【文章內(nèi)容簡(jiǎn)介】 造成破壞，而且是低水平的。它由用戶(hù)的FTP站點(diǎn)構(gòu)成，對(duì)于交換文件的人來(lái)說(shuō)，用戶(hù)的FTP站點(diǎn)成為“麻木不仁的窩臟點(diǎn)”。這些文件無(wú)所不包，可以是盜版軟件，也可以是色情畫(huà)。這種交換如何進(jìn)行的呢？簡(jiǎn)單的很。發(fā)送者發(fā)現(xiàn)了一個(gè)他們有權(quán)寫(xiě)入和拷入可疑文件的FTP站點(diǎn)。通過(guò)某些其它方法，發(fā)送者通知它們的同伙文件可以使用。 所有這些問(wèn)題都是由未正確規(guī)定許可條件而引起的。最大的一個(gè)問(wèn)題可能是允許FTP用戶(hù)有機(jī)會(huì)寫(xiě)入。當(dāng)用戶(hù)通過(guò)FTP訪問(wèn)一個(gè)系統(tǒng)時(shí)，這一般是FTP用戶(hù)所做的事。因此，F(xiàn)TP用戶(hù)可以訪問(wèn)，用戶(hù)的訪問(wèn)者也可以使用。所有這些問(wèn)題都是由未正確規(guī)定許可條件而引起的。最大的一個(gè)問(wèn)題可能是允許FTP用戶(hù)有機(jī)會(huì)寫(xiě)入。當(dāng)用戶(hù)通過(guò)FTP訪問(wèn)一個(gè)系統(tǒng)時(shí)，這一般是FTP用戶(hù)所做的事。因此，F(xiàn)TP用戶(hù)可以訪問(wèn)，用戶(hù)的訪問(wèn)者也可以訪問(wèn)。 一般說(shuō)來(lái)，F(xiàn)TP用戶(hù)不是用戶(hù)的系統(tǒng)中已經(jīng)有的。因此，用戶(hù)要建立FTP用戶(hù)。無(wú)論如何要保證將外殼設(shè)置為真正外殼以外的東西。這一步驟防止FTP用戶(hù)通過(guò)遠(yuǎn)程登錄進(jìn)行注冊(cè)（用戶(hù)或許已經(jīng)禁止遠(yuǎn)程登錄，但是萬(wàn)一用戶(hù)沒(méi)有這樣做，確認(rèn)一下也不會(huì)有錯(cuò)）。 將所有文件和目錄的主人放在根目錄下，不要放在ftp下。這個(gè)預(yù)防措施防止FTP用戶(hù)修改用戶(hù)仔細(xì)構(gòu)思出的口令。然后，將口令規(guī)定為755（讀和執(zhí)行，但不能寫(xiě)，除了主人之外）。在用戶(hù)希望匿名用戶(hù)訪問(wèn)的所有目錄上做這項(xiàng)工作。盡管這個(gè)規(guī)定允許他們讀目錄，但它也防止他們把什麼東西放到目錄中來(lái)。 用戶(hù)還需要編制某些可用的庫(kù)。然而，由于用戶(hù)已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此，用戶(hù)需要做的一切是將/usr/lib/~ftp/usr/lib中。接著將~ftp/usr/lib上的口令改為555，并建立主接收器。最后，用戶(hù)需要在~ftp/dev/中建立/dev/null和/dev/socksys設(shè)備結(jié)點(diǎn)。用戶(hù)可以用mknod手工建立它們。然而，讓系統(tǒng)為用戶(hù)工作會(huì)更加容易。SCO文檔說(shuō)用cpio,但是copy（非cp）很管用。如果用戶(hù)想建立一個(gè)人們都可用留下文件的目錄，那麼可將它稱(chēng)作輸入。允許其他人寫(xiě)入這個(gè)目錄，但不能讀。這個(gè)預(yù)防措施防止它成為麻木不仁的窩臟點(diǎn)。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕?。如果用?hù)認(rèn)為信息比較適合共享，那麼將拷貝到另一個(gè)目錄中。 提高企業(yè)內(nèi)部網(wǎng)安全性的幾個(gè)步驟1) 限制對(duì)網(wǎng)關(guān)的訪問(wèn)。限制網(wǎng)關(guān)上的帳號(hào)數(shù)。不要允許在網(wǎng)絡(luò)上進(jìn)行根注冊(cè)；2) 不要信任任何人。網(wǎng)關(guān)不信任任何機(jī)器。沒(méi)有一臺(tái)機(jī)器應(yīng)該信任網(wǎng)關(guān)；3) 不要用NFS向網(wǎng)關(guān)傳輸或接收來(lái)自網(wǎng)關(guān)的任何文件系統(tǒng)；4) 不要在網(wǎng)關(guān)上使用NIS（網(wǎng)絡(luò)信息服務(wù)）；5) 制訂和執(zhí)行一個(gè)非網(wǎng)關(guān)機(jī)器上的安全性方針；6) 關(guān)閉所有多余服務(wù)和刪除多余程序7) 刪除網(wǎng)關(guān)的所有多余程序（遠(yuǎn)程登錄、rlogin、FTP等等）；8) 定期閱讀系統(tǒng)記錄。