㈠ 有關網路安全的環節和網路存在的社會性問題的解決方案
1.網路安全的環節
究竟哪個部分才是網路中最薄弱的一環?Internet防火牆、防病毒軟體、遠程式控制制的PC、還是移動辦公用的筆記本電腦?大多數的安全專家都同意這樣一種觀點:狡猾的電腦黑客往往可以通過向特定的用戶提幾個簡單的問題就能入侵幾乎所有的網路。
他們不僅會使用各種技術手段,還會利用社交工程學的概念來進行欺詐,通俗一點來說,他們會利用人類與生俱來的信任並幫助他人的願望以及對未知事物的好奇心,他們利用這些弱點騙取用戶名和口令,使得那些採用各種先進技術的安全防護措施形同虛設。
如果你對這種情況還沒有特別的感性認識,可以參看我們的插文「黑客經常使用的5種詭計」,並反思一下自己在那種情況下是否也會輕易上當。不過在那篇插文中所涉及的詭計也只是黑客用來刺探有用信息的一部分辦法而已。
實際上,電腦黑客無需與任何人交談就能獲得大量的信息,他們只要訪問你所在公司的Web網站,就能知道公司的各個領導職位、財務信息、組織結構圖以及員工的e-mail地址和電話號碼。另外,他們還會從公司扔掉的舊文件中篩選出很多有價值的東西,比如組織結構圖、市場計劃、備忘錄、人力資源手冊、財務報表、公司規章制度和流程說明等等。黑客們會利用這些信息來獲取該公司員工的信任,比如偽裝成員工、客戶給該公司的雇員打電話或者發郵件,一步一步獲得對方的信任,最終通過他們進入公司的網路。
從公司員工那裡獲取信息的技術包括以下幾類:
◆ 用一大堆難以理解的信息或各種奇怪的問題來搞亂某個員工的思路,讓你無法摸清他到底想干什麼。
◆ 黑客們還會故意給你設置一些技術故障,然後再幫你解決它以博得你的信任。這種方法被稱為反向社交工程學。
◆ 用帶有強烈感情色彩的語氣甚至是恐嚇的口氣命令你服從他的指示。
◆ 如果發現你有抵觸情緒,他會適當放棄幾個小的要求。這樣一來你就覺得你也應當滿足他的要求以作為回報。
◆ 不斷與你分享信息和技術而不要求任何回報(至少開始時是這樣的),而當黑客們向你提出一些要求的時候,你會覺得必須告訴他們。
◆ 假裝與你擁有同樣的愛好和興趣,借機混入你所在的興趣小組;
◆ 謊稱你可以幫助某個同事完成一項重要的任務;
◆ 與你建立一種看上去十分友好而且毫無利益糾葛的關系,然後一點一點從你口中套出公司的常用術語、關鍵雇員的姓名、伺服器以及應用程序類型。
你還需要注意,有很大比例的安全問題是出在那些心懷不滿的雇員或者非雇員(比如公司的客戶或合作夥伴)身上,他們往往會泄露不該泄露的信息。人們總是容易忽略來自內部的危險。
當然,社交工程學並不僅僅局限於騙取公司的保密資料。黑客們也常常利用這種技術從個人用戶那裡騙取可用來進行網上購物的信用卡號、用戶名和密碼。他們常用的伎倆是通過e-mail和偽造的Web網站讓用戶相信他們正在訪問一個著名的大公司的網站。
如果你仍然對社交工程學的作用心存疑問,至少也應該提高警惕、小心防範。Kevin Mitnick是20世紀最臭名昭著的黑客之一,他曾經多次向媒體表示,他攻破網路更多地是利用人的弱點而不是依靠技術。
另一方面,大多數公司更捨得在安全防護技術上投入大量的金錢,但卻忽視了對雇員的管理。而絕大多數的安全產品和安全技術都沒有考慮社交工程學的因素。那麼,你究竟應該如何應對呢?
