目錄

第一章 計算機網(wǎng)絡(luò)安全基礎(chǔ).... 3

一、安全的定義.... 3

二、 計算機網(wǎng)絡(luò)安全... 3

三、信息安全... 5

三、 網(wǎng)絡(luò)信息安全的基本要求... 6

四、網(wǎng)絡(luò)信息安全的現(xiàn)狀... 8

五、 網(wǎng)絡(luò)安全的意識與教育... 9

第二章 安全管理.... 11

一、 安全策略... 11

二、 安全機制... 13

三、 安全管理原則... 15

四、 機密信息的保護... 17

五、 風(fēng)險分析... 19

六、 機構(gòu)和人員管理... 19

第三章 網(wǎng)絡(luò)安全的威脅.... 22

一、 攻擊的分類... 23

二、 攻擊的幾個階段... 23

（一）隱藏自己.... 23

（二） 尋找目標，收集信息.... 24

（三） 獲得初始的訪問，獲得特權(quán).... 24

（四） 清除痕跡、留下后門.... 24

（五） 攻擊其他系統(tǒng).... 26

（六） 安裝嗅偵器.... 26

第四章 安全技術(shù)防御體系.... 26

一、 身份認證技術(shù)... 27

二、 訪問控制技術(shù)... 32

三、系統(tǒng)漏洞掃描技術(shù)... 44

第一章 計算機網(wǎng)絡(luò)安全基礎(chǔ)

一、安全的定義

安全的定義是：遠離危險的狀態(tài)或特性，為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。在涉及到“安全”詞匯時，通常會與網(wǎng)絡(luò)、計算機、信息和數(shù)據(jù)相聯(lián)系，而且具有不同的側(cè)重和含義。

二、 計算機網(wǎng)絡(luò)安全

國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！贝烁拍钇厝〉拇胧?。于靜態(tài)信息保護。也有人將“計算機安全”定義為：“計算機的硬件、軟件和數(shù)據(jù)受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行。”該定義著重于動態(tài)意義描述。

從靜態(tài)的觀點看，計算機安全主要是解決特定計算機設(shè)備的安全問題。如果今天輸入到計算機中的數(shù)據(jù)，任何一段時間之后仍保留在那里，完好如初并沒有被非法讀取，那么一般地稱這臺計算機具有一定的安全性。如果存放的程序軟件運行的效果和用戶所期望的一樣，我們就可以判定這臺計算機是可信任的，或者說它是安全的。安全問題是一個動態(tài)的過程，不能用僵硬和靜止的觀點去看待，不僅僅是計算機硬件存在形式的安全`，還在于計算機軟件特殊形式的安全特性。因為自然災(zāi)難和有運行故障的軟件同非法存取數(shù)據(jù)一樣對計算機的安全性構(gòu)成威脅。人為的有意或無意的操作、某種計算機病毒的發(fā)作、不可預(yù)知的系統(tǒng)故障和運行錯誤，都可能造成計算機中數(shù)據(jù)的丟失。

因此，計算機安全的內(nèi)容應(yīng)包括兩方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息完整性、保密性和可用性：完整性指信息不會被非授權(quán)修改及信息保持一致性等；保密性是指在授權(quán)情況下高級別信息可以流向低級別的客體與主體；可用性指合法用戶的正常請求能及時、正確、安全地得到服務(wù)或回應(yīng)。

網(wǎng)絡(luò)安全的根本目的就是防止通過計算機網(wǎng)絡(luò)傳輸?shù)男畔⒈环欠ㄊ褂?。如果國家信息網(wǎng)絡(luò)上的數(shù)據(jù)遭到竊取、更改或破壞，那么它必將關(guān)系到國家的主權(quán)和聲譽、社會的繁榮和穩(wěn)定、民族文化的繼承和發(fā)揚等一系列重要問題。為避免機要信息的泄露對社會產(chǎn)生的危害和對國家造成的極大損失，任何網(wǎng)絡(luò)中國家機密信息的過濾、防堵與保護將是網(wǎng)絡(luò)運行管理中極其重要的內(nèi)容。有時網(wǎng)絡(luò)信息安全的不利影響甚至超過信息共享所帶來的巨大效益。從企業(yè)和個人的用戶角度來看，涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時，其保密性、完整性和真實性也應(yīng)受到應(yīng)有的關(guān)注，避免其他人或商業(yè)對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，造成用戶資料的非授權(quán)訪問和破壞。

網(wǎng)絡(luò)安全的具體含義涉及到社會生活的方方面面，從使用防火墻、防病毒、信息加密、身份確認與授權(quán)等技術(shù)，到企業(yè)的規(guī)章制度、網(wǎng)絡(luò)安全教育和國家的法律政策，直至采用必要的實時監(jiān)控手段、應(yīng)用檢查安全漏洞的仿真系統(tǒng)和制定靈活有效的安全策略應(yīng)變措施，加強網(wǎng)絡(luò)安全的審計與管理。

網(wǎng)絡(luò)安全較全面地對計算機和計算機之間相連接的傳輸線路這個全過程進行管理，特別是對網(wǎng)絡(luò)的組成方式、拓撲結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用的重點研究。它包括了各種類型的局域網(wǎng)、通信與計算機相結(jié)合的廣域網(wǎng)，以及更為廣泛的計算機互聯(lián)網(wǎng)絡(luò)。因此保護網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)不受偶然或者惡意原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠地正常運行，網(wǎng)絡(luò)服務(wù)不中斷，成為網(wǎng)絡(luò)安全的主要內(nèi)容。例如，電子郵件系統(tǒng)不能因為安全原因使用戶的數(shù)據(jù)丟失，等等。

三、信息安全

信息和數(shù)據(jù)安全的范圍要比網(wǎng)絡(luò)安全和計算機安全更為廣泛。它包括了信息系統(tǒng)中從信息的產(chǎn)生直至信息的應(yīng)用這一全部過程。我們?nèi)粘Ｉ钪薪佑|的數(shù)據(jù)比比皆是，考試的分數(shù)、銀行的存款、人員的年齡、商品的庫存量等等，按照某種需要或一定的規(guī)則進行收集，經(jīng)過不同的分類、運算和加工整理，形成對管理決策有指導(dǎo)價值和傾向性說明的信息。隨著信息化社會的不斷發(fā)展，信息的商品屬性也慢慢顯露出來，信息商品的存儲和傳輸?shù)陌踩踩找媸艿綇V泛的關(guān)注。如果非法用戶獲取系統(tǒng)的訪問控制權(quán)，從存儲介質(zhì)或設(shè)備上得到機密數(shù)據(jù)或?qū)＠浖?，或根?jù)某種目的修改了原始數(shù)據(jù)，那么網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性和可控性將遭到破壞。如果信息在通信傳輸過程中，受到不同程度的非法竊取，或被虛假的信息和計算機病毒以冒充等手段充斥最終的信息系統(tǒng)，使得系統(tǒng)無法正常運行，造成真正信息的丟失和泄露，會給使用者帶來經(jīng)濟或者政治上的巨大損失。

信息安全研究所涉及的領(lǐng)域相當廣泛。從信息的層次來看，包括信息的來源、去向，內(nèi)容的真實無誤及保證信息的完整性，信息不會被非法泄露擴散保證信息的保密性。信息的發(fā)送和接收者無法否認自己所做過的操作行為而保證信息的不可否認性。從網(wǎng)絡(luò)層次來看，網(wǎng)絡(luò)和信息系統(tǒng)隨時可用，運行過程中不出現(xiàn)故障，若遇意外打擊能夠盡量減少損失并盡早恢復(fù)，正常保證信息的可靠性。系統(tǒng)的管理者對網(wǎng)絡(luò)和信息系統(tǒng)有足夠的控制和管理能力保證信息的可控性。網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)能夠互相連接，協(xié)調(diào)運行，保證信息的互操作性。準確跟蹤實體運行達到審計和識別的目的，保證信息可計算性。從設(shè)備層次來看，包括質(zhì)量保證、設(shè)備備份、物理安全等。從經(jīng)營管理層次來看，包括人員可靠性、規(guī)章制度完整性等。由此可見，信息安全實際上是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

三、 網(wǎng)絡(luò)信息安全的基本要求

計算機系統(tǒng)要防止資源和數(shù)據(jù)被獨占，防止數(shù)據(jù)和程序被非法修改、刪除及泄露，在一定程度上，封閉性有利于保證信息的安全性。如何在保持網(wǎng)絡(luò)開放靈活性的同時保證安全性。成為研究的熱點。目前使用TCP/IP技術(shù)構(gòu)成的網(wǎng)絡(luò)上的安全措施及其相應(yīng)的網(wǎng)絡(luò)安全產(chǎn)品主要有兩大類：開放型（如數(shù)據(jù)加密）及被動防衛(wèi)型（如防火墻）。他們主要是根據(jù)以下四個方面的安全需求而設(shè)計和應(yīng)用的：

（一）數(shù)據(jù)的保密性

數(shù)據(jù)的保密性是數(shù)據(jù)不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。由于系統(tǒng)無法確認是否有未經(jīng)授權(quán)的用戶截取網(wǎng)絡(luò)上的數(shù)據(jù)，這就需要使用一種手段對數(shù)據(jù)進行保密處理。數(shù)據(jù)加密就是用來實現(xiàn)這一目標的，使得加密后的數(shù)據(jù)能夠保證在傳輸、使用和轉(zhuǎn)換過程中不被第三方非法獲取。網(wǎng)絡(luò)和系統(tǒng)管理員根據(jù)不同的應(yīng)用需求和等級職責，把數(shù)據(jù)進行分類，配置不同的訪問模式，控制數(shù)據(jù)的非法流向。

（二）數(shù)據(jù)的完整性

數(shù)據(jù)的完整性是數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性，即只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。存儲器中或是經(jīng)過網(wǎng)絡(luò)傳輸后的數(shù)據(jù)，必須和它被輸人時或最后一次被修改，或者傳輸前的內(nèi)容與形式一模一樣。其目的就是保證信息系統(tǒng)上的數(shù)據(jù)處于一種完整和未受損的狀態(tài)，數(shù)據(jù)不會因為存儲和傳輸?shù)倪^程，而被有意或無意的事件所改變、破壞和丟失。在應(yīng)用數(shù)據(jù)加密技術(shù)的基礎(chǔ)上，綜合運用故障應(yīng)急方案和多種預(yù)防性技術(shù)，諸如歸檔、備份、校驗。崩潰轉(zhuǎn)儲和故障前兆分析等手段實現(xiàn)這一目標。

（三）數(shù)據(jù)的可用性

數(shù)據(jù)的可用性是指可被授權(quán)實體訪問并按需求使用的特性，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。由于互聯(lián)網(wǎng)絡(luò)是開放的網(wǎng)絡(luò)，需要時就可以得到所需要的數(shù)據(jù)是網(wǎng)絡(luò)設(shè)計和發(fā)展的基本目標，因此數(shù)據(jù)的可用性要求系統(tǒng)當用戶需要時能夠存取所需要的數(shù)據(jù)，或是說應(yīng)用系統(tǒng)提供的服務(wù)，能夠免于遭受惡劣影響，甚至被完全破壞而不可使用的情形。

（四）數(shù)據(jù)的可控性

數(shù)據(jù)的可控性是指可以控制授權(quán)范圍內(nèi)的信息的流向及行為方式，如對數(shù)據(jù)的訪問。傳播及內(nèi)容具有控制能力。首先，系統(tǒng)需要能夠控制誰能夠訪問系統(tǒng)或網(wǎng)絡(luò)上的數(shù)據(jù)，以及如何訪問，即是否可以修改數(shù)據(jù)還是只能讀取數(shù)據(jù)。這首先要通過采用訪問控制表等授權(quán)方法得以實現(xiàn)；其次，即使擁有合法的授權(quán)，系統(tǒng)仍需要對網(wǎng)絡(luò)上的用戶進行驗證，以確保他確實是他所聲稱的那個人，通過握手協(xié)議和數(shù)據(jù)加密進行身份驗證；最后，系統(tǒng)還要將用戶的所有網(wǎng)絡(luò)活動記錄在案，包括網(wǎng)絡(luò)中機器的使用時間、敏感操作和違紀操作等，為系統(tǒng)進行事故原因查詢、定位、事故發(fā)生前的預(yù)測、報警以及為事故發(fā)生后的實時處理提供詳細可靠的依據(jù)或支持。

四、網(wǎng)絡(luò)信息安全的現(xiàn)狀

我國的Internet網(wǎng)（國際互聯(lián)網(wǎng)）從科技網(wǎng)、教育網(wǎng)起步，現(xiàn)已發(fā)展到商業(yè)網(wǎng)、政務(wù)網(wǎng)，這標志著我國已跨入Internet網(wǎng)的新時代。我國的信息安全保密技術(shù)，在20多年中經(jīng)歷了兩次大的變革（70 年代完成了手工到電子的變革，80年代完成了電子到計算機作業(yè)的變革 ），目前正醞釀著第三次變革，迎接著互聯(lián)網(wǎng)時代的到來。

