认识网络安全-探索网络技术

任务描述

“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。

随着经济信息化的迅速发展，计算机网络对安全要求越来越高，尤其自Internet/Intranet（Intranet即内部网络）应用发展以来，网络的安全已经涉及国家主权等许多重大问题。随着“黑客”工具技术的日益发展，使用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全球范围内“黑客”行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战。本任务介绍网络安全的基本概念和网络安全技术。

任务实施

1.网络安全的基本概念

网络安全是指利用网络管理控制和技术措施，保证网络系统及数据的保密性、完整性、网络服务可用性和可审查性受到保护。狭义上，网络安全是指计算机及其网络系统资源和信息资源不受有害因素的威胁和危害。广义上，凡是涉及计算机网络信息安全属性特征（保密性、完整性、可用性、可控性、可审查性）的相关技术和理论，都是网络安全的研究领域。

网络安全问题实际上包括两方面的内容：一是网络的系统安全，二是网络的信息安全。网络安全从其本质上来讲就是网络上信息的安全，它涉及的内容相当广泛，既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于如何防范外部非法攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。

从层次结构上，可将网络安全所涉及的内容概括为以下5个方面。

1）实体安全，也称物理安全，指保护计算机网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程。其包括环境安全、设备安全和媒体安全三个方面。实体安全是信息系统安全的基础。

2）运行安全，是指网络运行和网络访问控制的安全，如设置防火墙实现内外网的隔离、备份系统实现系统的恢复。其包括内外网的隔离机制、应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁处理、跟踪最新安全漏洞、灾难恢复机制与预防、安全审计、系统改造、网络安全咨询等。

3）系统安全，主要包括操作系统安全、数据库系统安全和网络系统安全。系统安全主要以网络系统的特点、实际条件和管理要求为依据，通过有针对性地为系统提供安全策略机制、保障措施、应急修复方法、安全建议和安全管理规范等，确保整个网络系统的安全运行。

4）应用安全，由应用软件开发平台安全和应用系统数据安全两部分组成。其包括应用软件的程序安全性测试分析、业务数据安全检测与审计、数据资源访问控制验证测试、实体的身份鉴别检测、业务现场的备份与恢复机制检查、数据的唯一性/一致性/防冲突检测、数据保密性测试、系统可靠性测试和系统的可用性测试等。

5）管理安全，主要指对人员及网络系统安全管理的各种法律、法规、政策、策略、规范、标准、技术手段、机制和措施等内容。其包括法律法规、政策策略管理、规范标准管理、人员管理、应用系统使用管理、软件管理、设备管理、文档管理、数据管理、操作管理、运营管理、机房管理、安全培训管理等。

2.认识网络安全技术

（1）网络安全的防御技术

1）信息加密技术。信息加密技术是利用数学或物理手段，对信息在传输过程中和存储体内进行保护，以防止泄漏的技术。加密就是通过密码算术对数据进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。为了读懂报文，密文必须重新转变为它的最初形式——明文。用来以数学方式转换报文的双重密码就是密钥。

按照国际上通行的惯例，将信息加密技术按照双方收发的密钥是否相同划分为两大类：一种是对称加密算法，其特征是收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。另一种是公钥加密算法，也称为非对称加密算法。其特征是收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。

2）数字签名技术。数字签名（digital signature）技术是非对称加密算法的典型应用。所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性，并保护数据防止被人（如接收者）进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名。目前主要是基于公钥密码体制的数字签名。数字签名机制可以确保数据文件的完整性、真实性和可审查性。

3）防病毒技术。随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成了极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为单机防病毒软件和网络防病毒软件两大类。单机防病毒软件一般安装在单台计算机上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或从网络向其他资源传染，网络防病毒软件会立刻检测到并加以删除。

4）防火墙技术。防火墙是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，按照一定的安全策略实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

防火墙产品主要有堡垒主机、包过滤路由器、应用层网关（或代理服务器）及电路层网关、屏蔽主机防火墙、双宿主机等。

防火墙技术属于网络层安全技术范畴，负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

5）入侵检测技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，包括对系统外部的入侵和内部用户的非授权行为进行检测。进行入侵检测的软件与硬件的组合就是入侵检测系统（intrusion detection system，IDS）。入侵检测系统能够实现以下功能。

①监视、分析用户及系统活动。

②系统构造和弱点的审计。

③识别反映已知进攻的活动模式并向相关人士报警。

④异常行为模式的统计分析。

⑤评估重要系统和数据文件的完整性。

⑥操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

（2）网络攻击技术(www.xing528.com)

1）网络扫描与网络监听。网络扫描的原理是利用各种工具对攻击对象的IP地址或地址段的主机查找漏洞。扫描分为主动式扫描和被动式扫描。主动式扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞进行检查，目标可以是工作站、服务器等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。主动式扫描通过执行一些脚本文件模拟对系统进行攻击并记录系统的反应，从而发现其中的漏洞，可能会对系统造成破坏。被动式扫描基于主机之上，对系统中不合适的设置、弱口令及其他同安全规则抵触的对象进行检查。被动式扫描不会对系统造成破坏。

