發布時間:2023-12-19 11:24:05
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全定義樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
【關鍵詞】信息安全;網絡安全;網絡信息安全
近些年,國內外媒體、學術界對信息安全(網絡安全)問題的關注度與日俱增,相關的研究專著也陸續面世。但大家對信息安全、網絡安全的使用一直含混不清,有人喜歡用“信息安全”,有人則認為用“網絡安全”更準確。隨之而來的,是對“信息安全”與“網絡安全”的關系爭論不休。有人說,網絡安全是信息安全的一部分,因為信息安全不僅包括計算機網絡安全,還包括電話、電報、傳真、衛星、紙質媒體的傳播等其他通訊手段的安全。也有人說,從純技術的角度看,信息安全專業的主要研究內容為密碼學,如各種加密算法,公鑰基礎設施,數字簽名,數字證書等,而這些只是保障網絡安全的手段之一。因此,信息安全應該是網絡安全的子集。這些說法是否準確,可從以下三方面來進行解析。
一、信息安全的發展歷程
20世紀初期之前,通信技術還不發達,人們強調的主要是信息的保密性,對安全理論和技術的研究也只側重于密碼學,這一階段的信息安全可以簡單稱為通信安全。20世紀60年代后,計算機和網絡技術的應用進入了實用化和規模化階段,人們對安全的關注已經逐漸擴展為以保密性、完整性和可用性為目標的信息安全階段。網絡安全隨著網絡的運用受到人們的關注。20世紀80年代開始,由于互聯網技術的飛速發展,由此產生的信息安全問題跨越了時間和空間,信息安全的焦點已經不僅僅是傳統的保密性、完整性和可用性三個原則了,由此衍生出了諸如可控性、抗抵賴性、真實性等其他的原則和目標,信息安全也轉化為從整體角度考慮其體系建設的信息保障階段。網絡安全同以前相比增加了許多新的內容,成為科技界和政府研究的一個熱點。例如,美國把網絡作為人類的“第五空間”,和“領土”、“領海”、“領空”、“外太空”并列,提升到戰略的高度。
從歷史角度來看,信息安全且早于網絡安全。隨著信息化的深入,信息安全和網絡安全內涵不斷豐富。信息安全隨著網絡的發展提出了新的目標和要求,網絡安全技術在此過程中也得到不斷創新和發展。
二、信息安全與網絡安全的定義
(一)信息安全的定義
目前,信息安全(Information security)沒有公認、統一的定義。常見的定義有以下5個:
1.美國聯邦政府的定義:信息安全是保護信息系統免受意外或故意的非授權泄漏、傳遞、修改或破壞。
2.國際標準化組織(ISO)定義:信息安全是為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。
3.我國信息安全國家重點實驗室的定義:信息安全涉及信息的保密性、可用性、完整性和可控性。保密性就是保證信息不泄漏給未經授權的人;可用性就是保證信息以及信息系統確實為授權使用者所用;完整性就是抵抗對手的主動攻擊,防止信息被篡改;可控性就是對信息以及信息系統實施安全監控。綜合起來說,就是要保障電子信息的有效性。
4.百度百科的定義:是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
5.信息科學研究領域的定義:信息安全是指信息在生產、傳輸、處理和儲存過程中不被泄漏或破壞,確保信息的可用性、保密性、完整性和不可否認性,并保證信息系統的可靠性和可控性。
從以上五個信息安全的定義可以看出,美國聯邦政府的定義主要側重信息系統方面的安全,不如國際標準化組織的定義全面。我國信息安全重點實驗室的定義強調信息安全的內涵及屬性。百度百科把信息安全定義為網絡信息安全,以偏蓋全。而信息科學研究領域的定義準確把握了信息的含義,它涵蓋了上述四個信息安全的定義,表述最為準確和全面。
(二)網絡安全的定義
網絡安全(Network security)不僅包括網絡信息的存儲安全,還涉及信息的產生、傳輸和使用過程中的安全。如何定義網絡安全呢?從狹義來說,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。所以廣義的計算機網絡安全還包括信息設備的物理安全性,如場地環境保護、防火措施、靜電防護、防水防潮措施、電源保護、空調設備、計算機輻射等。
從兩者的定義可看出,信息安全與網絡安全有很多相似之處,兩者都對信息(數據)的生產、傳輸、存儲和使用等過程有相同地基本要求,如可用性、保密性、完整性和不可否認性等。但兩者又有區別,不論是狹義的網絡安全——網絡上的信息安全,還是廣義的網絡安全者是信息安全的子集。
三、信息安全的研究內容
信息安全本身包括的范圍很大。大到國家軍事政治等機密安全,小到如防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等。信息安全主要包括以下4個內容:
1.設備安全。設備安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施、過程。
2.數據安全。數據安全是指防止數據被故意的或偶然的非授權泄露、更改、破壞或使信息被非法系統辨識、控制和否認。即確保數據的完整性、保密性、可用性和可控性。
3.運行安全。運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急措施)來保護信息處理過程的安全。
4.管理安全。管理安全是指有關的法律法令和規章制度以及安全管理手段,確保系統安全生存和運營。
信息安全主要研究內容有5個:
1.密碼學。密碼學是信息安全最重要的基礎理論之一。現代密碼學主要由密碼編碼學和密碼分析學兩部分組成。密碼學研究密碼理論、密碼算法、密碼協議、密碼技術和密碼應用等。
2.網絡安全。網絡安全的基本思想是在網絡的各個層次和范圍內采取防護措施,以便能對各種網絡安全威脅進行檢測和發現,并采取相應的響應措施,確保網絡環境的信息安全。網絡安全的研究包括網絡安全威脅、網絡安全理論、網絡安全技術和網絡安全應用等。其主要研究內容有:通信安全、協議安全、網絡防護、入侵檢測、入侵響應和可信網絡等。
3.信息系統安全。信息系統安全主要包括操作系統安全、訪問控制技術、數據庫安全、主機安全審計及漏洞掃描、計算機病毒檢測和防范等方面,也是信息安全研究的重要發展方向。
4.信息內容安全。信息內容安全就是要求信息內容在政治上是健康的,在法律上是符合國家法律法規的,在道德上是符合中華民族優良的道德規范的。
5.信息對抗。隨著計算機網絡的迅速發展和廣泛應用,信息領域的對抗從電子對抗發展到信息對抗。信息對抗是為削弱破壞對方電子信息設備和信息的使用效能,保障己方電子信息設備和信息正常發揮效能而采取的綜合技術措施。其主要的研究內容有:通信對抗、雷達對抗、光電對抗和計算機網絡對抗等。
顯而易見,信息安全比網絡安全的研究內容要廣泛得多,網絡安全只是信息安全的研究內容之一。
四、結論
綜上所述,信息安全含義更廣,涵蓋網絡安全。網絡安全在實踐中多指網絡上的信息安全,而且網絡上的信息安全是信息安全重點研究對象。因此,對一般網民來說可以把信息安全與網絡安全等同起來,大家能明白其所指。但在學術研究中,特別在不同學科的研究中,要把兩者區分開來。信息安全屬信息科學研究領域,網絡安全屬計算機科學研究領域,兩者有不同的研究內容和研究方向。
參考文獻
[1]周學廣等編著.信息安全學[M].北京:機械工業出版社,2008.
