《物理安全和I》PPT课件.ppt

本章主要内容 n物理安全 nInternet安全问题 n电子邮件（Email）的安全 n域名系统（DNS）的安全威胁 nWeb站点的安全问题 n文件传输（FTP）的安全问题 Date1 第第2 2章章 物理安全和物理安全和InternetInternet服务安全服务安全 本章指出Internet设备的物理安全以及Internet 存在的安全问题和原因。介绍TCP/IP协议，有助于 理解Internet有关的安全问题。本章阐述电子邮件（ Email）安全、域名（DNS）安全、地址（IP）安全 、站点安全、远程登陆（Telnet）安全、文件传输（ FTP）安全。 Date2 2.1 物理安全 在信息系统安全中，物理安全是基础。 如果物理安全得不到保证，如计算机设备 遭到破坏或被人非法接触，那么其他的一切安 全措施都是徒劳的。 在计算机系统安全中，物理安全就是要保 证计算机系统有一个安全的物理环境，对接触 计算机系统的人员有一套完善的技术控制手段 ，且充分考虑到自然事件可能对计算机系统造 成的威胁并加以规避。 Date3 2.1.1 机房与设施安全 设施安全就是对放置计算机系统的空间 进行细致周密的规划，对计算机系统加以物 理上的严密保护，以避免存在可能的不安全 因素。 Date4 2.1.2计算机机房的安全等级 为了对相应的信息提供足够的保护，而又 不浪费资源，应该对计算机机房规定不同的安 全等级，相应的机房场地应提供相应的安全保 护。 根据GB936188标准计算站场地安全 要求，计算机机房的安全等级分为A、B、C 等3个基本类型。 Date5 (1)A类：对计算机机房的安全有严格的要求，有完善 的计算机机房安全措施。该类机房放置需要最高安性 的系统和设备。 (2)B类：对计算机机房的安全有较严格的要求，有较 完善的计算机机房安全措施。它的安全性介于A类和c 类之间。 (3)C类：对计算机机房的安全有基本的要求，有基本 的计算机机房安全措施。该类机房存放只需要最低限 度的安全性和可靠性的一般性系统。 在具体的建设中，根据计算机系统安全的需要，机房 安全可按某一类执行，也可按某些类综合执行。 所谓的综合执行是指一个机房可按某些类执行，如对 电磁波进行A类防护，对火灾报警及消防设施进行B类 防护等。Date6 2.1.3机房场地的环境选择 计算机系统的技术复杂，电磁干扰、震动、 温度和湿度等的变化都会影响计算机系统的可靠 性、安全性，轻则造成工作不稳定，性能降低， 或出现故障，重则会使零部件寿命缩短，甚至是 损坏。 为了使计算机系统能够长期、稳定、可靠、安 全地工作，应该选择一个合适的工作场所。 Date7 1环境安全性 (1)为了防止计算机系统遭到周围不利环境的 意外破 坏，机房应该尽量建立在远离生产 或储存具有腐蚀性、易燃、易爆物品的场所 (比如油料库、液化气站和煤厂等)的周围； (2)机房应该尽量避开环境污染区(比如化工 污染区)，以及容易产生粉尘、油烟和有毒 气体的区域(比如石灰厂等)； (3)应该尽量避免坐落在雷击区； (4)应避开重盐害地区。 Date8 2地质可靠性 (1)不要建立在杂填土、淤泥、流沙层以及地 层断裂的地质区域上； (2)不要建立在地震区； (3)建立在山区的机房应该尽量避开滑坡、泥 石流、雪崩和溶洞等地质不牢靠区域； (4)应该尽量避开低洼、潮湿区域。 Date9 3场地抗电磁干扰性 (1)应该避开或远离无线电干扰源和微波线路的强 磁场干扰场所，如广播电视发射台、雷达站等； (2)应该避开容易产生强电流冲击的场所，如电 气化铁路、高压传输线等。 Date10 4避开强振动源和强噪声源 (1) 应该避开振动源，如冲床、锻床等 ； （2）应该避开机场,火车站和剧院等噪 声源； （3）应该原理主要交通要道，斌避免机 房窗户直接临街。 Date11 2.1.4 电源 要想计算机系统能正常地工作，电源的安全和 保护问题不容忽视。 电源设备落后或电压不稳定，电压过高或过低 都会给计算机造成不同程度的损害。 