第三章 安全篇
一、网络安全
网络安全是指计算机网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
二、计算机安全
国际标准化委员会的定义是“为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”
我国公安部计算机管理监察司的定义是“计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。”
三、黑客(hacker)/骇客(cracker)
黑客是英文hacker的音译,hacker这个单词源于动词hack,这个词在英语中有“乱砍、劈,砍”之意。hack的一个引申的意思是指“干了一件非常漂亮的事”。在早期,“hacker”有“恶作剧”的意思,尤指那些手法巧妙、技术高明的恶作剧。
黑客是一些“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统,惯于以不正当侵入为手段找出网络漏洞。
骇客是“cracker”的音译,就是“破坏者”的意思。这些人做的事情更多的是破解商业软件、恶意入侵别人的网站并造成损失。
骇客具有与黑客同样的本领,只不过在行事上有些差别而已,人们常常很难分清黑客与骇客的不同。黑客和骇客只是叫法不同,他们之间并没有绝对的界限。黑客和骇客都是非法入侵者,无论是善意还是恶意的入侵,都有可能给被入侵者造成一定的损失。
四、后门(Back Door)
后门是一种绕过安全性控制而获取对程序或系统访问权的方法。
在软件的开发阶段,要将整个软件分为若干模块,然后再对各模块单独设计、调试。此时,程序员通常会在软件内创建后门以便修改程序中的缺陷。按照正常操作程序,软件在交付用户之前,程序员应该去掉软件模块中的后门,但是,由于程序员的疏忽,或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访问,方便测试或维护已完成的程序等种种原因,实际上并未去掉。这样,后门就可能被程序的作者或知道的人所秘密使用,也可能被少数别有用心的人用穷举搜索法发现利用,那么它就成了安全风险。
五、特洛伊木马
特洛伊木马是一种带有恶意性质的远程控制软件,一般分为客户端(client)和服务端(server),客户端就是你自己使用的各种命令的控制台,服务端则是要给被攻击者运行。
黑客的特洛伊木马程序事先以某种方式潜入被攻击者的机器,并在适当的时候激活,潜伏在后台监视系统的运行。它如同普通用户程序一样,能实现许多功能,如复制、删除文件、格式化硬盘、甚至发电子邮件。典型的特洛伊木马是窃取别人在网络上的帐号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入帐号和口令,然后将帐号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己输错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑。其实,特洛伊木马已完成了任务,躲到一边去了。更为恶性的特洛伊木马则会对系统进行全面破坏。
特洛伊木马必须先将木马程序植入到用户的机器中去,所以,建议普通用户不要轻易地执行电子邮件中附带的程序,因为特洛伊木马可能就在你的鼠标点击之间悄然潜入到了你的系统之中。
六、网络监听
网络监听是提供给网络管理员的一种监视网络状态、数据流动情况以及网络上传输的信息的管理工具。
当信息以明文的形式在网络上传输时,将网络接口设置在监听模式,便可以源源不断地截获网上传输的信息。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。当黑客成功登录一台网络上的主机并取得这台主机的超级用户权之后,若想尝试登录其它主机,那么使用网络监听将是最快捷有效的方法,它常常能轻易获得用其它方法很难获得的信息。由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法。网络监听只能监听物理上的连接的属于同一网段的主机,因为不是同一网段的数据包,在网关就被滤掉,无法传入该网段。
网络监听常常被黑客用来获取用户的口令。因为当前网上的数据绝大多数是以明文的形式传输,而且口令通常都很短且容易辨认。一旦口令被截获,黑客就可以非常容易地登上另一台主机。
七、拒绝服务攻击
在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为DDoS,即分布式拒绝服务攻击
拒绝服务攻击,也叫分布式D.O.S攻击(Distributed Denial Of Service)。拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。它的攻击原理是这样的:攻击者首先通过比较常规的黑客手段侵入并控制某个网站之后,在该网站的服务器上安装并启动一个可由攻击者发出的特殊指令来进行控制的进程。当攻击者把攻击对象的IP地址作为目标下达给这些进程的时候,这些进程就开始对目标主机发起攻击。这种方式集中了成百上千台服务器的带宽能力,对某个特定目标实施攻击,所以威力惊人,在这种悬殊的带宽对比下,被攻击目标的剩余带宽会迅速耗尽,从而导致服务器的瘫痪。
