简述网络安全的定义
开篇:润墨网以专业的文秘视角,为您筛选了八篇简述网络安全的定义范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
简述网络安全的定义范文第1篇
关键词:信息安全;防范技术;系统安全
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2012)06-0122-03
计算机硬件蓬勃发展,计算机中存储的程序和数据的量越来越大,如何保障存储在计算机中的数据不被丢失,是任何计算机应用部门要首先考虑的问题。计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,这三个方面均涉及物理安全、防火墙、信息安全等领域。
一、信息安全简述
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上来说,凡是涉及到信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。
总的来说,信息安全是用于避免计算机软硬件以及数据不因各种原因而遭到破坏、修改。其中计算机的硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;而从属性的角度来说,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。在信息安全的概念中,网络信息安全包括了四个方面的内容:
1.硬件安全:即网络硬件和存储媒体的安全。要保护这些硬件设施不受损害,使其可以正常的
工作。
2.软件安全:也就是说计算机网络保护其软件不会被修改或破坏,不会因为非法操作而更改其功能,或者使功能失效。
3.运行服务安全:也就是删除网络中的部分信息,网络通讯仍然正常,系统运行正常。在保障网络顺畅运行的情况下,系统应该及时发现破坏因素,并采取报警和解决策略。
4.数据安全:从信息安全最重要的目的出发,要避免网络中流通的数据不被任意修改,不被非法增删改,不被非法使用。图1是供电局有限公司的信息网络示意图:
图1 广州供电局有限公司图形信息管理系统网络描述图
二、信息安全风险分析
计算机病毒的威胁:在因特网日益发展的今天,各大公司、各大企业的网络环境也得到了改善,这就助长了病毒的繁衍和传播,且其传播能力越来越不可忽视,传播途径也由单一变得复杂。概括地说,当今的网络环境为病毒的肆掠奠定了良好的环境基础。
黑客攻击:近年来黑客攻击经常出现,他们为了盗窃系统的私密信息,或者为了破坏信息,或者想非法占用系统资源,于是利用数据库或系统漏洞,采用信息炸弹、网络监听,或者密码破解、移植后门程序等非法手段入侵计算机系统,使达到其目的。
信息传递的安全风险:近几年企业开始关注信息传递的安全性,这使得信息安全中隐藏的许多问题得以暴露。在企业与国内外的工作联系中,通过网络传输的大量数据以及日常事务信息,都存在着各种传输的安全性问题,比如在传输过程中非法拦截用户信息,盗取用户账号,非法截取保密信息以及商业机密等。这就使企业的正常运作得到了严峻的考验,造成秩序紊乱。
身份认证以及访问控制存在的问题:只有被设定了权限的用户才可以对信息系统中的相应数据和信息进行操作,也就是说系统中的信息和数据是在一定范围内对含有对应权限的用户才是开放的,没有被授权的用户不可以访问。因此,在计算机系统中都设立了用户账户管理的功能,它可以创建用户、设定权限等等。虽然系统中的用户账户管理功能能够在一定程度上加强系统的安全性,但在实际应用时仍然存在一些问题。
三、信息安全策略
在信息安全的管理中,为了使安全保护达到相应的程度,我们制定了相应规则,这被定义为信息安全策略。
1.信息安全中把先进的信息安全技术作为网络安全的根本保障。要建立一个全方位的安全系统,是以这样的形式产生的:首先用户要对所面临的威胁进行风险评估,在所对应的安全服务类别前提下,选择相应的安全机制,最后利用先进的信息安全技术,建立一个全方位的安全系统。
2.严谨的安全管理。在已建立的安全体系中,要着重加强内部协调和用户的授权管理,建立安全的审计和追踪体系,提高全民网络安全意识,建立安全的网络安全管理体系。
3.制定并实施严格的法律体系。近几年网络犯罪日益泛滥,因此制定并实施严格的法律法规体系刻不容缓。
四、信息安全技术
防火墙:防火墙作为一种访问控制产品,它位于内部网络与不安全的外部网络之间,起着障碍的作用。为了防止访问不安全的情况发生,防火墙阻止外界非法访问内部资源。目前主流的技术有:应用网管技术、包过滤技术和服务技术。防火墙能够对数据流进行监控、记录以及报告,特别对于内外网络之间的联系有着较好的过滤作用,因此,黑客利用漏洞对内部网络的破坏攻击的时候,防火墙起着不可或缺的作用。图2所示是目前新兴防火墙技术:
图2 新兴防火墙技术
安全的路由器:通常控制网络信息流的主要技术采用访问控制列表技术,利用路由器来控制网络中的数据传输。
虚拟专用网(VPN):具有加密功能的路由器和防火墙能够使在公共信道上的数据实现可信赖传达,而VPN在利用加密技术和访问控制技术的前提下可以在两个或多个可信赖内部网络中进行通讯互联。因此我们使用VPN技术来构建这样的防火墙或路由器。
安全的服务器:在一个局域网内,信息或数据的存储和传输是保密的,安全的服务器可以实现这个功能,这是基于它对局域网资源和用户的控制管理,它能够对安全相关事件进行审计和跟踪。
CA和PKI产品:CA(电子签证机构)为用户发送电子签证证书,具有用户身份验证和密钥管理的功能,因此被作为一种可提供信任的认证服务为大众使用。用发展的眼光来看,PKI有着光明的发展前景,它可以为认证服务提供能为完善的功能和服务。
用户认证的产品:将IC卡个人密钥和数字签名相结合,使得IC卡更广泛的被应用于认证产品。在存储账户密钥的同时,将它与动态口令恰当结合,这使得用户身份验证和识别更为安全信赖。
安全管理中心:安全管理中心可以在大范围、多产品的情况下提供完善的服务。它监控网络运行的安全,分配安全设备的密钥,收集网络安全以及提供审计信息等。
IDS:IDS(入侵检测系统)是一种传统的保护安全机制。
安全数据库:安全数据库的建立使得存储在计算机内部的数据和信息更为完善、更为可靠有效,能够保障其机密性和可审计性,也使得在用户身份识别的时候更为安全。
安全的操作系统:稳定安全的操作系统为信息数据的存储提供了一个可靠的平台,因此要确保信息安全,首先要确保所在的操作系统安全。
五、结语
信息网络系统的迅速发展和全面普及,人类与计算机的关系发生了质的变化,人类社会与计算机和网络组成了一个巨大的系统,出现了一个全新的世界――网络社会。信息安全是21世纪经济安全和国家安全的首要条件,也是国家生存的前提条件。
在全球一体化成为趋势的时代背景下,每个国家都要在维护国家前提下参与国际合作,共同维护信息安全。
参考文献
[1] 胥家瑞.网络信息安全及其防护策略的探究[J].计算机安全,2011,(9).
