计算机安全服务的主要技术

主动攻击与被动攻击—黑客的攻击手段

主动攻击包含攻击者访问他所需信息的故意行为。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动毫无察觉。被动攻击包括嗅探、信息收集等攻击方法。
在多数情况下，这两种攻击类型被联合用于入侵一个站点。

表 网络攻击分类

实际上，黑客为达到他的攻击目的，在实施一次入侵行为时，会结合采用多种攻击手段，在不同的入侵阶段使用不同的方法和可利用的攻击工具。

7.2.2 安全服务技术的有关概念

1.数据加密技术

数据加密技术是网络信息安全系统中使用最普遍的技术之一。未经加密的消息被称为明文，用某种方法伪装消息以隐藏其内容的过程称为加密。已被加密的消息称为密文，把密文转变为明文的过程称为解密。
在对明文进行加密时所采用的一组规则称为加密算法，而在对密文进行解密时所采取的一组规则称为解密算法。加密算法和解密算法通常在一对密钥控制下进行，分别称为加密密钥和解密密钥。

表 加密算法

2.身份认证

身份认证是指对用户身份的正确识别和校验，它包括识别和验证两方面的内容。其中，识别是指要明确访问者的身份，为了区别不同的用户，每个用户使用的标识各不相同。验证则是指在访问者声明其身份后，系统对其身份进行检验，以防止假冒。

3.访问控制技术

访问控制的基本任务是防止非法用户进入系统，以及合法用户对系统资源非法使用。访问控制包括两个处理过程：识别与认证用户，这是身份认证的内容，通过对用户的识别和认证，可以确定该用户对某一系统资源的访问权限。访问控制技术主要可以根据实现技术和应用环境进行分类：
（1）根据实现技术不同。根据实现技术不同，主要的访问控制类型分为3种：自主访问控制（Discretionary Access Control，DAC）、强制访问控制（Mandatory Access Control，MAC）和基于角色的访问控制（Role-Based Access Control，RBAC）。
（2）根据应用环境的不同。根据应用环境的不同，主要的访问控制类型分为3种：网络访问控制，主机、操作系统访问控制和应用程序访问控制。

4.入侵检测

入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计、数据、其他网络上可以获得的信息及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测通过执行以下任务来实现：
● 监视、分析用户及系统活动。
● 系统构造和弱点的审计。
● 识别反映已知进攻的活动模式并向相关人士报警。
● 异常行为模式的统计分析。
● 评估重要系统和数据文件的完整性。
● 操作系统的审计跟踪管理。
● 识别用户违反安全策略的行为。

7.2.3 防火墙

1.防火墙的概念和特征

（1）防火墙（firewall）。防火墙是指一种计算机硬件和软件的结合，将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。它采用由系统管理员定义的规则，对一个安全网络和一个不安全网络之间的数据流加以控制。防火墙示意图如图7.1所示。

防火墙示意图

设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部网络受到外部非法用户的攻击。防火墙通过检查所有进出内部网络的数据包，检查数据包的合法性，判断该数据包是否会对网络安全构成威胁，为内部网络建立安全边界（security perimeter）。
（2）防火墙的特征。防火墙置于两个网络之间，具有以下特征：
● 所有进出网络的数据流，都必须经过防火墙。
● 只有授权的数据流才允许通过。

2.防火墙的作用

（1）网络的安全屏障。防火墙能极大地提高内部网络的安全性，并通过过滤不安全的服务而降低风险。
（2）强化网络安全策略。以防火墙为中心的安全策略方案配置能将很多安全控制，如口令、加密、身份认证等，配置在防火墙上。
（3）对网络存取和访问进行监控审计。当所有的访问都经过防火墙时，防火墙就能够记录下这些访问，同时提供网络应用的统计数据。
（4）防止内部信息的外泄。利用防火墙对内部网络进行划分，可实现内部网络中重点网段的隔离，从而缩小局部网络安全问题对全局网络造成的影响。

3.防火墙的缺点

在实际应用中，防火墙还是有缺点的，主要表现在：不能防范恶意的知情者、不能防范不通过它的连接、不能防备全部的威胁、不能防范病毒。

4.防火墙系统的组成

构成防火墙系统的两个基本部件是包过滤路由器（packet filtering router）和应用级网关（application gateway）。最简单的防火墙由一个包过滤路由器组成，而复杂的防火墙系统则由包过滤路由器和应用级网关组合而成。
（1）包过滤路由器。包过滤防火墙实际上基于路由器，因此它也称为筛选路由器。包过滤防火墙工作在网络层，有选择地让数据包在内部网和外部网之间进行交换。只有满足过滤逻辑的数据包才被转发到相应的目的出口端，其余数据包则从数据流中丢弃。
（2）应用级网关。应用级网关是基于代理服务的防火墙，是运行在代理服务器上的一些特定的应用程序或服务器程序。应用级网关工作在应用层，掌握着应用系统中可用作安全决策的全部信息。通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流。