计算机安全技术网络安全

9.1网络安全概述

9.1.1网络安全简介

网络是一条数据高速公路，它专门用来增加对计算机系统的访问，而安全性却专门用来控制访问。提供网络安全性是在公开访问与控制访问之间的一种权衡举措。在家里，通过锁门为财产提高安全性，而不是封锁街道。同样，网络安全性一般是指对单台主机提高合适的安全性，而不是直接在网络上提高安全性。计算机安全包括物理安全和逻辑安全。对于前者要加强计算机机房的管理；而对于后者则需要用口令字、文件许可或查帐等方法来实现。计算机安全的目标是：在安全和通信方便之间建立平衡。

9.1网络安全概述9.1.2网络安全的重要性计算机系统经常遭到进攻。更令人不安的是大多数进攻未被察觉。这些进攻给国家安全带来的影响程度还未确定，但已发现的进攻多数是针对计算机系统所存放的敏感信息，其中三分之二的进攻是成功的，入侵者（黑客）盗窃、修改或破坏了系统上的数据。被推荐的安全措施有：·对非法访问的登录进行横幅警告。·键盘级监控。·捕捉。·呼叫者ID。·电话截取。·数据加密。·防火墙。防火墙是防止Intranet被入侵的最好方法。

9.1网络安全概述9.1.3信息系统安全的脆弱性信息系统在安全方面存在的问题。1．操作系统安全的脆弱性2．计算机网络安全的脆弱性3．数据库管理系统安全的脆弱性4．缺少安全管理9.1网络安全概述9.1.4安全控制的种类可用于保护一个计算机网络的安全控制有两种，即内部和外部控制。1．内部控制简单的说内部控制是对计算机系统本身的控制。密码、防火墙和数据加密都属于内部控制。内部控制只有与某一级的外部控制相结合时才生效。2．外部控制外部控制指系统本身无法控制的部分。外部控制总体上有三类：·物理控制·人事控制·程序控制9.1网络安全概述9.1.5网络安全的方法基本上说，处理网络的安全问题有两种方法。用户或允许某人访问某些资源，或者拒绝某人访问这些资源。对于某种装置来说，访问或者拒绝访问的标准是唯一的。1．允许访问指定的用户具有特权才能够进行访问。这些标准在某种程度上应该与资源共有的性质相匹配。2．拒绝访问拒绝访问是对某一网络资源访问的一个拒绝。3．异常处理网络安全中经常同时使用上述两种方法。9.2网络安全策略9.2.1最小特权或许最根本的安全原则就是最小特权原则。最小特权原则意味着任何对象仅应具有该对象需要完成指定任务的特权，它能尽量避免你遭受侵袭，并减少侵袭造成的损失。9.2.2纵深防御不要只依靠单一安全机制，尽量建立多层机制。避免某个单一安全机制失败后你的网络会彻底地垮掉。9.2.3阻塞点阻塞点强迫侵袭者通过一个你可以监控的窄小通道在因特网安全系统中，位于你的局域网和因特网之间的防火墙（假设它是你的主机和因特网之间的唯一连接）就是这样一个阻塞点。9.2网络安全策略9.2.4最薄弱环节安全保护的基本原则是链的强度取决于它的最薄弱环节，就像墙的坚固程度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精力对其进行攻击。你应意识到防御措施中的弱点，以便采取行动消除它们，同时你也可以仔细监测那些无法消除的缺陷。平等对待安全系统的所有情况，以使得此处与彼处的危险性不会有太大的差异。9.2.5失效保护状态安全保护的另一个基本原则就是在某种程度上做到失效保护，即如果系统运行错误，那么它们会停止服务，拒绝用户访问，这可能会导致合法用户无法访问该系统，但这是可接受的折衷方法。9.2网络安全策略9.2.6普遍参与为了使安全机制更有效，绝大部分安全保护系统要求网络用户的普遍参与。如果某个用户可以轻易地从你的安全保护机制中退出，那么侵袭者很有可能会先侵袭内部人员系统，然后再从内部侵袭你的网络。9.2.7防御多样化正如你可以通过使用大量的系统提供纵深防御一样，你也可以通过使用大量不同类型的系统得到额外的安全保护。如果你的系统都相同，那么只要知道怎样侵入一个系统就会知道怎样侵入所有系统。