計算機網(wǎng)絡(luò)安全概述及環(huán)境搭建

第1章計算機網(wǎng)絡(luò)安全概述及環(huán)境搭建 主要內(nèi)容 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 1 網(wǎng)絡(luò)安全問題的產(chǎn)生互聯(lián)網(wǎng)較強的開放性 分散性和交互性等特點 提供信息共享 信息服務(wù)和信息交流同時帶來很多安全問題 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 2 網(wǎng)絡(luò)安全的現(xiàn)狀目前各種領(lǐng)域的計算機犯罪和網(wǎng)絡(luò)侵權(quán)行為在數(shù)量 規(guī)模 手段的方面都已經(jīng)到了令人吃驚的地步 美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失超過170億美元 德國 英國也均在數(shù)十億美元以上 法國為100億法郎 日本 新加坡問題也很嚴(yán)重 我國的網(wǎng)絡(luò)安全事件的發(fā)生率也在不斷的上升 據(jù)我國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 簡稱CNCERT CC 統(tǒng)計 2007年上半年我國發(fā)生的各類網(wǎng)絡(luò)安全事件數(shù)大大超出了06年 甚至有些事件超出了06年全年該類事件的總和 1 1 1網(wǎng)絡(luò)安全的發(fā)展史 3 網(wǎng)絡(luò)安全的發(fā)展趨勢1 實施網(wǎng)絡(luò)攻擊主體的變化網(wǎng)絡(luò)攻擊行為已經(jīng)從原先的由好奇心重 喜歡炫耀攻防能力的興趣型黑客群向更具犯罪思想的贏利型的攻擊人群過渡 2 網(wǎng)絡(luò)攻擊的主要手段的變化網(wǎng)絡(luò)攻擊的手段很多 主要包含拒絕服務(wù)攻擊 非法接入 IP欺騙 網(wǎng)絡(luò)嗅探 中間人攻擊 木馬攻擊以及信息垃圾等 隨著攻擊技術(shù)的不斷發(fā)展 攻擊的手段也由原來單一的攻擊手段向結(jié)合多種攻擊手段的綜合性攻擊發(fā)展 如網(wǎng)絡(luò)嗅探 拒絕服務(wù) 木馬等攻擊手段的結(jié)合將帶來更大的危害 3 企業(yè)內(nèi)部對安全威脅的認(rèn)識的變化隨著企業(yè)網(wǎng)絡(luò)邊界安全體系的基本完善 網(wǎng)絡(luò)安全事件仍然不斷發(fā)生 內(nèi)部員工安全管理上的不足和員工上網(wǎng)使用不當(dāng)?shù)刃袨閹淼陌踩L(fēng)險更為嚴(yán)重 1 1 2網(wǎng)絡(luò)安全的定義 國際標(biāo)準(zhǔn)化組織 ISO 對計算機系統(tǒng)安全的定義是 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù) 保護(hù)計算機硬件 軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞 更改和泄露 1 1 3網(wǎng)絡(luò)安全的相關(guān)法規(guī) 保證計算機網(wǎng)絡(luò)的安全不僅取決于在技術(shù)上的進(jìn)步 還依賴社會法律 法規(guī)的完善 西方發(fā)達(dá)國家 特別是美國和日本是計算機網(wǎng)絡(luò)安全上的立法比較完善的國家 而一般的發(fā)展中國家和第三世界國家網(wǎng)絡(luò)安全上的立法還不夠完善 在我國 政府對信息安全和網(wǎng)絡(luò)安全問題非常重視 并積極推動網(wǎng)絡(luò)安全管理和安全立法工作 目前網(wǎng)絡(luò)安全方面的法規(guī)已經(jīng)寫入中華人民共和國憲法 1982年8月23日寫入中華人民共和國商標(biāo)法 于1984年3月12日寫入中華人民共和國專利法 于1988年9月 日寫入中華人民共和國保守國家秘密法 于1993年9月2日寫入中華人民共和國反不正當(dāng)競爭法 近些年 我國還陸續(xù)頒布了中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法 