Internet的安全性(1)精编版

《Internet的安全性(1)精编版》由会员分享，可在线阅读，更多相关《Internet的安全性(1)精编版（152页珍藏版）》请在金锄头文库上搜索。

1、第8章Internet的安全性,8.1Internet/Intranet的安全概述 8.2网页中的新技术与IE的安全性 8.3电子邮件与Outlook Express的安全 8.4IIS 服务器的安全 8.5本章小结 练习题,Internet是全世界最大、覆盖面最广的计算机互联网络。它不仅仅把众多计算机连接起来，而更重要的是Internet中含有极其丰富的信息资源。因此，人们常称Internet是现代的信息超级市场，是信息的海洋，也是全球信息基础设施即信息高速公路的雏形。 然而Internet本身是没有边界的、全球的互联网，不属于任何一个组织和任何一个国家；在Internet上既没有法令也没有

2、法规，人们的行为几乎不受制约。 如今在Internet上的安全问题已成了计算机和通信界关注的焦点，从安全问题角度考虑，给认为Internet已经完全胜任商务活动的人们泼了一盆,冷水，也延缓或阻碍了Internet作为国家信息基础设施或全球信息基础设施成为大众媒体的发展进程。一些调查研究表明，许多个人和公司之所以对加入Internet持观望态度，其主要原因就是出于对安全的考虑。与此同时，也有分析家警告商家不加入Internet会有什么危害。尽管众说纷纭，但大家一致认为Internet需要更多更好的安全机制。 在享受Internet带来许多好处的同时，了解Internet的工作机制、安全漏洞、加强

3、自身的安全意识和采取一定的防范措施是非常必要的。本章将学习有关Internet应用中的安全性问题，主要内容有： Internet/Intranet的安全概述； Internet Explorer的安全性；,IIS 服务器的安全性； 电子邮件的安全性； Outlook Express的安全性。,8.1 Internet/Intranet的安全概述 8.1.1 Internet的脆弱性 Internet是使用公共语言进行通讯的全球计算机网络。它类似于国际电话系统，即无人拥有或控制整个系统，但是以大型网络的工作方式连接。 Internet本身是没有边界的、全球的互联网，不属于任何一个组织和任何一个国

4、家；在Internet上既没有法令也没有法规，人们的行为几乎不受制约。由于没有国际互联网上通行的国际法规，所以对犯罪没有处理的依据。Internet有很多安全隐患，主要表现在以下几方面。 (1) Internet是跨国界的，黑客乐于进行跨国攻击。,(2) 通过IP地址识别网络上的用户是完全不可靠的。众所周知，大多数国家都实行身份证或户籍管理制度，这种制度就是把人和他的身份对应起来，通过身份来控制和管理个人。但是在Internet上，IP地址只是一个数字的标志，根本不能代表实际的身份。通过IP地址来识别和管理存在严重的安全漏洞。 (3) Internet本身没有中央管理机制，没有法令和法规。 (

5、4) Internet从技术上来讲是开放的、标准的，是为君子设计而不防小人的。 (5) Internet没有审计和记录的功能，也就是说对发生的事情没有记录，这也是一个安全隐患。,8.1.2 Internet提供的服务中的安全问题 如前所述的核心协议是TCP/IP协议，通过TCP/IP协议提供的服务有很多脆弱性。基于TCP/IP协议的服务很多，人们比较熟悉的有WWW服务、FTP服务和电子邮件服务等；不太熟悉的有TFTP服务、NFS服务和Finger服务等。这些服务都存在不同程度上的安全缺陷。当用户用防火墙保护站点时，就需要考虑该提供哪些服务、要禁止哪些服务，在这里只对一些常用服务作简单介绍。 1

6、. WWW服务的安全 WWW服务又称Web服务，它相对于其他服务出现比较晚，是建立在HTTP(超文本传输协议)协议上的全球信息库，是Internet上HTTP服务器的集合，,它是瑞士日内瓦欧洲粒子物理实验室发明的，并在短时间内得到迅猛发展，是人们最常用的Internet服务。目前Web站点遍及世界各地。万维网用超文本技术把Web站点上的文件链在一起，文件可以包括文本、图形、声音、视频以及其他形式。用户可以自由地通过超文本导航从一个文件进入另一个文件，方便地搜索信息。不管文件在哪里，只要在HTTP协议连接的字或图上用鼠标点一下就行了。 搜索Web文件的工具是浏览器，常用的浏览器是Netscape

