《企业网络安全防护技术措施.docx》由会员分享,可在线阅读,更多相关《企业网络安全防护技术措施.docx(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业网络安全防护技术措施目 录 第1章 绪论 1 第2章 企业网络平安概述 3 2.1 网络平安 3 2.2 平安隐患 3 2.2.1 完整性 3 2.2.2 机密性 3 2.2.3 可用性 4 2.3 平安分类 4 2.4 网络平安的目标 4 2.4.1 消退盗窃 4 2.4.2 确定身份 4 2.4.3 鉴别假冒 5 2.4.4 保密 5 第3章 企业数据平安 6 数据库平安 6 3.1.1 数据库平安问题 6 3.1.2 数据库平安策略与配置 6 3.1.3 数据库的加密 7 3.2 数据备份与复原 8 3.2.1 数据备份与复原概述 8 3.2.2 数据备份策略 10 3.2.3 数据
2、库的备份 11 第4章 网络效劳与应用系统的平安 12 4.1 Web效劳器平安 12 4.1.1 Web的平安概述 12 4.1.2 Web站点的平安和漏洞 12 4.1.3 Web平安预防措施 13 4.2 域名系统的平安性 14 4.2.1 DNS的平安威逼 14 4.2.2 名字欺瞒技术 15 4.2.3 增加DNS效劳的平安性 15 4.3 电子邮件的平安性 16 4.3.1 E-mail的平安风险 16 4.3.2 邮件效劳器的平安与牢靠性 17 4.3.3 邮件客户端的平安 17 第5章 网络病毒防范 19 5.1 计算机病毒概述 19 5.1.1 计算机病毒的定义 19 5.1
3、.2 计算机病毒分类 19 5.1.3 计算机病毒的特征 19 5.1.4 计算机网络病毒的危害性 20 5.2 反病毒技术 20 5.2.1 计算机病毒的防范 20 5.2.2 计算机网络病毒的防范措施 22 第6章 防火墙及相关技术应用 23 6.1 防火墙概述 23 6.1.1 防火墙的概念 23 防火墙的目的和功能 23 6.1.3 防火墙的局限性 24 6.2 防火墙的分类 25 6.3 防火墙的体系结构 25 6.3.1 双穴主机体系结构 25 6.3.2 屏蔽主机体系结构 26 6.3.3 屏蔽子网体系结构 26 6.4 防火墙的策略与维护 27 6.4.1 设置防火墙的策略 2
4、7 6.4.2 防火墙的维护 28 6.5 入侵检测系统 29 6.5.1 入侵检测系统的功能及分类 29 入侵检测产品的选购原那么 30 6.6 虚拟专用网VPN 30 结 论 32 致 谢 33 参考文献 34 摘 要 随着Internet上的个人和商业应用越来越普遍,基于网络应用和效劳的信息资源也面临着更多的平安风险。然而,在多数状况,网络平安并没有得到应有的重视。信息是一种必需爱护的资产,由于缺少足够的爱护或者网络平安措施而造成的损失对企业而言可能是致命的。为了能够让企业的网络系统防止遭遇来自各种不平安的攻击和威逼,从而更加平安牢靠地运用网络,我们应当实行各种有效的平安防护措施。针对目
5、前企业网络所面临的平安问题,本文从如何爱护企业的数据平安、网络效劳与应用系统平安以及如何预防网络病毒和在网络中设置防火墙等几个方面阐述了如何有效地爱护企业网络的平安。文章通过对当今网络面临的平安问题的总结,并结合当前企业网络的特点,制定出了有效的平安防护措施。针对企业网络所出现的比拟常见的平安问题,通过各种方法赐予解决或给出可行方案。在对各种网络平安防护措施的表达的同时,文章还通过各种图形来近一步阐述各种原理,使抽象问题变得更加的简洁明白。当涉及到网络连接等原理时,更能通过各种网络拓扑图,形象的赐予描述,使困难问题的变得简洁。通过本文的表达,我们将会对企业网络平安有一个更加清楚的相识。关键字:
6、 防火墙 数据 备份 第1章 绪论 在信息化高速开展的今日,计算机网络已经完全渗透到社会生活的各个方面。随着Internet上的个人和商业应用越来越普遍,基于网络应用和效劳的信息资源也面临着更多的平安风险。然而,在多数状况,网络平安并没有得到应有的重视。信息是一种必需爱护的资产,由于缺少足够的爱护或者网络平安措施而造成的损失对企业而言可能是致命的。Internet的不行信也会限制企业的商业时机,特殊是那些100%基于Web的组织。制定和公布平安政策与平安措施并使得用户和潜在的用户感觉到足够平安是必需的。随着Internet的开展和应用,很多企业已经相识到通过网络建立企业内部的商务平台、为企业雇