[2]譚曉玲等編著.計算機網絡安全[M].北京:清華大學出版社,2012.
[3]翟健宏編著.信息安全導論[M].北京:科學出版社,2011.
[4]信息安全.百度百科,/view/17249.htm.
針對當前網絡安全態勢信息的共享、復用問題,建立一種基于本體的網絡安全態勢要素知識庫模型,來解決無法統一的難題。利用網絡安全態勢要素知識的多源異構性,從分類和提取中建立由領域本體、應用本體和原子本體為組成的網絡安全態勢要素知識庫模型,并通過具體態勢場景來驗證其有效性。
【關鍵詞】
網絡安全態勢感知;本體;知識庫;態勢場景
現代網絡環境的復雜化、多樣化、異構化趨勢,對于網絡安全問題日益引起廣泛關注。網絡安全態勢作為網絡安全領域研究的重要難題,如何從網絡入侵檢測、網絡威脅感知中來提升安全目標,防范病毒入侵,自有從網絡威脅信息中進行協同操作,借助于網絡安全態勢感知領域的先進技術,實現對多源安全設備的信息融合。然而,面對網絡安全態勢問題,由于涉及到異構格式處理問題,而要建立這些要素信息的統一描述,迫切需要從網絡安全態勢要素知識庫模型構建上,解決多源異構數據間的差異性,提升網絡安全管理人員的防范有效性。
1網絡安全態勢要素知識庫模型研究概述
對于知識庫模型的研究,如基于XML的知識庫模型,能夠從語法規則上進行跨平臺操作,具有較高的靈活性和延伸性;但因XML語言缺乏描述功能,對于語義豐富的網絡安全態勢要素知識庫具有較大的技術限制;對于基于IDMEF的知識庫模型,主要是通過對入侵檢測的交互式訪問來實現,但因針對IDS系統,無法實現多源異構系統的兼容性要求;對于基于一階邏輯的知識庫模型,雖然能夠從知識推理上保持一致性和正確性,但由于推理繁復,對系統資源占用較大;基于本體的多源信息知識庫模型,不僅能夠實現對領域知識的一致性表達,還能夠滿足多源異構網絡環境,實現對多種語義描述能力的邏輯推理。如AlirezaSadighian等人通過對上下文環境信息的本體報警來進行本體表達和存儲警報信息,以降低IDS誤報率;IgorKotenko等人利用安全指標本體分析方法,從拓撲指標、攻擊指標、犯罪指標、代價指標、系統指標、漏洞攻擊指標等方面,對安全細心及事件管理系統進行安全評估,并制定相應的安全策略;王前等人利用多維分類攻擊模型,從邏輯關系和層次化結構上來構建攻擊知識的描述、共享和復用;吳林錦等人借助于入侵知識庫分類,從網絡入侵知識庫模型中建立領域本體、任務本體、應用本體和原子本體,能夠實現對入侵知識的復用和共享。總的來看,對于基于本體的網絡安全態勢要素知識庫模型的構建,主要是針對IDS警報,從反應網絡安全狀態上來進行感知,對各安全要素的概念定義較為模糊和抽象,在實際操作中缺乏實用性。
2網絡安全態勢要素的分類與提取
針對多源異構網絡環境下的網絡安全狀態信息,在對各要素進行分類上,依據不同的數據來源、互補性、可靠性、實時性、冗余度等原則,主要分為網絡環境、網絡漏洞、網絡攻擊三類。對于網絡環境,主要是構建網絡安全態勢的基礎環境,如各類網絡設備、網絡主機、安全設備,以及構建網絡安全的拓撲結構、進程和應用配置等內容;對于網絡漏洞,是構成網絡安全態勢要素的核心,也是對各類網絡系統中帶來威脅的協議、代碼、安全策略等內容;這些程序缺陷是誘發系統攻擊、危害網絡安全的重點。對于網絡攻擊,主要是利用各種攻擊手段形成非法入侵、竊取網絡信息、破壞網絡環境的攻擊對象,如攻擊工具、攻擊者、攻擊屬性等。在對網絡環境進行安全要素提取中,并非是直接獲取,而是基于相關的網絡安全事件,從大量的網絡安全事件中來提取態勢要素。這些構成網絡威脅的安全事件,往往被記錄到網絡系統的運行日志中,如原始事件、日志事件。
3構建基于本體的網絡安全態勢要素知識庫模型
在構建網絡安全態勢要素知識庫模型中,首先要明確本體概念。對于本體,主要是基于邏輯、語義豐富的形式化模型,用于描述某一領域的知識。其次,在構建方法選擇上,利用本體的特異性,從本體的領域范圍、抽象出領域的關鍵概念來作為類,并從類與實例的定義中來描述概念與個體之間的關系。如要明確定義類與類、實例與實例之間、類與實例之間的層次化關系;將網絡安全態勢要素知識進行分類,形成知識領域本體、應用本體和原子本體三個類別。
3.1態勢要素知識領域本體
領域本體是構建網絡安全態勢要素知識庫的最高本體,也是對領域內關系概念進行分類和定義的集合。如核心概念類、關鍵要素類等。從本研究中設置四個關鍵類,即Context表示網絡環境、Attack表示網絡攻擊、Vulnerability表示網絡漏洞、Event表示網絡安全事件。在關系描述上設置五種關系,如isExploitedBy表示為被攻擊者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件發生在網絡環境中;cause表示攻擊引發的事件;is-a表示為子類關系。
3.2態勢要素知識應用本體
對于領域本體內的應用本體,主要是表現為網絡安全態勢要素的構成及方式,在描述上分為四類:一是用于描述網絡拓撲結構和網絡配置狀況;二是對網絡漏洞、漏洞屬性和利用方法進行描述;三是對攻擊工具、攻擊屬性、安全狀況、攻擊結果的描述;四是對原始事件或日志事件的描述。
3.3態勢要素知識原子本體
