（管理科学与工程专业论文）intranet安全技术分析与安全措施探讨.pdf

摘要 随着计算机技术的飞速发展，互联网在当今世界经济中变得 愈来愈重要，各企事业单位也纷纷构筑自己的内部i n t r a n e t 环 境。网络在给我们带来极大便利的同时，也导致了另外一个不容 忽视的安全问题。由于因特网本身在设计上的开放性，使其极易 受到攻击。而且，往往是由于网络管理人员对于安全问题的忽视 和相应的知识了解不够，才给一些人造成可乘之机。因此，要想 更好地保护自己不受到侵害，就必须对常见的攻击技术有一定的 了解。只有对各种攻击手段及攻击原理有了深入认识，才能采取 更有效、更有针对性的防范措施，从而把损失降低到最小程度。 尤其对于企事业i n t r a n e t ，由于其一般均涉及到内部机密，因此， 提高安全意识，加强安全措施更显得尤为迫切和重要。 本文详细介绍了因特网上目前常见的各种攻击手段和攻击原 理，并结合大连柴油机厂内部网络的实际情况对i n t r a n e t 的安全 特性和防范措旌进行了一定探讨，其中重点分析了防火墙技术、 防病毒技术和入侵检测技术。在最后，本文就大连柴油机厂的网 络安全建设提出了建议方案。 关键词：i n t r a n e t 安全：防火墙：病毒防范：入侵检测 a b s t r a c t w i 也t h eh i g hd e v e l o p m e n to ft h ec o m p u t e rt e c h n o l o g y , n t e m e t i sp l a y i n gam o r ea n dm o r ei m p o r t a n tr o l ei nt h ew o r l de c o n o m ya n d a l lk i n d so f o r g a n i z a t i o n sa n dc o m p a n i e sa r ec o n s t r u c t i n gt h e i ro w n i n t r a n c te n v i r o m e n t n o w a d a y s w h e n w ea r e e n j o y i n g t h e b i g c o n v e n i e n c eo fn e t w o r k ，t h e r ei sa l s oas e r i o u sn e t w o r ks e c u r i t y p r o b l e mw h i c h w ec a n ti g n o r e t h eo p e n n i n go fi n t e r a c tt e c h n o l o g y i nt h ed e s i g nm a k e si t s e l fv e r yf r a g i l ea n du n d e ral o to fr i s ko f b e i n g a t t a c k e d m o r e o v e r , b e c a u s es o m en e t w o r km a n a g e r su s u a l l yi g n o r e t h es e c u r i t yp r o b l e ma n da r el a c ko f e n o u 曲r e l u c t a n tk n o w l e d g e ，i t a l s o g i v c st h eo f f e n d e r sl o t so fo p p o r t u n i t i e s s o ，i t se s s e n t i a lt o k n o wt h et y p i c a la t t a c kt e c h n o l o g yi no r d e rt op r o t e c to u r s e l ff r o m a t t a c k i n g o n l yw i 也t h ed e e pu n d e r s t a n d i n go f t h ek n o w l e d g eo nt h e t y p i c a l a t t a c km e t h o r d sa n dt h e o r i e s ，w ec a l lt a k es o m em o r e e f f e c t i v ea n dm o r e s p e c i f i cd e f e n d i n gm e a s u r e s ，a n dd e c r e a s et h el o s s t ot h el o w e s t1 e v e l a st o 也ec o m p a n i e sa n do r g a n i z a t i o n s b e c a u s e t h e i rn e t w o r k su s u a l l yi n c l u d et h ei n t e r n a ls e c r e t sa n dd a t a ，i t i s e s p e c i a l l yi m p o r t a n ta n du r g e n tt oi m p r o v et h es e c