网络安全知识必备.doc-道客多多

资源描述

1、1网络安全概述来源：网络发布时间：2009-04-24 23:09:23 查看次数：4117 一、基本概念网络安全的具体含义会随着“角度” 的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。二、主要特性网络安全应具有以下五个方面的特征：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的

2、特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等2威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成

3、阻碍，必须对其进行控制。随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet ）、全球互联网（Internet ）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该像每家每

4、户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。三、它与网络性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务（断开），外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在

5、的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。3选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。全方位的安全体系：与其它安全体系（如保安系统）类似，企业应用系统的安全休系应包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断

6、开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。四、网络安全分析1.物理安全分析网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备

7、不受电、火灾和雷击的侵4害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。2.网络结构的安全分析网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，

8、同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上 Internet/Intrant 的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器（WEB、DNS、EMAIL 等）和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。3.系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是 Microsfot 的 Windows NT 或者其它任何

9、商用 UNIX 操作系统，其开发厂商必然有其 Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。4.应用系统的安全分析应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用系统的安全是动态的、不断

10、变化的。应用的安全涉及方面很多，以目前 Internet 上应用最为广泛的 E-mail 系统来说，其解决方案有 sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS 等不下二十多种。其安全手段涉及 LDAP、DES、RSA 等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。应用的安全性涉及到信息、数据的安全性。5信息的安全性涉及到机

11、密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息（包括管理员口令与帐户、上传信息等）的机密性与完整性。5.管理的安全风险分析管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操

12、作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，网络的安全建设是校园网建设过程中重要的一环。五、网络安全措施1.安全技术手段物理措施：例如，保

13、护网络关键设备(如交换机、大型计算机等) ，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料 4。

14、其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来，围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，6到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。2.安全防范意识拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。六、网络安全案例1.概况随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、

15、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为 45000 美元，每年计算机犯罪造成的经济损失高达 50 亿美元。 2.国外1996 年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有 53的企业受到过计算机病毒的侵害，42的企业的计算机系统在过去的 12 个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达 25 万次之多。 1994 年末，俄

16、罗斯黑客弗拉基米尔?利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国 CITYBANK 银行发动了一连串攻击，通过电子转帐方式，从 CITYBANK 银行在纽约的计算机主机里窃取 1100 万美元。 1996 年 8 月 17 日，美国司法部的网络服务器遭到黑客入侵，并将“ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫?希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。 1996 年 9 月 18 日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局” 改为“ 中

17、央愚蠢局” 。 1996 年 12 月 29 日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他 80 多个军方网址。 73.国内1996 年 2 月，刚开通不久的 Chinanet 受到攻击，且攻击得逞。 1997 年初，北京某 ISP 被黑客成功侵入，并在清华大学 “ 水木清华 ” BBS 站的“ 黑客与解密” 讨论区张贴有关如何免费通过该 ISP 进入 Internet 的文章。 1997 年 4 月 23 日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个

18、PPP 用户侵入中国互联网络信息中心的服务器，破译该系统的 shutdown 帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。 1996 年初 CHINANET 受到某高校的一个研究生的攻击； 96 年秋，北京某 ISP 和它的用户发生了一些矛盾，此用户便攻击该 ISP 的服务器，致使服务中断了数小时。 2010 年，Google 发布公告称讲考虑退出中国市场，而公告中称：造成此决定的重要原因是因为 Google 被黑客攻击。七.网络安全类型运行系统安全，即保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失，

19、避免由于电磁泄漏，产生信息泄露，干扰他人，受他人干扰。网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治，数据加密。网络上信息传播安全，即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。八.网络安全特征网络安全应具有以下四个方面的特征：保密性：信息不泄露给非授权用户、实体或过

20、程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 8可控性：对信息的传播及内容具有控制能力。九.威胁网络安全因素自然灾害、意外事故；计算机犯罪；人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议中的缺陷，例如

21、TCP/IP 协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁渗入威胁主要有：假冒、旁路控制、授权侵犯；植入威胁主要有：特洛伊木马、陷门。陷门：将某一“特征”设立于某个系统或系统部件之中，使得在提供特定的输入数据时，允许安全策略被违反。十.网络安全的结构层次1、物理安全自然灾害（如雷电、地震、火灾等），物理损坏（如硬盘损坏、设备使用寿命到期等），设备故障（如停电、电磁干扰等），意外事故。解决方案是：防护措施，安全制度，数据备份等。电磁泄漏，信息泄漏，干扰他人，受他人干扰，乘机而入（如进入安全进程后半途离开），痕迹泄露（如口令密钥等保管不善）。解决方案是：辐射防护

22、，屏幕口令，隐藏销毁等。操作失误（如删除文件，格式化硬盘，线路拆除等），意外疏漏。解决方案是：状态检测，报警确认，应急恢复等。计算机系统机房环境的安全。特点是：可控性强，损失也大。解决方案：加强机房管理，运行管理，安全组织和人事管理。 2 、安全控制微机操作系统的安全控制。如用户开机键入的口令（某些微机主板有“ 万能口令” ），对文件的读写存取的控制（如 Unix 系统的文件属性控制机制）。主要用于保护存贮在硬盘上的信息和数据。网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。 9网络互联设备的安全控制