3. Intranet安全解決方案 Intranet安全解決方案 過(guò)去我們往往把信息安全局限于通信保密,局限于對(duì)信息加密功能要求,其實(shí)網(wǎng)絡(luò)信息安全牽涉到方方面面的問(wèn)題,是一個(gè)極其復(fù)雜的系統(tǒng)工程。從簡(jiǎn)化的角度來(lái)看,要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系,至少應(yīng)包括三類(lèi)措施,并且三者缺一不可。一是社會(huì)的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關(guān)部門(mén)、企業(yè)的主要領(lǐng)導(dǎo)應(yīng)當(dāng)扮演重要的角色。二是技術(shù)方面的措施,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、身份認(rèn)證、授權(quán)等。只有技術(shù)措施并不能保證百分之百的安全。三是審計(jì)和管理措施,該方面措施同時(shí)包含了技術(shù)與社會(huì)措施。其主要措施有:實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢查等,以防患于未然。 企業(yè)要實(shí)施一個(gè)安全的系統(tǒng)應(yīng)該三管齊下。其中法律、企業(yè)領(lǐng)導(dǎo)層的重視應(yīng)處于最重要的位置。沒(méi)有社會(huì)的參與就不可能實(shí)施安全保障。 網(wǎng)絡(luò)信息安全包括了建立安全環(huán)境的幾個(gè)重要組成部分,其中安全的基石是社會(huì)法律、法規(guī)與手段,這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。 第二部分為增強(qiáng)的用戶(hù)認(rèn)證,用戶(hù)認(rèn)證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門(mén),最后防線(xiàn)為審計(jì)和數(shù)據(jù)備份,不加強(qiáng)這道大門(mén)的建設(shè),整個(gè)安全體系就會(huì)較脆弱。用戶(hù)認(rèn)證的主要目的是提供訪問(wèn)控制和不可抵賴(lài)的作用。用戶(hù)認(rèn)證方法按其層次不同可以根據(jù)以下三種因素提供認(rèn)證。 ,如大門(mén)鑰匙、門(mén)卡等等。 ,如密碼。 ,如指紋、聲音、視網(wǎng)膜掃描等等。 根據(jù)在認(rèn)證中采用因素的多少,可以分為單因素認(rèn)證、雙因素認(rèn)證,多因素認(rèn)證等方法。 第三部分是授權(quán),這主要為特許用戶(hù)提供合適的訪問(wèn)權(quán)限,并監(jiān)控用戶(hù)的活動(dòng),使其不越權(quán)使用。該部分與訪問(wèn)控制(常說(shuō)的隔離功能)是相對(duì)立的。隔離不是管理的最終目的,管理的最終目的是要加強(qiáng)信息有效、安全的使用,同時(shí)對(duì)不同用戶(hù)實(shí)施不同訪問(wèn)許可。 第四部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿(mǎn)足以下幾個(gè)需求。 ——識(shí)別用戶(hù)身份,提供訪問(wèn)許可。 ——保證數(shù)據(jù)不被非法篡改。 ——保護(hù)數(shù)據(jù)不被非法用戶(hù)查看。 ——使信息接收者無(wú)法否認(rèn)曾經(jīng)收到的信息。 加密是信息安全應(yīng)用中最早開(kāi)展的有效手段之一,數(shù)據(jù)通過(guò)加密可以保證在存取與傳送的過(guò)程中不被非法查看、篡改、竊取等。在實(shí)際的網(wǎng)絡(luò)與信息安全建設(shè)中,利用加密技術(shù)至少應(yīng)能解決以下問(wèn)題: ,包括數(shù)據(jù)加密鑰匙、私人證書(shū)、私密等的保證分發(fā)措施。 。 。 。 。 第五部分為審計(jì)和監(jiān)控,確切說(shuō),還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線(xiàn)。系統(tǒng)一旦出了問(wèn)題,這部分可以提供問(wèn)題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障。在網(wǎng)絡(luò)和信息安全模型中,這五個(gè)部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ),如果缺少下面各層次的安全保障,上一層的安全措施則無(wú)從說(shuō)起。