前言:中文期刊网精心挑选了网络安全定义范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全定义范文1
10月1日实施的《网络食品安全违法行为查处办法》,与新食品安全法呼应,对网络食品交易各方法律责任和义务进行了严格规定。但是,严查之下,一些商家以模糊证照字迹的方法瞒天过海,“幽灵餐厅”、超范围经营等问题仍然频现。过去曾被查处的网络订餐老问题依然普遍存在。这些商家玩猫鼠游戏,每次媒体曝光后,网络订餐平台便将无证照商家下架,可没过多久,新的类似问题又重新出现,周而复始,网络订餐安全隐患亟需引起重视。
一、新规之下,商家营业执照造假花样翻新。
网络食品安全查处办法规定,通过第三方平台进行交易的食品经营者在其经营活动主页面显著位置公示其食品经营许可证时,相关信息应当真实、准确、画面清晰,容易辨识。但网友登录各大主流网络订餐平台和实地探访发现,新规之下,一些商家以花样翻新的造假伎俩逃避监管。如以店铺实景图片代替证照、模糊证件蒙蔽消费者、许可证过期仍然照常营业等。在美团外卖上发现,一家名为“麻辣诱惑(汉光店)”的店铺餐饮服务许可证早在今年6月就已经过期。“饿了么”平台上一家名为“赛百味”的店铺去年12月就已过期。百度外卖一家名为“京味斋”的店铺,其公示的餐饮服务许可证截止日期为今年8月1日,营业执照年度检验情况也是只到2012年度。专家指出,按照法规,持过期的许可证经营等同于无证经营。
二、新规未能做到“板子没有打到订餐平台上”
今年以来相关管理部门屡出重拳,但网络订餐平台上黑作坊猖獗依旧,一个重要原因是“板子没有打到平台上”。查处办法要求入网餐饮生产经营者必须亮证公示,但是不少商家公示的证照模糊,订餐平台甚至设置了不能放大的功能,使公示沦为摆设。网络订餐平台对商家并非没有治理能力,技术上也可以实现,但操作中却进展缓慢,甚至有的网络订餐平台间形成“逆竞争”:这家平台刚清理门户,那家平台就照单全收,导致“谁清理谁吃亏”。“黑作坊能成群上网,源头在线下,但根子在平台。” 瑞安市饭店餐饮行业协会会长认为,无证照商家不是新出现的,但是网络订餐平台的出现让无证照商家的数量迅速扩大。网络订餐乱象之所以频现,一是平台把关不严,一味追求规模;二是平台投入不足,管理人手有限;三是平台运营不当,有的地方生产经营者与平台管理者是同一伙人,存在“监守自盗”隐患。
三是新规没有竞价排名约束款项,致使竞价排名误导消费者。
网络安全定义范文2
【关键词】安全体系结构;网络;设计原则;实现方案
伴随当前计算机网络的发展与广泛的应用,网路安全体系结构的设计极为重要。由于计算机网络拥有多样性的联结形式,而网络自身拥有一定的互联性与开放性,在其终端分布方面存在着不均匀性等特征。这便导致计算机网络在应用期间,极易遭受到黑客的攻击,甚至被一些恶意软件入侵等,这会给使用者带来较大的损失。为此,构建网络安全体系结构已经成为当务之急。
1网络安全体系结构相关概述
在网络安全体系结构设计方面主要分为:定义网络安全策略、分析网络安全需求、网络安全设计以及网络安全实现这四个步骤。这便需要将高级阿全策略与控制作为依据,对安全规范实施形式化的处理,以此来更好的设计与实现系统中执行机制目标。(1)定义网络安全策略。定义网络安全策略主要指:对网络安全策略进行详细的描述,其目的在于为网络安全提供支持与管理[1]。与此同时,还需要与其他领域相结合对网络安全系统进行全面的考虑,如社会机制、通信安全以及操作安全等,将向导手册ISO/IEC作为相关依据,对企业可能存在的风险展开全面的分析,之后通过自然语言来描述所产生的网络安全与控制文档,这便是高级安全策略所在。(2)对网络安全需求进行分析。对网络安全需求的分析,主要是对高级安全策略所实施的形式描述,以此来得到更高形式的安全策略。该种做法有一定的优点存在,如通过对策略之间的冲突检查,消除自然语言对中高级策略较为模糊的描述。
