目前,网络空间安全人才的培养得到了许多国家的高度重视,美国、欧盟、俄罗斯、日本等50多个国家出台了国家网络安全战略,制定了专门的网络安全人才培养计划。2010年4月,美国启动“国家网络空间安全教育计划”(National Initiative of Cy-bercurity Education , NICE ) ,期望通过国家的整体布局和行动,在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作,来全面提高美国的信息安全能力。2013年2月,欧盟《网络安全战略》,提出各成员国要在国家层面重视网络安全方面的教育与培训,学校要开展网络安全培训,对计算机科学专业学生进行网络安全、网络软件开发以及个人数据保护的培训,对公务员进行网络安全方面的培训2A2016年11月,英国***府启动新一轮的“国家网络安全战略2016-2021 ",提出英国***府将在未来五年投资19亿英镑(约合157亿元人民币)加强互联网安全建设,并利用英国***府的权力和影响力,面向学校和整个社会,投资人才发展计划,解决英国网络安全技术短缺的问题29。俄罗斯联邦委员会于2014年1月10日公布了《俄罗斯联邦网络安全战略构想》,将完善网络安全骨干培养工作和组织措施列人网络安全保障方向并通过支持卡巴斯基等网络安全公司的创新,为俄罗斯网络安全战略提供人才和技术支撑。日本于2016年3月31日正式敲定了担负网络安全对策中枢职能的人才培养计划,主要内容是在未来4年内培养近千名专家,要求中央***府各部门制定培养项口,设立“网络安全与信息化审议官”一职以统管人才培养等工作,强调构建人才培养系统,形成人才供需的良吐循环并从2017年度起对相关职员给予收人上的优待。
为加强我国高素质网络空间安全人才的培养,2015年6月,“网络空间安全”正式被***学位办和***获批为国家一级学科。2016年6月,经中央网络安全和信息化领导小组同意,中央网信办、***、***、科技部、工信部和人社部六部门联合印发了《关于加强网络安全学科建设和人才培养的意见》,该意见要求:在已设立网络空间安全一级学科的基础上,加强学科专业建设。发挥学科引领和带动作用,加大经费投人,开展高水平科学研究,加强实验室等建设,完善本专科、研究生教育和在职培训网络安全人才培养体系。有条件的高等院校可通过整合、新建等方式建立网络安全学院。通过国家***策引导,发挥各方面积极性,利用好国内外资源,聘请优秀教师,吸收优秀学生,下大功夫、大本钱创建世界一流网络安全学院。近两年,各相关高校响应国家培养网络安全人才的急需,陆续设立了“网络空间安全学院”,仅2015年以来,四川大学、电子科技大学、暨南大学、杭州电子科技大学、北京邮电大学、中国科学院大学等高校相继成立了“网络空间安全学院”或“网络空间研究院”。在《网络安全法》颁布后的仅一个多月,2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息管理办公室《国家网络空间安全战略》提出,实施网络安全人才工程,加强网络安全学科专业建设,打造一流网络安全学院和创新园区,形成有利于人才培养和创新创业的生态环境。
网络技术人才的培养、储备和运用应当采用培养与引进相结合的原则,尤其我国网络技术领***人才的需求显得非常急迫,应当重点以引进为主培养为辅,网络技术领***人才的引进不仅仅要看其业务技术层面,更重要的是***治强和作风好。关于网络安全人才的培养机制和模式,应当重点发挥高等院校、科研机构和网信企业的协同作用。笔者认为,培养网络安全人才的机制和模式,应当在4个方面重点发力。
1 夯实重点和特色高校的网络安全学科建设
这也是培养网络安全高端专业人才的基础。在培养模式上要与发达国家对标,采取“学习、科研、实训、实战”四位一体的培养模式。着重培养四大领域的专家人才:一是网络安全战略专家;二是网络安全国际法专家;三是核心领域技术专家;四是网络技术创新专家。
2 推动高等院校、科研机构与行业企业深度合作和协同创新
从网络技术人才的培养口标、课程设置、教材编制、实验室建设、实训基地、课题研究、联合演练等各个环节都应当加强高等院校、科研机构与企业的协同效益,共同构造基于网络安全技术人才供给侧模式下的网络安全培养与教育模式的改革。
3 强化全产业链模式下的网络安全师资队伍建设
中央网信办管理部门、各级地方***府和教育行***部门应当积极创造条件,制定和出台鼓励高校、职业院校、网络安全培训机构与网信企业的网络安全技术专家进行双向交流的机制和制度。通过***府引导和校企协商的模式,形成高校和职业学校的专业教师到企业参与网络技术研发的工作制度,同时高等院校要积极吸引企业从事网络安全的技术人才来高校或职业学校从事网络安全教学工作。
关键词:网络安全;风险评估;方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。1.3风险评估指标在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.
