毕业设计企业网络安全漏洞分析及其解决

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业摘要为了防范网络安全事故的发生,互联网的每个计算机用户、特别是企业网络用户，必须采取足够的安全防护措施，甚至可以说在利益均衡的情况下不惜一切代价。事实上，许多互联网用户、网管及企业老总都知道网络安全的要性，却不知道网络安全隐患来自何方，更不用说采取什么措施来防范胃。因此，对于互联网用户来说，掌握必备的网络安全防范措施是很有必要的，尤其是网络管理人员，更需要掌握网络安全技术，架设和维护网络系统安全。本论文前四章介绍了网络安全的概述，网络安全技术和网络安全漏洞分析；介绍了我国网络安全的现状和网络安全面临的挑战，以及漏洞的分类的分析。第五章主要讲了漏洞扫描系统的必要性，只有发现漏洞才能更好的维持企业网络安全秩序。第六章主要是实际应用的解决方案，介绍了无线网络安全实战，用实际的解决方案来说明主题。关键词：网络安全漏洞解决方案ABSTRACTTopreventtheoccurrenceofnetworksecurityincidents,theInterneteachcomputeruser,especiallythecorporatenetworkusersmusttakeadequatesafetyprecautions,perhapseveninthecaseofbalancingtheinterestsatallcosts.Infact,manyInternetusers,networkmanagementandcorporateCEOsareawareofnetworksecurityto,butdonotknowwhereitcomesfromthenetworksecurityrisks,nottomentionthemeasurestakentopreventstomach.Therefore,Internetusers,themasternecessarynetworksecuritymeasuresisnecessary,especiallyinnetworkmanagement,butalsoneedtohavenetworksecuritytechnology,theconstructionandmaintenanceofnetworksystemsecurity.Thefirstfourchaptersofthispaperdescribesanoverviewofnetworksecurity,networksecurityandnetworksecurityvulnerabilityanalysis;describesthestatusofournetworksecurityandnetworksecuritychallenges,andvulnerabilitiesarepresented.ChapterFivetalkedabouttheneedforvulnerabilityscanningsystem,onlytofindloopholesinbettermaintenanceofenterprisenetworksecurityorder.Sixthchapteristhepracticalapplicationofthesolution,introducedtheactualwirelessnetworksecurity,withpracticalsolutionstoillustratethetheme.Keywords:NetworkSecurityvulnerabilitiesSolutions1绪论随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：(1)信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。(2)在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。(3)网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。(4)随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。2网络安全概述2.1我国网络安全的现状与挑战网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。2.1.1我国网络安全问题日益突出目前，我国网络安全问题日益突出的主要标志是：一、计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。二、电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。三、信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。四、网络政治颠覆活动频繁。近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。例如，据媒体报道，“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。2.1.2制约提高我国网络安全防范能力的因素

当前，制约我国提高网络安全防御能力的主要因素有以下几方面。一、缺乏自主的计算机网络和软件核心技术我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。二、安全意识淡薄是网络安全的瓶颈目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。三、运行管理机制的缺陷和不足制约了安全防范的力度运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。（一）网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。（二）安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。（三）缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案（如防火墙和加密技术），但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。