计算机网络的重要功能 是 资 源共 享 和通 信。“ 网络 就 是计 算 机”, 这 是 由美 国 SU N 公司提出的口号 , 由此可见网络在计算机领 域中 的重要 地位。 局域网 技术 不断地 走向 成 熟 , 网速不断地提高 , 从 10 Mb/ s 以太网到 100 Mb/ s 以太 网 , 接着又 到 1000 Mb/ s 以 太 网。与性能不断提高相反 , 建网的价格却在 不断 下降。于 是大 大小小 的公 司纷纷 组建 自 己的局域网 , 稍有实力的 , 就把自己的局域网联到因特网上。
在软件方面 , U NIX 系统早在 20 世纪 80 年代就包含了 TCP/ I P 系 统 , 并 因此获得 了 巨大的成功。Microsoft 公司把网络 功能 也嵌 入到 Windows 操作 系统 , 使 Wi ndows 98/
2000 和 W indo ws N T 真正成为网络操作系统。
网络安全技术是伴随着网络的诞生而出现的 , 但直到 20 世纪 80 年代末才引起关注 , 20 世纪 90 年代获得了飞速的发展。近几年频繁出现的安全 事故引 起了各国 计算机安 全 界的高度重视 , 计 算 机 网 络 安 全 技 术 也 因 此 出 现 了 日 新 月 异 的 变 化。 安 全 核 心 系 统、
V PN 安全隧道、身份认证、网络底层数据 加密 和网络 入侵 主动 监测等 越来 越高深 复杂 的 安全技术 , 从不同层次极大地加强了计算机 网络 的整体 安全 性。安全 核心 系统在 实现 一 个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为 基础 , 支持不同类型的安全硬件产品 , 屏蔽安全 硬件的 变化 对上层 应用 的影 响 , 实 现多 种 网络安全协议 , 并在此之上提供各种安全的计算机网络应用。
本章主要介绍关于网络安全的基本概念、基本原理与基本技术 , 网络安全的威胁和对 策。在此基础上 , 讲述网络安全两种有效的实用技术 : 防火墙和秘密邮件。
4 .1 Internet 安 全
In tern et 的迅速发展 , 给我们带来了一个全新的网络 世界 , 它不仅 改变了我 们的通 信 方式、工作方式 , 也彻底改变着我们的生活方式。但同时也带来了一个日益突出的严峻问 题———网络安全。
一般认为网络安全包括以下几个方面 : 秘密性 , 防止机密和敏感信息的泄露 ;
真实性 , 对方的身份是真实的、可以鉴别的 ;
不可否认性 , 信息的发出者不能否认这些信息源于自己 ; 完整性 , 信息在传输途中没有被篡改 ;
可用性 , 关键业务和服务都是可用的。
目前一致认为因特网需要更多更好的安 全机 制。早在 1994 年 , 在 IAB( 因特 网体 系 结构理 事会 ) 的一次 研讨 会上 , 扩 充与安 全就 被当作 关系 因特 网全局 的两 个最重 要的 问 题了。
第 4 章 计算机网络安全 网络上的安全威胁主要有两类。
(1 ) 偶然发生的威胁 , 如天灾、故障、误操作等。
(2 ) 故意的威胁 , 是第三者恶 意的行 为和 电子商 务对 方的 恶意行 为。来 自恶 意第 三 者 , 如外国间谍、犯罪者、产业间谍和不良职员等。
生活中人们经常听说 , 一黑客又入侵了某一网络 , 使该网络服务全 部瘫痪 ; 一黑客 利 用网络从某一银行盗取了大量钱财。事实上 , 世界上没有绝对安全的网络 , 只要用户的网 络连接了因特网 , 它就存在危险。 安全问 题主 要来 自于两 个方 面。一方 面 TCP/ IP 协 议 本身就存在巨大的安全缺陷 , 包括建立在其 上的 很多服 务。另 一方面 是人 为因素 和自 然 因素。自然因素是一些意外事故 , 如服务器突然断电和发大水冲 坏了网络 等 ; 人 为因素 , 即人为的入侵和破坏 , 这种活动的动机有很多 , 但造成的结 果却是 一样的。20 世 纪 90 年 代早期 , 正是由于 In ternet 的开 放性 和商业 化才 促使 Inte rnet 迅速 发 展。但 开放 性却 带
