網(wǎng)絡(luò)與網(wǎng)絡(luò)安全

1、計(jì)算機(jī)系統(tǒng)基礎(chǔ) 網(wǎng)絡(luò)與網(wǎng)絡(luò)安全學(xué)院：計(jì)算機(jī)學(xué)院班級(jí)：10011507學(xué)號(hào)：2015302478姓名：代宇豪 作業(yè)一計(jì)算機(jī)網(wǎng)絡(luò)部分作業(yè)：1.按照OSI參考模型，計(jì)算機(jī)網(wǎng)絡(luò)可分為幾層，每層功能是什么？（1）從網(wǎng)絡(luò)通信原理角度可以把網(wǎng)絡(luò)分為5層，即應(yīng)用層（Application layer,A)、傳輸層（Transport layer,T)網(wǎng)絡(luò)層（Network layer,N)、數(shù)據(jù)連接層（Data link layer,D)和物理層（Physical layer,Ph)。（2）·應(yīng)用層：主要是提供網(wǎng)絡(luò)任意端上應(yīng)用程序之間的接口。運(yùn)輸訪問(wèn)和管理；電子郵件虛擬終端；·傳輸層：傳輸

2、層提供了主機(jī)應(yīng)用程序進(jìn)程之間的端到端的服務(wù)，基本功能如下：分割與重組數(shù)據(jù)；按端口號(hào)尋址；連接管理；差錯(cuò)控制和流量控制,糾錯(cuò)的功能 傳輸層要向會(huì)話層提供通信服務(wù)的可靠性，避免報(bào)文的出錯(cuò)、丟失、延遲時(shí)間紊亂、重復(fù)、亂序等差錯(cuò)。·網(wǎng)絡(luò)層：網(wǎng)絡(luò)層的目的是實(shí)現(xiàn)兩個(gè)端系統(tǒng)之間的數(shù)據(jù)透明傳送，具體功能包括尋址和路由選擇、連接的建立、保持和終止等。·數(shù)據(jù)連接層：數(shù)據(jù)連接是訪問(wèn)特定數(shù)據(jù)庫(kù)所需要的信息的集合。該集合包括數(shù)據(jù)源名稱和登錄信息。數(shù)據(jù)連接存儲(chǔ)在工程中，當(dāng)用戶執(zhí)行需要訪問(wèn)數(shù)據(jù)庫(kù)的操作時(shí)這些連接被激活。·物理層：透明的傳送比特流；所實(shí)現(xiàn)的硬件：集線器（HUB）。2.計(jì)算機(jī)網(wǎng)絡(luò)如

3、何解決數(shù)據(jù)通信可靠性問(wèn)題？提高計(jì)算機(jī)可靠性的技術(shù)可以分為避錯(cuò)技術(shù)和容錯(cuò)技術(shù)。·容錯(cuò)技術(shù)定義：容錯(cuò)就是當(dāng)由于種種原因在系統(tǒng)中出現(xiàn)了數(shù)據(jù)、文件損壞或丟失時(shí)，系統(tǒng)能夠自動(dòng)將這些損壞或丟失的文件和數(shù)據(jù)恢復(fù)到發(fā)生事故以前的狀態(tài)，使系統(tǒng)能夠連續(xù)正常運(yùn)行的一種技術(shù)。容錯(cuò)技術(shù)一般利用冗余硬件交叉檢測(cè)操作結(jié)果。隨著處理器速度的加快和價(jià)格的下跌而越來(lái)越多地轉(zhuǎn)移到軟件中。未來(lái)容錯(cuò)技術(shù)將完全在軟件環(huán)境下完成，那時(shí)它和高可用性技術(shù)之間的差別也就隨之消失了。局域網(wǎng)的核心設(shè)備是服務(wù)器。用戶不斷從文件服務(wù)器中大量存取數(shù)據(jù)，文件服務(wù)器集中管理系統(tǒng)共享資源。但是如果文件服務(wù)器或文件服務(wù)器的硬盤出現(xiàn)故障，數(shù)據(jù)就會(huì)丟失，所

