《李海龙--计算机网络安全及防范策略探究36423.docx》由会员分享,可在线阅读,更多相关《李海龙--计算机网络安全及防范策略探究36423.docx(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录目录I摘要及关键词II前言11.1 网络安安全的背背景11.2 网络安安全的意意义12网络安安全现状状22.1网网络安全全面临的的挑战22.2网网络安全全可能面面临的挑挑战33计算机机网络面面临的主主要威胁胁53.1人人为的无无意失误误53.2 人为的的恶意失失误53.2.11黑客客(haackeer)53.2.22黑客客攻击的的目的63.2.33黑客客攻击所所采用的的途径63.3网网络软件件的漏洞洞和“后门63.3.11 “后门”的解释释63.3.22后门门的分类类7网络安安全防范范技术和和措施84.1物物理安全全策略84.22访问问控制策策略84.3 信息加加密策略略114.4 网络安
2、安全管理理策略124.4.11网络安安全管理理策略124.4.22网络安安全策略略中涉及及到的问问题124.4.33网络安安全防范范策略中中关于用用户的权权利与责责任13参考文文献14致谢15计算机网络络安全及及防范策策略探究究学生:李海龙龙专业:计算机机网络技技术指导教师:王爱华华摘要及关键键词摘要:随随着计算算机网络络在人类类生活领领域中的的广泛应应用,针针对重要要信息资资源和网网络基础础设施的的入侵行行为和企企图入侵侵行为的的数量仍仍在持续续不断增增加,网网络攻击击对生活造造成了极极大的威威胁。计计算机病病毒不断断地通过过网络产产生和传传播,计计算机网网络被不不断地非非法入侵侵,重要要情
3、报、资资料被窃窃取,甚甚至造成成网络系系统的瘫瘫痪等等等。网络络安全已已成为当当今共同同关注的的焦点,网网络安全全的重要要性是不不言而喻喻的,因因此,对对漏洞的的了解及及防范也也相对重重要起来来。关键词:计计算机 网络安安全 黑黑客 防防火墙 网络安安全防范范策略 前言当今社会是是一个信信息化社社会,计计算机网网络在社社会各个个领域的的作用目目益增大大,成为为信息传传输中不不可缺少少的基础础设施和和承担传传输以及及交换信信息的公公用平台台。然而而,计算算机系统统及通信信线路的的脆弱性性致使计计算机网网络的安安全受到到潜在威威胁。一一方面,计计算机系系统硬件件和通信信线路易易受自然然灾害和和人为
4、的的破坏;另一方方面,由由于计算算机网络络具有联联结形式式多样性性、终端端分布不不均匀性性和网络络的开放放性、互互连性等等特征,致致使网络络易受黑黑客、怪怪客、恶恶意软件件和其他他不轨的的攻击,软软件资源源和数据据信息受受到非法法的复制制、篡改改和毁坏坏。可见见,无论论是在局局域网还还是在广广域网中中,都存存在着自自然和人人为等诸诸多因素素的潜在在威胁,计计算机网网络的安安全问题题及防范范措施已已迫在眉眉睫。1.1 网络安安全的背背景随着计算机机的发展展,人们们越来越越意识到到网络的的重要性性,通过过网络,分分散在各各处的计计算机被被网络联联系在一一起。做做为网络络的组成成部分,把把众多的的计
5、算机机联系在在一起,组组成一个个局域网网,在这这个局域域网中,可可以在它它们之间间共享程程序、文文档等各各种资源源;还可可以通过过网络使使多台计计算机共共享同一一硬件,如如打印机机、调制制解调器器等;同同时我们们也可以以通过网网络使用用计算机机发送和和接收传传真,方方便快捷捷而且经经济。 21世世纪全世世界的计计算机都都将通过过Intternnet联联到一起起,信息息安全的的内涵也也就发生生了根本本的变化化。它不不仅从一一般性的的防卫变变成了一一种非常常普通的的防范,而而且还从从一种专专门的领领域变成成了无处处不在。当当人类步步入211世纪这这一信息息社会、网网络社会会的时候候,我国国将建立立
