《计算机网络安全及防范策略探讨30760.docx》由会员分享,可在线阅读,更多相关《计算机网络安全及防范策略探讨30760.docx(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录计算机网络络安全及及防范策策略探究究学生:李海龙龙专业:计算机机网络技技术指导教师:王爱华华摘要及关键键词摘要:随随着计算算机网络络在人类类生活领领域中的的广泛应应用,针针对重要要信息资资源和网网络基础础设施的的入侵行行为和企企图入侵侵行为的的数量仍仍在持续续不断增增加,网网络攻击击对生活造造成了极大的威胁胁。计算算机病毒毒不断地地通过网网络产生生和传播播,计算算机网络络被不断断地非法法入侵,重重要情报报、资料料被窃取取,甚至至造成网网络系统统的瘫痪痪等等。网网络安全全已成为为当今共共同关注注的焦点点,网络络安全的的重要性性是不言言而喻的的,因此此,对漏漏洞的了了解及防防范也相相对重要要起
2、来。关键词:计计算机网络安安全黑客防火墙网络安安全防范范策略前言当今社会是是一个信信息化社社会,计计算机网网络在社社会各个个领域的的作用目目益增大大,成为为信息传传输中不不可缺少少的基础础设施和和承担传传输以及及交换信信息的公公用平台台。然而而,计算算机系统统及通信信线路的的脆弱性性致使计计算机网网络的安安全受到到潜在威威胁。一方方面,计计算机系系统硬件件和通信信线路易易受自然然灾害和和人为的的破坏;另一方方面,由由于计算算机网络络具有联联结形式式多样性性、终端端分布不不均匀性性和网络络的开放放性、互互连性等等特征,致致使网络络易受黑黑客、怪怪客、恶恶意软件件和其他他不轨的的攻击,软软件资源源
3、和数据据信息受受到非法法的复制制、篡改改和毁坏坏。可见见,无论论是在局局域网还还是在广广域网中中,都存存在着自自然和人人为等诸诸多因素素的潜在在威胁,计计算机网网络的安安全问题题及防范范措施已已迫在眉眉睫。1.1网络络安全的的背景随着计算机机的发展展,人们们越来越越意识到到网络的的重要性性,通过过网络,分分散在各各处的计计算机被被网络联联系在一一起。做做为网络络的组成成部分,把把众多的计算算机联系系在一起起,组成成一个局局域网,在在这个局局域网中中,可以以在它们们之间共共享程序序、文档档等各种种资源;还可以以通过网网络使多多台计算算机共享享同一硬硬件,如如打印机机、调制制解调器器等;同同时我们
4、们也可以以通过网网络使用用计算机机发送和和接收传传真,方方便快捷捷而且经经济。221世纪全全世界的的计算机机都将通通过Intternnet联到一一起,信信息安全全的内涵涵也就发发生了根根本的变变化。它它不仅从从一般性性的防卫卫变成了了一种非非常普通通的防范范,而且且还从一一种专门门的领域域变成了了无处不不在。当当人类步步入21世纪这这一信息息社会、网网络社会会的时候候,我国国将建立立起一套套完整的的网络安安全体系系,特别别是从政政策上和和法律上建立立起有中中国自己己特色的的网络安安全体系系。1.2网络络安全的的意义一个国家的的信息安安全体系系实际上上包括国国家的法法规和政政策,以以及技术术与市
5、场场的发展展平台。我我国在构构建信息息防卫系系统时,应应着力发发展自己己独特的的安全产产品,我我国要想想真正解解决网络络安全问问题,最最终的办办法就是是通过发发展民族族的安全全产业,带带动我国国网络安安全技术术的整体体提高。网网络安全全产品有有以下几几大特点点:第一一,网络络安全来来源于安安全策略略与技术术的多样样化,如如果采用用一种统统一的技技术和策策略也就就不安全全了;第第二,网网络的安安全机制制与技术术要不断断地变化化;第三三,随着着网络在在社会个个方面的的延伸,进进入网络络的手段段也越来来越多,因此,网网络安全全技术是是一个十十分复杂杂的系统统工程。为为此建立立有中国国特色的的网络安安