4、以，我們?cè)谶@里講解的容錯(cuò)技術(shù)是針對(duì)服務(wù)器、服務(wù)器硬盤和供電系統(tǒng)的。·避錯(cuò)技術(shù)是采用正確的的設(shè)計(jì)和質(zhì)量控制方法，盡量避免把故障引入系統(tǒng)，預(yù)先消除各種不可靠因素，但只能有限的提高系統(tǒng)的可靠性（最多使系統(tǒng)的平均無(wú)故障增加一個(gè)數(shù)量級(jí)），超過(guò)了這個(gè)限度將使成本急劇上升。3.網(wǎng)絡(luò)交換設(shè)備有哪些，它們工作原理是什么？交換（switching）是按照通信兩端傳輸信息的需要，用人工或設(shè)備自動(dòng)完成的方法，把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。·以太網(wǎng)交換機(jī)根據(jù)數(shù)據(jù)鏈路層MAC地址進(jìn)行幀交換； ·幀中繼網(wǎng)和ATM網(wǎng)都是面向連接的通信網(wǎng)，交換機(jī)根據(jù)預(yù)先建立的虛電路標(biāo)識(shí)進(jìn)行交換

5、。幀中繼的虛電路號(hào)是DLCI，進(jìn)行交換的協(xié)議數(shù)據(jù)單元為“幀”； ATM網(wǎng)的虛電路號(hào)為VPI和VCI，進(jìn)行交換的協(xié)議數(shù)據(jù)單元為“信元”。·三層交換機(jī)是指因特網(wǎng)中使用的高檔交換機(jī)，這種設(shè)備把MAC交換的高帶寬和低延遲優(yōu)勢(shì)與網(wǎng)絡(luò)層分組路由技術(shù)結(jié)合起來(lái)，其工作原理可概括為：一次路由，多次交換。當(dāng)三層交換機(jī)第一次收到一個(gè)數(shù)據(jù)包時(shí)必須通過(guò)路由功能尋找轉(zhuǎn)發(fā)端口，同時(shí)記住目標(biāo)MAC地址和源MAC地址，以及其他相關(guān)信息， 當(dāng)再次收到目標(biāo)地址和源地址相同的幀時(shí)就直接進(jìn)行交換了，不再調(diào)用路由功能。所有三層交換機(jī)不但具有路由功能，而且比通常的路由器轉(zhuǎn)發(fā)得更快。作業(yè)二網(wǎng)絡(luò)信息安全作業(yè)：1.信息的5個(gè)安全屬性分

6、別是什么，代表什么含義，如何保證信息5個(gè)安全屬性？(1)保密性（Confidentiality） 即保證信息為授權(quán)者享用而不泄漏給未經(jīng)授權(quán)者。 (2)完整性（Integrity） 即保證信息從真實(shí)的發(fā)信者傳送到真實(shí)的收信者手中，傳送過(guò)程中沒(méi)有被非法用戶添加、刪除、替換等。 (3)可用性（Availability） 即保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者提供服務(wù)，保證合法用戶對(duì)信息和資源的使用不會(huì)被不合理的拒絕。 (4)可控性（Controllability） 即出于國(guó)家和機(jī)構(gòu)的利益和社會(huì)管理的需要，保證管理者能夠?qū)π畔?shí)施必要的控制管理，以對(duì)抗社會(huì)犯罪和外敵侵犯。 (5)不可否認(rèn)性（Non-Repu

7、diation） 即人們要為自己的信息行為負(fù)責(zé)，提供保證社會(huì)依法管理需要的公證、仲裁信息證據(jù)。信息系統(tǒng)安全保障是在信息系統(tǒng)的整個(gè)生命周期中，通過(guò)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險(xiǎn)到可接受的程度，從而保障系統(tǒng)實(shí)現(xiàn)組織機(jī)構(gòu)的使命。2.網(wǎng)絡(luò)威脅有哪些？為什么會(huì)產(chǎn)生網(wǎng)絡(luò)威脅？在實(shí)際工作中,威脅信息安全的主要是木馬和病毒。由于木馬和病毒的存在,常常使我們對(duì)信息的安全性失去把握。黑客入侵主要有以下幾種途徑： 1)木馬入侵。木馬有可能是黑客在已經(jīng)獲取我們操作系統(tǒng)可寫(xiě)權(quán)限的前提下，由黑

