【正文】 5. 將 IIS 的安裝目錄和數據與系統(tǒng)磁 盤分開 6. 設置 WWW 目錄的訪問權限 SQL Server 的安全 1. 安裝 SQL Server 的最新補丁程序 2. 使用安全的帳號策略 3. 選擇正確的身份驗證模式 4. 加強數據庫日志記錄 5. 除去不需要的網絡協(xié)議 計算機病毒防治 ? 全面部署防病毒系統(tǒng) ? 及時更新病毒庫和產品 ? 預防為主 ? 加強培訓、提高防毒意識 部署防火墻 防火墻的概念 現在通常所說的網絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它是指隔離在內部（本地）網絡與外界網絡之間的一道防御系統(tǒng)，是這一類防范措施的總稱。 通過它可以隔離風險區(qū)域（如 Inter 或有一定風險的網絡）與安全區(qū)域（如局域網，也就是內部網絡）的連接，同時不會妨礙人們對風險區(qū)域的訪問。 它是一種設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。一般由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內部網絡和外部網之間的訪問控制。 防火墻的主要功能 1．防火墻是網絡安全的屏障 2．防火墻能控制對特殊站點的訪問 3．對網絡存取訪問進行 記錄和統(tǒng)計 路由器 Inter 防火墻 交換機 用戶 內部網 外部網 網絡管理平臺 內網服務器群 外網服務器群 4．防止內部網絡信息的外泄 5．地址轉換 (NAT) 防火墻技術 目前在實際應用中所使用的防火墻產品有很多 ,但從其采用的技術來看主要包括兩類 :包過濾技術和應用代理技術 ,實際的防火墻產品往往由這兩種技術的演變擴充或復合而形成的。 具體來說主要包括：簡單包過濾防火墻、狀態(tài)檢測包過濾防火墻、應用代理防火墻和復合型防火墻。 1．簡單包過濾防火墻 包過濾防火墻工作在網絡層，對數據包的源及目的 IP 具有識別和控制作用，對于傳輸層，只能識別數據包是 TCP 還是 UDP 及所用的端口信息。它對所收到的 IP 數據包的源地址、目的地址、 TCP數據分組或 UDP報文的源端口號、包出入接口、協(xié)議類型和數據包中的各種標志位等參數，與網絡管理員預先設置的訪問控制表進行比較，確定是否符合預定義的安全策略，并決定數據包的通過或丟棄。 單純簡單包過濾的產品由于其保護的不完善，在 1999年以前國外的網絡防火墻市場上就已經不存在了。 2．應用代理防火墻 應用代理防火墻，也叫應用代理網關防火墻。 所謂網關是指在兩個設備之間提供轉發(fā)服務的系統(tǒng)。 這種防火墻能 徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火墻對外網的訪問，外網的訪問應答先由防火墻處理，然后再由防火墻轉發(fā)給內網用戶。所有通信都必須經應用層代理軟件轉發(fā)，訪問者任何時候都不能與服務器建立直接的 TCP 連接，應用層的協(xié)議會話過程必須符合代理的安全策略要求。 由于代理型防火墻利用操作系統(tǒng)本身的 socket接口傳遞數據，從而導致性能比較差，不能支持大規(guī)模的并發(fā)連接；并且要求防火墻核心預先內置一些已知應用程序的代理后防火墻才能正常工作，這樣的后果是一些新出現的應用在代理型防火墻上往往不能使用 ，出現了防火墻不支持很多新型應用的局面。在 IT 領域中，新的應用和新的技術不斷出現，甚至每一天都有新的應用方式和新的協(xié)議出現，代理型防火墻很難適應這種局面，使得在一些重要的領域和行業(yè)的核心業(yè)務應用中，代理型防火墻被漸漸地被拋棄 3．狀態(tài)檢測包過濾防火墻 狀態(tài)檢測包過濾防火墻是在簡單包過濾上的功能擴展，最早是 Check Point公司提出的，現在已經成為防火墻的主流技術。 狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網絡會話的狀態(tài)，對每一個包的檢查不僅根據規(guī)則表，更考慮了數據包是否符合會 話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產品，尤其是在一些規(guī)則復雜的大型網絡上。 前面介紹的簡單包過濾只是一種靜態(tài)包過濾，靜態(tài)包過濾將每個數據包單獨分析，固定根據其包頭信息（如源地址、目的地址、端口號等）進行匹配，這種方法在遇到利用動態(tài)端口應用協(xié)議時會發(fā)生困難。 可以這樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。 