6、全体系系,需要要国家政政策和法法规的支支持及集集团联合合研究开开发。安安全与反反安全就就像矛盾盾的两个个方面,总总是不断断地向上上攀升,所所以安全全产业将将来也是是一个随随着新技技术发展展而不断断发展的的产业。信息安安全是国国家发展展所面临临的一个个重要问问题。对对于这个个问题,我我们还没没有从系系统的规规划上去去考虑它它,从技技术上、产产业上、政政策上来来发展它它。政府府不仅应应该看见见信息安安全的发发展是我我国高科科技产业业的一部部分,而而且应该该看到,发发展安全全产业的的政策是是信息安安全保障障系统的的一个重重要组成成部分,甚甚至应该该看到它它对我国国未来电子子化、信信息化的的发展将将起
7、到非非常重要要的作用用。2网络安全全现状2.1网络络安全面面临的挑挑战Interrnett对于任任何一个个具有网网络连接接和ISP帐号的的人都是是开放的的,事实实上它本本身被设设计成了了一个开开放的网网络。因因此它本本身并没没有多少少内置的的能力使使信息安安全,从从一个安安全的角角度看,Intternnet是是天生不不安全的的。然而而,商界界和个人人现在都都想在Intternnet上应用用一些安安全的原原则,在在Intternnet发明人人当初没没有意识识到的方方式下有有效的使使用它。对对于Intternnet用用户一个个新的挑挑战是如如何在允允许经授授权的人人在使用用它的同同时保护护敏感信信
8、息。安全是什么么?简单的说在在网络环环境里的的安全指指的是一一种能够够识别和和消除不不安全因因素的能能力。安安全的一一般性定定义也必必须解决决保护公公司财产产的需要要,包括括信息和和物理设设备(例例如计算算机本身身)。安安全的想想法也涉涉及到适适宜性和和从属性性概念。负负责安全全的任何何一个人人都必须须决定谁谁在具体体的设备备上进行行合适的的操作,以以及什么么时候。当当涉及到到公司安安全的时时候什么么是适宜宜的在公公司与公公司之间间是不同同的,但但是任何何一个具具有网络络的公司司都必须须具有一一个解决决适宜性性、从属属性和物物理安全全问题的的安全策策略。伴随着着现代的的、先进进的复杂杂技术例例
9、如局域域网(LAN)和广广域网(WAAN)、Intterneet网以及VPN。安全全的想法法和实际际操作已已经变得得比简单单巡逻网网络边界界更加复复杂。对对于网络络来说一一个人可可以定义义安全为为一个持持续的过过程,在在这个过过程中管管理员将将确保信信息仅仅仅被授权权的用户户所共享享。建立有有效的安安全矩阵阵。尽管一一个安全全系统的的成分和和构造在在公司之之间是不不同的,但但某些特特征是一一致的,一一个可行行的安全全矩阵是是高度安安全的和和容易使使用的,它它实际上上也需要要一个合合情合理理的开销销。一个个安全矩矩阵由单单个操作作系统安安全特征征、日志志服务和和其他的的装备包包括防火火墙,入入侵
10、检测测系统,审审查方案案构成。一个安安全矩阵阵是灵活活的可发发展的,拥拥有很高高级的预预警和报告告功能。特点描述:允许访问控制:通过只允许合法用户访问来达到的目的,最大扩展通信的功能同时最小化黑客访问的可能性,当黑客已经访问到的资源时尽可能地减小破坏性。容易使用:如果一个安全系统很难使用,员工可能会想办法绕开它,要保证界面是直观的。合理的花费:不仅要考虑初始的花费还要考虑以后升级所需要的费用。还要考虑用于管理所要花的费用;要多少员工,达到什么样的水平来成功的实施和维护系统。灵活性和伸缩性:系统要能让公司按其想法做一些商业上的事情,系统要随着公司的增长而加强。优秀的警报和报告:当一个安全破坏发生
11、时,系统要能快速地通知管理员足够详细的内容。要配置系统尽可能正确地对发出警告。可以通过Email,计算机屏幕,pager等等来发出通知。安全机制:根据ISO提出的,安全机制是一种技术,一些软件或实施一个或更多安全服务的过程。 ISO把机制分成特殊的和普遍的。一个特殊的安全机制是在同一时间只对一种安全服务上实施一种技术或软件。加密就是特殊安全机制的一个例子。尽管可以通过使用加密来保证数据的保密性,数据的完整性和不可否定性,但实施在每种服务时需要不同的加密技术。一般的安全机制都列出了在同时实施一个或多个安全服务的执行过程。特殊安全机制和一般安全机制不同的另一个要素是一般安全机制不能应用到OSI参考
