|
|
什麽是網絡安全
網絡安全是指網絡係統的硬件、軟件及其係統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,係統連續可靠正常地運行,網絡服務不中斷。
1 .網絡安全概述
隨着計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網絡的內部業務處理、辦公自動化等發展到基於復雜的內部網(intranet)、企業外部網(extranet)、全球互連網(internet)的企業級計算機處理係統和世界範圍內的信息共享和業務處理。在係統處理能力提高的同時,係統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡係統安全、應用係統安全和網絡管理的安全等。
因此計算機安全問題,應該象每傢每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
2 .物理安全分析
網絡的物理安全是整個網絡係統安全的前提。在校園網工程建設中,由於網絡係統屬於弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮布綫係統與照明電綫、動力電綫、通信綫路、暖氣管道及冷熱空氣管道之間的距離;考慮布綫係統和絶緣綫、裸體綫以及接地與焊接的安全;必須建設防雷係統,防雷係統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁幹擾;綫路截獲;高可用性的硬件;雙機多冗餘的設計;機房環境及報警係統、安全意識等,因此要盡量避免網絡的物理安全風險。
3 .網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡係統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他係統。透過網絡傳播,還會影響到連上internet/intrant的其他的網絡;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開服務器(web、dns、email等)和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,衹允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絶。
4 .係統的安全分析
所謂係統的安全是指整個網絡操作係統和網絡硬件平臺是否可靠且值得信任。目前恐怕沒有絶對安全的操作係統可以選擇,無論是microsfot 的windows nt或者其它任何商用unix操作係統,其開發廠商必然有其back-door。因此,我們可以得出如下結論:沒有完全安全的操作係統。不同的用戶應從不同的方面對其網絡作詳盡的分析,選擇安全性盡可能高的操作係統。因此不但要選用盡可能可靠的操作係統和硬件平臺,並對操作係統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限製登錄者的操作權限,將其完成的操作限製在最小的範圍內。
5 .應用係統的安全分析
應用係統的安全跟具體的應用有關,它涉及面廣。應用係統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
--應用係統的安全是動態的、不斷變化的。
應用的安全涉及方面很多,以目前internet上應用最為廣泛的e-mail係統來說,其解决方案有sendmail、netscape messaging server、software.com post.office、lotus notes、exchange server、sun cims等不下二十多種。其安全手段涉及ldap、des、rsa等各種方式。應用係統是不斷發展且應用類型是不斷增加的。在應用係統的安全性上,主要考慮盡可能建立安全的係統平臺,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高係統的安全性。
--應用的安全性涉及到信息、數據的安全性。
2006最新殺毒軟件排名
金奬:bitdefender
銀奬: kaspersky
銅奬: f-secure anti-virus
第四名: pc-cillin
第五名: eset nod32
第六名: mcafee virusscan
第七名: norton antivirus
第八名: avg anti-virus
第九名: etrust ez antivirus
第十名: norman virus control
第十一名:antiviruskit
第十二名:avast!
第十三名:panda titanium
第十四名:f-prot
信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞係統的可用性等。在某些網絡係統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。采用多層次的訪問控製與權限控製手段,實現對數據的安全保護;采用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
6 .管理的安全風險分析
管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤綫索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網絡安全機製,必須深刻理解網絡並能提供直接的解决方案,因此,最可行的做法是製定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是校園網建設過程中重要的一環。
7 .網絡安全措施
--物理措施:例如,保護網絡關鍵設備(如交換機、大型計算機等),製定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源(ups)等措施。
--訪問控製:對用戶訪問網絡資源的權限進行嚴格的認證和控製。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控製網絡設備配置的權限,等等。
--數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。
防止計算機網絡病毒,安裝網絡防病毒係統。
--其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網絡安全問題提出了許多解决辦法,例如數據加密技術和防火墻技術等。數據加密是對網絡中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火墻技術是通過對網絡的隔離和限製訪問等方法來控製網絡的訪問權限,從而保護網絡資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控製等等。
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
網絡安全是指網絡係統的硬件、軟件及其係統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,係統連續可靠正常地運行,網絡服務不中斷。
網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
網絡安全的具體含義會隨着“角度”的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,? 問和破壞。
從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控製,避免出現“陷門”、病毒、非法存取、拒絶服務和網絡資源非法占用和非法控製等威脅,製止和防禦網絡黑客的攻擊。
對安全保密部門來說,他們希望對非法的、有害的或涉及國傢機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會産生危害,對國傢造成巨大損失。
從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控製。
2、增強網絡安全意識刻不容緩
隨着計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。信息網絡涉及到國傢的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控决策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國傢機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據,這大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加,使各國的計算機係統特別是網絡係統面臨着很大的威脅,並成為嚴重的社會問題之一。
3、網絡安全案例
