网络系统安全评估及高危漏洞

Professional

SecuritySolutionProvider网络系统安全评估及高危漏洞

提纲安全态势安全态势近年网络安全态势任何组织都会遭受到的攻击每年发现的漏洞数量飞速上升发起攻击越来越容易、攻击能力越来越强黑客职业化攻击方式的转变不为人知的威胁zero-day特点任何组织都会遭受攻击每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升2004年CVE全年收集漏洞信息1707条到2005年到5月6日就已经达到1470条年份漏洞数量1999742200040420018322002100620031049200417072005***1479发起攻击越来越容易、攻击能力越来越强黑客的职业化之路面临严峻的安全形势SQLInjection等攻击方式对使用者要求较低缓冲区溢出、格式串攻击已公开流传多年，越来越多的人掌握这些技巧少部分人掌握自行挖掘漏洞的能力，并且这个数量在增加漏洞挖掘流程专业化，工具自动化“看不见的风险”厂商为了声誉不完全公开产品的安全缺陷：漏洞私有，不为人知网络安全事件造成巨大损失在FBI/CSI的一次抽样调查结果：被调查的企业2004年度由于网络安全事件直接造成的损失就达到1.4亿美元怠工、蓄意破坏系统渗透Web页面替换电信欺诈电脑盗窃无线网络的滥用私有信息窃取公共web应用的滥用非授权访问金融欺诈内部网络的滥用拒绝服务攻击病毒事件网络安全事件类型来源：信息网络安全状况调查常用管理方法来源：信息网络安全状况调查应用最广泛的网络安全产品来源：信息网络安全状况调查网络攻击产生原因分析来源：信息网络安全状况调查安全设计四步方法论ISSF模型安全设计和安全域/等级保护的结合(示例）等级组织体系管理体系技术体系机构建设人员管理制度管理风险管理资产管理技术管理安全评估安全防护入侵检测应急恢复1√√√2√√√√√√√3√√√√√√√√√√4√√√√√√√√√√5√√√√√√√√√√网络系统安全风险评估网络系统安全风险评估组织实现信息安全的必要的、重要的步骤风险评估的目的风险评估的目的了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施风险的要素资产的分类电子信息资产软件资产物理资产人员公司形象和名誉威胁举例：盗窃网络监听供电故障后门未授权访问……脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门……风险的要素风险分析矩阵—风险程度

可能性后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险国际上常见的风险控制流程确定风险评估方法

风险评估确定安全需求法律、法规系统任务和使命系统建设阶段、规模资产、威胁、脆弱性、现有措施法律、法规，系统任务和使命、评估结果制定安全策略选择风险控制措施验证措施实施效果安全需求技术限制、资源限制安全需求、实施效果安全策略文件风险评估报告安全需求报告风险管理方案适用性声明验证报告提供采取降低影响完成保护系统评估者安全保证信心风险对策资产使命资产拥有者价值给出证据生成保证具有信息安全有效评估的目标风险评估要素关系模型安全措施

抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变

未被满足未控制可能诱发残留成本资产资产价值信息系统是一个巨型复杂系统（系统要素、安全要素）信息系统受制于外部因素（物理环境、行政管理、人员）作业连续性保证威胁和风险在同领域内的相似性自评估、委托评估、检察评估信息系统安全风险评估的特征风险评估的一般工作流程

风险评估活动风险评估活动风险评估活动评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管理评价系统：用于安全访谈，评价安全管理措施；

风险综合分析系统：在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:

评估指标库、知识库、漏洞库、算法库、模型库。ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则与现有标准关系信息系统安全保障评估准则标准介绍通用准则CC(ISO/IEC15408、GB/T18336）通用准则CC1999年GB17859计算机信息系统安全保护等级划分准则国际通用准则1996年（CC1.0）1998年（CC2.0）1985年美国可信计算机系统评估准则（TCSEC）1993年加拿大可信计算机产品评估准则（CTCPEC）1993年美国联邦准则（FC1.0）1999年国际标准ISO/IEC154081989年英国可信级别标准（MEMO3DTI）德国评估标准（ZSEIC）法国评估标准（B-W-RBOOK）1993年美国NIST的MSFRCC的适用范围CC内容CC的关键概念CC的关键概念CC的关键概念TOESecurityFunctions(TSF)TOE安全功能必须依赖于TSP正确执行的TOE的所有部件。组件（Component)组件描述了一组特定的安全要求，使可供PP、ST或包选取的最小的安全要求集合。在CC中，以“类_族.组件号”的方式来标识组件。包（Package)组件依据某个特定关系的组合，就构成了包。构建包的目的是定义那些公认有用的、对满足某个特定安全目的有效的安全要求。包可以用来构造更大的包，PP和ST。包可以重复使用。CC中有功能包和保证包两种形式。