例如：一台电子商务服务器，如果突然掉电 ，就会使交易中断，而且可能发生不必要的法律 纠纷。 所以，计算机在工作时首先要保证电源的稳定和 供电的正常。 Date12 为使设备避免断电或其他供电方面的 问题，供电要符合设备制造商对供电的规 定和要求。 保持供电不中断的措施包括： (1)设置多条供电线路以防某条供电线路 出现故障； (2)配置不间断电源(UPS)； (3)备用发电机。 Date13 2.1.5 环境与人身安全 1防火 火灾不仅对计算机系统是致命的威胁，而 且会危及人的生命及国家财产安全，尤其是计 算机机房，大量使用电源，防火就显得尤其重 要和必要。 为了保证不发生火灾，及时发现火灾，发 生火灾后及时消防和保证人员的安全，对机房 应考虑采取以下措施。 Date14 2漏水和水灾 由于计算机系统使用电源，因此水对计 算机也是致命的威胁，它可以导致计算机设 备短路，从而损害设备。 所以，对机房必须采取防水措施。 Date15 3自然灾害 自然界存在着种种不可预料或者虽可预料却不能避免 的灾害，比如洪水、地震、大风和火山爆发等。 对此， 应该积极应对，制定一套完善的应对措施，建立合适的检 测方法和手段，以期尽可能早的发现这些灾害的发生，采 取一定的预防措施。 比如，采用避雷措施以规避雷击，加强建筑的抗震 等级以尽量对抗地震造成的危害。 因此应当预先制定好相应的对策，包括在灾害来临 时采取的行动步骤和灾害发生后的恢复工作等。 通过对不可避免的自然灾害事件制定完善的计划和 预防措施，使系统受到的损失的程度减小到最小。 同时，对于重要的信息系统，应当考虑在异地建立适当 的备份与灾难恢复系统。 Date16 4. 物理安全威胁 在现实生活中，除了自然灾害外，还存 在种种其他的情况威胁着计算机系统的物理 安全。 通信线路被盗窃者割断，就可以导致网 络中断。如果周围有化工厂，若是化工厂的 有毒气体泄露，就会腐蚀计算机系统等。 Date17 2.1.6电磁泄露 电磁泄露发射技术是信息保密技术领域的 主要内容之一，国际上称之为 TEMPEST(Transient electromagnetic pulse standard technology)技术。美国安 全局(NSA)和国防部曾联合研究与开发这一项 目，主要研究计算机系统和其他电子设备的信 息泄露及其对策，研究如何抑制信息处理设备 的辐射强度，或采取有关的技术措施使对手不 能接收到辐射的信号，或从辐射的信息中难以 提取出有用的信号。TEMPEST技术是由政府 严格控制的一个特殊技术领域，各国对该技术 领域严格保密，其核心技术内容的密级也较高 。 Date18 z计算机设备包括主机、显示器和打印机等，在 其工作过程中都会产生不同程度的电磁泄露。 z例如，主机各种数字电路中的电流会产生电磁 泄露，显示器的视频信号也会产生电磁泄露， 键盘上的按键开关也会引起电磁泄露，打印机 工作时也会产生低频电磁泄露，等等。 z计算机系统的电磁泄露有两种途径： z一是以电磁波的形式辐射出去，称为辐射泄露 ；二是信息通过电源线、控制线、信号线和地 线等向外传导造成的传导泄露。 Date19 通常，起传导作用的电源线、地线等 同时具有传导和辐射发射的功能，也就是 说，传导泄露常常伴随着辐射泄露。 计算机系统的电磁泄露不仅会使各系 统设备互相干扰，降低设备性能，甚至会 使设备不能正常使用，更为严重的是，电 磁泄露会造成信息暴露，严重影响信息安 全。 Date20 理论分析和实际测量表明，影响计算机 电磁辐射强度的因素如下。 (1)功率和频率。设备的功率越大，辐射强 度越大。信号频率越高，辐射强度越大。 (2)距离因素。在其他条件相同的情况下， 离辐射源越近，辐射强度越大，离辐射源越 远，则辐射强度越小，也就是说，辐射强度 与距离成反比。 (3)屏蔽状况。辐射源是否屏蔽，屏蔽情况 好坏，对辐射强度的影响很大。 Date21 2.1.7 计算机设备防泄露措施 抑制计算机中信息泄露的技术途径有两种： 一是电子隐蔽技术，二是物理抑制技术。 