對于原子本體是可以直接運用的實例化說明,也最底層的本體。如各類應用本體、類、以及相互之間的關系等。利用形式化模型來構建基于本體的描述邏輯,以實現語義的精確描述。對于網絡拓撲中的網絡節點、網關,以及網絡配置系統中的程序、服務、進程和用戶等。這些原子本體都是進行邏輯描述的重點內容。如對于某一節點,可以擁有一個地址,屬于某一網絡。對于網絡漏洞領域內的原子本體,主要有漏洞嚴重程度、結果類型、訪問需求、情況;漏洞對象主要有代碼漏洞、配置漏洞、協議漏洞;對漏洞的利用方法有郵箱、可移動存儲介質、釣魚等。以漏洞嚴重程度為例,可以設置為高、中、低三層次;對于訪問需求可以分為遠程訪問、用戶訪問、本地訪問;對于結果類型有破壞機密性、完整性、可用性和權限提升等。
3.4網絡安全態勢知識庫模型的特點
關鍵字 訪問控制;銀行網絡安全;虛擬局域網;訪問控制列表
1 引言
隨著計算機網絡在銀行各項業務的應用中不斷普及,各大商業銀行已把網絡安全放在了金融電子化建設中的一個極其重要的位置上,網絡安全已成為構建銀行計算機網絡體系進程中必須首先需要考慮和解決的問題。在目前國內各主要商業銀行進行金融電子化建設的過程中,訪問控制是保證計算機網絡安全最重要的核心策略之一,同時它也是維護網絡安全、保護網絡資源的一個重要手段,其主要任務是保證網絡資源不被非法使用和非正常訪問。因此,加強以訪問控制為核心的銀行計算機網絡安全,保證銀行的資金安全以及提高銀行風險防范能力已成為當前各大銀行亟待解決的問題。
2 訪問控制的解決方案
目前訪問控制的解決方案主要有以下幾種:MAC地址過濾、VLAN隔離、基于IP地址的訪問控制列表和防火墻控制等。
2.1 MAC地址過濾法
MAC地址是網絡設備在全球的惟一編號,它也就是我們通常所說的:物理地址、硬件地址、適配器地址或網卡地址。MAC地址可用于直接標識某個網絡設備,是目前網絡數據交換的基礎。
2.2 VLAN隔離法
VLAN(虛擬局域網)技術是為了避免當一個網絡系統中網絡設備數量增加到一定程度后,眾多的網絡廣播報文消耗大量的網絡帶寬,使得真正的數據傳遞受到很大的影響,確保部分安全性比較敏感的部門數據不被隨意訪問瀏覽而采用一種劃分相互隔離子網的方法。
2.3 基于IP地址的訪問控制列表法
訪問控制列表在路由器和三層交換機中被廣泛采用,它是一種基于包過濾的流向控制技術。標準訪問控制列表通過把源地址、目的地址以及端口號作為數據包檢查的基本元素,并可以規定符合檢查條件的數據包是允許通過,還是不允許通過。
2.4 防火墻控制法
防火墻技術首先將網絡劃分為內網與外網,它通過分析每一項內網與外網通信應用的協議構成,得出主機IP地址及IP上聯端口號,從而規劃出業務流,對相應的業務流進行控制。防火墻技術在最大限度上限制了源IP地址、目的IP地址、源上聯端口號、目的上聯端口號的訪問權限,從而限制了每一業務流的通斷。
3 訪問控制在銀行網絡安全體系中的應用
銀行網絡安全體系是根據具體業務對網絡安全的需求,以訪問控制為核心而構建起來的,其中心思想就是“不同的部門及人員根據其所從事的工作有不同的網絡使用權限”。
關鍵詞:局域網;安全管理;技術分析
中圖分類號:TP3 文獻標識碼:A 文章編號:1007-3973(2010)010-050-02
現代信息技術發展迅猛,Intemet已經在全球范圍內得到普及和應用,計算機網絡技術也越來越多的服務于人類生活,并給信息技術行業帶來了更多的發展機會和經濟效益。目前,有大部分的網絡攻擊事件都是由內部人員發起的攻擊或者濫用網絡資源而造成的,該類攻擊占網絡攻擊的多數,因此,內部網絡安全問題應及時解決,確保局域網的安全穩定運行
1、無線局域網安全發展概況
無線局域網802.11b公布之后,已迅速成為真實標準。但自從它開始實施以來,當中的安全協議WEP就遭到人們的質疑。例如,美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早提出WEP中協議存在設計問題。而我國自2001年開始著手制定無線局域網安全標準,再通過各大科技院校的聯合協作,經過2年多的努力,終于制定出無線認證和保密基礎設施WAPI,現已成為國家標準。
2、局域網網絡安全設計的原則
2.1 網絡信息系統安全與保密的“木桶原則”
計算機網絡系統結構復雜,在操作和管理過程中,會因為各種漏洞而引起系統安全問題,由于多用戶的網絡系統本身的情況復雜,數據資源在共享時容易遭到非法用戶的竊取,安全性差。攻擊者尋找最容易滲透的部位,在系統的薄弱地區進行攻擊。因此,我們應全面的做好系統安全漏洞修補、對一系列的安全做具體分析、并評估和檢測,這是保證系統設計安全的關鍵。
2.2 信息安全系統的“有效性與實用性”原則
在保護局域網系統安全的同時,不得影響系統的正常運行以及合法用戶的正常活動,但網絡信息的安全和信息資源的共享還存在一些矛盾:首先,為了更好的修補系統漏洞,技術人員會采取各種技術手段進行修補;其次,系統漏洞的修補必會給用戶的使用帶來不便,在當前的網絡環境下,網絡服務要求具備實時性,容忍安全連接和安全處理造成延誤和數據擴張都會影響網絡服務的質量。如何在確保安全性的基礎上,將安全處理的運算量減到最小,減少不必要的服務器儲存量,是現代計算機網絡信息設計者迫切需要解決的問題。
3、局域網的不安全因素
3.1 局域網網絡安全管理體系需建立完善