你應該從兩個方面來解決這個問題:首先你應該對容易泄露公司信息的物理場所(包括辦公桌、文件櫃和Web網站)進行必要的保護;其次,你應該對公司的員工進行安全防範方面的教育,並制定出清晰的規章制度。
物理空間的安全可能是相對比較簡單的部分。下面我們列出了一些比較重要的提示,大多數都覆蓋了上述的兩個方面(物理保護和規章制度)。
◆ 讓所有的公司雇員和來訪人員都佩戴能夠表明身份的胸卡或其他標識。 對於來訪的人員,一定要有專人護送他們到達目的地。
◆ 檢查一下哪些文檔是必須隨時鎖好的,哪些是可以扔進碎紙機被處理掉的。
◆ 應當把文件櫃鎖好並放在安全的、可監控的地方。
◆ 確保所有的系統(包括所有的客戶端PC)都使用密碼進行保護,應當使用強壯的口令並定期進行更改。
每台機器還應該設置為幾分鍾空閑後就進入屏幕保護程序,而且要設置屏幕保護口令。
◆ 如果硬碟上的文件包含有保密信息,應當使用加密的辦法進行保存。
◆ 不要在公共Web網站上透露太多有關公司的信息。 建立一套良好的安全制度以及對員工進行相應的培訓要更困難一些。公司員工通常意識不到他們所散布出去的信息有非常重要的價值。必須經常教育他們在面對陌生人的信息咨詢時保持警惕,這樣才不會輕易上當受騙。
培訓員工的最好方式是讓老師在培訓之前先利用社交工程學技術從他們嘴裡套出一些有價值的信息,然後老師再把這些例子作為反面教材進行分析和講解。
你需要制定一套清晰的規章制度,讓大家知道哪一類信息是任何情況下都不能泄露給他人的。很多表面上看上去沒什麼用的信息(比如伺服器名稱、公司組織結構、常用術語等)對黑客們來說都是有價值的。你的規章制度中應當詳細說明各種信息的訪問規則,而且對於應當採取的安全防範措施也應加以詳細說明。對於違反這些規定的行為要有明確的懲罰措施。如果你制定的規章制度比較詳細而清晰,員工就不那麼容易泄漏公司信息。
目前專門用於對付社交工程學的工具還很少見,不過有些內容過濾工具和反垃圾郵件產品(比如MailFrontier Matador)可以用來防止員工通過電子郵件向外泄露信息或者防止外來的欺詐郵件。Matador採用了一系列專利技術來識別可疑的電子郵件。
與社交工程學進行斗爭是一項長期而艱苦的工作,因為攻擊者也會不斷改進他們的戰術以突破現有的防範措施。因此一旦出現了新的欺詐方式,你就需要盡快制定出新的規章制度來進行防範。而且應當不斷提醒你的雇員,他們才是公司真正的防火牆。
黑客經常使用的5種詭計
①很多人都曾經收到過這樣的電子郵件:許諾你有機會獲得很高的獎金,而你所需要做的只是填寫一張注冊表單(寫下你的用戶名和密碼)。令人吃驚的是,有相當多的人都會對這類郵件進行回復,而其中又有相當比例的人所填寫的用戶名和口令與他們在公司網路登錄時使用的用戶名和口令一模一樣。黑客們只需要給一家公司的10多個員工發一封這樣的電子郵件,就能輕松獲得兩三個網路登錄口令。
②有時候在你的電腦上會突然彈出一個對話框,告訴你網路連接被中斷,然後要求你重新輸入用戶名和口令以恢復網路連接。還有些時候你可能會收到一封看上去來自Microsoft公司的電子郵件,提醒你應當運行附件中的安全升級程序。你對這個對話框和電子郵件的合法性產生過懷疑嗎?
