網路安全操作工具

  計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境裡,資料的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統裝置及相關設施受到物理保護,免於破壞、丟失等。邏輯安全包括資訊的完整性、保密性和可用性。

  防火牆

  Internet防火牆是這樣的系統***或一組系統***,它能增強機構內部網路的安全性。防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的資訊都必須經過防火牆,接受防火牆的檢查。防火牆只允許授權的資料通過,並且防火牆本身也必須能夠免於滲透。

  Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。

  Internet防火牆允許網路管理員定義一箇中心“ 扼制點” 來防止非法使用者,比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網路的安全性是在防火牆系統上得到加固,而不是分佈在內部網路的所有主機上。

  在防火牆上可以很方便的監視網路的安全性,併產生報警。***注意:對一個與Internet相聯的內部網路來說,重要的問題並不是網路是否會受到攻擊,而是何時受到攻擊?誰在攻擊?***網路管理員必須審計並記錄所有通過防火牆的重要資訊。如果網路管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網路管理員永遠不會知道防火牆是否受到攻擊。

  Internet防火牆可以作為部署NAT***Network Address Translator,網路地址變換***的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。

  Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連線的費用情況,查出潛在的頻寬瓶頸的位置,並根據機構的核算模式提供部門級計費。

  在設計理念方面,防火牆是以應用為主、以安全為輔的,也就是說在支援儘可能多的應用的前提下,來保證使用的安全。防火牆的這一設計理念使得它可以廣泛地用於儘可能多的領域,擁有更加廣泛的市場,甚至包括個人電腦都可以使用,但是它的安全性往往就差強人意。而網閘則是以安全為主,在保證安全的前提下,支援儘可能多地應用。網閘主要用於安全性要求極高的領域,例如對政府網路,工業控制系統的保護等等。

  安全策略

  防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的裝置的組合,防火牆是安全策略的一個部分。

  安全策略建立全方位的防禦體系,甚至包括:告訴使用者應有的責任,公司規定的網路訪問、服務訪問、本地和遠地的使用者認證、撥入和撥出、磁碟和資料加密、病毒防護措施,以及僱員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。

  僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。

  系統安全

  作業系統的安全控制:如使用者開機鍵入的口令***某些微機主機板有“ 萬能口令” ***,對檔案的讀寫存取的控制***如Unix系統的檔案屬性控制機制***。

  網路介面模組的安全控制。在網路環境下對來自其他機器的網路通訊程序進行安全控制。主要包括:身份認證,客戶許可權設定與判別,審計日誌等。

  網路互聯裝置的安全控制。對整個子網內的所有主機的傳輸資訊和執行狀態進行安全監測和控制。主要通過網管軟體或路由器配置實現。

  電子商務

  電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全。

  ***一***計算機網路安全的內容包括:

  ***1***未進行作業系統相關安全配置

  不論採用什麼作業系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對作業系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為作業系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和“後門” 是進行網路攻擊的首選目標。

  ***2***未進行CGI程式程式碼審計

  如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程式,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。

  ***3***拒絕服務***DoS,Denial of Service***攻擊

  隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。

  ***4***安全產品使用不當

  雖然不少網站採用了一些網路安全裝置,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給使用者做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設定時,很容易產生許多安全問題。

  ***5***缺少嚴格的網路安全管理制度

  網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。

  ***二***計算機商務交易安全的內容包括:

  ***1***竊取資訊

  由於未採用加密措施,資料資訊在網路上以明文形式傳送,入侵者在資料包經過的閘道器或路由器上可以截獲傳送的資訊。通過多次竊取和分析,可以找到資訊的規律和格式,進而得到傳輸資訊的內容,造成網上傳輸資訊洩密。

  ***2***篡改資訊

  當入侵者掌握了資訊的格式和規律後,通過各種技術手段和方法,將網路上傳送的資訊資料在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或閘道器上都可以做此類工作。

  ***3***假冒

  由於掌握了資料的格式,並可以篡改通過的資訊,攻擊者可以冒充合法使用者傳送假冒的資訊或者主動獲取資訊,而遠端使用者通常很難分辨。

  ***4***惡意破壞

  由於攻擊者可以接入網路,則可能對網路中的資訊進行修改,掌握網上的機要資訊,甚至可以潛入網路內部,其後果是非常嚴重的。

  協議安全

  TCP/IP協議資料流採用明文傳輸。

  源地址欺騙***Source address spoofing***或IP欺騙***IP spoofing***。

  源路由選擇欺騙***Source Routing spoofing***。

  路由選擇資訊協議攻擊***RIP Attacks***。

  鑑別攻擊***Authentication Attacks***。

  TCP序列號欺騙***TCP Sequence number spoofing***。

  TCP序列號轟炸攻擊***TCP SYN Flooding Attack***,簡稱SYN攻擊。

  易欺騙性***Ease of spoofing***。