校园网络实施方案
一、论文概述; ··············································································································· 2 二、如何评价网络系统的整体安全性················································································ 3
(一)网络系统设计原则 ·························································································· 3
(二)主要网络设备的选择原则················································································ 3 (三)如何检测出当前系统的漏洞、以及扫描器的使用············································· 4 三、应用系统如何保证安全性 ·························································································· 6 (一) 防止黑客对网络、主机、服务器等的入侵 ····················································· 6
1、控制技术 ······································································································ 6 2、防火墙技术 ··································································································· 6 3、入侵检测技术 ······························································································· 6 4、安全扫描 ······································································································ 7
5、安全审计 ······································································································ 7
(二) 防范Windows的漏洞···················································································· 8
四、在连接Internet时,如何在网络层实现安全性 ···························································· 9
(一)防火墙的定义 ································································································· 9
(二)防火墙的作用 ································································································· 9 (三)如何使用防火墙······························································································ 9 五、实现远程访问的安全性·····························································································10 (一)提高远程访问的安全性 ··················································································10 (二)针对特定服务攻击的防范···············································································11 六 访问控制如何布置 ·····································································································11
(一)实现高效安全的网络访问控制········································································11
1、选择一个网络访问控制方法和一种客户端技术 ·············································12
2、选择一个网络架构设备 ················································································12 3、选择RADIUS服务器 ···················································································12 4、选择EAP方法(如果使用802.1x的话)······················································12 5、布置并安排网络分段 ····················································································12 6、集成所有的网络段 ·······················································································13 7、考虑采用身份驱动管理 ················································································13 (二)建立证书管理中心 ·························································································13
1、证书认证机构CA·························································································13
2、认证中心CA的主要功能 ·············································································13 3、CA认证-认证、数字证书和PKI解决的几个问题··········································14 (三)加密技术 ·······································································································14 七 总结 ··························································································································15
1
一、论文概述;
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在"重技术、轻安全、轻管理"的倾向,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
目前校园网络中存在的安全问题
1、学校的上网场所管理较混乱
由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,是学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
2、电子邮件系统极不完善,无任何安全管理和监控的手段
电子邮件既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全邮件系统的要求,出现问题时也无法及时有效的解决
3、网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。
4、网络安全意识淡薄,没有指定完善的网络安全管理制度 校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的安全隐患。
综上所述,校园网络安全的形势非常严峻,为解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,提出了以下校园网络安全实施方案。
1如何评价网络系统的整体安全性 (如何检测出当前系统的漏洞、以及扫描器的使用) 2应用系统如何保证安全性 (如何防止黑客对网络、主机、服务器等的入侵、 如何防范Windows的漏洞)
3在连接Internet时,如何在网络层实现安全性 (防火墙的作用、如何使用) 4如何实现远程访问的安全性 (远程控制的要求)
5访问控制如何布置,包括建立证书管理中心、应用系统集成加密等 (简要地讲述证书的作用)
2
二、如何评价网络系统的整体安全性
(一)网络系统设计原则
系统与软件的可靠性
在校园网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是某学院校园网网络系统所必须考虑的。在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某学院校园网网络系统的可靠性。 先进性与现实性
