【文章內(nèi)容簡介】 計算機房應選不在現(xiàn)代交通工具繁忙和人多擁擠的鬧市、遠離使館或其它外國駐華機構的所在地，要便于警衛(wèi)和巡邏，計算機房房最好設置在電梯或樓梯不能直接進入的場所、應與外部人員頻繁出入的場所隔離，機房周圍應在有圍墻或柵欄等 10 防止非法進入的設施，建筑物周圍應有足夠照明度的照明設施，以防夜間非法侵入，外部容易接近的窗口應采取防范措施，如使用鋼化玻璃、鐵窗等，無人 值守的地方應報警設備，機房內(nèi)部設計應有利于出入控制和分區(qū)控制，計算中心機要部門的外部不應設置標明系統(tǒng)及有關設備所在位置的標志。 訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非法訪問。訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 入網(wǎng)訪問控制 它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，同時也控制準許用戶入網(wǎng)的時間和準許他們從哪臺工作站入網(wǎng)。用戶入網(wǎng)訪問控制通常分為三步：用戶名的識別與驗證、用戶口 令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入網(wǎng)絡。對網(wǎng)絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之于網(wǎng)絡之外。用戶口令是用戶入網(wǎng)的關鍵所在，必須經(jīng)過加密。，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密以及基于數(shù)字簽名方 案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以破解它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。 網(wǎng)絡的權限控制 網(wǎng)絡權限控制是針對網(wǎng)絡非法操作提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源以及用戶可以執(zhí)行的操作。 客戶端安全防護策略 首先，應該切斷病毒的傳播途徑，盡可能地降低感染病毒的風險；其次，用戶最 好不要隨便使用來路不明的程序。 安全的信息傳輸 網(wǎng)絡本身就不是一種安全的信息傳輸通道。網(wǎng)絡上的任何信息都是經(jīng)重重中介網(wǎng)站分段傳送至目的地的。由于網(wǎng)絡信息的傳輸并無固定路徑，而是取決于網(wǎng)絡的流量狀況，且通過哪些中介網(wǎng)站亦難以查證，因此，任何中介站點均可能攔截、讀取，甚至破壞和篡改封包的信息。所以應該利用加密技術確保安全的信息傳輸。 網(wǎng)絡服務器安全策略 網(wǎng)絡服務器的設立與狀態(tài)的設定相當復雜，而一臺配置錯誤的服務器將對網(wǎng)絡安全造成極大的威脅。例如，當系統(tǒng)管理員配置網(wǎng)絡服務器時，若只考慮高 層使用者的特權與方便，而忽略整個系統(tǒng)的安全需要，將造成難以彌補的安全漏洞。 操作系統(tǒng)及網(wǎng)絡軟件安全策略 11 大多數(shù)公司高度依賴防火墻作為網(wǎng)絡安全的一道防線。防火墻通常設置于某一臺作為網(wǎng)間連接器的服務器上，由許多程序組成，主要是用來保護私有網(wǎng)絡系統(tǒng)不受外來者的威脅。一般而言，操作系統(tǒng)堪稱是任何應用的基礎，最常見的 WindowsNT或 Unix即使通過防火墻與安全傳輸協(xié)議也難以保證 100％的安全。 網(wǎng)絡安全管理 在網(wǎng)絡安全中，除了采用上述技術措施之外，加強網(wǎng)絡的安全管理制定有關規(guī)章制度，對于確 保網(wǎng)絡的安全、可靠運行，將起到十分有效的作用。