關(guān)于網(wǎng)絡(luò)信息論文
網(wǎng)絡(luò)信息安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程。網(wǎng)絡(luò)信息安全一般包括網(wǎng)絡(luò)系統(tǒng)安全和信息內(nèi)容安全。為了保護(hù)網(wǎng)絡(luò)信息安全 ,除了運(yùn)用法律和管理手段外 ,還需依靠技術(shù)方法來實(shí)現(xiàn)。下面是學(xué)習(xí)啦小編為大家整理的關(guān)于網(wǎng)絡(luò)信息論文,供大家參考。
關(guān)于網(wǎng)絡(luò)信息論文范文一:可信網(wǎng)絡(luò)信息安全論文
一、信息異化、信息安全與可信網(wǎng)絡(luò)的概念
目前,對信息異化概念有不同的說法,多是處于人的視角,認(rèn)為信息異化是人類創(chuàng)造了信息,信息在生產(chǎn)、傳播和利用等活動(dòng)過程中有各種的阻礙,使得信息喪失其初衷,反客為主演變成外在的異化力量,反過來支配、統(tǒng)治和控制人的力量。其意針對的是人們創(chuàng)造的那部分信息,研究的是信息所擁有的社會(huì)屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個(gè)信息而已,疑似把“信息異化”當(dāng)作“信息過程中人的異化”同一個(gè)歸類。這樣,使得異化的被動(dòng)內(nèi)涵被隱藏起來,結(jié)果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最后使信息異化研究具有片面性。筆者最后選擇一個(gè)信息異化概念。“信息異化”是指信息在實(shí)踐活動(dòng)(包括信息的生產(chǎn)、制造,傳播及接收等)過程中,在信息不自由的狀態(tài)下變?yōu)楫愒谟谄浔菊婊顒?dòng)結(jié)果的現(xiàn)象。關(guān)于信息安全,部分專家對信息安全的定義為:“一個(gè)國家的社會(huì)信息化狀態(tài)不受外來的威脅與侵害;一個(gè)國家的信息技術(shù)體系不受外來的威脅與侵害。”這個(gè)定義,包含現(xiàn)有對信息安全的先進(jìn)認(rèn)識(shí),又包含了更加廣泛的信息安全領(lǐng)域,是目前較為全面且被認(rèn)可的定義。信息安全本身包括的范圍極大,其中包括如何防范企業(yè)商機(jī)泄露、防范未成年人對不良信息的瀏覽、個(gè)人信息的泄露損失等。所以網(wǎng)絡(luò)信息安全體系的建立是保證信息安全的重要關(guān)鍵,其中包含計(jì)算機(jī)安全操作系統(tǒng)、各種的安全協(xié)議、安全機(jī)制(數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等),直至安全系統(tǒng),只要一環(huán)出現(xiàn)漏洞便會(huì)產(chǎn)生危險(xiǎn)危害。如今,網(wǎng)絡(luò)安全技術(shù)雜亂零散且繁多,實(shí)現(xiàn)成本相應(yīng)增加,對網(wǎng)絡(luò)性能的影響逐漸增大。其復(fù)雜性使得它的臃腫的弊端慢慢顯現(xiàn)出來,業(yè)界需要相應(yīng)的創(chuàng)新的理念和戰(zhàn)略去解決網(wǎng)絡(luò)安全問題以及它的性能問題,在這種背景下可信網(wǎng)絡(luò)開始出現(xiàn)在世人的眼中?,F(xiàn)在大眾可信網(wǎng)絡(luò)有不同理解與觀點(diǎn),有的認(rèn)為可信應(yīng)該以認(rèn)證為基礎(chǔ),有的認(rèn)為是以現(xiàn)有安全技術(shù)的整合為基石;有的認(rèn)為是網(wǎng)絡(luò)的內(nèi)容可信化,有的認(rèn)為可信是網(wǎng)絡(luò)是基于自身的可信,有的認(rèn)為是網(wǎng)絡(luò)上提供服務(wù)的可信等,雖說眾說紛紜,但其目的是一致的:提升網(wǎng)絡(luò)以及服務(wù)的安全性,使人類在信息社會(huì)中受益??尚啪W(wǎng)絡(luò)可提升并改進(jìn)網(wǎng)絡(luò)的性能,減少因?yàn)椴恍湃螏淼谋O(jiān)視、不信任等系統(tǒng)的成本,提高系統(tǒng)的整體性能。
二、可信網(wǎng)絡(luò)國內(nèi)外研究
(一)可信網(wǎng)絡(luò)國外研究