随着校园网网络系统处理的信息量变的十分庞大,要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某学院校园网网络系统的先进性。
系统安全性与保密性
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时,将从内部访问控制和外部防火墙两方面保证某学院校园网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建设。 易管理与维护
某学院校园网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。 易扩充性
随着教学科研的快速发展,某学院校园网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。无论是网络硬件还是系统软件,都可以方便的扩充和升级。
(二)主要网络设备的选择原则
根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些点: 安全、稳定、可靠
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间,在世界范围内被广泛应用的网络产品。为此,我们建议选择国际知名厂商的产品。
技术先进
网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品,还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
便于扩展
3
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
管理和维护方便
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
(三)如何检测出当前系统的漏洞、以及扫描器的使用
对于检测出系统的漏洞的扫描器,一般使用的是X-Scan
X-Scan面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
软件说明
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。
功能
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。
所需文件
xscan_gui.exe -- X-Scan图形界面主程序 checkhost.dat -- 插件调度主程序 update.exe -- 在线升级主程序 *.dll -- 主程序所需动态链接库 使用说明.txt -- X-Scan使用说明 /dat/language.ini -- 多语言配置文件,可通过设置“LANGUAGE\SELECTED”项进行语言切换
/dat/language.* -- 多语言数据文件
/dat/config.ini -- 当前配置文件,用于保存当前使用的所有设置 /dat/*.cfg -- 用户自定义配置文件
4
/dat/*.dic -- 用户名/密码字典文件,用于检测弱口令用户 /plugins -- 用于存放所有插件(后缀名为.xpn)
/scripts -- 用于存放所有NASL脚本(后缀名为.nasl)
/scripts/desc -- 用于存放所有NASL脚本多语言描述(后缀名为.desc)
/scripts/cache -- 用于缓存所有NASL脚本信息,以便加快扫描速度(该目录可删除
)
检测范围
“指定IP范围” - 可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。“从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。
全局设置
“扫描模块”项 - 选择本次扫描需要加载的插件。
“并发扫描”项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。
“网络设置”项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap 3.1 beta4以上版本驱动。
“扫描报告”项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。
其他设置
“跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。
“跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。
“使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。
“显示详细信息” - 主要用于调试,平时不推荐使用该选项。
“插件设置”模块:该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。
5
/dat/*.dic -- 用户名/密码字典文件,用于检测弱口令用户
/plugins -- 用于存放所有插件(后缀名为.xpn)
/scripts -- 用于存放所有NASL脚本(后缀名为.nasl)
/scripts/desc -- 用于存放所有NASL脚本多语言描述(后缀名为.desc)
/scripts/cache -- 用于缓存所有NASL脚本信息,以便加快扫描速度(该目录可删除
)
检测范围
“指定IP范围” - 可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。“从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。
全局设置
“扫描模块”项 - 选择本次扫描需要加载的插件。
“并发扫描”项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。
“网络设置”项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap
3.1 beta4以上版本驱动。
“扫描报告”项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。
其他设置
“跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。
“跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。
“使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。
“显示详细信息” - 主要用于调试,平时不推荐使用该选项。
“插件设置”模块:该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。
三、应用系统如何保证安全性
(一) 防止黑客对网络、主机、服务器等的入侵
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
1、控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,服务器安全控制、以及属性安全控制等多种手段。
2、防火墙技术
防火墙技术最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬
件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
3、入侵检测技术
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全
而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
入侵检测通过执行以下任务来实现:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描
安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。 网络安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
5、安全审计
① 安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
② 安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
③ 安全审计跟踪的功能是:帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台,及时采取措施。一般要在网络系统中建立安全保密检测控制中心,负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。
(二) 防范Windows的漏洞
Windows操作系统作为使用最广泛的操作系统,其漏洞和针对它的攻击也是最多的。 根据目前的软件设计水平(微软的几千名软件设计人员应该代表了目前最高的软件设计水准)和开发工具,特别是操作系统这么一个庞大的"代码累积,据了解,WindowsXP的代码有4000万行之多,能让超级黑客攻击的地方太多了,毕竟超复杂的软件设计,就越代表了具有更多的功能,这么多的功能说绝对安全是不可能的,例如UPNP漏洞就可略窥冰山一角。WindowsXP作为一种具有可扩展性能的系统,这种设计固然有它的优越之处,但恰恰是这种优越也极有可能带来巨大的安全隐患。特别是在视窗XP为防止侵权盗版的"激活"功能上争议很多,很多人认为这为用户信息安全带来了潜在的威胁,反对大量安装这一系统,这正是所谓"有得必有失"。
(三) 账号锁定功能漏洞
WindowsXP设计了账号快速切换功能,可以使用户快速地在不同的账号之间切换,而不需要先退出再登录。但是快速账号切换功能目前也被证实在设计方面存在严重问题。当系统在用户利用账号快速切换功能快速地重试登录一个用户名时,系统会认为是一个有暴力猜解的攻击,从而造成全部非管埋员账号的锁定,从而其他用户没有管理员的解禁不能登录主机。 该漏洞在进行如下测试方法后将被证实:
(1)设置最多错误口令尝试为3次。
(2)以一般用户权限创建10个账户(User1-User10).
