前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全主要特征主题范文,仅供参考,欢迎阅读并收藏。
随着互联网在全球范围内的普及,计算机网络安全成为了高职院校安全系统的重要内容。本文首先介绍了计算机网络系统常见的安全隐患,以及高职院校相关的安全问题,最后就计算机网络安全管理系统的设计,提出了可操作性的建议。
【关键词】
高职;计算机;网络安全;设计
计算机技术的发展与普及也使高校内部的信息交流受益匪浅。在学校范围内,高校通过计算机技术构建局域网,能够实现资源的共享和信息的快捷传递,为高校的教学与研讨提供了方便的平台,也有利于提升高校的自身对外影响力。但是高校对计算机网络安全管理呈现出良莠不齐的局面,特别是高职院校的管理力度不够,缺乏足够的重视,致使计算机网络安全的风险加大,经常受到所谓黑客的攻击,高职院校计算机网络安全管理水平的提升迫在眉睫。
1计算机网络安全概述
计算机网络安全,即网络系统里的软硬件以及相关有价值的数据,由于人为的因素而受到干扰,具体包括篡改、泄露和毁损等现象,是网络系统不能正常的运行和发挥作用。这里的人为因素应该排除网络系统断电、磁场扰乱等客观现象,而是不法分子利用木马病毒等攻击高职院校的局域网安全系统,窃取他们想要得到的各种资料和数据,以此来获得利益。笔者把高职院校的计算机网络安全存在的问题,概括为以下几个方面:
1.1计算机网络物理安全问题
校园计算机网络属于弱电工程,耐压能力低,在雷电、突然断电等情况下极易遭受袭击以致线路短路、晶片损坏而最终造成物理工程失去效果,继而中断了计算机网络的服务,若此时数据库存储硬盘遭遇损坏,那么将不能保证它所存储的信息数据是安全的。
1.2计算机网络系统网络结构的安全问题
高校计算机网络是由内部局域网联合国际互联网构建而成的网络。通过内部局域网建设,它能够实时共享局域网内数据,并能实时进行资料的传递;通过连接外部互联网,它还能够实现数据的交流。木马病毒极易在各终端与互联网通信的过程中攻击互联网,而且无论该木马的传输途径是哪一个终端都能够经内部局域网的迅速交流而在整个网络蔓延开来,导致局域网不能正常运行和发挥作用,数据和信息处于完全暴露的状态下。
1.3计算机网络系统的安全问题
计算机网络系统主要是由网络硬件平台与操作系统两者构建而成的,两者在日前的计算机技术下都还未达到完美,存在技术方面的缺陷,不能说是一定安全的,因此,在系统构建的源头就已决定该网络是具有Back-Door的。正是基于此,要想保障校园网络的安全性,那么如何搭建一个科学合理的网络安全管理系统就成为了一项不容忽视的重要措施。
2高职院校计算机网络安全系统的设计
各种系统都是由各种不同的结构单元互相配合搭建而成的综合性管理平台,其中校园计算机网络系统所构建的安全系统通常包括SNMP协议、路由访问控制技术、VLAN虚拟局域网技术、网络用户身份认证技术、边界防火墙技术、入侵防御技术等,本文主要从网络用户身份认证技术、边界防火墙技术和入侵防御技术三个方面来简要介绍校园的网络安全管理系统。
2.1边界防火墙技术
在校园计算机网络与外部互联网进行连接时,边界防火墙利用计算机软件技术、网络技术、密码技术、安全协议与技术等,能够隔绝网络内部和外部系统,只要内部网络保持相对独立,不受外在网络信息的影响,网络就能够保持正常状态,对于一些突发性和大范围长时间的网络攻击,也能起到抵御的作用。在一定程度上起着过滤内外信息通信的作用。尤其是对于校园网络与外部网络、总网与子网之间的网络攻击能够起到较好的抵御作用。
2.2网络用户身份认证技术
网络用户身份认证技术,当下在国内的高校已经成为计算机网络安全管理的常规手段,并且起着重要作用。每个终端在网络服务器后台都会分到一个独有的IP地址与用户登录名,用户在进行校园网络连接时只有将正确的用户名输入进去才能够获取权限继而完成通信连接,这样就可以阻挡不合法的外来用户侵入计算机网络系统,保障计算机网络的安全性。某些高校在构建校园网络安全系统中,对IP地址进行分配时,采用绑定该IP与电脑MAC的手段,这就使得网络用户名登录时,若不是本电脑、本IP将限制其登陆权限,使得计算机网络可以阻止网络伪装访问该系统,实现网络登录的安全控制。
2.3入侵防御技术
入侵防御技术,它是计算机网络系统安全管理的重要内容,需要软硬件两方面的配合,这种网络安全管理技术可以鉴别用户的访问目的,检查数据包的内容以及来自黑客的攻击,强破中断该来源用户名、IP地址的网络连接,并及时清除该数据包。入侵防御技术主要防御的是网络攻击,这种攻击来自于内部终端和网络的连接过程中,并且通过局域网影响到下面的子网,有利于网络系统安全性能的提升。入侵防御技术在技术层面的主要特征有:(1)实时监测性,它采用嵌入式的运行方式用以实时监测数据包的来源与攻击;(2)准确性,它可以深入研究与控制数据包,以得到准确的正常运行数据与恶意攻击数据;(3)在通信过程中,这种完备的入侵特征库,能够马上检测是不是网络恶意入侵行为。从这些特征可以看出,入侵防御技术具有全面高效的特点,技术相对完善,所以适应于高校计算机的网络安全建设,也是比较可靠的。
3结语
总之,计算机的网络安全问题,关系到高职院校教学工作者的正常教研活动的正常进行,也关系到学生的日常生活,计算机网络安全管理系统的设计,能够有效的保证学校教学的秩序有条不紊,其技术需要不断的开发和改进,从而形成可靠的技术保障。
作者:熊磊 单位:汉中职业技术学院
参考文献:
[1]蔡昂.高职院校计算机网络安全管理系统的设计与实现[D].天津:天津大学,2012.
