PPT
【文档说明】计算机网络安全管理设计规范.pptx,共(154)页,729.878 KB,由精品优选上传
转载请保留链接:https://www.ichengzhen.cn/view-267348.html
以下为本文档部分文字说明:
第10章网络安全技术设计第10章网络安全技术设计10.1网络中存在的安全问题10.2网络安全设计小结习题与思考第10章网络安全技术设计10.1网络中存在的安全问题10.1.1网络安全的主要问题计算机网络对人类经济和生活的冲击是其他信息载体所无法比拟的,它的高速发展和全方位渗透,推
动了整个社会的信息化进程。特别是风靡全球的Internet(国际互联网,因特网),更令人叹为观止。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点,因此增加了网络的实用性,同时也不可避免地带来了系统的脆弱性,使其面临严重的安全问题。第10章网
络安全技术设计在广域网中,包括多种机型,任何一个节点受到侵害,都将对整个网络造成危害;在互联网中,体系结构的开放性给系统互连带来了方便,同时由于开放性是透明的,从而给有意攻击网络系统安全的人也增加了更多机会;系统实现共享是网络的一大优点,但共享恰恰与安全保密相对立,
非法用户很容易利用共享的特点获得信息,或有意破坏共享资源以及使整个网络遭受损害;等等。总之,计算机网络技术的普及和随之而来的网络安全问题将使得计算机网络安全保护变得越来越重要。第10章网络安全技术设计对计算机网络来说,计算机系统本身的脆弱性和通信设施的脆弱性,共同构成
了对计算机网络潜在的威胁,主要有以下几个方面。1)自然因素u自然灾害:包括地震、雷电、水灾、风灾等不以人们意志为转移的自然灾害。u自然环境:温度、湿度、灰尘度和电磁场等。第10章网络安全技术设计2)意外事故停电、火灾等不可预见的意外事故。3)人为的物理破坏u非故意:误操作、失误、失职等人为疏忽而
造成的事故。u故意:未经系统授权,非法地对计算机网络系统的资源进行窃取、复制、修改和毁坏。第10章网络安全技术设计4)计算机病毒网络技术的发展,使得计算机病毒可通过国际互联网传播,从而大大加速了电脑病毒
的传播速度和扩大了传播范围。计算机病毒不仅会发生在Windows或DOS系统,而且也会发生在UNIX等系统上,震惊整个计算机界的“蠕虫”病毒即发生在UNIX系统上。计算机病毒技术也正朝着智能化、网络化发展。病毒由许多不
同功能的组件构成,它不仅可分布在同一台计算机上,也可分布在网络系统的其他计算机上;病毒既可分布在局域网上,也可分布在广域网上。因此,我们要对网络化电脑病毒传播和威胁引起足够的重视。第10章网络安全技术设计5)网络协议分析软件网络协议分析软件可以用来排除各种网络故障,监视网络系统,防止黑客的侵
入,同时它也可以被黑客用来截获并分析网络通信中的所有数据,从而对网络的安全造成极大威胁。好的网络协议分析软件可用于分析OSI网络七层模型的每一层的数据包,它既可用于分析广域网如DDN、帧中继、X.25的数据包,也可
用来分析局域网如以太网、令牌环网、FDDI等的数据包;它既可用于分析TCP/IP协议,也可用来分析IBMSNA、NETBIOS等协议;它既可用于分析FTP、TELNET、RLOGIN等应用层的协议,也可用来分析RIP、
OSPF等路由协议。虽然这些网络协议分析软件的功能异常强大,但并不要求使用者对计算机或网络通信协议有深入的了解。即对于普通的电脑用户,也可通过网络协议分析软件来截取网络上的各种数据,这无疑对网络系统的安全问题提出了更高的要求。第10章网络安全技术设计6)电脑黑客及其
攻击现在,黑客在国际互联网上的攻击活动十分频繁,他们利用Internet的内在缺陷和管理上的一些漏洞非法进入网络系统,修改或毁坏网络系统中的重要数据等。网络的开放性决定了它的复杂性和多样性,随着技术的不断进步,各种各样高明
的黑客还会不断出现,同时,他们使用的手段也会越来越先进。第10章网络安全技术设计10.1.2网络系统安全采用的主要技术1.网络安全等级各种不安全因素的存在,说明一个绝对安全的计算机和网络是不存在的。1985年底,美国国防部发表的《可信计算机系统评估准则》(TC
SEC,即众所周知的桔皮书)中指出:任何人都不能简单地说一台计算机是安全还是不安全的。它依据处理的信息等级和采取相应对策划分每一个安全等级。安全等级分为4类7级,依照各类级安全要求从低到高,依次为D、C1、C2、B1、B2、
B3、A1级。字母A到D分别代表了4种不同的安全级别,每一个安全级别中,可用一个数字来进一步细分这一级别。第10章网络安全技术设计D级为安全性最低一级,DOS是一个具有代表性的D1级操作系统,DOS根本没有安全性保证,任何坐
在计算机前的人都可以存取系统中的任何文件。DOS无“所有权”和“许可权”的概念,所有的文件都被当前用户所拥有。C1级操作系统比D级具有更多的安全性,并具有一种提供安全性的方法。在标准UNIX中,只有“登录”、“口令”和“文件所有权”这些概念代表C1级别安全。第10章网络安全技术设计
C2级别比C1级别安全性略高。许多UNIX系统,如著名的SCOUNIX就允许这些附加的功能,因此完全被授予C2级。DEC公司的VAX/VMS操作系统被确认为C2级,微软的Windows服务器版本的安全级别也是C2级。B级属于强制式保护(Man
datoryProtection)。该等级的安全特点在于由系统强制的安全保护,在强制式保护模式中,每个系统对象(如文件、目录等资源)及主题(如系统管理员、用户、应用程序)都有自己的安全标签(SecurityLabel),系统即依据用户的安全等级赋予他对各对象的访问权限。第10章网络安全技术
设计A级也叫可验证之保护(VerifiedProtection),是定义的最高等级。这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求,合格的安全个体必须分析并通过这一设计。另外,必须采用严格的形式化方法来证明该系统的安全性。而且在A级,所有构成系统的部件
的来源必须有安全保证,这些安全措施还必须担保在销售过程中这些部件不受损害。例如,在A级设置中,一个磁带驱动器从生产厂房直至计算机房都被严密跟踪。第10章网络安全技术设计2.网络安全策略面对网络的种种威胁,为最大限度地保护网络中的敏感信息,各行业应采取有效的安全对策来确保网络系
统的安全运行,不论采用安全管理、安全机制,还是从开发网络体系结构的高度进行规划,均应考虑如下一些原则:(1)需求、风险、代价平衡分析。任何网络的安全都是相对的,没有一个网络系统是绝对安全的,威胁本身所要付出的代价、威胁可能带来
的风险以及对抗威胁所花费的成本是安全系统设计折衷的三个方面,通常采用的策略是风险最大可容忍原则。一个不付出任何代价的安全策略是不存在的。第10章网络安全技术设计(2)综合性和整体性。这是从系统综合的整体角度看待和分析网络系统的安全性,从而采取有效可行的防范措施。(3)安
全措施公开。保密是基于一系列易于保护的密钥和通行字,这样攻击者即使获得一个密码设施,由于没有密钥也是毫无办法,因此建议安全设施的设计与操作公开化。(4)特权分散。网络系统中每个应用程序、系统程序及管理人员只具有操作
完成某项任务所必需的最小特权设施,这样一旦出现问题可将损失减少,以寻求用户对其最小依赖。(5)易操作性。降低操作的复杂性,减少对系统安全所造成的人为危害也是重要的一个方面。第10章网络安全技术设计3.网络安全措施(1)安全管理
。安全管理包括法律制度的健全以及管理制度和道德规范的约束。1994年我国颁布的《中华人民共和国计算机信息系统安全保护条例》标志着我国整个计算机安全工作已走上规范化、法制化的道路。(2)防火墙技术。Internet的防火墙技术目前已比较成熟,简单的防火墙
技术可在路由器上直接实现,而专用防火墙可提供更加可靠的网络安全控制方法。第10章网络安全技术设计(3)数据加密技术。信息保密是网络安全中关键的一环,数据被发送到网络之前,数据的加密和解密是不可忽视的安全问题,密码技术广泛用于防止传输中的信息和记录存储的信息不被窃取、修改和伪造,
还可以识别双方的真实性,许多实用程序也可使数据加密。(4)利用子网。在网络设计时,把庞大的网络划分成若干个部分,每部分配一个系统管理员,每个管理员对有限个本地用户和主机负责。而作为一个整体来观察网络时,可令外人不知所措,安全性即体现在这上面。同时,当这个网络被分成若
干可管理的部分时,每一个任务就更小并更便于控制。第10章网络安全技术设计(5)更换口令。在系统内使用口令进行身份验证时,应采取恰当的保密措施防止口令字的泄露,同时不能总使用相同的口令。修改越频繁,就越频繁地阻止了那些试图猜测口令而成为入侵者的人。口
令的设计可采用大小写敏感、字母数字特殊、字符混合编排等等。第10章网络安全技术设计4.安全审计安全审计是对网上用户的行为监督管理,对计算机的工作过程进行详尽的跟踪,记录用户活动,记录系统管理,监控和捕捉各种安全文件,维护管理审计记录和审
计日志。如多次使用错误的口令试图进入系统,试图越权对某些程序或文件进行操作,审计跟踪可对这些操作时间、终端号及其他有关信息进行定位,以便发现和解决系统中出现的安全问题。第10章网络安全技术设计10.2网络安全设计
