前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全主要特征主題范文,僅供參考,歡迎閱讀并收藏。
隨著互聯(lián)網(wǎng)在全球范圍內(nèi)的普及,計算機網(wǎng)絡(luò)安全成為了高職院校安全系統(tǒng)的重要內(nèi)容。本文首先介紹了計算機網(wǎng)絡(luò)系統(tǒng)常見的安全隱患,以及高職院校相關(guān)的安全問題,最后就計算機網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計,提出了可操作性的建議。
【關(guān)鍵詞】
高職;計算機;網(wǎng)絡(luò)安全;設(shè)計
計算機技術(shù)的發(fā)展與普及也使高校內(nèi)部的信息交流受益匪淺。在學(xué)校范圍內(nèi),高校通過計算機技術(shù)構(gòu)建局域網(wǎng),能夠?qū)崿F(xiàn)資源的共享和信息的快捷傳遞,為高校的教學(xué)與研討提供了方便的平臺,也有利于提升高校的自身對外影響力。但是高校對計算機網(wǎng)絡(luò)安全管理呈現(xiàn)出良莠不齊的局面,特別是高職院校的管理力度不夠,缺乏足夠的重視,致使計算機網(wǎng)絡(luò)安全的風(fēng)險加大,經(jīng)常受到所謂黑客的攻擊,高職院校計算機網(wǎng)絡(luò)安全管理水平的提升迫在眉睫。
1計算機網(wǎng)絡(luò)安全概述
計算機網(wǎng)絡(luò)安全,即網(wǎng)絡(luò)系統(tǒng)里的軟硬件以及相關(guān)有價值的數(shù)據(jù),由于人為的因素而受到干擾,具體包括篡改、泄露和毀損等現(xiàn)象,是網(wǎng)絡(luò)系統(tǒng)不能正常的運行和發(fā)揮作用。這里的人為因素應(yīng)該排除網(wǎng)絡(luò)系統(tǒng)斷電、磁場擾亂等客觀現(xiàn)象,而是不法分子利用木馬病毒等攻擊高職院校的局域網(wǎng)安全系統(tǒng),竊取他們想要得到的各種資料和數(shù)據(jù),以此來獲得利益。筆者把高職院校的計算機網(wǎng)絡(luò)安全存在的問題,概括為以下幾個方面:
1.1計算機網(wǎng)絡(luò)物理安全問題
校園計算機網(wǎng)絡(luò)屬于弱電工程,耐壓能力低,在雷電、突然斷電等情況下極易遭受襲擊以致線路短路、晶片損壞而最終造成物理工程失去效果,繼而中斷了計算機網(wǎng)絡(luò)的服務(wù),若此時數(shù)據(jù)庫存儲硬盤遭遇損壞,那么將不能保證它所存儲的信息數(shù)據(jù)是安全的。
1.2計算機網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的安全問題
高校計算機網(wǎng)絡(luò)是由內(nèi)部局域網(wǎng)聯(lián)合國際互聯(lián)網(wǎng)構(gòu)建而成的網(wǎng)絡(luò)。通過內(nèi)部局域網(wǎng)建設(shè),它能夠?qū)崟r共享局域網(wǎng)內(nèi)數(shù)據(jù),并能實時進行資料的傳遞;通過連接外部互聯(lián)網(wǎng),它還能夠?qū)崿F(xiàn)數(shù)據(jù)的交流。木馬病毒極易在各終端與互聯(lián)網(wǎng)通信的過程中攻擊互聯(lián)網(wǎng),而且無論該木馬的傳輸途徑是哪一個終端都能夠經(jīng)內(nèi)部局域網(wǎng)的迅速交流而在整個網(wǎng)絡(luò)蔓延開來,導(dǎo)致局域網(wǎng)不能正常運行和發(fā)揮作用,數(shù)據(jù)和信息處于完全暴露的狀態(tài)下。
1.3計算機網(wǎng)絡(luò)系統(tǒng)的安全問題
計算機網(wǎng)絡(luò)系統(tǒng)主要是由網(wǎng)絡(luò)硬件平臺與操作系統(tǒng)兩者構(gòu)建而成的,兩者在日前的計算機技術(shù)下都還未達到完美,存在技術(shù)方面的缺陷,不能說是一定安全的,因此,在系統(tǒng)構(gòu)建的源頭就已決定該網(wǎng)絡(luò)是具有Back-Door的。正是基于此,要想保障校園網(wǎng)絡(luò)的安全性,那么如何搭建一個科學(xué)合理的網(wǎng)絡(luò)安全管理系統(tǒng)就成為了一項不容忽視的重要措施。
2高職院校計算機網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計
各種系統(tǒng)都是由各種不同的結(jié)構(gòu)單元互相配合搭建而成的綜合性管理平臺,其中校園計算機網(wǎng)絡(luò)系統(tǒng)所構(gòu)建的安全系統(tǒng)通常包括SNMP協(xié)議、路由訪問控制技術(shù)、VLAN虛擬局域網(wǎng)技術(shù)、網(wǎng)絡(luò)用戶身份認(rèn)證技術(shù)、邊界防火墻技術(shù)、入侵防御技術(shù)等,本文主要從網(wǎng)絡(luò)用戶身份認(rèn)證技術(shù)、邊界防火墻技術(shù)和入侵防御技術(shù)三個方面來簡要介紹校園的網(wǎng)絡(luò)安全管理系統(tǒng)。
2.1邊界防火墻技術(shù)
在校園計算機網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)進行連接時,邊界防火墻利用計算機軟件技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全協(xié)議與技術(shù)等,能夠隔絕網(wǎng)絡(luò)內(nèi)部和外部系統(tǒng),只要內(nèi)部網(wǎng)絡(luò)保持相對獨立,不受外在網(wǎng)絡(luò)信息的影響,網(wǎng)絡(luò)就能夠保持正常狀態(tài),對于一些突發(fā)性和大范圍長時間的網(wǎng)絡(luò)攻擊,也能起到抵御的作用。在一定程度上起著過濾內(nèi)外信息通信的作用。尤其是對于校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、總網(wǎng)與子網(wǎng)之間的網(wǎng)絡(luò)攻擊能夠起到較好的抵御作用。
2.2網(wǎng)絡(luò)用戶身份認(rèn)證技術(shù)
網(wǎng)絡(luò)用戶身份認(rèn)證技術(shù),當(dāng)下在國內(nèi)的高校已經(jīng)成為計算機網(wǎng)絡(luò)安全管理的常規(guī)手段,并且起著重要作用。每個終端在網(wǎng)絡(luò)服務(wù)器后臺都會分到一個獨有的IP地址與用戶登錄名,用戶在進行校園網(wǎng)絡(luò)連接時只有將正確的用戶名輸入進去才能夠獲取權(quán)限繼而完成通信連接,這樣就可以阻擋不合法的外來用戶侵入計算機網(wǎng)絡(luò)系統(tǒng),保障計算機網(wǎng)絡(luò)的安全性。某些高校在構(gòu)建校園網(wǎng)絡(luò)安全系統(tǒng)中,對IP地址進行分配時,采用綁定該IP與電腦MAC的手段,這就使得網(wǎng)絡(luò)用戶名登錄時,若不是本電腦、本IP將限制其登陸權(quán)限,使得計算機網(wǎng)絡(luò)可以阻止網(wǎng)絡(luò)偽裝訪問該系統(tǒng),實現(xiàn)網(wǎng)絡(luò)登錄的安全控制。
2.3入侵防御技術(shù)
入侵防御技術(shù),它是計算機網(wǎng)絡(luò)系統(tǒng)安全管理的重要內(nèi)容,需要軟硬件兩方面的配合,這種網(wǎng)絡(luò)安全管理技術(shù)可以鑒別用戶的訪問目的,檢查數(shù)據(jù)包的內(nèi)容以及來自黑客的攻擊,強破中斷該來源用戶名、IP地址的網(wǎng)絡(luò)連接,并及時清除該數(shù)據(jù)包。入侵防御技術(shù)主要防御的是網(wǎng)絡(luò)攻擊,這種攻擊來自于內(nèi)部終端和網(wǎng)絡(luò)的連接過程中,并且通過局域網(wǎng)影響到下面的子網(wǎng),有利于網(wǎng)絡(luò)系統(tǒng)安全性能的提升。入侵防御技術(shù)在技術(shù)層面的主要特征有:(1)實時監(jiān)測性,它采用嵌入式的運行方式用以實時監(jiān)測數(shù)據(jù)包的來源與攻擊;(2)準(zhǔn)確性,它可以深入研究與控制數(shù)據(jù)包,以得到準(zhǔn)確的正常運行數(shù)據(jù)與惡意攻擊數(shù)據(jù);(3)在通信過程中,這種完備的入侵特征庫,能夠馬上檢測是不是網(wǎng)絡(luò)惡意入侵行為。從這些特征可以看出,入侵防御技術(shù)具有全面高效的特點,技術(shù)相對完善,所以適應(yīng)于高校計算機的網(wǎng)絡(luò)安全建設(shè),也是比較可靠的。
3結(jié)語
總之,計算機的網(wǎng)絡(luò)安全問題,關(guān)系到高職院校教學(xué)工作者的正常教研活動的正常進行,也關(guān)系到學(xué)生的日常生活,計算機網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計,能夠有效的保證學(xué)校教學(xué)的秩序有條不紊,其技術(shù)需要不斷的開發(fā)和改進,從而形成可靠的技術(shù)保障。
作者:熊磊 單位:漢中職業(yè)技術(shù)學(xué)院
參考文獻:
[1]蔡昂.高職院校計算機網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計與實現(xiàn)[D].天津:天津大學(xué),2012.