CC的关键概念CC的关键概念CC的关键概念CC的先进性CC的先进性…CC的先进性…CC内容之间的关系保护轮廓与安全目标的关系通用准则CCCC包括三个部分:第一部分：简介和一般模型第二部分：安全功能要求第三部分：安全保证要求通用准则CC：第一部分介绍和通用模型安全就是保护资产不受威胁，威胁可依据滥用被保护资产的可能性进行分类所有的威胁类型都应该被考虑到在安全领域内，被高度重视的威胁是和人们的恶意攻击及其它人类活动相联系的CC第一部分内容（1）CC第一部分内容（2）通用准则CCCC中安全需求的描述方法:包:组件的中间组合被称为包保护轮廓(PP):PP是关于一系列满足一个安全目标集的TOE的、与实现无关的描述安全目标(ST)：ST是针对特定TOE安全要求的描述，通过评估可以证明这些安全要求对满足指定目的是有用和有效的通用准则CC包允许对功能或保证需求集合的描述，这个集合能够满足一个安全目标的可标识子集包可重复使用，可用来定义那些公认有用的、能够有效满足特定安全目标的要求包可用在构造更大的包、PP和ST中通用准则CCPP包含一套来自CC（或明确阐述）的安全要求，它应包括一个评估保证级别（EAL）PP可反复使用，还可用来定义那些公认有用的、能够有效满足特定安全目标的TOE要求PP包括安全目的和安全要求的基本原理PP的开发者可以是用户团体、IT产品开发者或其它对定义这样一系列通用要求有兴趣的团体通用准则CC：保护轮廓内容结构通用准则CC安全目标(ST)包括一系列安全要求，这些要求可以引用PP，也可以直接引用CC中的功能或保证组件，或明确说明一个ST包含TOE的概要规范，安全要求和目的，以及它们的基本原理ST是所有团体间就TOE应提供什么样的安全性达成一致的基础通用准则CC：安全目标ST内容结构通用准则CC通用准则CC三种评估的关系通用准则CC第二部分：安全功能要求CC的第二部分是安全功能要求，对满足安全需求的诸安全功能提出了详细的要求另外，如果有超出第二部分的安全功能要求，开发者可以根据“类-族-组件-元素”的描述结构表达其安全要求，并附加在其ST中通用准则CC第二部分：安全功能要求通用准则CC第二部分：安全功能要求通用准则CC第二部分：安全功能要求通用准则CC第二部分：安全功能要求安全功能需求层次关系功能和保证要求以“类—族—组件”的结构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”的构建，例如由保证组件构成典型的包——“评估保证级包”。通用准则CCCC共包含的11个安全功能类，如下：FAU类：安全审计FCO类：通信FCS类：密码支持FDP类：用户数据保护FIA类：标识与鉴别FMT类：安全管理FPR类：隐秘FPT类：TSF保护FAU类：资源利用FTA类：TOE访问FTP类：可信路径/信道通用准则CC：第三部分评估方法CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别通用准则CC：第三部分评估方法CC的第三部分是评估方法部分，提出了PP、ST、TOE三种评估，共包括10个类，但其中的APE类与ASE类分别介绍了PP与ST的描述结构及评估准则维护类提出了保证评估过的受测系统或产品运行于所获得的安全级别上的要求只有七个安全保证类是TOE的评估类别通用准则CC：第三部分评估方法通用准则CC：第三部分评估方法通用准则CC：第三部分评估方法通用准则CC：第三部分评估方法通用准则CC：第三部分评估方法通用准则CC七个安全保证类ACM类：配置管理CM自动化CM能力CM范围ADO类：交付和运行交付安装、生成和启动ADV类：开发功能规范高层设计实现表示TSF内部低层设计表示对应性安全策略模型通用准则CC通用准则CC安全保证要求部分提出了七个评估保证级别（EvaluationAssuranceLevels：EALs）分别是：通用准则CC：EAL解释通用准则CC：EAL解释CC的EAL与其他标准等级的比较PP基本原理对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在安全环境内提供一组有效的IT安全对策安全目的基本原理安全要求基本原理威胁组织安全策略假设安全需求IT安全要求TOE目的环境的目的安全目的相互支持支持恰好满足恰好满足功能强度声明一致威胁举例T.REPLAY重放当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。安全目的举例O.SINUSE单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN安全功能TOE必须提供一种功能使授权管理员能够使用TOE的安全功能，并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1用户属性定义：允许为每个用户单独保存其用户安全属性。FIA_UAU.1鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3静态属性初始化：确保安全属性的默认值是允许的或限制某行为的。TOE安全功能要求举例TOE安全功能要求举例FMT_MOF.1安全功能行为的管理：允许授权用户管理TSF中使用规则或有可管理的指定条件的功能行为。FAU_STG.1受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以避免未授权的删除或修改。FAU_STG.4防止审计数据丢失：规定当审计踪迹溢满时的行动。O.SECFUNPP示例通用准则CCCC优点：CC代表了先进的信息安全评估标准的发展方向，基于CC的IT安全测评认证正在逐渐为更多的国家所采纳，CC的互认可协定签署国也在不断增多。根据IT安全领域内CC认可协议，在协议签署国范围内，在某个国家进行的基于CC的安全评估将在其他国家内得到承认。截止2003年3月，加入该协议的国家共有十五个：澳大利亚、新西兰、加拿大、芬兰、法国、德国、希腊、以色列、意大利、荷兰、挪威、西班牙、瑞典、英国及美国。到2001年底，所有已经经过TCSEC评估的产品，其评估结果或者过时，或者转换为CC评估等级。CC缺点：CC应用的局限性，比如该标准在开篇便强调其不涉及五个方面的内容：行政性管理安全措施、物理安全、评估方法学、认可过程、对密码算法固有质量的评价，而这些被CC忽略的内容恰恰是信息安全保障工作中需要特别予以注意的重要环节。CC还有一个明显的缺陷，即它没有数学模型的支持，即理论基础不足。TCSEC还有BLP模型的支持。其安全功能可以得到完善的解释，安全功能的实现机制便有章可循。对于增加的完整性、可用性、不可否认性等要求，只局限于简单的自然语言描述，不能落实到具体的安全机制上。更无从评价这些安全要求的强度。所以：CC并不是万能的，它仍然需要与据各个国家的具体要求，与其他安全标准相结合，才能完成对一个信息系统的完整评估。目前得到国际范围内认可的是ISO/IEC15408（CC）,我国的GB/T18336等同采用ISO/IEC15408。BS7799、ISO17799BS7799历史沿革1995年，英国制定国家标准BS7799第一部分：“信息安全管理事务准则”，并提交国际标准组织(ISO)，成为ISODIS14980。1998年，英国公布BS7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据；同年，欧盟于1995年10月公布之“个人资料保护指令，自1998年10月25日起正式生效，要求以适当标准保护个人资料”。2000年，国际标准组织ISO/IECJTCSC27在日本东京10月21日通过BS7799-1，成为ISODIS17799-1，2000年12月1日正式发布。目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS7799；日本、瑞士、卢森堡表示对BS7799感兴趣；我国的台湾、香港地区也在推广该标准。BS7799(ISO/IEC17799)在欧洲的证书发放量已经超过ISO9001。但是：ISO17799不是认证标准，目前正在修订。BS7799-2是认证标准，作为国际标准目前正在讨论。BS7799内容：总则BS7799部分BS7799-1:1999《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则，主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。BS7799-2:2002《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求，规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合:组织按照本标准要求建立并实施信息安全管理体系，进行有效的信息安全风险管理，确保商务可持续性发展；作为寻求信息安全管理体系第三方认证的标准。BS7799标准第二部分明确提出安全控制要求，标准第一部分对应给出了通用的控制方法（措施），因此可以说，标准第一部分为第二部分的具体实施提供了指南。BS7799Part2CorporateGovernancePLANDOACTCHECK风险管理处理系统控制内部审计功能ISO/IEC17799十大管理要项BS7799-2:2002十大管理要项BS7799-2:2002

