前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全的技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:網(wǎng)絡(luò)安全;攻擊;防御;解決方案
一、網(wǎng)絡(luò)安全概述
計算機網(wǎng)絡(luò)安全是指通過采用各種技術(shù)和管理措施,使網(wǎng)絡(luò)系統(tǒng)正常運行,從而確保在一個網(wǎng)絡(luò)環(huán)境里,網(wǎng)絡(luò)信息數(shù)據(jù)的可用性、完整性和保密性受到保護。
網(wǎng)絡(luò)安全問題實際上包含兩方面的內(nèi)容:一是網(wǎng)絡(luò)的系統(tǒng)安全;二是網(wǎng)絡(luò)的信息安全,而保護網(wǎng)絡(luò)的信息安全是最終目的。要做到計算機網(wǎng)絡(luò)信息數(shù)據(jù)的真正安全,應達到以下五個方面的目標:1)保密性:信息不泄露給非授權(quán)用戶、實體或過程,或供其利用的特性;2)完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性;3)可用性:可被授權(quán)實體訪問并按需求使用的特性;4)可控性:對信息的傳播及內(nèi)容具有控制能力;5)不可否認性:保證信息行為人不能否認其信息行為。
如何保證個人、企業(yè)及國家的機密信息不被黑客和間諜竊取,如何保證計算機網(wǎng)絡(luò)不間斷地工作,是國家和企業(yè)信息化建設(shè)必須考慮的重要問題。作為網(wǎng)絡(luò)管理人員,首先要充分了解相關(guān)的網(wǎng)絡(luò)攻擊技術(shù),才能夠更好地防護自身的信息系統(tǒng),以便制定較合理的網(wǎng)絡(luò)安全解決方案。
二、常見的網(wǎng)絡(luò)安全攻擊技術(shù)
網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。目前常用的網(wǎng)絡(luò)攻擊技術(shù)手段有:社會工程學、網(wǎng)絡(luò)監(jiān)聽、暴力攻擊、漏洞攻擊、拒絕服務(wù)攻擊等。
(一)社會工程學
社會工程學是一種攻擊行為,攻擊者利用人際關(guān)系的互動性發(fā)出攻擊:通常攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料時,就會通過電子郵件或者電話對所需要的資料進行騙取,再利用這些資料獲取主機的權(quán)限以達到其目的。通俗地講,社會工程學是一種利用人性的弱點,如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
(二)網(wǎng)絡(luò)監(jiān)聽
網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式,在這種模式下,主機能接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?,而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端,而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(如Sniffer等)就可輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。
(三)漏洞攻擊
有些安全漏洞是操作系統(tǒng)或應用軟件與生俱來的,如緩沖區(qū)溢出攻擊,由于非常多系統(tǒng)在不檢查程式和緩沖之間變化的情況,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別設(shè)置一串準備用作攻擊的字符,他甚至能訪問根目錄提升用戶,從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。
(四)拒絕服務(wù)攻擊
拒絕服務(wù)攻擊即攻擊者想辦法讓目標機器停止提供服務(wù),是黑客常用的攻擊手段之一。這種攻擊由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,如ICMP協(xié)議經(jīng)常被用于發(fā)動拒絕服務(wù)攻擊,它的具體做法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包,幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶,從而使其無法對正常的服務(wù)請求進行處理,而導致網(wǎng)站無法進入、網(wǎng)站響應速度大大降低或服務(wù)器癱瘓。
三、常見的網(wǎng)絡(luò)安全防御技術(shù)
面對嚴峻的網(wǎng)絡(luò)安全形勢,針對不斷出現(xiàn)的網(wǎng)絡(luò)攻擊手段,研究相應的網(wǎng)絡(luò)安全防御技術(shù)顯得越來越重要。常見的網(wǎng)絡(luò)安全防御技術(shù)主要包括信息加密、防火墻、入侵檢測技術(shù)、漏洞掃描和數(shù)據(jù)備份等。
(一)信息加密技術(shù)
信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。目前世界上最流行的加密算法有兩大類:一種是常規(guī)算法,其特征是收信方和發(fā)信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有:美國的DES及其各種變形;另外一種是公鑰加密算法,其特征是收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導解密密鑰。比較著名的公鑰密碼算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墻
防火墻是一項協(xié)助確保信息安全的設(shè)備,會依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。它對兩個網(wǎng)絡(luò)之間的通信進行控制,通過強制實施統(tǒng)一的安全策略,限制外界用戶對內(nèi)部網(wǎng)絡(luò)的訪問,管理內(nèi)部用戶訪問外部網(wǎng)絡(luò),防止對重要信息資源的非法存取和訪問,以達到保護內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的目的。
(三)入侵檢測技術(shù)
入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動,采用誤用檢測(Misuse Detection)或異常檢測(Anomaly Detection)的方式,發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為,為防范入侵行為提供有效的手段。按照數(shù)據(jù)源所處的位置不同,入侵檢測技術(shù)(IDS)可以分為兩大類:基于主機的IDS和基于網(wǎng)絡(luò)的IDS。
(四)漏洞掃描
漏洞掃描是對系統(tǒng)進行全方位的掃描,檢查當前的系統(tǒng)是否有漏洞,如果有漏洞則需要馬上進行修復,否則系統(tǒng)很容易受到網(wǎng)絡(luò)的傷害甚至被黑客借助于系統(tǒng)的漏洞進行遠程控制,所以漏洞掃描對于保護系統(tǒng)安全是必不可少的。
(五)數(shù)據(jù)備份
數(shù)據(jù)備份是容災的基礎(chǔ),是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失,而將全部或部分數(shù)據(jù)集合從應用主機的硬盤或陣列復制到其它的存儲介質(zhì)的過程。隨著技術(shù)的不斷發(fā)展,數(shù)據(jù)的海量增加,常用的技術(shù)有網(wǎng)絡(luò)備份,它通過專業(yè)的數(shù)據(jù)存儲管理軟件結(jié)合相應的硬件和存儲設(shè)備來實現(xiàn)。
四、網(wǎng)絡(luò)安全解決方案
網(wǎng)絡(luò)安全是一項系統(tǒng)工程,隨著環(huán)境的改變和技術(shù)的發(fā)展,網(wǎng)絡(luò)系統(tǒng)的安全狀況呈動態(tài)變化,應綜合運用多種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將信息加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等綜合起來。但一份好的網(wǎng)絡(luò)安全解決方案,不僅僅要考慮到技術(shù),還要考慮到策略和管理。應協(xié)調(diào)三者的關(guān)系,技術(shù)是關(guān)鍵,策略是核心,管理是保證,其最終目的是根據(jù)目標網(wǎng)絡(luò)系統(tǒng)的具體需求,有針對性地解決其面臨的安全問題。
參考文獻:
1.1無線網(wǎng)絡(luò)概念及特點
無線網(wǎng)絡(luò)主要是指采用無線通信技術(shù)實現(xiàn)的一種網(wǎng)絡(luò)形式,無線網(wǎng)絡(luò)不僅包括遠程無線連接網(wǎng)絡(luò),還包括近距離無線連接射頻技術(shù),涉及內(nèi)容較廣,相比較傳統(tǒng)有線網(wǎng)絡(luò),最大的不同在于傳輸媒介的差別,有線網(wǎng)絡(luò)需要線纜的支持。無線網(wǎng)絡(luò)特點主要表現(xiàn)在以下幾個方面:首先,靈活性,不受線纜的約束,能夠隨意增加和配置工作站;其次,低成本,無線網(wǎng)絡(luò)不需要進行大量工程布線,方便施工,還能夠有效節(jié)省線路維護成本;最后,移動性,能夠有效突破傳統(tǒng)有線網(wǎng)絡(luò)時間與空間的限制,且具有易安裝等特點。隨著社會經(jīng)濟不斷發(fā)展,未來,無線網(wǎng)絡(luò)將會不斷突破自身,擁有更為廣闊的市場。
1.2無線網(wǎng)絡(luò)安全隱患分析
現(xiàn)階段,通過對無線網(wǎng)絡(luò)運行實際情況調(diào)查發(fā)現(xiàn),無線網(wǎng)絡(luò)存在很多安全隱患,誠然,無線網(wǎng)絡(luò)各類安全問題各有不同,但是,就本質(zhì)上來看,各類安全問題本質(zhì)具有相似之處,具體表現(xiàn)如下:
1.2.1非授權(quán)接入問題
非授權(quán)接入問題常見于部分用戶針對無線網(wǎng)絡(luò)設(shè)置的安全防護等級較低,或者根本沒有設(shè)置防護屏障,給其他人留下了可乘之機,導致其他用戶可以未經(jīng)授權(quán),利用攻擊工具進入到具有開放性特征的無線網(wǎng)絡(luò)當中。非授權(quán)終端的入侵會占用原有網(wǎng)絡(luò)流量,導致上網(wǎng)速度變慢,在很大程度上影響網(wǎng)絡(luò)利用效率,嚴重情況下,還會出現(xiàn)未經(jīng)授權(quán)終端密碼被篡改,給原用戶造成不必要的損失。
1.2.2鏈路泄密問題
