局域網(wǎng)的安全性分析
摘 要 在Internet/Intranet技術(shù)迅速發(fā)展并得到廣泛應(yīng)用的今天,網(wǎng)絡(luò)安全越來越受到人們的重視。本文分析了內(nèi)部網(wǎng)絡(luò)在與互聯(lián)網(wǎng)物理隔離的情況下存在的安全威脅,初步提出了一套安全體系來保護內(nèi)部網(wǎng)絡(luò)。
關(guān)鍵詞 內(nèi)部網(wǎng)絡(luò);網(wǎng)絡(luò)安全
1 引言
目前,在我國的各個行業(yè)系統(tǒng)中,無論是涉及科學研究的大型研究所,還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè),都有大量的技術(shù)和業(yè)務(wù)機密存儲在計算機和網(wǎng)絡(luò)中,如何有效地保護這些機密數(shù)據(jù)信息,已引起各單位的巨大關(guān)注!
防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段,我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲,因此采取了一系列的防范措施,如建立兩套網(wǎng)絡(luò),一套僅用于內(nèi)部員工辦公和資源共享,稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料,稱之為外部網(wǎng)絡(luò),同時使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等。但是,各種計算機網(wǎng)絡(luò)、存儲數(shù)據(jù)遭受的攻擊和破壞,80%是內(nèi)部人員所為! (Computer World,Jan-uary 2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞,遠遠高于外部黑客的攻擊!事實上,來自內(nèi)部的攻擊更易奏效!
2 內(nèi)部網(wǎng)絡(luò)更易受到攻擊
為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下:
(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分,基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及,典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等,這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。
(2)在對Internet嚴防死守和物理隔離的措施下,對網(wǎng)絡(luò)的破壞,大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠,系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺,自然有更多的系統(tǒng)漏洞。
(3)黑客工具在Internet上很容易獲得,這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計算機技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。
(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快,百兆甚至千兆的帶寬,能讓黑客工具大顯身手。
(5)為了簡單和易用,在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的,這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。
(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進行操作,利用內(nèi)網(wǎng)速度快的特性,對關(guān)鍵數(shù)據(jù)進行竊取或者破壞。
(7)眾多的使用者所有不同的權(quán)限,管理更困難,系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴格,對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。
(8)涉密信息不僅僅限于服務(wù)器,同時也分布于各個工作計算機中,目前對個人硬盤上的涉密信息缺乏有效的控制和監(jiān)督管理辦法。
(9)由于人們對口令的不重視,弱口令很容易產(chǎn)生,很多人用諸如生日、姓名等作為口令,在內(nèi)網(wǎng)中,黑客的口令解除程序更易奏效。
3 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
目前很多企事業(yè)單位都加快了企業(yè)信息化的進程,在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),并按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展,典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP),逐步實現(xiàn)企業(yè)信息的高度集成,構(gòu)成完善的企事業(yè)問題解決鏈。
在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識,或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定,購置部分網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上,然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施,在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強,但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、涉密信息分散的特點,各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題,而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面,如何在其中尋找到一個平衡點,也是眾多企業(yè)中普遍存在的焦點問題。
4 保護內(nèi)部網(wǎng)絡(luò)的安全
內(nèi)部網(wǎng)絡(luò)的安全威脅所造成的損失是顯而易見的,如何保護內(nèi)部網(wǎng)絡(luò),使遭受的損失減少到最低限度是目前網(wǎng)絡(luò)安全研究人員不斷探索的目標。筆者根據(jù)多年的網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗,形成自己對網(wǎng)絡(luò)安全的理解,闡述如下。
4.1 內(nèi)部網(wǎng)絡(luò)的安全體系
筆者認為比較完整的內(nèi)部網(wǎng)絡(luò)的安全體系包括安全產(chǎn)品、安全技術(shù)和策略、安全管理以及安全制度等多個方面,整個體系為分層結(jié)構(gòu),分為水平層面上的安全產(chǎn)品、安全技術(shù)和策略、安全管理,其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全制度,從上至下地規(guī)定各個水平層面上的安全行為。
4.2 安全產(chǎn)品
安全產(chǎn)品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此還必須有好的安全工具把安全管理的措施具體化。