如果一個(gè)企業(yè)沒(méi)有對(duì)授權(quán)用戶(hù)的操作規(guī)范、安全政策和教育等方面制定有效的管理標(biāo)準(zhǔn),那么對(duì)用戶(hù)授權(quán)的控制過(guò)程以及事后的審計(jì)等的工作就會(huì)變得非常困難。 網(wǎng)絡(luò)信息安全產(chǎn)品 為了實(shí)施上面提出的安全體系,可采用防火墻產(chǎn)品來(lái)滿(mǎn)足其要求。 采用NetScreen 公司的硬件防火墻解決方案NetScreen10 amp。 NetScreen100可以滿(mǎn)足以下功能。 (1)訪問(wèn)控制 實(shí)施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門(mén)之間的隔離。其關(guān)鍵在于應(yīng)支持目前Internet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無(wú)連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶(hù)自定義協(xié)議等。 (2)普通授權(quán)與認(rèn)證 提供多種認(rèn)證和授權(quán)方法,控制不同的信息源。 (3)內(nèi)容安全 對(duì)流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實(shí)施內(nèi)部檢查,包括URL過(guò)濾等等。 (4)加密 提供防火墻與防火墻之間、防火墻與移動(dòng)用戶(hù)之間信息的安全傳輸。 (5)網(wǎng)絡(luò)設(shè)備安全管理 目前一個(gè)企業(yè)網(wǎng)絡(luò)可能會(huì)有多個(gè)連通外界的出口,如連接ISP的專(zhuān)線(xiàn)、撥號(hào)線(xiàn)等,同時(shí),在大的企業(yè)網(wǎng)內(nèi)不同部門(mén)和分公司之間可能亦會(huì)有由多級(jí)網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。根據(jù)信息源的分布情況,有必要對(duì)不同網(wǎng)絡(luò)和資源實(shí)施不同的安全策略和多種級(jí)別的安全保護(hù),如可以在防火墻上實(shí)施路由器、交換機(jī)、訪問(wèn)服務(wù)器的安全管理。 (6)集中管理 實(shí)施一個(gè)企業(yè)一種安全策略,實(shí)現(xiàn)集中管理、集中監(jiān)控等。 (7)提供記帳、報(bào)警功能 實(shí)施移動(dòng)方式的報(bào)警功能,包括Email、SNMP等。 企業(yè)如何選擇合適的防火墻 計(jì)算機(jī)網(wǎng)絡(luò)將有效的實(shí)現(xiàn)資源共享,但資源共享和信息安全是一對(duì)矛盾。隨著資源共享進(jìn)一步加強(qiáng)，隨之而來(lái)的信息安全問(wèn)題也日益突出。并不是每一款防火墻都適應(yīng)于每個(gè)用戶(hù)的需求，根據(jù)用戶(hù)需求的不同，所需要的防火墻可能完全不同。下面列舉了幾種網(wǎng)絡(luò)中的防火墻應(yīng)用。 INTERNET或信息發(fā)布服務(wù) 這種情況非常普遍，ISP或ICP，企業(yè)的網(wǎng)頁(yè)，在INTERNET上提供息服務(wù)或提供數(shù)據(jù)庫(kù)服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為，必須允許用戶(hù)能夠訪問(wèn)到你提供服務(wù)的主機(jī)，都屬于這種情況。 對(duì)訪問(wèn)服務(wù)行業(yè)而言，訪問(wèn)服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機(jī)放在外部用戶(hù)可以訪問(wèn)的地方，也就是說(shuō)，主機(jī)安全幾乎是唯一的保證。除非明確地知道 誰(shuí)會(huì)對(duì)你的訪問(wèn)驚醒破壞，才可以對(duì)出口路由器或出口防火墻驚醒一些針對(duì)性的限制訪問(wèn)控制的設(shè)定，否則，訪問(wèn)控制變得毫無(wú)意義。主機(jī)安全是一個(gè)非常有效的手段。所謂的主機(jī)安全是一個(gè)非常廣義的概念，首先是要有一個(gè)安全的操作系統(tǒng)，建立在一個(gè)不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無(wú)法作到一個(gè)安全的主機(jī)。然后是仔細(xì)的檢查你所提供的服務(wù)，如果不是你所必須提供的服務(wù)，建議除掉一切你所不需要的進(jìn)程，對(duì)你的服務(wù)而言，它們都是你安全上的隱患?？