第10章-計算機網(wǎng)絡(luò)安全(余)

第10章計算機網(wǎng)絡(luò)平安本章主要內(nèi)容:計算機網(wǎng)絡(luò)平安概念及采取的相關(guān)策略訪問控制技術(shù)計算機病毒與防治防火墻技術(shù)入侵檢測技術(shù)數(shù)據(jù)加密技術(shù)其它平安技術(shù)簡介實訓(xùn)指導(dǎo)10.1計算機網(wǎng)絡(luò)平安的概述計算機網(wǎng)絡(luò)平安的概念從狹義的保護(hù)角度來看，計算機網(wǎng)絡(luò)平安是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。從廣義來說，但凡涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)平安的研究領(lǐng)域。⑴保密性：信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。⑵完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和喪失的特性。⑶可用性：可被授權(quán)實體訪問并按需求使用的特性，即當(dāng)需要時應(yīng)能存取所需的信息。⑷真實性：信息不被惡意修改的特性。⑸可控性：對信息的傳播及內(nèi)容具有控制能力。影響計算機網(wǎng)絡(luò)平安的主要因素:⑴來自操作系統(tǒng)或應(yīng)用系統(tǒng)方面的因素⑵黑客攻擊的因素⑶病毒的因素⑷設(shè)備受損的因素⑸管理方面的因素計算機網(wǎng)絡(luò)平安策略平安策略是指一個特定環(huán)境中,為保證提供一定級別的平安保護(hù)所必須遵守的規(guī)那么。平安策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。平安策略決定采用何種方式和手段來保證網(wǎng)絡(luò)系統(tǒng)的平安。⑴物理平安策略:保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理平安是整個網(wǎng)絡(luò)平安的前提。物理平安是保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它實體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤及各種計算機犯罪行為導(dǎo)致的破壞過程。⑵訪問控制策略:訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問,它是保證網(wǎng)絡(luò)平安最重要的核心策略之一。通過入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級平安控制、屬性平安控制、網(wǎng)絡(luò)效勞器平安控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的平安控制等多種形式實現(xiàn)訪問控制。⑶數(shù)據(jù)加密策略:“信息加密〞在保護(hù)網(wǎng)絡(luò)平安尤其是數(shù)據(jù)信息的平安方面有著不可替代、無可比較的作用。數(shù)據(jù)加密技術(shù)是包括算法、協(xié)議、管理的龐大體系。加密算法是根底，密碼協(xié)議是關(guān)鍵，密鑰管理是保障。⑷防火墻控制策略:防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),用來限制外部非法用戶訪問內(nèi)部網(wǎng)絡(luò)資源，通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。⑸網(wǎng)絡(luò)入侵檢測技術(shù):入侵檢測的定義為識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此做出反響的過程。它不僅檢測來自外部的入侵行為，同時也檢測來自內(nèi)部用戶的未授權(quán)活動。入侵檢測應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。⑹備份和恢復(fù)技術(shù):用備份和鏡像技術(shù)提高完整性。⑺有害信息的過濾:對于計算機網(wǎng)絡(luò)，由于使用人群的特定性，必須要對網(wǎng)絡(luò)的有害信息加以過濾，防止一些色情、暴力和反動信息危害學(xué)生的身心健康，必須采用一套完整的網(wǎng)絡(luò)管理和信息過濾相結(jié)合的系統(tǒng)。