网管重点解析——网络安全

退隐网络

计算机网络提供了资源的共享性，提高了系统的可靠性，通过分散工作负荷提高了工作效率，并且还具有可扩充性，这些特点使得计算机广泛应用于各个领域，但也给网络安全提出了挑战。在共享强大的网络资源的同时，网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击，例如信息泄露、信息窃取、数据篡改、数据增删、计算机病毒感染等。当网络规模越来越大和越来越开放时，其安全性将随之变差或变得难以控制。
    本章从以下几个方面论述了网络安全的基本原理和实用技术。
    (1) 网络防火墙是加强网络系统安全性的一个行之有效的措施。
    (2) 随着网络入侵事件的不断增加和黑客攻击水平的不断提高，入侵检测技术得到越来越多的应用。
    (3) 随着企业网络感染病毒、遭受攻击的事件日益增多，而企业网络受到攻击做出响应的时间却越来越滞后，传统的防火墙或入侵检测技术(IDS)已显得力不从心，这就需要引入入侵防护系统。
    (4) 计算机界与病毒的斗争还方兴未艾，特别是随着计算机网络的快速发展，计算机病毒的传播有了更为有利的环境，现在作为网络系统安全的重要任务之一，就是避免服务器和联网微机遭受病毒侵袭。如何有效地在网络环境下防治病毒是一个比较新的课题，各种方案、技术很多，最重要的是应当先研究网络防治病毒的基本原则和策略，在这方面业内人士已基本达成共识。由于网络系统平台多种多样，因此，网络防病毒系统组织形式也多种多样。

一、  网络安全基础
   
l. 网络安全基本概念
    网络安全的五个基本要素：机密性、完整性、可用性、可控性与可审查性。
    网络主要存在的五个方面威胁：非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
    网络安全控制技术有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
    2．黑客的攻击手段
    黑客往往具有很高的计算机天赋，已成为计算机安全的严重威胁。黑客常用的几种攻击手段有：
    (1) 口令人侵。口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。通常黑客会利用一些系统使用习惯性的账号的特点，采用字典穷举法来破解用户的密码，中途截击的方法也是获取用户账户和密码的一条有效途径。
    (2) 放置特洛伊木马程序。特洛伊木马程序是非法驻留在目标计算机里，并可自动运行以在目标计算机上执行一些事先约定的操作的程序。特洛伊木马程序一般分为服务器端和客户端。服务器端是攻击者传到目标机器上的部分，用来在目标机上监听，等待客户端连接过来。客户端是用来控制目标机器的部分，放在攻击者的机器上。
    (3) DoS攻击。DoS攻击亦称拒绝服务，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
    (4) 端口扫描。端口扫描程序侦听目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等信息。扫描器一般有三项功能：发现一个主机或网络；发现主机上运行的服务；通过测试这些服务发现漏洞。
    (5) 网络监听。网络监听是主机的一种工作模式，在这种模式下，主机侦听网络物理通道以接收本网段在同一条物理通道上传输的所有信息。监听在监测网络传输数据、排除网络故障等方面具有重要的作用，但另一方面也给网络的安全带来了极大的隐患。Sniffer是一个得到广泛使用的监听工具，它可以监听到网上传输的所有信息。
    (6) 欺骗攻击。攻击者通过创造易于误解的上下文环境，来诱使受攻击者进人并且做出缺乏安全考虑的决策。
    (7) 电子邮件攻击。电子邮件攻击手段的主要表现是向目标信箱发送电子邮件炸弹，将邮箱挤爆。   
    3．可信计算机系统评估标准
    TCSEC将计算机系统的安全划分为四个等级、七个级别。分别为：D类安全等级，包括D1一个级别；C类安全等级，包括C1和C2两个级别；B类安全等级，包括B1、B2和B3三个级别；A类安全等级，包括A1一个安全级别。了解各等级、级别的内容及相互关系。
公安部组织制订了《计算机信息系统安全保护等级划分准则》，该准则的发布为我国计算机信息系统安全法规和配套标准制定的执法部门的监督检查提供了依据，为安全产品的研制提供了技术支持，为安全系统的建设和管理提供了技术指导，是我国计算机信息系统安全保护等级工作的基础。它规定了计算机系统安全保护能力的五个等级，应了解这五个等级及其内容。这五个等级是：第一级，用户自主保护级(对应TCSEC的C1级)；第二级，系统审计保护级(对应TCSEC的C2级)；第三级，安全标记保护级(对应TCSEC的B1级)；第四级，结构化保护级(对应TCSEC的B2级)；第五级，访问验证保护级(对应TCSEC的B3级)。