2网络安全体系结构的设计研究
在网络安全体系结构设计期间主要包含以下几点,即:(1)在网络安全体系结构设计期间,需要有针对性的构建相应的安全结构体系,并且对于网络系统安全实施相应的保障[2]。对网络安全体系结构进行设计的目的在于,全面的建立网络安全系统,这需要通过某种技术全面的建立网络安全系统。在体系结构中的各层对安全逻辑进行分析的过程中,需对安全需求进行全面的考虑,同时也需要对OSI参考模型中的层级之间的依赖性给予全面的考虑。(2)设计和实现网络安全策略。在设计网络安全体系结构期间,网络安全策略的设计和实现极为重要。设计和实现网络安全策略的主要目的在于,确保能够定义出一套设计级的安全策略,并将其作为一种框架底层的抽象策略。该种网络安全策略设计和实现与技术执行之间较为接近,计算机网络配置期间,部门与组织之间常常会产生一定的变化,这便对计算机网络提出了不同的安全需求。为此,网络安全拥有一定的动态性特征,相关人员需将调整组织的安全策略作为依据,适当的设计网络安全体系结构,同时执行安全策略。这不仅是一个过程的体现,同时也是现存文档的形式所在。在需求服务于基础组织方面,能够将企业的升级情况、实现与执行过程充分的体现出来[3]。这与张冀晛,吴中川在《网络安全技术在城市级供电系统数据网中的应用》一文中的观点极为相似。策略管理功能主要包括三个方面,即策略实现点、策略决定点以及策略仓库。策略仓库中存在着一切网络目录中的策略信息,它能够全面的描述服务、计算机以及网络用户,同时在专用的数据库上执行相应操作。策略服务器或者策略决定点,主要对网络策略实施抽象操作,确保其能够成为一定的策略控制信息,并且逐渐的向策略执行点传递。策略实现点则需要接受PAPs中的策略,将其作为安全或者相应的网络设备,使其作用能够得到充分的发挥。一切安全组件领域都需要确保能够在安全管理范围内,确保能够构建出更加合理的、安全的网络应用模型。(3)达到网络安全目标。要实现网络安全目标,便需要依靠实现机制来实现。通过安全体系结构中工作站以及服务器上锁运行的网络安全管理,通过使用网络辅助级和网络级的安全,使得应用级的安全能够得以实现。在此期间,需要有特殊的用户作为相应的网络操作者,这些主体拥有较为严格的授权程序与认证,同时还拥有较为全面的功能[4]。为此,必须确保特殊用户的行为以及访问安全,以此才能够提升网络的存活能力,提升网络性能等。网络管理系统越是集中,那么企业在网络安全方面所提出的安全要求就越高。
3总结
如今,网络已经成为人们生活中不可缺少的一部分,网络安全体系结构的设计和实现,与网络用户的使用安全之间存在着密切关联,同时在计算机网络健康发展方面也有着极为重要的影响。为此,构建网络安全体系,为相关用户提供更加安全的网络应用环境,确保网络安全环境能够达到使用者的相关要求。另外,不断的推动网络安全体系构建,构建安全的网络环境,已经成为计算机网络发展的必然要求所在。
参考文献
[1]李春艳,郭轶尊,杨永田,等.基于IP安全体系结构的虚拟专用网[J].哈尔滨工程大学学报,2001,22(6):68~70.
[2]陈晓.电力企业信息安全体系结构的研究[D].华中科技大学,2004(12):34~56.
