网络安全管理2009年09月25日一、网络安全的主要问题计算机网络所面临的安全威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三： (1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 (3)网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。二、网络安全技术介绍2.1 加密技术2.1.1加密技术介绍加密技术是EC采取的主要安全措施,贸易方可根据需要在信息交换的阶段使用 。目前,加密技术分为两类,即对称加密和非对称加密。 对称加密技术存在着在通信的贸易方之间确保密钥安全交换的问题。此外,当某一贸易方有n个贸易关系，那么他就要维护n个专用密钥(即 每把密钥对应一贸易方)。对称加密方式存在的另一个问题是无法鉴别贸易发起方或贸易最终方。因为贸易双方共享同一把专用密钥,贸易双方的任何信息都是通过这把密钥加密后传送给对方的。 数据加密标准(DES)由美国国家标准局提出,是目前广泛采用的对称加密方式之一，主要应用于银行业中的电子资金转帐(EFT)领域。DES的密钥长度为56位。三重DES是DES的一种变形。这种方法使用两个独立的56位密钥对交换的信息(如EDI 数据)进行3次加密,从而使其有效密钥长度达到112位。 非对称加密/公开密钥加密 在非对称加密体系中，密钥被分解为一对(即一把公开密钥或加密密钥和一把 专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过 非保密方式向他人公开，而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性的加密，专用密钥则用于对加密信息的解密。 2.1.2、密钥管理技术对称密钥管理 对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须 要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的，同时还要设定 防止密钥泄密和更改密钥的程序。这样，对称密钥的管理和分发工作将变成一件潜 在危险的和繁琐的过程。 公开密钥管理/数字证书 贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。国际电信联 盟(ITU)制定的标准X.509(即信息技术-开放系统互连-目录:鉴别框架)对数字证 书进行了定义该标准等同于国际标准化组织(ISO)与国际电工委员会(IEC)联合发 布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、 唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、 证书的有效期及证书的序列号等。 2.1.3、数字签名 数字签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方 从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的专用密钥对 这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的 附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中 计算出128位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的 数字签名进行解密。如果两个散列值相同，那么接收方就能确认该数字签名是发送 方的。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。 2.1.4、Internet主要的安全协议SSL SSL(安全槽层)协议是由Netscape公司研究制定的安全协议，该协议向基于TC P/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机 密性等安全措施。 S-HTTP S-HTTP(安全的超文本传输协议)是对HTTP扩充安全特性、增加了报文的安全 性，它是基于SSL技术的。该协议向WWW的应用提供完整性、鉴别、不可抵赖性及机 密性等安全措施。 2.2.防火墙技术防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入 Internet 网络为最甚。 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出 入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设 施。 2.2.2 防火墙能做什么？ 防火墙是网络安全的屏障：防火墙是网络安全的屏障：防火墙可以强化网络安全策略：防火墙可以强化网络安全策略：对网络存取和访问进行监控审计：对网络存取和访问进行监控审计：防止内部信息的外泄：防止内部信息的外泄： 2.2.3 防火墙的种类防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、应用代理。 2.2.6 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。 2.2.8 NAT 技术 NAT 技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时使用 NAT 的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。 NAT 的另一个显而易见的用途是解决 IP 地址匮乏问题。 2.2.9. 防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 Internet 的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。 三、网络攻击及防范3.1 黑客的定义、黑客的行为统计、黑客的行为趋势Haacker的愿意是指用来形容 独立思考，然而却奉公守法的计算机迷以及热衷于设计和编制计算 机程序的程序设计者和编程人员。然而，随着社会发展和技术的进 步Hacker的定义有了新的演绎，即出现了一类专门利用计算机犯 罪的人，即那凭借其自己所掌握 的计算机技术，专门破坏计算机系 统和网络系统，窃取政治，军事，商业秘密，或者转移资金帐户，窃 取金钱，以及不露声色地捉弄他人，秘密进行计算机犯罪的人。 3.2 黑客的行为特征：1. 恶作剧型2. 隐蔽攻击型3定时炸弹型网络内部人员的非法行为.4. 矛盾制造型5. 职业杀手型6. 窃密高手型7. 业余爱好型3.3如何防范的网络攻击3.3.1 实体安全的防范：3.3.2 基础安全防范：3.3.3 内部安全防范3.3.4 账号安全： 3.3.5 安全日志：3.3.6 目录和文件权限： 3.3.7 预防DoS： 四、网络安全评价 对一个网络进行安全评价，要对网络操作系统和网络设备的配置进行检查。主要内容有：检查安全管理制度的完善程度和执行情况。检查系统帐户的权限设置，有无弱口令和多余的授权。检查系统漏洞及修补情况检查系统审计及日志，观察有无异常检查网络设备设置，网络安全隔离情况。，使用专用软件对系统漏洞和弱口令进行检查使用网络扫描软件对网络进行扫描，检查网络拓扑情况及网络漏洞。邀请第三方安全评价机构进行评价 徼请第三方如网络完全公司，资深黑客进行网络评价。