③當你跑出去抽支煙並加入到聊天的行列時,也許會談起最近公司郵件伺服器發生的故障,對於一家大公司而言,你可能並不認識所有的員工,而這些閑聊的人中很可能混雜著一兩個不明身份的黑客。
④忽然跑來一個人要看一下你老闆的電腦(碰巧老闆可能外出了),說是老闆的Outlook出了問題,讓他幫忙修復一下。這個理由聽起來很有道理。Outlook軟體的確經常會出問題,但為什麼偏要在老闆不在的時候來修理呢?
⑤有時你會接到一個自稱是總裁助理的女子打來的電話,讓你告訴她某些個人或者公司的信息。她會叫出公司領導的名字或者不經意透露一點只有公司內部員工才知道的信息來打消你的懷疑。
2.網路存在的社會性問題的解決方案
http://www.caoc.com.cn/DownLoad/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3/%BC%C6%CB%E3%BB%FA%C9%F3%BC%C6%B4%F3%BD%B2%CC%B3-4-%BC%C6%CB%E3%BB%FA%CD%F8%C2%E7%D0%C5%CF%A2%B0%B2%C8%AB.ppt#292,
在社會性網路中,由於人與人之間的交流通常是在防火牆外進行,對於交流的內容,僱主無法控制,因此社會性網路有可能成為安全和法規遵從的夢魘。舉個例子,員工在日常交流中談及彼此的工作時,就可能將公司尚未公開的項目泄露出去。
「這可能會為未來埋下隱患。」威爾斯·費高公司(Wells Fargo)高級副總裁兼首席系統架構師弗蘭克·李說。讓他感到擔憂的是,對於員工可能將敏感資料放到不受公司控制的外部社會性網路這一事實,公司幾乎無能為力。
企業社會性網路的出現消除了這種顧慮。「我們需要企業級數據和應用安全。」SelectMinds公司的伯克維奇(Berkwitch)說,「我們需要在足夠自由的溝通與相對保守的企業之間謀求平衡,從而向他們確保這種溝通並不是隨心所欲的脫口秀。」這一謹慎的做法,幫助SelectMinds與多家大規模的會計和財務公司建立了合作關系。
然而,SelectMinds僅僅在小范圍內獲得了成功。某些公司仍然迴避使用無法向管理者提供絕對控制權的應用程序。
美國國家情報署A區(National Intelligence Department's A-Space)所面臨的安全挑戰令人瞠目結舌。這在一定程度上歸咎於它選擇了一個基於網路的社會性網路,而非一個需要通過16道不同的安全關卡,跨越16個不同防火牆的桌面客戶端。然而,即便它選擇的是後一種方式,那些保存在瀏覽器甚至安全內聯網內的敏感數據,也必然會引起高度"關注"。
事實上,該區可以通過觀察流量模式的方法確保安全,比如尋找可疑的異常搜索。「我們絕不能對此掉以輕心,」韋特默(Wertheimer)強調,「這是一場竊取情報的夢魘。你得問問自己,如果有一隻壞蟲子爬進來,它能偷走多少東西?盡管如此,回報仍然大於風險。」他說。
與此同時,來自社交網路的風險顯然還不足以讓企業安全廠商涉足其中。電子郵件過濾廠商MessageGate公司本可將其業務平台拓展到社會性網路,但他們認為並沒有這個必要,MessageGate的營銷副總裁羅伯特·佩茲(Robert Pease)說。
當然,並不是所有的社會性網路工具都遵循Facebook和Linkedin以社區為核心的做法,Visible Path公司就是其中之一。利用20年前發展起來的統計技術,Visible Path公司的軟體產品可以通過多種途徑辨別關系的強弱,比如檢查信息來源,收集並分析日歷,通話,電子郵件所記錄的個人活動,接收和發送信息的比率,以及用於私人交流的時間長短等。
