公司網(wǎng)絡(luò)安全.doc

二一一屆學(xué)生畢業(yè)論文（設(shè)計） 存檔編號： 畢業(yè)論文(設(shè)計)論文題目 企業(yè)網(wǎng)絡(luò)安全英 文 network security for SMEs顯示對應(yīng)的拉丁字符的拼音字典 - 查看字典詳細(xì)內(nèi)容學(xué) 院 數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院 專 業(yè) 計算機(jī)網(wǎng)絡(luò)與技術(shù)系 姓 名 梅啟浩 學(xué) 號 016507202589 指導(dǎo)教師 湯 惟 2011年 5 月 20 日企業(yè)網(wǎng)絡(luò)安全梅啟浩（江漢大學(xué)數(shù)計學(xué)院計算機(jī)科學(xué)系 學(xué)號：016507202589）【摘要】企業(yè)網(wǎng)絡(luò)安全是一個企業(yè)的命脈，只有創(chuàng)造優(yōu)秀的網(wǎng)絡(luò)安全環(huán)境才能有利于企業(yè)的發(fā)展，企業(yè)網(wǎng)絡(luò)安全隱患來源于計算機(jī)各個系統(tǒng)單元，同樣分為內(nèi)外兩個因素，只有抓住網(wǎng)絡(luò)安全隱患的核心，才能清楚，明確的創(chuàng)造安全的網(wǎng)絡(luò)環(huán)境。論文通過檢測軟件的安裝，操作系統(tǒng)的設(shè)置，防火墻的建立，數(shù)據(jù)加密等一系列具體的措施來防止企業(yè)網(wǎng)絡(luò)安全隱患。顯示對應(yīng)的拉丁字符的拼音字典 - 查看字典詳細(xì)內(nèi)容【關(guān)鍵詞】企業(yè)命脈 安全隱患核心 監(jiān)測系統(tǒng) 設(shè)置操作系統(tǒng) 數(shù)據(jù)加密 【Abstract】Enterprise network security is the lifeblood of a business, only to create good network security environment conducive to the development of enterprises, enterprise network security risks from the various computer system unit, is also divided into two factors both inside and outside, only to seize the core of the network security risks In order to clear, clear to create a secure network environment. Articles by detecting the installation of software, operating system settings, the establishment of firewalls, data encryption and a series of specific measures to prevent the enterprise network security risks.【Keywords】Enterprise lifeline The core of security risks Monitoring System Set the operating system Data Encryption第一章緒論一、課題背景隨著國家網(wǎng)絡(luò)信息化建設(shè)的飛速發(fā)展，有越來越多的企業(yè)建立起自己的局域網(wǎng)絡(luò)，應(yīng)用于文件共享，辦公自動化，電子郵件等功能，隨著計算機(jī)的廣泛應(yīng)用，企業(yè)網(wǎng)絡(luò)的建立，網(wǎng)絡(luò)安全越來越受到人們的重視，網(wǎng)絡(luò)安全也成為企業(yè)網(wǎng)絡(luò)建立所必須解決的主要難題，企業(yè)網(wǎng)絡(luò)安全已成為一門具體專業(yè)的課程供大學(xué)生學(xué)習(xí)，研究。二、課題研究內(nèi)容及要求 在基于各種網(wǎng)絡(luò)操作系統(tǒng)的前提下，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中計算機(jī)，打印機(jī)硬件設(shè)備的正常運(yùn)行，還要以維護(hù)系統(tǒng)安全為主要任務(wù)。根據(jù)企業(yè)網(wǎng)絡(luò)這一具體實(shí)例，課題研究的要求具體包括：網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)管理具體日常事務(wù)，網(wǎng)絡(luò)部署公司計劃，發(fā)展方向，數(shù)據(jù)庫安全與共享，服務(wù)器資料不被竊取，公司各級人員的限制訪問權(quán)，員工私人資料不被泄露，管理數(shù)據(jù)庫訪問權(quán)限，分配個人操作等級，用戶身份認(rèn)證，服務(wù)器，計算機(jī)，網(wǎng)關(guān)的防毒，提高內(nèi)外通信的高效，靈活，員工上網(wǎng)安全等。三、課題預(yù)期效果提高企業(yè)網(wǎng)絡(luò)安全管理人員的網(wǎng)絡(luò)安全技術(shù)，了解網(wǎng)絡(luò)攻擊手段，從而做好相應(yīng)防御措施，還要靈活處理突發(fā)狀況，降低網(wǎng)絡(luò)攻擊對企業(yè)的損失，加強(qiáng)企業(yè)員工的網(wǎng)絡(luò)安全意識，從企業(yè)內(nèi)部降低網(wǎng)絡(luò)安全風(fēng)險，從根本上避免降低計算機(jī)黑客的病毒攻擊，保證網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)管理具體事務(wù)的正常進(jìn)行，網(wǎng)絡(luò)部署公司計劃，發(fā)展方向，數(shù)據(jù)庫及其他服務(wù)器資料的秘密性，避免企業(yè)員工的越級操作從而導(dǎo)致的各級人員的權(quán)限混亂，保證服務(wù)器，計算機(jī)，網(wǎng)關(guān)的防毒安全，通暢企業(yè)內(nèi)外通信的高效，保證員工上網(wǎng)的安全等。