【文章內(nèi)容簡介】 x 和 Linux 的內(nèi)核級(jí)木馬就是通過直接修改系統(tǒng)內(nèi)核程序?qū)崿F(xiàn)的，其破壞能力和隱蔽性都遠(yuǎn)遠(yuǎn)超過傳統(tǒng)木馬程序。 安全問題復(fù)雜化 各大廠商競相推出的各類網(wǎng)絡(luò)產(chǎn)品，或多或少存在有隱患，而網(wǎng)絡(luò)關(guān)聯(lián)性導(dǎo)致只需攻擊鏈條中最薄弱的一個(gè)環(huán)節(jié)就可以使整個(gè)安全體系崩潰。網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)的多樣性，再加上拓?fù)浣Y(jié)構(gòu)的復(fù)雜性也使得網(wǎng)絡(luò)安全管 理工作變得異常艱難。攻擊者可以利用這些復(fù)雜因素來隱藏自己，發(fā)起致命有效的攻擊。網(wǎng)絡(luò)規(guī)模的不斷膨脹，也給網(wǎng)絡(luò)安全帶來了越來越大的壓力。 本章小結(jié) Inter 不安全的另一個(gè)致命因素就是廣大用戶普遍缺乏安全意識(shí)，特別是那些對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)不太了解的人，他們對(duì)網(wǎng)絡(luò)攻擊和防范知之甚少，導(dǎo)致安全管理意識(shí)缺乏，日常疏于防范，往往在遭到入侵后仍然毫無察覺，直到造成重大損失后才追悔莫及。 浙江郵電職業(yè)技術(shù)學(xué)院畢業(yè)綜合作業(yè) 第 3 章 錯(cuò)誤 !使用“開始”選項(xiàng)卡將 標(biāo)題 1,章標(biāo)題 (有序號(hào) ) 應(yīng)用于要在此處顯示的文字。 5 第 3章 計(jì)算機(jī)網(wǎng)絡(luò)的常見安全問題 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的潛在危險(xiǎn)普遍存在。既有來自外部的病毒入侵、黑客攻擊等威脅也有內(nèi)部操作不當(dāng)、系統(tǒng)安 全管理失控或者安全漏洞等因素。一般說來，網(wǎng)絡(luò)安全問題是由通信設(shè)施的脆弱性和網(wǎng)絡(luò)信息系統(tǒng)的脆弱性共同導(dǎo)致的，必須全方位解析網(wǎng)絡(luò)的脆弱性和威脅，才能構(gòu)建網(wǎng)絡(luò)的安全措施，確保網(wǎng)絡(luò)安全。目前網(wǎng)絡(luò)安全方面比較突出有以下幾個(gè)方面： 物理安全威脅 物理安全又稱為實(shí)體安全，是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)男畔⒌陌踩Ｗo(hù)。主要包括： 自然災(zāi)害的破壞，如地震、雷擊、火災(zāi)、洪水及其他不可抗拒的天災(zāi)造成的損害等。 物理損壞：如硬盤損壞、設(shè)備使用壽命到期和外力破壞等。 設(shè)備故障：停電或電源故障造成設(shè)備斷電和電磁干擾。 電磁輻射：通 過電磁輻射信號(hào)監(jiān)聽系統(tǒng)或網(wǎng)絡(luò)信息。 操作失誤：誤刪除文件、誤格式化硬盤和線路誤拆除等。 意外疏忽：系統(tǒng)掉電、操作系統(tǒng)死機(jī)等系統(tǒng)崩潰。 以上物理安全威脅除電磁輻射可以造成信息機(jī)密性的破壞以為，其他的威脅都會(huì)造成對(duì)信息完整性和可用性的破壞。 內(nèi)部網(wǎng)絡(luò)威脅 一些計(jì)算機(jī)網(wǎng)絡(luò)通信的應(yīng)用服務(wù)系統(tǒng)在安全通信和訪問控制方面考慮欠缺，管理制度不完善。整個(gè)網(wǎng)絡(luò)安全性的最大隱患就是人為因素，擁有相應(yīng)權(quán)限的網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶，也存在破壞網(wǎng)絡(luò)安全的隱患。這些包括無意識(shí)泄露操作口令或者磁盤上的機(jī)密文件被人利用。還有未及時(shí)刪除臨時(shí)文件 而被竊取和內(nèi)部人員有意無意的泄漏給黑客，都可能使網(wǎng)絡(luò)安全機(jī)制面臨重大考驗(yàn)。 浙江郵電職業(yè)技術(shù)學(xué)院畢業(yè)綜合作業(yè) 第 3 章 錯(cuò)誤 !使用“開始”選項(xiàng)卡將 標(biāo)題 1,章標(biāo)題 (有序號(hào) ) 應(yīng)用于要在此處顯示的文字。 