《《网络安全综述》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《网络安全综述》PPT课件.ppt(102页珍藏版)》请在三一办公上搜索。
1、第1章 网络安全综述,1.1 网络安全的基本概念和术语 1.2 网络拓扑与安全性 1.3 网络安全的层次结构 1.4 网络安全威胁 1.5 网络攻击 1.6 网络安全模型 1.7 基本安全技术 1.8 网络安全漏洞,1.1 网络安全的基本概念和术语,安全的最大问题是如何确定安全的度。拿一间私人住宅来说,我们可以设想出一系列安全性逐步递增的措施:(1)挂一窗帘以免让人从外面窥视到房子里的一举一动。(2)门上加锁,以免让小偷入内。,(3)养一只大狼狗,把不受欢迎的人士拒之门外。(4)安装警报系统,检测入侵的不速之客。(5)增设带电围墙、篱笆并增派门卫。显然,我们可以有更多的安全措施。我们一般基于以
2、下三个因素来选择一个合适的安全目标:(1)安全威胁,比如,你的邻居是谁。(2)被保护物品的价值,比如,你有多少凡高的画。(3)安全措施所要达到的目标(Objective)。,最后一个因素同另外两个相比较虽然不是很明显,但同等重要。同样是上面那个例子,如果我们的目标是保密(Privacy),那么最合适的安全措施应当是挂窗帘。安全措施的目标主要有以下几类:(1)访问控制(Access Control):确保会话对方(人或计算机)有权做他所声称的事情。(2)认证(Authentication):确保会话对方的资源(人或计算机)同他声称的相一致。,(3)完整性(Integrity):确保接收到的信息同
3、发送的一致。(4)审计(Accountability):确保任何发生的交易在事后可以被证实,发信者和收信者都认为交换发生过,即所谓的不可抵赖性(Non-repudiation)。(5)保密(Privacy):确保敏感信息不被窃听。所有这些目标同你所要传输的信息是密切相关的。,1.2 网络拓扑与安全性,拓扑逻辑是构成网络的结构方式,是连接在地理位置上分散的各个节点的几何逻辑方式。拓扑逻辑决定了网络的工作原理及网络信息的传输方法。一旦网络的拓扑逻辑被选定,必定要选择一种适合这种拓扑逻辑的工作方式与信息的传输方式。如果这种选择和配置不当,将为网络安全埋下隐患。事实上,网络的拓扑结构本身就有可能给网络
4、的安全带来问题。,网络可以依照不同的方法进行多种多样的分类。本节按照通常的分类方法字母顺序法进行分类,重点讨论每一种网络类型涉及到的安全问题。注意,网络的类型并不是只能按照某一个标准划分,所以,你很可能发现你的网络属于下面的两种或两种以上的类型。,图 1-1 总线网,1.2.1 总线网(Bus Network)图1-1是一个总线网的布局,它从网络服务器中引出一根电缆,所有的工作站依次接在电缆的各节点上。这种网络有时也叫多点网络,它在安全问题上和网状网络有一些相似之处,它的组织性和安全性相对简单一些。如果发生了未经授权的改动,则可知道大约的地点,但具体的位置很难确定。安全性的焦点集中在信息的证实
5、,验证和完整性上。,1.2.2 拨号网(Dial up Network)由于交换和拨号功能的加入,本节所述的任何一种类型的网络均可是拨号网。这一特点影响并降低了网络的安全性。对于这样的网络,需要解决下面一些问题:(1)如何决定双方通信时呼出方(给谁记账,如何跟踪,谁被授权发起这次呼叫等)和呼入方(是否能接受被叫用户付费等)的长途电话费。,(2)如何证实授权用户的身份(采用口令或其它方法),如何校验(如用反向拨号等)。使用拨号线路来组建计算机网络时,被拨入方难以确认拨号方的身份,容易形成安全漏洞。(3)如何确定信息是安全的(是否采用加密等)。,1.2.3 局域网(Local Area Netwo
6、rk)局域网(LAN)不精确的定义为:在一个建筑物(或距离很近的几个建筑物)中,用一个微机作为服务器连接若干台微机组成的一种低成本的网络。LAN网之所以成为网络类型中的主流,是因为它具有以下特点:成本低 容易接线 局部需要(办公室通信的64%86%都是在同一建筑物内),应用可行(局域网与其它网相比,能运行更多的应用软件,它比大型机或小型机上的软件更便宜,并且用户界面也好)出于对安全性的考虑,局域网必须满足:(1)电缆是好的,线路中间没有插头。(2)局域网在每一个节点上都是最脆弱的,在每一个节点上都可以截获到网络通信中的所有信息(见网状网)。,1.2.4 网状网(Mesh Network)在网状