1、安全方针：为信息安全提供管理指导和支持；2、组织安全：建立信息安全架构，保证组织的内部管理；被第三方访问或外协时，保障组织的信息安全；3、资产的归类与控制：明确资产责任，保持对组织资产的适当保护；将信息进行归类，确保信息资产受到适当程度的保护；4、人员安全：在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训；5、实物与环境安全：确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃；

十大管理要项BS7799-2:2002BS7799与CC的比较制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件建立ISMS框架第一步制订信息安全方针BS7799-2对ISMS的要求：组织应定义信息安全方针。信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理。信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。建立ISMS框架第一步制订信息安全方针信息安全方针的内容包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件注意事项简单明了易于理解可实施避免太具体建立ISMS框架建立ISMS框架第三步风险评估BS7799-2对ISMS的要求：组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？建立ISMS框架第四步风险管理BS7799-2对ISMS的要求：组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？建立ISMS框架第五步选择控制目标和控制措施BS7799-2对ISMS的要求：组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。选择控制措施的示意图选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择建立ISMS框架安全问题安全需求控制目标控制措施解决指出定义被满足建立ISMS框架第六步准备适用声明BS7799-2对ISMS的要求：组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。建立ISMS框架未来实现公司ISMS适用声明风险评估如何贯穿于安全管理BS7799-2:2002设计ISMSImplementandusetheISMSMonitoringandreviewtheISMSImproveandupdatetheISMS计划DOCHECKACTISMS定义ISMS的执行范围和政策执行风险评估对风险评估处理作出决定

选择控制DesigntheISMS执行和使用ISMSMonitoringandreviewtheISMSImproveandupdatetheISMSPLAN行动CHECKACTISMS执行风险评估处理计划执行控制执行意识/培训将ISMS放到操作使用中风险评估如何贯穿于安全管理BS7799-2:2002DesigntheISMSImplementandusetheISMS监控和检查ISMSImproveandupdatetheISMSPLANDO检查ACTISMS执行监控进程执行定期检查

检查剩余风险和可接受的风险内部审计风险评估如何贯穿于安全管理BS7799-2:2002DesigntheISMSImplementandusetheISMSMonitoringandreviewtheISMS改进和升级ISMSPLANDOCHECKACTISMS实现改进矫正性和预防性的活动传达结果

检查改进达到的目标风险评估如何贯穿于安全管理BS7799-2:2002ISMS资产BusinessprocessesInformation

PeopleServicesICTPhysicallocationApplicationsassetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalISO/IEC177997.1.1InventoryofassetsISMS风险Assetthreats&vulnerabilitiesAssetvalue&utility

assetdirectoryAssetsCorporateimagePeopleInformation/informationsystemsProcessesProducts/servicesApplicationsICTPhysicalRisktreatmentRisks&impactsRisktreatment风险等级不可容忍的风险可容忍的风险很少发生业务暴露持续的业务暴露对业务影响的因果关系较小对业务产生灾难性影响的因果关系业务影响低(可忽略,无关紧要,为不足道,无须重视)

中低(值得注意,相当可观但不是主要的)

中(重要,主要)中高

(严重危险,潜在灾难)高

(破坏性的,总体失灵,完全停顿)保密性要求(C)资产价值分级描述1–低可公开非敏感信息和信息处理设施及系统资源，可以公开.。2–中仅供内部使用或限制使用非敏感的信息仅限内部使用，即不能公开或限制信息或信息处理设施及系统资源可在组织内部根据业务需要的约束来使用。3–高秘密或绝密敏感的信息或信息处理设施和系统资源，只能根据需要（need-to-know）或严格依据工作需要。资产分级

完整性要求(I)资产价值分级描述1–低低完整性对信息的非授权的损害或更改不会危及业务应用或对业务的影响可以忽略。2–中中完整性对信息的非授权的损害或更改不会危及业务应用，但是值得注意以及对业务的影响是重要的。3–高高或非常高完整性对信息的非授权的损害或更改危及业务应用，且对业务的影响是严重的并会导致业务应用的重大或全局失败。资产分级可用性要求(A)资产价值分级描述1-低低可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍多于一天的不能使用。2–中中可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍半天到一天的不能使用。3–高高可用性资产(信息,信息系统系统资源/网络服务,人员等.)可以容忍几个小时的不能使用。4–非常高非常高的可用性资产(信息,信息系统系统资源/网络服务,人员等.)必须保证每年每周24x7工作。资产分级威胁和脆弱性估计威胁应该考虑它们出现的可能性，以及可能利用弱点/脆弱性可能性。实例不太可能发生的机会小于1/10可能出现的机会小于25%很可能/大概机会50:50高可能发生的机会多于75%非常可能不发生的机会小于1/10绝对无疑100%会发生风险控制RiskthresholdRisklevel风险控制ContinualImprovement7.5信息系统安全保障管理级别等级能力描述SAM-CML1组织内部能够依据经验进行部分的安全管理工作

