安全威胁的来源
经过前两章的学习,我们了解到计算机网络存在很严重的安全威胁,安全威胁主要来源于基本威胁和主要的可实现威胁。
基本威胁有信息泄露、完整性破坏、拒绝服务、非法使用。
信息泄露:信息被泄露或透露给某个非授权的人或实体。这种威胁来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。
完整性破坏:数据的一致性通过非授权的增删、修改或破坏而受到损坏。
拒绝服务:对信息或资源的访问被无条件地阻止。这可能由以下攻击所致:攻击者通过对系统进行非法的、根本无法成功的访问尝试使系统
产生过量的负荷,从而导致系统的资源在合法用户看来是不可使用的。拒绝服务也可能是因为系统在物理上或逻辑上受到破坏而中断服务。
非法使用:某一资源被某个非授权的人或以某种非授权的方式使用。例如,侵人某个计算机系统的攻击者会利用此系统作为盗用电信服务的
基点,或者作为侵人其他系统的“桥头堡”。
主要的可实现威胁因该引起高度关注,因为这一类威胁一旦成功实施,就会直接导致其他任何威胁的措施。
假冒:某个实体(人或系统)假装成另外一个不同的实体。这是突破某一安全防线最常用的方法。这个非授权的实体提示某个防线的守卫者,
使其相信它是一个合法实体,此后便攫取了此合法用户的权利和特权。黑客大多采取这种假冒攻击方式来实施攻击。
旁路控制:为了获得非授权的权利和特权,某个攻击者会发掘系统的缺陷和安全漏洞。例如,攻击者通过各种手段发现原本应保密但又暴露
出来的一些系统“特征”。攻击者可以绕过防线守卫者侵人系统内部。
授权侵犯:一个授权以特定目的使用某个系统或资源的人,却将其权限用于其他非授权的目的。这种攻击的发起者往往属于系统内的某个
合法的用户,因此这种攻击又称为“内部攻击”。
主要的植人类型的威胁有如下几种:
特洛伊木马(Trojan Horse)软件中含有一个不易觉察的或无者的程序段,当被执行时,它会破坏用户的安全性。例如一个表面上具有合法
目的的应用程序软件,如文本编辑软件,它还具有一个暗藏的目的,就是将用户的文件复制到一个隐藏的稳密文件中,这种应用程序就称
为特洛伊木马。此后,植人特洛伊木马的那个攻击者就可以阅读到该用户的文件。
陷门(Trapdoor):在某个系统或其部件中设置“机关”,使在提供特定的输人数据时,允许违反安全策略。例如,如果在一个用户登录 子系统
上设有陷门,当攻击者输入一个特别的用户身份号时,就可以绕过通常的口令检测。
安全防护措施
物理安全:包括门锁或其他物理访问控制措施、敏感设备的防篡改和环境控制等。
人员安全:包括对工作岗位敏感性的划分麻员的筛选,同时也包括对人员的安全性培训,以增强其安全意识。
管理安全:包括对进口软件和硬件设备的控制,负责调查安全泄露事件,对犯罪分子进行审计跟踪,并追查安全责任。
媒体安全:包括对受保护的信息进行存储,控制敏感信息的记录、再生和销毁.确保废弃的纸张或含有敏感信息的磁性介质被安全销毁。同
时,对所用媒体进行扫描,以便发现病毒。
辐射安全:对射频(RF)及其他电磁(EM)辐射进行控制(又称TEMPEST保护)。⑥生命周期控制。包括对可信系统进行系统设计、工程实施、
安全评估及提供担保,并对程序的设计标准和日志记录进行控制。
网络安全防护技术
防火墙概述
防火墙是由软件和硬件组成的系统,它处于安全的网络(通常是内部局域网)和不 全的网络(通常是Internet,但不局限于Internet)之间,根
据由系统管理员设置的访问控制规则,对数据流进行过滤。
由于防火墙置于两个网络之间,因此从一个网络到另一个网络的所有数据流都要流经防火墙。根据安全策略,防火墙对数据流的处理方式有3
种:①允许数据流通过;②拒绝数据流通过;③将这些数据流丢弃。当数据流被拒绝时,防火墙要向发送者回复一条消息,提示发送者该数
据流已被拒绝。当数据流被丢弃时,防火墙不会对这些数据包进行任 何处理,也不会向发送者发送任何提示信息。丢弃数据包的傲法加长
了网络扫描所花费 的时间,发送者只能等待回应直至通信超时。
防火墙是Internet安全的最基本组成部分。但是,我们必须要牢记,仅采用防火墙并不能给整个网络提供全局的安全性。对于防御内部的
攻击,防火墙显得无能为力,同样对于那些绕过防火墙的连接(如某些人通过拨号上网)防火墙则毫无用武之地。
此外,网络管理员在配置防火墙时,必须允许一些重要的服务通过,否则内部用户就不可能接人Internet,也不能收发电子邮件。事实上,
虽然防火墙为某些业务提供了一个通道,但这也为潜在的攻击者提供了攻击内部网络的机会。攻击者可能利用此通道对内 部网络发起攻
击,或者注人病毒和木马。
由于防火墙是放置在两个网络之间的网络安全设备,因此以下要求必须得到满足:
·所有进出网络的数据流都必须经过防火墙。
·只允许经过授权的数据流通过防火墙。
·防火墙自身对人侵是免疫的。
防火墙不是一台普通的主机,它自身的安全性要比普通主机更高。虽然 NIS(Network Information Service),rlogin等服务能为普通网络用
户提供非常大的便利,但应严禁防火墙为用户提供这些危险的服务。因此,那些与防火墙的功能实现不相关但又可能给防火墙自身带来安全
威胁的网络服务和应用程序,都应当从防火墙中剥离出去.