[3]张冀晛,吴中川.网络安全技术在城市级供电系统数据网中的应用[J].信息与电子工程,2011,09(2):238~243.
网络安全定义范文3
关键词 网络安全;防火墙
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)19-0052-01
防火墙技术发展到今天,单一的防火墙已经不能满足网络安全的需求,因此需要在单一防火墙的基础上,设计出有着多层功能的防火墙,通过对多种解决不同问题的技术的组合,提高网络的安全保障。
1 多层防火墙的设计过程分析
通过对多层防火墙设计的系统概要分析,我们确定了系统的可实现性,而通过需求分析后,我们更进一步地明确了系统必须实现的功能,接下来要完成的工作就是根据系统的需求分析把要实现的功能结构化,具体化,也就是设计系统的结构,进行模块的划分,确定各个模块的功能,接口。由于时间的关系我不能很好地完成Firewall的所有功能,所以该系统在设计之初便定义八个功能模块,以后再逐步扩展和根据网络的需要逐渐更新,而且几个模块各个部分的实现功能都比较简单。
1.1 基本功能
1)监控本地主机Tcp通讯:监控本地Tcp通讯端口状态,显示本地主机开放的端口号,远程主机的端口号,远程主机的IP地址等信息。
2)系统预定义过滤规则,系统提供了三个预定义规则:
低级:不过虑任何数据包;
中级:过滤局域网数据包,防止局域网用户访问本地主机;
高级:除了过滤局域网数据包外,还能阻止常用特若伊木马的攻击;
3)用户自定义过滤规则,用户可以自己定义数据包过滤规则:
自定义要过滤的远程主机的IP;
自定义要过滤的远程主机的端口;
自定义要过滤的本地主机的端口;
自定义要过滤的特若伊木马的端口;
用户可以根据上面的4条自定义过滤规则定义自己的过滤规则。
4)日志记录,实时记录允许通过的数据包的状态:
远程主机IP,端口,本地端口,通讯状态,通讯时间等,实时记录被过滤的数据包的状态。
包括:被过滤的时间,被过滤的方式:用户手动还是系统自动。
5)通讯控制,根据通讯状态,用户可以手动禁止或允许通讯,如:禁止正在进行的通讯,禁止本机与外界的任何数据通讯。
6)系统通讯状态分析,通过对本地主机通讯纪录的分析,以图表的方式显示出系统的通讯状态:
收到包的数量,分别列出各种数据包:IP包,ICMP包,TCP包,UDP包;
发送包的数量,分别列出各种数据包:IP包,ICMP包,TCP包,UDP包;
通讯数据量排前5位的远程主机的信息:端口号,IP地址;
通讯的数据量排在前5位的本地主机的端口号。
7)智能提醒,系统根据系统的设置对可能危险的数据通讯提出警告信。
8)断开和开通网络:可以禁用或允许用户拨号上网。
1.2 增强功能
1)服务:为其他主机提供Http,ftp,telnet等服务。
2)用户可以自己选择本地服务器的端口及服务类型:HTTP,FTP,TELNET等。
3)实时监控使用此服务的客户机的状态:
"XX客户机的XX端口正在跟远程XX主机的XX端口建立连接"
"XX客户机正在跟远程XX主机XX端口断开连接"
"XX客户机正在发送包含用户名和密码的数据"
"XX客户机正在使用通讯命令进行操作,如:telnet,ftp等"
4)用户可以手动停止和开启各种服务功能。
2 多层防火墙的实现
双击系统地可执行文件,启动系统,系统启动,出现一张代表系统启动的图片,图片5秒后消失,会在任务栏出现一个灭火器形状的图标,此图标代表着防火墙的启动,右击该图标,会出现防火墙的主功能界面,如下图所示。
