計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)：網(wǎng)絡(luò)安全

1、 網(wǎng)絡(luò)安全 l 網(wǎng)絡(luò)安全手段之信息加密 l 網(wǎng)絡(luò)安全手段之防火墻 l 網(wǎng)絡(luò)病毒 l 網(wǎng)絡(luò)管理 先天性安全漏洞 Internet的前身是APPANET，而APPNET最初是為軍事機(jī)構(gòu)服務(wù)的，對(duì)網(wǎng)絡(luò)安全的關(guān)注較少。 在進(jìn)行通信時(shí)，Internet用戶的數(shù)據(jù)被拆成一個(gè)個(gè)數(shù)據(jù)包，然后經(jīng)過(guò)若干結(jié)點(diǎn)輾轉(zhuǎn)傳遞到終點(diǎn)。在Internet上，數(shù)據(jù)傳遞是靠TCP/IP實(shí)現(xiàn)的。但是TCP/IP在傳遞數(shù)據(jù)包時(shí)，并未對(duì)其加密。換言之，在數(shù)據(jù)包所經(jīng)過(guò)的每個(gè)結(jié)點(diǎn)上，都可直接獲取這些數(shù)據(jù)包，并可分析、存儲(chǔ)之。如果數(shù)據(jù)包內(nèi)含有商業(yè)敏感數(shù)據(jù)或個(gè)人隱私信息，則任何人都可輕易解讀。網(wǎng)絡(luò)安全威脅國(guó)家基礎(chǔ)設(shè)施因特網(wǎng)網(wǎng)絡(luò)對(duì)國(guó)民經(jīng)濟(jì)的影響在

2、加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之蒼蠅不叮無(wú)縫的蛋 計(jì)算機(jī)網(wǎng)絡(luò)犯罪及特點(diǎn) 據(jù)倫敦英國(guó)銀行協(xié)會(huì)統(tǒng)計(jì)，全球每年因計(jì)算機(jī)犯罪造成的損失大約為80億美元。而計(jì)算機(jī)安全專家則指出，實(shí)際損失金額應(yīng)在100億美元以上。 網(wǎng)絡(luò)犯罪的特點(diǎn)是，罪犯不必親臨現(xiàn)場(chǎng)、所遺留的證據(jù)很少且有效性低。并且，與此類犯罪有關(guān)的法律還有待于進(jìn)一步完善。 遏制計(jì)算機(jī)犯罪的有效手段是從軟、硬件建設(shè)做起，力爭(zhēng)防患于未然，例如，可購(gòu)置防火墻（firewall），進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)防范意識(shí)等。 計(jì)算機(jī)面臨的安全威脅 安全威脅可以劃分為以下三種類型： 意外的

3、安全威脅 管理的安全威脅 故意的安全威脅 安全威脅的表現(xiàn)形式可能有主動(dòng)攻擊（中斷、篡改、偽造）、被動(dòng)攻擊（截獲）、拒絕服務(wù)、設(shè)置后門、傳播病毒等。木馬、暗門、病毒 計(jì)算機(jī)技術(shù)中的木馬，是一種與計(jì)算機(jī)病毒類似的指令集合，它寄生在普通程序中，并在暗中進(jìn)行某些破壞性操作或進(jìn)行盜竊數(shù)據(jù)。木馬與計(jì)算機(jī)病毒的區(qū)別是，前者不進(jìn)行自我復(fù)制，即不感染其他程序。 暗門（trapdoor）又稱后門（backdoor），指隱藏在程序中的秘密功能，通常是程序設(shè)計(jì)者為了能在日后隨意進(jìn)入系統(tǒng)而設(shè)置的。 病毒（Virus）是一種會(huì)“傳染”其他程序的程序，“傳染”是通過(guò)修改其他程序來(lái)把自身或其變種復(fù)制進(jìn)去完成的。 各種安全威脅

4、都可能成為黑客對(duì)網(wǎng)絡(luò)信息系統(tǒng)攻擊的手段。免受安全威脅的最有效的方法是不要運(yùn)行來(lái)歷不明的程序。 蠕蟲（Worm）是一種通過(guò)網(wǎng)絡(luò)通信功能將自身從一個(gè)節(jié)點(diǎn)發(fā)送到另一個(gè)節(jié)點(diǎn)并啟動(dòng)之的程序。 邏輯炸彈（Logic Bomb）是一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序。 網(wǎng)絡(luò)安全手段之一信息加密 加密指改變數(shù)據(jù)的表現(xiàn)形式。信息加密的目的是確保通信雙方相互交換的數(shù)據(jù)是加密的，即使這些數(shù)據(jù)在傳送過(guò)程中被第三方截獲，也無(wú)法了解該信息的真實(shí)含義。 加密旨在對(duì)第三者保密，如果信息由源點(diǎn)直達(dá)目的地，在傳遞過(guò)程中不會(huì)被任何人接觸到，則無(wú)需加密。 加密與解密“This is a book”稱為明文（plai