[關(guān)鍵詞]計算機網(wǎng)絡(luò)工程;安全問題;相關(guān)對策
中圖分類號:TP393.08 文獻標(biāo)識碼:A 文章編號:1009-914X(2017)13-0170-01
計算機網(wǎng)絡(luò)安全要求不僅是指避免木馬病毒的侵犯,其還涵蓋了通信的連通性與網(wǎng)絡(luò)硬件安全性等多方面的內(nèi)容。在計算機實際運用過程中,計算機網(wǎng)絡(luò)往往會受到多方面的網(wǎng)絡(luò)威脅,而安全問題的存在雖然為網(wǎng)絡(luò)安全運行造成了重大的危害,但是該問題的存在也對實現(xiàn)計算機網(wǎng)絡(luò)發(fā)展起到重要的促進作用,在不斷受到威脅的同時,也不斷的進行防范技術(shù)創(chuàng)新與優(yōu)化。所以,相關(guān)技術(shù)人員在面對網(wǎng)絡(luò)安全危險時,應(yīng)當(dāng)積極將問題的破壞力量轉(zhuǎn)變?yōu)榇龠M作用。
一、當(dāng)前網(wǎng)絡(luò)攻擊的主要特征
在當(dāng)前網(wǎng)絡(luò)攻擊是主要的網(wǎng)絡(luò)工程安全問題,其在實際發(fā)生過程中主要呈現(xiàn)以下的攻擊特征。其一,網(wǎng)絡(luò)攻擊問題往往會造成較大的損失,這主要是由于黑客在開展網(wǎng)絡(luò)攻擊時所選擇的對象為連接網(wǎng)絡(luò)的計算機。所以,其在網(wǎng)絡(luò)的傳播效果下將會導(dǎo)致大量的計算機出現(xiàn)安全問題,以至于損失嚴(yán)重。其二,在一定情況下,網(wǎng)絡(luò)攻擊會導(dǎo)致社會與國家的安全面臨挑戰(zhàn),這主要是由于在當(dāng)前,部分黑客的攻擊目標(biāo)是政府機密文件,若該攻擊實現(xiàn),就將會對國家與社會造成災(zāi)難性的損失。其三,黑客在進行網(wǎng)絡(luò)攻擊時所采用的手段呈多元化和隱蔽性特征。其主要是指黑客在利用網(wǎng)絡(luò)攻擊來獲取網(wǎng)絡(luò)保密信息或者破壞防火墻時所采用的方式多種多樣,且在攻擊傷害形成之前難以被察覺。其四,網(wǎng)絡(luò)攻擊的實現(xiàn)大多數(shù)是軟件攻擊。其主要是指在實際攻擊過程中主要是依靠軟件作為基本載體來入侵用戶的計算機并對其進行攻擊。
二、當(dāng)前面臨的網(wǎng)絡(luò)工程主要問題
(一)網(wǎng)絡(luò)工程本身存在的脆弱性質(zhì)
從計算機網(wǎng)絡(luò)的基本特征來看,其始終處于開放狀態(tài),本身就存在著一定的脆弱性質(zhì),導(dǎo)致網(wǎng)絡(luò)安全問題的發(fā)生。詳細來說,其就是指在網(wǎng)絡(luò)環(huán)境中,網(wǎng)絡(luò)傳輸與網(wǎng)絡(luò)共享是不被限制的工作形式,在此特性下,網(wǎng)絡(luò)工程的安全性能就會面臨多項挑戰(zhàn)。而其本身的脆弱性主要表現(xiàn)于自由性、國際性以及開放性等基本特征中。這些特征的存在為黑客的攻擊實現(xiàn)提供了平臺與途徑。
(二)操作系統(tǒng)中存在的安全隱患
計算機所用的操作系統(tǒng)主要是為計算機的網(wǎng)絡(luò)傳遞與共享提供技術(shù)與操作支持,其本身就容易發(fā)生安全問題。簡單來說網(wǎng)絡(luò)操作的實現(xiàn)離不開操作系統(tǒng)的支持。所以,當(dāng)操作系統(tǒng)發(fā)生問題,就將會對網(wǎng)絡(luò)安全造成巨大的影響。操作系統(tǒng)提供多項管理功能,其最為主要的管理功能的實現(xiàn)就在于軟件與硬件兩個部分。硬件與軟件設(shè)備共同組成計算機網(wǎng)絡(luò),實現(xiàn)計算機穩(wěn)定運行離不開基礎(chǔ)的自然條件保證,所以,網(wǎng)絡(luò)安全的實現(xiàn)離不開自然環(huán)境的保證。
(三)計算機病毒造成的安全問題
計算機病毒主要是指惡意代碼組合,非法侵入計算機程。病毒的入侵主要是利用網(wǎng)絡(luò)結(jié)構(gòu)中的漏洞展開破壞工作的。具有較強的破壞性,對硬件與軟件系統(tǒng)的傷害較大。其還具有自我復(fù)制、隱蔽性、潛伏性以及傳播性的特征,導(dǎo)致網(wǎng)絡(luò)工程中的多種安全問題發(fā)生。例如,蠕蟲病毒、木馬病毒等。
(四)計算機漏洞導(dǎo)致的安全問題
網(wǎng)絡(luò)工程本身具有馱有雜胩厥廡裕所以網(wǎng)絡(luò)漏洞難以避免。黑客往往會利用以上漏洞進行網(wǎng)絡(luò)攻擊,危害計算機安全性。導(dǎo)致漏洞出現(xiàn)的原因包括軟件漏洞、硬件漏洞以及網(wǎng)絡(luò)配置失誤以及程序設(shè)計失誤等。黑客會對以上漏洞進行深入分析,從而建立破壞手段,尋求破壞機會。所以,這些漏洞的存在對于網(wǎng)絡(luò)工程的安全造成挑戰(zhàn)。
三、安全問題解決的相關(guān)對策探究
(一)加強技術(shù)防范工作
完善的技術(shù)防范工作的開展主要可通過技術(shù)管理制度的建立,管理人員的素質(zhì)培養(yǎng),網(wǎng)絡(luò)系統(tǒng)的安全規(guī)范等方面進行展開。同時還應(yīng)當(dāng)注重針對重要信息保護開展的數(shù)據(jù)備份與管理換工作,并實現(xiàn)責(zé)任劃分。同時要加強網(wǎng)絡(luò)訪問的有效控制,設(shè)立嚴(yán)密的訪問權(quán)限,避免出現(xiàn)非法訪問。另外,還應(yīng)當(dāng)完善用戶的權(quán)限管理工作。實現(xiàn)網(wǎng)絡(luò)工程自身的抗病毒能力提升,這可利用殺毒軟件應(yīng)用與防火墻設(shè)置來實現(xiàn),對網(wǎng)絡(luò)中的相關(guān)信息進行實時監(jiān)控,避免信息外泄。
(二)加強管理投入力度
安全管理工作是提升網(wǎng)絡(luò)工程安全性的重要工作,在實際工作中不能只依靠技術(shù)防范來實現(xiàn)安全保證。安全管理工作的開展可主要通過以下形式來實現(xiàn),建立專門的法律法規(guī)來保證網(wǎng)絡(luò)安全同時對黑客的行為進行限制??稍趯嶋H管理管理工作開展中往往存在著人為因素的限制,造成管理工作難度的提升。所以,要保證網(wǎng)絡(luò)安全管理工作質(zhì)量的提升,還應(yīng)當(dāng)不斷實現(xiàn)管理人員的安全意識提升。
(三)建立完善的安全保障平臺
網(wǎng)絡(luò)工程的安全保障需要安全的物理環(huán)境作為基礎(chǔ),例如機房設(shè)置等。在進行機房位置選擇時應(yīng)當(dāng)充分就自然環(huán)境環(huán)境等可能造成的物理災(zāi)害進行綜合考慮,同時也要避免人為因素所造成的破壞。相關(guān)技術(shù)人員應(yīng)當(dāng)加強對虛擬地址的訪問控制管理技術(shù)的提升,設(shè)立完善的用戶權(quán)限,加強操作過程中的身份識別保護。這種做法能有效避免非法入侵的發(fā)生。
(四)注重綜合防范措施的制定
綜合防范措施的制定主要可通過以下方式來實現(xiàn)。首先加強網(wǎng)絡(luò)安全教育,提供管理人員的網(wǎng)絡(luò)安全意識。其次,實現(xiàn)網(wǎng)絡(luò)管理質(zhì)量的提升,加強管理人員的專業(yè)技術(shù)優(yōu)化。另外,可通過口令與密碼建立來實現(xiàn)用戶的權(quán)限分級,同時還可加強密碼技術(shù)的應(yīng)用與優(yōu)化。此外,管理人員還應(yīng)當(dāng)加強防火墻的防范技術(shù)的研究,防火墻技術(shù)與侵入檢測系統(tǒng)的有機結(jié)合。
四、結(jié)束語
隨著我國信息化進程的不斷推進,計算機網(wǎng)絡(luò)在為人們的生活帶來更多便利的同時也面臨著更多的安全威脅。在網(wǎng)絡(luò)運行過程中,其所面臨的安全問題十分廣泛且較為復(fù)雜,對人民的生活與網(wǎng)絡(luò)安全穩(wěn)定運行造成巨大影響。所以,加強預(yù)防與解決相關(guān)安全問題十分重要。相關(guān)的技術(shù)人員應(yīng)當(dāng)不斷就當(dāng)前的網(wǎng)絡(luò)攻擊特征以及安全問題進行深入分析,并在這基礎(chǔ)上積極就實現(xiàn)安全問題防范與問題解決進行技術(shù)探討,推進我國網(wǎng)絡(luò)運行的安全穩(wěn)定建設(shè)。
參考文獻
[1] 熊芳芳.淺談計算機網(wǎng)絡(luò)安全問題及其對策[J].電子世界,2012,22:139-140.
[2] 喬亮,肖明華,李琳.計算機網(wǎng)絡(luò)工程安全問題及其對策[J].科技展望,2014,22:12.
[3] 韓菁,張京輝,程婧.淺談計算機網(wǎng)絡(luò)工程安全問題及其對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,05:35+38.
[4] 羅濤.淺談計算機網(wǎng)絡(luò)安全問題及其對策[J].中小企業(yè)管理與科技(下旬刊),2010,04:204-205.
