（管理科学与工程专业论文）基于asp的网络安全技术研究.pdf

摘要 在高速发展的信息时代，网络已经成为主要的信息共享、交流的手段。与此 同时如何保证网络的安全使用成为科技时代关心的焦点。本文的目的就是对网络 安全的概念、机制、体系及技术，尤其是基于a s p 的网络安全技术进行的探讨 和实现，从w e b 数据库的安全设计、企业网络的模式选择、以及a s p 中针对网 络安全的主要技术：系统权限管理、w e b 页的加密、用户访问i p 地址的控制等。 本文结合渤海石油化工总公司的企业的网络现状及组织结构，提出了基于 b s 和c s 混和运行模式的企业信息系统，从理论和实践两个方面对该模式下的 网络安全进行了研究。实例采用的开发工具为目前流行的a s p ，结合a d o 技术 及h t m l 标识语言，采取了分布式数据库。重点讨论了基于此开发平台下的信 息系统的网络安全问题。基于公司的地理分布和网络现状，进行了安全网络的构 筑与研究。从系统权限管理着手，借鉴了集合论在权限管理中应用，并对其进行 了编程实现。由于篇幅和理论水平的限制，对应用于w e b 页面加密的维尔南算 法没有进行详细的论述，只是应用其一般步骤进行了编程实现。另外，对用户访 问i p 地址的控制进行了简单介绍和程序实现。 文章是基于网络安全基本层面的一个综合研究，实际操作性较强，但是对包 过滤防火墙技术的深入研究方面还有欠缺，笔者同时希望在今后的工作和学习的 过程中可以继续在有关领域有所开拓和发展。 关键词：网络安全、a s p 、防火墙、b s a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o ni n d u s t r y , n e th a sb e c o m et h em a i n w a yo fi n f o r m a t i o ns h a r i n ga n dc o m m u n i c a t i n g ，a tt h es a n l et i m e ，h o wt oe n s u r e s a f e t yu s a g eo f n e th a sa l s ob e c o m et h ef o c u so fs c i e n t i f i ca n d t e c h n o l o g i c a le r a t h e p u r p o s e o ft h i s p a p e r i s d i s c u s s i n g a n d r e a l i z i n gi d e a ，m e c h a n i s m ，s y s t e ma n d t e c h n o l o g yo f n e ts a f e t ya sw e l la st h en e ts a f e t yt e c h n o l o g yb a s e do na s p i nt h e m e a n t i m e ，t h i sp a p e rh a sa l s oa n a l y z e dt h es a f e t yd e s i g no fw e bd a t a b a s e ，m o d e l c h o i c eo fe n t e r p r i s en e t w o r ka n dm a i nt e c h n o l o g i e si na s ps u c ha ss y s t e mr i g h t m a n a g e m e n t ，e n c r y p t i o no fw e bp a g ea n dc o n t r o l l i n gm e a s u r e m e n tw h e nc l i e n t s v i s i ti pa d d r e s s e s t a k i n gt h e c u r r e n tn e t w o r ks t a t ea n do r g a n i z a t i o no fb o h a in e u r o c h e m i s t r y c o m p a n y i n t oc o n s i d e r a t i o n ，t h i sp a p e rf i r s t l yp u t sf o r w a r dt h ee n t e r p r i s ei n f o r m a t i o n s y s t e mb a s e do nm i x e db sa n dc sm o d e l s ，a n dc a r r i e so u tt h o r o u g hr e s e a r c ho n n e t w o r ks a f e t yu n d e rt h a tm o d e lt h e o r e t i c a l l ya n dp r a c t i c a l l y t h e d e v e l o p i n gt o o l u s e di nt h i sp a p e ri st h ep o p u l a ra s pa n dd i s t