辦公自動化-計算機網(wǎng)絡安全

1、第9章 計算機網(wǎng)絡安全9.1 計算機網(wǎng)絡安全概述9.1.1安全基礎知識計算機網(wǎng)絡安全的基本要素機密性：網(wǎng)絡信息不泄露給未授權(quán)用戶。完整性：收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)應相同，且僅被授權(quán)者才能修改數(shù)據(jù)。可用性：被授權(quán)者在需要時可以訪問相應數(shù)據(jù)，但不能占用所有資源阻礙授權(quán)者的正常工作。可控性：可以控制被授權(quán)者使用的所有資源。可審查性：對網(wǎng)絡中的用戶和其他實體進行審查和監(jiān)控，當出現(xiàn)安全問題是可以提供調(diào)查依據(jù)和手段。計算機網(wǎng)絡安全策略法律：法律和法規(guī)手段是基礎技術(shù)：高技術(shù)管理是根本保障管理：加強內(nèi)部管理、建立設計和跟蹤體系。主要的網(wǎng)絡安全問題 1計算機系統(tǒng)安全 計算機作為一種信息社會中不可缺少的資源和財產(chǎn)應

2、當給予保護，以防止由于竊賊、侵入者和其他各種原因造成的損失。如何保護好計算機系統(tǒng)、設備以及數(shù)據(jù)的安全是一項長期艱巨的任務。 由于計算機和信息產(chǎn)業(yè)的快速成長以及對網(wǎng)絡和全球通信的日益重視，計算機安全正變得更為重要。然而，計算機的安全一般來說是較為脆弱的，不管是一個詭計多端的黑客還是一群聰明的學生，或者是一個不滿的雇員所造成的對計算機安全的損害帶來的損失往往是巨大的，影響是嚴重的。 計算機系統(tǒng)安全的主要目標是保護計算機資源免受毀壞、替換、盜竊和丟失。這些計算機資源包括計算機設備、存儲介質(zhì)、軟件、計算機輸出材料和數(shù)據(jù)。 2數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫安全性是指數(shù)據(jù)庫的任何部分都不允許受到惡意侵害，或未經(jīng)授

3、權(quán)的存取與修改。數(shù)據(jù)庫是網(wǎng)絡系統(tǒng)的核心部分，有價值的數(shù)據(jù)資源都存放在其中，這些共享的數(shù)據(jù)資源既要面對必需的可用性需求，又要面對被篡改、損壞和被竊取的威脅。 通常，數(shù)據(jù)庫的破壞來自下列四個方面：系統(tǒng)故障；并發(fā)所引起的數(shù)據(jù)不一致；轉(zhuǎn)入或更新數(shù)據(jù)庫的數(shù)據(jù)有錯誤，更新事務時未遵守保持數(shù)據(jù)庫一致的原則；人為的破壞，例如數(shù)據(jù)被非法訪問，甚至被篡改或破壞。 3計算機病毒的防治 計算機病毒的防御對網(wǎng)絡管理員來說是一個望而生畏的任務。特別是隨著病毒出現(xiàn)和更新速度越來越快，形勢變得愈加嚴峻。目前，幾千種不同的病毒無時不對計算機和網(wǎng)絡的安全構(gòu)成威脅。因此，了解和控制病毒威脅的需要顯得格外的重要，任何有關(guān)網(wǎng)絡數(shù)據(jù)完整

4、性和安全性的討論都應考慮到病毒。 計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其他系統(tǒng)。它通常隱藏在其他看起來無害的程序中，能夠進行自身復制并將其插入其他的程序中，執(zhí)行惡意的行動。 檢測的原理主要是基于下列四種方法：將被檢測對象與原始備份進行對照所使用的比較法、利用病毒特征代碼串的搜索法、病毒體內(nèi)特定位置的特征字識別法以及運用反匯編技術(shù)分析被檢測對象，確認是否為病毒的分析法。 4網(wǎng)絡站點的安全 影響網(wǎng)絡站點安全的主要因素包括： （1）認證環(huán)節(jié)薄弱性。Internet的許多事故的起源是因為使用了薄弱的、靜態(tài)的口令。（2）系統(tǒng)易被監(jiān)視性。當用戶使用Telnet或文

5、件傳輸協(xié)議（File Transfer Protocol，簡稱FTP）連接到遠程主機上的賬戶時，在Internet上傳輸?shù)目诹钍菦]有加密的。（3）易被欺騙性。主機的IP地址被假定為是可用的，TCP和UDP服務相信這個地址。問題在于，如果攻擊者的主機冒充一個被信任的主機或客戶就危險了。 （4）有缺陷的局域網(wǎng)服務。一些數(shù)據(jù)庫（例如口令文件）以分布式管理，允許系統(tǒng)共享文件和數(shù)據(jù)。但這些服務帶來了不安全因素，可以被有經(jīng)驗的闖入者利用以獲得訪問權(quán)。（5）復雜的設備和控制。對主機系統(tǒng)的訪問控制配置通常很復雜而且難以驗證其正確性。因此，偶然的配置錯誤會使闖入者獲取訪問權(quán)。 （6）主機的安全性無法估計。主機系

6、統(tǒng)的安全性無法很好地估計，隨著每個站點主機數(shù)量的增加，確保每臺主機的安全性都處于高水平的能力卻在下降。計算機網(wǎng)絡安全威脅信息泄漏與丟失重要和敏感數(shù)據(jù)泄漏丟失（泄漏：黑客、網(wǎng)絡偵聽、衛(wèi)星和手機等無線設備傳輸截留、內(nèi)嵌芯片竊聽和傳輸；外因造成丟失）非授權(quán)訪問冒用合法身份訪問資源、強行非授權(quán)訪問資源拒絕服務攻擊連續(xù)不斷對服務器干擾，執(zhí)行無關(guān)程序，造成網(wǎng)絡癱瘓破壞數(shù)據(jù)完整性對數(shù)據(jù)庫惡意添加、刪除和修改數(shù)據(jù)利用網(wǎng)絡傳播不良信息眾所周知（近期公安部嚴打手機傳播不良信息）計算機安全技術(shù)防火墻加密數(shù)字簽名審核監(jiān)督病毒防治Cookies網(wǎng)站服務器將少量數(shù)據(jù)保存到本地機硬盤，它可以記載用戶的ID和密碼，較快地登陸

7、網(wǎng)絡（跳過ID和PassWord）查看Cookies。C:/document and settings/用戶名/CookiesCookies設置IE/工具/Internet選項/隱私。調(diào)整安全級別即可相應調(diào)整Cookies設置通過“Internet選項/設置”可以設置和查看Cookies文件1防火墻 防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)系統(tǒng)的安全政策控制出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。9.3.1 防火墻防火墻主要包括五部分：安全操作系統(tǒng)；過濾器；網(wǎng)關(guān)；域

