產品中心

首頁 > 產品中心 >網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全
網絡信息安全

網絡信息安全

當今的全球信息化時代,隨著信息通信技術的發展和普及,聯接已成為新的常態。越來越多的攝像頭、傳感器、手機等終端被廣泛部署,并由無處不在的網絡聯接起來,物理世界得以更準確地在數字世界中呈現,這使得我們可以更好地觀察、分析、應用物理世界的數據,且不再受時空束縛。

  而當終端設備一旦分布在互聯網、移動通信網、物聯網、車聯網等物理網絡,就不可避免的會遭受入侵、攻擊、竊聽、篡改等網絡威脅。可以說,便捷拜網絡和技 術所賜,風險也因網絡和技術而生。安防系統目的是為了維護整個社會治安穩定,涉及大量的用戶隱私數據,因此從事安防行業的企業更加應該重視網絡安全風險。 然而現實,卻不容樂觀:

2014年4月,央視報道市場上大部分家庭攝像機“曝光”隱私,攝像機不再照看家庭的安全,而是將家庭的隱私曝光在網絡上;

2014年12月,烏云安全團隊披露,某廠商數字錄像機被攻擊后感染了病毒,變成了僵尸網絡的一部分,被用于掃描存在漏洞的其它網站。此外有的DVR還被安裝了比特幣挖礦程序,淪為黑客的掙錢工具;

015年2月,媒體曝光了某廠商監控設備“存在嚴重安全隱患”、“部分設備已經被境外IP地址控制”嚴重安全事件;

諸如此類事件不勝枚舉。

作為守護大眾安全的設備,為何自身的網絡安全漏洞反而如此之多?其實,這背后反映的是安防業內大多數企業的網絡安全意識淡薄、產品安全防護技術手段欠缺的普遍現狀。

沒有網絡安全就沒有國家安全。當網絡成為繼陸、海、空、天之外的國家第五大主權空間,控制網絡空間,就可以控制一個國家的經濟命脈、政治導向和社會穩定。

為 應對互聯網發展帶來的挑戰,已有50多個國家先后制定并公布了國家網絡安全戰略。“棱鏡門”事件曝光后,國際社會更是掀起新一輪互聯網治理熱潮。全球相關 國際組織領導人在烏拉圭共同簽署關于未來互聯網合作的《蒙得維的亞聲明》,確認需要繼續應對互聯網治理的挑戰,推進全球多利益主體互聯網的合作演進;歐盟 委員會通過的一份關于“歐洲在塑造互聯網監管未來中的作用”的報告,提倡建立更為透明和負責,更具包容性的互聯網治理模式。

中 國是網絡空間治理的積極參與者,為推動建設開放與合作的網絡空間搭建平臺,也為全球網絡空間治理貢獻方案與智慧。中國主張在信息領域沒有雙重標準,各國都 有權維護自己的信息安全,不能一個國家安全而其他國家不安全,一部分國家安全而另一部分國家不安全,更不能犧牲別國安全謀求自身所謂絕對安全。

構 建新的國際互聯網體系,要立足于開放互聯。安全不等于閉關自守,不等于自我封閉。封閉必然導致落后,開放互聯才能發展進步。限制先進技術應用、拒絕開放互 聯共享換不來持久安全,反而會被時代所拋棄;要堅持依法治網。互聯網因TCP/IP協議而誕生,因各種規則標準不斷完善而發展。依法而行、依規而動是互聯 網精神的一部分,應成為網絡空間的基本準則,要通過法律、規則和標準去衡量、規范、引導、治理網絡;要本著相互尊重信任的原則,尊重各國在網絡空間的主 權,尊重用戶的知情權、選擇權等正當權益;也要加強交流合作,變差異為潛力,變分歧為活力,變爭端為合力,變競爭為動力。

互 聯網之父蒂姆·伯納斯—李曾說,如果互聯網美好,那是因為現實美好;如果互聯網丑陋,那是因為現實丑陋。網絡空間是現實社會的延伸和拓展,也是現實社會的 映射。從這個角度看,網絡空間治理和現實世界治理是相通的。獨行快、眾行遠。國際社會唯有攜手合作,相互尊重、相互信任,才能共同構建和平、安全、開放、 合作的網絡空間,讓互聯網發展成果更好造福全人類。

  拒絕服務攻擊通過使計算機功能或性能崩潰來阻止提供服務,典型的拒絕服務攻擊有:資源耗盡和資源過載。19

社交工程是一種低技術含量的破壞網絡安全的方法,它利用說服或欺騙的方式,讓網絡內部的人來提供必要的信息。22

CIA三要素:保密性,完整性,可用性26

TCSEC將安全分為四個方面:安全政策、可用說明、安全保障忽然文檔,七個安全級別:從低到高為D、C1、C2、B1、B2、B3、A。(其中DOS是D級,winnt是C2級,win2000是   win2000   )46