7、网中,任意两个节点之间都有两条或两条以上的通信链路,如图1-2所示。为了防止电缆的缠绕,许多跨越性的节点一般都要通过中间节点连接起来。,图1-2 网状网,在网状网中,存在以下问题:(1)从节点A传到节点B的信息可以被节点C所访问,并且有可能被节点C进行未经授权的改动和重新选择路由。(2)每次从A到B的信息传输可能通过不同的路由,所以一旦信息被纂改,要确定信息在什么位置被纂改是比较 困难的。(3)在一些网络传输中,由于公共的或普通站点交换设备的介入,信息通过它们以后可能被暴露、纂改或泄露。,图1-3 环型网,1.2.5 环型网(Ring Network)在环型网中,每两个节点之间有惟一的一条路径
8、,并且线路是闭合的,如图1-3所示。和总线网,即多点网相比,它们在每个节点之间均提供了惟一的路径,但环型网在每个线路的末端有一个终接器。和总线网一样,环型网在电缆花费上要比星型网便宜,这是因为它用的电缆少。然而,与总线网不同的是,环型网中的电缆故障容易克服,因为信号可以在两个方向上传输。环型网通常用于一座大楼内,在星型网中关于安全方面的控制措施同样适用于环型网。,图 1-4 星型网,1.2.6 星型网(Star Network)星型网拓扑如图1-4所示,有时也叫集中型网络。因为所有的节点都连接到中央处理机,每个节点都直接与中央处理机相连并与其它节点分离,所以,从一个节点到另一个节点的通信必须经
9、过中央处理机。星型网络的电缆通常是按集中的方式安排的。星型网通常局限于一座大楼范围内,常用于楼内一组办公室之间,这是因为电缆的成本比较高。,星型网有两个比较明显的优点:(1)所有两个节点之间的通信只定义了一条路径。如果这条路径是安全的,那么通信就是安全的,所以,不必担心来自网络分析仪的攻击。(2)由于网络通常处于固定的物理位置,因而确保物理安全并防止未经授权的访问比其它类型网络更容易一些。,1.3 网络安全的层次结构,网络信息安全与保密的结构层次主要包括:物理安全、安全控制和安全服务。1.3.1 物理安全 物理安全是指在物理介质层次上对存储和传输的网络信息的安全保护。物理安全是网络信息安全的最
10、基本保障,是整个安全系统不可缺少和忽视的组成部分。,一方面,在各种软件和硬件系统中要充分考虑到系统所受的物理安全威胁和相应的防护措施;另一方面,也要通过安全意识的提高、安全制度的完善、安全操作的提倡等方式使用户和管理维护人员在物理层次上实现对网络信息的有效保护。目前,该层次上常见的不安全因素包括三大类:,(1)自然灾害(如地震、火灾、洪水等)、物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等)和设备故障(如停电、断电、电磁干扰等)等。此类不安全因素的特点是:突发性、自然性及非针对性。这类不安全因素对网络信息的完整性和可用性威胁最大,而对网络信息的保密性影响却较小,因为在一般情况下,物理上的破
11、坏将销毁网络信息本身。解决此类不安全隐患的有效方法是采取各种防护措施,制定安全规章制度,随时进行数据备份等。,(2)电磁辐射(如侦听微机操作过程)、乘机而入(如合法用户进入安全进程后半途离开)和痕迹泄露(如口令密钥等保管不善,被非法用户获得)等。此类不安全因素的特点是:隐蔽性、人为实施的故意性、信息的无意泄露性。这类不安全因素主要破坏网络信息的保密性,而对网络信息的完整性和可用性影响不大。解决此类不安全隐患的有效方法是采取辐射防护、屏幕口令、隐藏销毁等手段。,(3)操作失误(如偶然删除文件、格式化硬盘、线路拆除等)和意外疏漏(如系统掉电、“死机”等系统崩溃)等。此类不安全因素的特点是:人为实施
12、的无意性和非针对性。这类不安全因素主要破坏网络信息的完整性和可用性,而对保密性影响不大。解决此类不安全隐患的有效方法是状态检测、报警确认、应急恢复等。,1.3.2 安全控制 安全控制是指在网络信息系统中对存储和传输信息的操作和进程进行控制和管理,重点是在网络信息处理层次上对信息进行初步的安全保护。安全控制可以分为以下三个层次:(1)操作系统的安全控制。包括对用户的合法身份进行核实(比如,开机时要求键入口令)和对文件的读/写存取的控制(比如,文件属性控制机制)等。此类安全控制主要保护被存储数据的安全。,(2)网络接口模块的安全控制。指在网络环境下对来自其它机器的网络通信进程进行安全控制。此类控制
