网络安全与网络管理技术【本章要点】●计算机网络安全概述●网络病毒防治技术●网络安全入侵检测与防御技术●网络数据备份与恢复技术●网络管理技术网络安全技术概述计算机网络安全技术基础1.典型网络安全事件下面简要介绍发生过的典型网络安全事件。(1)“熊猫烧香”疯狂发作。(2)“顶狐”病毒网上银行盗窃案。(3)同业竞争DDOS攻击案。(4)攻击红十字会、地震局网站。国家计算机病毒应急处理中心公布的《2008年我国计算机病毒疫情调查技术分析报告》显示,截至2008年6月底,中国网民数量达到2.53亿,网民规模跃居世界第一位。我国信息网络安全事件发生比例继前3年连续增长后,今年略有下降,信息网络安全事件发生比例为62.7%,比去年下降了3%;计算机病毒感染率也出现下降,为85.5%,比去年减少了6%。奥运期间,全国互联网安全状况基本平稳,未出现重大网络安全事件。2007年5月至2008年5月,62.7%的被调查单位发生过信息网络安全事件,比去年减少3%。感染计算机病毒、蠕虫和木马程序的情况依然最为突出,其次是网络攻击、端口扫描、垃圾邮件和网页篡改。总之,网络安全问题是新世纪面临的新挑战,架设一个安全的网络工程安全系统不可忽视的重要部分。2.网络安全的定义从本质上来讲,网络安全就是网络上的信息安全。网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。从广义上说,网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速、安全地交换,一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。3.目前常用网络安全技术(1)数据加密技术。(2)防火墙技术。(3)认证技术。(4)病毒防治技术。(5)入侵检测与防御技术。(6)访问控制技术。(7)虚拟专用网(VPN)技术。(8)智能卡技术。(9)安全脆弱性扫描技术。(10)网络数据存储、备份及容灾技术。4.网络安全体系结构网络安全规划与设计基本原则1.网络系统安全规划设计的基本原则网络安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,在网络安全方案整体规划、设计过程中应遵循下列十大原则。(1)整体性原则。(2)均衡性原则。(3)有效性与实用性原则。(4)等级性原则。(5)易操作性原则。(6)技术与管理相结合原则。(7)统筹规划,分步实施原则。(8)动态化原则。(9)可评价性原则。(10)多重保护原则。总之,在进行计算机网络工程系统安全规划与设计时,重点是网络安全策略的制定,保证系统的安全性和可用性,同时要考虑系统的扩展和升级能力,并兼顾系统的可管理性等。2.如何进行网络工程安全规划网络安全规划与设计是一项非常复杂的系统工程,不单纯是技术性工作,必须统一步骤,精心规划和设计。安全和反安全就像矛盾的两个方面,总是不断攀升,所以网络安全也会随着新技术的产生而不断发展,是未来全世界电子化、信息化所共同面临的问题。一般来说,网络的安全规划设计与实施应考虑下面4个方面的问题。(1)确定面临的各种攻击和风险并分析安全需求。(2)明确网络系统安全策略。(3)建立网络安全模型。(4)选择并实施安全策略。网络病毒的防治技术网络计算机病毒的概述1.网络计算机病毒的特点网络病毒是利用网络平台作为传播方式的,由此可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。主要表现如下:(1)主动通过网络和邮件系统传播。(2)传播速度极快。(3)危害性极大。(4)变种多。(5)难于控制。(6)清除难度大。(7)具有病毒、蠕虫和后门(黑客)程序的功能。2.网络计算机病毒的破坏行为网络计算机病毒破坏性极强,常见的破坏性表现如下:劫持IE浏览器,首页被更改,一些默认项目被修改(例如默认搜索)。修改Host文件,导致用户不能访问某些网站,或者被引导到“钓鱼网站”上。添加驱动保护,使用户无法删除某些软件。修改系统启动项目,使某些恶意软件可以随着系统启动,常被流氓软件和病毒采用。在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,组成僵尸网络,通过对外发动攻击、发送垃圾邮件、点击网络广告等牟利。采用映像劫持技术,使多种杀毒软件和安全工具无法使用。记录用户的键盘、鼠标操作,从而可以窃取银行卡、网游密码等各种信息。记录用户的摄像头操作,可以从远程窥探隐私。使用户的机器运行变慢,大量消耗系统资源。网络计算机病毒防治策略1.基于工作站的防治策略工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的入侵。基于工作站防治病毒的方法有三种:(1)软件防治。即定期或不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需要人为地经常去启动防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。(2)在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。(3)在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。2.