Internet安全(精选十篇)
Internet安全 篇1
1、Internet出口安全面临的挑战
1.种类繁多的应用层威胁
Internet出口面临众多的应用层威胁, 主要包括以下几类。
·蠕虫病毒。蠕虫是一种通过网络传播的恶性病毒, 蠕虫传播造成的流量会导致Internet出口拥塞, 甚至导致整个网络瘫痪、失控。
·DDoS攻击。DDoS (Distributed Denial of Service, 分布式拒绝服务) 攻击指借助于客户/服务器技术, 将多个计算机联合起来作为攻击平台, 对一个或者多个目标发动DoS攻击, 从而成倍地提高拒绝服务攻击的威力, 直接威胁Internet的可用性。
·黑客扫描和渗透。Internet中的恶意入侵者可能出于政治、商业或其他目的对企业网络发起恶意扫描和渗透式入侵, 通过渗透或绕过防火墙, 进入企业网络, 获取、篡改甚至破坏敏感的数据。
1.2 出口防火墙NAT性能瓶颈
Internet出口设备要支持NAT (地址转换) 是已经形成共识的。一方面, 园区网使用私有地址, 访问Internet需要进行NAT;另一方面, 即使园区网络通过电信或者网通的线路访问外部资源, 仍然需要进行NAT (地址转换) , 因为电信所分配的地址更有限。NAT等于给出口设备增加了一项很重要的任务, 其也成为了上网速度慢的一个重要原因。究其根本, 设备的NAT转发性能是一个很大的原因。
1.3 Internet出口带宽使用失控
现在的网络应用越来越丰富, 在线视频、BT、电驴等P2P下载软件的应用会轻易的占据大量的企业网络带宽, 使正常的业务得不到及时的响应;一些新的病毒以IM、P2P软件为传播途径, 对企业网络的安全带来严重威胁。
1.4 Internet多出口链路负载均衡问题
许多企业都意识到单条Internet出口链路所存在的风险:链路一旦中断, 将导致内部员工无法访问Internet、分支机构VPN中断、网站邮箱均无法对外服务等问题。因此许多企业会部署多条运营商链路来避免单出口的不可靠。但多出口同时存在缺少链路拥塞保护机制、无法根据链路带宽按比例分流、入链路无法对流量均衡、出链路策略引流不灵活、带宽利用率低等问题。
1.5 Internet多出口网管复杂
Internet出口一般部署多重安全设备 (这些设备很可能来自不同厂商) , 安全设备有各自管理软件, 很难实现安全设备统一管理。另外, 目前的很多Internet出口路由器、交换机等网络设备和安全设备各有一套管理软件, 无法实现网络、安全设备统一管理, 给网络管理带来诸多不便。
2、Internet出口安全解决方案
根据以上Internet出口安全需求分析, 需要在Internet出口部署防火墙、IPS、LB、ACG等安全设备, 以实现对Internet出口的立体防护, 并实现对Internet出口流量的智能控管。
2.1 Internet出口的立体防护
防火墙主要工作在网络层以下, 可以解决Internet出口的访问控制问题;IPS属应用层设备, 可以进行深度检测, 可以有效防御Internet网络上大量肆虐的具备渗透防火墙能力的木马、病毒。通过防火墙与IPS的组合, 在保证性能的前提下, 可实现对Internet出口网络2-7层的立体防护, 有效抵御各种安全威胁。
为了避免防火墙成为Internet出口的性能瓶颈, 要求部署在Internet出口的防火墙具备高性能NAT能力;IPS设备需具备防病毒功能, 能够在进行应用层防御的同时有效防御Internet上肆虐的各种病毒。
2.2 Internet出口的智能选路
在Internet出口部署负载均衡设备可以解决出口链路的多方面问题。
·智能选路:负载均衡设备对Internet出方向的每一个数据流的目的IP进行探测, 选出最优链路进行分发。
·解决来回路径不一致问题:在多ISP出口的应用场景中, 用户对Internet提供公众服务 (如WEB、邮件系统) 中, 由于出口路由器一般配置静态策略居多, 容易出现用户请求报文与服务器响应报文来回路径不一致的情况。
·防链路拥塞功能:在Internet出口多ISP链路情况下, 要防止链路出现流量过载。负载均衡设备可以提供防链路拥塞功能来避免流量过载情况, 负载均衡设备针对每条链路设置流量阈值, 一般阈值略低于链路物理带宽值, 当该链路的实际流量达到阈值后, 后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上。
2.3 Internet出口的流量控制
通过部署流量控制设备可以有效解决Internet出口带宽滥用问题:
·应用流量分析:实时分析Internet出口各种网络应用, 实现流量可视化
·应用流量识别:分析、识别Internet出口的各种应用
·应用流量控制:将Internet出口应用有序化、合理的使用
·特征库升级:解决Internet出口各种新应用层出不穷的问题
2.4 Internet出口安全的统一管理
·网管软件需要对部署在Internet出口的防火墙、IPS、ACG、路由器、交换机等各类IT资源的安全信息进行集中收集和管理;
·网管软件需要通过的信息统计分析和过滤, 将Internet出口中的安全事件进行关联分析并告警;
·用户可在网管软件上定制丰富的事件报表和审计报告, 实现Internet出口网络安全可视化。
根据以上需求分析, 在Internet出口部署防火墙、IPS、ACG、LB及网管系统, 能够保证Internet出口网速正常, 有效防御各种攻击, 控制网络资源滥用, 提高出口链路的利用率, 保证Internet出口网络的安全稳定运行。
3、结束语
Internet安全 篇2
网络与信息安全概论 丁力
FTP的安全问题
摘要
文件传输协议(File Transfer Protocol,FTP)是一个被广泛应用的协议,它使得
我们能够在网络上方便地传输文件。早期FTP并没有涉及安全问题,随着互连网
应用的快速增长,人们对安全的要求也不断提高。本文在介绍了FTP协议的基本
特征后,从两个方面探讨了FTP安全问题的解决方案:协议在安全功能方面扩
展;协议自身的安全问题以及用户如何防范之。
1. 简介
1.1 FTP的一些特性
早期对FTP的定义指出,FTP是一个ARPA计算机网络上主机间文件传输的用户级协
议。其主要功能是方便主机间的文件传输,并且允许在其他主机上进行方便的存
储和文件处理。[BA72]而现在FTP的应用范围则是Inte.net。
根据FTP STD 9定义,FTP的目标包括:[PR85]
1) 促进文件(程序或数据)的共享
2) 支持间接或隐式地使用远程计算机
3) 帮助用户避开主机上不同的
4) 可靠并有效地传输数据
关于FTP的一些其他性质包括:FTP可以被用户在终端使用,但通常是给程序使用
的。FTP中主要采用了传输控制协议(Transmission Control Protocol,TCP)[PJ81],
和Telnet 协议[PJ83]。
1.2 重要历史事件[PR85]
1971年,第一个FTP的RFC(RFC 114)由A.K. Bhushan在1971年提出,同时由MIT与
Harvard实验实现。
1972年,RFC 172 提供了主机间文件传输的一个用户级协议。
1973年2月,在长期讨论(RFC 265,RFC 294,RFC 354,RFC 385,RFC 430)
后,出现了一个官方文档RFC 454。
1973年8月,出现了一个修订后的新官方文档 RFC 542。确立了FTP的功能、目标
和基本模型。当时数据传输协议采用NCP。
1980年,由于底层协议从NCP改变为TCP,RFC 765 定义了采用TCP的FTP。
1985年,一个作用持续至今的官方文档RFC 959(STD 9)出台。
1.3 FTP模型[PR85]
就模型而言,从1973年以来并没有什么变化。下图是FTP使用模型:
-------------
|/---------|
|| User || --------
||Interface|---| User |
|----^----/| --------
---------- | | |
|/------| FTP Commands |/----V----|
||Server|----------------| User ||
|| PI || FTP Replies || PI ||
|--^---/| |----^----/|
| | | | | |
-------- |/--V---| Data |/----V----| --------
| File |---|Server|----------------| User |---| File |
|System| || DTP || Connection || DTP || |System|
-------- |------/| |---------/| --------
---------- -------------
Server-FTP USER-FTP
注: 1. data connection 可以双向使用(双工)
2. data connection 不需要一直存在.