[关键词]计算机网络工程;安全问题;相关对策
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2017)13-0170-01
计算机网络安全要求不仅是指避免木马病毒的侵犯,其还涵盖了通信的连通性与网络硬件安全性等多方面的内容。在计算机实际运用过程中,计算机网络往往会受到多方面的网络威胁,而安全问题的存在虽然为网络安全运行造成了重大的危害,但是该问题的存在也对实现计算机网络发展起到重要的促进作用,在不断受到威胁的同时,也不断的进行防范技术创新与优化。所以,相关技术人员在面对网络安全危险时,应当积极将问题的破坏力量转变为促进作用。
一、当前网络攻击的主要特征
在当前网络攻击是主要的网络工程安全问题,其在实际发生过程中主要呈现以下的攻击特征。其一,网络攻击问题往往会造成较大的损失,这主要是由于黑客在开展网络攻击时所选择的对象为连接网络的计算机。所以,其在网络的传播效果下将会导致大量的计算机出现安全问题,以至于损失严重。其二,在一定情况下,网络攻击会导致社会与国家的安全面临挑战,这主要是由于在当前,部分黑客的攻击目标是政府机密文件,若该攻击实现,就将会对国家与社会造成灾难性的损失。其三,黑客在进行网络攻击时所采用的手段呈多元化和隐蔽性特征。其主要是指黑客在利用网络攻击来获取网络保密信息或者破坏防火墙时所采用的方式多种多样,且在攻击伤害形成之前难以被察觉。其四,网络攻击的实现大多数是软件攻击。其主要是指在实际攻击过程中主要是依靠软件作为基本载体来入侵用户的计算机并对其进行攻击。
二、当前面临的网络工程主要问题
(一)网络工程本身存在的脆弱性质
从计算机网络的基本特征来看,其始终处于开放状态,本身就存在着一定的脆弱性质,导致网络安全问题的发生。详细来说,其就是指在网络环境中,网络传输与网络共享是不被限制的工作形式,在此特性下,网络工程的安全性能就会面临多项挑战。而其本身的脆弱性主要表现于自由性、国际性以及开放性等基本特征中。这些特征的存在为黑客的攻击实现提供了平台与途径。
(二)操作系统中存在的安全隐患
计算机所用的操作系统主要是为计算机的网络传递与共享提供技术与操作支持,其本身就容易发生安全问题。简单来说网络操作的实现离不开操作系统的支持。所以,当操作系统发生问题,就将会对网络安全造成巨大的影响。操作系统提供多项管理功能,其最为主要的管理功能的实现就在于软件与硬件两个部分。硬件与软件设备共同组成计算机网络,实现计算机稳定运行离不开基础的自然条件保证,所以,网络安全的实现离不开自然环境的保证。
(三)计算机病毒造成的安全问题
计算机病毒主要是指恶意代码组合,非法侵入计算机程。病毒的入侵主要是利用网络结构中的漏洞展开破坏工作的。具有较强的破坏性,对硬件与软件系统的伤害较大。其还具有自我复制、隐蔽性、潜伏性以及传播性的特征,导致网络工程中的多种安全问题发生。例如,蠕虫病毒、木马病毒等。
(四)计算机漏洞导致的安全问题
网络工程本身具有驮有杂胩厥庑裕所以网络漏洞难以避免。黑客往往会利用以上漏洞进行网络攻击,危害计算机安全性。导致漏洞出现的原因包括软件漏洞、硬件漏洞以及网络配置失误以及程序设计失误等。黑客会对以上漏洞进行深入分析,从而建立破坏手段,寻求破坏机会。所以,这些漏洞的存在对于网络工程的安全造成挑战。
三、安全问题解决的相关对策探究
(一)加强技术防范工作
完善的技术防范工作的开展主要可通过技术管理制度的建立,管理人员的素质培养,网络系统的安全规范等方面进行展开。同时还应当注重针对重要信息保护开展的数据备份与管理换工作,并实现责任划分。同时要加强网络访问的有效控制,设立严密的访问权限,避免出现非法访问。另外,还应当完善用户的权限管理工作。实现网络工程自身的抗病毒能力提升,这可利用杀毒软件应用与防火墙设置来实现,对网络中的相关信息进行实时监控,避免信息外泄。
(二)加强管理投入力度
安全管理工作是提升网络工程安全性的重要工作,在实际工作中不能只依靠技术防范来实现安全保证。安全管理工作的开展可主要通过以下形式来实现,建立专门的法律法规来保证网络安全同时对黑客的行为进行限制。可在实际管理管理工作开展中往往存在着人为因素的限制,造成管理工作难度的提升。所以,要保证网络安全管理工作质量的提升,还应当不断实现管理人员的安全意识提升。
(三)建立完善的安全保障平台
网络工程的安全保障需要安全的物理环境作为基础,例如机房设置等。在进行机房位置选择时应当充分就自然环境环境等可能造成的物理灾害进行综合考虑,同时也要避免人为因素所造成的破坏。相关技术人员应当加强对虚拟地址的访问控制管理技术的提升,设立完善的用户权限,加强操作过程中的身份识别保护。这种做法能有效避免非法入侵的发生。
(四)注重综合防范措施的制定
综合防范措施的制定主要可通过以下方式来实现。首先加强网络安全教育,提供管理人员的网络安全意识。其次,实现网络管理质量的提升,加强管理人员的专业技术优化。另外,可通过口令与密码建立来实现用户的权限分级,同时还可加强密码技术的应用与优化。此外,管理人员还应当加强防火墙的防范技术的研究,防火墙技术与侵入检测系统的有机结合。
四、结束语
随着我国信息化进程的不断推进,计算机网络在为人们的生活带来更多便利的同时也面临着更多的安全威胁。在网络运行过程中,其所面临的安全问题十分广泛且较为复杂,对人民的生活与网络安全稳定运行造成巨大影响。所以,加强预防与解决相关安全问题十分重要。相关的技术人员应当不断就当前的网络攻击特征以及安全问题进行深入分析,并在这基础上积极就实现安全问题防范与问题解决进行技术探讨,推进我国网络运行的安全稳定建设。
参考文献
[1] 熊芳芳.浅谈计算机网络安全问题及其对策[J].电子世界,2012,22:139-140.
[2] 乔亮,肖明华,李琳.计算机网络工程安全问题及其对策[J].科技展望,2014,22:12.
[3] 韩菁,张京辉,程婧.浅谈计算机网络工程安全问题及其对策[J].网络安全技术与应用,2015,05:35+38.
[4] 罗涛.浅谈计算机网络安全问题及其对策[J].中小企业管理与科技(下旬刊),2010,04:204-205.
【关键词】 NGFW;UTM;应用识别
1 引言
防火墙是一类防范措施的总称,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。
Gartner的报告显示,从2005年开始,全球防火墙市场已开始呈逐年递减趋势。市场的增长源自用户的需求,而衰落,正恰好说明用户的需求在发生改变。防火墙产品从上世纪90年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已接近60万个。业务低延迟、高可靠保证和智能化安全管理,都对网关安全产品的性能和功能提出了新的要求,因而催生出革命性的防火墙产品——下一代防火墙(Next Generation Firewall,以下简称NGFW)。
2 NGFW的定义及特点
2009年,Gartner首次在《Defining the Next- Generation Firewall》一文中定义了NGFW这个术语,用来形容应对攻击行为、业务流程和使用IT方式不断变化的防火墙产品发展所要经历的必然阶段。Gartner认为,NGFW是一种能够真正满足用户当前需求的集成式线速网络平台,可执行深度流量检测,阻止攻击。
下一代防火墙具有的最低属性。
1) 支持联机“bump-in-the-wire”配置,同时不会干扰网络运行。
2) 发挥网络传输流检查和网络安全政策执行平台的作用具有的特性。
* 标准的第一代防火墙功能:具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等。
* 集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向IPS加载恶意传输流。这个例子说明,在NGFW中,应该由防火墙建立关联,而不是操作人员去跨控制台部署解决方案。集成具有高质量的IPS引擎和特征码,是NGFW的一个主要特征。
* 应用识别与全栈可视性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。
* 超级智能的防火墙:防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。
3) 支持新信息流与新技术的集成路径升级,以应对未来出现的各种威胁。
3 NGFW与传统防火墙和UTM的区别
传统防火墙只能提供一般意义上的数据包转发和拦截功能,以及一些简单的包检测机制,重点的防护还仅仅是停留在OSI模型的四层以内。如果用包裹来做比喻,也就是只检查了纸箱而没有检查里面的物品,因此对应用层的攻击无能为力。
UTM和传统防火墙相比,确实增加了很多过滤功能,包括应用层的识别和过滤。但是UTM是将防火墙、IPS、AV等功能简单地叠加在了一起,采用串行扫描方式,这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。
NGFW之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。NGFW产品自设计之初,就采用了一体化的引擎。它会一次性地对数据流完成识别、扫描,因而可以达到更高的性能。此外,由于NGFW支持虚拟化,使其拥有更为灵活的架构与扩充性。
4 NGFW的应用场景(见右表)
5 结束语
今天的网络安全市场已经发生了巨大变化,越来越多的厂商也开始加入到下一代防火墙的队伍中来。Gartner预计到2014年底,用户采购防火墙的比例将增加到占安装量的35%,60%新购买的防火墙将是NGFW。而对于用户端,越来越复杂的应用需求和迫切希望整合管理变得更加普遍,“下一代防火墙”早晚会变成未来人眼中的“这一代防火墙”。
参考文献
[1] 王梦龙,毕雨,沈健.网络信息安全原理与技术.北京:中国铁道出版社,2009年.
