当前的网络安全形势
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇当前的网络安全形势范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
当前的网络安全形势范文第1篇
关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDA Pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
当前的网络安全形势范文第2篇
[关键词]网络通信;安全因素;防护措施
前言
随着网络通信技术的发展,通信技术得到了广泛的应用,同时也有效地推动了地方社会经济的快速发展,也为人们的生活带来了极常大的方便。网络通信技术已经成为社会中应用最广泛的工具之一,能够为人们的生活提供信息支持,是现代社会中不可缺少的一部分。网络技术带给人们极大的方便,但是网络通信技术的安全问题时有发生,网络中所具有的安全性问题也日益显现出来。如何能够抓好网络通信的安全问题,就应该有针对性的根据网络通信的安全需要,合理制定相关的政策意见,不断增强网络通信技术的安全防护措施。
1当前网络通信安全领域的现状
计算机网络开始于20世纪末期,它的兴起与发展彻底改变了人民的生活,同时,经历了多年的飞速发展,互联网的改变给人们带来巨大的变化,特别是以互联网为代表的网络行业的兴起,完全改变了人们的传统思维。虽然互联网技术发展的时间不是很长,但是它的出现使得众多的计算机网络技术和结构为人们的网络需求提供了重要的支持,很多以前不曾想象的幻想变成了现实,计算机网络技术将是未来发展的重要趋势。在信息化时代的浪潮里,网络的力量将会推动社会的进步和发展,计算机技术能够对信息数据起到收集和整理的作用,通信技术主要是用来转换和交流数据结果,进而达到信息资源的互相交流。当前的网络通信安全主要是指在现有的网络环境下,通过相关的网络技术手段所采取的安全防护措施对网络通信实施具有预防性的阻止网络系统避免遭到破坏和泄露,来保障通信网络信息技术的安全有效。随着信息技术的快速发展,相关的安全防范研究成果也在不断的更新当中,在市面上常见的网络通信防护设备也很多,如网络防火墙设备、安全路由器等都较为常见。这些通信设备的使用大大提高了网络通信的安全性能,同时还增加了人们对安全信息的利用空间,达到网络信息技术的共享,有力地保证通信领域的安全。虽然已在通信安全领域取得了一定的成绩,但是根据当前的信息网络技术环境能够看出,人们仍然面临着极为复杂的安全形势,还要加快技术手段的防护力度,最大程度的掌握网络通信技术的核心安全技术,深入剖析和研究安全技术的操作,从本质上掌握问题的产生原因,总结出改进问题的办法。
2网络通信安全问题产生的原因
2.1网络系统存在的问题
由于网络通信系统自身是由软、硬件所组成的系统,这样的系统结构很难发挥客户对信息技术的安全防范处理,就会导致安全系统容易受到入侵,盗取网络系统中的重要资料,从而引发网络通信系统的安全问题。现在的新型多媒体网络通信地普遍使用,更容易造成安全地隐患,大量的网络通信安全问题给网络正常运行造成严重地威胁。在日常生活中,这些通常的计算机安全问题会对客户造成巨大的经济损失,也会对社会的安全稳定造成不必要的影响。应该尽快建立网络通信的安全隐患处理机制,加快研发网络信息的应急处置方案。网络通信的安全问题还有很多人为原因的影响,例如:计算机系统的泄露等,这些问题也充分说明计算机网络的安全工作任重道远。
2.2网络信息的传输安全问题
网络通信在进行传输的过程中,由于在运输的设计方面有时会存在安全隐患,没有设计完备的安全保护措施就会埋下不安全因素的隐患,这样就会对通信网络的安全问题产生极大的影响,带来一定的安全隐患,有时由于传输信息的过程中没有制定相关的电磁干扰手段,就会使信息在传送的过程中受到干扰电磁辐射的影响,这样就会使一些不法分子的设备很容易接收到有用的信息资料。
2.3安全意识淡薄
