網絡安全是指網絡系統的硬件和軟件以及系統中的數據受到保護,不會由於意外或惡意的原因而被破壞、更改或泄露,系統連續、可靠、正常地運行,不會中斷網絡服務。網絡安全本質上是網絡上的信息安全。從廣義上講,所有與網絡上信息的機密性、完整性、可用性、真實性和可控性相關的技術和理論都是網絡安全的研究領域。網絡安全是壹門涉及計算機科學、網絡技術、通信技術、密碼學技術、信息安全技術、應用數學、數論、信息論等學科的綜合性學科。
網絡安全的具體含義會隨著“角度”的變化而變化。比如從用戶角度(個人、企業等。),他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,以防止他人或對手利用竊聽、冒充、篡改、否認等手段侵犯用戶的利益和隱私。
網絡安全應具備以下四個特征:
機密性:信息不被未授權的用戶、實體或流程披露或使用的特征。
完整性:未經授權不能更改數據的特征。也就是說,信息在存儲或傳輸過程中保持不變、不被破壞和丟失。
可用性:授權實體可以訪問並根據需要使用的功能。即需要時是否能訪問到所需的信息。比如網絡環境下的拒絕服務,破壞網絡和相關系統的正常運行,都是對可用性的攻擊;
可控性:控制信息傳播和內容的能力。
從網絡運營和管理者的角度來看,他們希望對本地網絡信息的訪問、讀寫進行保護和控制,以避免“陷阱門”、病毒、非法訪問、拒絕服務和非法占用控制網絡資源等威脅,阻止和防禦網絡黑客的攻擊。對於安全部門來說,他們希望過濾和阻止非法的、有害的或涉及國家機密的信息,從而避免機密信息的泄露,避免對社會造成危害,給國家造成重大損失。從社會教育和意識形態的角度來看,網絡上不健康的內容會阻礙社會穩定和人類發展,必須加以控制。
隨著計算機技術的飛速發展,在計算機上處理的業務也從單壹的基於計算機的數學運算、文件處理、內部業務處理和基於簡單內網的辦公自動化發展到基於復雜的內網、外網和互聯網的企業級計算機處理系統,信息共享和業務處理遍布全球。在系統處理能力提高的同時,系統的連接能力也在不斷提高。然而,隨著連接信息和流通能力的提高,基於網絡連接的安全問題日益突出。整體網絡安全主要表現在以下幾個方面:網絡物理安全、網絡拓撲安全、網絡系統安全、應用系統安全和網絡管理安全。
所以電腦安全問題要防患於未然,就像家家戶戶的防火防盜壹樣。甚至在妳沒有想到自己會成為目標的時候,威脅就已經出現了。壹旦發生,往往會措手不及,造成巨大損失。
2.網絡安全分析
2.1.物理安全分析
網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中,由於網絡系統屬於弱電工程,所以耐壓值很低。因此,在網絡工程的設計和建設中,必須優先考慮保護人員和網絡設備免受電、火和雷電的危害;考慮布線系統與照明線、電源線、通訊線、暖氣管、冷熱風管的距離;考慮布線系統和絕緣線、裸線、接地、焊接的安全性;必須建壹個防雷系統,不僅要考慮建築物的防雷,還要考慮計算機等弱電耐壓設備的防雷。壹般來說,人身安全的風險主要包括地震、洪水、火災等環境事故;停電;人為錯誤或失誤;設備被盜或毀壞;電磁幹擾;線路攔截;高可用性硬件;雙機多冗余設計;機房環境及報警系統、安全意識等。,所以盡量避免網絡的物理安全風險。
2.2.網絡結構的安全性分析
網絡拓撲的設計也直接影響到網絡系統的安全性。如果內外網互通,內網的機器安全就會受到威脅,也會影響到同壹網絡上的很多其他系統。通過網絡傳播也會影響其他連接到Internet/intranet的網絡;影響還可能涉及法律和金融等安全敏感領域。因此,我們有必要隔離公共服務器(WEB、DNS、EMAIL等)。)從外部網絡和其他內部業務網絡,以避免網絡結構信息的泄露。同時對外網的服務請求進行過濾,只允許正常通信的數據包到達對應的主機,其他請求的服務在到達主機之前都要被拒絕。
2.3.系統的安全性分析