7、员供应到自动销售系统的移动连接、向客户和消费者供应电子商务平台等行为,都将为企业节约大量的销售本钱。通过入侵检测、身份鉴定、授权和评估系统,增加了防火墙的功能。现在,很多企业很好地平衡了防止恶意攻击与增加正值访问渠道之间的冲突。在企业平安方面的投资可以保证企业的生产力和确保客户的信任。一个牢靠的平安根底能帮助企业建立与雇员、供应商、合伙人和客户之间的信任关系,使他们信任企业的任何信息都能够受到妥当的爱护,任何的网上交易都是可以信任的。正是由于越来越多的企业组建了自己的局域网,并依靠现代网络的快速便捷使自己的生产、经营、运作方式等发生了极大的变更。通过这种方式,企业降低了生产本钱,增加了企业收入
8、。正是出于企业对网络的极度依靠,所以保证一个企业的网络平安是特别重要的。在网络平安方面,企业采纳的防护措施还有弥补操作系统的平安漏洞、以及当网络已经瘫痪时进行灾难复原等。此外,虚拟专用网VPN技术将渐渐成为企业之间互联的首选产品,因为它能够降低本钱、提高效率、增加平安性,在日后的应用中将会有广袤的前景。然而,为了能够让企业网络变得更加的平安,我们不能只是靠各种平安防护产品,除此之外,我们必需通过各种平安策略,包括制定严格的平安制度、法律,组建平安团队,对网络平安动态实时关注,开发出更完善的平安系统,只有这样,才能保证企业网络处于一个比拟平安的位置。平安风险不能完全消退或者防止,但是可通过有效的
9、风险管理和评估,将风险最小化到可以接受的水平。至于什么才是可以接受的,这取决于个人或者企业的承受力。假如削减风险所带来的收益超过了实行各种措施的费用,那么进行风险管理就是值得的。正是由于企业网络面临的平安问题是各种各样的,针对目前企业网络所面临的平安问题,本文从如何爱护企业的数据平安、网络效劳与应用系统平安以及如何预防网络病毒和在网络中设置防火墙等几个方面阐述了如何有效地爱护企业网络的平安。第2章 企业网络平安概述 2.1 网络平安 计算机网络平安是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威逼和危害,即指计算机、网络系统的硬件、软件及其系统中的数据受到爱护,不因偶然的或者恶意
10、的缘由而遭到破坏、更改和泄露,确保系统能连续牢靠正常地运行,使网络效劳不中断。计算机网络平安是一门涉及计算机科学、网络技术、密码技术、信息平安技术、应用数学、数论和信息论等多种学科的综合性科学。从广义上来说,但凡涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络平安的探讨领域。所以,广义的计算机网络平安还包括信息设备的物理平安性,诸如场地环境爱护、防火措施、防水措施、放电爱护、静电爱护、电源爱护、空调设备、计算机辐射和计算机病毒等。平安风险不能完全消退或者防止,但是可通过有效的风险管理和评估,将风险最小化到可以接受的水平。至于什么才是可以接受的,这取决
11、于个人或者企业的承受力。假如削减风险所带来的收益超过了实行各种措施的费用,那么进行风险管理就是值得的。2.2 平安隐患 网络平安的目的是实现网络信息的完整性、机密性和可用性。 完整性 完整性是指确保数据不允许被非授权人修改或者破坏的实力。完整性确保了发送信息与接受信息是一样的,即使数据是非保密的,也必需保证数据的完整性,就像一个人允许其他人知道他的日常业务,但决不允许他人擅自修改其业务一样。 机密性 机密性将爱护数据不泄露给非授权的第三方。无论是客户数据还是公司内部数据,企业都有责任保证数据的私密性。全部的客户都有权要求爱护他们的个人信息,一个企业也必需敬重客户的隐私权并与客户之间保持一种信任
12、的关系。 公司拥有的信息不仅是敏感的,而且也须要保密,只有被许可的局部才能被访问,这些信息的传递也是以一种平安的方式进行并能阻挡未授权的访问。 可用性 可用性是指计算机系统的连续操作实力,其对立面是拒绝效劳,这种攻击通过垃圾信息来沉没网络设备,减慢直到整个系统崩溃。应用程序须要不同级别的可用性,这取决于停机时间对业务的影响。例如,假设一个应用程序是可用的,那么全部的组件,包括应用程序和数据库效劳器、存储设备和端到端的网络连接等,都必需是可供应持续效劳的。 随着更多企业和组织对基于网络应用和Internet依靠性的增加,多媒体数据的集成也对各种应用的可用性提出了更高的要求。各种缘由造成的系统停机
