第1部分 操作系统安全
第1章 网络安全概述
通常情况下,“安全”是指抵抗风险的能力和状态,意味着受到保护,免受那些有意或其他方式产生危害的攻击。网络安全系统是指保障计算机网络通信免受来自各方面的入侵或攻击的整体系统,通常包括系统安全、访问安全、接入安全、存储安全、设备安全等方面。随着网络应用的不断扩展,人们对网络安全的要求也不断提高,甚至许多国家的政府部门都不惜投入大量的人力、物力和财力,来提高计算机网络系统的安全性。
1.1 网络安全基础
计算机网络是地理上分散的多台计算机互联的集合,借助相关的通信协议和网络链路实现资源共享和网络通信。计算机网络安全的脆弱性是伴随计算机网络一同产生的,换言之,安全脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制地提高其安全性能。
1.1.1 网络安全的含义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受任何破坏、更改和泄露,确保系统能连续可靠正常运行,确保网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。为了保证计算机网络的安全性,通常需要从计算机安全、链路传输安全、网络应用和服务安全等多方面入手。
计算机网络安全之所以如此重要,其主要原因在于:
存储和处理重要信息的政府部门的计算机,往往直接关系到国家政治稳定、经济兴衰、军事国防等领域,而这些重要机密信息往往成为不法分子、敌对势力热衷的攻击目标。
随着计算机系统功能的不断扩展,系统组成越来越复杂、系统规模越来越大,特别是Internet的迅猛发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的漏洞都可能造成巨大的损失。
人们对计算机系统的依赖性越来越强,甚至在有些领域这种依赖已经无法替代。
计算机应用人员技术水平有限,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误和缺乏经验,都会造成系统的安全功能不足。
计算机网络安全问题涉及许多学科领域,如自然科学、社会科学、密码学等。就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、检验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄漏技术等。因此,它是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
对网络安全问题重视程度不够,广泛存在着重应用轻安全、质量法律意识淡薄、计算机素养不高的问题。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐藏的、潜在的、难以明确却又是广泛存在的。
1.1.2 网络安全的属性
从本质上来讲,计算机网络安全就是网络上的信息安全。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全具有以下几个基本属性。
1.可靠性
可靠性是网络信息系统能够在规定条件下、规定时间内完成规定功能的特性。可靠性是系统安全的基本要求之一,是所有网络信息系统的基本目标。网络信息系统的可靠性包括如下三种特性:
抗毁性是指系统在人为破坏下的可靠性。例如,部分链路或节点失效后,系统能否继续提供服务。
增强抗毁性可以有效地避免因各种灾害(战争、地震等)造成的大面积网络瘫痪问题;
生存性是在随机破坏下系统的可靠性。它反映了随机性破坏和网络拓扑结构对整个系统可靠性的影响;
有效性是一种基于业务性能的可靠性。它反映在网络信息系统的部件失效情况下,满足业务性能要求的程度。例如,网络部件失效虽然没有引起连接性故障,但是却造成质量指标下降、平均延时增加、线路阻塞等现象。
网络信息系统的可靠性主要表现在以下四个方面:
硬件可靠性最为直观和常见;
软件可靠性是指在规定的时间内,程序成功运行的概率;
人员可靠性是指人员成功地完成工作或任务的概率;
环境可靠性是指在规定的自然环境和电磁环境下,保证网络成功运行的概率。
2.可用性
可用性是网络信息可被授权实体访问并按需求使用的特性,即当信息服务被使用时,允许授权用户或实体使用的特性,或者是网络部分受损需要降级使用时,仍能为授权用户提供可用网络服务的特性。可用性是网络信息系统面向用户的安全性能重要体现。网络信息系统最基本的功能是向用户提供服务,而用户的需求是随机的、多方面的、有时还有时间的要求。网络信息系统的可用性一般用系统正常使用时间和整个工作时间之比来度量。
可用性还应该满足以下要求:身份验证、访问控制、业务流控制、路由选择控制、审计跟踪。
3.保密性
保密性是数据信息不被泄露给非授权用户、实体或供其利用的特性,确保信息只为授权用户使用,而不被泄露给非授权个人或实体。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
常用的保密技术包括:防侦听(使对手侦听不到有用的信息)、防辐射(防止有用信息以各种途径在传播过程中辐射出去,如无线网络)、信息加密(用加密算法对信息进行加密处理)和物理保密(通过隔离、掩蔽、控制等措施保护信息不被泄露)。
4.完整性
完整性是确保信息在传输过程中不被删除、修改、伪造、乱序、重放、插入等破坏和丢失。完整性是一种面向信息的安全性,要求保持信息的原样,即信息正确的生成、存储和传输。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击、计算机病毒等。
保障网络信息完整性的主要方法有以下五种:
协议。通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;
纠错编码方法。由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法;
密码校验和方法。它是抗篡改和传输失败的重要手段;
数字签名。保障信息的真实性;
公证。请求网络管理或中介机构证明信息的真实性。
5.不可抵赖性
不可抵赖性也称不可否认性,是指通信双方在信息交互过程中,确保参与者本身以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
6.可控性
可控性是对网络信息的传播及内容具有控制能力的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法能及时了解,针对体系内局部发生的安全入侵等事件进行响应。
1.1.3 网络信息安全因素