r i b u t i n gd a t a b a s ei sm a d eu s eo fw h i c h c o n n e c t sa d o t e c h n o l o g ya n dh t m l a f t e rt h a t ，t h i sp a p e ra n a l y z e st h en e t w o r k s a f e t yp r o b l e me x i s t i n gi nt h ei n f o r m a t i o ns y s t e m b a s e do nc u r r e n tn e t w o r k s t a t ea n d g e o g r a p h i c a ld i s t r i b u t i o n o f t h i sc o m p a n y , t h i sp a p e rc a r r i e so u tt h eq u e s t i o no fh o w t ob u i l du ps a f e n e t w o r k l e a r n i n gf r o mt h ea p p l i c a t i o n o fs e t t h e o r y i nr i g h t m a n a g e m e n t ，t h i sp a p e r r e a l i z e st h e p r o g r a m m i n g ；b u td o e s n t d i s c u s si nd e t a i l w e r n a nc a l c u l a t i o nt h a ti su s e di nw e b p a g ee n c r y p t i o n i na d d i t i o n ，t h i sp a p e r i n t r o d u c e st h ep r o g r a m m i n go nc o n t r o lw h e nc l i e n t sv i s i ti pa d d r e s s e s t h i sp a p e ri sag e n e r a lr e s e a r c hb a s e do nr a d i c a l l a yo fs a f e t yn e t w o r k t h i s p a p e rt a k e so nm o r em a n e u v e m b i l i t y , b u tl e s sd e p t ho ft h e o r i z a t i o n ，e s p e c i a l l yt h e t h e o r yo f t h er e s e a r c ho nf i r e w o r ko f p a c k a g ef i l t r a t i o n t h ea u t h o re x p e c t st oe x p l o i t a n d d e v e l o p i nt h i sf i e l di nt h ef u t u r e k e y w o r d ：s a f e t y o f n e t w o r k 、a s p ( a c t i v es e r v e r p a g e ) 、f i r e w a l | 、b r o w s e s e r v e r 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得鑫壅盘茎或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在沦文中 作了明确的说明并表示了谢意。 学位论文作者签名：i 、研毒氏签字日期：”。2 - 年5 月 日 学位论文版权使用授权书 本学位论文作者完全了解鑫壅盘茔有关保留、使用学位论文的规定。 特授权吞生态茔可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：相扶 导师撼锄嵌 签字日期：弦z 年6 月 日 签字日期：w ，2 年 月 日 天津大学硕士研究生论文第一章互联网时代的网络安全 第一章互联网时代的网络安全 第一节网络安全的概念 计算机网络，特别是i n t e r n e t 的飞速发展和广泛应用，提高了信息的共享 程度，但网络安全问题也日益突出。网络安全是指网络系统中各个实体进行信 息存储、传输和使用等的安全，它是跨越时空的，无论政府、公司集团还是个 人，在网络上终究将面临网络安全的问题。当今，信息安全问题已经上升到关 系国家安全的战略问题，必须给予高度重视。 我国的网络安全研究与技术先进的西方国家差距较大，主要是起步晚、投 入少、研究力量分散，尤其在系统安全和安全协议方面的工作与国外差距更大。 我国信息安全研究经历了通信保密、计算机数据保护两个基本发展阶段，目前 正在进入网络信息安全的研究阶段。安全体系的构建和评估，通过学习、吸收、 消化t c s e c 的原则进行了安全内核受控于人，以及国外产品的不断更新升级， 仅仅基于具体产品的增强安全功能的成果难以保证没有漏洞，难以得到推广使 用。