摘 要
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发
生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系. 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高. 中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
关键字: 网络社会,信息安全体系,网络安全企业,网络安全技术,重视
I
网路安全技术及其发展趋势
目 录
第一章 续论 .................................................................................................... 1 1.1 网络安全技术的发展背景 ............................................... 错误!未定义书签。 1.2 网络安全技术的发展意义 ................................................................................. 1 1.3 网络安全技术的研究内容 ................................................................................. 7 1.4 小结 ..................................................................................................................... 9 第二章 网络安全技术的理论 .......................................................................... 13 2.1内涵 .................................................................................................................... 13 2.2 特征 ................................................................................................................... 15 第三章 网络安全技术的实践应用 ................................................................... 17
3.1应用领域 ............................................................................................................ 17 3.2存在的问题 ........................................................................................................ 20 3.3 对策分析 ........................................................................................................... 22 3.4 小结 ................................................................................................................... 23 第四章 网络安全技术的发展趋势 ................................................................... 24
4.1防火墙技术 ........................................................................................................ 24 4.2 入侵检测技术 ................................................................................................... 26 4.3 网络行为库的研究与应用 ............................................................................... 26 4.4 分组密码的设计与分析 ................................................................................... 26 4.5 认证理论及其应用 ......................................................................................... 26 第五章 结论 .................................................................................................. 24
