只要想學習哪裡學習都是有效果的。但需要結合自身的一些特點來調整學習方向,這樣學習起來會事半功倍,以下推薦3種學習線路,適用於不同的學習人群;
適用人群:有一定的代碼基礎的小夥伴
(1)基礎部分
基礎部分需要學習以下內容:
(1.1)計算機網路 :
重點學習OSI、TCP/IP模型,網路協議,網路設備工作原理等內容,其他內容快速通讀;
【推薦書籍】《網路是怎樣連接的_戶根勤》一書,簡明扼要,淺顯易懂,初學者的福音;如果覺得不夠專業,可以學習圖靈設計叢書的《HTTP權威指南》;
(1.2)Linux系統及命令 :
由於目前市面上的Web伺服器7成都是運行在Linux系統之上,如果要學習滲透Web系統,最起碼還是要對linux系統非常熟悉,常見的操作命令需要學會;
學習建議:學習常見的10%左右的命令適用於90%的工作場景,和office軟體一樣,掌握最常用的10%的功能,基本日常使用沒什麼問題,遇到不會的,再去找相關資料;常見的linux命令也就50-60個,很多小白囫圇吞棗什麼命令都學,這樣其實根本記不住。
【推薦書籍】Linux Basics for Hackers;
(1.3)Web框架 :
熟悉web框架的內容,前端HTML,JS等腳本語言了解即可,後端PHP語言重點學習,切記不要按照開發的思路去學習語言,php最低要求會讀懂代碼即可,當然會寫最好,但不是開發,但不是開發,但不是開發,重要的事情說三遍;
資料庫:
需要學習SQL語法,利用常見的資料庫MySQL學習對應的資料庫語法,也是一樣,SQL的一些些高級語法可以了解,如果沒有時間完全不學也不影響後續學習,畢竟大家不是做資料庫分析師,不需要學太深;
(2)Web安全
(2.1)Web滲透
掌握OWASP排名靠前的10餘種常見的Web漏洞的原理、利用、防禦等知識點,然後配以一定的靶場練習即可;有的小白可能會問,去哪裡找資料,建議可以直接買一本較為權威的書籍,配合一些網上的免費視頻系統學習,然後利用開源的靶場輔助練習即可;
【推薦書籍】白帽子講Web安全(阿里白帽子黑客大神道哥作品)
【推薦靶場】常見的靶場都可以上github平台搜索,推薦以下靶場DVWA、bWAPP、upload-labs-master、SQL-lib-master、WebBug、pikachu等,有些是綜合靶場,有些是專門針對某款漏洞的靶場;
(2.2)工具學習
Web滲透階段還是需要掌握一些必要的工具,工具的學習b站上的視頻比較多,挑選一些講解得不錯的視頻看看,不要一個工具看很多視頻,大多數視頻是重復的,且很浪費時間;
主要要掌握的工具和平台:burp、AWVS、Appscan、Nessus、sqlmap、nmap、shodan、fofa、代理工具ssrs、hydra、mesa、airspoof等,以上工具的練習完全可以利用上面的開源靶場去練習,足夠了;
練習差不多了,可以去SRC平台滲透真實的站點,看看是否有突破,如果涉及到需要繞過WAF的,需要針對繞WAF專門去學習,姿勢也不是特別多,系統性學習學習,然後多總結經驗,更上一層樓;
(2.2)自動化滲透
自動化滲透需要掌握一門語言,且需要熟練運用,可以是任何一門自己已經掌握得很熟悉的語言,都可以,如果沒有一門掌握很好的,那我推薦學習python,最主要原因是學起來簡單,模塊也比較多,寫一些腳本和工具非常方便;
雖說不懂自動化滲透不影響入門和就業,但是會影響職業的發展,學習python不需要掌握很多不需要的模塊,也不需要開發成千上萬行的代碼,僅利用它編寫一些工具和腳本,少則10幾行代碼,多則1-200行代碼,一般代碼量相對開發人員已經少得不能再少了,例如一個精簡的域名爬蟲代碼核心代碼就1-20行而已;
幾天時間學習一下python的語法,有代碼基礎的,最快可能一天就可以學習完python的語法,因為語言都是相通的,但是學習語言最快的就是寫代碼,別無他法;接下來可以開始嘗試寫一些常見的工具,如爬蟲、埠探測、數據包核心內容提取、內網活躍主機掃描等,此類代碼網上一搜一大把;然後再寫一些POC和EXP腳本,以靶場為練習即可;有的小夥伴可能又要問了,什麼是POC和EXP,自己網路去,養成動手的好習慣啦;
(2.3)代碼審計
此處內容要求代碼能力比較高,因此如果代碼能力較弱,可以先跳過此部分的學習,不影響滲透道路上的學習和發展。
但是如果希望在Web滲透上需要走得再遠一些,需要精通一門後台開發語言,推薦php,因為後台採用php開發的網站占據最大,當然你還精通python、asp、java等語言,那恭喜你,你已經具備很好的基礎了;
代碼審計顧名思義,審計別人網站或者系統的源代碼,通過審計源代碼或者代碼環境的方式去審計系統是否存在漏洞(屬於白盒測試范疇)
那具體要怎麼學習呢?學習的具體內容按照順序列舉如下 :
掌握php一些危險函數和安全配置;
熟悉代碼審計的流程和方法;
掌握1-2個代碼審計工具,如seay等;
掌握常見的功能審計法;(推薦審計一下AuditDemo,讓你產生自信)
常見CMS框架審計(難度大); 代碼審計有一本國外的書籍《代碼審計:企業級Web代碼安全架構》,當然有空的時候可以去翻翻,建議還是在b站上找一套系統介紹的課程去學習;github上找到AuditDemo,下載源碼,搭建在本地虛擬機,然後利用工具和審計方法,審計AuditDemo中存在的10個漏洞,難度分布符合正態分布,可以挑戰一下;
至於CMS框架審計,可以去一些CMS官方網站,下載一些歷史存在漏洞的版本去審計,框架的學習利用官方網站的使用手冊即可,如ThinkPHP3.2版本是存在一些漏洞,可以嘗試讀懂代碼;但是切記不要一上來就看代碼,因為CMS框架的代碼量比較大,如果不系統先學習框架,基本屬於看不懂狀態;學習框架後能夠具備寫簡單的POC,按照代碼審計方法結合工具一起審計框架;其實也沒沒想像中的那麼難,如果你是開發人員轉行的,恭喜你,你已經具備代碼審計的先天性優勢。
可能有人會問:「我代碼很差,不學習代碼審計行不行?」其實代碼審計不是學習網路安全的必要條件,能夠掌握最好,掌握不了也不影響後續的學習和就業,但你需要選擇一個階段,練習得更專業精通一些,如web滲透或者內網滲透,再或者是自動化滲透;
(3)內網安全
恭喜你,如果學到這里,你基本可以從事一份網路安全相關的工作,比如滲透測試、Web滲透、安全服務、安全分析等崗位;
如果想就業面更寬一些,技術競爭更強一些,需要再學習內網滲透相關知識;
內網的知識難度稍微偏大一些,這個和目前市面上的學習資料還有靶場有一定的關系;內網主要學習的內容主要有:內網信息收集、域滲透、代理和轉發技術、應用和系統提權、工具學習、免殺技術、APT等等;
可以購買《內網安全攻防:滲透測試實戰指南》,這本書寫得還不錯,國內為數不多講內網的書籍,以書籍目錄為主線,然後配合工具和靶場去練習即可;
那去哪裡可以下載到內網靶場?如果你能力夠強,電腦配置高,可以自己利用虛擬機搭建內網環境,一般需要3台以上的虛擬機;你也可以到國外找一些內網靶場使用,有一些需要收費的靶場還可以;
(4)滲透拓展
滲透拓展部分,和具體工作崗位聯系也比較緊密,盡量要求掌握,主要有日誌分析、安全加固、應急響應、等保測評等內容;其中重點掌握前三部分,這塊的資料網路上也不多,也沒有多少成型的書籍資料,可通過行業相關的技術群或者行業分享的資料去學習即可,能學到這一步,基本上已經算入門成功,學習日誌分析、安全加固、應急響應三部分的知識也相對較為容易。
適用人群:代碼能力很弱,或者根本沒有什麼代碼能力,其他基礎也相對較差的小夥伴
基礎需要打好,再學習Web滲透比如linux系統、計算機網路、一點點的Web框架、資料庫還是需要提前掌握;
像php語言、自動化滲透和代碼審計部分內容,可以放在最後,當學習完畢前面知識後,也相當入門後,再來學習語言,相對會容易一些;
【優先推薦】方法2,對於小白來說,代碼基礎通常較弱,很多很多小白會倒在前期學習語言上,所以推薦方法2的學習,先學習web滲透和工具,也比較有意思,容易保持一個高漲的學習動力和熱情,具體學習內容我就不說了,請小夥伴們參照方法1即可。
適用人群:需要體系化學習、增強實戰能力的小夥伴
具體根據自身條件來講,如果你自學能力較差,那建議選擇課程學習,網上各大平台等都有很多各式各樣的課程,是可以更快幫助你迅速入門的,然後再根據自己自身所欠缺的方面,不斷去完善和學習,最後達到你所要的優秀水平。
學習書籍推薦如下:
【基礎階段】
Linux Basics for Hackers(中文翻譯稿)
Wireshark網路分析(完整掃描版)
精通正則表達式(中文第3版)
圖解HTTP 彩色版
[密碼學介紹].楊新.中文第二版
網路是怎樣連接的_戶根勤
[PHP與MySQL程序設計(第4版)].W.Jason.Gilmore
【web滲透階段】
web安全攻防滲透測試實戰指南
白帽子講Web安全
Web安全深度
【自動化滲透階段】