电子隐蔽技术主要是用干扰、跳频等技术 来掩饰计算机的工作状态和保护信息；物理抑 制技术则是抑制一切有用信息的外泄。 物理抑制技术可分为包容法和抑源法。 包容法主要是对辐射源进行屏蔽，以阻止 电磁波的外泄传播。 抑源法就是从线路和元器件入手，从根本 上阻止计算机系统向外辐射电磁波，消除产生 较强电磁波的根源。 Date22 计算机系统在实际应用中采用的防泄露措施主 要如下。 (1)选用低辐射设备 这是防止计算机设备信息泄露的根本措施 。 所谓低辐射设备就是指经有关测试合格的 TEMPEST设备。这些设备在设计生产时已 对能产生电磁泄露的元气件、集成电路、连 接线和阴极射线管(CRT)等采取了防辐射措 施，把设备的辐射抑制到最低限度。这类设 备的价格相当昂贵。 Date23 (2)利用噪声干扰源 噪声干扰源有两种，一种是白噪声干扰源 ，另一种是相关干扰器。 Date24 使用白噪声干扰源 使用白噪声干扰源有以下两种方法。 将一台能够产生白噪声的干扰器放在计算机 设备旁边，让干扰器产生的噪声与计算机设备 产生的辐射信息混杂在一起向外辐射，使计算 机设备产生的辐射信息不容易被接收复现。 在使用这种方法时要注意干扰源不应超过有关 的EMI标准，还要注意白噪声干扰器的干扰信 号与计算机设备的辐射信号是两种不同特征的 信号，易于被区分后提取计算机的辐射信息。 Date25 将处理重要信息的计算机设备放置在中间， 四周放置一些处理一般信息的设备，让这些设 备产生的辐射信息一起向外辐射，这样就会使 接收复现时难辨真伪，同样会给接收复现增大 难度。 Date26 使用相关干扰器。 这种干扰器会产生大量的仿真计算机设备 的伪随机干扰信号，使辐射信号和干扰信号 在空间叠加成一种复合信号向外辐射，破坏 了原辐射信号的形态，使接收者无法还原信 息。 这种方法比白噪声干扰源的效果好，但由 于这种方法多采用覆盖的方式，而且干扰信 号的辐射强度大，因此容易造成环境的电磁 噪声污染。 Date27 (3)采取屏蔽措施 电磁屏蔽是抑制电磁辐射的一种方法。 计算机系统的电磁屏蔽包括设备屏蔽和电缆屏蔽 。 设备屏蔽就是把存放计算机设备的空间用具 有一定屏蔽度的金属丝网屏蔽起来，再将此金 属网罩接地。 电缆屏蔽就是对计算机设备的接地电缆和通 信电缆进行屏蔽。 屏蔽的效能如何，取决于屏蔽体的反射衰减 值和吸收衰减值的大小，以及屏蔽的密封程度 。 Date28 (4)距离防护 设备电磁辐射在空间传播时随距离的增加而 衰减，在距设备一定的距离时，设备信息的辐 射场强就会变得很弱，这时就无法接收到辐射 的信号。 这是一种非常经济的方法，但这种 方法只适用于有较大防护距离的单位，在条件 许可时，在机房的位置选择时应考虑这一因素 。 安全防护距离与设备的辐射强度和接收 设备的灵敏度有关。 Date29 (5)采用微波吸收材料 目前，已经生产出了一些微波吸收材料，这 些材料各自适用不同的频率范围，并具有不同 的其他特性，可以根据实际情况，采用相应的 材料以减少电磁辐射。 Date30 2.2 Internet安全问题 2.2.1 Internet安全状况和欠安全原因 Internet是一个开放系统。窃密与破坏已 经从个人、集团的行为上升到国家的信息战行 为。其不安全的问题日显突出。 CERT/CC统计历年Internet网络安全案件 ，截止到2007年为止共计有942,568件，其安 全威胁来自黑客攻击和计算机病毒。Internet 的欠安全来自内因和外因的各种因源： Date31 （1）站点主机数量的增加，无法估计其安全性能 。网络系统很难动态适应站点主机数量的突增， 系统网管功能升级困难也难保证主机的安全性； （2）主机系统的访问控制配置复杂，软件的复杂 等，没有能力在各种环境下进行测试。Unix系统 从BSD获得网络部分代码。而BSD源代码可轻易 获取，导致攻击者易侵入网络系统； （3）分布式管理难于预防侵袭，一些数据库用口 令文件进行分布式管理，又允许系统共享数据和 共享文件，这就带来不安全因素； Date32 （4）认证环节虚弱。