- 網絡安全設計、配置與管理大全
- 劉曉輝編著
- 4124字
- 2018-12-27 19:19:29
第1部分 操作系統安全
第1章 網絡安全概述
通常情況下,“安全”是指抵抗風險的能力和狀態,意味著受到保護,免受那些有意或其他方式產生危害的攻擊。網絡安全系統是指保障計算機網絡通信免受來自各方面的入侵或攻擊的整體系統,通常包括系統安全、訪問安全、接入安全、存儲安全、設備安全等方面。隨著網絡應用的不斷擴展,人們對網絡安全的要求也不斷提高,甚至許多國家的政府部門都不惜投入大量的人力、物力和財力,來提高計算機網絡系統的安全性。
1.1 網絡安全基礎
計算機網絡是地理上分散的多臺計算機互聯的集合,借助相關的通信協議和網絡鏈路實現資源共享和網絡通信。計算機網絡安全的脆弱性是伴隨計算機網絡一同產生的,換言之,安全脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中,網絡特性決定了不可能無條件、無限制地提高其安全性能。
1.1.1 網絡安全的含義
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受任何破壞、更改和泄露,確保系統能連續可靠正常運行,確保網絡服務不中斷。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性科學。為了保證計算機網絡的安全性,通常需要從計算機安全、鏈路傳輸安全、網絡應用和服務安全等多方面入手。
計算機網絡安全之所以如此重要,其主要原因在于:
存儲和處理重要信息的政府部門的計算機,往往直接關系到國家政治穩定、經濟興衰、軍事國防等領域,而這些重要機密信息往往成為不法分子、敵對勢力熱衷的攻擊目標。
隨著計算機系統功能的不斷擴展,系統組成越來越復雜、系統規模越來越大,特別是Internet的迅猛發展,存取控制、邏輯連接數量不斷增加,軟件規模空前膨脹,任何隱含的漏洞都可能造成巨大的損失。
人們對計算機系統的依賴性越來越強,甚至在有些領域這種依賴已經無法替代。
計算機應用人員技術水平有限,教育和培訓卻往往跟不上知識更新的需要,操作人員、編程人員和系統分析人員的失誤和缺乏經驗,都會造成系統的安全功能不足。
計算機網絡安全問題涉及許多學科領域,如自然科學、社會科學、密碼學等。就計算機系統的應用而言,安全技術涉及計算機技術、通信技術、存取控制技術、檢驗認證技術、容錯技術、加密技術、防病毒技術、抗干擾技術、防泄漏技術等。因此,它是一個非常復雜的綜合問題,并且其技術、方法和措施都要隨著系統應用環境的變化而不斷變化。
對網絡安全問題重視程度不夠,廣泛存在著重應用輕安全、質量法律意識淡薄、計算機素養不高的問題。計算機系統的安全是相對不安全而言的,許多危險、隱患和攻擊都是隱藏的、潛在的、難以明確卻又是廣泛存在的。
1.1.2 網絡安全的屬性
從本質上來講,計算機網絡安全就是網絡上的信息安全。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全具有以下幾個基本屬性。
1.可靠性
可靠性是網絡信息系統能夠在規定條件下、規定時間內完成規定功能的特性。可靠性是系統安全的基本要求之一,是所有網絡信息系統的基本目標。網絡信息系統的可靠性包括如下三種特性:
抗毀性是指系統在人為破壞下的可靠性。例如,部分鏈路或節點失效后,系統能否繼續提供服務。
增強抗毀性可以有效地避免因各種災害(戰爭、地震等)造成的大面積網絡癱瘓問題;
生存性是在隨機破壞下系統的可靠性。它反映了隨機性破壞和網絡拓撲結構對整個系統可靠性的影響;
有效性是一種基于業務性能的可靠性。它反映在網絡信息系統的部件失效情況下,滿足業務性能要求的程度。例如,網絡部件失效雖然沒有引起連接性故障,但是卻造成質量指標下降、平均延時增加、線路阻塞等現象。
網絡信息系統的可靠性主要表現在以下四個方面:
硬件可靠性最為直觀和常見;
軟件可靠性是指在規定的時間內,程序成功運行的概率;
人員可靠性是指人員成功地完成工作或任務的概率;
環境可靠性是指在規定的自然環境和電磁環境下,保證網絡成功運行的概率。
2.可用性
可用性是網絡信息可被授權實體訪問并按需求使用的特性,即當信息服務被使用時,允許授權用戶或實體使用的特性,或者是網絡部分受損需要降級使用時,仍能為授權用戶提供可用網絡服務的特性。可用性是網絡信息系統面向用戶的安全性能重要體現。網絡信息系統最基本的功能是向用戶提供服務,而用戶的需求是隨機的、多方面的、有時還有時間的要求。網絡信息系統的可用性一般用系統正常使用時間和整個工作時間之比來度量。
可用性還應該滿足以下要求:身份驗證、訪問控制、業務流控制、路由選擇控制、審計跟蹤。
3.保密性
保密性是數據信息不被泄露給非授權用戶、實體或供其利用的特性,確保信息只為授權用戶使用,而不被泄露給非授權個人或實體。保密性是在可靠性和可用性基礎之上,保障網絡信息安全的重要手段。
常用的保密技術包括:防偵聽(使對手偵聽不到有用的信息)、防輻射(防止有用信息以各種途徑在傳播過程中輻射出去,如無線網絡)、信息加密(用加密算法對信息進行加密處理)和物理保密(通過隔離、掩蔽、控制等措施保護信息不被泄露)。
4.完整性
完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。完整性是一種面向信息的安全性,要求保持信息的原樣,即信息正確的生成、存儲和傳輸。完整性與保密性不同,保密性要求信息不被泄露給未授權的人,而完整性則要求信息不致受到各種原因的破壞。影響網絡信息完整性的主要因素有:設備故障、誤碼(傳輸、處理和存儲過程中產生的誤碼,定時的穩定度和精度降低造成的誤碼,各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。
保障網絡信息完整性的主要方法有以下五種:
協議。通過各種安全協議可以有效地檢測出被復制的信息、被刪除的字段、失效的字段和被修改的字段;
糾錯編碼方法。由此完成檢錯和糾錯功能。最簡單和常用的糾錯編碼方法是奇偶校驗法;
密碼校驗和方法。它是抗篡改和傳輸失敗的重要手段;
數字簽名。保障信息的真實性;
公證。請求網絡管理或中介機構證明信息的真實性。
5.不可抵賴性
不可抵賴性也稱不可否認性,是指通信雙方在信息交互過程中,確保參與者本身以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
6.可控性
可控性是對網絡信息的傳播及內容具有控制能力的特性,即網絡系統中的任何信息要在一定傳輸范圍和存放空間內可控。可控性最重要的體現是全局監控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統,對于新的安全漏洞和攻擊方法能及時了解,針對體系內局部發生的安全入侵等事件進行響應。
1.1.3 網絡信息安全因素
網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊,網絡中的敏感數據有可能泄露或被修改,從內部網向公共網傳送的信息可能被他人竊聽或篡改等。典型的網絡安全威脅如表1-1所示。
