信息安全基礎(chǔ)知識培訓(xùn)課程(DOC 29頁)_第1頁
信息安全基礎(chǔ)知識培訓(xùn)課程(DOC 29頁)_第2頁
信息安全基礎(chǔ)知識培訓(xùn)課程(DOC 29頁)_第3頁
信息安全基礎(chǔ)知識培訓(xùn)課程(DOC 29頁)_第4頁
信息安全基礎(chǔ)知識培訓(xùn)課程(DOC 29頁)_第5頁
已閱讀5頁,還剩24頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息安全基礎(chǔ)知識1. 了解信息安全基本概念信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。 信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 2. 了解網(wǎng)絡(luò)安全主要概念及意義網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施,使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行,從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。比如:從用戶(個(gè)人、企業(yè)等)的角度來說,他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整

2、性和真實(shí)性的保護(hù)。 網(wǎng)絡(luò)安全是一個(gè)關(guān)系國家安全和主權(quán)、社會的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問題。其重要性,正隨著全球信息化步伐的加快而變到越來越重要?!凹议T就是國門”,安全問題刻不容緩。3.了解安全隱患的產(chǎn)生原因、類型區(qū)別(被動攻擊,主動攻擊等)產(chǎn)生安全隱患的產(chǎn)生原因:1.網(wǎng)絡(luò)通信協(xié)議的不安全2.計(jì)算機(jī)病毒的入侵3.黑客的攻擊4操作系統(tǒng)和應(yīng)用軟件的安全漏洞5.防火墻自身帶來的安全漏洞分類:分為主動攻擊 和被動攻擊 主動攻擊包含攻擊者訪問他所需信息的故意行為。比如遠(yuǎn)程登錄到指定機(jī)器的端口25找出公司運(yùn)行的郵件服務(wù)器的信息;偽造無效IP地址去連接服務(wù)器,使接受到錯(cuò)誤IP地址的系統(tǒng)浪費(fèi)時(shí)間去連接哪

3、個(gè)非法地址。攻擊者 是在主動地做一些不利于你或你的公司系統(tǒng)的事情。正因?yàn)槿绱?,如果要尋找他們是很容易發(fā)現(xiàn)的。主動攻擊包括 拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。 被動攻擊主要是收集信息而不是進(jìn)行訪問,數(shù)據(jù)的合法用戶對這種活動一點(diǎn)也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。從攻擊的目的來看,可以有拒絕服務(wù)攻擊(Dos)、獲取系統(tǒng)權(quán)限的攻擊、獲取敏感信息的攻擊;從攻擊的切入點(diǎn)來看,有緩沖區(qū)溢出攻擊、系統(tǒng)設(shè)置漏洞的攻擊等;從攻擊的縱向?qū)嵤┻^程來看,又有獲取初級權(quán)限攻擊、提升最高權(quán)限的攻擊、后門攻擊、跳板攻擊等;從攻擊的類型來看,包括對各種操作系統(tǒng)的攻擊、對網(wǎng)絡(luò)設(shè)備的攻擊、對特定應(yīng)

4、用系統(tǒng)的攻擊等4.了解安全分類(技術(shù)缺陷,配置缺陷,策略缺陷,人為缺陷等)技術(shù)缺陷: 現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的,它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題,無法防范和解決其他的問題,更不可能提供對整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題,但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題,而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對網(wǎng)絡(luò)和系統(tǒng)的危害,但卻無法識別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。 現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過濾防火墻,狀

5、態(tài)檢測包過濾防火墻和應(yīng)用層代理防火墻,但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí),防火墻還存在著一些弱點(diǎn):一、不能防御來自內(nèi)部的攻擊:來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī),監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的,而對內(nèi)部網(wǎng)上的情況不作檢查,因而對內(nèi)部的攻擊無能為力;二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動的防御手段,只能守株待兔式地對通過它的數(shù)據(jù)報(bào)進(jìn)行檢查,如果該數(shù)據(jù)由于某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;三、不能防御完全新的威脅:防火墻只能防御已

6、知的威脅,但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法,可信賴的服務(wù)就變成不可信賴的了;四、防火墻不能防御數(shù)據(jù)驅(qū)動的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協(xié)議內(nèi)容的,而非數(shù)據(jù)細(xì)節(jié)。這樣一來,基于數(shù)據(jù)驅(qū)動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動攻擊。 入侵檢測技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重,它不能稱之為一個(gè)可以信賴的安全工具,而只是一個(gè)參考工具。 配置缺陷: 于交換機(jī)和路由器而言,它們的主要作用是進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā),因此在設(shè)備自身的安全性方面考慮的就不是很周全。在默認(rèn)的情況下,交換機(jī)和路由器的許多網(wǎng)絡(luò)

7、服務(wù)端口都是打開的,這就是等于為黑客預(yù)留了進(jìn)入的通道策略缺陷:計(jì)算機(jī)信息安全問題主要在于信息技術(shù)和管理制度兩個(gè)方面,所以相應(yīng)的安全防范策略也必須從達(dá)兩個(gè)方面人手,形成技術(shù)與管理、操作與監(jiān)管并行的系統(tǒng)化安全保障體系。人為缺陷: 人為攻擊是指通過攻擊系統(tǒng)的弱點(diǎn),以便達(dá)到破壞、 欺騙、竊取數(shù)據(jù)等目的,使得網(wǎng)絡(luò)信息的保密性、完整性、可靠性、可控性、可用性等受到傷害,造成經(jīng)濟(jì)上和政治上不可估量的損失。人為攻擊又分為偶然事故和惡意攻擊兩種。偶然事故雖然沒有明顯的惡意企圖和目的,但它仍會使信息受到嚴(yán)重破壞。惡意攻擊是有目的的破壞。惡意攻擊又分為被動攻擊和主動攻擊兩種。被動攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作

8、的情況下,進(jìn)行偵收、截獲、竊取、破譯和業(yè)務(wù)流量分析及電磁泄露等。主動攻擊是指以各種方式有選擇地破壞信息,如修 改、刪除、偽造、添加、重放、亂序、冒充、制造病毒等。5.了解網(wǎng)絡(luò)安全的實(shí)現(xiàn)目標(biāo)和主要技術(shù)措施在網(wǎng)絡(luò)安全領(lǐng)域,攻擊隨時(shí)可能發(fā)生,系統(tǒng)隨時(shí)可能崩潰,因此必須一年365天、一天24小時(shí)地監(jiān)視網(wǎng)絡(luò)系統(tǒng)的狀態(tài)。這些工作僅靠人工完成是不可能的。所以,必須借助先進(jìn)的技術(shù)和工具來幫助企業(yè)完成如此繁重的勞動,以保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。 計(jì)算機(jī)網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性(Availability)、網(wǎng)絡(luò)信息的保密性(Confidentiality)和網(wǎng)絡(luò)信息的完整性(Intergrity