13、,都可能导致可用性的缺乏,降低客户的信任度,甚至削减企业的收入。2.3 平安分类 对于网络平安隐患,主要有以下四方面的缘由: 1) 技术缺陷:每个网络和计算机技术都存在内在的平安问题。2) 配置缺陷:暴露出的平安问题,甚至大多数是平安技术的配置错误。3) 政策缺陷:缺乏平安策略或者不正确的执行和管理,都可能使最好的平安和网络技术失去作用。4) 人为错误:工作人员写下自己的口令随意放置,或者多人共享一个口令等,都是一些常见的问题。2.4 网络平安的目标 网络平安最重要的一个目标是获得那些任何不是被明确许可的操作被禁止的状况。正在开展的一个平安策略目标是定义一个组织的计算机和网络的运用期望值。“平
14、安意味着防止系统内部和外部两方面的攻击。网络平安包括平安的数据、应用和用户。 消退盗窃 据统计美国的公司因为信息失窃而损失1000亿美元的收益,这通常发生于报表和机密信息被当成垃圾丢弃。 确定身份 平安措施可能降低便利性,一般来说,简洁的口令是一个效率较低的身份鉴定形式,但是更强大的身份鉴定须要更多的本钱开销。 鉴别假冒 任何隐藏的假冒都是一个潜在的平安漏洞,为了防止假冒,一般来说,要有足够的身份鉴定、授权和审核以及专家的确认或者否认,然后在提出相应的建议。 保密 大多数平安是建立在保密根底上的。很多平安专家发觉漏洞都是一些很简单修补的众所周知的缺陷,因此必需确保网络安装最新的版本的补丁。在以
15、后的几年当中,据估计90%的对计算机的攻击将接着利用那些已有的补丁程序或预防措施的平安缺陷。对数据进行分类并确定哪些数据须要保密是一件迫切的事,须要保密的包括口令、信用卡号、银行账户等。为了确保隐私数据的平安性,必需对系统进行分层并确保安装最新的补丁程序。 第3章 企业数据平安 数据库系统是存储重要信息的场所,并担负着管理这些数据信息的任务。数据库平安问题,在数据库技术诞生之后就始终存在,并随着数据库技术的开展而不断深化。因而,如何保证和加强其平安性和保密性,已成为目前迫切须要解决的热门课题。 数据库平安问题 计算机平安性的三个方面是平安性、保密性和可用性,都与数据库管理系统有关系。数据库系统
16、平安问题可归纳为以下三个方面: 1.保障数据库系统的保密性。 2.保障数据库系统的完整性。3.数据库系统的可用性。 数据库平安策略与配置 数据库的平安策略包括系统的策略、数据平安的策略、用户平安的策略等。 1、 系统平安的策略 1) 数据库用户的管理 每个数据库系统都有一个或几个管理员,负责维护全部的平安策略方面的问题,这类管理员称为平安管理员。假如数据库系统很小,数据库管理员也就担当起平安管理员的责任。但是,假如数据库系统很大,通常就要指定一个人或一群人特地担当平安管理员的责任。2) 用户的鉴别 数据库用户可以通过操作系统、网络效劳、或数据库进行身份确认,来鉴别核实合法用户。3) 操作系统的
17、平安 假如可以的话,对于任何数据库应用的操作系统来说,还应当考虑数据库管理员必需具有操作系统权限,以便创立和删除文件。一般数据库用户不应当具有操作系统权限。假如操作系统会识别用户的数据库角色,那么,平安管理员就必需有操作系统权限,以便修改操作系统账户的平安域。2、 数据平安的策略 平安包括在对象层上限制访问和运用数据库的机制。数据库平安策略应确定,能访问特别的模式对象、允许每个用户在对象上所做的特别的动作类型。例如,访问数据库表时,一些用户只能执行SELECT和INSERT语句,而不能执行DELETE语句。3、 用户平安的策略 1) 一般用户的权限管理 平安管理员应当考虑涉及全部类型用户的权限
18、管理问题。例如,在一个有很多用户名的数据库中,运用角色来管理用户可用的权限是特别有益的。否那么,假如数据库中只有少数用户名,就将权限明确地给予用户,防止运用角色,这样反而更简单。2) 密码的平安 假如用户是通过数据库进行用户身份的确认,那么建议运用密码加密的方法与数据库进行连接。3) 终端用户的平安 平安管理员必需定义终端用户的平安策略。假如一个数据库有许多用户,平安管理员可以确定将那些用户的组分类成用户组,然后为这些组创立用户角色。平安管理员可以给每个用户角色给予必要的权限或应用角色,再将用户角色给予给这些用户。对于例外状况,平安管理员还必需确定,必需将什么权限明确地授予那个用户。4) 管理
