精华内容
下载资源
问答
  • 网络安全问题
    千次阅读
    2022-02-16 11:19:06

    网络安全问题

    1、各类弱口令

    最主要,并且最严重的安全问题,人员安全技能提高后,也是最容易解决的安全问题。

    弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则:
    (1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。
    (2)口令长度不小于8个字符。
    (3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
    (4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。
    (5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
    (6)口令不应该为用数字或符号代替某些字母的单词。
    (7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。
    (8)至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
    系统层弱口令
    数据库弱口令
    Web中间件弱口令
    ftp弱口令
    SNMP弱口令
    Web应用登录页面弱口令

    2、补丁类漏洞

    此类问题根据漏洞的威胁大小,产生影响不同,需要更高的安全技能水平判断。

    系统层补丁,如Windows MS08067等
    应用程序补丁 ,如apache相关高危补丁、tomcat相关高危补丁、ftp软件
    相关高危补丁等
    网站程序补丁, 如某些网站建站系统版本过低存在安全漏洞。

    3、网站及WEB应用类漏洞

    此类问题又分为非常多的种类,以至于可单独作为安全的一个分类,根据漏洞类型不同、网站应用不同产生的威胁大小不同。注入、跨站类不同扫描器扫描结果不同,单个网站可能几十个注入漏洞等,修改代码整改漏洞存在一定难度。

    代码执行漏洞,如通过网站url进行命令注入等。
    文件包含漏洞,如通过网站url读取任意系统文件内容,网页源码信息等。
    文件上传漏洞, 如通过上传页面直接上传网页木马控制系统。
    文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。
    因此,在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。
    安全配置类漏洞,如IIS写权限开启,可直接写网页木马到服务器。
    SQL注入类漏洞,通过SQL注入获取数据库信息,账户密码信息,甚至执行系统命令。SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
    跨站类漏洞,根据跨站漏洞类型,如存储型跨站,反射型跨站等不同,可造成不同影响。
    1、跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。
    XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。
    目录浏览类漏洞,通过目录浏览,能够看到整个网站的结构,某些情况下
    可直接下载网站源码,数据库等

    4、已经被入侵遗留的后门

    此类问题又分为非常多的种类,以至于可单独作为安全的一个分类,根据漏洞类型不同、网站应用不同产生的威胁大小不同。

    后门,如不法者入侵之后遗留的网页木马,远控木马,粘滞键后门、放大
    镜后门、隐藏账户等,下次不法者直接通过后门进入系统。
    正常用户的密码,如不法者入侵之后,通过hash破解方式获得正常账户密
    码信息,此后直接通过正常账户登录系统,隐蔽性更强,更不容易发现。

    5、其他漏洞

    此类问题又分为非常多的种类,以至于可单独作为安全的一个分类,根据漏洞类型不同、网站应用不同产生的威胁大小不同。

    共享文件,未加密的共享文件夹,共享文件等,可能存在敏感信息,
    如账户口令信息,网络拓扑等。
    使用不当,如登录系统或应用时采用了记住密码功能,其他用户可
    直接登录。
    明文传输,如使用telnet方式登录,或者网站采用http方式,并且密
    码字段未加密,都可以导致在网络中使用嗅探工具,获得密码。

    6、HTTP报头追踪漏洞

    HTTP/1.1(RFC2616)规范定义了HTTP TRACE方法,主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。当Web服务器启用TRACE时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中HTTP头很可能包括Session Token、Cookies或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击,由于HTTP TRACE请求可以通过客户浏览器脚本发起(如XMLHttpRequest),并可以通过DOM接口来访问,因此很容易被攻击者利用。

    7、Struts2远程命令执行漏洞

    Apache Struts是一款建立Java web应用程序的开放源代码架构。Apache Struts存在一个输入过滤错误,如果遇到转换错误可被利用注入和执行任意Java代码。
    网站存在远程代码执行漏洞的大部分原因是由于网站采用了Apache Struts Xwork作为网站应用框架,由于该软件存在远程代码执高危漏洞,导致网站面临安全风险。CNVD处置过诸多此类漏洞,例如:“GPS车载卫星定位系统”网站存在远程命令执行漏洞(CNVD-2012-13934);Aspcms留言本远程代码执行漏洞(CNVD-2012-11590)等。

    8、框架钓鱼漏洞(框架注入漏洞)