5.1 结论 ................................................................................................................... 26 5.2 展望 .................................................................................................. 24
参考文献 ........................................................................................................ 27 致 谢 ............................................................................................................. 28 附 录 ............................................................................................................. 29
II
网路安全技术及其发展趋势
第一章 续 论
1.1网络安全技术的发展前景
计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国,原本用于军事通讯,后逐渐进入民用,经过短短40年不断的发展和完善,现已广泛应用于各个领域,并正以高速向前迈进。在不久的将来,我们将看到一个充满虚拟性的新时代。在这个虚拟时代,人们的工作和生活方式都会极大地改变,那时我们将进行虚拟旅行,读虚拟大学,在虚拟办公室里工作,进行虚拟的驾车测试等。对计算机网络发展的前景,我有如下看法:1、全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。同时,个人及企业将获得大量个性化服务。这些服务将会由软件设计人员在一个开放的平台中实现。由软件驱动的智能网技术和无线技术将使网络触角伸向人们所能到达的任何角落,同时允许人们自行选择接收信息的形式。
2、带宽的成本将变得非常低廉,甚至可以忽略不计。随着带宽瓶颈的突破,未来网络的收费将来自服务而不是带宽。交互性的服务,如节目联网的视频游戏、电子报纸和杂志等服务将会成为未来网络价值的主体。
3、在不久的未来,无线网络将更加普及,其中cnet:短距无线网络前景看俏。短距无线通讯标准Zigbee与超宽频UWB(Ultra wideband)即将制订完成,未来将与蓝芽(Bluetooth)共同建构短距离无线网络环境,包括蓝芽、Zigbee与UWB等相关产品出货量都将大幅成长。随着电子电机工程师协会(IEEE)推出802.15个人局域网络(WPAN)标准后,新一代的短距离无线通讯发展趋势逐渐确定,除了蓝芽(802.15.1)外,Zigbee(802.15.4)与UWB(802.15.3a)标准也将于今年或明年初陆续通过,未来Zigbee与UWB将以各自不同特性,如速度、价格等切入短距离无线网络环境。
4、计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,它包括:通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等。
在理论上,网络安全是建立在密码学以及网络安全协议的基础上的。密码学是网络安全的核心,利用密码技术对信息进行加密传输、加密存储、数据完整性鉴别、用
III
网路安全技术及其发展趋势
户身份鉴别等,比传统意义上简单的存取控制和授权等技术更可靠。加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。由于加密算法的公开化和解密技术的发展,加上发达国家对关键加密算法的出口限制,各个国家正不断致力于开发和设计新的加密算法和加密机制。
从技术上,网络安全取决于两个方面:网络设备的硬件和软件。网络安全则由网络设备的软件和硬件互相配合来实现的。但是,由于网络安全作为网络对其上的信息提供的一种增值服务,人们往往发现软件的处理速度成为网络的瓶颈,因此,将网络安全的密码算法和安全协议用硬件实现,实现线速的安全处理仍然将是网络安全发展的一个主要方向。
在安全技术不断发展的同时,全面加强安全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。
总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。 1.2网络安全技术威胁的特点