表1-1 典型的網絡安全威脅
影響計算機網絡安全的因素很多,如有意的或無意的、人為的或非人為的等,外來黑客對網絡系統資源的非法使用更是影響計算機網絡安全的重要因素,具體情況分析如下。
1.人為的疏忽
人為的疏忽包括:失誤、失職、誤操作等。例如操作員安全配置不當導致的安全漏洞,用戶安全意識不強,用戶密碼選擇不慎,用戶將自己的賬戶隨意轉借給他人或與他人共享等,都會對網絡安全構成威脅。
2.人為的惡意攻擊
這是計算機網絡所面臨的最大威脅,敵人的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為主動攻擊和被動攻擊兩種方式。主動攻擊是以各種方式有選擇地破壞信息的有效性和完整性。被動攻擊是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均對計算機網絡造成極大的危害,并導致機密數據的泄露。人為惡意攻擊具有下述特性。
(1)智能性
從事惡意攻擊的人員大都具有相當高的專業技術和熟練的操作技能,文化程度較高,在攻擊前都經過了周密預謀和精心策劃。
(2)嚴重性
涉及金融資產的網絡信息系統被惡意攻擊,往往會由于資金損失巨大,而使金融機構、企業蒙受重大損失,甚至破產,同時也給社會穩定帶來動蕩。
(3)隱蔽性
人為惡意攻擊的隱蔽性強,不易引起懷疑,作案的技術難度大。一般情況下,其犯罪的證據存在于軟件的數據和信息資料之中,若無專業知識很難取得偵破證據。對于入侵者而言,則可以很容易地毀滅證據,使偵破工作難以順利進行。
(4)多樣性
隨著計算機互聯網的迅速發展,網絡信息系統中的惡意攻擊也隨之不斷變化。由于經濟利益的強烈誘惑,近年來,各種惡意攻擊主要集中在電子商務和電子金融領域。新的攻擊目標包括偷稅漏稅,利用自動結算系統洗錢,以及在網絡上進行贏利性的商業間諜活動等。
3.網絡軟件的漏洞
網絡軟件不可能無缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過的黑客攻入網絡內部的事件,大多是由于安全措施不完善導致的。另外,軟件的隱秘通道都是軟件公司的設計編程人員為了自己方便而設置的,一般不為外人所知,但一旦隱秘通道被探知,后果將不堪設想,這樣的軟件不能保證網絡安全。
4.非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被視為非授權訪問,如對網絡設備及資源進行非正常使用,擅自擴大權限或越權訪問信息等。主要包括:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作,合法用戶以未授權方式進行操作等。
5.信息泄露或丟失
信息泄漏或丟失是指敏感數據被有意或無意地泄露或者丟失,通常包括:在傳輸中泄露或丟失,例如黑客們利用電磁泄露或搭線竊聽等方式截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,進而獲取有用信息。
6.破壞數據完整性
破壞數據完整性是指以非法手段得到對數據信息的使用權,刪除、修改、插入或重發某些重要信息,惡意添加、修改數據,以干擾用戶的正常使用。
1.1.4 網絡信息安全機制
網絡信息安全機制定義了實現網絡信息安全服務的技術措施,包括所使用的可能方法,主要是利用密碼算法對重要而敏感的數據進行處理。網絡信息安全機制,通常包括如下八種。
1.加密機制
加密是提供數據保密的基本方法,用加密方法和認證機制相結合,可提供數據的保密性和完整性。加密形式可適用于OSI參考模型的不同層(會話層除外),加密機制還包括密鑰管理機制。
2.數字簽名機制
數字簽名是解決信息安全特殊問題的一種方法,適用于通信雙方發生了下列情況的安全驗證。在網絡通信中,數字簽名的安全性必須具有可證實性、不可否認性、不可偽造性和不可重用性。
3.訪問控制機制
訪問控制是指處理主體對客體訪問的權限設置的合法性問題,一個主體只能訪問經過授權使用的給定客體。否則,訪問控制機制的審計跟蹤系統會自動拒絕訪問,并給出事件報告的跟蹤審計信息。
4.數據完整性機制
數據完整性主要解決數據單元的完整性和數據單元序列的完整性。
數據單元完整性:發送實體對數據單元加標記識別,以作為數據本身的信息簽名函數(如Hash函數等)。接收實體將預先給定的驗證標記進行比較,用以辨別接收結果的數據是否真實。
數據單元序列完整性:要求所有發送數據單元序列編號的連續性和時間標記的正確性,以防止假冒、丟失、換包、重發、插入或修改數據序列。
5.鑒別交換機制
鑒別交換是在通信進程中,以雙方互換約定信息方式確認實體身份機制。常用方式有:口令鑒別確認、數據加密確認、通信中的“握手”協議、數字簽名和公證機構辨認,以及利用實體的特征或所有權形式辨別(如語言、指紋、身份卡識別等)。
6.通信業務填充機制
該機制的目的是對抗非法攻擊者在傳輸信道上監聽信息以及非法進行流量和流向分析。對抗手段可以通過保密裝置,在無信息傳輸時連續發出偽隨機序列,混淆非法者想要得到的有用信息。
7.路由控制機制
在復雜的網絡環境中,路由控制機制在于引導信息發送者選擇代價小且安全的特殊路徑,保證數據能由源節點出發,經選擇路由,安全到達目標節點。
8.公證機制
公證機制在于解決通信的矛盾雙方,因事故和信用危機導致責任問題的公證仲裁,公證機制要設立的公證機構是各方都信任的實體,專門提供第三方的證明手段,可用于對信息源的發送時間、目的地、信息內容和身份依據等進行公證,提供基于可信第三方的不可抵賴服務。
1.2 網絡系統安全風險分析
隨著Internet網絡急劇擴大和上網用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失。另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。針對企業局域網中存在的安全隱患,在進行安全方案設計時,下述安全風險必須要認真考慮,并且要針對面臨的風險,采取相應的安全措施。這些安全風險由多種因素引起,是與網絡結構和系統的應用、及局域網內網絡服務器的可靠性等因素密切相關的。
計算機網絡安全可以從以下幾個方面來理解:
網絡物理是否安全;
網絡平臺是否安全;
系統是否安全;
應用是否安全;
管理是否安全。
下面將針對每一類安全風險,結合局域網絡的實際情況,具體地分析網絡的安全風險。
1.2.1 物理安全風險分析
物理安全是涉及實現和維護計算機網絡物理設備安全的措施,這意味著對管理人員、硬件以及控制信息,在所有狀態下的支持系統元素和資源的物理保護,如果攻擊者獲得被控制設備的物理訪問權,就可以繞過對此設備的大多數基于安全技術的控制。
計算機網絡的物理安全主要是指自然災害事故、電源故障、人為操作失誤或錯誤、設備被破壞或丟失、電磁干擾、線路截獲等方面。除此之外,機房的物理環境及附屬設施以及管理人員,也應歸于網絡物理安全風險范圍。
