（控制理论与控制工程专业论文）电视台企业网络安全解决方案的研究.pdf

武汉理工大学硕士学位论文 摘要 本论文涉及的科研课题来源于某地方电视台企业网络安全建设项目，具有很 强的实用价值。随着信息化进程的深入和互联网的迅速发展，人们的工作、学习 和生活方式正在发生巨大的变化。如今网络已经成为人们生活中不可缺少的一部 分。与此同时，网络安全问题也变得非常严重。网络安全问题也成了当前理论界 和工业界重点研究的领域。 本文在信息系统安全理论的指导下，结合网络安全发展的整体趋势，通过对 山西大同电视台计算机网络结构和存在的各种安全隐患和威胁的分析，提出了从 物理安全、计算机防病毒、防火墙、入侵检测、数据自动备份方面考察企业网络 的安全风险，进而提出企业的网络安全风险需求。利用有限的资源和设备，得出 了建立整体的、多层次的、全方位的企业网络安全建设模式。 本文遵照网络安全设计原则，在充分考察和调研的基础上通过选择合适的网 络产品设计出了先进、科学、合理的网络安全方案。该设计方案正在大同电视台 计算机网络实际中得到应用，较好的解决了企业网络安全问题。本文对解决目前 中小型企业网络安全技术问题具有一定的指导意义。 网络系统的安全体系建设是一个长期的过程，新的安全技术手段会不断出 现，新的攻击手段也会层出不穷。任何一个安全设计方案都不可能一下子解决所 有安全问题。但随着网络化、信息化进程的不断推进，我们对信息系统建设中的 网络安全问题的认识会在理论上、技术实践上、管理实践上不断地深化。 关键字：网络安全，防火墙，入侵检测，防病毒，数据备份和容灾 武汉理工大学硕士学位论文 a b s t r a c t 1 1 1 es c i e n t i f i ca n dt e c h n i c a lp r o b l e mw h i c ht h ep a p e rr e f e rt or o o ti nap r o j e c to f t vs t a t i o ne n t e r p r i s en e t w o r ks e c u r i t y , w i t hg r e a tu t i l i t yv a l u e a l o n gw i t ht h ep r o c e s s o fi n f o r m a t i o n i z a t i o nd e e p e na n dt h er a p i dd e v e l o p m e n to fi n t e r n e t ，1 1 1 es t y l eo f h u a m a n 、sw o r k ，l e a r n i n ga n dl i f eh a v eb e e nc h a n g e dg r e a t l ya n de v e r yw a l ko fl i f e n o w a d a y s ，i n t e m e th a v eb e c o m e 趾i n d i s p e n s a b l ep a r to fh u m a nl i f e m e a n w h i l e , n e t w o r ks e c u r i t yt u r ns e r i o u l y t h ep r o b l e mo fn e t w o r ks e c u r i t ya l s ob e c o m et h e r e a l mw i t hh i 酿r e s e a r c hp r i o r i t yi na c a d e m i ca n di n d u s t r ym e m b e r g u i d e db yi n f o r m a t i o na n ds y s t e ms e c u r i t yt h e o r y , c o m b i n e dw i t hw h o l et e n - d e n c yo fn e t w o r ks e c u r i t yd e v e l o p m e n t b ya n a l y s i n gt h en e t w o r ks t r u c t u r eo f s h a n x i d a t o n gt vs t a t i o na n dd i f f e r e n tk i n d so fs e c u r i t yh i d d e nd a n g e ra n dt h r e a t e n t h e p a p e rb r i n ga i d e at h a tw ee x a m i n et h ed a n g e ro fe n t e r p r i s en e t w o r kt h r o u g hp h y s i c a l s e c u r i t y ，c o m p u t e rv i r u s ，f i r e w a l l ，i n t r u t i o nd e t e c t i o n , a u t o m a t i cd a t ab a c k u p t h e n b r i n gt h en e t w o r kd a n g e rd e m a n do ft h ee n t e r p r i s en e t w