当前位置：网站首页 > 管理资料 > 资料杂烩 > 文章当前位置：资料杂烩 > 文章

网络保密知识

时间：2010-05-08 点击：次来源：互联网作者：不详 - 小 + 大

1、计算机局域网的保密
我国的计算机网络，特别是局域网技术发展最为迅速，许多大专院校、科研院所以及银行、公安、邮电、铁路、石油等部门都建立了自己的局域网，但在实际运作中，由于一些网络是没有保密措施的“裸网”，用户不敢在网上处理涉密信息，使网络的作用得不到充分发挥。因此，开发和运用有效的局域网保密措施，树起坚实的保密防护网，无论现在还是将来都具有十分突出的现实意义。
2、局域网信息的保密
计算机局域网由信息(存储在计算机及其外部设备上的程序及数据)和实体两大部分组成，信息泄露是局域网的主要保密隐患之一。所谓信息泄露，就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息，特别是秘密信息和敏感信息，从而造成泄密事件。局域网在保密防护方面有三点脆弱性：一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时，其价值往往不大，一旦网络将大量关联信息聚集在一起时，其价值就相当可观了。三是设防的困难性。尽管可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能突破这些关卡，给保密工作带来极大的困难。
从某种意义上可以说，网络的生命在于其保密性。根据近几年的实践和保密技术发展的要求，计算机局域网的保密防范应从以下四个方面入手：
（1）充分利用网络操作系统提供的保密措施。某些用户对网络的认识不足，基本不用或很少使用网络操作系统提供的保密措施，从而留下隐患。其实，一般的网络操作系统都有相应的保密措施，以美国Novell公司的网络操作系统NetWare为例，它提供的四级保密措施：第一级是入网保密。用户入网时，必须按用户名进行登录注册。使用网络信息资源的用户，必须准确申报自己的用户名，否则将被网络拒之门外。第二级是设置目录和文件访问权限。访问权限是对用户访问目录和文件的合法范围的规定，以控制用户只能操作什么样的目录和文件。准确地划分网络信息的涉密等级、范围和涉密人员，需要网络管理员和保密人员协同工作。第三级是文件和目录的属性保密。属性直接控制对文件或目录的访问特性。属性的访问控制高于文件、目录的有效访问权限，可以禁止有效访问权限所允许的操作。NetWare提供的主要属性控制有：防止对目录和文件的删除；不允许查看目录和文件；禁止对文件进行拷贝；禁止对文件的写操作；控制对文件是否共享；防止文件修改时被破坏；标记被修改过的文件等。第四级是文件服务器的安全保密。即控制台键盘可以加口令封锁，防止非法闯入者以超级用户身份浏览网络信息。
（2）加强数据库的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性，现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密需采取另外的方法。
（3）采用现代密码技术，加大保密强度。借助现代密码技术对数据进行加密，将重要秘密信息由明文变为密文。
（4）采用防火墙技术，防止局域网与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网（国家规定涉及国家秘密的局域网不得与外部联网)，但除了一些重点单位和要害部门，局域网与广域网的连接是大势所趋。防火墙是建立在局域网与外部网络之间的电子系统，用于实现访问控制，即阻止外部入侵者进入局域网内部，而允许局域网内部用户访问外部网络。
3、局域网实体的保密
局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。它的泄密渠道：主要有四个：
（1）电磁泄露。计算机设备工作时辐射出电磁波，任何人都可以借助仪器设备在一定范围内收到它，尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外，网络端口、传输线路等都有可能因屏蔽不严或末加屏蔽而造成电磁泄露。实验表明，未加控制的电脑设施开始工作后，用普通电脑加上截收装置，可以在一千米内抄收其内容。
（2）非法终端。非法用户有可能在现有终端上并接一个终端，或趁合法用户从网上断开时乘机接入，使信息传到非法终端。
（3）搭线窃取。局域网与外界连通后，通过未受保护的外部线路，可以从外界访问到系统内部的数据，而内部通讯线路也有被搭线窃取信息的可能。
（4）介质的剩磁效应。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的信息系统中，删除文件仅仅是删掉文件名，而原文还原封不动地保留在存储介质中，一旦被利用，就会泄密。
