【文章內容簡介】 的發(fā)展，網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時，大量在網絡中存儲和傳輸的數據就需要保護。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國特色的網絡安全體系。一個國家的安全體系實際上包括國家的法律和政策，以及技術與市場的發(fā)展平臺。我國在構建信息信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發(fā)展名族的安全產業(yè),帶動我國網絡安全技術的整體提高。網絡安全產品有以下幾個特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷的變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規(guī)的支持及集團聯合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產業(yè)。信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分，而且應該看到發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來數字化、網絡化、信息化的發(fā)展將起到非常重要的作用。 網絡安全技術的研究目的、意義和背景目前計算機網絡面臨著很大的威脅，其構成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網絡安全已被信息社會的各個領域所重視。隨著計算機絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，致使網絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統(tǒng)、銀行和政府等傳輸銘感數據的計算機網絡系統(tǒng)而言，其網上信息的安全性和保密性尤為重要。因此，上述的網絡必須要有足夠強的安全措施，否則該網絡將是個無用、甚至會危機國家安全的網絡。無論是在局域網中還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性，故此，網絡的安全措施應是能全方位的針對各種不同的威脅和網絡的脆弱性，這樣才能確保網絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及技術措施。認真分析網絡面臨的威脅，我認為計算機網絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程，是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機網絡應用部門領導的重視，加強工作人員的責任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎上，再采用現金的技術和產品，構造全防衛(wèi)的防御機制，使系統(tǒng)在理想的狀態(tài)下運行。 計算機網絡安全的含義計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)的災害，軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。從本質上來講，網絡安全包括組成網絡系統(tǒng)的硬件、軟件極其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰(zhàn)。第二章 網絡安全初步分析 網絡安全的必要性隨著計算機技術的不斷發(fā)展，計算機網絡已經成為信息時代的重要特征。人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物，適應社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設自己的信息高速公路。我國近年來計算機網絡發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里，計算機網絡一定會得到極大的發(fā)展，那時將全面進入信息時代。正因為網絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。 網絡的安全管理面對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網絡安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的基本問題。網絡信息系統(tǒng)的安全管理主要基于3個原則： ① 多人負責原則每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護，系統(tǒng)軟件的設計、實現和修改，重要數據的刪除和銷毀等。② 任期有限原則一般來講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期的循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行。③ 職責分離原則除非經系統(tǒng)主管領導批準，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出于對安全的考慮，下面每組內的兩項信息處理工作應當分開：計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。 安全管理的實現信息系統(tǒng)的安全管理部門應根據管理原則和該系統(tǒng)處理數據的保密性，制定相應的管理制度或采用相應的規(guī)范。具體工作是:①根據工作的重要程度，確定該系統(tǒng)的安全等級。②根據確定的安全等級，確定安全管理范圍。③制定相應的機房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進行識別，登記管理。 采用先進的技術和產品要保證計算機網絡安全的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。 防火墻技術為保證網絡安全，防止外部網對內部網的非法入侵，在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數據流，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規(guī)則傳送或阻止數據。其主要有：應用層網關、數據包過濾、代理服務器等幾大類型。 數據加密技術與防火墻配合使用的安全技術還有數據加密技術，是為了提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展，網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發(fā)展。按作用的不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。 認證技術認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有：消息認證、身份認證、數字簽名。 計算機病毒的防范首先要加強工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件：① 較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強的特點。② 完善的升級服務。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機病毒。 常見的網絡攻擊和防范對策 特洛伊木馬特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力，在網絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網絡攻擊者可以讀寫未經授權的文件，甚至可以獲得對被攻擊的計算機的控制權。防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數字簽名，而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機上的監(jiān)聽TCP服務。 郵件炸彈郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復消息，也可以使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。 過載攻擊過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊，它是通過大量地進行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現類似拒絕服務的現象。通常，管理員可以使用網絡監(jiān)視工具來發(fā)現這種攻擊，通過主機列表和網絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現攻擊究竟是來自于網絡內部還是網絡外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。 淹沒攻擊正常情況下，TCP連接建立要經過3次握手的過程，即客戶機向客戶機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYNRECEIVED狀態(tài)的連接數，當連接數超過某一給定的數值時，實時關閉這些連接。第三章 網絡攻擊分析及特點攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊：Does是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡，使得所有可用網絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。而且現在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP 協議的漏洞，要想避免除非不使用此協議，顯然這是很難做到的那我們要如何放置呢？，并打上安全補丁。計算機緊急響應協調中心發(fā)現，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。，黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。 Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權。 系統(tǒng)。否則，黑客能通過電話線發(fā)現未受保護的主機，即刻就能訪問極為機密的數據。 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳遞口令，而Telnet和