现在的很多网络技术人员仍然存在麻痹大意的思想,严重缺乏网络安全防范的强烈觉悟,总是认为安全防范能力已经很高,不能受到网络的入侵,就是在这种情况下,很多的重要数据资料遭到破坏,很多的黑客利用这些便利条件实施入侵活动。
3网络通信的防范手段
要想彻底解决网络信息的安全问题,就应该下大力度从信息系统的监管上有效实施网络技术的控制。
3.1全面升级信息系统的安全防范体系
加强所有的信息系统相互之间的配合与预防,成功抵挡黑客病毒的侵入。使用通信网络时,设定不同程度的安全鉴定等级及相应的保护措施,有效地避免非法用户通过利用软件手段的漏洞进行对网络通信系统的攻击,这样也能有效的保护网络系统的安全。
3.2认真科学合理的系统管理体制
应该通过建立一套完整的系统机制,有效地增强系统的防范能力,也就是常说的加强防火墙系统的开发研制力度,特别是针对现在的新型病毒,更要加大研发力度,要定期开展系统的升级工作,有效防范各种病毒的侵入。
3.3强化用户的防范能力
在时刻注意自身的网络是否存在安全隐患,使自己的网络通信避免遭到病毒的入侵。要加强自身的网络通信管理,强化相应的防范能力,所有的安全技术和手段都只是辅助作用,还要依靠人员的自身作用。
4结语
通过上面的分析能够看出,随着通信技术的不断深入,网络信息成为了人们工作生活中不可缺少的重要组成部分。但是网络安全的隐患也时刻存在,这就要求技术人员要时刻保持积极应对的思想状态,结合行业的成功经验和做法,为有效进行网络通信安全预防做好基础。只有这样才能避免遭到巨大的损失。所以应该对这些存在的安全隐患进行排查和处理,并根据这些问题制定有效的解决办法,这样才能保证通信网络的安全,才会使网络通信领域发展得更好。
主要参考文献
[1]张咏梅.计算机通信网络安全概述[J].中国科技信息,2006(4).
[2]黄伟.网络安全技术及防护体系分析[J].微型电脑应用,2015,21(12).
[3]戴宗昆,罗万伯,唐三平,等.信息系统安全[M].北京:金城出版社,2000.
当前的网络安全形势范文第3篇
关键词:信息安全漏洞挖掘漏洞利用病毒云安全保障模式变革
一、引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
二、信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
三、漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDAPro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
3.3漏洞利用
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于Web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:
第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿IT企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。:
互联网已经进入Web2.O时代,Web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.O时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
四、结束语
当前的网络安全形势范文第4篇
【关键词】安全信息 原子态势 安全态势 数据分析;
一、引言
随着互联网的飞速发展,网络攻击事件多发,攻击黑客不断增加以及攻击手段愈加复杂,使来自网络的威胁猛烈地增长,网络安全遭受重大挑战。为了进一步加强网络安全,保护人们的日常工作、学习和生活,快速掌握当前安全形势,于是人们试图寻求一种评估当前环境“安全态势”的方法,以判断网络的安全性和可靠性。
