网络安全的风险分析与控制

A. 网络空间安全的风险包括人员的风险

1. 设备漏洞风险：尽管计算机系统由人创造，固有漏洞难以避免，可能被黑客利用进行攻击。利用云端免疫技术修补这些漏洞，是保护网络安全的重要措施。
2. 数据泄漏风险：随着网络的发展，数据泄漏的风险日益增加。无论是政府、企业还是第三方供应商，都可能遭受数据泄露的威胁。
3. DDoS攻击风险：DDoS攻击是一种常见的网络攻击方式，由僵尸网络发起，可导致服务器瘫痪，拒绝服务。通过在防火墙上过滤无用端口，可以有效预防此类攻击。
4. 网络匿名体系风险：网络的匿名性使得人们容易脱离法律约束，产生网络犯罪行为。
5. 流量劫持风险：新技术如人工智能和5G的应用催生了大量流氓软件，这些软件可能会导致广告弹窗、网址跳转等现象，这些都是流量被劫持的迹象。

B. 网络安全风险与对策

网络安全风险与对策【1】

摘要：要使网络信息在一个良好的环境中运行，加强网络信息安全至关重要。

必须全方位解析网络的脆弱性和威胁，才能构建网络的安全措施，确保网络安全。

本文在介绍网络安全的脆弱性与威胁的基础上，简述了网络安全的技术对策。

关键词：网络安全 脆弱性 威胁 技术对策

一、网络安全的脆弱性

计算机网络尤其是互连网络，由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性，使计算机网络存在很多严重的脆弱性。

1.不设防的网络有许多个漏洞和后门

系统漏洞为病毒留后门，计算机的多个端口、各种软件，甚至有些安全产品都存在着或多或少的漏洞和后门，安全得不到可靠保证。

2.电磁辐射

电磁辐射在网络中表现出两方面的脆弱性：一方面，网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;另一方面，网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄露，可以将这些数据(包括在终端屏幕上显示的数据)接收下来，并且重新恢复。

4.串音干扰

串音的作用是产生传输噪音，噪音能对网络上传输的信号造成严重的破坏。

5.硬件故障

硬件故障可造成软件系统中断和通信中断，带来重大损害。

6.软件故障

通信网络软件包含有大量的管理系统安全的部分，如果这些软件程序受到损害，则该系统就是一个极不安全的网络系统。

7.人为因素

系统内部人员盗窃机密数据或破坏系统资源，甚至直接破坏网络系统。

8.网络规模

网络规模越大，其安全的脆弱性越大。

9.网络物理环境

这种脆弱性来源于自然灾害。

10.通信系统

一般的通信系统，获得存取权是相对简单的，并且机会总是存在的。

一旦信息从生成和存储的设备发送出去，它将成为对方分析研究的内容。

二、网络安全的威胁

网络所面临的威胁大体可分为两种：一是对网络中信息的威胁;二是对网络中设备的威胁。

造成这两种威胁的因有很多：有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等，归结起来，主要有三种：

1.人为的无意失误

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

2.人为的恶意攻击

这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。

此类攻击又分为以下两种：一种是主动攻击，它是以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

3.网络软件的漏洞和后门

网络软件不可能是百分之百的`无缺陷和漏洞的。

然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，黑客攻入网络内部就是因为安全措施不完善所招致的苦果。

另外，软件的后门都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦后门洞开，其造成的后果将不堪设想。

三、网络安全的技术对策

一个不设防的网络，一旦遭到恶意攻击，将意味着一场灾难。

居安思危、未雨绸缪，克服脆弱、抑制威胁，防患于未然。

网络安全是对付威胁、克服脆弱性、保护网络资源的所有措施的总和。

针对来自不同方面的安全威胁，需要采取不同的安全对策。

从法律、制度、管理和技术上采取综合措施，以便相互补充，达到较好的安全效果。

技术措施是最直接的屏障，目前常用而有效的网络安全技术对策有如下几种：

1.加密

加密的主要目的是防止信息的非授权泄露。

网络加密常用的方法有链路加密、端点加密和节点加密三种。

链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。

信息加密过程是由形形色色的加密算法来具体实施的，加密算法有许多种，如果按照收发双方密钥是否相同来分类，可分为常规密码算法和公钥密码算法，但在实际应用中人们通常将常规密码算法和公钥密码算法结合在一起使用，这样不仅可以实现加密，还可以实现数字签名、鉴别等功能，有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁。

因此，密码技术是信息网络安全的核心技术。

2.数字签名

数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。

数字签名采用一种数据交换协议，使得收发数据的双方能够满足两个条件：接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。