96年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機係統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
94年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一傢小軟件公司的聯網計算機上,嚮美國citybank銀行發動了一連串攻擊,通過電子轉帳方式,從citybank銀行在紐約的計算機主機裏竊取1100萬美元。
96年8月17日,美國司法部的網絡服務器遭到黑客入侵,並將“ 美國司法部” 的主頁改為“ 美國不公正部” ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
96年9月18日,黑客又光顧美國中央情報局的網絡服務器,將其主頁由“中央情報局” 改為“ 中央愚蠢局” 。
96年12月29日,黑客侵入美國空軍的全球網網址並將其主頁肆意改動,其中有關空軍介紹、新聞發佈等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4、我國計算機互連網出現的安全問題案例
96年2月,剛開通不久的chinanet受到攻擊,且攻擊得逞。
97年初,北京某isp被黑客成功侵入,並在清華大學“ 水木清華” bbs站的“ 黑客與解密” 討論區張貼有關如何免費通過該isp進入internet的文章。
97年4月23日,美國德剋薩斯州內查德遜地區西南貝爾互聯網絡公司的某個ppp用戶侵入中國互聯網絡信息中心的服務器,破譯該係統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
96年初chinanet受到某高校的一個研究生的攻擊;96年秋,北京某isp和它的用戶發生了一些矛盾,此用戶便攻擊該isp的服務器,致使服務中斷了數小時。
5、不同環境和應用中的網絡安全
運行係統安全,即保證信息處理和傳輸係統的安全。它側重於保證係統正常運行,避免因為係統的崩潰和損壞而對係統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,産生信息泄露,幹擾他人,受他人幹擾。
網絡上係統信息的安全。包括用戶口令鑒別,用戶存取權限控製,數據存取權限、方式控製,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
網絡上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控製非法、有害的信息進行傳播後的後果。避免公用網絡上大量自由傳輸的信息失控。
網絡上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用係統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。
6、網絡安全的特徵
網絡安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絶服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控製能力。
7、主要的網絡安全威脅
自然災害、意外事故;
計算機犯罪;
人為行為,比如使用不當,安全意識差等;
“黑客” 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絶服務計算機病毒、非法連接等;
內部泄密;
外部泄密;
信息丟失;
電子諜報,比如信息流量分析、信息竊取等;
信息戰;
網絡協議中的缺陷,例如tcp/ip協議的安全問題等等。
8、網絡安全的結構層次
8.1 物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬盤損壞、設備使用壽命到期等),設備故障(如停電、電磁幹擾等),意外事故。解决方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,幹擾他人,受他人幹擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解决方案是:輻射防護,屏幕口令,隱藏銷毀等。
操作失誤(如刪除文件,格式化硬盤,綫路拆除等),意外疏漏。解决方案是:狀態檢測,報警確認,應急恢復等。
計算機係統機房環境的安全。特點是:可控性強,損失也大。解决方案:加強機房管理,運行管理,安全組織和人事管理。
8.2 安全控製
微機操作係統的安全控製。如用戶開機鍵入的口令(某些微機主板有“ 萬能口令” ),對文件的讀寫存取的控製(如unix係統的文件屬性控製機製)。主要用於保護存貯在硬盤上的信息和數據。
網絡接口模塊的安全控製。在網絡環境下對來自其他機器的網絡通信進程進行安全控製。主要包括:身份認證,客戶權限設置與判別,審計日志等。
網絡互聯設備的安全控製。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控製。主要通過網管軟件或路由器配置實現。
8.3 安全服務
對等實體認證服務
訪問控製服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機製
加密機製
數字簽名機製
訪問控製機製
數據完整性機製
認證機製
信息流填充機製
路由控製機製
公證機製
9、網絡加密方式
鏈路加密方式
節點對節點加密方式
端對端加密方式
10、tcp/ip協議的安全問題
tcp/ip協議數據流采用明文傳輸。
源地址欺騙(source address spoofing)或ip欺騙(ip spoofing)。
源路由選擇欺騙(source routing spoofing)。
路由選擇信息協議攻擊(rip attacks)。
鑒別攻擊(authentication attacks)。
tcp序列號欺騙(tcp sequence number spoofing)。
tcp序列號轟炸攻擊(tcp syn flooding attack),簡稱syn攻擊。
易欺騙性(ease of spoofing)。
11、一種常用的網絡安全工具:掃描器
掃描器:是自動檢測遠程或本地主機安全性弱點的 程序,一個好的掃描器相當於一千個口令的價值。
如何工作:tcp端口掃描器,選擇tcp/ip端口和服務(比如ftp),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麽:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。係統管理員使用掃描器,將有助於加強係統的安全性。黑客使用它,對網絡的安全將不利。
掃描器的屬性:1、尋找一臺機器或一個網絡。2、一旦發現一臺機器,可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器:1、nss網絡安全掃描器,2、stroke超級優化tcp端口檢測程序,可記錄指定機器的所有開放端口。3、satan安全管理員的網絡分析工具。4、jakal。5、xscan。
12、黑客常用的信息收集工具
信息收集是突破網絡係統的第一步。黑客可以使用下面幾種工具來收集所需信息:
snmp協議,用來查閱非安全路由器的路由表,從而瞭解目標機構網絡拓撲的內部細節。
traceroute程序,得出到達目標主機所經過的網絡數和路由器數。
whois協議,它是一種信息服務,能夠提供有關所有dns域和負責各個域的係統管理員數據。(不過這些數據常常是過時的)。
dns服務器,可以訪問主機的ip地址表和它們對應的主機名。
finger協議,能夠提供特定主機上用戶們的詳細信息(註册名、電話號碼、最後一次註册的時間等)。
ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以ping網絡上每個可能的主機地址,從而可以構造出實際駐留在網絡上的主機清單。
13、 internet 防 火 墻
internet防火墻是這樣的係統(或一組係統),它能增強機構內部網絡的安全性。
防火墻係統决定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以
及哪些外部服務可以被內部人員訪問。要使一個防火墻有效,所有來自和去往internet的信
息都必須經過防火墻,接受防火墻的檢查。防火墻衹允許授權的數據通過,並且防火墻本身也
必須能夠免於滲透。
13.1 internet防火墻與安全策略的關係
防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合,防火墻是安全策略的一個部分。
安全策略建立全方位的防禦體係,甚至包括:告訴用戶應有的責任,公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火墻係統,而沒有全面的安全策略,那麽防火墻就形同虛設。
13.2 防 火 墻 的 好 處
internet防火墻負責管理internet和機構內部網絡之間的訪問。在沒有防火墻時,內部網絡上的每個節點都暴露給internet上的其它主機,極易受到攻擊。這就意味着內部網絡的安全性要由每一個主機的堅固程度來决定,並且安全性等同於其中最弱的係統。
