【文章內(nèi)容簡介】 造成破壞，而且是低水平的。它由用戶的FTP站點構成，對于交換文件的人來說，用戶的FTP站點成為“麻木不仁的窩臟點”。這些文件無所不包，可以是盜版軟件，也可以是色情畫。這種交換如何進行的呢？簡單的很。發(fā)送者發(fā)現(xiàn)了一個他們有權寫入和拷入可疑文件的FTP站點。通過某些其它方法，發(fā)送者通知它們的同伙文件可以使用。 所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當用戶通過FTP訪問一個系統(tǒng)時，這一般是FTP用戶所做的事。因此，F(xiàn)TP用戶可以訪問，用戶的訪問者也可以訪問。 一般說來，F(xiàn)TP用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立FTP用戶。無論如何要保證將外殼設置為真正外殼以外的東西。這一步驟防止FTP用戶通過遠程登錄進行注冊（用戶或許已經(jīng)禁止遠程登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯）。 將所有文件和目錄的主人放在根目錄下，不要放在ftp下。這個預防措施防止FTP用戶修改用戶仔細構思出的口令。然后，將口令規(guī)定為755（讀和執(zhí)行，但不能寫，除了主人之外）。在用戶希望匿名用戶訪問的所有目錄上做這項工作。盡管這個規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來。 用戶還需要編制某些可用的庫。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶需要做的一切是將/usr/lib/~ftp/usr/lib中。接著將~ftp/usr/lib上的口令改為555，并建立主接收器。最后，用戶需要在~ftp/dev/中建立/dev/null和/dev/socksys設備結(jié)點。用戶可以用mknod手工建立它們。然而，讓系統(tǒng)為用戶工作會更加容易。SCO文檔說用cpio,但是copy（非cp）很管用。如果用戶想建立一個人們都可用留下文件的目錄，那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預防措施防止它成為麻木不仁的窩臟點。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕?。如果用戶認為信息比較適合共享，那麼將拷貝到另一個目錄中。 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個步驟1) 限制對網(wǎng)關的訪問。限制網(wǎng)關上的帳號數(shù)。不要允許在網(wǎng)絡上進行根注冊；2) 不要信任任何人。網(wǎng)關不信任任何機器。沒有一臺機器應該信任網(wǎng)關；3) 不要用NFS向網(wǎng)關傳輸或接收來自網(wǎng)關的任何文件系統(tǒng)；4) 不要在網(wǎng)關上使用NIS（網(wǎng)絡信息服務）；5) 制訂和執(zhí)行一個非網(wǎng)關機器上的安全性方針；6) 關閉所有多余服務和刪除多余程序7) 刪除網(wǎng)關的所有多余程序（遠程登錄、rlogin、FTP等等）；8) 定期閱讀系統(tǒng)記錄。3. Intranet安全解決方案 Intranet安全解決方案 過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實網(wǎng)絡信息安全牽涉到方方面面的問題,是一個極其復雜的系統(tǒng)工程。從簡化的角度來看,要實施一個完整的網(wǎng)絡與信息安全體系,至少應包括三類措施,并且三者缺一不可。一是社會的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關部門、企業(yè)的主要領導應當扮演重要的角色。二是技術方面的措施,如防火墻技術、網(wǎng)絡防毒、信息加密存儲通信、身份認證、授權等。只有技術措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術與社會措施。其主要措施有:實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等,以防患于未然。 企業(yè)要實施一個安全的系統(tǒng)應該三管齊下。其中法律、企業(yè)領導層的重視應處于最重要的位置。沒有社會的參與就不可能實施安全保障。 網(wǎng)絡信息安全包括了建立安全環(huán)境的幾個重要組成部分,其中安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標準和方法。 第二部分為增強的用戶認證,用戶認證在網(wǎng)絡和信息的安全中屬于技術措施的第一道大門,最后防線為審計和數(shù)據(jù)備份,不加強這道大門的建設,整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據(jù)以下三種因素提供認證。 ,如大門鑰匙、門卡等等。 ,如密碼。 ,如指紋、聲音、視網(wǎng)膜掃描等等。 根據(jù)在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。 第三部分是授權,這主要為特許用戶提供合適的訪問權限,并監(jiān)控用戶的活動,使其不越權使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可。 第四部分是加密。在上述的安全體系結(jié)構中,加密主要滿足以下幾個需求。 ——識別用戶身份,提供訪問許可。 ——保證數(shù)據(jù)不被非法篡改。 ——保護數(shù)據(jù)不被非法用戶查看。 ——使信息接收者無法否認曾經(jīng)收到的信息。 加密是信息安全應用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網(wǎng)絡與信息安全建設中,利用加密技術至少應能解決以下問題: ,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施。 。 。 。 。 第五部分為審計和監(jiān)控,確切說,還應包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責任追查、重要數(shù)據(jù)復原等保障。在網(wǎng)絡和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎,如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權的控制過程以及事后的審計等的工作就會變得非常困難。 網(wǎng)絡信息安全產(chǎn)品 為了實施上面提出的安全體系,可采用防火墻產(chǎn)品來滿足其要求。 采用NetScreen 公司的硬件防火墻解決方案NetScreen10 amp。 NetScreen100可以滿足以下功能。 (1)訪問控制 實施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。其關鍵在于應支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應用協(xié)議以及用戶自定義協(xié)議等。 (2)普通授權與認證 提供多種認證和授權方法,控制不同的信息源。 (3)內(nèi)容安全 對流入企業(yè)內(nèi)部的網(wǎng)絡信息流實施內(nèi)部檢查,包括URL過濾等等。 (4)加密 提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸。 (5)網(wǎng)絡設備安全管理 目前一個企業(yè)網(wǎng)絡可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會有由多級網(wǎng)絡設備隔離的小網(wǎng)絡。根據(jù)信息源的分布情況,有必要對不同網(wǎng)絡和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務器的安全管理。 (6)集中管理 實施一個企業(yè)一種安全策略,實現(xiàn)集中管理、集中監(jiān)控等。 (7)提供記帳、報警功能 實施移動方式的報警功能,包括Email、SNMP等。 企業(yè)如何選擇合適的防火墻 計算機網(wǎng)絡將有效的實現(xiàn)資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進一步加強，隨之而來的信息安全問題也日益突出。并不是每一款防火墻都適應于每個用戶的需求，根據(jù)用戶需求的不同，所需要的防火墻可能完全不同。下面列舉了幾種網(wǎng)絡中的防火墻應用。 INTERNET或信息發(fā)布服務 這種情況非常普遍，ISP或ICP，企業(yè)的網(wǎng)頁，在INTERNET上提供息服務或提供數(shù)據(jù)庫服務等。任何一種想提供普遍服務或廣而告之的網(wǎng)絡行為，必須允許用戶能夠訪問到你提供服務的主機，都屬于這種情況。 對訪問服務行業(yè)而言，訪問服務提供者必須把要提供服務的服務器主機放在外部用戶可以訪問的地方，也就是說，主機安全幾乎是唯一的保證。除非明確地知道 誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設定，否則，訪問控制變得毫無意義。主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念，首先是要有一個安全的操作系統(tǒng)，建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務，如果不是你所必須提供的服務，建議除掉一切你所不需要的進程，對你的服務而言，它們都是你安全上的隱患?？梢圆捎靡恍┌踩珯z測或網(wǎng)絡掃描工具來確定你的服務器上到底有伸麼服務，以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規(guī)則，除了允許提供商愿意提供的服務之外，宣紙并拒絕所有未允許的服務，這是一個非常嚴格的措施。除了主機安全以外，如果還需要提高服務的安全性，就該考慮采用網(wǎng)絡實時監(jiān)控和交互式動態(tài)防火墻。網(wǎng)絡實時監(jiān)控系統(tǒng)，會自動捕捉網(wǎng)絡上所有的通信包，并對其進行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務商所允許的服務不同，交互式防火墻立即采取措施，封堵或拒絕用戶的訪問，將其拒絕在防火墻之外，并報警。網(wǎng)絡實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能，但成本相對偏高。 INTERNET和內(nèi)部網(wǎng)企業(yè)一方面訪問INTERNET，得到INTERNET所帶來的好處，另一方面，卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡。企業(yè)當然沒有辦法去建立兩套網(wǎng)絡來滿足這種需求。防火墻的基本思想不是對每臺主機系統(tǒng)進行保護，而是讓所有對系統(tǒng)的訪問通過某一點，并且保護這一點，并盡可能地對受保護的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡之間建立一道屏障，它可以實施比較慣犯的安全政策來控制信息流，防止不可預料的潛在的入侵破壞。根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術手段也有所不同。1) 包過濾防火墻包過濾防火墻的安全性是基于對包的IP地址的校驗。在Internet上，所有信息都是以包的形式傳輸?shù)模畔邪l(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預先設定過濾原則過濾信息包。那些不符合規(guī)定的IP地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡系統(tǒng)的安全。包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號等）判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做；建立安全策略；寫出所允許的和禁止的任務；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式；用相應的句法重寫邏輯表達式并設置之，包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則，大體有：l 對付源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）對入侵者假冒內(nèi)部主機，從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡IP地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。l 對付殘片攻擊（Tiny Fragment Attacks）入侵者使用TCP/IP數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強行將TCP/IP頭信息分成多個數(shù)據(jù)包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（Fragment Offset）為1的數(shù)據(jù)包全部丟棄即可。包過濾防火墻簡單、透明，而且非常行之有效，能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點。對于采用動態(tài)分配端口的服務，如很多RPC（遠程過程調(diào)用）服務相關聯(lián)的服務器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾。包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志，導致對過濾的IP地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議（如應用層）實現(xiàn)的安全攻擊的能力。2) 代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊，防火墻堅決予以拒絕。而代理服務器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務器接收客戶請求后會檢查驗證其合法性，如其合法，代理服務器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來，從外面只能看到代理服務器而看不到任何內(nèi)部資源。代理服務器只允許有代理的服務通過，而其他所有服務都完全被封鎖住。代理服務器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡，而也不希望內(nèi)部的用戶無限制的使用或濫用INTERNET。采用代理服務器，可以把企業(yè)的內(nèi)部網(wǎng)絡隱藏起來，內(nèi)部的用戶需要驗證和授權之后才可以去訪問INTERNET。代理服務器包含兩大類：一類是電路級代理網(wǎng)關，另一類是應用級代理網(wǎng)關。電路級網(wǎng)關又稱線路級網(wǎng)關，它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則擔當客戶機角色、起代理服務的作用。它監(jiān)視兩主機建立連接時的握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號有效后網(wǎng)關僅復制、傳遞數(shù)據(jù)，而不進行過濾。電路網(wǎng)關中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關通信的客戶機才能到達防火墻另一邊的服務器。電路級網(wǎng)關的防火墻的安全性比較高，但它仍不能檢查應用層的數(shù)據(jù)包以消除應用層攻擊的威脅。應用級網(wǎng)關使用軟件來轉(zhuǎn)發(fā)和過濾特定的應用服務，如TELNET、FTP等服務的連接。這是一種代理服務。它只允許有代理的服務通過，也就是說只有那些被認為“可信賴的”服務才被允許通過防火墻。另外代理服務還可以過濾協(xié)議，如過濾FTP連接、