第二部分:信息网络安全技术与安全专用产品
    一、做好口令保护
    防范入侵的前线是口令系统。口令用于验证登录用户的身份标识。应当建立用户帐号管理,设置对文件、目录、打印机和其他资源的访问权限,加强口令管理(如设置生效期等)和检查,避免使用公共帐号,教育用户保管好口令并避免使用过于简单的口令。保护口令的一种方法是口令加密,就是为一进步防止口令泄露,口令在系统中保存时,以加密的形式存放。阻止口令攻击的另一种方法是拒绝入侵者访问口令文件,如果只有一个特权用户能够访问口令文件的加密部分,那么入侵者如果不知道该用户的口令,就无法读取它。   二、系统后门和安全补丁
   
    后门是一种可以绕过安全性控制而获得对程序或系统访问权的隐蔽程序或方法。在软件的开发阶段,程序员常会在软件内创建后门以便修改程序。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么就可能被利用来建立隐蔽通道,甚至植入隐蔽的恶意程序,达到非法访问或窃取、篡改、伪造、破坏数据等目的。现在后门多指系统被入侵后被安装的具有控制系统权限的程序,通过它黑客可以远程控制系统。
    漏洞是软件在开发的过程中没有考虑到的某些缺陷,也叫软件的bug。操作系统和应用软件都是存在安全漏洞的,这些漏洞不断地被发现。安全补丁是软件开发厂商为堵塞安全漏洞,提高软件的安全性和稳定性,开发的与原软件结合或对原软件升级的程序。因此,要定期从厂商处获取并安装最新的补丁程序,避免从非正规望站下载未知的补丁程序而被欺骗。
    三、身份认证技术
    身份认证技术主要包括数字签名、身份验证和数字证明。数字签名又称电子加密,可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的,一般要采用一种称为摘要的技术,摘要技术主要是采用HASH 函数(HASH(哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称HASH值)将一段长的报文通过函数变换,转换为一段定长的报文,即摘要。身份识别是指用户向系统出示自己×××明的过程,主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。数字证明机制提供利用公开密钥进行验证的方法。
    四、防火墙的种类与选择
    传统上认为,防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它通过允许、拒绝或重新定向经过防火墙的数据流,防止不希望的、未授权的通信,并对进、出内部网络的服务和访问进行审计和控制,本身具有较强的抗攻击能力,对网络用户基本上是“透明”的,并且只有授权的管理员方可对防火墙进行管理。目前,市场上有六种基本类型的防火墙,分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。
    嵌入式防火墙:就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
    基于软件的防火墙:是能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来,添加一个基于软件的防火墙就是合理之举。
    基于硬件的防火墙:捆绑在“交钥匙”系统(Turnkey system)内,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。 特殊防火墙:是侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙,但也具有防火墙类规则和应用防范禁闭功能。
    五、入侵检测系统的作用
    入侵检测系统(IDS,Intrusion Detection System)是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。
    通常,入侵检测系统按其输入数据的来源分为三种:基于主机的入侵检测系统,其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵;基于网络的入侵检测系统,其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵;分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统由多个部件组成,采用分布式结构。
    六、什么是安全漏洞扫描技术
    漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。
    常规标准,可以将漏洞扫描器分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Network Scanner)。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如提供网络服务、后门程序、密码破解和阻断服务等的扫描测试。主机漏洞扫描器是指针对操作系统内部进行的扫描,如Unix、NT、Liunx系统日志文件分析,可以弥补网络型安全漏洞扫描器只从外面通过网络检查系统安全的不足。一般采用Client/Server的架构,其会有一个统一控管的主控台(Console)和分布于各重要操作系统的Agents,然后由Console端下达命令给Agents进行扫描,各Agents再回报给Console扫描的结果,最后由Console端呈现出安全漏洞报表。除了上述二大类的扫描器外,还有一种专门针对数据库作安全漏洞检查的扫描器,主要功能为找出不良的密码设定、过期密码设定、侦测登入攻击行为、关闭久未使用的帐户,而且能追踪登入期间的限制活动等,数据库的安全扫描也是信息网络安全内很重要的一环。
    七、物理隔离器和逻辑隔离器的作用
    物理隔离器是一种不同网络间的隔离部件,通过物理隔离的方式使两个网络在物理连线上完全隔离,且没有任何公用的存储信息,保证计算机的数据在网际间不被重用。一般采用电源切换的手段,使得所隔离的区域始终处在互不同时通电的状态下(对硬盘、软驱、光驱,也可通过在物理上控制IDE线实现)。被隔离的两端永远无法通过隔离部件交换信息。
    逻辑隔离器也是一种不同网络间的隔离部件,被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。一般使用协议转换、数据格式剥离和数据流控制的方法,在两个逻辑隔离区域中传输数据。并且传输的方向是可控状态下的单向,不能在两个网络之间直接进行数据交换。
