企業網絡安全風險與防範技術縱覽
(定稿:2004-8-4)
21世紀全世界的計算機都將通過Internet聯到一起,隨着Internet的發展,網絡豐富的信息資源給用戶帶來了極大的方便,但同時也給上網用戶帶來了安全問題。由於Internet的開放性和超越組織與國界等特點,使它在安全性上存在一些隱患。而且信息安全的內涵也發生了根本的變化。它從一般性的防衛變成了一種非常普通的防範,還從一種專門的領域變成了無處不在。
網絡安全是企業網絡(Intranet)正常運行的前提。網絡安全不單是單點的安全,而是整個企業信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自於何處。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成業務網絡的中斷。
本文根據國內企業網絡系統的網絡結構和應用情況,首先從網絡安全、系統安全、應用安全及管理安全等方面對當前企業網絡安全存在的隱患進行全面地分析;然後介紹一些主要的保證網絡安全的技術;最後對如何保證企業網絡安全進行一個總結。
一、 企業網絡(Intranet)安全存在的主要隱患
1,網絡結構的安全風險分析
1.1,外部網絡的安全威脅
企業網絡與外網有互連。基於網絡系統的範圍大、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅,入侵者每天都在試圖闖入網絡節點。網絡系統中辦公系統及員工主機上都有涉密信息。假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡。
如果系統內部局域網與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易遭到來自外網一些不懷好意的入侵者的攻擊。
1.2,內部局域網的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。來自機構內部局域網的威脅包括:誤用和濫用關鍵、敏感數據;內部人員故意泄漏內部網絡的網絡結構;內部不懷好意的員工通過各種方式盜取他人涉密信息傳播出去。
1.3,網絡設備的安全隱患
網絡設備中包含路由器、交換機、防火牆等,它們的設置比較複雜,可能由於疏忽或不正確理解而使這些設備可用但安全性不佳。
2,操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全。操作系統的安裝以正常工作爲目標,一般很少考慮其安全性,因此安裝通常都是以缺省選項進行設置。從安全角度考慮,其表現爲裝了很多用不着的服務模塊,開放了很多不必開放的端口,其中可能隱含了安全風險。
目前的操作系統無論是Windows還是UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些後門和安全漏洞都將存在重大安全隱患。系統的安全程度跟安全配置及系統的應用有很大關係,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。如果進行安全配置,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那麼入侵者要成功進入內部網是不容易的,這需要相當高的技術水平及相當長時間。
3,應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,採取相應的安全措施,降低應用的安全風險。
文件服務器的安全風險:辦公網絡應用通常是共享網絡資源。可能存在着員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取並傳播出去造成泄密,因爲缺少必要的訪問控制策略。
數據庫服務器的安全風險:內網服務區部署着大量的服務器作爲數據庫服務器,在其上運行數據庫系統軟件,主要提供數據存儲服務。數據庫服務器的安全風險包括:非授權用戶的訪問、通過口令猜測獲得系統管理員權限、數據庫服務器本身存在漏洞容易受到攻擊等。數據庫中數據由於意外(硬件問題或軟件崩潰)而導致不可恢復,也是需要考慮的安全問題。
病毒(蠕蟲)侵害的安全風險:網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人爲投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
數據信息的安全風險:數據安全對企業來說尤其重要,數據在公網線路上傳輸,很難保證在傳輸過程中不被非法竊取、篡改。現今很多先進技術,黑客或一些企業間諜會通過一些手段,設法在線路上做些手腳,獲得在網上傳輸的數據信息,也就造成的泄密。