(3)用Useri账号登录。
(4)使用快速账号切换登录到User2账号。
(5)用快速账号切换从User1账号登录User2账号连续失败3次。
(6)试着丢登录User3账号。
这时你会发现所有非管理员账号均已经锁定。
解决方法:目前,微软还没有提供相应的补了程序,用户如果想避免上述的漏洞,必须暂时禁止账户快速切换功能。
(四)WindowsXP远程桌面漏洞
WindowsXP提供了远程桌面功能,目前也被证实存在设计缺陷,可能导致攻击者得到系统远程桌面的账户信息,有助于其进一步攻击。当连接建立的时候,用WindowsXP远程桌面把账户名以明文发送给连接它的客户端。发送的账户名不一定是远端主机的用户账号,而是最常被客户端使用的账户名,网络上的嗅探程序可能会捕获到这些账户信息。
解决方法:到微软主页下载相应的补丁程序,并暂时停止远程桌面的使用
(五) GD1拒绝服务漏洞
GraphicsDeviceInterface(GDI)是一套应用程序接口,用于显示图形输出。但是它存在一个安全问题,可能导致系统拒绝服务。这是由于GDI无法正确处理畸形或无效的参数和标志位造成的,系统表现为蓝屏,只有重新启动才能恢复正常功能。
解决方法:禁止不可信用户登录系统。
四、在连接Internet时,如何在网络层实现安全性
(一)防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
(二)防火墙的作用
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(三)如何使用防火墙
如果是windows操作系统自带的防火墙,默认状态下都会自动开启的(关闭的话系统会报警)。如果是另外安装的其他防火墙,安装后也会自动开启(即在桌面右下角的任务栏中有防火墙图标显示)。一般情况下,防火墙最好使用一个就行了,也就是你必须关闭其中之一。
防火墙的主要目的就是保证上网安全,对系统没有什么影响,可以放心使用。为了便于上网浏览网页,最好把防火墙的安全级别设置为“中级”。
有些防火墙在开启后,对电脑中的某些应用程序的运行、更新、修改甚至卸载等,会弹出是否“允许或同意以及不允许或不同意”的询问框,这时你要根据具体情况进行相应操作,才能保证系统的正常运行,如果是电脑内你所知的应用程序运行而出现的询问框,你都可以选择“允许或同意”,并在询问框下方的“以后都按此方法处理”前面的小方框中打上小勾,这样当下次再运行此程序时,询问框将不会再出现。
注意事项
1. 防火墙实现了你的安全政策
2. 一个防火墙在许多时候并不是一个单一的设备
3. 防火墙并不是现成的随时获得的产品
4. 防火墙并不会解决你所有的问题
5. 使用默认的策略。 正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现,关闭不安全的服务意味着一场持续的战争。
6. 有条件的妥协,而不是轻易的 。
7. 使用分层手段。并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
8. 只安装你所需要的。作为防火墙一部分的机器必须保持最小的安装。
9. 使用可以获得的所有资源
10. 只相信你能确定的
11. 不断的重新评价决定。更改你的防火墙,就像搬新家一样,需要明显的努力和仔细的计划。
12. 防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行,现在病毒发展迅速,而且品种繁多,防为墙不可能全部都能阻拦,所以要加强自身的安全防护。
五、实现远程访问的安全性
随着信息化办公的普及,远程访问的需求也水涨船高。越来越多的学校,已经不再只满足于信息化系统只能够在学校内部使用。由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的学校员工,提供了访问学校内部网络资源的渠道。
但是,毋庸置疑的,对学校内部网络资源的远程访问增加了学校网络的脆弱性,产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略,也没有提供独立的安全鉴别机制。或者说,需要依靠其他的安全策略,如IPSec技术或者访问控制列表来保障其安全性。所以,远程访问增加了学校内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结,跟大家一起来提高远程访问的安全性。
(一)提高远程访问的安全性
一是只需要知道用户名与口令,就可以开始一个远程控制会话。也就是说,远程控制软件只会根据用户名与密码来进行身份验证。所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略,可以让只有
网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件,如
PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同,选择合适的身份验证方式。另外,其还具有加强的审计与日志功能,可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
三是除非有特殊的必要,否则不要装或者开启远程控制软件。即使采取了一些安全措施,其安全隐患仍然存在。为此,除非特别需要,才开启远程控制软件。如笔者平时的时候,都会把一些应用服务器的远程控制软件关掉。而只有在笔者出差或者休假的时候,才会把他们开起来,以备不时之需。这么处理虽然有点麻烦,但是可以提高关键应用服务器的安全。这点麻烦还是值得的。
(二)针对特定服务攻击的防范
针对一些特定服务的攻击,如HTTP服务、FTP服务,比较难于防范。但是,并不是一点对策都没有。采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。如采取如下措施,可以起到一些不错的效果。
1、是采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵学校内部网络的跳板。而HTTPS则相对来说安全的多。因为在这个协议中,加入了一些安全措施,如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。
2、是对应用服务器进行升级。其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
3、是可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让学校内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似,但是安全性上却差很远。TFTP是一个不安全的协议,他不提供身份鉴别贡呢功能。也就是说,任何人只要能够连接到TFTP服务器上,就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问,但是只要网络安全人员限制用户匿名访问,那么就可以提高文件共享的安全性。
六 访问控制如何布置
(一)实现高效安全的网络访问控制
一个有效的NAC(网络访问控制)方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。
NAC的一个关键特性是访问的安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。网络访问控制帮助
你保证只有授权的用户可以获得对网络的访问权。而且,它保证用户只能访问被授权使用的资源。
下面我们看一些实现有效的网络访问控制的具体措施:
1、选择一个网络访问控制方法和一种客户端技术
●IEEE 802.1X
●Web身份验证
●MAC身份验证
2、选择一个网络架构设备
网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。
3、选择RADIUS服务器
远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件:
●访问客户
●网络接入(访问)服务器
●RADIUS服务器
即使有多种多样的应用环境,也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。在这方面,应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。
