<del id="ypyc2"></del>

    <dd id="ypyc2"><dl id="ypyc2"></dl></dd>
    
    1. 
      

      網(wǎng)絡(luò)安全

      發(fā)布日期:2023-07-21 瀏覽次數(shù):3163

      1.網(wǎng)絡(luò)安全概述

        網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

        網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。比如:從用戶(個人、企業(yè)等)的角度來說,他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真實性的保護,避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。

      網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征:
      保密性:信息不泄露給非授權(quán)用戶、實體或過程,或供其利用的特性。
      完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
      可用性:可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊;
      可控性:對信息的傳播及內(nèi)容具有控制能力。

        從網(wǎng)絡(luò)運行和管理者角度說,他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制,避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅,制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進(jìn)行過濾和防堵,避免機要信息泄露,避免對社會產(chǎn)生危害,對國家造成巨大損失。從社會教育和意識形態(tài)角度來講,網(wǎng)絡(luò)上不健康的內(nèi)容,會對社會的穩(wěn)定和人類的發(fā)展造成阻礙,必須對其進(jìn)行控制。

        隨著計算機技術(shù)的迅速發(fā)展,在計算機上處理的業(yè)務(wù)也由基于單機的數(shù)學(xué)運算、文件處理,基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)(Intranet)、企業(yè)外部網(wǎng)(Extranet)、全球互連網(wǎng)(Internet)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時,系統(tǒng)的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基于網(wǎng)絡(luò)連接的安全問題也日益突出,整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面:網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。

        因此計算機安全問題,應(yīng)該象每家每戶的防火防盜問題一樣,做到防范于未然。甚至不會想到你自己也會成為目標(biāo)的時候,威脅就已經(jīng)出現(xiàn)了,一旦發(fā)生,常常措手不及,造成極大的損失。

      2.網(wǎng)絡(luò)安全分析

        2.1.物理安全分析
        網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中,由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。因此,在網(wǎng)絡(luò)工程的設(shè)計和施工中,必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害;考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全;必須建設(shè)防雷系統(tǒng),防雷系統(tǒng)不僅考慮建筑物防雷,還必須考慮計算機及其他弱電耐壓設(shè)備的防雷??傮w來說物理安全的風(fēng)險主要有,地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯誤;設(shè)備被盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗余的設(shè)計;機房環(huán)境及報警系統(tǒng)、安全意識等,因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。

        2.2.網(wǎng)絡(luò)結(jié)構(gòu)的安全分析

        網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時,內(nèi)部網(wǎng)絡(luò)的機器安全就會受到威脅,同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播,還會影響到連上Internet/Intrant的其他的網(wǎng)絡(luò);影響所及,還可能涉及法律、金融等安全敏感領(lǐng)域。因此,我們在設(shè)計時有必要將公開服務(wù)器(WEB、DNS、EMAIL等)和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄;同時還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機,其它的請求服務(wù)在到達(dá)主機之前就應(yīng)該遭到拒絕。

        2.3.系統(tǒng)的安全分析

        所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇,無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng),其開發(fā)廠商必然有其Back-Door。因此,我們可以得出如下結(jié)論:沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析,選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺,并對操作系統(tǒng)進(jìn)行安全配置。而且,必須加強登錄過程的認(rèn)證(特別是在到達(dá)服務(wù)器主機之前的認(rèn)證),確保用戶的合法性;其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。

        2.4.應(yīng)用系統(tǒng)的安全分析

        應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān),它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全性也涉及到信息的安全性,它包括很多方面。

        ——應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。

        應(yīng)用的安全涉及方面很多,以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說,其解決方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上,主要考慮盡可能建立安全的系統(tǒng)平臺,而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞,修補漏洞,提高系統(tǒng)的安全性。