Internet许多事故源于虚弱 的静态口令，易被破译，且易把它解密或通过监 视信道窃取口令。TCP/IP和UDP服务也只能对 主机地址进行认证，而不能对指定的用户进行认 证； （5）Internet和FTP的用户名和口令的IP包 易 被监视和窃取。使用Internet或FTP速接到远 程主机上的帐户时，在Internet上传输的口令 是没有加密的，攻击者通过获取的用户名和口令 的IP包登陆到系统； Date33 （6）攻击者的主机易冒充成被信任的主机。这种 主机的IP地址是被TCP和UDP信任的，导致主机 失去安全性。攻击者用客户IP地址取代自己的IP 地址或构造一条攻击的服务器与其主机的直接路 径，客户误将数据包传送给攻击者的主机。 一般Internet服务安全内容包括Email安全 、文件传输（FTP）服务安全、远程登陆（ Telnet）安全、Web浏览服务安全和DNS域名安 全以及设备的物理安全。 Date34 2.2.2 TCP/IP、UDP和ICMP协议 Internet网主要采用TCP/IP协议，了 解TCP/IP协议的基本知识有利于理解 Internet有关的安全问题。 （1）TCP/IP的分层，协议和信息封装 TCP为一个四层协议系统：应用层，传输 层，网络层和链路层，其层间关系如下图所 示： Date35 应用层 应用程序 应用程序 应用程序 传输层 TCP UDP 网络层 ICMP IP ICMP 链路层 硬件接口 网络电缆 图2.1 TCP/IP分层和协议栈 . . . Date36 要使用户数据能通过分层网络，就要用 网络软件将数据从应用程序进协议栈的一个 协议里，每个协议对这些数据进行处理，然 后再送进低层的协议里。 在传输过程中，网络模块不断地将各层 的信息封装进文件包里。 封装是将当前数据按分层协议技术的形 式存取起来的过程，数据通过协议层时，每 一层将当前的信息附加在文件包上，图2.2显 示了信息被封装的流程。 Date37 图2.2 以太网封装协议流程 用户数据 应用程序（应用层） 应用程序头部+用户数据 TCP模块（传输层 ） TCP头部+应用程序数据 IP模块（网络层 ） IP头部+TCP头部+应用程序数据 Ethernet Driver（以太网驱动层） 以太网头部+ IP头部+TCP头部+应用程序数据 +以太网帧尾部 Date38 （2）UDP协议 UDP方式，当流主机有数据时，就发送，它不管 发送的数据包是否达到目标主机，数据包是否有错， 收到的数据包的主机也不会告示被发送方是否正确收 到数据，因此，UDP是不可靠的数据传输方式。 （3）ICMP协议 ICMP与IP位于同一层上，用于传送控制信息， 主要提高有关通向目的地址的路径信息。ICMP的 Redirect信息通知主机通向其他系统的更准确的路径 ，而Unreachable信息则指出路径有问题。如果路径 不可用，ICMP可以使TCP连接终止。Ping命令是最 常用的基于ICMP的服务命令。 Date39 2.3电子邮件的安全 2.3.1 Email的工作原理和传输过程 Email即电子邮件，是一种用电子手段 提供信息交换的通信方式，也是全球网上最 普及型的服务方式，数秒内通过Email传遍 全球，它加速了信息交流。Email除传递信 件外，还可以传送文件声音，图形和图象（ 当作为附件）等信息。 Email不是“终端到终端”的实时服务， 而是“存储转发式”服务，它非实时通信，而 发送者可随时随地发送邮件，将邮件存入对 方电子邮箱，并不要求对方接受者实时在场 收发邮件，其优点是不受时空间约束。 Date40 Email邮件系统的传输过程包括用户代理 （Mail User Agent，MUA），传输代理（ Mail Transfer Agent，MTA）和接受代理（ Mail Delivery Agent，MDA）三部分。 用户代理是一个用户端发信和收发的程序 。 