1)主界面主要完成4个方面的功能,包括通讯监控、系统预定义安全规则、自定义过滤规则和日志记录。通讯监控包括监控远程主机IP,远程主机端口,本地端口,监控的状态,通过监控通讯可以实时查看本地主机与哪些远程主机和端口处于何种通信状态,使用户清楚了解网络的通讯状况。实时监控所有端口的连接情况使用微软的IP助手库函数(iphlpapi.dll)。其中的GetTcpTable函数能返回当前系统中全部有效的TCP连接。
2)服务功能:服务为其他主机提供了HTTP,FTP,Telnet等服务。用户可以自己选择本地服务器的端口及服务类型。能实时监控使用此服务的客户机的状态,用户可以手机停止和开启和种服务功能。
3 结束语
针对网络安全要求,结合现代防火墙的常用技术,本文给出了多层防火墙的设计与实现。通过该防火墙的设计,提高了个人或者服务器上的网络防护功能,但是本防火墙的设计仍有许多可改进之处,有待进一步的研究。
参考文献
网络安全定义范文4
摘要:本文通过对IPSec协议的探讨,通过Windows2003中IPSec协议的应用实例进行IPSec协议在网络安全中的应用探讨,为网络安全提供了一种实用的解决办法。
关键词:IPSec协议;网络安全,
随着互联网的快速发展,整个网络的开放程度在不断提高,人们在方便、快捷的使用网络时,网络所产生的安全隐患也在时时刻刻出现。一般来说,在确保网络安全性时基本上是通过安装网络设备、杀毒软件或者购买网络防火墙等方式。虽然这些方式可以较好的保障网络的安全,但是在安装时将产生大额的支出,一般或家庭用户是不愿意也不太能够所承担的。本文以Window2003为例,对IPSec协议概念、IP安全策略设置、禁用协议、数据加密与身份验证四个方面进行论述,并通过Windows2003中IPSec协议的使用实例进行IPSec协议在网络安全中的应用。
一、IPSec协议概念
IPSec的全称是Internet Protocol Security,其中文释义为Internet协议安全性。是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。它的作用主要有两个:一个是保护 IP 数据包的内容,另外一点就是通过数据包筛选并实施受信任通讯来防御网络攻击。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种能力,以保护工作组、局域网计算机、域客户端和服务器、分支机构(物理上为远程机构)、Extranet 以及漫游客户端之间的通信。
二、IP安全策略设置
在“开始”中打开“运行”对话框,运行MMC打开控制台,从“文件”菜单中打开“添加/删除管理单元”,在打开对话框的独立”页框中点击“添加”命令按钮打开添加独立管理单元”对话框,从中选择“IP安全策略管理”,点击下方“添加”命令按钮打开“选择计算机或域”对话框,在此仅以本地计算机为例,选择“本地计算机”,点击下方“完成”命令按钮,依次点击“添加独立管理单元”对话框的“关闭”按钮关闭此对话框,点击“添加/删除管理单元”对话框的“确定”命令按钮返回控制台主界面,此时我们将会看到IP安全策略被添加到控制台的界面。在控制台中右键单击IP安全管理选择“创建IP安全策略”,打开IP安全策略创建向导,按照向导依次完成输入要创建的IP安全策略的名称、取消激活默认响应规则、取消编辑属性等操作来添加一条安全策略。此时我们将会看到右侧窗格显示已出新创建的IP安全策略。其中第一条是通过以上步骤新创建的安全策略,后三条是追加的默认安全策略。
三、禁用协议