（四）缺乏制度化的防范机制不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为（尤其是非法操作）都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。2.1.3对解决我国网络安全问题的几点建议网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说：“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。因此，可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度，上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系，其核心是在技术处于弱势的情况下，用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来，我国信息安全工作能跟随信息化发展，上一个新台阶。2.1.4网络安全面临的挑战随着网络经济的迅猛发展，企业网络安全正遭受严峻的挑战：病毒泛滥、黑客入侵、木马蠕虫、拒绝服务攻击、内部的误操作和资源滥用，以及各种灾难事故的发生，这些都时刻威胁着网络的业务运转和信息安全。2003年的蠕虫病毒大爆发恐怕令很多人至今都记忆忧新，在这场灾难中，全球企业遭受的损失超过了550亿美元。虽然企业网络的安全已成为人们关注的焦点，基于防火墙、网关等设备的防毒防攻击技术也层出不穷；但病毒和黑客的进步速度似乎更快，并逐渐呈现出病毒智能化、变种、繁殖化，黑客工具“傻瓜”化等趋势，这使得传统的企业网络安全体系防不胜防，企业网络随时面临瘫痪甚至被永久损坏的危险。在传统的网络架构中，由防火墙、网关等单一安全产品打造的防线，面对不断更新的病毒和网络攻击，显得十分脆弱与被动。图1-1传统网络结构面临的挑战和困难图如图1-1所示具有如下特点：网关常常被欺骗信息“迷惑”各类应用抢占带宽资源恶意信息和网络攻击肆虐关键业务无法得到保障内网充斥着海量的垃圾信息设备性能和网络资源被恶意访问消耗殆尽……整个网络就像一个杂乱无章的车站，三教九流充斥其中，无秩序无管理，造成整个网络的稳定性大打折扣。2.2飞鱼星安全联动系统用户期望得到一个彻底的、一劳永逸的解决方案，来加强网络和信息系统的安全防护。因此，飞鱼星科技提出基于“防火墙路由器+安全交换机”的安全联动系统解决(ASN)。图1-2飞鱼安全联动系统图如图1-2所示，飞鱼星安全联动系统(ASN)是一套即时、互动和统一的网络安全新架构，能有效解决内网的安全问题，重建和优化内网秩序。它通过路由器和安全交换机的联动协作，共同构成一套完整的企业网络安全体系。安全策略和QoS策略被部署到交换机的每个接入端口，极大增强网络的主动防御能力，为用户创建一个内外兼“固”的安全环境。在飞鱼星安全联动系统(ASN)中，交换机不仅是数据交换的核心，还具备专业安全产品的性能。通过安全交换机串联服务器、安全网关、终端电脑，组成贯穿整个网络的安全防护体系整个网络类似井然有序的机场，安检严格，层层把关；调度有序，进出港快速稳定；内网关键业务和重要应用优先级得到保障，犹如享有机场的VIP通道。2.3网络安全分析随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互连网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。2.3.1网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。2.3.2物理安全分析网络的物理安全是整个网络系统安全的前提。在企业网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。2.3.3网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，本文作者在设计时有必要将公开服务器（WEB、DNS、EMAIL等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。2.3.4系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，本文作者可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。2.3.5应用系统的安全分析应用的安全涉及方面很多，应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。应用的安全性涉及到信息、数据的安全性。2.4网络安全体系结构网络安全结构应当在对网络全面了解后实施.只有在掌握网络拓扑结构,风险分析结果和网络安全目标后,才能按照网络安全策略的要求,建立和实现网络系统的安全.网络安全体系结构一般指能实现如下几个功能的实体:一、提供未定义环境概念上的安全定义的结构二、在环境内可以独立设计安全组件三、说明安全独立组件应该如何集成在整体环境中四、保证完成后的环境符合最初建立的虚拟实体2.4.1网络安全体系结构框架一个的网络安全体系结构框架，反映了信息系统的安全需求和体系结构的共性，如果用公式表示：体系结构=部件+关系+约束，那么在网络体系结构中的部件为：安全服务、安全机制和功能层；关系为：安全服务与安全机制。安全服务与功能层；约束为：安全政策。安全服务安全服务五大网络安全服务安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。在对威胁进行分析的基础上，规定了五大标准网络安全服务。(一)鉴别服务身份鉴别椒授权控制的基础。必须做到准确无二义地将对方辩空城计出来，同时还应该提供双向的认证，即互相证明自己的身份。网络环境下的身份认证更加复杂，主要是要考虑到验证身份的双方一般都是通过网络而非直接交互的。大量的黑客随时随地都可能尝试向网络渗透，截获合法用户口令并冒名顶替，以合法身份入网。所以，目前一般采用的是基于对称密钥加密或公开密钥加密的方法，采用高强度的密码技术来进行身份认证。比较著名的有Kerberos,PGP等方法。（二）访问控制服务用于防止未授权用户非法使用系统资源，包括用户身份认证、用户的权限确认。这种保护服务可提供给用户组。对访问控制的要求主要有：一致性，也就是对信息资源的控制没有二义性，各种定义之间不冲突。统一性，对所有信息资源进行集中管理，安全政策统一贯彻。要求有审计功能，对所有授权记录可以核查。（三）数据完整性服务数据完整性是指通过网上传输的数据应阻止非法实体对交换数据的修改、插入、删除、替换或重发，以保证合法用户接收和使用该数据的真实性。