13、主要包括身份认证、客户权限设置与判别、审计日志等。(3)网络互联设备的安全控制。指对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。此类控制主要通过网管软件或路由器配置实现。需要指明的是,安全控制主要通过现有的操作系统或网管软件、路由器配置等实现;安全控制只提供了初步的安全功能和网络信息保护。,1.3.3 安全服务 安全服务是指在应用程序层对网络信息的保密性、完整性和信源的真实性进行保护和鉴别,以满足用户的安全需求,防止和抵御各种安全威胁和攻击手段。安全服务可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务的主要内容包括:安全机制、安全连接、安全协议、安全策略
14、等。,(1)安全机制是用来检测、预防或从安全攻击中恢复的机制。它可以利用密码算法对重要而敏感的数据进行处理。比如,以保护网络信息的保密性为目标的数据加密和解密;以保证网络信息来源的真实性和合法性为目标的数字签名和签名验证;以保护网络信息的完整性,防止和检测数据被修改、插入、删除和改变为目标的信息认证等。也可以采取其它一些安全技术,如防火墙、入侵检测系统等来实现安全机制。安全机制是安全服务乃至整个网络信息安全系统的核心和关键。,(2)安全连接是在安全处理前网络通信双方之间的连接过程。安全连接为安全处理进行了必要的准备工作。安全连接主要包括会话密钥的产生、分发和身份验证。后者旨在保护信息处理和操作
15、的对等双方身份的真实性和合法性。(3)安全协议是多个实体为完成某些任务所采取的一系列有序步骤。协议的特性是:预先建立,相互同意,非二义性和完整性。安全协议使网络环境下互不信任的通信方能够相互配合,并通过安全连接和安全机制的实现来保证通信过程的安全性、可靠性和公平性。,(4)安全策略是决策的集合。它集中体现了一个组织对安全的态度。更加确切地说,安全策略对于可接受的行为以及应对违规作出何种响应确定了界限。安全策略是安全体制、安全连接和安全协议的有机组合,是网络信息系统安全性的完整解决方案。安全策略决定了网络信息安全系统的整体安全性和实用性。不同的网络信息系统和不同的应用环境需要不同的安全策略。,1
16、.4 网络安全威胁,因特网安全话题分散而复杂。因特网的不安全因素,一方面是来自于其内在的特性先天不足。因特网连接着成千上万的区域网络和商业服务供应商的网络。网络规模越大,通信链路越长,则网络的脆弱性和安全问题也随之增加。而且因特网在设计之初是以提供广泛的互连、互操作、信息资源共享为目的的,因此其侧重点并非在安全上。这在当初把因特网作为科学研究用途时是可行的,但是在当今电子商务炙手可热之时,网络安全问题已经成为了一种阻碍。,另一方面是缺乏系统的安全标准。众所周知,IETF(Internet Engineering Task Force,因特网工程任务组)负责开发和发布因特网使用标准。随着因特网商
17、业味道越来越浓,各个制造商为了各自的经济利益均采用自己的标准,而不是遵循IETF的标准化进程,这使得IETF的地位变得越来越模糊不清。从下面列举的安全通信协议标准之争,我们可见一斑:安全超文本传输协议(Secure Hypertext Transfer Protocol,S-HTTP)、安全套接层(Secure Sockets Layer,SSL)和保密通信技术(Private Communication Technology,PCT)。,1.4.1 网络威胁的类型 威胁定义为对缺陷(Vulnerability)的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。
18、网络安全与保密所面临的威胁可以来自很多方面,并且是随着时间的变化而变化的。网络安全的威胁既可以来自内部网又可以来自外部网,根据不同的研究结果表明,大约有70%85%的安全事故来自内部网。显然,只有少数网络攻击是来自因特网的。一般而言,主要的威胁种类有:,(1)窃听:在广播式网络信息系统中,每个节点都能读取网上传输的数据。对广播网络的基带同轴电缆或双绞线进行搭线窃听是很容易的,安装通信监视器和读取网上的信息也很容易。网络体系结构允许监视器接收网上传输的所有数据帧而不考虑帧的传输目的地址,这种特性使得偷听网上的数据或非授权访问很容易且不易被发现。(2)假冒:当一个实体假扮成另一个实体时就发生了假冒
19、。一个非授权节点,或一个不被信任的、有危险的授权节点都能冒充一个授权节点,而且不会有多大困难。很多网络适配器都允许网络数据帧的源地址由节点自己来选取或改变,这就使冒充变得较为容易。,(3)重放:重放是重复一份报文或报文的一部分,以便产生一个被授权效果。当某节点拷贝发到其它节点的报文并在其后重发它们时,如果不能检测重发,目标节点会依据此报文的内容接受某些操作,例如,报文的内容是关闭网络的命令,则将会出现严重的后果。(4)流量分析:指通过对网上信息流的观察和分析推断出网上的数据信息,比如有无传输,传输的数量、方向、频率等。因为网络信息系统的所有节点都能访问全网,所以流量的分析易于完成。由于报头信息