四、課題研究的意義對將來從事的網(wǎng)絡(luò)工作有一定的經(jīng)驗(yàn)，對企業(yè)網(wǎng)絡(luò)系統(tǒng)有一定的了解，提高了網(wǎng)絡(luò)安全意識。第二章、企業(yè)網(wǎng)絡(luò)安全框架結(jié)構(gòu) 為了能夠有效的了解企業(yè)和員工的網(wǎng)絡(luò)安全需求，在選擇各種硬件軟件的安全行上 有必要建立系統(tǒng)的方法進(jìn)行網(wǎng)絡(luò)安全防范。使網(wǎng)絡(luò)安全防范體系的科學(xué)性，可行性順利實(shí)施的保障 圖2-1 三維安全防范技術(shù)體系框架結(jié)構(gòu)圖為三維安全防范技術(shù)體系框架結(jié)構(gòu)，第一維是安全服務(wù)，給出了8種安全屬性，第二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)的組成。第三維是結(jié)構(gòu)層次，給出并擴(kuò)展了國際標(biāo)準(zhǔn)化組織ISO的開放系統(tǒng)互聯(lián)(OSI)模型。 框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點(diǎn)之間的認(rèn)證、訪問控制，應(yīng)用平臺需要有針對用戶的認(rèn)證、訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾?、保密性，需要有抗抵賴和審計的功能，需要保證應(yīng)用系統(tǒng)的可用性和可靠性。針對一個信息網(wǎng)絡(luò)系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則我們認(rèn)為該信息網(wǎng)絡(luò)是安全的。第三章、企業(yè)網(wǎng)絡(luò)安全隱患 當(dāng)我們根據(jù)以上給出的三維安全防范框架結(jié)構(gòu)，做到企業(yè)網(wǎng)絡(luò)安全體系中的每一個層次，每一個面及面與面之間相接的部分安全，我們就能夠做到整個企業(yè)局域網(wǎng)絡(luò)的安全。（一）.物理環(huán)境的安全 這層次的安全是整個網(wǎng)絡(luò)安全的基礎(chǔ)，只有當(dāng)我們企業(yè)的計算機(jī)，打印機(jī)，投影機(jī)一系列的硬件設(shè)施能過正常的工作，我們才能夠考慮其他方面的安全，所以要格外重視 物理環(huán)境安全包括通信線路安全，設(shè)備軟硬件安全，運(yùn)行環(huán)境安全。通信線路安全：線路備份，網(wǎng)管軟件，傳輸介質(zhì) 設(shè)備硬件安全：替換設(shè)備、拆卸設(shè)備、增加設(shè)備 設(shè)備軟件安全：設(shè)備的備份，防災(zāi)害能力、防干擾能力 運(yùn)行環(huán)境安全：溫度、濕度、煙塵)，不間斷電源保障（二）.操作系統(tǒng)的安全性該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如Windows NT，Windows 2000等。主要表現(xiàn)在三方面：是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等。是對操作系統(tǒng)的安全配置問題。是病毒對操作系統(tǒng)的威脅。（三）.網(wǎng)絡(luò)的安全性該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。(四) .應(yīng)用的安全性該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對系統(tǒng)的威脅。（五）.管理的安全性安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞本章主要講述企業(yè)網(wǎng)絡(luò)安全隱患，只有找出網(wǎng)絡(luò)，硬件，環(huán)境，操作人員等一系列復(fù)雜因素對企業(yè)網(wǎng)絡(luò)安全的影響，才能解決問題，建立一個安全的企業(yè)網(wǎng)絡(luò)環(huán)境。第四章 企業(yè)網(wǎng)絡(luò)安全措施1.電源管理及監(jiān)控軟件電源管理軟件能夠?qū)PS發(fā)送的信息進(jìn)行反應(yīng)，向用戶播放警告訊息，然后等待一定的時間，再進(jìn)行一個有次序的關(guān)機(jī)過程。有的電源管理軟件還能在關(guān)閉整個系統(tǒng)前先關(guān)閉正在運(yùn)行的程序。監(jiān)控軟件則是一種不是必需但很有用的工具。它一般通過圖形方式顯示出電池電量、主輸入電壓、剩余供電時間以及UPS狀態(tài)及其他信息。監(jiān)控信息一般通過SNMP協(xié)議在網(wǎng)絡(luò)上傳輸，而不像關(guān)機(jī)軟件使用當(dāng)?shù)氐拇谶B接以防在斷電情況下集線器或路由器失效。當(dāng)UPS出現(xiàn)異常情況時，它就會在SNMP監(jiān)測工作站上顯示出來。2.控制濕度的措施為了防止機(jī)房內(nèi)濕度的過高或過低以及急劇變化對計算機(jī)設(shè)備及附屬設(shè)備的影響，必須采取以下措施，以保證機(jī)房內(nèi)的濕度控制在一個穩(wěn)定的范圍內(nèi)。1)使用恒溫、恒濕裝置來調(diào)節(jié)機(jī)房內(nèi)的濕度； 2)在機(jī)房內(nèi)安裝除濕機(jī)和加濕機(jī)；當(dāng)機(jī)房內(nèi)濕度超過規(guī)定值時，使用除濕機(jī)使機(jī)房內(nèi)濕度降低；當(dāng)機(jī)房內(nèi)濕度低于規(guī)定值時，使用加濕機(jī)對機(jī)房內(nèi)空氣進(jìn)行加濕，提高機(jī)房內(nèi)濕度。 3)機(jī)房內(nèi)外為了進(jìn)行空氣交換和維持機(jī)房正壓值所使用的新風(fēng)機(jī)系統(tǒng)，必須具有加濕和去濕功能。在對送入機(jī)房內(nèi)的新鮮空氣濕度過高（大于機(jī)房濕度規(guī)定的范圍）時要進(jìn)行除濕；過低時要加濕，以保證機(jī)房內(nèi)的空氣濕度符合計算機(jī)設(shè)備及工作人員的要求。3.