8、客上傳的（例如下面會(huì)提到的ipc$共享入侵）；也可能是我們?yōu)g覽了一些垃圾個(gè)人站點(diǎn)而通過(guò)網(wǎng)頁(yè)瀏覽感染的（利用了IE漏洞）；更多的情況是我們防范意識(shí)不強(qiáng)，隨便運(yùn)行了別人發(fā)來(lái)的所謂的mm圖片、好看的動(dòng)畫(huà)之類的程序或者是在不正規(guī)的網(wǎng)站上隨便下載軟件使用。 2) 微軟在win2000，xp中設(shè)置的這個(gè)功能對(duì)個(gè)人用戶來(lái)說(shuō)幾乎毫無(wú)用處。反而成了黑客入侵nt架構(gòu)操作系統(tǒng)的一條便利通道。如果你的操作系統(tǒng)存在不安全的口令，那就更可怕了。一條典型的入侵流程如下：   用任何辦法得到一個(gè)帳戶與口令（猜測(cè)，破解），網(wǎng)上流傳有一個(gè)叫做smbcrack的軟件就是利用ipc$

9、來(lái)破解帳戶口令的。如果你的密碼位數(shù)不高，又很簡(jiǎn)單，是很容易被破解的。根據(jù)我的個(gè)人經(jīng)驗(yàn)，相當(dāng)多的人都將administrator的口令設(shè)為123，2003，或者干脆不設(shè)密碼。   使用命令net use xxx.xxx.xxx.xxxipc$“密碼” /user:“用戶名”建立一個(gè)有一定權(quán)限的ipc$連接。用copy trojan.exe xxx.xxx.xxx.xxxadmin$ 將木馬程序的服務(wù)器端復(fù)制到系統(tǒng)目錄下。   用net time xxx.xx

10、x.xxx.xxx 命令查看對(duì)方操作系統(tǒng)的時(shí)間，然后用at 2.xxx.xxx.xxx 12：00 trojan.exe 讓trojan.exe在指定時(shí)間運(yùn)行。   這樣一來(lái)，你的電腦就完全被黑客控制了。   應(yīng)對(duì)措施：禁用server服務(wù), Task Scheduler服務(wù)，去掉網(wǎng)絡(luò)文件和打印機(jī)共享前的對(duì)勾。當(dāng)然，給自己的帳戶加上強(qiáng)壯的口令才是最關(guān)鍵的。3) IIS漏洞入侵。由于寬帶越來(lái)越普及，給自己的win2000或是xp裝上簡(jiǎn)單易學(xué)的iis，搭建一個(gè)

11、不定時(shí)開(kāi)放的ftp或是web站點(diǎn)，相信是不少電腦愛(ài)好者所向往的，而且應(yīng)該也已經(jīng)有很多人這樣做了。但是iis層出不窮的漏洞實(shí)在令人擔(dān)心。遠(yuǎn)程攻擊著只要使用webdavx3這個(gè)漏洞攻擊程序和 telnet命令就可以完成一次對(duì)iis的遠(yuǎn)程攻擊，成功后我們可以看到如圖2的利用iis的webdav漏洞攻擊成功后的界面。這里的systen32就指的是對(duì)方機(jī)器的系統(tǒng)文件夾了，也就是說(shuō)黑客此刻執(zhí)行的任何命令，都是在被入侵的機(jī)器上運(yùn)行的。這個(gè)時(shí)候如果執(zhí)行format命令，危害就可想而知了，用net user命令添加帳戶也是輕而易舉的。 4)注冊(cè)表入侵。我們?yōu)g覽網(wǎng)頁(yè)的時(shí)候不可避免的會(huì)

12、遇到一些不正規(guī)的網(wǎng)站,它們會(huì)擅自修改瀏覽者的注冊(cè)表,其直接體現(xiàn)便是修改IE的默認(rèn)主頁(yè),鎖定注冊(cè)表,修改鼠標(biāo)右鍵菜單等等。實(shí)際上絕大部分的網(wǎng)頁(yè)惡意代碼都是通過(guò)修改我們的注冊(cè)表達(dá)到目的。 5)溢出攻擊。“溢出攻擊”已經(jīng)成為黑客最常用的方式之一,引起緩沖區(qū)溢出問(wèn)題的根本原因是C(與其后代C+)本質(zhì)就是不安全的,沒(méi)有界來(lái)檢查數(shù)組和指針的引用。比如利用“格式化字符”實(shí)現(xiàn)溢出攻擊。攻擊者用十六進(jìn)制編碼向內(nèi)存寫(xiě)入攻擊代碼,并按照一定格式編排格式化字符,讓系統(tǒng)執(zhí)行到這些字符的時(shí)候不再按照原本的程序思路執(zhí)行,而是扭轉(zhuǎn)到攻擊代碼所在的內(nèi)存位置,這就導(dǎo)致了“溢出”。 3.你認(rèn)為如何構(gòu)建一個(gè)安全的

