书城计算机网络计算机网络技术与应用
7730300000022

第22章 网络安全基础知识(1)

网络的应用已经深入到我们学习、生活的各个角落,但随之而来的也有病毒等安全问题。本章主要介绍帮助提高网络安全、数据资源安全的技术,包括密码技术、防火墙技术和入侵检测技术等。

【本章主要内容】

密码技术。

数字签名。

防火墙技术。

入侵检测技术。

数据备份。

7.1 计算机网络安全基础

互联网技术在给人类的工作、生活带来乐趣和方便的同时,也不可避免地产生一些技术上的负面效应。由于病毒和黑客的攻击越来越表现出其危害性,计算机和网络的安全性受到广泛关注。防范计算机病毒和网络攻击的危害,是国家、社会、组织和个人必须重视的问题。

7.1.1 黑客攻击案例

【案例1】 网上银行似乎成了黑客关注的焦点。

2004年6月初,有人盗用某网上银行网管员信箱,假借“网络银行系统升级”的名义,给网上银行客户发送电子邮件,索要网上银行注册客户的用户名(登录卡号)和密码。该行已经在自己官方网站的显着位置刊发了“重要提示”,对其网上银行客户预警。巧合的是,几乎是在同时,在全球范围内,1200多家欧洲和美国的银行和保险公司称,其客户密码和信用卡号码等重要信息有可能已经被黑客窃取,6月4日发作的“怪物”病毒变种,已经开始在因特网上呈现出蔓延势头,波及100多个国家。据反病毒专家称,这种“怪物”病毒会不断变换形式,并能对付反病毒或防火墙软件。更值得警惕的是,这种病毒会在受到感染的电脑中安装“木马”程序,使黑客能将银行用户的信用卡号和密码秘密传送至某一特定邮箱地址,从而达到非法窃取他人资金的目的。

本案例暴露出的问题是计算机网络病毒升级速度和蔓延速度远远超出人们的预料,因此产生的窃取等行为直接危害个人、企业的安全。

【案例2】 湖北教育网站连续受到黑客攻击。

2002年7月25日上午,警方接到报案,湖北教育网站连续受到黑客攻击,致使全省28万考生无法及时查询高考成绩。警方发现,黑客上网的IP地址属湖北监利大市场一门店阁楼上的一部电脑及上网设备,发现该电脑装有多种黑客软件,经对该机硬盘的数据解读和对黑客软件的成果记录判读,7月24日,该台计算机登录扫描过省教育网的服务器,省教育网被攻击记录显示与该台计算机使用软件的时间及IP地址相吻合。在事实面前,21岁的荆州某高校计算机大三学生小彭不得不承认,因心理不平衡,于7月23日、24日两天攻击省教育网站。

【案例3】 重庆永川市电信局“永川热线”网站突遭袭击。

2000年7月23日17时48分,重庆永川市电信局“永川热线”网站突遭“袭击”;24日,“黑客”再次袭击,“永川热线”不堪重负,整个网络陷入瘫痪。据统计,在连续四天时间里,“永川热线”先后五次遭“黑客”数据“炸弹”的狂轰滥炸,网站服务器数据被大量破坏,累计中断服务23小时,直接经济损失上万元。重庆市公安局科技通信处侦查人员很快查到了“黑客”用来攻击的电话号码,并查此电话属于上海东石软件公司。据该公司介绍,公司的软件程序员张勇23~26日,一直在上网。

事后调查表明:以上2个案例都是由于电信局工作失误,至少是网络安全意识的淡薄导致了黑客的入侵或破坏,假如电信部门在网络链路上主动添加防护设备(例如入侵检测系统)还是有可能避免事故或事件发生的。

【案例4】 美国黑客侵入军方电脑系统,可控制导弹发射。

据凤凰卫视消息,美国洛杉矶检察院2005年11月8日起诉了一位20岁的电脑黑客詹姆斯· 安契塔,他成功进入了美国海军航空中心的电脑系统,通过对这些电脑的监控,甚至可以控制军用导弹的发射。据报道,这名洛杉矶的年轻人被指控犯有让40万台电脑中病毒,其中包括属于美国国防部设在加州海军航空中心的电脑系统。安契塔涉嫌以恶意软体植入成千上万的电脑系统中,让它们变成电脑僵尸病毒,然后使用这些病毒对电脑伺服器发动毁灭性攻击,或发送大量垃圾电子邮件。检察官形容,他的一个电脑指令就能使成千上万的电脑受他控制。