5、ntext或cleartext）；“!# $% & *()-”稱為密文（ciphertext）。明文轉(zhuǎn)換成密文的過(guò)程稱為加密（encryption），相反的過(guò)程則稱為解密（decryption）。 加、解密示意圖 算法類型 目前加密數(shù)據(jù)涉及到的算法有秘密鑰匙（secret key）和公用鑰匙（public key）加密算法。 比較著名的有美國(guó)的DES算法，RSA非對(duì)稱公開密鑰算法以及瑞典開發(fā)的IDEA加密算法等。DES算法的原理是使用一套公開算法 及 秘密鑰匙完成對(duì)明文的加密。 秘密鑰匙加密秘密鑰匙加密法又稱為對(duì)稱式加密法或傳統(tǒng)加密法。其特點(diǎn)是加密明文和解讀密文時(shí)使用的是同一把鑰匙。 缺點(diǎn)：由

6、于至少有兩個(gè)人持有鑰匙，所以任何一方都不能完全確定對(duì)方手中的鑰匙是否已經(jīng)透露給第三者。 公用鑰匙加密 公用鑰匙加密法又稱非對(duì)稱式加密，RSA非對(duì)稱公開密鑰算法就是一種公用鑰匙加密法。 公用鑰匙加密法的特色是完成一次加、解密操作時(shí)，需要使用一對(duì)鑰匙。通常，將其中的一個(gè)鑰匙稱為私有鑰匙（private key），由個(gè)人妥善收藏；與之成對(duì)的另一把鑰匙稱為公用鑰匙，公用鑰匙可以像電話號(hào)碼一樣被公之于眾。 X需要傳送數(shù)據(jù)給A，X可將數(shù)據(jù)用A的公用鑰匙加密后再傳給A，A收到后再用私有鑰匙解密。缺點(diǎn)：利用公用鑰匙加密雖然可避免鑰匙共享而帶來(lái)的問(wèn)題，但使用時(shí)要的計(jì)算量較大。 網(wǎng)絡(luò)安全手段之二防火墻 防火墻是用

7、來(lái)連接兩個(gè)網(wǎng)絡(luò)并控制兩個(gè)網(wǎng)絡(luò)之間相互訪問(wèn)的系統(tǒng)，它包括用于網(wǎng)絡(luò)連接的軟件和硬件以及控制訪問(wèn)的方案。主要功能是對(duì)進(jìn)出的所有數(shù)據(jù)進(jìn)行分析，并對(duì)用戶進(jìn)行認(rèn)證，從而防止有害信息進(jìn)入受保護(hù)網(wǎng)，同時(shí)阻止內(nèi)部人員向外傳輸敏感數(shù)據(jù)，為網(wǎng)絡(luò)提供安全保障。 防火墻的基本準(zhǔn)則： 過(guò)濾不安全服務(wù)。 過(guò)濾非法用戶，控制對(duì)特殊站點(diǎn)的訪問(wèn)。 防火墻是一類防范措施的總稱。這類防范措施簡(jiǎn)單的可以只用路由器實(shí)現(xiàn)，復(fù)雜的可以用服務(wù)器甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。它可以在IP層設(shè)置屏障，也可以用應(yīng)用層軟件來(lái)阻止外來(lái)攻擊。 防火墻按照功能及工作方式可分為兩種：包過(guò)濾防火墻 和 應(yīng)用網(wǎng)關(guān)。 防火墻的類型 1. 包過(guò)濾防火墻 包過(guò)濾（packet

8、filter）防火墻就是對(duì)收到的所有IP數(shù)據(jù)包進(jìn)行檢查，根據(jù)事先制訂好的一組過(guò)濾規(guī)則來(lái)判斷收到的IP數(shù)據(jù)包的源地址或目的地址，以決定是否允許該IP包通過(guò)。 包過(guò)濾防火墻 包過(guò)濾防火墻是一種基于網(wǎng)絡(luò)層的安全技術(shù)，對(duì)于應(yīng)用層上的黑客行為無(wú)能為力。這一類的防火墻產(chǎn)品主要有防火墻路由器、在充當(dāng)路由器的計(jì)算機(jī)上運(yùn)行的防火墻軟件等。 包過(guò)濾路由器是由路由器和過(guò)濾器共同完成對(duì)外界計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)的限制，也可以指定或限制內(nèi)部網(wǎng)絡(luò)訪問(wèn)Internet。 路由器只對(duì)過(guò)濾器上的特定端口上的數(shù)據(jù)通信加以路由，過(guò)濾器的主要功能就是在網(wǎng)絡(luò)層中根據(jù)IP源地址、IP目的地址、端口號(hào)，來(lái)確定它是否允許該數(shù)據(jù)包通過(guò)。 包過(guò)濾路