13、網(wǎng)絡(luò)信息系統(tǒng)？由于操作系統(tǒng)的不同,網(wǎng)絡(luò)拓?fù)浼夹g(shù)的區(qū)別,連接介質(zhì)的選擇,網(wǎng)絡(luò)接入技術(shù)的變化給實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)安全帶來(lái)了復(fù)雜的操作性。主要有3個(gè)層次的安全策略：技術(shù)安全，管理安全，意識(shí)安全。1 技術(shù)安全 從本質(zhì)上來(lái)講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全,是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。我們的解決方案從技術(shù)角度可以通過(guò)以下途徑解決: (1)對(duì)于木馬入侵, 要提高防范意識(shí)，不要隨意運(yùn)行別人發(fā)來(lái)的軟件。安裝木馬查殺軟件，及時(shí)更新木馬特征庫(kù)。如使用the cl

14、eaner，木馬克星。 (2)對(duì)于共享入侵,我們可以禁用server服務(wù),Task Scheduler服務(wù),去掉網(wǎng)絡(luò)文件和打印機(jī)共享,同時(shí)健壯自己的安全口令。 (3)對(duì)于IIS漏洞當(dāng)然是從微軟官方站點(diǎn),及時(shí)安裝IIS的漏洞補(bǔ)丁。 (4)對(duì)于注冊(cè)表攻擊,可以安裝具有注冊(cè)表實(shí)時(shí)監(jiān)控功能的防護(hù)軟件，做好注冊(cè)表的備份工作。禁用Remote RegistryService服務(wù),同時(shí)使用防火墻加強(qiáng)保護(hù)。 (5)對(duì)于溢出攻擊,首先及時(shí)下載和更新官方操作系統(tǒng)補(bǔ)丁,其次創(chuàng)建一個(gè)新的用戶,可以在用戶名前加$進(jìn)行隱藏,再次,可以選擇對(duì)cmd·ex

15、e,net·exe和tftp·exe等命令進(jìn)行權(quán)限限制,同時(shí)修改相應(yīng)的敏感端口。 2 管理安全 如果僅僅從技術(shù)角度來(lái)考慮信息安全,顯然是不夠,還必須從管理角度來(lái)思考。信息安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題,也有管理方面的問(wèn)題,兩方面相互補(bǔ)充,缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊,管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。 技術(shù)上的安全可以很輕易的被管理操作上的漏洞和疏忽摧毀!僅僅注重了技術(shù)上安全,而忽略了管理顯然

16、是無(wú)法在真正意義上的實(shí)現(xiàn)信息安全的。因?yàn)?我們提出了一個(gè)新的概念,信息安全需要管理安全。而管理安全的本質(zhì)是規(guī)范的信息管理體制和規(guī)范的信息操作行為。3 意識(shí)安全 最近常常思考“先有雞還是先有蛋”的問(wèn)題,但是這個(gè)問(wèn)題沒(méi)有想清楚,倒是先想清了,先有病毒才有殺毒的辦法,先有木馬攻擊才有木馬防御手段,正如感冒病毒不斷變種一般,計(jì)算機(jī)病毒和木馬也在不斷進(jìn)化。如果總是消極的防御和治療,顯然是只能是在受到侵害之后的才能有所應(yīng)對(duì)。如果要“御敵于國(guó)門之外”,當(dāng)然靠的是安全意識(shí)。提高信息意識(shí)安全可以從以下幾個(gè)方面思考: 1)建立對(duì)信息安全的正確認(rèn)識(shí),并且注意及時(shí)更新安全知識(shí),正如及時(shí)打

17、預(yù)防針劑一樣,防范于未然。 2)掌握信息安全的基本原則和慣例,良好“慣性”可以有效避免遭受侵害。 3)清楚可能面臨的威脅和風(fēng)險(xiǎn),“生于憂患死于安樂(lè)”無(wú)疑是信息保衛(wèi)戰(zhàn)中最該具備的思想準(zhǔn)備。 4)養(yǎng)成良好的安全習(xí)慣。比如定期檢查防火墻版本,病毒庫(kù),隨時(shí)留意系統(tǒng)出現(xiàn)的不明運(yùn)行程序,不隨意瀏覽不確定站點(diǎn)等等。 5)提升組織整體的安全性。比如黑客通過(guò)共享入侵了電腦,但是由于健壯的用戶密碼體系保護(hù)了信息的安全,正是“整體法則”保護(hù)“局部破損”的有效體現(xiàn)。 隨著網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)信息安全也越來(lái)越受到人們的重視。通過(guò)對(duì)威脅網(wǎng)絡(luò)信息安全因素的分析,進(jìn)而提出了五

