第10章

網(wǎng)絡安全管理

10.1計算機網(wǎng)絡安全基礎

10.2防火墻技術

10.3網(wǎng)絡防病毒技術

10.4網(wǎng)絡安全策略

上一章返回目錄內容提要：

計算機網(wǎng)絡安全定義、原因、特征計算機網(wǎng)絡安全類別、威脅、防范措施Windows平臺下IIS應用安全網(wǎng)絡安全的評估標準、保護策略防火墻定義、特點、類型計算機病毒和網(wǎng)絡病毒

網(wǎng)絡安全策略

10.1計算機網(wǎng)絡安全基礎

10.1.1計算機網(wǎng)絡安全概述10.1.2計算機安全10.1.3計算機網(wǎng)絡的安全10.1.4網(wǎng)絡安全的評估標準10.1.5網(wǎng)絡安全保護策略10.1.1計算機網(wǎng)絡安全概述

1.計算機網(wǎng)絡安全定義

網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。主要包括以下幾個基本內容：

（l）運行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全

（2）網(wǎng)絡上系統(tǒng)信息的安全

（3）網(wǎng)絡上信息傳播的安全，即信息傳播后果的安全

（4）網(wǎng)絡上信息內容的安全，即狹義的“信息安全”

2.引起網(wǎng)絡安全的原因

（1）操作系統(tǒng)的脆弱性

10.1.1計算機網(wǎng)絡安全概述

①其體系結構本身就是不安全的一種因素。②另一個原因在于它可以創(chuàng)建進程，即使在網(wǎng)絡的節(jié)點上同樣也可以進行遠程進程的創(chuàng)建與激活，更令人不安的是被創(chuàng)建的進程具有可以繼續(xù)創(chuàng)建過程的權力。

③網(wǎng)絡操作系統(tǒng)提供的遠程過程調用（RPC）服務以及它所安排的無口令入口也是黑客的通道。

（2）計算機系統(tǒng)的脆弱性①計算機系統(tǒng)的脆弱性主要來自于操作系統(tǒng)的不安全性，在網(wǎng)絡環(huán)境下，還來源于通信協(xié)議的不安全性。

②存在超級用戶，如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于入侵者。

10.1.1計算機網(wǎng)絡安全概述

③計算機可能會因硬件或軟件故障而停止運轉，或被入侵者利用并造成損失。（3）協(xié)議安全的脆弱性當前計算機網(wǎng)絡系統(tǒng)都使用的TCP／IP協(xié)議以及FTP、E-mail、NFS等都包含著許多影響網(wǎng)絡安全的因素，存在許多漏洞。（4）其他因素①數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性②人為的因素

10.1.1計算機網(wǎng)絡安全概述

（5）各種外部威脅①物理威脅：包括溫度、濕度、雷擊、靜電、水災、火災、地震、電磁、輻射、空氣污染和設備故障等②網(wǎng)絡威脅

③身份鑒別

④編程

⑤系統(tǒng)漏洞3.計算機網(wǎng)絡安全的特征

（1）保密性（security）：信息不泄露給非授權的用戶、實體或過程，并被其利用的特性（2）完整性（integrity）：數(shù)據(jù)未經(jīng)授權不能進行改變10.1.1計算機網(wǎng)絡安全概述

的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可用性（availability）：可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。（4）實用性（utility）：保證信息具有實用的特性。如：信息加密的蜜鑰不能丟失。否者，丟失了密鑰的信息就喪失了其實用性。（5）真實性（authenticity）：指信息的餓可信度。即保證信息具有完整、準確、在傳遞和存儲過程中不被篡改等特性，還應具有對信息內容的控制權。10.1.1計算機網(wǎng)絡安全概述

（6）占有性（possession）：指存儲信息的主機、磁盤和信息載體等不被盜用，并具有該信息的占有權，即保證不喪失對信息的所有權和控制權。4.計算機網(wǎng)絡安全威脅的發(fā)展趨勢

①是Windows組件的漏洞增多以及嚴重信息系統(tǒng)漏洞的不斷涌現(xiàn)勢必成為企業(yè)亟待解決的重要安全問題。

②是在2003年下半年提交的10大惡意代碼中54%都為混合式威脅。

③Blaster是最“得逞”的蠕蟲之一，它針對Windows系統(tǒng)中核心組件的安全漏洞發(fā)動攻擊。

④另一種趨勢也非常明顯。

10.1.1計算機網(wǎng)絡安全概述

⑤在2003年下半年，針對隱私與機密信息的惡意威脅增長得最快。

5.我國網(wǎng)絡及安全情況我國網(wǎng)民人數(shù)增加很快；另一方面，雖然我國各級政府、企事業(yè)單位、網(wǎng)絡公司等陸續(xù)設立自己的網(wǎng)站，電子商務也正以前所未有的速度迅速發(fā)展，但許多應用系統(tǒng)卻處于不設防狀態(tài)，存在著極大的信息安全風險和隱患。

10.1.2計算機安全

1.什么是計算機安全

計算機安全的主要目標是保護計算機資源免受毀壞、替換、盜竊和丟失。這些計算機資源包括計算機設備、存儲介質、軟件和計算機輸出材料和數(shù)據(jù)。計算機部件中經(jīng)常發(fā)生的一些電子和機械故障有：（1）磁盤故障（2）I／O控制器故障（3）電源故障（4）存儲器故障（5）介質、設備和其它備份故障（6）芯片和主板故障等10.1.2計算機安全