图一 FTP使用模型
术语
User PI(user-protocol interpreter): 用户协议解释器
Server PI(Server-protocol interpreter): 服务协议解释器
control connection:控制连接
Data connection:数据连接
FTP Commands:FTP命令,
描述Data connection的参数,文件操作类型
FTP Replies:FTP命令
在图一描述的模型中,User PI创建control connection。control connection
遵从Telnet协议。在用户初始化阶段,标准FTP命令被User PI生成并通过
control connection 传到服务器处理。Server PI将相应的标准FTP应答通过
control connection回传给User PI。数据传输由Data connection完成。
User DTP 在特定端口监听,由Server DTP 用指定参数初始化连接。
另一种情形是用户希望在两台非本地的主机上传递文件。用户与两个服务器建立
control connection,安排两个服务器间的文件传输。下图描述了这样的模型。
Control ------------ Control
---------->| User-FTP |<-----------
| | User-PI | |
| | “C” | |
V ------------ V
-------------- --------------
| Server-FTP | Data Connection | Server-FTP |
| “A” |----------------------| “B” |
-------------- Port (A) Port (B) --------------
图二 服务器间交互娘
Internet安全 篇3
关键词:嵌入式Internet?摇网络安全 加密算法 嵌入式
Internet已经遍布全球,它成为人们获得各类信息、相互交流的重要渠道,将嵌入式系统和Internet相结合,使嵌入式设备接入Internet是当今嵌入式系统发展的一个重要趋势。嵌入式Internet解决了设备接入Internet的问题,从而可以在智能交通、信息家电、工业控制、POS终端、环境检测等广泛领域提供广阔的应用。
嵌入式Internet解决了终端设备的网络化问题,然而Internet提供的开放性的网络环境并不保障接入系统的安全性。如果嵌入式Internet不能很好的解决安全问题,各类嵌入式设备都不应该轻易接入Internet,否则将成为信息安全的一个重大漏洞,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景。
嵌入式系统(Embedded System)是指以应用为中心,以计算机技术为基础,软件硬件可裁减、适应,是对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。嵌入式系统的基础是以应用为中心的芯片设计和面向应用的软件产品开发。简单地说,嵌入式系统集系统的应用软件与硬件于一体,类似于PC中BIOS的工作方式,具有软件代码小、高度自动化、响应速度快等特点,特别适合于要求实时和多任务的体系汇。
嵌入式Internet通常可以理解为嵌入式网络技术,是指把TCP/IP协议作为一种嵌入式应用,从而实现接入Internet的功能。也可以简单理解为是一种采用嵌入式模块而非PC系统直接接入Internet的技术。
利用该技术可将Internet从PC机延伸到8位、16位、32位单片机,并实现基于Internet的远程数据采集、远程控制、自动报警、上传/下载数据文件、自动发送E-mail等功能,大大扩展Internet的应用范围。嵌入式Internet技术的目标是将小型简单的、低成本的嵌入式系统连接到Internet,充分利用网络资源,实现更广泛的信息共享和更多类型的信息服务。例如它可以为终端设备产品提高竞争力创造条件、为工业控制领域设备的发展提供动力、为信息家电和智能家居提供了技术保证、为信息家电和智能家居提供了技术保证。
然而Internet提供的开放性的网络环境并不保障嵌入式系统接入的安全性,不难想象,如果接入网络的工业设备被恶意攻击者控制,将会带来什么样的后果和麻烦。如果嵌入式Internet不能很好地解决安全问题,工业设备或信息家电都不应该贸然接入Internet。可以这样说,嵌入式Internet的安全问题直接关系到嵌入式Internet的发展及其应用前景。因此,我们在开发和使用嵌入式Internet系统的同时,必须把嵌入式Internet通信的安全问题放到重要的地位考虑。
嵌入式Internet所面临的网络安全威胁与普通计算机系统的TCP/IP协议所面临的安全问题有很多共同点,主要有以下几种:
1.数据窃听(Packet Sniffer):TCP/IP协议数据流采用明文传输,因此数据信息很容易被窃听、篡改和伪造。特别是在使用含有用户账号、口令的数据包进行通信时,使用Sniffer,Snoop或网络分析仪等可以对以上信息进行截取,达到攻击的目的。
2.源地址欺骗(Source address spoofing0 :TCP/IP协议使用IP地址作为网络节点的唯一标识,但是节点的IP地址又不是固定不变的,因此攻击者可以直接修改该节点的IP地址,冒充某个可信任节点进行攻击。
3.源路由选择欺骗(Source Routing spoofir:):TCP/IP协议中,数据包为了测试的目的设置了一个选项一IPSR,该选项可以直接指明到达节点的路由,攻击者可以利用这个选项进行欺骗,进行非法连接。攻击者通过冒充某个可信任节点的IP地址,构造一个通往某个服务器的直接路径和返回路径,利用可信任用户作为通往服务器的路由中的最后一站,就可以向服务器发送请求,对其进行攻击。在TCP/IP协议的两个传输层协议TCP和UDP中,由于UDP是面向非连接的,因而没有初始化的连接建立过程,所以UDP更容易被欺骗。
4.鉴别攻击(Authentication Attacks):TCPI/IP协议只能以IP地址进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登陆用户的身份的真实性和有效性。目前主要依靠服务器软件平台提供的用户控制机制,比如用户名、口令等。虽然口令是以密文存放在服务器上,但是由于口令是静态的、明文传输的,所以无法抵御重传、窃听。而且在很多系统中常常将加密后的口令文件存放在一个普通用户就可以读到的文件里,攻击者也可以运行准备好的口令破译程序来破译口令,对系统进行攻击。
以上是主要针对TCP/IP的攻击手段,其他的攻击方式还有很多,此处不再详细叙述。从以上列举的各种各样的安全威胁看来,如果没有解决嵌入式Internet的安全问题,就把设备接入Internet,很可能带来巨大的损失。解决这些来自网络的安全威胁就必须在嵌入式Internet的技术开发中采取有效的安全措施,例如在PC通信中经常采用的数据加密、数据完整性认证、身份认证等。通过对嵌入式Internet安全的特点的分析,为了保证嵌入式设备安全地接入Internet,我认为一个有效的嵌入式Internet安全通信协议必须提供以下安全服务:
1.数据保密性:对数据提供保护使之不暴露或者被非授权地泄露,根据系统情况实现连接保密性、无连接保密性、选择字段保密性和业务流保密性。
2.数据完整性:用来保护数据在存储和传输中的完整性,根据系统情况实现带恢复的连接完整性、不带恢复的连接完整性、选择字段的连接完整性、无连接完整性以及选择字段无连接完整性。
3.认证服务:实现对访问用户的身份或访问地址合法性的认证。
4.访问控制服务:通过对合法用户的授权,实现控制访问者对不同资源的操作能力。
5.抗抵赖服务:通过提供数据来源的证据或数据已到达的证据来实现。
为了实现上述的安全服务需求,可以采用的安全机制为:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、业务流填充机制、路由控制机制和公证机制。根据嵌入式Internet系统的安全特点,我认为安全协议的制订可以从三个方面来考虑:
(一)实现安全机制的网络层次
TCP/IP参考模型(TCP/IP Reference Model)协议是一个四层网络协议系统:上述的各种安全机制并不都是可以应用在任意一层,因此针对嵌入式Internet的安全服务也可以参考四层协议系统进行规划,即应该在合适的层次来实现。
(二)基于密码学理论的安全机制
基于密码学理论,嵌入式Inernet技术可以使用以下几种算法实现数据保密性和完整性服务:
1.使用对称密钥体制或非对称密钥体制,实现数据保密性服务。其中包括连接保密性、无连接保密性、选择字段保密性、通信业务流保密性;
2.使用单向散列函数等方法实现数据完整性服务。形式可以是无连接完整性、可恢复的连接完整性、不可恢复的连接完整性或选择字段的连接完整性。
在嵌入式Internet中,可以通过合适的选用以上的密码协议和算法,实现预期的安全服务要求。
(三)基于嵌入式数据库的安全机制
基于嵌入式数据库的理论,嵌入式Internet设备可以通过以下方法实现认证、访问控制和抗抵赖服务。
1.采用建立用户信息表的方法实现认证服务。
2.使用访问控制信息库,通过对用户的授权管理来实现对嵌入式系统中资源的访问控制服务。
3.通过建立用户访问日志记录,记录用户对系统的操作,实现用户访问的抗抵赖服务。
参考文献:
1.Szymanski.J.W.Embedded Internet technology in process control devices,Factory Communication Systems,2000.Proceedings. 2000 IEEE International Workshop on,6-8 Sept. 2000,Pages:301~308.
