| | 網絡安全技術指致力於解决諸如如何有效進行介入控製,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,係統安全分析技術,管理安全分析技術,及其它的安全服務和安全機製策略。
1.概述
21世紀全世界的計算機都將通過internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體係,特別是從政策上和法律上建立起有中國自己特色的網絡安全體係.
一個國傢的信息安全體係實際上包括國傢的法規和政策,以及技術與市場的發展平臺.我國在構建信息防衛係統時,應着力發展自己獨特的安全産品,我國要想真正解决網絡安全問題,最終的辦法就是通過發展民族的安全産業,帶動我國網絡安全技術的整體提高.
網絡安全産品有以下幾大特點:第一,網絡安全來源於安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機製與技術要不斷地變化;第三,隨着網絡在社會個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的係統工程.為此建立有中國特色的網絡安全體係,需要國傢政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地嚮上攀升,所以安全産業將來也是一個隨着新技術發展而不斷發展的産業.
信息安全是國傢發展所面臨的一個重要問題.對於這個問題,我們還沒有從係統的規劃上去考慮它,從技術上,産業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技産業的一部分,而且應該看到,發展安全産業的政策是信息安全保障係統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用.
2.防火墻
網絡防火墻技術是一種用來加強網絡之間訪問控製,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以决定網絡之間的通信是否被允許,並監視網絡運行狀態.
目前的防火墻産品主要有堡壘主機,包過濾路由器,應用層網關(代理服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國digital公司在internet上安裝了全球第一個商用防火墻係統,提出了防火墻概念後,防火墻技術得到了飛速的發展.國內外已有數十傢公司推出了功能各不相同的防火墻産品係列.
防火墻處於5層網絡安全體係中的最底層,屬於網絡層安全技術範疇.在這一層上,企業對安全係統提出的問題是:所有的ip是否都能訪問到企業的內部網絡係統 如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防範措施.
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全産品之一.雖然從理論上看,防火墻處於網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨着網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走嚮網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻産品正朝着數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網絡地址轉換—nat,代理型和監測型.
2.1.包過濾型
包過濾型産品是防火墻的初級産品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,tcp/udp源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.係統管理員也可以根據實際情況靈活製訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證係統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網絡層的安全技術,衹能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造ip地址,騙過包過濾型防火墻.
2.2.網絡地址轉化—nat
網絡地址轉換是一種用於把ip地址轉換成臨時的,外部的,註册的ip地址標準.它允許具有私有ip地址的內部網絡訪問因特網.它還意味着用戶不許要為其網絡中每一臺機器取得註册的ip地址.
在內部網絡通過安全網卡訪問外部網絡時,將産生一個映射記錄.係統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它並不知道內部網絡的連接情況,而衹是通過一個開放的ip地址和端口來請求訪問.olm防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶衹要進行常規操作即可.
2.3.代理型
代理型防火墻也可以被稱為代理服務器,它的安全性要高於包過濾型産品,並已經開始嚮應用層發展.代理服務器位於客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理服務器相當於一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求嚮服務器索取數據,然後再由代理服務器將數據傳輸給客戶機.由於外部係統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡係統.
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對係統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能産生的所有應用類型逐一進行設置,大大增加了係統管理的復雜性.
2.4.監測型
監測型防火墻是新一代的産品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻産品一般還帶有分佈式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網絡係統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代産品
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由於監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻産品仍然以第二代代理型産品為主,但在某些方面也已經開始使用監測型防火墻.基於對係統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡係統的安全性需求,同時也能有效地控製安全係統的總擁有成本.
實際上,作為當前防火墻産品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種産品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉ftp連接中的put命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上. | | 網絡安全技術指致力於解决諸如如何有效進行介入控製,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,係統安全分析技術,管理安全分析技術,及其它的安全服務和安全機製策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防範,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體係,特別是從政策上和法律上建立起有中國自己特色的網絡安全體係.
一個國傢的信息安全體係實際上包括國傢的法規和政策,以及技術與市場的發展平臺.我國在構建信息防衛係統時,應着力發展自己獨特的安全産品,我國要想真正解决網絡安全問題,最終的辦法就是通過發展民族的安全産業,帶動我國網絡安全技術的整體提高.
網絡安全産品有以下幾大特點:第一,網絡安全來源於安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機製與技術要不斷地變化;第三,隨着網絡在社會個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的係統工程.為此建立有中國特色的網絡安全體係,需要國傢政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地嚮上攀升,所以安全産業將來也是一個隨着新技術發展而不斷發展的産業.