在可信網(wǎng)絡(luò)的研究中,Clark等學(xué)者在NewArch項(xiàng)目的研究中提出了“信任調(diào)節(jié)透明性”(trust-modulatedtransparency)原則,他們期望在現(xiàn)實(shí)社會(huì)的互相信任關(guān)系能夠反映在網(wǎng)絡(luò)上?;陔p方用戶的信任需求,網(wǎng)絡(luò)可以提供一定范圍的服務(wù),如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級(jí)研究計(jì)劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項(xiàng)目研究了在指定條件下運(yùn)行如何開發(fā)出可快速配置的高可信系統(tǒng)及網(wǎng)絡(luò)來滿足關(guān)鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關(guān)因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項(xiàng)目研究了以策略為中心的入校檢測模型,他們利用模型去提高網(wǎng)絡(luò)系統(tǒng)的可信性。但因?yàn)榫W(wǎng)絡(luò)有著復(fù)雜基于信息異化下的信息安全中可信網(wǎng)絡(luò)分析研究柳世豫,郭東強(qiáng)摘要:互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的同時(shí),其弊端也開始出現(xiàn)。未來網(wǎng)絡(luò)應(yīng)該是可信的,這一觀點(diǎn)已成為業(yè)界共性的特點(diǎn),如何構(gòu)建可信網(wǎng)絡(luò)是需要研究的。因此TCG先進(jìn)行較為簡單的可信網(wǎng)絡(luò)連接問題。它將可信計(jì)算機(jī)制延伸到網(wǎng)絡(luò)的技術(shù),在終端連入網(wǎng)絡(luò)前,開始進(jìn)行用戶的身份認(rèn)證;若用戶認(rèn)證通過,再進(jìn)行終端平臺(tái)的身份認(rèn)證;若終端平臺(tái)的身份認(rèn)證也通過,最后進(jìn)行終端平臺(tái)的可信狀態(tài)度量,若度量結(jié)果滿足網(wǎng)絡(luò)連入的安全策略,將允許終端連入網(wǎng)絡(luò),失敗則將終端連入相應(yīng)隔離區(qū)域,對它進(jìn)行安全性補(bǔ)丁和升級(jí)。TNC是網(wǎng)絡(luò)接入控制的一種實(shí)現(xiàn)方式,是相對主動(dòng)的一種網(wǎng)絡(luò)防御技術(shù),它能夠防御大部分的潛在攻擊并且在他們攻擊前就進(jìn)行防御。2004年5月TCG成立了可信網(wǎng)絡(luò)連接分組(trustednetworkconnectionsubgroup),主要負(fù)責(zé)研究及制定可信網(wǎng)絡(luò)連接TNC(trustednetworkconnection)框架及相關(guān)的標(biāo)準(zhǔn)。2009年5月,TNC發(fā)布了TNC1.4版本的架構(gòu)規(guī)范,實(shí)現(xiàn)以TNC架構(gòu)為核心、多種組件之間交互接口為支撐的規(guī)范體系結(jié)構(gòu),實(shí)現(xiàn)了與Microsoft的網(wǎng)絡(luò)訪問保護(hù)(networkaccessprotection,NAP)之間的互操作,他們將相關(guān)規(guī)范起草到互聯(lián)網(wǎng)工程任務(wù)組(internationalengineertaskforce,IETF)的網(wǎng)絡(luò)訪問控制(networkaccesscontrol,NAC)規(guī)范中。如今已有許多企業(yè)的產(chǎn)品使用TNC體系結(jié)構(gòu),如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網(wǎng)絡(luò)國內(nèi)研究
我國也有學(xué)者進(jìn)行了可信網(wǎng)絡(luò)的研究。林闖等進(jìn)行了可信網(wǎng)絡(luò)概念研究以及建立相關(guān)模型,提出網(wǎng)絡(luò)可信屬性的定量計(jì)算方法。期望基于網(wǎng)絡(luò)體系結(jié)構(gòu)自身來改善信息安全的方式來解決網(wǎng)絡(luò)脆弱性問題,通過保護(hù)網(wǎng)絡(luò)信息中的完整性、可用性、秘密性和真實(shí)性來保護(hù)網(wǎng)絡(luò)的安全性、可控性以及可生存性。利用在網(wǎng)絡(luò)體系結(jié)構(gòu)中的信任機(jī)制集成,使安全機(jī)制增強(qiáng),在架構(gòu)上對可信網(wǎng)絡(luò)提出了相關(guān)設(shè)計(jì)原則。閔應(yīng)驊認(rèn)為能夠提供可信服務(wù)的網(wǎng)絡(luò)是可信網(wǎng)絡(luò),并且服務(wù)是可信賴和可驗(yàn)證的。這里的可信性包括健壯性、安全性、可維護(hù)性、可靠性、可測試性與可用性等。TNC進(jìn)行設(shè)計(jì)過程中需要考慮架構(gòu)的安全性,同時(shí)也要考慮其兼容性,在一定程度上配合現(xiàn)有技術(shù),因此TNC在優(yōu)點(diǎn)以外也有著局限性。TNC的突出優(yōu)點(diǎn)是安全性和開放性。TNC架構(gòu)是針對互操作的,向公眾開放所有規(guī)范,用戶能夠無償獲得規(guī)范文檔。