計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)(9)網(wǎng)絡(luò)安全

第9章09網(wǎng)絡(luò)安全學(xué)

習(xí)

目

標(biāo)了解網(wǎng)絡(luò)安全的概念、網(wǎng)絡(luò)面臨的威脅以及網(wǎng)絡(luò)安全的內(nèi)容。了解數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)和身份認(rèn)證技術(shù)。了解防火墻技術(shù)。了解計算機(jī)防病毒技術(shù)。9.1網(wǎng)絡(luò)安全基礎(chǔ)9.1.1網(wǎng)絡(luò)安全概述隨著計算機(jī)技術(shù)和通信技術(shù)的高速發(fā)展，網(wǎng)絡(luò)的開放性、互連性、共享性程度的擴(kuò)大，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。從本質(zhì)上講，網(wǎng)絡(luò)安全問題主要就是網(wǎng)絡(luò)信息的安全問題。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。9.1網(wǎng)絡(luò)安全基礎(chǔ)概括起來，一個安全的計算機(jī)網(wǎng)絡(luò)應(yīng)具有以下特征。（1）完整性指網(wǎng)絡(luò)中的信息安全、精確和有效，不因種種不安全因素而改變信息原有的內(nèi)容、形式和流向，確保信息在存儲或傳輸過程中不被修改、破壞或丟失。（2）保密性指網(wǎng)絡(luò)上的保密信息只供經(jīng)過允許的人員，以經(jīng)過允許的方式使用，信息不泄露給未授權(quán)的用戶、實(shí)體或過程，或供其利用。（3）可用性指網(wǎng)絡(luò)資源在需要時即可使用，不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用。（4）不可否認(rèn)性指面向通信雙方信息真實(shí)統(tǒng)一的安全要求，包括收、發(fā)方均不可抵賴。（5）可控性指對信息的傳播及內(nèi)容具有控制能力。9.1網(wǎng)絡(luò)安全基礎(chǔ)9.1.2網(wǎng)絡(luò)面臨的安全威脅目前，網(wǎng)絡(luò)面臨的安全威脅主要有以下幾個方面。黑客的惡意攻擊1“黑客（Hacker）”對于大家來說并不陌生，他們是一群利用自己的技術(shù)專長專門攻擊網(wǎng)站和計算機(jī)而不暴露身份的計算機(jī)用戶。事實(shí)上，黑客中的大部分人不傷害別人，但是也會做一些不應(yīng)該做的事情；部分黑客不顧法律與道德的約束，由于尋求刺激、被非法組織收買或?qū)δ硞€企業(yè)、組織報復(fù)心理，而肆意攻擊與破壞一些企業(yè)、組織的計算機(jī)網(wǎng)絡(luò)，這部分黑客對網(wǎng)絡(luò)安全有很大的危害。由于現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客們善于隱蔽，攻擊“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅。9.1網(wǎng)絡(luò)安全基礎(chǔ)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞與缺陷2計算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行一定會涉及計算機(jī)硬件與操作系統(tǒng)、網(wǎng)絡(luò)硬件與軟件、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用軟件，以及網(wǎng)絡(luò)通信協(xié)議等。各種計算機(jī)硬件與操作系統(tǒng)、應(yīng)用軟件都會存在一定的安全問題，它們不可能是百分之百無缺陷或無漏洞的。TCP/IP協(xié)議是Internet使用的基本協(xié)議，該協(xié)議中也會找到被攻擊者利用的漏洞。這些缺陷和漏洞恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。9.1網(wǎng)絡(luò)安全基礎(chǔ)網(wǎng)絡(luò)病毒3病毒對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全造成了極大的威脅，病毒在發(fā)作時通常會破壞數(shù)據(jù)，使軟件的工作不正?；虬c瘓；有些病毒的破壞性更大，它們甚至能破壞硬件系統(tǒng)。隨著網(wǎng)絡(luò)的使用，病毒傳播的速度更快，范圍更廣，造成的損失也更加嚴(yán)重。據(jù)統(tǒng)計，目前70%的病毒發(fā)生在網(wǎng)絡(luò)中。聯(lián)網(wǎng)計算機(jī)的病毒傳播速度是單機(jī)的20倍，網(wǎng)絡(luò)服務(wù)器殺毒花費(fèi)的時間是單機(jī)的40倍。