算法往往不能夠保密,因此我們常常規定算法是公開的,真正需要保密的是密鑰,所以存儲和分發密鑰是最重要的。61

所謂實際上不可攻破的密碼系統,是指它們在理論上雖然是可以攻破的,但是真正要攻破它們,所需要的計算機資源如計算機時間和容量超出了實際上的可能性。62

換位密碼根據一定的規則重新安排明文字母,使之成為密文。常用的換位密碼有:列換位密碼和周期換位密碼。63

代替密碼就是明文中每一個字符被替換成米問中的另一個字符,接收者對密文進行逆替換就恢復出明文來。分類:1.簡單代替密碼(如報紙中的密報和凱撒密碼)2.同音代替密碼3.多表代替密碼(如Vigenere密碼和游動鑰密碼)4.多字母組帶密碼     65

轉輪機:20世紀20年代,人們就發明機械加密設備用來自動處理加密,大多數是基于轉輪的概念,機械轉輪用線連起來完成通常的密碼代替。轉輪機有一個鍵盤和一系列轉輪,每個轉輪是字母的任意組合,有26個位置,并且完成一種簡單代替。66

密碼學分為:對稱型密碼系統(或單鑰密碼系統)和非對稱型密碼系統(雙鑰密碼系統)

前者稱為傳統密碼系統,后者稱為公開密碼系統。 73

傳統密碼系統的特點是:加密和解密時所用的密鑰是相同的或者是類似的,即由加密密鑰可以很容易的推導出解密密鑰,反之亦。正因為如此,我們常稱傳統密碼系統為單密鑰密碼系統或者對稱型密碼系統。同時在一個密碼系統中,我們不能假定加密算法和解密算法是保密的,因此密鑰必須保密。74

公開密鑰的特點和優點:加密密鑰和解密密鑰在本質上和算法上不同的,也就是說,知道其中一個密鑰,不能夠有效的推導出另一個密鑰,當然我們指的有效算法是快速算法,即多項式時間算法。(不需要分發密鑰的額外信道,因此可以公開加密鑰,這樣做無損整個系統的保密性,需要保護的緊緊是解密鑰)74

1977年7月15日號NBS(美國國家標準局)宣布接受IBM提供的密碼算法,作為聯邦信息加密標準46號,即DES正式頒布。74

DES分組密碼系統是分組乘積密碼,它用56位密鑰將64位的明文轉換成64位密文,密鑰總長64位,另外8位是奇偶校驗位。74

RSA算法是迄今為止在理論上最成熟完善的共鑰密碼體制。98

..

用公開密鑰來保護通信,能很好的保護數據的安全性,但是由于它的加密和解密的速度都相當慢,所以事實上公開密鑰更多的時候是用于常規加密密鑰的分發。111

數字簽名的流程(第一步):采用散列算法對原始報文進行運算,得到一個固定長度的數字串,稱為報文摘要,不同的報文所得到的報文摘要各異,但對相同的報文它的報文摘要卻是惟一的。在數學上保證,只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符,這樣就保證了報文的不可更改性。135

基于口令的認證方式存在嚴重的安全問題。它是一種單因素的認證,安全性僅依賴于口令,口令一旦泄露,用戶即可被冒充。更嚴重的是用戶往往選擇見大、容易被猜測的口令。(如與用戶名相同的口令、生日、單詞等)。這個問題往往成為安全系統最薄弱的突破口。口令一般是經過加密后存放在口令文件夾中,如果口令文件被竊取,那么就可以進行離線的字典式攻擊,這也是黑客最常用的手段之一。167

一次性口令是變動的密碼,其變動來源于產生密碼的運算因子是變化的。一次性口令的產生的因子一般都采用雙運算因子:其一,為用戶的私有月密鑰。它代表用戶身份的識別碼,是固定不變的。其二,為變動因子,正是變動因子的不斷變化,才產生了不斷變化的一次性口令。171

Modern Kerberors意指有3個組成部分的網絡之門的保衛者。“三頭”包括:認證,計費,審計  177

訪問控制是通過某種途徑顯式的準許或限制訪問能力及范圍的一種方法。它是針對越權使用資源的防御措施,通過限制對關鍵資源的訪問防止非法用戶的侵入或因為合法的用戶的不慎操作而造成的破壞,從而保證網絡資源受控制地‘合法地使用。193

