由於OSI參考模型與TCP/IP參考模型之間存在對應關系,因此可根據GB/T9387.2-1995的安全體系框架,將各種安全機制和安全服務映射到TCP/IP的協議集中,從而形成一個基於TCP/IP協議層次的網路安全體系結構。
⑵ 談談對網路安全的認識
分類: 電腦/網路 >> 互聯網
解析:
談對網路安全的認識
近幾年來,網路越來越深入人心,它是人們工作、學習、生活的便捷工具和豐富資源。但是,我們不得不注意到,網路雖然功能強大,也有其脆弱易受到攻擊的一面。據美國FBI統計,美國每年因網路安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鍾就發生一起Inter 計算機侵入事件。在我核鍵國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網路的優越性的同時,對網路安全問題也決不能忽視。作為學校,如何建立比較安全的校園網路體系,值得我們關注研究。
建立校園網路安全體系,主要依賴三個方面:一是威嚴的法律;二是先進的技術;三是嚴格的管理。
從技術角度看,目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由、網路防病毒等,這些技術對防止非法入侵系統起到了一定的防禦作用。代理及防火牆作為一種將內外網隔離的技術,普遍運用於校園網安全建設中。
網路現狀
我校是一所市一級中學,目前有兩所網路教室、200多台教學辦公電腦,校園網一期工程為全校教教學教研建立了計算機信息網路,實現了校園內計算機聯網,信息資源共享並通過中國公用Inter網(CHINANET)與Inter互連,校園網結構是:校園內建築物之間的連接選用多模光纖,以網管中心為中心,輻射向其他建築物,樓內水平線纜採用超五類非屏雙絞線纜。3Com 4900交換機作為核心交換機;二級交換機為3Com 3300。
安全隱患
當時,校園網路存在的安全隱患和漏洞有:
1、校園網通過CHINANET與Inter相連,在享受Inter方便快捷的同時,改橘巧也面臨著遭遇攻擊的風險。
2、校園網內部也存在很大的安全隱患,由於內部用戶對網路的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現在,黑客攻擊工具在網上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
3、目前使用的操作系統存在安全漏洞,對網路安全構伍賣成了威脅。我校的網路伺服器安裝的操作系統有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系統:本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞,這些都對原有網路安全構成威脅。
4、隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分都沒有採取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網路被攻擊、系統癱瘓等嚴重後果。
由此可見,構築具有必要的信息安全防護體系,建立一套有效的網路安全機制顯得尤其重要。
措施及解決方案
根據我校校園網的結構特點及面臨的安全隱患,我們決定採用下面一些安全方案和措施。
一、安全代理部署
在Inter與校園網內網之間部署一台安全代理(ISA),並具防火牆等功能,形成內外網之間的安全屏障。其中WWW、MAIL、FTP、DNS對外伺服器連接在安全代理,與內、外網間進行隔離。那麼,通過Inter進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,並能夠對發生在網路中的安全事件進行跟蹤和審計。在安全代理設置上可以按照以下原則配置來提高網路安全性:
1、據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、埠、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從「關閉一切,只開有用」的原則。
2、安全代理配置成過濾掉以內部網路地址進入Inter的IP包,這樣可以防範源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網路的IP包,防止內部網路發起的對外攻擊。
3、安全代理上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
4、定期查看安全代理訪問日誌,及時發現攻擊行為和不良上網記錄,並保留日誌90天。
5、允許通過配置網卡對安全代理設置,提高安全代理管理安全性。
二、入侵檢測系統部署
入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,並採取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網路管理和網路監視功能於一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特徵庫,使用模式匹配和智能分析的方法,檢測網路上發生的入侵行為和異常現象,並在資料庫中記錄有關事件,作為網路管理員事後分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時採取應對措施。
三、漏洞掃描系統
採用目前最先進的漏洞掃描系統定期對工作站、伺服器、交換機等進行安全檢查,並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網路安全整體水平產生重要依據。
四、諾頓網路版殺毒產品部署
在該網路防病毒方案中,我們最終要達到一個目的就是:要在整個區域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網路內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網路的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
1、在學校網路中心配置一台高效的Windows2000伺服器安裝一個諾頓軟體網路版的系統中心,負責管理200多個主機網點的計算機。
2、在各行政、教學單位等200多台主機上分別安裝諾頓殺毒軟體網路版的客戶端。
3、安裝完諾頓殺毒軟體網路版後,在管理員控制台對網路中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。
4、網管中心負責整個校園網的升級工作。為了安全和管理的方便起見,由網路中心的系統中心定期地、自動地到諾頓網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然後自動將最新的升級文件分發到其它200多個主機網點的客戶端與伺服器端,並自動對諾頓殺毒軟體網路版進行更新,使全校的防毒病毒庫始終處於最新的狀態。
五、劃分內部虛擬專網(VLAN),針對內部有效VLAN設置合法地址池,針對不同VLAN開放相應埠,阻止廣播風暴發生。