2.計算機房場地的安全要求機房建筑和結構從安全的角度，還應該考慮：（1）電梯和樓梯不能直接進入機房。（2）建筑物周圍應有足夠亮度的照明設施和防止非法進入的設施。（3）外部容易接近的進出口，而周邊應有物理屏障和監(jiān)視報警系統(tǒng)，窗口應采取防范措施，必要時安裝自動報警設備。（4）機房進出口須設置應急電話。（5）機房供電系統(tǒng)應將動力照明用電與計算機系統(tǒng)供電線路分開，機房及疏散通道應配備應急照明裝置。10.1.2計算機安全

（6）計算機中心周圍100m內不能有危險建筑物。（7）進出機房時要更衣、換鞋，機房的門窗在建造時應考慮封閉性能。（8）照明應達到規(guī)定標準。3.設備防盜（1）早期的防盜，采取增加質量和膠粘的方法，即將設備長久固定或粘接在一個地點。

（2）視頻監(jiān)視系統(tǒng)是一種更為可靠的防護設備，能對系統(tǒng)運行的外圍環(huán)境、操作環(huán)境實施監(jiān)控（視）。對重要的機房，還應采取特別的防盜措施，如值班守衛(wèi)，出入口安裝金屬防護裝置保護安全門、窗戶。10.1.2計算機安全

4.機房的三度要求（1）溫度：溫度適宜，應該安裝空調來保持恒定的溫度。（2）濕度：濕度適宜，最好有加濕器等附加設備保持一定的濕度。（3）潔凈度：機房的整潔可令上機者精神飽滿，提高工作效率。5.防靜電措施（1）靜電是由物體間的相互磨擦、接觸而產(chǎn)生的。靜電產(chǎn)生后，由于它不能泄放而保留在物體內，產(chǎn)生很高的電位（能量不大），而靜電放電時發(fā)生火花，造成火災或損壞芯片。計算機信息系統(tǒng)的各個關鍵電路，諸如CPU、ROM、RAM等大都采用MOS工藝的大規(guī)模集成電路，對靜電極為10.1.2計算機安全

敏感，容易因靜電而損壞。這種損壞可能是不知不覺造成的。（2）機房內一般應采用乙烯材料裝修，避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料。6.電源（1）電源線干擾有六類電源線干擾：中斷、異常中斷、電壓瞬變、沖擊、噪聲、突然失效事件。（2）保護裝置電源保護裝置有金屬氧化物可變電阻（MOV）、硅雪崩二極管（SAZD）、氣體放電管（GDT）、濾波器、電壓調整變壓器（VRT）和不間斷電源（UPS）等。10.1.2計算機安全

（3）緊急情況供電重要的計算機房應配置預防電壓不足（電源下跌）的設備，這種設備有如下兩種：①UPS②應急電源（4）調整電壓和緊急開關電源電壓波動超過設備安全操作允許的范圍時，需要進行電壓調整。允許波動的范圍通常在±5%的范圍內。7.接地與防雷（1）地線種類地線主要包括：保護地、直流地、屏蔽地、靜電地、雷擊10.1.2計算機安全

地五種。（2）接地系統(tǒng)計算機房的接地系統(tǒng)是指計算機系統(tǒng)本身和場地的各種接地的設計和具體實施。要求：各自獨立的接地系統(tǒng)，交、直流分開的接地系統(tǒng)，共地接地系統(tǒng)，直流地、保護地共用地線系統(tǒng)，建筑物內共地系統(tǒng)等。（3）接地體接地體包括：地樁，水平柵網(wǎng)，金屬接地板，建筑物基礎鋼筋等。（4）防雷措施機房的外部防雷應使用接閃器、引下線和接地裝置，吸引10.1.2計算機安全

雷電流，并為其泄放提供一條低阻值通道。機器設備應有專用地線，機房本身有避雷設施，設備(包括通信設備和電源設備)有防雷擊的技術設施，機房的內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的。機房的設備本身也應有避雷裝置和設施。8.計算機場地的防火、防水措施為避免火災、水災，應采取如下具體措施：（1）隔離：當發(fā)生火災、水災時，能很好隔離事故地段，防止災情擴大。10.1.2計算機安全

（2）火災報警系統(tǒng)：當發(fā)生火災時，能及時地報警，以便及時的采取有效的措施。

（3）滅火設施：當火災發(fā)生時，有方便的設施能及時地處理火災。（4）管理措施：有效的管理才能預防火災、消滅火災。

10.1.3計算機網(wǎng)絡的安全

1.計算機網(wǎng)絡安全的類別

根據(jù)國家計算機安全規(guī)范，可把計算機的安全大致分為三類。一是實體安全，包括機房、線路，主機等；二是網(wǎng)絡與信息安全，包括網(wǎng)絡的暢通、準確及其網(wǎng)上的信息安全；三是應用安全，包括程序開發(fā)運行、輸入輸出、數(shù)據(jù)庫等的安全。下面重點探討第二類網(wǎng)絡與信息的安全問題。網(wǎng)絡信息安全可以歸結為以下幾類:（1）基本安全類