操作系統(tǒng)安全的實(shí)現(xiàn) 1、對于系統(tǒng)漏洞：定期的添加services pack和hot fixes，如果系統(tǒng)沒有相關(guān)服務(wù)，不要隨意的安裝補(bǔ)丁 2、注冊表安全性： 注冊表的結(jié)構(gòu)：相當(dāng)于win.ini，集中存儲了系統(tǒng)的配置信息 5個配置單元（hive key），4個存放于winntsystem32config目錄下：SAM, SYSTEM, SECURITY, SOFTWARE，對此4個文件設(shè)置權(quán)限，僅允許system賬號訪問。HARDWARE又稱易失關(guān)鍵字，每次系統(tǒng)啟動時由進(jìn)行硬件檢測，將檢測的結(jié)果只與此關(guān)鍵字中，保存在內(nèi)存中 H K E Y _ L O C A L _ M A C H I N E ( H K L M )是包含操作系統(tǒng)及硬件相關(guān)信息(例如計算機(jī)總線類型，系統(tǒng)可用內(nèi)存，當(dāng)前裝載了哪些設(shè)備驅(qū)動程序以及啟動控制數(shù)據(jù)等)的配置單元。實(shí)際上，H K L M保存著注冊表中的大部分信息，因?yàn)榱硗馑膫€配置單元都是其子項(xiàng)的別名。不同的用戶登錄時，此配置單元保持不變。H K E Y _ C U R R E N T _ U S E R ( H K C U )配置單元包含著當(dāng)前登錄到由這個注冊表服務(wù)的計算機(jī)上的用戶的配置文件。其子項(xiàng)包含著環(huán)境變量、個人程序組、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和應(yīng)用程序首選項(xiàng)(環(huán)境變量在Windows 2000中被用來允許腳本、注冊表?xiàng)l目，以及其它應(yīng)用程序使用通配符來代替可能會發(fā)生改變的重要的系統(tǒng)信息)，存儲于用戶配置文件的ntuser.dat中。優(yōu)先于H K L M中相同關(guān)鍵字。這些信息是HKEY_USERS 配置單元當(dāng)前登錄用戶的Security ID(SID)子項(xiàng)的映射。H K E Y _ U S E R S ( H K U )配置單元包含的子項(xiàng)含有當(dāng)前計算機(jī)上所有的用戶配置文件。其中一個子項(xiàng)總是映射為H K E Y _ C U R R E N T _ U S E R (通過用戶的S I D值)。另一個子項(xiàng)H K E Y _U S E R S D E FA U LT包含用戶登錄前使用的信息。H K E Y _ C L A S S E S _ R O O T ( H K C R )配置單元包含的子項(xiàng)列出了當(dāng)前已在計算機(jī)上注冊的所有C O M服務(wù)器和與應(yīng)用程序相關(guān)聯(lián)的所有文件擴(kuò)展名。這些信息是H K E Y _ L O C A L _M A C H I N E S O F T WA R E C l a s s e s子項(xiàng)的映射。H K E Y _ C U R R E N T _ C O N F I G ( H K C C )配置單元包含的子項(xiàng)列出了計算機(jī)當(dāng)前會話的所有硬件配置信息。硬件配置文件出現(xiàn)于Windows NT版本4，它允許你選擇在機(jī)器某個指定的會話中支持哪些設(shè)備驅(qū)動程序。這些信息是H K E Y _ L O C A L _ M A C H I N E S Y S T E M C u r r e n t C o n t r o l S e t子項(xiàng)的映射。H K E Y _ L O C A L _ M A C H I N E ( H K L M )的子樹：HARDWARE：在系統(tǒng)啟動時建立，包含了系統(tǒng)的硬件的信息SAM：包含了用戶帳號和密碼信息SECURITY：包含了所有的安全配置信息SOFTWARE：包含應(yīng)用程序的配置信息SYSTEM：包含了服務(wù)和設(shè)備的配置信息以上這些HKEY項(xiàng)在哪里？如何管理和設(shè)置？設(shè)置注冊表的權(quán)限：Windows NT：使用C2Config和C2regacl.infWindows 2000：使用組策略審核注冊表： 3、禁止和刪除不必要的服務(wù) 刪除OS/2和POSIX 在web服務(wù)器上禁止server services 在firewall上過濾相應(yīng)的數(shù)據(jù)包 4、保護(hù)網(wǎng)絡(luò)連接安全性： SMB connection process Establish a TCP connection negotiate dialect set up SMB session access resource Pc network program 1.0 Microsoft networks 1.03 Lanman 1.0 LM 1.2X002 LanMan 2.1 Windows NTLM 禁止匿名連接：HKLM SYSTEMCCScontrollsarestrictanonymous=1 服務(wù)器控制驗(yàn)證方法：lmcompatibilitylevel 0 任何都是可用的 1 由服務(wù)器決定使用哪種方法 2 不使用LM驗(yàn)證 激活SMB簽名：HKLM SYSTEMCCSserviceslanmanserverparametersrequiresecuritysignature 0/1 HKLM SYSTEMCCSservicesrdrparametersrequiresecuritysignature 0/1 5、其他的配置： 禁止除管理員和打印操作員以外的用戶安裝打印驅(qū)動程序： HKLM SYSTEMCCScontrolprintproviderslanman print servicesaddprintdrivers=1 隱藏上一次登錄的系統(tǒng)名 限制對打印機(jī)和串口的使用： HKLM SYSTEMCCScontrolsession managerprotectionmode=1 在系統(tǒng)關(guān)機(jī)時清空頁面文件 HKLM SYSTEMCCScontrol session managermemory managementclearpagefileatshutdown =1 禁止緩存登錄證書 限制對scheduler服務(wù)的使用 限制對可移動介質(zhì)的訪問4.