自卫权的基本介绍
一、《联合国宪章》规定
自卫权是指一国在已经遭受到外来侵略和武力攻击时有进行单独自卫和集体自卫的权利。
自卫权原来属于自保权的范畴,有时也称自保权。 所谓自保权是指国家保卫自己的生存和独立的权利。在现代国际法中,战争权已不被认为是国家固有的权利,国家不能以自保为借口对他国使用武力。
现代国际法在对传统的自保权进行限制的同时,自卫权的内容得到了进一步的明确和发展。
二、《联合国宪章》规定
《联合国宪章》第51条规定:“联合国任何会员国受到武力攻击时,在安全理事会采取必要办法,以维护国际和平及安全之前,本宪章不得认为禁止行使单独或集体自卫之自然权利。会员国因行使此项自卫权而采取之办法,应立即向安全理事会报告,此项办法于任何方面不得影响该会按照本宪章随时采取其所认为必要行动之权责,以维护或恢复国际和平及安全”。
《联合国宪章》明确肯定自卫权是国家的“自然权利”,即主权国家的固有权利,同时对自卫权的行使予以限制,国家自卫权的行使要以受到“武力攻击”为条件,而且在安理会采取必要办法之前,还应“立即向安理会报告”。现代国际法对于自卫权的发展主要表现在承认“集体自卫权”,从而将国家自卫权与国际集体安全制度联系在一起。
网络工程师笔记-网络安全技术
1.HTTPS是安全的超文本协议,可以保障通信安全,银行可以通过HTTPS来提供网上服务,用户通过浏览器就可以管理自己的账户信息,是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL,SSL默认端口为443
2.POP邮局协议:用户接收邮件
3.SNMP简单网络管理协议,用于网络管理
4.HTTP超文本传输协议,众多web服务器都使用HTTP,但它是不安全的协议
电子邮件协议有SMTP、POP3、IMAP4,它们都隶属于TCP/IP协议簇,默认状态下,分别通过TCP端口25、110和143建立连接。
1.SMTP协议
SMTP的全称是“Simple Mail Transfer Protocol”,即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。SMTP 协议属于TCP/IP协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循SMTP协议的发送邮件服务器。SMTP认证,简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器,这就使得那些垃圾邮件的散播者无可乘之机。增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。SMTP已是事实上的E-Mail传输的标准。
2.POP协议
POP邮局协议负责从邮件服务器中检索电子邮件。它要求邮件服务器完成下面几种任务之一:从邮件服务器中检索邮件并从服务器中删除这个邮件;从邮件服务器中检索邮件但不删除它;不检索邮件,只是询问是否有新邮件到达。POP协议支持多用户互联网邮件扩展,后者允许用户在电子邮件上附带二进制文件,如文字处理文件和电子表格文件等,实际上这样就可以传输任何格式的文件了,包括图片和声音文件等。在用户阅读邮件时,POP命令所有的邮件信息立即下载到用户的计算机上,不在服务器上保留。
3.POP3(Post Office Protocol 3)即邮局协议的第3个版本,是因特网电子邮件的第一个离线协议标准。
4.IMAP协议
互联网信息访问协议(IMAP)是一种优于POP的新协议。和POP一样,IMAP也能下载邮件、从服务器中删除邮件或询问是否有新邮件,但IMAP克服了POP的一些缺点。例如,它可以决定客户机请求邮件服务器提交所收到邮件的方式,请求邮件服务器只下载所选中的邮件而不是全部邮件。客户机可先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。通过用户的客户机电子邮件程序,IMAP可让用户在服务器上创建并管理邮件文件夹或邮箱、删除邮件、查询某封信的一部分或全部内容,完成所有这些工作时都不需要把邮件从服务器下载到用户的个人计算机上。
