| [这个贴子最后由黑色海岸线在 2005/04/04 10:23am 第 8 次编辑]
[watermark] 随着Internet的普及,网络已经成为广大市民生活的一部分.据"中国互联网信息中心"CNNIC公布的<<第十五次中国互联网络发展状况统计报告>>指出:我国上网用户总数为9400万,比半年前增长8%,其中使用宽带上网的人数达到4280万;上网计算机达到4160万台,比半年前增长了14.6%;CN下注册的域名数、网站数分别达到43万和66.9万,分别比半年前增长了5万和4.2万;网络国际出口带宽总数达到74429M,IPv4地址总数59945728个,分别比半年前增长38%和21%。以上数字显示国内的互联网络已日趋活跃.越来越多的企业利用这个大平台.以不同的经营方式(B2B;B2C...)来推广自己的品牌及产品,或进行物流作业.科技的发展与其技术的完善,也使得企业利用这一技术,通过架设企业内部局域网,使信息和作业更加迅捷的完成,以提高企业生产力.
随之网络的安全对企业来说日趋重要.下文将会以多个方面的内容来阐述维护企业网络系统的策略,以及对网络系统如何进行有效的管理.通过各类防护的方法及产品的介绍来提出各类维护企业网络安全的方案.
[B](一)策略篇[/B]
网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上(如:系统认证和各类服务授权,数据库的加密及备份,访问及操作的控制等...)网络系统安全策略就是基于这种技术集成而提出的.为保证企业网络系统的有效运作.首先必须按照企业自身实际情况来定制一份合理并能有效实行的安全策略.
企业定制安全策略可以用以下公式概括及回规划:
网络安全=风险分析+安全管理+技术防御体系+攻击实时检测+安全跟踪+系统数据恢复+系统学习与培训
1.企业需按照自身实际情况和所需网络服务,通过风险的评估与分析来设定网络的认证与授权.对重要数据与资料进行加密与备份;对各类服务选择合理及有效的访问控制.
2.在日常企业网络运作时,需要通过安全管理来维护网络系统的稳定性与持久性.
3.建构企业网络自身的防御系统.包括系统的合理安全配置;软件版本的更新;安装防火墙;配置软硬件的各类检测和监视程序.
4.攻击实时检测则包括:
(a)攻击分析和响应,即识别攻击特性和其他包括病毒;未授权方的侦测行为和修改系统控制机制的可疑行为.响应范围从简单的通知安全管理员到重新配置已识别漏洞或通讯路径.
(b)误操作分析和响应:这方面是对内部网络资源操作实时监控,对企业网络用户的错误操作及其有关违反企业网络使用规定的行为及时响应.响应行为有:拒绝存取;发出警告信息和给经理发邮件报告等 (c)漏洞分析与响应:指定期及自动扫描网络,经常浏览相关站点以及时获知最新的网络系统与使用软件之漏洞与缺陷.并对其进行修补更新.
5.安全跟踪,即对入侵者的跟踪.它是根据系统记录证据获得入侵者信息的途径.是为攻击证据记录服务的.网络都有发信站和收信站.用以标识信息发送者与接收者.只要有人和你的主机进行通讯(寄信或是telnet;ftp...)你就能知道对方的地址.如果对方使用一些特殊的封包封装方式或是使用防火墙来和你通讯,你至少也能够知道防火墙的地址.所以只要对方进行连接,你就能通过对对方地址的查询来实现对入侵的跟踪.
6.系统数据恢复包括对崩溃系统的重新配置与调试,对已存在的漏洞进行修补和对丢失文件资料的重新复制与备份恢复.此一环节可利用一些工具软件来完善对系统资料和重要数据的备份与恢复.
7.关于系统学习及培训旨在为改善系统性能而引入的智能反馈机制.对企业网络普通用户进行指导,以便其合理及安全的使用.根据企业网络运作所需,制定管理员的长期培训计划.提供循环策略;风险认知和系统配置的培训.保证企业网络用户知道关键的企业网络安全策略;风险状态和简单的防范措施.
综上所述,"风险分析+安全管理"体现了管理因素;"安全跟踪"体现了法律方面的因素;"技术防御体系+攻击实时检测+系统数据恢复+系统学习与培训"体现了技术因素;技术因素又综合了防护,监控和恢复"攻击实时检测+系统数据恢复+系统学习与培训"使系统表现出动态免疫力.所以:一个好的企业安全策略,必须从企业自身实际环境出发,针对技术性与非技术性因素.合理在:企业网络运作及服务所需与企业本身的软硬件实际条件和潜在风险这三者之间进行适当的取舍,并找出符合企业经济效益的平衡点来制定有效及便于管理的安全策略.