【关键词】网络安全;加密;密码
一、前言
随着计算机网络技术的飞速发展,计算机系统的安全问题也越来越引起世界各国的广泛关注,信息网络的大规模全球互连趋势,以及人们的社会生活对计算机网络依赖性的与日俱增,使得计算机网络的安全性成为信息化建设的核心问题。
二、网络安全概况
1.网络安全的基本概念
网络安全,就是网络上的信息安全,从广义上来说,凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
信息安全的技术主要包括监控、扫描、检测、认证、防攻击、防病毒以及审计等几个方面,其中加密技术是信息安全的核心技术,现已经渗透到大部分安全产品之中,并正向芯片化方向发展。
2.网络安全的目标
网络安全的目标是确保网络系统的信息安全。网络信息安全主要包括两个方面:信息存储安全和信息传输安全。
信息存储安全就是指信息在静态存放状态下的安全,如是否会被非授权调用等,一般通过设置访问权限、身份识别、局部隔离等措施来保证。
信息传输安全主要是指信息在动态传输过程中的安全。
三、网络安全需要引入密码机制
1.防火墙技术是一种被动的防卫技术,在保障信息安全的各种功能特性的诸多技术中,密码技术是信息安全的核心和关键技术。通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性,从而防止信息被篡改,伪造和假冒。加密已成为实现网络安全的一种有效有必不可少的技术手段。
2.信息加密
信息加密是保障信息安全的最基本,最核心的技术措施和理论基础,信息加密也是现代密码学的主要组成部分。密码算法的目的是为了保护信息的保密性、完整性、安全性。简单的说就是信息的防伪造与防窃取。
一个数据加密系统包括加密算法,明文,密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法。所以加密系统的密钥管理是一个非常重要的问题。
3.密码体制分类
密码体制涉及加密和解密过程中所采用的方法的种类。通常人们按照在加密解密过程中使用的加密密钥和解密密钥是否相同将密码体制分为对称密码体制和非对称密码体制。
对称密码体制又称为常规密钥密码体制、单密钥密码体制、秘密密钥密码体制。对称密码体制的加密算法和解密算法使用相同的密钥,该密钥必须对外保密[3]。
非对称密码体制又称为公开密钥密码体制、双密钥密码体制。非对称密码体制的加密算法和解密算法使用不同但相关的一对密钥,加密密钥对外公开,解密密钥对外保密,而且由加密密钥推导出解密密钥在计算上是不可行的。
四、对称密码技术
在对称加密技术中,对信息的加密和解密都使用相同的密钥,也就是说一把钥匙开一把锁。
对称密码的工作方式如***3.1。
比较著名的常规算法有:美国的DES及其各种变形,比如Triple DES,GDES,NewDES和DES的前身Lucifer;欧洲的IDEA;日本的FEAL-N,LOKI-91,Rc4,Rc5 以及代换密码和轮转密码为代表的古典密码等。
对称密码体制从加密模式上可分为序列密码和分组密码两大类,前者每次只加密一个比特,而后者则先将信息序列分组,每次处理一个组。
***3.1 (对称密码的工作方式)
五、非对称密码术
在非对称加密体制中,加密密钥与解密密钥不同,而且几乎不能从一个密钥导出另一个密钥,因此可以只保证一个密钥的机密性,而另一个密钥则公开,保密的密钥称为密钥或私钥,公开的密钥称为公钥,所以非对称加密体制也叫公钥加密体制。其使用方法如下:
***4.1 (非对称密码的工作方式)
非对称密码算法的优点是可以适应网络的开放性要求,且密钥管理问题也比较简单,尤其可方便实现数字签名和验证,但其算法复杂,比较著名的算法有:RSA,背包密码,McEliece密码,Rabin,椭圆曲线,EIGama D_H,零知识证明的算法等。
六、密码术的应用
1.认证系统
认证系统的目的有两个:第一,信息识别,即验证发信人确实不是冒充的;第二,检验发送信息的完整性,也就是说即使信息确实是经过授权的信源发送者发送的,也要验证在传送过程中是否被篡改,重放或延迟。在认证系统中,一般将信源识别和发送信息的完整性检验两者作为一个整体进行讨论。
2.数字签名