10.2.1访问控制技术1.访问控制概念1)访问控制原理访问控制涉及到限制合法用户的行为。这种控制是通过一个参考监视器来进行的。每一次用户对系统内目标进行访问时,都由它来进行调节。用户对系统进行访问时,参考监视器便于查看授权数据库,以确定准备进行操作的用户是否
确实得到了可进行此项操作的许可。而数据库的授权则是由一个安全管理器负责管理和维护,管理器以组织的安全策略为基准来设置这些授权。用户还能够修改该授权数据库的一部分,例如,为他们个人的文件设置授权,审计对系统中的相关行为进行管理并做下记录。第10章网络安全技术设计严格区分鉴别和访问控制是很重要的。正确
建立用户的身份是鉴别服务的责任;而访问控制则假定在通过参考监视器实施访问控制前,用户的身份就已经得到了验证。因此,访问控制的有效性取决于对用户的正确识别,同时也取决于参考监视器正确的授权管理。第10章网络安全技术设计但是访问控制并不能完全解决系统的安全问题,它还必须与审
计结合起来。审计控制是指对系统中所有的用户需求和行为进行后验分析。它要求所有的用户需求和行为都必须登记(存入),以便以后对它进行分析。审计控制既是一种强有力的威慑力量(用户如果知道它们的行为正被监视,那么就会收敛违法
行为),也可作为一种有效的手段,分析用户的行为、发现可能进行或已经实施的违法行为。而且,审计对于确定安全系统中可能存在的缺陷也很重要。除此之外,它还能确保被授权的用户不滥用其特权。第10章网络安全技术设计在访问控制系
统中,策略与机制有着一定的区别。策略是高层次的,它决定着如何对访问进行控制;而机制则具体到完成一个策略的低层软件和硬件功能。安全研究人员开发了访问控制机制,它基本上独立于使用的策略。这使得机制可以在安全保密服务中重复使用。通常,可在实现机密性、完整性或可
用性上使用同一机制。而安全策略则五花八门、多种多样,令系统实施者不知何去何从。第10章网络安全技术设计但并不是所有的系统都有着同样的受保护的要求,适合这个系统的策略并不一定适合其他的系统。例如极严格的访问控制策略,它对某些系统可能至关重要,但对于用户更大更灵活的环境也许就不适
合了。对访问控制的选择取决于保护环境的独有特性。第10章网络安全技术设计2)访问矩阵安全专业人员近年来在访问控制方面已形成了一系列观念,其中最基本的一点就是认识到了所有由计算机系统控制的资源都可以表示为数据而存储在客体(如文件)中。因此,对客体的保护就是最关键的要
求,它可简化对计算机系统控制的其他资源的保护(当然,这些资源还应得到物理保护)。第10章网络安全技术设计系统中的行为是由称为主体的实体进行的,主体一般是用户或以用户名义执行的程序。而用户可以作为不同的主体,在什么情况下向系统登记,则取决于用户在特定会话
中希望使用什么样的特权。例如,一个执行两种方案的用户可以以任何一个方案的名义登记。这样,与此用户对应的主体就有两个,它取决于用户正在执行哪一个方案。主体自身也可以成为客体,主体还可创造许多“子主体”来完成任务。“子主体
”可以在网络中的不同计算机上执行,而“母主体”则用来中止或结束其“子主体”。某一操作的始发者可以成为另一操作的目标这种现象,正符合主体可以成为客体的事实(在网络说法中,主体有时叫始发者,而客体有时叫目标)。第10章网络安全技术设计主客体的区别是访问控制的基本问题。主体产生对客体的行为或操作。这些
行为根据系统中的授权而得到允许或拒绝。这种许可是以访问权或访问方式的形式表示的。访问权的含义取决于上述客体。对文件来说,典型的访问就是读、写、执行和所有。而所有权则是指谁能改变文件的访问权。客体,如银行账目
,可根据对账目的基本操作拥有相应的访问权,如询问、信贷和记账等。这些操作应由应用程序来执行。但对于文件来说,这些操作一般由操作系统来执行。第10章网络安全技术设计访问矩阵是规定主体对客体应拥有何种权利的概念性模型。每一个主体一行,客体一列。矩阵中每一单元规定了
每一行的主体对这一列的客体可进行的访问。访问控制的主旨就是保证只有访问矩阵允许的操作才能进行。这是通过参考监视器来完成的。访问矩阵模型对鉴别和授权的问题进行了严格的区分。账目的访问权说明了如何在应用程序实施的抽象中控制访问。
“询问”类似于读的过程,在这个过程中它可以检索信息但无法改变信息。信贷和记账操作都要读以前的账目差额,做适当校对后再重新写入。进行这些操作就要求对账目数据的读写访问。但不允许用户直接读写账目客体,因此他们只能通过执行信贷和记账操作的应用程序间接地控制账目客体。第10章网络安
全技术设计2.访问控制的实施1)访问控制单实现访问矩阵最广泛使用的一种方法就是访问控制单(ACL,AccessControlTable,亦称访问控制表)。每个客体都与一个ACL联系,这个表说明了系统中每个主体都可以对客体进行的访问。这种方法表示将矩阵以列的方式存储。通过AC
L,我们可以显而易见地看出访问主体可以对客体进行的访问方式。而要取消对客体的访问权也很容易,只需用空白的ACL代替现有的ACL。但另一方面,在ACL中要确定一个主体的全部访问权就比较困难。必须检验系统中每个客体的ACL,主体才能访问。同样,如果主体要撤消所有访问,那么也要逐一审查ACL。第1
0章网络安全技术设计许多系统允许集团的名称出现在ACL中。比如(ISSE,R)就可以允许所有ISSE集团的成员读某个文件。几个常用的操作系统,如UNIX和VMS,对ACL进行了简化,使其中只有少数的,一般只有一个或两个集团的名称,而个人主体的名称是不允许的。这样,ACL的规模就很小,
用几个比特就可以将其存储起来。另一个极端就是有许多访问控制组,允许ACL中有复杂的规则来限制何时、如何进行访问。这些规则适用于个别用户或者符合某一格式的所有用户,这种格式是以用户名称或其他用户标志来定义的。第10章网络安全技术设计2)性能表性能表是与ACL相对的另
一种方法。每个主体都与一个表格(性能表)相联系,此表说明了主体可以对哪个客体进行访问。这种方法表示以行来存储访问矩阵。在性能表方法中,通过某个主体进行访问相当方便,只要查看主体的性能表就行了。但是,要确定访问某客体的所有主体则需要察看每个主体的性能单。20世纪70年代开发了许多使用
性能单的计算机系统,但经济收效甚微,而现代操作系统通常采用ACL。第10章网络安全技术设计将ACL与性能表结合起来也是可能的。一个主体只需一个性能表就足以获得所有的授权访问。在一个分散系统中,这种方式的优越性是不要求对主体进
行重复鉴别。也就是允许对主体鉴别一次,就可以获得性能表,然后用这些性能表从系统中不同的服务器上获得服务。接着,服务器再用ACL来提供更细致的访问控制。第10章网络安全技术设计3)授权关系ACL和性能表在进行访问审阅时有着各自的优
缺点。而有些访问矩阵的表示则不偏向于任何一种方法。如果用主体分类,就可得到性能表;若用客体分类,则可得到ACL。有联系的数据管理系统通常使用这种表示法。第10章网络安全技术设计3.访问控制策略1)自由访问控制策略自
由访问控制策略控制了用户对信息的访问。其依据是用户的身份和授权(或规则),并为系统中每位用户(或用户组)和客体规定了用户允许对客体进行访问的方式(如读、写或执行)。每个用户对客体进行访问的要求都要经过规定授权的检验。如果授权中允许用
户以这种方式访问客体,则访问就可以得到许可;否则就不予许可。自由访问控制策略的弹性使它们适合于多种系统及应用。因此它们被广泛使用,尤其是在商业和工业环境中。第10章网络安全技术设计然而,自由访问控制也有不足之处:不能真正提供对系统中信息流的保护。因为要绕过授权中的访问限制是轻而易举的。例
如,一位能读的用户就可在不被数据所有者察觉的情况下将它传送给未授权的其他用户。主要原因是该策略在用户接收信息时并不对信息的使用施加任何限制,即信息传播不受限制。相反,在强制性系统中就会限制信息传播。第10章网络安全技术设计建立在明确规定的授权之上的
自由访问控制策略称为是“关闭”的,其中参考监视器做出的违约判断是否定的。另一种“开放”策略与之相似,也规定“否决”而非“允许”。在这种情况下,对系统中的每个用户和客体,都规定了用户禁止采用的访问方式。用户提出的访问要求都必须经过规定授权的检验,只有在没有否决访问授权时,这个要求才被许可。肯定和否定
授权的使用还可以结合起来,既规定用户许可的访问,也规定用户不能进行的访问。第10章网络安全技术设计2)强制性策略强制性策略是在将系统中的主体和客体分类的基础上进行控制访问。系统中的每位用户和客体都属于某一安全级别。客体的安全级别反映了其中信息的敏感性,即对信息未
经许可的泄露将导致的损害。用户的安全级别还反映了用户的可靠性,凭借这种可靠性该用户不会把敏感信息泄露给不允许获得该信息的用户。简而言之,安全级别就是等级组中的一个元素。在军队、民间以及政府中,这个等级组一般包括绝密(TS)、机密(C)、秘密(
S)和非保密(U),每一个保密级别都控制本级及其以下的级别。第10章网络安全技术设计主体对客体的访问只有在其所处的安全级别符合某种关系时才被允许。特别是要满足以下两个原则:u向下取读——主体的安全级别必须高于所读客体的安全级别;u向上写入——主