网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Snifer Pro就是一个完善的网络监听工具。

Snifer Pro的工作原理是，在局域网中与其他计算机进行数据交换时，将数据包发往所有的连在一起的主机，即广播。在报头中包含目的机器的正确地址，只有与数据包中目的地址一致的主机才会接收数据包，其他机器都会将数据包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目的地址是什么，主机都会将其接收，然后对数据包进行分析，就可以得到局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。因此，通过建设交换网络、使用加密技术和使用一次性口令技术可以防止网络监听。

除了Snifer Pro以外，还有一些常用的监听软件，如嗅探经典Iris、密码监听工具Win Snifer、密码监听工具PswMonitor和非交换环境局域网的FsSnifer等。

2）网络入侵。网络中存在的各种威胁，这些威胁的直接表现形式就是黑客常采用的各种网络攻击方式。下面对常见的网络攻击进行分类，通过分类，我们可以针对不同的攻击类型采取相应的安全防护措施。

①口令窃取。虽然利用系统缺陷破坏网络系统是可行的，但这不是最容易的方法。最容易的方法是通过窃取用户的口令进入系统。事实上，很大比例的系统入侵是由口令系统失窃造成的。口令系统失窃的原因有多种，常见的原因是人们选取了弱口令作为登录密码。

口令猜测攻击有3种基本方式。第一种方式是利用已知或假定的口令尝试登录。虽然这种登录尝试需要反复进行十几次甚至更多次，但往往会取得成功。一旦攻击者成功登录，系统的主要防线就会崩溃。第二种方式是根据窃取的口令文件进行猜测。这些口令文件有的是从已经被攻破的系统中窃取的，有的是从未被攻破的系统中获得的。由于用户习惯重复使用同一口令，当黑客得到这些文件后，就会尝试用其登录其他机器。这种攻击称为“字典攻击”，通常十分奏效。第三种方式是窃取某次合法终端之间的会话，并记录所使用的口令，采用这种方式，不管用户的口令设计得多好，其系统都会遭到破坏。

为防止口令猜测攻击，用户需要严格保护口令文件，同时也可以选择一次性口令方案（one time password，OTP）。OTP也称动态口令，是根据专门的算法每隔60s生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次。动态口令可以有效保护交易和登录的认证安全，无须定期更换密码。

②缓冲区溢出攻击。缓冲区溢出攻击也称为“堆栈粉碎”（stack smashing）攻击。这是攻击者常采用的一种扰乱程序的攻击方法。当目标操作系统收到超过它能接收的最大信息量时，将发生缓冲区溢出。这些多余的数据使程序的缓冲区溢出，然后覆盖实际的程序数据。缓冲区溢出使目标系统的程序被修改，经过这种修改的结果是将在系统上产生一个后门。

目前，人们一般通过改进设计消除缓冲区溢出缺陷。有些计算机语言在设计时就尽可能不让攻击者做到这一点。一些硬件系统也尽量不在堆栈上执行代码。

③拒绝服务攻击。凡是造成目标计算机拒绝提供服务的攻击都称为拒绝服务攻击，目的是造成目标计算机自动关机或系统瘫痪，或者降低服务质量。这种攻击通常不会造成文件被删除或数据丢失，因此是一种比较温和的攻击。这种攻击比较明显，较容易被发现，但要找到攻击的源头十分困难。这类攻击往往生成伪装的数据包，其中含有随机和无效的返回地址。

常见的分布式拒绝服务（distributed denial of service，DDoS）攻击是对计算机网络带宽和连通性进行攻击。带宽攻击以极大的通信量冲击网络，使网络所有可用的带宽都被消耗，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击计算机，最终导致计算机无法再处理合法用户的请求。通常，参与攻击的主机可能已经被攻击者攻破，安装了恶意代码。比较著名的DDoS攻击工具有TFN（tribe flood network）和TFN2K（tribe flood network 2000）。

对于拒绝服务攻击，我们只能采取一些措施减轻攻击的强度，但绝对不可能完全消除它们。遇到这种攻击时，可以采取以下4种方法进行处理：第一，寻找一种方法过滤这些不良的数据包；第二，提高对接收数据进行处理的能力；第三，追查并关闭发动攻击的站点；第四，增加硬件设备或提高网络容量，以从容处理正常的负载和攻击数据流量。

3）网络后门、木马与网络隐身。为了保持对已经入侵的主机实行长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。当入侵主机以后，通常入侵者的信息就被记录在主机的日志中，如IP地址、入侵的时间及做了哪些破坏活动等。为了防止入侵的痕迹被发现，需要隐藏或者清除入侵的痕迹。实现隐身有两种方法：设置网络代理跳板和清除日志。

