網絡安全風險與對策

　網絡安全風險與對策1

　摘要：要使網絡信息在壹個良好的環境中運行，加強網絡信息安全至關重要。

　必須全方位解析網絡的脆弱性和威脅，才能構建網絡的安全措施，確保網絡安全。

　本文在介紹網絡安全的脆弱性與威脅的基礎上，簡述了網絡安全的技術對策。

　關鍵詞：網絡安全脆弱性威脅技術對策

　壹、網絡安全的脆弱性

　計算機網絡尤其是互連網絡，由於網絡分布的廣域性、網絡體系結構的開放性、信息資源的***享性和通信信道的***用性，使計算機網絡存在很多嚴重的脆弱性。

　1.不設防的網絡有許多個漏洞和後門

　系統漏洞為病毒留後門，計算機的多個端口、各種軟件，甚至有些安全產品都存在著或多或少的漏洞和後門，安全得不到可靠保證。

　2.電磁輻射

　電磁輻射在網絡中表現出兩方面的脆弱性：壹方面，網絡周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的幹擾輻射源;另壹方面，網絡的終端、打印機或其他電子設備在工作時產生的電磁輻射泄露，可以將這些數據(包括在終端屏幕上顯示的數據)接收下來，並且重新恢復。

　4.串音幹擾

　串音的作用是產生傳輸噪音，噪音能對網絡上傳輸的信號造成嚴重的破壞。

　5.硬件故障

　硬件故障可造成軟件系統中斷和通信中斷，帶來重大損害。

　6.軟件故障

　通信網絡軟件包含有大量的管理系統安全的部分，如果這些軟件程序受到損害，則該系統就是壹個極不安全的網絡系統。

　7.人為因素

　系統內部人員盜竊機密數據或破壞系統資源，甚至直接破壞網絡系統。

　8.網絡規模

　網絡規模越大，其安全的脆弱性越大。

　9.網絡物理環境

　這種脆弱性來源於自然災害。

　10.通信系統

　壹般的通信系統，獲得存取權是相對簡單的，並且機會總是存在的。

　壹旦信息從生成和存儲的設備發送出去，它將成為對方分析研究的內容。

　二、網絡安全的威脅

　網絡所面臨的威脅大體可分為兩種：壹是對網絡中信息的威脅;二是對網絡中設備的威脅。

　造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內部攻擊和外部攻擊等，歸結起來，主要有三種：

　1.人為的無意失誤

　如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人***享等都會對網絡安全帶來威脅。

　2.人為的惡意攻擊

　這是計算機網絡所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬於這壹類。

　此類攻擊又分為以下兩種：壹種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另壹類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

　這兩種攻擊均可對計算機網絡造成極大的危害，並導致機密數據的泄漏。

　3.網絡軟件的漏洞和後門

　網絡軟件不可能是百分之百的`無缺陷和漏洞的。

　然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，黑客攻入網絡內部就是因為安全措施不完善所招致的苦果。

　另外，軟件的後門都是軟件公司的設計編程人員為了自便而設置的，壹般不為外人所知，但壹旦後門洞開，其造成的後果將不堪設想。

　三、網絡安全的技術對策

　壹個不設防的網絡，壹旦遭到惡意攻擊，將意味著壹場災難。

　居安思危、未雨綢繆，克服脆弱、抑制威脅，防患於未然。

　網絡安全是對付威脅、克服脆弱性、保護網絡資源的所有措施的總和。

　針對來自不同方面的安全威脅，需要采取不同的安全對策。

　從法律、制度、管理和技術上采取綜合措施，以便相互補充，達到較好的安全效果。

　技術措施是最直接的屏障，目前常用而有效的網絡安全技術對策有如下幾種：

　1.加密

　加密的主要目的是防止信息的非授權泄露。

　網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。

　鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

　信息加密過程是由形形色色的加密算法來具體實施的，加密算法有許多種，如果按照收發雙方密鑰是否相同來分類，可分為常規密碼算法和公鑰密碼算法，但在實際應用中人們通常將常規密碼算法和公鑰密碼算法結合在壹起使用，這樣不僅可以實現加密，還可以實現數字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

　因此，密碼技術是信息網絡安全的核心技術。

　2.數字簽名

　數字簽名機制提供了壹種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

　數字簽名采用壹種數據交換協議，使得收發數據的雙方能夠滿足兩個條件：接受方能夠鑒別發送方宣稱的身份;發送方以後不能否認他發送過數據這壹事實。

　數據簽名壹般采用不對稱加密技術，發送方對整個明文進行加密變換，得到壹個值，將其作為簽名。

　接收者使用發送者的公開密鑰簽名進行解密運算，如其結果為明文，則簽名有效，證明對方省份是真實的。

　3.鑒別

　鑒別的目的是驗明用戶或信息的正身。

　對實體聲稱的身份進行唯壹地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

　鑒別技術可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

　按照鑒別對象的不同，鑒別技術可以分為消息源鑒別和通信雙方相互鑒別。

　鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當今最佳的鑒別方法是數字簽名。

　利用單方數字簽名，可實現消息源鑒別，訪問身份鑒別、消息完整性鑒別。

　4.訪問控制

　訪問控制是網絡安全防範和保護的主要對策，它的目的是防止非法訪問，訪問控制是采取各種措施保證系統資源不被非法訪問和使用。

　壹般采用基於資源的集中式控制、基於源和目的地址的過濾管理、以及網絡簽證技術等技術實現。

　5.防火墻

　防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網絡與公用網絡的互連環境中。

　在大型網絡系統與因特網互連的第壹道屏障就是防火墻。

　防火墻通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，其基本功能為：過濾進、出網絡的數據;管理進出網絡的訪問行為：封堵某些禁止行為;記錄通過防火墻的信息內容和活動;對網絡攻擊進行檢測和和告警。

　隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。

　因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全對策，對於保障網絡的安全性將變得十分重要。

　參考文獻：

　[1]張世永.網絡安全原理與應用.北京：科學出版社，2003.