网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公共网传送的信息可能被他人窃听或篡改等。典型的网络安全威胁如表1-1所示。
表1-1 典型的网络安全威胁
影响计算机网络安全的因素很多,如有意的或无意的、人为的或非人为的等,外来黑客对网络系统资源的非法使用更是影响计算机网络安全的重要因素,具体情况分析如下。
1.人为的疏忽
人为的疏忽包括:失误、失职、误操作等。例如操作员安全配置不当导致的安全漏洞,用户安全意识不强,用户密码选择不慎,用户将自己的账户随意转借给他人或与他人共享等,都会对网络安全构成威胁。
2.人为的恶意攻击
这是计算机网络所面临的最大威胁,敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为主动攻击和被动攻击两种方式。主动攻击是以各种方式有选择地破坏信息的有效性和完整性。被动攻击是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均对计算机网络造成极大的危害,并导致机密数据的泄露。人为恶意攻击具有下述特性。
(1)智能性
从事恶意攻击的人员大都具有相当高的专业技术和熟练的操作技能,文化程度较高,在攻击前都经过了周密预谋和精心策划。
(2)严重性
涉及金融资产的网络信息系统被恶意攻击,往往会由于资金损失巨大,而使金融机构、企业蒙受重大损失,甚至破产,同时也给社会稳定带来动荡。
(3)隐蔽性
人为恶意攻击的隐蔽性强,不易引起怀疑,作案的技术难度大。一般情况下,其犯罪的证据存在于软件的数据和信息资料之中,若无专业知识很难取得侦破证据。对于入侵者而言,则可以很容易地毁灭证据,使侦破工作难以顺利进行。
(4)多样性
随着计算机互联网的迅速发展,网络信息系统中的恶意攻击也随之不断变化。由于经济利益的强烈诱惑,近年来,各种恶意攻击主要集中在电子商务和电子金融领域。新的攻击目标包括偷税漏税,利用自动结算系统洗钱,以及在网络上进行赢利性的商业间谍活动等。
3.网络软件的漏洞
网络软件不可能无缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件,大多是由于安全措施不完善导致的。另外,软件的隐秘通道都是软件公司的设计编程人员为了自己方便而设置的,一般不为外人所知,但一旦隐秘通道被探知,后果将不堪设想,这样的软件不能保证网络安全。
4.非授权访问
没有预先经过同意,就使用网络或计算机资源被视为非授权访问,如对网络设备及资源进行非正常使用,擅自扩大权限或越权访问信息等。主要包括:假冒、身份攻击、非法用户进入网络系统进行违法操作,合法用户以未授权方式进行操作等。
5.信息泄露或丢失
信息泄漏或丢失是指敏感数据被有意或无意地泄露或者丢失,通常包括:在传输中泄露或丢失,例如黑客们利用电磁泄露或搭线窃听等方式截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,进而获取有用信息。
6.破坏数据完整性
破坏数据完整性是指以非法手段得到对数据信息的使用权,删除、修改、插入或重发某些重要信息,恶意添加、修改数据,以干扰用户的正常使用。
1.1.4 网络信息安全机制
网络信息安全机制定义了实现网络信息安全服务的技术措施,包括所使用的可能方法,主要是利用密码算法对重要而敏感的数据进行处理。网络信息安全机制,通常包括如下八种。
1.加密机制
加密是提供数据保密的基本方法,用加密方法和认证机制相结合,可提供数据的保密性和完整性。加密形式可适用于OSI参考模型的不同层(会话层除外),加密机制还包括密钥管理机制。
2.数字签名机制
数字签名是解决信息安全特殊问题的一种方法,适用于通信双方发生了下列情况的安全验证。在网络通信中,数字签名的安全性必须具有可证实性、不可否认性、不可伪造性和不可重用性。
3.访问控制机制
访问控制是指处理主体对客体访问的权限设置的合法性问题,一个主体只能访问经过授权使用的给定客体。否则,访问控制机制的审计跟踪系统会自动拒绝访问,并给出事件报告的跟踪审计信息。
4.数据完整性机制
数据完整性主要解决数据单元的完整性和数据单元序列的完整性。
数据单元完整性:发送实体对数据单元加标记识别,以作为数据本身的信息签名函数(如Hash函数等)。接收实体将预先给定的验证标记进行比较,用以辨别接收结果的数据是否真实。
数据单元序列完整性:要求所有发送数据单元序列编号的连续性和时间标记的正确性,以防止假冒、丢失、换包、重发、插入或修改数据序列。
5.鉴别交换机制
鉴别交换是在通信进程中,以双方互换约定信息方式确认实体身份机制。常用方式有:口令鉴别确认、数据加密确认、通信中的“握手”协议、数字签名和公证机构辨认,以及利用实体的特征或所有权形式辨别(如语言、指纹、身份卡识别等)。
6.通信业务填充机制
该机制的目的是对抗非法攻击者在传输信道上监听信息以及非法进行流量和流向分析。对抗手段可以通过保密装置,在无信息传输时连续发出伪随机序列,混淆非法者想要得到的有用信息。
7.路由控制机制
在复杂的网络环境中,路由控制机制在于引导信息发送者选择代价小且安全的特殊路径,保证数据能由源节点出发,经选择路由,安全到达目标节点。
8.公证机制
公证机制在于解决通信的矛盾双方,因事故和信用危机导致责任问题的公证仲裁,公证机制要设立的公证机构是各方都信任的实体,专门提供第三方的证明手段,可用于对信息源的发送时间、目的地、信息内容和身份依据等进行公证,提供基于可信第三方的不可抵赖服务。
1.2 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失。另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。针对企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。这些安全风险由多种因素引起,是与网络结构和系统的应用、及局域网内网络服务器的可靠性等因素密切相关的。
计算机网络安全可以从以下几个方面来理解:
网络物理是否安全;
网络平台是否安全;
系统是否安全;
应用是否安全;
管理是否安全。
下面将针对每一类安全风险,结合局域网络的实际情况,具体地分析网络的安全风险。
1.2.1 物理安全风险分析
物理安全是涉及实现和维护计算机网络物理设备安全的措施,这意味着对管理人员、硬件以及控制信息,在所有状态下的支持系统元素和资源的物理保护,如果攻击者获得被控制设备的物理访问权,就可以绕过对此设备的大多数基于安全技术的控制。
计算机网络的物理安全主要是指自然灾害事故、电源故障、人为操作失误或错误、设备被破坏或丢失、电磁干扰、线路截获等方面。除此之外,机房的物理环境及附属设施以及管理人员,也应归于网络物理安全风险范围。