Python編程快速上手-讓繁瑣工作自動化
【代碼審計階段】
代碼審計:企業級Web代碼安全架構
【內網滲透階段】
內網安全攻防:滲透測試實戰指南
社會工程防範釣魚欺詐
B. 信息安全等級保護十三大重要標準是什麼
計算機信息系統安全等級保護劃分准則 (GB 17859-1999) (基礎類標准)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標准)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標准)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標准)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標准)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標准)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標准)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標准)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標准)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標准)
信息安全技術網路安全等級保護基本要求(GB/T 22239-2019)(基礎類標准)
信息安全技術網路安全等級保護安全設計技術要求(GB/T 25070-2019)(應用類建設標准)
信息安全技術網路安全等級保護測評要求(GB/T 28448-2019)(應用類測評標准)
C. 專家解讀2019年《網路安全法》草案
一、重大歷史進步
網路安全不是今天才重要,網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務,可見決心之巨。只是網路安全立法之路實在艱辛,時國務院信息辦審時度勢,由信息安全條例角度入手,並連續數年推動其列入國務院法制辦二類立法計劃,之後未能再進一步。2008年後,國務院信息辦職能整體劃轉至工業和信息化部,有關方面意識到制定條例未必就比人大立法容易,且國務院行政法規無力調整現行上位法的法律規定,遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法,國家立法資源有限,每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法,還要考慮工業立法,一半指標已不得用,而信息化方向還有一部歷史更為悠久的電信法望眼欲穿,信息安全法終究連個隊都沒排上。期間,人大建議、政協提案不計其數,社會公眾翹首以盼,均無果。
此次草案公開徵求意見,表明這項工作進入了實質性立法程序,這是一個重大歷史進步。歡欣鼓舞之所在,不是因為草案具體內容,而源於徵求意見本身的象徵意義。時至今日,我們對網路安全立法不是搞清楚、看明白了,而是問題更多、更復雜了,很多觀點分歧可能更大了,網路安全立法難度不降反升,但突破恰恰在此時。中央網路安全和信息化領導小組成立後,中央領導同志英明決策,切實將網路安全提升到了國家安全和發展的高度,不但作出「網路強國」的全局戰略部署,更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等,無一不歷經多年論證而蹉跎,今朝方開花結果。
誠然,網路安全立法工作十分艱巨,草案肯定有這樣那樣的問題,但今天的一小步,是國家網路安全工作的一大步。我們應該寬容它、呵護它,使其不斷成熟、更加科學,成長為護佑國家網路安全和信息化發展的參天大樹。
二、彰顯國家意志,確立基本原則
草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多,還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法,這些「軟性」法律規定確有必要,其意在於宣示國家網路安全工作的基本原則,明確建設網路安全保障體系的主要舉措,從而為整體推進保障體系建設提供法律依據。
一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼,驅動之雙輪,要堅持以安全保發展、以發展促安全,不能簡單地通過不上網、不共享、不互聯互通來保安全,或者片面強調建專網。要努力實現技術創新和體制機制創新,不斷增強維護網路安全的新思路、新方法、新舉措、新本領,而不是因噎廢食、自甘落後。
二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸,網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋,且一筆帶過,然猶有石破天驚之意。
三是開展國際合作。網路安全是全球面臨的共同問題,中國對廣泛開展國際合作持積極態度,合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等,目標是推動構建和平、安全、開放、合作的網路空間。
四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明,網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立,有必要通過立法增強領導小組及其辦公室的權威性。草案規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括,對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作,由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作,由網信部門會同國務院有關部門制定辦法或組織實施。由此,政府向解決分散、多頭和重復管理邁出了關鍵一步。
五是加強行業自律。要充分發揮行業組織作用,指導行業組織成員加強網路安全防護,促進行業健康發展。
六是強化網路安全頂層設計。頂層設計至關重要,首先是要制定網路安全國家戰略,對外宣示主張,對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃,確保戰略落地,確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。
七是建立和完善網路安全標准體系,充分發揮標准在網路安全建設中的指導性、規范性作用。
八是加大財政投入,以加快產業發展,深化技術研發,提升網路安全創新能力。
九是做好宣傳教育和 人才 培養工作。首先,要開展經常性的網路安全宣傳教育;其次,要通過學歷教育和在職培訓,採取多種方式培養網路安全人才。
三、關鍵信息基礎設施保護工作進入正軌
關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全,與前者不完全一致,但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點,有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」,並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網,重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統,即俗稱的「2+8」,相關保護工作也常抓不懈。但整體而言,我們與國外差距很大,已是國家安全的軟肋,草案為此設立了「關鍵信息基礎設施的運行安全」一節。
一是擴展了保護范圍。縱觀世界各國,凡是已經開展了網路安全建設的國家,其關鍵基礎設施的范圍幾乎都遠超過我們,例如美國有17類,而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍,包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營,運營者可能對其列為國家關鍵信息基礎設施不適應,但當網路服務商的用戶達到一定規模時,其安全已經不再是企業自身問題,而成為一個公共問題、社會問題甚至國家安全問題,理應承擔更多責任。一些國外機構可能會拿這個做文章,但事實上美國的關鍵基礎設施有87%受私營企業控制。