六、實時升級Windows2000 Server、IE等各軟體補丁,減少漏洞;實行個人辦公電腦實名制。
七、安全管理
常言說:「三分技術,七分管理」,安全管理是保證網路安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套校園網路安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防範制度、上網規定等,同時要注意物理安全,防止設備器材的暴力損壞,防火、防雷、防潮、防塵、防盜等,並採取切實有效的措施保證制度的執行。
近幾年,通過對以上措施的逐步實施,我校校園網路能鴝安全正常運行,為學校教育教學工作的順利開展提供了有力輔助,並漸入佳境。
⑶ 改公網ip後網路安全嗎
不安全。
這是不一定的,需要根據用戶申請的方式或者根據運營商對客戶提供的上網方式。如果用戶使用的是普通撥號方式,而運營商沒有進行內網地址轉換,則用戶可以每撥號成功一次。
就會獲得一個公網IP地址,等下次撥號就會重新隨機分配,這是隨機分配的。如果用戶申請固定IP,則這個公網地址是固定不變的。
如果你獲取公網IP為撥號方式獲取的是動態公網IP,只需要斷開網路撥號,重新撥號一次,就可以。如果是專線靜態IP,如要改IP需聯系網路服務提供商。或者通過代理方式。
公網含義
它是把全球不同位置、不用規模的計算機網路(包括區域網、城域網、廣域網)相互連接在一起所形成的計算機網路的集合體。公網包括政府法規、新聞、招商、活動、采購等,作為國家重點新聞網站,公網一直在堅持大力宣傳黨的主張,積極引導社會輿論,熱情服務廣大網民,不斷地發揮自身的獨特作用。
公網、內網是兩種Internet的接入方式。公網接入方式:上網的計算機得到的IP地址是Internet上的非保留地址,公網的計算機和Internet上的其他計算機可隨意互相訪問。
⑷ 什麼是網路安全
網路安全主要包含四個方面。
(1)系統安全
系統安全是指在系統生命周期內應用系統安全工程和系統安全管理方法,辨識系統中的隱患,並採取有效的控制措施使其危險性最小,從而使系統在規定的性能、時間和成本范圍內達到最佳的安全程度。系統安全是人們為解決復雜系統的安全性問題而開發、研究出來的安全理論、方法體系,是系統工程與安全工程結合的完美體現。系統安全的基本原則就是在一個新系統的構思階段就必須考慮其安全性的問題,制定並執行安全工作規劃(系統安全活動),屬於事前分析和預先的防護,與傳統的事後分析並積累事故經驗的思路截然不同。系統安全活動貫穿於生命整個系統生命周期,直到系統報廢為止。
(2)網路信息安全
主要是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
(3)信息傳播安全
主要是保護信息傳播過程中的安全。現在互聯網被廣泛應用,微信、QQ、支付寶的使用,都是在傳播信息,保證傳播過程中的信息安全,可以很大程度上避免網民信息泄露。
(4)信息內容安全
信息內容安全包括五個方面,即寄生系統的機密性、真實性、完整性、未經授權的復制和安全性。和網路信息安全比較類似,防止信息唄竊取、更改、泄露等。
⑸ 網路安全的關鍵技術有哪些
一.虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此,網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。
由以上運行機制帶來的網路安全的好處是顯而易見的:信息態咐塵只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象。
基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
乙太網從本質上基於廣播機制,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
但是,採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。
網路層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善,因此,在網路層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆枝術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路帆禪進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客簡殲侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運用於整個內部網路系統,而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法,而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
2、 設置Firewall的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務,低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:
允許任何服務除非被明確禁止;
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求:
√ 計劃使用哪些Internet服務(如http,ftp,gopher),從何處使用Internet服務(本地網,撥號,遠程辦公室)。
√ 增加的需要,如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時,對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說,應該保持一定的靈活性,主要有以下原因:
√ Internet自身發展非常快,機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題,安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的,機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制,否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持.「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策,而非改變安全策略適應Firewall。
√ Firewall必須是靈活的,以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活,界面友好,並支持源IP和目的IP,協議類型,源和目的TCP/UDP口,以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務,以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP,http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理,減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問,支持對公共Information server的保護,並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統,必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。