2.张千里,陈光英.网络安全新技术.人民邮电出版社,2003,(1).
3.William R.Cheswick,Firewalls and Internet Security,Mcgraw-Hill戴宇坤译.防火墙与因特网安全.机械工业出版社,2000,(4).
4.魏忠,蔡勇,雷红卫.嵌入式开发详解.电子工业出版社,2003,(1).
5.W.Richard Stevens,TCP/IP Illustracted Volume 1:The Protocols, AddisonWesley/Pearson,范建华,等译.TCP/IP详解卷一,机械工业出版社,2000,(4).
6.王勇.嵌入式Internet的技术实现及其安全问题的研究.浙江大学博士论文,2002.
7.李文印,周斌周,国宇,刘宇.Internet在嵌入式系统中的实现技术.电子与信息学报,2003,(25)(增刊).
8.李善平,刘文峰,王焕龙,等.Linux与嵌入式系统.清华大学出版社,2003,(1).
浅议Internet安全策略 篇4
一、计算机网络存在的安全隐患分析
近些年来伴随着Internet的飞速发展,计算机网络的信息安全问题越来越严重。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。
(一)恶意攻击
它是一种人为的、蓄意的破坏行为,是计算机网络所面临的最大威胁之一。对计算机网络造成极大的危害,并导致一些机密数据的泄漏,从而造成不可弥补的损失。因此,必须采取一些必要的防范措施。
(二)软件漏洞和后门
软件漏洞分为两种:一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其它技术原因而留下的漏洞。因为这些漏洞的存在从而给网路带来了一定的安全隐患。
(三)计算机病毒
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展升级。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常生活,给计算机网络的发展也带来了负面的影响。然而,计算机病毒技术也曾应用在了军事方面,在海湾战争、科索沃战争中,双方都曾利用计算机病毒向敌方发起进攻,以达到破坏对方的计算机武器控制系统和整个军事网络,病毒的应用作为高科技武器的一个应用,达到了一定的目的。最后,随着计算机网络的不断普及,防范计算机病毒将越来越受到世界各国的高度重视。
二、计算机网络的安全策略分析
计算机网络安全主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点首先是划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前,广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。
2.数据加密与用户授权访问控制技术。
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
3.电子邮件安全
邮件安全隐患分析软件隐患完美无缺的软件目前还没有,任何软件都存在缺陷,只是这种缺陷的危害程度大小不一样,提供邮件服务的邮件服务器以及接收邮件的客户端软件都存在或多或少的缺陷。邮件软件自身存在缺陷到目前为止,市面上提供的邮件服务器软件、邮件客户端以及服务器都存在过安全漏洞。QQ邮箱读取其他用户邮件漏洞、Elm泄露任意邮件漏洞、口令保护被绕过漏洞、OutlookExpress标识不安全漏洞、Foxmail口令绕过漏洞等等。入侵者在控制存在这些漏洞的计算机后,可以轻易获取E-mail地址以及相对应的用户名与密码,如果存在Email通讯录,还可以获取与其联系的其他人的Email地址信息等。还有一些邮件客户端漏洞,入侵者可以通过构造特殊格式邮件,在邮件中植入木马程序,只要没有打补丁,用户一打开邮件,就会执行木马程序,安全风险极高。
4.安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育,提高工作人员的责任心,并加强业务技术培训,提高操作技能,重视网络系统的安全管理,防止人为事故的发生。在我国,网络研究起步较晚,网络安全技术还有待提高和发展。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
摘要:当今一个以网络为核心的信息时代。Internet的飞速发展给人类社会的科学与技术带来了推动与进步, 同时也产生了网络的信息与安全的问题。而计算机网络安全的含义会随着用户的变化而发生了变异, 对网络安全的认识和要求也就不同。
关键词:安全管理,Internet,共享,拒绝服务
参考文献
[1]严明.多媒体技术应用基础.华中科技大学出版社, 2004.
[2]朱理森, 张守连.计算机网络应用技术.专利文献出版社, 2001.
Internet安全 篇5
Microsoft Internet Explorer 6.0
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 描述:
Microsoft Internet Explorer是一款流行的WEB浏览器,
Microsoft Internet Explorer帮助控件存在问题,远程攻击者可以利用这个漏洞绕过本地安全域限制,
利用MSIE帮助控件,建立恶意页面,诱使用户访问,可以导致绕过本地安全域检查,以高权限执行任意脚本内容。
<*来源:Paul (paul@greyhats.cjb.net)
链接:marc.theaimsgroup.com/?l=bugtraq&m=110356607505041&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Paul (paul@greyhats.cjb.net)提供了如下测试代码:
建议:
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
Internet安全 篇6
Yang was born in 1973 in northeast Chinas Jilin Province. He founded Erma in 2006. Between 2008 and 2013, one arm of Erma made more than 530,000 yuan ($85,000) by posting false information and deleting posts critical of their clients. Another made 220,000 yuan ($36,500) between May 2012 and 2013 by deleting negative information concerning others. Many of Ermas fakeries have caused uproar and discord on the Web.
Neither Yang nor Lu will appeal their verdicts. Yang said in court he hopes everyone can learn a lesson from his crimes.
Legal Reform Unfolding
Caixin Century Weekly November 3
The decision adopted at the Fourth Plenary Session of the 18th Communist Party of China Central Committee in October makes clear the goal of promoting the rule of law in China. It pledges to improve Chinas legal system, enhance the enforcement of the Constitution, promote administration by law and ensure judicial justice. It also underlines the importance of strengthening peoples awareness of the rule of law and promoting the building of a society ruled by law.
The decision points out some of the problems that hinder the countrys efforts to advance its rule of law. For example, some laws and regulations have failed to reflect the peoples will; therefore, it is hard to apply them to real life situations. Implementation and enforcement of the law are currently weak and some illegal behaviors have not yet received due punishment. Some government officialsawareness of the rule of law is inadequate and they have even used their power to suppress the law. All these problems have posed obstacles to the realization of a country ruled by law. They must be cleared before the rule of law is fully realized in China.
With the blueprint for the rule of law having now been drawn up, the government needs to expend tremendous effort in order to turn this blueprint into a reality.
Transformation of Chinas Air Force
China Newsweek November 10
This year marks the 65th anniversary of the establishment of the Peoples Liberation Army Air Force (PLAAF). When the PLAAF was founded on November 11, 1949, its top priority was to help the army in cross-sea battles. At that time, the PLAAF was an offensive force, as exemplified by its equipment which mostly comprised attack aircraft, such as bombers and fighters.
After the merging of the PLAAF with the Air Defense Force in 1957, the aerial branch of Chinas armed forces was gradually developed into a defensive force. This characteristic was evident both in its combat theory and weaponry.
