发布时间:2023-12-19 11:24:05
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的网络安全定义样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
【关键词】信息安全;网络安全;网络信息安全
近些年,国内外媒体、学术界对信息安全(网络安全)问题的关注度与日俱增,相关的研究专著也陆续面世。但大家对信息安全、网络安全的使用一直含混不清,有人喜欢用“信息安全”,有人则认为用“网络安全”更准确。随之而来的,是对“信息安全”与“网络安全”的关系争论不休。有人说,网络安全是信息安全的一部分,因为信息安全不仅包括计算机网络安全,还包括电话、电报、传真、卫星、纸质媒体的传播等其他通讯手段的安全。也有人说,从纯技术的角度看,信息安全专业的主要研究内容为密码学,如各种加密算法,公钥基础设施,数字签名,数字证书等,而这些只是保障网络安全的手段之一。因此,信息安全应该是网络安全的子集。这些说法是否准确,可从以下三方面来进行解析。
一、信息安全的发展历程
20世纪初期之前,通信技术还不发达,人们强调的主要是信息的保密性,对安全理论和技术的研究也只侧重于密码学,这一阶段的信息安全可以简单称为通信安全。20世纪60年代后,计算机和网络技术的应用进入了实用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标的信息安全阶段。网络安全随着网络的运用受到人们的关注。20世纪80年代开始,由于互联网技术的飞速发展,由此产生的信息安全问题跨越了时间和空间,信息安全的焦点已经不仅仅是传统的保密性、完整性和可用性三个原则了,由此衍生出了诸如可控性、抗抵赖性、真实性等其他的原则和目标,信息安全也转化为从整体角度考虑其体系建设的信息保障阶段。网络安全同以前相比增加了许多新的内容,成为科技界和政府研究的一个热点。例如,美国把网络作为人类的“第五空间”,和“领土”、“领海”、“领空”、“外太空”并列,提升到战略的高度。
从历史角度来看,信息安全且早于网络安全。随着信息化的深入,信息安全和网络安全内涵不断丰富。信息安全随着网络的发展提出了新的目标和要求,网络安全技术在此过程中也得到不断创新和发展。
二、信息安全与网络安全的定义
(一)信息安全的定义
目前,信息安全(Information security)没有公认、统一的定义。常见的定义有以下5个:
1.美国联邦政府的定义:信息安全是保护信息系统免受意外或故意的非授权泄漏、传递、修改或破坏。
2.国际标准化组织(ISO)定义:信息安全是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。
3.我国信息安全国家重点实验室的定义:信息安全涉及信息的保密性、可用性、完整性和可控性。保密性就是保证信息不泄漏给未经授权的人;可用性就是保证信息以及信息系统确实为授权使用者所用;完整性就是抵抗对手的主动攻击,防止信息被篡改;可控性就是对信息以及信息系统实施安全监控。综合起来说,就是要保障电子信息的有效性。
4.百度百科的定义:是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
5.信息科学研究领域的定义:信息安全是指信息在生产、传输、处理和储存过程中不被泄漏或破坏,确保信息的可用性、保密性、完整性和不可否认性,并保证信息系统的可靠性和可控性。
从以上五个信息安全的定义可以看出,美国联邦政府的定义主要侧重信息系统方面的安全,不如国际标准化组织的定义全面。我国信息安全重点实验室的定义强调信息安全的内涵及属性。百度百科把信息安全定义为网络信息安全,以偏盖全。而信息科学研究领域的定义准确把握了信息的含义,它涵盖了上述四个信息安全的定义,表述最为准确和全面。
(二)网络安全的定义
网络安全(Network security)不仅包括网络信息的存储安全,还涉及信息的产生、传输和使用过程中的安全。如何定义网络安全呢?从狭义来说,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。所以广义的计算机网络安全还包括信息设备的物理安全性,如场地环境保护、防火措施、静电防护、防水防潮措施、电源保护、空调设备、计算机辐射等。
从两者的定义可看出,信息安全与网络安全有很多相似之处,两者都对信息(数据)的生产、传输、存储和使用等过程有相同地基本要求,如可用性、保密性、完整性和不可否认性等。但两者又有区别,不论是狭义的网络安全——网络上的信息安全,还是广义的网络安全者是信息安全的子集。
三、信息安全的研究内容
信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。信息安全主要包括以下4个内容:
1.设备安全。设备安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
2.数据安全。数据安全是指防止数据被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识、控制和否认。即确保数据的完整性、保密性、可用性和可控性。
3.运行安全。运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
4.管理安全。管理安全是指有关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全主要研究内容有5个:
1.密码学。密码学是信息安全最重要的基础理论之一。现代密码学主要由密码编码学和密码分析学两部分组成。密码学研究密码理论、密码算法、密码协议、密码技术和密码应用等。
2.网络安全。网络安全的基本思想是在网络的各个层次和范围内采取防护措施,以便能对各种网络安全威胁进行检测和发现,并采取相应的响应措施,确保网络环境的信息安全。网络安全的研究包括网络安全威胁、网络安全理论、网络安全技术和网络安全应用等。其主要研究内容有:通信安全、协议安全、网络防护、入侵检测、入侵响应和可信网络等。
3.信息系统安全。信息系统安全主要包括操作系统安全、访问控制技术、数据库安全、主机安全审计及漏洞扫描、计算机病毒检测和防范等方面,也是信息安全研究的重要发展方向。
4.信息内容安全。信息内容安全就是要求信息内容在政治上是健康的,在法律上是符合国家法律法规的,在道德上是符合中华民族优良的道德规范的。
5.信息对抗。随着计算机网络的迅速发展和广泛应用,信息领域的对抗从电子对抗发展到信息对抗。信息对抗是为削弱破坏对方电子信息设备和信息的使用效能,保障己方电子信息设备和信息正常发挥效能而采取的综合技术措施。其主要的研究内容有:通信对抗、雷达对抗、光电对抗和计算机网络对抗等。
显而易见,信息安全比网络安全的研究内容要广泛得多,网络安全只是信息安全的研究内容之一。
四、结论
综上所述,信息安全含义更广,涵盖网络安全。网络安全在实践中多指网络上的信息安全,而且网络上的信息安全是信息安全重点研究对象。因此,对一般网民来说可以把信息安全与网络安全等同起来,大家能明白其所指。但在学术研究中,特别在不同学科的研究中,要把两者区分开来。信息安全属信息科学研究领域,网络安全属计算机科学研究领域,两者有不同的研究内容和研究方向。
参考文献
[1]周学广等编著.信息安全学[M].北京:机械工业出版社,2008.