23、。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。 3 、安全服务对等实体认证服务访问控制服务数据保密服务数据完整性服务数据源点认证服务禁止否认服务 4、安全机制加密机制数字签名机制访问控制机制数据完整性机制认证机制信息流填充机制路由控制机制公证机制十一.网络加密方式链路加密方式节点对节点加密方式端对端加密方式十二.TCP/IP 协议的安全问题TCP/IP 协议数据流采用明文传输。 10源地址欺骗（Source address spoofing）或 IP 欺骗（IP spoofing）。源路由选择欺骗（Sour

24、ce Routing spoofing）。路由选择信息协议攻击（RIP Attacks）。鉴别攻击（Authentication Attacks）。 TCP 序列号欺骗（TCP Sequence number spoofing）。 TCP 序列号轰炸攻击（TCP SYN Flooding Attack），简称 SYN 攻击。易欺骗性（Ease of spoofing）。十三.网络安全工具扫描器：是自动检测远程或本地主机安全性弱点的程序，一个好的扫描器相当于一千个口令的价值。如何工作：TCP 端口扫描器，选择 TCP/IP 端口和服务( 比如 FTP)，并记录目标的回答，可收集关于目

25、标主机的有用信息(是否可匿名登录，是否提供某种服务 )。扫描器告诉我们什么：能发现目标主机的内在弱点，这些弱点可能是破坏目标主机的关键因素。系统管理员使用扫描器，将有助于加强系统的安全性。黑客使用它，对网络的安全将不利。扫描器的属性：1、寻找一台机器或一个网络。2 、一旦发现一台机器，可以找出机器上正在运行的服务。3 、测试哪些服务具有漏洞。目前流行的扫描器：1、NSS 网络安全扫描器，2、stroke 超级优化 TCP 端口检测程序，可记录指定机器的所有开放端口。3、SATAN 安全管理员的网络分析工具。4、JAKAL。5、XSCAN。一般比较流行的网络安全硬件还有：入侵防御设备(IPS

26、),入侵监测设备（IDS），一体化安全网关（UTM），较早的安全硬件还有硬件防火墙，但该随着 UTM 的出现，已经慢慢被替代。十四.黑客常用的信息收集工具信息收集是突破网络系统的第一步。黑客可以使用下面几种工具来收集所需信息： 1、 SNMP 协议SNMP 协议，用来查阅非安全路由器的路由表，从而了解目标机构网络拓扑的内部细节。简单网络管理协议(Simple Network Management Protocol SNMP)首先是由 Internet 工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决 Internet 上的路由器管

27、理问题而提出的.SNMP 被设计成与协议无关，所以它可以在 IP，IPX，AppleTalk， OSI 以及其他用到的传输协议上被使用。112、 TraceRoute 程序TraceRoute 程序，得出到达目标主机所经过的网络数和路由器数。Traceroute 程序是同 Van Jacobson编写的能深入探索 TCPIP 协议的方便可用的工具.它能让我们看到数据报从一台主机传到另一台主机所经过的路由.Traceroute 程序还可以上我们使用 IP 源路由选项,让源主机指定发送路由 3、 Whois 协议Whois 协议，它是一种信息服务，能够提供有关所有 DNS 域和负责各个域的系统管理

28、员数据。（不过这些数据常常是过时的）。WHOIS 协议。其基本内容是，先向服务器的 TCP 端口 43 建立一个连接，发送查询关键字并加上回车换行，然后接收服务器的查询结果。 4、 DNS 服务器DNS 服务器是 Domain Name System 或者 Domain Name Service（域名系统或者域名服务）。域名系统为 Internet 上的主机分配域名地址和 IP 地址。用户使用域名地址，该系统就会自动把域名地址转为 IP 地址。域名服务是运行域名系统的 Internet 工具。执行域名服务的服务器称之为 DNS 服务器，通过DNS 服务器来应答域名服务的查询 5、 Fin

29、ger 协议Finger 协议，能够提供特定主机上用户们的详细信息（注册名、电话号码、最后一次注册的时间等）。 6、 Ping 实用程序Ping 实用程序，可以用来确定一个指定的主机的位置并确定其是否可达。把这个简单的工具用在扫描程序中，可以 Ping 网络上每个可能的主机地址，从而可以构造出实际驻留在网络上的主机清单。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping 命令是第一个必须掌握的 DOS 命令，它所利用的原理是这样的：网络上的机器都有唯一确定的 IP 地址，我们给目标 IP 地址发送一个数据包，对方就要返回一个同样大小的数据包，根据

30、返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等，当然，它也可用来测定连接速度和丢包率。使用方法（XP 系统下）开始-运行-CMD-确定-输入 ping 0.0.0.0-回车120.0.0.0 为你需要的 IP。部分防火墙会将 ping 禁止，故可能会提示 timed out（超时）等情况判断操作系统，则是看返回的 TTL 值。十五. Internet 防火墙Internet 防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防

31、火墙有效，所有来自和去往 Internet 的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。 1、 Internet 防火墙与安全策略的关系防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，防火墙是安全策略的一个部分。安全策略建立全方位的防御体系，甚至包括：告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 2、防火墙的好处I