19、员的平安 平安管理员应当有一个处理数据库管理员的平安的策略。例如,当数据库很大,且有几种类型的数据库管理员时,平安管理员就应当将相关的管理权限划分成几个管理角色。然后将这些管理角色授予适当的管理员用户。相反,当数据库很小而且只有几个管理员时,创立一个管理角色并把这个管理角色授予全部管理员,可能就更便利些。 数据库的加密 1、数据库加密概述 大型数据库管理系统的运行平台一般是Windows NT/2000和UNIX,这些操作系统的平安级别通常为C1、C2级。它们具有用户注册、识别用户、随意存取限制、审计等平安功能。虽然数据库管理系统在操作系统的根底上增加了不少平安措施,例如基于权限的限制等,但操
20、作系统和数据库管理系统对数据库文件本身仍旧缺乏有效的爱护措施,有阅历的网上黑客会绕道而行,干脆利用操作系统工具窃取或篡改数据库文件的内容。这种隐患被称为通向数据库管理系统的隐秘通道,它所带来的危害一般数据库用户难以觉察。分析和堵塞隐秘通道被认为是B2级的平安技术措施。对数据库中的敏感数据进行加密处理,是堵塞这一隐秘通道的有效手段。 2、加密算法 加密算法是数据加密的核心。算法必需适应数据库系统的特点,加密解密速度要快。闻名的背包算法就是一种适合数据库加密的算法。算法的思路是假定某人拥有大量的物品,重量各不相同。此人通过隐私地选择一局部物品并将它们放到背包中来加密消息。背包中的物品总重量是公开的
21、,全部可能的物品也是公开的,但背包中的物品却是保密的。附加肯定的限制条件,给出重量,而要列出可能的物品,在计算上是不行实现的。3.2 数据备份与复原 随着各单位局域网和互连网络的深化应用,系统内的效劳器担负着企业的关键应用,存储着重要的信息和数据,为网络环境下的大量客户机供应快速高效的信息查询、数据处理和Internet等的各项效劳,一旦数据丢失,将会造成无法弥补的损失。为了计算机网络系统出现故障时,网络中的核心数据必需能平安的保存和快速的复原,因此,对于企业来说,牢靠的数据备份和复原措施是特别必要的。 数据备份与复原概述 1、数据备份和复原的根本概念 数据备份和复原是指将计算机硬盘上的原始数
22、据复制到其他存储媒体上,如磁带、光盘等,在出现数据丢失或系统灾难时将复制在其他存储媒体上的数据复原到硬盘上,从而爱护计算机的系统数据和应用数据。对于计算机网络数据,备份不仅仅是文件的复制,还应当包括文件的权限、属性等信息。 2、 数据备份的原那么 对数据进行备份是为了保证数据的平安性,消退系统运用者和操作者的后顾之忧。不同的应用环境要求不同的解决方案来适应,一般来说,要求满意以下原那么。1) 稳定性。备份产品的主要作用是为了系统供应一个数据爱护方法,于是该产品本身的稳定性就变成了最重要的一个方面,肯定要与操作系统百分之百的兼容。2) 全面性。在计算机网络环境中,可能包括了各种操作平台,如Net
23、ware、Windows NT、UNIX等。选用的备份软件,要支持各种操作系统、数据库和典型应用。3) 平安性。计算机网络是计算机病毒传播的通道,给数据平安带来极大威逼。假如在备份的时候,把计算机病毒也完整的备份下来,将会是一种恶性循环。因此,要求在备份的过程中有查毒、防毒、杀毒、的功能,确保无毒备份,同时还要保证备份介质不丢失和备份数据的完整性。4) 容错性。确认备份数据的牢靠性,也是一个至关重要的方面。假如引入RAID技术,对磁带进行镜像,就可以更好的保证数据平安牢靠,给用户再加一把保险锁。3、 常用数据备份的方法 1) 磁带备份 在全部备份介质中,磁带备份是牢靠、本钱低、传输率高、易于运
24、用和管理的数据备份介质。2) 硬盘备份 在计算机中安装多块硬盘,将数据备份在不同的硬盘上,通常采纳磁盘阵列RAID的方法。在硬盘备份中也有采纳移动硬盘进行手动备份的。硬盘备份的速度快、实时性高,一块硬盘出现故障时不影响系统的运行。但运用硬盘备份时,由于硬盘无法从系统中别离,一旦发生自然灾难将引起重大的数据损失。3) 网络备份 随着网络技术的开展,该技术也应用到数据的存储和备份中。采纳网络备份可以实现备份的集中管理、异地备份等。通过制定相应的备份策略,备份工作可以自动进行,不须要太多的人干预,削减了日常的管理负担,并可防止人为的疏忽或错误,提高了数据备份的牢靠性。特殊是通过网络进行的异地备份可以