網絡用戶數量大,對局域網的網絡安全見解并不清晰,他們認為:網絡安全的關鍵還在于網絡管理員的技術投入,只要實現必要的技術投入,網絡安全問題必可迎刃而解。實際上,技術上的加強只是保護網絡安全的一個方面,而系統上的安全管理才是重點。俗話說“三分技術、七分管理”,這樣的道理同樣適用于局域網安全管理。例如,我國勝利油田制定的網絡安全管理制度過于宏觀,不利于各二級單位具體執行操作,甚至連花費大量經費買回的軟件也無法保證正常使用,雖然技術上符合國家要求,但由于勝利油田的相關標準太宏觀,難以操作,執行力不強,有時出現隨意更換IP地址,導致地址沖突而無法上網,網絡服務器難以履行下載任務,而病毒庫也無法升級,系統中的殺毒軟件形同虛設。因此,我們應根據網絡安全的要求和服務規范建設合理的安全制度,健立完備的、具有指導性和可操作性的標準、規范,并不斷完善制度,提高可執行性。
3.2 網絡安全意識淡薄
網絡是現代信息科技技術發展中新事物,大多數人利用網絡進行休閑、娛樂等活動,卻常常忽略網絡安全問題,在使用過程中存在僥幸心理,缺乏安全意識。甚至有人認為,網絡安全問題只是小問題,即使開展網絡安全管理,也很難取得實質的經濟效益,安全技術投資難以見效;還有人認為,網絡安全問題與個人無關,只需要網絡管理員加強安全技術,網絡的安全威脅問題就不會出現。由于網絡安全意識的淡薄,導致網絡安全問題愈發嚴重。
3.3 網絡安全維護資金投入嚴重不足
很多網絡管理部門不想投入過多的資金進行網絡維護,也沒有指定正確的網絡維護費用量,導致費用年年萎縮,計算機信息系統未得到更新,信息數據易被人盜取,所以,大多網絡管理部門只能力爭,能否爭取到或者能爭取多少運維費用存在很大變數,造成計算機系統硬件設備的落后,網絡安全無法得到保障。
4、安全機制與策略
4.1 建立MAC地址表,減少非法用戶的侵入
如果網絡用戶接入不多,可通過其提供地唯一合法MAC地址在其接入的核心交換機上建立MAC地址表,對所有進入的用戶進行身份驗證,預防非法用戶的非法接入。同時。可以在AP中對批準接入的MAC地址列表進行手工維護,這個物理的地址過濾方案要求AP中的MAC地址列表能隨時更新,但擴展性差,難以實現服務器在不同AP之間的漫游,而且MAC地址被認為是可以偽造的,因此,這是比較低級的地址授權。
4.2 采用有線等效保密改進方案
(WEP2)IEEE802.11標準中對一種被稱為有線等效保密(WEP)的可選加密方案做了規定,其目標是為WLAN提供相同級別的網絡有效使用。WEP在鏈路層采用RC4對稱加密算法,可以禁止非法用戶的進入和非法接聽使用。有線等效保密(WEP)方案主要是為了實現三個目標:接入控制、數據保密性和數據完整性。
4.2.1 認證
當兩個站點之間要建立網絡連接時,首先應通過認證,執行認證管理的站點應管理認證幀到一個相應的站點,IEEE802.1Ib標準對兩種認證任務有所定義:第一是開放性的認證,即802.11b默認的認證方式,這是認證方法中較簡單的一種,分為兩步,首先向認證另一站點的站點發送個含有發送站點身份的認證管理幀:然后,接收站發回一個提醒它是否識別認證站點身份的幀。第二是共享密鑰認證,這種認證先假定每一個站點都需要有獨立的802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。
4.2.2 WEP-WiredEquivalentPrivaey加密技術
WEP安全技術來自于RC4的RSA數據加密技術,它可以滿足高層次的網絡安全要求。WEP為無線局域網提供了一種安全運行方式,WEP是一種對稱加密,加密和解密的密鑰及算法相同,WEP的目的是控制接入,預防未被授權的網絡訪問。安全維護的方式是通過加密和只允許有正確WEP密鑰的用戶解密來保證數據的安全流通。IEEE802.11b標準一共提出了兩種網絡WEP加密方案。一是提供四個缺省密鑰,為所有的用戶終端提供包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統進行安
全通信和數據共享了,缺省密鑰所存在的安全問題就是,它在被廣泛分配的過程中容易遭到漏洞威脅。二是,在每個客戶適配器建立一個與其他用戶聯系的密鑰表、該方案比第一種方案更加安全,但在用戶終端增加的過程中,終端分配密鑰也會更加困難。
4.3 IEEE802.11i的設計和實現
限于篇幅,本文僅介紹802.11i的核心部分TKIP算法的實現。
MSDU的加密和解密
規范中對MIc的算法定義如下:輸入:Key(KO,K1)和MI-Mn-I輸出:MICvalue(VO,VI)K,M和v都代表了32位的字。其中密鑰KO,KI是從TK2的第0-63位映射過來的。MO-Mn_I表示填充了的數據(sA+DA+protrity+DATA)。MIC函數還調用了規范中定義的b(L,R)的函數。TKlP的MSDU加密過程其實就是計算MIC值的過程,而MSDU的解密過程其實就是驗證MIC值的過程。
MDPU的加密和解密它們分為兩步,首先通過混合函數生成WEP密鑰和Iv,然后進行加密。TKIP的混合函數是要生成wEP的128位的加密(包括24位的IV)密鑰。它由兩個階段的混合函數組成,它們的實現在規范中都由詳細的說明。
階段一和階段二都依賴s一盒,其定義