【關(guān)鍵詞】 NGFW;UTM;應(yīng)用識別
1 引言
防火墻是一類防范措施的總稱,它監(jiān)控可信任網(wǎng)絡(luò)(相當(dāng)于內(nèi)部網(wǎng)絡(luò))和不可信任網(wǎng)絡(luò)(相當(dāng)于外部網(wǎng)絡(luò))之間的訪問通道,以防止外部網(wǎng)絡(luò)的危險蔓延到內(nèi)部網(wǎng)絡(luò)上。防火墻簡單的可以只用路由器實現(xiàn),復(fù)雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)。
Gartner的報告顯示,從2005年開始,全球防火墻市場已開始呈逐年遞減趨勢。市場的增長源自用戶的需求,而衰落,正恰好說明用戶的需求在發(fā)生改變。防火墻產(chǎn)品從上世紀(jì)90年代至今,雖然歷經(jīng)系統(tǒng)架構(gòu)和軟件形態(tài)的多次革新,但在技術(shù)發(fā)展和用戶、帶寬不斷增長的今天,卻愈發(fā)難以滿足多方面的挑戰(zhàn)。尤其是在當(dāng)前最熱門的數(shù)據(jù)中心和云計算環(huán)境下,以太網(wǎng)標(biāo)準(zhǔn)由萬兆開始向40G/100G邁進,我國各類數(shù)據(jù)中心和機房總量已接近60萬個。業(yè)務(wù)低延遲、高可靠保證和智能化安全管理,都對網(wǎng)關(guān)安全產(chǎn)品的性能和功能提出了新的要求,因而催生出革命性的防火墻產(chǎn)品——下一代防火墻(Next Generation Firewall,以下簡稱NGFW)。
2 NGFW的定義及特點
2009年,Gartner首次在《Defining the Next- Generation Firewall》一文中定義了NGFW這個術(shù)語,用來形容應(yīng)對攻擊行為、業(yè)務(wù)流程和使用IT方式不斷變化的防火墻產(chǎn)品發(fā)展所要經(jīng)歷的必然階段。Gartner認(rèn)為,NGFW是一種能夠真正滿足用戶當(dāng)前需求的集成式線速網(wǎng)絡(luò)平臺,可執(zhí)行深度流量檢測,阻止攻擊。
下一代防火墻具有的最低屬性。
1) 支持聯(lián)機“bump-in-the-wire”配置,同時不會干擾網(wǎng)絡(luò)運行。
2) 發(fā)揮網(wǎng)絡(luò)傳輸流檢查和網(wǎng)絡(luò)安全政策執(zhí)行平臺的作用具有的特性。
* 標(biāo)準(zhǔn)的第一代防火墻功能:具有數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、協(xié)議狀態(tài)檢查以及VPN功能等。
* 集成的而非僅僅共處一個位置的網(wǎng)絡(luò)入侵檢測:支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應(yīng)當(dāng)大于這兩部分效果的總和。例如提供防火墻規(guī)則來阻止某個地址不斷向IPS加載惡意傳輸流。這個例子說明,在NGFW中,應(yīng)該由防火墻建立關(guān)聯(lián),而不是操作人員去跨控制臺部署解決方案。集成具有高質(zhì)量的IPS引擎和特征碼,是NGFW的一個主要特征。
* 應(yīng)用識別與全??梢曅裕鹤R別應(yīng)用和在應(yīng)用層上執(zhí)行獨立于端口和協(xié)議,而不是根據(jù)純端口、純協(xié)議和純服務(wù)的網(wǎng)絡(luò)安全政策。
* 超級智能的防火墻:防火墻收集外來信息來做出更好的阻止決定或建立優(yōu)化的阻止規(guī)則庫。
3) 支持新信息流與新技術(shù)的集成路徑升級,以應(yīng)對未來出現(xiàn)的各種威脅。
3 NGFW與傳統(tǒng)防火墻和UTM的區(qū)別
傳統(tǒng)防火墻只能提供一般意義上的數(shù)據(jù)包轉(zhuǎn)發(fā)和攔截功能,以及一些簡單的包檢測機制,重點的防護還僅僅是停留在OSI模型的四層以內(nèi)。如果用包裹來做比喻,也就是只檢查了紙箱而沒有檢查里面的物品,因此對應(yīng)用層的攻擊無能為力。
UTM和傳統(tǒng)防火墻相比,確實增加了很多過濾功能,包括應(yīng)用層的識別和過濾。但是UTM是將防火墻、IPS、AV等功能簡單地疊加在了一起,采用串行掃描方式,這種做法會使數(shù)據(jù)流在每個安全引擎分別執(zhí)行解碼、狀態(tài)復(fù)原等操作,導(dǎo)致大量的資源消耗。尤其在激活了多種掃描過濾功能之后,整體的性能會使企業(yè)的網(wǎng)絡(luò)受到極大的影響。
NGFW之所以能夠達到比UTM更高的性能和實現(xiàn)更多的功能,是因為其產(chǎn)品架構(gòu)之間的根本區(qū)別。NGFW產(chǎn)品自設(shè)計之初,就采用了一體化的引擎。它會一次性地對數(shù)據(jù)流完成識別、掃描,因而可以達到更高的性能。此外,由于NGFW支持虛擬化,使其擁有更為靈活的架構(gòu)與擴充性。
4 NGFW的應(yīng)用場景(見右表)
5 結(jié)束語
今天的網(wǎng)絡(luò)安全市場已經(jīng)發(fā)生了巨大變化,越來越多的廠商也開始加入到下一代防火墻的隊伍中來。Gartner預(yù)計到2014年底,用戶采購防火墻的比例將增加到占安裝量的35%,60%新購買的防火墻將是NGFW。而對于用戶端,越來越復(fù)雜的應(yīng)用需求和迫切希望整合管理變得更加普遍,“下一代防火墻”早晚會變成未來人眼中的“這一代防火墻”。
參考文獻
[1] 王夢龍,畢雨,沈健.網(wǎng)絡(luò)信息安全原理與技術(shù).北京:中國鐵道出版社,2009年.
[2] 呂穎軒.構(gòu)筑新一代網(wǎng)絡(luò)安全屏障[J].電信網(wǎng)技術(shù),2011(03).
[3] 宋勁松,蕾奧.防御在入侵那一刻[J].中國計算機用戶, 2005(48).
[4] 段紅. SSG:延展UTM理念[J].計算機安全.2006(09).
【關(guān)鍵詞】計算機網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范技術(shù)
隨著知識經(jīng)濟時代的到來和計算機網(wǎng)絡(luò)的不斷發(fā)展,信息全球化已成為發(fā)展的大趨勢,信息是一種寶貴的資源,越來越多的人認(rèn)識到需要保護重要信息的安全,安全問題已經(jīng)成為全社會普遍關(guān)注的重大問題,網(wǎng)絡(luò)安全是信息安全的熱點。但是由于計算機網(wǎng)絡(luò)具有多種的連接方式、網(wǎng)絡(luò)的開放性和互連性等特征,致使了網(wǎng)絡(luò)很容易就會受到各方面攻擊。因此,只有針對目前各種不同危害及計算機網(wǎng)絡(luò)安全的主要因素,采取必要的措施,才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。
1.計算機網(wǎng)絡(luò)及其安全概念
計算機網(wǎng)絡(luò),是指將地理位置不同的具有獨立功能的多臺計算機及其外部設(shè)備,通過通信線路連接起來,在網(wǎng)絡(luò)操作系統(tǒng),網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下,實現(xiàn)資源共享和信息傳遞的計算機系統(tǒng)。計算機網(wǎng)絡(luò)安全則是指計算機信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數(shù)據(jù)安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設(shè)備和通信線路的安全,其威脅來自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全,其威脅主要來自信息被破壞和信息被泄露。
2.危及計算機網(wǎng)絡(luò)安全的主要因素
造成計算機網(wǎng)絡(luò)系統(tǒng)不安全的因素很多,常見的有以下幾個方面:
2.1計算機病毒
自從計算機病毒出現(xiàn)以來,病毒的種類、感染對象越來越多,傳播速度越來越快,對計算機系統(tǒng)的安全造成了危害,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用網(wǎng)絡(luò)進行快速傳播,一些攜帶病毒的數(shù)據(jù)包和未知郵件,如果你不小心打開了這些郵件,計算機就有可能中毒,對網(wǎng)絡(luò)信息安全構(gòu)成了極大的威脅。
2.2計算機黑客
黑客只需一臺計算機、一條電話線、一個調(diào)制解調(diào)器就可以遠距離作案,他們翻閱資料、侵犯隱私、收集情報、竊取機密,主要攻擊目標(biāo)是政府、軍事、郵電和金融網(wǎng)絡(luò)。他們利用對方系統(tǒng)的漏洞使用破譯程序?qū)孬@的系統(tǒng)密碼加密信息進行破譯,以獲取具有較高權(quán)限的帳號;利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘以獲取進一步的有用信息;通過系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令,侵入系統(tǒng)。
2.3侵犯知識產(chǎn)權(quán)
計算機網(wǎng)絡(luò)的發(fā)展給知識產(chǎn)權(quán)的保護帶來了新的課題。隨著因特網(wǎng)的不斷發(fā)展,加入其中的計算機越來越多,如何保護聯(lián)網(wǎng)的計算機個人數(shù)據(jù)免遭來自網(wǎng)絡(luò)的攻擊,給網(wǎng)絡(luò)的信息安全提出了新的挑戰(zhàn)。
2.4信息垃圾
信息垃圾是利用計算機網(wǎng)絡(luò)傳播違道德及所在國家法律及意識形態(tài)的內(nèi)容,如一些污穢的、種族主義的或者明顯意識形態(tài)傾向的信息等。這些不健康的東西不僅對未成年人造成了極大的危害,甚至對國家安定、社會穩(wěn)定造成危害。
3.計算機網(wǎng)絡(luò)安全隱患的特點
基于上述危及計算機網(wǎng)絡(luò)安全的主要因素,我們再來分析一下計算機網(wǎng)絡(luò)安全隱患的特點:
3.1造成巨大經(jīng)濟損失
網(wǎng)絡(luò)上的計算機一旦被攻擊、入侵成功,將會使其處于癱瘓狀態(tài),給其用戶造成巨大的經(jīng)濟損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元,平均一起計算機犯罪案件所造成的經(jīng)濟損失是一般案件的幾十到幾百倍。
3.2威脅社會和國家安全
一些計算機網(wǎng)絡(luò)攻擊者出于各種不可告人的政治目的,經(jīng)常把政府要害部門和軍事部門的計算機作為攻擊目標(biāo),從而對社會和國家安全造成威脅。
3.3手段多樣,隱蔽性強
一是可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取保密信息;二是可以通過截取帳號和口令入侵計算機系統(tǒng);三是可以借助特殊方法繞過防火墻等等。這些五花八門的攻擊手段過程,都可以在很短的時間內(nèi)通過任何一網(wǎng)的計算機完成,并且不留痕跡,隱蔽性很強。
3.4以攻擊軟件為主要特征
幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊,從而破壞整個計算機系統(tǒng)的。這完全不同于人們在生活中所見到的對某些機器設(shè)備進行物理上的摧毀。
4.計算機網(wǎng)絡(luò)安全的防范技術(shù)
4.1路由選擇技術(shù)
計算機網(wǎng)絡(luò)中的網(wǎng)絡(luò)層的主要功能是將分組從源端機器經(jīng)選定的路由送到目的端機器。在大多數(shù)網(wǎng)絡(luò)中,分組的數(shù)據(jù)需要經(jīng)過多次轉(zhuǎn)發(fā)才能到達目的地,有線網(wǎng)絡(luò)如此,無線網(wǎng)絡(luò)也不例外。
如果發(fā)送數(shù)據(jù)的路徑不合理,經(jīng)過的設(shè)備太多會對數(shù)據(jù)的安全帶來極大的危險,最短路徑就是路由選擇算法需要解決的問題,路由選擇算法和它們使用的數(shù)據(jù)結(jié)構(gòu)是網(wǎng)絡(luò)層設(shè)計的一個主要區(qū)域。路由選擇算法是網(wǎng)絡(luò)層軟件的一部分,負責(zé)確定所收到分組應(yīng)傳送的外出路線,目的非常簡單,找一條從源到目的地的一條“最好”路徑,而“最好”路徑常常是指具有最小花費的路徑。路由選擇算法需要有正確性、簡單性、健壯性、穩(wěn)定性、公平性和最優(yōu)件等特征。路由算法的給定一個代表該網(wǎng)絡(luò)的圖,找到從源到目的地的最小花費路徑要求能夠找到一條由一系列鏈路組成的路徑,其中:路徑中的第一條鏈路連接到源,路徑中的最后一條鏈路連接到目的地;對于最小花費路徑來說,路徑上的鏈路花費的總和是源到目的地之間所有可能的路徑的鏈路花費總和的最小值。如果所有的鏈路花費相同,那么最小路徑也就是最短路徑。
4.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是指將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換之后變成無意義的密文,而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全和保密性,防止秘密數(shù)據(jù)被外部破解所采用的主要手段之一,需要和防火墻配合使用。
我們對于比較重要和機密的WORD、EXCEL等電子文檔,可以設(shè)置打開密碼,即沒有密碼就不能打開文檔,或者設(shè)置只讀權(quán)限,以保護自己的知識產(chǎn)權(quán)。對于一些重要文件,我們可以用WINZIP的壓縮功能進行壓縮,同時設(shè)置壓縮的密碼,這樣打開壓縮文件時就需要密碼,這就是數(shù)據(jù)加密技術(shù)的最基本的應(yīng)用。
4.3防火墻技術(shù)
防火墻是一種安全防護措施,需要和數(shù)據(jù)加密技術(shù)配合使用。防火墻技術(shù)就是一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實現(xiàn)控制策略的系統(tǒng),主要是為了用來保護內(nèi)部的網(wǎng)絡(luò)不易受到來自因特網(wǎng)的侵害。目前,防火墻有兩個關(guān)鍵技術(shù),一是包過濾技術(shù),二是服務(wù)技術(shù)。此外,還有復(fù)合技術(shù)以及其他技術(shù)。
我們平時常用的ICQ、QQ、MSN等通訊軟件均可以在線傳輸,但是來源不可靠的傳輸內(nèi)容應(yīng)該拒絕接收;即使可靠,接收后也要經(jīng)過殺毒軟件的掃描方能運行,因為現(xiàn)在在程序中很容易植入木馬或病毒。此外,我們聊天的時候,也會受到別人攻擊,為了安全起見,就可以安裝QQ的專用防火墻。
5.結(jié)語
計算機網(wǎng)絡(luò)安全是一個綜合、交叉的學(xué)科領(lǐng)域,它涉及到了物理、數(shù)學(xué)、計算機技術(shù)等多種學(xué)科的知識和最新研究成果,今后還需在安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控等幾個方面繼續(xù)開展多種的研究并出成果,為我國的信息與網(wǎng)絡(luò)安全奠定堅實的基礎(chǔ)?!科]
【參考文獻】
[1]李文英.計算機網(wǎng)絡(luò)安全技術(shù)及其防護研究[J].科技廣場,2010(09).