梢圆捎靡恍┌踩珯z測(cè)或網(wǎng)絡(luò)掃描工具來(lái)確定你的服務(wù)器上到底有伸麼服務(wù)，以保證是否有安全漏洞或隱患。最后是對(duì)主機(jī)確定非常嚴(yán)格的訪問(wèn)限制規(guī)則，除了允許提供商愿意提供的服務(wù)之外，宣紙并拒絕所有未允許的服務(wù)，這是一個(gè)非常嚴(yán)格的措施。除了主機(jī)安全以外，如果還需要提高服務(wù)的安全性，就該考慮采用網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和交互式動(dòng)態(tài)防火墻。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)，會(huì)自動(dòng)捕捉網(wǎng)絡(luò)上所有的通信包，并對(duì)其進(jìn)行分析和解析，并判斷出用戶(hù)的行為和企圖。如果發(fā)現(xiàn)用戶(hù)的行為或企圖與服務(wù)商所允許的服務(wù)不同，交互式防火墻立即采取措施，封堵或拒絕用戶(hù)的訪問(wèn)，將其拒絕在防火墻之外，并報(bào)警。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)和交互式防火墻具有很強(qiáng)的審計(jì)功能，但成本相對(duì)偏高。 INTERNET和內(nèi)部網(wǎng)企業(yè)一方面訪問(wèn)INTERNET，得到INTERNET所帶來(lái)的好處，另一方面，卻不希望外部用戶(hù)去訪問(wèn)企業(yè)的內(nèi)部數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒(méi)有辦法去建立兩套網(wǎng)絡(luò)來(lái)滿(mǎn)足這種需求。防火墻的基本思想不是對(duì)每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù)，而是讓所有對(duì)系統(tǒng)的訪問(wèn)通過(guò)某一點(diǎn)，并且保護(hù)這一點(diǎn)，并盡可能地對(duì)受保護(hù)的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障，它可以實(shí)施比較慣犯的安全政策來(lái)控制信息流，防止不可預(yù)料的潛在的入侵破壞。根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。1) 包過(guò)濾防火墻包過(guò)濾防火墻的安全性是基于對(duì)包的IP地址的校驗(yàn)。在Internet上，所有信息都是以包的形式傳輸?shù)?，信息包中包含發(fā)送方的IP地址和接收方的IP地址。包過(guò)濾防火墻將所有通過(guò)的信息包中發(fā)送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態(tài)等信息讀出，并按照預(yù)先設(shè)定過(guò)濾原則過(guò)濾信息包。那些不符合規(guī)定的IP地址的信息包會(huì)被防火墻過(guò)濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全。包過(guò)濾防火墻是基于訪問(wèn)控制來(lái)實(shí)現(xiàn)的。它利用數(shù)據(jù)包的頭信息（源IP地址、封裝協(xié)議、端口號(hào)等）判定與過(guò)濾規(guī)則相匹配與否決定舍取。建立這類(lèi)防火墻需按如下步驟去做；建立安全策略；寫(xiě)出所允許的和禁止的任務(wù)；將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達(dá)式；用相應(yīng)的句法重寫(xiě)邏輯表達(dá)式并設(shè)置之，包過(guò)濾防火墻主要是防止外來(lái)攻擊，或是限制內(nèi)部用戶(hù)訪問(wèn)某些外部的資源。如果是防止外部攻擊，針對(duì)典型攻擊的過(guò)濾規(guī)則，大體有：l 對(duì)付源IP地址欺騙式攻擊（Source IP Address Spoofing Attacks）對(duì)入侵者假冒內(nèi)部主機(jī)，從外部傳輸一個(gè)源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類(lèi)攻擊，防火墻只需把來(lái)自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉。l 對(duì)付殘片攻擊（Tiny Fragment Attacks）入侵者使用TCP/IP數(shù)據(jù)包 分段特性，創(chuàng)建極小的分段并強(qiáng)行將TCP/IP頭信息分成多個(gè)數(shù)據(jù)包，以繞過(guò)用戶(hù)防火墻的過(guò)濾規(guī)則。黑客期望防火墻只檢查第一個(gè)分段而允許其余的分段通過(guò)。對(duì)付這類(lèi)攻擊，防火墻只需將TCP/IP協(xié)議片斷位移植（Fragment Offset）為1的數(shù)據(jù)包全部丟棄即可。包過(guò)濾防火墻簡(jiǎn)單、透明，而且非常行之有效，能解決大部分的安全問(wèn)題，但必須了解包過(guò)濾防火墻不能做伸麼和有伸麼缺點(diǎn)。對(duì)于采用動(dòng)態(tài)分配端口的服務(wù)，如很多RPC（遠(yuǎn)程過(guò)程調(diào)用）服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動(dòng)時(shí)隨機(jī)分配端口的，就很難進(jìn)行有效地過(guò)濾。包過(guò)濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對(duì)其作日志，導(dǎo)致對(duì)過(guò)濾的IP地址的不同用戶(hù)，不具備用戶(hù)身份認(rèn)證功能，不具備檢測(cè)通過(guò)高層協(xié)議（如應(yīng)用層）實(shí)現(xiàn)的安全攻擊的能力。2) 代理防火墻包過(guò)濾防火墻從很大意義上像一場(chǎng)戰(zhàn)爭(zhēng)，黑客想攻擊，防火墻堅(jiān)決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來(lái)。代理服務(wù)器接收客戶(hù)請(qǐng)求后會(huì)檢查驗(yàn)證其合法性，如其合法，代理服務(wù)器象一臺(tái)客戶(hù)機(jī)一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶(hù)。它將內(nèi)部系統(tǒng)與外界隔離開(kāi)來(lái)，從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過(guò)，而其他所有服務(wù)都完全被封鎖住。代理服務(wù)器非常適合那些根本就不希望外部用戶(hù)訪問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶(hù)無(wú)限制的使用或?yàn)E用INTERNET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來(lái)，內(nèi)部的用戶(hù)需要驗(yàn)證和授權(quán)之后才可以去訪問(wèn)INTERNET。代理服務(wù)器包含兩大類(lèi)：一類(lèi)是電路級(jí)代理網(wǎng)關(guān)，另一類(lèi)是應(yīng)用級(jí)代理網(wǎng)關(guān)。電路級(jí)網(wǎng)關(guān)又稱(chēng)線(xiàn)路級(jí)網(wǎng)關(guān)，它工作在會(huì)話(huà)層。它在兩主機(jī)收次建立TCP連接時(shí)創(chuàng)立一個(gè)電子屏障。它作為服務(wù)器接收外來(lái)請(qǐng)求，轉(zhuǎn)發(fā)請(qǐng)求；與被保護(hù)的主機(jī)連接時(shí)則擔(dān)當(dāng)客戶(hù)機(jī)角色、起代理服務(wù)的作用。它監(jiān)視兩主機(jī)建立連接時(shí)的握手信息，如Syn、Ack和序列數(shù)據(jù)等是否合乎邏輯，信號(hào)有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路網(wǎng)關(guān)中特殊的客戶(hù)程序只在初次連接時(shí)進(jìn)行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶(hù)機(jī)才能到達(dá)防火墻另一邊的服務(wù)器。電路級(jí)網(wǎng)關(guān)的防火墻的安全性比較高，但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。應(yīng)用級(jí)網(wǎng)關(guān)使用軟件來(lái)轉(zhuǎn)發(fā)和過(guò)濾特定的應(yīng)用服務(wù)，如TELNET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過(guò)，也就是說(shuō)只有那些被認(rèn)為“可信賴(lài)的”服務(wù)才被允許通過(guò)防火墻。另外代理服務(wù)還可以過(guò)濾協(xié)議，如過(guò)濾FTP連接、