在学习借鉴国外技术的基础上，国内一些部门也开发研制了一些防火墙、 安全路由器、安全网关、系统脆弱性扫描软件、黑客入侵检测( 包括基于应用 的入侵检测、基于网络的入侵检测、基于目标的入侵检测、基于主机的入侵检 测、基于综合的入侵检测) 等。但是，这些产品安全技术的完善性、规范化和 实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口 的满足性方面存在很大距离，理论基础和自主的技术手段也需要发展和强化。 1 1 1 网络安全的含义及目标 网络安全是指基于网络运作和网络间的互联互通造成的物理线路和连接的 安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全等几个方 面。其主要研究的问题是保护网上数据不受破坏及防止非法访问，保护的对象 是网上的数据，始终围绕网上数据安全这个中心。 ( 1 ) 网络安全的主要内容是：数据在网上要受到两方面保护，一是数据自 身不因外界的暴力而受到破坏：二是网上数据的访问必须受到严格的控制和管 理，保护合法访问，防止非法访问。 ( 2 ) 网络安全的目标是确保网络系统的安全，其三个中心目标是： 保密性( c o n f i d e n t i a l i t y ) ：确保数据只被授权用户访问，防止非授权 用户截获并使用数据，保护通信机密； 完整性( i n t e g r i t y ) ：确保数据在网络传输过程中不被未授权篡改。 天津大学硕士研究生论文第一章互联网时代的网络安全 有效性( a v a i l a b i l i t y ) ：确保数据访问的有效性不被未授权破坏。 网络安全的目标还包括验证( a u t h e n t i c a t i o n ) 、认可( n or e p u d i a t i o n ) 和访问控制( a c c e s sc o n t r 0 1 ) 。此外，保护系统硬件资源不被非法占有，软件 资源免受病毒侵害，都属于整个计算机网络的安全目标。 1 1 2 网络攻击 作为信息传输的通道，计算机网络并不提供安全的网络传输。网络的开放 性，网络拥有较为复杂的设备和协议，网络的地域分布使得安全管理难于涉及 网络连接的各个角落。从攻击者的角度来看，由于网络复杂，协议众多。攻击 的投入越大，找到攻击入口和网络弱点的可能性就越大，攻击成功后的受益就 越大，因此，攻击者会投入较大的力量。那么什么是易受攻击的目标呢? 网络攻击的目的是打击网络的使用者、损坏或窃取网络用户和所有者的利 益、或破坏网络。网络安全所受的威胁，也即网络安全必须注意的环节，主要 包括以下几个方面： ( 1 ) 网络的使用者和操作者。例如：利用假的终端或假的程序骗取用户的 口令信息，直接通过欺骗操作员骗取重要信息等。 ( 2 ) 网络外部接口。由于网络通过其外部接口与外部网络连接，对接口进 行攻击成功可以侵入网络内部。对网络外部接口进行攻击具有成本低、有挑战 性且不易被发现等特点。管理不善、系统的脆弱性和可能的后门是这种攻击成 功的关键。 ( 3 ) 网络连接。由于网络的地域范围广，管理者或使用者不可能时刻监测 网络的各处连线，使在网络上窃听、替代、篡改、假冒成为可能，特别是网络 分布区域较大的网络。 ( 4 ) 主机和网络站点是内部人员攻击的主要目标。管理和审计不完善是主 机和内部站点受攻击的主要原因。网络操作人员复杂，管理控制相对困难，难 免会有人受利益驱动作案。此外站点或连接设备电磁泄漏，也可导致敏感信 息丢失。 网络交换设备、控制设备、网络管理设备等更是攻击的主要目标。而这些 设备是网络的核心，破坏这些设备可以使整个网络瘫痪。 1 1 3 网络攻击方式 间谍攻击 是通过非技术的行为和方式进行的一种非常容易成功的攻击。可将其归类 于间谍攻击。如通过某种关系获取或猜测某系统的密码；通过秘密拍照或录像 获得系统的情报：通过偷窃管理人员的文档而获得系统资料等。 被动攻击 被动攻击是技术性攻击的一个方面。被动攻击不修改系统中的任何信息， 天津大学硕士研究生论文第一章互联网时代的网络安全 是通过观察、监听、分析数据流和数据流模式获得情报或通过监视某个站点数 据流量分析从中获取利益，被动攻击只是读取系统的信息。被动攻击常用的手 段有以下几种： 搭线监听 无线截获是通过高灵敏接收装置接收网站点辐射的电磁波或网络连接设备 辐射的电磁波，通过对电磁信号的分析回复数据信号从而获得网络信息。用程 序和病毒截获信息是计算机通过某种方式发送出来。可以通过网络传送到某攻 击站点，也可以发往某无线设备后再传送。 流量分析 有些通信是加密进行的，当无法解密数据信息时，可通过在集线器或交换 设备上观察通信流量，或通过分析某点的无线通信流量来获得有用的信息。 通信模式、数据模式和数据分析 通过分析，如对通信发起方的判断、加密数据解密和通信包长的分析都可 能获得有用的信息。 在i n t e r n e t 上最常见的被动攻击是s n i f f i n g 。s n i f f i n g 利用以太网络的 介质共享特性，在同一以太网上偷听网络上传输的信息。对付被动攻击的主要 方法时采用加密技术，如果没有解密密钥，即使读取了系统的数据，所获得信 息也看不懂的。 