第10章 計(jì)算機(jī)安全技術(shù)

第10章計(jì)算機(jī)安全技術(shù)計(jì)算機(jī)安全問題是目前計(jì)算機(jī)發(fā)展的一個(gè)核心問題。本章從安全技術(shù)概念開始，討論了常見的計(jì)算機(jī)網(wǎng)絡(luò)安全攻擊問題及其工具，并給出了相關(guān)的防范建議。針對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)上病毒的泛濫，尤其是木馬病毒的猖獗，詳細(xì)介紹了木馬的工作原理。計(jì)算機(jī)安全防范，目前主流的方法有防火墻、反病毒軟件以及數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密其核心思想是讓獲得信息的人如果沒有對(duì)應(yīng)的密鑰，也無法知道信息是什么，從而有效的保護(hù)信息，而防火墻技術(shù)則是把計(jì)算機(jī)與外世界隔離，使得外部的攻擊無法進(jìn)來，從而有效的保護(hù)計(jì)算機(jī)上的信息不被偷窺。隨著Internet與人們的生活工作越來越分不開的現(xiàn)實(shí)，不掌握一定的計(jì)算機(jī)安全知識(shí)，將有可能因?yàn)樾畔踩珕栴}而對(duì)工作、生活帶來極大的危害。本章目錄10.1計(jì)算機(jī)安全概述

10.2計(jì)算機(jī)網(wǎng)絡(luò)攻擊10.3木馬病毒

10.4常見安全技術(shù)簡(jiǎn)介10.5信息加密技術(shù)護(hù)10.6防火墻技術(shù)10.1計(jì)算機(jī)安全概述隨著信息時(shí)代到來，電子商務(wù)、電子政務(wù)，網(wǎng)絡(luò)改變?nèi)藗兊纳睿祟愡M(jìn)入信息化社會(huì)。計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)的廣泛應(yīng)用，商業(yè)和國(guó)家機(jī)密信息的保護(hù)以及信息時(shí)代電子、信息對(duì)抗的需求，存儲(chǔ)信息的系統(tǒng)面臨的極大的安全威脅，潛在的網(wǎng)絡(luò)、系統(tǒng)缺陷危及系統(tǒng)的安全。計(jì)算機(jī)網(wǎng)絡(luò)的資源開放、信息共享以及網(wǎng)絡(luò)復(fù)雜性增大了系統(tǒng)的不安全性。據(jù)統(tǒng)計(jì)，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國(guó)每年所造成的經(jīng)濟(jì)損失就超過100億美元。美國(guó)每年網(wǎng)絡(luò)安全因素造成的損失達(dá)170億美元.2003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒——“2003蠕蟲王”。全球25萬臺(tái)計(jì)算機(jī)遭襲擊，全世界范圍內(nèi)損失額最高可達(dá)12億美元。中美黑客網(wǎng)上大戰(zhàn)時(shí)，國(guó)內(nèi)外的上千個(gè)門戶網(wǎng)站遭到破壞。2003年2月17日發(fā)現(xiàn)一名電腦“黑客”最近“攻入”美國(guó)一個(gè)專門為商店和銀行處理信用卡交易的服務(wù)器系統(tǒng)，竊取了萬事達(dá)、維薩、美國(guó)運(yùn)通、發(fā)現(xiàn)4家大型信用卡組織的約800萬張信用卡資料。中國(guó)國(guó)內(nèi)80%網(wǎng)站有安全隱患，20％網(wǎng)站有嚴(yán)重安全問題利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為在中國(guó)以每年30%的速度遞增，而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%.2007年的熊貓燒香病毒給數(shù)百萬的用戶造成損失.互聯(lián)網(wǎng)存在的六大問題無主管的自由王國(guó)不設(shè)防的網(wǎng)絡(luò)空間法律約束脆弱跨國(guó)協(xié)調(diào)困難民族化和國(guó)際化的沖突網(wǎng)絡(luò)資源緊缺網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性國(guó)家、政治、商業(yè)和個(gè)人利益沖突10.1.1計(jì)算機(jī)安全定義從狹義的信息保護(hù)來看：計(jì)算機(jī)安全包含了信息的保密性、信息的完整性、防止拒絕服務(wù)。信息的保密是指保護(hù)信息不為非授權(quán)用戶掌握；信息的完整性是保護(hù)信息不致被非法篡改或破壞，拒絕服務(wù)包括臨時(shí)降低系統(tǒng)性能、系統(tǒng)崩潰而需人工重新啟動(dòng)以及數(shù)據(jù)永久性丟失。