網(wǎng)絡管理人員應認真分析各種可能的入侵和攻擊形式，制定符合實際需要的網(wǎng)絡安全策略，防止可能從網(wǎng)絡和系統(tǒng)內(nèi)部或外部發(fā)起的攻擊行為，重點防止那些來自具有敵意的國家、企事業(yè)單位、個人和內(nèi)部惡意人員的攻擊。
　　防止入侵和攻擊的主要技術措施包括訪問控制技術、防火墻技術、入侵檢測技術、安全掃描、安全審計和安全管理。
　　一、訪問控制技術
　　訪問控制是網(wǎng)絡安全保護和防范的核心策略之一。訪問控制的主要目的是確保網(wǎng)絡資源不被非法訪問和非法利用。訪問控制技術所涉及內(nèi)容較為廣泛，包括網(wǎng)絡登錄控制、網(wǎng)絡使用權限控制、目錄級安全控制，以及屬性安全控制等多種手段。
　　1.網(wǎng)絡登錄控制
　　網(wǎng)絡登錄控制是網(wǎng)絡訪問控制的第一道防線。通過網(wǎng)絡登錄控制可以限制用戶對網(wǎng)絡服務器的訪問，或禁止用戶登錄，或限制用戶只能在指定的工作站上進行登錄，或限制用戶登錄到指定的服務器上，或限制用戶只能在指定的時間登錄網(wǎng)絡等。
　　網(wǎng)絡登錄控制一般需要經(jīng)過三個環(huán)節(jié)，一是驗證用戶身份，識別用戶名；二是驗證用戶口令，確認用戶身份；三是核查該用戶賬號的默認權限。在這三個環(huán)節(jié)中，只要其中一個環(huán)節(jié)出現(xiàn)異常，該用戶就不能登錄網(wǎng)絡。其中，前兩個環(huán)節(jié)是用戶的身份認證過程，是較為重要的環(huán)節(jié)，用戶應加強這個過程的安全保密性，特別是增強用戶口令的保密性。用戶可以使用一次性口令，或使用IC卡等安全方式來證明自己的身份。
　　網(wǎng)絡登錄控制是由網(wǎng)絡管理員依據(jù)網(wǎng)絡安全策略實施的。網(wǎng)絡管理員可以隨時建立或刪除普通用戶賬號，可以控制和限制普通用戶賬號的活動范圍、訪問網(wǎng)絡的時間和訪問方式，并對登錄過程進行必要的審計。對于試圖非法登錄網(wǎng)絡的用戶，一經(jīng)發(fā)現(xiàn)立即報警。
　　2.網(wǎng)絡使用權限控制
　　當用戶成功登錄網(wǎng)絡后，就可以使用其所擁有的權限對網(wǎng)絡資源(如目錄、文件和相應設備等)進行訪問。如果網(wǎng)絡對用戶的使用權限不能進行有效的控制，則可能導致用戶的非法操作或誤操作。網(wǎng)絡使用權限控制就是針對可能出現(xiàn)的非法操作或誤操作提出來的一種安全保護措施。通過網(wǎng)絡使用權限控制可以規(guī)范和限制用戶對網(wǎng)絡資源的訪問，允許用戶訪問的資源就開放給用戶，不允許用戶訪問的資源一律加以控制和保護。
　　網(wǎng)絡使用權限控制是通過訪問控制表來實現(xiàn)的。在這個訪問控制表中，規(guī)定了用戶可以訪問的網(wǎng)絡資源，以及能夠?qū)@些資源進行的操作。根據(jù)網(wǎng)絡使用權限，可以將網(wǎng)絡用戶分為三大類：一是系統(tǒng)管理員用戶，負責網(wǎng)絡系統(tǒng)的配置和管理；二是審計用戶，負責網(wǎng)絡系統(tǒng)的安全控制和資源使用情況的審計；三是普通用戶，這是由系統(tǒng)管理員創(chuàng)建的用戶，其網(wǎng)絡使用權限是由系統(tǒng)管理員根據(jù)他們的實際需要授予的。系統(tǒng)管理員可隨時更改普通用戶的權限，或?qū)⑵鋭h除。
　　3.目錄級安全控制
　　用戶獲得網(wǎng)絡使用權限后，即可對相應的目錄、文件或設備進行規(guī)定的訪問。系統(tǒng)管理員為用戶在目錄級指定的權限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權限，則會對這些目錄、文件或設備等網(wǎng)絡資源構成嚴重威脅。這時目錄級安全控制和屬性安全控制就可以防止用戶濫用權限。
　　一般情況下，對目錄和文件的訪問權限包括系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。目錄級安全控制可以限制用戶對目錄和文件的訪問權限，進而保護目錄和文件的安全，防止權限濫用。
　　4.屬性安全控制
　　屬性安全控制是通過給網(wǎng)絡資源設置安全屬性標記來實現(xiàn)的。當系統(tǒng)管理員給文件、目錄和網(wǎng)絡設備等資源設置訪問屬性后，用戶對這些資源的訪問將會受到一定的限制。
　　通常，屬性安全控制可以限制用戶對指定文件進行讀、寫、刪除和執(zhí)行等操作，可以限制用戶查看目錄或文件，可以將目錄或文件隱藏、共享和設置成系統(tǒng)特性等。
　　5.服務器安全控制
　　網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等。網(wǎng)絡服務器的安全控制包括設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
