《網(wǎng)絡(luò)信息安全》

目錄

第一章 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).... 3

一、安全的定義... 3

二、 計(jì)算機(jī)網(wǎng)絡(luò)安全... 3

三、信息安全... 5

三、 網(wǎng)絡(luò)信息安全的基本要求... 6

四、網(wǎng)絡(luò)信息安全的現(xiàn)狀... 8

五、 網(wǎng)絡(luò)安全的意識(shí)與教育... 9

第二章 安全管理.... 11

一、 安全策略... 11

二、 安全機(jī)制... 13

三、 安全管理原則... 15

四、 機(jī)密信息的保護(hù)... 17

五、 風(fēng)險(xiǎn)分析... 19

六、 機(jī)構(gòu)和人員管理... 19

第三章 網(wǎng)絡(luò)安全的威脅.... 22

一、 攻擊的分類... 23

二、 攻擊的幾個(gè)階段... 23

（一）隱藏自己... 23

（二） 尋找目標(biāo)，收集信息... 24

（三） 獲得初始的訪問，獲得特權(quán)... 24

（四） 清除痕跡、留下后門... 24

（五） 攻擊其他系統(tǒng)... 26

（六） 安裝嗅偵器... 26

第四章 安全技術(shù)防御體系.... 26

一、 身份認(rèn)證技術(shù)... 27

二、 訪問控制技術(shù)... 32

三、系統(tǒng)漏洞掃描技術(shù)... 44

第一章 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)

一、安全的定義

安全的定義是：遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性，為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。在涉及到“安全”詞匯時(shí)，通常會(huì)與網(wǎng)絡(luò)、計(jì)算機(jī)、信息和數(shù)據(jù)相聯(lián)系，而且具有不同的側(cè)重和含義。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全

國際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露。”此概念偏重取的措施。于靜態(tài)信息保護(hù)。也有人將“計(jì)算機(jī)安全”定義為：“計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運(yùn)行?！痹摱x著重于動(dòng)態(tài)意義描述。

從靜態(tài)的觀點(diǎn)看，計(jì)算機(jī)安全主要是解決特定計(jì)算機(jī)設(shè)備的安全問題。如果今天輸入到計(jì)算機(jī)中的數(shù)據(jù)，任何一段時(shí)間之后仍保留在那里，完好如初并沒有被非法讀取，那么一般地稱這臺(tái)計(jì)算機(jī)具有一定的安全性。如果存放的程序軟件運(yùn)行的效果和用戶所期望的一樣，我們就可以判定這臺(tái)計(jì)算機(jī)是可信任的，或者說它是安全的。安全問題是一個(gè)動(dòng)態(tài)的過程，不能用僵硬和靜止的觀點(diǎn)去看待，不僅僅是計(jì)算機(jī)硬件存在形式的安全`，還在于計(jì)算機(jī)軟件特殊形式的安全特性。因?yàn)樽匀粸?zāi)難和有運(yùn)行故障的軟件同非法存取數(shù)據(jù)一樣對(duì)計(jì)算機(jī)的安全性構(gòu)成威脅。人為的有意或無意的操作、某種計(jì)算機(jī)病毒的發(fā)作、不可預(yù)知的系統(tǒng)故障和運(yùn)行錯(cuò)誤，都可能造成計(jì)算機(jī)中數(shù)據(jù)的丟失。

因此，計(jì)算機(jī)安全的內(nèi)容應(yīng)包括兩方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性：完整性指信息不會(huì)被非授權(quán)修改及信息保持一致性等；保密性是指在授權(quán)情況下高級(jí)別信息可以流向低級(jí)別的客體與主體；可用性指合法用戶的正常請(qǐng)求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。

網(wǎng)絡(luò)安全的根本目的就是防止通過計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)男畔⒈环欠ㄊ褂?。如果國家信息網(wǎng)絡(luò)上的數(shù)據(jù)遭到竊取、更改或破壞，那么它必將關(guān)系到國家的主權(quán)和聲譽(yù)、社會(huì)的繁榮和穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)等一系列重要問題。為避免機(jī)要信息的泄露對(duì)社會(huì)產(chǎn)生的危害和對(duì)國家造成的極大損失，任何網(wǎng)絡(luò)中國家機(jī)密信息的過濾、防堵與保護(hù)將是網(wǎng)絡(luò)運(yùn)行管理中極其重要的內(nèi)容。有時(shí)網(wǎng)絡(luò)信息安全的不利影響甚至超過信息共享所帶來的巨大效益。從企業(yè)和個(gè)人的用戶角度來看，涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)，其保密性、完整性和真實(shí)性也應(yīng)受到應(yīng)有的關(guān)注，避免其他人或商業(yè)對(duì)手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，造成用戶資料的非授權(quán)訪問和破壞。

網(wǎng)絡(luò)安全的具體含義涉及到社會(huì)生活的方方面面，從使用防火墻、防病毒、信息加密、身份確認(rèn)與授權(quán)等技術(shù)，到企業(yè)的規(guī)章制度、網(wǎng)絡(luò)安全教育和國家的法律政策，直至采用必要的實(shí)時(shí)監(jiān)控手段、應(yīng)用檢查安全漏洞的仿真系統(tǒng)和制定靈活有效的安全策略應(yīng)變措施，加強(qiáng)網(wǎng)絡(luò)安全的審計(jì)與管理。

網(wǎng)絡(luò)安全較全面地對(duì)計(jì)算機(jī)和計(jì)算機(jī)之間相連接的傳輸線路這個(gè)全過程進(jìn)行管理，特別是對(duì)網(wǎng)絡(luò)的組成方式、拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用的重點(diǎn)研究。它包括了各種類型的局域網(wǎng)、通信與計(jì)算機(jī)相結(jié)合的廣域網(wǎng)，以及更為廣泛的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。因此保護(hù)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)不受偶然或者惡意原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，成為網(wǎng)絡(luò)安全的主要內(nèi)容。例如，電子郵件系統(tǒng)不能因?yàn)榘踩蚴褂脩舻臄?shù)據(jù)丟失，等等。

三、信息安全

信息和數(shù)據(jù)安全的范圍要比網(wǎng)絡(luò)安全和計(jì)算機(jī)安全更為廣泛。它包括了信息系統(tǒng)中從信息的產(chǎn)生直至信息的應(yīng)用這一全部過程。我們?nèi)粘Ｉ钪薪佑|的數(shù)據(jù)比比皆是，考試的分?jǐn)?shù)、銀行的存款、人員的年齡、商品的庫存量等等，按照某種需要或一定的規(guī)則進(jìn)行收集，經(jīng)過不同的分類、運(yùn)算和加工整理，形成對(duì)管理決策有指導(dǎo)價(jià)值和傾向性說明的信息。隨著信息化社會(huì)的不斷發(fā)展，信息的商品屬性也慢慢顯露出來，信息商品的存儲(chǔ)和傳輸?shù)陌踩踩找媸艿綇V泛的關(guān)注。如果非法用戶獲取系統(tǒng)的訪問控制權(quán)，從存儲(chǔ)介質(zhì)或設(shè)備上得到機(jī)密數(shù)據(jù)或?qū)＠浖?，或根?jù)某種目的修改了原始數(shù)據(jù)，那么網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性將遭到破壞。如果信息在通信傳輸過程中，受到不同程度的非法竊取，或被虛假的信息和計(jì)算機(jī)病毒以冒充等手段充斥最終的信息系統(tǒng)，使得系統(tǒng)無法正常運(yùn)行，造成真正信息的丟失和泄露，會(huì)給使用者帶來經(jīng)濟(jì)或者政治上的巨大損失。

信息安全研究所涉及的領(lǐng)域相當(dāng)廣泛。從信息的層次來看，包括信息的來源、去向，內(nèi)容的真實(shí)無誤及保證信息的完整性，信息不會(huì)被非法泄露擴(kuò)散保證信息的保密性。信息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行為而保證信息的不可否認(rèn)性。從網(wǎng)絡(luò)層次來看，網(wǎng)絡(luò)和信息系統(tǒng)隨時(shí)可用，運(yùn)行過程中不出現(xiàn)故障，若遇意外打擊能夠盡量減少損失并盡早恢復(fù)，正常保證信息的可靠性。系統(tǒng)的管理者對(duì)網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力保證信息的可控性。網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)能夠互相連接，協(xié)調(diào)運(yùn)行，保證信息的互操作性。準(zhǔn)確跟蹤實(shí)體運(yùn)行達(dá)到審計(jì)和識(shí)別的目的，保證信息可計(jì)算性。從設(shè)備層次來看，包括質(zhì)量保證、設(shè)備備份、物理安全等。從經(jīng)營管理層次來看，包括人員可靠性、規(guī)章制度完整性等。由此可見，信息安全實(shí)際上是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

三、網(wǎng)絡(luò)信息安全的基本要求

計(jì)算機(jī)系統(tǒng)要防止資源和數(shù)據(jù)被獨(dú)占，防止數(shù)據(jù)和程序被非法修改、刪除及泄露，在一定程度上，封閉性有利于保證信息的安全性。如何在保持網(wǎng)絡(luò)開放靈活性的同時(shí)保證安全性。成為研究的熱點(diǎn)。目前使用TCP/IP技術(shù)構(gòu)成的網(wǎng)絡(luò)上的安全措施及其相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品主要有兩大類：開放型（如數(shù)據(jù)加密）及被動(dòng)防衛(wèi)型（如防火墻）。他們主要是根據(jù)以下四個(gè)方面的安全需求而設(shè)計(jì)和應(yīng)用的：

（一）數(shù)據(jù)的保密性

數(shù)據(jù)的保密性是數(shù)據(jù)不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。由于系統(tǒng)無法確認(rèn)是否有未經(jīng)授權(quán)的用戶截取網(wǎng)絡(luò)上的數(shù)據(jù)，這就需要使用一種手段對(duì)數(shù)據(jù)進(jìn)行保密處理。數(shù)據(jù)加密就是用來實(shí)現(xiàn)這一目標(biāo)的，使得加密后的數(shù)據(jù)能夠保證在傳輸、使用和轉(zhuǎn)換過程中不被第三方非法獲取。網(wǎng)絡(luò)和系統(tǒng)管理員根據(jù)不同的應(yīng)用需求和等級(jí)職責(zé)，把數(shù)據(jù)進(jìn)行分類，配置不同的訪問模式，控制數(shù)據(jù)的非法流向。

（二）數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。存儲(chǔ)器中或是經(jīng)過網(wǎng)絡(luò)傳輸后的數(shù)據(jù)，必須和它被輸人時(shí)或最后一次被修改，或者傳輸前的內(nèi)容與形式一模一樣。其目的就是保證信息系統(tǒng)上的數(shù)據(jù)處于一種完整和未受損的狀態(tài)，數(shù)據(jù)不會(huì)因?yàn)榇鎯?chǔ)和傳輸?shù)倪^程，而被有意或無意的事件所改變、破壞和丟失。在應(yīng)用數(shù)據(jù)加密技術(shù)的基礎(chǔ)上，綜合運(yùn)用故障應(yīng)急方案和多種預(yù)防性技術(shù)，諸如歸檔、備份、校驗(yàn)。崩潰轉(zhuǎn)儲(chǔ)和故障前兆分析等手段實(shí)現(xiàn)這一目標(biāo)。

（三）數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是指可被授權(quán)實(shí)體訪問并按需求使用的特性，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。由于互聯(lián)網(wǎng)絡(luò)是開放的網(wǎng)絡(luò)，需要時(shí)就可以得到所需要的數(shù)據(jù)是網(wǎng)絡(luò)設(shè)計(jì)和發(fā)展的基本目標(biāo)，因此數(shù)據(jù)的可用性要求系統(tǒng)當(dāng)用戶需要時(shí)能夠存取所需要的數(shù)據(jù)，或是說應(yīng)用系統(tǒng)提供的服務(wù)，能夠免于遭受惡劣影響，甚至被完全破壞而不可使用的情形。

（四）數(shù)據(jù)的可控性

數(shù)據(jù)的可控性是指可以控制授權(quán)范圍內(nèi)的信息的流向及行為方式，如對(duì)數(shù)據(jù)的訪問。傳播及內(nèi)容具有控制能力。首先，系統(tǒng)需要能夠控制誰能夠訪問系統(tǒng)或網(wǎng)絡(luò)上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。這首先要通過采用訪問控制表等授權(quán)方法得以實(shí)現(xiàn)；其次，即使擁有合法的授權(quán)，系統(tǒng)仍需要對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行驗(yàn)證，以確保他確實(shí)是他所聲稱的那個(gè)人，通過握手協(xié)議和數(shù)據(jù)加密進(jìn)行身份驗(yàn)證；最后，系統(tǒng)還要將用戶的所有網(wǎng)絡(luò)活動(dòng)記錄在案，包括網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏感操作和違紀(jì)操作等，為系統(tǒng)進(jìn)行事故原因查詢、定位、事故發(fā)生前的預(yù)測、報(bào)警以及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。

四、網(wǎng)絡(luò)信息安全的現(xiàn)狀

我國的Internet網(wǎng)（國際互聯(lián)網(wǎng)）從科技網(wǎng)、教育網(wǎng)起步，現(xiàn)已發(fā)展到商業(yè)網(wǎng)、政務(wù)網(wǎng)，這標(biāo)志著我國已跨入Internet網(wǎng)的新時(shí)代。我國的信息安全保密技術(shù)，在20多年中經(jīng)歷了兩次大的變革（70 年代完成了手工到電子的變革，80年代完成了電子到計(jì)算機(jī)作業(yè)的變革 ），目前正醞釀著第三次變革，迎接著互聯(lián)網(wǎng)時(shí)代的到來。

互聯(lián)網(wǎng)也是計(jì)算機(jī)網(wǎng)，從這個(gè)意義上講，它具有與計(jì)算機(jī)網(wǎng)相同的特點(diǎn)。但互聯(lián)網(wǎng)是開放網(wǎng)，不提供保密服務(wù)，這一點(diǎn)使互聯(lián)網(wǎng)具有與計(jì)算機(jī)網(wǎng)不同的新特點(diǎn)。

（一）互聯(lián)網(wǎng)是無中心網(wǎng)，再生能力很強(qiáng)。

一個(gè)局部的破壞，不影響整個(gè)系統(tǒng)的運(yùn)行。因此，互聯(lián)網(wǎng)特別能適應(yīng)戰(zhàn)爭環(huán)境。這也許是美國軍方重新重視互聯(lián)網(wǎng)的原因之一。

（二）互聯(lián)網(wǎng)可實(shí)現(xiàn)移動(dòng)通信、多媒體通信等多種服務(wù)。

互聯(lián)網(wǎng)提供電子郵件（E-mail）、文件傳輸（FTP）、全球?yàn)g覽（WWW），以及多媒體、移動(dòng)通信等服務(wù)，正在實(shí)現(xiàn)一次通信（信息）革命，在社會(huì)生活中起著非常重要的作用。盡管國際互聯(lián)網(wǎng)存在一些問題，但仍受到各國政府的高度重視，發(fā)展異常迅猛。