负责将信件按一定标准进行包头，然后送 到邮件Email服务器，将文件发出或由邮件邮件 服务器收到信件。 传输代理是负责信件的交换和传输，将信 件传送到邮件主机，再交接受代理。 接受代理将信件分发到不同的电子信箱， 收信人的地址。 根据简单邮件传输协议SMTP将信件传递 到目的地。 Date41 到邮件主机后，接受代理的POP（Post Office Protocol）网络邮局协议或网络中转协 议，使用户能在自己的主机读取这份邮件。 Email服务器是向全体开放，故有一个“路 由表”，列出了其他Email服务器的目的地地址 。 当服务器读取信头，如果不是发给自己时 ，会自动转发到目的地的服务器。 邮件系统的传输过程如图2.3所式。Email 当用户与站点交换Email时，存在下述的安全 问题。 Date42 z 发送方 邮件用户代理 MUA 邮件传输代理 MTA TCP协议连接 z 接受方 邮件接受代理 MDA 邮件传输代理 MTA 图2.3 电子邮件的传输过程 Date43 Email的正常服务靠的是Email服务协议来保证。 有以下几种Email相关协议： （1）SMTP协议 SMTP（Simple Mail Transfer Protocol）是邮件传输协议。经过它传递的电子邮件 都是以明文形式进行的，它不支持图象等服务。但 这种明文传输很容易被中途窃取，复制或篡改。 （2）ESMTP协 ESMTP(Extended SMTP)是扩展 型SMTP协议。主要有不易被中途截取，复制或篡改 邮件的功能。 Date44 （3）POP3协议 POP3（Post Office Protocol 3）协议是邮局 协议，其在线工作方式，有邮件保留在邮件服 务器上允许用户从邮件服务器收发邮件的功能 。 POP3是以用户当前存在邮件服务器上的全部 邮件为对象进行操作的。并一次性将它们下载 到用户端计算机中。但用户不需要的邮件也下 载了。以下介绍的IMAP4协议，就是针对这一 缺陷，加以克服的协议。POP3使邮件下载完毕 ，邮件服务器对这些邮件的暂存和托管，即告 完成。 Date45 （4）IMAP4协议 IMAP4（Internet Message Access Protocol）是Internet消息 访问协议。 为用户提供了有选择地从邮件服务器接收邮件的 功能。IMAP4在用户登陆到邮件服务器之后， 允许采取多段处理方式，查询邮件，用户只读 取电子信箱中的邮件信头，然后再下载指定的 邮件。 （5）MIME协议 MIME（Maltipurpose Internet Mail Extensions）协议的功能是将 计算机程序，图象，声音和视频等二进制格式 信息首先转换成ASCII文本，然后利用SMTP协 议传输这些非文本的电子邮件，也可随同文本 电子邮件发出。 Date46 2.3.2 Email的安全漏洞 （1）窃取Email。由于SMTP协议密钥验证系统。 从浏览器向Internet网上另一方发送Email时，要 经过许多路径上的网上设备，故入侵者在路径上可以 窃取Email或伪造Email。 （2）Morrisbug内有一种会破坏Sentmail的指令。 这种指令可使其执行黑客发出的命令。故Web提 供的浏览器更容易受到侵袭。 Date47 （3）Email轰炸，Email Spamming和Email炸 弹。 Email炸弹（End Bomb 和KaBomb）能 把攻击目标加到近百个Email列表中去。 Up yours是最流行的炸弹程序，它使用最少的 资源，又隐藏自身攻击者的源头而进行攻击。 Email轰炸是同一收件人会不停地接到大量同一 内容的Email，使电子信箱挤满，而不能工作 ，网络赛车。 Email Spamming是同一条信息被传给成千上 万的不断扩大的用户，如果一个人用久了 Email Spamming，那么所有用户都收到这封 信。 Email 服务器如果收到很多Email ，服务器会脱 网，系统崩溃，不能服务。 