【正文】 在注編輯器找HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一個(gè)名為 RestrictAnonymous 的 DWORD 值將其設(shè)為 1，如圖 42 所示圖 42 禁用空用戶連接“木馬” 防范“木馬”的概述網(wǎng)絡(luò)安全防范31特洛伊木馬是一種隱藏。 防止賬號被暴力破解黑空攻擊入侵大部分利用漏洞，通過提升管力員權(quán)限，這一切都跟賬號緊密相連。重命名系統(tǒng)管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個(gè)超過 10 位的超級復(fù)雜密碼，并對該賬號啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無所獲。如果根本不需要 tel，完全可以把它刪掉，因?yàn)樵摲?wù)實(shí)在是太危險(xiǎn)了，直接把系統(tǒng)安裝目錄中的 system32 中的 刪除掉，這樣黑客想用 tel 入侵就會非常困難了 [7] 。tel 可能是黑客常用的攻擊方式，我們可以通過修改 tel 服務(wù)端口，停用 tel 服務(wù)，甚至把 tel 控制臺管理工具刪除。要開始一個(gè) tel 會話，必須輸入用戶名和密碼來登錄服務(wù)器。終端使用者可以在 tel程序中輸入命令，這些命令會在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺上輸入一樣。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。5．軟件仿真掃描法軟件仿真技術(shù)是成功地仿真 CPU 執(zhí)行，在 DOS 虛擬機(jī)下偽執(zhí)行計(jì)算機(jī)病毒程序，安全并確定地將其解密使其顯露本來的面目，再加以掃描。網(wǎng)絡(luò)安全防范294．人工智能陷阱技術(shù)和宏病毒技術(shù)人工智能陷阱是一種監(jiān)測計(jì)算機(jī)行為的常駐或掃描技術(shù)。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的計(jì)算機(jī)病毒。除此以外，還可以用幾種專業(yè)手段來檢查：1．比較法用原始備份與被檢測的引導(dǎo)扇區(qū)或被監(jiān)測的文件進(jìn)行比較，比較時(shí)可以靠打印的代碼清除。4．文件夾無緣無故多了一些文件。2．系統(tǒng)出現(xiàn)慕名奇妙的死機(jī)或重啟。 計(jì)算機(jī)病毒的監(jiān)測和清除要知道自己的計(jì)算機(jī)中是否染有病毒，可以根據(jù)以下幾種情況來做簡單判斷。2．表現(xiàn)模塊它包括病毒觸發(fā)條件判斷和具體表現(xiàn)。計(jì)算機(jī)病毒程序病毒引導(dǎo)模塊 病毒傳染模塊 病毒表現(xiàn)模塊圖 310 計(jì)算機(jī)病毒程序組成1．引導(dǎo)模塊負(fù)責(zé)將病毒引導(dǎo)到內(nèi)存，并向系統(tǒng)中請求一定的存儲空間，對相應(yīng)的存儲空間實(shí)施保護(hù)，以防止其他程序覆蓋，并且修改系統(tǒng)的一些功能入口，在這些入口處引導(dǎo)病毒傳染模塊和病毒實(shí)現(xiàn)模塊。 計(jì)算機(jī)病毒的組成和分類經(jīng)對目前出現(xiàn)的計(jì)算機(jī)病毒的分析發(fā)現(xiàn)，所有計(jì)算機(jī)病毒都是由三部分組成的，即病毒引導(dǎo)模塊、病毒傳染模塊和病毒表現(xiàn)模塊。圖 39 數(shù)據(jù)信封技術(shù)計(jì)算機(jī)病毒就是能夠通過某種途徑潛伏在計(jì)算機(jī)存儲介質(zhì)里，當(dāng)達(dá)到某種條件時(shí)，即被激活的具有對計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼稱之為數(shù)字信封。圖 38 非對稱密鑰體系的加密與解密RSA 算法的原理是數(shù)論的歐拉原理：尋求兩個(gè)大的素?cái)?shù)容易，將它們的乘積分解開及其困難，具體做法是：選擇兩個(gè) 100 位的十進(jìn)制大素?cái)?shù) p 和 q，計(jì)算出它們的積 N=pq,將 N 公開；再計(jì)算出 N 的歐拉函數(shù)，Φ（N）=(p1)*(q1),定義Φ（N）為小于等于 N 且與 N 互素的數(shù)個(gè)數(shù)；然后，用戶從 [0, Φ（N ）1] 中任選一個(gè)與 Φ（N）互素的數(shù) e，同時(shí)根據(jù)下式計(jì)算出另一個(gè)數(shù) d: ed=1 modΦ（N ）這樣就產(chǎn)生了一對密鑰：pk=（e,N ）,sk=(d,N ).