一、信息安全技术概述
1.信息安全技术的概念
信息安全的概念是随着网络的诞生结伴而生的,随着多年来网络技术的飞速发展,其内涵已经从信息的保密性拓展到信息的完整性、信息的实用性、信息的不可否认性等领域。Internet的发展使信息安全的概念发生了根本性的变化,人们不再把信息安全局限于单机范围,而是扩展到由计算机网络连接的世界范围。
信息安全对于网络中不同身份的人群有着不同的含义。对于广大的网络用户来说,他们希望涉及个人隐私的信息在网络上传输时能够得到机密性、完整性和真实性的保护,避免他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯自身的利益和隐私,同时也避免其他用户的非授权访问和破坏。对于网络运行的管理者来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“漏洞”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击,保证能随时向用户提供可用的、可靠的服务。除此以外,对于社会和网络信息的管理部门来讲,信息安全应该包括对非法的、有害的、涉及国家机密和危害国家安全的信息的有效过滤和屏蔽。
从本质上来讲,信息安全就是要保证网络上的信息安全,包括网络系统的硬件、软件及系统中的数据的安全性保护,使网络系统中的信息不因偶然的或者恶意的行为而遭到破坏、更改、泄露,网络系统可以连续、可靠、正常地运行,保证网络服务不中断。因此,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全所要研究的领域。
信息安全可以归纳为以下四点:
(1)运行系统的安全
即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失。
(2)网络上系统信息的安全
包括用户口令鉴别,用户的认定,用户的存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密技术。
(3)网络上信息内容的安全
侧重于信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为,本质上是保护用户的利益和隐私。
(4)网络上信息传播的安全
即信息传播后果的安全,包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果,避免公用网络上大量自由传输的信息失控。
2.信息安全的几种主要攻击
(1)拒绝服务攻击(DOS)
在Internet上有很多计算机为自己的用户提供服务,黑客们发起的攻击中有一些正是针对这点而来的。他们通过攻击相应的计算机阻止用户利用那些计算机,这类攻击被称为拒绝服务攻击。这时,服务器将会拒绝合法用户对某项服务的合法利用。
传统的邮件炸弹大多只是简单地向邮箱内扔去大量的垃圾邮件,从而充满邮箱,大量地占用了系统的可用空间和资源,使机器暂时无法正常工作。如果是拨号上网的用户利用IXP来接收还会增加联网时间,造成费用和时间的浪费。过多的邮件垃圾往往会使储存它们的网络的负担加大并消耗大量的空间资源,还将导致系统的log文件变得很大,甚至有可能溢出文件系统,给Unix、Windows等系统带来危险。除了使系统有崩溃的可能之外,大量的垃圾信件还会占用大量的CPU时间和网络带宽,使用户的正常访问速度变慢。
(3)网络监听攻击
在网络中,当信息进行传播的时候,攻击者可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或捕获,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施。而黑客一般都是利用网络监听来截取用户口令的。
(4)各种病毒的黑客程序
病毒会将自己附着在已经存在的计算机程序上。当受到病毒感染的计算机程序运行时,程序就会加载到内存当中,同时,病毒代码也加载到了内存里,开始了自己的活动。病毒代码的作用有两种:一是完成它们既定的工作,如对硬盘进行格式化、显示一则消息等;二是将自己附加到其他程序上,感染其他程序。被感染的程序可通过Internet或者是通过磁盘传输到其他计算机上,进而使其他计算机也受到感染。