13.3 internet防火墻的作用
internet防火墻允許網絡管理員定義一個中心“ 扼製點” 來防止非法用戶,比如防止黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡,並抗擊來自各種路綫的攻擊。internet防火墻能夠簡化安全管理,網絡的安全性是在防火墻係統上得到加固,而不是分佈在內部網絡的所有主機上。
在防火墻上可以很方便的監視網絡的安全性,並産生報警。(註意:對一個與internet相聯的內部網絡來說,重要的問題並不是網絡是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網絡管理員必須審計並記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警並審查常規記錄,防火墻就形同虛設。在這種情況下,網絡管理員永遠不會知道防火墻是否受到攻擊。
internet防火墻可以作為部署nat(network address translator,網絡地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題,並消除機構在變換isp時帶來的重新編址的麻煩。
internet防火墻是審計和記錄internet使用量的一個最佳地方。網絡管理員可以在此嚮管理部門提供internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門級計費 文字 |
|
網絡安全是指網絡係統的硬件、軟件及其係統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,係統連續可靠正常地運行,網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
網絡安全的具體含義會隨着“角度”的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
網絡安全應具有以下五個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絶服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控製能力。
可審查性:出現的安全問題時提供依據與手段
從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控製,避免出現“陷門”、病毒、非法存取、拒絶服務和網絡資源非法占用和非法控製等威脅,製止和防禦網絡黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國傢機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會産生危害,對國傢造成巨大損失。從社會教育和意識形態角度來講,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控製。
隨着計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網絡的內部業務處理、辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理係統和世界範圍內的信息共享和業務處理。在係統處理能力提高的同時,係統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡係統安全、應用係統安全和網絡管理的安全等。
因此計算機安全問題,應該象每傢每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。 |
|
通常,係統安全與性能和功能是一對矛盾的關係。如果某個係統不嚮外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,企業接入國際互連網絡,提供網上商店和電子商務等服務,等於將一個內部封閉的網絡建成了一個開放的網絡環境,各種安全包括係統級的安全問題也隨之産生。
構建網絡安全係統,一方面由於要進行認證、加密、監聽,分析、記錄等工作,由此影響網絡效率,並且降低客戶應用的靈活性;另一方面也增加了管理費用。
但是,來自網絡的安全威脅是實際存在的,特別是在網絡上運行關鍵業務時,網絡安全是首先要解决的問題。
選擇適當的技術和産品,製訂靈活的網絡安全策略,在保證網絡安全的情況下,提供靈活的網絡服務通道。
采用適當的安全體係設計和管理計劃,能夠有效降低網絡安全對網絡性能的影響並降低管理費用。
全方位的安全體係:
與其它安全體係(如保安係統)類似,企業應用係統的安全休係應包含:
訪問控製:通過對特定網段、服務建立的訪問控製體係,將絶大多數攻擊阻止在到達攻擊目標之前。
檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絶大多數攻擊無效。
攻擊監控:通過對特定網段、服務建立的攻擊監控體係,可實時檢測出絶大多數攻擊,並采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
加密通訊:主動的加密通訊,可使攻擊者不能瞭解、修改敏感信息。
認證:良好的認證體係可防止攻擊者假冒合法用戶。
備份和恢復:良好的備份和恢復機製,可在攻擊造成損失時,盡快地恢復數據和係統服務。
多層防禦,攻擊者在突破第一道防綫後,延緩或阻斷其到達攻擊目標。
隱藏內部信息,使攻擊者不能瞭解係統內的基本情況。
設立安全監控中心,為信息係統提供安全體係管理、監控,渠護及緊急情況服務。 |
|
2.1.物理安全分析
網絡的物理安全是整個網絡係統安全的前提。在校園網工程建設中,由於網絡係統屬於弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮布綫係統與照明電綫、動力電綫、通信綫路、暖氣管道及冷熱空氣管道之間的距離;考慮布綫係統和絶緣綫、裸體綫以及接地與焊接的安全;必須建設防雷係統,防雷係統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁幹擾;綫路截獲;高可用性的硬件;雙機多冗餘的設計;機房環境及報警係統、安全意識等,因此要盡量避免網絡的物理安全風險。
2.2.網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡係統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他係統。透過網絡傳播,還會影響到連上Internet/Intrant的其他的網絡;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,衹允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絶。
2.3.係統的安全分析
所謂係統的安全是指整個網絡操作係統和網絡硬件平臺是否可靠且值得信任。目前恐怕沒有絶對安全的操作係統可以選擇,無論是Microsfot 的Windows NT或者其它任何商用UNIX操作係統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作係統。不同的用戶應從不同的方面對其網絡作詳盡的分析,選擇安全性盡可能高的操作係統。因此不但要選用盡可能可靠的操作係統和硬件平臺,並對操作係統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限製登錄者的操作權限,將其完成的操作限製在最小的範圍內。
2.4.應用係統的安全分析
應用係統的安全跟具體的應用有關,它涉及面廣。應用係統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
——應用係統的安全是動態的、不斷變化的。
應用的安全涉及方面很多,以目前Internet上應用最為廣泛的E-mail係統來說,其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用係統是不斷發展且應用類型是不斷增加的。在應用係統的安全性上,主要考慮盡可能建立安全的係統平臺,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高係統的安全性。
——應用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞係統的可用性等。在某些網絡係統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。采用多層次的訪問控製與權限控製手段,實現對數據的安全保護;采用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
2.5.管理的安全風險分析
管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤綫索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網絡安全機製,必須深刻理解網絡並能提供直接的解决方案,因此,最可行的做法是製定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是校園網建設過程中重要的一環。 |
