網站的安全威脅

所謂安全威脅，是指某個人、物、事件或概念對某一資源的保密性、完整性、可用性或合法使用所造成的危險。某種攻擊就是某種威脅的具體實現(xiàn)。
所謂防護措施，是指保護資源免受威脅的一些物理的控制、機制、策略和過程。脆弱性是指在防護措施中和在缺少防護措施時系統(tǒng)所具有的弱點。
所謂風險，是關于某個已知的、可能引發(fā)某種成功攻擊的脆弱性的代價的測度。當某個脆弱的資源的價值高，以及成功攻擊的概率高時，風險也就高；與之相反，當某個脆弱的資源的價值低，以及成功攻擊的概率低時，風險也就低。風險分析能夠提供定量的方法來確定防護措施的支出是否應予保證。

安全威脅有時可以被分類成故意的(如黑客滲透)和偶然的(如信息被發(fā)往錯誤的地址)。故意的威脅又可以進一步分類成被動的和主動的。被動威脅包括只對信息進行監(jiān)聽(如搭線竊昕)，而不對其進行修改。主動威脅包括對信息進行故意的修改(如改動某次金融會話過程中貨幣的數(shù)量)?？傮w來說，被動攻擊比主動攻擊更容易以更少的花費付諸工程實現(xiàn)。
目前還沒有統(tǒng)一的方法來對各種威脅加以區(qū)別和進行分類，也難以搞清各種威脅之間的相互聯(lián)系。不同威脅的存在及其重要性是隨環(huán)境的變化而變化的。然而，為了解釋網絡安全業(yè)務的作用，我們對現(xiàn)代的計算機網絡以及通信過程中常遇到的一些威脅匯編成-個圖表。我們分三個階段來做:首先，我們區(qū)分基本的威脅；然后，對主要的可實現(xiàn)的威脅進行分類，最后，再對潛在的威脅進行分類。
1.基本的威脅
下面是四個基本的安全威脅。
①信息泄露。信息被泄露或透露給某個非授權的人或實體。這種威脅來自諸如竊聽、搭線，或其他更加錯綜復雜的信息探測攻擊。
②完整性破壞。數(shù)據(jù)的一致性通過非授權的增刪、修改或破壞而受到損壞。
③業(yè)務拒絕。對信息或其他資源的合法訪問被無條件地阻止。這可能由以下攻擊所致:攻擊者通過對系統(tǒng)進行非法的、根本無法成功的訪問嘗試而產生過量的負荷，從而導致系統(tǒng)的資源在合法用戶看來是不可使用的。也可能由于系統(tǒng)在物理上或邏輯上受到破壞而中斷業(yè)務。
④非法使用。某一資源被某個非授權的人，或以某一非授權的方式使用。這種威脅的例子是:侵人某個計算機系統(tǒng)的攻擊者會利用此系統(tǒng)作為盜用電信業(yè)務的基點，或者作為侵人其他系統(tǒng)的出發(fā)點。
2.主要的可實現(xiàn)的威脅
在安全威脅中，主要的可實現(xiàn)的威脅是十分重要的，因為任何這類威脅的某一實現(xiàn)會直接導致任何基本威脅的某一-實現(xiàn)。因而，這些威脅使基本的威脅成為可能。主要的可實現(xiàn)威脅包括滲人威脅和植人威脅。
(1)主要的滲入威脅
●假冒。某個實體(人或者系統(tǒng))假裝成另外一個不同的實體。這是侵人某個安全防線的最為通用的方法。某個非授權的實體提示某一防線的守衛(wèi)者，使其相信它是一個合法的實體，此后便騙取了此合法用戶的權利和特權。黑客大多是采用假冒攻擊的。
●旁路控制。為了獲得非授權的權利或特權，某個攻擊者會發(fā)掘系統(tǒng)的缺陷或安全性上的脆弱之處。例如，攻擊者通過各種手段發(fā)現(xiàn)原本應保密，但是卻又暴露出來的一些系統(tǒng)“特征”。利用這些“特征”，攻擊者可以繞過防線守衛(wèi)者侵人系統(tǒng)內部。
●授權侵犯。被授權以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權限用于其他非授權的目的，這也稱做“內部攻擊”。
(2)主要的植入威脅
●特洛伊木馬。軟件中含有一個察覺不出的或者無害的程序段，當它被執(zhí)行時，會破壞用戶的安全性。例如:一個外表上具有合法目的的軟件應用程序，如文本編輯，它還具有一個暗藏的目的，就是將用戶的文件拷貝到一個隱藏的秘密文件中，這種應用程序稱為特洛伊木馬(TorojanHorse)。此后，植入特洛伊木馬的那個攻擊者可以閱讀到該用戶的文件。
