當前位置：網站首頁 > 管理資料 > 資料雜燴 > 文章當前位置：資料雜燴 > 文章

網絡保密知識

時間：2010-05-08 點擊：次來源：互聯網作者：不詳 - 小 + 大

1、計算機局域網的保密
我國的計算機網絡，特別是局域網技術發展最為迅速，許多大專院校、科研院所以及銀行、公安、郵電、鐵路、石油等部門都建立了自己的局域網，但在實際運作中，由于一些網絡是沒有保密措施的“裸網”，用戶不敢在網上處理涉密信息，使網絡的作用得不到充分發揮。因此，開發和運用有效的局域網保密措施，樹起堅實的保密防護網，無論現在還是將來都具有十分突出的現實意義。
2、局域網信息的保密
計算機局域網由信息(存儲在計算機及其外部設備上的程序及數據)和實體兩大部分組成，信息泄露是局域網的主要保密隱患之一。所謂信息泄露，就是被故意或偶然地偵收、截獲、竊取、分析、收集到系統中的信息，特別是秘密信息和敏感信息，從而造成泄密事件。局域網在保密防護方面有三點脆弱性：一是數據的可訪問性。數據信息可以很容易被終端用戶拷貝下來而不留任何痕跡。二是信息的聚生性。當信息以零散形式存在時，其價值往往不大，一旦網絡將大量關聯信息聚集在一起時，其價值就相當可觀了。三是設防的困難性。盡管可以層層設防，但對一個熟悉網絡技術的人來說，下些功夫就可能突破這些關卡，給保密工作帶來極大的困難。
從某種意義上可以說，網絡的生命在于其保密性。根據近幾年的實踐和保密技術發展的要求，計算機局域網的保密防范應從以下四個方面入手：
（1）充分利用網絡操作系統提供的保密措施。某些用戶對網絡的認識不足，基本不用或很少使用網絡操作系統提供的保密措施，從而留下隱患。其實，一般的網絡操作系統都有相應的保密措施，以美國Novell公司的網絡操作系統NetWare為例，它提供的四級保密措施：第一級是入網保密。用戶入網時，必須按用戶名進行登錄注冊。使用網絡信息資源的用戶，必須準確申報自己的用戶名，否則將被網絡拒之門外。第二級是設置目錄和文件訪問權限。訪問權限是對用戶訪問目錄和文件的合法范圍的規定，以控制用戶只能操作什么樣的目錄和文件。準確地劃分網絡信息的涉密等級、范圍和涉密人員，需要網絡管理員和保密人員協同工作。第三級是文件和目錄的屬性保密。屬性直接控制對文件或目錄的訪問特性。屬性的訪問控制高于文件、目錄的有效訪問權限，可以禁止有效訪問權限所允許的操作。NetWare提供的主要屬性控制有：防止對目錄和文件的刪除；不允許查看目錄和文件；禁止對文件進行拷貝；禁止對文件的寫操作；控制對文件是否共享；防止文件修改時被破壞；標記被修改過的文件等。第四級是文件服務器的安全保密。即控制臺鍵盤可以加口令封鎖，防止非法闖入者以超級用戶身份瀏覽網絡信息。
（2）加強數據庫的信息保密防護。網絡中的數據組織形式有文件和數據庫兩種。文件組織形式的數據缺乏共享性，現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施，而數據庫的數據以可讀的形式存儲其中，所以數據庫的保密需采取另外的方法。
（3）采用現代密碼技術，加大保密強度。借助現代密碼技術對數據進行加密，將重要秘密信息由明文變為密文。
（4）采用防火墻技術，防止局域網與外部網連通后秘密信息的外泄。局域網最安全的保密方法莫過于不與外部聯網（國家規定涉及國家秘密的局域網不得與外部聯網)，但除了一些重點單位和要害部門，局域網與廣域網的連接是大勢所趨。防火墻是建立在局域網與外部網絡之間的電子系統，用于實現訪問控制，即阻止外部入侵者進入局域網內部，而允許局域網內部用戶訪問外部網絡。
3、局域網實體的保密
局域網實體是指實施信息收集、傳輸、存儲、加工處理、分發和利用的計算機及其外部設備和網絡部件。它的泄密渠道：主要有四個：
（1）電磁泄露。計算機設備工作時輻射出電磁波，任何人都可以借助儀器設備在一定范圍內收到它，尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。另外，網絡端口、傳輸線路等都有可能因屏蔽不嚴或末加屏蔽而造成電磁泄露。實驗表明，未加控制的電腦設施開始工作后，用普通電腦加上截收裝置，可以在一千米內抄收其內容。