二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度,其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用,這個要求只能是基線(即基本要求),其有必要但並不足夠,特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外,保護關鍵信息基礎設施涉及很多工作,不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單,還包括一系列的管理工作和公共平台建設,不能由一項制度取代其他制度,理應對此建立專門制度。草案提出,關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求,如網路安全審查、風險評估等,草案則在具體條款中進行了明確。
三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務,解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任,但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了,也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說,這不僅僅是免責的需要,也是推動工作的需要,因為這些內設機構如果沒有強制性依據,很難得到業務部門的配合。此外,以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查,但誰都不用負責,重點行業往往無所適從、疲於應付。為此,草案明確了行業主管部門的監督指導職責,這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門,草案授權國家網信部門統籌協調有關部門,建立協作機制。特別是在網路安全檢查工作中,要杜絕某個部門前腳走,另一部門後腳來的現象。
四、兼具綜合法與專門法的特點
網路安全包含的內容太多,當前需要立法規范的事項也很多,於是就有了綜合法與專門法的爭議。一個基本事實是,目前世界上鮮見網路安全的綜合法,有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護,近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。
作為第一部網路安全法(《電子簽名法》不應該計算在內),草案首先要體現綜合性,其側重點應該在以下四個方面:
一是要明確部門、企業、社會組織和個人的權利、義務和責任。
二是規定國家網路安全工作的基本原則和理念。
三是將成熟的政策規定和措施上升為法律,為政府部門的工作提供法律依據,體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次,這些規定和措施往往經過了實踐檢驗,部門間爭議較小,有利於提高立法效率。
四是建立國家網路安全的一系列基本制度、形成制度框架,這些基本制度帶有全局性、基礎性,是推動基礎性工作、夯實基礎能力所必需。
此外,為了突出實用性,草案還應部分體現專門法的特點。這應從三個方面去考慮:
一是實施重點防護,對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。
二是防範重大威脅。例如,信息系統安全受控於人是我們面臨的心腹大患,斯諾登事件使我們進一步看清風險所在,這就要對供應鏈安全進行規范。
三是對普遍性、長期存在的社會訴求予以響應。
總體看,草案比較好地處理了綜合法與專門法的關系問題,但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開),或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法,原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外,草案沒有突出對公民個人權益的更多保護,如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘,這不能不說是小的遺憾。
五、「網路安全」的定義還可以更為妥帖
「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色,效果有雲泥之別。近年的工作中,我們用過「信息安全」,也用過「網路安全」,學者們各抒己見,一些部門也喜歡朝向有利於自身職能的角度去解釋,這些自不待言。但中央網路安全和信息化領導小組成立後,已經基本將其統一為「網路安全」。當然,國安委還是使用「信息安全」,《國家安全法》使用的是「網路與信息安全」,但這些已不會造成工作上的障礙。
只是這個「網路安全」實是「CyberSecurity」之譯,非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此,當草案試圖從「網路空間」的內涵上去解釋「網路」時,便挑戰了大眾的科技常識底線,且出現了「網路是指網路和系統」的尷尬。當然,如果就這么用下去,倒也自成一脈,但草案轉眼就去使用狹義的「網路」了,如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等,這里都是指的「network」。由此,草案中頻繁出現自己與自己打架的情況。
而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全,更是與「網路空間主權」沒有關聯。
解決這個問題的途徑是,網路就是網路,不要讓網路去包括信息系統。即,自始至終使用傳統意義上的「Network」概念。對於「網路安全」,則按「網路空間安全」去解釋即可。
另外,草案的起草堅持問題導向,對一些確有必要,但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益,但對於什麼是「原則性規定」則要仔細琢磨。
D. 經典的網路安全技術
互聯網上的新技術一旦出現,黑客就必須立刻學習,並用最短的時間掌握這項技術,這里所說的掌握並不是一般的了解,而是閱讀有關的「協議」(rfc)、深入了解此技術的機理,否則一旦停止學習,那麼依靠他以前掌握的內容,並不能維持他的「黑客身份」超過一年。
黑客的種類和行為
以我的理解,「黑客」大體上應該分為「正」、「邪」兩類,正派黑客依靠自己掌握的知識幫助系統管理員找出系統中的漏洞並加以完善,而邪派黑客則是通過各種黑客技能對系統進行攻擊、入侵或者做其他一些有害於網路的事情,因為邪派黑客所從事的事情違背了《黑客守則》,所以他們真正的名字叫「駭客」(Cracker)而非「黑客」(Hacker),也就是我們平時經常聽說的「黑客」(Cacker)和「紅客」(Hacker)。黑客的行為主要有以下幾種:
一、學習技術:
互聯網上的新技術一旦出現,黑客就必須立刻學習,並用最短的時間掌握這項技術,這里所說的掌握並不是一般的了解,而是閱讀有關的「協議」(rfc)、深入了解此技術的機理,否則一旦停止學習,那麼依靠他以前掌握的內容,並不能維持他的「黑客身份」超過一年。
初級黑客要學習的知識是比較困難的,因為他們沒有基礎,所以學習起來要接觸非常多的基本內容,然而今天的互聯網給讀者帶來了很多的信息,這就需要初級學習者進行選擇:太深的內容可能會給學習帶來困難;太「花哨」的內容又對學習黑客沒有用處。所以初學者不能貪多,應該盡量尋找一本書和自己的完整教材、循序漸進的進行學習。
二、偽裝自己:
黑客的一舉一動都會被伺服器記錄下來,所以黑客必須偽裝自己使得對方無法辨別其真實身份,這需要有熟練的技巧,用來偽裝自己的IP地址、使用跳板逃避跟蹤、清理記錄擾亂對方線索、巧妙躲開防火牆等。
偽裝是需要非常過硬的基本功才能實現的,這對於初學者來說成的上「大成境界」了,也就是說初學者不可能用短時間學會偽裝,所以我並不鼓勵初學者利用自己學習的知識對網路進行攻擊,否則一旦自己的行跡敗露,最終害的害是自己。
三、發現漏洞:
漏洞對黑客來說是最重要的信息,黑客要經常學習別人發現的漏洞,並努力自己尋找未知漏洞,並從海量的漏洞中尋找有價值的、可被利用的漏洞進行試驗,當然他們最終的目的是通過漏洞進行破壞或著修補上這個漏洞。
黑客對尋找漏洞的執著是常人難以想像的,他們的口號說「打破權威」,從一次又一次的黑客實踐中,黑客也用自己的實際行動向世人印證了這一點——世界上沒有「不存在漏洞」的程序。在黑客眼中,所謂的「天衣無縫」不過是「沒有找到」而已。
四、利用漏洞:
對於正派黑客來說,漏洞要被修補;對於邪派黑客來說,漏洞要用來搞破壞。而他們的基本前提是「利用漏洞」,黑客利用漏洞可以做下面的事情:
1、獲得系統信息:有些漏洞可以泄漏系統信息,暴露敏感資料,從而進一步入侵系統;
2、入侵系統:通過漏洞進入系統內部,或取得伺服器上的內部資料、或完全掌管伺服器;