包括訪問控制、授權、認證、加密和內容安全等。

（2）管理與記賬類包括安全策略管理、企業(yè)范圍內的集中管理、記賬、實時監(jiān)控，報警等功能。10.1.3計算機網(wǎng)絡的安全

（3）網(wǎng)絡互聯(lián)設備安全類網(wǎng)絡互聯(lián)設備包括路由器、通信服務器、交換機等，網(wǎng)絡互聯(lián)設備安全正是針對上述這些互聯(lián)設備而言的，它包括路由安全管理、遠程訪問服務器安全管理、通信服務器安全管理以及交換機安全管理等。（4）連接控制類主要為發(fā)布企業(yè)消息的服務器提供可靠的連接服務，包括負載均衡、高可靠性以及流量管理等。2.網(wǎng)絡安全的威脅（1）非授權訪問（unauthorizedaccess）：一個非授權的人的入侵。10.1.3計算機網(wǎng)絡的安全

（2）信息泄露（disclosureofinformation）：造成將有價值的和高度機密的信息暴露給無權訪問該信息的人的所有問題。（3）拒絕服務（denialofservice）：使得系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務的所有問題。

3.防范措施

（1）用備份和鏡像技術提高數(shù)據(jù)完整性：預防發(fā)生網(wǎng)絡故障時能迅速恢復網(wǎng)絡服務功能

（2）防毒，捕捉闖入者

（3）補丁程序，修補系統(tǒng)漏洞

（4）提高物理安全

10.1.3計算機網(wǎng)絡的安全

（5）構筑因特網(wǎng)防火墻

（6）廢品處理守則

（7）仔細閱讀日志

（8）加密

（9）提防虛假的安全

（10）執(zhí)行身份鑒別

4.網(wǎng)絡安全攻擊類型網(wǎng)絡安全攻擊類型主要包括：報文竊聽（PacketSniffers），IP欺騙（IPSpoofing），服務拒絕（DenialofService），密碼攻擊（PasswordAttacks），中間人攻擊(Man-in-the-MiddleAttacks)，應用層攻擊（ApplicationLayerAttacks），10.1.3計算機網(wǎng)絡的安全

（TrustExploitation），端口重定向（PortRedirection），未授權訪問（UnauthorizedAccess），病毒與特洛伊木馬應用（VirusandTrojanHorseApplications）等。

5.確保網(wǎng)絡安全的措施

由于網(wǎng)絡安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。

6.

Windows平臺下IIS應用安全

IIS是微軟Web服務的集成軟件可以提供WWW、FTP、SMTP等服務。用戶可以很方便的建立自己基于Windows的IIS服務器，但其安全性比其它系統(tǒng)弱。（1）IIS安全機制

IIS的安全依賴于Windows系統(tǒng)的安全。10.1.3計算機網(wǎng)絡的安全

①IIS的用戶也是Windows的用戶②IIS目錄的權限依賴于WindowsNTFS系統(tǒng)權限（2）IIS安全安裝①不要安裝在系統(tǒng)目錄上

②修改IIS默認安裝路徑

③安裝在NTFS分區(qū)中

④定制服務

（3）IIS安全配置①虛擬目錄配置

10.1.3計算機網(wǎng)絡的安全

②文件目錄配置

③文件目錄權限

④應用程序映射

⑤限制IIS服務接受URL請求的長度

⑥保護日志安全

6.影響網(wǎng)絡信息安全的因素現(xiàn)今的網(wǎng)絡信息安全存在的威脅主要表現(xiàn)在以下幾個方面：（1）非授權訪問。指對網(wǎng)絡設備及信息資源進行非正常使用或越權使用等。（2）冒充合法用戶。主要指利用各種假冒或欺騙的10.1.3計算機網(wǎng)絡的安全

的手段非法獲得合法用戶的使用權限，以達到占用合法用戶資源的目的。（3）破壞數(shù)據(jù)的完整性。指使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。（4）干擾系統(tǒng)正常運行。指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應時間等手段。（5）病毒與惡意攻擊。指通過網(wǎng)絡傳播病毒或惡意Java、XActive等。（6）線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。

10.1.4網(wǎng)絡安全的評估標準

1、我國評價標準

（1）用戶自主保護級

（2）系統(tǒng)審計保護級

（3）安全標記保護級

（4）結構化保護級：

（5）訪問驗證保護級：2.

國際評價標準其他子系統(tǒng)（如數(shù)據(jù)庫和網(wǎng)絡）也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別，共7小類。（1）D級是最低的安全級別

10.1.4網(wǎng)絡安全的評估標準

（2）C1是C類的一個安全子級。

（3）C2又稱受控的安全訪問控制級。

（4）B級中有三個級別，B1級即標志安全保護

（5）B2級，又叫結構保護級別（StructuredProtection）

（6）B3級，又叫做安全域級別（SecurityDomain）

（7）A級，又稱驗證設計級別（VerifiedDesign）

10.1.5網(wǎng)絡安全保護策略

所謂安全保護策略是指一個網(wǎng)絡對安全問題所采取的原則，對安全使用網(wǎng)絡資源的具體要求，以及保證網(wǎng)絡系統(tǒng)安全運行的措施。1.安全缺口