SAM-CML2组织能够建立完善的管理体系来规范安全管理

SAM-CML3组织能够采取有效措施来敦促所制定管理体系的落实和实施，从而能确保管理体系有效实施

SAM-CML4组织所制定的管理体系不仅能够有效实施，而且还能够对实施的管理措施的效果进行测试，尽量采用量化的数据来分析和验证所采用的管理措施

SAM-CML5组织能够对管理体系进行持续改进，使管理体系始终对组织安全保障体系的运行发挥最大效应

几点认识风险评估是落实等级保护的抓手。面向对象和面向手段不能分割。IT驱动和业务驱动同样需要。风险评估是出发点等级划分是判断点安全控制是落脚点高危漏洞高危漏洞正确的安全观念全网安全动态安全相对安全包括全网安全动态安全如何达到动态安全相对安全

对于不同性质的政府网站，对于安全的要求是不同的。不能将安全问题绝对化，不是“越安全越好”安全保护是有成本的，目的并在于让系统毫无缝隙、滴水不漏，而是让非法用户觉得攻击此系统的代价远比他能获得的利益高，这样的绝大部分非法用户就不愿意做这种事情在设计系统安全措施的时候，必须根据系统的实际应用情况，综合考虑安全、成本、效率三者的权重，并求得适度的平衡，实现“恰到好处”的安全网络安全主要威胁来源网络内部、外部泄密拒绝服务攻击特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫典型的网络安全威胁

威胁描述授权侵犯为某一特定目的的授权，使用一个系统的人却将该系统用作其他未授权的目的旁路控制攻击者发掘系统的缺陷或安全脆弱性拒绝服务对信息或其它资源的合法访问被无条件的拒绝或推迟窃听信息从被监视的通信过程中泄露出去电磁射频截获信息从电子机电设备所发出的无线射频或其它电磁场辐射中被提取非法使用资源被未授权人或以未授权方式使用人员疏忽授权人为了利益或粗心将信息泄露给未授权人信息泄漏信息被泄露或暴漏给某个未授权的实体完整性破坏数据的一致性通过对数据进行未授权的创建、修改或破坏而受到破坏截获／修改某一通信数据项在传输过程中被改变、删除或替代假冒一个实体假装成另一个不同的实体典型的网络安全威胁（cont.）

威胁描述

媒体清理信息被从废弃的或打印过的媒体中获得物理侵入入侵者通过绕过物理控制而获得对系统的访问

重放出于非法目的而重新发送截获的合法通信数据项的拷贝

否认参与某次通信交换的一方，事后错误的否认曾经发生过此次交换

资源耗尽某一资源被故意超负荷使用，导致其他用户服务被中断

服务欺骗某一伪系统或系统部件欺骗合法的用户，或系统自愿的放弃敏感信息

窃取某一安全攸关的物品（令牌或身份卡）被盗业务流分析通过对通信业务流模式进行观察（有，无，数量，方向，频率等），而造成信息被泄露给未授权的实体

陷门将某一“特征”设立于某个系统或系统部件中，使得在提供特定的输入数据时，允许违反安全策略特洛伊木马含有觉察不出或无害程序段的软件，当它被运行时，会损害用户的安全信息安全、计算机安全和网络安全的关系信息、计算机和网络是三位一体、不可分割的整体。信息的采集、加工、存储是以计算机为载体的，而信息的共享、传输、发布则依赖于网络系统。如果能够保障并实现网络信息的安全，就可以保障和实现计算机系统的安全和信息安全。因此，网络信息安全的内容也就包含了计算机安全和信息安全的内容。信息安全均指网络信息安全。不安全因素网络信息系统的脆弱性1)网络的开放性。2)软件系统的自身缺陷。1999年安全应急响应小组论坛FIRST的专家指出，每千行程序中至少有一个缺陷。3）黑客攻击。

Microsoft通用操作系统的安全性估计

操作系统 推出年份 代码行数（万）估计缺陷数（万）Windows3.1 1992年 3001.5～3Windows95 1995年 5002.5～5WindowsNT4.0 1996年 16508.25～15.5Windows2000 2000年 3500～500017.5～35对安全的攻击高风险漏洞统计(按操作系统)网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器

