網路安全的風險分析與控制

A. 網路空間安全的風險包括人員的風險

1. 設備漏洞風險：盡管計算機系統由人創造，固有漏洞難以避免，可能被黑客利用進行攻擊。利用雲端免疫技術修補這些漏洞，是保護網路安全的重要措施。
2. 數據泄漏風險：隨著網路的發展，數據泄漏的風險日益增加。無論是政府、企業還是第三方供應商，都可能遭受數據泄露的威脅。
3. DDoS攻擊風險：DDoS攻擊是一種常見的網路攻擊方式，由僵屍網路發起，可導致伺服器癱瘓，拒絕服務。通過在防火牆上過濾無用埠，可以有效預防此類攻擊。
4. 網路匿名體系風險：網路的匿名性使得人們容易脫離法律約束，產生網路犯罪行為。
5. 流量劫持風險：新技術如人工智慧和5G的應用催生了大量流氓軟體，這些軟體可能會導致廣告彈窗、網址跳轉等現象，這些都是流量被劫持的跡象。

B. 網路安全風險與對策

網路安全風險與對策【1】

摘要：要使網路信息在一個良好的環境中運行，加強網路信息安全至關重要。

必須全方位解析網路的脆弱性和威脅，才能構建網路的安全措施，確保網路安全。

本文在介紹網路安全的脆弱性與威脅的基礎上，簡述了網路安全的技術對策。

關鍵詞：網路安全 脆弱性 威脅 技術對策

一、網路安全的脆弱性

計算機網路尤其是互連網路，由於網路分布的廣域性、網路體系結構的開放性、信息資源的共享性和通信信道的共用性，使計算機網路存在很多嚴重的脆弱性。

1.不設防的網路有許多個漏洞和後門

系統漏洞為病毒留後門，計算機的多個埠、各種軟體，甚至有些安全產品都存在著或多或少的漏洞和後門，安全得不到可靠保證。

2.電磁輻射

電磁輻射在網路中表現出兩方面的脆弱性：一方面，網路周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源;另一方面，網路的終端、列印機或其他電子設備在工作時產生的電磁輻射泄露，可以將這些數據(包括在終端屏幕上顯示的數據)接收下來，並且重新恢復。

4.串音干擾

串音的作用是產生傳輸噪音，噪音能對網路上傳輸的信號造成嚴重的破壞。

5.硬體故障

硬體故障可造成軟體系統中斷和通信中斷，帶來重大損害。

6.軟體故障

通信網路軟體包含有大量的管理系統安全的部分，如果這些軟體程序受到損害，則該系統就是一個極不安全的網路系統。

7.人為因素

系統內部人員盜竊機密數據或破壞系統資源，甚至直接破壞網路系統。

8.網路規模

網路規模越大，其安全的脆弱性越大。

9.網路物理環境

這種脆弱性來源於自然災害。

10.通信系統

一般的通信系統，獲得存取權是相對簡單的，並且機會總是存在的。

一旦信息從生成和存儲的設備發送出去，它將成為對方分析研究的內容。

二、網路安全的威脅

網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅;二是對網路中設備的威脅。

造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內部攻擊和外部攻擊等，歸結起來，主要有三種：

1.人為的無意失誤

如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

2.人為的惡意攻擊

這是計算機網路所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬於這一類。

此類攻擊又分為以下兩種：一種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

3.網路軟體的漏洞和後門

網路軟體不可能是百分之百的`無缺陷和漏洞的。

然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，黑客攻入網路內部就是因為安全措施不完善所招致的苦果。