Date48 （4）Email 欺骗 Email 伪称来自网络系统管理员，要求用 户将口令改变为攻击者的特定字符串，并威胁 用户，如果不按此处理，将关闭用户的帐户。 （5）虚构某人名义发出Email 由于任何人可以与SMTP协议的端口联上 ，故攻击者可以虚构某人名义利用与SMTP协 议联上的端口发出Email。 由于Out Loon存在安全隐患，可让攻击者 编制一定代码让病毒自动执行，病毒多以 Email 附件形式传给用户，一旦用户点击该附 件，计算机就中毒。 不要打开不明的邮件，如果要打开附件， 先用防毒软件扫描一下，确保附件无病毒。 Email 成为计算机病毒最主要的传播媒介。 Date49 2.3.3Email 的安全措施 （1）配置Email加密措施 1数字证书 数字证书可以实现加密和认证身份。 保证邮件不被修改，保持邮件的完整性和保密性。 国内南方电子认证中心提供数字认证服务。 它是利用发件人的数字证书，在传送前对Email 进行数字签名，便可确定发件人的身份，而不是他 人冒充的。 数字证书是发件人唯一拥有的，故数字签名使发 件人无法否认自己发过这个邮件，存在不可否认性 的特点。 Date50 2 PGP加密签字和数字信封 PGP（Pretty Good Privacy）是广泛使用 的软件包，主要用来加密电子邮件。 它利用IDEA进行数字加密，根据不同的 RSA密钥长度，PGP支持512位，761位和 1024位的RSA密钥。 PGP通过数字加密和数字信封来保证保密性 服务，信息验证性服务，数字完整性服务和不 可否认性服务，以保证邮件确实来自发信人， 保证在邮件传送过程中没有被修改。 Date51 （2）常用的Email安全措施 1 在邮件系统中安装过滤器，在接收任何Email之 前，先检查（过滤）发件人的资料，删去可疑邮件 ，不让它进入邮件系统，但有时也会误删去有用的 邮件。 2 防止Email服务器超载，超载会降低传递速度或 不能收发Email。 3 如有Email轰炸或遇上Email Spamming，就要通 过防火墙或路由器过滤去来自这个地址的Email炸弹 邮包。 Date52 4 防止Email炸弹是删除文件或在路由的层次上限 制网络的传输。 另一种方法是写一个Script程序，当Email 连接到自己的邮件服务器时，它就会捕捉到 Email炸弹的地址，对邮件炸弹的每一次连接 ，它都会自动终止其连接，并回复二个声明指 出触犯法律。 Date53 5 采取匿名邮件，发送敏感信息。 发送者不希望收件者知道是谁发的，称为匿名 邮件，可使窥窃者不知此邮件的来由。 6 严禁打开Email附件中的可执行文件（.exe， com）及Word/Exel文档（包括doc和.xls等 ）。 因为这些多是病毒“特洛伊木马”的有毒文件。 其中最常见的是Back Orifice黑客程序，它会在 用户连入Internet网后被远端黑客控制，将密 码及文件盗走及破坏硬盘。 Date54 7 检查Windows目录中有否note.exe文件，应 用手工删除该文件，并将Win .ini中 RUN=NOTES.EXE删除，然后重新启动计算机 。以上67是一般Email能做到的不安全防范措 施。 Date55 2.4 域名系统的安全威胁 2.4.1 域名系统（DNS）的作用 域名系统（DNS）是一种用于TCP/IP应 用程序的分布式数据库，它的作用是提供主 机名字和地址只的转换信息。 当用户向一台服务器请求服务时，服务 器会根据用户的IP反向解析出该IP对应的域 名。 Date56 DNS会查漏内部的网络拓扑结构，故DNS 存在安全隐患。整个网络架构中的主机名，主机 IP列表，路由器名，路由器IP列表，计算机所在 位置等可以被轻易窃取。 攻击者控制了DNS服务器后，就会篡改 DNS的记录信息，利用被篡改的记录信息达到入 侵整个网络的目的。使到达原目的地的数据包落 入攻击者控制的主机。 