数据签名一般采用不对称加密技术，发送方对整个明文进行加密变换，得到一个值，将其作为签名。

接收者使用发送者的公开密钥签名进行解密运算，如其结果为明文，则签名有效，证明对方省份是真实的。

3.鉴别

鉴别的目的是验明用户或信息的正身。

对实体声称的身份进行唯一地识别，以便验证其访问请求、或保证信息来自或到达指定的源目的。

鉴别技术可以验证消息的完整性，有效地对抗冒充、非法访问、重演等威胁。

按照鉴别对象的不同，鉴别技术可以分为消息源鉴别和通信双方相互鉴别。

鉴别的方法很多;利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份，防治冒充、非法访问;当今最佳的鉴别方法是数字签名。

利用单方数字签名，可实现消息源鉴别，访问身份鉴别、消息完整性鉴别。

4.访问控制

访问控制是网络安全防范和保护的主要对策，它的目的是防止非法访问，访问控制是采取各种措施保证系统资源不被非法访问和使用。

一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术实现。

5.防火墙

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境中。

在大型网络系统与因特网互连的第一道屏障就是防火墙。

防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，其基本功能为：过滤进、出网络的数据;管理进出网络的访问行为：封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和和告警。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。

因此，认清网络的脆弱性和潜在威胁，采取强有力的安全对策，对于保障网络的安全性将变得十分重要。

参考文献：

[1]张世永.网络安全原理与应用.北京：科学出版社，2003.

[2]崔国平.国防信息安全战略.北京：金城出版社，2000.

网络安全风险评估的仿真与应用【2】

摘 要 伴随着互联网的普及和应用，网络安全问题日益突出，在采用防火墙技术、入侵检测和防御技术、代理技术、信息加密技术、物理防范技术等一系列网络安全防范技术的同时，人们开始采用网络安全风险评估的方法辅助解决网络安全问题。

为提高网络安全风险评估准确率，本文提出了一种基于支持向量机的评价模型，通过仿真分析，得出采用该模型进行网络安全风险评估具有一定可行性，值得应用。

关键词 网络安全 安全风险评估 仿真

当今时代是信息化时代，计算机网络应用已经深入到了社会各个领域，给人们的工作和生活带来了空前便利。

然而与此同时，网络安全问题也日益突出，如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。

网络安全风险评估技术很早前就受到了信息安全领域的关注，但发展至今，该技术尚需要依赖人员能力和经验，缺乏自主性和实效性，评价准确率较低。

本文主要以支持向量机为基础，构建一个网络安全风险评估模型，将定性分析与定量分析相结合，通过综合数值化分析方法对网络安全风险进行全面评价，以期为网络安全管理提供依据。

1网络安全风险评估模型的构建

网络安全风险模型质量好坏直接影响评估结果，本文主要基于支持向量机，结合具有良好泛化能力和学习能力的组合核函数，将信息系统样本各指标特征映射到一个高维特征空间，构成最优分类超平面，构造网络信息安全风险二分类评估模型。

组合核函数表示为：

K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

Kpoly为多项式核函数，KRBF为径向基核函数。

组合核函数能够突出测试点附近局部信息，也保留了离测试点较远处的全局信息。

本文主要选用具有良好外推能力的d=2，d=4阶多项式。

另外一方面，当%l=1时，核函数局部性不强，当%l=0.5时，核函数则具有较强局部性，所以组合核函数选用支持向量机d=2，%l=0.5的组合进行测试。

2仿真研究

2.1数据集与实验平台

构建网络安全风险评估模型前，需要在深入了解并归纳网络安全影响因素的基础上，确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标，根据网络安全三要素，确定资产(通信服务、计算服务、信息和数据、设备和设施)、威胁(信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断)和脆弱性(威胁模型、设计规范、实现、操作和配置的脆弱性)为网络安全风险评估指标，从网络层、传输层和物理层三方面出发，构建一个完整的网络安全评估指标体系。

将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。

在此之后，建立网络评估等级，将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。

确定评价指标后，构造样本数据集，即训练样本集和测试样本集。

为验证模型可行性和有效性，基于之前研究中所使用的有效的网络实验环境，构建实验网络，在实验网络中设计网络中各节点的访问控制策略，节点A为外网中的一台PC机，它代表的是目标网络外的访问用户;节点B网络信息服务器，其WWW服务对A开放，Rsh服务可监听本地WWW服务的数据流;节点C为数据库，节点B的WWW服务可向该数据库读写信息;节点D为管理机，可通过Rsh服务和Snmp服务管理节点B;节点E为个人计算机，管理员可向节点C的数据库读写信息。

2.2网络安全风险评估模型实现

将数据分为训练数据和测试数据，如果每一个训练数据可表示为1?6维的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那么，整个网络信息系统安全性能指标矩阵为：

Rm=[R0，R1，R2，……Rm-1]