另外，軟體的後門都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦後門洞開，其造成的後果將不堪設想。

三、網路安全的技術對策

一個不設防的網路，一旦遭到惡意攻擊，將意味著一場災難。

居安思危、未雨綢繆，克服脆弱、抑制威脅，防患於未然。

網路安全是對付威脅、克服脆弱性、保護網路資源的所有措施的總和。

針對來自不同方面的安全威脅，需要採取不同的安全對策。

從法律、制度、管理和技術上採取綜合措施，以便相互補充，達到較好的安全效果。

技術措施是最直接的屏障，目前常用而有效的網路安全技術對策有如下幾種：

1.加密

加密的主要目的是防止信息的非授權泄露。

網路加密常用的方法有鏈路加密、端點加密和節點加密三種。

鏈路加密的目的是保護網路節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

信息加密過程是由形形色色的加密演算法來具體實施的，加密演算法有許多種，如果按照收發雙方密鑰是否相同來分類，可分為常規密碼演算法和公鑰密碼演算法，但在實際應用中人們通常將常規密碼演算法和公鑰密碼演算法結合在一起使用，這樣不僅可以實現加密，還可以實現數字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

因此，密碼技術是信息網路安全的核心技術。

2.數字簽名

數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

數字簽名採用一種數據交換協議，使得收發數據的雙方能夠滿足兩個條件：接受方能夠鑒別發送方宣稱的身份;發送方以後不能否認他發送過數據這一事實。

數據簽名一般採用不對稱加密技術，發送方對整個明文進行加密變換，得到一個值，將其作為簽名。

接收者使用發送者的公開密鑰簽名進行解密運算，如其結果為明文，則簽名有效，證明對方省份是真實的。

3.鑒別

鑒別的目的是驗明用戶或信息的正身。

對實體聲稱的身份進行唯一地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

鑒別技術可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

按照鑒別對象的不同，鑒別技術可以分為消息源鑒別和通信雙方相互鑒別。

鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當今最佳的鑒別方法是數字簽名。

利用單方數字簽名，可實現消息源鑒別，訪問身份鑒別、消息完整性鑒別。

4.訪問控制

訪問控制是網路安全防範和保護的主要對策，它的目的是防止非法訪問，訪問控制是採取各種措施保證系統資源不被非法訪問和使用。

一般採用基於資源的集中式控制、基於源和目的地址的過濾管理、以及網路簽證技術等技術實現。

5.防火牆

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境中。

在大型網路系統與網際網路互連的第一道屏障就是防火牆。

防火牆通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理，其基本功能為：過濾進、出網路的數據;管理進出網路的訪問行為：封堵某些禁止行為;記錄通過防火牆的信息內容和活動;對網路攻擊進行檢測和和告警。

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。

因此，認清網路的脆弱性和潛在威脅，採取強有力的安全對策，對於保障網路的安全性將變得十分重要。

參考文獻：

[1]張世永.網路安全原理與應用.北京：科學出版社，2003.

[2]崔國平.國防信息安全戰略.北京：金城出版社，2000.

網路安全風險評估的模擬與應用【2】

摘 要 伴隨著互聯網的普及和應用，網路安全問題日益突出，在採用防火牆技術、入侵檢測和防禦技術、代理技術、信息加密技術、物理防範技術等一系列網路安全防範技術的同時，人們開始採用網路安全風險評估的方法輔助解決網路安全問題。

為提高網路安全風險評估准確率，本文提出了一種基於支持向量機的評價模型，通過模擬分析，得出採用該模型進行網路安全風險評估具有一定可行性，值得應用。

關鍵詞 網路安全 安全風險評估 模擬

當今時代是信息化時代，計算機網路應用已經深入到了社會各個領域，給人們的工作和生活帶來了空前便利。

然而與此同時，網路安全問題也日益突出，如何通過一系列切實有效的安全技術和策略保證網路運行安全已成為我們面臨的重要課題。

網路安全風險評估技術很早前就受到了信息安全領域的關注，但發展至今，該技術尚需要依賴人員能力和經驗，缺乏自主性和實效性，評價准確率較低。

本文主要以支持向量機為基礎，構建一個網路安全風險評估模型，將定性分析與定量分析相結合，通過綜合數值化分析方法對網路安全風險進行全面評價，以期為網路安全管理提供依據。

1網路安全風險評估模型的構建

網路安全風險模型質量好壞直接影響評估結果，本文主要基於支持向量機，結合具有良好泛化能力和學習能力的組合核函數，將信息系統樣本各指標特徵映射到一個高維特徵空間，構成最優分類超平面，構造網路信息安全風險二分類評估模型。