歷史上，政府、企業(yè)的投資、專業(yè)人員的興趣主要在信息的保密件上。廣義的信息保護(hù)還包括信息設(shè)備的物理安全，諸如場(chǎng)地環(huán)境保護(hù)、防火措施、防水措施、靜電防護(hù)、電源保護(hù)、空調(diào)設(shè)備、計(jì)算機(jī)輻射和計(jì)算機(jī)病毒等。盡管近年來計(jì)算機(jī)安全技術(shù)取得廠巨大的進(jìn)展，但隨著Internet的普及，網(wǎng)絡(luò)應(yīng)用的深入，計(jì)算機(jī)信息安全性比以往任何時(shí)候都更加脆弱。體現(xiàn)在：（1）計(jì)算機(jī)領(lǐng)域中任何大的技術(shù)進(jìn)步都對(duì)安全性構(gòu)成新的威脅。所有這些威脅都將要新的技術(shù)來消除．而叢技術(shù)進(jìn)步的速度要比克服入法進(jìn)步的速度快很多。（2）網(wǎng)絡(luò)的普及，使信息共享達(dá)到了一個(gè)新的層次，信息被暴露的機(jī)會(huì)大大增多。（3）盡管操作系統(tǒng)都是有缺陷的，但可以通過版本的不斷升級(jí)來克服，現(xiàn)行的版本是可靠的，能完成基本設(shè)計(jì)功能：而計(jì)算機(jī)安全的每—個(gè)漏洞都會(huì)使系統(tǒng)的所有安全控制毫無價(jià)值。（4）安全性的地位總是列在計(jì)算機(jī)系統(tǒng)總體設(shè)計(jì)規(guī)劃的最后面．它首先考慮的是系統(tǒng)的功能、價(jià)格、性能、兼容性、可靠性、用戶界面。（5）計(jì)算機(jī)安全本身也帶來了一些約束。例如，采取措施不規(guī)范，既干擾了誠(chéng)實(shí)用戶的工作，又使誠(chéng)實(shí)用戶對(duì)過程控制、安全措施不熟悉。10.1.2計(jì)算機(jī)安全原則計(jì)算機(jī)安全的目的不在于系統(tǒng)百分之百安全，而應(yīng)當(dāng)使之達(dá)到相當(dāng)高的水平，使入侵者的非法行為變得極為困難、危險(xiǎn)、耗資巨大，獲得的價(jià)值遠(yuǎn)不及付出的代價(jià)。一個(gè)關(guān)鍵的安全原則是使用有效的但是并不會(huì)給那些想要真正想要獲取信息的合法用戶增加負(fù)擔(dān)的方案，尋找出一條實(shí)際應(yīng)用此原則的途徑經(jīng)常是一個(gè)困難的尋求平衡舉動(dòng)。使用過于繁雜的安全技術(shù)使得合法用戶厭煩和規(guī)避你的安全協(xié)議是非常容易的。黑客時(shí)刻準(zhǔn)備著和用這樣一些看上去無害的行動(dòng)，因此擁有一個(gè)過分繁雜的安全政策將導(dǎo)致比沒有安全政策還要低效的安全。許多數(shù)據(jù)表明，現(xiàn)有的計(jì)算機(jī)非授權(quán)使用及欺騙行為大多數(shù)是非技術(shù)性的。計(jì)算機(jī)犯罪的突破口往往選擇在過程控制和人員控制的薄弱點(diǎn)上．而不是在內(nèi)部技術(shù)控制的薄弱點(diǎn)上。由于非技術(shù)性的偷竊行為相對(duì)容易得手，它已成為計(jì)算機(jī)犯罪的主要途徑.10.1.3計(jì)算機(jī)安全標(biāo)準(zhǔn)國(guó)際標(biāo)準(zhǔn)化組織（ISO）7498-2安全體系結(jié)構(gòu)文獻(xiàn)定義了安全就是最小化資產(chǎn)和資源的漏洞。資產(chǎn)可以指任何事物。漏洞是指任何可以造成破壞；系統(tǒng)或信息的弱點(diǎn)。威脅是指潛在的安全破壞。ISO進(jìn)一步把威脅分類為偶然的或故意的，主動(dòng)的或被動(dòng)的。偶然威脅是指沒有事先預(yù)謀的事件，這類的威脅包括天然的災(zāi)禍或錯(cuò)誤的系統(tǒng)維護(hù)。故意的威脅包括非常有經(jīng)驗(yàn)的攻擊者和用特殊的系統(tǒng)知識(shí)來破壞計(jì)算機(jī)或網(wǎng)絡(luò)上的數(shù)據(jù)。被動(dòng)式威脅不修改系統(tǒng)中所包含的信息。與安全標(biāo)準(zhǔn)相關(guān)的是安全機(jī)制問題，根據(jù)ISO提出的，安全機(jī)制是一種技術(shù)，一些軟件或?qū)嵤┮粋€(gè)或更多安全服務(wù)的過程。ISO把機(jī)制分成特殊的和普遍的。一個(gè)特殊的安全機(jī)制是在同一時(shí)間只對(duì)一種安全服務(wù)上實(shí)施一種技術(shù)或軟件。加密就是特殊安全機(jī)制的一個(gè)例子。一般的安全機(jī)制都列出了在同時(shí)實(shí)施一個(gè)或多個(gè)安全服務(wù)的執(zhí)行過程。特殊安全機(jī)制和一般安全機(jī)制不同的另一個(gè)要素是一般安全機(jī)制不能應(yīng)用到OSI參考模型的任一層上。