体的安全级别必须低于所写客体的安全级别。满足了这两个原则,才能防止高级客体中的信息流入低层客体。在这样的系统中,信息只能向上或在同等安全级中流动。第10章网络安全技术设计了解用户和主体的关系相当重要。假设用户Jane的安全级别为S,并假设她一直作为S主体在系统登记
。Jane的主体根据向下取读规则就不能读TS和C客体。而向上写入规则初看起来似乎有两个地方也与常规相背。首先,Jane的主体可以写TS和C客体(尽管不能读)。特别是它们能改写现有的TS和C数据从而进行毁坏。因此,许多采用强制性访问控制
的系统都不允许向上写入,并限制同级写入。同时,向上写入允许Jane的S主体向TS或C主体发送E-mail并获得收益。第10章网络安全技术设计其次,Jane的S主体不能写U数据。这就意味着,Jane不能向U用户发送E-mail。这与理论正好
相反,理论上S用户可以向U用户写入记录。这种看似矛盾的问题实际上也很好解决,只要允许Jane在系统中作为U主体进行登记就行了。当进行会话时,她就能向U主体发送E-mail了。第10章网络安全技术设计换而言之,用户可以作为其安全级别或该级别以下的任何级别的主体在系统中
进行登记。那么,为什么还要制定向上写入规则呢?主要原因是为防止破坏性软件将S中的秘密泄露给下面的U中。用户虽不会泄露这些信息,但不能保证他们执行的程序也不泄露。比如在系统中的某一级登记,在这一级她的主体不能读S主体,因而不能把数据从S泄露到U中。而
向上写入规则也使用户不可能无意将信息从高级泄露给低级。除了安全等级,还可将主体和客体目录进行划分。在这种情况下,每个主体和客体的分类标签是由安全级别和一套目录组成的。用户目录反映了用户进行操作的特定领域,而
客体目录则反映了客体中的信息所对应的领域。主体只能进行实施其职责的访问。这种做法使条理更清晰。第10章网络安全技术设计强制性访问控制也适用于信息完整性的保护。例如,完整性级别可以是关键(C)、重要(I)和未定(U)。客体的完整性级别反映了用户插入
、修改或删除该级数据和程序的可靠性。以下是与安全级别类似的两个原则:u向上取读——主体的完整性级别必须低于被取读客体的完整性级别;u向下写入——主体的完整性级别必须高于被写入客体的完整性级别。满足这些原则,就防止了低层客体中的信息(可靠性较低)流入高层客体中,
从而保障了其完整性。以这种方式控制信息流通是保证信息完整性的惟一方法。第10章网络安全技术设计3)角色策略上述自由访问控制和强制性访问控制策略已被官方标准所认可,特别是被美国国防部桔皮书认可。在安全研
究者与实施者中有一种很流行的观念,即这些传统的自由和强制性政策不能满足许多实际的要求。强制性策略产生于纪律严格的环境,如军事环境。而自由策略产生于合作却仍自主的要求,比如学术研究者的要求。但它们都不能满足许多商
业企业的需求。桔皮书自由策略也很难有效地控制信息,而桔皮书强制性策略则主要集中在保护信息机密性的政策上了。第10章网络安全技术设计现已提出了几种代替传统自由和强制策略的方案。这些策略像自由策略一样允许授予用户(或用户组)访问客体的权利
,但同时也对分配或使用这些授权做出了一些限制。其中一个引起人们广泛关注的就是角色访问控制。角色访问控制根据用户在系统中的行为规定了他们对信息的访问。角色策略要求确定每一位用户在系统中的角色。所谓角色,就是与一个特定的工作行为有关的
一套行动与责任。所以,访问授权就是对各个角色规定,而非对每个用户规定。用户授权选取角色。NIST最近的研究确认了角色对于许多商业和政府组织都是一种行之有效的方法。第10章网络安全技术设计担任某一角色的用
户允许进行授权该角色的所有访问。一般来说,用户可在不同情况下选取不同的角色,也可由不同的用户担任同一角色,甚至是同时的。这种方法有以下几个优越性:授权管理——角色策略将授权规定分为两个部分,从而获得了逻辑
上的独立。一部分是将用户分配到各个角色中,而另一部分则是将对客体的访问权分配到角色中。这在很大程度上简化了安全管理。例如,假如某用户的责任因提升而改变,那么用户就不担任现在的角色,而是分配以适合新责任的角色。而如果所有授权都直接在用户和客体中进行,那么就必须取消用户现有的访问权
再重新分配新的访问权,这与“角色”法相比既麻烦又费时。第10章网络安全技术设计u分级角色——在许多应用中,都有自然形成的角色级别,是建立在统一化和专门化的一般原则上的。例如硬件工程师和软件工程师就是工程师角色的专门化。一个担任软件(或硬件)工程师的用户,还
会接受更大范围的特权与许可。而监督工程师的角色同样也承担了软件与硬件工程师的角色。分级角色更简化了授权管理。u最少特权——“角色”允许用户登记现有任务要求的最少特权。权力很大的用户只在需要这些特权时才使用它们。这就把因偶然失误或因窃听者冒名顶替合法用户而造成的危险降到了最小。第10章网
络安全技术设计u职责分离——职责分离的原则是:不能给用户太多的特权,而使他们可以滥用系统。例如,核准薪金支票的人就不能签发支票。职责分离可以固定地(通过定义不能由同一用户执行的角色)或能动地(在访问时强行
控制)实施。职责能动分离的一例就是“二人规则”:第一个执行“二人”操作的用户可以作为任意的授权用户;而第二个用户只能在其余的范围内作为任意授权用户。第10章网络安全技术设计u客体分类——角色策略根据用户的行为对用户进行了分
类。同样,客体也应进行分类。比如,一个职员一般需要对银行账户进行访问,而秘书则要对信件和备忘录进行访问。客体可根据其类型(如信件、手册)及其应用领域(如商业信件、广告信件)进行分类。角色的访问授权就应
根据客体类型而不是根据具体的客体来分类。比如,秘书的角色就可以被授权读写所有的信件,而不是为读写每一封信件授权。这种方法的优越性在于:它使授权的行政管理更容易控制。再有,授权对每个客体进行的访问是根据客体的种类自动分类的,而无需给每个客体授权。第10章网络
安全技术设计4.授权的行政管理管理政策决定了谁有权去修改已被许可的访问。这是访问控制最重要但也是最不受重视的一个方面。在强制性访问控制中,被许可的访问完全取决于主客体的安全级别。而安全级别则是由安全管理员分配的。客体的安全级别取决于建立系统的用户级
别。安全管理员一般只有一个,他可以更换主客体的安全级别。因此,行政管理的政策就非常简单。第10章网络安全技术设计自由访问控制允许大量行政管理政策,其中有:u集中——只有一个授权者(或组)允许对用户许可或取消授权;u分级——中央授权者将职责分配
给其他管理员,他们可对系统中的用户许可或取消授权;u合作特定资源的行政管理不能只由单一的授权者许可,而需几个授权者的合作;u所有权——用户是他/她所创造的客体的专有者,所有者也可以许可或取消其他用户对此客
体的访问;u分散——在分散的行政管理中客体的所有者也可以许可其他用户对此客体的许可特权。第10章网络安全技术设计角色访问控制同样也有许多行政管理政策。在这种情况下,角色也可以用来管理和控制行政管理机制。行政权的委任是一个重要领域,而现
有的访问控制系统是远远不够的。在大的分散系统中,访问权的集中管理是不可能的。一些现有的系统允许中央安全管理员向其他安全管理员委任对客体的管理权。例如,管理特别区域中客体的权利可以授权予此地区的安全管理员。这就允许以逐个选择的方式委任行政管理权。第10章网络
安全技术设计总之,要实现保密性、完整性和可用性的目标,就要求进行访问控制。ACL曾是在操作系统中实现访问矩阵模型的一种广为使用的方法。ACL在访问审阅与取消上按每个主体来进行,这就造成了许多缺陷。如果按每个客体来进行就好一些。由于授权表提供了对访问权的高级管理,因此一般只限于数据库管理系统。在分
散系统中,将性能表与ACL或授权表结合起来则是非常有效的方法。第10章网络安全技术设计强制性和自由访问控制策略都很有用,但它们并不能满足许多实际需要。角色访问策略成功地代替了严格的传统强制性控制并提供了自由控制中的一些灵活性。有效的分散式授权行政管理还可以使
用改进的一些技术。将计算机和网络安全更紧密地统一起来,发展信息安全是非常必需的。访问控制策略尽管在这方面已取得了很大进步,却还在发展之中。第10章网络安全技术设计10.2.2防火墙技术我们知道,在因特网上所发送的每一段数据都可以被偷窃和修改。因特网的组织方式是要每个
站点都要为自身安全负责。如果黑客占领了一个用于通信的关键地方的站点,那么用户发出的所有通过该站点的数据就完全由黑客随意处置了。黑客可以截获未加密的信用卡、Telnet会话、FTP会话,以及其他任何通过这条线路的信息。所以,发信息时一定要仔细对待发往远程站点
的信息。由谁控制目的地系统,这是一个一直在讨论的问题。设计防火墙的目的就是不要让那些来自不受保护的网络,如因特网上的多余的未授权的信息进入专用网络,如LAN或WAN,而仍能允许本地网络上的用户以及其他用户访问因特网服务。第10章网络安全技术设计图10.1中显示了防火墙的基本功能。
过滤器因特网防火墙网关过滤器因特网图10.1防火墙基本功能第10章网络安全技术设计大多数防火墙就是一些路由器,它们根据数据包的源地址、目标地址、更高级的协议,或根据由专用网络安全管理员制定的标准或安全策略,过滤进入网络的数据包。许多复杂的防火墙使用了代理服务器,也称作堡垒主机。堡垒主机可以防止