9.2網(wǎng)絡(luò)加密技術(shù)9.2.1數(shù)據(jù)加密技術(shù)概述面對網(wǎng)絡(luò)安全的各種威脅，防止網(wǎng)絡(luò)傳輸信息被非法獲取或破壞成為Internet安全技術(shù)的重要內(nèi)容。數(shù)據(jù)加密成為實(shí)現(xiàn)數(shù)據(jù)機(jī)密性保護(hù)的主要方法。數(shù)據(jù)加密是通過某種函數(shù)進(jìn)行變換，將正常的數(shù)據(jù)報文（稱為明文）轉(zhuǎn)變?yōu)槊芪模ㄒ卜Q為密碼）的方法。解密是加密的逆操作。用來將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)稱為密鑰。加密技術(shù)一般分為對稱加密技術(shù)和非對稱加密技術(shù)兩類。對稱加密技術(shù)是指加密和解密使用同一密鑰。非對稱加密技術(shù)是指加密和解密使用不同的密鑰，分別稱為“公鑰”和“私鑰”，兩種密鑰必須同時使用才能打開相應(yīng)的加密文件。公鑰可以完全公開，而私鑰只有持有人持有。9.2網(wǎng)絡(luò)加密技術(shù)對稱加密技術(shù)1對稱加密技術(shù)采用的是對稱加密算法。該技術(shù)的特點(diǎn)是在保密通信系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送，而且雙方通信所用的密鑰必須妥善保管。對稱密碼具有加密速度快，保密度高等優(yōu)點(diǎn)，在軍事、外交以及商業(yè)領(lǐng)域得到了廣泛應(yīng)用。在公開的計算機(jī)網(wǎng)絡(luò)上采用對稱密鑰加密體系，其最薄弱的環(huán)節(jié)是如何安全地傳送和保管密鑰。9.2網(wǎng)絡(luò)加密技術(shù)非對稱加密技術(shù)2非對稱加密技術(shù)使用非對稱加密算法，也稱為公用密鑰算法。在非對稱加密算法中，用作加密的密鑰與用作解密的密鑰不同，而且解密密鑰不能根據(jù)加密密鑰計算出來。在網(wǎng)絡(luò)上傳輸采用對稱加密技術(shù)的加密文件時，當(dāng)把密鑰告訴對方時，很容易被其他人竊聽到。而非對稱加密方法有兩個密鑰，且其中的“公鑰”是公開的，收件人解密時只要用自己的“私鑰”即可解密，由于“私鑰”并沒有在網(wǎng)絡(luò)中傳輸，這樣就避免了密鑰傳輸可能出現(xiàn)的安全問題。在實(shí)際應(yīng)用過程中，通常利用兩種密鑰體制的長處，采用二者相結(jié)合的方式對信息進(jìn)行加密。例如，對實(shí)際傳輸?shù)臄?shù)據(jù)采用對稱加密技術(shù)，這樣數(shù)據(jù)傳輸速度較快；為了防止密鑰泄露，傳輸密鑰時采用非對稱加密技術(shù)加密，使密鑰的傳送有了安全的保障。8.2.2數(shù)字簽名現(xiàn)實(shí)生活中的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性。那么在計算機(jī)網(wǎng)絡(luò)中傳送的文件又如何蓋章呢？這就要使用數(shù)字簽名。數(shù)字簽名是一種信息認(rèn)證技術(shù)，它利用數(shù)據(jù)加密技術(shù)、數(shù)據(jù)變換技術(shù)，根據(jù)某種協(xié)議來產(chǎn)生一個反映被簽署文件和簽署人的特征，以保證文件的真實(shí)性和有效性，同時也可用來核實(shí)接收者是否存在偽造、篡改文件的行為。簡單地說，數(shù)字簽名就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實(shí)性的一個有效證明。9.2網(wǎng)絡(luò)加密技術(shù)數(shù)字簽名技術(shù)1數(shù)字簽名技術(shù)是公開密鑰加密技術(shù)和報文分解函數(shù)相結(jié)合的產(chǎn)物。與數(shù)據(jù)加密不同，數(shù)字簽名的目的是為了保證信息的完整性和真實(shí)性。數(shù)字簽名必須保證以下3點(diǎn)：（1）接收者能夠核實(shí)發(fā)送者對消息的簽名。（2）發(fā)送者事后不能抵賴對消息的簽名。（3）接收者不能偽造、篡改對消息的簽名。9.2網(wǎng)絡(luò)加密技術(shù)身份認(rèn)證是指對用戶身份的正確識別和校驗(yàn)，它包括識別和驗(yàn)證兩方面的內(nèi)容。識別是指要明確訪問者的身份，為了區(qū)別不同的用戶，每個用戶使用的標(biāo)識各不相同。驗(yàn)證則是指在訪問者聲明其身份后，系統(tǒng)對他的身份的檢驗(yàn)，以防止假冒。身份認(rèn)證是防止主動攻擊的重要技術(shù)，目前廣泛使用的認(rèn)證方法有口令驗(yàn)證、信物驗(yàn)證和利用個人獨(dú)有的特性進(jìn)行驗(yàn)證等。身份認(rèn)證技術(shù)29.3防火墻技術(shù)在各種網(wǎng)絡(luò)安全技術(shù)中，作為保護(hù)局域網(wǎng)的第一道屏障與實(shí)現(xiàn)網(wǎng)絡(luò)安全的一個有效手段，防火墻技術(shù)應(yīng)用最為廣泛，也備受青睞。9.3.1防火墻的概念和作用防火墻原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生時蔓延到別的房屋?