通过以上步骤我们创建一条禁止任何计算机Ping本台计算机的安全策略,在右侧窗格中右键单击创建的策略,选择“属性”,打开安全策略属性对话框。
我们可以消掉下方“使用添加向导”选项后点击“添加”命令按钮,打开新规则属性对话框,各个页框中我们可以进行新规则内容的定义。对于我们要定义的禁止任何计算机Ping本计算机的安全策略,我们在“IP筛选器列表”中点击“添加”命令按钮来定义Ping命令的数据类型。
打开IP筛选器列表对话框。在对话框中输入筛选器列表名称,取消“使用添加向导”选项后点击“添加”命令按钮,打开筛选器属性对话框。在对话框中选择数据传输的方向,在此我们在源地址中选择“任何IP地址”,目标地址中选择“我的IP地址”。点击“协议”页框,在“选择协议类型”中选择“ICMP”协议(Ping命令所使用的协议),依次点击确定返回“新规则属性”对话框。
在“新规则属性”对话框中选择“筛选器操作”页框.取消下方“使用添加向导”选项后单击“添加”命令按钮添加筛选操作。在打开的“新筛选器操作属性”对话框的“安全措施”页框中选择“阻止”选项,在“常规”页框中为定义的筛选器命名并添加描述,单击。确定”命令按钮返回“新规则属性”对话框,分别在“IP筛选器列表”和“筛选器操作”页框中选择新建的选项点击下方的“应用”命令按钮,然后单击“确定”命令按钮返回控制台,此时一条全新的IP安全策略已经定义完成,在控制台右侧窗格再次右键单击创建的安全策略,选择“指派”,那么新创建的安全策略会即刻生效,任何计算机再尝试Ping本计算机时都会显示Request timeout(请求超时)信息。
四、数据加密和身份验证
新创建一条IP安全策略,其他相同操作在此不再累述。在“新规则属性”对话框的“筛选器操作”页框中点击“添加”命令按钮,打开“新筛选器操作属性”对话框,在“安全措施”页框中选择“协商安全”选项,然后点击“添加”命令按钮打开“新增安全措施”对话框。我们既可以仅保持数据完整性,也可以同时进行加密,在此我们选择“自定义”,然后点击“自定义”选项下的“设置”命令按钮打开“自定义安伞措施设置”对话框,在此可以进行加密算法和生成密钥间隔选项的定义,然后确定返回。然后同样“新规则属性”对话框中选择“身份验证”页框,在页框中点击“添加”命令按钮打开“身份验证方法”对话框,在此有三种验证方案,分别是:Active Directory默认值(Kerberos V5协议)、使用由此证书颁发机构(CA)颁发的证书和使用此字符串(预共享密钥),前两种方案分别使用在域控制器环境下和有证书验证服务器环境下,因此在此使用第三种方案——预共享密钥,并在下面编辑框中输入用作密钥的字符串,依次确定关闭返回控制台。在另外一台要和本计算机通信的计算机上进行同样的配置,这样就能够保证两台计算机的通信是加了密的,并要进行身份验证成功后才能够进行通信。
五、小结
本文对IPSec协议概念、IP安全策略设置、禁用协议、数据加密与身份验证四个方面进行了论述,并通过Windows2003中IPSec协议的使用实例进行了IPSec协议在网络安全中的应用,通过应用表明文中IPSec协议的使用有效。
参考文献
[1] 谢希仁.计算机网络[M].电子工业出版社,2008
[2] 莫炜凌,田艾平.基于IPSec的数据包处理[J].计算机应用与软件,2002(12)
[3] 李泽光,郝莉,徐晖.IPSec安全体系与实施[J].网络安全技术与应用,2005(02)
[4] 张莉.采用IKE协议提高IPSec安全性的应用[J].网络安全与技术,2011(7)
[5] 盛后敏.使用IPsec保证网络的安全性.