5、選擇防火牆的要點
(1) 安全性:即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力:對典型攻擊的防禦能力
(3) 性能:是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為:
(1 ) 通過FTP,電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播,主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下:
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠:
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制,防火焰通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊,其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類:
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器,實時監視可疑的連接、系統日誌檢查,非法訪問的闖入等,並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息,其基本模型如右圖示:
上述模型由四個部分組成:
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵,結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點:
(1) 精確,可以精確地判斷入侵事件。
(2) 高級,可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點:
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式:
(1) 在需要監視的伺服器上安裝監視模塊(agent),分別向管理伺服器報告及上傳證據,提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上,放置監視模塊(sensor),分別向管理伺服器報告及上傳證據,提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是:
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度,防欺騙能力。
(5) 模式更新速度。
五.安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞,如password文件,目錄和文件許可權,共享文件系統,敏感服務,軟體,系統漏洞等,並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞,並可設定模擬攻擊,以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面:
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面,可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別,所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告,掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級,並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵,但是能夠測試和評價系統的安全性,並及時發現安全漏洞。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面:
(1) 路由器認證,路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於:
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式,用於操作系統登錄、telnet、rlogin等,但由於此種認證方式過程不加密,即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要演算法(MD5)進行認證,由於摘要演算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高,綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
⑹ IP網路安全技術的目錄
一、網路安全基礎篇
Q1.為什麼網路安全不是絕對的?
Q2.什麼是網路安全的「木桶原理」?
Q3.為什麼系統會存在網路安全漏洞?
Q4.使用他人計算機時需要注意哪些安全問題?
Q5.如何選擇一個易記難猜的口令?
Q6.使用代理伺服器上網安全嗎?
Q7.瀏覽網頁時需要注意哪些安全問題?
Q8.在瀏覽器中輸入的口令等信息是否會被別人看到?
Q9.發郵件時如何對敏感的郵件內容進行保護?
Q10.如何降低郵件附件中惡意代碼帶來的風險?
Q11.如何判斷一封電子郵件是否經過偽造?
Q12.如何對重要的Word文檔進行安全保護?
Q13.如何減少收到的垃圾郵件?
Q14.哪些計算機埠容易受到網路攻擊?
Q15.通過無線上網有哪些安全隱患?
Q16.如何提高無線上網的安全性?
Q17.WLAN支持哪些安全加密協議?支持哪些認證協議?
二、攻擊和防範篇
Q18.常見的網路攻擊方式有哪些?
Q19.什麼是緩沖區溢出攻擊?
Q20.如何防範對計算機的掃描探測攻擊?
Q21.Windows系統賬號是弱口令時會導致哪些嚴重後果?
Q22.如何防止計算機系統賬號、共享等敏感信息被遠程竊取?
Q23.如何避免個人計算機成為網路攻擊的跳板?
Q24.什麼是TCP-SYNflood攻擊,網路攻擊對系統有何影響?
Q25.什麼是ARP欺騙?
Q26.區域網環境內如何防止通信數據被監聽?
Q27.拒絕服務攻擊主要有哪幾種類型?
Q28.DDoS攻擊對網路或系統有何影響?
Q29.對於DDoS攻擊,一般可以利用路由器的哪些安全特徵進行控制?
Q30.網路蠕蟲會對網路或系統造成哪些影響?
Q31.異常流量監測方式主要有哪幾種,有何特點?
Q32.TCP攔截技術可以用來防範何種攻擊,它是如何工作的?
Q33.如果網路流量突然異常增大,應該如何處理?
Q34.通過哪些網路安全手段可以提高IP承載網的安全性?