[2] William Stallings.网络安全基础教程:应用与标准(英文影印版)[M].清华大学出版社,2006.
[3] 赵树升,等.信息安全原理与实现[M].清华大学出版社,2004.
[4] 沈波.信息系统安全:数字化企业的生命线[J].中国会计报,2011,(9).
[5] 刘玉秀,王磊.安全管理是重点[J].榆林日报,2011,(10).
简述网络安全的定义范文第2篇
关键词 Linux;操作系统;网络编程
中图分类号TP39 文献标识码A 文章编号 1674-6708(2011)46-0210-02
随着Linux嵌入式系统技术的逐步发展,其应用领域和市场份额继续快速扩大。其主要应用领域是服务系统和嵌入式系统。 Linux作为一种使用类的UNIX操作系统,不仅可以在INTEL,AMD等系列个人计算机上运行,也可以在许多工作站级的电脑上面运行。
1 Linux操作系统简介
嵌入式系统定义:
嵌入式系统是将先进的计算机技术,半导体技术和电子技术与各个行业的具体应用相结合的产物。其定义为:以应用为中心、以计算机技术为基础、软件硬件可剪裁、适应应用系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。嵌入式Linux操作系统是指对Linux经过裁剪小型化后,可固化在存储器或单片机中,应用于特定嵌入式场合的专用Linux操作系统。与其它操作系统相比,Linux的特点如下:
1)Linux操作系统能够与UNIX系统相互兼容。Linux系统几乎具有全部UNIX系统特征,而且能够适合POSIX国际标准的系统;
2)Linux系统有自由的软件和开放的源代码特征。Linux项目一开始就与GNU项目紧密联系起来,它的许多重要组成部分直接来自GNU项目,只要遵从GPL条款,任何人就可以自由使用Linux源代码;
3)Linux操作系统具有网络性能高和安全性强的特点。Linux支持所有标准因特网协议和提供各种高性能服务。Linux操作系统包含了大量网络管理、网络服务等工具,利用它可以建立起高效的防火墙、路由器、工作站等功能;
4)Linux系统支持多样化的硬件平台。例如RISC、CISC、32位、64位等各种处理器,Linux操作系统都能支持它们运行。
2 Linux操作系统的实时性不足
Linux系统调度CPU的时间是通过调度固定的时间片(time slices)来实现的。例如最开始进程赋予一个高的优先级,在某个进程的时间片内,这个进程如果放弃CPU,它的优先级将不会变,或者变的更高。如果一个进程使用完它的时间片,它的优先级将会变低。基于以上特征,Linux操作系统的实时性不足主要体现在几个方面:
1)Linux操作系统内核是非抢占式的。比如当普通进程运行在核心态时,实时进程优先级低于普通进程;
2)Linux操作系统的平均响应时间最少为数10ms,对响应时间要求更严的实时系统无能为力;
3)由于实时调度策略中的RR和FIFO算法存在,无法严格保证具有高优先级的实时进程总是优先于普通进程执行;
4)Linux操作系统内核的进程经常关闭中断。如果低优先级的进程关闭了中断,即使有高优先级实时进程的中断发生,导致系统最终也无法响应。
3 Linux的网络编程
3.1 Linux操作系统的网络功能
Linux操作系统在通讯和网络功能方面都优于绝大多数操作系统。Linux的网络功能主要有以下几点:
1)Linux操作系统支持TCP/IP协议。任何系统必须遵循的网络协议是TCP/IP,TCP/IP对建网提出了统一的规范的要求。
2)Linux支持多样的网络数据库。数据库是信息资源的重要来源,Linux对数据库支持也不例外。而且Linux支持的大型数据库很多,如ORACEL、 SQLSERvER等。
3)Linux系统拥有丰富的网络服务功能。Linux提供了丰富的网络服务,如电子邮件、文件传输、网络新闻等。
3.2 Linux网络不安全的因素
绝大多数计算机安全问题是由于管理不当造成,而不是系统软件本身的漏洞。因此严格的管理会极大程度地降低系统被非法入侵的风险,下面是几种常见的安全漏洞。
1)特权软件的安全漏洞。特权软件的一种攻击的方法是通过IFS(Input Files Separator,输入字段分隔符) shell 变量来实现的。IFS变量用于决定传给shell 字符串的分隔符。例如,一个程序如果调用函数system()或popen()执行一个shell 命令,那么该命令首先由shell 来分析,如果执行的用户可以控制IFS 环境变量,就可能会导致不可预测的结果。另一个攻击方法是通过使用HOME环境变量;
2)特洛伊木马程序。它与一般用户想要执行的程序从外观上(如文件名)看很相似,例如编辑器、登录程序或者游戏程序等。特洛伊木马程序与一般用户想要执行的程序表面上很相似,执行的却是其它的操作,等到用户发现,却为时已晚。例如删除文件、窃取密码和格式化磁盘等;
3)研究源代码的漏洞。许多入侵者是通过研究一些程序的源代码而成功的攻击系统的;
4)网络监听及数据截取。威胁计算机网络安全的一个重要因素是计算机之间传输的数据可以很容易的被截取。其原因在于异种机的互联,敏感数据的传输往往不在系统的控制之下,有许多现成的软件可以监视网络上传输的数据。
3.3 Linux网络遵守的安全性准则
在设计inetd 服务程序时,要特别注意buffer overflow(缓存区溢出)的问题,也就是以下这种状况: char buffer_overflow[64];fscanf(stdin,“%s”,buffer_overflow);
几乎所有的安全漏洞都是由此而来的,黑客高手可以透过buffer 塞爆,然后塞进他自己的程序进来,因此一定要杜绝这种使用方式。
3.4 Linux网络编程的模式
在Linux网络操作系统中,网络数据传输需要经历4个层次:用户进程、socket、网络协议、网络设备。它的网络编程是通过socket套接字接口来实现的,应用程序通过使用socket统一接口收发网络上的数据,网络的socket数据传输是一种特殊的I/O,socket好像通信线插口,只要通信双方都有插口,两个插口之间有通信线连接,就可以通信,这样方便了联网应用程序的编程,一个套字节是与网络的一个连接。应用程序中使用套接字来调用套接口,套接字可认为是指向套接口的指针,就像文件描述符是指向文件的指针一样。一个Socket有3个特征:网域、类型、协议。网络编程基本模式有以下3种:
1)客户机/服务器模式。客户机/服务器模式在操作过程中采取的是主动请示方式,首先服务器方要先启动,并根据请示提供相应服务。网络编程的基本模式是client/serve:模式,该模式的建立基于以下两点:一、非对等作用;二、通信完全是异步的;
2)面向连接协议的字节流套接字编程。字节流套接字编程socket采用的是传输控制协议TCP。TCP提供面向连接的流传输,面向连接对可靠性的保证首先是它在进行数据传输前,必须在信源端和信宿端建立互相的连接;
3)非连接协议的数据报套接字编程。数据报式socket采用的是用户数据报协议UDP,提供无连接数据报传输,主要应用在高可靠性、低延迟的局域网上。它的优点是高效率低开销,不用建立连接和撤销连接,缺点是不可靠,报文丢失后需重发。
4结论
Linux操作系统完全TCP/IP协议簇,其内核结构在网络方面是非常完善的。Linux操作系统支持多种类型的套接字地址簇并将其抽象为统一的套接字接口socket,这样方便了互联网应用程序的编程,而且也为网络应用程序之间的数据通信提供了便利。
参考文献
简述网络安全的定义范文第3篇
关键词:网络组建;设计;综合布线;办公自动化
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)27-1909-02
Construction and Management of OA Network―Using a Certain OA System Construction Procedure for Example
KUANG Pi-dong
(Anhui Province Environmental Protection Bureau Information Center, Hefei 230061, China)
Abstract: In this paper, a certain OA system construction is used f to explain the system designing, inner&outer network designing, network management and security designing, including the selection of interchange facilities and server, as well as the operation system. The management measures are given to guarantee the security of the network. Both the theory knowledge and the practice are used to bring distinct effectiveness.
