【正文】 30 2 /解密程序核心代碼 32 /解密器的實現(xiàn) 43 結論 48 參考文獻 49 3 計算機網絡系統(tǒng)安全保密技術 作 者：盧林 摘 要 Inter所具有的開放性、國際性和自由性 ,以及 TCP/IP協(xié)議在制定時本 身所具有的缺陷 ,使得網絡安全問題日益嚴重 .隨著計算機網絡技術的廣泛應用 ,使得網絡病毒 ,各種各樣的入侵行為和黑客行為也變得更加復雜 .因此 ,采取積極而主動的安全措施對于保護電子資源是非常必要的 ,防火墻以及 加密技術則扮演了重要角色。 從技術的角度看， Inter是一種計算機網絡的集合。原先，使用 Inter的人就是創(chuàng)建 Inter的科學家們，他們有共同的目標，隨著時間的推移， Inter變得越來越 有用，加入的人也越來越多，從公司到大學，甚至個人，涉及各行各業(yè)。美國國防部曾對許多重要站點受攻擊的情況作過分析，結 果如下 : 6 可以看到 ,在多達 38000次的攻擊中 ,只有 267次攻擊公開報道 ,而檢測到的攻擊中有73%未報道，最令人不安的是成功攻擊中的 96%我們毫無察覺，他們到底造成多少危害，有多少關鍵數據丟失，我們無從統(tǒng)計。 第二章 計算機網絡安全概述 對于一 個 網絡而言，其性能、可靠性、可用性及信息安全等等都是不可忽視的問題。 網絡安全是指借助于網絡管理，使網絡環(huán)境中信息的機密性、完整性及可使用性「 CIA」受到保護，其主要目標是確保經過網絡傳輸的信息 到達目的計算機時沒有攻 擊 數38000 防 護 未成功 13300 成功 24700 檢 測 未檢測出 23731 檢測到 988 反 映 公開報道 267 未公開報道 721 7 任何改變或丟失。安全管理涉及 :1需要保護什么 。這種服務防止假冒計算機實體或重放以前的連接，也即防止偽造連接初始化這種類型的黑客攻擊。 .數 據 無連接完整性 :該服務提供單個無連接數據單元的完整性，能確定收到的數據單元是否已被修改。 安全 機 制是操作系統(tǒng)、硬件和軟件功能部件、管理程序以及它們的任意組合，用于為一個信息系統(tǒng)的任一部件來檢測和防止被動與主動威脅。 截取 (Interception):未授權的攻擊方可以訪問到系統(tǒng)，最典型的是對網絡線路上的竊聽與分析。其具體形式分為 :偽造信息、篡改信息和拒絕服務 (Denial of Service，簡稱 DOS)。目前的主要防護措施有兩類： 是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合； 是對輻射的防護，由于設備中的計算機處理機、顯示器有較強的電磁輻射，如不采用屏蔽或干擾，就會使秘密通過電磁輻射而造成泄露，根據保密等級，可采用在全室或關鍵設備局部使用電磁屏蔽房，選用低輻射設備或者使用相關干擾的電磁輻射干擾器，使得難以從被截獲的輻射信號中分析出有效信號。根據電子對抗原理，采用一定的技術措施，利用干擾器產生噪聲與計算機設備產生的信息輻射一起向 外輻射。 訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之于網絡之外。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源以及用戶可以執(zhí)行的操作。 操作系統(tǒng)及網絡軟件安全策略 11 大多數公司高度依賴防火墻作為網絡安全的一道防線。防火墻通常安裝在單獨的計算機上，并與網絡的其余部份分隔開，使訪問者無法直接存取內部網絡的資源。因此，密鑰的分發(fā)成為該加密體系中最薄弱的環(huán)節(jié)。在加密應用時，某個用戶總是將一個密鑰公開，讓需發(fā)信的人員 將信息用公共密鑰加密后發(fā)給該用戶，信息一旦加密，只有該用戶的私有密鑰才能解密。 (1)網絡安全 性能檢查系統(tǒng) 提供事前的安全掃描能夠發(fā)現(xiàn)系統(tǒng)的安全漏洞，可以做好安全預防措施。對可疑網絡活動進行分辨的能力，在不影響正常網絡應用的情況下有效地制止入侵攻擊行為和非法存取企業(yè)網絡資源。