網(wǎng)絡安全風險與對策

　　網(wǎng)絡安全風險與對策【1】

　　摘要：要使網(wǎng)絡信息在一個良好的環(huán)境中運行，加強網(wǎng)絡信息安全至關重要。

　　必須全方位解析網(wǎng)絡的脆弱性和威脅，才能構(gòu)建網(wǎng)絡的安全措施，確保網(wǎng)絡安全。

　　本文在介紹網(wǎng)絡安全的脆弱性與威脅的基礎上，簡述了網(wǎng)絡安全的技術對策。

　　關鍵詞：網(wǎng)絡安全 脆弱性 威脅 技術對策

　　一、網(wǎng)絡安全的脆弱性

　　計算機網(wǎng)絡尤其是互連網(wǎng)絡，由于網(wǎng)絡分布的廣域性、網(wǎng)絡體系結(jié)構(gòu)的開放性、信息資源的共享性和通信信道的共用性，使計算機網(wǎng)絡存在很多嚴重的脆弱性。

　　1.不設防的網(wǎng)絡有許多個漏洞和后門

　　系統(tǒng)漏洞為病毒留后門，計算機的多個端口、各種軟件，甚至有些安全產(chǎn)品都存在著或多或少的漏洞和后門，安全得不到可靠保證。

　　2.電磁輻射

　　電磁輻射在網(wǎng)絡中表現(xiàn)出兩方面的脆弱性：一方面，網(wǎng)絡周圍電子電氣設備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預謀的干擾輻射源;另一方面，網(wǎng)絡的終端、打印機或其他電子設備在工作時產(chǎn)生的電磁輻射泄露，可以將這些數(shù)據(jù)(包括在終端屏幕上顯示的數(shù)據(jù))接收下來，并且重新恢復。

　　4.串音干擾

　　串音的作用是產(chǎn)生傳輸噪音，噪音能對網(wǎng)絡上傳輸?shù)男盘栐斐蓢乐氐钠茐摹?/p>

　　5.硬件故障

　　硬件故障可造成軟件系統(tǒng)中斷和通信中斷，帶來重大損害。

　　6.軟件故障

　　通信網(wǎng)絡軟件包含有大量的管理系統(tǒng)安全的部分，如果這些軟件程序受到損害，則該系統(tǒng)就是一個極不安全的網(wǎng)絡系統(tǒng)。

　　7.人為因素

　　系統(tǒng)內(nèi)部人員盜竊機密數(shù)據(jù)或破壞系統(tǒng)資源，甚至直接破壞網(wǎng)絡系統(tǒng)。

　　8.網(wǎng)絡規(guī)模

　　網(wǎng)絡規(guī)模越大，其安全的脆弱性越大。

　　9.網(wǎng)絡物理環(huán)境

　　這種脆弱性來源于自然災害。

　　10.通信系統(tǒng)

　　一般的通信系統(tǒng)，獲得存取權(quán)是相對簡單的，并且機會總是存在的。

　　一旦信息從生成和存儲的設備發(fā)送出去，它將成為對方分析研究的內(nèi)容。

　　二、網(wǎng)絡安全的威脅

　　網(wǎng)絡所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。

　　造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內(nèi)部攻擊和外部攻擊等，歸結(jié)起來，主要有三種：

　　1.人為的無意失誤

　　如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。

　　2.人為的惡意攻擊

　　這是計算機網(wǎng)絡所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。

　　此類攻擊又分為以下兩種：一種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

　　這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。

　　3.網(wǎng)絡軟件的漏洞和后門

　　網(wǎng)絡軟件不可能是百分之百的無缺陷和漏洞的。

　　然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，黑客攻入網(wǎng)絡內(nèi)部就是因為安全措施不完善所招致的苦果。