組合核函數表示為：

K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

Kpoly為多項式核函數，KRBF為徑向基核函數。

組合核函數能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。

本文主要選用具有良好外推能力的d=2，d=4階多項式。

另外一方面，當%l=1時，核函數局部性不強，當%l=0.5時，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進行測試。

2模擬研究

2.1數據集與實驗平台

構建網路安全風險評估模型前，需要在深入了解並歸納網路安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網路應對風險水平的評估指標，根據網路安全三要素，確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網路服務中斷)和脆弱性(威脅模型、設計規范、實現、操作和配置的脆弱性)為網路安全風險評估指標，從網路層、傳輸層和物理層三方面出發，構建一個完整的網路安全評估指標體系。

將選取的網路安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。

在此之後，建立網路評估等級，將網路安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。

確定評價指標後，構造樣本數據集，即訓練樣本集和測試樣本集。

為驗證模型可行性和有效性，基於之前研究中所使用的有效的網路實驗環境，構建實驗網路，在實驗網路中設計網路中各節點的訪問控制策略，節點A為外網中的一台PC機，它代表的是目標網路外的訪問用戶;節點B網路信息伺服器，其WWW服務對A開放，Rsh服務可監聽本地WWW服務的數據流;節點C為資料庫，節點B的WWW服務可向該資料庫讀寫信息;節點D為管理機，可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機，管理員可向節點C的資料庫讀寫信息。

2.2網路安全風險評估模型實現

將數據分為訓練數據和測試數據，如果每一個訓練數據可表示為1?6維的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那麼，整個網路信息系統安全性能指標矩陣為：

Rm=[R0，R1，R2，……Rm-1]

將這M個項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類評估模型進行訓練，作非線性變換使訓練數據成為線性可分，通過訓練學習，尋找支持向量，構造最優分類超平面，得出模型決策函數，然後設定最小誤差精度和最大訓練次數，當訓練精度小於預定目標誤差，或是網路迭代次數達到最大迭代次數，停止訓練，保存網路。

採用主成分析法即「指標數據標准化――計算協方差矩陣――求解特徵值和U值――確定主成分」對指標進行降維處理，消除冗餘信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價准確率。

實際操作中可取前5個主成分代表16個指標體系。

在訓練好的模型中輸入經過主成分析法處理後的指標值，對待評估的網路進行評估，根據網路輸出等級值來判斷網路安全分等級。

2.3實驗結果與分析

利用訓練後的網路對測試樣本集進行測試後，得到測試結果。

結果表明，基於支持向量機的二分類評估模型能正確地對網路的安全等級進行評價，評估准確率高達100%，結果與實際更貼近，評估結果完全可以接受。

但即便如此，在日常管理中，仍需加強維護，採取適當網路安全技術防範黑客攻擊和病毒侵犯，保證網路正常運行。

3結語

總之，網路安全風險評估技術是解決網路安全風險問題行之有效的措施之一。

本文主要提出了一種基於支持向量機的二分類評估模型，通過模擬分析，得到該模型在網路安全風險的量化評估中具有一定可行性和有效性的結論。

未來，我們還應考慮已有安全措施和安全管理因素等對網路安全的影響，通過利用網路數據，進一步改進評估模型和相關評估方法，以達到完善評估效果的目的。

參考文獻

[1] 步山嶽，張有東.計算機安全技[M].高等教育出版社，2005，10.

[2] 張千里.網路安全新技術[M].人民郵電出版社，2003.

[3] 馮登國.網路安全原理與技術[M].科技出版社，2003，9.