9、)。下面把與之相關(guān)的幾個(gè)重要的網(wǎng)絡(luò)安全技術(shù)做一下介紹。 殺毒軟件 與一般單機(jī)的殺毒軟件相比,殺毒軟件的網(wǎng)絡(luò)版市場更多是技術(shù)及服務(wù)的競爭。其特點(diǎn)表現(xiàn)在: 首先,殺病毒技術(shù)的發(fā)展日益國際化。世界上每天有13種到50種新病毒出現(xiàn),并且60%的病毒均通過Internet傳播,病毒發(fā)展有日益跨越疆界的趨勢,殺病毒企業(yè)的競爭也隨之日益國際化。 其次,殺毒軟件面臨多平臺的挑戰(zhàn)。一個(gè)好的企業(yè)級殺病毒軟件必須能夠支持所有主流平臺,并實(shí)現(xiàn)軟件安裝、升級、配置的中央管理及自動化,要達(dá)到這樣的要求需要大量工程師幾年的技術(shù)積累。 第三,殺毒軟件面臨著Internet的挑

10、戰(zhàn)。好的企業(yè)級殺病毒軟件要保護(hù)企業(yè)所有的可能病毒入口,也就是說要支持所有企業(yè)可能用到的Internet協(xié)議及郵件系統(tǒng),能適應(yīng)并且及時(shí)跟上瞬息萬變的Internet時(shí)代步伐?,F(xiàn)今60%以上的病毒是通過Internet傳播,可以說Internet的防毒能力成為殺病毒軟件的關(guān)鍵技術(shù),在這方面,國際的殺毒軟件如: Norton、McAfee、熊貓衛(wèi)士走到了前面,它們均可以支持所有的Internet協(xié)議,辨識出其中病毒。 當(dāng)前國內(nèi)正從殺病毒軟件的單機(jī)應(yīng)用逐步過渡到企業(yè)級的防護(hù),企業(yè)防病毒軟件的市場無疑將越來越大。企業(yè)級用戶會更多考慮如何保護(hù)自身的數(shù)據(jù)、程序,對技術(shù)、服務(wù)和管理的要求比較高。國內(nèi)

11、大部分的殺毒軟件目前在價(jià)格和對本土病毒的查殺能力兩個(gè)方面存在著優(yōu)勢,但在企業(yè)級的某些特殊性能上存在差距。例如管理方面,一個(gè)企業(yè)要管理1000臺機(jī)器,Norton的SRC有一臺管理器就可以處理,它可以自動分發(fā),自動安裝到所有機(jī)器里,使管理人員節(jié)省很多時(shí)間,減少重復(fù)勞動。另外,企業(yè)級需要更安全的保護(hù),現(xiàn)在政府上網(wǎng)、企業(yè)上網(wǎng)都會遇到很多國際病毒,國內(nèi)部分廠商在這些方面尚待改進(jìn)。 防火墻 網(wǎng)絡(luò)安全中系統(tǒng)安全產(chǎn)品使用最廣泛的技術(shù)就是防火墻技術(shù),即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個(gè)防火墻。目前在全球連入Internet的計(jì)算機(jī)中約有三分之一是處于防火墻保護(hù)之下。 對企業(yè)網(wǎng)

12、絡(luò)用戶來說,如果決定設(shè)定防火墻,那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略,對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查,符合的予以放行,不符合的拒之門外。 防火墻的技術(shù)實(shí)現(xiàn)通常是基于所謂"包過濾"技術(shù),而進(jìn)行包過濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中,包過濾的標(biāo)準(zhǔn)一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制清單中設(shè)定。訪問控制一般基于的標(biāo)準(zhǔn)有:包的源地址、包的目的地址、連接請求的方向(連入或連出)、數(shù)據(jù)包協(xié)議(如TCP/IP等)以及服

13、務(wù)請求的類型(如ftp、www等)等。 除了基于硬件的包過濾技術(shù),防火墻還可以利用代理服務(wù)器軟件實(shí)現(xiàn)。早期的防火墻主要起屏蔽主機(jī)和加強(qiáng)訪問控制的作用,現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果,一般都具有加密、解密和壓縮、解壓等功能,這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性?,F(xiàn)在,防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導(dǎo)研究方向。 當(dāng)然,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性、便利性、靈活性為代價(jià)的,對防火墻的設(shè)置也不例外。防火墻的隔斷作用一方面加強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全,一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙,因此必須在防火墻上附加各種信息服務(wù)的代理軟件來

14、代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流,這樣不僅增大了網(wǎng)絡(luò)管理開銷,而且減慢了信息傳遞速率。針對這個(gè)問題,近期,美國網(wǎng)屏(NetScreen)技術(shù)公司推出了第三代防火墻,其內(nèi)置的專用ASIC處理器用于提供硬件的防火墻訪問策略和數(shù)據(jù)加密算法的處理,使防火墻的性能大大提高。 需要說明的是,并不是所有網(wǎng)絡(luò)用戶都需要安裝防火墻,一般而言,只有對個(gè)體網(wǎng)絡(luò)安全有特別要求,而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、公司網(wǎng),才建議使用防火墻。另外,防火墻只能阻截來自外部網(wǎng)絡(luò)的侵?jǐn)_,而對于內(nèi)部網(wǎng)絡(luò)的安全還需要通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn)。 加密技術(shù) 網(wǎng)絡(luò)安全的另一個(gè)非常重要的手段就是加

15、密技術(shù),它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠,那么所有重要信息就全部通過加密處理。加密的技術(shù)主要分兩種: 單匙技術(shù) 這種技術(shù)無論加密還是解密都是用同一把鑰匙(secret key)。這是比較傳統(tǒng)的一種加密方法。發(fā)信人用某把鑰匙將某重要信息加密,通過網(wǎng)絡(luò)傳給收信人,收信人再用同一把鑰匙將加密后的信息解密。這種方法快捷簡便,即使傳輸信息的網(wǎng)絡(luò)不安全,被別人截走信息,加密后的信息也不易泄露。 但這種方法也存在一個(gè)問題,即如果收信者和發(fā)信者不在同一地理位置,那么他們必須確保有一個(gè)安全渠道來傳送加密鑰匙。但是如果確實(shí)存在這樣一個(gè)安全渠道(如通過信差、長途電話等等),他們

16、又何必需要加密呢?后來出現(xiàn)的雙匙技術(shù)解決了這個(gè)難題。 雙匙技術(shù) 此技術(shù)使用兩個(gè)相關(guān)互補(bǔ)的鑰匙:一個(gè)稱為公用鑰匙(public key),另一個(gè)稱為私人鑰匙(secret key)。公用鑰匙是大家被告知的,而私人鑰匙則只有每個(gè)人自己知道。發(fā)信者需用收信人的公用鑰匙將重要信息加密,然后通過網(wǎng)絡(luò)傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者,沒有人-即使是發(fā)信者-能夠?qū)⑵浣饷?。公用鑰匙是公開的,可以通過網(wǎng)絡(luò)告知發(fā)信人(即使網(wǎng)絡(luò)不安全)。而只知道公用鑰匙是無法導(dǎo)出私人鑰匙的?,F(xiàn)有軟件如Internet免費(fèi)提供的PGP(Pretty Good Privacy)可直

