【文章內容簡介】 破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網絡系統(tǒng)。另外，為達到預定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在CPU中設置“芯片陷阱”，可使美國通過因特網發(fā)布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。①網絡資源的共享性資源共享是計算機網絡應用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯(lián)網需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求的機會很容易獲取網絡數(shù)據(jù)包。②網絡的開放性網上的任何一個用戶很方便訪問互聯(lián)網上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。③網絡操作系統(tǒng)的漏洞網絡操作系統(tǒng)是網絡協(xié)議和網絡服務得以實現(xiàn)的最終載體之一，它不僅負責網絡硬件設備的接口封裝，同時還提供網絡通信所需要的各種協(xié)議和服務的程序實現(xiàn)。由于網絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。④網絡系統(tǒng)設計的缺陷網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協(xié)議、網絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網絡設計在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。⑤惡意攻擊就是人們常見的黑客攻擊及網絡病毒，這是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也是越來越多，影響越來越大。第二章 計算機網絡安全防范策略計算機網絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，任何一個單獨的組件都無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等，以下就此幾項技術分別進行分析。防火墻防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。在電腦術語中，當然就不是這個意思了，我們可 以類比來理解，在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。防火墻（FireWall）成為近年來新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網絡上被非法輸出。作為Internet網的安全性保護軟件，F(xiàn)ireWall已經得到廣泛的應用。通常企業(yè)為了維護內部的信息系統(tǒng)安全，在企業(yè)網和Internet間設立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯。為了讓大家更好地使用防火墻，我們從反面列舉4個有代表性的失敗案例。例1：未制定完整的企業(yè)安全策略網絡環(huán)境：某中型企業(yè)購買了適合自己網絡特點的防火墻，剛投入使用后，發(fā)現(xiàn)以前局域網中肆虐橫行的蠕蟲病毒不見了，企業(yè)網站遭受拒絕服務攻擊的次數(shù)也大大減少了，為此，公司領導特意表揚了負責防火墻安裝實施的信息部。： 該企業(yè)內部網絡的核心交換機是帶路由模塊的三層交換機，出口通過路由器和ISP連接。內部網劃分為5個VLAN，VLANVLAN 2和VLAN 3分配給不同的部門使用，不同的VLAN之間根據(jù)部門級別設置訪問權限；VLAN 4分配給交換機出口地址和路由器使用；VLAN 5分配給公共服務器使用。在沒有加入防火墻之前，各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后，給防火墻分配一個VLAN 4中的空閑IP地址，并把網關指向路由器；將VLAN 5接入到防火墻的一個網口上。這樣，防火墻就把整個網絡分為3個區(qū)域: 內部網、公共服務器區(qū)和外部網，三者之間的通信受到防火墻安全規(guī)則的限制。問題描述：防火墻投入運行后，實施了一套較為嚴格的安全規(guī)則，導致公司員工無法使用聊天軟件，于是沒過多久就有員工自己撥號上網，導致感染了特洛依木馬和蠕蟲等病毒，并立刻在公司內部局域網中傳播開來，造成內部網大面積癱瘓。問題分析：我們知道，防火墻作為一種保護網絡安全的設備，必須部署在受保護網絡的邊界處，只有這樣防火墻才能控制所有出入網絡的數(shù)據(jù)通信，達到將入侵者拒之門外的目的。如果被保護網絡的邊界不惟一，有很多出入口，那么只部署一臺防火墻是不夠的。在本案例中，防火墻投入使用后，沒有禁止私自撥號上網行為，使得許多PC機通過電話線和Internet相連，導致網絡邊界不惟一，入侵者可以通過攻擊這些PC機然后進一步攻擊內部網絡，從而成功地避開了防火墻。解決辦法：根據(jù)自己企業(yè)網的特點，制定一整套安全策略，并徹底地貫徹實施。比如說，制定一套安全管理規(guī)章制度，嚴禁員工私自撥號上網。同時封掉撥號上網的電話號碼，并購買檢測撥號上網的軟件，這樣從管理和技術上杜絕出現(xiàn)網絡邊界不惟一的情況發(fā)生。另外，考慮到企業(yè)員工的需求，可以在防火墻上添加按照時間段生效的安全規(guī)則，在非工作時間打開使用的TCP/UDP端口，使得企業(yè)員工可以在工余時間使用聊天軟件。例2：未考慮與其他安全產品的配合使用問題描述：某公司購買了防火墻后，緊接著又購買了漏洞掃描和IDS（入侵檢測系統(tǒng)）產品。當系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后，必須每次都要手工調整防火墻安全策略，使管理員工作量劇增，而且經常調整安全策略，也給整個網絡帶來不良影響。問題分析：選購防火墻時未充分考慮到與其他安全產品如IDS的聯(lián)動功能，導致不能最大程度地發(fā)揮安全系統(tǒng)的作用。解決辦法：購買防火墻前應查看企業(yè)網是否安裝了漏洞掃描或IDS等其他安全產品，以及具體產品名稱和型號，然后確定所要購買的防火墻是否有聯(lián)動功能（即是否支持其他安全產品，尤其是IDS產品），支持的是哪些品牌和型號的產品，是否與已有的安全產品名稱相符，如果不符，最好不要選用，而選擇能同已有安全產品聯(lián)動的防火墻。這樣，當IDS發(fā)現(xiàn)入侵行為后，在通知管理員的同時發(fā)送消息給防火墻，由防火墻自動添加相關規(guī)則，把入侵者拒之門外。例3：未經常維護升級防火墻 問題描述：某政府機構購置防火墻后已安全運行一年多，由于該機構網絡結構一直很穩(wěn)定，沒有什么變化，各種應用也運行穩(wěn)定，因此管理員逐漸放松了對防火墻的管理，只要網絡一直保持暢通即可，不再關心防火墻的規(guī)則是否需要調整，軟件是否需要升級。