物理安全是整个网络系统安全的前提,在局域网络内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是完全可以避免的。
1.2.2 网络平台的安全风险分析
网络应用已经遍布我们生活的每一个角落,网络在给我们的生活带来便利的同时,也暴露其自身的弱点。众多网络功能的实现都是借助网络服务器实现的,而若想使每一个人都能享用这项服务,就必须将服务器放在公开的Internet上,这样便每时每刻都可能遭受来自不同用户的攻击和入侵。
对于网络供应商而言,局域网络公开服务器区、特殊服务节点是与外界联系的枢纽,一旦不能运行或受到攻击,将影响集团的业务。同时公开服务器本身要为外界服务,必须开放相应的服务。因此,规模比较大的网络的管理人员对Internet安全事故做出有效反应变得十分重要。有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,而其他的请求服务在到达主机之前就应该遭到拒绝。
1.2.3 系统的安全风险分析
所谓系统的安全,是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任,安全只是一个相对的概念,绝对的安全是不存在的。
在日常应用中,用户可以通过对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,从而提高系统的安全性。首先,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次,应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
1.2.4 应用的安全风险分析
应用系统的安全跟具体应用有关,涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及信息的安全性,这是因为以下两方面的原因。
1.应用系统安全是动态的、不断变化的
应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案就有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是必须的。但应用系统在不断发展且应用类型在不断增加,故安全漏洞将不断增加且隐藏越来越深。
2.应用的安全性涉及信息、数据的安全性
信息的安全性涉及机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于局域网络跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密(比如领导子网、财务系统传递的重要信息)就可以考虑在应用级进行加密,如针对具体的应用直接在应用系统开发时进行加密。
1.2.5 管理的安全风险分析
管理是网络中安全最为重要的部分。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能会引起管理安全的风险。如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意地泄露所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其他一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求必须对网站的访问活动进行多层次的记录,以便及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案;因此,最可行的做法是管理制度和管理解决方案的结合。
1.2.6 其他安全风险
1.黑客攻击
在计算机网络飞速发展的同时,黑客技术也日益高超。目前黑客能运用的攻击软件已达1000多种。黑客自己开发或利用已有的工具来寻找计算机系统和网络的缺陷和漏洞,并对如下一些缺陷实施攻击,如软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误等。
能运用黑客技术的人对计算机和网络是非常精通的,这是因为发现并证实一个计算机系统漏洞可能需要做大量测试、分析大量代码和长时间的程序编写。而现在大部分黑客是利用已有的软件,这并不需要多么高超的技术,黑客站点在Internet上到处可见,黑客工具可任意下载,从而对网络的安全构成了极大的威胁。
2.通用网关接口漏洞
黑客可以通过网关接口(CGI)脚本自身的漏洞执行一些非法任务,通常情况下,这些CGI脚本可在WWW服务器中找到。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权,并提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.恶意代码
恶意代码主要利用本地主机上一些特殊的Native API函数和内核系统函数,进行感染、传播和隐藏,从而达到对系统进程、文件、注册表、系统服务和网络服务等进行控制的目的。新形式的恶意代码攻击,大量使用多重加密壳、驱动关联壳、变形壳等代码保护机制,以及多态、变形等新的技术,使传统的恶意代码查杀技术遭到了严重的挑战。
从技术上分类,恶意代码使用的技术手段有下列四种:
用户模式系统调用劫持;
核心模式系统调用劫持;
核心模式数据篡改;
核心模式中断处理程序劫持。
4.病毒
计算机病毒一直是计算机安全的主要威胁。随着计算机技术的不断进步,计算机病毒的发展速度非常惊人,每天网络上都会出现成千上万种新的病毒。大多数病毒都有一定的破坏性,严重的可能导致重要数据丢失、系统瘫痪,甚至硬件损毁。例如,被誉为“2006年十大计算机病毒之首”的“熊猫烧香”,可以在极短的时间内感染本地计算机中所有的可执行文件。
5.心怀不满的内部员工
心怀不满的内部员工(计算机人员、其他工作人员)熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的心怀不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。而心怀不满的在职员工要比已经离开的员工可能造成更大的损失,例如,可以泄露内部重要信息、进入机密数据库、删除数据等。
6.针对网络的其他手段
一般认为,目前对网络的攻击手段主要表现在如下五个方面。
(1)非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(2)信息泄露或丢失