17、接實(shí)現(xiàn)這些功能。 加密技術(shù)主要有兩個(gè)用途,一是加密信息,正如上面介紹的;另一個(gè)是信息數(shù)字署名,即發(fā)信者用自己的私人鑰匙將信息加密,這就相當(dāng)于在這條消息上署上了名。任何人只有用發(fā)信者的公用鑰匙,才能解開這條消息。這一方面可以證明這條信息確實(shí)是此發(fā)信者發(fā)出的,而且事后未經(jīng)過他人的改動(因?yàn)橹挥邪l(fā)信者才知道自己的私人鑰匙);另一方面也確保發(fā)信者對自己發(fā)出的消息負(fù)責(zé),消息一旦發(fā)出并署了名,他就無法再否認(rèn)這一事實(shí)。 如果既需要保密又希望署名,則可以將上面介紹的兩個(gè)步驟合并起來。即發(fā)信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密,再發(fā)給對方。反過來收信者只需用自己的私人鑰匙解密,再

18、用發(fā)信者的公用鑰匙驗(yàn)證簽名。這個(gè)過程說起來有些繁瑣,實(shí)際上很多軟件都可以只用一條命令實(shí)現(xiàn)這些功能,非常簡便易行。 在網(wǎng)絡(luò)傳輸中,加密技術(shù)是一種效率高而又靈活的安全手段,值得在企業(yè)網(wǎng)絡(luò)中加以推廣。目前,加密算法有多種,大多源于美國,但是大多受到美國出口管制法的限制?,F(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES。近幾年來我國對加密算法的研究主要集中在密碼強(qiáng)度分析和實(shí)用化研究上。 除了上面介紹的幾種之外,還有一些被廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù),在此做一個(gè)簡單介紹。 身份驗(yàn)證 身份驗(yàn)證是一致性驗(yàn)證的一種, 驗(yàn)證是建立一致性證明的一種手段。身份驗(yàn)證主要包括驗(yàn)

19、證依據(jù)、驗(yàn)證系統(tǒng)和安全要求。身份驗(yàn)證技術(shù)是在計(jì)算機(jī)中最早應(yīng)用的安全技術(shù),現(xiàn)在也仍在廣泛應(yīng)用,它是互聯(lián)網(wǎng)上信息安全的第一道屏障。 存取控制 存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面, 主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析。存取控制也是最早采用的安全技術(shù)之一,它一般與身份驗(yàn)證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限,以實(shí)現(xiàn)不同安全級別的信息分級管理。 數(shù)據(jù)完整性 完整性證明是在數(shù)據(jù)傳輸過程中,驗(yàn)證收到的數(shù)據(jù)和原來數(shù)據(jù)之間保持完全一致的證明手段。檢查是最早采用數(shù)據(jù)完整性驗(yàn)證的方法,它雖不能保證

20、數(shù)據(jù)的完整性,只起到基本的驗(yàn)證作用,但由于它的實(shí)現(xiàn)非常簡單(一般都由硬件實(shí)現(xiàn)),現(xiàn)在仍廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的傳輸和保護(hù)中。近幾年來研究比較多的是數(shù)字簽名等算法,它們雖可以保證數(shù)據(jù)的完整性,但由于實(shí)現(xiàn)起來比較復(fù)雜,系統(tǒng)開銷比較大,一般只用于完整性要求較高的領(lǐng)域,特別是商業(yè)、金融業(yè)等領(lǐng)域。 安全協(xié)議 安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標(biāo)準(zhǔn)化道路的基本因素。一個(gè)較為完善的內(nèi)部網(wǎng)和安全保密系統(tǒng),至少要實(shí)現(xiàn)加密機(jī)制、驗(yàn)證機(jī)制和保護(hù)機(jī)制。 需要強(qiáng)調(diào)的是,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程,不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因?yàn)榫W(wǎng)絡(luò)安全包含多個(gè)層面,既有層次上的劃分、結(jié)構(gòu)上

21、的劃分,也有防范目標(biāo)上的差別。在層次上涉及到網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等;在結(jié)構(gòu)上,不同節(jié)點(diǎn)考慮的安全是不同的;在目標(biāo)上,有些系統(tǒng)專注于防范破壞性的攻擊,有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞,有些系統(tǒng)用來增強(qiáng)基本的安全環(huán)節(jié)(如審計(jì)),有些系統(tǒng)解決信息的加密、認(rèn)證問題,有些系統(tǒng)考慮的是防病毒的問題。任何一個(gè)產(chǎn)品不可能解決全部層面的問題,這與系統(tǒng)的復(fù)雜程度、運(yùn)行的位置和層次都有很大關(guān)系,因而一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng),既有技術(shù)的因素,也包含人的因素。用戶需要根據(jù)自己的實(shí)際情況選擇適合自己需求的技術(shù)和產(chǎn)品。 按照前面提到的計(jì)算機(jī)網(wǎng)絡(luò)

22、的安全性內(nèi)容,整個(gè)網(wǎng)絡(luò)安全產(chǎn)品可劃分為系統(tǒng)安全產(chǎn)品和數(shù)據(jù)安全產(chǎn)品。其中系統(tǒng)安全產(chǎn)品可分為防病毒類產(chǎn)品(殺毒軟件)、防火墻類產(chǎn)品和其他防攻擊類產(chǎn)品等;而數(shù)據(jù)安全產(chǎn)品可分為密碼6.了解信息安全的主要表現(xiàn)形式(蠕蟲或病毒擴(kuò)散,垃圾郵件泛濫,黑客行為,信息系統(tǒng)脆弱性,有害信息的惡意傳播)電腦病毒電腦病毒的種類 電腦病毒一般分類如下: 開機(jī)磁區(qū)病毒 檔案型病毒 巨集病毒 其他新種類的病毒 資料由香港特別行政區(qū)政府資訊科技署提供 開機(jī)磁區(qū)病毒在九十年代中期以前,開機(jī)磁區(qū)病毒是最常見的病毒種類。這種病毒藏於已受感染的硬磁碟機(jī)的主開機(jī)磁區(qū),或磁碟操作系統(tǒng)開機(jī)磁區(qū)內(nèi)。當(dāng)軟磁碟插入已受感染的個(gè)人電腦時(shí),病毒便會把

23、軟磁碟開機(jī)磁區(qū)感染,藉此把病毒擴(kuò)散。 使用受感染的軟磁碟進(jìn)行啟動程序時(shí),電腦便會受到感染。在啟動電腦的過程中,基本輸入輸出系統(tǒng)會執(zhí)行駐於軟磁碟開機(jī)磁區(qū)的病毒編碼,因此系統(tǒng)便改為受病毒控制。病毒控制了電腦系統(tǒng)后,便會把病毒編碼寫入硬磁碟的主開機(jī)磁區(qū)。之后,便會恢復(fù)正常的啟動程序。從用戶的角度來看,一切情況似乎與正常無異。 日后啟動電腦時(shí),駐於受感染的主開機(jī)磁區(qū)的病毒便會啟動執(zhí)行。因此,病毒會進(jìn)入記憶體,并可隨時(shí)感染其他經(jīng)使用的軟磁碟。 主開機(jī)磁區(qū)是硬磁碟的第一個(gè)磁區(qū),這個(gè)磁區(qū)載有執(zhí)行操作系統(tǒng)的分割控制表及編碼。主開機(jī)磁區(qū)后的16個(gè)或以上的磁區(qū)通常是空置不用的。 硬磁碟機(jī)最多可分割為4個(gè)儲存分區(qū),

