《网路安全报告》由会员分享,可在线阅读,更多相关《网路安全报告(14页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页计算机网络技术的发展正处在鼎盛时期。计算机网络技术的进步,促进了网络应用的普及。而网络应用的新需求又推动了计算机网络的新发展.随着计算机网络的发展和Internet的广泛普及,信息已经成为现代社会生活的核心。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统,而且通过各种方式与互联网相连。通过上网树立形象、拓展业务,已经成为政府办公、企业发展的重要手段。一、计算机安全的定义 国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意
2、的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。 二、影响计算机网络安全的主要因素 1、网络系统本身的问题 目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MS NT 和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,一是
3、文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使其受到影响;网络硬件的配置不协调,一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定;缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。2、来自内部网用户的安全威胁 来自
4、内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。3、缺乏监管措施和准确的安全评估缺
5、乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术 4、黑客的技术更新而安全工具的更新速度太慢黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与
6、才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。三、计算机网络安全的六大指标详述1、可靠性可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。 (1)、抗毁性抗毁性是指系统在人为破坏下的可靠性。比如,部分线路或节点失效后,系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(战
7、争、地震等)造成的大面积瘫痪事件。 (2)、生存性生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里,随机性破坏是指系统部件因为自然老化等造成的自然失效。(3)、有效性有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下,满足业务性能要求的程度。比如,网络部件失效虽然没有引起连接性故障,但是却造成质量指标下降、平均延时增加、线路阻塞等现象。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内,程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务
8、的概率。人员可靠性在整个系统可靠性中扮演重要角色,因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响,受到其技术熟练程度、责任心和品德等素质方面的影响。因此,人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内,保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。 2、可用性可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用
9、户提供服务,而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制,只能访问相应权限的资源,防止或限制经隐蔽通道的非法访问。包括自主访问控制和强制访问控制)、业务流控制(利用均分负荷方法,防止业务流量过度集中而引起网络阻塞)、路由选择控制(选择那些稳定可靠的子网,中继线或链路等)、审计跟踪(把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中,以便分析原因,分清责任,及时采取相应的措施。审计跟踪的信息主要包括:事件类型、被管客体等级、事件时间、事件信息、事件回答以及
10、事件统计等方面的信息。)3、保密性保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露)。四、 网络安全问题的根源前面已经介绍了网络上常见的安全威胁与攻击,下面来
11、看一下这些安全问题的根源所在,大体上有物理安全问题、方案设计的缺陷、系统的安全漏洞、TCP/IP协议的安全和人等几个方面。1、物理安全问题除了物理设备本身的问题外,物理安全问题还包括设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的位置极为重要。所有基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性.2、方案设计的缺陷 由于在实际中,网络的结构往往比较复杂,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性的要求。开放性和安全性正是一对相生相克的矛盾。由于特定的环境往往会有特定的安全需求,所以不存在可以到处通用
12、的解决方案,往往需要制订不同的方案。如果设计者的安全理论与实践水平不够的话,设计出来的方案经常会出现很多漏洞,这也是安全威胁的根源之一。 3、系统的安全漏洞随着软件系统规模的不断增大,系统中的安全漏洞或后门也不可避免的存在,比如我们常用的操作系统,无论是WINDOWS还是LINUX几乎都存在或多或少的安全漏洞,众多的各类服务器最典型的如微软的IIS服务器、浏览器、数据库、等都被发现过存在安全隐患。可以说任何一个软件系统都可能因为程序员的一个疏忽、设计中的一个缺陷等原因而存在安全漏洞,这也是网络安全问题的主要根源之一。 目前我们发现的安全漏洞数量已经相当庞大,据统计已经接近病毒的数量。以下列举了
13、一些典型的安全漏洞,他们在新发布的系统或已经打过补丁的系统中可能已经不再存在,但是了解他们依然具有非常积极的意义! (1)、操作系统类安全漏洞操作系统类安全漏洞包括非法文件访问、远程获得ROOT权限、系统后门、NIS漏洞、FINGER漏洞、RPC漏洞等 (2)、网络系统类安全漏洞典型例子包括:CISCO IOS的早期版本不能抵抗很多拒绝服务类的攻击(如LAND)等(3)、应用系统类安全漏洞各种应用都可能隐含安全缺陷,尤其是较早的一些产品和国内一些公司的产品对安全问题很少考虑更是如此,如通过TCP/IP协议应用MAIL SERVER、WWW SERVER、FTP SERVER、DNS时出现的安全
14、漏洞等。(4)、TCP/IP协议的安全问题因特网最初设计考虑时该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此他在安全可靠、服务质量、带宽和方便性等方面存在这严重的不适应性。作为因特网灵魂的TCP/IP协议,更存在着很大的安全隐患,缺乏强健的安全机制,这也是网络不安全的主要因素之一。下面我们可以举TCPIP的主要协议之一IP协议作为例子来说明这个问题。IP协议依据IP头中的目的地址项来发送IP数据包,如果目的地址是本地网络内的地址,该IP包就被直接发送到目的地,如果目的地址不在本地网络内,该IP包就会被发送到网关,再由网关决定将其发送到何处,这是IP协议路由IP包的方法。我们发现
15、IP协议在路由IP包时对IP头中提供的IP源地址不做任何检查,并且认为IP头中的IP源地址即为发送该包的机器的IP地址。当接收到该包的目的主机要与源主机进行通信时,它以接收到的IP包的IP头中IP源地址作为其发送的IP包的目的地址,来与源主机进行数据通信。IP的这种数据通信方式虽然非常简单和高效,但它同时也是IP的一个安全隐患,常常会使TCPIP网络遭受两类攻击,最常见的一类就是服务拒绝攻击DOS,如前面提到过的TCPSYN FLOODING攻击;IP不进行源地址检验常常会使TCPIP网络遭受另一类最常见的攻击是劫持攻击,即攻击者通过攻击被攻击主机获得某些特权,这种攻击只对基于源地址认证的主机
16、奏效,基于源地址认证是指以IP地址作为安全权限分配的依据。 5、人的因素人是信息活动的主体,人的因素其实是网络安全问题的最主要的因素,体现在下面二占 (1)、人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会给网络安全带来威胁。(2)、人为的恶意攻击 人为的恶意攻击也就是黑客攻击,这是计算机网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。黑客活动几乎覆盖了
