第七章网络安全与管理oweroinresen

第七章 网络安全与管理7.1 计算机网络安全概述统计表明全球87%的电子邮件被病毒染率、90%以上的网站受过攻击、有着超过六万种不同类型的病毒，并且每天还在产生新的品种。网络犯罪也遵循摩尔定律，每18个月翻一番。面对这样的网络安全环境，我们的计算机，计算机网络如何才能自保？如何才能降低被攻击的风险？本章重点了解目前计算机安全的概况了解计算机安全的主动保障技术，如加密、防火墙、授权等掌握计算机病毒的防治策略与技术掌握网络管理在计算机安全策略中起到额作用7.1.1 网络安全含义网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然的或者恶意的破坏、篡改、泄露，保证系统能连续、可靠的正常运行，网络服务不中断。其目的是确保经过网络传输的数据不会发生增加、修改、丢失和泄漏等。网络安全包含四个方面：运行系统安全，即保证信息处理和传输系统的安全。网络上系统信息的安全，即系统信息不被泄漏，不被非法利用。网络上信息传播的安全，即信息传播后果的安全。网络上信息内容的安全，即我们讨论的狭义的“信息安全”。解决网络安全的主要技术身份认证技术访问控制技术密码技术防火墙技术病毒防治技术。7.1.2 网络不安全的原因计算机网络自身的缺陷开放性人为的威胁计算机网络自身的缺陷计算机硬件系统的安全隐患计算机操作系统的安全隐患数据库的安全隐患应用软件的安全隐患通信传输协议的安全隐患开放性因特网是开放性的，所提供的服务都是基于公开的协议，毫无保密性可言。同时任何人都可以从任意一台联上网的计算机进入网络，访问另一个国家的计算机，即各种攻击无需到现场就可进行，而且谁也不知道他的真实身份，因此让某些人可以亳无顾及地攻击他人的计算机。人为的威胁人为的威胁又分为误操作和恶意攻击。误操作 由于用户不会或不小心造成网络系统受损，信息被破坏的操作。恶意攻击又分为内部人员和外部人员对网络的攻击。7.1.3 网络安安全需求如何才是一一个安全的的网络？一一个完善的的安全网络络在保证其其计算机网网络硬件平平台和系统统软件平台台安全的基基础上，应应该还具备备以下安全全属性:机密性完整性有效性授权性审查性机密性机密性又称称保密性，，是指信息息在产生、、传送、处处理和存贮贮过程中不不泄露给非非授权的个个人或组织织。机密性性一般是通通过加密技技术对信息息进行加密密处理来实实现的，经经过加密处处理后的加加密信息，，即使被非非授权者截截取，也由由于非授权权者无法解解密而不能能了解其内内容。完整性是指信息在在传送和存存贮过程中中保持一致致，没有被被非授权人人员改变。。完整性一一般可以通通过提取信信息的数字字摘要的方方式来实现现。有效性有效性又称称可用性，，是指授权权用户在正正常访问信信息和资源源时不被拒拒绝，可以以及时获取取服务，即即保证为用用户提供稳稳定的服务务。授权性授权性又称称访问控制制，控制谁谁能够访问问网络上的的信息并且且能够进行行何种操作作，防止非非授权使用用资源或控控制资源，，有助于信信息的机密密性、完整整性。审查性是指对每个个经授权的的用户的活活动和进行行的操作内内容进行审审计、跟踪踪和记录。。有助于信信息的机密密性、完整整性，及时时发现非法法操作。7.2加加密技术加密的概念念对称密钥加加密技术非对称密钥钥加密技术术数字摘要技技术数字信封技技术7.2.1 加密的的概念所谓信息加加密技术，，就是采用用数学方法法对原始信信息（通常常称为“明明文”）进进行再组织织，将明文文转换成为为无意义的的文字（称称为“密文文”），阻阻止非法用用户了解原原始数据，，从而确保保数据的保保密性。信信息的接收收者收到密密文之后，，需要用相相关的算法法重新把密密文恢复成成明文。