u r i t ys e n s ea n d s t r e n g h t h e nt h es e c u r i t ym e a s n r e s t h i sp a p e ri n t r o d u c e st h e t y p i c a la t t a c km e t h o r d sa n dt h e o r i e s i n i n t e r a c t , a n dd i s c u s s e s t h e s e c u r i t y f e a t u r e sa n d d e f e n d i n g m e a s u r e so fi n t r a n e ta c c o r d i n gt h er e a ls t a t eo fd a l i a nd i e s e lg r o u p s i n t r a n e t b a s e do nt h i s ，t h e t e c h n o l o g yo ff i r e w a l l ，a n t i v i r u sa n d i n t r u s i o nd e t e c t i o ni s e s p e c i a l l ya n a l y s e d t h ec o n c l u s i o n so ft h i s d i s s e r t a t i o na l ea sf o l l o w s ：n e t w o r ks e c u r i t yi sn o to n l ya t e c h n o l o g y p r o b l e m ，b u ta l s oam a n a g e m e n tp r o b l e m a tt h ee n d ，t h i sp a p e r p u t s f o r w a r da s u g g e s t i o np r o j e c to fi m p l e m e n t a t i o no ff a wd a l i a nd i e s e l g r o u p si n t r a n e t ， k e yw o r d s ：i n t r a n e ts e c u r j t y ：f ir e w a l i ：a n t i - v i r u s i n t r u s i o nd e t e c t i o ns y s t e m i n t r a u e t 安全技术分析与安全措施探讨 1 网络安全概述 1 1 网络安全基本概念 网络安全从其本质上来讲就是网络上的信息安全。凡涉及到 网络上信息的保密性、完整性、可用性、真实性相关的问题，都 属于网络安全研究的领域。通常指网络系统的软硬件及其系统中 的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、 泄漏，使系统连续可靠地运行，保证网络服务不中断。 网络安全是一个十分复杂的课题，一般来讲包括物理安全和 逻辑安全两个方面。对于前者主要是加强机房及设备管理，如门 卫、钥匙等硬件安全手段。而对于后者，主要指采用口令认证、 权限等访问控制方法来实现。网络安全的具体含义随着“视角角 度”的变化而变化。比如：从用户( 个人、企业等) 的角度来说， 他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机 密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒 充、篡改、抵赖等手段侵犯用户的利益和隐私造成损害和侵犯， 同时也希望当用户的信息保存在某个计算机系统上时，不受其他 非法用户的非授权访问和破坏。从网络运行和管理者角度说，他 们希望对本地网络信息的访问、读写等操作受到保护和控制，避 免出现病毒、非法存取、拒绝服务、网络资源非法占用和非法控 制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说， 他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防 堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大 损失。 1 2 黑客定义 说起网络安全，就不能不提到黑客。黑客起源于英文“h a c k e r ” 的音译，最早出现在5 0 年代美国麻省理工大学的实验室中。黑客 的定义十分复杂，是网络时代最有争议的话题之一。通常包括两 重含义，一方面有赞同的意味，指电脑技术高超者；另一方面又 有贬义，指恶作剧者。 i n t r a n c t 安全技术分析与安全措施探讨 早期的黑客主要是一些计算机高手，祟尚个性和自由，追求 技术包新，热衷于解决难题，他们当中的优秀者包括微软的比尔 盖茨、诺顿公司的彼得诺顿，苹果公司的乔布斯等。黑客们开创 了分时技术，发明了新闻组、电子邮件，极大地促进了计算机及 网络的发展j 。 但是，随着计算机及网络的普及和电子商务的蓬勃发展，黑 客们的攻击行为开始变得具有更大的破坏性。在人们眼里，这时 的黑客逐渐成为网上捣乱分子甚至犯罪分子的代名词。