而且由于該機構處于政府專網內，與Internet物理隔離，防火墻無法實現(xiàn)在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本，雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包，但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中，政府專網也受到蠕蟲病毒的感染，該機構防火墻因為沒有及時升級，無法抵御這種蠕蟲病毒的攻擊，造成整個機構的內部網大面積受感染，網絡陷于癱瘓之中。問題分析：安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具，必須不斷地升級與更新才能應付不斷發(fā)展的入侵手段，過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說，應當時刻留心廠家發(fā)布的升級包，及時給防火墻打上最新的補丁。解決辦法：及時維護防火墻，當本機構發(fā)生人員變動、網絡調整和應用變化時，要及時調整防火墻的安全規(guī)則，及時升級防火墻。從以上三個案例我們可以得出一些結論：防火墻只是保證安全的一種技術手段，要想真正實現(xiàn)安全，安全策略是核心問題。保護網絡安全不僅僅是防火墻一種產品，只有將多種安全產品無縫地結合起來，充分利用它們各自的優(yōu)點，才能最大限度地保證網絡安全。而保護網絡安全是動態(tài)的過程，防火墻需要積極地維護和升級。 數(shù)據(jù)加密與用戶授權訪問控制技術與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密實質上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法 入侵檢測技術入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網絡安全系統(tǒng)。IDS被認為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊：在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵【6】。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現(xiàn)在以下方面： 1)分析用戶及系統(tǒng)活動，查找非法用戶和合法用戶的越權操作； 2)檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞； 3)識別反映已知進攻的活動模式并向相關人上報警； 4)對異常行為模式的統(tǒng)計分析；5)能夠實時地對檢測到的入侵行為進行反應； 6)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 7)可以發(fā)現(xiàn)新的攻擊模式； 入侵檢測方法方法有很多，如基于專家系統(tǒng)入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現(xiàn)、分析用戶及系統(tǒng)活動；；；；；，并識別用戶違反安全策略的行為。入侵檢測技術同樣存在問題, 導致誤報率和漏報率, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊, 并且其本身構建易受攻擊 防病毒技術計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術，即一種行為規(guī)則判定技術。也就是說，計算機病毒的預防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預防是通過阻止計算機病毒進入系統(tǒng)內存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預防病毒技術包括：磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令，并且判斷磁盤當前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前，對已知病毒的預防可以采用特征判定技術或靜態(tài)判定技術，而對未知病毒的預防則是一種行為規(guī)則的判定技術，即動態(tài)判定技術。一、計算機病毒的預防技術計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞。實際上這是一種動態(tài)判定技術，即一種行為規(guī)則判定技術。也就是說，計算機病毒的預防是采用對病毒的規(guī)則進行分類處理，而后在程序運作中凡有類似的規(guī)則出現(xiàn)則認定是計算機病毒。具體來說，計算機病毒的預防是通過阻止計算機病毒進入系統(tǒng)內存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預防病毒技術包括：磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術、系統(tǒng)監(jiān)控技術等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監(jiān)視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令，并且判斷磁盤當前所處的狀態(tài)：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處于寫保護等，來確定病毒是否將要發(fā)作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前，對已知病毒的預防可以采用特征判定技術或靜態(tài)判定技術，而對未知病毒的預防則是一種行為規(guī)則的判定技術，即動態(tài)判定技術。二、檢測病毒技術計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種：一種是根據(jù)計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化，在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。即對某個文件或數(shù)據(jù)段進行檢驗和計算并保存其結果，以后定期或不定期地以保存的結果對該文件或數(shù)據(jù)段進行檢驗，若出現(xiàn)差異，即表示該文件或數(shù)據(jù)段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。三、清除病毒技術計算機病毒的清除技術是計算機病毒檢測技術發(fā)展的必然結果，是計算機病毒傳染程序的一種逆過程。目前，清除病毒大都是在某種病毒出現(xiàn)后，通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發(fā)展往往是被動的，帶有滯后性。而且由于計算機軟件所要求的精確性，解毒軟件有其局限性，對有些變種病毒的清除無能