訪問控制的常見實現方法有:訪問控制矩陣、訪問能力表、訪問控制表和授權關系表等。194

PGP(Pretty Good Privacy)是一種長期在學術界和技術界都得到廣泛使用的安全郵件標準。PGP的特點是使用單向散列算法對郵件內容進行簽名,以此保證信件內容無法被篡改,使用公鑰和私鑰技術保證郵件內容保密且不可否認。發信人與收信人的共鑰都存放在公開的地方。在PGP體系中,“信任”或者是雙方之間的直接關系,或是通過第三者、第四者的間接關系。255

任何方法都不可能是完全安全的,如果有足夠的計算能力,任何形式的密碼都可以攻破,問題是破譯密碼所花費的時間和精力與受保護的數據價值是否值得。259

PGP要求用戶保持一個密鑰的本地緩存。這個緩存被稱為用戶的密鑰環,每個用戶至少有兩個密鑰環:公鑰環和私鑰環。每個密鑰環都用來存放用于特定目的的一套密鑰。保持這兩個密鑰環的安全很重要(如果有人篡改公鑰環,就會使用戶錯誤的驗證簽名或者給錯誤的接收者加密消息)。公鑰環存放所有與用戶通信的人或者單位的公鑰、userid、簽名和信任參數等。在設計公鑰的時候,只是想用它保存一些比較親密的朋友和同事的公鑰。私鑰環是PGP中存放個人私鑰的地方,當用戶產生一個私鑰時,不能泄露的私鑰就存放在私鑰環中,這些數據在私鑰環中被加密保存,因此對私鑰環的訪問不會自動允許對其私鑰的使用。263

 

防火墻是位于兩個(或多個)網絡間實施網間訪問控制的一組組件的集合。279

防火墻的功能:(1)隔離不同的網絡,限制安全問題的擴散。防火墻作為一個中心 “遏制點”,它將局域網的安全進行集中化管理,簡化了安全管理的復雜程度。     

(2)防火墻可以很方便地記錄網絡上各種非法活動,監視網絡的安全性,遇到緊急情況報警。    

(3)防火墻可以作為部署NAT (Network Address Translation,網絡地址變換)的地點,利用 NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題或者隱藏內部網絡的結構。    

(4)防火墻是審計和記錄 Internet使用費用的一個最佳地點。(網絡管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,并能夠依據本機構的核算模式提供部門級的計費 。)    

(5)防火墻也可以作為1PSec的平臺。   

(6)防火墻可以連接到一個單獨的網段上,(從物理上和內部網段隔開,并在此部署WWW 服務器和FTP服務器,將其作為向外部發布內部信息的地點。從技術角度來講,就是所謂的停火區 (DMZ)).280

 

防火墻的不足之處主要有 :(1)網絡上有些攻擊可以繞過防火墻,而防火墻卻不能對繞過它的攻擊提供阻擋。 (2)防火墻管理控制的是內部與外部網絡之間的數據流,它不能防范來自內部網絡的攻擊。 (3)防火墻不能對被病毒感染的程序和文件的傳輸提供保護。 (4)防火墻不能防范全新的網絡威脅。 (5)當使用端到端的加密時,防火墻的作用會受到很大的限制。(6)防火墻對用戶不完全透明,可能帶來傳輸延遲、瓶頸以及單點失效等問題。280

防火墻的分為三大類:    (1)分組過濾路由器。  (2)應用級網關。  (3)電路級網關。281

(1)分組過濾路由器也稱包過濾防火墻,又叫網絡級防火墻,因為它是工作在網絡層。這種防火墻可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規則直至發現包中的信息與某規則相符。281

網絡級防火墻的優點是簡潔、速度快、費用低,并且對用戶透明。但它也有不少的缺點 :如定義復雜 ,容易出現因配置不當帶來問題 ;它只檢查地址和端 口,允許數據包直接通過,容易造成數據驅動式攻擊的潛在危險;不能理解特定服務的上下文環境,相應控制只能在高層由代理服務和應用層網關來完成。281

(2)應用級網關主要工作在應用層。應用級網關往往又稱為應用級防火墻。281

(3)電路級網關是防火墻的第三種類型,它不允許端到端的TCP連接,相反,網關建立了兩個TCP連接,一個是在網關本身和內部主機上的一個TCP用戶之間,一個是在網關和外部主機上的一個TCP用戶之間。282

