【正文】 強(qiáng)口令管理 ,選取特殊的不容易猜測的口令 ,口令長度不要少于 8個字符。 拒絕服務(wù)攻擊 對于某臺服務(wù)器來說 ,可用的 TCP連接是有限的 ,如果惡意攻擊方在短時間內(nèi)快速連續(xù)地向一臺服務(wù)器大量發(fā)出連接請求 ,該服務(wù)器可用的 TCP連接隊(duì)列將很快被阻塞 ,系統(tǒng)可用資源急劇減少 ,網(wǎng)絡(luò)可用帶寬迅速縮小 ,從而沒有能力為其他用戶服務(wù)。這就是拒絕服務(wù)攻擊 (DoS, Denial of Service)。若動用網(wǎng)絡(luò)上的大量計(jì)算機(jī)同時對一臺服務(wù)器發(fā)起DoS攻擊 ,就是分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)。 拒絕服務(wù)攻擊會降低資源的可用性 ,這些資源可以是處理器、磁盤空間、 CPU使用的時間、打印機(jī)、調(diào)制解調(diào)器 ,甚至是系統(tǒng)管理員的時間。攻擊的結(jié)果是降低服務(wù)效率甚至中止服務(wù)。 對拒絕服務(wù)攻擊 ,目前還沒有好的解決辦法。限制使用系統(tǒng)資源 ,可以部分防止拒絕服務(wù)。管理員還可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種類型的攻擊 ,甚至發(fā)現(xiàn)攻擊的來源。這時候可以通過網(wǎng)絡(luò)管理軟件設(shè)置網(wǎng)絡(luò)設(shè)備丟棄這種類型的數(shù)據(jù)包。 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工具。使用這種工具 ,可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ＞W(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置進(jìn)行 ,如局域網(wǎng)中的一臺主機(jī)、網(wǎng)關(guān)上 ,路由設(shè)備或交換設(shè)備上 ,或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是通過監(jiān)聽截獲用戶的口令。當(dāng)前 ,網(wǎng)上的數(shù)據(jù)絕大多數(shù)都是以明文的形式傳輸 ,而且口令通常都很短 ,容易辨認(rèn)。若口令被截獲 ,黑客則可以非常容易地用此口令登錄到口令所有者的主機(jī)。對付監(jiān)聽的最有效的辦法是采取加密手段傳輸數(shù)據(jù)。 緩沖區(qū)溢出 緩沖區(qū)溢出是一個非常普遍、非常危險(xiǎn)的漏洞,在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。產(chǎn)生緩沖區(qū)溢出的根本原因在于 ,將一個超過緩沖區(qū)長度的字串被拷貝到緩沖區(qū)。溢出帶來了兩種后果 :一是過長的字串覆蓋了相鄰的存儲單元 ,引起程序運(yùn)行失敗 ,嚴(yán)重的可引起死機(jī)、系統(tǒng)重新啟動等后果。二是利用這種漏洞可以執(zhí)行任意指令 ,甚至可以取得系統(tǒng)特權(quán)。在 Unix系統(tǒng)中 ,利用 SUID程序中存在的緩沖區(qū)溢出錯誤 ,使用一類精心編寫的程序 ,可以很輕易地取得系統(tǒng)的超級用戶權(quán)限。 電子郵件攻擊 電子郵件系統(tǒng)面臨著巨大的安全風(fēng)險(xiǎn) ,它不但要遭受前面所述的許多攻擊 ,而且容易成為某些專門面向郵件的攻擊的目標(biāo)。這些專門針對郵件的攻擊有 : (1)竊取 /篡改數(shù)據(jù)。 (2)拒絕服務(wù)。 (3)病毒。 其他攻擊方式 其他的攻擊方法主要是指利用一些程序進(jìn)行攻擊 ,比如陷門、后門、程序中的邏輯炸彈和時間炸彈、病毒、特洛伊木馬程序等。陷門 (Trap Door)和后門 (Back Door)是一段非法的操作系統(tǒng)程序 ,其目的是為闖入者提供方便的入口。邏輯炸彈和時間炸彈會在滿足某個條件時或到預(yù)定的時間時發(fā)作 ,破壞計(jì)算機(jī)系統(tǒng)。特洛伊木馬程序通常會做一些用戶不希望發(fā)生的事 ,諸如在用戶不知情的情況下拷貝文件或竊取密碼。 我們知道 ,企業(yè)的電子商務(wù)系統(tǒng)是基于Inter上的 ,這方便了企業(yè)內(nèi)部之間以及企業(yè)與外部的信息交流 ,提高了工作效率。然而 ,與 Inter這樣一個世界范圍的開放網(wǎng)絡(luò)連接 ,在獲得利益的同時也要付出安全性代價。