此外,网络管理员在配置防火墙时所采用的默认安全策略是,凡是没有“明确允许”的服务,一律都是“禁止的”。防火墙的管理员不一定比普
通的系统管理员高明,但他们对网络的安全性更加敏感。普通的用户只关心自己的计算机是否安全,而网络管理员关注的是整个网络的安
全。网络管理员通过对防火墙进行精心配置,可以使整个网络获得相对较高的安全性。
入侵检测系统
人侵检测是对传统安全产品的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进行识别和
响应),提高了信息安全基础结构的完整性,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安
全策略的行为和遭到袭击的连象。人侵检测被认为是防火墙之后的第二道安全闸门,能在不影响网络性能的情况下对网络进行监测,从而
提供对内部攻击、外部攻击和误操作的实时保护。以上功能都是通过执行以下任务来实现:
①监视、分析用户及系统的活动。
②系统构造和弱点的审计。
①识别反映已知进攻的活动模式并向相关人员报警.
④异常行为模式的统计分析。
⑤评估重要系统和数据文件的完整性。
⑥操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
对于一个成功的人侵检测系统来说,它不但可以使系统管理员时刻了解网络系统(包括程序、文件和硬件设备)的任何变更,还能给网络安全
策略的制定提供依据。更为重要的是,它应该易于管理、配置简单,即使非专业人员也易于使用。而且,人侵检测的规权定应根据网络威
胁系统构造和安全需求的改变而改变。人侵检测系统在发现人侵后会时做出响应,包括切断网络连接、记录事件和报警等。
VPN
Internet是一个共享的公共网络,因此不能保证数据在两点之间传递时不被他人窃取。要想安全地将两个企业子网连在一起,或者确保移
动办公人员能安全地远程访问公司内部的秘密资源,就必须保证Internet上传输数据的安全,并对远程访问的移动用户进行身份认证。所
谓虚拟专网,是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。它采用认证、访问控制、机密性、数据完
整性等安全机制在公用网络上构建专用网络,使得数据通过安全的“加密管道”在公用网络中传播,这里的公用网通常指Internet
VPN技术实现了内部网信息在公用信息网中的传输,就如同在茫茫的广域网中为用户拉出一条专线。对于用户来讲,公用网络起到了“虚
拟”的效果,虽然他们身处世界的不同地方,但感觉仿佛是在同一个局域网里工作。VPN对每个使用者来说也是“专用”的。也就是说,VPN
根据使用者的身份和权限,直接将其接入VPN,非法的用户不能接入VPN并使用其服务。
VPN应具备以下几个特点:
①费用低。由于企业使用Internet进行数据传输,相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过Internet既安全又经
济地传输机密信息成为可能。
安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台所传输数据的专用性和安全性。在非面向连接的公
用IP网络上建立一个逻辑的、点对点的连接,称为建立了一个隧道。经由隧道传输的数据采用加密技术进行加密,以保证数据仅被指定的
发送者和接收者知道,从而保证了数据的专用性和安全性。
③服务质量保证(QoS)。VPN应当能够为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量(QoS)保证的要求差别较大。例如,对于移动办公用户来说,网络能提供广泛的连接和覆盖性是保证VPN服
务质量的一个主要因素;而对于拥有众多分支机构的专线VPN,则要求网络能提供良好的稳定性;其他一些应用(如视频等)则对网络提出
了更明确的要求,如网络时延及误码率等。
④可扩充性和灵活性。VPN必须能够支持通过内域网(Intranet)和外联网(Extranet)的任何类型的数据流、方便增加新的节点、支持多种
类型的传输媒介,可以满足同时传输语音、图像和数据对高质量传输及带宽增加的需求。