Key words: network construction; design; compensative wiring; office automation
进入二十一世纪,全世界正在掀起全球信息化的浪潮,世界各国都把推进信息化进程,发展信息产业作为推动本国经济发展的新动力。信息化已是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家和地区现代化水平的重要标志。作为改革开放的中国,我们也已经紧跟这股浪潮正在进行一场信息革命。计算机技术、通信技术、信息技术正很快地深入到我们生活的各个方面,随着新技术的应用和普及,这场全球性的信息化浪潮正深刻地改变着人们的传统观念、生活方式乃至整个社会的结构,同时我们也在生活和工作中体验到了新技术带给我们的种种便利。随着计算机网络技术的飞速发展,计算机软件也日益成熟。目前,建设计算机信息系统、构筑企业内部信息网、实现办公自动化,进而实现电子商务已成为许多的企业的当务之急。本文以安徽省某培训基地计算机网络信息系统的建设为蓝本,简述办公自动化网络的组建与管理。
1 需求分析
根据安徽省某培训基地工作的具体需要以及当前科技发展水平,从商业需求、用户需求、应用需求、计算机平台需求、网络需求等方面把计算机网络工程建设目标分解如下:技术先进、网络系统安全、稳定、扩展性强、管理方便;完成办公自动化等信息管理系统;实现网络的智能化管理,提高工作效率;网络建设包括内部办公网络和外部网络(与Internet连接)两套网络;实现外网和Internet的连接,提高网上资源应用。本次局域网布线的组建工程是办公大楼局域网的建设,主要任务及要求为:主要包括连接网络的数据线路,根据建设培训基地的初步规划,每个标准房间需布设2个数据信息点(其中1个用于内网,1个用于外网),要求实现由房间信息插座到总机房机柜配线架上的连接及交换机的配置,对服务器系统和路由系统以及数字数据网DDN(Digital Data Network)专线的连接和调试,具体情况可依据施工图纸进行安装。
2 结构化综合布线系统设计
2.1 设计原则
为保障培训基地计算机网络系统的各项性能,实现网络建设的总体目标,在应用设计和工程实施过程中应遵循如下原则:
1) 先进性原则
采用先进的、具备发展潜力的计算机和通信技术,保障数据传输的高速度、高质量,从而发挥最佳的集成效果,保证在相当长一段时间内系统整体处于先进水平。
2) 可靠性原则
采用先进成熟的网络技术与设备,保证网络系统的高可靠性以确保网络系统能够长期稳定运行。
3) 标准化与开放性原则
在计算机网络系统总体结构设计中,所有软硬件产品的选择必须坚持标准化原则,选择符合开放性和国际标准化的产品和技术,只有这样才能保障在未来系统扩展时,各种软硬件接口的规范和通畅,保护原有的投资。
4) 可扩展性与可升级原则
建设完成后的计算机网络系统应具有一定的可扩展性,为今后的网络系统的发展和扩充提供坚实的物质基础。计算机及网络技术发展日新月异,所以设计网络建设方案时必须充分考虑网络系统的可扩展性与可升级能力,切实保护用户的投资效益。
5) 安全性原则
由于该培训基地系统的工作特殊性,必须保证计算机网络系统与数据信息的安全性,保证网络系统不被人恶意攻击,保障重要业务数据信息的保密性,网络系统中各种信息必须进行严格的权限管理,严禁非法用户获得及使用网络信息,保证数据的完整、保密性。
2.2 综合布线方案
培训基地大楼综合布线工程涵盖了整个办公大楼,该布线工程具有以下特点:支持数据良好的交换;设备采用分布式管理,中心机房设在大楼中间位置,信息点分布到整栋楼的各个楼层,信息点比较密集;设备间到最远距离的信息点长度小于100米。根据上述特点,结合网络综合布线标准,该布线系统采用星形结构的集中式布线体系结构。集中式布线即把网络设备和配线架放置于同一机房,网络设备采用网管软件管理,为系统的安全稳定高效提供最大保障。本项目的综合布线系统由六个子系统组成,分布是工作区子系统、水平子系统、管理子系统、设备间子系统、主干线子系统和建筑群子系统,限于篇幅,此处不一一赘述。
3 网络设计
3.1 内网系统的总体设计
综合考虑用户的实际需求,本项目采用以太网技术设计培训基地的网络系统。按照培训基地的要求,考虑到整体系统的安全性,局域网是培训基地的办公网络,主要实现功能如下:向上与安徽省政府综合信息网连接,向下与各市级系统网络进行连接;实现内部办公自动化;内部WWW服务;实现资源共享。
根据以上分析,培训基地网络主干采用千兆以太网进行设计,10/100M交换到桌面,网络中心设在办公楼的五层。在网络规划时,首要考虑的问题是网络的性能和可延展性,因此,分布式层级结构是合适的。培训基地内部网络包括纵向三层结构:核心层、分布层和访问层。核心层由能够处理网络中大量数据流量的高性能交换机构成,这些交换机应能够处理来自网络中所有物理LAN和VLAN、从访问层到中心服务器的各种流量,提供高性能的网络交换和路由。核心层交换机为网络提供高速的主干链路,是沟通服务器和访问层设备的桥梁。核心层交换机应具备很强的扩展能力。核心层交换机是网络结构的中心设备,需要提供实时的高品质的网络服务。处于分布层的交换机用来分配网络资源和安置用户,从而将物理LAN和VLAN之间传送的非服务器相关流量降至最低。分布层交换机的主要任务是将连接“散播”至访问层的交换设备上。访问层的交换设备处于网络体系结构的最,提供基于端口的数据交换以及对VLAN的支持。为了提供无缝的网络交换,分布层和访问层的交换机应与核心层的交换机之间存在良好的兼容性。
3.2 外网系统的总体设计
外部网络是指将连入Internet的网络,主要实现的功能包括连入Internet、建立培训基地网站、建立邮件系统等。根据对潜在用户的测算分析,网络的访问数据不是太多,所以该培训基地外网主干采用100M以太网进行设计,10/100M交换到桌面。网络中心设置在办公楼的五层,(外网的中心机房和内网的机房设备放在一起)。
在网络规划时,外部网络也和内网一样划分为三层:核心层、分布层和访问层。中心交换机选用性能价格比极佳的QuidwayS3526,二级交换机采用QuidwayS3026,与中心交换机放在同一设备间,可通过超五类双绞线级连或通过堆叠线堆叠,方便管理。由于培训基地外部网络对外访问的节点数目不多,对于路由器的要求不是很高,因此选择华为2620路由器配置一块E1卡连入Internet。在目前情况下,也可通过安徽网通公司的宽带连入Internet。