网络遭到 黑客袭击和各种网络犯罪的事件屡见不鲜，2 0 0 0 年2 月雅虎、亚 马逊、c n n 等美国数家顶级互联网站遭到黑客联合袭击陷入瘫痪 就是当中的一个典型例子。 当今世界正逐步进入信息化时代，各国之间的竞争已经是高 科技技术和人才的竞争，落后就要挨打。我们研究黑客技术，或 者说攻击技术，目的在于发现和消除系统漏洞，更好地提高我们 的安全防卫技术水平，促进我国计算机和网络技术的发展，保障 我国在信息化建设中的国家安全。从这一点上来说，我们研究黑 客技术是具有积极意义的，这也是中国的黑客 f 】自称为红客的原 因。但同时必须说明的是，正如一名黑客所言：“真正的黑客，在 于进入而不破坏”，任何利用黑客技术从事不正当行为的活动， 都是法律和道德所不允许的。 1 3 网络安全现状 1 3 ，1 网络安全的重要性 随着计算机及网络在人类生活各个领域的广泛应用，信息网 络已经成为社会发展的重要保证。信息网络涉及到国家的政府、 军事、文教等诸多领域。其中存贮、传输和处理的信息有许多是 重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票 证券、能源资源数据、科研数据等重要信息。有很多是敏感信息， 甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击 ( 例如信息泄漏、信息窃取、数据篡改、数据删添等) 。此外，最 初i n t c r n c t 主要面向研究，其通信协议栈建立在主机之间的信任 i n t r a n e t 安全技术分析与安全措施探讨 基础之上，旨在进行自由开放的信息交换，而对安全方面的考虑 较少，这都给予网上黑客们可乘之机。同时，网络实体还要经受 诸如水灾、火灾、地震、电磁辐射等方面的考验。 近年来，计算机网络被非法入侵的事件不断发生，计算机病 毒不断产生和传播，导致重要机密被窃或者网络瘫痪，给各个国 家以及众多公司造成巨大的损失。计算机网络犯罪案件急剧上升， 已经成为普遍的国际性问题。而且，这类犯罪大都具有瞬时性、 广域性、专业性、时空分离性等特点。通常罪犯很难留下犯罪证 据，这大大刺激了计算机高技术犯罪案件的发生。据美国联邦调 查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每 笔犯罪的平均金额为4 5 0 0 0 美元，每年计算机犯罪造成的经济损 失高达5 0 亿美元，并已成为严重的社会问题之一1 7 j 。因而，计 算机网络安全逐渐成为一个关系国家安全和主权、社会稳定的重 要问题。并且越来越引起世界各国的广泛重视。 1 3 2 我国互联网络发展的宏观概况 近几年来，我国互联网应用发展很快，根据中国互联网络信 息中心( c 蛆c ) 最新的“中国互联网络发展状况统计报告”，截 至到2 0 0 2 年1 月，我国上网计算机数已达约1 2 5 4 万台；上网用 户人数约3 3 7 0 万人：w e b 站点包括( c n 、c o m 、n e t 、o r g 下的网站) 约2 7 7 1 0 0 个；用户平均上网时间也增长到每周8 5 小 时，平均每周收到电子邮件数8 6 封，发出电子邮件数6 8 封。 由上述数据我们可以看出，网络在我国正处于蓬勃发展中， 建立在互联网上的各种计算机应用信息系统正在我国政治、经济、 文化等各项领域中发挥着越来越重要的作用。 1 3 3 我国网络安全概况 在信息化社会中，网络的正常运行与安全保障对人们日常工 作生活的重要性日益突出。在国际交往中，网络安全甚至关系到 国家的主权和安全，特别是关键信息的流失或者被篡改，都可能 造成不可想象的损失，具有十分重要的意义。” 我国网络建设在硬件设备上严重依赖国外，例如我国 c h i n a n e t 有8 0 的设备采用的是美国c i s c o 公司的产品，网络的 设计安装大都出国外的工程师完成。网络安全存在重大隐患。据 中国计算机报1 9 9 8 年3 月1 2 报道，美国出口中国的密钥上 为政府留了一个1 ：3 ，供美国政府随时启动，出口中国的的计算机 系统安全等级也只有c 2 级，为美国国防部规定的8 个级别中倒 数第三。美国黑客要进入中国的网络简直如履平地。假设有一天 发生国家间的对抗，我们的网络很容易被别人搞瘫痪，这并不是 耸人听闻的话。 国内的网络安全管理也存在不少漏洞。1 9 9 6 年底国家安全部 对几家网络进行的安全措施评定结果表明，国内的网络安全措施 不尽人意。英国的s e c t t r y 集团在1 9 9 6 年底也对中国原邮电部的 网络进行了测试，轻易地发现了许多漏洞。它在提交的报告中声 称，几分钟内就可以让原邮电部的网络瘫痪。 更令人担忧的是，在c n n i c 的调查统计中，我国网络用户 中认为目前网络安全状况一般或感到比较满意的竟然占了7 0 以 上；e m a i l 用户中能经常更换密码的只有7 4 ，很长时间不变甚 至从来不更换密码的用户占绝大多数。这表明，目前网络安全闯 题还没有引起人们的广泛重视，网络用户的安全意识还很薄弱。 在信息基础设施建设时，有些部门的计算机操作系统以及工程中 的硬件设备、软件程序都原封不动地从国外引进，不加任何安全 保护措旌。有的部门对要引进的网络不进行深入的研究和论证， 不组织有关人员对其性能和安全技术等问题进行测试和分析。国 内建立的各种计算机网络有的没有任何安全措施，有的安全措施 十分薄弱，有的技术单一、方法简单。