o r ks e c u r i t y f i n a l l y , m a k i n g u s eo fl i m i t e dr e s o u r c ea n de q u i p m e n t ，w ec o n s t r u c ti n t e g r a t e d ，m u l t i - l a y e r s ，o m n i d i r e c t i o n a lm o d eo f e n t e r p r i s en e t w o r ks e c u r i t y t h ep a p e rc o n f o r mt ot h ep r i n c i p l eo ft h ed e s i g no fn e t w o r ks e c u r i t y b a s e do n e n o u g hi n v e s t g a t i o na n dr e s e a r c h ，w ec h o o s ep r o p e rn e t w o r ks e c u r i t yp r o d u c tt o d e s i g nt h ea d v a n c e d ，s c i e n t i f i c ，r a t i o n a lp l a no fn e t w o r ks e c u r i t y t h ep l a nh a v e b e e ni n a p p l y c a t i o ni nt h ee n t e r p r i s en e t w o r ko fd a t o n gt v s t a i o na n dh a v es o l v e dt h ep r o - b l e mo fn e t w o r ks e c u r i t y s ot h ep a p e rh a sac e t a i nm e a n i n gt og u i d es o m ee n t e r p r i s e s t oc o n s t r u c tt h e i ro w ns a f en e t w o r k t h ep r o c e s so fn e t w o r ks e c u r i t ys y s t e mi sal o n gt e r mc o b r s e w i t hn e wn e t w o r k s e c u r i t yt e c h n o l o g ya n dn e ww a y o fa t t a c ka p p e a r i n g a n yp l a no fn e t w o r ks e c u r i t y c a nn o ts o l v ea l lp r o b l e ma to n c e 。b u ta l o n gw i t hn e t w o r k i n ga n di n f o r m a z a t i o n a d v a c e d ，w ew i l ld e e p e nt h eu n d e r s t a n do fn e t w o r ks e c u r i t yt h e o r e t i c a l l ya n dp r a c t i - c a l i t y a n dp r a c t i c a l l y k e y w o r d s ：n e t w o r ks e c u r i t y ，f i r e w a l l ，i n t r u s i o nd e t e c t ，a n t i v i r u s ，d a t a - b a c k u p n 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示了谢意。 学位论文使用授权书 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库进行检 索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时授权经武 汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论文，并向社会 公众提供信息服务。 ( 保密的论文在解密后应遵守此规定) 研究生( 签名) ：丑竺：土坠导师( 签名) ： 武汉理t 大学硕士学位论文 1 1 课题背景和意义 第1 章绪论 随着计算机技术和通信技术的发展，计算机网络技术得到飞速的发展。同时 网络安全也随着网络技术的发展而发展，有网络的地方就存在安全隐患。在2 0 0 7 年1 月举行的达沃斯世界经济论坛上，与会者不但讨论了全球经济和气候变暖的 问题，而且还首次触及了互联网安全问题。网络安全已经成为影响互联网发展的 重要问题。而i n t e m e t 所具有的开放性、国际性和自由性在增加应用自由度的同 时，对安全提出了更高的要求，这主要表现在【l 】： ( 1 ) 开放性的网络导致网络技术是全开放的，任何一个人、团体都可能获得， 因而网络所面临的破坏和攻击可能是多方面的，例如：对物理传输线路的攻击， 对网络通信协议的攻击，对软件的攻击，也可以是对硬件的攻击。 ( 2 ) 网络的攻击不仅仅来自本地网络的用户，它可以来自i n t e r n e t 上的任何 一个机器，也就是说，网络安全所面临的是一个国际化的挑战。 ( 3 ) 自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可 以自由地访问网络，自由地使用和发布各种类型的信息。 总之，开放的、自由的、国际化的i n t e r n e t 的发展给政府机构、企事业单位 带来了前所未有的变革，使得他们能够利用i n t e m e t 提高办事效率和市场反应能 力，以便更具竞争力。通过i n t e m e t ，他们可以从i n t e r n e t 上获取重要数据，同时 又要面对i n t e r n e t 开放带来的数据安全的新挑战和新危险。如何保护企业的机密 信息不受黑客和工业间谍的攻击，已成为政府机构、企事业单位信息化健康发展 所要解决的一项重要工作。随着信息技术的发展，网络病毒和黑客工具软件具有 技术先进、隐蔽性强、传播速度快、破坏力强等特点。如何针对企业的具体网络 结构设计出先进的安全方案并选配合理的网络安全产品搭建有效的企业网络安 全防护体系是摆在计算机工作者面前的巨大课题。 大同电视台根据企业的具体需求和发展的需要，建立了企业内部局域网，该 网通过专线与国际互联网实现了互联，网络上运行着大量重要的企业运营信息。 该网络在2 0 0 0 年初期建设使用，随着网上各种应用的增加和计算机病毒技术、 黑客技术的提高，企业己有的网络安全措施表露出许多问题，曾经出现过几次安 全事故。 本文作者针对大同电视台企业网络安全提出课题，阅读了大量参考文献并经 过考察和调研设计出了企业网络和数据安全解决方案。本设计通过对大同电视台 计算机网络存在的各种安全风险隐患的分析，通过对客户端安全计算机病毒、防 武汉理- l 人学硕士学位论文 火墙、入侵检测、数据自动备份等各种安全技术理论的研究和各种安全产品性能 原理分析，提出的建立整体的、多层次的、全方位的网络安全解决方案是企业网 络安全的有效方法。另外，一般来说网络安全防护等级的强弱与用户投资多少成 正比，但并不是在设计网络安全方案时就一定选择性能指标高、价格昂贵的产品， 网络设计一定要针对用户网络结构和信息资源或应用的重要程度来选择合适的 网络产品，要遵照先进性、可靠性、适用性和经济性等原则。本文论述了大同电 视台网络产品的选型和配置的具体方法。该设计正在大同电视台计算机网络实际 中得到应用，较好的解决了企业网络安全问题。 1 2 国内外研究现状 国际上，特别是美国，英国等西方发达国家从2 0 世纪7 0 年代中期就开始高 度关注网络与信息安全问题。经过3 0 多年的发展，在理论研究，产品开发，标 准制定，保障体系建设，安全意识教育和人才培养方面都取得了许多实用性的成 果。 自2 0 世纪7 0 年代w d i f f i e 和m h e l l m a n 提出公开密匙密码体制，d a v i d b e l l 和l e o n a r dl ap a d u l a 提出计算机保密模型b l p 以来，信息安全的内涵在不断的 延伸，从最初的信息保密性发展到信息的完整性，可用性，可控性和不可否认性， 进而发展为“攻( 攻击) 、防( 防守) 、测( 检测) 、评( 评估) 、控( 控制) 、管 ( 管理) 等多方面的基础理论和实施技术。在攻防方面，黑客防范体系、信息 伪装理论与技术、信息分析与监控、入侵检测原理与技术、应急响应系统、计算 机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等是国际上的研究热点之 一。在测评方面，2 0 世纪8 0 年代中期，美国国防部为适应军事计算机的保密需 要。制订了“可信计算机系统安全评价准则 ( t c s e c ) ，后来对网络系统和数 据等方面做出了系列安全解释，形成了一套称为“彩虹系列 的规范。2 0 世纪 9 0 年代后期，六国七方( 美国国家安全局和国家技术标准研究所，加，英，法， 德，荷) 共同提出“信息技术安全性通用评估准则( c c ) ，该标准已确立为国 际标准。在控管方面，美国提出了具有预警、保护、检测、反应、恢复和反击等 安全功能的防御体系【2 1 。 目前，信息安全技术领先的国家主要是美国，英国，法国，以色列。当前市 场上比较流行的安全专用产品主要有防火墙，入侵检测系统，安全服务器，身份 认证产品( 包括c a 和p k i 产品) ，安全数据库，安全操作系统等商业通信公司 ( b u s i 期l e s sc o m m u n i c a t i o n sc oi n c ) 预测：未来5 年间，全球网络安全市场将 以年平均1 6 的速度稳步增长，2 0 1 4 年达到1 0 0 0 亿美元的规模。 据中国互联网信息中心统一，截至2 0 0 5 年1 2 月3 1 日，我国网民数量已达 2 武汉理t 大学硕士学位论文 1 1 1 亿，其中宽带上网人数达6 4 3 0 万，上网计算机总数为4 9 5 0 万台，网民数和 宽带上网人数均居全球第二【2 】。与此同时，网络与信息安全问题日渐凸显，称为 我国信息产业健康发展必须面对的重要问题。 公安部网络安全状况调查结果显示【2 】：2 0 0 8 年，被调查的企业有4 9 发生过 网络信息安全事件。在发生过安全事件的企业中，8 3 的企业感染了计算机病毒、 蠕虫和木马程序，3 6 的企业受到垃圾电子邮件干扰和影响。