為什么會存在安全缺口呢?有下面四個因素:（1）網(wǎng)絡設備種類繁多—當前使用的有各種各樣的網(wǎng)絡設備，從WindowsNT和UNIX服務器到防火墻、路由器和Web服務器，每種設備均有其獨特的安全狀況和保密功能；（2）訪問方式的多樣化—般來說，網(wǎng)絡環(huán)境存在多種進出方式，許多過程拔號登錄點以及新的Internet訪問方式可能會使安全策略的設立復雜化；（3）網(wǎng)絡的不斷變化—網(wǎng)絡不是靜態(tài)的，一直都處于發(fā)展10.1.5網(wǎng)絡安全保護策略

變化中。啟用新的硬件設備和操作系統(tǒng)，實施新的應用程序和Web服務器時，安全配置也有不盡相同；（4）用戶保安專業(yè)知識的缺乏—許多組織所擁有的對網(wǎng)絡進行有效保護的保安專業(yè)知識十分有限，這實際上是造成安全缺口最為主要的一點。2.計算機網(wǎng)絡的安全策略（1）物理安全策略（2）訪問控制策略①入網(wǎng)訪問控制②網(wǎng)絡的權限控制③目錄級安全控制

10.1.5網(wǎng)絡安全保護策略

④屬性安全控制

⑤網(wǎng)絡服務器安全控制

⑥網(wǎng)絡監(jiān)測和鎖定控制

⑦網(wǎng)絡端口和節(jié)點的安全控制

⑧維護網(wǎng)絡時的責任

3.在制定網(wǎng)絡安全策略時應當考慮如下因素：

L對于內部用戶和外部用戶分別提供哪些服務程序l

初始投資額和后續(xù)投資額l

方便程度和服務效率

l

復雜程度和安全等級的平衡

l

網(wǎng)絡性能10.2防火墻技術

10.2.1防火墻基礎

10.2.2企業(yè)防火墻的構建

10.2.1防火墻基礎

1.防火墻的概念從本質上說，防火墻遵從的是一種允許或阻止業(yè)務往來的網(wǎng)絡通信安全機制，也就是提供可控的過濾網(wǎng)絡通信，只允許授權的通信。圖10-1簡單地表示了防火墻在網(wǎng)絡中的位置。圖10-1防火墻在網(wǎng)絡中的位置

10.2.1防火墻基礎

2.防火墻的作用

（1）限制人們從一個特別的控制點進入（2）防止侵入者接近其他防御設施（3）限定人們從一個特別的點離開（4）有效的阻止破壞者對計算機系統(tǒng)進行破壞3.防火墻的優(yōu)缺點

（1）優(yōu)點①防火墻能強化安全策略

②防火墻能有效地記錄Internet上的活動

③防火墻限制暴露用戶點

④防火墻是一個安全策略的檢查站

10.2.1防火墻基礎

（2）防火墻的不足之處

①不能防范惡意的知情者

②防火墻不能防范不通過它的連接

③防火墻不能防備全部的威脅

④防火墻不能防范病毒5.防火墻類型防火墻的類型一般有以下幾種：（1）數(shù)據(jù)包過濾型

10.2.1防火墻基礎包過濾一直是一種簡單而有效的方法。

圖10-2使用包過濾路由器對數(shù)據(jù)包進行過濾

①包過濾技術可以允許或不允許某些包在網(wǎng)絡上傳遞，它依據(jù)以下的判據(jù)：

l

將包的目的地址作為判據(jù)

l

將包的源地址作為判據(jù)

L

將包的傳送協(xié)議作為判據(jù)10.2.1防火墻基礎②包過濾系統(tǒng)只能可以進行類似以下情況的操作：

l

不讓任何用戶從外部網(wǎng)用Telnet登錄

l允許任何用戶使用SMTP往內部網(wǎng)發(fā)電子郵件

l只允許某臺機器通過NNTP往內部網(wǎng)發(fā)新聞

③包過濾優(yōu)點如果站點與因特網(wǎng)間只有一臺路由器，那么不管站點規(guī)模有多大，只要在這臺路由器上設置合適的包過濾，站點就可獲得很好的網(wǎng)絡安全保護。④包過濾的缺點

l在機器中配置包過濾規(guī)則比較困難

l對系統(tǒng)中的包過濾規(guī)則的配置進行測試也較麻煩

10.2.1防火墻基礎

l許多產(chǎn)品的包過濾功能有這樣或那樣的局限性，要找一個（2）代理服務型代理服務是運行在防火墻主機上的一些特定的應用程序或者服務程序。也可以是一些可以訪問因特網(wǎng)并可被內部主機訪問的堡壘主機。圖10-3中形象地表示了代理實現(xiàn)的過程。

圖10-3代理實現(xiàn)的過程

10.2.1防火墻基礎應用代理的優(yōu)點、缺點：l

在網(wǎng)絡連接建立之前可以對用戶身份進行認證l

代理服務允許用戶“直接”訪問因特網(wǎng)l

所有通過防火墻的信息流可以被記錄下來l

易于配置l

支持內部網(wǎng)絡的信息隱藏l

與分組過濾規(guī)則相比簡單易于控制和管理l

對每種類型的服務都需要一個代理l

網(wǎng)絡性能不高l

防火墻對用戶不透明l

10.2.1防火墻基礎

l客戶應用可能需要修改

l需要多個防火墻主機

l

代理服務落后于非代理服務

l

代理服務不能保護你不受協(xié)議本身缺點的限制

l代理服務對某些服務來說是不合適的

（3）子網(wǎng)過濾型防火墻

最簡單的形式為兩個過濾路由器，每一個都連接到參數(shù)網(wǎng)，一個位于參數(shù)網(wǎng)（又稱為DMZ）與內部的網(wǎng)絡之間，另一個位于參數(shù)網(wǎng)與外部網(wǎng)絡之間。