二、  防火墙
   
防火墙作为隔离可靠网络与不可靠网络的重要设备，在计算机网络安全领域的地位举足轻重。
    1．防火墙的定义、功能和特点
    防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个或多个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。
    防火墙具有对进出的数据包进行过滤，监视Internet安全，记录通过防火墙的信息内容和活动，控制对特殊站点的访问等功能。
    防火墙相关的基本概念包括非信任网络(公共网络)、信任网络(内部网络)、DMZ(非军事化区)、可信主机、非可信主机、公网IP地址、保留IP地址、包过滤、地址转换等。
    防火墙具有强化安全策略，有效地记录互联网上的活动，能够拒绝可疑的连接或者访问等优点，同时它还有不能防范不经由防火墙的攻击，不能防止感染了病毒的软件或文件的传输，不能防止数据驱动式攻击等缺点。
    2．防火墙基本分类及实现原理
    防火墙分为包过滤防火墙、应用层网关防火墙和状态检测防火墙三类。
    1) 包过滤防火墙
    包过滤防火墙在网络的入口对通过的数据包进行选择，只有与过滤规则匹配的数据包才能通过，否则被抛弃。包过滤防火墙是多址的，它有两个或两个以上网络适配器或接口。包过滤防火墙中每个IP包的字段都会被检查，例如源地址、目的地址、协议、端口等。包过滤防火墙通过规则的组合来完成复杂策略。其优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。
    2) 应用层网关防火墙
    应用层网关防火墙不允许在它连接的网络之间直接通信，而是接受来自内部网络特定用户应用程序的通信，然后建立与公共网络服务器单独的连接。特点是用户不直接与外部的服务器通信，并且只有为特定的应用程序安装了代理程序代码，才能建立连接，从而为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性减少。
    应用层网关防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。
    3) 状态检测防火墙
    状态检测防火墙是在传统包过滤上的功能扩展，它在包过滤技术的基础上应用一些技术来跟踪通过防火墙的网络连接和数据包，从而使用一组附加的标准，以确定是允许还是拒绝通信。状态检测防火墙能够对多层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，检测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。
    3．防火墙系统安装、配置基础
    1) 防火墙的软件和硬件安装
    以方正方御防火墙为例，掌握防火墙软件部分的分类、各部分的功能、硬件部分的配置以及安装结构。
    2) 基本配置
    防火墙的登录过程及其注意事项。基本配置包括别名配置、设备配置、SNMP配置、双机热备、规则配置等。
    了解方御防火墙的基本配置过程。
    3) 规则配置
    防火墙的规则配置是面向网口设备的，每个网口上的规则是指这个接口设备接收到的数据包要经过这些规则的过滤，此处的接口包括物理接口设备和VLAN设备。每条规则详细描述了源／目的地址、目的端口、协议、数据流向、状态检测和策略等信息。
    策略包括四种：禁止(DROP)、允许(ACCEPT)、用户认证(AUTH)和自动封禁(AUTO)。
了解方御防火墙的规则配置过程。