[2] 吕颖轩.构筑新一代网络安全屏障[J].电信网技术,2011(03).
[3] 宋劲松,蕾奥.防御在入侵那一刻[J].中国计算机用户, 2005(48).
[4] 段红. SSG:延展UTM理念[J].计算机安全.2006(09).
【关键词】计算机网络;网络安全;防范技术
随着知识经济时代的到来和计算机网络的不断发展,信息全球化已成为发展的大趋势,信息是一种宝贵的资源,越来越多的人认识到需要保护重要信息的安全,安全问题已经成为全社会普遍关注的重大问题,网络安全是信息安全的热点。但是由于计算机网络具有多种的连接方式、网络的开放性和互连性等特征,致使了网络很容易就会受到各方面攻击。因此,只有针对目前各种不同危害及计算机网络安全的主要因素,采取必要的措施,才能确保网络信息的保密性、完整性和可用性。
1.计算机网络及其安全概念
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。计算机网络安全则是指计算机信息系统和信息资源不受自然和人为有害因素的威胁和危害。计算机安全的范围包括实体安全、运行安全、数据安全、软件安全和通信安全等。实体安全主要是指计算机硬件设备和通信线路的安全,其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全,其威胁主要来自信息被破坏和信息被泄露。
2.危及计算机网络安全的主要因素
造成计算机网络系统不安全的因素很多,常见的有以下几个方面:
2.1计算机病毒
自从计算机病毒出现以来,病毒的种类、感染对象越来越多,传播速度越来越快,对计算机系统的安全造成了危害,随着因特网的发展,各种病毒也开始利用网络进行快速传播,一些携带病毒的数据包和未知邮件,如果你不小心打开了这些邮件,计算机就有可能中毒,对网络信息安全构成了极大的威胁。
2.2计算机黑客
黑客只需一台计算机、一条电话线、一个调制解调器就可以远距离作案,他们翻阅资料、侵犯隐私、收集情报、窃取机密,主要攻击目标是政府、军事、邮电和金融网络。他们利用对方系统的漏洞使用破译程序对截获的系统密码加密信息进行破译,以获取具有较高权限的帐号;利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱以获取进一步的有用信息;通过系统应用程序的漏洞获得用户口令,侵入系统。
2.3侵犯知识产权
计算机网络的发展给知识产权的保护带来了新的课题。随着因特网的不断发展,加入其中的计算机越来越多,如何保护联网的计算机个人数据免遭来自网络的攻击,给网络的信息安全提出了新的挑战。
2.4信息垃圾
信息垃圾是利用计算机网络传播违道德及所在国家法律及意识形态的内容,如一些污秽的、种族主义的或者明显意识形态倾向的信息等。这些不健康的东西不仅对未成年人造成了极大的危害,甚至对国家安定、社会稳定造成危害。
3.计算机网络安全隐患的特点
基于上述危及计算机网络安全的主要因素,我们再来分析一下计算机网络安全隐患的特点:
3.1造成巨大经济损失
网络上的计算机一旦被攻击、入侵成功,将会使其处于瘫痪状态,给其用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元,平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。
3.2威胁社会和国家安全
一些计算机网络攻击者出于各种不可告人的政治目的,经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
3.3手段多样,隐蔽性强
一是可以通过监视网上数据来获取保密信息;二是可以通过截取帐号和口令入侵计算机系统;三是可以借助特殊方法绕过防火墙等等。这些五花八门的攻击手段过程,都可以在很短的时间内通过任何一网的计算机完成,并且不留痕迹,隐蔽性很强。
3.4以攻击软件为主要特征
几乎所有的网络入侵都是通过对软件的截取和攻击,从而破坏整个计算机系统的。这完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。
4.计算机网络安全的防范技术
4.1路由选择技术
计算机网络中的网络层的主要功能是将分组从源端机器经选定的路由送到目的端机器。在大多数网络中,分组的数据需要经过多次转发才能到达目的地,有线网络如此,无线网络也不例外。
如果发送数据的路径不合理,经过的设备太多会对数据的安全带来极大的危险,最短路径就是路由选择算法需要解决的问题,路由选择算法和它们使用的数据结构是网络层设计的一个主要区域。路由选择算法是网络层软件的一部分,负责确定所收到分组应传送的外出路线,目的非常简单,找一条从源到目的地的一条“最好”路径,而“最好”路径常常是指具有最小花费的路径。路由选择算法需要有正确性、简单性、健壮性、稳定性、公平性和最优件等特征。路由算法的给定一个代表该网络的图,找到从源到目的地的最小花费路径要求能够找到一条由一系列链路组成的路径,其中:路径中的第一条链路连接到源,路径中的最后一条链路连接到目的地;对于最小花费路径来说,路径上的链路花费的总和是源到目的地之间所有可能的路径的链路花费总和的最小值。如果所有的链路花费相同,那么最小路径也就是最短路径。
4.2数据加密技术
数据加密技术是指将一个信息经过加密钥匙及加密函数转换之后变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙还原成明文。数据加密技术是为提高信息系统及数据的安全和保密性,防止秘密数据被外部破解所采用的主要手段之一,需要和防火墙配合使用。
我们对于比较重要和机密的WORD、EXCEL等电子文档,可以设置打开密码,即没有密码就不能打开文档,或者设置只读权限,以保护自己的知识产权。对于一些重要文件,我们可以用WINZIP的压缩功能进行压缩,同时设置压缩的密码,这样打开压缩文件时就需要密码,这就是数据加密技术的最基本的应用。
4.3防火墙技术
防火墙是一种安全防护措施,需要和数据加密技术配合使用。防火墙技术就是一种保护计算机网络安全的技术性措施,是在内部网络和外部网络之间实现控制策略的系统,主要是为了用来保护内部的网络不易受到来自因特网的侵害。目前,防火墙有两个关键技术,一是包过滤技术,二是服务技术。此外,还有复合技术以及其他技术。
我们平时常用的ICQ、QQ、MSN等通讯软件均可以在线传输,但是来源不可靠的传输内容应该拒绝接收;即使可靠,接收后也要经过杀毒软件的扫描方能运行,因为现在在程序中很容易植入木马或病毒。此外,我们聊天的时候,也会受到别人攻击,为了安全起见,就可以安装QQ的专用防火墙。
5.结语
计算机网络安全是一个综合、交叉的学科领域,它涉及到了物理、数学、计算机技术等多种学科的知识和最新研究成果,今后还需在安全体系结构、安全协议、现代密码理论、信息分析和监控等几个方面继续开展多种的研究并出成果,为我国的信息与网络安全奠定坚实的基础。 [科]
【参考文献】
[1]李文英.计算机网络安全技术及其防护研究[J].科技广场,2010(09).
