第十一章网络安全 11.1网络安全概述 随着 Internet为代表的全球信息化的日益深入,网络技术的应用层次也在不 断深入。其应用领域从传统的小型业务系统向大型的关键业务系统扩展,比较典型 的有政府部门信息系统、金融业务系统、企业商务系统等。然而,随着网络的普及, 网络安全已经成为影响网络效能的重要问题,而 Internet所具有的开放性、国际性 和自由性在增加应用自由度的同时,也对网络安全性提出了更高的要求,这主要表 现在以下方面 开放性:开放性网络导致网络的技术是完全开放的,任何个人、团体都可能获 得,因而网络所面临的破坏和攻击可能是多方面的。 攻击性:国际性的网络意味着网络的攻击不仅仅来自本地网络的用户,还可以 来自 Internet上的任何一台计算机,也就是说,网络安全所面临的是一个国际化的 挑战 自由性:自由意味着网络最初对用户的使用并没有提供技术约束,用户可以自 由地访问网络,自由地使用和发布各种类型的信息,用户只需要对自己的行为负责, 而没有任何的法律限制 尽管开放的、自由的、国际化的 Internet的发展给政府机构、企事业单位带 来了革命性的改革和开放,使得它们能够利用 Internet提高办事效率和市场反应能 力,从而更具竞争力,但同时网络开放也带来了数据安全的危险和挑战。因此,如 何保护机密信息不受黑客和间谍的入侵、确保网络系统的正常安全运行,已成为政 府机构、企事业单位信息化健康发展所要考虑的重要因素之一。 11.1.1网络安全的概念 从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息 资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件 及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露 保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。 从广义角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性 真实性和可控制性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与 网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络 安全主要是指狭义的网络安全 网络安全包括五个基本要素:机密性、完整性、可用性、可控制性与可审查性 机密性:确保信息不暴露给未授权的实体或进程 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否己被篡改 204
第十一章 网络安全 11.1 网络安全概述 随着 Internet 为代表的全球信息化的日益深入,网络技术的应用层次也在不 断深入。其应用领域从传统的小型业务系统向大型的关键业务系统扩展,比较典型 的有政府部门信息系统、金融业务系统、企业商务系统等。然而,随着网络的普及, 网络安全已经成为影响网络效能的重要问题,而 Internet 所具有的开放性、国际性 和自由性在增加应用自由度的同时,也对网络安全性提出了更高的要求,这主要表 现在以下方面。 开放性:开放性网络导致网络的技术是完全开放的,任何个人、团体都可能获 得,因而网络所面临的破坏和攻击可能是多方面的。 攻击性:国际性的网络意味着网络的攻击不仅仅来自本地网络的用户,还可以 来自 Internet 上的任何一台计算机,也就是说,网络安全所面临的是一个国际化的 挑战。 自由性:自由意味着网络最初对用户的使用并没有提供技术约束,用户可以自 由地访问网络,自由地使用和发布各种类型的信息,用户只需要对自己的行为负责, 而没有任何的法律限制。 尽管开放的、自由的、国际化的 Internet 的发展给政府机构、企事业单位带 来了革命性的改革和开放,使得它们能够利用 Internet 提高办事效率和市场反应能 力,从而更具竞争力,但同时网络开放也带来了数据安全的危险和挑战。因此,如 何保护机密信息不受黑客和间谍的入侵、确保网络系统的正常安全运行,已成为政 府机构、企事业单位信息化健康发展所要考虑的重要因素之一。 11.1.1 网络安全的概念 从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息 资源不受自然和人为有害因素的威胁和危害,即指计算机、网络系统的硬件、软件 及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露, 保障系统能连续可靠地运行。计算机网络安全从本质上来讲就是系统的信息安全。 从广义角度来讲,凡是涉及到计算机网络上信息的保密性、完整性、可用性、 真实性和可控制性的相关技术和理论都是计算机网络安全的研究领域。它涵盖了与 网络系统有关的所有硬件、软件、数据、管理、环境等内容。我们通常所说的网络 安全主要是指狭义的网络安全。 网络安全包括五个基本要素:机密性、完整性、可用性、可控制性与可审查性。 机密性:确保信息不暴露给未授权的实体或进程。 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 204