如下:#define s-(v16)(sbOx[O][L08(v16)Sbox[1][Hi8(v16)])其中Sbox為二維常量數組,eonstul6bSbox[21[256]=“…),(…))。L08是獲得16位參數v16的低八位的函數,Hi8是獲得高八位的函數。規范對階段一的定義如下:入:傳送方的地址TAO…TA5,臨時密鑰TKO…TKl5-HTSCO…TSC5。輸出:中間階段密鑰TTAKO…TTAK4規范對階段二的定義如下:輸入:中間階段密鑰TTAKO…TTAK4,TK-glTSC輸出:WEP的種子WEPSEEDO…W EPSeedl5發送的時候從priv獲得tx-iv32(TSC[2…5])]I和TKl(key[0…15])和發送緩沖區skbuff獲得傳送地址TA[O…5],輸入到階段一的混合函數計算出臨時TTAK[0…5]。然后再把TTAK[O…5]-tx-ivl6(TSC[O…l])輸入到階段二的混合函數,計算出WEP IV和密鑰。生成的WEP密鑰后,就可以用它們加密數據,最后擴展skbuff把TSC等數據加密到頭部。接收的時候同樣先計算出wEP IV和密鑰,不過此時TSC是從緩7-Oskbuff獲得的。
4.4 無線入侵檢測系統
無線入侵檢測可以隨時監控計算機網絡的安全情況,但無線入侵檢測系統可以加強無線局域網的檢測以及對系統破壞的反應能力。無線入侵檢測系統可以以最快的速度找出入侵者,同時進行防御。通過該系統強有力的防范,保證局域網可以更安全的運行。
5、總 結
如今,網絡發展速度快,并且不斷更新完善,當我們在享受網絡給我們的生活帶來各種便捷的同時,還要清晰的認識到,各種局域網安全問題還是依然存在的。而網絡安全技術是系統綜合系統中的一部分,需要對局域網的各部分加強技術分析,利用各種安全技術,積極發揮局域網應有的安全服務功能,并對各種安全技術實行完善更新,及時適應現代局域網的發展,促進局域網安全治療的提高。
參考文獻:
[1]王順滿,陶然,陳朔鷹,等,無線局域網技術與安全[M],北京:機械工業出版社,2005,09
[2]孫宏,楊義先,無線局域網協議802.11安全性分析[J],電子學報,2003,07
[3]韓旭東,IEEE 802.11i研究綜述[J],信息技術與標準化,2004,11
[4]李勤,張浩軍,楊峰,等,無線局域網安全協議的研究和實現[J],計算機應用,2005,01
[5]安力,無線局域網的分布式入侵檢測方案[J],科技創新導報,2009,09
關鍵詞:個人計算機網絡安全;網絡病毒;安全策略;網絡安全防范
中圖分類號:TP399 文獻標識碼:A文章編號:1007-9599 (2011) 16-0000-01
Personal Computer Network Security Strategy
Fu Shuguang
(Qingdao Hismile College,Qingdao266100,China)
Abstract:This article mainly elaborated on the definition of network security and network security against the content of.Discusses the threat of network security factors and how to protect personal computer network security and need to do prevention measures.
Keywords:Computer network security;Network virus;Security policy;Network security
一、網絡安全的定義
網絡安全是指保護網絡系統的硬件、軟件及其數據受偶然或者惡意的原因所導致的破壞、更改、泄露,使系統連續可靠正常地運行,網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。廣義來說,凡是涉及到網絡上信息的機密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
二、影響個人計算機網絡安全的因素
(一)計算機病毒。計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。計算機病毒因為其隱蔽性、潛伏性、傳染性和破壞性的特點,對計算機網絡安全造成巨大的破壞。未來計算機病毒的摧毀力度將越來越強。隱蔽性和抗壓性也日益增強,這些病毒的存在對于計算機網絡安全而言無疑是定時炸彈。
(二)操作系統漏洞及黑客攻擊。當前所用的電腦操作系統有windows、unix、linux、dos、mac等,操作系統漏洞是指計算機操作系統(如Windows XP)本身所存在的問題或技術缺陷,操作系統產品提供商通常會定期對已知漏洞補丁程序提供修復服務。黑客利用研究發現系統的漏洞,進行突擊網絡系統安全的提前預謀。這種人為的惡意攻擊是計算機網絡安全最大的威脅。
(三)個人因素。在計算機使用過程中,使用者安全意識的缺乏是網絡安全的一大隱患。隱秘性文件沒有設密,操作口令的不經意間泄露、重要文件的丟失等都會給黑客提供攻擊的機會。
(四)缺乏有效的評估和監控手段。全面準確的安全評估是防范黑客入侵體系的基礎,它可以對將要構建的整個網絡的安全防護性做出科學、準確的分析評估,保障實施的安全策略在經濟上、技術上的可行性。現實中,計算機網絡安全的維護注重更多的是事前預防與事后彌補,在評估和監控方面有所欠缺,這直接造成網絡安全的不穩定。