4,管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過於簡單,導致很容易破解。責任不清,使用相同的用戶名、口令,導致權限管理混亂,信息泄密。把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。內部不滿的員工有的可能造成極大的安全風險。
管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。責權不明,管理混上亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術下功夫外,還得依靠安全管理來實現。
二、 確保企業網絡安全的主要技術
1 防火牆技術
網絡防火牆技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,並監視網絡運行狀態。
目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。
防火牆處於5層網絡安全體系中的最底層,屬於網絡層安全技術範疇。負責網絡間的安全認證與傳輸,但隨着網絡安全技術的整體發展和網絡應用的不斷變化,現代防火牆技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能爲各種網絡應用提供相應的安全服務。另外還有多種防火牆產品正朝着數據安全與用戶認證、防止病毒與黑客侵入等方向發展。
根據防火牆所採用的技術不同,我們可以將它分爲四種基本類型:包過濾型、網絡地址轉換-NAT、代理型和監測型。具體如下:
1.1,包過濾型
包過濾型產品是防火牆的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以"包"爲單位進行傳輸的,數據被分割成爲一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易僞造IP地址,騙過包過濾型防火牆。
1.2,網絡地址轉化-NAT
網絡地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味着用戶不許要爲其網絡中每一臺機器取得註冊的IP地址。
NAT的工作過程是:在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射爲一個僞裝的地址和端口,讓這個僞裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它並不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認爲訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認爲該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網絡地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。
1.3,代理型
代理型防火牆也可以被稱爲代理服務器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理服務器位於客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當於一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然後再由代理服務器將數據傳輸給客戶機。由於外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的複雜性。
1.4,監測型
監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分佈式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。
雖然監測型防火牆安全性上已超越了包過濾型和代理服務器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品爲主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
雖然防火牆是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防範數據驅動型的攻擊。
2 入侵檢測技術
2.1 入侵檢測技術簡介
入侵檢測技術主要通過對計算機網絡或計算機系統中的若干關鍵點收集信息並對其進行分析,從中發現網絡或系統中是否有違反安全策略的行爲和被攻擊的跡象。
入侵檢測技術是主動保護自己免受攻擊的一種網絡安全技術。作爲防火牆的合理補充,入侵檢測技術能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,並分析這些信息。
2.2 爲什麼需要入侵檢測