文件系統(tǒng)安全的實(shí)現(xiàn)1、所支持的文件系統(tǒng)： FAT16, FAT32, NTFS4.0, NTFS5.0, CDFS 2、NTFS權(quán)限： 標(biāo)準(zhǔn)的權(quán)限 權(quán)限單元 權(quán)限的繼承：ACL列表的拷貝 權(quán)限的遷移：移動和拷貝 磁盤的分區(qū)：系統(tǒng)，程序和數(shù)據(jù)注意： erveryone和authenticated users的區(qū)別 缺省，新建的文件權(quán)限為everyone full control 新添加用戶的權(quán)限位read only 3、EFS: 作用：利用公鑰技術(shù)，對磁盤上存儲的靜態(tài)數(shù)據(jù)進(jìn)行加密保護(hù)的措施。 原理：根據(jù)用戶的身份為每個用戶構(gòu)建一對密鑰 圖4-1 EPS實(shí)現(xiàn)的原理 實(shí)現(xiàn)： 恢復(fù)代理：為了防止出現(xiàn)由于密鑰損壞造成數(shù)據(jù)不能正常解密而構(gòu)建的一種補(bǔ)救措施。 如何恢復(fù)： 如何添加恢復(fù)代理： 注意事項(xiàng)： 只有被授權(quán)的用戶或恢復(fù)代理才能訪問加密的文件加密和壓縮是相斥的對文件的重命名，移動不會影響加密屬性至少需要一個恢復(fù)代理僅能對靜態(tài)存儲的數(shù)據(jù)進(jìn)行加密，若需要網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)提供安全性，可使用IPSec和PPTP對一個文件夾加密，則此文件夾內(nèi)所有新創(chuàng)建的文件均會被加密若將一個加密后的文件移動一個非NTFS文件系統(tǒng)上，則加密屬性丟失，除Backup外,所以應(yīng)該分別分配備份和恢復(fù)的權(quán)利并謹(jǐn)慎分配恢復(fù)的權(quán)利 4、磁盤限額： 基于文件和文件夾的所有權(quán)來統(tǒng)計用戶所使用的磁盤空間對于壓縮狀態(tài)的文件按非壓縮狀態(tài)統(tǒng)計磁盤空間的使用量 基于分區(qū)水平上的剩余空間是指可供用戶使用的磁盤限額內(nèi)剩余空間的大小可以設(shè)置當(dāng)用戶超出限額時是僅僅提出警告還是拒絕提供空間 可以針對所有用戶也可針對個別用戶設(shè)置設(shè)置限額后，對已有的用戶存儲不進(jìn)行限額，但可對老用戶添加限額管理員組的成員不受限額的影響僅管理員組的成員有權(quán)利設(shè)置限額 5、共享安全性：謹(jǐn)對網(wǎng)絡(luò)訪問生效 僅能對文件夾設(shè)置共享，不能針對文件設(shè)置缺省Administrators、Server Operators、Power Users group有權(quán)利設(shè)置共享 新建共享后，Everyone group是FC所能接受的最大用戶數(shù)：Win 2k Professional 10 Win 2k Serve CALPermission：Read、Change、FCDeny優(yōu)先于Allow的權(quán)限若用戶屬于多個組，則share security取并集可以在FAT、FAT32、NTFS上設(shè)置共享 6、聯(lián)合NTFS安全性和共享安全性：網(wǎng)絡(luò)訪問取交集 本地訪問僅考慮NTFS安全性 隱藏文件：attrib +H directoryNTFS文件分流：不需要重新共建文件系統(tǒng)就能夠給一個文件添加屬性和信息的機(jī)制，Macintosh的文件兼容特性。需使用NTRK中POSIX的工具cpcp nc.exe oso001.009:nc.exe反分流：cp oso001.009:nc.exe nc.exe分流后oso001.009大小沒有變化，但修改日期可能會有變化分流后不能直接執(zhí)行：start oso001.009:nc.exe刪除：需把文件拷貝到FAT分區(qū)，在拷貝會NTFS分區(qū)搜索：唯一可靠的工具是ISS的Streamfinder.一、加密文件或文件夾 步驟一：打開Windows資源管理器。 步驟二：右鍵單擊要加密的文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項(xiàng)卡上，單擊“高級”。選中“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框 二、解密文件或文件夾 步驟一：打開Windows資源管理器。 步驟二：右鍵單擊加密文件或文件夾，然后單擊“屬性”。 步驟三：在“常規(guī)”選項(xiàng)卡上，單擊“高級”。 步驟四：清除“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框。 同樣，我們在使用解密過程中要注意以下問題： 1.要打開“Windows資源管理器”，請單擊“開始程序附件”，然后單擊“Windows資源管理器”。 2.在對文件夾解密時，系統(tǒng)將詢問是否要同時將文件夾內(nèi)的所有文件和子文件夾解密。如果選擇僅解密文件夾，則在要解密文件夾中的加密文件和子文件夾仍保持加密。但是，在已解密文件夾內(nèi)創(chuàng)立的新文件和文件夾將不會被自動加密。 以上就是使用文件加、解密的方法！而在使用過程中我們也許會遇到以下一些問題，在此作以下說明： 1.高級按鈕不能用 原因：加密文件系統(tǒng)(EFS)只能處理NTFS文件系統(tǒng)卷上的文件和文件夾。如果試圖加密的文件或文件夾在FAT或FAT32卷上，則高級按鈕不會出現(xiàn)在該文件或文件夾的屬性中。 解決方案： 將卷轉(zhuǎn)換成帶轉(zhuǎn)換實(shí)用程序的NTFS卷。 打開命令提示符。 鍵入：Convert drive/fs:ntfs (drive 是目標(biāo)驅(qū)動器的驅(qū)動器號) 2.當(dāng)打開加密文件時，顯示“拒絕訪問”消息 原因：加密文件系統(tǒng)(EFS)使用公鑰證書對文件加密，與該證書相關(guān)的私鑰在本計算機(jī)上不可用。 