6、起一套套完整的的网络安安全体系系,特别别是从政政策上和和法律上上建立起起有中国国自己特特色的网网络安全全体系。1.2 网络安安全的意意义一个国家的的信息安安全体系系实际上上包括国国家的法法规和政政策,以以及技术术与市场场的发展展平台。我我国在构构建信息息防卫系系统时,应应着力发发展自己己独特的的安全产产品,我我国要想想真正解解决网络络安全问问题,最最终的办办法就是是通过发发展民族族的安全全产业,带带动我国国网络安安全技术术的整体体提高。网网络安全全产品有有以下几几大特点点:第一一,网络络安全来来源于安安全策略略与技术术的多样样化,如如果采用用一种统统一的技技术和策策略也就就不安全全了;第第二,
7、网网络的安安全机制制与技术术要不断断地变化化;第三三,随着着网络在在社会个个方面的的延伸,进进入网络络的手段段也越来来越多,因因此,网网络安全全技术是是一个十十分复杂杂的系统统工程。为为此建立立有中国国特色的的网络安安全体系系,需要要国家政政策和法法规的支支持及集集团联合合研究开开发。安安全与反反安全就就像矛盾盾的两个个方面,总总是不断断地向上上攀升,所所以安全全产业将将来也是是一个随随着新技技术发展展而不断断发展的的产业。 信息息安全是是国家发发展所面面临的一一个重要要问题。对对于这个个问题,我我们还没没有从系系统的规规划上去去考虑它它,从技技术上、产产业上、政政策上来来发展它它。政府府不仅
8、应应该看见见信息安安全的发发展是我我国高科科技产业业的一部部分,而而且应该该看到,发发展安全全产业的的政策是是信息安安全保障障系统的的一个重重要组成成部分,甚甚至应该该看到它它对我国国未来电电子化、信信息化的的发展将将起到非非常重要要的作用用。2网络安安全现状状2.1网网络安全全面临的的挑战Interrnett对于任任何一个个具有网网络连接接和ISSP帐号号的人都都是开放放的,事事实上它它本身被被设计成成了一个个开放的的网络。因因此它本本身并没没有多少少内置的的能力使使信息安安全,从从一个安安全的角角度看,IInteerneet 是是天生不不安全的的。然而而,商界界和个人人现在都都想在IInt
9、eerneet上应应用一些些安全的的原则,在在Intternnet发发明人当当初没有有意识到到的方式式下有效效的使用用它。对对于Innterrnett 用户户一个新新的挑战战是如何何在允许许经授权权的人在在使用它它的同时时保护敏敏感信息息。安全是什么么? 简单的说在在网络环环境里的的安全指指的是一一种能够够识别和和消除不不安全因因素的能能力。安安全的一一般性定定义也必必须解决决保护公公司财产产的需要要,包括括信息和和物理设设备(例例如计算算机本身身)。安安全的想想法也涉涉及到适适宜性和和从属性性概念。负负责安全全的任何何一个人人都必须须决定谁谁在具体体的设备备上进行行合适的的操作,以以及什么么
10、时候。当当涉及到到公司安安全的时时候什么么是适宜宜的在公公司与公公司之间间是不同同的,但但是任何何一个具具有网络络的公司司都必须须具有一一个解决决适宜性性、从属属性和物物理安全全问题的的安全策策略。 伴随随着现代代的、先先进的复复杂技术术例如局局域网(LLAN)和和广域网网(WAAN)、IInteerneet网以以及VPPN。安安全的想想法和实实际操作作已经变变得比简简单巡逻逻网络边边界更加加复杂。对对于网络络来说一一个人可可以定义义安全为为一个持持续的过过程,在在这个过过程中管管理员将将确保信信息仅仅仅被授权权的用户户所共享享。 建立有有效的安安全矩阵阵。 尽尽管一个个安全系系统的成成分和构
11、构造在公公司之间间是不同同的,但但某些特特征是一一致的,一一个可行行的安全全矩阵是是高度安安全的和和容易使使用的,它它实际上上也需要要一个合合情合理理的开销销。一个个安全矩矩阵由单单个操作作系统安安全特征征、日志志服务和和其他的的装备包包括防火火墙,入入侵检测测系统,审审查方案案构成。 一个个安全矩矩阵是灵灵活的可可发展的的,拥有有很高级级的预警警和报告告功能。特点描述: 允许访问控制:通过只允许合法用户访问来达到的目的,最大扩展通信的功能同时最小化黑客访问的可能性,当黑客已经访问到的资源时尽可能地减小破坏性。 容易使用:如果一个安全系统很难使用,员工可能会想办法绕开它,要保证界面是直观的。