4、选择EAP方法(如果使用802.1x的话)
只有在使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。需要考虑两个因素:客户对网络的验证和网络对客户的验证。
5、布置并安排网络分段
要设计网络分段,这些分段应适合于网络的各种各样的应用环境。在网络中的一个有限区域内引入访问控制。
6、集成所有的网络段
一旦你部署了网络中各种不同的分段,就可以通过将所有的分段集成到一个统一的总体中来实施优化。
7、考虑采用身份驱动管理
身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。
(二)建立证书管理中心 CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
1、证书认证机构CA
在PKI体系中,为了确保用户的身份及他所持有密钥的正确匹配,公钥系统需要一个可信的第三方(Trusted Third Part,TTP)充当认证中心(Certification Authority,CA)来确认公钥拥有者的真正身份,签发并管理用户的数字证书。认证中心保证了数字证书中列出的用户名称与证书中列出的公开密钥一一对应关系,解决了公钥体系中公钥的合法性问题。认证中心对数字证书的数字签名操作使得攻击者不能伪造和篡改数字证书。认证中心CA是PKI体系的核心。
2、认证中心CA的主要功能
接收并验证最终用户数字证书的申请;
证书审批确定是否接受最终用户数字证书的申请;
证书签发,向审批者颁发、拒绝颁发数字证书;
证书更新,接收、处理最终用户的数字证书更新请求; 接收最终用户数字证书的查询、撤消; 产生和发布证书废止列表(CRL),验证证书状态; 提供OCSP在线证书查询服务,验证证书状态;
提供目录服务,可以查询用户证书的相关信息;
下级认证机构证书及账户管理;
数字证书归档;
认证中心CA及其下属密钥的管理;
历史数据归档。
3、CA认证-认证、数字证书和PKI解决的几个问题
保密性 - 只有收件人才能阅读信息。
认证性 - 确认信息发送者的身份。
完整性 - 信息在传递过程中不会被篡改。
不可抵赖性 - 发送者不能否认已发送的信息。
(三)加密技术
随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。
1、加密的由来
近期加密技术主要应用于军事领域,如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。
2、加密的概念
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
3、加密的理由
加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输,计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。
数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。在这里需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,其实也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。
4、两种加密方法
加密技术通常分为两大类:“对称式”和“非对称式”。
对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。
校园网络实施方案
一、论文概述; ··············································································································· 2 二、如何评价网络系统的整体安全性················································································ 3
(一)网络系统设计原则 ·························································································· 3
(二)主要网络设备的选择原则················································································ 3 (三)如何检测出当前系统的漏洞、以及扫描器的使用············································· 4 三、应用系统如何保证安全性 ·························································································· 6 (一) 防止黑客对网络、主机、服务器等的入侵 ····················································· 6
1、控制技术 ······································································································ 6 2、防火墙技术 ··································································································· 6 3、入侵检测技术 ······························································································· 6 4、安全扫描 ······································································································ 7
5、安全审计 ······································································································ 7
(二) 防范Windows的漏洞···················································································· 8
四、在连接Internet时,如何在网络层实现安全性 ···························································· 9
(一)防火墙的定义 ································································································· 9
(二)防火墙的作用 ································································································· 9 (三)如何使用防火墙······························································································ 9 五、实现远程访问的安全性·····························································································10 (一)提高远程访问的安全性 ··················································································10 (二)针对特定服务攻击的防范···············································································11 六 访问控制如何布置 ·····································································································11