32、nternet 防火墙负责管理 Internet 和机构内部网络之间的访问。在没有防火墙时，内部网络上的每个节点都暴露给 Internet 上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。 3、 Internet 防火墙的作用Internet 防火墙允许网络管理员定义一个中心“ 扼制点” 来防止非法用户，比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet 防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。在防火墙

33、上可以很方便的监视网络的安全性，并产生报警。（注意：对一个与 Internet 相联的内部网13络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？）网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 Internet 防火墙可以作为部署 NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换 ISP 时带来的重新编址的麻烦。 Internet 防火墙是审计和记录

34、 Internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供 Internet 连接的费用情况，查出潜在的带宽瓶颈的位置，并根据机构的核算模式提供部门级计费。十六.Internet 安全隐患的主要体现1 Internet 是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。 2 Internet 的数据传输是基于 TCP/IP 通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。 3 Internet 上的通信业务多数使用 Unix 操作系统来支持， Uni

35、x 操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 4 在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。 5 电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。 6 计算机病毒通过 Internet 的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名 FTP 文件传送、也可以通过邮件和邮件的附加文件传播。十七.网络安全攻击的形式主要

36、有四种方式 L 中断、截获、修改和伪造。中断是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问。修改是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据进行修改。伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中。网络安全的解决方案一、入侵检测系统部署入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击14企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交

37、换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。二、漏洞扫描系统采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。三、网络版杀毒产品部署在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的

38、感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。十八.网络安全设备在网络设备和网络应用市场蓬勃发展的带动下，近年来网络安全市场迎来了高速发展期，一方面随着网络的延伸，网络规模迅速扩大，安全问题变得日益复杂，建设可管、可控、可信的网络也是进一步推进网络应用发展的前提；另一方面随着网络所承载的业务日益复杂，保证应用层安全是网络安全发展的新的方向。随着网络技术的快速发展，原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的

39、混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系，为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下，网络安全产品将发生了一系列的变革。结合实际应用需求，在新的网络安全理念的指引下，网络安全解决方案正向着以下几个方向来发展：主动防御走向市场主动防御的理念已经发展了一些年，但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为，根据预先设定的规则，判定是否属于危险程序或病毒，从而进行防御或者清除操作。不过，从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的，如何发现、判断、检测威胁并主动

40、防御，成为主动防御理念走向市场的最大阻碍。由于主动防御可以提升安全策略的执行效率，对企业推进网络安全建设起到了积极作用，所以尽管其产品还不完善，但是随着未来几年技术的进步，以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展，高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场，主动防御技术走向市场将成为一种必然的趋势。安全技术融合备受重视随着网络技术的日新月异，网络普及率的快速提高，网络所面临的潜在威胁也越来越大，单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势，用户对务

41、实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。软硬结合，管理策略走入安全整体解决方案15面对规模越来越庞大和复杂的网络，仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求，因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手，对接入用户终端强制实施用户安全策略，严格控制终端网络使用行为，为网络安全提供了有效保障，帮助用户实现更加主动的安全防护，实现高效、便捷地网络管理目标，全面推动

42、网络整体安全体系建设的进程。十九.电子商务网络安全问题电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全（一）计算机网络安全的内容包括：（1）未进行操作系统相关安全配置不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。（2）未进行 CGI 程序代码审计如果是通用的 CGI 问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些 CGI 程序，很多存在严重的 CG

43、I 问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。（3）拒绝服务（ DoS，Denial of Service ）攻击随着电子商务的兴起，对网站的实时性要求越来越高，DoS 或 DDoS 对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。今年 2 月美国“雅虎”、“ 亚马逊”受攻击事件就证明了这一点。（4）安全产品使用不当虽然不少网站采用了一些网络安全设备，但由于安全产品本身的

44、问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。（5）缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。（二）计算机商务交易安全的内容包括：（1）窃取信息由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析

45、，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。（2）篡改信息当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。（3）假冒16由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。（4）恶意破坏由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。二十.电子商务网络安全问题的对策电子商务的一个重要技术特征是利用计算机技术来传输和

46、处理商业信息。因此，电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。1计算机网络安全措施计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web 安全、媒体安全等等。（一）保护网络安全。网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：（1）全面规划网络平台的安全策略。（2）制定网络安全的管理措施。（3）使用防火墙。（4）尽可能记录网络上的一切活动。（5）注意对网络设备的物理保护。

47、（6）检验网络平台系统的脆弱性。（7）建立可靠的识别和鉴别机制。（二）保护应用安全。保护应用安全，主要是针对特定应用（如 Web 服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如 Web 浏览器和 Web 服务器在应用层上对网络支付结算信息包的加密，都通过 IP 层加密，但是许多应用还有自己的特定安全要求。由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安

48、全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web 安全性、EDI 和网络支付等应用的安全性。（三）保护系统安全。保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：17（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。2商务交易安全

49、措施商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。（一）加密技术。加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。（1）对称加密。对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。（2）非对称加密。非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。（二）认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。（1）数字签名。数字签名也称电子

展开阅读全文