第10章 計算機安全技術(shù)_第1頁
第10章 計算機安全技術(shù)_第2頁
第10章 計算機安全技術(shù)_第3頁
第10章 計算機安全技術(shù)_第4頁
第10章 計算機安全技術(shù)_第5頁
已閱讀5頁,還剩60頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

第10章計算機安全技術(shù)計算機安全問題是目前計算機發(fā)展的一個核心問題。本章從安全技術(shù)概念開始,討論了常見的計算機網(wǎng)絡(luò)安全攻擊問題及其工具,并給出了相關(guān)的防范建議。針對目前計算機網(wǎng)絡(luò)上病毒的泛濫,尤其是木馬病毒的猖獗,詳細介紹了木馬的工作原理。計算機安全防范,目前主流的方法有防火墻、反病毒軟件以及數(shù)據(jù)加密技術(shù),數(shù)據(jù)加密其核心思想是讓獲得信息的人如果沒有對應(yīng)的密鑰,也無法知道信息是什么,從而有效的保護信息,而防火墻技術(shù)則是把計算機與外世界隔離,使得外部的攻擊無法進來,從而有效的保護計算機上的信息不被偷窺。隨著Internet與人們的生活工作越來越分不開的現(xiàn)實,不掌握一定的計算機安全知識,將有可能因為信息安全問題而對工作、生活帶來極大的危害。本章目錄10.1計算機安全概述

10.2計算機網(wǎng)絡(luò)攻擊10.3木馬病毒

10.4常見安全技術(shù)簡介10.5信息加密技術(shù)護10.6防火墻技術(shù)10.1計算機安全概述隨著信息時代到來,電子商務(wù)、電子政務(wù),網(wǎng)絡(luò)改變?nèi)藗兊纳睿祟愡M入信息化社會。計算機系統(tǒng)與網(wǎng)絡(luò)的廣泛應(yīng)用,商業(yè)和國家機密信息的保護以及信息時代電子、信息對抗的需求,存儲信息的系統(tǒng)面臨的極大的安全威脅,潛在的網(wǎng)絡(luò)、系統(tǒng)缺陷危及系統(tǒng)的安全。計算機網(wǎng)絡(luò)的資源開放、信息共享以及網(wǎng)絡(luò)復雜性增大了系統(tǒng)的不安全性。據(jù)統(tǒng)計,幾乎每20秒全球就有一起黑客事件發(fā)生,僅美國每年所造成的經(jīng)濟損失就超過100億美元。美國每年網(wǎng)絡(luò)安全因素造成的損失達170億美元.2003年1月25日,互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒——“2003蠕蟲王”。全球25萬臺計算機遭襲擊,全世界范圍內(nèi)損失額最高可達12億美元。中美黑客網(wǎng)上大戰(zhàn)時,國內(nèi)外的上千個門戶網(wǎng)站遭到破壞。2003年2月17日發(fā)現(xiàn)一名電腦“黑客”最近“攻入”美國一個專門為商店和銀行處理信用卡交易的服務(wù)器系統(tǒng),竊取了萬事達、維薩、美國運通、發(fā)現(xiàn)4家大型信用卡組織的約800萬張信用卡資料。中國國內(nèi)80%網(wǎng)站有安全隱患,20%網(wǎng)站有嚴重安全問題利用計算機網(wǎng)絡(luò)進行的各類違法行為在中國以每年30%的速度遞增,而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%.2007年的熊貓燒香病毒給數(shù)百萬的用戶造成損失.互聯(lián)網(wǎng)存在的六大問題無主管的自由王國不設(shè)防的網(wǎng)絡(luò)空間法律約束脆弱跨國協(xié)調(diào)困難民族化和國際化的沖突網(wǎng)絡(luò)資源緊缺網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性國家、政治、商業(yè)和個人利益沖突10.1.1計算機安全定義從狹義的信息保護來看:計算機安全包含了信息的保密性、信息的完整性、防止拒絕服務(wù)。信息的保密是指保護信息不為非授權(quán)用戶掌握;信息的完整性是保護信息不致被非法篡改或破壞,拒絕服務(wù)包括臨時降低系統(tǒng)性能、系統(tǒng)崩潰而需人工重新啟動以及數(shù)據(jù)永久性丟失。歷史上,政府、企業(yè)的投資、專業(yè)人員的興趣主要在信息的保密件上。廣義的信息保護還包括信息設(shè)備的物理安全,諸如場地環(huán)境保護、防火措施、防水措施、靜電防護、電源保護、空調(diào)設(shè)備、計算機輻射和計算機病毒等。盡管近年來計算機安全技術(shù)取得廠巨大的進展,但隨著Internet的普及,網(wǎng)絡(luò)應(yīng)用的深入,計算機信息安全性比以往任何時候都更加脆弱。體現(xiàn)在:(1)計算機領(lǐng)域中任何大的技術(shù)進步都對安全性構(gòu)成新的威脅。所有這些威脅都將要新的技術(shù)來消除.而叢技術(shù)進步的速度要比克服入法進步的速度快很多。