20、不能被加密,所以即使对数据进行了加密处理,也可以进行有效的流量分析。,(5)破坏完整性:有意或无意地修改或破坏信息系统,或者在非授权和不能监测的方式下对数据进行修改。(6)拒绝服务:当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时,就发生了拒绝服务。拒绝服务可能由网络部件的物理损坏而引起,也可能由使用不正确的网络协议(如传输了错误的信号或在不适当的时候发出了信号)、超载或者某些特定的网络攻击(如Packet Flood)引起。,(7)资源的非授权使用:即与所定义的安全策略不一致的使用。因常规技术不能限制节点收发信息,也不能限制节点侦听数据,所以,一个合法节点能访问网络上的所有数据
21、和资源。(8)陷阱门/特洛伊木马:非授权进程隐藏在一个合法程序里从而达到其特定的目的。这可以通过替换系统合法程序,或者在合法程序里插入恶意代码来实现。,(9)病毒:目前,全世界已经发现了上万种计算机病毒,而且新型病毒还在不断出现。比如,最近保加利亚计算机专家迈克埃文杰制造出了一种计算机病毒“变换器”,它可以设计出新的更难发现的“多态变形”病毒。该病毒具有类似神经网络细胞式的自我变异功能,在一定的条件下,病毒程序可以无限制地衍生出各种各样的变种病毒。随着计算机技术的不断发展和人们对计算机系统和网络依赖程度的增加,计算机病毒已经构成了对计算机系统和网络的严重威胁。(10)诽谤:利用网络信息系统的广
22、泛互联性和匿名性,散布错误的消息以达到诋毁某人或某公司形象和知名度的目的。,1.4.2 威胁的动机(Motives)识别入侵者是一项繁琐而重要的任务。了解攻击的动机可以帮助用户洞察网络中哪些部分容易受攻击以及攻击者最可能采取什么行动。在网络入侵的背后,通常有以下五种形式的动机。,1工业间谍(Industrial Espionage)所谓的工业间谍,就是为了获取工业秘密,渗透进入某公司内部的私人文件,搜寻该公司的秘密并出卖给其竞争者的人。攻击者的主要目的是阻止被攻击站点检测到公司的系统安全已受到危害。随着私人商业网接入因特网,工业间谍引起了人们广泛关注。按照FBI的估计,由于工业间谍的介入,美国
23、各大公司每年要损失100亿美元。,最近的研究表明,商业贸易经常受到来自公司内部持有异议和不诚实雇员的攻击。这些攻击包括:收集有用的信息、在公司内部获得一临时职位、滥用职权及其物理访问权、内部黑客、雇佣外来黑客等。2财政利益(Financial Gains)财政利益是另外一种比较普遍的网络缺陷目标。攻击者获取非授权访问,然后偷取钱财或者资源以获得经济利益。如一名不诚实的职员将资金从公司的账号上转移到自己的私人账号上;因特网上的一名黑客可能获得银行系统的非授权访问并转移资金。,3报复(Revenge)或引人注意(Publicity)网络同样可以出于寻找报复或者为了扬名的目的而被突破。被解雇的职员可
24、以在离开公司之前安装特洛伊木马到公司的网络上。有时候,一名黑客会突破一个网络来炫耀他们的技能以便扬名。有些销售商为了完善自己的网络安全产品也会给成功入侵他们网络安全产品的人们提供奖金。,4恶作剧 入侵者闲得无聊又具备一定的计算机知识,因此总想访问他所感兴趣的站点。5无知 入侵者正在学习计算机和网络,无意中发现的一些弱点可能导致数据被毁或者执行非法操作。,1.5 网 络 攻 击,1.5.1 网络攻击的定义“攻击”是指任何的非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到完全破坏、控制服务器。在网络上成功实施的攻击级别依赖于用户采用的安全措施。攻击的法律定义:攻击仅仅发生在入侵行为完全完
25、成而且入侵者已经在目标网络内。但专家的观点是:可能使一个网络受到破坏的所有行为都被认定为攻击。,因特网攻击可以分为以下两类:(1)被动攻击(Passive Attacks):在被动攻击中,攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于网络(跟踪通信链路)或基于系统(用秘密抓取数据的特洛伊木马代替系统部件)的。被动攻击是最难被检测到的。(2)主动攻击(Active Attacks):攻击者试图突破你的安全防线。这种攻击涉及到数据流的修改或创建错误流,主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等等。例如,系统访问尝试(System Access Attempts):攻击者利用