5 9 的企业发生网 络端口扫描，拒绝服务攻击和网页篡改等安全时间。 赛门铁克公司2 0 0 6 年3 月公布的互联网安全威胁报告显示【3 】：由于宽 带互联网的快速发展，我国正迅速称为一个主要的网络攻击来源国。面对同益 严峻的网络与信息安全形势，我国政府，学术界、产业界等都给予了高度关注， 信息安全的重要性被提升到空前的战略高度。从2 0 0 0 年以来，我国已制定了一 批信息安全法规和部门规章。基本形成了统一协调，分工负责的行政管理架构， 初步建立了网络安全事件应急处理和协调机制，开展了信息安全关键技术的研 究，启动了相应信任体系的建设，开展了计算机信息系统安全登记保护进度管理 体系建设，研发了一批信息安全专用产品，网络与信息安全产业己初具规模。但 总的来说，我国的网络与信息安全还面临严峻的挑战。 我国自主开发的信息安全专用产品几乎都属于中低端产品，高性能信息安全 产品基本都被国外厂商垄断。可实际应用的有关网络与信息安全的生产标准，测 评标准和管理标准非常缺乏，基于标准的技术检测能力亟待提高。国内企业的信 息安全激活素创新能力和质量保证能力十分薄弱，缺乏核心竞争力。 企业在信息化建设中忽视同步安全保障。企业网络和重要应用系统没有在规 划，建设和运行三个环节同步安排自身的安全保障措施。企业安全监管制度和信 息系统等保护制度在法律法规和技术标准配套，行政执法、技术检测评估等方面 远远没有达到可操作的程度。 企业网络作为国家信息化的基础设施，在保障网络与信息安全上担负着重要 的责任。随着i n t e r n e t 的普及，p 业务的发展，移动，互联网，电信业务的不断 整合。如何保障新时期的企业网络信息服务的安全，将企业网络建设成真正安全、 可靠的网络是每个企业、网络安全研究人员需要解决的重要问题之一。 我国在企业安全保障方面已经做了大量的工作。除了采用防火墙、i d s 、代 理服务器、安全过滤、用户证书、授权、访问控制、数据加密、安全审计和备份 恢复等安全技术外，还采取了技术和管理措施来加强网络的安全。现阶段企业网 络在基础的网络服务安全方面尽管采用了一些安全措施，但还是存在不足，不能 满足用户和企业自身的安全要求，这其中既有技术方面的因素，也有管理方面的 因素。 3 武汉理t 大学硕士学位论文 1 3 研究的目标和内容 本课题来源于大同同煤集团企业信息化建设的子项目，大同电视台网络安全 系统建设。论文的主要工作有： ( 1 ) 对该单位进行实地调研，全面了解大同电视台的网络与网络安全现状。 ( 2 ) 本人多次和单位分管领导以及技术人员进行现场交流，充分了解客户的 需求。 ( 3 ) 查找和收集网络安全相关方面的资料，分析影响网络安全的因素，剖析 网络攻击的手段。 ( 4 ) 详细阐述了网络安全系统设计的目标和总体规划。 ( 5 ) 详细分析了大同电视台的不同层次的网络安全风险，提出了具体的需求 和设计依据。 ( 6 ) 根据大同电视台的网络现状，客户的需求，网络安全的风险分析和网络 安全系统设计目标和总体规划，设计了该单位网络安全系统方案，运用先进的网 络安全技术和网络安全产品对方案进行了实现。 1 4 论文的组织和结构 本论文组织结构为： 第l 章为绪论，主要介绍了课题背景和意义，课题的研究现状以及课题的研 究目标和内容。 第2 章为网络安全概念，介绍了影响网络安全的因素和网络安全服务。 第3 章为网络相关技术，介绍了防病毒、防火墙、入侵检测、数据备份等相 关技术。 第4 章为网络安全风险分析，通过具体对大同电视台网络以及网络安全情况 进行深入的分析，提出了基于层次的网络风险分析，进而对整个企业的网络安全 状况进行全面的需求分析。 第5 章为网络安全解决方案的实现，在前一章对企业网络风险分析和需求分 析的基础上，提出了采用不同技术基于不同层次多种的科学的网络安全防护方 案。 第6 章为工作总结与展望，总结了论文的主要内容，讨论了论文的不足以及 未来的进一步的工作。 4 武汉理工大学硕士学位论文 2 1 网络安全概述 第2 章网络安全概述 计算机网络安全的含义随着使用者的角度的变化而变化【4 】。从用户( 个人、 企业等) 角度来说，希望那些涉及到个人隐私或商业利益的信息在网络中传输时 受到机密性、完整性和真实性的保护，防止其他人或对手利用窃听、冒充、篡改、 抵赖等手段侵犯其利益和隐私，同时还要避免其它用户的非授权访问和破坏。从 网络运行和管理者角度来说，希望对本地网络信息的访问、读写等操作受到保护 和控制，避免出现“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和 非法控制等威胁，制止和防御网络黑客的攻击。从本质上来讲，网络安全就是网 络上的信息安全。信息的安全就是要保障数据的完整性、可用性、保密性和合法 使用性【4 1 。所以网络安全就是指网络系统的硬件、软件及其系统中的数据受到保 护，不因为偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠正 常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整 性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。 