【關(guān)鍵詞】云計算;云安全;網(wǎng)絡(luò)安全
2006年,谷歌提出“云計算”(Cloud Computing)的概念,它讓用戶使用計算資源變得非常便利。打個比方,就好比每個用戶自己從采購發(fā)電機自己發(fā)電、供電轉(zhuǎn)向了電廠,用戶按需付費的模式。云計算意味著計算能力也可作為一種商品進行流通,像水電一樣,取用方便,費用低廉。
按照云計算提供的服務(wù)層次來區(qū)分,一般可分為IaaS、PaaS、SaaS三種模式,筆者在此大膽的預(yù)測,隨著人工智能的發(fā)展,人工智能和云計算在不遠的未來會不會結(jié)合起來,產(chǎn)生新的模式RaaS(需求即服務(wù),Requirement as a Service)。當(dāng)然,這里不做過多的討論。
我們在享受云計算帶來便利的同時,也不能忽視由云計算帶來的安全挑戰(zhàn)。我們來看一下云計算帶來了哪些改變,這些改變又出現(xiàn)了哪些安全挑戰(zhàn)及如何去解決這些挑戰(zhàn)。
1 操作系統(tǒng)獨立控制硬件資源的模式被顛覆
在傳統(tǒng)的計算架構(gòu)中,每臺物理計算機上只能同時運行一個操作系統(tǒng)。無論這個操作系統(tǒng)是Windows還是Linux或者Unix,計算機的所有硬件資源如CPU、I/O、存儲、網(wǎng)絡(luò)等統(tǒng)一由這個操作系統(tǒng)調(diào)度分配,不存在多個操作系統(tǒng)爭搶同一臺計算機的硬件資源。但是,在云計算模式下,它提供底層支持的虛擬化技術(shù)改變了這一切。這種技術(shù)使得同一臺物理計算機上運行了多個虛擬操作系統(tǒng),這些虛擬操作系統(tǒng)共享了同一臺物理計算機的CPU、I/O、存儲、網(wǎng)絡(luò)等資源。這些虛擬操作系統(tǒng)不再直接調(diào)用底層物理計算資源,操作系統(tǒng)和物理計算機之間多了一層中間層,即虛擬化系統(tǒng)的核心HyperVisor層,HyperVisor層實現(xiàn)了對物理計算機的硬件資源的調(diào)度、分配。
實際上,HyperVisor層從某些方面來看就是個中間件系統(tǒng)。不過我們常說的中間件協(xié)調(diào)的是底層軟件資源,如數(shù)據(jù)庫資源等,提供上層應(yīng)用系統(tǒng)統(tǒng)一調(diào)用的接口。而HyperVisor協(xié)調(diào)的是底層硬件資源,提供給操作系統(tǒng)統(tǒng)一調(diào)用的接口。
分析到這里,問題就來了,我們知道在編寫應(yīng)用軟件的時候,如果需要用到某種中間件軟件,我們需要遵循它的標(biāo)準(zhǔn)來編碼并編譯。那么,我們在HyperVisor上運行的操作系統(tǒng)及應(yīng)用軟件本質(zhì)上是否也應(yīng)該如此去做?實際上,目前的做法是,虛擬化的廠商做了這種適應(yīng),他們推出的虛擬化底層軟件適應(yīng)了常見的一些操作系統(tǒng)軟件。這樣,在這些虛擬操作系統(tǒng)上運行的應(yīng)用軟件基本不會受到虛擬化架構(gòu)改變帶來的影響。但是,對于安全軟件,事情就沒有這么簡單了。因為安全軟件(尤其是防病毒軟件)的權(quán)限非常高,在某些方面基本和操作系統(tǒng)一致的。就是說,在這些虛擬操作系統(tǒng)上運行的安全軟件在某種程度上可以直接請求I/O、存儲、網(wǎng)絡(luò)等資源。顯而易見,安全軟件挑戰(zhàn)了HyperVisor這個“硬件中間件”的權(quán)威,它的存在足以引發(fā)虛擬化架構(gòu)最常見的一個問題――“I/O資源沖突”。
我們可以做一個實驗,在一臺物理計算機上虛擬出10~15個操作系統(tǒng),在這些虛擬操作系統(tǒng)上安裝防病毒軟件,在某個時刻同時執(zhí)行防病毒軟件的“本地掃描”功能。我們可以看到,整個虛擬化系統(tǒng)的性能變得非常慢,甚至接近停滯。這個現(xiàn)象我們通常稱之為“防病毒風(fēng)暴”。
為了解決這個問題,目前有兩種做法,一種是繞開這個問題。簡單的說,就是在防病毒軟件內(nèi)部強制設(shè)定,不能同時掃描、不能同時更新等。但這個做法除了可能帶來的安全隱患外(如多個虛擬操作系統(tǒng)同時中病毒時無法應(yīng)對),更大的問題是帶來了管理的難題,如安裝、管理、策略跟隨虛擬機漂移、引擎更新等。另外一種就是重新設(shè)計一種防病毒軟件,在軟件設(shè)計之初就遵循HyperVisor這一“硬件中間件”的標(biāo)準(zhǔn),防病毒軟件只需要安裝一套在HyperVisor上,不需要在每臺虛擬操作系統(tǒng)上都安裝,從根本上解決這一問題,也完全解決了上述的管理難題。
2 安全邊界的改變
我們在討論網(wǎng)絡(luò)安全的時候,有一個必然的命題--安全邊界,安全邊界是我們設(shè)計及實施網(wǎng)絡(luò)安全的很重要的一個因素。在傳統(tǒng)的網(wǎng)絡(luò)體系架構(gòu)中,安全邊界非常清晰,我們只需要根據(jù)應(yīng)用防護等級、使用者權(quán)限等級等策略來設(shè)計我們的網(wǎng)絡(luò)安全。但云計算及虛擬化改變了這一切。在虛擬化的體系中,我們常常談到的是“主機虛擬化”、“存儲虛擬化”、“網(wǎng)絡(luò)虛擬化”。我們來看看主機虛擬化改變了什么,前文我們提到HyperVisor,實際上,有了HyperVisor,在同一臺物理計算機上虛擬出來的多臺虛擬機之間的互相通信是完全被封裝在HyperVisor層中的,也就是說,我們在傳統(tǒng)的網(wǎng)絡(luò)邊界部署的防火墻、IDS/IPS、審計設(shè)備等等完全成了擺設(shè)!虛擬化技術(shù)新生成了一層虛擬交換層,我們的傳統(tǒng)安全軟件或設(shè)備對發(fā)生在這個虛擬交換層的事情無能為力。
談到網(wǎng)絡(luò)安全,幾乎所有接觸過網(wǎng)絡(luò)安全的人都知道一個非常有名的原理――木桶原理,決定這個網(wǎng)絡(luò)的安全級別的是組成這個網(wǎng)絡(luò)的最不安全的一個單元。在傳統(tǒng)物理機時代,通過安全域的劃分,通過一些隔離手段,我們可以把我們的網(wǎng)絡(luò)看成一個個“小木桶”,一個網(wǎng)元的安全問題可能影響的是它所在的一個“小木桶”。云計算及虛擬化的時代,我們的網(wǎng)絡(luò)已經(jīng)融合成了一個“大木桶”(虛擬化的標(biāo)準(zhǔn)化、資源池化、資源融合),任何一個網(wǎng)元的安全問題可能影響的就是整個“大木桶”。
要解決這些問題,我們需要具備對虛擬化HyperVisor的虛擬交換層做安全管理的能力,即我們的防火墻、IDS/IPS、審計系統(tǒng)等要具備管理這個虛擬交換層的能力。只有將防火墻、IDS/IPS、審計系統(tǒng)等部署于HyperVisor,我們才能真正管理這個安全邊界,才能像管理傳統(tǒng)網(wǎng)絡(luò)一樣具備將網(wǎng)絡(luò)劃分成一個個安全級別、防護級別等不同的“小木桶”,才能從網(wǎng)絡(luò)安全層面真正管理好虛擬化及云計算系統(tǒng)的所有網(wǎng)元。
3 網(wǎng)絡(luò)安全可視化的挑戰(zhàn)
我們討論網(wǎng)絡(luò)安全,網(wǎng)絡(luò)安全的“可視性”是必不可少的話題。就像我們的“平安城市”建設(shè)第一步是部署攝像頭一樣,網(wǎng)絡(luò)安全的基本要求也是“可視性”。
APT(高級持續(xù)性威脅)是目前最新的攻擊方式,APT具備幾個主要特征,如攻擊代碼新穎(用傳統(tǒng)的防病毒軟件、IPS等無法識別)、攻擊一般由潛入目標(biāo)內(nèi)部網(wǎng)絡(luò)開始(如郵件夾帶第一段代碼潛入用戶網(wǎng)絡(luò)以繞過用戶的防火墻、IPS等,區(qū)別于以往的破解邊界防護來攻擊)、攻擊行為潛伏性極強等。前文我們提到云計算及虛擬化帶來了新的邊界,其實,云計算的發(fā)展還模糊了邊界,云計算使得使用者可以分布于任何地方。這種改變也增加了APT攻擊潛入網(wǎng)絡(luò)的入口。
APT攻擊作為一種威脅性極強的安全威脅,國家從戰(zhàn)略高度已經(jīng)重視并研究這一議題。2013年國家發(fā)改委的一份文件中明確提出了防范APT攻擊的要求,并明確提示防范APT攻擊需要用到虛擬沙盒系統(tǒng)。
關(guān)鍵詞:信息安全;研究現(xiàn)狀;發(fā)展趨勢
中圖分類號:TP319 文獻標(biāo)識碼:A 文章編號:1009-3044(2012)31-7456-03
21世紀(jì)是信息高速發(fā)達的時代,人們的日常生活離不開信息的傳遞,如:電話、手機、網(wǎng)絡(luò)、電子郵件等已經(jīng)成為人們生活的重要組成部分。隨之而來的信息安全問題也逐步暴露出來,引起了人們的廣泛關(guān)注。信息安全是以信息論、計算機科學(xué)和密碼學(xué)等相關(guān)學(xué)科為基礎(chǔ),通過采用計算機系統(tǒng)或者通信網(wǎng)絡(luò)等技術(shù)保護信息,使信息能夠安全保密真實完整的進行傳遞。其中安全性是指信息在傳遞過程中不能被截獲或者外泄,真實性是通過核對信息的來源來保證信息安全,完整性則是保證信息在傳遞的過程中不會被更改或破壞,保密性是指信息即使是被截獲也難以得到確切的內(nèi)容。目前我國信息安全已經(jīng)成為了研究的熱點,其核心為密碼技術(shù)。
1 我國信息安全的現(xiàn)狀
目前信息安全問題是全世界需要共同面對的問題,特別是在我國,機構(gòu)復(fù)雜龐大的各類政府機構(gòu)、企事業(yè)單位構(gòu)建的信息系統(tǒng)普遍存在著信息量大,系統(tǒng)類目繁多,用戶的計算機使用能力千差萬別等問題。在信息安全防護方面,普通用戶僅使用殺毒軟件和防護墻,計算機的信息安全意識十分薄弱。2008年,普華永道公布的度全球信息安全調(diào)查報告中指出,中國內(nèi)地企業(yè)的信息安全防護和管理比較落后,特別是在信息安全與隱私保護等方面遠遠落后于印度。同時金山公司出臺的中國互聯(lián)網(wǎng)安全報告顯示,金山毒霸在2008年截獲的新增病毒或木馬已達13899717個,較2007年相比增長了48倍。病毒和木馬的瘋狂增長已經(jīng)成為不可不面對的信息安全問題。因此,國家高技術(shù)研究發(fā)展計劃(863計劃)已經(jīng)將信息安全列為信息領(lǐng)域的重要內(nèi)容,同時信息安全已經(jīng)成為“十五”國家科技攻關(guān)計劃七項任務(wù)中重要的發(fā)展方向。此外,針對目前存在的網(wǎng)絡(luò)黑客等犯罪行為,刑法中增加了針對此類問題處罰的相關(guān)條款。社會需求的日益增長,使信息安全發(fā)展為一項世界性的新興產(chǎn)業(yè),目前關(guān)于全球信息安全產(chǎn)品和服務(wù)的產(chǎn)值約為232億美元,其中美國最多,其次為歐盟。而此方面我國的信息產(chǎn)業(yè)特別是信息安全的相關(guān)產(chǎn)業(yè)信息十分落后,大量的問題急需解決。
社會經(jīng)濟的快速發(fā)展,各種信息安全問題的出現(xiàn),要求提高我國政府的宏觀管理能力。特別隨著信息安全新興產(chǎn)業(yè)化的不斷推進,以及我國對世界信息安全事務(wù)的認(rèn)同和參與、對信息安全的法律意識的增強、法治建設(shè)環(huán)境的日益完善,政府在信息安全管理上的發(fā)展速度也不斷加快。目前我國的信息安全主要存在以下問題:
1)信息產(chǎn)業(yè)化程度較低,信息技術(shù)對外依賴度高,自主創(chuàng)新能力差。在我國,信息技術(shù)特別是有關(guān)信息安全方面的技術(shù)和產(chǎn)品,基本來源于國外,如構(gòu)建信息網(wǎng)絡(luò)需要的網(wǎng)管設(shè)備和軟件。缺少資金的核心技術(shù)直接導(dǎo)致了我國的網(wǎng)絡(luò)信息安全較差,十分容易受到攻擊,或者信息被截獲和破壞。據(jù)調(diào)查,目前我國的網(wǎng)絡(luò)在信息傳遞中主要存在被竊聽、干擾、監(jiān)視和破壞等各種信息安全威脅,目前我國網(wǎng)絡(luò)安全呈現(xiàn)出較為脆弱的狀態(tài)。
2)信息技術(shù)和產(chǎn)品對外依賴度高是我國網(wǎng)絡(luò)安全問題突出的主要原因。此外,對引進的各類設(shè)備和軟件沒有進行必要的技術(shù)改造和完善的管理也是造成信息安全的重要原因。在我國,計算機水平普遍較低,人們對計算機信息防護的意識十分薄弱,許多政府部門和企事業(yè)單位直接引進國外的設(shè)備和軟件,缺少對這些軟件和設(shè)備進行必要的改造和檢測,造成入侵其網(wǎng)絡(luò)信息系統(tǒng),截獲和破壞其信息,造成部門信息的泄露。
3)一方面,在我國普遍缺乏對網(wǎng)絡(luò)信息安全保護的意識,另一方面,技術(shù)條件的落后造成我國網(wǎng)絡(luò)信息安全的防護能力普遍偏弱。我國目前信息化建設(shè)的速度十分驚人,機會每個單位都有自己的網(wǎng)絡(luò)信息網(wǎng)站,尤其是“政府上網(wǎng)工程”的全面推動,目前各級政府均有了自己的門戶網(wǎng)站,然而許多信息網(wǎng)站缺少防火墻設(shè)備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設(shè)備,信息安全隱患十分明顯。有研究表明,中國已經(jīng)成為網(wǎng)絡(luò)黑客攻擊最嚴(yán)重的受害國之一。
此外,發(fā)達國家在像我國輸出信息安全技術(shù)的時候進行了保留也是造成我國信息安全技術(shù)不完善的重要原因。
2 信息安全發(fā)展趨勢
2.1信息安全技術(shù)的發(fā)展趨勢
總體上講由于信息安全技術(shù)是以計算機技術(shù)為職稱,因此我國的信息安全技術(shù)的主要呈現(xiàn)出可信化、網(wǎng)絡(luò)化、標(biāo)準(zhǔn)化和集成化四個趨勢。
可信化:近年來,傳統(tǒng)的信息安全理念也難以應(yīng)對嚴(yán)峻的計算機安全問題。因此,信息安全會擯棄傳統(tǒng)的計算機安全理念,以發(fā)展可信計算理念的信息安全為主要突破點,即將安全芯片裝入硬件平臺上,將原來的計算機變?yōu)椤翱尚拧钡挠嬎闫脚_。有關(guān)可信計算機理念的信息安全已開始展開探索,但是仍有許多問題有待進一步研究,如基于TCP的訪問控制、基于TCP的安全操作系統(tǒng)、基于TCP的安全中間件、基于TCP的安全應(yīng)用等。
網(wǎng)絡(luò)化:目前信息安全中存在的問題如網(wǎng)絡(luò)病毒、木馬等都是有網(wǎng)絡(luò)化帶來的,網(wǎng)絡(luò)的普及為人們帶來便捷的信息傳遞的同時,也帶來了一系列安全問題。因此網(wǎng)絡(luò)信息安全的核心技術(shù)的研究和探索也是由網(wǎng)絡(luò)應(yīng)用、普及而引起的變革。因此網(wǎng)絡(luò)是推動信息安全技術(shù)改革和創(chuàng)新的緣由,是引發(fā)新技術(shù)出現(xiàn)和倡導(dǎo)新應(yīng)用領(lǐng)域的原因,未來網(wǎng)絡(luò)化特別是網(wǎng)絡(luò)安全管理和安全監(jiān)測將是信息安全技術(shù)發(fā)展的重要趨勢。此外,網(wǎng)絡(luò)可生存性,網(wǎng)絡(luò)信任也需要重點研究和探討。
標(biāo)準(zhǔn)化:各行各業(yè)都有自己的標(biāo)準(zhǔn),目前信息安全各方面的標(biāo)準(zhǔn)的研究和制定在我國已經(jīng)引起了足夠的重視,特別是目前信息安全技術(shù)的專利標(biāo)準(zhǔn)化已逐步被人們接受。我國要想發(fā)展自己的信息安全技術(shù),并在全球范圍內(nèi)應(yīng)用,必須要高度重視信息安全的的標(biāo)準(zhǔn)化工作,特別是信息安全標(biāo)準(zhǔn)的的進一步細化研究以及相關(guān)政策的出臺應(yīng)引起政府和學(xué)術(shù)界的高度重視。如基于加密算法、簽名算法等的密碼算法類標(biāo)準(zhǔn)、安全認(rèn)證與授權(quán)類標(biāo)準(zhǔn)(PKI、PMI、生物認(rèn)證)、安全評估類標(biāo)準(zhǔn)(安全評估準(zhǔn)則、方法、規(guī)范)、系統(tǒng)與網(wǎng)絡(luò)類安全標(biāo)準(zhǔn)(安全體系結(jié)構(gòu)、安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全路由器、可信計算平臺)、安全管理類標(biāo)準(zhǔn)(防信息泄漏、質(zhì)量保證、機房設(shè)計)等。
集成化:目前有關(guān)信息安全的技術(shù)和產(chǎn)品十分多,多為單一功能,這種信息安全產(chǎn)品的推廣和應(yīng)用較難。因此如何將過去多個單一功能的技術(shù)與產(chǎn)品,融合為一個具有多功能的信息安全技術(shù)和產(chǎn)品成為未來發(fā)展的趨勢。此外也可以開發(fā)多個功能相結(jié)合的集成化產(chǎn)品,不在開發(fā)單一功能的產(chǎn)品。此外,信息安全產(chǎn)品的技術(shù)方面將向硬件化和芯片化的方面發(fā)展,高安全度和高速率的硬件和安全芯片也是未來信息安全技術(shù)發(fā)展的重要趨勢。
2.2信息安全其他的發(fā)展趨勢
信息交換和傳遞中的“安全”僅僅為相對安全,但“不安全”則是絕對的。特別是計算機技術(shù)的日新月異,使信息安全標(biāo)準(zhǔn)不段的發(fā)生變化,信息安全不斷呈現(xiàn)新的問題。因此信息安全的主要特征是“發(fā)展”和“變化”,針對信息安全的主要特征信息安全將呈現(xiàn)以下發(fā)展趨勢:
1) 信息安全重要性會越來越引起人們的關(guān)注,信息安全是一個綜合的系統(tǒng)工程,構(gòu)建安全的信息系統(tǒng)的是體現(xiàn)一個國家的綜合國力的重要指標(biāo)之一。信息安全的構(gòu)建必須基于一個強大自主研發(fā)的技術(shù)支持,如(密碼學(xué)、芯片技術(shù)、硬盤技術(shù)等),同時配備高效的管理模式,才能形成安全可靠的信息安全系統(tǒng)。以為有效地防護國家信息安全、社會經(jīng)濟的發(fā)展提供保障。
2) 信息安全概念在不斷擴展,信息安全的概念主要包括信息的保密性、完整性、可行性和可控性等。信息高度發(fā)達的社會,信息安全問題的多樣性是信息安全方法不斷更新的主要原因,是信息安全概念需要不斷深化的主要原因,因此信息安全概念的基礎(chǔ)理論和應(yīng)用技術(shù)也需要不斷的改進。
3) 信息安全是一個復(fù)雜的巨大系統(tǒng),信息安全問題的出現(xiàn)是現(xiàn)代信息系統(tǒng)的高速發(fā)展帶來的負面效應(yīng),信息安全解決的方法離不了新技術(shù)的支持,新的技術(shù),新的方法不斷的代替舊的方法信息安全技術(shù)。特別是防火墻技術(shù),病毒與反病毒技術(shù)等。
3 信息安全保護策略
3.1改進網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全技術(shù)的改進是實施信息安全防護的主要渠道。密碼設(shè)置是保證網(wǎng)絡(luò)安全的重要手段,用戶可以通過設(shè)置密碼和管理密碼保護自己的信息安全,一般來講,密碼設(shè)置時盡量不要用自己的生日和名字等容易被猜出來的作為密碼,設(shè)置一般要求6位數(shù)字以上,最好是中英文字母、數(shù)字還有其他符號等多種組合方式進行設(shè)置。密碼的管理也同樣重要,泄露密碼是導(dǎo)致網(wǎng)絡(luò)系統(tǒng)被入侵的主要原因。因此在改進網(wǎng)絡(luò)安全技術(shù)的同時還需要加強人們的安全保護意思,特別在計算機中插入U盤和移動硬盤時要進行病毒掃描,設(shè)置的各類密碼要定期更換,不能隨意在網(wǎng)上下載不明文件等。此外在網(wǎng)絡(luò)安全技術(shù)中必須加入對網(wǎng)絡(luò)端口和節(jié)點信息流量的實時監(jiān)控,定期實現(xiàn)網(wǎng)絡(luò)安全檢查和查殺病毒,即使的對相關(guān)重要數(shù)據(jù)進行備份,可見建立一套安全的網(wǎng)絡(luò)防護措施是防止信息外泄的重要手段。
3.2關(guān)鍵技術(shù)的創(chuàng)新和研發(fā)
網(wǎng)絡(luò)安全構(gòu)建關(guān)鍵技術(shù)的對外依賴度高是我國信息安全系統(tǒng)構(gòu)建的重要缺陷。特別是操作系統(tǒng)、關(guān)鍵芯片和硬盤等技術(shù)的滯后,是信息安全設(shè)備和軟件依賴進口的主要原因。要想突破這一瓶頸,我國必須成立屬于自己的信息安全關(guān)鍵技術(shù)創(chuàng)新和研發(fā)團隊,建立良好的政策,培養(yǎng)有潛力的研發(fā)人員,盡可能多的設(shè)計和開發(fā)屬于我國自己的知識產(chǎn)權(quán)的硬、軟件。以近幾年來,我國信息安全中有突出成果的是國家密碼主管部門批準(zhǔn)建設(shè)的數(shù)字證書認(rèn)證系統(tǒng),此外,“雙證書”與“雙中心”的技術(shù)廣泛應(yīng)用于我國電子商務(wù)中,加上具有我國特色的管理體制,為我國信息安全系統(tǒng)的構(gòu)建提供了基礎(chǔ)和條件。
4 結(jié)束語
社會經(jīng)濟的快速發(fā)展,各種信息安全問題的出現(xiàn),要求提高我國政府的宏觀管理能力。特別隨著信息安全新興產(chǎn)業(yè)化的不斷推進,以及我國對世界信息安全事務(wù)的認(rèn)同和參與、對信息安全的法律意識的增強、法治建設(shè)環(huán)境的日益完善,政府在信息安全管理上的發(fā)展速度也不斷加快。我國目前存在的信息產(chǎn)業(yè)化程度較低,信息技術(shù)對外依賴度高,自主創(chuàng)新能力差,對引進的各類設(shè)備和軟件沒有進行必要的技術(shù)改造和完善的管理等問題使中國已經(jīng)成為網(wǎng)絡(luò)黑客攻擊最嚴(yán)重的受害國之一。而通過改進網(wǎng)絡(luò)安全技術(shù)、完善信息系統(tǒng)建設(shè)、關(guān)鍵技術(shù)的創(chuàng)新和研發(fā)等一系列措施和策略對加強我國信息安全系統(tǒng)的構(gòu)建具有重要的意義。
參考文獻:
[1] 張謙,沙紅,劉冰,等.國外教育信息化的新特點與新舉措[J].外國中小學(xué)教育,1999(5).