9、由器的優(yōu)點(diǎn)就是它僅在網(wǎng)絡(luò)層進(jìn)行操作，這種操作對(duì)于應(yīng)用層的用戶來(lái)說(shuō)是透明的，不要求用戶與服務(wù)器在應(yīng)用操作系統(tǒng)及程序方面做任何的修改。 包過(guò)濾路由器防火墻的缺點(diǎn)： 1、配置包過(guò)濾規(guī)則較復(fù)雜； 2、只能控制到主機(jī)，不涉及數(shù)據(jù)包內(nèi)容檢查； 3、容易遭到破壞。防火墻的類型2. 應(yīng)用網(wǎng)關(guān) 應(yīng)用網(wǎng)關(guān)（application gateway），即代理服務(wù)器（proxy）。它是為內(nèi)部用戶提供一種能夠安全地訪問(wèn)外部服務(wù)的機(jī)制。 內(nèi)部網(wǎng)絡(luò)的一臺(tái)計(jì)算機(jī)要訪問(wèn)Internet上某一服務(wù)器的信息：1）在瀏覽器中鍵入U(xiǎn)RL地址。2）瀏覽器發(fā)出訪問(wèn)WWW信息的要求，代理服務(wù)器收到請(qǐng)求。3）代理服務(wù)器檢查網(wǎng)絡(luò)管理員所制定的規(guī)則

10、，以確認(rèn)該計(jì)算機(jī)有權(quán)訪問(wèn)WWW，而且要去的站點(diǎn)是不被禁止的。代理服務(wù)器將URL送到Internet上。4）當(dāng)所需信息從Internet上返回后先送到代理服務(wù)器，代理服務(wù)器收到頁(yè)面后給它們加上地址送到發(fā)出請(qǐng)求的計(jì)算機(jī)上去。代理服務(wù)器的主要功能 （1）提供緩沖功能。對(duì)經(jīng)常訪問(wèn)的地址創(chuàng)建緩沖，可提高熱門信息的訪問(wèn)效率。（2）對(duì)用戶進(jìn)行分級(jí)管理。設(shè)置不同用戶的不同級(jí)別的訪問(wèn)權(quán)限，增強(qiáng)網(wǎng)絡(luò)的安全性。（3）實(shí)施用戶驗(yàn)證和記帳功能。非法用戶無(wú)權(quán)使用代理服務(wù)器，可以對(duì)用戶的訪問(wèn)時(shí)間、訪問(wèn)地點(diǎn)、信息流量進(jìn)行跟蹤和統(tǒng)計(jì)。（4）節(jié)省IP資源。采用代理服務(wù)器訪問(wèn)Internet時(shí)，只需要給代理服務(wù)器一個(gè)真實(shí)的IP地址

11、，而內(nèi)部的網(wǎng)絡(luò)使用虛擬的網(wǎng)絡(luò)地址。典型的Internet防火墻 通常情況下，包過(guò)濾防火墻與應(yīng)用網(wǎng)關(guān)可以一起配合使用，這樣既為內(nèi)部的主機(jī)訪問(wèn)外部信息提供一個(gè)安全的數(shù)據(jù)通道，同時(shí)又能有效地防止外部主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)。 防火墻 防火墻從實(shí)現(xiàn)方式上可分為硬件防火墻和軟件防火墻兩種，從應(yīng)用領(lǐng)域可分為網(wǎng)絡(luò)防火墻和個(gè)人防火墻。前面介紹的多為硬件防火墻，用于保證網(wǎng)絡(luò)接口處的安全。個(gè)人用戶安裝在個(gè)人計(jì)算機(jī)或服務(wù)器上的是個(gè)人防火墻軟件，保證計(jì)算機(jī)或服務(wù)器的網(wǎng)絡(luò)連接安全。 個(gè)人防火墻 常見的個(gè)人防火墻產(chǎn)品包括金山網(wǎng)鏢、江民黑客防火墻、瑞星個(gè)人防火墻、天網(wǎng)防火墻、費(fèi)爾防火墻、Norton Personal Fi