此外,它使用了很多現(xiàn)有的標(biāo)準(zhǔn)規(guī)范,如EAP、802.1X等,使得TNC可以適應(yīng)不同環(huán)境的需要,它沒有與某個(gè)具體的產(chǎn)品進(jìn)行綁定。TNC與NAC架構(gòu)、NAP架構(gòu)的互操作也說明了該架構(gòu)的開放性。NC的擴(kuò)展是傳統(tǒng)網(wǎng)絡(luò)接入控制技術(shù)用戶身份認(rèn)證的基礎(chǔ)上增加的平臺(tái)身份認(rèn)證以及完整性驗(yàn)證。這使得連入網(wǎng)絡(luò)的終端需要更高的要求,但同時(shí)提升了提供接入的網(wǎng)絡(luò)安全性。雖然TNC具有上述的優(yōu)點(diǎn),但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎(chǔ)面對終端的可信驗(yàn)證。但這種可信驗(yàn)證只能保證軟件的靜態(tài)可信,動(dòng)態(tài)可信的內(nèi)容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網(wǎng)絡(luò)安全,在保護(hù)終端的安全上缺乏考慮。終端在接入網(wǎng)絡(luò)之前,在提供自身的平臺(tái)可信性證據(jù)的基礎(chǔ)上,還需要對接入的網(wǎng)絡(luò)進(jìn)行可信性評估,否則不能確保從網(wǎng)絡(luò)中獲取的服務(wù)可信。
3.網(wǎng)絡(luò)接入后的安全保護(hù)。TNC只在終端接入網(wǎng)絡(luò)的過程中對終端進(jìn)行了平臺(tái)認(rèn)證與完整性驗(yàn)證,在終端接入網(wǎng)絡(luò)之后就不再對網(wǎng)絡(luò)和終端進(jìn)行保護(hù)。終端平臺(tái)有可能在接入之后發(fā)生意外的轉(zhuǎn)變,因此需要構(gòu)建并加強(qiáng)接入后的控制機(jī)制。在TNC1.3架構(gòu)中增加了安全信息動(dòng)態(tài)共享,在一定程度上增強(qiáng)了動(dòng)態(tài)控制功能。
4.安全協(xié)議支持。TNC架構(gòu)中,多個(gè)實(shí)體需要進(jìn)行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進(jìn)行繁多的信息交互,但TNC架構(gòu)并沒有給出相對應(yīng)的安全協(xié)議。
5.范圍的局限性。TNC應(yīng)用目前局限在企業(yè)內(nèi)部網(wǎng)絡(luò),難以提供多層次、分布式、電信級(jí)、跨網(wǎng)絡(luò)域的網(wǎng)絡(luò)訪問控制架構(gòu)。在TNC1.4架構(gòu)中增加了對跨網(wǎng)絡(luò)域認(rèn)證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應(yīng)用的局限性。我國學(xué)者在研究分析TNC的優(yōu)缺點(diǎn)的同時(shí)結(jié)合中國的實(shí)際情況,對TNC進(jìn)行了一些改進(jìn),形成了中國的可信網(wǎng)絡(luò)連接架構(gòu)。我國的可信網(wǎng)絡(luò)架構(gòu)使用了集中管理、對等、三元、二層的結(jié)構(gòu)模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網(wǎng)絡(luò)訪問控制層和可信平臺(tái)評估層執(zhí)行以策略管理器為基礎(chǔ)的可信第三方的三元對等鑒別協(xié)議,實(shí)現(xiàn)訪問請求者和訪問控制器之間的雙向用戶身份認(rèn)證和雙向平臺(tái)可信性評估。該架構(gòu)采用國家自主知識(shí)產(chǎn)權(quán)的鑒別協(xié)議,將訪問控制器以及訪問請求者作為對等實(shí)體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機(jī)制,同時(shí)進(jìn)行終端與網(wǎng)絡(luò)的雙向認(rèn)證,提供了一種新思路。在國家“863”計(jì)劃項(xiàng)目的支持下,取得了如下成果:
(1)在對TNC在網(wǎng)絡(luò)訪問控制機(jī)制方面的局限性進(jìn)行研究分析后,同時(shí)考慮可信網(wǎng)絡(luò)連接的基本要求,提出了一種融合網(wǎng)絡(luò)訪問控制機(jī)制、系統(tǒng)訪問控制機(jī)制和網(wǎng)絡(luò)安全機(jī)制的統(tǒng)一網(wǎng)絡(luò)訪問控制LTNAC模型,對BLP模型進(jìn)行動(dòng)態(tài)可信性擴(kuò)展,建立了TE-BLP模型,期望把可信度與統(tǒng)一網(wǎng)絡(luò)訪問控制模型結(jié)合起來。
(2)通過研究獲得了一個(gè)完整的可信網(wǎng)絡(luò)連接原型系統(tǒng)。該系統(tǒng)支持多樣認(rèn)證方式和基于完整性挑戰(zhàn)與完整性驗(yàn)證協(xié)議的遠(yuǎn)程證明,來實(shí)現(xiàn)系統(tǒng)平臺(tái)間雙向證明和以遠(yuǎn)程證明為基礎(chǔ)的完整性度量器和驗(yàn)證器,最后完成可信網(wǎng)絡(luò)連接的整體流程。
