【正文】 （ 5） 數(shù)據(jù)阻截 通過任何類型的網(wǎng)絡(luò)進行數(shù)據(jù)傳輸都可能會被未經(jīng)授權(quán)的一方截取。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。 （ 6） 社會活動 社會活動是一種越來越流行的通過非技術(shù)手段獲取保密的網(wǎng)絡(luò)安全信息的手段。社會活動的其他例子包括賄賂某一員工，以獲取對某個服務(wù)器的訪問權(quán)限，或者搜索某個同事的辦公室，以尋找可能寫在某個隱蔽地點的密碼等。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。企業(yè)可以選擇多種技術(shù)――從殺毒軟件包到專用的網(wǎng)絡(luò)安全硬件（例如防火墻和入侵檢測系統(tǒng)），來為網(wǎng)絡(luò)的所有部分提供保護。 在確定了這種解決方案以后，就可以部署能夠周期性地檢測網(wǎng)絡(luò)中的安全漏洞，提供持續(xù)、主動的安全保護的工具。在所有這些選擇都準備好以后，就可以在不嚴重影響用戶對于快速、方便地訪問信息的需求的前提下，實現(xiàn)足夠的保護。 二 . 要求員工每 90 天更換一次密碼。 四 . 讓員工了解電子郵件附件的安全風(fēng)險。 六 . 定期評估您的安全狀況。 八 . 如果您讓員工在家工作，就要為遠程數(shù)據(jù)流量提供一個安全的、集中管理的服務(wù)器。 十 . 不要運行任何不必要的網(wǎng)絡(luò)服務(wù)。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設(shè)備，在底層包過濾，對付超大 ICMP 包、 IP 偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測能力是很有限的。因此，缺乏一套整體 安全解決方案的網(wǎng)絡(luò)系統(tǒng)，其安全是肯定沒有保障的。 由于系統(tǒng)本身是不安全的，其不安全性主要體現(xiàn)在沒有進行安全地安裝配置、設(shè)置用戶及目錄的權(quán)限不當、沒有建立適當?shù)陌踩呗缘?。事實上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，但系統(tǒng)集成商 的做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患。這和系統(tǒng)集成好像構(gòu)成了一個矛盾，事實上卻不是。 另外，安全和管理是分不開的。值得注意的是這里強調(diào)的不僅要有安全管理方法，而且還要貫徹實施。所以建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。 北京富力通能源軟件技術(shù)有限公司 第 9 頁 共 75 頁 我公司的安全解決方案在 整體安全評估與安全規(guī)劃 的基礎(chǔ)上，針對客戶的具體系統(tǒng)，在尊重客戶的基礎(chǔ)并與客充分協(xié)商的基礎(chǔ)上，制定詳細的安全工程方案。 這些保護包括以下方面： 北京富力通能源軟件技術(shù)有限公司 第 10 頁 共 75 頁 (1)運行系統(tǒng)安全 ： 即保證信息處理和傳輸系統(tǒng)的安全。 (2)網(wǎng)絡(luò)上系統(tǒng)信息的安全 ： 括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數(shù)據(jù)加密。包括信息過濾等。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍? : 在任何一個信息系統(tǒng)中，風(fēng)險是客觀存在的，為了消除風(fēng)險或?qū)L(fēng)險發(fā)生的可能性降到最小，我們必須利用各種信息安全技術(shù)，這些技術(shù)可能包括：主機安全、數(shù)據(jù)加密、身份認證、訪問控制、攻擊檢測、數(shù)據(jù)恢復(fù)、安全審計、安全管理技術(shù)等等。對于信息系統(tǒng)安全問題，我們不能企圖只利用一些集成了信息安全技術(shù)的安 全產(chǎn)品來解決，我們必須考慮技術(shù)、管理和法律三方面的因素，綜合解決信息系統(tǒng)安全問題，建立信息系統(tǒng)安全保障體系。 信息的可用性 ――― 可被授權(quán)實體訪問并按需求使用的特性，即當需要時應(yīng)能存取所要的信息。 信息的機密性 ――― 信息不泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。高性能、高安全性、易用性方面的矛盾并沒有很好地解決。 隔離網(wǎng)閘技術(shù)是安全市場上的一匹黑馬。