10.2.1防火墻基礎

①非軍事區(qū)（De-MilitarizedZone，DMZ）：也稱為周界網(wǎng)絡，是在內外部網(wǎng)之間另加的一層安全保護網(wǎng)絡層

圖10-4子網(wǎng)過濾型防火墻體系結構

10.2.1防火墻基礎

②堡壘主機

③內部路由器

④外部路由器

（4）防火墻的各種變化和組合l

使用多堡壘主機l

合并內部路由器與外部路由器l

合并堡壘主機與外部路由器l

合并堡壘主機與內部路由器l

使用多臺內部路由器l

使用多臺外部路由器l

使用多個參數(shù)網(wǎng)絡10.2.1防火墻基礎l

使用雙重宿主主機與子網(wǎng)過濾（5）防火墻實現(xiàn)策略(cont.)

對防火墻系統(tǒng)而言，共有兩層網(wǎng)絡安全策略：

①網(wǎng)絡服務訪問策略：是高層策略

②防火墻設計策略：是低層策略

（6）對防火墻技術的展望：幾點趨勢

①

防火墻將從目前對子網(wǎng)或內部網(wǎng)管理的方式向遠程上網(wǎng)集中管理的方式發(fā)展②

過濾深度不斷加強，從目前的地址、服務過濾，發(fā)展到

URL（頁面）過濾，關鍵字過濾和對ActiveX、Java等的過濾，并逐漸有病毒掃除功能

10.2.1防火墻基礎

③

單向防火墻（又叫網(wǎng)絡二極管）將作為一種產(chǎn)品門類而出現(xiàn)④

利用防火墻建立專用網(wǎng)(VPN)是較長一段時間的用戶使用的主流，IP的加密需求越來越強，安全協(xié)議的開發(fā)是一大熱點⑤

對網(wǎng)絡攻擊的檢測和告警將成為防火墻的重要功能⑥安全管理工具不斷完善，特別是可疑活動的日志分析工具等將成為防火墻產(chǎn)品中的一部分

10.2.1防火墻基礎

（7）選擇防火墻的原則防火墻產(chǎn)品往往有上千種，如何在其中選擇最符合需要的產(chǎn)品；是消費者最關心的事。在選購防火墻軟件時，應該考慮以下幾點。①防火墻應該是一個整體網(wǎng)絡的保護者②防火墻必須能彌補其它操作系統(tǒng)的不足③防火墻應該為使用者提供不同平臺的選擇④防火墻應能向使用者提供完善的售后服務

10.2.2企業(yè)防火墻的構建

1.企業(yè)網(wǎng)絡的現(xiàn)狀信息化已成為國際性發(fā)展趨勢，作為國民經(jīng)濟信息化的基礎，企業(yè)信息化建設受到國家和企業(yè)的廣泛重視。2.企業(yè)網(wǎng)絡的安全要求網(wǎng)絡互聯(lián)融入到社會的各個方面，網(wǎng)絡的安全，包括網(wǎng)上信息數(shù)據(jù)安全和網(wǎng)絡設備服務的運行安全，日益成為與國家、政府、企業(yè)、個人的利益休戚相關的大事。3.企業(yè)網(wǎng)絡安全的威脅企業(yè)網(wǎng)絡面臨的安全威脅大體可分為兩種：一是對網(wǎng)絡數(shù)據(jù)的威脅；二是對網(wǎng)絡設備的威脅。

4.網(wǎng)絡安全元素

10.2.2企業(yè)防火墻的構建

物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權限，防止用戶越權操作；確保網(wǎng)絡設備有一個良好的電磁兼容工作環(huán)境；建立完備的機房安全管理制度；妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動。

5.企業(yè)網(wǎng)絡安全的實現(xiàn)（1）網(wǎng)絡隔離

（2）防火墻

6.提高企業(yè)內部網(wǎng)安全性的幾個步驟：

（1）限制對網(wǎng)關的訪問和網(wǎng)關上的賬號數(shù)，不允許在網(wǎng)絡上進行根注冊10.2.2企業(yè)防火墻的構建

（2）不信任任何人，網(wǎng)關不信任任何機器（3）不要用NFS向網(wǎng)關傳輸或接收來自網(wǎng)關的任何文件系統(tǒng)（4）不要在網(wǎng)關上使用NIS（網(wǎng)絡信息服務）（5）制訂和執(zhí)行一個非網(wǎng)關機器上的安全性方針（6）關閉所有多余服務和刪除多余程序（7）刪除網(wǎng)關的所有多余程序（遠程登錄、rlogin、FTP等等）（8）定期閱讀系統(tǒng)記錄

7.企業(yè)Intranet安全解決方案

10.2.2企業(yè)防火墻的構建

8.網(wǎng)絡信息安全產(chǎn)品

為了實施上面提出的安全體系，可采用防火墻產(chǎn)品來滿足其要求。采用NetScreen公司的硬件防火墻解決方案NetScreen-10&NetScreen-100可以滿足以下功能。