        ——應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。

        信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經(jīng)濟、社會影響和政治影響將是很嚴(yán)重的。因此,對用戶使用計算機必須進(jìn)行身份認(rèn)證,對于重要信息的通訊必須授權(quán),傳輸必須加密。采用多層次的訪問控制與權(quán)限控制手段,實現(xiàn)對數(shù)據(jù)的安全保護;采用加密技術(shù),保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等)的機密性與完整性。

        2.5.管理的安全風(fēng)險分析

        管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時,當(dāng)事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進(jìn)行多層次的記錄,及時發(fā)現(xiàn)非法入侵行為。

        建立全新網(wǎng)絡(luò)安全機制,必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實,所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此,網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。

      3.網(wǎng)絡(luò)安全措施

        3 .1.安全技術(shù)手段

        ——物理措施:例如,保護網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機、大型計算機等),制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度,采取防輻射、防火以及安裝不間斷電源(UPS)等措施。

        ——訪問控制:對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如,進(jìn)行用戶身份認(rèn)證,對口令加密、更新和鑒別,設(shè)置用戶訪問目錄和文件的權(quán)限,控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限,等等。

        ——數(shù)據(jù)加密:加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡(luò)病毒,安裝網(wǎng)絡(luò)防病毒系統(tǒng)。

        ——其他措施:其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來,圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法,例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密,到達(dá)目的地后再解密還原為原始數(shù)據(jù),目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限,從而保護網(wǎng)絡(luò)資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等等。

        3 .2.安全防范意識

        擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識有關(guān)。

      4.網(wǎng)絡(luò)安全案例

        4 .1.概況

        隨著計算機技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計算機病毒等)。同時,網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗。

        近年來,計算機犯罪案件也急劇上升,計算機犯罪已經(jīng)成為普遍的國際性問題。據(jù)美國聯(lián)邦調(diào)查局的報告,計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經(jīng)濟損失高達(dá)50億美元。

        計算機犯罪大都具有瞬時性、廣域性、專業(yè)性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據(jù),這大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。

        計算機犯罪案率的迅速增加,使各國的計算機系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅,并成為嚴(yán)重的社會問題之一。

        4 .2.國外

        1996年初,據(jù)美國舊金山的計算機安全協(xié)會與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計,有53%的企業(yè)受到過計算機病毒的侵害,42%的企業(yè)的計算機系統(tǒng)在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達(dá)25萬次之多。

        1994年末,俄羅斯黑客弗拉基米爾?利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上,向美國CITYBANK銀行發(fā)動了一連串攻擊,通過電子轉(zhuǎn)帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。

        1996年8月17日,美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵,并將“ 美國司法部” 的主頁改為“ 美國不公正部” ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章?lián)Q成了納粹黨徽,并加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。

        1996年9月18日,黑客又光顧美國中央情報局的網(wǎng)絡(luò)服務(wù)器,將其主頁由“中央情報局” 改為“ 中央愚蠢局” 。

        1996年12月29日,黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動,其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關(guān)閉了其他80多個軍方網(wǎng)址。

        4 .3.國內(nèi)

        1996年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。

        1997年初,北京某ISP被黑客成功侵入,并在清華大學(xué)“ 水木清華” BBS站的“ 黑客與解密” 討論區(qū)張貼有關(guān)如何免費通過該ISP進(jìn)入Internet的文章。

        1997年4月23日,美國德克薩斯州內(nèi)查德遜地區(qū)西南貝爾互聯(lián)網(wǎng)絡(luò)公司的某個PPP用戶侵入中國互聯(lián)網(wǎng)絡(luò)信息中心的服務(wù)器,破譯該系統(tǒng)的shutdown帳戶,把中國互聯(lián)網(wǎng)信息中心的主頁換成了一個笑嘻嘻的骷髏頭。

        1996年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發(fā)生了一些矛盾,此用戶便攻擊該ISP的服務(wù)器,致使服務(wù)中斷了數(shù)小時。

      5.網(wǎng)絡(luò)安全類型

        運行系統(tǒng)安全,即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運行,避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失,避免由于電磁泄漏,產(chǎn)生信息泄露,干擾他人,受他人干擾。

