网络是电子商务交易的基础和载体,大部分的电子商务行为都发生在计算机网络上,所以网络安全与否直接关系到电子商务交易能否正常进行。网络安全的概念非常广,本节将阐述网络安全的几个主要方面,其中包括操作系统安全、防火墙技术、虚拟专用网VPN技术、反病毒技术和入侵检测技术等。
7.2.1 操作系统的安全性
网络操作系统的选择对企业网站建设、电子商务开展以及其他网络信息功能的开展具有举足轻重的作用,它涉及到网络的整体性能、网络费用和网络安全等诸多方面。企业和其他网络用户要根据自己的实际情况慎重选择网络操作系统。
目前在电子商务应用中比较流行的网络操作系统包括Windows系列(Windows 2000和Windows 2003 Server)和UINX系列操作系统,下面主要对Windows系列操作系统的安全性做简单介绍。
1.Windows 2000安全性
网络和单个系统在Windows 2000下要远比Windows NT 4安全。对安全性要求极高的金融机构和其他公司或部门会很满意这个新的操作系统。但是,全面利用Windows 2000的安全性意味着必须使用Active Directory,并且需要相当重视管理并进行重要的培训。
认证——确定用户是否名副其实——已经在Windows 2000中接受了彻底检查。如果拒绝采用Active Directory,Server版本仍然支持Windows NT 4的NTLM(Windows NT LAN Manager,Windows NT局域网管理器)协议,因而能够对原有的客户进行认证,不过Active Directory还提供了对Kerberos 5的支持。
Kerberos最大的好处是单次登录,登录后客户不需要重新认证就能访问网络中的其他Windows 2000服务器。Kerberos采用一种称为密钥分发中心(Key Distribution Center,KDC)的特殊服务器,它在Windows 2000上必须是一个域控制器。KDC为客户提供“门票”,以便提交给其他服务器进行认证。与NTLM不同,Kerberos可以用来进行服务器之间的相互认证,它还可以让客户对服务器进行认证。利用其他的Kerberos 5工具,或者通过被信任的数字证书权限,单次登录还可以扩充到非Windows 2000服务器上。同Windows 98一样,Windows 2000 Professional客户端能通过符合PC/SC 1.0规范的智能卡进行认证。
Windows 2000具有公共密钥加密基础架构。证书服务(Certificate Services)是通过密码保护的加密数据文件,其中包含的数据可用于对传输系统进行鉴别,证书服务可以分发、管理和撤销数字证书。基于公司的证书服务器可以用于客户机与服务器之间的相互认证,或者对不安全连接中的数据进行加密——特别是对于B2B的电子商务。
Windows 2000可以使用IPSec这种加密的IP协议来加密网络上的数据。同样,它可以在更高的传输层上使用SSL和更新的TLS规范来加密数据。在Active Directory中,这两种方式都可以被设置为强制性策略,以便特定的客户机和服务器之间能够进行通信。Windows 2000的公共密钥加密是其VPN支持的基础。
但是该操作系统中最棒的加密措施是加密文件系统(Encrypting File System,简称EFS),它允许使用只有个别用户和经过认证的恢复代理能够解密的密钥对保存在磁盘上的文件进行加密。EFS改善了容易受到侵袭的系统(例如,笔记本电脑)的安全性。除非数据窃贼知道用户的密码,否则就不可能得到加密的数据。EFS非常易于使用,加密不过是文件或文件夹的另一个属性。
Windows 2000中的缺省用户权限比Windows NT 4要严格许多。例如,如果用户没有Program Files\Netscape\Communicator\Users文件夹的写权限,Netscape Communicator将不能启动,因为它需要在那里写入配置信息。要解决这一类问题,可以将用户划分到权限更强的组充当成员,或者,如果可能的话,对权限进行微观的管理。使用符合Windows 2000应用规范(Windows 2000 Application Specification)的应用程序也可以解决这种问题。为了有效地利用Windows 2000中众多的安全工具,预先的规划是必须的。负责Windows 2000网络安全性的人员最好能接受专门的研究培训。