24、而磁碟操作系統(tǒng)的擴(kuò)展分區(qū)可細(xì)分為多個(gè)邏輯驅(qū)動器。 每個(gè)分區(qū)的第一個(gè)磁區(qū)便是開機(jī)磁區(qū),這個(gè)磁區(qū)包含載入分區(qū)的操作系統(tǒng)的資料及編碼。 軟磁碟沒有主開機(jī)磁區(qū)。以標(biāo)準(zhǔn)磁碟操作系統(tǒng)格式進(jìn)行格式化后的軟磁碟,在結(jié)構(gòu)上與硬磁碟的磁碟操作系統(tǒng)分區(qū)相同。檔案型病毒 檔案型病毒是一種依附在檔案內(nèi),經(jīng)由程式檔而非資料檔擴(kuò)散的病毒。電腦在執(zhí)行受感染的程式時(shí),便會受到感染。這些受感染的程式可能經(jīng)由軟磁碟、唯讀光碟、網(wǎng)絡(luò)及互聯(lián)網(wǎng)等途徑傳播。在執(zhí)行受感染的程式后,隨附的病毒便會立即感染其他程式,或可能成為一個(gè)常駐程式,以便在日后感染其他程式。在完成這些步驟后,病毒便會恢復(fù)執(zhí)行原本的正常程式。因此,用戶在執(zhí)行受感染的程式時(shí),

25、不易發(fā)覺有任何異常的情況。檔案型病毒一般會感染有特定副檔名的檔案。副檔名為COM、EXE及SYS的檔案,均是常見的病毒感染對象。巨集病毒 一九九五年七月,一種新的電腦病毒被人發(fā)現(xiàn),立即使電腦界大感震驚。這種新的病毒稱為巨集病毒,它與一直以來出現(xiàn)的病毒不同,可感染資料檔而非執(zhí)行檔。其實(shí),這并非一種新的概念,因?yàn)橛嘘P(guān)以巨集語言編寫病毒的可行性的研究,始於八十年代后期。在Word程式出現(xiàn)的巨集病毒可以在多個(gè)不同的操作平臺活動,而且,只要電腦的Word程式是支援Word 檔案格式的話,便有機(jī)會受到感染。換言之,無論使用的是OS/2或Windows版本的Word程式,或是個(gè)人電腦或麥金塔(Macinto

26、sh)電腦,也可能受到巨集病毒的感染。 其他新種類的病毒 病毒和抗御病毒技術(shù)不斷轉(zhuǎn)變,日新月異。隨著電腦用戶使用新的操作平臺電腦技術(shù),編寫病毒的人也會隨之而發(fā)展新病毒,再作擴(kuò)散。下文列出部分可能出現(xiàn)新病毒種類的新操作平臺電腦技術(shù): Java ActiveX Visual Basic (VB) Script HTML Lotus Notes Java Java 病毒一直是一個(gè)富爭議的話題:究竟可否編寫Java 病毒?Java 病毒可否在電腦之間或經(jīng)由互聯(lián)網(wǎng)擴(kuò)散?以上問題,均曾在不同的新聞組進(jìn)行討論。由於Java微應(yīng)用程式的設(shè)計(jì)是在受控的環(huán)境 (稱為sandbox) 內(nèi)執(zhí)行,接觸不到電腦的檔案或網(wǎng)

27、絡(luò)的接駁,因此,Java病毒在電腦之間擴(kuò)散的可能性極低。 但由於 Java 亦像其他標(biāo)準(zhǔn)的程式一樣,可讓開發(fā)人員建立可控制整個(gè)系統(tǒng)的應(yīng)用程式,故Java 病毒有其產(chǎn)生及存在的空間。 第一種被發(fā)現(xiàn)以Java電腦程式開發(fā)語言為本的病毒稱為 Java.StrangeBrew。 首次發(fā)現(xiàn)日期是一九九八年九月,會感染屬Java類別的檔案。但這種病毒只會影響?yīng)毩⒌腏ava應(yīng)用程式檔案,以微應(yīng)用程式執(zhí)行的檔案則不受感染。雖然Java應(yīng)用程式并不常見, Java.StrangeBrew病毒的擴(kuò)散也只屬於初步階段,但這種病毒的影響實(shí)在不容忽視。隨著Java 應(yīng)用程式日趨普及,預(yù)料Java 病毒的種類也會逐漸增加

28、。 ActiveX 跟Java的情況一樣,ActiveX 被視為將會受病毒入侵的操作平臺。若就設(shè)計(jì)方面將兩者比較,在 ActiveX 擴(kuò)散病毒的機(jī)會較Java為大?;旧?,ActiveX 是 Object Linking and Embedding (OLE) 的精簡版本,會直接接觸電腦的 Windows 系統(tǒng),因此可連接到任何的系統(tǒng)功能。此外,ActiveX 的用戶并非只局限於MS Internet Explorer的用戶;現(xiàn)在,Netscape Navigator的附加程式(plug-in)也可使用這種技術(shù)。相比之下,Java是在受控的環(huán)境下執(zhí)行,或經(jīng)由一個(gè)名為Java Virtual M

29、achine的程式才可執(zhí)行,因此可使Java與操作系統(tǒng)的各項(xiàng)服務(wù)隔開。 Visual Basic (VB) Script 過去, 編寫病毒的人若要成功編寫一種可感染其他電腦的病毒,必須對電腦的基本操作具備相當(dāng)程度的知識。但隨著 Microsoft Office 內(nèi)巨集的出現(xiàn),編寫病毒的工具已準(zhǔn)備就緒,而編寫的人毋須具備很多資訊科技知識也能勝任。同樣,VB Script 病毒所發(fā)揮作用的操作環(huán)境很快便會普及,擴(kuò)散也甚為容易。 VB Script 病毒已對電腦用戶構(gòu)成真正威脅。微軟公司的原意是包括一種功能強(qiáng)大而易於使用的語言以便輕易取用 Windows 98NT 系統(tǒng)內(nèi)的資源。VB Script

30、是以人類可閱讀的方式編寫,所以易於明白。正是這個(gè)原因,很多并沒有具備高深資訊科技知識的編寫病毒的人也可侵入這個(gè)領(lǐng)域。 以 VB Script 編寫的程式的第一代病毒藏在以 HTML 編寫的網(wǎng)頁內(nèi),經(jīng)由互聯(lián)網(wǎng)擴(kuò)散開去?,F(xiàn)時(shí)散播力強(qiáng)的 VB Script 編寫的病毒通常以寄發(fā)電子郵件的方式擴(kuò)散,按用戶地址冊所列的電郵地址把病毒程式一同寄出。用戶執(zhí)行附件中的程式時(shí),便會幫助病毒擴(kuò)散。 超文本標(biāo)示語言(英文簡稱HTML) 藉由 HTML 擴(kuò)散的病毒是另一個(gè)在互聯(lián)網(wǎng)上引起廣泛討論的話題。有人甚至聲稱宣告已發(fā)明發(fā)現(xiàn)首只屬 HTML 種類的病毒。HTML 是一種控制網(wǎng)頁設(shè)計(jì)的編寫語言。本來,純 HTML 是

