计算机安全技术-网络安全分析

计算机安全技术--网络安全分析9.1网络安全概述9.1.2网络安全的重要性计算机系统经常遭到进攻。更令人不安的是大多数进攻未被察觉。这些进攻给国家安全带来的影响程度还未确定，但已发现的进攻多数是针对计算机系统所存放的敏感信息，其中三分之二的进攻是成功的，入侵者（黑客）盗窃、修改或破坏了系统上的数据。被推荐的安全措施有：·对非法访问的登录进行横幅警告。·键盘级监控。·捕捉。·呼叫者ID。·截取。·数据加密。·防火墙。防火墙是防止Intranet被入侵的最好方法。9.1网络安全概述9.1.3信息系统安全的脆弱性信息系统在安全方面存在的问题。1．操作系统安全的脆弱性2．计算机网络安全的脆弱性3．数据库管理系统安全的脆弱性4．缺少安全管理9.1网络安全概述9.1.4安全控制的种类可用于保护一个计算机网络的安全控制有两种，即内部和外部控制。1．内部控制简单的说内部控制是对计算机系统本身的控制。密码、防火墙和数据加密都属于内部控制。内部控制只有与某一级的外部控制相结合时才生效。2．外部控制外部控制指系统本身无法控制的部分。外部控制总体上有三类：·物理控制·人事控制·程序控制9.2网络安全策略9.2.1最小特权或许最根本的安全原则就是最小特权原则。最小特权原则意味着任何对象仅应具有该对象需要完成指定任务的特权，它能尽量避免你遭受侵袭，并减少侵袭造成的损失。9.2.2纵深防御不要只依靠单一安全机制，尽量建立多层机制。避免某个单一安全机制失败后你的网络会彻底地垮掉。9.2.3阻塞点阻塞点强迫侵袭者通过一个你可以监控的窄小通道在因特网安全系统中，位于你的局域网和因特网之间的防火墙（假设它是你的主机和因特网之间的唯一连接）就是这样一个阻塞点。9.2网络安全策略9.2.4最薄弱环节安全保护的基本原则是链的强度取决于它的最薄弱环节，就像墙的坚固程度取决于它的最弱点。聪明的侵袭者总要找出那个弱点并集中精力对其进行攻击。你应意识到防御措施中的弱点，以便采取行动消除它们，同时你也可以仔细监测那些无法消除的缺陷。平等对待安全系统的所有情况，以使得此处与彼处的危险性不会有太大的差异。9.2.5失效保护状态安全保护的另一个基本原则就是在某种程度上做到失效保护，即如果系统运行错误，那么它们会停止服务，拒绝用户访问，这可能会导致合法用户无法访问该系统，但这是可接受的折衷方法。9.2网络安全策略9.2.6普遍参与为了使安全机制更有效，绝大部分安全保护系统要求网络用户的普遍参与。如果某个用户可以轻易地从你的安全保护机制中退出，那么侵袭者很有可能会先侵袭内部人员系统，然后再从内部侵袭你的网络。9.2.7防御多样化正如你可以通过使用大量的系统提供纵深防御一样，你也可以通过使用大量不同类型的系统得到额外的安全保护。如果你的系统都相同，那么只要知道怎样侵入一个系统就会知道怎样侵入所有系统。9.2网络安全策略9.2.8简单化简单化也是一个安全保护战略，这有两个原因：第一，简单的事情易于理解，如果你不了解某事，你就不能真正了解它是否安全；第二，复杂化会提供隐藏的角落和缝隙，一间工作室比一拣大厦更容易保证其安全性。复杂程序有更多的小毛病，任何小毛病都可能引发安全问题。9.3防火墙的作用与设计从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，它通常是一组硬件设备（路由器、主机）和软件的多种组合。●防火墙的优点：(1)防火墙能强化安全策略(2)防火墙能有效地记录因特网上的活动(3)防火墙可以实现网段控制(4)防火墙是一个安全策略的检查站●防火墙的缺点：(1)防火墙不能防范恶意的知情者(2)防火墙不能防范不通过它的连接9.3防火墙的作用与设计(3)防火墙不能防备全部的威胁(4)防火墙不能防范病毒防火墙要检测随机数据中的病毒十分困难，它要求：·确认数据包是程序的一部分·确定程序的功能·确定病毒引起的改变9.3.2防火墙的功能防火墙通常具有以下几种功能：·数据包过滤·代理服务9.3防火墙的作用与设计1．