网络安全管理

1、网络安全管理 2009年09月25日 一、网络安全的主要问题 计算机网络所面临的安全威胁大体可分 为两种：一是对网络中信息的威胁；二 是对网络中设备的威胁。影响计算机网 络的因素很多，有些因素可能是有意的， 也可能是无意的；可能是人为的，也可 能是非人为的；可能是外来黑客对网络 系统资源的非法使有，归结起来，针对 网络安全的威胁主要有三： (1)人为的无意失误：如操作员安全配置 不当造成的安全漏洞，用户安全意识不 强，用户口令选择不慎，用户将自己的 帐号随意转借他人或与别人共享等都会 对网络安全带来威胁。 (2)人为的恶意攻击：这是计算机网络所面临的 最大威胁，敌手的攻击和计算机犯罪就属于这

2、一类。此类攻击又可以分为以下两种：一种是 主动攻击，它以各种方式有选择地破坏信息的 有效性和完整性；另一类是被动攻击，它是在 不影响网络正常工作的情况下，进行截获、窃 取、破译以获得重要机密信息。这两种攻击均 可对计算机网络造成极大的危害，并导致机密 数据的泄漏。 (3)网络软件的漏洞和“后门”：网络软件不可能 是百分之百的无缺陷和无漏洞的，然而，这些 漏洞和缺陷恰恰是黑客进行攻击的首选目标， 曾经出现过的黑客攻入网络内部的事件，这些 事件的大部分就是因为安全措施不完善所招致 的苦果。另外，软件的“后门”都是软件公司的 设计编程人员为了自便而设置的，一般不为外 人所知，但一旦“后门”洞开，其造

3、成的后果将 不堪设想。 二、网络安全技术介绍 2.1 加密技术 2.1.1加密技术介绍 加密技术是ec采取的主要安全措施,贸易 方可根据需要在信息交换的阶段使用 。 目前,加密技术分为两类,即对称加密和非 对称加密。 对称加密技术存在着在通信的贸易方之 间确保密钥安全交换的问题。此外,当某 一贸易方有n个贸易关系，那么他就要 维护n个专用密钥(即 每把密钥对应一 贸易方)。对称加密方式存在的另一个问 题是无法鉴别贸易发起方或贸易最终方。 因为贸易双方共享同一把专用密钥,贸易 双方的任何信息都是通过这把密钥加密 后传送给对方的。 数据加密标准(des)由美国国家标准局提 出,是目前广泛采用的对称

4、加密方式之一， 主要应用于银行业中的电子资金转帐 (eft)领域。des的密钥长度为56位。三 重des是des的一种变形。这种方法使用 两个独立的56位密钥对交换的信息(如 edi 数据)进行3次加密,从而使其有效密 钥长度达到112位。 非对称加密/公开密钥加密 在非对 称加密体系中，密钥被分解为一对(即一 把公开密钥或加密密钥和一把 专用密钥 或解密密钥)。这对密钥中的任何一把都 可作为公开密钥(加密密钥)通过 非保密 方式向他人公开，而另一把则作为专用 密钥(解密密钥)加以保存。公开密钥用于 对机密性的加密，专用密钥则用于对加 密信息的解密。 2.1.2、密钥管理技术 对称密钥管理 对

5、称加密是基于共同保守 秘密来实现的。采用对称加密技术的贸易双方 必须 要保证采用的是相同的密钥，要保证彼此 密钥的交换是安全可靠的，同时还要设定 防止 密钥泄密和更改密钥的程序。这样，对称密钥 的管理和分发工作将变成一件潜 在危险的和繁 琐的过程。 公开密钥管理/数字证书 贸易伙伴间可 以使用数字证书(公开密钥证书)来交换公开密 钥。国际电信联 盟(itu)制定的标准x.509(即 信息技术-开放系统互连-目录:鉴别框架)对数 字证 书进行了定义该标准等同于国际标准化组 织(iso)与国际电工委员会(iec)联合发 布的 iso/iec 9594-8:195标准。数字证书通常包含有 唯一标识证

6、书所有者(即贸易方)的名称、 唯一 标识证书发布者的名称、证书所有者的公开密 钥、证书发布者的数字签名、 证书的有效期及 证书的序列号等。 2.1.3、数字签名 数字签名是公开密钥加密 技术的另一类应用。它的主要方式是:报文的发 送方 从报文文本中生成一个128位的散列值(或 报文摘要)。发送方用自己的专用密钥对 这个 散列值进行加密来形成发送方的数字签名。然 后，这个数字签名将作为报文的 附件和报文一 起发送给报文的接收方。报文的接收方首先从 接收到的原始报文中 计算出128位的散列值(或 报文摘要)，接着再用发送方的公开密钥来对报 文附加的 数字签名进行解密。如果两个散列值 相同，那么接收

