網(wǎng)絡(luò)安全風(fēng)險與對策

　　網(wǎng)絡(luò)安全風(fēng)險與對策【1】

　　摘要：要使網(wǎng)絡(luò)信息在一個良好的環(huán)境中運行，加強網(wǎng)絡(luò)信息安全至關(guān)重要。

　　必須全方位解析網(wǎng)絡(luò)的脆弱性和威脅，才能構(gòu)建網(wǎng)絡(luò)的安全措施，確保網(wǎng)絡(luò)安全。

　　本文在介紹網(wǎng)絡(luò)安全的脆弱性與威脅的基礎(chǔ)上，簡述了網(wǎng)絡(luò)安全的技術(shù)對策。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全 脆弱性 威脅 技術(shù)對策

　　一、網(wǎng)絡(luò)安全的脆弱性

　　計算機網(wǎng)絡(luò)尤其是互連網(wǎng)絡(luò)，由于網(wǎng)絡(luò)分布的廣域性、網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性、信息資源的共享性和通信信道的共用性，使計算機網(wǎng)絡(luò)存在很多嚴(yán)重的脆弱性。

　　1.不設(shè)防的網(wǎng)絡(luò)有許多個漏洞和后門

　　系統(tǒng)漏洞為病毒留后門，計算機的多個端口、各種軟件，甚至有些安全產(chǎn)品都存在著或多或少的漏洞和后門，安全得不到可靠保證。

　　2.電磁輻射

　　電磁輻射在網(wǎng)絡(luò)中表現(xiàn)出兩方面的脆弱性：一方面，網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源;另一方面，網(wǎng)絡(luò)的終端、打印機或其他電子設(shè)備在工作時產(chǎn)生的電磁輻射泄露，可以將這些數(shù)據(jù)(包括在終端屏幕上顯示的數(shù)據(jù))接收下來，并且重新恢復(fù)。

　　4.串音干擾

　　串音的作用是產(chǎn)生傳輸噪音，噪音能對網(wǎng)絡(luò)上傳輸?shù)男盘栐斐蓢?yán)重的破壞。

　　5.硬件故障

　　硬件故障可造成軟件系統(tǒng)中斷和通信中斷，帶來重大損害。

　　6.軟件故障

　　通信網(wǎng)絡(luò)軟件包含有大量的管理系統(tǒng)安全的部分，如果這些軟件程序受到損害，則該系統(tǒng)就是一個極不安全的網(wǎng)絡(luò)系統(tǒng)。

　　7.人為因素

　　系統(tǒng)內(nèi)部人員盜竊機密數(shù)據(jù)或破壞系統(tǒng)資源，甚至直接破壞網(wǎng)絡(luò)系統(tǒng)。

　　8.網(wǎng)絡(luò)規(guī)模

　　網(wǎng)絡(luò)規(guī)模越大，其安全的脆弱性越大。

　　9.網(wǎng)絡(luò)物理環(huán)境

　　這種脆弱性來源于自然災(zāi)害。

　　10.通信系統(tǒng)

　　一般的通信系統(tǒng)，獲得存取權(quán)是相對簡單的，并且機會總是存在的。

　　一旦信息從生成和存儲的設(shè)備發(fā)送出去，它將成為對方分析研究的內(nèi)容。

　　二、網(wǎng)絡(luò)安全的威脅

　　網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。

　　造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內(nèi)部攻擊和外部攻擊等，歸結(jié)起來，主要有三種：

　　1.人為的無意失誤

　　如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。

　　2.人為的惡意攻擊

　　這是計算機網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。

　　此類攻擊又分為以下兩種：一種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

　　這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。

　　3.網(wǎng)絡(luò)軟件的漏洞和后門

　　網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和漏洞的。

　　然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)，黑客攻入網(wǎng)絡(luò)內(nèi)部就是因為安全措施不完善所招致的苦果。

　　另外，軟件的后門都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦后門洞開，其造成的后果將不堪設(shè)想。