信息安全是國傢發展所面臨的一個重要問題.對於這個問題,我們還沒有從係統的規劃上去考慮它,從技術上,産業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技産業的一部分,而且應該看到,發展安全産業的政策是信息安全保障係統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用. | | 一.虛擬網技術
虛擬網技術主要基於近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基於廣播的局域網技術發展為面嚮連接的技術。因此,網管係統有能力限製局域網通訊的範圍而無需通過開銷很大的路由器。
由以上運行機製帶來的網絡安全的好處是顯而易見的:信息衹到達應該到達的地點。因此、防止了大部分基於網絡監聽的入侵手段。通過虛擬網設置的訪問控製,使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象。
基於網絡廣播原理的入侵監控技術在高速交換網絡內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
以太網從本質上基於廣播機製,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
但是,采用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機端口。但這要求整個網絡桌面使用交換端口或每個交換端口所在的網段機器均屬於相同的VLAN。
網絡層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠傢實現的不完善,因此,在網絡層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火墻枝術
網絡防火墻技術是一種用來加強網絡之間訪問控製,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以决定網絡之間的通信是否被允許,並監視網絡運行狀態.
防火墻産品主要有堡壘主機,包過濾路由器,應用層網關(代理服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.
雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻係統,提出了防火墻概念後,防火墻技術得到了飛速的發展.國內外已有數十傢公司推出了功能各不相同的防火墻産品係列.
防火墻處於5層網絡安全體係中的最底層,屬於網絡層安全技術範疇.在這一層上,企業對安全係統提出的問題是:所有的IP是否都能訪問到企業的內部網絡係統 如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防範措施.
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全産品之一.雖然從理論上看,防火墻處於網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨着網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走嚮網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻産品正朝着數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網絡安全和減少子網中主機的風險。
例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絶源路由和ICMP重定嚮封包。
控製對係統的訪問
Firewall可以提供對係統的訪問控製。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運用於整個內部網絡係統,而無須在內部網每臺機器上分別設立安全策略。如在Firewall可以定義不同的認證方法,而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也衹需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網絡係統的有用信息,如Finger和DNS。
記錄和統計網絡利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網絡通訊,提供關於網絡使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。
策略執行
Firewall提供了製定和執行網絡安全策略的手段。未設置Firewall時,網絡安全取决於每臺主機的用戶。
2、 設置Firewall的要素
網絡策略
影響Firewall係統設計、安裝和使用的網絡策略可分為兩級,高級的網絡策略定義允許和禁止的服務以及如何使用服務,低級的網絡策略描述Firewall如何限製和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網絡訪問(如撥入策略、SLIP/PPP連接等)。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網絡風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:
允許任何服務除非被明確禁止;
禁止任何服務除非被明確允許。
通常采用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型産品是防火墻的初級産品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.係統管理員也可以根據實際情況靈活製訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證係統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網絡層的安全技術,衹能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.
網絡地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,註册的IP地址標準.它允許具有私有IP地址的內部網絡訪問因特網.它還意味着用戶不許要為其網絡中每一臺機器取得註册的IP地址.
在內部網絡通過安全網卡訪問外部網絡時,將産生一個映射記錄.係統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它並不知道內部網絡的連接情況,而衹是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶衹要進行常規操作即可.
代理型
代理型防火墻也可以被稱為代理服務器,它的安全性要高於包過濾型産品,並已經開始嚮應用層發展.代理服務器位於客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理服務器相當於一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求嚮服務器索取數據,然後再由代理服務器將數據傳輸給客戶機.由於外部係統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡係統.
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對係統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能産生的所有應用類型逐一進行設置,大大增加了係統管理的復雜性。
監測型監測型
防火墻是新一代的産品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻産品一般還帶有分佈式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網絡係統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代産品
雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由於監測型防火墻技術的實現成本較高,也不易管理,所以在實用中的防火墻産品仍然以第二代代理型産品為主,但在某些方面也已經開始使用監測型防火墻.基於對係統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡係統的安全性需求,同時也能有效地控製安全係統的總擁有成本.