信息加密把明文转变变成密文的的过程称为为加密，所所使用的计计算方法叫叫做加密算算法；由密密文还原为为明文的过过程称为解解密，所使使用的计算算方法叫做做解密算法法。7.2.2 对称密密钥加密技技术对称密钥加加密又称常常规密钥加加密/传统统密钥加密密/私钥加加密/专用用密钥加密密，即信息息的发送方方和接收方方用同一个个密钥去加加密和解密密数据。使用对称密密钥加密技技术进行通通信者都必必须完全信信任且彼此此了解，而而每一位参参与者都保保有一把密密钥复本。。使用对称称加密方法法简化了加加密的处理理，每个通通信方都不不必彼此研研究和交换换专用的加加密算法，，而是采用用相同的加加密算法并并只交换共共享的专用用密钥。例如DES算法DES算法法的入口参参数有三个个：Key、Data、Mode其中Key为8个字字节共64位，是DES算法法的工作密密钥Data也也为8个字字节64位位，是要被被加密或被被解密的数数据Mode为DES的工作作方式，有两两种：加密或或解密。DES算法具具有极高安全全性，到目前前为止，除了了用穷举搜索索法对DES算法进行攻攻击外，还没没有发现更有有效的办法。。如果一台计计算机的速度度是每一秒种种检测一百万万个密钥，则则它搜索完全全部密钥就需需要将近2285年的时时间，可见，，这是难以实实现的。随着科学技术术的发展，当当出现超高速速计算机后，，我们可考虑虑把DES密密钥的长度再再增长一些，，以此来达到到更高的保密密程度。对称密钥加密密优点：加/解解密速度快，，适合对大量量数据进行加加密。问题：对称加密技术术存在着在通通信方之间确确保密钥安全全交换的问题题。在公众网网络上通信方方之间的密钥钥分配(密钥钥产生、传送送和储存)很很麻烦。当某一通信方方有"n"个个通信关系，，那么他就要要维护"n"个专用密钥钥(即每把密密钥对应一通通信方)。对称密钥加密密常用对称密钥钥加密方法有有：数据加密标准准DESRC5图7-2对称密钥加密7.2.3非非对称密钥钥加密技术非对称密钥加加密又称公开开密钥加密（（PublicKeyEncryption），由美美国斯坦福大大学赫尔曼教教授于1977年提出。。它最主要的的特点就是加加密和解密使使用不同的密密钥，每个用用户保存着一一对密钥：公公钥和私钥，，公钥对外公公开，私钥由由个人秘密保保存；用其中中一把密钥来来加密，就只只能用另一把把密钥来解密密。公开密钥加密密技术解决了了密钥的发布布和管理问题题，通信双方方无须事先交交换密钥就可可以建立安全全通信，广泛泛应用于身份份认证、数字字签名等信息息交换领域。。例如商户可以以公开其公钥钥，而保留其其私钥；客户户可以用商户户的公钥对发发送的信息进进行加密，安安全地传送到到商户，然后后由商户用自自己的私钥进进行解密，从从而保证了客客户的信息机机密性。因此此，公开密钥钥体制的建设设是开展电子子商务的前提提。公开密钥算法法的特点加密算法和解解密算法都是是公开的。不能根据公钥钥计算出私钥钥。公钥和私钥均均可以作为加加密密钥，用用其中一把密密钥来加密，，就只能用另另一把密钥来来解密，具有有对应关系。。加密密钥不能能用来解密。。在计算机上可可以容易地产产生成对的公公钥和私钥。。公开密钥算法法公开密钥加密密技术解决了了密钥的发布布和管理问题题，通信双方方无须事先交交换密钥就可可以建立安全全通信。公开密钥加密密法加解密计计算较费时间间，比较适合合用来加密摘摘要数据，或或者采用混合合加密法提升升加解密之速速度。非对称加密体体系一般是建建立在某些已已知的数学难难题之上，是是计算机复杂杂性理论发展展的必然结果果。我们常说数字字证书采用512位，1024位等等，指的就是是公钥的长度度。位数越大大，计算量越越大，解密也也更困难。7.2.4数数字摘要技技术对信息进行加加密可以保证证信息的机密密性，同样利利用加密技术术可以保证信信息的完整性性，即确认信信息在传送或或存储过程中中未被篡改过过，这种技术术称作数字摘摘要技术。