⑤可管理性。从用户角度和运营商角度来看,对VPN进行管理和维护应该非常方便。在VPN管理方面,VPN要求企业将其网络管理功能从
局域网无缝地延伸到公用网,甚至是客户和合作伙伴处。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完
成许多网络管理任务。因此,VPN管理系统是必不可少的。VPN管理系统的主要功能包括安全管理、设备管理、配置管理、访问控制列表
管理、QoS管理等内容。
计算机病毒防护概述
计算机病毒分类
使用的是投病毒码行不同点进度,可以为、存在媒质、系统平台等进行分类,目前较常见的有:
①木马型病毒(Trojan)。其名称来自于古希腊“特洛伊木马”的典故,是指通过隐藏、伪装等手段,以正常程序的面貌欺骗用户,来达到传播、执行的计算机病毒。
感染型病毒(Virus)。是指将病毒代码附加到被感染的宿主文件(如Windows可执行文件、可运行宏的Microsoft Office文件)中的计算机病毒,其通过这种手段进行传播
③虫虫型病毒(Worm)。是指利用系统的漏洞、邮件、共享目录、可传输文件的软件(如MSN、QQ等)、可移动存储介质(如U盘、移动硬盘)等,进行自我传播的计算机病毒。
④后门型病毒(Backdoor)。是指在受感染系统中隐蔽运行,并接收远程的命令,可以进行远程控制的计算机病毒。
⑤恶意软件(Malware)。是指具有一定正常功能,但以病毒手段进行传播、隐藏和防删除的软件,也常被称为“流氓软件”。恶意软件比较典型的代表为“恶意广告软件”。
以行为分类的这种方法,在病毒与反病毒发展历史的早期就成为惯例一直沿用至今,但随着病毒与反病毒技术的发展,计算机病毒行为的边界已经不像当初那样清晰。当前,多数计算机病毒会同时采用多种行为和手段,可能同时具有多种类型的特点。
计算机病毒的主流检测技术
用中常于病毒检测的基本原理,目前已发展出多种病毒检测技术,并且在实际的反病毒应用中常常配合使用,以适合对不同场景、不同病毒类型的检测。以下为当前在反病毒领域普遍使用的一些主流检测技术:
①基于特征码的传统检测技术。特征码查杀技术是病毒检测最早采用的技术,采样和匹配方式相对简单。其采样多为固定位置的二进制数据,在匹配上基本都采用精确匹配方式。特征码查杀方式的优点是技术简单、易于实现、查杀精准,缺点主要是反应速度慢(需用户更新病毒库)、无法查杀未知病毒、病毒库较大。
②基于行为的动态检测技术。动态检测是指针对病毒动态行为进行检测的技术。这种“行为”一般是通过对病毒运行后的系统功能调用和参数抽象得出,如“读写指定文件或注册表项”“启动进程”等。动态检测技术一般与反病毒的主动防御(基于系统API HOOK)、沙箱等技术结合使用。动态检测的主要优点是对在文件上与反病毒检测进行对抗的病毒有更好的检测能力,同时具有查杀未知病毒的能力。
③基于云技术的云查杀技术。云查杀技术是随着互联网的发展以及云存储、云计算等技术的发展而出现的。将这些云技术与原有的病毒检测技术结合应用,反病毒技术实现了一次较大的飞跃。同时,基于云查杀的诸多优点,反病毒也很好地应对了互联网环境下出现的病毒快速产生和传播的挑战。云查杀技术的基本原理是将“匹配”和“基准”放在云端进行,比较常见的一种实现方式是以文件哈希值为采样数据和基准,客户端获取文件哈希值,然后上传到云端进行比较并返回结果。云查杀技术相比于以前的检测技术,具有明显的优点:
一、是反应速度快。由于病毒库存放于云端,因此终端不再需要定时更新本地病毒库。当新的病毒特征一旦在云端入库,以后的客户端查询匹配就可以获取使用这个更新是瞬间的。反病毒软件通过在捕获、处理和库更新上的速度大幅提高,可以极大缩小病毒的存活周期,减少病毒的危害。
二、是终端资源使用大大减小。因为不使用本地病毒库,就大大减少了使用云查杀技术的反病毒软件在终端上的硬盘和内存资源的使用,提高了运行效率。
④基于大数据处理与人工智能学习算法的智能查杀技术。随着大数据与人工智能技术的发展以及病毒数量的海量增长,这些技术也被应用到病毒检测之中。通过应用人工智能学习算法,对已知海量病毒样本的学习,可以获取对病毒的算法模型,从而根据模型匹配已知与未知的病毒。这种基于人工智能学习算法的病毒检测方法相较于其他检测方法,在应对未知病毒上具有极大优势。