26、系统的安全漏洞获得客户或服务器系统的访问权。,1.5.2 攻击的一般目标 从黑客的攻击目标上分类,攻击类型主要有两类:系统型攻击和数据型攻击,其所对应的安全性也涉及系统安全和数据安全两个方面。从比例上分析,前者占到了攻击总数的30%,造成损失的比例也占到了30%;后者占到攻击总数的70%,造成的损失也占到了70%。系统型攻击的特点是:攻击发生在网络层,破坏系统的可用性,使系统不能正常的工作;可能留下明显的攻击痕迹;用户会发现系统不能工作。数据型攻击主要来源于内部,它攻击的特点是:发生在网络的应用层;,面向信息,主要的目的是篡改和偷取信息(这一点很好理解,数据放在什么地方,有什么样的价值,被篡改
27、和窃用之后能够起到什么作用,通常情况下只有内部人知道);不会留下明显的痕迹(原因是攻击者需要多次地修改和窃取数据)。,从攻击和安全的类型分析,我们得出一个重要结论:一个完整的网络安全解决方案不仅能防止系统型攻击,也能防止数据型攻击;既能解决系统安全,又能解决数据安全两方面的问题。这两者当中,应着重强调数据安全,重点解决来自内部的非授权访问和数据的保密问题。从另一方面看,很难说什么才是攻击者的典型目标,因为不同攻击者会因不同的原因而攻击不同类型的网络。然而,常被攻击的是一些小型的内部网,因为小型内部网的拥有者们对因特网的使用还处于入门阶段;,其系统管理员更熟悉局域网,而不是TCP/IP;其设备和
28、软件可能是陈旧而过时的产品,有利于老漏洞的攻击。例如,大学网是主要的攻击对象,部分原因是因为他们拥有极强的运算处理能力,而且网络用户较多,甚至在一个相对小的网段上就有几百个用户。管理这种大型网络是一项困难的任务,入侵者极有可能从如此多的账号中获得一个入侵账号。其它常被攻击的对象是政府网站。另外,绝大多数入侵者从使用的角度而言能熟知两个或多个操作系统,但从入侵的角度来看,他们通常仅了解某一种操作系统,这也成为其选择攻击目标的主要因素,很少有入侵者知道如何入侵多种平台。,1.5.3 攻击的一般过程 远程攻击(Remote Attack)是指向远程机器(Remote Machine)发动的攻击。远程
29、机器是可以通过因特网或者其它网络连接到的任意一台机器(不是攻击者正在使用的机器)。远程攻击的攻击对象是攻击者还无法控制的计算机。也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机,不论被攻击的计算机和攻击者是位于同一子网还是有千里之遥。,黑客攻击的目标各不相同,如有的黑客注意焦点是美国国防部五角大楼,有的关心安全局、银行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性。攻击大体有如下三个步骤:信息收集;对系统的安全弱点探测与分析;实施攻击。窥视往往是攻击的第一步,相当于通常的窃贼在远处张望一家民宅一样,黑客首先利用一些公开的协议或网络工具,收集驻留在网络系统中的各
30、个主机系统的相关信息,确定这些系统在因特网上的位置和结构,发现目标系统的外围安全设备类型和结构,并确定入侵点。,由于攻击者的攻击目的和动机各不相同,因而其选定目标的方式也是多种多样的,但大致分为两类:一是从已知的主机列表文件中获得欲攻击的主机名称,这类攻击者多是以检验自己攻击技术是否高超为目的的;二是在日常生活中猎取某公司或机构的名称,这类攻击者多是带有明显的商业或政治动机。无论怎样,选定目标后,第一步是开展一系列收集该目标所有信息的工作。,在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或薄弱环节。弱点主要表现在两个方面:一是网络主机上的服务程序是否存在
31、设计缺陷并有可供入侵之处;二是该网络主机所使用的通信协议是否有先天上的安全漏洞。这样,攻击者就可以借用某种手段使该网络主机瘫痪,从而困扰对方主机上的系统管理员或用户,降低对方工作能力。,最后,是寻找内部落脚点。一旦入侵者获得了进入网络的权利,那么下一步便是在外围设备中为自己寻找一个安全的、不易被发现的落脚点。通过finger协议,能够得到特定主机上用户的详细信息,包括注册名、电话号码、最后一次注册的时间等等。一般地,入侵者会找到一个能够获得Root权限的主机作为落脚点。落脚点确定后,外部入侵者就变成了系统内部人员,这时,入侵者会在系统内部寻找可盗窃的财产和可破坏的目标系统。,主要的破坏动作包括