(2)網(wǎng)絡(luò)的普及,使信息共享達到了一個新的層次,信息被暴露的機會大大增多。(3)盡管操作系統(tǒng)都是有缺陷的,但可以通過版本的不斷升級來克服,現(xiàn)行的版本是可靠的,能完成基本設(shè)計功能:而計算機安全的每—個漏洞都會使系統(tǒng)的所有安全控制毫無價值。(4)安全性的地位總是列在計算機系統(tǒng)總體設(shè)計規(guī)劃的最后面.它首先考慮的是系統(tǒng)的功能、價格、性能、兼容性、可靠性、用戶界面。(5)計算機安全本身也帶來了一些約束。例如,采取措施不規(guī)范,既干擾了誠實用戶的工作,又使誠實用戶對過程控制、安全措施不熟悉。10.1.2計算機安全原則計算機安全的目的不在于系統(tǒng)百分之百安全,而應(yīng)當使之達到相當高的水平,使入侵者的非法行為變得極為困難、危險、耗資巨大,獲得的價值遠不及付出的代價。一個關(guān)鍵的安全原則是使用有效的但是并不會給那些想要真正想要獲取信息的合法用戶增加負擔的方案,尋找出一條實際應(yīng)用此原則的途徑經(jīng)常是一個困難的尋求平衡舉動。使用過于繁雜的安全技術(shù)使得合法用戶厭煩和規(guī)避你的安全協(xié)議是非常容易的。黑客時刻準備著和用這樣一些看上去無害的行動,因此擁有一個過分繁雜的安全政策將導致比沒有安全政策還要低效的安全。許多數(shù)據(jù)表明,現(xiàn)有的計算機非授權(quán)使用及欺騙行為大多數(shù)是非技術(shù)性的。計算機犯罪的突破口往往選擇在過程控制和人員控制的薄弱點上.而不是在內(nèi)部技術(shù)控制的薄弱點上。由于非技術(shù)性的偷竊行為相對容易得手,它已成為計算機犯罪的主要途徑.10.1.3計算機安全標準國際標準化組織(ISO)7498-2安全體系結(jié)構(gòu)文獻定義了安全就是最小化資產(chǎn)和資源的漏洞。資產(chǎn)可以指任何事物。漏洞是指任何可以造成破壞;系統(tǒng)或信息的弱點。威脅是指潛在的安全破壞。ISO進一步把威脅分類為偶然的或故意的,主動的或被動的。偶然威脅是指沒有事先預謀的事件,這類的威脅包括天然的災禍或錯誤的系統(tǒng)維護。故意的威脅包括非常有經(jīng)驗的攻擊者和用特殊的系統(tǒng)知識來破壞計算機或網(wǎng)絡(luò)上的數(shù)據(jù)。被動式威脅不修改系統(tǒng)中所包含的信息。與安全標準相關(guān)的是安全機制問題,根據(jù)ISO提出的,安全機制是一種技術(shù),一些軟件或?qū)嵤┮粋€或更多安全服務(wù)的過程。ISO把機制分成特殊的和普遍的。一個特殊的安全機制是在同一時間只對一種安全服務(wù)上實施一種技術(shù)或軟件。加密就是特殊安全機制的一個例子。一般的安全機制都列出了在同時實施一個或多個安全服務(wù)的執(zhí)行過程。特殊安全機制和一般安全機制不同的另一個要素是一般安全機制不能應(yīng)用到OSI參考模型的任一層上。普通的機制包括:信任的功能性:指任何加強現(xiàn)有機制的執(zhí)行過程。例如,當升級TCP/IP堆棧或運行一些軟件來加強NT,UNIX系統(tǒng)認證功能時,使用的就是普遍的機制。事件檢測:檢查和報告本地或遠程發(fā)生的事件。審計跟蹤:任何機制都允許你監(jiān)視和記錄你網(wǎng)絡(luò)上的活動。安全恢復:對一些事件作出反應(yīng),包括對于已知漏洞創(chuàng)建短期和長期的解決方案,包括對受危害系統(tǒng)的修復。10.2計算機網(wǎng)絡(luò)攻擊在網(wǎng)絡(luò)這個不斷更新?lián)Q代的世界里,網(wǎng)絡(luò)中的安全漏洞無處不在。即使舊的安全漏洞補上了,新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。也許有人認為“安全”只是針對那些大中型企事業(yè)單位和網(wǎng)站而言。其實,單從技術(shù)上說,黑客入侵的動機是成為目標主機的主人。只要他們獲得了一臺網(wǎng)絡(luò)主機的超級用戶權(quán)限后他們就有可能在該主機上修改資源配置、安置“木馬”程序、隱藏行蹤、執(zhí)行任意進程等。網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲10.2.1網(wǎng)絡(luò)攻擊的步驟第一步:隱藏自已的位置第二步:尋找目標主機并分析目標主機第三步:獲取帳號和密碼,登錄主機第四步:獲得控制權(quán)第五步:竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者進入攻擊目標后,會繼續(xù)下一步的攻擊。如:下載敏感信息、實施竊取帳號密碼、信用卡號等經(jīng)濟偷竊、使網(wǎng)絡(luò)癱瘓等。10.2.2網(wǎng)絡(luò)攻擊的常見方法與原理1.