學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 網(wǎng)絡(luò)安全知識(shí) >

網(wǎng)絡(luò)安全操作工具

時(shí)間: 若木620 分享

  計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面,即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

  防火墻

  Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng)),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。要使一個(gè)防火墻有效,所有來(lái)自和去往Internet的信息都必須經(jīng)過(guò)防火墻,接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過(guò),并且防火墻本身也必須能夠免于滲透。

  Internet防火墻負(fù)責(zé)管理Internet和機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)。在沒(méi)有防火墻時(shí),內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī),極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個(gè)主機(jī)的堅(jiān)固程度來(lái)決定,并且安全性等同于其中最弱的系統(tǒng)。

  Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“ 扼制點(diǎn)” 來(lái)防止非法用戶(hù),比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò),并抗擊來(lái)自各種路線的攻擊。Internet防火墻能夠簡(jiǎn)化安全管理,網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固,而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。

  在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報(bào)警。(注意:對(duì)一個(gè)與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō),重要的問(wèn)題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊,而是何時(shí)受到攻擊?誰(shuí)在攻擊?)網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過(guò)防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄,防火墻就形同虛設(shè)。在這種情況下,網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。

  Internet防火墻可以作為部署NAT(Network Address Translator,網(wǎng)絡(luò)地址變換)的邏輯地址。因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題,并消除機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩。

  Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供Internet連接的費(fèi)用情況,查出潛在的帶寬瓶頸的位置,并根據(jù)機(jī)構(gòu)的核算模式提供部門(mén)級(jí)計(jì)費(fèi)。

  在設(shè)計(jì)理念方面,防火墻是以應(yīng)用為主、以安全為輔的,也就是說(shuō)在支持盡可能多的應(yīng)用的前提下,來(lái)保證使用的安全。防火墻的這一設(shè)計(jì)理念使得它可以廣泛地用于盡可能多的領(lǐng)域,擁有更加廣泛的市場(chǎng),甚至包括個(gè)人電腦都可以使用,但是它的安全性往往就差強(qiáng)人意。而網(wǎng)閘則是以安全為主,在保證安全的前提下,支持盡可能多地應(yīng)用。網(wǎng)閘主要用于安全性要求極高的領(lǐng)域,例如對(duì)政府網(wǎng)絡(luò),工業(yè)控制系統(tǒng)的保護(hù)等等。

  安全策略

  防火墻不僅僅是路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合,防火墻是安全策略的一個(gè)部分。

  安全策略建立全方位的防御體系,甚至包括:告訴用戶(hù)應(yīng)有的責(zé)任,公司規(guī)定的網(wǎng)絡(luò)訪問(wèn)、服務(wù)訪問(wèn)、本地和遠(yuǎn)地的用戶(hù)認(rèn)證、撥入和撥出、磁盤(pán)和數(shù)據(jù)加密、病毒防護(hù)措施,以及雇員培訓(xùn)等。所有可能受到攻擊的地方都必須以同樣安全級(jí)別加以保護(hù)。

  僅設(shè)立防火墻系統(tǒng),而沒(méi)有全面的安全策略,那么防火墻就形同虛設(shè)。

  系統(tǒng)安全

  操作系統(tǒng)的安全控制:如用戶(hù)開(kāi)機(jī)鍵入的口令(某些微機(jī)主板有“ 萬(wàn)能口令” ),對(duì)文件的讀寫(xiě)存取的控制(如Unix系統(tǒng)的文件屬性控制機(jī)制)。

  網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對(duì)來(lái)自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制。主要包括:身份認(rèn)證,客戶(hù)權(quán)限設(shè)置與判別,審計(jì)日志等。

  網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對(duì)整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行安全監(jiān)測(cè)和控制。主要通過(guò)網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。

  電子商務(wù)

  電子商務(wù)安全從整體上可分為兩大部分:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。

  (一)計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括:

  (1)未進(jìn)行操作系統(tǒng)相關(guān)安全配置

  不論采用什么操作系統(tǒng),在缺省安裝的條件下都會(huì)存在一些安全問(wèn)題,只有專(zhuān)門(mén)針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置,才能達(dá)到一定的安全程度。千萬(wàn)不要以為操作系統(tǒng)缺省安裝后,再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門(mén)” 是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。

  (2)未進(jìn)行CGI程序代碼審計(jì)

  如果是通用的CGI問(wèn)題,防范起來(lái)還稍微容易一些,但是對(duì)于網(wǎng)站或軟件供應(yīng)商專(zhuān)門(mén)開(kāi)發(fā)的一些CGI程序,很多存在嚴(yán)重的CGI問(wèn)題,對(duì)于電子商務(wù)站點(diǎn)來(lái)說(shuō),會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購(gòu)物等嚴(yán)重后果。

  (3)拒絕服務(wù)(DoS,Denial of Service)攻擊

  隨著電子商務(wù)的興起,對(duì)網(wǎng)站的實(shí)時(shí)性要求越來(lái)越高,DoS或DDoS對(duì)網(wǎng)站的威脅越來(lái)越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭(zhēng)方式都來(lái)得更強(qiáng)烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風(fēng)險(xiǎn)卻非常小,甚至可以在襲擊開(kāi)始前就已經(jīng)消失得無(wú)影無(wú)蹤,使對(duì)方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。

  (4)安全產(chǎn)品使用不當(dāng)

  雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備,但由于安全產(chǎn)品本身的問(wèn)題或使用問(wèn)題,這些產(chǎn)品并沒(méi)有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高,超出對(duì)普通網(wǎng)管人員的技術(shù)要求,就算是廠家在最初給用戶(hù)做了正確的安裝、配置,但一旦系統(tǒng)改動(dòng),需要改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí),很容易產(chǎn)生許多安全問(wèn)題。

  (5)缺少?lài)?yán)格的網(wǎng)絡(luò)安全管理制度

  網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來(lái)保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

  (二)計(jì)算機(jī)商務(wù)交易安全的內(nèi)容包括:

  (1)竊取信息

  由于未采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過(guò)的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過(guò)多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。

  (2)篡改信息

  當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過(guò)各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。這種方法并不新鮮,在路由器或網(wǎng)關(guān)上都可以做此類(lèi)工作。

  (3)假冒

  由于掌握了數(shù)據(jù)的格式,并可以篡改通過(guò)的信息,攻擊者可以冒充合法用戶(hù)發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶(hù)通常很難分辨。

  (4)惡意破壞

  由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的。

  協(xié)議安全

  TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸。

  源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。

  源路由選擇欺騙(Source Routing spoofing)。

  路由選擇信息協(xié)議攻擊(RIP Attacks)。

  鑒別攻擊(Authentication Attacks)。

  TCP序列號(hào)欺騙(TCP Sequence number spoofing)。

  TCP序列號(hào)轟炸攻擊(TCP SYN Flooding Attack),簡(jiǎn)稱(chēng)SYN攻擊。

  易欺騙性(Ease of spoofing)。

62117