网络安全专家Bass[1]提出了网络安全态势感知(Network Security Situation Awareness, NSSA)的概念,这种理论借鉴了空中交通监管(Air Traffic Control,ATC)态势感知的成熟理论和技术。网络态势是指由各种网络软硬件运行状况、网络事件或行为以及网络用户行为等因素所构成的整个网络某一时刻的状态和变化趋势[2]。网络安全态势感知是在复杂的大规模网络环境中,对影响网络安全的诸多要素进行提取、阐述、评估以及对其未来发展趋势的预测[3]。数据挖掘是从大量分散在各个空间的数据中自动发现和整合隐藏于其中的有着特殊关系性的信息的过程。网络安全态势评估是以采集到的安全数据和信息进行数据挖掘,分析其相关性并从网络威胁中获得安全态势图从而产生整个网络的安全状态[4]。本文基于网络的安全信息,建立网络安全态势感知评估模型,然后通过数据挖掘,分析出当前的网络安全态势。
二、需要采集的安全信息
为了分析当前网络的安全态势,需要针对要评估的内容进行相关安全数据的采集,之后可根据网络安全数据分析安全态势。网络中各种网络安全事件中最小单位的威胁事件定义为原子态势,本课题以原子态势为基础,构建需要采集的影响原子态势的多维、深层次安全数据集,具体如图1所示。
图1主机安全态势需要采集的安全数据集
(一)原子态势
主机安全态势包含多个原子态势,是整个网络安全态势评估分析的基础和核心,由此可以推出所在主机的安全状态。
(二)需要采集的安全数据
分析各个原子态势,其中包含信息泄露类原子态势、数据篡改类原子态势、拒绝服务类原子态势、入侵控制类原子态势、安全规避类及网络欺骗类原子态势,由此可以分析出需要在主机采集的安全信息数据。因为网络安全态势是动态的,所以它随着当前的网络运行状况的变化而变化,这些变化包括网络的特性及网络安全事件发生的频率、数量和网络所受的威胁程度等因素。原子态势是影响网络安全状况的基础态势,故提出原子态势发生的频率和原子态势的威胁程度两个指标去对原子态势进行评估。图1中的原子态势一般只用于分析一个主机的安全性,如果要分析一个网络的安全性,需要对网络中各主机的安全信息进行挖掘分析,进而得出整个网络的安全态势。
三、基于安全信息的态势挖掘模型
本文中使用全信息熵理论协助网络安全态势感知评估,全信息的三要素分别代表的含义如下:语法信息是指从网络安全设备中得到某一类威胁事件,并转换为概率信息;语义信息是指该类威胁事件具体属于什么类型;语用信息是某一类威胁事件对网络造成的威胁程度。
(一)网络安全态势分析过程
根据采集操的安全数据集,进行网络安全态势分析时会涉及到安全数据指标量化、评估原子态势、通过原子态势分析主机安全态势、通过主机安全态势分析网络安全态势的一系列的过程,具体如图2所示。
详细的网络安全态势分析评估流程如下:
1.从网络安全部件中提取各种原子态势,对原子态势进行预处理后提取两个量化指标:原子态势频率和原子态势威胁程度。然后根据不同类型的原子态势,计算分析相应的原子态势情况。
图2 基于安全信息的 图3 实验网络环境
安全态势评估流程
2.将原子态势利用加权信息熵的相关理论计算原子态势值;
3.依据原子态势和原子态势值,分析计算主机安全态势和主机安全态势值;
4.根据网络中主机的安全态势状态,利用安全数据挖掘模型计算网络安全态势。
(二)原子态势分析量化
为了全面科学评价原子态势给网络带来的威胁和损失,将原子态势评估指标按照某种效用函数归一化到一个特定的无量纲区间。这里常采取的方法是根据指标的实际数据将指标归一化到[0,1] 之间。
原子态势的网络安全态势评估指标为原子态势发生概率和原子态势威胁程度。语法信息指某一个原子态势的集合,用原子态势发生概率表示,设第i 个原子态势发生概率为Pi,且(m为网络系统中原子态势的总数);语义信息决定了原子态势包含的态势内涵;语用信息是某个原子态势的威胁程度,记为 w。当w =1 时,威胁程度最大;w =0 时,威胁程度最小。在描述威胁程度时,因为威胁程度表示单一态势对网络造成的危害,故类型的威胁程度之和可不为 1。