普通的機(jī)制包括：信任的功能性：指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過程。例如，當(dāng)升級(jí)TCP／IP堆?；蜻\(yùn)行一些軟件來加強(qiáng)NT,UNIX系統(tǒng)認(rèn)證功能時(shí)，使用的就是普遍的機(jī)制。事件檢測(cè)：檢查和報(bào)告本地或遠(yuǎn)程發(fā)生的事件。審計(jì)跟蹤：任何機(jī)制都允許你監(jiān)視和記錄你網(wǎng)絡(luò)上的活動(dòng)。安全恢復(fù)：對(duì)一些事件作出反應(yīng)，包括對(duì)于已知漏洞創(chuàng)建短期和長(zhǎng)期的解決方案，包括對(duì)受危害系統(tǒng)的修復(fù)。10.2計(jì)算機(jī)網(wǎng)絡(luò)攻擊在網(wǎng)絡(luò)這個(gè)不斷更新?lián)Q代的世界里，網(wǎng)絡(luò)中的安全漏洞無處不在。即使舊的安全漏洞補(bǔ)上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。也許有人認(rèn)為“安全”只是針對(duì)那些大中型企事業(yè)單位和網(wǎng)站而言。其實(shí)，單從技術(shù)上說，黑客入侵的動(dòng)機(jī)是成為目標(biāo)主機(jī)的主人。只要他們獲得了一臺(tái)網(wǎng)絡(luò)主機(jī)的超級(jí)用戶權(quán)限后他們就有可能在該主機(jī)上修改資源配置、安置“木馬”程序、隱藏行蹤、執(zhí)行任意進(jìn)程等。網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲10.2.1網(wǎng)絡(luò)攻擊的步驟第一步：隱藏自已的位置第二步：尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)第三步：獲取帳號(hào)和密碼，登錄主機(jī)第四步：獲得控制權(quán)第五步：竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者進(jìn)入攻擊目標(biāo)后，會(huì)繼續(xù)下一步的攻擊。如：下載敏感信息、實(shí)施竊取帳號(hào)密碼、信用卡號(hào)等經(jīng)濟(jì)偷竊、使網(wǎng)絡(luò)癱瘓等。10.2.2網(wǎng)絡(luò)攻擊的常見方法與原理1．口令入侵所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號(hào)的方法很多:利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢時(shí)，主機(jī)系統(tǒng)會(huì)將保存的用戶資料（如用戶名、登錄時(shí)間等）顯示在終端或計(jì)算機(jī)上；利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡(jiǎn)易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào)；查看主機(jī)是否有習(xí)慣性的帳號(hào)：有經(jīng)驗(yàn)的用戶都知道，很多系統(tǒng)會(huì)使用一些習(xí)慣性的帳號(hào)，造成帳號(hào)的泄露。這又有三種方法：（1）是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大。（2）在知道用戶的賬號(hào)后（如電子郵件@前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但攻擊者要有足夠的耐心和時(shí)間。（3）利用系統(tǒng)管理員的失誤。在Unix操作系統(tǒng)中，用戶的基本信息存放在passwd文件中，而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個(gè)叫shadow的文件中。入侵者獲取口令文件后，就會(huì)使用專門的破解DES加密法的程序來解口令。同時(shí)由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、Bug或一些其他設(shè)計(jì)缺陷，這些缺陷一旦被找出，入侵者就可以長(zhǎng)驅(qū)直入。2．放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)用戶連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知攻擊者，來報(bào)告該用戶的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改該用戶的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視其整個(gè)硬盤中的內(nèi)容等，從而達(dá)到控制該計(jì)算機(jī)的目的。