1 .网络安全概述
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
2 .物理安全分析
网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
3 .网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
4 .系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot 的Windows NT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。因此,我们可以得出如下结论:没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
5 .应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。
--应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
--应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
6 .管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。
7 .网络安全措施
--物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。
--访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
--数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
防止计算机网络病毒,安装网络防病毒系统。
--其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
传统意义上的防火墙技术分为三大类,“包过滤”(packet filtering)、“应用代理”(application proxy)和“状态监视”(stateful inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”(static packet filtering),使用包过滤技术的防火墙通常工作在osi模型中的网络层(network layer)上,后来发展更新的“动态包过滤”(dynamic packet filtering)增加了传输层(transport layer),简而言之,包过滤技术工作的地方就是各种基于tcp/ip协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则(filtering rule)进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效,但是这种技术只能根据预设的过滤规则进行判断,一旦出现一个没有在设计人员意料之中的有害数据包请求,整个防火墙的保护就相当于摆设了。也许你会想,让用户自行添加不行吗?但是别忘了,我们要为是普通计算机用户考虑,并不是所有人都了解网络协议的,如果防火墙工具出现了过滤遗漏问题,他们只能等着被入侵了。一些公司采用定期从网络升级过滤规则的方法,这个创意固然可以方便一部分家庭用户,但是对相对比较专业的用户而言,却不见得就是好事,因为他们可能会有根据自己的机器环境设定和改动的规则,如果这个规则刚好和升级到的规则发生冲突,用户就该郁闷了,而且如果两条规则冲突了,防火墙该听谁的,会不会当场“死给你看”(崩溃)?也许就因为考虑到这些因素,至今我没见过有多少个产品会提供过滤规则更新功能的,这并不能和杀毒软件的病毒特征库升级原理相提并论。为了解决这种鱼与熊掌的问题,人们对包过滤技术进行了改进,这种改进后的技术称为“动态包过滤”(市场上存在一种“基于状态的包过滤防火墙”技术,即stateful-based packet filtering,他们其实是同一类型),与它的前辈相比,动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,会对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输,但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理,所以与静态包过滤相比,它会降低运行效率,但是静态包过滤已经几乎退出市场了,我们能选择的,大部分也只有动态包过滤防火墙了。