本文将原子态势威胁分为很高、高、中等、低、极低五个等级,并转换为[0,1] 区间的量化值。以最大威胁赋值 1 为标准,得五个威胁等级 0 与1 之间的赋值为 1、0.8、0.6、0.4、0.2。
原子态势的态势值由原子态势发生的个数(归一化后表示为概率)及威胁程度权重共同决定。若信息发生ai的概率为p,按照信息熵的定义,ai的自信息可通过来表示。从网络安全态势评估的角度来看,网络安全事件发生的概率越大时,对应的信息熵值应该也越大,可以用香农信息论中的自信息的倒数来表示。
故在基于原子态势的网络安全态势评估系统中,如原子态势i发生频率为pi,则对应的自信息熵值为,则原子态势i的态势值Ei可表示为
其中Wi是原子态势i所对应的威胁程度值。
(三)网络态势数据挖掘模型
网络态势的分析和计算需要原子态势数据的支持,然后在机密性、可用性、完整性、权限、不可否认性及可控性几个方面进行归纳聚类,最后进行网络态势的分析。
用表示第j个属性态势值,则,a 为属于某一属性的原子态势个数。每个属性对应不同的权值,设第j个属性的权重定义为Sj,可通过将各个属性的安全态势值加权求和,计算单位时间内主机的安全态势值。网络安全态势值是网络系统中主机态势值和主机权重的函数,即
其中,k为主机在网络中的编号(1≤k≤g),g为整个网络中主机的数目,Zk为对应主机在网络中所占的重要性归一化权重。
四、实验分析
实验进行的网络环境如图3所示。
图3中,数据库服务器不存在异常,Web服务器的Apache日志是本次事件分析的主要数据源。安全日志分析得到Web服务器在2012年1月至2012年3月之间,主要遭受6种Web 安全威胁,统计结果如表1所示。
按照属性的不同,分别计算各个属性的态势值,根据公式,对表2的数据进行统计可得:机密性态势值为1.18686;权限态势值为0.88;完整性态势值为0.21;可用性态势值0.23926;不可否认性态势值0;可控性态势值0。主机受到其各个属性的影响,包括机密性、完整性、可用性、权限、不可否认性及可控性。利用层次分析法计算属性权重,以主机机密性为参照标准:机密性对比完整性比较重要,机密性对比可用性稍微重要,机密性对比权限比较重要,机密性对比不可否认性十分重要,机密性对比可控性比较重要。故经matlab计算可得机密性权重为0.4491,可用性权重为0.2309,完整性权重为0.0930,权限权重为0.0930,不可否认性权重为0.0390,可控性权重为0.0930。主机的态势值是将各个属性的态势值进行加权求和得到,故主机态势值为0.70118。
网络内主机主要分服务器和客户端两种,服务器一般保存有重要的数据资源,这里定义服务器重要性权重为3,客户端重要性权重为1,权重进行归一化后得服务器和客户端的权重分别为0.75和0.25。本次实验对数据库服务器及Web服务器的日志进行了分析,数据库服务器的日志不存在异常现象,可以认为数据库服务器的网络态势值为0,则根据格式计算可得网络安全态势值为0.51968。
若安全信息量继续增大,可按照本节的计算方法对其他时间点及其他主机态势值进行计算。网络安全态势评估方法就是对不同时间点不同主机的网络安全态势情况进行计算,故在计算的时间点较多的时候,可构建时间点与网络安全态势值形成的网络安全态势曲线,由此可以推测未来网络的安全趋势和受到的攻击类型。
五、结束语
本文提出了需要采集的多维、深层次网络安全数据集,建立了基于原子态势的安全态势分析流程和模型,并搭建了局域网的实验环境,利用网络环境中两台服务器日志数据分析了Web服务器的主机态势以及该局域网的网络安全态势,并提出了一种网络安全态势趋势预测的方法。
参考文献:
[1]傅祖芸.信息论基础理论与应用[M] .北京:电子工业出版社,2011.
[2]胡明明,等.网络安全态势感知关键技术研究[D] .哈尔滨:哈尔滨工程大学,2008.
[3]胡影,等.网络攻击效果提取和分类[J].计算机应用研究,2009(3),26(3): 1119-1122.
[4]郑善奇,李大兴.网络安全评价模型的研究[D] .济南:山东大学,2008 .