口令入侵所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多:利用目標主機的Finger功能:當用Finger命令查詢時,主機系統(tǒng)會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務(wù):有些主機沒有關(guān)閉X.500的目錄查詢服務(wù),也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經(jīng)驗的用戶都知道,很多系統(tǒng)會使用一些習慣性的帳號,造成帳號的泄露。這又有三種方法:(1)是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大。(2)在知道用戶的賬號后(如電子郵件@前面的部分)利用一些專門軟件強行破解用戶口令,這種方法不受網(wǎng)段限制,但攻擊者要有足夠的耐心和時間。(3)利用系統(tǒng)管理員的失誤。在Unix操作系統(tǒng)中,用戶的基本信息存放在passwd文件中,而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個叫shadow的文件中。入侵者獲取口令文件后,就會使用專門的破解DES加密法的程序來解口令。同時由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、Bug或一些其他設(shè)計缺陷,這些缺陷一旦被找出,入侵者就可以長驅(qū)直入。2.放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載,一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在自己的計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當用戶連接到因特網(wǎng)上時,這個程序就會通知攻擊者,來報告該用戶的IP地址以及預先設(shè)定的端口。攻擊者在收到這些信息后,再利用這個潛伏在其中的程序,就可以任意地修改該用戶的計算機的參數(shù)設(shè)定、復制文件、窺視其整個硬盤中的內(nèi)容等,從而達到控制該計算機的目的。3.WWW的欺騙技術(shù)在網(wǎng)上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過,網(wǎng)頁上的信息是虛假的!當用戶瀏覽目標網(wǎng)頁的時候,實際上是向黑客服務(wù)器發(fā)出請求,那么黑客就可以達到欺騙的目的了.一般Web欺騙使用兩種技術(shù)手段,即URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。4.電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時,還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢,甚至癱瘓。相對于其它的攻擊手段來說,這種攻擊方法具有簡單、見效快等優(yōu)點電子郵件攻擊主要表現(xiàn)為兩種方式:(1)是電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件,致使受害人郵箱被“炸”,嚴重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險,甚至癱瘓。(2)是電子郵件欺騙,攻擊者佯稱自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同),給用戶發(fā)送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序。5.通過一個節(jié)點來攻擊其他節(jié)點攻擊者在突破一臺主機后,往往以此主機作為根據(jù)地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法,嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機;也可以通過IP欺騙和主機信任關(guān)系,攻擊其他主機。6.網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式,在這種模式下,主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?,而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端,而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(如NetXRayforWindows95/98/NT、SniffitforLinux、Solaries等)就可輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號和口令具有一定的局限性,但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。