（三）互聯(lián)網(wǎng)一般分為外部網(wǎng)和內(nèi)部網(wǎng)。

從安全保密的角度來看，互聯(lián)網(wǎng)的安全主要指內(nèi)部網(wǎng)（Intranet）的安全，因此其安全保密系統(tǒng)要靠內(nèi)部網(wǎng)的安全保密技術(shù)來實(shí)現(xiàn)，并在內(nèi)部網(wǎng)與外部網(wǎng)的聯(lián)接處用防火墻（firewall）技術(shù)隔離，以確保內(nèi)部網(wǎng)的安全。

（四）互聯(lián)網(wǎng)的用戶主體是個(gè)人。

個(gè)人化通信是通信技術(shù)發(fā)展的方向，推動(dòng)著信息高速公路的發(fā)展。但從我國目前的情況看，在今后相當(dāng)長的時(shí)間里，計(jì)算機(jī)局域網(wǎng)和互聯(lián)網(wǎng)會(huì)并存發(fā)展，在保留大量端間（terminal or work-station）通信的計(jì)算機(jī)網(wǎng)的特點(diǎn)的同時(shí)，會(huì)不斷加大個(gè)人化personal or individual通信的互聯(lián)網(wǎng)的特點(diǎn)。

（五）互聯(lián)網(wǎng)將成為信息戰(zhàn)的戰(zhàn)略目標(biāo)。

互聯(lián)網(wǎng)作為開放的信息系統(tǒng)，越來越成為各國信息戰(zhàn)的戰(zhàn)略目標(biāo)。竊密和反竊密、破壞和反破壞的斗爭將是全方位的，不只是個(gè)人、集團(tuán)的行為，而且是國家級(jí)的行為。在這樣的斗爭中，要立于不敗之地、掌握主動(dòng)權(quán)，就必須對(duì)作為信息系統(tǒng)最核心的芯片和操作系統(tǒng)有足夠的了解，構(gòu)造出自己的安全內(nèi)核。

五、網(wǎng)絡(luò)安全的意識(shí)與教育

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)已涉及到國家的政府、軍事、科技、文教等各個(gè)領(lǐng)域。其中存儲(chǔ)、傳輸和加工處理的信息有許多涉及政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要內(nèi)容，難免會(huì)受到來自世界各地的各種人為的信息攻擊。同時(shí)，網(wǎng)絡(luò)實(shí)體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等自然災(zāi)難的考驗(yàn)。近年來，計(jì)算機(jī)犯罪案件急劇上升，各國的計(jì)算機(jī)系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴(yán)重的社會(huì)問題之一。據(jù)美國聯(lián)邦調(diào)查局的報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá)50億美元。加之國際互聯(lián)網(wǎng)絡(luò)的廣域性和可擴(kuò)展性，計(jì)算機(jī)犯罪也已成為具有普遍性的國際問題。

網(wǎng)絡(luò)安全教育實(shí)際上關(guān)系到兩個(gè)方面的問題。一是如何看待目前國際互聯(lián)網(wǎng)絡(luò)中各式各樣的安全漏洞。經(jīng)過各種媒體對(duì)網(wǎng)絡(luò)安全案例及其影響的報(bào)道和宣傳后，是否就片面地認(rèn)為網(wǎng)絡(luò)是極不安全的，安全意識(shí)的增強(qiáng)僅僅是利用人們對(duì)網(wǎng)絡(luò)的恐懼，而限制了人們對(duì)網(wǎng)絡(luò)的理解以及限制了網(wǎng)絡(luò)的進(jìn)一步應(yīng)用和發(fā)展。二是如何看待網(wǎng)絡(luò)安全的公開性討論。從某種意義上說，安全更多的是對(duì)網(wǎng)絡(luò)和系統(tǒng)知識(shí)的深入理解和對(duì)其技巧的大膽應(yīng)用，與不安全因素的斗爭實(shí)際上是多種技巧的較量。然而，只有很少的網(wǎng)絡(luò)和系統(tǒng)管理人員關(guān)注網(wǎng)絡(luò)上發(fā)布的安全警告消息。對(duì)系統(tǒng)中漏洞感興趣的網(wǎng)民多是些發(fā)誓要當(dāng)黑客或大大小小的黑客們，他們最先看到最新發(fā)布的各種系統(tǒng)的最新問題，盡管有時(shí)不是新問題，而是很早很老的漏洞。

從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。計(jì)算機(jī)犯罪大都具有瞬時(shí)性、廣域性、專業(yè)性、時(shí)空分離性等特點(diǎn)。通常計(jì)算機(jī)罪犯很難留下犯罪證據(jù)，這大大刺激了計(jì)算機(jī)高技術(shù)犯罪案件的發(fā)生。安全教育的目的不僅是提高防范意識(shí)，同時(shí)還要自覺抵制利用計(jì)算機(jī)進(jìn)行各類犯罪活動(dòng)的誘惑。重視信息化的安全教育，還在于盡快培養(yǎng)出一批信息化安全的專門人才是網(wǎng)絡(luò)安全之本。提高全民的信息化的安全意識(shí)，使網(wǎng)絡(luò)安全建立在法律約束之下的自律行為是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要因素。

安全的問題歸根結(jié)底是人的問題，安全的最終解決也在于提高人的道德素質(zhì)。雖然防火墻是一種好的防范措施，但只是一種整體安全防范政策的一部分。這種安全政策必須包括公開的用戶知道自身責(zé)任的安全準(zhǔn)則、職員培訓(xùn)計(jì)劃以及與網(wǎng)絡(luò)訪問、當(dāng)?shù)睾瓦h(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)的有關(guān)政策。網(wǎng)絡(luò)易受攻擊的各個(gè)點(diǎn)必須以相同程度的安全防護(hù)措施加以保護(hù)。

第二章 安全管理

計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)的安全管理是計(jì)算機(jī)安全的重要組成部分，安全管理貫穿于網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)和運(yùn)行的各個(gè)階段。它既包括了行政手段，也含有技術(shù)措施。在系統(tǒng)設(shè)計(jì)階段，在硬、軟件設(shè)計(jì)的同時(shí)，應(yīng)規(guī)劃出系統(tǒng)安全策略；在工程設(shè)計(jì)中，應(yīng)按安全策略的要求確定系統(tǒng)的安全機(jī)制；在系統(tǒng)運(yùn)行中，應(yīng)強(qiáng)制執(zhí)行安全機(jī)制所要求的各項(xiàng)安全措施和安全管理原則，并經(jīng)風(fēng)險(xiǎn)分析和安全審計(jì)來檢查、評(píng)估，不斷補(bǔ)充、改進(jìn)、完善安全措施。

一、安全策略

安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。實(shí)現(xiàn)網(wǎng)絡(luò)安全，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理，法律約束和安全教育。

計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)大而復(fù)雜，安全問題涉及的領(lǐng)域廣泛、問題多。安全策略只是概括說明系統(tǒng)安全方面考慮的問題和安全措施的實(shí)現(xiàn)，它建立在授權(quán)行為的概念上。

在安全策略中，一般都包含“未經(jīng)授權(quán)的實(shí)體，信息不可給與、不被訪問、不允許引用、不得修改”等要求，這是按授權(quán)區(qū)分不同的策略。按授權(quán)性質(zhì)可分為基于規(guī)則的安全策略和基于身份的安全策略。授權(quán)服務(wù)分為管理強(qiáng)加的和動(dòng)態(tài)選取的兩種。安全策略將確定哪些安全措施須強(qiáng)制執(zhí)行，哪些安全措施可根據(jù)用戶需要選擇。大多數(shù)安全策略應(yīng)該是強(qiáng)制執(zhí)行的。

（一）基于身份的安全策略

基于身份的安全策略目的是對(duì)數(shù)據(jù)或資源的訪問進(jìn)行篩選。即用戶可訪問他們的資源的一部分（訪問控制表），或由系統(tǒng)授予用戶特權(quán)標(biāo)記或權(quán)力。兩種情況下，數(shù)據(jù)項(xiàng)的多少會(huì)有很大變化。

（二）基于規(guī)則的安全策略

基于規(guī)則的安全策略是系統(tǒng)給主體（用戶、進(jìn)程）和客體（數(shù)據(jù)）分別標(biāo)注相應(yīng)的安全標(biāo)記，制定出訪問權(quán)限，此標(biāo)記作為數(shù)據(jù)項(xiàng)的一部分。

兩種安全策略都使用了標(biāo)記。標(biāo)記的概念在數(shù)據(jù)通信中是重要的，身份鑒別、管理、訪問控制等都需要對(duì)主體和客體做出相應(yīng)的標(biāo)記并以此進(jìn)行控制。在通信時(shí)，數(shù)據(jù)項(xiàng)、通信的進(jìn)程與實(shí)體、通信信道和資源都可用它們的屬性做出標(biāo)記。安全策略必須指明屬性如何被使用，以提供必要的安全。

根據(jù)系統(tǒng)的實(shí)際情況和安全要求，合理地確定安全策略是復(fù)雜而重要的。因?yàn)榘踩窍鄬?duì)的，安全技術(shù)也是不斷發(fā)展的，安全應(yīng)有一個(gè)合理和明確的要求，這主要體現(xiàn)在安全策略中。網(wǎng)絡(luò)系統(tǒng)的安全要求主要是完整性、可用性和機(jī)密性。其中完整性、可用性是由網(wǎng)絡(luò)的開放和共享所決定的。按照用戶的要求，提供相應(yīng)的服務(wù)，是網(wǎng)絡(luò)最基本的目的。機(jī)密性則對(duì)不同的網(wǎng)絡(luò)有不同的要求，即網(wǎng)絡(luò)不一定都是保密網(wǎng)。因此，每個(gè)內(nèi)部網(wǎng)要根據(jù)自身的要求確定安全策略。現(xiàn)在的問題是硬、軟件大多很先進(jìn)，大而全，而在安全保密方面沒有明確的安全策略，一旦投入使用，安全漏洞很多。而在總體設(shè)計(jì)時(shí)，按照安全要求制定出網(wǎng)絡(luò)的安全策略并逐步實(shí)施，則系統(tǒng)的漏洞少、運(yùn)行效果好。

在工程設(shè)計(jì)中，按照安全策略構(gòu)造出一系列安全機(jī)制和具體措施，來確保安全第一。多重保護(hù)的目的是使各種保護(hù)措施相互補(bǔ)充。底層靠安全操作系統(tǒng)本身的安全防護(hù)功能，上層有防火墻、訪問控制表等措施，防止一層措施攻破后，安全性受到威脅。最少授權(quán)原則是指采取制約措施，限制超級(jí)用戶權(quán)力并全部使用一次性口令。綜合防護(hù)要求從物理上、硬件和軟件上、管理上采取各種措施，分層防護(hù)，確保系統(tǒng)安全。

二、安全機(jī)制

安全策略確定后，需要有不同的安全機(jī)制來實(shí)施。安全機(jī)制可單獨(dú)實(shí)施，也可組合使用，通常包括三類：預(yù)防、檢測、恢復(fù)。

典型的安全機(jī)制有以下幾種：

（一）數(shù)據(jù)保密變換

數(shù)據(jù)保密變換，即密碼技術(shù)，是許多安全機(jī)制和安全服務(wù)的基礎(chǔ)。通過加／解密來實(shí)現(xiàn)身份鑒別、數(shù)據(jù)完整性、不可否認(rèn)等，從而保證信息的安全。采用密碼技術(shù)，可有效地防止：

1、信息的未授權(quán)觀察和修改；

2、抵賴；

3、仿造；

4、通信業(yè)務(wù)流分析。

（二）數(shù)字簽名機(jī)制

數(shù)字簽名機(jī)制用于實(shí)現(xiàn)抗抵賴、鑒別等特殊安全服務(wù)的場合。數(shù)字簽名機(jī)制的主要特征是：不使用秘密密鑰就不能建立簽名數(shù)據(jù)單元，這說明：

1、除了掌握秘密密鑰的人以外，任何人都不能建立簽名數(shù)據(jù)單元；

2、接收者不能建立簽名數(shù)據(jù)單元；

3、發(fā)送者不能否認(rèn)曾經(jīng)發(fā)送過簽名的數(shù)據(jù)單元。

（三）訪問控制機(jī)制

訪問控制機(jī)制實(shí)施對(duì)資源訪問加以限制的策略。即規(guī)定出不同主體對(duì)不同客體對(duì)應(yīng)的操作權(quán)限，只允許被授權(quán)用戶訪問敏感資源，拒絕未經(jīng)授權(quán)用戶的訪問。采用的技術(shù)有訪問控制矩陣、口令、權(quán)能等級(jí)、標(biāo)記等，它們可說明用戶的訪問權(quán)。權(quán)力不可仿造，而且應(yīng)由可靠的方式傳遞。

（四）數(shù)據(jù)完整性機(jī)制

數(shù)據(jù)完整性機(jī)制保護(hù)單個(gè)數(shù)據(jù)單元和整個(gè)數(shù)據(jù)單元流的完整性。它包括各種信息流錯(cuò)誤檢測、校驗(yàn)等技術(shù)。

（五）鑒別交換機(jī)制

鑒別交換機(jī)制指信息交換雙方（如內(nèi)部網(wǎng)和互連網(wǎng)）之間的相互鑒別。當(dāng)交換信息的雙方和通信手段均可信任時(shí)，可通過口令來鑒別；當(dāng)交換信息雙方可信，而通信手段不可信時(shí)，可由密碼技術(shù)加以保護(hù)；交換信息雙方互不信任時(shí)，可使用數(shù)字簽名等技術(shù)來實(shí)現(xiàn)抗抵賴服務(wù)。

（六）抗通信流分析機(jī)制

該機(jī)制通過產(chǎn)生偽通信業(yè)務(wù)，將每日數(shù)據(jù)單元通信量填充到預(yù)定的數(shù)量，來防止通過通信業(yè)務(wù)流分析獲取情報(bào)。在具體實(shí)施時(shí)，應(yīng)注意加密和偽裝，避免區(qū)別出偽通信業(yè)務(wù)和真正的通信業(yè)務(wù)。

（七）路由選擇控制機(jī)制

通過路由選擇控制保證數(shù)據(jù)只在物理上安全的路由上傳輸，保證機(jī)密信息只在具有適當(dāng)保護(hù)措施的路由上傳輸。

（八）公證機(jī)制

公證機(jī)制需有可信任的第三方，來確保兩個(gè)實(shí)體間交換信息的性質(zhì)（如來源、完整性、發(fā)送接收時(shí)間等）不會(huì)變化。

（九）物理環(huán)境的安全機(jī)制

物理環(huán)境的安全是保證信息安全的重要措施。硬件、軟件和通信安全的第一道屏障就是物理環(huán)境的保護(hù)，必須有適應(yīng)不同策略要求的防護(hù)措施。