对局域网实体，采取的相应保密措施一般有以下三种：—是防电磁泄露措施。如选用低辐射设备。显示器是计算机保密的薄弱环节，而窃取显示的内容已是一项“成熟”的技术，因此，选用低辐射显示器十分必要。此外，还可以采用距离防护、噪声干扰、屏蔽等措施，把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查，防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施，对废弃的磁盘要有专人销毁等。
4、小心来自网上的攻击
隐藏IP地址
黑客若要对我们实施攻击，首先要找到我们的IP地址。否则无从下手。隐藏IP地址常用如下三法：
（ 1）使用代理服务器(Pfoxy Server)：若我们浏览网站、聊天、BBS等，这时留下网址是代理服务器的，而非我们的网址。
（2）使用工具软件：Norton Internet SecuritY具有隐藏IP的功能，若您的电脑前端有路由器、IP共享功能的集线器，则此法无效，因NIS只能隐藏你电脑的IP地址。
（3）对于局域网中的电脑，浏览器中的Proxy的地址应设为与Internet连接的那台电脑的地址。
以上措施一定程度上防范了入侵，但仍存在疏漏之处，黑客仍可利用端口扫描找到你的IP地址，更进一步的措施就是“端口防范”。
端口防范
黑客或病毒对您入侵时，要不断地扫描您的计算机端口，如果您安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。入侵者很可能连续频繁扫描端口以寻找时机，监视程序也会不断地提示您，令您不胜其烦，如果您遇到这种入侵，可用工具软件关闭不用的端口，比如，用“NotonInternetSecurity”关闭不用的80和443端口，这两个端口提供HTTP服务，如果您不提供网页浏览服务，尽可关闭；关闭25和110端口，这两个提供SMTP和POP3服务，不用时也应关闭，其他一些不用端口也可关闭。关闭了这些端口，无异于挡入侵者于大门之外。
在TCP／IP协议上，Windows是通过139端口与其他安装Windows系统的电脑进行连接，关闭此端口，可防范绝大多数的攻击。关闭步骤：[网络]→[配置]→[TCP／IP]→[属性]→[绑定]→[Microsoft网络客户端](把此项前面的“√”去掉，若无此项可不作变动)。
关闭共享和设置密码
若您的电脑非局域网中共享硬盘存取的电脑，可关闭全部硬盘和文件夹共享，步骤是：[网络]→[文件和打印机共享]→[允许其他用户访问我的文件]前面的“√”去掉即可；如若不能关闭所有硬盘或文件夹共享，则对共享的部分需设置只读与密码，步骤是：右键单击某[文件夹]→[共享┄]，需注意，由于Windows9X与WindowsMe的共享密码极易被破解，而Windows2K与Windows XP的密码较安全，升级您的操作系统是明智之举。
ActiveX控件与Java的防护
网页中ActiveX控件与Java Applets有较强的功能，而对其功能往往是未知的，一旦是恶意所为，破坏是相当大的，不得不防。IE对此也采取了慎重态度，提供了多种选择，具体设置步骤是：[工具]→[Internet选项]→[安全]→[自定义级别]，建议您对不了解的网页的ActiveX控件与Java程序采取严防的态度。
5、网上自我保护六计
近年来，随着计算机技术与通讯技术的迅猛发展，互联网，（Internet）在中国已经是家喻户晓，深入寻常百姓家了。上网后，对于广大网友来说，最关心的除了网络的速度、费用之外，就得数网络的安全问题了。精彩的互联网使人留连忘返，痴迷其中。但是我们也应当看到，在这缤纷的互联网的背后，隐藏着许多利用网络蓄意攻击他人的所谓“黑客（Hacker）”和在网上传播的无孔不入的病毒，诸如众所周知的“爱虫（I Love You）”病毒等等。它们轻则造成你的电脑运行缓慢，直至“死机”；重则格式化你的硬盘，使你的数据灰飞烟灭；还有就是盗用你的上网密码，给你造成巨额损失┄┄凡此种种，不胜枚举。因此网络安全也就为越来越多的网友所关心，尤其是对新上网的网友而言，学会在网上如何进行自我保护的确是迫在眉捷了。
下面就以笔者几年来上网的经验来谈一谈在互联网上自我保护的一些技巧：
★设置密码时要尽量避免使用有意义的英文单词、姓名缩写以及生日、电话号码等容易泄露的字符作为密码，最好采用字符与数字混合的密码。
在不同的场合使用不同的密码。网上需要设置密码的地方很多，如上网帐户、Email、聊天室以及一些网站的会员等。应尽可能使用不同的密码，以免因一个密码泄露导致所有资料外泄。
不要贪图方便在拨号连接的时候选择“保存密码”选项；如果您是使用Email客户端软件(OutlookExpress、Foxmail、Thebat等)来收发重要的电子邮箱，如ISP信箱中的电子邮件，在设置帐户属性时尽量不要使用“记忆密码”的功能。因为虽然密码在机器中是以加密方式存储的，但是这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码，而且现在网上就有许多黑客软件可供下载，例如caption-it!软件，下载网址为http：//www.computerinfo.com.cn/utilities/other/caption-it.zip，利用它可以轻而易举地得到你保存的密码。