物理安全是整個網絡系統安全的前提,在局域網絡內,由于網絡的物理跨度不大,只要制定健全的安全管理制度,做好備份,并且加強網絡設備和機房的管理,這些風險是完全可以避免的。
1.2.2 網絡平臺的安全風險分析
網絡應用已經遍布我們生活的每一個角落,網絡在給我們的生活帶來便利的同時,也暴露其自身的弱點。眾多網絡功能的實現都是借助網絡服務器實現的,而若想使每一個人都能享用這項服務,就必須將服務器放在公開的Internet上,這樣便每時每刻都可能遭受來自不同用戶的攻擊和入侵。
對于網絡供應商而言,局域網絡公開服務器區、特殊服務節點是與外界聯系的樞紐,一旦不能運行或受到攻擊,將影響集團的業務。同時公開服務器本身要為外界服務,必須開放相應的服務。因此,規模比較大的網絡的管理人員對Internet安全事故做出有效反應變得十分重要。有必要將公開服務器、內部網絡與外部網絡進行隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,而其他的請求服務在到達主機之前就應該遭到拒絕。
1.2.3 系統的安全風險分析
所謂系統的安全,是指整個局域網網絡操作系統、網絡硬件平臺是否可靠且值得信任,安全只是一個相對的概念,絕對的安全是不存在的。
在日常應用中,用戶可以通過對現有的操作平臺進行安全配置、對操作和訪問權限進行嚴格控制,從而提高系統的安全性。首先,不但要選用盡可能可靠的操作系統和硬件平臺,而且必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次,應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。
1.2.4 應用的安全風險分析
應用系統的安全跟具體應用有關,涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及信息的安全性,這是因為以下兩方面的原因。
1.應用系統安全是動態的、不斷變化的
應用的安全涉及面很廣,以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案就有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的,因此一套詳盡的測試軟件是必須的。但應用系統在不斷發展且應用類型在不斷增加,故安全漏洞將不斷增加且隱藏越來越深。
2.應用的安全性涉及信息、數據的安全性
信息的安全性涉及機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由于局域網絡跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內部進行保密(比如領導子網、財務系統傳遞的重要信息)就可以考慮在應用級進行加密,如針對具體的應用直接在應用系統開發時進行加密。
1.2.5 管理的安全風險分析
管理是網絡中安全最為重要的部分。責權不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能會引起管理安全的風險。如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意地泄露所知道的一些重要信息,而管理上卻沒有相應制度來約束。
當網絡出現攻擊行為或網絡受到其他一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求必須對網站的訪問活動進行多層次的記錄,以便及時發現非法入侵行為。
建立全新網絡安全機制,必須深刻理解網絡并能提供直接的解決方案;因此,最可行的做法是管理制度和管理解決方案的結合。
1.2.6 其他安全風險
1.黑客攻擊
在計算機網絡飛速發展的同時,黑客技術也日益高超。目前黑客能運用的攻擊軟件已達1000多種。黑客自己開發或利用已有的工具來尋找計算機系統和網絡的缺陷和漏洞,并對如下一些缺陷實施攻擊,如軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤等。
能運用黑客技術的人對計算機和網絡是非常精通的,這是因為發現并證實一個計算機系統漏洞可能需要做大量測試、分析大量代碼和長時間的程序編寫。而現在大部分黑客是利用已有的軟件,這并不需要多么高超的技術,黑客站點在Internet上到處可見,黑客工具可任意下載,從而對網絡的安全構成了極大的威脅。
2.通用網關接口漏洞
黑客可以通過網關接口(CGI)腳本自身的漏洞執行一些非法任務,通常情況下,這些CGI腳本可在WWW服務器中找到。要防止這類問題發生,應將這些CGI腳本設置為較低級用戶特權,并提高系統的抗破壞能力,提高服務器備份與恢復能力,提高站點內容的防篡改與自動修復能力。
3.惡意代碼
惡意代碼主要利用本地主機上一些特殊的Native API函數和內核系統函數,進行感染、傳播和隱藏,從而達到對系統進程、文件、注冊表、系統服務和網絡服務等進行控制的目的。新形式的惡意代碼攻擊,大量使用多重加密殼、驅動關聯殼、變形殼等代碼保護機制,以及多態、變形等新的技術,使傳統的惡意代碼查殺技術遭到了嚴重的挑戰。
從技術上分類,惡意代碼使用的技術手段有下列四種:
用戶模式系統調用劫持;
核心模式系統調用劫持;
核心模式數據篡改;
核心模式中斷處理程序劫持。
4.病毒
計算機病毒一直是計算機安全的主要威脅。隨著計算機技術的不斷進步,計算機病毒的發展速度非常驚人,每天網絡上都會出現成千上萬種新的病毒。大多數病毒都有一定的破壞性,嚴重的可能導致重要數據丟失、系統癱瘓,甚至硬件損毀。例如,被譽為“2006年十大計算機病毒之首”的“熊貓燒香”,可以在極短的時間內感染本地計算機中所有的可執行文件。
5.心懷不滿的內部員工
心懷不滿的內部員工(計算機人員、其他工作人員)熟悉服務器、小程序、腳本和系統的弱點。對于已經離職的心懷不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。而心懷不滿的在職員工要比已經離開的員工可能造成更大的損失,例如,可以泄露內部重要信息、進入機密數據庫、刪除數據等。
6.針對網絡的其他手段
一般認為,目前對網絡的攻擊手段主要表現在如下五個方面。
(1)非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。非授權訪問主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
(2)信息泄露或丟失
信息泄露或丟失是指敏感數據在有意或無意中被泄露出去或丟失,通常包括信息在傳輸中丟失或泄露(如“黑客”利用電磁泄露或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析推出有用信息,如用戶口令、賬戶等重要信息。),信息在存儲介質中丟失或泄露,通過建立隱蔽隧道竊取敏感信息等。
(3)破壞數據完整性
破壞數據完整性以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加或修改數據,以干擾用戶的正常使用。
