计算机安全服务的主要技术 7.2.1主动攻击与被动攻击 表主动攻击与被动攻击瓶念 包含攻击者访问他所需信息的故意行为。改击者是在主动地做 主动攻击 些不利于你的或公司系统的事情。主动攻击包括拒绝服务攻击、信息 慕政、货源使用、收骗等攻击方法。 主要是收集偏息而不是进行访问,数搭的合法用户对这种活动一 被动攻击 点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法, 这样分类不是说主动改击不能收集信息成被动攻击不能被用来访问系统。多数情况下 这两种类型被联合用于入侵·个站点。但是。大多数被动攻击不·定包括可被限踪的行为: 因此史难被发现。从另一个角度看,主动改击容易被发现但多数公可都没有发现,所以发 现被动攻击的机会几乎是零。 再往下一个层次看,当前网路改击的方法没有规范的分类模式,方法的运用往往非常 灵活,很难以一个统一的模式对各种攻击千段进行分类。例如有如下的分类模式: 表网路攻击分类 分类方式 类别 拒绝服务攻击(⅓)、获取系统权限的攻击、张取嫩感信息的 改击的目的 攻击 改击的切入点 缓冲区酒出政击、系统设置漏润的改击等 改击的纵向实面 获取初级权限攻击、提升最高权限的改击、后门政击、跳板攻 过程 击等 包括对各种探作系统的攻击、对网路设备的攻击、对特定应用 及击的类型 系统的政击等 81
81 计算机安全服务的主要技术 7.2.1 主动攻击与被动攻击 表 主动攻击与被动攻击概念 主动攻击 包含攻击者访问他所需信息的故意行为。攻击者是在主动地做一 些不利于你的或公司系统的事情。主动攻击包括拒绝服务攻击、信息 篡改、资源使用、欺骗等攻击方法。 被动攻击 主要是收集信息而不是进行访问,数据的合法用户对这种活动一 点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。 这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下 这两种类型被联合用于入侵一个站点。但是,大多数被动攻击不一定包括可被跟踪的行为, 因此更难被发现。从另一个角度看,主动攻击容易被发现但多数公司都没有发现,所以发 现被动攻击的机会几乎是零。 再往下一个层次看,当前网络攻击的方法没有规范的分类模式,方法的运用往往非常 灵活,很难以一个统一的模式对各种攻击手段进行分类。例如有如下的分类模式: 表 网络攻击分类 分类方式 类别 攻击的目的 拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的 攻击 攻击的切入点 缓冲区溢出攻击、系统设置漏洞的攻击等 攻击的纵向实施 过程 获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻 击等 攻击的类型 包括对各种操作系统的攻击、对网络设备的攻击、对特定应用 系统的攻击等
实际上黑客实施一次入侵行为,为达到他的攻击目的会结合采用多种改击手段,在不 同的入侵阶段使用不同的方法和可利阳的攻击工具。 7.2.2交全服务技术的有关概念 要起解决网路安全问题,需要制定出一整完整的网洛安全防范策略,并以此最略结 合兵体的技术条件和经费,再制定出具体的网铬安全解决方案。下面简单介绍有关安全服 务技术的一些概多, 1.数据加密技术 数誉加密技术是树络信息安全系统巾使用最普意的技术之一,未经加密的消息被称为 明文,如果用某种方法伪装消息以德藏它的内容的过程称为加密。己被密的游息称为密 文,而把密文转变为明文的过程称为解密。 对明文进行加密时所采用的组规则称为加索算法,而对密文进行解密所采取的一组 规则称为解密算法。加密算法和解密算法通常在一对密们控制下进行,分别称为加密密:们 和解密密糊。加密算法通常分为对称密码算法和非对称密码算法两类。 表加密算法 密算摆 解样说 优点 缺点 使用的加密密阴和解密密 具有很面的保密强度。 拥有加密能力就可以 对黎密码 钥相同,并且从加密过程 实现解密,因此必须加 算法 能够推导出解密过程。 屈密钥的管理。 使用不可的密钢对数据进 适合开发的使用环境, 保密强度远远不如对 非对 行加密和解密,从加帝过 密码管理方便,可安全 称帝码算法。 称密码算 程不能推导出解密过程, 地实现数字签名和验 法 证 2。身份认证 身份认证是指对用户身份的正确识别和校验,它包括迟以和珍证两方面的内容, 识是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。 82