（十）人員審查與控制機(jī)制

種種形式的防護(hù)措施均離不開人的掌握和實(shí)施，系統(tǒng)安全最終是由人來控制的。因此，安全離不開人員的審查、控制、培訓(xùn)和管理等，要通過制定、執(zhí)行各項(xiàng)管理制度等來實(shí)現(xiàn)。

三、安全管理原則

信息安全主要有三條基本的管理原則：從不單獨(dú)、限制使用期限和責(zé)任分散。

從不單獨(dú)

從不單獨(dú)原則的含義是在人員條件允許的情況下，由最高領(lǐng)導(dǎo)人指定兩個(gè)或更多的、可靠且能勝任工作的專業(yè)人員，共同參與每項(xiàng)與安全有關(guān)的活動(dòng)，并通過簽字、記錄、注冊(cè)等方式證明。

與安全有關(guān)的活動(dòng)主要有：

（1）發(fā)送或回收訪問控制項(xiàng)。證書及系統(tǒng)信息媒體（磁帶、盤等）；

（2）系統(tǒng)的初始化或關(guān)閉；

（3）處理保密信息；

（4）硬件和軟件日常維護(hù)；

（5）硬件測試、修改和驗(yàn)收；

（6）系統(tǒng)重新配置；

（7）設(shè)計(jì)、實(shí)現(xiàn)和修改數(shù)據(jù)庫；

（8）設(shè)計(jì)、實(shí)現(xiàn)和修改應(yīng)用程序；

（9）設(shè)計(jì)、實(shí)現(xiàn)和修改操作系統(tǒng)；

（10）設(shè)計(jì)、實(shí)現(xiàn)和修改安全軟件；

（11）更改重要文檔；

（12）更改緊急情況和偶然事件處置計(jì)劃；

（13）進(jìn)入緊急狀態(tài)；

（14）重要的程序或數(shù)據(jù)刪除、銷毀；

（15）更改系統(tǒng)操作過程；

（16）接收、發(fā)送或傳輸重要的材料。

限制使用期限

限制使用期限是安全管理的另一個(gè)原則。它的含義是，任何人都不能在一個(gè)與安全有關(guān)的崗位上工作時(shí)間太長。為限制使用期限，工作人員應(yīng)經(jīng)常輪換工作位置。這種輪換依賴于全體人員和他們的誠實(shí)，工作人員的不誠實(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生威脅。

責(zé)任分散原則

責(zé)任分散是一個(gè)重要的管理原則。在工作人員數(shù)量和素質(zhì)允許的情況下，不集中于一人實(shí)施全部與安全有關(guān)的功能。為安全起見，下列系統(tǒng)功能須由不同的人或小組來執(zhí)行（這也稱為責(zé)任分散）：

（1）計(jì)算機(jī)操作和計(jì)算機(jī)編程：

（2）應(yīng)用編程和系統(tǒng)編程；

（3）應(yīng)用編程和數(shù)據(jù)庫管理；

（4）數(shù)據(jù)準(zhǔn)備和數(shù)據(jù)處理；

（5）數(shù)據(jù)處理和系統(tǒng)安全控制；

（6）計(jì)算機(jī)操作和系統(tǒng)媒體保護(hù)；

（7）計(jì)算機(jī)操作和設(shè)計(jì)、實(shí)現(xiàn)、修改各個(gè)軟件。

責(zé)任分散的實(shí)現(xiàn)主要采取兩種措施：建立物理屏障和制定規(guī)則。

主要的物理屏障有：

（1）系統(tǒng)媒體庫必須選擇安全的位置，一般應(yīng)靠近機(jī)房但又與計(jì)算機(jī)房隔開；

（2）數(shù)據(jù)準(zhǔn)備必須在靠近機(jī)房但又與機(jī)房隔開的安全區(qū)域進(jìn)行；

（3）程序員辦公室須與計(jì)算機(jī)房在物理上分開；

（4）安全辦公室必須是一個(gè)對(duì)全體人員（除直接與安全有關(guān)的人員外）受限的區(qū)域；

（5）機(jī)房本身必須是對(duì)在嚴(yán)格的管理下工作的實(shí)際負(fù)責(zé)的操作者或其它授權(quán)人（如維修技術(shù)員）受限制的安全區(qū)域；

（6）等待銷毀的敏感材料必須存在計(jì)算機(jī)房以外的安全區(qū)域。

大型系統(tǒng)中，實(shí)現(xiàn)責(zé)任分離的管理規(guī)則有：

（1）編程員與操作員工作分離，編程員一般不參與日常操作，操作員不進(jìn)行編程；

（2）安全特性的運(yùn)行和維護(hù)（如修改計(jì)算機(jī)操作系統(tǒng)，以提高系統(tǒng)安全性）應(yīng)單獨(dú)進(jìn)行，有不同的責(zé)任；

（3）質(zhì)量控制和審計(jì)應(yīng)具有與系統(tǒng)操作不同的功能。

四、機(jī)密信息的保護(hù)

機(jī)密信息的保護(hù)原則

在具有機(jī)密信息需要保護(hù)的系統(tǒng)中，有下述主要的保護(hù)原則：

（一）網(wǎng)格原則：信息的密級(jí)由信息本身的密級(jí)加上指定各項(xiàng)的密級(jí)組成。人或進(jìn)程由人本身的密級(jí)加上人所擁有的對(duì)各種信息的授權(quán)密級(jí)組成。

（二）簡單安全原則：任何人或人的進(jìn)程活動(dòng)，不應(yīng)超越他擁有的密級(jí)所對(duì)應(yīng)的信息。

（三）“*”號(hào)原則：任何人或進(jìn)程不能向低于它的密級(jí)的信息寫。該原則可避免高密級(jí)信息客體向低密級(jí)信息客體泄漏信息。

（四）第一完整性原則：計(jì)算機(jī)程序不得從低特權(quán)級(jí)程序接收信息。特權(quán)的意思是對(duì)計(jì)算機(jī)系統(tǒng)所做的事授予的權(quán)限。該原則的目標(biāo)是避免操作系統(tǒng)（管理程序、監(jiān)視程序或主控程序）受到惡意用戶的攻擊。

（五）第二完整性原則：不允許計(jì)算機(jī)程序向高特權(quán)級(jí)程序?qū)?。該原則的目標(biāo)是防止用戶程序影響操作系統(tǒng)的運(yùn)行。

（六）標(biāo)號(hào)原則：每個(gè)信息客體都應(yīng)用人或機(jī)器可識(shí)別的形式清楚地標(biāo)識(shí)其密級(jí)。

（七）平穩(wěn)原則：任何人或進(jìn)程不可改變信息客體或主體的密級(jí)，除非是已定義的過程。

（八）不可訪問原則：不存在任何人或進(jìn)程均可獲得的信息客體，除非是已定義的過程。

（九）可審計(jì)原則：所有在信息客體上執(zhí)行的與安全有關(guān)的活動(dòng)（如打開文件、刪除信息、降低密級(jí)等）應(yīng)有不可擦除的記錄，以供審計(jì)使用。

（十）可信軟件原則：任何計(jì)算機(jī)系統(tǒng)都不可完全滿足上述全部原則并執(zhí)行全部工作，必要時(shí)，允許可信軟件超越這些規(guī)則。

機(jī)密信息的存儲(chǔ)和處理

計(jì)算機(jī)信息媒體有磁帶、磁盤、微縮膠卷、CD—ROM等，信息存儲(chǔ)在媒體上，必要時(shí)它們可將信息在屏幕上顯示或在紙上打印。

1．標(biāo) 記

2．保 存

3．?dāng)?shù)據(jù)備份

4．銷 毀

5. 剩磁處理

6．機(jī)密信息的有效管理

7．安全數(shù)據(jù)管理

五、風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是了解計(jì)算機(jī)系統(tǒng)安全狀況和辨別系統(tǒng)脆弱性并提出對(duì)策的科學(xué)方法。

在進(jìn)行風(fēng)險(xiǎn)分析時(shí)，應(yīng)首先明確分析的對(duì)象。如對(duì)象應(yīng)是整個(gè)系統(tǒng)明確范圍和安全敏感區(qū)，確定分析的內(nèi)容，找出安全上的脆弱點(diǎn)，并確定重點(diǎn)分析方向。接著仔細(xì)分析重點(diǎn)保護(hù)目標(biāo)，分析風(fēng)險(xiǎn)的原因、影響、潛在的威脅、造成的后果等，應(yīng)有一定的定量評(píng)估數(shù)據(jù)。最后根據(jù)分析的結(jié)果，提出有效的安全措施和這些措施可能帶來的風(fēng)險(xiǎn)，確認(rèn)資金投入的合理性。

例如，為保護(hù)公司財(cái)產(chǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全需要一些開支。然而，這些開支應(yīng)與被保護(hù)的財(cái)產(chǎn)價(jià)值相一致。假設(shè)有價(jià)值為A的財(cái)產(chǎn)需保護(hù)，而攻破網(wǎng)絡(luò)，使財(cái)產(chǎn)遭受損失的價(jià)值為P，則風(fēng)險(xiǎn)為A／P。對(duì)一個(gè)具有安全防護(hù)功能的網(wǎng)絡(luò)來說，P值應(yīng)大于A。即攻破網(wǎng)絡(luò)，偷盜或損失財(cái)產(chǎn)的價(jià)值比財(cái)產(chǎn)本身的價(jià)值要高。

假設(shè)實(shí)現(xiàn)保護(hù)財(cái)產(chǎn)的安全策略需開支N，在一個(gè)安全防護(hù)措施較完善的網(wǎng)絡(luò)上，投資N應(yīng)與財(cái)產(chǎn)本身的價(jià)值A(chǔ)有關(guān)，比值K—N/A稱為投資因子。實(shí)現(xiàn)安全策略的開支N顯然應(yīng)比財(cái)產(chǎn)本身價(jià)值低，即N＜A。對(duì)許多網(wǎng)絡(luò)來說，評(píng)估投資因子K是十分重要的。

六、機(jī)構(gòu)和人員管理

人員管理

對(duì)人員的控制和管理是安全防護(hù)的重要環(huán)節(jié)。除加強(qiáng)法制建設(shè)，通過法律制裁形成一種威懾，并通過倫理道德教育，提高整體素質(zhì)外，還應(yīng)采取科學(xué)的管理措施，減少作案的機(jī)會(huì)，減少犯罪，以獲得安全的環(huán)境。

（一）安全授權(quán)

計(jì)算機(jī)網(wǎng)絡(luò)必須設(shè)立網(wǎng)絡(luò)安全管理機(jī)構(gòu)，網(wǎng)絡(luò)安全管理機(jī)構(gòu)設(shè)置網(wǎng)絡(luò)安全管理員，如需要還可設(shè)立分級(jí)網(wǎng)絡(luò)管理機(jī)構(gòu)和相應(yīng)的網(wǎng)絡(luò)管理員。此外，還應(yīng)建立、健全崗位責(zé)任制，指定不同的管理員在崗位上可能處理的最高密級(jí)信息，即安全授權(quán)。

安全授權(quán)包括：專控信息的授權(quán)、機(jī)密信息的授權(quán)、秘密信息的授權(quán)和受控信息的授權(quán)四類。其中?？匦畔⒌氖跈?quán)是對(duì)網(wǎng)絡(luò)管理機(jī)構(gòu)的最高領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全管理員及專門指派的人員的授權(quán)，是處理最高機(jī)密的授權(quán)。

除上述四類授權(quán)外，尚有一種臨時(shí)授權(quán)，即對(duì)需要臨時(shí)接觸?？匦畔⒌娜私o與臨時(shí)?？匦畔⑹跈?quán)，但需要對(duì)他接觸專控信息進(jìn)行審查，只有審查合格后才可獲得授權(quán)。

（二）安全審查

在工作人員獲準(zhǔn)接觸、保管機(jī)密信息前，必須對(duì)他們進(jìn)行安全審查。對(duì)新職工按照本人申請(qǐng)表中的個(gè)人歷史逐一審查，必要時(shí)要親自會(huì)見證明人，對(duì)以前的經(jīng)歷和人品進(jìn)行確認(rèn)。除新職工外，對(duì)在職人員也要定期審查。當(dāng)某工作人員婚姻狀況發(fā)生變化，或被懷疑違反了安全規(guī)則，或是對(duì)其可靠性產(chǎn)生懷疑時(shí)，都要重新審查。

安全警衛(wèi)員應(yīng)具有所保衛(wèi)的重要機(jī)房最高密級(jí)的授權(quán)，應(yīng)按此標(biāo)準(zhǔn)挑選、審查。對(duì)清潔工也要和工作人員一樣進(jìn)行審查，未經(jīng)嚴(yán)格審查的清潔工在處理保密信息的重要機(jī)房工作時(shí)，應(yīng)自始至終處于工作人員的監(jiān)視之下。

（三）調(diào)離交接

一旦重要機(jī)房的工作人員辭職或調(diào)離，應(yīng)立即取消他出入安全區(qū)、接觸保密信息的授權(quán)。應(yīng)給調(diào)離人員一份書面要求，告之他有義務(wù)對(duì)工作期間接觸的涉密信息繼續(xù)保密，否則將受到行政或刑事處罰。必要時(shí)調(diào)離人員應(yīng)簽字，說明已接受并對(duì)今后的行為負(fù)責(zé)。

調(diào)離人員辦理手續(xù)前，應(yīng)交回所有的證章、通行證、鑰匙、手冊(cè)、資料等。調(diào)離人員走后，所有他接觸過、使用過的訪問控制物品必須更換或處理。

（四）安全教育

必須定期對(duì)工作人員進(jìn)行安全教育，包括聽講座，觀看影片、錄相資料，學(xué)習(xí)信息安全材料帶。以此提高工作人員的信息安全防護(hù)意識(shí)。

要求工作人員隨時(shí)注意計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行情況。一旦發(fā)現(xiàn)從直接上級(jí)處接受到違反網(wǎng)絡(luò)安全規(guī)定的指示或觀察到其它工作人員違反安全規(guī)定的可疑行為時(shí)，應(yīng)立即向安全負(fù)責(zé)人報(bào)告。同時(shí)要求任何工作人員不得將網(wǎng)絡(luò)機(jī)房的保密資料帶回家中，確有必要帶出，必須經(jīng)負(fù)責(zé)人批準(zhǔn)并備案。

機(jī)構(gòu)和部門的安全管理原則

機(jī)構(gòu)和部門的信息安全管理是保障信息安全的重要環(huán)節(jié)，為了實(shí)現(xiàn)安全管理應(yīng)該具備以下”四有”：

