[toc]

网络信息安全

网络存在的威胁主要表现在以下5方面:

  • 非授权访问
  • 信息泄露或丢失
  • 破坏数据完整性
  • 拒绝服务攻击
  • 利用网络传播病毒

网络安全控制技术主要有:

  • 防火墙技术
  • 加密技术
  • 用户识别技术
  • 访问控制技术
  • 网络反病毒技术
  • 网络安全漏洞扫描技术
  • 入侵检测技术

要保护网络安全除了网络安全措施(使用网络安全控制技术)之外,还有:

  • 物理线路安全措施:例如设备防雷。
  • 系统安全措施:例如漏洞发现与补丁管理。

防火墙技术

防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为:

  • 内部网络是安全和可信赖的;
  • 外部网络是不安全和不可信赖的。

防火墙是网络安全体系的基础和核心控制设施,同时也承担着繁重的通信任务。

防火墙的作用:防止不希望的、未经授权地进出被保护的内部网络。

防火墙对通过受控干线的任何通信行为进行安全处理,如:

  • 控制
  • 审计
  • 报警
  • 反应

防火墙技术经历了三个发展阶段:

  1. 包过滤防火墙
  2. 应用代理网关防火墙
  3. 状态检测技术防火墙

包过滤防火墙

包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包过滤可以根据数据包头中的各项信息来控制以下内容之间的相互访问:

  • 站点与站点
  • 站点与网络
  • 网络与网络

包过滤防火墙无法控制传输数据的内容,因为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和P层)之间。

通过检查模块,防火墙能够拦截和检查所有出站和进站的数据,其过程如下:

  1. 打开包
  2. 取出包头
  3. 根据包头的信息确定该包是否符合包过滤规则
  4. 对过滤进行记录
  5. 对于不符合规则的包,进行报警并丢弃该包

过滤型防火墙的优点

  • 对用户完全透明,速度较快(通常直接转发报文);

  • 对每条传入和传出网络的包实行低水平控制;

  • 每个IP包的字段都被检查

    例如:

    • 源地址,
    • 目的IP地址,
    • 协议,
    • 端口;

  • 可以识别和丢弃带欺骗性源IP地址的包;

  • 包过滤防火墙是两个网络之间访问的唯一来源;

  • 包过滤通常被包含在路由器数据包中,所以不需要额外的系统来处理这个特征。

过滤型防火墙的缺点

  • 不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;
  • 不支持应用层协议,因为它不识别数据包中的应用层协议,访问控制粒度太粗糙;
  • 不能处理新的安全威胁。

应用代理网关防火墙

应用代理网关防火墙彻底隔断内网与外网的直接通信:内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。

应用代理网关的优点:

  • 可以检查应用层、传输层和网络层的协议特征;
  • 对数据包的检测能力比较强。

应用代理网关的缺点:

  • 难以配置;
  • 处理速度非常慢。

状态检测技术防火墙

状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上,提高了代理防火墙的性能。

入侵检测与防御

入侵检测系统(Intrusion Detection System,DS)作为防火墙之后的第二道安全屏障,通过从计算机系统或网络中的若干关键点收集网络的安全日志、用户的行为、网络数据包和审计记录等信息并对其进行分析,从中检查是否有违反安全策略的行为和遭到入侵攻击的迹象。入侵检测系统根据检测结果,自动做出响应。

入侵检测系统有效的弥补了防火墙系统对网络上的入侵行为无法识别和检测的不足。

入侵防御系统(IPS)是在入侵检测系统的基础上发展起来的,入侵防御系统不仅能够检测到网络中的攻击行为,同时主动的对攻击行为能够发出响应,对攻击进行防御。两者相较,主要存在以下区别:

  • 在网络中的部署位置的不同;
  • 入侵响应能力的不同。

网络攻击

网络攻击是攻击者针对特定目标实施的有特定目的的活动,攻击目标对于攻击者是个黑盒子。

常见的网络攻击手段有:

  • 拒绝服务攻击(Dos攻击):目的是使计算机或网络无法提供正常的服务。

    拒绝服务攻击是不断向计算机发起请求来实现的。

  • 重放攻击:攻击者发送一个目的主机已经接受过的报文来达到攻击目的。

    攻击者利用网络监听或者其他方式盗取认证凭据,之后再重新发送给认证服务器。

    重放攻击主要用于身份认证过程,目的是破坏认证的正确性。

  • 口令入侵攻击:使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。

  • 特洛伊木马:被伪装成程序或游戏,当用户下载了带有木马的软件或附件时,这个程序就会向黑客发起连接请求,建立连接后黑客就实施攻击活动。

  • 端口欺骗攻击:采用端口扫描找到系统漏洞从而实施攻击。

  • 网络监听:攻击者可以接收某一网段在同一条物理通道上传输的所有信息,使用网络监听可以轻松截取包括账号和口令在内的信息资料。

  • IP欺骗攻击:产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。

  • SQL注入攻击:是黑客对数据库进行攻击的常用手段之一。

    SQL注入产生的原因:

    • 没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
    • 攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,
    • 获取数据库的权限,就可获取用户账号和口令信息,以及对某些数据修改等。

入侵检测技术:

  • 专家系统
  • 模型检测
  • 简单匹配

病毒

计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。

计算机病毒的特征包括:

  • 传播性
  • 隐蔽性
  • 感染性
  • 潜伏性
  • 触发性
  • 破坏性

常见的病毒类型有:

  • Worm(蠕虫病毒):

    • 欢乐时光,
    • 熊猫烧香,
    • 红色代码,
    • 爱虫病毒,
    • 震网。

  • Trojan(特洛伊木马):通过内部发起连接与外部主机建立联系,由外部主机控制并盗取用户信息。

    计算机感染特洛伊木马后的典型线型是有未知程序试图建立网络连接。

    常见的木马如冰河。

  • Backdoor(后门病毒)。

  • Macro(宏病毒):

    宏病毒感染的对象主要是文本文档、电子表格等。

网络安全

  • SSL(Secure Socket Layer,安全套接层):传输层安全协议,用于实现Web安全通信。

    SSL常用端口号为443。

  • TLS(Transport Layer Security,传输层安全协议:建立在SSL3.0协议规范之上,是SSL3.0的后续版本。

  • SSH(Secure Shell):终端设备与远程站点之间建立安全连接的协议,是建立在应用层和传输层基础上的安全协议。

    SSH是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

    SSH最初是UNIX上的程序,后来又迅速扩展到其他操作平台(如Linux、Windows)。

  • HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer):是以安全为目标的HTTP通道,即使用SSL加密算法的HTTP。

  • MME(Multipurpose Internet Mail Extensions,多用途互联网邮件扩展类型):是一个互联网标准,扩展了电子邮件标准。

  • PGP(Pretty Good Privacy,优良保密协议):是一个基于RSA公匙加密体系的邮件加密软件。

    可以用它对邮件保密以防止非授权者阅读,还能对邮件加上数字签名从而使收信人可以确认邮件的发送方。