3、尋找下一個目標:一個勝利意味著下一個目標的出現,黑客應該充分利用自己已經掌管的伺服器作為工具,尋找並入侵下一個系統;
黑客應掌握的基本技能
從這一節開始,我們就真正踏上學習黑客的道路了,首先要介紹的是作為一名初級黑客所必須掌握的基本技能,學習這可以通過這一節的閱讀了解到黑客並不神秘,而且學習起來很容易上手。為了保證初學者對黑客的興趣,所以本書採取了循環式進度,也就是說每一章節的內容都是獨立、全面的,學習者只有完整的學習過一章的內容,才能夠進而學習下一章的內容。
一、了解一定量的英文:
二、學會基本軟體的使用:
這里所說的基本軟體是指兩個內容:一個是我們日常使用的各種電腦常用命令,例如ftp、ping、net等;另一方面還要學會有關黑客工具的使用,這主要包括埠掃描器、漏洞掃描器、信息截獲工具和密碼破解工具等。因為這些軟體品種多,功能各不相同,所以本書在後面將會介紹幾款流行的軟體使用方法,學習者在掌握其基本原理以後,既可以選擇適合自己的,也可以在「第二部分」中找到有關軟體的開發指南,編寫自己的黑客工具。
三、初步了解網路協議和工作原理:
所謂「初步了解」就是「按照自己的理解方式」弄明白網路的工作原理,因為協議涉及的知識多且復雜,所以如果在一開始就進行深入研究,勢必會大大挫傷學習積極性。在這里我建議學習者初步了解有關tcp/ip協議,尤其是瀏覽網頁的時候網路是如何傳遞信息、客戶端瀏覽器如何申請「握手信息」、伺服器端如何「應答握手信息」並「接受請求」等內容,此部分內容將會在後面的章節中進行具體介紹。
四、熟悉幾種流行的編程語言和腳本:
同上面所述一樣,這里也不要求學習者進行深入學習,只要能夠看懂有關語言、知道程序執行結果就可以了。建議學習者初步學習C語言、asp和cgi腳本語言,另外對於htm超文本語言和php、java等做基本了解,主要學習這些語言中的「變數」和「數組」部分,因為語言之間存在內在聯系,所以只要熟練掌握其中一們,其他語言也可以一脈相同,建議學習C語言和htm超文本語言。
基本理論和基本知識之網路安全術語解釋
一、協議:
網路是一個信息交換的場所,所有接入網路的計算機都可以通過彼此之間的物理連設備行信息交換,這種物理設備包括最常見的電纜、光纜、無線WAP和微波等,但是單純擁有這些物理設備並不能實現信息的交換,這就好像人類的身體不能缺少大腦的支配一樣,信息交換還要具備軟體環境,這種「軟體環境」是人類實現規定好的一些規則,被稱作「協議」,有了協議,不同的電腦可以遵照相同的協議使用物理設備,並且不會造成相互之間的「不理解」。
這種協議很類似於「摩爾斯電碼」,簡單的一點一橫,經過排列可以有萬般變化,但是假如沒有「對照表」,誰也無法理解一分雜亂無章的電碼所表述的內容是什麼。電腦也是一樣,它們通過各種預先規定的協議完成不同的使命,例如RFC1459協議可以實現IRC伺服器與客戶端電腦的通信。因此無論是黑客還是網路管理員,都必須通過學習協議達到了解網路運作機理的目的。
每一個協議都是經過多年修改延續使用至今的,新產生的協議也大多是在基層協議基礎上建立的,因而協議相對來說具有較高的安全機制,黑客很難發現協議中存在的安全問題直接入手進行網路攻擊。但是對於某些新型協議,因為出現時間短、考慮欠周到,也可能會因安全問題而被黑客利用。
二、伺服器與客戶端:
最簡單的網路服務形式是:若乾颱電腦做為客戶端,使用一台電腦當作伺服器,每一個客戶端都具有向伺服器提出請求的能力,而後由伺服器應答並完成請求的動作,最後伺服器會將執行結果返回給客戶端電腦。這樣的協議很多。例如我們平時接觸的電子郵件伺服器、網站伺服器、聊天室伺服器等都屬於這種類型。另外還有一種連接方式,它不需要伺服器的支持,而是直接將兩個客戶端電腦進行連接,也就是說每一台電腦都既是伺服器、又是客戶端,它們之間具有相同的功能,對等的完成連接和信息交換工作。例如DCC傳輸協議即屬於此種類型。
從此看出,客戶端和伺服器分別是各種協議中規定的請求申請電腦和應答電腦。作為一般的上網用戶,都是操作著自己的電腦(客戶端),別且向網路伺服器發出常規請求完成諸如瀏覽網頁、收發電子郵件等動作的,而對於黑客來說則是通過自己的電腦(客戶端)對其他電腦(有可能是客戶端,也有可能是伺服器)進行攻擊,以達到入侵、破壞、竊取信息的目的。
三、系統與系統環境:
電腦要運作必須安裝操作系統,如今流行的操作系統主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等,這些操作系統各自獨立運行,它們有自己的文件管理、內存管理、進程管理等機制,在網路上,這些不同的操作系統既可以作為伺服器、也可以作為客戶端被使用者操作,它們之間通過「協議」來完成信息的交換工作。
四、IP地址和埠:
我們上網,可能會同時瀏覽網頁、收發電子郵件、進行語音聊天……如此多的網路服務項目,都是通過不同的協議完成的,然而網路如此之大,我們的電腦怎麼能夠找到服務項目所需要的電腦?如何在一台電腦上同時完成如此多的工作的呢?這里就要介紹到IP地址了。
每一台上網的電腦都具有獨一無二的IP地址,這個地址類似於生活中人們的家庭地址,通過網路路由器等多種物理設備(無需初級學習者理解),網路可以完成從一個電腦到另一個電腦之間的信息交換工作,因為他們的IP地址不同,所以不會出現找不到目標的混亂局面。但是黑客可以通過特殊的方法偽造自己電腦的IP地址,這樣當伺服器接受到黑客電腦(偽IP地址)的請求後,伺服器會將應答信息傳送到偽IP地址上,從而造成網路的混亂。當然,黑客也可以根據IP地址輕易的找到任何上網者或伺服器,進而對他們進行攻擊(想想現實中的入室搶劫),因而如今我們會看到很多關於《如何隱藏自己IP地址》的文章。
接下來我解釋一下上面提到的第二個問題:一台電腦上為什麼能同時使用多種網路服務。這好像北京城有八個城門一樣,不同的協議體現在不同的網路服務上,而不同的網路服務則會在客戶端電腦上開辟不同的埠(城門)來完成它的信息傳送工作。當然,如果一台網路伺服器同時開放了多種網路服務,那麼它也要開放多個不同的埠(城門)來接納不同的客戶端請求。
網路上經常聽到的「後門」就是這個意思,黑客通過特殊機能在伺服器上開辟了一個網路服務,這個服務可以用來專門完成黑客的目的,那麼伺服器上就會被打開一個新的埠來完成這種服務,因為這個埠是供黑客使用的,因而輕易不會被一般上網用戶和網路管理員發現,即「隱藏的埠」,故「後門」。
每一台電腦都可以打開65535個埠,因而理論上我們可以開發出至少65535種不同的網路服務,然而實際上這個數字非常大,網路經常用到的服務協議不過幾十個,例如瀏覽網頁客戶端和服務端都使用的是80號埠,進行IRC聊天則在服務端使用6667埠、客戶端使用1026埠等。
常用黑客軟體用途分類
一、防範:
這是從安全的角度出發涉及的一類軟體,例如防火牆、查病毒軟體、系統進程監視器、埠管理程序等都屬於此類軟體。這類軟體可以在最大程度上保證電腦使用者的安全和個人隱私,不被黑客破壞。網路伺服器對於此類軟體的需要也是十分重視的,如日誌分析軟體、系統入侵軟體等可以幫助管理員維護伺服器並對入侵系統的黑客進行追蹤。
二、信息搜集:
信息搜集軟體種類比較多,包括埠掃描、漏洞掃描、弱口令掃描等掃描類軟體;還有監聽、截獲信息包等間諜類軟體,其大多數屬於亦正亦邪的軟體,也就是說無論正派黑客、邪派黑客、系統管理員還是一般的電腦使用者,都可以使用者類軟體完成各自不同的目的。在大多數情況下,黑客使用者類軟體的頻率更高,因為他們需要依靠此類軟體對伺服器進行全方位的掃描,獲得盡可能多的關於伺服器的信息,在對伺服器有了充分的了解之後,才能進行黑客動作。
三、木馬與蠕蟲:
這是兩種類型的軟體,不過他們的工作原理大致相同,都具有病毒的隱藏性和破壞性,另外此類軟體還可以由擁有控制權的人進行操作,或由事先精心設計的程序完成一定的工作。當然這類軟體也可以被系統管理員利用,當作遠程管理伺服器的工具。
四、洪水:
所謂「洪水」即信息垃圾炸彈,通過大量的垃圾請求可以導致目標伺服器負載超負荷而崩潰,近年來網路上又開始流行DOS分散式攻擊,簡單地說也可以將其歸入此類軟體中。洪水軟體還可以用作郵件炸彈或者聊天式炸彈,這些都是經過簡化並由網路安全愛好者程序化的「傻瓜式」軟體,也就是本書一開始指責的「偽黑客」手中經常使用的軟體。
五、密碼破解:
網路安全得以保證的最實用方法是依靠各種加密演算法的密碼系統,黑客也許可以很容易獲得一份暗文密碼文件,但是如果沒有加密演算法,它仍然無法獲得真正的密碼,因此使用密碼破解類軟體勢在必行,利用電腦的高速計算能力,此類軟體可以用密碼字典或者窮舉等方式還原經過加密的暗文。
六、欺騙:
如果希望獲得上面提到的明文密碼,黑客需要對暗文進行加密演算法還原,但如果是一個復雜的密碼,破解起來就不是那麼簡單了。但如果讓知道密碼的人直接告訴黑客密碼的原型,是不是更加方便?欺騙類軟體就是為了完成這個目的而設計的。
七、偽裝:
網路上進行的各種操作都會被ISP、伺服器記錄下來,如果沒有經過很好的偽裝就進行黑客動作,很容易就會被反跟蹤技術追查到黑客的所在,所以偽裝自己的IP地址、身份是黑客非常重要的一節必修課,但是偽裝技術需要高深的網路知識,一開始沒有堅實的基礎就要用到這一類軟體了。
學習黑客的基本環境
一、操作系統的選擇:
我們經常聽說黑客酷愛Linux系統,這是因為Linux相對Windows提供了更加靈活的操作方式,更加強大的功能。例如對於IP地址的偽造工作,利用Linux系統編寫特殊的IP頭信息可以輕松完成,然而在Windows系統下卻幾乎不可能做到。但是Linux也有它不足的一面,這個系統的命令龐雜、操作復雜,並不適合初學者使用,而且對於個人學習者,並沒有過多的人會放棄「舒適」的Windows、放棄精彩的電腦 游戲 和便捷的操作方式,去全心投入黑客學習中。而且對於初學黑客的學習者來說,大多數網路知識都可以在Windows系統中學習,相對Linux系統,Windows平台下的黑客軟體也並不在少數,另外通過安裝程序包,Windows系統中也可以調試一定量的程序,因此初步學習黑客沒有必要從Linux入手。
本書使用的平台WindowsME,因為對於個人用戶來說,NT或者2000多少有些苛刻——系統配置要求太高;然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本書的大部分內容測試漏洞,從遠程伺服器出發,所以也不是非要WindowsME操作系統進行學習,對於少數系統版本之間的差異,學習者可以和我聯系獲得相應系統的學習方法。
二、需要的常用軟體:
如果你的系統是WindowsME,那麼告訴你一個好消息——你沒有必要安裝過多的額外軟體,因為我們接觸的黑客知識依靠系統提供給我們的命令和內置軟體就足可以完成了!除了基本的操作系統以外,學習者還需要安裝各類掃描器,之後下載一個比較優秀的木馬軟體、一個監聽類軟體,除此以外別無它求。如果有必要,讀者可以自行安裝本文上述軟體,然後學習其用法,但是我要告訴你,對於各類炸彈、還有網路上各式各樣的黑客軟體,在學習完本書後,你都可以自己製作、自己開發,根本沒有必要使用他人編寫的軟體。
對於掃描器和監聽軟體,我給出以下建議,並且在本書的後面還會對這幾個軟體進行詳細介紹:
這三個軟體都是免費的,而且功能異常強大。像xscanner是國產軟體,他集成了多種掃描功能於一身,並且同時支持控制台和圖形界面兩種操作方式,另外提供了詳細的漏洞使用說明。對於初學者來說,具備了這兩個工具,學習黑客已經綽綽有餘了。
三、額外的工具:
如果可以安裝下面的工具,將會對學習黑客有莫大的幫助,當然下面的軟體主要是學習額外內容並為「第二部分」學習作鋪墊用的,所以沒有也不會妨礙本書的學習。
1、後台伺服器:
擁有某些網路應用的後台服務程序,可以將自己的電腦設置成一個小型伺服器,用來學習相應的網路應用,從「內部」了解其運作機理,這將會大大提高自己對伺服器的感性認識,同時還能夠在激活伺服器的時候;監測自己伺服器上的數據,如果有其他黑客來攻擊,則可以清晰的記錄下對方的攻擊過程,從而學習到更多的黑客攻擊方法。對於本書而言,主要介紹網站的Perl和asp等腳本語言漏洞,所以可以安裝一個IIS或者HTTPD。然後在安裝ActivePerl,使自己的伺服器具備編譯cgi和pl腳本的能力。使用自己的伺服器還有一個好處,可以節省大量的上網時間,將學習、尋找漏洞的過程放到自己的電腦上,既節省了金錢、有不會對網路構成威脅,一舉兩得。
2、C語言編譯平台:
今後在學習黑客的路途中,將會遇到很多「屬於自己的問題」,這些問題網路上的其他人可能不會注意,所以無法找到相應的程序,這個時候學習者就要自己動手開發有關的工具了,所以安裝一個Borland C++將會非常便捷,通過這個編譯器,學習者既可以學習C語言,也能夠修改本書後面列出的一些小程序,打造一個屬於自己的工具庫
E. 淺說計算機網路安全技術的幾點問題
淺說計算機網路安全技術的幾點問題
【摘要】本文針對網路安全的三種技術方式進行說明,比較各種方式的特色以及可能帶來的安全風險或效能損失,並就信息交換加密技術的分類作以分杌針對PKI技術這一信息安全核心技術,論述了其安全體系的構成。
【關鍵詞】網路安全 防火牆 加密枝術 PKI技術
隨著計算機網路技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,網路的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網路信電的安全性變得日益重要起來,已被各個領域所重視。計算機網路安全從技術上來說,主要由防病毒、防火牆等多個安全組件組成,一個單獨的組件無法確保網路信息的安全性。目前廣泛運用和比較成熟的網路安全技術主要有:防火牆技術、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火牆技術
防火牆是指一個由軟體或和硬體設備組合而成,處於企業或網路群體計算機與外界通道之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。當一個網路接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。通過以防火牆為中心的安全方案配置,能將所有安全軟體配置在防火牆上。其次對網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時也能提供網路使用情況的統計數據。
當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網路安全問題對全局網路造成的影響。
二、數據加密技術
與防火牆相比,數據加密技術比較靈活,更加適用於開放的網路。數據加密主要用於對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊,雖無法避免,但卻可以有效地檢測;而對於被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密演算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。目前,廣為採用的一種對稱加密方式是數據加密標准DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信皂交換領域。
三、PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網路進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展勝。
1.認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網路用戶電子身份證明一證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的'該用戶。cA也要採取一系列相應的措施來防止電子證書被偽造或篡改。
2.注冊機構
RA(Registration Authorty)是用戶和CA的介面,它所獲得的用戶標識的准確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網路化、安全的且易於操作的RA系統。
3.密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關繫到整個PKI系統強健眭、安全性、可用性的重要因素。
4.證書管理與撤消系統
證書是用來綁定證書持有者身份和其相應公鑰的。這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的發布機制撤消證書或採用在線查詢機制,隨時查詢被撤消的證書。
四、結束語
網路安全是一個涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網路提供強大的安全服務。
;F. 網路安全等級保護2.0國家標准
等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級(自主保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級(指導保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級(監督保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級(強制保護級),等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級(專控保護級),等級保護對象受到破壞後,會對國家安全造成特別嚴重損害
相較於1.0版本,2.0在內容上到底有哪些變化呢?
