网络安全

维基百科,自由的百科全书
跳转至: 导航搜索
Gnome-security-medium.svg

网络安全包含网络设备安全、网络信息安全、網路軟體安全。

黑客通过基于网络的入侵来达到窃取敏感信息的目的,也有人以基于网络的攻击见长,被人收买通过网络来攻击商业竞争对手企业,造成网络企业无法正常运营,网络安全就是为了防范这种信息盗窃和商业竞争攻击所采取的措施。

網路安全的服務與目標[编辑]

主要包括下列五點:

安全隱密性(Confidentiality):指的是當資料傳遞時,除了被授權的人,不會受到外力的擷取。

身份認證性(Authentication):指的是當傳送方送出資訊時,就必須能確認傳送者的身份是否為冒名。

資料的完整性(Integrity):指的是當資料送達時必須保證資料沒有被篡改的疑慮。

授權性(Authorization):使用者只能擷取被授權部分的資訊。

不可否認性(Non-Repudiation):使用者已使用或接受某項服務(例如下訂單)時,不能否認其未使用過。

(林東清,2010) [1]

網路安全的威脅與攻擊的模式[编辑]

(1)電腦病毒(Virus)的散布:電腦病毒可能會自行複製,或更改應用軟體或系統的可執行元件,或是刪除檔案、更改資料、拒絕提供服務,其常伴隨著電子郵件,藉由文件檔或執行檔的巨集指令來散布,有時不會馬上發作,讓使用者在不知情的情況下幫他散布。

(2)阻絕服務(Denial of Service, DoS):系統或應用程式的存取被中斷或是阻止,讓使用者無法獲得服務,或是造成某些即時系統的延誤或中止。例:利用大量郵件炸彈塞爆企業的郵件伺服器、藉由許多他人電腦送出http的請求而癱瘓Web Server。

(3)後門或特洛伊木馬程式(Trapdoor/Trojan Horse):未經授權的程式,可以透過合法程式的掩護,而偽裝成經過授權的流程,來執行程式,如此造成系統程式或應用程式被更換,而執行某些不被察覺的惡意程式,例如回傳重要機密給犯罪者。

(4)竊聽(Sniffer):使用者之識別資料或其他機密資料,在網路傳輸過程中被非法的第三者得知或取得重要的機密資訊。

(5)偽裝(Masquerade):攻擊者假裝是某合法使用者,而獲得使用權限。例:偽裝別人的名義傳送電子郵件、偽裝官方的網站來騙取使用者的帳號與密碼。

(6)資料篡改(Data Manipulation):儲存或傳輸中的資料,其完整性被毀壞。例:網頁被惡意竄改、股票下單由10張被改為1000張。

(7)否認(Repudiation):使用者拒絕承認曾使用過某一電腦或網路,或曾寄出(收到)某一文件。例如價格突然大跌,而否認過去所下的訂單。此項是電子財務交易(Electronic Financial Transaction)及電子契約協定(Electronic Contractual Agreement)的主要威脅。

(8)網路釣魚(Phishing):建立色情網站或者『虛設』、『仿冒』的網路商店,引誘網友線上消費,並輸入信用卡卡號與密碼,以此來獲取使用者的機密資料。

(9)雙面惡魔(Evil Twins):為網路釣魚法的另一種方式,指的是一種常出現在機場、旅館、咖啡廳等地方,假裝可提供正當無線網路連結到Internet的應用服務,當使用者不知情登上此網路時,就會被竊取其密碼或信用卡資訊。

(10)網址轉嫁連結(Pharming):犯罪者常侵入ISP的伺服器中修改內部IP的資訊並將其轉接到犯罪者偽造的網站,所以即使使用者輸入正確的IP也會轉接到犯罪者的網站,而被截取資訊。

(11)點擊詐欺(Click Fraud):許多網路上的廣告例如Google,是靠點擊次數來計費(Pay by Click),但某些不法網站利用軟體程式或大量中毒的殭屍網站(Zomhies)不法的去點擊廣告,造成廣告商對這些大量非真正消費者的點擊來付費,或者有的犯罪者故意大量去點擊競爭對手的廣告,讓其增加無謂的廣告費用。

(12)Rootkits:一堆能竊取密碼、監聽網路流量、留下後門並能抹掉入侵系統的相關紀錄以及隱藏自己行蹤的程式集,為木馬程式的一種。如果入侵者在系統中成功直入Rootkits,一般人將很難發現已經被入侵,對於入侵者來說,就能輕易控制系統,而通行無阻。

(林東清,2010) [1]

行動碼[编辑]

行動碼(Mobile code)是一種軟體技術可由遠程系統透過另一個網路轉存入本機端進行代理作業,可進行下載或在本機端上執行沒有明確安裝或者接受者的作業。 行動碼的例子包括include scripts(JavaScriptVBScript)、Java小應用程式,ActiveX 控制,flash動畫,,並且在一般文書檔案資料內嵌入。

行動碼也能透過電子郵件方式自動下載並且在客戶端執行。 行動碼透過電子郵件下載可能附件(例如,大總之檔案) 或者透過一個HTML 電子郵件內容(例如,JavaScript) . 例如,ILOVEYOU,TRUELOVE 和AnnaK電子郵件電腦病毒/蠕蟲病毒全部被作為行動碼實現(VBScript,在Windows為主機寫稿子過程中執行的一個.vbs電子郵件附件裡)。

在幾乎所有現實狀況中,用戶不會意識到行動碼正下載和在他們的本機電腦中執行。

参見[编辑]

攻擊相關[编辑]

保護相關[编辑]

参考文獻[编辑]

  1. ^ 1.0 1.1 在此使用高雄中山大學林東清教授為策略資訊系統所下的定義, 林東清. 資訊管理:e化企業的核心競爭能力. 臺北市: 智勝文化. 2010: 266. ISBN 978-957729-810-2. 

外部链接[编辑]