　　三、網(wǎng)絡(luò)安全的技術(shù)對策

　　一個不設(shè)防的網(wǎng)絡(luò)，一旦遭到惡意攻擊，將意味著一場災(zāi)難。

　　居安思危、未雨綢繆，克服脆弱、抑制威脅，防患于未然。

　　網(wǎng)絡(luò)安全是對付威脅、克服脆弱性、保護網(wǎng)絡(luò)資源的所有措施的總和。

　　針對來自不同方面的安全威脅，需要采取不同的安全對策。

　　從法律、制度、管理和技術(shù)上采取綜合措施，以便相互補充，達到較好的安全效果。

　　技術(shù)措施是最直接的屏障，目前常用而有效的網(wǎng)絡(luò)安全技術(shù)對策有如下幾種：

　　1.加密

　　加密的主要目的是防止信息的非授權(quán)泄露。

　　網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。

　　鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

　　信息加密過程是由形形色色的加密算法來具體實施的，加密算法有許多種，如果按照收發(fā)雙方密鑰是否相同來分類，可分為常規(guī)密碼算法和公鑰密碼算法，但在實際應(yīng)用中人們通常將常規(guī)密碼算法和公鑰密碼算法結(jié)合在一起使用，這樣不僅可以實現(xiàn)加密，還可以實現(xiàn)數(shù)字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

　　因此，密碼技術(shù)是信息網(wǎng)絡(luò)安全的核心技術(shù)。

　　2.數(shù)字簽名

　　數(shù)字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

　　數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議，使得收發(fā)數(shù)據(jù)的雙方能夠滿足兩個條件：接受方能夠鑒別發(fā)送方宣稱的身份;發(fā)送方以后不能否認(rèn)他發(fā)送過數(shù)據(jù)這一事實。

　　數(shù)據(jù)簽名一般采用不對稱加密技術(shù)，發(fā)送方對整個明文進行加密變換，得到一個值，將其作為簽名。

　　接收者使用發(fā)送者的公開密鑰簽名進行解密運算，如其結(jié)果為明文，則簽名有效，證明對方省份是真實的。

　　3.鑒別

　　鑒別的目的是驗明用戶或信息的正身。

　　對實體聲稱的身份進行唯一地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

　　鑒別技術(shù)可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

　　按照鑒別對象的不同，鑒別技術(shù)可以分為消息源鑒別和通信雙方相互鑒別。

　　鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當(dāng)今最佳的鑒別方法是數(shù)字簽名。

　　利用單方數(shù)字簽名，可實現(xiàn)消息源鑒別，訪問身份鑒別、消息完整性鑒別。

　　4.訪問控制

　　訪問控制是網(wǎng)絡(luò)安全防范和保護的主要對策，它的目的是防止非法訪問，訪問控制是采取各種措施保證系統(tǒng)資源不被非法訪問和使用。

　　一般采用基于資源的集中式控制、基于源和目的地址的過濾管理、以及網(wǎng)絡(luò)簽證技術(shù)等技術(shù)實現(xiàn)。

　　5.防火墻

　　防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境中。

　　在大型網(wǎng)絡(luò)系統(tǒng)與因特網(wǎng)互連的第一道屏障就是防火墻。

　　防火墻通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理，其基本功能為：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù);管理進出網(wǎng)絡(luò)的訪問行為：封堵某些禁止行為;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊進行檢測和和告警。

　　隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。

　　因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全對策，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。

　　參考文獻：

　　[1]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用.北京：科學(xué)出版社，2003.

　　[2]崔國平.國防信息安全戰(zhàn)略.北京：金城出版社，2000.

　　網(wǎng)絡(luò)安全風(fēng)險評估的仿真與應(yīng)用【2】

　　摘 要 伴隨著互聯(lián)網(wǎng)的普及和應(yīng)用，網(wǎng)絡(luò)安全問題日益突出，在采用防火墻技術(shù)、入侵檢測和防御技術(shù)、代理技術(shù)、信息加密技術(shù)、物理防范技術(shù)等一系列網(wǎng)絡(luò)安全防范技術(shù)的同時，人們開始采用網(wǎng)絡(luò)安全風(fēng)險評估的方法輔助解決網(wǎng)絡(luò)安全問題。

　　為提高網(wǎng)絡(luò)安全風(fēng)險評估準(zhǔn)確率，本文提出了一種基于支持向量機的評價模型，通過仿真分析，得出采用該模型進行網(wǎng)絡(luò)安全風(fēng)險評估具有一定可行性，值得應(yīng)用。

　　關(guān)鍵詞 網(wǎng)絡(luò)安全 安全風(fēng)險評估 仿真

　　當(dāng)今時代是信息化時代，計算機網(wǎng)絡(luò)應(yīng)用已經(jīng)深入到了社會各個領(lǐng)域，給人們的工作和生活帶來了空前便利。