三、可信網(wǎng)絡(luò)模型分析
(一)網(wǎng)絡(luò)與用戶行為的可信模型
可信是在傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上的拓展:安全是外在的表現(xiàn)形式,可信則是進(jìn)行行為過程分析所得到的可度量的一種屬性。如何構(gòu)建高效分析刻畫網(wǎng)絡(luò)和用戶行為的可信模型是理解和研究可信網(wǎng)絡(luò)的關(guān)鍵。這是目前網(wǎng)絡(luò)安全研究領(lǐng)域的一個(gè)新共識(shí)。構(gòu)建網(wǎng)絡(luò)和用戶的可信模型的重要性體現(xiàn)于:它只準(zhǔn)確而抽象地說明了系統(tǒng)的可信需求卻不涉及到其他相關(guān)實(shí)現(xiàn)細(xì)節(jié),這使得我們能通過數(shù)學(xué)模型分析方法去發(fā)現(xiàn)系統(tǒng)在安全上的漏洞??尚拍P屯瑫r(shí)也是系統(tǒng)進(jìn)行研發(fā)的關(guān)鍵步驟,在美國國防部的“可信計(jì)算機(jī)系統(tǒng)的評價(jià)標(biāo)準(zhǔn)(TCSEC)”中,從B級(jí)階段就需要對全模型進(jìn)行形式化描述和驗(yàn)證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗(yàn)證和利用能夠提高網(wǎng)絡(luò)系統(tǒng)安全的可信度。最后,構(gòu)建理論來說明網(wǎng)絡(luò)的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實(shí)現(xiàn)系統(tǒng)可信監(jiān)測、預(yù)測和干預(yù)的前提,是可信網(wǎng)絡(luò)研究的理論所有基礎(chǔ)。完全安全的網(wǎng)絡(luò)系統(tǒng)目前還無法實(shí)現(xiàn),因此網(wǎng)絡(luò)脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個(gè)解決方案,讓系統(tǒng)管理員在“提供服務(wù)”和“保證安全”之間找到平衡,主動(dòng)檢測在攻擊發(fā)生之前,如建立攻擊行為的設(shè)定描述,通過在用戶中區(qū)分隱藏的威脅,以可信評估為基礎(chǔ)上進(jìn)行主機(jī)的接入控制。傳統(tǒng)檢測多為以規(guī)則為基礎(chǔ)的局部檢測,它很難進(jìn)行整體檢測。但我們現(xiàn)有的脆弱性評估工具卻絕大多數(shù)都是傳統(tǒng)基于規(guī)則的檢測工具,頂多對單一的主機(jī)的多種服務(wù)進(jìn)行簡陋的檢查,對多終端構(gòu)建的網(wǎng)絡(luò)進(jìn)行有效評估還只能依靠大量人力。以模型為基礎(chǔ)的模式為整個(gè)系統(tǒng)建立一個(gè)模型,通過模型可取得系統(tǒng)所有可能發(fā)生的行為和狀態(tài),利用模型分析工具測試,對整個(gè)系統(tǒng)的可信性評估。圖2說明了可信性分析的元素。網(wǎng)絡(luò)行為的信任評估包括行為和身份的信任,而行為可信又建立在防護(hù)能力、信任推薦、行為記錄、服務(wù)能力等基礎(chǔ)之上。
(二)可信網(wǎng)絡(luò)的體系結(jié)構(gòu)
互聯(lián)網(wǎng)因技術(shù)和理論的不足在建立時(shí)無法考量其安全周全,這是網(wǎng)絡(luò)脆弱性的一個(gè)重要產(chǎn)生因素。但是如今很多網(wǎng)絡(luò)安全設(shè)計(jì)卻常常忽略網(wǎng)絡(luò)體系的核心內(nèi)容,大多是單一的防御、單一的信息安全和補(bǔ)丁補(bǔ)充機(jī)制,遵從“堵漏洞、作高墻、防外攻”的建設(shè)樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動(dòng)的達(dá)到防止外部攻擊的目的。在黑客技術(shù)日漸復(fù)雜多元的情況下,冗長的單一防御技術(shù)讓系統(tǒng)規(guī)模龐大,卻降低了網(wǎng)絡(luò)性能,甚至破壞了系統(tǒng)設(shè)計(jì)的開放性、簡單性的原則。因此這些被動(dòng)防御的網(wǎng)絡(luò)安全是不可信的,所以從結(jié)構(gòu)設(shè)計(jì)的角度減少系統(tǒng)脆弱性且提供系統(tǒng)的安全服務(wù)特別重要。盡管在開放式系統(tǒng)互連參考模型的擴(kuò)展部分增加了有關(guān)安全體系結(jié)構(gòu)的描述,但那只是不完善的概念性框架。網(wǎng)絡(luò)安全不再只是信息的可用性、機(jī)密性和完整性,服務(wù)的安全作為一個(gè)整體屬性被用戶所需求,因此研究人員在重新設(shè)計(jì)網(wǎng)絡(luò)體系時(shí)需考慮從整合多種安全技術(shù)并使其在多個(gè)層面上相互協(xié)同運(yùn)作。