網(wǎng)絡安全管理包括確定安全管理等級和安全管理范圍、制訂有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度和制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。 安全防范技術 防毒軟件 基本上，防毒解決方案的做法有 5種：信息服務器端、文件服務器端、客戶端防毒軟件、防毒網(wǎng)關以及網(wǎng)站上的在線掃毒軟件。 防火墻 （防火墻技術將在后面的章節(jié)詳細介紹） “防火墻”是一種形象的說法 ,它實際上是計算機硬件和軟件的組合 ,在網(wǎng)絡網(wǎng)關服務器上運作，在內(nèi)部網(wǎng)與公共網(wǎng)絡之間建立起一個安 全網(wǎng)關 (security gateway),保護私有網(wǎng)絡資源免遭其他網(wǎng)絡使用者的擅用或侵入。通常，防火墻與路由軟件一起工作，負責分析、過濾經(jīng)過此網(wǎng)關的數(shù)據(jù)封包，決定是否將它們轉送到目的地。防火墻通常安裝在單獨的計算機上，并與網(wǎng)絡的其余部份分隔開，使訪問者無法直接存取內(nèi)部網(wǎng)絡的資源。在一個沒有防火墻環(huán)境中，網(wǎng)絡安全完全依賴于主機安全，并且在某種意義上所有主機都必須協(xié)同達到一個統(tǒng)一的高安全標準；基于主機的安全伸縮性不好：當一個站點上主機的數(shù)量增加時，確定每臺主機處于高安全級別之上，勢必會使性能下降；如果某個網(wǎng)絡 軟件的薄弱點被發(fā)現(xiàn)，沒有防火墻保護的站點必須盡可能快地更正每個暴露的系統(tǒng)，這并不現(xiàn)實，特別是在一些不同版本的操作系統(tǒng)正被使用時。 防火墻的局限性 : 防火墻不能防止通向站點的后門。例如，如果一個被防火墻保護的站點允許不受限制的 Modem訪問，入侵者就能夠有效地繞過防火墻；防火墻一般不提供對內(nèi)部的保護；防火墻不能防止用戶下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸；防火墻無法防范數(shù)據(jù)驅動型的攻擊。 密碼技術 (將在后面的章節(jié)詳細介紹 ) 采用密碼技術對信息加密，是最常用和有效的安全 保護手段。 算法（公開的） 一個數(shù)學公式使用加密密鑰將最初的信息轉換成為加密的信息，功能強大的算法是很難被破解的。 目前廣泛應用的加密技術主要分為兩類： (1)對稱算法加密 其主要特點是加解密雙方在加解密過程中要使用完全相同的密碼，對稱算法中 最常用的是 DES算法。對稱算法的主要問題是由于加解密雙方要使用相同的密碼，在發(fā)送接收數(shù)據(jù)之前，就必須完成密鑰的分發(fā)。因此，密鑰的分發(fā)成為該加密體系中最薄弱的環(huán)節(jié)。各種基本手段均很難完成這一過程。同時，這一點也使密碼更新的 12 周期加長，給其他人破譯密碼 提供了機會。 (2)非對稱算法加密與公鑰體系 保護信息傳遞的機密性，是密碼學的主要方面之一，對信息發(fā)送人的身份驗證與保障數(shù)據(jù)的完整性是現(xiàn)代密碼學的另一重點。公開密鑰密碼體制對這兩方面的問題都給出了出色的解答。 在公鑰體制中，加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以使用；解密密鑰只有解密人自己知道。它們分別稱為公開密鑰 (Public key)和私有密鑰(Private key)。在所有公鑰密碼體系中， RSA系統(tǒng)是最著名且使用最多的一種。在加密應用時，某個用戶總是將一個密鑰公開，讓需發(fā)信的人員 將信息用公共密鑰加密后發(fā)給該用戶，信息一旦加密，只有該用戶的私有密鑰才能解密。 數(shù)字簽名 使用公共密鑰系統(tǒng)可以完成對電文的數(shù)字簽名，以防止對電文的否認與抵賴，同時還可以利用數(shù)字簽名來發(fā)現(xiàn)攻擊者對電文的非法篡改，以保護數(shù)據(jù)信息的完整性。上述兩種方法可以結合使用，從而生成數(shù)字簽名。其他密碼應用還包括數(shù)字時間戳、數(shù)字水印和數(shù)字證書等。 