⑻網(wǎng)絡(luò)平安管理標(biāo)準(zhǔn):在網(wǎng)絡(luò)平安中，除了采用技術(shù)措施之外，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)平安、可靠地運行將起到十分有效的作用。計算機網(wǎng)絡(luò)的平安問題，不僅是設(shè)備，技術(shù)的問題，更是管理的問題。10.2訪問控制技術(shù)訪問控制是指為了限制訪問主體對訪問客體的訪問權(quán)限。訪問主體也稱為發(fā)起者，是一個主動的實體,如用戶、進(jìn)程、效勞等。訪問客體是指需要保護(hù)的資源，如信息資源、處理資源、通信資源和物理資源等。訪問控制的一般模型用一個簡單的命題來描述的話，可以表示為：“誰〔Who〕對哪些資源〔What〕能進(jìn)行怎樣的權(quán)限〔How〕操作〞。訪問控制矩陣實例

目標(biāo)用戶資源X資源Y資源Z用戶a讀、修改、管理讀、修改、管理用戶b讀、修改、管理用戶c讀讀、修改用戶d讀讀、修改幾種常用的訪問控制模型:⑴自主訪問控制〔Discretionaryaccesscontrol，簡稱DAC〕允許對象的屬主來制定針對該對象的保護(hù)策略。⑵強制訪問控制模型〔MandatoryaccesscontrolModel,簡稱MAC〕是一種等級訪問控制策略，它們主要特點是系統(tǒng)對主機和客體實行強制訪問控制，在實施訪問控制時，系統(tǒng)先對主體和客體的用戶不能改變他們的平安級別或?qū)ο蟮钠桨矊傩?。⑶基于角色的訪問控制模型〔Role-basedAccessModel，簡稱RBAC〕的根本思想是將權(quán)限分配給一定的角色，用戶通過不同的角色獲得角色所擁有的權(quán)限。根據(jù)應(yīng)用環(huán)境的不同，訪問控制主要有以下三種：

網(wǎng)絡(luò)訪問控制主機/操作系統(tǒng)訪問控制應(yīng)用程序訪問控制10.3計算機病毒與防治

計算機病毒:《中華人民共和國計算機信息系統(tǒng)平安保護(hù)條例》中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼〞。計算機病毒主要特點:傳染性潛伏性破壞性可觸發(fā)性寄生性隱蔽性非法性計算機病毒對計算機的影響計算機病毒對計算機系統(tǒng)或數(shù)據(jù)的破壞影響計算機運行速度計算機病毒給用戶造成嚴(yán)重的心理壓力網(wǎng)絡(luò)病毒:已經(jīng)成為計算機網(wǎng)絡(luò)平安的最大威脅之一。而網(wǎng)絡(luò)病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛。蠕蟲病毒的傳播可以分為3個根本模塊：掃描模塊、攻擊模塊和復(fù)制模塊計算機病毒的防治要從防毒、查毒和殺毒三方面來進(jìn)行，系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。10.4防火墻技術(shù)防火墻:是一種將內(nèi)部網(wǎng)和外部網(wǎng)分開的技術(shù)方法或手段，是內(nèi)部網(wǎng)與外部網(wǎng)之間的第一道屏障，實際上是一種隔離技術(shù)，是在兩個網(wǎng)絡(luò)通信的時候執(zhí)行的一種訪問控制手段，它能容許用戶同意的人或數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，同時將用戶不同意的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中不明身份的人或數(shù)據(jù)訪問受保護(hù)的網(wǎng)絡(luò)，防止發(fā)生更改、復(fù)制和毀壞受保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)。防火墻的主要技術(shù)⑴包過濾技術(shù)〔PacketFiltering〕是在網(wǎng)絡(luò)層依據(jù)系統(tǒng)的過濾規(guī)那么，對數(shù)據(jù)包進(jìn)行選擇和過濾，這種規(guī)那么又稱為訪問控制表〔ACLs〕。包括兩種根本類型：無狀態(tài)檢查的包過濾和有狀態(tài)檢查的包過濾，其區(qū)別在于后者通過記住防火墻的所有通信狀態(tài)，并根據(jù)狀態(tài)信息來過濾整個通信流，而不僅僅是包。