　　另外，軟件的后門都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦后門洞開，其造成的后果將不堪設想。

　　三、網(wǎng)絡安全的技術對策

　　一個不設防的網(wǎng)絡，一旦遭到惡意攻擊，將意味著一場災難。

　　居安思危、未雨綢繆，克服脆弱、抑制威脅，防患于未然。

　　網(wǎng)絡安全是對付威脅、克服脆弱性、保護網(wǎng)絡資源的所有措施的總和。

　　針對來自不同方面的安全威脅，需要采取不同的安全對策。

　　從法律、制度、管理和技術上采取綜合措施，以便相互補充，達到較好的安全效果。

　　技術措施是最直接的屏障，目前常用而有效的網(wǎng)絡安全技術對策有如下幾種：

　　1.加密

　　加密的主要目的是防止信息的非授權(quán)泄露。

　　網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。

　　鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

　　信息加密過程是由形形色色的加密算法來具體實施的，加密算法有許多種，如果按照收發(fā)雙方密鑰是否相同來分類，可分為常規(guī)密碼算法和公鑰密碼算法，但在實際應用中人們通常將常規(guī)密碼算法和公鑰密碼算法結(jié)合在一起使用，這樣不僅可以實現(xiàn)加密，還可以實現(xiàn)數(shù)字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

　　因此，密碼技術是信息網(wǎng)絡安全的核心技術。

　　2.數(shù)字簽名

　　數(shù)字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

　　數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議，使得收發(fā)數(shù)據(jù)的雙方能夠滿足兩個條件：接受方能夠鑒別發(fā)送方宣稱的身份;發(fā)送方以后不能否認他發(fā)送過數(shù)據(jù)這一事實。

　　數(shù)據(jù)簽名一般采用不對稱加密技術，發(fā)送方對整個明文進行加密變換，得到一個值，將其作為簽名。

　　接收者使用發(fā)送者的公開密鑰簽名進行解密運算，如其結(jié)果為明文，則簽名有效，證明對方省份是真實的。

　　3.鑒別

　　鑒別的目的是驗明用戶或信息的正身。

　　對實體聲稱的身份進行唯一地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

　　鑒別技術可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

　　按照鑒別對象的不同，鑒別技術可以分為消息源鑒別和通信雙方相互鑒別。

　　鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當今最佳的鑒別方法是數(shù)字簽名。

　　利用單方數(shù)字簽名，可實現(xiàn)消息源鑒別，訪問身份鑒別、消息完整性鑒別。

　　4.訪問控制

　　訪問控制是網(wǎng)絡安全防范和保護的主要對策，它的目的是防止非法訪問，訪問控制是采取各種措施保證系統(tǒng)資源不被非法訪問和使用。

　　一般采用基于資源的集中式控制、基于源和目的地址的過濾管理、以及網(wǎng)絡簽證技術等技術實現(xiàn)。

　　5.防火墻

　　防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境中。

　　在大型網(wǎng)絡系統(tǒng)與因特網(wǎng)互連的第一道屏障就是防火墻。

　　防火墻通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理，其基本功能為：過濾進、出網(wǎng)絡的數(shù)據(jù);管理進出網(wǎng)絡的訪問行為：封堵某些禁止行為;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡攻擊進行檢測和和告警。

　　隨著計算機技術和通信技術的發(fā)展，計算機網(wǎng)絡將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。

　　因此，認清網(wǎng)絡的脆弱性和潛在威脅，采取強有力的安全對策，對于保障網(wǎng)絡的安全性將變得十分重要。

　　參考文獻：

　　[1]張世永.網(wǎng)絡安全原理與應用.北京：科學出版社，2003.

　　[2]崔國平.國防信息安全戰(zhàn)略.北京：金城出版社，2000.