82 实际上黑客实施一次入侵行为,为达到他的攻击目的会结合采用多种攻击手段,在不 同的入侵阶段使用不同的方法和可利用的攻击工具。 7.2.2 安全服务技术的有关概念 要想解决网络安全问题,需要制定出一整套完整的网络安全防范策略,并以此策略结 合具体的技术条件和经费,再制定出具体的网络安全解决方案。下面简单介绍有关安全服 务技术的一些概念。 1.数据加密技术 数据加密技术是网络信息安全系统中使用最普遍的技术之一。未经加密的消息被称为 明文,如果用某种方法伪装消息以隐藏它的内容的过程称为加密。已被加密的消息称为密 文,而把密文转变为明文的过程称为解密。 对明文进行加密时所采用的一组规则称为加密算法,而对密文进行解密所采取的一组 规则称为解密算法。加密算法和解密算法通常在一对密钥控制下进行,分别称为加密密钥 和解密密钥。加密算法通常分为对称密码算法和非对称密码算法两类。 表 加密算法 加密算法 解释说明 优点 缺点 对称密码 算法 使用的加密密钥和解密密 钥相同,并且从加密过程 能够推导出解密过程。 具有很高的保密强度。 拥有加密能力就可以 实现解密,因此必须加 强密钥的管理。 非 对 称密码算 法 使用不同的密钥对数据进 行加密和解密,从加密过 程不能推导出解密过程。 适合开发的使用环境, 密码管理方便,可安全 地实现数字签名和验 证。 保密强度远远不如对 称密码算法。 2.身份认证 身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。 识别是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同
验证是指在访问者声明其身份后,系统对他的身份的检验,以防止假帽。目前广泛使 用的有口令验证、信物验证,以及利用个人独有的特性进行验证等方法。 3。访何控制技术 访问控制的基本任务是防止率法用户逆入系统,以及合法用户对系统资源的非法使用, 访问控制包括两个处理过程:识别与认证用户,这是身份认证的内容,通过对用户的识别 和认证,可以确定该用户对某一系统货源的访问权限。访问控制技术主要有以下几种类型: 表访问控制技术类型 分类方式 分类 根据实现技术不 可分为白主访问控制(DAC)、选制访尔控制(AC)和基于鱼 色的访问控制(RB4C2. 根据应用环境的 可分为图铬访包控赳,主机、操作系统访句控过,应用程序访 不同 包控过 台主访问控削:白主访问控制(Discretionary Access Control,DAC)是白主访问控 制机制允许对象的属主来制定针对该对象的保护策路:通常DC通过授权列表(或访问控 制列表)来限定哪些主体针对厚些客体可以执行什么操作。知此将可以非常灵话地对策略 进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。 强射访问控制:强制访问控制(Nandatory Access Control,C)是用来保护系统 确定的对象,对此对象用户不能进行更改,也就是说,系统独立于用户行为强制执行访问 控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据 和用户按函安全等级刻分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户 对资源的访问。法制访问控制进行了很送的等级划分,所以经常用于军事用途 基于角色的访问控制:角色(Rol)是一定数量的权限的集合。指完成一项任务必须 访问的资源及相应操作权限的集合,基于角色的访问控制(Role-B1 sed Access Control, $4C)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色 的成员而得到其角色的权限。可枚大地简化权限管理. 83