网络安全在保证国家国体、 政体、意识形态的完整性，保证企业财产不被破坏，保证个人隐 私不被侵犯方面都有着极为重要的意义。我国的网络安全问题不 能不让人担忧! 近年来，我国政府高度重视网络安全，国务院信息化工作领 导小组已成立安全工作组及其专家组，国家安全部、公安部、国 家保密局等职能部门进一步加强了关于信息安全的组织和协调分 工。 从1 9 9 6 年开始，国务院信息办就启动了第一期信息安全研 究项目，这些项目包括：信息安全总体战略研究、信息安全标准 i 脯鞠e t 安全技术分析与安全措旄探讨 研究、国际信息安全技术和政策法律跟踪的研究等2 0 多个课题， 第一期项目成果已经开始鉴定验收和推广应用。我国将逐步建立 一批国家信息安全基础设施，包括：国际出入口监控中心、安全 产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢 复中心、系统攻击和反攻击中心、网络安全紧急处置中心、信息 战防御研究中心等。我国已研制成功了安全路由器、保密网关、 防火墙以及各种环境下的加密机等一批网络信息安全的关键设 各。 2网络攻击常用技术分析 2 1 常用攻击原理剖析 2 1 1 口令破解原理( p a s s w o r dc r a c k i n g ) 所谓口令破解就是指用一些软件解开经过加密的口令文档， 或者采用绕开或者屏蔽口令保护的方法而达到目的，这类程序通 常称之为“c r a c k ”程序。下面就是攻击口令的常用手段。 一通过猜测破译系统口令。 ( 1 ) 直接猜测 根据安全专家对一些系统的测试，很多系统都使用诸如管理 员姓名、生日或者公司名称作为口令，更糟糕的情况则是网络上 很多系统使用系统默认口令或根本就没有设口令，如 “a d m i n i s t r a t o r ”、“g u e s t ”等。这些十分易于猜测的口令几乎没 有什么保护作用，令攻击者不费吹灰之力便轻松进入系统。 ( 2 ) 字典猜测法 是黑客最常用的方法之一。攻击者运行一个程序，将一两本 字典的单词条目一个一个的作为口令，对系统进行测试，直至成 功为止。能利用这种方法的前提是构造一个好的字典。 ( 3 ) 穷举猜测法 又称作暴力破解，就是对所有可能的口令组合都进行测试， 这种方法从理论上讲能够破译一切口令。但这种猜测方法对字母 加数字组合而成的口令的测试次数是呈指数增长的，对于一些复 杂的口令由于破解代价太大而实际不可行。 二利用窃来的口令进行攻击。 ( 1 ) 借用别人的口令进入系统 能借用别人的口令进入系统，多数情况是由于系统用户的不 经意所造成。粗心的内部用户，轻易的将自己的口令与别人共享， 共享人又与他人共享这一口令，结果就造成了口令的半公开状态。 或者是工作时，用户的口令为居心不良者偷看，也可以算是在借 用别人口令进入系统。 ( 2 ) 利用以前的口令攻击系统 这种情况最容易出现在那些被解雇的雇员身上。由于网络管 i n t r a n e t 安全技术分析与安全措施探讨 理员的疏忽，雇员被解雇后，往往需要一段时间后，他的账号才 被作废。在此期问，他本人或得知他口令的其他人，都成了系统 的合法用户，从而有可能造成危害。 ( 3 ) 绕开口令系统。 在许多网络中，攻击者甚至根本不需要知道口令就能进入系 统。网上己经有很多用于实现这一功能的共享软件，但该类软件 的运行一般需要使用者能够对系统管理控制台进行物理访问。 2 1 ，2 特洛伊木马术原理( t r o j a n h o r s e ) 特洛伊木马攻击法源于希腊神话传说的一个故事，其思想就 是将预谋的功能隐藏在公开的功能中，以掩盖真正的企图。它的 特点是至少拥有两个程序，一个工作在服务器端( 目标主机) ，一 个工作在客户端( 本地主机) 。服务器端程序能够不断将其所在主 机的数据通过某个隐蔽的端口传送给本地主机，并接受客户端的 命令对目标主机进行各种操作。 特洛伊木马攻击的一般步骤是： ( 1 ) 编制特洛伊木马程序，包括客户端和服务器端。 ( 2 ) 通过某种手段将服务端程序安装于目标主机上，并随 目标主机运行而运行。 ( 3 ) 在客户端通过某一端口建立与服务器端的连接。 ( 4 ) 通过“木马”远程控制目标主机。 2 1 - 3 网络监听( s n i f f e r ) 由于网络节点或工作站之间的信息交流归根到底是比特流 在物理信道上的传输，而且现今很多的数据传送为明文传送，因 此只要能截获所传比特流，就可以从中窃听到很多有用的信息。 截获比特流通常要借助于硬件设施，先进的监听装置可阻通过线 缆四周的磁场变化甚至通过远距离收集显示器的电磁辐射而捕获 其中的信息。在一个广播型的网络中，由于所有网卡均能接受到 所传输的信息，监听的实施尤为容易。 i n t r a n e t 安全技术分析与安全措施探讨 2 1 4 病毒攻击( v i r u s ) 纵观今年全球病毒的发展，不难发现病毒接踵而至，如爱虫、 红色代码、蓝色代码、尼姆达等，在用户饱受痛苦之余，也着实 让杀毒市场火了一把。其实，病毒作为一种有效的攻击手段，甚 至可用于实战中。海湾战争中的美军就曾经在空袭巴格达的战斗 中，成功地使用计算机病毒破坏了对方的指挥系统，使之瘫痪， 保证了战斗的顺利进行。 