        網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別,用戶存取權(quán)限控制,數(shù)據(jù)存取權(quán)限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數(shù)據(jù)加密。

        網(wǎng)絡(luò)上信息傳播安全,即信息傳播后果的安全。包括信息過濾等。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?/span>

        網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護用戶的利益和隱私。

      6.網(wǎng)絡(luò)安全特征

        網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征:

        保密性:信息不泄露給非授權(quán)用戶、實體或過程,或供其利用的特性。

        完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

        可用性:可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊;

        可控性:對信息的傳播及內(nèi)容具有控制能力。

      7.威脅網(wǎng)絡(luò)安全因素

        自然災(zāi)害、意外事故;計算機犯罪; 人為行為,比如使用不當(dāng),安全意識差等;黑客” 行為:由于黑客的入侵或侵?jǐn)_,比如非法訪問、拒絕服務(wù)計算機病毒、非法連接等;內(nèi)部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等; 信息戰(zhàn);網(wǎng)絡(luò)協(xié)議中的缺陷,例如TCP/IP協(xié)議的安全問題等等。

      8.網(wǎng)絡(luò)安全的結(jié)構(gòu)層次

        8.1 物理安全

        自然災(zāi)害(如雷電、地震、火災(zāi)等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期等),設(shè)備故障(如停電、電磁干擾等),意外事故。解決方案是:防護措施,安全制度,數(shù)據(jù)備份等。

        電磁泄漏,信息泄漏,干擾他人,受他人干擾,乘機而入(如進(jìn)入安全進(jìn)程后半途離開),痕跡泄露(如口令密鑰等保管不善)。解決方案是:輻射防護,屏幕口令,隱藏銷毀等。

        操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏。解決方案是:狀態(tài)檢測,報警確認(rèn),應(yīng)急恢復(fù)等。

        計算機系統(tǒng)機房環(huán)境的安全。特點是:可控性強,損失也大。解決方案:加強機房管理,運行管理,安全組織和人事管理。

        8.2 安全控制

        微機操作系統(tǒng)的安全控制。如用戶開機鍵入的口令(某些微機主板有“ 萬能口令” ),對文件的讀寫存取的控制(如Unix系統(tǒng)的文件屬性控制機制)。主要用于保護存貯在硬盤上的信息和數(shù)據(jù)。

        網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對來自其他機器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制。主要包括:身份認(rèn)證,客戶權(quán)限設(shè)置與判別,審計日志等。

        網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行狀態(tài)進(jìn)行安全監(jiān)測和控制。主要通過網(wǎng)管軟件或路由器配置實現(xiàn)。

        8.3 安全服務(wù)

        對等實體認(rèn)證服務(wù)

        訪問控制服務(wù)

        數(shù)據(jù)保密服務(wù)

        數(shù)據(jù)完整性服務(wù)

        數(shù)據(jù)源點認(rèn)證服務(wù)

        禁止否認(rèn)服務(wù)

