【51CTO.com 独家特稿】企业网络及应用层由于网络的开发性、网络协议等自身设计的薄弱和脆弱性以及由于经济利益驱动而导致的黑客技术的攻击性和目标性的不断增强等原因,经受着来自网络和应用等多层次、多方面的网络威胁和攻击。可以说,企业网络信息安全能否得以保障,在绝大程度上取决于这个层次的安全防护技术的部署,本文将从企业网络及应用层面临的网络威胁出发,阐述该层所必需的一些安全防护技术。
1、企业网络及应用层面临的网络威胁
最近的研究表明,安全问题是企业目前面临的最大挑战。来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难,并最终影响企业的盈利能力和客户满意度。此外,中小型企业还要注意遵从为了保护消费者隐私和保障电子信息安全而制定的各种法律法规。
1.蠕虫和病毒
计算机蠕虫和病毒是最常见的一类安全威胁。调查显示,去年有75%的中小型企业感染过一种以上的病毒。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性,其传播速度也更快,甚至能在片刻间感染整个办公场所,而要清除被感染计算机中的病毒所要耗费的时间也更长。可能造成的严重后果包括遗失订单、破坏数据库和降低客户满意度。虽然企业可以通过给计算机安装防病毒软件和升级操作系统补丁来加以防范,但是新病毒仍会随时突破这些防线。同时,公司员工也可能通过访问恶意网站、下载不可靠的资料或打开含有病毒代码的电子邮件附件在不经意间传播病毒和间谍软件,进而给企业造成巨大的经济损失。网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。
2.信息窃取
信息窃取是一个大问题。网络黑客通过入侵企业网络盗取客户的信用卡和社会保障号码而牟利。相对于大型企业,中小型企业的防范措施较弱因而更易遭受攻击。仅仅在物理周边加强防范还远远不够,因为黑客可能会伙同公司内部人员,如员工或承包商,一起作案。信息窃取会对中小型企业的发展造成严重影响,因为它会破坏中小型企业赖以生存的企业商誉和客户关系。此外,没能采取充分措施保障信息安全的企业也可能会面临负面报道、政府罚金和法律诉讼等问题。例如,美国加利福尼亚州在新出台的消费者权益保护法中规定,任何企业在发现自己的客户信息泄漏给非授权人员后必须马上通知所有的客户。任何安全策略必须能够在企业内部和外部对敏感的电子信息进行保护。
3.业务有效性
计算机蠕虫和病毒会严重影响企业网络的可靠性,进而影响企业对客户请求的响应速度。然而,蠕虫和病毒并不是威胁业务有效性的唯一因素。随着企业运营与网络越来越密不可分,网络恐怖分子以破坏公司网站和电子商务运行为威胁,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击会占用关键网络组件的大量带宽,使其无法正常处理用户的服务请求。结果是灾难性的:数据和订单丢失,客户请求被拒绝。而当被攻击的消息公之于众后,企业的声誉也会受到影响。虽然见诸报端的DoS攻击主要发生在银行和全球500强企业,但实际上中小型企业由于自身较弱的防范能力而更易遭到攻击。此外,其他攻击形式也会影响中小型企业的业务有效性,并进而影响企业的盈利能力和客户满意度。例如,资源窃取攻击会入侵企业的计算机和网络,并利用这些设备进行非法的文件(如音乐、电影和软件)交换服务。然而企业很难发现这种安全漏洞,它们的计算机和网络响应客户请求的速度会大打折扣,而且还会因参与非法的文件交换而面临法律诉讼的危险。
4.垃圾邮件
2006年最后一个季度垃圾邮件猛增,这在很大程度是由于基于图像的垃圾邮件可以逃避大部分反垃圾邮件过滤器造成的。由于发送大量垃圾邮件的成本很低--特别是通过"僵尸网络"(botnet)。因此,网络犯罪将更多地采用这种介质发布木马病毒。
2、拒绝服务攻击防护技术
DoS的英文全称是Denial of Service,也就是"拒绝服务"的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS是一种很简单但又很有效的进攻方式。其目的就是拒绝你的服务访问,破坏服务器的正常运行,最终会使用户的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程是:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。#p#
DDoS(分布式拒绝服务),其英文全称为Distributed Denial of Service,是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎和政府部门的站点。通常,DoS攻击只要一台单机和一个MODEM就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
拒绝服务攻击攻击很难解决。首先,被用来探测DDoS和DoS击的网络流没有统一的特征;其次,DDoS布式特性使得它们极难被抵抗或追踪;再次,配置拒绝服务攻击的自动化的工具可以非常容易的下载得到,攻击者也可以使用IP伪装技术来隐藏他们的真实身份,这就导致拒绝服务攻击的追踪更加困难。当前,较为成熟和可用的决绝服务攻击防护技术包括:
(1)入侵预防:对所有攻击最好的缓解策略就是完全拦截这些攻击。这个阶段首先是要阻断已经发动的DoS攻击,有许多DoS防御机制试图使系统免遭DoS攻击:
I)入口过滤:设置一个路由器来禁止带有非法源地址的包进入网络;
II)出口过滤:确定了离开网络的分配的地址空间;
III)基于历史的IP地址过滤:可以利用边路由器根据之前建立的地址数据库根据路由器之前的连接历史来允许包进入。
(2)关闭不使用的服务:通常如果网络服务不需要或没有使用,则可以关闭这些服务来阻止攻击发生的可能。
(3)应用安全补丁。
(4)负载平衡:使网络提供方在重要的连接上增加带宽,并防止万一攻击发生时带宽下降。
(5)使用蜜罐:是具有一定安全性的系统,用来欺骗攻击者来攻击蜜罐而不是真正的系统。
3、垃圾邮件防护技术
随着Internet的发展,电子邮件作为一种通信方式逐渐普及。当前电子邮件的用户已经从科学和教育行业发展到了普通家庭中的用户,电子邮件传递的信息也从普通文本信息发展到包含声音、图像在内的多媒体信息。电子邮件的廉价和操作简便在给人们带来巨大便利的同时,也诱使有些人将之作为大量散发自己信息的工具,最终导致了互联网世界中垃圾邮件的泛滥。垃圾邮件问题已经极大地消耗了网络资源,并给人们带来了极大的不便。据中国互联网协会(ISC)2005年第一次反垃圾邮件状况调查显示,中国邮件用户2005年4月平均每人每天收到邮件16.8封,占收到邮件总数的60.87%。