鏈路泄密主要是黑客或者某些非法組織通過對無線網(wǎng)絡(luò)的非法接入或者通過釣魚軟件等途徑,盜取客戶重要信息(如銀行卡、網(wǎng)站賬號及密碼等),而其中涉及到用戶切身利益的信息,被盜取之后,將會對用戶造成不同程度的損失,另外,網(wǎng)絡(luò)黑客還會通過非法操作對用戶其他方面造成損害,由此可見,鏈路泄密問題對無線網(wǎng)絡(luò)安全造成的影響較大。
1.2.3數(shù)據(jù)安全問題
目前,多數(shù)用戶選擇無線網(wǎng)絡(luò),主要是無線網(wǎng)絡(luò)操作方便,且信號具有開放性,能夠有效突破傳統(tǒng)有線網(wǎng)絡(luò)時間及空間的限制,但是,事物兩面性,也給用戶帶來了一定麻煩,正因無線網(wǎng)絡(luò)具備良好的開放性,給一些攻擊者創(chuàng)造了大量惡意侵入的機會。非法用戶能夠通過一些輔助工具對網(wǎng)絡(luò)設(shè)置的密碼進行破解,最終達到冒用用戶合法身份的目的,并進行非法操作,除此之外,用戶在運用無線網(wǎng)絡(luò)進行信息傳輸過程中,也會遭受非法用戶的竊取和盜用,常常造成用戶之間的信息被破壞或者盜取,對用戶日常工作、生活造成不良影響。綜上所述,無線網(wǎng)絡(luò)在使用過程中,影響無線網(wǎng)絡(luò)安全性,存在一些安全問題,不利于自身價值的發(fā)揮,為此,加強對無線網(wǎng)絡(luò)安全的防范顯得尤為必要。
2無線網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)分析
眾所周知,無線網(wǎng)絡(luò)具備開放性和接入方便等特征,導致其存在一定安全隱患。隨著科學技術(shù)快速發(fā)展,無線網(wǎng)絡(luò)安全防范技術(shù)層出不窮,可以通過以下幾種關(guān)鍵技術(shù)加以防范:
2.1采取加密技術(shù),有效控制接入
接入控制主要是指針對接入某無線網(wǎng)絡(luò)的所有物理終端進行有效監(jiān)督和控制,是避免非法接入的有效措施,在具體操作時,用戶可以采取加密技術(shù),設(shè)置一個嚴格的密碼安全驗證機制,只有通過密碼驗證,才能夠使用網(wǎng)絡(luò),從源頭上避免非法接入等問題的出現(xiàn),另外,還需要對部分授權(quán)接入對象設(shè)置授權(quán)范圍及可訪問資源類型等,將未經(jīng)授權(quán)的用戶直接拒之門外,實現(xiàn)對接入用戶身份的驗證,提高無線網(wǎng)絡(luò)使用安全性,嚴禁非法用戶的惡意侵入。通過這種方式,不僅能夠提高無線網(wǎng)絡(luò)安全、可靠性,還能夠保障用戶個人信息安全,提高網(wǎng)絡(luò)資源利用率。
2.2利用物理地址過濾技術(shù),實現(xiàn)鏈路保護
鏈路問題作為影響無線網(wǎng)絡(luò)安全性的主要原因之一,在鏈路保護過程中,可以通過提高無線網(wǎng)絡(luò)安全的設(shè)置級別來實現(xiàn)這一目標。例如:現(xiàn)階段,可以鼓勵和引導用戶使用無線加密協(xié)議、物理地址過濾技術(shù)等對信息進行加密處理。協(xié)議作為對無線網(wǎng)絡(luò)信息加密的重要標準,通過該協(xié)議,不僅能夠有效組織非法用戶的入侵,還能夠保護整條鏈路。另外,相比較有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)具備移動性特點,能夠隨時進行接入和斷開,而此環(huán)節(jié)也是保護無線網(wǎng)絡(luò)的最佳時機,可以通過對鏈路進行針對性調(diào)整和優(yōu)化,加大對未經(jīng)授權(quán)接入點的監(jiān)控力度,及時發(fā)現(xiàn)問題,并采取有效措施,最大限度避免安全問題的出現(xiàn)。不僅如此,針對鏈路的保護,需要注意的是無線網(wǎng)絡(luò)服務(wù)的地域設(shè)置,要綜合考慮多方面因素,不僅要覆蓋到區(qū)域內(nèi)所有用戶、滿足網(wǎng)絡(luò)資源需求,還需要保障區(qū)域內(nèi)用戶個人信息的安全,只有這樣,才能夠提高無線網(wǎng)絡(luò)使用安全性,為人們工作、學習提供更多便利。
2.3通過服務(wù)區(qū)標識符匹配技術(shù),保障數(shù)據(jù)信息安全
信息時代背景下,數(shù)據(jù)信息安全與否對企業(yè)、個人等均具有較大影響,為了能夠保障無線網(wǎng)絡(luò)數(shù)據(jù)信息安全性,可以通過對網(wǎng)絡(luò)動態(tài)主機配置協(xié)議禁用實現(xiàn)這一目標,與此同時,還需要對無線設(shè)備設(shè)置如網(wǎng)關(guān)、IP地址等屏障,實現(xiàn)對無線網(wǎng)絡(luò)的雙重保障。在無線網(wǎng)絡(luò)運行過程中,需要對訪問列表進行監(jiān)控,一律拒絕未經(jīng)授權(quán)的用戶,并定期清楚一些非法用戶,避免給非法分子留下可乘之機。在無線網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中,可以通過服務(wù)區(qū)標識符匹配技術(shù),促使無線網(wǎng)絡(luò)當中的授權(quán)用戶與設(shè)備之間具有獨立性,通過這種方式和方法,不僅能夠提高無線網(wǎng)絡(luò)安全度,還能夠避免個人信息的泄漏,促使無線網(wǎng)絡(luò)發(fā)揮積極作用。
3結(jié)論
關(guān)鍵詞:虛擬網(wǎng)絡(luò)技術(shù);計算機網(wǎng)絡(luò);安全;應用
對于計算機網(wǎng)絡(luò)安全而言,其在目前的工作中受到了社會各界的重視。隨著用戶的增多和覆蓋深度的增加,計算機網(wǎng)絡(luò)安全,已經(jīng)直接影響到了用戶的日常生活和工作,且在很多方面都產(chǎn)生了較大的影響。目前的用戶對計算機網(wǎng)絡(luò)安全非常關(guān)注,虛擬網(wǎng)絡(luò)技術(shù)的應用雖然是主流手段,但具體的效果還是要看實際情況。因此,日后應進一步加深關(guān)于虛擬網(wǎng)絡(luò)技術(shù)的應用研究。在此,本文主要對虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)安全中的應用展開討論。
一、企業(yè)合作客戶和企業(yè)間的應用
虛擬網(wǎng)絡(luò)技術(shù)作為目前的重要安全技術(shù)類型,針對企業(yè)合作客戶與企業(yè)本身,均提供了較強的安全保障。目前的企業(yè)間合作、企業(yè)內(nèi)部的工作運行,都與計算機網(wǎng)絡(luò)具有密不可分的關(guān)系,而虛擬網(wǎng)絡(luò)技術(shù)的保障,自然是較大的爭論焦點。隨著科技的進步和保障體系的健全,企業(yè)合作客戶和企業(yè)間的應用,主要表現(xiàn)在以下幾個方面:第一,通過利用虛擬網(wǎng)絡(luò)技術(shù),能夠?qū)崿F(xiàn)文件的共享得到保障,在數(shù)據(jù)方面減少外流的情況,加強對外界騷擾的防護,促使企業(yè)之間的交流獲得保障。第二,在日常的應用中,虛擬網(wǎng)絡(luò)技術(shù)的防火墻、設(shè)置等等,均加強了對密碼、驗證信息的保護,確保企業(yè)內(nèi)部的個體工作不會受到影響,提高了工作效率。第三,有效的應用虛擬網(wǎng)絡(luò)技術(shù)后,對客戶端的保障作用較為突出,尤其是在訪問數(shù)據(jù)、查找文件的過程中,促使企業(yè)之間、企業(yè)內(nèi)部都能夠完成安全操作,避免造成損失。
二、遠程分支部門和企業(yè)部門之間的應用
企業(yè)在發(fā)展的過程中會不斷壯大,現(xiàn)階段的很多企業(yè)都具備遠程分支部門,如果該部門與企業(yè)部門之間進行聯(lián)系,勢必會通過各種交流工具、平臺來完成,如何加強這種遠程聯(lián)系的保護,是虛擬網(wǎng)絡(luò)技術(shù)的應用重點。一般而言,在計算機網(wǎng)絡(luò)的幫助下,遠程分支部門和企業(yè)部門之間的聯(lián)系、交流等,會通過不同的軟件來完成,雖然不受地域的限制,但中間過程很容易被攻擊。通過應用虛擬網(wǎng)絡(luò)技術(shù),強化了遠程分支部門和企業(yè)部門之間的聯(lián)系,在很多方面都創(chuàng)造了較大的價值。首先,虛擬網(wǎng)絡(luò)技術(shù)和促使兩端建立穩(wěn)固的橋梁,并且加強了數(shù)據(jù)傳輸、文件共享的保護。其次,針對兩端的具體工作情況,設(shè)定了不同的保護措施,文件、數(shù)據(jù)、信息等,均是經(jīng)過加密處理的,對方在收到后,需應用針對性的方法來打開,提高工作效率的同時,不會受到其他的攻擊。第三,利用虛擬網(wǎng)絡(luò)技術(shù),針對遠程分支部門和企業(yè)部門,建立了比較安全的局域網(wǎng),不僅在加密性方面表現(xiàn)為高速的特點,同時加密的密鑰不容易被破壞,總體上的應用效果比較理想。
三、遠程員工和企業(yè)網(wǎng)之間
虛擬網(wǎng)絡(luò)技術(shù)在應用的過程中,還突出表現(xiàn)在遠程員工和企業(yè)網(wǎng)之間,考慮到不同企業(yè)的運行模式不同,因此需要對遠程員工、對企業(yè)網(wǎng)實現(xiàn)有效的保護。例如,虛擬網(wǎng)絡(luò)技術(shù)把企業(yè)總部當做是虛擬專用網(wǎng)的中心連接點,在企業(yè)的內(nèi)部設(shè)置具有網(wǎng)絡(luò)虛擬功能的防火墻,該防火墻被當做是企業(yè)的計算機網(wǎng)絡(luò)的出口的網(wǎng)關(guān)。移動的業(yè)務(wù)網(wǎng)點和辦公用戶要想進入防火墻設(shè)備中,就必須通過虛擬網(wǎng)絡(luò)客戶端進行登錄。這種方式大大提高了計算機網(wǎng)絡(luò)的安全。由于這種方式是通過讓采購人員和企業(yè)銷售人員一起在企業(yè)系統(tǒng)中傳入信息來實現(xiàn)遠程員工和其他企業(yè)間的信息和資源共享。所以,這種虛擬網(wǎng)絡(luò)技術(shù)的應用又被稱為遠程訪問式虛擬網(wǎng)絡(luò)技術(shù)。它在具有相當高的安全性的同時還具有低成本的優(yōu)勢。
總結(jié)
本文對虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)安全中的應用展開討論,在目前的研究工作中,認為虛擬網(wǎng)絡(luò)的應用,加強了對計算機網(wǎng)絡(luò)的安全保護,告別了過去的傳統(tǒng)保護方法,在水平上有所提升。今后,應根據(jù)不同企業(yè)、地區(qū)對計算機網(wǎng)絡(luò)的具體要求,強化虛擬網(wǎng)絡(luò)技術(shù)的各項應用,設(shè)定多元化的安保方案,從本質(zhì)上實現(xiàn)計算機網(wǎng)絡(luò)安全的提升。相信在未來的工作中,虛擬網(wǎng)絡(luò)技術(shù)將創(chuàng)造出更大的價值。
參考文獻
[1]張偉杰.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應用[J].電子世界,2014,17:176.