蠕虫是一种黑客进攻方式,人们常常将它和病毒混同起来,实际上蠕虫同病毒并不是同一个概念,它们有相同之处,也有很多不同之处。相同之处在于,蠕虫也是通过自身的繁殖和扩散感染多台计算机,并进而对多台计算机的安全造成破坏性的影响。不同之处在于传播方式的不同,病毒是通过附着在其他程序上来进行传播的,而蠕虫本身就是一个自包含的程序,或者说是一组程序。当蠕虫程序运行时,它会同时完成预定的两项工作:破坏和传播。
另一个很隐蔽的黑客攻击方式是特洛伊木马。计算机中的特洛伊木马实际上是由黑客编写的程序,看上去它毫无害处,而且还颇有些用途,可实际上它却包含着掩藏的祸心。它可能是一个简单的计算器程序,可能是一个有趣的游戏,也可能是你朋友通过邮件发给你的漂亮程序中的一个。当你运行这类程序时,它们看上去可能很正常,同其他安全程序没有什么差别。可实际上,在这层烟雾的掩盖下,它们却在从事一些和程序毫不相干的事,执行着一些你难以料想到的命令,或者是在试图格式化你的硬盘,或是将你的密码文件通过电子邮件的方式发送给黑客。所有这些都是在屏幕后面,这类攻击很难发现。
3.信息安全技术的应用
(1)身份鉴别
Internet的访问控制可以分为两个方面:一方面是控制不知名用户通过Ping、FTP、Telnet等命令对IP地址以及有关文件的访问。另一方面是控制组织内部人员对网络系统的访问。
口令系统是保护信息系统安全的关键。口令系统存在三个问题:第一个问题是系统管理员可以绕过口令系统而进入其他用户的系统部分;第二个问题是设置太简单的口令可以在较短的时间内被人破译;第三个问题是用户的远程登录问题,人们通过在局域网或路由器上对常用的几个网络登陆命令进行监视,窃取到相应的分组数据,就可获得用户的口令。
(2)访问权限控制
访问权限控制是指对合法用户进行文件或数据操作权限的限制。这种权限主要包括对信息资源的读、写、拷贝、执行等。在内部网中,应该确定合法用户对系统资源有何种权限,可以进行什么类型的访问操作,防止合法用户对系统资源的越权使用。对涉密程度不高的系统,可以按用户类别进行访问权限控制;对涉密程度高的系统,访问权限必须控制到单个用户。在内部网与外部网之间,应该通过设置保密网关或防火墙来实现内外网的隔离与访问权限的控制。
(3)用户权限控制
针对不同的操作系统,对运行Web服务器的主机进行特定的安全防护,应对很多缺省设置进行观察、研究,如文件的所有权和存取权、注册文件、CMOS/PROM密码、文件共享特征、要求使用的密码、用户的存取权限、命令路径、环境变量等。
对于单用户操作系统来说,一次仅允许一个用户使用系统资源,属于单用户操作系统。单用户操作系统赋予用户完全的控制权限,用户可完全使用操作系统所控制的所有资源,可以随心所欲地对计算机上的任何文件进行读写、删除等操作,可将硬盘彻底格式化。
多用户操作系统则给不同的用户授予了不同的存取许可权限,另外还有进程存取许可权限。这种进程存取许可权限同文件存取许可权限实际上是一回事,用户对运行的进程的存取许可权限取决于他对文件的存取许可权限。如果某位用户对可执行文件具有更改权限,那么当他运行该程序时,就能更改程序的内容;如果某位用户对可执行文件只具有只读权限,那么当他运行该程序时,无法更改程序的内容。也就是说,尽管这两位用户都能运行该程序,但他们运行的权限并不相同,前一位用户可更改程序的内容,而后一位用户只能使用和被动地接受改动。为了更好地维护系统的安全,普通用户应被授予尽可能少的权限,只要能满足日常的工作需要即可。
(4)应用网关与代理服务器
与传统的防火墙在TCP/IP协议层进行过滤和检查相对应,应用网关和代理服务器在应用层或传输层进行过滤和转发。
应用网关和代理服务器首先检查访问用户是否有权访问该应用网关和代理服务器,以及是否能够进行所要求的应用。如果用户得到了应用网关和代理服务器的认可,则可以访问外部服务器或进行相应的通信。
应用网关和代理服务器亦有不同之处。应用网关是在传输层的端口上进行检测、控制和转发。因此,用户需要先和应用网关进行认证之后,再根据具体的应用命令和指定的机器通信。
代理服务器则不需要用户进行二次操作。用户一旦指定了自己的代理服务器,在以后的操作中,代理服务器自动地为用户所指定的操作寻找有关的域名或地址。