傳統(tǒng)的補(bǔ)丁而補(bǔ)充到網(wǎng)絡(luò)系統(tǒng)上的安全機(jī)制已經(jīng)因?yàn)閱蝹€(gè)安全技術(shù)或者安全產(chǎn)品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統(tǒng)無法防御多種類的不同攻擊,嚴(yán)重威脅這些防御設(shè)施功效的發(fā)揮。如入侵檢測不能對抗電腦病毒,防火墻對術(shù)馬攻擊也無法防范。因?yàn)槿绱?,網(wǎng)絡(luò)安全研究的方向開始從被動(dòng)防御轉(zhuǎn)向了主動(dòng)防御,不再只是對信息外圍的非法封堵,更需要從訪問源端就進(jìn)行安全分析,盡量將不信任的訪問操作控制在源端達(dá)到攻擊前的防范。因此我們非常需要為網(wǎng)絡(luò)提供可信的體系結(jié)構(gòu),從被動(dòng)轉(zhuǎn)向主動(dòng),單一轉(zhuǎn)向整體??尚啪W(wǎng)絡(luò)結(jié)構(gòu)研究必須充分認(rèn)識(shí)到網(wǎng)絡(luò)的復(fù)雜異構(gòu)性,從系統(tǒng)的角度確保安全服務(wù)的一致性。新體系結(jié)構(gòu)如圖3所示,監(jiān)控信息(分發(fā)和監(jiān)測)以及業(yè)務(wù)數(shù)據(jù)的傳輸通過相同的物理鏈路,控制信息路徑和數(shù)據(jù)路徑相互獨(dú)立,這樣監(jiān)控信息路徑的管理不再只依賴于數(shù)據(jù)平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強(qiáng)烈對比是對現(xiàn)有網(wǎng)絡(luò)的控制和管理信息的傳輸,必須依賴由協(xié)議事先成功設(shè)置的傳輸路徑。
(三)服務(wù)的可生存性
可生存性在特定領(lǐng)域中是一種資源調(diào)度問題,也就是通過合理地調(diào)度策略來進(jìn)行服務(wù)關(guān)聯(lián)的冗余資源設(shè)計(jì),通過實(shí)時(shí)監(jiān)測機(jī)制來監(jiān)視調(diào)控這些資源的性能、機(jī)密性、完整性等。但網(wǎng)絡(luò)系統(tǒng)的脆弱性、客觀存在的破壞行為和人為的失誤,在網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)性作用逐漸增強(qiáng)的現(xiàn)實(shí),確保網(wǎng)絡(luò)的可生存性就有著重要的現(xiàn)實(shí)意義。由于當(dāng)時(shí)技術(shù)與理論的不足,使得網(wǎng)絡(luò)存在著脆弱性表現(xiàn)在設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行管理的各個(gè)環(huán)節(jié)。網(wǎng)絡(luò)上的計(jì)算機(jī)需要提供某些服務(wù)才能與其他計(jì)算機(jī)相互通信,其脆弱性在復(fù)雜的系統(tǒng)中更加體現(xiàn)出來。除了人為疏忽的編程錯(cuò)誤,其脆弱性還應(yīng)該包含網(wǎng)絡(luò)節(jié)點(diǎn)的服務(wù)失誤和軟件的不當(dāng)使用和網(wǎng)絡(luò)協(xié)議的缺陷。協(xié)議定義了網(wǎng)絡(luò)上計(jì)算機(jī)會(huì)話和通信的規(guī)則,若協(xié)議本身就有問題,無論實(shí)現(xiàn)該協(xié)議的方法多么完美,它都存在漏洞。安全服務(wù)是網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵服務(wù),它的某個(gè)部分失去效用就代表系統(tǒng)會(huì)更加危險(xiǎn),就會(huì)導(dǎo)致更多服務(wù)的失控甚至是系統(tǒng)自身癱瘓。因此必須將這些關(guān)鍵服務(wù)的失效控制在用戶許可的范圍內(nèi)??缮嫘缘难芯勘仨氃讵?dú)立于具體破壞行為的可生存性的基本特征上進(jìn)行理論拓展,提升系統(tǒng)的容錯(cuò)率來減少系統(tǒng)脆弱性,將失控的系統(tǒng)控制在可接受范圍內(nèi),通過容侵設(shè)計(jì)使脆弱性被非法入侵者侵入時(shí),盡可能減少破壞帶來的影響,替恢復(fù)的可能性創(chuàng)造機(jī)會(huì)。
(四)網(wǎng)絡(luò)的可管理性