    框架注入攻击是针对Internet Explorer 5、Internet Explorer 6、与 Internet Explorer 7攻击的一种。这种攻击导致Internet Explorer不检查结果框架的目的网站,因而允许任意代码像Javascript或者VBScript跨框架存取。这种攻击也发生在代码透过多框架注入,肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。

    9、应用程序测试脚本泄露

    由于测试脚本对提交的参数数据缺少充分过滤,远程攻击者可以利用此漏洞以WEB进程权限在系统上查看任意文件内容。防御此类漏洞通常需严格过滤提交的数据,有效检测攻击。

    10、私有IP地址泄露漏洞

    IP地址是网络用户的重要标示,是攻击者进行攻击前需要了解的。获取的方法较多,攻击者也会因不同的网络情况采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网络中的名称而获得IP;在Internet上使用IP版的QQ直接显示。最有效的办法是截获并分析对方的网络数据包。攻击者可以找到并直接通过软件解析截获后的数据包的IP包头信息,再根据这些信息了解具体的IP。

    更多相关内容
  • 浅谈IPv6网络安全问题及解决对策

    千次阅读 2021-12-20 10:18:25
    作者:韦霞 来源:《信息安全与技术》2012年第11期 【摘要】 随着科学技术的发展,越来越多的...网络安全问题;解决对策 0 引言 近些年,计算机技术发展迅猛,TCP/IP网络体系结构在互联网上获得很大的成功,光缆...


    作者:韦霞
    来源:《信息安全与技术》2012年第11期

            【摘要】 随着科学技术的发展,越来越多的行业和领域广泛推行计算机技术,使得计算机网络取得了巨大发展。新一代的计算机网络核心技术——IPv6是计算机网络发展史上的又一里程碑。本文着重分析了IPv6网络安全存在的一些问题,并提出了相应的解决措施。

            【关键词】 IPv6;网络安全问题;解决对策

            0 引言

            近些年,计算机技术发展迅猛,TCP/IP网络体系结构在互联网上获得很大的成功,光缆也得到了长足的发展,千兆位的互联网技术日渐成熟,不同产业的技术规范逐步与世界接轨。然而,不容忽视的是现代的计算机网络仍然存在很大的问题,很多基础性的理论问题没有解决。在IPv4的基础上,切合互联网发展速度和IP地址无线设备激增的要求,IPv6出现,作为新一代网络核心技术,它的安全性至关重要。

            1 IPv6简介

            IPv6(Internet Protocol Version 6)是IETF(Internet Engineering Task Force)设计的取代现行版本IP协议IPv4的新一代IP协议。当前,Internet采纳的协议是TCP/IP协议族,IP是TCP/IP协议族中网络层的协议,是其核心协议。目前,IPv6正处于不断发展和完善中,会在未来逐渐取代IPv4,实现每个人都拥有多个IP地址。

            与IPv4相比较,IPv6具有更大的空间地址;选用了更小的路由器;增强了组播支持和对流支持;新添了自动配置功能;安全性能大幅提升;允许IP协议的继续演变扩展;设置了更加便捷的头部格式;增添了新的选项。

            和IPv4一样,IPv6的IP地址分成表示特定网络的网络号和表示主机或服务器的主机号两部分。如图1所示,在128位中高64比特表示网络前缀,低64比特表示主机。

            IPv6地址长度是128位,比先前的地址空间扩大了2的96次幂倍,它取代了IPv4中可变长度的选项字段,采用了一系列固定格式的扩展头部,加快了文字的处理速度。IPv6新功能提高了互联网的安全性,身份验证和隐私权益保护是其主要体现。此外,它开始支持更多的服务类型,允许IP协议的继续演变。

            2 IPv6的计算机网络安全问题

            由于IPv6地址数量的数值非常大,所以每一个IP设备都可以分配到全世界通用的网络地址,换句话说,网络黑客可以依照分配的地址借助互联网找到所有的IP设备,从而对任何一台IP设备进行非法入侵,对用户的隐私安全造成了很大的威胁。

            IPv6在安全方面进行了严密的设计。IPSec(Internet Protocol security)的设计大大提高了IPv6的安全系数,确保了用户端之间的安全。IPv6在安全性上通过包验证、包完整性和包可靠性得以实现,而那些包的安全功能通过扩展首标实现。扩展首标在RFC1883中进行描述,而验证首标(AH, Authentication Header)提供密码验证或者是完整性测试,它借助加密的MD5算法确保IPv6的安全性。