（2）非法終端。非法用戶有可能在現有終端上并接一個終端，或趁合法用戶從網上斷開時乘機接入，使信息傳到非法終端。
（3）搭線竊取。局域網與外界連通后，通過未受保護的外部線路，可以從外界訪問到系統內部的數據，而內部通訊線路也有被搭線竊取信息的可能。
（4）介質的剩磁效應。存儲介質中的信息被擦除后有時仍會留下可讀信息的痕跡。另外，在大多數的信息系統中，刪除文件僅僅是刪掉文件名，而原文還原封不動地保留在存儲介質中，一旦被利用，就會泄密。
對局域網實體，采取的相應保密措施一般有以下三種：—是防電磁泄露措施。如選用低輻射設備。顯示器是計算機保密的薄弱環節，而竊取顯示的內容已是一項“成熟”的技術，因此，選用低輻射顯示器十分必要。此外，還可以采用距離防護、噪聲干擾、屏蔽等措施，把電磁泄露抑制到最低限度。二是定期對實體進行檢查。特別是對文件服務器、光纜(或電纜)、終端及其他外設進行保密檢查，防止非法侵入。三是加強對網絡記錄媒體的保護和管理。如對關鍵的涉密記錄媒體要有防拷貝和信息加密措施，對廢棄的磁盤要有專人銷毀等。
4、小心來自網上的攻擊
隱藏IP地址
黑客若要對我們實施攻擊，首先要找到我們的IP地址。否則無從下手。隱藏IP地址常用如下三法：
（ 1）使用代理服務器(Pfoxy Server)：若我們瀏覽網站、聊天、BBS等，這時留下網址是代理服務器的，而非我們的網址。
（2）使用工具軟件：Norton Internet SecuritY具有隱藏IP的功能，若您的電腦前端有路由器、IP共享功能的集線器，則此法無效，因NIS只能隱藏你電腦的IP地址。
（3）對于局域網中的電腦，瀏覽器中的Proxy的地址應設為與Internet連接的那臺電腦的地址。
以上措施一定程度上防范了入侵，但仍存在疏漏之處，黑客仍可利用端口掃描找到你的IP地址，更進一步的措施就是“端口防范”。
端口防范
黑客或病毒對您入侵時，要不斷地掃描您的計算機端口，如果您安裝了端口監視程序(比如Netwatch)，該監視程序則會有警告提示。入侵者很可能連續頻繁掃描端口以尋找時機，監視程序也會不斷地提示您，令您不勝其煩，如果您遇到這種入侵，可用工具軟件關閉不用的端口，比如，用“NotonInternetSecurity”關閉不用的80和443端口，這兩個端口提供HTTP服務，如果您不提供網頁瀏覽服務，盡可關閉；關閉25和110端口，這兩個提供SMTP和POP3服務，不用時也應關閉，其他一些不用端口也可關閉。關閉了這些端口，無異于擋入侵者于大門之外。
在TCP／IP協議上，Windows是通過139端口與其他安裝Windows系統的電腦進行連接，關閉此端口，可防范絕大多數的攻擊。關閉步驟：[網絡]→[配置]→[TCP／IP]→[屬性]→[綁定]→[Microsoft網絡客戶端](把此項前面的“√”去掉，若無此項可不作變動)。
關閉共享和設置密碼
若您的電腦非局域網中共享硬盤存取的電腦，可關閉全部硬盤和文件夾共享，步驟是：[網絡]→[文件和打印機共享]→[允許其他用戶訪問我的文件]前面的“√”去掉即可；如若不能關閉所有硬盤或文件夾共享，則對共享的部分需設置只讀與密碼，步驟是：右鍵單擊某[文件夾]→[共享┄]，需注意，由于Windows9X與WindowsMe的共享密碼極易被破解，而Windows2K與Windows XP的密碼較安全，升級您的操作系統是明智之舉。
ActiveX控件與Java的防護
網頁中ActiveX控件與Java Applets有較強的功能，而對其功能往往是未知的，一旦是惡意所為，破壞是相當大的，不得不防。IE對此也采取了慎重態度，提供了多種選擇，具體設置步驟是：[工具]→[Internet選項]→[安全]→[自定義級別]，建議您對不了解的網頁的ActiveX控件與Java程序采取嚴防的態度。
5、網上自我保護六計