基于服务器的防治技术网络服务器是计算机网络系统的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前,基于服务器防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。3.加强计算机网络的管理计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。总之,网络病毒的防治,应制定严格的管理制度和网络使用制度,提高自身的防毒意识;跟踪网络病毒防治技术的发展,尽可能采用行之有效的新技术、新手段,建立“常见网络病毒及防治软件1.常见的流行网络计算机病毒通过对我国主要流行网络病毒的特点分析,我国互联网在快速发展过程中,出现了一些新变化,主要表现在如下几个方面。(1)从应用领域看。我国互联网正从信息传播和娱乐消费为主向商务服务领域延伸,电子商务迅速发展,互联网开始逐步深入到国民经济的更深层次和更宽领域。这对于优化我国互联网消费结构、促进经济发展模式转变具有积极意义,同时也对网络诚信建设提出了更高要求。(2)从服务模式看。互联网正从提供信息服务向提供平台服务延伸。以博客播客等为代表的WEB2.0服务模式使互联网的平台功能更加突出,网民不仅是信息的消费者,也是信息的提供者、创造者。这大大丰富了网上的信息内容,同时也对网民的守法自律提出了更高要求。(3)从传播手段看。传统互联网正在向移动互联网延伸。随着宽带的发展和无线接入的普及,基于互联网的新的媒体形态不断涌现,网上信息的获取、发布、利用更加便捷。这大大拓展了网络信息的传播渠道,同时也对规范网络信息传播秩序提出了更高要求。2.常见的网络病毒防治软件针对不同的网络用户类型,防病毒软件有网络版和单机版之分。网络版主要应用于企业局域网络,又称企业版;单机版则主要应用于家庭用户,又称家庭版。二者在病毒的防范、病毒库等方面很相似,其本质区别在于网络版可以实现中央管理,有服务器端和客户端之分。客户端病毒库的升级取决于服务器端,客户端一般不能够自己升级病毒库,但服务器端一般能够升级病毒库,客户端会自动从服务器下载病毒定义文件。而单机版则不能够通过局域网升级病毒库,必须从因特网下载病毒定义或者病毒库升级文件。目前流行的防病毒软件有很多,国外的有美国Symantec的NortonAntivius、俄罗斯的卡巴斯基AVP、McAfee等。国内有冠群金辰的KILL、瑞星、KV3000、金山毒霸等。大部分产品都支持网络版和单机版。国外的杀毒软件在功能上、技术上要高于国内的杀毒软件,当然不能否认,国内的几大杀毒软件厂商也在不断的努力研发,并且取得了很大的进步。而且在对国内流行的木马病毒的查杀上,还是国内的杀毒软件有优势。网络病毒防治技术实战1.单机环境下的网络病毒防治技术及实战尽管现代流行的操作系统平台具备了某些抵御计算机病毒的功能特性,但还是未能摆脱计算机病毒的威胁。单机环境下(一般是指个人)计算机病毒,也已是一个严重问题。因为现代个人电脑大部分都离不开网络,或都使用了携带病毒的工具软件,所以单机电脑病毒的感染率也是非常高的。(2)单机环境下电脑网络安全设置方案实战。安装了防病毒软件个人电脑是不是就安全了,可以高枕无忧了呢?其实不然。最安全的设置方案是使用防火墙+防病毒软件构建一个安全网络。但是个人电脑一装上防火墙速度就会慢很多。因此,有什么方法可以更好地解决个人电脑的安全问题呢?中文社区搜索网站奇虎推出了“360安全卫士”,其主要目的是针对日益严重的恶意软件,而其内嵌的杀毒软件卡巴斯基,让这款软件成为一款全功能的防恶意软件及病毒的安全平台。奇虎360安全卫士增强查杀引擎,强力查杀15万木马,超强查杀,免费杀毒,可查杀1300余款恶意软件,每日更新中,新增文件粉碎功能,彻底删除顽固木马,具有漏洞补丁集中分发,网页防漏功能。2.企业网络环境下的网络病毒防治技术企业网络中计算机病毒一旦感染了其中的一台计算机,将会很快地蔓延到整个网络,而且不容易一下子将网络中传播的计算机病毒彻底清除。所以对于企业网络的计算机病毒防范必须要全面,预防计算机病毒在网络中的传播、扩散和破坏,客户端和服务器端必须要同时考虑。网络入侵检测与防御技术9.3.1网络入侵检测与防御技术的基本概念下面介绍网络入侵检测系统与防御系统技术的一些基本概念。1.入侵行为“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息、拒绝服务(DenialofService)等对计算机系统造成危害的行为。2.入侵检测技术1980年,JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》(ComputerSecurityThreatMonitoringandSurveillance)的技术报告中指出,审计记录可以用于识别计算机误用,并对威胁进行了分类,第一次详细阐述了入侵检测的概念。入侵检测(IntrusionDetection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是一种网络信息安全新技术,它可以弥补防火墙的不足,对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时的检测以及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。3.入侵检测系统入侵检测系统(IntrusionDetectiveSystem,IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