[2] 闕喜戎,孫銳,龔向陽,等.信息安全原理及應(yīng)用[M].北京:清華大學(xué)出版社,2003.
伴隨著通訊技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展,互聯(lián)網(wǎng)金融對于金融市場發(fā)展的營銷已經(jīng)越來越明顯。互聯(lián)網(wǎng)金融這種輕形式、碎片化的理性屬性與傳統(tǒng)的金融機構(gòu)相比更加容易受到中小微企業(yè)的歡迎。當(dāng)前互聯(lián)網(wǎng)與金融的組合模式是由傳統(tǒng)金融機構(gòu)與非金融結(jié)構(gòu)結(jié)合而成的。傳統(tǒng)金融機構(gòu)主要包括開展傳統(tǒng)金融業(yè)務(wù)的互聯(lián)網(wǎng)與電商化軟件等;非金融機構(gòu)模式主要就是利用互聯(lián)網(wǎng)技術(shù)來進行金融服務(wù)的企業(yè),例如P2P網(wǎng)絡(luò)借貸、眾籌模式的互聯(lián)網(wǎng)投資平臺等等。
二、互聯(lián)網(wǎng)金融模式
(一)支付方式
在互聯(lián)網(wǎng)金融模式下支付方式的主要特征成為了移動支付。在擁有移動通信設(shè)備的基礎(chǔ)上利用無線通信技術(shù)來進行支付功能。第三方支付是非金融機構(gòu)作為收款、付款主體支付和收取的中介平臺,其能夠提供網(wǎng)絡(luò)支付、銀行卡收單、預(yù)付卡等多種支付形式。根據(jù)支付方式的發(fā)展路徑與用戶累計來看,當(dāng)前市場上最為普及的第三方支付企業(yè)運營模式可以分為獨立第三方支付以及擔(dān)保功能第三方支付。獨立第三方支付即為給用戶提供支付產(chǎn)品以及支付體系,包括快錢、拉卡拉等。提供擔(dān)保的第三方支付即為自有B2C,C2C電商網(wǎng)站提供的支付模式,包括支付寶、財付通、易付寶等等。
(二)投融資方式
P2P網(wǎng)貸,通過網(wǎng)絡(luò)平臺來進行借貸雙方的選擇,借貸人群能夠通過網(wǎng)站平臺來尋找有借貸能力,并且愿意在滿足一定條件的基礎(chǔ)上借貸的人群。在傳統(tǒng)的P2P借貸模式中網(wǎng)貸平臺僅僅是作為借貸雙方提供信息交流與溝通,完成信息價值認(rèn)定以及推動其他交易完成的介質(zhì),不會實際參與到借貸的利益分配中。借貸雙方是直接產(chǎn)生債務(wù)與債權(quán)關(guān)系,網(wǎng)貸平臺依靠借貸雙方的收費用來作為營運收入。P2P網(wǎng)貸的借貸期較短,金額不大,執(zhí)行操作起來方便快捷,能夠有效改善借貸市場上信息部隊稱的情況。眾籌,即為大眾籌資,采用預(yù)購以及團購的形式來向廣大網(wǎng)友募集資金。通過互聯(lián)網(wǎng)的傳統(tǒng)特性,讓創(chuàng)業(yè)企業(yè)、個人面對公眾展示創(chuàng)新與眾籌項目,獲得廣大群眾的支持與資金援助。
(三)信息處理
大數(shù)據(jù)金融是對大量非結(jié)構(gòu)化的數(shù)據(jù)進行處理的過程,深度挖掘客戶的綜合信息提供給互聯(lián)網(wǎng)金融機構(gòu),掌握客戶的消費習(xí)慣、預(yù)測客戶的消費行為,讓金融機構(gòu)與服務(wù)平臺能夠在風(fēng)險控制與市場營銷方面有規(guī)律可循。
(四)金融渠道
互聯(lián)網(wǎng)金融門戶主要是指通過互聯(lián)網(wǎng)來開展金融產(chǎn)業(yè)的銷售,并且為金融產(chǎn)品提供第三方服務(wù)的平臺。其核心即為通過搜索比價的模式,將金融產(chǎn)品排列開來讓用戶根據(jù)需求來對比挑選合適的金融產(chǎn)品。
三、互聯(lián)網(wǎng)金融發(fā)展策略
(一)優(yōu)化服務(wù)流程
互聯(lián)網(wǎng)金融的快速發(fā)展依靠的是開放式的金融平臺、交互式的營銷手段以及扁平化的管理模式。與傳統(tǒng)金融行業(yè)相比互聯(lián)網(wǎng)金融行業(yè)的優(yōu)勢就是在于以人為本。提升線上客戶體驗,讓客戶能夠利用互聯(lián)網(wǎng)進行存、貸、賺、理一體化,滿足用戶需求,給用戶提供更加人性化更加全面的服務(wù);始終圍繞以客戶利益為中心的經(jīng)營理念,讓客戶體會到真正的實惠,自然就會增強使用體驗感。
(二)參與電商平臺
傳統(tǒng)金融機構(gòu)可以參與電商平臺的發(fā)展,自建電子商務(wù)平臺,實施行業(yè)垂直的電商戰(zhàn)略,將提供的產(chǎn)品直接擺放至網(wǎng)絡(luò)上進行銷售。不論是交易軟件、投資產(chǎn)品、理財咨詢等都能夠以互聯(lián)網(wǎng)為平臺進行銷售。
(三)加強網(wǎng)絡(luò)安全建設(shè)
互聯(lián)網(wǎng)金融網(wǎng)絡(luò)安全的建設(shè)主要依靠計算機互聯(lián)網(wǎng)技術(shù)的創(chuàng)新與發(fā)展。金融機構(gòu)在信息安全領(lǐng)域要不斷的加大安全技術(shù)投入,將互聯(lián)網(wǎng)作為媒介,集中高技術(shù)、高水平的力量開展研發(fā)與創(chuàng)新。政府相關(guān)金融監(jiān)管部門也要及時開展打擊互聯(lián)網(wǎng)金融犯罪行為,強化互聯(lián)網(wǎng)安全建設(shè)。對于公眾來說要掌握關(guān)于網(wǎng)絡(luò)安全的嘗試,以分別網(wǎng)絡(luò)詐騙等行為,進一步提升網(wǎng)絡(luò)安全。
(四)強化專業(yè)人才培養(yǎng)
在互聯(lián)網(wǎng)金融的發(fā)展過程中人才的培養(yǎng)問題是十分基礎(chǔ)的關(guān)鍵性問題。如果離開了人才的支持互聯(lián)網(wǎng)金融將陷入發(fā)展的兩難境地。在強化專業(yè)人才培養(yǎng)方面首先要要給予足夠的資金支持,在給予有限的待遇的過程中配上一定程度的社會保障支持,相關(guān)企業(yè)可以采用補貼的措施。
四、結(jié)束語
關(guān)鍵詞:物聯(lián)網(wǎng);安全架構(gòu);信息安全;防護技術(shù)
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:2095-1302(2016)04-00-03
0 引 言
如果說計算機技術(shù)的出現(xiàn)和發(fā)展實現(xiàn)了人類與計算機的直接對話,同時互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用滿足了人與人之間的交流欲望,那么物聯(lián)網(wǎng)技術(shù)的誕生和發(fā)展就在某種程度上完成了人類與物體交流、物體互相交流的場景需求。物聯(lián)網(wǎng)普遍被人接受的概念由國際電信聯(lián)盟(International Telecommunication Union)提出,無處不在的物聯(lián)網(wǎng)通信時代已經(jīng)到來,通過生活中熟悉的用品嵌入各種信息收發(fā)裝置,人們將感受與傳統(tǒng)通信交流方式不一樣的交流渠道。簡而言之,物聯(lián)網(wǎng)就是物體與物體相互連接的互聯(lián)網(wǎng),它以互聯(lián)網(wǎng)為根基并與傳感網(wǎng)、移動通信等網(wǎng)絡(luò)進行有機融合,并加以拓展與深化。物聯(lián)網(wǎng)具備以下三個特點:
(1)具有感知全面性,即通過感知技術(shù)脫離時空限制來獲取目標(biāo)信息;
(2)具有傳輸準(zhǔn)確性,融合互聯(lián)網(wǎng)與電信網(wǎng)絡(luò)的優(yōu)點,將感知信息精確發(fā)送給目標(biāo),滿足實時性要求,同時物體本身還要具備數(shù)據(jù)接收和解釋執(zhí)行的能力;
(3)智能化應(yīng)用,隨著大數(shù)據(jù)時代的到來,利用先進的智能計算技術(shù)對搜集到的大量數(shù)據(jù)信息進行妥善分析與處理,實現(xiàn)對目標(biāo)物體的控制。
物聯(lián)網(wǎng)與互聯(lián)網(wǎng)的差異主要體現(xiàn)在對網(wǎng)絡(luò)各種特性要求上的差別,由于自身特性,物聯(lián)網(wǎng)在即時通信、可靠性、資源準(zhǔn)確性等方面需求更大。物聯(lián)網(wǎng)的安全構(gòu)建在互聯(lián)網(wǎng)的安全上,需要在制定物聯(lián)網(wǎng)安全策略時將互聯(lián)網(wǎng)安全作為基礎(chǔ),還應(yīng)充分考慮物聯(lián)網(wǎng)安全技術(shù)的機密性、完整性和可用性等特點。在物聯(lián)網(wǎng)飛速發(fā)展的今天,構(gòu)建物聯(lián)網(wǎng)安全體系結(jié)構(gòu)的需求更加明顯,以上這些問題都為物聯(lián)網(wǎng)安全問題研究提供了理論依據(jù)。
1 物聯(lián)網(wǎng)安全理論基礎(chǔ)
1.1 物聯(lián)網(wǎng)的安全需求與特征
當(dāng)今物聯(lián)網(wǎng)安全機制缺乏的重要原因就在于感知層的節(jié)點受到能力、能量限制,自我保護能力較差,并且物聯(lián)網(wǎng)的標(biāo)準(zhǔn)化工作尚未完成,以致其工作過程中的信息傳輸協(xié)議等也未能統(tǒng)一標(biāo)準(zhǔn)。攻擊節(jié)點身份、對數(shù)據(jù)的完整性和一致性的有意破壞、惡意手動攻擊等都對物聯(lián)網(wǎng)感知工作的安全造成威脅。目前的通信網(wǎng)絡(luò)是人類個體作為終端進行設(shè)計的,數(shù)量遠不及物聯(lián)網(wǎng)中的感知節(jié)點,通信網(wǎng)絡(luò)自身承載能力的局限性在某種程度上也增加了通信的安全風(fēng)險。大量的終端節(jié)點接入會造成網(wǎng)絡(luò)資源搶占,從而給拒絕服務(wù)攻擊提供了條件,對密鑰需求量的增加也會造成傳輸資源的不必要消耗。在目前的網(wǎng)絡(luò)中,通過較為復(fù)雜的算法對數(shù)據(jù)進行加密以保護數(shù)據(jù)的機密性和完整性,而在物聯(lián)網(wǎng)通信環(huán)境中,大部分場景中單個設(shè)備的數(shù)據(jù)發(fā)送量相對較小,使用復(fù)雜的算法保護會帶來不必要的延時。