中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法 中國互聯(lián)網(wǎng)域名注冊實施細(xì)則 等法規(guī)性文件 并在新刑法中明確了計算機犯罪與計算機違法行為的區(qū)別 1 1 4網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn) 1 國際的評價標(biāo)準(zhǔn)在國際上 發(fā)布于1985年的美國國防部可信計算機系統(tǒng)評價標(biāo)準(zhǔn) TrustedComputerStandardsEvaluationCriteria TCSEC 即網(wǎng)絡(luò)安全橙皮書 是世界上第一個關(guān)于信息產(chǎn)品安全的評價標(biāo)準(zhǔn) 1 1 4網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn) 2 國內(nèi)的評價標(biāo)準(zhǔn)在我國根據(jù) 計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 1999年10月經(jīng)過國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布準(zhǔn)則將計算機安全保護(hù)劃分為以下五個級別 第四級 第三級 第二級 第一級 結(jié)構(gòu)化保護(hù) 安全標(biāo)記保護(hù)級 系統(tǒng)審計保護(hù)級 用戶自主保護(hù)級 第五級 訪問驗證保護(hù)級 1 2 1網(wǎng)絡(luò)安全威脅的來源 1 內(nèi)部威脅 1 錯誤使用和濫用關(guān)鍵 敏感數(shù)據(jù)和計算資源 無論是有不滿情緒的員工的故意破壞 還是沒有訪問關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進(jìn)入關(guān)鍵系統(tǒng) 由此而造成的數(shù)據(jù)泄露 偷竊 損壞或刪除將給企業(yè)帶來很大的負(fù)面影響 2 因不當(dāng)使用Internet接入而降低生產(chǎn)率 不當(dāng)使用Internet資源不但會浪費員工的時間 還會增加計算機網(wǎng)絡(luò)的負(fù)擔(dān) 降低了人員與網(wǎng)絡(luò)的工作效率 3 如果工作人員發(fā)送 接收和查看攻擊性材料 可能會形成敵意的工作環(huán)境 從而增大內(nèi)耗 通常 對內(nèi)部威脅的防御往往只能通過對內(nèi)部員工的教育來解決 使之理解網(wǎng)絡(luò)安全的重要性 如提示員工保管好自己的帳號和密碼 不要讓別人來使用 密碼還需妥善保管且需定期更換 另外 還要警惕不要輕易直接打開外來的文件 而是先經(jīng)過病毒掃描后再進(jìn)行打開 1 2 1網(wǎng)絡(luò)安全威脅的來源 2 外部威脅外部威脅主要來自網(wǎng)絡(luò)外部的入侵 這種入侵行為通常不易被發(fā)現(xiàn) 造成的影響也比較嚴(yán)重 而且當(dāng)今來之外部的威脅也越來越多 發(fā)動這種攻擊或入侵行為的可能來自網(wǎng)絡(luò)外部的任何人 如黑客或者網(wǎng)絡(luò)安全愛好者 因此對攻擊的目的和來源也很難判斷 數(shù)據(jù)通信鏈路很容易進(jìn)行接入竊聽 因此它往往是不安全的 也很容易成為外部威脅的目標(biāo) 如果與互聯(lián)網(wǎng)相連 則最容易受到此類的攻擊 對外部威脅的防范也有很多方法 可以對數(shù)據(jù)通信鏈路進(jìn)行加密 例如 使用虛擬專用網(wǎng) VPN 技術(shù)對不安全的通信鏈路進(jìn)行加密傳輸 也可以通過設(shè)置訪問控制列表 ACL 來限制某些通信數(shù)據(jù)等 1 2 2網(wǎng)絡(luò)安全威脅的種類 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 1 物理安全性物理安全也即物理環(huán)境的安全性 它包括通信線路的安全 物理設(shè)備的安全 機房的安全等 