支持种IMAP的常用邮件客户端有:ThunderMail,Foxmail,Microsoft Outlook等。
5.PGP安全电子邮件协议:
(1)通过散列算法对邮件内容进行签名,保证信件内容无法修改
(2)使用公钥和私钥技术保证邮件内容保密且不可否认,能确认发送者身份,防止非授权者阅读电子邮件
(3)发信人与收信人的公钥都保存在公开的地方,公钥的权威性则可以由第三方进行签名认证,在PGP系统中,信任是双方的直接关系
1.Needham-Schroeder协议是基于共享秘钥的认证协议
1.VPN:虚拟专用网络,是通过隧道技术利用公共网络建立专用网络的技术。
2.VPN技术主要有:
(1)隧道技术
(2)加解密技术
(3)秘钥管理技术
(4)身份认证技术
3.链路层的VPN协议:
(1)L2TP协议
(2)PPTP协议
4.传输层VPN协议:TLS协议
5.网络层VPN协议是:IPSec协议
1.数字证书能够验证一个实体身份,而这是在保证数字证书本身有消息这一前提下才能够实现的
2.验证数字证书的有效性是通过验证颁发证书的CA的签名实现的,比如:某网站向CA申请了数字证书,用户登录该网站时,通过验证CA的签名,可以确认该数字证书的有效性
3.例子:甲和乙进行通信,甲对发送的消息附加了数字签名,乙收到消息后利用甲的公钥验证该消息的真实性
4.数字签名技术(Digital Signature)是不对称加密算法的典型应用,原理是:数据源发送方使用自己的私钥对数据进行加密处理,完成对数据的合法签名,数据接收方利用发送方的公钥来解读收到的数字签名,并将解读结果用于对数据完整性的检验,以确认签名的合法性
5.证书链服务(交叉认证)是一个CA扩展其信任范围或被认可范围的一种实现机制,不同认证中心发放的证书之间通过证书链可以方便的实现相互信任从而实现互访
1.DES是一种共享秘钥的算法,是一种对称秘钥系统,加解密使用相同的秘钥
2.DES通常选取一个64位(bit)的数据库,使用56位的秘钥,在内部实现多次替换和变位操作来达到加密的目的
3.MD5和SHA属于摘要算法:美国对称密码数据加密标准,是指单向哈希函数将任意长度的输入报文经计算得到固定位输出称为报文摘要,该算法是不可逆的,找出具有同一报文摘要的两个不同报文是很困难的
4.Diffie-Hellman为秘钥交换算法
5.AES高级加密标准:是美国采用的一种区块加密标准,用来替代原先的DES加密算法
6.公钥体系中,甲发给乙的数据要用乙的公钥进行加密,在公钥密码体系中,加密秘钥是公开的,而解密秘钥是需要保密的,公钥密码体系中,密码对产生器产生出接收者乙的一对秘钥:加密秘钥和解密秘钥,发送者甲所用的加密秘钥就是接收者乙的公钥,公钥向公众公开,而乙所用的解密秘钥就是接收者的私钥,对其他人保密
网络攻击是以网络为手段窃取网络上其他计算机的资源或特权,对其安全性或可用性进行破坏的行为,网络攻击分为主动攻击和被动攻击:
1.被动攻击:网络窃听,截取数据包并进行分析,从中窃取重要信息,被动攻击很难被发现,主要是预防为主,目前手段是数据加密传输,在密码学和安全协议加持下目前有5类安全服务:
(1)身份认证
(2)访问控制
(3)数据保密
(4)数据完整性
(5)数据不可否认性
2.主动攻击:窃取、篡改、假冒和破坏,字典式口令猜测,IP地址欺骗和服务拒绝攻击等都属于主动攻击,一个好的身份认证系统(数据加密、数据完整性校验、数字签名和访问控制等安全机制)可以预防主动攻击,但是杜绝很难,目前对付主动攻击方法是及时发现并及时恢复所造成的破坏,目前有很多实用的工具,常见的有下面几种攻击方法:
(1)获取口令
(2)放置特洛伊木马程序
(3)www的欺骗技术
(4)电子邮件攻击
(5)通过一个节点来攻击其他节点
(6)网络监听
