網(wǎng)絡(luò )安全風(fēng)險與對策

　　網(wǎng)絡(luò )安全風(fēng)險與對策【1】

　　摘要：要使網(wǎng)絡(luò )信息在一個(gè)良好的環(huán)境中運行，加強網(wǎng)絡(luò )信息安全至關(guān)重要。

　　必須全方位解析網(wǎng)絡(luò )的脆弱性和威脅，才能構建網(wǎng)絡(luò )的安全措施，確保網(wǎng)絡(luò )安全。

　　本文在介紹網(wǎng)絡(luò )安全的脆弱性與威脅的基礎上，簡(jiǎn)述了網(wǎng)絡(luò )安全的技術(shù)對策。

　　關(guān)鍵詞：網(wǎng)絡(luò )安全 脆弱性 威脅 技術(shù)對策

　　一、網(wǎng)絡(luò )安全的脆弱性

　　計算機網(wǎng)絡(luò )尤其是互連網(wǎng)絡(luò )，由于網(wǎng)絡(luò )分布的廣域性、網(wǎng)絡(luò )體系結構的開(kāi)放性、信息資源的共享性和通信信道的共用性，使計算機網(wǎng)絡(luò )存在很多嚴重的脆弱性。

　　1.不設防的網(wǎng)絡(luò )有許多個(gè)漏洞和后門(mén)

　　系統漏洞為病毒留后門(mén)，計算機的多個(gè)端口、各種軟件，甚至有些安全產(chǎn)品都存在著(zhù)或多或少的漏洞和后門(mén)，安全得不到可靠保證。

　　2.電磁輻射

　　電磁輻射在網(wǎng)絡(luò )中表現出兩方面的脆弱性：一方面，網(wǎng)絡(luò )周?chē)�電子電氣設備產(chǎn)生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源;另一方面，網(wǎng)絡(luò )的終端、打印機或其他電子設備在工作時(shí)產(chǎn)生的電磁輻射泄露，可以將這些數據(包括在終端屏幕上顯示的數據)接收下來(lái)，并且重新恢復。

　　4.串音干擾

　　串音的作用是產(chǎn)生傳輸噪音，噪音能對網(wǎng)絡(luò )上傳輸的信號造成嚴重的破壞。

　　5.硬件故障

　　硬件故障可造成軟件系統中斷和通信中斷，帶來(lái)重大損害。

　　6.軟件故障

　　通信網(wǎng)絡(luò )軟件包含有大量的管理系統安全的部分，如果這些軟件程序受到損害，則該系統就是一個(gè)極不安全的網(wǎng)絡(luò )系統。

　　7.人為因素

　　系統內部人員盜竊機密數據或破壞系統資源，甚至直接破壞網(wǎng)絡(luò )系統。

　　8.網(wǎng)絡(luò )規模

　　網(wǎng)絡(luò )規模越大，其安全的脆弱性越大。

　　9.網(wǎng)絡(luò )物理環(huán)境

　　這種脆弱性來(lái)源于自然災害。

　　10.通信系統

　　一般的通信系統，獲得存取權是相對簡(jiǎn)單的，并且機會(huì )總是存在的。

　　一旦信息從生成和存儲的設備發(fā)送出去，它將成為對方分析研究的內容。

　　二、網(wǎng)絡(luò )安全的威脅

　　網(wǎng)絡(luò )所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò )中信息的威脅;二是對網(wǎng)絡(luò )中設備的威脅。

　　造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內部攻擊和外部攻擊等，歸結起來(lái)，主要有三種：

　　1.人為的無(wú)意失誤

　　如操作員安全配置不當造成的安全漏洞，用戶(hù)安全意識不強，用戶(hù)口令選擇不慎，用戶(hù)將自己的賬號隨意轉借他人或與別人共享等都會(huì )對網(wǎng)絡(luò )安全帶來(lái)威脅。