内部用户直接访问因特网服务,其作用就像一个代理,能够过滤掉未授权的要进入因特网的流量。第10章网络安全技术设计图10.2代理服务器(堡垒主机)防止来自因特网的直接访问第10章网络安全技术设计防火墙就像一扇安全门,它能够保证门内各组件的安全;此外,它还控制
着谁(或什么)可以进入和谁(或什么)可以走出这个受保护的环境。防火墙的建立提供了对网络流量的可控过滤,以限制访问特定的因特网端口号,而其余则被堵塞。为做到这一点,要求它必须是惟一的入口点,这就是用户多次发现防火墙与路由器是一个整体的原因。第10章网络安全技术设计因此,选择防火墙应该
根据装在站点的硬件、本部门专业性的意见和可信任的销售商。通常,配置防火墙是用来阻止未经认证的外部登录。用防火墙保护站点是一种最容易对安全和审计起作用的方法。利用防火墙,用户可以防止站点的任意连接,并且还能建立跟踪工具,它可以根
据日志摘要帮助用户,因为日志中记载着连接的起点、服务器提供的服务量,甚至还包含是否有攻击进入等信息。第10章网络安全技术设计防火墙的一个基本目的是保护站点不被黑客攻击,如前所述,站点暴露于大量的威胁面前,防火墙可为用户提供保护,但对那些绕过它的连接,则无能为力。因此,要警惕“后门
”,如调制解调器连到LAN上时,特别是如果用户的远程访问服务(RAS)处于受保护的LAN内时,这就是一个典型的例子。然而,防火墙并不是绝对有效的。它的目的是增强安全性,而不是保证安全。如果有很重要的信
息在LAN上,首先服务器就不应该与它连接。必须注意那些允许用户从机构内部进入服务器的群件应用程序。第10章网络安全技术设计另外,如果在内部LAN上有Web服务器,要警惕内部攻击,对企业服务器也是这样。这是因为防火墙不能对付来自机构内的威胁
,例如,一个捣乱的职员可以拔掉企业服务器上的插头,使其暂时停止工作,对此,防火墙则无能为力。第10章网络安全技术设计包过滤是一个简单有效的用于过滤多余信息包的方法,通过拦截信息包、读信息包和拒绝那些与路由器中规则不匹配的信息包。
遗憾的是,包过滤不足以保证站点的安全,因为许多威胁、许多新协议几乎不费劲就可以绕过这些过滤器。例如,包过滤用于FTP协议并没有效,因为它允许用端口20与外部服务器联系以建立连接,从而完成数据的传输。即使在路由器上加一
条规则,内部网络机器上的端口20仍能在外界探查到。还有,如前所述,黑客可以很容易地“欺骗”这些路由器。今后,防火墙将会进一步增强这方面的安全策略。第10章网络安全技术设计防火墙技术已走过了很长的路,包括所谓传统的
,或者说是静态的防火墙,今天已经有了动态防火墙技术。动态防火墙同静态防火墙相比,主要区别在于,后者的目的是“许可任何服务,除非遭到明确拒绝”或“拒绝任何服务,除非有明确许可”,前者的主要目的是“许可/拒绝任何服务,只要你需要”。动态防火墙这种适应网络流量和设计结构的能力,提供
了比静态包过滤模式更便利的特色。第10章网络安全技术设计1.防火墙的组成防火墙可以理解为内部服务配置的方式。防火墙只允许特定的服务被因特网上的用户访问,但必须确保这些已知的服务是能够得到的最新的、最安全的版本。这样,就可以把我们的注意力从加固整个网络转移到仅仅加固几个内部的机器和服务
上来。我们需要了解一些关于防火墙的组成部分。第10章网络安全技术设计停火区(DMZ)用在这样的位置:有少数机器服务于内部网络,且其余机器隔离于一些设备(通常是防火墙)之后。这些机器或者在公开的地方,或者由另外一个防火墙对DMZ进行保护。从安全角度来看,这是一
个很好的安排,因为只有接受返回连接的机器才是“牺牲品”。如果机器能省去这些努力,有高风险目标的机构就可以从这个方案获益。经证明,它对保护内部资源的安全是极其有效的。还有一个建议是改变机器的类型和安全软件的出版商,以保
护在DMZ内部和外部的安全。例如,在一个性质相同的社区中,采用这种方法是很有帮助的,如果使用两个相同的防火墙,则它们可以被一个违法者同时破坏掉。第10章网络安全技术设计建立DMZ的惟一缺陷是机器的维护。为了使Web服务器和FTP服务器容易更新,大多数管理员喜欢在本地访问文件系统。
若在两者之间加一个防火墙,则使得实现维护有些难度,特别是当不止一人维护服务器时。总之,外部信息的驻留还算稳定,也很少有管理上的烦恼。第10章网络安全技术设计防火墙和过滤路由器的工作越来越趋于合二为一。是否允许连接进入系统,认证允许服务连接是建立在对用户认证的基础
上,而不是建立在它们的源地址和目的地址基础上。利用一些软件,用户的认证可以允许到达某些服务和机器,而另外的则只能访问基本系统。在基于用户的服务认证中,防火墙常扮演一个重要的角色,但也可以配置一些服务器去理解这些信息。当前的
Web服务器经配置也可用于控制允许哪个用户访问哪棵子树和把用户限制于适当的安全等级。第10章网络安全技术设计认证有多种,其形式有密码令牌、一次性口令及(最常用且安全性也最低的)简单文本口令。由站点管理员决定哪个用户用哪
种认证方式,这也是得到公认的。正确的认证可允许国外站点的管理员进入网络改正错误,这类连接是使用密码令牌这种性能强的认证方法的首选对象。今天,整体安全的焦点在周边上。坚固的外表和柔弱的中央是一种普遍存在的现象。坚固外表的实现借助于防火墙、认证设备、强固的
拨号堤、虚拟专用通道、虚拟网络以及许多隔离网络的其他方法。而在内部,则只有供人侵占的份了。内部安全没有被恰当地管理,且普遍令人担心,因为如果有人越过了边界,堡垒就失陷了。这是一个众所周知的问题,也是今后要继续努力解决的问题。第1
0章网络安全技术设计关于这个问题的解决方案无需多讲。内部安全问题一直是一个敏感的麻烦事,且各方都不情愿投资去寻求解决方案。解决它的惟一途径是通过广泛的宣传和高度的热情使这项工作进行下去。快速或永久解决这个问题是不现实的,而事实上,对周边
的信任最终还是靠不住的。有关破坏防火墙的问题也一直在讨论,且认证方法也不是一点用没有。对一个站点物理安全的信赖实在是一个灾难,对外部人员的鉴别水平还是不够的。电话维修员常来检修吗?能让维修员进入一个机构最敏感的区域吗?从安全上讲,周
边并不是惟一的底线。第10章网络安全技术设计2.防火墙的主要功能(1)防火墙是网络安全的坚固屏障。防火墙(作为阻塞点、控制点)可以极大地提高一个内部网络的安全性,并通过过滤不安全的服务来降低风险。由于只
有经过精心选择的应用协议才能通过防火墙,因此网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。第10章网络安全技术设计(2)防火墙能强化网络安全策略。以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密,口令系统和其他的身份认证系统完全不必分散在各个主机上,而集中在防火墙上。第10章网络安全技术设计(3)对网络存取和访问进行监控审计。假如所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的
统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首要的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,
并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。第10章网络安全技术设计(4)防止内部信息外泄。借助于利用防火墙对内部网络的划分,可以实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对
全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger、
DNS等服务。Finger显示了主机的所有用户的注册名与真名、最后登录时间和使用的Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统
是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。第10章网络安全技术设计除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分
布在全世界各地的LAN或专用子网有机地联成一个整体,不仅省去了专用通信线路,而且为信息共享提供了技术保障。第10章网络安全技术设计3.防火墙的技术分类防火墙技术可以根据防范的方式和侧重点的不同而分为多种
类型,但总体来讲可分为数据包过滤型、应用级网关型、代理服务型和复合型等几大类。1)数据包过滤型防火墙数据包过滤(PacketFiltering)技术是指在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表ACL。通过检查数据流中每个数据包的源地址、目的地址、所用的端口
号、协议状态等因素或它们的组合来确定是否允许该数据包通过。第10章网络安全技术设计数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样
的防火墙几乎不需要任何额外的费用。数据包过滤防火墙也有两个缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。第10章网络安全技术设计分组过滤或包过滤,是一种通用、廉价、有
