计算机网络系统安全概述

    网络安全的认识
    安全和复杂性成正比
    安全和可用性通常成反比
    现在好的安全比从来没有完美的安全要好
    错误的安全概念比正确的不安全概念更糟糕
    安全性只有您最弱的地方那样强壮
    集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能的威胁更有用
    安全是一项投资，不是花费
    网络攻击的认识
    攻击 = 动机 + 方法 + 漏洞

    动机：

    情绪因素：公司内部员工被处罚或即将离职时为了报复，可能会对内部系统进行数据盗窃、破坏等。

    企业间谍：企业之间竞争的不断加剧导致企业使用各种各样的方法获取竞争对手的信息，信息系统的入侵便是其中之一。

    国家之间的竞争：国家之间的信息战也愈演愈烈。

    为了证实一个东西：各种各样的电脑爱好者，有时为了一种偏好，或是为了显示自己的技术、技巧，也可能发动各种的攻击，在很多时候这些攻击者并没有意识到自己的行为是非法的。

    纯粹的偷窃：盗窃各种数据，如银行信用卡的个人资料，各种商业秘密用以出售。

    方法：

    病毒：将病毒散播，可以破坏文件和应用、导致网络系统性能的显著下降。

    特洛伊木马：木马可以有各种功能，总的来说就是后门，它可以在系统内潜伏截获用户输入的密码、键盘输入的重要信息，可以将用户的重要信息自动发送出去，进行监听，收集信息，为下一步的攻击做准备。

    蠕虫：它是一种自动从一台计算机传播到另一台计算机的病毒，通过邮件或其他方式传播，导致大量的望网络流量，使网络无法正常工作。

    密码破解：通过密码字典，对常见的密码组合方式或使用常用的单词和数字等对系统密码进行快速的轮回的测试。

    拒绝服务攻击：通操控网络或Internet上的多台机器，使其同时对一台机器发动攻击，可导致被攻击的服务器无法对外提供正常的服务，甚至死机。

     Email 攻击：利用邮件服务器的漏洞攻击邮件系统，偷听或盗窃邮件等。

    伪装：在网络上对外发数据包，但不是使用自己本机的IP地址或用户名，而是冒充其他机器的IP或用户进行信息的发送来躲过如防火墙等安全设备的访问控制。

    偷听：利用以太网的数据传输方式，截获不属于本机的数据信息。偷听其他用户收发的数据。

    社会工程：通过非IT技术，如骗取网管人员的信任，进入机房直接接触重要的系统。

    入侵攻击：利用系统或应用程序的漏洞，使用现有的攻击方法对系统发动攻击，对于绝大多数已知的漏洞，在很多网站上有攻击的方法，甚至有攻击程序，使得初学者都可以下载这些攻击程序进行攻击。

    邮件炸弹：发送巨大的邮件，使用户永远无法接收完邮件，最终导致邮箱无法使用，甚至邮件服务器瘫痪。

    漏洞：

    应用和操作系统 (CERT/SANS)：操作系统的漏洞厂家会定期公布，并发布补丁，而应用系统的漏洞则在很多时候更难发现，特别是用户自行开发的应用，使用非标准的方法。

    密码强度：当密码的长度、大小写和非常见字符组合强度不够也导致密码容易被破解，简单的密码甚至可以被人为的猜到。

    协议的设置 (堆栈攻击、 IP 地址欺骗、同步洪流)：如碎片攻击等。

     Telnet

     FTP (明文认证)：如果FTP的用户认证是用明文方式，任何截获改信息的人便可得知用户名和密码。

    命令暴露用户数据 (Finger, Rexec)

    非同步传输、帧中继

    设备管理

    Modems 和无线网：Modem的设置有可能导致任何人都可以拨入，无线网的数据传输过程可能被监听。

网络安全的需求

    企业越来越依赖信息技术来支持他们在全球市场中的迅速成长和扩大。Internet互联网和局域网等技术使公司以未曾想象过方式与人和市场建立联系。

    但是伴随着这些技术所带来的好处，脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。随着技术变得更为复杂、先进，那些有可能到您的信息系统进行肆虐的人也变得越来越狡猾……不仅仅包括黑客和窃贼，还包括那些合法使用者，他们有可能在偶然之中将重要文件删除，或者无意中进入无权访问的业务区。很多公司非常关注态度不满的员工、未经过培训的职工、非法用户及利用并危害信息系统和网络的行业间谍。

     Internet用户的不断增加，随即安全事件不断上升，而同时安全时间的频率和复杂性也在不断增加。

网络安全技术介绍

    网络安全必须架构在科学的安全体系和安全框架之上。安全框架是安全方案设计和分析的基础。为了系统地描述和分析安全问题，本节将从系统层次结构的角度展开，分析信息网各个层次可能存在的安全漏洞和安全风险。并在下面的章节介绍各个相关技术。