9.2网络安全策略9.2.8简单化简单化也是一个安全保护战略，这有两个原因：第一，简单的事情易于理解，如果你不了解某事，你就不能真正了解它是否安全；第二，复杂化会提供隐藏的角落和缝隙，一间工作室比一拣大厦更容易保证其安全性。复杂程序有更多的小毛病，任何小毛病都可能引发安全问题。9.3防火墙的作用与设计9.3.1防火墙的作用Internet的迅速发展为人们发布和检索信息提供了方便，但它也使污染和破坏信息变得更容易。人们为了保护数据和资源的安全，创建了防火墙。防火墙从本质上来说是一种保护装置，用来保护网络数据、资源和用户的声誉。防火墙服务用于多个目的：·限定人们从一个特别的节点进入。·防止入侵者接近你的防御设施。·限定人们从一个特别的节点离开。·有效的阻止破坏者对你的计算机系统进行破坏。9.3防火火墙的作用用与设计从逻辑上讲讲，防火墙墙是分离器器、限制器器和分析器器；从物理理角度看，，各个防火火墙的物理理实现方式式可以有所所不同，它它通常是一一组硬件设设备（路由由器、主机机）和软件件的多种组组合。●防火墙的优优点：(1)防火火墙能强化化安全策略略(2)防火火墙能有效效地记录因因特网上的的活动(3)防火火墙可以实实现网段控控制(4)防火火墙是一个个安全策略略的检查站站●防火墙的缺缺点：(1)防火火墙不能防防范恶意的的知情者(2)防火火墙不能防防范不通过过它的连接接9.3防火火墙的作用用与设计(3)防火火墙不能防防备全部的的威胁(4)防火火墙不能防防范病毒防火墙要检检测随机数数据中的病病毒十分困困难，它要要求：·确认数据据包是程序序的一部分分·确定程序序的功能·确定病毒毒引起的改改变9.3.2防火墙的的功能防火墙通常常具有以下下几种功能能：·数据包过过滤·代理服务务9.3防火火墙的作用用与设计1．数据包包过滤数据包过滤滤系统在内内部网络与与外部主机机之间发送送数据包，，但它们发发送的数据据包是有选选择的。它它们按照自自己的安全全策略允许许或阻止某某些类型的的数据包通通过，这种种控制由路路由器来完完成，所以以数据包过过滤系统通通常也称之之为屏蔽路由器器。普通路由器器只是简单地地查看每一一个数据包包的目标地地址，然后后选择发往往目标地址址的最佳路路径。处理理数据包目目标地址的的方法一般般有两种：：·如果路由由器知道如如何将数据据包发送到到目标地址址，则发送送。·如果路由由器不知道道如何将数数据包发送送到目标地地址，则返返回数据包包，经由ICMP向向源地址发发送不能到到达的消息息。9.3防火火墙的作用用与设计屏蔽路由器器有以下特特点：·屏蔽路由由器比普通通的路由器器担负更大大的责任，，它不但要要执行转发发任务，还还要执行确确定转发的的任务。·如果屏蔽蔽路由器的的安全保护护失败，内内部的网络络将被暴露露。·简单的屏屏蔽路由器器不能修改改任务。·屏蔽路由由器能允许许或拒绝服服务，但它它不能保护护服务之内内的单独操操作。如果果一个服务务没有提供供安全的操操作，或者者这个服务务由不安全全的服务器器提供，那那么屏蔽路路由器就不不能保证它它的安全。。9.3防火火墙的作用用与设计2．代理服服务代理服务是是运行在防防火墙主机机上的专门门的应用程程序（服务务器程序））。防火墙墙主机可以以是一个同同时拥有内内部网络接接口和外部部网络接口口的双重宿宿主主机，，也可以是是一些内部部网络中唯唯一可以与与因特网通通信的堡垒垒主机。代理服务程程序接受用用户对因特特网服务的的请求，并并按照安全全策略转发发它们的请请求。所谓谓代理就是是一个提供供替代连接接并且充当当服务的网网关。由于于这个原因因，代理也也称之为应应用级网关关。代理服务位位于内部用用户和外部部服务之间间，它在幕幕后处理所所有用户和和因特网服服务之间的的通信，以以代替它们们之间的直直接交谈。。9.3防火火墙的作用用与设计9.3.3防火墙的的体系结构构防火墙的体体系结构一一般有以下下几种·双重宿主主主机体系系结构·屏蔽主机机体系结构构·屏蔽子网网体系结构构1．双重宿宿主主机体体系结构双重宿主主主机体系结结构是具有有双重宿主主功能的主主机而构筑筑的。