論文摘要:隨著計算機網(wǎng)絡(luò)的快速發(fā)展,信息化已成為人類發(fā)展的必然趨勢。該文從介紹計算機網(wǎng)絡(luò)的發(fā)展演變歷程出發(fā),對影響計算機網(wǎng)絡(luò)安全的主要因素進行了歸納和詳細闡述,進而提出了計算機網(wǎng)絡(luò)安全的主要防御對策。
通訊技術(shù)和信息技術(shù)的發(fā)展使得人們對計算機的依賴逐漸增強,但計算機過多地在生活和工作中利用也帶來了不可忽視的網(wǎng)絡(luò)安全問題。隨著計算機使用程度的深入,因網(wǎng)絡(luò)攻擊造成的財產(chǎn)損失越來越大,甚至難以估量。計算機網(wǎng)絡(luò)的布局十分復雜,主機和終端之間的層次關(guān)系難以準確定位,加之系統(tǒng)對外開放,這些特點都使得計算機網(wǎng)絡(luò)容易成為黑客攻擊和惡意軟件入侵的標靶,所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。
1計算機網(wǎng)絡(luò)概述
目前業(yè)內(nèi)對計算機網(wǎng)絡(luò)的定義較為統(tǒng)一,通常是指通過通訊線路將處在不同地區(qū)的計算機主機或終端設(shè)備連接起來,形成一個功能全面、信號暢通、協(xié)同管理的信息化系統(tǒng),在該系統(tǒng)內(nèi)各種操作指令、網(wǎng)絡(luò)通信協(xié)議能夠貫通傳輸,并且能夠?qū)崿F(xiàn)資源共享和信息傳遞[1]。在計算機網(wǎng)絡(luò)技術(shù)發(fā)展演變的漫長歷程中,大致經(jīng)歷了遠程終端聯(lián)網(wǎng)、計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)互連和信息高速公路4個階段,并且呈現(xiàn)由簡單到復雜的主體趨勢。
遠程終端聯(lián)網(wǎng):計算機誕生伊始,計算機網(wǎng)絡(luò)主要由一臺主機和若干終端組成,主機和終端之間通過電話線路連接,并直接對終端發(fā)號施令,因此該網(wǎng)絡(luò)被稱為面向終端的計算機通信網(wǎng)。在這個網(wǎng)絡(luò)中,主機是中心,其余終端單機以各種星型、樹型或交叉型的格局布局,由于所有終端服務(wù)能力受限于主機,因此系統(tǒng)運行效率不高。
計算機網(wǎng)絡(luò):該階段主要起源于上世紀60年代末期,當時第2代計算機網(wǎng)絡(luò)在美國建成,標志著計算機網(wǎng)絡(luò)技術(shù)邁入網(wǎng)絡(luò)時代。該技術(shù)的典型特征在于整個系統(tǒng)圍繞一個設(shè)定的子網(wǎng)進行擴展建設(shè),在這個子網(wǎng)之外主機和終端設(shè)備所構(gòu)成的外網(wǎng)形成一個“用戶資源網(wǎng)”。通信子網(wǎng)顛覆了第一代計算機技術(shù)以電路交換方式進行信號傳輸?shù)姆绞?,轉(zhuǎn)而采用分組交換方式,由于該技術(shù)更適合于數(shù)據(jù)通信而使得計算機網(wǎng)絡(luò)通信費用的降低。
網(wǎng)絡(luò)互連:計算機網(wǎng)絡(luò)技術(shù)第三個發(fā)展階段以“開放系統(tǒng)互連參考模算型”主導下的第3代計算機網(wǎng)絡(luò)為標志。該技術(shù)由iso于1977年首次提出,在經(jīng)過多年的努力之后,最終發(fā)展成為互連網(wǎng)的標準框架。此后邁入80年代,internet技術(shù)的出現(xiàn)是對計算機網(wǎng)絡(luò)技術(shù)最深刻的變革,并由此引導了計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展。internet也稱國際互連網(wǎng),它的構(gòu)建以osi體系結(jié)構(gòu)為基礎(chǔ),但又完全基于一套全新的框架體系。
信息高速公路:該階段是計算機網(wǎng)絡(luò)技術(shù)目前所經(jīng)歷的階段,主要開始于上世紀90年代末期,這也正是計算機網(wǎng)絡(luò)在世界范圍內(nèi)急速發(fā)展的一段時期,并主要向?qū)拵ЬC合業(yè)務(wù)數(shù)字網(wǎng)bisdn的方向演變。我國的計算機網(wǎng)絡(luò)技術(shù)也正是在此背景下獲得發(fā)展,并在1989年建成第1個用于數(shù)據(jù)通信的公用分組交換網(wǎng)。此后,計算機技術(shù)開始逐步實施在國內(nèi)的普及應用,重要舉措包括覆蓋全國的中國公用分組數(shù)據(jù)交換網(wǎng)的建成,以及“金橋工程”、“金卡工程”、“金關(guān)工程”、“金智工程”等一系列“金”字工程的實施。
2影響計算機網(wǎng)絡(luò)安全的主要因素
從目前計算機網(wǎng)絡(luò)安全所面臨的風險來看,網(wǎng)絡(luò)風險主要來自網(wǎng)絡(luò)的開放性、網(wǎng)絡(luò)操作系統(tǒng)的漏洞、網(wǎng)絡(luò)資源的共享性、網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷、黑客的惡意攻擊等因素[2]。下面對這幾類風險分別進行闡述:
網(wǎng)絡(luò)的開放性:internet是一個開放的系統(tǒng),這直接導致任何一種外部接入都可能造成計算機網(wǎng)絡(luò)的不穩(wěn)定甚至系統(tǒng)奔潰。由于在開放的計算機網(wǎng)絡(luò)中,用戶在網(wǎng)上可以輕易查找到一個企業(yè)、單位以及個人的敏感性信息,這直接導致其處于不安全的環(huán)境中。為杜絕該類安全問題的產(chǎn)生,各種針對性的安全機制、策略和工具被研究和應用,但仍需做諸多改進。
網(wǎng)絡(luò)操作系統(tǒng)的漏洞:在傳統(tǒng)安全防御技術(shù)中,系統(tǒng)的后門因其隱蔽性而被人們所忽視,作為網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)實現(xiàn)的載體,網(wǎng)絡(luò)操作系統(tǒng)負有不可推卸的責任,操作系統(tǒng)不僅需要提供網(wǎng)絡(luò)通信所需要的各種協(xié)議,還需要實現(xiàn)網(wǎng)絡(luò)服務(wù)的程序。由于操作系統(tǒng)實現(xiàn)網(wǎng)絡(luò)協(xié)議的程序十分復雜,需要大量的程序語言才能實現(xiàn),且在實現(xiàn)程序運行的過程中存在缺陷和漏洞在所難免。由于防火墻對這類入侵的攔截力度不足,導致這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。
網(wǎng)絡(luò)資源的共享性:計算機可以實現(xiàn)信息資源在網(wǎng)絡(luò)上共享,這是計算機網(wǎng)絡(luò)應用的主要目的,但資源共享所帶來的網(wǎng)絡(luò)風險也是不可忽視的問題。資源共享隨著人們對計算機依賴程度的加深逐漸擴展,但目前的技術(shù)難以對外部服務(wù)請求實現(xiàn)完全隔離,攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)敏感信息。
網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷:網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷不僅會造成資源的浪費,還會為攻擊者提供更多的可乘之機,合理的網(wǎng)絡(luò)設(shè)計則可以實現(xiàn)資源節(jié)約和維護安全的雙贏。目前,bug是計算機用戶在日常使用網(wǎng)絡(luò)過程中最容易遭遇外部攻擊的程序,這說明安全的防御程序并不存在,甚至連安全工具本身也可能存在安全的漏洞。正是因為bug的不穩(wěn)定而被黑客經(jīng)常利用,并且這種攻擊通常不會產(chǎn)生日志,使得網(wǎng)絡(luò)維護人員無從查起。
惡意攻擊:通俗地講,惡意攻擊就是網(wǎng)絡(luò)黑客攻擊和網(wǎng)絡(luò)病毒,這兩類問題是目前公認的網(wǎng)絡(luò)安全公敵。隨著計算機文化在社會各個階層的滲透,使得這類攻擊變得越來越容易,也越來越多,損失也是越來越嚴重,人們的關(guān)注度也越來越高。盡管防火墻的攔截在一定程度上緩解了網(wǎng)絡(luò)攻擊的可能性,但對那些隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)中的威脅,防火墻還是顯得有點局限,特別是對訪問內(nèi)部網(wǎng)絡(luò)時伴隨的威脅,防火墻往往是無能為力的。
3計算機網(wǎng)絡(luò)安全的主要防御對策
3.1加強日常防護管理
3.1.1不下載來路不明的軟件及程序
在計算機的日常使用過程中,及時更新系統(tǒng)補丁,是防止病毒入侵的基本要求,如果一旦感染病毒,應當立即下載專門軟件進行查殺。另外,不要隨便從非官方網(wǎng)站上下載軟件,來歷不明的軟件可能就是病毒的載體程序,一旦運行改程序就可能造成計算機資料丟失,所以要選擇信譽較好的網(wǎng)站下載軟件,并將下載的軟件進行專門分區(qū)保存并定期殺毒。
3.1.2防范電子郵件攻擊
在日常生活中,我們會經(jīng)常接收到來歷不明的郵件,對該類郵件應該謹慎處理,盡量不要直接打開,以免遭受病毒郵件的侵害。目前,病毒依附郵件進行傳播已經(jīng)越來越多,如果我們稍有不慎就會中其圈套,遭受惡意郵件的攻擊。電子郵件攻擊的方式主要有兩種,并表現(xiàn)不同的形式:一是電子郵件轟炸,也稱為電子郵件“滾雪球”,主要是通過非法ip向攻擊郵箱短時間內(nèi)發(fā)生海量垃圾郵件,直接導致郵箱容量超載而癱瘓;二是電子郵件欺騙,攻擊者偽裝成系統(tǒng)管理員的身份,以郵件的方式要求提示用戶更改口令等信息,進而將附件中加載的病毒或木馬程序入侵到用戶計算機。對該類攻擊的防御比較簡單,目前一些專門的郵箱病毒過濾軟件攔截效果比較明顯。
3.1.3安全設(shè)置瀏覽器
瀏覽器也是網(wǎng)絡(luò)病毒經(jīng)常入侵的部分,cookie是在瀏覽過程中被有些網(wǎng)站往硬盤寫入的一些數(shù)據(jù),它們記錄下用戶的特定信息,因而當用戶回到這個頁面上時,這些信息就可以被重新利用。因此,安全的瀏覽器使用方式應該設(shè)置安全級別,并關(guān)掉cook? ies。但需要指出的是,關(guān)注cookie的目的不是對這些信息的重新利用,而是對硬盤數(shù)據(jù)的關(guān)心。