定期地修改自己的上网密码，至少一个月更改一次，这样可以确保即使原密码泄露，也能将损失减小到最少。 [Ok3w_NextPage]
★互联网上有许多提供免费邮件服务的网站，应申请多个免费信箱，对于不同用途，譬如与亲朋好友通信、订阅电子邮件列表、杂志社投稿等，分门别类地使用不同的信箱。正如股市中的一句俗语所说的，“不要把鸡蛋放在一个篮子里”。这样可以保证在某个邮箱遭受邮件炸弹或垃圾邮件攻击时，其它邮箱仍可正常使用，降低了风险。
电子邮件攻击主要有两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同)，给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。
此外，应尽量减少使用ISP提供的信箱，或者干脆将它“束之高阁”，因为ISP信箱的密码往往与上网帐户的密码相同，这样可以避免上网密码的泄露或ISP信箱遭受邮件炸弹的攻击带来不必要的损失。而且国内一些地方的ISP提供的免费邮箱当邮件超过一定体积时收取保管费，就曾经有人因使用Netscape内置的软件收发邮件，因其缺省选项为“在服务器保留备份”，导致一个月的保管费高达1000多元，最后闹至对簿公堂。
★不下载来路不明的软件及程序。几乎所有上网的人在网上下载过共享软件(尤其是可执行文件)，在给你带来方便和快乐的同时，也会悄悄地把一些你不欢迎的东西带到你的机器中，比如病毒。因此应选择信誉较好的下载网站下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软件查杀病毒。有条件的话，可以安装一个实时监控病毒的软件，随时监控网上传递的信息。
不要打开来历不明的电子邮件及其附件；以免遭受病毒邮件的侵害。在互联网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的(如梅丽莎、爱虫等)，这些病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而下载或运行了它的附件，那么接下来┄┄所以对于来历不明的邮件应当将其拒之门外。
★在聊天室聊天或用ICU聊天时要小心陷阱。现在在网上聊天的人越来越多，而诸如web 聊天室、ICQ、MIRC之类的软件被广大网友广泛使用。殊不知此类软件的安全性却实在差得很，如果你不加以设防，黑客们能轻而易举地让你的计算机死机。此类的攻击手段通常有两种：
（1）对于Web 聊天室和MIRC来说，它们支持HTML语言，而攻击者就能凭这一点让您的机器崩溃。譬如说，他们可以发送一个死循环语句让您的计算机周而复始地运行，最终导致蓝屏。
（2）在网络上聊天很容易泄漏您的IP地址，而别有用心者就会利用TCP/IP包漏洞对您进行攻击。一般IP地址都是以XXX•XXX•XXX•XXX的形式出现，其中XXX可以从0 到255。国内163的用户头一个都是202，后两位数字则用来更加具体地描述您所在的地区和方位。只要您是拨号上网，就一定有一个动态的惟一的IP地址，您可以使用IP检查程序看到自己的IP。黑客通过跟踪上网账号及从用户信息中查找IP，或者等待BBS、聊天室及网页站点记录的IP，或者通过ICQ获取IP，便能利用相关软件直接轰击您的计算机，造成蓝屏现象。以ICQ软件来说吧，ICQ自从推出后就一直受到安全问题的困扰，尽管它一直在升级，可总是“道高一尺，魔高一丈”。
★如果有条件，安装防火墙（Fire Wall）以抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众网（Internet）分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许您“同意”的人和数据进入你的网络，“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。防火墙安装和投入使用后，并非万事大吉，要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救（Patch）产品，此时应尽快确认真伪（防止特洛伊木马等病毒），并对防火墙进行更新。在理想情况下，一个好的防火墙应该能把各种安全问题在发作之前解决。就现实情况看，这还是个遥远的梦想。上前我们还只能在各种利弊之间“走钢丝”。

五是网络内部用户的权限滥用；以及网络安全防护技术的落后，造成防火墙或主机配置方面的不合理，缺乏有效的手段监视、评估网络的安全性等，导致网络的安全防范能力差。
另外从网络安全划分（系统安全、应用安全和数据安全）来看，与人们关系最大的就是数据安全。而目前经过不完全统计，数据安全隐患有７０％来自各个公司网络的内部。现在各大公司的网络管理员在进行资源分配、管理的时候由于对具体资源的权限分配的疏漏，可以导致连续的不良反映。这些权限包括：１、可编辑策略的网络设备，例如路由器的访问控制列表；２、防火墙策略中的可开放服务端口；３、基于文件系统的读写操作权限。如何才能确定及时准确的策略方案，有赖于安全审计所反映的系统状况。安全审计对于系统管理者掌握系统的运行状况，了解用户对系统资源的使用情况，及时发现非授权访问并给予制止是非常重要的。