[2]谭晓玲等编著.计算机网络安全[M].北京:清华大学出版社,2012.
[3]翟健宏编著.信息安全导论[M].北京:科学出版社,2011.
[4]信息安全.百度百科,/view/17249.htm.
针对当前网络安全态势信息的共享、复用问题,建立一种基于本体的网络安全态势要素知识库模型,来解决无法统一的难题。利用网络安全态势要素知识的多源异构性,从分类和提取中建立由领域本体、应用本体和原子本体为组成的网络安全态势要素知识库模型,并通过具体态势场景来验证其有效性。
【关键词】
网络安全态势感知;本体;知识库;态势场景
现代网络环境的复杂化、多样化、异构化趋势,对于网络安全问题日益引起广泛关注。网络安全态势作为网络安全领域研究的重要难题,如何从网络入侵检测、网络威胁感知中来提升安全目标,防范病毒入侵,自有从网络威胁信息中进行协同操作,借助于网络安全态势感知领域的先进技术,实现对多源安全设备的信息融合。然而,面对网络安全态势问题,由于涉及到异构格式处理问题,而要建立这些要素信息的统一描述,迫切需要从网络安全态势要素知识库模型构建上,解决多源异构数据间的差异性,提升网络安全管理人员的防范有效性。
1网络安全态势要素知识库模型研究概述
对于知识库模型的研究,如基于XML的知识库模型,能够从语法规则上进行跨平台操作,具有较高的灵活性和延伸性;但因XML语言缺乏描述功能,对于语义丰富的网络安全态势要素知识库具有较大的技术限制;对于基于IDMEF的知识库模型,主要是通过对入侵检测的交互式访问来实现,但因针对IDS系统,无法实现多源异构系统的兼容性要求;对于基于一阶逻辑的知识库模型,虽然能够从知识推理上保持一致性和正确性,但由于推理繁复,对系统资源占用较大;基于本体的多源信息知识库模型,不仅能够实现对领域知识的一致性表达,还能够满足多源异构网络环境,实现对多种语义描述能力的逻辑推理。如AlirezaSadighian等人通过对上下文环境信息的本体报警来进行本体表达和存储警报信息,以降低IDS误报率;IgorKotenko等人利用安全指标本体分析方法,从拓扑指标、攻击指标、犯罪指标、代价指标、系统指标、漏洞攻击指标等方面,对安全细心及事件管理系统进行安全评估,并制定相应的安全策略;王前等人利用多维分类攻击模型,从逻辑关系和层次化结构上来构建攻击知识的描述、共享和复用;吴林锦等人借助于入侵知识库分类,从网络入侵知识库模型中建立领域本体、任务本体、应用本体和原子本体,能够实现对入侵知识的复用和共享。总的来看,对于基于本体的网络安全态势要素知识库模型的构建,主要是针对IDS警报,从反应网络安全状态上来进行感知,对各安全要素的概念定义较为模糊和抽象,在实际操作中缺乏实用性。
2网络安全态势要素的分类与提取
针对多源异构网络环境下的网络安全状态信息,在对各要素进行分类上,依据不同的数据来源、互补性、可靠性、实时性、冗余度等原则,主要分为网络环境、网络漏洞、网络攻击三类。对于网络环境,主要是构建网络安全态势的基础环境,如各类网络设备、网络主机、安全设备,以及构建网络安全的拓扑结构、进程和应用配置等内容;对于网络漏洞,是构成网络安全态势要素的核心,也是对各类网络系统中带来威胁的协议、代码、安全策略等内容;这些程序缺陷是诱发系统攻击、危害网络安全的重点。对于网络攻击,主要是利用各种攻击手段形成非法入侵、窃取网络信息、破坏网络环境的攻击对象,如攻击工具、攻击者、攻击属性等。在对网络环境进行安全要素提取中,并非是直接获取,而是基于相关的网络安全事件,从大量的网络安全事件中来提取态势要素。这些构成网络威胁的安全事件,往往被记录到网络系统的运行日志中,如原始事件、日志事件。
3构建基于本体的网络安全态势要素知识库模型
在构建网络安全态势要素知识库模型中,首先要明确本体概念。对于本体,主要是基于逻辑、语义丰富的形式化模型,用于描述某一领域的知识。其次,在构建方法选择上,利用本体的特异性,从本体的领域范围、抽象出领域的关键概念来作为类,并从类与实例的定义中来描述概念与个体之间的关系。如要明确定义类与类、实例与实例之间、类与实例之间的层次化关系;将网络安全态势要素知识进行分类,形成知识领域本体、应用本体和原子本体三个类别。
3.1态势要素知识领域本体
领域本体是构建网络安全态势要素知识库的最高本体,也是对领域内关系概念进行分类和定义的集合。如核心概念类、关键要素类等。从本研究中设置四个关键类,即Context表示网络环境、Attack表示网络攻击、Vulnerability表示网络漏洞、Event表示网络安全事件。在关系描述上设置五种关系,如isExploitedBy表示为被攻击者利用;hasVulnerability表示存在漏洞;happenIn表示安全事件发生在网络环境中;cause表示攻击引发的事件;is-a表示为子类关系。
3.2态势要素知识应用本体
对于领域本体内的应用本体,主要是表现为网络安全态势要素的构成及方式,在描述上分为四类:一是用于描述网络拓扑结构和网络配置状况;二是对网络漏洞、漏洞属性和利用方法进行描述;三是对攻击工具、攻击属性、安全状况、攻击结果的描述;四是对原始事件或日志事件的描述。
3.3态势要素知识原子本体