图 4 1 安全层的结构
来了 系 统 入侵 等 安 全 性 问 题 ( 如 图 4 1 所 示 ) 。 基 于 TCP/ IP 协 议 , 并 采 用 了 Inte r-
n et 的 通 信 标 准 和 We b 信 息 流 通 模 式 的 In tr an et也面临同 样 的问 题 , 因 此 人 们 需 要 一个更 安 全 的 In ternet。 目 前 有 两 种 安 全 服务 : 一是存取控制 , 禁止非 法的通 信和 联 网 ; 二是通信安全服务 , 提供 授权数 据的 完
整性、可靠性 , 具有对同级通信者的访问否定权。
当用户连上 In ternet , 就可在中间插入一个或几个中介系统的控制关联 , 防止通过网 络进行的攻击 , 并提供单一的安全和审计的安装控制点 , 这些中间系统就是防火墙。
局域网技术将网络资源共享的特性充分体现 了出 来 , 越来 越多的 局域 网被应 用在 写 字楼、办公区 , 作为一个小范围的内部网络。但由于局域网中采用广播方式 , 因此 , 若在某 个广播域中就可以侦听到所有的信息包 , 黑客就可以对信息包进行分析 , 那么本广播域的 信息传递都会暴露在黑客面前。局域网采用一些基本措施来进行保护。
事物总是有双面性的 , 因特网一方面给人们带来了经济上的 实惠、通信上的 便捷 ; 另 一方面黑客和病毒的侵扰又把人们置于进退两 难的境 地 , 有的 公司干 脆断 开同因 特网 的 连接。为了保护自身网络 , 同时又可以享受因特网带来的服务 , 人们设计了防火墙。它可 以起到卫士的作用 , 守护着内部网络通向因特网的大门。
4 .1 .1 Internet 主要 服务与安 全威胁
基于 TCP/ I P 协议的服务很多 , 人们比较熟 悉的 有 W WW 服务、F T P 服务和 电子 邮 件服务等 ; 不太熟悉的有 T F T P 服务、NFS 服务和 Finge r 服务等等。这些服务都存在 不 同程度上的安全缺陷。当用户用防火墙保护站点时 , 就需要考虑该提供哪些服务 , 要禁止 哪些服务。在这里只对一些常用服务做简单 介绍。如 果对 其他的 服务 也感兴 趣 , 请参 看 计算机网络安全系列丛书中的其他书籍。
图 4 2 显示了 In ternet 的主要服务及其常用工具。
计算机网络信息安全保密技术
第 4 章 计算机网络安全
4 . 网络新闻服务
网络新闻系统包括新闻稿、新闻组、新闻服务及新闻阅读服务器。用户在使用时只要 与一台新闻服务器连通就可以阅读网络新闻。
5 . WWW ( World Wide Web) 服务
WW W 是一个专用术语 , 用于描述 In ter net 上的所 有可 用信 息和多 媒体 资源。用 户 可以使用被称作 Web 浏览 器 的应 用程 序访 问这 些 信息。 Web 浏 览器 可用 于搜 索、查 看 和下载 In ternet 上的各种信息。
WW W 服务是基于超文本传送协议 H T T P 的 , 是人们最常使用的因特网服务。随着 N et sca pe 公司推出安全套接字 层 SSL , WW W 服 务器 和 浏览 器的 安全 性得 到 大大 提高 , 现在人们已经把这种技术应用于电子商务 , 例 如人们 可以 在因 特网上 买卖 股票和 使用 信 用卡购物。WW W 服务存在什么安全问题呢 ? 安全套接字层 SSL 使 W WW 服务的安 全 性提高了很多 , 但它主要解决的是数据包被窃听和 劫持的问 题 ; 除此之 外 WW W 服务 还 有其他安全问题 , 如 WW W 服 务 使 用 的 CG I 程 序、服 务 器 端 嵌 入 ( server side lncl ude, SSl) 和 Java A pplet 小程序等。