（四）数据保密服务为了防止网络中各个系统之间交换的数据被截获或非法存取而造成泄密，提供密码加密保护。（五）抗抵赖性服务防止发送方在发送数据后否认自己发送过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。由两种服务组成：一是不提否认发阖家；二是不得否认接收抗抵赖性对金融电子化系统很重要。电子签名的主要目的是防止抵赖，防止否认，给仲裁提供证据。八大网络安全机制安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制。一个安全策略和安全服务可能单个使用，也可以组合起来使用。在上述提到的安全服务中可以借助以下八大安全机制。（一）加密机制加密是提供信息保密的核心方法。加密技术也应用于程序的运行，通过对程序的运行实行加密保护，可以防止软件被非法复制，防止软件的安全机制被破坏。加密能单独作为一种机制运行，也能成为后面其他机制的一部分，起到补充的作用。（二）访问控制机制访问控制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。访问控制还可以直接支持数据机密性、数据完整性、可用性以及全法使用的安全目标（访问控制矩阵）。访问控制分为高层（Application）访问控制和低层（NfetworkProtocal）访问控制。高层：对用户口令、用户权限、资源属性的检查和对比来实现的（权限的顺序从高到低是资源属性、用户权限）；低层：对通信协议中的某些特征信息的识别、判断，来禁止或允许用户访问的措施。在路由器上设置过滤，就属于低层访问控制。（三）数据完整性机制数据完整性包括数据单元的完整性和数据字段的完整性两个方面。数据单元的完整性是指组成一个单元的一段数据不被破坏和增删篡改，通常是把包括有数字签名的文件用hash函数产生一个标记，接收者在收到文件后也用相同的hash函数处理一遍，观察产生的标记是否相同就可知道数据是否完整。数据字段的完整性是指的数据分割为按字段号编排的许多单元，在接收时还能按原来的字段把数据串联起来，而不会发生数据单元的丢失、重复、乱序、假冒等情况。（四）数字签名机制数字签名机制主要解决以下安全问题：1.否认：事后发送者不承认文件是他发送的2.伪造：有人自己伪造了一份文件，却声称是某人发送的。3.冒充：冒充别人的身份在网上发送文件。4.篡改：接收者私自篡改文件的内容。数字签名机制具有可证实性、不可否认性。不可伪造和不可重用性。其实质在于对特定数据单元的签名，并且只有从形成该签名的那个机密信息中产生出来，机密的持有者唯一。因此，当该签名得到验证之后，能够在任何时候向第三方（即仲裁）提供证明签名人的证据。（五）交换鉴别机制交换鉴别机制是通过互相交换信息的方式来确定彼此的身份人。用于交换鉴别的技术有：口令：由发阖家方给出自己的口令，以证明自己的身份，接收方则根据地口令来判断对方的身份。密码技术：接收方在收到已加密的信息时，通过自己掌握的密钥解密，能够确定信息的发送者是掌握了另一个密钥的那个人。（六）公证机制网络上鱼龙混杂，很难说相信谁不相信谁。同时，网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清，可以找一个大家都信任的公证机构，各方交换的信息都通过公证机构来中转。公证机构从中转的信息里提取必要的证据，日后一旦发生纠纷，就可以据此做出仲裁。因此公证机制是在两个或多个实体之间交换数据信息时，用户保护各个实体安全及纠纷的仲裁。（七）流量填充机制流量填充机制提供针对流量分析的保护，外部攻击者有时能够根据数据交换的出现、消失、数量或频率而提取出有用信息。数据交换量的突然改变也可能泄露有用信息。例如，当公司开始出售它在股票市场上的份额时，在消息公开以前的准备阶段中，公司可能与银行有大量通信。因此对购买该股票感兴趣的人就可以密切关注公司与银行之间的数据流量，以了解是否可以购买。（八）路由控制机制路由控制机制使得可以指定网络发送数据的路径。这样，可以选择那些可信的网络节点，从而确保数据不会暴露在安全攻击之下。路由选择控制机制使得路由能动态地或预定地选取，以便使用物理上安全的子网络、中继站或链路来进行通信，保证敏感数据只在具有适当保护级别的路由上传输。2.4.2网络安全服务层次模型国际标准化组织ISO在开放系统互连表年准中定义了7个层次的网络互连参考模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。不同的网络层次之间的功能虽然有一定的交叉，但是基本上是不同的。例如，链路层负责建立点到点通信，网络层负责路由，传输层负责建立端到端的进程通信信道。从安全角度来看，各层能提供一定的安全手段，针对不同层次的安全措施是不同的。开放系统互连参考模型的层次功能是上层利用下层提供的服务，下层为上层服务。因此每个层次提供不同的安全机制和安全服务，为各系统单元提供不同的安全特性。需要对网络安全服务所属的协议层次进行分析，没有哪个单独的层次能够提供全部的网络安全服务，每个层次都能做出自己的贡献。在物理层要保证通信线路的可靠，不易被窃听。在链路层可以采用加密技术，保证通信的安全。在互联网和Intranet环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全适用。在网络层，可以采用传统的防火墙技术，如在TCP/IP网络中，采用IP过滤功能的路由器，以控制信息在内外网络边界的流动，还可以使用IP加密传输信道技术IPSEC，在两个网络结点间建立透明的安全加密信道。这种技术对应用透明，提供主机的安全服务，适用于在公共通信设施上建立虚拟的专用网。这种方法需要建立标准密钥管理，目前在产品兼容性和性能上尙存在较多问题。在传输层可以实现进程的安全通信，如现在流行的安全套接字层SSL技术，是在两个通信结点间建立安全的TCP连接。这种技术实现了基于进程的安全服务和加密传输信道，采用公钥体系做身份认证，具有高的安全强度。但这种技术对应用层不透明，需要证书授权中心，它本身不提供访问控制。针对专门的应用系统，在应用层实施安全机制，对特定的应用是有效的，如基于SMTP电子邮件的安全增强型邮件PEM提供了安全服务的电子邮件，又如用于WEB的安全增强型超文本传输协议S-HTTP提供了文件级的安全服务机制。由于它是针对特定应用的，缺乏通用性，且需修改应用程序。3网络安全技术3.1网络安全技术分析网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。