对于原子本体是可以直接运用的实例化说明,也最底层的本体。如各类应用本体、类、以及相互之间的关系等。利用形式化模型来构建基于本体的描述逻辑,以实现语义的精确描述。对于网络拓扑中的网络节点、网关,以及网络配置系统中的程序、服务、进程和用户等。这些原子本体都是进行逻辑描述的重点内容。如对于某一节点,可以拥有一个地址,属于某一网络。对于网络漏洞领域内的原子本体,主要有漏洞严重程度、结果类型、访问需求、情况;漏洞对象主要有代码漏洞、配置漏洞、协议漏洞;对漏洞的利用方法有邮箱、可移动存储介质、钓鱼等。以漏洞严重程度为例,可以设置为高、中、低三层次;对于访问需求可以分为远程访问、用户访问、本地访问;对于结果类型有破坏机密性、完整性、可用性和权限提升等。
3.4网络安全态势知识库模型的特点
关键字 访问控制;银行网络安全;虚拟局域网;访问控制列表
1 引言
随着计算机网络在银行各项业务的应用中不断普及,各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上,网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的问题。在目前国内各主要商业银行进行金融电子化建设的过程中,访问控制是保证计算机网络安全最重要的核心策略之一,同时它也是维护网络安全、保护网络资源的一个重要手段,其主要任务是保证网络资源不被非法使用和非正常访问。因此,加强以访问控制为核心的银行计算机网络安全,保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。
2 访问控制的解决方案
目前访问控制的解决方案主要有以下几种:MAC地址过滤、VLAN隔离、基于IP地址的访问控制列表和防火墙控制等。
2.1 MAC地址过滤法
MAC地址是网络设备在全球的惟一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。MAC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。
2.2 VLAN隔离法
VLAN(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到很大的影响,确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。
2.3 基于IP地址的访问控制列表法
访问控制列表在路由器和三层交换机中被广泛采用,它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,并可以规定符合检查条件的数据包是允许通过,还是不允许通过。
2.4 防火墙控制法
防火墙技术首先将网络划分为内网与外网,它通过分析每一项内网与外网通信应用的协议构成,得出主机IP地址及IP上联端口号,从而规划出业务流,对相应的业务流进行控制。防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限,从而限制了每一业务流的通断。
3 访问控制在银行网络安全体系中的应用
银行网络安全体系是根据具体业务对网络安全的需求,以访问控制为核心而构建起来的,其中心思想就是“不同的部门及人员根据其所从事的工作有不同的网络使用权限”。
关键词:局域网;安全管理;技术分析
中图分类号:TP3 文献标识码:A 文章编号:1007-3973(2010)010-050-02
现代信息技术发展迅猛,Intemet已经在全球范围内得到普及和应用,计算机网络技术也越来越多的服务于人类生活,并给信息技术行业带来了更多的发展机会和经济效益。目前,有大部分的网络攻击事件都是由内部人员发起的攻击或者滥用网络资源而造成的,该类攻击占网络攻击的多数,因此,内部网络安全问题应及时解决,确保局域网的安全稳定运行
1、无线局域网安全发展概况
无线局域网802.11b公布之后,已迅速成为真实标准。但自从它开始实施以来,当中的安全协议WEP就遭到人们的质疑。例如,美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早提出WEP中协议存在设计问题。而我国自2001年开始着手制定无线局域网安全标准,再通过各大科技院校的联合协作,经过2年多的努力,终于制定出无线认证和保密基础设施WAPI,现已成为国家标准。
2、局域网网络安全设计的原则
2.1 网络信息系统安全与保密的“木桶原则”
计算机网络系统结构复杂,在操作和管理过程中,会因为各种漏洞而引起系统安全问题,由于多用户的网络系统本身的情况复杂,数据资源在共享时容易遭到非法用户的窃取,安全性差。攻击者寻找最容易渗透的部位,在系统的薄弱地区进行攻击。因此,我们应全面的做好系统安全漏洞修补、对一系列的安全做具体分析、并评估和检测,这是保证系统设计安全的关键。
2.2 信息安全系统的“有效性与实用性”原则
在保护局域网系统安全的同时,不得影响系统的正常运行以及合法用户的正常活动,但网络信息的安全和信息资源的共享还存在一些矛盾:首先,为了更好的修补系统漏洞,技术人员会采取各种技术手段进行修补;其次,系统漏洞的修补必会给用户的使用带来不便,在当前的网络环境下,网络服务要求具备实时性,容忍安全连接和安全处理造成延误和数据扩张都会影响网络服务的质量。如何在确保安全性的基础上,将安全处理的运算量减到最小,减少不必要的服务器储存量,是现代计算机网络信息设计者迫切需要解决的问题。
