《计算机网络安全及防范策略探讨14430.docx》由会员分享,可在线阅读,更多相关《计算机网络安全及防范策略探讨14430.docx(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录计算机网络络安全及防防范策略探探究学生:李海龙专业:计算机网网络技术指导教师:王爱华摘要及关键键词摘要:随随着计算机机网络在人人类生活领领域中的广广泛应用,针针对重要信信息资源和和网络基础础设施的入入侵行为和和企图入侵侵行为的数数量仍在持持续不断增增加,网络络攻击对生活造成成了极大的威胁。计计算机病毒毒不断地通通过网络产产生和传播播,计算机机网络被不不断地非法法入侵,重重要情报、资资料被窃取取,甚至造造成网络系系统的瘫痪痪等等。网网络安全已已成为当今今共同关注注的焦点,网网络安全的的重要性是是不言而喻喻的,因此此,对漏洞洞的了解及及防范也相相对重要起起来。关键词:计计算机网络安全黑客防火墙
2、网络安全全防范策略略前言当今社会是是一个信息息化社会,计计算机网络络在社会各各个领域的的作用目益益增大,成成为信息传传输中不可可缺少的基基础设施和和承担传输输以及交换换信息的公公用平台。然然而,计算算机系统及及通信线路路的脆弱性性致使计算算机网络的的安全受到到潜在威胁。一方面面,计算机机系统硬件件和通信线线路易受自自然灾害和和人为的破破坏;另一一方面,由由于计算机机网络具有有联结形式式多样性、终终端分布不不均匀性和和网络的开开放性、互互连性等特特征,致使使网络易受受黑客、怪怪客、恶意意软件和其其他不轨的的攻击,软软件资源和和数据信息息受到非法法的复制、篡篡改和毁坏坏。可见,无无论是在局局域网还
3、是是在广域网网中,都存存在着自然然和人为等等诸多因素素的潜在威威胁,计算算机网络的的安全问题题及防范措措施已迫在在眉睫。1.1网络络安全的背背景随着计算机机的发展,人人们越来越越意识到网网络的重要要性,通过过网络,分分散在各处处的计算机机被网络联联系在一起起。做为网网络的组成成部分,把把众多的计算机机联系在一一起,组成成一个局域域网,在这这个局域网网中,可以以在它们之之间共享程程序、文档档等各种资资源;还可可以通过网网络使多台台计算机共共享同一硬硬件,如打打印机、调调制解调器器等;同时时我们也可可以通过网网络使用计计算机发送送和接收传传真,方便便快捷而且且经济。221世纪全世世界的计算算机都将
4、通通过Inteernett联到一起起,信息安安全的内涵涵也就发生生了根本的的变化。它它不仅从一一般性的防防卫变成了了一种非常常普通的防防范,而且且还从一种种专门的领领域变成了了无处不在在。当人类类步入21世纪这一一信息社会会、网络社社会的时候候,我国将将建立起一一套完整的的网络安全全体系,特特别是从政政策上和法法律上建立起起有中国自自己特色的的网络安全全体系。1.2网络络安全的意意义一个国家的的信息安全全体系实际际上包括国国家的法规规和政策,以以及技术与与市场的发发展平台。我我国在构建建信息防卫卫系统时,应应着力发展展自己独特特的安全产产品,我国国要想真正正解决网络络安全问题题,最终的的办法就
5、是是通过发展展民族的安安全产业,带带动我国网网络安全技技术的整体体提高。网网络安全产产品有以下下几大特点点:第一,网网络安全来来源于安全全策略与技技术的多样样化,如果果采用一种种统一的技技术和策略略也就不安安全了;第第二,网络络的安全机机制与技术术要不断地地变化;第第三,随着着网络在社社会个方面面的延伸,进进入网络的的手段也越越来越多,因此,网网络安全技技术是一个个十分复杂杂的系统工工程。为此此建立有中中国特色的的网络安全全体系,需需要国家政政策和法规规的支持及及集团联合合研究开发发。安全与与反安全就就像矛盾的的两个方面面,总是不不断地向上上攀升,所所以安全产产业将来也也是一个随随着新技术术发