(1)SMTP用户认证
这是目前最常见、最简单并且十分有效的方法。在邮件传送代理(Mail Transport Agent,MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用,又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证,则在不牺牲安全的前提下,设立面向互联网的Web邮件网关也是可行的。此外,如果SMTP服务和POP3服务集成在同一服务器上,在用户试图发信之前对其进行POP3访问验证就是一种更加安全的方法,目前,新浪等大型网站都相继采用了该功能,使得这些大型服务商的服务器被利用来发送垃圾邮件的概率大大降低,同时,在应用的时0候当前支持这种认证方式的邮件客户端程序比较出色的是FoxMail。#p#
(2)逆向DNS解析
无论哪一种认证,其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用,但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题,最简单有效的方法是对发送者的IP地址进行逆向名字解析,即通过DNS查询来判断发送者的IP与其声称的名字是否一致,例如,其声称的名字为pc.sina.com,而其连接地址为120.20.96.68,与其DNS记录不符,则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件,对于某些使用动态域名的发送者,也可以根据实际情况进行屏蔽。但是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此,更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。需要指出的是,逆向名字解析需要进行大量的DNS查询。这样,在网络中将会出现大量的UDP数据包。
(3)黑名单过滤
黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库,最著名的是RBL、DCC和Razor等。这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址,供MTA进行实时查询以决定是否拒收相应的邮件。简单地说,即数据库中保存的IP地址或者域名都应该是非法的,都应该被阻断。但是,目前各种黑名单数据库难以保证其正确性和及时性,一般该名单的形成需要一段时间的积累。例如,曾经一段时期,北美的RBL和DCC包含了我国大量的主机名字和IP地址,其中有些是早期的Open Relay造成的,有些则是由于误报造成的。但这些迟迟得不到纠正,在一定程度上阻碍了我国与北美地区的邮件联系,也妨碍了我国的用户使用这些黑名单服务。
(4)白名单过滤
白名单过滤是相对于上述的黑名单过滤来说的。它建立的数据库的内容和黑名单的一样,但是其性质是:库中存在的都是合法的,不应该被阻断。同样,该过滤方法存在的缺点与黑名单类似,也是更新和维护难以达到实时,一些正常的、不为系统白名单所收集的邮件有可能被阻断。从应用的角度来说,在小范围内使用白名单是比较成功的,可以通过在企业或者是公司的网关处通过一段时间内获取由内部发出的邮件的相关信息的办法来生成白名单。
(5)内容过滤
即使使用了前面诸多环节中的技术,仍然会有相当一部分垃圾邮件漏网。对此情况,目前最有效、最根本的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是,结合内容扫描引擎,根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是,基于贝叶斯概率理论的统计方法、支持向量机(SVM)方法、人工神经网络、Winnow等方法所进行的内容过滤,这些方法的理论基础是通过对大量垃圾邮件中常见关键词等采用上述方法进行机器学习后分析后得出其分布的统计模型,并由此推算目标邮件是垃圾邮件的可能性。这些方法具有一定的自适应、自学习能力,目前已经得到了广泛的应用。最有名的垃圾邮件内容过滤是Spamassassin,它使用Perl语言实现,集成了以上两种过滤方法,可以与当前各种主流的MTA集成使用。内容过滤是以上所有各种方法中耗费计算资源最多、最有效的办法,在邮件流量较大的场合,需要配合高性能服务器使用。
4、病毒防护技术
对于当今网络来说,病毒和蠕虫成为了一对"孪生兄弟",两者几乎总会同时出现,而且对企业网络及其应用系统造成的危害也是非常致命的。从病毒的发展过程我们可以看出病毒有如下的发展趋势:
◆病毒向有智能和有目的的方向发展
◆未来凡能造成重大危害的,一定是"蠕虫"。"蠕虫"的特征是快速地不断复制自身,以求在最短的时间内传播到最大范围。
◆病毒开始与黑客技术结合,他们的结合将会为世界带来无可估量的损失#p#
◆从Sircam、"尼姆达"、"求职信"、"中文求职信"到"中国黑客",这类病毒越来越向轻感染文件、重复制自身的方向发展。
◆病毒的大面积传播与网络的发展密不可分
◆基于分布式通信的病毒很可能在不久即将出现
◆未来病毒与反病毒之间比的就是速度,而增强对新病毒的反应和处理速度,将成为反病毒厂商的核心竞争力之一。
当今有几种典型反病毒技术:
◆特征值技术:所谓特征值查毒法,就是在获取病毒样本后,提取出其特征值,然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值,这说明感染了这种病毒,然后针对性地解除病毒;
◆虚拟机技术:随着病毒技术的发展,加密技术渐渐成熟起来,很多病毒的特征都在那么容易提取。这样,虚拟机杀毒技术出现,所谓虚拟机技术,就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,看看他的执行效果。由于加密的病毒在执行时最终还是要解密的。这样,在其解密之后我们可以通过特征值查毒法对其进行查杀;
◆启发式扫描技术:新病毒不断出现,传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了。一个病毒总存在其与普通程序不一般的地方,譬如他会格式化硬盘,重定位,改回文件时间,修改文件大小,能够传染等等,通过在各个层面进行病毒属性的确定和加权,就能发现新的病毒;