(5)审计跟踪技术
审计跟踪是一种事后追查手段,它对涉及计算机系统安全保密的操作进行完整的记录,以便事后能有效地追查事件发生的用户、时间、地点和过程。
审计是记录用户使用计算机网络系统进行所有活动的过程;跟踪是对发现的侵犯行为实时监控,掌握有力证据,及时阻断攻击的行动。这是提高系统安全保密性的重要工作。
计算机网络系统应用详细的系统日志,记录每个用户的每次活动(访问时间和访问的数据、程序、设备等)以及系统出错信息和配置修改信息。
二、图书馆计算机病毒的防治
计算机技术的飞速发展使得图书馆正在从传统的手工管理和服务模式走向计算机网络化,从而实现图书馆馆藏资源共享,使得图书馆资源更能满足广大读者需求。但网络在为信息的共享和传输提供便利的同时,也为计算机病毒的传播提供了条件,出现了针对图书馆计算机网络系统的病毒。网络环境下的病毒比单机环境下的病毒具有更大的破坏性,它一旦侵入计算机网络,系统资源将会受到破坏,严重时还将导致系统的崩溃和重要数据永久性丢失。因此,认识并做好网络环境下图书馆计算机病毒防治工作意义十分重大。
1.计算机病毒的主要特征
计算机病毒,是指人为编制的在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。即计算机病毒是能够引起计算机故障,破坏计算机数据,并能隐藏和自我复制的计算机程序。网络环境下计算机病毒除具有非网络环境下计算机病毒的一般特征外,还表现出以下新的特征。
(1)传播速度极快
网络环境下,互联在一起的计算机数量多,网络病毒又普遍具有较强的再生机制,只要入侵到网络中的任何一点,就会以很快的速度在网络中传播,并波及整个网络。
(2)扩散范围面广
网络病毒传染时不仅能很快地扩散到整个局域网络,而且还可以通过远程工作站在网络中其他局域网络内传染,相对传染面积大。
(3)传染方式多
通常,网络病毒在网络中是通过“工作站—服务器—工作站”的途径进行传染,其传染方式很多,可能是传染工作站或服务器的DOS区,可能传染服务器的镜像盘,可能由服务器的网络盘向工作站传染,也可能由一台工作站直接传染另一台工作站。(www.xing528.com)
(4)破坏性强
由于网络中信息资源相当多,并且为远近网络用户所共享,因此病毒在网络中一旦被激发,其破坏程度无法估量,轻则降低网络运行速度,重则破坏网络信息,使网络系统崩溃,给用户造成重大损失。
(5)清除难度大
在单机中,再顽固的病毒也可通过删除带毒文件、低级格式化硬盘等措施将病毒清除,而在网络环境中,很难对分布于异地的大量工作站和服务器同时进行病毒清除。即使对网络中的绝大多数计算机进行了病毒清除工作,只要网络中还有一台计算机被感染,病毒也会很快再次波及整个网络,因此网络环境中的病毒清除难度大。
(6)潜伏性和可激发性
网络病毒与单机病毒一样,具有潜伏性和可激发性,在一定的环境下受到外界因素刺激,便能活跃起来。
2.图书馆计算机网络病毒的危害
(1)病毒激发对计算机数据信息的直接破坏作用
大部分病毒激发的时候直接破坏计算机的重要信息数据,如图书馆的馆藏数据库、电子期刊和数字图书。所采取的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改写文件、破坏CMOS设置等。
(2)抢占系统资源,影响计算机运行速度
大多数病毒在动态下都常驻内存,这就必然抢占一部分系统资源。病毒抢占内存,导致内存减少,同时还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的,病毒通过修改有关的中断地址,使CPU额外执行数千条以至上万条指令来达到干扰系统正常运行、降低计算机运行速度的目的。
(3)占用磁盘空间和对信息的破坏
引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是说引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。文件型病毒传染速度很快,会在短时间内感染大量文件,使每个文件都不同程度地加长,造成磁盘空间的严重浪费。
3.图书馆计算机病毒的防治