目前網(wǎng)絡(luò)已成為一個(gè)復(fù)雜巨大的非線性系統(tǒng),具有規(guī)模龐大、用戶數(shù)量持續(xù)增加、業(yè)務(wù)種類繁多、協(xié)議體系復(fù)雜等特點(diǎn)。這已遠(yuǎn)超設(shè)計(jì)的初衷,這讓網(wǎng)絡(luò)管理難度加大。網(wǎng)絡(luò)的可管理性是指在內(nèi)外干擾的網(wǎng)絡(luò)環(huán)境情況下,對用戶行為和網(wǎng)絡(luò)環(huán)境持續(xù)的監(jiān)測、分析和決策,然后對設(shè)備、協(xié)議和機(jī)制的控制參數(shù)進(jìn)行自適應(yīng)優(yōu)化配置,使網(wǎng)絡(luò)的數(shù)據(jù)傳輸、用戶服務(wù)和資源分配達(dá)到期望的目標(biāo)?,F(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)上添加網(wǎng)絡(luò)管理功能,它無法實(shí)現(xiàn)網(wǎng)絡(luò)的有效管理,這是因?yàn)楝F(xiàn)有的網(wǎng)絡(luò)體系與管理協(xié)議不兼容??尚啪W(wǎng)絡(luò)必須是可管理的網(wǎng)絡(luò),網(wǎng)絡(luò)的可管理性對于網(wǎng)絡(luò)的其他本質(zhì)屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用。“網(wǎng)絡(luò)管理”是指對網(wǎng)絡(luò)情況持續(xù)進(jìn)行監(jiān)測,優(yōu)化網(wǎng)絡(luò)設(shè)備配置并運(yùn)行參數(shù)的過程,包括優(yōu)化決策和網(wǎng)絡(luò)掃描兩個(gè)重要方面。研究管理性是通過改善網(wǎng)絡(luò)體系中會(huì)導(dǎo)致可管理性不足的設(shè)計(jì),達(dá)到網(wǎng)絡(luò)可管理性,實(shí)現(xiàn)網(wǎng)絡(luò)行為的可信姓,再解決網(wǎng)絡(luò)本質(zhì)問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網(wǎng)絡(luò)的適應(yīng)能力加強(qiáng)。
四、結(jié)論
綜上所述,互聯(lián)網(wǎng)有著復(fù)雜性和脆弱性等特征,當(dāng)前孤立分散、單一性的防御、系統(tǒng)補(bǔ)充的網(wǎng)絡(luò)安全系統(tǒng)己經(jīng)無法應(yīng)對具有隱蔽多樣可傳播特點(diǎn)的破壞行為,我們不可避免系統(tǒng)的脆弱性,可以說網(wǎng)絡(luò)正面臨重要的挑戰(zhàn)。我國網(wǎng)絡(luò)系統(tǒng)的可信網(wǎng)絡(luò)研究從理論技術(shù)上來說還處于初級(jí)階段,缺乏統(tǒng)一的標(biāo)準(zhǔn),但是它己經(jīng)明確成為國內(nèi)外信息安全研究的新方向。隨著大數(shù)據(jù)的到來,全球的頭腦風(fēng)暴讓信息技術(shù)日新月異,新技術(shù)帶來的不只有繁榮,同時(shí)也帶來異化。昨日的技術(shù)已經(jīng)無法適應(yīng)今日的需求,從以往的例子中可以得知信息安全的災(zāi)難是廣泛的、破壞性巨大、持續(xù)的,我們必須未雨綢繆并且不停地發(fā)展信息安全的技術(shù)與制度來阻止悲劇的發(fā)生。信息異化帶來的信息安全問題是必不可免的,它是網(wǎng)絡(luò)世界一個(gè)嚴(yán)峻的挑戰(zhàn),對于可信網(wǎng)絡(luò)的未來我們可以從安全性、可控性、可生存性來創(chuàng)新發(fā)展,新的防御系統(tǒng)將通過冗余、異構(gòu)、入侵檢測、自動(dòng)入侵響應(yīng)、入侵容忍等多種技術(shù)手段提高系統(tǒng)抵抗攻擊、識(shí)別攻擊、修復(fù)系統(tǒng)及自適應(yīng)的能力,從而達(dá)到我們所需的實(shí)用系統(tǒng)??梢酝ㄟ^下述研究方向來發(fā)展可信網(wǎng)絡(luò):
(一)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的基本屬性
之一是復(fù)雜性,網(wǎng)絡(luò)可信性研究需要通過宏觀與微觀上對網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)屬性的定性,定量刻畫,深入探索網(wǎng)絡(luò)系統(tǒng)可靠性的影響,這樣才能為網(wǎng)絡(luò)可信設(shè)計(jì)、改進(jìn)、控制等提供支持。因此,以復(fù)雜網(wǎng)絡(luò)為基礎(chǔ)的可信網(wǎng)絡(luò)會(huì)成為一個(gè)基礎(chǔ)研究方向。
(二)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的第二個(gè)重要屬性
是動(dòng)態(tài)性,其包含網(wǎng)絡(luò)系統(tǒng)歷經(jīng)時(shí)間的演化動(dòng)態(tài)性和網(wǎng)絡(luò)失去效用行為的級(jí)聯(lián)動(dòng)態(tài)性。如今,學(xué)術(shù)上對可信網(wǎng)絡(luò)靜態(tài)性研究較多,而動(dòng)態(tài)性研究較少,這無疑是未來可信網(wǎng)絡(luò)研究的一大方向。
(三)網(wǎng)絡(luò)系統(tǒng)的范圍與規(guī)模日漸龐大