            ESP(Encapsulating Security payload)扩展首标通过隧道模式和传输模式两种操作模式来实现IPv6的可靠性保护。隧道模式下的ESP,最初的IP数据被破译成明文,接着转换成ESP,连同加密的IP首标被输入到IP数据报中。没有加密的IP首标可以把加密的信息从原始路由传输到目的地。

            此外,IPv6可能受到潜在网络病毒的攻击,致使整个网络系统的瘫痪和崩溃,影响到IPv6网络的安全性和可靠性能。

            3 IPv6网络安全的对策

            3.1 IPv6的数据包头的扩展

            IPv6安全性可以提高互联网的安全,它利用相关的数据包头延伸,保证路由器的安全。IPv6数据接收包要求网络客户先利用数据包的扩展部分进行身份验证,才可以接收相关的数据内容。这种登录是相对独立的,能够在一定程度上遏制骇客的网络攻击,此外,IPv6的数据包头的扩展部分加密数据包,这种加密方法也是独立的,这就可以保证客户在网络上安全地传输保密数据,不被第三方截获。

            3.2 加强网络病毒的监控

            相关的部门要建立可行的检测系统,有效地预防网络病毒的入侵,对网络实施有效的监控。现代的网络病毒和传统的病毒有很大的差异,在高级性、隐蔽性、破坏性、传播性不同的层面都有了很大的提升,它们开始依附于网络文件、网页、邮件、程序、局域网等不同的传播途径,自动启动相应的程序,深入网络系统的内部,肆意妄为,通过对计算机的控制,实现对互联网的攻击。相关的人员要不断清理网络病毒,利用先进的病毒查杀软件对计算机进行定期的扫描和杀毒,保证互联网的安全性。在进行相应排查的时候,不仅起到了杀毒的目的,与此同时,有效地监控了网络文件、网页、程序、邮件,预防了异常情况出现未能处理的后果。

            3.3 完善网络体系

            相关的技术人员可以采取隔离的方法来确保网络信息的安全。建立和完善科学合理的网络体系是非常有必要的,它可以有效地预防网络信息的失窃。技术人员同步建立网络防火墙,也可以有效地对网络安全进行隔离。根据设立的DMZ访问规则以及安全过滤规则可以有效地控制外网用户,防止不合法的访问,确保必要的服务器的畅通,设立相应的防护系统,对那些有害于服务器的攻击有效控制。与此同时,还可以按照时间段规则,使内网用户的访问时间不会超过网络协议规定的时间。通过设置IP地址和绑定MAC地址,实现对IP地址欺骗行为的有效预防。防火墙除了可以屏蔽数量庞大的网络恶意攻击外,还可以保证重要的私人隐秘信息不会被晒到网络上。

            3.4 安装电磁屏蔽

            技术人员还应该在关键的环节安装电磁屏蔽,防止电磁辐射。一般情况下,信息在网络系统工作的过程中通过电磁波传输出去。当然,网络信息除了可以借助电源线、地线、信号线进行传播外,也可以在空间中被传播出去,潜在着信息泄露的威胁。还有的信息在泄露信息中能够快速地分辨出来,造成信息的泄露。然而,技术人员在重要的环节安装电磁屏蔽可以在很大的程度上有效地预防信息的泄露。

            3.5 提高IP安全协议

            IETF为了提高互联网的安全系数,在20世纪末期,开始着手研制更为安全的保护IP通信的IP安全协议,也就是后来人们知道的IPSec(Internet Protocol security)。IPSec具备了认可和加密两种新的功能。认证机制使IP通信的数据接收端检验信息发送方身份的真实性以及相应的数据在传达的过程中有没有被私自改动。而加密机制则是借助数据编码器加强信息的安全,防止网络骇客在数据传输的过程中把信息截获。IPSec的认证包头AH协议规定了认证的方法,封装安全负载ESP协议规定了加密和选择性认证的应用方法。

            3.6 加强新技术开发

            同IPv4有很大的差异,IPv6是新一代的网络核心,为我国的专门研究和开发机构提供了核心的技术。IPv6国际认证,它具有广泛认可和对全球开放的指标,当前,我国在相关的方面掌握了多达16项自主产权技术。IPv6的发展给我国开拓了一个新的网络市场,拥有了更多的发展机会,由此可见,我国必须加大IPv6的技术开发和研究,加大财政投入,不断培养新一代的网络核心人才,积极参与国际IPv6研究探讨活动。

            在路由器策略的采用方面,建议使用BGP4/BGP4+域间路由协议作为外部网关路由协议。技术人员要与时俱进、开拓创新不断积极探索IPv6网络保护的新的策略,维护互联网的安全,