图书馆计算机病毒的防治要结合计算机病毒在网络中的传播特点进行。目前的网络大多采用Client/Server模式,因此,必须考虑工作站和服务器的病毒防治,从技术和管理等方面着手。
(1)严格遵守计算机使用管理规定
计算机网络病毒的防治,首先是管理方面的问题。在这方面,可以利用网络已经提供的安全性保护措施来加强网络的管理功能,这是信息安全管理中一个不可缺少的环节。应健全安全管理制度,制定严格的操作规程,养成安全使用计算机的良好习惯,严格遵守计算机使用管理规定,掌握必要的计算机病毒知识和病毒防治技术。
(2)安装使用防毒、杀毒软件
由于在线浏览、下载、数据交换、信息共享等应用已成为人们工作、生活中的必需,所以应选用正版并具有实时监控及防火墙功能的杀毒软件,以尽量避免病毒有可乘之机。另外,及时升级杀毒软件也很重要。因为病毒制造者为对抗现有的反病毒技术,也在不断制造新型病毒进行传播。目前,常用的防毒、杀毒软件有瑞星、金山毒霸、KV3000等专用软件。这些软件的特点是价格便宜,使用方便,软件版本升级容易,实时监测,能够发现并清除部分病毒。
(3)查杀病毒
使用外来软件时,先查病毒,确实未感染病毒的才能使用;运行从Web下载的软件之前,也要查杀病毒。
(4)采取加密措施
对可执行程序文件采取一些简单的加密措施,防止病毒侵入。
4.网络病毒的清除方法
一旦发现病毒,尤其是发现病毒已造成一定的损失后,切记不要急躁,不清楚的地方不要乱动,应找有关人员进行咨询或寻求帮助。一旦发现网络染上病毒,应该设法立即清除,不然的话,网络病毒的快速扩散会造成系统运行不正常,或者使系统瘫痪。
①立即用Broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。
②用系统盘启动系统管理工作站,并当即清除本机的各种病毒。
③用系统盘启动文件服务器,在系统管理员登录后,使用Disable Login命令禁止其他用户登录。
④将文件服务器硬盘中的重要资料进行备份。这时千万不要执行硬盘中的程序,也不要往硬盘中拷贝文件,以免破坏被病毒搞乱的硬盘数据结构。
⑤用网络杀毒软件扫描服务器上所有卷的文件,恢复或删除被病毒感染的文件,重新安装被删除文件。
⑥用杀毒软件扫描并清除备份文件中的病毒。
⑦用杀毒软件扫描并清除所有盘工作站的病毒。
⑧在确认病毒已经彻底清除后,重新启动网络服务器和工作站。
随着网络技术的不断发展,网络防病毒技术将成为计算机防病毒技术的重要方面,也是计算机应用领域中需要认真对待的问题,这将成为网络管理人员及网络维护人员的长期任务。只有做好这项工作,防止各类计算机病毒对网络系统的感染,图书馆的计算机网络系统才能更好地发挥其应有的作用,图书馆的现代化建设才有保证。
5.防火墙技术
(1)防火墙的概念
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,以防止发生不可预测的、潜在的破坏性的侵入。防火墙的实质是包含着一对矛盾(或称机制):一方面它限制数据流通,另一方面它又允许数据流通。
(2)防火墙的技术分类
①数据包过滤型防火墙
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,也被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包头产生,很有可能被窃听或假冒。
②应用级网关型防火墙
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这容易实现非法访问和攻击。
(3)代理服务型防火墙
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。
此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。
(4)复合型防火墙
由于更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常有以下两种方案:
①屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
②屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。