25、有效的预防自然灾难对数据的破坏。4、 数据备份的考前须知 1) 制定备份策略。依据企业对数据平安的实际须要来制定适合的备份方案和策略。2) 将备份介质存储在异地。备份后的介质肯定要保存在异地或防火、防水、防磁的保险箱内。3) 定期清洁备份设备。由于频繁进行备份操作,清洁备份设备是保证备份质量的关键。4) 运用合格的备份介质。对备份介质的读写操作会造成肯定的磨损,当出现损坏或老化时要刚好更换,制定备份介质轮换策略。5) 选用有报警功能的备份设备。用户可以检测备份设备的状态是否正常。6) 每两三个星期检查备份介质,并从中复原一些文件,从而得知备份文件是否处在可复原的状态。 数据备份策略 备份策略指
26、确定需备份的内容、备份时间及备份方式。各个单位要依据自己的实际状况来制定不同的备份策略。企业可以选取的备份策略有以下三种。 1、 完全备份 对系统中的数据进行完全备份。例如,星期一用一盘磁带对整个系统进行备份,星期二用另一盘磁带对整个系统进行备份,依次类推。这种备份策略的好处是当发生数据丢失的灾难时,只要用一盘磁带灾难发生前一天的备份磁带,就可以复原丢失的数据。然而它亦有缺乏之处。首先,由于每天都对整个系统进行备份,造成备份的数据大量重复,这些重复的数据占用了大量的磁带空间,这对用户来说就意味着增加本钱。其次,由于须要备份的数据量较大,因此备份所需的时间也就较长。对于那些业务繁忙、备份时间有限
27、的单位来说,选择这种备份策略是不明智的。2、 增量备份 增量备份是进行一次完全备份,然后在接下来只对当天新的或被修改正的数据进行备份。这种备份策略的优点是节约了磁带空间,缩短了备份时间。但它的缺点在于:当灾难发生时,数据的复原比拟麻烦。3、 差分备份 差分备份是管理员先进行一次系统完全备份,然后在接下来的几天里,管理员再将当天全部与完全备份后发生变更的数据新的或修改正的备份到磁带上。差分备份策略在防止了以上两中策略的缺陷的同时,又具有了它们的全部优点。首先,它无需每天都对系统做完全备份,因此备份所需时间短,并节约了磁带空间;其次,它的灾难复原也很便利。系统管理员只需两盘磁带,即完全备份磁带与灾
28、难发生前一天的磁带,就可以将系统复原。在实际应用中,备份策略通常是以下三种的结合。例如在每周一至周六每天进行一次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。 数据库的备份 1、 数据库备份技术概述 当企业用户运用一个数据库时,总希望数据库的内容是牢靠的、正确的,但由于数据库在传输、存储和交换的过程中出现计算机系统的故障包括机器故障、介质故障、误操作等,同时,计算机系统也会发生意料不到的事故,数据库也可能遭到破坏,这时如何尽快复原数据就成为当务之急。假如平常对数据库做了备份,那么此时复原数据就显得很简单。假如没有事先实行数据备份和数据复原措施,数据就会丢失,
29、将造成沉重的损失。数据的备份与复原作为信息平安的重要内容不行无视。因此,数据的备份与复原也是数据库系统的一个平安功能。 2、 数据库的备份 大多数操作系统都带有备份工具,例如,在Windows 2000中,通过在桌面上单击起先/程序/附件/备份工具/备份选项,单击备份向导按扭,启动系统的备份向导。其它操作系统亦可以通过系统备份工具对数据库进行备份,也可以利用专用的备份工具。第4章 网络效劳与应用系统的平安 4.1 Web效劳器平安 在计算机网络应用效劳中,Web技术被广泛的运用,给人们的生活、工作和学习带来了很大的便利,同时在这个虚幻的网络世界里,常常出现一些Web站点被攻击、被篡改、信息泄露
30、等,这就使得能否保证运用者的平安和隐私成为Web应用中的一个主要问题。Web的平安性是Web应用中必需考虑的重要问题。WebWorld Wide Web又称万维网,其根本结构是采纳开放试的客户机/效劳器(Client/Server)结构,其根本工作原理如图4-1所示。 图 4-1客户机/效劳器工作模式 Web的平安概述 通常的网络平安总是设置各种各样的限制,使得不明身份的人无法获得非授权的效劳,但是Web效劳器恰恰相反,它希望接受尽可能多的客户,对客户几乎没有限制和要求,这样,相当于其他网络效劳器,Web是最简单受到攻击的。Web平安风险一般可分为三类,即对Web效劳器及其相连LAN的威逼、对