Q35.網路安全建設主要包括哪幾方面的內容?
三、病毒、木馬及惡意代碼防範篇
Q36.什麼是計算機病毒?有什麼特徵?
Q37.病毒入侵計算機的常見途徑有哪些?
Q38.計算機感染病毒的症狀有哪些?
Q39.如何預防計算機病毒?
Q40.如何減少郵件病毒的危害?
Q41.為什麼病毒會反復出現?
Q42.蠕蟲病毒與一般病毒的區別在哪裡?
Q43.安裝防病毒軟體後,為何還會被病毒感染?
Q44.正常情況下,當病毒不能被成功清除時該如何處理?
Q45.病毒是怎麼利用U盤傳播的?
Q46.如何防範病毒通過U盤傳播?
Q47.什麼是木馬?有什麼危害?
Q48.我的計算機是否已被裝了木馬?如何檢測?
Q49.如何識別木馬的偽裝?
Q50.木馬防範工具有哪些?
Q51.為什麼電腦總是莫名其妙地彈出很多窗口、廣告?
Q52.什麼是流氓軟體?
Q53.如何清除計算機上的流氓軟體?
Q54.什麼是僵屍網路?
Q55.什麼是僵屍程序?
Q56.僵屍程序與蠕蟲、木馬有什麼聯系和區別?
Q57.企業網應如何防範病毒?
Q58.網吧該如何防病毒?
四、Linux/UNIX安全篇
Q59.忘記Linux的root用戶口令怎麼辦?
Q60.如果沒有對Linux引導裝載程序進行口令保護,有什麼風險?應如何保護?
Q61.Linux賬號長期保持登錄狀態可能會導致對賬號的非法使用,應如何讓Linux賬號登錄在超時後自動注銷?
Q62.普通用戶使用su命令可以切換到root用戶,為防止對root的濫用,希望限制可使用su命令的用戶,應如何實現?
Q63.怎樣禁止root用戶遠程登錄以防止對root身份的濫用?
Q64.為防止用戶大量擠占磁碟空間,應如何對用戶設置磁碟配額限制?
Q65.普通用戶登錄到Linux控制台後,將可以執行poweroff、halt、reboot等普通用戶通常無權執行的命令,應如何禁用這些命令以保護控制台?
Q66.如何設置最短口令長度以增強Linux用戶口令的強壯性?
Q67.如何調整Linux系統參數以增強其抵禦synflood攻擊的能力?
Q68.不必要的SUID許可權會給系統帶來什麼風險?
Q69.異常的網路開放埠可能意味著系統已經被入侵,因此應定期查看埠開放情況。對於Linux系統,應如何查看其正在監聽的網路埠?
Q70.怎樣阻止對Linux系統的ping掃描?
Q71.怎樣保護Linux系統的重要配置文件不被非法刪除?
Q72.如何配置Linux的防火牆保護?
Q73.為什麼使用Linux-PAM可方便替換Linux應用程序的驗證機制?
Q74.在UNIX系統中怎樣進行文件許可權控制?
Q75.如何保障UNIX系統的網路服務安全?
Q76.怎樣利用syslog記錄UNIX系統日誌?
Q77.如何解決Telnet、rsh、rlogin等常見的UNIX遠程管理方式存在的安全隱患?
Q78.$HOME/.rhosts和hosts.eQuiv信任機制存在什麼安全隱患?
Q79.如何發現UNIX文件系統被非法篡改的跡象?
Q80.如何通過安全配置降低UNIX系統遭受緩沖區溢出攻擊的風險?
Q81.典型的安全加固流程是怎樣的?
五、Windows安全篇
Q82.忘記Windows2000管理員密碼怎麼辦?
Q83.如何使用「密碼保護」功能來加強計算機的物理安全?
Q84.Windows系統為什麼要經常打補丁呢?
Q85.WindowsSP補丁和hotfix修補程序有何區別和聯系?
Q86.如何進行Windows系統安全補丁安裝?
Q87.為什麼最好不要啟用Windows系統的賬號鎖定功能?
Q88.如何提高系統用戶密碼的安全性?
Q89.如何控制用戶對某些磁碟或者文件夾的本地訪問?
Q90.如何對Windows主機進行簡單的網路訪問控制?