            4 结论

            IPv6对IP网络的意义重大,具有长期性、可靠性、安全性、高效性和可操作性,它在未来的日子中将会逐渐取代IPv4,为广大的网络用户提供更高效、更安全、更便捷的信息。针对IP网络安全,可以借助IPv6的重要特征制定出行之有效的解决措施,我们有理由相信,随着下一代互联网业务的开展以及国家规范网上行为的法律法规出台,下一代互联网一定能为网络用户提供更优秀和安全的网络环境。

            参考文献

            [1] 周国尧.IPv6环境下跨网络异构数据交换技术的研究[D].武汉理工大学,2006.

            [2] 刘香兰.专用防火墙系统的研究与实现[D].山东科技大学,2006.

            [3] 李磊,杨柏林,胡维华.IPv6与IPv4网络通信模式的比较研究[J].计算机工程与应用,2007,(22).

            [4] 张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010,(04).

            作者简介:

            韦霞(1984-),女,广西来宾人,本科,梧州职业学院,助教;主要研究方向:计算机辅助教育、学习环境设计等。

    展开全文
  • 网络安全问题及防护措施有哪些

    千次阅读 2021-11-25 13:59:02
    然而,伴随着互联网的飞速发展,网络信息安全问题日益突出,越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理,维护互联网各方的根本利益和社会和谐稳定,促进经济社会的持续健康...

    #等保测评#

    互联网已经成为世界各国人民沟通的重要工具。进入21世纪,以互联网为代表的信息化浪潮席卷世界每个角落,渗透到经济、政治、文化和国防等各个领域,对人们的生产、工作、学习、生活等产生了全面而深刻的影响,也使世界经济和人类文明跨入了新的历史阶段。然而,伴随着互联网的飞速发展,网络信息安全问题日益突出,越来越受到社会各界的高度关注。如何在推动社会信息化进程中加强网络与信息安全管理,维护互联网各方的根本利益和社会和谐稳定,促进经济社会的持续健康发展,成为我们在信息化时代必须认真解决的一个重大问题。下面介绍下关于网络安全防护的几项措施。

    网络安全防护措施一、网络系统结构设计合理与否是网络安全运行的关键

    全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。为解除这个网络系统固有的安全隐患,可采取以下措施。

      1、网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。

      2、以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

    网络安全防护措施二、强化计算机管理是网络系统安全的保证

    1、加强设施管理,建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。

    2、强化访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用,但访问控制是保证网络安全最重要的核心策略之一。

    (1)访问控制策略。它提供了第一层访问控制。在这一层允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。入网访问控制可分三步实现:用户名的识别与验证;用户口令的识别验证;用户帐号的检查。三步操作中只要有任何一步未过,用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。

    (2)网络权限控制策略。它是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。

    共分三种类型:特殊用户(如系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。

    (3)建立网络服务器安全设置。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入INTERNET网络为甚。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和INTERNET之间的任何活动,保证了内部网络的安全。

    (4)信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有线路加密、端点加密和节点加密三种。线路加密的目的是保护网络节点之间的线路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输线路提供保护。用户可根据网络情况酌情选择上述加密方式。

    (5)属性安全控制策略。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删、执行修改、显示等。

    (6)建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户所执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。

    网络安全防护措施三、建立完善的备份及恢复机制

    为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。

    网络安全防护措施四、建立安全管理机构

    安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。

    展开全文
  • 计算机网络-网络安全

    万次阅读 2022-03-13 10:26:28
    网络安全问题 计算机网络通信面临的两大类威胁,即被动攻击和主动攻击。 被动攻击指攻击者从网络上窃听他人的通信内容,也被称为截获。包含: 流量分析。攻击者只是观察、分析协议数据单元而不干扰信息流,从而了解...