互聯(lián)網(wǎng)也是計算機網(wǎng)，從這個意義上講，它具有與計算機網(wǎng)相同的特點。但互聯(lián)網(wǎng)是開放網(wǎng)，不提供保密服務(wù)，這一點使互聯(lián)網(wǎng)具有與計算機網(wǎng)不同的新特點。

（一）互聯(lián)網(wǎng)是無中心網(wǎng)，再生能力很強。

一個局部的破壞，不影響整個系統(tǒng)的運行。因此，互聯(lián)網(wǎng)特別能適應(yīng)戰(zhàn)爭環(huán)境。這也許是美國軍方重新重視互聯(lián)網(wǎng)的原因之一。

（二）互聯(lián)網(wǎng)可實現(xiàn)移動通信、多媒體通信等多種服務(wù)。

互聯(lián)網(wǎng)提供電子郵件（E-mail）、文件傳輸（FTP）、全球瀏覽（WWW），以及多媒體、移動通信等服務(wù)，正在實現(xiàn)一次通信（信息）革命，在社會生活中起著非常重要的作用。盡管國際互聯(lián)網(wǎng)存在一些問題，但仍受到各國政府的高度重視，發(fā)展異常迅猛。

（三）互聯(lián)網(wǎng)一般分為外部網(wǎng)和內(nèi)部網(wǎng)。

從安全保密的角度來看，互聯(lián)網(wǎng)的安全主要指內(nèi)部網(wǎng)（Intranet）的安全，因此其安全保密系統(tǒng)要靠內(nèi)部網(wǎng)的安全保密技術(shù)來實現(xiàn)，并在內(nèi)部網(wǎng)與外部網(wǎng)的聯(lián)接處用防火墻（firewall）技術(shù)隔離，以確保內(nèi)部網(wǎng)的安全。

（四）互聯(lián)網(wǎng)的用戶主體是個人。

個人化通信是通信技術(shù)發(fā)展的方向，推動著信息高速公路的發(fā)展。但從我國目前的情況看，在今后相當長的時間里，計算機局域網(wǎng)和互聯(lián)網(wǎng)會并存發(fā)展，在保留大量端間（terminal or work-station）通信的計算機網(wǎng)的特點的同時，會不斷加大個人化personal or individual通信的互聯(lián)網(wǎng)的特點。

（五）互聯(lián)網(wǎng)將成為信息戰(zhàn)的戰(zhàn)略目標。

互聯(lián)網(wǎng)作為開放的信息系統(tǒng)，越來越成為各國信息戰(zhàn)的戰(zhàn)略目標。竊密和反竊密、破壞和反破壞的斗爭將是全方位的，不只是個人、集團的行為，而且是國家級的行為。在這樣的斗爭中，要立于不敗之地、掌握主動權(quán)，就必須對作為信息系統(tǒng)最核心的芯片和操作系統(tǒng)有足夠的了解，構(gòu)造出自己的安全內(nèi)核。

五、 網(wǎng)絡(luò)安全的意識與教育

隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)已涉及到國家的政府、軍事、科技、文教等各個領(lǐng)域。其中存儲、傳輸和加工處理的信息有許多涉及政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要內(nèi)容，難免會受到來自世界各地的各種人為的信息攻擊。同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等自然災(zāi)難的考驗。近年來，計算機犯罪案件急劇上升，各國的計算機系統(tǒng)特別是網(wǎng)絡(luò)系統(tǒng)面臨著很大的威脅，并成為嚴重的社會問題之一。據(jù)美國聯(lián)邦調(diào)查局的報告，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機犯罪造成的經(jīng)濟損失高達50億美元。加之國際互聯(lián)網(wǎng)絡(luò)的廣域性和可擴展性，計算機犯罪也已成為具有普遍性的國際問題。

網(wǎng)絡(luò)安全教育實際上關(guān)系到兩個方面的問題。一是如何看待目前國際互聯(lián)網(wǎng)絡(luò)中各式各樣的安全漏洞。經(jīng)過各種媒體對網(wǎng)絡(luò)安全案例及其影響的報道和宣傳后，是否就片面地認為網(wǎng)絡(luò)是極不安全的，安全意識的增強僅僅是利用人們對網(wǎng)絡(luò)的恐懼，而限制了人們對網(wǎng)絡(luò)的理解以及限制了網(wǎng)絡(luò)的進一步應(yīng)用和發(fā)展。二是如何看待網(wǎng)絡(luò)安全的公開性討論。從某種意義上說，安全更多的是對網(wǎng)絡(luò)和系統(tǒng)知識的深入理解和對其技巧的大膽應(yīng)用，與不安全因素的斗爭實際上是多種技巧的較量。然而，只有很少的網(wǎng)絡(luò)和系統(tǒng)管理人員關(guān)注網(wǎng)絡(luò)上發(fā)布的安全警告消息。對系統(tǒng)中漏洞感興趣的網(wǎng)民多是些發(fā)誓要當黑客或大大小小的黑客們，他們最先看到最新發(fā)布的各種系統(tǒng)的最新問題，盡管有時不是新問題，而是很早很老的漏洞。

從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。計算機犯罪大都具有瞬時性、廣域性、專業(yè)性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據(jù)，這大大刺激了計算機高技術(shù)犯罪案件的發(fā)生。安全教育的目的不僅是提高防范意識，同時還要自覺抵制利用計算機進行各類犯罪活動的誘惑。重視信息化的安全教育，還在于盡快培養(yǎng)出一批信息化安全的專門人才是網(wǎng)絡(luò)安全之本。提高全民的信息化的安全意識，使網(wǎng)絡(luò)安全建立在法律約束之下的自律行為是實現(xiàn)網(wǎng)絡(luò)安全的重要因素。

安全的問題歸根結(jié)底是人的問題，安全的最終解決也在于提高人的道德素質(zhì)。雖然防火墻是一種好的防范措施，但只是一種整體安全防范政策的一部分。這種安全政策必須包括公開的用戶知道自身責任的安全準則、職員培訓(xùn)計劃以及與網(wǎng)絡(luò)訪問、當?shù)睾瓦h程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護的有關(guān)政策。網(wǎng)絡(luò)易受攻擊的各個點必須以相同程度的安全防護措施加以保護。

第二章 安全管理

計算機及其網(wǎng)絡(luò)系統(tǒng)的安全管理是計算機安全的重要組成部分，安全管理貫穿于網(wǎng)絡(luò)系統(tǒng)設(shè)計和運行的各個階段。它既包括了行政手段，也含有技術(shù)措施。在系統(tǒng)設(shè)計階段，在硬、軟件設(shè)計的同時，應(yīng)規(guī)劃出系統(tǒng)安全策略；在工程設(shè)計中，應(yīng)按安全策略的要求確定系統(tǒng)的安全機制；在系統(tǒng)運行中，應(yīng)強制執(zhí)行安全機制所要求的各項安全措施和安全管理原則，并經(jīng)風(fēng)險分析和安全審計來檢查、評估，不斷補充、改進、完善安全措施。

一、 安全策略

安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。實現(xiàn)網(wǎng)絡(luò)安全，不但靠先進的技術(shù)，而且也得靠嚴格的安全管理，法律約束和安全教育。

計算機及其網(wǎng)絡(luò)系統(tǒng)大而復(fù)雜，安全問題涉及的領(lǐng)域廣泛、問題多。安全策略只是概括說明系統(tǒng)安全方面考慮的問題和安全措施的實現(xiàn)，它建立在授權(quán)行為的概念上。

在安全策略中，一般都包含“未經(jīng)授權(quán)的實體，信息不可給與、不被訪問、不允許引用、不得修改”等要求，這是按授權(quán)區(qū)分不同的策略。按授權(quán)性質(zhì)可分為基于規(guī)則的安全策略和基于身份的安全策略。授權(quán)服務(wù)分為管理強加的和動態(tài)選取的兩種。安全策略將確定哪些安全措施須強制執(zhí)行，哪些安全措施可根據(jù)用戶需要選擇。大多數(shù)安全策略應(yīng)該是強制執(zhí)行的。

（一）基于身份的安全策略

基于身份的安全策略目的是對數(shù)據(jù)或資源的訪問進行篩選。即用戶可訪問他們的資源的一部分（訪問控制表），或由系統(tǒng)授予用戶特權(quán)標記或權(quán)力。兩種情況下，數(shù)據(jù)項的多少會有很大變化。

（二）基于規(guī)則的安全策略

基于規(guī)則的安全策略是系統(tǒng)給主體（用戶、進程）和客體（數(shù)據(jù)）分別標注相應(yīng)的安全標記，制定出訪問權(quán)限，此標記作為數(shù)據(jù)項的一部分。

兩種安全策略都使用了標記。標記的概念在數(shù)據(jù)通信中是重要的，身份鑒別、管理、訪問控制等都需要對主體和客體做出相應(yīng)的標記并以此進行控制。在通信時，數(shù)據(jù)項、通信的進程與實體、通信信道和資源都可用它們的屬性做出標記。安全策略必須指明屬性如何被使用，以提供必要的安全。

根據(jù)系統(tǒng)的實際情況和安全要求，合理地確定安全策略是復(fù)雜而重要的。因為安全是相對的，安全技術(shù)也是不斷發(fā)展的，安全應(yīng)有一個合理和明確的要求，這主要體現(xiàn)在安全策略中。網(wǎng)絡(luò)系統(tǒng)的安全要求主要是完整性、可用性和機密性。其中完整性、可用性是由網(wǎng)絡(luò)的開放和共享所決定的。按照用戶的要求，提供相應(yīng)的服務(wù)，是網(wǎng)絡(luò)最基本的目的。機密性則對不同的網(wǎng)絡(luò)有不同的要求，即網(wǎng)絡(luò)不一定都是保密網(wǎng)。因此，每個內(nèi)部網(wǎng)要根據(jù)自身的要求確定安全策略?，F(xiàn)在的問題是硬、軟件大多很先進，大而全，而在安全保密方面沒有明確的安全策略，一旦投入使用，安全漏洞很多。而在總體設(shè)計時，按照安全要求制定出網(wǎng)絡(luò)的安全策略并逐步實施，則系統(tǒng)的漏洞少、運行效果好。

在工程設(shè)計中，按照安全策略構(gòu)造出一系列安全機制和具體措施，來確保安全第一。多重保護的目的是使各種保護措施相互補充。底層靠安全操作系統(tǒng)本身的安全防護功能，上層有防火墻、訪問控制表等措施，防止一層措施攻破后，安全性受到威脅。最少授權(quán)原則是指采取制約措施，限制超級用戶權(quán)力并全部使用一次性口令。綜合防護要求從物理上、硬件和軟件上、管理上采取各種措施，分層防護，確保系統(tǒng)安全。

二、 安全機制

安全策略確定后，需要有不同的安全機制來實施。安全機制可單獨實施，也可組合使用，通常包括三類：預(yù)防、檢測、恢復(fù)。

典型的安全機制有以下幾種：

（一）數(shù)據(jù)保密變換

數(shù)據(jù)保密變換，即密碼技術(shù)，是許多安全機制和安全服務(wù)的基礎(chǔ)。通過加／解密來實現(xiàn)身份鑒別、數(shù)據(jù)完整性、不可否認等，從而保證信息的安全。采用密碼技術(shù)，可有效地防止：

1、信息的未授權(quán)觀察和修改；

2、抵賴；

3、仿造；

4、通信業(yè)務(wù)流分析。

（二）數(shù)字簽名機制

數(shù)字簽名機制用于實現(xiàn)抗抵賴、鑒別等特殊安全服務(wù)的場合。數(shù)字簽名機制的主要特征是：不使用秘密密鑰就不能建立簽名數(shù)據(jù)單元，這說明：

1、除了掌握秘密密鑰的人以外，任何人都不能建立簽名數(shù)據(jù)單元；

2、接收者不能建立簽名數(shù)據(jù)單元；

3、發(fā)送者不能否認曾經(jīng)發(fā)送過簽名的數(shù)據(jù)單元。

（三）訪問控制機制

訪問控制機制實施對資源訪問加以限制的策略。即規(guī)定出不同主體對不同客體對應(yīng)的操作權(quán)限，只允許被授權(quán)用戶訪問敏感資源，拒絕未經(jīng)授權(quán)用戶的訪問。采用的技術(shù)有訪問控制矩陣、口令、權(quán)能等級、標記等，它們可說明用戶的訪問權(quán)。權(quán)力不可仿造，而且應(yīng)由可靠的方式傳遞。

（四）數(shù)據(jù)完整性機制

數(shù)據(jù)完整性機制保護單個數(shù)據(jù)單元和整個數(shù)據(jù)單元流的完整性。它包括各種信息流錯誤檢測、校驗等技術(shù)。

（五）鑒別交換機制

鑒別交換機制指信息交換雙方（如內(nèi)部網(wǎng)和互連網(wǎng)）之間的相互鑒別。當交換信息的雙方和通信手段均可信任時，可通過口令來鑒別；當交換信息雙方可信，而通信手段不可信時，可由密碼技術(shù)加以保護；交換信息雙方互不信任時，可使用數(shù)字簽名等技術(shù)來實現(xiàn)抗抵賴服務(wù)。