為了提供一個安全的環(huán)境，必須做到： (1)用戶培訓，增強安全意識； (2)建立一個可幫助的安全策略； (3)提高在現(xiàn)有網絡環(huán)境下，對可能的安全風險的認識和理解； (4)選擇能夠幫助建立一個安全環(huán)境并且能夠與已建立的安全策略相符合的產品和應用程序； (5)合格的安全審計員和工具，定期檢查網絡環(huán)境 “道高一尺，魔高一丈”，安全將是網絡永恒的問題，風險是無法完全消除的，零風險就意味著網絡的零效用，關鍵的問題是如何達到均衡，即盡可能站地降低風險，又使網絡發(fā)揮其最大效用 第四 章 防火墻技術綜述 何謂防火墻 防火墻原是建筑物大廈設計用來防止火災蔓延的隔斷墻。二是一切未被禁止的就是允許的。 Inter上的活動。 。 數據包過濾是針對分組的包 頭 信息來進行的，每個數據包都包含有特定信息的一組包頭，其主要信息有 : 1)IP源地址 。如果沒有匹配原則，用戶配置的缺省參數會決定是轉發(fā)還是丟棄數據包。當然，也可以將上述幾種方式組合起來制定過濾規(guī)則。只要丟棄所有協(xié)議類型為 TCP,且 IP片斷偏移值為 1的信息分組即可。在調用期間，網關中繼程序復制往返的字節(jié)。如圖 53所示。因此，每出現(xiàn)一個新的協(xié)議，必須為之開發(fā)一個相應的新的應用代理程序。同時，由于雙宿主主機擔任了內、外網通信的橋梁，因此，當內外網之間的信息量較大時，該主機將不可避免得成為此網絡通信的瓶頸。而且與雙宿主主機體系結構一樣，如果侵襲者設法繞過防火墻侵入堡壘主機，則在堡壘主機和其余的內部主機之間沒有任何保護網絡安全的東西存在。 DMZ區(qū) 內網 屏蔽主機體系結構 復合結構 以上三種為防火墻的基本體系結構，在實際應用中，還可根據具體的網絡拓撲結構以及資 Inter外部過濾路由器 。 2)WINDOWS系列操作系統(tǒng)均存在安全漏洞。 2)保持網絡原有的性能特點，即對網絡協(xié)議和傳輸具有透明性。安全模塊和設備的引入應該體現(xiàn)系統(tǒng)運行和管理的統(tǒng)一性。 6)可管理性與擴展性。我將從四部分考慮：網絡安全、主機安全、數據安全、人員安全。 由于兩校區(qū)圖書館分屬于不同的 C 類地址段，就目前而言 為實現(xiàn)其他校區(qū)對新校區(qū)圖書館的業(yè)務 用機 訪問 ，我們可以施 MAC 地址綁定，將他其兩個 校區(qū)使用服務器的用戶的 IP 地址與其 MAC 地址綁定，即其他 校區(qū)工作用機被分配一個 IP地址以后，防火墻系統(tǒng)接收到相應的地址廣播，在防火墻系統(tǒng)上列出 IP 地址與相應的 MAC 地址，并選擇把這個 IP 地址與相應的 MAC 地址綁定，這樣可限定 IP 地址只能在一臺指定的工作站上使用，可以防止 IP 地址冒用。圖書館所有工作人員用機，除特殊需要外，不能向學校以外的網絡開放，這就從另一方面防止了病毒的感染和黑客的入侵。 2)屏蔽不需要的服務組件。 4)為了防止猜口令的非法用戶。 3)自動檢測清除壓縮文件病毒能力。任何操作系統(tǒng)都有漏洞，只有及時地到相關網站下載并安裝最新的補丁才能增加系統(tǒng)的安全性，增強系統(tǒng)抗攻擊能力。 2)系統(tǒng)維護人員應及時下載并更新各主機上的病毒庫和系統(tǒng)補丁。 4)系統(tǒng)維護人員應定期對 本系統(tǒng)進行網絡安全檢測和入侵檢測，以便檢查本系統(tǒng)是否存在安全漏洞。 吉首大學圖書館的 圖書 信息數據 和電子期刊的數據均裝在本地服務器上，如發(fā)生以外卻 沒有備份將是非?？膳碌氖虑?。 5)應具有權威機構提供的認證。 計算機病 毒對圖書館網絡具有不可估量的威脅 性和破壞力。但是用戶平時使用到的服務組件畢竟有限 。 主 機上的安全設置 26 要使圖書館的網絡安全得到更進一步的保障，本機上的安全設置非常重要。 防火墻提供的網絡地址轉換（ Network Address Translation ）功能不僅可以隱藏內部網路地 址信息，使外界無法直接訪問內部網絡設備，同時，它還幫助網絡可以超越地址的限制，合理地安排網絡中的公有 Inter 地址和私有 IP 地址的使用。 