3.2数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。拿体制而言，目前的加密体制可分为：单密钥加密体制和公用密钥体制。3.2.1单密钥机密体制单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于：在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。3.2.2公用密钥加密体制公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的放到INTERNET的任意地方，或者用非密钥的邮件发给信息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是1978年由R.Rivest、A.Shamir和L.Adlman三人发明的RSA，现在已经有许多应用RSA算法实现的数字签名系统了。总之，密码技术是网络安全最有效的技术之一。加密技术不但可以防止非授权用户搭线窃听和入网，而且也是对付恶意软件的有效方法之一。3.3防火墙枝术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、监视和入侵检测技术。3.4认证技术认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下:一、身份认证当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。二、报文认证报文认证主要是通信双方对通信的内容进行验证，以保证报文在传送中没被修改过。三、访问授权访问授权主要是确认用户对某资源的访问权限。四、数字签名数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。3.5杀毒软件技术杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、NORTON防火墙，360防火墙等。3.6入侵检测技术入侵检测技术是网络安全研究的一个热点，入侵检测是对对防火墙技术的一种逻辑补偿技术，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测。智能化入侵检测和全面的安全防御方案。入侵检测系统（IDSInstusionDetectionSystem）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止，封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。3.7安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：一、速度。在网络内进行安全扫描非常耗时。二、网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。三、能够发现的漏洞数量。四、是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。五、报告，扫描器应该能够给出清楚的安全漏洞报告。六、更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。3.8访问控制技术每个系统都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程。3.9虚拟专用网技术VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道“在公共网络中传播。在公共通信网络上构建VPN有两种主流的机制：路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全：隧道技术（Tunneling）、加/解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）和使用者与设备身份认证技术（Authentication）。3.10VPN技术解决方案——华为3Com动态VPN解决方案3.10.1概述在现有的IPVPN组网方案中，一般采用GRE隧道、L2TP、IPSec等方式。但是这些方案都存在一个弊端，就是必须是按照事先的配置进行组网，并且要完成一个全联通的网络时（如图2.1所示），结构和配置就变得复杂。由于要建立一对一的连接，所以当有N个网络设备进行互联时，网络的就必须建立N×(N－1)/2个连接，这样不仅造成了组网和配置的复杂，而且配置时必须知道对端设备的基本信息，试想如果其中有一个节点的设备修改了配置，那么其他所有节点都必须针对这台设备修改本地配置，这给维护增加了很大的成本。图3-1传统VPN方式下的全联通QuidwaySecPathVPN安全网关（以下简称网关）可以提供动态VPN的解决方案，能有效地解决以上传统VPN的缺陷。动态VPN采用了Client和Server的方式，任意一个Client设备只需要知道Server的信息就能够和其他Client设备进行互通，并且这种互通是自动的，不需要任何人为的干预。企业的总部放置一台网关作为Server，其他设备完全就可以随时通过VPN互联，并且每个属于该VPN内的Client设备都能够互相访问（如图2.2所示）。通过这种方案进行VPN的组网不尽降低了维护成本，而且使得网络应用更加灵活，加上动态VPN提供的认证和加密特性完全保证了用户的网络安全。图3-2VPN解决方案图3.10.2动态VPN的基本原理和关键技术动态VPN的基本原理动态VPN采用了Client/Server的方式，一台网关作为Server，其他的网关作为Client。每个Client都需要到Server进行注册，注册成功之后Client就可以互相通讯了。Server在一个VPN当中的主要任务就是获得Client的注册信息，当有一个Client需要访问另一个Client时通知该Client所要到达目的地的真正地址。动态VPN采用了隧道技术，即在每对互相通讯的网关上都自动打通一条隧道，所有的数据都在隧道中传输，当该隧道没有数据流量的时候又会自动切断该隧道以节约资源或成本。目前动态VPN支持两种隧道方式，即GRE隧道和UDP隧道。GRE隧道方式属于标准协议的隧道；而UDP隧道方式是华为3Com公司的专利方式，这种方式能够很好的解决穿透NAT/防火墙的问题，这是GRE方式所不及的。动态VPN的关键技术1.穿透NAT/防火墙技术动态VPN采用UDP方式建立隧道，使用这种技术建立隧道的最大好处就是能够穿透NAT/防火墙。