（六）抗通信流分析機制

該機制通過產(chǎn)生偽通信業(yè)務(wù)，將每日數(shù)據(jù)單元通信量填充到預(yù)定的數(shù)量，來防止通過通信業(yè)務(wù)流分析獲取情報。在具體實施時，應(yīng)注意加密和偽裝，避免區(qū)別出偽通信業(yè)務(wù)和真正的通信業(yè)務(wù)。

（七）路由選擇控制機制

通過路由選擇控制保證數(shù)據(jù)只在物理上安全的路由上傳輸，保證機密信息只在具有適當保護措施的路由上傳輸。

（八）公證機制

公證機制需有可信任的第三方，來確保兩個實體間交換信息的性質(zhì)（如來源、完整性、發(fā)送接收時間等）不會變化。

（九）物理環(huán)境的安全機制

物理環(huán)境的安全是保證信息安全的重要措施。硬件、軟件和通信安全的第一道屏障就是物理環(huán)境的保護，必須有適應(yīng)不同策略要求的防護措施。

（十）人員審查與控制機制

種種形式的防護措施均離不開人的掌握和實施，系統(tǒng)安全最終是由人來控制的。因此，安全離不開人員的審查、控制、培訓(xùn)和管理等，要通過制定、執(zhí)行各項管理制度等來實現(xiàn)。

三、 安全管理原則

信息安全主要有三條基本的管理原則：從不單獨、限制使用期限和責任分散。

從不單獨

從不單獨原則的含義是在人員條件允許的情況下，由最高領(lǐng)導(dǎo)人指定兩個或更多的、可靠且能勝任工作的專業(yè)人員，共同參與每項與安全有關(guān)的活動，并通過簽字、記錄、注冊等方式證明。

與安全有關(guān)的活動主要有：

（1）發(fā)送或回收訪問控制項。證書及系統(tǒng)信息媒體（磁帶、盤等）；

（2）系統(tǒng)的初始化或關(guān)閉；

（3）處理保密信息；

（4）硬件和軟件日常維護；

（5）硬件測試、修改和驗收；

（6）系統(tǒng)重新配置；

（7）設(shè)計、實現(xiàn)和修改數(shù)據(jù)庫；

（8）設(shè)計、實現(xiàn)和修改應(yīng)用程序；

（9）設(shè)計、實現(xiàn)和修改操作系統(tǒng)；

（10）設(shè)計、實現(xiàn)和修改安全軟件；

（11）更改重要文檔；

（12）更改緊急情況和偶然事件處置計劃；

（13）進入緊急狀態(tài)；

（14）重要的程序或數(shù)據(jù)刪除、銷毀；

（15）更改系統(tǒng)操作過程；

（16）接收、發(fā)送或傳輸重要的材料。

限制使用期限

限制使用期限是安全管理的另一個原則。它的含義是，任何人都不能在一個與安全有關(guān)的崗位上工作時間太長。為限制使用期限，工作人員應(yīng)經(jīng)常輪換工作位置。這種輪換依賴于全體人員和他們的誠實，工作人員的不誠實會對系統(tǒng)產(chǎn)生威脅。

責任分散原則

責任分散是一個重要的管理原則。在工作人員數(shù)量和素質(zhì)允許的情況下，不集中于一人實施全部與安全有關(guān)的功能。為安全起見，下列系統(tǒng)功能須由不同的人或小組來執(zhí)行（這也稱為責任分散）：

（1）計算機操作和計算機編程：

（2）應(yīng)用編程和系統(tǒng)編程；

（3）應(yīng)用編程和數(shù)據(jù)庫管理；

（4）數(shù)據(jù)準備和數(shù)據(jù)處理；

（5）數(shù)據(jù)處理和系統(tǒng)安全控制；

（6）計算機操作和系統(tǒng)媒體保護；

（7）計算機操作和設(shè)計、實現(xiàn)、修改各個軟件。

責任分散的實現(xiàn)主要采取兩種措施：建立物理屏障和制定規(guī)則。

主要的物理屏障有：

（1）系統(tǒng)媒體庫必須選擇安全的位置，一般應(yīng)靠近機房但又與計算機房隔開；

（2）數(shù)據(jù)準備必須在靠近機房但又與機房隔開的安全區(qū)域進行；

（3）程序員辦公室須與計算機房在物理上分開；

（4）安全辦公室必須是一個對全體人員（除直接與安全有關(guān)的人員外）受限的區(qū)域；

（5）機房本身必須是對在嚴格的管理下工作的實際負責的操作者或其它授權(quán)人（如維修技術(shù)員）受限制的安全區(qū)域；

（6）等待銷毀的敏感材料必須存在計算機房以外的安全區(qū)域。

大型系統(tǒng)中，實現(xiàn)責任分離的管理規(guī)則有：

（1）編程員與操作員工作分離，編程員一般不參與日常操作，操作員不進行編程；

（2）安全特性的運行和維護（如修改計算機操作系統(tǒng)，以提高系統(tǒng)安全性）應(yīng)單獨進行，有不同的責任；

（3）質(zhì)量控制和審計應(yīng)具有與系統(tǒng)操作不同的功能。

四、 機密信息的保護

機密信息的保護原則

在具有機密信息需要保護的系統(tǒng)中，有下述主要的保護原則：

（一）網(wǎng)格原則：信息的密級由信息本身的密級加上指定各項的密級組成。人或進程由人本身的密級加上人所擁有的對各種信息的授權(quán)密級組成。

（二）簡單安全原則：任何人或人的進程活動，不應(yīng)超越他擁有的密級所對應(yīng)的信息。

（三）“*”號原則：任何人或進程不能向低于它的密級的信息寫。該原則可避免高密級信息客體向低密級信息客體泄漏信息。

（四）第一完整性原則：計算機程序不得從低特權(quán)級程序接收信息。特權(quán)的意思是對計算機系統(tǒng)所做的事授予的權(quán)限。該原則的目標是避免操作系統(tǒng)（管理程序、監(jiān)視程序或主控程序）受到惡意用戶的攻擊。

（五）第二完整性原則：不允許計算機程序向高特權(quán)級程序?qū)?。該原則的目標是防止用戶程序影響操作系統(tǒng)的運行。

（六）標號原則：每個信息客體都應(yīng)用人或機器可識別的形式清楚地標識其密級。

（七）平穩(wěn)原則：任何人或進程不可改變信息客體或主體的密級，除非是已定義的過程。

（八）不可訪問原則：不存在任何人或進程均可獲得的信息客體，除非是已定義的過程。

（九）可審計原則：所有在信息客體上執(zhí)行的與安全有關(guān)的活動（如打開文件、刪除信息、降低密級等）應(yīng)有不可擦除的記錄，以供審計使用。

（十）可信軟件原則：任何計算機系統(tǒng)都不可完全滿足上述全部原則并執(zhí)行全部工作，必要時，允許可信軟件超越這些規(guī)則。

機密信息的存儲和處理

計算機信息媒體有磁帶、磁盤、微縮膠卷、CD—ROM等，信息存儲在媒體上，必要時它們可將信息在屏幕上顯示或在紙上打印。

1．標 記

2．保 存

3．數(shù)據(jù)備份

4．銷 毀

5. 剩磁處理

6．機密信息的有效管理

7．安全數(shù)據(jù)管理

五、 風(fēng)險分析

風(fēng)險分析是了解計算機系統(tǒng)安全狀況和辨別系統(tǒng)脆弱性并提出對策的科學(xué)方法。

在進行風(fēng)險分析時，應(yīng)首先明確分析的對象。如對象應(yīng)是整個系統(tǒng)明確范圍和安全敏感區(qū)，確定分析的內(nèi)容，找出安全上的脆弱點，并確定重點分析方向。接著仔細分析重點保護目標，分析風(fēng)險的原因、影響、潛在的威脅、造成的后果等，應(yīng)有一定的定量評估數(shù)據(jù)。最后根據(jù)分析的結(jié)果，提出有效的安全措施和這些措施可能帶來的風(fēng)險，確認資金投入的合理性。

例如，為保護公司財產(chǎn)，實現(xiàn)網(wǎng)絡(luò)安全需要一些開支。然而，這些開支應(yīng)與被保護的財產(chǎn)價值相一致。假設(shè)有價值為A的財產(chǎn)需保護，而攻破網(wǎng)絡(luò)，使財產(chǎn)遭受損失的價值為P，則風(fēng)險為A／P。對一個具有安全防護功能的網(wǎng)絡(luò)來說，P值應(yīng)大于A。即攻破網(wǎng)絡(luò)，偷盜或損失財產(chǎn)的價值比財產(chǎn)本身的價值要高。

假設(shè)實現(xiàn)保護財產(chǎn)的安全策略需開支N，在一個安全防護措施較完善的網(wǎng)絡(luò)上，投資N應(yīng)與財產(chǎn)本身的價值A有關(guān)，比值K—N/A稱為投資因子。實現(xiàn)安全策略的開支N顯然應(yīng)比財產(chǎn)本身價值低，即N＜A。對許多網(wǎng)絡(luò)來說，評估投資因子K是十分重要的。

六、 機構(gòu)和人員管理

人員管理

對人員的控制和管理是安全防護的重要環(huán)節(jié)。除加強法制建設(shè)，通過法律制裁形成一種威懾，并通過倫理道德教育，提高整體素質(zhì)外，還應(yīng)采取科學(xué)的管理措施，減少作案的機會，減少犯罪，以獲得安全的環(huán)境。

（一）安全授權(quán)

計算機網(wǎng)絡(luò)必須設(shè)立網(wǎng)絡(luò)安全管理機構(gòu)，網(wǎng)絡(luò)安全管理機構(gòu)設(shè)置網(wǎng)絡(luò)安全管理員，如需要還可設(shè)立分級網(wǎng)絡(luò)管理機構(gòu)和相應(yīng)的網(wǎng)絡(luò)管理員。此外，還應(yīng)建立、健全崗位責任制，指定不同的管理員在崗位上可能處理的最高密級信息，即安全授權(quán)。

安全授權(quán)包括：?？匦畔⒌氖跈?quán)、機密信息的授權(quán)、秘密信息的授權(quán)和受控信息的授權(quán)四類。其中?？匦畔⒌氖跈?quán)是對網(wǎng)絡(luò)管理機構(gòu)的最高領(lǐng)導(dǎo)、網(wǎng)絡(luò)安全管理員及專門指派的人員的授權(quán)，是處理最高機密的授權(quán)。

除上述四類授權(quán)外，尚有一種臨時授權(quán)，即對需要臨時接觸專控信息的人給與臨時?？匦畔⑹跈?quán)，但需要對他接觸?？匦畔⑦M行審查，只有審查合格后才可獲得授權(quán)。

（二）安全審查

在工作人員獲準接觸、保管機密信息前，必須對他們進行安全審查。對新職工按照本人申請表中的個人歷史逐一審查，必要時要親自會見證明人，對以前的經(jīng)歷和人品進行確認。除新職工外，對在職人員也要定期審查。當某工作人員婚姻狀況發(fā)生變化，或被懷疑違反了安全規(guī)則，或是對其可靠性產(chǎn)生懷疑時，都要重新審查。

安全警衛(wèi)員應(yīng)具有所保衛(wèi)的重要機房最高密級的授權(quán)，應(yīng)按此標準挑選、審查。對清潔工也要和工作人員一樣進行審查，未經(jīng)嚴格審查的清潔工在處理保密信息的重要機房工作時，應(yīng)自始至終處于工作人員的監(jiān)視之下。

（三）調(diào)離交接

一旦重要機房的工作人員辭職或調(diào)離，應(yīng)立即取消他出入安全區(qū)、接觸保密信息的授權(quán)。應(yīng)給調(diào)離人員一份書面要求，告之他有義務(wù)對工作期間接觸的涉密信息繼續(xù)保密，否則將受到行政或刑事處罰。必要時調(diào)離人員應(yīng)簽字，說明已接受并對今后的行為負責。

調(diào)離人員辦理手續(xù)前，應(yīng)交回所有的證章、通行證、鑰匙、手冊、資料等。調(diào)離人員走后，所有他接觸過、使用過的訪問控制物品必須更換或處理。

（四）安全教育

必須定期對工作人員進行安全教育，包括聽講座，觀看影片、錄相資料，學(xué)習(xí)信息安全材料帶。以此提高工作人員的信息安全防護意識。

要求工作人員隨時注意計算機網(wǎng)絡(luò)安全運行情況。一旦發(fā)現(xiàn)從直接上級處接受到違反網(wǎng)絡(luò)安全規(guī)定的指示或觀察到其它工作人員違反安全規(guī)定的可疑行為時，應(yīng)立即向安全負責人報告。同時要求任何工作人員不得將網(wǎng)絡(luò)機房的保密資料帶回家中，確有必要帶出，必須經(jīng)負責人批準并備案。