三、個人計算機網絡安全防范措施
(一)購買正版操作系統、正版軟件,隨時注意軟件商的漏洞補丁及時更新。現今各種盜版操作系統、盜版軟件充斥在電腦城的周邊大街小巷,十元、十幾元價格不等。雖然方便優惠了我們普通老百姓。但是因為盜版操作系統、盜版軟件的漏洞不能及時更新修補等原因也為以后黑客入侵留下了后門隱患。更甚至有的盜版軟件里面直接就帶有木馬程序
(二)完善個人電腦硬件設備。做好硬件設備的維護工作。建立對各種計算機及網絡設備定期檢修、維護制度。并作好檢修、維護記錄。對突發性的安全事故處理要有應急預案,如安裝硬盤還原軟件或小哨兵硬盤還原卡,對做完操作系統,安裝完各種必需軟件后將之備份,萬一系統崩潰或者中毒后可迅速恢復到之前的狀態
(三)防火墻控制。防火墻技術是一種建立在網絡之間的互聯設備,其作用主要防止外部網絡用戶以非法手段進入內部網絡訪問或獲取內部資源,即過濾危險因素的網絡屏障。防火墻可以強化網絡安全性,它對兩個或多個網絡間傳輸的數據包按照一定的安全策略實施檢查,決定傳輸是否被允許。這樣就減小了非法傳輸的可能性。另外,防火墻可以對網絡中的實際操作進行監控和記錄。經過防火墻的訪問都會被記錄,同時也能提供網絡使用情況的詳細數據。當非法行徑出現時,防火墻能及時做出預警。并提供非法操作的詳細信息。
(四)安裝正版殺毒軟件,及時更新病毒庫。隨時更新殺毒軟件的病毒庫,定時啟動殺毒程序掃描病毒。電腦病毒對于整個計算機網絡系統的破壞作用是巨大的,因此病毒防殺是網絡完全技術中的重要一環。實際生活中,人們認為對待病毒關鍵是“殺”。其實病毒應當以“防”為主。
(五)訪問權限設置。訪問權限設置的主要任務是盡量將非法訪問排除在網絡之外,權限設置是網絡安全防范系統中的重要環節。系統通過設定權限條件,賦予用戶一定的訪問的權利與限制,用戶在權限范圍內訪問可訪問目錄、子目錄、文件和其他資源;指定用戶對這些內容能夠進行哪些具體操作。
(六)文件加密技術。加密的目的是把明文變成密文。使未被授權的人看不懂它,從而保護網絡中數據傳輸的安全性。網絡加密常用的方法有鏈路加密、端點加密和節點加密3種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全:端點加密的目的是對源端用戶到目的端用戶的數據提供保護:節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。
(七)不隨意接受打開、安裝陌生網友發送的文檔、軟件、不隨意訪問陌生網友發的網址。對網友發送過來的文檔軟件先用殺毒軟件掃描過后再打開。對網友發來的.exe文件.sys文件.com文件.bat文件等可執行文件最好不要輕易安裝執行。對從別處帶回來的移動硬盤、優盤等移動存儲設備要先進行病毒查殺后才能進行別的操作,以防止中病毒木馬
(八)對個人的網絡會員賬號密碼設定不要過于簡單單一,妥善保存號各種賬號密碼。各種網站的個人會員賬號密碼不要單純的設定純數字或者純字母。密碼的設定最好涵蓋符號+數字+大小寫英文字母。這樣的組合不容易輕易被破解軟件破解。不要將所有的賬號密碼設置成相同,最好不定期的修改下自己所設定的密碼。不要輕易向別人泄露自己的賬號密碼。
總之,個人計算機網絡安全涉及方方面面,是一個復雜的系統。它的維護要從事前預防、事中監控、事后彌補3個方面著手,不斷加強安全意識,完善安全技術,制定安全策略,從而提高計算機網絡的安全性。
參考文獻:
【關鍵詞】計算機 網絡安全
1 網絡概述
1.1 什么是計算機網絡
計算機網絡是指通過已經定義的操作系統,管理軟件的管理下,遵循各種網絡的協議,主要用于資源共享和信息傳遞的計算機系統,其包含兩個部分,一部分是具有獨立功能的多臺計算機和它們的外部設備,另一部分是通信線路,用于將這些計算機連接起來。
計算機網絡結合了計算機技術與通信技術,涉及的領域非常廣泛,包括計算機領域內的硬件與軟件部分。
1.2 計算機網絡的特點
1.2.1 數據通信
計算機網絡和通過提供服務的方式來實現網絡中不同實體的數據通信,比如傳真,電子郵件,電子數據交換,電子公告牌,遠程登錄和瀏覽器等。
1.2.2 資源共享
計算機網絡的資源共享是指在網絡中的所有實體都可以訪問其他實體的全部或部分的硬件和軟件資源。
1.2.3 提高計算機的可靠性和可用性
在計算機網絡中,資源共享帶來的問題也很多,在單機完成任務時,如果發生故障等情況,則會產生很多損失,而在網絡環境下,多臺計算機互聯進行資源共享,在一臺計算機發生了故障時,其他計算機可以代替它繼續完成任務,所以當發生了一臺或幾臺計算機故障時,不會導致整個系統癱瘓,提高了系統運行的可靠性;單機運行任務時,如果任務很繁重,運行效率不高,而在多臺計算機互聯的情況下,資源共享的同時不同的計算機可以同時協作運行單項任務,減少了每一個計算機的負擔,并且增大了系統運行的效率。增大了每一臺計算機的可用性。
1.2.4 分布式處理
分布式處理是指通過算法將大型的綜合性問題交給不同的計算機同時進行處理,用戶可以根據需要合理選擇網絡資源,就近快速的進行計算。
2 網絡安全概述
2.1 網絡安全的概念