2.Windows 2003安全性
目前,一般的企业网站使用Windows 2003 sever系统的较为普遍,下面就相关安全问题做简要阐述。
(1)NTFS和共享权限
在以前的Windows中,默认的权限许可将“完全控制”授予了Everyone组,整个文件系统根本没有安全性可言(就本地访问来说)。但从Windows XP Pro开始,这种情况改变了。
授予Everyone组的根目录NTFS权限只有读取和执行,且这些权限只对根文件夹有效。也就是说,对于任何根目录下创建的子文件夹,Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹,例如,Program Files和Windows文件夹,Everyone组也已经从ACL中排除出去。(说明:ACL即“访问控制列表”,或Access Control List,它是一种安全保护列表,适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型:随机和系统)。
Users组除了读取和运行之外,还能够在子文件夹下创建文件夹(可继承)和文件(注意:根驱动器除外)。授予System账户的权限和本地Administrators组成员的权限仍未改变,它们仍拥有对根文件夹及其子文件夹的完全控制权限。Creator Owner仍被授予子文件夹及其包含文件的完全控制权限,也就是允许用户全面管理他们自己创建的子文件夹。
对于新创建的共享资源,Everyone现在只有读取的权限。
另外,Everyone组现在不再包含匿名SID(安全标识符,一种不同长度的数据结构,用来识别用户、组和计算机账户。网络上每一个初次创建的账户都会收到一个唯一的SID。Windows中的内部进程将引用账户的SID而不是账户的用户名或组名),进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限,可以用右键点击文件或文件夹,选择“安全”选项卡,点击“高级”,然后查看“有效权限”页,不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过,这个功能还不能涵盖共享权限。
(2)文件和文件夹的所有权
现在,不仅可以拥有文件系统对象(文件或文件夹)的所有者权限,而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人。
Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。例如,管理员应用户的要求创建了新的文件(例如,复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地得到解决(对于使用NTFS文件系统的任何类型的操作系统都有效,包括Windows NT 4.0、2000和XP Pro,只要修改是在Windows Server 2003上进行就可以了)。
(3)身份验证
身份验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。
在本地系统验证方面,默认的设置限制不带密码的本地账户只能用于控制台。这就是说,不带密码的账户将不能再用于远程系统的访问,例如,驱动器映射、远程桌面/远程协助连接。
活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系(要求两个林都运行在Windows 2003功能级别上)。在Windows Server 2003林中,管理员可创建一个林,将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中,这种跨越将两个断开连接的Windows Server 2003林连接起来建立单向或双向的可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
这里只涉及了Windows 2003安全性很小的一些方面,许多重要的主题尚未涉及,例如,Active Directory安全特性(SID过滤等),以及托管、非托管代码的应用程序代码控制等。
7.2.2 防火墙技术