第十一章网络安全 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源 而阻碍授权者的工作 可控制性:可以控制授权范围内的信息流向及行为方式 可审查性:对出现的网络安全问题提供调查的依据和手段 11.1.2网络安全面临的风险 般认为,目前网络安全面临的风险主要有以下五个方面 (1)非授权访问:指没有预先经过同意非法使用网络或计算机资源,比如有意避 开系统访问控制机制,对网络设备及资源进行非正常使用:擅自扩大权限、越权访 问信息等。 2)信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失。它通常包 括信息在传输中丢失或泄漏(如,利用电磁泄漏或搭线窃听等方式截获机密信息): 在存储介质中丢失或泄漏:通过建立隐蔽隧道窃取敏感信息等。 (3)破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插入或 重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用 户的正常使用 (4)拒绝服务攻击:不断对网络服务系统进行干扰,改变其正常的作业流程,执 行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户 被排斥不能进入计算机网络系统或不能得到相应的服务。 (5)利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统, 而且很难防范。 11.1.3安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵 守的规则,它包括三个重要的组成部分 (1)威严的法律:安全的基石是社会法律、法规与手段。通过建立一套安全管 理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律 不敢轻举妄动。 (2)先进的技术:先进的安全技术是信息安全的根本保障。用户通过对自身面 临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后 集成先进的安全技术。 (3)严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办 法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。 11.1.4网络安全措施 既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。在安全策 略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、 防火墙技术、应用网关与代理服务器技术、密码技术、PP加密技术和数字签名等技 205
第十一章 网络安全 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源 而阻碍授权者的工作。 可控制性:可以控制授权范围内的信息流向及行为方式。 可审查性:对出现的网络安全问题提供调查的依据和手段。 11.1.2 网络安全面临的风险 一般认为,目前网络安全面临的风险主要有以下五个方面。 (1) 非授权访问:指没有预先经过同意非法使用网络或计算机资源,比如有意避 开系统访问控制机制,对网络设备及资源进行非正常使用;擅自扩大权限、越权访 问信息等。 (2) 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失。它通常包 括信息在传输中丢失或泄漏(如,利用电磁泄漏或搭线窃听等方式截获机密信息); 在存储介质中丢失或泄漏;通过建立隐蔽隧道窃取敏感信息等。 (3) 破坏数据完整性:指以非法手段获得对数据的使用权,删除、修改、插入或 重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据 ,以干扰用 户的正常使用。 (4) 拒绝服务攻击:不断对网络服务系统进行干扰,改变其正常的作业流程,执 行无关程序使系统响应速度减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户 被排斥不能进入计算机网络系统或不能得到相应的服务。 (5) 利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统, 而且很难防范。 11.1.3 安全策略 安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵 守的规则,它包括三个重要的组成部分。 (1) 威严的法律:安全的基石是社会法律、法规与手段。通过建立一套安全管 理标准和方法,即通过建立与信息安全相关的法律和法规,可以使非法者慑于法律 不敢轻举妄动。 (2) 先进的技术:先进的安全技术是信息安全的根本保障。用户通过对自身面 临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后 集成先进的安全技术。 (3) 严格的管理:各网络使用机构 、企业和单位应建立相宜的信息安全管理办 法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。 11.1.4 网络安全措施 既然网络中存在诸多安全威胁,就有必要建立完善的网络安全策略。在安全策 略中技术措施是网络正常运行的保证。网络安全措施主要包括口令与访问控制方式、 防火墙技术、应用网关与代理服务器技术、密码技术、IP 加密技术和数字签名等技 205