8、名服務；E-mail處理(如圖所示)。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設置兩個內(nèi)、外過濾器。外過濾器保護網(wǎng)關(guān)不受攻擊，網(wǎng)關(guān)提供中繼服務，輔助過濾器控制業(yè)務流，而內(nèi)過濾器在網(wǎng)關(guān)被攻破后提供對內(nèi)部網(wǎng)絡的保護。 2防火墻的功能（1）對出入網(wǎng)絡的訪問行為進行管理和控制 （2）過濾出入網(wǎng)絡的數(shù)據(jù)，強化安全策略 （3）對網(wǎng)絡存取和訪問進行監(jiān)控審計 （4）對不安全的服務進行限制或者攔截，防止內(nèi)部信息的外泄 (1)網(wǎng)絡級防火墻 網(wǎng)絡級防火墻又稱為包過濾防火墻，一般是基于源地址和目的地址、應用或協(xié)議以及每個IP包的端口來做出網(wǎng)絡包通過與否的判斷。 (2)應用級網(wǎng)關(guān) 應用級網(wǎng)關(guān)就是常說的“代理服務器”，它能夠檢查進出的數(shù)

9、據(jù)包，通過網(wǎng)關(guān)復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。 3防火墻的分類 1包過濾原理 包過濾在IP層實現(xiàn)，由路由器來完成，它根據(jù)包(報文)的源IP地址、目的IP地址、協(xié)議類型(TCP包、UDP包、ICMP包)、源端口、目的端口及包傳遞方向等包頭信息來判斷是否允許包通過，并形成一套包過濾規(guī)則。9.3.2 防火墻的工作原理包過濾是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾邏輯，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址以及數(shù)據(jù)包所使用的端口，確定是否允許該類數(shù)據(jù)包通過。 在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡上，所有往來的信息都被分割成許許多多一

10、定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。當這些包被送上互聯(lián)網(wǎng)時，路由器會讀取接收者的IP，并選擇一條物理線路發(fā)送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后，會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。 過濾數(shù)據(jù)包的類型 （1）ICMP消息：網(wǎng)絡層的IP控制和狀態(tài)消息，它的包頭包含了源IP地址、目的IP地址、ICMP協(xié)議標識符和ICMP消息類型。 （2）UDP消息：UDP是一個無狀態(tài)不可靠的傳輸發(fā)送協(xié)議。它的包頭

11、包含了源IP地址、目的IP地址、UDP協(xié)議類型以及源和目的服務端口號。 （3）TCP消息：TCP是一種面向連接的可靠的傳輸發(fā)送協(xié)議，它的包頭包含了源IP地址、目的IP地址、TCP協(xié)議消息類型、源和目的服務端口、序列號和應答號以及用來產(chǎn)生和維護可靠連接的控制標志。 這類防火墻的缺點是不能對數(shù)據(jù)內(nèi)容進行控制；很難準確地設置包過濾器，缺乏用戶級的授權(quán)；數(shù)據(jù)包的源地址、目的地址以及IP端口號都在數(shù)據(jù)包的頭部，很有可能被冒充或竊取，而非法訪問一旦突破防火墻，即可對主機上的系統(tǒng)和配置進行攻擊；可能還有其他方法繞過防火墻進入網(wǎng)絡，例如撥入連接。但這個并不是防火墻自身的缺點，而是不應該在網(wǎng)絡安全上單純依賴防火

12、墻的原因。 (1) 應用代理服務器 應用代理服務器在網(wǎng)絡應用層提供授權(quán)檢查及代理服務。(2) 回路級代理服務器回路層代理是建立在傳輸層上的一種代理方法。通常在建立連接之前，由代理服務器先檢查連接會話請求，再建立連接，并一直監(jiān)控連接狀態(tài)。當連接打開時，回路層代理會將IP包在用戶應用程序和Internet服務之間進行轉(zhuǎn)發(fā)。如果符合安全規(guī)則，則正常轉(zhuǎn)發(fā)；否則，IP包數(shù)據(jù)不得通過 2網(wǎng)關(guān)原理代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡層攔截所有的信息流，代理技術(shù)是針對每一個特定應用都有一個程序。代理是企圖在應用層實現(xiàn)防火墻的功能。代理的主要特點是有狀態(tài)性。代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供

13、與應用相關(guān)的狀態(tài)和部分傳輸方面的信息，代理也能自理和管理信息。 應用代理防火墻的缺點主要體現(xiàn)在： （1）代理速度比包過濾防火墻慢（2）代理對用戶不透明。（3）對于每項服務代理可能要求不同的服務器。（4）明顯的性能下降。（5）代理不能改進底層協(xié)議的安全性1屏蔽路由器 這是防火墻最基本的構(gòu)件。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。 2雙穴主機網(wǎng)關(guān) 用一臺裝有兩塊網(wǎng)卡的堡壘主機做防火墻。兩塊網(wǎng)卡各自與受保護網(wǎng)和外部網(wǎng)相連。3參數(shù)子網(wǎng) 在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。9.3.3 防火墻的體系結(jié)構(gòu) 加

14、密技術(shù)數(shù)據(jù)加密的基本概念明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。 我們用M、C分別表示明文、密文，用K1、K2表示加、解密密鑰，加、解密算法分別用E、D來代表。于是加密/解密過程可以表示如下： 加密是通過特定的算法把可讀或可處理的信息轉(zhuǎn)換為不可讀信息的技術(shù)。加密技術(shù)可以有效的保護存儲在存儲媒體上或在不可信通訊路線上傳輸?shù)拿舾袛?shù)據(jù)，同時，它也可以保護敏感數(shù)據(jù)不被未經(jīng)授權(quán)者訪問。當然，任何技術(shù)都有其局限性，加密技術(shù)也一樣，只要有足夠時間、足夠資源和充分決心，攻擊者可以破解大部分的加密算法，還原出加密過的信息。因此，我們應該認識到，要使加密過的信息不

15、可破解是不現(xiàn)實的，使用加密技術(shù)是為了使破解加密信息所需的資源和時效性遠遠超過被加密信息本身的價值。加密系統(tǒng)常用的加密算法：常見的加密算法可以分成三類，對稱加密算法，非對稱加密算法和Hash算法對稱加密，指加密和解密使用相同密鑰的加密算法。對稱加密算法的優(yōu)點在于加解密的高速度和使用長密鑰時的難破解性。假設兩個用戶需要使用對稱加密方法加密然后交換數(shù)據(jù)，則用戶最少需要2個密鑰并交換使用，如果企業(yè)內(nèi)用戶有n個，則整個企業(yè)共需要n(n-1) 個密鑰，密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢。對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的，他們通常會有意無