「我們非常注重商人們所從事的各種交易」,Visible PathCEO安東尼·布萊頓(Antony Brydon)稱。Visible Path與商業研究機構Hoover公司旗下的Hoover's Connect網站合作,讓用戶了解到他們是怎樣與Hoover公司資料庫內的公司和個人聯系在一起的。這就是通常所說的六度分割理論(Six Degrees Of Separation Concept)。Linkedin網站的做法與此相仿,也將朋友的朋友視作一種潛在的聯系。
諾思羅普·格魯曼公司(Northrop Grumman)用將近10年的時間營建了一個類似於社會性網路的系統,將其遍及美國各州以及其他幾個國家的120,000名員工聯系在一起。
諾思羅普公司將其稱為「實踐社區」,員工們圍繞某個主題或技術組成不同的團隊,從系統工程精英小組到新職員社區,幾乎覆蓋了公司的所有成員。這些社區包含與社區相關的一些文件,以及資料詳盡的團隊成員名單。真正的協作還需要一份電子郵件分發名單,不過,那是促進這類溝通的社區的任務了。諾思羅普公司的知識管理主任Scott Shaffar說。
「實踐社區」發揮了重要的作用。比如,系統工程小組如今正致力於將工程程序以及職業發展和招聘流程規范化;通過該系統,找到了一名為日本客人提供翻譯的譯員;對工作感到困惑甚至茫然的新員工也有了聚集和交流經驗之所。最振奮人心的是,諾思羅普公司甚至通過其社區找到了一名熟悉常用於國防部門應用程序的Ada代碼的程序員,從而節省了每年50,000美元的招聘成本。
過去,年輕人推動了社會性網路的發展趨勢;如今,商業人士和IT精英們也在加快步伐。誠然,社會性網路的弊端顯而易見且難以迴避,但對於絕大多數公司來說,其巨大價值仍有待發掘。
㈡ 影響網路安全的因素
網路系統自身的脆弱性 所謂網路系統的脆弱性是指系統的硬體資源、通信資源、軟體及信息資源等,因可預見或不可預見甚至惡意的原因,可能導致系統受到破壞、更改、泄露和失效,從而使網路處於異常狀態,甚至導致崩潰、癱瘓等的根源和起因。計算機網路由於系統本身可能存在的不同程度上的脆弱性,為各種動機的攻擊提供了入侵或破壞系統的可利用途徑和方法一、硬體系統網路硬體系統的安全隱患主要來源於設計,主要表現為物理安全方面的問題,包括各種計算機或者網路設備(主機、電源、交換機、路由器等),除了難以抗拒的自然災害外,溫度、濕度、靜電、電磁場等也可能造成信息的泄露或失效。二、軟體系統軟體系統的安全隱患來源於設計和軟體工程中的問題。軟體設計中的疏忽可能留下安全漏洞,比如4月30日震盪波(Sasser)病毒被首次發現,短短一個星期時間之內就感染了全球1800萬台電腦。它利用微軟公布的Lsass漏洞進行傳播,可感染WindowsNT/XP/2003等操作系統,開啟上百個線程去攻擊其他網上的用戶,造成機器運行緩慢、網路堵塞。「震盪波」病毒在全球帶來的損失已達5億美元。軟體系統的安全隱患主要表現在操作系統、資料庫系統和應用軟體上。三、網路和通信協議目前在網際網路普遍使用的標准主要基於TCP/IP架構。TCP/IP並不是一個而是多個協議,而TCP和IP只是其中最基本也是主要的兩個協議。TCP/IP協議是美國政府資助的高級研究計劃署(ARPA)在二十世紀七十年代的一個研究成果,目的是使全球的研究網路聯在一起形成一個虛擬網路,也就是國際互聯網。由於最初TCP/IP是在可信任環境中開發出來的成果,在協議設計的總體構想和設計的時候基本上未考慮安全問題,不能提供人們所需要的安全性和保密性。