算机网络技术及应用 术。在本章中将主要介绍防火墙技术和数据加密及认证技术。 11.2防火墙技术 1.2.1防火墙的概念 防火墙( Firewal1)是一种将内部网络和外部公共网络( Internet)分开的方 法或设备。它检査到达防火墙两端的所有数据包(无论是输入还是输出),从而决定 拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使 公共网络与内部网络之间建立起一个安全网关( Security gateway)。防火墙通过监 测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构 和运行状况,以此来实现网络的安全保护。防火墙的概念模型如图11-1所示 内部 外部端口 内部网 公网 防火墙 图11-1防火墙概念模型示意图 11.2.2防火墙的功能与分类 防火墙的功能 防火墙一般具有如下三种功能: (1)忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用 (2)限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问 (3)具有记录和审计功能,为监视互联网安全提供方便。 2.防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。 (1)包过滤防火墙。数据包过滤技术是指在网络层对数据包进行分析、选择。选 择的依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中每一个数据 包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允 许该数据包通过 数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网 络性能和透明度好。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端 口也存在着潜在危险。 (2)应用代理服务器。应用代理服务器是防火墙的第二代产品,应用代理服务器 206
计算机网络技术及应用 术。在本章中将主要介绍防火墙技术和数据加密及认证技术。 11.2 防火墙技术 11.2.1 防火墙的概念 防火墙(Firewall)是一种将内部网络和外部公共网络(Internet)分开的方 法或设备。它检查到达防火墙两端的所有数据包(无论是输入还是输出),从而决定 拦截这个包还是将其放行。防火墙在被保护网络和外部网络之间形成一道屏障,使 公共网络与内部网络之间建立起一个安全网关(Security Gateway)。防火墙通过监 测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网络的信息、结构 和运行状况,以此来实现网络的安全保护。防火墙的概念模型如图 11-1 所示。 外 部 端 口 内 部 端 口 图 11-1 防火墙概念模型示意图 11.2.2 防火墙的功能与分类 1. 防火墙的功能 防火墙一般具有如下三种功能: (1)忠实执行安全策略,限制他人进入内部网络,过滤掉不安全服务和非法用 户。 (2)限定内部网络用户访问特殊网络站点,接纳外网对本地公共信息的访问。 (3)具有记录和审计功能,为监视互联网安全提供方便。 2.防火墙分类 防火墙的主要技术类型包括数据包过滤、应用代理服务器和状态检测三种类型。 (1) 包过滤防火墙。数据包过滤技术是指在网络层对数据包进行分析、选择。选 择的依据是系统内设置的过滤逻辑,称为访问控制。通过检查数据流中每一个数据 包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允 许该数据包通过。 数据包过滤防火墙的优点是速度快,逻辑简单,成本低,易于安装和使用,网 络性能和透明度好。其缺点是配置困难,容易出现漏洞,而且为特定服务开放的端 口也存在着潜在危险。 (2) 应用代理服务器。应用代理服务器是防火墙的第二代产品,应用代理服务器 206
第十一章网络安全 技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接 与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之 间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火 墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢,操作 系统容易遭到攻击 3)状态检测防火墙。状态检测防火墙又称动态包过滤防火墙,在网络层由一个 检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定对该数据包 是接受还是拒绝。检査引擎维护一个动态的状态信息表并对后续的数据包进行检查 一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙克服了包 过滤防火墙和应用代理服务器的局限性,根据协议、端口号及源地址、目的地址的 具体情况确定数据包是否可以通过,执行速度很快。 11.2.3代理服务器的设置方法 要想访问代理服务器,必须首先进行代理服务器的配置,具体步骤如下 (1)打开E浏览器,选择【工具】|【 nternet选项】,出现【 Internet选项】对 话框,选择【连接】选项卡,如图11-2所示 ●的[ 同①AB 图11-2【 nternet选项】对话框 (2)单击【局域网设置】按钮,出现如图11-3所示的对话框 A改育 矮语国平看,确保使阳子动快,请绿用查 P对制置④ 厂使用址道置鲜丰 代鲜务睡 F用代理服① 址②)01端口① 厂于本地地址不伸代理易① 图11-3【局域网(LAN)设置】对话框 207