（1）有專門的安全管理機(jī)構(gòu)。

（2）有專門的安全管理人員。

（3）有逐步完善的安全管理制度。

（4）有逐步提高的安全技術(shù)設(shè)施。

信息安全管理涉及如下基本方面：

（1）人事管理。

（2）設(shè)備管理。

（3）場地管理。

（4）存儲(chǔ)媒體管理。

（5）軟件管理。

（6）網(wǎng)絡(luò)管理。

（7）密碼和密鑰管理等。

信息安全管理要遵循如下基本原則：

（1）規(guī)范原則。

（2）預(yù)防原則。

（3）立足國內(nèi)原則。

（4）選用成熟技術(shù)原則。

（5）注重實(shí)效原則。

（6）系統(tǒng)化原則。

（7）均衡防護(hù)原則。

（8）分權(quán)制衡原則。

（9）應(yīng)急原則。

（10）災(zāi)難恢復(fù)原則。

第三章網(wǎng)絡(luò)安全的威脅

從技術(shù)的角度看，Internet的不安全因素，一方面由于它是面向所有用戶的，所有資源通過網(wǎng)絡(luò)共享，另一方面就是它的技術(shù)是開放和標(biāo)準(zhǔn)的。因此，盡管已從過去用于科研和學(xué)術(shù)目的的階段進(jìn)入了商用階段，但是它的技術(shù)基礎(chǔ)仍是不安全的。從一般意義上講，我們還可以認(rèn)為，網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩大類：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。從形式上，自然災(zāi)害、意外事故、計(jì)算機(jī)犯罪、人為行為、“黑客”行為、內(nèi)部泄露、外部泄密、信息丟失、電子諜報(bào)、信息戰(zhàn)、網(wǎng)絡(luò)協(xié)議中的缺陷等等，都是威脅網(wǎng)絡(luò)安全的重要因素。從人的因素考慮，影響網(wǎng)絡(luò)安全的因素還存在著人為和非人為的兩種情況。

一、攻擊的分類

被動(dòng)攻擊：被動(dòng)攻擊包括分析通信流，監(jiān)視未被保護(hù)的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動(dòng)攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個(gè)人的敏感信息。

主動(dòng)攻擊：主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。包括大多數(shù)的未授權(quán)用戶企圖以非正常手段和正常手段進(jìn)入遠(yuǎn)程系統(tǒng)。

物理臨近攻擊：是指未被授權(quán)的人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對(duì)信息的訪問。

內(nèi)部人員攻擊：內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。前者指內(nèi)部人員對(duì)信息的惡意破壞或不當(dāng)使用，或使他人的訪問遭到拒絕；后者指由于粗心、無知以及其它非惡意的原因而造成的破壞。

軟硬件裝配分發(fā)攻擊：指在工廠生產(chǎn)或分銷過程中對(duì)硬件和軟件進(jìn)行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門。

二、攻擊的幾個(gè)階段

（一）隱藏自己

攻擊者一般會(huì)采用以下策略來隱藏自己的真實(shí)IP地址：

- 從已經(jīng)取得控制權(quán)的主機(jī)上通過 telnet或 rsh 跳躍；

- 從 windows 主機(jī)上通過 wingates 等服務(wù)進(jìn)行跳躍；

- 利用配置不當(dāng)?shù)拇矸?wù)器進(jìn)行跳躍；

- 一些經(jīng)驗(yàn)老道的攻擊者會(huì)利用電話交換技巧來入侵，他們可能會(huì)采用以下技巧；

- 先通過撥號(hào)找尋并連入某臺(tái)主機(jī)，然后通過這臺(tái)主機(jī)再聯(lián)入internet來跳躍。

（二）尋找目標(biāo)，收集信息

攻擊者的主要任務(wù)是收集有關(guān)要攻擊目標(biāo)的有用的信息。這些信息包括目標(biāo)計(jì)算機(jī)的硬件信息，運(yùn)行的操作系統(tǒng)信息，運(yùn)行的應(yīng)用程序（服務(wù)）的信息，目標(biāo)計(jì)算機(jī)所在網(wǎng)絡(luò)的信息，目標(biāo)計(jì)算機(jī)的用戶信息，存在的漏洞等等。

通常是從已攻入的系統(tǒng)中的.rhosts和.netrc文件中所列的機(jī)器中挑選出來，從系統(tǒng)的/etc/hosts文件中可以得到一個(gè)很全的主機(jī)列表。但大多數(shù)情況下，選定一個(gè)攻擊目標(biāo)是一個(gè)比較盲目的過程，除非攻擊者有明確的目的和動(dòng)機(jī)。攻擊者也可能找到DNS（域名系統(tǒng)）表，通過DNS可以知道機(jī)器名、Internet地址、機(jī)器類型，甚至還可知道機(jī)器的屬主和單位。

（三）獲得初始的訪問，獲得特權(quán)

就是選用合適的方法入侵。主要是兩種方法，通過發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)的漏洞進(jìn)入系統(tǒng)，或者是利用口令猜測進(jìn)入系統(tǒng)。利用口令猜測就是試圖重復(fù)登錄，直到找到一個(gè)合法的登錄為止。往往這種方法會(huì)耗大量的時(shí)間，而且，每次登錄，不管是否成功都會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄。會(huì)引起注意。另一個(gè)就是利用和發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)的漏洞，直接順利進(jìn)入。還有一些入侵的方法是采用想IP地址欺騙等手段。它的原理就是通過各種欺騙手段，取得目標(biāo)計(jì)算機(jī)的信任，從而可以進(jìn)入目標(biāo)計(jì)算機(jī)。

（四）清除痕跡、留下后門

UNIX中三個(gè)重要的LOG文件:

WTMP - 記錄每次登錄的信息,包括登陸/退出的時(shí)間,終端,登錄主機(jī)IP

UTMP - 在線用戶記錄

LASTLOG - 記錄用戶上次是從哪里登錄的

例如：THC提供的cleara.c ,clearb.c是非常好用的清除工具?？梢郧宄齯tmp/utmpx,wtmp/wtmpx,修復(fù)lastlog讓其仍然顯示該用戶的上次登錄信息)。這些log文件缺省在什么地方呢?

這依賴于不同的Unix版本.

UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log

WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log

LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log

在一些舊unix版本中l(wèi)astlog數(shù)據(jù)被寫到$HOME/.lastlog

清除其它痕跡

很多hacker,他們把自己從log里刪除了.但他們忘記刪掉他們?cè)跈C(jī)器中留下的其他一些東西:在/tmp和$HOME中的文件Shell 記錄：一些shell會(huì)保留一個(gè)history文件(依賴于環(huán)境設(shè)置)記錄你執(zhí)行的命令.最好的選擇就是當(dāng)你登錄以后先啟動(dòng)一個(gè)新shell,然后在你的$HOME中查找歷史紀(jì)錄.啟動(dòng)新的shell的這條命令也會(huì)在root所分配的shell記錄文件里，這可能是追蹤入侵者的一個(gè)關(guān)鍵命令，可以直接使用ls –alt ./.*來查看當(dāng)前的記錄文件情況，可以使用cat /dev/null >./.*history來清空記錄文件。

歷史記錄文件:

sh : .sh_history

csh : .history

ksh : .sh_history

bash: .bash_history

zsh : .history

（五）攻擊其他系統(tǒng)

攻擊一個(gè)系統(tǒng)得手后，攻擊者往往不會(huì)就此罷手。他會(huì)在系統(tǒng)中尋找相關(guān)主機(jī)的可用信息，繼續(xù)進(jìn)行攻擊。攻擊的方式有多種，比較通行的是裝一個(gè)監(jiān)聽程序。這樣幾乎可以掌握整個(gè)局域網(wǎng)。

（六）安裝嗅偵器

攻擊者一個(gè)十分快速和有效地獲得大量內(nèi)部網(wǎng)絡(luò)主機(jī)的用戶名機(jī)器密碼的方法是使用“以太網(wǎng)嗅偵器”(ethernet sniffer)程序。但由于這些嗅偵器只有當(dāng)攻擊者和被攻擊者在同一個(gè)以太網(wǎng)段內(nèi)才有效，所以在充當(dāng)網(wǎng)橋的外網(wǎng)主機(jī)上運(yùn)行嗅偵器不會(huì)有用。

第四章 安全技術(shù)防御體系

一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)應(yīng)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等，每一層次上的安全都要依賴一定的技術(shù)。

文化安全	法律、法規(guī)
信息安全	信息傳輸安全（動(dòng)態(tài)安全）	數(shù)據(jù)加密		數(shù)據(jù)完整性鑒別	防抵賴
	信息存儲(chǔ)安全（靜態(tài)安全）	數(shù)據(jù)庫安全			終端安全
	信息的防泄密	信息內(nèi)容審計(jì)
	用戶	鑒別		授權(quán)
網(wǎng)絡(luò)安全	訪問控制	網(wǎng)絡(luò)安全檢測	入侵檢測	IPSEC	審計(jì)分析……
系統(tǒng)安全	主機(jī)安全……
鏈路安全	鏈路加密……
物理安全	環(huán)境安全		設(shè)備安全		媒體安全

一、身份認(rèn)證技術(shù)

身份認(rèn)證

身份認(rèn)證是對(duì)網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程，用戶必須提供他是誰的證明，他是某個(gè)雇員，某個(gè)組織的代理、某個(gè)軟件過程，如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過程。認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識(shí)別他的東西。比如說，系統(tǒng)中存儲(chǔ)了他的指紋，他接入網(wǎng)絡(luò)時(shí)，就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋，這就防止他以假的指紋或其他電子信息欺騙系統(tǒng)，只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識(shí)別，原理與指紋識(shí)別相同，聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。

通常有下列三種方法驗(yàn)證身份：

一是只有該主體了解的秘密，如口令、密鑰；

二是主體攜帶的物品，如智能卡和令牌卡；

三是只有該主體具有的獨(dú)一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等。

網(wǎng)絡(luò)通過用戶擁有什么東西來識(shí)別的方法，一般是用智能卡或其他特殊形式的標(biāo)志，這類標(biāo)志可以從連接到計(jì)算機(jī)上的讀出器讀出來。至于說到”他知道什么”，最普通的就是口令具有共享秘密的屬性。例如，要使服務(wù)器操作系統(tǒng)識(shí)別要人網(wǎng)的用戶，那么用戶必須把他的用戶名和口令送服務(wù)器。服務(wù)器就將它仍與數(shù)據(jù)庫里的用戶名和口令進(jìn)行比較，如果相符，就通過了認(rèn)證，可以上網(wǎng)訪問。這個(gè)口令就由服務(wù)器和用戶共享。更保密的認(rèn)證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以未加密的明碼進(jìn)行傳輸，接入到網(wǎng)上的規(guī)程分析儀就會(huì)在用戶輸人賬戶和口令時(shí)將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。用于身份認(rèn)證的其他辦法：

●主體特征認(rèn)證：利用個(gè)人特征進(jìn)行認(rèn)證的方式具有很高的安全性。目前已有的設(shè)備包括：視網(wǎng)膜掃描儀、聲音驗(yàn)證設(shè)備、手型識(shí)別器。這些識(shí)別系統(tǒng)能夠檢測如指印，簽名，聲音，零售圖案這樣的物理特征。但大多數(shù)這樣的系統(tǒng)極具實(shí)驗(yàn)性，價(jià)格昂貴而且不是百分之百的可靠。任何一個(gè)送數(shù)據(jù)到遠(yuǎn)程系統(tǒng)去核實(shí)的系統(tǒng)有被搭線竊聽的危險(xiǎn)，非法入侵者只須記錄下送去系統(tǒng)的校驗(yàn)信息，以后再重顯示這些信息，就能竊密。當(dāng)然這同樣也是標(biāo)記識(shí)別系統(tǒng)的一個(gè)問題。

●口令機(jī)制：口令是相互約定的代碼，假設(shè)只有用戶和系統(tǒng)知道。口令有時(shí)由用戶選擇，有時(shí)由系統(tǒng)分配。通常情況下，用戶先輸入某種標(biāo)志信息，比如用戶名和ID號(hào)，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，用戶即可進(jìn)人訪問?？诹钣卸喾N，如一次性口令，系統(tǒng)生成一次性口令的清單，第一次時(shí)必須使用X，第二次時(shí)必須使用Y，第三次時(shí)用Z，這樣一直下去；還有基于時(shí)間的口令，即訪問使用的正確口令隨時(shí)間變化，變化基于時(shí)間和一個(gè)秘密的用戶鑰匙。這樣口令每分鐘都在改變，使其更加難以猜測。

●智能卡：訪問不但需要口令，也需要使用物理智能卡。在允許其進(jìn)人系統(tǒng)之前檢查是否允許其接觸系統(tǒng)。智能卡大小形如信用卡，一般由微處理器、存儲(chǔ)器及輸入、輸出設(shè)施構(gòu)成。微處理器可計(jì)算該卡的一個(gè)惟一數(shù)（ID）和其他數(shù)據(jù)的加密形式。ID保證卡的真實(shí)性，持卡人就可訪問系統(tǒng)。為防止智能卡遺失或被竊，許多系統(tǒng)需要卡和身份識(shí)別碼（PIN） 同時(shí)使用。若僅有卡而不知PIN碼，則不能進(jìn)人系統(tǒng)。智能卡比傳統(tǒng)的口令方法進(jìn)行認(rèn)證更好，但其攜帶不方便，且開戶費(fèi)用較高。

●撥號(hào)回呼（Call Back Modem）：它是維護(hù)系統(tǒng)有效用戶表及其相應(yīng)電話號(hào)碼的設(shè)備。當(dāng)用戶撥號(hào)進(jìn)人系統(tǒng)時(shí)，系統(tǒng)獲得用戶的登錄賬戶后，掛起，再根據(jù)電話號(hào)碼表向用戶的設(shè)備撥人以驗(yàn)證其合法性。這種方法的優(yōu)點(diǎn)是，限制只有電話號(hào)碼存于系統(tǒng)的人才是系統(tǒng)的用戶，從而使非法侵人者不能從其家里撥入系統(tǒng)并登錄，這一方法的缺點(diǎn)是限制了用戶的靈活性，并仍需要使用口令，因?yàn)镸ODEM不能僅從用戶固定發(fā)號(hào)的地方，惟一地標(biāo)識(shí)用戶。

●一次性口令：即“詢問一應(yīng)答系統(tǒng)”。一次性口令系統(tǒng)允許用戶每次登錄時(shí)使用不同的口令。它使用一種稱作口令發(fā)生器的設(shè)備，設(shè)備是手?jǐn)y式的（大約為一個(gè)袖珍計(jì)算器的大?。⒂幸粋€(gè)加密程序和惟一的內(nèi)部加密密鑰。系統(tǒng)在用戶登錄時(shí)給用戶提供一個(gè)隨機(jī)數(shù)，用戶將這個(gè)隨機(jī)數(shù)送入口令發(fā)生器，口令發(fā)生器用戶的密鑰對(duì)隨機(jī)數(shù)加密，然后用戶再將口令發(fā)生器輸出的加密口令送入系統(tǒng)，系統(tǒng)將用戶輸入的口令，與它用相同的加密程序，密鑰和隨機(jī)數(shù)產(chǎn)生的口令比較，如果二者相同，允許用戶訪系統(tǒng)。其優(yōu)點(diǎn)是：用戶可每次敲人不同的口令，因此不需要口令保密，只有口令發(fā)生器需要安全保護(hù)。為了增加安全性，有些系統(tǒng)甚至不需聯(lián)機(jī)保存密鑰，實(shí)際的密鑰可保存在有線連接于系統(tǒng)的一個(gè)特殊加密計(jì)算機(jī)中。在用戶登錄期間，加密計(jì)算機(jī)將為用戶產(chǎn)生隨機(jī)數(shù)和加密口令。這樣一種系統(tǒng)的優(yōu)點(diǎn)是，口令實(shí)際不由用戶輸人，系統(tǒng)中也不保存密鑰，即使是加密格式的密鑰也可保存于系統(tǒng)中。其不足之處類似于標(biāo)記識(shí)別方法，每個(gè)用戶必須攜帶口令發(fā)生器，如果要脫機(jī)保存密鑰，還需要有一個(gè)特殊硬件。