数据包过滤数据包过滤系统在内部网络与外部主机之间发送数据包，但它们发送的数据包是有选择的。它们按照自己的安全策略允许或阻止某些类型的数据包通过，这种控制由路由器来完成，所以数据包过滤系统通常也称之为屏蔽路由器。普通路由器只是简单地查看每一个数据包的目标地址，然后选择发往目标地址的最佳路径。处理数据包目标地址的方法一般有两种：·如果路由器知道如何将数据包发送到目标地址，则发送。·如果路由器不知道如何将数据包发送到目标地址，则返回数据包，经由ICMP向源地址发送不能到达的消息。9.3防火墙的作用与设计屏蔽路由器有以下特点：·屏蔽路由器比普通的路由器担负更大的责任，它不但要执行转发任务，还要执行确定转发的任务。·如果屏蔽路由器的安全保护失败，内部的网络将被暴露。·简单的屏蔽路由器不能修改任务。·屏蔽路由器能允许或拒绝服务，但它不能保护服务之内的单独操作。如果一个服务没有提供安全的操作，或者这个服务由不安全的服务器提供，那么屏蔽路由器就不能保证它的安全。9.3防火墙的作用与设计9.3.3防火墙的体系结构防火墙的体系结构一般有以下几种·双重宿主主机体系结构·屏蔽主机体系结构·屏蔽子网体系结构1．双重宿主主机体系结构双重宿主主机体系结构是具有双重宿主功能的主机而构筑的。该计算机至少有两个网络接口，一个是内部网络接口，一个是因特网接口。9.3防火墙的作用与设计2．屏蔽主机体系结构双重宿主主机体系结构提供内部网络和外部网络之间的服务（但是路由关闭），屏蔽主机体系结构使用一个单独的路由器来提供内部网络主机之间的服务。在这种体系结构中，主要的安全机制由数据包过滤系统来提供。3．屏蔽子网体系结构屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层，它通过添加周边网络把内部网络更进一步地与因特网隔离开。周边网络堡垒主机内部路由器外部路由器9.3防火墙的作用与设计4．防火墙体系结构的不同形式①使用多堡垒主机②合并内部路由器与外部路由器③合并堡垒主机与外部路由器④合并堡垒主机与内部路由器⑤使用多台内部路由器⑥使用多台外部路由器⑦使用多个周边网络⑧使用双重宿主主机与屏蔽子网9.3防火墙的作用与设计9.3.4内部防火墙①实验室网络②不安全的网络③特别安全的网络④合作共建防火墙⑤共享周边网络⑥堡垒主机可有可无9.3防火墙的作用与设计9.3.5发展趋势被称为“第三代防火墙”的系统正在成为现实，它综合了数据包过滤与代理系统的特点与功能。目前，人们正在设计新的IP协议（也被称为IPversion6）。IP协议的变化将对防火墙的建立与运行产生深刻的影响，大多数网络上的信息流都有可能被泄漏，但新式的网络技术如帧中继、异步传输模式（ATM）可将数据包从源地址直接发送给目的地址，从而防止信息流在传输中途被泄露。9.4.1Web与HTTP协议HTTP是应用级的协议，主要用于分布式、协作的超媒体信息系统。HTTP协议是通用的、无状态的，其系统建设与传输的数据无关。HTTP也是面向对象的协议，可用于各种任务，包括（并不局限于）名字服务、分布式对象管理、请求方法的扩展和命令等等。1．Web的访问控制2．HTTP安全考虑3．安全超文本传输协议4．安全套接层5．缓存的安全性9.4.6Java与JavaScript1．Javaapplet的安全性问题2．JavaScript的安全性问题9.4.7ActiveX的安全性ActiveX是Microsoft公司开发的用来在Internet上分发软件的技术。像Javaapplet一样，Active的控件能结合进Web页