信息泄露或丢失是指敏感数据在有意或无意中被泄露出去或丢失,通常包括信息在传输中丢失或泄露(如“黑客”利用电磁泄露或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析推出有用信息,如用户口令、账户等重要信息。),信息在存储介质中丢失或泄露,通过建立隐蔽隧道窃取敏感信息等。
(3)破坏数据完整性
破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加或修改数据,以干扰用户的正常使用。
(4)拒绝服务攻击
拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被拒绝而无法进入计算机网络系统或不能得到相应的服务。
(5)利用网络传播病毒
网络是当今计算机病毒的主要传播途径之一,利用网络传播病毒不仅后果严重,而且难于防范。这种传播方式的主要特点是:被病毒感染的计算机会自动扫描所在网络的其他计算机,如果这些计算机也存在这种漏洞,便会被入侵,这些被入侵的计算机会继续扫描攻击……此类病毒传播速度快,在很短时间内感染数台计算机。而且这种病毒还会使多台计算机同时扫描,占用网络的大量带宽,甚至阻塞整个网络的通信。要从根本上杜绝这种安全隐患,首先要在全网计算机中部署杀毒软件,并及时升级,同时必须配合在全网计算机中检查系统漏洞,及时做好系统补丁更新。
1.3 安全需求与安全目标
通过上述对网络结构、网络安全风险分析,再加上目前黑客、病毒等安全威胁日益严重,使解决网络安全问题势在必行。我们要针对不同安全风险,采用相应的安全措施来解决,从而使网络安全达到一定的安全目标。
1.3.1 安全需求
通过前面对局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,要采取相应的安全措施杜绝安全隐患,应该做到以下几点:
公开服务器的安全保护;
防止黑客从外部攻击;
入侵检测与监控;
信息审计与记录;
病毒防护;
数据安全保护;
数据备份与恢复;
网络的安全管理。
同时,针对局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时还应满足如下要求:
大幅度地提高系统的安全性(重点是可用性和可控性);
保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
安全保密系统具有较好的性能价格比,一次性投资可以长期使用;
安全产品具有合法性,并经过国家有关管理部门的认可或认证;
分步实施。
1.3.2 网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括建立安全环境的三个重要组成部分:
法律规章。安全的基石是社会法律、法规、规章制度与相应的制裁手段,在这基础上建立一套安全管理的办法。即通过建立与信息安全相关的法律、法规和单位的规章制度,使不法分子慑于法律,不敢轻举妄动;
先进技术。先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制和先进的安全技术;
严格管理。各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体的信息安全意识。
1.3.3 系统安全目标
局域网络系统安全应该实现以下的目标:
建立一套完整可行的网络安全与网络管理策略;
将内部网络、公共服务器网络和外网进行有效隔离,避免与外部网络的直接通信;
建立网站各主机和服务器的安全保护措施,保证系统安全;
对网络服务请求内容进行控制,使非法访问在到达主机前被拒绝;
加强合法用户的访问认证,同时将用户的访问权限控制在最低限度;
全面监视对公共服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;
加强对各种访问的审计工作,详细记录对网络、公共服务器的访问行为,形成完整的系统日志;
备份与灾难恢复,强化系统备份,实现系统快速恢复;
加强网络安全管理,提高系统全体人员的网络安全意识和防范技术。
一个合格的网络系统应实现以下的安全目标:
保护网络系统的可用性;
保护网络系统服务的连续性;
防范网络资源的非法访问及非授权访问;
防范入侵者的恶意攻击与破坏;
保护企业信息在网上传输过程中的机密性、完整性;
防范病毒的侵害;
实现网络的安全管理。
1.4 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络设施应按系统体系来建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理。在网络的安全方面,主要考虑两方面:一是网络结构的优化;二是网络系统的安全。
1.4.1 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程,物理安全的具体情况包括以下几个方面。
环境安全。对系统所在环境的安全保护,如区域保护和灾难保护,参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
设备安全。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
媒体安全。媒体安全包括媒体数据的安全及媒体本身的安全。
网络临界点安全。网络临界点安全包括防火墙、内外网互联的设备、无线设备、VPN设备等。
1.4.2 网络结构规划
安全系统是建立在网络系统之上的,故网络结构的安全是安全系统成功建立的基础。网络结构的安全主要是指网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。因此,网络结构采用分层的体系结构就便于维护管理,便于更高的安全控制和业务发展。而网络结构的优化则是在网络拓扑上要考虑冗余链路,防火墙的设置和入侵检测的实时监控等。
1.网络系统安全
(1)访问控制
访问控制可以通过如下几个方面来实现:
制订严格的管理制度。例如《用户授权实施细则》、《密码及账户管理规范》、《权限管理制度》。
配备相应的安全设备。在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的主要措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口处。
(2)内外网络隔离
最主要的一种防火墙是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时,可实现网络地址转换(NAT)、审计与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。防火墙具有以下五大基本功能:
过滤进、出网络的数据;
管理进、出网络的访问行为;
封堵某些禁止的业务;