實際上,作為當前防火墻産品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種産品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求:
√ 計劃使用哪些Internet服務(如http,ftp,gopher),從何處使用Internet服務(本地網,撥號,遠程辦公室)。
√ 增加的需要,如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網絡安全控製的同時,對係統應用服務犧牲的代價。
策略的靈活性
Internet相關的網絡安全策略總的來說,應該保持一定的靈活性,主要有以下原因:
√ Internet自身發展非常快,機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題,安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的,機構職能轉變、網絡設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問係統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息服務器的安全必須集成到Firewall中。
√ 必須對公共信息服務器進行嚴格的安全控製,否則將成為係統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall係統的基本特徵
√ Firewall必須支持.“禁止任何服務除非被明確允許”的設計策略。
√ Firewall必須支持實際的安全政策,而非改變安全策略適應Firewall。
√ Firewall必須是靈活的,以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機製。
√ Firewall應該使用過濾技術以允許或拒絶對特定主機的訪問。
√ IP過濾描述語言應該靈活,界面友好,並支持源IP和目的IP,協議類型,源和目的TCP/UDP口,以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務,以提供增強和集中的認證管理機製。如果提供其它的服務(如NNTP,http等)也必須通過代理服務器。
√ Firewall應該支持集中的SMTP處理,減少內部網和遠程係統的直接連接。
√ Firewall應該支持對公共Information server的訪問,支持對公共Information server的保護,並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日志記錄。
√ 如果Firewall需要通用的操作係統,必須保證使用的操作係統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作係統應及時地升級以彌補安全漏洞。
5、選擇防火墻的要點
(1) 安全性:即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力:對典型攻擊的防禦能力
(3) 性能:是否能夠提供足夠的網絡吞吐能力
(4) 自我完備能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網絡地址轉換能力
三.病毒防護技術
病毒歷來是信息係統安全的主要問題之一。由於網絡的廣泛互聯,病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為:
(1 ) 通過FTP,電子郵件傳播。
(2) 通過軟盤、光盤、磁帶傳播。
(3) 通過Web遊覽傳播,主要是惡意的Java控件網站。
(4) 通過群件係統傳播。
病毒防護的主要技術如下:
(1) 阻止病毒的傳播。
在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。
(2) 檢查和清除病毒。
使用防病毒軟件檢查和清除病毒。
(3) 病毒數據庫的升級。
病毒數據庫應不斷更新,並下發到桌面係統。
(4) 在防火墻、代理服務器及PC上安裝Java及ActiveX控製掃描軟件,禁止未經許可的控件下載和安裝。
四.入侵檢測技術
利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠:
(1) 入侵者可尋找防火墻背後可能敞開的後門。
(2) 入侵者可能就在防火墻內。
(3) 由於性能的限製,防火焰通常不能提供實時的入侵檢測能力。
入侵檢測係統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網絡連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠縮短hacker入侵的時間。
入侵檢測係統可分為兩類:
√ 基於主機
√ 基於網絡
基於主機的入侵檢測係統用於保護關鍵應用的服務器,實時監視可疑的連接、係統日志檢查,非法訪問的闖入等,並且提供對典型應用的監視如Web服務器應用。
基於網絡的入侵檢測係統用於實時監控網絡關鍵路徑的信息,其基本模型如右圖示:
上述模型由四個部分組成:
入侵檢測係統的基本模型 (1) Passive protocol Analyzer網絡數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵,結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控係統具備如下特點:
(1) 精確,可以精確地判斷入侵事件。
(2) 高級,可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作係統特點。
(5) 占用主機寶貴資源。
基於網絡的安全監控係統具備如下特點:
(1) 能夠監視經過本網段的任何活動。
(2) 實時網絡監視。
(3) 監視粒度更細緻。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網絡環境難於配置。
基於主機及網絡的入侵監控係統通常均可配置為分佈式模式:
(1) 在需要監視的服務器上安裝監視模塊(agent),分別嚮管理服務器報告及上傳證據,提供跨平臺的入侵監視解决方案。