　　2.人為的惡意攻擊

　　這是計算機網(wǎng)絡(luò )所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類(lèi)。

　　此類(lèi)攻擊又分為以下兩種：一種是主動(dòng)攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò )正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機密信息。

　　這兩種攻擊均可對計算機網(wǎng)絡(luò )造成極大的危害，并導致機密數據的泄漏。

　　3.網(wǎng)絡(luò )軟件的漏洞和后門(mén)

　　網(wǎng)絡(luò )軟件不可能是百分之百的無(wú)缺陷和漏洞的。

　　然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標，黑客攻入網(wǎng)絡(luò )內部就是因為安全措施不完善所招致的苦果。

　　另外，軟件的后門(mén)都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦后門(mén)洞開(kāi)，其造成的后果將不堪設想。

　　三、網(wǎng)絡(luò )安全的技術(shù)對策

　　一個(gè)不設防的網(wǎng)絡(luò )，一旦遭到惡意攻擊，將意味著(zhù)一場(chǎng)災難。

　　居安思危、未雨綢繆，克服脆弱、抑制威脅，防患于未然。

　　網(wǎng)絡(luò )安全是對付威脅、克服脆弱性、保護網(wǎng)絡(luò )資源的所有措施的總和。

　　針對來(lái)自不同方面的安全威脅，需要采取不同的安全對策。

　　從法律、制度、管理和技術(shù)上采取綜合措施，以便相互補充，達到較好的安全效果。

　　技術(shù)措施是最直接的屏障，目前常用而有效的網(wǎng)絡(luò )安全技術(shù)對策有如下幾種：

　　1.加密

　　加密的主要目的是防止信息的非授權泄露。

　　網(wǎng)絡(luò )加密常用的方法有鏈路加密、端點(diǎn)加密和節點(diǎn)加密三種。

　　鏈路加密的目的是保護網(wǎng)絡(luò )節點(diǎn)之間的鏈路信息安全;端點(diǎn)加密的目的是對源端用戶(hù)到目的端用戶(hù)的數據提供保護;節點(diǎn)加密的目的是對源節點(diǎn)到目的節點(diǎn)之間的傳輸鏈路提供保護。

　　信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施的，加密算法有許多種，如果按照收發(fā)雙方密鑰是否相同來(lái)分類(lèi)，可分為常規密碼算法和公鑰密碼算法，但在實(shí)際應用中人們通常將常規密碼算法和公鑰密碼算法結合在一起使用，這樣不僅可以實(shí)現加密，還可以實(shí)現數字簽名、鑒別等功能，有效地對抗截收、非法訪(fǎng)問(wèn)、破壞信息的完整性、冒充、抵賴(lài)、重演等威脅。

　　因此，密碼技術(shù)是信息網(wǎng)絡(luò )安全的核心技術(shù)。

　　2.數字簽名

　　數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴(lài)、冒充和篡改等安全問(wèn)題。

　　數字簽名采用一種數據交換協(xié)議，使得收發(fā)數據的雙方能夠滿(mǎn)足兩個(gè)條件：接受方能夠鑒別發(fā)送方宣稱(chēng)的身份;發(fā)送方以后不能否認他發(fā)送過(guò)數據這一事實(shí)。

　　數據簽名一般采用不對稱(chēng)加密技術(shù)，發(fā)送方對整個(gè)明文進(jìn)行加密變換，得到一個(gè)值，將其作為簽名。

　　接收者使用發(fā)送者的公開(kāi)密鑰簽名進(jìn)行解密運算，如其結果為明文，則簽名有效，證明對方省份是真實(shí)的。

　　3.鑒別

　　鑒別的目的是驗明用戶(hù)或信息的正身。

　　對實(shí)體聲稱(chēng)的身份進(jìn)行唯一地識別，以便驗證其訪(fǎng)問(wèn)請求、或保證信息來(lái)自或到達指定的源目的。

　　鑒別技術(shù)可以驗證消息的完整性，有效地對抗冒充、非法訪(fǎng)問(wèn)、重演等威脅。

　　按照鑒別對象的不同，鑒別技術(shù)可以分為消息源鑒別和通信雙方相互鑒別。

　　鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪(fǎng)問(wèn)控制機制等鑒別用戶(hù)身份，防治冒充、非法訪(fǎng)問(wèn);當今最佳的鑒別方法是數字簽名。