(4)拒絕服務攻擊
拒絕服務攻擊不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被拒絕而無法進入計算機網絡系統或不能得到相應的服務。
(5)利用網絡傳播病毒
網絡是當今計算機病毒的主要傳播途徑之一,利用網絡傳播病毒不僅后果嚴重,而且難于防范。這種傳播方式的主要特點是:被病毒感染的計算機會自動掃描所在網絡的其他計算機,如果這些計算機也存在這種漏洞,便會被入侵,這些被入侵的計算機會繼續掃描攻擊……此類病毒傳播速度快,在很短時間內感染數臺計算機。而且這種病毒還會使多臺計算機同時掃描,占用網絡的大量帶寬,甚至阻塞整個網絡的通信。要從根本上杜絕這種安全隱患,首先要在全網計算機中部署殺毒軟件,并及時升級,同時必須配合在全網計算機中檢查系統漏洞,及時做好系統補丁更新。
1.3 安全需求與安全目標
通過上述對網絡結構、網絡安全風險分析,再加上目前黑客、病毒等安全威脅日益嚴重,使解決網絡安全問題勢在必行。我們要針對不同安全風險,采用相應的安全措施來解決,從而使網絡安全達到一定的安全目標。
1.3.1 安全需求
通過前面對局域網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,要采取相應的安全措施杜絕安全隱患,應該做到以下幾點:
公開服務器的安全保護;
防止黑客從外部攻擊;
入侵檢測與監控;
信息審計與記錄;
病毒防護;
數據安全保護;
數據備份與恢復;
網絡的安全管理。
同時,針對局域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時還應滿足如下要求:
大幅度地提高系統的安全性(重點是可用性和可控性);
保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
安全保密系統具有較好的性能價格比,一次性投資可以長期使用;
安全產品具有合法性,并經過國家有關管理部門的認可或認證;
分步實施。
1.3.2 網絡安全策略
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括建立安全環境的三個重要組成部分:
法律規章。安全的基石是社會法律、法規、規章制度與相應的制裁手段,在這基礎上建立一套安全管理的辦法。即通過建立與信息安全相關的法律、法規和單位的規章制度,使不法分子懾于法律,不敢輕舉妄動;
先進技術。先進的安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制和先進的安全技術;
嚴格管理。各網絡使用機構、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體的信息安全意識。
1.3.3 系統安全目標
局域網絡系統安全應該實現以下的目標:
建立一套完整可行的網絡安全與網絡管理策略;
將內部網絡、公共服務器網絡和外網進行有效隔離,避免與外部網絡的直接通信;
建立網站各主機和服務器的安全保護措施,保證系統安全;
對網絡服務請求內容進行控制,使非法訪問在到達主機前被拒絕;
加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度;
全面監視對公共服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;
加強對各種訪問的審計工作,詳細記錄對網絡、公共服務器的訪問行為,形成完整的系統日志;
備份與災難恢復,強化系統備份,實現系統快速恢復;
加強網絡安全管理,提高系統全體人員的網絡安全意識和防范技術。
一個合格的網絡系統應實現以下的安全目標:
保護網絡系統的可用性;
保護網絡系統服務的連續性;
防范網絡資源的非法訪問及非授權訪問;
防范入侵者的惡意攻擊與破壞;
保護企業信息在網上傳輸過程中的機密性、完整性;
防范病毒的侵害;
實現網絡的安全管理。
1.4 網絡安全體系結構
通過對網絡的全面了解,按照安全策略的要求、風險分析的結果及整個網絡的安全目標,整個網絡設施應按系統體系來建立。具體的安全控制系統由以下幾個方面組成:物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理。在網絡的安全方面,主要考慮兩方面:一是網絡結構的優化;二是網絡系統的安全。
1.4.1 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程,物理安全的具體情況包括以下幾個方面。
環境安全。對系統所在環境的安全保護,如區域保護和災難保護,參見國家標準GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》。
設備安全。設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
媒體安全。媒體安全包括媒體數據的安全及媒體本身的安全。
網絡臨界點安全。網絡臨界點安全包括防火墻、內外網互聯的設備、無線設備、VPN設備等。
1.4.2 網絡結構規劃
安全系統是建立在網絡系統之上的,故網絡結構的安全是安全系統成功建立的基礎。網絡結構的安全主要是指網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網絡維護管理、網絡應用與業務定位等因素。成熟的網絡結構應具有開放性、標準化、可靠性、先進性和實用性,并且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完善的安全保障體系。因此,網絡結構采用分層的體系結構就便于維護管理,便于更高的安全控制和業務發展。而網絡結構的優化則是在網絡拓撲上要考慮冗余鏈路,防火墻的設置和入侵檢測的實時監控等。
1.網絡系統安全
(1)訪問控制
訪問控制可以通過如下幾個方面來實現:
制訂嚴格的管理制度。例如《用戶授權實施細則》、《密碼及賬戶管理規范》、《權限管理制度》。
配備相應的安全設備。在內部網與外部網之間,設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的主要措施之一。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口處。
(2)內外網絡隔離
最主要的一種防火墻是包過濾型,包過濾防火墻一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網絡的信息流。同時,可實現網絡地址轉換(NAT)、審計與實時告警等功能。由于這種防火墻安裝在被保護網絡與路由器之間的通道上,因此也對被保護網絡和外部網絡起到隔離作用。防火墻具有以下五大基本功能:
過濾進、出網絡的數據;
管理進、出網絡的訪問行為;
封堵某些禁止的業務;
記錄通過防火墻的信息內容和活動;
對網絡攻擊的檢測和告警。