效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。第10章网络安全技术设计包过滤的优点在于不用改动客户机和主机上的应用程序,因为
它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:局限于过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大的影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议
;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常和应用网关配合使用,共同组成防火墙系统。第
10章网络安全技术设计2)应用级网关型防火墙应用级网关(ApplicationLevelGateways)是指在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在
过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特征,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防
火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。第10章网络安全技术设计3)代理服务型防火墙代理服务(ProxyService)也可称链路级网关或TCP通道(CircuitLevelGatewayorTCPTunnels),也有人将它归于应
用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接由两个终止代理服务器上的链接来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系
统的作用。第10章网络安全技术设计此外,代理服务也会对过往的数据包进行分析、注册登记并形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用,同时也常结合了过滤器的功能。它工作
在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。第10章网络安全技术设计4)复合型防火墙基于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常包括以下两种方案:屏蔽主
机防火墙体系结构。在此结构中,主分组过滤路由器或防火墙与Internet相连,同时将一个堡垒主机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒主机成为Internet上其他节点所能到达的惟一节点,这确
保了内部网络不受未授权外部用户的攻击。第10章网络安全技术设计u屏蔽子网防火墙体系结构。堡垒主机放于一个子网内,形成非军事化区,两个分组过滤路由器放在该子网的两端,使该子网与Internet及内部网络分离。在屏
蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。第10章网络安全技术设计4.新一代防火墙的多重功能先进的防火墙产品通常将网关与安全系统合二为一,具有以下技术与功能:(1)多级过滤技术。为了保证系统的安全性和防护水平,新一代防火墙采用了三级过滤措施,并辅以鉴别手
段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,能实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。第10章网络安全技术设计(2)双端口
或三端口的结构。新一代的防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。(3)透明的访问方式。以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径
修改客户机的应用。新一代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。第10章网络安全技术设计(4)灵活的代理系统。代理系统是指一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制
:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。第10章网络安全技术设计(5)网络地址转换技术(NAT)。新一代的防火墙利用NAT技术能透明地对所有内部地址做转换
,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。同时使用NAT的网络,与外部网络的连接只能由内部网络发起,极大地提高了内部网络的安全性。NAT的
另一个显而易见的用途是解决IP地址匮乏问题。第10章网络安全技术设计(6)Internet网关技术。为了能够直接串连在网络之中,新一代防火墙必须支持用户在Internet上互连的所有服务,同时还要防止
与Internet服务有关的安全漏洞。因此,它要能以多种安全的应用服务器(包括FTP、Finger、Mail、Ident、News、.等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(Chroot)”做物理上的隔离。在域名服务这一点上,新一代防火墙采用两
种独立的域名服务器,一种是内部DNS服务器,主要处理内部网络的DNS信息,另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。第10章网络安全技术设计在匿名FTP这一点上,服务器只提供对有限的受保护的部分目录的只读访问。在.服务器中,
只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行,在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理
,并利用邮件映射与标头剥除的方法删除内部的邮件环境,Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。第10章网络安全技术设计(7)安全服务器网络(SSN)。为满足
越来越多的用户向Internet上提供服务时对服务器保护的需求,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网的一部分,又与内部网关完全隔离。这就是安全服务器网络(SSN)技术,对SSN上的主机既可单独管理,
也可设置成通过FTP、Telnet等方式从内部网上管理。第10章网络安全技术设计SSN的方法所提供的安全性要比传统的隔离区(DMZ)方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有
防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便会暴露于攻击之下。第10章网络安全技术设
计(8)用户定制服务。为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有通用TCP、出站UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可利用这
些支持,方便设置。第10章网络安全技术设计(9)用户鉴别与加密。为降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,
并实现了对邮件的加密。第10章网络安全技术设计(10)审计和告警。新一代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服
务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。此外,新一代防火墙还在网络诊断、数据备份与保全等方面具有特色。第10章网络安全技术设计10.2.3防病毒技术1.计算机病毒的特点“计算机病毒”这种说法起源于美国弗雷德里克·B·科恩(Fre
derickB.Cohen)博士于1984年9月在美国计算机安全学会上发表的一篇论文(当时他还是美国加利弗尼亚大学研究生院的一名学生)。在这篇论文中,科恩首次把“为了把自身的拷贝传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒”。这就
是计算机病毒的原始含义。第10章网络安全技术设计计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。第10章
网络安全技术设计计算机病毒一般具有以下特性:(1)病毒的程序性(可执行性)。计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。在病