防火墙是一种安全有效的防范技术,是在内部网和Internet之间构筑的一道屏障,它控制和防止内部网对外的非允许访问,也控制和防止外部的非法访问。从狭义上来讲,防火墙是指安装了防火墙软件的主机或路由器系统;从广义上来讲,防火墙还包括整个网络访问控制机制、安全策略和防入侵措施等安全行为。它通过在网络边界上建立起来的相应网络安全监测系统来隔离内部和外部网络,以确定哪些内部服务允许外部访问以及允许哪些外部服务访问内部服务,以实现网络资源的保护。
1.实现防火墙的主要技术
实现防火墙的主要技术有包过滤、代理服务防火墙和应用网关等。
(1)包过滤防火墙
包过滤防火墙主要有以下两种实现方式:基于路由器的防火墙和基于独立运行软件的防火墙。包过滤防火墙通过设定某些规则来允许或拒绝数据包的通过,它的作用相当于一个过滤网关。包过滤路由器首先检查要通过的数据包是否符合其设定的某条过滤规则。每个数据包中都包含着一组特定信息的包头,其主要信息包括:IP源地址、IP目标地址、TCP或UDP源端口、TCP或UDP目标端口、ICMP消息类型。
如果规则允许该数据包通过,且包的出入接口相匹配,则该数据包通过,并根据路由器中的信息被转发;如果规则拒绝该数据包,则即使出入接口相匹配,该数据包也会被丢弃;如果没有匹配规则,则包过滤路由器根据用户配置的缺省参数来决定是转发还是丢弃该数据包,包过滤防火墙的原理。
(2)代理服务防火墙
代理服务(Proxy Server)是运行在防火墙主机上的专门应用程序,又称为服务器程序。它代表主体完成一个网络与另一个网络通信的特定检查任务。代理服务器软件可以在一台机器上独立运行,或者与诸如包过滤器的其他软件一起运行。
代理服务器就像一个内部网络与外界之间的边界检查点。两边的应用可以通过代理服务器相互通信,但它们不能越过它进行通信。代理服务器接受来自一边的通信,检查并确认这一通信是否授权通过,如果是,则启动到通信目的地连接,并将它发送出去。
代理服务有两个主要部件:代理服务器和代理客户。代理服务器一般运行在双重宿主主机(计算机至少有两个网络接口)上。代理客户是正常客户程序的特殊版本,用户的代理程序与代理服务器交谈,而不是直接与Internet上的真正服务器交谈。这个代理服务器判断来自客户的要求并决定,哪个可以传送,哪个可以忽略。如果一个要求是被许可的,代理服务器就会代表客户与真正的服务器交谈,继而将要求传达给真实服务器,也将真实服务器的应答传回给客户。代理服务用于双重宿主主机的原理。
(3)应用网关防火墙
应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤。应用网关防火墙可使网络管理员实现比包过滤防火墙更为严格的安全策略。应用网关不使用包过滤工具来限制Internet服务进出防火墙系统,而是采用为每种所需服务在网关上安装专用程序代码的方式来管理Internet各种服务。每当添加一种需保护的新的服务时,就必须为其编制相应的程序代码,否则服务就不被支持且不能通过防火墙来转发。另外,应用网关也可以通过配置专用程序代码来支持应用程序的特定服务。应用网关防火墙允许用户访问代码服务,但绝对不允许让用户登录到该网关上,否则该用户就有可能获得ROOT权限,从而通过安装特洛伊木马来截获登录口令,并修改防火墙的安全配置,直接攻击防火墙。
2.防火墙的主要类型
在实际中使用的防火墙系统可能是上述基本防火墙中的任意一种或交叉组合,下面介绍几种常见的防火墙体系结构。
(1)基于IP包过滤器的体系结构
IP包过滤器是基于包过滤技术的,它位于内部网络和外部网络的连接处,有两个网络接口,其主要功能是过滤IP包。数据包是网络传输信息的单元,每个文件在网络上传输时都是通过分割成包进行传输的,当这些包到达目的地时,再将这些包重新组织起来,形成完整的文件。每个包都含有包头和数据两部分。包过滤器使用IP包头来进行对传输报文的控制。当一个报文到达过滤路由器时,工作过程如下:
[1]包过滤器从包头中取出需要的信息,例如,源、目的IP地址,源、目的TCP端口号;
[2]包过滤器将这些信息与规则表中的规则相比较;
[3]如果这个包来自Troublehost,无论其目的地址是哪里都将被丢弃;
[4]如果这个包通过了第一条规则(如果不是来自于Troublehost),则继续检查直到满足所有的规则;
[5]如果其中任意一条规则不满足,这个包就将被丢弃。
另外,包过滤器对网络传输速度有较大的影响,配置的规则应该尽量精简。