16、意的把密鑰泄漏出去如果一個用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個企業(yè)共用一個加密密鑰，那整個企業(yè)文檔的保密性便無從談起。 常見的對稱加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES非對稱加密，指加密和解密使用不同密鑰的加密算法，也稱為公私鑰加密。假設兩個用戶要加密交換數(shù)據(jù)，雙方交換公鑰，使用時一方用對方的公鑰加密，另一方即可用自己的私鑰解密。如果企業(yè)中有n個用戶，企業(yè)需要生成n對密鑰，并分發(fā)n個公鑰。由于公鑰是可以公開的，用戶只要保管好自己的私鑰即可，因此加密密鑰的分發(fā)將變得十分簡單。同時，由于每個用戶的私鑰是唯一

17、的，其他用戶除了可以可以通過信息發(fā)送者的公鑰來驗證信息的來源是否真實，還可以確保發(fā)送者無法否認曾發(fā)送過該信息。非對稱加密的缺點是加解密速度要遠遠慢于對稱加密，在某些極端情況下，甚至能比對稱加密慢上1000倍。 常見的非對稱加密算法有：RSA、ECC（移動設備用）、Diffie-Hellman、El Gamal、DSA（數(shù)字簽名用）Hash算法。Hash算法特別的地方在于它是一種單向算法，用戶可以通過Hash算法對目標信息生成一段特定長度的唯一的Hash值，卻不能通過這個Hash值重新獲得目標信息。因此Hash算法常用在不可還原的密碼存儲、信息完整性校驗等。 常見的Hash算法有MD2、MD4、

18、MD5、HAVAL、SHA 加密系統(tǒng)在企業(yè)中有三個基本的部署方向分別是存儲、傳輸和認證。 存儲方面，加密系統(tǒng)的主要作用是通過加密來保證敏感數(shù)據(jù)不被未授權(quán)者訪問和通過Hash算法保證數(shù)據(jù)的完整性，加密常用的算法是3DES/Blowfish/AES，在操作的數(shù)據(jù)量比較小時，也常常采用RSA等分對稱加密算法，校驗常用的算法是MD5。 目前市場上常見的產(chǎn)品包括軟件實現(xiàn)的對特定目標（文件、文件夾、數(shù)據(jù)庫等）和全盤加密，如商業(yè)的PGP、開源的TrueCrypt、GPG等，及集成加密芯片的加密存儲設備，如Seagate等廠商的產(chǎn)品。 傳輸加密系統(tǒng)的主要作用是保證用戶傳輸?shù)臄?shù)據(jù)在非可信傳輸渠道傳輸時不受攻擊者

19、的威脅，并保證傳輸數(shù)據(jù)的完整性和真實性。應用在這方面的加密系統(tǒng)比用在存儲方面的更復雜一些，還需要考慮密鑰的分發(fā)問題，所以傳輸方面的加密系統(tǒng)的一種常見形式是同時使用對稱加密和非對稱加密算法，先通過非對稱加密來加密分發(fā)對稱加密的密鑰，再用對稱加密的方法來保證數(shù)據(jù)處理和傳輸?shù)乃俣?。在傳輸方面的加密系統(tǒng)還按連接加密的網(wǎng)絡層次分為連接加密和端對端加密，連接加密會把特定數(shù)據(jù)連接的所有數(shù)據(jù)進行加密，通常用在有較高安全級別的通訊中，端對端加密則只加密數(shù)據(jù)本身，包括路由信息等網(wǎng)絡數(shù)據(jù)并不進行加密加密系統(tǒng)包括軟件實現(xiàn)的各種加密隧道如SSH、IPsec、VPN等應用級別的端對端加密如PGP、HTTPS、SMIME、

20、PEM等硬件方面則有各種帶VPN功能的防火墻、帶加密功能的網(wǎng)卡等。認證方面，加密系統(tǒng)的主要作用是確認信息發(fā)送者的身份、校驗收到信息的完整性以及提供不可否認性。這些功能的實現(xiàn)依賴于非對稱加密和Hash算法的結(jié)合使用，以公鑰對比對方私鑰的簽名來確認信息發(fā)送者的身份，用Hash算法對信息進行校驗。目前認證方面的加密系統(tǒng)以軟件實現(xiàn)為主，如各種PKI、PGP、GPG等，少量的加密系統(tǒng)實現(xiàn)中還使用寫入私鑰或安全證書的智能卡、閃存等來增加加密系統(tǒng)的安全性。數(shù)字簽名的工作原理如圖所示，其基本過程是：（1）發(fā)送方通過對原始消息進行散列運算，生成一個消息摘要A。 （2）發(fā)送方使用自己的私鑰對原始數(shù)據(jù)的消息摘要進行

21、加密，得到數(shù)字簽名，并將這個簽名與原始信息一起傳送給接收方。 （3）接收方首先從接收到的原始消息中計算出的消息摘要B。 （4）接收方使用發(fā)送方的公鑰對數(shù)字簽名解密后得到消息摘要A，然后將其與自己計算出來的消息摘要B進行對比，如果兩者相同，表示信息確實是該發(fā)送方發(fā)出的，而且在傳輸中未被修改，以此來確認原始信息在傳輸過程中是否發(fā)生變化。 數(shù)字簽名與書面簽名有相同之處。它們都可以確認信息是否由簽名者發(fā)送的，且能夠判定信息在傳輸過程中是否做過任何修改。它們的區(qū)別在于：書面簽名是模擬的，且因人而異；數(shù)字簽名是不僅與簽名者的私鑰有關(guān)，而且與報文的內(nèi)容有關(guān)，它是0和1的字符串，因消息而異，不能將簽名者對一份

22、報文的簽名復制到另一份報文上。這樣，數(shù)字簽名既可以用來防止待傳輸信息因易于修改而被未授權(quán)第三方隨意處理，又可以杜絕假冒他人身份發(fā)送信息。 數(shù)字簽名與消息認證的共同點包括：都能使收方驗證消息發(fā)送方及所發(fā)消息內(nèi)容的完整性。當收發(fā)雙方之間無爭議時，都能防止無關(guān)第三方對機密信息的破壞。它們的區(qū)別在于：當收發(fā)雙方之間發(fā)生糾紛時，單純用消息認證技術(shù)無法解決，必須借助于數(shù)字簽名技術(shù)。 公鑰基礎設施 在網(wǎng)絡通信中，為保證傳送信息和交互活動的真實可靠，需要有一種機制來驗證參與各方身份的合法性。同時，對于數(shù)字簽名和非對稱密鑰加密技術(shù)來說，面臨著公開密鑰的分發(fā)問題，公鑰基礎設施（Public Key Infrast