目前在網絡安全方面,國內的用戶對防火牆已經有了很高的認知程度,而對入侵檢測系統的作用大多不是非常瞭解。防火牆在網絡安全中起到大門警衛的作用,對進出的數據依照預先設定的規則進行匹配,符合規則的就予以放行,起訪問控制的作用,是網絡安全的第一道閘門。優秀的防火牆甚至對高層的應用協議進行動態分析,保護進出數據應用層的安全。但防火牆的功能也有侷限性。防火牆只能對進出網絡的數據進行分析,對網絡內部發生的事件完全無能爲力。
同時,由於防火牆處於網關的位置,不可能對進出攻擊作太多判斷,否則會嚴重影響網絡性能.如果把放火防火牆比作大門警衛的話,入侵檢測就是網絡中不間斷的攝像機,入侵檢測通過旁路監聽的方式不間斷的收取網絡數據,對網絡的運行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警。不但可以發現從外部的攻擊,也可以發現內部的惡意行爲。所以說入侵檢測是網絡安全的第二道閘門,是防火牆的必要補充,構成完整的網絡安全解決方案。
2.3 入侵檢測技術的發展趨勢
(1),分析技術的改進
入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有:統計分析、模式匹配、數據重組、協議分析、行爲分析等。
統計分析是統計網絡中相關事件發生的次數,達到判別攻擊的目的。模式匹配利用對攻擊的特徵字符進行匹配完成對攻擊的檢測。數據重組是對網絡連接的數據流進行重組再加以分析,而不僅僅分析單個數據包。
協議分析技術是在對網絡數據流進行重組的基礎上,理解應用協議,再利用模式匹配和統計分析的技術來判明攻擊。例如:某個基於HTTP協議的攻擊含有ABC特徵,如果此數據分散在若干個數據包中,如:一個數據包含A,另外一個包含B,另外一個包含C,則單純的模式匹配就無法檢測,只有基於數據流重組才能完整檢測。而利用協議分析。則只在符合的協議(HTTP)檢測到此事件纔會報警。假設此特徵出現在Mail裏,因爲不符合協議,就不會報警。利用此技術,有效的降低了誤報和漏報。
行爲分析技術不僅簡單分析單次攻擊事件,還根據前後發生的事件確認是否確有攻擊發生,攻擊行爲是否生效,是入侵檢測分析技術的最高境界。但目前由於算法處理和規則制定的難度很大,目前還不是非常成熟,但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術,而不只是依靠傳統的統計分析和模式匹配技術。另外,規則庫是否及時更新也和檢測的準確程度相關。
(2),內容恢復和網絡審計功能的引入
前面已經提到,入侵檢測的最高境界是行爲分析。但行爲分析前還不是很成熟,因此,個別優秀的入侵檢測產品引入了內容恢復和網絡審計功能。
內容恢復即在協議分析的基礎上,對網絡中發生的應爲加以完整的重組和記錄,網絡中發生的任何行爲都逃不過它的監視。網絡審計即對網絡中所有的連接事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火牆可以記錄網絡進出信息,還可以記錄網絡內部連接狀況,此功能對內容恢復無法恢復的加密連接尤其有用。
內容恢復和網絡審計讓管理員看到網絡的真正運行狀況,其實就是調動管理員參與行爲分析過程。此功能不僅能使管理員看到孤立的攻擊事件的報警,還可以看到整個攻擊過程,瞭解攻擊確實發生與否,查看攻擊着的操作過程,瞭解攻擊造成的危害。不但發現已知攻擊,同時發現未知攻擊。不當發現外部攻擊者的攻擊,也發現內部用戶的惡意行爲。畢竟管理員是最瞭解其網絡的,管理員通過此功能的使用,很好的達成了行爲分析的目的。但使用此功能的同時需注意對用戶隱私的保護。
(3),集成網絡分析和管理功能
入侵檢測不但對網絡攻擊是一個檢測。同時,侵檢測可以收到網絡中的所有數據,對網絡的故障分析和健康管理也可起到重大作用。當管理員發現某臺主機有問題時,也希望能馬上對其進行管理。入侵檢測也不應只採用被動分析方法,最好能和主動分析結合。所以,入侵檢測產品集成網管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以後發展的方向。
(4),安全性和易用性的提高
入侵檢測是個安全產品,自身安全極爲重要。因此,目前的入侵檢測產品大多采用硬件結構,黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增強,例如:全中文的圖形界面,自動的數據庫維護,多樣的報表輸出。這些都是優秀入侵產品的特性和以後繼續發展細化的趨勢。
(5),改進對大數據量網絡的處理方法
隨着對大數據量處理的要求,入侵檢測的性能要求也逐步提高,出現了千兆入侵檢測等產品。但如果入侵檢測檢測產品不僅具備攻擊分析,同時具備內容恢復和網絡審計功能,則其存儲系統也很難完全工作在千兆環境下。這種情況下,網絡數據分流也是一個很好的解決方案,性價比也較好。這也是國際上較通用的一種作法。
(6),防火牆聯動功能