(7)寻找系统漏洞
(8)利用账号进行攻击
(9)偷取特权
3.例子:公司面临网络攻击来自多个方面,安装用户认证系统来防范公司内部攻击
1.Kerberos进行认证是一种使用对称秘钥加密算法来实现通过可信第三方秘钥分发中心的身份认证系统
2.Kerberos认证,客户方需要向服务器方递交自己的凭据来证明自己的身份,该凭据是由KDC专门为客户和服务器方在某一阶段内通信而生成的
3.Kerberos认证,凭据中包括客户和服务器方的身份信息和在下一阶段双方使用的临时加密秘钥,还有证明客户方拥有会话秘钥的身份认证者信息
4.身份认证信息的作用是防止攻击者在将来将同样的凭据再次使用,可以在报文中加入时间戳来防止重放攻击
1.计算机病毒是一种程序,它会将自身附着在主机上,目的是进一步繁殖和传播。从个人到大型组织,任何拥有适当技能的人都可以创建计算机病毒,并且可以感染计算机、智能手机、平板电脑,甚至智能 汽车 。“计算机病毒”一词经常被错误的被用成一个总称,泛指所有感染软件、计算机和文件的可疑程序、插件或代码。这一短语的误用可能是因为计算机病毒较常出现在电视节目和电影中。这类程序实际上正确的总称应该是恶意软件,计算机病毒只是其中的一种类型,其他类型的恶意软件还包括间谍软件、蠕虫和特洛伊木马等。
2.计算机病毒是一种安装在设备上并繁殖的恶意软件。有些病毒旨在窃取或破坏数据,而另一些病毒则旨在破坏程序或系统的稳定性,甚至使其无法使用。还有一些可能只是程序员为了好玩而制作的,例如在打开计算机或打开应用程序后显示图像或文本消息。
3.严格意义上来说,如果感染主机的恶意软件不是为了繁殖和传播而设计的,那么从技术上讲,无论它有多危险,它都不会被归类为计算机病毒。
4.通常是根据计算机病毒的目标和功能进行分类,而不是根据创建过程和编码风格,且同一计算机病毒也有可能被归入多个类别。以下是一些常见的计算机病毒示例:
(1)浏览器劫持病毒:这类计算机病毒会感染受害者的Web浏览器,并且通常用于篡改受害者的主页、窃取数据和展示广告。
(2)引导扇区病毒:除了硬盘驱动器的引导扇区之外,这类病毒还会影响用于帮助系统启动的磁盘。
(3)电子邮件病毒:这类病毒旨在通过将自身附加到电子邮件、使用受害者的地址簿生成电子邮件或以窃取数据的意图感染电子邮件应用程序来成倍增加。
(4)宏病毒:宏计算机病毒以宏语言编码,以便它们可以附加到文档中,并在打开它们所附加的文件后立即激活。
(5)多态病毒:一种可以改变自身以逃避安全系统和防病毒程序检测的计算机病毒。
(6)常驻病毒:常驻病毒会在感染操作系统后继续在后台运行,从而对系统和应用程序性能产生负面影响。
(7)非驻留病毒:这类病毒会在执行任务后自行关闭。
5.虽然许多计算机病毒可以很好地隐藏在你的设备上,但有几个明显的行为可以表明你可能已经感染了病毒,例如系统速度明显下降、系统和应用程序设置被神秘地更改、收到不拥有的服务和应用程序的通知,未经你的许可安装浏览器扩展或插件,以及无法上网或打开某些程序等。
6.重要的是要采取多种策略,以确保您的计算机和其他智能设备免受病毒和其他形式的恶意软件的侵害,以下是保护计算机免受病毒侵害的一些方法:
(1)保持操作系统和应用程序处于最新状态:这将使病毒更难感染你的计算机设备。
(2)仅连接到受信任的互联网连接:这也可以保护你免受其他类型的攻击,例如ARP欺骗。
(3)避免可疑附件:切勿打开来自未知发件人的电子邮件附件,因为这些附件可能包含恶意软件和其他病毒。
(4)仅从官方网站和可信来源下载文件:从不熟悉的网站下载文件始终存在风险。无论下载看起来多么合法,如果它不是来自可信来源,请避免下载。
(5)安装防病毒软件:高质量的防病毒软件可以帮助用户清除计算机上的病毒,并可以预防病毒感染。
6.目前网络上流行的“熊猫烧香”病毒属于蠕虫类型的病毒,感染exe、com、pif、htm和sap等文件,还能删除gho备份文件,被感染的电脑所有exe可执行文件都变成熊猫举着三根香的模样