1.2 物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)
物聯(lián)網(wǎng)的融合性在我們制定安全策略時是尤為值得思考的一個問題,它集幾種網(wǎng)絡(luò)的通信特點于一身,同時也把各網(wǎng)絡(luò)的安全問題融合起來。而且在對傳統(tǒng)通信網(wǎng)絡(luò)的安全性研究工作發(fā)展了一段時間的情況下,資源有限、技術(shù)不成熟等因素導(dǎo)致了物聯(lián)網(wǎng)感知網(wǎng)絡(luò)的學(xué)習(xí)建設(shè)工作更加困難。物聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)如圖1所示。
總而言之,應(yīng)用物聯(lián)網(wǎng)安全技術(shù)時,必須全方面考慮安全需求,部署系統(tǒng)的安全保護措施,從而能夠應(yīng)對安全威脅,防止安全短板,進行全方位的安全防護。
1.3 基于物聯(lián)網(wǎng)三層結(jié)構(gòu)的安全體系結(jié)構(gòu)
物聯(lián)網(wǎng)是一種應(yīng)用感知技術(shù),基于現(xiàn)有通信技術(shù)實現(xiàn)了應(yīng)用多樣化的網(wǎng)絡(luò)。我們可以基于現(xiàn)有各種成熟的網(wǎng)絡(luò)技術(shù)的有機融合與銜接,實現(xiàn)物聯(lián)網(wǎng)的融合形成,實現(xiàn)物體與物體、人和物體相互的認(rèn)識與感受,真正體現(xiàn)物物相連的智能化。目前公認(rèn)的物聯(lián)網(wǎng)三層結(jié)構(gòu)如圖2所示。
1.3.1 物聯(lián)網(wǎng)的感知層安全
物聯(lián)網(wǎng)區(qū)別于互聯(lián)網(wǎng)的主要因素是感知層的存在,它處于底層,直接面向現(xiàn)實環(huán)境,基數(shù)大,功能各異,滲透進我們?nèi)粘I畹母鱾€方面,所以其安全問題尤為重要。該層涉及條碼識別技術(shù)、無線射頻識別(RFID)技術(shù)、衛(wèi)星定位技術(shù)、圖像識別技術(shù)等,主要負責(zé)感知目標(biāo)、收集目標(biāo)信息,包括條碼(一、二維)和閱讀器、傳感器、RFID電子標(biāo)簽和讀寫器、傳感器網(wǎng)關(guān)等設(shè)備。相對于互聯(lián)網(wǎng)而言,物聯(lián)網(wǎng)感知層安全是新事物,是物聯(lián)網(wǎng)安全的重點,需要重點關(guān)注。
感知層安全問題有以下特征:
(1)一些有效、成功的安全策略和算法不能直接應(yīng)用于感知層,這是由于其自身的資源局限性造成的;
(2)感知節(jié)點數(shù)量大,不可能做到人工監(jiān)管,其工作區(qū)域的無監(jiān)督性在一定程度上增加了安全風(fēng)險;
(3)采用的低速低消耗通信技術(shù)在制定安全策略和算法選擇時要考慮時空復(fù)雜度以降低通信資源的消耗;
(4)物聯(lián)網(wǎng)應(yīng)用場合的差異性導(dǎo)致了需要的技術(shù)策略也不盡相同。
這里以RFID技術(shù)為例,由于RFID應(yīng)用的廣泛性,在RFID技術(shù)的應(yīng)用過程中,其安全問題越來越成為一個社會熱點。隨著技術(shù)的發(fā)展,目前乃至將來,RFID標(biāo)簽將存儲越來越多的信息,承擔(dān)越來越多的使命,其安全事故的危害也會越來越大,而不再是無足輕重。RFID系統(tǒng)中電子標(biāo)簽固有的資源局限性、能量有限性和對讀寫操作的速度和性能上的要求,都增加了在RFID系統(tǒng)中實現(xiàn)安全的難度,同時還需要我們對算法復(fù)雜度、認(rèn)證流程和密鑰管理方面的問題加以考慮。與常規(guī)的信息系統(tǒng)相同,攻擊RFID系統(tǒng)的手段與網(wǎng)絡(luò)攻擊手段相似,一般包括被動、主動、物理、內(nèi)部人員和軟/硬件配裝等?,F(xiàn)在提出的RFID安全技術(shù)研究成果主要包括訪問控制、身份認(rèn)證和數(shù)據(jù)加密,其中身份認(rèn)證和數(shù)據(jù)加密有可能被組合運用,但其需要一定的密碼學(xué)算法配合。
1.3.2 物聯(lián)網(wǎng)的網(wǎng)絡(luò)層安全
物聯(lián)網(wǎng)利用網(wǎng)絡(luò)層提供的現(xiàn)有通信技術(shù),能夠把目標(biāo)信息快速、準(zhǔn)確地進行傳遞。它雖然主要以發(fā)展成熟的移動通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)構(gòu)建,但其廣度與深度都進行了很大程度的擴展和超越。網(wǎng)絡(luò)規(guī)模和數(shù)據(jù)的膨脹,將給網(wǎng)絡(luò)安全帶來新的挑戰(zhàn)與研究方向,同時網(wǎng)絡(luò)也將面對新的安全需求。物聯(lián)網(wǎng)是為融合生活中隨處可見的網(wǎng)絡(luò)技術(shù)而建立的,伴隨互聯(lián)網(wǎng)和移動網(wǎng)絡(luò)技術(shù)的成熟與高速發(fā)展,未來物聯(lián)網(wǎng)的信息傳遞將主要依靠這兩種網(wǎng)絡(luò)承載。在網(wǎng)絡(luò)應(yīng)用環(huán)境日益復(fù)雜的背景環(huán)境下,各種網(wǎng)絡(luò)實體的可信度、通信鏈路的安全、安全業(yè)務(wù)的不可否認(rèn)性和網(wǎng)絡(luò)安全體系的可擴展性將成為物聯(lián)網(wǎng)網(wǎng)絡(luò)安全的主要研究內(nèi)容。目前國內(nèi)物聯(lián)網(wǎng)處于應(yīng)用初級階段,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)尚未出臺,網(wǎng)絡(luò)體系結(jié)構(gòu)尚未成型,但網(wǎng)絡(luò)融合的趨勢是毋庸置疑的。
相對于傳統(tǒng)單一的TCP/IP網(wǎng)絡(luò)技術(shù)而言,所有的網(wǎng)絡(luò)監(jiān)控措施、防御技術(shù)不僅面臨結(jié)構(gòu)更復(fù)雜的網(wǎng)絡(luò)數(shù)據(jù),同時又有更高的實時性要求,在網(wǎng)絡(luò)通信、網(wǎng)絡(luò)融合、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)和其他相關(guān)學(xué)科領(lǐng)域都將是一個新的課題、新的挑戰(zhàn)。物聯(lián)網(wǎng)面對的不僅僅是移動通信與互聯(lián)網(wǎng)技術(shù)所帶來的傳統(tǒng)網(wǎng)絡(luò)安全問題,還由于缺少人對物聯(lián)網(wǎng)大量自動設(shè)備的有效監(jiān)控,并且其終端數(shù)量龐大,設(shè)備種類和應(yīng)用場景復(fù)雜等,這些因素都給物聯(lián)網(wǎng)安全問題帶來了不少挑戰(zhàn)。物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全體系和技術(shù)博大精深,設(shè)計涉及網(wǎng)絡(luò)安全接入、安全防護、嵌入式終端防護、自動控制等多種技術(shù)體系。物聯(lián)網(wǎng)面臨著網(wǎng)絡(luò)可管、可控及服務(wù)質(zhì)量等一系列問題,且有過之而無不及,同時還有許多與傳統(tǒng)安全問題不同的特殊點需要深入研究,而這些問題正是由于系統(tǒng)由許多機器組成、設(shè)備缺乏管理員的正確看管,設(shè)備集群化等特點造成的。
1.3.3 物聯(lián)網(wǎng)的應(yīng)用層安全
物聯(lián)網(wǎng)應(yīng)用層主要面向物聯(lián)網(wǎng)系統(tǒng)的具體業(yè)務(wù),其安全問題直接面向物聯(lián)網(wǎng)用戶群體,包括中間件層和應(yīng)用服務(wù)層安全問題。此外,物聯(lián)網(wǎng)應(yīng)用層的信息安全還涉及知識產(chǎn)權(quán)保護、計算機取證等其他技術(shù)需求和相關(guān)的信息安全技術(shù)。
中間件層主要完成對海量數(shù)據(jù)和信息的收集、分析整合、存儲分享、智能處理和管理等功能。智能是該層的主要特征,智能通過自動處理技術(shù)實現(xiàn),主要在于該技術(shù)的快速準(zhǔn)確性,而非自動處理技術(shù)可能達不到預(yù)期效果。
該層的安全問題含蓋以下幾種:
(1)惡意攻擊者使用智能處理期間的漏洞躲避身份驗證;
(2)非法的人為干預(yù)(內(nèi)部攻擊);
(3)災(zāi)難的控制與恢復(fù)等。這種安全需求可概括為:需要完善的密鑰管理機制,數(shù)據(jù)機密性和完整性的可靠保證,高智能處理手段,具有入侵檢測、病毒檢測能力,嚴(yán)格的訪問控制與認(rèn)證機制,惡意指令分析與預(yù)防機制等。
應(yīng)用服務(wù)層由于物聯(lián)網(wǎng)的廣泛應(yīng)用具有多樣復(fù)雜性,導(dǎo)致它的許多安全性難點并不能使用其它層的安全協(xié)議予以解決,可認(rèn)為它們屬于應(yīng)用層的獨有安全問題,需要深入研究。主要涉及不同訪問權(quán)限訪問數(shù)據(jù)庫時的內(nèi)容篩選決策,用戶隱私信息保護及正確認(rèn)證,信息泄漏追蹤,剩余信息保護,電子產(chǎn)品和軟件的知識產(chǎn)權(quán)保護等方面。
