系统及应用层面保障具体分析

4.2.4　系统及应用层面保障

系统及应用层面保障主要是保证操作系统和应用服务的安全性。采取的措施主要有防病毒技术、入侵检测系统技术及安全认证技术等。

1.防病毒技术

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机伪指令或者反程序代码。防病毒技术是防范病毒的主要工具，通常是一种软件系统。计算机技术发展越快，计算机病毒技术与计算机防病毒技术的对抗也越激烈。

(1)防病毒技术分类

目前的防病毒技术主要有主机防病毒技术和网关防病毒技术。

第一，主机防病毒技术。它的特点是通过主机防病毒代理引擎，实时监测电脑的文件访问和网络交换，把文件与预存的病毒特征码相对比，发现病毒就通过删除病毒特征实现解毒或把文件隔离成非执行文件的方式，保护电脑主机不受侵害。主机防病毒是较完善的防病毒技术，其缺点表现在两个方面:一方面是对主机操作系统(如Windows)以及用户本身的操作习惯的依赖。一旦操作系统没有及时更新安全补丁，或用户本身忘记升级，主机防病毒措施就会迅速失效。另一方面，每台电脑安装防病毒软件，无论是购置成本还是管理成本都相当高。

第二，网关防病毒技术。它的特点是采用“御毒于网门之外”的原则，在网关位置对可能导致病毒进入的途径，如HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)、SMTP(Simple Mail Transfer Protocol)等进行截留查杀，对于管理规范的网络来说是必要的安全措施。网关防病毒的缺点是必须在网关使用应用代理，大量消耗了网关资源，因此如HTTP这类防杀可能造成网关吞吐性能的急速下降。另外，网关防病毒难以覆盖所有的交换协议，因此，病毒有可能以特殊的形式通过网关。由于这个原因，网关防病毒一般工作在FTP和SMTP环境中，并应与主机防病毒相互配合。

(2)防病毒技术构建策略

第一，构建综合的安全体系。如操作系统、数据库及应用软件等要不断更新补丁，不定期的更改它们的用户名和口令等形成完善操作系统和应用软件的安全机制。这样形成的一整套安全机制是最有效的网络安全手段。

第二，采用多层防御体系。反病毒的解决方案应该既具有文件的病毒检测功能，又具有客户机/服务器数据保护能力，也就是覆盖全网的多层次防毒体系。

第三，防毒与网络管理相集成。在防病毒保障中，管理是很重要的，应将管理与防范相结合，这样才能保证系统的良好运行。

第四，在网关、服务器上防毒。这样前端用户根本没有感觉，甚至不知道杀毒的过程，这是比较科学的全面解决方案。

第五，及时更新防毒软件。防毒软件永远是滞后病毒的，由于病毒在不断演变，所以防毒软件要及时更新补丁。如果防毒软件不升级更新，对于新出现的病毒就没有防范的功能。

2.入侵检测系统技术

入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统(Instrusion Detection Systems，IDS)。

(1)入侵检测系统的功能

第一，监视、分析用户及系统活动。

第二，对系统缺陷的审计。

第三，识别攻击行为并触发警报。

第四，对异常网络行为的分析。

第五，评估重要数据或文件的完整性。

第六，识别用户违反安全策略的行为。

对于一个成功的入侵检测系统来说，它不但可以使系统管理员实时了解网络系统的动态变化，还能为安全策略的制定提供参考。

(2)入侵检测系统的类型

第一，基于主机的入侵检测系统。它考查若干系统日志文件，并把日志文件和常见已知攻击的内部数据库进行比较，若发现异常则发出报警。

第二，基于网络的入侵检测系统。它是在路由器或主机上扫描网络分组、审查分组信息，并在一个特殊文件中详细记录可疑分组等。它能够检测该网络上发生的网络入侵。

第三，分布式入侵检测系统。它既通过基于网络的传感器收集网络上流动的数据包，又通过在重要的服务器端安装代理程序来收集系统日志等系统信息，以此寻找、分析可能的攻击数据包并在必要的时候进行报警。它是目前比较先进的、也较有应用前景的一种综合IDS技术。

(3)入侵检测的方法

对入侵进行检测有很多方法，其中不少还处于发展完善阶段，有的甚至还只是处于研究阶段。比较成熟的入侵检测的方法有基于特征的检测、基于异常的检测和完整性校验。

第一，基于特征的检测。基于特征的检测需要我们事先建立攻击特征信息数据库，然后捕获网络数据包进行解码、对照分析、报警。它可以检测具有普遍特征的攻击，如拒绝服务(Denial of Service，DoS)或分布式拒绝服务(Distributed Denial of Service，DdoS)等，但更多的是用于对具有明显特征的攻击进行检测。

第二，基于异常的检测。根据网络正常时的通信状况建立基线或快照(也可能是本地系统资源利用率的一个基线)，当有异常时发出报警。如协议分布异常、罕见协议、特定IP地址、通信量及网络利用率异常等。

第三，完整性校验。在系统完整、正常时对所有文件或关键文件创建完整性校验文件，并在之后定期重新计算并检查新、旧校验文件的一致性来检测是否受到攻击。

3.安全认证技术

安全认证技术也是保障信息安全的一项重要技术，其目的是防止信息被篡改、伪造，或信息接收方事后否认，对某些开放环境中的信息系统尤为重要。当前的认证主要采用数字签名技术和身份认证技术。

数字签名是通过一个单向函数对要传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生变化的一个字母数字串。它可以代替手写签名或印章，起到与之相同的法律效用。数字签名算法的基本要求是:第一，签名者事后不能否认自己的签名;第二，接收者能验证签名，且其他人不能伪造签名;第三，双方关于签名的真实性有争议时，应由第三方来加以解决。

需要注意的是，数字签名并不是将手写签名图像化再加以数字化存储，它和用户姓名用手写签名的形式毫无关系，它实际是用了一个私有密钥来变换所需传输的信息。所以，对于不同的文档信息，发送者的数字签名也并不相同，并且没有私有密钥，任何人都无法完成解密。数字签名和手写签名相比，手写签名是所签文件的物理部分，而数字签名是独立的，需要把签名“绑”到所签文件上;手写签名是通过和一个真实的手写签名比较来验证，而数字签名是通过一个公开的验证算法来验证，以防止伪造签名的可能性。

安全认证技术有多种，其中最简单、最常用的是基于口令的认证，即用户名(User ID)和口令(Pass Word)。这种单因素认证的安全性主要依赖于口令的强度，因此，口令的设置往往需要有长度大于8位字符、大小写字母混合使用、至少包含—个数字、至少包含一个特殊字符、最好不是人或物的名称、也不是用户的电话和生日等数字符号。身份认证技术是互联网上信息安全的第一道屏障，其目的在于识别合法用户和非法用户，从而阻止非法用户访问系统。