数字签名能够实现电子文档的辨认和验证,数字签名是传统文件手写签名的模拟,能够实现用户对电子形式存放消息的认证。
数字签名方案包括3个过程系统的初始化过程,签名产生过程和签名验证过程,在系统的初始化过程中,要产生的数字签名方案中用到的一切参数,有公开的,也有秘密的,在签名产生的过程中,用户用给定的算法对消息产生签名,这种签名过程可以公开也可以不公开,在签名验证过程中,验证者利用公开验证法对给定消息的签名进行验证,得出签名的有效性。
3.电子商务
电子商务与传统商务相似,电子商务为销售者和消费者建立交易关系,使他们能商谈交易的商品和交易的案件,由于电子商务操作过程中涉及到了金钱交易等信息,因此不允许在传送过程中有第三者窃听,伪造,也不允许对其进行非法访问。电子商务系统必须商务活动参与者提供可靠的安全服务,其主要的安全服务包括鉴别服务,访问控制服务,机密和不可否认服务。
4.信息伪装
信息伪装又称为信息隐藏,顾名思义,就是将机密资料秘密地隐藏于另一机密文件内容中,其形式可为任何一种数字媒体,如***像,声音,视频或一般的文档等等。其首要的目标是隐藏的技术要好,即要使加入隐藏信息的目标媒体产生最小的可见性性质,使人无法看到或听到隐藏的数据,达到另人难以察觉的目的,而更重要的是绝对不能让机密资料暴光。
5.在***中的应用
***就是我们通常说的虚拟专用网(Virtual Private Network,***)当数据离开发送者所在的局域网时,该数据首先被用户端连接到互连网上的路由器进行硬件加密,数据在互连网上是加密形式传送的,当达到目的LAN的路由器时,该路由器就会对数据解密,这样目的的LAN中的用户就可以看到真正的信息了。
6.密码术的发展
密码技术是信息安全的核心技术,无处不在,目前已经渗透到大部分的安全产品之中,正向芯片化方向发展。在芯片设计制造方面,目前微电子水平已经发展到0.1微米以下,芯片设计的水平很高。近年来我国集成电路产业技术的创新和自我开发能力得到了提高,微电子工业得到了发展,从而推动了密码专用芯片的发展。
关键词 信息网络 法制建设 网络社会 安全秩序
中***分类号:D922.1 文献标识码:A
0前言
网络秩序混乱的危害主要包括网络侵权行为日益严重、网络违法犯罪活动愈加猖獗和网络心理战破坏社会稳定等。维护网络社会的安全秩序需要国家和企业依法建网和依法管网,更要求人们依法用网。本文通过对现阶段我国信息网络法制建设中存在的问题进行分析,并结合维护网络社会秩序意义,对加快我国信息网络建设的途径展开了深入研究。
1维护网络社会秩序的必要性
随着国家的地域性与信息网络超时空性矛盾的逐年增加,使得网络的概念愈加模糊。基于此点,某些国家便开始组建“网***”,以网络***治化的方式“巧妙”地向世界宣布了其网络,并大肆在网上渲染“国家过时论”。对此,我国必须提高警惕,做好应对措施。依法对网络行使管辖权,并维护国内网络空间的自迫切需要保障网络社会秩序的安全与稳定。因此,依法建设信息网络并保证网络社会秩序的安全和稳定是解决网络纠纷的必要手段和必然要求。
2我国信息网络法制建设过程中存在的问题
(1)信息法治理念落后
信息法治理念落后是我国信息网络法制建设中出现的关键性问题。就现阶段而言,由于信息法治理念落后,我国并未形成适用于网络社会的新型法理法则,且信息网络的法律仍然处于沿用物理世界法理逻辑的水平上,这使得网络秩序的安全和稳定无法得到有力的保障,滋生了诸多网络问题。此外,将存在国界的现实法律套用在跨国界的虚拟网络中,必然会引发国际性的网络纠纷,在不利于信息网络产业健康发展的同时,也对国家的经济和社会安全产生了较大威胁。
(2)信息网络的立法质量较低
当前,我国信息网络的立法特点主要为应急性、尾随性和局部性,由于立法缺乏总体规划,且部门规章冗杂、法律位阶低,加之各部门间的立法缺乏关联和相互支持,使得信息网络的立法无法解决网络秩序混乱等诸多网络社会问题。此外,由于立法的整体质量欠佳、内容滞后且大部分规定过于原则化,使得信息网络立法缺乏可操作性,在增加了网络社会矛盾的同时,也为国家和人们的用网安全带来了较大安全隐患。
(3)信息网络监管存在漏洞