31、不會受到感染, 因此,只支援 HTML 的瀏覽器也不會有受病毒感染的危險(xiǎn)。所謂HTML 病毒出現(xiàn)的機(jī)會實(shí)在微乎其微。因此,真正的威脅并非來自瀏覽互聯(lián)網(wǎng)的網(wǎng)頁,而是來自從互聯(lián)網(wǎng)下載已感染病毒編碼的程式并加以執(zhí)行。 但現(xiàn)時(shí)的瀏覽器大部分都支援其他編寫網(wǎng)頁的語言,而所謂的HTML 病毒通常會利用這些編寫文本的語言進(jìn)行擴(kuò)散。在文本內(nèi)的病毒通常會藉著網(wǎng)頁感染電腦,VBS.Offline 便是一個(gè)典型的例子。目前,最普遍的文本病毒便是剛討論過的 VB Script 病毒。 otus Notes Lotus Notes 用戶眾多,會是編寫病毒的人針對的軟件。雖然目前尚未發(fā)現(xiàn)本機(jī)的 Lotus Notes 病

32、毒,但在 Lotus Notes 數(shù)據(jù)庫內(nèi)的 rich-text 字段卻提供了可供傳統(tǒng)病毒(例如:檔案型病毒及巨集病毒)駐存的地方。因?yàn)橛嘘P(guān)記錄曾進(jìn)行壓縮,所以一般抗御病毒軟件不能偵測在 Notes 數(shù)據(jù)庫內(nèi)的病毒。為防范電腦病毒入侵 Notes 的操作環(huán)境,我們建議用戶安裝專為 Notes 軟件而編制的抗御病毒軟黑客行為現(xiàn)在攻擊個(gè)人電腦的木馬軟件很多,功能比以前多了,使用也比以前方便多了,所以危害也比以前大了,很多人中了木馬自己還不知道,要想使自己的電腦安全,就好扎好自己的籬笆,看好自己的門,電腦也有自己的門,我們叫它端口.端口你在網(wǎng)絡(luò)上沖浪,別人和你聊天,你發(fā)電子郵件,必須要有共同的協(xié)議,

33、這個(gè)協(xié)議就是TCPIP協(xié)議,任何網(wǎng)絡(luò)軟件的通訊都基于TCPIP協(xié)議。如果把互聯(lián)網(wǎng)比作公路網(wǎng),電腦就是路邊的房屋,房屋要有門你才可以進(jìn)出,TCPIP協(xié)議規(guī)定,電腦可以有256乘以256扇門,即從0到65535號“門”,TCPIP協(xié)議把它叫作“端口”。當(dāng)你發(fā)電子郵件的時(shí)候,E-mail軟件把信件送到了郵件服務(wù)器的25號端口,當(dāng)你收信的時(shí)候,E-mail軟件是從郵件服務(wù)器的110號端口這扇門進(jìn)去取信的,你現(xiàn)在看到的我寫的東西,是進(jìn)入服務(wù)器的80端口。新安裝好的個(gè)人電腦打開的端口號是139端口,你上網(wǎng)的時(shí)候,就是通過這個(gè)端口與外界聯(lián)系的。黑客不是神仙,他也是通過端口進(jìn)入你的電腦通過端口進(jìn)入你的電黑客是

34、怎么樣進(jìn)入你的電腦的呢?當(dāng)然也是基于TCPIP協(xié)議通過某個(gè)端口進(jìn)入你的個(gè)人電腦的。如果你的電腦設(shè)置了共享目錄,那么黑客就可以通過139端口進(jìn)入你的電腦,注意!WINDOWS有個(gè)缺陷,就算你的共享目錄設(shè)置了多少長的密碼,幾秒鐘時(shí)間就可以進(jìn)入你的電腦,所以,你最好不要設(shè)置共享目錄,不允許別人瀏覽你的電腦上的資料。除了139端口以外,如果沒有別的端口是開放的,黑客就不能入侵你的個(gè)人電腦。那么黑客是怎么樣才會進(jìn)到你的電腦中來的呢?答案是通過特洛伊木馬進(jìn)入你的電腦。如果你不小心運(yùn)行了特洛伊木馬,你的電腦的某個(gè)端口就會開放,黑客就通過這個(gè)端口進(jìn)入你的電腦。舉個(gè)例子,有一種典型的木馬軟件,叫做netspy.

35、exe。如果你不小心運(yùn)行了netspy.exe,那么它就會告訴WINDOWS,以后每次開電腦的時(shí)候都要運(yùn)行它,然后,netspy.exe又在你的電腦上開了一扇“門”,“門”的編號是7306端口,如果黑客知道你的7306端口是開放的話,就可以用軟件偷偷進(jìn)入到你的電腦中來了。特洛伊木馬本身就是為了入侵個(gè)人電腦而做的,藏在電腦中和工作的時(shí)候是很隱蔽的,它的運(yùn)行和黑客的入侵,不會在電腦的屏幕上顯示出任何痕跡。WINDOWS本身沒有監(jiān)視網(wǎng)絡(luò)的軟件,所以不借助軟件,是不知道特洛伊木馬的存在和黑客的入侵。接下來,就來說利用軟件如何發(fā)現(xiàn)自己電腦中的木馬.如何發(fā)現(xiàn)自己電腦中的木馬再以netspy.exe為例,現(xiàn)

36、在知道netspy.exe打開了電腦的7306端口,要想知道自己的電腦是不是中netspy.exe,只要敲敲7306這扇“門”就可以了。你先打開CWINDOWSWINIPCFG.EXE程序,找到自己的IP地址(比如你的IP地址是0),然后打開瀏覽器,在瀏覽器的地址欄中輸入 http07306,如果瀏.?查找木馬.進(jìn)一步查找木馬讓我們做一個(gè)試驗(yàn):netspy.exe開放的是7306端口,用工具把它的端口修改了,經(jīng)過修改的木馬開放的是7777端口了,現(xiàn)在再用老辦法是找不到netspy.exe木馬了。我們可以用掃描自己的電腦的辦法看看電腦有多少端口開放著,并且

37、再分析這些開放的端口。 前面講了電腦的端口是從0到65535為止,其中139端口是正常的,首先找個(gè)端口掃描器,推薦“代理獵手”,你上網(wǎng)以后,找到自己的IP地址,現(xiàn)在請關(guān)閉正在運(yùn)行的網(wǎng)絡(luò)軟件,因?yàn)榭赡荛_放的端口會被誤認(rèn)為是木馬的端口,然后讓代理獵手對0到65535端口掃描,如果除了139端口以外還有其他的端口開放,那么很可能是木馬造成的。 排除了139端口以外的端口,你可以進(jìn)一步分析了,用瀏覽器進(jìn)入這個(gè)端口看看,它會做出什么樣的反映,你可以根據(jù)情況再判斷了。 掃描這么多端口是不是很累,需要半個(gè)多小時(shí),Tcpview.exe可以看電腦有什么端口是開放的,除了139端口以外,還有別的端口開放,你就可

38、以分析了,如果判定自己的電腦中了木馬,那么,你就得在硬盤上刪除木馬.在硬盤上刪除木馬最簡單的辦法當(dāng)然是用殺毒軟件刪除木馬了,Netvrv病毒防護(hù)墻可以幫你刪除netspy.exe和bo.exe木馬,但是不能刪除netbus木馬。 下面就netbus木馬為例講講刪除的經(jīng)過。 簡單介紹一下netbus木馬,netbus木馬的客戶端有兩種,開放的都是12345端口,一種以Mring.exe為代表(472,576字節(jié)),一種以SysEdit.exe為代表(494,592字節(jié))。 Mring.exe一旦被運(yùn)行以后,Mring.exe就告訴WINDOWS,每次啟動就將它運(yùn)行,WINDOWS將它放在了注冊表