2.內部網不同網絡安全域的隔離及訪問控制
在規模龐大的企業網絡中往往存在多個功能不同的網絡分支,如研發部門、營銷部門、售后服務等,為了企業機密信息的外漏,就需要對不同部門用戶的訪問進行合理控制,例如可以借助交換機的VLAN(Virtual Local Area Network,虛擬網絡)功能實現網絡隔離的訪問控制。
通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題傳播到整個網絡。在某些情況下,局域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網絡安全問題對全局網絡造成的影響。
3.網絡安全檢測
網絡系統的安全性取決于網絡系統中最薄弱的環節,解決這一難題的有效方法就是定期對網絡系統進行安全性分析,及時發現并修正存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件,其功能是掃描分析網絡系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。檢測工具應具備以下功能:
具備網絡監控、分析和自動響應功能;
找出經常發生問題的根源;
建立必要的循環過程,確保糾正隱患;
控制各種網絡安全危險;
漏洞分析和響應;
配置分析和響應;
漏洞形勢分析和響應;
認證和趨勢分析。
網絡安全具體體現在以下方面:
防火墻得到合理配置;
內外Web站點的安全漏洞減到最少;
網絡體系達到強壯的抗攻擊性;
各種服務器操作系統,如郵件服務器、Web服務器、應用服務器,將受黑客攻擊的可能降為最低;
對網絡訪問做出有效響應,保護重要應用系統(如財務系統)的數據安全不受黑客攻擊和內部人員誤操作的侵害。
4.審計與監控
審計是記錄用戶使用計算機網絡系統進行所有活動的過程,是提高安全性的重要工具。審計不僅能夠識別誰訪問了系統,還能看出系統正被怎樣地使用。同時,系統事件的記錄能夠更迅速和系統地識別問題,也是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累,并且加以分析,可有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對可能產生破壞性的行為提供有力證據。
除使用一般的網管軟件和系統監控管理系統外,還應使用目前較為成熟的網絡監控設備或實時入侵檢測設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
5.網絡防病毒
在網絡環境下,計算機病毒有不可估量的威脅性和破壞力,計算機病毒的防范是網絡安全性建設中的重要環節。
網絡反病毒技術包括以下幾種。
預防病毒技術。通過自身常駐系統內存,優先獲得系統的控制權,監視和判斷系統中是否存在病毒,進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒軟件等)。
檢測病毒技術。通過對計算機病毒的特征來進行判斷的技術,如自身校驗、關鍵字、文件長度的變化等。
清除病毒技術。通過對計算機病毒的分析,開發出具有刪除病毒程序并恢復原文件的軟件。
木馬掃描技術。借助專業木馬掃描軟件,短時間內即可對本地計算機或網絡中的主機進行專項掃描,發現存在的木馬,并給出相應的防御和補救措施,將損失降到最低。
間諜軟件掃描技術。間諜軟件的主要目的是竊取用戶機密信息,目前多個版本的Windows系統中已經集成了間諜軟件掃描組件,并且可以自動運行,以確保用戶系統的安全。
6.網絡備份系統
網絡備份系統的目的是盡可能快地恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有:數據中心的高速度、大容量、自動的數據存儲、備份與恢復;其他區域(備份區域)的數據存儲、備份與恢復;對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用,同時亦是系統災難恢復的前提之一。
在確定備份的指導思想和備份方案之后,就要選擇安全的存儲媒介和技術進行數據備份,數據備份有“冷備份”和“熱備份”兩種。
熱備份是指“在線”的備份,即下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或另一個非實時處理的業務系統中存放。熱備份的優點是調用快,使用方便,在系統恢復中需要反復調試時更顯優勢。熱備份的具體做法是:可以在主機系統開辟一塊非工作運行空間,專門存放備份數據,即分區備份;另一種方法是,將數據備份到另一個子系統中,通過主機系統與子系統之間的傳輸,同樣具有速度快和調用方便的特點,但投資比較昂貴。
冷備份是指“不在線”的備份,下載的備份存放到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝,還有一部分原始的數據將長期保存并作為查詢使用。冷備份彌補了熱備份的一些不足,兩者優勢互補,相輔相成,因為冷備份在回避風險中還具有便于保管的優點。
1.4.3 系統安全
系統安全主要是指操作系統、應用系統的安全性以及網絡硬件平臺的可靠性。對于操作系統的安全防范可以采取如下策略:
對操作系統進行安全配置,提高系統的安全性。例如系統內部調用不對Internet公開,關鍵性信息不直接公開,盡可能采用安全性高的操作系統;
應用系統在開發時,采用規范化的開發過程,盡可能地減少應用系統的漏洞;
網絡上的服務器和網絡設備盡可能不采取同一家的產品;
通過專業的安全工具(安全檢測系統)定期對網絡進行安全評估。
1.4.4 信息安全
信息是網絡中最重要的安全對象。事實上,實施各種安全措施的最終目的,就是保護網絡中各個位置的敏感信息。可以采取以下策略,實現對于信息安全威脅的防范。
在局域網絡內,對不同的信息進行區域規劃,執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN,并在Trunk端口限制授權訪問的VLAN,將一些敏感信息與其他子網絡相隔離。
將所有敏感信息都集中保存在網絡內的文件服務器中,既可以有效保證敏感信息的存儲安全,又可以保證在共享文件的同時嚴格控制其訪問權限。需要注意的是,應杜絕將敏感信息保存在個人計算機上。
制定嚴格的文件訪問權限。敏感文件必須存儲在NTFS系統分區,并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。
將不同類型的用戶劃分于不同的用戶組或組織單位,并為用戶組和組織單位指定相應的訪問權限,既可以簡化文件權限管理的難度,又不會因疏忽大意導致訪問權限劃分錯誤。
安裝RMS服務,嚴格限制對敏感文件的操作。權限管理服務(Windows Rights Management)是搭建權限管理系統的重要組成部分,為組織內的權限策略管理系統提供了一個平臺,。
其他基于交換機和路由器的安全措施。例如,采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術,限制用戶登錄到網絡或者限制其對敏感區域的訪問。