31、效劳器和客户机之间的通信信道的威逼。从Web效劳器角度来将,效劳器风险比Web阅读器用户更大,效劳器受攻击要比客户机受攻击危急的多。 Web站点的平安和漏洞 1、Web站点主要平安问题 1) 未经授权的存取动作。该类问题指的是用户未经授权就运用系统资源,即使未对系统造成破坏,也侵扰了隐私。 2) 窃取系统的信息。该类问题指的是攻击者非法访问、获得目标机器Web效劳器或者阅读器上的敏感信息;或者中途截取Web效劳器和阅读器之间传输的敏感信息;或者由于配置、软件等的缘由无意泄露的敏感信息,如账号、密码和客户资料等。这种行为给用户造成特别大的损失。3) 破坏系统。该类问题指的是入侵者进入系统后,破坏
32、系统的重要数据、系统运行的重要文件,从而导致Web站点系统无法正常运行。4) 拒绝效劳。该类问题指的是攻击者的干脆目的不在于侵入计算机,而是在短时间内向目标发送大量的正常的恳求数据包并使得目标机器维持相应的连接,或者发送须要目标机器解析的大量无用的数据包。使得目标机器资源耗尽或是应接无暇,根本无法响应正常的效劳。这种威逼不简单抵挡。5) 非法运用。该类问题指的是入侵者利用系统从事非法用途,如存放、发布非法信息。6) 病毒破坏。该类问题指的是由于不当心执行病毒程序、系统存在平安漏洞被网络病毒攻击等,从而导致系统数据被破坏、被窃取、甚至系统崩溃。2、Web站点典型平安漏洞 1) 操作系统类平安漏洞
33、。该类问题指的是非法文件访问、远程获得管理员权限、系统后门等漏洞。2) 网络系统的平安漏洞。该类问题指的是网络结构不合理,如Web效劳器被监听、路由器出现错误的配置、交换机有后门口令或允许未授权用户绕过认证系统、防火墙防外不防内以及防火墙设置不当。3) 应用系统的平安漏洞。该类问题指的是计算机网络中运用的TCP/IP协议以及WWW Server、mail Server、FTP Server 等存在的平安漏洞。4) 网络平安防护系统漏洞。该类问题指的是网络平安意识不强,缺少信息系统平安管理的标准,缺少平安测试、检查、监控,缺少信息发布的审核和管理,缺少对网络平安事务的响应,网管人员的技术水平不高
34、。5) 其他平安漏洞。该类问题指的是薄弱的认证环节,困难的设置和限制、易被监视和欺瞒等漏洞。不能对电子邮件、下载文件和阅读的恶意网站进行有效限制。 Web平安预防措施 1) 增加效劳器操作系统的平安,亲密关注并刚好安装系统及软件的最新补丁。 2) 建立良好的账号管理制度,限制在Web效劳器开账户。运用足够平安的口令,在口令长度及定期更改方面做出要求,防止被盗用,并正确设置用户访问权限。3) 对效劳器进行远程管理时,运用如SSL等平安协议,防止运用Telnet、FTP等程序,因为这些程序是以明文形式传输密码的,简单被监听。并严格限制远程管理员身份的运用,仅在肯定须要时,才允许运用具有高授权的操作
35、。4) 运用入侵检测系统,监视系统、事务、平安记录和系统日志,以及网络中的数据包,定期查看效劳器中的日志logs文件,分析一切可疑事务,对危急和恶意访问进行阻断、报警等响应,并进行必要的修补和限制。5) 限制可访问用户的IP或域名。在Web效劳器上可以依据IP地址或域名来限制用户对资源的访问,可以限制哪些IP或域名可以访问,哪些IP或域名不行以访问。6) 运用防火墙,对数据包进行过滤,禁止某些地址对效劳器的某些效劳的访问,并在外部网络和Web效劳器中建立双层防护。利用防火墙,将效劳器中与Web效劳器无关的效劳及端口阻隔,进一步增加开放的效劳的平安性。7) 运用漏洞扫描和平安评估软件,对整个网络
36、进行全面的扫描、分析和评估,从用户账户约束、口令系统、访问限制、系统监测、数据完整和数据加密等多方面进行平安分析和审计。建立和提高用户的平安策略,刚好发觉并弥补平安漏洞。4.2 域名系统的平安性 域名系统(Domain Name System-DNS)是一个分布式数据库.它把主机名翻译成IP地址,把IP地址翻译成主机名。对于DNS效劳器而言可用性是最为重要的。在现实生活中常常定义攻击者入侵系统获得数据为一个平安问题,但是对DNS效劳器来说,遭到了拒绝效劳攻击那么是一件更重要的问题。失去DNS效劳器的话,任何在Internet网络上的人将不能够再运用域名找到所要访问的效劳器。更严峻的是,没有DN
37、S效劳,全部的邮件发送都将失败,而内部网络将由于解析域名的失败而失去和外部网络的联系。 DNS的平安威逼 1、 拒绝效劳攻击 网络攻击者攻击DNS效劳器、路由器和防火墙,是DNS效劳器无法回应正常的DNS查询的恳求。 2、 设置不当的DNS将泄露过多的网络拓扑结构 假如DNS效劳器设置为允许对任何人都进行区域传输的话,那么整个网络架构中的主机名、主机IP列表、路由器名、路由器IP列表甚至包括机器所在的位置等信息很简单被窃取,通过分析这些信息可以很清晰地得到网站内部的网络拓扑结构。3、 利用被限制的DNS效劳器入侵整个网络 当一个入侵者限制了DNS效劳器后,他就可以随意篡改DNS的记录信息,甚至