3.1.4保護好自己的ip地址
在網(wǎng)絡(luò)安全協(xié)議中,連結(jié)在internet服務(wù)器和局域網(wǎng)上的每一個服務(wù)終端都有一個獨一無二的ip地址。通常情況下,無論是對用戶自身而言,還是對對方而言,ip地址都是隱藏的。但在網(wǎng)絡(luò)上聊天時,因為聊天信息傳輸需要捆綁ip地址,因此導致ip地址容易暴露,這就為網(wǎng)絡(luò)黑客提供了可乘之機。網(wǎng)絡(luò)黑客獲取用戶ip地址的方式很多,但從用戶的上網(wǎng)信息痕跡或者從跟蹤上網(wǎng)賬號中獲取的方式比較普遍,而黑客一旦其獲取了ip地址,就能實施網(wǎng)絡(luò)攻擊。因此,在日常用機過程中必須養(yǎng)成良好的習慣,防止個人關(guān)鍵信息泄露,以免造成不必要的損失。如果經(jīng)常使用icq,最好在“ip publishing”設(shè)置中將“do not publish ip ad-dress”選上。而一旦遭受攻擊,也不能盲目下載軟件進行清掃,應該從信譽較好的網(wǎng)站下載ip工具,安裝運行以保護ip地址。
3.2安裝配置防火墻
在internet內(nèi),網(wǎng)絡(luò)連接中的所有用戶都具備直接訪問外部世界并與之通信的權(quán)利。但這種權(quán)利是以內(nèi)外交互為前提的,也就是說外部世界也同樣可以訪問該網(wǎng)絡(luò)。網(wǎng)絡(luò)的相互訪問為黑客攻擊提供了機會,為了防止攻擊發(fā)生,在雙方服務(wù)器和各客戶主機上分別布設(shè)防火墻是網(wǎng)絡(luò)安全防范的必要技術(shù)。因為一旦防火墻建立起來,用戶和internet之間就豎起一道過濾屏障,這道屏障對輸出和輸入的網(wǎng)絡(luò)信息進行掃描,實現(xiàn)安全隱患的提前判斷和攔截。目前,防火墻技術(shù)已經(jīng)相當成熟,常用的主要有濾防火墻、防火墻和雙穴主機防火墻3種[3]。
3.3加強訪問控制
訪問控制是對外部訪問過濾的關(guān)鍵技術(shù),它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。訪問控制不僅提供主動網(wǎng)絡(luò)安全防范和保護,而且還能維護網(wǎng)絡(luò)系統(tǒng)安全,對網(wǎng)絡(luò)資源起到安全隔離的作用?,F(xiàn)行的訪問控制技術(shù)主要包括7種,不同訪問控制技術(shù)的應用應當按需設(shè)置,主要參考網(wǎng)絡(luò)安全的等級需求進行,在不浪費資源的情況下實現(xiàn)網(wǎng)絡(luò)的安全訪問。
3.4信息加密
信息加密技術(shù)是網(wǎng)絡(luò)完全防范的常規(guī)技術(shù)之一。通過對敏感數(shù)據(jù)信息實施加密處理,可以維護數(shù)據(jù)信息的安全,實現(xiàn)網(wǎng)上數(shù)據(jù)的安全傳輸。常用的網(wǎng)絡(luò)加密技術(shù)有鏈路加密、端點加密和節(jié)點加密3種[4]。不同的加密技術(shù)可以應用到不同的情況,但應該指出盡管加密技術(shù)可以防御絕大部分攻擊,并且在多數(shù)情況下信息加密是保證信息機密性的惟一方法,但計算機網(wǎng)絡(luò)安全的充分防御不能完全依賴它。
3.5物理安全策略
計算機網(wǎng)絡(luò)安全防御的物理安全策略的重點在于對整個網(wǎng)絡(luò)系統(tǒng)實施保護,它是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、外部連接設(shè)備等軟硬件系統(tǒng)免受外部攻擊的關(guān)鍵技術(shù)。常用的物理安全策略主要是用戶身份驗證,目的是保證個人用戶的隱私。另外,維護計算機工作環(huán)境的安全性也十分重要,因為計算機容易受到其他電磁干擾而運行不穩(wěn)定,因此完善的安全管理制度也是計算機網(wǎng)絡(luò)安全防御的必要準備。
4結(jié)束語
綜上所述,盡管計算機網(wǎng)絡(luò)供給無處不在,安全與反安全就像矛盾的兩個方面相互纏繞,但只要我們認清網(wǎng)絡(luò)的脆弱性和潛在威脅,采取強有力的安全策略,并建立完善的計算機管理制度和監(jiān)督機制,就可以有效地預防安全問題的出現(xiàn),更不會給入侵者提供可乘之機。
參考文獻:
[1]張昱.對計算機網(wǎng)絡(luò)技術(shù)安全與網(wǎng)絡(luò)防御的分析[j].廣東科技,2011(10):51-52.
[2]姚汝洪.計算機網(wǎng)絡(luò)安全及其防御對策探究[j].信息與電腦(理論版),2010(11):12.
[關(guān)鍵詞]人工智能;網(wǎng)絡(luò)安全;計算機
當前大部分機械化工廠中依舊存在許多員工,這些員工是來輔助自動化機器完成生產(chǎn)的,這不是說自動化機械無法做到流水線式的生產(chǎn),而是在生產(chǎn)過程中,會出現(xiàn)各種各樣的問題,而自動化機器在出現(xiàn)問題后依舊會按照設(shè)定的程序進行生產(chǎn),這樣就會導致生產(chǎn)出許多廢品,大大損害了工廠的利益。這樣的問題同樣出現(xiàn)在網(wǎng)絡(luò)安全方面,不管是國家還是企業(yè),每年在網(wǎng)絡(luò)安全方面都投入了大量的人力與資金,即使是這樣,依舊面臨著黑客攻擊或者計算機病毒等一系列問題。在大數(shù)據(jù)時代背景下,由于病毒的種類和入侵方式呈現(xiàn)出多元化發(fā)展趨勢,傳統(tǒng)的網(wǎng)絡(luò)安全措施如:防火墻,可能對某些新型病毒無法進行有效識別而導致計算機受到危害。所以網(wǎng)絡(luò)安全一直是很多國家及企業(yè)所頭痛的問題。而人工智能的技術(shù)是未來的發(fā)展方向,被越來越多的人所重視,并且在網(wǎng)絡(luò)安全領(lǐng)域也得到了充分發(fā)展,使網(wǎng)絡(luò)安全的防御更加智能,在網(wǎng)絡(luò)安全方面是一項重大突破。
一、人工智能在網(wǎng)絡(luò)安全中所發(fā)揮的重要性
2019年12月12日,國家工業(yè)信息安全發(fā)展研究中心《人工智能中國專利技術(shù)分析報告》。據(jù)圖1顯示,我國人工智能領(lǐng)域?qū)@暾埑士焖僭鲩L,在2010年后增長速度明顯加快,2018年專利申請量為94539件,達到2010年申請量的10倍??傮w上,國內(nèi)的人工智能相關(guān)專利申請量呈逐年上升趨勢,并且從2015年往后增長的速度明顯加快,這代表我國對人工智能的重視力度提上了一個嶄新的臺階。當今社會中,多數(shù)市民不允許自己孩子多玩手機,在逐漸減少他們的上網(wǎng)時間,出現(xiàn)這種現(xiàn)狀的原因,一方面是怕耽誤孩子的學習,另一方面是因為家長覺得現(xiàn)在的網(wǎng)絡(luò)環(huán)境較差,網(wǎng)絡(luò)安全管理還存在較多的問題,怕自家孩子受網(wǎng)絡(luò)影響,學習到一些不好的思想,使他們的人生走上歧路。通過調(diào)查顯示,廣大市民提到計算機網(wǎng)絡(luò)問題時,總是避免不了三點:1、如何對自己的電腦進行加密,使電腦信息不外泄;2、如何屏蔽掉當前網(wǎng)絡(luò)上的不良行為及信息;3、如何保證自身的個人電話、身份證等信息不外泄。要想解決這些問題,就要從根本上入手,那就是解決網(wǎng)絡(luò)安全方面的問題,而引入人工智能,不僅可以有效加強計算機網(wǎng)絡(luò)技術(shù)方面的功能,還能使計算機最大限度地阻止各種不良信息的入侵,從而使計算機更加流暢且更智能的維護我們的上網(wǎng)環(huán)境[1]。
二、人工智能在網(wǎng)絡(luò)安全中的應用特點
當網(wǎng)絡(luò)中固有的安全防護措施,如:防火墻,當遇到人為操作的入侵后,就會稍顯無力。因為人為操控的入侵,會根據(jù)已有防火墻的特點,找出存在的薄弱點,從而達到入侵的目的。而在網(wǎng)絡(luò)安全中引入人工智能,能使網(wǎng)絡(luò)安全中已有的防護措施變得更加靈活,在攔截人為入侵及病毒檢測方面具有無與倫比的優(yōu)勢。此外,人工智能還有較強的學習能力,這個能力在處理信息方面具有顯著效果,在網(wǎng)絡(luò)安全方面運用人工智能能大大提高網(wǎng)絡(luò)信息的處理效率。對比傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),人工智能在能源消耗方面也有明顯優(yōu)勢,不僅能減少有關(guān)部門對其的資源投入,還實現(xiàn)了綠色環(huán)保節(jié)能[2]。
(一)信息處理工作過程的準確性
隨著人工智能引入到網(wǎng)絡(luò)安全中,計算機設(shè)備中的不良信息明顯有所減少,這大大提高了不法分子對網(wǎng)絡(luò)的攻擊難度。在傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)中,都會配備許多人力來進行二十四小時監(jiān)管,這樣的防護措施一是為了能在受到外來入侵時及時發(fā)現(xiàn),并針對性解決。另一方面是為了隨時隨地攔截外界所傳輸進來的無用信息。而在引入人工智能后,就可以減少人員的投入,因為人工智能對外界信息的傳輸具有一定的甄別能力,使有關(guān)部門對信息的處理壓力得到減輕,從而為企業(yè)節(jié)省成本,提高工作效率[3]。
(二)具備較強的學習與處理技能
隨著民眾對互聯(lián)網(wǎng)使用力度的不斷提高,網(wǎng)絡(luò)中的信息也越來越多,這就導致網(wǎng)絡(luò)信息太多,一些有效信息企業(yè)無法及時處理,從而錯失“商機”或?qū)ζ髽I(yè)造成損失。而較之傳統(tǒng)的網(wǎng)絡(luò)安全防護措施來講,人工智能的特點是它具備一定的學習能力,這個能力在處理網(wǎng)絡(luò)信息中,有著明顯優(yōu)勢。人工智能技術(shù)快速學習這一特點,使得其本身具有很強的信息識別能力,能幫助企業(yè)及時從眾多信息中篩選出有效信息。此外,人工智能自主學習這一優(yōu)勢,也使網(wǎng)絡(luò)安全技術(shù)防護變得更加靈活,它改變了固化的安全防護措施,雖說人工智能技術(shù)的發(fā)展還不是很健全,但足以應對一些小規(guī)模外來入侵,大大減少了有關(guān)部門在網(wǎng)絡(luò)安全方面的人力、物力投入。