83 验证是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。目前广泛使 用的有口令验证、信物验证,以及利用个人独有的特性进行验证等方法。 3.访问控制技术 访问控制的基本任务是防止非法用户进入系统,以及合法用户对系统资源的非法使用, 访问控制包括两个处理过程:识别与认证用户,这是身份认证的内容,通过对用户的识别 和认证,可以确定该用户对某一系统资源的访问权限。访问控制技术主要有以下几种类型: 表 访问控制技术类型 分类方式 分类 根据实现技术不 同 可分为自主访问控制(DAC)、强制访问控制(MAC)和基于角 色的访问控制(RBAC)。 根据应用环境的 不同 可分为网络访问控制,主机、操作系统访问控制,应用程序访 问控制。 自主访问控制:自主访问控制(Discretionary Access Control,DAC)是自主访问控 制机制允许对象的属主来制定针对该对象的保护策略。通常 DAC 通过授权列表(或访问控 制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略 进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。 强制访问控制:强制访问控制(Mandatory Access Control ,MAC)是用来保护系统 确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问 控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据 和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户 对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。 基于角色的访问控制:角色(Role)是一定数量的权限的集合。指完成一项任务必须 访问的资源及相应操作权限的集合。基于角色的访问控制(Role-Based Access Control, RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色 的成员而得到其角色的权限。可极大地简化权限管理
网络访问控制:访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么 样的连接以及通过网络传输什么样的数据,这就是传统的络防火墙。防火墙作为网鉻边 界阻塞点来过滤网络会话和数据传物。根据防火情的性能和功能,这种控制可以达到不同 的级别。 主机、操作系统访间控制:日前主流的操作系统均提供不同级别的访问句控制功能。通 常,.操作系统借助访问控制机制来限制对文件及系统设备的访问。例如:Windows操作系统 应用访问控制列表来对本地文件进行保护,访问控制刿表指定某个用户可以读、写或执行 某个文件,文件的所有者可以改变该文件访问控制列表的属性, 应用程序访问控制:访间控制往往嵌入应用程序(或中问件)中以提供更细救度的数 据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时,应用程序将提供其 内置的访问控制模型。比较典型的例子是电子商务应用程序,该程序认正用户的身份并将 其置于特定的组中,这些组对应用程序中的某一部分数据拥有访问权限。 4。入侵检测 入侵检测是对入侵行为的检测。它通过收集和分析网铭行为、安全日志、审计、数据 其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网路或系统中是否 存在违反安全策略的行为和被改击的迹象,入侵检测作为一种积极主动的安全防护技术, 提供了对内部改击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应 入侵。因此被认为是防火情之后的第二道安全闻门,在不影响网路性能的情况下能对网络 进行监测。入侵检测通过执行以下任务来实现: ●监视、分析用户及系统活动: ·系统构造和弱点的审计: 识别反胰已知进夏的活动模式向相关人士报警: 异常行为模式的统计分析: ·评估生些系统和数酱文件的完整性: 8
84 网络访问控制:访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么 样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。防火墙作为网络边 界阻塞点来过滤网络会话和数据传输。根据防火墙的性能和功能,这种控制可以达到不同 的级别。 主机、操作系统访问控制:目前主流的操作系统均提供不同级别的访问控制功能。通 常,操作系统借助访问控制机制来限制对文件及系统设备的访问。例如:Windows 操作系统 应用访问控制列表来对本地文件进行保护,访问控制列表指定某个用户可以读、写或执行 某个文件。文件的所有者可以改变该文件访问控制列表的属性。 应用程序访问控制:访问控制往往嵌入应用程序(或中间件)中以提供更细粒度的数 据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时,应用程序将提供其 内置的访问控制模型。