3．WWW的欺騙技術(shù)在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪問，如閱讀新聞組、咨詢產(chǎn)品價(jià)格、訂閱報(bào)紙、電子商務(wù)等。然而一般的用戶恐怕不會(huì)想到有這些問題存在：正在訪問的網(wǎng)頁(yè)已經(jīng)被黑客篡改過，網(wǎng)頁(yè)上的信息是虛假的！當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的了.一般Web欺騙使用兩種技術(shù)手段，即URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。4.電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢，甚至癱瘓。相對(duì)于其它的攻擊手段來說，這種攻擊方法具有簡(jiǎn)單、見效快等優(yōu)點(diǎn)電子郵件攻擊主要表現(xiàn)為兩種方式：（1）是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)，甚至癱瘓。（2）是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。5．通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)攻擊者在突破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。6．網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如NetXRayforWindows95／98／NT、SniffitforLinux、Solaries等）就可輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號(hào)和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及口令。7．利用黑客軟件攻擊利用黑客軟件攻擊是互聯(lián)網(wǎng)上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級(jí)用戶級(jí)權(quán)利，可以對(duì)其進(jìn)行完全的控制，除了可以進(jìn)行文件操作外，同時(shí)也可以進(jìn)行對(duì)方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端，當(dāng)黑客進(jìn)行攻擊時(shí)，會(huì)使用用戶端程序登陸上已安裝好服務(wù)器端程序的電腦，這些服務(wù)器端程序都比較小，一般會(huì)隨附帶于某些軟件上。8．安全漏洞攻擊許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊，由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。另一些是利用協(xié)議漏洞進(jìn)行攻擊。如攻擊者利用POP3一定要在根目錄下運(yùn)行的這一漏洞發(fā)動(dòng)攻擊，破壞的根目錄，從而獲得超級(jí)用戶的權(quán)限。9．端口掃描攻擊所謂端口掃描，就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行傳輸協(xié)議的驗(yàn)證等，從而偵知目標(biāo)主機(jī)的掃描端口是否是處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。10.2.3攻擊者常用的攻擊工具1．D.O.S攻擊工具2．木馬程序10.2.4應(yīng)對(duì)網(wǎng)絡(luò)攻擊的建議在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行上述分析與識(shí)別的基礎(chǔ)上，應(yīng)當(dāng)認(rèn)真制定有針對(duì)性的策略。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。做到未雨稠繆，預(yù)防為主，將重要的數(shù)據(jù)備份并時(shí)刻注意系統(tǒng)運(yùn)行狀況。以下是針對(duì)網(wǎng)絡(luò)安全問題，提出的幾點(diǎn)建議：1．提高安全意識(shí)2．使用防毒、防黑等防火墻軟件3．設(shè)置代理服務(wù)器，隱藏自已的IP地址。