3、局域网的不安全因素
3.1 局域网网络安全管理体系需建立完善
网络用户数量大,对局域网的网络安全见解并不清晰,他们认为:网络安全的关键还在于网络管理员的技术投入,只要实现必要的技术投入,网络安全问题必可迎刃而解。实际上,技术上的加强只是保护网络安全的一个方面,而系统上的安全管理才是重点。俗话说“三分技术、七分管理”,这样的道理同样适用于局域网安全管理。例如,我国胜利油田制定的网络安全管理制度过于宏观,不利于各二级单位具体执行操作,甚至连花费大量经费买回的软件也无法保证正常使用,虽然技术上符合国家要求,但由于胜利油田的相关标准太宏观,难以操作,执行力不强,有时出现随意更换IP地址,导致地址冲突而无法上网,网络服务器难以履行下载任务,而病毒库也无法升级,系统中的杀毒软件形同虚设。因此,我们应根据网络安全的要求和服务规范建设合理的安全制度,健立完备的、具有指导性和可操作性的标准、规范,并不断完善制度,提高可执行性。
3.2 网络安全意识淡薄
网络是现代信息科技技术发展中新事物,大多数人利用网络进行休闲、娱乐等活动,却常常忽略网络安全问题,在使用过程中存在侥幸心理,缺乏安全意识。甚至有人认为,网络安全问题只是小问题,即使开展网络安全管理,也很难取得实质的经济效益,安全技术投资难以见效;还有人认为,网络安全问题与个人无关,只需要网络管理员加强安全技术,网络的安全威胁问题就不会出现。由于网络安全意识的淡薄,导致网络安全问题愈发严重。
3.3 网络安全维护资金投入严重不足
很多网络管理部门不想投入过多的资金进行网络维护,也没有指定正确的网络维护费用量,导致费用年年萎缩,计算机信息系统未得到更新,信息数据易被人盗取,所以,大多网络管理部门只能力争,能否争取到或者能争取多少运维费用存在很大变数,造成计算机系统硬件设备的落后,网络安全无法得到保障。
4、安全机制与策略
4.1 建立MAC地址表,减少非法用户的侵入
如果网络用户接入不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对所有进入的用户进行身份验证,预防非法用户的非法接入。同时。可以在AP中对批准接入的MAC地址列表进行手工维护,这个物理的地址过滤方案要求AP中的MAC地址列表能随时更新,但扩展性差,难以实现服务器在不同AP之间的漫游,而且MAC地址被认为是可以伪造的,因此,这是比较低级的地址授权。
4.2 采用有线等效保密改进方案
(WEP2)IEEE802.11标准中对一种被称为有线等效保密(WEP)的可选加密方案做了规定,其目标是为WLAN提供相同级别的网络有效使用。WEP在链路层采用RC4对称加密算法,可以禁止非法用户的进入和非法接听使用。有线等效保密(WEP)方案主要是为了实现三个目标:接入控制、数据保密性和数据完整性。
4.2.1 认证
当两个站点之间要建立网络连接时,首先应通过认证,执行认证管理的站点应管理认证帧到一个相应的站点,IEEE802.1Ib标准对两种认证任务有所定义:第一是开放性的认证,即802.11b默认的认证方式,这是认证方法中较简单的一种,分为两步,首先向认证另一站点的站点发送个含有发送站点身份的认证管理帧:然后,接收站发回一个提醒它是否识别认证站点身份的帧。第二是共享密钥认证,这种认证先假定每一个站点都需要有独立的802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.2.2 WEP-WiredEquivalentPrivaey加密技术
WEP安全技术来自于RC4的RSA数据加密技术,它可以满足高层次的网络安全要求。WEP为无线局域网提供了一种安全运行方式,WEP是一种对称加密,加密和解密的密钥及算法相同,WEP的目的是控制接入,预防未被授权的网络访问。安全维护的方式是通过加密和只允许有正确WEP密钥的用户解密来保证数据的安全流通。IEEE802.11b标准一共提出了两种网络WEP加密方案。一是提供四个缺省密钥,为所有的用户终端提供包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统进行安
全通信和数据共享了,缺省密钥所存在的安全问题就是,它在被广泛分配的过程中容易遭到漏洞威胁。二是,在每个客户适配器建立一个与其他用户联系的密钥表、该方案比第一种方案更加安全,但在用户终端增加的过程中,终端分配密钥也会更加困难。
4.3 IEEE802.11i的设计和实现
限于篇幅,本文仅介绍802.11i的核心部分TKIP算法的实现。
MSDU的加密和解密
规范中对MIc的算法定义如下:输入:Key(KO,K1)和MI-Mn-I输出:MICvalue(VO,VI)K,M和v都代表了32位的字。其中密钥KO,KI是从TK2的第0-63位映射过来的。MO-Mn_I表示填充了的数据(sA+DA+protrity+DATA)。MIC函数还调用了规范中定义的b(L,R)的函数。TKlP的MSDU加密过程其实就是计算MIC值的过程,而MSDU的解密过程其实就是验证MIC值的过程。
MDPU的加密和解密它们分为两步,首先通过混合函数生成WEP密钥和Iv,然后进行加密。TKIP的混合函数是要生成wEP的128位的加密(包括24位的IV)密钥。它由两个阶段的混合函数组成,它们的实现在规范中都由详细的说明。