遠(yuǎn)程用戶訪問資格確認(rèn)

裝備了功能強(qiáng)大的便攜機(jī)，遠(yuǎn)程工作的雇員可以訪問到公司的所有東西，從電子郵件到公司日常運(yùn)作的重要服務(wù)．包括銷售人員的自動(dòng)化工具和專用的客戶和公司記錄。信息系統(tǒng)（IS）的專業(yè)人員支持遠(yuǎn)程接人的安全性是至關(guān)重要的，主要是確保遠(yuǎn)程用戶說誰就是誰。加強(qiáng)遠(yuǎn)程接人安全性的最簡單但效能最低的手段是使用靜態(tài)口令：可以長時(shí)間內(nèi)連續(xù)使用的單一口令。可惜，很多用戶不是把口令寫在明顯處，就是把口令編進(jìn)通信軟件中。

防止非法侵人企業(yè)／組織機(jī)構(gòu)網(wǎng)絡(luò)的第一步便是識(shí)別進(jìn)網(wǎng)用戶，并確認(rèn)只有合法用戶以進(jìn)人受保護(hù)的系統(tǒng)。在 ISDN網(wǎng)絡(luò)系統(tǒng)中識(shí)別進(jìn)網(wǎng)用戶可通過 ISDN CLI（Calling LineIdentification）及 Subaddress來實(shí)現(xiàn)。當(dāng)遠(yuǎn)程用戶通過撥號(hào)方式（Dial Up）進(jìn)人網(wǎng)絡(luò)時(shí)，其訪問資格可通過TACACS（Terminal Access Controller Access Control System）來鑒定。很多機(jī)構(gòu)轉(zhuǎn)向采用兩因素認(rèn)證和利用一次性口令的新軟件標(biāo)識(shí)技術(shù)。這些方法改安全性，精簡了安全管理并降低了在快速擴(kuò)大遠(yuǎn)程接入基礎(chǔ)設(shè)施的造價(jià)。

一次性口令和兩因素認(rèn)證的安全方案通過實(shí)現(xiàn)對(duì)遠(yuǎn)程認(rèn)證至關(guān)緊要的兩件事來消除法，只有用戶擁有的東西（如硬件或軟件安全標(biāo)識(shí)）和只有用戶知道的東西（如個(gè)人身份號(hào)碼PIN）。個(gè)人身份號(hào)碼打開標(biāo)識(shí)，但不通過網(wǎng)絡(luò)發(fā)送，這就降低了安全性的風(fēng)險(xiǎn)。該標(biāo)識(shí)開始與安全服務(wù)器進(jìn)行對(duì)話。如 PIN的物理保護(hù)失敗，或私鑰丟失與用戶的口信令被竊同時(shí)發(fā)生時(shí)，用戶應(yīng)及時(shí)掛失。因此，要嚴(yán)格管理、保存好自己的PIN IC卡。

用戶獨(dú)特的密鑰暗藏在標(biāo)識(shí)中，或嵌入用戶PC機(jī)中的軟件（軟件標(biāo)識(shí)）或是單獨(dú)持式處理器（硬件標(biāo)識(shí)）。這個(gè)密鑰受到保護(hù)，“黑客”是得不到的。經(jīng)廣泛測試、并成為工業(yè)界標(biāo)準(zhǔn)的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是遠(yuǎn)程訪問認(rèn)證產(chǎn)品中最強(qiáng)的加密算法之一。DES支持72萬億種可能的鑰匙，我們這個(gè)星球上每個(gè)男人、女人和孩子都可以分到100多萬種可能的鑰匙。

一次性口令技術(shù)最強(qiáng)的實(shí)現(xiàn)方式采用了一種叫口令發(fā)問/應(yīng)答的技術(shù)。認(rèn)證服務(wù)器通過發(fā)送一個(gè)隨機(jī)的數(shù)字（即發(fā)問口令）給用戶來開始認(rèn)證的過程。發(fā)問口令對(duì)特定的認(rèn)證請(qǐng)求是唯一的，不會(huì)事先被猜出。軟件標(biāo)識(shí)用此發(fā)問口令，計(jì)算出應(yīng)答口令或者用手持式（硬件）標(biāo)識(shí)算出應(yīng)答口令。認(rèn)證服務(wù)器也計(jì)算應(yīng)答口令。如果用戶提供的應(yīng)答口令與認(rèn)證服務(wù)器算出的應(yīng)答口令相一致，用戶就被授予訪問應(yīng)用程序或系統(tǒng)的權(quán)利。

站在最終用戶的角度，軟件標(biāo)識(shí)工作起來像靜態(tài)口令，但在軟件標(biāo)識(shí)之下實(shí)現(xiàn)了兩因素認(rèn)證和真正的一次性口令功能。最終用戶必須做到全部事情只是擁有其計(jì)算機(jī)和記住他們的個(gè)人身份號(hào)碼。最好的軟件標(biāo)識(shí)還可以采用附加的安全技術(shù)，確保有效的軟件標(biāo)志只在一個(gè)地方工作，即保證復(fù)制的軟件不能工作，不管是在安裝前還是安裝后復(fù)制均無效。

PPP協(xié)議訪問資格確認(rèn)

在使用PPP協(xié)議的網(wǎng)絡(luò)（如 ISDN）上，對(duì)遠(yuǎn)程非法存取網(wǎng)絡(luò)信息的控制可通過符

OC1334的 PM協(xié)議（PaSSword Auhenticatbo ProtOCO）及 CHAP協(xié)議（Challenge Handshake Authentication Protocol）來實(shí)現(xiàn)。

保密字鑒定協(xié)議（PAP）在初始PPP鏈路建立時(shí)，通過2way握手方式為訪問方（calling Party）標(biāo)明其身份，提供了一個(gè)最簡單的方法。PAP協(xié)議的主要問題在于：用戶保密字是以未加密的“清晰”方式在網(wǎng)絡(luò)上傳送的，這為竊聽網(wǎng)絡(luò)者提供了可乘之機(jī)。

挑戰(zhàn)握手鑒定協(xié)議（CHAP）解決了PAP協(xié)議所具有的非保密弱點(diǎn)。CHAP協(xié)議在PPP鏈路建立后，被訪問路由器向請(qǐng)求訪問的路由器發(fā)送一含有隨機(jī)值的“挑戰(zhàn)”信息。接到挑戰(zhàn)信息后，請(qǐng)求訪問的路由器運(yùn)用雙方預(yù)定的算法及所收到的隨機(jī)值生成一校正值并將該值傳回被訪問路由器。被訪問路由器運(yùn)用同樣算法及同樣隨機(jī)值等信息產(chǎn)生另一校正值，若兩值相同，則接受連接要求，否則即終止該連接。通過此種辦法，CHAP可以有效地阻止非法侵入者接入受保護(hù)部門的網(wǎng)絡(luò)。由于CHAP協(xié)議不在網(wǎng)絡(luò)上傳送保密字信息，CHAP比PAP具有更強(qiáng)的保密性。

麻省理工學(xué)院設(shè)計(jì)的Kerberos安全方法是面向應(yīng)用層的加密技術(shù)，它具有一套完善的加加密認(rèn)證保護(hù)措施。目前FTP等公司的網(wǎng)絡(luò)應(yīng)用軟件Telnet，rlogin等支持Kerberos服務(wù)。

二、訪問控制技術(shù)

（一）主體、客體和訪問授權(quán)

訪問控制涉及到三個(gè)基本概念，即主體、客體和訪問授權(quán)。

主體：是一個(gè)主動(dòng)的實(shí)體，它包括用戶、用戶組、終端、主機(jī)或一個(gè)應(yīng)用，主體可以訪問客體。

客體：是一個(gè)被動(dòng)的實(shí)體，對(duì)客體的訪問要受控。它可以是一個(gè)字節(jié)、字段、記錄、程序、文件，或者是一個(gè)處理器、存貯器、網(wǎng)絡(luò)接點(diǎn)等。

授權(quán)訪問：指主體訪問客體的允許，授權(quán)訪問對(duì)每一對(duì)主體和客體來說是給定的。例如，授權(quán)訪問有讀寫、執(zhí)行，讀寫客體是直接進(jìn)行的，而執(zhí)行是搜索文件、執(zhí)行文件。對(duì)用戶的訪問授權(quán)是由系統(tǒng)的安全策略決定的。

在—個(gè)訪問控制系統(tǒng)中，區(qū)別主體與客體很重要。首先由主體發(fā)起訪問客體的操作，該操作根據(jù)系統(tǒng)的授權(quán)或被允許或被拒絕。另外，主體與客體的關(guān)系是相對(duì)的，當(dāng)一個(gè)主體受到另一主體的訪問，成為訪問目標(biāo)時(shí)，該主體便成為了客體。

（二）訪問控制策略

訪問控制通常有三種策略：

自主訪問控制 （ Discretionary Access Control ）；

強(qiáng)制訪問控制 （ Mandatory Access Control ）；

基于角色的訪問控制 （ Ro1e-Based Access Control ）。

各種訪問控制策略之間并不相互排斥，現(xiàn)存計(jì)算機(jī)系統(tǒng)中通常都是多種訪問控制策略并存，系統(tǒng)管理員能夠?qū)Π踩呗赃M(jìn)行配置使其達(dá)到安全政策的要求。

1、自主訪問控制 （DAC）

自主訪問控制，又稱為隨意訪問控制，根據(jù)用戶的身份及允許訪問權(quán)限決定其訪問操作，只要用戶身份被確認(rèn)后，即可根據(jù)訪問控制表上賦予該用戶的權(quán)限進(jìn)行限制性用戶訪問。使用這種控制方法，用戶或應(yīng)用可任意在系統(tǒng)中規(guī)定誰可以訪問它們的資源，這樣，用戶或用戶進(jìn)程就可有選擇地與其他用戶共享資源。它是一種對(duì)單獨(dú)用戶執(zhí)行訪問控制的過程和措施。

由于DAC對(duì)用戶提供靈活和易行的數(shù)據(jù)訪問方式，能夠適用于許多的系統(tǒng)環(huán)境，所以DAC被大量采用、尤其在商業(yè)和工業(yè)環(huán)境的應(yīng)用上。然而，DAC提供的安全保護(hù)容易被非法用戶繞過而獲得訪問。例如，若某用戶A有權(quán)訪問文件F，而用戶B無權(quán)訪問F，則一旦A獲取F后再傳送給B，則B也可訪問F，其原因是在自由訪問策略中，用戶在獲得文件的訪問后，并沒有限制對(duì)該文件信息的操作，即并沒有控制數(shù)據(jù)信息的分發(fā)。所以DAC提供的安全性還相對(duì)較低，不能夠?qū)ο到y(tǒng)資源提供充分的保護(hù)，不能抵御特洛伊木馬的攻擊。

2、強(qiáng)制訪問控制 （MAC）

與DAC相比，強(qiáng)制訪問控制提供的訪問控制機(jī)制無法繞過。在強(qiáng)制訪問控制中，每個(gè)用戶及文件都被賦予一定的安全級(jí)別，用戶不能改變自身或任何客體的安全級(jí)別，即不允許單個(gè)用戶確定訪問權(quán)限，只有系統(tǒng)管理員可以確定用戶和組的訪問權(quán)限。系統(tǒng)通過比較用戶和訪問的文件的安全級(jí)別來決定用戶是否可以訪問該文件。此外，強(qiáng)制訪問控制不允許一個(gè)進(jìn)程生成共享文件，從而訪止進(jìn)程通過共享文件將信息從一個(gè)進(jìn)程傳到另一進(jìn)程。MAC可通過使用敏感標(biāo)簽對(duì)所有用戶和資源強(qiáng)制執(zhí)行安全策略，即實(shí)行強(qiáng)制訪問控制。安全級(jí)別一般有四級(jí)：絕密級(jí)（Top Secret），秘密級(jí)（Secret），機(jī)密級(jí)（Confidential）反無級(jí)別級(jí)（Unclas sified），其中T＞S＞C＞U。

則用戶與訪問的信息的讀寫關(guān)系將有四種，即：

下讀（read down）：用戶級(jí)別人于文件級(jí)別的讀操作。

上寫（write up）：用戶級(jí)別低于文件級(jí)別的寫操作。

下寫（write down）：用戶級(jí)別大于文件級(jí)別的寫操作。

上讀（read up）：用戶級(jí)別低于文件級(jí)別的讀操作。

上述讀寫方式都保證了信息流的單向性，顯然上讀—下寫方式保證了數(shù)據(jù)的完整性（integrity），上寫—下讀方式則保證了信息的秘密性。

3、角色訪問控制 （RBAC）

角色訪問策略是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的，活動(dòng)性質(zhì)表明用戶充當(dāng)一定的角色，用戶訪問系統(tǒng)時(shí)，系統(tǒng)必須先檢查用戶的角色。一個(gè)用戶可以充當(dāng)多個(gè)角色、一個(gè)角色也可以由多個(gè)用戶擔(dān)任。角色訪問策略具有以下優(yōu)點(diǎn)：

便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時(shí)，必須有幾個(gè)不同角色的用戶到場方能操作，從而保證了安全性；

便于根據(jù)工作需要分級(jí)，如企業(yè)財(cái)務(wù)部門與非財(cái)力部門的員工對(duì)企業(yè)財(cái)務(wù)的訪問權(quán)就可由財(cái)務(wù)人員這個(gè)角色來區(qū)分；

便于賦予最小特權(quán)，如即使用戶被賦予高級(jí)身份時(shí)也未必一定要使用，以便減少損失。只有必要時(shí)方能擁有特權(quán)；

便于任務(wù)分擔(dān)，不同的角色完成不同的任務(wù)；

便于文件分級(jí)管理，文件本身也可分為個(gè)同的角色，如信件、賬單等，由不同角色的用戶擁有。

角色訪問策略是一種有效而靈活的安全措施。通過定義模型各個(gè)部分，可以實(shí)現(xiàn)DAC和MAC所要求的控制策略，目前這方面的研究及應(yīng)用還處在實(shí)驗(yàn)探索階段。George Mason大學(xué)在這方面處于領(lǐng)先地位，現(xiàn)在已經(jīng)設(shè)計(jì)出了沒有root的UNIX系統(tǒng)管理、沒有集中控制的Web服務(wù)器管理等機(jī)制。