目前業(yè)界很多優(yōu)秀的防火墻 產品采用了狀態(tài)檢測型的體系結構，比如 Check Point 的 Firewall1， Cisco的 PIX防火墻， NetScreen防火墻等等。 4．復合型防火墻 復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代防火墻，它基于專用集成電路（ ASIC， Application Specific Integrated Circuit）架構，把防病毒、內容過濾整合到防火墻里，其中還包括 VPN、 IDS功能，多單元融為一體，是一種新突破。 常規(guī)的防火墻并不能防止隱蔽在網絡流量里的攻擊。復合型防火墻在網絡邊界實 施 OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施，體現出網絡與信息安全的新思路。 防火墻的選購 目前國內外防火墻產品品種繁多、特點各異，有硬件的防火墻，也有軟件防火墻。硬件防火墻采用專用的硬件設備，然后集成生產廠商的專用防火墻軟件。從功能上看，硬件防火墻內建安全軟件，使用專屬或強化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達到線性。而軟件防火墻一般是基于某個操作系統(tǒng)平臺開發(fā)的，直接在計算機上進 行軟件的安裝和配置。由于用戶平臺的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如： Unix、 Linux、 SCOUnix、 Windows等，代碼龐大、安裝維護成本高、效率低，同時還受到操作系統(tǒng)平臺穩(wěn)定性的影響。顯然，硬件防火墻總體性能上來說是優(yōu)于軟件防火墻的，但其價格也要高些。 防火墻的選購 需注意的問題 下面從幾個方面探討選購防火墻時應該注意的問題。 （ 1）防火墻自身是否安全 （ 2）系統(tǒng)是否穩(wěn)定 （ 3）是否高效 （ 4）是否可靠 （ 5）功能是否靈活 （ 6）配置是否方便 （ 7）管理是否簡便 （ 8）是否可以抵抗拒絕服 務攻擊 （ 9）是否可以針對用戶身份進行過濾 （ 10）是否具有可擴展、可升級性 部署 IDS IDS的概念 ? 對系統(tǒng)的運行狀態(tài)進行監(jiān)視 ? 發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果 ? 保證系統(tǒng)資源的機密性、完整性和可用性 ? 是防火墻的合理補充 ? 第二道安全閘門 入侵檢測系統(tǒng)： Intrusion Detection System, 簡稱 IDS。 入侵檢測是指： “ 通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖 ” 。 入侵檢測系統(tǒng)是一個典型的 “ 窺探設備 ” 。 入侵監(jiān)測系統(tǒng)處于防火墻之后對網絡活動進行實時檢測。許多情況下，可以與防火墻聯動，可以記錄和禁止網絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。 入侵檢測系統(tǒng)技術 入侵檢測技術通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應。 入侵檢測系統(tǒng)從分析方式上主要可分為兩種： （ 1）模式發(fā)現技術（模式匹配） （ 2）異常發(fā)現技術（異常檢測） 模式發(fā)現技術 的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，而且知識庫必須不斷更新。對所有已知入侵行為和手段（及其變種）都能夠表達為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現的優(yōu)點是誤報少，局限是它只能發(fā)現已知的攻擊，對未知的攻擊無能為力。 異常發(fā)現技術 先定義一組系統(tǒng) “ 正常 ” 情況的數值，如 CPU 利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數值與所定義的 “ 正常 ” 情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在 于如何定義所謂的 “ 正常 ” 情況。 異常發(fā)現技術的局限是并非所有的入侵都表現為異常，而且系統(tǒng)的 “ 正常 ” 標準難于計算和更新，并無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。 