阶段一和阶段二都依赖s一盒,其定义
如下:#define s-(v16)(sbOx[O][L08(v16)Sbox[1][Hi8(v16)])其中Sbox为二维常量数组,eonstul6bSbox[21[256]=“…),(…))。L08是获得16位参数v16的低八位的函数,Hi8是获得高八位的函数。规范对阶段一的定义如下:入:传送方的地址TAO…TA5,临时密钥TKO…TKl5-HTSCO…TSC5。输出:中间阶段密钥TTAKO…TTAK4规范对阶段二的定义如下:输入:中间阶段密钥TTAKO…TTAK4,TK-glTSC输出:WEP的种子WEPSEEDO…W EPSeedl5发送的时候从priv获得tx-iv32(TSC[2…5])]I和TKl(key[0…15])和发送缓冲区skbuff获得传送地址TA[O…5],输入到阶段一的混合函数计算出临时TTAK[0…5]。然后再把TTAK[O…5]-tx-ivl6(TSC[O…l])输入到阶段二的混合函数,计算出WEP IV和密钥。生成的WEP密钥后,就可以用它们加密数据,最后扩展skbuff把TSC等数据加密到头部。接收的时候同样先计算出wEP IV和密钥,不过此时TSC是从缓7-Oskbuff获得的。
4.4 无线入侵检测系统
无线入侵检测可以随时监控计算机网络的安全情况,但无线入侵检测系统可以加强无线局域网的检测以及对系统破坏的反应能力。无线入侵检测系统可以以最快的速度找出入侵者,同时进行防御。通过该系统强有力的防范,保证局域网可以更安全的运行。
5、总 结
如今,网络发展速度快,并且不断更新完善,当我们在享受网络给我们的生活带来各种便捷的同时,还要清晰的认识到,各种局域网安全问题还是依然存在的。而网络安全技术是系统综合系统中的一部分,需要对局域网的各部分加强技术分析,利用各种安全技术,积极发挥局域网应有的安全服务功能,并对各种安全技术实行完善更新,及时适应现代局域网的发展,促进局域网安全治疗的提高。
参考文献:
[1]王顺满,陶然,陈朔鹰,等,无线局域网技术与安全[M],北京:机械工业出版社,2005,09
[2]孙宏,杨义先,无线局域网协议802.11安全性分析[J],电子学报,2003,07
[3]韩旭东,IEEE 802.11i研究综述[J],信息技术与标准化,2004,11
[4]李勤,张浩军,杨峰,等,无线局域网安全协议的研究和实现[J],计算机应用,2005,01
[5]安力,无线局域网的分布式入侵检测方案[J],科技创新导报,2009,09
关键词:个人计算机网络安全;网络病毒;安全策略;网络安全防范
中图分类号:TP399 文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
Personal Computer Network Security Strategy
Fu Shuguang
(Qingdao Hismile College,Qingdao266100,China)
Abstract:This article mainly elaborated on the definition of network security and network security against the content of.Discusses the threat of network security factors and how to protect personal computer network security and need to do prevention measures.
Keywords:Computer network security;Network virus;Security policy;Network security
一、网络安全的定义
网络安全是指保护网络系统的硬件、软件及其数据受偶然或者恶意的原因所导致的破坏、更改、泄露,使系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。广义来说,凡是涉及到网络上信息的机密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
二、影响个人计算机网络安全的因素
(一)计算机病毒。计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒因为其隐蔽性、潜伏性、传染性和破坏性的特点,对计算机网络安全造成巨大的破坏。未来计算机病毒的摧毁力度将越来越强。隐蔽性和抗压性也日益增强,这些病毒的存在对于计算机网络安全而言无疑是定时炸弹。
(二)操作系统漏洞及黑客攻击。当前所用的电脑操作系统有windows、unix、linux、dos、mac等,操作系统漏洞是指计算机操作系统(如Windows XP)本身所存在的问题或技术缺陷,操作系统产品提供商通常会定期对已知漏洞补丁程序提供修复服务。黑客利用研究发现系统的漏洞,进行突击网络系统安全的提前预谋。这种人为的恶意攻击是计算机网络安全最大的威胁。
(三)个人因素。在计算机使用过程中,使用者安全意识的缺乏是网络安全的一大隐患。隐秘性文件没有设密,操作口令的不经意间泄露、重要文件的丢失等都会给黑客提供攻击的机会。