【关键词】云计算;云安全;网络安全
2006年,谷歌提出“云计算”(Cloud Computing)的概念,它让用户使用计算资源变得非常便利。打个比方,就好比每个用户自己从采购发电机自己发电、供电转向了电厂,用户按需付费的模式。云计算意味着计算能力也可作为一种商品进行流通,像水电一样,取用方便,费用低廉。
按照云计算提供的服务层次来区分,一般可分为IaaS、PaaS、SaaS三种模式,笔者在此大胆的预测,随着人工智能的发展,人工智能和云计算在不远的未来会不会结合起来,产生新的模式RaaS(需求即服务,Requirement as a Service)。当然,这里不做过多的讨论。
我们在享受云计算带来便利的同时,也不能忽视由云计算带来的安全挑战。我们来看一下云计算带来了哪些改变,这些改变又出现了哪些安全挑战及如何去解决这些挑战。
1 操作系统独立控制硬件资源的模式被颠覆
在传统的计算架构中,每台物理计算机上只能同时运行一个操作系统。无论这个操作系统是Windows还是Linux或者Unix,计算机的所有硬件资源如CPU、I/O、存储、网络等统一由这个操作系统调度分配,不存在多个操作系统争抢同一台计算机的硬件资源。但是,在云计算模式下,它提供底层支持的虚拟化技术改变了这一切。这种技术使得同一台物理计算机上运行了多个虚拟操作系统,这些虚拟操作系统共享了同一台物理计算机的CPU、I/O、存储、网络等资源。这些虚拟操作系统不再直接调用底层物理计算资源,操作系统和物理计算机之间多了一层中间层,即虚拟化系统的核心HyperVisor层,HyperVisor层实现了对物理计算机的硬件资源的调度、分配。
实际上,HyperVisor层从某些方面来看就是个中间件系统。不过我们常说的中间件协调的是底层软件资源,如数据库资源等,提供上层应用系统统一调用的接口。而HyperVisor协调的是底层硬件资源,提供给操作系统统一调用的接口。
分析到这里,问题就来了,我们知道在编写应用软件的时候,如果需要用到某种中间件软件,我们需要遵循它的标准来编码并编译。那么,我们在HyperVisor上运行的操作系统及应用软件本质上是否也应该如此去做?实际上,目前的做法是,虚拟化的厂商做了这种适应,他们推出的虚拟化底层软件适应了常见的一些操作系统软件。这样,在这些虚拟操作系统上运行的应用软件基本不会受到虚拟化架构改变带来的影响。但是,对于安全软件,事情就没有这么简单了。因为安全软件(尤其是防病毒软件)的权限非常高,在某些方面基本和操作系统一致的。就是说,在这些虚拟操作系统上运行的安全软件在某种程度上可以直接请求I/O、存储、网络等资源。显而易见,安全软件挑战了HyperVisor这个“硬件中间件”的权威,它的存在足以引发虚拟化架构最常见的一个问题――“I/O资源冲突”。
我们可以做一个实验,在一台物理计算机上虚拟出10~15个操作系统,在这些虚拟操作系统上安装防病毒软件,在某个时刻同时执行防病毒软件的“本地扫描”功能。我们可以看到,整个虚拟化系统的性能变得非常慢,甚至接近停滞。这个现象我们通常称之为“防病毒风暴”。
为了解决这个问题,目前有两种做法,一种是绕开这个问题。简单的说,就是在防病毒软件内部强制设定,不能同时扫描、不能同时更新等。但这个做法除了可能带来的安全隐患外(如多个虚拟操作系统同时中病毒时无法应对),更大的问题是带来了管理的难题,如安装、管理、策略跟随虚拟机漂移、引擎更新等。另外一种就是重新设计一种防病毒软件,在软件设计之初就遵循HyperVisor这一“硬件中间件”的标准,防病毒软件只需要安装一套在HyperVisor上,不需要在每台虚拟操作系统上都安装,从根本上解决这一问题,也完全解决了上述的管理难题。
2 安全边界的改变
我们在讨论网络安全的时候,有一个必然的命题--安全边界,安全边界是我们设计及实施网络安全的很重要的一个因素。在传统的网络体系架构中,安全边界非常清晰,我们只需要根据应用防护等级、使用者权限等级等策略来设计我们的网络安全。但云计算及虚拟化改变了这一切。在虚拟化的体系中,我们常常谈到的是“主机虚拟化”、“存储虚拟化”、“网络虚拟化”。我们来看看主机虚拟化改变了什么,前文我们提到HyperVisor,实际上,有了HyperVisor,在同一台物理计算机上虚拟出来的多台虚拟机之间的互相通信是完全被封装在HyperVisor层中的,也就是说,我们在传统的网络边界部署的防火墙、IDS/IPS、审计设备等等完全成了摆设!虚拟化技术新生成了一层虚拟交换层,我们的传统安全软件或设备对发生在这个虚拟交换层的事情无能为力。
谈到网络安全,几乎所有接触过网络安全的人都知道一个非常有名的原理――木桶原理,决定这个网络的安全级别的是组成这个网络的最不安全的一个单元。在传统物理机时代,通过安全域的划分,通过一些隔离手段,我们可以把我们的网络看成一个个“小木桶”,一个网元的安全问题可能影响的是它所在的一个“小木桶”。云计算及虚拟化的时代,我们的网络已经融合成了一个“大木桶”(虚拟化的标准化、资源池化、资源融合),任何一个网元的安全问题可能影响的就是整个“大木桶”。
要解决这些问题,我们需要具备对虚拟化HyperVisor的虚拟交换层做安全管理的能力,即我们的防火墙、IDS/IPS、审计系统等要具备管理这个虚拟交换层的能力。只有将防火墙、IDS/IPS、审计系统等部署于HyperVisor,我们才能真正管理这个安全边界,才能像管理传统网络一样具备将网络划分成一个个安全级别、防护级别等不同的“小木桶”,才能从网络安全层面真正管理好虚拟化及云计算系统的所有网元。
3 网络安全可视化的挑战
我们讨论网络安全,网络安全的“可视性”是必不可少的话题。就像我们的“平安城市”建设第一步是部署摄像头一样,网络安全的基本要求也是“可视性”。
APT(高级持续性威胁)是目前最新的攻击方式,APT具备几个主要特征,如攻击代码新颖(用传统的防病毒软件、IPS等无法识别)、攻击一般由潜入目标内部网络开始(如邮件夹带第一段代码潜入用户网络以绕过用户的防火墙、IPS等,区别于以往的破解边界防护来攻击)、攻击行为潜伏性极强等。前文我们提到云计算及虚拟化带来了新的边界,其实,云计算的发展还模糊了边界,云计算使得使用者可以分布于任何地方。这种改变也增加了APT攻击潜入网络的入口。
APT攻击作为一种威胁性极强的安全威胁,国家从战略高度已经重视并研究这一议题。2013年国家发改委的一份文件中明确提出了防范APT攻击的要求,并明确提示防范APT攻击需要用到虚拟沙盒系统。
关键词:信息安全;研究现状;发展趋势
中图分类号:TP319 文献标识码:A 文章编号:1009-3044(2012)31-7456-03
21世纪是信息高速发达的时代,人们的日常生活离不开信息的传递,如:电话、手机、网络、电子邮件等已经成为人们生活的重要组成部分。随之而来的信息安全问题也逐步暴露出来,引起了人们的广泛关注。信息安全是以信息论、计算机科学和密码学等相关学科为基础,通过采用计算机系统或者通信网络等技术保护信息,使信息能够安全保密真实完整的进行传递。其中安全性是指信息在传递过程中不能被截获或者外泄,真实性是通过核对信息的来源来保证信息安全,完整性则是保证信息在传递的过程中不会被更改或破坏,保密性是指信息即使是被截获也难以得到确切的内容。目前我国信息安全已经成为了研究的热点,其核心为密码技术。
1 我国信息安全的现状