節(jié)點(diǎn)數(shù)量最多以百萬計(jì)算,在可信網(wǎng)絡(luò)研究中我們需要去解決復(fù)雜性問題計(jì)算,這是一個(gè)可信網(wǎng)絡(luò)研究需要解決的問題。如今重中之重是研究構(gòu)建可靠地可信模型與相應(yīng)的算法,而近似算法、仿真算法將成為主要解決途徑。
關(guān)于網(wǎng)絡(luò)信息論文范文二:網(wǎng)絡(luò)信息安全數(shù)據(jù)通信論文
1路由器與交換機(jī)漏洞的發(fā)現(xiàn)和防護(hù)
作為通過遠(yuǎn)程連接的方式實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享是大部分用戶均會(huì)使用到的,不管這樣的連接方式是利用何種方式進(jìn)行連接,都難以避開負(fù)載路由器以及交換機(jī)的系統(tǒng)網(wǎng)絡(luò),這是這樣,這些設(shè)備存在著某些漏洞極容易成為黑客的攻擊的突破口。從路由器與交換機(jī)存在漏洞致因看,路由與交換的過程就是于網(wǎng)絡(luò)中對數(shù)據(jù)包進(jìn)行移動(dòng)。在這個(gè)轉(zhuǎn)移的過程中,它們常常被認(rèn)為是作為某種單一化的傳遞設(shè)備而存在,那么這就需要注意,假如某個(gè)黑客竊取到主導(dǎo)路由器或者是交換機(jī)的相關(guān)權(quán)限之后,則會(huì)引發(fā)損失慘重的破壞。縱觀路由與交換市場,擁有最多市場占有率的是思科公司,并且被網(wǎng)絡(luò)領(lǐng)域人員視為重要的行業(yè)標(biāo)準(zhǔn),也正因?yàn)樵摴镜漠a(chǎn)品普及應(yīng)用程度較高,所以更加容易受到黑客攻擊的目標(biāo)。比如,在某些操作系統(tǒng)中,設(shè)置有相應(yīng)的用于思科設(shè)備完整工具,主要是方便管理員對漏洞進(jìn)行定期的檢查,然而這些工具也被攻擊者注意到并利用工具相關(guān)功能查找出設(shè)備的漏洞所在,就像密碼漏洞主要利用JohntheRipper進(jìn)行攻擊。所以針對這類型的漏洞防護(hù)最基本的防護(hù)方法是開展定期的審計(jì)活動(dòng),為避免這種攻擊,充分使用平臺(tái)帶有相應(yīng)的多樣化的檢查工具,并在需要時(shí)進(jìn)行定期更新,并保障設(shè)備出廠的默認(rèn)密碼已經(jīng)得到徹底清除;而針對BGP漏洞的防護(hù),最理想的辦法是于ISP級(jí)別層面處理和解決相關(guān)的問題,假如是網(wǎng)絡(luò)層面,最理想的辦法是對攜帶數(shù)據(jù)包入站的路由給予嚴(yán)密的監(jiān)視,并時(shí)刻搜索內(nèi)在發(fā)生的所有異?,F(xiàn)象。
2交換機(jī)常見的攻擊類型
2.1MAC表洪水攻擊
交換機(jī)基本運(yùn)行形勢為:當(dāng)幀經(jīng)過交換機(jī)的過程會(huì)記下MAC源地址,該地址同幀經(jīng)過的端口存在某種聯(lián)系,此后向該地址發(fā)送的信息流只會(huì)經(jīng)過該端口,這樣有助于節(jié)約帶寬資源。通常情況下,MAC地址主要儲(chǔ)存于能夠追蹤和查詢的CAM中,以方便快捷查找。假如黑客通過往CAM傳輸大量的數(shù)據(jù)包,則會(huì)促使交換機(jī)往不同的連接方向輸送大量的數(shù)據(jù)流,最終導(dǎo)致該交換機(jī)處在防止服務(wù)攻擊環(huán)節(jié)時(shí)因過度負(fù)載而崩潰.
2.2ARP攻擊
這是在會(huì)話劫持攻擊環(huán)節(jié)頻發(fā)的手段之一,它是獲取物理地址的一個(gè)TCP/IP協(xié)議。某節(jié)點(diǎn)的IP地址的ARP請求被廣播到網(wǎng)絡(luò)上后,這個(gè)節(jié)點(diǎn)會(huì)收到確認(rèn)其物理地址的應(yīng)答,這樣的數(shù)據(jù)包才能被傳送出去。黑客可通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,ARP欺騙過程如圖1所示。
2.3VTP攻擊
以VTP角度看,探究的是交換機(jī)被視為VTP客戶端或者是VTP服務(wù)器時(shí)的情況。當(dāng)用戶對某個(gè)在VTP服務(wù)器模式下工作的交換機(jī)的配置實(shí)施操作時(shí),VTP上所配置的版本號(hào)均會(huì)增多1,當(dāng)用戶觀察到所配置的版本號(hào)明顯高于當(dāng)前的版本號(hào)時(shí),則可判斷和VTP服務(wù)器實(shí)現(xiàn)同步。當(dāng)黑客想要入侵用戶的電腦時(shí),那他就可以利用VTP為自己服務(wù)。黑客只要成功與交換機(jī)進(jìn)行連接,然后再本臺(tái)計(jì)算機(jī)與其構(gòu)建一條有效的中繼通道,然后就能夠利用VTP。當(dāng)黑客將VTP信息發(fā)送至配置的版本號(hào)較高且高于目前的VTP服務(wù)器,那么就會(huì)致使全部的交換機(jī)同黑客那臺(tái)計(jì)算機(jī)實(shí)現(xiàn)同步,最終將全部除非默認(rèn)的VLAN移出VLAN數(shù)據(jù)庫的范圍。