所謂系統安全,是指整個網絡操作系統和網絡硬件平臺是否可靠可信。目前恐怕還沒有絕對安全的操作系統可供選擇。無論是Microsfot Fot的Windows NT,還是其他任何商用UNIX操作系統,其開發者都必須有自己的後門。因此,我們可以得出以下結論:不存在完全安全的操作系統。不同的用戶應該從不同的方面對自己的網絡進行詳細的分析,盡可能選擇安全性最高的操作系統。因此,我們不僅要選擇盡可能可靠的操作系統和硬件平臺,還要安全地配置操作系統。而且壹定要加強登錄過程中(尤其是到達服務器主機之前)的認證,保證用戶的合法性;其次,應該嚴格限制操作者的操作權限,將他所完成的操作限制在最低限度。
2.4.應用系統的安全性分析
應用系統的安全與具體應用相關,涉及面很廣。應用系統的安全性是動態的,不斷變化的。應用安全還涉及到信息安全,信息安全包括很多方面。
-應用系統的安全性是動態的,不斷變化的。
應用程序安全涉及許多方面。對於目前互聯網上廣泛使用的電子郵件系統,有二十多種解決方案,如sendmail、Netscape Messaging Server、Software.Com郵政。Office、Lotus Notes、Exchange Server和SUN CIMS。其安全手段涉及LDAP、DES、RSA等方式。應用系統在不斷發展,應用類型在不斷增加。在應用系統的安全性方面,主要考慮盡可能建立壹個安全的系統平臺,通過專業的安全工具不斷發現和修復漏洞,提高系統的安全性。
-應用安全涉及信息和數據的安全。
信息安全涉及機密信息的泄露、非授權訪問、破壞信息完整性、偽造、破壞系統可用性等等。在壹些網絡系統中,涉及到大量的機密信息。如果壹些重要信息被竊取或破壞,其經濟、社會和政治影響將非常嚴重。因此,用戶在使用計算機時必須進行身份認證,重要信息的交流必須授權,傳輸必須加密。采用多級訪問控制和權限控制手段,實現數據的安全保護;采用加密技術,確保在互聯網上傳輸的信息(包括管理員密碼和賬戶、上傳的信息等)的機密性和完整性。).
2.5.管理的安全風險分析
管理是網絡安全最重要的部分。權責不清、安全管理制度不完善、缺乏可操作性,都可能造成管理安全風險。當網絡受到其他安全攻擊或威脅(如內部人員非法操作)時,無法實時檢測、監控、報告和預警。同時,在事故發生時,不能提供跟蹤線索和破解黑客攻擊案件的依據,即缺乏網絡的可控性和可審計性。這就需要我們對網站的訪問活動進行多層次的記錄,及時發現非法入侵。
要建立全新的網絡安全機制,必須深入了解網絡,並提供直接的解決方案。所以,最可行的辦法就是把健全的管理制度和嚴格的管理結合起來。確保網絡的安全運行,使其成為壹個具有良好的安全性、可擴展性和可管理性的信息網絡成為首要任務。壹旦上述安全風險成為現實,對全網造成的損失難以估計。因此,網絡安全建設是校園網建設的重要組成部分。
3.網絡安全措施
3 .1.安全技術手段
-物理措施:比如保護關鍵網絡設備(如交換機、大型計算機),制定嚴格的網絡安全規章制度,采取防輻射、防火、安裝不間斷電源(UPS)等措施。
-訪問控制:嚴格認證和控制用戶對網絡資源的訪問。例如,用戶認證、密碼加密、更新和認證、設置用戶對目錄和文件的訪問、控制網絡設備配置權限等等。
-數據加密:加密是保護數據安全的重要手段。加密的作用是保證信息被截獲後無法被讀取。預防計算機網絡病毒,安裝網絡防病毒系統。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計。近年來,圍繞網絡安全問題提出了許多解決方案,如數據加密技術和防火墻技術。數據加密是對網絡中傳輸的數據進行加密,到達目的地後再解密還原成原始數據,以防止非法用戶截取後竊取信息。防火墻技術是通過隔離和限制對網絡的訪問來控制對網絡的訪問權限,從而保護網絡資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制。
3 .2.安全意識
擁有網絡安全意識是保證網絡安全的重要前提。很多網絡安全事件都與安全意識的缺失有關。
4.網絡安全案例