八、计算机病毒
计算机病毒是一种人为制造的计算机程序,这种程序能够像生物病毒一样进行自我复制和传播,并具有潜伏性、传染性和破坏性等特点。当某种条件或时机成熟时, 病毒的破坏机制会被触发, 使计算机的资源受到不同程序的破坏。计算机病毒可以很快地蔓延,有些能够利用计算机网络自行传播,有些通过电子邮件传播,也有些能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,随同文件一起蔓延开来。
九、端口/端口扫描
端口是进出计算机的路径。
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机以了解其提供的计算机网络服务类型。端口扫描是黑客喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。
十、网际协议安全(IP Security)
IPSec是基于密码学的保护服务和安全协议的套件。因为不需要更改应用程序或协议,可以很容易地给现有网络部署IPSec。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前,IPSec在计算机及其远程隧道服务器之间进行协商。
十一、恶意网页
如果上网时遇到上网默认首页被修改、注册表被修改、系统文件丢失、无法正常浏览其它网页等情况,怎么也无法恢复,那就是撞上恶意网页了。
恶意网页所包含的恶意代码可以说是一种广义上的病毒,但是它又不同于传统意义上的病毒,网页恶意代码不具有传染性,但是它具有极强的破坏性与欺骗性,每个上网用户都有可能遇见,而且没有很好的办法来识别它。
十二、恶意代码
恶意代码是一段的脚本代码
恶意代码是指在网页中引用的一段JavaScript脚本文件或JAVA小程序,或者就是一种嵌入式应用程序ActieX等等,它可以被服务器端或者客户端程序接受并且执行, 是目前最常见的服务器端或者客户端漏洞攻击方法之一。
在网上使用技术的目的本来是增强网页同访问者之间的交互性,增强网页的动态性、多媒体性。就像菜刀本来是一件厨房用具,却被恶人用来作为杀人的凶器一样,这项技术被一小撮人用在不恰当的地方。比如说修改注册表、运行DOS命令,以达到对别人的系统进行肆意妄为攻击的目的。
十三、恶意代码防范
1、服务器端
在编写脚本的时候, 需要严格审核用户提交的变量是否符合要求, 注意一些比较容易引起系统漏洞的函数调用是否正常, 尤其是在调用外部命令, 写文件的时候,更加需要严格判断用户提交的变量; 逻辑条件判断要准确, 对于边界条件应该考虑周当。
2、客户端
在使用浏览器的时候, 要及时打上软件提供商提供的最新补丁, 设置好本地安全策略, 拿IE来说,可以禁止activex的运行,javascript的运行,java等小程序,脚本的运行, 很多漏洞都是从javascript调用或者vbscript调用开始的。
十四、漏洞/补丁
漏洞是硬件、软件、协议等在设计时未考虑周全或系统安全策略上存在的缺陷,当遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞在某些情况下又称之为“安全缺陷”,如果当系统漏洞被恶意用户利用,可以使攻击者能够在未授权的情况下访问或破坏系统,造成信息泄漏、数据安全性受到威胁、用户权限被篡改等后果。而对普通用户来说,系统漏洞在特定条件下可能会造成不明原因的死机和丢失文件等现象。
漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。同时,随着用户对系统的深入使用,系统中存在的漏洞会不断暴露出来,而这些漏洞须及时得以纠正,以免酿成严重的后果。
对普通用户来说,防范病毒和入侵的最好方法就是堵住“系统漏洞”,为脆弱的系统打上“补丁”。系统漏洞补丁是用来为系统修补错误或增加新功能的小程序包,它们不能独立安装使用,必须在已安装原软件或系统的基础上才能正常安装运行。
十五、防火墙Firewall
防火墙是一种保护计算机网络安全的技术性措施,是一种访问控制机制,用在局域网和不安全的网络之间设置关卡,以阻止局域网之外的计算机对内部信息资源的非法访问,或过滤不想要的信息包。换句话说,防火墙是一道门槛,控制进、出两个方向的通信,以达到防止非法用户侵犯的目的。
十六、入侵检测IDS
入侵是指一些人试图进入或者滥用你的系统,包括从严厉的偷窃机密数据到一些次要的事情如滥用你的电子邮件系统发垃圾邮件等。
入侵检测系统(IDS)是用来检测这些入侵的系统,IDS可以有如下的分类:
1、网络侵入检测系统(NIDS)
监视网线的数据包并试图是否有骇客试图进入系统(或者进行拒绝服务攻击DoS)。一个典型的例子是一个系统观察到一个目标主机的很多不同端口的大量TCP连接请求(SYN),来发现是否有人正在进行TCP的端口扫描。一个NIDS可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身),也可以运行在独立主机上观察整个网络的流量(集线器, 路由器, 探测器)。