The defense strategy exerted considerable influence on the development of the PLAAF. On the one hand, its defensive competence was continually strengthened, while on the other, its offensive ability was gradually weakened. While the air forces of Western powers were making remarkable progress during the 1980s and 1990s, the PLAAF lagged far behind. Defensive equipment far exceeded offensive equipment and its combat theory remained oriented toward national air defense.
In order to strengthen itself, the PLAAF started to conduct multiple studies aimed at formulating a new strategic combat theory in the 1980s. In 2004, the strategic requirement of building the PLAAF into an air force that integrates air and space capabilities and possesses both defensive and offensive abilities first made its appearance in Chinas national military strategy. President Xi Jinping has reaffirmed this requirement, vowing to enable the PLAAF to play a vital role in safeguarding national security.
University vs. Vocational School
The Beijing News November 18
According to a report by the China Youth Daily, a student from the School of Life Sciences of Peking University (PKU) dropped out three years ago, choosing instead to study at the Beijing Industrial Technician College. Zhou entered PKU in 2008 as one of the top five students who applied for science majors during that years college entrance examination in Qinghai Province. Of late, he has become widely known for giving up a prestigious university and choosing a barely known vocational school.
According to the report, Zhou quit PKU because he struggled with his major. He was more interested in the major he is now pursuing and has achieved outstanding academic results in his present school.
Some have applauded Zhous courage in pursuing his interest while others question his choice. They believe that he will come to regret his decision in the future when he is seeking a job. For a long time, the university diploma has been highly valued in the job market, and a technical college qualification is regarded as inferior to those awarded by universities.
However, it should be noted that prestigious universities and vocational schools should be treated as equals because they are both intended to cultivate talented people for society. However, a lot needs to be done to correct the current prejudice against vocational schools.
JAPANESE ACTOR PASSES AwAY
Ken Takakura, an outstanding Japanese film star known for playing outlaws and stoic heroes, died of lymphoma on November 10 at an age of 83, arousing strong repercussions among Chinese people.
Takakura was born in 1931 in Fukuoka, southern Japan. After graduating from Meiji University in Tokyo, he attended an audition on a whim in 1955 and became a film actor. He starred in over 200 films and won many Japanese and international film awards in his lifetime.
Takakura has huge numbers of fans in China. In the late 1970s and early 1980s, when China started to open up to the world, he was extremely popular among Chinese audiences due to his tough guy image as projected in films like Mount Hakkoda and The Yellow Handkerchief. In 2005, Takakura starred in renowned Chinese director Zhang Yimous film Riding Alone for Thousands of Miles.
Takakura also was accepted by the Chinese audience because of his respectable persona, humbleness and honesty.
“China will soon become a net capital exporter with outbound direct investment (ODI) growth of over 10 percent for the next five years.”
Zhang Xiangchen, Assistant Minister of Commerce, discussing a shortened list of ODI projects that require government approval released by the State Council on November 18 in a move to encourage enterprises
“Establishing a worldwide anti-graft network represents an integral part of global anti-corruption efforts.”
