网络安全存在的威胁与防范方法

网络安全的威胁与防范方法

一、前言

在当代社会，随着网络的普及和发展，我们的生活和工作都越来越依赖与网络。与此相关的网络

安全问题也随之突显出来，并逐渐成为我们不可避免的日常生活问题了，更何况大量的企业网络中所包

含的各种商业信息等更是岌岌可危。因此，明白一些简单的网络安全知识有一定的好处。

二，网络安全的主要威胁种类

计算机网络面临的主要威胁来自安全的三要素：即①人；②计算机；③信息.人为因素和运行环境

的影响为主要的。其中包括网络设备的不安全因素和对网络信息的威胁。这些网络安全威胁主要有如

下表现：

1、人为因素

人为因素分为三种情况，第一种为用户自己的无意操作失误而引发的网络部安全。如管理员安全

配置不当造成安全漏洞，用户安全意识淡薄，口令选择不慎，将自己的的账户随意转借他人或与别人共

享，密码泄露等。第二种为用户的恶意破坏。如对网络硬件设备的破坏，利用黑客技术对网络系统的

破坏。这种恶意破坏可有选择地破坏某种信息，使之缺乏有效性、完整性，也可通过截取、破译等方

式获得重要信息和资料，并不影响网络的正常运行。三是网络软件的漏洞和“后门”。任何一款软件都

或多或少存在漏洞，这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因

为安全措施不完善，没有及时补上系统漏洞造成的。此外，软件公司的编程人员为便于维护而设置的

软件“后门”也是不容忽视的巨大威胁，一旦“后门”洞开，别人就能随意进入系统，后果不堪设想。

2、基本的安全威胁

网络安全具备五个方面的特征即机密性、完整性、可用性、可控性、不可否认性。下面的四个

基本安全威胁直接针对这五个安全目标。信息泄露信息泄露给某个未经授权的实体。这种威胁主要

来自窃听、搭线等信息探测攻击。完整性破坏数据的一致性由于受到未授权的修改、创建、破坏而

损害.拒绝服务（即DOS）对资源的合法访问被阻断.拒绝服务可能由以下原因造成攻击者对系统进行

大量的、反复的非法访问尝试而造成系统资源过载无法为合法用户提供服务系统物理或逻辑上受

到破坏而中断服务。非法使用某一资源被非授权人或以非授权方式使用.

3、主要的一些威胁

一般的威胁是直接导致某一基本威胁来实现，主要包括渗入威胁和植入威胁.

主要的渗入威胁有，假冒，即某个实体假装成另外一个不同的实体。这个没有得到一定的权限而

以非法的途径进入或者访问，从而获得合法的资源利用权利或者更改权利.攻击者通过各种手段发现系

统或者网站的缺陷漏洞，并利用这些安全缺陷绕过系统防线渗入到系统内部。对某一资源具有一定权

限的实体，将此权限用于未被授权的目的，也称“内部威胁”

主要的植入威胁有，特洛伊木马，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性

的特点。陷门，在某个系统或某个文件中预先设置“机关”，使得当提供特定的输入时，允许违反安全

策略.

4、病毒

计算机病毒是现代信息化社会的公害，是目前最为常见的一种网络安全威胁的形式，也是计算机

犯罪的一种特殊形式。计算机病毒也是最不安全的因素之一。计算机病毒是一段特殊程序，其最大特

点是具有感染能力和表现(破坏)能力。计算机病毒在程序结构、磁盘上的存储方式、感染目标的方

式以及控制系统的方式上既具有许多共同的特点，又有许多特殊的技巧和方法，了解病毒程序的这些

结构和特征对于有效地预防、检测和清除病毒是十分必要的.

三：计算机网络安全的对策措施

(一)，网络安全技术加强安全防范.

1、明确网络安全目标。采用对应的措施

(a)、身份真实性：对通信实体身份的真实性进行识别。如：指纹识别、人脸识别、眼角膜扫

描、公钥加密认证等。实例有Kerberos认证、数字签名技术.

(b)、信息机密性：保证机密信息不会泄露给非授权的人或实体。如：信息加密、解密；信息划分

密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制；防止硬件辐射泄露、网络

截获、窃听等.

(c)、信息完整性：保证数据的一致性，防止非授权用户或实体对数据进行任何破坏。严格控制

对系统中数据的写访问。只允许许可的当事人进行更改。

(c)、服务可用性：防止合法拥护对信息和资源的使用被不当的拒绝。在坚持严格的访问控制机

制的条件下，为用户提供方便和快速的访问接口。提供安全性的访问工具.即使在突发事件下，依然能

够保障数据和服务的正常使用，例如可防范病毒及各种恶意代码攻击包括DDos攻击，可进行灾难备份

(e)、不可否认性：建立有效的责任机智，防止实体否认其行为。数字签名，可信第三方认证技术.