(2)双重宿主主机体系结构
双重宿主主机体系结构是围绕双重宿主的主体计算机而构筑的。该计算机至少有两个网络接口,这样的计算机主机可以充当与这些接口相连的网络之间的路由器,它能够从一个网络往另一个网络发送IP数据包。然而,实现双重宿主主机的防火墙体系结构禁止这种发送功能,也就是说IP数据包从一个网络(如Internet)并不是直接被发送到其他网络(如内部的被保护的网络),而是通过双重宿主主机进行通信。防火墙内部的系统(在内部网)与双重宿主主机通信,双重宿主主机再与防火墙外部的系统(在Internet上)通信。但是内外系统不能直接相互通信,它们之间的IP通信被完全阻止。双重宿主主机位于两者之间,并且被连接到Internet及内部的网络上。双重宿主主机体系结构。
双重宿主主机能提供级别非常高的控制,假设用户一点也不允许数据包在外部与内部的网络之间传输,如果内部网络上有任何外部源的数据包,那么用户就可以断定在安全上存在某种问题。双重宿主主机结构也存在着一定的弊端,它仅仅能通过代理主机,或者通过用户直接登录到双重宿主主机来提供服务。这样,用户账户自身会带来明显的安全问题。尤其在双重宿主主机上他们会引起特殊的问题。更严重的是,大多数用户认为通过登录到双重宿主主机来使用它是麻烦的。
(3)被屏蔽主机体系结构
这种体系结构是综合IP包过滤器和堡垒主机两种结构而成的。它所提供的安全性能要比包过滤防火墙系统更强,因为它实现了网络层安全(包过滤)和应用层安全(代理服务)的结合。当入侵者在破坏内部网络的安全性之前,必须首先突破这两种不同的安全系统。
堡垒主机位于内部网络上,在屏蔽路由器上的数据包过滤是按这样一种方法设置的:即堡垒主机是Internet上主机能连接到的唯一的内部网络上的系统(例如,传送进的电子邮件)。即使这样,也仅有某些确定类型的连接被允许。任何外部的系统试图访问内部的系统或者服务将必须连接到这台主机。因此,堡垒主机需保持更高等级的主机安全。而包过滤路由器则放置在内部网络和外部网络之间。在路由器上设置相应的规则,使得外部系统只能访问堡垒主机,去往内部系统上其他主机的通道被全部阻塞。由于内部主机与堡垒主机处于同一个网络,内部系统是否允许直接访问外部网,或者是要求使用堡垒主机上的代理服务来访问外部网完全由企业的安全策略来决定。对路由器的过滤规则进行配置,使得其只接收来自堡垒主机的内部数据包,就可以强制内部用户使用代理服务,从而加强内部用户对外部Internet访问的管理。被屏蔽主机防火墙体系结构。
与其他体系结构相比,被屏蔽主机体系结构有一些缺点。主要是如果入侵者设法侵入堡垒主机,则在堡垒主机和其余的内部主机之间没有任何保护网络安全的东西存在,路由器就会出现一个单点失效。如果路由器被损害,整个网络对入侵者就是开放的。
(4)屏蔽子网体系结构
这种体系结构是在被屏蔽主机体系结构的基础上发展而来的。被屏蔽子网体系结构最简单的形式为:两个屏蔽路由器,每一个都连接到周边网络。一个位于周边网与内部网络之间,又叫内部路由器;另一个位于周边网与外部网络之间(通常为因特网),又叫外部路由器。利用两台屏蔽路由器把内部网络与外部网络隔开,这样就把堡垒主机、信息服务器及其他公用服务器放在该周边网络中,这个周边网络称为“停火区”或“非军事区”(DeMilitarized Zone,即DMZ)。
周边网络是另一个安全层,是在外部网络与用户被保护的内部网络之间附加的网络。如果入侵者成功地侵入用户防火墙的外层领域,周边网络在那个入侵袭者与用户的内部系统之间提供一个附加的保护层。
内部路由器是与内部网络相连的路由器,用来保护内部网络使之免受Internet和周边网的侵犯;外部路由器是与外部网络相连的路由器,也被称为访问路由器。用来保护内部路由器、周边网和内部网使之免受来自Internet的侵犯。
如果入侵者要侵入用这种类型的体系机构构筑的内部网络,入侵者必须通过两个路由器。因此,即使入侵者设法侵入堡垒主机,仍然必须通过内部路由器才能侵入到内部网络。这样就大大减少了成功入侵的可能性,从而有效地保障了内部网络的安全性。屏蔽子网防火墙体系结构。
上面介绍了几种常见的构筑防火墙的体系结构,还有许多不同的结构形式,在实际工作中,应该根据所购买防火墙软件的要求和硬件环境所能提供的支持进行综合考虑,选用最合适的防火墙体系结构,最大限度地发挥防火墙软件的功能,实现对信息的安全保护。
7.2.3 VPN技术
1.VPN的概述