三、  入侵检测
   
入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。
    1．入侵检测系统
    1) 入侵检测系统的功能
    入侵检测系统应包括以下一些主要功能：
    (1) 监测并分析用户和系统的活动。
    (2) 核查系统配置和漏洞。
    (3) 评估系统关键资源和数据文件的完整性。
    (4) 识别已知的攻击行为。
    (5) 统计分析异常行为。
    (6) 操作系统日志管理，并识别违反安全策略的用户活动。
    2) 入侵检测系统的分类
    入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息并进行分析。网络型入侵检测系统的数据源则是网络上的数据包。通常将一台主机的网卡设为混杂模式，监听所有本网段内的数据包并进行判断。
    3) 入侵检测系统的组成及部署
    人侵检测系统由三部分组成：事件产生器、事件分析器和响应单元。
    对于主机型IDS，其事件产生器位于其所监测的主机上。对于网络型IDS，其事件产生器的位置有多种可能。
    4) 入侵检测技术分类
  入侵检测技术分为两类：一种基于标识(Signature-based)，另一种基于异常情况(Anomaly-based)。
    5) 入侵检测系统通信协议
    入侵检测系统通信协议有IDEF和IAP。
    2．入侵检测系统的基本原理
    1) 信息收集
    信息收集内容有系统、网络、数据及用户活动的状态和行为。
    入侵检测利用的信息一般来自以下四个方面：
    (1) 系统和网络日志文件。
    (2) 目录和文件中的不期望的改变。
    (3) 程序执行中的不期望行为。
    (4) 物理形式的入侵信息。
    2) 信号分析
    入侵检测的核心是信号分析。信号分析手段有三种：模式匹配、统计分析和完整性分析。
    3．入侵防护系统
    1) 入侵防护系统的工作原理
    相比较入侵检测系统而言，入侵防护系统(IPS)则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。
    IPS通过直接嵌入到网络流量中实现它的主要功能。通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。
    入侵防护系统实现实时检查和阻止入侵的原理在于入侵防护系统拥有数目众多的过滤器，能够防止各种攻击。
    2) 入侵防护系统的种类
    入侵防护系统可分为基于主机的入侵防护(HIPS)、基于网络的入侵防护(NIPS)和应用入侵防护(AIP)。
    3) 入侵防护系统的技术特征
    入侵防护系统技术特征包括嵌入式运行、深入分析和控制、入侵特征库和高效处理能力。
    4) 入侵防护系统面临的挑战
入侵防护系统面临的挑战主要有三点：一是单点故障，二是性能瓶颈，三是误报和漏报。

四、  漏洞扫描
   
    漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序，是二种检测远程或本地系统安全脆弱性的技术。
    1．工作原理
    网络漏洞扫描系统通过远程检测目标主机TCP／IP不同端口的服务，记录目标给予的回答。在获得目标主机TCP／IP端口和其对应的网络访问服务的相关信息后，与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在。当用户通过控制平台发出了扫描命令之后，控制平台即向扫描模块发出相应的扫描请求，扫描模块在接到请求之后立即启动相应的子功能模块，对被扫描主机进行扫描。通过对从被扫描主机返回的信息进行分析判断，扫描模块将扫描结果返回给控制平台，再由控制平台最终呈现给用户。
    2．漏洞处理策略
漏洞形成的原因形形色色、不一而足，最常见的主要包含以下类型的漏洞：CGI脚本漏洞、POP3漏洞、FTP漏洞、SSH漏洞、HTTP漏洞、SMTP漏洞、IMAP漏洞、后门漏洞、RPC漏洞、DNS漏洞等。根据不同的漏洞类型会有不同的漏洞处理策略。