主动攻击 主动攻击并不是简单地读取数据信号内容，它常常有意改动数据控制信号， 或者有意地生成伪造的数据。主动攻击破坏数据的完整性和有效性，破坏消息 服务、修改消息流或冒充合法信息来混淆视听、破坏决策。主动攻击可能基于 网络或系统的缺陷或后门进行，如利用旧系统的s e n dm a i l 中的一个缺陷，攻 击者可以唤起s h e l l 。攻击也可能利用管理缺陷或操作员对安全的忽略进行， 如通过猜测某人的口令从而进入系统，再利用此人的权限进一步攻击系统其他 用户。在i n t e r n e t 上最常见的主动攻击有s p o o f i n g ，p a s sw o r d 攻击，利用后 门的攻击等。主动攻击可以发生在通信线路上的几乎任何一处，电缆、微波线 路、卫星通道、路由节点、主机或客户计算机系统都可能成为主动攻击的对象。 对于整个线路设置极其广泛的物理防范设施进行百分之百的保护是不可能的。 然而，无论用何种方法，主动攻击只有在实现物理访问时才能成功。这里对“物 理”的理解是更广泛的，可能是在几百公里之外的一个目标通过拨号访问终端 进行的，或者是某个远程目标通过无线电信道进行的而线路刺探甚至不需要 有一台设备和电缆进行物理的连接。可以想象，组织主动攻击是非常困难的。 因此挫败主动攻击的安全目标只能是迅速检测和恢复由于这种攻击而造成的信 息延误和系统瘫痪。 4 天津大学硕士研究生论文 第一章互联网时代的网络安全 第二节网络安全的体系结构、机制、技术及设计原则 通常，网络层的安全措施主要是解决系统安全问题，包括防火墙和安全检 测。防火墙是被动的。可为内部网络提供安全的边界，实现访问控制，保护系 统安全：安全检测是主动的，可发现安全漏洞，防止攻击。应用层的安全措施 主要是解决数据安全问题，包括电子身份认证、信息传输加密、集中授权管理、 审计和统计分析等。 1 2 1 数据加密技术 数据加密技术作为网络安全技术，是提高网络系统数据的保密性、防止秘 密数据被外部破析所采用的主要技术手段，一般采取两种加密形式：保密密钥 和公开密钥。 保密密钥。又称私钥加密和对称密钥加密。广泛应用的数据加密标准为 d e s 。d e s 的用户和接受方采用6 4 位密钥对报文加密和解密。在对安全性有特 殊要求的情况下，应采用国际数据加密算法( i d 队) 可以集中管理和分发密钥， 并在此基础上进行身份验证。 公开密钥。在i n t e r n e t 中使用更多的是公钥系统。其加密密钥和解密密钥 是不同的。用户生成一对密钥，其中一个作为公钥公开，另一个作为私钥由属 主保存。常用的公钥加密算法是r s a 算法，其加密强度高。公钥结合数字签名 和数据加密一起工作，发送方在发送数据前加上数字签名，然后与发送数据一 起用接收方公共密钥加密。接收方收到密文后，用自己的私钥将密文解密得到 发送的数据和发送方的数字签名，然后用发送方公布的公钥对数字签名进行解 密，若成功，则确定是由发送方发出的。数字签名与被传送的数据和时间等因 素相关。 由于公开密钥系统不要求通信双方事先建立某种信任关系或共享某种秘 密，因此适合在i n t e r n e t 上使用。 智能卡技术。是与数据加密技术紧密相关的一项技术。所谓智能卡是便携 式设备，由微处理器、输入输出端口和非易失内存构成。智能卡身份验证是基 于用户知道的信息，用户必须持有该设备= = j 能注册入系统。当今使用的一些比 较流行的先进认证装置叫做一次性口令系统。智能卡产生一个主系统可以用来 取代传统口令的响应信号，由于智能卡是与主系统上的软件或硬件协同工作的， 因此，所产生的响应对每次注册都是独一无二的。其结果是产生一次性口令。 这种口令即使被入侵者获得，也不能被入侵者重新用来获得某一帐户，能非常 有效地保护i n t e r n e t 网络。 1 2 2 安全检测技术 作为检测外部攻击、内部攻击和授权滥用的网络安全技术，安全检测检查、 天津大学硕士研究生论文第一章互联网时代的网络安全 分析用户和系统的活动，审计系统配置的脆弱性，对非正常活动进行统计分析， 识别入侵和攻击。安全检测技术是基于知议智能推理的决策分析技术，主要包 括： ( 1 ) 基于模式匹配的安全检测技术 通过检查对照网络安全特征，过滤用户行为和数据，从中识别特征，发现 安全漏洞。该技术的先进之处在于定义已知问题的模式，检查与模式匹配的事 件和数据。入侵者的攻击往往采用一定的行为模式。若定义的入侵模式是通用 的，新入侵实际上仅仅是入侵模式类的某个成员，那么现有模式就能检测出该 入侵。 ( 2 ) 基于统计异常的安全检测技术 通过检查统计量的偏差，发现入侵行为。检测前为用户、用户组等被检测 实体定义相应的统计变量，根据历史数据和声明的期望值为每个变量建立基值。 在网络系统活动时，根据利害关系设置权函数，修改变量值，比较与期望值的 偏差检测入侵行为。 ( 3 ) 基于专家系统的入侵检测技术 根据安全专家对入侵行为的分析经验形成一套推理规则，进而构成专家系 统自动检测入侵行为。入侵检测专家系统的适应性较强，其实现属于知识工作 问题，随着入侵经验的积累，利用自学能力扩充和修正推理规则，提高入侵检 测能力。 1 2 3 防火墙技术 防火墙是加强网络问访问控制的网络互联设备，是在内部网与外部网之间 实施安全防范的系统，它保护内部网络免受非法用户的侵入，过滤不良信息并 阻止其对于信息资源的未授权访问。