1.0定級的對象是信息系統,2.0標準的定級的對象擴展至:基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統,覆蓋面更廣。
再者,在系統遭到破壞後,對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後,等保2.0標准不再強調自主定級,而是強調合理定級,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。
總結通過建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據:《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
G. 網路安全方案框架編寫時需要注意什麼
總體上說,一份安全解決方案的框架涉及6大方面:
1、概要安全風險分析;
2、實際安全風險分析;
3、網路系統的安全原則;
4、安全產品;
5、風險評估;
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
4、對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
7、方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。
H. 網路安全的關鍵技術有哪些
一.虛擬網技術
虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換)。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此,網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。
由以上運行機制帶來的網路安全的好處是顯而易見的:信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。通過虛擬網設置的訪問控制,使在虛擬網外的網路節點不能直接訪問虛擬網內節點。但是,虛擬網技術也帶來了新的安全問題:
執行虛擬網交換的設備越來越復雜,從而成為被攻擊的對象。
基於網路廣播原理的入侵監控技術在高速交換網路內需要特殊的設置。
基於MAC的VLAN不能防止MAC欺騙攻擊。
乙太網從本質上基於廣播機制,但應用了交換器和VLAN技術後,實際上轉變為點到點通訊,除非設置了監聽口,信息交換也不會存在監聽和插入(改變)問題。
但是,採用基於MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此,VLAN的劃分最好基於交換機埠。但這要求整個網路桌面使用交換埠或每個交換埠所在的網段機器均屬於相同的VLAN。
網路層通訊可以跨越路由器,因此攻擊可以從遠方發起。IP協議族各廠家實現的不完善,因此,在網路層發現的安全漏洞相對更多,如IP sweep, teardrop, sync-flood, IP spoofing攻擊等。
二.防火牆枝術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.
防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.
雖然防火牆是保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火牆系統,提出了防火牆概念後,防火牆技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火牆產品系列.
防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網路系統如果答案是"是",則說明企業內部網還沒有在網路層採取相應的防範措施.
作為內部網路與外部公共網路之間的第一道屏障,防火牆是最先受到人們重視的網路安全產品之一.雖然從理論上看,防火牆處於網路安全的最底層,負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務.另外還有多種防火牆產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
1、使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務,Firewall可以極大地提高網路安全和減少子網中主機的風險。
例如,Firewall可以禁止NIS、NFS服務通過,Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機,同時禁止訪問另外的主機。例如,Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理,在Firewall定義的安全規則可以運用於整個內部網路系統,而無須在內部網每台機器上分別設立安全策略。如在Firewall可以定義不同的認證方法,而不需在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過—次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息,如Finger和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊,提供關於網路使用的統計數據,並且,Firewall可以提供統計數據,來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時,網路安全取決於每台主機的用戶。
2、 設置Firewall的要素
網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級,高級的網路策略定義允許和禁止的服務以及如何使用服務,低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。
服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問(如撥入策略、SLIP/PPP連接等)。
服務訪問策略必須是可行的和合理的。可行的策略必須在阻止己知的網路風險和提供用戶服務之間獲得平衡。典型的服務訪問策略是:允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務;允許內部用戶訪問指定的Internet主機和服務。
Firewall設計策略
Firewall設計策略基於特定的firewall,定義完成服務訪問策略的規則。通常有兩種基本的設計策略:
允許任何服務除非被明確禁止;
禁止任何服務除非被明確允許。
通常採用第二種類型的設計策略。
3、 Firewall的基本分類
包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術.網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源埠和目標埠等.防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源,目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆.
網路地址轉換(NAT)
是一種用於把IP地址轉換成臨時的,外部的,注冊的IP地址標准.它允許具有私有IP地址的內部網路訪問網際網路.它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址.
在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄.系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址.在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問.OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求.網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
代理型
代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
監測型監測型
防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由於這種產品是基於應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網路的信息外泄.正是由於應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網路應用協議的有效支持和對網路整體性能的影響上。
4、 建設Firewall的原則
分析安全和服務需求
以下問題有助於分析安全和服務需求:
√ 計劃使用哪些Internet服務(如http,ftp,gopher),從何處使用Internet服務(本地網,撥號,遠程辦公室)。
√ 增加的需要,如加密或拔號接入支持。
√ 提供以上服務和訪問的風險。
√ 提供網路安全控制的同時,對系統應用服務犧牲的代價。
策略的靈活性
Internet相關的網路安全策略總的來說,應該保持一定的靈活性,主要有以下原因:
√ Internet自身發展非常快,機構可能需要不斷使用Internet提供的新服務開展業務。新的協議和服務大量涌現帶來新的安全問題,安全策略必須能反應和處理這些問題。
√ 機構面臨的風險並非是靜態的,機構職能轉變、網路設置改變都有可能改變風險。
遠程用戶認證策略
√ 遠程用戶不能通過放置於Firewall後的未經認證的Modem訪問系統。
√ PPP/SLIP連接必須通過Firewall認證。
√ 對遠程用戶進行認證方法培訓。
撥入/撥出策略
√ 撥入/撥出能力必須在設計Firewall時進行考慮和集成。
√ 外部撥入用戶必須通過Firewall的認證。
Information Server策略
√ 公共信息伺服器的安全必須集成到Firewall中。
√ 必須對公共信息伺服器進行嚴格的安全控制,否則將成為系統安全的缺口。
√ 為Information server定義折中的安全策略允許提供公共服務。
√ 對公共信息服務和商業信息(如email)講行安全策略區分。
Firewall系統的基本特徵
√ Firewall必須支持.「禁止任何服務除非被明確允許」的設計策略。
√ Firewall必須支持實際的安全政策,而非改變安全策略適應Firewall。
√ Firewall必須是靈活的,以適應新的服務和機構智能改變帶來的安全策略的改變。
√ Firewall必須支持增強的認證機制。
√ Firewall應該使用過濾技術以允許或拒絕對特定主機的訪問。