　　網(wǎng)絡安全風險評估的仿真與應用【2】

　　摘 要 伴隨著互聯(lián)網(wǎng)的普及和應用，網(wǎng)絡安全問題日益突出，在采用防火墻技術、入侵檢測和防御技術、代理技術、信息加密技術、物理防范技術等一系列網(wǎng)絡安全防范技術的同時，人們開始采用網(wǎng)絡安全風險評估的方法輔助解決網(wǎng)絡安全問題。

　　為提高網(wǎng)絡安全風險評估準確率，本文提出了一種基于支持向量機的評價模型，通過仿真分析，得出采用該模型進行網(wǎng)絡安全風險評估具有一定可行性，值得應用。

　　關鍵詞 網(wǎng)絡安全 安全風險評估 仿真

　　當今時代是信息化時代，計算機網(wǎng)絡應用已經(jīng)深入到了社會各個領域，給人們的工作和生活帶來了空前便利。

　　然而與此同時，網(wǎng)絡安全問題也日益突出，如何通過一系列切實有效的安全技術和策略保證網(wǎng)絡運行安全已成為我們面臨的重要課題。

　　網(wǎng)絡安全風險評估技術很早前就受到了信息安全領域的關注，但發(fā)展至今，該技術尚需要依賴人員能力和經(jīng)驗，缺乏自主性和實效性，評價準確率較低。

　　本文主要以支持向量機為基礎，構(gòu)建一個網(wǎng)絡安全風險評估模型，將定性分析與定量分析相結(jié)合，通過綜合數(shù)值化分析方法對網(wǎng)絡安全風險進行全面評價，以期為網(wǎng)絡安全管理提供依據(jù)。

　　1網(wǎng)絡安全風險評估模型的構(gòu)建

　　網(wǎng)絡安全風險模型質(zhì)量好壞直接影響評估結(jié)果，本文主要基于支持向量機，結(jié)合具有良好泛化能力和學習能力的組合核函數(shù)，將信息系統(tǒng)樣本各指標特征映射到一個高維特征空間，構(gòu)成最優(yōu)分類超平面，構(gòu)造網(wǎng)絡信息安全風險二分類評估模型。

　　組合核函數(shù)表示為：

　　K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

　　Kpoly為多項式核函數(shù)，KRBF為徑向基核函數(shù)。

　　組合核函數(shù)能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。

　　本文主要選用具有良好外推能力的d=2，d=4階多項式。

　　另外一方面，當%l=1時，核函數(shù)局部性不強，當%l=0.5時，核函數(shù)則具有較強局部性，所以組合核函數(shù)選用支持向量機d=2，%l=0.5的組合進行測試。

　　2仿真研究

　　2.1數(shù)據(jù)集與實驗平臺

　　構(gòu)建網(wǎng)絡安全風險評估模型前，需要在深入了解并歸納網(wǎng)絡安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網(wǎng)絡應對風險水平的評估指標，根據(jù)網(wǎng)絡安全三要素，確定資產(chǎn)(通信服務、計算服務、信息和數(shù)據(jù)、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉(zhuǎn)移、信息泄露、信息丟失、網(wǎng)絡服務中斷)和脆弱性(威脅模型、設計規(guī)范、實現(xiàn)、操作和配置的脆弱性)為網(wǎng)絡安全風險評估指標，從網(wǎng)絡層、傳輸層和物理層三方面出發(fā)，構(gòu)建一個完整的網(wǎng)絡安全評估指標體系。

　　將選取的網(wǎng)絡安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。

　　在此之后，建立網(wǎng)絡評估等級，將網(wǎng)絡安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。

　　確定評價指標后，構(gòu)造樣本數(shù)據(jù)集，即訓練樣本集和測試樣本集。

　　為驗證模型可行性和有效性，基于之前研究中所使用的有效的網(wǎng)絡實驗環(huán)境，構(gòu)建實驗網(wǎng)絡，在實驗網(wǎng)絡中設計網(wǎng)絡中各節(jié)點的訪問控制策略，節(jié)點A為外網(wǎng)中的一臺PC機，它代表的是目標網(wǎng)絡外的訪問用戶;節(jié)點B網(wǎng)絡信息服務器，其WWW服務對A開放，Rsh服務可監(jiān)聽本地WWW服務的數(shù)據(jù)流;節(jié)點C為數(shù)據(jù)庫，節(jié)點B的WWW服務可向該數(shù)據(jù)庫讀寫信息;節(jié)點D為管理機，可通過Rsh服務和Snmp服務管理節(jié)點B;節(jié)點E為個人計算機，管理員可向節(jié)點C的數(shù)據(jù)庫讀寫信息。