目前，國際頂尖的入侵檢測系統(tǒng) IDS 主要以模式發(fā)現技術為主，并結合異常發(fā)現技術。 IDS一般從實現方式上分為兩種： （ 1）基于主機的 IDS （ 2）基于網絡的 IDS 基于網絡的 IDS 使用原始的網絡分組數據包作為進行攻擊分析的數據源，一般利用網絡適配器（探測器） 來實時監(jiān)視和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊， IDS 應答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應。 基于網絡的入侵檢測系統(tǒng)的主要優(yōu)點有： （ 1）成本低。 （ 2）攻擊者消除證據很困難。 （ 3）實時檢測和應答一旦發(fā)生惡意訪問或攻擊，基于網絡的 IDS 檢測可以隨時發(fā)現它們，因此能夠更快地做出反應。從而將入侵活動對系統(tǒng)的破壞減到最低。 （ 4）能夠檢測未成功的攻擊企圖。 （ 5）操作系統(tǒng)獨立。基于網絡的 IDS 并不依賴主機的操作系統(tǒng)作為檢測資源，而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。 基 于主機的 IDS 一般監(jiān)視 Windows NT 上的系統(tǒng)、事件、安全日志以及 UNIX 環(huán)境中的 syslog 文件。一旦發(fā)現這些文件發(fā)生任何變化， IDS將比較新的日志記錄與攻擊簽名以發(fā)現它們是否匹配。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應的行動。 基于主機的 IDS 的主要優(yōu)勢有： （ 1）非常適用于加密和交換環(huán)境。 （ 2）近實時的檢測和應答。 （ 3）不需要額外的硬件。 （ 4）確定攻擊是否成功。 （ 5）監(jiān)測特定主機系統(tǒng)活動。 以上兩種實現方式的集成化是 IDS 的發(fā)展趨勢?；诰W絡和基于主機的 IDS 都 有各自的優(yōu)勢，兩者可以相互補充。這兩種方式都能發(fā)現對方無法檢測到的一些入侵行為。 基于網絡的 IDS 可以研究負載的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的 IDS 迅速識別。 而基于主機的 IDS 無法看到負載，因此也無法識別嵌入式的負載攻擊。聯合使用基于主機和基于網絡這兩種方式能夠達到更好的檢測效果。 入侵檢測系統(tǒng)的工作流程 1．信息收集 2．信號分析 3．實時記錄、報警或有限度反擊 PKI 與證書服務應用 PKI的概述 Public Key Infrastructure，公鑰基礎結構 PKI 由 公鑰加密技術 、 數字證書 、 證書頒發(fā)機構（ CA） ， 注冊機構（ RA）等共同組成 數字證書用于用戶的身份驗證 CA 是一個可信任的實體，負責發(fā)布、更新和吊銷證書 RA 接受用戶的請求等功能 PKI 體系能夠實現的功能有 身份認證 數據完整性 數據機密性 操作的不可否認性 公鑰加密技術 公鑰（ Public Key）和私鑰（ Private Key） 1. 密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密 2. 不能根據一個密鑰來推算得出另一個密鑰 3. 公鑰對 外公開；私鑰只有私鑰的持有人才知道 4. 私鑰應該由密鑰的持有人妥善保管 數據加密 1. 發(fā)送方使用接收方的 公鑰 加密數據 2. 當接收方使用自己的 私鑰 解密這些數據 數據加密能保證所發(fā)送數據的機密性 數字簽名 ? 發(fā)送方使用自己的 私鑰 加密 ? 接收方使用發(fā)送方的 公鑰 解密 數字簽名保證 身份驗證、數據的完整性 、操作的不可否認性 證書 1. PKI 系統(tǒng)中的數字證書簡稱證書 2. 它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、身份證號等）捆綁在一起 3. 證書的主體可以是用戶、計算機、服務等 4. 證書可以用于很多方面 5. Web 用戶身份 驗證 6. Web 服務器身份驗證 7. 安全電子郵件 8. Inter 協(xié)議安全 （ IPSec） 數字證書是由權威公正的第三方機構即 CA簽發(fā)的 證書包含以下信息 1. 使用者的公鑰值 2. 使用者標識信息（如名稱和電子郵件地址） 3. 有效期（證書的有效時間） 4. 頒發(fā)者標識信息 5. 頒發(fā)者的數字簽名 CA的作用 1. CA 的核心功能就是頒發(fā)和管理數字證