一般認為���,目前網絡存在的威脅主要有以下幾種形式:
1)非授權訪問
用戶預先沒有經過同意�,就使用網絡或計算機資源的行為被看作是非授權訪問����,如有意避開系統訪問控制機制對網絡設備及資源進行非正常使用�,或擅自擴大權限����,越權訪問信息�����。用戶未經授權就使用系統資源�,雖然未對系統造成破壞����,但已經侵犯了別人的隱私�����。
非授權訪問主要有以下幾種形式:假冒���、身份攻擊��、非法用戶進入網絡系統進行違法操作��、合法用戶以未授權方式進行操作等����。
2)信息泄露或丟失
信息泄露或丟失指敏感數據在有意或無意中被泄露出去或丟失�,通常包括信息在傳輸過程中的丟失或泄露和信息在存儲介質中的丟失或泄露����。如黑客利用電磁泄露或搭線竊聽等方式���,截取機密信息或通過對信息流向����、流量����、通信頻度和長度等參數的分析��,張家口哪有做網站推出如用戶帳號���、口令等重要有用信息����,通過建立隱蔽隧道等方式竊取敏感信息�����。
3)破壞數據完整性
入侵者以非法手段進入系統后�����,取得對數據的使用權���,就可以刪除���、修改�����、插入或重發某些重要信息�����,以取得有益于攻擊者的響應;或破壞系統運行的重要文件�,導致網站系統無法正常運行����。
4)拒絕服務
拒絕服務指不斷對網絡服務系統進行干擾��,張家口網站制作改變其正常的作業流程�,執行無關程序使系統響應減慢甚至癱瘓�,影響正常用戶的使用���,甚至使合法用戶被排斥在外而不能進入計算機網絡系統或不能得到相應的服務��。拒絕服務可能由以下原因造成:攻擊者對系統進行大量的�、反復的非法訪問嘗試而造成系統資源過載���,無法為合法用戶提供服務;系統物理或邏輯上受到破壞而中斷服務���。
5)利用網絡傳播病毒
通過網絡傳播計算機病毒�,其破壞性大大高于單機系統���,而且用戶很難防范����。
另外��,還有一些其他潛在的安全威脅���,了典型的安全威脅����。
衡量網站安全的指標主要包括保密性(Confidentiality)�����、完整性(Integrity)和可用性(Availability)����,三者簡稱CIA o
保密性指網站中有保密要求的信息只能供經過允許的人員��,以經過允許的方式使用��。如某些檔案系統���、統計系統和軍用系統就有保密性要求�����。
完整性指網站中的信息安全��、精確與有效�����,不因種種不安全因素而改變信息原有的內容���、形式與流向����。造成信息完整性破壞的原因也可分人為和非人為兩種�����。完整性的破壞是對網站安全的主要危害�,如由于系統的設計不完善而造成使用不當或操作失誤所引起的數據完整性問題等���,涉及到數據庫安全�、分布處理����、軟件可靠性等領域��。銀行的轉帳系統��、存取款系統應有完整性要求�����。
可使用性指網站資源在需要時即可使用�����,不因系統故障或誤操作等使資源丟失或妨礙對資源的使用����。網站可使用性還包括具有在某些不正常條件下繼續運行的能力�����。對網站可使用性的影響包括合法的用戶不能正常訪問網站的資源和有嚴格時間要求的服務不能及時響應�����。如民航與鐵路的訂票系統應有可使用性要求����。
綜上所述�����,在進行網站安全設計時��,需要確定網站的安全目標�、安全功能和安全措施����。安全功能是達到安全目標所需具備的功能與規定�,安全措施是實現安全功能的具體技術機制���、方法與設施�����。
|