中华人民共和国计算机信息系统安全保护条例( 1 9 9 4 年 2 月1 8 日) 第二十八条中明确指出：“计算机病毒，是指编制或 者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计 算机使用，并能自我复制的一组计算机指令或者程序代码”。 计算机病毒的主要特征是：通过不断地复制自己来传播、执 行恶意的破坏性代码，或占用大量的系统资源，最终使系统瘫痪， 甚至造成硬件的损坏，如c i h 、以及蠕虫病毒。蠕虫虽然并不修 改系统信息，但它极大地延缓了系统和网络的速度，给人们带来 了麻烦。 就其本质而言，计算机病毒是一种具有自我繁殖能力的程 序。复制性、传播性和破坏性是其主要特征。但近来计算机病毒 无论是从数量、品种、生存能力、传播速度、途径、范围，以及 造成的损失来看，都和传统病毒有了很大的区别，从过去的单机 传染到现在的跨平台网络传播，其危害性正与日俱增。 2 1 5 缓冲区溢出原理饵u f f e ro v e r f l o w ) 缓冲区溢出，指通过向程序的缓冲区写入超出其长度的内 容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行 其他指令，以达到控制系统，实施攻击的目的。据统计，通过缓 冲区溢出进行的攻击占所有攻击总数的8 0 以上。 造成缓冲区溢出的原因是程序中没有仔细检查用户输入的 参数。例如下面的程序： e x a m p l e l ： v o i df u n c t i o n ( c h a r + s t r ) f i n t r a n e t 安全技术分析与安全措施探讨 c h a rb u f f e r 16 j ； s 订c p y ( b u f f e r , s t r ) ； 上面的s l r c p y o 将直接把s t r 中的内容复制到b u f f e r 中，这样 只要s 订的长度大于1 6 ，就会造成b u f f e r 的溢出，使程序运行出 错。存在像s t r c p y ( ) ：i 塞_ 样问题的标准函数还有s t r c a t o 、s e a - f 0 、g e t c ( ) 等。 当然，随便往缓冲区中填东西造成它溢出一般只会出现 “s e g m e n t a t i o nf a u l t ”错误，而不能达到控制系统，实施攻击的 目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户 s h e l l ，再通过s h e l l 执行其他命令。 那么，如何制造缓冲区溢出呢? 一个程序在内存中通常分为 程序段、数据段、堆栈三部分。程序段中存放程序代码和静态局 部变量，数据段中存放全局变量，而动态数据则存放在堆栈中， 用来保留函数的调用现场、函数返回值、a u t o 变量等。 当程序中发生函数调用时，计算机做如下操作：首先把参数 压入堆栈；然后保存指令寄存器( i p ) 中的内容做为返回地址 ( r e t ) ；第三个压入堆栈中的是基址寄存器( f p ) ；然后把当前 的栈指针( s p ) 拷贝到f p ，作为新的基地址；最后为本地变量留 出一定空间，把s p 减去适当的数值。 e x a m p l e 2 ： v o i df i m c t i o n ( c h a r + s t r ) c h a rb u f f e r 1 6 ； s t r c p y ( b u f f e r , s 仃) ； v o i dm a i n ( ) c h a r l a r g e _ s t r i n g 2 5 6 i n t i ； f o r ( i _ 0 ；i 2 5 6 ；i + + ) i n t r a n e t 安全技术分析与安全措施探讨 l a r g e _ s t r i n g i 2 a ： f u n c t i o n ( 1 a r g e _ s w i n g ) ； 当调用函数f u n c t i o n 0 时，堆栈如图2 1 所示： 毫无疑问，程序的执行结果是“s e g m e n tf a u l t ( c o r ed u m p e d ) ” 或者类似的出错信息。因为从b u f f e r 开始的2 5 6 个字节，包括栈 基址寄存器s f p 、返回地址r e t 、甚至参数+ s t r 的空间都将被* s t r 指向的内容a 覆盖。a 的1 6 进制值为0 x 4 1 ，所以函数的 返回地址变成了0 x 4 1 4 1 4 1 4 1 ，这超出了程序的地址空间，所以出 现段错误，在w i n d o w s 9 8 下使用t c 2 0 编译运行显示的结果为： 非法操作，中止运行。 低端内存高端内存 栈顶b u f f e r 图2 1 缓冲区溢出 f i g u r e2 1 b u f f e ro v e r f l o w s 订栈底 如果将上例中的a 替换成执行代码( 一般为黑客程序) 并 写入缓冲区，只需覆盖返回地址r e t 的内容，使它指向缓冲区的 开头，就可以达到运行其他指令的目的。 2 1 6 利用系统自身漏洞攻击( s y s t 锄l e a k s ) 这类的工具太多了，数也数不过来，因为操作系统的错误漏 洞实在是太多了。据国家计算机网络与信息安全管理工作办公室 对近年来我国网络的攻击事件统计调查表明，大部分的网络攻击 是利用现有的工具对近期发现的系统漏洞进行攻击。