五、 网络防病毒系统
  
1．计算机病毒
    “计算机病毒”是一段非常短的，通常只有几千个字节，会不断自我复制、隐藏和感染其他程序或计算机的程序代码。当执行时，它把自己传播到其他的计算机系统、程序里。携带有计算机病毒的计算机程序被称为计算机病毒载体或被感染程序。感染计算机病毒的计算机往往在一定程度上丧失或部分丧失了正常工作的能力，如运行速度降低、功能失常、文件和数据丢失，同时计算机病毒通过各种可能的渠道(如软盘、光盘、计算机网络)去传染其他的计算机。   
    随着Internet技术的发展，计算机病毒的定义正在逐步发生着变化，与计算机病毒的特征和危害有类似之处的“特洛依木马”和“蠕虫”从广义的角度而言也可归为计算机病毒。
    1) 计算机病毒的特征
    计算机病毒有八大特性：传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性和未知性。
    2) 计算机病毒的分类
    计算机病毒的分类方法有许多种，比如可以根据计算机病毒的破坏性质划分、根据计算机病毒所攻击的操作系统划分、根据计算机病毒的传播方式划分等，但是根据最通用的区分方式，即根据其感染的途径以及采用的技术区分，计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录(链接)型计算机病毒。
    2．网络病毒
利用网络进行传播的计算机病毒称为网络病毒。网络病毒的特点主要有：破坏性强、传播性强、具有潜伏性和可激发性、针对性更强、扩散面广、传播速度快、难以彻底清除。
3．基于网络的防病毒系统
    目前，互联网已经成为病毒传播最大的来源，电子邮件和网络信息传递为病毒传播打开了高速的通道。网络化带来了病毒传染的高效率，而病毒传染的高效率也对防病毒产品提出了新的要求。
    网络病毒的传播方式有：
    (1) 病毒直接从有盘站拷贝到服务器中。
    (2) 病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器。
(3) 病毒先传染工作站，在工作站内存驻留，在运行时直接通过映像路径传染到服务器。
(4) 如果远程工作站被病毒侵入，则病毒也可以通过通信中数据交换进入网络服务器中。
基于网络系统的病毒防护体系主要包括以下策略：
    (1) 防毒一定要实现全方位、多层次防毒。
    (2) 网关防毒是整体防毒的首要防线。
    (3) 没有管理的防毒系统是无效的防毒系统。
    (4) 服务是整体防毒系统中极为重要的一环。
    网络防病毒系统组织形式有：
    (1) 系统中心统一管理。
    (2) 远程安装升级。
    (3) 一般客户端的防毒。
    (4) 防病毒过滤网关。
(5) 硬件防病毒网关。

六、  其他网络安全措施
   
1．物理安全
    物理安全是保护计算机、网络设备、设施等免遭地震、水灾、火灾等事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。
    物理安全主要包括环境安全、设备安全、媒介安全、防火安全和保密安全等。
    2．电磁泄密及防护
    为保证信息网络系统的物理安全，除对网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机主机及其附属电子设备如视频显示终端、打印机等在工作时不可避免地会产生电磁波辐射，这些辐射中携带有计算机正在进行处理的数据信息。尤其是显示器，由于显示的信息是给人阅读的，是不加任何保密措施的，因此其产生的辐射是最容易造成泄密的。
    电磁泄密防护手段主要有配置干扰器、建造电磁屏蔽室、配置低辐射设备等。
    3．容灾系统建设
    容灾系统是通过特定的容灾机制，能够在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的计算机信息系统。容灾系统按照所保障的内容分类，可分为数据级容灾和应用级容灾系统。容灾系统按照容灾功能实现的距离远近，又可以分为远程容灾系统和近距容灾系统。
    容灾系统是对现有应用系统的改造。加入容灾功能之后的应用系统，按照软件系统结构，新的容灾系统分为应用系统层和容灾平台层。
    容灾系统实施的关键是容灾平台的构建。容灾平台实施模型包括以下几个功能模块：容灾应用程序接口(DR API)、同步数据管理模块、Exporter／Importer结果导出／导入模块、软件版本控制、容灾前台维护界面、容灾文件传输、系统管理与高可靠性控制。
    4．CA认证中心建设
    CA是认证中心，它为电子商务、电子政务等网络环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书，它是电子商务和网上银行交易实现权威性、可信赖性及公正性的第三方机构。
    PKI即公钥密码基础设施，是利用公钥理论和技术建立的提供安全服务的基础设施，是信息安全技术的核心。
    CA是PKI的核心机构，PKI是CA的关键技术。
    CA的功能包括证书的申请、证书的审批、证书的发放、证书的归档、证书的撤销、证书的更新、证书废止列表管理、CA本身的管理和CA自身密钥的管理。

清露

感謝樓主  

从不知

我的啦嘿嘿  

蜗牛

支持一下吧  

游手好闲

HOHO~~~~~~  

闭月羞云

好啊，，不错、、、、  

流星

顶你一下，好贴要顶！  

aizhijia

回帖是种美德.  

流星

努力~~各位。。。  

流星

加油啊！！！！顶哦!!!!!