传统的GRE方式建立隧道，由于GRETunnel是基于三层IP建立隧道，所以不支持PAT端口方式的一对多的地址转换，就需要大量的公网IP地址。动态VPN采用UDP方式建立隧道就完全避免了这种问题的发生，当网关使用UDP连接建立隧道，可以支持地址和端口的应用，当隧道通过NAT/防火墙的时候就会转换为对应的公网IP地址和相应的端口号，从而完成数据的穿越NAT网关。2.动态IP地址构建VPN技术传统的GRE方式建立隧道就必须知道对端设备的IP地址，一旦有一台设备IP地址更换，那其他相关设备就全部都需要更改配置；同时由于传统的GRE隧道建立必须知道对方的IP地址，这样就使得动态IP地址的设备就无法正常建链。现在的宽带不断的推广应用，如果中小企业使用xDSL或者以太网接入方式的话要比以前专线方式接入节省大量的线路租用费用，但是一般的xDSL接入或者以太网接入使用的是动态的IP地址，这样就出现了一个问题，如何使用动态的IP地址来建立企业自己的VPN网络？显然传统的VPN构建方式已经满足不了现在的应用了，为此华为3Com公司的QuidwaySecPathVPN安全网关，推出适合动态IP地址构建企业VPN的动态VPN技术和解决方案。动态VPN在同一个VPN内部构建隧道不需要知道其他Client网关的任何信息，只需要配置自己的信息并指定相应的Server就完成了。所以使用动态VPN时用户只需配置一次，不管其他Client设备怎么更改也都能够进行互相通讯，同时用户也不用关心自己当前使用的IP地址是多少，更加适应现在动态IP地址的使用方式。为了能够让用户使用更加方便、为了让更多的用户能够享受华为3Com动态VPN的优点、同时也为了用户降低组网成本，华为3Com公司还推出基于PC的客户端软件QuidwaySecPoint，这样用户能够在外出时只需通过PC进行ADSL或者普通拨号方式就能够和公司的其他用户进行连接。下图3-3描述一个公司的VPN网络，既有固定IP地址用户（总部固定网络），也有动态IP地址用户（分支机构ADSL拨号和SOHO用户普通拨号）。如果这时有公司内部人员出差需要访问公司网络资源，那么只需要该用户拨号上网，到公司Server上注册，然后就可以访问任何用户（包括固定IP地址用户和其他动态IP地址用户设备）。在下图中以红色虚线表示。图3-3移动拨号用户访问整个VPN网络3.自动建立隧道技术使用传统GRE方式构建VPN，如果有N台网关需要建立一个全联通的网络的话就需要在每台网关上创建N－1个Tunnel接口，使每个Tunnel接口对应一台对端设备，并且需要配置N－1个对端地址，整个网络一共需要配置N×(N－1)个Tunnel接口，这个工作量对于一个中型网络来说简直就是不可想象的工作量。不光如此，每当更改一台设备的IP地址时，其他N－1个设备都需要重新更改配置，这样给维护带来了很大的成本，并且也容易导致人为的错误。当人为操作会给整个通讯网络带来一定的风险的时候本文作者们就需要一种自动方式来维护网络的正常运行。动态VPN在两个网关之间建立隧道完全是自动建立的，每台作为Client的网关只需配置自己相关的东西，如本地的IP地址、UDP方式下使用的端口号、所属的VPN和Server等；不需要知道其他Client端的任何信息就可以互相通讯。在这种方式下会比传统的GRE隧道方式减少大部分的工作量，如果是N台网关构建VPN网络的话，只需配置N台设备自己的信息就可以了，要比传统的方式减少N×(N－2)的工作量，并且很大程度上减少了人为错误的发生。4.认证加密技术VPN的主要特点就是在公共网络构建一个属于企业自己的专用网络，使用了VPN技术之后企业内部的设备都在一个VPN网络内部，不管各个分支机构所处何地都像是公司内部网络，可以直接进行访问和数据传输。但是由于是在公网上传输数据，那么安全特性就显得尤为重要了，没有一定的安全机制，企业内部的数据在公网上就会被其他人所截取，企业内部的机器也将受到网络上其他设备的攻击，这样给企业将带来灾难性后果。动态VPN使用了认证、加密等技术，最大程度地保证用户数据的安全，用户网络的安全。首先，动态VPN提供了注册认证机制，Client端设备要想加入到某个特定的动态VPN内，必须首先经过Server的认证，只有通过Server认证的Client设备才能够接入企业的VPN网络，这样保证了非授权用户非法登录，同时也阻止了人为的破坏。其次，Client和Client之间建立隧道时也必须经过认证，就是说必须两个Client都经过同一个Server的认证才允许建立隧道，这样就可以防止公网上非法用户的入侵。另外，在使用动态VPN的接口上可以启用IPSec进行加密，保证用户在公网上传输的数据的安全可靠。有了上述这些措施之后，动态VPN网络内部就是一个相对安全的区域，企业可以放心的在VPN内传输自己的数据了。5.支持多个VPN域为了能够使得用户能够最大限度的使用网络设备资源，降低用户的网络构建成本，动态VPN允许用户在一台网关上支持多个VPN域。如图3-4即一台网关不仅可以属于VPNA，也可以属于VPNB，并且可以在VPNA中作为Client设备，同时还可以在VPNB中作为Server设备使用。这样大大提高了组网的灵活性，也可以更加充分的使用网络设备资源，减少了用户的投资。图3-4一台网关支持多个VPN域由于传统的VPN技术在构建网络的时候越来越显得烦杂，对移动的用户或者动态IP地址的用户支持显得力不从心，使得传统方式构建的企业级的VPN网络处于尴尬境地。对于企业来说，需要能够采用一种新的简单的方式，既能够满足跨不同地域的固定IP地址用户互相访问，也同时能够满足移动的动态IP地址用户的企业网络访问。对于运营商来说，也希望能够借助目前自己的网络来给企业用户构建VPN网络，满足跨地域企业组网需求。但是目前提供的组网方式对于中小型企业来说是一种价格高昂花费，使得好多中小型企业望而却步。随着IP宽带网络的发展，越来越多的企业从原来的专线方式投到了宽带接入的怀抱，特别是近期xDSL接入的兴起，更多的中小型企业选择xDSL作为公司接入网络的一种首选方案。但随之而来的问题也渐渐暴露，使用一般的xDSL接入方式虽然价格低廉，但是和普通拨号一样是非固定的IP地址，甚至是某个ISP提供的私人网络IP地址，这些问题导致用户无法按照传统的方式来建立VPN网络。华为3Com公司提出的动态VPN解决方案充分考虑了企业用户的需求，同时也考虑了运营商的利益。动态VPN不但使动态IP地址之间建立VPN成为可能，而且使用户付出较低的成本就可以享受宽带VPN带来的方便，同时动态VPN使用的安全特性能够让用户对VPN的数据更加安心。4网络安全漏洞分析4.1漏洞的概念漏洞是存在于系统中的一个弱点或者缺点。