十大网络安全漏洞
一、域名服务系统BIND的弱点：nxt（在处理NXT记录时存在漏洞，允许远程攻击者以运行DNS服务的身份（缺省为root）进入运行DNS服务的系统。in.named守护进程的漏洞有泄漏root权限的危险。
二、容易受攻击的CGI程序和服务器端应用程序扩展。
三、远端进程调用（Remote Procedure call）其进程守护程序rpc.ttdb(Tool Talk)拒绝服务漏洞（使用早先公布的ttdbserver溢出程序对上述系统可以造成rpc.ttdbserver的崩溃。问题产生的原因是由于一个已经不在使用的空指针。这个漏洞不能造成rpc.ttdbserver执行任意代码，但可以造成“拒绝服务攻击”的问题）。还有rpc.cmsd(Calendar Manager)溢出漏洞，以及rpc.statd是NFS文件锁定的状态监视服务，近期被发现存在漏洞，以上漏洞有可能导致root权限泄漏及受到恶意攻击。
四、微软的IIS RDS安全漏洞。
五、SMTP邮件服务的缓存溢出漏洞，直接威胁root权限安全，攻击者在入侵成功后，可以system身份执行任意命令。
六、sadmind存在远程溢出漏洞，在存在sadmind漏洞的一些版本中如果传送一个超长的缓存数据，会改写堆栈指针，从而造成可执行任意代码。因为sadmind以root身份来运行，因而这个漏洞会危及系统的最高安全。同时存在于某些系统内部的mountd溢出漏洞，攻击者通过修改堆数据有可能会获得root特权。
七、NfS以及Windows NT１３５－１３９服务端口（Windows2000的服务端口），Unix NFS的服务端口２０４９，还有苹果机用户支持基于IP文件共享的Apple talk over IP协议服务端口。这些服务的目的是让用户共享网络资源，但不正确的配置，将有可能让入侵者以root身份执行任意代码。
八、用户名往往是某些攻击者最先着手的突破口，特别是系统管理员对于root/administrator超级用户设置的低安全度口令更可能造成黑客的长驱直入。
九、IMAP和POP邮件服务器缓冲溢出漏洞和错误的配置存在的危险。
十、许多网络设备和网络操作系统的SNMP（简单网络管理协议）在实现中，往往存在能进行SNMP写操作的缺省community string。远程攻击者利用这些可这写操作的community string能够无需任何认证直接影响设备或操作系统的运行状态。这将导致攻击者可以控制路由表和篡改ARP缓存等。
病毒感染的症状
计算机病毒是一种人为制造的、在计算机运行中对计算机住处或系统起破坏作用的程序。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。病毒来源多种多样，计算机受到病毒感染后，会表现出不同的症状，下边把一些经常碰到的现象列出来，供读者参考。
（１）机器不能正常启动
加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。
（２）运行速度降低
如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。
（３）磁盘空间迅速变小
由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“０”，用户什么住处也进不去。
（４）文件内容和长度有所改变
一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。
（５）经常出现“死机”现象
正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。
（６）外部设备工作异常
因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。
以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。
病毒的来源也是多种多样。当然目前主要是来自于网络，防范的方式也无非是采用邮件防毒的工具软件，但是有一些木马程序，你也可以认为是一种病毒，他们会在邮件中一同侵入你的计算机，并借用自己的伪装，然后潜伏起来，定期地做一些非法的事情。表现方式多是一些可执行文件，当然有一些恶意的程序会附加在看似合法的程序之上，绕过安全工具的监视，成为逻辑炸弹。因此，培养良好的安全意识是很重要的。
另外，对于黑客获得用户口令的方式也并不是很神奇，主要采用一些口令穷举猜测工具，和用户无意写出来的。对付第一种方式的方法当然是增强口令的质量。但对于第二种就仍旧是一种安全意识和安全的习惯了。
总之，安全领域是非常广阔的，安全所要考虑的因素也是非常繁多的，拥有良好的安全习惯，佐以强大的安全工具，根据实际的安全需求制定有效的安全策略，将是提高网络安全的有效手段。

上一篇：有关渉密计算机的知识

下一篇：中华人民共和国保守国家秘密法