23、ructure，簡稱PKI）可以有效地解決這個問題，它通過對數(shù)字證書的使用和管理，來提供全面的公鑰加密和數(shù)字簽名服務。通過PKI，可以將公鑰與合法擁有者的身份綁定起來，從而建立并維護一個可信的網(wǎng)絡環(huán)境，并在不同的應用中使用加密和簽名服務。 PKI的基本組成 PKI的主要用途是通過自動管理密鑰和證書，為用戶建立起一個安全的網(wǎng)絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性和不可否認性。 一個完整的PKI系統(tǒng)的組成如圖所示，它應當具備權(quán)威認證中心、數(shù)字證書庫、密鑰備份和恢復系統(tǒng)、證書撤銷系統(tǒng)和應用程序接口（Application Programm

24、ing Interface，簡稱API）系統(tǒng)等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。 認證中心（CA）也稱證書中心.它是PKI的核心，也是PKI的信任基礎。它承擔著網(wǎng)上安全交易認證服務，能簽發(fā)數(shù)字證書，并能確認用戶身份。認證中心通常是企業(yè)性的服務機構(gòu)，它提供公鑰加密和數(shù)字簽名服務的平臺，采用PKI框架管理密鑰和證書。任何想發(fā)放自己公鑰的用戶，可以去認證中心申請自己的證書。數(shù)字證書如同現(xiàn)實生活中的身份證一樣，可以在網(wǎng)絡環(huán)境中確認組織或個人的身份。認證中心在驗證用戶的真實身份后，頒發(fā)包含用戶公鑰的數(shù)字證書，它包含用戶的真實身份，并證實用戶公鑰的有效期和作用范圍（用于交換密鑰還是數(shù)

25、字簽名）。其他用戶只要能驗證證書是真實的，并且信任頒發(fā)證書的CA，就可以確認用戶的公鑰，實現(xiàn)合法用戶的身份認證。 2數(shù)字證書庫數(shù)字證書庫是開放網(wǎng)絡上的一種分布式公共信息庫，用于存放和檢索認證中心已簽發(fā)的數(shù)字證書和CRL。用戶可由此獲得其他用戶的證書和公鑰。構(gòu)造數(shù)字證書庫可采用支持輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol，簡稱LDAP）的目錄系統(tǒng)，用戶通過LDAP來訪問證書庫。目錄系統(tǒng)必須確保數(shù)字證書庫的完整性，防止偽造和篡改證書。 證書庫也可由Web、FTP或X.500目錄來實現(xiàn)。由于證書庫中存取對象是證書和CRL，其完整性由數(shù)字簽名保證，

26、因此對證書庫的操作可在無特殊安全保護的信道上傳輸。 3密鑰備份和恢復系統(tǒng)如果用戶丟失了解密密鑰，則無法對接收到的報文進行解密，這會造成交易信息的丟失。為解決這個問題，PKI中的密鑰備份和恢復系統(tǒng)提供了這種對密鑰的處理機制。但密鑰的備份與恢復必須由可信的機構(gòu)（例如認證中心CA）來完成，且密鑰的備份與恢復只能針對解密密鑰，簽名私鑰為確保其惟一性不能夠做備份。 4證書撤銷系統(tǒng) 證書撤銷處理系統(tǒng)是PKI的一個重要組件。與日常生活中的各種身份證件一樣，數(shù)字證書也存在有效期，且在有效期以內(nèi)也可能被撤銷，如用戶密鑰介質(zhì)丟失或用戶身份變更等。為實現(xiàn)這一點，PKI必須提供撤銷證書的一系列機制。撤銷證書有三種方法

27、：撤銷一個或多個主體的證書；撤銷由某個認證中心簽發(fā)的所有證書；撤銷由某一對密鑰簽發(fā)的所有證書。 撤銷證書一般通過將證書加入證書撤銷列表（CRL）來完成。通常情況下，系統(tǒng)由認證中心CA負責創(chuàng)建并維護一張及時更新的CRL，用戶在驗證數(shù)字證書時首先檢查該證書是否在CRL之列。CRL一般存放在目錄系統(tǒng)中。證書的撤銷處理必須在安全且可驗證的情況下進行，系統(tǒng)要維護CRL的完整性。 5應用程序接口系統(tǒng)公鑰基礎設施的功能在于能夠為用戶提供方便的信息加密和數(shù)字簽名等安全服務，因此一個完善的公鑰基礎設施必須提供良好的應用接口系統(tǒng)，從而使得各種各樣的應用在與PKI交互時能夠達到安全、可信的目標，確保開放網(wǎng)絡環(huán)境的安

28、全性、完整性和易用性。9.4.1計算機病毒的概念 1何謂計算機病毒 計算機病毒是一種通過外存儲器和網(wǎng)絡等作為媒介進行傳播擴散，能“傳染”其他程序的程序。 計算機病毒具有潛伏性、傳染性和破壞作用。 2計算機病毒的分類 (1)外殼病毒：病毒將它們自己包裹在主程序的四周，對原來的程序不做修改。 (2)入侵病毒：就是把病毒程序的一部分插入到主程序，級別比較高。 (3)操作系統(tǒng)病毒：工作時把它們自己的一部分來代替操作系統(tǒng)的部分功能，屬于高級別的。 (4)源碼病毒：最高級，專門針對某一種編程語言而寫的，在這種語言寫出來的程序被編譯之前將它的代碼加入進去。 3網(wǎng)絡病毒 網(wǎng)絡病毒就是在網(wǎng)絡環(huán)境下生存的病毒，通

29、過E-mail、文件下載等方式傳播，新的特點： (1)感染速度快。 (2)擴散面廣。 (3)傳播的形式復雜多樣。 (4)難于徹底清除。 (5)破壞性大。 4感染病毒后的癥狀 (1)機器不能正常啟動。 (2)程序運行速度變慢。 (3)內(nèi)存空間迅速變小。 (4)改變文件內(nèi)容和長度。 (5)文件莫名其妙的出現(xiàn)和消失，文件名字忽然無故被更改。 (6)發(fā)出“奇怪的”顯示和聲音效果。 (7)經(jīng)常出現(xiàn)“死機”現(xiàn)象。 (8)外部設備工作異常。9.4.2 網(wǎng)絡病毒分析 1特洛伊木馬病毒(Trojans) 特洛伊木馬(簡稱木馬病毒)，也叫黑客程序或后門病毒。屬于文件型病毒的一種，他們一般由服務端病毒程序和客戶端控