(2) 在需要監視的網絡路徑上,放置監視模塊(sensor),分別嚮管理服務器報告及上傳證據,提供跨網絡的入侵監視解决方案。
選擇入侵監視係統的要點是:
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度,防欺騙能力。
(5) 模式更新速度。
五.安全掃描技術
網絡安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火墻、安全監控係統互相配合能夠提供很高安全性的網絡。
安全掃描工具源於Hacker在入侵網絡係統時采用的工具。商品化的安全掃描工具為網絡安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於服務器和基於網絡的掃描器。
基於服務器的掃描器主要掃描服務器相關的安全漏洞,如password文件,目錄和文件權限,共享文件係統,敏感服務,軟件,係統漏洞等,並給出相應的解决辦法建議。通常與相應的服務器操作係統緊密相關。
基於網絡的安全掃描主要掃描設定網絡內的服務器、路由器、網橋、變換機、訪問服務器、防火墻等設備的安全漏洞,並可設定模擬攻擊,以測試係統的防禦能力。通常該類掃描器限製使用範圍(IP地址或路由器跳數)。網絡安全掃描的主要性能應該考慮以下方面:
(1) 速度。在網絡內進行安全掃描非常耗時。
(2) 網絡拓撲。通過GUI的圖形界面,可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網絡內服務器及其它設備對相同協議的實現存在差別,所以預製的掃描方法肯定不能滿足客戶的需求。
(5) 報告,掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項産品的廠商應盡快給出新發現的安生漏洞掃描特性升級,並給出相應的改進建議。
安全掃描器不能實時監視網絡上的入侵,但是能夠測試和評價係統的安全性,並及時發現安全漏洞。
六. 認證和數宇簽名技術
認證技術主要解决網絡通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網絡中的以下方面:
(1) 路由器認證,路由器和交換機之間的認證。
(2) 操作係統認證。操作係統對用戶的認證。
(3) 網管係統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問服務器與客戶間的認證。
(6) 應用服務器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於:
(1) 基於PKI認證體係的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式,用於操作係統登錄、telnet、rlogin等,但由於此種認證方式過程不加密,即password容易被監聽和解密。
使用摘要算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)進行認證,由於摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體係進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。
該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
七.VPN技術
1、 企業對VPN 技術的需求
企業總部和各分支機構之間采用internet網絡進行連接,由於internet是公用網絡,因此,必須保證其安全性。我們將利用公共網絡實現的私用網絡稱為虛擬私用網(VPN)。
因為VPN利用了公共網絡,所以其最大的弱點在於缺乏足夠的安全性。企業網絡接入到internet,暴露出兩個主要危險:
來自internet的未經授權的對企業內部網的存取。
當企業通過INTERNET進行通訊時,信息可能受到竊聽和非法修改。
完整的集成化的企業範圍的VPN安全解决方案,提供在INTERNET上安全的雙嚮通訊,以及透明的加密方案以保證數據的完整性和保密性。
企業網絡的全面安全要求保證:
保密-通訊過程不被竊聽。
通訊主體真實性確認-網絡上的計算機不被假冒。
2、數字簽名
數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰係統(如RSA)基於私有/公共密鑰對,作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名,利用CA提供的公共密鑰,任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。
並且,如果消息隨數字簽名一同發送,對消息的任何修改在驗證數字簽名時都將會被發現。
通訊雙方通過Diffie-Hellman密鑰係統安全地獲取共享的保密密鑰,並使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
類 型 技 用 途
基本會話密鑰 DES 加密通訊
加密密鑰 Deff-Hellman 生成會話密鑰
認證密鑰 RSA 驗證加密密鑰
基於此種加密模式,需要管理的密鑰數目與通訊者的數量為綫性關係。而其它的加密模式需要管理的密鑰數目與通訊者數目的平方成正比。
3、IPSEC
IPSec作為在IP v4及IP v6上的加密通訊框架,已為大多數廠商所支持,預計在1998年將確定為IETF標準,是VPN實現的Internet標準。
IPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式,Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security Association)。
Ipsec包含兩個部分:
(1) IP security Protocol proper,定義Ipsec報文格式。
(2) ISAKMP/Oakley,負責加密通訊協商。
Ipsec提供了兩種加密通訊手段:
Ipsec Tunnel:整個IP封裝在Ipsec報文。提供Ipsec-gateway之間的通訊。
Ipsec transport:對IP包內的數據進行加密,使用原來的源地址和目的地址。
Ipsec Tunnel不要求修改已配備好的設備和應用,網絡黑客戶不能看到實際的的通訊源地址和目的地址,並且能夠提供專用網絡通過Internet加密傳輸的通道,因此,絶大多數均使用該模式。