这类攻击手 o i n t r a n c t 安全技术分析与安全措施探讨 法相对比较单一，只要下载相应的补丁程序即可有效防护。但是 由于国内许多网站的技术人员水平较低，安全意识比较薄弱，才 给攻击者以可乘之机。 “想要成为真正的黑客就要真正地h a c k i n g ，即读遍所有有关 系统安全或系统漏洞的资料”。黑客的工作就是要通过发现漏洞， 了解系统的运行机理，从而更好地掌握计算机技术，大幅度提升 自己的技能，黑客的精髓正在这里。典型的攻击例子有w i n d o w s i i su n i c o d e 漏洞等。同时应注意到，针对操作系统的攻击工具虽 然很多，但一般没有流传很广或者能够使用很长时间的，因为系 统漏洞一旦被发现，生产厂商就立即发补丁纠正了。 2 1 7 拒绝服务攻击( d o s ) 又称作“系统极限攻击”，如电子邮件炸弹、口炸弹。其利 用系统的极限进行攻击：如系统的电子邮箱容量不可能无穷大， 网络服务处理能力不可能无穷大等等。目的就是使系统超负荷而 瘫痪，而且实施较简单，因而具有很大的破坏作用。 电子邮件炸弹之所以可怕，是因为它大量消耗网络资源。一 般网络用户的邮件账户存储容量一定，如果用户在极短时间内收 到成百上千封电子邮件，而每个邮件又占据了一定的容量，那么 邮件的总容量恨容易就超过用户账号信箱所能承受的负荷。在这 种情况下，用户不仅不能再接受其他人发来的电子邮件，甚至用 户所在的服务器也会因为“超载”而导致死机。 i p 炸弹的原理是在一段时间内连续向某个服务器发送i p 包，不仅能使该服务器因负担过重而瘫痪，而且令更广泛内的网 络性能也会大幅度下降。2 0 0 2 年2 月中旬，美国一些著名的网站 如y a h o o 、亚马逊书店等均遭到大规模的这类攻击，其中y a h o o 的服务器两天不能恢复，而且导致当时全美国的网络速度只有正 常水平的1 3 。 2 2 常用攻击工具 2 2 1 攻击软件分类 i n t r a n e t 安全技术分析与安全措施探讨 现有的攻击软件之多，已达到令人难以想象的程度，数不胜 数。从攻击的操作系统和工作平台的角度来说，一般有两大类： 工作在u n i x 系统下或工作在w i n d o w s 系统下。同时，各个攻击 软件所攻击的对象和目的也不尽相同，又可阱分为若干小类。有 的专门攻击e - m a i l 系统，有的专门破解密码，有的专门监听窃取 信息数据，有的试图远程控制，不一而足。下面就一些比较有代 表性的国内黑客软件作一简单介绍。 2 - 2 2 常用黑客软件简介 1 ) 冰河 十分著名的国产木马，免费软件，主要用于远程监控。 具体功能包括：自动跟踪屏幕变化、记录各种口令信息、 获取系统信息、限制系统功能、任意操作文件及注册表、远 程关机、发送信息等多种监控功能。 2 ) 小榕流光 在线密码破解软件，免费。具有出色的字典( 附带字 典生成程序，可由用户自己生成字典) ，集成了扫描功能， 可探测主机的类型，开放的端口，以及验证主机用户，功 能十分强大。 3 ) 网络刺客 功能包括：网络嗅探( s n i f f e r ) 、因特网共享资源扫描 ( s h a r es c a n ) 、在线口令检测( p a s s w o r dc h e c k ) 、以及其它 许多实用有效的网络工具( n e t w o r kt o o l s ) 。 2 3 典型的入侵过程 绝大多数攻击者并非天才，他们经常利用一些别人使用过的 并在安全领域广为人知的技术。在网上有许多描述系统安全漏洞 的文章，而一些入侵者所著的文章极详尽地描述了这些技术，并 且可在i n t e m e t 成千上万的站点上找到它们。在这些文章里详细 地讲述了如何完成某类攻击，甚至提供相应的程序可用。然而， 尽管许多攻击软件所利用的系统漏洞早已不是秘密，但由于许多 i n t r a n e t 安全技术分析与安全措施探讨 管理员对安全关注过少，许多系统中这些漏洞仍然存在，是造成 入侵和被攻击的重要因素。 入侵一般来讲有四个步骤，也就是我们经常听到的“f o u r s t e p s t oh a c k i n g ”，这四步是： ( 1 ) 寻找目标，收集信息 决定一个攻击目标，即准备进攻的系统。攻击前尽可能地了 解目标，包括各种信息的扫描和收集，如机器名、i p 地址、机器 类型，采用的操作系统平台和版本，目标机器开放的服务和端口、 甚至机器的属主和单位等，越详尽越有利于以后的攻击。在收集 足够的信息之后，再将这些线索联系起来，组成一个攻击计划， 以最短的时间和经历攻取目标。 ( 2 ) 初始访问系统 这是真正攻击的开始，它可以是f t p 、t e l n e t ，或者利用 s e n d m a i l 漏洞登陆等的正式访问，这一步的目的就是创造一个入 侵的机会。 ( 3 ) 获得完全的访问权限。 在这一级上，入侵者完全进入了目标主机系统，并在系统内 做各种工作，例如取得密码文件进行破解、放置木马、拷贝敏感 文件等。这一步还包括利用系统漏洞或者管理员的配置疏忽来取 得更高的权限。 通常在攻击一个系统得手后，攻击者往往不会就此罢手。他 会在系统中寻找相关的可用信息，例如安装一个监听程序，这样 便几乎可以掌握整个局域网。或者以此机为“跳板”，继续攻击 其他主机。 ( 4 ) 覆盖痕迹，安装后门 在这时，入侵者已经完全完成了攻击，并开始做一些善后清理工 作，如修改系统目志等，以抹去攻击的痕迹。 n t r a n 时安全技术分析与安全措施探讨 3in t r a n e t 安全解决方案 3 1i n t r a n e t 安全分析 3 1 1i n t r a n e t 概述 i n t r a n e t 是指采用i n t e r n e t 的相关技术建立的企业内部网， 是i n t e r n e t 在企业内部信息系统的应用和延伸。企业利用 i n t e r n e t 技术构建内部网络，连接雇员、合作伙伴以及客户，对 外提供广告宣传、技术支持等服务，充分利用i n t e r n e t 提供的信 息资源：对内则用于企业内部事务处理、信息交换、信息共享、 信息获取以及网上通信、网上讨论等，如举行多方网络会议。 从功能上看，i n t r a n e t 除了能提供i n t e r n e t 的基本服务( 例 如：d n s 、e - m a i l 、w w w 、f t p 等) 外，还应增添企业计算机需要的一 些功能，例如数据库系统、m 1 s 系统、办公自动化等应用。 企业大规模采用i n t r a n e t 技术始于1 9 9 5 年的下半年，随着信 息技术在现在社会经济生活中的日益普及，可以说，i n t r a n e t 越 早成为企业基础结构中的核心组成部分，企业就可以越早地从中 获益。 目前，企业i n t r a n e t 的应用主要包括以下儿个方面： 1 ) w e b 信息发布，如企业通知和简讯、职员信息、产品信息、 各种统计报表等。利用i n t e r n e t 的及时性和广泛性，企业 可以不受时间和地域的限制进行自我宣传。 2 ) 电子邮件，必不可少的一项重要功能。 3 ) 协同工作，i n t r a n e t 已从单纯的制作和展示信息步入内容 丰富的协同工作和信息交流，为企业内不同职能部门的合 作提供各种服务和保障。 4 ) 电子商务，随着i n t e r n e t i n t r a n e t 的普及和宽带网技术 的成熟运用，一种新的商业模式应运而生。顾客通过网上 进行购物，企业通过网上销售其产品和服务，不仅大大缩 短了流通时间，减少流通环节，更重要的是降低了成本， 提高了企业的竞争优势，也方便了顾客。 1 4 i n 七孤d 安全技术分析与安全措施探讨 3 1 2i n t r a n e t 的安全需求 与i n t e r n e t 的开放性和学术性不同，企业信息的共享和交换 往往更具有安全控制的需要。企业内部网由于用户多、资源共享 程度高，因此所面临的威胁和攻击是错综复杂的，企业内部网入 侵者不但会想办法窃取、纂改网上的机密信息，还可能会对网中 的设备进行攻击，使企业内部网设备瘫痪。为了保护企业内部网 信息的机密性、维护信息的完整性、减少病毒感染、保护企业内 部网设备，我们就必须加强对企业内部网安全的管理。 企业内部网中常见的不安全因素有以下几个方面： 1 ) 企业内部网操作和控制系统的复杂性妨碍了对企业内部 网安全的确认和管理。 2 ) 企业内部网具有未知的边界，企业内部网可能与一些它 不知道的用户存在潜在的连接； 3 ) 内部信息传输的保密性。 4 ) 日益严重的病毒威胁。 3 1 3i n t r a n e t 的安全策略 根据上述的网络安全隐患和漏洞，并鉴于安全问题研究的特 殊性。i n t e r n e t i n t r a n e t 信息安全系统需要实现三种 i n t e r n e t i n t r a n n e t 安全服务：信息的秘密性、真实性和完整性保 护；访问控制；系统保护。制定一个成功的网络安全策略并不是 容易的事，不是人们通常所认为的系统管理员自己的事，事实上 它需要全公司人员的通力合作，尤其是企业管理部门。一般来说， 企业管理人员制定公司的总体安全策略，系统管理员提供技术咨 询和支持，并且系统管理员也要根据总体策略来制定一些总体的 安全策略。 现在国内有很多公司或事业机构创建了i n t r a n e t 并且连入了 因特网。大多数人认为只要有防火墙，就可高枕无忧了，但是实 际上防火墙战略只是总体安全战略中的一部分。例如，即使网络 管理员是一个网络安全专家，而且防火墙上可以说是无任何安全 漏洞。但安全意识淡薄的职员可能会报怨防火墙限制太多，而用 拨号万式连入了因特网，这无疑给黑客以可趁之机，因为他可以 i n t r a n e t 安全技术分析与安全措施探讨 绕过坚固的防火墙而进入用户的网络内部。另外有些黑客实施社 会工程攻击( s o c i a le n g i n e e r i n g ) ，他采取欺骗的手段让职员吉 诉他机器的口令。所以，人是安全策略的中心，安全政策实施好 坏取决于人员的素质，对职工进行定期培训无疑是一种好的办法。 除了人为的原因，另外一个因素也防碍着安全策略的执行， 那就是网络安全系统本身配置十分复杂，需要丰富的计算机知识， 这对管理员的要求十分高。结果，低水平的系统管理员常常会出 现配置错误，这样就造成了安全漏洞。另一方面，国外软件公司 开发的网络安全系统的使用说明大多是英文的，这对于我国许多 网络管理员而言也是个实际存在的障碍。 总之，一个好的安全策略实行效果取决于普通职员的安全意 识和网络管理员的计算机水平。