(3)非授权访问
非授权访问是指存储在联网计算机中的信息或服务被未授权的网络用户非法使用,或者被授权用户越权滥用。
网络的非法用户可以通过猜测用户口令,窃取口令的办法,或者设法绕过网络安全认证系统来冒充合法用户,非法查看、下载、修改、删除未授权访问的信息,以及使用未授权的网络服务。访问授权一般是由计算机操作系统、数据库管理系统、应用软件与网络操作系统和防火墙来共同保障,通常采用的方法是用户访问权限设置、用户口令加密、用户身份认证、数据加密与结点地址过滤等。
5.3.2 建立网络安全模型
通信双方在网络上传输信息时,需要先在发送和接收方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务,如图5-1所示。
可信任第三方 报 文 报 文 用户 秘密信息 秘密信息
图 5-1 网络安全模型
信息的安全传输包括两个基本部分:
(1)对发送的信息进行安全转换(如信息加密),实现信息的保密性。或者附加一些特征信息,以便进行发送方身份验证。
(2)发送和接收双方共享的某些信息(如加密密钥),这些信息除了对可信任的第三方外,对于其他用户是保密的。
为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:
35
(1)设计一个算法,执行安全相关的转换; (2)生成该算法的秘密信息(如密钥); (3)研制秘密信息的分发与共享的方法;
(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。
5.3.3 数据备份方法
数据备份有多种实现形式,从不同的角度可以对备份进行不同的分类:从备份模式来看,可以分为物理备份和逻辑备份;从备份策略来看,可以分为完全备份、增量备份和差异备份;根据备份服务器在备份过程中是否可以接收用户响应和数据更新,又可以分为离线备份和在线备份。 (1)逻辑备份
逻辑备份也可以称作“基于文件的备份”。每个文件都是由不同的逻辑块组成的,每个逻辑块存储在连续的物理磁盘块上,基于文件的备份系统能识别文件结构,并拷贝所有的文件和目录到备份资源上。系统顺序读取每个文件的物理块,然后备份软件连续地将文件写入到备份介质上,从而使得每个单独文件的恢复变得更快。 (2)物理备份。
物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为备份软件在执行过程中,花费在搜索操作上的开销很少。 (3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份,这是一种最基本,也是最简单的备份方式。这种备份方式的好处就是很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以只使用一份备份文件快速地恢复所丢失的数据。
(4)增量备份
为了解决上述完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作以来新创建或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变,没有重复的备份数据,因此既节省空间,又缩短了备份的时间。因而
36
这种备份方法比较经济,可以频繁地进行。 (5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
5.3.4 防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。防火墙的功能包括: (1)检查所有从外部网络进入内部网络流出到外部网络的数据包。 (2)执行安全策略,限制所有不符合安全策略要求的数据包通过。 (3)具有防攻击能力,保证自身的安全性。
防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用代理服务器都可以作为防火墙使用。
5.3.5入侵检测技术
入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括: (1)监控、分析用户和系统的行为。 (2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。 (5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
5.3.6 网络安全评估
网络安全评估系统是一种集网络安全检测、风险评估、修复、统计分析和网络安全风险集中控制管理功能于一体的网络安全设备。通过扫描某个网络内的主机,再进行智能分析,得到该网络的安全状况分析图表,以及每个机器的详细的安全登记评估图表。
37
从本质来讲评估技术就是一种检测技术。网络安全评估分析技术可以分为基于应用和基于网络的两种评估分析技术。
(1)基于应用的技术采用被动、非破坏的办法检测应用软件包的设置,发现安全漏洞。
(2)基于网络的技术采用积极的、非破坏的办法来检验系统是否有可能被攻击。
5.4 校园安全隐患
当时,校园网络主要存在的安全隐患和漏洞有:
(1)校园网通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(2)校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。而现在,黑客攻击工具在网上十分常见,一般人员并不需要很复杂的知识就能用,所以存在很大的危险。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等等,这些都对原有网络安全构成威胁。
(4)随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全体系显得尤其重要。
5.5 校园网主动防御体系
校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略,需要注意的是,网络上的业务目标、安全策略与安全设计之间的关系是一体的。因此网络安全防范体系应该是动态变化的,在完成安全防范体系的设计后,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。
38
5.5.1 P2DR模型
美国国际互联网安全系统公司( ISS )提出的 P 2 D R模型是指:策略 ( P o l i c y )、防护( P r o t e c t i o n )、检测( D e t e c t i o n ) 和响应 ( R e s p o n s e )。P 2 D R模型强调防护、检测和响应等环节的动态循环过程,通过这种过程达到保持网络系统的相对安全。所以P 2 D R模型是“整体的、动态的”的安全循环,在安全策略整体的控制下指导下保证信息系统的安全。P 2 D R模型如图5-2所示。
图 5-2 P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。P2DR 模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间―响应时间Rt。
P2DR 模型就可以用一些典型的数学公式来表达安全的要求: (1)公式 1:Pt > Dt + Rt 。
39