当前的网络安全形势范文第5篇
20年过去,当人们津津乐道于中国网络规模之巨时,决策层亦提出了建设网络强国的战略目标。
这与全球的网络空间新形势有莫大关联。随着网络和信息化技术对现实社会、经济和政治的渗透和重构日益加深,网络空间已然成为大国博弈的新场地。
一些西方国家利用手中的网络主导权,正在采取各种手段,从他国网络获取情报信息或硬性摧毁,以实现其国家战略目标。
在此背景下,中国建设网络强国的根基之一――网络安全,却严重滞后于网络技术和信息产业的发展。
中国网络信息核心技术和关键设备严重依赖他国;国家从部门到行业到个人的整体安全意识薄弱;网络新技术和应用模式在国内大规模普及,大量数据和信息单方面流向美国等西方发达国家,信息失衡问题日趋严重……
这些“致命伤”,使得中国的网络安全防线既透明,又脆弱。
一流网络规模,四流防御能力
中国已成为名符其实的网络大国。数据显示,截至2013年底,中国网民规模突破6亿人,手机用户超过12亿,拥有400万家网站,电子商务市场交易规模达10万亿元。
“这就是当前的趋势,网络安全进入国与国对抗博弈的‘大玩家’时代。”中国工程院院士倪光南说,当前全球网络威胁的主体,已由娱乐性黑客转变为具有国家背景的团体性黑客,这些攻击者组织更强大,计划更充分,破坏力更强。
在此背景下,全球已有50多个国家出台网络安全或信息安全战略和政策。
以美国为例,作为全球网络主导者,早就制定了完善的网络空间安全国家战略,并奉行“以攻为主、先发制人”的网络威慑战略,将网络情报搜集、防御性网络行动和进攻性网络行动确立为国家行动。
同时,这种国家级、有组织的网络攻击日趋复杂,呈现由“软攻击”向“硬摧毁”转变的趋势,网络空间对抗日趋激烈。
倪光南指出,被披露由美国主导的2011年网络攻击伊朗核设施的“震网”事件表明,美国已经具备了入侵他国重要信息系统、对他国实施网络攻击的能力。
中国同样不乏被攻击的案例。除了2013年曝光的“棱镜门”,2014年3月,“棱镜门”曝料人斯诺登再次透露,美国国家安全局自2007年开始,就入侵了中国通信设备企业华为的主服务器;2014年5月19日,美国司法部更是以所谓的“网络窃密”为由,5名中国军人。
面对他国咄咄逼人态势,南京瀚海源信息科技公司董事长方兴指出,中国一流的网络规模却只有四流网络安全防御能力。2012年1月,美国“安全与国防议程”智囊团报告,将全球23个国家的信息安全防御能力分为6个梯队,中国处于中下等的第4梯队,网络与信息系统安全防护水平很低。
其中一个重要原因,是中国重要信息系统、关键基础设施中使用的核心信息技术产品和关键服务依赖国外。
相关数据显示,全球网络根域名服务器为美国掌控;中国90%以上的高端芯片依赖美国几家企业提供;智能操作系统的90%以上由美国企业提供。中国政府、金融、能源、电信、交通等领域的信息化系统主机装备中近一半采用外国产品。基础网络中七成以上的设备来自美国思科公司,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科公司掌握。
中国工程院院士沈昌祥认为,目前中国对国外产品的安全隐患和风险尚不清楚。而出口中国的关键设备都被美国备案,美国掌握着中国重要信息系统使用产品和设备的清单,对产品和设备的漏洞、后门等十分清楚。
“掩耳盗铃”的内网安全
除了关键基础设施核心技术缺失,在受访专家看来,中国网络安全更容易被忽视的隐患,来自被过度信赖的内部网络物理隔离系统。这个隐患,在军队、党政机关、关键领域重点企业等领域更为严重。