1,隐蔽性和潜伏性,计算机网络攻击正是由于其隐蔽性,且过程所需的时间较短,让使用者疏于防范,防不胜防。计算机攻击产生效果需要一定时间,攻击往往潜伏在计算机程序中,直到程序满足攻击效果产生的条件,被攻击对象才会发现问题。
2,破坏性和危害性,网络攻击往往对计算机系统造成严重破坏,使计算机处于瘫痪状态,而且一旦攻击成功,会给计算机用户带来惨重的经济损失,更甚者将威胁社会和国家的安全。
3,突发性和扩散性,计算机网络破坏通常是毫无征兆的,而且且影响会迅速扩散,无论计算机网络的攻击是个体还是群体,都会因为网络互联性,形成扩散的连环破坏,其影响规模若不受干扰将会是无限的。 1.3计算机网络安全的影响因素
1,网络系统本身存在的问题,首先,Internet处于无政府,无组织,无管理,状态,所以也就无安全所言,任何一用户都可以通过其WEB网上网浏览,方便的可访问性使企业,单位以及个人的敏感性信息及其受到其伤害,也为保密造成困难,其次,目前流行的操作系统均存在漏洞,漏洞是可以在攻击过程中利用的弱点,它可以是软件,硬件,程序缺点,功能设计或者配置不当等造成的,黑客或入侵者会研究分析这些漏洞,加以利用而获取侵入和破坏的机会。最后,TCP/IP协议寻在安全隐患。一方面,该协议数据流采取明码传输,且传输过程中无法控制,这就为他人截取,窃听信息提供了机会,另一方面,该协议在设计时采用簇的基本体系结构,IP地址作为网络节点的唯一标时,不是固定的,且不需要身份验证,因此攻
IV
网路安全技术及其发展趋势
击者就有了可乘之心,他们可以通过修改或冒充他人的IP地址进行信息的截拦,窃取和篡改。
2,来自外在的威胁因素,自然威胁。计算机网络安全需要一定的适宜的自然条件作为支撑,各种不可抗拒的自然因素,恶劣的外部环境,机器设备的故障,都会直接或间接地威胁网络安全。
,黑客攻击。计算机技术的发展速度快于计算机安全技术的发展速度,黑客利用两者之间的空白期,研究发现系统的漏洞,进行突击网络安全的提前防御,这种人为地恶意攻击是计算机网络最大的威胁。
病毒入侵。计算机病毒因为其隐蔽性,潜伏性,传染性和破坏性的特点,对计算机网络安全造成的巨大破坏,未来计算机系统病毒的摧毁力将越来越强,隐蔽性和抗压性也日益增强,这些病毒的存在对于计算机网络安全无疑是定时炸弹。
非法访问。非法访问指的是未经同意就越过界限,利用工具或通过编写计算机程序,突破计算机网络的访问权限,侵入他人电脑进行操作。
3,计算机用户带来的威胁因素,在计算机使用过程中,使用者的安全意识的缺乏通常是网络安全的一个重大隐患,隐蔽性文件未涉密,操作口令的泄露,重要文件的丢失都会给黑客攻击提供攻击机会。对于系统泄露的不及时修补以及不及时防病毒都可能会给网络安全带来破坏。
4,有效评估和监控手段的缺乏。全面准确地安全评估是防范黑客入侵体系的基础,它可以对整个要构建的网络安全防护性做出科学准确地分析评估,并保障要实施的安全策略在经济上,技术上得可行性,但在现实中,计算机网络安全的维护更多是注意事前预防和事后布防,在事中评估和监控方面有所欠缺,这直接造成网络安全的不稳定性。
1.3计算机网络安全的防范措施
1.31,深入研究系统缺陷,完善计算机网络系统设计
全面分析网络系统的设计是建立安全可靠地计算机网络工程的首要任务。应针对现在现在的计算机网络系统中存在的弱点进行认真研究,完善计算机网络系统设计,这里主要强调一点:建立入网访问控制功能模块。入网访问控制为为网络提供了第一层保护。它规定可以登陆到网络服务器并获取网络资源的用户条件,并控制用户入网的时间,以及他们在哪台工作站入网,用户入网访问控制可分为三个过程:用户名的识别与验证,用户口令的识别与验证,用户账号的检查。3个过程中任何一个不能通过,系统将其视为非法用户,不能访问该网络。
各类操作系统要经过不断检测,及时更新保证其完整性和安全性,系统软件应具备以下安全措施:操作系统应有较完善的存取控制功能,以防止用户越权存取信息,;操作系统应具有良好的存取保护功能,以防止用户作业在制定范围以外地存取区域进行读写;还应有较完善的管理能力,以记录系统的运行情况,检测对数据文件的存取。
1.32,完善的网络安全保护,抵制外部威胁
构建计算机网络运行环境的优良环境,硬件运行环境的改善。服务器机房建设要按照国家统一颁布的标准进行建设,施工,经公安,消防等部门检查验收合格后方可投入使用,计算机系统重要配备部门要进行严格管理,并配备防水,防盗,防震,防火,防雷,防磁等设备。做好维护设备的工作,建立对各种计算机及其网络
V
网路安全技术及其发展趋势
设备定期检修,维护制度,并做好检修,维护记录。对突发性的安全事故处理要有应急预案,对主要服务器和网络设备,要制定专人负责,发生故障保证及时修复,从而确保所有的设备处于最佳状态。
(2),建立完整可靠地安全防线。
1,防火墙控制。防火墙技术是一种建立在网络之间的互联设备,主要防止外部网络设备用户以非法手段进入内部网络访问或获取内部网络资源,及过滤危险因素的网络屏障,防火墙可以强化网络安全性,它对两个或多个网络间的传输的数据包按照一定的安全策略实行安全检查,决定传输是否被允许,这样就减少了非法传输的可能性。另外防火墙可以对网络中得实际操作进行监控和记录,经过防火墙的访问都会被记录,同时也提供网络使用情况的详细数据,当非法行径出现时,防火墙能及时作出预警,并提出非法操作的详细信息。