7.利用黑客軟件攻擊利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權(quán)利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦,這些服務(wù)器端程序都比較小,一般會隨附帶于某些軟件上。8.安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs)。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊,由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令,系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準備用作攻擊的字符,他甚至可以訪問根目錄,從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。另一些是利用協(xié)議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發(fā)動攻擊,破壞的根目錄,從而獲得超級用戶的權(quán)限。9.端口掃描攻擊所謂端口掃描,就是利用Socket編程與目標主機的某些端口建立TCP連接、進行傳輸協(xié)議的驗證等,從而偵知目標主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。10.2.3攻擊者常用的攻擊工具1.D.O.S攻擊工具2.木馬程序10.2.4應(yīng)對網(wǎng)絡(luò)攻擊的建議在對網(wǎng)絡(luò)攻擊進行上述分析與識別的基礎(chǔ)上,應(yīng)當認真制定有針對性的策略。明確安全對象,設(shè)置強有力的安全保障體系。做到未雨稠繆,預防為主,將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況。以下是針對網(wǎng)絡(luò)安全問題,提出的幾點建議:1.提高安全意識2.使用防毒、防黑等防火墻軟件3.設(shè)置代理服務(wù)器,隱藏自已的IP地址。10.3木馬病毒10.3.1木馬的基本知識木馬,也稱特伊洛木馬,名稱源于古希臘的特伊洛馬神話通過對以往網(wǎng)絡(luò)安全事件的分析統(tǒng)計發(fā)現(xiàn),有相當部分的網(wǎng)絡(luò)入侵是通過木馬來進行的,包括著名的微軟被黑一案,據(jù)稱該黑客是通過一種普通的蠕蟲木馬侵入微軟的系統(tǒng)的,并且竊取了微軟部分產(chǎn)品的源碼。木馬的危害性在于它對電腦系統(tǒng)強大的控制和破壞能力,竊取密碼、控制系統(tǒng)操作、進行文件操作等等,一個功能強大的木馬一旦被植入你的計算機,攻擊者就可以象操作自己的計算機一樣控制你的計算機,甚至可以遠程監(jiān)控你的所有操作。10.3.2木馬的基本工作原理一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序,其中客戶端是用于攻擊者遠程控制植入木馬的機器,服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng),他所做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件植入到被攻擊者的電腦系統(tǒng)里,如郵件、下載等,然后通過一定的提示故意誤導被攻擊者打開執(zhí)行文件一般的木馬執(zhí)行文件非常小,大都是幾K到幾十K,如果把木馬捆綁到其它正常文件上是很難發(fā)現(xiàn)的,所以,有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬病毒文件的,在執(zhí)行這些下載的文件,也同時運行了木馬。木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入,由于IE瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制,曾出現(xiàn)過一個利用微軟Scripts腳本漏洞對瀏覽者硬盤進行格式化的Html頁面。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機的一個可執(zhí)行WWW目錄夾里面,他可以通過編制Cgi程序在攻擊主機上執(zhí)行木馬目錄.木馬還可以利用系統(tǒng)的一些漏洞進行植入,如微軟著名的IIS服務(wù)器溢出漏洞,通過一個IISHACK攻擊程序即在把IIS服務(wù)器崩潰,并且同時在攻擊服務(wù)器執(zhí)行遠程木馬執(zhí)行文件10.3.3木馬如何發(fā)送信息給攻擊者?