10.3木馬病毒10.3.1木馬的基本知識(shí)木馬，也稱特伊洛木馬，名稱源于古希臘的特伊洛馬神話通過對(duì)以往網(wǎng)絡(luò)安全事件的分析統(tǒng)計(jì)發(fā)現(xiàn)，有相當(dāng)部分的網(wǎng)絡(luò)入侵是通過木馬來進(jìn)行的，包括著名的微軟被黑一案，據(jù)稱該黑客是通過一種普通的蠕蟲木馬侵入微軟的系統(tǒng)的，并且竊取了微軟部分產(chǎn)品的源碼。木馬的危害性在于它對(duì)電腦系統(tǒng)強(qiáng)大的控制和破壞能力，竊取密碼、控制系統(tǒng)操作、進(jìn)行文件操作等等，一個(gè)功能強(qiáng)大的木馬一旦被植入你的計(jì)算機(jī)，攻擊者就可以象操作自己的計(jì)算機(jī)一樣控制你的計(jì)算機(jī)，甚至可以遠(yuǎn)程監(jiān)控你的所有操作。10.3.2木馬的基本工作原理一般的木馬都有客戶端和服務(wù)器端兩個(gè)執(zhí)行程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，他所做的第一步是要把木馬的服務(wù)器端程序植入到你的電腦里面。目前木馬入侵的主要途徑還是先通過一定的方法把木馬執(zhí)行文件植入到被攻擊者的電腦系統(tǒng)里，如郵件、下載等，然后通過一定的提示故意誤導(dǎo)被攻擊者打開執(zhí)行文件一般的木馬執(zhí)行文件非常小，大都是幾K到幾十K，如果把木馬捆綁到其它正常文件上是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站提供的軟件下載往往是捆綁了木馬病毒文件的，在執(zhí)行這些下載的文件，也同時(shí)運(yùn)行了木馬。木馬也可以通過Script、ActiveX及Asp、Cgi交互腳本的方式植入，由于IE瀏覽器在執(zhí)行Script腳本上存在一些漏洞，攻擊者可以利用這些漏洞傳播病毒和木馬，甚至直接對(duì)瀏覽者電腦進(jìn)行文件操作等控制，曾出現(xiàn)過一個(gè)利用微軟Scripts腳本漏洞對(duì)瀏覽者硬盤進(jìn)行格式化的Html頁(yè)面。如果攻擊者有辦法把木馬執(zhí)行文件上載到攻擊主機(jī)的一個(gè)可執(zhí)行WWW目錄夾里面，他可以通過編制Cgi程序在攻擊主機(jī)上執(zhí)行木馬目錄.木馬還可以利用系統(tǒng)的一些漏洞進(jìn)行植入，如微軟著名的IIS服務(wù)器溢出漏洞，通過一個(gè)IISHACK攻擊程序即在把IIS服務(wù)器崩潰，并且同時(shí)在攻擊服務(wù)器執(zhí)行遠(yuǎn)程木馬執(zhí)行文件10.3.3木馬如何發(fā)送信息給攻擊者？當(dāng)木馬在被植入被攻擊主機(jī)后，它一般會(huì)通過一定的方式把入侵主機(jī)的信息，如主機(jī)的IP地址、木馬植入的端口等發(fā)送給攻擊者，這樣攻擊者有這些信息才能夠與木馬里應(yīng)外合控制攻擊主機(jī)。在早期的木馬里面，大多都是通過發(fā)送電子郵件的方式把入侵主機(jī)信息告訴攻擊者，有一些木馬文件干脆把主機(jī)所有的密碼用郵件的形式通知給攻擊者，這樣攻擊者不用直接連接被攻擊主機(jī)就可獲得一些重要數(shù)據(jù)，如攻擊OICQ密碼的GOP木馬即是如此。使用電子郵件的方式對(duì)攻擊者來說并不是最好的一種選擇，因?yàn)槿绻抉R被發(fā)現(xiàn)，可以能過這個(gè)電子郵件的地址找出攻擊者。現(xiàn)在還有一些木馬采用的是通過發(fā)送UDP或者ICMP數(shù)據(jù)包的方式通知攻擊者。10.3.4木馬隱身之處1．集成到程序中2．隱藏在配置文件中3．潛伏在Win.ini中4．偽裝在普通文件中5．內(nèi)置到注冊(cè)表中6．在System.ini中藏身7．隱形于啟動(dòng)組中8．隱蔽在Winstart.bat中9．捆綁在啟動(dòng)文件中10．設(shè)置在超級(jí)連接中10.4常見安全技術(shù)簡(jiǎn)介

10.4.1殺毒軟件技術(shù)殺毒軟件是最為普遍的，也是應(yīng)用得最為廣泛的安全技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來最為簡(jiǎn)單，但是殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對(duì)于個(gè)人用戶或小企業(yè)或許還能滿足需要，但如果個(gè)人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了?？上驳氖请S著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵。10.4.2防火墻技術(shù)防火墻是一種由計(jì)算機(jī)硬件和軟件的組合,使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，也就是一個(gè)把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)隔開的屏障。防火墻從實(shí)現(xiàn)方式上來分，又分為硬件防火墻和軟件防火墻兩類，通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結(jié)合來達(dá)到隔離內(nèi)、外部網(wǎng)絡(luò)的目的，價(jià)格較貴，但效果較好，一般小型企業(yè)和個(gè)人很難實(shí)現(xiàn)。軟件防火墻是通過純軟件的方式來達(dá)到，價(jià)格很便宜，但這類防火墻只能通過一定的規(guī)則來達(dá)到限制一些非法用戶訪問內(nèi)部網(wǎng)的目的。硬件防火墻從技術(shù)又可分為兩類,即標(biāo)準(zhǔn)防火墻和雙家網(wǎng)關(guān)防火墻隨著防火墻技術(shù)的發(fā)展,雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種防火墻配置,一種是隱蔽主機(jī)網(wǎng)關(guān)方式,另一種是隱蔽智能網(wǎng)關(guān)（隱蔽子網(wǎng)）。10.4.3文件加密和數(shù)字簽名技術(shù)與防火墻配合使用的安全技術(shù)還有文件加密與數(shù)字簽名技術(shù)，它是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部竊取、偵聽或破壞所采用的主要技術(shù)手段之一。按作用不同,文件加密和數(shù)字簽名技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。1．?dāng)?shù)據(jù)傳輸加密技術(shù):目的是對(duì)傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端對(duì)端加密兩種。2．?dāng)?shù)據(jù)存儲(chǔ)加密技術(shù):這種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密,可分為密文存儲(chǔ)和存取控制兩種。3．?dāng)?shù)據(jù)完整性鑒別技術(shù):目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,達(dá)到保密的要求,一般包括口令、密鑰、身份、數(shù)據(jù)等項(xiàng)的鑒別,系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。4．密鑰管理技術(shù)數(shù)據(jù)的加密技術(shù)通常是運(yùn)用密鑰對(duì)數(shù)據(jù)進(jìn)行加密，這就涉及到一個(gè)密鑰的管理問題，因?yàn)橛眉用苘浖M(jìn)行加密時(shí)所用的密鑰通常不是我們平常所用的密碼那么簡(jiǎn)單，一般情況下，這種密鑰達(dá)64位，甚至可能達(dá)到128位，顯然要記憶這些密鑰非常困難，只能保存在一個(gè)安全的地方，即進(jìn)行密鑰的管理。10.4.4加密技術(shù)在智能卡上的應(yīng)用與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權(quán)用戶所持有并由該用戶賦予它一個(gè)口令或密碼字。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。當(dāng)口令與身份特征共同使用時(shí),智能卡的保密性能比較有效。該技術(shù)是目前使用得最廣泛的，如常用的IC卡、銀行取款卡、智能門鎖卡等等但應(yīng)當(dāng)了解的是：“安全”都是相對(duì)，不可能寄希望有了安全措施之后就能保證信息萬無一失，任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施是有一定的限度。10.5信息加密技術(shù)信息加密技術(shù)是一門專門研究數(shù)據(jù)加密的學(xué)科，應(yīng)用信息加密可以保證數(shù)據(jù)的安全性，也可用于驗(yàn)證用戶，是在實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要手段之一。利用信息加密技術(shù)可以獲得以下安全上的好處：數(shù)據(jù)保密性：這是使用加密的通常的原因。通過小心使用數(shù)學(xué)方程式，可以保證只讓有權(quán)接收的人才能查看它。數(shù)據(jù)完整性：對(duì)需要更安全來說數(shù)據(jù)保密是不夠的。數(shù)據(jù)仍能夠被非法破解開修改。一種叫HASH的運(yùn)算方法能確定數(shù)據(jù)是否被修改過。