2,防毒防杀技术,网络病毒对于整个计算机网络系统的破坏是巨大的,因此病毒防杀是网络安全技术的重要环节,在实际生活中,人们始终存在着一个认识的误区,及对待病毒关键是“杀”,其实病毒应当以防为主,计算机被病毒感染后,再进行分析,杀毒,这无疑是“饭后买单”,事后的防护性措施是不可能彻底计算机安全问题的,因此对待计算机安全问题我们应该采取防御的措施,计算机一定要安装正版的杀毒软件,并对杀毒软件进行实时监控,定时升级,同时要定期对电脑进行扫描,以便发现并清除隐藏的病毒,尽可能采取行之有效的新技术,新手段,建立“防杀结合,以防为主,以杀为副的。软硬互补,标本监制,”的最佳网络病毒安全模式。
3,访问权限设置,访问权限设置的主要任务就是尽量将非法访问排除在网络之外,权限设置是网络安全防范系统中得重要环节,系统通过设定权限条件,赋予用户一定的访问的权利与限制,用户在权限范围内可访问目录,子目录,文件和其他资源,制定用户对这些内容能够进行哪些具体操作。
4,文件加密技术,加密的目的是将明文改为密文,使未被授权的人看不懂它,从而保护网络中数据传输的安全性,。网络加密的通常方法有链路加密,端点加密和节点加密,链路加密的目的是保护网络节点之间链路信息的安全性,端点加密的目的是对源端用户到目的端的用户的数据提供保护,节点加密的目的是从源节点到目的节点之间的数据链路提供保护。
(3)加强计算机用户及管理人员的安全意识培养
计算机个人用户要加强网络安全意识的培养,根据自己的职责权限,选择不同的口令,对应用程序进行合法操作,防止其他用户越权访问数据,和使用网络资源,同时在使用时要注意对病毒的设防,重视杀毒软件的更新,在网络前段进行杀毒,加强网络管理人员的安全意识,职业道德,责任心的培养,建立健全的安全体制,不断的加强计算机信息网络的安全规范化管理力度,大力加强安全建设,给计算机网路安全提供可靠保证。
(4)建立专业的精英团队,加强网络评估和监控。 网络安全方面的维护一方面要依靠先进的软件防御,另一方面要依靠专业的网络评估和监控人员,这类精英团队,寻在与黑客的对立面,主要对网络运行的过程进行监控,观察研究是否有部法攻击的寻在,进而进行评估,并提出改进意见,以完善网络运行机制。计算机网络安全涉及方方面面,是一个复杂的系统,它的维护
VI
网路安全技术及其发展趋势
需要多主体的共同参与,而且要从事前预防,事中监控,事后防护三个方面进行维护,不断加强安全意识,完善安全技术,制定安全策略,从而提高计算机网络的安全性,
第二章,网络安全 2.1网络安全的含义
网络安全从其本质上讲是网络上信息安全,它涉及的领域相当广,这是因为日前的公用通信网络中存在各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信息的保密性,完整性,可用性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统中得硬件,软件及数据受到保护,不遭受偶然或恶意的破坏,更改,泄露,系统连续可靠正常的运行,网络服务不中断,且在不同环境和应用中不同的解释。
(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护,计算机结构设计的安全性考虑,硬件系统的安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防御等。(2)网络上信息系统的安全,包括用户口令的鉴别,用户存取权限控制,数据存取权限,方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密等 (3)网络信息传输的安全:即信息传输后果安全,包括信息过滤,不良信息过滤等后果。
(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重与保护信息的机密性,真实性和完整性。本质上是保护用户的利益和隐私。
2.2网络安全的属性
网络安全具有三大基本属性:机密性,完整性和可用性。
(1)机密性 是指保证信息与信息系统不被非授权者所获取与使用,主要防范措施是密码技术。
(2)完整性:是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于处于一个可靠的运行状态之下,以上可以看出:在网络中,维护信息载体和信息信息自身的安全包括了机密性,完整性和可靠性,这些重要的属性。
2.3网络安全机制
网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对潜伏的安全威胁而设计的,可以根据实际情况单独或组合使用,如何在有限的投入下合理使用安全机制,以便尽可能的降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。
2.31网络安全技术机制
网络安全技术机制应包括以下内容:
(1)加密和隐藏,加密使信息改变,攻击者无法了解信息的内容从而达到保护,隐藏则是有用的信息隐藏在其他信息中,使攻击者无法发现