(三)使用能源的消耗量相對較低
通過對有關(guān)數(shù)據(jù)的收集及對比,我們可以發(fā)現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)中,能源消耗異常的快速,而人工智能的能源消耗卻特別低,究其根本原因在于,人工智能采用了新的算法,那就是控制算法。這種算法不僅可以一次性完成計算任務(wù),提高效率,還有效減少了能源消耗,優(yōu)化網(wǎng)絡(luò)資源配置,為有關(guān)部門節(jié)省了大量成本。
三、當前網(wǎng)絡(luò)安全建設(shè)中存在的問題隱患
在當前社會中,我們會接到許多各種各樣的推銷廣告,猶如“轟炸”般將我們的心情整垮。這種情況下,我們會思考自己的信息是從哪里泄露的,大部分有可能造成信息泄露的誘因,就是出現(xiàn)在網(wǎng)絡(luò)中。此外,我們的手機及電腦等電子設(shè)備中,也會偶爾出現(xiàn)廣告彈窗等問題,這使我們的心情變得糟糕。甚至保存眾多信息的電腦,會出現(xiàn)病毒入侵,這對我們的生活及工作造成了嚴重的不利影響。
(一)重要信息被盜取
新聞中,我們經(jīng)常會看到許多信息泄露事件的發(fā)生,這些事件都對信息泄露者本人造成了極大的負面影響。然而,身處互聯(lián)網(wǎng)時代,電腦是很多企業(yè)正常運營的必備設(shè)施,不論是普通文件,還是重要文件都會保存到電腦或云端,只是加密手段會有所增多而已。但企業(yè)卻忽略了信息泄露而造成的后果,或者說企業(yè)對安全防護措施有足夠的重視,卻在網(wǎng)絡(luò)安全攻防戰(zhàn)中,不敵非法入侵者,從而導致企業(yè)信息泄露,公司財產(chǎn)損失嚴重。對于市民本身來講,自身的手機及電腦會保存著許多個人的隱私照片及重要信息,這些信息的加密手段較為薄弱,一些不法分子利用網(wǎng)絡(luò)漏洞會對市民的手機及電腦進行入侵,從而達到盜竊信息及獲取錢財?shù)哪康?,這對市民的生活造成了嚴重影響,還威脅到了市民的生命安全。
(二)眾多病毒的入侵
2021年1月15日,瑞星安全團隊了《2020年中國網(wǎng)絡(luò)安全報告》,報告中2020年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量1.48億個,病毒感染次數(shù)3.52億次,病毒總體數(shù)量比2019年同期上漲43.71%。由此可知我國的網(wǎng)絡(luò)安全形勢依然很嚴峻,病毒入侵嚴重威脅著我國的網(wǎng)絡(luò)安全。市民甚至到了談“毒”色變的地步,因為市民的電子設(shè)備被病毒入侵,就代表著他的通訊錄、個人信息等隱私面臨著泄露的可能,甚至會影響到市民的正常生活。隨著網(wǎng)絡(luò)安全逐漸被市民及有關(guān)部門所重視,網(wǎng)絡(luò)安全技術(shù)得到了很大的提升。黑客們也改進了病毒入侵的方法,他們不再只是利用系統(tǒng)漏洞進行病毒入侵,還通過U盤及一些移動存儲硬盤來實現(xiàn)病毒入侵的目的,這使得受病毒入侵的群體越來越多。
(三)垃圾信息的影響
現(xiàn)今社會,部分不良企業(yè)為了達到宣傳作用,制作了一些垃圾信息,通過垃圾信息來入侵居民電腦,以達到宣傳目的。這些垃圾信息中攜帶了許多不良信息以及對電子設(shè)備有害的病毒,對居民電腦造成了嚴重損害,影響了電子設(shè)備的正常使用。而隨著網(wǎng)絡(luò)普及,青少年接觸電子設(shè)備的時間越來越多,這些不良信息和廣告彈窗對他們的身心健康造成了極大影響,對青少年的健康成長極為不利。此外,隨著垃圾信息的不斷增多,居民從網(wǎng)絡(luò)中找尋有用信息也愈發(fā)困難,其中部分信息還存在誘導支付的選項,大大增加了居民的支付風險,導致居民錢財損失的事情常有發(fā)生。
四、人工智能技術(shù)在網(wǎng)絡(luò)安全方面的運用
中國人工智能產(chǎn)業(yè)將迎來新一輪的增長點,新技術(shù)的引入讓更多的創(chuàng)新應用成為可能,預計到2022年,中國人工智能產(chǎn)業(yè)規(guī)模達到2621.5億元。在傳統(tǒng)網(wǎng)絡(luò)“世界”,多數(shù)企業(yè)對辦公系統(tǒng)會進行密碼識別,只有員工輸入正確密碼,才能登錄辦公系統(tǒng)及瀏覽相關(guān)文件。但這種極易因密碼泄露而造成公司財產(chǎn)損失。傳統(tǒng)保衛(wèi)網(wǎng)絡(luò)安全的防火墻,其重點防御病毒的傾向各有不同,它能有效防止木馬病毒,就對其他病毒的入侵稍顯無力。而隨著人工智能技術(shù)在網(wǎng)絡(luò)安全方面的應用,居民的個人身份信息得到了有效的保護,還使網(wǎng)絡(luò)防火墻更顯靈活,一些垃圾郵件也會被人工智能技術(shù)排除。
(一)強化個人身份的識別系統(tǒng)
在當前網(wǎng)絡(luò)安全還不是很健全的背景下,國民使用網(wǎng)絡(luò)時,都在擔心自身的個人身份信息是否會泄露。傳統(tǒng)的網(wǎng)絡(luò)中,密碼驗證以及圖案是驗證身份信息的主流安全防護措施,然而隨著網(wǎng)絡(luò)的飛速發(fā)展,這些方法極易被不法分子所竊取,從而導致居民的個人信息出現(xiàn)泄露。而使用人工智能技術(shù)中的生物識別系統(tǒng),能很好地彌補傳統(tǒng)信息驗證出現(xiàn)的不足,如:人臉識別、指紋輸入等方法。
(二)有效提升智能防火墻系統(tǒng)
網(wǎng)絡(luò)防火墻是當前網(wǎng)絡(luò)安全系統(tǒng)使用較多的一種安全保護措施,每臺電腦及電子設(shè)備都配備了相應的防火墻,如果電子設(shè)備不配置防火墻,廣告不斷、出現(xiàn)亂碼等現(xiàn)象就成為電子設(shè)備的“??汀薄7阑饓κ俏覀兪褂秒娮釉O(shè)備的一大保障,然而傳統(tǒng)防火墻是多種多樣的,其側(cè)重的防御類型也各不相同,如果碰到涉及盲區(qū)的病毒入侵,那很可能使不法分子得逞,導致我們的信息泄露,也威脅著我們的個人財產(chǎn)。為了改善這一現(xiàn)狀,人工智能防火墻技術(shù)逐漸被國家及企業(yè)所重視,因為人工智能可以通過數(shù)據(jù)分析、錄入信息等多種渠道去加強防火墻類型,智能防火墻技術(shù)不同于傳統(tǒng)防火墻技術(shù),能通過智能化技術(shù)達到訪問控制的目的,使計算機網(wǎng)絡(luò)系統(tǒng)對病毒的抵御能力更強,從而起到更好地網(wǎng)絡(luò)安全保護效果。
(三)增強垃圾郵件的防御系統(tǒng)
家庭電腦在長時間不使用與更新的情況下,再次啟用后,我們經(jīng)常會收到許多垃圾信息及文件的騷擾,這是病毒入侵的表現(xiàn),傳統(tǒng)的殺毒軟件還無法根除這種現(xiàn)象。出現(xiàn)這種現(xiàn)狀的原因在于,網(wǎng)絡(luò)的發(fā)展速度極為快速,長時間不對電腦安全防護問題進行更新,就會出現(xiàn)病毒發(fā)展超過已有網(wǎng)絡(luò)安全防護的現(xiàn)狀,從而導致垃圾信息一直“騷擾”我們。當出現(xiàn)這種情況后,多數(shù)人都知道該“殺毒”了,但是因為工作忙碌,以及其他原因,一直沒有對電腦進行安全防護升級,導致使用電腦的體驗很不理想。伴隨著人工智能技術(shù)引入網(wǎng)絡(luò)安全防護后,我們可以最大限度避免這種情況的發(fā)生。因為人工智能技術(shù)采用了智能反垃圾郵件的識別方式,它能對郵件進行識別與判斷,并在系統(tǒng)分析后給予我們一個安全防護提醒,為電子設(shè)備提供了一個更智能、安全的網(wǎng)絡(luò)保護系統(tǒng)。
(四)不斷豐富計算機網(wǎng)絡(luò)功效
要想使網(wǎng)絡(luò)的功能更加完善,不僅僅是單純運用人工智能就能完成的,還需要強化豐富電腦的網(wǎng)絡(luò)功能,讓人工智能技術(shù)與其建立良好的網(wǎng)絡(luò)模式,不斷使用網(wǎng)絡(luò)代碼來促進智能化工程的發(fā)展。在人工智能的基礎(chǔ)上,計算機網(wǎng)絡(luò)技術(shù)能夠更快更好地提升計算機系統(tǒng)的應用效果與質(zhì)量,為計算機網(wǎng)絡(luò)技術(shù)在人工智能化發(fā)展道路上提供有力保障。因此,相關(guān)技術(shù)人員應該努力進行計算機網(wǎng)絡(luò)安全創(chuàng)新,使計算機網(wǎng)絡(luò)趨于多樣化,從而讓計算機功能得到快速且穩(wěn)定的發(fā)展。
(五)智能異常行為的檢測技術(shù)
當前網(wǎng)絡(luò)上常見的兩種病毒入侵大致可以分為兩種:一是外部入侵,也就是通過一系列網(wǎng)絡(luò)手段對計算機發(fā)動入侵,如常見的病毒入侵、陌生鏈接等方式。另一種則是內(nèi)部入侵,這種手段就是通過U盤或文件的形式,盜取數(shù)據(jù)信息并發(fā)送到外部數(shù)據(jù)庫中。而這兩種方法無論是哪一種都會對計算機本身造成損害,還會給相關(guān)企業(yè)造成經(jīng)濟損失。而智能異常行為檢測技術(shù)可以依附計算機操作系統(tǒng)進行運行,它能在計算機出現(xiàn)異常的情況下,快速進行檢測,有效檢測出有害信息及違法的操作手段,并及時進行攔截處理上報給計算機用戶,進一步提高網(wǎng)絡(luò)的安全性。因此,在網(wǎng)絡(luò)安全防護問題上,我們可以引入智能異常行為檢測技術(shù),以此來為我們建立一個良好的網(wǎng)絡(luò)安全環(huán)境。
結(jié)語
綜上所述,人工智能在網(wǎng)絡(luò)安全方面具有很大的運用空間,且能發(fā)揮出的作用是無與倫比的。隨著我國綜合國力的提升以及經(jīng)濟的快速發(fā)展,網(wǎng)絡(luò)安全問題一直是當下的一個熱點話題。將人工智能技術(shù)應用到計算機網(wǎng)絡(luò)安全防護中,既能利用大數(shù)據(jù)識別網(wǎng)絡(luò)中存在的隱患,還能感知到外部威脅,將不利信息和病毒進行排除。因此,在網(wǎng)絡(luò)安全建設(shè)中,相關(guān)技術(shù)人員應加大對人工智能技術(shù)的運用,并開發(fā)出人工智能在網(wǎng)絡(luò)安全防護中所能發(fā)揮出的更多作用,使其發(fā)光發(fā)熱。
參考文獻:
[1]楊淳清.淺談人工智能技術(shù)在網(wǎng)絡(luò)安全防護中的應用[J].電腦迷,2018(020):31.