機構(gòu)和部門的安全管理原則

機構(gòu)和部門的信息安全管理是保障信息安全的重要環(huán)節(jié)，為了實現(xiàn)安全管理應(yīng)該具備以下”四有”：

（1）有專門的安全管理機構(gòu)。

（2）有專門的安全管理人員。

（3）有逐步完善的安全管理制度。

（4）有逐步提高的安全技術(shù)設(shè)施。

信息安全管理涉及如下基本方面：

（1）人事管理。

（2）設(shè)備管理。

（3）場地管理。

（4）存儲媒體管理。

（5）軟件管理。

（6）網(wǎng)絡(luò)管理。

（7）密碼和密鑰管理等。

信息安全管理要遵循如下基本原則：

（1）規(guī)范原則。

（2）預(yù)防原則。

（3）立足國內(nèi)原則。

（4）選用成熟技術(shù)原則。

（5）注重實效原則。

（6）系統(tǒng)化原則。

（7）均衡防護原則。

（8）分權(quán)制衡原則。

（9）應(yīng)急原則。

（10）災(zāi)難恢復(fù)原則。

第三章 網(wǎng)絡(luò)安全的威脅

從技術(shù)的角度看，Internet的不安全因素，一方面由于它是面向所有用戶的，所有資源通過網(wǎng)絡(luò)共享，另一方面就是它的技術(shù)是開放和標準的。因此，盡管已從過去用于科研和學(xué)術(shù)目的的階段進入了商用階段，但是它的技術(shù)基礎(chǔ)仍是不安全的。從一般意義上講，我們還可以認為，網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩大類：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。從形式上，自然災(zāi)害、意外事故、計算機犯罪、人為行為、“黑客”行為、內(nèi)部泄露、外部泄密、信息丟失、電子諜報、信息戰(zhàn)、網(wǎng)絡(luò)協(xié)議中的缺陷等等，都是威脅網(wǎng)絡(luò)安全的重要因素。從人的因素考慮，影響網(wǎng)絡(luò)安全的因素還存在著人為和非人為的兩種情況。

一、 攻擊的分類

被動攻擊：被動攻擊包括分析通信流，監(jiān)視未被保護的通訊，解密弱加密通訊，獲取鑒別信息（比如口令）。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。這樣的例子如泄露個人的敏感信息。

主動攻擊：主動攻擊包括試圖阻斷或攻破保護機制、引入惡意代碼、偷竊或篡改信息。主動進攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。包括大多數(shù)的未授權(quán)用戶企圖以非正常手段和正常手段進入遠程系統(tǒng)。

物理臨近攻擊：是指未被授權(quán)的人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對信息的訪問。

內(nèi)部人員攻擊：內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。前者指內(nèi)部人員對信息的惡意破壞或不當使用，或使他人的訪問遭到拒絕；后者指由于粗心、無知以及其它非惡意的原因而造成的破壞。

軟硬件裝配分發(fā)攻擊：指在工廠生產(chǎn)或分銷過程中對硬件和軟件進行的惡意修改。這種攻擊可能是在產(chǎn)品里引入惡意代碼，比如后門。

二、 攻擊的幾個階段

（一）隱藏自己

攻擊者一般會采用以下策略來隱藏自己的真實IP地址：

- 從已經(jīng)取得控制權(quán)的主機上通過 telnet或 rsh 跳躍；

- 從 windows 主機上通過 wingates 等服務(wù)進行跳躍；

- 利用配置不當?shù)拇矸?wù)器進行跳躍；

- 一些經(jīng)驗老道的攻擊者會利用電話交換技巧來入侵，他們可能會采用以下技巧；

- 先通過撥號找尋并連入某臺主機，然后通過這臺主機再聯(lián)入internet來跳躍。

（二） 尋找目標，收集信息

攻擊者的主要任務(wù)是收集有關(guān)要攻擊目標的有用的信息。這些信息包括目標計算機的硬件信息，運行的操作系統(tǒng)信息，運行的應(yīng)用程序（服務(wù)）的信息，目標計算機所在網(wǎng)絡(luò)的信息，目標計算機的用戶信息，存在的漏洞等等。

通常是從已攻入的系統(tǒng)中的.rhosts和.netrc文件中所列的機器中挑選出來，從系統(tǒng)的/etc/hosts文件中可以得到一個很全的主機列表。但大多數(shù)情況下，選定一個攻擊目標是一個比較盲目的過程，除非攻擊者有明確的目的和動機。攻擊者也可能找到DNS（域名系統(tǒng)）表，通過DNS可以知道機器名、Internet地址、機器類型，甚至還可知道機器的屬主和單位。

（三） 獲得初始的訪問，獲得特權(quán)

就是選用合適的方法入侵。主要是兩種方法，通過發(fā)現(xiàn)目標計算機的漏洞進入系統(tǒng)，或者是利用口令猜測進入系統(tǒng)。利用口令猜測就是試圖重復(fù)登錄，直到找到一個合法的登錄為止。往往這種方法會耗大量的時間，而且，每次登錄，不管是否成功都會在目標計算機上留下記錄。會引起注意。另一個就是利用和發(fā)現(xiàn)目標計算機的漏洞，直接順利進入。還有一些入侵的方法是采用想IP地址欺騙等手段。它的原理就是通過各種欺騙手段，取得目標計算機的信任，從而可以進入目標計算機。

（四） 清除痕跡、留下后門

UNIX中三個重要的LOG文件:

WTMP - 記錄每次登錄的信息,包括登陸/退出的時間,終端,登錄主機IP

UTMP - 在線用戶記錄

LASTLOG - 記錄用戶上次是從哪里登錄的

例如：THC提供的cleara.c ,clearb.c是非常好用的清除工具?？梢郧宄?span lang="EN-US" style="margin: 0px;">utmp/utmpx,wtmp/wtmpx,修復(fù)lastlog讓其仍然顯示該用戶的上次登錄信息)。這些log文件缺省在什么地方呢?

這依賴于不同的Unix版本.

UTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log

WTMP : /etc 或 /var/adm 或 /usr/adm 或 /usr/var/adm 或 /var/log

LASTLOG : /usr/var/adm 或 /usr/adm 或 /var/adm 或 /var/log

在一些舊unix版本中lastlog數(shù)據(jù)被寫到$HOME/.lastlog

清除其它痕跡

很多hacker,他們把自己從log里刪除了.但他們忘記刪掉他們在機器中留下的其他一些東西:在/tmp和$HOME中的文件Shell 記錄：一些shell會保留一個history文件(依賴于環(huán)境設(shè)置)記錄你執(zhí)行的命令.最好的選擇就是當你登錄以后先啟動一個新shell,然后在你的$HOME中查找歷史紀錄.啟動新的shell的這條命令也會在root所分配的shell記錄文件里，這可能是追蹤入侵者的一個關(guān)鍵命令，可以直接使用ls –alt ./.*來查看當前的記錄文件情況，可以使用cat /dev/null >./.*history來清空記錄文件。

歷史記錄文件:

sh : .sh_history

csh : .history

ksh : .sh_history

bash: .bash_history

zsh : .history

（五） 攻擊其他系統(tǒng)

攻擊一個系統(tǒng)得手后，攻擊者往往不會就此罷手。他會在系統(tǒng)中尋找相關(guān)主機的可用信息，繼續(xù)進行攻擊。攻擊的方式有多種，比較通行的是裝一個監(jiān)聽程序。這樣幾乎可以掌握整個局域網(wǎng)。

（六） 安裝嗅偵器

攻擊者一個十分快速和有效地獲得大量內(nèi)部網(wǎng)絡(luò)主機的用戶名機器密碼的方法是使用“以太網(wǎng)嗅偵器”(ethernet sniffer)程序。但由于這些嗅偵器只有當攻擊者和被攻擊者在同一個以太網(wǎng)段內(nèi)才有效，所以在充當網(wǎng)橋的外網(wǎng)主機上運行嗅偵器不會有用。

第四章 安全技術(shù)防御體系

一個全方位的計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)應(yīng)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等，每一層次上的安全都要依賴一定的技術(shù)。

一、 身份認證技術(shù)

身份認證

身份認證是對網(wǎng)絡(luò)中的主體進行驗證的過程，用戶必須提供他是誰的證明，他是某個雇員，某個組織的代理、某個軟件過程，如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過程。認證的標準方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。比如說，系統(tǒng)中存儲了他的指紋，他接入網(wǎng)絡(luò)時，就必須在連接到網(wǎng)絡(luò)的電子指紋機上提供他的指紋，這就防止他以假的指紋或其他電子信息欺騙系統(tǒng)，只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識別，原理與指紋識別相同，聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。

通常有下列三種方法驗證身份：

一是只有該主體了解的秘密，如口令、密鑰；

二是主體攜帶的物品，如智能卡和令牌卡；

三是只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等。

網(wǎng)絡(luò)通過用戶擁有什么東西來識別的方法，一般是用智能卡或其他特殊形式的標志，這類標志可以從連接到計算機上的讀出器讀出來。至于說到”他知道什么”，最普通的就是口令具有共享秘密的屬性。例如，要使服務(wù)器操作系統(tǒng)識別要人網(wǎng)的用戶，那么用戶必須把他的用戶名和口令送服務(wù)器。服務(wù)器就將它仍與數(shù)據(jù)庫里的用戶名和口令進行比較，如果相符，就通過了認證，可以上網(wǎng)訪問。這個口令就由服務(wù)器和用戶共享。更保密的認證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以未加密的明碼進行傳輸，接入到網(wǎng)上的規(guī)程分析儀就會在用戶輸人賬戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。用于身份認證的其他辦法：

●主體特征認證：利用個人特征進行認證的方式具有很高的安全性。目前已有的設(shè)備包括：視網(wǎng)膜掃描儀、聲音驗證設(shè)備、手型識別器。這些識別系統(tǒng)能夠檢測如指印，簽名，聲音，零售圖案這樣的物理特征。但大多數(shù)這樣的系統(tǒng)極具實驗性，價格昂貴而且不是百分之百的可靠。任何一個送數(shù)據(jù)到遠程系統(tǒng)去核實的系統(tǒng)有被搭線竊聽的危險，非法入侵者只須記錄下送去系統(tǒng)的校驗信息，以后再重顯示這些信息，就能竊密。當然這同樣也是標記識別系統(tǒng)的一個問題。

●口令機制：口令是相互約定的代碼，假設(shè)只有用戶和系統(tǒng)知道?？诹钣袝r由用戶選擇，有時由系統(tǒng)分配。通常情況下，用戶先輸入某種標志信息，比如用戶名和ID號，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，用戶即可進人訪問?？诹钣卸喾N，如一次性口令，系統(tǒng)生成一次性口令的清單，第一次時必須使用X，第二次時必須使用Y，第三次時用Z，這樣一直下去；還有基于時間的口令，即訪問使用的正確口令隨時間變化，變化基于時間和一個秘密的用戶鑰匙。這樣口令每分鐘都在改變，使其更加難以猜測。

●智能卡：訪問不但需要口令，也需要使用物理智能卡。在允許其進人系統(tǒng)之前檢查是否允許其接觸系統(tǒng)。智能卡大小形如信用卡，一般由微處理器、存儲器及輸入、輸出設(shè)施構(gòu)成。微處理器可計算該卡的一個惟一數(shù)（ID）和其他數(shù)據(jù)的加密形式。ID保證卡的真實性，持卡人就可訪問系統(tǒng)。為防止智能卡遺失或被竊，許多系統(tǒng)需要卡和身份識別碼（PIN） 同時使用。若僅有卡而不知PIN碼，則不能進人系統(tǒng)。智能卡比傳統(tǒng)的口令方法進行認證更好，但其攜帶不方便，且開戶費用較高。

●撥號回呼（Call Back Modem）：它是維護系統(tǒng)有效用戶表及其相應(yīng)電話號碼的設(shè)備。當用戶撥號進人系統(tǒng)時，系統(tǒng)獲得用戶的登錄賬戶后，掛起，再根據(jù)電話號碼表向用戶的設(shè)備撥人以驗證其合法性。這種方法的優(yōu)點是，限制只有電話號碼存于系統(tǒng)的人才是系統(tǒng)的用戶，從而使非法侵人者不能從其家里撥入系統(tǒng)并登錄，這一方法的缺點是限制了用戶的靈活性，并仍需要使用口令，因為MODEM不能僅從用戶固定發(fā)號的地方，惟一地標識用戶。

●一次性口令：即“詢問一應(yīng)答系統(tǒng)”。一次性口令系統(tǒng)允許用戶每次登錄時使用不同的口令。它使用一種稱作口令發(fā)生器的設(shè)備，設(shè)備是手攜式的（大約為一個袖珍計算器的大小），并有一個加密程序和惟一的內(nèi)部加密密鑰。系統(tǒng)在用戶登錄時給用戶提供一個隨機數(shù)，用戶將這個隨機數(shù)送入口令發(fā)生器，口令發(fā)生器用戶的密鑰對隨機數(shù)加密，然后用戶再將口令發(fā)生器輸出的加密口令送入系統(tǒng)，系統(tǒng)將用戶輸入的口令，與它用相同的加密程序，密鑰和隨機數(shù)產(chǎn)生的口令比較，如果二者相同，允許用戶訪系統(tǒng)。其優(yōu)點是：用戶可每次敲人不同的口令，因此不需要口令保密，只有口令發(fā)生器需要安全保護。為了增加安全性，有些系統(tǒng)甚至不需聯(lián)機保存密鑰，實際的密鑰可保存在有線連接于系統(tǒng)的一個特殊加密計算機中。在用戶登錄期間，加密計算機將為用戶產(chǎn)生隨機數(shù)和加密口令。這樣一種系統(tǒng)的優(yōu)點是，口令實際不由用戶輸人，系統(tǒng)中也不保存密鑰，即使是加密格式的密鑰也可保存于系統(tǒng)中。其不足之處類似于標記識別方法，每個用戶必須攜帶口令發(fā)生器，如果要脫機保存密鑰，還需要有一個特殊硬件。