现阶段,我国信息网络的监管主要是以防范管制作为主要方法的。一方面,由于***府部门多头管理现象严重,使得***府内部人员在行使网络职权时矛盾频发,大幅降低了信息网络的监管效率。另一方面,信息网络的监管大都是以***府部门为主导的,群众参与率较低,加之对网络秩序和网络案件的监管又大都以事前审批、重审轻批为主,这就导致了对相关网络案件的监管和审批存在着较大的局限性和片面性,不仅不利于网络社会公平的实现,而且也为部分不法分子提供了网络犯罪的可能,加大了网络安全威胁。
3加快我国信息网络建设的若干建议
(1)加强信息网络建设法制理念的创新
首先,***和国家需要对网络社会秩序的维护工作予以充分重视,并将加快信息网络建设的工作提升到关系国家发展的战略高度上。根据当前国内网络社会的现状,在结合现有网络法律的基础上,对网络法律进行重新规划,提高网络法律的精炼程度。其次,还需提高法律质量,通过分析现阶段频繁发生的信息网络问题,在对其进行仔细分析的基础上,有针对性地制定相关法律***策,进而从整体上提高信息网络法律的可操作性并加快我国的信息网络建设。
(2)建立健全的信息网络法制体系
一是严厉打击并整治网络犯罪活动。面对信息网络犯罪分子藏匿于网络虚拟世界的实际,加大网络法律的***力度并不断提高自身的网络侦控能力,对网络犯罪分子予以最为严厉的打击。二是完善网络安全的责任制度。一方面,相关部门需要对基础电信运营商和增值服务商的网络安全责任进行明确划分,并要求其对所接入网站的安全性与合法性进行严格审查,通过加强网站接入的身份认证,从网络安全威胁信息的传播源头上建立起信息网络的“防火墙”。另一方面,还需明确网络运营商、广告商以及网络用户的相关责任,确保其网络的相关行为符合相关的法律规定。
(3)完善网络安全法治机制
相关部门需要加强对信息网络的管控力度,通过对当前网络社会中出现的问题进行全面分析,并结合网络用户的心里特征,有针对性地对不同的网络使用个体或群体展开监督和管理。此外,***府内部各个监管部门之间还需明确其自身职责,变多头管理为统一管理,通过加强管理的协调性与统一性为加快信息网络建设提供必要的环境保证。
4结论
本文通过对网络社会秩序维护的必要性进行分析,并结合当前我国信息网络建设出现问题的基础上,从加强法治理念创新、建立健全的信息网络法制体系以及完善网络安全法制机制等方面对加快信息网络建设与维护网络社会秩序的方法展开了深入探讨。可见,未来加强对信息网络建设方法的研究力度,对于维护网络社会的安全与稳定并促进我国信息网络产业发展具有重要的历史作用和现实意义。
参考文献
[1] 夏梦颖.中国特色社会主义网络立法研究[D].华东***法大学,2013.
【关键词】网络安全;中毒;家庭网络用户
随着互联网在家庭的普及,家庭网络安全越来越受到用户的注意和重视。家庭网络安全主要表现在两个方面,一个是个人电脑中毒,另一个是被非法用户入侵。个人以为可以从“内”和“外”两个方面来加以解决。
首先从“内”的方面来说。“内”是指用户本身,也就是说用户在使用计算机时应该注意的问题,防止由于自己的疏忽大意而造成损失。主要包括:(1)安装一些必要的软件,主要是防火墙、杀毒、防木马等安全软件。(2)要有一个安全的工作习惯。可以先假定几项活动是安全的,其余的活动都是不安全的,并采取防病毒措施。(3)积极备份。可采取完全备份和追加备份的方法来实现。(4)积极防范。设置好开机密码,不要让别人随便使用你的计算机,重要的文档或盘符加上密码保护。家里有小孩的要经常提醒小孩该如何安全使用计算机,告诉他如何使用杀毒软件,哪些网站不能打开,不能随便***东西,需要***可以让大人来完成等等,最好是小孩上机的开始几年大人始终在边上指导,一旦发现错误的操作步骤及时纠正。(5)打好补丁。因为在软件设计中,经常会出现一些意想不到的错误和漏洞,给程序带来安全和稳定性方面的隐患。因此,经常保持对软件的更新,是保证系统安全的一种最简单也是最直接的办法。
以上几种方法只是网络安全方面常用的方法,实际上保证安全从“内”的方面来说还包括很多方面,如操作不当造成软硬件损坏等,当然,这些就不仅仅是网络安全方面的了。实际上,只要用户在以上所说的五个方面如果做得不错的话,基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意或根本不在意,结果造成数据的损失。这是十分愚蠢的。那“外”又是指哪些呢?