网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补 充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重 于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系 统的安全性已经成为所有计算机网络应用必须考虑和必须解决的重要问题。 网络安全是一个综合、交叉学科领域，它要综合利用数学、物理、通信和计 算机诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设 计，提出系统的、完整的，协同的解决方案。与其他学科相比，信息安全的研究 更强调自主性和创新性【5 j 。 2 2 网络安全的特征 网络安全具有以下四方面的基本特征【5 】： ( 1 ) 数据的完整性：指数据未经授权不能进行改变的特性，即只有得到允 许的人才能修改数据，并且可以判断出数据是否己经被修改。 ( 2 ) 数据的保密性：指数据不泄露给非授权用户、实体，或供其利用的特 性。数据加密就是用来实现这一目标的，通过加密使数据在传输、使用和转换过 程中不被第三方非法获取。 ( 3 ) 数据的可用性：指可被授权实体访问并按照需求使用的特性，即攻击 5 武汉理丁大学硕士学位论文 者不能占用所有的资源而阻碍授权者的工作。 ( 4 ) 数据的可控性：指可以控制授权范围内的信息流向及行为方式，如对 数据的访问、传播及内容具有控制能力。系统要能够控制谁可以访问系统或网络 的数据以及如何访问，同时能够对网络的用户进行验证，并对所有用户的网络活 动记录在案。 2 3 影晌网络安全的因素 日益严重的网络信息安全问题不仅使上网的企业机构及用户蒙受巨大经济 损失，而且使国家的安全与主权面临严重威胁。要避免网络信息安全问题，首先 必须清楚触发这一问题的因素。影响网络安全的因素很多，既有自然因素，也有 人为因素，其中人为因素危害较大的，归结起来，主要有六个方面构成对网络威 胁【6 】： ( 1 ) 人为失误：一些无意的行为，如：丢失口令、非法操作、资源访问控 制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等，都 会对网络系统造成极大的破坏。 ( 2 ) 病毒感染：从“蠕虫 病毒开始到c i h 、爱虫病毒，病毒一直是计算 机系统安全最直接的威胁，网络更是为病毒提供了迅速传播的途径，病毒很容易 地通过代理服务器以软件下载、邮件接收等方式进入网络，然后对网络进行攻击， 造成很大的损失。 ( 3 ) 来自网络外部的攻击：这是指来自局域网外部的恶意的攻击，例如： 有选择地破坏网络信息的有效性和完整性；伪装为合法用户进入网络并占用大量 资源；修改网络数据、窃取、破译机密信息、破坏软件执行；在中间站点拦截和 读取绝密信息等。 ( 4 ) 来自网络内部的攻击：在局域网内部，一些非法用户冒用合法用户的 口令以合法身份登录网站后，查看机密信息，修改信息内容及破坏应用系统的运 行。 ( 5 ) 系统的漏洞及“后门 ：操作系统及网络软件不可能是百分之百的无缺 陷、无漏洞的。另外，编程人员在软件中留有“后门，一旦“漏洞及“后门 为外人所知，就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑 客入侵网络事件就是由系统的“漏洞 和“后门 所造成的。 ( 6 ) 隐私及机密资料的存储和传输：机密资料存储在网络系统内，当系统 受到攻击时，如不采取措施，很容易被搜集而造成泄密。同样，机密资料在传输 过程中，由于要经过多外节点，且难以查证，在任何中介网站均可能被读取。因 而，隐私和机密资料的存储及传输也是威胁网络安全的一个重要方面。 6 武汉理工人学硕十学位论文 2 4 网络攻击入侵手段 随着计算机技术的高速发展，黑客对网络攻击和入侵的手段和方法也不断更 新。只要网络存在，针对网络的犯罪就会时有发生。这里，总结了几种黑客常用 的对计算机网络的攻击方法【6 1 ： ( 1 ) 口令入侵：黑客可以利用得到的系统口令获得对网络系统的控制权。 口令入侵是一种利用软件工具解开被加密的口令文档。口令获取的可能原因有： 管理不善导致人为因素的口令扩散，利用工具对弱口令的破解，通过对主机、网 络的窃听而窃取口令。比如一种叫s n i f f e r 的软件，就可以截取口令，并获得秘 密的信息，还可以攻击相邻的网络。 ( 2 ) 利用系统漏洞、后门的入侵：诸如操作系统、数据库系统、应用软件 系统等的安全漏洞或“后门”不可避免地存在。很多的硬件系统在设计上也存在 安全漏洞或后门，很多的黑客正是利用了这些漏洞的潜在隐患完成对系统的攻 击。大量工具的存在和流传，使得入侵电脑系统变得容易，而不需要深入了解系 统的内部结构。 ( 3 ) 窃听：这是很实用的黑客入侵方法，很多的黑客利用此方法入侵网络 系统。这种方法是在网络节点之间、网络通讯线路上，通过信息传送的转发而实 现的。 ( 4 ) 拒绝服务攻击：通过使用户的服务计算机崩溃或把它压跨来阻止服务 器继续提供服务。对于一个典型的t c p 连接，用户向服务器发送一条信息请求 认证，服务器进行确认，并将访问许可返回给用户，于是用户就可以访问该服务 器。而在拒绝服务( d o s ) 攻击中，恶意用户向服务器发送多个连接请求，使其 满负载，并且所有请求的返回地址都是伪造的。这样的过程重复大量地发生，造 成服务器的过载而拒绝提供服务。