Zhang Jun, head of the Department of International Economic Affairs of the Ministry of Foreign Affairs, speaking at a press conference in Beijing on November 13
“The Internet is the shared opportunity of mankind and the shared hope of human progress. Of course, it is a responsibility that mankind should join hands to shoulder.”
Jack Ma, founder of Chinas online trade giant Alibaba, speaking at the opening ceremony of Chinas first World Internet Conference on November 19 in Wuzhen, Zhejiang Province
“Helping smaller firms gain access to direct financing on the stock market is even more important than increasing the availability of loans for them, and this is a pioneering arrangement.”
Internet安全 篇7
一、基于Internet安全问题的不同认识
Internet安全问题主要包括两个层次:一个是基于生产商的安全问题, 对于不同的生产商其产品具有不同的安全设计:比如, 在同方生产商看来, 安全的计算机在Internet链接中必须满足“身份识别”、“信息加密”、“数据恢复”、“企业级防泄密”四大应用需求, 并且能为用户提供高易用性的解决方案;浪潮认为安全的计算机在Internet链接中的基本功能特征则包括PC的物理安全设计、数据保护 (文件加密) 、系统保护、唯一身份识别、数据分类分级别加密、快速备份恢复等;而方正生产商则更加强调隔离功能的重要性, “利用物理隔离技术帮助用户既能有效地隔离内外网络, 又能方便地使用内外网的资源”, 并大力推广其“双网隔离计算机”……。
尽管厂商们的理解以及安全功能倾向各不相同, 然而“安全的计算机”一个核心的共性是安装TCM安全芯片和可信软件的计算机。
另一个基于用户的安全问题, 作为一个基于Internet的计算机用户, 包括政府用户、军队用户、金融机构用户、大型重要企业用户、中小企业用户以及人数众多、文化层次差异很大的个人用户。因为其构成较为复杂, 对Internet安全认知各不相同, 总的来说, 人们更关心的是所用的计算机“是否真正的安全”、计算机是否容易使用以及费用问题 (包括整个生命周期成本, 这一点在将不会成为安全问题的焦点, 所以后面的对策中不作讨论) 。
还有就是, 计算机操作系统的安全性也是最让生产商和客户倍感头疼的问题;应用软件的安全性主要存在于兼容性、准确性和稳定性上。
二、基于Internet安全问题的一些思考
尽管生产商和用户对Internet安全问题的认识各有不同, 然而, 保证Internet安全却是二者共同的目的。另外就用户来说, 相对而言, 像军队、政府等特殊行业对安全性的需求比个人一般用户 (区别于国家机密实验室科研个人用户除外) 在安全性上更为迫切和要求级别非常高, 因为毕竟涉及了国家安全和国计民生, 这在解决上述问题时会有所不同的。下面是我们的一些对策建议。
1. 生产商在对计算机的安全设计上要以全力进行用户的安全保证
(1) 设计安全级别非常高的TCM安全芯片
我们知道安全芯片的功能就是把计算机变成一个安全可信的计算平台, 而安全芯片性能的优劣则直接决定了计算机的安全性能。也可以说安全计算机的核心层是芯片级的本身的安全系数。只有安装了安全级别非常高的TCM安全芯片的计算机, 在用户使用起来时才能保证更好的安全性。
(2) 为用户提供安全程度最高的可信软件
人们知道, 应用软件的安全性主要起现在使用过程的精确性和稳定性上, 因此, 作为软件生产商必须在对所要上市的软件进行足够的检测和印证。
2. 用户在对计算机的安全使用上要规定安全要求去操作
这一方面主要区别于计算机使用知识层次较高的用户和应用能力较弱的用户。
(1) 计算机使用知识层次较高的用户应更关注系统更新、杀毒和应用软件使用说明
对这一部分用户, 由于其掌握的计算机使用较多、较成熟, 更多是要注意操作系统的不断更新和杀毒软件的经常使用, 尤其是对应用软件的安装和使用上更要了解兼容性和正确的使用方法。
(2) 应用能力较弱的计算机用户更应该依照操作提示进行安全防范
这一部分用户属于一般用户, 由于对于计算机基本知识一知半解或者全然不知, 尽量对购买时已经过设置好的功能最好不要做任何更动, 稍一调整就可能导致计算机不安全或不可用, 尤其在Internet上的任何一个不正确操作都可能造成自己的计算机成为所谓的“肉机”。对不了解的不安全的网站坚决杜绝诱惑, 学会查杀工具的使用, 及时求救于计算机使用纯熟的技术人员以防不测。
三、结语
网络的安全问题是无极限的, 随着计算机和软件生产商在安全设计的不断努力, 黑客和不良网站的居心叵测的人和组织也在不断升级其破坏安全级别和程度, 还有就是Internet的新用户 (包括高级用户和一般用户) 的数量不断增加, 要现得到一个安全的Internet环境, 更需要使用Internet生产商和用户不断提升自己的安全防范意识, 加强对安全性产生危害的人和组织进行全面监督和打击。
摘要:Internet所具有的开放性是电子商务方便快捷、广泛传播的基础, 而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。这里从计算机生产商和用户两个方面对Internet的安全问题进行新视觉的认识, 并主要针对上述安全问题的认识提出了相应的对策建议, 这将更有利于保证网络安全的使用。
关键词:Internet,网络安全,生产商,计算机用户,对策和建议
参考文献
[1]计世网方桐:安全PC, 何时速熟-[OB/OL].http://www.ccw.com.cn/cso/htm2008/20080425_415090.shtml[1]计世网方桐:安全PC, 何时速熟-[OB/OL].http://www.ccw.com.cn/cso/htm2008/20080425_415090.shtml
[2]信息管理系列编委会.网络安全管理[M].北京:中国人民大学出版社, 2001[2]信息管理系列编委会.网络安全管理[M].北京:中国人民大学出版社, 2001
Internet安全 篇8
IPsec协议是由IETF颁布的网络安全标准, 可在IP层上对数据包提供数据源验证、完整性、机密性、抗重播等安全服务。IKE协议是IPsec中的自动交换协议, 为通信双方动态协商IPsec加密保护所需要的加密算法及密钥素材。此协议已广泛应用于协商虚拟专用网 (VPN) , 也可用于远程用户从远程访问安全主机或网络。同时IKE协议在实际应用中存在一定的安全漏洞, 有待于进一步改进和完善。
1 IKE协议的工作机制
IKE交换机制是利用Diffie-Hellman密钥交换协议在两个通信实体之间协商安全策略, 交换安全参数, 验证通信双方身份并生成共享的密钥材料及会话密钥, 从而解决了在不安全的网络环境下安全的建立和更新共享密钥的问题。
1.1 Diffie-Hellman密钥交换原理
1976年, Whit Diffie和Martin Hellman共同提出了DiffieHellman算法 (DH) , 这是一种两方密钥交换协议, 用于两个对等实体安全地协商共享密钥。DH算法实质是一个通信双方进行密钥协定的协议, 它的安全性基于有限域上计算离散对数的困难性。
Diffie-Hellman密钥交换协议如下:
首先, 通信双方Alice和Bob双方约定两个大素数n和g, 其中1
(1) Alice随机选择一个大整数x (保密) , 并计算X=gxmodn;
(2) Bob随机选择一个大整数y (保密) , 并计算Y=gy mod n;
(3) Alice把X发送给Bob, Bob把Y发送给Alice;
(4) Alice计算K=Yx mod n;
(5) Bob计算K=Xy mod n。