目前信息安全问题是全世界需要共同面对的问题,特别是在我国,机构复杂庞大的各类政府机构、企事业单位构建的信息系统普遍存在着信息量大,系统类目繁多,用户的计算机使用能力千差万别等问题。在信息安全防护方面,普通用户仅使用杀毒软件和防护墙,计算机的信息安全意识十分薄弱。2008年,普华永道公布的度全球信息安全调查报告中指出,中国内地企业的信息安全防护和管理比较落后,特别是在信息安全与隐私保护等方面远远落后于印度。同时金山公司出台的中国互联网安全报告显示,金山毒霸在2008年截获的新增病毒或木马已达13899717个,较2007年相比增长了48倍。病毒和木马的疯狂增长已经成为不可不面对的信息安全问题。因此,国家高技术研究发展计划(863计划)已经将信息安全列为信息领域的重要内容,同时信息安全已经成为“十五”国家科技攻关计划七项任务中重要的发展方向。此外,针对目前存在的网络黑客等犯罪行为,刑法中增加了针对此类问题处罚的相关条款。社会需求的日益增长,使信息安全发展为一项世界性的新兴产业,目前关于全球信息安全产品和服务的产值约为232亿美元,其中美国最多,其次为欧盟。而此方面我国的信息产业特别是信息安全的相关产业信息十分落后,大量的问题急需解决。
社会经济的快速发展,各种信息安全问题的出现,要求提高我国政府的宏观管理能力。特别随着信息安全新兴产业化的不断推进,以及我国对世界信息安全事务的认同和参与、对信息安全的法律意识的增强、法治建设环境的日益完善,政府在信息安全管理上的发展速度也不断加快。目前我国的信息安全主要存在以下问题:
1)信息产业化程度较低,信息技术对外依赖度高,自主创新能力差。在我国,信息技术特别是有关信息安全方面的技术和产品,基本来源于国外,如构建信息网络需要的网管设备和软件。缺少资金的核心技术直接导致了我国的网络信息安全较差,十分容易受到攻击,或者信息被截获和破坏。据调查,目前我国的网络在信息传递中主要存在被窃听、干扰、监视和破坏等各种信息安全威胁,目前我国网络安全呈现出较为脆弱的状态。
2)信息技术和产品对外依赖度高是我国网络安全问题突出的主要原因。此外,对引进的各类设备和软件没有进行必要的技术改造和完善的管理也是造成信息安全的重要原因。在我国,计算机水平普遍较低,人们对计算机信息防护的意识十分薄弱,许多政府部门和企事业单位直接引进国外的设备和软件,缺少对这些软件和设备进行必要的改造和检测,造成入侵其网络信息系统,截获和破坏其信息,造成部门信息的泄露。
3)一方面,在我国普遍缺乏对网络信息安全保护的意识,另一方面,技术条件的落后造成我国网络信息安全的防护能力普遍偏弱。我国目前信息化建设的速度十分惊人,机会每个单位都有自己的网络信息网站,尤其是“政府上网工程”的全面推动,目前各级政府均有了自己的门户网站,然而许多信息网站缺少防火墙设备、安全审计系统、入侵监测系统等防护设备,信息安全隐患十分明显。有研究表明,中国已经成为网络黑客攻击最严重的受害国之一。
此外,发达国家在像我国输出信息安全技术的时候进行了保留也是造成我国信息安全技术不完善的重要原因。
2 信息安全发展趋势
2.1信息安全技术的发展趋势
总体上讲由于信息安全技术是以计算机技术为职称,因此我国的信息安全技术的主要呈现出可信化、网络化、标准化和集成化四个趋势。
可信化:近年来,传统的信息安全理念也难以应对严峻的计算机安全问题。因此,信息安全会摈弃传统的计算机安全理念,以发展可信计算理念的信息安全为主要突破点,即将安全芯片装入硬件平台上,将原来的计算机变为“可信”的计算平台。有关可信计算机理念的信息安全已开始展开探索,但是仍有许多问题有待进一步研究,如基于TCP的访问控制、基于TCP的安全操作系统、基于TCP的安全中间件、基于TCP的安全应用等。
网络化:目前信息安全中存在的问题如网络病毒、木马等都是有网络化带来的,网络的普及为人们带来便捷的信息传递的同时,也带来了一系列安全问题。因此网络信息安全的核心技术的研究和探索也是由网络应用、普及而引起的变革。因此网络是推动信息安全技术改革和创新的缘由,是引发新技术出现和倡导新应用领域的原因,未来网络化特别是网络安全管理和安全监测将是信息安全技术发展的重要趋势。此外,网络可生存性,网络信任也需要重点研究和探讨。
标准化:各行各业都有自己的标准,目前信息安全各方面的标准的研究和制定在我国已经引起了足够的重视,特别是目前信息安全技术的专利标准化已逐步被人们接受。我国要想发展自己的信息安全技术,并在全球范围内应用,必须要高度重视信息安全的的标准化工作,特别是信息安全标准的的进一步细化研究以及相关政策的出台应引起政府和学术界的高度重视。如基于加密算法、签名算法等的密码算法类标准、安全认证与授权类标准(PKI、PMI、生物认证)、安全评估类标准(安全评估准则、方法、规范)、系统与网络类安全标准(安全体系结构、安全操作系统、安全数据库、安全路由器、可信计算平台)、安全管理类标准(防信息泄漏、质量保证、机房设计)等。
集成化:目前有关信息安全的技术和产品十分多,多为单一功能,这种信息安全产品的推广和应用较难。因此如何将过去多个单一功能的技术与产品,融合为一个具有多功能的信息安全技术和产品成为未来发展的趋势。此外也可以开发多个功能相结合的集成化产品,不在开发单一功能的产品。此外,信息安全产品的技术方面将向硬件化和芯片化的方面发展,高安全度和高速率的硬件和安全芯片也是未来信息安全技术发展的重要趋势。
2.2信息安全其他的发展趋势
信息交换和传递中的“安全”仅仅为相对安全,但“不安全”则是绝对的。特别是计算机技术的日新月异,使信息安全标准不段的发生变化,信息安全不断呈现新的问题。因此信息安全的主要特征是“发展”和“变化”,针对信息安全的主要特征信息安全将呈现以下发展趋势:
1) 信息安全重要性会越来越引起人们的关注,信息安全是一个综合的系统工程,构建安全的信息系统的是体现一个国家的综合国力的重要指标之一。信息安全的构建必须基于一个强大自主研发的技术支持,如(密码学、芯片技术、硬盘技术等),同时配备高效的管理模式,才能形成安全可靠的信息安全系统。以为有效地防护国家信息安全、社会经济的发展提供保障。
2) 信息安全概念在不断扩展,信息安全的概念主要包括信息的保密性、完整性、可行性和可控性等。信息高度发达的社会,信息安全问题的多样性是信息安全方法不断更新的主要原因,是信息安全概念需要不断深化的主要原因,因此信息安全概念的基础理论和应用技术也需要不断的改进。
3) 信息安全是一个复杂的巨大系统,信息安全问题的出现是现代信息系统的高速发展带来的负面效应,信息安全解决的方法离不了新技术的支持,新的技术,新的方法不断的代替旧的方法信息安全技术。特别是防火墙技术,病毒与反病毒技术等。
3 信息安全保护策略
3.1改进网络安全技术
网络安全技术的改进是实施信息安全防护的主要渠道。密码设置是保证网络安全的重要手段,用户可以通过设置密码和管理密码保护自己的信息安全,一般来讲,密码设置时尽量不要用自己的生日和名字等容易被猜出来的作为密码,设置一般要求6位数字以上,最好是中英文字母、数字还有其他符号等多种组合方式进行设置。密码的管理也同样重要,泄露密码是导致网络系统被入侵的主要原因。因此在改进网络安全技术的同时还需要加强人们的安全保护意思,特别在计算机中插入U盘和移动硬盘时要进行病毒扫描,设置的各类密码要定期更换,不能随意在网上下载不明文件等。此外在网络安全技术中必须加入对网络端口和节点信息流量的实时监控,定期实现网络安全检查和查杀病毒,即使的对相关重要数据进行备份,可见建立一套安全的网络防护措施是防止信息外泄的重要手段。
3.2关键技术的创新和研发