    网络安全

    本文主要描述计算机网络的安全问题,不涉及主机安全

    网络安全问题

    计算机网络通信面临的两大类威胁,即被动攻击主动攻击

    被动攻击指攻击者从网络上窃听他人的通信内容,也被称为截获。包含:

    • 流量分析。攻击者只是观察分析协议数据单元而不干扰信息流,从而了解所交换数据的某种特征。

    主动攻击的常见方式:

    • 篡改。攻击者故意篡改网络上传送的报文。
    • 恶意程序,主要种类:
      • 计算机病毒(computer virus)。一种会“传染”其它程序的程序,传染是通过修改其它程序来把自身或自己的变种复制进去而完成的。
      • 计算机蠕虫(computer worm)。通过网络通信功能,将自身从一个节点发送到另一个节点并自动启动运行的程序。
      • 特洛伊木马(Trojan horse)。一种程序,它执行的功能并非它所声称的功能,而是某种恶意功能
      • 逻辑炸弹(logic bomb)。一种当运行环境满足某种特定条件时,执行其他特殊功能的程序。
      • 后门入侵(backdoor knocking)。利用系统实现过程中的漏洞通过网络入侵系统。
      • 流氓软件。一种未经客户允许就在用户计算机上安装运行损害用户利益的软件。
    • 拒绝服务Dos (Denial of Service)。指攻击者向互联网上的某台服务器不停的发送大量分组,使该服务器无法提供正常服务,甚至完全瘫痪。
      • 分布式拒绝服务 DDoS(Distributed Denial of Service)。从互联网上 N 个网站集中攻击一个网站
      • 交换机中毒。在使用以太网交换机的网络中,攻击者向某个交换机发送大量伪造的源 MAC 地址的帧,交换机的交换表因写入大量源 MAC 而存储不够用,导致交换机无法正常工作。

    计算机的安全目标如下:

    1. 防止析出报文内容和流量分析
    2. 防止恶意程序
    3. 检测更改报文流和拒绝服务

    安全的计算机网络

    一个安全的计算机网络应设法达到以下四个目标:

    1. 保密性。信息的内容,仅有信息的发送方和接收方懂。
    2. 端点识别。能够鉴别发送方、接收方的真实身份。
    3. 信息的完整性。信息的内容未被人篡改过。
    4. 运行的安全性。计算机网络能够正常、安全的运行。

    两类密码体制

    对称密钥密码体制公钥密码体制

    对称密钥密码体系

    即加密密钥、解密密钥是使用相同的密码体制。

    常用算法:

    • 数据加密标准 DES(Data Encryption Standard)
      • 保密性仅取决于对密钥的保密,算法公开。
    • 三重 DES,算法流程
      • 先用 KEY1 使用 DES 算法加密
      • 再用 KEY2 进行 DES 解密
      • 最后用 KEY1 进行 DES 加密,得到最终的秘文
    • 高级加密标准 AES(Advanced Encryption Standard)

    公钥密码体制(public key crypto-system)

    使用一对密钥,加密密钥向公众公开,解密密钥则是需要保密的。加密算法、解密算法也都是公开滴。

    引入公钥密码体制的原因:

    • 对称密码体制密钥分配问题,分配的方式有:
      • 事先约定。这种方式,造成密钥的管理、更换极大的不便。
      • 信使传达。在高度自动化的计算机网络中,使用信息传达密钥明显不合适。
      • 使用高度安全的密钥分配中心 KDC(Key Distributed Center)。会使网络成本增加。
    • 数字签名的需求

    算法实现:

    • RSA 算法

    公钥密码体制的特点:

    • 密钥成对存在
    • 公钥加密,私钥解密
    • 私钥加密,公钥验签

    数字签名

    数字签名必须具备的能力:

    1. 报文鉴别。即接收者能够确信该报文的确是发送者发送的。
    2. 报文的完整性。接收者接收到的数据,与发送者发送的报文保持一致。
    3. 不可否认。发送着事后不能抵赖对报文的签名。

    在这里插入图片描述

    数字签名的流程

    D 运算:解密算法;
    E 运算:加密算法

    备注:RSA 的 E 运算、D 运算需要占用非常多的计算机的 CPU 时间。

    鉴别

    • 报文鉴别,对每一个收到的报文都要鉴别报文的发送者。包含:
      • 端点鉴别。
      • 文件完整性鉴别。
    • 实体鉴别,在系统接入的全部时间内,对和自己通信的对方实体只需验证一次。
      • 实体可以是人、进程(客户或服务器),即端点鉴别

    报文鉴别

    密码散列函数

    散列函数的特点:

    1. 输入可以很长,输出长度固定,并且较短。
    2. 不同的输入可以对应同一个输出。

    密码学中使用的密码散列函数,最重要的一个特点:要找到不同的报文,具有同样的密码散列函数输出,在计算上是不可行的

    实用的密码散列函数 MD5 和 SHA-1

    • 报文摘要 MD5(Message Digest)
    • 安全散列算法 SHA(Secure Hash Algorithm)

    报文鉴别码 MAC(Message Authentication Code)