数字摘要技术术数字摘要又称称报文摘要/消息摘要，，它对要发送送的信息进行行某种变换运运算，提取信信息的特征，，得到固定长长度的密文，，此即摘要，，亦称为数字字指纹。实际操作时，，先提取发送送信息的数字字摘要，并在在传输信息时时将之加入文文件一同送给给接收方接收方收到文文件后，用相相同的方法对对接收的信息息进行变换运运算得到另一一个摘要然后将自己运运算得到的摘摘要与发送过过来的摘要进进行比较，从从而验证数据据的完整性。。数字摘要技术术数字摘要技术术提取数据的特特征的算法叫叫做单向散列列函数（HASH函数）），单向散列列函数还必须须具有以下几几个性质：能处理任意大大小的信息，，生成的消息息摘要数据块块长度总是具具有固定的大大小，对同一一个源数据反反复执行该函函数得到的消消息摘要相同同；对给定的信息息，很容易计计算出数字摘摘要；给定数字摘要要和公开的散散列函数算法法，要推导出出信息是极其其困难的；想要伪造另外外一个信息，，使它的数字字摘要和原信信息的数字摘摘要一样，也也是极其困难难的。7.2.5数数字信封技技术数字信封是为为了解决传送送、更换密钥钥问题而产生生的技术。如如上所述对称称加密技术速速度快，但存存在如何传送送密钥的问题题，而非对称称加密技术不不存在传送密密钥的问题，，但它的加密密速度慢。因因此我们经常常是将这两种种加密技术结结合起来，从从而产生了数数字信封技术术。数字信封技术术数字信封技术术数字信封技术术结合了秘密密密钥加密和和公开密钥加加密技术的优优点，可克服服秘密密钥加加密中秘密密密钥分发困难难和公开密钥钥加密中加密密时间长的缺缺陷。它在外层使用用灵活的公开开密钥加密技技术，在内层层使用秘密密密钥加密技术术。数字信封用加加密技术来保保证只有特定定的收信人才才能阅读信的的内容。7.3 访问问控制访问控制是对对进入计算机机系统的控制制，如进入Windows操作系统统需输入用户户名和密码。。它的作用是是对需要访问问系统及其资资源的用户进进行识别，检检验其合法身身份，并对合合法用户所能能进行的操作作进行管理。。7.3.1用用户标识用户标识与后后面的认证是是一种用于防防止非授权用用户进入系统统的常规技术术措施。用户户只有通过了了身份认证，，才能操作计计算机系统，，访问网络资资源。因此身身份认证是安安全系统的第第一道关卡。。用户标识用用于用户向系系统声明自己己的身份，用用户标识应具具有唯一性，，其最常用形形式的为用户户ID。系统统必须根据安安全策略，维维护所有用户户标识。7.3.2认认证认证用于验证证用户向系统统声明的身份份的有效性，，确认访问者者是否是用户户本人。通常常有三种方法法：用户个人所掌掌握的秘密信信息（如口令令字、电子签签名密钥、个个人标识号PIN等）；；用户个人所拥拥有的物品（（如磁卡、IC卡等）；；用户个人的生生理特征（如如声音、动态态手写输入的的特征模式、、指纹等）。。7.3.3授授权授权是基于系系统的安全机机制，以确定定某人或某个个进程对于特特定系统资源源访问权限。。计算机系统管管理员会根据据用户的身份份来设置用户户对资源的访访问权限，当当用户通过身身份认证后，，其对系统资资源的访问由由系统访问监监控器按授权权数据库中的的设置来决定定是否允许、、其在系统中中的操作由审审计系统来记记录，同时入入侵检测系统统会检测是否否有入侵行为为。身份认证在安安全系统中的的地位极其重重要，是最基基本的安全服服务，其它的的安全服务都都要依赖于它它，一旦身份份认证系统被被攻破，那么么系统的所有有安全措施形形同虚设。7.4 防火火墙技术防火墙的基本本概念防火墙的类型型防火墙的配置置7.4.1防防火墙的基基本概念在计算机系统统中，防火墙墙是指隔离被被保护网络（（通常指内部部网）和外界界（包括外部部网、互联网网），防止内内部网受到外外界的侵犯的的软硬件系统统，可被认为为是一种访问问控制机制。。