38、运用这些被篡改的记录信息来到达进一步入侵整个网络的目的。比方,将现有的DNS记录中的主机信息修改成被攻击者自己限制的主机,这样全部到达原来目的地的数据包将被重定位到入侵者手中,DNS带来的威逼会涉及到整个网络系统破坏了整个网络的平安完整性。 名字欺瞒技术 当允许用户执行远程系统吩咐时,系统管理员往往在某些主机之间建立相互信任的关系,当主机间的信任是借助名字并通过DNS来认证时,就会导致名字欺瞒的出现。例如,当一个主机B要向主机A发送信息时,中途被主机C篡改了主机B的地址等信息,而此时主机C担当了主机B的较色,从而主机C就和主机A建立了信任关系,此时主机C就假冒主机B欺瞒了主机A。 增加DNS效
39、劳的平安性 1. 设置分布在不同网络中的DNS效劳器 将DNS效劳器分布在不同的网络中,以防卫拒绝效劳的攻击。假如多台DNS效劳器放在同一网段,处在同一个路由器或防火墙后面,一旦DNS效劳器前的路由器或防火墙成了攻击目标,大量的数据包将涌向这个路由器或防火墙,堵塞了这个路由器或防火墙,而正常的DNS解析恳求无法到达路由器或防火墙后的DNS效劳器上。从而干扰了正常的DNS通信,导致应用效劳器无法给外界供应效劳,网站发生瘫痪。 2.防卫名字欺瞒技术 对于名字欺瞒技术的防卫方法有: 把名字数据库中的信息的生存期改为比拟长的时间,如一个星期或一个月,这样名字信息保存在缓冲区的时间较长,即使更改数据库内
40、容也不会立刻生效,攻击者不行能等这么长的时间。但生存期过长对数据库的更改也不利。在设置信任关系时不运用机器名字,而运用机器的IP地址,这样可以使系统防止名字欺瞒,但可能遭遇IP地址欺瞒。为保证平安的效劳,要认证用户而不是认证主机名和IP地址。4.3 电子邮件的平安性 电子邮件E-mail作为Internet上运用最多、最重要的效劳之一,同时也是平安漏洞最多的效劳之一,它已成为目前网络上传递病毒和黑客程序主要的途径之一。E-mail系统之所以是一种最脆弱的效劳,是因为它可以接受来自Internet上任何主机的任何数据。 E-mail的平安风险 E-mail效劳器向全球开放,原那么上可以接收任何人
41、发来的邮件,很简单受到攻击。邮件的信息可能携带会损害效劳器或客户机的指令。邮件客户端软件和Web供应的阅读器很简单受到这类侵扰。与标准的基于文本的Internet邮件不同,邮件客户端软件和网页阅读器可以执行脚本。例如,在一条信息中加进了一个小的脚本,并发给用户。这个脚本在信息中作为一个小图标,用户点击这个图像,就会翻开一个小程序,甚至会在邮件翻开时自动运行。假如携带了恶意的代码,病毒或程序,会影响本地计算机的平安,甚至会自动转发给邮件地址薄中的其他用户,造成更大范围的攻击。 E-mail欺瞒行为表现形式可能各异,但原理相同,通常是欺瞒用户进行一个毁坏性的操作或暴露敏感信息比方密码。欺瞒性E-m
42、ail会制造平安漏洞。当用户收到的电子邮件中涉及敏感信息时,用户要适当分析,仔细核对邮件的发送者,邮件信息表头中的信息等。比方,收到的E-mail宣称来自系统管理员,要求用户将他们的口令改为特定的字串、要求用户供应口令或其他敏感信息,并威逼假如用户不照次办理,将关闭用户的账户。用户应了解,一般网络管理人员都不会用E-mail发出这样的要求。 E-mail轰炸可被描述为不停接到大量同一内容的E-mail。一条信息被传给成千上万的不断扩大的用户。更糟的是,假如一个人回复了该E-mail,那么表头里全部的用户都会收到这封回信。E-mail轰炸主要的风险来自E-mail效劳器。假如效劳器接到许多的E-
43、mail,可能会造成效劳器脱网,系统崩溃,甚至造成网络拥塞。 假如系统突然变得迟钝,或人们起先埋怨E-mail速度大幅减慢,或不能收、发E-mail,这时E-mail效劳器可能正忙于处理极大数量的信息。假如感到站点正受侵袭,应找出轰炸的来源,然后设置防火墙或路由器进行过滤。 邮件效劳器的平安与牢靠性 1) 建立一个平安的电子邮件系统,采纳相宜的平安标准特别重要。但仅仅依靠平安标准是不够的,邮件效劳器本身必需是平安、牢靠、久经实战考验的。 2) 对于网络入侵的防范,在效劳器端要考虑邮件信息的过滤、病毒的检测等措施,限制不良邮件和带病毒的邮件的入侵。对于效劳破坏的防范,那么可以分成一下几个方面。3