6、展而不不断发展的的产业。信息安全全是国家发发展所面临临的一个重重要问题。对对于这个问问题,我们们还没有从从系统的规规划上去考考虑它,从从技术上、产产业上、政政策上来发发展它。政政府不仅应应该看见信信息安全的的发展是我我国高科技技产业的一一部分,而而且应该看看到,发展展安全产业业的政策是是信息安全全保障系统统的一个重重要组成部部分,甚至至应该看到到它对我国国未来电子化化、信息化化的发展将将起到非常常重要的作作用。2网络安全全现状2.1网络络安全面临临的挑战Interrnet对于任何何一个具有有网络连接接和ISP帐号的人都都是开放的的,事实上上它本身被被设计成了了一个开放放的网络。因因此它本身身并
7、没有多多少内置的的能力使信信息安全,从从一个安全全的角度看看,Inteernett是天生不不安全的。然然而,商界界和个人现现在都想在在Inteernett上应用一一些安全的的原则,在在Inteernett发明人当当初没有意意识到的方方式下有效效的使用它它。对于Inteernett用户一个个新的挑战战是如何在在允许经授授权的人在在使用它的的同时保护护敏感信息息。安全是什么么?简单的说在在网络环境境里的安全全指的是一一种能够识识别和消除除不安全因因素的能力力。安全的的一般性定定义也必须须解决保护护公司财产产的需要,包包括信息和和物理设备备(例如计计算机本身身)。安全全的想法也也涉及到适适宜性和从从
8、属性概念念。负责安安全的任何何一个人都都必须决定定谁在具体体的设备上上进行合适适的操作,以以及什么时时候。当涉涉及到公司司安全的时时候什么是是适宜的在在公司与公公司之间是是不同的,但但是任何一一个具有网网络的公司司都必须具具有一个解解决适宜性性、从属性性和物理安安全问题的的安全策略略。伴随着现现代的、先先进的复杂杂技术例如如局域网(LAN)和广域域网(WANN)、Internet网以及VPN。安全的的想法和实实际操作已已经变得比比简单巡逻逻网络边界界更加复杂杂。对于网网络来说一一个人可以以定义安全全为一个持持续的过程程,在这个个过程中管管理员将确确保信息仅仅仅被授权权的用户所所共享。建立有效效
9、的安全矩矩阵。尽管一个个安全系统统的成分和和构造在公公司之间是是不同的,但但某些特征征是一致的的,一个可可行的安全全矩阵是高高度安全的的和容易使使用的,它它实际上也也需要一个个合情合理理的开销。一一个安全矩矩阵由单个个操作系统统安全特征征、日志服服务和其他他的装备包包括防火墙墙,入侵检检测系统,审审查方案构构成。一个安全全矩阵是灵灵活的可发发展的,拥拥有很高级级的预警和报告功功能。特点点描述:允许访问问控制:通通过只允许许合法用户户访问来达达到的目的的,最大扩展展通信的功功能同时最最小化黑客客访问的可可能性,当黑客已已经访问到到的资源时时尽可能地地减小破坏坏性。容易易使用:如如果一个安安全系统
10、很很难使用,员员工可能会会想办法绕绕开它,要保证界界面是直观观的。合理理的花费:不仅要考考虑初始的的花费还要要考虑以后后升级所需需要的费用用。还要考考虑用于管管理所要花花的费用;要多少员员工,达到到什么样的的水平来成成功的实施施和维护系系统。灵活性和和伸缩性:系统要能能让公司按按其想法做做一些商业业上的事情情,系统要要随着公司司的增长而加强。优秀秀的警报和和报告:当当一个安全全破坏发生生时,系统统要能快速速地通知管管理员足够够详细的内内容。要配配置系统尽尽可能正确确地对发出出警告。可可以通过Email,计算机机屏幕,pageer等等来发发出通知。安全机制制:根据ISO提出的,安安全机制是是一种
11、技术术,一些软软件或实施施一个或更更多安全服服务的过程程。 ISSO把机制分分成特殊的的和普遍的的。一个特特殊的安全全机制是在在同一时间间只对一种种安全服务务上实施一一种技术或或软件。加加密就是特特殊安全机机制的一个个例子。尽尽管可以通通过使用加加密来保证证数据的保保密性,数数据的完整整性和不可可否定性,但但实施在每每种服务时需需要不同的的加密技术术。一般的的安全机制制都列出了了在同时实实施一个或或多个安全全服务的执执行过程。特特殊安全机机制和一般般安全机制制不同的另另一个要素素是一般安安全机制不不能应用到OSI参考模型型的任一层层上。普通通的机制包包括:信任的功功能性:指指任何加强强现有机制