将这M个项目安全性能指标矩阵作为训练数据集，利用训练数据集对二分类评估模型进行训练，作非线性变换使训练数据成为线性可分，通过训练学习，寻找支持向量，构造最优分类超平面，得出模型决策函数，然后设定最小误差精度和最大训练次数，当训练精度小于预定目标误差，或是网络迭代次数达到最大迭代次数，停止训练，保存网络。

采用主成分析法即“指标数据标准化――计算协方差矩阵――求解特征值和U值――确定主成分”对指标进行降维处理，消除冗余信息，提取较少综合指标尽可能多地将原有指标信息反映出来，提高评价准确率。

实际操作中可取前5个主成分代表16个指标体系。

在训练好的模型中输入经过主成分析法处理后的指标值，对待评估的网络进行评估，根据网络输出等级值来判断网络安全分等级。

2.3实验结果与分析

利用训练后的网络对测试样本集进行测试后，得到测试结果。

结果表明，基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价，评估准确率高达100%，结果与实际更贴近，评估结果完全可以接受。

但即便如此，在日常管理中，仍需加强维护，采取适当网络安全技术防范黑客攻击和病毒侵犯，保证网络正常运行。

3结语

总之，网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。

本文主要提出了一种基于支持向量机的二分类评估模型，通过仿真分析，得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。

未来，我们还应考虑已有安全措施和安全管理因素等对网络安全的影响，通过利用网络数据，进一步改进评估模型和相关评估方法，以达到完善评估效果的目的。

参考文献

[1] 步山岳，张有东.计算机安全技[M].高等教育出版社，2005，10.

[2] 张千里.网络安全新技术[M].人民邮电出版社，2003.

[3] 冯登国.网络安全原理与技术[M].科技出版社，2003，9.

C. 常见网络安全风险及应对措施

常见网络安全风险及应对措施如下：

一、电信诈骗

防范措施：网络交友一定要注意核实对方的真实身份，不要透露自己的隐私信息，不要轻信陌生人发来的“盈利图”，不加入全是陌生人的“投资群”，不轻信“营业执照”，不做“国际盘”；不要向陌生个人账号汇款转账，向平台注资时要多方验证是否合法正规；一旦遭遇诈骗，保存好汇款或转账时的凭证并立即报警。

防范措施：要保管好身份证信息；提供复印件时，一定要写明“仅供某某单位做某某用，他用无效”；不要随意丢弃与个人信息相关的物品，在处理快递单时先抹掉个人信息再丢弃；不要随意参加小调查、小接力、抽奖或免费赠送、街头问卷、电话问卷、非正规办卡等活动，不要随意透露填写个人信息。

D. 网络安全风险有哪些有什么对付的措施吗

1. 网络安全风险分类：网络风险主要分为人员风险和技术风险。其中，技术风险包括设备漏洞、数据泄露、DDoS攻击等。
2. 设备漏洞：尽管计算机系统由服务器控制，但无论是硬件还是软件，都是由人创造，难免存在漏洞。这些漏洞可能被黑客利用，通过木马病毒或软件捆绑导致财产损失。应采用云端免疫技术及时修补漏洞，增强防护。
3. 数据泄露：随着网络的发展，数据泄露的风险也在增加。系统联网后，政府、企业、第三方供应商等的数据可能面临泄漏风险。
4. DDoS攻击：DDoS攻击由僵尸网络发起，可能导致服务器瘫痪，拒绝服务。为防止此类攻击，应在防火墙上过滤无效端口，并利用防火墙提供病毒查杀、APP检测、恶意网址过滤等防护功能。
5. 网络匿名体系：网络上的匿名状态使得人们身份隐蔽，容易脱离法律束缚，滋生网络犯罪念头。
6. 流量劫持：新技术如人工智能和5G的应用导致许多恶意软件出现。这些软件下载后可能出现广告弹窗和网址跳转，这是流量被劫持的迹象。恶意代码可能被植入系统，篡改流量数据。

E. 无线局域网的安全风险分析和解决方案

我们基本上可以从下面几个方面考虑解决WLAN存在的安全问题。

1.首先确定安全策略，定位WLAN在整个工作中的主要用途，涉及传输数据和人员、设备。然后具体规划AP的物理位置、客户端的访问权限和控制模式等。

2.从网络结构着手。限制WLAN信号的范围，并将WLAN和重要的内部网络之间明确区分开来，在AP和内部网络之间采用防火墙进行安全隔离，必要时采用物理隔离手段。这样即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。