目前市場上的網(wǎng)絡(luò)安全產(chǎn)品林林總總,功能也千差萬別,通常一個廠家的產(chǎn)品只在某個方面占據(jù)領(lǐng)先的地位,各個廠家的安全產(chǎn)品在遵守安全標準的同時,會利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品基礎(chǔ)之上的。那么在選擇產(chǎn)品的時候會面臨這樣一個問題,即是選擇所需要的每個方面的頂尖產(chǎn)品呢,還是同一廠家聯(lián)盟的產(chǎn)品?筆者認為選擇每個方面的頂尖產(chǎn)品在價格上會居高不下,而且在性能上并不能達到l+1等于 2甚至大于2的效果。這是因為這些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作,不能形成聯(lián)動的、動態(tài)的安全保護層,一方面使得這些網(wǎng)絡(luò)安全產(chǎn)品本身所具有的強大功效遠沒有得到充分的發(fā)揮,另一方面,這些安全產(chǎn)品在技術(shù)實現(xiàn)上,有許多重復工作,這也影響了應(yīng)用的效率。因此網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該是建立在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上,即實現(xiàn)防火墻、IDS、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動,以實現(xiàn)最大程度和最快效果的安全保證。目前在國內(nèi)外都存在這樣的網(wǎng)絡(luò)安全聯(lián)盟實現(xiàn)產(chǎn)品之間的互聯(lián)互動,達到動態(tài)反應(yīng)的安全效果。
4.3 網(wǎng)絡(luò)安全技術(shù)和策略
內(nèi)部網(wǎng)絡(luò)的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復這三個大方向,那么安全技術(shù)和策略的實現(xiàn)也應(yīng)從這三個方面來考慮。
積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人,而不是技術(shù)。因此,應(yīng)重點由發(fā)現(xiàn)問題并填補漏洞迅速轉(zhuǎn)向查出誰是破壞者、采取彌補措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰,就無法解決問題。真正的安全策略的最佳工具應(yīng)包括實時審查目錄和服務(wù)器的功能,具體包括:不斷地自動監(jiān)視目錄,檢查用戶權(quán)限和用戶組帳戶有無變更;警惕地監(jiān)視服務(wù)器,檢查有無可疑的文件活動。無論未授權(quán)用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞,真正的安全管理工具會通知相應(yīng)管理員,并自動采取預定行動。
在積極查詢的同時,也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議,如HTTP、 Telnet,其中的用戶名和密碼的傳遞采用的是明文傳遞的方式,極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護,理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術(shù),同時采用安全的密鑰分發(fā)技術(shù),這樣既防止用戶對業(yè)務(wù)的否認和抵賴,同時又防止數(shù)據(jù)遭到竊聽后被解除,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。攻擊后恢復首先是?shù)據(jù)的安全存儲和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復;針對WWW服務(wù)器網(wǎng)頁安全問題,實施對 Web文件內(nèi)容的實時監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時報警并自動恢復,同時形成監(jiān)控和恢復日志,并提供友好的用戶界面以便用戶查看、使用,有效地保證了Web文件的完整性和真實性。
4.4 安全管理
安全管理主要是指安全管理人員。有了好的安全工具和策略,還必須有好的安全管理人員來有效的使用工具和實現(xiàn)策略。經(jīng)過培訓的安全管理員能夠隨時掌握網(wǎng)絡(luò)安全的最新動態(tài),實時監(jiān)控網(wǎng)絡(luò)上的用戶行為,保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全,并對可能存在的網(wǎng)絡(luò)威脅有一定的預見能力和采取相應(yīng)的應(yīng)對措施,同時對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時間內(nèi)做出響應(yīng),使企業(yè)的損失減少到最低限度。
企業(yè)領(lǐng)導在認識到網(wǎng)絡(luò)安全的重要性的同時,應(yīng)當投入相當?shù)慕?jīng)費用于網(wǎng)絡(luò)安全管理人員的培訓,或者聘請安全服務(wù)提供商來維護內(nèi)部網(wǎng)絡(luò)的安全。
4.5 網(wǎng)絡(luò)安全制度
網(wǎng)絡(luò)安全的威脅來自人對網(wǎng)絡(luò)的使用,因此好的網(wǎng)絡(luò)安全管理首先是對人的約束,企業(yè)并不缺乏對人的管理辦法,但在網(wǎng)絡(luò)安全方面常常忽視對網(wǎng)絡(luò)使用者的控制。要從網(wǎng)絡(luò)安全的角度來實施對人的管理,企業(yè)的領(lǐng)導必須首先認識到網(wǎng)絡(luò)安全的重要性,惟有領(lǐng)導重視了,員工才會普遍重視,在此基礎(chǔ)上制定相應(yīng)的政策法規(guī),使網(wǎng)絡(luò)安全的相關(guān)問題做到有法可依、有據(jù)可查、有功必獎、有過必懲,最大限度地提高員工的安全意識和安全技能,并在一定程度上造成對蓄意破壞分子的心理震懾。
目前許多企業(yè)已認識到網(wǎng)絡(luò)安全的重要性,已采取了一些措施并購買了相應(yīng)的設(shè)備,但在網(wǎng)絡(luò)安全法規(guī)上還沒有清醒的認識,或者是沒有較為系統(tǒng)和完善的制度,這樣在企業(yè)上下往往會造成對網(wǎng)絡(luò)安全的忽視,給不法分子以可乘之機。國際上,以 ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立,并已被廣泛采用,企業(yè)可以此為標準開展安全制度的建立工作。具體應(yīng)當明確企業(yè)領(lǐng)導、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責。安全組織應(yīng)當有企業(yè)高層掛帥,由專職的安全管理員負責安全設(shè)備的管理與維護,監(jiān)督其它人員設(shè)備安全配置的執(zhí)行情況。單位還應(yīng)形成定期的安全評審機制。只有通過以上手段加強安全管理,才能保證由安全產(chǎn)品和安全技術(shù)組成的安全防護體系能夠被有效地使用。
5 結(jié)論
要想保證內(nèi)部網(wǎng)絡(luò)的安全,在做好邊界防護的同時,更要做好內(nèi)部網(wǎng)絡(luò)的管理。所以,目前在安全業(yè)界,安全重在管理的觀念已被廣泛接受。沒有好的管理思想,嚴格的管理制度,負責的管理人員和實施到位的管理程序,就沒有真正的安全。在有了“法治”的同時,還要有“人治”,即經(jīng)驗豐富的安全管理人員和先進的網(wǎng)絡(luò)安全工具,有了這兩方面的治理,才能得到一個真正安全的網(wǎng)絡(luò)。
參考文獻
[1] 楊義先、鈕心忻,網(wǎng)絡(luò)安全理論與技術(shù)[M.人民郵電出版社,2003
[2] Linda McCarthy著,趙學良譯,信息安全一企業(yè)抵御風險之道[M].清華大學出版社,2003
[3] 求是科技:董玉格、金海、趙振,攻擊與防護:網(wǎng)絡(luò)安全與實用防護技術(shù)[M].人民郵電出版社,2002