下面首先介绍i n t r a n e t 应具有的 一些基本安全措施。 3 2 防火墙技术( f ir e w a | i ) 3 2 1 防火墙基础知识 防火墙是这样的系统( 或组系统) ，它能增强机构内部网络 的安全性，加强网络间的访问控制，防止外部用户非法使用内部 网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感 数据被窃取。防火墙系统还决定了哪些内部服务可以被外界访问， 外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内 部人员访问。所有来往于i n t e r n e t 的信息都必须经过防火墙并 接受检查。防火墙只允许授权的数据通过，并且防火墙本身也必 须能够免于渗透。但是，防火墙系统一旦被攻击者突破或迂回， 就不能提供任何的保护了。 从技术实现上来看，防火墙实际上是一个独立的进程或一组 紧密联系的进程，运行于路由器或服务器上，控制经过它们的网 络应用服务及传输的数据。安全、管理、速度是防火墙的三大要 素。防火墙已成为实现网络安全策略的最有效的工具之一，并被 广泛地应用到i n t e r n e t i n t r a n e t 的建设上。 防火墙作为内部网与外部网之间的一种访问控制设备，常常 i n t r n e t 安全技术分析与安全措拖探讨 安装在内部网和外部网交界的点上，通常位于等级较高的网关或 网点与i n t e r n e t 的连接处，如图3 1 所示。 需要注意的是，防火墙是路由器、堡垒主机、或任何提供网 络安全的设备的组合，是安全策略的一个部分。安全策略建立了 全方位的防御体系来保护机构的信息资源，如果仅安装孤立的防 火墙系统，而没有制定全面的安全策略，那么防火墙就形同虚设。 防火墙系统 - l i - - 一一- 一一 - l 一一- 一_ 一一- 一一- 匾厂翮 图3 1 防火墙系统示意图 f i g u r e3 1 t h ef t r e w a l ls y s t e m 使用防火墙的好处是： ( 1 ) 防止易受攻击的服务。防火墙可以大大提高网络安全性， 通过过滤不安全的服务来降低子网网络环境的风险，因为只有经 过选择的协议才能通过f i r e w a l l 。 ( 2 ) 访问控制。防火墙还有能力控制对网点系统的访问。例 如，除了邮件服务或w e b 服务器等以外，可以禁止外部对其他主 机和内部系统的访问。 ( 3 ) 集中安全性。尤其对于密码口令系统或其他的身份认证 软件等等，集中地放在防火墙系统中，而不是分散到每个主机中， 这样防火墙的保护就相对集中一些，成本也相对便宜一些。 ( 4 ) 增强保密，强化私有性。对一些站点而言，私有性是很 重要的。防火墙能封锁域名服务信息，从而使外部主机无法获取 站点名和i p 地址。通过封锁这些信息，可以防止攻击者从中获得 一些有用信息。 ( 5 ) 有关网络使用、滥用的记录和统计。如果对i n t e r n e t 的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并 提供有关网络使用率的有价值的统计数字。采集网络使用情况统 计数字是很重要的。因为它可为网络需求研究和风险分析活动提 供极为有用的信息。 总的说来，一个好的防火墙系统应具有以下几方面的特性： ( 1 ) 所有在内外部网络之间传输的数据都必须通过防火墙。 ( 2 ) 只有被授权的合法数据才可以通过防火墙。 ( 3 ) 防火墙本身不易受各种攻击的影响。 ( 4 ) 人机界面良好，用户使用方便，易于管理配置。 3 2 2 防火墙实施策略 防火墙设计政策用来定义实施服务访问政策的规则。防火墙 一般实施两个基本设计方针之一： ( 1 ) 拒绝访问一切未被特别允许的服务。 ( 2 ) 允许访问一切未被特别拒绝的服务。 如果防火墙采取第一种安全控制的方针，那么需要确定所有 可以被提供的服务以及它们的安全特性，然后开放这些服务，并 将所有其它末被列入的服务排斥在外并禁止访问。如果防火墙采 取第二种安全控制的方针，则正好相反，需要确定哪些认为是不 安全的服务，禁止其访问。而其它服务则被认为是安全的，允许 访问。 比较这两种政策，我们可以看到，第一种比较保守，遵循“我 们所不知道的都会伤害我们”的观点，因此能提供较高的安全性。 但是，这样一来，能通过防火墙为我们所提供的服务，无论在数 量上还是类型上，都受到很大的限制。第二种则较灵活，虽然可 以提供较多的服务，但是所存在的风险也比第一种大。此外，对 于第二种政策，还有一个因素值得考虑，即受保护网络的规模。 i n t r a n e t 安全技术分析与安全措施探讨 当受保护网络的规模越来越大时，对它进行完全监控就会变得越 来越难。因此，如果网络中某成员绕过防火墙向外提供已被防火 墙所禁止的服务，网络管理员就很难发现。例如，有一用户，他 有权不从标准的t e l n e t 端口( p o r t 2 3 ) 来提供t e l n e t 服务，而是 从另一个p o r t 来提供此服务，由于标准的t e l n e t 端口已被防火 墙所禁止，而另一p o r t 没有被禁止。这样，虽然防火墙主观上想 禁止提供此服务，但实际上却没有达到这种效果。因此，采用第 二种政策的防火墙不仅要防止外部人员的攻击，而且要注意对其 内部成员的防范。 总的来