《计算机网络安全策略毕业论文.doc》由会员分享,可在线阅读,更多相关《计算机网络安全策略毕业论文.doc(20页珍藏版)》请在三一办公上搜索。
1、计算机网络安全策略摘 要随着政府上网、海关上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之,Internet网的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事情。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说,它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个
2、问题解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,因此本文分析了当前网络安全工作对于国家安全和经济建设的重要意义、它所面临的种种威胁、网络安全体系之所以失败的原因,然后通过分析网络安全技术的最新发展,给出了一个较为完备的安全体系可以采用的各种加强手段,包括防火墙、加密与认证、网络安全扫描、入侵检测等技术。本文提出制定适当的、完备的网络安全策略是实现网络安全的前提,高水平的网络安全技术队伍是安全的保证,严格的管理实施则是关键。关键词:计算机网络 网络安全 防火墙 病毒 对策 AbstractWith the government on-line, Customs Int
3、ernet, e-commerce, entertainment and a series of rapid development of network applications, Internet is increasingly leaving the original purely academic environment into all aspects of society. On the one hand, Internet users are increasingly diverse composition, for various purposes of network int
4、rusion and attacks become more frequent; the other hand, network applications to penetrate deeper into the financial, business, the key to vital areas of national defense, etc. . In other words, Internet network security, including information on data security and safe operation of network equipment
5、 service, becoming the State, government, business, personal stake in the interests of big things. Security capabilities of the new century a countrys comprehensive national strength, economic competitiveness and viability of an important part. No exaggeration to say that it is entirely possible the
6、 next century, a country with nuclear weapons, the importance of par. Round this problem resolved, they will endanger the countrys political, military, economic, cultural and social life in all aspects, this article analyzes the current network security for national security and economic development
7、 of the significance of the threats it faces , the reason why network security system failure, then by analyzing the latest developments in network security technology, gives a more complete security system can be used to enhance a variety of means, including firewalls, encryption and authentication
8、, network security scanning, intrusion detection technology. This paper presents the development of appropriate, comprehensive network security strategy is the premise of network security, a high level of network security technology to ensure the safety team is, the implementation of strict manageme
9、nt is the key.Keywords: computer network security firewall, virus response network目 录第1章 绪论11.1 课题背景11.2常见的计算机网络安全的威胁11.3常见的计算机网络安全防范措施2第2章 计算机网络安全策略32.1物理安全策略32.2访问控制策略32.2.1 入网访问控制32.2.2 网络的权限控制42.2.3 目录级安全控制42.2.4属性安全控制42.2.5网络服务器安全控制5第3章 安全网络的建设63.1内部网的安全63.2 Internet接口安全63.3 Extranet 接口的安全63.4
10、移动用户拨号接入内部网的安全63.5 数据库安全保护6第4章 防火墙74.1防火墙类型74.2防火墙的选择84.3防火墙的安全性和局限性9第5章 加密技术105.1 对称加密技术105.2 非对称加密/公开密匙加密115.3 RSA算法115.4 MD511第6章 网络日志136.1故障排查136.2 日志统计的重要性146.3 安全审核和日志分析技巧14结 论16致 谢17参考文献18第1章 绪论1.1 课题背景随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不
11、轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言,其网上信息的安全和保密尤为重要。因此,上述的网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。1.2常见的计算机网络安全的威胁计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有
12、意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的
13、危害,并导致机密数据的泄漏。(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。1.3常见的计算机网络安全防范措施网络安全的脆弱性体现:当我们评判一个系统是否安全时,不应该只看它应用了多么先进的设施,更应该了解它最大的弱点是什么,因为网络的安全性取决于它最薄弱环节的安全性,通过考察近几年在Internet上发生