|
3 .1.安全技術手段
物理措施:例如,保護網絡關鍵設備(如交換機、大型計算機等),製定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控製:對用戶訪問網絡資源的權限進行嚴格的認證和控製。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控製網絡設備配置的權限,等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網絡病毒,安裝網絡防病毒係統。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網絡安全問題提出了許多解决辦法,例如數據加密技術和防火墻技術等。數據加密是對網絡中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火墻技術是通過對網絡的隔離和限製訪問等方法來控製網絡的訪問權限。
3 .2.安全防範意識
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。 |
|
4 .1.概況
隨着計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。有很多是敏感信息,甚至是國傢機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
4 .2.國外
1996年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機係統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
1994年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一傢小軟件公司的聯網計算機上,嚮美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機裏竊取1100萬美元。
1996年8月17日,美國司法部的網絡服務器遭到黑客入侵,並將“ 美國司法部” 的主頁改為“ 美國不公正部” ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
1996年9月18日,黑客又光顧美國中央情報局的網絡服務器,將其主頁由“中央情報局” 改為“ 中央愚蠢局” 。
1996年12月29日,黑客侵入美國空軍的全球網網址並將其主頁肆意改動,其中有關空軍介紹、新聞發佈等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4 .3.國內
1996年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
1997年初,北京某ISP被黑客成功侵入,並在清華大學“ 水木清華” BBS站的“ 黑客與解密” 討論區張貼有關如何免費通過該ISP進入Internet的文章。
1997年4月23日,美國德剋薩斯州內查德遜地區西南貝爾互聯網絡公司的某個PPP用戶侵入中國互聯網絡信息中心的服務器,破譯該係統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
1996年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的服務器,致使服務中斷了數小時。 |
|
運行係統安全,即保證信息處理和傳輸係統的安全。它側重於保證係統正常運行,避免因為係統的崩潰和損壞而對係統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,産生信息泄露,幹擾他人,受他人幹擾。
網絡上係統信息的安全。包括用戶口令鑒別,用戶存取權限控製,數據存取權限、方式控製,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
網絡上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控製非法、有害的信息進行傳播後的後果。避免公用網絡上大量自由傳輸的信息失控。
網絡上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用係統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。 |
|
網絡安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絶服務、破壞網絡和有關係統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控製能力。 |
|
自然災害、意外事故;計算機犯罪; 人為行為,比如使用不當,安全意識差等;黑客” 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絶服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等; 信息戰;網絡協議中的缺陷,例如TCP/IP協議的安全問題等等。
網絡安全威脅主要包括兩類:滲入威脅和植入威脅滲入威脅主要有:假冒、旁路控製、授權侵犯;
植入威脅主要有:特洛伊木馬、陷門。
陷門:將某一“特徵”設立於某個係統或係統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。 |
|
8.1 物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬盤損壞、設備使用壽命到期等),設備故障(如停電、電磁幹擾等),意外事故。解决方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,幹擾他人,受他人幹擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解决方案是:輻射防護,屏幕口令,隱藏銷毀等。
操作失誤(如刪除文件,格式化硬盤,綫路拆除等),意外疏漏。解决方案是:狀態檢測,報警確認,應急恢復等。
計算機係統機房環境的安全。特點是:可控性強,損失也大。解决方案:加強機房管理,運行管理,安全組織和人事管理。
8.2 安全控製
微機操作係統的安全控製。如用戶開機鍵入的口令(某些微機主板有“ 萬能口令” ),對文件的讀寫存取的控製(如Unix係統的文件屬性控製機製)。主要用於保護存貯在硬盤上的信息和數據。
網絡接口模塊的安全控製。在網絡環境下對來自其他機器的網絡通信進程進行安全控製。主要包括:身份認證,客戶權限設置與判別,審計日志等。
網絡互聯設備的安全控製。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控製。主要通過網管軟件或路由器配置實現。
8.3 安全服務
對等實體認證服務
訪問控製服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機製
加密機製
數字簽名機製
訪問控製機製
數據完整性機製
認證機製
信息流填充機製
路由控製機製
公證機製 |
|
鏈路加密方式
節點對節點加密方式
端對端加密方式 |
|
TCP/IP協議數據流采用明文傳輸。
源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。
源路由選擇欺騙(Source Routing spoofing)。
路由選擇信息協議攻擊(RIP Attacks)。
鑒別攻擊(Authentication Attacks)。
TCP序列號欺騙(TCP Sequence number spoofing)。
TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。
易欺騙性(Ease of spoofing)。 |
|
掃描器:是自動檢測遠程或本地主機安全性弱點的 程序,一個好的掃描器相當於一千個口令的價值。
如何工作:TCP端口掃描器,選擇TCP/IP端口和服務(比如FTP),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麽:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。係統管理員使用掃描器,將有助於加強係統的安全性。黑客使用它,對網絡的安全將不利。
掃描器的屬性:1、尋找一臺機器或一個網絡。2、一旦發現一臺機器,可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器:1、NSS網絡安全掃描器,2、stroke超級優化TCP端口檢測程序,可記錄指定機器的所有開放端口。3、SATAN安全管理員的網絡分析工具。4、JAKAL。5、XSCAN。