解決方案： 查找合適的證書的私鑰，并使用證書管理單元將私鑰導(dǎo)入計算機(jī)并在本機(jī)上使用。 3.用戶基于NTFS對文件加密，重裝系統(tǒng)后加密文件無法被訪問的問題的解決方案(注意：重裝Win2000/XP前一定要備份加密用戶的證書)： 步驟一：以加密用戶登錄計算機(jī)。 步驟二：單擊“開始運(yùn)行”，鍵入“mmc”，然后單擊“確定”。 步驟三：在“控制臺”菜單上，單擊“添加/刪除管理單元”，然后單擊“添加”。 步驟四：在“單獨(dú)管理單元”下，單擊“證書”，然后單擊“添加”。 步驟五：單擊“我的用戶賬戶”，然后單擊“完成”(如圖2，如果你加密用戶不是管理員就不會出現(xiàn)這個窗口，直接到下一步) 。 步驟六：單擊“關(guān)閉”，然后單擊“確定”。 步驟七：雙擊“證書當(dāng)前用戶”，雙擊“個人”，然后雙擊“證書”。 步驟八：單擊“預(yù)期目的”欄中顯示“加密文件”字樣的證書。 步驟九：右鍵單擊該證書，指向“所有任務(wù)”，然后單擊“導(dǎo)出”。 步驟十：按照證書導(dǎo)出向?qū)У闹甘緦⒆C書及相關(guān)的私鑰以PFX文件格式導(dǎo)出(注意：推薦使用“導(dǎo)出私鑰”方式導(dǎo)出，這樣可以保證證書受密碼保護(hù)，以防別人盜用。另外，證書只能保存到你有讀寫權(quán)限的目錄下)。 4.保存好證書 注意將PFX文件保存好。以后重裝系統(tǒng)之后無論在哪個用戶下只要雙擊這個證書文件，導(dǎo)入這個私人證書就可以訪問NTFS系統(tǒng)下由該證書的原用戶加密的文件夾(注意：使用備份恢復(fù)功能備份的NTFS分區(qū)上的加密文件夾是不能恢復(fù)到非NTFS分區(qū)的)。 最后要提一下，這個證書還可以實(shí)現(xiàn)下述用途： (1)給予不同用戶訪問加密文件夾的權(quán)限 將我的證書按“導(dǎo)出私鑰”方式導(dǎo)出，將該證書發(fā)給需要訪問這個文件夾的本機(jī)其他用戶。然后由他登錄，導(dǎo)入該證書，實(shí)現(xiàn)對這個文件夾的訪問。 (2)在其也WinXP機(jī)器上對用“備份恢復(fù)”程序備份的以前的加密文件夾的恢復(fù)訪問權(quán)限 將加密文件夾用“備份恢復(fù)”程序備份，然后把生成的Backup.bkf連同這個證書拷貝到另外一臺WinXP機(jī)器上，用“備份恢復(fù)”程序?qū)⑺謴?fù)出來(注意：只能恢復(fù)到NTFS分區(qū))。然后導(dǎo)入證書，即可訪問恢復(fù)出來的文件了。 5.身份系統(tǒng)的實(shí)現(xiàn)和安全用戶認(rèn)證系統(tǒng)采用各種認(rèn)證方式實(shí)現(xiàn)用戶的安全登陸和認(rèn)證，獨(dú)立于計算機(jī)原有的登陸系統(tǒng)，安全可靠性更高。一般由認(rèn)證服務(wù)器和認(rèn)證代理組成，有些產(chǎn)品提供認(rèn)證令牌。認(rèn)證服務(wù)器是網(wǎng)絡(luò)中的認(rèn)證引擎，由安全管理員或者網(wǎng)絡(luò)管理員進(jìn)行管理，主要用于令牌簽發(fā)，安全策略的設(shè)置與實(shí)施，日志創(chuàng)建等；認(rèn)證代理是一種專用代理軟件，實(shí)施認(rèn)證服務(wù)器建立的各種安全策略；認(rèn)證令牌以硬件、軟件或智能卡等多種形式向用戶提供，用以確認(rèn)用戶身份，如果某個用戶提供了一個正確的令牌碼，就可以高度確信該用戶是合法用戶。根據(jù)需求和建設(shè)目標(biāo)，我們將以身份認(rèn)證系統(tǒng)、應(yīng)用安全支撐平臺為用戶構(gòu)建基于數(shù)字證書的統(tǒng)一身份認(rèn)證、統(tǒng)一用戶管理和應(yīng)用安全支撐系統(tǒng)。 全局范圍內(nèi)，將建立統(tǒng)一的目錄服務(wù)體系，以完善的數(shù)據(jù)復(fù)制策略實(shí)現(xiàn)對應(yīng)用系統(tǒng)的全面支撐。身份認(rèn)證系統(tǒng)(PKI基礎(chǔ)設(shè)施)1、證書簽發(fā)系統(tǒng)(CA系統(tǒng))為所有的實(shí)體(設(shè)備、人員等)管理身份證書。2、用戶管理系統(tǒng)(UMS系統(tǒng))在身份認(rèn)證系統(tǒng)之上，以數(shù)字證書為用戶標(biāo)識實(shí)現(xiàn)統(tǒng)一的用戶管理、組織機(jī)構(gòu)管理，為相關(guān)業(yè)務(wù)系統(tǒng)提供全局統(tǒng)一的用戶屬性信息。3、密鑰管理系統(tǒng)(KMC系統(tǒng))對用戶的密鑰進(jìn)行管理和備份，能夠通過嚴(yán)格的流程實(shí)現(xiàn)密鑰的恢復(fù)。4、目錄服務(wù)系統(tǒng)(LDAP系統(tǒng))實(shí)現(xiàn)證書的發(fā)布和CRL的發(fā)布，并能夠?qū)崿F(xiàn)和AD之間的用戶同步。應(yīng)用安全支撐平臺以身份認(rèn)證系統(tǒng)、用戶管理系統(tǒng)為基礎(chǔ)，采用應(yīng)用安全支撐平臺的各產(chǎn)品組件實(shí)現(xiàn)應(yīng)用系統(tǒng)的安全接入，使得身份認(rèn)證、用戶管理、數(shù)字簽名等技術(shù)能夠方邊的整合到原有的業(yè)務(wù)系統(tǒng)中。在安全支撐平臺的支持下，能夠?yàn)橛脩魳?gòu)建操作系統(tǒng)層和應(yīng)用層的統(tǒng)一身份認(rèn)證和單點(diǎn)登錄。標(biāo)準(zhǔn)規(guī)范體系根據(jù)實(shí)際業(yè)務(wù)特點(diǎn)，針對系統(tǒng)的運(yùn)行維護(hù)、使用流程、應(yīng)用接入標(biāo)準(zhǔn)等制訂一系列標(biāo)準(zhǔn)和規(guī)范，以利于業(yè)務(wù)的有序開展。如上所述，身份認(rèn)證系統(tǒng)為內(nèi)部人員、設(shè)備等應(yīng)用安全域內(nèi)的物理或邏輯實(shí)體提供了統(tǒng)一的數(shù)字實(shí)體標(biāo)識，統(tǒng)一的用戶管理系統(tǒng)則根據(jù)具體的組織機(jī)構(gòu)、用戶屬性、用戶級別等實(shí)際情況，對數(shù)字實(shí)體標(biāo)識進(jìn)行可定制的統(tǒng)一管理和授權(quán)，最后再通過應(yīng)用安全支撐平臺為業(yè)務(wù)系統(tǒng)提供服務(wù)，實(shí)現(xiàn)了獨(dú)立于各應(yīng)用系統(tǒng)的安全的、統(tǒng)一的身份認(rèn)證和管理體系?？