防火墙的基本思想不是对每台主机系统进 行保护，而是让所有对系统的访问通过某一点、保护这一点，并尽可能地对外 界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外 界之间的一道屏障，它可以实施比较广泛的安全政策来控制信息流，防止不可 预料的潜在的入侵破坏。防火墙系统可以是路由器，也可以是个人计算机、主 系统或者是一批主系统，专门用于把网点或子网同那些可能被子网外的主系统 滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以及应用中获取、 存储并管理相关的信息，以便实施系统的访问安全决策控制。防火墙是一种基 于网络边界的被动安全技术，对内部未授权访问难以有效控制，因此较适合于 内部网络相对独立，且与外部网络的互连途径有限、网络服务种类相对集中的 网络。防火墙的实现技术主要有：数据包过滤、应用网关、代理服务和状态监 视技术等。 ( 1 ) 包过滤技术。包过滤是基于对包的i p 地址的校验。在i n t e r n e t 上， 6 天津大学硕士研究生论文 第一章互联网时代的网络安全 信息是以包的形式传输，数据包中包含发送方的i p 地址和接收方的i p 地址。 包过滤将依据系统内事先设定的过滤逻辑，检查所有通过的数据流中的每个数 据包，根据数据包的源地址、目的地址、所用的t c p 端口与t c p 链路状态等实 施有选择的通过。但是，这是一种基于网络层的安全技术，对于应用层的黑客 行为是无能为力的，包过滤技术的实现方式有： 路由设备除了完成路由选择的数据转发外，还进行包过滤，这是常用方 式； 在工作站上使用软件进行包过滤，价格较贵： 在屏蔽路由器上启动包过滤功能。 ( 2 ) 应用网关技术。基于应用层协议，利用特别的网应用服务协议过滤数 据包，并形成相应的报告。一般运行在专用工作站上，对易登录、控制的网络 系统实施严格控制，以确保网络安全。 ( 3 ) 代理服务( p r o x ys e r v e r ) 技术。防火墙网关上建立的专用代码，由 服务器程序和客户端程序组成，客户端程序与代理服务连接，代理服务将与访 问外部服务连接。与包过滤技术和应用网关技术不同，代理服务技术的内部网 与外部网间不存在直接连接，实现了防火墙内外系统的隔离，同时，代理服务 技术可实施较强的数据流监控、过滤、日志和审计等服务。代理服务技术的工 作过程如下： 代理服务器接收客户请求后会检查验证其合法性，如其合法，代理服务器 像一台客户机一样取回所需信息再转发给客户。它将内部系统与外界隔离开来， 从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理 的服务通过，而其他所有服务都完全被封锁住。代理服务具有信息隐蔽、保证 有效的认证和登录、简化了过滤规则等优点。另外，使用网络地址转换服务( n a t ： n e t w o r ka d d r e s st r a n s l a t i o n ) 可以屏蔽内部网络的i p 地址，使内部网络结 构对外部来讲是看不到的。 ( 4 ) 状态监视技术。这是第三代网络安全技术。状态监视服务的监视模块 在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的 各个层次实行检测，并作安全决策的依据，监视模块支持多种网络协议和应用 协议，可以方便地实现应用和服务的扩充。状态监视服务可以监视r p c ( 远程 过程调用) 和u d p ( 用户数据包) 端口信息，而包过滤和代理服务都无法做到。 利用防火墙技术可以解决网络层安全问题，防火墙是保护i n t e r n e t 的最重 要的手段之一。但是防火墙防外不防内，不能识别用户的身份，进行身份验证、 授权管理以及控制数据的存取。在目前，黑客智能程度越来越高的情况之下， 一个可访问i n t e r n e t 的现代防火墙必须采用综合安全技术，有时还需加入信息 的加密存储和加密传输技术方能有效地保护系统的安全。 天津大学硕士研究生论文第一章互联嘲时代的网络安全 以上简单介绍了一下信息安全所涉及到的技术，但对整个信息系统的安全 来说，还远远不够的。信息系统的安全保障体系应具有保护功能、检测手段、 攻击反应以及事故恢复能力。下面首先从网络的七层结构分别提出每一层的安 全机制，之后从网络信息安全的作用范围描述安全保障体系。 网络安全机制是操作系统、硬软件功能部件、管理程序以及它们的任意组 合，为一个信息系统的任一部件检测和防止被动与主动攻击的方法。针对网络 攻击，可以采用的网络安全机制包括访问控制、加密、认证交换、数字签名、 业务流分析、路由控制、数据完整性等机制。 国际标准组织i s o 在开放系统互连标准中定义了七个层次的网络互连参考 模型，它们分别是物理层、数据链路层、网络层、传输层、会话层、表示层、 和应用层，不同的网络层次有不同的功能。例如：传输层负责建立端到端的进 程通信信道，网络层负责路由，链路层负责建立点到点通信。相应的，在各层 需要提供不同的安全机制和安全服务。