(1)訪問控制

(2)普通授權與認證

(3)內容安全

(4)加密

(5)網(wǎng)絡設備安全管理

10.2.2企業(yè)防火墻的構建

(6)集中管理實施一個企業(yè)一種安全策略，實現(xiàn)集中管理、集中監(jiān)控等。(7)提供記賬、報警功能

實施移動方式的報警功能，包括E-mail、SNMP等。9.企業(yè)防火墻應用方案示例（1）本方案的目的與要求①

所有內部網(wǎng)絡與外部網(wǎng)絡之間的信息通新信都通過防火墻②

保證現(xiàn)有運行環(huán)境完整，不影響正常工作③

外部網(wǎng)絡應能找到域名解析服務器；郵件能穿過防火墻10.2.2企業(yè)防火墻的構建

到達指定目的地②

根據(jù)IP地址、協(xié)議類型、端口等進行數(shù)據(jù)包過濾③

能夠限定指定的內部主機和網(wǎng)絡與外部網(wǎng)絡通信④雙向NAT功能，保護了內網(wǎng)地址及對外服務器的IP⑤通過IP與MAC地址綁定防止IP盜用防止IP欺騙；防DoS攻擊；可以對特定網(wǎng)頁地址進行過濾

（2）本方案的防火墻安裝①防火墻的廣域網(wǎng)端口與路由器連接

10.2.2企業(yè)防火墻的構建

②防火墻DMZ端口接郵件服務器、DNS服務器、代理服務器，WWW服務器③防火墻Trusted端口接內部主網(wǎng)④配置NetScreen防火墻內部網(wǎng)絡地址

圖10-5企業(yè)防火墻應用方案示例

10.2.2企業(yè)防火墻的構建

（3）防火墻策略設置①DMZ區(qū)中的郵件服務器對外只開放SMTP，POP3端口，只允許內部網(wǎng)絡的特定IP地址遠程控制本機②DMZ區(qū)中的DNS服務器對外只開放DNS域名解析服務，只允許內部網(wǎng)絡的特定IP地址遠程控制本機③DMZ區(qū)中的WEB服務器對外只開放HTTP的80服務端口，只允許內部網(wǎng)絡的特定IP地址遠程控制本機④

DMZ區(qū)中的FTP服務器對外只開放FTP的21服務端口，只允許內部網(wǎng)絡的特定IP地址遠程控制本機⑤

對于內部網(wǎng)絡主機開放由內部網(wǎng)絡發(fā)起的網(wǎng)絡連接，并且只允許HTTP、FTP、DNS、SMTP、POP3協(xié)議通過10.2.2企業(yè)防火墻的構建

對內部網(wǎng)中可以遠程控制DMZ區(qū)的主機進行IP與MAC地址綁定，以防止IP地址欺騙

隨著網(wǎng)絡攻擊手段不斷多樣化，簡單的采用多種孤立的安全手段已不能滿足我們的需求。上例雖然可以在一定程度上降低網(wǎng)絡攻擊對企業(yè)網(wǎng)絡的風險，但是無法徹底杜絕這種風險。企業(yè)網(wǎng)絡安全是一個系統(tǒng)的、全局的管理問題.網(wǎng)絡上的任何一個漏洞，都會導致全網(wǎng)的安全問題，我們應該應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。

10.3網(wǎng)絡防病毒技術

10.3.1計算機病毒和網(wǎng)絡病毒

10.3.2網(wǎng)絡計算機病毒的防治措施

10.3.1計算機病毒和網(wǎng)絡病毒

1.計算機病毒和網(wǎng)絡病毒計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害的程序中，能生成自身的復制并將其插入其它的程序中，執(zhí)行惡意的行動。

2.計算機病毒的生命周期

（1）開發(fā)期（2）傳染期（3）傳染期（4）發(fā)作期（5）發(fā)現(xiàn)期10.3.1計算機病毒和網(wǎng)絡病毒

（6）消化期

（7）消亡期

3.計算機病毒的特性

（1）計算機病毒的程序性（可執(zhí)行性）

（2）計算機病毒的傳染性

（3）計算機病毒的潛伏性

（4）計算機病毒的可觸發(fā)性

（5）計算機病毒的破壞性

（6）攻擊的主動性

10.3.1計算機病毒和網(wǎng)絡病毒

（7）病毒的針對性

（8）病毒的非授權性

（9）病毒的隱蔽性

（10）病毒的衍生性

（11）病毒的寄生性（依附性）

（12）病毒的不可預見性

（13）計算機病毒的欺騙性

（14）計算機病毒的持久性

4.計算機病毒的分類

10.3.1計算機病毒和網(wǎng)絡病毒

（1）按照計算機病毒攻擊的系統(tǒng)分類①攻擊DOS系統(tǒng)的病毒。這類病毒出現(xiàn)的最早。②攻擊Windows系統(tǒng)的病毒。由于Windows的圖形用戶界面（GUI）和多任務操作系統(tǒng)深受用戶的歡迎，Windows正逐漸取代DOS，從而成為病毒攻擊的主要對象。目前發(fā)現(xiàn)的首例破壞計算機硬件的CIH病毒就是一個Windows95/98病毒。③攻擊UNIX系統(tǒng)的病毒。當前，UNIX系統(tǒng)應用非常廣泛，并且許多大型的操作系統(tǒng)均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對人類的信息處理也是一個嚴重的威脅。④攻擊OS/2系統(tǒng)的病毒。世界上已經(jīng)發(fā)現(xiàn)第一個攻擊OS/2系統(tǒng)的病毒，它雖然簡單，但也是一個不祥之兆。