傮w設(shè)計思路示意圖如下所示：圖4-2 總體物理部署設(shè)計根據(jù)總體設(shè)計思路，基于性能和投資相平衡的原則，系統(tǒng)物理部署設(shè)計如下圖所示：圖4-3 系統(tǒng)物理部署設(shè)計如上圖所示，根據(jù)系統(tǒng)的不同功能，從網(wǎng)絡(luò)上以VLAN方式劃分不同區(qū)域，包括核心區(qū)、服務(wù)區(qū)和應(yīng)用區(qū)。身份認(rèn)證核心區(qū)包括CA、KMC、UMS等證書、用戶管理系統(tǒng)，是整個系統(tǒng)的核心功能區(qū)。身份認(rèn)證服務(wù)區(qū)包括IAS和從目錄服務(wù)器，實(shí)現(xiàn)對外的身份驗(yàn)證支持。應(yīng)用系統(tǒng)區(qū)中部署身份認(rèn)證網(wǎng)關(guān)，使應(yīng)用系統(tǒng)與外界實(shí)現(xiàn)安全隔離。6.防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：(1) 屏蔽路由器：又稱包過濾防火墻。(2) 雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。(3) 主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。(4) 屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。1、安裝一臺Linux服務(wù)器，配置雙網(wǎng)卡，兩端地址分別為 /52（內(nèi)部端口ETH 0）和/48（外部端口ETH 1）。在IPChains中去除諸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之類所有不需要的服務(wù)，僅保留Telnet和FTP服務(wù)，以保證系統(tǒng)運(yùn)行穩(wěn)定，提高網(wǎng)絡(luò)安全性。 2、啟動IPChains后，為保證安全性，首先將Forward Chains的策略設(shè)置為DENY，禁止所有的未許可包轉(zhuǎn)發(fā)，保障內(nèi)部網(wǎng)安全性，以滿足需求1。 eg：# ipchains-P forward DENY 3、為滿足需求2，必須禁止所有來自外部網(wǎng)段對防火墻發(fā)起的低于1024端口號的連接請求。在此，我做了如下設(shè)定來阻止對ETH1端口請求連接小于1024端口號的TCP協(xié)議的數(shù)據(jù)報（請求連接數(shù)據(jù)報帶有SYN標(biāo)記，IPChains中使用參數(shù)-y表示） eg：#ipchains -A input -p tcp -d 0:1024 -y -i eth1 -j DENY 之所以不是簡單的拒絕所有小于1024端口號的數(shù)據(jù)報在于，某些情況下服務(wù)器會回復(fù)一個小于1024接口的數(shù)據(jù)報。比如某些搜索引擎就可能在回復(fù)查詢中使用一個不常用的小于1024的端口號。此外，當(dāng)使用DNS查詢域名時，如果服務(wù)器回復(fù)的數(shù)據(jù)超過512字節(jié)，客戶機(jī)使用TCP連接從53端口獲得數(shù)據(jù)。 4、為滿足需求3，必須使用IP地址翻譯功能。來自內(nèi)部保留地址的用戶數(shù)據(jù)包在經(jīng)過防火墻時被重寫，使包看起來象防火墻自身發(fā)出的。然后防火墻重寫返回的包，使它們看起來象發(fā)往原來的申請者。采用這種方法，用戶就可以透明地使用因特網(wǎng)上的各種服務(wù)，同時又不會泄露自身的網(wǎng)絡(luò)情況。注意，對于FTP服務(wù)，需要加載FTP偽裝模塊。命令如下： eg: # insmod ip_masq_ftp5、為滿足需求4，可以在已經(jīng)設(shè)置為DENY的Forward Chains中添加許可用戶。因?yàn)樵S可這部分用戶使用所有的服務(wù)，訪問所有的地址，所以不用再指定目標(biāo)地址和端口號。假定許可IP地址為2，配置命令如下： eg: #ipchains-A forward-s 2 -j MASQ 同時，必須啟動系統(tǒng)的IP包轉(zhuǎn)發(fā)功能。出于安全的考慮，建議在設(shè)置了Forward Chains的策略設(shè)置為DENY，禁止所有的未許可包轉(zhuǎn)發(fā)后再開啟轉(zhuǎn)發(fā)功能。 配置命令如下： # echo 1 /proc/sys/net/ipv4/ip_forward 6、關(guān)于防止IP地址盜用問題，在本網(wǎng)絡(luò)拓?fù)渲?，可見所有用戶都是通過兩個路由器連接到防火墻，所以只需要在路由器中建立授權(quán)IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶機(jī)直接連接到防火墻主機(jī)，就需要使用ARP命令在防火墻主機(jī)中建立IP地址到MAC地址的靜態(tài)映射表。 7、只要在進(jìn)入端口中設(shè)定IP地址確認(rèn)，丟棄不可能來自端口的數(shù)據(jù)包就可以了。配置命令如下： # ipchains -A input -i eth1 -s / -j DENY 至此，就算基本建立起來一個較為安全的防火墻了，再針對運(yùn)行中出現(xiàn)的問題進(jìn)行修改，調(diào)試無誤后就可以用ipchains-save命令將配置保存起來。需要再次使用時，用命令 ipchains-restore即可。 其他的包過濾防火墻與IPChains的運(yùn)行原理都相差不遠(yuǎn)，配置命令也大同小異。市面上出售的防火墻雖然可以預(yù)置一些基本的內(nèi)容，但由于最終用戶要求和環(huán)境千差萬別，免不了要自己動手配置。 從上面的例子我們可以看出，建立一個安全的防火墻關(guān)鍵在于對實(shí)際情況的了解，對用戶需求的掌握和對工具的熟練運(yùn)用與正確實(shí)施上，這是真正的重點(diǎn)。7.