　　然而與此同時，網(wǎng)絡(luò)安全問題也日益突出，如何通過一系列切實有效的安全技術(shù)和策略保證網(wǎng)絡(luò)運行安全已成為我們面臨的重要課題。

　　網(wǎng)絡(luò)安全風(fēng)險評估技術(shù)很早前就受到了信息安全領(lǐng)域的關(guān)注，但發(fā)展至今，該技術(shù)尚需要依賴人員能力和經(jīng)驗，缺乏自主性和實效性，評價準(zhǔn)確率較低。

　　本文主要以支持向量機為基礎(chǔ)，構(gòu)建一個網(wǎng)絡(luò)安全風(fēng)險評估模型，將定性分析與定量分析相結(jié)合，通過綜合數(shù)值化分析方法對網(wǎng)絡(luò)安全風(fēng)險進行全面評價，以期為網(wǎng)絡(luò)安全管理提供依據(jù)。

　　1網(wǎng)絡(luò)安全風(fēng)險評估模型的構(gòu)建

　　網(wǎng)絡(luò)安全風(fēng)險模型質(zhì)量好壞直接影響評估結(jié)果，本文主要基于支持向量機，結(jié)合具有良好泛化能力和學(xué)習(xí)能力的組合核函數(shù)，將信息系統(tǒng)樣本各指標(biāo)特征映射到一個高維特征空間，構(gòu)成最優(yōu)分類超平面，構(gòu)造網(wǎng)絡(luò)信息安全風(fēng)險二分類評估模型。

　　組合核函數(shù)表示為：

　　K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

　　Kpoly為多項式核函數(shù)，KRBF為徑向基核函數(shù)。

　　組合核函數(shù)能夠突出測試點附近局部信息，也保留了離測試點較遠(yuǎn)處的全局信息。

　　本文主要選用具有良好外推能力的d=2，d=4階多項式。

　　另外一方面，當(dāng)%l=1時，核函數(shù)局部性不強，當(dāng)%l=0.5時，核函數(shù)則具有較強局部性，所以組合核函數(shù)選用支持向量機d=2，%l=0.5的組合進行測試。

　　2仿真研究

　　2.1數(shù)據(jù)集與實驗平臺

　　構(gòu)建網(wǎng)絡(luò)安全風(fēng)險評估模型前，需要在深入了解并歸納網(wǎng)絡(luò)安全影響因素的基礎(chǔ)上，確定能夠反映評估對象安全屬性、反映網(wǎng)絡(luò)應(yīng)對風(fēng)險水平的評估指標(biāo)，根據(jù)網(wǎng)絡(luò)安全三要素，確定資產(chǎn)(通信服務(wù)、計算服務(wù)、信息和數(shù)據(jù)、設(shè)備和設(shè)施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉(zhuǎn)移、信息泄露、信息丟失、網(wǎng)絡(luò)服務(wù)中斷)和脆弱性(威脅模型、設(shè)計規(guī)范、實現(xiàn)、操作和配置的脆弱性)為網(wǎng)絡(luò)安全風(fēng)險評估指標(biāo)，從網(wǎng)絡(luò)層、傳輸層和物理層三方面出發(fā)，構(gòu)建一個完整的網(wǎng)絡(luò)安全評估指標(biāo)體系。

　　將選取的網(wǎng)絡(luò)安全風(fēng)險評價指標(biāo)劃分為可忽略的風(fēng)險、可接受的風(fēng)險、邊緣風(fēng)險、不可接受的分享、災(zāi)變風(fēng)險五個等級。

　　在此之后，建立網(wǎng)絡(luò)評估等級，將網(wǎng)絡(luò)安全風(fēng)險評估等級定為安全、基本安全、不安全、很不安全四個等級。

　　確定評價指標(biāo)后，構(gòu)造樣本數(shù)據(jù)集，即訓(xùn)練樣本集和測試樣本集。

　　為驗證模型可行性和有效性，基于之前研究中所使用的有效的網(wǎng)絡(luò)實驗環(huán)境，構(gòu)建實驗網(wǎng)絡(luò)，在實驗網(wǎng)絡(luò)中設(shè)計網(wǎng)絡(luò)中各節(jié)點的訪問控制策略，節(jié)點A為外網(wǎng)中的一臺PC機，它代表的是目標(biāo)網(wǎng)絡(luò)外的訪問用戶;節(jié)點B網(wǎng)絡(luò)信息服務(wù)器，其WWW服務(wù)對A開放，Rsh服務(wù)可監(jiān)聽本地WWW服務(wù)的數(shù)據(jù)流;節(jié)點C為數(shù)據(jù)庫，節(jié)點B的WWW服務(wù)可向該數(shù)據(jù)庫讀寫信息;節(jié)點D為管理機，可通過Rsh服務(wù)和Snmp服務(wù)管理節(jié)點B;節(jié)點E為個人計算機，管理員可向節(jié)點C的數(shù)據(jù)庫讀寫信息。