12、合理的花费:不仅要考虑初始的花费还要考虑以后升级所需要的费用。还要考虑用于管理所要花的费用;要多少员工,达到什么样的水平来成功的实施和维护系统。 灵活性和伸缩性:系统要能让公司按其想法做一些商业上的事情,系统要随着公司的增长而加强。 优秀的警报和报告:当一个安全破坏发生时,系统要能快速地通知管理员足够详细的内容。要配置系统尽可能正确地对发出警告。可以通过Email,计算机屏幕,pager等等来发出通知。 安全机制:根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。 ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加
13、密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考模型的任一层上。普通的机制包括: 信任的功能性:指任何加强现有机制的执行过程。例如,当升级的TCP/IP堆栈或运行一些软件来加强的Novell,NT,UNIX系统认证功能时,使用的就是普遍的机制。 事件检测:检查和报告本地或远程发生的事件 审计跟踪:任何机制都允许监视和记录网络上的活动 安全恢复:对一些事件作出反应,包括对于已
14、知漏洞创建短期和长期的解决方案,还包括对受危害系统的修复。 额外的安全标准 除了ISO 7498-2还存在一些其它政府和工业标准。主要包括 British Standard 7799:概括了特殊的“控制”,如系统访问控制和安全策略的使用以及物理安全措施。目的为了帮助管理者和IT专家建立程序来保持信息的安全性。 公共标准 桔皮书(美国)桔皮书 为为了标准准化安全全的级别别,美国国政府发发表了一一系列的的标准来来定义一一般安全全的级别别。这些些标准发发表在一一系列的的书上通通常叫做做“彩虹系系列”,因为为每本书书的封面面的颜色色都是不不同的。由由为重要要的是桔桔皮书。它它定义了了一系列列的标准准,
15、从DD级别开开始(最最低的级级别)一一直到AA1(最最安全)级级。12.2网网络安全全可能面面临的挑挑战 垃圾邮邮件数量量将变本本加厉。根据电子邮邮件安全全服务提提供商MMesssagee Laabs公公司最近近的一份份报告,预计全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换
16、一个地方”的游击战术了。 即时通通讯工具具照样难难逃垃圾圾信息之之劫。 即时通讯讯工具以以前是不不大受垃垃圾信息息所干扰扰的,但但现在情情况已经经发生了了很大的的变化。垃垃圾邮件件传播者者会通过过种种手手段清理理搜集到到大量的的网络地地址,然然后再给给正处于于即时通通讯状态态的用户户们发去去信息,诱诱导他们们去访问问一些非非法收费费网站。更更令人头头疼的是是,目前前一些推推销合法法产品的的厂家也也在使用用这种让让人厌烦烦的手段段来让网网民们上上钩。目目前市面面上还没没有任何何一种反反即时通通讯干扰扰信息的的软件,这这对软件件公司来来说无疑疑也是一一个商机机。 内置防防护软件件型硬件件左右为为难
17、。 现在人人们对网网络安全全问题受受重视的的程度也也比以前前大为提提高。这这种意识识提高的的表现之之一就是是许多硬硬件设备备在出厂厂前就内内置了防防护型的的软件。这这种做法法虽然前前几年就就已经出出现,预预计在今今后的几几年中将将会成为为一种潮潮流。但但这种具具有自护护功能的的硬件产产品却正正遭遇着着一种尴尴尬,即即在有人人欢迎这这种产品品的同时时,也有有人反对对这样的的产品。往往好处讲讲,这种种硬件产产品更容容易安装装,整体体价格也也相对低低廉一些些。但它它也有自自身的弊弊端:如如果企业业用户需需要更为为专业化化的软件件服务时时,这种种产品就就不会有有很大的的弹性区区间。2 3计计算机网网络
18、面临临的主要要威胁3.1人人为的无无意失误误人为的无意意失误:如操作作员安全全配置不不当造成成的安全全漏洞,用用户安全全意识不不强,用用户口令令选择不不慎,用用户将自自己的帐帐号随意意转借他他人或与与别人共共享等都都会对网网络安全全带来威威胁。 企业用用户网络络安全维维护范围围的重新新界定:目前各各大企业业公司的的员工们们在家里里通过宽宽带接入入而登录录自己公公司的网网络系统统已经是是一件很很寻常的的事情了了。这种种工作新新方式的的出现同同样也为为网络安安全带来来了新问问题,即即企业用用户网络络安全维维护范围围需要重重新界定定。因为为他们都都是远程程登录者者,并没没有纳入入传统的的企业网网络安