◆计算机病毒疫苗:"计算机病毒免疫"发源于生物免疫技术,就象为动物注射某种病毒的免疫疫苗后可以对此病毒产生自然抵抗能力一样。"计算机病毒免疫"就是一种具有类似特点的技术,它的设计目标是不依赖于病毒库的更新而让电脑具有对所有病毒的抵抗能力。普通防毒软件的最大缺点是总要等到病毒出现后才能制定出清除它的办法,并且还要用户及时的升级到新的病毒库。这就让病毒有更多的机会去蔓延传播,而病毒免疫则完全打破这种思路,它可以让电脑具有自然抵抗新病毒的能力,当有新病毒感染计算机系统时不用升级病毒库而同样可以侦测出它。
5、密码技术和PKI技术
随着计算机网络和计算机通讯技术的发展,计算机密码学得到前所未有的重视并迅速普及和发展起来。在国外,它已成为计算机安全主要的研究方向。密码学是一门古老而深奥的学科,对一般人来说是非常陌生的。长期以来,只在很小的范围内使用,如军事、外交、情报等部门。计算机密码学是研究计算机信息加特别是20世纪70年代后期,由于计算机、电子通信的广泛使用,现代密码学得到了空前的发展。
除了提供机密性外,密码学可以为企业安全需要提供三方面的功能:鉴别、完整性和抗抵赖性。这些功能是通过计算机进行社会交流,至关重要的需求。
鉴别:消息的接收者应该能够确认消息的来源;入侵者不可能伪装成他人。
完整性:消息的接收者应该能够验证在传送过程中消息没有被修改;入侵者不可能用假消息代替合法消息。
抗抵赖性:发送消息者事后不可能虚假地否认他发送的消息。
基于密钥的算法通常有两类:对称算法和公开密钥算法(非对称算法)。对称算法有时又叫传统密码算法,加密密钥能够从解密密钥中推算出来,反过来也成立。在大多数对称算法中,加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前,协商一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加解密。公开密钥算法(非对称算法)的加密的密钥和解密的密钥不同,而且解密密钥不能根据加密密钥计算出来,或者至少在可以计算的时间内不能计算出来。之所以叫做公开密钥算法,是因为加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。加密密钥叫做公开密钥(简称公钥),解密密钥叫做私人密钥(简称私钥)。#p#
对称加密系统最著名的是美国数据加密标准DES、AES(高级加密标准)和欧洲数据加密标准IDEA。而自公钥加密问世以来,学者们提出了许多种公钥加密方法,它们的安全性都是基于复杂的数学难题。
根据所基于的数学难题来分类,有以下三类系统目前被认为是安全和有效的:大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA)。当前最著名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出的(简称为RSA系统),它的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题,至今没有有效的方法予以解决,因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法,大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。从某种意义上讲,PKI包含了安全认证系统,即安全认证系统-CA/RA系统是PKI不可缺的组成部分。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。X.509格式的证书和证书废除列表(CRL);CA/RA操作协议;CA管理协议;CA政策制定。
从广义上讲,所有提供公钥加密和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看,数据的完整性是指数据在传输过程中不能被非法篡改,数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,一个典型、完整、有效的PKI应用系统至少应具有以下部分:
◆公钥密码证书管理。
◆黑名单的发布和管理。
◆密钥的备份和恢复。
◆自动更新密钥。
◆自动管理历史密钥。
◆支持交叉认证。
6、IPSec技术
在网络层实现安全服务有很多的优点。首先,由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构,密钥协商的开销被大大地削减了。其次,若安全服务在较低层实现,那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。IPSec 针对攻击原型的安全措施。IPsec提供三项主要的功能:认证功能(AH),认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务;ESP分为两部分,其中ESP头提供数据机密性和有限抗流量分析服务,在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。#p#
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法,以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:保护IP数据包安全;为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理,三者共同实现上述两个目标,IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有
IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
◆验证:通过认证可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
◆数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
◆保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
7、访问控制技术