7.病毒前缀是指一个病毒的种类,用来区分病毒的种族分类的
(1)木马病毒:前缀为Trojan,木马病毒可以通过网络实现对远程计算机的远程攻击,能远程控制计算机
(2)蠕虫病毒:前缀为Worm
(3)宏病毒:前缀为Macro
8.病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的CIH,震荡波蠕虫病毒的家族名是Sasser等
9.病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的,一般采用英文字母表示,如Worm.Sasser.b就是震荡波蠕虫病毒的变种B,称为“震荡波B变种”
1.钓鱼网站是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,依次来骗取用户的账号密码等资料
2.钓鱼网站可以通过Email传播网址
1.网络管理中要防止各种安全威胁,安全威胁分为主要和次要安全威胁,主要安全威胁有:
(1)篡改管理信息:通过改变传输中的SNMP报文实施未经授权的管理操作
(2)假冒合法用户:未经授权的用户冒充授权用户
2.次要安全威胁有:
(1)消息泄露:SNMP引擎之间交换的信息被第三者偷听
(2)修改报文流:由于SNMP协议通常是基于无连接的传输服务,重新排序报文流、延迟或重放报文的威胁都可能出现,这种威胁危害在于通过报文的修改可能实施非法的管理操作
3.无法预防的威胁有:
(1)拒绝服务:因为很多情况下拒绝服务和网络失效是无法区别的,所以可以由网络管理协议来处理,安全系统不必采取措施
(2)通信分析:第三者分析管理实体之间的通信规律,从而获取管理信息
1.路由表:用来指定路由规则,指定数据转发路径
2.ARP表:用来实现iP地址和网络设备物理地址MAC的转换
3.NAT:将一个地址映射到另一个地址域的技术,而NAT表记录这些映射记录
4.过滤规则用以制定内外网访问和数据发送的一系列安全策略
1.IPSec VPN包含了认证头AH和封装安全载荷ESP
(1)AH主要用以提供身份认证、数据完整性保护、防重放攻击多项功能
(2)ESP则可以提供数据加密、数据源身份认证、数据完整性保护、防重放攻击多项功能
(3)IPSec VPN可提供传输模式和隧道模式,但没有入侵检测功能
(4)IPSec加密和认证过程中所使用的秘钥有IKE(因特网秘钥交换协议)机制来生成和分发,IKE解决了在不安全的网络环境中安全地建立或更新共享秘钥的问题
国家行使自卫权时应当遵循何种条件
根据国际法有关武力使用规则,结合当前国际国内形势,中国行使自卫权时应当坚持以下几项原则。
一、严守时间要件 不搞预先自卫
自卫权的行使必须以“受武力攻击”即“侵略”为前提,即必须符合“时间要件”。任何国家只有在切实受到武力攻击时实施的武力还击才构成法律意义上的自卫。中华人民共和国成立后进行的几次自卫作战,都是在对方侵略行为在先、并在中国一再谋求和平解决的努力失败之后才不得已而实施的。在未受到实际侵害之前,向“可能”对其实施侵略行为的对方使用武力,不属于国际法意义上的自卫,而是所谓的“预先自卫”。目前,美国等诸多国家奉行以先发制人为核心的预先自卫原则。而中国一贯坚持“人不犯我,我不犯人”的防卫原则。作为国力强盛的大国,针对正在发生的、切实存在的侵略行为,中国在行使自卫权时将更加严格地遵守时间要件,不搞所谓先发制人的“预先自卫”或“假想自卫”。
二、严守对象要件 不搞连带打击
构成合法自卫作战的对象要件要求,一个国家的自卫作战应当只针对正在对其实施侵略的国家进行,而非任何别的国家(或国家集团),即使这个国家可能对其也深怀敌意或者是曾经的“敌国”,又恰好与侵略国在地理上相邻。对别的国家进行连带打击的情况,可能更多发生在由于宗教冲突、种族矛盾、领土争端等原因引发的地区性战争中。对于中国而言,缘自宗教和种族原因进行自卫作战的可能性不大,但领土争端引发武装冲突的可能性是存在的。如发生在南海及东海的海洋领土争议,如果不能通过外交谈判、国际仲裁等和平手段解决,中国则有可能与某个声索国在政治、经济、外交等领域全面交恶,甚至爆发军事冲突。一旦发生这种情况,中国的自卫作战将针对侵略国,而不可连带打击东盟内其他声索国或中立国。