　[2]崔國平.國防信息安全戰略.北京：金城出版社，2000.

　 網絡安全風險評估的仿真與應用2

　摘要伴隨著互聯網的普及和應用，網絡安全問題日益突出，在采用防火墻技術、入侵檢測和防禦技術、代理技術、信息加密技術、物理防範技術等壹系列網絡安全防範技術的同時，人們開始采用網絡安全風險評估的方法輔助解決網絡安全問題。

　為提高網絡安全風險評估準確率，本文提出了壹種基於支持向量機的評價模型，通過仿真分析，得出采用該模型進行網絡安全風險評估具有壹定可行性，值得應用。

　關鍵詞網絡安全安全風險評估仿真

　當今時代是信息化時代，計算機網絡應用已經深入到了社會各個領域，給人們的工作和生活帶來了空前便利。

　然而與此同時，網絡安全問題也日益突出，如何通過壹系列切實有效的安全技術和策略保證網絡運行安全已成為我們面臨的重要課題。

　網絡安全風險評估技術很早前就受到了信息安全領域的關註，但發展至今，該技術尚需要依賴人員能力和經驗，缺乏自主性和實效性，評價準確率較低。

　本文主要以支持向量機為基礎，構建壹個網絡安全風險評估模型，將定性分析與定量分析相結合，通過綜合數值化分析方法對網絡安全風險進行全面評價，以期為網絡安全管理提供依據。

　1網絡安全風險評估模型的構建

　網絡安全風險模型質量好壞直接影響評估結果，本文主要基於支持向量機，結合具有良好泛化能力和學習能力的組合核函數，將信息系統樣本各指標特征映射到壹個高維特征空間，構成最優分類超平面，構造網絡信息安全風險二分類評估模型。

　組合核函數表示為：

　K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

　Kpoly為多項式核函數，KRBF為徑向基核函數。

　組合核函數能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。

　本文主要選用具有良好外推能力的d=2，d=4階多項式。

　另外壹方面，當%l=1時，核函數局部性不強，當%l=0.5時，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進行測試。

　2仿真研究

　2.1數據集與實驗平臺

　構建網絡安全風險評估模型前，需要在深入了解並歸納網絡安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網絡應對風險水平的評估指標，根據網絡安全三要素，確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網絡服務中斷)和脆弱性(威脅模型、設計規範、實現、操作和配置的脆弱性)為網絡安全風險評估指標，從網絡層、傳輸層和物理層三方面出發，構建壹個完整的網絡安全評估指標體系。

　將選取的網絡安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。

　在此之後，建立網絡評估等級，將網絡安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。

　確定評價指標後，構造樣本數據集，即訓練樣本集和測試樣本集。

　為驗證模型可行性和有效性，基於之前研究中所使用的有效的網絡實驗環境，構建實驗網絡，在實驗網絡中設計網絡中各節點的訪問控制策略，節點A為外網中的壹臺PC機，它代表的是目標網絡外的訪問用戶;節點B網絡信息服務器，其WWW服務對A開放，Rsh服務可監聽本地WWW服務的數據流;節點C為數據庫，節點B的WWW服務可向該數據庫讀寫信息;節點D為管理機，可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機，管理員可向節點C的數據庫讀寫信息。

　2.2網絡安全風險評估模型實現

　將數據分為訓練數據和測試數據，如果每壹個訓練數據可表示為1?6維的行向量，即：

　Rm=[Am，0，Am，1，Am，2，……Am，15]

　那麽，整個網絡信息系統安全性能指標矩陣為：

　Rm=[R0，R1，R2，……Rm-1]

　將這M個項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類評估模型進行訓練，作非線性變換使訓練數據成為線性可分，通過訓練學習，尋找支持向量，構造最優分類超平面，得出模型決策函數，然後設定最小誤差精度和最大訓練次數，當訓練精度小於預定目標誤差，或是網絡叠代次數達到最大叠代次數，停止訓練，保存網絡。

　采用主成分析法即“指標數據標準化――計算協方差矩陣――求解特征值和U值――確定主成分”對指標進行降維處理，消除冗余信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價準確率。

　實際操作中可取前5個主成分代表16個指標體系。

　在訓練好的模型中輸入經過主成分析法處理後的指標值，對待評估的網絡進行評估，根據網絡輸出等級值來判斷網絡安全分等級。

　2.3實驗結果與分析

　利用訓練後的網絡對測試樣本集進行測試後，得到測試結果。

　結果表明，基於支持向量機的二分類評估模型能正確地對網絡的安全等級進行評價，評估準確率高達100%，結果與實際更貼近，評估結果完全可以接受。

　但即便如此，在日常管理中，仍需加強維護，采取適當網絡安全技術防範黑客攻擊和病毒侵犯，保證網絡正常運行。

　3結語

　總之，網絡安全風險評估技術是解決網絡安全風險問題行之有效的措施之壹。

　本文主要提出了壹種基於支持向量機的二分類評估模型，通過仿真分析，得到該模型在網絡安全風險的量化評估中具有壹定可行性和有效性的結論。

　未來，我們還應考慮已有安全措施和安全管理因素等對網絡安全的影響，通過利用網絡數據，進壹步改進評估模型和相關評估方法，以達到完善評估效果的目的。

　參考文獻