4 网络管理
随着网络规模的不断扩大和网络应用水平的日益提高,一方面使得网络维护成为网络管理的重要问题之―,造成网络故障排除困难,维护成本上升;另一方面也使网络性能成为人们诟病的重点。一般的方法是通过提高网络设备的硬件性能来提高网络的整体性能,例如增强网络服务器的处理能力,采用千兆以太网、FDDI/CDDI、网络交换、ATM等技术扩展网络的带宽等。实际上,采取网络运行中的负载平衡等动态措施更能提高网络的整体性能。网络动态性能的提高可以通过网络管理系统即“网管系统”加以解决。
网络管理系统可实现的功能包括网络系统配置管理、故障管理、性能管理、用户管理、分布管理等,可自动识别网络拓扑的结构,自动设置与显示网络设备状态,自动配置与管理系统节点,还可以实时监测网络流量和状态,自动进行统计分析,调节性能,平衡负载。在选择一个较为理想的网络管理系统时,应考虑到当前的网络需求以及将来网络发展的需要。并从企业管理系统、多厂商支持、多操作平台支持、管理信息库的支持、开放性支持、网络设备的自动查找等方面来衡量一个管理软件的优劣。由于培训基地的网络是一个实时性、可靠性要求较高的大型网络系统,因此需要一套直观的、可自动显示和报警、可诊断故障点、可进行流量及流向统计优化网络资源、易于网络配置安装的网络管理系统。根据计算机网络的应用特点,本系统选择华为网络管理软件。
5 网络安全方案设计
一个系统存在的安全问题可能主要来源于两方面:安全控制机构有故障;或者是系统安全定义有缺陷。前者是软件可靠性问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;而后者则需要精确描述安全系统。
如何确保系统的安全是系统规划设计中极其重要的部分,为了确保网络系统的安全性和保密性,笔者认为在指导思想上,首先应做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络、防火墙技术、加密技术、网络管理技术等;同时在系统的各个层面(操作系统、数据库系统、应用系统、网络系统)加以防范;最后,应加强有关网络安全保密的各项制度和规范的制定,并严格执行到位。
根据这次网络工程建设的实际需求,内部网络不考虑网络安全,对于该培训基地外部网络,本系统采用软件、硬件相结合的方式在网络内外建立一个坚固可靠的安全防护系统。PIX(Private Internet eXchange)是一种软硬件结合的防火墙,它完全可以满足培训基地的网络安全与应用需求。配置好PIX防火墙后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效保护,确保业务工作有条不紊的进行。
参考文献:
[1] Catherine Paquet(美).CCNP自学指南:组建可扩展的互连网络CISCO.袁国忠,译.北京:人民邮电出版社,2006.
[2] 王达.网管员必读=网络安全[M].北京:电子工业出版社,2005.
简述网络安全的定义范文第4篇
【关键词】EPS 接入安全 LTE
当今4G技术日益成熟,除了提供传统的语音与数据业务外,无线通信介入更多的个性化业务如电子商务等已成为不可阻挡的趋势,如何确保用户个人信息在通信接入中的安全成为无法避免的关键问题。在GSM时代接入安全无法保证,容易被窃取数据、假冒用户访问网络等,存在许多安全隐患。在这个基础上,第三代移动通信系统除继承2G系统安全的优点外,考虑了业务与网络的双重特性,进一步改进系统安全服务。
随着通信技术的演进与发展,以EPS为核心成为3GPP与3GPP2的一致发展方向,这就意味着EPS接入成为未来移动通信接入技术的演进方向。本文首先结合UMTS接入安全机制对比介绍LTE接入EPS的安全机制,而后简述HRPD网络接入EPS的过程。最后对比LTE和HRPD等不同制式接入系统过程,总结两个系统间安全设计思路上的相同点与区别。
1 无线接入的安全演进
无线移动通信中,用户与网络通过开放的空中接口进行无线信息传递,因此只需要获得合法的认证数据,非法用户即可接入网络进行业务操作;同时信息在无线环境中传送,很容易受到监听、窃取。因此,提高无线接入机制的安全性成为系统安全的关键问题。
网络接入的鉴权机制始终在不断变化与改进,从3GPP发展角度来看,GSM网络接入采用64位的密钥进行加密,在网络侧对用户进行单向鉴权。这种鉴权方式在初期可有效避免非法用户的接入,但随着网络规模的不断加大,便显现出许多漏洞。
在3G系统中,为防止攻击者利用伪网络获得终端信息,网络与终端完成双向鉴权,密钥加长到128位。同时3GPP提出了完整性保护的要求,通过IK与CK两个下层密钥完成数据的完整性保护和加密,避免数据被非法获取、破坏。
4G时代,EPS系统提出了AS(接入层)安全和 NAS(非接入层)安全两个概念,将安全分为无线链路与核心网两个层次,大大提高网络的安全性。同时,在3GPP2标准的HRPD向LTE演进的过程中,也需要解决HRPD用户接入EPS网络的安全问题。为此,3GPP提出了EPS-AKA’鉴权算法用于HRPD 接入EPS的鉴权。在以下章节,文章将对LTE及HRPD接入EPS网络进一步介绍。
2 LTE接入鉴权
在用户接入网络的过程中,网络必须知道用户身份,如果用户不具备合法的PDP上下文,网络和用户之间就需要进行鉴权。LTE接入的鉴权采用AKA机制,由UE与网络共享一个永久密钥,通过不同的鉴权函数产生对应的衍生密钥,在AKA过程中将密钥发送到对方进行鉴权。
2.1 密钥与鉴权函数
接入安全的演进最直接的体现是鉴权向量(AV: Authentication Vector)的变化,AV向量是网络端产生并发送给终端的密钥向量,由随机数RAND及其他衍生密钥组成。在3GPP中,主要的衍生密钥K、CK/IK、KASME均通过AES加密算法生成,EPS的密钥体系继续沿用这种基本算法。
AKA AES算法用来产生密钥的函数主要为F1 K~F5 K等5个鉴权函数,函数均公开,相对于2G时代的算法保密,公开算法在实践过程能发现更多的漏洞,更好地完善整个机制。
2.2 AKA鉴权过程
LTE接入通过AKA来完成认证过程,基本流程如图1所示。
(1)当用户进行服务请求,而网络无法通过全球唯一临时识别码GUTI来识别用户时,网络将触发用户标识机制,向用户发送ID请求,用户向网络传送永久身份鉴权标识IMSI。