( 见图卜2 1 ) 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 身份认证 访问控制 数据保密 数据完整性 端到端加密 防火墙、i p 加密信 点到点链路加密 安全物理信道 幽1 2 一i 州缗安全层次模型 在物理层要保证通信链路的可靠、不易被窃听。在链路层可以采用加密技 术，保证通信的安全，但对网络性能会有较大的影响。在i n t e r n e t i n t r a n e t 环境中，地域分布很广，物理层的安全难以保证，链路层的加密技术也不完全 适用。 在网络层有i p 路由选择安全机制和基于i p 协议安全技术的控制机制，例 如传统的防火墙技术，采用i p 过滤功能的路由器，可以控制信息在内外网络边 界的流动，还可以使用i p 加密传输信道技术。 传输层可以实现进程到进程安全信道，如现在流行的安全套接层s s l 技术， 这种技术实现基于进程对进程的安全服务和加密传输信道，有高的安全强度。 在应用层可以针对特定的应用实施安全机制，如基于s m t p 电子邮件的安全 增强型邮件p e m 提供了安全服务的电子邮件。 网络安全机制的设定为制定网络信息系统的安全策略提供了设计原则和依 据。网络安全防护系统的设计原则主要有以下几点： 8 8 8 0 8 0 8 8 天津大学硕士研究生论文第一章互联网时代的网络安全 权限原则： 最小特权原则。任何对象应该只具有对象需要完成其指定任务的特权，尽 量避免暴露在侵袭之下，从而减少因侵袭所造成的损失。 ( 2 ) 多层、多样原则： 纵深防御原则，要求网络安全防护系统是一个多层安全系统，避免成为 网络中的“单失效点” 防御多样化原则，可以通过使用不同类型的系统而得到额外的安全保护。 ( 3 ) 有效性原则： 阻塞点原则：理想的网络安全防护系统应该是互连网络中的安全控制点， 在此把它叫“阻塞点”它简化了网络安全管理，便于对网络通信进行监控和审 计。 失效保护状态原则：网络安全防护系统失效模式应该是“失效一安全” 型，即一旦防火墙失效、重启或崩溃，就要安全阻断内部网络与外界的连接。 缺省拒绝状态原则：从安全角度讲，缺省拒绝状态是失效保护状态。 普遍参与原则：安全防护系统要求站点人员的普遍参与，使安全机制更 有效。 ( 4 ) 均衡性原则： t 最薄弱链接原则：安全保护的机制是链的强度取决于它最薄弱链接，解决 防范在于保护强度的均衡性。 第三节电子商务的安全控制 在互联商务迅速增长的背景下( 电子商务已接近每年一万亿美元) ，网络安 全产品、技术与服务的需求和市场潜力日益加大。据美国对各大公司负责采购 i t 产品的专业人士进行的调查结果表明，网络安全产品成为i t 市场上最受关 注的焦点。商务安全已经列入各个公司的首项日程，网上交易的安全问题是制 约电子商务发展的最重要的因素之一。身份窃取、假冒、数据窃取、非授权存 取等手段对电子商务的安全构成巨大的威胁，因此需要依靠电子手段来保护数 据、通信和事务。黑客得手的原因涉及到一个关键问题一用户身份认证，应该 采取广泛的智能卡技术来提供更完善的安全策略。智能卡中存储能够确认用户 的经过严格加密的个人信息，使得用户可以登录i n t e r n e t 后一步完成身份认 证、实时交易的全过程，方便了电子商务的进行。在网络服务器模式下系统不 再承认软盘驱动器，防止以非法途径进入系统：用户可以设置为在系统热启动 时也提示输入口令；用户锁键盘的同时也可以使显示屏幕变黑，以防止别人看 到程序运行的中间结果；用户还可以将目前没有用到的并行接口和串行接口锁 天津大学硕士研究生论文第一章互联网时代的网络安全 死，以防止他人对网络进行连接，其中企业级的杀病毒软件成为企业在选择防 病毒软件时的主要考虑产品之一，其它类的安全产品也成为购买的必选。 第四节保障网络信息安全的相关问题及未来发展趋势 网络环境下的信息安全不仅涉及到上述技术问题，而且涉及了法律政策问 题和管理问题等。 ( 1 ) 法律保护。要使网络安全运行，信息安全传递，需要靠必要的法律建 设，以法制来强化网络安全。这主要涉及网络规划与建设的法律，网络管理与 经营的法律，网络安全的法律，用户( 自然人或法人) 数据的法律保护，电子 资金划转的法律认证，计算机犯罪的刑事立法，计算机证据的法律效力等法律 问题。同时，还要有法必依，有法必行。 法律是网络安全的第一道防线，不难设想，若无这些法律的建设和法律的 实施，网络将无法安全地传递信息，无法起到信息传递通道的作用。有了相关 法律的保障，没有相应的政策，也无法保障信息安全具有可操作性。如美国联 邦政府1 9 9 6 年发布了a 一1 3 0 通告，在附录“联邦政府自动化信息资源安全” 政策大纲中，具体阐述了计算机系统的安全对策，可操作性很强。 ( 2 ) 管理问题。管理问题包括三个层次的内容：组织建设、制度建设和人 员意识。组织建设问题是指有关信息安全管理机构的建设。信息安全的管理包 括安全规划、风险管理、应急计划、安全教育培训、安全新体的评估、安全认 证等多方面的内容。因此只靠一个机构是没法解决这些问题的。在各信息安全 管理机构之间，要有明确的分工，以避免“政出多门”和“政策撞车”现象的 发生。明确了各机构的职责之后，还需要建立切实可行的规章制度，以保证信 息安全。如对人的管理，需要解决多人负责、责任到人的问题。任期有限的问 题，职责隔离的问题，最小权限的问题。有了组织机构和相应的制度，还需要 领导的高度重视和群防群治。