若用整數(shù) X 表示明文，Y 表示密文，則有，加密：Y= Xe modN；解密：X=Ye modN。加密過程 解密過程校園網(wǎng)絡(luò)安全技術(shù)與策略26圖 37 DES 加密過程 非對稱密鑰體系非對稱加密技術(shù)將加密和解密分開并采用一對不同的密鑰進(jìn)行。加密算法可以公開，而密鑰只能由通信雙方來掌握。利用密碼技術(shù)，在信源和通信信道之間對報(bào)文進(jìn)行加密，經(jīng)過信道傳輸，到信宿接收時(shí)進(jìn)行解密，以實(shí)現(xiàn)網(wǎng)絡(luò)通信保密，加密與解密過程如圖 35 所示明文 密文 密文 明文圖 35 加密與解密過程常加密算法為：C=Ek(M)。在設(shè)計(jì)加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質(zhì)是非常大的數(shù)，密鑰大小用位表示。從數(shù)學(xué)的角度來看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱為對稱密碼體制。密碼體制是指一個(gè)系統(tǒng)所采用基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密/解密算法和密鑰。 數(shù)據(jù)加密原理 數(shù)據(jù)加密是通過某種函數(shù)進(jìn)行變換，把正常數(shù)據(jù)包文（稱為明文或明碼）轉(zhuǎn)換為密文（密碼） 。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個(gè)接口供對方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。所以，目前還沒有廠商做到這一步，仍處于理論研究階段。所有通過的包不僅要接受防火墻檢測規(guī)則的驗(yàn)證，還需要經(jīng)過入侵檢測，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷，這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。 入侵檢測與防火墻實(shí)現(xiàn)聯(lián)動防火墻與入侵檢測這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。如果能將入侵檢測系統(tǒng)的功能合理地分配給各個(gè)代理，就能大大減少系統(tǒng)失效的風(fēng)險(xiǎn)。由于代理是獨(dú)立的功能實(shí)體，在一個(gè)多代理系統(tǒng)中，單個(gè)的功能代理能夠增加到系統(tǒng)中去或從系統(tǒng)中刪除，并且能夠?qū)δ硞€(gè)代理進(jìn)行重配置，而不會影響到系統(tǒng)的其它部分。代理可以針對特定的應(yīng)用環(huán)境進(jìn)行配置和編程，使得代理占用負(fù)載最小。代理既能獨(dú)立地完成自己的工作，又能與其它代理協(xié)作共同完成某項(xiàng)任務(wù)，且代理能夠接受控制并能感知環(huán)境的變化而影響環(huán)境。 代理(Agent)技術(shù)代理(Agent) 是指能在特定的環(huán)境下無須人工干預(yù)和監(jiān)督完成某項(xiàng)工作的實(shí)體。入侵檢測系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比較密切的關(guān)系:信息處理與通訊模塊，是對所收集到的數(shù)據(jù)進(jìn)行預(yù)處理和分類，然后把處理的結(jié)果按照一定的格式傳輸給檢測判斷模塊。圖 34 簡單的入侵檢測系統(tǒng)入侵檢測系統(tǒng)的基本任務(wù)：通過實(shí)時(shí)檢測網(wǎng)絡(luò)系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產(chǎn)生報(bào)警。為此目的而設(shè)計(jì)的系統(tǒng)稱為入侵檢測系統(tǒng)。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計(jì)算量很大，對系統(tǒng)的處理性能要求很高。由此可見，異常檢測技術(shù)難點(diǎn)是“正?！毙袨樘卣鬏喞拇_定、特征量的網(wǎng)絡(luò)安全問題解決對策23選取、特征輪廓的更新。閾值設(shè)定得過大，那漏警率會很高；閾值設(shè)定的過小，則虛警率就會提高。采用異常檢測的關(guān)鍵問題有如下兩個(gè)方面：2．誤用檢測（1）特征量的選擇在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測，是一種間接的方法。其基本前提是：假定所有的入侵行為都是異常的。