（三）訪問控制機(jī)制

訪問控制機(jī)制是為檢測和防止系統(tǒng)中的未經(jīng)授權(quán)訪問，對(duì)資源予以保護(hù)所采取的軟硬件措施和一系列管理措施等。訪問控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許主體訪問客體，它貫穿于系統(tǒng)工作的全過程，是在文件系統(tǒng)中廣泛應(yīng)用的安全防護(hù)方法。

訪問控制矩陣 （Access Contro1 Matrix） 是最初實(shí)現(xiàn)訪問控制機(jī)制的概念模型，它利用二維矩陣規(guī)定了任意主體和任意客體間的訪問權(quán)限。中矩陣中的行代表主體的訪問權(quán)限屬性，矩陣中的列代表客體的訪問權(quán)限屬性，矩陣中的每—格表示所在行的主體對(duì)所在列的客體的訪問授權(quán)。訪問控制的任務(wù)就是確保系統(tǒng)的操作是按照訪問控制矩陣授權(quán)的訪問來執(zhí)行的，它是通過引用監(jiān)控器協(xié)調(diào)客體對(duì)主體的每次訪問而實(shí)現(xiàn)，這種方法清晰的實(shí)現(xiàn)認(rèn)證與訪問控制的相互分離。

	File1	File 2	File 3
John	Own R W		Own R W
Alice	R	Own R W	W
Bob	R W	R

圖3訪問控制矩陣

在較大的系統(tǒng)中，訪問控制矩陣將變得非常巨大，而且矩陣中的許多格可能都為空，造成很大的存儲(chǔ)空間浪費(fèi)，因此在實(shí)際應(yīng)用小，訪問控制很少利用矩陣方式實(shí)現(xiàn)。下面，我們將討論在實(shí)際應(yīng)用中訪問控制的幾種常用方法。

1、訪問控制表 （Access Control Lists，ACLs）

訪問控制表ACLs是以文件為中心建立訪問權(quán)限表，如圖3所示。表中登記了該文件的訪問用戶名及訪問權(quán)隸屬關(guān)系。利用訪問控制表，能夠很容易的判斷出對(duì)于特定客體的授權(quán)訪問，哪些主體可以訪問并有哪些訪問權(quán)限。同樣很容易撤消特定客體的授權(quán)訪問，只要把該客體的訪問控制表置為空。

出于訪問控制表的簡單、實(shí)用，雖然在查詢特定卞體能夠訪問的客體時(shí)，需要遍歷查詢所有客體的訪問控制表，它仍然是一種成熟且有效的訪問控制實(shí)現(xiàn)方法，許多通用的操作系統(tǒng)使用訪問控制表來提供訪問控制服務(wù)。例如Unix和VMS系統(tǒng)利用訪問控制表的簡略方式，允許以少量工作組的形式實(shí)現(xiàn)訪問控制表，而不允許單個(gè)的個(gè)體出現(xiàn)，這樣可以便訪問控制表很小而能夠用幾位就可以和文件存儲(chǔ)在一起。另一種復(fù)雜的訪問控制表應(yīng)用是利用一些訪問控制包，通過它制定復(fù)雜的訪問規(guī)則限制何時(shí)和如何進(jìn)行訪問，而且這些規(guī)則根據(jù)用戶名和其他用戶屬性的定義進(jìn)行單個(gè)用戶的匹配應(yīng)用。

圖4訪問控制表

2、能力關(guān)系表 （Capabilities Lists）

能力關(guān)系表與ACL相反，是以用戶為中心建立訪問權(quán)限表，表中規(guī)定了該用戶可訪問的文件名及訪問權(quán)限，如圖5。

利用能力關(guān)系表可以很方便查詢一個(gè)主體的所有授權(quán)訪問。相反，檢索具有授權(quán)訪問特定客體的所有主體，則需要遍歷所有主體的能力關(guān)系表。從70年代起，開始開發(fā)基于能力關(guān)系表實(shí)現(xiàn)訪問控制的計(jì)算機(jī)系統(tǒng)、但是沒有獲得商業(yè)上

密碼技術(shù)

數(shù)據(jù)加密

在計(jì)算機(jī)上實(shí)現(xiàn)的數(shù)據(jù)加密，其加密或解密變換是由密鑰控制實(shí)現(xiàn)的。密鑰（Keyword）是用戶按照一種密碼體制隨機(jī)選取，它通常是一隨機(jī)字符串，是控制明文和密文變換的唯一參數(shù)?！?/p>

數(shù)字簽名　

密碼技術(shù)除了提供信息的加密解密外，還提供對(duì)信息來源的鑒別、保證信息的完整和不可否認(rèn)等功能，而這三種功能都是通過數(shù)字簽名實(shí)現(xiàn)。

數(shù)字簽名的原理是將要傳送的明文通過一種函數(shù)運(yùn)算（Hash）轉(zhuǎn)換成報(bào)文摘要（不同的明文對(duì)應(yīng)不同的報(bào)文摘要），報(bào)文摘要加密后與明文一起傳送給接受方，接受方將接受的明文產(chǎn)生新的報(bào)文摘要與發(fā)送方的發(fā)來報(bào)文摘要解密比較，比較結(jié)果一致表示明文未被改動(dòng)，如果不一致表示明文已被篡改?！?/p>

加密體制及比較

根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：一類是對(duì)稱加密（秘密鑰匙加密）系統(tǒng)，另一類是公開密鑰加密（非對(duì)稱加密）系統(tǒng)。

對(duì)稱鑰匙加密系統(tǒng)是加密和解密均采用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。

對(duì)稱密碼系統(tǒng)的安全性依賴于以下兩個(gè)因素。第一，加密算法必須是足夠強(qiáng)的，僅僅基于密文本身去解密信息在實(shí)踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性，因此，我們沒有必要確保算法的秘密性，而需要保證密鑰的秘密性。對(duì)稱加密系統(tǒng)的算法實(shí)現(xiàn)速度極快，從AES候選算法的測試結(jié)果看，軟件實(shí)現(xiàn)的速度都達(dá)到了每秒數(shù)兆或數(shù)十兆比特。對(duì)稱密碼系統(tǒng)的這些特點(diǎn)使其有著廣泛的應(yīng)用。因?yàn)樗惴ú恍枰Ｃ?，所以制造商可以開發(fā)出低成本的芯片以實(shí)現(xiàn)數(shù)據(jù)加密。這些芯片有著廣泛的應(yīng)用，適合于大規(guī)模生產(chǎn)。　　

對(duì)稱加密系統(tǒng)最大的問題是密鑰的分發(fā)和管理非常復(fù)雜、代價(jià)高昂。比如對(duì)于具有n個(gè)用戶的網(wǎng)絡(luò)，需要n（n－1）/2個(gè)密鑰，在用戶群不是很大的情況下，對(duì)稱加密系統(tǒng)是有效的。但是對(duì)于大型網(wǎng)絡(luò)，當(dāng)用戶群很大，分布很廣時(shí)，密鑰的分配和保存就成了大問題。對(duì)稱加密算法另一個(gè)缺點(diǎn)是不能實(shí)現(xiàn)數(shù)字簽名?！?/p>

公開密鑰加密系統(tǒng)采用的加密鑰匙（公鑰）和解密鑰匙（私鑰）是不同的。由于加密鑰匙是公開的，密鑰的分配和管理就很簡單，比如對(duì)于具有n個(gè)用戶的網(wǎng)絡(luò)，僅需要2n個(gè)密鑰。公開密鑰加密系統(tǒng)還能夠很容易地實(shí)現(xiàn)數(shù)字簽名。因此，最適合于電子商務(wù)應(yīng)用需要。在實(shí)際應(yīng)用中，公開密鑰加密系統(tǒng)并沒有完全取代對(duì)稱密鑰加密系統(tǒng)，這是因?yàn)楣_密鑰加密系統(tǒng)是基于尖端的數(shù)學(xué)難題，計(jì)算非常復(fù)雜，它的安全性更高，但它實(shí)現(xiàn)速度卻遠(yuǎn)趕不上對(duì)稱密鑰加密系統(tǒng)。在實(shí)際應(yīng)用中可利用二者的各自優(yōu)點(diǎn)，采用對(duì)稱加密系統(tǒng)加密文件，采用公開密鑰加密系統(tǒng)加密“加密文件”的密鑰（會(huì)話密鑰），這就是混合加密系統(tǒng)，它較好地解決了運(yùn)算速度問題和密鑰分配管理問題。因此，公鑰密碼體制通常被用來加密關(guān)鍵性的、核心的機(jī)密數(shù)據(jù)，而對(duì)稱密碼體制通常被用來加密大量的數(shù)據(jù)?！?/p>

對(duì)稱密碼加密系統(tǒng)　

對(duì)稱加密系統(tǒng)最著名的是美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES、AES（高級(jí)加密標(biāo)準(zhǔn)）和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA。1977年美國國家標(biāo)準(zhǔn)局正式公布實(shí)施了美國的數(shù)據(jù)加密標(biāo)準(zhǔn)DES，公開它的加密算法，并批準(zhǔn)用于非機(jī)密單位和商業(yè)上的保密通信。隨后DES成為全世界使用最廣泛的加密標(biāo)準(zhǔn)。加密與解密的密鑰和流程是完全相同的，區(qū)別僅僅是加密與解密使用的子密鑰序列的施加順序剛好相反。但是，經(jīng)過20多年的使用，已經(jīng)發(fā)現(xiàn)DES很多不足之處，對(duì)DES的破解方法也日趨有效。AES將會(huì)替代DES成為新一代加密標(biāo)準(zhǔn)。

公鑰密碼加密系統(tǒng)　　

自公鑰加密問世以來，學(xué)者們提出了許多種公鑰加密方法，它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。根據(jù)所基于的數(shù)學(xué)難題來分類，有以下三類系統(tǒng)目前被認(rèn)為是安全和有效的：大整數(shù)因子分解系統(tǒng)（代表性的有RSA）、橢園曲線離散對(duì)數(shù)系統(tǒng)（ECC）和離散對(duì)數(shù)系統(tǒng)?。ù硇缘挠蠨SA）。當(dāng)前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)RSA是由Rivet、Shamir、Adelman提出的（簡稱為RSA系統(tǒng)），它的安全性是基于大整數(shù)素因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統(tǒng)是公鑰系統(tǒng)的最具有典型意義的方法，大多數(shù)使用公鑰密碼進(jìn)行加密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法?！?/p>

RSA方法的優(yōu)點(diǎn)主要在于原理簡單，易于使用。但是，隨著分解大整數(shù)方法的進(jìn)步及完善、計(jì)算機(jī)速度的提高以及計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展（可以使用成千上萬臺(tái)機(jī)器同時(shí)進(jìn)行大整數(shù)分解），作為RSA加解密安全保障的大整數(shù)要求越來越大。為了保證RSA使用的安全性，其密鑰的位數(shù)一直在增加，比如，目前一般認(rèn)為RSA需要1024位以上的字長才有安全保障。但是，密鑰長度的增加導(dǎo)致了其加解密的速度大為降低，硬件實(shí)現(xiàn)也變得越來越難以忍受，這對(duì)使用RSA的應(yīng)用帶來了很重的負(fù)擔(dān)，對(duì)進(jìn)行大量安全交易的電子商務(wù)更是如此，從而使得其應(yīng)用范圍越來越受到制約。

DSA（Data　Signature　Algorithm）是基于離散對(duì)數(shù)問題的數(shù)字簽名標(biāo)準(zhǔn)，它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能。安全性更高、算法實(shí)現(xiàn)性能更好的公鑰系統(tǒng)橢圓曲線加密算法ECC（Elliptic　Curve　Cryptography）基于離散對(duì)數(shù)的計(jì)算困難性?！?/p>

橢圓曲線加密算法ECC技術(shù)優(yōu)勢

橢圓曲線加密方法與RSA方法相比，有以下優(yōu)點(diǎn)：

● 安全性能更高　　

加密算法的安全性能一般通過該算法的抗攻擊強(qiáng)度來反映。ECC和其他幾種公鑰系統(tǒng)相比，其抗攻擊性具有絕對(duì)的優(yōu)勢。如160位　ECC與1024位　RSA、DSA有相同的安全強(qiáng)度。而210位　ECC則與2048bit　RSA、DSA具有相同的安全強(qiáng)度。

● 計(jì)算量小，處理速度快

雖然在RSA中可以通過選取較小的公鑰（可以小到3）的方法提高公鑰處理速度，即提高加密和簽名驗(yàn)證的速度，使其在加密和簽名驗(yàn)證速度上與ECC有可比性，但在私鑰的處理速度上（解密和簽名），ECC遠(yuǎn)比RSA、DSA快得多。因此ECC總的速度比RSA、DSA要快得多。

● 存儲(chǔ)空間占用小

ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多，意味著它所占的存貯空間要小得多。這對(duì)于加密算法在IC卡上的應(yīng)用具有特別重要的意義?！?/p>

● 帶寬要求低

當(dāng)對(duì)長消息進(jìn)行加解密時(shí)，三類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時(shí)ECC帶寬要求卻低得多。而公鑰加密系統(tǒng)多用于短消息，例如用于數(shù)字簽名和用于對(duì)對(duì)稱系統(tǒng)的會(huì)話密鑰傳遞。帶寬要求低使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景。ECC的這些特點(diǎn)使它必將取代RSA，成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。

防火墻技術(shù)

1、防火墻概念

防火墻是一個(gè)網(wǎng)絡(luò)安全的專用詞，它是可在內(nèi)部網(wǎng)（或局域網(wǎng)）和互連網(wǎng)之間，或者是內(nèi)部網(wǎng)的各部分之間實(shí)施安全防護(hù)的系統(tǒng)。通常它是由硬件設(shè)備——路由器、網(wǎng)關(guān)、堡壘主機(jī)、代理服務(wù)器和防護(hù)軟件等共同組成。在網(wǎng)絡(luò)中它可對(duì)信息進(jìn)行分析、隔離、限制，既可限制非授權(quán)用戶訪問敏感數(shù)據(jù)，又可允許合法用戶自由地訪問網(wǎng)絡(luò)資源，從而保護(hù)網(wǎng)絡(luò)的運(yùn)行安全。防火墻就內(nèi)部網(wǎng)和互連網(wǎng)的連接，見圖4.5-1。它具有訪問控制功能，按照系統(tǒng)要求，確定哪些內(nèi)部服務(wù)允許外部訪問；哪些外部服務(wù)允許內(nèi)部訪問。它可以和路由器做成一體，也可以做成一臺(tái)或幾臺(tái)專門的堡壘計(jì)算機(jī)（該用詞來源于中世紀(jì)有設(shè)防的城堡），即高安全性的計(jì)算機(jī)，安放專門的軟件，形成大型防火墻。