[2]鐘慶鴻.淺談人工智能技術(shù)在網(wǎng)絡(luò)空間安全防御中的應用[J].電腦迷,2017(025):150.
關(guān)鍵詞計算機網(wǎng)絡(luò)安全防火墻技術(shù)
中圖分類號:TP393文獻標識碼:A
0前言
在發(fā)展過程中計算機使用范圍逐漸擴大,同時各種信息技術(shù)也在快速改變著人們的生活。這些除了讓人們的工作效率不斷提高之外,也讓人們網(wǎng)絡(luò)信息計算的安全成為十分重要的問題,也將成為阻礙網(wǎng)絡(luò)發(fā)展的重要絆腳石。因此我們從網(wǎng)絡(luò)安全的定義,以及影響安全的因素出發(fā)找到合理的安全策略,以及防火墻技術(shù),通過這樣的方式打造安全的網(wǎng)絡(luò)環(huán)境。
1網(wǎng)絡(luò)安全和主要防御策略
1.1網(wǎng)絡(luò)安全定義
安全計算機整個運行環(huán)境中會受到很多威脅,對沒有進行積極調(diào)控的會受到各種病毒侵害。造成重要文件的丟失。網(wǎng)絡(luò)環(huán)境在檢驗過程中一定要針對內(nèi)部安全以及保密情況下進行。在設(shè)備接入網(wǎng)絡(luò)中之后沒有絕對安全,要依據(jù)階段性的反饋不斷修復已經(jīng)存在的問題。
1.2防御策略
現(xiàn)在的安全防御策略主要是針對網(wǎng)絡(luò)風險,對出現(xiàn)的漏洞進行及時完善,對不是專業(yè)計算機從業(yè)者的可以使用安全軟件進行防護,同時要對設(shè)備安全性進行定期檢測,發(fā)現(xiàn)病毒及時治理。主要是數(shù)據(jù)加密,對開放狀態(tài)下的數(shù)據(jù)進行加密這樣防止出現(xiàn)遠程訪問。在提升保障了之后,減少大量安全漏洞以及攻擊率。還可以使用網(wǎng)絡(luò)存取控制技術(shù),在使用網(wǎng)絡(luò)設(shè)備過程中,一定要對信息進行及時保存,避免出現(xiàn)控,比如在進行登陸之前要輸入身份,在長時間使用后這些技術(shù)也已經(jīng)十分成熟。同時對于安全防護修護,可以在恢復之后持續(xù)使用。在備份時也可以盡量多備份,同時要盡可能遠離服務(wù)器,避免在出現(xiàn)盜竊時丟失。
2計算機網(wǎng)絡(luò)防火墻概念功能
2.1計算機防火墻的概念
防火墻原始意義主要是在房屋中間修建的墻,主要是為了防止出現(xiàn)火災或者在發(fā)生火災時能夠避免蔓延到其他房間。計算機網(wǎng)絡(luò)防火墻是為在不同網(wǎng)絡(luò)中或者在網(wǎng)絡(luò)安全區(qū)域設(shè)置的各種組合,同時也是被保護網(wǎng)絡(luò)以及外部網(wǎng)絡(luò)中的重要屏障。因此防火墻從理論上講是限制器以及分離器,同時也是重要的分析器,主要是監(jiān)控互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)中的活動,確保內(nèi)部安全。網(wǎng)絡(luò)中傳輸?shù)母鞣N數(shù)據(jù)依據(jù)安全策略精心個實施檢查,同時決定哪些不被允許以及網(wǎng)絡(luò)信息和結(jié)構(gòu)運行狀態(tài),同時提供審計時的控制點,達到保護內(nèi)部信息避免出現(xiàn)未經(jīng)授權(quán)的訪問,同時過濾各種有害信息。
2.2防火墻的功能
入侵檢測,這種主要是端口檢測掃描拒絕攻擊、溢出攻擊、木馬攻擊、網(wǎng)絡(luò)蠕蟲等這些各種途徑的攻擊。
防火墻可以持續(xù)強化安全策略??梢詫崿F(xiàn)集中管理,同時將各種安全軟件都在防火墻中進行配置。
網(wǎng)絡(luò)地址間的轉(zhuǎn)換。這種網(wǎng)絡(luò)地址不斷的變化主要是外網(wǎng)以及內(nèi)網(wǎng)之間的IP轉(zhuǎn)換,主要目的是地址以及源地址之間的轉(zhuǎn)換。SNAT可以對內(nèi)網(wǎng)之間的地質(zhì)進行轉(zhuǎn)變,這些可以實現(xiàn)對外網(wǎng)的內(nèi)部結(jié)構(gòu)隱蔽,使用這樣的方式可以減少受到?jīng)]有授權(quán)情況下的攻擊。同時也可以將動態(tài)、靜態(tài)IP與內(nèi)部IP實現(xiàn)對應,這樣也大大減少了地址空間少的問題,節(jié)省眾多資源和成本。
網(wǎng)絡(luò)操作的審計以及監(jiān)控。這種主要是認證機制和身份標以及對創(chuàng)建的文件進行修改,可以對系統(tǒng)管理上的有關(guān)操作、安全事件都進行記錄。提供各種統(tǒng)計數(shù)據(jù)以及網(wǎng)絡(luò)使用情況,這樣方便了管理人員對這些進行跟蹤。通常防火墻主要提供三類審計,分別是流量日志和入侵日志,以及系統(tǒng)管理日志。這些都可以保證受到攻擊以及可疑動態(tài)時能夠及時報警同時提供詳細信息。
3網(wǎng)絡(luò)防火墻技術(shù)分類以及優(yōu)缺點
網(wǎng)絡(luò)防火墻在分類上有很多種類。根據(jù)自己內(nèi)部的過濾,對網(wǎng)絡(luò)中的數(shù)據(jù)以及流量實施控制以及操作。數(shù)據(jù)包監(jiān)控在防火墻的使用上一共有三個種類:第一,路由設(shè)備可以在完成選擇以及數(shù)據(jù)轉(zhuǎn)發(fā)過程中進行過濾。第二,在工作站中使用軟件進行過濾。第三,在屏蔽路由器中設(shè)置好過濾功能。現(xiàn)在經(jīng)常會使用的方式是第一種。這種主要作用在傳輸層以及網(wǎng)絡(luò)層。主要是對端口標示以及ICMP這些進行檢查。
同時過濾防火墻的優(yōu)勢為:第一,過濾能夠不變更主機上的使用程序。第二,他是單獨安放在沒有數(shù)據(jù)包過濾器內(nèi)的,這樣對整個網(wǎng)絡(luò)來講也十分有利。第三,使用這種技術(shù)對用戶來講要求簡單。第四,很多數(shù)據(jù)路由中都會有過濾功能。
但是也有一些不足,主要表現(xiàn)在:第一,過濾過程中單單是對傳輸層以及網(wǎng)絡(luò)層中十分有限的信息內(nèi)進行。第二過濾過程中過濾規(guī)則較少,增加數(shù)目會讓設(shè)備的性能受到很大的影響,這樣也會造成用戶在使用過程中很難使用自己要用的規(guī)則。第三,現(xiàn)在使用的過濾工具沒有徹底完善,存在自身缺陷。第四,沒有相關(guān)的信息,同時這種設(shè)備在過濾RPC、UDP這些協(xié)議時較為困難。第五,這種技術(shù)對管理員自己的素質(zhì)要求較高。除此之外也可以使用防火墻。
防火墻計算,使用技術(shù)主要是在OSI中高層檢測IP包,這樣的方式實現(xiàn)安全。技術(shù)跟包過濾較有很大不同,這種技術(shù)在網(wǎng)絡(luò)層控制各種信息流,同時技術(shù)也并不相同機制可以在應用層使用,實現(xiàn)防火功能。同時功能主要是可以終止客戶連接同時初始新的連接這樣的方式保護內(nèi)部網(wǎng)絡(luò)。應用防火墻主要優(yōu)勢為。第一,可以生成各種記錄。第二,能夠方便配置。第三,更加靈活,能夠控制內(nèi)容以及流量。在使用各種措施之后,我們可以依據(jù)規(guī)則,用戶也可以使用得到完整的安全策略。第四,和各種安全手段可以實現(xiàn)集成。
主要缺點:第一,對用戶來講并不透明,他們需求用戶進行在客戶端安裝各種軟件,這樣也會給用戶造成不透明,速度降低。第二,過程中速度較慢。第三,各種服務(wù)會使用到各種不同的服務(wù)器。第四,除服務(wù),服務(wù)器會對用戶進行限制。第五,服務(wù)器并不能確保協(xié)議弱點。
防火墻體系結(jié)構(gòu)。主要是使用架構(gòu)以及采用實現(xiàn)的方法,這些也是決定防火墻性能以及功能的重要因素,其中主要體系分為以下幾種。
雙宿主主機防火墻:這種主要是在互聯(lián)網(wǎng)以及被保護的網(wǎng)絡(luò)中設(shè)置堡壘,這種堡壘一般會有兩個網(wǎng)卡,共同阻止IP通信。因此網(wǎng)絡(luò)之間使用應用層的共享數(shù)據(jù)以及服務(wù)實現(xiàn)。兩個網(wǎng)卡有不同的功能一個是用來連接內(nèi)網(wǎng)一個是外網(wǎng)連接。這種方式對于安全審計較為方便同時會出現(xiàn)“單失效點”。
被屏蔽主網(wǎng)防火墻:這種為路由器聯(lián)系外網(wǎng),同時因為并非普通路由器,可以在內(nèi)網(wǎng)中聯(lián)入堡壘主機,也運行網(wǎng)關(guān)軟件。之后可以在路由器中設(shè)置有關(guān)規(guī)則,同時也將成為堡壘主機和外網(wǎng)之間的唯一通路。安全等級較高可以實現(xiàn)高層應用層以及網(wǎng)絡(luò)層兩重安全。同時要保證路由器完好。
被屏蔽子網(wǎng)防火墻:這種結(jié)構(gòu)較為復雜種類很多,同時也是較為安全結(jié)構(gòu),第一要在非軍事區(qū),同時也是內(nèi)網(wǎng)和外網(wǎng)之間的隔離。在實現(xiàn)方式中子網(wǎng)端可以放置兩個路由器,同時也是分組過濾路由器,無論是內(nèi)網(wǎng)還是外網(wǎng)都可以訪問,但是一定要禁止通過已經(jīng)被屏蔽的子網(wǎng)實行通信。
4小結(jié)
防火墻作為重要的保護手段,自身也有缺陷,不能解決自身攻擊,因此我們一定要對防火墻計術(shù)進行不斷探索。希望通過分析可以推動防火墻技術(shù)的發(fā)展。
參考文獻
[1] 肖玉梅,蘇紅艷.試析當前計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].數(shù)字技術(shù)與應用,2013(05):218-218.