其中K即是共享的密钥。监听者Oscar在网络上只能监听到X和Y, 但无法通过X, Y计算出x和y, 因为在大小为n (大素数) 的有限域上求解离散对数是极其困难的, 因此, Oscar无法计算出K=gxy mod n。但是这个协议在密钥交换过程中有不安全的因素, 很容易受到中间人攻击。在通信过程中, 攻击者可能会分别截获通信双方的通信, 然后伪装成对方分别与双方进行密钥协商, 从而获取通信双方的共享密钥, 进而任意伪造、篡改、截获通信双方的通信内容。为了防止中间人攻击, 需要对通信双方的身份进行认证。
1.2 IKE协议的两个阶段
IKE的协商分为两个阶段。第一阶段建立ISAKMP SA;第二阶段在第一阶段建立的ISAKMP SA保护下, 建立IPsec SA。
IKE第一阶段两个ISAKMP实体之间通过协商建立一个安全的、经过身份认证的通信信道, 建立ISAKMP安全关联 (即ISAKMP SA) , 此安全通道可以保护第二阶段的协商通信。其中必须协商的内容包括:加密算法、散列算法、认证方式、Diffie-Hellman交换信息。IKE第一阶段有主模式和积极模式两种工作模式。
IKE第二阶段建立了IPsec SA, 第二阶段是建立在第一阶段协商成功的情况下进行的, 其协商过程受第一阶段建立的ISAKMP SA加密保护。第二阶段只有快速模式一种工作模式。ISAKMP SA的生命周期远远超过IPsec SA, 在ISAKMP SA周期内可以建立多个IPsec SA。
由于IKE第二阶段的安全性很大程度上依赖于第一阶段的密钥协商与认证的安全性, 因此本文的讨论范围仅限于IKE第一阶段。
2 IKE协议第一阶段的认证过程
IKE第一阶段协商ISAKMPSA, 通信双方都会产生SKE-YID, 主模式或积极模式中都允许四种不同的验证方法——数字签名, 公共密钥加密的两种验证形式, 或者共享密钥。对每种验证方法要分别计算SKEYID值。
不论是主模式还是积极模式, 结果都是产生三组经过验证的密钥材料:
上面的值0, 1, 2由单个字节的值来代表。用于加密的密钥值根据具体的算法从SKEYID_e中衍生出来。SKEYID是从秘密材料中衍生出的字符串, 只有某次交换中的活跃双方才知道。SKEYID_e是ISAKMP SA用来保护消息机密性的密钥材料。SKEYID_a是ISAKMP SA用来验证消息所使用的密钥材料。SKEYID_d是非ISAKMP安全联盟用来衍生出密钥所使用的密钥材料。CKY_I和CKY_R分别是ISAKMP报头中发起者和响应者的cookie。g^xi和g^xr分别是Diffie-Hellman中发起者和响应者的公共值。g^xy是Diffie-Hellman的共享秘密。Nx是当前时间 (nonce) 负载。prf (key, msg) 是key的伪随机函数——通常是key的hash函数。为了验证交换中的双方, 协议的发起者产生HASH_I, 响应者产生HASH_R, 其中:
2.1 主模式下的预共享密钥验证过程
符号说明:HDR是ISAKMP的报头, 当写成HDR*时, 意味着负载加密。SA是有一个或多个提议的SA协商负载。发起方可能提供多个协商的提议;应答方只能用一个提议来回答。-->表示“发起者到响应者”的通信 (请求) 。<--表示“响应者到发起者”的通信。KE是包含了用于Diffie-Hellman交换的公共信息的密钥交换负载。IDx是x的身份识别负载。
在主模式下的预共享密钥协商过程中, 消息1和消息2用于SA的协商 (包括第一阶段使用的对称算法、认证算法等信息) , 报文以明文传输, 不经过认证。发起者在消息1ISAKMP头中的发起者的Cookie字段插入自己的Cookie信息, 此时响应者Cookie字段为0, 在消息2中响应者填入自己的Cookie信息。发起者在收到反馈信息后, 要验证其有效性。首先根据响应者的IP地址重构Cookie, 与收到的反馈信息中发起者的Cookie字段进行比较, 如果相同认为有效, 否则把信息丢弃掉。由此在通信双方进行消耗资源进行很大的Diffie-Hellman之前, 先进行一次Cookie交换, 从而避免拒绝服务攻击。
消息3和消息4用于交换Diffie-Hellman共享密钥和当前时间载荷 (nonce) , 建立一个主密钥 (SKEYID) 。以上4条消息交换以后就会生成四个秘密:S K E Y I D、S K E Y I D_d、) SKEYID_a、SKEYID_e。
消息5和消息6用于通信双方交换标识数据, 并对DiffieHellman共享密钥双方进行认证。这两条消息都是经过加密的, 所以身份信息都能得到保护。I D用来认证双方身份, H A S H_I和H A S H_R用来验证消息1到消息4的完整性。SKYID_e用于两条消息的加密, 其后用SKEYID_a进行认证。
2.2 积极模式下预共享密钥过程
在积极模式下的预共享密钥认证过程中, 通过三个信息交换来实现, 不提供对通信双方的保护, 过程如图2。
在IKE交换的第一阶段中, 不管采用哪种验证方式, 其主模式都经过了三个步骤, 共需交换6条消息, 分别是SA的协商 (包括第一阶段使用的对称算法、认证算法等信息) 、Diffie-Hellman共享密钥和当前时间载荷 (nonce) 的交换、对Diffie-Hellman共享密钥双方进行认证。主模式可以提供身份保护, 各种验证方式的积极模式除了公钥加密认证方式之外不提供身份保护。当身份不必要保护时, 可以使用积极模式以进一步减少传输往返, 但抗攻击能力差。
3 IKE协议安全性分析
下面从IKE的主模式交换协商过程的分析入手, 对容易遭受的DoS攻击、中间人的攻击及重放攻击几个方面对IKE的安全性进行详细分析。
3.1 拒绝服务攻击
拒绝服务攻击 (DoS) 是指通过大量消耗系统资源的 (内存资源、CPU计算资源等) 方法, 致使系统无法响应正常的处理请求, 甚至陷入瘫痪。大量攻击者从不同的位置同时发起攻击时, 称为分布式拒绝服务攻击 (DDoS) 。
针对上述拒绝服务攻击, IKE协商的第一阶段的主模式采取了cookie的应对方式, 在一定程度上可以抵御DoS攻击。即只要通信双方中的一方确定另一方的cookie值和以前接收到的另一方的cookie值不同, 它将丢弃信息, 不再进行处理。但是, 如果拒绝服务攻击者发送大量的消息请求建立通信状态, 响应方会耗费大量资源不停响应, 最终导致系统资源耗尽, 直至瘫痪。且在IKE第一阶段协商的主模式下, 攻击者可能会伪装多个假IP地址, 发出大量虚假交换的请求, 如果响应方不能识别这些伪造的请求信息, 则会耗费大量的资源计算Diffie-Hellman交换值, 处理正常通信信息的效率会大大降低, 甚至导致拒绝服务。
3.2 中间人攻击
中间人攻击 (Man in the Middle Attack) 是指攻击者不仅能够截获通信双方的消息, 而且能够任意删除、修改, 甚至插入新的消息。中间人攻击是一种很强的攻击方式, 又被称为主动攻击。
IKE主模式是采用Diffie—Hellman交换来实现密钥交换的, 在主模式下的签名认证方式中, 消息1和消息2只是对发起方和响应方之间消息的转发。在Diffie—Hellman交换中, 中间人在消息4中使用自己计算出的KEm替换响应者发送给发起者的KEr, 发起者在接到中间人的消息4后, 将与中间人根据公式 (1) - (3) 计算出一致的SKEYID, 并且会进一步由SKEYID根据公式 (4) - (6) 计算出一致的SKEYID_e。又因为消息5是由SKEYID_e生成的密钥加密, 中间人一旦接收到发起者发送到的消息5, 便会利用与发起者一致的SKEYID_e进行解密, 从而导致发起者的身份IDii被泄露。中间人对发起者和发送者之间的消息进行拦截和转发 (包括篡改、伪造) , 从而成功的攻击并获得发起者的身份, 如图3所示。
攻击者在通过上述方式获取发起者的身份后, 可能冒充发起者与响应者进行积极模式下的预共享密钥认证方式的通信。由图3可知, 中间人可能获得响应者的H A S H_R, H A S H_R中又包括预共享密钥的信息, 因此攻击者可以采用暴力破解获取预共享密钥, 从而进入网络系统内部, 使整个系统完全暴露。
由上面的推理可知中间人攻击是非常有效且威胁性极强, 所以对通信双方的身份保护是非常必要的。
3.3 重放攻击
重放攻击 (Replay Attacks) 也称为新鲜性攻击 (Freshness Attacks) , 即攻击者通过重放消息或消息片段达到对主体进行欺骗的攻击行为, 其主要用于破坏认证正确性。重放攻击是攻击行为中危害较为严重的一种, 它会迫使系统处理大量的不必要的请求, 严重时会导致拒绝服务。
在IKE协议中, 由公式 (1) - (3) 可知通信双方要进行伪随机数nonce (与当前时间有关) 的交换 (即时间戳机制) 。时间戳机制能保证消息是在最近一段时间内生成的, 这样在一定程度上就能抵抗重放攻击。但是时间戳机制只能保证消息是在最近一段时间内生成的, 不能保证消息的确定性和惟一性。攻击者在一定的间隔时间内可以重放第一条消息, 实施重放攻击。为了更好的达到抵抗重放攻击的目的, 可以将时间戳和挑战─应答机制共同使用来提供信息的新鲜性保证。