(四)缺乏有效的评估和监控手段。全面准确的安全评估是防范黑客入侵体系的基础,它可以对将要构建的整个网络的安全防护性做出科学、准确的分析评估,保障实施的安全策略在经济上、技术上的可行性。现实中,计算机网络安全的维护注重更多的是事前预防与事后弥补,在评估和监控方面有所欠缺,这直接造成网络安全的不稳定。
三、个人计算机网络安全防范措施
(一)购买正版操作系统、正版软件,随时注意软件商的漏洞补丁及时更新。现今各种盗版操作系统、盗版软件充斥在电脑城的周边大街小巷,十元、十几元价格不等。虽然方便优惠了我们普通老百姓。但是因为盗版操作系统、盗版软件的漏洞不能及时更新修补等原因也为以后黑客入侵留下了后门隐患。更甚至有的盗版软件里面直接就带有木马程序
(二)完善个人电脑硬件设备。做好硬件设备的维护工作。建立对各种计算机及网络设备定期检修、维护制度。并作好检修、维护记录。对突发性的安全事故处理要有应急预案,如安装硬盘还原软件或小哨兵硬盘还原卡,对做完操作系统,安装完各种必需软件后将之备份,万一系统崩溃或者中毒后可迅速恢复到之前的状态
(三)防火墙控制。防火墙技术是一种建立在网络之间的互联设备,其作用主要防止外部网络用户以非法手段进入内部网络访问或获取内部资源,即过滤危险因素的网络屏障。防火墙可以强化网络安全性,它对两个或多个网络间传输的数据包按照一定的安全策略实施检查,决定传输是否被允许。这样就减小了非法传输的可能性。另外,防火墙可以对网络中的实际操作进行监控和记录。经过防火墙的访问都会被记录,同时也能提供网络使用情况的详细数据。当非法行径出现时,防火墙能及时做出预警。并提供非法操作的详细信息。
(四)安装正版杀毒软件,及时更新病毒库。随时更新杀毒软件的病毒库,定时启动杀毒程序扫描病毒。电脑病毒对于整个计算机网络系统的破坏作用是巨大的,因此病毒防杀是网络完全技术中的重要一环。实际生活中,人们认为对待病毒关键是“杀”。其实病毒应当以“防”为主。
(五)访问权限设置。访问权限设置的主要任务是尽量将非法访问排除在网络之外,权限设置是网络安全防范系统中的重要环节。系统通过设定权限条件,赋予用户一定的访问的权利与限制,用户在权限范围内访问可访问目录、子目录、文件和其他资源;指定用户对这些内容能够进行哪些具体操作。
(六)文件加密技术。加密的目的是把明文变成密文。使未被授权的人看不懂它,从而保护网络中数据传输的安全性。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全:端点加密的目的是对源端用户到目的端用户的数据提供保护:节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
(七)不随意接受打开、安装陌生网友发送的文档、软件、不随意访问陌生网友发的网址。对网友发送过来的文档软件先用杀毒软件扫描过后再打开。对网友发来的.exe文件.sys文件.com文件.bat文件等可执行文件最好不要轻易安装执行。对从别处带回来的移动硬盘、优盘等移动存储设备要先进行病毒查杀后才能进行别的操作,以防止中病毒木马
(八)对个人的网络会员账号密码设定不要过于简单单一,妥善保存号各种账号密码。各种网站的个人会员账号密码不要单纯的设定纯数字或者纯字母。密码的设定最好涵盖符号+数字+大小写英文字母。这样的组合不容易轻易被破解软件破解。不要将所有的账号密码设置成相同,最好不定期的修改下自己所设定的密码。不要轻易向别人泄露自己的账号密码。
总之,个人计算机网络安全涉及方方面面,是一个复杂的系统。它的维护要从事前预防、事中监控、事后弥补3个方面着手,不断加强安全意识,完善安全技术,制定安全策略,从而提高计算机网络的安全性。
参考文献:
【关键词】计算机 网络安全
1 网络概述
1.1 什么是计算机网络
计算机网络是指通过已经定义的操作系统,管理软件的管理下,遵循各种网络的协议,主要用于资源共享和信息传递的计算机系统,其包含两个部分,一部分是具有独立功能的多台计算机和它们的外部设备,另一部分是通信线路,用于将这些计算机连接起来。
计算机网络结合了计算机技术与通信技术,涉及的领域非常广泛,包括计算机领域内的硬件与软件部分。
1.2 计算机网络的特点
1.2.1 数据通信
计算机网络和通过提供服务的方式来实现网络中不同实体的数据通信,比如传真,电子邮件,电子数据交换,电子公告牌,远程登录和浏览器等。
1.2.2 资源共享
计算机网络的资源共享是指在网络中的所有实体都可以访问其他实体的全部或部分的硬件和软件资源。
1.2.3 提高计算机的可靠性和可用性
在计算机网络中,资源共享带来的问题也很多,在单机完成任务时,如果发生故障等情况,则会产生很多损失,而在网络环境下,多台计算机互联进行资源共享,在一台计算机发生了故障时,其他计算机可以代替它继续完成任务,所以当发生了一台或几台计算机故障时,不会导致整个系统瘫痪,提高了系统运行的可靠性;单机运行任务时,如果任务很繁重,运行效率不高,而在多台计算机互联的情况下,资源共享的同时不同的计算机可以同时协作运行单项任务,减少了每一个计算机的负担,并且增大了系统运行的效率。增大了每一台计算机的可用性。
1.2.4 分布式处理
分布式处理是指通过算法将大型的综合性问题交给不同的计算机同时进行处理,用户可以根据需要合理选择网络资源,就近快速的进行计算。