一旦企業(yè)內(nèi)部網(wǎng)連入 Inter,就意味著 Inter上的每個用戶都有可能訪問企業(yè)內(nèi)部網(wǎng)。如果沒有安全保護(hù)措施 ,黑客們可能會在企業(yè)毫無覺察的情況下進(jìn)入企業(yè)內(nèi)部網(wǎng) ,非法訪問企業(yè)的資源。安裝防火墻就是保護(hù)企業(yè)內(nèi)部網(wǎng)中信息安全的一項(xiàng)重要措施。 防火墻的基礎(chǔ)知識 (略 ) 防火墻的優(yōu)缺點(diǎn) 防火墻具有以下優(yōu)點(diǎn) : (1)保護(hù)那些易受攻擊的服務(wù)。 (2)控制對特殊站點(diǎn)的訪問。 (3)集中化的安全管理。 (4)對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)。 防火墻的構(gòu)成 防火墻的類型 目前雖然已經(jīng)出現(xiàn)多種防火墻 ,但大體上可以將之劃分為下述兩類。 包過濾防火墻 包過濾防火墻是最簡單的防火墻 ,通常只對源地址和目的地址及端口進(jìn)行檢查。其工作原理如下圖所示。 代理服務(wù)器防火墻 代理服務(wù)器技術(shù)是防火墻技術(shù)中最受推崇的一種 ,它的優(yōu)點(diǎn)在于可以將被保護(hù)的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽起來 ,增強(qiáng)網(wǎng)絡(luò)的安全性能 ,同時可實(shí)施數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等增強(qiáng)功能。其缺點(diǎn)在于需要為每個網(wǎng)絡(luò)服務(wù)專門設(shè)計(jì)、開發(fā)代理服務(wù)器軟件及相應(yīng)的監(jiān)控過濾功能 ,并且由于代理服務(wù)器具有相當(dāng)?shù)墓ぷ髁?,需專門的工作站來承擔(dān)。它的特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段 ,外部計(jì)算 機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器上 ,因此實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離 ,其安全點(diǎn)也設(shè)置于 OSI模型的應(yīng)用層。代理服務(wù)器防火墻的工作原理如下圖所示。 防火墻產(chǎn)品 Firewall1防火墻 系列防火墻 Firewall Inter Devices 系列防火墻 北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻 Gauntlet防火墻 防火墻的安全業(yè)務(wù) 導(dǎo)入案例中提到 ,攻擊程序通過緩沖區(qū)溢出錯誤使入侵者可以在網(wǎng)站服務(wù)器上用任何身份執(zhí)行任何指令。該溢出發(fā)生的時候守護(hù)進(jìn)程程序報(bào)錯 ,這表明入侵者的確是利用這個漏洞進(jìn)入系統(tǒng)的。該網(wǎng)站上的另一個中等程度的漏洞是 finger服務(wù) ,該服務(wù)暴露了這臺機(jī)器的用戶名。網(wǎng)站安全技術(shù)人員通過修改系統(tǒng)初始化文件和修補(bǔ)漏洞 ,有效地防止了同類現(xiàn)象的發(fā)生。本章介紹的信息系統(tǒng)安全防范技術(shù)特別是訪問控制技術(shù) ,能有效防范非法入侵。 本章從計(jì)算機(jī)應(yīng)用系統(tǒng)安全的角度出發(fā),對各種網(wǎng)絡(luò)操作系統(tǒng)的安全漏洞進(jìn)行了概要介紹 ,概述了計(jì)算機(jī)病毒的基本知識 ,詳細(xì)介紹了單機(jī)計(jì)算機(jī)病毒、小型計(jì)算機(jī)網(wǎng)絡(luò)病毒、大型計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范技術(shù)。黑客(入侵者 )常常利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò) ,他們往往會通過計(jì)算機(jī)系統(tǒng)漏洞來入侵。對黑客的防范是計(jì)算機(jī)網(wǎng)絡(luò)安全的一個重要部分。防火墻是在 Inter和 Intra之間構(gòu)筑的一道屏障 ,用以保護(hù) Intra中的信息、資源等不受來自 Inter中非法用戶的侵犯。使用防火墻能有效地阻止來自 Inter的侵害。 ? ? ? 。 。 ? ？簡述防火墻的優(yōu)缺點(diǎn)及構(gòu)成。 ？ 演講完畢，謝謝觀看！