近年來，隨著計算機技術與通訊技術的迅猛發展，互聯網，（Internet）在中國已經是家喻戶曉，深入尋常百姓家了。上網后，對于廣大網友來說，最關心的除了網絡的速度、費用之外，就得數網絡的安全問題了。精彩的互聯網使人留連忘返，癡迷其中。但是我們也應當看到，在這繽紛的互聯網的背后，隱藏著許多利用網絡蓄意攻擊他人的所謂“黑客（Hacker）”和在網上傳播的無孔不入的病毒，諸如眾所周知的“愛蟲（I Love You）”病毒等等。它們輕則造成你的電腦運行緩慢，直至“死機”；重則格式化你的硬盤，使你的數據灰飛煙滅；還有就是盜用你的上網密碼，給你造成巨額損失┄┄凡此種種，不勝枚舉。因此網絡安全也就為越來越多的網友所關心，尤其是對新上網的網友而言，學會在網上如何進行自我保護的確是迫在眉捷了。
下面就以筆者幾年來上網的經驗來談一談在互聯網上自我保護的一些技巧：
★設置密碼時要盡量避免使用有意義的英文單詞、姓名縮寫以及生日、電話號碼等容易泄露的字符作為密碼，最好采用字符與數字混合的密碼。
在不同的場合使用不同的密碼。網上需要設置密碼的地方很多，如上網帳戶、Email、聊天室以及一些網站的會員等。應盡可能使用不同的密碼，以免因一個密碼泄露導致所有資料外泄。
不要貪圖方便在撥號連接的時候選擇“保存密碼”選項；如果您是使用Email客戶端軟件(OutlookExpress、Foxmail、Thebat等)來收發重要的電子郵箱，如ISP信箱中的電子郵件，在設置帳戶屬性時盡量不要使用“記憶密碼”的功能。因為雖然密碼在機器中是以加密方式存儲的，但是這樣的加密往往并不保險，一些初級的黑客即可輕易地破譯你的密碼，而且現在網上就有許多黑客軟件可供下載，例如caption-it!軟件，下載網址為http：//www.computerinfo.com.cn/utilities/other/caption-it.zip，利用它可以輕而易舉地得到你保存的密碼。
定期地修改自己的上網密碼，至少一個月更改一次，這樣可以確保即使原密碼泄露，也能將損失減小到最少。 [Ok3w_NextPage]
★互聯網上有許多提供免費郵件服務的網站，應申請多個免費信箱，對于不同用途，譬如與親朋好友通信、訂閱電子郵件列表、雜志社投稿等，分門別類地使用不同的信箱。正如股市中的一句俗語所說的，“不要把雞蛋放在一個籃子里”。這樣可以保證在某個郵箱遭受郵件炸彈或垃圾郵件攻擊時，其它郵箱仍可正常使用，降低了風險。
電子郵件攻擊主要有兩種方式：一是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴重者可能會給電子郵件服務器操作系統帶來危險，甚至癱瘓；二是電子郵件欺騙，攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同)，給用戶發送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序，這類欺騙只要用戶提高警惕，一般危害性不是太大。
此外，應盡量減少使用ISP提供的信箱，或者干脆將它“束之高閣”，因為ISP信箱的密碼往往與上網帳戶的密碼相同，這樣可以避免上網密碼的泄露或ISP信箱遭受郵件炸彈的攻擊帶來不必要的損失。而且國內一些地方的ISP提供的免費郵箱當郵件超過一定體積時收取保管費，就曾經有人因使用Netscape內置的軟件收發郵件，因其缺省選項為“在服務器保留備份”，導致一個月的保管費高達1000多元，最后鬧至對簿公堂。
★不下載來路不明的軟件及程序。幾乎所有上網的人在網上下載過共享軟件(尤其是可執行文件)，在給你帶來方便和快樂的同時，也會悄悄地把一些你不歡迎的東西帶到你的機器中，比如病毒。因此應選擇信譽較好的下載網站下載軟件，將下載的軟件及程序集中放在非引導分區的某個目錄，在使用前最好用殺毒軟件查殺病毒。有條件的話，可以安裝一個實時監控病毒的軟件，隨時監控網上傳遞的信息。
不要打開來歷不明的電子郵件及其附件；以免遭受病毒郵件的侵害。在互聯網上有許多種病毒流行，有些病毒就是通過電子郵件來傳播的(如梅麗莎、愛蟲等)，這些病毒郵件通常都會以帶有噱頭的標題來吸引你打開其附件，如果您抵擋不住它的誘惑，而下載或運行了它的附件，那么接下來┄┄所以對于來歷不明的郵件應當將其拒之門外。