它主要涉及到 防火 防靜電 防雷擊 防電磁輻射和防盜等 例如 在機房內(nèi)可配置UPS不間斷電源 以保證停電時或異常情況時切換到由UPS供電 使計算機系統(tǒng)內(nèi)存數(shù)據(jù)及程序不受影響 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 2 操作系統(tǒng)安全性該層次的安全問題主要來自網(wǎng)絡(luò)中主機上使用的操作系統(tǒng)的安全 如WindowsNT 2000 XP 2003 vista系列 Linux Unix系列 Netware以及其他專用操作系統(tǒng) 其安全主要包括操作系統(tǒng)的安全配置 操作系統(tǒng)的漏洞檢測 操作系統(tǒng)的漏洞修補等 它是衡量網(wǎng)絡(luò)操作系統(tǒng)安全性 可靠性的依據(jù) 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 3 網(wǎng)絡(luò)的安全性網(wǎng)絡(luò)的安全問題一般是指網(wǎng)絡(luò)信息的安全性 包括網(wǎng)絡(luò)身份認(rèn)證 網(wǎng)絡(luò)資源的訪問控制 數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性 遠(yuǎn)程接入的安全 域名系統(tǒng)的安全 路由系統(tǒng)的安全 防火墻應(yīng)用 病毒防范和入侵檢測的手段等手段 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 4 應(yīng)用安全性該層次的安全考慮業(yè)務(wù)網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 應(yīng)用層安全要求能保護(hù)合法用戶對數(shù)據(jù)的合法存取 阻止非法用戶對數(shù)據(jù)進(jìn)行非授權(quán)的訪問 轉(zhuǎn)移 修改和破壞 它包括身份認(rèn)證 訪問控制 數(shù)據(jù)庫系統(tǒng)中數(shù)據(jù)的安全性等幾方面 1 3 1網(wǎng)絡(luò)安全防御體系的層次結(jié)構(gòu) 5 管理安全性網(wǎng)絡(luò)安全管理主要包括安全技術(shù)和設(shè)備的管理 安全管理制度 部門與人員的組織規(guī)則等 管理的制度化將對整個網(wǎng)絡(luò)安全起著重要作用 嚴(yán)格的安全管理制度 明確的部門安全職責(zé)劃分 合理的人員角色配置都可以在很大程度上降低其他層次的安全漏洞 1 3 2網(wǎng)絡(luò)安全防御體系設(shè)計 網(wǎng)絡(luò)安全防御體系是一個動態(tài)的 基于時間變化的概念 為確保網(wǎng)絡(luò)與信息系統(tǒng)的抗攻擊性能 保證信息的完整性 可用性 可控性和不可否認(rèn)性 在設(shè)計網(wǎng)絡(luò)安全防御體系時需結(jié)合不同的安全保護(hù)因素 多層 安全互動的安全防護(hù)將大大增加黑客攻擊的難度和成本 因此他們對網(wǎng)絡(luò)系統(tǒng)的攻擊也將大大減少 1 3 3網(wǎng)絡(luò)安全防御體系工作流程 1 攻擊前的防范攻擊前的防范主要是負(fù)責(zé)對日常的防御工作及對實時的消息進(jìn)行防御 一般防火墻作為第一道防范 負(fù)責(zé)控制進(jìn)入網(wǎng)絡(luò)的訪問控制 即進(jìn)行了日常的防御工作 也對事實的消息進(jìn)行了防御 接著 系統(tǒng)漏洞檢測系統(tǒng) 安全評估軟件一個從內(nèi)一個從外 詳細(xì)地掃描安全漏洞并一一列舉系統(tǒng)的漏洞 并給出最佳解決方法 另外 郵件過濾系統(tǒng) PKI VPN等都是進(jìn)行日常的防御工作 1 3 3網(wǎng)絡(luò)安全防御體系工作流程 2 攻擊過程中的防范攻擊過程中的防范主要是負(fù)責(zé)對實時的攻擊做出反應(yīng) 預(yù)警系統(tǒng) 入侵檢測系統(tǒng)檢測通過防火墻的數(shù)據(jù)流進(jìn)行進(jìn)一步檢查 綜合分析各種信息 動態(tài)分析