√ IP過濾描述語言應該靈活,界面友好,並支持源IP和目的IP,協議類型,源和目的TCP/UDP口,以及到達和離開界面。
√ Firewall應該為FTP、TELNET提供代理服務,以提供增強和集中的認證管理機制。如果提供其它的服務(如NNTP,http等)也必須通過代理伺服器。
√ Firewall應該支持集中的SMTP處理,減少內部網和遠程系統的直接連接。
√ Firewall應該支持對公共Information server的訪問,支持對公共Information server的保護,並且將Information server同內部網隔離。
√ Firewall可支持對撥號接入的集中管理和過濾。
√ Firewall應支持對交通、可疑活動的日誌記錄。
√ 如果Firewall需要通用的操作系統,必須保證使用的操作系統安裝了所有己知的安全漏洞Patch。
√ Firewall的設計應該是可理解和管理的。
√ Firewall依賴的操作系統應及時地升級以彌補安全漏洞。
5、選擇防火牆的要點
(1) 安全性:即是否通過了嚴格的入侵測試。
(2) 抗攻擊能力:對典型攻擊的防禦能力
(3) 性能:是否能夠提供足夠的網路吞吐能力
(4) 自我完備能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP網管
(6) VPN支持
(7) 認證和加密特性
(8) 服務的類型和原理
(9)網路地址轉換能力
三.病毒防護技術
病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯,病毒的傳播途徑和速度大大加快。
我們將病毒的途徑分為:
(1 ) 通過FTP,電子郵件傳播。
(2) 通過軟盤、光碟、磁帶傳播。
(3) 通過Web游覽傳播,主要是惡意的Java控制項網站。
(4) 通過群件系統傳播。
病毒防護的主要技術如下:
(1) 阻止病毒的傳播。
在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。
(2) 檢查和清除病毒。
使用防病毒軟體檢查和清除病毒。
(3) 病毒資料庫的升級。
病毒資料庫應不斷更新,並下發到桌面系統。
(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體,禁止未經許可的控制項下載和安裝。
四.入侵檢測技術
利用防火牆技術,經過仔細的配置,通常能夠在內外網之間提供安全的網路保護,降低了網路安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠:
(1) 入侵者可尋找防火牆背後可能敞開的後門。
(2) 入侵者可能就在防火牆內。
(3) 由於性能的限制,防火焰通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等。
實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊,其次它能夠縮短hacker入侵的時間。
入侵檢測系統可分為兩類:
√ 基於主機
√ 基於網路
基於主機的入侵檢測系統用於保護關鍵應用的伺服器,實時監視可疑的連接、系統日誌檢查,非法訪問的闖入等,並且提供對典型應用的監視如Web伺服器應用。
基於網路的入侵檢測系統用於實時監控網路關鍵路徑的信息,其基本模型如右圖示:
上述模型由四個部分組成:
(1) Passive protocol Analyzer網路數據包的協議分析器、將結果送給模式匹配部分並根據需要保存。
(2) Pattern-Matching Signature Analysis根據協議分析器的結果匹配入侵特徵,結果傳送給Countermeasure部分。
(3) countermeasure執行規定的動作。
(4) Storage保存分析結果及相關數據。
基於主機的安全監控系統具備如下特點:
(1) 精確,可以精確地判斷入侵事件。
(2) 高級,可以判斷應用層的入侵事件。
(3) 對入侵時間立即進行反應。
(4) 針對不同操作系統特點。
(5) 佔用主機寶貴資源。
基於網路的安全監控系統具備如下特點:
(1) 能夠監視經過本網段的任何活動。
(2) 實時網路監視。
(3) 監視粒度更細致。
(4) 精確度較差。
(5) 防入侵欺騙的能力較差。
(6) 交換網路環境難於配置。
基於主機及網路的入侵監控系統通常均可配置為分布式模式:
(1) 在需要監視的伺服器上安裝監視模塊(agent),分別向管理伺服器報告及上傳證據,提供跨平台的入侵監視解決方案。
(2) 在需要監視的網路路徑上,放置監視模塊(sensor),分別向管理伺服器報告及上傳證據,提供跨網路的入侵監視解決方案。
選擇入侵監視系統的要點是:
(1) 協議分析及檢測能力。
(2) 解碼效率(速度)。
(3) 自身安全的完備性。
(4) 精確度及完整度,防欺騙能力。
(5) 模式更新速度。
五.安全掃描技術
網路安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。
安全掃描工具源於Hacker在入侵網路系統時採用的工具。商品化的安全掃描工具為網路安全漏洞的發現提供了強大的支持。
安全掃描工具通常也分為基於伺服器和基於網路的掃描器。
基於伺服器的掃描器主要掃描伺服器相關的安全漏洞,如password文件,目錄和文件許可權,共享文件系統,敏感服務,軟體,系統漏洞等,並給出相應的解決辦法建議。通常與相應的伺服器操作系統緊密相關。
基於網路的安全掃描主要掃描設定網路內的伺服器、路由器、網橋、變換機、訪問伺服器、防火牆等設備的安全漏洞,並可設定模擬攻擊,以測試系統的防禦能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。網路安全掃描的主要性能應該考慮以下方面:
(1) 速度。在網路內進行安全掃描非常耗時。
(2) 網路拓撲。通過GUI的圖形界面,可迭擇一步或某些區域的設備。
(3) 能夠發現的漏洞數量。
(4) 是否支持可定製的攻擊方法。通常提供強大的工具構造特定的攻擊方法。因為網路內伺服器及其它設備對相同協議的實現存在差別,所以預制的掃描方法肯定不能滿足客戶的需求。
(5) 報告,掃描器應該能夠給出清楚的安全漏洞報告。
(6) 更新周期。提供該項產品的廠商應盡快給出新發現的安生漏洞掃描特性升級,並給出相應的改進建議。
安全掃描器不能實時監視網路上的入侵,但是能夠測試和評價系統的安全性,並及時發現安全漏洞。
六. 認證和數宇簽名技術
認證技術主要解決網路通訊過程中通訊雙方的身份認可,數字簽名作為身份認證技術中的一種具體技術,同時數字簽名還可用於通信過程中的不可抵賴要求的實現。
認證技術將應用到企業網路中的以下方面:
(1) 路由器認證,路由器和交換機之間的認證。
(2) 操作系統認證。操作系統對用戶的認證。
(3) 網管系統對網管設備之間的認證。
(4) VPN網關設備之間的認證。
(5) 撥號訪問伺服器與客戶間的認證。
(6) 應用伺服器(如Web Server)與客戶的認證。
(7) 電子郵件通訊雙方的認證。
數字簽名技術主要用於:
(1) 基於PKI認證體系的認證過程。
(2) 基於PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。
認證過程通常涉及到加密和密鑰交換。通常,加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
UserName/Password認證
該種認證方式是最常用的一種認證方式,用於操作系統登錄、telnet、rlogin等,但由於此種認證方式過程不加密,即password容易被監聽和解密。
使用摘要演算法的認證
Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要演算法(MD5)進行認證,由於摘要演算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,敏感信息不在網路上傳輸。市場上主要採用的摘要演算法有MD5和SHA-1。
基於PKI的認證
使用公開密鑰體系進行認證和加密。該種方法安全程度較高,綜合採用了摘要演算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效率結合起來。後面描述了基於PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用伺服器訪問、客戶認證、防火牆驗證等領域。
該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
I. 如何實現網路安全措施
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關系,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。
J. 有誰可以推薦基本有關網路安全的書籍。
實戰網路安全——實戰網路技術叢書 ¥30.40元
本書闡述了網路所涉及的安全問題,還通過實例、實訓來增強讀者的理解及動手能力。主要內容包括網路安全基礎知識、物理與環境安全、操作系統安全、網路通信安全、Web安全、數據安全、病毒及其預防、黑客攻擊與防範、防火牆技術及有關網路安全的法律法規。本書不僅?...
網路安全CISCO解決方案 ¥33.25元
雖然Cisco Systems公司通過推出Cisco Secure產品系列來幫助客戶建立安全的網路,但到目前為止,國內尚沒有使用cisco Secure產品系列來解決網際網路安全性問題的出版物,本書的出版填補了這一空白。本書英文原版的作者都是具有高深資深的網路安全專家,其中主筆人Andrew ...
Microsoft,UNIX及Oracle主機和網路安全 ¥75.05元
本書凝聚了數十位權威的國際安全專家的實戰經驗和技術總結。它不僅提供了Windows系統、UNIX系統和Oracle系統的主機及網路安全解決方案,而且包括了企業的安全管理規范和原則;它既高屋建瓴地描述了企業內部網整體面臨的安全威脅和漏洞,又細致地介紹了Windows,UNIX ...
黑客大曝光:網路安全機密與解決方案(第3版,1CD) ¥75.05元
本書從攻擊者和防禦者的不同角度系統地闡述了計算機和網路入侵手段以及相應的防禦措施。學習本書中,可以研磨著名安全專家Stuart McClure,Joel Scambary和George Kurtz提供的最新的最為詳細的滲透和攻擊實例,並向他們學習如何一步步地保護系統。此外,書中還增添?...
MICROSOFF,UNIX及ORACLE主機和網路安全 ¥75.05元
本書凝聚了數十位權威的國際安全專家的實戰經驗和技術總結。它不僅提供了Windows系統、UNIX系統和Oracle系統的主機及網路安全解決方案,而且包括了企業的安全管理規范和原則;它既高屋建瓴地描述了企業內部網整體面臨的安全威脅和漏洞,又細致地介紹了Windows,UNIX,O ...