12、制的执行过过程。例如如,当升级级的TCP/IP堆栈或运运行一些软软件来加强强的Noveell,NT,UUNIX系统认证证功能时,使使用的就是是普遍的机机制。事件检测测:检查和和报告本地地或远程发发生的事件件审计跟踪踪:任何机机制都允许许监视和记记录网络上上的活动安全恢复复:对一些些事件作出出反应,包包括对于已知漏漏洞创建短短期和长期期的解决方方案,还包包括对受危危害系统的的修复。额外的安安全标准除了ISO 74988-2还存在一一些其它政政府和工业业标准。主主要包括 Briitishh Staandarrd 77799:概括了了特殊的“控制”,如系统统访问控制制和安全策策略的使用用以及物理理安
13、全措施施。目的为为了帮助管管理者和IT专家建立立程序来保保持信息的的安全性。公共标准桔皮书(美美国)桔皮书为了了标准化安安全的级别别,美国政政府发表了了一系列的的标准来定定义一般安安全的级别别。这些标标准发表在在一系列的的书上通常常叫做“彩虹系列”,因为每每本书的封封面的颜色都是不不同的。由由为重要的的是桔皮书书。它定义义了一系列列的标准,从D级别开始(最低的级别)一直到A1(最安全)级。12.2网络络安全可能能面临的挑挑战垃圾邮件件数量将变变本加厉。根据电子邮邮件安全服服务提供商商Messsage Labss公司最近近的一份报报告,预计计全球垃圾圾邮件数量量的增长率率将超过正正常电子邮邮件的
14、增长长率,而且且就每封垃垃圾邮件的的平均容量量来说,也也将比正常常的电子邮邮件要大得得多。这无无疑将会加加大成功狙狙击垃圾邮邮件的工作作量和难度度。目前还还没有安装装任何反垃垃圾邮件软软件的企业业公司恐怕怕得早做未未雨绸缪的的工作,否则则就得让自自己的员工工们在今后后每天不停停地在键盘盘上按动“删除键”了。另外,反反垃圾邮件件软件也得得不停升级级,因为目目前垃圾邮邮件传播者者已经在实实行“打一枪换换一个地方”的游击战战术了。即时通讯讯工具照样样难逃垃圾圾信息之劫劫。即时通讯工工具以前是是不大受垃垃圾信息所所干扰的,但但现在情况况已经发生生了很大的的变化。垃垃圾邮件传传播者会通通过种种手手段清理
15、搜搜集到大量量的网络地地址,然后后再给正处处于即时通通讯状态的的用户们发发去信息,诱诱导他们去去访问一些些非法收费费网站。更更令人头疼疼的是,目目前一些推推销合法产产品的厂家家也在使用用这种让人人厌烦的手手段来让网网民们上钩钩。目前市市面上还没有任何何一种反即即时通讯干干扰信息的的软件,这这对软件公公司来说无无疑也是一一个商机。内置防护软件型硬件左右为难。现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人
16、欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。23计算机网络面临的主要威胁3.1人为为的无意失失误人为的无意意失误:如如操作员安安全配置不不当造成的的安全漏洞洞,用户安安全意识不不强,用户户口令选择择不慎,用用户将自己己的帐号随随意转借他他人或与别别人共享等等都会对网网络安全带带来威胁。企业用户网络安全维护范围的重新界定:目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带
17、来了新问题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。个人的信用资料:个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计在这种犯罪现象将会发展到全面窃取公众的个人信用资料的程度。如网络犯罪者可以对的银行存款账号、社会保险账号以及最近的
18、行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给日常人生活带来极大的负面影响。3.2人为为的恶意失失误人为的恶意意攻击:这这是计算机机网络所面面临的最大大威胁,敌敌手的攻击击和计算机机犯罪就属属于这一类类。此类攻攻击又可以以分为以下下两种:一一种是主动动攻击,它它以各种方方式有选择择地破坏信信息的有效效性和完整整性;另一一类是被动动攻击,它它是在不影影响网络正正常工作的的情况下,进进行截获、窃窃取、破译译以获得重重要机密信信息。这两两种攻击均均可对计算算机网络造造成极大的危害害,并导致致机密数据据的泄漏。3.2.11黑客(hackker)源于英语动动词hack,意为“劈,砍”,