4 结束语
本文对IKE协议工作机制和认证过程进行了简单介绍, 并从拒绝服务攻击、中间人攻击及重放攻击三个方面对IKE交换进行了的安全性分析。IKE协议在应用中仍然存在很多局限性和安全隐患, 需要进一步研究和改进。
参考文献
[1]Harkins D, Carrel D.RFC2409:The Internet Key Exchange (IKE) .1988.
[2]Hills R.Common VPN Security Flaw[R].NTA Monitor Ltd., 2005.
[3]Kent S, Atkinson R.Security Architecture for the Internet Protocol[S].RFC2401.1988.
[4]李平均等.IPSEC中基于IKE的安全防范机制[J].微电子学与计算机.2003.
[5]韩秀玲等.IPsec中密钥交换协议认证过程的研究及协议的改进[J].计算机工程与应用.2002.
Internet安全 篇9
随着Internet的飞速发展, 人们的生活与网络结合得越来越紧密。一方面Internet拥有极其方便的网络通道, 通过这些通道人们可以很容易获取信息、相互交流;另一方面, 由于Internet本身的开放性, 使得一些居心叵测的接入者能够在未授权的情况下远程操作设备、窃取信息。因此, Internet网络安全受到广泛的重视, 并成为大学公选课中最受欢迎的课程之一。Internet网络安全课程包含的内容广泛, 加上公选课本身的特殊性, 有必要对该课程的实际教学进行研究。
1 课程目的和意义
Internet网络安全课程的内容主要分成两个部分:Internet中各种不安全的因素和各种有效的防御方法[1]。其中了解和掌握各种外界不稳定因素是更好地理解和掌握防御方法的基础。网络的不安全因素有很多, 主要包括口令破解、地址欺骗、木马病毒等。防御方法也种类繁多, 如设置安全口令、防火墙、虚拟专网等。这些攻击方式有复杂的理论背景, 在公选课中讲透这些背景知识是不可能的。可以使用实例教学的方法, 即用具体实例让学生在不知不觉中了解各种攻击是如何进行的。另外由于计算机以及网络技术的发展, 不稳定因素和防御方法也在不断更新, 因此教学中需要穿插最新的技术。
由于该公选课定位于面向大部分非计算机网络专业的学生, 因此教学的目的不能简单地等同于专业课程, 要根据学生的具体情况对各种方法的掌握程度要求相应降低。对于上文提到的攻击和防御技术, 在教学中一般只要求了解即可。了解各种技术其根本目的是为了更好地利用Internet的优势, 减少其带来的不利影响。由于在整个过程中训练了学生们正确使用Internet的方法, 该课程对于减少各种网络威胁带来的损失, 更好地利用网络的资源优势, 具有深远的意义。
2 课程难点分析
由于Internet网络安全公选课本身的特殊性, 达到指定的教学目标并不容易, 其难点主要集中在以下几个方面:
(1) 学生专业背景复杂, 基础层次差异大。公选课是面向全校所有学生的课程, 选课的学生专业知识背景复杂, 大部分学生只是凭对课程名称的理解选课, 对课程知识并没有相关基础。并且, 文理科学生的思维方式不一样, 导致一些容易理解的知识点成为某些学生的障碍。
(2) 理论基础复杂。Internet网络安全的很多内容以复杂的数学理论为基础, 比如公开密钥算法中的RSA算法建立在大合数分解难题的基础上, 而图像水印算法是基于傅里叶变换等。这些内容对本专业学生也不容易掌握, 对公选课的学生就更加困难。
(3) 理论与实践环节脱节。公选课没有相应的配备实验环节, 因此没有相应的实验环境让他们验证学到的知识, 导致部分知识不容易理解记忆。
(4) 知识点多, 涉及面广, 教学时间短。Internet网络安全课程的内容包括信息加密、密钥分配和管理、报文鉴别、数字签名、信息隐藏、身份认证、防火墙、VPN等[2]。这些内容是为专业课程服务的, 不完全符合公选课的教学目标。另外整个课程约为30个课时, 这么多的内容在较短时间内讲解透彻比较困难。
3 教学策略研究
Internet网络安全公选课虽然对学生的要求比较低, 但是由于其自身特点, 将大量的复杂知识生动地教授给学生们并不容易。根据上文分析, 提出从课程内容着手改善该课程教学效果的策略。选择讲授的内容尽量能够引发学生们的兴趣, 通过具体实例的方法将深奥的理论方法变得易于理解。根据笔者讲授Internet网络安全课程的经验, 将课程内容分为8个部分:
(1) 黑客技术。选修这门课程的学生通常对这类技术感兴趣, 因此选择该内容作为课程的首讲内容是为了提高学生们对课程的好感, 从而有动力继续下面内容的学习。黑客技术博大精深, 一次课程仅能涉及皮毛。在讲课过程中要考虑到技术的整体性, 并利用“灰鸽子”演示木马控制远程终端。
(2) 修改主页技术。网络上经常有新闻报道某某网站的主页遭到修改, 不明原理的学生一定觉得相关技术很神奇。因此将该技术单独讲解也是希望进一步引发学生们对课程的兴趣。修改主页技术是黑客技术的一个部分, 当远程计算机遭受控制时, 修改其中的网页文件当然不会很困难。和一般的黑客技术不同的地方是, 修改网页文件需要对网站的结构以及网页服务相关内容比较熟悉。
(3) 拒绝服务攻击。常常会遇到某些大型网站的网页打开缓慢的情况, 这时它们有可能遭到拒绝服务攻击或者类似的大量访问过程。该攻击方式的危害在于将资源耗尽, 使得系统无法访问, 导致无法提供正常服务。虽然突发性的大量访问, 如网络购票、秒杀活动, 并不是恶意的攻击, 但它们产生效果的原理和拒绝服务攻击相似。通过对该技术的讲解, 让学生们了解服务器内存、带宽等资源对于正常提供服务的重要性。
(4) Internet相关安全性。这部分内容主要包括IPv6、安全电子邮件协议、安全Web协议、虚拟专网等。IPv6是下一代IP技术, 它在多个方面有了较大改进。与IPv4比较, 它的地址空间扩展到128位, 地址标记能力有了很大的提升, 甚至可以标记地球上的每一个沙粒。安全电子邮件主要包括PGP和S/MIME, 它们都使用加密技术, 保障了邮件的真实性、秘密性。安全Web协议保护的是浏览器传输内容的安全, 通过这些协议加大抓包分析的难度, 提高信息传递的安全性。虚拟专网技术是希望通过Internet这个成本低廉的通道实现高成本专网的功能。让学生们了解相关的安全技术, 有助于提高他们面对各种网络攻击的应对能力。
(5) 加解密技术。加密是网络安全体系中重要的一环, 加密一般分为对称加密和非对称加密。对称加密的原理简单, 但过程比较复杂, 而非对称加密的原理相对要深奥一些。针对这种情况, 将不深入设计算法, 而是利用比较简单的例子介绍相关的加密技术。加密的安全性取决于破解的难易程度, 介绍相关的破解技术, 让学生了解哪些加密方式在哪些情况下是不够安全的, 并且了解密码设置的注意事项。
(6) 信息隐藏技术。加密掩盖了信息的本来面目, 但是由于加密后的信息与通常信息产生了很大的差别, 因此会引起破解者的兴趣。信息隐藏走的是另一条路径:使人们无法感知隐藏信息的存在。信息隐藏的内容也很广泛, 它涉及声音、图像、视频等文件的相关处理方法。在教学时, 应考虑使用相关的信息隐藏软件演示隐藏过程, 而不是仅仅讲解原理。
(7) 网络购物安全。网络购物现在已经非常普遍, 但是各种诈骗网站、不安全的操作习惯会损害操作者的利益。要避免进入钓鱼网站, 要有正确的密码保护措施, 要能够掌握正确的付款流程等。这些内容的讲解有助于安全意识的建立, 以更好地利用网络购物的便利。
(8) 病毒防范。病毒是一种能够自我复制的程序, 它具有隐蔽性、传染性、破坏性等特点。从病毒诞生起, 它就一直威胁着计算机系统, 并且由于网络的广泛使用使它的传播如燎原之火。该部分内容旨在告诉学生们如何保护自己的系统免受病毒侵犯, 以及被病毒攻击后的应对方法。
4 结语
Internet网络技术的发展为社会带来了翻天覆地的变化, 它一方面方便了信息的传播, 另一方面也带来了各种安全隐患。本文在分析Internet网络安全公选课目标和难点的基础上, 探讨了提升该课程教学效果的策略。该策略更多地考虑到学生的兴趣, 提出了8个既紧密联系生活实际又容易配备相应实例的教学内容。提出的方法在实际教学中获得了学生们的认可, 并取得了不错的教学效果。
摘要:根据Internet网络安全公选课的教学目的和意义, 分析了该课程的难点, 提出以激发兴趣为主, 案例教学融合相关专业知识的教学策略。该教学策略能够有效提高学生的学习兴趣, 在近几年的教学实践中有效地提高了教学效果。
关键词:Internet网络安全公选课,教学方法,案例教学
参考文献
[1]张世勇.网络安全原理与应用[M].北京:科学出版社, 2003.