该计计算机至少少有两个网网络接口，，一个是内内部网络接接口，一个个是因特网网接口。9.3防火火墙的作用用与设计2．屏蔽主主机体系结结构双重宿主主主机体系结结构提供内内部网络和和外部网络络之间的服服务（但是是路由关闭闭），屏蔽蔽主机体系系结构使用用一个单独独的路由器器来提供内内部网络主主机之间的的服务。在在这种体系系结构中，，主要的安安全机制由由数据包过过滤系统来来提供。。3．屏蔽子子网体系结结构屏蔽子网体体系结构在在屏蔽主机机体系结构构的基础上上添加额外外的安全层层，它通过过添加周边边网络把内内部网络更更进一步地地与因特网网隔离开。。周边网络堡堡垒主机机内内部路由器器外外部部路由器9.3防火火墙的作用用与设计4．防火墙体体系结构的的不同形式式①使用多堡堡垒主机②合并内部部路由器与与外部路由由器③合并堡垒垒主机与外外部路由器器④合并堡垒垒主机与内内部路由器器⑤使用多台台内部路由由器⑥使用多台台外部路由由器⑦使用多个个周边网络络⑧使用双重重宿主主机机与屏蔽子子网9.3防火火墙的作用用与设计9.3.4内部防火火墙①实验室网网络②不安全的的网络③特别安全的的网络④合作共建防防火墙⑤共享周边网网络⑥堡垒垒主机机可有有可无无9.3防火火墙的的作用用与设设计9.3.5发展展趋势势被称为为“第第三代代防火火墙””的系系统正正在成成为现现实，，它综综合了了数据据包过过滤与与代理理系统统的特特点与与功能能。目前，，人们们正在在设计计新的的IP协议议（也也被称称为IPversion6））。IP协协议的的变化化将对对防火火墙的的建立立与运运行产产生深深刻的的影响响，大大多数数网络络上的的信息息流都都有可可能被被泄漏漏，但但新式式的网网络技技术如如帧中中继、、异步步传输输模式式（ATM）可可将数数据包包从源源地址址直接接发送送给目目的地地址，，从而而防止止信息息流在在传输输中途途被泄泄露。。9.4.1Web与与HTTP协协议议HTTP是是应用用级的的协议议，主主要用用于分分布式式、协协作的的超媒媒体信信息系系统。。HTTP协议议是通通用的的、无无状态态的，，其系系统建建设与与传输输的数数据无无关。。HTTP也是是面向向对象象的协协议，，可用用于各各种任任务，，包括括（并并不局局限于于）名名字服服务、、分布布式对对象管管理、、请求求方法法的扩扩展和和命令令等等等。1．Web的访访问控控制2．HTTP安安全考考虑3．安安全超超文本本传输输协议议4．安安全套套接层层5．缓缓存的的安全全性6．CGI的权权限问问题7．Plug-in的安安全性性9.4.5SSL的加加密的的安全全性SSL用公公共密密钥加加密，，来在在客户户与服服务器器之间间交换换一个个进程程密钥钥，这这个密密钥用用来加加密HTTP传传输过过程（（包括括请求求和响响应））。每每次传传输采采用不不同的的密钥钥，因因而即即使某某些人人能够够破译译某次次传输输，并并不意意味着着他们们发现现了服服务器器的密密码，，如果果他们们想要要破译译下一一次，，他们们就必必须付付出像像第一一次那那样的的时间间和努努力。。9.4.6Java与与JavaScript1．Javaapplet的安安全性性问题题2．JavaScript的的安全全性问问题9.4.7ActiveX的安安全性性ActiveX是Microsoft公司司开发发的用用来在在Internet上分分发软软件的的技术术。像像Javaapplet一一样，，Active的控控件能能结合合进Web页中中，典典型的的表现现是一一个漂漂亮的的可交交互的的图形形。有有许多多为MicrosoftInternetExPlorer（（目前前唯一一支持持它们们的浏浏览器器）而而做的的是ActiveX控件件，包包括滚滚动的的字幕幕、背背景声声发生生器和和执行行Javaapplet的的ActiveX控控件。。不像像Java那样样是独独立于于平台台的编编程语语言，，ActiveX控控件是是以可可执行行的二二进制制码分分发的的，必必须为为各种种目标标机器器和操操作系系统分分别编编译。。