19、引申为“干了一件件非常漂亮亮的工作”。在早期期麻省理工工学院的校校园俚语中中,“黑客”则有“恶作剧”之意,尤尤指手法巧巧妙、技术术高明的恶恶作剧。在在日本新新黑客词典典中,对对黑客的定定义是“喜欢探索索软件程序序奥秘,并并从中增长长了其个人人才干的人人。他们不不象绝大多多数电脑使使用者那样样,只规规规矩矩地了了解别人指指定了解的的狭小部分分知识。”由这些定定义中,我我们还看不不出太贬义义的意味。他他们通常具具有硬件和和软件的高高级知识,并并有能力通通过创新的的方法剖析析系统。“黑客”能使更多多的网络趋趋于完善和和安全,他他们以保护护网络为目目的,而以以不正当侵侵入为手段段找出网络络漏洞。另一种
20、入入侵者是那那些利用网网络漏洞破破坏网络的的人。他们们往往做一一些重复的的工作(如如用暴力法法破解口令令),他们们也具备广广泛的电脑脑知识,但但与黑客不不同的是他他们以破坏坏为目的。这这些群体成成为“骇客”。当然还还有一种人人兼于黑客客与入侵者者之间。3.2.22黑客攻击击的目的取目标系统统的非法访访问-获得不该该获得的访访问权限b、获取所所需资料-获得黑客客想要获得得的相关资资料,包括括科技情报报、个人资资料、金融融帐户、技技术成果、系系统信息等等等c、篡改有有关数据-篡改以上上资料,达达到非法目目的d、利用有有关资源-利用这台台机器的资资源对其它它目标进行行攻击,发发布虚假信信息,占用用存
21、储空间间黑客攻击击的方式:远程攻击-远程攻击击指外部黑黑客通过各各种手段,从从该子网以以外的地方方向该子网网或者该子子网内的系系统发动攻攻击。远程程攻击的时时间一般发发生在目标标系统当地地时间的晚晚上或者凌凌晨时分,远远程攻击发发起者一般般不会用自自己的机器器直接发动动攻击,而而是通过跳跳板的方式式,对目标标进行迂回回攻击,以以迷惑系统统管理员,防防止暴露真真实身份。3.2.33黑客攻击击所采用的的途径黑客之所以以能得手,无无非是利用用了各种安安全脆弱点点,其中包括:管管理漏洞-如两台服务务器同一用用户/密码,则则入侵了A服务器,B服务器也也不能幸免免;软件漏漏洞-如Sun系统上常常用的Net
22、sscapee EntterPrrise Servver服务,只只需输入一一个路径,就就可以看到到Web目录下的的所有文件件清单;又又如很多程程序只要接接受到一些些异常或者者超长的数数据和参数数,就会导导致缓冲区区溢出;结结构漏洞-比如在某某个重要网网段由于交交换机、集集线器设置置不合理,造造成黑客可可以监听网网络通信流流的数据;又如防火火墙等安全全产品部署署不合理,有有关安全机机制不能发发挥作用,麻麻痹技术管管理人员而而酿成黑客客入侵事故故;信任漏漏洞-比如本系系统过分信信任某个外外来合作伙伙伴的机器,一一旦这台合合作伙伴的的机器被黑黑客入侵,则则本系统的的安全受严严重威胁。3.3网络络软件
23、的漏漏洞和“后门无论多么优优秀的网络络软件,都都可能存在在这样那样样的缺陷和和漏洞,而而那些水平平较高的黑黑客就将这这些漏洞和和缺陷作为为网络攻击击的首选目目标。在曾曾经出现过过的黑客攻攻击事件中中,大部分分都是因为为软件安全全措施不完完善所招致致的苦果。一一般,软件件的“后门”都是软件件公司的设设计和编程程人员为了了为方便设设计而设置置的,很少少为外人所所知。不过过,一旦“后门”公开或被被发现,其其后果将不不堪设想3.3.11“后门”的解释后门是一种种登录系统的方法,它它不仅绕过过系统已有有的安全设设置,而且且还能挫败败系统上各各种增强的的安全设置置。后门包包括从简单单到奇特,有有很多的类类