19、全全维护的的“势力范范围”之内。另另外,由由于来自自网络的的攻击越越来越严严重,许许多企业业用户不不得不将将自己网网络系统统内的每每一台PPC机都都装上防防火墙、反反侵入系系统以及及反病毒毒软件等等一系列列的网络络安全软软件。这这同样也也改变了了以往企企业用户户网络安安全维护护范围的的概念。 个人的信用资料:个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计在这种犯罪现象将会发展到全面窃取公众的个人信用资料的程度。如网络犯罪者可以对的银行存款账号、社会保险账号以及最近的行踪都能做到一览无余。如果不能
20、有效地遏制这种犯罪趋势,无疑将会给日常人生活带来极大的负面影响。3.2 人为的的恶意失失误人为的恶意意攻击:这是计计算机网网络所面面临的最最大威胁胁,敌手手的攻击击和计算算机犯罪罪就属于于这一类类。此类类攻击又又可以分分为以下下两种:一种是是主动攻攻击,它它以各种种方式有有选择地地破坏信信息的有有效性和和完整性性;另一一类是被被动攻击击,它是是在不影影响网络络正常工工作的情情况下,进进行截获获、窃取取、破译译以获得得重要机机密信息息。这两两种攻击击均可对对计算机机网络造造成极大大的危害害,并导导致机密密数据的的泄漏。3.2.11黑客客(haackeer)源于英语动动词haack,意意为“劈,砍
21、砍”,引申申为“干了一一件非常常漂亮的的工作”。在早早期麻省省理工学学院的校校园俚语语中,“黑客”则有“恶作剧剧”之意,尤尤指手法法巧妙、技技术高明明的恶作作剧。在在日本新新黑客词词典中中,对黑黑客的定定义是“喜欢探探索软件件程序奥奥秘,并并从中增增长了其其个人才才干的人人。他们们不象绝绝大多数数电脑使使用者那那样,只只规规矩矩矩地了了解别人人指定了了解的狭狭小部分分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。 另一种入侵者是那些利
22、用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。3.2.22黑客客攻击的的目的取目标系统统的非法法访问-获获得不该该获得的的访问权权限b、获获取所需需资料-获获得黑客客想要获获得的相相关资料料,包括括科技情情报、个个人资料料、金融融帐户、技技术成果果、系统统信息等等等c、篡篡改有关关数据-篡篡改以上上资料,达达到非法法目的dd、利用用有关资资源-利用用这台机机器的资资源对其其它目标标进行攻攻击,发发布虚假假信息,占占用存储储空间 黑客攻攻击的方方式:远远
23、程攻击击-远程攻攻击指外外部黑客客通过各各种手段段,从该该子网以以外的地地方向该该子网或或者该子子网内的的系统发发动攻击击。远程程攻击的的时间一一般发生生在目标标系统当当地时间间的晚上上或者凌凌晨时分分,远程程攻击发发起者一一般不会会用自己己的机器器直接发发动攻击击,而是是通过跳跳板的方方式,对对目标进进行迂回回攻击,以以迷惑系系统管理理员,防防止暴露露真实身身份。3.2.33黑客客攻击所所采用的的途径黑客之所以以能得手手,无非非是利用用了各种种安全脆脆弱点,其其中包括括:管理理漏洞-如如两台服服务器同同一用户户/密码码,则入入侵了AA服务器器,B服服务器也也不能幸幸免;软软件漏洞洞-如Suu
24、n系统统上常用用的Neetsccapee EnnterrPriise Serrverr服务,只只需输入入一个路路径,就就可以看看到Weeb目录录下的所所有文件件清单;又如很很多程序序只要接接受到一一些异常常或者超超长的数数据和参参数,就就会导致致缓冲区区溢出;结构漏漏洞-比如如在某个个重要网网段由于于交换机机、集线线器设置置不合理理,造成成黑客可可以监听听网络通通信流的的数据;又如防防火墙等等安全产产品部署署不合理理,有关关安全机机制不能能发挥作作用,麻麻痹技术术管理人人员而酿酿成黑客客入侵事事故;信信任漏洞洞-比如本本系统过过分信任任某个外外来合作作伙伴的的机器,一一旦这台台合作伙伙伴的机机