2 物聯(lián)網(wǎng)安全技術(shù)的未來發(fā)展趨勢
目前來看,物聯(lián)網(wǎng)安全技術(shù)還處于起步階段,人們只是直觀地覺得物聯(lián)網(wǎng)安全十分重要,但并不能清楚其規(guī)劃與發(fā)展路線。安全技術(shù)的跨學(xué)科研究進展、安全技術(shù)的智能化發(fā)展及安全技術(shù)的融合化發(fā)展等新興安全技術(shù)思路將在物聯(lián)網(wǎng)安全領(lǐng)域發(fā)展和應(yīng)用中發(fā)揮出一定的作用。目前,由于能夠滿足物聯(lián)網(wǎng)安全新挑戰(zhàn)及體現(xiàn)物聯(lián)網(wǎng)安全特點的安全技術(shù)還不成熟,因而物聯(lián)網(wǎng)安全技術(shù)還將經(jīng)過一段時間的發(fā)展才能完備,并在發(fā)展過程中呈現(xiàn)跨學(xué)科研究、智能化發(fā)展、融合化發(fā)展、擁有廣闊應(yīng)用前景等趨勢。
未來的物聯(lián)網(wǎng)發(fā)展和應(yīng)用取決于眾多關(guān)鍵技術(shù)的研究與進展,其中物聯(lián)網(wǎng)信息安全保護技術(shù)的不斷成熟及各種信息安全應(yīng)用解決方案的不斷完善是關(guān)鍵因素。安全問題若不能引起足夠重視與持續(xù)關(guān)注,物聯(lián)網(wǎng)的應(yīng)用將受到重大阻力,必將承擔(dān)巨大的風(fēng)險。由于物聯(lián)網(wǎng)是運行在互聯(lián)網(wǎng)之上的,它以互聯(lián)網(wǎng)為根基極大的豐富深化了人與物、人與人相互交流的方式和手段,它是互聯(lián)網(wǎng)功能的擴展,因此物聯(lián)網(wǎng)將面臨更加復(fù)雜的信息安全局面。倘若未來日常生活與物聯(lián)網(wǎng)聯(lián)系密切,那么物聯(lián)網(wǎng)安全將對國家信息安全戰(zhàn)略產(chǎn)生深遠影響。
3 結(jié) 語
物聯(lián)網(wǎng)概念的提出與發(fā)展,將在更深入、更多樣化的層面影響到信息網(wǎng)絡(luò)環(huán)境,面對非傳統(tǒng)安全日益常態(tài)化的情況,我們應(yīng)該認(rèn)真思考信息安全本質(zhì)到底發(fā)生了哪些變化,呈現(xiàn)出什么樣的特點,力求在信息安全知識論和方法論領(lǐng)域進行總結(jié)和突破。
參考文獻
[1]吳成東.物聯(lián)網(wǎng)技術(shù)與應(yīng)用[M].北京:科學(xué)出版社,2012.
【 關(guān)鍵詞 】 變形病毒;蠕蟲;解密器;變形機;動態(tài)虛擬機
Computer Deformation Virus Development Analysis and Resolution Strategy
Lai Rui-lin
(Guangdong University of Finacce GuangdongGuangzhou 510521)
【 Abstract 】 Polymorphic Virus plays an important role in computing virus history. Form 1990s by now, polymorphic virus passes by the following stages: single encrypted virus, encrypted virus with variable keys, polymorphic virus, full metamorphic virus and networking metamorphic virus. Following by polymorphic virus, some key technologic is developing rapidly such as decryption, networking, mathematic algorithm etc. So the developing polymorphic virus brings more and more big trouble and challenge to the anti-virus skills. In the paper, a trouble shooting strategic of the latest worm polymorphic virus will be analyzed.
【 Keywords 】 polymorphic virus;worm;decrypted engine; metamorphic engine;virtual machine
0 引言
進入21世紀(jì)計算機網(wǎng)絡(luò)時代以來,曾經(jīng)肆掠一時的變形病毒遇到合適的滋生環(huán)境,又開始迅速蔓延和更新?lián)Q代,目前就出現(xiàn)了很多網(wǎng)絡(luò)病毒與變形病毒的結(jié)合體,如蠕蟲的變形。文章除了帶大家進入變形病毒的原理和發(fā)展史,更剖析了現(xiàn)今的網(wǎng)絡(luò)變形病毒,以及它們的對付策略。
1 計算機病毒的分類
1.1 蠕蟲病毒
蠕蟲(Worm)是通過分布式網(wǎng)絡(luò)來擴散傳播自身的復(fù)制,破壞網(wǎng)絡(luò)中的計算機或造成網(wǎng)絡(luò)擁塞的病毒。
“蠕蟲”由兩部分組成:一個主程序和一個拷貝。主程序網(wǎng)絡(luò)中的某臺機器上執(zhí)行,獲得與當(dāng)前網(wǎng)絡(luò)的信息和軟件缺陷,從而嘗試主動攻擊受害計算機。它首先入侵到計算機的某個或者某幾個的寄存器中,使得這些目標(biāo)寄存器的內(nèi)存溢出,已達到在受害計算機中運行非法的程序代碼的目的。
1.2 變形病毒
1.2.1 單變形病毒
單變形病毒也叫加密病毒的變種,是對病毒解密器進一步進行保護,它的目的在于把作為主要特征的解密器隱藏起來,讓反病毒軟件無從下手。但是這類病毒的不足之處在于,它只能生成有限種的解密器變形,而且只是通過某種加密算法進行保護。
1.2.2 準(zhǔn)變形病毒
準(zhǔn)變形病毒,最顯著的特點是加密技術(shù)。變形機開始采用隨機解密算法(RDA,Random Decryption Algorithm)。
但是正是這種隨機算法給本來艱難的反病毒技術(shù)帶來了轉(zhuǎn)機,對于利用了此種算法的程序或者進程都認(rèn)為它們是可疑代碼,因為這種算法在正常的程序中使用率不高。
1.2.3 全變形病毒
全變形病毒可以描敘為“變形機能夠?qū)Σ《倔w進行變形的病毒”。剛才分析的無論加密病毒,單變形病毒,還是準(zhǔn)變形病毒,都有一個共同的特點,就是病毒體程序都是靜態(tài)的。這些變形技術(shù)實際上就是單純地依靠加密手段對病毒體進行保護,也就是說無論密鑰如何變化,對于靜態(tài)的病毒體,只要破譯了解密器,解密后得到的原始病毒體代碼就被打回成本來面目。
1.2.4 變形的蠕蟲病毒
目前網(wǎng)絡(luò)上的一種變種蠕蟲,也就是上述介紹的蠕蟲和變形病毒的結(jié)合體。當(dāng)蠕蟲的攻擊程序段被變化成無窮個完全不同的普通程序,或是錯誤信息或是亂碼,這些公認(rèn)的防網(wǎng)絡(luò)蠕蟲軟件就無從檢測到它的真身。當(dāng)加密后的蠕蟲注入到受害計算機的寄存器時,蠕蟲邊解密邊執(zhí)行,直到寄存器內(nèi)存溢出,運行非法的程序段,蠕蟲的一個拷貝成功入駐到受害計算機為止。所以變形蠕蟲實際上只是對攻擊程序體和入駐程序體的變形。
值得注意的是,當(dāng)下也出現(xiàn)了某種變形蠕蟲它可以隨機改變注入的寄存器,使得本機安全軟件無法跟蹤到這些經(jīng)過變形的寄存器,更何談對其進行攔截。
2 變形病毒的對付策略
在反病毒技術(shù)的眾多應(yīng)用中,目前最先進的當(dāng)數(shù)動態(tài)啟發(fā)式技術(shù),是屬于主動防御的一種。啟發(fā)式指“自我發(fā)現(xiàn)能力”或“運用某種方式或方法去判斷事物的知識和技能”,通過一個虛擬的安全環(huán)境(動態(tài)虛擬機)中前攝性的執(zhí)行代碼來判斷其是否有惡意行為。
動態(tài)啟發(fā)就是通過查毒軟件內(nèi)置的虛擬機,并且新加入解密引擎和掃描引擎,給病毒一個仿真運行環(huán)境,這樣誘使病毒在虛擬環(huán)境的模擬緩沖區(qū)中運行。即使病毒變形了寄存器,病毒的活動范圍仍然局限在可控制的模擬緩沖區(qū)里面。在整個虛擬運行過程中,如果檢測到可疑的動作,則判定為危險程序并果斷進行攔截。
這種啟發(fā)式虛擬解密的關(guān)鍵的問題就是速度問題。例如如果要花費幾個小時去模擬病毒的解密和入駐的話,那么這種方法就是失敗的。
3 結(jié)束語
變形病毒目前已經(jīng)成為計算機安全和網(wǎng)絡(luò)安全的最大隱患之一,它的可怕之處是除了它存在無窮不可預(yù)測的變種外,還配合了最新的網(wǎng)絡(luò)技術(shù)。因此,研究變形病毒的發(fā)展、分析其對付策略是十分必要的,本文的目的正在于此。
參考文獻
[1] 劉濤,張連霞.怎樣判斷計算機病毒.內(nèi)蒙古氣象,2001(1):43-44.
[2] 肖英,鄒福泰.計算機病毒及其發(fā)展趨勢. 2011,6.
[3] Lyman J.In search of the world’s costliest computer virus[J]. Factor Network, 2002(2):78-81.
[4] 張瑜,李濤,吳麗華等. 計算機病毒演化模型及分析. 2009.5.
[5] 姚渝春,李杰,王成紅. 網(wǎng)絡(luò)型病毒與計算機網(wǎng)絡(luò)安全. 2003.9.
[6] 劉俊,金聰,鄧清華.無標(biāo)度網(wǎng)絡(luò)環(huán)境下E-mail病毒的傳播模型. 計算機工程,2009,35(21):131-133.