2 网络安全概述
2.1 网络安全的概念
国际标准化组织ISO将“计算机安全”定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件,软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。该定义包含了物理和逻辑安全两部分,网络安全本质上是信息安全的引申。
2.2 网络安全问题的原因
伴随通信技术的发展,网络面临着多样化的安全威胁,比如网络结构存在缺陷,软件存在漏洞被利用,一些恶意攻击等都会对网络造成破坏。影响网络安全的因素主要包括软件的脆弱性,数据库管理的漏洞,人员。
软件的脆弱性是指在高复杂的软件中,软件设计者再设计这个软件时,无法精确预料到软件运行时的状态和系统的状态,也无法精确的预测在不同的系统状态下软件的执行会产生什么样的结果。因此不可避免的产生漏洞的情况。而在操作系统中,同样存在各种各样的漏洞,一旦被人利用,这些漏洞均会导致信息失窃,破坏计算机的情况。
数据库管理的漏洞是指由于存在多个客户端,对数据库的访问是大量的,数据库管理的安全性和可靠性存在问题,从而导致的漏洞。
人员也是威胁网络安全的一大原因,现在已经有越来越多的人对黑客的技术感到兴趣,并用来实施攻击网络,通过系统的漏洞非法入侵他人的计算机。
除此之外,在网络上进行互联需要遵循各种各样的网络协议,比如TCP/IP协议等,但这些协议的诞生的目的是为了网络的开放性与共享,而忽略了对安全性的考虑,所以容易被利用产生漏洞,从而对网络安全造成威胁。
2.3 目前网络安全的防范对策
2.3.1 访问控制
访问权限的控制实现网络安全防护的重要措施,其是在身份认证的基础上,防止非法用户进入系统及防止合法用户对系统资源的非法使用。它的基本目的是防止未授权的用户对受保护资源的非法访问,保证合法用户的正常访问。
2.3.2 防火墙
防火墙常被安装内部受保护的网络连接到外部 Internet 的结点上, 用于逻辑隔离内部网络和外部网络。它的主要功能有扫描通信数据并对攻击进行过滤;通过关闭端口禁止特殊站点的访问;统计网络使用情况,提高安全性。
2.3.3 数据加密
数据加密是保护传输的信息不被篡改的重要措施,将传送的信息进行加密,以密文的形式在网络上进行传输,极大的提高了数据传输的可靠性。
3 网络安全的发展
计算机网络的目的是资源共享,提高计算机的可用性和可靠性,但是开放互联的理念必
会带来安全问题,无论是因外部原因的网络瘫痪还是因人员攻击产生的问题都会使网络产生很大的损失。
计算机网络发展至今,网络安全已经越来越受到重视,从访问控制保证授权用户对合法资源的正常访问,在到防火墙和数据加密来保证数据传输的正确性,网络安全已经能得到初步的保证,但是由于软件的脆弱性,漏洞是永远存在的,只有定时检查计算机运行情况和网络情况,及时更新软件和系统才能基本保证网络的安全。
目前网络的访问控制,防火墙和数据加密已经相对成熟,随着新的安全威胁的不断诞生,也将会有新的措施来保证网络的安全。
3.1 入侵检测
入侵检测是继“防火墙”、“数据加密”等传统安全保护方法之后的 新一代安全保障技术。入侵检测是指通过计算机网络或计算机系统中 的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
3.2 虚拟专用网
移动办公和单位合作伙伴的通信需求日益强烈,通过虚拟专用网进行互联保证网络安全也是未来的发展方向。
4 结束语
网络带给人们便利的同时也面临着各种各样的威胁与问题,只有正视网络安全问题才能保证互联网的安全运行,保证其的正常工作。
参考文献
[1]陈霜霜.计算机网络安全的研究与探讨[J].SCIENCE&TELENOLOGY INFORMATION, 2011(35):136-137.
[2]王文寿,王珂.网管员必备宝典[J].北京:清华大学出版社,2006.
[3]黄传河,杜瑞颖,张沪寅.网络安全[M].武汉:武汉大学出版社,2004:2-289.
[4]贾冰.计算机网络安全漏洞及应对措施[J].科技信息(学术研究),2007(19).
关键词:网络安全;威胁;管理措施
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 11-0000-01
Strengthening the Safety Management of Changqing Oil Field
Chang Zekun
(Communications Department of Changqing Oil Field Company,Xi'an710021,China)
Abstract:The rapid development of network technology to people's lives has brought great changes,but it also brings a lot of risks.This article discusses the risk of computer in Changqing Oil Field,and thinks about how to ensure network security,and proposed preventive measures.