    针对信息网的情况，结合信息安全解决方案的要求，把信息网全网的信息安全划分为六个层次，环境和硬件、网络层、操作系统、数据库层、应用层及操作层。

计算机病毒的诊断与消除

     1.1  计算机病毒概述

    关于计算机病毒的确切定义，至今尚无一个公认的概念。目前，使用较多的是美国病毒专家科恩（Fred Cohen）博士所下的定义：“计算机病毒是一种能够通过修改程序，并把自己的复制品包括在内去感染其它程序的程序。”或者说，“计算机病毒是一种在计算机系统运行过程中能把自己精确拷贝或者有修改地拷贝到其它程序体中的程序”。

    计算机病毒的特性是：感染性、流行性、欺骗性、危害性、可插入性、潜伏性、可激发性、隐蔽性、顽固性、常驻内存。

     1.2  计算机病毒的结构和破坏机理

    计算机病毒一般由感染标志、感染模块、触发模块、破坏（或表现）模块和主控模块五个部分组成。

    病毒的引导过程分为窃取内存、自身定位、保障功能。

     1.3  计算机病毒的传播

    引导型病毒把自己附属在系统磁盘的引导部分，当系统被引导时病毒取得控制权，驻留内存并对系统进行控制。

    文件型病毒可附着在系统的任何可执行文件之中，当执行这些被感染的文件时，病毒也随之被执行。

    操作系统病毒把自己黏附在操作系统的一个或几个模块上，这是一种破坏性很强的病毒，它们破坏系统文件，丢失或破坏数据，并可能破坏硬盘的主引导扇区，导致磁盘无法启动，甚至无法进入。

     1.4 计算机病毒的防范

    根据计算机病毒的一般工作过程，防范病毒入侵的最好办法是堵塞这些传播途径。在实际工作中，人们提出限制传播的预防手段，如“四模型”理论，即基本的限制、分割模型、流模型和限制解释模型。

    计算机病毒的预防措施包括管理和技术两个方面。从管理方面采取的措施：

    可控制病毒的产生；

    可切断病毒传播的途径。技术措施主要包括软件预防和硬件预防。

    除了从管理上和技术上采用相应措施外，还可以利用一些病毒检测、诊断和消除软件的预防功能。如：KILL、MACAFEE、KV3000等

     1.5  计算机病毒的检测与消除

    通过检测计算机病毒的原理，可以采用下面的检测于诊断方法。

    直观检查法
    检测计算机内存空间
    检测硬盘主引导区
    检测中断向量
    检测内容中的ROM-BIOS数据区
    检测坏簇的方法。

    计算机病毒的检测工具，可分为两类：通用检测工具和专用检测工具。

    通用检测工具，主要有Debug、内存分析工具等常规工具软件，他们依靠检测病毒特征（或病毒签名）或病毒代码特征来检测是否感染病毒。随着计算机病毒和抗病毒技术的发展，计算机病毒专用检测工具不断涌现。目前，比较常用的有KILL、Macafee、Norton、瑞星、KV3000等。

防火墙技术

    防火墙简介

    防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

    防火墙的功能有：

     1、过滤掉不安全服务和非法用户
     2、控制对特殊站点的访问

    提供监视Internet安全和预警的方便端点

    因此，防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。

防火墙的特点

    一般防火墙具备以下特点：

    1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等；
    2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；
    3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；
    4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；
    5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

磬基软件安全管理解决方案

    概述

安全市场的现状：多层次；多供应商
 

因此：
 
集成解决方案  +   同时更新  = 真正的安全

解决方案

    方案内容与领域

    我们对从客户端、服务器到网关的安全需求提供风险管理、入侵响应、防火墙/VPN、病毒保护、内容过滤的广泛的集成解决方案，满足网络安全多层次的需求。

    需考虑问题

    在考虑企业安全解决方案的时候，需考虑以下几个问题：

    描述系统及网络的授权使用以及违反这些策略和过程将遭受的惩罚；

    哪些系统、应用程序和网络（如财务、人力资源、研发和Internet服务）对于持续的业务运营非常关键？

    哪些人可以访问您的信息系统、出于什么目的？

    这些网络和信息系统有多少个入口？

    现有系统网络安全控制（如：密码安全、防火墙、入侵检测、配置管理等）的有效性？

     Internet 及远程访问连接（如外露的服务器,Web、邮件、新闻和DNS）可能导致的潜在威胁？

    您的员工能否检测、处理并恢复系统或网络所受到的攻击或非法使用？

    您的系统配置是否得到有效安全的管理？

……

完整解决方案 

    因此，必须提供一套从客户端、服务器到网关的整体安全解决方案，而且这些安全的解决方案要覆盖从防病毒到内容过滤、防火墙、风险评估和入侵检测等，并用集成的解决方案。对付混合型威胁的最佳方法是提供完整的无缝集成解决方案，并且所有解决方案的同步更新，避免不同的解决方案在集成上的冲突以及不同的解决方案的在更新上的差异。
 

    方案实施

    安全机制的实施是一个复杂的任务，需要详细地规划以确保已实施的机制对于提出的信息安全弱点是有效的。磬基软件借助ISO9000：2000质量管理体系相关程序保证已选的安全机制正确、有效地实施。

    充分地设定实施时间并由合适的资源支持

    测试计划全面的设计与使用

    正规地培训安全管理员

    实施变更的管理

    提供用于管理安全机制的相应文档