32、偷窃软件源代码和财政金融数据、访问机密文件、破坏数据或硬件,还包括安置为日后再次侵入做准备的特洛伊木马(Trojan Horses)。破坏动作完成后,入侵者必须掩盖自己的踪迹,以防被发现。典型的做法是删除或替换系统的日志文件。,1.5.4 攻击的主要方式 由于对计算机网络信息的访问通常是通过远程登录的,这就给黑客们以可乘之机。假如一名黑客在网络上盗取了或破译了他人的账号或密码,那么,他便可长驱直入地获得授权,对他人网络进行访问,并窃取相关的信息资源。目前,来自网络系统的安全威胁大致有黑客入侵、内部攻击、不良信息传播、秘密信息泄漏、修改网络配置、造成网络瘫痪等形式,分为以下七个方面。,1)利用系
33、统缺陷或“后门”软件 利用主机系统的一些漏洞可以获得对系统或某用户信息的控制权。系统的漏洞也往往是潜在的黑客对主机进行攻击的首选手段之一。他们利用这些“后门”可以绕过正常系统的防卫装置进入系统,在网络中给自己非法设立一扇门,即通过程序替代来盗取网络资料,修改和破坏网络主页等,为自由进出网络大开方便之门。有时,黑客编写一种看起来像是合法的程序,放到商家的主页,诱导用户下载。当一个用户下载软件时,黑客的这个软件与用户的软件一起下载到用户的机器上。,有一种被称为“后门”(Backdoor)的计算机程序,可以协助黑客顺利进入信息网络而自身不被发现。这种程序可以通过电子邮件或电子贺卡等形式,非法侵入网络
34、,以貌似合法用户的身份偷窃或破坏信息网络资源,并且自动启动自身的特洛伊木马之类的程序,悄悄跟踪用户的电脑操作,伺机攻击相关的计算机网络。这些程序也可能是特洛伊木马程序的变体,它看起来像一种合法的程序,但是它静静地记录着用户输入的每个口令,然后把它们发送到黑客的因特网信箱。,在网络中,协议自身存在着各种缺陷,例如,源主机可以使用IP源路径选项,强制报文通过一个特定的路径到达某一目的主机。这样的报文可以用来攻陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地址的源路径报文。服务器会相信这个报文并对攻击者发应答报文,因为这是IP的源路径选项要求的。对付这种攻击最好的办法是配置好路由器,使它
35、抛弃那些由外部网进来的却声称是内部主机的报文。,2)利用用户淡薄的安全意识 黑客们经常使用诱入法,捕捉一些网络用户的口令。可能有人发送给某网络ISP用户一封电子邮件,声称为“确定我们的用户需要”而进行调查。作为对填写表格的回报,允许用户免费使用5小时。但是,该程序实际上却是在搜集用户的口令,并把它们发送给某个黑客。例如Akuma程序,它包含一种自动“病毒传染程序”,该程序发送的病毒会引起受害者机器的崩溃,但是它含有的文本却使它成为“披着羊皮的狼”,例如“*你好,这是一张我最得意的照片,是裸体照只要把它卸载下来,用你的窗口管理器就能浏览它。”只要用户被诱惑,那便掉入黑客的诡计中了。,在“捕获”程
36、序中也存在另一种黑客的诡计,即查卡(Carding),它主要捕获信用卡密码。例如:“这是America Online(AOL)会计部。由于出现错误我们要求您把您的全名、信用卡密码、有效日期以及您的电话号码告诉我”。其它的查卡程序则按照特定的规则生成伪造的信用卡密码。这种密码可通过AOL的第一道防线,让黑客开立免费账户。,3)防火墙的安全隐患 在互联网络的边界上,通常使用防火墙。很多防火墙不能有效地实现与外部网络的物理隔离,可能使黑客很容易突破局域网的第一道防线。如有些防火墙的IP很容易得到,甚至是公开的,使得黑客轻而易举地得知哪台主机是防火墙,从而重点进攻,轻易登堂入室,窃取信息资源。IP源路
37、径选项允许IP数据包自己选择一条通往目的主机的路径,这使得黑客有机可乘。,一个攻击者试图与防火墙后面的一个不可到达的主机A连接,则他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A即可。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径域后将其发送到内部网上,报文就这样到达了原本不可到达的主机A。,4)内部用户的窃密、泄密和破坏 内部人员对数据的存储位置、信息的重要性非常了解,这使得内部攻击更容易奏效,有统计数据表明,70%的攻击来自内部。因此,防止内部攻击也就显得越发重要了。很多机密文件放在未经加密的或没