比如中網(wǎng)研制的物理隔離網(wǎng)閘XGap，它能夠中斷網(wǎng)絡(luò)的直接連接，不光檢查所有的協(xié)議，還把協(xié)議給剝離掉，直接還原成最原始的數(shù)據(jù)，對數(shù)據(jù)可以檢查和掃描，防止惡意代碼和病毒，甚至對數(shù)據(jù)的屬性進行要求，不支持 TCP/IP，不依賴操作系統(tǒng)，一句話，對 OSI 的七層進行全面檢查，在異構(gòu)介質(zhì)上重組所有的數(shù)據(jù)。 安全 網(wǎng)閘 產(chǎn)品 技術(shù)分析 互聯(lián)網(wǎng)是基于 TCP/IP 來實現(xiàn)的，而所有的攻擊都可以歸納為基于對 TCP/IP 的 OSI 數(shù)據(jù)通信模型的某一層或多層的攻擊，因此第一個最直接的想法就是斷開 TCP/IP 的 OSI 數(shù)據(jù)模型的所有層，就可以消除目前 TCP/IP 網(wǎng)絡(luò)存在的攻擊，這就是中網(wǎng)物理隔離網(wǎng)閘 XGAP實現(xiàn)網(wǎng)絡(luò)隔離的基礎(chǔ)。 一、網(wǎng)絡(luò)物理層的斷開 物理層是可以 被攻擊的。對網(wǎng)絡(luò)層的邏輯表示的攻擊方法主要是欺騙和偽造，因此可以利用認證和鑒別的方法來防止欺騙和偽造。對 MAC 地址本身直接進行訪問控制也是可行 北京富力通能源軟件技術(shù)有限公司 第 13 頁 共 75 頁 的，這就是 MAC 防火墻。 物理層的斷開是一個復(fù)雜的概念。如無線，人眼是看不見的，但物理層是連接的。如用一個木頭把兩個計 算機連著，盡管它是一個現(xiàn)實中的物理連接，卻不能基于該連接建立一個 OSI 模型中的數(shù)據(jù)鏈路的連接，因此不是一個 OSl 模型意義上的物理層的連接。 由于空氣和真空的普遍性，還無法對任何兩臺計算機確認它們不存在某種現(xiàn)實中的連接，至少證明是困難的。因此，不能簡單地給物理層的斷開下一個定義。我們來檢 查一下該定義的正確性。一個木頭連接兩個計算機，盡管它是一個現(xiàn)實中的連接，卻不是嚴格意義上 OSI 模型中的物理連接，也無法建立一個 OSI 模型中的數(shù)據(jù)鏈路，因此是斷開的。因此可以減少其他層的攻擊。在后面的技術(shù)實現(xiàn)中，我們確實發(fā)現(xiàn)存在一個基于開關(guān)的 FTP 斷點 續(xù)傳的應(yīng)用的例子，說明物理層斷開并不保證可以消除對其他層的攻擊。只要存在通信協(xié)議就可以被攻擊。 所以，網(wǎng)絡(luò)隔離也必須斷開任何可能基于物理層建立的數(shù)據(jù)鏈路，不能 OVERTCP/IP。其次，每一次的數(shù)據(jù)傳輸，是否能夠到達或正確性方面是沒有保證的。因此，用技術(shù) 術(shù)語來定義，數(shù)據(jù)鏈路的斷開是指上一次數(shù)據(jù)傳輸與下一次數(shù)據(jù)傳輸?shù)南嚓P(guān)性的概率為零。 數(shù)據(jù)鏈路的斷開，破壞了通信的基礎(chǔ)，也因此消除了基于數(shù)據(jù)鏈路的攻擊。我們可以想象一下，不可靠的數(shù)據(jù)廣播和傳輸，不代表不能正確的傳輸一次正確的數(shù)據(jù)，因此還是存在基于上層攻擊的可能性。因為剝離了 IP，就不會基于 IP 包來暴露內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，就沒有真 假 IP 地址之說，也沒有 IP 碎片，就消除了所有基于 IP 協(xié)議的攻擊。因此，消除了基于 TCP 或 UDP 的攻擊。 六、網(wǎng)絡(luò)表現(xiàn)層的斷開 表現(xiàn)層是用于保證網(wǎng)絡(luò)的跨平臺應(yīng)用。 七、網(wǎng)絡(luò)應(yīng)用層的斷開 北京富力通能源軟件技術(shù)有限公司 第 15 頁 共 75 頁 應(yīng)用層的斷開，就是消除或剝離了所有的應(yīng)用協(xié)議。有些應(yīng)用層的代理只是檢查 應(yīng)用協(xié)議是否符合規(guī)范，并不去實現(xiàn)剝離和重組的功能，因此，并沒有實現(xiàn)應(yīng)用層的斷開，只是實現(xiàn)了應(yīng)用層的檢查。隔離網(wǎng)閘的物理隔離或稱網(wǎng)絡(luò)隔離就是指全部七層的斷開。有一些例子表明，斷開了某一層，照樣存在對其他層的攻擊。 目前國內(nèi)在物理隔離網(wǎng)閘產(chǎn)品比較成熟的是聯(lián)想集團公司出品的聯(lián)想網(wǎng)御系列網(wǎng)閘隔離產(chǎn)品，以及偉 思集團公司的 ViGap 系列 面向大型網(wǎng)絡(luò)的安全隔離系統(tǒng) 的產(chǎn)品。