39、中,你可以打開CWINDOWSREGEDIT.EXE進(jìn)入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun找到Mring.exe然后刪除這個(gè)健值,你再到WINDOWS中找到Mring.exe刪除。注意了,Mring.exe可能會被黑客改變名字,字節(jié)長度也被改變了,但是在注冊表 中的位置不會改變,你可以到注冊表的這個(gè)位置去找。 另外,你可以找包含有“netbus”字符的可執(zhí)行文件,再看字節(jié)的長度,我查過了,WINDOWS和其他的一些應(yīng)用軟件沒有包含“netbus”字符的,被你找到的文件多半就是Mring.exe的變種。 SysE

40、dit.exe被運(yùn)行以后,并不加到WINDOWS的注冊表中,也不會自動掛到其他程序中,于是有人認(rèn)為這是無害的木馬,其實(shí)這是最可惡、最陰險(xiǎn)的木馬。別的木馬被加到了注冊表中,你就有痕跡可查了,就連專家們認(rèn)為最兇惡的BO木馬也可以輕而易舉地被我們從注冊表中刪除。 而SysEdit.exe要是掛在其他的軟件中,只要你不碰這個(gè)軟件,SysEdit.exe也就不發(fā)作,一旦運(yùn)行了被安裝SysEdit.exe的程序,SysEdit.exe也同時(shí)啟動了。我們再來作做這樣一個(gè)實(shí)驗(yàn),將SysEdit.exe和CWINDOWSSYSTEMAbcwin.exe捆綁起來,Abcwin.exe是智能ABC輸入法,當(dāng)我開啟電

41、腦到上網(wǎng),只要沒有打開智能ABC輸入法打字聊天,SysEdit.exe也就沒有被運(yùn)行,你就不能進(jìn)入我的12345端口,如果我什么時(shí)候想打字了,一旦啟動智能ABC輸入法(Abcwin.exe),那么捆綁在Abcwin.exe上的SysEdit.exe也同時(shí)被運(yùn)行了,我的12345端口被打開,別人就可以黑到我的電腦中來了。同樣道理,SysEdit.exe可以被捆綁到網(wǎng)絡(luò)傳呼機(jī)、信箱工具等網(wǎng)絡(luò)工具上,甚至可以捆綁到撥號工具上,電腦中的幾百的程序中,你知道會在什么地方發(fā)現(xiàn)它嗎?所以我說這是最最陰險(xiǎn)的木馬,讓人防不勝防。 有的時(shí)候知道自己中了netbus木馬,特別是SysEdit.exe,能發(fā)現(xiàn)1234

42、5端口被開放,并且可以用netbus客戶端軟件進(jìn)入自己的電腦,卻不知道木馬在什么地方。這時(shí)候,你可以檢視內(nèi)存,請打開CWINDOWSDRWATSON.EXE,然后對內(nèi)存拍照,查看“高級視圖”中的“任務(wù)”標(biāo)簽,“程序”欄中列出的就是正在運(yùn)行的程序,要是發(fā)現(xiàn)可疑的程序,再看“路徑”欄,找到這個(gè)程序,分析它,你就知道是不是木馬了。SysEdit.exe雖然可以隱藏在其他的程序后面,但是在CWINDOWSDRWATSON.EXE中還是暴露了。 好了,來回顧一下,要知道自己的電腦中有沒有木馬,只要看看有沒有可疑端口被開放,用代理獵手、Tcpview.exe都可以知道。要查找木馬,一是可以到注冊表的指定位

43、置去找,二是可以查找包含相應(yīng)的可執(zhí)行程序,比如,被開放的端口是7306,就找包含“netspy”的可執(zhí)行程序,三是檢視內(nèi)存,看有沒有可以的程序在內(nèi)存中。 你的電腦上的木馬,來源有兩種,一種是你自己不小心,運(yùn)行了包含有木馬的程序,另一種情況是,“網(wǎng)友”送給你“好玩”的程序。所以,你以后要小心了,要弄清楚了是什么程序再運(yùn)行,安裝容易排除難呀。nbsp; 排除了木馬以后,你就可以監(jiān)視端口,- 悄悄等待黑客的來臨.信息的脆弱性信息系統(tǒng)本身由于系統(tǒng)主體和客體的原因可能存在不同程度的脆弱性,就為各種動機(jī)的攻擊提供了入侵、騷擾或破壞信息系統(tǒng)的途徑和方法。所謂信息系統(tǒng)的脆弱性,是指信息系統(tǒng)的硬件資源、通信資源

44、、軟件及信息資源等,因可預(yù)見或不可預(yù)見甚至惡意的原因而可能導(dǎo)致系統(tǒng)受到破壞、更改、泄露和功能失效,從而使信息系統(tǒng)處于異常狀態(tài),甚至崩潰癱瘓等。具體分析如下: 1硬件組件信息系統(tǒng)硬件組件的安全隱患多來源于設(shè)計(jì),主要表現(xiàn)為物理安全方面的問題。各種計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備(如主機(jī)、CRT、電纜、hub、路由器、微波線路等),除難以抗拒的自然災(zāi)害外,溫度、濕度、塵埃、靜電、電磁場等也可以造成信息的泄露或失效。信息系統(tǒng)在工作時(shí),向外輻射電磁波,易造成敏感信息的泄露。由于這些問題是固有的,除在管理上強(qiáng)化人工彌補(bǔ)措施外,采用軟件程序的方法見效不大。因此在設(shè)計(jì)硬件或選購硬件時(shí),應(yīng)盡可能減少或消除這類安全隱患。 2軟件

45、組件軟件組件的安全隱患來源于設(shè)計(jì)和軟件工程中的問題。軟件設(shè)計(jì)中的疏忽可能留下安全漏洞;軟件設(shè)計(jì)中不必要的功能冗余及軟件過長、過大,不可避免地存在安全脆弱性;軟件設(shè)計(jì)不按信息系統(tǒng)安全等級要求進(jìn)行模塊化設(shè)計(jì),導(dǎo)致軟件的安全等級不能達(dá)到所聲稱的安全級別;軟件工程實(shí)現(xiàn)中造成的軟件系統(tǒng)內(nèi)部邏輯混亂,導(dǎo)致垃圾軟件,這種軟件從安全角度看是絕對不可用的。軟件組件可分為三類,即操作平臺軟件、應(yīng)用平臺軟件和應(yīng)用業(yè)務(wù)軟件。這三類軟件以層次結(jié)構(gòu)構(gòu)成軟件組件體系。操作平臺軟件處于基礎(chǔ)層,維系著系統(tǒng)組件運(yùn)行的平臺,因此操作平臺軟件的任何風(fēng)險(xiǎn)都可能直接危及或被轉(zhuǎn)移或延伸到應(yīng)用平臺軟件。所以,對信息系統(tǒng)安全所需的操作平臺軟件