10.3.1計算機病毒和網(wǎng)絡病毒

（2）按照病毒的攻擊機型分類①攻擊微型計算機的病毒。這是世界上傳染最為廣泛的一種病毒。②攻擊小型機的計算機病毒。小型機的應用范圍是極為廣泛的，它既可以作為網(wǎng)絡的一個節(jié)點機，也可以作為小的計算機網(wǎng)絡的主機。起初，人們認為計算機病毒只有在微型計算機上才能發(fā)生而小型機則不會受到病毒的侵擾，但自1988年11月份Internet網(wǎng)絡受到worm程序的攻擊后，使得人們認識到小型機也同樣不能免遭計算機病毒的攻擊。③攻擊工作站的計算機病毒。近幾年，計算機工作站有了較大的進展，并且應用范圍也有了較大的發(fā)展，所以不難想象，攻擊計算機工作站的病毒的出現(xiàn)也是對信息系統(tǒng)的一大威脅。

10.3.1計算機病毒和網(wǎng)絡病毒

（3）按照計算機病毒的鏈結方式分類

①源碼型病毒

②嵌入型病毒

③外殼型病毒

④操作系統(tǒng)型病毒

（4）按照計算機病毒的破壞情況分類

①良性計算機病毒

②惡性計算機病毒

（5）按照計算機病毒的寄生部位或傳染對象分類

10.3.1計算機病毒和網(wǎng)絡病毒

①磁盤引導區(qū)傳染的計算機病毒

②操作系統(tǒng)傳染的計算機病毒

③可執(zhí)行程序傳染的計算機病毒

（6）按照計算機病毒激活的時間分類按照計算機病毒激活的時間可分為定時的和隨機的。定時病毒僅在某一特定時間才發(fā)作，而隨機病毒一般不是由時鐘來激活的。（7）按照傳播媒介分類

①單機病毒

②網(wǎng)絡病毒

10.3.1計算機病毒和網(wǎng)絡病毒

（8）按照寄生方式和傳染途徑分類

①文件病毒

②引導扇區(qū)病毒

③多裂變病毒

④秘密病毒

⑤異形病毒

⑥宏病毒

5.計算機病毒的傳播

（1）計算機病毒的傳播途徑①通過不可移動的設備進行傳播

10.3.1計算機病毒和網(wǎng)絡病毒

②通過移動存儲設備進行傳播最廣泛的傳播途徑③通過網(wǎng)絡進行傳播反病毒所面臨的新課題④通過點對點通訊系統(tǒng)和無線通道傳播預計將來會成為兩大傳播渠道（2）計算機病毒的傳播媒介①存儲介質：磁存儲介質、光存儲介質、固定、移動存儲介質等。②網(wǎng)絡：郵件(SoBig)、網(wǎng)頁(RedLof)、局域網(wǎng)(Funlove)、遠程攻擊(Blaster)、網(wǎng)絡下載等。

10.3.1計算機病毒和網(wǎng)絡病毒

6.計算機病毒的特點和破壞行為（1）計算機病毒的特點根據(jù)對計算機病毒的產(chǎn)生、傳染和破壞行為的分析，總結出病毒有以下幾個主要特點。①

刻意編寫人為破壞②

自我復制能力③

奪取系統(tǒng)控制權④

隱蔽性潛伏性不可預見性

10.3.1計算機病毒和網(wǎng)絡病毒

（2）計算機病毒的破壞行為

①攻擊系統(tǒng)數(shù)據(jù)區(qū)

②攻擊文件

③攻擊內存

④干擾系統(tǒng)運行，使運行速度下降

⑤干擾鍵盤、喇叭或屏幕

⑥攻擊CMOS

⑦干擾打印機

⑧網(wǎng)絡病毒破壞網(wǎng)絡系統(tǒng)，非法使用網(wǎng)絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡帶寬等。

10.3.1計算機病毒和網(wǎng)絡病毒

7.病毒的發(fā)展趨勢在當前網(wǎng)絡技術迅速發(fā)展和普及的過程中，計算機病毒也具有新的發(fā)展趨勢，如：（1）多種技術手段的綜合運用：（2）增強隱蔽性（3）網(wǎng)絡成為傳播的主要手段Mail、WWW瀏覽、網(wǎng)絡共享……等使用的越來越廣泛（4）反應時間縮短漏洞被發(fā)現(xiàn)的時間到病毒出現(xiàn)的時間越來越短（5）危害越來越大

10.3.2網(wǎng)絡計算機病毒的防治措施

1.網(wǎng)絡計算機病毒的特點

（1）傳染方式多樣

（2）傳染速度快

（3）清除難度大

（4）破壞性強

（5）網(wǎng)絡病毒還具有可激發(fā)性

2.計算機網(wǎng)絡病毒的防治措施（1）建立、健全法律和管理制度：做到有法可依。（2）加強教育和宣傳。（3）采取更有效的技術措施：技術措施是防治網(wǎng)絡病毒的最直接和有效的措施。例如：系統(tǒng)安全；軟件過濾；文件10.3.2網(wǎng)絡計算機病毒的防治措施