[B](二)管理篇[/B]
人员是网络安全管理的一个重要环节.人员因素往往是产生安全隐患及漏洞的直接原因.作为系统管理员,有着:启动系统;停止系统服务与运行;安装及维护系统软硬件;添加,删除用户权限以及保持系统发展和运行的日常事务工作.作为管理员,有着系统乃至整个企业网络的最高管理责任.其工作的重要性直接影响系统与网络的正常运作.
管理员在日常安全管理方面的任务可分为下列几点:
1.防治未授权的存取:这是系统安全最重要的问题.具体实施管理方法有:引导用户建立正常使用意识;良好的口令管理;登陆活动记录与报告.对用户及网络活动进行周期性检查.这些都是防止未授权存取的关键.
2.防止重要文件及数据的泄漏:存在于系统及网络内部的资料及数据等同于企业的资产.有效的防止重要文件及数据的泄漏,就等同于保护企业的资产.具体实施管理方法有:合理的建立文件夹机制,将不同类别的文件分类整理储存.对重要文件及企业机密文件进行加密存放,定期对系统内各类文件的整理,这些都是进行有效管理和重要文件及数据的泄漏的手段.
3.防止丢失系统及保持系统完整性:这方面与一个好的管理员的实际工作(例如:周期的备份文件系统;系统崩溃后进行扫描及检查;并修复损坏及丢失的文件系统;还原数据与资料.在日常系统运作时,对系统软件的正常使用与完整性做定期检查,并及时进行更新)和保护一个可靠的操作系统有关(管理者必须不时得了解系统网络相关最新消息,及时的对已知系统漏洞进行修补,对有缺陷的软件进行更新).
在管理中,管理意识是提高安全性的另一个重要因素.如果企业网络的管理部门对安全要求不强烈,系统管理员可能也会忘记强化安全规则.最有效的方法就是建议企业管理部门制定一套每个人都必须遵守的安全标准.如果管理员在此基础上再建立自己的安全规则,就强化了系统网络安全性.管理有助于加强用户意识,让用户明确信息是有价值的资产.
系统管理员在实施管理时应当使安全保护方法对用户尽可能的简单,提供一些安全工具,多教给用户一些关于系统安全意识,确保用户知道自己的许可权限和系统自定义值.如果发现用户在使用中违反企业规定或错误操作,应给予及时的更正与指导,让管理行之有效.
小结:
安全管理在安全体系中是及其重要的.任何安全必须依赖于管理.人为有效管理和其他非技术因素是保证安全策略有效实施的基本要约.一个好的安全策略必须有相应的有效管理机制和手段才可以有效实施.任何脱离管理的策略都将难以实施或很难持久实施.且管理手段和企业管理层的支持也是对策略有效贯彻的坚强后盾.
[B](三)防护篇[/B]
了解网络攻击入侵的特性与其手段,会有助于提高防护工作的效能。网络攻击入侵是一项系统性很强的工作,其主要内容包括:目标分析;文档获取;密码破解;登陆系统与日志消除等技术。对攻击入侵者而言,目标分析:确定主机域名与IP地址;以及对系统类型;操作类型;提供服务等全面资料。 INTERNET上的大部分主机都提供WWW;MAIL;FTP;BBS等网络信息服务,并且一般都由一台主机全权负责。系统将网络服务划分为许多不同的端口,并一一对应,一种服务会有一个程序时刻监视端口活动,并给予应有的通信应答。一般端口的定义已经成为了标准,如下表:
--------------------------------
×20;21×FTP-dataFTP×
×22×SSH(REMOTELOGINPROTOCOL)远端登陆协议×
×23×TELNET×
×25×SMTP×
×42×NAMESERVER×
×53×DOMAINNAMESERVER×
×70×GOPHER×
×79×FINGER×
×80×WWW×
×107×RTELNET(REMOTETELNET)×
×110×POP3×
×137;138;139×NET-BIOSNAME;DATAGRAM;SESSION;×
×161×SNMP×
--------------------------------
要知道目标主机提供什么服务,简单采用不同服务的应用程序就可以(如FTP;TELNET)等用户端软件向目标主机请求服务,如果主机应答,就说明有提供服务。但这样只能知道服务端口是否是“活”的。为获取端口的全部信息,使用像PORTSCAN这类工具,对目标主机一定范围的端口进行扫描,就可以掌握目标主机的端口情况。要获得端口信息,没有好的工具是不行的。HAKTEK就是一个非常实用的工具软件,它将许多应用,如:PING;IP范围扫描;目标主机端口扫描;邮件炸弹;过滤邮件;FINGER主机等,都集成在一起的工具。
通过上述步骤取得的主机信息,为实现攻击与入侵,接下来就是如何取得系统密码文件,从而对文件进行破解,得到最高权限帐户的口令。密码文件的获取有两种情况:一是攻击入侵者通过普通用户登陆系统后,利用TELNET或FTP等工具取得密码文件。二是利用主机上服务端口的BUG或漏洞取得文件。(使用HAKTEK工具;在TARGET中输入目标主机域名或IP地址,选择FINGER,就立刻可以取得主机帐号信息,通过一段时间的监测,就会积累一定的帐号)获取密码文件。使用超级用户口令登陆系统始终是入侵者的第一目标。