18、種常用計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略,并對(duì)網(wǎng)絡(luò)信息安全發(fā)展進(jìn)行了展望形成網(wǎng)絡(luò)信息安全防護(hù)體系。盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅,但是采取適當(dāng)?shù)姆雷o(hù)措施就能有效地保護(hù)網(wǎng)絡(luò)信息的安全。常用的計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)策略有: 1加強(qiáng)用戶賬號(hào)的安全。 用戶賬號(hào)的涉及面很廣,包括系統(tǒng)登錄賬號(hào)和電子郵件賬號(hào)、網(wǎng)上銀行賬號(hào)等應(yīng)用賬號(hào),而獲取合法的賬號(hào)和密碼是黑客攻擊網(wǎng)絡(luò)系統(tǒng)最常用的方法。首先是對(duì)系統(tǒng)登錄賬號(hào)設(shè)置復(fù)雜的密碼;其次是盡量不要設(shè)置相同或者相似的賬號(hào),盡量采用數(shù)字與字母、特殊符號(hào)的組合的方式設(shè)置賬號(hào)和密碼,并且要盡量設(shè)置長(zhǎng)密碼并定期更換。 2安裝防火墻和殺毒軟件。 網(wǎng)

19、絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來(lái)實(shí)施檢查,以確定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。根據(jù)防火墻所采用的技術(shù)不同,可將它分為:包過(guò)濾型、地址轉(zhuǎn)換型、代理型和監(jiān)測(cè)型。包過(guò)濾型防火墻采用網(wǎng)絡(luò)中的分包傳輸技術(shù),通過(guò)讀取數(shù)據(jù)包中的地址信息判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。地址轉(zhuǎn)換型防火墻將內(nèi)側(cè)IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址。內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)時(shí),對(duì)外隱藏

20、了真實(shí)的IP地址。外部網(wǎng)絡(luò)通過(guò)網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。程123代理型防火墻也稱為代理服務(wù)器,位于客戶端與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。當(dāng)客戶端需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再傳輸給客戶端。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到內(nèi)部網(wǎng)絡(luò)系統(tǒng)。監(jiān)測(cè)型防火墻是新一代防火墻產(chǎn)品,所采用技術(shù)已經(jīng)超越了最初的防火墻的定義。此類型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),通過(guò)分析這些數(shù)據(jù),能夠有效地判斷出各層中的非法侵

21、入。同時(shí),監(jiān)測(cè)型防火墻一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。個(gè)人計(jì)算機(jī)使用的防火墻主要是軟件防火墻,通常和殺毒軟件配套安裝。殺毒軟件是我們使用的最多的安全技術(shù),這種技術(shù)主要針對(duì)病毒,可以查殺病毒,且現(xiàn)在的主流殺毒軟件還可以防御木馬及其他的一些黑客程序的入侵。但要注意,殺毒軟件必須及時(shí)升級(jí),升級(jí)到最新的版本,才能有效地防毒。 3及時(shí)安裝漏洞補(bǔ)丁程序。 漏洞是可以在攻擊過(guò)程中利用的弱點(diǎn),可以是軟件、硬件、程序缺點(diǎn)、功能設(shè)計(jì)或者配置不當(dāng)?shù)取Ｃ绹?guó)威斯康星大學(xué)的Miller

22、給出一份有關(guān)現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序的研究報(bào)告,指出軟件中不可能沒(méi)有漏洞和缺陷2。如今越來(lái)越多的病毒和黑客利用軟件漏洞攻擊網(wǎng)絡(luò)用戶,比如有名的攻擊波病毒就是利用微軟的RPC漏洞進(jìn)行傳播,震蕩波病毒就是利用Windows的LSASS中存在的一個(gè)緩沖區(qū)溢出漏洞進(jìn)行攻擊。當(dāng)我們的系統(tǒng)程序中有漏洞時(shí),就會(huì)造成極大的安全隱患。為了糾正這些漏洞,軟件廠商發(fā)布補(bǔ)丁程序。我們應(yīng)及時(shí)安裝漏洞補(bǔ)丁程序,有效解決漏洞程序所帶來(lái)的安全問(wèn)題。掃描漏洞可以使用專門的漏洞掃描器,比如COPS、tripwire、tiger等軟件,也可使用360安全衛(wèi)士、瑞星卡卡等防護(hù)軟件掃描并下載漏洞補(bǔ)丁。 4入侵檢測(cè)和網(wǎng)絡(luò)監(jiān)