文件共享LSASExposures电子邮件客户端即时信息Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务NIS/NFS配置不当数据库内核来源：SANS研究报告高风险漏洞统计(按应用程序)漏洞的概念三、系统漏洞20个最危险的安全漏洞2002年5月发布（）三类安全漏洞：1）影响所有系统的七个漏洞（G1~G7）2）影响Windows系统的六个漏洞（W1~W6)3）影响Unix系统的七个漏洞（U1~U7）G1-操作系统和应用软件的缺省安装三、系统漏洞软件开发商的逻辑是最好先激活还不需要的功能，而不是让用户在需要时再去安装额外的组件。这种方法尽管对用户很方便，但却产生了很多危险的安全漏洞，因为用户不会主动的给他们不使用的软件组件打补丁。而且很多用户根本不知道实际安装了什么，很多系统中留有安全漏洞就是因为用户根本不知道安装了这些程序。大多数操作系统和应用程序。应该对任何连到Internet上的系统进行端口扫描和漏洞扫描。卸载不必要的软件，关掉不需要的服务和额外的端口。这会是一个枯燥而且耗费时间的工作。G2-没有口令或使用弱口令的帐号三、系统漏洞易猜的口令或缺省口令是个严重的问题，更严重的是有的帐号根本没有口令。应进行以下操作：1．审计你系统上的帐号，建立一个使用者列表。2．制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。3．经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。4．对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。G3-没有备份或者备份不完整三、系统漏洞从事故中恢复要求及时的备份和可靠的数据存储方式。应列出一份紧要系统的列表。制定备份方式和策略。重要问题：1． 系统是否有备份？2． 备份间隔是可接受的吗？3． 系统是按规定进行备份的吗？4． 是否确认备份介质正确的保存了数据？5． 备份介质是否在室内得到了正确的保护？6． 是否在另一处还有操作系统和存储设施的备份？（包括必要的licensekey）7． 存储过程是否被测试及确认？G4-大量打开的端口三、系统漏洞G5-没有过滤地址不正确的包三、系统漏洞IP地址欺诈。例如smurf攻击。对流进和流出你网络的数据进行过滤。1．任何进入你网络的数据包不能把你网络内部的地址作为源地址；必须把你网络内部的地址作为目的地址。任何离开你网络的数据包必须把你网络内部的地址作为源地址；不能把你网络内部的地址作为目的地址。3．任何进入或离开你网络的数据包不能把一个私有地址（privateaddress）或在RFC1918中列出的属于保留空间（包括10.x.x.x/8,172.16.x.x/12或192.168.x.x/16和网络回送地址/8.）的地址作为源或目的地址。G6-不存在或不完整的日志三、系统漏洞安全领域的一句名言是："预防是理想的，但检测是必须的"。一旦被攻击，没有日志，你会很难发现攻击者都作了什么。在所有重要的系统上应定期做日志，而且日志应被定期保存和备份，因为你不知何时会需要它。查看每一个主要系统的日志，如果你没有日志或它们不能确定被保存了下来，你是易被攻击的。所有系统都应在本地记录日志，并把日志发到一个远端系统保存。这提供了冗余和一个额外的安全保护层。不论何时，用一次性写入的媒质记录日志。G7-易被攻击的CGI程序三、系统漏洞大多数的web服务器，都支持CGI程序。1．从你的web服务器上移走所有CGI示范程序。2．审核剩余的CGI脚本，移走不安全的部分。3．保证所有的CGI程序员在编写程序时，都进行输入缓冲区长度检查。4．为所有不能除去的漏洞打上补丁。5．保证你的CGIbin目录下不包括任何的编译器或解释器。6．从CGIbin目录下删除"view-source"脚本。7．不要以administrator或root权限运行你的web服务器。大多数的web服务器可以配置成较低的权限，例如"nobody."8．不要在不需要CGI的web服务器上配置CGI支持。W1-Unicode漏洞三、系统漏洞不论何种平台，何种程序，何种语言，Unicode为每一个字符提供了一个独一无二的序号。通过向IIS服务器发出一个包括非法UnicodeUTF-8序列的URL,攻击者可以迫使服务器逐字"进入或退出"目录并执行任意(程序)(script-脚本)，这种攻击被称为目录转换攻击。Unicode用%2f和%5c分别代表/和\。但你也可以用所谓的"超长"序列来代表这些字符。"超长"序列是非法的Unicode表示符，它们比实际代表这些字符的序列要长。/和\均可以用一个字节来表示。超长的表示法，例如用%c0%af代表/用了两个字节。IIS不对超长序列进行检查。这样在URL中加入一个超长的Unicode序列，就可以绕过Microsoft的安全检查。如果你在运行一个未打补丁的IIS，那么你是易受到攻击的。最好的判断方法是运行hfnetchk。W2-ISAPI缓冲区扩展溢出三、系统漏洞安装IIS后，就自动安装了多个ISAPIextensions。ISAPI，代表InternetServicesApplicationProgrammingInterface，允许开发人员使用DLL扩展IIS服务器的性能。一些动态连接库，例如idq.dll，有编程错误，使得他们做不正确的边界检查。特别是，它们不阻塞超长字符串。攻击者可以利用这一点向DLL发送数据，造成缓冲区溢出，进而控制IIS服务器。安装最新的Microsoft的补丁。该漏洞不影响WindowsXP.同时，管理员应检查并取消所有不需要的ISAPI扩展。经常检查这些扩展没有被恢复。请记住最小权限规则，你的系统应运行系统正常工作所需的最少服务。W3-IISRDS的使用(MicrosoftRemoteDataServices)三、系统漏洞黑客可以利用IIS'sRemoteDataServices(RDS)中的漏洞以administrator权限在远端运行命令。如果你在运行一个未打补丁的系统，你是易被攻击的。W4-NETBIOS-未保护的Windows网络共享三、系统漏洞ServerMessageBlock(SMB)协议，也称为CommonInternetFileSystem(CIFS),允许网络间的文件共享。不正确的配置可能会导致系统文件的暴露，或给予黑客完全的系统访问权。在Windows的主机上允许文件共享使得它们容易受到信息窃贼和某种快速移动的病毒的攻击。1．在共享数据时，确保只共享所需目录。2．为增加安全性，只对特定IP地址进行共享，因为DNS名可以欺诈。3．对Windows系统(NT,2000)，只允许特定用户访问共享文件夹。4．对Windows系统，禁止通过"空对话"连接对用户，组，系统配置和注册密钥进行匿名列举。在W5中有更详尽的信息。5．对主机或路由器上的NetBIOS会话服务(tcp139),MicrosoftCIFS(TCP/UDP445)禁止不绑定的连接。6．考虑在独立或彼此不信任的环境下，在连接Internet的主机上部署RestrictAnonymousregistrykey。W5-通过空对话连接造成的信息泄露三、系统漏洞空对话连接(nullsession)，也称为匿名登录，是一种允许匿名用户获取信息（例如用户名或共享文件），或不需认证进行连接的机制。explorer.exe利用它来列举远程服务器上的共享文件。在WindowsNT和Windows2000系统下，许多本地服务是在SYSTEM帐号下运行的，又称为Windows2000的LocalSystem。很多操作系统都使用SYSTEM帐号。当一台主机需要从另一台主机上获取系统信息时，SYSTEM帐号会为另一台主机建立一个空对话。