广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。实际上，漏洞可以是任何东西，许多用户非常熟悉的特殊的硬件和软件存在漏洞，如IBM兼容机的CMOS口令在COMS的电池供电不足、不能供电或被移走情况下会丢失CMOS信息也是漏洞；操作系统、浏览器、TCP/IP、免费电子邮箱等都存在漏洞。微软对漏洞的明确定义：“漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。”4.2漏洞的分类4.2.1从不同角度划分对一个特定程序的安全漏洞，要以从多方面进行分类。（一）从用户群体可分为：大众类软件的漏洞，如WINDOWS的漏洞、IE的漏洞等。专用软件的漏洞，如ORACLE漏洞、APACHE漏洞等。（二）从数据角度分为：能读按理不能读的数据库，包括内存中的数据库、文件中的数据、用户输入的数据、数据库中的数据等。能把指定的内容写入指定的地方（这个地方包括文件、内存、数据库等）。（三）从触发条件上可以分为：主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。被动触发漏洞，必须要计算机的操作人员配合才能进行攻击所利用的漏洞。比如攻击者给管理员发一封邮件，带了一个特殊的JPG图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从而系统被攻击；介如果管理员不看这个图片，则不会受攻击。（四）从时序上可分为：已发现很久的漏洞：厂商已经发布补丁或修补方法，很多人都已经知道。这类漏洞通常很多人已经进行了修补，宏观上看危害比较小。刚发现的漏洞：厂商刚发补丁或修补方法，知道的人还不多。相对于上一各漏洞其危害性较大，如果此时出现了蠕虫或傻瓜化的利用程序，那么会导致大批系统受到攻击。ODAY：还没有公开的漏洞，在私下交易中的。这类漏洞通常对大众不会有什么影响，介会导致攻击者瞄准的目标受到精确攻击，危害也是非常之大的。4.2.2按照漏洞的形成原因划分按照漏洞的形成原因，漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。（一）程序逻辑结构漏洞这种类型的漏洞有可能是编程人员在编写程序时，因为程序的逻辑设计不合理或者错误而造成的程序逻辑漏洞。这种类型的漏洞最典型的是微软的是微软的WINDOWS2000用户登录的中文输入法漏洞。非授权人员可以通过登录界面的输入法的帮助文件绕过WINDOWS的用户名和密码验证而取得计算机的最高权限。（二）程序设计错误漏洞这种类型的漏洞是编程人员在编写程序时由于技术上的疏忽造成的漏洞。这种类型的漏洞最典型的是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。（三）开放式协议造成的漏洞目前，国际互联网的通信采用的是具有开放性的TCP/IP协议。因为TCP/IP协议的最初设计者在设计该通信协时，只考虑到了协议的实用性，而没有考虑到协议的开放和透明性嗅探网络数据包，窃取数据包里面的用户口令和密码信息；TCP协议三次握手的潜在缺陷所导致的拒绝服务攻击等。（四）人为因素造成的漏洞一个系统如果本身设计得很完善，安全性也很高，但管理人员安全意识淡薄，同时会给系统留下漏洞。例如，系统本身非常完备安全，但系统登录所需要的管理员账号或口令因为设置过于简单而被黑客拆解出来了，那么其他的环节再安全也没有丝毫意义了。4.2.3按照漏洞可能对系统造成的直接威胁划分按照漏洞可能对系统造成的直接威胁可划分如下：（一）远程管理员权限攻击者无须通过一个账号登录到本地而直接获得远程系统的管理员权限，通常通过攻击以ROOT身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，小部分来自守护进程本身的逻辑缺陷。（二）本地管理员权限攻击者在已有一个本地账号能登录到系统的情况下，通过攻击本地某些有缺陷的程序、竞争条件等手段，得到系统的管理员权限。例如， LINUX的RESTORE是一个SUID程序，它执行时间可以获得系统ROOT权限。（三）普通用户访问权限攻击者利用服务器漏洞，取得系统的普通用户存取权限，对UNIX类系统通常是SHELL访问权限，对WINDOWS系统通常是CMD。EXE的访问权限，能够以一般用户的身份执行程序，存取文件。攻击者通常攻击非ROOT身份运行的守护进程、有缺陷的CGI程序等手段获得这种访问权限。（四）远程拒绝服务攻击利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。早期的LINUX和BSD的TCP/IP堆栈的IP片断重组模块存在缺陷，攻击者通过向系统发出特殊的IP片断包即可使机器崩溃。（五）口令恢复因为采用了很弱的口令加密方式，使攻击者可能很容易地分析出口令的加密方法，从而通过某种方法得到密码后还原出明文来。（六）欺骗利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗，这通常是由于系统的实现上存在某些缺陷造成的。例如，IE曾经存在一个漏洞，允许一个恶意网络在另一个网站窗口内插入内容，从而欺骗用户输入敏感数据。4.2.4按照漏洞被利用方式划分漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，可能的攻击方式分为以下4类：（一）物理接触攻击者需要物理地接触目标系统才能利用这类漏洞，对系统的安全构成威胁。（二）主机模式这是通常的漏洞利用方式。攻击方为客户机，被攻击方为目标主机。比如，攻击者发现目标主机的某个守护进程存在一个远程溢出漏洞，攻击者可能因此取得主机的额外访问权。（三）客户机模式当一个用户访问网络上的一个主机时，可能遭到主机发送给自己恶意命令的袭击。客户机不应该过度信任主机。如WEB浏览器IE存在不少漏洞，可以使一些恶意的网站用HTML标记通过那些漏洞在浏览的客户机中执行程序或读写文件。（四）中间人方式当攻击者位于一个可以观察或截获两个机器之间的通信的位置时，就可以认为攻击者处于中间人方式。对于某些公钥加密的实现，攻击者可以截获并取代密钥伪装成网络上的两个节点来绕过这种限制。4.3漏洞的特征从以上的漏洞分类可以看出漏洞是广泛存在的，不同的设备、操作系统。应用系统都存在安全漏洞，归纳起来漏洞有如下特征：一、漏洞的长久性漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断地暴露出来，这些早先被发现的漏洞也会不断地被系统供应商发布的补丁软件修补，或在以后发布的新版系统中得以纠正。