12、模型的任一层上。普通的机制包括:信任的功能性:指任何加强现有机制的执行过程。例如,当升级的TCP/IP堆栈或运行一些软件来加强的Novell,NT,UNIX系统认证功能时,使用的就是普遍的机制。事件检测:检查和报告本地或远程发生的事件审计跟踪:任何机制都允许监视和记录网络上的活动安全恢复:对一些事件作出反应,包括对于已知漏洞创建短期和长期的解决方案,还包括对受危害系统的修复。额外的安全标准除了ISO 7498-2还存在一些其它政府和工业标准。主要包括 British Standard 7799:概括了特殊的“控制”,如系统访问控制和安全策略的使用以及物理安全措施。目的为了帮助管理者和IT专家建
13、立程序来保持信息的安全性。公共标准桔皮书(美国)桔皮书为了了标准化化安全的的级别,美美国政府府发表了了一系列列的标准准来定义义一般安安全的级级别。这这些标准准发表在在一系列列的书上上通常叫叫做“彩虹系系列”,因为为每本书书的封面面的颜色都是是不同的的。由为为重要的的是桔皮皮书。它它定义了了一系列列的标准准,从D级别开开始(最最低的级级别)一一直到A1(最安安全)级级。12.2网络络安全可可能面临临的挑战战垃圾邮件件数量将将变本加加厉。根据电子邮邮件安全全服务提提供商Messsagge LLabss公司最最近的一一份报告告,预计计全球垃垃圾邮件件数量的的增长率率将超过过正常电电子邮件件的增长长率
14、,而而且就每每封垃圾圾邮件的的平均容容量来说说,也将将比正常常的电子子邮件要要大得多多。这无无疑将会会加大成成功狙击击垃圾邮邮件的工工作量和和难度。目目前还没没有安装装任何反反垃圾邮邮件软件件的企业业公司恐恐怕得早早做未雨雨绸缪的的工作,否否则就得得让自己己的员工工们在今今后每天天不停地地在键盘盘上按动动“删除键”了。另外外,反垃垃圾邮件件软件也也得不停停升级,因因为目前前垃圾邮邮件传播播者已经经在实行行“打一枪枪换一个个地方”的游击击战术了了。即时通讯讯工具照照样难逃逃垃圾信信息之劫劫。即时通讯工工具以前前是不大大受垃圾圾信息所所干扰的的,但现现在情况况已经发发生了很很大的变变化。垃垃圾邮件
15、件传播者者会通过过种种手手段清理理搜集到到大量的的网络地地址,然然后再给给正处于于即时通通讯状态态的用户户们发去去信息,诱诱导他们们去访问问一些非非法收费费网站。更更令人头头疼的是是,目前前一些推推销合法法产品的的厂家也也在使用用这种让让人厌烦烦的手段段来让网网民们上上钩。目目前市面面上还没有任任何一种种反即时时通讯干干扰信息息的软件件,这对对软件公公司来说说无疑也也是一个个商机。内置防护软件型硬件左右为难。现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但
16、这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。23计算机网络面临的主要威胁3.1人为为的无意意失误人为的无意意失误:如操作作员安全全配置不不当造成成的安全全漏洞,用用户安全全意识不不强,用用户口令令选择不不慎,用用户将自自己的帐帐号随意意转借他他人或与与别人共共享等都都会对网网络安全全带来威威胁。企企业用户户网络安安全维护护范围的的重新界界定:目目前各大大企业公公司的员员工们在在家里通通过宽带带接
17、入而而登录自自己公司司的网络络系统已已经是一一件很寻寻常的事事情了。这这种工作作新方式式的出现现同样也也为网络络安全带带来了新问题,即即企业用用户网络络安全维维护范围围需要重重新界定定。因为为他们都都是远程程登录者者,并没没有纳入入传统的的企业网网络安全全维护的“势力范范围”之内。另另外,由由于来自自网络的的攻击越越来越严严重,许许多企业业用户不不得不将将自己网网络系统统内的每每一台PC机都装装上防火火墙、反反侵入系系统以及及反病毒毒软件等等一系列列的网络络安全软软件。这这同样也也改变了了以往企企业用户户网络安安全维护护范围的的概念。个人的信用资料:个人信用资料在公众的日常生活中占据着重要的地