    使用散列函数构建报文鉴别码

    在这里插入图片描述

    用报文鉴别码 MAC鉴别报文

    由于入侵者不掌握密钥 K,所以入侵者无法伪造 A 的报文鉴别码 MAC,因为无法伪造 A 发送的报文。这样就完成了对报文的鉴别。

    注意:这里的密钥 K,可以是对称密钥体系,也可以公钥体系。所以在正式通信前,会有一次密钥交换过程。

    实体鉴别

    实体鉴别所面临的问题:

    1. 重放攻击

    • 原理:
      • C 拦截到 A 向 B 发送报文
      • C 不破译秘文,直接将秘文发送给 B,
      • 使 B 误认为 C 就是 A,然后,B 将报文发回给伪装 A 的 B
    • 解决方案:
      • 使用不重数解决
      • 重要的理论依据是:A 和 B 对不同的会话使用不同的不重数集。

    2. 中间人攻击(man-in-the-middle attack)

    在这里插入图片描述

    即便使用公钥体系 + 不重数字中间人攻击依然可以使互相通信的 A 和 B 毫无察觉。这里需要确认你所收到的公钥真的是对方的公钥吗?所以,公钥的分配、以及认证公钥的真实性是一个非常重要的事情。

    密钥分配

    密钥分配的两种方式:

    • 网外分配。即派遣最可靠的信使携带密钥分配给互相通信的各用户。
    • 网内分配。即密钥自动分配。

    对称密钥的分配

    常用的方式是设立密钥分配中心 KDC(Key Distribution Center),它的特点是:

    • 大家信任的机构
    • 任务是,给需要进行秘密通信的用户临时分配一个会话密钥(仅在一次会话期间使用)
    • 客户 A、B,在 KDC 登记时,就在 KDC 服务器上,记录了与 KDC 通信的主密钥

    在这里插入图片描述

    图:KDC对会话密钥的分配

    分配结束后,A 与 B 获得一个临时会话密钥 Kab,使用 Kab 进行加密通信。

    公钥额分配

    认证中心 CA(Certification Authority),特点:

    • 一般由政府出资建立
    • 能够将公钥与其对应的实体(人或机器)绑定
    • 每个实体都有 CA 发来的证书,证书里面有公钥及其拥有者的标识信息(人名或 IP 地址)
    • 此证书被 CA 进行了数字签名
    • 任何用户都可以从可信的地方(如代表政府的报纸)获得认证中心 CA 的公钥,此公钥用来验证某个公钥是否某个实体所拥有(通过向 CA 查询)

    互联网使用的安全协议

    网络层的安全协议

    网络层使用 IPsec(IP security) 协议族,它不是一个单一协议,是一个框架,允许通信双方选择合适的算法和参数(例如,密钥长度)

    运输层的安全协议

    广泛使用的两种协议:

    • 安全套接字层 SSL(Secure Socket Layer)
    • 运输安全 TLS(Transport layer Security)

    SSL 作用在端系统的应用层 HTTP 和运输层之间,在 TCP 之上建立一个安全通道,为通过 TCP 传输的应用层数据提供安全保障。

    未使用 SSL 时,应用层的应用程序通过 TCP 套接字与运输层进行交互的。

    应用层使用 SSL 最多的是 HTTP,但 SSL 并非仅用于 HTTP,而是可用于任何应用层的协议。比如:邮件 IMAP

    SSL 提供的安全服务可归纳为三种:

    1. SSL 服务器鉴别,允许用户证实服务器的身份。支持 SSL 的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份、并获得服务器的公钥。
    2. SSL 客户鉴别,SSL 的可选安全服务,允许服务器证实客户的身份。即双向认证。
    3. 加密的 SSL 会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

    在这里插入图片描述

    SSL建立安全会话的简单过程

    应用层的安全协议

    • 电子邮件的安全协议:PGP(Pretty Good Privacy) 协议

    系统安全与入侵检测

    • 用户入侵行为:
      • 利用系统漏洞进行未授权登录
      • 已授权的用户非法获取更高级别的权限
    • 软件入侵行为:
      • 通过网络传播病毒、蠕虫、特洛伊木马
    • 拒绝服务攻击:阻止合法用户正常使用服务

    事前可以采用防火墙技术防范,事中采用入侵检测系统防范。

    防火墙(firewall)

    防火墙作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止不必要的通信,从而减少潜在入侵的发生。

    防火墙是一种可特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。

    防火墙技术一般分为两类:

    1. 分组过滤路由器
      • 特点:
        • 具备分组过滤功能的路由器
        • 过滤规则基于分组的网络层、运输层的首部信息,如源/目的 IP 地址、源/目的端口、协议类型(TCP、UDP)等
      • 优缺点:
        • 简单高效,且对用户是透明的
        • 不能对高层数据进行过滤。比如:
          • 不能禁止某个用户对某个特定应用进行某个特定的操作
          • 不能支持应用层用户鉴别
    2. 应用网关,也称为代理服务器
      • 特点:
        • 它在应用层通信中扮演报文中继的角色
        • 一种网络应用需要一个应用网关
        • 基于应用层的数据过滤和高层用户鉴别
          • 所有进出网络的应用程序报文都必须通过应用网关
          • 网关对报文进行合法性检查,合法的报文才会转发给原始服务器,否则丢弃。例如,报文中敏感关键字检查
      • 优缺点:
        • 每种应用都需要不同的应用网关
        • 在应用层转发、处理报文,处理负担较重
        • 对应用程序不透明,需要在应用程序客户端配置应用网关地址

    入侵检测系统 IDS

    入侵检测方法一般分为基于特征的入侵检测基于异常的入侵检测

    基于特征的入侵检测只能检测已知攻击,对未知攻击则束手无策,原理:

    1. 维护一个所有已知攻击标志性特征的数据库
    2. 每个特征是一个与某种入侵活动关联的规则集
    3. 当发现有与某种攻击特征匹配的分组、分组序列时,则认为发生入侵

    基于异常的入侵检测,原理:观察正常运行的网络流量,学习正常流量的统计特征和规律,当检测到网络流量不符合正常情况时,则认为发生入侵

    入侵检测系统中的漏报、误报,如果漏报率比较高,则仅能检测到少量的入侵,给人以安全的假象;误报率太大会导致大量的虚假报警。



    文章关联:

    1. 概述
    2. 网络层
    3. 运输层
    4. 应用层
    5. 网络安全
    展开全文
  • 大数据时代网络安全问题分析

    万次阅读 2018-03-20 15:07:03
    随着数据的不断积累,网络也出现了种种安全问题。信息访问权限混乱一般来说,访问权限主要是由系统管理员来控制外来人员访问本区域的网络资源,在此情况下,通常只有被授予了访问权限才能访问此网站。然而,随着...
  • 网络安全面试必问

    千次阅读 2022-03-29 22:45:12
    项目经历 ... 大家底子应该都各不相同,在面试中可能会问到你们不懂的知识点,不要慌 可以迂回战术 ,大部分问题应该会围绕 应急 溯源 渗透(近一年比较火的漏洞)来问,也可能会问网络基础的一些东...
  •  2)安全协议:研究安全协议... 3)Ad Hoc移动网络,传感器网络:研究网络的体系结构,路由协议的设计与仿真,网络安全问题,以及实际应用产品开发。  4)IPv6安全问题:研究IPv6协议中存在的安全问题;研究I
  • 网络安全解决方案

    千次阅读 2022-01-19 14:28:50
    网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护,检测,响应和恢复等手段构成。 1,网络信息安全的基本问题 研究信息安全的困难在于: 边界模糊 数据安全与平台安全相交叉;存储安全与...
  • 网络安全的重要性

    千次阅读 多人点赞 2022-05-26 17:50:53
    网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 当前,以大数据、移动互联网、...
  • 网络安全威胁包括似的网络信息被窃听、重传、篡改、拒绝服务攻击,并导致网络行为否认、电子欺骗、非授权访问、传播病毒等问题。1、窃听:攻击者通过监视网络数据获得敏感信息,从而导致信息泄密。主要表现为网络上的...
  • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全有以下几种特征: 1. 保密性:信息不泄露给非...
  • 2020,网络安全领域有什么新趋势

    千次阅读 2020-04-21 16:52:42
    人工智能、区块链、5G等具有颠覆性的战略性新技术突飞猛进,大数据、云计算、物联网等基础应用持续深化,数据泄露、高危漏洞、网络攻击以及相关的智能犯罪等网络安全问题随着新技术的发展呈现出新变化,网络安全问题...
  • 2020 网络安全重保日记

    千次阅读 2020-11-27 16:11:17
    各用户单位也陆续启动响应,对网络安全负责人、联络人通知到位,深度排查网络安全风险,及时调整网络安全策略,部署实施态势感知、应急响应、持续安全评估、安全监测巡检等安全措施,并确保安全人员现场保障。...
  • 网络安全基础知识点