虚拟专用网络(Virtual Private Network,即VPN)是指被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,其可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN(虚拟专用网络)作为一种虚拟通道技术,其最初的设想只是为了满足远程访问的专用接入需求,并且能够避开IP地址资源有限的尴尬。它可以通过特殊的、加密的通讯协议在连接在Internet上的,位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用付铺设线路的费用,也不用购买路由器等硬件设备。
VPN的核心就是利用公共网络建立虚拟私有网,其特点一是VPN是建立在现有物理网络之上,与物理网络具体的网络结构无关,用户一般无需关心物理网络和设备;特点二是VPN用户使用VPN时看到的是一个可预先定义的动态网络。随着网络应用的普及,安全技术逐渐成为VPN产品的一个拳头支撑,基于IPSec和SSL协议的不同,VPN产品也正表现着VPN的不同安全特色,VPN实现的是一块更为广袤的“私密空间”和一条更为隐秘的“安全通道”。
VPN如何保证接入用户的合法性,保证网络访问的安全性以及系统本身的安全可靠性呢?
首先,不管哪一种VPN的实现技术和方式,所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。例如,在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。此外,还需要通过网络管理来防止非法用户对网络资源或私有信息的访问。
其次,VPN还应当为不同网络的数据提供不同等级的服务质量保证(QOS)。如对移动办公的用户,随意自主的连接性和信号的覆盖性就是VPN服务质量保证的一个主要因素。而当分支机构的某用户通过VPN专有网对总部系统网络进行访问时,整个总部系统的网络需要保持良好的稳定性。
其三,对于带宽和流量的控制,则是对网络优化的一个重要方面,充分有效地利用有限的广域网资源,保证重要数据的有效且可靠的带宽,将是关系网络整体稳定性的一个重要指标。通过流量预测与流量控制策略,可以按照优先级实现带宽资源的合理配置和管理,从而净化所处的网络。
2.实现VPN的安全协议
实现VPN通常用到的安全协议主要包括SOCKS v5、IPSec和PPTP/L2TP。在这几种安全协议中,PPTP/L2TP应用于链路层,IPSec主要应用于网络层,SOCKS v5应用于会话层。为了解决Internet所面临的不安全因素的威胁,实现在不信任通道上的数据安全传输,使安全功能模块能兼容IPv4和下一代网络协议IPv6,IPSec协议将是实现VPN的主要协议。
IPSec是Internet的安全协议,是IP与Security的简写。IPSec联合使用多种安全技术为IP数据包提供保密性、完整性和真实性。IPSec对于IPv6是必须的,而对IPv4则是可选的。它提供了在局域网、专用与公用的广域网(WAN)和Internet上安全通信的能力。
3.VPN的建立
要想建立VPN,两个网络必须进行以下操作:
(1)各站点必须在网络设备上建立一台具有VPN功能的设备,可以是一台路由器、防火墙或专门用于VPN工作的设备;
(2)各站点必须知道对方站点使用的IP地址;
(3)两站点必须对使用的授权检查和根据需要采用的数字证书方式达成一致;
(4)两站点必须对需要使用的加密方法和交换密钥的方法达成一致。
两个Internet站点之间建立的VPN实例,位于VPN各端的设备都是用于实现与Internet连接的路由器。
4.VPN的应用
(1)通过Internet实现安全远程用户访问
一个系统上配备了IP安全协议的最终用户,可以通过调用本地Internet服务提供商(ISP)来获得对一个公司网络的安全访问,这为在外出差的员工和远程工作的员工减少了长途通信的费用。
(2)通过Internet实现网络互联
通过Internet实现两个相互信任的内部网络的安全连接,可以采用两种方式使用VPN技术来连接远程局域网络,一是使用专线连接分支机构和企业局域网;二是使用拨号线路连接分支机构和企业局域网。
(3)连接企业内部网络计算机