12、rewall（諾頓）、Zone Alarm Pro等。這些軟件功能都大同小異，能基本滿足用戶對(duì)防范惡意攻擊的需求，不過(guò)它們?cè)诠δ?、資源消耗、智能化、易用性上有所區(qū)別。天網(wǎng)防火墻 天網(wǎng)個(gè)人版防火墻安全級(jí)別分為高、中、低三級(jí)，默認(rèn)的安全等級(jí)為中級(jí)。天網(wǎng)防火墻天網(wǎng)防火墻的應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)規(guī)則是為了彌補(bǔ)傳統(tǒng)基于IP包過(guò)濾的防火墻無(wú)法控制內(nèi)部應(yīng)用程序的缺陷而設(shè)計(jì)的。它是專門用于對(duì)用戶計(jì)算機(jī)內(nèi)部的應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)做審核，使得潛藏于計(jì)算機(jī)內(nèi)部的后門軟件或者非法進(jìn)程無(wú)法對(duì)用戶的計(jì)算機(jī)造成危害。 天網(wǎng)防火墻天網(wǎng)個(gè)人版防火墻把網(wǎng)絡(luò)訪問(wèn)情況和應(yīng)用程序進(jìn)程執(zhí)行情況結(jié)合起來(lái)，監(jiān)控“應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)狀態(tài)”。天網(wǎng)防火墻天網(wǎng)

13、個(gè)人版防火墻會(huì)把所有不符合規(guī)則的數(shù)據(jù)包攔截并且記錄下來(lái)，每條記錄從左到右分別是發(fā)送/接收時(shí)間、發(fā)送IP地址、本機(jī)通訊端口、標(biāo)志位。 防火墻并非萬(wàn)能，影響網(wǎng)絡(luò)安全的因素很多，對(duì)于以下情況它無(wú)能為力：（1）不能防范繞過(guò)防火墻的攻擊。 （2）一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸。 （3）難以避免來(lái)自內(nèi)部的攻擊。 網(wǎng)絡(luò)病毒及防殺 Internet/Intranet的迅速發(fā)展和廣泛應(yīng)用給病毒增加了新的傳播途徑，網(wǎng)絡(luò)將正逐漸成為病毒的第一傳播途徑。 Internet/Intranet帶來(lái)了兩種不同的安全威脅：一種威脅來(lái)自文件下載，一些被瀏覽的或是通過(guò)FTP下載的文件中可能存在病毒；另一種威脅

14、來(lái)自電子郵件。 常見的網(wǎng)絡(luò)病毒 電子郵件病毒。有毒的通常不是郵件本身，而是其附件。 Java程序病毒。Java是目前網(wǎng)頁(yè)上最流行的程序設(shè)計(jì)語(yǔ)言，由于可以跨平臺(tái)執(zhí)行，不論是Windows 9X/NT還是Unix工作站，都可被Java病毒感染。 ActiveX病毒。當(dāng)使用者瀏覽含有病毒的網(wǎng)頁(yè)時(shí)，就可能通過(guò)ActiveX控件將病毒下載至本地計(jì)算機(jī)上。 網(wǎng)頁(yè)病毒。Java及ActiveX病毒大部分都保存在網(wǎng)頁(yè)中，網(wǎng)頁(yè)也傳染病毒。 網(wǎng)絡(luò)病毒的特點(diǎn) 傳染方式多 傳染速度快 清除難度大 破壞性強(qiáng) 激發(fā)形式多樣 潛在性 在網(wǎng)絡(luò)環(huán)境中，計(jì)算機(jī)病毒具有如下特點(diǎn): 網(wǎng)絡(luò)計(jì)算機(jī)病毒的防治 加強(qiáng)網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全意識(shí)，對(duì)內(nèi)部網(wǎng)與外界進(jìn)行的數(shù)據(jù)交換進(jìn)行有效的控制和管理，同時(shí)堅(jiān)決抵制盜版軟件； 以網(wǎng)為本，多層防御，有選擇地加載保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)防病毒產(chǎn)品。 引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身。因此，防范網(wǎng)絡(luò)病毒應(yīng)從兩方面著手： 網(wǎng)絡(luò)防病毒軟件的應(yīng)用 網(wǎng)絡(luò)防病毒軟件的基本功能是：對(duì)文件服務(wù)器和工作站進(jìn)行病毒掃描、檢查、隔離、報(bào)警。 網(wǎng)絡(luò)防病毒軟件一般允許用戶設(shè)置三種掃描方式：實(shí)時(shí)掃描、預(yù)置掃描和人工掃描。 一般主要針對(duì)網(wǎng)絡(luò)工作站和服務(wù)器使用網(wǎng)絡(luò)防病