1.4.5 應用安全
在應用安全上,首先要考慮通信的授權,傳輸的加密和審計記錄。這必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。另外,在加強主機的管理上,除了上述的訪問控制和系統漏洞檢測外,還可以采用訪問存取控制,對權限進行分割和管理。應用安全平臺需要加強資源目錄管理和授權管理、傳輸加密、審計記錄和安全管理等內容。對應用安全,主要考慮確定不同服務的應用軟件并緊密注視其漏洞,并注意掃描軟件要不斷升級。
1.5 安全管理
為了保護網絡的安全性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,安全管理規范也是網絡安全所必須的。安全管理策略的實施一方面要貫徹安全管理規范,另一方面要建立高效的管理平臺(包括網絡管理和安全管理)。安全管理策略主要有:定義完善的安全管理模型;建立長遠的并且可實施的安全策略;徹底貫徹規范的安全防范措施;建立恰當的安全評估尺度,并且進行經常性的規則審核。當然,還需要建立高效的管理平臺。
1.5.1 安全管理規范
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡安全管理規范的建立,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起各計算機網絡應用部門領導的重視。
1.安全管理原則
網絡信息系統的安全管理主要基于以下三個原則。
(1)負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,忠誠可靠,能勝任此項工作,應該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有:
訪問控制使用證件的發放與回收;
信息處理系統使用的媒介發放與回收;
處理保密信息;
硬件和軟件的維護;
系統軟件的設計、實現和修改;
重要程序和數據的刪除和銷毀。
(2)有限原則
一般情況下,任何人都不要長期擔任與安全有關的職務,以免被誤認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。
(3)分離原則
在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。出于對安全的考慮,下面每組內的兩項信息處理工作應當分開:
計算機操作與計算機編程;
機密資料的接收和傳送;
安全管理和系統管理;
應用程序和系統程序的編制;
訪問證件的管理與其他工作;
計算機操作與信息處理系統使用媒介的保管。
2.安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應的規范。具體工作包括下列幾方面。
根據工作的重要程度,確定該系統的安全等級。
根據確定的安全等級,確定安全管理的范圍。
制訂相應的機房出入管理制度對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記系統,采用磁卡、身份卡等手段,對人員進行識別和登記管理。
制訂嚴格的操作規程。
操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。
制訂完備的系統維護制度。
對系統進行維護時,應采取數據保護措施,如數據備份等。維護時要經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。
制訂應急措施。
要制定系統在緊急情況下如何盡快恢復的應急措施,使損失減至最小。建立人員雇用和解聘制度,對工作調動和離職人員要及時調整響應的授權。
1.5.2 安全管理的功能
安全管理的主要功能是指對安全設備的管理;監視網絡危險情況,對危險進行隔離,并把危險控制在最小范圍內;身份認證,權限設置;對資源的存取權限的管理;對資源或用戶動態的或靜態的審計;對違規事件,自動生成報警或生成事件消息;口令管理(如操作員的口令鑒權),對無權操作人員進行控制;對于與密鑰相關的服務器,應對其設置密鑰生命期、密鑰備份等管理功能;冗余備份:為增加網絡的安全系數,對于關鍵的服務器應冗余備份。但安全管理應該從管理制度和管理平臺技術兩個方面來實現,并且安全管理產品要盡可能地支持統一的中心控制平臺。
根據以上所述,針對網絡的實際狀況,應因地制宜,分步實施,指定和實現網絡安全的綱要,將會極大地提高局域網絡的安全性。
1.6 網絡安全技術
防病毒技術、防火墻技術和入侵檢測技術是網絡安全領域的三大主流技術。任何一個用戶,在剛剛開始面對安全問題的時候,往往就考慮這“老三樣”。這三種網絡安全技術為整個網絡安全建設起到了至關重要的作用。另外,隨著網絡攻擊和入侵技術的不斷升級,一些新的安全防御技術也應運而生,如訪問控制技術、安全掃描技術等。
1.6.1 防病毒技術
在所有計算機安全威脅中,計算機病毒是最嚴重的,不僅發生的頻率高、損失大,而且潛伏性強、覆蓋范圍廣。如今計算機病毒在形式上越來越狡猾,造成的危害也日益嚴重。這就要求網絡防病毒產品在技術上更先進,在功能上更全面,并具有更高的查殺效率。
1.單機防病毒
單機防病毒與專業的防病毒服務器配合,定期或自動通過Internet連接產品官方服務器獲取最新病毒定義,以實現動態防御與靜態殺毒相結合。單機防病毒最大的缺點是功能單一,無法實現統一管理,因此要求防病毒產品必須可以更新病毒庫和接受官方服務器的技術支持。
2.網絡防病毒
網絡防病毒技術是目前主流安全防護技術之一,適用于各種規模的局域網。網絡防病毒技術中主要包括服務器模塊和客戶端模塊,其中服務器主要為客戶端提供統一部署和管理,如病毒庫升級、調度掃描、遠程部署等,而客戶端則工作相對簡單,只需接受防病毒服務器的管理即可。
3.網關防病毒
網關防病毒技術主要有兩部分,一是如何對進出網關的數據進行查殺;二是對要查殺的數據進行檢測與清除。網關防病毒產品對數據的病毒檢測目前還是以特征碼匹配技術為主,其掃描技術及病毒庫與其他網絡防病毒產品是一致的。如何對進出網關的數據進行查殺,是網關防病毒技術的關鍵。網關防病毒技術有以下幾種實現方式。
基于代理服務器的方式實現。此種方式主要是依靠代理服務器對數據進行還原,在數據通過代理服務器時將數據根據不同協議進行還原,再利用其安裝在代理服務器內的掃描引擎對其進行病毒的查殺。
基于防火墻協議還原的方式實現。此種方式主要是利用防火墻的協議還原功能,將數據包還原為不同協議的文件,然后傳送到相應的病毒掃描服務器進行查殺,掃描后再將該文件傳送回防火墻進行數據傳輸。病毒掃描服務器可以有多個,防火墻內的防病毒代理根據不同協議,將相應的協議數據轉送到不同的病毒掃描服務器。
基于郵件服務器的方式實現。此種方式也可認為是以郵件服務器為網關,在郵件服務器上安裝相應的防病毒產品,通過將防病毒程序內嵌在郵件系統內,就可在進出郵件轉發前對郵件及其附件進行掃描并清除,從而防止病毒通過郵件網關進入企業內部。目前,郵件服務器版的防病毒產品主要支持Exchange Server、Lotus Notes和以SMTP協議的郵件系統。