如圖4.5-1所示，防火墻的一面是安全、保密、可靠的內(nèi)部網(wǎng)（專用網(wǎng)），而另一面是開放不保密的互連網(wǎng)。內(nèi)部網(wǎng)和互連網(wǎng)之間的每個(gè)活動(dòng)（如電子郵件、文件傳輸、遠(yuǎn)程登錄等）和每條信息都要被攔截，由防火墻確定活動(dòng)是否符合安全規(guī)則，是否允許進(jìn)行。根據(jù)規(guī)則，防火墻確定一個(gè)數(shù)據(jù)包或一個(gè)連接請(qǐng)求是否允許通過。因此，形象地說，防火墻類似于房門鎖或守門人。它的目的是僅允許已被授權(quán)的用戶進(jìn)入系統(tǒng)，不允許外人攜帶珠寶走出房間。

防火墻所采取的主要技術(shù)有包過濾技術(shù)、代理技術(shù)、狀態(tài)監(jiān)視技術(shù)等。

（1）包過濾（Packet Filter）技術(shù)

依據(jù)系統(tǒng)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP端口、路徑狀態(tài)等來確定是否允許數(shù)據(jù)包通過。包過濾器可在路由器之外單獨(dú)設(shè)置，也可與路由器做成一體，在路由設(shè)備上實(shí)現(xiàn)包過濾，還可在工作站上用軟件進(jìn)行包過濾。

（2）代理（Proxy）技術(shù)

代理服務(wù)是在網(wǎng)絡(luò)中專門設(shè)置的代理服務(wù)器上的專用程序。代理服務(wù)可按安全管理員的設(shè)置，允許或拒絕特定的數(shù)據(jù)或功能。一般和包過濾器、應(yīng)用網(wǎng)關(guān)等共同使用，將外部信息流阻擋在內(nèi)部網(wǎng)的結(jié)構(gòu)和運(yùn)行之外，使內(nèi)部網(wǎng)與外部網(wǎng)的數(shù)據(jù)交換只在代理服務(wù)器上進(jìn)行，從而實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的隔離。此外，代理服務(wù)還可完成數(shù)據(jù)流監(jiān)控、過濾、記錄、報(bào)告等功能。

（3）狀態(tài)監(jiān)視技術(shù)

狀態(tài)監(jiān)視可通過提取相關(guān)數(shù)據(jù)來對(duì)網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)視并作為決策時(shí)的依據(jù)。監(jiān)視功能支持多種網(wǎng)絡(luò)協(xié)議，可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充，特別是可監(jiān)視RPC（遠(yuǎn)程進(jìn)程調(diào)用）和UDP（用戶數(shù)據(jù)報(bào)文）端口信息，這是其它安全服務(wù)所不能完成的。

2．防火墻的作用

（1）取消或拒絕任何未被明確允許的軟件包通過；

（2）將外部用戶保持在內(nèi)部網(wǎng)之外，即對(duì)外部用戶訪問內(nèi)部網(wǎng)做出限制，如互連網(wǎng)用戶確實(shí)需要訪問某些文件（如公司的公共文件），則這些文件可置于防火墻之外的互連網(wǎng)一側(cè)；

（3）強(qiáng)制執(zhí)行注冊(cè)、審計(jì)和報(bào)警等。即對(duì)通過防火墻的信息注冊(cè)、審計(jì)，在發(fā)現(xiàn)某人試圖闖過防火墻時(shí)，及時(shí)發(fā)出警報(bào)。

3．防火墻的設(shè)計(jì)

防火墻一般由5部分組成，如圖4.5－1所示。

4、防火墻的優(yōu)點(diǎn)和缺陷

除了連接控制和安全日志，防火墻還有許多其它優(yōu)點(diǎn)，盡管有許多優(yōu)點(diǎn)，但也要意識(shí)到防火墻有許多缺陷。防火墻無能為力的是：訪問限制、后門威脅（Modem或RAS服務(wù)器）和對(duì)于內(nèi)部的黑客攻擊。

5、分布式防火墻

分布式防火墻是一種主機(jī)駐留式的安全軟件應(yīng)用。用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器及工作站免受非法入侵的破壞。集中式管理及日志記錄是其所具有的基本特性。

傳統(tǒng)的邊界防火墻及包過濾路由器是放置在彼此“不友好”的兩個(gè)網(wǎng)絡(luò)之間，比如放置在Internet和“友好的”企業(yè)網(wǎng)絡(luò)之間。這種傳統(tǒng)的解決方案在兩個(gè)環(huán)境之間提供了一個(gè)安全網(wǎng)關(guān)。這個(gè)網(wǎng)關(guān)在一個(gè)單檢查點(diǎn)對(duì)所有進(jìn)出的數(shù)據(jù)流進(jìn)行檢查和過濾。

三、系統(tǒng)漏洞掃描技術(shù)

漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。漏洞一詞是從英文單詞vulnerability翻譯而來的，原文解釋如下：“In computer security，any weakness or flaw existing in a system，the susceptibility of a system to a specific threat attack or harmful event，or the opportunity available to a threat agent to mount that attack.”按照原詞的意思譯做“脆弱性”更為確切，但是人們還是接受了更加通俗化的“漏洞”的說法。而根據(jù)權(quán)威的漏洞標(biāo)準(zhǔn)化組織CVE的研究，認(rèn)為僅漏洞一詞是不能概括所有的安全隱患，他們認(rèn)為用兩個(gè)詞，即vulnerability與exposure來共同描述更為確切。關(guān)于這一點(diǎn)，我們?cè)谶@里就不再深入討論了，有興趣的讀者可以瀏覽CVE的網(wǎng)站以獲得更多的信息。每天都會(huì)有新的漏洞產(chǎn)生，它們會(huì)影響到很大范圍內(nèi)的網(wǎng)絡(luò)工具，包括：

路由器

客戶和服務(wù)器軟件

操作系統(tǒng)

防火墻

漏洞的危害可以簡單的用木桶原則加以說明：一個(gè)木桶能盛多少水，不在于組成它的最長的那根木料，而取決于它身上最短的那一根。同樣對(duì)于一個(gè)系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法，最先進(jìn)的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞決定，只要這個(gè)漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。

作為一個(gè)網(wǎng)絡(luò)管理者的主要工作就是要知道這些漏洞如何產(chǎn)生？它們將會(huì)對(duì)系統(tǒng)產(chǎn)生什么影響？如何修補(bǔ)這些漏洞從而加固系統(tǒng)？

漏洞如何出現(xiàn)

一個(gè)漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。而這個(gè)工作主要是由以下三個(gè)組織之一來完成的：

黑客

破譯者

安全服務(wù)商組織

漏洞對(duì)系統(tǒng)的威脅從上圖表中可以看出。

掃描程序是自動(dòng)檢測遠(yuǎn)端或本地主機(jī)脆弱性的程序。通過與目標(biāo)主機(jī)TCP/IP端口建立連接并請(qǐng)求某些服務(wù)（如TELNET、FTP等），記錄目標(biāo)主機(jī)的應(yīng)答，搜集目標(biāo)主機(jī)相關(guān)信息（如匿名用戶是否可以登錄等），從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全漏洞。對(duì)某一類漏洞進(jìn)行檢查的程序成為一個(gè)掃描方法。掃描工具就是這些方法組成的方法集。掃描工具也稱掃描器，目前大部分是軟件掃描器，但也有少數(shù)的硬件掃描器。掃描工具的重要性在于把極為煩瑣的安全檢測，通過程序來自動(dòng)完成，這不僅減輕管理者的工作，而且縮短了檢測時(shí)間，使問題發(fā)現(xiàn)更快。當(dāng)然，也可以認(rèn)為掃描工具是一種網(wǎng)絡(luò)安全性評(píng)估軟件。一般而言，掃描工具可以快速、深入地對(duì)網(wǎng)絡(luò)或目標(biāo)主機(jī)進(jìn)行評(píng)估。

早期的掃描程序是專門為UNIX系統(tǒng)編寫的，隨著越來越多的操作系統(tǒng)開始支持TCP/IP，所以每一種平臺(tái)上都出現(xiàn)了掃描工具（Scanner），例如基于Windows NT/Windows 2000平臺(tái)。掃描常用技術(shù)包括ping 掃射、端口掃描、操作系統(tǒng)識(shí)別、穿透防火墻的掃描。

掃描之所以重要是因?yàn)樗芙沂疽粋€(gè)網(wǎng)絡(luò)的脆弱點(diǎn)。在負(fù)責(zé)任的人手里，掃描工具可以使一些繁瑣的安全評(píng)估工作得到簡化；但在不負(fù)責(zé)任的人手中，掃描工具就會(huì)對(duì)網(wǎng)絡(luò)安全造成威脅。

網(wǎng)絡(luò)反病毒技術(shù)

病毒的肆虐，使偌大的微機(jī)世界沸沸揚(yáng)揚(yáng)，難找一塊凈土。不懂病毒，不采取反病毒措施已不能正常工作。在與病毒斗爭的過程中，產(chǎn)生了許多反病毒技術(shù)，它們?cè)谂c病毒的斗爭中，發(fā)揮了重要作用。隨著病毒技術(shù)的進(jìn)步，面對(duì)大數(shù)量、高品質(zhì)病毒大潮，某些反病毒技術(shù)捉襟見肘。在病毒與反病毒技術(shù)對(duì)抗中，病毒技術(shù)是主動(dòng)的、進(jìn)攻的一方；反病毒技術(shù)處于被動(dòng)、防衛(wèi)的地化，而且總體上反病毒技術(shù)總是滯后干病毒技術(shù)的發(fā)展。病毒技術(shù)的進(jìn)步，對(duì)反病毒技術(shù)提出了更高的要求，它必須能對(duì)病毒技術(shù)進(jìn)步造成的禁區(qū)和死角找出對(duì)策。

反病毒技術(shù)大體分為：

·病毒檢測

·病毒清除

·病毒免疫

·病毒預(yù)防

對(duì)計(jì)算機(jī)病毒應(yīng)以預(yù)防為主，研制出高品質(zhì)預(yù)防技術(shù)，才是上策。

一般預(yù)防對(duì)策

要根絕病毒必須摒棄馮·諾依曼體系和信息共享。事實(shí)上，這兩者都不可能丟棄，一般用戶對(duì)機(jī)器中采用的馮·諾依曼體系，無能為力。但是，對(duì)機(jī)器的使用上加強(qiáng)管理，可以取得防病毒效果。早期美國軍方計(jì)算機(jī)系統(tǒng)的主要安全防御措施是與外界隔絕。但是，較新型的系統(tǒng)允許多層次應(yīng)用，系統(tǒng)擁有不同可靠程度的眾多用戶，他們?cè)谕幌到y(tǒng)中相互通信。在許多此類系統(tǒng)中，具與很低安全特權(quán)的用戶是病毒攻擊的受害者。因?yàn)椋哂凶罡甙踩貦?quán)的用戶能運(yùn)行程序?qū)艿桶踩貦?quán)用戶的文件做寫入動(dòng)作，使之被感染。

病毒的攻擊使計(jì)算機(jī)安全專家重新懷念這一古老方法。他們指出：防御計(jì)算機(jī)病毒最完美的唯一方法是使計(jì)算機(jī)與外界先全隔離。但是，這樣做將毀壞多數(shù)辦公計(jì)算機(jī)系統(tǒng)的功能。

良好的管理和安全措施，可以大大減少病毒攻擊的危險(xiǎn)和有效地防御大多數(shù)病毒。

管理對(duì)策的核心是控制外部的介入，要使自己的系統(tǒng)與外界完全隔離，是不可能的，控制外部介入是必要的、可能的?？刹扇〉膶?duì)策如下：

絕對(duì)不許外部人員操縱自己的機(jī)器

不許將外來磁盤插入機(jī)器

不使用來路不明的軟盤

不要將自己的軟盤插入別人的機(jī)器用

不要使用網(wǎng)絡(luò)通信

病毒征兆

怎樣才能知道你的系統(tǒng)中有病毒？雖然有許多反病毒工具可以報(bào)警，告訴你發(fā)現(xiàn)非法操作或計(jì)算機(jī)病毒的可能的感染征兆。但是，不是所有的報(bào)警都是病毒攻擊引起的。有許多發(fā)現(xiàn)病毒的報(bào)告事后被證明是虛假報(bào)警，它們多是由操作者的疏忽或操作失誤引起的。

人們所發(fā)現(xiàn)的征兆中，有些是程序不兼容，有些是操作失誤，有些是機(jī)器故障，有些則確實(shí)是病毒攻擊的征兆。下面列舉一些應(yīng)該注意的病毒征兆：

磁盤文件數(shù)目增多

系統(tǒng)的RAM空間變小

文件的日期／時(shí)間值被改變

可執(zhí)行程序長度增加

磁盤上出現(xiàn)壞簇

程序加載時(shí)間比平時(shí)變長

程序執(zhí)行時(shí)間較平時(shí)變長

硬盤讀寫時(shí)間明顯增加

硬盤啟動(dòng)系統(tǒng)失敗

在與病毒的對(duì)抗中，及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn)，早處置，可以減少損失。廣泛使用的主要檢測病毒方法有：

特征代碼法

校驗(yàn)和法

行為監(jiān)測法

軟件模擬法

感染實(shí)驗(yàn)法

這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開銷不同，檢測范圍不同。它們各有所長，亦各有短處。

安全審計(jì)技術(shù)

安全審計(jì)是一個(gè)安全的網(wǎng)絡(luò)必須支持的功能特性，審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

網(wǎng)絡(luò)系統(tǒng)作為政府部門網(wǎng)絡(luò)信息系統(tǒng)也應(yīng)具備安全審計(jì)措施。并通過多層次的審計(jì)手段，形成一個(gè)功能較完備的安全審計(jì)系統(tǒng)。

具體而言，網(wǎng)絡(luò)的審計(jì)系統(tǒng)應(yīng)該由三個(gè)層次組成，分別是：

網(wǎng)絡(luò)層層次的安全審計(jì)：主要利用防火墻的審計(jì)功能、網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)來實(shí)現(xiàn)。

系統(tǒng)的安全審計(jì)。主要是利用各種操作系統(tǒng)和應(yīng)用軟件系統(tǒng)的審計(jì)功能實(shí)現(xiàn)。包括，用戶訪問時(shí)間、操作記錄、系統(tǒng)運(yùn)行信息、資源占用等。

對(duì)信息內(nèi)容的安全審計(jì)，屬高層審計(jì)。

采用各層次的安全審計(jì)措施是網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分。而對(duì)審計(jì)數(shù)據(jù)的維護(hù)是其重要內(nèi)容之一，建議網(wǎng)絡(luò)系統(tǒng)建立安全審計(jì)中心或?qū)徲?jì)小組，對(duì)所有各層次的審計(jì)數(shù)據(jù)進(jìn)行統(tǒng)一處理與管理。

入侵檢測技術(shù)