國際標準化組織ISO將“計算機安全”定義為“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件,軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。該定義包含了物理和邏輯安全兩部分,網絡安全本質上是信息安全的引申。
2.2 網絡安全問題的原因
伴隨通信技術的發展,網絡面臨著多樣化的安全威脅,比如網絡結構存在缺陷,軟件存在漏洞被利用,一些惡意攻擊等都會對網絡造成破壞。影響網絡安全的因素主要包括軟件的脆弱性,數據庫管理的漏洞,人員。
軟件的脆弱性是指在高復雜的軟件中,軟件設計者再設計這個軟件時,無法精確預料到軟件運行時的狀態和系統的狀態,也無法精確的預測在不同的系統狀態下軟件的執行會產生什么樣的結果。因此不可避免的產生漏洞的情況。而在操作系統中,同樣存在各種各樣的漏洞,一旦被人利用,這些漏洞均會導致信息失竊,破壞計算機的情況。
數據庫管理的漏洞是指由于存在多個客戶端,對數據庫的訪問是大量的,數據庫管理的安全性和可靠性存在問題,從而導致的漏洞。
人員也是威脅網絡安全的一大原因,現在已經有越來越多的人對黑客的技術感到興趣,并用來實施攻擊網絡,通過系統的漏洞非法入侵他人的計算機。
除此之外,在網絡上進行互聯需要遵循各種各樣的網絡協議,比如TCP/IP協議等,但這些協議的誕生的目的是為了網絡的開放性與共享,而忽略了對安全性的考慮,所以容易被利用產生漏洞,從而對網絡安全造成威脅。
2.3 目前網絡安全的防范對策
2.3.1 訪問控制
訪問權限的控制實現網絡安全防護的重要措施,其是在身份認證的基礎上,防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。它的基本目的是防止未授權的用戶對受保護資源的非法訪問,保證合法用戶的正常訪問。
2.3.2 防火墻
防火墻常被安裝內部受保護的網絡連接到外部 Internet 的結點上, 用于邏輯隔離內部網絡和外部網絡。它的主要功能有掃描通信數據并對攻擊進行過濾;通過關閉端口禁止特殊站點的訪問;統計網絡使用情況,提高安全性。
2.3.3 數據加密
數據加密是保護傳輸的信息不被篡改的重要措施,將傳送的信息進行加密,以密文的形式在網絡上進行傳輸,極大的提高了數據傳輸的可靠性。
3 網絡安全的發展
計算機網絡的目的是資源共享,提高計算機的可用性和可靠性,但是開放互聯的理念必
會帶來安全問題,無論是因外部原因的網絡癱瘓還是因人員攻擊產生的問題都會使網絡產生很大的損失。
計算機網絡發展至今,網絡安全已經越來越受到重視,從訪問控制保證授權用戶對合法資源的正常訪問,在到防火墻和數據加密來保證數據傳輸的正確性,網絡安全已經能得到初步的保證,但是由于軟件的脆弱性,漏洞是永遠存在的,只有定時檢查計算機運行情況和網絡情況,及時更新軟件和系統才能基本保證網絡的安全。
目前網絡的訪問控制,防火墻和數據加密已經相對成熟,隨著新的安全威脅的不斷誕生,也將會有新的措施來保證網絡的安全。
3.1 入侵檢測
入侵檢測是繼“防火墻”、“數據加密”等傳統安全保護方法之后的 新一代安全保障技術。入侵檢測是指通過計算機網絡或計算機系統中 的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否 有違反安全策略的行為和遭到攻擊的跡象,同時做出響應。
3.2 虛擬專用網
移動辦公和單位合作伙伴的通信需求日益強烈,通過虛擬專用網進行互聯保證網絡安全也是未來的發展方向。
4 結束語
網絡帶給人們便利的同時也面臨著各種各樣的威脅與問題,只有正視網絡安全問題才能保證互聯網的安全運行,保證其的正常工作。
參考文獻
[1]陳霜霜.計算機網絡安全的研究與探討[J].SCIENCE&TELENOLOGY INFORMATION, 2011(35):136-137.
[2]王文壽,王珂.網管員必備寶典[J].北京:清華大學出版社,2006.
[3]黃傳河,杜瑞穎,張滬寅.網絡安全[M].武漢:武漢大學出版社,2004:2-289.
[4]賈冰.計算機網絡安全漏洞及應對措施[J].科技信息(學術研究),2007(19).
關鍵詞:網絡安全;威脅;管理措施
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 11-0000-01
Strengthening the Safety Management of Changqing Oil Field
Chang Zekun
(Communications Department of Changqing Oil Field Company,Xi'an710021,China)
Abstract:The rapid development of network technology to people's lives has brought great changes,but it also brings a lot of risks.This article discusses the risk of computer in Changqing Oil Field,and thinks about how to ensure network security,and proposed preventive measures.