C. 常見網路安全風險及應對措施

常見網路安全風險及應對措施如下：

一、電信詐騙

防範措施：網路交友一定要注意核實對方的真實身份，不要透露自己的隱私信息，不要輕信陌生人發來的「盈利圖」，不加入全是陌生人的「投資群」，不輕信「營業執照」，不做「國際盤」；不要向陌生個人賬號匯款轉賬，向平台注資時要多方驗證是否合法正規；一旦遭遇詐騙，保存好匯款或轉賬時的憑證並立即報警。

防範措施：要保管好身份證信息；提供復印件時，一定要寫明「僅供某某單位做某某用，他用無效」；不要隨意丟棄與個人信息相關的物品，在處理快遞單時先抹掉個人信息再丟棄；不要隨意參加小調查、小接力、抽獎或免費贈送、街頭問卷、電話問卷、非正規辦卡等活動，不要隨意透露填寫個人信息。

D. 網路安全風險有哪些有什麼對付的措施嗎

1. 網路安全風險分類：網路風險主要分為人員風險和技術風險。其中，技術風險包括設備漏洞、數據泄露、DDoS攻擊等。
2. 設備漏洞：盡管計算機系統由伺服器控制，但無論是硬體還是軟體，都是由人創造，難免存在漏洞。這些漏洞可能被黑客利用，通過木馬病毒或軟體捆綁導致財產損失。應採用雲端免疫技術及時修補漏洞，增強防護。
3. 數據泄露：隨著網路的發展，數據泄露的風險也在增加。系統聯網後，政府、企業、第三方供應商等的數據可能面臨泄漏風險。
4. DDoS攻擊：DDoS攻擊由僵屍網路發起，可能導致伺服器癱瘓，拒絕服務。為防止此類攻擊，應在防火牆上過濾無效埠，並利用防火牆提供病毒查殺、APP檢測、惡意網址過濾等防護功能。
5. 網路匿名體系：網路上的匿名狀態使得人們身份隱蔽，容易脫離法律束縛，滋生網路犯罪念頭。
6. 流量劫持：新技術如人工智慧和5G的應用導致許多惡意軟體出現。這些軟體下載後可能出現廣告彈窗和網址跳轉，這是流量被劫持的跡象。惡意代碼可能被植入系統，篡改流量數據。

E. 無線區域網的安全風險分析和解決方案

我們基本上可以從下面幾個方面考慮解決WLAN存在的安全問題。

1.首先確定安全策略，定位WLAN在整個工作中的主要用途，涉及傳輸數據和人員、設備。然後具體規劃AP的物理位置、客戶端的訪問許可權和控制模式等。

2.從網路結構著手。限制WLAN信號的范圍，並將WLAN和重要的內部網路之間明確區分開來，在AP和內部網路之間採用防火牆進行安全隔離，必要時採用物理隔離手段。這樣即使WLAN出現了安全問題也不會立即導致內部網路的嚴重危機。

3.避免Ad Hoc網路的產生。這需要管理員對員工的培訓，以及對網路的不斷監控。

4.禁用用戶計算機的某些操作系統和應用程序對WLAN的自動連接功能，避免這些用戶無意識地連接到未知WLAN中。

5.充分利用WLAN本身提供的安全特性進行安全保障。比如對於AP可以做以下工作：

a)更改預設的口令。一般設備出廠時的口令都非常簡單，必須要更改；

b)採用加密手段。盡管WEP已經被證明是比較脆弱的，但是採用加密方式比明文傳播還是要安全一些；

c)設置採用MAC地址的方式對客戶端驗證。在沒有實施更加強壯的身份驗證措施之前，這種防範措施還是必要的；

d)更改SSID，並且配置AP不廣播SSID。

e)更改SNMP設置。這種防範措施是和有線網路設備相同的。

6.在WLAN本身傳輸的數據重要性較高，或者連接到一個密級較高的網路的情況下，可以考慮採用進一步的安全防範措施：

a)採用802.1x進行高級別的網路訪問控制。盡管802.1x標准最初是為有線乙太網設計制定的，但它可以用於WLAN。802.1x導入了認證伺服器，可以對WLAN中的主客體進行高級別的認證，認證方式可以選擇採用傳統的RADIUS伺服器進行。