遠程用戶訪問資格確認

裝備了功能強大的便攜機，遠程工作的雇員可以訪問到公司的所有東西，從電子郵件到公司日常運作的重要服務(wù)．包括銷售人員的自動化工具和專用的客戶和公司記錄。信息系統(tǒng)（IS）的專業(yè)人員支持遠程接人的安全性是至關(guān)重要的，主要是確保遠程用戶說誰就是誰。加強遠程接人安全性的最簡單但效能最低的手段是使用靜態(tài)口令：可以長時間內(nèi)連續(xù)使用的單一口令?？上В芏嘤脩舨皇前芽诹顚懺诿黠@處，就是把口令編進通信軟件中。

防止非法侵人企業(yè)／組織機構(gòu)網(wǎng)絡(luò)的第一步便是識別進網(wǎng)用戶，并確認只有合法用戶以進人受保護的系統(tǒng)。在 ISDN網(wǎng)絡(luò)系統(tǒng)中識別進網(wǎng)用戶可通過 ISDN CLI（Calling LineIdentification）及 Subaddress來實現(xiàn)。當遠程用戶通過撥號方式（Dial Up）進人網(wǎng)絡(luò)時，其訪問資格可通過TACACS（Terminal Access Controller Access Control System）來鑒定。很多機構(gòu)轉(zhuǎn)向采用兩因素認證和利用一次性口令的新軟件標識技術(shù)。這些方法改安全性，精簡了安全管理并降低了在快速擴大遠程接入基礎(chǔ)設(shè)施的造價。

一次性口令和兩因素認證的安全方案通過實現(xiàn)對遠程認證至關(guān)緊要的兩件事來消除法，只有用戶擁有的東西（如硬件或軟件安全標識）和只有用戶知道的東西（如個人身份號碼PIN）。個人身份號碼打開標識，但不通過網(wǎng)絡(luò)發(fā)送，這就降低了安全性的風(fēng)險。該標識開始與安全服務(wù)器進行對話。如 PIN的物理保護失敗，或私鑰丟失與用戶的口信令被竊同時發(fā)生時，用戶應(yīng)及時掛失。因此，要嚴格管理、保存好自己的PIN IC卡。

用戶獨特的密鑰暗藏在標識中，或嵌入用戶PC機中的軟件（軟件標識）或是單獨持式處理器（硬件標識）。這個密鑰受到保護，“黑客”是得不到的。經(jīng)廣泛測試、并成為工業(yè)界標準的數(shù)據(jù)加密標準（DES）是遠程訪問認證產(chǎn)品中最強的加密算法之一。DES支持72萬億種可能的鑰匙，我們這個星球上每個男人、女人和孩子都可以分到100多萬種可能的鑰匙。

一次性口令技術(shù)最強的實現(xiàn)方式采用了一種叫口令發(fā)問/應(yīng)答的技術(shù)。認證服務(wù)器通過發(fā)送一個隨機的數(shù)字（即發(fā)問口令）給用戶來開始認證的過程。發(fā)問口令對特定的認證請求是唯一的，不會事先被猜出。軟件標識用此發(fā)問口令，計算出應(yīng)答口令或者用手持式（硬件）標識算出應(yīng)答口令。認證服務(wù)器也計算應(yīng)答口令。如果用戶提供的應(yīng)答口令與認證服務(wù)器算出的應(yīng)答口令相一致，用戶就被授予訪問應(yīng)用程序或系統(tǒng)的權(quán)利。

站在最終用戶的角度，軟件標識工作起來像靜態(tài)口令，但在軟件標識之下實現(xiàn)了兩因素認證和真正的一次性口令功能。最終用戶必須做到全部事情只是擁有其計算機和記住他們的個人身份號碼。最好的軟件標識還可以采用附加的安全技術(shù)，確保有效的軟件標志只在一個地方工作，即保證復(fù)制的軟件不能工作，不管是在安裝前還是安裝后復(fù)制均無效。

PPP協(xié)議訪問資格確認

在使用PPP協(xié)議的網(wǎng)絡(luò)（如 ISDN）上，對遠程非法存取網(wǎng)絡(luò)信息的控制可通過符

OC1334的 PM協(xié)議（PaSSword Auhenticatbo ProtOCO）及 CHAP協(xié)議（Challenge Handshake Authentication Protocol）來實現(xiàn)。

保密字鑒定協(xié)議（PAP）在初始PPP鏈路建立時，通過2way握手方式為訪問方（calling Party）標明其身份，提供了一個最簡單的方法。PAP協(xié)議的主要問題在于：用戶保密字是以未加密的“清晰”方式在網(wǎng)絡(luò)上傳送的，這為竊聽網(wǎng)絡(luò)者提供了可乘之機。

挑戰(zhàn)握手鑒定協(xié)議（CHAP）解決了PAP協(xié)議所具有的非保密弱點。CHAP協(xié)議在PPP鏈路建立后，被訪問路由器向請求訪問的路由器發(fā)送一含有隨機值的“挑戰(zhàn)”信息。接到挑戰(zhàn)信息后，請求訪問的路由器運用雙方預(yù)定的算法及所收到的隨機值生成一校正值并將該值傳回被訪問路由器。被訪問路由器運用同樣算法及同樣隨機值等信息產(chǎn)生另一校正值，若兩值相同，則接受連接要求，否則即終止該連接。通過此種辦法，CHAP可以有效地阻止非法侵入者接入受保護部門的網(wǎng)絡(luò)。由于CHAP協(xié)議不在網(wǎng)絡(luò)上傳送保密字信息，CHAP比PAP具有更強的保密性。

麻省理工學(xué)院設(shè)計的Kerberos安全方法是面向應(yīng)用層的加密技術(shù)，它具有一套完善的加加密認證保護措施。目前FTP等公司的網(wǎng)絡(luò)應(yīng)用軟件Telnet，rlogin等支持Kerberos服務(wù)。

二、 訪問控制技術(shù)

（一）主體、客體和訪問授權(quán)

訪問控制涉及到三個基本概念，即主體、客體和訪問授權(quán)。

主體：是一個主動的實體，它包括用戶、用戶組、終端、主機或一個應(yīng)用，主體可以訪問客體。

客體：是一個被動的實體，對客體的訪問要受控。它可以是一個字節(jié)、字段、記錄、程序、文件，或者是一個處理器、存貯器、網(wǎng)絡(luò)接點等。

授權(quán)訪問：指主體訪問客體的允許，授權(quán)訪問對每一對主體和客體來說是給定的。例如，授權(quán)訪問有讀寫、執(zhí)行，讀寫客體是直接進行的，而執(zhí)行是搜索文件、執(zhí)行文件。對用戶的訪問授權(quán)是由系統(tǒng)的安全策略決定的。

在—個訪問控制系統(tǒng)中，區(qū)別主體與客體很重要。首先由主體發(fā)起訪問客體的操作，該操作根據(jù)系統(tǒng)的授權(quán)或被允許或被拒絕。另外，主體與客體的關(guān)系是相對的，當一個主體受到另一主體的訪問，成為訪問目標時，該主體便成為了客體。

（二）訪問控制策略

訪問控制通常有三種策略：

自主訪問控制 （ Discretionary Access Control ）；

強制訪問控制 （ Mandatory Access Control ）；

基于角色的訪問控制 （ Ro1e-Based Access Control ）。

各種訪問控制策略之間并不相互排斥，現(xiàn)存計算機系統(tǒng)中通常都是多種訪問控制策略并存，系統(tǒng)管理員能夠?qū)Π踩呗赃M行配置使其達到安全政策的要求。

1、自主訪問控制 （DAC）

自主訪問控制，又稱為隨意訪問控制，根據(jù)用戶的身份及允許訪問權(quán)限決定其訪問操作，只要用戶身份被確認后，即可根據(jù)訪問控制表上賦予該用戶的權(quán)限進行限制性用戶訪問。使用這種控制方法，用戶或應(yīng)用可任意在系統(tǒng)中規(guī)定誰可以訪問它們的資源，這樣，用戶或用戶進程就可有選擇地與其他用戶共享資源。它是一種對單獨用戶執(zhí)行訪問控制的過程和措施。

由于DAC對用戶提供靈活和易行的數(shù)據(jù)訪問方式，能夠適用于許多的系統(tǒng)環(huán)境，所以DAC被大量采用、尤其在商業(yè)和工業(yè)環(huán)境的應(yīng)用上。然而，DAC提供的安全保護容易被非法用戶繞過而獲得訪問。例如，若某用戶A有權(quán)訪問文件F，而用戶B無權(quán)訪問F，則一旦A獲取F后再傳送給B，則B也可訪問F，其原因是在自由訪問策略中，用戶在獲得文件的訪問后，并沒有限制對該文件信息的操作，即并沒有控制數(shù)據(jù)信息的分發(fā)。所以DAC提供的安全性還相對較低，不能夠?qū)ο到y(tǒng)資源提供充分的保護，不能抵御特洛伊木馬的攻擊。

2、強制訪問控制 （MAC）

與DAC相比，強制訪問控制提供的訪問控制機制無法繞過。在強制訪問控制中，每個用戶及文件都被賦予一定的安全級別，用戶不能改變自身或任何客體的安全級別，即不允許單個用戶確定訪問權(quán)限，只有系統(tǒng)管理員可以確定用戶和組的訪問權(quán)限。系統(tǒng)通過比較用戶和訪問的文件的安全級別來決定用戶是否可以訪問該文件。此外，強制訪問控制不允許一個進程生成共享文件，從而訪止進程通過共享文件將信息從一個進程傳到另一進程。MAC可通過使用敏感標簽對所有用戶和資源強制執(zhí)行安全策略，即實行強制訪問控制。安全級別一般有四級：絕密級（Top Secret），秘密級（Secret），機密級（Confidential）反無級別級（Unclas sified），其中T＞S＞C＞U。

則用戶與訪問的信息的讀寫關(guān)系將有四種，即：

下讀（read down）：用戶級別人于文件級別的讀操作。

上寫（write up）：用戶級別低于文件級別的寫操作。

下寫（write down）：用戶級別大于文件級別的寫操作。

上讀（read up）：用戶級別低于文件級別的讀操作。

上述讀寫方式都保證了信息流的單向性，顯然上讀—下寫方式保證了數(shù)據(jù)的完整性（integrity），上寫—下讀方式則保證了信息的秘密性。

3、角色訪問控制 （RBAC）

角色訪問策略是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動性質(zhì)而定的，活動性質(zhì)表明用戶充當一定的角色，用戶訪問系統(tǒng)時，系統(tǒng)必須先檢查用戶的角色。一個用戶可以充當多個角色、一個角色也可以由多個用戶擔任。角色訪問策略具有以下優(yōu)點：

便于授權(quán)管理，如系統(tǒng)管理員需要修改系統(tǒng)設(shè)置等內(nèi)容時，必須有幾個不同角色的用戶到場方能操作，從而保證了安全性；

便于根據(jù)工作需要分級，如企業(yè)財務(wù)部門與非財力部門的員工對企業(yè)財務(wù)的訪問權(quán)就可由財務(wù)人員這個角色來區(qū)分；

便于賦予最小特權(quán)，如即使用戶被賦予高級身份時也未必一定要使用，以便減少損失。只有必要時方能擁有特權(quán)；

便于任務(wù)分擔，不同的角色完成不同的任務(wù)；

便于文件分級管理，文件本身也可分為個同的角色，如信件、賬單等，由不同角色的用戶擁有。

角色訪問策略是一種有效而靈活的安全措施。通過定義模型各個部分，可以實現(xiàn)DAC和MAC所要求的控制策略，目前這方面的研究及應(yīng)用還處在實驗探索階段。George Mason大學(xué)在這方面處于領(lǐng)先地位，現(xiàn)在已經(jīng)設(shè)計出了沒有root的UNIX系統(tǒng)管理、沒有集中控制的Web服務(wù)器管理等機制。

（三）訪問控制機制

訪問控制機制是為檢測和防止系統(tǒng)中的未經(jīng)授權(quán)訪問，對資源予以保護所采取的軟硬件措施和一系列管理措施等。訪問控制一般是在操作系統(tǒng)的控制下，按照事先確定的規(guī)則決定是否允許主體訪問客體，它貫穿于系統(tǒng)工作的全過程，是在文件系統(tǒng)中廣泛應(yīng)用的安全防護方法。