(2)网络向归属位置寄存器/鉴权中心(HSS/AUC)发送鉴权数据请求。
(3)HSS通过判断网络类型产生相应的AV向量(RAND, AUTN, XRES, KASME),并发送给网络,AV向量基于序列号(SQN)顺序排列。
(4)网络向USIM发送用户鉴权请求消息。消息里包含三个参数:RAND、AUTN、KSIASME。
(5)USIM验证AUTN。首先验证AMF头字节是否为1,然后根据f1K 算法XMAC值并与AUTN中的MAC值相比较,若不等,则UE发送authentication reject消息给MME;否则USIM进一步验证收到的SQN是否在正确的范围内。若在正确范围内,则计算出鉴权码 RES = f2(K,RAND),然后将其包含在用户鉴权响应消息中发送给网络。
(6)网络比较接收到的RES与计算出的XRES,若二者相等证明用户是合法用户。
在网络验证完终端的合法性之后,网络和终端选择共享密钥来产生下层密钥,激活数据加密和完整性保护,之后开始业务的进行。
3 HRPD接入鉴权
HRPD接入的鉴权算法和密钥与LTE接入基本相同,主要的不同点在于HRPD接入采用EPS AKA’机制。HRPD接入EPS的网络结构图如图2所示。
(1)HRPD服务网关(HSGW):完成HRPD用户与EPS系统架构和协议的互连,使得HRPD接入网络成为EPS可信任的非3GPP网络。
(2)完成互操作的两个接口S101、S103。
S101接口:信令接口,承载HRPD接入网和EPS系统中MME网元的互切换、会话维护信令等。
S103接口:数据接口,实现EPS的服务网关向HSGW进行数据转发,减少包损失。
3.1 EAP-AKA’
可扩展鉴权协议EAP作为在通信网络中广泛使用,与其他鉴权算法相比,EAP协议无需链路控制阶段指定协议,同时支持的鉴权协议更为全面。另外,EAP鉴权通过IP进行用户标识,协议支持网络接入标识NAI来作为用户的身份标识。
EAP-AKA'作为改进的EAP方案,和EAP-AKA方案主要不同之处在于:密钥计算方法不同;EAP-AKA'过程含有AT_KDF_INPUT属性,保证用户与服务器拥有共同的接入网标识,同时也支持采用该属性进密钥推衍功能的协商。
3.2 HRPD的接入鉴权
HRPD接入分为两种:可信任和非可信任接入。当运营商认为各部分安全特性均充分时,HRPD接入就被视作可信任接入,其又分为完全可信接入和快速重鉴权;而当运营商认为有一组或多组安全特性不充分时,就将此HRPD接入视作非可信任接入。
3.2.1 可信任接入鉴权
完全可信任接入鉴权主要如图3几个部分完成:
(1)PPP协议和链路控制协议(LCP:Link Control Protocols)协议协商过程,协商后 将EAP作为鉴权协议,UE与HRPD接入网之间建立连接;
(2)用户标识的获取:
a. HSGW向UE发送EAP Request/Identity,UE回复EAP Response/Identity(NAI),若是第一次鉴权则NAI包含IMSI。
b. HSGW将接入类型及接入网ID包含在AAA消息里,通过3GPP2 AAA直接将消息发送给3GPP AAA;
(3)AV向量的产生及传送:
a. 服务器检测是否有未使用的、AMF头字节为1的AV向量,否则从HSS中取得。为了从HSS获取新向量,3GPP AAA根据接入网ID决定网络名,并包含在AT_KDF_INPUT属性(发至HSS的消息)里;
b. HSS运行AKA算法,生成AV向量并发送给3GPP AAA。3GPP AAA经过检查后通过HSGW将EAP Request/AKA'-Challenge消息发送给UE。
(4)UE端收到AV向量后,验证AUTN、SQN,若都正确,则计算IK、CK、RES,并将RES通过HSGW发送给3GPP AAA;
(5)网络验证UE:3GPP AAA检查接收的MAC,并且验证XRES是否与RES相等。如果3GPP AAA与UE约定使用保护结果成功指示,则网络与终端将进行指示的确认;
(6)网络经过HSGW向UE发送鉴权成功消息,UE注册成功。
可信任接入的快速重鉴权重复使用先前的完整鉴权产生的密钥,这个过程不包括HSS、AKA鉴权向量的处理以及EAP-AKA’使用的证书,减少HSS特别是AUC的负载,但是否采用由运营商决定。如果应用,那3GPP AAA通过发送快速鉴权ID的方法指示给UE。
3.2.2 非可信接入
对于非可信连接,UE和演进分组数据网关(ePDG:Evolved Packet Data Gateway)将在它们之间的IPSec隧道建立过程中进行互鉴权。此外,在IPSec隧道建立之前,UE需要获知接入网的IP连通性,这可能要求接入鉴权。这个接入鉴权与IPsec隧道建立的EAP-AKA鉴权过程无关,而是非可信的非3GPP接入网安全所要求的。
4 LTE接入与HRPD接入对比分析
总的来说,LTE接入与HRPD接入鉴权思想基本一致,相比之前的网络均完成了以下几个改善:
(1)通过KSIASME等密钥的应用,确保KASME等关键密钥不进行空口传输,防止监听及假冒用户。
(2)通过重复使用KASME等密钥,减少AKA等过程,减少在3G系统中出现的重同步问题。
(3)定义AMF头字节进行AV向量分类,判断是否有效接入网络,避免接入假冒网络。
同时,由于鉴权机制的不同,两者仍旧有一定的区别:
(1)参与的网元与信令增多。HRPD接入与LTE接入相比,增加了两个AAA服务器网元,使得HRPD接入网络信令开销增大,影响了鉴权效率。尽管可以采用快速再鉴权过程,但其安全性能较差,无法有效保证信息安全。
(2)用户标识符。HRPD接入网采用基于IP思想的PPP协议和LCP协议,同时改变了网络接入标识的格式,格式为:用户名@域名。
(3)鉴权向量的改变。HRPD接入中,AV向量五元组不采用IK与CK,而是采用由两者推算得出的IK’与CK’,避免IK与CK在无线传输中被非法盗取。
5 结束语
尽管EPS的接入安全已经做了很大改进,但必须看到仍旧没有解决全部的问题,例如IMSI的明文传送、重同步问题、HRPD的信令复杂度等问题。如何利用未来协议、算法、技术等手段在未来的演进中不断的改善直到彻底解决这些难题,是运营商、市场、用户等多方的共同需求,也是必须面对的问题。
参考文献
[1]3GPP.TS 33.401,3GPP SAE:Security architecture[S].
