網(wǎng)絡安全操作工具

計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。防火墻Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng))，它能增強機構內(nèi)部網(wǎng)絡的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務可以被外界訪問;外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻只允許授權的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。Internet防火墻負責管理Internet和機構內(nèi)部網(wǎng)絡之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。Internet防火墻允許網(wǎng)絡管理員定義一個中心“扼制點”來防止非法用戶，比如防止黑客、網(wǎng)絡破壞者等進入內(nèi)部網(wǎng)絡。禁止存在安全脆弱性的服務進出網(wǎng)絡，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網(wǎng)絡的安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡的安全性，并產(chǎn)生報警。(注意：對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡來說，重要的問題并不是網(wǎng)絡是否會受到攻擊，而是何時受到攻擊?誰在攻擊?)網(wǎng)絡管理員必須審計并記錄所有通過防火墻的重要信息。如果網(wǎng)絡管理員不能及時響應報警并審查常規(guī)記錄，防火墻就形同虛設。在這種情況下，網(wǎng)絡管理員永遠不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡地址變換)的邏輯地址。因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，并根據(jù)機構的核算模式提供部門級計費。在設計理念方面，防火墻是以應用為主、以安全為輔的，也就是說在支持盡可能多的應用的前提下，來保證使用的安全。防火墻的這一設計理念使得它可以廣泛地用于盡可能多的領域，擁有更加廣泛的市場，甚至包括個人電腦都可以使用，但是它的安全性往往就差強人意。而網(wǎng)閘則是以安全為主，在保證安全的前提下，支持盡可能多地應用。網(wǎng)閘主要用于安全性要求極高的領域，例如對政府網(wǎng)絡，工業(yè)控制系統(tǒng)的保護等等。安全策略防火墻不僅僅是路由器、堡壘主機、或任何提供網(wǎng)絡安全的設備的組合，防火墻是安全策略的一個部分。安全策略建立全方位的防御體系，甚至包括：告訴用戶應有的責任，公司規(guī)定的網(wǎng)絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施，以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設。系統(tǒng)安全操作系統(tǒng)的安全控制：如用戶開機鍵入的口令(某些微機主板有“萬能口令”)，對文件的讀寫存取的控制(如Unix系統(tǒng)的文件屬性控制機制)。網(wǎng)絡接口模塊的安全控制。在網(wǎng)絡環(huán)境下對來自其他機器的網(wǎng)絡通信進程進行安全控制。主要包括：身份認證，客戶權限設置與判別，審計日志等。網(wǎng)絡互聯(lián)設備的安全控制。對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行狀態(tài)進行安全監(jiān)測和控制。主要通過網(wǎng)管軟件或路由器配置實現(xiàn)。電子商務電子商務安全從整體上可分為兩大部分：計算機網(wǎng)絡安全和商務交易安全。(一)計算機網(wǎng)絡安全的內(nèi)容包括：(1)未進行操作系統(tǒng)相關安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強的密碼系統(tǒng)就算作安全了。網(wǎng)絡軟件的漏洞和“后門”是進行網(wǎng)絡攻擊的首選目標。(2)未進行CGI程序代碼審計如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應商專門開發(fā)的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。(3)拒絕服務(DoS，DenialofService)攻擊隨著電子商務的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。以網(wǎng)絡癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實行報復打擊的可能。(4)安全產(chǎn)品使用不當雖然不少網(wǎng)站采用了一些網(wǎng)絡安全設備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應有的作用。很多安全廠商的產(chǎn)品對配置人員的技術背景要求很高，超出對普通網(wǎng)管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關安全產(chǎn)品的設置時，很容易產(chǎn)生許多安全問題。(5)缺少嚴格的網(wǎng)絡安全管理制度網(wǎng)絡安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡安全制度與策略是真正實現(xiàn)網(wǎng)絡安全的基礎。(二)計算機商務交易安全的內(nèi)容包括：(1)竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。(2)篡改信息當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關上都可以做此類工作。(3)假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。(4)惡意破壞由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。協(xié)議安全TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸。源地址欺騙(Sourceaddressspoofing)或IP欺騙(IPspoofing)。源路由選擇欺騙(SourceRoutingspoofing)。路由選擇信息協(xié)議攻擊(RIPAtta