DNS ID欺骗行为：黑客伪装的DNS服务器 提前向客户端发送响应数据报，使客户端的DNS 缓存里域名所对应的IP变成黑客自定义的IP，于 是客户端被带到黑客希望的网站。 2.4.2 域名系统的安全威胁 Date57 遇到DNS欺骗，先禁止本地连接，然后 启用本地连接就可消除DNS缓存。 如果在IE中使用代理服务器，DNS欺骗 就不能进行，因为这时客户端并不会在本地进 行域名请求。 如果访问的不是网站主页，而是相关子 目录的文件，这样在自定义的网站上不会找到 相关的文件。 所以禁用本地连接，然后再启用本地连 接就可以清除DNS欺骗。 2.4.3 域名系统的威胁解除 Date58 2.5 IP地址的安全问题 2.5.1 IP地址的安全威胁 (1)盗用本网段的IP地址，但会记录下物理 地址。在路由器上设置静态ARP表，可以防止 在本网段盗用IP。路由器会根据静态ARP表检 查数据，如果不能对应，则不进行处理。 (2)IP电子欺骗：IP欺骗者通过RAW Socket编程，发送带有发送伪造的源IP地址的 IP数据包，让一台机器来扮演另一台机器达到 的目的，获得对主机未授权的访问。 Date59 (1)通过对包的监控来检查IP欺骗。可用netlog 或类似的包监控工具来检查外借口上包的情况 ，如发现包的两个地址，源地址和目的地址都 是本地域地址，就意味有人试图攻击系统。 (2)安装一个过滤路由器，来限制对外部接口的 访问，禁止带有内部网资源地址包的通过。 当然也应禁止（过滤）带有不同的内部资源地址 内部包通过路由器到别的网上去，这就防止内 部的用户对别的站点进行IP欺骗。 2.5.2IP欺骗攻击的防备 Date60 (3)将Web服务器放在防火墙外面有时更安 全。如果路由器有支持内部子网的两个接 口，则易发IP欺骗。 (4)在局部网络的对外路由器上加一个限制 条件，不允许声称来自内部网络包的通过 ，也能防止IP欺骗。 Date61 2.6 Web站点的安全问题 2.6.1 Web站点的功能 Web是一种开放型系统，Web站点像一个自 由市场，具有交互性功能。一旦站点上网，用户 可以访问、检索、邮寄信息和邮寄文件、检索文 件。Web服务器要记录下如下信息：（1）IP地 址，（2）服务器/宿主名字，（3）卸载时间，（ 4）URL要求，（5）用户名（如果站点采取任何 形式的验证系统，服务器会记下用户名，也可通 过用户授权或在UNIX中通过标准协议获得用户名 ），（6）用户会话期间常用的形式及出现的 Date62 可变数据，（7）表格中所有变量值（当用户在 通信时填写表格时），（8）请求的状态，（9 ）传输数据的大小，（10）用户的Email地址 。这些信息都是暴露的，故存在安全威胁，成 为攻击对象，损害用户隐私。当Web服务器收 到每一次连接的访问，要保护访问站点上用户 的隐私。Web设计及管理者要建立安全策略和 不安全防范措施，以发现和追踪黑客的袭击。 Date63 Web服务器有以下安全漏洞： （1）安全威胁类来由渠道有以下渠道： a.外部接口；b.网络外部非授权访问；c.网 络内部的非授权访问；d.商业或工业间谍；e. 移动数据； （2）入侵者会重点针对访问攻击某一数据库 ，表，目录，达到破坏数据或攻击数据的目 的； （3）进行地址欺骗，IP欺骗或协议欺骗； （4）非法偷袭Web数据，如电子商务或金融 信息数据； 2.6.2Web服务器的安全漏洞 Date64 （5）伪装成Web站点管理员，攻击Web站 点或控制Web站点主机； （6）服务器误认闯入者是合法用户，而允 许他的访问； （7）伪装域名，使Web服务器向入侵者发 送信息，而客户无法获得授权访问的信息 。 Date65 1. 制定因地而异，因风险威胁类型而异的安全 策略。 （1）估计和分析外部入口有什么威胁和网络内 部有什么威胁？ （2）工业间谍和商业间谍的可能作为； （3）威胁是网络内部的非授权使用，还是移动 数据？ （4）数据会破坏还是被攻击，地址欺骗，IP欺 骗，还是协议欺骗？ （5）入侵者可能访问的数据库，目录或表格， 文件。 总之，因风险可能出现的类型制定安全策略。 