SYSTEM帐号实际拥有无限的权利，而且没有密码，所以你不能以SYSTEM的方式登录。SYSTEM有时需要获取其它主机上的一些信息，例如可获取的共享资源和用户名等典型的网上邻居功能。由于它不能以用户名和口令进入，所以它使用空对话连接进入，不幸的是攻击者也可以相同的方式进入。W6-WeakhashinginSAM(LMhash)三、系统漏洞尽管Windows的大多数用户不需要LANManager的支持，微软还是在WindowsNT和2000系统里缺省安装了LANManager口令散列。由于LANManager使用的加密机制比微软现在的方法脆弱，LANManager的口令能在很短的时间内被破解。LANManager散列的主要脆弱性在于：长的口令被截成14个字符短的口令被填补空格变成14个字符口令中所有的字符被转换成大写口令被分割成两个7个字符的片断另外，LANManager容易被侦听口令散列。侦听可以为攻击者提供用户的口令。U1-RPC服务缓冲区溢出三、系统漏洞U2-Sendmail漏洞三、系统漏洞Sendmail是在UNIX和Linux上用的最多的发送，接收和转发电子邮件的程序。Sendmail在Internet上的广泛应用使它成为攻击者的主要目标。过去的几年里发现了若干个缺陷。事实上，第一个建议是CERT/CC在1988年提出的，指出了Sendmail中一个易受攻击的脆弱性。其中最为常用的是攻击者可以发送一封特别的邮件消息给运行Sendmail的机器，Sendmail会根据这条消息要求受劫持的机器把它的口令文件发给攻击者的机器（或者另一台受劫持的机器），这样口令就会被破解掉。Sendmail有很多的易受攻击的弱点，必须定期的更新和打补丁。U3-Bind脆弱性三、系统漏洞BerkeleyInternetNameDomain(BIND)是域名服务DNS(DomainNameService)用的最多的软件包。DNS非常重要，我们利用它在Internet上通过机器的名字（例如）找到机器而不必知道机器的IP地址。这使它成为攻击者钟爱的目标。不幸的是，根据1999年中期的调查，连接在Internet上的50％的DNS服务器运行的都是易受攻击的版本。在一个典型的BIND攻击的例子里，入侵者删除了系统日志并安装了工具来获取管理员的权限。然后他们编辑安装了IRC工具和网络扫描工具，扫描了12个B类网来寻找更多的易受攻击的BIND。在一分钟左右的时间里，他们就使用已经控制的机器攻击了几百台远程的机器，并找到了更多的可以控制的机器。U4-R命令三、系统漏洞在UNIX世界里，相互信任关系到处存在，特别是在系统管理方面。公司里经常指定一个管理员管理几十个区域或者甚至上百台机器。管理员经常使用信任关系和UNIX的r命令从一个系统方便的切换到另一个系统。R命令允许一个人登录远程机器而不必提供口令。取代询问用户名和口令，远程机器认可来自可信赖IP地址的任何人。如果攻击者获得了可信任网络里的任何一台的机器，他（她）就能登录任何信任该IP的任何机器。下面命令经常用到：1. rlogin-remotelogin，远程登录2. rsh-remoteshell，远程shell3. rcp-remotecopy,远程拷贝U5-LPD(remoteprintprotocoldaemon)三、系统漏洞Unix里，in.lpd为用户提供了与本地打印机交互的服务。lpd侦听TCP515端口的请求。程序员在写代码时犯了一点错误，使得当打印工作从一台机器传到另一台机器时会导致缓冲区溢出的漏洞。如果在较短的时间里接受了太多的任务，后台程序就会崩溃或者以更高的权限运行任意的代码。U6-sadmindandmountd三、系统漏洞Sadmind允许远程登录到Solaris系统进行管理，并提供了一个系统管理功能的图形用户接口。Mountd控制和判断到安装在UNIX主机上的NFS的连接。由于软件开发人员的错误导致的这些应用的缓冲区溢出漏洞能被攻击者利用获取root的存取权限。U7-缺省SNMP字串三、系统漏洞SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)是管理员广泛使用的协议，用来管理和监视各种各样与网络连接的设备，从路由器到打印机到计算机。SNMP使用没有加密的公共字符串作为唯一的认证机制。没有加密已经够糟了，不仅如此，绝大部分SNMP设备使用的公共字符串还是"public"，只有少部分"聪明"的设备供应商为了保护敏感信息把字符串改为"private"。攻击者可以利用这个SNMP中的漏洞远程重新配置或关闭你的设备。被监听的SNMP通讯能泄漏很多关于网络结构的信息，以及连接在网络上的设备。入侵者可以使用这些信息找出目标和谋划他们的攻击。补充–Windows2000Server输入法漏洞三、系统漏洞Windows2000简体中文版存在输入法漏洞，可以使本地用户绕过身份验证机制进入系统内部。通过该漏洞用户可以浏览计算机上的所有文件，并且可以执行net.ext命令吧自己添加为管理员用户，从而完全控制计算机。Windows2000中文版的终端服务在远程操作时仍然存在这一漏洞，而且危害更大，能使系统管理员采用图形界面对Windows2000进行远程操作，在远程控制计算机。Windows2000的远程终端服务的默认端口为3389，之一漏洞是的远程终端服务成为Windows2000的“合法”木马对策：（1）卸载不用的输入法，并删除输入法的帮助文件。（2）安全Windows2000服务器的ServicePack网络安全维护网络安全的维护网络安全补丁检查工具HFNetChkHFNetChkInAction运行HFNetChk.exe下载最新的XML补丁数据库XML基于下列扫描主机名IP地址范围域名HFNetChk如何工作?从站点下载经过签名的CAB文件(包含了XML数据)如果没有Internet连接,,直接使用本地备份工具版本检查OS\服务包\应用检查识别与当前OS\服务包\应用相关的安全补丁对每一个可应用的补丁:将被检查的机器上的键值与XML文件所包含的注册表键值作比较如果键值不存在,那么补丁文件没有被安装键值检查可以跳过,-z开关问题:我们可以依赖注册表键值来保证补丁安装吗?如果键值存在或键值检查被跳过,将被检查的机器上的文件版本与XML文件所包含的文件版本作比较将被检查的机器上的文件检验和与XML文件所包含的文件检验和作比较结果：如果文件版本和/或文件检验和不匹配,那么补丁程序被认为没有安装注意:补丁程序所包含的每一个文件都要被检测微软基准安全分析器MBSA运行在Windows2000/2003和WindowsXP平台上的单个可执行文件检查常见安全误设置和漏装补丁,服务包WindowsInternetInformationServer4.0andInternetInformationServer5.0SQL7.0andSQL2000桌面应用程序InternetExplorerOfficeOutlook™既有图形界面版本,又有命令行版本生成安全报表系统总得分每一项安全检查通过或失败得分针对发现的安全性漏洞,提出详细解释和修补动作是一个“只读”工具-对被检查的机器没有任何配置或更新操作用户在每台被检查的机器上必须有本地管理员权限MBSA使用举例:管理员可以从一台机器上扫描整个网络,寻找可能潜在的操作系统和应用程序的脆弱性为每一台机器产生一份安全报告,集中存放家庭用户也可以在家里扫描他们的机器网络管理员也可以用命令行作一批处理程序,然后定期调度该批程序使用MBSA扫描单台计算机扫描多台计算机使用MBSA命令行界面MBSA与HFNetChk:问：MBSA安全报告存放在什么位置？答：安全报告的默认存储位置是%userprofile%\SecurityScans。