7、 Navigator和Microsoft Interne Explorer。HTTP只是浏览器中使用的一种协议，浏览器还会使用、WAIS等协议，也会包括NNTP和SMTP等协议。因此，当用户在使用浏览,器时，实际上他是通过HTTP申请服务，也会去申请、WAIS、NNTP和SMTP等服务器。这些服务器都存在漏洞，是不安全的。 随着Netscape公司推出安全套接子层SSL，WWW服务器和浏览器的安全型得到了大大的提高，现在人们已经把这种技术应用于电子商务Ebusiness。例如，在美国人们可以在Internet上买卖股票和使用信用卡购物。WWW服务存在什么安全问题呢？安全套接子层SSL使WWW服

8、务的安全型提高了很多，但它主要解决的是数据包被窃听和劫持的问题，除此之外WWW服务还有其他问题。如WWW服务使用的CGI程序、服务器端附件(Server Side Include, SSI)和Java Applet小程序等。,浏览器由于灵活而备受用户的欢迎，而灵活性也会导致控制困难。浏览器比FTP服务器更容易转换和执行，但是一个恶意的侵入也就更容易得到转换和执行。浏览器一般只能理解基于如HTML格式、JPEG和GIF图形格式等数据格式。对其他的数据格式，浏览器是通过外部程序来观察的。一定要注意哪些外部程序是默认的。不能允许那些危险的外部程序进入站点。用户不要随便地增加外部程序，不要轻信陌生人的

9、建议而去随便修改外部程序的配置。 大部分Web站点注意的只是站点内部的安全。但是通过WWW会引入外部文件和程序，通过超文本会进入其他站点的文本。它们对这些文本和程序的安全性一般考虑的就很少，因此会带来很多的安全问题。,最初WWW服务只提供静态的HTML页面，这种页面显得很呆板，于是人们引入了CGI程序，CGI程序让人们的主页活起来。通用网关接口(common gateway interface, CGI)诞生于NCSA，Mosaic WWW浏览器和NCSA http WWW服务器也来源于此。其目标是提供一种灵活方便的机制来扩展服务器的功能，从而超出建立在http服务器之上的“get displ

10、ay(得到文件并显示)”的模型，它已经很好地达到了这个目标。尽管从技术上说CGI指的是接口，在一般术语中CGI经常用于指CGI程序设计本身。CGI的思想是WWW资源不一定只为静态的文本页面或者任何其他类型的不可改变的文件。它可以是在服务器及其上完成任务和计算的一个程序，并且输出一个动态文档，这个动态文档可能基,于通过HTML表单的请求而提供的数据。在编写程序之前要仔细研究完整的CGI规范。其地址是：。要想有效地使用CGI，必须要理解HTML表单，它通常意味着向CGI传递数据。这些都记录于HTML2.0规范RFC 1866： rfc1886.txt。 当用户进入hotmail时，会发现下面的用户

11、的输入信息，一般用户是通过表格把输入信息传给CGI程序的，然后CGI程序可以根据用户的要求进行一些处理；在一般情况下会生成一个HTML文件，并传回给用户。很多CGI程序都存在安全漏洞，很容易被黑客利用做一些非法的事情，如把/etc/passwd文件传送给黑客、删除服务器上的文件等。还有，很,多人在编写CGI程序时，可能对CGI程序包中的安全漏洞并不了解，而且在大多数情况下不会重新编写程序的所有部分，只是对其加以适当的修改，这样很多CGI程序就不可避免的具有相同的安全漏洞，所以用户若要编写一个安全的CGI程序，就应先去了解这些软件包中的安全漏洞。这些可以从网上得到。 CGI是一种独立于语言的接口