在企业的内部网络中,某些部门可能存储有重要数据,为确保数据的安全性,传统的方式只能是把这些部门同整个企业网络分开,这样虽然保护了部门的重要信息,但是却与其他部门的用户无法连接,造成通信上的困难。采用VPN方案,可以将存储有重要数据的某些部门通过使用一台VPN服务器管理起来,形成企业网中的虚拟子网,既能够实现与整个企业网络的连接,又可以保证保密数据的安全性。使用VPN服务器,企业网络管理人员可通过制定只有符合特定身份要求的用户才能连接的VPN服务器获得敏感信息。
5.VPN产品选项
选择VPN连接设备的种类时,有以下三类可供选择:
(1)基于防火墙的VPN
最为流行的VPN方案是防火墙集成方案。因为用户一般都会为网络设备布置一台防火墙,因此,让防火墙来支持VPN连接是很自然的事情。这样可以提供一个集中式的管理,又可以兼顾防火墙的安全策略和需要建立的传输隧道。
(2)基于路由器的VPN
利用Internet边界的路由器,把VPN安装在边界路由器上,能够在数据流进入防火墙之前进行解密。
(3)专用软件或硬件
如果用户已经购买防火墙和路由器,但两者都不支持VPN功能,用户可以使用硬件或软件解决方案专门生成VPN连接。
总之,用户可以根据自己的需求进行选择,同时兼顾已经购买的设备。
7.2.4 计算机病毒防范技术
1.计算机病毒的概念
计算机病毒是一种有很强破坏力和感染力的计算机程序。这种程序和其他程序不同,当把它输入正常工作的计算机以后,会搞乱或者破坏已有的信息。它具有再生机制,会自动进入有关的程序进行自我复制,冲乱正在运行的程序,破坏程序的正常运行。它像微生物一样,可以繁殖,因此被称为“计算机病毒”。
2.计算机病毒的类型
(1)按工作机理分类
[1]引导区病毒
引导区病毒也叫初始化病毒,它把自己附属在磁盘的引导区部分,当计算机系统被引导时,病毒取得系统控制权,驻留内存,在所有时间里对系统进行控制。例如,截获所有系统中断,监视系统的活动。寻找任何读、写和格式化磁盘的操作。因此,对于利用计算机上网的人们来说,最糟糕的事就是一个病毒驻留在计算机的主引导区,每当启动计算机时病毒也被启动。这就意味着当引导信息装入时,病毒就会感染硬盘上的所有文件。多数情况下,用户必须用其他设备启动,如CD-ROM等,以便跳过病毒启动。然而,最坏的情况是病毒识别出反病毒程序,并在用户启动这些程序前删除它们。
[2]文件型病毒
文件型病毒通常是指可执行文件病毒,这类病毒通过感染可执行文件起作用,一旦病毒启动,它把自己和所有启动的可执行文件连接在一起,通常是在程序后端加上病毒代码。当受感染文件执行时,病毒自身也执行,并开始恶性循环。一个可执行病毒从它运行到用户关机一直驻留在内存中,即使用户退出已感染程序也是如此。比如病毒感染了Word,则所有在Word之后运行的应用也会被感染,这样病毒会散布到整个系统。可执行文件的后缀为.EXE和.COM的文件。例如,“耶路撒冷”病毒和“维也纳”病毒即属于文件型病毒。
[3]入侵型病毒
入侵型病毒是将自身或其变种粘到现有宿主程序体的中间,而不是宿主程序体的头部或尾部,并对宿主程序进行修改。它能在没有干预的情况下,在宿主程序中找到恰当的位置将自己插入。这种病毒的检测和消除都比较困难。
[4]外壳型病毒
外壳型病毒是将自己的复制品或其变种包围在宿主程序的头部或尾部,可以对原来的程序不做任何修改。在运行宿主程序时,该病毒首先进入内存,有半数以上的外壳病毒就是以这种方式传染的,如“黑色星期五”病毒。
(2)按传播媒介分类
[1]单机病毒
单机病毒的载体是存储体,病毒从软盘、光盘、移动存储设备等传入硬盘感染系统,再向其他存储设备传播。
[2]网络病毒
网络病毒的传播特点是通过网络通道,因此传播速度快、范围广、感染性强、危害性更大。
(3)按病毒特性分类
病毒种类太多,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。一般格式为:〈病毒前缀〉.〈病毒名〉.〈病毒后缀〉。病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的,例如,我们常见的木马病毒的前缀Trojan,蠕虫病毒的前缀Worm 等。病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,例如,以前著名的CIH病毒的家族名都是统一的“CIH”。病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。
