【文章內容簡介】 的事情。出與對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程；機密 資料的接收與傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息處理系統(tǒng)使用媒介的保管等。 安全管理的實現(xiàn) 信息系統(tǒng)的安全管理部門應根據管理原則和該系統(tǒng)處理數(shù)據的保密性，制訂相應的管理制度或采用相應的規(guī)范。具體工作是： ① 根據工作的重要程度，確定該系統(tǒng)的安全等級。 ② 根據確定的安全等級，確定安全管理范圍。 ③ 制訂相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝 自動識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理。 采用先進的技術和產品 要保證計算機網絡系統(tǒng)的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。 防火墻技術 為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可已被外界訪 8 問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可監(jiān)測、限制、更改跨越 防火墻的數(shù)據流，確認其來源及去處，檢查數(shù)據的格式及內容，并依照用戶的規(guī)則傳送或阻止數(shù)據。其主要有：應用層網關、數(shù)據包過濾、代理服務器等幾大類型。 數(shù)據加密技術 與防火墻配合使用的安全技術還有數(shù)據加密技術，是為提高信息系統(tǒng)及數(shù)據的安全性和保密性，防止秘密數(shù)據被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數(shù)據加密技術和物理防范技術的不斷發(fā)展。按作用不同 , 數(shù)據加密技術主要分為數(shù)據傳輸、數(shù)據存儲、數(shù)據完整性的鑒別以及密鑰管理技術四種。 認證技術 認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接收者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數(shù)字簽名。 計算機病毒的防范 首先要 加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件： ① 、較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有４萬多種，在各種操作系統(tǒng)中包括 Windows、 UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強的特點。 ② 、完善的升級服務。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計算機病毒。 9 常見的網絡攻擊及防范對策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可 以獲得對被攻擊的計算機的控制權。 防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機上的監(jiān)聽 TCP 服務。 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算 機的正常工作。此種攻擊經常出現(xiàn)在網絡黑客通過計算機網絡對某一目標的報復活動中。 防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的 SMTP 連接只能達成指定的服務器，從而免受外界郵件的侵襲。 過載攻擊 過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊， 10 它是通過大量地進行人為地增大 CPU的工作量，耗費 CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。 防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列 表和網絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網絡外部還是網絡內部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。 淹沒攻擊 正常情況下， TCP 連接建立要經歷 3次握手的過程，即客戶機向主機發(fā)送 SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送 SYN/ACK消息；客戶機收到 SYN/ACK消息后再向主機發(fā)送 RST 信號并斷開連接。 TCP 的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的 IP 地址，向被攻擊主機發(fā)出 SYN請求信號 ，當被攻擊主機收到 SYN 請求信號后，它向這臺不存在 IP 地址的偽裝主機發(fā)出 SYN/消息。由于此時主機的 IP 不存在或當時沒有被使用所以無法向主機發(fā)送 RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機發(fā)送 SYN請求，被攻擊主機就會一直處于等待狀態(tài)，從而無法響應其他用戶的請求。 對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于 SYNRECEIVED狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。 3. 網絡拓撲結構的安全設計 網絡拓撲結構分析 網絡的拓撲 結構首先應因地制宜，根據組網單位的實際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網計算機處于同一網段的安全控制域中。局域網中的拓撲結構主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 規(guī)范 , 11 利用這一方法建成的網絡 ,我們稱之為以太網 ,在以太網的通信方式中 ,每一個工作站都可以讀取電纜上傳輸?shù)乃袛?shù) 據 ,將以太網卡 (支持 規(guī)范的網卡 )設置為混雜模式 ,網卡便會將電纜上傳輸?shù)乃械臄?shù)據讀入緩沖區(qū) ,以供系統(tǒng)和程序調用 .但是入侵者還是可能通過割開網線 ,非法接入等手段來偵聽網絡 ,截獲數(shù)據 ,根據線路中的數(shù)據流量找到網絡的信息中心 ,因此布線要杜絕經過不可靠的區(qū)域 ,以防止非法接入 ,在各網段的控制器上設置網段網絡分段通常被認為是控制網絡廣播風暴的一種基本手段 ,實際上也是保證網絡安全的一項重要措施 .其目的是將非法用戶與敏感的網絡資源相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對局 域網的中心計算機進行分段后 ,以太網的偵聽的危險仍然存在 .這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機 ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當用戶與主機進行數(shù)據通信時 ,兩臺機器之間的數(shù)據包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應該以交換式集線器代替共享式集線器 ,使單播包公在兩個節(jié)點之間傳送 ,從而防止非法偵聽。 VLAN(虛擬局域網 )的劃分 為了克服以太網的廣播問題 ,除上述方法外 ,還可以運用VLAN技術 ,將以太網通信變?yōu)辄c到點通信 ,以防止大部分基于網絡偵聽的入侵。 基于以上拓撲結構的連接方式 ,用電纜和集線器連接而成的網絡始終是同一網段 ,在網上傳播的數(shù)據可以被所有的連接設備接收 ,為了防止網絡的入侵嗅探 ,可以把網絡分段 ,隔離網絡通