數(shù)據(jù)加密數(shù)據(jù)加密的術(shù)語有：明文，即原始的或未加密的數(shù)據(jù)。通過加密算法對其進(jìn)行加密，加密算法的輸入信息為明文和密匙；密文，明文加密后的格式，是加密算法的輸出信息。加密算法是公開的，而密鑰則是不公開的。密文，不應(yīng)為無密鑰的用戶理解，用于數(shù)據(jù)的存儲以及傳輸。 例：明文為字符串： AS KINGFISHERS CATCH FIRE 為簡便起見，假定所處理的數(shù)據(jù)字符僅為大寫字母和空格符）。假定密鑰為字符串： ELIOT 加密算法為： 1) 將明文劃分成多個密鑰字符串長度大小的塊（空格符以+表示） AS+KI NGFIS HERS+ CATCH +FIRE 2) 用0026范圍的整數(shù)取代明文的每個字符，空格符=00，A=01，.，Z=26： 0119001109 1407060919 0805181900 0301200308 0006091805 3) 與步驟2一樣對密鑰的每個字符進(jìn)行取代： 0512091520 4) 對明文的每個塊，將其每個字符用對應(yīng)的整數(shù)編碼與密鑰中相應(yīng)位置的字符的整數(shù)編碼的和模27后的值取代： 5) 將步驟4的結(jié)果中的整數(shù)編碼再用其等價字符替換： FDIZB SSOXL MQ+GT HMBRA ERRFY 如果給出密鑰，該例的解密過程很簡單。問題是對于一個惡意攻擊者來說，在不知道密鑰的情況下，利用相匹配的明文和密文獲得密鑰究竟有多困難？對于上面的簡單例子，答案是相當(dāng)容易的，不是一般的容易，但是，復(fù)雜的加密模式同樣很容易設(shè)計出。理想的情況是采用的加密模式使得攻擊者為了破解所付出的代價應(yīng)遠(yuǎn)遠(yuǎn)超過其所獲得的利益。實(shí)際上，該目的適用于所有的安全性措施。這種加密模式的可接受的最終目標(biāo)是：即使是該模式的發(fā)明者也無法通過相匹配的明文和密文獲得密鑰，從而也無法破解密文。公開密鑰加密思想最初是由Diffie和Hellman提出的，最著名的是Rivest、Shamir以及Adleman提出的，現(xiàn)在通常稱為RSA（以三個發(fā)明者的首位字母命名）的方法，該方法基于下面的兩個事實(shí)： 1) 已有確定一個數(shù)是不是質(zhì)數(shù)的快速算法； 2) 尚未找到確定一個合數(shù)的質(zhì)因子的快速算法。 RSA方法的工作原理如下： 1) 任意選取兩個不同的大質(zhì)數(shù)p和q，計算乘積r=p*q； 2) 任意選取一個大整數(shù)e，e與(p-1)*(q-1)互質(zhì)，整數(shù)e用做加密密鑰。注意：e的選取是很容易的，例如，所有大于p和q的質(zhì)數(shù)都可用。 3) 確定解密密鑰d： d * e = 1 modulo（p - 1）*（q - 1） 根據(jù)e、p和q可以容易地計算出d。 4) 公開整數(shù)r和e，但是不公開d； 5) 將明文P (假設(shè)P是一個小于r的整數(shù))加密為密文C，計算方法為： C = Pe modulo r 6) 將密文C解密為明文P，計算方法為： P = Cd modulo r 然而只根據(jù)r和e（不是p和q）要計算出d是不可能的。因此，任何人都可對明文進(jìn)行加密，但只有授權(quán)用戶（知道d）才可對密文解密。 下面舉一簡單的例子對上述過程進(jìn)行說明，顯然我們只能選取很小的數(shù)字。 例：選取p=3, q=5，則r=15，（p-1）*（q-1）=8。選取e=11（大于p和q的質(zhì)數(shù)），通過d * 11 = 1 modulo 8， 計算出d =3。 假定明文為整數(shù)13。則密文C為 C = Pe modulo r = 1311 modulo 15 = 1,792,160,394,037 modulo 15 = 7 復(fù)原明文P為： P = Cd modulo r = 73 modulo 15 = 343 modulo 15 = 13 因?yàn)閑和d互逆，公開密鑰加密方法也允許采用這樣的方式對加密信息進(jìn)行簽名，以便接收方能確定簽名不是偽造的。假設(shè)A和B希望通過公開密鑰加密方法進(jìn)行數(shù)據(jù)傳輸，A和B分別公開加密算法和相應(yīng)的密鑰，但不公開解密算法和相應(yīng)的密鑰。A和B的加密算法分別是ECA和ECB，解密算法分別是DCA和DCB，ECA和DCA互逆，ECB和DCB互逆。若A要向B發(fā)送明文P，不是簡單地發(fā)送ECB（P），而是先對P施以其解密算法DCA，再用加密算法ECB對結(jié)果加密后發(fā)送出去。 密文C為： C = ECB（DCA（P） B收到C后，先后施以其解密算法DCB和加密算法ECA，得到明文P： ECA（DCB（C） = ECA（DCB（ECB（DCA（P） = ECA（DCA（P） /*DCB和ECB相互抵消*/ = P /*DCB和ECB相互抵消*/ 這樣B就確定報文確實(shí)是從A發(fā)出的，因?yàn)橹挥挟?dāng)加密過程利用了DCA算法，用ECA才能獲得P，只有A才知道DCA算法，沒 有人，即使是B也不能偽造A的簽名。8.入侵檢測入侵檢測系統(tǒng)是計算機(jī)網(wǎng)絡(luò)環(huán)境中的計算機(jī)軟件系統(tǒng)，用于檢測上述入侵行為，并收集入侵證據(jù)，為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。入侵檢測系統(tǒng)通常包括以下功能：審計系統(tǒng)的配置和脆弱性；評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的一致性；檢測和分析用戶和系統(tǒng)的活動；識別并反應(yīng)已知的攻擊模式；對非正常模式進(jìn)行統(tǒng)計分析；收集入侵證據(jù)；入侵檢測系統(tǒng)的體系結(jié)構(gòu)通常有集中式、分布式和層次式三種。分布式體系結(jié)構(gòu)由分布在各主機(jī)或者各子網(wǎng)的自治Agent組成，每一個Agent都能根據(jù)自身在本地環(huán)境中形成的獨(dú)有的決策規(guī)劃對所收集的數(shù)據(jù)進(jìn)行分析和決策，在必要時各Agent之間可以相互協(xié)作，以做出更全面和更準(zhǔn)確的結(jié)論。在這種結(jié)構(gòu)中，各Agent之間的關(guān)系是平行和獨(dú)立的。