比较典型的例子是电子商务应用程序,该程序认证用户的身份并将 其置于特定的组中,这些组对应用程序中的某一部分数据拥有访问权限。 4.入侵检测 入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计、数据、 其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否 存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应 入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络 进行监测。入侵检测通过执行以下任务来实现: ⚫ 监视、分析用户及系统活动; ⚫ 系统构造和弱点的审计; ⚫ 识别反映已知进攻的活动模式并向相关人士报警; ⚫ 异常行为模式的统计分析; ⚫ 评估重要系统和数据文件的完整性;
·操作系统的市计跟踪管理: ●识别用户违反安全策路的行为。 7.2.3防火墙 1.防火墙的概念和特征 表防火墙概多、设置日的及特征 防火墙 所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访 概 问网《如Internet)分开的方法,它实际上是一种隔离技术,防火墙主要 由服务访问规则、验证工具、包过滤和应用网关4个部分虹成。它采用由系 统管理以定义的规则,对一个安全树络和一个木安全网络之问的数据流加以 控制 致互防 保护内部网铭资源不被外部非授权用户使用,防止内部受到外部非法用 火墙目的 户的攻击。防火墙通过检查所有进出内部网络的数据包,检查数据包的合法 性,判断是否会对网路安全构成成胁,为内部网路逃立安全边界(sccurity perincter 防火墙 防火绮置于两个网络之间,具有以下特征: 特征 ●所有进出网路的数据流,都必须经过防火焕。 ●只有授权的数据流才允许通过, 外部阿络 内裙网箔 斯火墙 不可信热的网名 -。 图 防火墙示意图! 可信赖的网路 2。防火增的作用 85
85 ⚫ 操作系统的审计跟踪管理; ⚫ 识别用户违反安全策略的行为。 7.2.3 防火墙 1.防火墙的概念和特征 表 防火墙概念、设置目的及特征 防火墙 概念 所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访 问网(如 Internet)分开的方法,它实际上是一种隔离技术。防火墙主要 由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。它采用由系 统管理员定义的规则,对一个安全网络和一个不安全网络之间的数据流加以 控制。 设 置 防 火墙目的 保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用 户的攻击。防火墙通过检查所有进出内部网络的数据包,检查数据包的合法 性,判断是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter)。 防火墙 特征 防火墙置于两个网络之间,具有以下特征: ● 所有进出网络的数据流,都必须经过防火墙。 ● 只有授权的数据流才允许通过。 图 防火墙示意图 2.防火墙的作用 外部网络 不可信赖的网络 防火墙 内部网络 可信赖的网络
架化路安全氧 对网路存取和访 防止内部信息的 路的安全屏檬 路 可进行监控审计 外泄 图防火帝的作用 网络的安全屏障:防火墙能极大地提高内部网络的安全性,并通过过滤木安全的服务 而降低风险。只有经过授权的通信才能通过动火情,所以网络环境变得更安全。同时防火 特可以保护网路兔受基于路由的攻击。 强化网络安全策略:通过以防火墙为中心的安去策路方案配置。能将很多安全控制如: 口令、加密、身份认证等配置在防火墙上,同很多网路交全策略相比,这种防火情的集中 安全管理更为经济有效, 对网络存取和访间进行监控审计:当所有的访问都经过防火墙时,防火墙就能够记录 下这些访问。同时,提供网络应用的统计数据。当发生可疑动作时,防火情能进行适当的 报警,并提供网络是否受到监测和攻击的详细信息。 防止内部信息的外灌:利用防火暗对内部网终的划分,可实现内部网中重点网段的隔 离,从而缩小了局部网路安全问题对全局网络造成的影响。另外,一个内部网路中不引人 注意的细节可能包含了有关安全的线索,从而引起外部攻击者的兴趣,甚至因此暴露了内 部网络的某些安全漏雨,使用防火墙就可以隐藏那些内部细节。 3。防火墙的缺点 在实际应用中,防火墙还是有缺点的,主要砚在;香恋藏的和的由玉它也 范不通过它的连接,不能防备全部的成胁,不能时范带添这路由器。包过花防火墙工作在网路层, 有选挥地让登据包在内部网和外部网之可选行 4。防火墙系统的组成 交换。只有满足过滤逻辑的数据包才被转发到相 应的耳的出口端,其余数君包刚从数据流中丢 女 86