認(rèn)證：數(shù)字簽名提供認(rèn)證服務(wù)。不可否定性：數(shù)字簽名允許用戶證明一條信息交換確實(shí)發(fā)生過。金融組織尤其依賴于這種方式的加密，用于電子貨幣交易。10.5.1加密強(qiáng)度在加密信息的過程中，—個(gè)常被討論但又經(jīng)常被誤解的方面是加密強(qiáng)度。什么構(gòu)成了加密的強(qiáng)度?哪種級(jí)別的加密是被不同的安全需要所要求的？如何確定加密的有效強(qiáng)度？加密強(qiáng)度取決于二個(gè)主要因素：首先是算法的強(qiáng)度,其次是密鑰的保密性,最后是密鑰長(zhǎng)度一般的，決定需要密鑰的長(zhǎng)度的—個(gè)重要因素是被保護(hù)信息的價(jià)值。比如40位的密鑰對(duì)于金融交易來說并不合適的，但對(duì)于個(gè)人用戶已經(jīng)足夠了。強(qiáng)加密一般是使用超過128位長(zhǎng)度的密鑰來實(shí)施。10.5.2建立信任關(guān)系應(yīng)用加密技術(shù)目的是在主機(jī)之間建立一種信任關(guān)系。在最基本的級(jí)別上，一個(gè)信任關(guān)系包括一方加密的信息并只有另一方的合作伙伴可以解密這個(gè)文件。這種任務(wù)是用公鑰加密來完成的。這種類別的加密要求建立一個(gè)私鑰和一個(gè)公鑰。一旦已經(jīng)產(chǎn)生了一對(duì)密鑰，就可以把公鑰發(fā)布給任何人。一般通過以下兩種方法來發(fā)布公鑰：手動(dòng)：你首先必須和接收方交換公鑰，然后用接收方的公鑰來加密信息。自動(dòng)：SSL和IPSec可以通過一系列的握手可以安全地交換信息（包括私鑰）。10.5.3對(duì)稱加密在對(duì)稱加密或單密鑰加密中，只有一個(gè)密鑰用來加密和解密信息。盡管單密鑰加密的一個(gè)簡(jiǎn)單的過程，但要求雙方都必須完全的信賴對(duì)方，并都持有這個(gè)密鑰的備份。要達(dá)到這種信任的級(jí)別比較困難，如果雙方試圖建立信任關(guān)系時(shí)，安全破壞已經(jīng)發(fā)生了，則密鑰的傳輸就是—個(gè)重要問題，如果它被截取，那么這個(gè)密鑰以及相關(guān)的重要信息的安全性就喪失了。對(duì)稱加密的好處就是快速并且強(qiáng)壯。這種特點(diǎn)允許你加密大量的信息而只需要幾秒鐘。對(duì)稱加密的缺點(diǎn)是有關(guān)密鑰的傳播，所有的接收者和查看者都必須持有相同的密鑰，因此所有的用戶必須尋求一種安全的方法來發(fā)送和接收密鑰。10.5.4非對(duì)稱加密非對(duì)稱加密在加密的過程中使用一對(duì)密鑰，而不像對(duì)稱加密只使用—個(gè)單獨(dú)的密鑰?！獙?duì)密鑰中一個(gè)用于加密，另一個(gè)用來解密。如用A加密，則用B解密，如果用B加密，則要用A解密。在這對(duì)密鑰中一個(gè)密鑰用來公用，另一個(gè)作為私有的密鑰：用來向外公布的叫做公鑰，另一個(gè)需要安全保護(hù)的是私鑰。非對(duì)稱加密的一個(gè)缺點(diǎn)就是加密的速度非常慢，因?yàn)樾枰獜?qiáng)烈的數(shù)學(xué)運(yùn)算程序。如果一個(gè)用戶需要使用非對(duì)稱加密，那么即使比較少量的信息可以也要花上小時(shí)的時(shí)間。10.6防火墻技術(shù)10.5.5HASH加密HASH加密把一些不同長(zhǎng)度的信息轉(zhuǎn)化成雜亂的128位編碼，稱為HASH值。HASH加密用于不想對(duì)信息解密或讀取。使用這種方法解密在理論上是不可能的，其思想是通過比較兩個(gè)實(shí)體的HASH值是否一樣而不用告之其它信息。HASH加密別一種用途是簽名文件。它還可用于當(dāng)你想讓別人檢查但不能復(fù)制信息的時(shí)候。自從1986年美國(guó)Digital公司在Intemet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，防火墻技術(shù)得到了飛速的發(fā)展。第一代防火墻，又稱包過濾防火墻，主要通過對(duì)數(shù)據(jù)包源地址、目的地址、端口號(hào)等參數(shù)來決定是否允許該數(shù)據(jù)包通過，對(duì)其進(jìn)轉(zhuǎn)發(fā)，但這種防火墻很難抵御IP地址欺騙等攻擊，而且審計(jì)功能很差。第二代防火墻，也稱代理服務(wù)器，它用來提供網(wǎng)絡(luò)服務(wù)級(jí)的控制，起到外部網(wǎng)絡(luò)向被保護(hù)的內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用，這種方法可以有效地防止對(duì)內(nèi)部網(wǎng)絡(luò)的直接攻擊，安全性較高。第三代防火墻有效地提高了防火墻的安全性，稱為狀態(tài)監(jiān)控功能防火墻，它可以對(duì)每一層的數(shù)據(jù)包進(jìn)行檢測(cè)和監(jiān)控。第四代防火墻已超出了原來傳統(tǒng)意義上防火墻的范疇，已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)，它可以抵御目前常見的網(wǎng)絡(luò)攻擊手段