一個電子簽名就等于一個在紙上的真實的簽名，是一個與信息相關聯(lián)的數(shù)字，當信息的內(nèi)容發(fā)生改變時，簽名將不再匹配；只有知道私鑰的人才能生成數(shù)字簽名，它被用來確定一個信息或數(shù)據(jù)包 是由所要求的發(fā)送者處而來的 虛擬專有網(wǎng)絡（ VPN） 相對于專屬于某公司的私有網(wǎng)絡或是租用的專線， VPN是架設于公眾電信網(wǎng)絡之上的私有信息網(wǎng)絡，其保密方式是使用信道協(xié)議及相關的安全程序。 考慮在外聯(lián)網(wǎng)及廣域的企業(yè)內(nèi)聯(lián)網(wǎng)上使用 VPN。 VPN的使用還牽涉到加密后送出資料，及在另一端收到后解密還原資料等問題，而更高層次的安全包括進一步加密收發(fā)兩端的網(wǎng)絡位置。 安全檢測和監(jiān)控監(jiān)測 采取預先主動的方式，對客戶端和網(wǎng)絡的各層進行全面有效的自動安全檢測，以發(fā)現(xiàn)和避免系統(tǒng)遭受攻擊傷害。 (1)網(wǎng)絡安全 性能檢查系統(tǒng) 提供事前的安全掃描能夠發(fā)現(xiàn)系統(tǒng)的安全漏洞，可以做好安全預防措施。主要通過掃描分析網(wǎng)絡系統(tǒng)，報告系統(tǒng)存在的弱點和漏洞，報告網(wǎng)絡系統(tǒng)相關信息和對外提供的服務，建議采用的補救措施，生成分析報告。 掃描系統(tǒng)的弱點和漏洞的分類：簡單郵件傳輸協(xié)議，強力攻擊，系統(tǒng)守護進程，遠程過程調用，網(wǎng)絡文件系統(tǒng)，拒絕服務， NetBIOS， NT用戶， NT注冊表， NT審計，代理服務和域名服務， WEB站點，防火墻和路由器， IP欺騙，文件傳輸協(xié)議。 (2)安全檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術，目的是實時的入侵 檢測及采取相應的防護手段，如記錄證據(jù)用于跟蹤和恢復、斷開網(wǎng)絡連接等。 網(wǎng)絡入侵檢測和監(jiān)控能夠對付來自內(nèi)部網(wǎng)絡的攻擊，其次它能夠阻止 hacker的入侵。 網(wǎng)絡監(jiān)控，對網(wǎng)絡攻擊入侵行為提供最后一級的安全保護。它提供對企業(yè)網(wǎng)絡通訊活動的監(jiān)控，捕獲和分析整個網(wǎng)段傳輸?shù)臄?shù)據(jù)包，檢測和識別可疑的網(wǎng)絡通信活動，并在這種非授權訪問發(fā)生時進行實時響應，阻止對企業(yè)數(shù)據(jù)和資源的非法存 13 取。實時監(jiān)測入侵企圖和對網(wǎng)絡資源的濫用，對可疑的網(wǎng)絡活動執(zhí)行日志記錄、錄制原始數(shù)據(jù)供日后回放或切斷可疑連接等響應動作，可做到分布式運行和 集中管理，管理人員在中心控制臺集中控制各處監(jiān)控引擎的工作行為，查看各引擎監(jiān)控的安全事件，生成直觀易用的安全事件統(tǒng)計報告。對可疑網(wǎng)絡活動進行分辨的能力，在不影響正常網(wǎng)絡應用的情況下有效地制止入侵攻擊行為和非法存取企業(yè)網(wǎng)絡資源。 (3)網(wǎng)絡安全檢測系統(tǒng)可分為兩類： 基于主機的入侵檢測系統(tǒng)用于保護關鍵應用的服務器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應用的監(jiān)視如 Web服務器應用。 基于網(wǎng)絡通過連接網(wǎng)絡捕獲網(wǎng)絡包 ,并分析其是否具有已知的攻擊模式 ,以此來判別是否為入侵者。軟件持 續(xù)地監(jiān)控網(wǎng)絡，發(fā)現(xiàn)已知的攻擊，它通常運行在網(wǎng)絡需要控制的要點上，比如 Inter出口的路由器，或者 LAN上重要的數(shù)據(jù)庫。當軟件檢測到有攻擊發(fā)生，它就會按預先定義好的方式響應。