第十一章 网络安全 技术能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接 与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之 间的连接来实现。外部计算机的网络链路只能到达代理服务器,从而起到隔离防火 墙内外计算机系统的作用。通过代理服务器通信的缺点是执行速度明显变慢,操作 系统容易遭到攻击。 (3) 状态检测防火墙。状态检测防火墙又称动态包过滤防火墙,在网络层由一个 检查引擎截获数据包并抽取出与应用层状态有关的信息,然后以此决定对该数据包 是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查, 一旦发现任何连接的参数有意外变化,该连接就被中止。状态检测防火墙克服了包 过滤防火墙和应用代理服务器的局限性,根据协议、端口号及源地址、目的地址的 具体情况确定数据包是否可以通过,执行速度很快。 11.2.3 代理服务器的设置方法 要想访问代理服务器,必须首先进行代理服务器的配置,具体步骤如下: (1)打开 IE 浏览器,选择【工具】|【Internet 选项】,出现【Internet 选项】对 话框,选择【连接】选项卡,如图 11-2 所示。 图 11-2 【Internet 选项】对话框 (2)单击【局域网设置】按钮,出现如图 11-3 所示的对话框。 图 11-3 【局域网(LAN)设置】对话框 207
算机网络技术及应用 (3)输入代理服务器的P地址和端口数据,单击【高级】按钮,出现如图11-4 所示的对话框 代程务存 Sebs to 的有情片使用相同的代型服得 对于以下开品的址不用代解QD 表程分号C)辆千项限开 图11-4【代理服务器设置】对话框 (4)对各种代理服务输入代理服务器的IP地址,并对不使用代理服务器的连接 输入域名或P地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务 器设置。 11.3网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通 常是指各种木马病毒和借助邮件传播的病毒。 11.3.1特洛伊木马( Trojan)病毒及其防范 特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨 称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地 潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过 Internet找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和 密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉 中已经被开了个后门,并且受到别人的暗中监视与控制。 对特洛伊木马的防范:不要轻易泄露你的P地址,下载来历不明的软件时要警 惕其中是否隐藏了木马,使用下载软件前一定要用木马检测工具进行检査。对付特 洛伊木马除了用手工清除方法外,也可用 Lockdown2000等专门的反木马软件来清 除,还可以用它们来检测自己机器上是否有已知或未知的木马程序,实时监视自己 电脑端口是否有“异常活动”,禁止别人访问你的机器。一旦有人企图连接你的机器, 他们就会发出报警声音,还能对正在扫描你机器的人进行跟踪,告诉你此人来自何 处、正在做什么,提示用户用专门的反木马软件进行清除 11.32邮件病毒及其防范 208
计算机网络技术及应用 (3)输入代理服务器的 IP 地址和端口数据,单击【高级】按钮,出现如图 11-4 所示的对话框。 图 11-4 【代理服务器设置】对话框 (4)对各种代理服务输入代理服务器的 IP 地址,并对不使用代理服务器的连接 输入域名或 IP 地址,可以使用统配符“*”。依次单击【确定】按钮,完成代理服务 器设置。 11.3 网络病毒及其防范 当前计算机病毒、网络病毒可谓层出不穷、种类繁多、日趋猖獗。网络病毒通 常是指各种木马病毒和借助邮件传播的病毒。 11.3.1 特洛伊木马(Trojan)病毒及其防范 特洛伊木马是一种黑客程序,从它对被感染电脑的危害性方面考虑,我们不妨 称之为病毒,但它与病毒有些区别。它一般并不破坏受害者硬盘数据,而是悄悄地 潜伏在被感染的机器中,一旦这台机器连接到网络,就可能大祸临头。黑客通过 Internet 找到感染病毒的机器,在自己的电脑上远程操纵它,窃取用户的上网帐户和 密码、随意修改或删除文件,它对网络用户的威胁极大。用户的计算机在不知不觉 中已经被开了个后门,并且受到别人的暗中监视与控制。 对特洛伊木马的防范:不要轻易泄露你的 IP 地址,下载来历不明的软件时要警 惕其中是否隐藏了木马,使用下载软件前一定要用木马检测工具进行检查。对付特 洛伊木马除了用手工清除方法外,也可用 Lockdown 2000 等专门的反木马软件来清 除,还可以用它们来检测自己机器上是否有已知或未知的木马程序,实时监视自己 电脑端口是否有“异常活动”,禁止别人访问你的机器。一旦有人企图连接你的机器, 他们就会发出报警声音,还能对正在扫描你机器的人进行跟踪,告诉你此人来自何 处、正在做什么,提示用户用专门的反木马软件进行清除。 11.3.2 邮件病毒及其防范 208