我以为主要是指由外界而来的攻击,一般是指黑客的攻击。要防止黑客的攻击,方法是挺多的,有些方法比较复杂,一般用户由于不是专业人员,要掌握这些手段不太容易。我在这里介绍几种一般简单、容易上手,同时效果也不错的方法供大家参考。
一、隐藏ip地址
有两种隐藏ip地址的方法,一是使用服务器。服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端/pc/">计算机端口,如果安装了端口监视程序(比如netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如用“norton internet curity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
四、更换管理员帐户
***istrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试***获得***istrator帐户的密码,所以我们要重新配置***istrator帐号。首先是为***istrator帐户设置一个强大复杂的密码,然后我们重命名***istrator帐户,再创建一个没有管理员权限的***istrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
五、取消文件夹隐藏共享
如果你使用了windows xp系统,打开从“控制面板/性能维护/管理工具/计算机管理“窗口下选择”系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”,在后面说明部分也可以看到默认共享。只要键入“\\计算机名或者ip\c$”,系统就会询问用户名和密码,遗憾的是大多数个人用户系统***istrator的密码都为空,入侵者可以轻易看到c盘的内容,这就给网络安全带来了极大的隐患。因此需要取消文件夹隐藏共享。怎么来消除默认共享呢?(下转第192页)
方法很简单,打开注册表编辑器,进入“hkey_local_m
achine\system\currentcontrolt\vices\lanmanworkstation\parameters”,新建一个名为“autosharewks”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
六、拒绝恶意代码
恶意网页成了宽带的最大威胁之一。一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。可以采用如下方法:(1)使用工具软件,如yahoo助手里面有“安全防护”功能,可以屏蔽恶意代码,还可使用“反间谍专家”提供的超强系统免***功能,确保操作系统不再受到任何以知的侵扰,并且能够快速恢复被恶意代码篡改的ie浏览器。(2)运行ie浏览器,点击“工具/internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“activex控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用ie浏览网页时,也可有效避免恶意网页中恶意代码的攻击。
七、把guest账号禁用
有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。windows xp系统中打开控制面板,单击“用户帐户/更改帐户”,弹出“用户帐户”窗口。在点“禁用来宾帐户”即可。
关键词:网络安全漏洞;软件安全测试;方法
中***分类号:TP393.8 文献标识码:A文章编号:1007-9599 (2011) 10-0000-01
The Caus of Network Security Vulnerabilities and the Methods of Software Security Testing
Wang Wenlin
(Zhongshan Torch Polytechnic,Zhongshan528436,China)
Abstract:This paper describes the caus of network curity vulnerabilities,elaborates the basic conditions and features of software curity testing,as well as the necessary conditions and common methods of software curity testing.
Keywords:Network curity vulnerabilities;Software curity testing;Methods
一、前言