★在聊天室聊天或用ICU聊天時要小心陷阱。現在在網上聊天的人越來越多，而諸如web 聊天室、ICQ、MIRC之類的軟件被廣大網友廣泛使用。殊不知此類軟件的安全性卻實在差得很，如果你不加以設防，黑客們能輕而易舉地讓你的計算機死機。此類的攻擊手段通常有兩種：
（1）對于Web 聊天室和MIRC來說，它們支持HTML語言，而攻擊者就能憑這一點讓您的機器崩潰。譬如說，他們可以發送一個死循環語句讓您的計算機周而復始地運行，最終導致藍屏。
（2）在網絡上聊天很容易泄漏您的IP地址，而別有用心者就會利用TCP/IP包漏洞對您進行攻擊。一般IP地址都是以XXX•XXX•XXX•XXX的形式出現，其中XXX可以從0 到255。國內163的用戶頭一個都是202，后兩位數字則用來更加具體地描述您所在的地區和方位。只要您是撥號上網，就一定有一個動態的惟一的IP地址，您可以使用IP檢查程序看到自己的IP。黑客通過跟蹤上網賬號及從用戶信息中查找IP，或者等待BBS、聊天室及網頁站點記錄的IP，或者通過ICQ獲取IP，便能利用相關軟件直接轟擊您的計算機，造成藍屏現象。以ICQ軟件來說吧，ICQ自從推出后就一直受到安全問題的困擾，盡管它一直在升級，可總是“道高一尺，魔高一丈”。
★如果有條件，安裝防火墻（Fire Wall）以抵御黑客的襲擊。所謂“防火墻”，是指一種將內部網和公眾網（Internet）分開的方法，實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許您“同意”的人和數據進入你的網絡，“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息。防火墻安裝和投入使用后，并非萬事大吉，要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救（Patch）產品，此時應盡快確認真偽（防止特洛伊木馬等病毒），并對防火墻進行更新。在理想情況下，一個好的防火墻應該能把各種安全問題在發作之前解決。就現實情況看，這還是個遙遠的夢想。上前我們還只能在各種利弊之間“走鋼絲”。

五是網絡內部用戶的權限濫用；以及網絡安全防護技術的落后，造成防火墻或主機配置方面的不合理，缺乏有效的手段監視、評估網絡的安全性等，導致網絡的安全防范能力差。
另外從網絡安全劃分（系統安全、應用安全和數據安全）來看，與人們關系最大的就是數據安全。而目前經過不完全統計，數據安全隱患有７０％來自各個公司網絡的內部。現在各大公司的網絡管理員在進行資源分配、管理的時候由于對具體資源的權限分配的疏漏，可以導致連續的不良反映。這些權限包括：１、可編輯策略的網絡設備，例如路由器的訪問控制列表；２、防火墻策略中的可開放服務端口；３、基于文件系統的讀寫操作權限。如何才能確定及時準確的策略方案，有賴于安全審計所反映的系統狀況。安全審計對于系統管理者掌握系統的運行狀況，了解用戶對系統資源的使用情況，及時發現非授權訪問并給予制止是非常重要的。
十大網絡安全漏洞
一、域名服務系統BIND的弱點：nxt（在處理NXT記錄時存在漏洞，允許遠程攻擊者以運行DNS服務的身份（缺省為root）進入運行DNS服務的系統。in.named守護進程的漏洞有泄漏root權限的危險。
二、容易受攻擊的CGI程序和服務器端應用程序擴展。
三、遠端進程調用（Remote Procedure call）其進程守護程序rpc.ttdb(Tool Talk)拒絕服務漏洞（使用早先公布的ttdbserver溢出程序對上述系統可以造成rpc.ttdbserver的崩潰。問題產生的原因是由于一個已經不在使用的空指針。這個漏洞不能造成rpc.ttdbserver執行任意代碼，但可以造成“拒絕服務攻擊”的問題）。還有rpc.cmsd(Calendar Manager)溢出漏洞，以及rpc.statd是NFS文件鎖定的狀態監視服務，近期被發現存在漏洞，以上漏洞有可能導致root權限泄漏及受到惡意攻擊。