记录通过防火墙的信息内容和活动;
对网络攻击的检测和告警。
2.内部网不同网络安全域的隔离及访问控制
在规模庞大的企业网络中往往存在多个功能不同的网络分支,如研发部门、营销部门、售后服务等,为了企业机密信息的外漏,就需要对不同部门用户的访问进行合理控制,例如可以借助交换机的VLAN(Virtual Local Area Network,虚拟网络)功能实现网络隔离的访问控制。
通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题传播到整个网络。在某些情况下,局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
3.网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节,解决这一难题的有效方法就是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件,其功能是扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:
具备网络监控、分析和自动响应功能;
找出经常发生问题的根源;
建立必要的循环过程,确保纠正隐患;
控制各种网络安全危险;
漏洞分析和响应;
配置分析和响应;
漏洞形势分析和响应;
认证和趋势分析。
网络安全具体体现在以下方面:
防火墙得到合理配置;
内外Web站点的安全漏洞减到最少;
网络体系达到强壮的抗攻击性;
各种服务器操作系统,如邮件服务器、Web服务器、应用服务器,将受黑客攻击的可能降为最低;
对网络访问做出有效响应,保护重要应用系统(如财务系统)的数据安全不受黑客攻击和内部人员误操作的侵害。
4.审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,是提高安全性的重要工具。审计不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。同时,系统事件的记录能够更迅速和系统地识别问题,也是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累,并且加以分析,可有选择性地对其中的某些站点或用户进行审计跟踪,以便对可能产生破坏性的行为提供有力证据。
除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
5.网络防病毒
在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是网络安全性建设中的重要环节。
网络反病毒技术包括以下几种。
预防病毒技术。通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否存在病毒,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。
检测病毒技术。通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。
清除病毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
木马扫描技术。借助专业木马扫描软件,短时间内即可对本地计算机或网络中的主机进行专项扫描,发现存在的木马,并给出相应的防御和补救措施,将损失降到最低。
间谍软件扫描技术。间谍软件的主要目的是窃取用户机密信息,目前多个版本的Windows系统中已经集成了间谍软件扫描组件,并且可以自动运行,以确保用户系统的安全。
6.网络备份系统
网络备份系统的目的是尽可能快地恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:数据中心的高速度、大容量、自动的数据存储、备份与恢复;其他区域(备份区域)的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,数据备份有“冷备份”和“热备份”两种。
热备份是指“在线”的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或另一个非实时处理的业务系统中存放。热备份的优点是调用快,使用方便,在系统恢复中需要反复调试时更显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比较昂贵。
冷备份是指“不在线”的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,还有一部分原始的数据将长期保存并作为查询使用。冷备份弥补了热备份的一些不足,两者优势互补,相辅相成,因为冷备份在回避风险中还具有便于保管的优点。
1.4.3 系统安全
系统安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以采取如下策略:
对操作系统进行安全配置,提高系统的安全性。例如系统内部调用不对Internet公开,关键性信息不直接公开,尽可能采用安全性高的操作系统;
应用系统在开发时,采用规范化的开发过程,尽可能地减少应用系统的漏洞;
网络上的服务器和网络设备尽可能不采取同一家的产品;
通过专业的安全工具(安全检测系统)定期对网络进行安全评估。
1.4.4 信息安全
信息是网络中最重要的安全对象。事实上,实施各种安全措施的最终目的,就是保护网络中各个位置的敏感信息。可以采取以下策略,实现对于信息安全威胁的防范。
在局域网络内,对不同的信息进行区域规划,执行严格的授权访问机制。将拥有不同安全访问权限的用户划分至不同的VLAN,并在Trunk端口限制授权访问的VLAN,将一些敏感信息与其他子网络相隔离。
将所有敏感信息都集中保存在网络内的文件服务器中,既可以有效保证敏感信息的存储安全,又可以保证在共享文件的同时严格控制其访问权限。需要注意的是,应杜绝将敏感信息保存在个人计算机上。
制定严格的文件访问权限。敏感文件必须存储在NTFS系统分区,并且为不同用户或用户组设置严格的NTFS文件权限、NTFS文件夹权限和共享文件权限。
将不同类型的用户划分于不同的用户组或组织单位,并为用户组和组织单位指定相应的访问权限,既可以简化文件权限管理的难度,又不会因疏忽大意导致访问权限划分错误。
安装RMS服务,严格限制对敏感文件的操作。权限管理服务(Windows Rights Management)是搭建权限管理系统的重要组成部分,为组织内的权限策略管理系统提供了一个平台,。
其他基于交换机和路由器的安全措施。例如,采用IEEE 802.1x身份认证、IP地址与MAC地址绑定、安全端口、IP或MAC地址访问列表等技术,限制用户登录到网络或者限制其对敏感区域的访问。