1)依照網絡拓撲圖 看 ， 網絡通過連接校園網絡中心，接入 Inter 因此也劃入外DMZ 區(qū)（?；饏^(qū)）放置 WEB 服務器，媒體 點 播服務器，以及各種應 用服務器，面向校內用戶提供服務：內部私網放置圖書館自動化系統(tǒng)， 備份設備以及內部工作用機。 7)分階段實施原則。 3)簡單化原則。 4)進一步完善網絡拓撲機構，使之在安全性能上得到提高和改進，并便于系統(tǒng) 結 構和功能的擴展。通過 IP地址限制，可拒絕校外用戶訪問，但對校內用戶及館內用戶的惡意攻擊缺少有效的監(jiān)控保護手段。 Inter 外部過濾路由器 內部過濾路由器 堡壘主機 信息服務器 22 防火墻的發(fā)展趨勢 現(xiàn)在防火墻技術正向著混合型發(fā)展，即其綜合了數據包過濾和代理系統(tǒng)的特點與功能，同時還兼有帶寬管理， NAT (Net Address Translation)，劃分 VLAN,完善的日志，動態(tài)的數據包過濾，構建 VPN虛通道等功能，隨著具有這些功能的防火墻的研制成功并上市，使得我們選擇的余地也越來越大。 屏蔽子網體系結構 屏蔽子網體系結構在屏蔽主機體系結構基礎上增加 了一臺內部包過濾路由器，堡壘主機 包過濾路由器 Inter 21 增設了一個周邊防御網段，用以進一步隔離內部網絡與外部網絡。包過濾路由 器位于內外網的連接處，堡壘主機只有一塊網卡，位于內部網內。 防火墻的實現(xiàn)方式 前面我們對防火墻的兩種基本技術一包過濾和代理服務進行了詳細的討論。 在連接建立起來后，對客戶端來說，與代理服務器交談就像與真實的服務器交談一樣，此時，代理服務扮演服務器的角色 。他們的優(yōu)點是堡壘主機可以被設置成混合網關，對于內連接支持應用層網關 (即代理服務 ).而對外連接支持電路層功能。但正因為其沒有日志和審計功能，因此有很多信息不能提供，使得管理員不易對事件進行跟蹤檢查，有可能受到欺騙性攻擊。防止這類攻擊，在過濾規(guī)則中應檢查特定 IP選項、檢驗特殊片段偏移，下面是對幾種攻擊的對策 : .源 IP地址欺騙 :這類攻擊的形式是入侵者從偽裝成內部主機的外部節(jié)點 傳送信息分組 。 過濾規(guī)則設計 為完成數據 包過濾，需設計一套過濾規(guī)則以規(guī)定什么類型的數據包被轉發(fā)或被丟棄。 3)封裝的協(xié)議類型 (TCP、 UDP、 ICMP等 ) 4) TCP或 UDP源端口 。 。 ?，F(xiàn)在多數防火墻都在這兩種之間采取折中措施。 防火墻是近年來發(fā)展起來的重要安全技術，其特征是通過在網絡邊界上建立相應的網絡通訊監(jiān)控系統(tǒng)來達到保障網絡安全的目的。 基于網絡通過連接網絡捕獲網絡包 ,并分析其是否具有已知的攻擊模式 ,以此來判別是否為入侵者。 掃描系統(tǒng)的弱點和漏洞的分類：簡單郵件傳輸協(xié)議，強力攻擊，系統(tǒng)守護進程，遠程過程調用，網絡文件系統(tǒng)，拒絕服務， NetBIOS， NT用戶， NT注冊表， NT審計，代理服務和域名服務， WEB站點，防火墻和路由器， IP欺騙，文件傳輸協(xié)議。上述兩種方法可以結合使用，從而生成數字簽名。同時，這一點也使密碼更新的 12 周期加長，給其他人破譯密碼 提供了機會。 防火墻的局限性 : 防火墻不能防止通向站點的后門。一般而言，操作系統(tǒng)堪稱是任何應用的基礎，最常見的 WindowsNT或 Unix即使通過防火墻與安全傳輸協(xié)議也難以保證 100％的安全。 安全的信息傳輸 網絡本身就不是一種安全的信息傳輸通道。加密的方法很多，其中最常見的方法有：基于單向函數的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密以及基于數字簽名方 案的口令加密等。下面我們分述各種訪問控制策略。 主要防護低密級的信息。這是防止計算機輻射泄密的根本措施，這些設備 在設計和生產時，已對可能產