毒运行时,与合法程序争夺系统的控制权。计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字
,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作的。第10章网络安全技术设计他们的计算机虽也存有各种计算机病毒的代码,但已置这些病毒于控制之
下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,在同一台计算机内病毒程序与正常系统程序,或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其
取得系统控制权。反病毒技术的优劣就是体现在这一点上。一个好的抗病毒系统应该不仅能可靠地识别出已知计算机病毒的代码,阻止其运行或旁路掉其对系统的控制权(实现安全带毒运行被感染程序),还应该识别出未知计算机病毒在系统内的
行为,阻止其传染和破坏系统的行动。第10章网络安全技术设计(2)病毒的传染性。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至
死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介
质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染第10章网络安
全技术设计正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算
机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。第10章网络安
全技术设计(3)病毒的潜伏性。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。病毒的潜伏性愈好,其在系统中的存在时
间就会愈长,病毒的传染范围就会愈大。第10章网络安全技术设计潜伏性的第一种表现是指:病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会
,就四处繁殖、扩散,继续为害。潜伏性的第二种表现是指:计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则
执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件加密、封锁键盘以及使系统死锁等。第10章网络安全技术设计(4)病毒的可触发性。因某个事件或数值的出现而诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既
不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,
触发机制检查预定条件是否满足,如果满足,就启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,则使病毒继续潜伏。第10章网络安全技术设计(5)病毒的破坏性。所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行
,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在
于彻底破坏系统的正常运行,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。但并非所有的病毒都会对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。第10章网络安全技术设计(6
)病毒攻击的主动性。病毒对系统的攻击是主动的,不以人的意志为转移。也就是说,从一定的程度上讲,计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施充其量是一种预防的手段而已。(7)病毒的针对性。计算机病毒是针对特定的计算机和特定的操作系
统的。例如,有针对IBMPC机及其兼容机的,有针对Apple公司的Macintosh的,还有针对UNIX操作系统的。但目前,大多数病毒主要还是针对PC机系列的。第10章网络安全技术设计(8)病毒的非授权性。病毒未经授权
而执行。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知
的,是未经用户允许的。第10章网络安全技术设计(9)病毒的隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是
不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便
无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上几百万台计算机中。第10章网络安全技术设计大部分病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百字节或1KB,而PC机对文件的存取速度
可达几百KB每秒以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。第10章网络安全技术设计计算机病毒的隐蔽性表现在两个方面:①传染的隐蔽性。大多数病毒在进行传染时速度是极快的,一般不具有外部表现,不易被人发现。让我们设想,如果计算机病毒每当感染一个
新的程序时都在屏幕上显示一条信息“我是病毒程序,我要干坏事了”,那么计算机病毒早就被控制住了。确实有些病毒非常“勇于暴露自己”,时不时在屏幕上显示一些图案或信息,或演奏一段乐曲。往往此时那台计算机内已有许多病毒的拷贝了。许多计算机用户对计
算机病毒没有任何概念,更不用说心理上的警惕了。他们见到这些新奇的屏幕显示和音响效果,还以为是来自计算机系统,而没有意识到这些病毒正在损害计算机系统,正在制造灾难。第10章网络安全技术设计②病毒程序存在的隐蔽性
。一般的病毒程序都夹在正常程序之中,很难被发现,而一旦病毒发作出来,往往已经给计算机系统造成了不同程度的破坏。被病毒感染的计算机在多数情况下仍能维持其部分功能,不会一感染上病毒,整台计算机就不能启动了,或者某个程序一旦被病毒所感染,就被损
坏得不能运行了,如果出现这种情况,病毒也就不能流传于世了。计算机病毒设计的精巧之处也在这里。正常程序被计算机病毒感染后,其原有功能基本上不受影响,病毒代码附于其上而得以存活,得以不断地得到运行的机会,去传染出更多的复制体,与正常程序争夺系统的控制权和磁盘空间,不断地
破坏系统,导致整个系统的瘫痪。病毒的代码设计得非常精巧而又短小。第10章网络安全技术设计(10)病毒的衍生性。这种特性为一些好事者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知,传染的破坏部分反映了设计者的设计思想和设计目的。而
这可以被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(又称为变种)。这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。第10章网络安全技术设计(11)病毒的寄生性(依附性)。病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生
存,这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。第10章网络安全技术设计(12)病毒的不可预见性。从对病毒的检测方面来看,病毒
还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的
技术,使用这种方法对病毒进行检测势必造成较多的误报情况。而且病毒的制作技术也在不断地提高,病毒对反病毒软件永远是超前的。新一代计算机病毒甚至连一些基本的特征都隐藏了,有时可通过观察文件长度的变化来判别。然而,更新的病毒也可以在这个问题上
蒙蔽用户,它们利用文件中的空隙来存放自身代码,使文件长度不变。许多新病毒则采用变形来逃避检查,这也成为新一代计算机病毒的基本特征。第10章网络安全技术设计(13)病毒的欺骗性。计算机病毒行动诡秘,计算机对其反应迟钝,往往把病毒造成的
错误当成事实接受下来,故它很容易获得成功。(14)病毒的持久性。即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下,由于病毒程序由一个受感染的拷贝通过网络系统反复传播,使得病毒程序的清除非常复杂。第10章网络安全技术设计2.计算机病毒的分类计算机病毒的发展史
上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。因此,病毒的分类是按阶段划分的。第10章
网络安全技术设计1)DOS引导阶段1987年,计算机病毒主要是引导型病毒,具有代表性的是小球和石头病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作,它们修改系统启动
扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。第10章网络安全技术设计2)DOS可执行阶
段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年发展为复合型病毒,
可感染COM和EXE文件。第10章网络安全技术设计3)伴随、批次型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM的伴随体:它感染COM文
件时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容、日期及属性,解除病毒时只要将其伴随体删除即可。在非D
OS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。第10章网络安全技术设计4)幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如,“一半”病毒就是产生一段有上亿种可能的
解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以
上的子程序方能解除。第10章网络安全技术设计5)生成器、变体机阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机插入一些空操作和无关指令,也不影响运算结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之
为病毒的生成器和变体机就产生了。具有典型代表的是“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令
生成机制。第10章网络安全技术设计6)网络、蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络
功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。第10章网络安全技术设计7)Windows阶段1996年,随着Windows系统日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,
典型的代表是DS.3873。这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。第10章网络安全技术设计8)宏病毒阶段1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档
文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。第10章网络安全技术设计9)互联网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进
行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。10)Java、邮件炸弹阶段1997年,随着互联网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnak
e病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率。第10章网络安全技术设计3.新时代下的网络病毒传统的网络病毒定义是指利用网络进行传播的一类病毒的总称。而现在网络时代的网络病
毒,已经不是如此单纯的一个概念了,它被溶进了更多的东西。可以这样说,如今的网络病毒是指以网络为平台,对计算机产生安全威胁的所有程序的总和。第10章网络安全技术设计1)由“骗子”升级为“间谍”——木马病毒(Trojan
)传统的木马病毒是指一些有正常程序外表的病毒程序,例如一些密码窃取病毒,它会伪装成系统登录框的模样,当用户在登录框中输入用户名与密码时,这个假的登录框木马便会将用户口令通过网络泄漏出去。第10章网络安全技术设计现在的木马病毒与传统的木马病毒相比已
经有了很大的区别。如果说传统的木马病毒是个骗子的话,那么现在的木马病毒则更像一个间谍。现在的木马病毒一般是指,利用系统漏洞进入用户的计算机系统,通过修改注册表自启动,运行时有意不让用户察觉,将用户计算机中的所有信息都暴露在网络中的病毒程序。
如今木马病毒更多地是扮演“里通外国”的角色。大多数黑客程序的服务器端都是木马病毒。第10章网络安全技术设计2)不断自我完善——蠕虫病毒(Worm)蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,像当年的“莫里斯”
病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖,导致几千台服务器无法正常提供服务。如今的蠕虫病毒除了利用网络缺陷外,更多地利用了一些新的技术,比如说:“求职信”病毒,是利用邮件系统这一大众化的平台,将自己传遍千家万户;“密码”病毒,是利用人们的好
奇心理,诱使用户来主动运行病毒;“尼姆达”病毒,则是综合了系统病毒的方法,利用感染文件来加速自己的传播。第10章网络安全技术设计3)一枝“新秀”——黑客程序(Hack)黑客程序产生的年代由来已久,但在过去,从没有人将它看做是病毒,理由是,黑客程序只是一个工具,它有
界面又不会传染,不能算做病毒。而随着网络的发展与人们日益增长的安全需求,我们必须重新来看待黑客程序。黑客程序一般都有攻击性,它会利用漏洞在远程控制计算机,甚至直接破坏计算机;黑客程序通常会在用户的计算机中植入一个木马病
毒,与木马病毒内外勾结,对计算机安全构成威胁。所以黑客程序也是一种网络病毒。像“冰河”病毒、“BO”病毒,它们功能强大到可以控制远端计算机做任何事情。第10章网络安全技术设计4)新型病毒——捆绑器病毒(Binder)捆绑器病毒是一个很新的概念,人们编写这些程序的最初目的是希望通过一次点击可以同时
运行多个程序,然而这一工具却成了病毒的新帮凶。比如说,用户可以将一个小游戏与病毒通过捆绑器程序捆绑,当用户运行游戏时,病毒也会同时悄悄地运行,给用户计算机造成危害。由于捆绑器会将两个程序重新组合,产生一个自己的特殊格式,因此捆绑器程序的出现,使新
变种病毒产生的速度大大加快了。第10章网络安全技术设计5)新帮凶——网页病毒网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是利用一些Script语言编写的一些恶意代码。当用户登录某些含有网页病毒的网站时,网页病
毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。
这种网页病毒容易编写和修改,使用户防不胜防。第10章网络安全技术设计4.恶意病毒“四大家族”1)宏病毒由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场,加上Windows和Office提供了宏病毒编制和
运行所必需的库(以VB库为主)支持和传播机会,因此宏病毒是最容易编制和流传的病毒之一,很有代表性。第10章网络安全技术设计u宏病毒发作方式:在Word打开病毒文档时,宏会接管计算机,然后将自己感染到其他文档,或直接删除文件等等。Word将宏和其他样式存储
在模板中,因此病毒总是把文档转换成模板再存储它们的宏。这样的结果是某些Word版本会强迫你将感染的文档存储在模板中。u判断是否被感染:宏病毒一般在发作的时候没有特别的迹象,通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上,会出现不能打印文件、Office文档无法保存或另存为等情况。第1
0章网络安全技术设计u宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。u防范措施:平时最好不要几个人共用一个Office程序,要加载实时的病毒防护功能。病毒的变种
可以附带在邮件的附件里,在用户打开邮件或预览邮件的时候执行,应该留意。一般的杀毒软件都可以清除宏病毒。第10章网络安全技术设计2)CIH病毒CIH是目前最著名和最有破坏力的病毒之一,它是第一个能破坏硬件的病毒。u
发作破坏方式:主要是通过篡改主板BIOS里的数据,造成电脑开机就黑屏,从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播,并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH发作以后,即使更换了
主板或其他电脑引导系统,如果没有正确的分区表备份,则染毒的硬盘上特别是其C分区数据挽回的机会都将很少。第10章网络安全技术设计u防范措施:已经有很多CIH免疫程序诞生了,包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒,但尚未发作,记得先备份硬盘分区表和引导区数
