系统管理系统安全网络安全技术与黑客攻击威胁计算机网络信息安全_计算机-网络信息安全.pdf
《系统管理系统安全网络安全技术与黑客攻击威胁计算机网络信息安全_计算机-网络信息安全.pdf》由会员分享,可在线阅读,更多相关《系统管理系统安全网络安全技术与黑客攻击威胁计算机网络信息安全_计算机-网络信息安全.pdf(6页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、UNIX 系统管理-系统安全-网络安全技术与黑客攻击威胁 引言 企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据 的窃取、伪造和破坏,必须建立企业网络信息系统的安全服务体系。关于计算机信息系统安 全性的定义到目前为止还没有统一,国际标准化组织(ISO)的定义为:“为数据处理系统建立 和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到 破坏、更改和泄露”。计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相 关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要 素。信息安全的隐患存在于信息的共享和传
2、递过程中。目前,浏览器/服务器技术已广泛应 用于企业网络信息系统中,而其基础协议就存在着不少的安全漏洞。一种基本的安全系统网络安全系统,也称为防火墙系统,可以设置在公用网络系统和企业内部网络之 间,或者设置在内部网络的不同网段之间,用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展,对网络的安全服务提出了新的要求。像用 户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求,要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务 体系。黑客攻击企业信息系统的手段 2.1 TCP/IP 协议存在
3、安全漏洞 目前使用最广泛的网络协议是 TCP/IP 协议,而 TCP/IP 协议恰恰存在安全漏洞。如 IP 层 协议就有许多安全缺陷。IP 地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全 隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就 提供了源路由攻击的条件。再如应用层协议 Telnet、FTP、SMTP 等协议缺乏认证和保密措 施,这就为否认、拒绝等欺瞒行为开了方便之门。对运行 TCP/IP 协议的网络系统,存在 着如下五种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。2.2 黑客攻击网络信息系统的手段 黑客攻击的目标不相同,有
4、的黑客注意焦点是美国国防部五角大楼,有的关心是安全局、银 行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性。一般黑客的 攻击大体有如下三个步骤:信息收集T对系统的安全弱点探测与分析T实施攻击。2.2.1 信息收集 信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工 具,收集驻留在网络系统中的各个主机系统的相关信息。SNMP协议用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及 其内部细节。TraceRoute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数。Whois 协议该协议的服务信息能提供所有有关的 DNS 域
5、和相关的管理参数。DNS 服务器该服务器提供了系统中可以访问的主机的 IP 地址表和它们所对应的主机名。Fin ger 协议可以用 Fin ger 来获取一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。Ping 实用程序可以用来确定一个指定的主机的位置。自动 Wardialing 软件可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号 码使其 MODEM 响应。2.2.2 系统安全弱点的探测 在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安 全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主
6、机。自编程序对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会 提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现 这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对 于黑客来讲就变得一览无余了。利用公开的工具象 In ternet 的电子安全扫描程序 IIS(I nternetSecurity Sea nner)、审计网络用 的安全分析工具 SATAN(Security An alysis Toolfor Audit ing Network)等这样的工具,可以对整 个网络或子网进行扫描,寻找安全漏洞。这些工具有两
7、面性,就看是什么人在使用它们。系 统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统 中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的 信息,获取攻击目标系统的非法访问权。2.2.3 网络攻击 黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或 后门,以便在先前的攻击点被发现之后,继续访问这个系统。该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探
8、所在系统的活 动,收集黑客感兴趣的一切信息,如 Telnet 和 FTP 的帐号名和口令等等。该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级 展开对整个系统的攻击。如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私 人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。防火墙的基本思想 如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所 有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同 的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发
9、 生。防火墙有助于提高主系统总体安全性。防火墙的基本思想不是对每台主机系 统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏 蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏 障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。防火 墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网 同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙可以从通信协议的各个层次以 及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。防火墙的技术 已经经历了三个阶段,
10、即包过滤技术、代理技术和状态监视技术。包过滤技术 包过滤防火墙的安全性是基于对包的 IP 地址的校验。在 In ternet 上,所有信息都是以包的形 式传输的,信息包中包含发送方的 IP 地址和接收方的 IP 地址。包过滤防火墙将所有通过的 信息包中发送方 IP 地址、接收方 IP 地址、TCP 端口、TCP 链路状态等信息读出,并按照预 先设定的过滤原则过滤信息包。那些不符合规定的 IP 地址的信息包会被防火墙过滤掉,以 保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力 的。代理技术 代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户
11、机一样 取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器 网络系统的安全缺陷进行数据的窃取伪造和破坏必须建立企业网络信息系统的安全服务体系关于计算机信息系统安全性的定义到目前为止还没有统一国际标准化组织的定义为为数据处理系统建立和采用的技术和管理的安全保护保护安全指系统设备及相关设施的物理保护以免于被破坏和丢失逻辑安全是指信息的可用性完整性和保密性三素信息安全的隐患存在于信息的共享和传递过程中目前浏览器服务器技术已广泛应用于企业网络信息系统中而其基础协议就存络之间或者设置在内部网络的不同网段之间用以保护企业的核心秘密并抵御外来非法攻击随着企业网上业务的不断扩大和
12、电子商务的发展对网络的安全服务提出了新的求像用户认证信息的加密存贮信息的加密传输信息的不可否认性而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封 锁住。这一点对系统安全是很重要的,只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议,如可以过滤 FTP 连接,拒绝使用 FTP put(放置)命令,以保 证用户不能将文件写到匿名服务器。代理服务具有信息隐蔽、保证有效的认证和登录、简化 了过滤规则等优点。网络地址转换服务(NAT Network Address Translation)可以屏蔽内部网 络的 IP 地址,使网络结构对外部来讲是不可
13、见的。状态监视技术 这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块 支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视 RPC(远程过程调用)和 UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。防火墙的类型 4.1 按实现的网络层次分 In ternet 采用 TCP/IP 协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙:包 过滤型 防火墙(Packet Firewall)、电 路网关(Circuit Gateway)和应 用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统管理 系统安全 网络安全 技术 黑客 攻击 威胁 计算机网络 信息 安全 计算机 网络
限制150内