自考計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用技術(shù)考核知識(shí)點(diǎn)之網(wǎng)絡(luò)安全

字號(hào):

網(wǎng)絡(luò)安全
    1.網(wǎng)絡(luò)上的不安全因素
     隨著全球信息化的飛速發(fā)展,大量建設(shè)的各種信息化系呢經(jīng)成為國(guó)家和政府的關(guān)鍵基礎(chǔ)設(shè)施,其中許多業(yè)務(wù)都是國(guó)際性的,諸如電信、電子商務(wù)、金融網(wǎng)絡(luò)等。網(wǎng)絡(luò)信息安全已成為亟待解決、影響國(guó)家全局和長(zhǎng)遠(yuǎn)利益的重大關(guān)鍵問(wèn)題。
    計(jì)算機(jī)犯罪是一種高技術(shù)型犯罪,由于其犯罪的隱蔽性,因此對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成了很大的威脅。計(jì)算機(jī)犯罪已經(jīng)引起全社會(huì)的普遍關(guān)注。隨著Internet的廣泛應(yīng)用,采用瀏覽器假務(wù)器模式的Intranet紛紛建成,這使網(wǎng)絡(luò)用戶可以方便地訪問(wèn)和共享網(wǎng)絡(luò)資源。但同時(shí)對(duì)企業(yè)的重要信息,如貿(mào)易秘密、產(chǎn)品開(kāi)發(fā)計(jì)劃、市場(chǎng)策略、財(cái)務(wù)資料等的安全無(wú)疑埋下了致命的威脅。必須認(rèn)識(shí)到,對(duì)于大到整個(gè)Internet小到各Intranet及各校園網(wǎng),都存在著來(lái)自網(wǎng)絡(luò)內(nèi)部與外部的威脅。對(duì)Internet構(gòu)成的威脅可分為兩類:故意危害和無(wú)意危害。
     故意危害Internet安全的主要有三種人:故意破壞者又稱黑客(Hackers)、不遵守規(guī)貝。
    E者(vandals)和刺探秘密者(Crackers)。故意破壞者企圖通過(guò)各種手段去破壞網(wǎng)絡(luò)資源與信息,例如涂抹別人的主頁(yè)、修改系統(tǒng)配置、造成系統(tǒng)癱瘓;不遵守規(guī)則者企圖訪問(wèn)不允許訪問(wèn)的系統(tǒng),這種人可能僅僅是到網(wǎng)中看看、找些資料,也可能想盜用別人的計(jì)算機(jī)資源(如CPU時(shí)間);刺探秘密者的企圖是通過(guò)非法手段侵入他人系統(tǒng),以竊取重要秘密和個(gè)人資料。
     除了泄露信息對(duì)企業(yè)網(wǎng)構(gòu)成威脅之外,還有一種危險(xiǎn)是有害信息的侵入。有人在網(wǎng)上傳,同播一些不健康的圖片、文字或散布不負(fù)責(zé)任的消息;另一些不遵守網(wǎng)絡(luò)使用規(guī)則的用戶可能如通過(guò)玩一些電子游戲?qū)⒉《編胂到y(tǒng),輕則造成信息出錯(cuò),嚴(yán)重時(shí)將會(huì)造成網(wǎng)絡(luò)癱瘓。
     下面介紹幾種主要的網(wǎng)絡(luò)安全措施。
    2.防火墻(Firewall)技術(shù)
     防火墻是在被保護(hù)的Intranet與Internet之間豎起的一道安全屏障,用于增強(qiáng)Intranet的安全性。Internet/Intranet防火墻,用以確定哪些服務(wù)可以被Internet上的用戶訪問(wèn),部的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。目前的防火墻技術(shù)可以起到以下安全作用:
     (1)集中的網(wǎng)絡(luò)安全。防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心(阻塞點(diǎn))來(lái)防止非法用戶(如黑客、網(wǎng)絡(luò)破壞者等)進(jìn)入內(nèi)部網(wǎng)絡(luò),禁止存在不安全因素的訪問(wèn)進(jìn)出網(wǎng)絡(luò),并抗擊來(lái)自各種線路的攻擊。防火墻技術(shù)能夠簡(jiǎn)化網(wǎng)絡(luò)的安全管理、提高網(wǎng)絡(luò)的安全性。
     (2)安全警報(bào)。通過(guò)防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性,并產(chǎn)生報(bào)警信號(hào)。網(wǎng)絡(luò)管理員必須審查并記錄所有通過(guò)防火墻的重要信息。