30、制程序等兩個部分組成。 木馬病毒工作包括以下六個環(huán)節(jié)：配置木馬、傳播木馬、運行木馬、信息泄露、建立連接、遠程控制。9.4防計算機病毒技術(shù) 2電子郵件病毒 通過電子郵件形式傳播的計算機病毒，稱之為“電子郵件病毒”。電子郵件病毒和一般病毒一樣可以感染一般的系統(tǒng)文件和通過一般的途徑傳播，但電子郵件病毒還可感染電子郵件程序的通訊簿，并自動向通訊簿中的其他人發(fā)送含病毒的郵件。9.4防計算機病毒技術(shù) 3蠕蟲病毒 蠕蟲病毒通過網(wǎng)絡上的各種手段進行傳播，并以受感染的主機作為基地進行自我復制和擴散，消耗主機資源，最后可導致主機的癱瘓。 4惡意代碼與流氓軟件(插件) 一類是惡意廣告軟件。 一類是間諜軟件。 另一類

31、就是IE插件的形式強制安裝，9.4防計算機病毒技術(shù)9.2.1 計算機病毒預防和清除方法對付計算機病毒首先要預防，其次就是要有一套功能完善的殺毒軟件。病毒預防常見預防方式（P.165）計算機病毒檢測與刪除人工消除法專業(yè)技術(shù)人員所為。如對引導扇區(qū)感染病毒可用正常的引導程序覆蓋它。僅當一種病毒剛出現(xiàn)時，沒有可以殺毒的軟件時采取的方法軟件自動消除法及殺毒軟件。種類繁多9.2.2 常用殺毒軟件瑞星金山諾頓NOD等所有殺毒軟件要及時升級 9.4防計算機病毒技術(shù)黑客攻擊網(wǎng)絡系統(tǒng)的方法主要包括以下幾種：基于口令的攻擊、網(wǎng)絡偷窺報文劫持攻擊利用受托訪問攻擊IP欺騙攻擊等9.6防黑客攻擊技術(shù)8.6.1黑客攻擊過程

32、 黑客對網(wǎng)絡系統(tǒng)的攻擊可分為三個階段：收集系統(tǒng)信息、探測系統(tǒng)安全弱點、實施攻擊。 1收集信息 收集信息主要是收集待攻擊目標的數(shù)據(jù)庫及駐留在目標主機系統(tǒng)上的相關(guān)資料。 黑客收集信息常用到一些公開協(xié)議和工具軟件。 2探測安全弱點 探測安全弱點就是尋求目標系統(tǒng)的安全漏洞，以便于下一步的攻擊。 黑客常使用程序自動掃描連接在網(wǎng)絡上的目標主機。 3實施攻擊 實施攻擊的目的是獲取目標系統(tǒng)的重要信息，或從暗中控制目標系統(tǒng)，或?qū)δ繕讼到y(tǒng)進行短暫或長期的騷擾。9.6防黑客攻擊技術(shù)網(wǎng)絡入侵的對象 1網(wǎng)絡資源 網(wǎng)絡上的系統(tǒng)常常是攻擊的主要目標，對這些資源的攻擊通常分為幾大類： （1）數(shù)據(jù)操縱或訪問。網(wǎng)絡上的很多系統(tǒng)都

33、存在著共享目錄（由系統(tǒng)或用戶所創(chuàng)建），它們?yōu)楣粽咛峁┝巳肟邳c。（2）賬號訪問。如果攻擊者能得到網(wǎng)絡中的一個有效賬號，他就極大地增加了獲得特權(quán)訪問并最終攻破整個網(wǎng)絡的可能性。（3）權(quán)限提升。權(quán)限提升攻擊是指從非特權(quán)用戶獲得提升了的特權(quán)。（4）信任關(guān)系。信任關(guān)系在一個網(wǎng)絡內(nèi)的特定主機間建立了一種特權(quán)訪問級別。這種信任通常是基于IP地址或系統(tǒng)名稱，這兩種機制都容易被攻擊者所利用。2網(wǎng)絡協(xié)議除了攻擊網(wǎng)絡資源之外，攻擊者有時會攻擊網(wǎng)絡協(xié)議的完整性。網(wǎng)絡協(xié)議使網(wǎng)絡上的資源能相互共享。通過操縱網(wǎng)絡協(xié)議，一個攻擊者希望獲得對網(wǎng)絡中某些資源的訪問權(quán)。協(xié)議的攻擊歸為兩類：中間攻擊和欺騙攻擊。（1）中間攻擊。中間

34、攻擊是指攻擊者劫持使用某種協(xié)議通信的兩臺主機間會話的一種攻擊。這種攻擊可能完全接管了整個會話，或者只是扮演篡改或僅傳遞來自真實主機的某些特定數(shù)據(jù)的中繼。（2）欺騙攻擊。很多攻擊依賴于攻擊者偽裝成其他用戶的能力，用其他系統(tǒng)的源IP地址發(fā)送數(shù)據(jù)包被稱作欺騙。 口 令 攻 擊 所謂口令攻擊是指使用某些合法用戶的賬號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進行合法用戶口令的破譯。 破解口令的方法 1強力破解法獲取口令 字典搜索法：計算機就會自動地從字典中取一個詞作為用戶口令進行嘗試，逐個詞循環(huán)進行，直至找到正確的口令蠻力窮舉法，即將口令可

35、能的字符數(shù)從小到大，將所有可能的字符進行組合，以此為口令進行搜索，進而得到正確的口令。分布式破解法：可以把任務分成多塊，由多臺計算機來執(zhí)行。2通過網(wǎng)絡監(jiān)聽非法得到用戶口令 以太網(wǎng)是廣播式的，一臺機器發(fā)送，其余機器收聽，并根據(jù)其目的地址來決定是否接收。以太網(wǎng)卡一般工作在只接收本身地址包的模式，然而也可以工作在收聽所有包的模式，因而決定權(quán)是在接收方，這就為竊聽創(chuàng)造了條件。對于許多傳統(tǒng)網(wǎng)絡應用來說，口令在網(wǎng)絡上傳播的時候，完全是以明文發(fā)送的，例如POP3郵局協(xié)議、Telnet遠程登錄、FTP文件傳輸?shù)取６话愕臑g覽器向Web發(fā)送消息時也是明文。3通過木馬攻擊非法得到用戶口令 所謂木馬攻擊，也就是黑客

36、在用戶不知道的情況下，在用戶機器上安裝特殊程序。這可以通過網(wǎng)絡電子郵件、免費下載程序等方式，讓用戶無意中執(zhí)行木馬程序。一旦駐進了木馬程序，用戶的口令就非常危險了。因為這種程序可以記錄用戶所有的擊鍵信息并自動通過網(wǎng)絡發(fā)送出去，或存在硬盤上某個地方，留待攻擊者取走。也可以從內(nèi)存或磁盤讀取記錄的口令發(fā)送出去IP 欺 騙 所謂IP欺騙，就是偽造他人的IP地址。IP欺騙在某些以IP地址作身份認證的服務中，偽裝成合法用戶，取得一般用戶甚至超級用戶的權(quán)限；或在已建立的TCP連接中接管連接以取得相應的權(quán)限（又被稱為IP劫持），從而冒充合法用戶給服務器發(fā)送非法命令，或冒充服務器給用戶發(fā)回虛假信息，給用戶和服務器