防火墙图7-6防火墙的逻辑位置结构示意图7.4.2防防火墙的类类型包过滤型代理型监测型。包过滤型包过滤型产品品是防火墙的的初级产品,其技术依据据是网络中的的分包传输技技术。包过滤技术的的优点是简单单实用,实现现成本较低,在应用环境境比较简单的的情况下,能能够以较小的的代价在一定定程度上保证证系统的安全全。包过滤技术是是一种完全基基于网络层的的安全技术,只能根据数数据包的来源源、目标和端端口等网络信信息进行判断断,无法识别别基于应用层层的恶意侵入入。代理型代理型防火墙墙又称应用层层网关级防火火墙，也可以以被称为代理理服务器,它它的安全性要要高于包过滤滤型产品,并并已经开始向向应用层发展展。代理服务器位位于客户机与与服务器之间间,完全阻挡挡了二者间的的数据交流。。代理型防火墙墙的优点是安安全性较高,可以针对应应用层进行侦侦测和扫描,对付基于应应用层的侵入入和病毒都十十分有效。监测型监测型防火墙墙能够对各层层的数据进行行主动的、实实时的监测。。并在对这些些数据分析的的基础上，它它能够有效地地判断出各层层中的非法入入侵。这种检测型防防火墙产品一一般还带有分分布式探测器器，这些探测测器安置在各各种应用服务务器和其他网网络的节点之之中，不仅能能够检测来自自网络外部的的攻击，还对对来自内部的的恶意破坏也也有极强的防防范作用。7.4.3防防火墙的配配置安装防火墙的的位置是内部部网络与外部部网络的接口口处,以阻挡挡来自外部网网络的入侵；；如果内部网络络规模较大,并且设置有有虚拟局域网网(VLAN),则应该该在各个VLAN之间设设置防火墙；；通过公网连接接的总部与各各分支机构之之间也应该设设置防火墙。。防火墙配置结结构屏蔽路由器双宿主主机结结构屏蔽主机结构构屏蔽子网结构构屏蔽路由器也叫安全路由由器，可以由由专门的路由由器实现，也也可以用主机机来实现。屏屏蔽路由器实实现包过滤功功能，其中一一个路由器的的接口外部网网络；而另一一个则连接内内部网。双宿主主机结结构这种防火墙称称为双宿主网网关，又称堡堡垒主机或应应用层网关，，主要由一台台双宿主主机机构成，具有有两个网络接接口，分别连连接到内部网网和外部网，，充当转发器器。屏蔽主机结构构这种防火墙称称为屏蔽主机机网关，这种种配置一方面面用路由器将将内部网与外外部网隔开，，另一方面在在互联网和内内部网之间安安装堡垒主机机。堡垒主机装在在内部网上，，通过路由器器的配置，使使该堡垒主机机成为内部网网与互联网进进行通信的唯唯一系统。在这种安全体体系结构中，，主要的安全全措施是数据据包过滤。屏蔽主机结构构数据包过滤配配置可以按下下列某种方式式执行：允许其他的内内部主机为了了某些服务与与因特网上的的主机连接，，即允许那些些经过数据包包过滤的服务务。不允许来自内内部主机的所所有连接，即即强迫内部主主机通过壁垒垒主机使用代代理服务。屏蔽主机结构构屏蔽子网结构构屏蔽子网结构构防火墙是通通过在内外网网之间添加边边界网络，为为屏蔽主机结结构增添另一一个安全层，，这个边界网网络有时候称称为非军事区区。壁垒主机是最最脆弱的、最最易受攻击的的部位，通过过隔离壁垒主主机的边界网网络，便可减减轻壁垒主机机被攻破所造造成的后果。。最简单的屏蔽蔽子网有两个个屏蔽路由器器，一个接外外部网与边界界网络，另一一个连接边界界网络与内部部网。这样为为了攻进内部部网，入侵者者必须通过两两个屏蔽路由由器。屏蔽子网结构构7.5 黑客客攻击与防御御黑客攻击黑客攻击的防防御7.5.1黑黑客攻击什么是黑客黑客攻击的目目的黑客攻击的步步骤黑客工具什么是黑客“黑客”是英英文“hacker”的的译音，hacker曾曾被人们用来来描述计算机机狂的代名词词，hacker以计算算机为生，是是热衷于电脑脑程序的设计计者，是对于于任何计算机机操作系统的的奥秘都有强强烈兴趣的人人。。