(一)实现高效安全的网络访问控制········································································11
1、选择一个网络访问控制方法和一种客户端技术 ·············································12
2、选择一个网络架构设备 ················································································12 3、选择RADIUS服务器 ···················································································12 4、选择EAP方法(如果使用802.1x的话)······················································12 5、布置并安排网络分段 ····················································································12 6、集成所有的网络段 ·······················································································13 7、考虑采用身份驱动管理 ················································································13 (二)建立证书管理中心 ·························································································13
1、证书认证机构CA·························································································13
2、认证中心CA的主要功能 ·············································································13 3、CA认证-认证、数字证书和PKI解决的几个问题··········································14 (三)加密技术 ·······································································································14 七 总结 ··························································································································15
1
一、论文概述;
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在"重技术、轻安全、轻管理"的倾向,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
目前校园网络中存在的安全问题
1、学校的上网场所管理较混乱
由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,是学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
2、电子邮件系统极不完善,无任何安全管理和监控的手段
电子邮件既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全邮件系统的要求,出现问题时也无法及时有效的解决
3、网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。
4、网络安全意识淡薄,没有指定完善的网络安全管理制度 校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的安全隐患。
综上所述,校园网络安全的形势非常严峻,为解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,提出了以下校园网络安全实施方案。
1如何评价网络系统的整体安全性 (如何检测出当前系统的漏洞、以及扫描器的使用) 2应用系统如何保证安全性 (如何防止黑客对网络、主机、服务器等的入侵、 如何防范Windows的漏洞)
3在连接Internet时,如何在网络层实现安全性 (防火墙的作用、如何使用) 4如何实现远程访问的安全性 (远程控制的要求)
5访问控制如何布置,包括建立证书管理中心、应用系统集成加密等 (简要地讲述证书的作用)
2
二、如何评价网络系统的整体安全性
(一)网络系统设计原则
系统与软件的可靠性
在校园网网络系统设计中,很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,是某学院校园网网络系统所必须考虑的。在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某学院校园网网络系统的可靠性。 先进性与现实性
随着校园网网络系统处理的信息量变的十分庞大,要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠性,也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某学院校园网网络系统的先进性。
系统安全性与保密性
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时,将从内部访问控制和外部防火墙两方面保证某学院校园网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建设。 易管理与维护
某学院校园网网络系统的节点数目大,分布范围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。 易扩充性
随着教学科研的快速发展,某学院校园网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。无论是网络硬件还是系统软件,都可以方便的扩充和升级。
(二)主要网络设备的选择原则
根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些点: 安全、稳定、可靠
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间,在世界范围内被广泛应用的网络产品。为此,我们建议选择国际知名厂商的产品。
技术先进
网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品,还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。
便于扩展
3
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
管理和维护方便
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。
(三)如何检测出当前系统的漏洞、以及扫描器的使用
对于检测出系统的漏洞的扫描器,一般使用的是X-Scan
X-Scan面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。
软件说明
