成都信息工程学院银杏酒店管理学院本科毕业论文
数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构即验证机构(CA: Certification Authority)发布的。
(3)接收方将得到的明文通过单向函数进行计算,同样得到一个数字签名,再将两个数字签名进行对比,如果相同,则证明签名有效,否则无效。
这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。这就解决了银行通过网络传送一张支票,而接收方可能对支票数额进行改动的问题,也避免了发送方逃避责任的可能性。 3.2.3 信息加密技术
加密是实现信息存储和传输保密性的一种重要手段。信息加密的方法有对称密钥加密和非对称密钥加密,两种方法各有所长,可以结合使用,互补长短。对称密钥加密,加密解密速度快、算法易实现、安全性好,缺点是密钥长度短、“穷举”方式进攻的代价小。非对称密钥加密,容易实现密钥管理,便于数字签名,缺点是算法较复杂,加密解密花费时间长。加密技术中的另一重要的问题是密钥管理,主要考虑密钥设置协议、密钥分配、密钥保护、密钥产生及进入等方面的问题。
3.3 黑客攻击对策
应对黑客的攻击,采用的技术主要有防火墙技术和入侵检测技术。 3.3.1 防火墙技术
根据CNCERT/CC调查显示,在各类网络安全技术使用中,防火墙的使用率最高达到76.5%,是防止黑客攻击的桥头堡[7]。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
常见的防火墙体系结构:双重宿主主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构[8]。
(1)双重宿主主机体系结构:又称为双宿/多宿网关防火墙,它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有
8
成都信息工程学院银杏酒店管理学院本科毕业论文
两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,其体系结构如图3-2:
图3-2 双重宿主主机体系结构
(2)屏蔽主机体系结构:屏蔽主机防火墙由包过滤路由器和堡垒主机组成,其配置如图3-3所示。在这种方式的防火墙中,堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为外部网络惟一可直接到达的主机,这保证了内部网络不被未经授权的外部用户的攻击
图3-3 屏蔽主机体系结构
(3)屏蔽子网体系结构:屏蔽子网防火墙的配置如图3-4所示,采用了两个包过滤路由器和一个堡垒主机,在内外网络之间建立了一个被隔离的子网,定义为“非军事区”网络,有时也称作周边网。网络管理员将堡垒主机、WEB服务器、Email服务器等公用服务器放在非军事区网络中。内部网络和外部网络均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。
9
成都信息工程学院银杏酒店管理学院本科毕业论文
图3-4 屏蔽子网体系结构
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件还应该同时将总部与各分支机构组成虚拟专用网(VPN)。安装防火墙的基本原则是:只要有恶意侵入的可能,无论内部网络还是与外部公网的连接处,都应该安装防火墙。 3.3.2 入侵检测技术
防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码。对于以上提到的问题,一个更为有效的解决途径就是入侵检测技术。
入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在企业网
10
成都信息工程学院银杏酒店管理学院本科毕业论文
络中采用入侵检测技术,最好采用混合入侵检测,即在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
3.4 网络病毒对策
3.4.1 病毒防治体系特性
根据现代企业的具体境况,我们建议企业应该建立起复杂的多层次病毒防治体系,以应对当前的网络病毒。首先应该考虑在何处安装病毒防治软件。在企业中,重要的数据往往保存在位于整个网络中央结点的文档服务器上,这也是病毒攻击的首要目标。为保护这些数据,网络管理员必须在网络的多个层次上配置全面保护措。其必须具备三个特性[9]:
(1)集成性:任何的保护措施必须在逻辑上是统一的和相互配合的。 (2)单点管理:作为一个集成的解决方案,最基本的一条是必须有一个安全管理的聚焦点。
(3)自动化:系统需要有能自动更新病毒数据库和其他相关信息的功能。
3.4.2 病毒防治软件安装
(1)工作站:工作站是病毒进入网络的主要途径,所以应该在工作站上安装防病毒软件。虽然现在许多病毒是通过Internet文档下载和电子邮件文档附着传播的,但最主要的传播途径还是由外界带来的软盘,因此在工作站上实施实时软盘扫描是十分必要的。他能够使病毒感染的机会降至最少。当然,在工作站上安装的防病毒软件应很好地融合于系统,便于统一更新和自动运行,以避免给用户造成不便。
(2)邮件服务器:邮件服务器是防病毒软件的第二个着眼点。邮件是重要的病毒来源。邮件在发往其目的地前,首先进入邮件服务器并被存放在邮箱内,所以在这里安装防病毒软件是十分有效的。
(3)备份服务器:备份服务器是用来保存重要数据的。备份服务器是保护数据的最后据点,是恢复其他服务器数据的基本依据。因此在备份服务器上装杀毒软件是非常必要的
(4)Internet服务器和文档服务器:网络中任何存放文档和数据库的地方都可能出问题,因此需要保护好这些地方。文档服务器中存放企业重要的
11
成都信息工程学院银杏酒店管理学院本科毕业论文
数据。在Internet服务器上安装防病毒软件是头等重要的,上载和下载的文档不带有病毒对您和您客户的网络都是很重要的。 3.4.3 病毒防护体系的自动控制
一个企业范围的防病毒系统必须统一管理整个域中成百上千个结点(服务器和工作站)才能真正发挥作用,这就需要在一台或几台电脑上安装的防病毒系统控制程序,能够对整个网络或其中任何一个节点的变化作出反应和控制,能够获取病毒信息,进行配置和操作。当某个节点的防范程序认为存在可能的病毒感染时,中央控制系统必须能够切断此节点和网络的连接,以避免病毒向整个网络的扩散。当任何受感染的电脑都被隔离后,防病毒管理系统通知系统管理员,以便采取紧急措施。防病毒系统的警报和通知方法是多样的,比如能够配置不同病毒活动的警报级别,根据问题的不同通知不同的管理人员,根据事件记录产生不同级别的文字消息。
3.5 应用管理安全对策
信息安全无外乎是技术和管理的结合体,在技术上做到了万无一失,并不表示企业的信息就安全了,我们还要从管理上着手,打造安全管理体系。
安全管理体系分为以下八个方面:人事管理、场地设施管理、设备管理、软件管理、密钥和口令管理、网络管理、安全审计管理和应急管理。如图3-5所示:
人事管理 场地设施管理 安全管理体系 口令管理 网络管理 安全审计管理 应急管理 设备管理 软件管理
12