入侵檢測發現攻擊,自動發送給放火牆,防火牆加載動態規則攔截入侵,稱爲防火牆聯動功能。目前此功能還沒有到完全實用的階段,主要是一種概念。隨便使用會導致很多問題。目前主要的應用對象是自動傳播的攻擊,如Nimda等,聯動只在這種場合有一定的作用。無限制的使用聯動。如未經充分測試,對防火期的穩定性和網絡應用會造成負面影響。但隨着入侵檢測產品檢測準確度的提高,聯動功能日益趨向實用化。
3 網絡防毒、防蠕蟲技術
目前,從計算機病毒的發展趨勢來看,蠕蟲類的病毒越來越多。與普通感染可執行文件的文件型病毒不同,此類程序通常不感染正常的系統文件,而是將自身作爲系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。
計算機病毒和蠕蟲有多種定義。爲了更好地區分二者,根據 RFC 以及 Eugene Spafford 的定義,蠕蟲的特點是:可以獨立運行,並能把自身的一個包含所有功能的版本傳播到另外的計算機上。而計算機病毒則是一段代碼,能把自身加到其它程序包括操作系統上,不能獨立運行,需要由它的宿主程序運行來激活它。目前,隨着電子郵件系統的廣泛應用,利用電子郵件作爲主要傳播載體的病毒越來越多,並且造成了極大的危害。所以,我們可以將病毒進一步細分爲郵件病毒和普通計算機病毒。
蠕蟲和郵件病毒具備的相同之處就是具有極強的傳染性。設置後門程序、發動拒絕服務攻擊等也往往成爲二者的重要行爲特徵。
由此我們可以看到,控制蠕蟲和郵件病毒的有力手段是網絡傳播途徑,包括郵件傳播、漏洞入侵傳播、共享傳播等;而控制普通計算機病毒的重要手段則是分佈全網所有計算機終端的集中網絡防病毒系統。
全球著名的信息安全教育機構 SANS Institute 將抗蠕蟲( Anti-Worm )解決方案和防火牆、 入侵檢測系統等並列爲安全技術中的一大類。但是目前國內能夠實現抗蠕蟲以及郵件病毒防範的產品只有冠羣金辰公司發佈的 KSG ( KILL Shield Gateway ),該產品被認爲是第一個抗蠕蟲和病毒的網關。
KSG 獨有的抗蠕蟲攻擊技術( Anti-Worm )能夠全方位抵禦所有已知蠕蟲病毒的攻擊和傳播行爲,具有防殺蠕蟲,防殺病毒病毒、防垃圾郵件、內容過濾四大功能,填補了信息安全界的空白。經過兩三年的開發應用, KSG 系列產品已經在多個領域被廣泛使用,得到了用戶的支持,其特點如下:
• 獨有的 Anti-Worm 技術能夠主動防禦蠕蟲病毒引發的病毒傳播、後門漏洞、入侵行爲以及 DoS 攻擊等
• 具有極高的處理能力,支持百兆和千兆網絡環境,確保不成爲網絡瓶頸
• 具有優秀的病毒和蠕蟲檢測和清除引擎,獲得 ICSA 、美國西海岸實驗室、病毒公告板等國際權威機構認證
• 採用專用安全操作系統,杜絕安全隱患
• 透明橋式接入網絡,即插即用,使用和管理方便
4 加密技術
信息交換加密技術分爲兩類:即對稱加密和非對稱加密。具體如下:
4.1 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那麼機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那麼他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密後傳送給對方的。
4.2 非對稱加密技術
在非對稱加密體系中,密鑰被分解爲一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作爲公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作爲私有密鑰(解密密鑰)加以保存。公開密鑰用於加密,私有密鑰用於解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公佈,但它只對應於生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用於身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機複雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
RSA算法是Rivest、Shamir和Adleman於1977年提出的第一個完善的公鑰密碼體制,其安全性是基於分解大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前爲止,無法找到一個有效的算法來分解兩大素數之積。RSA算法的描述如下:
公開密鑰:n=pq(p、q分別爲兩個互異的大素數,p、q必須保密)
e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m爲明文,c爲密文。
解密:m=cd(mod n)