訪問控制矩陣 （Access Contro1 Matrix） 是最初實現(xiàn)訪問控制機制的概念模型，它利用二維矩陣規(guī)定了任意主體和任意客體間的訪問權(quán)限。中矩陣中的行代表主體的訪問權(quán)限屬性，矩陣中的列代表客體的訪問權(quán)限屬性，矩陣中的每—格表示所在行的主體對所在列的客體的訪問授權(quán)。訪問控制的任務(wù)就是確保系統(tǒng)的操作是按照訪問控制矩陣授權(quán)的訪問來執(zhí)行的，它是通過引用監(jiān)控器協(xié)調(diào)客體對主體的每次訪問而實現(xiàn)，這種方法清晰的實現(xiàn)認證與訪問控制的相互分離。

圖3訪問控制矩陣

在較大的系統(tǒng)中，訪問控制矩陣將變得非常巨大，而且矩陣中的許多格可能都為空，造成很大的存儲空間浪費，因此在實際應(yīng)用小，訪問控制很少利用矩陣方式實現(xiàn)。下面，我們將討論在實際應(yīng)用中訪問控制的幾種常用方法。

1、訪問控制表 （Access Control Lists，ACLs）

訪問控制表ACLs是以文件為中心建立訪問權(quán)限表，如圖3所示。表中登記了該文件的訪問用戶名及訪問權(quán)隸屬關(guān)系。利用訪問控制表，能夠很容易的判斷出對于特定客體的授權(quán)訪問，哪些主體可以訪問并有哪些訪問權(quán)限。同樣很容易撤消特定客體的授權(quán)訪問，只要把該客體的訪問控制表置為空。

出于訪問控制表的簡單、實用，雖然在查詢特定卞體能夠訪問的客體時，需要遍歷查詢所有客體的訪問控制表，它仍然是一種成熟且有效的訪問控制實現(xiàn)方法，許多通用的操作系統(tǒng)使用訪問控制表來提供訪問控制服務(wù)。例如Unix和VMS系統(tǒng)利用訪問控制表的簡略方式，允許以少量工作組的形式實現(xiàn)訪問控制表，而不允許單個的個體出現(xiàn)，這樣可以便訪問控制表很小而能夠用幾位就可以和文件存儲在一起。另一種復(fù)雜的訪問控制表應(yīng)用是利用一些訪問控制包，通過它制定復(fù)雜的訪問規(guī)則限制何時和如何進行訪問，而且這些規(guī)則根據(jù)用戶名和其他用戶屬性的定義進行單個用戶的匹配應(yīng)用。

圖4訪問控制表

2、能力關(guān)系表 （Capabilities Lists）

能力關(guān)系表與ACL相反，是以用戶為中心建立訪問權(quán)限表，表中規(guī)定了該用戶可訪問的文件名及訪問權(quán)限，如圖5。

利用能力關(guān)系表可以很方便查詢一個主體的所有授權(quán)訪問。相反，檢索具有授權(quán)訪問特定客體的所有主體，則需要遍歷所有主體的能力關(guān)系表。從70年代起，開始開發(fā)基于能力關(guān)系表實現(xiàn)訪問控制的計算機系統(tǒng)、但是沒有獲得商業(yè)上

密碼技術(shù)

數(shù)據(jù)加密

在計算機上實現(xiàn)的數(shù)據(jù)加密，其加密或解密變換是由密鑰控制實現(xiàn)的。密鑰（Keyword）是用戶按照一種密碼體制隨機選取，它通常是一隨機字符串，是控制明文和密文變換的唯一參數(shù)。　

數(shù)字簽名　

密碼技術(shù)除了提供信息的加密解密外，還提供對信息來源的鑒別、保證信息的完整和不可否認等功能，而這三種功能都是通過數(shù)字簽名實現(xiàn)。

數(shù)字簽名的原理是將要傳送的明文通過一種函數(shù)運算（Hash）轉(zhuǎn)換成報文摘要（不同的明文對應(yīng)不同的報文摘要），報文摘要加密后與明文一起傳送給接受方，接受方將接受的明文產(chǎn)生新的報文摘要與發(fā)送方的發(fā)來報文摘要解密比較，比較結(jié)果一致表示明文未被改動，如果不一致表示明文已被篡改?！?/span>

加密體制及比較

根據(jù)密鑰類型不同將現(xiàn)代密碼技術(shù)分為兩類：一類是對稱加密（秘密鑰匙加密）系統(tǒng)，另一類是公開密鑰加密（非對稱加密）系統(tǒng)。

對稱鑰匙加密系統(tǒng)是加密和解密均采用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。

對稱密碼系統(tǒng)的安全性依賴于以下兩個因素。第一，加密算法必須是足夠強的，僅僅基于密文本身去解密信息在實踐上是不可能的；第二，加密方法的安全性依賴于密鑰的秘密性，而不是算法的秘密性，因此，我們沒有必要確保算法的秘密性，而需要保證密鑰的秘密性。對稱加密系統(tǒng)的算法實現(xiàn)速度極快，從AES候選算法的測試結(jié)果看，軟件實現(xiàn)的速度都達到了每秒數(shù)兆或數(shù)十兆比特。對稱密碼系統(tǒng)的這些特點使其有著廣泛的應(yīng)用。因為算法不需要保密，所以制造商可以開發(fā)出低成本的芯片以實現(xiàn)數(shù)據(jù)加密。這些芯片有著廣泛的應(yīng)用，適合于大規(guī)模生產(chǎn)?！　?

對稱加密系統(tǒng)最大的問題是密鑰的分發(fā)和管理非常復(fù)雜、代價高昂。比如對于具有n個用戶的網(wǎng)絡(luò)，需要n（n－1）/2個密鑰，在用戶群不是很大的情況下，對稱加密系統(tǒng)是有效的。但是對于大型網(wǎng)絡(luò)，當用戶群很大，分布很廣時，密鑰的分配和保存就成了大問題。對稱加密算法另一個缺點是不能實現(xiàn)數(shù)字簽名?！?/span>

公開密鑰加密系統(tǒng)采用的加密鑰匙（公鑰）和解密鑰匙（私鑰）是不同的。由于加密鑰匙是公開的，密鑰的分配和管理就很簡單，比如對于具有n個用戶的網(wǎng)絡(luò)，僅需要2n個密鑰。公開密鑰加密系統(tǒng)還能夠很容易地實現(xiàn)數(shù)字簽名。因此，最適合于電子商務(wù)應(yīng)用需要。在實際應(yīng)用中，公開密鑰加密系統(tǒng)并沒有完全取代對稱密鑰加密系統(tǒng)，這是因為公開密鑰加密系統(tǒng)是基于尖端的數(shù)學(xué)難題，計算非常復(fù)雜，它的安全性更高，但它實現(xiàn)速度卻遠趕不上對稱密鑰加密系統(tǒng)。在實際應(yīng)用中可利用二者的各自優(yōu)點，采用對稱加密系統(tǒng)加密文件，采用公開密鑰加密系統(tǒng)加密“加密文件”的密鑰（會話密鑰），這就是混合加密系統(tǒng)，它較好地解決了運算速度問題和密鑰分配管理問題。因此，公鑰密碼體制通常被用來加密關(guān)鍵性的、核心的機密數(shù)據(jù)，而對稱密碼體制通常被用來加密大量的數(shù)據(jù)?！?/span>

對稱密碼加密系統(tǒng)　

對稱加密系統(tǒng)最著名的是美國數(shù)據(jù)加密標準DES、AES（高級加密標準）和歐洲數(shù)據(jù)加密標準IDEA。1977年美國國家標準局正式公布實施了美國的數(shù)據(jù)加密標準DES，公開它的加密算法，并批準用于非機密單位和商業(yè)上的保密通信。隨后DES成為全世界使用最廣泛的加密標準。加密與解密的密鑰和流程是完全相同的，區(qū)別僅僅是加密與解密使用的子密鑰序列的施加順序剛好相反。但是，經(jīng)過20多年的使用，已經(jīng)發(fā)現(xiàn)DES很多不足之處，對DES的破解方法也日趨有效。AES將會替代DES成為新一代加密標準。

公鑰密碼加密系統(tǒng)　　

自公鑰加密問世以來，學(xué)者們提出了許多種公鑰加密方法，它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。根據(jù)所基于的數(shù)學(xué)難題來分類，有以下三類系統(tǒng)目前被認為是安全和有效的：大整數(shù)因子分解系統(tǒng)（代表性的有RSA）、橢園曲線離散對數(shù)系統(tǒng)（ECC）和離散對數(shù)系統(tǒng)　（代表性的有DSA）。當前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)RSA是由Rivet、Shamir、Adelman提出的（簡稱為RSA系統(tǒng)），它的安全性是基于大整數(shù)素因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統(tǒng)是公鑰系統(tǒng)的最具有典型意義的方法，大多數(shù)使用公鑰密碼進行加密和數(shù)字簽名的產(chǎn)品和標準使用的都是RSA算法。　

RSA方法的優(yōu)點主要在于原理簡單，易于使用。但是，隨著分解大整數(shù)方法的進步及完善、計算機速度的提高以及計算機網(wǎng)絡(luò)的發(fā)展（可以使用成千上萬臺機器同時進行大整數(shù)分解），作為RSA加解密安全保障的大整數(shù)要求越來越大。為了保證RSA使用的安全性，其密鑰的位數(shù)一直在增加，比如，目前一般認為RSA需要1024位以上的字長才有安全保障。但是，密鑰長度的增加導(dǎo)致了其加解密的速度大為降低，硬件實現(xiàn)也變得越來越難以忍受，這對使用RSA的應(yīng)用帶來了很重的負擔，對進行大量安全交易的電子商務(wù)更是如此，從而使得其應(yīng)用范圍越來越受到制約。

DSA（Data　Signature　Algorithm）是基于離散對數(shù)問題的數(shù)字簽名標準，它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能。安全性更高、算法實現(xiàn)性能更好的公鑰系統(tǒng)橢圓曲線加密算法ECC（Elliptic　Curve　Cryptography）基于離散對數(shù)的計算困難性?！?/span>

橢圓曲線加密算法ECC技術(shù)優(yōu)勢

橢圓曲線加密方法與RSA方法相比，有以下優(yōu)點：

● 安全性能更高　　

加密算法的安全性能一般通過該算法的抗攻擊強度來反映。ECC和其他幾種公鑰系統(tǒng)相比，其抗攻擊性具有絕對的優(yōu)勢。如160位　ECC與1024位　RSA、DSA有相同的安全強度。而210位　ECC則與2048bit　RSA、DSA具有相同的安全強度。

● 計算量小，處理速度快

雖然在RSA中可以通過選取較小的公鑰（可以小到3）的方法提高公鑰處理速度，即提高加密和簽名驗證的速度，使其在加密和簽名驗證速度上與ECC有可比性，但在私鑰的處理速度上（解密和簽名），ECC遠比RSA、DSA快得多。因此ECC總的速度比RSA、DSA要快得多。

● 存儲空間占用小

ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA、DSA相比要小得多，意味著它所占的存貯空間要小得多。這對于加密算法在IC卡上的應(yīng)用具有特別重要的意義?！?/span>

● 帶寬要求低

當對長消息進行加解密時，三類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時ECC帶寬要求卻低得多。而公鑰加密系統(tǒng)多用于短消息，例如用于數(shù)字簽名和用于對對稱系統(tǒng)的會話密鑰傳遞。帶寬要求低使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景。ECC的這些特點使它必將取代RSA，成為通用的公鑰加密算法。比如SET協(xié)議的制定者已把它作為下一代SET協(xié)議中缺省的公鑰密碼算法。

防火墻技術(shù)

1、防火墻概念

防火墻是一個網(wǎng)絡(luò)安全的專用詞，它是可在內(nèi)部網(wǎng)（或局域網(wǎng)）和互連網(wǎng)之間，或者是內(nèi)部網(wǎng)的各部分之間實施安全防護的系統(tǒng)。通常它是由硬件設(shè)備——路由器、網(wǎng)關(guān)、堡壘主機、代理服務(wù)器和防護軟件等共同組成。在網(wǎng)絡(luò)中它可對信息進行分析、隔離、限制，既可限制非授權(quán)用戶訪問敏感數(shù)據(jù)，又可允許合法用戶自由地訪問網(wǎng)絡(luò)資源，從而保護網(wǎng)絡(luò)的運行安全。防火墻就內(nèi)部網(wǎng)和互連網(wǎng)的連接，見圖4.5-1。它具有訪問控制功能，按照系統(tǒng)要求，確定哪些內(nèi)部服務(wù)允許外部訪問；哪些外部服務(wù)允許內(nèi)部訪問。它可以和路由器做成一體，也可以做成一臺或幾臺專門的堡壘計算機（該用詞來源于中世紀有設(shè)防的城堡），即高安全性的計算機，安放專門的軟件，形成大型防火墻。

如圖4.5-1所示，防火墻的一面是安全、保密、可靠的內(nèi)部網(wǎng)（專用網(wǎng)），而另一面是開放不保密的互連網(wǎng)。內(nèi)部網(wǎng)和互連網(wǎng)之間的每個活動（如電子郵件、文件傳輸、遠程登錄等）和每條信息都要被攔截，由防火墻確定活動是否符合安全規(guī)則，是否允許進行。根據(jù)規(guī)則，防火墻確定一個數(shù)據(jù)包或一個連接請求是否允許通過。因此，形象地說，防火墻類似于房門鎖或守門人。它的目的是僅允許已被授權(quán)的用戶進入系統(tǒng)，不允許外人攜帶珠寶走出房間。