    万次阅读 2022-04-11 21:04:59
    文章目录一、网络安全概述1.1 定义1.2 信息安全特性1.3 网络安全的威胁1.4 网络安全的特征二、入侵方式2.1 黑客2.1.1 入侵方法2.1.2 系统的威胁2.2 IP欺骗与防范2.2.1 TCP等IP欺骗基础知识2.2.2 IP欺骗可行的原因...
  • 无线网络常见安全风险及应对措施

    千次阅读 2022-02-06 18:41:11
    无线网络与有线网络相比只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在无线网络中也存在,因此要继续加强常规的网络安全措施,但无线网络与有线网络相比还存在一些特有的安全威胁,因为无线网络是采
  • 浅谈对网络安全的认识(非原创)

    万次阅读 2019-09-23 16:19:11
    网络技术不断发展,带给我们的网络安全问题也日趋严重,论文从网络安全的定义,计算机网络安全现状出发,分析计算机网络的安全隐患,并提出防范措施。 关键词: 网络安全; 计算机系统; 安全隐患; 一、计算机网络安全...
  • 物理层和网络层 B.网络层和系统层 C.传输层和应用层 D.物理层和数据层 (2)加密安全机制提供了数据的( )。 A.可靠性和安全性 B.保密性和可控性 C.完整性和安全性 D.保密性和完整性 (3)抗抵赖性服务对证明信息的...
  • 网络安全-自学笔记

    万次阅读 多人点赞 2020-06-16 17:29:55
    目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 ...网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
  • 中国网络安全行业发展前景及投资战略研究报告(2022-2027年) 【报告编号】: BG417566 【出版时间】: 2022年2月 【出版机构】: 中智正业研究院 内容简介: 第一章 网络安全基本概述 1.1 网络安全概念界定 ...
  • 一、网络安全概述 1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 ...
  • 不一定全,不一定正确,根据网络查询自用整理。 英文 简称 中文 定义 Access Control Decision Function ADF 访问控制判决功能 Access Control Decision Information ADI 访问控制判决信息 Access ...
  • 计算机网络安全 第一章绪论

    万次阅读 多人点赞 2021-11-21 17:52:15
    1,典型的网络安全威胁 威胁 描述 窃听 网络中传输的敏感信息被窃听 重传 攻击者事先获得部分或全部信息,以后将此信息发送给接收者 伪造 攻击者将伪造的信息发送给接收者 篡改 攻击者对合法用户之间...
  • 网络空间安全导论-第一章习题

    千次阅读 热门讨论 2021-03-08 18:59:50
    1.网络空间安全有哪些定义? 定义1:网络空间安全即对网络空间中信息的机密性、完整性和可用性的保护。 (Cybersecurity is “preservation of confidentiality,integrity and availability of information in the ...
  • 网络安全等级保护2.0标准解析

    千次阅读 多人点赞 2022-07-21 17:06:33
    网络安全等级保护是指国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护
  • 计算机网络安全(一)

    千次阅读 多人点赞 2021-09-25 23:07:52
    随着计算机技术和信息技术的不断发展,互联网、通信网、计算机...在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临着风险和挑战。
  • 伴随着虚拟化、大数据和云计算技术等各种网络新技术广泛而深入的应用,如今网络安全问题已经和几乎所有传统的安全问题相关联。银行、证券、交通、电力和城市运行等,都离不开新一代网络技术,同样也都面临着网络安全...
  • 网络安全法学习整理笔记

    千次阅读 2022-04-08 01:06:21
    网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、...
  • 网络安全技术概论知识点

    千次阅读 2021-09-27 08:41:56
    本文为《网络安全技术及应用》中重点知识点的提炼,以便于记忆。
  • 网络安全基础介绍

    千次阅读 2022-04-12 16:10:16
    二、什么是网络安全 1.定义 2.实现 3.网络安全的三个基本属性 三、面临的威胁和来源 1.互联网因素 在互联网的大背景下网络数据和基础架构面临的常见威胁包括黑客攻击、恶意软件和病毒,这些威胁都有可能企图...
  • 这里写自定义目录标题写在前面判断题正确单选题错误单选题...F 项目TD是项目网络安全管理的第一责任人,项目组在任命时要明确网络安全管理职责,负责网络安全管理措施在本项目组的执行,组织网络安全现场培训。 F 接

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,042,121
精华内容 416,848
关键字:

网络安全问题

友情链接: ofdm_4.rar