现在人们所说说的“黑客””在大多数情情况下并不是是指这样一类类人，而是指指行为具有恶恶意的入侵者者。入侵者是是指那些强行行闯入远端系系统或者以某某种恶意的目目的破坏远端端系统完整性性的人。对这这些人，英文文的正确叫法法是“cracker””，可译为““骇客”。黑客攻击的目目的窃取信息篡改和泄露信信息获取目标系统统的非法访问问权限控制中间站点点黑客攻击的步步骤确定目标搜集与攻击目目标相关的信信息，并找出出系统的安全全漏洞实施攻击清除入侵记录录黑客工具扫描器利用系统和软软件漏洞的工工具软件木马程序监听程序网络工具黑客自己编写写的工具7.5.2黑黑客攻击的的防御提高安全意识识系统安全设置置定期对网络进进行安全检查查使用防火墙安装杀毒软件件隐藏自己的IP地址作好数据备份份7.6 网络络病毒防治计算机病毒的的概念计算机病毒的的结构与分类类计算机病毒的的防治7.6.1计计算机病毒毒的概念目前，在计算算机上流行的的病毒及其变变种已有数万万种之多，新新的病毒还层层出不穷。总总之，计算机机病毒产生速速度之快，传传播范围之广广，生命力之之强，破坏力力之大，令全全世界震惊。。如何保证数数据的安全性性，防止病毒毒的破坏，已已成为计算机机专业人员和和广大用户所所面临的重大大问题。什么是计算机机病毒1994年出出台的《中华华人民共和国国计算机安全全保护条例》》中，对病毒毒的定义如下下：计算机病病毒，是指编编制或者在计计算机程序中中插入的破坏坏计算机功能能或者毁坏数数据，影响计计算机使用，，并能自我复复制的一组计计算机指令或或者程序代码码。计算机病毒的的特性计算机病毒是是未经授权而而执行一段程程序代码。。传染性。计算算机病毒可以以在计算机与与计算机之间间、程序与程程序之间、网网络与网络之之间相互进行行传染。破坏性。计算算机系统被计计算机病毒感感染后，一旦旦病毒发作条条件满足时，，就在计算机机上表现出一一定的症状。。潜伏性。病毒毒一般是具有有很高编程技技巧、短小精精悍的程序，，通常附在正正常程序中或或磁盘中较隐隐蔽的地方，，目的是不让让用户发现它它的存在。变种性。某些些病毒可以在在传播的过程程中自动改变变自己的形态态，从而衍生生出另一种不不同于原版病病毒的新病毒毒，这种新病病毒称为病毒毒变种。计算机病病毒的危危害破坏硬盘盘的主引引导扇区区，使计计算机无无法启动动。破坏文件件中的数数据，删删除文件件。对磁盘或或磁盘特特定扇区区进行格格式化，，使磁盘盘中信息息丢失。。产生垃圾圾文件，，占据磁磁盘空间间，使磁磁盘空间间逐渐减减少。占用CPU运行行时间，，使运行行效率降降低。破坏屏幕幕正常显显示，破破坏键盘盘输入程程序，干干扰用户户操作。。破坏计算算机网络络中的资资源，使使网络系系统瘫痪痪。破坏系统统设置或或对系统统信息加加密，使使用户系系统紊乱乱。7.6.2计算算机病毒毒的结构构与分类类计算机病病毒的结结构计算机病病毒分类类蠕虫病毒毒计算机病病毒的结结构引导部分分。其作作用是将将病毒主主体加载载到内存存，为传传染部分分做准备备传染部分分。其作作用是将将病毒代代码复制制到传染染目标上上去。表现部分分。是病病毒间差差异最大大的部分分，前两两个部分分也是为为这部分分服务的的。大部部分病毒毒都是在在一定条条件下才才会触发发其表现现部分的的。计算机病病毒分类类按感染方方式可分分为引导型病病毒文件型病病毒宏病毒脚本病毒毒蠕虫病毒毒计算机病病毒分类类按寄生方方式可分分为操作系统统型病毒毒外壳型病病毒入侵型病病毒源码型病病毒计算机病病毒分类类按破坏情情况可分分为良性病毒毒恶性病毒毒蠕虫病毒毒蠕虫（WORM）病毒毒是一种种通过网网络传播播的恶性性病毒，，它具有有病毒的的一些共共性，如如传播性性、隐蔽蔽性、破破坏性等等等，同同时具有有自己的的一些特特征，如如不利用用文件寄寄生（有有的只存存在于内内存中）），对网网络造成成拒绝服服务等等等。