作者简介:
网络安全定义范文5
关键词:计算机 网络安全 新技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2014)05-0191-01
1 引言
计算机技术的普及为人们的生活提供了极大的便利,但是因为目前的计算机网络中形式的多样化、客户端分布不平衡以及网络的开放性和互联性的特性,使得目前的网络会受到一些非法的组织以及个人的恶意攻击以及破坏,因此计算机网络安全以及信息的保密性成为一个关键性的问题。强化计算机网络安全,成为目前计算机网络技术的重大问题。现在的企业的信息以及经营,也已经在很大程度上越来越依赖网络,其中存在着巨大的企业资料以及信息,如果计算机网络出现了漏洞,会造成信息的丢失、延迟,或者被不法分子恶意的破坏、篡改、会为企业的经营带来巨大的损失。对于政府来说,网络的安全就会有更大的现实意义,关系到一个国家安全以及利益。
2 计算机网络安全概述
计算机网络安全的含义,所谓的计算机安全是指通过建立和采取的的技术以及管理来保护数据的安全,通过对计算机的软硬件的保护,确保资料稳定,不会因为偶然或者恶意行为而丢失、破坏或者泄露。相对的计算机网络安全的定义为通过对计算机网络中的软硬件以及数据的保护,确保网络中的数据的安全、完整、保护,保证信息的安全。而实际应用中关于计算机网络安全的定义会因为使用环境不同而不同。对于我们普通的使用者,更加关注的的计算机网络安全更重要的是对个人的隐私以及机密在网络环境中的安全,避免遭到恶意泄露。对于网络运营商,关注的不但有客户在使用网络时的安全,更重要的是考虑怎样面对一些突发事件,例如自然灾害、战争等对于网络安全带来的巨大影响。
3 信息加密技术的新发展及其在计算机网络安全中的应用
计算机加密技术作为一种新兴的的计算机网络安全技术,得到了巨大发展,逐渐发展出了对称以及非对称加密技术,目前正在发展更加有效地加密技术。目前出现了数字签名技术、信息隐藏技术以及量子加密技术,为计算机网络安全提供了新的方法。
3.1 数字加密技术
3.1.1 数字签名技术
数字签名技术室对非对称加密技术的改进,能够保证信息交易业务的安全,主要应用在保证电子商务安全以及公司局域网的安全。目前的电子商务主要是利用RSA加密技术以及SSL协议确保交易的安全。通过数字签名技术能够保证信息发送向唯一的地址,所以通过数字签名签名技术只有通过私人秘钥才能完成,所以不能复制,只要开始交易,就会留下能以否认的记录信息。通过数字签名技术可以确保电子商务的安全,客户能够放心的进行电子商务操作。
3.1.2 信息隐藏技术
信息以藏技术是在信息加密技术上的改进,基本的原理是利用隐蔽算法将信息嵌入隐蔽载体中,然后通过使用原始的隐蔽载体和秘钥完成信息的提取,将隐蔽的信息变为能够阅读的信息。这种加密算法经常应用在局域网中,在局域网的信息传播中,通常是将信息在各个部门统一传播,但是会隐藏一些仅仅发送给个人的信息,而这些个人可以使用秘要完成信息的阅读。通过这样的信息加密技术,具有很高的的实效性,出去了由于二次信息加密以及传输带来的风险,除此之外由于隐藏的信息不易检测,可以具有更高的安全性。
3.1.3 用户加密技术
在网络发达的时代,用户加密技术是最基本常见的技术,作为administrator的用户来讲,在用户设置面板就会见到,密码设置以及改制是非常简单而且易懂的。作为Administrator,可以行使的权利是超级多的。切换User可以使你在计算机中的多重利用,节省资源又便利。
3.2 防火墙技术
防火墙技术虽然面临着最近几年跟中网络新技术的冲击,但是因为自身的特点及不断对自身技术的完善,依然是网络安全中最用价值的技术。可以分为软件、硬件以及芯片级的防火墙技术。
3.2.1 软件防火墙技术
软件防火墙技术需要在特定的计算机上运行,越要利用客户已经安装的计算机系统为操作的基础,这样一台特定的计算机可以定义为整个网络防火墙,可以叫做“个人防火墙”。软件防火墙需要其他的软件运行一样,经过在计算机上的安装才能完成功能。有时需要一定的专业知识完成对软件防火墙的操作。
3.2.2 硬件防火墙
硬件防火墙需要一定的硬件平台作为运行的基础。目前经常使用的硬件防火墙都是一种PC结构的框架,所以仅从这一点上来看,与我们家庭中使用的计算机没有什么不同。通过在这样的一种PC框架上完成一些讲过了剪裁或者简化的操作系统,完成对计算机网络的安全保护。但是目前这种安全技术仍然需要其他的内核作为操作基础,所以会多少的受到操作系统本身的限制。
3.2.3 芯片级防火墙
芯片级防火墙是一种以专用的硬件作为基础,不需要专门的操作系统的支持。专用的芯片因为自身特点,具有更快地的工作速度,更高的处理能力,以及更加效率的性能。目前经常使用的芯片级防火墙由于还是比较少的,所以防火墙本身会有一定的漏洞,会有一些漏洞,而且价格比较高,需要更加进一步的发展。
4 结语
随着电子商务、远程教学、企业办公等越来越多的进入人们的生活,人类现在的生活的各个方面都与计算机以及网络息息相关。努力提升网络的安全,发展能够在现代化的应用环境下,更加合理高效的保证计算机网络安全的技术已经显得更加重要。也只有在确保了计算机网络的安全后,才能更大可能发挥网络信息时代的特点,真正进入人们的生活的每个细节,为提升人们的生活质量做更多的贡献。
参考文献
[1]徐安平.计算机网络安全管理技术的开发和应用[J].中国新技术新产品,2011,(04).