[2]3GPP.TS 33.402,3GPP SAE;Security aspects of non-3GPP accesses[S].
[3]张文芳,何大可.第三代移动通信系统网络接入安全策略[J].通信技术,2003(01):109-112.
[4]林海波.关于3G移动通信系统的网络安全分析[J].移动通信,2006(05):46-49.
简述网络安全的定义范文第5篇
【关键词】数字化校园;公共基础平台;信息化建设;统一身份认证
1.引言
数字化校园建设以信息资源与信息服务为核心内容,实现数字化的学习、教学、科研和管理,创建数字化的生活空间,创建虚拟大学空间,实现教育信息化和现代化。数字化校园的建设不是一项单纯的技术工作,而是一项人类工程,它将先进的信息技术引入到教学、科研、管理和服务等各项活动中去,提高教、学、管的质量和效率,创造新的教育和工作模式,完成传统教育模式难以实现的目标。教育信息化的过程是教育思想、教育观念、教育模式转变的过程。在教育行业信息化的大背景下,数字校园的建设水平不仅体现了高校教育信息化的程度,也反映了决策者的对现代教育发展趋势高瞻远瞩的水平;更是衡量学校办学能力和教学科研水平的重要标准之一。
作为中国高校信息化的重要体现,数字化校园建设已经被越来越多的高校所重视。目前国内各高校的数字化校园正在如火如荼的建设中。数字化校园是结合学校的整体发展战略,规划信息化目标和发展方向,充分利用现代信息技术,提高信息利用效率,提高学校教学、办公管理水平,实现学校信息化管理,提高学校的核心竞争力。其具体目标可以分为促进教学、增强科研、优化管理和提高服务质量四个方面。要达到以上的几个目标,就必须对整个数字化校园进行透彻的分析,为数字化校园的各大要素建立科学合理的模型,例如:用户模型、权限模型、流程模型、业务模型、数据模型等。从全盘进行架构,从局部开始实施,做到统一规划分布进行。在确保整个数字化校园稳定、可靠、可用的同时,保护现有资源,做到易延续、易扩展,从而创造新的教育和工作模式,完成传统教育模式难以实现的目标。
2.数字化校园建设规划
2.1 建设目标
项目前期规划的合理及完善程度,直接影响到后期的实施效果。一个完整的项目规划,不但应该满足当前的需求,还要对未来发展目标做出明确的规划。通过对学校当前状况的分析,结合当前高校信息化的发展趋势,从信息化的建设方面考虑,校园项目建设规划的总体目标定位为利用技术创新手段,通过组织和业务流程再造,提高办学效益和工作效率,提升管理水平,促进科学决策;在技术实现上,建成学校的三大基础平台,搭建资源高度共享的业务及应用平台,提供个性化信息服务,构筑数字化的教学、科研、管理和校园生活环境。
为了最大限度的保护投资,利用现有资源,兼顾软件建设的实施步骤,同时也为了动态实时的展现学校各项指标,为学校实现现代化管理提供决策依据。系统的建设目标为:基于统一的技术架构、标准与环境,构建符合学校需求的各应用系统,并对学校各部门相对独立的数据资源和应用系统进行整合。建立一个统一身份认证中心、一个具有安全性好、可靠性高、可用性强、可管理的门户中心,一个统一的能对全校数据信息实行集中管理、维护的统一数据库平台,从认证层面、信息的集中与个性化服务层面、数据层面上实现全校范围内数据的统一集中和共享,实现各级部门以及应用系统之间信息资源共享,全方位满足用户对学校有关信息资源的查询检索,以此来提高学校教育信息化整体水平,为进一步实施学校信息化建设中其他管理及后续应用软件系统的建设奠定坚实的基础。
2.2 建设原则
学校数字校园建设是根据统一领导,依据总体规划、分步实施、标准统一、资源共享、重在应用的原则,有计划,科学合理地进行构建,实现学校数字校园高起点、大规模、跨越式发展。在建设过程中必须全校上下统一思想,齐心协力,在规划设计、建设实施、舆论宣传、人员培训、推广应用、管理维护和制度建设等方面协调同步,共同推进;必须准确地切合学校现实的应用需求,以数字资源建设为重点,通过组织和业务流程再造,推动学校进行制度创新和管理创新;必须重视信息标准体系的建设,采取硬件集群、数据集中、应用集成的模式,实现学校网络化、标准化、集成化的信息资源共享。
2.3 建设思路
根据对其它院校数字校园的观察,高校数字校园的建设是一个持续的过程,由于学校业务的特点,后期还会有新的应用整合进来。因此在建设时要考虑在后期如何方便的增加、更改和整合新的应用,而这些新整合的应用应该能够形成一个统一的系统。同时应根据学校的现有情况,针对各个业务的不同特点、重要性程度、影响面进行有重点的实施。学校规模大、业务庞杂,因此在数字校园的建设中,应采用目前国际上主流、成熟的技术和先进的设计理念,使整个系统具有较强的扩展能力和可定制能力,便于维护及二次开发,节约后期建设的时间和投资,为数字化校园后续的应用建设和发展打下基础,提供可持续发展的保障。
3.公共基础平台建设方案
3.1 统一信息标准
信息标准化、数字格式和表示的一致性是信息发展的一个主要议题,同时也是数字校园项目建设的一个重点,整个校园的数据表示需要按照一定的标准编码,方便学校内数据和行业之间数据流通。目前存在国家标准,行业标准,市级标准和学校内部自己的标准,各个标准并不完全的一致。需要根据这些标准,兼顾各个标准之间的兼容性,和标准的一致性,以及标准的可扩展性,建设一套符合学校实际情况的信息标准。信息标准的建设为统一校内各应用系统之间的数据定义差异、消除信息孤岛打下基础。在信息标准的建设过程中,应该考虑以下三个方面的标准:国家标准这是指由国家相关部门颁布的标准,如《教育管理信息化标准》,它对信息化标准建设起宏观指导作用,信息标准的建设将以此为基本依据;学校标准这是指各学校在以往工作中,根据实际工作需要规范学校信息编码而设立的信息标准,它对统一信息标准建设起辅助和补充作用;自定义标准这是指在日常工作中通过积累和总结,将会形成一些在工作中具有普遍适用性的信息,将这些信息进行整理和汇总,并通过一定的方式加入信息标准,也可以成为信息标准的一部分。
3.2 统一数据平台