　　2.2網(wǎng)絡安全風險評估模型實現(xiàn)

　　將數(shù)據(jù)分為訓練數(shù)據(jù)和測試數(shù)據(jù)，如果每一個訓練數(shù)據(jù)可表示為1?6維的行向量，即：

　　Rm=[Am，0，Am，1，Am，2，……Am，15]

　　那么，整個網(wǎng)絡信息系統(tǒng)安全性能指標矩陣為：

　　Rm=[R0，R1，R2，……Rm-1]

　　將這M個項目安全性能指標矩陣作為訓練數(shù)據(jù)集，利用訓練數(shù)據(jù)集對二分類評估模型進行訓練，作非線性變換使訓練數(shù)據(jù)成為線性可分，通過訓練學習，尋找支持向量，構(gòu)造最優(yōu)分類超平面，得出模型決策函數(shù)，然后設定最小誤差精度和最大訓練次數(shù)，當訓練精度小于預定目標誤差，或是網(wǎng)絡迭代次數(shù)達到最大迭代次數(shù)，停止訓練，保存網(wǎng)絡。

　　采用主成分析法即“指標數(shù)據(jù)標準化――計算協(xié)方差矩陣――求解特征值和U值――確定主成分”對指標進行降維處理，消除冗余信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價準確率。

　　實際操作中可取前5個主成分代表16個指標體系。

　　在訓練好的模型中輸入經(jīng)過主成分析法處理后的指標值，對待評估的網(wǎng)絡進行評估，根據(jù)網(wǎng)絡輸出等級值來判斷網(wǎng)絡安全分等級。

　　2.3實驗結(jié)果與分析

　　利用訓練后的網(wǎng)絡對測試樣本集進行測試后，得到測試結(jié)果。

　　結(jié)果表明，基于支持向量機的二分類評估模型能正確地對網(wǎng)絡的安全等級進行評價，評估準確率高達100%，結(jié)果與實際更貼近，評估結(jié)果完全可以接受。

　　但即便如此，在日常管理中，仍需加強維護，采取適當網(wǎng)絡安全技術防范黑客攻擊和病毒侵犯，保證網(wǎng)絡正常運行。

　　3結(jié)語

　　總之，網(wǎng)絡安全風險評估技術是解決網(wǎng)絡安全風險問題行之有效的措施之一。

　　本文主要提出了一種基于支持向量機的二分類評估模型，通過仿真分析，得到該模型在網(wǎng)絡安全風險的量化評估中具有一定可行性和有效性的結(jié)論。

　　未來，我們還應考慮已有安全措施和安全管理因素等對網(wǎng)絡安全的影響，通過利用網(wǎng)絡數(shù)據(jù)，進一步改進評估模型和相關評估方法，以達到完善評估效果的目的。

　　參考文獻

　　[1] 步山岳，張有東.計算機安全技[M].高等教育出版社，2005，10.

　　[2] 張千里.網(wǎng)絡安全新技術[M].人民郵電出版社，2003.

　　[3] 馮登國.網(wǎng)絡安全原理與技術[M].科技出版社，2003，9.

【網(wǎng)絡安全風險與對策】相關文章：

工程經(jīng)濟管理的風險及對策10-06

個人股票投資風險探究與對策10-09

人力資源管理風險與對策10-02

淺談工程經(jīng)濟管理的風險及對策10-05

網(wǎng)絡安全風險評估相關探討09-30

國際貨運代理風險及控制對策論文10-09

心內(nèi)科護理潛在風險與對策的論文10-09

工程經(jīng)濟管理的風險及對策論文10-09

工程經(jīng)濟管理的風險問題及相關對策10-08