     (3)重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。Internet的迅速發(fā)展使得有效的未被申請(qǐng)的IP地址越來(lái)越少,這意味著想進(jìn)入Internet的機(jī)構(gòu)可能申請(qǐng)不到足夠的IP地址來(lái)滿足內(nèi)部網(wǎng)絡(luò)用戶的需要。為了接人Internet,可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT (Network Administrator)來(lái)完成內(nèi)部私有地址到外部注冊(cè)地址的映射。防火墻是部署NAT的理想位置。
    (4)監(jiān)視Internet的使用。防火墻也是審查和記錄內(nèi)部人員對(duì)Internet使用的一個(gè)位置,可以在此對(duì)內(nèi)部訪問(wèn)Internet的情況進(jìn)行記錄。
    (5)向外發(fā)布信息。防火墻除了起到安全屏障作用之外,也是部署WWW服務(wù)器和Ftp服務(wù)器的理想位置。允許對(duì)防火墻進(jìn)行配置,允許Internet訪問(wèn)上述服務(wù)器,而禁止對(duì)內(nèi)部受保護(hù)的其它系統(tǒng)進(jìn)行訪問(wèn)。
     但是,防火墻也有自身的局限性,它無(wú)法防范來(lái)自防火墻以外的其它途徑所進(jìn)行的攻擊。例如在一個(gè)被保護(hù)的網(wǎng)絡(luò)上有一個(gè)沒(méi)有限制的撥號(hào)訪問(wèn)存在,這樣就為從后門(mén)進(jìn)行攻擊留下了可能性;另外,防火墻也不能防止來(lái)自內(nèi)部變節(jié)者或不經(jīng)心的用戶所帶來(lái)的威脅;同時(shí)防火墻也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來(lái)的所有安全問(wèn)題,如果用戶抓來(lái)一個(gè)程序在本地運(yùn)行,那個(gè)程序可能就包含一段惡意代碼,可能會(huì)導(dǎo)致敏感信息泄露或遭到破壞。
     典型的防火墻系統(tǒng)可以由一個(gè)或多個(gè)構(gòu)件組成,其主要部分是:濾路由器也稱分組過(guò)濾路由器(Packet Filtering Router)、應(yīng)用層網(wǎng)關(guān)(Application Gateway,也稱代理服務(wù)器)、電路層網(wǎng)關(guān)。
     濾路由器對(duì)IP地址、TCP或UDP分組頭信息進(jìn)行檢查與過(guò)濾,以確定是否與設(shè)備的過(guò)濾規(guī)則匹配,繼而決定該數(shù)據(jù)包按照路由表中的信息被轉(zhuǎn)發(fā)或被丟棄。濾方式的主要優(yōu)點(diǎn)是僅一個(gè)關(guān)鍵位置設(shè)置一個(gè)濾路由器就可以保護(hù)整個(gè)網(wǎng)絡(luò),而且濾對(duì)用戶是透明的,不必在用戶機(jī)上再安裝特定的軟件。濾也有它的缺點(diǎn)和局限性,如濾的規(guī)則配置比較復(fù)雜,而且?guī)缀鯖](méi)有什么工具能對(duì)過(guò)濾規(guī)則的正確性進(jìn)行測(cè)試;濾也元法查出具有數(shù)據(jù)驅(qū)動(dòng)攻擊這一類潛在危險(xiǎn)的數(shù)據(jù)包;另外,隨著過(guò)濾器數(shù)目的增加,路由器的吞吐量會(huì)下降,從而影響網(wǎng)絡(luò)性能。
     應(yīng)用層網(wǎng)關(guān)也就是通常所說(shuō)的代理服務(wù)器。代理服務(wù)器運(yùn)行在Internet和Intranet之間,當(dāng)收到用戶對(duì)某站點(diǎn)的訪問(wèn)請(qǐng)求后,會(huì)檢查該請(qǐng)求是否符合規(guī)定。若規(guī)則允許用戶訪問(wèn)該站的話,代理服務(wù)器便以客戶身份去那個(gè)站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給客戶o因此代理服務(wù)器會(huì)像一堵墻一樣擋在內(nèi)部用戶和外界之間,從外部只能看到該代理服務(wù)器而無(wú)法獲知任何內(nèi)部資料,諸如用戶的IP地址等。應(yīng)用層網(wǎng)關(guān)比單一的濾更為可靠,而且會(huì)詳細(xì)記錄所有的訪問(wèn)狀態(tài)信息。但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之處,首先因?yàn)樗辉试S用戶直接訪問(wèn)網(wǎng)絡(luò),會(huì)使訪問(wèn)速度變慢;而且應(yīng)用層網(wǎng)關(guān)需要對(duì)每一個(gè)特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件,用戶不能使用未被服務(wù)器支持的服務(wù),對(duì)每一類服務(wù)要使用特殊的客戶端軟件;更不幸的是,并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)器。