四、微軟的IIS RDS安全漏洞。
五、SMTP郵件服務的緩存溢出漏洞，直接威脅root權限安全，攻擊者在入侵成功后，可以system身份執行任意命令。
六、sadmind存在遠程溢出漏洞，在存在sadmind漏洞的一些版本中如果傳送一個超長的緩存數據，會改寫堆棧指針，從而造成可執行任意代碼。因為sadmind以root身份來運行，因而這個漏洞會危及系統的最高安全。同時存在于某些系統內部的mountd溢出漏洞，攻擊者通過修改堆數據有可能會獲得root特權。
七、NfS以及Windows NT１３５－１３９服務端口（Windows2000的服務端口），Unix NFS的服務端口２０４９，還有蘋果機用戶支持基于IP文件共享的Apple talk over IP協議服務端口。這些服務的目的是讓用戶共享網絡資源，但不正確的配置，將有可能讓入侵者以root身份執行任意代碼。
八、用戶名往往是某些攻擊者最先著手的突破口，特別是系統管理員對于root/administrator超級用戶設置的低安全度口令更可能造成黑客的長驅直入。
九、IMAP和POP郵件服務器緩沖溢出漏洞和錯誤的配置存在的危險。
十、許多網絡設備和網絡操作系統的SNMP（簡單網絡管理協議）在實現中，往往存在能進行SNMP寫操作的缺省community string。遠程攻擊者利用這些可這寫操作的community string能夠無需任何認證直接影響設備或操作系統的運行狀態。這將導致攻擊者可以控制路由表和篡改ARP緩存等。
病毒感染的癥狀
計算機病毒是一種人為制造的、在計算機運行中對計算機住處或系統起破壞作用的程序。這種程序不是獨立存在的，它隱蔽在其他可執行的程序之中，既有破壞性，又有傳染性和潛伏性。病毒來源多種多樣，計算機受到病毒感染后，會表現出不同的癥狀，下邊把一些經常碰到的現象列出來，供讀者參考。
（１）機器不能正常啟動
加電后機器根本不能啟動，或者可以啟動，但所需要的時間比原來的啟動時間變長了。有時會突然出現黑屏現象。
（２）運行速度降低
如果發現在運行某個程序時，讀取數據的時間比原來長，存文件或調文件的時間都增加了，那就可能是由于病毒造成的。
（３）磁盤空間迅速變小
由于病毒程序要進駐內存，而且又能繁殖，因此使內存空間變小甚至變為“０”，用戶什么住處也進不去。
（４）文件內容和長度有所改變
一個文件存入磁盤后，本來它的長度和其內容都不會改變，可是由于病毒的干擾，文件長度可能改變，文件內容也可能出現亂碼。有時文件內容無法顯示或顯示后又消失了。
（５）經常出現“死機”現象
正常的操作是不會造成死機現象的，即使是初學者，命令輸入不對也不會死機。如果機器經常死機，那可能是由于系統被病毒感染了。
（６）外部設備工作異常
因為外部設備受系統的控制，如果機器中有病毒，外部設備在工作時可能會出現一些異常情況，出現一些用理論或經驗說不清道不明的現象。
以上僅列出一些比較常見的病毒表現形式，肯定還會遇到一些其他的特殊現象，這就需要由用戶自己判斷了。
病毒的來源也是多種多樣。當然目前主要是來自于網絡，防范的方式也無非是采用郵件防毒的工具軟件，但是有一些木馬程序，你也可以認為是一種病毒，他們會在郵件中一同侵入你的計算機，并借用自己的偽裝，然后潛伏起來，定期地做一些非法的事情。表現方式多是一些可執行文件，當然有一些惡意的程序會附加在看似合法的程序之上，繞過安全工具的監視，成為邏輯炸彈。因此，培養良好的安全意識是很重要的。
另外，對于黑客獲得用戶口令的方式也并不是很神奇，主要采用一些口令窮舉猜測工具，和用戶無意寫出來的。對付第一種方式的方法當然是增強口令的質量。但對于第二種就仍舊是一種安全意識和安全的習慣了。
總之，安全領域是非常廣闊的，安全所要考慮的因素也是非常繁多的，擁有良好的安全習慣，佐以強大的安全工具，根據實際的安全需求制定有效的安全策略，將是提高網絡安全的有效手段。

上一篇：有關渉密計算機的知識

下一篇：中華人民共和國保守國家秘密法