(2)认证和授权,网络设备之间应互认证对方的身份,以保证正确的操作权利,赋予和数据的存取控制,同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作,
VII
网路安全技术及其发展趋势
(3)审计和定位:通过对一些重要的事件进行记录,从而在系统中发现错误,或受到攻击时能定位错误,并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。
(4)完整性保护,利用密码技术的完整性,保护可以很好得对付非法篡改,当信息源的完整性可以被验证或无法模仿时,可提供不可抵赖服务。
(5)权限和存取控制,针对网络系统需要定义的各种用户,根据正确的认证,赋予其适当的操作能力,限制其越级操作。
(6)任务填充,在任务间歇期发送无用的,具有良好模拟性能的随机数据,以增加攻击者,以增加攻击者通过分析通信流量和破译密码获得信息难度。 2.32网络安全管理体制
网络信息安全不仅仅是技术问题,更是一个管理问题,更解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理技术,和依据相关的法律制度。 2.4网络安全策略
策略通常是一般性的规范,只提出相应的重点,而不确定说明如何到达想要到的结果,因此策略属于安全技术规范中得最高一级 2.41安全策略的分类
安全策略分为基于身份的安全策略和基于规则的安全策略,基于身份的安全策略是过滤对数据或资源的访问,有两种执行方法,若访问权限为访问者所有,典型的做法为特权标记或特殊授权,即仅为用户及相应用户活动进行授权,若为访问数据所有则可以采用访问数据表(ACL),这两种情况中,数据项的大小有很大的变化,数据权利命名,也可以带自己的ACL,基于规则的安全策略是建立在特定的,个体化属性之上的授权准则,授权通常依赖于敏感性,在一个安全系统中,数据或资源应该标注安全标记,而且用户活动应该得到相应的安全标记。 2.42安全策略的配置
开放式网络环境下地用户的合法权益通常受到两种方式的侵害,主动攻击和被动攻击,主动攻击包括被用户信息的窃取,对信息流量的分析,根据用户对安全的需求才可以采取以下的保护,
1,身份的认证,检验用户的身份是否合法,防止身份的冒充,及对用户实行访问控制,数据完整性鉴别,防止数据被伪造,修改和删除。
2,信息的保密。防止用户数据被泄露。窃取,保护用户的隐私。 3,数字签名,防止用户否认对数据所作的处理, 4,访问控制,对用户的访问权限进行控制,
5,不可否认性,也称不可抵赖性,即防止对数据操作的否认。 2.43安全策略的实现流程:
安全策略实现涉及到以下几个主要方面:
(1)证书管理,主要指公开密银证书的产生,分配更新和验证。
(2)密银管理,包括密银的产生,协商,交换和更新,目的是为了在系统的终端系统之间建立实现安全策略所需的共享密银。
(3)安全协作,是在不同的终端系统之间,协商建立共同的安全策略,包括安全策略实施所在的层次,具体采用的认证,加密算法和步骤,如何处理差错。
VIII
网路安全技术及其发展趋势
(4)安全算法实现,具体算法的实现,如PES,RSA
(5)安全策略数据库,保存与具体建立的安全策略有关的状态,变量和指针, 第三章网络安全问题解决对策 3.1计算机安全级别的划分 3.11 TCSEC的介绍
1999年9月13日国家质量技术监督局公布了我国第一部信息安全等级划分的标准,“计算机信息安全等级划分准则”(GB17859-1999).而国外同标准的是美国国防部在1985年12月公布的可信计算机系统评价标准TCSFC,在TCSFC划分了7个安全等级,D级,C1级,C2级,B1级,B2级和B3级,A1级,其中D级是没有安全机制的级别,A1级是难以达到的安全级别。 3,12 GB17859划分的特点
(1)D级安全等级:D级安全等级只包括D1一个级别,D1的安全等级最低,D1系统只为文件和用户提供安全保护,D1系统最普通的形式是本地操作系统,或者是一个没有保护的网络。
(2)C类安全等级:该类安全等级能够提供审慎的 保护,并为用户的行为和责任提供审计能力,C类安全等级可划分为C1和C2两个等级,C1系统的可信任运算基础体制(Trusted computing Base,TCB),通过将用户和数据分开,来达到安全的目的,在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性,C2系统比C1系统加强了可调的审慎控制能力,在连接事件和资源隔离来增强这种控制.C2系统具有C1系统中所有的安全性特征。
(3)B类安全等级:B类安全等级可分为B1,B2,B3共3类安全等级,B类系统具有强制性保护功能,强制性保护意味着用户没有与安全等级相连,系统就不会让用户存取对象,B1系统满足下列要求:系统对网络控制下地每个对象,进行灵敏性标记,系统使用灵敏性标记作为强迫访问的控制的基础,系统把导入的,非标记的对象放入系统前标记它们,灵敏度标记必须准确地表示其所联系的对象的安全级别,当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须每个通信通道和I/O设备是单级还是多级的,并且管理员只能手工改变和制定,单级设备并不保持传输信息的灵敏度级别:所有直接面对用户位置的输出,(无论是虚拟还是物理的)都必须产生标记来指示输出对象的灵敏度,系统必须使用用户的口令来证明用户的安全访问级别,系统必须通过审计来记录,未授权访问的企图,B2系统必须满足B1系统所需的要求。