[2] 鄭剛.淺析計算機網(wǎng)絡(luò)安全與防火墻技術(shù)[J].信息與電腦:理論版,2016(01):184-184.
一、反攻擊技術(shù)的核心問題
反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息(數(shù)據(jù)包信息,網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等),這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。
二、攻擊的主要方式
對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統(tǒng)配置的缺陷”“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分攻擊手段已經(jīng)有相應的解決方法,這些攻擊大概可以劃分以下幾類:
1.拒絕服務(wù)攻擊
一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、Win Nuke攻擊等。
2.非授權(quán)訪問嘗試
是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試,也包括為獲得被保護訪問權(quán)限所做的嘗試。
3.預探測攻擊
在連續(xù)的非授權(quán)訪問嘗試過程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
4.可疑活動
是通常定義的“標準”網(wǎng)絡(luò)通信范疇之外的活動,也可以指網(wǎng)絡(luò)上不希望有的活動,如IP Unknown Protocol和Duplicate IP AddressFTU User事件等。
5.協(xié)議解碼
協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò)或安全管理員需要進行解碼工作,并獲得相應的結(jié)果,解碼后的協(xié)議信息可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。
三、攻擊行為的特征分析與反攻擊技術(shù)
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進行分析,并提出相應的對策。
1.Land攻擊
攻擊類型:Land攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:用于Land攻擊的數(shù)據(jù)包中的源地址和目標地址是相同的,因為當操作系統(tǒng)接收到這類數(shù)據(jù)包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環(huán)發(fā)送和接收該數(shù)據(jù)包,消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。
檢測方法:判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包),并對這種攻擊進行審計(記錄事件發(fā)生的時間,源主機和目標主機的MAC地址和IP地址)。
2.TCP SYN攻擊
攻擊類型:TCP SYN攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:它是利用TCP客戶機與服務(wù)器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包,當被攻擊主機接收到大量的SYN數(shù)據(jù)包時,需要使用大量的緩存來處理這些連接,并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的1P地址,并一直等待ACK數(shù)據(jù)包的回應,最終導致緩存用完,不能再處理其他合法的SYN連接,即不能對外提供正常服務(wù)。
檢測方法:檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。
反攻擊方法:當接收到大量的SYN數(shù)據(jù)包時,通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包,并進行系統(tǒng)審計。
3.Ping Of Death攻擊
攻擊類型:Ping Of Death攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:該攻擊數(shù)據(jù)包大于65535個字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時,就會造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果,從而達到攻擊的目的。
檢測方法:判斷數(shù)據(jù)包的大小是否大于65535個字節(jié)。
反攻擊方法:使用新的補丁程序,當收到大于WinNuk個字節(jié)的數(shù)據(jù)包時,丟棄該數(shù)據(jù)包,并進行系統(tǒng)審計。
4.WinNuke攻擊
攻擊類型:WinNuk攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:WinNuk攻擊又稱帶外傳輸攻擊,它的特征是攻擊目標端口,被攻擊的目標端口通常是139、138、137、113、53,而且URG位設(shè)為“1”,即緊急模式。
檢測方法:判斷數(shù)據(jù)包目標端口是否為139、138、137等,并判斷URG位是否為“1”。
反攻擊方法:適當配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段(丟棄該數(shù)據(jù)包),并對這種攻擊進行審計(記錄事件發(fā)生的時間,源主機和目標主機的ardropC地址和IP地址C)。
5.Teardrop攻擊
攻擊類型:Teardrop攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法,其工作原理是向被攻擊者發(fā)送多個分片的IP包(IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息),某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。
檢測方法:對接收到的分片數(shù)據(jù)包進行分析,計算數(shù)據(jù)包的片偏移量(Offset)是否有誤。
反攻擊方法:添加系統(tǒng)補丁程序,丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。
6.TCP / UDP端口掃描
攻擊類型:TCP/UDP端口掃描是一種預探測攻擊。
攻擊特征:對被攻擊主機的不同端口發(fā)送TCP或UDP連接請求,探測被攻擊對象運行的服務(wù)類型。
檢測方法:統(tǒng)計外界對系統(tǒng)端口的連接請求,特別是對21、23、 25、 53、80、8000、 8080等以外的非常用端口的連接請求。
反攻擊方法:當收到多個TCP/UDP數(shù)據(jù)包對異常端口的連接請求時,通知防火墻阻斷連接請求,并對攻擊者的IP地址和MAC地址進行審計。
對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態(tài)轉(zhuǎn)移、網(wǎng)絡(luò)拓撲結(jié)構(gòu)等方法來進行入侵檢測。
四、入侵檢測系統(tǒng)的幾點思考
從性能上講,入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷,即對數(shù)據(jù)進行全面復雜的檢驗構(gòu)成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。
從技術(shù)上講,入侵檢測系統(tǒng)存在一些亟待解決的問題,主要表現(xiàn)在以下幾個方面:
一是如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。
二是網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為,入侵檢測系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)模虼藢π畔⒌母淖兓蛑匦戮幋a就可能騙過入侵檢測系統(tǒng)的檢測,因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。
三是網(wǎng)絡(luò)設(shè)備越來越復雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制,以適應更多的環(huán)境的要求。
四是對入侵檢測系統(tǒng)的評價還沒有客觀的標準,標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術(shù),隨著技術(shù)的發(fā)展和對新攻擊識別的增加,入侵檢測系統(tǒng)需要不斷的升級才能保證網(wǎng)絡(luò)的安全性。
五是采用不恰當?shù)淖詣臃磻瑯訒o入侵檢測系統(tǒng)造成風險。入侵檢測系統(tǒng)通??梢耘c防火墻結(jié)合在一起工作,當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時,過濾掉所有來自攻擊者的IP數(shù)據(jù)包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉,于是造成新的拒絕服務(wù)訪問。
關(guān)鍵詞:身份認證;RSA簽名;Windows;CryptoAPI
1引言
在以WEB形式提供服務(wù)的系統(tǒng)中,用戶的身份鑒別至關(guān)重要,它是維護系統(tǒng)安全不可或缺的重要環(huán)節(jié),決定了系統(tǒng)的后續(xù)動作。任何安全系統(tǒng)的實現(xiàn)都需要針對威脅等級和所要保護的信息的重要性,結(jié)合自身能力選擇恰當?shù)姆桨?。當前流行的是采用用戶名和密碼(口令)登錄的傳統(tǒng)方式,其優(yōu)點是用戶易于接受、易于使用、成本低廉、不必再對基礎(chǔ)設(shè)施進行投入即可得到基本的安全保障,只需簡單的軟件就可達到目的,因此得到了廣泛的應用。