　　利用單方數字簽名，可實(shí)現消息源鑒別，訪(fǎng)問(wèn)身份鑒別、消息完整性鑒別。

　　4.訪(fǎng)問(wèn)控制

　　訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )安全防范和保護的主要對策，它的目的是防止非法訪(fǎng)問(wèn)，訪(fǎng)問(wèn)控制是采取各種措施保證系統資源不被非法訪(fǎng)問(wèn)和使用。

　　一般采用基于資源的集中式控制、基于源和目的地址的過(guò)濾管理、以及網(wǎng)絡(luò )簽證技術(shù)等技術(shù)實(shí)現。

　　5.防火墻

　　防火墻技術(shù)是建立在現代通信網(wǎng)絡(luò )技術(shù)和信息安全技術(shù)基礎上的應用性安全技術(shù)，越來(lái)越多地應用于專(zhuān)用網(wǎng)絡(luò )與公用網(wǎng)絡(luò )的互連環(huán)境中。

　　在大型網(wǎng)絡(luò )系統與因特網(wǎng)互連的第一道屏障就是防火墻。

　　防火墻通過(guò)控制和監測網(wǎng)絡(luò )之間的信息交換和訪(fǎng)問(wèn)行為來(lái)實(shí)現對網(wǎng)絡(luò )安全的有效管理，其基本功能為：過(guò)濾進(jìn)、出網(wǎng)絡(luò )的數據;管理進(jìn)出網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為：封堵某些禁止行為;記錄通過(guò)防火墻的信息內容和活動(dòng);對網(wǎng)絡(luò )攻擊進(jìn)行檢測和和告警。

　　隨著(zhù)計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò )將日益成為工業(yè)、農業(yè)和國防等方面的重要信息交換手段，滲透到社會(huì )生活的各個(gè)領(lǐng)域。

　　因此，認清網(wǎng)絡(luò )的脆弱性和潛在威脅，采取強有力的安全對策，對于保障網(wǎng)絡(luò )的安全性將變得十分重要。

　　參考文獻：

　　[1]張世永.網(wǎng)絡(luò )安全原理與應用.北京：科學(xué)出版社，2003.

　　[2]崔國平.國防信息安全戰略.北京：金城出版社，2000.

　　網(wǎng)絡(luò )安全風(fēng)險評估的仿真與應用【2】

　　摘 要 伴隨著(zhù)互聯(lián)網(wǎng)的普及和應用，網(wǎng)絡(luò )安全問(wèn)題日益突出，在采用防火墻技術(shù)、入侵檢測和防御技術(shù)、代理技術(shù)、信息加密技術(shù)、物理防范技術(shù)等一系列網(wǎng)絡(luò )安全防范技術(shù)的同時(shí)，人們開(kāi)始采用網(wǎng)絡(luò )安全風(fēng)險評估的方法輔助解決網(wǎng)絡(luò )安全問(wèn)題。

　　為提高網(wǎng)絡(luò )安全風(fēng)險評估準確率，本文提出了一種基于支持向量機的評價(jià)模型，通過(guò)仿真分析，得出采用該模型進(jìn)行網(wǎng)絡(luò )安全風(fēng)險評估具有一定可行性，值得應用。

　　關(guān)鍵詞 網(wǎng)絡(luò )安全 安全風(fēng)險評估 仿真

　　當今時(shí)代是信息化時(shí)代，計算機網(wǎng)絡(luò )應用已經(jīng)深入到了社會(huì )各個(gè)領(lǐng)域，給人們的工作和生活帶來(lái)了空前便利。

　　然而與此同時(shí)，網(wǎng)絡(luò )安全問(wèn)題也日益突出，如何通過(guò)一系列切實(shí)有效的安全技術(shù)和策略保證網(wǎng)絡(luò )運行安全已成為我們面臨的重要課題。