●陷阱門。在某個系統(tǒng)或其部件中設置的“機關”，使得當提供特定的輸入數(shù)據(jù)時，允許違反安全策略。例如，一個登錄處理子系統(tǒng)允許處理一個特別的用戶身份號，以對通常的口令檢測進行旁路。
(3)潛在威脅
如果在某個給定環(huán)境中對任何一種基本威脅或者主要的可實現(xiàn)的威脅進行分析，我們就能夠發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導致一些更基本的威脅的發(fā)生。例如，考慮信息泄露這樣種基本威脅，我們有可能找出以下幾種潛在威脅(不考慮主要的可實現(xiàn)威脅)。
①竊聽；
②業(yè)務流分析；
③操作人員的不慎重所導致的信息泄露；
④媒體廢棄物所導致的信息泄露。
在對了3000種以上的計算機誤用類型所做的一次抽樣調查顯示，下面的幾種威脅是最主要的威脅(按照出現(xiàn)頻率由高至低排隊):
①授權侵犯；
②假冒；
③旁路控制；
④特洛伊木馬或陷阱門；
⑤媒體廢棄物。在ntenet中，因特網蠕蟲(ntemetWorm)就是將旁路控制與假冒攻擊結合起來的一種威脅。旁路控制是指發(fā)掘BerkelyUNIX操作系統(tǒng)的安全缺陷，而假冒則涉及對用戶口令的破譯。
典型的網絡安全威脅有:
●授權侵犯:一個被投權使用系統(tǒng)用于-特定目的的人，卻將此系統(tǒng)用作其他非授權的目的。
●旁路控制:攻擊者發(fā)掘系統(tǒng)的安全缺陷或安全脆弱性。
●業(yè)務拒絕:對信息或其他資源的合法訪問被無條件地拒絕。.竊昕:信息從被監(jiān)視的通信過程中泄露出去。
●電磁/射頓截獲:信息從電子或機電設備所發(fā)出的無線頻率或其他電磁場輻射中被提取出來。
●非法使用:資源被某個非授權的人或者以非授權的方式使用。
●人員不慎:一個授權的人為了錢或利益，或由于粗心，將信息泄露給一個非授權的人。
●信息泄露:信息被泄露或暴露給某個非授權的人或實體。
●完整性侵犯:數(shù)據(jù)的一致性通過對數(shù)據(jù)進行非授權的增生、修改或破壞而受到損害。
●截獲/修改:某一通信數(shù)據(jù)在傳輸?shù)倪^程中被改變、刪除或替代。
●假冒:一個實體(人或系統(tǒng))假裝成另一個不同的實體。
●媒體廢棄:信息被從廢棄的磁的或打印過的媒體中獲得。
●物理侵入:一個侵人者通過繞過物理控制而獲得對系統(tǒng)的訪問。
●重放:所截獲的某次合法通信數(shù)據(jù)副體，出于非法的目的而被重新發(fā)送。
●業(yè)務否認:參與某次通信交換的一方，事后錯誤地否認曾經發(fā)生過此次交換。
●資源耗盡:某一資源(如訪問接口)被故意超負荷地使用，導致對其他用戶的服務被中斷。
●業(yè)務欺騙:某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息。。竊取:某一關系到安全的物品，如令牌或身份卡被偷盜。
●業(yè)務流分析:通過對通信業(yè)務流模式進行觀察，而造成信息泄露給非授權的實體。
●陷阱門:將網站制作某一“特征”設立于某個系統(tǒng)或系統(tǒng)部件中，使得在提供特定的輸人數(shù)據(jù)時，允許安全策略被違反。

新聞標題：網站的安全威脅
網頁鏈接：http://www.bm7419.com/news31/145081.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供移動網站建設、網站建設、網站設計公司、電子商務、做網站、定制網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)