防火墻所采取的主要技術(shù)有包過濾技術(shù)、代理技術(shù)、狀態(tài)監(jiān)視技術(shù)等。

（1）包過濾（Packet Filter）技術(shù)

依據(jù)系統(tǒng)事先設(shè)定的過濾規(guī)則，檢查數(shù)據(jù)流中每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP端口、路徑狀態(tài)等來確定是否允許數(shù)據(jù)包通過。包過濾器可在路由器之外單獨設(shè)置，也可與路由器做成一體，在路由設(shè)備上實現(xiàn)包過濾，還可在工作站上用軟件進行包過濾。

（2）代理（Proxy）技術(shù)

代理服務(wù)是在網(wǎng)絡(luò)中專門設(shè)置的代理服務(wù)器上的專用程序。代理服務(wù)可按安全管理員的設(shè)置，允許或拒絕特定的數(shù)據(jù)或功能。一般和包過濾器、應(yīng)用網(wǎng)關(guān)等共同使用，將外部信息流阻擋在內(nèi)部網(wǎng)的結(jié)構(gòu)和運行之外，使內(nèi)部網(wǎng)與外部網(wǎng)的數(shù)據(jù)交換只在代理服務(wù)器上進行，從而實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的隔離。此外，代理服務(wù)還可完成數(shù)據(jù)流監(jiān)控、過濾、記錄、報告等功能。

（3）狀態(tài)監(jiān)視技術(shù)

狀態(tài)監(jiān)視可通過提取相關(guān)數(shù)據(jù)來對網(wǎng)絡(luò)通信的各層實施監(jiān)視并作為決策時的依據(jù)。監(jiān)視功能支持多種網(wǎng)絡(luò)協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)的擴充，特別是可監(jiān)視RPC（遠程進程調(diào)用）和UDP（用戶數(shù)據(jù)報文）端口信息，這是其它安全服務(wù)所不能完成的。

2．防火墻的作用

（1）取消或拒絕任何未被明確允許的軟件包通過；

（2）將外部用戶保持在內(nèi)部網(wǎng)之外，即對外部用戶訪問內(nèi)部網(wǎng)做出限制，如互連網(wǎng)用戶確實需要訪問某些文件（如公司的公共文件），則這些文件可置于防火墻之外的互連網(wǎng)一側(cè)；

（3）強制執(zhí)行注冊、審計和報警等。即對通過防火墻的信息注冊、審計，在發(fā)現(xiàn)某人試圖闖過防火墻時，及時發(fā)出警報。

3．防火墻的設(shè)計

防火墻一般由5部分組成，如圖4.5－1所示。

4、防火墻的優(yōu)點和缺陷

除了連接控制和安全日志，防火墻還有許多其它優(yōu)點，盡管有許多優(yōu)點，但也要意識到防火墻有許多缺陷。防火墻無能為力的是：訪問限制、后門威脅（Modem或RAS服務(wù)器）和對于內(nèi)部的黑客攻擊。

5、分布式防火墻

分布式防火墻是一種主機駐留式的安全軟件應(yīng)用。用以保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器及工作站免受非法入侵的破壞。集中式管理及日志記錄是其所具有的基本特性。

傳統(tǒng)的邊界防火墻及包過濾路由器是放置在彼此“不友好”的兩個網(wǎng)絡(luò)之間，比如放置在Internet和“友好的”企業(yè)網(wǎng)絡(luò)之間。這種傳統(tǒng)的解決方案在兩個環(huán)境之間提供了一個安全網(wǎng)關(guān)。這個網(wǎng)關(guān)在一個單檢查點對所有進出的數(shù)據(jù)流進行檢查和過濾。

三、系統(tǒng)漏洞掃描技術(shù)

漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。漏洞一詞是從英文單詞vulnerability翻譯而來的，原文解釋如下：“In computer security，any weakness or flaw existing in a system，the susceptibility of a system to a specific threat attack or harmful event，or the opportunity available to a threat agent to mount that attack.”按照原詞的意思譯做“脆弱性”更為確切，但是人們還是接受了更加通俗化的“漏洞”的說法。而根據(jù)權(quán)威的漏洞標準化組織CVE的研究，認為僅漏洞一詞是不能概括所有的安全隱患，他們認為用兩個詞，即vulnerability與exposure來共同描述更為確切。關(guān)于這一點，我們在這里就不再深入討論了，有興趣的讀者可以瀏覽CVE的網(wǎng)站以獲得更多的信息。每天都會有新的漏洞產(chǎn)生，它們會影響到很大范圍內(nèi)的網(wǎng)絡(luò)工具，包括：

路由器

客戶和服務(wù)器軟件

操作系統(tǒng)

防火墻

漏洞的危害可以簡單的用木桶原則加以說明：一個木桶能盛多少水，不在于組成它的最長的那根木料，而取決于它身上最短的那一根。同樣對于一個系統(tǒng)來說，它的安全性不在于它是否采用了最新的加密算法，最先進的設(shè)備，而是由系統(tǒng)本身最薄弱之處，即漏洞決定，只要這個漏洞被發(fā)現(xiàn)，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。

作為一個網(wǎng)絡(luò)管理者的主要工作就是要知道這些漏洞如何產(chǎn)生？它們將會對系統(tǒng)產(chǎn)生什么影響？如何修補這些漏洞從而加固系統(tǒng)？

漏洞如何出現(xiàn)

一個漏洞并不是自己突然出現(xiàn)的，必須有人發(fā)現(xiàn)它。而這個工作主要是由以下三個組織之一來完成的：

黑客

破譯者

安全服務(wù)商組織

漏洞對系統(tǒng)的威脅從上圖表中可以看出。

掃描程序是自動檢測遠端或本地主機脆弱性的程序。通過與目標主機TCP/IP端口建立連接并請求某些服務(wù)（如TELNET、FTP等），記錄目標主機的應(yīng)答，搜集目標主機相關(guān)信息（如匿名用戶是否可以登錄等），從而發(fā)現(xiàn)目標主機某些內(nèi)在的安全漏洞。對某一類漏洞進行檢查的程序成為一個掃描方法。掃描工具就是這些方法組成的方法集。掃描工具也稱掃描器，目前大部分是軟件掃描器，但也有少數(shù)的硬件掃描器。掃描工具的重要性在于把極為煩瑣的安全檢測，通過程序來自動完成，這不僅減輕管理者的工作，而且縮短了檢測時間，使問題發(fā)現(xiàn)更快。當然，也可以認為掃描工具是一種網(wǎng)絡(luò)安全性評估軟件。一般而言，掃描工具可以快速、深入地對網(wǎng)絡(luò)或目標主機進行評估。

早期的掃描程序是專門為UNIX系統(tǒng)編寫的，隨著越來越多的操作系統(tǒng)開始支持TCP/IP，所以每一種平臺上都出現(xiàn)了掃描工具（Scanner），例如基于Windows NT/Windows 2000平臺。掃描常用技術(shù)包括ping 掃射、端口掃描、操作系統(tǒng)識別、穿透防火墻的掃描。

掃描之所以重要是因為它能揭示一個網(wǎng)絡(luò)的脆弱點。在負責任的人手里，掃描工具可以使一些繁瑣的安全評估工作得到簡化；但在不負責任的人手中，掃描工具就會對網(wǎng)絡(luò)安全造成威脅。

網(wǎng)絡(luò)反病毒技術(shù)

病毒的肆虐，使偌大的微機世界沸沸揚揚，難找一塊凈土。不懂病毒，不采取反病毒措施已不能正常工作。在與病毒斗爭的過程中，產(chǎn)生了許多反病毒技術(shù)，它們在與病毒的斗爭中，發(fā)揮了重要作用。隨著病毒技術(shù)的進步，面對大數(shù)量、高品質(zhì)病毒大潮，某些反病毒技術(shù)捉襟見肘。在病毒與反病毒技術(shù)對抗中，病毒技術(shù)是主動的、進攻的一方；反病毒技術(shù)處于被動、防衛(wèi)的地化，而且總體上反病毒技術(shù)總是滯后干病毒技術(shù)的發(fā)展。病毒技術(shù)的進步，對反病毒技術(shù)提出了更高的要求，它必須能對病毒技術(shù)進步造成的禁區(qū)和死角找出對策。

反病毒技術(shù)大體分為：

·病毒檢測

·病毒清除

·病毒免疫

·病毒預(yù)防

對計算機病毒應(yīng)以預(yù)防為主，研制出高品質(zhì)預(yù)防技術(shù)，才是上策。

一般預(yù)防對策

要根絕病毒必須摒棄馮·諾依曼體系和信息共享。事實上，這兩者都不可能丟棄，一般用戶對機器中采用的馮·諾依曼體系，無能為力。但是，對機器的使用上加強管理，可以取得防病毒效果。早期美國軍方計算機系統(tǒng)的主要安全防御措施是與外界隔絕。但是，較新型的系統(tǒng)允許多層次應(yīng)用，系統(tǒng)擁有不同可靠程度的眾多用戶，他們在同一系統(tǒng)中相互通信。在許多此類系統(tǒng)中，具與很低安全特權(quán)的用戶是病毒攻擊的受害者。因為，具有最高安全特權(quán)的用戶能運行程序?qū)艿桶踩貦?quán)用戶的文件做寫入動作，使之被感染。

病毒的攻擊使計算機安全專家重新懷念這一古老方法。他們指出：防御計算機病毒最完美的唯一方法是使計算機與外界先全隔離。但是，這樣做將毀壞多數(shù)辦公計算機系統(tǒng)的功能。

良好的管理和安全措施，可以大大減少病毒攻擊的危險和有效地防御大多數(shù)病毒。

管理對策的核心是控制外部的介入，要使自己的系統(tǒng)與外界完全隔離，是不可能的，控制外部介入是必要的、可能的?？刹扇〉膶Σ呷缦拢?/span>

絕對不許外部人員操縱自己的機器

不許將外來磁盤插入機器

不使用來路不明的軟盤

不要將自己的軟盤插入別人的機器用

不要使用網(wǎng)絡(luò)通信

病毒征兆

怎樣才能知道你的系統(tǒng)中有病毒？雖然有許多反病毒工具可以報警，告訴你發(fā)現(xiàn)非法操作或計算機病毒的可能的感染征兆。但是，不是所有的報警都是病毒攻擊引起的。有許多發(fā)現(xiàn)病毒的報告事后被證明是虛假報警，它們多是由操作者的疏忽或操作失誤引起的。

人們所發(fā)現(xiàn)的征兆中，有些是程序不兼容，有些是操作失誤，有些是機器故障，有些則確實是病毒攻擊的征兆。下面列舉一些應(yīng)該注意的病毒征兆：

磁盤文件數(shù)目增多

系統(tǒng)的RAM空間變小

文件的日期／時間值被改變

可執(zhí)行程序長度增加

磁盤上出現(xiàn)壞簇

程序加載時間比平時變長

程序執(zhí)行時間較平時變長

硬盤讀寫時間明顯增加

硬盤啟動系統(tǒng)失敗

在與病毒的對抗中，及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn)，早處置，可以減少損失。廣泛使用的主要檢測病毒方法有：

特征代碼法

校驗和法

行為監(jiān)測法

軟件模擬法

感染實驗法

這些方法依據(jù)的原理不同，實現(xiàn)時所需開銷不同，檢測范圍不同。它們各有所長，亦各有短處。

安全審計技術(shù)

安全審計是一個安全的網(wǎng)絡(luò)必須支持的功能特性，審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。

網(wǎng)絡(luò)系統(tǒng)作為政府部門網(wǎng)絡(luò)信息系統(tǒng)也應(yīng)具備安全審計措施。并通過多層次的審計手段，形成一個功能較完備的安全審計系統(tǒng)。

具體而言，網(wǎng)絡(luò)的審計系統(tǒng)應(yīng)該由三個層次組成，分別是：

網(wǎng)絡(luò)層層次的安全審計：主要利用防火墻的審計功能、網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)來實現(xiàn)。

系統(tǒng)的安全審計。主要是利用各種操作系統(tǒng)和應(yīng)用軟件系統(tǒng)的審計功能實現(xiàn)。包括，用戶訪問時間、操作記錄、系統(tǒng)運行信息、資源占用等。

對信息內(nèi)容的安全審計，屬高層審計。

采用各層次的安全審計措施是網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分。而對審計數(shù)據(jù)的維護是其重要內(nèi)容之一，建議網(wǎng)絡(luò)系統(tǒng)建立安全審計中心或?qū)徲嬓〗M，對所有各層次的審計數(shù)據(jù)進行統(tǒng)一處理與管理。

入侵檢測技術(shù)

（一）什么是IDS

IDS（IntrusionDetectionSystem）就是入侵檢測系統(tǒng)，它通過抓取網(wǎng)絡(luò)上的所有報文，分析處理后，報告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動阻止可能的破壞。形象地說，它就是網(wǎng)絡(luò)攝象機，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。