18、位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计在这种犯罪现象将会发展到全面窃取公众的个人信用资料的程度。如网络犯罪者可以对的银行存款账号、社会保险账号以及最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给日常人生活带来极大的负面影响。3.2人为为的恶意意失误人为的恶意意攻击:这是计计算机网网络所面面临的最最大威胁胁,敌手手的攻击击和计算算机犯罪罪就属于于这一类类。此类类攻击又又可以分分为以下下两种:一种是是主动攻攻击,它它以各种种方式有有选择地地破坏信信息的有有效性和和完整性性;另一一类是被被动攻击击,它是是在不影影响
19、网络络正常工工作的情情况下,进进行截获获、窃取取、破译译以获得得重要机机密信息息。这两两种攻击击均可对对计算机机网络造造成极大的危危害,并并导致机机密数据据的泄漏漏。3.2.11黑客(hacckerr)源于英语动动词hacck,意为“劈,砍”,引申申为“干了一一件非常常漂亮的的工作”。在早早期麻省省理工学学院的校校园俚语语中,“黑客”则有“恶作剧”之意,尤尤指手法法巧妙、技技术高明明的恶作作剧。在在日本新新黑客词词典中中,对黑黑客的定定义是“喜欢探探索软件件程序奥奥秘,并并从中增增长了其其个人才才干的人人。他们们不象绝绝大多数数电脑使使用者那那样,只只规规矩矩矩地了了解别人人指定了了解的狭狭小
20、部分分知识。”由这些些定义中中,我们们还看不不出太贬贬义的意意味。他他们通常常具有硬硬件和软软件的高高级知识识,并有有能力通通过创新新的方法法剖析系系统。“黑客”能使更更多的网网络趋于于完善和和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。3.2.22黑客攻攻击的目目的取目标系统统的非法法访问-获得不不该获得得的访问问权限b、获取取所需资资料-获得黑黑客想要要获得的的相关
21、资资料,包包括科技技情报、个个人资料料、金融融帐户、技技术成果果、系统统信息等等等c、篡改改有关数数据-篡改以以上资料料,达到到非法目目的d、利用用有关资资源-利用这这台机器器的资源源对其它它目标进进行攻击击,发布布虚假信信息,占占用存储储空间黑黑客攻击击的方式式:远程攻击-远程攻攻击指外外部黑客客通过各各种手段段,从该该子网以以外的地地方向该该子网或或者该子子网内的的系统发发动攻击击。远程程攻击的的时间一一般发生生在目标标系统当当地时间间的晚上上或者凌凌晨时分分,远程程攻击发发起者一一般不会会用自己己的机器器直接发发动攻击击,而是是通过跳跳板的方方式,对对目标进进行迂回回攻击,以以迷惑系系统
22、管理理员,防防止暴露露真实身身份。3.2.33黑客攻攻击所采采用的途途径黑客之所以以能得手手,无非非是利用用了各种种安全脆脆弱点,其中包括:管理漏洞-如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免;软件漏洞-如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单;又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出;结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而
23、酿成黑客入侵事故;信任漏洞-比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁。3.3网络络软件的的漏洞和和“后门无论多么优优秀的网网络软件件,都可可能存在在这样那那样的缺缺陷和漏漏洞,而而那些水水平较高高的黑客客就将这这些漏洞洞和缺陷陷作为网网络攻击击的首选选目标。在在曾经出出现过的的黑客攻攻击事件件中,大大部分都都是因为为软件安安全措施施不完善善所招致致的苦果果。一般般,软件件的“后门”都是软软件公司司的设计计和编程程人员为为了为方方便设计计而设置置的,很很少为外外人所知知。不过过,一旦旦“后门”公开或或被发现现,其后后果将不不堪设想想3.