46、的安全等級要求不得低于系統(tǒng)安全等級要求,特別是信息系統(tǒng)的安全服務(wù)組件的操作系統(tǒng)安全等級必須至少高于系統(tǒng)安全一個(gè)等級,強(qiáng)烈建議安全服務(wù)組件的操作系統(tǒng)不得直接采用商業(yè)級或普遍使用的操作系統(tǒng)。應(yīng)用平臺軟件處于中間層次,是在操作平臺支撐下運(yùn)行的支持和管理應(yīng)用業(yè)務(wù)的軟件。一方面,應(yīng)用平臺軟件可能受到來自操作平臺軟件風(fēng)險(xiǎn)的影響;另一方面,應(yīng)用平臺軟件的任何風(fēng)險(xiǎn)可直接危及或傳遞給應(yīng)用業(yè)務(wù)軟件。因此應(yīng)用平臺軟件的安全特性也至關(guān)重要。在提供自身安全保護(hù)的同時(shí),應(yīng)用平臺軟件還必須為應(yīng)用軟件提供必要的安全服務(wù)功能。應(yīng)用業(yè)務(wù)軟件處于頂層,直接與用戶或?qū)嶓w打交道。應(yīng)用業(yè)務(wù)軟件的任何風(fēng)險(xiǎn)都直接表現(xiàn)為信息系統(tǒng)的風(fēng)險(xiǎn),3網(wǎng)絡(luò)

47、和通信協(xié)議在當(dāng)今的網(wǎng)絡(luò)通信協(xié)議中,局域網(wǎng)和專用網(wǎng)絡(luò)的通信協(xié)議具有相對封閉性,因?yàn)樗荒苤苯优c異構(gòu)網(wǎng)絡(luò)連接和通信。這樣的“封閉”網(wǎng)絡(luò)本身基于兩個(gè)原因比開放式的 Internet的安全特性好,一是網(wǎng)絡(luò)體系的相對封閉性降低了從外部網(wǎng)絡(luò)或站點(diǎn)直接攻入系統(tǒng)的可能性,但信息的電磁泄露性和基于協(xié)議分析的搭線截獲問題仍然存在;二是專用網(wǎng)絡(luò)自身具有較為完善、成熟的身份鑒別,訪問控制和權(quán)限分割等安全機(jī)制。 安全問題最多的網(wǎng)絡(luò)和通信協(xié)議是基于 TCP/IP 協(xié)議棧的 Internet 及其通信協(xié)議。因?yàn)槿魏谓尤?Internet 的計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議以及利用公共通信基礎(chǔ)設(shè)施構(gòu)建的內(nèi)聯(lián)網(wǎng)/外聯(lián)網(wǎng),在理論上和技術(shù)實(shí)踐上已無

48、真正的物理界限,同時(shí)在地緣上也沒有真正的國界。國與國之間、組織與組織之間,以及個(gè)人與個(gè)人之間的網(wǎng)絡(luò)界限是依靠協(xié)議、約定和管理關(guān)系進(jìn)行邏輯劃分的,因而是一種虛擬的網(wǎng)絡(luò)現(xiàn)實(shí);而且支持 Internet 運(yùn)行的 TCP/IP 協(xié)議棧原本只考慮互聯(lián)互通和資源共享的問題,并未考慮也無法兼容解決來自網(wǎng)際中的大量安全問題。Internet何以存在如此多的安全隱患,TCP/IP協(xié)議棧到底有哪些脆弱性和漏洞?要理解與 Internet有關(guān)的安全脆弱性和漏洞存在的原因和分布情況,需從網(wǎng)絡(luò)技術(shù)發(fā)展歷史和 TCP/IP 協(xié)議棧的研究初衷、使用背景及發(fā)展驅(qū)動力等方面分析。 (1)缺乏對用戶身份的鑒別 TCP/IP 協(xié)議

49、的機(jī)制性安全隱患之一是缺乏對通信雙方真實(shí)身份的鑒別機(jī)制。由于TCP/IP 協(xié)議使用 IP 地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識,而 IP 地址的使用和管理又存在很多問題,因而可導(dǎo)致下列兩種主要安全隱患: IP 地址是由 Internetl 信息中心(InterNIC)分發(fā)的,其數(shù)據(jù)包的源地址很容易被發(fā)現(xiàn),且 IP 地址隱含了所使用的子網(wǎng)掩碼,攻擊者據(jù)此可以畫出目標(biāo)網(wǎng)絡(luò)的輪廓。因此使用標(biāo)準(zhǔn)IP 地址的網(wǎng)絡(luò)拓?fù)鋵?Internet 來說是暴露的。 IP 地址很容易被偽造和被更改,且 TCP/IP 協(xié)議沒有對 IPl 包中源地址真實(shí)性的鑒別機(jī)制和保密機(jī)制。因此Internet 上任何主機(jī)都可以產(chǎn)生一個(gè)帶有任意

50、源 IP 地址的 IP 包,從而假冒另一個(gè)主機(jī)進(jìn)行地址欺騙。 (2)缺乏對路由協(xié)議的鑒別認(rèn)證 TCP/IP 在 IP 層上缺乏對路由協(xié)議的安全認(rèn)證機(jī)制,對路由信息缺乏鑒別與保護(hù)。因此可以通過 Internet 利用路由信息修改網(wǎng)絡(luò)傳輸路徑,誤導(dǎo)網(wǎng)絡(luò)分組傳輸。 (3)TCP/UDP 的缺陷 TCP/IP 協(xié)議規(guī)定了 TCO/UDP 是基于 IP 協(xié)議上的傳輸協(xié)議,TCP 分段和 UDP 數(shù)據(jù)包 是封裝在 IP 包中在網(wǎng)上傳輸?shù)?,除可能面臨 IP 層所遇到的安全威脅外,還存在下列TCP/UDP 實(shí)現(xiàn)中的安全隱患: 建立一個(gè)完整的 TCP 連接,需要經(jīng)歷“三次握手”過程。在客戶 /服務(wù)器模式的“三l

51、次握手”過程中,假如客戶的 IP 地址是假的,是不可達(dá)的,那么TCP 不能完成該次連接所需的“三次握手”,使 TCP連接處于“半開”狀態(tài)。攻擊者利用這一弱點(diǎn)可實(shí)施如 TCP SYN Flooding 攻擊的“拒絕服務(wù)”攻擊。 TCP 提供可靠連接是通過初始序列號和鑒別機(jī)制來實(shí)現(xiàn)的。每一個(gè)合法的 TCP 連l接都有一個(gè)客戶/服務(wù)器雙方共享的唯一序列號作為標(biāo)識和鑒別。初始序列號一般由隨機(jī)數(shù)發(fā)生器產(chǎn)生,但問題出在很多操作系統(tǒng)(如 UNIX)在實(shí)現(xiàn) TCP 連接初始序列號的方法中所產(chǎn)生的序列號并不是真正隨機(jī)的,而是一個(gè)具有一定規(guī)律、可猜測或計(jì)算的數(shù)字。對攻擊者來說,猜出了初始序列號并掌握了目標(biāo) IP