當木馬在被植入被攻擊主機后,它一般會通過一定的方式把入侵主機的信息,如主機的IP地址、木馬植入的端口等發(fā)送給攻擊者,這樣攻擊者有這些信息才能夠與木馬里應(yīng)外合控制攻擊主機。在早期的木馬里面,大多都是通過發(fā)送電子郵件的方式把入侵主機信息告訴攻擊者,有一些木馬文件干脆把主機所有的密碼用郵件的形式通知給攻擊者,這樣攻擊者不用直接連接被攻擊主機就可獲得一些重要數(shù)據(jù),如攻擊OICQ密碼的GOP木馬即是如此。使用電子郵件的方式對攻擊者來說并不是最好的一種選擇,因為如果木馬被發(fā)現(xiàn),可以能過這個電子郵件的地址找出攻擊者。現(xiàn)在還有一些木馬采用的是通過發(fā)送UDP或者ICMP數(shù)據(jù)包的方式通知攻擊者。10.3.4木馬隱身之處1.集成到程序中2.隱藏在配置文件中3.潛伏在Win.ini中4.偽裝在普通文件中5.內(nèi)置到注冊表中6.在System.ini中藏身7.隱形于啟動組中8.隱蔽在Winstart.bat中9.捆綁在啟動文件中10.設(shè)置在超級連接中10.4常見安全技術(shù)簡介

10.4.1殺毒軟件技術(shù)殺毒軟件是最為普遍的,也是應(yīng)用得最為廣泛的安全技術(shù)方案,因為這種技術(shù)實現(xiàn)起來最為簡單,但是殺毒軟件的主要功能就是殺毒,功能十分有限,不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對于個人用戶或小企業(yè)或許還能滿足需要,但如果個人或企業(yè)有電子商務(wù)方面的需求,就不能完全滿足了??上驳氖请S著殺毒軟件技術(shù)的不斷發(fā)展,現(xiàn)在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵。10.4.2防火墻技術(shù)防火墻是一種由計算機硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入,也就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻從實現(xiàn)方式上來分,又分為硬件防火墻和軟件防火墻兩類,通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結(jié)合來達到隔離內(nèi)、外部網(wǎng)絡(luò)的目的,價格較貴,但效果較好,一般小型企業(yè)和個人很難實現(xiàn)。軟件防火墻是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。硬件防火墻從技術(shù)又可分為兩類,即標準防火墻和雙家網(wǎng)關(guān)防火墻隨著防火墻技術(shù)的發(fā)展,雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置,一種是隱蔽主機網(wǎng)關(guān)方式,另一種是隱蔽智能網(wǎng)關(guān)(隱蔽子網(wǎng))。10.4.3文件加密和數(shù)字簽名技術(shù)與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù),它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。1.數(shù)據(jù)傳輸加密技術(shù):目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端對端加密兩種。2.數(shù)據(jù)存儲加密技術(shù):這種加密技術(shù)的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲和存取控制兩種。3.數(shù)據(jù)完整性鑒別技術(shù):目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證,達到保密的要求,一般包括口令、密鑰、身份、數(shù)據(jù)等項的鑒別,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設(shè)定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。4.密鑰管理技術(shù)數(shù)據(jù)的加密技術(shù)通常是運用密鑰對數(shù)據(jù)進行加密,這就涉及到一個密鑰的管理問題,因為用加密軟件進行加密時所用的密鑰通常不是我們平常所用的密碼那么簡單,一般情況下,這種密鑰達64位,甚至可能達到128位,顯然要記憶這些密鑰非常困難,只能保存在一個安全的地方,即進行密鑰的管理。10.4.4加密技術(shù)在智能卡上的應(yīng)用與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能比較有效。