23、控技術(shù)。 入侵檢測(cè)是近年來(lái)發(fā)展起來(lái)的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。根據(jù)采用的分析技術(shù)可以分為簽名分析法和統(tǒng)計(jì)分析法。簽名分析法:用來(lái)監(jiān)測(cè)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行攻擊的行為。人們從攻擊模式中歸納出它的簽名,編寫(xiě)到Ds系統(tǒng)的代碼里,簽名分析實(shí)際上是一種模板匹配操作。統(tǒng)計(jì)分析法:以統(tǒng)計(jì)學(xué)為理論基礎(chǔ),以系統(tǒng)正常使用情況下觀察到的動(dòng)作模式為依據(jù)來(lái)辨別某個(gè)動(dòng)作是否偏離了正常軌道。 5文件加密和數(shù)字簽名技術(shù)。 文件加密與數(shù)字簽名技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全保密

24、性,防止秘密數(shù)據(jù)被外部竊取、偵聽(tīng)或破壞所采用的主要技術(shù)之一。根據(jù)作用不同,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別三種。數(shù)據(jù)傳輸加密技術(shù)主要用來(lái)對(duì)傳輸中的數(shù)據(jù)流加密,通常有線路加密和端對(duì)端加密兩種。前者側(cè)重在路線上而不考慮信源與信宿,是對(duì)保密信息通過(guò)的各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者通過(guò)專用的加密軟件,采用某種加密技術(shù)對(duì)所發(fā)送文件進(jìn)行加密,把明文加密成密文,當(dāng)這些信息到達(dá)目的地時(shí),由收件人運(yùn)用相應(yīng)的密鑰進(jìn)行解密,使密文恢復(fù)成為可讀數(shù)據(jù)明文。 數(shù)據(jù)存儲(chǔ)加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲(chǔ)和存取控制兩種。前者一般是

25、通過(guò)加密法轉(zhuǎn)換、附加密碼、加密模塊等方式對(duì)本地存儲(chǔ)的文件進(jìn)行加密和數(shù)字簽名。后者則是對(duì)用戶資格、權(quán)限加以審查和限制,防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。數(shù)據(jù)完整性鑒別技術(shù)主要是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別,系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。 數(shù)字簽名是解決網(wǎng)絡(luò)通信中特有安全問(wèn)題的一種有效方法,它能夠?qū)崿F(xiàn)電子文檔的辨認(rèn)和驗(yàn)證,在保證數(shù)據(jù)的完整性、私有性、不可抵賴性方面有著極其重要的作用。數(shù)字簽名的算法有很多,其中應(yīng)用最廣泛的是:Hash簽名、DS

26、S簽名和RSA簽名。網(wǎng)絡(luò)安全的重要前提就是要充分具有網(wǎng)絡(luò)安全意識(shí)，并形成相應(yīng)的網(wǎng)絡(luò)安全策略。首先要明確網(wǎng)絡(luò)安全策略重在管理。俗話說(shuō)：“三分技術(shù)，七分管理”，因此，必須加強(qiáng)網(wǎng)絡(luò)的安全管理，確定安全管理等級(jí)和安全管理范圍，制訂和完善有關(guān)的規(guī)章制度（如網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度及網(wǎng)絡(luò)系統(tǒng)的維護(hù)和開(kāi)發(fā)管理制度等）。其次，要清楚做好網(wǎng)絡(luò)安全策略必須從制定以下兩種核心策略著手：物理安全策略。制定物理安全策略的目的是保護(hù)網(wǎng)絡(luò)服務(wù)器、交換機(jī)、路由器、打印機(jī)、工作站等眾多硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽(tīng)；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容