37、造成巨大危害。 Internet 的網(wǎng)絡層協(xié)議IP 只是發(fā)送數(shù)據(jù)包，并且保證它的完整性。如果不能收到完整的IP 數(shù)據(jù)包，IP 會向源地址發(fā)送一個ICMP 錯誤信息，希望重新處理。然而這個ICMP 包也可能丟失。由于IP 是無連接的，所以不保持任何連接狀態(tài)的信息。每個IP 數(shù)據(jù)包被發(fā)送出去，不關(guān)心前一個和后一個數(shù)據(jù)包的情況。由此看出，可以對IP 堆棧進行修改，在源地址和目的地址中放入任意滿足要求的IP 地址，也就是說，提供虛假的IP 地址。TCP 提供可靠傳輸。通常TCP 連接建立一個包括3 次握手的序列。客戶選擇和傳輸一個初始的序列號（SEQ），并設置標志位SYN=，告訴服務器它需要建立連接。

38、服務器確認這個傳輸，并發(fā)送它本身的序列號，并設置標志位ACK，同時告知下一個期待獲得的數(shù)據(jù)序列號。客戶再確認它。經(jīng)過三次確認后，雙方開始傳輸數(shù)據(jù)。當用戶的主機A 要與某個網(wǎng)站服務器B建立連接時，A 先發(fā)一個SYN 包告訴對方主機B，說“我要和你通信了”，當B 收到時，就回復一個ACK/SYN 確認請求包給A 主機。如果A 是合法地址，就會再回復一個ACK 包給B 主機，然后兩臺主機就可以建立一個通信渠道了?？墒枪粽邫C器A 發(fā)出包的源地址是一個虛假的IP 地址，或者實際上不存在的一個地址，則B 發(fā)出的那個ACK/SYN 包當然無法找到目標地址。如果這個ACK/SYN 包一直沒有找到目標地址，那

39、么也就無法獲得對方回復的ACK 包。而在缺省超時的時間范圍以內(nèi)，主機B 的一部分資源要花在等待這個ACK 包的響應上，假如短時間內(nèi)主機B 接到大量來自虛假IP 地址的SYN 包，它就要占用大量的資源來處理這些錯誤的等待。大量發(fā)送這類欺騙型的請求，最后的結(jié)果就是主機B 上的系統(tǒng)資源耗盡以至癱瘓。IP 欺騙由若干步驟組成首先假定：（1）目標主機已經(jīng)選定；（2）信任模式已被發(fā)現(xiàn)，并找到了一個被目標主機信任的主機。攻擊者為了進行IP 欺騙，采取如下步驟：（1）使得被信任的主機喪失工作能力，同時采樣目標主機發(fā)出的TCP 序列號，猜測出它的數(shù)據(jù)序列號；（2）偽裝成被信任的主機，同時建立起與目標主機基于地址

40、驗證的應用連接。如果連接成功，攻擊者可以使用一種簡單的命令放置一個系統(tǒng)后門，以進行非授權(quán)操作。IP 欺騙的防范（1）改變間隔。 IP 欺騙的關(guān)鍵在于現(xiàn)有系統(tǒng)中初始序列號變量的產(chǎn)生方法相對粗糙，不能借助一次合法連接推算出當前的序號，也就不能順利實施攻擊。（2）禁止基于IP 地址的驗證 IP 欺騙的原理是冒充被信任的主機，而這種信任是建立在基于IP 地址的驗證上。（3）使用包過濾（4）使用加密方法（5）使用隨機化的初始序列號端 口 掃 描 所謂端口掃描，就是利用Socket編程與目標主機的某些端口建立TCP連接、進行傳輸協(xié)議的驗證等，從而偵知目標主機的掃描端口是否處于激活狀態(tài)、主機提供了哪些服務、

41、提供的服務中是否含有某些缺陷等等。 端口就是一個潛在的通信通道，也可能成為一個入侵通道。對目標計算機進行端口掃描，能得到許多有用的信息（如該服務是否已經(jīng)啟動？），從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。進行掃描的方法很多，可以是手工進行掃描，也可以用端口掃描軟件進行。在掃描目標主機的服務端口之前，首先得搞清楚該主機是否已經(jīng)在運行。如果發(fā)現(xiàn)該主機是活的（alive），那么，下面可以對該主機提供的各種服務端口進行掃描，從而找出活著的服務。掃描手段PingTracert掃描器通過選用遠程TCP/IP 不同的端口的服務，并記錄目標給予的回答來實現(xiàn)，采用這種方法，可以搜集到很多關(guān)于目標主機的各種有用的信息，如：（1）是

42、否能用匿名（anonymous）登錄？（2）是否有可寫的FTP 目錄？（3）是否能用Telnet？（4）HTTPD 是用ROOT 還是nobody 在運行？掃描器一般具有三項功能：（1）發(fā)現(xiàn)一個主機或網(wǎng)絡；（2）一旦發(fā)現(xiàn)一臺主機，能夠發(fā)現(xiàn)該主機正在運行何種服務；（3）通過測試這些服務，發(fā)現(xiàn)內(nèi)在的漏洞1）TCP connect()掃描 這是最基本的TCP 掃描。connect()用來與每一個感興趣的目標計算機的端口進行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功，否則，這個端口不能使用，即沒有提供服務。（2）TCP SYN 掃描 TCP connect()掃描需要建立一個完整的TC

43、P 連接，很容易被目的方發(fā)現(xiàn)。而TCP SYN 技術(shù)通常認為是“半開放”掃描，這是因為掃描程序不必打開一個完全的TCP 連接。（3）TCP FIN 掃描 通常情況下，一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，并能檢測和過濾掉TCP SYN 掃描。（4）IP 段掃描 它并不直接發(fā)送TCP 探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個較小的IP 段。網(wǎng) 絡 監(jiān) 聽 當信息以明文的形式在網(wǎng)絡上傳輸時，便可以使用網(wǎng)絡監(jiān)聽的方式進行攻擊。將網(wǎng)絡接口設置在監(jiān)聽模式便可以源源不斷地截獲網(wǎng)上信息。網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施。網(wǎng)絡監(jiān)聽主要用于局域網(wǎng)絡，在廣域網(wǎng)里也可以監(jiān)聽和截獲到一些用戶信息，但更多信息的截