一般比較流行的網絡安全硬件還有:入侵防禦設備(IPS),入侵監測設備(IDS),一體化安全網關(UTM),較早的安全硬件還有硬件防火墻,但該隨着UTM的出現,已經慢慢被替代。 |
|
信息收集是突破網絡係統的第一步。黑客可以使用下面幾種工具來收集所需信息:
SNMP協議
SNMP協議,用來查閱非安全路由器的路由表,從而瞭解目標機構網絡拓撲的內部細節。
簡單網絡管理協議(Simple Network Management Protocol SNMP)首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為瞭解决Internet上的路由器管理問題而提出的.SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。
TraceRoute程序
TraceRoute程序,得出到達目標主機所經過的網絡數和路由器數。Traceroute程序是同Van Jacobson編寫的能深入探索TCPIP協議的方便可用的工具.它能讓我們看到數據報從一臺主機傳到另一臺主機所經過的路由.Traceroute程序還可以上我們使用IP源路由選項,讓源主機指定發送路由
Whois協議
Whois協議,它是一種信息服務,能夠提供有關所有DNS域和負責各個域的係統管理員數據。(不過這些數據常常是過時的)。WHOIS協議。其基本內容是,先嚮服務器的TCP端口43建立一個連接,發送查詢關鍵字並加上回車換行,然後接收服務器的查詢結果。
DNS服務器
DNS服務器是Domain Name System或者Domain Name Service(域名係統或者域名服務)。域名係統為Internet上的主機分配域名地址和IP地址。用戶使用域名地址,該係統就會自動把域名地址轉為IP地址。域名服務是運行域名係統的Internet工具。執行域名服務的服務器稱之為DNS服務器,通過DNS服務器來應答域名服務的查詢
Finger協議
Finger協議,能夠提供特定主機上用戶們的詳細信息(註册名、電話號碼、最後一次註册的時間等)。
Ping實用程序
Ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以Ping網絡上每個可能的主機地址,從而可以構造出實際駐留在網絡上的主機清單。它是用來檢查網絡是否通暢或者網絡連接速度的命令。作為一個生活在網絡上的管理員或者黑客來說,ping命令是第一個必須掌握的DOS命令,它所利用的原理是這樣的:網絡上的機器都有唯一確定的IP地址,我們給目標IP地址發送一個數據包,對方就要返回一個同樣大小的數據包,根據返回的數據包我們可以確定目標主機的存在,可以初步判斷目標主機的操作係統等,當然,它也可用來測定連接速度和丟包率。
使用方法(XP係統下)
開始-運行-CMD-確定-輸入ping 0.0.0.0-回車
0.0.0.0為你需要的IP。
部分防火墻會將ping禁止,故可能會提示timed out(超時)等情況
判斷操作係統,則是看返回的TTL值。 |
|
Internet防火墻是這樣的係統(或一組係統),它能增強機構內部網絡的安全性。
防火墻係統决定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經過防火墻,接受防火墻的檢查。防火墻衹允許授權的數據通過,並且防火墻本身也必須能夠免於滲透。
13.1 Internet防火墻與安全策略的關係
防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合,防火墻是安全策略的一個部分。
安全策略建立全方位的防禦體係,甚至包括:告訴用戶應有的責任,公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火墻係統,而沒有全面的安全策略,那麽防火墻就形同虛設。
13.2 防火墻的好處
Internet防火墻負責管理Internet和機構內部網絡之間的訪問。在沒有防火墻時,內部網絡上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味着內部網絡的安全性要由每一個主機的堅固程度來决定,並且安全性等同於其中最弱的係統。
13.3 Internet防火墻的作用
Internet防火墻允許網絡管理員定義一個中心“ 扼製點” 來防止非法用戶,比如防止黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡,並抗擊來自各種路綫的攻擊。Internet防火墻能夠簡化安全管理,網絡的安全性是在防火墻係統上得到加固,而不是分佈在內部網絡的所有主機上。
在防火墻上可以很方便的監視網絡的安全性,並産生報警。(註意:對一個與Internet相聯的內部網絡來說,重要的問題並不是網絡是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網絡管理員必須審計並記錄所有通過防火墻的重要信息。如果網絡管理員不能及時響應報警並審查常規記錄,防火墻就形同虛設。在這種情況下,網絡管理員永遠不會知道防火墻是否受到攻擊。
Internet防火墻可以作為部署NAT(Network Address Translator,網絡地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網絡管理員可以在此嚮管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門級計費。 |
|
1. Internet是一個開放的、無控製機構的網絡,黑客(Hacker)經常會侵入網絡中的計算機係統,或竊取機密數據和盜用特權,或破壞重要數據,或使係統功能得不到充分發揮直至癱瘓。
2. Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3. Internet上的通信業務多數使用Unix操作係統來支持,Unix操作係統中明顯存在的安全脆弱性問題會直接影響安全服務。
4.在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去嚮是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑着君子協定來維係的。
5.電子郵件存在着被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在着很大的危險。
6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網絡係統癱瘓、數據和文件丟失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。 |
|
主要有四種方式L中斷、截獲、修改和偽造。
中斷是以可用性作為攻擊目標,它毀壞係統資源,使網絡不可用。
截獲是以保密性作為攻擊目標,非授權用戶通過某種手段獲得對係統資源的訪問。
修改是以完整性作為攻擊目標,非授權用戶不僅獲得訪問而且對數據進行修改。
偽造是以完整性作為攻擊目標,非授權用戶將偽造的數據插入到正常傳輸的數據中。
網絡安全的解决方案
一、入侵檢測係統部署
入侵檢測能力是衡量一個防禦體係是否完整有效的重要因素,強大完整的入侵檢測體係可以彌補防火墻相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,並采取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測係統集入侵檢測、網絡管理和網絡監視功能於一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特徵庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,並在數據庫中記錄有關事件,作為網絡管理員事後分析的依據;如果情況嚴重,係統可以發出實時報警,使得學校管理員能夠及時采取應對措施。
二、漏洞掃描係統
采用目前最先進的漏洞掃描係統定期對工作站、服務器、交換機等進行安全檢查,並根據檢查結果嚮係統管理員提供詳細可靠的安全性分析報告,為提高網絡安全整體水平産生重要依據。
三、網絡版殺毒産品部署
在該網絡防病毒方案中,我們最終要達到一個目的就是:要在整個局域網內杜絶病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體係,應能實現遠程安裝、智能升級、遠程報警、集中管理、分佈查殺等多種功能。 |
|
在網絡設備和網絡應用市場蓬勃發展的帶動下,近年來網絡安全市場迎來了高速發展期,一方面隨着網絡的延伸,網絡規模迅速擴大,安全問題變得日益復雜,建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提;另一方面隨着網絡所承載的業務日益復雜,保證應用層安全是網絡安全發展的新的方向。
隨着網絡技術的快速發展,原來網絡威脅單點疊加式的防護手段已經難以有效抵禦日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智能安全的整體安全體係,為用戶提供多層次、全方位的立體防護體係成為信息安全建設的新理念。在此理念下,網絡安全産品將發生了一係列的變革。