基于包过滤技术的防火墙,其缺点是很显著的:它得以进行正常工作的一切依据都在于过滤规则的实施,但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比),而且它只能工作于网络层和传输层,并不能判断高级协议里的数据是否有害,但是由于它廉价,容易实现,所以它依然服役在各种领域,在技术人员频繁的设置下为我们工作着。
2.应用代理技术
由于包过滤技术无法提供完善的数据保护措施,而且一些特殊的报文攻击仅仅使用过滤的方法并不能消除危害(如syn攻击、icmp洪水等),因此人们需要一种更全面的防火墙保护技术,在这样的需求背景下,采用“应用代理”(application proxy)技术的防火墙诞生了。我们的读者还记得“代理”的概念吗?代理服务器作为一个为用户保密或者突破访问限制的数据转发通道,在网络上应用广泛。我们都知道,一个完整的代理设备包含一个服务端和客户端,服务端接收来自用户的请求,调用自身的客户端模拟一个基于用户请求的连接到目标服务器,再把目标服务器返回的数据转发给用户,完成一次代理工作过程。那么,如果在一台代理设备的服务端和客户端之间连接一个过滤措施呢?这样的思想便造就了“应用代理”防火墙,这种防火墙实际上就是一台小型的带有数据检测过滤功能的透明代理服务器(transparent proxy),但是它并不是单纯的在一个代理设备中嵌入包过滤技术,而是一种被称为“应用协议分析”(application protocol analysis)的新技术。
“应用协议分析”技术工作在osi模型的最高层——应用层上,在这一层里能接触到的所有数据都是最终形式,也就是说,防火墙“看到”的数据和我们看到的是一样的,而不是一个个带着地址端口协议等原始内容的数据包,因而它可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,在用户方面和外界线路看来,它们之间的连接并没有任何阻碍,但是这个连接的数据收发实际上是经过了代理防火墙转向的,当外界数据进入代理防火墙的客户端时,“应用协议分析”模块便根据应用层协议处理这个数据,通过预置的处理规则(没错,又是规则,防火墙离不开规则)查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,甚至可以识别类似于“get /sql.asp?id=1 and 1”的数据内容,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样“看”内容辨危害。而且由于工作在应用层,防火墙还可以实现双向限制,在过滤外部网络有害数据的同时也监控着内部网络的信息,管理员可以配置防火墙实现一个身份验证和连接时限的功能,进一步防止内部网络信息泄漏的隐患。最后,由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,根本没有给分隔在内外部网络两边的计算机直接会话的机会,可以避免入侵者使用“数据驱动”攻击方式(一种能通过包过滤技术防火墙规则的数据报文,但是当它进入计算机处理后,却变成能够修改系统设置和用户数据的恶意代码)渗透内部网络,可以说,“应用代理”是比包过滤技术更完善的防火墙技术。
但是,似乎任何东西都不可能逃避“墨菲定律”的规则,代理型防火墙的结构特征偏偏正是它的最大缺点,由于它是基于代理技术的,通过防火墙的每个连接都必须建立在为之创建的代理程序进程上,而代理进程自身是要消耗一定时间的,更何况代理进程里还有一套复杂的协议分析机制在同时工作,于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象,换个形象的说法,每个数据连接在经过代理防火墙时都会先被请进保安室喝杯茶搜搜身再继续赶路,而保安的工作速度并不能很快。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在网络吞吐量不是很大的情况下,也许用户不会察觉到什么,然而到了数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工,整个网络可能就会因此瘫痪了。所以,代理防火墙的普及范围还远远不及包过滤型防火墙,而在软件防火墙方面更是几乎没见过类似产品了——单机并不具备代理技术所需的条件,所以就目前整个庞大的软件防火墙市场来说,代理防火墙很难有立足之地。
3.状态监视技术
这是继“包过滤”技术和“应用代理”技术后发展的防火墙技术,它是checkpoint技术公司在基于“包过滤”原理的“动态包过滤”技术发展而来的,与之类似的有其他厂商联合发展的“深度包检测”(deep packet inspection)技术。这种防火墙技术通过一种被称为“状态监视”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则作出安全决策。
