| 網(wǎng)絡(luò)管理人員應(yīng)認(rèn)真分析各種可能的入侵和攻擊形式,制定符合實(shí)際需要的網(wǎng)絡(luò)安全策略,防止可能從網(wǎng)絡(luò)和系統(tǒng)內(nèi)部或外部發(fā)起的攻擊行為,重點(diǎn)防止那些來自具有敵意的國家、企事業(yè)單位、個(gè)人和內(nèi)部惡意人員的攻擊。 防止入侵和攻擊的主要技術(shù)措施包括訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、安全掃描、安全審計(jì)和安全管理。 一、訪問控制技術(shù) 訪問控制是網(wǎng)絡(luò)安全保護(hù)和防范的核心策略之一。訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用。訪問控制技術(shù)所涉及內(nèi)容較為廣泛,包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級安全控制,以及屬性安全控制等多種手段。 1.網(wǎng)絡(luò)登錄控制 網(wǎng)絡(luò)登錄控制是網(wǎng)絡(luò)訪問控制的第一道防線。通過網(wǎng)絡(luò)登錄控制可以限制用戶對網(wǎng)絡(luò)服務(wù)器的訪問,或禁止用戶登錄,或限制用戶只能在指定的工作站上進(jìn)行登錄,或限制用戶登錄到指定的服務(wù)器上,或限制用戶只能在指定的時(shí)間登錄網(wǎng)絡(luò)等。 網(wǎng)絡(luò)登錄控制一般需要經(jīng)過三個(gè)環(huán)節(jié),一是驗(yàn)證用戶身份,識別用戶名;二是驗(yàn)證用戶口令,確認(rèn)用戶身份;三是核查該用戶賬號的默認(rèn)權(quán)限。在這三個(gè)環(huán)節(jié)中,只要其中一個(gè)環(huán)節(jié)出現(xiàn)異常,該用戶就不能登錄網(wǎng)絡(luò)。其中,前兩個(gè)環(huán)節(jié)是用戶的身份認(rèn)證過程,是較為重要的環(huán)節(jié),用戶應(yīng)加強(qiáng)這個(gè)過程的安全保密性,特別是增強(qiáng)用戶口令的保密性。用戶可以使用一次性口令,或使用IC卡等安全方式來證明自己的身份。 網(wǎng)絡(luò)登錄控制是由網(wǎng)絡(luò)管理員依據(jù)網(wǎng)絡(luò)安全策略實(shí)施的。網(wǎng)絡(luò)管理員可以隨時(shí)建立或刪除普通用戶賬號,可以控制和限制普通用戶賬號的活動范圍、訪問網(wǎng)絡(luò)的時(shí)間和訪問方式,并對登錄過程進(jìn)行必要的審計(jì)。對于試圖非法登錄網(wǎng)絡(luò)的用戶,一經(jīng)發(fā)現(xiàn)立即報(bào)警。 2.網(wǎng)絡(luò)使用權(quán)限控制 當(dāng)用戶成功登錄網(wǎng)絡(luò)后,就可以使用其所擁有的權(quán)限對網(wǎng)絡(luò)資源(如目錄、文件和相應(yīng)設(shè)備等)進(jìn)行訪問。如果網(wǎng)絡(luò)對用戶的使用權(quán)限不能進(jìn)行有效的控制,則可能導(dǎo)致用戶的非法操作或誤操作。網(wǎng)絡(luò)使用權(quán)限控制就是針對可能出現(xiàn)的非法操作或誤操作提出來的一種安全保護(hù)措施。通過網(wǎng)絡(luò)使用權(quán)限控制可以規(guī)范和限制用戶對網(wǎng)絡(luò)資源的訪問,允許用戶訪問的資源就開放給用戶,不允許用戶訪問的資源一律加以控制和保護(hù)。 網(wǎng)絡(luò)使用權(quán)限控制是通過訪問控制表來實(shí)現(xiàn)的。在這個(gè)訪問控制表中,規(guī)定了用戶可以訪問的網(wǎng)絡(luò)資源,以及能夠?qū)@些資源進(jìn)行的操作。根據(jù)網(wǎng)絡(luò)使用權(quán)限,可以將網(wǎng)絡(luò)用戶分為三大類:一是系統(tǒng)管理員用戶,負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的配置和管理;二是審計(jì)用戶,負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全控制和資源使用情況的審計(jì);三是普通用戶,這是由系統(tǒng)管理員創(chuàng)建的用戶,其網(wǎng)絡(luò)使用權(quán)限是由系統(tǒng)管理員根據(jù)他們的實(shí)際需要授予的。系統(tǒng)管理員可隨時(shí)更改普通用戶的權(quán)限,或?qū)⑵鋭h除。 3.目錄級安全控制 用戶獲得網(wǎng)絡(luò)使用權(quán)限后,即可對相應(yīng)的目錄、文件或設(shè)備進(jìn)行規(guī)定的訪問。系統(tǒng)管理員為用戶在目錄級指定的權(quán)限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權(quán)限,則會對這些目錄、文件或設(shè)備等網(wǎng)絡(luò)資源構(gòu)成嚴(yán)重威脅。這時(shí)目錄級安全控制和屬性安全控制就可以防止用戶濫用權(quán)限。 一般情況下,對目錄和文件的訪問權(quán)限包括系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。目錄級安全控制可以限制用戶對目錄和文件的訪問權(quán)限,進(jìn)而保護(hù)目錄和文件的安全,防止權(quán)限濫用。 4.屬性安全控制 屬性安全控制是通過給網(wǎng)絡(luò)資源設(shè)置安全屬性標(biāo)記來實(shí)現(xiàn)的。當(dāng)系統(tǒng)管理員給文件、目錄和網(wǎng)絡(luò)設(shè)備等資源設(shè)置訪問屬性后,用戶對這些資源的訪問將會受到一定的限制。 通常,屬性安全控制可以限制用戶對指定文件進(jìn)行讀、寫、刪除和執(zhí)行等操作,可以限制用戶查看目錄或文件,可以將目錄或文件隱藏、共享和設(shè)置成系統(tǒng)特性等。 5.