网络安全构建关键技术的对外依赖度高是我国信息安全系统构建的重要缺陷。特别是操作系统、关键芯片和硬盘等技术的滞后,是信息安全设备和软件依赖进口的主要原因。要想突破这一瓶颈,我国必须成立属于自己的信息安全关键技术创新和研发团队,建立良好的政策,培养有潜力的研发人员,尽可能多的设计和开发属于我国自己的知识产权的硬、软件。以近几年来,我国信息安全中有突出成果的是国家密码主管部门批准建设的数字证书认证系统,此外,“双证书”与“双中心”的技术广泛应用于我国电子商务中,加上具有我国特色的管理体制,为我国信息安全系统的构建提供了基础和条件。
4 结束语
社会经济的快速发展,各种信息安全问题的出现,要求提高我国政府的宏观管理能力。特别随着信息安全新兴产业化的不断推进,以及我国对世界信息安全事务的认同和参与、对信息安全的法律意识的增强、法治建设环境的日益完善,政府在信息安全管理上的发展速度也不断加快。我国目前存在的信息产业化程度较低,信息技术对外依赖度高,自主创新能力差,对引进的各类设备和软件没有进行必要的技术改造和完善的管理等问题使中国已经成为网络黑客攻击最严重的受害国之一。而通过改进网络安全技术、完善信息系统建设、关键技术的创新和研发等一系列措施和策略对加强我国信息安全系统的构建具有重要的意义。
参考文献:
[1] 张谦,沙红,刘冰,等.国外教育信息化的新特点与新举措[J].外国中小学教育,1999(5).
[2] 阙喜戎,孙锐,龚向阳,等.信息安全原理及应用[M].北京:清华大学出版社,2003.
伴随着通讯技术与互联网技术的发展,互联网金融对于金融市场发展的营销已经越来越明显。互联网金融这种轻形式、碎片化的理性属性与传统的金融机构相比更加容易受到中小微企业的欢迎。当前互联网与金融的组合模式是由传统金融机构与非金融结构结合而成的。传统金融机构主要包括开展传统金融业务的互联网与电商化软件等;非金融机构模式主要就是利用互联网技术来进行金融服务的企业,例如P2P网络借贷、众筹模式的互联网投资平台等等。
二、互联网金融模式
(一)支付方式
在互联网金融模式下支付方式的主要特征成为了移动支付。在拥有移动通信设备的基础上利用无线通信技术来进行支付功能。第三方支付是非金融机构作为收款、付款主体支付和收取的中介平台,其能够提供网络支付、银行卡收单、预付卡等多种支付形式。根据支付方式的发展路径与用户累计来看,当前市场上最为普及的第三方支付企业运营模式可以分为独立第三方支付以及担保功能第三方支付。独立第三方支付即为给用户提供支付产品以及支付体系,包括快钱、拉卡拉等。提供担保的第三方支付即为自有B2C,C2C电商网站提供的支付模式,包括支付宝、财付通、易付宝等等。
(二)投融资方式
P2P网贷,通过网络平台来进行借贷双方的选择,借贷人群能够通过网站平台来寻找有借贷能力,并且愿意在满足一定条件的基础上借贷的人群。在传统的P2P借贷模式中网贷平台仅仅是作为借贷双方提供信息交流与沟通,完成信息价值认定以及推动其他交易完成的介质,不会实际参与到借贷的利益分配中。借贷双方是直接产生债务与债权关系,网贷平台依靠借贷双方的收费用来作为营运收入。P2P网贷的借贷期较短,金额不大,执行操作起来方便快捷,能够有效改善借贷市场上信息部队称的情况。众筹,即为大众筹资,采用预购以及团购的形式来向广大网友募集资金。通过互联网的传统特性,让创业企业、个人面对公众展示创新与众筹项目,获得广大群众的支持与资金援助。
(三)信息处理
大数据金融是对大量非结构化的数据进行处理的过程,深度挖掘客户的综合信息提供给互联网金融机构,掌握客户的消费习惯、预测客户的消费行为,让金融机构与服务平台能够在风险控制与市场营销方面有规律可循。
(四)金融渠道
互联网金融门户主要是指通过互联网来开展金融产业的销售,并且为金融产品提供第三方服务的平台。其核心即为通过搜索比价的模式,将金融产品排列开来让用户根据需求来对比挑选合适的金融产品。
三、互联网金融发展策略
(一)优化服务流程
互联网金融的快速发展依靠的是开放式的金融平台、交互式的营销手段以及扁平化的管理模式。与传统金融行业相比互联网金融行业的优势就是在于以人为本。提升线上客户体验,让客户能够利用互联网进行存、贷、赚、理一体化,满足用户需求,给用户提供更加人性化更加全面的服务;始终围绕以客户利益为中心的经营理念,让客户体会到真正的实惠,自然就会增强使用体验感。
(二)参与电商平台
传统金融机构可以参与电商平台的发展,自建电子商务平台,实施行业垂直的电商战略,将提供的产品直接摆放至网络上进行销售。不论是交易软件、投资产品、理财咨询等都能够以互联网为平台进行销售。
(三)加强网络安全建设
互联网金融网络安全的建设主要依靠计算机互联网技术的创新与发展。金融机构在信息安全领域要不断的加大安全技术投入,将互联网作为媒介,集中高技术、高水平的力量开展研发与创新。政府相关金融监管部门也要及时开展打击互联网金融犯罪行为,强化互联网安全建设。对于公众来说要掌握关于网络安全的尝试,以分别网络诈骗等行为,进一步提升网络安全。
(四)强化专业人才培养
在互联网金融的发展过程中人才的培养问题是十分基础的关键性问题。如果离开了人才的支持互联网金融将陷入发展的两难境地。在强化专业人才培养方面首先要要给予足够的资金支持,在给予有限的待遇的过程中配上一定程度的社会保障支持,相关企业可以采用补贴的措施。
四、结束语
关键词:物联网;安全架构;信息安全;防护技术
中图分类号:TP393 文献标识码:A 文章编号:2095-1302(2016)04-00-03
0 引 言
如果说计算机技术的出现和发展实现了人类与计算机的直接对话,同时互联网技术的广泛应用满足了人与人之间的交流欲望,那么物联网技术的诞生和发展就在某种程度上完成了人类与物体交流、物体互相交流的场景需求。物联网普遍被人接受的概念由国际电信联盟(International Telecommunication Union)提出,无处不在的物联网通信时代已经到来,通过生活中熟悉的用品嵌入各种信息收发装置,人们将感受与传统通信交流方式不一样的交流渠道。简而言之,物联网就是物体与物体相互连接的互联网,它以互联网为根基并与传感网、移动通信等网络进行有机融合,并加以拓展与深化。物联网具备以下三个特点:
(1)具有感知全面性,即通过感知技术脱离时空限制来获取目标信息;
(2)具有传输准确性,融合互联网与电信网络的优点,将感知信息精确发送给目标,满足实时性要求,同时物体本身还要具备数据接收和解释执行的能力;
(3)智能化应用,随着大数据时代的到来,利用先进的智能计算技术对搜集到的大量数据信息进行妥善分析与处理,实现对目标物体的控制。
物联网与互联网的差异主要体现在对网络各种特性要求上的差别,由于自身特性,物联网在即时通信、可靠性、资源准确性等方面需求更大。物联网的安全构建在互联网的安全上,需要在制定物联网安全策略时将互联网安全作为基础,还应充分考虑物联网安全技术的机密性、完整性和可用性等特点。在物联网飞速发展的今天,构建物联网安全体系结构的需求更加明显,以上这些问题都为物联网安全问题研究提供了理论依据。
1 物联网安全理论基础
1.1 物联网的安全需求与特征
当今物联网安全机制缺乏的重要原因就在于感知层的节点受到能力、能量限制,自我保护能力较差,并且物联网的标准化工作尚未完成,以致其工作过程中的信息传输协议等也未能统一标准。攻击节点身份、对数据的完整性和一致性的有意破坏、恶意手动攻击等都对物联网感知工作的安全造成威胁。目前的通信网络是人类个体作为终端进行设计的,数量远不及物联网中的感知节点,通信网络自身承载能力的局限性在某种程度上也增加了通信的安全风险。大量的终端节点接入会造成网络资源抢占,从而给拒绝服务攻击提供了条件,对密钥需求量的增加也会造成传输资源的不必要消耗。在目前的网络中,通过较为复杂的算法对数据进行加密以保护数据的机密性和完整性,而在物联网通信环境中,大部分场景中单个设备的数据发送量相对较小,使用复杂的算法保护会带来不必要的延时。