　　2.2網(wǎng)絡(luò)安全風(fēng)險評估模型實現(xiàn)

　　將數(shù)據(jù)分為訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)，如果每一個訓(xùn)練數(shù)據(jù)可表示為1?6維的行向量，即：

　　Rm=[Am，0，Am，1，Am，2，……Am，15]

　　那么，整個網(wǎng)絡(luò)信息系統(tǒng)安全性能指標(biāo)矩陣為：

　　Rm=[R0，R1，R2，……Rm-1]

　　將這M個項目安全性能指標(biāo)矩陣作為訓(xùn)練數(shù)據(jù)集，利用訓(xùn)練數(shù)據(jù)集對二分類評估模型進行訓(xùn)練，作非線性變換使訓(xùn)練數(shù)據(jù)成為線性可分，通過訓(xùn)練學(xué)習(xí)，尋找支持向量，構(gòu)造最優(yōu)分類超平面，得出模型決策函數(shù)，然后設(shè)定最小誤差精度和最大訓(xùn)練次數(shù)，當(dāng)訓(xùn)練精度小于預(yù)定目標(biāo)誤差，或是網(wǎng)絡(luò)迭代次數(shù)達到最大迭代次數(shù)，停止訓(xùn)練，保存網(wǎng)絡(luò)。

　　采用主成分析法即“指標(biāo)數(shù)據(jù)標(biāo)準(zhǔn)化――計算協(xié)方差矩陣――求解特征值和U值――確定主成分”對指標(biāo)進行降維處理，消除冗余信息，提取較少綜合指標(biāo)盡可能多地將原有指標(biāo)信息反映出來，提高評價準(zhǔn)確率。

　　實際操作中可取前5個主成分代表16個指標(biāo)體系。

　　在訓(xùn)練好的模型中輸入經(jīng)過主成分析法處理后的指標(biāo)值，對待評估的網(wǎng)絡(luò)進行評估，根據(jù)網(wǎng)絡(luò)輸出等級值來判斷網(wǎng)絡(luò)安全分等級。

　　2.3實驗結(jié)果與分析

　　利用訓(xùn)練后的網(wǎng)絡(luò)對測試樣本集進行測試后，得到測試結(jié)果。

　　結(jié)果表明，基于支持向量機的二分類評估模型能正確地對網(wǎng)絡(luò)的安全等級進行評價，評估準(zhǔn)確率高達100%，結(jié)果與實際更貼近，評估結(jié)果完全可以接受。

　　但即便如此，在日常管理中，仍需加強維護，采取適當(dāng)網(wǎng)絡(luò)安全技術(shù)防范黑客攻擊和病毒侵犯，保證網(wǎng)絡(luò)正常運行。

　　3結(jié)語

　　總之，網(wǎng)絡(luò)安全風(fēng)險評估技術(shù)是解決網(wǎng)絡(luò)安全風(fēng)險問題行之有效的措施之一。

　　本文主要提出了一種基于支持向量機的二分類評估模型，通過仿真分析，得到該模型在網(wǎng)絡(luò)安全風(fēng)險的量化評估中具有一定可行性和有效性的結(jié)論。

　　未來，我們還應(yīng)考慮已有安全措施和安全管理因素等對網(wǎng)絡(luò)安全的影響，通過利用網(wǎng)絡(luò)數(shù)據(jù)，進一步改進評估模型和相關(guān)評估方法，以達到完善評估效果的目的。

　　參考文獻

　　[1] 步山岳，張有東.計算機安全技[M].高等教育出版社，2005，10.

　　[2] 張千里.網(wǎng)絡(luò)安全新技術(shù)[M].人民郵電出版社，2003.

　　[3] 馮登國.網(wǎng)絡(luò)安全原理與技術(shù)[M].科技出版社，2003，9.

【網(wǎng)絡(luò)安全風(fēng)險與對策】相關(guān)文章：

10-06

10-09

10-02

10-05

09-30

10-09

10-09

10-09

10-08