服務(wù)器安全控制 網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問者檢測和關(guān)閉的時(shí)間間隔。 二、防火墻技術(shù) 防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的惡意攻擊和入侵,為防止計(jì)算機(jī)犯罪,將入侵者拒之門外的網(wǎng)絡(luò)安全技術(shù)。防火墻是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的邊界,它能夠嚴(yán)密監(jiān)視進(jìn)出邊界的數(shù)據(jù)包信息,能夠阻擋入侵者,嚴(yán)格限制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問,也可有效地監(jiān)視內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問。 三、入侵檢測技術(shù) 入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的產(chǎn)物。使用入侵檢測技術(shù)可以實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的某些區(qū)域,當(dāng)這些區(qū)域受到攻擊時(shí),能夠及時(shí)檢測和立即響應(yīng)。入侵檢測有動態(tài)和靜態(tài)之分,動態(tài)檢測用于預(yù)防和審計(jì),靜態(tài)檢測用于恢復(fù)和評估。 四、安全掃描 安全掃描是對計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行相關(guān)安全檢測,以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃描的作用來看,它既是保證計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全必不可少的技術(shù)方法,也是攻擊者攻擊系統(tǒng)的技術(shù)手段之一,系統(tǒng)管理員運(yùn)用安全掃描技術(shù)可以排除隱患,防止攻擊者入侵,而攻擊者則利用安全掃描來尋找入侵系統(tǒng)和網(wǎng)絡(luò)的機(jī)會。 安全掃描分主動式和被動式兩種。主動式安全掃描是基于網(wǎng)絡(luò)的,主要通過模擬攻擊行為記錄系統(tǒng)反應(yīng)來發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞,這種掃描稱為網(wǎng)絡(luò)安全掃描;而被動式安全掃描是基于主機(jī)的,主要通過檢查系統(tǒng)中不合適的設(shè)置、脆弱性口令,以及其他同安全規(guī)則相抵觸的對象來發(fā)現(xiàn)系統(tǒng)中存在的安全隱患,這種掃描稱為系統(tǒng)安全掃描。 安全掃描所涉及的檢測技術(shù)主要有以下四種: (1)基于應(yīng)用的檢測技術(shù)。它采用被動的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,發(fā)現(xiàn)安全漏洞。 (2)基于主機(jī)的檢測技術(shù)。它采用被動的、非破壞性的辦法對系統(tǒng)進(jìn)行檢測。通常,它涉及系統(tǒng)的內(nèi)核,文件的屬性,操作系統(tǒng)的補(bǔ)丁等問題。 這種技術(shù)還包括口令解密,把一些簡單的口令剔除。因此,這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問題,發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺相關(guān),升級復(fù)雜。 (3)基于目標(biāo)的漏洞檢測技術(shù)。它采用被動的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫、注冊號等。通過消息摘要算法,對文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。 (4)基于網(wǎng)絡(luò)的檢測技術(shù),它采用積極的、非破壞性的辦法來檢驗(yàn)系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為,然后對結(jié)果進(jìn)行分析。它還針對已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò)檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。這種技術(shù)可以發(fā)現(xiàn)一系列平臺的漏洞,也容易安裝。但是,它可能會影響網(wǎng)絡(luò)的性能。 安全掃描技術(shù)正逐漸向模塊化和專家系統(tǒng)兩個(gè)方向發(fā)展。 在模塊化方面,整個(gè)安全掃描系統(tǒng)由若干個(gè)插件組成,每個(gè)插件封裝一個(gè)或多個(gè)漏洞掃描方法,主掃描過程通過調(diào)用插件的方法來執(zhí)行掃描任務(wù)。系統(tǒng)更新時(shí),只需添加新的插件就可增加新的掃描功能。另外,由于插件的規(guī)范化和標(biāo)準(zhǔn)化,使得安全掃描系統(tǒng)具有較強(qiáng)的靈活性、擴(kuò)展性和可維護(hù)性。 在專家系統(tǒng)方面,安全掃描能夠?qū)呙杞Y(jié)果進(jìn)行整理,形成報(bào)表,同時(shí)可針對具體漏洞提出相應(yīng)的解決辦法。隨著安全掃描技術(shù)的發(fā)展,希望安全掃描系統(tǒng)能夠?qū)W(wǎng)絡(luò)狀況進(jìn)行整體評估,并提出針對整個(gè)網(wǎng)絡(luò)的安全解決方案。未來的系統(tǒng),不僅僅是一個(gè)漏洞掃描工具,還應(yīng)該是一個(gè)安全評估專家。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