Keywords:Network security;Threat;Management
随着长庆油田未上市部分网络改造项目的完成,长庆油田形成了核心万兆互联,广域网双2.5G互联,接入单位双千兆上联,网络吞吐能力得到很大提升,随之而来网络安全风险加大,对油田网络安全运行造成的影响变大。网络安全是一项系统的工程,涉及技术、管理、使用等许多方面,网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。
一、影响计算机网络安全的主要因素
长庆油田公司主干网络建成后接入单位带宽达到千兆,单机网络带宽达到百兆以上,个人计算机性能提高很快,加之广域网带宽提高20倍以上,单台计算机对网络冲击流量达到100M级,发包速度达到10万PPS以上甚至几十万PPS导致骨干网络流量增大,发生网络攻击行为会影响骨干网络稳定运行同时随着现在BT、迅雷、在线视频的P2P应用的广泛使用,网络流量增大影响到正常网络应用的使用。
由于设计的系统不规范、不合理以及缺乏安全性考虑,网络系统在稳定性和可扩充性方面存在问题;文件服务器和网卡用工作站选配不当导致网络不稳定,网络硬件的配置不协调;许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;管理制度不健全,网络管理、维护任其自然。
二、确保计算机网络安全的防范措施
(一)建立入网访问功能模块
访问控制的目的是保证网络资源不被末授权地访问和使用。资源访问控制通常采用网络资源短阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。同样,设备的使用也属于访问控制的范畴。因此,网络中心,尤其是主机房应当加强管理,严禁外人进入。对于跨网的访问控制,签证(visas)和防火墙是企业信息化网络建设中可选择的较好技术。
(二)数据加密。加密指改变数据的表现形式。加密的目的是只让特定的人能解读密文,对一般人而言,其即使获得了密文,也不解其义。加密旨在对第三者保密,如果信息由源点直达目的地,在传递过程中不会被任何人接触到,则无需加密。Internet是一个开放的系统,穿梭于其中的数据可能被任何人随意拦截,因此,将数据加密后再传送是进行秘密通信的最有效的方法。
(三)建立网络服务器安全设置模块。大中型企业的网络相对比较完善,服务器的功能也比较强大,这就需要有非常专业的技术来对网络加以保护,防火墙技术就是其中之一。经济条件较好、网络比较完善的大中型企业,对网络安全的要求应该是高标准的,现在很多企业都采用比较完善的专业防火墙网络安全技术。目前,为大中型企业设计的防火墙都是一种硬件结合软件的架构。一般这种防火墙由一套硬件设备结合一些各种功能的模块软件,比如防病毒、日志、入侵检测软件等组成的。专业防火墙的网络拓扑图(见图1)。
(四)建立完善的备份及恢复机制。应当安装一套能与网络操作系统很好配合的网络备份系统,并且既能备份文件服务器,也能备份客户机。一个好的基于网络的备份系统还应允许备份和恢复安全信息,如用户名、口令及文件访问权限等。若打算使用现有备份设备,就要确保它们能够从网络驱动器上备份数据。这些设备还应能容纳全部网络数据。尽管不必备份网络软件,但从磁带中恢复要比重新安装并重新进行设置这些软件容易得多。
三、安全管理效果
通过采用以上的安全防范措施,可降低骨干网络受到网络病毒和攻击的影响程度,通过对西安公网出口P2P下载的流量监管测试,10.78网段限制P2P,10.59网段未限制同一个时段的流量情况如下图,限制P2P流量带宽后明显10.78网段流量减少而10.59网段流量未发生变化(见图2)。
参考文献:
[1]周小华.计算机网络安全技术与解决方案,杭:浙江大学出版社,2008
关键词:网络安全;主动防御;非合作动态博弈;攻防博弈
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 16-0061-01
一、引言
在现有的网络技术中,一般采用安全策略配置的方法来设置网络防火墙,进而对网络起到保护作用,然而这类型的静态博弈方式有着一些弊端,比如,对于网络攻击者的供给意图和攻击策略无法实时的做出合理的应对,防御方式显得过于程式化,无法抵挡多变的网络攻击,对于一些瞬间和未知的攻击不能起到防御的作用。对于广大用户来说,最为安全、最为理想的防御系统,就应该具备对付所有攻击行为和修复系统弱点的效果。虽然这个想法有点不符合实际,但是整个方向还是相对正确的。因此在设置网络安全防御系统的时候,必须考虑系统的适度安全性。本文通过对非合作、非零和动态博弈理论进行了全面的分析,提出了相关的信息动态博弈防御模型,并且对完全信息和非完全信息条件下的适用场景做了科学的研究,体现网络安全防御技术的可操作性,以提高网络安全主动防御技术的水平,促进防御技术的改革与创新。
二、动态博弈的网络安全防御技术相关的定义描述
(一)完全信息动态博弈主动防御模型(ADDG)
(二)攻防博弈树T定义介绍
三、对于多阶段非合作动态博弈防御技术的分析
(一)攻防博弈树的形成
攻防博弈树可以用来表述完全信息网络攻防动态防御行为,因为攻防博弈树可以将参与网络攻击者和防御者的对抗形式和策略完全体现,可以通过攻防博弈树清楚地了解局中人的行动时间、行动方式、行动策略,以及在行动后的收益情况。
(二)多阶段非合作动态博弈算法简介
1.完全信息多阶段动态博弈逆向归纳法
在完全信息的网络状态下,结合攻防博弈树的防御技术,通过多阶段动态博弈逆向归纳法的计算,可以得出所有可能的网络攻击途径,以及网络防御的最佳策略。需要注意的是,在计算开始时,需要初始化攻防博弈树。
2.非完全信息多阶段动态博弈逆向归纳法
该计算方法,与完全信息多阶段动态博弈逆向归纳法的计算方式大致相同,是在完全信息状态无法满足时,演变而来的计算方法。该算法可以看成一个静态博弈过程,是在逆向归纳过程中,将所有信息节点集合组成一个子博弈树的过程。该算法中,当处于零和博弈状态时,计算相对复杂,为提高效率,需要博弈树中体现最少的非单节点信息集。
四、结语
传统的博弈网络安全防御技术普遍使用的是静态的博弈,这种静态的博弈方式对于网络攻击者的供给意图和攻击策略无法实时的做出合理的应对,防御方式显得过于程式化,无法抵挡多变的网络攻击。因此,非合作动态博弈的网络安全主动防御技术就应运而生了。网络攻防图和攻防博弈树的形成,对于网络动态博弈的主动防御有着深刻的意义,不仅可以提高网络安全主动防御技术的水平,还可以促进网络安全防御技术的改革与创新,以期为网络安全防御领域做出贡献。
参考文献:
[1]林旺群,王慧,刘家红,等.基于非合作动态博弈的网络安全主动防御技术研究[J].计算机研究与发展,2011.
