2.7計算機網絡的安全策略

2.7.1 物理安全策略

    物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

    抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：

    一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；

    二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

2.7.2 訪問控制策略

    訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。

    1) 入網訪問控制

    入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

    用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。

    對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。

    網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。

    用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡還應能對用戶的帳號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

    2) 網絡的權限控制

    網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：

    特殊用戶（即系統管理員）；

    一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；

    審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

    3) 目錄級安全控制

    網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：

    系統管理員權限（Supervisor）；

    讀權限（Read）；

    寫權限（Write）；

    創建權限（Create）；

    刪除權限（Erase）；

    修改權限（Modify）；

    文件查找權限（File Scan）；

    存取控制權限（Access Control）；

    用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

    4) 屬性安全控制

    當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。

    屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。

    屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。

    5) 網絡服務器安全控制

    網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

    6) 網絡監測和鎖定控制

    網絡管理員應對網絡實施監控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

    7) 網絡端口和節點的安全控制

    網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證

2.8  確保網絡安全的措施

    由于網絡安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網絡連入Internet，那麼最好盡可能地把與Internet連接的機器與網絡的其余部分隔離開來。實現這個目標的最安全的方法是將Internet服務器與網絡實際隔開。當然，這種解決方案增加了機器管理的難度。但是如果有人闖入隔離開的機器，那麼網絡的其余部分不會受到牽連。

    最重要的是限制訪問。不要讓不需要進入網關的人都進入網關。在機器上用戶僅需要一個用戶帳號，嚴格限制它的口令。只有在使用su時才允許進入根帳號。這個方法保留一份使用根帳號者的記錄。

    在Internet服務器上提供的一些服務有FTP、HTTP、遠程登陸和WAIS（廣域信息服務）。但是，FTP和HTTP是使用最普遍的服務。它們還有潛力泄露出乎用戶意料之外的秘密。

    與任何其它Internet服務一樣，FTP一直是（而且仍是）易于被濫用的。值得一提的弱點涉及幾個方面。第一個危險是配置不當。它使站點的訪問者（或潛在攻擊者）能夠獲得更多超出其預期的數據。

    他們一旦進入，下一個危險是可能破壞信息。一個未經審查的攻擊者可以抹去用戶的整個FTP站點。

    最后一個危險不必長篇累牘，這是因為它不會造成破壞，而且是低水平的。它由用戶的FTP站點構成，對于交換文件的人來說，用戶的FTP站點成為“麻木不仁的窩臟點”。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換如何進行的呢？簡單的很。發送者發現了一個他們有權寫入和拷入可疑文件的FTP站點。通過某些其它方法，發送者通知它們的同伙文件可以使用。

    所有這些問題都是由未正確規定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統時，這一般是FTP用戶所做的事。因此，FTP用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統時，這一般是FTP用戶所做的事。因此，FTP用戶可以訪問，用戶的訪問者也可以訪問。

    一般說來，FTP用戶不是用戶的系統中已經有的。因此，用戶要建立FTP用戶。無論如何要保證將外殼設置為真正外殼以外的東西。這一步驟防止FTP用戶通過遠程登錄進行注冊（用戶或許已經禁止遠程登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯）。

    將所有文件和目錄的主人放在根目錄下，不要放在ftp下。這個預防措施防止FTP用戶修改用戶仔細構思出的口令。然后，將口令規定為755（讀和執行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項工作。盡管這個規定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來。

    用戶還需要編制某些可用的庫。然而，由于用戶已經在以前建立了必要的目錄，因此這一步僅執行一部分。因此，用戶需要做的一切是將/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib中。接著將~ftp/usr/lib上的口令改為555，并建立主接收器。

    最后，用戶需要在~ftp/dev/中建立/dev/null和/dev/socksys設備結點。用戶可以用mknod手工建立它們。然而，讓系統為用戶工作會更加容易。SCO文檔說用cpio,但是copy（非cp）很管用。

    如果用戶想建立一個人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預防措施防止它成為麻木不仁的窩臟點。人們可以在這里放入他們想放的任何東西，但是他們不能將它們取出。如果用戶認為信息比較適合共享，那麼將拷貝到另一個目錄中。

2.9  提高企業內部網安全性的幾個步驟

    限制對網關的訪問。限制網關上的帳號數。不要允許在網絡上進行根注冊；

    不要信任任何人。網關不信任任何機器。沒有一臺機器應該信任網關；

    不要用NFS向網關傳輸或接收來自網關的任何文件系統；

    不要在網關上使用NIS（網絡信息服務）；

    制訂和執行一個非網關機器上的安全性方針；

    關閉所有多余服務和刪除多余程序

    刪除網關的所有多余程序（遠程登錄、rlogin、FTP等等）；

    定期閱讀系統記錄。  

來源：巨靈鳥 歡迎分享本文