[2]谢药.网络时代计算机网络安全管理技术与应用[J].科技情报开发与经济,2013,(14).
[3]倪亚会.谈计算机网络安全管理的一些技术与方法[J].计算机光盘软件与应用,2012,(01).
网络安全定义范文6
关键词:船载计算机网络;安全分析;漏洞相关性
引言
电子信息产业在不断发展,使得造船业的现代化和信息化水平不断提高,越来越多的电子信息和计算机设备被应用于现代化的船舶之中,使得船舶的安全性,自动控制能力和功能性等都得到了极大的提高,从而为航运业、海洋科考等业务提供了更加有力的支持,使得原先难以完成或成本较高的业务变为可能。同时,随着信息化水平的不断提高,船舶遂行各种任务的难度也越来越低,因此也就使得对船舶乘员的要求逐步降低,减少了相关业务的执行成本,对海洋经济的持续发展发挥了重要的作用[1-3]。船载通信网络是连接各种船载电子信息系统的计算机网络。在当前的各种船舶中,多种船载设备的控制电脑和计算机系统往往需要协同工作,以完成较为复杂的任务以及航行的安全,因此连接这些电子信息系统的通信网络就如同大脑的神经一般,显得尤为重要,因此,该网络的可靠性和安全性是当前海洋科技研究的重要课题之一。然而以往的研究成果中,往往将计算机网络的漏洞当作孤立事件进行研究,并未考虑到不同漏洞间的相互关系[4-5],因而其实际应用效能受到较大局限。例如,在船舶环境中,连接发电机或火灾报警系统的通信网络发生问题,势必会引起船载通信网络其他部分的失灵和故障。为解决这一问题,本文提出一种基于漏洞间相互关系的计算机网络安全分析方法,该方法通过定义漏洞相关矩阵和漏洞相关图,能够对网络的安全性和可靠性进行更加全面和准确的分析。
1网络漏洞相关性
在网络攻击的过程中,攻击者通常利用某个特定节点的漏洞渗透到网络之中,继而利用网络中其他节点的漏洞,进一步渗透到深层系统中。攻击者会不断重复以上过程,直到攻击成功。从以上过程可知,不同的漏洞具有相关性,当攻击者利用了其中一个漏洞之后,其他相关的漏洞也相继暴露,为整个船载计算机网络的安全性带来了极大的危害,因此,需要综合考虑船载计算机网络的多种漏洞,并全面分析他们之间的相关性。为此首先定义网络漏洞的相关性如下:定义1假设V为网络漏洞的集合,其中漏洞v1∈V,如果存在一个V的子集V1∈V,其中的任一漏洞v,其前提均为v1,则我们称漏洞v1与集合V具有相关性。根据定义1可知,集合V中的漏洞可以为一个也可以为多个,然而在实际攻击过程中,攻击者很少利用多个漏洞的情况,因此,本文主要讨论单个漏洞和单个漏洞之间的关系。因此可以用函数c(vi,vj)来表示任意2个漏洞间的相关关系,函数的值为布尔类型,若v1是v2受到攻击的前提,那么c(v1,v2)=1,否则函数值为0。其中,具有相关性的2个漏洞可以处在不同的网络节点上或同一网络节点上。