ISAKMP/Oakley使用X.509數字證書,因此,使VPN能夠容易地擴大到企業級。(易於管理)。
在為遠程撥號服務的Client端,也能夠實現Ipsec的客戶端,為撥號用戶提供加密網絡通訊。
由於Ipsec即將成為Internet標準,因此不同廠傢提供的防火墻(VPN)産品可以實現互通。
八.應用係統的安全技術
由於應用係統的復雜性,有關應用平臺的安全問題是整個安全體係中最復雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應用平臺服務的安全問題及相關技術。
1、域名服務
Internet域名服務為Internet/Intranet應用提供了極大的靈活性。幾乎所有的網絡應用均利用域名服務。
但是,域名服務通常為hacker提供了入侵網絡的有用信息,如服務器的IP、操作係統信息、推導出可能的網絡結構等。
同時,新發現的針對BIND-NDS實現的安全漏洞也開始發現,而絶大多數的域名係統均存在類似的問題。如由於DNS查詢使用無連接的UDP協議,利用可預測的查詢ID可欺騙域名服務器給出錯誤的主機名-IP對應關係。
因此,在利用域名服務時,應該註意到以上的安全問題。主要的措施有:
(1) 內部網和外部網使用不同的域名服務器,隱藏內部網絡信息。
(2) 域名服務器及域名查找應用安裝相應的安全補丁。
(3) 對付Denial-of-Service攻擊,應設計備份域名服務器。
2、Web Server應用安全
Web Server是企業對外宣傳、開展業務的重要基地。由於其重要性,成為Hacker攻擊的首選目標之一。
Web Server經常成為Internet用戶訪問公司內部資源的通道之一,如Web server通過中間件訪問主機係統,通過數據庫連接部件訪問數據庫,利用CGI訪問本地文件係統或網絡係統中其它資源。
但Web服務器越來越復雜,其被發現的安全漏洞越來越多。為了防止Web服務器成為攻擊的犧牲品或成為進入內部網絡的跳板,我們需要給予更多的關心:
(1) Web服務器置於防火墻保護之下。
(2) 在Web服務器上安裝實時安全監控軟件。
(3) 在通往Web服務器的網絡路徑上安裝基於網絡的實時入侵監控係統。
(4) 經常審查Web服務器配置情況及運行日志。
(5) 運行新的應用前,先進行安全測試。如新的CGI應用。
(6) 認證過程采用加密通訊或使用X.509證書模式。
(7) 小心設置Web服務器的訪問控製表。
3、 電子郵件係統安全
電子郵件係統也是網絡與外部必須開放的服務係統。由於電子郵件係統的復雜性,其被發現的安全漏洞非常多,並且危害很大。
加強電子郵件係統的安全性,通常有如下辦法:
(1) 設置一臺位於停火區的電子郵件服務器作為內外電子郵件通訊的中轉站(或利用防火墻的電子郵件中轉功能)。所有出入的電子郵件均通過該中轉站中轉。
(2) 同樣為該服務器安裝實施監控係統。
(3) 該郵件服務器作為專門的應用服務器,不運行任何其它業務(切斷與內部網的通訊)。
(4) 升級到最新的安全版本。
4、 操作係統安全
市場上幾乎所有的操作係統均已發現有安全漏洞,並且越流行的操作係統發現的問題越多。對操作係統的安全,除了不斷地增加安全補丁外,還需要:
(1) 檢查係統設置(敏感數據的存放方式,訪問控製,口令選擇/更新)。
(2) 基於係統的安全監控係統。 | | 瑞星:
是國産殺軟的竜頭老大,其監控能力是十分強大的,但同時占用係統資源較大。瑞星采用第八代殺毒引擎,能夠快速、徹底查殺大小各種病毒,這個絶對是全國頂尖的。但是瑞星的網絡監控不行,最好再加上瑞星防火墻彌補缺陷。另外,瑞星2009的網頁監控更是疏而不漏,這是雲安全的結果。
金山毒霸:
金山毒霸是金山公司推出的電腦安全産品,監控、殺毒全面、可靠,占用係統資源較少。其軟件的組合版功能強大(毒霸主程序、金山清理專傢、金山網鏢),集殺毒、監控、防木馬、防漏洞為一體,是一款具有市場競爭力的殺毒軟件。
江民:
是一款老牌的殺毒軟件了。它具有良好的監控係統,獨特的主動防御使不少病毒望而卻步。建議與江民防火墻配套使用。本人在多次病毒測試中,發現江民的監控效果非常出色,可以與國外殺軟媲美。占用資源不是很大。是一款不錯的殺毒軟件。另外江民2009與360安全衛士有衝突,建議選擇其一安裝。
卡巴斯基
卡巴斯基是俄羅斯民用最多的殺毒軟件
卡巴斯基有很高的警覺性,它會提示所有具有危險行為的進程或者程序,因此很多正常程序會被提醒確認操作。其實衹要使用一段時間把正常程序添加到卡巴斯基的信任區域就可以了。
在殺毒軟件的歷史上,有這樣一個世界紀錄:讓一個殺毒軟件的掃描引擎在不使用病毒特徵庫的情況下,掃描一個包含當時已有的所有病毒的樣本庫。結果是,僅僅靠“啓發式掃描”技術,該引擎創造了95%檢出率的紀錄。這個紀錄,是由AVP創造的。
卡巴斯基總部設在俄羅斯首都莫斯科,Kaspersky Labs是國際著名的信息安全領導廠商。公司為個人用戶、企業網絡提供反病毒、防黒客和反垃圾郵件産品。經過十四年與計算機病毒的戰鬥,被衆多計算機專業媒體及反病毒專業評測機構譽為病毒防護的最佳産品。
1989年,Eugene Kaspersky開始研究計算機病毒現象。從1991年到1997年,他在俄羅斯大型計算機公司“KAMI”的信息技術中心,帶領一批助手研發出了AVP反病毒程序。Kaspersky Lab於1997年成立,Eugene Kaspersky是創始人之一。
2000年11月,AVP更名為Kaspersky Anti-Virus。Eugene Kaspersky是計算機反病毒研究員協會(CARO)的成員。
諾頓
諾頓是Symantec公司個人信息安全産品之一,亦是一個廣泛被應用的反病毒程序。該項産品發展至今,除了原有的防毒外,還有防間諜等網絡安全風險的功能。諾頓反病毒産品包括:諾頓網絡安全特警 (Norton Internet Security)諾頓反病毒(Norton Antivirus)諾頓360(Norton ALL-IN-ONE Security)諾頓計算機大師(Norton SystemWorks)等産品。賽門鐵剋另外還有一種專供企業使用的版本被稱做Symantec Endpoint Protection 。
NOD32
NOD32是ESET公司的産品,為了保證重要信息的安全,在平靜中呈現極佳的性能。不需要那些龐大的互聯網安全套裝,ESET NOD32就可針對肆虐的病毒威脅為您提供快速而全面的保護。它極易使用,您所要做的衹是:設置它,並忘記它!
