为网络最广泛的应用者和最积极的参与者,大学生网络安全意识的现状值得关注。
1.对网络的使用情况
基于问卷和访谈显示,大学生主要通过手机和电脑网络来从事学习和娱乐两大方面的事情:学习方面包括搜索学习资料、了解新闻、招聘信息、关注名人传记和传递交流信息等;娱乐方面包含的就更为广阔,比如微博、人人、QQ、网上购物、交友、游戏和电影等,网络生活已经成为大学生校园生活必不可少的一环。
2.对我国网络安全环境的认识
调查显示,大学生对我国网络安全环境的认识分为四种态度:认为安全且健康的人数仅占16%,认为安全但不健康的人数占到33%,认为健康但不安全的22%,认为不安全且不健康的有29%。网络在给大学生学习生活带来便利的同时,只有很少的一部分学生认为我国的网络安全环境是安全健康的,大部分人都觉得自己生活在不安全或者不健康的网络环境之中,他们对于当前所处的网络环境持有不完全信任的态度。
3.对诱惑网站的抵御能力
在调查中,对于有诱惑性质的网站,有54%的学生不会轻易点击查看;有3%的同学不管不顾,想看就看;还有17%的同学偶尔会点击;只有26%的大学生能够很好地评估其安全性并规避风险。另外,对于黄色和暴力信息的处理,77%的学生从不会登陆,15%的学生偶尔会因为好奇登陆,8%的学生会经常登录。可以看出大多数学生面对危险和低俗信息能够做出理性的判断和有效地处理,但真正具备抵御诱惑网站能力的人比例尚少,大部分学生处理和抵御这些网站的能力尚浅。因此,教会更多的大学生有效识别不安全网页的方法很有必要。
4.对个人信息的保护意识
网络的普及可以使人们更快捷的享受和利用信息,但是随之而来的是网络个人信息安全问题。调查显示,大部分学生对网络安全有较为清晰的认识,有了初步的网络安全意识、安全知识,懂得在进行网络交流和娱乐的行为时保护个人的隐私和个人信息,有一定的信息安全意识;但也有相当一部分学生网络安全意识不强,网络安全知识不丰富,容易粗心大意和疏忽一些日常的网络安全常识,个人信息保护意识薄弱。
5.网络安全防范意识
网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击。通过调查显示,大部分同学有较强的网络安全防范意识,能谨慎地进行网络购物和交友等行为,比较注重的个人安全和利益的保护,能够清楚意识到网络中的虚假信息和交易,不会轻易上当受骗。但同时也存在小部分群体沉溺于网络环境中不能自拔,忽视网络安全隐患。如有8%的学生认为虚拟环境让人更容易沟通,他们往往网络朋友要比现实朋友多。
6.网络安全防范措施
在大学生运用网络的过程中,除了具备网络安全的防范意识外,还应具备有效的防范措施,以应对各种各样的侵害自身利益、隐私甚至人身安全的状况。经调查研究发现,当大学生在网络中发现侵犯个人隐私的内容时,有27%的学生选择采取立即报警,33%的学生会主动要求的人或者网站删除这些信息,那么还有40%的人会看这些信息是否重要,如果不重要的话则不采取任何措施。另外,当他们发现自己的QQ号、网银、游戏等账号被盗时,39%的大学生会马上修改相应的账号密码;23%的学生选择定期升级杀毒软件和安装补丁;21%的学生打算以后学习相关知识,提高自我保护意识;17%的学生会登陆315消费电子投诉网进行投诉。
二、大学生网络安全存在的问题
通过以上关于大学生网络安全问题的调查研究,并基于对大学生的相关访谈,总结出大学生在网络安全教育方面存在以下几个问题:
其一,网络安全意识淡薄,好奇心重,容易冲动;其二,网络安全知识缺乏,这些非计算机专业的同学对相关网络知识、操作、软件维护和防入侵行为方面的操作知识知之甚少或者不能自如运用;其三,对诱惑网站的有效抵御能力较差,不能很好地评估网页的安全性,有部分群体对黄色和暴力网站抵御能力很差,容易成为诱发犯罪行为的隐患;其四,个人信息保护程度较差。部分大学生群体很容易忽视对自身隐私的保密和自身网络行为的的安全性。其五,网络安全防范能力欠佳,对相关网络安全方面的案例关注甚少,法律维权意识欠缺。
三、对策及建议
网络安全作为校园安全建设的重要环节,既是高等院校教育管理的重要内容之一,也是学生知识技能体系不可缺少的部分。高校要紧跟时代步伐,结合学校实际,充分利用各种条件,通过各种途径和措施,不断加强对学生的网络安全教育,让当代大学生正确面对网络、安全使用网络。
其一,建立健全高校网络安全运行机制。
高校要建立网络安全教育的领导机构,高校党政领导要有“安全重于泰山”的大局意识,在思想上高度重视,在行动上大力支持。其次要建立高校网络安全教育领导小组,把网络管理中心、学生处、保卫处、教务处等部门纳入网络安全教育领导小组,协调好各部门之间的关系,明确各自的职责和分工,将网络安全教育纳入学校计划。学校教务处在网络安全领导小组指导下,统一开展网络安全教育工作,负责对学生进行网络安全教育,制订教育计划,明确教育内容,组织网络安全授课,定期考核效果等。
其二,加强计算机实践操作及网络安全课程。
首先,要对学生加强譬如计算机网络实现技术、病毒防治、防火墙、密码加密、信息数据保存等的实际操作训练,提高解决网络安全问题的能力。积极创造条件让学生参加网络安全实践,提高实际动手能力,增强大学生鉴别网络中有害信息的能力,为网络安全构筑一道坚实的屏障。其次,高校应从自身具体情况出发,制订详细的网络安全教育计划并纳入学校日常教学工作中,将网络安全教育工作制度化、规范化。再次,学校应根据网络安全教育的需要,培养一支具有较强的网络安全意识和网络安全教育能力的师资队伍,开设专门的网络安全教育课程,指导学生处理各种信息和防御不良信息侵害。
其三,定期开展专题性知识讲座。
除了增加计算机实践操作和网络安全教育课程之外,高校还应当定期开展关于网络安全教育的知识性讲座。讲座的内容可以从以下四个方面考虑:第一,网络行为规范与信息安全:讨论大学生应该做一个怎样的网民、如何面对网络消极的、不健康的信息、怎样面对有欺诈倾向的网友和信息;第二,计算机网络安全概述:介绍网络安全的基本理论知识,包括加密解密算法、数字签名机制、身份鉴别,防火墙的工作原理与作用;第三,个人计算机系统安全策略:介绍个人计算机通常采用的安全策略的实现方法,如系统软件的漏洞及修补方法,硬盘保护卡的工作原理与使用方法;第四,网络黑客和计算机病毒:由于黑客入侵与计算机病毒是一个很普遍的问题,讲座中可以具体地介绍一些技术,如最新的计算机病毒动向,查杀病毒软件的使用等。
【参考文献】
[1]骆懿玲.大学生网络安全意识现状调查及对策[J].中山大学学报论丛,2006(12).