Q91.在Windows系統中如何發現黑客入侵的痕跡?
Q92.Windows2000系統的安全架構是怎麼樣的?
Q93.用戶的安全標識符(SID)能夠唯一標識每個用戶嗎?
Q94.Windows用戶的訪問令牌(Accesstokens)有何作用?
Q95.Windows系統自帶防火牆嗎,怎樣啟用?
Q96.為什麼要禁止Windows系統不必要的服務,如何關閉?
Q97.怎樣查看Windows主機開放了哪些埠?
Q98.預設情況下,Windows系統開放了哪些埠,有什麼風險?
Q99.如何關閉Windows系統中的一些高風險的埠?
Q100.網路共享文件有何風險?怎樣降低風險?
Q101.如何防止別人遠程掃描到我的Windows主機?
Q102.Windows系統的「本地安全設置」有何功能?
Q103.如何知道Windows系統已經建立了哪些網路連接?
Q104.WindowsXP系統的「安全中心」有什麼作用呢?
Q105.用戶如何選擇比較強壯的密碼,不設置有什麼風險?
Q106.在安裝某些軟體或更改配置後,WindowsXP系統工作不正常,能否恢復到以前的配置?
Q107.如何知道Windows系統已經共享了哪些文件夾?
Q108.怎樣提高Windows系統注冊表的安全性?
Q109.對Windows系統進行安全加固,主要包括哪些方面?
六、網路設備安全篇
Q110.哪些措施可以提高網路設備遠程訪問的安全性?
Q111.為保證網路的安全性,在配置路由器時應注意關閉哪些路由選項?
Q112.什麼是AAA協議,主要有哪幾種標准?
Q113.訪問網路設備時,對用戶進行AAA認證授權有何優點?
Q114.如何提高網路設備SNMP服務的安全性?
Q115.在用戶配置網路設備時,如何保證操作的安全性?
Q116.哪些路由協議提供了認證機制,分別支持哪種認證方式?
Q117.訪問控制列表在網路安全方面主要有哪些應用?
Q118.為什麼我的ADSLModem設備會遭到攻擊?
Q119.攻擊者是怎樣通過ADSLModem設備遠程獲得寬頻用戶上網口令的?
Q120.為什麼要修改ADSLModem設備的預設口令?如何修改預設口令?
Q121.ADSLModem設備有哪些默認的服務?如何保證這些服務的安全性?
Q122.黑客是如何入侵無線網路路由器的?如何防範?
Q123.保證用戶正常使用的情況下,如何讓無線路由器隱身?
Q124.如何限制只有特定的主機才能夠接入到無線網路中?
Q125.忘記交換機的密碼怎麼辦?
Q126.交換機生成樹協議存在什麼安全問題?
Q127.交換機CAM表攻擊是怎麼一回事,具有什麼危害?
Q128.如何防範交換機的CAM表溢出?
Q129.如何利用交換機來防範DHCP欺騙?
Q130.如何利用交換機防範ARP欺騙?
Q131.忘記路由器的密碼怎麼辦?
七、網上交易安全篇
Q132.把銀行賬號、網上交易口令等信息存儲在計算機里,安全嗎?
Q133.如何提高網上交易的安全性?
Q134.網上購物時,對方要求提供信用卡賬號時,該怎麼辦?
Q135.網上交易時經常會遇到軟鍵盤輸入方式,它有什麼作用?
Q136.網上銀行一般向用戶提供兩種數字證書,兩者有何不同?
Q137.手機動態密碼是如何保護網上銀行安全的?
Q138.什麼是網路釣魚?
Q139.網上交易過程中有哪些常見的釣魚方式?
Q140.為什麼有時在瀏覽器上輸入網站的正確地址也會進入釣魚網站?
Q141.網上銀行操作時應該注意什麼問題?
Q142.網上進行證券交易存在哪些風險?
Q143.如何減少網上證券交易的風險?
八、即時通信安全篇
Q144.用QQ、MSN是通過明文傳遞即時消息嗎?有何加密工具可對即時消息的傳遞加密?
Q145.為什麼有的網路游戲、QQ等賬號口令容易被盜,有什麼防範措施?
Q146.如何保護QQ/MSN聊天記錄?
Q147.如何檢查QQ/MSN是否被植入了木馬?