25、器被黑黑客入侵侵,则本本系统的的安全受受严重威威胁。3.3网网络软件件的漏洞洞和“后门无论多么优优秀的网网络软件件,都可可能存在在这样那那样的缺缺陷和漏漏洞,而而那些水水平较高高的黑客客就将这这些漏洞洞和缺陷陷作为网网络攻击击的首选选目标。在在曾经出出现过的的黑客攻攻击事件件中,大大部分都都是因为为软件安安全措施施不完善善所招致致的苦果果。一般般,软件件的“后门”都是软软件公司司的设计计和编程程人员为为了为方方便设计计而设置置的,很很少为外外人所知知。不过过,一旦旦“后门”公开或或被发现现,其后后果将不不堪设想想3.3.11 “后门”的解释释后门是一种种登录系系统的方方法,它它不仅绕绕过系统统
26、已有的的安全设设置,而而且还能能挫败系系统上各各种增强强的安全全设置。 后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,你当输入特定的密码时,你就能以管理员的权限来存取系统。 后门能相互关联,而且这个技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞庭湖来提升权限。黑客可能会对系统的配置文
27、件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。 以上是在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!3.3.22后门的的分类后门可以按按照很多多方式来来分类,标标准不同同自然分分类就不不同,为为了便于于大家理理解,我我们从技技术方面面来考虑虑后门程程序的分分类方法法:1网页后后门 此此类后门门程序一一般都是是服务器器上正常常的weeb服务务来构造造自己的的连接方方式,比比如现在在非常流流行的AAsp、ccgi脚脚本后门门等
28、。22线程插插入后门门 利用用系统自自身的某某个服务务或者线线程,将将后门程程序插入入到其中中,是现现在最流流行的一一个后门门技术。3扩展后门 所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能。4 c/s后门 和传统的木马程序类似的控制方法,采用“客记端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。3网络安安全防范范技术和和措施4.1物物理安全全策略物理安全策策略的目目的是保保护计算算机系统统、网络络服务器器、打印印机等硬硬件实体体和通信信链路免免受自然然灾害、人人为破坏坏
29、和搭线线攻击;验证用用户的身身份和使使用权限限、防止止用户越越权操作作;确保保计算机机系统有有一个良良好的电电磁兼容容工作环环境;建建立完备备的安全全管理制制度,防防止非法法进入计计算机控控制室和和各种偷偷窃、破破坏活动动的发生生。 抑抑制和防防止电磁磁泄漏(即即TEMMPESST技术术)是物物理安全全策略的的一个主主要问题题。目前前主要防防护措施施有两类类:一类类是对传传导发射射的防护护,主要要采取对对电源线线和信号号线加装装性能良良好的滤滤波器,减减小传输输阻抗和和导线间间的交叉叉耦合。另另一类是是对辐射射的防护护,这类类防护措措施又可可分为以以下两种种:一是是采用各各种电磁磁屏蔽措措施,
30、如如对设备备的金属属屏蔽和和各种接接插件的的屏蔽,同同时对机机房的下下水管、暖暖气管和和金属门门窗进行行屏蔽和和隔离;二是干干扰的防防护措施施,即在在计算机机系统工工作的同同时,利利用干扰扰装置产产生一种种与计算算机系统统辐射相相关的伪伪噪声向向空间辐辐射来掩掩盖计算算机系统统的工作作频率和和信息特特征。4.2访访问控制制策略访问控制是是网络安安全防范范和保护护的主要要策略,它它的主要要任务是是保证网网络资源源不被非非法使用用和非常常访问。它它也是维维护网络络系统安安全、保保护网络络资源的的重要手手段。各各种安全全策略必必须相互互配合才才能真正正起到保保护作用用,但访访问控制制可以说说是保证证