根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測和誤用人侵檢測。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。統(tǒng)計(jì)分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性。常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。 入侵檢測系統(tǒng) 入侵檢測系統(tǒng)功能構(gòu)成，包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分如圖 33 所示。表 34 狀態(tài)檢測技術(shù)工作情況 入侵檢測技術(shù)僅僅依賴防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問題，安全廠商提出了建立入侵檢測系統(tǒng)的解決方法。3．狀態(tài)檢測技術(shù)此技術(shù)工作在 IP/TCP/應(yīng)用層，它結(jié)合了分組過濾和代理服務(wù)技術(shù)的特點(diǎn)，它同分組過濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡(luò)安全策略。2．代理服務(wù)技術(shù)以一個(gè)高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，在代理服務(wù)器上進(jìn)行安全檢查后，再與被保護(hù)的應(yīng)用服務(wù)器連接，使外部用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)的服務(wù)，如圖 32 所示。校園網(wǎng)絡(luò)安全技術(shù)與策略20表 33 分組過濾技術(shù)工作特點(diǎn)輸入數(shù)據(jù)流過濾一般基于一個(gè) IP 分組的以下各域：第一、源/目的 IP 地址；第二、TCP/UDP 源/目的端口。1．分組過濾技術(shù)實(shí)際上是基于路由器技術(shù)，它通常由分組過濾路由器對 IP 分組進(jìn)行分組選擇，允許或拒絕特定的 IP 數(shù)據(jù)包，工作于 IP 層。有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全，其一般邏輯位置如圖 31 所示。 防火墻的工作原理從防火墻的作用可以看出，防火墻必須具備兩個(gè)要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)通。 防火墻的分類網(wǎng)絡(luò)安全問題解決對策19防火墻的分類有很多種。（4）防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。（2）可以強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有的安全軟件配置在防火墻上，體現(xiàn)集中安全管理更經(jīng)濟(jì)。 防火墻的基本概念和作用防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合，它執(zhí)行預(yù)先制定的訪問控制策略，決定了網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的訪問方式。信息流分直接的和間接的兩種。2．常用安全模型是一種多級安全模型，即它所控制的信息分為絕密、機(jī)密、秘密和無密 4 種敏感級。 安全等級標(biāo)準(zhǔn)模型計(jì)算機(jī)信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等三類模型，它們是定義計(jì)算機(jī)信息系統(tǒng)安全等級劃分標(biāo)準(zhǔn)的依據(jù)。這5 個(gè)級別的安全強(qiáng)度從低到高排列讓高一級包括低一級的安全能力，如表 32 所示。所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的 每一步安裝操作都必須有正式文檔。對系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。A1類與 B3 類相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。4．A 類安全等級 A 系統(tǒng)的安全級別最高。（2）身份驗(yàn)證 B3 系統(tǒng)在進(jìn)行任何操作前，要求用戶進(jìn)行身份驗(yàn)證。B3 系統(tǒng)必須設(shè)有安全管理員。B3 系統(tǒng)必須符合 B2 系統(tǒng)的所有安全需求。