常见的病毒前缀的解释(针对Windows操作系统)如下:
[1]系统病毒
系统病毒的前缀是Win32、PE、Win95、W32、Wxx等。这些病毒的一般公有特性是可以感染windows操作系统的*.exe 和*.dll 文件,并通过这些文件进行传播。如CIH病毒。这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作,具有很强的破坏力,会导致整个系统瘫痪。
[2]蠕虫病毒
蠕虫病毒的前缀是Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。例如,冲击波(阻塞网络)、小邮差(发带毒邮件)等。
[3]木马病毒、黑客病毒
木马病毒的前缀是Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制,现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344,针对网络游戏的木马病毒如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的,一般都表示这个病毒有盗取密码的功能。
[4]脚本病毒
脚本病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行传播的病毒,如红色代码Script.Redlof。脚本病毒还会有前缀VBS、JS(表明是何种脚本编写的),如欢乐时光VBS.Happytime、十四日Js.Fortnight.c.s等。
[5]宏病毒
宏病毒是一种在办公软件中比较流行的病毒,宏语言是一些应用的集成语言,它容许用户扩展应用程序功能。在绝大多数情况下,宏语言是有用而无害的,但由于在很多应用中缺少安全约束,宏语言也可用来创建病毒。在很多情况下,宏病毒经常感染Microsoft Word和Excel这类世界上最流行的办公软件。宏病毒的前缀是Macro,第二前缀是Word、Excel等。
[6]后门病毒
后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如后门病毒Backdoor.IRCBot。
3.计算机病毒的特性
(1)感染性
计算机病毒具有再生机制,它能够自动地将自身的复制品或其变种感染到其他程序体上。这是计算机病毒最根本的属性,是判断和检测病毒的重要依据。
(2)流行性
一种计算机病毒出现之后,可以流行感染一类计算机程序、计算机系统和计算机网络。病毒中的代码通过计算机、存储器和存储介质进行传播和扩散,强行修改计算机程序和数据。
(3)欺骗性
病毒程序往往采用几种欺骗技术,如脱皮技术、改头换面和密码技术来逃脱检测,使其具有更长的隐藏时间,从而达到传染和破坏的目的。
(4)危害性
病毒不仅占用系统资源、删除文件或数据、格式化磁盘、降低运行效率或中断系统运行,甚至使整个计算机网络瘫痪,从而造成灾难性后果。
(5)潜伏性
病毒具有依附于其他媒体的能力,入侵计算机系统的病毒一般都有一个休眠期,当它侵入系统之后,一般并不立即发作,而是潜伏下来。在此期间,它没有任何破坏行为,而要经过一段时间或满足一定的条件后才突发式地进行感染,复制病毒副本,进行破坏活动。
(6)隐蔽性
有的病毒感染宿主程序以后,在宿主程序中自动寻找“空洞”,将病毒拷贝到空洞中,并保持宿主程序长度的不变,使其难以被发现,以争取较长的存活时间,从而造成大面积的感染,如4096病毒就是这样。
4.计算机病毒的预防
计算机病毒的防治要从防毒、查毒、解毒三个方面进行。
(1)防毒
防毒是指根据系统的特性和网络的性能要求,采取相应的系统安全措施预防病毒侵入计算机。主要是“三打”,即打系统补丁防止病毒通过系统漏洞传播,打开杀毒软件的实时监控功能,打开防火墙。
(2)查毒
查毒是指利用杀毒软件在指定的环境里进行病毒的排查,该环境包括硬盘、内存、文件、引导区(含主导区)和网络等。查毒功能能够准确地显示病毒名称,并等待下一步操作。
(3)解毒
解毒是指利用病毒软件根据不同类型的病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区(含主导区)、可执行文件、文档文件和网络等。