6 計(jì)算機(jī)病毒入侵 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的“破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒是數(shù)據(jù)安全的重大安全威脅，它隱蔽在其他可執(zhí)行的程序中，既有破壞性，又有傳染性和潛伏性。計(jì)算機(jī)病毒通過傳送、網(wǎng)頁傳播，也可以通過郵件傳播病毒，輕則影響計(jì)算機(jī)運(yùn)行的速度，使計(jì)算機(jī)不能正常運(yùn)行；重則使計(jì)算機(jī)處于癱瘓狀態(tài)，會(huì)給用戶帶來不可估量的損失。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)病毒的種 類越來越多，如“求職信”、“紅色代碼”、“震蕩波”、“沖擊波”、“尼姆達(dá)”等，而且每年都有不同類型的新病毒產(chǎn)生，很多病毒具備了部分黑客軟件的性質(zhì)，破壞力越來越強(qiáng)。 計(jì)算機(jī)系統(tǒng)缺陷 一是文件服務(wù)器運(yùn)行的穩(wěn)定性、功能完善性將直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量，是因?yàn)槠涫蔷W(wǎng)絡(luò)的中樞。網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代受設(shè)計(jì)和選型的影響，再加上網(wǎng)絡(luò)應(yīng)用的需求得不到足夠的重視，最終限制網(wǎng)絡(luò)功能發(fā)揮。二是網(wǎng)絡(luò)不穩(wěn)定可能是網(wǎng)卡選配不當(dāng)或者安全策略漏洞引起。三是系統(tǒng)和操作軟件的漏洞：任何完美的操作系統(tǒng)、網(wǎng)絡(luò)軟件難以避免存在安全缺陷和漏洞。 具有安全漏洞得計(jì)算機(jī)一旦連接入網(wǎng)，就會(huì)給計(jì)算機(jī)病毒和木馬可乘之機(jī)。 黑客和黑客程序的攻擊 “黑客”，英文“ hacker”，以前是指具有高超的編程技術(shù)、強(qiáng)烈的解決問題和克服限制的欲望的人，而現(xiàn)在已經(jīng)泛指那些強(qiáng)行闖入系統(tǒng)或者以某種惡意的目的破壞系統(tǒng)完整性的人。黑客程序是指一類專門用于通過網(wǎng)絡(luò)對(duì)遠(yuǎn)程的計(jì)算機(jī)設(shè)備進(jìn)行攻擊，進(jìn)而控制、盜取、破壞信息的軟件程序。安全工具的更新速度太慢，在大多數(shù)情況下都需要人為的干預(yù)，發(fā)現(xiàn)以前未知的安全問題。這使得它們對(duì)新出現(xiàn)的安全問題的響應(yīng)速度慢。當(dāng)新發(fā)現(xiàn)的安全工具，且盡力修復(fù)任何的安 全問題。因此，黑客總是可以使用先進(jìn)的并且安全工具沒有準(zhǔn)備的攻擊手段實(shí)施攻擊。 浙江郵電職業(yè)技術(shù)學(xué)院畢業(yè)綜合作業(yè) 第 3 章 錯(cuò)誤 !使用“開始”選項(xiàng)卡將 標(biāo)題 1,章標(biāo)題 (有序號(hào) ) 應(yīng)用于要在此處顯示的文字。 7 本章小結(jié) 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的潛在危險(xiǎn)普遍存在。既有來自外部的病毒入侵、黑客攻擊等威脅也有內(nèi)部操作不當(dāng)、系統(tǒng)安全管理失控或者安全漏洞等因素。 他認(rèn)為，系統(tǒng)中主體對(duì)對(duì)象的訪問是通過訪問控制矩陣實(shí)現(xiàn)的，這個(gè)訪問控制矩陣就是安全策略的具體實(shí)現(xiàn)，當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時(shí)，就產(chǎn)生了安全漏洞。容易受攻擊的狀態(tài)是指通過授權(quán)的狀態(tài)轉(zhuǎn)變從非授權(quán)狀態(tài)可以到達(dá)的授權(quán) 。 在對(duì)漏洞進(jìn)行研究時(shí)，除了需要掌握漏洞本身的特征屬性，還要了解與漏洞密切相關(guān) 的其它對(duì)象的特點(diǎn)。漏洞的基本屬性有：漏洞類型、造成的后果、嚴(yán)重程度、利用需求、環(huán)境特征等。與漏洞相關(guān)的對(duì)象包括：存在漏洞的軟硬件、操作系統(tǒng)、相應(yīng)的補(bǔ)丁程序和修補(bǔ)漏洞的方法等。是一個(gè)典型的漏洞庫所包含的漏洞信息。 浙江郵電職業(yè)技術(shù)學(xué)院畢業(yè)綜合作業(yè) 第 4 章 錯(cuò)誤 !