概括起來,網際網路存在以下嚴重的安全隱患1. 缺乏用戶身份鑒別機制於TCP/IP使用IP地址作為網路節點的惟一標志,在Internet中,當信息分組在路由器間傳遞時,對任何人都是開放的,路由器僅僅搜索信息分組中的目的地址,但不能防止其內容被窺視,其數據分組的源地址很容易被發現,由於IP地址是一種分級結構地址,其中包括了主機所在的網路,攻擊者據此可以構造出目標網路的輪廓,因此使用標准IP地址的網路拓撲對網際網路來說是暴露的。另外,IP地址很容易被偽造和更改,TCP/IP缺乏對IP包中的源地址的真實性的鑒定和保密機制,因此,網際網路上任何主機都可以產生一個帶任意IP地址的IP包,從而假冒另一個主機IP地址進行欺騙。2. 缺乏路由協議鑒別認證機制TCP/IP在IP層上缺乏對路由協議的安全認證機制,對路由信息缺乏鑒別與保護。因此,可以通過網際網路利用路由信息修改網路傳輸路徑,誤導網路分組傳輸。3. 缺乏保密性TCP/IP數據流採用明文傳輸,用戶帳號、口令等重要信息也無一例外。攻擊者可以截獲含有帳號、口令的數據分組從而進行攻擊。這種明文傳輸方式無法保障信息的保密性和完整性。4. TCP/IP服務的脆弱性TCP/IP應用的主要目的是為了在網際網路上的應用,也就是提供基於TCP/IP的服務,由於應用層協議位於TCP/IP體系結構的最頂部,因此下層的安全缺陷必然導致應用層的安全出現漏洞甚至崩潰,而各種應用層服務協議(如DNS、FTP、SMTP等)本身也存在安全隱患。1.2.2安全威脅 一、網路安全的基本威脅計算機網路安全的基本目標是實現信息的機密性、完整性、可用性和資源的合法使用,安全威脅就是對這4個安全目標的威脅1. 信息泄露信息泄露是指敏感數據在有意、無意中被泄露、丟失或透漏給某個未授權的實體。它通常包括:信息在傳輸中被丟失或泄露(如利用電磁波泄露或搭線竊聽等方式截獲信息);通過網路攻擊進入存放敏感信息的主機後非法復制;通過對信息流向、流量、通信頻度和長度等參數的分析,推測出有用信息(如用戶帳號、口令等重要信息)。2. 完整性破壞以非法手段竊得對信息的管理權,通過未授權的創建、修改、刪除和重放等操作而使數據的完整性受到破壞3. 服務拒絕服務拒絕是指網路系統的服務功能下降或喪失。這可以由兩個方面的原因造成:一是受到攻擊所致。攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試而產生過量的系統負載,從而導致系統資源對合法用戶的服務能力下降或者喪失。二是由於系統或組件在物理上或者邏輯上遭到破壞而中斷服務。4. 未授權訪問未授權實體非法訪問系統資源,或授權實體超越許可權訪問系統資源。例如,有意避開系統訪問控制機制,對信息設備及資源進行非法操作或運行;擅自提升許可權,越權訪問系資源。假冒和盜用合法用戶身份攻擊,非法進入網路系統進行操作等。二、安全威脅的來源歸納起來,對網路安全的威脅和攻擊可能來自以下幾個方面。1. 內部操作不當信息系統內部工作人員操作不當,特別是系統管理員和安全管理員出現管理配置的操作失誤,可能造成重大安全事故。由於大多數的網路用戶並非計算機專業人員,他們只是將計算機作為一個工具,加上缺乏必要的安全意識,使得他們可能出現一些錯誤的操作,比如將用戶口令張貼在計算機上,使用電話號碼、個人生日作為口令等。2. 內部管理漏洞信息系統內部缺乏健全的管理制度或制度執行不力,給內部工作人員和犯罪留下機會,其中以系統管理員和安全管理員的惡意違規和犯罪造成的危害最大。