随着企业Intranet不断和Internet直接相连,要保护的不再仅仅是单机,而是把网络作为一个整体来保护,因此只在一台计算机上安装防病毒软件是不够的。所以需要一种不仅适用于单机,而且也适用于计算机网络的杀毒软件。在这里只列举几个著名软件公司的产品,如金山毒霸、北京江民技术公司的KV2009、瑞星等。
7.2.5 安全检测与评估技术
1.入侵检测技术
防火墙是静态的防御系统,其功能及作用范围是有限的,不可能做到全面的防护。例如,对绕过防火墙的非法访问无能为力,对网络内部的用户非法访问也无能为力。入侵检测技术是防火墙技术的有力补充,它们可以和防火墙、路由器配合工作。一般入侵检测系统(IDS)处于防火墙之后,对网络活动进行实时检测,扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。安装入侵检测系统能形成安全防护体系,监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、恶意的小型应用程序和病毒等攻击,及时报告管理人员以阻止这些攻击到达目标主机。
(1)入侵检测的含义
入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。入侵检测(Intrusion Detection)定义为“识别非法用户未经授权使用计算机系统,或合法用户越权操作计算机系统的行为”,通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
(2)入侵检测系统的主要任务
入侵检测系统执行的主要任务包括:监视和分析用户及系统活动;审计系统构造和弱点;识别和反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计和跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。
(3)入侵检测系统的分类
入侵检测系统有不同的分类标准,按照不同的分类标准可以得到不同的分类结果,下面分别依据不同的分类标准对入侵检测进行分类。
[1]按数据源分类
A.基于主机的入侵检测系统。基于主机的入侵检测系统通常采用系统日志和应用程序日志等审计数据作为检测的数据源,然后从所在的主机收集这些信息进行分析。基于主机的入侵检测系统一般只保护它所在的主机系统。
B.基于网络的入侵检测系统。基于网络的入侵检测系统使用网络上传输的数据包作为检测的数据源。通常利用一个运行在“杂收”模式下的网络适配器来实时监视并分析网络上传输的所有数据包,判断是否有入侵行为。一旦检测到了攻击行为,入侵检测系统的报警部件就会发出通知并对攻击行为采取相应的防御手段。
[2]按系统结构分类
A.集中式入侵检测系统。集中式入侵检测系统只在固定数量的主机上进行数据分析。数据分析部件一般不随着主机数量的增加而增加。早期的入侵检测系统都是集中式的。由于该系统存在固定数量的分析器,因此在数据处理中存在关键结点和处理速度等问题。
B.分布式入侵检测系统。分布式入侵检测系统中,运行数据分析部件的场地数量与被监视的主机数量成比例。它是由多个检测实体监控不同的主机和网络部分,各实体间可以相互协作共同完成检测任务。
[3]按入侵时间分类
A.实时入侵检测系统。实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型和存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是自动的,并且是不断循环进行的。
B.事后入侵检测系统。事后入侵检测由网络管理人员进行,他们具有网络安全的专业知识,根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统的能力强。
2.安全检测评估技术
安全检测和评估是一项复杂的系统工程,需要很多不同背景的人员,从各个不同的方面认真研究分析。一种可行的有效思路是:首先进行各个单项的检测与评估,然后再进行综合检测与评估。
目前,我国普遍使用的计算机操作系统大都是从国外引进的,它们都存在着不同程度的安全漏洞。因此,为了减少因系统存在安全漏洞而造成的黑客攻击,应当利用现有的网络安全分析系统分析网络系统结构和配置,同时利用漏洞扫描技术进行系统安全扫描,扫描操作系统和数据库系统的安全漏洞与错误配置;及时发现系统中的弱点或漏洞,提示管理员进行正确配置;及时分析和评估,尽早采取补救措施,增加安全补丁及填补安全漏洞,以避免各种损失。