12、，使得WWW可以使用几乎任何语言产生动态文档。CGI可以用任何访问环境变量和产生输出的语言编写，而且已经用了很多语言编写它，然而最流行的可能要算PERL了。这主要是因为它具有较强的字符串处理能力，但它也很不安全，其中有很多UNIX的特殊字符可用来执行UNIX的系统命令，一般入侵者就是利用这些特殊字符实施攻击的。,强大而灵活的接口通常的代价就是系统安全，CGI也不例外。程序员经常会匆忙地编写出CGI程序，就像其他简单程序一样，而没有考虑到每个CGI程序都是一个Internet服务器，都会带来同样的危险。 CGI经常被编写成等待一定格式的数据，但是实质上不限制长度的任意数据都可以发送给程序。这意味

13、着CGI必须被编写得健壮一些，当受到一些恶意的或者不是想要的数据时，它要能够适当的中止。 通常使用的Internet服务器，如sendmail和finger在被编写时都充分意识到了这些危险性。这些程序的源代码已经被各种各样的人研究多年，以便找出问题。即使这样，安全性问题仍然存在。鉴于此，如,果允许用户创建CGI程序却不仔细去评估其中的危险性并采取行动减小这种危险性，那简直是太愚蠢了。 2. 电子邮件服务的安全 电子邮件服务给人们提供了一种便宜、方便和快捷的服务，如今的大学生们几乎人人都有一个E-mail地址，E-mail地址也开始出现在人们的名片上了。现在，UNIX环境下的电子邮件服务器一般是

14、Sendmail，它是一个复杂且功能强大的应用软件，正因为如此它的安全漏洞就更多。程序越庞大、越复杂则安全漏洞出现的可能性就越大，这是一个公认的原理。Sendmail在UNIX环境下以root账户运行，所以如果该程序被黑客利用，用户主机的损失,将会是十分巨大的。因特网蠕虫病毒曾经震惊世界，它使大批的服务器陷于瘫痪之中，这种病毒就是利用了Sendmail的安全缺陷。如果要使这些功能以更安全的方式实现，需要对Sendmail进行重新设计和重新实现，但人们又会担心新的版本会出现更多的人们不知道的安全漏洞。Sendmail的问题被人们修修补补，但总是有新的问题出现，“最新Sendmail修订版”在网络

15、安全中已经成了一种笑料。 除此之外，电子邮件附着的Word文件和其他文件有可能会带有病毒。电子邮件炸弹也是一个令人头疼的问题，试想，用户一下子收到了一大堆垃圾邮件，直到邮件箱被塞满，用户会有什么感受？,3. FTP服务和TFTP服务的安全 这两个服务都是适用于传输文件的，但用的场合不同，安全程度也不同。 TFTP服务用于局域网，在无盘工作站启动时用于传输系统文件，因为它不带有任何安全认证所以安全性极差，因此常被人用来窃取密码文件/etc/passwd。FTP服务对于局域网和广域网都可以用来下载任何类型的文件。 FTP服务由TCP/IP的文件传输协议支持。只要连入Internet的两台计算机都支

16、持TCP/IP协议，运行FTP软件，用户就像使用自己计算机上的资源管理器一样，将远程计算机上的文件复制到自己的硬盘。大多数提供FTP服务的站点允许用户以anonymous,作为用户名，不需要密码或告诉你密码，如guest、自己的E-mail地址。有的站点不需要输入账号名和口令，一旦登录成功，用户可以下载文件。如果服务器安全系统允许，用户也可以上载文件，这种FTP服务称为匿名服务。网上有许多匿名FTP服务站点，其上有许多免费软件、图片和游戏，匿名FTP是人们常使用的一种服务方式。FTP服务的安全性要好一些，起码它需要用户输入用户名和口令。当然，匿名FTP服务就像匿名WWW服务是不需要口令的，但用户权力会受到严格的限制。匿名 FTP)是ISP的一项重要服务，它允许用户通过FTP访问FTP服务器上的文件，这时不正确的配置将严重威胁系统安全。因此，需要保证使用它的人不去申请系统上其他的区域或文件，,也不能对系统作任意的修改。在匿名FTP区域中一个可写的目录常常是应该担心的。文件传输和电子邮件一样会给网上的站点带来不受欢迎的数据和程序。首先文件传输可能会带来“特洛伊木马”，这会给站点以毁灭性的打