这样的攻击很多，比如，p i n g f l o o d i n g ， u d p f l o o d i n g ，s y n f l o o d i n g ，电子邮件炸弹等等。 ( 5 ) i p 哄骗技术：哄骗和伪装都是偷窃身份的形式。p 哄骗是利用i n t e m e t 的开放式网络设计和传统的u n i x 系统之间建立的信任关系。黑客使用m 哄骗的 好处是可以生成用于发行被伪装的m 包的程序。 ( 6 ) 特洛伊木马：最典型的做法就是把一个能帮助黑客完成某一特定动作 的程序依附在某一合法用户的正常程序中，改变合法用户的程序代码。一旦用户 触发该程序，那么依附在内的黑客指令程序同时被激活，这些代码往往能完成黑 客指定的任务。这种入侵法需要有很好的编程经验，且要更改代码、要一定的权 限，因此属于一种高级攻击手段，一般较难被网络管理员发现。 ( 7 ) 病毒：计算机病毒是一种程序，它通过在计算机之间的传播，感染所 7 武汉理_ l = 大学硕士学位论文 经过的每一个地方，这样的复制是通过附着在某一类文件中来进行的。病毒的特 点：很强的感染性；一定的潜伏性；特定的触发性；很大的破坏性。 2 5 网络安全服务 网络安全需求应该是全方位，整体的。在o s i ( o p e ns y s t e mi n t e r c o n n e c t i o n r e f e r e n c em o d e l ，开放式通信系统互联参考模型) 7 个层次的基础上，经安全体 系划分为4 个级别：网络级安全，系统级安全，应用级安全及企业级别的安全管 理【刀。 随着网络安全问题的日益严重，各国以及国际标准化组织制定了各种协议和 标准，以加强计算机安全。o s i 安全体系给出了一个安全服务与安全体制的通用 描述，并讨论了它们之间的关系。o s i 安全体系把安全服务分成5 类。这些类有 认证，访问控制，数据保密，数据完整和防抵赖服务。认证服务提供通信对等双 方之间的认证或数据源的认证明。访问控制服务防止系统资源被非法使用。访问 控制服务与认证服务紧密结合在一起；一个用户或者用户的进程在访问系统资源 前，必须经过正确的认证。数据保密性即不让保密信息被非法的个人，实体和 进程看到。因为数据保密性指防止非法打开数据。数据完整性指信息不能被非法 修改和破坏。防抵赖服务用来防止曾经参与通信的一方在通信发生之后，否认曾 经参与通信过程。需要提供一定的保护措施来防止消息或者动作的放送方否认自 己曾经做过这样的动作或者发过这样的消息【8 】。 8 武汉理工大学硕十学位论文 第3 章网络安全技术 3 1 计算机病毒研究 3 1 1 计算机病毒的机理 “计算机病毒 最早是由美国计算机病毒研究专家e c o h e n 博士提出的，是 指一种侵入计算机内部，可以自我繁殖，传播，具有破坏性的计算机程序【9 】。迄 今为止，出现在计算机中的计算机病毒都是人为编制的一段程序编码，它被程序 设计人员或者操作人员有意无意地植入某个正常程序或计算机系统中。然后，该 病毒久依照设计着给定的指令，不断的自我复制，进行繁殖。有的病毒又以磁盘， 磁带和网络作为媒介进行传播和扩散，“感染 其它的程序或系统，在一定时期 或地域内广泛地流行。计算机病毒可以通过不同的途径潜伏，寄生在计算机的系 统和程序下，在一定条件下，依照其程序指令，干扰计算机的正常工作，吞食计 算机资源，甚至破坏数据或文件，严重时使计算机系统完全瘫痪【9 】。 计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要 结构是类似的，有其共同特点【9 】。整个病毒代码虽短小但也包含三部分：引导部 分，传染部分，破坏或表现部分。引导部分的作用是将病毒主体加载到内存，为 传染部分做准备( 如驻留内存，修改中断，修改高端内存，保存原中断向量等操 作) 。传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传 染方式，传染条件上各有不同。表现部分是病毒问差异最大的部分，前两个部分 也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如： 以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是 最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部 分。 3 1 2 计算机病毒的特点和发展趋势 基本特点是：计算机病毒的可执行性、广泛传染性、潜伏性、可触发性、破 坏性、衍生性、主动性、隐蔽性。新的特点剧9 】： ( 1 ) 基于“视窗的计算机病毒越来越多。随着微软视窗视窗系统操 作系统的市场占有率居高不下，使得针对这些系统的计算机病毒数越来越多，近 年来，攻击计算机的计算机病毒绝大多数都是针对视窗系统操作系统。另外一个 非常重要的原因是视窗系统操作系统本身也存在比较多的安全漏洞，微软1 9 9 9 年发布的视窗系统补丁程式是1 9 9 8 年的两倍；其t n t e m e te x p l o r e r 浏览器、w e b 9 武汉理t 大学硕士学位论文 服务器、视窗系统n t 及邮件系统都存在许多漏洞，而且随着新版本的不断发布， 勿庸置疑的是补丁数还会不断增加。 ( 2 ) 新计算机病毒种类不断涌现，数量急剧增加。