結合實際應用需求,在新的網絡安全理念的指引下,網絡安全解决方案正嚮着以下幾個方向來發展:
主動防禦走嚮市場
主動防禦的理念已經發展了一些年,但是從理論走嚮應用一直存在着多種阻礙。主動防禦主要是通過分析並掃描指定程序或綫程的行為,根據預先設定的規則,判定是否屬於危險程序或病毒,從而進行防禦或者清除操作。不過,從主動防禦理念嚮産品發展的最重要因素就是智能化問題。由於計算機是在一係列的規則下産生的,如何發現、判斷、檢測威脅並主動防禦,成為主動防禦理念走嚮市場的最大阻礙。
由於主動防禦可以提升安全策略的執行效率,對企業推進網絡安全建設起到了積極作用,所以儘管其産品還不完善,但是隨着未來幾年技術的進步,以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防禦型産品將與傳統網絡安全設備相結合。尤其是隨着技術的發展,高效準確的對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦産品將逐步發展成熟並推嚮市場,主動防禦技術走嚮市場將成為一種必然的趨勢。
安全技術融合備受重視
隨着網絡技術的日新月異,網絡普及率的快速提高,網絡所面臨的潛在威脅也越來越大,單一的防護産品早已不能滿足市場的需要。發展網絡安全整體解决方案已經成為必然趨勢,用戶對務實有效的安全整體解决方案需求愈加迫切。安全整體解决方案需要産品更加集成化、智能化、便於集中管理。未來幾年開發網絡安全整體解决方案將成為主要廠商差異化競爭的重要手段。
軟硬結合,管理策略走入安全整體解决方案
面對規模越來越龐大和復雜的網絡,僅依靠傳統的網絡安全設備來保證網絡層的安全和暢通已經不能滿足網絡的可管、可控要求,因此以終端準入解决方案為代表的網絡管理軟件開始融合進整體的安全解决方案。終端準入解决方案通過控製用戶終端安全接入網絡入手,對接入用戶終端強製實施用戶安全策略,嚴格控製終端網絡使用行為,為網絡安全提供了有效保障,幫助用戶實現更加主動的安全防護,實現高效、便捷地網絡管理目標,全面推動網絡整體安全體係建設的進程。 |
|
電子商務安全從整體上可分為兩大部分:計算機網絡安全和商務交易安全
(一)計算機網絡安全的內容包括:
(1)未進行操作係統相關安全配置
不論采用什麽操作係統,在缺省安裝的條件下都會存在一些安全問題,衹有專門針對操作係統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作係統缺省安裝後,再配上很強的密碼係統就算作安全了。網絡軟件的漏洞和“後門” 是進行網絡攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絶服務(DoS,Denial of Service)攻擊
隨着電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。
(4)安全産品使用不當
雖然不少網站采用了一些網絡安全設備,但由於安全産品本身的問題或使用問題,這些産品並沒有起到應有的作用。很多安全廠商的産品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠傢在最初給用戶做了正確的安裝、配置,但一旦係統改動,需要改動相關安全産品的設置時,很容易産生許多安全問題。
(5)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
(二)計算機商務交易安全的內容包括:
(1)竊取信息
由於未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然後再發嚮目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其後果是非常嚴重的。 |
|
電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務安全問題的對策從整體上可分為計算機網絡安全措施和商務交易安全措施兩大部分。
1.計算機網絡安全措施
計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護係統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。
(一)保護網絡安全。
網絡安全是為保護商務各方網絡端係統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控製性是網絡安全的重要因素。保護網絡安全的主要措施如下:
(1)全面規劃網絡平臺的安全策略。
(2)製定網絡安全的管理措施。
(3)使用防火墻。
(4)盡可能記錄網絡上的一切活動。
(5)註意對網絡設備的物理保護。
(6)檢驗網絡平臺係統的脆弱性。
(7)建立可靠的識別和鑒別機製。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web服務器、網絡支付專用軟件係統)所建立的安全防護措施,它獨立於網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾嚮於在應用層而不是在網絡層采取各種安全措施。
雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解决電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控製、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
(三)保護係統安全。
保護係統安全,是指從整體電子商務係統或網絡支付係統的角度進行安全防護,它與網絡係統硬件平臺、操作係統、各種應用軟件等互相關聯。涉及網絡支付結算的係統安全包含下述一些措施:
(1)在安裝的軟件中,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使係統具有最小穿透風險性。如通過諸多認證纔允許連通,對所有接入數據必須進行審計,對係統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日志,以便檢測並跟蹤入侵攻擊等。
2.商務交易安全措施
商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時産生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務采取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理睏難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麽機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發佈(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰嚮其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核準和生效的作用。其實現方式是把散列函數和公開密鑰算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接着再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麽接收方就能確認該數字簽名是發送方的。數字簽名機製提供了一種鑒別方法,以解决偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式嚮公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一係列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。目前,比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與服務器真正傳輸應用層數據之前建立安全機製。當客戶與服務器第一次通信時,雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換算法産生一個衹有雙方知道的秘密信息,客戶和服務器各自根據此秘密信息産生數據加密算法和Hash算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網絡傳輸層發送給對方。SSL警報協議用來在客戶和服務器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商傢、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易信息傳送流程標準。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務係統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務係統設計的。它位於應用層,其認證體係十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商傢來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商傢外,還有發卡行、收單行、認證中心、支付網關等其它參與者。 |