使用“開始”選項(xiàng)卡將 標(biāo)題 1,章標(biāo)題 (有序號(hào) ) 應(yīng)用于要在此處顯示的文字。 8 第 4章 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及防范措施 防火墻技術(shù) 防火墻的概念 “防火墻 是一個(gè)通用術(shù)語，是指在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，用來保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，它是一種控制技術(shù)，既可以是一種軟件產(chǎn)品，又可以制作或嵌入到某種硬件產(chǎn)品中。 防火墻的功能 防火墻能夠確保護(hù)諸如電 子郵件、文件傳輸、遠(yuǎn)程登錄以及特定系統(tǒng)間信息交換的安全。具體有如下主要功能：防火墻是網(wǎng)絡(luò)安全的屏障；防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略；對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)；防止內(nèi)部信息的泄露等。 除了安全作用，防火墻還支持具有 Inter 服務(wù)特性的企業(yè)內(nèi)部技術(shù)體系VPN，通過 VPN，將企事業(yè)單位在地域上分布在世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)有機(jī)地聯(lián)成一個(gè)整體，不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。 防火墻安全 的訪問方式 以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄，要么需要通過 SOCKS等庫路徑修改客戶機(jī) 的應(yīng)用。而現(xiàn)在的防火墻利用了透明的代理系統(tǒng)技術(shù)，從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。 安全 的代理系統(tǒng) 代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT)技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。 多級(jí)過濾技術(shù) 為保證系統(tǒng)的安全性和防護(hù)水平，防火墻采用了三級(jí)過濾措施，并輔以鑒別浙江郵電職業(yè)技術(shù)學(xué)院畢業(yè)綜合作業(yè) 第 4 章 錯(cuò)誤 !使用“開始”選項(xiàng)卡將 標(biāo)題 1,章標(biāo)題 (有序號(hào) ) 應(yīng)用于要在此處顯示的文字。 9 手段。在分組過濾一級(jí)，能過濾掉所有的源路由分組和假冒 IP 地址；在 應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 防火墻利用 NAT 技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換，使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的 IP 地址和專用網(wǎng)絡(luò)，防火墻能詳盡記錄每一個(gè)主機(jī)的通信，確保每個(gè)分組送往正確的地址。 安全 防火墻技術(shù) 智能防火墻從技術(shù)特征上，是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的 的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。 智能防火墻的關(guān)鍵技術(shù)主要包括： (1)防攻擊技術(shù) 智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決 SYN Flooding、 Land Attack、 UDP Flooding、 Ping Flooding、Smurf、 Ping of Death、 Unreachable Host 等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的 流量攻擊。 (2)防掃描技術(shù) 智能防火墻能智能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對(duì)目前己知的掃描工具如 ISS、 SSS、 NMAP 等