(f)、系统可控性：能够控制使用资源的人或实体的使用方式。实现信息和信息系统的认证(可认

证性即其实性)、授权(访问控制)和监控管理

(g)、系统易用性：在满足安全要求的条件下，系统应该操作简单、维护方便。

(h)、可审查性：对出现问题的网络安全问题提供调查的依据和手段

2、访问控制措施

访问控制措施的主要任务是保证资源不被非授权使用和非授权访问。访问控制是网络安全中最重

要的核心措施之一，包括3个访问控制策略：

(1)自主访问控制策略(DiscretionaryAccessControlModel)(简称DAC):

a、严格的自主访问控制

b、自由的自主访问控制

C、属主权可以转让的自主访问控制

信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标0的访问权限传递给用户B,从而

使不具备对0访问权限的B可访问0。Eg：电影票

(2)强制访问控制(MAC)

访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问.强制访问控制进行了很

强的等级划分，所以经常用于军事用途。如：BelI-LaPadula保密性模型、Biba完整性模型、Chinese

WalI安全模型。

(3)基于角色的访问控制(RBAC)

授权给用户的访问权限，通常由用户在一个组织中担当的角色来确定。“角色”指一个或一群用

户在组织内可执行的操作的集合。角色就充当着主体(用户)和客体之间的关联的桥梁。这是与传统的

访问控制策略的最大的区别所在。基于角色的访问控制方法(RBAC)的显著的两大特征是：

-1.由于角色/权限之间的变化比南色/用户关系之间的变化相对要慢得多，减小了授权管

理的复杂性，降低管理开销。

-2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

用户以什么样的角色对资源进行访问，决定了用户拥有的权限以及可执行何种操作。授权规定是强加

给用户的，用户不能自主的将访问杈限传给他人。

主要实例：

①文件系统的访问权限：对文件系统的访问控制，仅适用于采用了NTFS的磁盘分区。可以在设置

文件或目录权限的对话框中对作用于文件或文件夹的访问控制表(ACL)进行设置。ACL中的每项ACE

(AccessControlEntries)都会为用户或用户组分配一个或多个访问文件或目录的权限级别。对文

件来说，可以设置的权限级别为“无(NoAccess)”。“读(Read)”、“更改(Change)”和"完全

控制(FulIControl)"o

②注册表的访问控制：标准的注册表键值权限设置对话框只提供了“读取(Read)”、“完全控

制(Fu11Control)”和特殊访问(SpeciaIAccess)这三个选项。同样地，在注册表键下面创建的子键

也将会自动继承其权限，当上一级键的访问权限被修改时，其子键的权限也将被重置.

③打印机的访问控制：从某种程度上来说，打印机也是系统中重要的对象。与文件系统、注册表一

样也受到访问控制列表的保护。打印机的访问权限是通过打印机属性对话框进行设置的，其中权限设置

对话框显示了用户和用户组访问特定打印机的设置。有以下4中权限可供设置：“无(No

Access)"、“打印(Print)”、“管理文档(ManagementDocuments)”和"完全控制(FulI

ControI)”°

3、网络通信安全措施

网络通信安全措施主要有：①建立物理安全的传输媒介.如在网络中使用光纤来传送数据可以防止

信息被窃取。②对传输数据进行加密。保密数据在进行数据通信时应加密，包括链路加密和端到端加

密.多数情况下，密码技术是网络安全最有效地手段，可以防止非授权用户的窃入，也可以有效防止恶

意攻击。

4、网络安全管理措施

网路系统建设者中有“三分技术，七分管理”之说。网络信息安全问题说到底，也是一个管理问

题.网络管理，是指利用软性手段对网络进行监视和控制，以减少故障的发生.一旦发生故障，能及时发

现，并采取有效手段，最终使网络性能达到最优，从而减少网络维护费用。加强网络的安仝管理，制定

相关配去的规章制度，确定安全管理等级，明确安全管理范围，采取系统维护方法和应急措施等，对网

络安全、可靠地运行，将起到很重要的作用。

（二）、物理安全措施

除了一些技术上的保护措施，物理安全性也是不容忽视的.其中包括所有网络设备的安全性以及防

火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑外，还要在网络管理制度中分

析物理安全性可能出现的问题及相应的保护措施，将一些重要设备，如各种服务器、主干交换机、路

由器等尽量实行集中管理。各种通信线路尽量实行深埋、架空或穿线，并由明显标记，防止意外损

坏。对于终端设备如小型交换机、集线器、工作站和其他转接设备要落实到人，进行严格管理