（二）IDS的作用

在安全體系中，IDS是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如下圖所示，防火墻就象一道門，它可以阻止一類人群的進入，但無法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問控制系統(tǒng)可以不讓低級權(quán)限的人做越權(quán)工作，但無法保證高級權(quán)限的做破壞工作，也無法保證低級權(quán)限的人通過非法行為獲得高級權(quán)限；漏洞掃描系統(tǒng)可以發(fā)現(xiàn)系統(tǒng)存在的漏洞，但無法對系統(tǒng)進行實時掃描。

（三）IDS的安全職責

IDS系統(tǒng)主要2大職責：實時檢測和安全審計。實時監(jiān)測實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；安全審計通過對IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。

（四）IDS的優(yōu)點和缺陷

IDS系統(tǒng)的優(yōu)點是：

1、實時檢測網(wǎng)絡(luò)系統(tǒng)的非法行為；

2、網(wǎng)絡(luò)IDS系統(tǒng)不占用系統(tǒng)的任何資源；

3、網(wǎng)絡(luò)IDS系統(tǒng)是一個獨立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高；

4、它既是實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證。

5、主機IDS系統(tǒng)運行于保護系統(tǒng)之上，可以直接保護、恢復(fù)系統(tǒng)。

6、通過與防火墻的聯(lián)動，可以更有效地阻止非法入侵和破壞。

IDS系統(tǒng)的缺點是：

1、交換器的大量使用，使網(wǎng)絡(luò)IDS失去對全部網(wǎng)絡(luò)的控制；

2、網(wǎng)絡(luò)IDS會因為處理速度慢而丟失重要的網(wǎng)絡(luò)數(shù)據(jù)；

3、主機IDS會占用主機系統(tǒng)的資源。

（五） IDS的實現(xiàn)技術(shù)

1、網(wǎng)絡(luò)IDS

網(wǎng)絡(luò)IDS是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備（或一個專用主機），通過監(jiān)聽網(wǎng)絡(luò)上的所有報文，根據(jù)協(xié)議進行分析，并報告網(wǎng)絡(luò)中的非法使用者信息。根據(jù)判斷方法的不同，基本分為2大類：基于知識的數(shù)據(jù)模式判斷方法和基于行為的行為判斷方法，前者大量用于商業(yè)IDS系統(tǒng)，后者多在研究系統(tǒng)中采用。

根據(jù)數(shù)據(jù)模式判斷的IDS，首先分析已經(jīng)總結(jié)出的網(wǎng)絡(luò)非法者的工作方法，即數(shù)據(jù)模型，把網(wǎng)絡(luò)中讀取的數(shù)據(jù)進行比較，匹配成功的，就報告此事件，如下圖所示：

其中，協(xié)議分析把網(wǎng)絡(luò)數(shù)據(jù)按照協(xié)議定義進行分解，如按照IP地址分解出源IP地址、目的IP地址等，按照TCP協(xié)議分解出源端口、目的端口等，按照HTTP協(xié)議分解出URL、HTTP命令等數(shù)據(jù)，而匹配數(shù)據(jù)模型則是非法使用者采用的非正常的各個協(xié)議數(shù)據(jù)，如源IP地址等于目的IP地址、源端口等于目的端口、HTTP的URL包含“..”和“..%c0%af..”等字符串的請求等，當匹配成功時，則說明已經(jīng)發(fā)生了網(wǎng)絡(luò)非法事件，上報并處理這些事件。

根據(jù)行為準則判斷的IDS，又細分為2種：統(tǒng)計行為和異常行為判斷。

統(tǒng)計行為判斷是根據(jù)上面模式匹配的事件，在進行統(tǒng)計分析，根據(jù)已知非法行為的規(guī)則，判斷出非法行為。如一次ping事件很正常，但如果單位事件內(nèi)出現(xiàn)大量ping事件，則說明是一個ping洪流事件，是一個典型的拒絕服務(wù)攻擊；再如一次口令注冊失敗很正常，但如果連續(xù)多次的口令注冊失敗，則很可能是一次暴力口令破解行為。目前有些商用IDS已經(jīng)采用這個技術(shù)。

異常行為判斷是根據(jù)平時統(tǒng)計的各種信息，得出正常網(wǎng)絡(luò)行為準則，當遇到有違這種準則的事件時，報告非法行為事件。顯然，它能夠發(fā)現(xiàn)未知的網(wǎng)絡(luò)非法行為，但此系統(tǒng)必須具有正常規(guī)則統(tǒng)計和自我學(xué)習(xí)功能，因此目前還處于研究階段，商用系統(tǒng)還沒有采用的。

2．主機IDS

主機IDS運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。其監(jiān)測的資源主要包括：網(wǎng)絡(luò)、文件、進程、系統(tǒng)日志等。

通過截獲本系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)，進行如同網(wǎng)絡(luò)IDS的分析，查找出針對本系統(tǒng)的網(wǎng)絡(luò)非法行為。當截獲數(shù)據(jù)變?yōu)檗D(zhuǎn)發(fā)數(shù)據(jù)操作時，系統(tǒng)就轉(zhuǎn)變?yōu)橐粋€基于主機的防火墻（個人防火墻）。

通過掃描，或者監(jiān)聽本地的磁盤文件操作，檢查文件的操作狀態(tài)和內(nèi)容，對文件進行保護、恢復(fù)等操作。如果只對文件的操作進行記錄和上報，則是一個標準的文件IDS系統(tǒng)。如果能通過插入文件操作驅(qū)動等方式對文件的操作進行控制，或者通過查詢方式檢查并恢復(fù)被修改的文件，則是一個文件保護系統(tǒng)。如果能夠?qū)ξ募膬?nèi)容進行審計，尤其根據(jù)病毒特征信息進行審計，則是一個病毒富裕、檢查系統(tǒng)。

通過輪詢等方式監(jiān)聽系統(tǒng)的進程及其參數(shù)，包括進程名稱、進程的所有者、進程的起始狀態(tài)和當前狀態(tài)、進程的資源占有率和優(yōu)先級等信息，檢查出非法進程，并根據(jù)系統(tǒng)要求可以上報和殺死進程等響應(yīng)措施。

通過查詢系統(tǒng)各種日志文件，包括監(jiān)測日志文件的內(nèi)容和狀態(tài)，報告非法的入侵者。因為一般的非法行為，都會在系統(tǒng)日志中留下記錄、痕跡，而高級非法入侵者會刪除系統(tǒng)日志以抹去現(xiàn)場痕跡，所以必須對日志文件本身進行檢測和保護、備份。

一般而言，這4個方面是相互交叉的，如網(wǎng)絡(luò)非法行為，分別可以通過網(wǎng)絡(luò)內(nèi)容監(jiān)測、進程監(jiān)測、日志監(jiān)測等方面進行監(jiān)視。

運行于被保護主機的系統(tǒng)之上的主機IDS，是安全體系結(jié)構(gòu)中最后一道保護防線，同時由于加密、認證、訪問控制等方式的采用，外部檢測往往失效，或者已經(jīng)被欺騙的情況下，主機IDS仍然是一個難以逾越的防線。

主機IDS由于運行于主機之上，隨著系統(tǒng)的不同而采用不同的開發(fā)和應(yīng)用技術(shù)，會分為系統(tǒng)級IDS（如微軟NT的IDS、unix系統(tǒng)的IDS等）和應(yīng)用級IDS（如oracle數(shù)據(jù)庫的IDS、web的IDS等），因此，系統(tǒng)分類多，通用性差，技術(shù)雜等，同時由于它運行于被保護主機之上，會占用系統(tǒng)的資源，嚴重時會影響系統(tǒng)的穩(wěn)定性能，因此市場上的需求比較謹慎。

（六）IDS的基本結(jié)構(gòu)

無論IDS系統(tǒng)是分布或單機的，從功能上看，分為2大部分：引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件，后者用于顯示和分析事件以及策略定制等工作，如下所示：

引擎的主要功能為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通訊等功能，如下圖所示：

控制中心的主要功能為：通訊、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等，如下圖所示：

其中，通訊模塊完成引擎和控制執(zhí)行的十分認證和加密傳輸；事件讀取完成引擎事件的讀取，并存入事件數(shù)據(jù)庫，同時提交顯示模塊；顯示模塊把接受的事件以各種形式實時顯示在屏幕上，便于用戶的瀏覽；策略定制模塊完成事件定義策略和事件響應(yīng)策略的編輯修改功能，并提交通訊模塊下發(fā)給引擎；日志分析模塊讀取事件數(shù)據(jù)庫中的事件數(shù)據(jù)，按照用戶要求生成各種圖形和表格，便于用戶對過去一段時間內(nèi)的工作狀態(tài)進行分析、瀏覽；幫助系統(tǒng)為用戶提供2個方面的幫助：1是系統(tǒng)操作的幫助信息，1是安全事件和策略定制方面的幫助信息；事件數(shù)據(jù)庫存儲關(guān)于事件、策略、認證、通訊、幫助等所有有關(guān)IDS的信息數(shù)據(jù)。

（七）系統(tǒng)結(jié)構(gòu)

IDS的體系結(jié)構(gòu)按照引擎和控制中心的分布情況，主要分為單機和分布式的2種。

單機結(jié)構(gòu)是引擎和控制中心在一個系統(tǒng)之上，不能遠距離操作，只能在現(xiàn)場進行操作。分布式結(jié)構(gòu)就是引擎和控制中心在2個系統(tǒng)之上，通過網(wǎng)絡(luò)通訊，可以遠距離查看和操作。目前的大多數(shù)IDS系統(tǒng)都是分布式的。

分布式的優(yōu)點是明顯的：不是必需在現(xiàn)場操作，可以用一個控制中心控制多個引擎，可以統(tǒng)一進行策略編輯和下發(fā)，可以統(tǒng)一查看申報的事件，可以通過分開事件顯示和查看的功能提高處理速度等等。單機的優(yōu)點是結(jié)構(gòu)簡單，不會因為通訊而影響網(wǎng)絡(luò)帶寬和泄密。

根據(jù)1個控制中心帶動引擎的多少，即控制比例，可以分為高、中、低3類結(jié)構(gòu)：高比例結(jié)構(gòu)指1個控制中心可以帶動沒有限制的引擎數(shù)量，事實上超過50個引擎即可以算是該比例體系結(jié)構(gòu)；中比例結(jié)構(gòu)指1個控制中心可以帶動10－50個探測引擎；低比例結(jié)構(gòu)指1個控制中心可以帶動10個以下的探測引擎。影響比例高低的主要因素除了控制中心的程序結(jié)構(gòu)外，是系統(tǒng)的處理速度，特別是數(shù)據(jù)庫處理速度，由于多一個引擎就多一份處理時間和數(shù)據(jù)空間，引擎過多將引起控制中心因處理時間過慢，和數(shù)據(jù)庫數(shù)據(jù)溢出而死機。目前的IDS基本上都是低比例的控制結(jié)構(gòu)。

根據(jù)控制中心的結(jié)構(gòu)，可以分為單級和多級控制結(jié)構(gòu)。單機結(jié)構(gòu)控制中心只能控制探測引擎，不能控制其他的子控制中心。多級結(jié)構(gòu)指控制中心除控制探測引擎外，還可以控制其他的子控制中心，同時還可以被上一級的控制執(zhí)行所控制，組成一個樹形控制結(jié)構(gòu)，如下圖所示：

在構(gòu)成的多級控制結(jié)構(gòu)中，其上下級的關(guān)系為：事件上報和策略下發(fā)，即下級向上級報告發(fā)生的事件，以及同步事件日志；上級向下級發(fā)送定制的事件定義信息和響應(yīng)策略，控制下級的運行狀態(tài)。目前只有少數(shù)的IDS系統(tǒng)做到多級結(jié)構(gòu)。多級結(jié)構(gòu)的優(yōu)點在于適應(yīng)了分層管理的體系結(jié)構(gòu)。當然，為了使高級的控制中心能夠處理海量的事件信息，除了各級控制事件信息篩選上報外，應(yīng)該采用雙機結(jié)構(gòu)、高檔次計算機、高級數(shù)據(jù)庫系統(tǒng)等方法提高控制中心的處理能力。目前由的IDS系統(tǒng)可以支持多種數(shù)據(jù)庫體系結(jié)構(gòu)，在控制的樹形結(jié)構(gòu)的低層采用access小型數(shù)據(jù)庫系統(tǒng)，在控制的樹形結(jié)構(gòu)的高層采用SQL server等大型數(shù)據(jù)庫系統(tǒng)，并把數(shù)據(jù)庫處理系統(tǒng)和控制中心分離，可以提高系統(tǒng)的處理能力。

上面所述說的分布式結(jié)構(gòu)，還不能夠算分布處理系統(tǒng)，因為還沒有相應(yīng)的統(tǒng)一信息分析處理能力。真正的分布式處理系統(tǒng)，應(yīng)該能夠做到整體分析、自動定制、統(tǒng)一下發(fā)的功能。即通過分析所有下級上報的事件，發(fā)現(xiàn)非法行為，及其方法、起始地址等信息，制定相關(guān)的響應(yīng)策略，統(tǒng)一下發(fā)給所有的下級系統(tǒng)，使全部的系統(tǒng)對非法行為進行統(tǒng)一的響應(yīng)措施。