利用目前已經掌握的知識和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
5 PKI技術
PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由於通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關係變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構(CA)、註冊機構(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復、撤消系統等功能模塊的有機結合。
5.1 認證機構(CA)
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明-證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要採取一系列相應的措施來防止電子證書被僞造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關係,而且與整個PKI系統的構架和模型有關。此外,靈活也是CA能否得到市場認同的一個關鍵,它不需支持各種通用的國際標準,能夠很好地和其他廠家的CA產品兼容。
5.2 註冊機構(RA)
RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易於操作的RA系統。
5.3 策略管理
在PKI系統中,制定並實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求,並且能通過CA和RA技術融入到CA 和RA的系統實現中。同時,這些策略應該符合密碼學和系統安全的要求,科學地應用密碼學與網絡安全的理論,並且具有良好的擴展性和互用性。
5.4 密鑰備份和恢復
爲了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關係到整個PKI系統強健性、安全性、可用性的重要因素。
5.5 證書管理與撤消系統
證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命週期裏是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用週期性的發佈機制撤消證書或採用在線查詢機制,隨時查詢被撤消的證書。
6 虛擬專用網技術
虛擬專用網(Virtual Private Network,VPN)是近年來隨着Internet的發展而迅速發展起來的一種技術。現代企業越來越多地利用Internet資源來進行促銷、銷售、售後服務,乃至培訓、合作等活動。許多企業趨向於利用Internet來替代它們私有數據網絡。這種利用Internet來傳輸私有信息而形成的邏輯網絡就稱爲虛擬專用網。
虛擬專用網實際上就是將Internet看作一種公有數據網,這種公有網和PSTN網在數據傳輸上沒有本質的區別,從用戶觀點來看,數據都被正確傳送到了目的地。相對地,企業在這種公共數據網上建立的用以傳輸企業內部信息的網絡被稱爲私有網。
目前VPN主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
6.1 隧道技術
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據幀或包。隧道協議將這些其它協議的數據幀或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱爲隧道。一旦到達網絡終點,數據將被解包並轉發到最終目的地。注意隧道技術是指包括數據封裝,傳輸和解包在內的全過程。
6.2 加解密技術
對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。
6.3 密鑰管理技術
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分爲SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。
6.4 使用者與設備身份認證技術
VPN方案必須能夠驗證用戶身份並嚴格控制只有授權用戶才能訪問VPN。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息。身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
VPN整合了範圍廣泛的用戶,從家庭的撥號上網用戶到辦公室連網的工作站,直到ISP的Web服務器。用戶類型、傳輸方法,以及由VPN使用的服務的混合性,增加了VPN設計的複雜性,同時也增加了網絡安全的複雜性。如果能有效地採用VPN技術,是可以防止欺詐、增強訪問控制和系統控制、加強保密和認證的。選擇一個合適的VPN解決方案可以有效地防範網絡黑客的惡意攻擊。