入侵檢測的算法目前完成的主要有兩類：誤用檢測算法：在DIDS中采用的誤用算法主要是模式匹配和基于神經(jīng)網(wǎng)絡(luò)的專家系統(tǒng)。模式匹配通過給入侵行為做出入侵簽名，最后通過有效的匹配機(jī)制來檢測入侵。基于神經(jīng)網(wǎng)絡(luò)的檢測方法是利用神經(jīng)網(wǎng)絡(luò)存儲入侵簽名，這樣不但可以檢測到已知的入侵模式，而且還可以檢測到相近的入侵的變種。異常檢測算法：目前已經(jīng)完成的異常檢測算法有神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)集成、Markov模型，隱Markov、支持向量機(jī)等算法。移動代理（Mobile Agent）是新一代分布式技術(shù)，它具有靈活性、移動性、自治性、異步性和代理性，其小程序即移動代理可以在一個大型分布式網(wǎng)絡(luò)中移動、漫游和執(zhí)行，這為檢測來自網(wǎng)絡(luò)內(nèi)部和外部的入侵提供了全新的方法，可以將每一種入侵檢測分別裝載在不同的移動代理中，并動態(tài)地讓代理分布到整個網(wǎng)絡(luò)上，通過這些移動代理的移動、交互、協(xié)作完成對網(wǎng)絡(luò)內(nèi)外入侵的確定和檢測。此外，含有入侵檢測的移動代理可定時在整個網(wǎng)絡(luò)中移動巡回檢測。這種基于移動代理分布式入侵檢測與傳統(tǒng)的代理相比，有許多優(yōu)點(diǎn)：第1， 主機(jī)間動態(tài)遷移 移動代理可以在運(yùn)行期間直接進(jìn)行主機(jī)間的遷移，就是說：可以從一個場地采集所需要的數(shù)據(jù)并行處理之后，不終止進(jìn)程而直接遷移到另一臺主機(jī)上繼續(xù)運(yùn)行，保留了原來進(jìn)程的數(shù)據(jù)段和堆棧。第2， 智能性 由于移動代理可以自由地在主機(jī)之間進(jìn)行遷移，使得代理的運(yùn)行場地不再局限在某一個特定位置，從而比較容易獲得全面和有針對性的數(shù)據(jù)。在這些數(shù)據(jù)的基礎(chǔ)上，代理可以充分利用現(xiàn)有的人工智能和統(tǒng)計技術(shù)，做出更加及時和準(zhǔn)確的判斷。這種特性使得移動代理與傳統(tǒng)代理相比，可以更有效地自主完成某一個特定的任務(wù)。第3， 平臺無關(guān)性 多數(shù)移動代理采用與平臺無關(guān)的語言，這樣的程序可以跨平臺運(yùn)行。另外，一般的移動代理體系都建立了與移動代理相配套的平臺無關(guān)的通信協(xié)議。通過這些協(xié)議，代理之間無須建立直接的通信連接，而是利用虛擬機(jī)提供相應(yīng)的消息服務(wù)，簡化消息傳遞的操作。第4， 分布的靈活性 移動代理運(yùn)行在整個分布式系統(tǒng)中，而不是固定在某一個特定的位置。這樣，一旦需要，它可以將自己或者所需的其他移動代理直接發(fā)送到所需的主機(jī)現(xiàn)場，進(jìn)行本地操作。這樣，提高了操作的靈活性，同時也消除了傳統(tǒng)代理間通信時對復(fù)雜通信協(xié)議的依賴性。第5， 低網(wǎng)絡(luò)數(shù)據(jù)流量 由于結(jié)構(gòu)上的特殊性，移動代理可以實(shí)時對所采集到的數(shù)據(jù)進(jìn)行過濾，然后將關(guān)鍵數(shù)據(jù)提出，而無需像傳統(tǒng)的代理體系那樣，將各個主機(jī)的所有數(shù)據(jù)都匯集到一個中央服務(wù)器中，由這個服務(wù)器進(jìn)行綜合處理，然后再向相關(guān)的代理轉(zhuǎn)發(fā)。這樣，可以明顯減少經(jīng)過網(wǎng)絡(luò)上的數(shù)據(jù)流量，提高網(wǎng)絡(luò)的總體可用性。第6， 多代理合作通過虛擬機(jī)系統(tǒng)的通信機(jī)制，可以實(shí)現(xiàn)多個代理之間的合作。這種合作有多種模式。相同的代理之間互相協(xié)作，可以防止系統(tǒng)和代理失效。一旦有代理失效，其他代理可以采取措施，通過承擔(dān)起失效代理的任務(wù)或者啟動新的代理的辦法來進(jìn)行失效彌補(bǔ)。另外，異種代理之間也可以進(jìn)行互補(bǔ)性合作，多個不同功能的代理協(xié)作完成共同目標(biāo)。DIDS模型DIDS中移動代理的類型在DIDS系統(tǒng)中，依據(jù)功能的不同我們將代理分為以下兩大類五種代理：靜態(tài)代理 管理代理：它常駐在安全管理器上，其任務(wù)就是根據(jù)需要分別動態(tài)地將配置代理、巡邏代理、派遣代理以及防御代理以移動代理的形式發(fā)送到服務(wù)器、工作站、網(wǎng)關(guān)、用戶PC機(jī)以及位于網(wǎng)絡(luò)邊界要對網(wǎng)絡(luò)鏈路流量進(jìn)行過濾的偵聽計算機(jī)（后面稱其為主機(jī)）上以便對整個網(wǎng)絡(luò)的入侵進(jìn)行檢測、告警和防御。 配置代理：每當(dāng)一個主機(jī)上的用戶請求連接時，該主機(jī)上的配置代理即開始執(zhí)行，它的功能就是提供用戶接口以及其它移動代理在本主機(jī)上執(zhí)行的一些配置。移動代理巡邏代理：它在網(wǎng)絡(luò)所有主機(jī)上進(jìn)行巡邏，在巡邏到的主機(jī)上收集連接到該主機(jī)上的用戶信息或流量數(shù)據(jù)，并檢測可疑的用戶行為，當(dāng)發(fā)現(xiàn)可疑行為時，它就向管理代理發(fā)出求助信息。派遣代理：一組含有能夠鑒別某種類型入侵的智能代理，它們由管理代理派遣到有可疑行為的主機(jī)上，通過比對、協(xié)商來共同確定可疑行為是否入侵，并將結(jié)果報告給管理代理。防御代理：當(dāng)出現(xiàn)入侵時，由管理代理發(fā)送到被入侵主機(jī)上以取消非法用戶連接和阻塞非法用戶賬號形式來防御入侵。DIDS的工作模型管理代理 巡邏代理派遣代理防御代理 求助信息 巡邏代理 派遣代理 檢測結(jié)果子網(wǎng)網(wǎng)關(guān)配置代理配置代理 工作站配置代理配置代理 服務(wù)器 圖4-4 DIDS的工作模型圖中，用一臺計算機(jī)作為安全管理器，其上常駐并運(yùn)行一個管理代理，它指揮著整個網(wǎng)絡(luò)的入侵檢測及防御，每當(dāng)一個主