31、网络安安全最重重要的核核心策略略之一。下下面我们们分述各各种访问问控制策策略。11 入网网访问控控制 入网访访问控制制为网络络访问提提供了第第一层访访问控制制。它控控制哪些些用户能能够登录录到服务务器并获获取网络络资源,控控制准许许用户入入网的时时间和准准许他们们在哪台台工作站站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入
32、的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。
33、用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则
34、认为是非法用户的入侵,应给出报警信息。2网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。 网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户;(3)审计用户;(4) 目录级安全控制。 3 目录级安全控制
35、网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户
36、对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。4属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查
37、看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。5 网络服务器安全控制网络允许在在服务器器控制台台上执行行一系列列操作。用用户使用用控制台台可以装装载和卸卸载模块块,可以以安装和和删除软软件等操操作。网网络服务务器的安安全控制制包括可可以设置置口令锁锁定服务务器控制制台,以以防止非非法用户户修改、删删除重要要信息或或破坏数数据;可可以设定定服务器器登录时时间限制制、非法法访问者者检测和和关闭的的时间间间隔。66 网络络监测和和锁定控控制 网网络管理理员应对对网络实实施监控控,服务务器应记记录用户户对网络络资
38、源的的访问,对对非法的的网络访访问,服服务器应应以图形形或文字字或声音音等形式式报警,以以引起网网络管理理员的注注意。如如果不法法之徒试试图进入入网络,网网络服务务器应会会自动记记录企图图尝试进进入网络络的次数数,如果果非法访访问的次次数达到到设定数数值,那那么该帐帐户将被被自动锁锁定。77 网络络端口和和节点的的安全控控制 网网络中服服务器的的端口往往往使用用自动回回呼设备备、静默默调制解解调器加加以保护护,并以以加密的的形式来来识别节节点的身身份。自自动回呼呼设备用用于防止止假冒合合法用户户,静默默调制解解调器用用以防范范黑客的的自动拨拨号程序序对计算算机进行行攻击。网网络还常常对服务务器
39、端和和用户端端采取控控制,用用户必须须携带证证实身份份的验证证器(如如智能卡卡、磁卡卡、安全全密码发发生器)。在在对用户户的身份份进行验验证之后后,才允允许用户户进入用用户端。然然后,用用户端和和服务器器端再进进行相互互验证。8 防火墙控制 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定
40、数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件
41、代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。(3)双穴主机防火墙:该防火墙是用主机来执行安全控
42、制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。4.3 信息加加密策略略信息加密的的目的是是保护网网内的数数据、文文件、口口令和控控制信息息,保护护网上传传输的数数据。网网络加密密常用的的方法有有链路加加密、端端点加密密和节点点加密三三种。链链路加密密的目的的是保护护网络节节点之间间的链路路信息安安全;端端-端加加密的目目的是对对源端用用户到目目的端用用户的数数据提供供保护;节点加加密的目目的是对对源