7 安全隔離
網絡的安全威脅和風險主要存在於三個方面:物理層、協議層和應用層。網絡線路被惡意切斷或過高電壓導致通信中斷,屬於物理層的威脅;網絡地址僞裝、Teardrop碎片攻擊、SYNFlood等則屬於協議層的威脅;非法URL提交、網頁惡意代碼、郵件病毒等均屬於應用層的攻擊。從安全風險來看,基於物理層的攻擊較少,基於網絡層的攻擊較多,而基於應用層的攻擊最多,並且複雜多樣,難以防範。
面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念--"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,並保證可信網絡內部信息不外泄的前提下,完成網間信息的安全交換。
隔離概念的出現,是爲了保護高安全度網絡環境,隔離產品發展至今共經歷了五代。
第一代隔離技術,完全的隔離。採用完全獨立的設備、存儲和線路來訪問不同的網絡,做到了完全的物理隔離,但需要多套網絡和系統,建設和維護成本較高。
第二代隔離技術,硬件卡隔離。通過硬件卡控制獨立存儲和分時共享設備與線路來實現對不同網絡的訪問,它仍然存在使用不便、可用性差等問題,有的設計上還存在較大的安全隱患。
第三代隔離技術,數據轉播隔離。利用轉播系統分時複製文件的途徑來實現隔離,切換時間較長,甚至需要手工完成,不僅大大降低了訪問速度,更不支持常見的網絡應用,只能完成特定的基於文件的數據交換。
第四代隔離技術,空氣開關隔離。該技術是通過使用單刀雙擲開關,通過內外部網絡分時訪問臨時緩存器來完成數據交換的,但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題,往往成爲網絡的瓶頸。
第五代隔離技術,安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制,來實現網絡間的隔離和數據交換,不僅解決了以往隔離技術存在的問題,並且在網絡隔離的同時實現高效的內外網數據的安全交換,它透明地支持多種網絡應用,成爲當前隔離技術的發展方向。
三、 總結
目前,網絡安全領域進入了全方位、專業化的發展道路。網絡安全市場開始多樣化,中國的網絡安全體系正逐漸形成。單一的網絡安全產品已經不足以滿足企業網絡安全的需求,從系統需求分析提出的整體解決方案開始成爲最受青睞的選擇。
下面,將以“冠羣金辰立體防毒體系在中國儲備糧管理總公司系統中的應用”爲例,介紹如何爲企業量身定做安全解決方案。
1,需求
中國儲備糧管理總公司是國有大型企業,目前下屬14個分公司及194個直屬糧食儲備庫(以下簡稱直屬庫)。在信息化迅速發展的形勢下,中國儲備糧管理總公司正在積極地進行網絡信息系統的建設,計劃建設一個包含總公司、分公司和直屬庫的多級計算機網絡系統。該系統劃分爲總公司主控中心爲一級網絡結構,分公司網絡管理系統爲二級網絡結構和直屬庫網絡管理系統爲三級網絡結構。在中國儲備糧管理總公司網絡系統的設計中,對系統的高可靠性、可用性、性能和互聯都做了充分的考慮。目前網絡已經完成了總公司的核心網絡主控中心建設及分公司與總公司內部廣域網建設,總公司和各分公司之間採用DDN或撥號等方式進行互連。
由於中國儲備糧管理總公司計算機網絡系統的內容涉及國家安全,某些數據屬機密,在網絡安全的考慮上,更應該完整而細緻。爲了進一步提高網絡安全性,達到建設一個完整、安全和高效的信息系統的目標,網絡安全問題已經成爲了急需解決的問題。因此,中國儲備糧管理總公司決定搭建一套專門的網絡和信息安全管理系統。經過慎重的調研與篩選,鑑於在整體網絡安全領域的領先地位,成熟的產品與豐富的實施及服務經驗,最終選擇了北京冠羣金辰軟件有限公司作爲此次的解決方案提供及實施廠商。
2,把脈
在信息安全管理系統搭建之前,考慮到中國儲備糧管理總公司目前已經在網絡安全設計上採取了一些比較初步的措施,並且顧及到其進行整體網絡建設的步驟與保護投資等問題,冠羣金辰首先對其網絡中的存在安全問題及隱患進行了細緻的分析,以保證提供方案的針對性與高效性:
首先,中國儲備糧管理總公司現在的業務系統大多是基於客戶/服務器模式和Internet/Intranet網絡計算模式的分佈式應用,用戶、程序和數據可能分佈在世界的各個角落。在這樣一個分佈式應用的環境中,中國儲備糧管理總公司的數據庫服務器、電子郵件服務器、WWW服務器、文件服務器、應用服務器等等每一個都是一個供人出入的“門戶”,只要有一個“門戶”沒有完全保護好-忘了上鎖或不很牢固,“黑客”就會通過這道門進入系統,竊取或破壞所有系統資源。