9.4.8Cookies的安安全性性Cookie是是Netscape公司司开发发的一一种机机制，，用来来改善善HTTP协议议的无无状态态性。。通常常，每每次浏浏览器器从Web服务务器请请求网网页的的URL时时，这这个请请求都都被认认为是是一次次全新新的交交互。。这个个请求求可能能是用用户有有顺序序地浏浏览节节点中中的最最后一一个请请求，，这样样的事事实被被丢失失了。。尽管管这使使得Web更有有效率率，无无状态态的表表现使使得制制造像像购物物车这这样要要在一一定时时间内内记住住用户户动作作的东东西很很困难难。Cookie解解决了了这个个问题题。Cookie是是一段段很小小的信信息，，通常常只有有一个个短短短的章章节标标记那那么大大。它它是在在浏览览器第第一次次连接接时由由HTTP服务务器送送到浏浏览器器的。。那以以后，，浏览览器每每次连连接都都把这这个Cookie的的一个个拷贝贝返回回给服服务器器。一一般地地服务务器用用这个个Cookie来记记住用用户和和维护护一个个跨多多个页页的过过程影影像。。9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Wednesday,December28,202210、雨中黄叶叶树，灯下下白头人。。。21:53:1621:53:1621:5312/28/20229:53:16PM11、以我独独沈久，，愧君相相见频。。。12月-2221:53:1621:53Dec-2228-Dec-2212、故人江江海别，，几度隔隔山川。。。21:53:1621:53:1621:53Wednesday,December28,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2221:53:1621:53:16December28,202214、他乡生生白发，，旧国见见青山。。。28十十二月20229:53:16下午午21:53:1612月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月229:53下下午午12月月-2221:53December28,202216、行行动动出出成成果果，，工工作作出出财财富富。。。。2022/12/2821:53:1621:53:1628December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。9:53:16下下午午9:53下下午午21:53:1612月月-229、没有失败，，只有暂时停停止成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。21:53:1621:53:1621:5312/28/20229:53:16PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2221:53:1621:53Dec-2228-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。21:53:1621:53:1621:53Wednesday,December28,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2221:53:1621:53:16December28,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。28十二月月20229:53:16下午21:53:1612月-2215、楚楚塞塞三三湘湘接接，，荆荆门门九九派派通通。。。。。十二二月月229:53下下午午12月月-2221:53December28,202216、少年十五二二十时，步行行夺得胡马骑骑。。2022/12/2821:53:1621:53:16