|
未來二三十年,信息戰在軍事决策與行動方面的作用將顯著增強。在諸多决定性因素中包括以下幾點:互聯網、無綫寬帶及射頻識別等新技術的廣泛應用;實際戰爭代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客高手能夠反復打進對手的計算機網絡。
(1)技術對經濟與社會的支配力量日益加重
在所有的領域,新的技術不斷超越先前的最新技術。便攜式電腦和有上網功能的手機使用戶一周7天、一天24小時都可收發郵件,瀏覽網頁。
對信息戰與運作的影響:技術支配力量不斷加強是網絡戰的根本基礎。復雜且常是精微的技術增加了全世界的財富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使計算機的控製與監視陷於混亂時,維持行業和支持係統的運轉就非常睏難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,一個常被忽視的情況是犯罪組織對信息技術的使用。"時在2015年,黑手黨通過電子手段消除了得剋薩斯州或內布拉斯加州一傢中型銀行的所有記錄,然後悄悄訪問了幾傢大型金融服務機構的網站,並發佈一條簡單的信息:'那是我們幹的---你可能是下一個目標。我們的願望是保護你們。'"
未來派學者斯蒂芬·斯蒂爾指出:"網絡係統......不單純是信息,而是網絡文化。多層次協調一致的網絡襲擊將能夠同時進行大(國傢安全係統)、中(當地電網)、小(汽車發動)規模的破壞。"
(2)先進的通信技術正在改變我們的工作與生活方式
電信正在迅速發展,這主要是得益於電子郵件和其他形式的高技術通信。然而,"千禧世代"(1980年-2000年出生的一代---譯註)在大部分情況下已不再使用電子郵件,而喜歡采用即時信息和社交網站與同伴聯繫。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的復雜而廣泛的社會。
對信息戰和運作的影響:這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。
破壞或許並不明目張膽,或者易於發現。由於生産係統對客戶的直接輸入日益開放,這就有可能修改電腦控製的機床的程序,以生産略微不合規格的産品---甚至自行修改規格,這樣,産品的差異就永遠不會受到註意。如果作這類篡改時有足夠的想像力,並且謹慎地選準目標,則可以想象這些産品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可設想的軍事後果。
信息技術與商業管理顧問勞倫斯·沃格爾提醒註意雲計算(第三方數據寄存和面嚮服務的計算)以及Web2.0的使用(社交網及交互性)。他說:"與雲計算相關的網絡安全影響值得註意,無論是公共的還是私人的雲計算。隨着更多的公司和政府采用雲計算,它們也就更容易受到破壞和網絡襲擊。這可能導致服務及快速的重要軟件應用能力受到破壞。另外,由於Facebook、博客和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網絡上進行交互的和雙嚮的聯絡,網絡襲擊的風險將隨之大增。"
(3)全球經濟日益融合
這方面的關鍵因素包括跨國公司的興起、民族特性的弱化(比如在歐盟範圍之內)、互聯網的發展,以及對低工資國傢的網上工作外包。
對信息戰及運作的影響:互聯網、私人網絡、虛擬私人網絡以及多種其他技術,正在將地球聯成一個復雜的"信息空間"。這些近乎無限的聯繫一旦中斷,必然會對公司甚至對國傢經濟造成嚴重破壞。但是,這更意味着它們面臨受到前所未有的間諜活動和秘密襲擊的風險。這是信息戰及運作的又一個重要趨勢。
(4)研究與發展(R&D)促進全球經濟增長的作用日益增強, 美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。 對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。 R&D的主要産品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機裏,通過企業的內聯網傳輸,而且一般是在互聯網上傳送。這種可獲取性為間諜提供了極好的目標---無論是工業間諜,還是軍事間諜。這(5)技術變化隨着新一代的發明與應用而加速
在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期---構想、發明、創新、模仿---在不斷縮短。在20世紀40年代,産品周期可持續三四十年。今天,持續三四十周已屬罕見。
原因很簡單:大約80%過往的科學家、工程師、技師和醫生今天仍然活着---在互聯網上實時交流意見。
機器智能的發展也將對網絡安全産生復雜影響。據知識理論傢、未來學派學者布魯斯·拉杜剋說:"知識創造是一個可由人重複的過程,也是完全可由機器或在人機互動係統中重複的過程。人工知識創造將迎來"奇點",而非人工智能,或人工基本智能(或者技術進步本身)。人工智能已經可由任何電腦實現,因為情報的定義是儲存起來並可重新獲取(通過人或計算機)的知識。(人工知識創造)技術最新達到者將推動整個範式轉變。
影響網絡安全性的因素
目前我國網絡安全存在幾大隱患:影響網絡安全性的因素主要有以下幾個方面。
1.網絡結構因素
網絡基本拓撲結構有3種:星型、總綫型和環型。一個單位在建立自己的內部網之前,各部門可能已建 造了自己的局域網,所采用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機製的設置和實現,從而提出更高的網絡開放性要求。
2.網絡協議因素
在建造內部網時,用戶為了節省開支,必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要,對網絡協議的兼容性要求越來越高,使衆多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。
3.地域因素 由於內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡,而是一個專用網絡),網絡往往跨越城際,甚至國際。地理位置復雜,通信綫路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些”黑客”造成可乘之機。
4.用戶因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,用戶的範圍必將從企業員工擴大到客戶和想瞭解企業情況的人。用戶的增加,也給網絡的安全性帶來了威脅,因為這裏可能就有商業間諜或“黑客”
5.主機因素
建立內部網時,使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由於它們所使用的操作係統和網絡操作係統不盡相同,某個操作係統出現漏洞(如某些係統有一個或幾個沒有口令的賬戶),就可能造成整個網絡的大隱患。
6.單位安全政策
實踐證明,80%的安全問題是由網絡內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須製訂出一套安全管理的規章制度。
7.人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網絡管理員,製訂出具體措施,提高安全意識。
8.其他
其他因素如自然災害等,也是影響網絡安全的因素。
網絡安全的關鍵技術
網絡安全性問題關係到未來網絡應用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、操作係統、軟件工程和網絡安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用“防火墻”技 術。
“防火墻”是一種形象的說法,其實它是一種計算機硬件和軟件的組合,使互聯網與內部網之間建立起 一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成“防火墻”工作的可以是簡單的隱蔽路由器,這種“防火墻”如果是一臺普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議端口級上阻止網間或主機間通信,起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火墻”一級的措施。
真正意義的“防火墻”有兩類,一類被稱為標準“防火墻”;一類叫雙傢網關。標準”防火墻”係統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩衝。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準“防火墻”使用專門的軟件,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙傢網關則是對標準“防火墻”的擴充。雙傢網關又稱堡壘主機或應用層網關,它是一個單個的係統,但卻能同時完成標準“防火墻”的所有功能。其優點是能運行更復雜的應用,同時防止在互聯網和內部係統之間建立的任何直接的連接,可以確保數據包不能直接從外部網絡到達內部網絡,反之亦然。