監(jiān)控和反應軟件就象防盜警報器，當警報器發(fā)現(xiàn)偷盜，它就會發(fā)出聲響或打電話給警察?；诰W(wǎng)絡的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息。 安全檢測監(jiān)控可以： (1)保證你不必擔心整個網(wǎng)絡的可見的弱點 (2)保證所有的系統(tǒng)以與組織的策略一致的安全方式配置 (3)保證所有可能的攻擊能被檢測、監(jiān)控、和及時的以適當?shù)姆绞巾?應 (4)提供實時監(jiān)控，識別攻擊存取路由 (5)提供及時的安全報警 (6)提供準確的網(wǎng)絡安全審核和趨勢分析數(shù)據(jù)，支持安全程序的計劃和評估 綜合防范 信息安全需要通信體系結構、協(xié)議、操作系統(tǒng)、應用和用戶的共同參與。為了提供一個安全的環(huán)境，必須做到： (1)用戶培訓，增強安全意識； (2)建立一個可幫助的安全策略； (3)提高在現(xiàn)有網(wǎng)絡環(huán)境下，對可能的安全風險的認識和理解； (4)選擇能夠幫助建立一個安全環(huán)境并且能夠與已建立的安全策略相符合的產(chǎn)品和應用程序； (5)合格的安全審計員和工具，定期檢查網(wǎng)絡環(huán)境 “道高一尺，魔高一丈”，安全將是網(wǎng)絡永恒的問題，風險是無法完全消除的，零風險就意味著網(wǎng)絡的零效用，關鍵的問題是如何達到均衡，即盡可能站地降低風險，又使網(wǎng)絡發(fā)揮其最大效用 第四 章 防火墻技術綜述 何謂防火墻 防火墻原是建筑物大廈設計用來防止火災蔓延的隔斷墻。在 Inter網(wǎng)絡中， 14 人們將加在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的，用來防止非法入侵者通過網(wǎng)絡進行攻擊，并提供數(shù)據(jù)可用性、完整性、保密性的安全和審查控制功能的一 個或幾個中介系統(tǒng)稱之為網(wǎng)絡防火墻。 防火墻是近年來發(fā)展起來的重要安全技術，其特征是通過在網(wǎng)絡邊界上建立相應的網(wǎng)絡通訊監(jiān)控系統(tǒng)來達到保障網(wǎng)絡安全的目的。它通過檢測、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能的對外屏蔽網(wǎng)絡內(nèi)部的結構、信息和運行情況，以此來實現(xiàn)內(nèi)部網(wǎng)絡的安全保護。從邏輯上講，防火墻是分離器、限制器、分析器。從物理角度看，各站點防火墻物理實現(xiàn)的方式有所不同，通常防火墻是一組硬件設備 路由器、主計算機或配有相應防火墻軟件的網(wǎng)絡硬件的多種組合。 防火墻一方面限制數(shù)據(jù)流通 ,一方面又允許數(shù)據(jù)流通，由于不同網(wǎng) 絡的安全要求和管理機制有差別，這對矛盾也有不同的表現(xiàn)形式。這樣就有了兩種極端情況 :一是一切未被允許的就是禁止的 。二是一切未被禁止的就是允許的。第一種安全但不好用，第二種好用但不安全?，F(xiàn)在多數(shù)防火墻都在這兩種之間采取折中措施。 這里所謂的好用和不好用主要指跨越防火墻的訪問效率。在確保防火墻安全或比較安全的前提下提高訪問效率是當前防火墻技術研究和實現(xiàn)的熱點。 防火墻的功能和局限性分析 防火墻設置在邊界網(wǎng)絡上 ,首先是為了保護內(nèi)部網(wǎng)的安全 ,它在有效地阻止外部用戶的非授權訪問、阻止攻擊者的入侵、提高網(wǎng)絡 的安全性能的同時，還提供了以下功能 : 。防火墻是站在內(nèi)網(wǎng)與外網(wǎng)交界處的“交通警察” ,它執(zhí)行站點的安全策略 ,僅僅允許認可的和符合規(guī)則的請求通過。保護內(nèi)網(wǎng)的信息 和資源免受外界的非法入侵。 Inter上的活動。由于所有進出信息都必須通過防火墻 ,作為 訪 問的唯一通道，防火墻記錄被保護的網(wǎng)絡和外部網(wǎng)絡之間進行的所有事件。 。所有的內(nèi)部網(wǎng)址都可以隱藏在防火