24、型。简单单的后门可可能只是建建立一个新新的账号,或或者接管一一个很少使使用的账号号;复杂的的后门(包包括木马)可可能会绕过过系统的安安全认证而而对系统有有安全存取取权。例如如一个logiin程序,你你当输入特特定的密码码时,你就就能以管理理员的权限限来存取系系统。后门门能相互关关联,而且且这个技术术被许多黑黑客所使用用。例如,黑黑客可能使使用密码破破解一个或或多个账号号密码,黑黑客可能会会建立一个个或多个账账号。一个个黑客可以以存取这个个系统,黑黑客可能使使用一些技技术或利用系统统的某个漏漏洞来提升升权限。黑黑客可能使使用一些技技术或利用用系统的某某个漏洞庭庭湖来提升升权限。黑黑客可能会会对系
25、统的的配置文件件进行小部部分的修改改,以降低低系统的防防卫性能。也也可能会安安装一个木木马程序,使使系统打开开一个安全全漏洞,以以利于黑客客完全掌握握系统。以以上是在网网络上常见见的对“后门”的解释,其其实我们可可以用很简简单的一句句话来概括括它:后门门就是留在在计算机系系统中,供供某位特殊殊使用都通通过某种特特殊方式控控制计算机机系统的途途径!3.3.22后门的分分类后门可以按按照很多方方式来分类类,标准不不同自然分分类就不同同,为了便便于大家理理解,我们们从技术方方面来考虑虑后门程序的分分类方法:1网页后门门此类后门门程序一般般都是服务务器上正常常的web服务来构构造自己的的连接方式式,比
26、如现现在非常流流行的、cgi脚本后门门等。2线程插入入后门利用用系统自身身的某个服服务或者线线程,将后后门程序插插入到其中中,是现在在最流行的的一个后门门技术。33扩展后门门所谓的“扩展”,是指在在功能上有有大的提升升,比普通通的单一功功能的后门门有很强的的使用性,这这种后门本本身就相当当于一个小小的安全工工具包,能能实现非常常多的常驻驻见安全功功能。4 c/s后门和传统统的木马程程序类似的的控制方法法,采用“客记端/服务端”的控制方方式,通过某种特特定的访问问方式来启启动后门进进而控制服服务器。3网络安安全防范技技术和措施施4.1物理理安全策略略物理安全策策略的目的的是保护计计算机系统统、网
27、络服服务器、打打印机等硬硬件实体和和通信链路路免受自然然灾害、人人为破坏和和搭线攻击击;验证用用户的身份份和使用权权限、防止止用户越权权操作;确确保计算机机系统有一一个良好的的电磁兼容容工作环境境;建立完完备的安全全管理制度度,防止非非法进入计计算机控制制室和各种种偷窃、破破坏活动的的发生。抑抑制和防止止电磁泄漏漏(即TEMPPEST技术)是是物理安全全策略的一一个主要问问题。目前前主要防护护措施有两类类:一类是是对传导发发射的防护护,主要采采取对电源源线和信号号线加装性性能良好的的滤波器,减减小传输阻阻抗和导线线间的交叉叉耦合。另另一类是对对辐射的防防护,这类类防护措施施又可分为为以下两种种
28、:一是采采用各种电电磁屏蔽措措施,如对对设备的金金属屏蔽和和各种接插插件的屏蔽蔽,同时对对机房的下下水管、暖暖气管和金金属门窗进进行屏蔽和和隔离;二二是干扰的的防护措施施,即在计计算机系统统工作的同同时,利用用干扰装置置产生一种种与计算机机系统辐射射相关的伪伪噪声向空空间辐射来来掩盖计算算机系统的的工作频率率和信息特特征。4.2访访问控制策策略访问控制是是网络安全全防范和保保护的主要要策略,它它的主要任任务是保证证网络资源源不被非法法使用和非非常访问。它它也是维护护网络系统统安全、保保护网络资资源的重要要手段。各各种安全策策略必须相相互配合才才能真正起起到保护作作用,但访访问控制可可以说是保保
29、证网络安安全最重要要的核心策策略之一。下下面我们分分述各种访访问控制策策略。1入网访问问控制入网访问问控制为网网络访问提提供了第一一层访问控控制。它控控制哪些用用户能够登登录到服务务器并获取取网络资源源,控制准准许用户入入网的时间间和准许他他们在哪台台工作站入入网。用户户的入网访访问控制可可分为三个个步骤:用用户名的识识别与验证证、用户口口令的识别别与验证、用用户帐号的的缺省限制制检查。三三道关卡中中只要任何何一关未过过,该用户户便不能进进入该网络络。对网络络用户的用用户名和口口令进行验验证是防止止非法访问问的第一道道防线。用用户注册时时首先输入入用户名和和口令,服服务器将验验证所输入入的用户