当前学校信息化管理的现状是:各个部门、院系可能都有各自独立的信息系统和数据库,并且各个系统自成体系,数据重复冗余,导致了各部门相互之间同一信息不一致,信息不能及时共享,数据的利用率不高。为了避免上述情况的存在,数字校园项目必须做到数据共享,只有数据共享之后才能保证数据一致,减少冗余,提高利用率。这就要求统一设计一个数据库(包括共享数据库)架构,为今后各部门信息化工作提供前期的准备和支持。
3.3 统一门户
门户系统(Portal)是一个基于Web的系统,针对学校用户提供个性化设置、单点登陆、以及由学校各种不同来源或不同部门网站取得各式各样的信息,并且将这些信息放在网页之中组合而成的呈现平台。门户网站会有精巧的个性化设置,提供定制的网页,当不同等级的使用者来浏览该页面将获得不同的信息内容。门户系统全面解决了高校在信息的统一提供、统一展示、统一聚合方面的问题。将分散、异构的应用和信息资源进行聚合,通过统一的访问入口,实现各种应用系统的无缝接入和集成,提供一个支持信息访问、传递以及协作的集成化环境,实现个性化业务应用的高效开发、集成、部署与管理。它位于各类应用之上,是信息化校园的窗口,以浏览器的方式向用户展现信息化校园的服务信息,能有效地整合各类应用之间的缝隙,并根据每个用户的特点、喜好和角色的不同,为不同用户提供量身定做的访问关键业务信息的安全通道和个性化应用界面,使师生员工可以浏览到相互关联的数据,进行相关的事务处理。
3.4 统一身份认证
使用统一的电子身份体系,为各种网络应用系统服务。使全校用户在所有的网络应用系统中都使用统一的电子身份,保证用户电子身份的唯一性、真实性与权威性。提供业务系统功能级安全接入规范及标准,为集成应用提供统一、安全的接入指导,为新应用系统的开发节省再投入成本。统一身份认证系统是整个网络安全体系的基础层,否则安全问题将成为隐患,随时威胁着系统正常运行。只有建立了基于整个网络的、全面的统一身份认证系统,才能彻底的解决这一隐患,同时也为信息化的各项应用系统提供安全可靠的保证。
3.5 应用子系统集成平台
在高校信息化发展的过程中,因各种原因造成了各业务部门独立建立了自己的应用系统,由不同厂商提供的应用系统,形成了每个系统之间的数据结构、数据库标准等不统一,不能有效共享的孤岛现象,在信息化高速发展的今天,对校内各个应用系统进行整合利用、资源共享就显得非常迫切了,通过应用子系统集成平台的多种接口来实现各种数据的对接与共享,建立统一的应用系统标准和应用环境,通过应用子系统集成平台来整合原有系统,能有效保留各业务部门对原有系统的应用习惯同时也保证了用户的前期投资。
4.结束语
高校数字化校园建设已成为高校信息化发展的必然趋势,各个高校都已经开始或正准备开展建设,这是一个长期而庞大的系统工程。在数字化校园建设过程中技术上的问题也许并不是最困难的,建设中几乎涉及到学院各个组织部门,因此需要领导的带动,切实推动各个部门来一起配合解决问题,这对整个学校的制度管理都是一个巨大的考验。我们更应抓住这个机会来大力推进整个高校的信息化建设,相信经过大家的不懈努力高校数字化校园建设终将取得不错的成果。
参考文献
[1]许佳.浅谈高校数字化校园建设[J].科技广场,2010(04).
[2]朱迅,杨丽波.高职院校数字化校园建设研究和思考[J].中国现代教育装备,2011(11).
[3]张荣焱.数字化校园建设的目标与规划简述[J].职业教育研究,2011(04).
[4]邵冬华.高职院校数字化校园建设对策研究[J].浙江交通职业技术学院学报,2010(02).
[5]谷松,张月琳.统一身份认证在数字化校园中的应用[J].中山大学学报(自然科学版),2009(S1).
[6]秦剑波.高校数字化校园建设中数据整合的探讨[J].科技资讯,2007(19).
[7]高颖.关于数字化校园建设的思考[J].教育理论与实践,2011(20).
简述网络安全的定义范文第6篇
一、参评软件简述
1 卡巴斯基2010
软件名称:卡巴斯基反病毒软件
软件版本:2010 V9.0.0.463
软件大小:62.60MB
适用平台:Win 2000/XP/Vista/Win7
在卡巴斯基2010中有很多细节值得关注。这其中就包括首次加入的“沙箱”及病毒库回滚机制。简单来说“沙箱”可以将真实系统与外网。隔离”,从而在源头上杜绝木马混入的可能。而病毒库回滚则被设计为将病毒库恢复至上一版本,用以临时解决升级误杀等现象。此外还有新加入的IM防护、游戏模式、U盘监控及广告拦截等,都是一些很不错的改进。
2 Norton 2010
软件名称:诺顿网络安全特警
软件版本:2010测试版
软件大小:88.72MB
适用平台:Win 2000/XP/Vista/Win7
Norton的变化同样体现在细节方面,新版本进一步增强了Norton Insight(进程评定)、SONAR(主动防御)、下载探查的功能范畴。同时第一次加入了“静音模式”,能够在执行CD刻录、Media Center录像、全屏程序时自动屏蔽弹出窗口,以防对程序运行造成干扰。此外2010版还在笔记本优化及节能模式上做出改善,可以在系统资源超负荷的情况下,自动延迟NIS的任务执行。
3 瑞星2010
软件名称:瑞星杀毒软件
软件版本:2010测试版
软件大小:56.2 MB
适用平台:Win 2000/XP/Vista/Win7
相比而言,瑞星2010并没有太多功能改进,更多的还是在先前功能基础上进行完善。其中包括可自定义的启发级别、更醒目的主防提示、更直观的用户界面等都是新版本的亮点之处。而且与瑞星2009相比,新版本在内存占用上更加小巧,这一点在后面的测试中我们也会提到。
4 NOD324.0
软件名称:ESET NOD32
软件版本:4.0.441
软件大小:33.3 MB
适用平台:Win 2000/XPNista
在NQD32 4.0的更新列表中。我们能够找到很多值得一提的亮点。比如单独的U盘高级扫描、超大文件(2GB以上)优化、笔记本平台优化、卸载密码保护、压缩文件高级扫描、系统更新提醒等等。此外针对上一版中广受诟病的防火墙组件也进行了相应升级。新增加的。学习模式。弥补了老版的最大缺憾。此对于SSL及IMAP的支持,也是NOD324.0的最大亮点。
二、系统防护对比