这需要信息安全意识的教育和培训，以及对信息 安全问题的高度重视。 其他因素。影响网络环境下的信息安全还有一个很重要的因素，即信息安 全产业的发展问题，我们知道，保证网络环境下的信息安全，涉及很多信息安 全产品和服务。如防火墙、安全操作系统、相应的信息安全软件等。如果一国 的信息安全产品都是依靠国外进口，那就很难保证该国一些涉及国家经济安全 的信息的安全应用。如果出e l 国完全掌握着信息安全产品的核心技术，就很容 易侵入进1 2 国的网络系统，得到进口国的机密信息。例如，我国现在还没有自 己的c p u 和操作系统，目前大面积使用国外的c p u 和操作系统，在信息战炒得 如此热的情况下，很难说这些硬件及软件是否有预置程序。为了保护国家安全 1 0 天津大学硕士研究生论文第一章互联捌时代的网络安全 和经济利益，应大力发展自己的计算机产业，尤其是基础部件和核心部件在， 再开发自己的软件平台及应用程序，才能从根本上消除网络信息安全的隐患。 未来计算机安全问题中，网络安全技术举足轻重。安全操作系统、电子商 务平台、数字认证、防火墙系列产品、实用非否认协议、计算机安全评测产品、 虚拟专用网、网络入侵检测系统、“黑客”入侵防范软件、i n t e r n e t 网络安全 监督系统数字指纹、无线通信网络的安全协议、智能卡软件安全规范、智能卡 安全继承平台、i n t e r n e t 安全继承系统、安全引擎工具包、网络安全教育和新 的密码体制如量子密码、d n a 密码、混沌理论都变得十分盛行。随着i n t e r n e t 技术的飞速发展，新的安全问题随着w w w 、j a v a 、a c t i v e x 等技术的大量使用不 断出现，新的安全漏洞出现在w w w 、j a v a 、a c t i v e x 应用中，许多新的服务如 c o o l t a l k 、h 3 2 3 等未经严格的安全测试就开始使用，企业网络安全问题面临 更大的挑战。因为i n t e r n e t 上服务站点遭受拒绝服务攻击，导致其服务器过载 无法对用户提供正常服务。专家曾预言：未来世界里，“计算机窃贼”将会成为 世界性社会问题的一部分。 目前应使安全体系结构、安全协议、现代密码理论、信息分析和监控以及 信息安全系统相互协同工作形成有机整体，使各部分能提供相应的功能。微软 总裁比尔盖茨已经提出不单单依靠口令技术进行安全管理，越来越多的系统利 用密码安全技术。最终用户将密钥和验证密码存放在不致丢失的地方，用智能 卡备份硬盘以防损坏，并将智能卡广泛内置于个人数字助理( p d a ) 中，软件主 要以j a v a 或a c t i v e x 这样可供下载的可执行程序的方式运行，网络安全管理系 统的建造者们需要找到如何控制和维护可下载式程序的方法，同时他们也要编 制一些必要的工具以防止某些可下载有害程序的蔓延。h t t p 文件格式将被越来 越多的信息服务机构作为传递信息的方式。防火墙对于安全策略应用于数据流 的作用将减低并会逐渐失去效力。虚拟网络将与安全性相融合，并很有希望与 网络管理系统结合起来。基于密码理论的综合研究成果和可信计算机系统的研 究成果，构建公开密钥基础设施，密钥管理基础设施成为当前的另一个焦点。 在我国研究和建立创新性安全理论和系列算法，是一项艰巨的任务。但我国的 网络信息安全研究也不是一无是处，我国在密码学研究方面经验较多，基础也 较好，只要国家重视，加大投入，一定能构筑成坚如磐石、在国际上占据一席 之地的我国的信息与网络安全防线。 为了更大限度保证网络的安全，一个多重防线的网络安全防护战略变得至 关重要。网络安全最大的敌人是内部管理人员本身，因为对网络安全构成最大 威胁和最大破坏的莫过于系统管理员本身。保证网络安全，就要经常检测系统 是否存在安全漏洞，是否有可能的入侵活动，并避免只采用单一防护措施。要 求企业级的网络安全产品必须具有优秀的实时防护技术、安全平台防护技术， 天津大学硕士研究生论文第一章互联尉时代的网络安全 同时安全产品应针对频繁出现的不安全因素提供病毒快速捕捉及病毒库升级功 能，即具备全球病毒检测及全国服务网的能力。今后网络研究的重点将是把攻 击检测系统、网络查毒的方法、基于内容的过滤、安全访问控制、虚拟专用网、 安全服务协议以及相应标准的制定、审计跟踪作为防火墙以后的第二道安全防 线，尽可能地提高网络系统的安全性。 天津大学硕士研究生论文第二章网络攻击手段及w e b 应用程序的安全维护 第一节常见的网络攻击手段及其对策 随着信息时代的到来，计算机网络己f = l 益渗透到经济、文化、军事和社会 生活的各个方面，网络安全已成为世界各国普遍关注的焦点，因此，对威胁网 络安全的各种攻击方法及其对策的研究无疑具有重要的理论和实际意义。网络 攻击从实质来看，就是非法用户利用网络漏洞及人为失误而强行进入网络，并 进行一些攻击和破坏，所以也可称其为入侵。 一般而言，入侵行为不仅指来自外部的攻击，同时也指内部用户的未授权 活动。从入侵策略的角度可将入侵行为分为：试图闯入或成功闯入、冒充其他 用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等6 个方面。 