14、的黑客攻击事件,我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后,加之Internet提供的便利,攻击者可以很方便地组成团体,使得网络安全受到的威胁更加严重。隐藏在世界各地的攻击者通常可以越过算法本身,不需要去试每一个可能的密钥,甚至不需要去寻找算法本身的漏洞,他们能够利用所有可能就范的错误,包括设计错误、安装配置错误及教育培训失误等,向网络发起攻击。但在大多数情况下,他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。我们可以粗略地将对系统安全造成的威胁归结为6大类 :教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。常见攻击方法及
15、对策。人们将常见的攻击方法分为以下几种类型:试探(probe)、扫描(scan)、获得用户账户(account compromise)、获得超级用户权限(root compromise)、数据包窃听(packet sniffer)、拒绝服务(denial of service)、利用信任关系、恶意代码(如特洛伊木马、病毒、蠕虫等)以及攻击Internet基础设施(如DNS系统和网络路由等)。一般说来攻击者对目标进行攻击要经历3个步骤:情报搜集、系统的安全漏洞检测和实施攻击。(1)与网络设备经销商取得联系,询问他们是否研制了防范DOS(拒绝服务式攻击)的软件,如TCP SYN ACK。 (2)制
16、定严格的网络安全规则,对进出网络的信息进行严格限定。这样可充分保证黑客的试探行动不能取得成功。 (3)将网络的TCP超时限制缩短至15分钟(900秒),以减少黑客进攻的窗口机会。 (4)扩大连接表,增加黑客填充整个连接表的难度。 (5)时刻监测系统的登录数据和网络信息流向,以便及时发现任何异常之处。美国网络趋势公司研制的Firewa ll Suite 2.0软件是进行网络登录和通信测试的最佳软件,有24种不同的防火墙产品,可提供250种详细报告。 (6)安装所有的操作系统和服务器补丁程序。随时与销售商保持联系,以取得最新的补丁程序。 (7)尽量减少暴露在互联网上的系统和服务的数量。每暴露一个都
17、会给网络增加一份危险。 第2章 计算机网络安全策略 2.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用
18、各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。2.2访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。2.2.1 入网访问控制入网访问控制为网络访问提供了第一层访问控制
19、。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口
20、令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下
21、几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。2.2.2 网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目
22、录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。2.2.3 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权
23、限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同
24、时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。2.2.4属性安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性
25、可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。2.2.5网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。如图2-1所示。 图2-1 服务器设置第3章 安全网络的建设3.1内部网的安全内部网的安全防范应满足以下原则:(1)内部网能根据部门或业务需要划分子网(物理子网或虚拟子网),并能实现子网隔离。(2)采取相应的安全措施后,子网间可相互访问。3
26、.2 Internet接口安全 内部网接入Internet对安全技术要求很高,应考虑以下原则:(1)在未采取安全措施的情况下,禁止内部网以任何形式直接接入Internet。 (2)采取足够的安全措施后,允许内部网对Internet开通必要的业务。 (3)对Internet公开发布的信息应采取安全措施保障信息不被篡改。3.3 Extranet 接口的安全Extranet应采取以下安全原则:(1)未采取安全措施的情况下,禁止内部网直接连接Extranet。 (2)设立独立网络区域与Extranet交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。 (3)来自Extranet的特定主机经
27、认证身份后可访问内部网指定主机。 3.4 移动用户拨号接入内部网的安全移动用户拨号接入内部网的安全防范应满足以下原则:(1)在未采取安全措施的情况下,禁止移动用户直接拨号接入内部网。 (2)移动用户在经身份认证后可访问指定的内部网主机。 3.5 数据库安全保护对数据库安全的保护主要应考虑以下几条原则:(1)应有明确的数据库存取授权策略。 (2)重要信息在数据库中应有安全保密和验证措施。第4章 防火墙 防火墙作为内部网络与外部网络之间的第一道安全屏障,是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛,
28、是最先受到人们重视的网络安全技术,是实施安全防范的系统,可被认为是一种访问控制机制,用于确定哪些内部服务允许外部访问,以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。4.1防火墙类型(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时,则
29、允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服
30、务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现要较为流行的代理服务器软件是WinGate和Proxy Server。(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。4.2防火墙
31、的选择 选择防火墙的标准有很多,但最重要的是以下几条: (1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。 (2)防火墙本身是安全的,作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,
32、正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。(3)管理与培训,管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日
33、常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 (4)可扩充性,在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂
34、商来说,也扩大了产品覆盖面。 4.3防火墙的安全性和局限性防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。防火墙局限性也降低了安全系数,防火墙不能防范不经由防火墙的攻击。如果内部网用户直接从Internet服务提供那里购置直接的SLIP或PPP连接,则饶过了防火墙系统所提供的安全保护,从而造成了一个潜在
35、的后门攻击渠道。防火墙不能防范人为因素的攻击。例如,内奸或用户操作造成的威胁,以及由于口令泄露而受到的攻击。防火墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、二进制文件类型(加密、压缩)的种类太多且更新很快,所以防火墙无法逐个扫描每个文件以查找病毒。防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。例如,一种数据驱动式的攻击可以使主机修改或系统安全有关的配置文件,从而使入侵者下一次更容易攻击该系统。 第5章 加密技术信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有
36、链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途
37、径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前
38、途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。信息交换加密技术分为两类:即对称加密和非对称加密。 5.1 对称加密技术在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息
39、交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。5.2 非对称加密/公开密匙加密在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,
40、而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。5.3 RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一
41、个有效的算法来分解两大素数之积。RSA算法的描述如下: 公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密) e与(p-1)(q-1)互素 私有密钥:d=e-1 mod(p-1)(q-1) 加密:c=me(mod n),其中m为明文,c为密文。 解密:m=cd(mod n) 利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。 5.4 MD5MD5有RonRivest所设计。该编码算法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print)
42、,它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便成为验证明文是否是“真身”的“指纹”了。PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体
43、系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。如图5-1所示。图5-1 PKI技术第6章 网络日志网络管理是一个经验积累的过程,是一个不断再学习的过程。而网络日志则为大家经验的积累提供了一个很好的工具。在我们的日常的网络管理工作中,形成了一个惯例:将当天遇到的问题与解决方法填写在网络日志中,然后每个月将这些东西进行整理归类到一个名为网络管理的FAQ中。FAQ以一问一答的方式收集内容,以WEB形式共享。这样,当网管人员以后遇
44、到问题时,可以先在这里寻找答案,大大提高了解决问题、排除故障的效率。6.1故障排查飞机失事时,大家总是去寻找那个记录着失事前的一些情况的黑匣子,以便能够通过了解失事前的情况,推测出飞机失事的原因。而网络日志对于故障排除正是起到黑匣子的功能,如果你能够认真做好日志,那么当网络故障出现的时候,你就可以通过察看网络日志,了解到故障发生前的一些网络情况,从而推测出故障的原因所在。下面,我们就通过几个例子来说明,如果通过网络日志来排除故障:例一:在企业内部的一台应用服务器,操作系统是Windows NT 4.0,在上面运行着一个通讯网关程序。有一天一上班,就发现这个通讯网关程序罢工了。到该服务器前面一看
45、,这个程序异常退出了,而且再也启动不起来。这时,网络管理人员迅速查找网络日志,发现在昨天下午下班后,另一名网络管理人员为了提高安全性,在该服务器上打上了SP6,然后关机下班。因此,网络管理人员马上与该程序的开发商取得了联系,确认了该程序与SP6存在不兼容的情况,并取得了修改过该问题的新版程序,顺利的解决了该问题。在本例中,通过查看网络日志,寻找到了变动因素,从而找到引起该问题的原因,而且少走了很多弯路,这就是网络日志所起的作用。例二:有一段时间,企业内部网络突然出现了一个奇怪的现象,每天中午大家都无法正常收发E-Mail,经常超时,数据传输奇慢。一开始,我们认为是中午大家上网的人数多了,而且最
46、近新增了不少员工,可能使得网络带宽消耗太大。为了能够找出原因,我们首先连续几个中午进行网络流量监测,并将结果记录下来。然后翻开网络日志,查看在发生该情况之前的网络流量的数据,发现这几个中午的网络流量居然是平时最大值的10多倍。我们觉得这样的情况肯定不是新员工的增加引起的。因而,我们继续进行了网络监控,试图寻找出这个数据的来源,结果用Sniffer监听到了一台PC在源源不断地向外广播大量的数据包。我们找到这台机的用户,然后向他了解中午通常使用什么程序,他说是在用“超级解霸”看VCD,结果我们打开他的“超级解霸”,发现他误设置打开了DVB数字视频广播,向整个局域网用户进行视频广播,正是这个原因导致
47、了网络阻塞。试想如果没有网络日志的数据,我们可能无法得知网络数据的增长到底有多大,是不是与新增员工成比例,就可能会盲目采用新增带宽的方式来解决,那当然是事与愿违的结果了。6.2 日志统计的重要性网络日志记录了网络日常运营的状态信息,这些信息显示了网络的动态情况,有了这些情况,就可以正确地做出网络升级的决策,使得网络升级能够落到实处,解决问题的关键点。同时,网络日志还为网络升级提供了详细的数据依据,为决策提供了第一手素材。例如,每年底,企业领导要求我提交一个关于新的一年中网络升级的需求报告时,我们总是打开今天的网络日志,进行以下几个方面的统计,以便制定相应的升级计划:(1)对网络日志的网络流量数
48、据进行分类统计,获取以下信息:网络流量增长率:通过对每个阶段的网络流量绘制成为直方图或趋势线图,就可以直观地知道网络流量的需求变化情况。如果网络流量有明显的放大,就可以从增长的趋势中找到规律,知道在什么时候会超过现在网络的负载,及时的提前做好升级工作。网络流量高峰时期:可以在网络日志中寻找到网络流量高峰的时期,并根据这些数据寻找问题的原因,然后制定相应的规范来解决。如经常发现每天中午是高峰期,而这时公司的高层经理经常无法正常收取电子邮件,那么就可以采用流量分配的策略,为公司的高层经理分配一个固定的带宽,以保证业务需要。(2)对网络中病毒记录进行统计,就可以得知现行的病毒防治策略是否有效,例如网络日志中体现出了宏病毒的发作率较高,那么就应该根据这一情况,对病毒防治策略中加强宏病毒的能力,如选择对宏病毒防治更有力的病毒防火墙等。(3)另外,我们还可以从网络日志中,发现每一个网络服务器的负载变化情况,然后根据这一情况,制定网络服务器的软硬件升级计划。6.3 安全审核和日志分析技巧(1)是审核的对象