基于信息渡船產品方式實現。它能夠實現網關處的病毒防護,信息渡船俗稱“網閘”,在產品內建立信息孤島,通過高速電子開關實現數據在信息孤島的交換。用戶只需在信息孤島內安裝防病毒模塊,就可實現對數據交換過程的病毒檢測與清除。
4.系統的防病毒計劃
在“Melissa”病毒出現之前,人們并未意識到為電子郵件系統提供專門的防病毒保護的重要性。如今,電子郵件系統已從簡單的信息發布發展到可提供協作存儲器、基于Web的用戶界面以及無線設備接入等方面。因此,要從系統角度設計一套全面的防毒計劃。
制定系統的防病毒策略。為了正確選擇、配置和維護病毒防護解決方案,必須明確規定保護的級別和所需采取的對策。
部署多層防御戰略。隨著網絡的發展,病毒可從多種渠道進入系統,應盡量擴大防病毒系統的覆蓋范圍,必須包括網關防病毒、服務器及群件防病毒、個人桌面計算機防病毒以及所有防病毒產品的統一管理等。
定期更新防病毒定義文件和引擎。在大多數系統了解到使其病毒定義文件保持最新版本的重要性的同時,并不是人人都了解確保檢測引擎為最新版本同等重要的。一般情況下,更新是自動進行的,但更重要的是,應定期檢查日志文件以確保正確地執行了更新。基于服務器的電子郵件病毒防護是提供系統內部保護的最有效方式,但是根據系統安全保護策略的細節不同,它不能對所有類型的信息(如加密信息)都提供防護。因此還應定期更新桌面計算機中的防病毒軟件。
定期備份文件。一旦病毒破壞了數據,就可以利用先前存儲備份恢復相關文件。建議您制訂一個標準程序來定期檢查從備份中恢復的數據。
預訂可發布新病毒威脅警告的電子郵件警報服務。有許多不同的機構提供這種服務,但是最關鍵的應該是防病毒服務供應商。其原因在于每個防病毒軟件供應商的能力不同,對新病毒的估定也不同,而且采取的措施也有差異。例如,一位供應商已經在過去的更新版本中提供了類屬病毒檢測,從而對某種新病毒提供了“防護”,因此對于客戶而言,這一特殊病毒將被估定成“低”風險的,但是其他未能提供當前保護的供應商卻會將同類病毒估定為“高”風險的。
為全網用戶提供全面的防病毒培訓。如果全網用戶都了解容易遭受病毒攻擊的風險、防護措施以及遇到可疑病毒時應該采取的建議性措施等,就可以最大程度地降低系統內大多數病毒的影響。
1.6.2 防火墻技術
防火墻是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包以及網絡的鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。
目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。根據防火墻所采用的技術不同,可以將其分為以下四種基本類型:
包過濾型。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活地制訂判斷規則。
網絡地址轉換(NAT)。防火墻根據預先定義好的映射規則來判斷訪問請求是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
代理型。代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
監測型。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有很強的防范作用。
1.6.3 入侵檢測技術
入侵檢測是防火墻的合理補充,主要用于應對潛在的網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測系統從網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都是通過它執行以下任務來實現的:
監視、分析用戶及系統活動;
系統構造和弱點的審計;
識別反映已知進攻的活動模式并向相關人士報警;
異常行為模式的統計分析;
評估重要系統和數據文件的完整性;
操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
一個成功的入侵檢測系統,不但可以使系統管理員實時了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還可以給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。此外,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時做出響應,例如自動斷開網絡連接、記錄事件和報警等。
1.6.4 訪問控制技術
訪問控制是網絡安全防范和保護的主要策略,其主要功能就是保證網絡資源不被非法使用和訪問。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
1.連接訪問控制
建立連接是用戶獲得資源的第一步,連接訪問控制主要解決哪些用戶能夠登錄到服務器并獲取網絡資源,控制允許用戶登錄的時間和工作站。用戶的連接訪問控制可分為三個步驟:
用戶名的識別與驗證;
用戶口令的識別與驗證;
用戶賬號的默認限制檢查。
在上述三個步驟中只要任何一個步驟未能通過,該用戶便不能訪問網絡中的資源。
2.訪問權限控制
網絡的訪問權限控制是針對網絡非法操作提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,而網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,還可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽可以兩種實現方式。受托者指派是控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權限。
根據訪問權限可以將用戶分為以下幾類:
特殊用戶(即系統管理員);
一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;
審計用戶,負責網絡的安全控制與資源使用情況的審計。
3.目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。
用戶對文件或目標的有效權限有以下兩種:用戶的受托者指派或用戶所在組的受托者指派,取消繼承權限屏蔽的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
4.屬性安全控制
當使用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供了更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問權限。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
