主动攻击
包含攻击者访问他所需信息的故意行为。攻击者是在主动地做一些不利于你的或公司系统的事情。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
被动攻击
主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。
这样分类不是说主动攻击不能收集信息或被动攻击不能被用来访问系统。多数情况下这两种类型被联合用于入侵一个站点。但是,大多数被动攻击不一定包括可被跟踪的行为,因此更难被发现。从另一个角度看,主动攻击容易被发现但多数公司都没有发现,所以发现被动攻击的机会几乎是零。
再往下一个层次看,当前网络攻击的方法没有规范的分类模式,方法的运用往往非常灵活,很难以一个统一的模式对各种攻击手段进行分类。例如有如下的分类模式:
攻击的目的
拒绝服务攻击(Dos)、获取系统权限的攻击、获取敏感信息的攻击
攻击的切入点
缓冲区溢出攻击、系统设置漏洞的攻击等
攻击的纵向实施过程
获取初级权限攻击、提升最高权限的攻击、后门攻击、跳板攻击等
攻击的类型
包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等
实际上黑客实施一次入侵行为,为达到他的攻击目的会结合采用多种攻击手段,在不同的入侵阶段使用不同的方法和可利用的攻击工具。
要想解决网络安全问题,需要制定出一整套完整的网络安全防范策略,并以此策略结合具体的技术条件和经费,再制定出具体的网络安全解决方案。下面简单介绍有关安全服务技术的一些概念。
1.数据加密技术
数据加密技术是网络信息安全系统中使用最普遍的技术之一。未经加密的消息被称为明文,如果用某种方法伪装消息以隐藏它的内容的过程称为加密。已被加密的消息称为密文,而把密文转变为明文的过程称为解密。
对明文进行加密时所采用的一组规则称为加密算法,而对密文进行解密所采取的一组规则称为解密算法。加密算法和解密算法通常在一对密钥控制下进行,分别称为加密密钥和解密密钥。加密算法通常分为对称密码算法和非对称密码算法两类。
1)、对称密码算法
使用的加密密钥和解密密钥相同,并且从加密过程能够推导出解密过程。
具有很高的保密强度。拥有加密能力就可以实现解密,因此必须加强密钥的管理。
2)、非对称密码算法
使用不同的密钥对数据进行加密和解密,从加密过程不能推导出解密过程。
适合开发的使用环境,密码管理方便,可安全地实现数字签名和验证。
保密强度远远不如对称密码算法。
2.身份认证
身份认证是指对用户身份的正确识别和校验,它包括识别和验证两方面的内容。
识别是指要明确访问者的身份,为了区别不同的用户,每个用户使用的标识各不相同。
验证是指在访问者声明其身份后,系统对他的身份的检验,以防止假冒。目前广泛使用的有口令验证、信物验证,以及利用个人独有的特性进行验证等方法。
3.访问控制技术
访问控制的基本任务是防止非法用户进入系统,以及合法用户对系统资源的非法使用,访问控制包括两个处理过程:识别与认证用户,这是身份认证的内容,通过对用户的识别和认证,可以确定该用户对某一系统资源的访问权限。访问控制技术主要有以下几种类型:
根据实现技术不同
可分为自主访问控制(DAC)强制访问控制(mac)基于角色的访问控制(RBAC)。
根据应用环境的不同
可分为网络访问控制主机、操作系统访问控制应用程序访问控制。
自主访问控制(Discretionary Access Control,DAC)是自主访问控制机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。如此将可以非常灵活地对策略进行调整。由于其易用性与可扩展性,自主访问控制机制经常被用于商业系统。
强制访问控制(Mandatory Access Control ,MAC)是用来保护系统确定的对象,对此对象用户不能进行更改。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签,访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。
基于角色的访问控制(RBAC):角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。基于角色的访问控制(Role-Based Access Control,RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。
网络访问控制:访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。防火墙作为网络边界阻塞点来过滤网络会话和数据传输。根据防火墙的性能和功能,这种控制可以达到不同的级别。
主机、操作系统访问控制:目前主流的操作系统均提供不同级别的访问控制功能。通常,操作系统借助访问控制机制来限制对文件及系统设备的访问。例如:windows操作系统应用访问控制列表来对本地文件进行保护,访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。
应用程序访问控制往往嵌入应用程序(或中间件)中以提供更细粒度的数据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时,应用程序将提供其内置的访问控制模型。比较典型的例子是电子商务应用程序,该程序认证用户的身份并将其置于特定的组中,这些组对应用程序中的某一部分数据拥有访问权限。
4.入侵检测
入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计、数据、其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:
●监视、分析用户及系统活动;
●系统构造和弱点的审计;
●识别反映已知进攻的活动模式并向相关人士报警;
●异常行为模式的统计分析;
●评估重要系统和数据文件的完整性;
●操作系统的审计跟踪管理;
●识别用户违反安全策略的行为。