38、有严格限制内部人员查阅的地址内,一旦黑客进入网络便可轻松地访问这些数据,使机密文件泄密。如果对内部人员管理松懈,用户级别权限划分不明确或根本无级别限制,就容易导致黑客一经侵入网络,内部信息就暴露无疑的后果。,例如,内部攻击人员可以在被攻击主机上放置一伪造的可执行登录程序,当用户或是系统管理员在被攻击主机上启动、登录时,该程序显示一个伪造的登录界面。用户在这个伪装的界面上键入登录信息(用户名、密码等)后,该程序将用户输入的信息传送到攻击者主机,然后关闭界面,给出提示信息说系统故障,要求用户重新登录。此后,才会出现真正的登录界面,这样,黑客便利用了默认的登录界面,轻易地捕捉到了系统口令。,5)网络
39、监督和系统安全评估性手段的缺乏 一些公众信息网上的所谓“共享软件”很可能是逻辑炸弹或“黑客程序”,一旦用户下载,其计算机硬盘极有可能被他人利用并与之一起分享信息资源,有时还会遭黑客的恶意攻击。,另外,黑客还有一种违反业务条款(tossing)的手段,它相当于在网上陷害某人,也就是违反作为某网站成员法规的服务条款(Terms Of Service,TOS)。这些程序可使这种欺骗活动看起来就好像是某个用户向黑客发送了一条攻击性的E-mail消息。这条消息于是传送给网站的在线警察或网络管理员,他们可能会把发送那条E-mail的用户轰出系统。有些网络管理员可以区分伪造的邮件与真实邮件的不同,但是,诸如
40、在聊天室讨论时伪造一条攻击性消息等,网络运行管理机构将难以分辨其真实性。,6)制造口令攻击和拒绝服务 黑客常以破译普通用户口令作为攻击的开始。他们通常采用字典穷举法来破译口令,进行破坏,因而用户口令的选择对系统安全很重要。UNIX系统中,一般口令经DES加密后放于一个文件中,通常是/etc/passwd,它处于严密的保护之下,一旦黑客获取口令文件,就会用专解DES加密的程序来解,解密并不费什么周折。如果网络用户选择的口令不当,即使网络系统的安全性再强,也仍然有受到破坏的危险。可是用户谨慎选取口令的很少,很多人只是用单个单词或生日或电话号码作为口令,而不用字母、数字混排,且只用小写字母,使得口令
41、被破译的概率大大增加。,拒绝服务攻击是破坏性极强的攻击,破坏者常使用“邮件炸弹”(Mail Bomb)等办法,发送大量的信息或大块的数据给一些用户,造成邮件服务器程序超载,甚至崩溃,正常业务不能开展,严重时会使系统关机,网络瘫痪。7)利用Web服务的缺陷 Web服务面临的主要威胁有:Web页面的欺诈、CGI安全问题、错误与疏漏等。,1.6 网络安全模型,人类最初的信息系统出自于通信的需要,其模型由发信者S(Sender)和收信者R(Receiver)两方组成。此模型下研究、解决的主要问题是信源编码,信道编码,发送设备,接收设备以及信道特性。由于战争与竞争存在窃密与反窃密的斗争,因而信息系统模型
42、中还应含第三方敌人E(Enemy)。,三方模型下,人们还要研究如何运用密码来保证信息在信道上被窃取后,窃取者不知其意,以保证敏感信息不会泄露至非授权者,即使面对信息系统及其中的信息,非授权者也看不懂,拿不走,毁不了。现代信息系统已非政府,军队等专用,社会公众也大量运用其为自己服务。其中也有贩毒集团,恐怖分子或敌对国,他们借助市售保密设备的保密能力,干起有损于社会的坏事,反过来将政府与管理部门置于敌方E的位置之上。这就需要进而考虑第四方-监控管理方B(Boss),信息系统的模型因而发展为四方模型(如图1-5所示)。,图1-5 信息系统的四方模型,我们即将讨论的网络安全模型就是基于上述的四方模型。
43、通信双方(主体)通过协调通信协议,可以建立逻辑信息通道。在主体之间进行数据传输过程中,会面临各种不同的安全威胁和安全攻击,如通信被中断、数据被截获、信息被篡改等等。这样,主体必须采取相应的安全措施以防止对手对信息的保密性、可靠性等造成破坏。,图1-6所示的网络安全模型是对非安全通信信道上的信息流进行的建模。在此,通信主体可以采取适当的安全机制,包括以下两个部分:(1)对被传送的信息进行与安全相关的转换。这可以是消息的加/解密,以及以消息内容为基础的验证代码,用以检验发送方的身份。(2)两个通信主体共享不希望对手知道的秘密信息,如密钥等。,图1-6 网络安全模型,为实现安全数据传输,可能需要可信
44、任的第三方参与。例如,由可信任的第三方负责向两个主体发放保密消息,而向其它对手保密;或者在两个通信主体就信息传送发生争端时进行裁决。此网络安全模型指出了要达到特定安全任务所需的四个基本要素:同安全相关的转换算法的设计 生成算法所需的保密信息 保密信息的安全分发和管理 主体之间通信所必需的安全协议的设计,然而,并非所有的同安全相关的情形都可以用上述安全模型来描述。比如,目前万维网(WWW)的安全模型就应当另加别论。由于其通信方式大都采用客户服务器方式来实现,由客户端向服务器发送信息请求,然后服务器对客户端进行身份认证,根据客户端的相应权限来为客户端提供特定的服务,因此,其安全模型可以采用如图1-