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。
功能
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。
所需文件
xscan_gui.exe -- X-Scan图形界面主程序 checkhost.dat -- 插件调度主程序 update.exe -- 在线升级主程序 *.dll -- 主程序所需动态链接库 使用说明.txt -- X-Scan使用说明 /dat/language.ini -- 多语言配置文件,可通过设置“LANGUAGE\SELECTED”项进行语言切换
/dat/language.* -- 多语言数据文件
/dat/config.ini -- 当前配置文件,用于保存当前使用的所有设置 /dat/*.cfg -- 用户自定义配置文件
4
/dat/*.dic -- 用户名/密码字典文件,用于检测弱口令用户 /plugins -- 用于存放所有插件(后缀名为.xpn)
/scripts -- 用于存放所有NASL脚本(后缀名为.nasl)
/scripts/desc -- 用于存放所有NASL脚本多语言描述(后缀名为.desc)
/scripts/cache -- 用于缓存所有NASL脚本信息,以便加快扫描速度(该目录可删除
)
检测范围
“指定IP范围” - 可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。“从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。
全局设置
“扫描模块”项 - 选择本次扫描需要加载的插件。
“并发扫描”项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。
“网络设置”项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap 3.1 beta4以上版本驱动。
“扫描报告”项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。
其他设置
“跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。
“跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。
“使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。
“显示详细信息” - 主要用于调试,平时不推荐使用该选项。
“插件设置”模块:该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。
5
/dat/*.dic -- 用户名/密码字典文件,用于检测弱口令用户
/plugins -- 用于存放所有插件(后缀名为.xpn)
/scripts -- 用于存放所有NASL脚本(后缀名为.nasl)
/scripts/desc -- 用于存放所有NASL脚本多语言描述(后缀名为.desc)
/scripts/cache -- 用于缓存所有NASL脚本信息,以便加快扫描速度(该目录可删除
)
检测范围
“指定IP范围” - 可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。“从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。
全局设置
“扫描模块”项 - 选择本次扫描需要加载的插件。
“并发扫描”项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。
“网络设置”项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap
3.1 beta4以上版本驱动。
“扫描报告”项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。
其他设置
“跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。
“跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。
“使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。
“显示详细信息” - 主要用于调试,平时不推荐使用该选项。
“插件设置”模块:该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。
三、应用系统如何保证安全性
(一) 防止黑客对网络、主机、服务器等的入侵
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。
防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。
1、控制技术
访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,服务器安全控制、以及属性安全控制等多种手段。
2、防火墙技术
防火墙技术最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬
件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
3、入侵检测技术
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全
而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
入侵检测通过执行以下任务来实现:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描
安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。 网络安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
5、安全审计
① 安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。
② 安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。
③ 安全审计跟踪的功能是:帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台,及时采取措施。一般要在网络系统中建立安全保密检测控制中心,负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。
(二) 防范Windows的漏洞
Windows操作系统作为使用最广泛的操作系统,其漏洞和针对它的攻击也是最多的。 根据目前的软件设计水平(微软的几千名软件设计人员应该代表了目前最高的软件设计水准)和开发工具,特别是操作系统这么一个庞大的"代码累积,据了解,WindowsXP的代码有4000万行之多,能让超级黑客攻击的地方太多了,毕竟超复杂的软件设计,就越代表了具有更多的功能,这么多的功能说绝对安全是不可能的,例如UPNP漏洞就可略窥冰山一角。WindowsXP作为一种具有可扩展性能的系统,这种设计固然有它的优越之处,但恰恰是这种优越也极有可能带来巨大的安全隐患。特别是在视窗XP为防止侵权盗版的"激活"功能上争议很多,很多人认为这为用户信息安全带来了潜在的威胁,反对大量安装这一系统,这正是所谓"有得必有失"。
(三) 账号锁定功能漏洞
WindowsXP设计了账号快速切换功能,可以使用户快速地在不同的账号之间切换,而不需要先退出再登录。但是快速账号切换功能目前也被证实在设计方面存在严重问题。当系统在用户利用账号快速切换功能快速地重试登录一个用户名时,系统会认为是一个有暴力猜解的攻击,从而造成全部非管埋员账号的锁定,从而其他用户没有管理员的解禁不能登录主机。 该漏洞在进行如下测试方法后将被证实:
(1)设置最多错误口令尝试为3次。
(2)以一般用户权限创建10个账户(User1-User10).