内部网络系统的物理隔离一直被认为是保障网络和信息安全的重要手段,也是网络系统最底层的保障措施。在传统观念中,只要不和外界网络发生接触,内网隔离就能从根本上杜绝网络威胁。
但《财经国家周刊》记者发现,事实并非如此,中国不少重点行业和党政部门的网络信息安全防御被所谓的内网隔离扎成了虚假安全的“竹篱笆”。
奇虎360公司曾对中国教育系统、航空公司、司法机构等100多家重点行业关键企业和机关部门的内部网络进行测试,结果网络全被攻破,最长的耗时三天,最短的30分钟。
沈昌祥牵头进行一项课题研究发现,中国半数以上重要信息系统难以抵御一般性网络攻击,利用一般性攻击工具即可获取大多数中央部委门户网站控制权。
造成这种问题的首要原因是网络安全意识淡薄。知名网络安全专家杜跃进介绍,中国重点企业及政府部门中,不少单位的机房管理员就是本单位的网络安全负责人。
在安全意识淡薄之下,党政部门和重点行业的网络信息安全过度依赖物理隔离手段。启明星辰首席战略官潘柱廷指出,由于隔离网系统升级不及时,整体保护意识低,致使内部网络物理隔离事实上漏洞百出,一些单位隔离的内部网络木马病毒横行。
奇虎360公司的另一项检测发现,中国100多万个网站中,65%左右有漏洞,近30%是高危漏洞,“基本上你只要下功夫,这个站就能被拿下”。
根据斯诺登公布的材料,美国掌握了100多种方法可攻破物理隔离的内部网络系统。
如在“震网”事件中,伊朗的核设施虽然进行了物理隔离,但美国仍利用高级漏洞,通过U盘摆渡等手段,入侵了内网,最终破坏了铀浓缩机。
除了网络安全意识淡薄,一些地方网络安全防护重设备购置、轻后期服务的做法,也加剧了中国网络安全体系的脆弱性。
奇虎360公司首席技术官谭晓生介绍说,在网络安全防护方面,国家虽然推行了安全等级和分级保护的众多规定,但部门和重点企业单位更多用设备购置来满足安全分级要求,安全后期服务没有常态化。这导致安全防御设备使用成效低下,无法及时监测内部安全态势,完成系统升级等服务。
网络数据“大出血”
与基础设施和内网系统的技术防线漏洞相比,网络数据和信息流失带来的安全问题则更加隐蔽。
随着云计算、物联网、移动互联网、大数据、智能化等网络信息化新兴应用持续拓展,未来中国网络安全威胁将持续扩大。这使得中国大量数据和信息单方面流向西方发达国家的问题更加严重,信息失衡将成为未来更为主要的安全威胁。
网络信息安全企业安天实验室首席技术官肖新光认为,微软的操作系统、英特尔的芯片、思科的交换路由产品等为代表的美国IT产品基本统领了前二十年全球信息化进程。
未来20年,加上谷歌、苹果、Facebook、推特等其他美国科技企业所提供的先进、方便的互联网服务,全球网络信息都向美国单方向聚合,形成了巨大的信息链流失风险。
以第三方信息安全服务的数据信息容灾备份领域为例,美国正在这个领域形成垄断。
国家安全战略研究中心信息技术与安全研究所副所长王标说,赛门铁克、IBM、惠普等美国企业垄断了全球的75%的市场份额,也占据了中国政府80%的容灾备份市场份额,中国大量政府部门的网络信息数据由此渠道单向流入美国。
与此同时,随着智能手机、平板电脑的快速普及,移动互联网安全形势不容乐观,带来的数据信息泄露更为突出。
肖新光说,谷歌的安卓智能手机移动操作系统占中国智能手机用户比例的60%以上。复旦大学的一份调查显示,安卓系统300多款应用软件中,58%存在泄漏用户隐私行为,其中25%的程序还将泄漏的信息进行加密,使得确认其内容和传送目的地非常困难。而移动互联网络开放式接入带来的信息泄漏威胁更为直接和广泛。
中国大量信息数据单向流向美国,带来的直接后果就是让美国获得运用大数据分析中国政治、经济、社会的最新动态和趋势的能力。