问：MBSA如何与HFNetChk配合使用？答：MBSA使用HFNetChk来扫描Windows、IIS和SQLServer中缺少的即时修补程序和servicepack。HFNetChk通过引用一个可扩展标记语言(XML)安全即时修补程序数据库来完成此项工作，该数据库由Microsoft不断地更新。由HFNetChk使用，并因而也由MBSA使用的这个XML数据库，包含了关于每种Microsoft产品各有哪些即时修补程序的信息。此文件包含安全公告的名称和标题，关于针对具体产品的安全即时修补程序的详细数据，其中包括：每个即时修补程序软件包中的文件和它们的文件版本，即时修补程序安装软件包应用的校验和、注册表项，关于哪些修补程序可取代哪些其他修补程序的信息，以及相关的Microsoft知识库文章编号等。在MBSA发行后，HFNetChk仍将作为Microsoft安全网站上一项可独立下载的内容提供。问：MBSA与HFNetChk相比有哪些优势？答：MBSA是HFNetChk的功能的一个超集。HFNetChk仅仅能够处理即时修补程序和ServicePack，而MBSA则提供了一个易用的界面和更多的功能。这些功能包括：检查Windows桌面和服务器是否采用了安全方面的常用最佳做法，比如强密码；扫描运行IIS和SQLServer的服务器，以查找安全方面的常见配置错误；检查MicrosoftOffice、Outlook和InternetExplorer中是否存在未恰当配置的安全区域设置。Microsoft建议客户利用MBSA工具，因为其功能既加强了HFNetChk工具原有的功能，同时还向客户提供了HFNetChk工具本身无法提供的其他功能和最佳做法。来源：WSUS使用校网络信息中心提供的校内WindowsUpdate自动更新服务器，可以最快速，最安全的进行系统更新。在WindowsServer2003上，WSUS需要下列软件：MicrosoftInternetInformationServices(IIS)6.0BackgroundIntelligentTransferService(BITS)2.0。若想取得本软件，请参见下载WSUS网页。WindowsServer2003的Microsoft.NETFramework1.1ServicePack。您也可以从WindowsUpdate网站取得本软件：「重大更新」及ServicePacks的扫描。安装WindowsServer2003的Microsoft.NETFramework1.1ServicePack。在Windows2000Server上，WSUS需要下列软件：IIS5.0BITS2.0。若想取得本软件，请参见下载WSUS网页。数据库软件完全与SQLServer兼容。Microsoft推荐MSDE2000ReleaseA。MicrosoftInternetExplorer6.0SP1.NETFramework1.1转散布套件.NETFramework1.1SP1。您也可以从WindowsUpdate网站取得本软件：「重大更新」及ServicePacks的扫描。安装Windows2000Server的Microsoft.NETFramework1.1ServicePack。来源：WSUS服务器安装完成后，输入http://服务器地址/wsusadmin进入管理控制台。点击“同步服务器，现在就开始”选项开始设置WSUS。在“更新分类”处可以详细设置提供下载的补丁类别。点击“立即同步”将启动服务器的同步功能，服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择，服务器将只下载满足设定条件的补丁，下载的补丁供客户端使用。在待做事项列表中点击“复查安全和关键更新”。在“更新”界面中可将所有补丁选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有补丁。点击“更改批准”后会进入“批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。WSUS客户端默认情况下客户机进行补丁更新都要到WindowsUpdate站点，需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。首先，在“运行”栏中输入“gpedit.msc”启动组策略。依次点击“本地计算机策略→计算机配置→管理模板”，右键点击“管理模板”，选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中，添加这个模板后我们才能对Update站点信息进行修改。依次进入“本地计算机策略→计算机配置→管理模板→Windows组件→WindowsUpdate”，双击“配置自动更新”，然后选择自动更新补丁的类型，可以是手动更新也可以是自动更新。在“WindowsUpdate”中双击“指定IntranetMicrosoft更新服务位置”，将刚刚建立的WSUS服务器地址添加进来。进入命令行模式，输入“wuauclt.exe/detectnow”命令启动更新，客户机会立刻连接WSUS服务器下载并安装补丁。当客户端启动了更新设置后，我们就可以在服务器上通过管理界面看到这些客户端。MBSA与WSUS比较:来源：两者都可以从microsoft网站免费下载网络安全的维护漏洞的预知进出数据的安全管理实时侦测与防护网络实时防、杀毒远程数据转输的安全性强化的管理网络安全的维护网络安全的维护网络安全的维护网络安全的维护网络防、杀病毒

