【賽迪網-IT技術報道】網絡管理人員應認真分析各種可能的入侵和攻擊形式,制定符合實際需要的網絡安全策略,防止可能從網絡和系統內部或外部發起的攻擊行為,重點防止那些來自具有敵意的國家、企事業單位、個人和內部惡意人員的攻擊。
防止入侵和攻擊的主要技術措施包括訪問控制技術、防火牆技術、入侵檢測技術、安全掃瞄、安全審計和安全管理。
一、訪問控制技術
訪問控制是網絡安全保護和防範的核心策略之一。訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用。訪問控制技術所涉及內容較為廣泛,包括網絡登錄控制、網絡使用權限控制、目錄級安全控制,以及屬性安全控制等多種手段。
1.網絡登錄控制
網絡登錄控制是網絡訪問控制的第一道防線。通過網絡登錄控制可以限制用戶對網絡伺服器的訪問,或禁止用戶登錄,或限制用戶只能在指定的工作站上進行登錄,或限制用戶登錄到指定的伺服器上,或限制用戶只能在指定的時間登錄網絡等。
網絡登錄控制一般需要經過三個環節,一是驗證用戶身份,識別用戶名;二是驗證用戶口令,確認用戶身份;三是核查該用戶賬號的默認權限。在這三個環節中,只要其中一個環節出現異常,該用戶就不能登錄網絡。其中,前兩個環節是用戶的身份認證過程,是較為重要的環節,用戶應加強這個過程的安全保密性,特別是增強用戶口令的保密性。用戶可以使用一次性口令,或使用IC卡等安全方式來證明自己的身份。
網絡登錄控制是由網絡管理員依據網絡安全策略實施的。網絡管理員可以隨時建立或刪除普通用戶賬號,可以控制和限制普通用戶賬號的活動範圍、訪問網絡的時間和訪問方式,並對登錄過程進行必要的審計。對於試圖非法登錄網絡的用戶,一經發現立即報警。
2.網絡使用權限控制
當用戶成功登錄網絡後,就可以使用其所擁有的權限對網絡資源(如目錄、文件和相應設備等)進行訪問。如果網絡對用戶的使用權限不能進行有效的控制,則可能導致用戶的非法操作或誤操作。網絡使用權限控制就是針對可能出現的非法操作或誤操作提出來的一種安全保護措施。通過網絡使用權限控制可以規範和限制用戶對網絡資源的訪問,允許用戶訪問的資源就開放給用戶,不允許用戶訪問的資源一律加以控制和保護。
網絡使用權限控制是通過訪問控制表來實現的。在這個訪問控制表中,規定了用戶可以訪問的網絡資源,以及能夠對這些資源進行的操作。根據網絡使用權限,可以將網絡用戶分為三大類:一是系統管理員用戶,負責網絡系統的配置和管理;二是審計用戶,負責網絡系統的安全控制和資源使用情況的審計;三是普通用戶,這是由系統管理員創建的用戶,其網絡使用權限是由系統管理員根據他們的實際需要授予的。系統管理員可隨時更改普通用戶的權限,或將其刪除。
3.目錄級安全控制
用戶獲得網絡使用權限後,即可對相應的目錄、文件或設備進行規定的訪問。系統管理員為用戶在目錄級指定的權限對該目錄下的所有文件、所有子目錄及其子目錄下的所有文件均有效。如果用戶濫用權限,則會對這些目錄、文件或設備等網絡資源構成嚴重威脅。這時目錄級安全控制和屬性安全控制就可以防止用戶濫用權限。
一般情況下,對目錄和文件的訪問權限包括系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。目錄級安全控制可以限制用戶對目錄和文件的訪問權限,進而保護目錄和文件的安全,防止權限濫用。
4.屬性安全控制
屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。當系統管理員給文件、目錄和網絡設備等資源設置訪問屬性後,用戶對這些資源的訪問將會受到一定的限制。
通常,屬性安全控制可以限制用戶對指定文件進行讀、寫、刪除和執行等操作,可以限制用戶查看目錄或文件,可以將目錄或文件隱藏、共享和設置成系統特性等。
5.伺服器安全控制
網絡允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等。網絡伺服器的安全控制包括設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞資料;設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
二、防火牆技術
