【文章內(nèi)容簡介】 的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別 、登記管理。 采用先進(jìn)的技術(shù)和產(chǎn)品 要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。 1. 防火墻技術(shù) 網(wǎng)絡(luò)倫理問題與對策研究 10 為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。 一個(gè)防火墻 策略要符合四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。大多數(shù)情況下的防火墻的組件放在一起使用以滿足公司安全目的的需要。防火墻要能確保滿足以下三個(gè)目標(biāo)實(shí)現(xiàn)一個(gè)公司的安全策略。例如，也許你的安全策略只需對 MAIL 服務(wù)器的 SMTP 流量作些限制，那么你要直接在防火墻強(qiáng)制這些策略。 (1)創(chuàng)建一個(gè)阻塞點(diǎn) 防火墻在一個(gè)公司私有網(wǎng)絡(luò)和公網(wǎng)間建立一個(gè)檢查點(diǎn)并要求所有的流量都要通過這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過濾各檢查所 進(jìn)來和出去的流量。網(wǎng)絡(luò)安全產(chǎn)業(yè)稱這些檢查點(diǎn)為阻塞點(diǎn)。 通過強(qiáng)制所有進(jìn)出流量都通過這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來實(shí)現(xiàn)安全目的。如果沒有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來進(jìn)行監(jiān)測。檢查點(diǎn)的另一個(gè)名字叫做網(wǎng)絡(luò)邊界。 (2) 記錄 INTERNET 活動 防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。通過在防火墻上實(shí)現(xiàn)日志服務(wù)，安全管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問。好的日志策略是實(shí)現(xiàn)適當(dāng)網(wǎng)絡(luò)安全的有效工具之一。防火墻對于管理員進(jìn)行日志存檔提供了更多的信息。 (3)限制網(wǎng)絡(luò)暴露 防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。 并且對于公網(wǎng)隱藏了你內(nèi)部系統(tǒng)的一河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 11 11 些信息以增加保密性。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測到你的網(wǎng)絡(luò)時(shí)，他們僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么。防火墻提高認(rèn)證功能和對網(wǎng)絡(luò)加密來限制網(wǎng)絡(luò)信息的暴露。通過對所能進(jìn)來的流量時(shí)行源檢查，以限制從外部發(fā)動的攻擊。 2. 數(shù)據(jù)加密技術(shù) 與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。 它是一門古老而深?yuàn)W的學(xué)科，對一般人來說是非常陌 生的。長期以來，只在很小的范圍內(nèi)使用，如軍事、外交、情報(bào)等部門。計(jì)算機(jī)密碼學(xué)是研究計(jì)算機(jī)信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計(jì)算機(jī)的交叉學(xué)科，也是一門新興的學(xué)科。 隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通訊技術(shù)的發(fā)展，計(jì)算機(jī)密碼學(xué)得到前所未有的重視并迅速普及和發(fā)展起來。在國外，它已成為計(jì)算機(jī)安全主要的研究方向。 密碼學(xué)的歷史比較悠久，在四千年前，古埃及人就開始使用密碼來保密傳遞消息。 目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作 用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 3. 認(rèn)證技術(shù) 認(rèn)證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。 4. 計(jì)算機(jī)病毒的防范 網(wǎng)絡(luò)倫理問題與對策研究 12 首先要加強(qiáng)工作人員防病毒的意識 ，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件： ① 、較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有４萬多種，在各種操作系統(tǒng)中包括 Windows、 UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。 ② 、完善的升級服務(wù)。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計(jì)算機(jī)病毒。 常用的網(wǎng)絡(luò)攻擊及防范對策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常 功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡聊抉R中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計(jì)算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計(jì)算機(jī)的控制權(quán)。 防止 在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時(shí)，對每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽 TCP 服務(wù)。 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 13 13 電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過 計(jì)算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報(bào)復(fù)活動中。 防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)的消息，也可使自己的 SMTP 連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。 過載攻擊 載攻擊是攻擊者通過服務(wù)器長時(shí)間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大 CPU 的工作量，耗費(fèi) CPU 的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。防 止過載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。通過對單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。 淹沒攻擊 常情況下， TCP 連接建立要經(jīng)歷 3 次握手的過 程，即客戶機(jī)向主機(jī)發(fā)送 SYN 請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送 SYN/ACK 消息；客戶機(jī)收到 SYN/ACK 消息后再向主機(jī)發(fā)送 RST 信號并斷開連接。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒有被使用的主機(jī)的 IP 地址，向被攻擊主機(jī)發(fā)出 SYN 請求網(wǎng)絡(luò)倫理問題與對策研究 14 信號，當(dāng)被攻擊主機(jī)收到 SYN 請求信號后，它向這臺不存在 IP 地址的偽裝主機(jī)發(fā)出 SYN/消息。由于此時(shí)主機(jī)的 IP 不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷地 向被攻擊的主機(jī)發(fā)送 SYN請求，被攻擊主機(jī)就會一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請求。 對付淹沒攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于 SYNRECEIVED 狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。 第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜，根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 規(guī)范 ,利用這一方法建成的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個(gè)字節(jié) ,是用來區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志 .此外 ,對于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC 地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設(shè)備 ,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來加強(qiáng)安全防范 . 網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保河南廣播電視大學(xué)商丘 學(xué)院畢業(yè)論文 （設(shè)計(jì)） 15 15 證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的 非法偵聽 . 以交換式集線器代替共享式集線器 對局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。 VLAN(虛擬局域網(wǎng) )的劃分 為了克服以太網(wǎng)的廣播問題 ,除上述方法外 ,還 可以運(yùn)用VLAN 技術(shù) ,將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信 ,以防止大部分基于網(wǎng)絡(luò)偵聽的入侵。 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段 , 在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收 ,為了防止網(wǎng)絡(luò)的入侵嗅探 ,可以把網(wǎng)絡(luò)分段 ,隔離網(wǎng)絡(luò)通信合用橋接器 ,交換器 ,路由器 ,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離 ,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián) ,拓展網(wǎng)絡(luò)形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)．但對于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對外界的攻擊的防范和應(yīng)策 . 網(wǎng)絡(luò)攻擊淺析 攻擊是指非授 權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別以來于擁護(hù)采取的安全措施。 在此先分析眼下比較流行的攻擊 Dodos 分布式拒絕服務(wù)攻擊： Do