【文章內(nèi)容簡介】 破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外，為達到預(yù)定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在CPU中設(shè)置“芯片陷阱”，可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。①網(wǎng)絡(luò)資源的共享性資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。②網(wǎng)絡(luò)的開放性網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。③網(wǎng)絡(luò)操作系統(tǒng)的漏洞網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。④網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計則會成為網(wǎng)絡(luò)的安全威脅。⑤惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒，這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。第二章 計算機網(wǎng)絡(luò)安全防范策略計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等，以下就此幾項技術(shù)分別進行分析。防火墻防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術(shù)語中，當(dāng)然就不是這個意思了，我們可 以類比來理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。防火墻（FireWall）成為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護軟件，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設(shè)置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應(yīng)用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯。為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略網(wǎng)絡(luò)環(huán)境：某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了，企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了，為此，公司領(lǐng)導(dǎo)特意表揚了負責(zé)防火墻安裝實施的信息部。： 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN，VLANVLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網(wǎng)關(guān)指向路由器；將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣，防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng)，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運行后，實施了一套較為嚴(yán)格的安全規(guī)則，導(dǎo)致公司員工無法使用聊天軟件，于是沒過多久就有員工自己撥號上網(wǎng)，導(dǎo)致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內(nèi)部局域網(wǎng)中傳播開來，造成內(nèi)部網(wǎng)大面積癱瘓。問題分析：我們知道，防火墻作為一種保護網(wǎng)絡(luò)安全的設(shè)備，必須部署在受保護網(wǎng)絡(luò)的邊界處，只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網(wǎng)絡(luò)的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網(wǎng)行為，使得許多PC機通過電話線和Internet相連，導(dǎo)致網(wǎng)絡(luò)邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內(nèi)部網(wǎng)絡(luò)，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網(wǎng)的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴(yán)禁員工私自撥號上網(wǎng)。同時封掉撥號上網(wǎng)的電話號碼，并購買檢測撥號上網(wǎng)的軟件，這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用聊天軟件。例2：未考慮與其他安全產(chǎn)品的配合使用問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調(diào)整防火墻安全策略，使管理員工作量劇增，而且經(jīng)常調(diào)整安全策略，也給整個網(wǎng)絡(luò)帶來不良影響。問題分析：選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能，導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。解決辦法：購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品，以及具體產(chǎn)品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產(chǎn)品，尤其是IDS產(chǎn)品），支持的是哪些品牌和型號的產(chǎn)品，是否與已有的安全產(chǎn)品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣，當(dāng)IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關(guān)規(guī)則，把入侵者拒之門外。例3：未經(jīng)常維護升級防火墻 問題描述：某政府機構(gòu)購置防火墻后已安全運行一年多，由于該機構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定，沒有什么變化，各種應(yīng)用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網(wǎng)絡(luò)一直保持暢通即可，不再關(guān)心防火墻的規(guī)則是否需要調(diào)整，軟件是否需要升級。而且由于該機構(gòu)處于政府專網(wǎng)內(nèi)，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構(gòu)的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網(wǎng)也受到蠕蟲病毒的感染，該機構(gòu)防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構(gòu)的內(nèi)部網(wǎng)大面積受感染，網(wǎng)絡(luò)陷于癱瘓之中。問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。解決辦法：及時維護防火墻，當(dāng)本機構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時，要及時調(diào)整防火墻的安全規(guī)則，及時升級防火墻。從以上三個案例我們可以得出一些結(jié)論：防火墻只是保證安全的一種技術(shù)手段，要想真正實現(xiàn)安全，安全策略是核心問題。保護網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品，只有將多種安全產(chǎn)品無縫地結(jié)合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網(wǎng)絡(luò)安全。而保護網(wǎng)絡(luò)安全是動態(tài)的過程，防火墻需要積極地維護和升級。 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法 入侵檢測技術(shù)入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面： 1)分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權(quán)操作； 2)檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞； 3)識別反映已知進攻的活動模式并向相關(guān)人上報警； 4)對異常行為模式的統(tǒng)計分析；5)能夠?qū)崟r地對檢測到的入侵行為進行反應(yīng)； 6)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7)可以發(fā)現(xiàn)新的攻擊模式； 入侵檢測方法方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實現(xiàn)、分析用戶及系統(tǒng)活動；；；；；，并識別用戶違反安全策略的行為。入侵檢測技術(shù)同樣存在問題, 導(dǎo)致誤報率和漏報率, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊, 并且其本身構(gòu)建易受攻擊 防病毒技術(shù)計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。一、計算機病毒的預(yù)防技術(shù)計算機病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術(shù)，即一種行為規(guī)則判定技術(shù)。也就是說，計算機病毒的預(yù)防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機病毒。具體來說，計算機病毒的預(yù)防是通過阻止計算機病毒進入系統(tǒng)內(nèi)存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預(yù)防病毒技術(shù)包括：磁盤引導(dǎo)區(qū)保護、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令，并且判斷磁盤當(dāng)前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前，對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù)，而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù)，即動態(tài)判定技術(shù)。二、檢測病毒技術(shù)計算機病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計算機病毒的一種技術(shù)。它有兩種：一種是根據(jù)計算機病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。另一種是不針對具體病毒程序的自身校驗技術(shù)。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結(jié)果，以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。三、清除病毒技術(shù)計算機病毒的清除技術(shù)是計算機病毒檢測技術(shù)發(fā)展的必然結(jié)果，是計算機病毒傳染程序的一種逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的，帶有滯后性。而且由于計算機軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能