安全衛士360:
360安全衛士是一款由奇虎公司推出的完全免費(奇虎官方聲明:“永久免費”)的安全類上網輔助工具軟件,擁有木馬查殺、惡意軟件清理、漏洞補丁修復、電腦全面體檢、垃圾和痕跡清理、係統優化等多種功能。
360安全衛士軟件硬盤占用很小,運行時對係統資源的占用也相對效低,是一款值得普通用戶使用的較好的安全防護軟件。
奇虎公司根據用戶的需要正對它不斷進行功能的擴充與完善。
係統要求:Win2000/XP/VISTA/win7
微點主動防禦軟件:
是北京東方微點信息技術有限責任公司自主研發的具有完全自主知識産權的新一代反病毒産品,在國際上首次實現了主動防禦技術體係,並依此確立了反病毒技術新標準。微點主動防禦軟件最顯著的特點是,除具有特徵值掃描技術查殺已知病毒的功能外,更實現了用軟件技術模擬反病毒專傢智能分析判定病毒的機製,自主發現並自動清除未知病毒。
費爾托斯特安全:
(Twister Anti-TrojanVirus) 是一款同時擁有反木馬、反病毒、反Rootkit功能的強大防毒軟件。擁有海量的病毒特徵庫,支持Windows安全中心,支持右鍵掃描,支持對ZIP、RAR等主流壓縮格式的全面多層級掃描。能對硬盤、軟盤、光盤、移動硬盤、網絡驅動器、網站瀏覽Cache、E-mail附件中的每一個文件活動進行實時監控,並且資源占用率極低。先進的動態防禦係統(FDDS)將動態跟蹤電腦中的每一個活動程序,智能偵測出其中的未知木馬病毒,並擁有極高的識別率。解疑式在綫掃描係統可以對檢測出的可疑程序進行在綫診斷掃描。 SmartScan快速掃描技術使其具有非凡的掃描速度。國際一流的網頁病毒分析技術,擁有最出色的惡意網站識別能力。能夠識別出多種經過加殼處理的文件,有效防範加殼木馬病毒。它的“係統快速修工具”可以對IE、Windows、註册表等常見故障進行一鍵修復。 “木馬強力清除助手”可以輕鬆清除那些用普通防毒軟件難以清除掉的頑固性木馬病毒,並可抑製其再次生成。註册表實時監控能夠高效阻止和修復木馬病毒對註册表的惡意破壞。支持病毒庫在綫增量升級和自動升級,不斷提升對新木馬新病毒的反應能力。 費爾托斯特安全提供的一係列安全保護措施可以讓您的電腦變得更加穩固,是您最值得信賴的安全專傢。
超級巡警安全軟件:
1、殺毒能力再增強,完全媲美於商業軟件
中國第一款完全免費的殺毒引擎,兩百萬木馬與病毒庫,保護遠離病毒侵害;完全兼容其它殺毒軟件,係統資源占用小,可以自在地給電腦上個雙保險;全面查殺熊貓燒香、維金、灰鴿子、我的照片、機器狗、AV終結者、ARP病毒、盜號木馬等流行病毒。
2、實時保護與主動防禦,保護您免除盜號、盜卡煩惱
關鍵位置保護、程序行為和網絡行為監控,讓最新的病毒與木馬無處藏身;每天 900,000 在綫用戶使用,實時保護功能穩定可靠;
3、補丁檢查及自動修復,把QQ、暴風、迅雷、聯衆漏洞一起管起來
國內首創應用程序補丁檢查並修復,可以在官方正式補丁前直接關閉存在漏洞;全面檢查操作係統漏洞,精確提供所需補丁,下載速度遠超官方升級;
4、強大直觀的分析工具讓您具備分析病毒與木馬的火眼金睛
電腦高手最喜愛的病毒與木馬分析工具,也可以過把高手癮;檢查啓動項、進程、服務、端口等,並有未知項目高亮顯示,禁止進程創建等多種貼心設計;
5、免費贈送勝過商業軟件的輔助功能
ARP防火墻囊括其它同類收費軟件全部功能,防護效果好,性能影響低;係統優化、係統修復、文件粉碎、一鍵修復IE、隱私清理等功能,衹裝一個軟件,擁有全部功能; | | 《網絡安全技術》
(高職高專計算機專業規劃教材)
編者:楊寅春
·出版社:西安電子科技大學出版社
·頁碼:259 頁
·出版日期:2009年
·ISBN:756062152X/9787560621524
·條形碼:9787560621524
·包裝版本:1版
·裝幀:平裝
·開本:16
·正文語種:中文
·叢書名:高職高專計算機專業規劃教材
《網絡安全技術》較係統地介紹了網絡安全的主要理論、技術及應用方面的知識,主要包括密碼技術、操作係統安全、數據庫安全、防火墻技術、網絡入侵與防範、入侵檢測技術、計算機病毒與防範、Internet安全、VPN技術、無綫局域網安全、計算機網絡安全工程等。
《網絡安全技術》註重理論結合實踐,每一章均配有與理論相關的實例及習題,使讀者能夠加深對網絡安全理論的理解與掌握,增強動手能力,最終具備基本的網絡安全管理和設計能力。
《網絡安全技術》可作為高職高專院校的計算機專業、通信工程專業和信息安全專業等相關專業的教材,也可作為開設了計算機網絡安全和信息安全課程的應用型本科專業的教材,還可作為網絡工程技術人員和信息安全管理人員的參考資料。
目錄
第1章 概論
1.1 計算機網絡安全概述
1.1.1 信息安全發展歷程
1.1.2 網絡安全的定義及特徵
1.1.3 主要的網絡信息安全威脅
1.1.4 網絡安全防護體係層次
1.1.5 網絡安全設計原則
1.2 網絡信息係統安全架構
1.2.1 安全服務
1.2.2 安全機製
1.3 OSI參考模型安全
1.4 TCP/IP參考模型安全
1.4.1 TCP/IP協議棧
1.4.2 TCP/IP主要協議及安全
1.4.3 端口安全
1.5 安全評估標準及立法
1.5.1 國際安全評估標準
1.5.2 我國安全立法
1.6 安全技術發展趨勢
習題
第2章 密碼技術
2.1 密碼學概述
2.1.1 密碼體製
2.1.2 密碼分類
2.2 古典密碼