Internet安全 篇10
1 Internet自身的缺陷及来自外界的网络安全问题
Internet本身非常脆弱,各类信息共享的同时,存在着不法分子盗窃其中的机密文件、盗取企业的重要数据等问题。造成这种现象的原因有很多,其中包括政府的管理措施及管理力度太薄弱,使得企业单位、家庭及个人的重要信息保密性差,网络安全得不到保障;网络本身的保密措施差,容易被人利用窃取敏感信息;Internet传递信息时利用的TCP/IP协议数据流所采用的明码传输办法,因无法控制传输过程,在传输时不能保证是否能在不被他人发现的情况下,把信息准确无误的传输到对方手中。
1.1 来自内部的网络安全威胁
来自网络内部的威胁分为三种:其一,安全意识匮乏的在网络内部工作的人员有可能泄露他人的信息,他们这种活动是无意识的,与此对应的是有目的的出卖他人信息,凭借自己的合法身份,进行信息买卖,不管是否有意,这种泄露信息的行为都是非法的;其二,从事网络安全管理工作的部分工作人员,并未经过严格的训练,由于各种问题而造成网络安全出现漏洞时,不懂得使用正确的方法进行处理;其三,由于断电、电源不稳定或硬件设备出现故障,而偶然的、无意的造成的一些安全威胁。
1.2 来自外部的网络安全威胁
来自网络外部的威胁大概可分为以下五种:1)网络病毒;2)一些人在网上对有害信息,例如黄色网页、反动思想、计算机病毒等进行制作、传播,或者利用网络对其他人进行恐吓威胁以骗取钱财;3)并未经计算机的拥有人授权,就私自使用计算机自行操作;4)在数据传输过程中,由于距离远或是接收方是第三方的缘故,造成信息在传输过程中被截取或破坏;5)计算机周围的不良环境对计算机造成的威胁。
1.3 计算机软件的漏洞
计算机软件的漏洞包括两方面。一方面是计算机本身的操作系统存在安全问题。例如打开计算机后,非本人操作也能轻易登录并获取信息;不能解决网络病毒、系统漏洞对操作系统的威胁;访问网站时会有非法的黄色网页或其他不良信息出现等等。另一方面自行研发的软件系统不能保障安全问题。例如用ansys、C语言等软件编写执行的程序不严谨,在传输过程中会被修改或盗取;系统软件可以随意登录,不用进行身份验证而造成安全危害。
2 针对信息系统安全出现的问题所采取的措施
现如今,网络安全问题日益严重,尤其高校单位常用的信息系统常常面临着病毒、黑客等的威胁,为了私密信息的安全,建立一套完善的信息系统防御体系势在必行。专业人士应该利用自己所学的知识,制定一套集技术、管理、规章等各个方面的因素于一体的防范措施,为解决安全问题献计献策。下文主要从四个方面介绍如何保证信息系统的安全。
2.1 思想方面
全面提高网民的网络安全意识,不给非法分子任何可乘之机。目前很多网络安全问题,大都是由计算机使用人员安全意识匮乏造成的,可以开展一些基本的网络安全课堂,解决安全意识薄弱,安全知识匮乏等问题。只有保护网络安全人人有责的意识深入人心,减少内部人员对计算机工作系统的破坏,才能从根本上解决此类问题。
2.2 技术方面
2.2.1 使用高性能的防火墙
防火墙是网络内部与网络外部之间的一道保护墙,可以对任何企图非法进入网路内部的不良信息进行监控,从而达到有效预防的目的,是防御黑客入侵的有效方法之一。而且,不管是以硬件还是软件为基础的防火墙,都能够达到我们期望的防护目的,对可疑网络活动识别、记录并拦截。这样就能把内网部分与混乱的外网部分割开来,成为拦截外部入侵的一道难以跨越的防线。例如可以更改从网络内部流到网络外部的数据流,对外部屏蔽单位、家庭及个人的私密信息。当前,防火墙技术已经更新到第三代,可以检测网络状态。这类防火墙可以通过检查IP包来判定是否允许接收外部信息。可以通过截获来自外部的数据包得到相关的信息,信息显示允许通过,外部信息就可以进入,信息显示不允许,外部信息就会被拒绝。这种状态检测防火墙比之前的代理防火墙、包过滤防火墙速度更快、性能更高、并且更加能够保障用户的安全,是当前最受欢迎,应用最广的防火墙。
2.2.2 运用虚拟网络技术
相对于防御外来攻击的防火墙,网络内部安全的保障需要使用虚拟网络技术。虚拟网络技术是将网络根据安全级别跟不同的应用业务分段,以此来达到进行不同段的访问限制,可以阻止非法人员的进入。
2.2.3 采用实时入侵检测技术
运用防火墙并不能解决所有的安全问题,还需要其他的防御手段进行网络安全保护。例如它不能完成对计算机内的每个文件都进行扫描,容易出现差错;不能保证接收的文件是安全无病毒,并且是恰恰满足自己需要的文件等等。所以需要采用入侵检测技术,作为防火墙的补充,弥补防火墙的缺陷。根据网络安全专家对处理安全问题的经验形成一系列的检测防御方法,建立自动反攻击措施。其次入侵检测技术还能在不断实践中积累经验,不断完善防护系统。同时,入侵检测技术还可以运用人工神经网络,对信息进行智能处理,充分发挥动态安全技术的优势。
2.2.4 反病毒
首先制定详尽的反对病毒入侵的措施,设置多重防御障碍,尽量使计算机网络运行中的每个环节都能反病毒的入侵。然后,设置反病毒软件在一定时间内进行自我更新,对盗版软件坚持打击不放过,鼓励人们使用正版杀毒软件对电脑上的文件定期扫描检测,并在工作中常用的软件设置访问权限及身份识别,以免重要信息泄露。
2.3 加强管理力度,保障网络安全
在增强人们安全防范意识地同时,健全相应的制度,进行严格的网络安全管理势在必行。信息系统安全管理越来越复杂,面临的问题也千奇百样,建立一套完整的网络安全管理政策,就可以在使用技术防御威胁的同时,使用管理手段对网络安全问题、计算机周围的环境进行统一处理。
2.4 完善信息系统,保障信息安全
2.4.1 设置严格的用户权限
以防非法用户及部门盗取用户信息,常用一些办法对用户的信息进行核实,区分用户及他们进行的操作是否合法。常用如下办法:1)身份识别。身份识别是安全系统防入侵的重要手段之一,是合法用户及非法用户的重要区分办法。主要通过指纹、问题回答、数字密码等方式来实现。用户也可以根据自身的不同需要,采取不同的安全技术措施来实现安全认证;2)限定用户使用权限。只有合法的用法才能使用查询、检索的功能,对计算机中的信息进行操作;3)用户权限内的数据信息才能被用户查询使用,否则会遇到无法显示及使用的提示。
2.4.2 常用数据信息进行自动备份
计算机中的数据,除了是用户的私人信息外,还可能跟企业单位的利益有关联。所以系统是否能够定期对计算机中的数据进行备份十分关键。对数据文件、系统软件,甚至整个网络系统的备份,可以在计算机遭受破坏时,方便还原信息,不至于造成太大的损失。在这个过程中,最好使用专业的备份软件,能够通过提高备份的速度,在最短的时间内恢复数据文件,将损失降到最低。
3 关于课程管理方面的网络安全的相关要求与标准
完善的内网安全管理系统应该能实现以下目标:1)对终端设备实施强制网络接入控制,能够充分阻止各种内网攻击,例如防止黑客攻击、木马攻击、外网间谍软件攻击或者蠕虫病毒爆发、非法探测扫描等攻击企图与行为;2)充分提高内网资源的使用效率,远程策略管理、资产管理控制、防止内网资源的滥用行为,限制应用软件如BT、P2P、即时通讯软件等的滥用;3)防止内网学生信息等重要信息的泄露,限制非法内外互联的行为,采取实时监控的方式控制各种网络连接行为,一旦发现即马上阻断可疑上网行为以达到保护内网资源的目的。
另一方面,为了达到安全管理的最终目标,任何的内网安全管理产品应具备桌面安全防护、行为管理监控等功能。同时,为了保证系统的可靠性、可用性、可扩展性,除了满足上述功能外,内网安全管理系统还应该具备以下特征:安全策略制定灵活、管理方便;支持大规模、分布式集中部署;系统可靠稳定、占用系统资源少;易于扩展,支持与其他安全管理产品联动。
4 总结语
网络迅速发展极大地促进了社会的发展和经济的飞跃。随着人们对于互联网的依赖程度越来越深,正常的网络运行和信息服务是极为重要的,如果人们的工作学习环境一旦受到网络安全的威胁,其损失将是不可估量的。因此,我们对于相关基于互联网的课程管理信息系统的网络安全进行了深入探讨,分析了目前的网络安全形势以及网络威胁的主要原因,并提出了一系列的防范网络安全威胁的举措,希望为广大相关从业者提供一定的思路与启发,相信在我们的共同努力与维护下,不止我们的课程管理信息系统,甚至整个互联网大环境都能得到不断地完善与发展。
参考文献
[1]贾清水.基于WEB的学分制管理信息系统的设计与实现[D].北京工业大学,2006.
[2]叶晟.一个C/S与B/S模式相混合的多应用的网络教学管理系统的设计与实现[D].中山大学,2009.
[3]胡智锋.基于离散型Hopfield网络的计算机网络安全等级分类研究[J].现代电子技术,2015(21).
[4]王炜.高职院校学生公选课程管理系统BPM引擎研究与设计[J].网络安全技术与应用,2014(10).
【Internet安全】相关文章:
Internet06-13
internet发展09-20
internet介绍04-19
internet教案05-15
Internet历史05-19
Internet时代05-14
Internet接入06-04
Internet平台06-25
基于Internet07-22
internet发展过程06-16