防、杀病毒软件是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强，但是需要不断更新，而且存在一定的片面性。由于这方面的介绍已经很多，这里不作进一步的展开。

网络版防、杀病毒软件能够有效的进行整体网络的病毒库的升级，并且可强制对某一台或多台终端杀毒，大大减少了因病毒而引起的网络和终端的网络应用方面的故障！网络安全的维护远程数据转输的安全性常用手段IPSECVPNSSLVPN网络安全的维护网络安全的维护网络安全的维护SSLVPN

SSL的英文全称是“SecureSocketsLayer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。但是不管怎样，SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。网络安全的维护网络安全的维护SSLVPN与IPSecVPN的比较列表

选项SSLVPNIPSECVPN身份验证·单向身份验证

·双向身份验证

·数字证书·双向身份验证

·数字证书加密·强加密

·基于Web浏览器·强加密

·依靠执行全程安全性·端到端安全

·从客户到资源端全程加密·网络边缘到客户端

·仅对从客户到VPN网关之间通道加密可访问性选用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问费用·低（无需任何附加客户端软件）·高（需要管理客户端软件）网络安全的维护SSLVPN与IPSECVPN的比较选项SSLVPNIPSECVPN安装·即插即用安装

·无需任何附加的客户端软、硬件安装·通常需要长时间的配置

·需要客户端软件或者硬件用户的易使用性·对用户非常友好，使用非常熟悉的Web浏览器

·无需终端用户的培训·对没有相应技术的用户比较困难

·需要培训支持的应用·基于Web的应用

·文件共享

·E-mail·所有基于IP协议的服务用户客户、合作伙伴用户、远程用户、供应商等更适用于企业内部使用可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户端比较困难网络安全的维护强化的管理隐藏IP地址与直接连接到Internet相比，使用代理服务器或路由设备的NAT功能，能保护上网用户的IP地址，从而保障上网安全。关闭不必要的端口黑客在入侵时常常会扫描你的计算机端口，关闭用不到的端口，防止入侵。更换管理员帐户

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

网络安全的维护强化的管理杜绝Guest帐户的入侵禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。封死黑客的"后门"

1.删掉不必要的协议

2.关闭“文件和打印共享”

3.禁止建立空连接

4.关闭不必要的服务

网络安全的维护强化的管理做好IE的安全设置要避免恶意网页的攻击只有禁止这些恶意代码的运行。你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。安装必要的安全软件我们还应在电脑中安装并使用必要的防黑软件，在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。防范木马程序木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：●在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。●在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。●将注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

网络安全的维护强化的管理不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。及时给系统打补丁建议大家要经常到微软的站点下载自己的操作系统对应的补丁程序，微软不断推出的补丁尽管让人厌烦，但却是我们网络安全的基础。

网络安全的维护安全编程JSP不受缓冲区溢出漏洞影响从输入流读取输入数据的C代码通常如下所示：charbuffer[1000];intlen=read(buffer);由于实现无法确定读入的数据长度，上述代码就可能发生缓冲溢出。在Java中，一般用字符串而不是字符数组保存用户输入。与前面C代码等价的Java代码如下所示：Stringbuffer=in.readLine();在上面的例子中，“缓冲区”的大小总是和输入内容的大小完全一致。由于Java字符串在创建之后不能改变，缓冲区溢出也就不可能出现。就算用字符数组替代字符串作为缓冲区，Java也不象C那样容易产生可被攻击者利用的安全漏洞。例如，下面的Java代码将产生溢出：char[]bad=newchar[6];bad[7]=50;这种处理过程永远不会导致不可预料的行为。无论用什么方法溢出一个数组，我们总是得到ArrayOutOfBoundsException异常。因此Java运行时底层环境就能够保护自身免受任何侵害。Java编程模式从根本上改变了用户输入的处理方法，避免了输入缓冲区溢出，从而使得Java程序员摆脱了这种最危险的编程漏洞。SQL注入攻击一段问题代码Stringuser=request.getAttribute(“username”);

Stringpass=request.getAttribute(“password”);

Stringquery=“SELECTidFROMusersWHERE

username=”+user+“ANDpassword=”+pass;

Statementstmt=con.createStatement(query);

ResultSetrs=con.executeQuery(query);

if(rs.next())

{//登录成功...}

else{//登录失败...}如果用户输入的查询条件中，用户名字等于“test”，密码等于“123”，则系统执行的查询实际上是：SELECTidFROMusersWHEREusername='test'ANDpassword='123'这个查询能够正确地对用户名字和密码进行检查。但是，如果用户输入的查询条件中，名字等于“test'AND('a'='b”，密码等于“blah')OR'a'='a”，此时系统执行的查询变成了：SELECTidFROMusersWHEREusername='test'AND('a'='b'ANDpassword='blah')OR'a'='a'安全编程使用下面的代码可以解决SQL注入攻击的问题Stringuser=request.getAttribute("username");Stringpass=request.getAttribute("password");Stringquery="SELECTidFROMusersWHEREusername=?ANDpassword=?";PreparedStatementstmt=con.prepareStatement(query);stmt.setString(1,user);stmt.setString(2,pass);ResultSetrs=stmt.executeQuery();安全编程缓冲区溢出的后果攻击者可以使远程服务程序或者本地程序崩溃攻击者可以以被攻击的程序运行时的身份执行任意代码。如果该程序以特权用户身份运行，攻击者可以远程或者本地提升权限。缓冲区溢出漏洞存在的原因开发者没有进行边界检查开发者缺乏安全编程的意识认为分配的内存通常足够使用了使用不安全的数据拷贝函数strcpy,strcat,gets,sprintf,开发者没有进行正确的边界检查错误的使