1.4.5 应用安全
在应用安全上,首先要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上述的访问控制和系统漏洞检测外,还可以采用访问存取控制,对权限进行分割和管理。应用安全平台需要加强资源目录管理和授权管理、传输加密、审计记录和安全管理等内容。对应用安全,主要考虑确定不同服务的应用软件并紧密注视其漏洞,并注意扫描软件要不断升级。
1.5 安全管理
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,安全管理规范也是网络安全所必须的。安全管理策略的实施一方面要贯彻安全管理规范,另一方面要建立高效的管理平台(包括网络管理和安全管理)。安全管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需要建立高效的管理平台。
1.5.1 安全管理规范
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全管理规范的建立,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题,所以应引起各计算机网络应用部门领导的重视。
1.安全管理原则
网络信息系统的安全管理主要基于以下三个原则。
(1)负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,忠诚可靠,能胜任此项工作,应该签署工作情况记录以证明安全工作已得到保障。具体的活动有:
访问控制使用证件的发放与回收;
信息处理系统使用的媒介发放与回收;
处理保密信息;
硬件和软件的维护;
系统软件的设计、实现和修改;
重要程序和数据的删除和销毁。
(2)有限原则
一般情况下,任何人都不要长期担任与安全有关的职务,以免被误认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(3)分离原则
在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:
计算机操作与计算机编程;
机密资料的接收和传送;
安全管理和系统管理;
应用程序和系统程序的编制;
访问证件的管理与其他工作;
计算机操作与信息处理系统使用媒介的保管。
2.安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作包括下列几方面。
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理的范围。
制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别和登记管理。
制订严格的操作规程。
操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
制订完备的系统维护制度。
对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
制订应急措施。
要制定系统在紧急情况下如何尽快恢复的应急措施,使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整响应的授权。
1.5.2 安全管理的功能
安全管理的主要功能是指对安全设备的管理;监视网络危险情况,对危险进行隔离,并把危险控制在最小范围内;身份认证,权限设置;对资源的存取权限的管理;对资源或用户动态的或静态的审计;对违规事件,自动生成报警或生成事件消息;口令管理(如操作员的口令鉴权),对无权操作人员进行控制;对于与密钥相关的服务器,应对其设置密钥生命期、密钥备份等管理功能;冗余备份:为增加网络的安全系数,对于关键的服务器应冗余备份。但安全管理应该从管理制度和管理平台技术两个方面来实现,并且安全管理产品要尽可能地支持统一的中心控制平台。
根据以上所述,针对网络的实际状况,应因地制宜,分步实施,指定和实现网络安全的纲要,将会极大地提高局域网络的安全性。
1.6 网络安全技术
防病毒技术、防火墙技术和入侵检测技术是网络安全领域的三大主流技术。任何一个用户,在刚刚开始面对安全问题的时候,往往就考虑这“老三样”。这三种网络安全技术为整个网络安全建设起到了至关重要的作用。另外,随着网络攻击和入侵技术的不断升级,一些新的安全防御技术也应运而生,如访问控制技术、安全扫描技术等。
1.6.1 防病毒技术
在所有计算机安全威胁中,计算机病毒是最严重的,不仅发生的频率高、损失大,而且潜伏性强、覆盖范围广。如今计算机病毒在形式上越来越狡猾,造成的危害也日益严重。这就要求网络防病毒产品在技术上更先进,在功能上更全面,并具有更高的查杀效率。
1.单机防病毒
单机防病毒与专业的防病毒服务器配合,定期或自动通过Internet连接产品官方服务器获取最新病毒定义,以实现动态防御与静态杀毒相结合。单机防病毒最大的缺点是功能单一,无法实现统一管理,因此要求防病毒产品必须可以更新病毒库和接受官方服务器的技术支持。
2.网络防病毒
网络防病毒技术是目前主流安全防护技术之一,适用于各种规模的局域网。网络防病毒技术中主要包括服务器模块和客户端模块,其中服务器主要为客户端提供统一部署和管理,如病毒库升级、调度扫描、远程部署等,而客户端则工作相对简单,只需接受防病毒服务器的管理即可。
3.网关防病毒
网关防病毒技术主要有两部分,一是如何对进出网关的数据进行查杀;二是对要查杀的数据进行检测与清除。网关防病毒产品对数据的病毒检测目前还是以特征码匹配技术为主,其扫描技术及病毒库与其他网络防病毒产品是一致的。如何对进出网关的数据进行查杀,是网关防病毒技术的关键。网关防病毒技术有以下几种实现方式。
基于代理服务器的方式实现。此种方式主要是依靠代理服务器对数据进行还原,在数据通过代理服务器时将数据根据不同协议进行还原,再利用其安装在代理服务器内的扫描引擎对其进行病毒的查杀。
基于防火墙协议还原的方式实现。此种方式主要是利用防火墙的协议还原功能,将数据包还原为不同协议的文件,然后传送到相应的病毒扫描服务器进行查杀,扫描后再将该文件传送回防火墙进行数据传输。病毒扫描服务器可以有多个,防火墙内的防病毒代理根据不同协议,将相应的协议数据转送到不同的病毒扫描服务器。
基于邮件服务器的方式实现。此种方式也可认为是以邮件服务器为网关,在邮件服务器上安装相应的防病毒产品,通过将防病毒程序内嵌在邮件系统内,就可在进出邮件转发前对邮件及其附件进行扫描并清除,从而防止病毒通过邮件网关进入企业内部。目前,邮件服务器版的防病毒产品主要支持Exchange Server、Lotus Notes和以SMTP协议的邮件系统。