，F(xiàn)在的防火墻（Firewall），是指位于兩個或多個網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問安全控制的一組組件的集合。9.3防火墻技術(shù)防火墻作為內(nèi)網(wǎng)和外網(wǎng)之間的屏障，控制內(nèi)網(wǎng)和外網(wǎng)的連接，實(shí)質(zhì)就是隔離內(nèi)網(wǎng)與外網(wǎng)，并提供存取控制和保密服務(wù)，使內(nèi)網(wǎng)有選擇地與外網(wǎng)進(jìn)行信息交換。內(nèi)網(wǎng)通常稱為可信賴的網(wǎng)絡(luò)，而外網(wǎng)被稱為不可信賴的網(wǎng)絡(luò)。所有的通信，無論是從內(nèi)部到外部，還是從外部到內(nèi)部，都必須經(jīng)過防火墻，如圖8-1所示。防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。防火墻既可以是一臺路由器、一臺計算機(jī)，也可以是由多臺主機(jī)構(gòu)成的體系。Internet路由器交換機(jī)用戶內(nèi)部網(wǎng)外部網(wǎng)防火墻內(nèi)網(wǎng)服務(wù)器群外網(wǎng)服務(wù)器群圖8-1防火墻9.3防火墻技術(shù)9.3.2防火墻的類型防火墻有多種形式，有的以軟件形式運(yùn)行在普通計算機(jī)上，有的以硬件形式集成在路由器中。最常見的分類方式將防火墻分為兩類，即包過濾型防火墻和應(yīng)用級防火墻。包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層，它根據(jù)數(shù)據(jù)包中的源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過，只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被丟棄。包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍δ硞€具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗軡M足絕大多數(shù)企業(yè)的安全要求。包過濾型防火墻193防火墻技術(shù)應(yīng)用級防火墻又稱為應(yīng)用級網(wǎng)關(guān)，也就是代理防火墻。它工作在OSI的最高層，即應(yīng)用層。應(yīng)用級防火墻通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。在應(yīng)用級防火墻技術(shù)的發(fā)展過程中，經(jīng)歷了兩個不同的版本。應(yīng)用級防火墻2這類防火墻是通過一種代理技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻是公認(rèn)的最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。1）第一代應(yīng)用網(wǎng)關(guān)型防火墻9.3防火墻技術(shù)這類防火墻是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。它可以結(jié)合網(wǎng)關(guān)型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎(chǔ)之上將應(yīng)用級防火墻的性能提高10倍以上。使用代理服務(wù)，網(wǎng)絡(luò)的安全性雖然得到增強(qiáng)，但也產(chǎn)生了很大的代價，比如，需要購買網(wǎng)關(guān)硬件平臺和代理服務(wù)應(yīng)用程序、學(xué)習(xí)相關(guān)的知識、投入時間配置網(wǎng)關(guān)以及缺乏透明度導(dǎo)致系統(tǒng)對用戶不太友好等。因此，網(wǎng)絡(luò)管理員必須權(quán)衡系統(tǒng)的安全需要與用戶使用方便之間的關(guān)系。需要注意的是，可以允許用戶訪問代理服務(wù)，但絕對不允許用戶登錄到應(yīng)用網(wǎng)關(guān)，如果允許用戶登錄到防火墻系統(tǒng)上，防火墻的安全就會受到威脅，可能會造成入侵者損害防火墻的后果。2）第二代自適應(yīng)代理型防火墻9.4病毒與木馬隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及其應(yīng)用的廣泛普及，計算機(jī)病毒的花樣也層出不窮，它的廣泛傳播給網(wǎng)絡(luò)帶來了災(zāi)難性的影響。因此，如何有效地防范計算機(jī)病毒已經(jīng)成為眾多用戶關(guān)心的話題。9.4.1病毒簡介計算機(jī)病毒（ComputerVirus）是指編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者損壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。