　　網(wǎng)絡(luò )安全風(fēng)險評估技術(shù)很早前就受到了信息安全領(lǐng)域的關(guān)注，但發(fā)展至今，該技術(shù)尚需要依賴(lài)人員能力和經(jīng)驗，缺乏自主性和實(shí)效性，評價(jià)準確率較低。

　　本文主要以支持向量機為基礎，構建一個(gè)網(wǎng)絡(luò )安全風(fēng)險評估模型，將定性分析與定量分析相結合，通過(guò)綜合數值化分析方法對網(wǎng)絡(luò )安全風(fēng)險進(jìn)行全面評價(jià)，以期為網(wǎng)絡(luò )安全管理提供依據。

　　1網(wǎng)絡(luò )安全風(fēng)險評估模型的構建

　　網(wǎng)絡(luò )安全風(fēng)險模型質(zhì)量好壞直接影響評估結果，本文主要基于支持向量機，結合具有良好泛化能力和學(xué)習能力的組合核函數，將信息系統樣本各指標特征映射到一個(gè)高維特征空間，構成最優(yōu)分類(lèi)超平面，構造網(wǎng)絡(luò )信息安全風(fēng)險二分類(lèi)評估模型。

　　組合核函數表示為：

　　K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

　　Kpoly為多項式核函數，KRBF為徑向基核函數。

　　組合核函數能夠突出測試點(diǎn)附近局部信息，也保留了離測試點(diǎn)較遠處的全局信息。

　　本文主要選用具有良好外推能力的d=2，d=4階多項式。

　　另外一方面，當%l=1時(shí)，核函數局部性不強，當%l=0.5時(shí)，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進(jìn)行測試。

　　2仿真研究

　　2.1數據集與實(shí)驗平臺

　　構建網(wǎng)絡(luò )安全風(fēng)險評估模型前，需要在深入了解并歸納網(wǎng)絡(luò )安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網(wǎng)絡(luò )應對風(fēng)險水平的評估指標，根據網(wǎng)絡(luò )安全三要素，確定資產(chǎn)(通信服務(wù)、計算服務(wù)、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網(wǎng)絡(luò )服務(wù)中斷)和脆弱性(威脅模型、設計規范、實(shí)現、操作和配置的脆弱性)為網(wǎng)絡(luò )安全風(fēng)險評估指標，從網(wǎng)絡(luò )層、傳輸層和物理層三方面出發(fā)，構建一個(gè)完整的網(wǎng)絡(luò )安全評估指標體系。

　　將選取的網(wǎng)絡(luò )安全風(fēng)險評價(jià)指標劃分為可忽略的風(fēng)險、可接受的風(fēng)險、邊緣風(fēng)險、不可接受的分享、災變風(fēng)險五個(gè)等級。

　　在此之后，建立網(wǎng)絡(luò )評估等級，將網(wǎng)絡(luò )安全風(fēng)險評估等級定為安全、基本安全、不安全、很不安全四個(gè)等級。

　　確定評價(jià)指標后，構造樣本數據集，即訓練樣本集和測試樣本集。

　　為驗證模型可行性和有效性，基于之前研究中所使用的有效的網(wǎng)絡(luò )實(shí)驗環(huán)境，構建實(shí)驗網(wǎng)絡(luò )，在實(shí)驗網(wǎng)絡(luò )中設計網(wǎng)絡(luò )中各節點(diǎn)的訪(fǎng)問(wèn)控制策略，節點(diǎn)A為外網(wǎng)中的一臺PC機，它代表的是目標網(wǎng)絡(luò )外的訪(fǎng)問(wèn)用戶(hù);節點(diǎn)B網(wǎng)絡(luò )信息服務(wù)器，其WWW服務(wù)對A開(kāi)放，Rsh服務(wù)可監聽(tīng)本地WWW服務(wù)的數據流;節點(diǎn)C為數據庫，節點(diǎn)B的WWW服務(wù)可向該數據庫讀寫(xiě)信息;節點(diǎn)D為管理機，可通過(guò)Rsh服務(wù)和Snmp服務(wù)管理節點(diǎn)B;節點(diǎn)E為個(gè)人計算機，管理員可向節點(diǎn)C的數據庫讀寫(xiě)信息。