　　二、防火墻技術
　　防火墻是用來保護內(nèi)部網(wǎng)絡免受外部網(wǎng)絡的惡意攻擊和入侵，為防止計算機犯罪，將入侵者拒之門外的網(wǎng)絡安全技術。防火墻是內(nèi)部網(wǎng)絡與外部網(wǎng)絡的邊界，它能夠嚴密監(jiān)視進出邊界的數(shù)據(jù)包信息，能夠阻擋入侵者，嚴格限制外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問，也可有效地監(jiān)視內(nèi)部網(wǎng)絡對外部網(wǎng)絡的訪問。
　　三、入侵檢測技術
　　入侵檢測技術是網(wǎng)絡安全技術和信息技術結(jié)合的產(chǎn)物。使用入侵檢測技術可以實時監(jiān)視網(wǎng)絡系統(tǒng)的某些區(qū)域，當這些區(qū)域受到攻擊時，能夠及時檢測和立即響應。
　　入侵檢測有動態(tài)和靜態(tài)之分，動態(tài)檢測用于預防和審計，靜態(tài)檢測用于恢復和評估。
　　四、安全掃描
　　安全掃描是對計算機系統(tǒng)或其他網(wǎng)絡設備進行相關安全檢測，以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃描的作用來看，它既是保證計算機系統(tǒng)和網(wǎng)絡安全必不可少的技術方法，也是攻擊者攻擊系統(tǒng)的技術手段之一，系統(tǒng)管理員運用安全掃描技術可以排除隱患，防止攻擊者入侵，而攻擊者則利用安全掃描來尋找入侵系統(tǒng)和網(wǎng)絡的機會。
　　安全掃描分主動式和被動式兩種。主動式安全掃描是基于網(wǎng)絡的，主要通過模擬攻擊行為記錄系統(tǒng)反應來發(fā)現(xiàn)網(wǎng)絡中存在的漏洞，這種掃描稱為網(wǎng)絡安全掃描；而被動式安全掃描是基于主機的，主要通過檢查系統(tǒng)中不合適的設置、脆弱性口令，以及其他同安全規(guī)則相抵觸的對象來發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，這種掃描稱為系統(tǒng)安全掃描。
　　安全掃描所涉及的檢測技術主要有以下四種：
　　(1)基于應用的檢測技術。它采用被動的、非破壞性的辦法檢查應用軟件包的設置，發(fā)現(xiàn)安全漏洞。
　　(2)基于主機的檢測技術。它采用被動的、非破壞性的辦法對系統(tǒng)進行檢測。通常，它涉及系統(tǒng)的內(nèi)核，文件的屬性，操作系統(tǒng)的補丁等問題。
　　這種技術還包括口令解密，把一些簡單的口令剔除。因此，這種技術可以非常準確地定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點是與平臺相關，升級復雜。
　　(3)基于目標的漏洞檢測技術。它采用被動的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息摘要算法，對文件的加密數(shù)進行檢驗。這種技術的實現(xiàn)是運行在一個閉環(huán)上，不斷地處理文件、系統(tǒng)目標、系統(tǒng)目標屬性，然后產(chǎn)生檢驗數(shù)，把這些檢驗數(shù)同原來的檢驗數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
　　(4)基于網(wǎng)絡的檢測技術，它采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否有可能被攻擊而崩潰。它利用了一系列的腳本模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)果進行分析。它還針對已知的網(wǎng)絡漏洞進行檢驗。網(wǎng)絡檢測技術常被用來進行穿透實驗和安全審計。這種技術可以發(fā)現(xiàn)一系列平臺的漏洞，也容易安裝。但是，它可能會影響網(wǎng)絡的性能。
　　安全掃描技術正逐漸向模塊化和專家系統(tǒng)兩個方向發(fā)展。
　　在模塊化方面，整個安全掃描系統(tǒng)由若干個插件組成，每個插件封裝一個或多個漏洞掃描方法，主掃描過程通過調(diào)用插件的方法來執(zhí)行掃描任務。系統(tǒng)更新時，只需添加新的插件就可增加新的掃描功能。另外，由于插件的規(guī)范化和標準化，使得安全掃描系統(tǒng)具有較強的靈活性、擴展性和可維護性。
　　在專家系統(tǒng)方面，安全掃描能夠?qū)呙杞Y(jié)果進行整理，形成報表，同時可針對具體漏洞提出相應的解決辦法。隨著安全掃描技術的發(fā)展，希望安全掃描系統(tǒng)能夠?qū)W(wǎng)絡狀況進行整體評估，并提出針對整個網(wǎng)絡的安全解決方案。未來的系統(tǒng)，不僅僅是一個漏洞掃描工具，還應該是一個安全評估專家。

最新評論