⑵網(wǎng)絡(luò)地址翻譯〔NAT，NetworkAddressTranslation〕最初的設(shè)計目的是增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù)，但現(xiàn)在那么用于屏蔽內(nèi)部主機。NAT防火墻包括靜態(tài)翻譯,動態(tài)翻譯,負(fù)載平衡翻譯,網(wǎng)絡(luò)冗余翻譯等根本的翻譯模式⑶應(yīng)用級代理開發(fā)代理的最初目的是對Web進(jìn)行緩存，減少冗余訪問，但現(xiàn)在主要用于防火墻。代理效勞器通過偵聽網(wǎng)絡(luò)內(nèi)部客戶的效勞請求，檢查并驗證其合法性，假設(shè)合法，它將作為一臺客戶機一樣向真正的效勞器發(fā)出請求并取回所需信息，最后再轉(zhuǎn)發(fā)給客戶。代理的工作流程如圖防火墻的分類:按技術(shù)分類:〔1〕過濾型:包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)?！?〕代理型:代理型防火墻也稱為代理效勞器，其平安性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層開展。代理效勞器位于客戶機與效勞器之間，完全阻擋了二者間的數(shù)據(jù)交流。〔3〕監(jiān)測型:監(jiān)測型防火墻是新一代的產(chǎn)品，它實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測。并在對這些數(shù)據(jù)分析的根底上，它能夠有效地判斷出各層中的非法入侵。按結(jié)構(gòu)分類:〔1〕雙目主機結(jié)構(gòu):主要由一臺雙目主機構(gòu)成，具有兩個網(wǎng)絡(luò)接口，分別連接到內(nèi)部網(wǎng)和外部網(wǎng)，充當(dāng)轉(zhuǎn)發(fā)器，主機可以充當(dāng)與這些接口相連的路由器，能夠把IP數(shù)據(jù)包從一個網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)接口?！?〕屏蔽主機結(jié)構(gòu):使用一個單獨的路由來提供與內(nèi)部網(wǎng)相連主機即壁壘主機的效勞。在這種平安體系結(jié)構(gòu)中，主要的平安措施是數(shù)據(jù)包過濾〔3〕屏蔽子網(wǎng)結(jié)構(gòu):屏蔽子網(wǎng)結(jié)構(gòu)防火墻是通過添加隔離內(nèi)外網(wǎng)的邊界網(wǎng)絡(luò)為屏蔽主機結(jié)構(gòu)增添另一個平安層，這個邊界網(wǎng)絡(luò)有時候稱為非軍事區(qū)。10.5入侵檢測技術(shù)入侵檢測系統(tǒng)〔IDS〕是用于檢測任何損害或企圖損害系統(tǒng)的機密性、完整性或可用性等行為的一種網(wǎng)絡(luò)平安技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動采用異常檢測或誤用檢測的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效手段。是由硬件和軟件組成，用來檢測系統(tǒng)或網(wǎng)絡(luò)以發(fā)現(xiàn)可能的入侵或攻擊的行為。從系統(tǒng)構(gòu)成上來看，入侵檢測系統(tǒng)至少包括數(shù)據(jù)源，分析引擎和響應(yīng)三個根本模塊。入侵檢測體系結(jié)構(gòu)圖:入侵檢測系統(tǒng)的分類

⑴基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS〔NetworkIntrusionDetectionSystem〕⑵基于主機的入侵檢測系統(tǒng)〔HostIntrusionDetectionSystem〕⑶分布式入侵檢測系統(tǒng)〔DistributedIntrusionDetectionSystem〕主要的入侵檢測系統(tǒng)的介紹:Snort:開放源碼網(wǎng)絡(luò)入侵檢測系統(tǒng)〔TheOpenSourceNetworkIntrusionDetectionSystem〕LIDS:LinuxIntrusionDetectionSystem，即Linux入侵檢測系統(tǒng)EMERALD:EventMonitoringEnablingResponsestoAnomalousLiveDisturbances,它是針對于Solaris系統(tǒng)的AAFID:〔AutonomousAgentsForIntrusionDetection〕自治代理入侵檢測系統(tǒng)GrlDS〔Grpah-basedIntrusionDetectionSystem〕基于圖形的入侵檢測系統(tǒng)。