4 .1.概觀
隨著計算機技術的飛速發展,信息網絡已經成為社會發展的重要保障。信息網絡涉及政府、軍事、文化、教育等多個領域。其中,存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業和經濟信息、銀行資金劃撥、股票和證券、能源資源數據、科研數據等重要信息。很多都是敏感信息,甚至是國家機密。於是必然會引來來自世界各地的各種人為攻擊(如信息泄露、信息竊取、數據篡改、數據刪除、計算機病毒等。).同時,網絡實體還要經受洪水、火災、地震、電磁輻射等考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為壹個普遍的國際問題。根據聯邦調查局的報告,計算機犯罪是最大的商業犯罪類型之壹,平均每起犯罪金額為4.5萬美元,每年造成的經濟損失為50億美元。
計算機犯罪多為瞬間性、廣範圍性、專業性、時空分離性。通常情況下,計算機犯罪分子很難留下犯罪證據,這極大地刺激了計算機高科技犯罪的發生。
隨著計算機犯罪率的急劇上升,各國的計算機系統,尤其是網絡系統正面臨著巨大的威脅,成為嚴重的社會問題之壹。
4 .2.在國外
1996年初,根據舊金山計算機安全協會和聯邦調查局聯合調查的統計,在過去的12個月中,53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統被非法使用。五角大樓的壹個研究小組稱,美國壹年遭受的攻擊多達25萬次。
1994結尾,俄羅斯黑客弗拉基米爾?萊文和他的合夥人從聖彼得堡壹家小型軟件公司的聯網計算機上對美國的花旗銀行發動了壹系列攻擊,並通過電子轉賬從花旗銀行在紐約的主機計算機上竊取了11萬美元。
1996 8月17日,美國司法部網絡服務器被黑,美國司法部主頁被改成“美國非正義部”,司法部長照片被改成阿道夫?希特勒把司法部的徽章換成了納粹黨徽,還加了壹張色情少女的照片,作為所謂司法部長的助手。此外,還有很多攻擊美國司法政策的文字。
1996 9月18日,黑客再次訪問了中情局的網絡服務器,並將其主頁從“中情局”改為“中央蠢局”。
1996 12.29,黑客入侵了美國空軍的萬維網網站,並任意更改了其主頁,其中關於空軍的介紹和新聞發布的內容被壹段黃色短片所取代,並聲稱美國政府所說的壹切都是謊言。迫使美國國防部關閉了80多個其他軍事網站。
4 .3.國內的
1996年2月,剛剛開通的Chinanet被攻擊成功。
1997年初,北京某ISP被成功黑客入侵,在清華大學“清華,水木”BBS站“黑客入侵與解密”討論區發布了壹篇如何免費上網的文章。
4月23日,1997,美國得克薩斯州查德哈德森西南的貝爾互聯網公司的壹個PPP用戶入侵了中國互聯網信息中心的服務器,破譯了系統的關機賬號,把中國互聯網信息中心的主頁改成了壹個微笑的骷髏頭。
1996開頭,中網被某大學研究生攻擊。1996年秋天,北京的壹家ISP與用戶發生了壹些沖突,用戶攻擊了ISP的服務器,導致服務中斷了幾個小時。
5.網絡安全的類型
操作系統安全是指確保信息處理和傳輸系統的安全。其重點是保證系統的正常運行,避免因系統的崩潰和損壞而造成系統所存儲、處理和傳輸的信息的損壞和丟失,避免因電磁泄漏而造成信息泄露、幹擾和他人的幹擾。
網絡系統信息的安全。包括用戶密碼認證、用戶訪問權限控制、數據訪問權限和模式控制、安全審計、安全問題跟蹤、計算機病毒預防和數據加密。
網絡信息傳播的安全性意味著信息傳播後果的安全性。包括信息過濾等。它側重於預防和控制非法和有害信息傳播的後果。避免大量信息在公網上失控自由傳播。
網絡信息內容的安全性。它側重於保護信息的機密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、欺騙等對合法用戶有害的行為。本質上是保護用戶的利益和隱私。
6.網絡安全功能
網絡安全應具備以下四個特征:
機密性:信息不被未授權的用戶、實體或流程披露或使用的特征。