而在新版系统纠正了旧版本中具有的漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。例如，WINDOWSXP操作系统自发布以来，随着时间的推移，新的漏洞不断出现，微软公司不断发布补丁和升级版。因此，只能针对目标系统版本和其上运行的软件版本，以及服务运行设置实际环境来具体讨论可能存在的漏洞及其可行的解决方案。二、漏洞的隐蔽性网络系统安全漏洞是指可以用来对系统安全造成危害、系统本身具有的或设置上存在的缺陷。总之，漏洞是系统在具体实现中的错误。例如，在建立安全机制中规划考虑上的缺陷，做系统和其他软件编程中的错误，以及在使用该系统提供的安全机制时人为的配置错误等。网络系统安全漏洞是在系统具体使用中产生的错误，但并不是系统中存在的错误都是安全漏洞，只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害，只有被人在某些条件下故意使用时才会影响系统安全。三、漏洞多样性漏洞会影响到很大范围的软、硬件设备，包括操作系统本身及支撑软件平台、网络客户和服务器软件、网络路由器和安全防火墙等。也就是说，在网络上的不同软件、硬件设备都可能存在不同的安全漏洞问题。四、漏洞的被发现性漏洞虽然可能最初就存在于系统当中，但一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在错误，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具，这时人们会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。例如，微软公司在发布WINDOWSVISTA时认为是最安全的操作系统。没过多久，由用户在实际使用或由安全人员和黑客在研究中发现许多漏洞。也就是说，绝对的安全是没有的。攻击者往往是安全漏洞的发现者和使用者。从某种意义上讲，是攻击者使网络系统变得越来越安全。4.4漏洞严重性的等级一般来说，漏洞的威胁类型基本上决定了它的严重性，可以把严重性分成高、中、低三个级别或A、B、C三个级别。一、C类，允许拒绝服务的漏洞允许拒绝服务的漏洞属于C类，是不太重要的漏洞，属于低级别。这种攻击几乎总是基于操作系统的。也就是说，这些漏洞存在于操作系统网络传送本身。当存在这种漏洞时，必须通过软件开发者或销售商的弥补予以纠正。二、B类，允许本地用户非法访问的漏洞B类漏洞是允许本地用户获得增加的和未授权的访问，这种漏洞一般在多种平台的应用程序中发现，大多数B类漏洞由应用程序中的一些缺陷引起。有些常见的编程错误导致这种漏洞的产生。三、A类，允许过程用户经授权访问的漏洞A类漏洞是威胁性最大的一种漏洞。大多数A类漏洞是由于较差的系统管理或设置有误造成的。例如：远程和本地管理员权限大致对应为A类，普通用户权限、权限提升、读取受限文件、远程和本地拒绝服务大致对应B类，远程非授权文件存取。5漏洞扫描系统概述5.1漏洞扫描系统的简介5.1.1漏洞扫描系统定义漏洞扫描是一种自动检测计算机安全脆弱点的技术。扫描程序集中了已知的常用攻击方法，针对系统可能存在的各种脆弱点进行扫描，输出扫描结果，以便审查人员分析并发现系统存在的漏洞。扫描程序还可以通过TCP/IP端口查询，记录目标响应的情况，收集相关的有用信息，以发现网络系统的安全漏洞。利用漏洞扫描技术可以快速地在大范围风发现已知的系统安全漏洞。网络漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的WEB服务器的各种TCP端口的分配、提供的服务、WEB服务软件版本和这些服务及软件呈现在互联网上的安全漏洞，从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。5.1.2漏洞扫描系统的必要性分析防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施，但是它也是存在局限性。防火墙具有下列局限性：一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，比如拨号上网。二、防火墙不能解决来自内部网络的攻击和安全问题。“外紧内松”是一般局域网络的特点，一道严密防守的防火墙其内部的网络也有可能是一片混乱。防火墙内部各主机间的攻击行为，防火墙也只能如旁观者一样冷视而爱莫能助。三、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的位置。五、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击。六、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如，利用开放了3389端口取得没打过XP补丁的Windows2000的超级权限，利用ASP程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具有备查杀病毒的功能，即使集成了第三方的防病毒软件，也没有一种软件可以查杀所有的病毒。八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。九、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己，因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。总之，随着互联网的日趋普及，互联网上的犯罪活动也越来越多，特别是互联网大范围的开放以及金融领域网络的接入，使得越来越多的系统遭到入侵攻击的威胁。但是，不管入侵者是从外部还是从内部攻击某一网络系统，攻击机会都是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的，例如1988年的“蠕虫事件”。如果用户能够根据具体的应用环境，尽可能早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。因此，在网络系统建设中采用漏洞扫描技术是非常必要的。5.1.3漏洞扫描系统构成漏洞扫描系统组成可以用图5-1所示的结构图来表示。扫描引擎漏洞数据库当前活动的扫描知识库用户配置控制的结果存储器和报告生成工具扫描引擎漏洞数据库当前活动的扫描知识库用户配置控制的结果存储器和报告生成工具图5-1漏洞扫描系统组成示意图漏洞扫描系统各组成部分的功能说明如下：漏洞数据库模块：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。