24、3.11“后门”的解释释后门是一种种登录系系统的方法,它它不仅绕绕过系统统已有的的安全设设置,而而且还能能挫败系系统上各各种增强强的安全全设置。后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,你当输入特定的密码时,你就能以管理员的权限来存取系统。后门能相互关联,而且这个技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些技术或利用系统的某个漏洞来提升权限。黑客可能使
25、用一些技术或利用系统的某个漏洞庭湖来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。以上是在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!3.3.22后门的的分类后门可以按按照很多多方式来来分类,标标准不同同自然分分类就不不同,为为了便于于大家理理解,我我们从技技术方面面来考虑虑后门程序的的分类方方法:11网页后后门此类类后门程程序一般般都是服服务器上上正常的的web服务来来构造自自己的连连接
26、方式式,比如如现在非非常流行行的、cgi脚本后后门等。2线程插入后门利用系统自身的某个服务或者线程,将后门程序插入到其中,是现在最流行的一个后门技术。3扩展后门所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能。4 c/s后门和传统的木马程序类似的控制方法,采用“客记端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。3网络安安全防范范技术和和措施4.1物理理安全策策略物理安全策策略的目目的是保保护计算算机系统统、网络络服务器器、打印印机等硬硬件实体体和通信信链路免免受自然然灾害
27、、人人为破坏坏和搭线线攻击;验证用用户的身身份和使使用权限限、防止止用户越越权操作作;确保保计算机机系统有有一个良良好的电电磁兼容容工作环环境;建建立完备备的安全全管理制制度,防防止非法法进入计计算机控控制室和和各种偷偷窃、破破坏活动动的发生生。抑制制和防止止电磁泄泄漏(即即TEMMPESST技术)是是物理安安全策略略的一个个主要问问题。目目前主要要防护措施有两两类:一一类是对对传导发发射的防防护,主主要采取取对电源源线和信信号线加加装性能能良好的的滤波器器,减小小传输阻阻抗和导导线间的的交叉耦耦合。另另一类是是对辐射射的防护护,这类类防护措措施又可可分为以以下两种种:一是是采用各各种电磁磁屏
28、蔽措措施,如如对设备备的金属属屏蔽和和各种接接插件的的屏蔽,同同时对机机房的下下水管、暖暖气管和和金属门门窗进行行屏蔽和和隔离;二是干干扰的防防护措施施,即在在计算机机系统工工作的同同时,利利用干扰扰装置产产生一种种与计算算机系统统辐射相相关的伪伪噪声向向空间辐辐射来掩掩盖计算算机系统统的工作作频率和和信息特特征。4.2访访问控制制策略访问控制是是网络安安全防范范和保护护的主要要策略,它它的主要要任务是是保证网网络资源源不被非非法使用用和非常常访问。它它也是维维护网络络系统安安全、保保护网络络资源的的重要手手段。各各种安全全策略必必须相互互配合才才能真正正起到保保护作用用,但访访问控制制可以说
29、说是保证证网络安安全最重重要的核核心策略略之一。下下面我们们分述各各种访问问控制策策略。11入网访访问控制制入网访访问控制制为网络络访问提提供了第第一层访访问控制制。它控控制哪些些用户能能够登录录到服务务器并获获取网络络资源,控控制准许许用户入入网的时时间和准准许他们们在哪台台工作站站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户
30、输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式
31、。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则
32、认为是非法用户的入侵,应给出报警信息。2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户;(3)审计用户;(4)目录级安全控制。3目录级安全控制网络应允许控
33、制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权
34、限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。4属性安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文