3安全防范VLAN攻擊的對策
3.1保障TRUNK接口的穩(wěn)定與安全
通常情況下,交換機(jī)所有的端口大致呈現(xiàn)出Access狀態(tài)以及Turnk狀態(tài)這兩種,前者是指用戶接入設(shè)備時(shí)必備的端口狀態(tài),后置是指在跨交換時(shí)一致性的VLAN-ID兩者間的通訊。對Turnk進(jìn)行配置時(shí),能夠避免開展任何的命令式操作行為,也同樣能夠?qū)崿F(xiàn)于跨交換狀態(tài)下一致性的VLAN-ID兩者間的通訊。正是設(shè)備接口的配置處于自適應(yīng)的自然狀態(tài),為各項(xiàng)攻擊的發(fā)生埋下隱患,可通過如下的方式防止安全隱患的發(fā)生。首先,把交換機(jī)設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Access狀態(tài),這樣設(shè)置的目的是為了防止黑客將自己設(shè)備的接口設(shè)置成Desibarle狀態(tài)后,不管以怎樣的方式進(jìn)行協(xié)商其最終結(jié)果均是Accese狀態(tài),致使黑客難以將交換機(jī)設(shè)備上的空閑接口作為攻擊突破口,并欺騙為Turnk端口以實(shí)現(xiàn)在局域網(wǎng)的攻擊。其次是把交換機(jī)設(shè)備上全部的接口狀態(tài)認(rèn)為設(shè)置成Turnk狀態(tài)。不管黑客企圖通過設(shè)置什么樣的端口狀態(tài)進(jìn)行攻擊,這邊的接口狀態(tài)始終為Turnk狀態(tài),這樣有助于顯著提高設(shè)備的可控性。最后對Turnk端口中關(guān)于能夠允許進(jìn)出的VLAN命令進(jìn)行有效配置,對出入Turnk端口的VLAN報(bào)文給予有效控制。只有經(jīng)過允許的系類VLAN報(bào)文才能出入Turnk端口,這樣就能夠有效抑制黑客企圖通過發(fā)送錯(cuò)誤報(bào)文而進(jìn)行攻擊,保障數(shù)據(jù)傳送的安全性。
3.2保障VTP協(xié)議的有效性與安全性
VTP(VLANTrunkProtocol,VLAN干道協(xié)議)是用來使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動(dòng)態(tài)注冊的一種二層協(xié)議,它主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLANs的建立、刪除以及重命名。在一臺(tái)VTPServer上配置一個(gè)新的VLAN時(shí),該VLAN的配置信息將自動(dòng)傳播到本域內(nèi)的其他所有交換機(jī),這些交換機(jī)會(huì)自動(dòng)地接收這些配置信息,使其VLAN的配置與VTPServer保持一致,從而減少在多臺(tái)設(shè)備上配置同一個(gè)VLAN信息的工作量,而且保持了VLAN配置的統(tǒng)一性。處于VTP模式下,黑客容易通過VTP實(shí)現(xiàn)初步入侵和攻擊,并通過獲取相應(yīng)的權(quán)限,以隨意更改入侵的局域網(wǎng)絡(luò)內(nèi)部架構(gòu),導(dǎo)致網(wǎng)絡(luò)阻塞和混亂。所以對VTP協(xié)議進(jìn)行操作時(shí),僅保存一臺(tái)設(shè)置為VTP的服務(wù)器模式,其余為VTP的客戶端模式。最后基于保障VTP域的穩(wěn)定與安全的目的,應(yīng)將VTP域全部的交換機(jī)設(shè)置為相同的密碼,以保證只有符合密碼相同的情況才能正常運(yùn)作VTP,保障網(wǎng)絡(luò)的安全。
4結(jié)語
處于全球信息以及計(jì)算機(jī)等科學(xué)技術(shù)的不斷改善和向前發(fā)展的社會(huì)環(huán)境中,數(shù)據(jù)通信網(wǎng)絡(luò)的發(fā)展內(nèi)容得到了多樣化的豐富和充實(shí),數(shù)據(jù)通信已發(fā)展成當(dāng)今社會(huì)通信的的主要方式。所以不斷是從基礎(chǔ)研究理論或是實(shí)際應(yīng)用活動(dòng)中,如何保障網(wǎng)絡(luò)安全應(yīng)當(dāng)成為今后數(shù)據(jù)網(wǎng)絡(luò)發(fā)展中的重大課題,研究人員應(yīng)當(dāng)致力于探索多樣化和創(chuàng)新化的方式和渠道,以全面保障數(shù)據(jù)通信網(wǎng)絡(luò)的安全和穩(wěn)定,為廣大社會(huì)用戶創(chuàng)造高效放心的通信環(huán)境。
關(guān)于網(wǎng)絡(luò)信息論文相關(guān)文章:
1.關(guān)于淺談網(wǎng)絡(luò)安全論文有哪些
2.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)的論文精選范文