（一）什么是IDS

IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。

（二）IDS的作用

在安全體系中，IDS是唯一一個(gè)通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如下圖所示，防火墻就象一道門，它可以阻止一類人群的進(jìn)入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級(jí)權(quán)限的人做越權(quán)工作，但無法保證高級(jí)權(quán)限的做破壞工作，也無法保證低級(jí)權(quán)限的人通過非法行為獲得高級(jí)權(quán)限；漏洞掃描系統(tǒng)可以發(fā)現(xiàn)系統(tǒng)存在的漏洞，但無法對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)掃描。

（三）IDS的安全職責(zé)

IDS系統(tǒng)主要2大職責(zé)：實(shí)時(shí)檢測和安全審計(jì)。實(shí)時(shí)監(jiān)測實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文；安全審計(jì)通過對(duì)IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。

（四）IDS的優(yōu)點(diǎn)和缺陷

IDS系統(tǒng)的優(yōu)點(diǎn)是：

1、實(shí)時(shí)檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；

2、網(wǎng)絡(luò)IDS系統(tǒng)不占用系統(tǒng)的任何資源；

3、網(wǎng)絡(luò)IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，因此其本身的安全性高；

4、它既是實(shí)時(shí)監(jiān)測系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證。

5、主機(jī)IDS系統(tǒng)運(yùn)行于保護(hù)系統(tǒng)之上，可以直接保護(hù)、恢復(fù)系統(tǒng)。

6、通過與防火墻的聯(lián)動(dòng)，可以更有效地阻止非法入侵和破壞。

IDS系統(tǒng)的缺點(diǎn)是：

1、交換器的大量使用，使網(wǎng)絡(luò)IDS失去對(duì)全部網(wǎng)絡(luò)的控制；

2、網(wǎng)絡(luò)IDS會(huì)因?yàn)樘幚硭俣嚷鴣G失重要的網(wǎng)絡(luò)數(shù)據(jù)；

3、主機(jī)IDS會(huì)占用主機(jī)系統(tǒng)的資源。

（五） IDS的實(shí)現(xiàn)技術(shù)

1、網(wǎng)絡(luò)IDS

網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備（或一個(gè)專用主機(jī)），通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中的非法使用者信息。根據(jù)判斷方法的不同，基本分為2大類：基于知識(shí)的數(shù)據(jù)模式判斷方法和基于行為的行為判斷方法，前者大量用于商業(yè)IDS系統(tǒng)，后者多在研究系統(tǒng)中采用。

根據(jù)數(shù)據(jù)模式判斷的IDS，首先分析已經(jīng)總結(jié)出的網(wǎng)絡(luò)非法者的工作方法，即數(shù)據(jù)模型，把網(wǎng)絡(luò)中讀取的數(shù)據(jù)進(jìn)行比較，匹配成功的，就報(bào)告此事件，如下圖所示：

其中，協(xié)議分析把網(wǎng)絡(luò)數(shù)據(jù)按照協(xié)議定義進(jìn)行分解，如按照IP地址分解出源IP地址、目的IP地址等，按照TCP協(xié)議分解出源端口、目的端口等，按照HTTP協(xié)議分解出URL、HTTP命令等數(shù)據(jù)，而匹配數(shù)據(jù)模型則是非法使用者采用的非正常的各個(gè)協(xié)議數(shù)據(jù)，如源IP地址等于目的IP地址、源端口等于目的端口、HTTP的URL包含“..”和“..%c0%af..”等字符串的請(qǐng)求等，當(dāng)匹配成功時(shí)，則說明已經(jīng)發(fā)生了網(wǎng)絡(luò)非法事件，上報(bào)并處理這些事件。

根據(jù)行為準(zhǔn)則判斷的IDS，又細(xì)分為2種：統(tǒng)計(jì)行為和異常行為判斷。

統(tǒng)計(jì)行為判斷是根據(jù)上面模式匹配的事件，在進(jìn)行統(tǒng)計(jì)分析，根據(jù)已知非法行為的規(guī)則，判斷出非法行為。如一次ping事件很正常，但如果單位事件內(nèi)出現(xiàn)大量ping事件，則說明是一個(gè)ping洪流事件，是一個(gè)典型的拒絕服務(wù)攻擊；再如一次口令注冊(cè)失敗很正常，但如果連續(xù)多次的口令注冊(cè)失敗，則很可能是一次暴力口令破解行為。目前有些商用IDS已經(jīng)采用這個(gè)技術(shù)。

異常行為判斷是根據(jù)平時(shí)統(tǒng)計(jì)的各種信息，得出正常網(wǎng)絡(luò)行為準(zhǔn)則，當(dāng)遇到有違這種準(zhǔn)則的事件時(shí)，報(bào)告非法行為事件。顯然，它能夠發(fā)現(xiàn)未知的網(wǎng)絡(luò)非法行為，但此系統(tǒng)必須具有正常規(guī)則統(tǒng)計(jì)和自我學(xué)習(xí)功能，因此目前還處于研究階段，商用系統(tǒng)還沒有采用的。

2．主機(jī)IDS

主機(jī)IDS運(yùn)行于被檢測的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。其監(jiān)測的資源主要包括：網(wǎng)絡(luò)、文件、進(jìn)程、系統(tǒng)日志等。

通過截獲本系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)，進(jìn)行如同網(wǎng)絡(luò)IDS的分析，查找出針對(duì)本系統(tǒng)的網(wǎng)絡(luò)非法行為。當(dāng)截獲數(shù)據(jù)變?yōu)檗D(zhuǎn)發(fā)數(shù)據(jù)操作時(shí)，系統(tǒng)就轉(zhuǎn)變?yōu)橐粋€(gè)基于主機(jī)的防火墻（個(gè)人防火墻）。

通過掃描，或者監(jiān)聽本地的磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對(duì)文件進(jìn)行保護(hù)、恢復(fù)等操作。如果只對(duì)文件的操作進(jìn)行記錄和上報(bào)，則是一個(gè)標(biāo)準(zhǔn)的文件IDS系統(tǒng)。如果能通過插入文件操作驅(qū)動(dòng)等方式對(duì)文件的操作進(jìn)行控制，或者通過查詢方式檢查并恢復(fù)被修改的文件，則是一個(gè)文件保護(hù)系統(tǒng)。如果能夠?qū)ξ募膬?nèi)容進(jìn)行審計(jì)，尤其根據(jù)病毒特征信息進(jìn)行審計(jì)，則是一個(gè)病毒富裕、檢查系統(tǒng)。

通過輪詢等方式監(jiān)聽系統(tǒng)的進(jìn)程及其參數(shù)，包括進(jìn)程名稱、進(jìn)程的所有者、進(jìn)程的起始狀態(tài)和當(dāng)前狀態(tài)、進(jìn)程的資源占有率和優(yōu)先級(jí)等信息，檢查出非法進(jìn)程，并根據(jù)系統(tǒng)要求可以上報(bào)和殺死進(jìn)程等響應(yīng)措施。

通過查詢系統(tǒng)各種日志文件，包括監(jiān)測日志文件的內(nèi)容和狀態(tài)，報(bào)告非法的入侵者。因?yàn)橐话愕姆欠ㄐ袨?，都?huì)在系統(tǒng)日志中留下記錄、痕跡，而高級(jí)非法入侵者會(huì)刪除系統(tǒng)日志以抹去現(xiàn)場痕跡，所以必須對(duì)日志文件本身進(jìn)行檢測和保護(hù)、備份。

一般而言，這4個(gè)方面是相互交叉的，如網(wǎng)絡(luò)非法行為，分別可以通過網(wǎng)絡(luò)內(nèi)容監(jiān)測、進(jìn)程監(jiān)測、日志監(jiān)測等方面進(jìn)行監(jiān)視。

運(yùn)行于被保護(hù)主機(jī)的系統(tǒng)之上的主機(jī)IDS，是安全體系結(jié)構(gòu)中最后一道保護(hù)防線，同時(shí)由于加密、認(rèn)證、訪問控制等方式的采用，外部檢測往往失效，或者已經(jīng)被欺騙的情況下，主機(jī)IDS仍然是一個(gè)難以逾越的防線。

主機(jī)IDS由于運(yùn)行于主機(jī)之上，隨著系統(tǒng)的不同而采用不同的開發(fā)和應(yīng)用技術(shù)，會(huì)分為系統(tǒng)級(jí)IDS（如微軟NT的IDS、unix系統(tǒng)的IDS等）和應(yīng)用級(jí)IDS（如oracle數(shù)據(jù)庫的IDS、web的IDS等），因此，系統(tǒng)分類多，通用性差，技術(shù)雜等，同時(shí)由于它運(yùn)行于被保護(hù)主機(jī)之上，會(huì)占用系統(tǒng)的資源，嚴(yán)重時(shí)會(huì)影響系統(tǒng)的穩(wěn)定性能，因此市場上的需求比較謹(jǐn)慎。

（六）IDS的基本結(jié)構(gòu)

無論IDS系統(tǒng)是分布或單機(jī)的，從功能上看，分為2大部分：引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件，后者用于顯示和分析事件以及策略定制等工作，如下所示：

引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通訊等功能，如下圖所示：

控制中心的主要功能為：通訊、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等，如下圖所示：

其中，通訊模塊完成引擎和控制執(zhí)行的十分認(rèn)證和加密傳輸；事件讀取完成引擎事件的讀取，并存入事件數(shù)據(jù)庫，同時(shí)提交顯示模塊；顯示模塊把接受的事件以各種形式實(shí)時(shí)顯示在屏幕上，便于用戶的瀏覽；策略定制模塊完成事件定義策略和事件響應(yīng)策略的編輯修改功能，并提交通訊模塊下發(fā)給引擎；日志分析模塊讀取事件數(shù)據(jù)庫中的事件數(shù)據(jù)，按照用戶要求生成各種圖形和表格，便于用戶對(duì)過去一段時(shí)間內(nèi)的工作狀態(tài)進(jìn)行分析、瀏覽；幫助系統(tǒng)為用戶提供2個(gè)方面的幫助：1是系統(tǒng)操作的幫助信息，1是安全事件和策略定制方面的幫助信息；事件數(shù)據(jù)庫存儲(chǔ)關(guān)于事件、策略、認(rèn)證、通訊、幫助等所有有關(guān)IDS的信息數(shù)據(jù)。

（七）系統(tǒng)結(jié)構(gòu)

IDS的體系結(jié)構(gòu)按照引擎和控制中心的分布情況，主要分為單機(jī)和分布式的2種。

單機(jī)結(jié)構(gòu)是引擎和控制中心在一個(gè)系統(tǒng)之上，不能遠(yuǎn)距離操作，只能在現(xiàn)場進(jìn)行操作。分布式結(jié)構(gòu)就是引擎和控制中心在2個(gè)系統(tǒng)之上，通過網(wǎng)絡(luò)通訊，可以遠(yuǎn)距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。

分布式的優(yōu)點(diǎn)是明顯的：不是必需在現(xiàn)場操作，可以用一個(gè)控制中心控制多個(gè)引擎，可以統(tǒng)一進(jìn)行策略編輯和下發(fā)，可以統(tǒng)一查看申報(bào)的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。單機(jī)的優(yōu)點(diǎn)是結(jié)構(gòu)簡單，不會(huì)因?yàn)橥ㄓ嵍绊懢W(wǎng)絡(luò)帶寬和泄密。

根據(jù)1個(gè)控制中心帶動(dòng)引擎的多少，即控制比例，可以分為高、中、低3類結(jié)構(gòu)：高比例結(jié)構(gòu)指1個(gè)控制中心可以帶動(dòng)沒有限制的引擎數(shù)量，事實(shí)上超過50個(gè)引擎即可以算是該比例體系結(jié)構(gòu)；中比例結(jié)構(gòu)指1個(gè)控制中心可以帶動(dòng)10－50個(gè)探測引擎；低比例結(jié)構(gòu)指1個(gè)控制中心可以帶動(dòng)10個(gè)以下的探測引擎。影響比例高低的主要因素除了控制中心的程序結(jié)構(gòu)外，是系統(tǒng)的處理速度，特別是數(shù)據(jù)庫處理速度，由于多一個(gè)引擎就多一份處理時(shí)間和數(shù)據(jù)空間，引擎過多將引起控制中心因處理時(shí)間過慢，和數(shù)據(jù)庫數(shù)據(jù)溢出而死機(jī)。目前的IDS基本上都是低比例的控制結(jié)構(gòu)。

根據(jù)控制中心的結(jié)構(gòu)，可以分為單級(jí)和多級(jí)控制結(jié)構(gòu)。單機(jī)結(jié)構(gòu)控制中心只能控制探測引擎，不能控制其他的子控制中心。多級(jí)結(jié)構(gòu)指控制中心除控制探測引擎外，還可以控制其他的子控制中心，同時(shí)還可以被上一級(jí)的控制執(zhí)行所控制，組成一個(gè)樹形控制結(jié)構(gòu)，如下圖所示：

在構(gòu)成的多級(jí)控制結(jié)構(gòu)中，其上下級(jí)的關(guān)系為：事件上報(bào)和策略下發(fā)，即下級(jí)向上級(jí)報(bào)告發(fā)生的事件，以及同步事件日志；上級(jí)向下級(jí)發(fā)送定制的事件定義信息和響應(yīng)策略，控制下級(jí)的運(yùn)行狀態(tài)。目前只有少數(shù)的IDS系統(tǒng)做到多級(jí)結(jié)構(gòu)。多級(jí)結(jié)構(gòu)的優(yōu)點(diǎn)在于適應(yīng)了分層管理的體系結(jié)構(gòu)。當(dāng)然，為了使高級(jí)的控制中心能夠處理海量的事件信息，除了各級(jí)控制事件信息篩選上報(bào)外，應(yīng)該采用雙機(jī)結(jié)構(gòu)、高檔次計(jì)算機(jī)、高級(jí)數(shù)據(jù)庫系統(tǒng)等方法提高控制中心的處理能力。目前由的IDS系統(tǒng)可以支持多種數(shù)據(jù)庫體系結(jié)構(gòu)，在控制的樹形結(jié)構(gòu)的低層采用access小型數(shù)據(jù)庫系統(tǒng)，在控制的樹形結(jié)構(gòu)的高層采用SQL server等大型數(shù)據(jù)庫系統(tǒng)，并把數(shù)據(jù)庫處理系統(tǒng)和控制中心分離，可以提高系統(tǒng)的處理能力。

上面所述說的分布式結(jié)構(gòu)，還不能夠算分布處理系統(tǒng)，因?yàn)檫€沒有相應(yīng)的統(tǒng)一信息分析處理能力。真正的分布式處理系統(tǒng)，應(yīng)該能夠做到整體分析、自動(dòng)定制、統(tǒng)一下發(fā)的功能。即通過分析所有下級(jí)上報(bào)的事件，發(fā)現(xiàn)非法行為，及其方法、起始地址等信息，制定相關(guān)的響應(yīng)策略，統(tǒng)一下發(fā)給所有的下級(jí)系統(tǒng)，使全部的系統(tǒng)對(duì)非法行為進(jìn)行統(tǒng)一的響應(yīng)措施。