35、件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。5网络服务器安全控制网络允许在在服务器器控制台台上执行行一系列列操作。用用户使用用控制台台可以装装载和卸卸载模块块,可以以安装和和删除软软件等操操作。网网络服务务器的安安全控制制包括可可以设置置口令锁锁定服务务器控制制台,以以防止非非法用户户修改、删删除重要要信息或或破坏数数据;可可以设定定服务器器登录时时间限制制、非法法访问者者检测和和关闭的的时间间间隔。66网络监监测和锁锁定控制制网络管管理员应应对网络络实施监监控,服服务器应应记录用用户对网网络资源源的访问问,对非非法的网网络访问问,
36、服务务器应以以图形或或文字或或声音等等形式报报警,以以引起网网络管理理员的注注意。如如果不法法之徒试试图进入入网络,网网络服务务器应会会自动记记录企图图尝试进进入网络络的次数数,如果果非法访访问的次次数达到到设定数数值,那那么该帐帐户将被被自动锁锁定。77网络端端口和节节点的安安全控制制网络中中服务器器的端口口往往使使用自动动回呼设设备、静静默调制制解调器器加以保保护,并并以加密密的形式式来识别别节点的的身份。自自动回呼呼设备用用于防止止假冒合合法用户户,静默默调制解解调器用用以防范范黑客的的自动拨拨号程序序对计算算机进行行攻击。网网络还常常对服务务器端和和用户端端采取控控制,用用户必须须携带
37、证证实身份份的验证证器(如如智能卡卡、磁卡卡、安全全密码发发生器)。在在对用户户的身份份进行验验证之后后,才允允许用户户进入用用户端。然然后,用用户端和和服务器器端再进进行相互互验证。8防火墙控制防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型;(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包
38、头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并
39、对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同
40、的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。4.3信息息加密策策略信息加密的的目的是是保护网网内的数数据、文文件、口口令和控控制信息息,保护护网上传传输的数数据。网网络加密密常用的的方法有有链路加加密、端端点加密密和节点点加密三三种。链链路加密密的目的的是保护护网络节节点之间间的链路路信息安安全;端端-端加密密的目的的是对源源端用户户到目的的端用户户的数据据提供保保护;节节点加密密的目的的是对源源节点到到目的节节点之间间的传输输链路提提供保护
41、护。用户户可根据据网络情情况酌情情选择上上述加密密方式。信息加加密过程程是由形形形色色的的加密算算法来具具体实施施,它以以很小的的代价提提供很大大的安全全保护。在在多数情情况下,信信息加密密是保证证信息机机密性的的唯一方方法。据据不完全全统计,到到目前为为止,已已经公开开发表的的各种加加密算法法多达数数百种。如如果按照照收发双双方密钥钥是否相相同来分分类,可可以将这这些加密密算法分分为常规规密码算算法和公公钥密码码算法。在常规密码码中,收收信方和和发信方方使用相相同的密密钥,即即加密密密钥和解解密密钥钥是相同同或等价价的。比比较著名名的常规规密码算算法有:美国的的DES及其各各种变形形,比如如
42、Triiplee DEES、GDEES、Neww DEES和DES的前身Luccifeer;欧欧洲的IDEEA;日本本的FEAALN、LOKKI91、Skiipjaack、RC4、RC5以及以以代换密密码和转转轮密码码为代表表的古典典密码等等。在众众多的常常规密码码中影响响最大的的是DES密码。常规密码的的优点是是有很强强的保密密强度,且且经受住住时间的的检验和和攻击,但但其密钥钥必须通通过安全全的途径径传送。因因此,其其密钥管管理成为为系统安安全的重重要因素素。在公钥密码码中,收收信方和和发信方方使用的的密钥互互不相同同,而且且几乎不不可能从从加密密密钥推导导出解密密密钥。比比较著名名的公钥