其次,目前中國儲備糧管理總公司的網絡主要採用TCP/IP作爲網絡通訊協議,主要服務器爲Windows NT操作系統。衆所周知,TCP/IP是以開放性著稱的。系統之間易於互聯和共享信息的設計思路貫穿與系統的方方面面,對訪問控制、用戶驗證授權、實時和事後審計等安全內容考慮較少,只實現了基本安全控制功能,實現時還存在一些這樣那樣的漏洞。實際上,從TCP/IP的網絡層,人們很難區分合法信息流和入侵數據,DoS(Denial of Services,拒絕服務)就是其中明顯的例子。
再次,在中國儲備糧管理總公司中存在着多種應用,包括WWW、郵件系統、數據庫系統等等。這些系統都存一些安全問題。從應用系統(軟件)情況看,目前大多數直屬庫建設了糧情檢測系統,使用單機處理財務、統計、人事和文檔等工作。近期將應用統計、財務、倉儲、人事等獨立的小型數據庫軟件。利用HTTP服務器的一些漏洞,特別是在大量使用服務器腳本的系統上,利用這些可執行的腳本程序,入侵者可以很容易的獲得系統的控制權。同時,中國儲備糧管理總公司的數據庫系統也存在很多安全問題。如何保證和加強數據庫系統的安全性和保密性對於中國儲備糧管理總公司的正常、安全運行至關重要。
此外,雖然中國儲備糧管理總公司當前也對安全問題也做了一定的考慮,並設計了防火牆系統,但是鑑於當前IT系統安全性的嚴重狀況,這些考慮還是比較樸素和初步的,並沒有形成一套完整的防護體系。
3,守倉
根據中國儲備糧管理總公司網絡系統中存在的安全需求,冠羣金辰軟件公司針對其網絡系統架構的特點,提出了構建從邊界防護、傳輸層防護,到核心主機防護的深層防禦體系的解決方案,以確保其網絡系統的安全。根據中國儲備糧管理總公司的建設進度安排,首期將主要部署網絡防病毒體系。
中國儲備糧管理總公司企業網絡系統是建立在總公司、分公司、各直屬庫等基礎上的多級分佈式網絡系統,其網絡構成包括Unix/NT服務器、郵件服務器、Windows95/98等聯網客戶機等,其多級網絡模擬結構圖如下:
因爲病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣,因此在構建企業網絡防病毒系統時,可以通過KILL建立完整的防病毒體系,實施“層層設防、集中控制、以防爲主、防殺結合”的防病毒策略。根據中國儲備糧管理總公司的網絡結構,冠羣金辰公司將其病毒防護體系的部署重點分爲了以下幾個方面:PC機防護、實時保護文件/數據庫服務器、實時防護郵件服務器、實時Internet網關的防護、在關鍵網段部署eTrust入侵檢測、保護核心數據安全。具體的架構及產品在網絡中的部署分佈如下:
在防毒體系的設計中,冠羣金辰公司在中國儲備糧管理北京總公司安裝了一臺KILL反病毒管理服務器作爲全國網絡防毒安全管理中心。在各級分公司各安裝了一臺KILL反病毒管理服務器作爲二級防毒安全管理中心。在中國儲備糧管理總公司全國194個直屬庫中, 則可根據規模和實際管理需要, 安裝KILL反病毒管理服務器作爲第三級網絡防毒安全管理中心,並在各地相應的管理員工作站上安裝管理員客戶端。管理員可以直接通過管理員客戶端登錄到管理服務器進行遠程策略配置分發等管理工作。在網絡中其他服務器和客戶端上分別安裝客戶端產品, 客戶端所有的查殺病毒配置都可以從管理服務器分發獲得。這樣在整個企業網中就形成了一個三級集中管理結構:第一級:北京總部的管理服務器負責總部網絡防毒策略的制定分發和信息收集, 同時負責二級管理服務器羣的策略制定。 總部服務器負責從冠羣金辰網站上下載病毒庫和殺毒引擎升級代碼, 向總部網絡和二級管理中心提供升級服務。
總公司管理員視圖
第二級:二級管理服務器負責各分公司網絡和直屬庫的防毒策略制定和分發, 同時負責向下屬的沒有設置管理中心的直屬庫分發安全策略和升級代碼。
分公司管理員視圖
第三級:三級管理服務器負責自己網絡的客戶端的安全策略的制定和分發。
直屬庫管理員視圖
根據需要,上級管理員可以直接登錄到下級管理控制中心進行安全策略檢查和配置。通過這樣的部署,可以幫助中國儲備糧管理總公司在網絡中所有可能感染和傳播病毒的地方均採取相應的防範手段,從而形成一個完整的網絡防毒體系。此外,該防毒體系的策略設置是通過中央管理臺集中設置的。管理員可以集中制定適用於網絡的所有防毒策略, 然後分別部署到各個組中去, KILL的集中管理功能可以使管理員能夠通過一臺管理服務器完成對網絡中的所有機器的集中配置,在客戶端實現零管理。
4,無憂
防毒體系採用了全平臺統一的殺毒界面,所有操作採用微軟資源管理器風格,操作簡單易用。具備安裝後不需要重新啓動,自動實時升級不需要用戶干預和重新啓動等特性。最大程度上降低了用戶對客戶端的手工操作。此外,充分考慮到在中國儲備糧管理總公司這樣一個大的企業網絡中存在各種不同的操作平臺和應用系統,接入網絡的計算機設備也多種多樣,KILL防病毒產品對全平臺的支持和對資源的極少佔用的特點可以使用戶在最大程度上保持自己原有的配置不變,而且版本的向下兼容與集成管理能夠在最大限度上保護用戶已有的投資。
目前,該防毒體系已經在中國儲備糧管理總公司投入使用,從各個環節增強了其網絡系統對於病毒的免疫力,從而爲有效的確保了中國儲備糧管理總公司信息系統的高可靠性、可用性及高性能。