【正文】 常的服務(wù)。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。而分布式拒絕服務(wù)（ DDoS:Distributed Denial of Service） 攻擊是借助于客戶 /服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動 DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。代理程序收到指令時就發(fā)動攻擊 。 而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。計算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到 DDoS攻擊的系統(tǒng)都沒有及時打上補丁。這是為了確保管理員知道每個主機(jī)系統(tǒng)在 運行什么？ 誰在使用主機(jī)？ 哪些人可以訪問主機(jī)？ 不然，即使黑客 侵犯了系統(tǒng)，也很難查明。 4. 確保運行在 Unix上的所有服務(wù)都有 TCP封裝程序，限制對主機(jī)的訪問權(quán)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。 SSH不會在網(wǎng)上以明文格式傳遞口令，而 Tel和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。這張圖應(yīng)該詳細(xì)標(biāo)明 TCP/IP地址、主機(jī)、路由器及 其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（ DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。大多數(shù)時間是由于防火墻配置不當(dāng)造成運城職業(yè)技術(shù)學(xué)院 13 屆畢業(yè)設(shè)計說明書 第 16 頁 共 29 頁 的，使 DoS/ DDoS攻擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機(jī)安全收到了威脅。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 防火墻的選擇 總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（ TCO）不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也不應(yīng)該考慮在內(nèi)。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。好的產(chǎn)品應(yīng)該留給用戶 足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進(jìn)一步增加選擇的余地。 加密技術(shù) 信息交換加密技術(shù)分為兩類 :即對稱加密和非對稱加密 . 對稱加密技術(shù) 在對稱加密技術(shù)中 ,對信息的加密和解密都使用相同的鑰 ,也就是說一把鑰匙開一把鎖 .這種加密方法可簡化加密處理過程 ,信息交換雙方都不必彼此研究和交換專用的加密算法。對稱加密技術(shù)也存在一些不運城職業(yè)技術(shù)學(xué)院 13 屆畢業(yè)設(shè)計說明書 第 19 頁 共 29 頁 足，如果交換一方有 N個交換對象，那么他就要維護(hù) N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。 非對稱加密技術(shù) 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。 RSA 算法 RSA算法是 Rivest、 Shamir和 Adleman 于 1977年提出的第一個完善的公鑰密碼體制。在 RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。 運城職業(yè)技術(shù)學(xué)院 13 屆畢業(yè)設(shè)計說明書 第 20 頁 共 29 頁 解密： m=cd(mod n) 利用目前已經(jīng)掌握的只是和理論，分解 2048bit的大整數(shù)已經(jīng)超 過了 64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。由 CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該 CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。構(gòu)建一個具有較強(qiáng)安全性的 CA是至關(guān)重要的，這不僅與 密碼學(xué)有關(guān)系，而且還與整個 PKI系統(tǒng)的構(gòu)架和模型有關(guān)。 RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。 密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù) ，也是關(guān)系到整個 PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。可能包括工作變動到對密鑰懷疑等一系列原因。 運城職業(yè)技術(shù)學(xué)院 13 屆畢業(yè)設(shè)計說明書 第 22 頁 共 29 頁 第五章 安全技術(shù)的研究 安全技術(shù)的研究現(xiàn)狀和方向 我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。根據(jù)防火墻所采用的技術(shù)不同，將它分為 4 個基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT、代理型和監(jiān)測型。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險 站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。 運城職業(yè)技術(shù)學(xué)院 13 屆畢業(yè)設(shè)計說明書 第 24 頁 共 29 頁 包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入。代理服務(wù)器位于客戶機(jī) 與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。 代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。 實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。正是由于應(yīng)用網(wǎng)關(guān)的這些特點，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。 二、建立專門的標(biāo)準(zhǔn)機(jī)房 ,放置網(wǎng)絡(luò)服務(wù)器 ,配備 8 小時以上的 UPS,及足夠功率的空調(diào)。 四、網(wǎng)絡(luò)服務(wù)器性能穩(wěn)定、安全性好。 五、網(wǎng)絡(luò)服務(wù)器由技術(shù)人員管理維護(hù) ,每天負(fù)責(zé)看系統(tǒng)日志 ,隨時解決可能出現(xiàn)的異常問題。 七、網(wǎng)絡(luò)信息管理系統(tǒng)建立雙機(jī)熱備份機(jī)制，一旦主系統(tǒng)遇到故障或受到攻擊導(dǎo) 致 不 能 正 常 運 行 ， 保 證 備 用 系 統(tǒng) 能 及 時 替 換 主 系 統(tǒng) 提 供 服 務(wù) 。 九、網(wǎng)絡(luò)提供集中式權(quán)限管理，針對不同的應(yīng)用系統(tǒng)、終 端、操作人員，由網(wǎng)站系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限，并設(shè)置相應(yīng)的密碼及口令。對操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定，并由網(wǎng)絡(luò)系統(tǒng)管理員定期檢查操作人員權(quán)限。 十一、后臺管理界面須設(shè)置超級用戶名及密碼 ,并綁定 IP,以防他人登入。 十三、工作人員采集信息必須嚴(yán)格遵守國家的有關(guān)法律、法規(guī)和相關(guān)規(guī)定。密制度 ,未經(jīng)允許不得向他人泄露 結(jié)束語 互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃 上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應(yīng)該結(jié)合現(xiàn)在網(wǎng)絡(luò)發(fā)展的特點，制定妥善的網(wǎng)絡(luò)安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點，讓它為我們的工作和現(xiàn)代化建設(shè)做出更