1.2 物联网安全的关键技术
物联网的融合性在我们制定安全策略时是尤为值得思考的一个问题,它集几种网络的通信特点于一身,同时也把各网络的安全问题融合起来。而且在对传统通信网络的安全性研究工作发展了一段时间的情况下,资源有限、技术不成熟等因素导致了物联网感知网络的学习建设工作更加困难。物联网安全的关键技术如图1所示。
总而言之,应用物联网安全技术时,必须全方面考虑安全需求,部署系统的安全保护措施,从而能够应对安全威胁,防止安全短板,进行全方位的安全防护。
1.3 基于物联网三层结构的安全体系结构
物联网是一种应用感知技术,基于现有通信技术实现了应用多样化的网络。我们可以基于现有各种成熟的网络技术的有机融合与衔接,实现物联网的融合形成,实现物体与物体、人和物体相互的认识与感受,真正体现物物相连的智能化。目前公认的物联网三层结构如图2所示。
1.3.1 物联网的感知层安全
物联网区别于互联网的主要因素是感知层的存在,它处于底层,直接面向现实环境,基数大,功能各异,渗透进我们日常生活的各个方面,所以其安全问题尤为重要。该层涉及条码识别技术、无线射频识别(RFID)技术、卫星定位技术、图像识别技术等,主要负责感知目标、收集目标信息,包括条码(一、二维)和阅读器、传感器、RFID电子标签和读写器、传感器网关等设备。相对于互联网而言,物联网感知层安全是新事物,是物联网安全的重点,需要重点关注。
感知层安全问题有以下特征:
(1)一些有效、成功的安全策略和算法不能直接应用于感知层,这是由于其自身的资源局限性造成的;
(2)感知节点数量大,不可能做到人工监管,其工作区域的无监督性在一定程度上增加了安全风险;
(3)采用的低速低消耗通信技术在制定安全策略和算法选择时要考虑时空复杂度以降低通信资源的消耗;
(4)物联网应用场合的差异性导致了需要的技术策略也不尽相同。
这里以RFID技术为例,由于RFID应用的广泛性,在RFID技术的应用过程中,其安全问题越来越成为一个社会热点。随着技术的发展,目前乃至将来,RFID标签将存储越来越多的信息,承担越来越多的使命,其安全事故的危害也会越来越大,而不再是无足轻重。RFID系统中电子标签固有的资源局限性、能量有限性和对读写操作的速度和性能上的要求,都增加了在RFID系统中实现安全的难度,同时还需要我们对算法复杂度、认证流程和密钥管理方面的问题加以考虑。与常规的信息系统相同,攻击RFID系统的手段与网络攻击手段相似,一般包括被动、主动、物理、内部人员和软/硬件配装等。现在提出的RFID安全技术研究成果主要包括访问控制、身份认证和数据加密,其中身份认证和数据加密有可能被组合运用,但其需要一定的密码学算法配合。
1.3.2 物联网的网络层安全
物联网利用网络层提供的现有通信技术,能够把目标信息快速、准确地进行传递。它虽然主要以发展成熟的移动通信网络与互联网技术为基础构建,但其广度与深度都进行了很大程度的扩展和超越。网络规模和数据的膨胀,将给网络安全带来新的挑战与研究方向,同时网络也将面对新的安全需求。物联网是为融合生活中随处可见的网络技术而建立的,伴随互联网和移动网络技术的成熟与高速发展,未来物联网的信息传递将主要依靠这两种网络承载。在网络应用环境日益复杂的背景环境下,各种网络实体的可信度、通信链路的安全、安全业务的不可否认性和网络安全体系的可扩展性将成为物联网网络安全的主要研究内容。目前国内物联网处于应用初级阶段,网络安全标准尚未出台,网络体系结构尚未成型,但网络融合的趋势是毋庸置疑的。
相对于传统单一的TCP/IP网络技术而言,所有的网络监控措施、防御技术不仅面临结构更复杂的网络数据,同时又有更高的实时性要求,在网络通信、网络融合、网络安全、网络管理、网络服务和其他相关学科领域都将是一个新的课题、新的挑战。物联网面对的不仅仅是移动通信与互联网技术所带来的传统网络安全问题,还由于缺少人对物联网大量自动设备的有效监控,并且其终端数量庞大,设备种类和应用场景复杂等,这些因素都给物联网安全问题带来了不少挑战。物联网的网络安全体系和技术博大精深,设计涉及网络安全接入、安全防护、嵌入式终端防护、自动控制等多种技术体系。物联网面临着网络可管、可控及服务质量等一系列问题,且有过之而无不及,同时还有许多与传统安全问题不同的特殊点需要深入研究,而这些问题正是由于系统由许多机器组成、设备缺乏管理员的正确看管,设备集群化等特点造成的。
1.3.3 物联网的应用层安全
物联网应用层主要面向物联网系统的具体业务,其安全问题直接面向物联网用户群体,包括中间件层和应用服务层安全问题。此外,物联网应用层的信息安全还涉及知识产权保护、计算机取证等其他技术需求和相关的信息安全技术。
中间件层主要完成对海量数据和信息的收集、分析整合、存储分享、智能处理和管理等功能。智能是该层的主要特征,智能通过自动处理技术实现,主要在于该技术的快速准确性,而非自动处理技术可能达不到预期效果。
该层的安全问题含盖以下几种:
(1)恶意攻击者使用智能处理期间的漏洞躲避身份验证;
(2)非法的人为干预(内部攻击);
(3)灾难的控制与恢复等。这种安全需求可概括为:需要完善的密钥管理机制,数据机密性和完整性的可靠保证,高智能处理手段,具有入侵检测、病毒检测能力,严格的访问控制与认证机制,恶意指令分析与预防机制等。
应用服务层由于物联网的广泛应用具有多样复杂性,导致它的许多安全性难点并不能使用其它层的安全协议予以解决,可认为它们属于应用层的独有安全问题,需要深入研究。主要涉及不同访问权限访问数据库时的内容筛选决策,用户隐私信息保护及正确认证,信息泄漏追踪,剩余信息保护,电子产品和软件的知识产权保护等方面。
2 物联网安全技术的未来发展趋势
目前来看,物联网安全技术还处于起步阶段,人们只是直观地觉得物联网安全十分重要,但并不能清楚其规划与发展路线。安全技术的跨学科研究进展、安全技术的智能化发展及安全技术的融合化发展等新兴安全技术思路将在物联网安全领域发展和应用中发挥出一定的作用。目前,由于能够满足物联网安全新挑战及体现物联网安全特点的安全技术还不成熟,因而物联网安全技术还将经过一段时间的发展才能完备,并在发展过程中呈现跨学科研究、智能化发展、融合化发展、拥有广阔应用前景等趋势。
未来的物联网发展和应用取决于众多关键技术的研究与进展,其中物联网信息安全保护技术的不断成熟及各种信息安全应用解决方案的不断完善是关键因素。安全问题若不能引起足够重视与持续关注,物联网的应用将受到重大阻力,必将承担巨大的风险。由于物联网是运行在互联网之上的,它以互联网为根基极大的丰富深化了人与物、人与人相互交流的方式和手段,它是互联网功能的扩展,因此物联网将面临更加复杂的信息安全局面。倘若未来日常生活与物联网联系密切,那么物联网安全将对国家信息安全战略产生深远影响。
3 结 语
物联网概念的提出与发展,将在更深入、更多样化的层面影响到信息网络环境,面对非传统安全日益常态化的情况,我们应该认真思考信息安全本质到底发生了哪些变化,呈现出什么样的特点,力求在信息安全知识论和方法论领域进行总结和突破。
参考文献
[1]吴成东.物联网技术与应用[M].北京:科学出版社,2012.