由此例可见,网络安全问题在军事上尤显突出,直接危害到世界的安全和国际关系的稳定。

从以上四个案例可以得出以下结论:

技术给工作、生活带来了乐趣和方便,但是不能避免技术的负面影响,计算机和网络越来越不安全,病毒和黑客的攻击的危害越来越大。如何防范计算机病毒和网络攻击的危害,是国家、社会、组织和个人必须重视的问题。本章从技术的角度出发介绍一些安全技术。

7.1.2 互联网的安全状况及问题

2007年7月18日,中国互联网络信息中心(CNNIC)发布的“第十九次中国互联网络发展状况统计报告”中指出,截至2007年6月,中国网民人数已经达到1.62亿,仅次于美国2.11亿的网民规模,位居世界第二。

从公众调查来看,网民对互联网最反感的两大方面是网络病毒和网络攻击,连续几次调查显现出十分稳定、一致的结果,网络安全问题已经成为信息化社会的一个焦点问题。网络病毒和网络攻击已经成为互联网亟待解决的问题。而从国家利益来看,每个国家都需要立足于本国,研究自己的网络安全技术,培养自己的专门人才,发展自己的网络安全产业,进一步构筑本国的网络与信息安全防范体系。当前十分严峻的网络安全问题存在于以下几个方面。

(1)防火墙:对于内部人员不起作用,特别是存在“内奸”作案的可能,需要加强内部防控机制。

(2)身份认证、数字签名:都是权宜之计,真正的黑客是难以防住的,这样的防范措施存在安全隐患。

(3)安全数据库:是网络安全的基础防线,但漏洞仍然不少。

(4)入侵产品检测:入侵行为数据库大部分抄袭或拷贝的数据,难以阻止真正黑客的实质性侵入和破坏。应该说,抵挡网络黑客的恶意入侵攻击,特别是带有恐怖袭击性质的“恶意入侵”,我们还准备不足。

(5)异地数据备份:既准备不够也缺少应急方案。

(6)电子商务:依赖于安全产品和技术的全力支撑和稳定性保障。

发展地看问题,中国信息安全需要走的路还很远。

7.1.3 了解网络安全的定义及其内涵

1.计算机网络安全的定义

计算机网络安全是指计算机网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。具体地说,就是使计算机、网络通信的硬件和软件以及通信中的数据受到保护,不因偶然的或者恶意的原因而遭破坏、更改、泄露,确保系统连续可靠正常地运行,使网络服务不被中断。

2.网络安全问题日趋严重和复杂

在短短十年多的时间里,互联网发展速度非常快,与此同时,系统安全漏洞也频繁出现,网络蠕虫、黑客攻击等事件时有发生,网络安全问题日渐突出。在遭受攻击的计算机系统中,不仅包括普通用户主机,还包括政府、科研、金融、社会保障等重要部门的系统,使国家利益、公共利益和社会公众的合法权益受到很大威胁。如何保证网络的安全运行,已成为国家、社会关注的焦点之一,甚至将成为互联网和网络应用发展中面临的永久问题。

(1)各种网络安全漏洞的大量存在和不断发现,是网络安全的最大隐患。

(2)漏洞公布到利用相应漏洞的攻击代码出现的时间已经缩短到几天甚至一天时间,这使开发相关补丁、安装补丁以及采取防范措施的时间压力大大增加。

(3)网络攻击行为日趋复杂,各种方法的相互融合使网络安全防御更加困难,防火墙、入侵检测系统等网络安全设备已不足以完全阻挡网络安全攻击。

(4)黑客攻击行为的组织性增强,攻击目标从单纯地追求“荣耀感”向获取多方面实际利益的方向转移,网上木马、间谍程序、恶意网站、网络仿冒、僵尸网络等的出现和日趋泛滥,是这一趋势的实证。

(5)手机、掌上电脑等无线终端的处理能力和功能通用性能的提高,使其日趋接近个人计算机,针对这些无线终端的网络攻击已经开始出现,并将进一步发展。

总之,网络安全问题变得更加错综复杂,影响将不断扩大,很难在短期内得到全面解决。

3.国内外应对网络安全的法规和国际合作

应对计算机网络的安全问题,除了必要和有效的技术手段外,还必须建立完善的法律和法规,加大打击网络犯罪的力度。

(1)国外网络安全法规

以下将分别介绍。

①美国TCSEC(橘皮书):该标准是美国国防部制定的,它将安全分为4个方面,即安全政策、可说明性、安全保障和文档。这4个方面又分为7个安全级别,从低到高依次为D、C1、C2、B1、B2、B3和A级。上述内容在美国国防部虹系列(Rainbow Series)标准中有详细的描述。