通过以上过程,可以定义任意2个网络漏洞间的相关关系,因此可以得到一个0-1矩阵A,则我们可以得到网络漏洞相关矩阵的定义:定义2假设集合V为已知的所有网络漏洞的集合,集合中元素的数量为N。那么矩阵CNN为该网络的漏洞相关矩阵,其中cij=c(vi,vj)。显然,矩阵CNN中的每一行表示漏洞vi被攻击后,其他网络漏洞集合V被进一步利用的可能性;每一列表示其他网络漏洞集合V被攻击后,漏洞vi被进一步利用的可能性。那么可以定义漏洞vi的相关性如下所示:Rvi=∑Nj-1(ci,j+cj,i)-ci,j。漏洞vi的相关性反应了漏洞vi被攻击者利用的可能性,当一个漏洞的相关性越大,其越容易被攻击者利用,反之则越不容易。构建一个网络全部漏洞的相关性矩阵需要根据相关的安全分析标准或数据库,如BUGTRAQ,CAE和OSVDB等。而构建漏洞相关性矩阵或相关性图的过程如图1所示。
2基于漏洞相关性的安全分析方法
根据以往研究成果,假设攻击者在攻击得手之前,不会放弃已经攻击的任何一个网络漏洞,同时不会进行无关紧要的其他操作,采用贪婪式的操作方式,按照漏洞的顺序,以此对当前已经暴露的漏洞进行利用。那么,漏洞相关性图则可以从攻击者的角度,给出网络安全性的整体视图,如图2所示。根据图2可以得到漏洞相关性图的形式化定义如下:定义3假设VI为网络漏洞的非空集合,假设其有一个非空子集VA,攻击者依次对VA中的漏洞进行攻击,并利用VA中不同漏洞的相关性进行了多个阶段的攻击,那么连接VA中不同漏洞的有向图,即为该网络的漏洞相关性图。显然,网络漏洞相关性图一方面由不同漏洞的相关性决定,另一方面由当前网络的安全状态决定。那么我们可以提出安全分析方法的步骤如下:1)选定一个可扫描安全状态的网络终端hm;2)选定hm中的一个未被使用的漏洞vi,其前提漏洞已经被攻击,或vi为发现的第一个漏洞;3)计算vi与攻击对象的相关性,然后将vi记录在系统的漏洞相关图中;如果该漏洞与攻击对象无关,那么搜索其他的任意一个终端hm+1,使得该漏洞vj的前提为vi,即c(vi,vj)=1;4)如果发现能够满足条件3)的终端hm+1,那么继续在hm+1上重复以上过程,直到该终端上的所有漏洞均被遍历完毕。5)选择另一个能够被扫描安全状态的终端h',在h'上继续以上过程,直到所有能够被扫描安全状态的终端,全部被遍历完毕。假设网络中的终端数量为H,网络漏洞集合Vk中元素的数量为M,那么可得:因此可得,本文提出的方法能够在多项式时间内完成网络安全分析。
3实例验证
为了研究相关性图的规模与攻击者步骤数目之间的关系,进行了实例验证,采用的实验网络中包含10个终端,且每个终端中包含16个漏洞,则得到了攻击步骤数量与网络终端个数之间的关系如图3所示,攻击步骤数量与可利用网络漏洞数量间的关系如图4所示。由以上验证结果可以看出,本文提出的方法能够适应大规模网络安全分析的需求,因而能够应用于船舶电子信息系统的计算机网络安全与可靠性分析业务中。
4结语