與醫(yī)學(xué)上的“病毒”不同，計算機(jī)病毒不是天然存在的，是某些人利用計算機(jī)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機(jī)的存儲介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計算機(jī)資源進(jìn)行破壞。9.4病毒與木馬計算機(jī)病毒具有以下幾個明顯的特征。（1）傳染性。傳染性是計算機(jī)病毒的基本特征。傳染性是指病毒具有將自身復(fù)制到其他程序的能力。計算機(jī)病毒可通過各種可能的渠道去傳染其他的計算機(jī)，如U盤、硬盤、光盤、電子郵件、網(wǎng)絡(luò)等。（2）破壞性。計算機(jī)病毒感染系統(tǒng)后，會對系統(tǒng)產(chǎn)生不同程度的影響，例如大量占用系統(tǒng)資源、刪除硬盤上的數(shù)據(jù)、破壞系統(tǒng)程序、造成系統(tǒng)崩潰，甚至破壞計算機(jī)硬件，給用戶帶來巨大損失。9.4病毒與木馬（3）隱蔽性。計算機(jī)病毒具有很強(qiáng)的隱蔽性。一般病毒代碼設(shè)計得非常短小精悍，非常便于隱藏到其他程序中或磁盤某一特定區(qū)域內(nèi)，且沒有外部表現(xiàn)，很難被人發(fā)現(xiàn)。隨著病毒編寫技巧的提高，對病毒進(jìn)行各種變種或加密后，容易造成殺毒軟件漏查或錯殺。（4）潛伏性。大部分病毒感染系統(tǒng)后一般不會馬上發(fā)作，而是潛伏在系統(tǒng)中，只有當(dāng)滿足特定條件時才啟動并發(fā)起破壞。病毒的潛伏性越好，其在系統(tǒng)中存在的時間就越長，病毒的傳染范圍就越大。例如黑色星期五病毒，不到預(yù)定的時間，用戶就不會感覺異常，一旦遇到13日并且是星期五，病毒就會被激活并且對系統(tǒng)進(jìn)行破壞。9.4病毒與木馬（5）寄生性。計算機(jī)病毒可寄生在其他程序中，病毒所寄生的程序我們稱為宿主程序，由于病毒很小不容易被發(fā)現(xiàn)，所以在宿主程序未啟動之前，用戶很難發(fā)覺病毒的存在。而一旦宿主程序被用戶執(zhí)行，病毒代碼就會被激活，進(jìn)而產(chǎn)生一系列破壞活動。9.4病毒與木馬“特洛伊木馬”簡稱“木馬”，名稱來源于希臘神話“木馬屠城記”。特洛伊木馬是指表面上是有用的軟件，實(shí)際上卻危害計算機(jī)安全的程序。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件。它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者計算機(jī)的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的計算機(jī)。完整的木馬程序一般由兩個部分組成：一個是服務(wù)器程序，一個是控制器程序。常說的“中了木馬”就是指安裝了木馬的服務(wù)器程序。若某臺計算機(jī)被安裝了服務(wù)器程序，則擁有控制器程序的人或計算機(jī)就可以通過網(wǎng)絡(luò)控制該計算機(jī)，這時該計算機(jī)上的各種文件、程序以及在使用的賬號、密碼就無安全可言了。9.4.3特洛伊木馬9.4病毒與木馬防止病毒入侵要比病毒入侵后再去發(fā)現(xiàn)和消除它更為重要。為了將病毒拒之門外，用戶要做好以下預(yù)防措施。9.4.4計算機(jī)病毒的防治對一些來歷不明的郵件及附件不要打開，并盡快刪除；不要訪問一些不太了解的網(wǎng)站，更不要輕易打開網(wǎng)站鏈接；不要執(zhí)行從Internet下載未經(jīng)殺毒處理的軟件等。建立良好的安全習(xí)慣19.4病毒與木馬默認(rèn)情況下，操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、Telnet和Web服務(wù)器等。這些服務(wù)為攻擊者提供了方便，而對用戶卻沒有太大的用處。在不影響用戶使用的情況下刪除這些服務(wù)，能夠大大減少被攻擊的可能性。關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)2據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進(jìn)行傳播的，像紅色代碼、尼姆達(dá)、沖擊波等病毒，所以應(yīng)該定期下載、更新系統(tǒng)安全補(bǔ)丁，防患于未然。及時升級操作系統(tǒng)的安全補(bǔ)丁39.4病毒與木馬一些用戶不習(xí)慣設(shè)置系統(tǒng)密碼，這種方式存在很大的安全隱患。因?yàn)橐恍┚W(wǎng)絡(luò)病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的。使用并設(shè)置復(fù)雜的密碼將會大大提高計算機(jī)的安全系數(shù)。為操作系統(tǒng)設(shè)置復(fù)雜的密碼4在病毒日益增多的今天，使用殺毒軟件進(jìn)行病毒查殺是最簡單、有效，也是越來越經(jīng)濟(jì)的選擇。用戶在安裝了殺毒軟件后，應(yīng)該經(jīng)常升級至最新版本，并定期掃描計算機(jī)。安裝專業(yè)的防病毒軟件59.4病毒與木馬對于計算機(jī)