这两年来，基于互连网 进行传播的计算机病毒出现了许多新的种类，比如包含恶意a c t i v e xc o n t r o l 和 j a v aa p p l e t s 的网页、电子邮件计算机病毒、蠕虫、黑客程式。而且，最近甚至 出现了专门针对手机和掌上计算机的计算机病毒。同时，计算机病毒的数量急剧 增加，据i c s a 的统计，目前每天有超过2 0 种新计算机病毒出现，因此每年就 有8 0 0 0 种左右的新计算机病毒出现，这个数目几乎和截至1 9 9 9 年为止世界上计 算机病毒的总数相同【l o 】。因此，计算机病毒对于计算机的威胁越来越大。 ( 3 ) 计算机病毒传播途径更多，传播速度更快。最初，计算机病毒主要通 过软盘、硬盘等可移动磁盘传播，但随着新技术的发展，目前计算机病毒已能通 过包括大容量移动磁盘( z i p 、j a z ) 、光盘、网络、i n t e m e t 、电子邮件等多种方 式传播，而且仅i n t e r n e t 的传播方式又包括w w w 浏览、i r c 聊天、f t p 下载、 b b s 论坛等。由于互连网的触角已遍及世界每一个角落，接入互连网的所有两 台计算机都能进行通讯，因此，也为计算机病毒的传播打开了方面之门。依赖于 互连网的便利，目前的计算机病毒传播速度已远非原先可比，尤其是一些蠕虫病 毒，他们借助于电子邮件系统，几乎以不可思议的速度传播，以il o v e y o u ( 情 书病毒) 为例，2 0 0 0 年5 月4 日凌晨在菲律宾计算机病毒开始发作，到傍晚已 感染了地球另一端美国的数十万台计算机，这一点也许连计算机病毒编制者都想 不到。 ( 4 ) 计算机病毒造成的破坏日益严重。c i h 计算机病毒在全球造成的损失 估计是1 0 亿美元，而受2 0 0 0 年5 月il o v e y o u 情书计算机病毒的影响，全球的 损失预计高达1 0 0 亿。对于某个行业的用户，计算机病毒造成的损失又怎么呢? 据来自权威报告，系统每当机一小时，包括证券公司、信用卡公司、电视机构、 国际航运公司、邮购公司在内，其损失都在6 5 0 万美元以上，而对于i n t e m e t 公 司，尚无人能统计其损失。 ( 5 ) 电子邮件成为计算机病毒传播的主要媒介【l l 】。1 9 9 9 年i c s a 的统计报 告显示，电子邮件已成为计算机病毒传播的主要媒介，其比例占所有计算机病毒 传播媒介的5 6 【l o 】。由于电子邮件可附带所有类型的文件，因此，几乎所有类 型的计算机病毒都可通过他来进行快速传播。 计算机病毒发展趋势【1 2 】： ( 1 ) 传播途径开始多样化。从过去的仅仅通过文件、电子邮件以及局域网 共享传播，转变为通过q q 、m s n 、y a h o o m e s s a g e 、手机短消息等即时通讯软件 传播。 1 0 武汉理工大学硕十学位论文 ( 2 ) 开始跨操作系统平台传播。如最近出现的w i n t t x 病毒就能直接从 w i n d o w s 操作平台直接传染到u n i x 平台上。 ( 3 ) 开始对抗反病毒。曾经出现的“汉城”病毒，就是专门被制作出来向 在汉城举办的全球性反病毒大会叫板的，还有的病毒专门攻击反病毒软件和其他 安全措施。 ( 4 ) 攻击的设备开始多样化。从一般的电脑转移到手机、p d a 、信息家电 等。 ( 5 ) 热衷于窃取数据并将其泄密。如前几年上海某高校的招生机密，就被 一种名叫“s i r c a m 的病毒大肆泄密。 ( 6 ) 病毒开始和黑客技术联袂。这直接表现在不少病毒利用电脑服务器漏 洞，植入后门程式如特洛伊木马，或凭借电子邮件大肆传播衍生无数分身的电脑 “蠕虫 。 ( 7 ) 电脑病毒开始利用社会学原理进行传播。如仇恨心理、好奇心理、恶 作剧心理等，如前一阵“库尔尼科娃”病毒的大流行，就是利用人们对网坛美女 库尔尼科娃的爱慕心理传播的。 ( 8 ) 病毒的制造开始儿童化。一些“黑客软件 、“病毒软件 的出现，让 无法对自己行为负责的儿童也成为病毒的制造者和传播者。 3 1 3 计算机病毒防治技术 基本技术【1 3 】： ( 1 ) 特征码扫描法。特征码扫描法是分析出病毒的特征病毒码并集中存放 于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断 为染上病毒。 ( 2 ) 虚拟执行技术。该技术通过虚拟执行方法查杀病毒，可以对付加密、 变形、异型及病毒生产机生产的病毒。 ( 3 ) 文件实时监控技术。通过利用操作系统底层接口技术，对系统中的所 有类型文件或指定类型的文件进行实时的行为监控，一旦有病毒传染或发作时就 及时报警。 防毒新技术【1 4 】： ( 1 ) 智能引擎技术口智能引擎技术发展了特征码扫描法的优点，改进了其 弊端，使得病毒扫描速度不随病毒库的增大而减慢。 ( 2 ) 未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术 突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。 ( 3 ) 压缩智能还原技术。反病毒专家们发明了未知解压技术，它可以对压 武汉理】1 大学硕_ = 学位论文 缩或打包文件在内存巾还原，从而使得病毒完全暴露出来。 ( 4 ) 多层防御，集中管理技术。