43、节点点到目的的节点之之间的传传输链路路提供保保护。用用户可根根据网络络情况酌酌情选择择上述加加密方式式。 信信息加密密过程是是由形形形 色色色的加密密算法来来具体实实施,它它以很小小的代价价提供很很大的安安全保护护。在多多数情况况下,信信息加密密是保证证信息机机密性的的唯一方方法。据据不完全全统计,到到目前为为止,已已经公开开发表的的各种加加密算法法多达数数百种。如如果按照照收发双双方密钥钥是否相相同来分分类,可可以将这这些加密密算法分分为常规规密码算算法和公公钥密码码算法。在常规密码码中,收收信方和和发信方方使用相相同的密密钥,即即加密密密钥和解解密密钥钥是相同同或等价价的。比比较著名名的常
44、规规密码算算法有:美国的的DESS及其各各种变形形,比如如Triiplee DEES、GGDESS、Neew DDES和和DESS的前身身Luccifeer; 欧洲的的IDEEA;日日本的FFEALLN、LLOKII911、Skkipjjackk、RCC4、RRC5以以及以代代换密码码和转轮轮密码为为代表的的古典密密码等。在在众多的的常规密密码中影影响最大大的是DDES密密码。常规密码的的优点是是有很强强的保密密强度,且且经受住住时间的的检验和和攻击,但但其密钥钥必须通通过安全全的途径径传送。因因此,其其密钥管管理成为为系统安安全的重重要因素素。在公钥密码码中,收收信方和和发信方方使用的的密钥
45、互互不相同同,而且且几乎不不可能从从加密密密钥推导导出解密密密钥。比比较著名名的公钥钥密码算算法有:RSAA、背包包密码、MMcElliecce密码码、Diiffee-Heellmman、RRabiin、OOng-Fiaat-SShammir、零零知识证证明的算算法、椭椭园曲线线、EIIGammal算算法等等等。最有有影响的的公钥密密码算法法是RSSA,它它能抵抗抗到目前前为止已已知的所所有密码码攻击。公钥密码的的优点是是可以适适应网络络的开放放性要求求,且密密钥管理理问题也也较为简简单,尤尤其可方方便的实实现数字字签名和和验证。但但其算法法复杂。加加密数据据的速率率较低。尽尽管如此此,随着着
46、现代电电子技术术和密码码技术的的发展,公公钥密码码算法将将是一种种很有前前途的网网络安全全加密体体制。当然在实际际应用中中人们通通常将常常规密码码和公钥钥密码结结合在一一起使用用,比如如:利用用DESS或者IIDEAA来加密密信息,而而采用RRSA来来传递会会话密钥钥。如果果按照每每次加密密所处理理的比特特来分类类,可以以将加密密算法分分为序列列密码和和分组密密码。前前者每次次只加密密一个比比特而后后者则先先将信息息序列分分组,每每次处理理一个组组。密码技术是是网络安安全最有有效的技技术之一一。一个个加密网网络,不不但可以以防止非非授权用用户的搭搭线窃听听和入网网,而且且也是对对付恶意意软件的
47、的有效方方法之一一。444.4 网络安安全管理理策略4.4.11 网络安安全管理理策略所谓网络安安全管理理策略是是指一个个网络中中关于安安全问题题采取的的原则,对对安全使使用的要要求,以以及如何何保护网网络的安安全运行行。 制定网网络安全全管理策策略首先先要确定定网络安安全管理理要保护护什么,在在这一问问题上一一般有两两种截然然不同的的描述原原则。一一个是“没有明明确表述述为允许许的都被被认为是是被禁止止的”,另一一个是“一切没没有明确确表述为为禁止的的都被认认为是允允许的”。对于于网络安安全策略略,一般般采用第第一种原原则,来来加强对对网络安安全的限限制。对对于少数数公开的的试验性性网络可可能会采采用第二二种较宽宽松的原原则,这这种情况况下一般般不把安安全问题题作为网网络的一一个重要要问题来来处理。4.4.22 网络安安全策略略中涉及及到的问问题网络安全策策略在确确定了描描述原则则后所要要做的是是确定网网络资源源的职责责划分。 网络络安全策策略要根根据网络络资源的的职责确确定哪些些人允许许使用某某一设备备,对每每一台网网络设备备要确定定哪些人人能够修修改它的的配置。更更进一步步要明确确的是授授