        8.4 安全機制

        加密機制

        數(shù)字簽名機制

        訪問控制機制

        數(shù)據(jù)完整性機制

        認(rèn)證機制

        信息流填充機制

        路由控制機制

        公證機制

      9.網(wǎng)絡(luò)加密方式

        鏈路加密方式

        節(jié)點對節(jié)點加密方式

        端對端加密方式

      10.TCP/IP協(xié)議的安全問題

        TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸。

        源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。

        源路由選擇欺騙(Source Routing spoofing)。

        路由選擇信息協(xié)議攻擊(RIP Attacks)。

        鑒別攻擊(Authentication Attacks)。

        TCP序列號欺騙(TCP Sequence number spoofing)。

        TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。

        易欺騙性(Ease of spoofing)。

      11.網(wǎng)絡(luò)安全工具

        掃描器:是自動檢測遠(yuǎn)程或本地主機安全性弱點的 程序,一個好的掃描器相當(dāng)于一千個口令的價值。

        如何工作:TCP端口掃描器,選擇TCP/IP端口和服務(wù)(比如FTP),并記錄目標(biāo)的回答,可收集關(guān)于目標(biāo)主機的有用信息(是否可匿名登錄,是否提供某種服務(wù))。掃描器告訴我們什么:能發(fā)現(xiàn)目標(biāo)主機的內(nèi)在弱點,這些弱點可能是破壞目標(biāo)主機的關(guān)鍵因素。系統(tǒng)管理員使用掃描器,將有助于加強系統(tǒng)的安全性。黑客使用它,對網(wǎng)絡(luò)的安全將不利。

        掃描器的屬性:1、尋找一臺機器或一個網(wǎng)絡(luò)。2、一旦發(fā)現(xiàn)一臺機器,可以找出機器上正在運行的服務(wù)。3、測試哪些服務(wù)具有漏洞。

        目前流行的掃描器:1、NSS網(wǎng)絡(luò)安全掃描器,2、stroke超級優(yōu)化TCP端口檢測程序,可記錄指定機器的所有開放端口。3、SATAN安全管理員的網(wǎng)絡(luò)分析工具。4、JAKAL。5、XSCAN。

      12.黑客常用的信息收集工具


        信息收集是突破網(wǎng)絡(luò)系統(tǒng)的第一步。黑客可以使用下面幾種工具來收集所需信息:

        SNMP協(xié)議,用來查閱非安全路由器的路由表,從而了解目標(biāo)機構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)。

        TraceRoute程序,得出到達(dá)目標(biāo)主機所經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。

        Whois協(xié)議,它是一種信息服務(wù),能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個域的系統(tǒng)管理員數(shù)據(jù)。(不過這些數(shù)據(jù)常常是過時的)。

        DNS服務(wù)器,可以訪問主機的IP地址表和它們對應(yīng)的主機名。

        Finger協(xié)議,能夠提供特定主機上用戶們的詳細(xì)信息(注冊名、電話號碼、最后一次注冊的時間等)。

        Ping實用程序,可以用來確定一個指定的主機的位置并確定其是否可達(dá)。把這個簡單的工具用在掃描程序中,可以Ping網(wǎng)絡(luò)上每個可能的主機地址,從而可以構(gòu)造出實際駐留在網(wǎng)絡(luò)上的主機清單。

      13. Internet 防火墻

        Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。

        防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻,接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。

        13.1 Internet防火墻與安全策略的關(guān)系

        防火墻不僅僅是路由器、堡壘主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,防火墻是安全策略的一個部分。

        安全策略建立全方位的防御體系,甚至包括:告訴用戶應(yīng)有的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及雇員培訓(xùn)等。所有可能受到攻擊的地方都必須以
      同樣安全級別加以保護。

        僅設(shè)立防火墻系統(tǒng),而沒有全面的安全策略,那么防火墻就形同虛設(shè)。

        13.2 防火墻的好處

        Internet防火墻負(fù)責(zé)管理Internet和機構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時,內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機的堅固程度來決定,并且安全性等同于其中最弱的系統(tǒng)。

        13.3 Internet防火墻的作用

        Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“ 扼制點” 來防止非法用戶,比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò),并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理,網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固,而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。

        在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報警。(注意:對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說,重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網(wǎng)絡(luò)管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄,防火墻就形同虛設(shè)。在這種情況下,網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。

        Internet防火墻可以作為部署NAT(Network Address Translator,網(wǎng)絡(luò)地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題,并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。

        Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,并根據(jù)機構(gòu)的核算模式提供部門級計費。

      欧美一级一区二区在线播放,亚洲日韩欧美黑白配,一区一级在线观看,精品人妻一区二区三区毛片
        <del id="ypyc2"></del>

        <dd id="ypyc2"><dl id="ypyc2"></dl></dd>
        
        1.