完整性:未經授權不能更改數據的特征。也就是說,信息在存儲或傳輸過程中保持不變、不被破壞和丟失。
可用性:授權實體可以訪問並根據需要使用的功能。即需要時是否能訪問到所需的信息。比如網絡環境下的拒絕服務,破壞網絡和相關系統的正常運行,都是對可用性的攻擊;
可控性:控制信息傳播和內容的能力。
7.威脅網絡安全的因素
自然災害和事故;計算機犯罪;人為行為,如使用不當、安全意識差;黑客行為:由於黑客的入侵或入侵,如非法訪問、計算機病毒拒絕服務、非法連接等。;內部泄漏;外部泄漏;信息丟失;電子間諜,如信息流分析、信息竊取等。信息戰;網絡協議的缺陷,如TCP/IP協議的安全問題等。
8.網絡安全的結構層次
8.1物理安全
自然災害(如雷電、地震、火災等。)、物理損壞(如硬盤損壞、設備使用壽命到期等。)、設備故障(如停電、電磁幹擾等。),意外。解決方案有:防護措施、安全系統、數據備份等。
電磁泄露、信息泄露、幹擾他人、被他人幹擾、借機進入(如進入安檢流程後中途離開)、痕跡泄露(如密碼、鑰匙存放不當)。解決方案有:防輻射、屏幕密碼、隱藏銷毀等。
操作錯誤(如刪除文件、格式化硬盤、刪除行等。),偶然遺漏。解決方案有:狀態檢測、報警確認、緊急恢復等。
機房環境的安全性。特點是:可控性強,損耗大。解決方案:加強機房管理、運行管理、安全組織和人員管理。
8.2安全控制
微機操作系統的安全控制。比如用戶開機時鍵入的密碼(有些微機主板有“萬能密碼”),文件的讀寫訪問控制(比如Unix系統的文件屬性控制機制)。主要用於保護存儲在硬盤上的信息和數據。
網絡接口模塊的安全控制。來自其他機器的網絡通信過程在網絡環境下被安全地控制。主要包括:身份認證、客戶權限的設置和判別、審計日誌等。
網絡互聯設備的安全控制。監控整個子網內所有主機的傳輸信息和運行狀態。主要通過網管軟件或者路由器配置。
8.3安保服務
對等認證服務
訪問控制服務
數據安全服務
數據完整性服務
數據源點認證服務
禁止拒絕服務
8.4安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
9.網絡加密方法
鏈接加密模式
節點到節點加密模式
端到端加密模式
10.TCP/IP協議的安全問題
TCP/IP協議數據流以明文傳輸。
源地址欺騙或IP欺騙。
源路由欺騙。
路由信息協議攻擊(RIP攻擊)。
認證攻擊。
TCP序列號欺騙。
TCP SYN泛洪攻擊,簡稱SYN攻擊。
容易被欺騙。
11網絡安全工具
Scanner:它是壹個自動檢測遠程或本地主機安全弱點的程序。壹臺好的掃描儀相當於1000個密碼的價值。
工作原理:TCP端口掃描器,選擇TCP/IP端口和服務(如FTP),記錄目標的回答,可以收集到目標主機的有用信息(是否可以匿名登錄,提供壹些服務)。掃描器告訴我們什麽:它可以發現目標主機的內部弱點,這些弱點可能是摧毀目標主機的關鍵因素。系統管理員使用掃描儀,這將有助於加強系統的安全性。黑客利用它,會不利於網絡的安全。
掃描儀的屬性:1,找機器或者網絡。2.壹旦找到壹臺機器,您就可以找到在這臺機器上運行的服務。3.測試哪些服務存在漏洞。
目前比較流行的掃描器有:1,NSS網絡安全掃描器,2,stroke超優化的TCP端口檢測程序,可以記錄指定機器的所有開放端口。3.撒旦安全管理員的網絡分析工具。賈卡爾.XSCAN .
12.黑客常用的信息收集工具
信息收集是突破網絡系統的第壹步。黑客可以使用以下工具來收集他們需要的信息:
SNMP協議,用於查找不安全路由器的路由表,從而了解目標組織網絡拓撲的內部細節。
TraceRoute程序,獲取到達目標主機的網絡和路由器數量。
Whois協議是壹種信息服務,可以提供所有DNS域和負責每個域的系統管理員的數據。(但這些數據往往是過時的)。
DNS服務器,可以訪問主機的IP地址表及其對應的主機名。
Finger協議可以提供特定主機上用戶的詳細信息(註冊名稱、電話號碼、上次註冊時間等。).