10.6數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)是指對信息進(jìn)行重新編碼，從而到達(dá)隱藏信息內(nèi)容，使非法用戶無法獲取信息真實內(nèi)容的一種技術(shù)手段。相關(guān)術(shù)語:密碼系統(tǒng)〔CryptoSystem〕密碼學(xué)〔Cryptology〕加密〔Encryption〕解密〔Decrytion〕密碼算法〔CryptographicAlgorithm〕密鑰〔Key〕破譯數(shù)據(jù)加密技術(shù)分類〔1〕數(shù)據(jù)傳輸加密技術(shù):目的是對傳輸中的數(shù)據(jù)流加密，常用的方法有線路加密和端到端加密兩種?！?〕數(shù)據(jù)存儲加密技術(shù):目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種?！?〕數(shù)據(jù)完整性鑒別技術(shù):目的是對介入信息的傳送、存取、處理的人員的備份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，到達(dá)保密的要求?！?〕密鑰管理技術(shù):為了數(shù)據(jù)使用的方便，數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應(yīng)用，因此密鑰往往是保密與竊密的主要對象。各種加密算法簡介

〔1〕PGP和公共密鑰加密體系:公共密鑰加密算法采用了兩個密鑰的加密機制，它用一個密鑰加密，而用另一個密鑰解密。PGP〔PrettyGoodPrivacy〕就是一個基于公共密鑰加密體系的加密軟件〔2〕SSL、S-HTTP和S/MIME:SSL、S-HTTP和S/MIME是3個加密協(xié)議，可以用來保證Internet的平安。SSL〔SecureSocketsLayer〕即平安套接層，是Netscape開發(fā)的一種加密方法。S-HTTP即平安HTTP，是另一種在Internet上提供平安效勞的協(xié)議，它是個高層協(xié)議。S/MIME〔SecureMultipurposeInternetMailExtensions〕即平安多用途Internet郵件擴展，是一個用于電了郵件或其他類型的Internet消息的加密標(biāo)準(zhǔn)?！?〕SSH〔SecureShell〕和stelnet:SSH和stelnet程序可以使用戶平安地登錄遠(yuǎn)程系統(tǒng)并保證鏈路平安。SSH是一組用為替代rsh、rlogin和rcp的程序，它提供了更好的平安性。SSLeay是實現(xiàn)了SSL協(xié)議的軟件，它是免費的?！?〕PAM〔PluggableAuthenticationModules〕:新版本的RedHatLinux附帶了一個叫做“PAM〞的統(tǒng)一認(rèn)證安案。PAM允許用戶改變認(rèn)證方法和需求，并且封裝了所有翻開地認(rèn)證方法?！?〕Kerberos:Kerberos是由麻省理工學(xué)院的AthenaProject開發(fā)的身份驗證系統(tǒng)。每當(dāng)用戶登錄時，Kerberos驗證用戶的身份〔使用口令〕，并且提供一種向網(wǎng)絡(luò)上其他效勞器和主機證明用戶身份的方式。10.7其它平安技術(shù)簡介備份與恢復(fù):備份簡單地說就是保存一套后備系統(tǒng)，保存數(shù)據(jù)的副本，做到有備無患。數(shù)據(jù)的恢復(fù)就是將數(shù)據(jù)恢復(fù)到事故之前的狀態(tài)。數(shù)據(jù)恢復(fù)總是與備份相對應(yīng)，實際上可以看成備份操作的逆過程。備份是恢復(fù)的前提，恢復(fù)是備份的目的，無法恢復(fù)的備份是沒有意義的。VPN技術(shù):VPN〔VirtualPrivateNetwork〕是采用隧道技術(shù)以及加密、身份認(rèn)證等方法，在公共網(wǎng)絡(luò)上構(gòu)建企業(yè)網(wǎng)絡(luò)的技術(shù)。隧道技術(shù)是VPN的核心。隧道是基于網(wǎng)絡(luò)協(xié)議在兩點