10.6.1防火墻定義防火墻語(yǔ)參考來自己應(yīng)用在建筑結(jié)構(gòu)里的安全技術(shù)。在樓宇里用來起分隔作用的墻，用來隔離不同的房間，盡可能的起防火作用。一旦某個(gè)單元起火這種方法保護(hù)了其它的居住者。一般地，防火墻里都有一個(gè)重要的門，允許人們進(jìn)入或離開大樓。因此，雖然防火墻保護(hù)了人們的安全，但這個(gè)門在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)網(wǎng)絡(luò)防火墻扮演著防備潛在的惡意的活動(dòng)的屏障，并可通過一個(gè)“門”來允許人們?cè)谀愕陌踩W(wǎng)絡(luò)和開放的不安全的網(wǎng)絡(luò)之間通信10.6.2防火墻的任務(wù)防火墻在實(shí)施安全的過程中是至關(guān)重要的。一個(gè)防火墻策略要實(shí)現(xiàn)四個(gè)目標(biāo)，而每個(gè)目標(biāo)通常都不是通過一個(gè)單獨(dú)的設(shè)備或軟件來實(shí)現(xiàn)的。實(shí)現(xiàn)一個(gè)企業(yè)的安全策略：防火墻的主要意圖是強(qiáng)制執(zhí)行企業(yè)的安全策略創(chuàng)建一個(gè)阻塞點(diǎn)：防火墻在一個(gè)Intranet網(wǎng)絡(luò)和Internet間建立一個(gè)檢查點(diǎn)。記錄Internet活動(dòng)：防火墻還能夠強(qiáng)制日志記錄，并且提供警報(bào)功能。限制網(wǎng)絡(luò)暴露：防火墻在內(nèi)部網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。10.6.3防火墻術(shù)語(yǔ)1．網(wǎng)關(guān):網(wǎng)關(guān)是在兩個(gè)設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（CGl）到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。2．電路級(jí)網(wǎng)關(guān):電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，決定該會(huì)話是否合法，電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。3．應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。4．包過濾:包過濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。5．代理服務(wù)器:代理服務(wù)器代表內(nèi)部客戶端與外部的服務(wù)器通信。代理服務(wù)器通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)，電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。6．網(wǎng)絡(luò)地址翻譯（NAT）:網(wǎng)絡(luò)地址解釋是對(duì)Intemet隱藏內(nèi)部地址，防止內(nèi)部地址公開。這一功能可以克服IP尋址方式的諸多限制，完善內(nèi)部尋址模式。7．堡壘主機(jī):堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，被暴露于因特網(wǎng)之上，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。10.6.4防火墻技術(shù)1．包過濾技術(shù)包過濾防火墻的安全性是基于對(duì)包的IP地址的校驗(yàn)。按照預(yù)先設(shè)定的過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會(huì)被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。2．代理技術(shù)代理服務(wù)器接收客戶請(qǐng)求后會(huì)檢查驗(yàn)證其合法性，如果合法，代理服務(wù)器像一臺(tái)客戶機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理