2.2.1 替代密碼
2.2.2 換位密碼
2.3 分組密碼
2.3.1 DES
2.3.2 AES
2.4 公鑰密碼體製
2.4.1 RSA
2.4.2 ElGamal和ECC
2.4.3 公鑰密碼體製應用
2.5 報文認證與數字簽名
2.5.1 Hash函數
2.5.2 報文認證
2.5.3 數字簽名
2.6 密鑰管理與分發
2.7 密碼技術實例
2.7.1 CAP軟件應用
2.7.2 PGP軟件應用
習題
第3章 操作係統安全
3.1 安全操作係統概述
3.1.1 可信計算機安全評估準則
3.1.2 安全操作係統特徵
3.2 操作係統帳戶安全
3.2.1 密碼安全
3.2.2 帳號管理
3.3 操作係統資源訪問安全
3.3.1 Windows係統資源訪問控製
3.3.2 Linux文件係統安全
3.4 操作係統安全策略
3.5 我國安全操作係統現狀與發展
3.6 操作係統安全實例
3.6.1 WindowsServer2003安全設置
3.6.2 Linux安全設置
《網絡安全技術與應用》
《網絡安全技術與應用》共分3個部分。第1部分為網絡安全基礎篇,主要討論了網絡安全的基礎知識,並從網絡協議角度出發,闡述了當今計算機網絡中存在的安全威脅;第2部分為密碼學基礎,簡要介紹了網絡安全中涉及的各種密碼技術;第3部分為網絡安全應用實踐,也是《網絡安全技術與應用》的重點內容,主要介紹了網絡安全實踐中的一些比較重要的産品及其技術應用。
《網絡安全技術與應用》共分11章。其中第1章和第2章介紹了網絡安全基礎知識;第3章簡要介紹了密碼學基礎;剩餘的8章主要對現有的網絡安全技術,包括身份認證、防火墻技術、入侵檢測技術、加密技術、公鑰基礎設施、虛擬專用網絡、惡意代碼和病毒防治以及無綫網絡所涉及的網絡安全技術進行了詳細的討論。
《網絡安全技術與應用》可以作為高等院校信息安全、通信、計算機等專業的本科生和研究生教材,也可以作為網絡安全工程師、網絡管理員的參考用書,或作為網絡安全培訓教材。 | | 電子商務安全從整體上可分為兩大部分:計算機網絡安全和商務交易安全
(一)計算機網絡安全的內容包括:
(1)未進行操作係統相關安全配置
不論采用什麽操作係統,在缺省安裝的條件下都會存在一些安全問題,衹有專門針對操作係統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作係統缺省安裝後,再配上很強的密碼係統就算作安全了。網絡軟件的漏洞和“後門” 是進行網絡攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟件供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絶服務(DoS,Denial of Service)攻擊
隨着電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。
(4)安全産品使用不當
雖然不少網站采用了一些網絡安全設備,但由於安全産品本身的問題或使用問題,這些産品並沒有起到應有的作用。很多安全廠商的産品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠傢在最初給用戶做了正確的安裝、配置,但一旦係統改動,需要改動相關安全産品的設置時,很容易産生許多安全問題。
(5)缺少嚴格的網絡安全管理制度
網絡安全最重要的還是要思想上高度重視,網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網絡安全制度與策略是真正實現網絡安全的基礎。
(二)計算機商務交易安全的內容包括:
(1)竊取信息
由於未采用加密措施,數據信息在網絡上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網絡上傳送的信息數據在中途修改,然後再發嚮目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以接入網絡,則可能對網絡中的信息進行修改,掌握網上的機要信息,甚至可以潛入網絡內部,其後果是非常嚴重的。 | | 電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務安全問題的對策從整體上可分為計算機網絡安全措施和商務交易安全措施兩大部分。
1.計算機網絡安全措施
計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護係統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。
(一)保護網絡安全。
網絡安全是為保護商務各方網絡端係統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控製性是網絡安全的重要因素。保護網絡安全的主要措施如下:
(1)全面規劃網絡平臺的安全策略。
(2)製定網絡安全的管理措施。
(3)使用防火墻。
(4)盡可能記錄網絡上的一切活動。
(5)註意對網絡設備的物理保護。
(6)檢驗網絡平臺係統的脆弱性。
(7)建立可靠的識別和鑒別機製。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web服務器、網絡支付專用軟件係統)所建立的安全防護措施,它獨立於網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾嚮於在應用層而不是在網絡層采取各種安全措施。
雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解决電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控製、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
(三)保護係統安全。
保護係統安全,是指從整體電子商務係統或網絡支付係統的角度進行安全防護,它與網絡係統硬件平臺、操作係統、各種應用軟件等互相關聯。涉及網絡支付結算的係統安全包含下述一些措施:
(1)在安裝的軟件中,如瀏覽器軟件、電子錢包軟件、支付網關軟件等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使係統具有最小穿透風險性。如通過諸多認證纔允許連通,對所有接入數據必須進行審計,對係統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日志,以便檢測並跟蹤入侵攻擊等。
2.商務交易安全措施
商務交易安全則緊緊圍繞傳統商務在互聯網絡上應用時産生的各種安全問題,在計算機網絡安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務采取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理睏難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麽機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發佈(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰嚮其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核準和生效的作用。其實現方式是把散列函數和公開密鑰算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接着再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麽接收方就能確認該數字簽名是發送方的。數字簽名機製提供了一種鑒別方法,以解决偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式嚮公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一係列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。目前,比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與服務器真正傳輸應用層數據之前建立安全機製。當客戶與服務器第一次通信時,雙方通過握手協議在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換算法産生一個衹有雙方知道的秘密信息,客戶和服務器各自根據此秘密信息産生數據加密算法和Hash算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網絡傳輸層發送給對方。SSL警報協議用來在客戶和服務器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商傢、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易信息傳送流程標準。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務係統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務係統設計的。它位於應用層,其認證體係十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商傢來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商傢外,還有發卡行、收單行、認證中心、支付網關等其它參與者。 | | | 計算機 | 書 | 圖書 | 讀書 | 書籍 | 企業管理 | 情感社區 | DELPHI程序研究 | |
| | | 網絡安全技術內幕 | 國際白客網絡安全技術聯盟 | | 網絡安全技術實用教程 | 網絡安全技術與解决方案 | | 計算機網絡安全技術教程 | 網絡安全技術與實訓 | | IP網絡安全技術 | 網絡安全技術與實踐總結 | | 網絡安全技術與應用 | 計算機網絡安全技術 | | 網絡安全技術及應用 | 上海衆人網絡安全技術有限公司 | | 計算機網絡安全技術與解决方案 | 電信新技術新業務要點解讀叢書-IP網絡安全技術 | | 網絡安全技術及應用實踐教程 | 南京易思剋網絡安全技術有限責任公司 | | 電信新技術新業務要點解讀叢書-網絡安全技術 | |
|
|
|