用户配置控制台模块：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统以及扫描哪些漏洞。扫描引擎模块：扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。当前活动的扫描知识库模块：通过查看内存中的配置信息，该模块监控当前活动的扫描，将要扫描漏洞的相关信息提供给扫描引擎，同时还接收扫描引擎返回的扫描结果。结果存储器和报告生成工具：就是利用当前活动扫描知识库中存储的扫描结果，生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上发现了哪些漏洞。5.2网络漏洞扫描器一般情况可以将漏洞扫描器分为两种类型，主机漏洞扫描器（HostScanner）和网络漏洞扫描器（NetworkScanner）。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序，网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序。网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息，例如是否能用匿名登录，是否有可写的FTP目录等。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则视为漏洞存在。在匹配原理上，网络漏洞扫描器可以采用的是基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验，形成一套标准的系统漏洞库，然后在此基础之上构成相应的匹配规则，由程序自动进行系统漏洞扫描的分析工作。5.2.1漏洞扫描器的扫描工作原理网络漏洞扫描器的扫描工作原理是，首先探测目标系统的活动主机，对活动主机进行端口扫描，确定系统开放的端口，同时根据协议指纹技术识别出主机的操作系统类型。然后扫描器对开放的端口进行网络服务类型的识别，确定其提供的网络服务。漏洞扫描器根据目标系统的的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在已知安全漏洞。目标可以是工作站、服务器、交换机、数据库应用等各种对象。扫描结果可以给用户提供周密可靠的安全性分析报告，是提高网络安全整体水平的重要依据。扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助用户发现目标机存在的某些弱点。一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有三项能力：发现一个主机的网络的能力；发现什么服务正在主机上运行的能力；发现服务漏洞的能力。5.2.2漏洞扫描技术漏洞扫描通常采用两种策略，第一种是被动式策略，第二种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查;而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描，利用主动式的策略扫描称为网络安全扫描。漏洞扫描归纳起来主要有4种技术：一、基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。二、基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括口令解密、把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。三、基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。四、基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。5.3网络漏洞扫描系统在企业网络安全实施中的应用实战如图5-2NetScan所示，NetScan网络安全漏洞扫描分析系统是一种基于网络的安全风险检测工具。它模拟黑客的网络攻击手法和行为，对网络中的被检系统进行攻击性的安全漏洞和安全隐患扫描，提交风险评估报告以及相应的修补措施建议。安全管理员定期使用NetScan对网络中的设备和系统进行安全性检查，可以最大限度地暴露网络中存在的安全隐患，再配合行之有效的修补措施，就可以将网络遭受入侵破坏的风险降至最低。图5-2NETSCAN该产品于2002年11月通过中国人民解放军信息安全测评认证中心的测评认证。功能特点具有强大的扫描分析能力。针对网络系统中存在的主要弱点和漏洞，集成了几十大类检测方法，能全方位、多侧面的对网络安全隐患进行扫描分析，基本上覆盖了目前网络和操作系统存在的主要弱点和漏洞，具有强大的扫描分析能力。具有安全策略的自定义能力。提供安全策略配置功能，用户可根据不同的安全需求，选取或自定义不同的扫描策略，对相应的网络设施进行扫描分析。面向多操作系统，检测范围广泛。扫描分析的网络操作系统比较广泛，基本覆盖目前较常用的SUNSolaris、HP-UX、IBMAix、DigitalUNIX、SGIIRIX、Linux、Windows9X/NT/2000/XP等系统，具有分析路由器、交换机、服务器和主机多种设备的能力。具有远程和本地两种工作模式。能够对基于TCP/IP的网络主机实施扫描分析，具有跨网关操作的能力，可通过专线或拨号接入任何基于TCP/IP的网络系统，支持本地或远程两种工作模式。能够提出补救措施和安全策略。能给用户提出修补这些弱点和漏洞的建议和措施，建议用户采用否认保证系统安全的策略，最大限度地保证用户信息系统的安全。具有较强的自我保护能力。系统采用完善的防护措施，有效地防止被滥用和盗用。6无线网络安全实战近年来，随着笔记本电脑和个人数字代理（PDA）以及家电数字化等技术的发展，人们利用信息技术进行通信联系和信息交流的空间和灵活性不断拓展。"无线网络"成为技术发展和社会应用的新宠，受到全社会的普遍欢迎，同时也成为网络发展商们争相抢占的新领域。6.1无线局域网安全现状与安全威胁计算机通信网络，随着互联网技术的飞速发展而发展,从传统的有线网络发展到今天的无线网络,作为无线网络主要网络之一的无线局域网WLAN(WirelessLocalNetwork),满足了人们实现移动办公的梦想，为用户创造了一个丰富多彩的自由天空，让人能够真正体会到网络无处不在的奇妙感觉。6.1.1无线局域网安全现状WLAN开始是作为有线局域网的延伸而存在的，各团体、企事业单位广泛地采用了W