2.6.3 Web站点的安全措施 Date66 2. 监控出入站状况 （1）测量访问次数，指数据站点上某一文件被访问的 次数。这可以用 /pub/shu/地址下载测量 访问次数工具，将此工具放在各种平台运行。一个月 如超过30万次访问一个文件，就要进行监控这个文件 ，这个指标直接影响安全保护。 （2）监控访问请求。监控访问请求时可针对以下问 题： 1服务器日常受访次数；2用户从那里连接；3一周 中那天最忙，一天中何时最忙；4服务器内那类信息被 访问？那些页面最受欢迎？每个目录下有多少页面被 访问；5每月目录下有多少用户访问？访问站点的是那 些浏览器？与站点对话的是那种操作系统？6那种提交 方式被选择次数最多？ Date67 （1）将Web服务器当作无权限的用户运行，很 不安全，故要设置权限管理。 （2）将敏感文件放在基本系统中，再设置二级系 统，所有敏感文件数据都不Internet网开放。 （3）要检查HTTP服务器使用的Applet脚本，尤 其与客户交互作用CGI脚本，以防止外部用户 执行内部指令。 （4）建议在Windows NT之上运行Web服务器 ，并检查驱动器和共享的权限，将系统设为只 读状态。 （5）采用Macintosb Web服务器更为安全，但 又缺少Windows NT的一些设置特性。 3. 常用的Web站点安全措施 Date68 （6）要克制daemons系统的软件安全漏洞。daemons 会执行不要执行的功能，如控制服务，网络服务，与时 间有关的活动以及打印服务。 （7）为防止入侵者用电话号码作为口令进入Web站点， 要配备能阻止和覆盖口令的收取那机制和安全策略。 （8）不断更新，重建和改变Web站点的连接信息，一般 Web站点只允许单一种类的文本作为连接资源。 （9）假定Web服务器放置在防火墙的后面，就可将 “Wusage”统计软件装在Web服务器内，以控制通过代 理服务器的信息状况，这种统计工具能列出站点上往返 最频繁的用户名单。 （10）安全在公共场所的浏览器，以被入侵者改变浏览器 的配置，并获得站点机要信息，IP地址，DNS入口号等 ，故要作防御措施。 Date69 2.7远程登陆（Telnet）的安全问题 远程登陆（Telnet）是提供Internet网上申请 登陆远程终端的程序。它是一种十分有用的远程申请机 制，它其实是模仿一个终端。不要作更多工作，就可以 为网上任何站点的用户提供远程申请。但Telnet只提 供基于字符（文本）的功能，而不具有提供图形的功能 。Telnet还允许用户执行另一台主机的命令，而不要 作特殊的约定。广州的用户可对武汉的主机进行终端仿 真，并运行武汉主机上的程序，就像广州用户在武汉一 样。 Telnet要用户认证，Telnet送出的所有信息是 不加密的，故容易被黑客攻击。是从远程系统申请站点 时最危险服务之一。故要参考本章其他章节中的不安全 防范措施，对当地站点与远程主机之间的网络通讯保证 安全，本节不再重点论述Telnet的不安全防范措施。 有了双方安全保障，就可将Telnet接入站点。为使 Telnet按去那还可选择本书有关安全认证方案，允许 为任何站点上的合法用户提供远程访问权限。 Date70 2.8文件传输（FTP）的安全问题 2.8.1文件传输（FTP）的功能 FTPFile Transfer Protocol文件传输协 议是提供用户在Internet网上主机之间进行收发 文件的协议。FTP使用客户机/服务器模式。当使 用客户端程序时，用户的命令要求FTP服务器传 送一个指定文件，服务器会响应这个发送命令， 并传送这个文件，存入用户机的目录中。 目前，FTP的安全问题是FTP协议自身的安全问 题及协议的安全功能如何扩展。安全防火墙，黑 客仍有可能访问FTP服务器，故FTP存在安全问 题。 Date71 （1）代理FTP中的跳转攻击 代理FTP是FTP规范PR85提供的一种允许客户端 建立的控制连接，是在两台FTP服务器传输文件的机 制。可以不经