該技術(shù)是目前使用得最廣泛的,如常用的IC卡、銀行取款卡、智能門鎖卡等等但應(yīng)當了解的是:“安全”都是相對,不可能寄希望有了安全措施之后就能保證信息萬無一失,任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護的防范措施是有一定的限度。10.5信息加密技術(shù)信息加密技術(shù)是一門專門研究數(shù)據(jù)加密的學科,應(yīng)用信息加密可以保證數(shù)據(jù)的安全性,也可用于驗證用戶,是在實現(xiàn)網(wǎng)絡(luò)安全的重要手段之一。利用信息加密技術(shù)可以獲得以下安全上的好處:數(shù)據(jù)保密性:這是使用加密的通常的原因。通過小心使用數(shù)學方程式,可以保證只讓有權(quán)接收的人才能查看它。數(shù)據(jù)完整性:對需要更安全來說數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解開修改。一種叫HASH的運算方法能確定數(shù)據(jù)是否被修改過。認證:數(shù)字簽名提供認證服務(wù)。不可否定性:數(shù)字簽名允許用戶證明一條信息交換確實發(fā)生過。金融組織尤其依賴于這種方式的加密,用于電子貨幣交易。10.5.1加密強度在加密信息的過程中,—個常被討論但又經(jīng)常被誤解的方面是加密強度。什么構(gòu)成了加密的強度?哪種級別的加密是被不同的安全需要所要求的?如何確定加密的有效強度?加密強度取決于二個主要因素:首先是算法的強度,其次是密鑰的保密性,最后是密鑰長度一般的,決定需要密鑰的長度的—個重要因素是被保護信息的價值。比如40位的密鑰對于金融交易來說并不合適的,但對于個人用戶已經(jīng)足夠了。強加密一般是使用超過128位長度的密鑰來實施。10.5.2建立信任關(guān)系應(yīng)用加密技術(shù)目的是在主機之間建立一種信任關(guān)系。在最基本的級別上,一個信任關(guān)系包括一方加密的信息并只有另一方的合作伙伴可以解密這個文件。這種任務(wù)是用公鑰加密來完成的。這種類別的加密要求建立一個私鑰和一個公鑰。一旦已經(jīng)產(chǎn)生了一對密鑰,就可以把公鑰發(fā)布給任何人。一般通過以下兩種方法來發(fā)布公鑰:手動:你首先必須和接收方交換公鑰,然后用接收方的公鑰來加密信息。自動:SSL和IPSec可以通過一系列的握手可以安全地交換信息(包括私鑰)。10.5.3對稱加密在對稱加密或單密鑰加密中,只有一個密鑰用來加密和解密信息。盡管單密鑰加密的一個簡單的過程,但要求雙方都必須完全的信賴對方,并都持有這個密鑰的備份。要達到這種信任的級別比較困難,如果雙方試圖建立信任關(guān)系時,安全破壞已經(jīng)發(fā)生了,則密鑰的傳輸就是—個重要問題,如果它被截取,那么這個密鑰以及相關(guān)的重要信息的安全性就喪失了。對稱加密的好處就是快速并且強壯。這種特點允許你加密大量的信息而只需要幾秒鐘。對稱加密的缺點是有關(guān)密鑰的傳播,所有的接收者和查看者都必須持有相同的密鑰,因此所有的用戶必須尋求一種安全的方法來發(fā)送和接收密鑰。10.5.4非對稱加密非對稱加密在加密的過程中使用一對密鑰,而不像對稱加密只使用—個單獨的密鑰?!獙γ荑€中一個用于加密,另一個用來解密。如用A加密,則用B解密,如果用B加密,則要用A解密。在這對密鑰中一個密鑰用來公用,另一個作為私有的密鑰:用來向外公布的叫做公鑰,另一個需要安全保護的是私鑰。非對稱加密的一個缺點就是加密的速度非常慢,因為需要強烈的數(shù)學運算程序。如果一個用戶需要使用非對稱加密,那么即使比較少量的信息可以也要花上小時的時間。10.6防火墻技術(shù)10.5.5HASH加密HASH加密把一些不同長度的信息轉(zhuǎn)化成雜亂的128位編碼,稱為HASH值。HASH加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能的,其思想是通過比較兩個實體的HASH值是否一樣而不用告之其它信息。HASH加密別一種用途是簽名文件。它還可用于當你想讓別人檢查但不能復制信息的時候。自從1986年美國Digital公司在Intemet上安裝了全球第一個商用防火墻系統(tǒng)后,防火墻技術(shù)得到了飛速的發(fā)展。第一代防火墻,又稱包過濾防火墻,主要通過對數(shù)據(jù)包源地址、目的地址、端口號等參數(shù)來決定是否允許該數(shù)據(jù)包通過,對其進轉(zhuǎn)發(fā),但這種防火墻很難抵御IP地址欺騙等攻擊,而且審計功能很差。第二代防火墻,也稱代理服務(wù)器,它用來提供網(wǎng)絡(luò)服務(wù)級的控制,起到外部網(wǎng)絡(luò)向被保護的內(nèi)部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接作用,這種方法可以有效地防止對內(nèi)部網(wǎng)絡(luò)的直接攻擊,安全性較高。第三代防火墻有效地提高了防火墻的安全性,稱為狀態(tài)監(jiān)控功能防火墻,它可以對每一層的數(shù)據(jù)包進行檢測和監(jiān)控。第四代防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇,已經(jīng)演變成一個全方位的安全技術(shù)集成系統(tǒng),它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段