“状态监视”(stateful inspection)技术在保留了对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上,进一步发展了“会话过滤”(session filtering)功能,在每个连接建立时,防火墙会为这个连接构造一个会话状态,里面包含了这个连接数据包的所有信息,以后这个连接都基于这个状态信息进行,这种检测的高明之处是能对每个数据包的内容进行监视,一旦建立了一个会话状态,则此后的数据传输都要以此会话状态作为依据,例如一个连接的数据包源端口是8000,那么在以后的数据传输过程里防火墙都会审核这个包的源端口还是不是8000,否则这个数据包就被拦截,而且会话状态的保留是有时间限制的,在超时的范围内如果没有再进行数据传输,这个会话状态就会被丢弃。状态监视可以对包内容进行分析,从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术,因此是最先进的,但是由于实现技术复杂,在实际应用中还不能做到真正的完全有效的数据安全检测,而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施(市面上大部分软件防火墙使用的其实只是包过滤技术加上一点其他新特性而已)。
四. 技术展望
防火墙作为维护网络安全的关键设备,在目前采用的网络安全的防范体系中,占据着举足轻重的位置。伴随计算机技术的发展和网络应用的普及,越来越多的企业与个体都遭遇到不同程度的安全难题,因此市场对防火墙的设备需求和技术要求都在不断提升,而且越来越严峻的网络安全问题也要求防火墙技术有更快的提高,否则将会在面对新一轮入侵手法时束手无策。
多功能、高安全性的防火墙可以让用户网络更加无忧,但前提是要确保网络的运行效率,因此在防火墙发展过程中,必须始终将高性能放在主要位置,目前各大厂商正在朝这个方向努力,而且丰富的产品功能也是用户选择防火墙的依据之一,一款完善的防火墙产品,应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能,并拥有自己特色的安全相关技术,如规则简化方案等,明天的防火墙技术将会如何发展,让我们拭目以待。
1、安全,合适最重要! 不要把安全太当一回事,也不要把安全不当一回事;太看重安全的是傻瓜,安全从来只不过是辅助的位置,咱们不能主次颠倒;太忽视安全的是蠢材,因为安全虽然处于辅助的位置,但是却是非常必要的,自以为可以眼不见为净,可以省下一点钱,可也许自己已经不知不觉遭受了很大的损失也不知道。 有些类型的客户,他们的企业业务已经充分建立在信息化网络化的基础上,离开了网络,公司的业务就会受到严重影响;对这种客户,有了安全不见得对企业效益有什么很大的帮助,但是没有了安全,企业也许就会随时遭受重大的损失,而这个损失可能会远远超出所需要的安全体系建设投入。对这类客户,安全已经是无法忽视的了。 也有些客户,他们的网络算是比较大,但是应用不是非常深入,简单的应用比较多,对这种客户,如何深入地信息化,是首先考虑的问题,安全相对来说,并不紧迫,不过,由于有些安全问题会直接影响到网络和系统的稳定性,并且内部的安全隐患存在着很大的风险不确定性,这样也会影响到工作的开展;所以,对这类客户,适当的安全投入是应该的。 对有些业务类型的客户,他们的企业业务发展所面临的市场竞争格局已经面临压力,不通过加强信息化建设就会给淘汰,但是处于对安全的顾忌,一直不能放心地充分利用信息网络化来提高自身的竞争力,这类企业,安全体系的建设也许就是当前重中之重的事情,而不是可有可无的事情了。 安全只需要基本的防护,合适自己的情况就可以;对普通企业,你永远不可能奢望电信级别的安全,因为没有这个实力,也因为需要保护的信息资产没有贵重到如此的地步。既然还有更高等级的安全等级,说明就有更大的风险存在;因此,对任何企业来说,安全和风险都是相对的;我们只需要合适自己需要保护的信息资产的安全解决方案就可以,超过了这个解决方案能够管理和解决的风险问题,应该交给法律来规范;没有了法律,该安全的时候安全,该出事的时候还是会出事。 我们不需要用网络战争的高度来构建安全体系,合适最重要。 从长远来看,靠国家法律法规的完善,企业内部管理制度的完善,积极规范网络行为才是治本之道,网络中存在的安全问题,不是靠技术,靠产品能够完全解决的,这些只能起到辅助和监控的作用;就向现实中的社会一样,不能光靠武器和保镖来保障我们的安全。
2、安全,要从上到下的重视! 高层没有安全意识,就会漠视或者不重视网管技术部门的工作,或者认为出了问题靠技术部门的人就会解决,导致技术部门的安全建设工作周期长,成本就会增高,成本高了,高层往往更谨慎投入;恶性循环;根本之道,要让所有的企业高层意识到建设安全体系,维护自己在4维度网络世界利益的重要性。把项目成本降下来,改善流程,促进良性循环。