在进入主机后,入侵者会寻求消除日志文件。日志的消除是入侵者隐藏自己,获得再次访问该系统的机会的方法。网络上有很多不同的日志消除程序,针对不同日志文件有不同方法。(如:清楚WTMP/LASTLOG/UTMP记录的Zap2.c;编译TMP日志来清除FTP记录的Wted.c;编译STLOG日志的Lled.c等)
入侵者为了保持在主机上的权限,方便下次登陆,还会采用增加密码或帐号;安装特洛伊木马等方法。另外,针对安全“后门”的防范也是不可或缺的。
安全后门是入侵者为了不引起管理员的注意而发展起来的能躲过日志,使自己重返被入侵系统的技术。后门技术越先进,管理员越难对入侵者的侵入作出判断,不易被成功堵塞。在后门的防范中,首先要积极准确的评估企业网络的脆弱性,从而判定漏洞的存在且予以恢复。许多商用软件可用来帮助扫描和查核网络及系统漏洞,可以利用此类软件来加强防护手段。及时安装安全补丁,从而提高安全性。
建立防护机制
在面对企业网络整体安全防护上,建立网络安全防护机制主要目的就是在充分分析网络脆弱性的基础上,对网络系统进行事前防护。同时也必须认清:对任何网络系统,要想完全彻底的防范已知与未来的脆弱性是不可能的。网络的防护功能包括:系统的恢复与修复能力,必须集成到网络系统中,走综合技术;管理和法律;集成防火墙;攻击检测与数据恢复的道路。
完整的企业网络安全防护设计包括:
-外部防护:包括通信保密;防火墙;安全警卫等。且在条件允许下,可附加物理上的隔离,作为与外部网络之间的屏障。
-内部防护:包括防火墙和路由器过滤装置。作为各不同层次之间以及各不同职能部门之间的屏障。内部屏障也可以采用通信保密和安全警卫等技术来实现。
-本地工作站/平台安全环境:包括个人访问控制;装置检查功能;防护工具与程序。
-入侵检测系统(IDS)
-扩展网络的管理能力,提供网络实时监控及对各种入侵的及时响应。
-设计坚固可靠的,可修复的基础设施,能够抵消攻击入侵所造成的破坏,并在此之后可进行稳步的修复。
基本防护设计准则:单点攻击不会导致丧失关键功能:任何功能或系统将置于多重保护机制下。
[B](四)产品篇[/B]
防火墙概述:
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个可以阻止网络中的黑客访问某个网络的屏障,也可称为进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部与外部网络,以阻挡外部网络的侵入。
防火墙类型:
1.包过滤防火墙--包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表。信息过滤表是以其收到的数据为基础而建成的。这种防火墙可以用于禁止外部非法用户的访问,也可以用来禁止访问某些服务类型。但是,包过滤技术无法识别有危险的信息包;无法实施对应用级协议的处理;也无法处理UDP、RPC或动态的协议。
2.代理防火墙--又称应用层网管级防火墙。它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理结合在一起。代理防火墙无法快速支持一些新出现的业务(如:多媒体)。现在较为流行的代理服务器软件是WINGATE、PROXYSERVER...
3.双穴主机防火墙--该防火墙从一个网络搜集数据,并且有选择的把它发送到另一个网络。网络服务由双穴主机上的服务代理来提供。内网和外网用户可以通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。
主要品牌;产品介绍:
AXENT科技(提供RaptorFirewall);CheckPoint软件科技公司(FireWall-1);Cisco系统公司(PIXFirewall520);CyberGuard公司(Firewall);NetGuard公司(Guardian);NetScreen科技公司(NetScreen-100);SecureComputing公司(SecureZone)
IDS攻击入侵检测系统
基于主机类别:
COMPUTERWATCH;DISCOVERY;HAYSTACK;IDES(侵入检测专家系统);ISOA(信息安全管理员助手);MIDAS(多种侵入检测及报警系统);WISDOMANDSENSE(W&S)
基于网络类别:
NADIR(网络异常检测和入侵报告);NSM(网络安全检测器);DIDS(分布式侵入检测系统)
常用攻击检测工具:
NAI公司的CYBERCOP;ISS公司的REALSECURE;ABIRNET公司的SESSION-WALL-3;ANZEN公司的NFR(NETFLIGHTRECORDER);IBM公司的IERS(INTERNETEMERGENCYRESPONSESERVICE)。
[B]总结:[/B]
当然百分之百的网络安全当然是不存在的。但企业需要深刻地了解什么样的新技术和体系结构能够一方面实现企业处理和传递信息的主要任务,一方面又能够提供最大程度的安全保护。
[/watermark] |