86 图 防火墙的作用 网络的安全屏障:防火墙能极大地提高内部网络的安全性,并通过过滤不安全的服务 而降低风险。只有经过授权的通信才能通过防火墙,所以网络环境变得更安全。同时防火 墙可以保护网络免受基于路由的攻击。 强化网络安全策略:通过以防火墙为中心的安去策略方案配置,能将很多安全控制如: 口令、加密、身份认证等配置在防火墙上。同很多网络安全策略相比,这种防火墙的集中 安全管理更为经济有效。 对网络存取和访问进行监控审计:当所有的访问都经过防火墙时,防火墙就能够记录 下这些访问。同时,提供网络应用的统计数据。当发生可疑动作时,防火墙能进行适当的 报警,并提供网络是否受到监测和攻击的详细信息。 防止内部信息的外泄:利用防火墙对内部网络的划分,可实现内部网中重点网段的隔 离,从而缩小了局部网络安全问题对全局网络造成的影响。另外,一个内部网络中不引人 注意的细节可能包含了有关安全的线索,从而引起外部攻击者的兴趣,甚至因此暴露了内 部网络的某些安全漏洞,使用防火墙就可以隐蔽那些内部细节。 3.防火墙的缺点 在实际应用中,防火墙还是有缺点的,主要表现在:不能防范恶意的知情者,不能防 范不通过它的连接,不能防备全部的威胁,不能防范病毒。 4.防火墙系统的组成 包过滤防火墙实际上基于路由器,因此它也 称为筛选路由器。包过滤防火墙工作在网络层, 有选择地让数据包在内部网和外部网之间进行 交换。只有满足过滤逻辑的数据包才被转发到相 应的目的出口端,其余数据包则从数据流中丢 弃
构成防火毫系统的个基本部件是世计滤路由益(Packet Filtering Router)山 应用饭网关清 级区送p阿m+wy,最简单的防火墙由一个包过装路白器组成,而复杂啦代拜眼务各上 火域系统由包过滤路由器和应用线网关组合而成。 务器程序。用阀 用翁统中可用做安 防火技术根据其防范的方式和施重点的不同而分为多种类型,但总体可分为再大礼用散务梁制店 类基于也过花(ck Filter),另类基于电Fa双Srie。它们的k是L偏一 甲防 基于过滤的防火墙可以直接转发报义,对用户完全透到,因此变较地:而基于代理的 是在两个的 防火墙常斐通过代理服务器(Proxy Server)建立连接,因此有史菇的身份验证和日功 使成边泡变 能。 当代理做美 心的P电到 应用级网关是斯火墙技术中使用得较多的拉术,也是一种安全性能较高的技术。在传 网络中的刻 用中,外用户只能看到代坦服务器,内部网洛只接收代坦服务器的服务请求。与包过滤 防火墙和比,它更安全,还可加速访刊 7
87 构成防火墙系统的两个基本部件是包过滤路由器(Packet Filtering Router)和应用 级网关(Application Gateway)。最简单的防火墙由一个包过滤路由器组成,而复杂的防 火墙系统由包过滤路由器和应用级网关组合而成。 防火墙技术根据其防范的方式和侧重点的不同而分为多种类型,但总体可分为两大类: 一类基于包过滤(Pack Filter),另一类基于代理服务(Proxy Service)。它们的区别是 基于包过滤的防火墙可以直接转发报文,对用户完全透明,因此速度较快;而基于代理的 防火墙需要通过代理服务器(Proxy Server)建立连接,因此有更强的身份验证和日志功 能。 应用级网关是防火墙技术中使用得较多的技术,也是一种安全性能较高的技术。在使 用中,外部用户只能看到代理服务器,内部网络只接收代理服务器的服务请求。与包过滤 防火墙相比,它更安全,还可加速访问。 应用级网关是基于代理服务的防火墙,是运 行在代理服务器上的一些特定的应用程序或服 务器程序。应用级网关工作在应用层,掌握着应 用系统中可用做安全决策的全部信息。通过对每 种应用服务编制专门的代理程序来监视和控制 应用层通信流。 即防火墙内外的计算机系统应用层的链接 是在两个终止于代理服务的链接来实现的,这样 便成功地实现了防火墙内外计算机系统的隔离。 当代理服务器代表用户与建立连接时,可以用自 己的 IP 地址代替内部网络的 IP 地址,所有内部 网络中的站点对外部是不可见的