另外，B2 系統(tǒng)的管理員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制。安全級別 名 稱 說明D1 酌情安全保護(hù) 對硬件和操作系統(tǒng)幾乎無保護(hù)，對信息的訪問無控制C1 自選安全保護(hù) 由用戶注冊名和口令的組合來確定用戶對信息的訪問權(quán)限B1 被標(biāo)簽的安全性保護(hù) 為強(qiáng)制性訪問控制，不允許文件的擁有者改變其許可權(quán)限B2 結(jié)構(gòu)化保護(hù) 要求對計(jì)算機(jī)中所有信息加以標(biāo)簽，并且對設(shè)備分配單個(gè)或多個(gè)安全級別B3 安全域保護(hù) 使用安全硬件的方法來加強(qiáng)域的管理終端與系統(tǒng)的連接途徑可信任A 核實(shí)保護(hù) 系統(tǒng)不同來源必須有安全措施必須在銷售過程中實(shí)施校園網(wǎng)絡(luò)安全技術(shù)與策略16B1 系統(tǒng)滿足下列要求：系統(tǒng)對網(wǎng)絡(luò)控制下的每個(gè)對象都進(jìn)行靈敏度標(biāo)記；系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)迫訪問控制的基礎(chǔ)；系統(tǒng)在把導(dǎo)入的、非標(biāo)記的對象放入系統(tǒng)前標(biāo)記它們；靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對象的安全級別；當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或 I/O 設(shè)備時(shí)，管理員必須指定每個(gè)通信通道和 I/O 設(shè)備是單級還是多級，并且管理員只能手工改變指定；單級設(shè)備并不保持傳輸信息的靈敏度級別；所有直接面向用戶位置的輸出（無論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對象的靈敏度；系統(tǒng)必須使用用戶的口令或證明來決定用戶的安全訪問級別；系統(tǒng)必須通過審計(jì)來記錄未授權(quán)訪問的企圖。B 類系統(tǒng)具有強(qiáng)制性保護(hù)功能。C2 系統(tǒng)具有 C1 系統(tǒng)中所有的安全性特征。C2 系統(tǒng)比 C1 系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。C1 系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制（ Trusted Computing Base 即 TCB）通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。2．C 類安全等級該類安全等級能夠提供審慎的保護(hù)，并為用戶的行動和責(zé)任提供審計(jì)能力。D1 系統(tǒng)只為文件和用戶提供安全保護(hù)。其中 D 級是沒有安全機(jī)制的級別，A1 級是難以達(dá)到的安全級別，如表 31 所示網(wǎng)絡(luò)安全問題解決對策15表 31 網(wǎng)絡(luò)安全等級及安全級別的性能要求下面對下各個(gè)安全級別進(jìn)行介紹：1．D 類安全等級D 類安全等級只包括 D1 一個(gè)級別。而國外同標(biāo)準(zhǔn)的是美國國防部在 1985 年 12 月公布的可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn) TCSEC(又稱桔皮書 )。保證網(wǎng)絡(luò)安全還需嚴(yán)格的手段，未來網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生三件事，其一是向更高級別的認(rèn)證轉(zhuǎn)移；其二，目前存儲在用戶計(jì)算機(jī)上的復(fù)雜數(shù)據(jù)將“向上移動” ，由與銀行相似的機(jī)構(gòu)確保它們的安全；第三，是在全世界的國家和地區(qū)建立與駕照相似的制度，它們在計(jì)算機(jī)銷售時(shí)限制計(jì)算機(jī)的運(yùn)算能力，或要求用戶演示在自己的計(jì)算機(jī)受到攻擊時(shí)抵御攻擊的能力 [3]。網(wǎng)絡(luò)進(jìn)化的未來—綠色網(wǎng)絡(luò)—呼喚著新的信息安全保障體系。5．安全策略數(shù)據(jù)庫校園網(wǎng)絡(luò)安全技術(shù)與策略14保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。3．安全協(xié)作是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安