加密；生產(chǎn)過程控制；后備恢復等。（4）在網(wǎng)絡中，盡量多用無盤工作站，不用或少用有軟驅的工作站。（5）在網(wǎng)絡中，要保證系統(tǒng)管理員有最高的訪問權限，避免過多地出現(xiàn)超級用戶。（6）對非共享軟件，將其執(zhí)行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務器上，定期從服務器上拷貝到本地硬盤上進行重寫操作。（7）接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到軟盤上，然后對其進行查毒，確認無毒后再拷貝到本地硬盤上。

10.3.2網(wǎng)絡計算機病毒的防治措施

（8）工作站采用防病毒芯片，這樣可防止引導型病毒。

（9）正確設置文件屬性，合理規(guī)范用戶的訪問權限。（10）建立健全的網(wǎng)絡系統(tǒng)安全管理制度，嚴格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測。（11）目前預防病毒最好的辦法就是在計算機中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網(wǎng)絡防病毒軟件，如LANProtect和LANClearforNetWare等。（12）為解決網(wǎng)絡防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網(wǎng)與Internet，用戶與網(wǎng)絡之間進行隔離。

10.4網(wǎng)絡安全策略

10.4.1Windows2000的安全性

初級安全篇

中級安全篇

高級安全篇

10.4.2路由器和交換機安全策略

10.4.3安全套接字層

10.4.4數(shù)據(jù)信息加密

10.4.1Windows2000的安全性

Windows2000是一種相對安全的操作系統(tǒng)，它包含有很多的安全功能和選項，如果合理的配置它們，那么Windows2000將會是一個很安全的操作系統(tǒng)。

初級安全篇1.物理安全服務器應該安放在安裝了監(jiān)視器的隔離房間內，并且監(jiān)視器要保留15天以上的攝像記錄。2.停掉Guest賬號3.限制不必要的用戶數(shù)量4.創(chuàng)建2個管理員用賬號5.把系統(tǒng)administrator賬號改名10.4.1Windows2000的安全性

6.創(chuàng)建一個陷阱賬號7.刪除“everyone”組對共享文件的完全控制權限圖10-6共享文件夾的權限窗口

8.使用安全密碼

9.設置屏幕保護密碼

10.4.1Windows2000的安全性

10.使用NTFS格式分區(qū)11.運行防毒軟件12.保障備份盤的安全中級安全篇1.利用Win2000的安全配置工具來配置策略2.關閉不必要的服務

3.關閉不必要的端口

圖10-7TCP/IP篩選窗口

10.4.1Windows2000的安全性

4.打開審核策略圖10-8策略設置窗口圖10-9密碼策略窗口

5.開啟密碼策略

6.開啟賬戶策略

在圖10-10的右窗格內進行密碼的設置

10.4.1Windows2000的安全性

7.設定安全記錄的訪問權限圖10-10賬戶鎖定策略窗口8.把敏感文件存放在另外的文件服務器中

9.不讓系統(tǒng)顯示上次登陸的用戶名

10.禁止建立空連接

11.到微軟網(wǎng)站下載最新的補丁程序

10.4.1Windows2000的安全性

高級安全篇1.關閉DirectDraw2.關閉默認共享

3.禁止dumpfile的產(chǎn)生

4.使用文件加密系統(tǒng)EFS圖10-11共享窗口圖10-12系統(tǒng)特性窗口

圖10-13啟動和故障恢復窗口

10.4.1Windows2000的安全性

5.加密temp文件夾6.鎖住注冊表7.關機時清除掉頁面文件8.禁止從軟盤和CDRom啟動系統(tǒng)9.使用智能卡來代替密碼10.使用IPSec

10.4.2路由器和交換機安全策略

現(xiàn)在Cisco路由器和Cisco第三層交換機內置有防火墻功能，并且可通過設置IP訪問列表和與MAC地址綁定等方案對網(wǎng)絡中的數(shù)據(jù)包進行過濾，限制進入或外出網(wǎng)絡的數(shù)據(jù)，從而增強網(wǎng)絡的安全性。對路由器和交換機等網(wǎng)絡設備而言，還應當采取以下安全策略。

1.控制會話超時Router（config-line）#exec-timeoutminutesseconds

2.控制虛擬終端訪問Router(config)

#access-listaccess-list-numberPermitip-address10.4.2路由器和交換機安全策略

Router(config)#linevty04Router(config-line)

#access-classaccess-class-numberin3.控制HTTP訪問Switch(config)#iphttpserver

4.端口安全通過下述命令可設置和校驗端口的安全功能：Switch>(enable)setportsecuritymod-num/port-numenablemac-addressSwitch>(enable)showportmod-num/port-num在基于IOS的交換機啟用和校驗端口安全，可使用下述命令：10.4.2路由器和交換機安全策略

Switch>(config-if)portsecure[max-mac-countmaxinum-mac-count]Switch>(enable)showmac-address-tablesecurity[typemodule/port]

(1)創(chuàng)建訪問控制列表