30、名名是否合法法。如果验验证合法,才才继续验证证用户输入入的口令,否否则,用户户将被拒之之网络之外外。用户的的口令是用用户入网的的关键所在在。为保证证口令的安安全性,用用户口令不不能显示在在显示屏上上,口令长长度应不少少于6个字符,口口令字符最最好是数字字、字母和和其他字符符的混合,用用户口令必必须经过加加密,加密密的方法很很多,其中中最常见的的方法有:基于单向向函数的口口令加密,基基于测试模模式的口令令加密,基基于公钥加加密方案的的口令加密密,基于平平方剩余的的口令加密密,基于多多项式共享享的口令加加密,基于于数字签名名方案的口口令加密等等。经过上上述方法加加密的口令令,即使是是系统管理理员也
31、难以以得到它。用用户还可采采用一次性性用户口令令,也可用用便携式验验证器(如如智能卡)来来验证用户户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的
32、工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父
33、目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户;(3)审计用户;(4)目录级安全控制。3目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Control)。用户对文件或目标的有效权限取决于以下
34、二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。4属性安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的
35、访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。5网络服务器安全控制网络允许在在服务器控控制台上执执行一系列列操作。用用户使用控控制台可以以装载和卸卸载模块,可可以安装和和删除软件件等操作。网网络服务器器的安全控控制包括可可以设置口口令锁定服服务器控制制台,以防防止非法用用户修改、删删除重要信信息或破坏坏数据;可可以设定服服务器登录录时间限制制、非法访访问者检测测
36、和关闭的的时间间隔隔。6网络监测测和锁定控控制网络管管理员应对对网络实施施监控,服服务器应记记录用户对对网络资源源的访问,对对非法的网网络访问,服服务器应以以图形或文文字或声音音等形式报报警,以引引起网络管管理员的注注意。如果果不法之徒徒试图进入入网络,网网络服务器器应会自动动记录企图图尝试进入入网络的次次数,如果果非法访问问的次数达达到设定数数值,那么么该帐户将将被自动锁锁定。7网络端口口和节点的的安全控制制网络中服服务器的端端口往往使使用自动回回呼设备、静静默调制解解调器加以以保护,并并以加密的的形式来识识别节点的的身份。自自动回呼设设备用于防防止假冒合合法用户,静静默调制解解调器用以以防
37、范黑客客的自动拨拨号程序对对计算机进进行攻击。网网络还常对对服务器端端和用户端端采取控制制,用户必必须携带证证实身份的的验证器(如如智能卡、磁磁卡、安全全密码发生生器)。在在对用户的的身份进行行验证之后后,才允许许用户进入入用户端。然然后,用户户端和服务务器端再进进行相互验验证。8防火墙控控制防火墙墙是近期发发展起来的的一种保护护计算机网网络安全的的技术性措措施,它是是一个用以以阻止网络络中的黑客客访问某个个机构网络络的屏障,也也可称之为为控制进/出两个方方向通信的的门槛。在在网络边界界上通过建建立起来的的相应网络络通信监控控系统来隔隔离内部和和外部网络络,以阻档档外部网络络的侵入。目目前的防
38、火火墙主要有有以下三种种类型;(1)包过滤防防火墙:包包过滤防火火墙设置在在网络层,可可以在路由由器上实现现包过滤。首首先应建立立一定数量量的信息过过滤表,信信息过滤表表是以其收收到的数据据包头信息息为基础而而建成的。信信息包头含含有数据包包源IP地址、目目的IP地址、传传输协议类类型(TCP、UDP、ICMP等)、协协议源端口口号、协议议目的端口口号、连接接请求方向向、ICMP报文类型型等。当一一个数据包包满足过滤滤表中的规规则时,则则允许数据据包通过,否否则禁止通通过。这种种防火墙可可以用于禁禁止外部不不合法用户户对内部的的访问,也也可以用来来禁止访问问某些服务务类型。但但包过滤技技术不能