杀毒软件在| 旬4 络l 方便、快速安装1 0 组织 晕的每一个n t 服务器上，并可下载和散布到所有的目的机器上，由网络管理员 集中设置、管理和自动进行病毒代码升级，它会与操作系统及其它安全措施紧密 地结合在起，成为网络安全管理的一部分，自动提供最佳的网络病毒防御措施。 ( 5 ) 病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点，它通过 j j h 强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。 3 2 防火墙技术 3 2 1 防火墙概述 防火墙是一种有效的网络安全机制。防火墙如图3 1 所示。 醚乏 ， 图3 一l 防火墙示意图 在建筑上，防火墙被设计用来防止火势从建筑物的一部分蔓延到另一部分。 网络防火墙则防止互联网的损坏波及内部网络，但必须提出的是它不能防止来自 内部网络，但必须提出的是它不能防止束自内部发生的问题。它的作用是：限制 人们进入一个被严格控制的点；防止进攻者更接近其他的防御设备；限制人们离 丌个被严格控制的点【l “。严格定义：防火墙是指设置在不同网络或网络安全 域( 公共网和企业内部网) 之间的一系列部件的组台。它是不同网络( 安全域) 之间的唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网 络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络 和信息安全的基础设施。 一个网络防火墙通常安装在被保护的内部网与i n t e r a c t 的连接点上，作为内 部网与外部网之间的一种访问控制设备。从i n t e r n e t 或从内部网上产生的任何活 动都必须经过防火墙。它具有以下一些主要特性】： ( 1 ) 防火墙是阻塞点：所有内部网络与外部网络之间的通信流量都必须经 过这个唯一而狭窄的检查点：这样就可以实施集中的安全策略，而不是针对每台 主机实施单独的安全策略。 武汉理工人学硕十学位论文 ( 2 ) 防火墙可卧实施强制的安全策略：它执行严格的站点安全策略，仅仅 允许许可的和符合规则的网络服务通过，而拒绝其他的网络服务。 ( 3 ) 由于所有的信息都要穿过防火墙。所以防火墙非常适合于收集网络e 的信息作为访问的唯一点，防火墙能在被保护的内部州络和外部网络之f h j 进行 记录，而系统管理员可以利用这些记录跟踪，发现入侵者。 ( 4 ) 隔离内部和外部网络：防火墙可以避免内部网络直接暴露在外部网络 面前，从而起到了隔离的作用。 ( 5 ) 集中的网络安全：防火墙是内部，外部通信的阻塞点，可以对内部， 外部网络的进行严格的统一限制。 ( 6 ) 产生安全报警：可以方便地监视网络的安全性，并产生报警信号。 ( 7 ) 强大的日志功能：防火墙可以监控内部网络与外部网络之间的通信， 具有强大的n 志功能 ( 8 ) 向外部提供公共信息的最佳位置，可以在防火墙上提供w w w 和f t p 服务。 3 2 2 防火墙的类别 根据对数据处理方法的不同，防火墙大致可分为两大体系：包过滤防火墙和 代理防火墙( 应用层网关防火墙) 。包过滤防火墙结构如图3 - 2 所示。 和 爨辱 图3 - 2 包过滤防火墙结构示意图 黔繁 武汉理l 大学硬 学位论文 代理防火墙结构如图3 - 3 所示。 【 ，二 。嘲喘罐 、 州 、碍 。；7 二 图3 - 3 代理防火墙结构示意图 前者以c h e c k p o i n t 防火墙和c i s c o 的p i x 防火墙为代表后者以n a i 公司 的g a u n t l e t 防火墙为代表。包过滤技术是根据定义好的过滤规则审查每个数据包 并确定数据包是否与过滤规则匹配。如果过滤规则允许通过，那么该数据包就会 按照路由表中的信息被转发。如果过滤舰则拒绝数据包通过，则该数据包就会被 丢弃，这就是最初的静态包过滤技术。静态包过滤技术的缺陷十分明显，如果允 许f t p 类型的服务通过防火墙就得开放所有大于1 0 2 4 的端口号，这样做无疑 很危险。如果为了安全起见关闭这些端口，就会阻隔内外网络之间必要的f t p 传输。最新的包状态监钡0 技术通过跟踪对数据包建立的连接，按照需要在过滤规 则中动态增加或更新条目，来解决这个问题。当数据传输完毕、连接终止或连接 超时后，防火墙就会将临时的包过滤规则移去从而保证了防火墙的安全性，同 时又使得类似f t p 的服务得以顺利运行。包过滤( p a c k e t f i l t e r i n g ) 技术是在网 络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制 表( a c e s c o n t r o l t a b l e ) 。通过检查数据流中每个数据包的源地址、目的地址、所 用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 代理防火墙采用代理( p r o x y ) 技术参与t c p 连接的全过程，这样从内部发 出的数据包经过防火墙处理后，就象来自于防火墙外部网卡一样，从而达到隐藏 内部网结构的目的。代理防火墙被公认为是最安全的防火墙，其核心技术就是代 理服务器技术。由于每一个内外网络之m 的连接都要通过p r o x y 的介入和转换， 通过专门为特定