44、獲要依賴于配備專用接口的專用工具。 一個比較好的檢測工具是Antisniff，它運行在本地以太網(wǎng)的一個網(wǎng)段上，用以檢測本地以太網(wǎng)是否有機器處于混雜模式。Sniffer 通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數(shù)據(jù)進行監(jiān)控。Sniffer 屬第二層次（數(shù)據(jù)鏈路層）的攻擊。通常是攻擊者已經(jīng)進入了目標系統(tǒng)，留下了后門，安裝Sniffer 工具，然后運行Sniffer，以便得到更多的信息。Sniffer 除了能得到口令或用戶名外，還能得到更多的其他信息，比如登錄用戶的銀行卡號、公司賬號、網(wǎng)上傳送的金融信息等等。Sniffer 幾乎能得到以太網(wǎng)上傳送的任何數(shù)據(jù)包。加密是對付Sniffe

45、r 比較安全的方法，要求在傳送前加密數(shù)據(jù)，對方收到后解密。使用安全拓撲結(jié)構(gòu)。使用安全拓撲結(jié)構(gòu)一般需要遵循下列規(guī)則：一個網(wǎng)絡段必須有足夠的理由才能相信另一網(wǎng)絡段。網(wǎng)絡段應該在考慮數(shù)據(jù)之間的信任關(guān)系上來設計，而不是硬件需要。拒絕服務式攻擊拒絕服務方式攻擊的英文意思是Denial of Service，簡稱DoS。這種攻擊行動使網(wǎng)站服務器充斥大量要求回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡服務。拒絕服務攻擊也是電子政務系統(tǒng)中非常常見的一種攻擊手段。拒絕服務式攻擊的防范措施從目前來看，沒有絕對有效的方法來對付拒絕服務攻擊。因此，在系統(tǒng)中也只能有采取一些防

46、范措施，主要是避免成為被利用的工具或者成為被攻擊的對象。無線網(wǎng)絡安全對于一般的以無線AP或無線路由器為中心的無線網(wǎng)絡來說，其一般以一臺符合IEEE802.11b/g模式的AP或無線帶路由器做為控制中心，所有通信都是通過AP或無線寬帶路由器作連接，AP或無線路由器相當于有線網(wǎng)絡中的集線器，可連接1-254臺計算機。并且多數(shù)AP或無線路由器在一般情況下，其內(nèi)置的DHCP服務器都采用了動態(tài)分配方式，可為網(wǎng)絡客戶機分配動態(tài)的IP地址。這樣就不需要對接入電腦設置固定的IP地址，家庭用戶使用起來輕松方便，但也讓非法電腦加入該無線網(wǎng)絡提供了便利。而Windows XP中所包含的無線零配置（WZC）服務也是同

47、樣的功能，其能夠讓配備無線網(wǎng)卡的電腦根據(jù)您的個人喜好或某種缺省設置動態(tài)選擇嘗試進行連接的無線網(wǎng)絡。這項服務也能夠自動選擇并連接最佳可用無線網(wǎng)絡。無線零配置界面其深層因素都是因為無線網(wǎng)卡及其網(wǎng)絡驅(qū)動程序接口規(guī)范（NDIS），支持用以查詢并設置設備與驅(qū)動程序運行方式的NDIS對象標識符（OID）。在無線信號覆蓋范圍內(nèi)，無線網(wǎng)卡將掃描可用無線網(wǎng)絡，并將其網(wǎng)絡名稱（也稱作服務設置標識符或SSID）傳遞至WZC服務。 接入有一定限制的無線網(wǎng)絡具備無線網(wǎng)卡的筆記本電腦或PDA、智能手機接入無任何限制的無線網(wǎng)絡輕而易舉，所以無線用戶發(fā)現(xiàn)有人非請自入他們的網(wǎng)絡之后，其便會通過以些安全設置來阻止你的接入。安全策

48、略1、不廣播SSID，雖然對于多用戶無線系統(tǒng)，非凡是公用無線系統(tǒng)而言，不廣播SSID其安全性同樣難以完全保證，但其仍是簡單易行的一種方法。對于沒有廣播SSID的無線網(wǎng)絡，可用Kismet或Ethereal等工具軟件試試（需先安裝任一種Linux操作系統(tǒng)）。Kismet是一個非常不錯無線網(wǎng)絡探測器，它依靠無線網(wǎng)卡來報告數(shù)據(jù)包，而大多數(shù)主流網(wǎng)卡都支持。WEP2、對無線系統(tǒng)進行常見的WEP加密，WEP（Wired Equivalent Privacy）加密技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，可滿足用戶較高層次的網(wǎng)絡安全需求。WEP使用了共享秘鑰RC4加密算法，密鑰長度最初為64位（5個字符），

49、后來增加到128位（13個字符）。使用靜態(tài)WEP加密可以設置4個WEP Key，使用動態(tài)（Dynamic）WEP加密時，WEP Key會隨時間變化而變化。當加密機制功能啟用，客戶端要嘗試連接上AP或無線路由器時，AP或無線路由器會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回AP或無線路由器以進行認證比對，只有正確無誤，才能接入網(wǎng)絡。但RC4算法和共享密鑰認證也存在弱點，假如攻擊者監(jiān)聽到認證應答，則可以破解WEP。破解WEP而假如想要破解WEP加密，可用Airsnort這款工具軟件。這個工具非常好用，可以用來嗅探并破解WEP密鑰。它可捕捉大量抓來的數(shù)據(jù)包

50、，來破解WEP密鑰。 AirSnort圖形化的操作界面讓這個工具變得相當輕易使用。使用AirSnort并不會對目前的無線網(wǎng)絡產(chǎn)生任何影響，因為AirSnort只是單純的將無線網(wǎng)卡轉(zhuǎn)成Monitor模式，被動的監(jiān)聽收集封包，當收集到足夠的封包時，就可以計算出WEP密鑰。更先進的WPA-PSK加密，則可試試CowPatty這款工具軟件。該工具主要用于破解WPA-PSK，它通過簡單地嘗試一個文章中各種不同的選項，來看是否某一個剛好和預共享的密鑰相符。無線安全方法盡量使用最新的WPA2加密，可進行MAC地址過濾，只允許合法的MAC地址接入網(wǎng)絡，或訪問internet使用IP地址綁定通過設置復雜的密碼來

51、避免入侵，因為破解主要還是字典窮舉法。還要經(jīng)常更換密碼。這些方案的聯(lián)合應用對普通黑客來說其還是難于被破解的。9.6.2 防黑客入侵 1發(fā)現(xiàn)黑客的蛛絲馬跡 首先定時檢查操作系統(tǒng)的系統(tǒng)文件和配置文件是否被修改，一旦發(fā)現(xiàn)有被修改的痕跡，應懷疑黑客入侵。 其次對可疑行為進行快速檢查，檢查訪問及錯誤登錄文件，系統(tǒng)命令的使用情況。 最后，密切注視那些屢次失敗的訪問口令或企圖訪問受口令保護的資源行為。 2應急措施 當發(fā)現(xiàn)黑客入侵時，應首先考慮這將對系統(tǒng)和用戶產(chǎn)生什么影響，然后考慮如何阻止黑客的進一步入侵。 (1)估計入侵造成的破壞程度，迅速采取行動，保護系統(tǒng)的用戶、文件和資源免遭嚴重破壞。 (2)切斷連接，