39、识识别有危险险的信息包包,无法实实施对应用用级协议的的处理,也也无法处理理UDP、RPC或动态的的协议。(2)代理防火火墙:代理理防火墙又又称应用层层网关级防防火墙,它它由代理服服务器和过过滤路由器器组成,是是目前较流流行的一种种防火墙。它它将过滤路路由器和软软件代理技技术结合在在一起。过过滤路由器器负责网络络互连,并并对数据进进行严格选选择,然后后将筛选过过的数据传传送给代理理服务器。代代理服务器器起到外部部网络申请请访问内部部网络的中中间转接作作用,其功功能类似于于一个数据据转发器,它它主要控制制哪些用户户能访问哪哪些服务类类型。当外外部网络向向内部网络络申请某种种网络服务务时,代理理服务
40、器接接受申请,然然后它根据据其服务类类型、服务务内容、被被服务的对对象、服务务者申请的的时间、申申请者的域域名范围等等来决定是是否接受此此项服务,如如果接受,它它就向内部部网络转发发这项请求求。代理防防火墙无法法快速支持持一些新出出现的业务务(如多媒媒体)。现现要较为流流行的代理理服务器软软件是WinGGate和Proxxy Seerverr。(3)双穴主机机防火墙:该防火墙墙是用主机机来执行安安全控制功功能。一台台双穴主机机配有多个个网卡,分分别连接不不同的网络络。双穴主主机从一个个网络收集集数据,并并且有选择择地把它发发送到另一一个网络上上。网络服服务由双穴穴主机上的的服务代理理来提供。内
41、内部网和外外部网的用用户可通过过双穴主机机的共享数数据区传递递数据,从从而保护了了内部网络络不被非法法访问。4.3信息息加密策略略信息加密的的目的是保保护网内的的数据、文文件、口令令和控制信信息,保护护网上传输输的数据。网网络加密常常用的方法法有链路加加密、端点点加密和节节点加密三三种。链路路加密的目目的是保护护网络节点点之间的链链路信息安安全;端-端加密的的目的是对对源端用户户到目的端端用户的数数据提供保保护;节点点加密的目目的是对源源节点到目目的节点之之间的传输输链路提供供保护。用用户可根据据网络情况况酌情选择择上述加密密方式。信息加密密过程是由由形形色色的加密密算法来具具体实施,它它以很
42、小的的代价提供供很大的安安全保护。在在多数情况况下,信息息加密是保保证信息机机密性的唯唯一方法。据据不完全统统计,到目目前为止,已已经公开发发表的各种种加密算法法多达数百百种。如果果按照收发发双方密钥钥是否相同同来分类,可可以将这些些加密算法法分为常规规密码算法法和公钥密密码算法。在常规密码码中,收信信方和发信信方使用相相同的密钥钥,即加密密密钥和解解密密钥是是相同或等等价的。比比较著名的的常规密码码算法有:美国的DES及其各种种变形,比比如Tripple DDES、GDES、New DES和DES的前身Luciifer;欧洲的IDEA;日本的FEALN、LOKI91、Skippjackk、R
43、C4、RC5以及以代代换密码和和转轮密码码为代表的的古典密码码等。在众众多的常规规密码中影影响最大的的是DES密码。常规密码的的优点是有有很强的保保密强度,且且经受住时时间的检验验和攻击,但但其密钥必必须通过安安全的途径径传送。因因此,其密密钥管理成成为系统安安全的重要要因素。在公钥密码码中,收信信方和发信信方使用的的密钥互不不相同,而而且几乎不不可能从加加密密钥推推导出解密密密钥。比比较著名的的公钥密码码算法有:RSA、背包密密码、McElliecee密码、Difffe-Heellmaan、Rabiin、Ong-Fiatt-Shaamir、零知识识证明的算算法、椭园园曲线、EIGaamal算