最初 WWW 服务只提供 静态的 H TML 页面 , 这种页面 显得很 呆板 , 于是人 们引 入了 CGI 程序 , CGI 程序让人们的主页活起来。当用户进入 H ot mail 时 , 会发现下面的广告是不 断变化的 , 这就是应用了 CGI 程序的结果。CGI 程序可以接收用户的输入信息。一般用户 是通过表格把输入信息传 给 CGI 程序 的, 然后 CGI 程序 可以根据 用户的要 求进行 一些处 理, 一般情况下会生成一个 H TML 文件 , 并传回给用户。很多 CGI 程序都存在安全漏洞 , 很 容易被黑客利用做一些非法的事情 , 如把/ etc/ passwd 文件传 送给黑客 , 删除服 务器上的文 件等等。还有, 很多人在编 CGI 程序时 , 可能对 CGI 软件包中的安 全漏洞并不了解。而且 大多数情况下不会重新编写程序的所有部分 , 只是对其加以适当的修改, 这样很多 CGI 程序 就不可避免的具有相同的安全漏洞。所以用户若要编写一个安全的 CGI 程序 , 就应先去了
图 4 3 CGI 程序的工作过程
解这些 软件 包中 的 安全 漏洞 , 这些 可 以 从 网上 得 到。CGI 程 序 很 多 是用 Perl 来 编 写的。Per l 的功能很强大 , 但也很不安全。
其中有很 多 U NIX 的 特 殊 字 符 可 用 来 执 行 U N IX 的系统命 令 , 一般 入侵 者就 是 利 用这些特殊字符实施攻 击的。图 4 3 描 述 了 CGI 的工作过程。
6 . Finger 服务
Finger 服务 用于 查询 用户 的 信息 , 包
括网上成员的真实姓名、用户名、最近的登录时间和地点等 ; 也可以 用来显示 当前登录 在 机器上的所有用户名 , 这对于入侵者来说是无价之宝 , 因为它能告诉入侵者在本机上有效 的登录名 , 然后入侵者就可以注意其活动。
我们主要从因特网本身因素来分析安全性。因特网上的破坏因素 主要有两 个 : 来 自 于人的威胁和自然的破坏。在这两个因素中 , 人 为的破 坏是 更重 要的。自 然的破 坏可 以 通过数据备份和冗余设置等来防备 , 但人为的破坏却是防不胜防的。
计算机网络信息安全保密技术
l 72
自然灾害和事故包括硬件故障、电源故 障、软件错 误、火灾、水 灾、风暴 和工业 事故 等 等。它们共同的特点是具有突发性 , 人们很难防止它们的发生 , 减小损失的最好办法就是 备份和冗余设置。备份并不像看起来那样简 单。对一 些金 融机构 或者 大的公 司 , 数据 备 份量极大 , 并 不 单 是 用 软 盘多 拷 贝 几 份 的 问 题。冗 余 设 置 的 应 用 很 多 , 简 单 的 可 以 在 Windows N T 局域网上建两个域服务器 ; 复杂的 , 比如 说 FDDI 网络具有 双环结 构 , 当 任 何一单环发生故障 , 它会自动形成一个单环 继续 工作。一 些主 干网的 路由 器也需 要冗 余 备份 , 防止路由器发生事故。
人为的破坏主要来自于黑客 , 他们知 识水平 高 , 危害 性大 , 而 且隐蔽 性很 强。一般 最 低层的入侵就是电子邮件炸弹 , 这种入侵可 能会造 成“拒 绝服务”。再 深一 层的入 侵就 是
人为的破坏主要来自于黑客 , 他们知 识水平 高 , 危害 性大 , 而 且隐蔽 性很 强。一般 最 低层的入侵就是电子邮件炸弹 , 这种入侵可 能会造 成“拒 绝服务”。再 深一 层的入 侵就 是