d o r o t h yd e n n n i n g 在1 9 8 6 年的入侵监测模型中提到的入侵行为主要有以下几 种：试图闯入、假面或企图闯入、合法用户的渗透、合法用户的泄露、合法用 户的推断、特洛伊木马、病毒、拒绝服务等。将入侵攻击行为分为单用户单终 端( s i s t ) 、单用户多终端( s i m t ) 、多用户多终端m i m t ) 三大类。本章主要介绍 几种常见的网络攻击方法。 2 1 1 拒绝服务攻击( d o sa t t a c k ) 这种攻击主要是用来攻击域名服务器、路由器以及其他网络操作服务，使 被攻击者无法提供正常的服务。这是危害极大的攻击方式，严重的时候可以使 一个网络瘫痪。拒绝服务的攻击是指一个用户占据了大量的共享资源，使系统 没有剩余的资源给其他用户可用的一种攻击方式。拒绝服务的攻击降低了资源 的可用性，这些资源可以是处理器、磁盘空间、c p u 使用的时间、打印机、调 制解调器，甚至是系统管理员的时间，攻击的结果是减少或失去服务。主要有 两种类型的拒绝服务的攻击：第一种试图去破坏或者毁坏资源，使得无人可以 使用这个资源。如：删除文件、格式化磁盘或切断电源，这些行为都可以实现 拒绝服务攻击。几乎所有的攻击都可以通过限制访问关键帐户和文件并且保护 它们不受那些未授权的用户访问方式来防止。如果采取了好的安全策略来保护 系统的整体安全，也可以防止破坏性的拒绝服务攻击。第二种类型是过载一些 系统服务或者消耗一些资源，这些行为也许是攻击者故意的行为，也许是一个 用户无意中的错误所致。通过这些方式阻止其他用户使用这些服务。上述第 二种拒绝服务攻击可能是由用户犯的错误或者是失控的程序造成的，而不是有 意攻击。常见的针对网络的拒绝服务攻击有以下几种： * i l l 务过载：当大量的服务请求发向一台计算机中的服务守护进程时，就会 天津大学硕士研究生论文第二章网络攻击手段及w e b 应用程序的安全维护 发生服务过载。这些请求可以通过许多方式发出，在分时机制中，大量的请求 使得计算机过于繁忙地处理到来的服务请求，以至于无法处理常规的任务，同 时，许多新到来的请求由于没有空间放置而被丢弃。如果攻击的是一个基于t c p 协议的服务，那么这些请求的包还会被重发，就更加重了网络的负担。 消息流：消息流发生于用广向网络上的一台目标主机发送大量的数据包， 来延缓目标主机的处理速度，阻止它处理正常的任务的这种情况。这些请求可 能时请求文件服务、要求登录或者仅仅是简单的要求响应包。无论是什么形式， 大量的服务请求加重了目标主机的处理器负载，使目标主机消耗了大量的资源 来响应这些请求。极端的情况，这种攻击可以引起目标主机因为没有内存来做 缓冲，以存放到来的请求或者因为其他错误而死机。这种攻击主要针对网络服 务器。 “粘住”攻击：许多u n i x 系统中的t c p i p 实现程序，存在着各种各样 被滥用的可能。攻击时，可以使用t c p 的半连接耗尽资源。t c p 连接通过三次 握手来建立一个连接与设置参数。如果攻击者发出多个连接请求，初步建立了 连接，但又没有完成其后的连接步骤，接受者便会保留许多这种连接，占据着 有限的资源。通常这些连接请求使用的伪造的源地址，表明连接来自于一台不 存在的主机或者一台无法访问的主机，这样就没有办法去跟踪这个连接，唯一 可以做的是等待，等这个连接因为超时而被释放。这种情况下，用户可做的事 情极其有限。当然用户可以修改操作系统的源冯，使它有一个可调的超时值， 有很好的记录功能，在拒绝新到来的连接之前，对同时存在的半连接数目有一 个限制，但这些修改并不容易。最好的办法就是拒绝那些防火墙外面的未知主 机或网络的连接请求。 s y n - - f l o o d i n g 攻击 在s y n f l o o d i n g 攻击中，使用一个伪装的地址向目标计算机发送网络请求 叫做s y n 。这种技术叫做i p 欺骗技术。入侵者尽可能地发送这样的请求，以便 占用目标计算机尽量多的资源。 当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服 务，接着回复请求一个肯定答复( 叫做s y n a c k ) 。由于s y n - a c k 返回一个伪装 的地址，没有任何响应，于是目标计算机将继续设法发送s y n a c k 。一些系统 都有缺省的回复次数和超时时间，只有回复一定的次数，或者超时时，占用的 资源才会释放。w i n d o w sn t 3 5 和4 0 中缺省设置为可重复发送s y n - a c k 答复5 次。每次重新发送后，等待时间翻番。第一次等待时间为3 秒，到第五次重发 信号时，机器将等待4 8 秒钟才得到响应。如果还是得不到响应，机器还要等待 9 6 秒，才取消分配给连接的资源。在这些资源获得释放之前，已经过去了1 8 9 秒。 天津大学硕士研究生论文第二章网络攻击手段及w e b 应用程序的安全维护 d d o s ( 分布式拒绝服务) 攻击 这是一种特殊形式的拒绝服务攻击方式，其原理是利用攻击者已经入侵并 控制的主机( 可能是数百台) ，对某一单机发起攻击。在悬殊的带宽力量对比下， 被攻击的主机会很快失去反应。这种攻击方式被证实是非常有效的，而且非常 难以抵挡。但这种攻击方式的实现有一定的难度，一般人比较难以顺利实施。 目前，有几种方式可以查到这种攻击。但由于这种攻击的主要目标是