【 关键词 】 变形病毒;蠕虫;解密器;变形机;动态虚拟机
Computer Deformation Virus Development Analysis and Resolution Strategy
Lai Rui-lin
(Guangdong University of Finacce GuangdongGuangzhou 510521)
【 Abstract 】 Polymorphic Virus plays an important role in computing virus history. Form 1990s by now, polymorphic virus passes by the following stages: single encrypted virus, encrypted virus with variable keys, polymorphic virus, full metamorphic virus and networking metamorphic virus. Following by polymorphic virus, some key technologic is developing rapidly such as decryption, networking, mathematic algorithm etc. So the developing polymorphic virus brings more and more big trouble and challenge to the anti-virus skills. In the paper, a trouble shooting strategic of the latest worm polymorphic virus will be analyzed.
【 Keywords 】 polymorphic virus;worm;decrypted engine; metamorphic engine;virtual machine
0 引言
进入21世纪计算机网络时代以来,曾经肆掠一时的变形病毒遇到合适的滋生环境,又开始迅速蔓延和更新换代,目前就出现了很多网络病毒与变形病毒的结合体,如蠕虫的变形。文章除了带大家进入变形病毒的原理和发展史,更剖析了现今的网络变形病毒,以及它们的对付策略。
1 计算机病毒的分类
1.1 蠕虫病毒
蠕虫(Worm)是通过分布式网络来扩散传播自身的复制,破坏网络中的计算机或造成网络拥塞的病毒。
“蠕虫”由两部分组成:一个主程序和一个拷贝。主程序网络中的某台机器上执行,获得与当前网络的信息和软件缺陷,从而尝试主动攻击受害计算机。它首先入侵到计算机的某个或者某几个的寄存器中,使得这些目标寄存器的内存溢出,已达到在受害计算机中运行非法的程序代码的目的。
1.2 变形病毒
1.2.1 单变形病毒
单变形病毒也叫加密病毒的变种,是对病毒解密器进一步进行保护,它的目的在于把作为主要特征的解密器隐藏起来,让反病毒软件无从下手。但是这类病毒的不足之处在于,它只能生成有限种的解密器变形,而且只是通过某种加密算法进行保护。
1.2.2 准变形病毒
准变形病毒,最显著的特点是加密技术。变形机开始采用随机解密算法(RDA,Random Decryption Algorithm)。
但是正是这种随机算法给本来艰难的反病毒技术带来了转机,对于利用了此种算法的程序或者进程都认为它们是可疑代码,因为这种算法在正常的程序中使用率不高。
1.2.3 全变形病毒
全变形病毒可以描叙为“变形机能够对病毒体进行变形的病毒”。刚才分析的无论加密病毒,单变形病毒,还是准变形病毒,都有一个共同的特点,就是病毒体程序都是静态的。这些变形技术实际上就是单纯地依靠加密手段对病毒体进行保护,也就是说无论密钥如何变化,对于静态的病毒体,只要破译了解密器,解密后得到的原始病毒体代码就被打回成本来面目。
1.2.4 变形的蠕虫病毒
目前网络上的一种变种蠕虫,也就是上述介绍的蠕虫和变形病毒的结合体。当蠕虫的攻击程序段被变化成无穷个完全不同的普通程序,或是错误信息或是乱码,这些公认的防网络蠕虫软件就无从检测到它的真身。当加密后的蠕虫注入到受害计算机的寄存器时,蠕虫边解密边执行,直到寄存器内存溢出,运行非法的程序段,蠕虫的一个拷贝成功入驻到受害计算机为止。所以变形蠕虫实际上只是对攻击程序体和入驻程序体的变形。
值得注意的是,当下也出现了某种变形蠕虫它可以随机改变注入的寄存器,使得本机安全软件无法跟踪到这些经过变形的寄存器,更何谈对其进行拦截。
2 变形病毒的对付策略
在反病毒技术的众多应用中,目前最先进的当数动态启发式技术,是属于主动防御的一种。启发式指“自我发现能力”或“运用某种方式或方法去判断事物的知识和技能”,通过一个虚拟的安全环境(动态虚拟机)中前摄性的执行代码来判断其是否有恶意行为。
动态启发就是通过查毒软件内置的虚拟机,并且新加入解密引擎和扫描引擎,给病毒一个仿真运行环境,这样诱使病毒在虚拟环境的模拟缓冲区中运行。即使病毒变形了寄存器,病毒的活动范围仍然局限在可控制的模拟缓冲区里面。在整个虚拟运行过程中,如果检测到可疑的动作,则判定为危险程序并果断进行拦截。
这种启发式虚拟解密的关键的问题就是速度问题。例如如果要花费几个小时去模拟病毒的解密和入驻的话,那么这种方法就是失败的。
3 结束语
变形病毒目前已经成为计算机安全和网络安全的最大隐患之一,它的可怕之处是除了它存在无穷不可预测的变种外,还配合了最新的网络技术。因此,研究变形病毒的发展、分析其对付策略是十分必要的,本文的目的正在于此。
参考文献
[1] 刘涛,张连霞.怎样判断计算机病毒.内蒙古气象,2001(1):43-44.
[2] 肖英,邹福泰.计算机病毒及其发展趋势. 2011,6.
[3] Lyman J.In search of the world’s costliest computer virus[J]. Factor Network, 2002(2):78-81.
[4] 张瑜,李涛,吴丽华等. 计算机病毒演化模型及分析. 2009.5.
[5] 姚渝春,李杰,王成红. 网络型病毒与计算机网络安全. 2003.9.
[6] 刘俊,金聪,邓清华.无标度网络环境下E-mail病毒的传播模型. 计算机工程,2009,35(21):131-133.