基于信息渡船产品方式实现。它能够实现网关处的病毒防护,信息渡船俗称“网闸”,在产品内建立信息孤岛,通过高速电子开关实现数据在信息孤岛的交换。用户只需在信息孤岛内安装防病毒模块,就可实现对数据交换过程的病毒检测与清除。
4.系统的防病毒计划
在“Melissa”病毒出现之前,人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。如今,电子邮件系统已从简单的信息发布发展到可提供协作存储器、基于Web的用户界面以及无线设备接入等方面。因此,要从系统角度设计一套全面的防毒计划。
制定系统的防病毒策略。为了正确选择、配置和维护病毒防护解决方案,必须明确规定保护的级别和所需采取的对策。
部署多层防御战略。随着网络的发展,病毒可从多种渠道进入系统,应尽量扩大防病毒系统的覆盖范围,必须包括网关防病毒、服务器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。
定期更新防病毒定义文件和引擎。在大多数系统了解到使其病毒定义文件保持最新版本的重要性的同时,并不是人人都了解确保检测引擎为最新版本同等重要的。一般情况下,更新是自动进行的,但更重要的是,应定期检查日志文件以确保正确地执行了更新。基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式,但是根据系统安全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都提供防护。因此还应定期更新桌面计算机中的防病毒软件。
定期备份文件。一旦病毒破坏了数据,就可以利用先前存储备份恢复相关文件。建议您制订一个标准程序来定期检查从备份中恢复的数据。
预订可发布新病毒威胁警告的电子邮件警报服务。有许多不同的机构提供这种服务,但是最关键的应该是防病毒服务供应商。其原因在于每个防病毒软件供应商的能力不同,对新病毒的估定也不同,而且采取的措施也有差异。例如,一位供应商已经在过去的更新版本中提供了类属病毒检测,从而对某种新病毒提供了“防护”,因此对于客户而言,这一特殊病毒将被估定成“低”风险的,但是其他未能提供当前保护的供应商却会将同类病毒估定为“高”风险的。
为全网用户提供全面的防病毒培训。如果全网用户都了解容易遭受病毒攻击的风险、防护措施以及遇到可疑病毒时应该采取的建议性措施等,就可以最大程度地降低系统内大多数病毒的影响。
1.6.2 防火墙技术
防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包以及网络的链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。根据防火墙所采用的技术不同,可以将其分为以下四种基本类型:
包过滤型。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活地制订判断规则。
网络地址转换(NAT)。防火墙根据预先定义好的映射规则来判断访问请求是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
代理型。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
监测型。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有很强的防范作用。
1.6.3 入侵检测技术
入侵检测是防火墙的合理补充,主要用于应对潜在的网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测系统从网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都是通过它执行以下任务来实现的:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
一个成功的入侵检测系统,不但可以使系统管理员实时了解网络系统(包括程序、文件和硬件设备等)的任何变更,还可以给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。此外,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,例如自动断开网络连接、记录事件和报警等。
1.6.4 访问控制技术
访问控制是网络安全防范和保护的主要策略,其主要功能就是保证网络资源不被非法使用和访问。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
1.连接访问控制
建立连接是用户获得资源的第一步,连接访问控制主要解决哪些用户能够登录到服务器并获取网络资源,控制允许用户登录的时间和工作站。用户的连接访问控制可分为三个步骤:
用户名的识别与验证;
用户口令的识别与验证;
用户账号的默认限制检查。
在上述三个步骤中只要任何一个步骤未能通过,该用户便不能访问网络中的资源。
2.访问权限控制
网络的访问权限控制是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限,而网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,还可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽可以两种实现方式。受托者指派是控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
根据访问权限可以将用户分为以下几类:
特殊用户(即系统管理员);
一般用户,系统管理员根据他们的实际需要为他们分配操作权限;
审计用户,负责网络的安全控制与资源使用情况的审计。
3.目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。
用户对文件或目标的有效权限有以下两种:用户的受托者指派或用户所在组的受托者指派,取消继承权限屏蔽的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
4.属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供了更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问权限。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