②美国联邦准则(FC):该标准参照了CTCPEC及TCSEC,其目的是提供TCSEC的升级版本,同时保护已有投资。但FC有很多缺陷,是一个过渡标准,后来结合ITSEC发展为联合公共准则。

③联合公共准则(CC):CC的目的是想把已有的安全准则结合成一个统一的标准。该计划从1993年开始执行,1996年推出第一版,但目前仍未付诸实施。CC结合了FC及ITSEC的主要特征,强调将安全的功能与保障分离,并将功能需求分为9类63族,将保障分为7类29族。

④欧洲ITSEC:与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。它与TCSEC的不同还在于,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能均可分别定义。ITSEC预定义了10种功能,其中前5种与橘皮书中的C1~B3级非常相似。

⑤加拿大CTCPEC:该标准将安全需求分为4个层次,分别是机密性、完整性、可靠性和可说明性。

⑥ISO安全体系结构标准:在安全体系结构方面,ISO制定了国际标准ISO7498-2-1989《信息处理系统开放系统互联基本参考模型第2部分安全体系结构》。该标准为开放系统互联(OSI)描述了基本参考模型,为协调开发现有的与未来的系统互联标准建立起了一个框架。其任务是提供安全服务与有关机制的一般描述,确定在参考模型内部可以提供这些服务与机制的位置。

(2)中国的法规

1997年12月11日经国务院批准,公安部于1997年12月30日发布了《计算机信息网络国际联网安全保护管理办法》。2000年3月30日,公安部部长办公会议通过《计算机病毒防治管理办法》,并发布施行。

(3)国际合作的法规

目前计算机网络犯罪有国际化的趋势,国际电脑犯罪分子利用不同国家法律系统间的差异伺机犯罪。

英国全党派国会网络团体的秘书长帕默表示,解决这一问题的方法是建立一个联合国机构。帕默在伦敦举行的Webroot间谍件峰会上发言时说,一个联合国的机构可以向ISP施加压力,要求它们断开托管有恶意Web网站的服务器。比如,联合国需要有一个机构要求ISP不要连接来自哥伦比亚或圭亚那的托管儿童色情材料的服务器。帕默表示,需要向对电脑犯罪分子宽容的国家施加压力,要使打击电脑犯罪分子符合所有国家的利益——让电脑犯罪分子清楚地知道,如果实施犯罪活动,他们的互联网连接就会被切断。

美国国家高科技犯罪小组的协调员霍华德表示,如果犯罪分子参与了复杂的国际网络犯罪活动,要搜集证据是相当困难的。他说,司法权限是异常复杂的。

英国、加拿大、澳大利亚、美国的警察机构已经在打击网络娈童案等方面展开合作。

7.1.4 计算机系统出现安全隐患的原因

1.计算机操作系统存在的脆弱性

(1)不论是Miscrosoft的操作系统,还是开放代码的Linux系统,都在设计上存在漏洞,靠打补丁的方式会带来更多的威胁。

(2)操作系统本身的缺陷在于程序可以动态连接,I/O的驱动程序与系统服务都可以通过打补丁的形式进行动态连接。

(3)系统支持在网络上传输文件、加载与安装程序,其中包括可执行文件。

(4)操作系统可以创建进程,甚至可以在网络节点上进行进程的创建和激活。所谓的“服务器”软件可以安装在某计算机上,被非法用户远程调用,而与此对应的安全验证功能则有限。

(5)系统本身守护程序的问题,例如FTP服务中有一个连接就是利用守护程序等待建立文件传输连接的请求,常被黑客利用攻击计算机。

(6)操作系统提供远程过程调用,但安全验证功能有限。

(7)操作系统提供基于远程过程调用文件服务系统NFS,如果出现问题,等于丧失系统管理权。

(8)操作系统的DEBUG(调试)和WIZARD功能。

(9)操作系统提供的无口令入口也常常被用来攻击计算机。

(10)操作系统隐藏的端口,本来是为方便用户的,却被非法用户当成攻击计算机的手段。