Q148.通過QQ/MSN接收文件時,應該具備哪些安全意識?
Q149.QQ如何自動拒收特定類型的文件以防範有害程序的入侵?
Q150.在網吧上QQ/MSN聊天有哪些安全注意事項?
Q151.QQ/MSN也需要定期更新升級嗎?
Q152.如何保護QQ共享空間的文件安全?
Q153.QQ的通訊錄上存放了朋友的個人資料,該如何保護這些信息的安全?
九、數據安全篇
Q154.數據有哪些安全屬性?
Q155.對稱加密和非對稱加密有什麼區別?
Q156.DES、3DES和AES,哪種對稱加密演算法更安全?
Q157.如何通過數據摘要驗證數據的完整性?
Q158.如何實現口令等信息的安全存儲?
Q159.想把機密信息通過網路途徑安全地傳遞給對方,有哪些方法?
Q160.VPN如何保障數據傳輸安全?
Q161.什麼是IPSecVPN?
Q162.IPSecVPN如何實現企業分支機構之間的安全互聯?
Q163.IPSecVPN如何實現出差人員以安全方式訪問企業內網?
Q164.IPSecVPN設備是否支持Radius認證方式,對用戶進行集中認證管理?
Q165.IPSec如何防範重放攻擊?
Q166.怎樣保護Web伺服器和用戶瀏覽器之間的信息傳輸安全?
Q167.Telnet採用明文傳輸口令,如何解決這個問題?
Q168.FTP口令是明文傳輸的,有什麼辦法實現口令的加密傳遞?
Q169.可以參考哪些標准或協議開發一個基於指定埠的加密應用?
Q170.能否通過加密的方式實現不同PC機之間文件的網路拷貝?
Q171.如何在區域網內實現基於二層身份認證的安全接入?
Q172.802.1x認證機制是如何工作的?
Q173.什麼是數字證書?
Q174.什麼是數字簽名?
Q175.如何對郵件進行簽名和加密保護?
Q176.如何規避數據存儲所面臨的安全風險?
Q177.怎樣合理制訂數據備份策略?
Q178.有哪些常見的資料庫防入侵保護措施?
Q179.如何實現資料庫加密?
十、安全產品篇
Q180.目前有哪些種類的防病毒產品,各自的功能是什麼?
Q181.如何合理部署防病毒產品?
Q182.選購防病毒產品應遵循哪些原則?
Q183.個人電腦在安裝了防病毒產品之後為什麼還需安裝個人防火牆?
Q184.什麼是防火牆?
Q185.防火牆有哪些組網模式?
Q186.配置防火牆時應該遵循什麼原則?
Q187.為什麼在部署防火牆產品之後需要定期檢查其安全策略?
Q188.防火牆也能被滲透嗎?
Q189.安全掃描工具有什麼作用,目前有哪些種類的安全掃描產品,其主要的功能定位是什麼?
Q190.使用安全掃描工具時需要注意什麼問題?
Q191.IDS與IPS有何異同?
Q192.如何看待IDS的漏報和誤報?
Q193.使用IDS時需要注意哪些問題?
Q194.異常流量檢測系統有何作用?
Q195.內容過濾系統有何作用?
Q196.有哪些產品可以提高儲存在計算機上的文檔或數據的安全性?
Q197.終端安全管理產品的主要功能是什麼?
Q198.為什麼部署終端安全管理產品可以防範蠕蟲病毒的傳播?
Q199.針對Windows系統有哪幾種補丁管理產品,其作用是什麼?
Q200.部署安全審計產品能起到什麼作用?在哪些安全需求下需要部署安全審計產品?
Q201.目前有哪些種類的安全審計產品?
Q202.資料庫安全審計產品一般能完成哪些審計功能?
Q203.統一身份認證系統的主要功能是什麼?
Q204.什麼是動態令牌,採用動態令牌有什麼好處?
Q205.什麼是USBKey,採用這類產品能夠防止哪些網路安全問題?
Q206.部署VPN等遠程接入類產品時如何防止非安全終端接入網路?
Q207.什麼是統一威脅管理(UTM)安全設備?
Q208.在哪些環境下適合部署UTM系統?
Q209.什麼是安全操作中心(SOC),其主要功能和作用是什麼?
縮略語
參考文獻