5.服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
1.6.5 安全扫描技术
安全扫描技术是一种重要的网络安全技术,与入侵检测系统类似,主要通过与防火墙、防病毒系统配合使用,达到增强网络安全的目的。通过对网络的扫描,网络管理员能够了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能够根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击之前进行防范。假如说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能够有效地避免黑客攻击行为,做到防患于未然。
安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适配置的脆弱的口令,连同对其他与安全规则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文档,模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。
1.6.6 网络安全紧急响应体系
网络安全紧急响应体系主要是通过在网络中部署入侵检测与预警系统,建立以客户端为基础的综合安全体系,其中包括建设组织管理、预案流程、制度规范等综合措施,以便尽早对有重大危害的计算机和网络安全事件进行发现、分析和确认并对其进行响应等。整个预警与应急响应体系是以入侵检测为核心的,容纳并联合了其他安全防护设备,如防火墙、网络隔离、漏洞扫描、外联检测、拓扑发现等设备,统一进行入侵管理,支撑应急响应体系。
网络安全紧急响应体系的目标如下:
故障定位及排除。目前依靠广域网的响应时间过长,而一般的网络系统涉及系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本响应体系提供的基本功能;
预防问题。通过在广域网上对网络设备和网络流量实施的监控和分析,预防问题的发生,在系统出现性能抖动时,就能及时发现,并建议系统管理员采取及时的处理措施;
优化性能。通过对线路和其他系统进行透视化管理,利用管理系统提供的专家功能对系统的性能进行优化;
提供整体网络运行的健康以及趋势分析。分析系统的使用情况,并对网络系统整体的运行情况做出长期的健康和趋势报告,以便制定新系统的规划。
1.7 网络安全的规划与设计
不同类型的计算机网络用户,对信息安全要求的级别也是有所不同的。但网络安全性的提升是要以巨大的资金投入为基础的,因此在部署计算机网络安全之前,必须了解网络用户的需求,根据其实际情况确定安全系统的主体目标,只有这样才可以制定出一套可靠实用的网络安全系统。
1.7.1 网络安全规划原则
在对局域网络系统安全方案设计、规划时,应遵循以下原则。
1.综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2.需求、风险、代价平衡的原则
对于任何网络,绝对安全是很难实现的,也不一定是必要的。通常情况下,需要对网络进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
3.一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施不但容易,且花费也小得多。
4.易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。而且,措施的采用也不能影响系统的正常运行。
5.分步实施原则
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加,所以一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出,因此分步实施既可满足网络系统及信息安全的基本需求,也可节省费用开支。
6.多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,就可以达到当一层保护被攻破时,其他层保护仍可保护信息的安全的目的。
7.可评价性原则
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
1.7.2 划分VLAN和PVLAN
划分VLAN(Virtual Local Area Network,虚拟网络)和PVLAN(Private Virtual Local Area Network,私有虚拟网)是交换机上最常用的安全配置,可以分别实现不同的安全级别。其主要作用就是通过划分VLAN或PVLAN,实现网络之间或用户之间的隔离,从而使信息只能在很小的范围内传输。例如,为了确保网络内部信息不被远程用户随便访问,可以在核心交换机上划分一个来宾VLAN,所有来宾用户只能访问所在VLAN中的网络资源。
1.划分VLAN
VLAN的主要作用有两点,一是提高网络安全性,阻止未经授权的VLAN访问,二是提高网络传输效率,将广播隔离在子网之内。因此,VLAN在网络安全性和稳定性方面,都起着非常重要的作用。
在集中式网络环境下,通常将网络中心的所有主机系统集中到一个VLAN中,在该VLAN中不允许有任何用户节点,以确保敏感资源和信息的安全。在分布式网络环境下,管理员可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
2.划分PVLAN
PVLAN实现端口之间相互隔离,满足宽带接入的用户安全性要求,避免用户信息和数据的泄露,防止非法攻击和窃取。在划分PVLAN时,各接入端口间不可以相互通信,仅可通过上联端口来访问网络资源。需要注意的是,二层交换机和三层交换机都可以创建PVLAN。
1.7.3 客户端安全
Windows客户端安全主要是指用户操作系统安全、用户账户安全以及系统补丁安装等,为了便于管理员对客户端系统更新设置的统一管理,可以在网络中配置专用的自动更新服务器,即WSUS服务器,客户端无须连接到Internet即可完成系统自动更新的部署。
Windows XP客户端安全设置主要包括:
用户离开计算机或计算机处于待机状态时,必须锁定计算机,以免其他用户趁虚而入;
为所有计算机账户设置安全密码,尤其是系统管理员密码安全性要求更高,并且平时应做好密码保护工作;
管理员账户只用于执行必需的系统管理操作,通常情况下建议使用普通账户登录系统;
使用NTFS文件系统格式化分区,以便使用NTFS权限设置不同文件的安全保护;
启用并合理设置Windows防火墙;
安装并配置Windows Defender,按时扫描本地计算机的恶意软件入侵情况。