防火牆是用來保護內部網絡免受外部網絡的惡意攻擊和入侵,為防止計算機犯罪,將入侵者拒之門外的網絡安全技術。防火牆是內部網絡與外部網絡的邊界,它能夠嚴密監視進出邊界的資料包信息,能夠阻擋入侵者,嚴格限制外部網絡對內部網絡的訪問,也可有效地監視內部網絡對外部網絡的訪問。
三、入侵檢測技術
入侵檢測技術是網絡安全技術和信息技術結合的產物。使用入侵檢測技術可以實時監視網絡系統的某些區域,當這些區域受到攻擊時,能夠及時檢測和立即響應。
入侵檢測有動態和靜態之分,動態檢測用於預防和審計,靜態檢測用於恢復和評估。
四、安全掃瞄
安全掃瞄是對計算機系統或其他網絡設備進行相關安全檢測,以查找安全隱患和可能被攻擊者利用的漏洞。從安全掃瞄的作用來看,它既是保證計算機系統和網絡安全必不可少的技術方法,也是攻擊者攻擊系統的技術手段之一,系統管理員運用安全掃瞄技術可以排除隱患,防止攻擊者入侵,而攻擊者則利用安全掃瞄來尋找入侵系統和網絡的機會。
安全掃瞄分主動式和被動式兩種。主動式安全掃瞄是基於網絡的,主要通過模擬攻擊行為記錄系統反應來發現網絡中存在的漏洞,這種掃瞄稱為網絡安全掃瞄;而被動式安全掃瞄是基於主機的,主要通過檢查系統中不合適的設置、脆弱性口令,以及其他同安全規則相牴觸的對象來發現系統中存在的安全隱患,這種掃瞄稱為系統安全掃瞄。
安全掃瞄所涉及的檢測技術主要有以下四種:
(1)基於應用的檢測技術。它採用被動的、非破壞性的辦法檢查應用軟體包的設置,發現安全漏洞。
(2)基於主機的檢測技術。它採用被動的、非破壞性的辦法對系統進行檢測。通常,它涉及系統的內核,文件的屬性,操作系統的補丁等問題。
這種技術還包括口令解密,把一些簡單的口令剔除。因此,這種技術可以非常準確地定位系統的問題,發現系統的漏洞。它的缺點是與平台相關,升級複雜。
(3)基於目標的漏洞檢測技術。它採用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如資料庫、註冊號等。通過消息摘要算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件、系統目標、系統目標屬性,然後產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
(4)基於網絡的檢測技術,它採用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊而崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然後對結果進行分析。它還針對已知的網絡漏洞進行檢驗。網絡檢測技術常被用來進行穿透實驗和安全審計。這種技術可以發現一系列平台的漏洞,也容易安裝。但是,它可能會影響網絡的性能。
安全掃瞄技術正逐漸向模塊化和專家系統兩個方向發展。
在模塊化方面,整個安全掃瞄系統由若干個插件組成,每個插件封裝一個或多個漏洞掃瞄方法,主掃瞄過程通過調用插件的方法來執行掃瞄任務。系統更新時,只需添加新的插件就可增加新的掃瞄功能。另外,由於插件的規範化和標準化,使得安全掃瞄系統具有較強的靈活性、擴展性和可維護性。
在專家系統方面,安全掃瞄能夠對掃瞄結果進行整理,形成報表,同時可針對具體漏洞提出相應的解決辦法。隨著安全掃瞄技術的發展,希望安全掃瞄系統能夠對網絡狀況進行整體評估,並提出針對整個網絡的安全解決方案。未來的系統,不僅僅是一個漏洞掃瞄工具,還應該是一個安全評估專家。
五、安全審計
安全審計是在網絡中模擬社會活動的監察機構,對網絡系統的活動進行監視、記錄並提出安全意見和建議的一種機制。利用安全審計可以有針對性地對網絡運行狀態和過程進行記錄、跟蹤和審查。通過安全審計不僅可以對網絡風險進行有效評估,還可以為制定合理的安全策略和加強安全管理提供決策依據,使網絡系統能夠及時調整對策。
在網絡安全整體解決方案日益流行的今天,安全審計是網絡安全體系中的一個重要環節。網絡用戶對網絡系統中的安全設備、網絡設備、應用系統及系統運行狀況進行全面的監測、分析、評估,是保障網絡安全的重要手段。
計算機網絡安全審計主要包括對操作系統、資料庫、Web、郵件系統、網絡設備和防火牆等項目的安全審計,以及加強安全教育,增強安全責任意識。
網絡安全是動態的,對已經建立的系統,如果沒有實時的、集中的可視化審計,就不能及時評估系統的安全性和發現系統中存在的安全隱患。
目前,網絡安全審計系統包含的主要功能和所涉及的共性問題如下:
1.網絡安全審計系統的主要功能