    八、什么是信息内容过滤产品现在网络上大量的×××、反动、暴力、×××等不良信息,以及垃圾邮件、病毒邮件、泄密邮件和网络聊天等问题,一直令企业领导者及网络管理者感到头疼。采取信息内容过滤产品可以有效的防止这些不良信息的入侵,有效的减轻网络管理人员及信息安全工作者的工作。信息过滤产品可以对互联网上的信息内容进行实时分析,对预先定义的非法信息内容进行过滤和拦截。信息过滤产品按其针对的服务进行分类,主要可分为:HTTP、邮件、TELNET(BBS)、FTP等。
    九、介绍×××技术
    ×××即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,×××是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。×××可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
    ××× 架构中采用了多种安全机制,如隧道技术(Tunneling)、加解密技术(Encryption)、密钥管理技术、身份认证技术(Authentication)等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。
    十、安全操作系统和安全数据库
    安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。安全操作系统主要特征:1、最小特权原则,即每个特权用户只拥有能进行他工作的权力;2、自主访问控制;强制访问控制,包括保密性访问控制和完整性访问控制;3、安全审计;4、安全域隔离。只要有了这些最底层的安全功能,各种混为“应用软件”的病毒、木马程序、网络入侵和人为非法操作才能被真正抵制,因为它们违背了操作系统的安全规则,也就失去了运行的基础。
    数据库的安全性包括:机密性、完整性和可用性,数据库在三个层次上,客户机 /服务器通过开放的网络环境,跨不同硬件和软件平台通信,数据库安全问题在这个环境下变得更加复杂。管理分布或联邦数据库环境,每个结点服务器还能自治实行集中式安全管理和访问控制,对自己创建的用户、规则、客体进行安全管理。如由DBA或安全管理员执行本部门、本地区、或整体的安全策略,授权特定的管理员管理各组应用程序、用户、规则和数据库。因此访问控制和安全管理尤为重要。安全数据库是指数据库管理系统必须允许系统管理员有效地管理数据库管理系统和它的安全,并且只有被授权的管理员才可以使用这些安全功能和设备。数据库管理系统保护的资源包括数据库管理系统存储、处理或传送的信息。数据库管理系统阻止对信息的未授权访问,以防止信息的泄漏、修改和破坏。
    十一、网页恢复产品的用途
    网页恢复产品是对受保护网页目录、文件的未授权破坏进行识别,并能用备份目录、文件进行自动恢复,主要包括:1、网页目录、文件未授权增加的恢复;2、网页目录、文件未授权删除的恢复;3、网页目录、文件未授权修改(包括目录、文件属性修改、重命名、移动等)的恢复。
    十二、安全审计产品
    安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,分为用户自主保护、系统审计保护两级。
    网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否安全的重要尺度。
    十三、什么是PKI/CA
    PKI(Public Key Infrastructure)指的是公钥基础设施。CA(Certificate Authority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍。CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA主要由最终用户、认证中心和注册机构来组成。
    (1)、PKI/CA的工作原理
    PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。
    (2)、什么是数字证书?
    数字证书就像日常生活中的×××、驾驶证,在您需要表明身份的时候,必须出示证件来明确身份。您在参与电子商务的时候就依靠这种方式来表明您的真实身份。
    (3)、什么是认证中心(CA)?
    一个认证中心是以它为信任源,由她维护一定范围的信任体系,在该信任体系中的所有用户、服务器,都被发放一张数字证书来证明其身份已经被鉴定过,并为其发放一张数字证书,每次在进行交易的时候,通过互相检查对方的数字证书即可判别是否是本信任域中的可信体。
    (4)、什么是注册机构?
    注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。
    (5)、 PKI/CA的作用?
    以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。PKI/CA解决方案已经普遍地应用于全球范围的电子商务应用中,为电子商务保驾护航,为电子商务的健康开展扫清了障碍。
十四、电磁泄漏和电磁干扰
        电磁泄漏是指信息系统的设备在工作时能经过地线、电源线、信号线、寄生电磁信号或谐波等辐射出去,产生电磁泄漏。这些电磁信号如果被接收下来,经过提取处理,就可恢复出原信息,造成信息失密。具有保密要求的计算机信息系统必须注意防止电磁泄漏。
    电磁干扰是指雷电电磁脉冲、电网操作过电压、静电放电等电磁场会对计算机信息系统运行造成干扰。
    十五、计算机信息系统雷击灾害与防雷保安器
    计算机设备大量采用的大规模集成电路芯片,其耐过电压、过电流的能力极低。在雷电天气状况下,避雷针引雷时,强大的雷电流经避雷针入地并在避雷针周围产生强电磁场,在电磁场内的电子设备可被感应出较高的雷电压、雷电流,造成电子设备损坏。
    计算机信息系统防范雷击灾害可以在与计算机连接的所有外线上(包括电源线和通信线)加设防雷保安器,同时规范地线,防止雷击时在地线上产生的高电位反击。
    十六、计算机信息系统安全专用产品销售许可管理
    销售许可管理是依据×××《×××计算机信息系统安全保护条例》和公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》的规定而实行的一项行政管理。我国境内的计算机安全专用产品进入市场销售须申领公安部颁发的销售许可证,已取得销售许可证的产品应在固定位置标明“销售许可”标记。
    十七、如何选择安全专用产品
    目前,我国计算机信息系统安全专用产品的种类已由单机防病毒产品发展到现在的网络防毒、防火墙、身份鉴别、网络隔离、网页保护、漏洞扫描、防攻击预警、操作系统、数据库等十几大类信息安全保护产品,产品的功能检测也随着安全保护技术的完善由简单的功能确认发展到分级检验。在选择安全专用产品时应当考虑产品的性价比、特征库的升级与维护费用、最大处理能力、产品的可伸缩性、运行与维护开销、产品是否容易被躲避及响应方法、是否获得安全专用产品销售许可证