堡壘主機的硬件是一臺普通的主機,它使用軟件配置應用網關程序,從而具有強大而完備的功能。它是內部網絡和Internet之間的通信橋梁,它中繼所有的網絡通信服務,并具有認證、訪問控制、日志記錄、審計監控等功能。它作為內部網絡上外界惟一可以訪問的點,在整個防火墻系統中起著重要的作用,是整個系統的關鍵點。282

屏蔽主機模式中的過濾路由器為保護堡壘主機的安全建立了一道屏障。

典型的屏蔽主機模式如圖所示

 

屏蔽子網模式增加了一個把內部網與互聯網隔離的周邊網絡 (也稱為非軍事區DMZ),從而進一步實現屏蔽主機的安全性,通過使用周邊網絡隔離堡壘主機能夠削弱外部網絡對堡壘主機的攻擊。典型的屏蔽子網模式如圖所示,其結構有兩個屏蔽路由器,分別位于周邊網與內部網之間、周邊網與外部網之間應用網關的代理服務實體將對所有通過它的連接做出日志記錄,以便對安全漏洞的檢查和收集相關的信息。代理服務技術的特點:網關理解應用協議,可以實施更細粒度的訪問控制;對每一類應用都需要一個專門的代理;靈活性不夠;隱蔽信息,例如內部受保護子網的主機名稱等信息可以不必為外部所知。286

網絡地址轉換NAT (Network Address Translation)即將內網的IP地址與外網的 IP地址相互轉換,它的 目的一個是可以解決 IP地址空間不足的問題286

為確保遠程網絡之間能夠安全通信,VPN (Virtual Private Network,虛擬專用網絡)是一種很好的技術選擇。292   

目前,VPN主要有 3個應用領域:遠程接入網、內聯網和外聯網。294

 

常見的黑客攻擊過程通常包括以下步驟:(1)目標探測和信息攫取    (2)獲得訪問權    (3)特權提升    (4)掩蹤滅跡    (5)創建后門302

常見的端口掃描方式:(1) TCP connect()掃描  (2) TCP SYN掃描    (3) TCP FIN掃描    (4) TCP反向ident掃描。 303

常見的免費掃描工具:1.Nessus    2. Nmap      3. NSS    4. SATAN       5. X-Scan     除了以上這些T -具之外,還有其他一些如Strobe, Jakal, IdentTCPscan, WSS等工具   314

入侵檢測系統全稱為Intrusion Detection System,縮寫為IDS           319

按照入侵檢測輸入數據的來源和系統結構來看,入侵檢測系統可以分為三類:基于主機的入侵檢測系統 (HIDS)、基于網絡的入侵檢測系統 (NIDS)和分布式入侵檢測系統。320

入侵檢測系統分為4個基本組件:事件產生器、事件分析器、響應單元和事件數據庫。 322

不是入侵的異常活動被標識為入侵,我們稱之為誤報,造成假警報。327

異常檢測指根據使用者的行為或資源使用情況來判斷是否入侵,而不依賴于具體行為是否出現來檢測,所以也被稱為基于行為的檢測。基于行為的檢測與系統相對無關,通用性較強。328

濫用檢測也稱為特征檢測或者基于知識的檢測,指運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來檢測。330

1996年出現針對微軟Office軟件的“宏病毒”,宏病毒主要感染word,excel等程序制作的文檔。如word宏病毒能對用戶系統中的可執行文件和文檔造成破壞,常見的如Concept等宏病毒。   病毒CIH是第一個直接攻擊、破壞硬件的計算機病毒。352

《中華人民共和國計算機信息系統安全保護條例》第二十八定義:計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能夠自我復制的一組計算機指令或者程序代碼。353

計算機病毒的特性:主動傳染性、破壞性、寄生性、隱藏性、不可預見性353

計算機病毒還有隱蔽性,這和寄生性是分不開的。隱蔽性是指計算機病毒采用某些技術來防止被發現。潛伏期越長的病毒傳播的范圍通常來說也會越廣,造成的破壞也就越大。目前通過網絡傳播的計算機病毒往往采取快速傳播的方法,可能在這些病毒的身上并沒有表現出隱蔽性。354

宏病毒的定義宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。355

計算機病毒的檢測方法:1.比較法 2.加總比對法 3.特征字串搜索法 4.虛擬機查毒法 5.人工智能陷阱技術和宏病毒陷阱技術 6.分析法 7.先知掃描法         356

Copyright ? 2015 珠海科易信息 Zhuhai yi information technology co., LTD

聯系:丁先生    電話:0756-2277189   傳真:0756-2277689    地址:珠海市梅華西路香洲科技工業區警民路1號B棟三樓316室   粵ICP備10203387號

電腦版 | 手機版

辽宁11选5开奖直播