3.避免Ad Hoc网络的产生。这需要管理员对员工的培训，以及对网络的不断监控。

4.禁用用户计算机的某些操作系统和应用程序对WLAN的自动连接功能，避免这些用户无意识地连接到未知WLAN中。

5.充分利用WLAN本身提供的安全特性进行安全保障。比如对于AP可以做以下工作：

a)更改缺省的口令。一般设备出厂时的口令都非常简单，必须要更改；

b)采用加密手段。尽管WEP已经被证明是比较脆弱的，但是采用加密方式比明文传播还是要安全一些；

c)设置采用MAC地址的方式对客户端验证。在没有实施更加强壮的身份验证措施之前，这种防范措施还是必要的；

d)更改SSID，并且配置AP不广播SSID。

e)更改SNMP设置。这种防范措施是和有线网络设备相同的。

6.在WLAN本身传输的数据重要性较高，或者连接到一个密级较高的网络的情况下，可以考虑采用进一步的安全防范措施：

a)采用802.1x进行高级别的网络访问控制。尽管802.1x标准最初是为有线以太网设计制定的，但它可以用于WLAN。802.1x导入了认证服务器，可以对WLAN中的主客体进行高级别的认证，认证方式可以选择采用传统的RADIUS服务器进行。

b)采用TKIP技术替代现有的简单WEP加密技术。这种方式的优势在于不需要全部更换硬件设备，仅仅通过更新驱动程序和软件就可以实现。另外，目前正在制订中的802.11i提供了进行了加密强化的WEP2（基于AES），以及强化的认证协议EAP。但是802.11i的成熟和推广尚且需要一段时间。

c)在WLAN之上采用VPN技术，进一步增强关键数据的安全性。VPN技术同样不是专门为WLAN设计的，但是可以作为关键性WLAN的增强保护。

7.采用WLAN 专用入侵检测系统对网络进行监控，及时发现非法接入的AP以及假冒的客户端，并且对WLAN的安全状况进行实时的分析和监控。

8.在WLAN的客户端采用个人防火墙、防病毒软件等措施保障不受到针对客户端攻击行为的损害。

正如上文所述，WLAN的安全既可以依靠WLAN本身具有的安全保障措施提供，也需要借助一些专用的安全产品来实现，同时需要有一套合理的WLAN专用安全管理规范和制度。下面介绍一些可以用于WLAN的安全产品。

WLAN安全产品

冠群金辰公司是一家专业的信息安全方案和服务提供商，提供防火墙、入侵检测、主机核心防护、防病毒、VPN、漏洞扫描、内容过滤网关等一系列安全产品，并具有强大的安全服务能力和研发能力。下面主要介绍三种产品：WLAN入侵检测系统、VPN和掌上设备的防病毒系统。

WLAN入侵检测系统

WLAN入侵检测系统是冠群金辰研发中的一种基于网络的入侵检测系统，除了能够对普通有线网络的入侵模式进行识别和响应，主要是针对采用802.11b协议的WLAN进行网络安全状态的判断和分析，WLAN入侵检测系统采用了分布式的结构，将进行数据采集的Sensor分布在WLAN的边缘和关键地点，并且通过有线的方式将收集到的信息统一传输到一个集中的信息处理平台。信息处理平台通过对802.11b协议的解码和分析，判断有无异常现象，比如非法接入的AP和终端设备、中间人攻击、有无违反规定传输数据的情况，以及通过对无线网络进行的性能和状态分析，识别拒绝服务攻击现象。它能够自动发现网络中存在的Ad Hoc网络，并且通过通知管理员来及时阻止可能造成的进一步损害。基于Web界面的安全管理界面让管理员可以进行策略的集中配置和分发，以及观察网络状况、产生报表。

WLAN入侵检测系统通过结合协议分析、特征比对以及异常状况检测三种技术，对WLAN网络流量进行深入分析，并且能够实时阻断非法连接。

纯均VPN

纯均VPN系统是冠群金辰公司的软件VPN解决方案，具有部署灵活，成本低廉的特点。通过将VPN技术结合到WLAN中，可以大大弥补WEP加密方式的不足，提高数据的安全性。纯均VPN采用已经获得国家认可的加密算法，没有安全隐患。而且纯均VPN的认证使用插件方式，您可使用任何认证方式，可支持智能卡，生物设备，X.509 证书等。安装了纯均VPN后，最终用户（客户端）不必担心需了解复杂的加密算法和指定安络路径名。实际上，他们可与原来一样获取应用服务器上的数据，甚至不知道纯均VPN在进行加密和解密数据。安装在客户端和服务器上的纯均VPN做了所有工作。所有安全策略由纯均VPN Administrator来维护和分发。

KILL for Pocket PC

随着WLAN技术的发展和市场的成熟，掌上设备也逐渐迈入了支持WLAN的行列。Intersil等公司专门为微软公司的Windows CE系列平台（包括Pocket PC）推出了软件驱动程序。微软公司的掌上电脑操作系统Windows Pocket PC成为新型智能终端中具有强大竞争力的操作系统。冠群金辰公司推出的KILL for Pocket PC是为了迎合这一新兴市场的需要而推出的一个掌上电脑防病毒产品。这样能够保证采用掌上设备通过WLAN传播到服务器和其他计算机的文件是无毒的，保证了整体网络的安全性。