b)採用TKIP技術替代現有的簡單WEP加密技術。這種方式的優勢在於不需要全部更換硬體設備，僅僅通過更新驅動程序和軟體就可以實現。另外，目前正在制訂中的802.11i提供了進行了加密強化的WEP2（基於AES），以及強化的認證協議EAP。但是802.11i的成熟和推廣尚且需要一段時間。

c)在WLAN之上採用VPN技術，進一步增強關鍵數據的安全性。VPN技術同樣不是專門為WLAN設計的，但是可以作為關鍵性WLAN的增強保護。

7.採用WLAN 專用入侵檢測系統對網路進行監控，及時發現非法接入的AP以及假冒的客戶端，並且對WLAN的安全狀況進行實時的分析和監控。

8.在WLAN的客戶端採用個人防火牆、防病毒軟體等措施保障不受到針對客戶端攻擊行為的損害。

正如上文所述，WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供，也需要藉助一些專用的安全產品來實現，同時需要有一套合理的WLAN專用安全管理規范和制度。下面介紹一些可以用於WLAN的安全產品。

WLAN安全產品

冠群金辰公司是一家專業的信息安全方案和服務提供商，提供防火牆、入侵檢測、主機核心防護、防病毒、VPN、漏洞掃描、內容過濾網關等一系列安全產品，並具有強大的安全服務能力和研發能力。下面主要介紹三種產品：WLAN入侵檢測系統、VPN和掌上設備的防病毒系統。

WLAN入侵檢測系統

WLAN入侵檢測系統是冠群金辰研發中的一種基於網路的入侵檢測系統，除了能夠對普通有線網路的入侵模式進行識別和響應，主要是針對採用802.11b協議的WLAN進行網路安全狀態的判斷和分析，WLAN入侵檢測系統採用了分布式的結構，將進行數據採集的Sensor分布在WLAN的邊緣和關鍵地點，並且通過有線的方式將收集到的信息統一傳輸到一個集中的信息處理平台。信息處理平台通過對802.11b協議的解碼和分析，判斷有無異常現象，比如非法接入的AP和終端設備、中間人攻擊、有無違反規定傳輸數據的情況，以及通過對無線網路進行的性能和狀態分析，識別拒絕服務攻擊現象。它能夠自動發現網路中存在的Ad Hoc網路，並且通過通知管理員來及時阻止可能造成的進一步損害。基於Web界面的安全管理界面讓管理員可以進行策略的集中配置和分發，以及觀察網路狀況、產生報表。

WLAN入侵檢測系統通過結合協議分析、特徵比對以及異常狀況檢測三種技術，對WLAN網路流量進行深入分析，並且能夠實時阻斷非法連接。

純均VPN

純均VPN系統是冠群金辰公司的軟體VPN解決方案，具有部署靈活，成本低廉的特點。通過將VPN技術結合到WLAN中，可以大大彌補WEP加密方式的不足，提高數據的安全性。純均VPN採用已經獲得國家認可的加密演算法，沒有安全隱患。而且純均VPN的認證使用插件方式，您可使用任何認證方式，可支持智能卡，生物設備，X.509 證書等。安裝了純均VPN後，最終用戶（客戶端）不必擔心需了解復雜的加密演算法和指定安絡路徑名。實際上，他們可與原來一樣獲取應用伺服器上的數據，甚至不知道純均VPN在進行加密和解密數據。安裝在客戶端和伺服器上的純均VPN做了所有工作。所有安全策略由純均VPN Administrator來維護和分發。

KILL for Pocket PC

隨著WLAN技術的發展和市場的成熟，掌上設備也逐漸邁入了支持WLAN的行列。Intersil等公司專門為微軟公司的Windows CE系列平台（包括Pocket PC）推出了軟體驅動程序。微軟公司的掌上電腦操作系統Windows Pocket PC成為新型智能終端中具有強大競爭力的操作系統。冠群金辰公司推出的KILL for Pocket PC是為了迎合這一新興市場的需要而推出的一個掌上電腦防病毒產品。這樣能夠保證採用掌上設備通過WLAN傳播到伺服器和其他計算機的文件是無毒的，保證了整體網路的安全性。