①网络后门。网络后门是保持对目标主机长久控制的关键策略，可以通过建立服务端口和克隆管理员账号实现。只要是不通过正常登录进入系统的途径都称为网络后门。后门的好坏取决于被管理员发现的概率。常见的后门工具有RTCS.vbe、Win2kPass.exe和psu.exe等软件。

可以利用已经得到的管理员密码通过工具软件RTCS.vbe远程开启对方主机的Telnet服务，实现对目标主机的长久入侵。当入侵到目的主机并得到管理员口令后，即可以对主机进行长久入侵。但管理员每隔一段时间就会修改密码，利用工具软件Win2kPass.exe可以使入侵者记录下修改后的新密码。工具软件psu.exe可以让普通用户偷窃到管理员权限。操作系统所有的用户信息都被保存在注册表中，账户在注册表里都有对应的键值。如果把管理员的信息复制给其他用户，那么其他用户就具有了管理员的权限。

②木马。木马是一种可以驻留在对方服务器系统中的程序。木马程序一般由两部分组成：服务器端程序和客户端程序。驻留在对方服务器的程序称为木马的服务器端，可以远程连接到木马服务器的程序称为客户端。木马的功能是通过客户端操纵服务器端，进而操纵对方的主机。木马和后门都提供网络后门的功能，但是木马的功能稍微强大一些，一般还有远程控制的功能，后门程序功能比较单一，只提供客户端登录对方的主机。常见的木马有NetBus远程控制、“冰河”木马、pcAnywhere远程控制等。

③网络隐身。

a.设置网络代理跳板。当从本地入侵其他主机时，通常本地IP地址会暴露给对方。设置网络代理跳板的目的是不把自己真实的IP地址暴露出来。如果将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理主机的IP地址而有效地保护自己的安全。选择代理服务的原则是选择不同地区的主机作为代理，同时考虑到网络带宽的问题，一般选择两三级代理比较合适，这样在被入侵的主机上就不会留下自己的信息。常用的网络代理跳板工具很多，Snake代理跳板就是一种常用且功能强大的网络代理跳板工具。

b.清除日志。清除日志是网络入侵的最后一步，黑客之所以能做到“来无影去无踪”，这一步起到决定性的作用。当用户访问网络中的某个主机后，无论是正常访问还是非正常访问，主机都会记录访问者的IP地址及访问时间等信息。这些信息被记录在主机的日志文件里。主机日志包括应用程序日志、安全日志和系统日志3类。为了防止被发现，可以使用工具软件clearel.exe清除这些日志文件。

④恶意代码。恶意代码是指故意编制或设置的，对网络或系统会产生威胁或潜在威胁的计算机代码。恶意代码主要包括计算机病毒（virus）、计算机蠕虫（worm）、特洛伊木马（Trojan horse）、后门程序（backdoor）、逻辑炸弹（logic bomb）、病菌（bacteria）、用户级RootKit、核心级RootKit、脚本恶意代码（malicious scripts）和恶意ActiveX控件等。几种主要的恶意代码类型、定义及特点如表7.1所示。

表7.1　恶意代码类型、定义及特点

恶意代码的行为表现各异，破坏程度千差万别，但基本作用机制大体相同。首先，恶意代码必须通过某种途径入侵到目标系统中，这是实行其恶意目的的必要条件。成功入侵后，恶意代码会盗取用户或进程的合法权限以达到传播和破坏的目的。为了不让系统发现恶意代码已经入侵，恶意代码可能会改名、删除源文件或者修改系统的安全策略以隐藏自己。恶意代码拥有足够的权限后，等待一定的条件就会发作并进行破坏活动。恶意代码具有破坏性，会造成信息丢失、泄密，破坏系统的完整性。

用户常遇到的恶意代码有脚本恶意代码、宏病毒、浏览器恶意代码、闪存盘病毒和网络蠕虫。脚本恶意代码是以脚本语言编写而成的病毒，主要使用的脚本语言是VBScript和JavaScript。脚本恶意代码具有传播快、破坏力大等特点。宏病毒代码以“宏”的形式潜伏在Ofice文档中，当利用Ofice软件打开染毒文件时，宏病毒代码就会被执行并产生破坏作用。浏览器恶意代码是指在网页中含有恶意代码。因为浏览器大部分配置信息存储在注册表中，所以针对浏览器的攻击大多是通过修改注册表实现的。闪存盘病毒就是通过闪存盘传播的病毒。自从发现闪存盘的autorun.inf漏洞之后，闪存盘病毒的数量与日俱增。最典型的特点就是各个打字复印公司的绝大多数计算机带有这种病毒。网络蠕虫是一种通过网络传播的恶性病毒，传染途径是网络和E-mail，不改变文件和资料信息，利用网络从一台机器的内存储器传播到其他机器的内存储器，一般除了占用内存储器外不占用其他资源。

任务评价

任务评价单