52、地址之后,就可以對目標(biāo)實(shí)施IP Spoofing 攻擊,而 IPSpoofing 攻擊很難檢測,因此此類攻擊危害極大。 UDP 是一個(gè)無連接控制協(xié)議,極易受 IP 源路由和拒絕服務(wù)型攻擊。l 在 TCP/IP 協(xié)議層結(jié)構(gòu)中,應(yīng)用層位于最頂部,因此下層的安全缺陷必然導(dǎo)致應(yīng)用l層的安全出現(xiàn)漏洞甚至崩潰;而各種應(yīng)用層服務(wù)協(xié)議(如 Finger,F(xiàn)TP,Telnet,E-mail,DNS,SNMP 等)本身也存在許多安全隱患,這些隱患涉及鑒別、訪問控制、完整性和機(jī)密性等多個(gè)方面,極易引起針對基于 TCP/IP 應(yīng)用網(wǎng)絡(luò)信息傳播方式(一)網(wǎng)絡(luò)媒體集散信息觀點(diǎn)影響社會輿無論是信息量,還是觀點(diǎn)數(shù)量,網(wǎng)絡(luò)媒體

53、都已超過傳統(tǒng)媒體,成為社會輿論的重要發(fā)源地。一些事件在網(wǎng)上披露后,引起網(wǎng)民強(qiáng)烈反應(yīng),推動事件得到處理,比如華南虎偽照被揭穿、許霆ATM取款案被改判、黑磚窯女干部復(fù)出決定被廢止、“躲貓貓”事件被查處等等。網(wǎng)上不僅有正面信息,也有流言、謠言、假新聞等負(fù)面信息,如果不善加管理和引導(dǎo),會對社會輿論產(chǎn)生負(fù)面影響。(二)網(wǎng)絡(luò)論壇發(fā)酵網(wǎng)民情感引致社會行網(wǎng)民在網(wǎng)絡(luò)論壇中的真實(shí)面目和身份被各種符號所代替,具有隱匿性,可以毫無顧忌地發(fā)表意見。各種觀念在網(wǎng)上集合、交匯、碰撞,夾雜著有害的、負(fù)面的雜音和噪音。網(wǎng)絡(luò)論壇成為“意見市場”,帖子成為“意見廣告”。在論壇討論中,興趣觀點(diǎn)比較相近的網(wǎng)民更容易聚集在一起,形成獨(dú)特

54、的政治場。這種政治場不斷放大網(wǎng)民意見,形成“集體狂歡”,出現(xiàn)輿論一邊倒的極化現(xiàn)象。網(wǎng)站論壇成為網(wǎng)絡(luò)輿論發(fā)酵器,累積情緒,直至引發(fā)社會行動,實(shí)現(xiàn)從虛擬政治到現(xiàn)實(shí)政治的轉(zhuǎn)換(三)網(wǎng)絡(luò)通訊隱秘傳遞信息編織社會網(wǎng)網(wǎng)絡(luò)通訊(包括電子郵件和即時(shí)通訊)是互聯(lián)網(wǎng)的重要功能,具有隱秘性、快捷性等特點(diǎn)。電子郵件使用簡便、投遞迅速、易于保存、全球暢通,可以傳播文字、聲音、圖像等多種資料,可以一對一、一對多傳遞,極大地改變信息傳播方式。電子郵件在給人們帶來諸多便利的同時(shí),也被境內(nèi)外敵對勢力加以利用。2008年“3.14”事件爆發(fā)之前,境外“藏獨(dú)”分子就通過電子郵件發(fā)送“西藏人民大起義運(yùn)動”倡議書和達(dá)賴“3.10”講話

55、等材料,反復(fù)進(jìn)行煽動(四)網(wǎng)絡(luò)檢索強(qiáng)力搜尋相關(guān)信息確定社會角百度、谷歌、搜狐等搜索引擎具有強(qiáng)大的信息檢索功能,可以在瞬間檢索上百億張網(wǎng)頁,搜尋相關(guān)信息,給人們的學(xué)習(xí)、研究、工作、生活帶來極大便利。2008年搜索引擎用戶已達(dá)2.03億人,比2007年增加5100萬人,增長33.6%。搜索引擎已成為網(wǎng)絡(luò)監(jiān)督的重要手段。南京某局長抽天價(jià)煙的圖片在網(wǎng)上曝光后,其身份很快就被網(wǎng)絡(luò)檢索查出,使其得到應(yīng)有處理(五)網(wǎng)絡(luò)博客傳播思想觀點(diǎn)影響社會思博客是近年來增幅最大的言論載體。個(gè)人上網(wǎng)寫博客正在形成一個(gè)新的文化奇觀。Web2.0的推廣,實(shí)現(xiàn)了“去中心化”的非線性傳播,打破了網(wǎng)絡(luò)出版的限制,消除了網(wǎng)民交流的中間

56、環(huán)節(jié),每個(gè)網(wǎng)民都可以成為傳播發(fā)起節(jié)點(diǎn),人人是記者、人人是作家、人人是編輯、人人辦刊物。不但各類網(wǎng)站紛紛開設(shè)博客頻道,而且出現(xiàn)了專門的博客網(wǎng)站。2008年中國博客作者已達(dá)1.62億人,其中1.05億人在半年內(nèi)更新過博客。通過博客傳播的觀點(diǎn)已經(jīng)并將繼續(xù)影響社會思潮(六)網(wǎng)絡(luò)站點(diǎn)成為群體社會活動組織平交友網(wǎng)站和網(wǎng)絡(luò)社區(qū)使網(wǎng)民出現(xiàn)分眾化趨勢,為相同興趣(比如郊游)的網(wǎng)民組織活動提供平臺,豐富網(wǎng)民生活。網(wǎng)絡(luò)站點(diǎn)也成為集體上訪等群體行動的組織平臺。2009年2月,廣西銀行系統(tǒng)買斷工資人員通過網(wǎng)絡(luò)組織大規(guī)模集體進(jìn)京上訪活動,不但發(fā)布行動的時(shí)間、路線、接頭暗號,制定備用方案,還聯(lián)系國外記者參與報(bào)道。網(wǎng)絡(luò)傳播信

57、息迅速、高效、廣泛,使得集體串聯(lián)活動十分便捷。7.了解信息安全的基本屬性(機(jī)密性,完整性,可用性,真實(shí)性,可控性)通俗地說,網(wǎng)絡(luò)信息安全與保密主要是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng),使其沒有危險(xiǎn)、不受威脅、不出事故。從技術(shù)角度來說,網(wǎng)絡(luò)信息安全與保密的目標(biāo)主要表現(xiàn)在系統(tǒng)的保密性、完整性、真實(shí)性、可靠性、可用性、不可抵賴性等方面。 可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。可靠性是系統(tǒng)安全的最基于要求之一,是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測度主要有三種:抗毀性、生存性和有效性。 可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí),允

58、許授權(quán)用戶或?qū)嶓w使用的特性,或者是網(wǎng)絡(luò)部分受損或需要降級使用時(shí),仍能為授權(quán)用戶提供有效服務(wù)的特性??捎眯允蔷W(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù),而用戶的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間要求??捎眯砸话阌孟到y(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量。 保密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體或過程,或供其利用的特性。即,防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w,信息只為授權(quán)用戶使用的特性。保密性是在可靠性和可用性基礎(chǔ)之上,保障網(wǎng)絡(luò)信息安全的重要手段。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性,它要求保持信息的原樣,即信息的正確生成和正確存儲和傳輸不可抵賴性也稱作不可否認(rèn)性,在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中,確信參與者的真實(shí)同一性。即,所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論