据再进行查杀,以免杀毒失败造成硬盘无法自举。第10章网络安全技术设计3)蠕虫病毒蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名,多感染电脑和占用系统、网络资源,造成PC和服务器负荷过重而死机,并
以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现,比如著名的爱虫病毒和尼姆达病毒。第10章网络安全技术设计4)木马病毒木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。u传染方式:通过电子邮件附件发
出,捆绑在其他的程序中。u病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。第10章网络安全技术设计u病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址。一般同时内置
可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。u防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。第10章网络安全技术设计5.病毒的防治策略计算机病毒的防治要从防毒、查毒、解毒三方面来进行。系统对于计算机病毒的实
际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。防毒:指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。查毒:指对于确定的环境,能够准确地报出病毒名称,该环境包括:内存、文件、引导区(含主导区)、网
络等。第10章网络安全技术设计解毒:指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。防毒能力:指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确
地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-mail、HTTP方式)或其他形式的文件下载等多种方式进行的传输;能够在病毒侵入系统时发出警报,记录携带病毒的文件,及时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录
病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。第10章网络安全技术设计查毒能力:指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。解
毒能力:指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。第10章网络安全技术设计6.病毒防范措施病毒的防范措施主要有:(1)选择、安装经过公安部认证的防病毒软件,定期对
整个硬盘进行病毒检测、清除工作。(2)经常从软件供应商那边下载、安装安全补丁程序和升级杀毒软件。随着计算机病毒编制技术和黑客技术的逐步融合,下载、安装补丁程序和杀毒软件升级并举将成为防治病毒的有效手段。第10章网络安
全技术设计(3)新购置的计算机和新安装的系统,一定要进行系统升级,保证修补所有已知的安全漏洞。(4)使用高强度的口令。尽量选择难于猜测的口令,对不同的账号选用不同的口令。(5)经常备份重要数据。要做到每天坚持备份。较大的单位要做到每周做完全备份,每天进行增量备份,并且每个
月要对备份进行校验。(6)可以在用户的计算机和互联网之间安装使用防火墙,提高系统的安全性。第10章网络安全技术设计(7)当计算机不使用时,不要接入互联网,一定要断掉连接。(8)重要的计算机系统和网络一定要严格与互联网物理隔离。这种隔离包括离线隔离,即在互联网中使用过的系
统不能再用于内网。(9)不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自于熟人的邮件附件。(10)正确配置、使用病毒防治产品。一定要了解所选用产品的技术特点。正确配置使用,才能
发挥产品的特点,保护自身系统的安全。第10章网络安全技术设计(11)正确配置系统,减少病毒侵害事件。充分利用系统提供的安全机制,提高系统防范病毒的能力。(12)定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。第10章网络安全技术
设计10.2.4其他安全技术1.加密数据加密技术从技术上的实现分为在软件上加密和在硬件上加密两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。在网络应用中一般采
取两种加密形式:对称密钥和公开密钥。采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环
境中具体考虑。第10章网络安全技术设计对于对称密钥加密,其常见加密标准为DES等。当使用DES时,用户和接收方采用64位密钥对报文加密和解密。当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以
此为基础验证身份,但是并不适合Internet环境。第10章网络安全技术设计在Internet中使用更多的是公钥系统(即公开密钥加密),它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由用户保存。常用的公钥加密算法是RSA
算法,加密强度很高。具体做法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密
得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合在In
ternet上使用。第10章网络安全技术设计2.认证和识别认证就是指用户必须提供他是谁的证明,比如他是某个雇员、某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)等。认证的标准方法就是弄清楚他是谁,他具
有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就能防止他以假的指纹或其他电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原
理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其他特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。第10章网络安全技术设计至于说到“他知道什么”,最普通的就是
口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令传送给服务器。服务器再将它与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令由服务器和用户共享。更保密的认证可以是几种方法组合而成,例如使用ATM卡和
PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入账户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机
构正千方百计地解决用户的身份认证问题。目前主要有以下几种认证办法:第10章网络安全技术设计(1)双重认证。如美国波士顿的BethIsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就
是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。(2)数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具
有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。第10章网络安全技术设计(3)智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信
息更多,并具有可供选择的管理方式。(4)安全电子交易(SET)协议。这是迄今为止最为完整、最为权威的电子商务安全保障协议。第10章网络安全技术设计小结网络是否安全可靠,是现在互联网时代所面临的一个非常重要的课题。本章主要介绍了有关网络安全目前所遇到的一些问题,以及为了维护网络
安全而采取的一些手段,包括访问控制技术、防火墙技术和计算机病毒的防治,另外还有网络加密和网络认证、识别技术等。第10章网络安全技术设计习题与思考1.网络中存在的问题主要有哪几类?2.网络病毒的来源主要有哪些渠道?3.在网络安全中采用的主要技术
有哪些?4.安装的病毒防治软件应具备哪四个特性?5.简述网络安全中的访问控制技术。6.网络黑客攻击方法有哪几种?7.防火墙的技术包括哪四大类?8.防火墙能防病毒吗?9.常见的认证技术有哪些?
辽公网安备 21102102000191号
营业执照