1 挂马防护对比
相比传统的病毒感染,网页挂马无疑更为有效。在这个过程中。黑客们利用各种漏洞。将制作好的木马上传到服务器后台。然后利用指令让木马随页面启动。这时只要用户浏览网页,木马便会通过客户机漏洞进入电脑。而且越是热门网站,被挂马的机率也会越高。
可以看到在防挂马测试中,卡巴斯基的表现还是相当不错的。相比其他软件只能完成两三组拦截,卡巴斯基2010竟能一下子识别出6组挂马网站。而且从测试中可以看出卡巴斯基的反应非常迅速,几乎就是在用户打开网页的一霎那,拦截窗口便已弹出,绝不会给木马留下可乘之机。
2 移动媒体监控
随着u盘的普及。借助USB端口进入电脑,已经成为木马病毒的新选择。虽然每款软件都在宣称能够对USB端口严防死守,但我们还是决定借助测试进行一番考察。考虑到实际工作情况,我们将测试分为三组,分别是“直接打开U盘窗口(我的电脑)”“向本地电脑执行木马复制”、“直接运行u盘木马”。
测试中四款杀软的反应都很迅速,几乎都是在检测到威胁的一霎那启动了拦截。而且无论是木马复制还是直接运行,软件都能给予最及时的处理,绝不会出现漏掉等情况。除此之外,卡巴斯基2010与Norton 2010的实时监控较为灵敏,只要打开u盘窗口就能自动进行处理,而这一点还是相当值得称赞的。
3 病毒样本包查杀
本节测试中,我们已经事先从国内几大知名安全论坛,收集到了一组最新病毒样本包文件。虽然与专业的评测机构还有很大差距,但至少可以在一定程度上反映出各参测软件。在应对时下最流行木马时的应变处理能力。不过考虑到不同杀软在病毒计算方式上各有不同(如一份文件包含多个病毒),我们并没有直接使用各软件的报告结论。而是以剩余残留物的多少作为最终获胜的判定条,件。此外对于那些确认已失去效力的病毒(如被杀软自动备份的)。我们也将它归类到已处理项中统计。
在这一环节测试中,NOD32和卡巴斯基表现出色。均保持了97%以上的有效检出率。而且从使用感受来讲,NOD32的系统负载很小,即使满负荷工作也不会让电脑明显变慢。相比之下Norton 2010表现―般,除了病毒检出率有待提高外,其整体杀毒用时也是四款软件中最长的一个。虽然不同杀软所采用的病毒处理策略不尽相同(如Norton2010更侧重于清除病毒而不是将染毒文件整体删除),但如此长的等待还是让人难以接受,这一点还需要日后再行完善。
三、系统性能影响
1 开机速度拖累
由于杀毒软件的原理所限,或多或少都会对系统性能造成一定影响。其中最有代表性的就是由它造成的开机速度延迟。为避免其他软件对评测数据造成影响。所有测试机系统都是全新安装。而且并未加载除必要评测工具以外的其他软件。同时我们还在测试中使用了一项名为BootRacer的计时软件。以便将统计误差降至最低。
从结果来看,安装杀毒软件的确会对系统性能(开机速度)造成影响。而且不同杀软对于速度的拖累也是不尽相同。总体来看NOD32 4.0所产生的系统拖累最小,约为6秒钟。而卡巴斯基2010则用时较长。达到了60秒左右。
2 文件下载拖累
此外出于对下载文件的保护。文件下载往往也会因为安装了杀毒软件而变得更慢。为了搞清楚这里的延时究竟多大,我们随后从IT下载站选取了三组测试样本,以IE下载的方式计量了它们的下载用时。
由于防护机制各有不同,四款杀软在这一环节中的表现也不一样。其中NoRon2010和瑞星2010的延迟最小,基本上与空白系统相差无几。而卡巴斯基依旧成为用时最长的一个,究其原因除了与卡巴斯基的特殊防护机制有关外(下载完毕前对启动文件 自动扫描),另一原因就是此次评测样本均选用了exe格式,而事实上正是由于这种格式常会引发杀软启动深度扫描,从而导致延迟如此明显。而从之前的测试来看,压缩包则是对下载延迟影响最小的一种格式。
四、自我保护对比
“攻击杀毒软件”常常是很多木马的惯用伎俩,毕竟干掉了这个系统保护神,它就能够在电脑中为所欲为了。一般来说,木马攻击常用的手段就是“修改杀软文件”与“直接中止进程”。只要经受住这两个环节的考验,我们的杀软就能大体无虞。下面我们将分别从“在杀软目录添删文件”、“任务管理器中止进程”和“IceSword中止进程”三方面。对四款参测软件的自我保护能力进行评测。
可以看到,四款杀软均提供了较为完备的自我防护机制,能够有效抵御未知程序对于系统文件及关键进程的侵害。值得一提的是,卡巴斯基2010、瑞星2010、NOD32 4.0均提供了多进程设计。其中负责系统安全的核心进程安全级很高,即使在专业进程软件lceSword面前都没有失效,能够有效抵御各种来自外界的威胁。而这恰恰是Norton2010的最大短板。
五、资源占用对比
1 扫描速度对比
如今的硬盘动辄数百GB,如果杀毒软件的效率低下。很可能执行一次全盘扫描就会花费半天多的时间。那么四款新版杀软能否在扫描速度上表现出众呢?下面我们将分别用秒表计量四款软件的正常扫描速度,其目标是一个容量10GB的单一分区(共包含文件19469个。文件夹1727个)。
注:为避免受到其他因素影响,评测前我们已手工关闭了四款软件的实时监控及文件指纹模块。
四款软件中NOD32 4.0的表现最好,7分38秒的时间较第二名卡巴斯基整整短了近2分钟。而瑞星2010则在这一环节表现令人失望,整体用时竟然达到了第一名的1.5倍。不过值得一提的是,这一指标还与杀软策略息息相关(比如压缩包处理方式、扫描强度等),因此在进行这项对比时,一定要参照杀毒软件的病毒查杀能力,这样才能获得更准确的评测结论。
2 CPU占用率对比
为了能让大家更直观地了解四款杀软的实际工作情况,我们分别用性能监测器截取了四款软件在正常扫描前1分40秒的CPU变化曲线。同时以CPU平均值为依据,对它们的CPU占用率进行了对比。
原本以为运行飞快的NOD32会是资源最省的一个,没想到结果恰恰相反,60.8%的CPU占用率使得它最终超过卡巴斯基。成为四款软件中CPU占用率最高的一位。不过从曲线图上来看,和第二名的卡巴斯基相比,NOD32的曲线更加平滑,很少会出现急促的上升、下跌走势。而且由于它的策略往往是将染毒文件整体删除,因此相比同类工具它的硬盘占用率反而更低。也许正是基于以上两点,才最终让我们感觉NOD32的运行反而更快。