45、7所示的安全模型来描述。其侧重点在于如何有效地保护客户端对服务器的安全访问以及如何有效地保护服务器的安全性上面。,图1-7 客户服务器下的网络安全访问模型,这种安全模型同现实当中的黑客入侵相吻合,在此,客户端本身就可以是对手或者敌人,他可以利用大量的网络攻击技术(参照1.5.4节)来对服务器系统构成安全威胁。这些攻击可以利用网络服务的安全缺陷、通信协议的安全缺陷、应用程序或者网络设备本身的安全漏洞来实施。,为了有效保护模型中信息系统的各种资源以及对付各种网络攻击,在模型中加入了守卫(Guard)功能。守卫可以有效地利用安全技术对信息流进行控制,如对客户端进行身份认证、对客户端对服务器的请求信息
46、进行过滤、对服务器的资源进行监视审计等等,从而可以抵御大部分的安全攻击。,1.7 基本安全技术,任何形式的互联网络服务都会导致安全方面的风险,即使是收发E-mail和文件共享也要防备“信息土匪”的非法入侵。幸好现在已经有多种网络安全系统供选择,可以将风险降到最低程度。它们分别是:防火墙、身份认证、加密、数字签名和内容检查等。,1.7.1 防火墙(Firewall)防火墙并非万能,但对于网络安全来说是必不可少的。它是位于两个网络之间的屏障,一边是内部网络(可信赖的网络),另一边是外部网络(不可信赖的网络)。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。,大部分防火墙都采用了以下三种工作
47、方式中的一种或多种:使用一个过滤器来检查数据包的来源和目的地;根据系统管理员的规定来接收或拒绝数据包,扫描数据包,查找与应用相关的数据;在网络层对数据包进行模式检查,看是否符合已知“友好”数据包的位模式。,1.7.2 加密(Encryption)加密是通过对信息的重新组合,使得只有收发双方才能解码并还原信息的一种手段。传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密和解密。目前,随着技术的进步,加密正逐步被集成到系统和网络中,如IETF正在发展的下一代网际协议IPv6。硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。,1.7.3 身份认证
48、(Authentication)防火墙是系统的第一道防线,用以防止非法数据的侵入,而安全检查的作用则是阻止非法用户。有多种方法来鉴别一个用户的合法性,密码是最常用的,但由于有许多用户采用了很容易被猜到的单词或短语作为密码,使得该方法经常失效。其它方法包括对人体生理特征(如指纹)的识别,智能IC卡和USB盘。,1.7.4 数字签名(Digital Signature)数字签名可以用来证明消息确实是由发送者签发的,而且,当数字签名用于存储的数据或程序时,可以用来验证数据或程序的完整性。美国政府采用的数字签名标准(Digital Signature Standard,DSS)使用了安全哈希运算法则。
49、用该算法对被处理信息进行计算,可得到一个160位(bit)的数字串,把这个数字串与信息的密钥以某种方式组合起来,从而得到数字签名。,1.7.5 内容检查(Content Inspection)即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。有些病毒通过E-mail或用户下载的ActiveX和Java小程序(Applet)进行传播,带病毒的Applet被激活后,又可能会自动下载别的Applet。现有的反病毒软件可以清除E-mail病毒,对付新型Java和ActiveX病毒也有一些办法,如完善防火墙,使之能监控Applet的运行,或者给Applet加上标签,让用户知道他们的来源。,1.8
50、 网络安全漏洞,通常,入侵者是寻找网络存在的安全弱点,从缺口处无声无息地进入网络,因而开发黑客反击武器的思想是:找出现行网络中的安全弱点,演示、测试这些安全漏洞,然后指出应如何堵住“安全漏洞”。当前,信息系统的安全性非常脆弱,这主要体现在三个方面:,(1)操作系统安全的脆弱性。操作系统不安全首要的原因是操作系统结构体制造成的:操作系统的程序是可以动态链接的,包括I/O的驱动程序与系统服务,都可以用打补丁(Patch)的方式进行动态链接;操作系统通常都提供后台驻留(Daemon)软件,这些软件通常都是“黑客”攻击的首要目标;操作系统缺省配置的无口令入口以及隐蔽信道(Covert Channel)