蠕虫病毒毒“蠕虫””病毒由由两部分分组成：：一个主主程序和和另一个个是引导导程序。。“蠕虫””病毒程程序能够够常驻于于一台或或多台机机器中，，并有自自动重新新定位的的能力。。在网络环环境下，，蠕虫病病毒可以以按指数数增长模模式进行行传染。。蠕虫病毒毒在网络环环境中，，蠕虫病病毒具有有一些新新的特性性：传染方式式多传播速度度快清除难度度大破坏性强强7.6.3计计算机病病毒的防防治计算机病病毒的防防治包括括计算机机病毒的的预防、、检测和和清除。。为了““防患于于未然””，把病病毒发生生的可能能性压到到最低程程度，防防治计算算机病毒毒应采取取以预防防为主的的方针。。病毒的预预防采用抗病病毒的硬硬件装防病毒毒卡使用硬盘盘保护卡卡安装防病病毒软件件养成良好好的用机机习惯病毒的检检测采用观察察异常现现象和利利用专用用的病毒毒诊断软软件进行行检测相相结合的的方法。。当出现现下列异异常现象象时，则则有可能能是感染染了病毒毒并已发发作。病毒的检检测计算机的的运行速速度明显显减慢。。突然增加加一些从从未见过过的文件件。用户未对对磁盘进进行读写写操作，，而磁盘盘驱动器器的灯却却发亮。。磁盘可用用空间不不正常地地变小。。可执行程程序的长长度增大大(文件件字节数数增多)。程序或数数据莫名名其妙地地丢失。。程序运行行不了，，或原来来运行正正常的程程序，提提示内存存不够。。屏幕显示示异常及及机器的的喇叭乱乱鸣。突然死机机。系统有时时会突然然重新启启动。病毒的清清除一旦发现现计算机机感染了了病毒，，要立即即采用有有效措施施将病毒毒清除。。清除病病毒的方方法有很很多，目目前最常常用、最最有效的的方法是是采用杀杀病毒软软件来杀杀灭病毒毒。在使用杀杀病毒软软件时，，要选用用已成熟熟的流行行的正版版软件；；同时，，由于计计算机病病毒的种种类太多多，且不不断有新新病毒出出现，因因此，能能杀灭一一切病毒毒的万能能软件是是不存在在的。7.7网网络管管理技术术计算机网网络的管管理可以以说是伴伴随着ARPANET的产生生而产生生的，人人们需要要检测网网络的运运行状况况，需要要保证网网络安全全、可靠靠、高效效地运行行，但随随着计算算机网络络的高速速发展，，规模不不断扩大大，节点点数从几几十到几几千，复复杂性不不断增加加，设备备类型增增多、功功能增强强，再加加上不同同的操作作系统、、不同的的通信协协议等，，使人们们意识到到单靠人人力是无无法胜任任这项工工作的，，必须使使用自动动的网络络管理工工具。网络管理理的定义义网络管理理，简称称网管，，是为保保证网络络系统能能够持续续、稳定定、安全全、可靠靠和高效效地运行行，对网网络上的的通信设设备及传传输系统统进行监监测和控控制的方方法和措措施。网络管理理的任务务就是收收集、监监控网络络中各种种设备和和设施的的工作参参数、工工作状态态信息，，将结果果显示给给管理员员并进行行处理，，从而控控制网络络中的设设备、设设施、工工作参数数和工作作状态，，使其可可靠运行行。网络管理理的定义义网络管理理通常主主要关注注与硬件件相关问问题的管管理，包包括工作作站、服服务器、、网卡、、路由器器、网桥桥和集线线器等等等。网络管理理系统是是一种特特殊的软软件程序序，它的的主要功功能是维维护网络络正常高高效率地地运行，，即它是是实现网网络的程程序。网络管理理标准ISO网网络管理理标准IETF的网络络管理标标准网络管理理的功能能配置管理理性能管理理故障管理理安全管理理计费管理理网络管理理模型网络管理实体代理管理数据库代理管理数据库代理管理数据库Proxy网络管理协议被管设备被管设备被管设备网络管理理模型网络管理理实体管理代理理管理信息