3、安全投资是企业节省成本,提高竞争力的有效手段! 安全投资是非常值得的投入,是一种节省企业运营成本的非常有用的手段;因为只需要少量的投入,建设好基本而贴身的安全体系,起到保障了企业业务运行的作用,让企业效益有了保证;依次同时,减低了一些风险和无形的浪费,一些风险的存在极大地提高了公司的成本,适当的安全建设可以保持企业躯体的健康。例如,也许企业内部花费了很大心血通过市场调查而来的结果,或者经过长时间研发出来的最新成果,轻易地流失出去,落到竞争对手那里;会使这些成果顿失价值,而且错失良机,再例如,由于缺乏适当的管理工具,企业内部非正常网络运用例如聊天,下载电影,玩游戏等,导致企业效率降低,此番种种,都直接导致了企业成本的增加,效率的降低。安全投入相对于这些损失来说,实在是微乎其微。 一般情况下,安全的投入可以保障企业在相当长一段时期内处于低风险阶段,平均分摊下来,安全投资甚至少到每天才几元钱。而这几元的作用却是非常关键,直接关联到企业的竞争力。
4、服务是真金子,要重视服务,不要为了省钱而做安全。 服务才是真金子;我们所说的服务贯穿始终,并非纯指技术性服务,从刚开始接触客户,到评估网络,出方案,进行测试,然后是采购商务流程,实施,售后支持等等,每一步都体现以客户为中心的理念,从头到尾,作为一家专业的安全服务公司,是需要投入大量的人力物力和精力的,而这些都会最终成为运作成本,也会成为项目成本;而这些只有真正走专业化的安全服务公司才能体会,非纯贸易型公司所能感受。 在实际的项目中,客户技术部门和相关安全公司会花费很多精力进行前期的工作,但是到了采购和商务流程,采购人员或者决策人员往往只重价格,忽略了其他必须注意的因素,忽视了前期和后期的服务成本,如此导致的结果,往往是客户花了很多钱建设安全,最终却为了节省那么一小部分钱而斤斤计较,而这些钱往往也就是安全服务公司为了把服务做好必要的利润空间;用最少的钱把事情做好,对任何企业来说,都是合情合理的,不过,可别变成了为了省钱而做网络安全的工作了,这样一来,客户花了钱没把事情做好,后患无穷,安全服务公司前期的各种投入也白白浪费,双输!这一点,决策层更应该意识到,选择相关安全产品来为自身企业提供保障还是有一定的特殊性的,尽量做更周详的考虑好一点。5、重视高端/敏感人物信息安全
敏感的信息资产需要保护,因为敏感信息资产直接关系到客户的核心业务是否能安全可靠稳定地运行;高端/敏感的岗位也需要给予足够的关注和保护,因为这些岗位人员的一举一动,影响深远,关键的时候,些许疏忽,也能造成重大而不可挽回的损失和影响。如竞争激烈行业的上市企业高层及敏感人物,机要部门人物,明星等,他们往往需要利用网络带来的无限便利性,提升自己的竞争力,在这个片刻千金的时代,通过各种终端访问网络、发送包含商业机密和重大决策文件等敏感邮件的时候常常存在,但是由于非专业性,现实中强势的人物在网络上也会立刻处于非常弱势和被动的处境,常无法意识到网络上怎样的行为会带来风险,无法判断自身所处的网络环境是否可靠,也不知道如何来保护自己等等;我们可以为这些群体开展以下一些支持:
协助高层更好地理解内部信息安全体系,更合理地进行决策,促进信息安全建设
评估个人信息安全性,本机面临公司内部和外部而来的威胁
严重补丁提供加固
病毒,木马,蠕虫防护
传输安全防护
良好安全习惯培训
旅途威胁处理(如在酒店上网进行商务操作)
笔记本失窃处理(意外防护)
口令强度评估
攻击分析
紧急响应
电话咨询/现场解答
定期安全知识培训
月刊提供
机器损坏数据快速安全恢复,不被泄露
评估数据是否已经泄密
提供安全浏览保证,避免个人喜好习惯等泄露
6、不断提醒内部员工,增强网络安全意识
根据调查,引发网络安全事件的原因中,因“利用未打补丁或未受保护的软件漏洞”,占50.3%;对员工不充分的安全操作和流程的培训及教育占36.3%;紧随其后的是缺乏全面的网络安全意识教育,占28.7%。因此,要用直观、易懂、演示性的方式来加强员工的网络安全意识水平,降低企业面临的各种风险,提高竞争力。并且要像广告一样,经常提醒员工,才能达到更好的效果。可以培训的内容和形式有:
IT系统安全的发展趋势
安全口令的结构
口令的重要性和保护方法
口令是如何泄漏的?- 演示
本地键盘操作
网络窃听
远程入侵
暴力破解
口令破解-演示
木马和恶意代码-演示
电子邮件和浏览内容的安全问题
明文传输的安全问题
最新的高风险病毒分析
局域网安全隐患-演示
Win2000/NT口令传输安全问题
Win98共享安全问题
远程控制/管理Win98,Win2000
邮件文件安全问题
交换环境下信息嗅探和监听
内部入侵桌面系统全过程
保护本地数据的方法 (Office文档,压缩文档。。。)
如何保护直接连接因特网的个人电脑
物理安全的重要性-演示
良好的安全习惯。
