《虚拟专用网的创建与实现（十）》青少年教育丛书.pdfVIP

下载 第10章 VPN 安 全 主要内容： • 威胁 • 网络攻击 • 系统防御 • 验证 • 加密 在每一章中只要一谈到安全，我们都作出了许诺。好的，我们现在就来兑现这些承诺。 为了恰当地论述安全问题，必须回顾 L A N和WA N ，找到通向V P N 的道路。必须理解安全的真 正含义，以及为了保护资源用所有可得到的精巧方案来完成什么样的工作。 首先，需要确定多大的安全性才算够。如果是保存我们撰写本书的版税的银行，我们希 望此银行有很大的安全性。而另一方面，如果企业只有几个员工，而且计算机只用来保存几 个记录，与一两个旅行推销人员或几个外出的远距离工作人员建立联系，那么某些基本的预 防措施就足够了；或许根本就不用考虑安全措施。 从安全的定义入手，至少提出我们的观点，然后列举几种更为常见的黑客攻击手法，并 解释其原理，有的攻击手段相对于其造成的破坏来说简单得令人惊讶。本章将给出一些实际 事件的案例研究，并加上一些此刻正在进行 (就在你阅读这几页时) 的网络攻击的样例。 然后介绍系统防御措施。介绍网络管理员、信息技术经理、数据录入员、移动用户或公 司总裁为加强本公司的安全能够做点什么。 对技术细节没有详细的了解就做不好工作，因此本章用一定的篇幅来研究一些基本的东 西，它们是：防火墙、代理、口令、验证、加密、隧道、协议、硬件、软件以及其他用来使 你的虚拟专用网进入电脑空间并得以生存的东西。 注意 “和其他你可能曾经听到过的话相反，一个决定性的措施将能绝对地防止由安全 问题所带来的电子数据的损失，那就是拔下墙上插座的电源线并把计算机扔了。” Casey Wi l s o n和Peter Doak ，1 9 9 9 10.1 安全的定义 安全，简单地说，就是防止未授权的信息访问，保护数据的完整性以及由授权人员确保 系统的运行。 到处都涉及安全问题 对于9 9 % 的电脑玩家来说，安全是很让人恼火的。口令是给他们带来不方便的东西；需 要他们不时地倒拼自己的名字。另一方面， 1 / 1 0 0的怪癖的电脑专家拒绝把自己的计算机连到 任何一种网络上，即使连到隔壁房间他们也不干。而我们多数则信奉中庸之道。我们知道前 256使用虚拟专用网的创建与实现 下载 面有危险，但我们也知道通过仔细计划和常规的管理能减少这些危险。 1. 保密 每个企业在自己的计算机上都有一些信息，这些信息出于各种各样的原因需要保密。有 时数据，如专利信息数据，对公众是不公开的，因为老板想这样。或者，与第 6章中的专业培 训一样，这些信息是委托给公司的，对无意识的泄漏有很重的处罚。你自己公司的制造技术 可能是绝密信息，值得采取保护措施。 2. 数据完整性 在很大程度上，计算机病毒是某些性情古怪无所事事的人用来占据内存的。一般来说， 这些病毒是良性无害的。另一方面，有的病毒具有破坏性。不久以前，一种特殊的破坏性病 毒，其代码外为 e x p l o r e r. e x e ，消掉了许多文件，浪费了成千个工时。有的企业不得不关闭许 多部门以保护自己。有的企业甚至完全关闭了自己的公司网络。 病毒并不是安全的唯一威胁。黑客喜欢修改数据文件，特别是喜欢修改与金融有关的数 据。他们在攻击网络时很少有什么明确的偷盗目的，只是捣一下乱。 3. 方便性 拒绝服务是一个安全性术语，用来表示带宽被占用，使网络不能传送数据的情况。是网 络可以使用的对立面。计算机使用越不方便，用户就会越灰心。 病毒只是一种用于拒绝服务的机制。电子邮件泛滥也是一种拒绝服务的机制。黑客和解 密高手可以使没有防备的端口进入死循环，使其他一切活动停止。 10.2 威胁 每个网络管理员应该对与他们网络相关的安全威胁有所关心。所有威胁可划分为两种类 型： • 来自机构外部和内部的未授权的系统资源访问。 • 对系统资源的攻击，一般表现为某种计算机病毒的形式。 除威胁以外，用于各种业务的电子媒体的增加也带来了另外的安全问题。这些问题都涉及 到在交换电子信息前对数据项的正确识别。这