　　2.2網(wǎng)絡(luò )安全風(fēng)險評估模型實(shí)現

　　將數據分為訓練數據和測試數據，如果每一個(gè)訓練數據可表示為1?6維的行向量，即：

　　Rm=[Am，0，Am，1，Am，2，……Am，15]

　　那么，整個(gè)網(wǎng)絡(luò )信息系統安全性能指標矩陣為：

　　Rm=[R0，R1，R2，……Rm-1]

　　將這M個(gè)項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類(lèi)評估模型進(jìn)行訓練，作非線(xiàn)性變換使訓練數據成為線(xiàn)性可分，通過(guò)訓練學(xué)習，尋找支持向量，構造最優(yōu)分類(lèi)超平面，得出模型決策函數，然后設定最小誤差精度和最大訓練次數，當訓練精度小于預定目標誤差，或是網(wǎng)絡(luò )迭代次數達到最大迭代次數，停止訓練，保存網(wǎng)絡(luò )。

　　采用主成分析法即“指標數據標準化――計算協(xié)方差矩陣――求解特征值和U值――確定主成分”對指標進(jìn)行降維處理，消除冗余信息，提取較少綜合指標盡可能多地將原有指標信息反映出來(lái)，提高評價(jià)準確率。

　　實(shí)際操作中可取前5個(gè)主成分代表16個(gè)指標體系。

　　在訓練好的模型中輸入經(jīng)過(guò)主成分析法處理后的指標值，對待評估的網(wǎng)絡(luò )進(jìn)行評估，根據網(wǎng)絡(luò )輸出等級值來(lái)判斷網(wǎng)絡(luò )安全分等級。

　　2.3實(shí)驗結果與分析

　　利用訓練后的網(wǎng)絡(luò )對測試樣本集進(jìn)行測試后，得到測試結果。

　　結果表明，基于支持向量機的二分類(lèi)評估模型能正確地對網(wǎng)絡(luò )的安全等級進(jìn)行評價(jià)，評估準確率高達100%，結果與實(shí)際更貼近，評估結果完全可以接受。

　　但即便如此，在日常管理中，仍需加強維護，采取適當網(wǎng)絡(luò )安全技術(shù)防范黑客攻擊和病毒侵犯，保證網(wǎng)絡(luò )正常運行。

　　3結語(yǔ)

　　總之，網(wǎng)絡(luò )安全風(fēng)險評估技術(shù)是解決網(wǎng)絡(luò )安全風(fēng)險問(wèn)題行之有效的措施之一。

　　本文主要提出了一種基于支持向量機的二分類(lèi)評估模型，通過(guò)仿真分析，得到該模型在網(wǎng)絡(luò )安全風(fēng)險的量化評估中具有一定可行性和有效性的結論。

　　未來(lái)，我們還應考慮已有安全措施和安全管理因素等對網(wǎng)絡(luò )安全的影響，通過(guò)利用網(wǎng)絡(luò )數據，進(jìn)一步改進(jìn)評估模型和相關(guān)評估方法，以達到完善評估效果的目的。

　　參考文獻

　　[1] 步山岳，張有東.計算機安全技[M].高等教育出版社，2005，10.

　　[2] 張千里.網(wǎng)絡(luò )安全新技術(shù)[M].人民郵電出版社，2003.

　　[3] 馮登國.網(wǎng)絡(luò )安全原理與技術(shù)[M].科技出版社，2003，9.

【網(wǎng)絡(luò )安全風(fēng)險與對策】相關(guān)文章：

10-06

10-09

10-02

10-05

09-30

10-09

10-09

10-09

10-08