Ping實用程序,可用於確定指定主機的位置,並確定它是否可達。通過在掃描程序中使用這個簡單的工具,您可以Ping網絡上每個可能的主機地址,這樣您就可以構建壹個實際駐留在網絡上的主機列表。
13.互聯網防火墻
Internet防火墻就是這樣壹個系統(或壹組系統),它可以增強壹個組織內部網絡的安全性。
防火墻系統決定哪些內部服務可以被外界訪問;哪些外部人員可以訪問哪些內部服務,哪些外部服務可以由內部人員訪問。要使防火墻有效,所有進出互聯網的信息都必須通過防火墻並接受防火墻的檢查。防火墻只允許授權的數據通過,防火墻本身必須不被滲透。
13.1互聯網防火墻與安全策略的關系
防火墻不僅是路由器、堡壘主機或任何提供網絡安全的設備的組合,也是安全策略的壹部分。
安全策略建立了全方位的防禦體系,甚至包括:告知用戶應盡的責任、網絡接入、服務訪問、本地和遠程用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施、員工培訓等。所有可能被攻擊的地方都必須標上
同樣的安全級別。
只設置了防火墻系統,沒有全面的安全策略,那麽防火墻是沒有用的。
13.2防火墻的優勢
互聯網防火墻負責管理互聯網和組織內部網絡之間的訪問。當沒有防火墻時,內部網絡上的每個節點都暴露在互聯網上的其他主機面前,極易受到攻擊。這意味著內網的安全性是由每臺主機的牢固程度決定的,安全性等於最弱的系統。
13.3互聯網防火墻的作用
Internet防火墻允許網絡管理員定義壹個中心“瓶頸”,以防止非法用戶(如黑客和網絡破壞者)進入內部網絡。禁止存在安全漏洞的服務進出網絡,抵禦來自各種路由的攻擊。Internet防火墻可以簡化安全管理,網絡安全是在防火墻系統上得到加強的,而不是分布在內部網絡的所有主機上。
在防火墻上監控網絡的安全性並產生警報是很方便的。註意:對於壹個連接到互聯網的內部網絡,重要的問題不是網絡會不會被攻擊,而是什麽時候被攻擊。誰在進攻?網絡管理員必須審核並記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警並查看定期記錄,防火墻就沒用了。在這種情況下,網絡管理員永遠不會知道防火墻是否受到攻擊。
Internet防火墻可以用作部署NAT(網絡地址轉換器)的邏輯地址。因此,使用防火墻可以緩解地址空間不足的問題,消除組織更換ISP時重新尋址的麻煩。
互聯網防火墻是審計和記錄互聯網使用情況的最佳場所。網絡管理員可以在這裏向管理部門提供互聯網連接的費用,找出潛在帶寬瓶頸的位置,並根據組織的會計模型提供部門級計費。
中國網絡安全聯盟/中國領先的IT信息和安全信息門戶
14.互聯網安全風險主要體現在以下幾個方面:
1.互聯網是壹個開放的網絡,沒有控制機制。黑客經常入侵網絡中的計算機系統,或竊取機密數據和竊取特權,或破壞重要數據,或使系統功能不能充分發揮直至癱瘓。
2.互聯網數據傳輸基於TCP/IP通信協議,這些協議缺乏防止信息在傳輸過程中被竊取的安全措施。
3.互聯網上的大多數通信服務都是由Unix操作系統支持的,Unix操作系統中明顯的安全漏洞會直接影響安全服務。
4.在計算機上存儲、傳輸和處理的電子信息沒有像傳統的郵件通信那樣進行信封保護、簽名和蓋章。信息來源和去向是否真實,內容是否被改動,是否被泄露等。,由應用層支持的服務協議中的君子協定來維護。
電子郵件有被閱讀、誤發和偽造的可能。使用電子郵件傳遞重要的機密信息是非常危險的。
6.計算機病毒通過互聯網的傳播給網民帶來了巨大的危害。病毒會使計算機和計算機網絡系統癱瘓,並丟失數據和文件。在網絡上傳播的病毒可以通過公開的匿名FTP文件傳播,也可以通過郵件和郵件附件傳播。