(3)用Useri账号登录。
(4)使用快速账号切换登录到User2账号。
(5)用快速账号切换从User1账号登录User2账号连续失败3次。
(6)试着丢登录User3账号。
这时你会发现所有非管理员账号均已经锁定。
解决方法:目前,微软还没有提供相应的补了程序,用户如果想避免上述的漏洞,必须暂时禁止账户快速切换功能。
(四)WindowsXP远程桌面漏洞
WindowsXP提供了远程桌面功能,目前也被证实存在设计缺陷,可能导致攻击者得到系统远程桌面的账户信息,有助于其进一步攻击。当连接建立的时候,用WindowsXP远程桌面把账户名以明文发送给连接它的客户端。发送的账户名不一定是远端主机的用户账号,而是最常被客户端使用的账户名,网络上的嗅探程序可能会捕获到这些账户信息。
解决方法:到微软主页下载相应的补丁程序,并暂时停止远程桌面的使用
(五) GD1拒绝服务漏洞
GraphicsDeviceInterface(GDI)是一套应用程序接口,用于显示图形输出。但是它存在一个安全问题,可能导致系统拒绝服务。这是由于GDI无法正确处理畸形或无效的参数和标志位造成的,系统表现为蓝屏,只有重新启动才能恢复正常功能。
解决方法:禁止不可信用户登录系统。
四、在连接Internet时,如何在网络层实现安全性
(一)防火墙的定义
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
(二)防火墙的作用
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
(三)如何使用防火墙
如果是windows操作系统自带的防火墙,默认状态下都会自动开启的(关闭的话系统会报警)。如果是另外安装的其他防火墙,安装后也会自动开启(即在桌面右下角的任务栏中有防火墙图标显示)。一般情况下,防火墙最好使用一个就行了,也就是你必须关闭其中之一。
防火墙的主要目的就是保证上网安全,对系统没有什么影响,可以放心使用。为了便于上网浏览网页,最好把防火墙的安全级别设置为“中级”。
有些防火墙在开启后,对电脑中的某些应用程序的运行、更新、修改甚至卸载等,会弹出是否“允许或同意以及不允许或不同意”的询问框,这时你要根据具体情况进行相应操作,才能保证系统的正常运行,如果是电脑内你所知的应用程序运行而出现的询问框,你都可以选择“允许或同意”,并在询问框下方的“以后都按此方法处理”前面的小方框中打上小勾,这样当下次再运行此程序时,询问框将不会再出现。
注意事项
1. 防火墙实现了你的安全政策
2. 一个防火墙在许多时候并不是一个单一的设备
3. 防火墙并不是现成的随时获得的产品
4. 防火墙并不会解决你所有的问题
5. 使用默认的策略。 正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现,关闭不安全的服务意味着一场持续的战争。
6. 有条件的妥协,而不是轻易的 。
7. 使用分层手段。并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
8. 只安装你所需要的。作为防火墙一部分的机器必须保持最小的安装。
9. 使用可以获得的所有资源
10. 只相信你能确定的
11. 不断的重新评价决定。更改你的防火墙,就像搬新家一样,需要明显的努力和仔细的计划。
12. 防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行,现在病毒发展迅速,而且品种繁多,防为墙不可能全部都能阻拦,所以要加强自身的安全防护。
五、实现远程访问的安全性
随着信息化办公的普及,远程访问的需求也水涨船高。越来越多的学校,已经不再只满足于信息化系统只能够在学校内部使用。由于员工出差、客户要求访问等原因,近几年远程访问的热度不断升高。一些远程访问工具,也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的学校员工,提供了访问学校内部网络资源的渠道。
但是,毋庸置疑的,对学校内部网络资源的远程访问增加了学校网络的脆弱性,产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略,也没有提供独立的安全鉴别机制。或者说,需要依靠其他的安全策略,如IPSec技术或者访问控制列表来保障其安全性。所以,远程访问增加了学校内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结,跟大家一起来提高远程访问的安全性。
(一)提高远程访问的安全性
一是只需要知道用户名与口令,就可以开始一个远程控制会话。也就是说,远程控制软件只会根据用户名与密码来进行身份验证。所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略,可以让只有
网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件,如
PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同,选择合适的身份验证方式。另外,其还具有加强的审计与日志功能,可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
三是除非有特殊的必要,否则不要装或者开启远程控制软件。即使采取了一些安全措施,其安全隐患仍然存在。为此,除非特别需要,才开启远程控制软件。如笔者平时的时候,都会把一些应用服务器的远程控制软件关掉。而只有在笔者出差或者休假的时候,才会把他们开起来,以备不时之需。这么处理虽然有点麻烦,但是可以提高关键应用服务器的安全。这点麻烦还是值得的。
(二)针对特定服务攻击的防范
针对一些特定服务的攻击,如HTTP服务、FTP服务,比较难于防范。但是,并不是一点对策都没有。采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。如采取如下措施,可以起到一些不错的效果。
1、是采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵学校内部网络的跳板。而HTTPS则相对来说安全的多。因为在这个协议中,加入了一些安全措施,如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。