43、钥密码算算法有:RSA、背包包密码、McEElieece密码、Difffe-Helllmaan、Rabbin、Ongg-Fiiat-Shaamirr、零知知识证明明的算法法、椭园园曲线、EIGGamaal算法等等等。最最有影响响的公钥钥密码算算法是RSA,它能能抵抗到到目前为为止已知知的所有有密码攻攻击。公钥密码的的优点是是可以适适应网络络的开放放性要求求,且密密钥管理理问题也也较为简简单,尤尤其可方方便的实实现数字字签名和和验证。但但其算法法复杂。加加密数据据的速率率较低。尽尽管如此此,随着着现代电电子技术术和密码码技术的的发展,公公钥密码码算法将将是一种种很有前前途的网网络安全全加密体体制
44、。当然在实际际应用中中人们通通常将常常规密码码和公钥钥密码结结合在一一起使用用,比如如:利用用DES或者IDEEA来加密密信息,而而采用RSA来传递递会话密密钥。如如果按照照每次加加密所处处理的比比特来分分类,可可以将加加密算法法分为序序列密码码和分组组密码。前前者每次次只加密密一个比比特而后后者则先先将信息息序列分分组,每每次处理理一个组组。密码技术是是网络安安全最有有效的技技术之一一。一个个加密网网络,不不但可以以防止非非授权用用户的搭搭线窃听听和入网网,而且且也是对对付恶意意软件的的有效方方法之一一。444.4网络络安全管管理策略略4.4.11网络安安全管理理策略所谓网络安安全管理理策略
45、是是指一个个网络中中关于安安全问题题采取的的原则,对对安全使使用的要要求,以以及如何何保护网网络的安安全运行行。制定网网络安全全管理策策略首先先要确定定网络安安全管理理要保护护什么,在在这一问问题上一一般有两两种截然然不同的的描述原原则。一一个是“没有明明确表述述为允许许的都被被认为是是被禁止止的”,另一一个是“一切没没有明确确表述为为禁止的的都被认认为是允允许的”。对于于网络安安全策略略,一般般采用第第一种原原则,来来加强对对网络安安全的限限制。对对于少数数公开的的试验性性网络可可能会采采用第二二种较宽宽松的原原则,这这种情况况下一般般不把安安全问题题作为网网络的一一个重要要问题来来处理。4
46、.4.22网络安安全策略略中涉及及到的问问题网络安全策策略在确确定了描描述原则则后所要要做的是是确定网网络资源源的职责责划分。网络安安全策略略要根据据网络资资源的职职责确定定哪些人人允许使使用某一一设备,对对每一台台网络设设备要确确定哪些些人能够够修改它它的配置置。更进进一步要要明确的的是授权权给某人人使用某某网络设设备和某某资源的的目的是是什么,他他可以在在什么范范围内使使用。并并确定对对每一设设备或资资源,谁谁拥有它它的管理理权,即即他可以以为其他他人授权权,使之之能够正正常使用用该设备备或资源源,并制制定授权权程序。另外网网络安全全策略还还应说明明网络使使用的类类型限制制。定义义可接受受
47、的网络络应用或或不可接接受的网网络应用用,要考考虑对不不同级别别的人员员给予不不同级别别的限制制。但一一般的网网络安全全策略都都会声明明每个用用户都要要对他们们在网络络上的言言行负责责。所有有违反安安全策略略、破环环系统安安全的行行为都是是禁止的的。具体体涉及到到如下类类似的一一些问题题:如果用用户碰巧巧发现他他对一个个不属于于他的文文件具有有写权限限,是否否允许用用户修改改该文件件?是否允允许用户户共享帐帐号?一般网网络安全全策略对对上述问问题的回回答都是是否定的的。在大型型网络的的安全管管理中,还还要确定定是否要要为特殊殊情况制制定安全全策略。例例如是否否允许某某些组织织如CERRT安全组
48、组来试图图寻找你你的系统统的安全全弱点。对对于此问问题,对对来自网网络本身身之外的的请求,一一般回答答是否定定的。网络安安全策略略中确定定对每个个资源管管理授权权者的同同时,还还要确定定他们可可以对用用户授与与什么级级别的权权限。如如果没有有资源管管理授权权者的信信息,就就无法掌掌握究竟竟哪些人人在使用用网络。对对于主干干网络中中的关键键通信资资源,对对其可授授权范围围应尽可可能小,范范围越小小就越容容易管理理,相对对也就越越安全。在在对资源源授权者者管理的的同时,要要制定对对用户授授权的过过程设计计,以防防止对授授权职责责的滥用用。对于为为用户初初始化帐帐号使用用的口令令,以及及用户自自己对
49、口口令的选选择要非非常慎重重。因为为对一个个再好的的网络安安全系统统,如果果用户使使用了很很差的口口令,那那么系统统的安全全性也会会很差。网络安安全策略略中可以以明确指指明每个个资源的的系统级级管理员员,但在在网络的的使用中中,难免免会遇到到用户需需要特殊殊权限的的时候。一一种处理理办法是是尽量只只分配给给用户够够完成任任务所需需的最小小权限。另另外在网网络安全全策略中中要包含含对特殊殊权限进进行监测测统计的的部分,如如果对授授与用户户的特殊殊权限不不可统计计,就难难以保证证整个网网络不被被破坏。4.4.33网络安安全防范范策略中中关于用用户的权权利与责责任在网络安全全策略中中关于用用户的权权利与责责任中,需需要指明明用户必必须明确