Keywords:Network security;Threat;Management
隨著長慶油田未上市部分網絡改造項目的完成,長慶油田形成了核心萬兆互聯,廣域網雙2.5G互聯,接入單位雙千兆上聯,網絡吞吐能力得到很大提升,隨之而來網絡安全風險加大,對油田網絡安全運行造成的影響變大。網絡安全是一項系統的工程,涉及技術、管理、使用等許多方面,網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。
一、影響計算機網絡安全的主要因素
長慶油田公司主干網絡建成后接入單位帶寬達到千兆,單機網絡帶寬達到百兆以上,個人計算機性能提高很快,加之廣域網帶寬提高20倍以上,單臺計算機對網絡沖擊流量達到100M級,發包速度達到10萬PPS以上甚至幾十萬PPS導致骨干網絡流量增大,發生網絡攻擊行為會影響骨干網絡穩定運行同時隨著現在BT、迅雷、在線視頻的P2P應用的廣泛使用,網絡流量增大影響到正常網絡應用的使用。
由于設計的系統不規范、不合理以及缺乏安全性考慮,網絡系統在穩定性和可擴充性方面存在問題;文件服務器和網卡用工作站選配不當導致網絡不穩定,網絡硬件的配置不協調;許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用;訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機;管理制度不健全,網絡管理、維護任其自然。
二、確保計算機網絡安全的防范措施
(一)建立入網訪問功能模塊
訪問控制的目的是保證網絡資源不被末授權地訪問和使用。資源訪問控制通常采用網絡資源短陣來定義用戶對資源的訪問權限;對于信息資源,還可以直接利用各種系統(如數據庫管理系統)內在的訪問控制能力,為不同的用戶定義不同的訪問權限,有利于信息的有序控制。同樣,設備的使用也屬于訪問控制的范疇。因此,網絡中心,尤其是主機房應當加強管理,嚴禁外人進入。對于跨網的訪問控制,簽證(visas)和防火墻是企業信息化網絡建設中可選擇的較好技術。
(二)數據加密。加密指改變數據的表現形式。加密的目的是只讓特定的人能解讀密文,對一般人而言,其即使獲得了密文,也不解其義。加密旨在對第三者保密,如果信息由源點直達目的地,在傳遞過程中不會被任何人接觸到,則無需加密。Internet是一個開放的系統,穿梭于其中的數據可能被任何人隨意攔截,因此,將數據加密后再傳送是進行秘密通信的最有效的方法。
(三)建立網絡服務器安全設置模塊。大中型企業的網絡相對比較完善,服務器的功能也比較強大,這就需要有非常專業的技術來對網絡加以保護,防火墻技術就是其中之一。經濟條件較好、網絡比較完善的大中型企業,對網絡安全的要求應該是高標準的,現在很多企業都采用比較完善的專業防火墻網絡安全技術。目前,為大中型企業設計的防火墻都是一種硬件結合軟件的架構。一般這種防火墻由一套硬件設備結合一些各種功能的模塊軟件,比如防病毒、日志、入侵檢測軟件等組成的。專業防火墻的網絡拓撲圖(見圖1)。
(四)建立完善的備份及恢復機制。應當安裝一套能與網絡操作系統很好配合的網絡備份系統,并且既能備份文件服務器,也能備份客戶機。一個好的基于網絡的備份系統還應允許備份和恢復安全信息,如用戶名、口令及文件訪問權限等。若打算使用現有備份設備,就要確保它們能夠從網絡驅動器上備份數據。這些設備還應能容納全部網絡數據。盡管不必備份網絡軟件,但從磁帶中恢復要比重新安裝并重新進行設置這些軟件容易得多。
三、安全管理效果
通過采用以上的安全防范措施,可降低骨干網絡受到網絡病毒和攻擊的影響程度,通過對西安公網出口P2P下載的流量監管測試,10.78網段限制P2P,10.59網段未限制同一個時段的流量情況如下圖,限制P2P流量帶寬后明顯10.78網段流量減少而10.59網段流量未發生變化(見圖2)。
參考文獻:
[1]周小華.計算機網絡安全技術與解決方案,杭:浙江大學出版社,2008
關鍵詞:網絡安全;主動防御;非合作動態博弈;攻防博弈
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2012) 16-0061-01
一、引言
在現有的網絡技術中,一般采用安全策略配置的方法來設置網絡防火墻,進而對網絡起到保護作用,然而這類型的靜態博弈方式有著一些弊端,比如,對于網絡攻擊者的供給意圖和攻擊策略無法實時的做出合理的應對,防御方式顯得過于程式化,無法抵擋多變的網絡攻擊,對于一些瞬間和未知的攻擊不能起到防御的作用。對于廣大用戶來說,最為安全、最為理想的防御系統,就應該具備對付所有攻擊行為和修復系統弱點的效果。雖然這個想法有點不符合實際,但是整個方向還是相對正確的。因此在設置網絡安全防御系統的時候,必須考慮系統的適度安全性。本文通過對非合作、非零和動態博弈理論進行了全面的分析,提出了相關的信息動態博弈防御模型,并且對完全信息和非完全信息條件下的適用場景做了科學的研究,體現網絡安全防御技術的可操作性,以提高網絡安全主動防御技術的水平,促進防御技術的改革與創新。
二、動態博弈的網絡安全防御技術相關的定義描述
(一)完全信息動態博弈主動防御模型(ADDG)
(二)攻防博弈樹T定義介紹
三、對于多階段非合作動態博弈防御技術的分析
(一)攻防博弈樹的形成
攻防博弈樹可以用來表述完全信息網絡攻防動態防御行為,因為攻防博弈樹可以將參與網絡攻擊者和防御者的對抗形式和策略完全體現,可以通過攻防博弈樹清楚地了解局中人的行動時間、行動方式、行動策略,以及在行動后的收益情況。
(二)多階段非合作動態博弈算法簡介
1.完全信息多階段動態博弈逆向歸納法
在完全信息的網絡狀態下,結合攻防博弈樹的防御技術,通過多階段動態博弈逆向歸納法的計算,可以得出所有可能的網絡攻擊途徑,以及網絡防御的最佳策略。需要注意的是,在計算開始時,需要初始化攻防博弈樹。
2.非完全信息多階段動態博弈逆向歸納法
該計算方法,與完全信息多階段動態博弈逆向歸納法的計算方式大致相同,是在完全信息狀態無法滿足時,演變而來的計算方法。該算法可以看成一個靜態博弈過程,是在逆向歸納過程中,將所有信息節點集合組成一個子博弈樹的過程。該算法中,當處于零和博弈狀態時,計算相對復雜,為提高效率,需要博弈樹中體現最少的非單節點信息集。
四、結語
傳統的博弈網絡安全防御技術普遍使用的是靜態的博弈,這種靜態的博弈方式對于網絡攻擊者的供給意圖和攻擊策略無法實時的做出合理的應對,防御方式顯得過于程式化,無法抵擋多變的網絡攻擊。因此,非合作動態博弈的網絡安全主動防御技術就應運而生了。網絡攻防圖和攻防博弈樹的形成,對于網絡動態博弈的主動防御有著深刻的意義,不僅可以提高網絡安全主動防御技術的水平,還可以促進網絡安全防御技術的改革與創新,以期為網絡安全防御領域做出貢獻。
參考文獻:
[1]林旺群,王慧,劉家紅,等.基于非合作動態博弈的網絡安全主動防御技術研究[J].計算機研究與發展,2011.