2、是对应用服务器进行升级。其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
3、是可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让学校内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似,但是安全性上却差很远。TFTP是一个不安全的协议,他不提供身份鉴别贡呢功能。也就是说,任何人只要能够连接到TFTP服务器上,就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问,但是只要网络安全人员限制用户匿名访问,那么就可以提高文件共享的安全性。
六 访问控制如何布置
(一)实现高效安全的网络访问控制
一个有效的NAC(网络访问控制)方案,应该可以提供一个可信任网络架构,这个架构对威胁具有免疫性,以及恰当使用的可控制性并能够为所有用户保护数据和完整性。
NAC的一个关键特性是访问的安全性,可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接,来前摄性地防止安全性受到破坏。网络访问控制帮助
你保证只有授权的用户可以获得对网络的访问权。而且,它保证用户只能访问被授权使用的资源。
下面我们看一些实现有效的网络访问控制的具体措施:
1、选择一个网络访问控制方法和一种客户端技术
●IEEE 802.1X
●Web身份验证
●MAC身份验证
2、选择一个网络架构设备
网络架构设备,如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持,并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能,任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。
3、选择RADIUS服务器
远程身份验证拨入用户服务(RADIUS)是一个工业标准协议,可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件:
●访问客户
●网络接入(访问)服务器
●RADIUS服务器
即使有多种多样的应用环境,也只能在网络中使用一种类型的RADIUS服务器(例如,你可以使用微软的IAS服务器或者FreeRADIUS)。在这方面,应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资(LDAP或者活动目录)的时机。
4、选择EAP方法(如果使用802.1x的话)
只有在使用802.1x访问控制方法时,可扩展身份验证协议(EAP)的方法才具有重要意义。需要考虑两个因素:客户对网络的验证和网络对客户的验证。
5、布置并安排网络分段
要设计网络分段,这些分段应适合于网络的各种各样的应用环境。在网络中的一个有限区域内引入访问控制。
6、集成所有的网络段
一旦你部署了网络中各种不同的分段,就可以通过将所有的分段集成到一个统一的总体中来实施优化。
7、考虑采用身份驱动管理
身份驱动管理(IDM)提供了基于用户身份而不是网络设备的网络访问控制,它允许在网络的中心设置一个网络访问策略的实施,并将它动态地运用于网络的边缘。
(二)建立证书管理中心 CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
1、证书认证机构CA
在PKI体系中,为了确保用户的身份及他所持有密钥的正确匹配,公钥系统需要一个可信的第三方(Trusted Third Part,TTP)充当认证中心(Certification Authority,CA)来确认公钥拥有者的真正身份,签发并管理用户的数字证书。认证中心保证了数字证书中列出的用户名称与证书中列出的公开密钥一一对应关系,解决了公钥体系中公钥的合法性问题。认证中心对数字证书的数字签名操作使得攻击者不能伪造和篡改数字证书。认证中心CA是PKI体系的核心。
2、认证中心CA的主要功能
接收并验证最终用户数字证书的申请;
证书审批确定是否接受最终用户数字证书的申请;
证书签发,向审批者颁发、拒绝颁发数字证书;
证书更新,接收、处理最终用户的数字证书更新请求; 接收最终用户数字证书的查询、撤消; 产生和发布证书废止列表(CRL),验证证书状态; 提供OCSP在线证书查询服务,验证证书状态;
提供目录服务,可以查询用户证书的相关信息;
下级认证机构证书及账户管理;
数字证书归档;
认证中心CA及其下属密钥的管理;
历史数据归档。
3、CA认证-认证、数字证书和PKI解决的几个问题
保密性 - 只有收件人才能阅读信息。
认证性 - 确认信息发送者的身份。
完整性 - 信息在传递过程中不会被篡改。
不可抵赖性 - 发送者不能否认已发送的信息。
(三)加密技术
随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。
1、加密的由来
近期加密技术主要应用于军事领域,如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。
2、加密的概念
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
3、加密的理由
加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输,计算机密码极为重要,许多安全防护体系是基于密码的,密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。
数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。在这里需要强调一点的就是,文件加密其实不只用于电子邮件或网络上的文件传输,其实也可应用静态的文件保护,如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密,以防他人窃取其中的信息。
4、两种加密方法
加密技术通常分为两大类:“对称式”和“非对称式”。
对称式加密就是加密和解密使用同一个密钥,通常称之为“Session Key ”这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的Session Key长度为56Bits。