44、) 防止来自外部网络的攻击,包括拒绝来自指定地址和域名的邮件效劳器连接恳求,拒绝收信人数量大于预定上限的邮件,限制单个IP地址的连接数量,短暂搁置可疑的信息等。采纳这些措施可以有效地拒绝垃圾邮件,保证网络和邮件的畅通。同时运用网络防火墙对进入邮件效劳器E-mail的地址和风险的关键字进行限制、过滤以屏蔽不良的E-mail。4) 防止来自内部网络的攻击,包括拒绝来自指定用户、IP地址和域名的邮件效劳恳求,强制实施SMTP认证,实现SSL POP 和SSL SMTP以确认用户身份等。5) 在邮件效劳器上运用防病毒软件,监控收、发的邮件中是否有病毒,并自动实行去除病毒的措施。6) 刚好更新邮件效劳器
45、软件和系统补丁,发觉平安漏洞要刚好修补,不能存在侥幸心里。 邮件客户端的平安 E-mail是目前网络上传播病毒与黑客程序的主要途径之一。唯有加强危机意识和网络平安学问,才能更好地保障用户计算机网络平安。邮件客户端的平安防范主要有一下几点。 1) 不轻易翻开来历不明的电子邮件。特殊是来历不明又包含附件的邮件,即使附件看来好像是.jpg(图形文件)文件,也不要轻易翻开它,因为Windows允许用户在文件命名时运用多个后缀,而很多电子邮件程序只显示第一个后缀。比方,看到的邮件附件名称是WOW.JPG,而它的全名实际是WOW.JPG.VBS,翻开这个附件意味着运行一个恶意的VBScript病毒。2)
46、警惕欺瞒性的电子邮件。针对值得疑心的E-mail要实行措施证明是否确有其事。对于重要的邮件要通过数字签名来证明用户邮件的身份,运用数字签名可使收件人信任邮件是由发送方的机器发送的,并且未被伪造或篡改。3) 刚好更新邮件客户端软件并刚好打补丁。4) 运用并时常升级防毒软件,定期对计算机进行病毒检查。最好选用有邮件防火墙的防病毒软件。5) 对保密性要求较高的邮件运用数字标识对邮件进行加密。这样使得邮件只有预定的接收着才能接收阅读,但用户必需获得对方的数字标识。第5章 网络病毒防范 5.1 计算机病毒概述 计算机以及网络技术的快速开展,给人们的生活带来了极大的便利,然而计算机在给我们带来便捷的同时,
47、也给我们带来了不利的因素,那就是计算机病毒。现如今,计算机病毒对整个系统以及网络的危害是匪夷所思的。因此,对于任何运用计算机的个人和单位,都必需学会如何来防范计算机病毒。 计算机病毒的定义 “计算机病毒有许多种定义,从广义上讲,但凡能引起计算机故障,破坏计算机中数据的程统称为计算机病毒。现在比拟精确的定义是:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机运用,并且能够自我复制的一组计算机指令或者程序代码。 计算机病毒分类 计算机病毒按其传染方式分为三种类型:引导型、文件型、混合型。 1) 引导型病毒是指传染计算机系统磁盘引导程序的计算机病毒。2) 文件型病毒是指
48、传染可执行文件的计算机病毒。3) 混合型病毒是指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的特点。 计算机病毒的特征 计算机病毒是一种特别的程序,所以它除了具有与其他正常程序一样的特性外,还具有别出心裁的根本特征。 1. 传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。2. 潜藏性 计算机病毒的潜藏性是指病毒具有依附其他媒体而寄生的实力。3. 破坏性 计算机病毒的破坏性是指病毒破坏文件或数据,甚至损坏主板。4. 可触发性 计算机病毒的可触发性是指病毒因某个事务或某个数值的出现,诱发病毒发作。 计算机网络病毒的危害性 1) 破坏磁盘文件安排表,使磁盘上的信息丢失。 2) 删除软盘或硬盘上的可执行文件或数据文件,使文件丢失。3) 修改或破坏文件中的数据,这时文件的格式是正常的,但内容已经发生变更。4) 产生垃圾文件,占据磁盘及内存空间,使磁盘空间渐渐削减。5) 破坏硬盘的主引导扇区,使计算机无法启动。6) 对整个磁盘或磁盘的特定扇区进行格式化,使磁盘中的全部或局部信息丢失使受损的数据难以复原。7) 非法运用及破坏网络中的资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。8) 占用CPU运行时间