(1)採集多種類型的日誌資料。能夠採集各種操作系統、防火牆系統、入侵檢測系統、網絡交換機、路由設備、各種服務及應用系統的日誌信息。
(2)日誌管理。能夠自動收集多種格式的日誌信息並將其轉換為統一的日誌格式,便於對各種複雜日誌信息的統一管理與處理。
(3)日誌查詢。能以多種方式查詢網絡中的日誌信息,並以報表形式顯示。
(4)入侵檢測。使用多種內置的相關性規則,對分佈在網絡中的設備產生的日誌及報警信息進行相關性分析,從而檢測出單個系統難以發現的安全事件。
(5)自動生成安全分析報告。根據日誌資料庫記錄的日誌信息,分析網絡或系統的安全性,並向管理員提交安全性分析報告。
(6)網絡狀態實時監視。可以監視運行有代理的特定設備的狀態、網絡設備、日誌內容、網絡行為等情況。
(7)事件響應機制。當安全審計系統檢測到安全事件時,能夠及時響應和自動報警。
(8)集中管理。安全審計系統可利用統一的管理平台,實現對日誌代理、安全審計中心和日誌資料庫的集中管理。
2.網絡安全審計系統所涉及的共性問題
(1)日誌格式兼容問題。通常情況下,不同類型的設備或系統所產生的日誌格式互不兼容,這為網絡安全事件的集中分析帶來了巨大難度。
(2)日誌資料的管理問題。日誌資料量非常大,不斷地增長,當超出限制後,不能簡單地丟棄。需要一套完整的備份、恢復、處理機制。
(3)日誌資料的集中分析問題。一個攻擊者可能同時對多個網絡目標進行攻擊,如果單個分析每個目標主機上的日誌信息,不僅工作量大,而且很難發現攻擊。如何將多個目標主機上的日誌信息關聯起來,從中發現攻擊行為是安全審計系統所面臨的重要問題。
(4)分析報告及統計報表的自動生成問題。網絡中每天會產生大量的日誌信息,巨大的工作量使得管理員手工查看並分析各種日誌信息是不現實的。因此,提供一種直觀的分析報告及統計報表的自動生成機制是十分必要的,它可以保證管理員能夠及時和有效地發現網絡中出現的各種異常狀態。
六、安全管理
1.信息安全管理的內涵
根據我國計算機信息系統安全等級保護管理要求(GA/T 391-2002)中的描述,信息安全管理的內涵是對一個組織或機構中信息系統的生命週期全過程實施符合安全等級責任要求的科學管理,它包括:
(1)落實安全組織及安全管理人員,明確角色與職責,制定安全規劃;
(2)開發安全策略;
(3)實施風險管理;
(4)制定業務持續性計劃和災難恢復計劃;
(5)選擇與實施安全措施;
(6)保證配置、變更的正確與安全;
(7)進行安全審計;
(8)保證維護支持;
(9)進行監控、檢查,處理安全事件;
(10)安全意識與安全教育;
(11)人員安全管理。
一般意義上講,安全管理就是指為實現信息安全的目標而採取的一系列管理制度和技術手段,包括安全檢測、監控、響應和調整的全部控制過程。而對整個系統進行風險分析和評估是明確信息安全目標要求的重要手段。
2.信息安全管理的基本原則
需要明確指出的一點是:不論多麼先進的安全技術,都只是實現信息安全管理的手段而已。信息安全源於有效的管理,要使先進的安全技術發揮較好的效果,就必須建立良好的信息安全管理體系,這是一個根本問題。一直以來人們(特別是高層領導者)總是認為信息安全是一個技術上的問題,並將信息安全管理的責任限制在技術人員身上,事實上這種觀點和做法是十分錯誤的。
現在,信息已成為企業發展的重要資產,企業高層領導必須重視信息安全管理,必須參與信息安全管理工作,將信息安全管理視為現有管理措施的一個重要組成部分。
在我國,加強對信息安全工作的領導,建立、健全信息安全管理責任制,通常以誰主管誰負責、誰運營誰負責和誰使用誰負責為基本要求,堅持的總原則是:主要領導人負責原則;規範定級原則;依法行政原則;以人為本原則;適度安全原則;全面防範、突出重點原則;系統、動態原則;以及控制社會影響原則。而信息安全管理的主要策略是:分權制衡、最小特權、選用成熟技術和普遍參與。
3.信息安全管理的基本過程
安全管理是一個不斷發展、不斷修正的動態過程,貫穿於信息系統生命週期,涉及信息系統管理層面、物理層面、網絡層面、操作系統層面、應用系統層面和運行層面的安全風險管理。在這些層面上的安全管理是保證信息系統安全技術、安全工程運行正確、安全、有效的基礎。總的安全目標是防止國家秘密和單位敏感信息的失密、洩密和竊密,防止資料的非授權修改、丟失和破壞,防止系統能力的喪失、降低,防止欺騙,保證信息及系統的可信度和資產的安全。
(