另外B2系统的管理员必须使用一个明确的,文档化的,安全策略模式,作为系统的可信任运算基础体制, B2系统必须满足以下要求,系统必须通知系统中的每一个用户所有与之相关的网络连接的改变,只有用户能够在可信任通信路径中进行初始化通信,可信任运算基础体制能够支持独立的操作者和管理员。B3系统必须符合B2系统的所有安全体制。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统设有安全管理员。B3系统应该满足以下要求:(a),B3必须产生一个可读的安全列表,每个被命名的对象提供对该对象没有访问权的用户列表说明:(b)B3系统在进行任何操作前,要求用户进行身份验证:(c)B3系统验证每个用户,同时还会发送取消访问的审计跟踪消息;设
IX
网路安全技术及其发展趋势
计者必须正确区分可信任的通信路径和其他路径,可信任的通信基础体制支持独立的安全体制管理。
(4)A类安全等级:A类系统的安全级别最高,目前A类安全等级只包含A1一个安全类别,A1类与B3类相似,对系统的结构和策略不作特别要求,A1系统的显著特征是系统的设计者必须按照一个正式的设计规范来分析系统,系统分析后,设计者必须运用核对技术来确保系统符合设计规范。A1系统必须满足以下要求,系统管理员必须从开发者那里接收到一个安全策略的正式模型:所有的安全操作都必须由系统管理员进行,系统管理员进行的每一步安全操作都有正式的文档。 3,13全等级标准模型
计算机信息系统的安全模型主要又访问监控器模型,军用安全模仿和信息流模型等三类模型;它们是定义计算机信息系统安全等级划分标准的依据
(1)访问监控模型:是按TCB要求设计的,受保护的客体要么允许访问,要么不允许访问。
(2)常用安全模型:是一种多级安全模型,即它所控制的信息为绝密,机密,秘密和无密四种敏感及
信息流模型:是计算机中系统中信息流动路径,它反映了用户在计算机系统中得访问意图,信息流分直接和间接两种方式。3.2网络安全防范 3.21 Telnet入侵防范,
Telnet协议是TCP/IP协议簇中的一员,是Internet远程登录服务的标准协议和主要方式,它为用户提供了在本地计算机上完成主机工作能力,在终端使用者的电脑上使用Telnet程序,用它连接到服务器,终端使用者可以在Telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器得控制台上输入一样,可以在本地就能控制服务器,要开始一个Telnet会话,必须输入用户名和密码来登录服务器,Telnet是常用的远程控制Web服务器的方法。Telnet可能是黑客常用的攻击方式,我们可以通过修改Telnet服务端口,停用Telnet服务,甚至把Telnet控制台管理工具删除。
3.22防止Administrator账号被破解
Windows2000/xp/2003系统的Administrator账号是不能被停用的,也不能设置安全策略,这样黑客就可以一遍又一遍的尝试这个账号的密码,直到被破解,为了防止这种侵入,我们可以把Administrator账号更名为:在“组策略”窗口中,依次展开“本地计算机策略”/“计算机配置”/“Windows配置”/“安全设置”/“本地策略”/\"安全选项“功能分支, 3.33防止被暴力破解
黑客攻击入侵,大部分利用漏洞,通过提升权限为管理员,这一切都跟用户账户紧密相连,防范措施:通过修改注册表来禁用空用户连接。 3,34木马防范措施 3.341,木马的概述,
特洛伊木马是一种隐蔽了具有攻击性的应用程序。与病毒不同,它不具备复制能力,其功能具有破坏性,大部分”木马“采用C/S运行模式,当服务器在目标计算机上被运行时,打开一个特定的端口进行监听,当客户端像服务器发出连接请求时,服务器端的相应程序会被自动运行来应答客户机的要求。
X
网路安全技术及其发展趋势
3.342木马的防范措施,(1)检查系统配置应用程序,在”木马“程序会想尽一切办法隐藏自己,主要途径有:在任务栏和任务管理器中隐藏自己,即将程序设为”系统服务”来伪装自己,“木马”会在每次服务端启动时,自动转载到系统中。 (2)查看注册表
(3)查找木马的特征文件,\"木马”的一个特征文件是Kern132.exe,另一个是sysexlpr.exe.只要删除这两个文件,木马就起不了作用了,但是需要注意的是sysexlpr.exe是和文本文件相关联的,在删除时,必须先把文本文件跟notepod关联上,否则不能使用文本文件。 3.35网页恶意代码及防范
目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下几种 (1)消耗系统资源
(2)非法向用户硬盘写入文件
(3)IE泄露,利用IE漏洞,网页可以读取客户机上得文件,就可以从中获取用户账户和密码
(4)利用邮件非法安装木马。 3.351恶意代码分析
在HTML中利用死循环原理,交叉显示耀眼的光线,如果继续插入编写的一段代码,扩大恶意程度,那么IE将无法使用。 3.352网络中恶意代码的防护措施
(3)
XI
因篇幅问题不能全部显示,请点此查看更多更全内容