三、严守自主决定权 不受他国左右
自卫作战等自卫权的行使与否、行使的时间,决定权都在受到武力攻击侵害的国家本身。国际法院对该原则有过明确表示:“自卫必须由受害者进行和宣布,没有一条习惯法规则允许其他国家根据自己对形势的估计而行使集体自卫。”其他任何国家或国际组织不得以任何理由代行决定或强加于该受侵害国,这就是自卫权行使的“主体要件”。中国应当根据国际国内形势、国家安全战略需要等具体情势自主决定是否行使武力自卫权,进行捍卫本国安全的自卫作战。应当严守包括自卫权行使与否、作战时机选择、手段方法使用、规模强度把握等在内的自主决定权,不受他国左右,防止别有用心的国家或国际组织挑拨离间,坐收渔利。
四、恪守定义精神 应对新型侵略行为
在世界形势风起云涌、新军事变革方兴未艾的当代,攻击他国的形式和表现已经发生了巨大变化,有些业已符合侵略行为的构成要件,从现有国际法条款中却找不到对应的列举。正如《关于侵略定义的决议》之“特别说明”所言,“所列举行为并非详尽无遗”,联合国安理会有权根据《联合国宪章》“判定某些其他行为亦构成宪章规定下的侵略行为”。对于新型侵略行为,中国应当在恪守有关国际法定义精神的同时,积极采取有效手段加以应对。如《联合国宪章》禁止使用的“武力”,《关于侵略定义的决议》所列“一个国家的武装部队侵入或攻击另一国家的领土”中的“领土”、“一个国家对另一国家的领土使用任何武器”中的“武器”等,其内涵和外延都已发生了许多变化。关于“领土”,除了传统概念中的领陆、内水、领海和领空外,太空、电磁、网络空间等存在国家利益、关乎国家安全的物理空间已日渐成为领土的新外延。关于“武力”和“武器”的使用,在使用枪、炮、弹等进行“硬打击”之外,还涌现出舆论战、心理战、法律战等“软打击”方式和网络、电磁、无人机、卫星武器等高技术打击手段。正如“日内瓦四公约”第一附加议定书 “新武器”条款之规定,“武力攻击”的认定与所使用的武器类型无关。所以,新型高技术手段作战也应归于国际法所禁止的武力使用方式,也当判断为构成侵略的要件。对以上各种新型侵略行为,中国有权依法进行自卫作战。
五、坚持相称性原则 防止自卫过当
合法自卫作战内在地包含着“相称性”原则,包括目的相称性,即使用武力的目的应限于保持和恢复受武力攻击以前的状态;规模相称性,即使用武力进行反击的强度和规模,应与受到的武力攻击成比例。《联合国宪章》第五十一条虽然未明确规定自卫的相称性原则,但作为普遍的国际习惯,它久已存在。诚然,这种“相称性”或“比例性”在法律条文中并无一个量化标准,因而在自卫作战的实践中很难准确把握,但适当倾向于受侵略方于法于理都是允许的,其原理与刑法理论中正当防卫的比例原则一样。中国虽可谓经济强国和军事大国,但从不恃强凌弱,在过去的自卫作战中都很好地遵守了相称原则和比例原则,在未来自卫作战中亦将毫不例外。
网络攻击有哪些危害性
网络攻击对社会及个人造成的危害如下:
1、首先是经济损失和业务损失。黑客的攻击会导致受害者业务中断、数据泄露;严重时,可以让一家公司的年利润化为了泡影。
2、其次,人身安全。云时代,甚至未来的IOT时代,安全将影响每个人的生命安全。例如,黑客利用漏洞,查看病人信息,入侵医疗设备。无人驾驶汽车和机场的航线监控系统。每漏掉一次极其危险的威胁,在未来都有可能影响到人身安全和社会安全。
3、最后是对整个互联网环境的破坏。当黑客攻击一台服务器时,很可能会将这台服务器变成“傀儡机”,帮助它攻击其它的主机。如果服务器上有重要的用户数据,如银行、信用卡、个人隐私、医疗信息等,就会流入黑产的交易链中——这些只是网络攻击危害的几个缩影,如果防御者们不行动,攻击者就会屡屡再犯,长此以往,网络安全的环境会变得越来越糟糕。
0条大神的评论