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的"证件"、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问"资费"用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
(2)权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。
(3)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。#p#
(4)属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
(5)服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
8、防火墙技术
防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之所以能保护企业内部网络,就是依据这样的工作原理或者说是防护机制进行的。它可以由管理员自由设置企业内部网络的安全策略,使允许的通信不受影响,而不允许的通信全部被拒绝于内部网络之外。
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
◆防火墙包过滤技术
◆用户身份验证防火墙:一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
◆多级过滤技术:所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
◆病毒防火墙:使防火墙具有病毒防护功能。现在通常被称之为病毒防火墙,当然目前主要还是在个人防火墙中体现,因其为纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少企业的损失。
◆防火墙的体系结构
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC(特殊应用集成电路,Application Specific Integrated Circuit)的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,需要在很大程度上依赖于软件的性能;但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。#p#
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得其缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
◆防火墙的系统管理
总体说来,防火墙的系统管理有如下几种发展趋势:
◆集中式管理:集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。
◆强大的审计功能和自动日志分析功能:这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可让管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。
◆网络安全产品的系统化:随着网络安全技术的发展,现在有一种体系结构的提法,叫做"建立以防火墙为核心的网络安全体系"。因为实践表明,仅使用现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
9、入侵检测技术
Intrusion Detection System(入侵检测系统)顾名思义,便是对入侵行为的发觉,其通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。通常说来,其具有如下几个功能:
◆监控、分析用户和系统的活动。
◆核查系统配置和漏洞。
◆评估关键系统和数据文件的完整性。
◆识别攻击的活动模式并向网管人员报警。
◆对异常活动的统计分析。
操作系统审计跟踪管理,识别违反政策的用户活动。
按照技术以及功能来划分,入侵检测系统可以分为如下几类:
◆基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
◆基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
◆采用上述两种数据来源的分布式入侵检测系统:能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,一般为分布式结构,由多个部件组成。#p#
10、统一威胁管理技术
UTM是与企业防火墙、入侵检测和防御以及防病毒等结合为一体的设备,将成为未来的应用趋势。IDC同时预测,UTM市场到2008年将占整个信息安全市场的半壁江山,达到57.6%。UTM的一个特点是可以只用到该产品的某一个专门用途,比如用于网关防病毒或是用于内部的入侵检测,也可以全面应用所有功能。当UTM作为一种单点产品来应用时,企业能获得统一管理的优势,并且也能在不增加新设备的情况下开启自身需要的任何功能。UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能。
UTM技术可以进行改良的信息包检查,识别应用层信息,命令入侵检测和阻断,蠕虫病毒防护以及高级的数据包验证机制。这些特性和技术使得IT管理人员可以很容易地控制如Instant Message信息传输,BT多线程动态应用下载,Skype等新型软件的应用,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。同时,设备可以支持动态的行为特征库更新,更具备7层的数据包检测能力。完全克服了目前市场上深度包检测的技术弱点。特别针对分包攻击的内容效果明显。但UTM技术必须要有强大的硬件平台支撑,否则,难以适应当前的网络性能要求。
UTM的应用优势在于:
◆降低安全管理复杂度
◆集成的维护平台
◆单一服务体系结构
◆集中的安全日志管理
◆组合式的安全保护
◆应用的灵活性
◆良好的可扩展性
◆进一步降低成本
UTM设备可以减少与安全功能相关的采集,安装,管理支出,确保企业网络的连续性,和可用性,为目前流行的安全威胁提供有效的防御。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】