網路安全概論——安全技術大系 ¥39.90元
本書全面系統地介紹了網路安全的概念、原理及體系架構,詳細論述了密碼技術、公鑰基礎設施(PKI)、特權管理基礎設施(PMI)、網路層安全性問題,以及Web、電子郵件、資料庫安全和操作系統的安全性問題,並對最新的防火牆技術、網路攻擊技術和黑客入侵檢測技術、計算機?...
網路安全實用教程 (第二版) ¥42.75元
本書介紹的知識可以保護您的數字化知識、數據和功能不被誤用和篡改。本書詳細介紹了防火牆實現方法、無線網路、桌面保護系統、生物識別技術和大量最新的核心安全措施。理解攻擊的4種方式以及每一種攻擊方式對機構造成的損害,有助於保護信息和系統的基本安全服務。通過?...
網路安全——公眾世界中秘密通信 ¥42.75元
本書全面闡述了信息安全理論,全書共分五個部分,即密碼學、認證、標准、電子郵件以及其他安全機制。其中,第一部分闡述了密碼演算法的基本原理以及各種經典的和現代的加密演算法。第二部分介紹了如何在網路中證明身份、人在向設備證明自己的身份時可能碰到的問題、認證握手 ...
計算機網路安全 ¥17.10元
隨著計算機網路技術的廣泛應用和飛速發展,計算機信息網路已成為現代信息社會的基礎設施。它作為進行信息交流、開展各種社會活動的基礎工具,已深入到人們工作和生活當中。同時,計算機安全問題也隨之日益突出,計算機病毒擴散、網路黑客攻擊、計算機網路犯罪等違法事件 ...
移動網路安全技術與應用 ¥30.40元
本書從實際應用角度出發,先從整體上對移動網路、移動網路面臨的安全威脅、移動網路相對於有線網路的特點等做了簡要介紹,並給讀者提供了必要的基礎知識,然後從移動安全技術、移動安全攻與防、部署移動安全、移動安全應用四個方面對移動網路安全做了細致的描述和討論。 ...
密碼學與網路安全(影印版) ¥45.60元
本書清晰易懂地介紹了密碼學和網路安全的基本概念和實際問題,探討了加密、解密、對稱和不對稱密鑰,詳細分析和解釋了各種主要密碼演算法,包括數據加密標准(DES),國際數據加密演算法(IDEA),RC5,Blowfish,先進加密標准(AES),RSA,數字簽名演算法(DSA)等,並討論了主要用?...
網路安全——公眾世界中的秘密通信(第二版) ¥42.75元
本書全面闡述了信息安全理論,全書共分五個部分,即密碼學、認證、標准、電子郵件以及其他安全機制。其中,第一部分闡述了密碼演算法的基本原理以及各種經典的和現代的加密演算法。第二部分介紹了如何在網路中證明身份、人在向設備證明自己的身份時可能碰到的問題、認證握?...
計算機網路安全 ¥27.55元
本書以網路安全通常採取的安全措施(對策)為主線,系統地介紹了網路安全知識和技術,重點介紹了網路系統的安全運行和網路信息的安全保護,內容包括操作系統安全、資料庫與數據安全、網路實體安全、數據加密與鑒別、防火牆安全、網路病毒防治、入侵檢測與防護、黑客攻擊及 ...
計算機網路安全 ¥27.55元
...
黑客大曝光:網路安全機密與解決方案(第5版) ¥74.10元
網際網路是一個脆弱的生態系統,沒有什麼人能夠確保贏得勝利。作為一家全球性的信息安全技術公司的總裁,我曾經親眼目睹Nimda、Blaster和Fun Love等蠕蟲像納粹德國發動的閃電戰那樣洗劫了無數的公司。在這類攻擊活動剛爆發時的關鍵而又混亂的幾個小時里,全世界的信息安全 ...
密碼學與網路安全 ¥40.85元
Atul Kahate在印度和世界IT業中已經有8年的工作經驗,他取得了統計學學士學位和計算機系統專業的MBA學位。這是他撰寫的第二部IT專著,他過去曾為Tata McGraw-Hill出版公司與他人合寫了「Web Technologies -TCP/IP to Internet Application Architectures」一書。目前,?...
網路安全實用教程(第二版) ¥42.75元
本書介紹的知識可以保護您的數字化知識、數據和功能不被誤用和篡改。本書詳細介紹了防火牆實現方法、無線網路、桌面保護系統、生物識別技術和大量最新的核心安全措施。理解攻擊的4種方式以及每一種攻擊方式對機構造成的損害,有助於保護信息和系統的基本安全服務通過指?...
網路安全實用技術標准教程 ¥23.75元
本書詳細闡述了計算機網路安全的相關機制,整體安全機制分為防禦、攻擊、網路安全管理和整體安全體系幾個部分。第1部分從常見的防禦機制出發,從網路安全產品入手介紹了防火牆、入侵偵測系統,同時從網路層次體系的角度出發,詳細描述了網路層的協議、面臨的攻擊和相應?...
網路安全設計標准教程 ¥23.75元
本書詳細敘述利用Windows Server 2003構建安全網路的基礎知識。內容主要分為兩部分:第一部分介紹網路安全和操作系統的基本概念,包括網路安全概論、網路攻擊的目的、方法和原理以及操作系統概論和Windows Server 2003的簡要介紹;第二部分詳細介紹有關Windows Server 2 ...
網路安全——技術與實踐 ¥46.55元
全書共分3篇15章。第1篇為網路安全基礎篇,共3章,主要討論了網路安全的基礎知識,並從網路協議安全性的角度出發,闡述了當今計算機網路中存在的安全威脅;第2篇為保密學基礎,共5章,較詳細地討論了網路安全中涉及的各種密碼技術;第3篇為網路安全實踐,共7章,主要介?...
網路安全與電子商務 ¥19.95元
本書從網路安全的概念和基本知識入手,介紹了網路及通信安全、黑客及其防範、病毒及其防治、防火牆和加密技術、數字簽名與身份認證、操作系統與數據安全、安全電子交易協議和網路安全管理等內容。在編寫體例方面,網路安全在前,電子商務安全在後,網路安全威脅在前,防 ...
Cisco 網路安全 ¥28.31元
實用的、權威的Cisco網路安全指南。本書是關於Cisco網路安全中關鍵要素的實現和配置的最實用、最方便的指南!資深網路安全顧問James Pike為Cisco安全產品的實現和配置提供了循序漸進的指南——包括使用PIX防火牆的深入介紹。 ...
計算機網路安全與管理 ¥31.35元
本書針對計算機學科的特點,主要介紹加密演算法在該領域的基本實現和應用。書中不過多講述原理,而是在綜合介紹各種網路攻擊和防範技術的基礎上,進一步強調如何用動態的手段來解決動態發展的網路安全問題。所應用的管理手段包括對設備、技術、人員、業務等各個方面的 ...
計算機網路安全技術(第二版) ¥24.70元
本書是對第一版內容進行更新後形成的第二版。 本書詳細介紹了計算機網路安全技術的基礎理論、原理及其實現方法。內容包括計算機網路安全技術概論、計算機網路安全基礎、實體安全與硬體防護技術、密碼技術與壓縮技術、資料庫系統安全、網路存儲備份技術、計算機 ...
家用電腦網路安全防護與隱私保護掌中寶 ¥9.50元
全書分為網路安全基礎篇、網路防護實戰篇和個人隱私保護篇。從家用電腦使用過程中經常碰到的各類問題著手,針對與網路安全相關的病毒、黑客、木馬、郵件炸彈、個人隱私等內容進行詳細介紹,並提出了各種相關的防範措施。 本書適合於家用電腦網路用戶以及有一 ...