這種方式所面臨的威脅主要是網(wǎng)絡(luò)竊聽、中間人攻擊。用戶密碼若以明文在網(wǎng)絡(luò)上傳輸極易被惡意攻擊者竊取。例如:在共享式非交換網(wǎng)絡(luò)中,各種網(wǎng)絡(luò)監(jiān)控軟件可輕易截獲網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù);交換式網(wǎng)絡(luò)本來被竊聽的可能性很小,但隨著Dsniff的出現(xiàn)、ARP欺騙威脅的日益現(xiàn)實,也面臨著同樣的問題。用戶密碼歷來是安全系統(tǒng)被攻擊的首選目標,一旦泄漏會直接威脅到系統(tǒng)的正常運轉(zhuǎn)。因此,大多數(shù)對安全性要求較高的應用,一般均在傳輸密碼前先對其進行加密(利用DES、Rijndael等算法)。不過,這種方法仍然無法完全避免被竊聽的危害,暴力攻擊仍然是可能的,對弱口令更是如此。
如果采用了妥善的密碼策略,則竊聽造成的危害等級就會有明顯下降。但是安全系統(tǒng)的安全性與易用性之間的平衡點很難掌握。試想如果被要求每半個月更換一次密碼且不能與以前20個密碼重復,用戶會有怎樣的反應呢?而且,更現(xiàn)實、更嚴重的威脅是中間人攻擊。當前已有大量實例顯示通過冒險的服務(wù)站點騙取用戶信息并不難,大多數(shù)用戶在享受網(wǎng)絡(luò)的方便、快捷時很少考慮安全問題。屢見不鮮的個人信用卡資料被盜就是最有力的證據(jù)。
2公開密鑰算法驗證方案
公開密鑰算法發(fā)展至今,已經(jīng)成為密碼學的一個重要組成部分。而最著名、應用最廣泛的當屬RSA算法,以至于一提公開密鑰算法一般都是指RSA算法。RSA算法提供兩種密鑰――公開密鑰和私有密鑰。在RSA算法中,用公開密鑰加密數(shù)據(jù),用私有密鑰進行解密實現(xiàn)普通的加密。但是,同樣可以使用私有密鑰加密而用公開密鑰解密。這個特性使得RSA可以用作簽名算法。發(fā)送方傳送文件時,同時傳送對文件摘要的RSA簽名;接受方用同樣的算法計算文件摘要,使用發(fā)送方的公開密鑰解密簽名,比較其是否一致即可鑒別文件是否是偽造的。
可考慮采用公開密鑰算法進行數(shù)字簽名來實現(xiàn)WEB站點的身份驗證。用戶申請服務(wù)時,主機產(chǎn)生一隨機字符串發(fā)送給用戶,用戶用自己的私鑰對該字符串簽名并傳回主機,隨后主機使用該用戶的公鑰驗證用戶身份。
驗證服務(wù)器給出隨機字符串,客戶對字符串進行數(shù)字簽名,驗證服務(wù)器驗證簽名的有效性,驗證通過,客戶得到要求的服務(wù)。
由于整個簽名過程避免了用戶私鑰在網(wǎng)絡(luò)上傳輸,從而杜絕了竊聽的可能。對于中間人攻擊,發(fā)起攻擊的人只能得到用戶名、隨機字符串及其密文,破譯出用戶私鑰的難度極大,以至于不值得或無法實現(xiàn)。即使有人發(fā)起選擇密文攻擊,由于此方案的特點――驗證服務(wù)器自己保管用戶的公鑰,事實上用戶的公鑰也是保密的,他也無法獲得用戶私鑰。若再加上適當?shù)挠脩繇憫獣r間限制則安全性更好。從而,此方案實現(xiàn)了比傳統(tǒng)方式更好的安全性,雖仍不及其他更嚴格的身份鑒別協(xié)議完善,但可以方便地使用ASP、JSP實現(xiàn),不需投入硬件設(shè)施,而且可以直接與所要保護的服務(wù)系統(tǒng)整合在一起,更適于要求綜合考慮安全性、易用性、成本等因素的中小型網(wǎng)絡(luò)系統(tǒng)應用。
3利用公開密鑰算法RSA建立公/私鑰系統(tǒng)
在諸多公開密鑰算法中RSA算法被研究得最多,已非常成熟,在世界上許多地方已成為事實上的標準。而且其專利已到期,我們可以毫無障礙地使用。雖然隨著技術(shù)的發(fā)展,它要求模數(shù)的位數(shù)越來越多(當前要求1024位,推薦1280位),導致加/解密速度緩慢,但對于局域網(wǎng)這樣的應用,顯然用不著如此之多的位數(shù)。因此,采用RSA算法是值得一試的。由于現(xiàn)在許多密碼學教材都有關(guān)于RSA算法的詳細內(nèi)容,網(wǎng)上對RSA算法的原理及實現(xiàn)也有許多材料,例如:FLINT/C、GNU MP、Miracle等等,這里對RSA算法產(chǎn)生公/私鑰的詳細步驟不再贅述。
有一個很簡便快捷的實現(xiàn)方法,就是利用Windows CryptoAPI函數(shù)建立用戶公/私鑰庫。使用Windows CryptoAPI時,先調(diào)用CryptAcquireContext()函數(shù)連接加密服務(wù)程序,再配合CRYPT-EXPORTABLE參數(shù)調(diào)用CryptGenKey()創(chuàng)建密鑰,最后調(diào)用CryptExportKey()函數(shù)輸出密鑰。如此可方便地產(chǎn)生自己的密鑰庫。
4結(jié)束語
上面給出的是利用RSA實現(xiàn)WEB站點的身份認證的一個初步構(gòu)想。為把注意力集中于驗證服務(wù)的原理上,程序設(shè)計中一些實際問題沒有包括在內(nèi)。實際上,在ASP腳本的編寫過程中要十分注意安全性,對所有用戶輸入均應進行有效性驗證。密鑰在數(shù)據(jù)庫的存儲應該先用哈希摘要,再用對稱加密算法加密。全部服務(wù)頁面均應驗證頁面的上一頁屬性,以避免非法用戶繞過身份檢查。
參考文獻
[1]王繼林,等譯.現(xiàn)代密碼學理論與實踐(英),Wenbo Mao.電子工業(yè)出版社,2004.
關(guān)鍵詞:虛擬網(wǎng)絡(luò)技術(shù);計算機網(wǎng)絡(luò)安全;具體應用
前言
計算機技術(shù)不斷地覆蓋到社會各個階層,對其安全性能的要求不言而喻。隨著信息時代的高度共享,計算機網(wǎng)絡(luò)安全逐漸出現(xiàn)多種不安全問題。需要進行計算機網(wǎng)絡(luò)安全的優(yōu)化,而虛擬網(wǎng)絡(luò)技術(shù)的應用極大地降低了計算機網(wǎng)絡(luò)安全隱患問題。虛擬網(wǎng)路技術(shù)的使用可以將用戶的數(shù)據(jù)信息進行結(jié)合,加強了數(shù)據(jù)傳輸?shù)碾[蔽性,同時也保障了互聯(lián)網(wǎng)運行時的穩(wěn)定程度,對計算機網(wǎng)絡(luò)安全工作起到了一定的作用。
一、虛擬網(wǎng)絡(luò)技術(shù)分析
(一)虛擬網(wǎng)絡(luò)技術(shù)的發(fā)展。現(xiàn)代高速信息化的時代下,計算機網(wǎng)絡(luò)安全直接關(guān)乎到用戶的個人利于與企業(yè)之間的利益,計算機網(wǎng)路發(fā)展至今擁有其相當大的覆蓋范圍,在互聯(lián)網(wǎng)世界中可以搜尋到海量需求信息。進行虛擬網(wǎng)絡(luò)技術(shù)的使用,必須依照規(guī)定的制度進行,需要嚴格遵守其使用規(guī)則[1]。在互聯(lián)網(wǎng)中個人信息是基礎(chǔ)信息,若被不乏人員進行竊取使用,則會為當事人造成嚴重的安全隱患,而掌握信息的相關(guān)組織也會被質(zhì)疑其可信度,為企業(yè)間合作帶來混亂。虛擬網(wǎng)絡(luò)技術(shù)在發(fā)展中也存在著部分問題,需要在日后的發(fā)展中進行制度的加強管理。保證其安全性與可靠性。
(二)虛擬網(wǎng)絡(luò)技術(shù)的特點。通過對虛擬網(wǎng)絡(luò)技術(shù)的深入了解與分析得出虛擬網(wǎng)絡(luò)技術(shù)的特點主要表現(xiàn)為以下幾個方面:1.虛擬網(wǎng)絡(luò)技術(shù)的多樣化。虛擬網(wǎng)絡(luò)技術(shù)所涵蓋的是具有虛擬性質(zhì)的互聯(lián)網(wǎng)技術(shù),不一樣的用戶有著需求的差別,所選擇的虛擬網(wǎng)絡(luò)技術(shù)也具有其差別性,而通過虛擬網(wǎng)絡(luò)技術(shù)的多樣化可以進行針對性的選擇[2]。2.其簡化性能較強。傳統(tǒng)發(fā)展中網(wǎng)絡(luò)計算自身存在其復雜性,通過不斷的努力在進行精細化,而通過虛擬網(wǎng)絡(luò)技術(shù)的使用極大的將復雜的網(wǎng)絡(luò)技術(shù)進行簡化。
二、虛擬網(wǎng)絡(luò)應用到計算機網(wǎng)絡(luò)安全
(一)應用在企業(yè)與合作方間。引起自身的多變屬性,虛擬網(wǎng)絡(luò)技術(shù)被應用在多個領(lǐng)域,其中在計算機網(wǎng)絡(luò)安全的應用主要體現(xiàn)與對用戶與其合作方之間的維護。在進行用戶與合作方之間的維護中表現(xiàn)為以下幾個方面:1.在企業(yè)與合作進行項目合作時會進行大量的信息往來,而這些信息都是企業(yè)希望能夠告訴被保護的,通過虛擬網(wǎng)絡(luò)技術(shù)的使用,可以做到數(shù)據(jù)在計算機網(wǎng)絡(luò)中傳輸?shù)陌踩浴?.虛擬網(wǎng)絡(luò)技術(shù)的使用還可以加強防火墻的性能,即便是事故發(fā)生時也可以減小企業(yè)的損失。3.通過虛擬網(wǎng)絡(luò)技術(shù)的使用同時也可以建立臨時客戶端,在進行數(shù)據(jù)訪問時更加快捷。
(二)應用在企業(yè)部門與分支部門間。在計算機網(wǎng)絡(luò)中沒有絕對的安全,進行虛擬網(wǎng)技術(shù)的使用雖然可以提升計算機網(wǎng)絡(luò)的安全,但是也不能做大完全的避免。在日后發(fā)展中可以嘗試將虛擬網(wǎng)絡(luò)技術(shù)使用到企業(yè)管理部門與分支單位間,這樣可以調(diào)整計算機網(wǎng)絡(luò)安全各部分之間的問題,同時也可以做到對網(wǎng)絡(luò)真?zhèn)€布局進行有效的管理,在遇到網(wǎng)絡(luò)非法攻擊或侵入時可以進行及時的隔離處理。虛擬網(wǎng)絡(luò)技術(shù)中相對常見的是硬件虛擬網(wǎng)絡(luò)技術(shù),擁有強大的加密性,同時秘鑰安全性極高不易被破壞,執(zhí)行效率更強。
(三)應用在企業(yè)網(wǎng)絡(luò)與遠程員工間。在進行虛擬網(wǎng)絡(luò)的應用中可以將此技術(shù)使用到企業(yè)網(wǎng)絡(luò)與遠程員工的管理上[3]?,F(xiàn)代部分企業(yè)中均有員工在外地工作的情況,使其與企業(yè)網(wǎng)缺乏聯(lián)系,難以實現(xiàn)確保計算機網(wǎng)絡(luò)的安全。而虛擬網(wǎng)絡(luò)技術(shù)的加入則可以極大的環(huán)節(jié)其中的矛盾??梢詫⒃谄髽I(yè)網(wǎng)絡(luò)內(nèi)加入網(wǎng)絡(luò)虛擬功能的防火墻,遠程移動網(wǎng)點進行訪問時需要通過防火墻的驗證,可以極大的提升兩者之間的計算機網(wǎng)絡(luò)安全。
結(jié)論