27、工作環(huán)境，抑制和防止電磁泄漏；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞計(jì)算機(jī)設(shè)備活動(dòng)的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個(gè)主要問(wèn)題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，另一類是對(duì)輻射的防護(hù)。后者又分為兩種，一是采用各種電磁屏蔽措施，二是干擾的防護(hù)措施；訪問(wèn)控制策略。之所以制定訪問(wèn)控制策略，因?yàn)樗蔷W(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。需要強(qiáng)調(diào)的是，各種安全策略必須相互配合才能真正起到保證網(wǎng)絡(luò)安全的作用。 安全策略是成功的網(wǎng)絡(luò)安全

28、體系的基礎(chǔ)與核心。安全策略描述了校園數(shù)據(jù)中心的安全目標(biāo)（包括近期目標(biāo)和長(zhǎng)期目標(biāo)），能夠承受的安全風(fēng)險(xiǎn)，保護(hù)對(duì)象的安全優(yōu)先級(jí)等方面的內(nèi)容。安全技術(shù)常見(jiàn)的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描、安全評(píng)估分析、入侵檢測(cè)、網(wǎng)絡(luò)陷阱、入侵取證、備份恢復(fù)和病毒防范等。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全體系中直觀的部分，缺少任何一種都會(huì)有巨大的危險(xiǎn)，因?yàn)椋W(wǎng)絡(luò)入侵防范是個(gè)整體概念。但校園數(shù)據(jù)中心往往經(jīng)費(fèi)有限，不能全部部署，這時(shí)就需要我們?cè)诎踩呗缘闹笇?dǎo)下，分步實(shí)施。需要說(shuō)明的是，雖然是單元安全產(chǎn)品，但在網(wǎng)絡(luò)安全體系中它們并不是簡(jiǎn)單地堆砌，而是要合理部署，互聯(lián)互動(dòng)，形成有機(jī)的整體。安全管理貫穿整個(gè)安全防范體系，

29、是安全防范體系的核心。代表了安全防范體系中人的因素。安全不是簡(jiǎn)單的技術(shù)問(wèn)題，不落實(shí)到管理，再好的技術(shù)、設(shè)備也是徒勞的。一個(gè)有效的安全防范體系應(yīng)該是以安全策略為核心，以安全技術(shù)為支撐，以安全管理為落實(shí)。安全管理不僅包括行政意義上的安全管理，更主要的是對(duì)安全技術(shù)和安全策略的管理。安全培訓(xùn)最終用戶的安全意識(shí)是信息系統(tǒng)是否安全的決定因素，因此對(duì)校園數(shù)據(jù)中心用戶的安全培訓(xùn)和安全服務(wù)是整個(gè)安全體系中重要、不可或缺的一部分。  建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)定義為：試圖破壞信息系統(tǒng)的完整性、機(jī)密性或可信性的任何網(wǎng)絡(luò)活動(dòng)的集合。網(wǎng)絡(luò)入侵分為三種類型：外部攻擊、內(nèi)部攻擊和特權(quán)濫用。入侵檢測(cè)就是檢測(cè)任何

30、企圖損害系統(tǒng)完整性、機(jī)密性或可信性的行為的一種網(wǎng)絡(luò)安全技術(shù)，它通過(guò)對(duì)運(yùn)行系統(tǒng)的狀態(tài)和活動(dòng)的監(jiān)視，找出異常或誤用的行為，根據(jù)所定義的安全策略，分析出非授權(quán)的網(wǎng)絡(luò)訪問(wèn)和惡意的行為，迅速發(fā)現(xiàn)入侵行為和企圖，為入侵防范提供有效的手段。入侵檢測(cè)在系統(tǒng)后臺(tái)不問(wèn)斷的運(yùn)行，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，通過(guò)對(duì)系統(tǒng)或網(wǎng)絡(luò)日志的分析，獲得系統(tǒng)或網(wǎng)絡(luò)目前的安全狀況，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的痕跡，當(dāng)檢測(cè)到非法或值得懷疑的行為時(shí)，及時(shí)報(bào)告給系統(tǒng)或網(wǎng)絡(luò)管理員，并自動(dòng)采取措施。入侵檢測(cè)作為一種提高網(wǎng)絡(luò)安全性的新方法，被認(rèn)為是防火墻的合理補(bǔ)充，它能幫助系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，從而提供對(duì)付網(wǎng)絡(luò)攻擊操作的實(shí)時(shí)性保護(hù)，擴(kuò)展了系統(tǒng)管理員的安全管理能力，（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。其作