52、如停止有影響的服務(FTP，TELNET，3W等)，根據(jù)入侵的程度確定是否需要關(guān)閉服務器。 3阻止入侵者 采取一些必要措施阻止黑客的入侵。9.6防黑客攻擊技術(shù)9.7.1配置服務器 1定制Windows Server 2003 定制Windows Server 2003主要完成兩項工作，一是選擇合適的Windows Server 2003版本，二是安裝組件的確定，系統(tǒng)安全的原則是：最少的服務最小的權(quán)限最大的安全。 2. 創(chuàng)建活動目錄 活動目錄(Active Directory)以目錄的形式唯一標識域管理相關(guān)的對象，包括網(wǎng)絡中的所有實體，如計算機、用戶、打印機、文件等等。用戶登錄到相應的域，則擁有

53、該域管理所設定的相應權(quán)限。9.7網(wǎng)絡服務器安全技術(shù) 3配置Windows Server 2003賬戶 (1) 更改系統(tǒng)管理員賬戶 服務器默認管理員賬戶名為Administrator，該賬戶具有最高操作權(quán)限，它不能刪除，只能改名。 (2) 設置陷阱帳號 新建一個名為Administrator的陷阱帳號，為其設置最小的權(quán)限，隨意輸入不少于20位的密碼。 (3) 設置Guest賬戶 將Guest賬戶禁用并更改名稱和描述。 (4) 設定用戶登錄次數(shù)鎖定8.7網(wǎng)絡服務器安全技術(shù) 4禁止C$、D$、ADMIN$一類的缺省共享 打開“注冊表編輯器”,找到鍵值HKEY_LOCAL_MACHINE/ SYSTE

54、M/CurrentControlSet/Services/lanmanserver/parameters，在對應的右邊窗口中右擊鼠標，新建DWORD值，名稱設為AutoShareServer，雙擊該名稱，將“數(shù)值數(shù)據(jù)”設為0，則可禁止C$、D$共享；新建DWORD值AutoShareWks，取值為0，可禁止 ADMIN$共享。 禁止這些共享后，外部非法用戶直接對服務器進行操作的可能性就降低了很多。9.7網(wǎng)絡服務器安全技術(shù)9.7.2 使用安全配置向?qū)О踩渲孟驅(qū)?(Security Configuration Wizard，簡稱 SCW) 是Windows 2003的一個組件，利用它能確定服務器

55、的一個或多個角色所需的最少功能，并禁用不必要的功能，從而縮小服務器的受攻擊面，提高服務器的安全性。SCW可以完成下列操作：禁用不需要的服務。 阻止未使用的端口。 允許對打開的端口進一步實施地址或安全限制。 禁止不需要的 IIS web 擴展。 減少對服務器消息塊 (SMB)、LanMan 和輕型目錄訪問協(xié)議 (LDAP) 的協(xié)議公開。 定義強的信號到噪音審核策略。9.7網(wǎng)絡服務器安全技術(shù)Ipc 攻擊1. C:net use IPC$ /user:admintitrators 這是用流光掃到的用戶名是administrators，密碼為空的IP地址(空口令?哇,運氣好到家了)，如果是打算攻擊的話

56、，就可以用這樣的命令來與建立一個連接，因為密碼為空，所以第一個引號處就不用輸入，后面一個雙引號里的是用戶名，輸入administrators，命令即可成功完成。 2. C:copy srv.exe admin$ 先復制srv.exe（這個是反響連接的木馬）上去，這里的$是指admin用戶的c:winntsystem32，大家還可以使用c$、d$，意思是C盤與D盤，這看你要復制到什么地方去了。 3. C:net time 查查時間，發(fā)現(xiàn) 的當前時間是 2002/3/19 上午 11:00，命令成功完成。 4. C:at 11:05 srv.exe 用at命令啟動srv.exe吧 實 驗最少的服務

57、最少的端口開放最安全的系統(tǒng)1、必須安裝防火墻和殺毒軟件雖然在面對新病毒時，殺毒軟件會變得手足無措，倒不如自己上網(wǎng)找殺毒辦法。但有一個殺毒軟件就是多了一道屏障，不管這道屏障有多高或多矮，始終是利大于弊的。防火墻也是必須要安裝的，同時最好還安裝一些監(jiān)測網(wǎng)絡進程的程序，時刻監(jiān)視有無惡意程序在進行非法操作。2、為Administrator用戶降權(quán)在Windows操作系統(tǒng)里，Administrator是最高級的用戶，在正常的登陸模式是無法看到的，因此很容易忽略由Administrator用戶帶來的安全問題。Administrator用戶的初始密碼是空的，如果沒用安裝防火墻，黑客很容易通過Administ

58、rator帳戶進入你的電腦。這時做什么都已經(jīng)為時已晚了。事實上，這并不是降權(quán)，是創(chuàng)建一個偽造的，無實際權(quán)利的Administrator用戶。具體操作如下，先以一個非Administrator的管理員帳戶登陸windows，然后打開：控制面板-管理工具-計算機管理-本地用戶和組-用戶，刪除Administrator用戶，再創(chuàng)建一個新的Administrator用戶，右擊設置密碼，密碼有多復雜就多復雜，讓其隸屬于最低級別的用戶組，并在屬性里勾選帳戶已停用。這樣，即使別人破解了你的Administrator帳戶，進入后也發(fā)現(xiàn)只是一個沒用實權(quán)的帳戶。其實直接刪除掉這個用戶就行了。網(wǎng)上都出這種方法，浪費

59、感情和時間。3、禁止所有磁盤自動運行如今U盤病毒盛行，稍不小心就會導致“格盤”。U盤病毒一般的運行機制是通過雙擊盤符自動運行，因此，禁用所有磁盤的自動運行是一種相當有效的預防手段。具體的操作過程是：運行輸入gpedIT.msc-用戶配置-管理模板-系統(tǒng)，雙擊右側(cè)列表里的【關(guān)閉自動播放】，選擇“所有驅(qū)動器”，然后選擇“已啟動”。確定退出。關(guān)掉自動播放所用到的一個服務運行-services.msc-Shell Hardware Detection服務-啟動類型-禁用4、不雙擊U盤如果你沒用禁止所有磁盤自動運行，又或者你在別人的計算機上使用U盤，最好不要雙擊U盤。這很容易觸發(fā)U盤病毒，最好的方法是先用殺毒軟件掃描。U盤里的病毒一般清除方法是，通過資源管理器進