5.服務器安全控制
網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
1.6.5 安全掃描技術
安全掃描技術是一種重要的網絡安全技術,與入侵檢測系統類似,主要通過與防火墻、防病毒系統配合使用,達到增強網絡安全的目的。通過對網絡的掃描,網絡管理員能夠了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員能夠根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置,在黑客攻擊之前進行防范。假如說防火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,能夠有效地避免黑客攻擊行為,做到防患于未然。
安全掃描技術主要分為兩類:主機安全掃描技術和網絡安全掃描技術。網絡安全掃描技術主要針對系統中不合適配置的脆弱的口令,連同對其他與安全規則抵觸的對象進行檢查等;而主機安全掃描技術則是通過執行一些腳本文檔,模擬對系統進行攻擊的行為并記錄系統的反應,從而發現其中的漏洞。
1.6.6 網絡安全緊急響應體系
網絡安全緊急響應體系主要是通過在網絡中部署入侵檢測與預警系統,建立以客戶端為基礎的綜合安全體系,其中包括建設組織管理、預案流程、制度規范等綜合措施,以便盡早對有重大危害的計算機和網絡安全事件進行發現、分析和確認并對其進行響應等。整個預警與應急響應體系是以入侵檢測為核心的,容納并聯合了其他安全防護設備,如防火墻、網絡隔離、漏洞掃描、外聯檢測、拓撲發現等設備,統一進行入侵管理,支撐應急響應體系。
網絡安全緊急響應體系的目標如下:
故障定位及排除。目前依靠廣域網的響應時間過長,而一般的網絡系統涉及系統、設備、應用等多個層面,因此如何將性能或故障等方面的問題準確定位在涉及(線路、設備、服務器、操作系統、電子郵件)的具體位置,是本響應體系提供的基本功能;
預防問題。通過在廣域網上對網絡設備和網絡流量實施的監控和分析,預防問題的發生,在系統出現性能抖動時,就能及時發現,并建議系統管理員采取及時的處理措施;
優化性能。通過對線路和其他系統進行透視化管理,利用管理系統提供的專家功能對系統的性能進行優化;
提供整體網絡運行的健康以及趨勢分析。分析系統的使用情況,并對網絡系統整體的運行情況做出長期的健康和趨勢報告,以便制定新系統的規劃。
1.7 網絡安全的規劃與設計
不同類型的計算機網絡用戶,對信息安全要求的級別也是有所不同的。但網絡安全性的提升是要以巨大的資金投入為基礎的,因此在部署計算機網絡安全之前,必須了解網絡用戶的需求,根據其實際情況確定安全系統的主體目標,只有這樣才可以制定出一套可靠實用的網絡安全系統。
1.7.1 網絡安全規劃原則
在對局域網絡系統安全方案設計、規劃時,應遵循以下原則。
1.綜合性、整體性原則
應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
2.需求、風險、代價平衡的原則
對于任何網絡,絕對安全是很難實現的,也不一定是必要的。通常情況下,需要對網絡進行實際的研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
3.一致性原則
一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等,都要有安全的內容及措施。實際上,在網絡建設的開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施不但容易,且花費也小得多。
4.易操作性原則
安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。而且,措施的采用也不能影響系統的正常運行。
5.分步實施原則
由于網絡系統及其應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加,所以一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出,因此分步實施既可滿足網絡系統及信息安全的基本需求,也可節省費用開支。
6.多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,就可以達到當一層保護被攻破時,其他層保護仍可保護信息的安全的目的。
7.可評價性原則
如何預先評價一個安全設計并驗證其網絡的安全性,這需要通過國家有關網絡信息安全測評認證機構的評估來實現。
1.7.2 劃分VLAN和PVLAN
劃分VLAN(Virtual Local Area Network,虛擬網絡)和PVLAN(Private Virtual Local Area Network,私有虛擬網)是交換機上最常用的安全配置,可以分別實現不同的安全級別。其主要作用就是通過劃分VLAN或PVLAN,實現網絡之間或用戶之間的隔離,從而使信息只能在很小的范圍內傳輸。例如,為了確保網絡內部信息不被遠程用戶隨便訪問,可以在核心交換機上劃分一個來賓VLAN,所有來賓用戶只能訪問所在VLAN中的網絡資源。
1.劃分VLAN
VLAN的主要作用有兩點,一是提高網絡安全性,阻止未經授權的VLAN訪問,二是提高網絡傳輸效率,將廣播隔離在子網之內。因此,VLAN在網絡安全性和穩定性方面,都起著非常重要的作用。
在集中式網絡環境下,通常將網絡中心的所有主機系統集中到一個VLAN中,在該VLAN中不允許有任何用戶節點,以確保敏感資源和信息的安全。在分布式網絡環境下,管理員可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。
2.劃分PVLAN
PVLAN實現端口之間相互隔離,滿足寬帶接入的用戶安全性要求,避免用戶信息和數據的泄露,防止非法攻擊和竊取。在劃分PVLAN時,各接入端口間不可以相互通信,僅可通過上聯端口來訪問網絡資源。需要注意的是,二層交換機和三層交換機都可以創建PVLAN。
1.7.3 客戶端安全
Windows客戶端安全主要是指用戶操作系統安全、用戶賬戶安全以及系統補丁安裝等,為了便于管理員對客戶端系統更新設置的統一管理,可以在網絡中配置專用的自動更新服務器,即WSUS服務器,客戶端無須連接到Internet即可完成系統自動更新的部署。
Windows XP客戶端安全設置主要包括:
用戶離開計算機或計算機處于待機狀態時,必須鎖定計算機,以免其他用戶趁虛而入;
為所有計算機賬戶設置安全密碼,尤其是系統管理員密碼安全性要求更高,并且平時應做好密碼保護工作;
管理員賬戶只用于執行必需的系統管理操作,通常情況下建議使用普通賬戶登錄系統;
使用NTFS文件系統格式化分區,以便使用NTFS權限設置不同文件的安全保護;
啟用并合理設置Windows防火墻;
安裝并配置Windows Defender,按時掃描本地計算機的惡意軟件入侵情況。