內部人員私自安裝撥號上網設備,繞過系統安全管理控制點;利用隧道技術與外部人員內外勾結犯罪,也是防火牆和監控系統難以防範的。和來自外部的威脅相比較,來自內部的威脅和攻擊更難防範。而且是網路安全威脅的主要來源。3. 來自外部威脅和犯罪一般認為,計算機網路系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面 http://ttxx.tte.org/ttxx080617bak/Article/xinxjs/200810/2944.html
㈢ 網路安全在多網合一時代的脆弱性體現在哪
網路安全在多網合一時代的脆弱性主要體現在管理的脆弱性。
網路安全在多網合一時代的脆弱性體現在:
1、技術層面的脆弱性主要與資產本身的屬性有關,最典型的就是操作系統和應用軟體的漏洞;
2、管理層面的脆弱性則包括安全管理體系不完備和管理制度體系沒有得到有效的貫徹執行。
(3)網路安全薄弱的環節是擴展閱讀:
隨著網路技術的發展和光纖普及的加速,「多網合一」的技術問題得到有效的解決,在此技術基礎上,為了延長系統的長壽,國家住宅與居住環境工程研究中心提出了住區健康智能化系統的理念,即系統是健康的,還要為人們的健康居住服務。
系統是健康的內容主要包括系統資源消耗可以減少、系統功能可以延長擴充、系統依託網路可以獨立運行維護、系統設備可以自檢故障可以自行修復、系統可以建立基於GIS的遠程維護體系;健康的系統為人們的健康居住服務,包括人身安全可以在線查看、家用電器可以受控、商業服務可以交互、信息服務可以貼身、金融服務可以足不出戶等。
弱點或漏洞,是資產或資產組中存在的可能被威脅利用造成損害的薄弱環節,脆弱性一旦被威脅成功利用就可能對資產造成損害。脆弱性可能存在於物理環境、組織、過程、人員、管理、配置、硬體、軟體和信息等各個方面。
㈣ 周鴻禕認為網路安全存在哪些挑戰
周鴻禕認為,網路安全的危害已經從傳統網路攻擊影響的線上網路空間,擴展到國家安全、國防安全、關鍵基礎設施安全、社會安全、家庭安全,乃至人身安全。因此,周鴻禕認為網路安全已經從「信息安全」時代,進入了「大安全」時代。
第四,網路戰是最大的挑戰。
周鴻禕認為,大安全時代最大的挑戰是網路戰。從全球來看,在美國網路戰能力已經遙遙領先的情況下,其他國家也都在正競相開展網路武器軍備競賽。
因此,周鴻禕認為網路戰會是整體戰、超限戰,不分軍民,無所不用其極,全面提高攻擊和防禦能力已經迫在眉睫。
㈤ 信息領域最關鍵和最薄弱的環節是什麼
一是宏觀還不成體系、微觀還不成系統。宏觀上缺少全局洞察和集中管控,導致防護對象「碎片化」,微觀上「創可貼」式的建設,導致產品堆砌、防護失衡;
二是還不具備應對多樣化、未知性威脅的能力,隨著網路攻擊的打擊目標、武器、戰術等發生本質變化,目前的防護體系已經不能應對復雜形勢;
三是還沒有很好地適應新信息技術和應用,雲計算、大數據等新技術應用改變了信息化和業務環境,帶來了新的安全威脅,但很多關鍵信息基礎設施單位採用的還是傳統的安全防護手段,缺乏基於數據的威脅分析。
(5)網路安全薄弱的環節是擴展閱讀:
長期以來,我國信息產業基礎領域能力較弱,與產業規模不相適應,整體發展呈現應用強、基礎弱的「倒三角」形態。
我國在IGBT、電感器、感測器等關鍵產品方面依然落後國際先進水平,在物聯網等新興領域發展亟需的高精度感測器等領域也處於較為落後地位,而集成電路、平板顯示關鍵設備以及自動貼片機、薄膜流延機等核心專用設備則長期依賴進口。
在我國構建自主創新的信息產業的過程中,核心基礎產業仍然是需要突破的缺口,需要引起持續高度重視。