第Ⅳ部分 络安全技术.docVIP

第Ⅳ部分 网络安全技术 第17章 网络安全与病毒防护 17.1 网络安全基本知识 网络安全从本质上讲就是网络上的信息安全。它是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。它主要指网络系统中的硬件、软件及其中的数据受到保护，不会因偶然的或者恶意的原因而遭到破坏。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都属于网络安全的研究领域。 随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事和文教等诸多领域，其中存储、传输和处理的信息中有许多是政府宏观控制决策、商业经济信息、银行资金转账、股票证券、能源资源数据和科研数据等重要信息。其中有许多是敏感信息，甚至是国家秘密，所以难免会有来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据增删和计算机病毒等)。同时，网络实体还要经受如水灾、火灾、地震和电磁辐射等方面的考验。因此，网络安全防范对系统管理员来说是非常重要的一项任务。 根据一般经验，网络安全涉及以下几个方面：首先是网络硬件，即网络的实体；其次是网络操作系统，即对网络硬件的操作与控制；再次就是网络中的应用程序。有了这3个方面的安全维护通常就足够了；但事实上，这种分析和归纳是不完整和不全面的。在应用程序的背后，还隐藏着大量的数据，作为对前者的支持，这些数据的安全性问题也应被考虑在内。同时，还有最重要的一点，即无论是网络本身还是操作系统与应用程序，它们最终都是由人来操作的，所以还有一个重要的安全问题即用户的安全性。 因此在考虑网络安全问题时，应该考虑以下5个方面的问题： 网络是否安全 操作系统是否安全 用户是否安全 应用程序是否安全 数据是否安全 概括来说，网络安全具有如表17-1所描述的体系结构。 表17-1 网络安全5层体系结构 目前，这5个层次的网络系统安全体系理论已得到了国际网络安全界的广泛承认和支持，大多网络安全产品均应用了这一安全体系理论。下面就对每一层的安全问题做简单的阐述和分析。 17.1.1 网络是否安全 网络安全性问题的核心在于网络是否得到控制，即是不是任何一个IP地址的用户都能够进入网络。如果将整个网络比作一幢办公大楼的话，对于网络层的安全考虑就如同在大楼设置门卫一样。门卫会仔细查看每一位来访者，一旦发现危险的来访者，便会将其拒之门外。 对网络系统进行访问的时候，每一个用户都会拥有一个独立的IP地址，这一IP地址能够大致表明用户所在的位置和来源系统。目标网站通过对该IP进行分析，便能够初步判断来自这一IP地址的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP地址的用户是否有权访问本网络的数据。一旦发现某些数据来自于不可信任的IP地址，系统便会自动将这些数据阻挡在系统之外，并且大多数系统能够自动记录那些曾经造成过危害的IP地址，使得它们的数据将无法造成第二次危害。 用于解决网络层安全性问题的产品主要有防火墙产品和VPN——虚拟专用网。防火墙的主要目的在于判断来源IP，将危险和未经授权的IP数据拒于系统之外，而只让安全的IP数据通过。一般来说，公司的内部网络若要与公众Internet相连，则应该在两者之间配置防火墙产品，以防公司内部数据的泄漏。VPN主要用于解决数据传输的安全问题。如果公司所辖的地域较大，使用专网、专线过于昂贵，则可以考虑使用VPN，其目的在于保证公司内部的敏感数据能够安全地借助公共网络进行频繁交换。 17.1.2 操作系统是否安全 在系统安全性问题上，主要考虑的问题有两个：一个是病毒对网络的威胁，另一个是黑客对网络的破坏和入侵。 病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络，多数病毒不仅能够直接感染网络上的计算机，也能够在网络上进行复制。同时，电子邮件、文件传输(FTP)以及网络页面中的恶意Java小程序和ActiveX控件，甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的途径有多种，使得网络中的防病毒工作变得更加复杂；网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。 对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统。其手段之一是窃取合法用户的口令，以合法身份为掩护进行非法操作；其手段之二便是利用网络操作系统中某些合法的但不为系统管理员和合法用户所熟知的操作指令。例如，在Unix系统的默认安装过程中，会自动安装大多数系统指令，据统计，其中有约300个指令是大多数合法用户根本不会使用的，但这些指令往往会被黑客利用。 要弥补这些漏洞，就需要使用专门的系统风险评估工具，来帮助系统管理员找出哪些指令是不应该安装的，哪些指令是应该降低其用户使用权限的。在完