7、方就能确认该数字签名是发送 方的。通过数字签名能够实现对原始报文的鉴 别和不可抵赖性。 2.1.4、internet主要的安全协议 ssl ssl(安全槽层)协议是由netscape公司研 究制定的安全协议，该协议向基于tc p/ip的客户/ 服务器应用程序提供了客户端和服务器的鉴别、数 据完整性及信息机 密性等安全措施。 s-http s-http(安全的超文本传输协议)是 对http扩充安全特性、增加了报文的安全 性，它 是基于ssl技术的。该协议向www的应用提供完 整性、鉴别、不可抵赖性及机 密性等安全措施。 2.2.防火墙技术 防火墙技术是建立在现代通信网络技术和信 息安全技术基础上

8、的应用性安全技术，越来 越多地应用于专用网络与公用网络的互联环 境之中，尤其以接入 internet 网络为最甚。 防火墙是指设置在不同网络（如可信任 的企业内部网和不可信的公共网）或网 络安全域之间的一系列部件的组合。它 是不同网络或网络安全域之间信息的唯 一出 入口，能根据企业的安全政策控制 （允许、拒绝、监测）出入网络的信息 流，且本身具有较强的抗攻击能力。它 是提供信息安全服务，实现网络和信息 安全的基础设 施。 2.2.2 防火墙能做什么？ 防火墙是网络安全的屏障：防火墙是网络安全的屏障： 防火墙可以强化网络安全策略：防火墙可以强化网络安全策略： 对网络存取和访问进行监控审计：对网络

9、存取和访问进行监控审计： 防止内部信息的外泄：防止内部信息的外泄： 2.2.3 防火墙的种类 防火墙技术可根据防范的方式和侧重点的不 同而分为很多种类型，但总体来讲可分为二 大类：分组过滤、应用代理。 2.2.6 复合型防火墙 由于对更高安全性的要求，常把基于包过滤 的方法与基于应用代理的方法结合起来，形 成复合型防火墙产品。这种结合通常是以下 两种方案。 2.2.8 nat 技术 nat 技术能透明地对所有内部地址作转 换，使外部网络无法了解内部网络的内 部结构，同时使用 nat 的网络，与外部 网络的连接只能由内部网络发起，极大 地提高了内部网络的安全性。 nat 的另 一个显而易见的用途

10、是解决 ip 地址匮乏 问题。 2.2.9. 防火墙的局限性 存在着一些防火墙不能防范的安全威胁，如 防火墙不能防范不经过防火墙的攻击。例如， 如果允许从受保护的网络内部向外拨号，一 些用户就可能形成与 internet 的直接连接。 另外，防火墙很难防范来自于网络内部的攻 击以及病毒的威胁。 三、网络攻击及防范 3.1 黑客的定义、黑客的行为统计、黑客的行 为趋势 haacker的愿意是指用来形容 独立思考，然而却奉 公守法的计算机迷以及热衷于设计和编制计算 机程 序的程序设计者和编程人员。然而，随着社会发展 和技术的进 步hacker的定义有了新的演绎，即出 现了一类专门利用计算机犯 罪的

11、人，即那凭借其自 己所掌握 的计算机技术，专门破坏计算机系 统和 网络系统，窃取政治，军事，商业秘密，或者转移 资金帐户，窃 取金钱，以及不露声色地捉弄他人， 秘密进行计算机犯罪的人。 3.2 黑客的行为特征： 1. 恶作剧型 2. 隐蔽攻击型 3定时炸弹型网络内部人员的非法行为. 4. 矛盾制造型 5. 职业杀手型 6. 窃密高手型 7. 业余爱好型 3.3如何防范的网络攻击 3.3.1 实体安全的防范： 3.3.2 基础安全防范： 3.3.3 内部安全防范 3.3.4 账号安全： 3.3.5 安全日志： 3.3.6 目录和文件权限： 3.3.7 预防dos： 四、网络安全评价 对一个网络进行安全评价，要对网络操作系统和网络设备的配置 进行检查。主要内容有： 检查安全管理制度的完善