2、系统完整检验(SIV)
监视系统文件试图发现是否有侵入者更改了文件(可能留个后门)。一个SIV也应该能监视其他的组件,比如Windows的注册表的配置。他也应该能检测到一个一般用户偶然获得root/Administrator级别权限。
3、日志文件监视器(LFM)
监视网络设备产生的日志文件。同NIDS类似,这些系统通过对日志文件的模式匹配提出是否有入侵者攻击的建议。
4、诱骗系统和伪服务
目的是模拟一些知名漏洞来诱陷Hacker。也可以简单的通过重新命名NT的系统管理员帐号,然后建立一个无权限的虚帐号进行广泛的审计。
十七、垃圾邮件
垃圾邮件是指那些向未主动请求的用户发送的电子邮件广告、刊物或其他资料;没有明确的退信方法、发信人、回信地址等的邮件;利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为;其它预计会导致投诉的邮件。具体包括:
1、收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;
2、收件人无法拒收的电子邮件;
3、隐藏发件人身份、地址、标题等信息的电子邮件;
4、含有虚假的信息源、发件人、路由等信息的电子邮件。”
十八、鉴别和认证
鉴别和认证是用来防止计算机系统被非授权用户或进程侵入的技术手段。由于鉴别和认证是其它大多数访问控制和建立用户职能的基础,所以它被看作计算机安全的关键基础构件。
访问控制经常需要区分不同的用户。例如,访问控制经常要基于“最小特权原则”,即只给用户完成工作所需的最小访问权限,所以需要对用户进行鉴别。
鉴别通过用户向系统提供自己的身份完成。认证通过确定该身分的真实性完成。认证也用于验证消息或文件未被修改或来源于特定用户。
计算机系统基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人就是发送认证信息的人。
有三种认证用户身份的方法,这三种方法可以单独使用或联合使用:(1)用户知道的秘密如:口令、个人识别号或密钥,(2)用户拥有的令牌如:银行卡或智能卡,(3)用户本身的生物特征如:语音特征、笔迹特征或指纹。
虽然这些方法都可能提供强认证服务,但每种方法都有自己的局限性。如果有人想冒充别人使用计算机系统,他们有可能猜测或通过其它方式得到的口令;他们也可能偷窃或者伪造令牌。对于合法用户和系统管理员来说,每种方法都有缺点:用户可能忘记口令或丢失令牌,系统管理员可能要经常辨别认证数据和令牌的真实性。生物识别系统具有技术先进和用户容易接受的优点,但价格昂贵是它的问题。
十九、安全通信
随着因特网上的快速发展,对安全网络通信的需求也日益增长。另外,在专用网上进行的内部通信常常也包含需要保护的机密信息。安全网络通信具有下列特征:
1、访问控制
资源是受保护,并且只有已授权方才可以访问它。根据密码、IP 地址、主机名或 SSL 客户机认证来限制访问,以确保访问控制。
2、真实性
您知道您正在与谁交谈且可以相信那个人。使用数字签名和数字证书的认证确保了其真实性。
3、信息完整性
消息在发送过程中不改变。如果缺少信息的完整性,您就无法保证您发送的信息与接收方接收到的消息相匹配。数字签名确保了信息的完整性。
4、私密性和机密性
在事务中,从一方传送到另一方的信息保持私密,即使该信息被其它方接收,他们也无法读它。加密确保了其私密性和机密性。
二十、加密
加密最简单的形式是对消息进行加密编码,以使别人无法读它,除非接收方译出密码。发送方使用算法模式或密钥对消息进行编码或加密。而接收方具有解密密钥。加密确保了在因特网上发送的传输信息的私密性和机密性。
有两种可用于加密的密钥:
1、非对称密钥
用非对称密钥创建密钥对。密钥对由一个公用密钥和一个专用密钥组成,这两个密钥各不相同。专用密钥比公用密钥具有更多的保密加密模式。不要把您的专用密钥与其他人共享。
服务器使用它的专用密钥给发送到客户机的消息做标记。服务器把它的公用密钥发送给客户机,以便客户机可以对发送到服务器的消息进行加密,而服务器使用它的专用密钥对此消息解密。对于使用您的公用密钥加密的消息,只有您能够把它解密,因为只有您拥有此专用密钥。密钥对存储在密钥数据库中,有一个密码加以保护。
2、对称密钥
对称密钥遵照由来已久的模型,即发送方和接收方共享某种模式。然后,发送方使用该相同模式对消息进行加密,接收方使用该模式对消息进行解密。
对称密钥涉及的风险是:当您和您要与之通信的人共享您的保密密钥时,您不得不寻找一种安全的传输方法。
二十一、数字签名
数字签名是确保其所负责任的独特的数学计算签名。数字签名类似于可以显示照片的信用卡。
二十二、数字证书
数字证书或数字标识类似于带有照片的信用卡,照片上是银行行长和你的合影。
签发数字证书的第三方称为认证中心 (CA) 或证书签署者。
数字证书包含:
1、被认证人员的公用密钥
2、被认证人员或组织的名称和地址,也称为专有名称。
3、CA 的数字签名
4、签发日期
5、到期日期