随着计算机技术的日新月异和相对成熟,信息系统应用的广泛和深入,信息网络安全事件发生的比例不断攀升,病毒利用软件漏洞猖狂地传播使得人们越发认识到信息安全的重要性。传统的信息安全技术可以借助防火墙(包括软件和硬件防火墙)审核通过网络的报文、限定用户的访问权限等来防止非授权用户对重要数据的访问,但是这一技术是建立在软件安全基础上的。网络应用软件暴露在网络环境下,并且授权外部用户可以透过网络来访问此软件。通过网络,攻击者有机会接触到软件,如果软件本身存在漏洞,那么所有的防火墙就形同虚设。暴露于网络的应用软件往往成为被攻击的目标,是网络应用软件安全的重灾区。在已发生的安全事件中,未修补或防范软件漏洞仍然是导致安全事件发生的最主要原因。软件安全漏洞的产生是由于程序员不正确和不安全编程引起的,用户不正确的使用以及不恰当的配置也可导致漏洞的出现。根据安全漏洞产生的原因大致分为输入验证错误、缓冲区溢出、设计错误、意外情况处置错误、访问验证错误、配置错误、竞争条件和环境错误等几大类。
软件测试是指在软件开发完成之后,对软件的功能和性能进行验收、评价的过程。其目的旨在验证项目承担方所提交的软件在功能和性能等方面有没有达到合同的要求,在软件产品交付之前尽可能的发现软件中潜伏的错误,这是软件开发中非常关键的步骤。
软件测试的基本方法就是按照一定的测试方案逐项检验软件的各项功能,并对其现象和结果进行详细的记录、分析,从而得出评价结论。安全测试涵盖的6个基本安全概念包括:保密性、完整性、身份验证权限、权限分配、可提供性、不可抵赖性等。软件开发商都存在解决安全威胁方面的问题。对软件开发商来说,安全性是其核心要求,这是由市场力量所驱动,也是由保护关键基础结构及建立和保持计算的广泛信任的需要所决定的。所有软件开发商面对的一个主要挑战就是创建更加安全的软件,使其不需要频繁地通过修补程序进行更新。软件的安全性测试主要是测试在正常和非正常情况下,软件能否对数据进行安全有效的操作。
二、软件安全性测试的方法主要有以下几种
(一)形式化安全测试。模型检测用状态迁移系统S描述软件的行为,用时序逻辑、计算树逻辑或演算公式F表示软件执行必须满足的性质,通过自动搜索S中不满足公式F的状态来发现软件中的漏洞。
漏洞自动挖掘根据漏洞产生原因从安全分析和模拟攻击两个角度去发现软件中可能存在的漏洞,目前多用程序辅助发现软件中可能存在的潜在安全问题,人工判定证实是否为安全漏洞。
(二)基于模型的安全功能测试。基于模型的测试方法是对软件的行为和结构进行建模,生成测试模型,由测试模型生成测试用例。常用的软件测试模型有有限状态机、UML模型、马尔可夫链等。
(三)语法测试。语法测试是根据被测软件的功能接口的语法生成测试输入,检测被测软件对各类输入的响应。接口可以有多种类型,命令行、文件、环境变量、套接字等。语法定义了软件接受的输入数据的类型、格式。语法定义可采用BNF或正则表达式。通过察看被测软件对各类输入的处理情况,确定被测软件是否存在安全缺陷。语法测试适用于被测软件有较明确的接口语法,易于表达语法并生成测试输入的情况。语法测试结合故障注入技术可得到更好的测试效果。
(四)模糊测试。模糊测试(Fuzz Testing)是一种发现安全漏洞的有效的测试方法,在安全性测试中越来越受到重视。模糊测试将随机的坏数据插入程序,观察程序是否能容忍杂乱输入。模糊测试是不合逻辑的,只是产生杂乱数据攻击程序。采用模糊测试攻击应用程序可发现其他采用逻辑思维来测试很难发现的安全缺陷。
(五)基于属性的测试。相关报道描述了基于属性的测试方法,采用TASPEC语言对软件的安全属性进行描述生成安全属性规格说明,利用程序切片技术抽取与这个安全属性相关的代码,测试这部分代码是否违反安全属性规格说明。基于属性的测试有针对性的测试目标软件的特定安全属性,可满足安全属性的分类和优先级排序要求,且部分与具体软件无关的属性规格说明是可重用的。
软件测试一方面是业务需求检查、验证的一种手段,也是检查软件功能是否按照系统需求进行设计,是否符合客户的需要;另一方面也是通过有限的测试数据案例检查发现程序中存在的Bug是保证软件质量至关重要的一步。对于一个大型应用处理软件系统,测试贯彻于其中,是一项非常重要的工作,是项目研发中一个相当重要的步骤。而测试质量的好坏直接关系到整个系统能否按期正常投产,关系到系统投产后业务处理是否正确,关系到整个系统运行的可靠性、稳定性。
近年来,以软件测试为中心的软件质量保障技术在软件生产实践中得到了迅速发展,软件测试已经成为软件生产中必不可少的质量保障手段。对于软件行业来说,要满足当今提升安全性的需要,软件供应商必须转为采用一种更严格的、更加关注安全性的软件开发流程。这种流程旨在尽量减少设计、编码和文档编写过程中存在的漏洞,并在软件开发生命周期中尽可能早地检测到并消除这些漏洞。用于处理来自Internet的输入、控制可能被攻击的关键系统或处理个人身份信息的企业和消费者软件最需要实施这种流程。
参考文献:
本文发布于:2023-07-29 02:06:05,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/1692861756635045.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:网络安全法精选6篇.doc
本文 PDF 下载地址:网络安全法精选6篇.pdf
留言与评论(共有 0 条评论) |