隨着“防火墻”技術的進步,在雙傢網關的基礎上又演化出兩種“防火墻”配置,一種是隱蔽主機網關,另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的“防火墻”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與互聯網進行通信的唯一係統。目前技術最為復雜而且安全級別最高的”防火墻”當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共係統之後,它是互聯網用戶唯一能見到的係統。所有互聯網功能則是經過這個隱藏在公共係統之後的保護軟件來進行的。一般來說,這種“防火墻”是最不容易被破壞的。
與“防火墻”配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息係統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之一。隨着信息技術的發展,網絡安全與信息保密日益引起人們的關註。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動着數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網絡服務器上註册的密碼一致。當口令與身份特徵共同使用時,智能卡的保密性能還是相當有效的。
這些網絡安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網絡所采取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。 |
|
| 網絡 | 技術 | 黑客 | 信息 | 計算機 | 電腦 | 網絡協議 | 網絡技術 | | 黑客組織 | 電子商務 | 算法 | 安全郵件 | 金山毒霸 | 反病毒 | 消毒 | 網絡攻擊 | | 洪水攻擊 | 分佈式拒絶服務 | 更多結果... |
|
|
| 網絡安全師 | 網絡安全色 | | 網絡安全業 | 機網絡安全 | | 網絡安全版 | 網絡安全教程 | | 網絡安全概論 | 網絡安全模式 | | 網絡安全實踐 | 無綫網絡安全 | | 網絡安全保護 | 網絡安全評估 | | 網絡安全大全 | 網絡安全基礎 | | 網絡安全評價 | 網絡安全技術 | | 信息網絡安全 | 網絡安全審計 | | 網絡安全産品 | 網絡安全廠商 | | 網絡安全認證 | 精睿網絡安全 | | 網絡安全工具 | 網絡安全設備 | | 天極網絡安全 | 網絡安全題材 | | 網絡安全法原論 | 網絡安全與維護 | | 網絡安全與認證 | 網絡安全與保密 | | 信息與網絡安全 | 網絡安全與防護 | | 網絡安全隔離卡 | 網絡安全工程師 | | 計算機網絡安全 | 網絡安全與管理 | | 網絡安全實驗室 | 密碼學與網絡安全 | | 網絡安全體係結構 | 網絡安全實用寶典 | | 網絡安全技術內幕 | 網絡安全加固技術 | | 網絡安全基礎教程 | 網絡安全攻防實戰 | | 網絡安全應用技術 | 網絡安全實驗教程 | | 網絡安全通信協議 | 網絡安全實戰詳解 | | 網絡安全管理實踐 | 網絡安全控製機製 | | 海風網絡安全小組 | 網絡安全應急響應 | | 網絡安全解决方案 | 諾頓網絡安全特警 | | 中國網絡安全聯盟 | 網絡安全監控係統 | | 電信網絡安全總體防衛討論 | 計算機網絡安全基礎 | | 計算機網絡安全實用技術 | 網絡安全從入門到精通 | | 計算機網絡安全教程 | 計算機網絡安全原理與實現 | | 計算機網絡安全管理 | 網絡安全技術與實訓 | | 計算機網絡安全技術教程 | 網管員必備寶典:網絡安全 | | 網絡協議與網絡安全 | 計算機與網絡安全實用技術 | | 計算機網絡安全導論 | 企業網絡安全實戰指南 | | 網絡安全與黑客攻防寶典 | 信息與網絡安全實用教程 | | 計算機網絡安全與防護 | 智能建築與網絡安全 | | 無綫AdHoc網絡安全 | 超級網管員網絡安全 | | 網絡安全讀本(大學版) | 網絡安全讀本(小學版) | | 網絡安全讀本(中學版) | 網絡安全編程技術與實例 | | Linux網絡安全實踐 | 網絡安全協議理論與技術 | | 網絡安全與防火墻技術 | 企業網絡安全維護案例精粹 | | 網絡安全與病毒防範 | 黑客攻防與網絡安全速查 | | 網絡安全基礎:應用與標準 | 信息與網絡安全實驗教程 | | 計算機網絡安全案例教程 | 網絡安全原理與實踐 | | 網絡安全與管理實驗教程 | 網絡安全技術與解决方案 | | 計算機網絡安全知識問答 | 網絡安全技術實用教程 | | 網絡安全與軟件係統修復 | 通信網絡安全防護管理辦法 | | 計算機網絡安全與管理 | 國際白客網絡安全技術聯盟 | | 信息與網絡安全研究新進展 | 信息與網絡安全概論 | | 企業網絡安全緻勝寶典 | 無綫網絡安全攻防實戰 | | IP網絡安全技術 | 網絡安全引論與應用教程 | | 泰州信息網絡安全協會 | 網絡安全技術與實踐總結 | | 瑞星網絡安全預警係統 | 趨勢科技網絡安全版 | | 網絡安全技術與應用 | 網絡安全綜合保障係統 | | 諾頓2008網絡安全特警 | 網絡安全開發包詳解 | | 網絡安全技術及應用 | 網絡安全原理與應用 | | 網絡安全計算機犯罪 | 網絡安全基礎應用與標準 | | 網管天下網絡安全管理實踐 | 計算機網絡安全技術 | | 網絡安全産品供應商 | 年中國互聯網網絡安全報告 | | 計算機計算機網絡安全 | 網絡安全-上網行為管理 | | 計算機電腦網絡安全 | 金諾網絡安全有限公司 | | 中安源可信網絡安全平臺 | 公共信息網絡安全監察 | | 上海衆人網絡安全技術有限公司 | 關於加強襄樊市中小學校園網絡安全管理的通知 | | 杭州市計算機信息網絡安全保護管理條例 | 上海市信息網絡安全專業技術人員繼續教育工作的實施意見 | | 晉城市互聯網網絡安全應急預案 | 晉城市電子政務網絡安全應急預案 | | 關於加強商務部網站信息和網絡安全有關要求的通知 | 廣州市黃埔區教育係統網絡安全應急處置工作預案 | | 南京易思剋網絡安全技術有限責任公司 | 堆棧攻擊:八層網絡安全防禦 | | 網管第1課——計算機與網絡安全 | 網絡安全與管理項目實驗指導書 | | 網絡滲透測試-保護網絡安全的技術、工具和過程 | 網絡安全評估(從漏洞到補丁) | | 思科網絡技術學院教程:網絡安全 | 公共信息網絡安全監察專業警察 | | 電信新技術新業務要點解讀叢書-IP網絡安全技術 | 精通PKI網絡安全認證技術與編程實現 | | 計算機網絡安全基礎與技能訓練 | 計算機網絡安全技術與解决方案 | | 互聯網網絡安全信息通報實施辦法 | 2008年中國互聯網網絡安全報告 | | 網絡安全技術及應用實踐教程 | 網絡安全檢測與協同控製技術 | | 信息對抗與網絡安全科技英語 | 信息與網絡安全研究新進展(第二十二捲):全國計算機安全學術交流會論文集 | | 網絡安全設計、配置與管理大全 | 中國計算機網絡安全應急年會 | | 網絡安全與管理綜合實訓教程 | 網絡安全之道(被動偵查和間接攻擊實用指南) | | 趨勢科技pc-cillin™2006網絡安全版 | 奧威斯網絡安全審計管理係統--網絡小哨兵v2.0 | | dci網絡安全監控係統v2.1 | 深圳市計算機網絡公共網絡安全協會 | | 網絡安全防範體係的設計原則 | 網絡安全整體解决方案提供商 | | 電信新技術新業務要點解讀叢書-網絡安全技術 | 精通網絡安全認證技術與編程實現 | | 網絡滲透測試-保護網絡安全的技術工具和過程 | 網絡安全設計配置與管理大全 | | 網管第1課計算機與網絡安全 | 電網和電廠計算機監控係統及調度數據網絡安全防護規定 | | 奧威斯網絡安全審計管理係統 | 奧威斯網絡安全審計管理係統網絡小哨兵 | | 網絡安全係統檢測分項工程質量驗收記錄表 | |
|
|
 海陽 | 木馬 | 數據庫 | 蠕蟲 | 變種 | | 滲透 | 漏洞 | 引擎 | 後門 | 攻擊 | | 啓發 | 通行證 | 威脅 | 箱子 | 教主 | | 黑客 | 聖誕節 | 嵌入式殺毒 | 歲月聯盟 | 跳轉 | | 係統補丁 | 鍵盤記錄器 | 瑞星全功能安全軟件 | 病毒特徵 | 木馬清理王 | | 流行木馬 | 風雲 | 金山 | 冰河 | 模塊 | | 衝擊波 | 破壞者 | 大牛 | 天網 | 守望者 | | 冰刃 | 瑞星 | 特洛伊木馬 | 防火墻 | 紅狼 | | 火狐 | 驅逐艦 | 熊貓燒香 | 驅動 | 關鍵字 | | 沙盤 | 小天 | 大大 | 紅客 | 流氓軟件 | | 金山毒霸 | 江民 | 瑞星殺毒軟件 | 木馬防綫 | 費爾 | | 防水墻 | 惡意軟件清理助手 | 江民殺毒軟件 | 惡鷹 | 在綫殺毒 | | | | | | | 更多結果... |
|