10.6.1防火墻定義防火墻語參考來自己應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻,用來隔離不同的房間,盡可能的起防火作用。一旦某個單元起火這種方法保護了其它的居住者。一般地,防火墻里都有一個重要的門,允許人們進入或離開大樓。因此,雖然防火墻保護了人們的安全,但這個門在提供增強安全性的同時允許必要的訪問。在計算機網(wǎng)絡(luò)中,一個網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動的屏障,并可通過一個“門”來允許人們在你的安全網(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信10.6.2防火墻的任務(wù)防火墻在實施安全的過程中是至關(guān)重要的。一個防火墻策略要實現(xiàn)四個目標,而每個目標通常都不是通過一個單獨的設(shè)備或軟件來實現(xiàn)的。實現(xiàn)一個企業(yè)的安全策略:防火墻的主要意圖是強制執(zhí)行企業(yè)的安全策略創(chuàng)建一個阻塞點:防火墻在一個Intranet網(wǎng)絡(luò)和Internet間建立一個檢查點。記錄Internet活動:防火墻還能夠強制日志記錄,并且提供警報功能。限制網(wǎng)絡(luò)暴露:防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個保護的邊界。10.6.3防火墻術(shù)語1.網(wǎng)關(guān):網(wǎng)關(guān)是在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口(CGl)到在兩臺主機間處理流量的防火墻網(wǎng)關(guān)。2.電路級網(wǎng)關(guān):電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息,決定該會話是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。3.應(yīng)用級網(wǎng)關(guān)可以工作在OSI七層模型的任一層上,能夠檢查進出的數(shù)據(jù)包,通過網(wǎng)關(guān)復制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。4.包過濾:包過濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。5.代理服務(wù)器:代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器通常是指一個應(yīng)用級的網(wǎng)關(guān),電路級網(wǎng)關(guān)也可作為代理服務(wù)器的一種。6.網(wǎng)絡(luò)地址翻譯(NAT):網(wǎng)絡(luò)地址解釋是對Intemet隱藏內(nèi)部地址,防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制,完善內(nèi)部尋址模式。7.堡壘主機:堡壘主機是一種被強化的可以防御進攻的計算機,被暴露于因特網(wǎng)之上,作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點,以達到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決,從而省時省力,不用考慮其它主機的安全的目的。10.6.4防火墻技術(shù)1.包過濾技術(shù)包過濾防火墻的安全性是基于對包的IP地址的校驗。按照預先設(shè)定的過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉,以保證網(wǎng)絡(luò)系統(tǒng)的安全。2.代理技術(shù)代理服務(wù)器接收客戶請求后會檢查驗證其合法性,如果合法,代理服務(wù)器像一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來,從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論