44、法等等等。最有影影响的公钥钥密码算法法是RSA,它能抵抵抗到目前前为止已知知的所有密密码攻击。公钥密码的的优点是可可以适应网网络的开放放性要求,且且密钥管理理问题也较较为简单,尤尤其可方便便的实现数数字签名和和验证。但但其算法复复杂。加密密数据的速速率较低。尽尽管如此,随随着现代电电子技术和和密码技术术的发展,公公钥密码算算法将是一一种很有前前途的网络络安全加密密体制。当然在实际际应用中人人们通常将将常规密码码和公钥密密码结合在在一起使用用,比如:利用DES或者IDEA来加密信信息,而采采用RSA来传递会会话密钥。如如果按照每每次加密所所处理的比比特来分类类,可以将将加密算法法分为序列列密码和
45、分分组密码。前前者每次只只加密一个个比特而后后者则先将将信息序列列分组,每每次处理一一个组。密码技术是是网络安全全最有效的的技术之一一。一个加加密网络,不不但可以防防止非授权权用户的搭搭线窃听和和入网,而而且也是对对付恶意软软件的有效效方法之一一。44.4网络络安全管理理策略4.4.11网络安全全管理策略略所谓网络安安全管理策策略是指一一个网络中中关于安全全问题采取取的原则,对对安全使用用的要求,以以及如何保保护网络的的安全运行行。制定网络络安全管理理策略首先先要确定网网络安全管管理要保护护什么,在在这一问题题上一般有有两种截然然不同的描描述原则。一一个是“没有明确确表述为允允许的都被被认为是
46、被被禁止的”,另一个个是“一切没有有明确表述述为禁止的的都被认为为是允许的的”。对于网网络安全策策略,一般般采用第一一种原则,来来加强对网网络安全的的限制。对对于少数公公开的试验验性网络可可能会采用用第二种较较宽松的原原则,这种种情况下一一般不把安安全问题作作为网络的的一个重要要问题来处处理。4.4.22网络安全全策略中涉涉及到的问问题网络安全策策略在确定定了描述原原则后所要要做的是确确定网络资资源的职责责划分。网络安全全策略要根根据网络资资源的职责责确定哪些些人允许使使用某一设设备,对每每一台网络络设备要确确定哪些人人能够修改改它的配置置。更进一一步要明确确的是授权权给某人使使用某网络络设备
47、和某某资源的目目的是什么么,他可以以在什么范范围内使用用。并确定定对每一设设备或资源源,谁拥有有它的管理理权,即他他可以为其其他人授权权,使之能能够正常使使用该设备备或资源,并并制定授权权程序。另外网络络安全策略略还应说明明网络使用用的类型限限制。定义义可接受的的网络应用用或不可接接受的网络络应用,要要考虑对不不同级别的的人员给予予不同级别别的限制。但但一般的网网络安全策策略都会声声明每个用用户都要对对他们在网网络上的言言行负责。所所有违反安安全策略、破破环系统安安全的行为为都是禁止止的。具体体涉及到如如下类似的的一些问题题:如果用户户碰巧发现现他对一个个不属于他他的文件具具有写权限限,是否允
48、允许用户修修改该文件件?是否允许许用户共享享帐号?一般网络络安全策略略对上述问问题的回答答都是否定定的。在大型网网络的安全全管理中,还还要确定是是否要为特特殊情况制制定安全策策略。例如如是否允许许某些组织织如CERT安全组来来试图寻找找你的系统统的安全弱弱点。对于于此问题,对对来自网络络本身之外外的请求,一一般回答是是否定的。网络安全全策略中确确定对每个个资源管理理授权者的的同时,还还要确定他他们可以对对用户授与与什么级别别的权限。如如果没有资资源管理授授权者的信信息,就无无法掌握究究竟哪些人人在使用网网络。对于于主干网络络中的关键键通信资源源,对其可可授权范围围应尽可能能小,范围围越小就越越
49、容易管理理,相对也也就越安全全。在对资资源授权者者管理的同同时,要制制定对用户户授权的过过程设计,以以防止对授授权职责的的滥用。对于为用用户初始化化帐号使用用的口令,以以及用户自自己对口令令的选择要要非常慎重重。因为对对一个再好好的网络安安全系统,如如果用户使使用了很差差的口令,那那么系统的的安全性也也会很差。网络安全全策略中可可以明确指指明每个资资源的系统统级管理员员,但在网网络的使用用中,难免免会遇到用用户需要特特殊权限的的时候。一一种处理办办法是尽量量只分配给给用户够完完成任务所所需的最小小权限。另另外在网络络安全策略略中要包含含对特殊权权限进行监监测统计的的部分,如如果对授与与用户的特特殊权限不不可统计,就就难以