由于互聯(lián)網(wǎng)使得一些具有商業(yè)利益價值資料或機密文件極容易暴露在網(wǎng)絡(luò)上，而這些資料也常誘使黑客 (Hacker)進行入侵攻擊，進而竊取機密信息。 傳統(tǒng)上，企業(yè)采用防火墻作為防止黑客入侵的第一道防線。因此，入侵檢測防御系統(tǒng) (Intrusion Detection And Prevention System， IDP)成為增強網(wǎng)絡(luò)安全架構(gòu)的另一個安全防護工具。特別的是這個蠕蟲并不產(chǎn)生任何的檔案或改寫什么檔案，而是隱藏在內(nèi)存當中，因此在到目前為止并沒有一個掃毒軟件能夠找出它，唯有入侵檢測防御系統(tǒng)能夠有效的檢測出這類的網(wǎng)絡(luò)蠕蟲攻擊，并有效的予以偵測防御。（如：提供 Web 服務(wù)的 Web 服務(wù)器的 80 端口，任何人連接到 80 端口的行為被視為是正常的，不進行連接控制。 入侵檢測系統(tǒng) （ IDS） 的局限性 1. 入侵檢測系統(tǒng) IDS 只對攻擊數(shù)據(jù)包做其檢測，不做任何防御阻擋動作。 3. 不能及時提供阻擋攻擊數(shù)據(jù)包功 能，易造成網(wǎng)絡(luò)被攻擊入侵。 入侵檢測防御系統(tǒng) (IDP)與入侵檢測系統(tǒng) (IDS)的比較 入侵檢測防御系統(tǒng) (IDP)具有下列優(yōu)點： ? 不需另外增加硬件設(shè)備。 ? 可檢測到入侵檢測系統(tǒng)檢測不到的攻擊行為 某些網(wǎng)絡(luò)攻擊行為 (如 DoS等 )，攻擊模式僅從網(wǎng)絡(luò)數(shù)據(jù)包著 手，因此必須依靠入侵檢測防御系統(tǒng)以數(shù)據(jù)包分析方式來檢測。 ? 與操作系統(tǒng)無關(guān) (OS Independent) 由于僅需于網(wǎng)絡(luò)中增加一套入侵檢測防御系統(tǒng)，無須更動現(xiàn)有的網(wǎng)絡(luò)架構(gòu)及操作系統(tǒng)，布署起來比入侵檢測系統(tǒng)簡單方便。 入侵檢測系統(tǒng) (IDS)缺點： ? 所有的主機可 能安裝不同的操作系統(tǒng)，而這些操作系統(tǒng)有各種不同的內(nèi)核文件，必須針對各不同系統(tǒng)安裝不同的入侵檢測系統(tǒng)。 ? 操作系統(tǒng)本身尚未發(fā)現(xiàn)的安全漏洞即是黑客極可能采用的漏洞。 ? 入侵檢測系統(tǒng)可能會因為 DenialofService(DoS)而失去作用。 ? 如果數(shù)據(jù)包已經(jīng)加密，則網(wǎng)絡(luò)型入侵檢 測系統(tǒng)就無法調(diào)查其中的內(nèi)容。 對于入侵檢測防御系統(tǒng)與入侵檢測系統(tǒng)雖然各有優(yōu)缺點，其目的也不盡相同。因此，入侵檢測防御系統(tǒng)應(yīng)是網(wǎng)絡(luò)安全上一道重要的安全防線。越來越多的 DDoS攻擊事件在互聯(lián)網(wǎng)上不斷上演。而入侵檢測防御系統(tǒng)在檢測防御 DoS及 DDoS攻擊事件上便有其不可替 北京富力通能源軟件技術(shù)有限公司 第 18 頁 共 75 頁 代的地位。 什么是拒絕服務(wù) (DoS)與分布式拒絕服務(wù) (DDoS) 在評估一個攻擊的目的與嚴重性 時，通常把攻擊的目標分成三部分來看： 第一是私密性 (Confidentiality)：指信息內(nèi)容是否被泄漏 第二是完整性 (Integrity)：信息內(nèi)容是否被竄改或更動 第三是可用性 (Availability)：想取用該資源或服務(wù)時，能夠獲得使用權(quán) 拒絕 服務(wù)攻擊 (DenialofService, DoS)就是一種專門損害信息可用性的行為。通常造成 拒絕 服務(wù)的方法有：讓系統(tǒng)當機、無法使用網(wǎng)絡(luò)聯(lián)機、使系統(tǒng)反應(yīng)變慢、資源耗盡等等。但是， 拒絕 服務(wù)攻擊通常攻擊來自同一個來源，而分布式 拒絕 服務(wù)攻擊，則以協(xié)同或偽裝的方式，讓受害主機或網(wǎng)絡(luò)，受到不同來源成千上萬的攻擊行為。一般 TCP/IP的網(wǎng)絡(luò)系統(tǒng)，均會使用一個數(shù)據(jù)結(jié)構(gòu)來儲存目前開啟的網(wǎng)絡(luò)聯(lián)機。 TCP是使用三次握手 (Threeway Handshaking)的方式來建立 一個聯(lián)機，一般正常的聯(lián)機如圖一。 圖一：正常的TCP客戶端 服務(wù)端（受害主機） SYN ACK SYN+ACK SYN_SENT LISTEN SYN_RCVD ESTABLISHED ESTABLISHED 北京富力通能源軟件技術(shù)有限公司 第 19 頁 共 75 頁 聯(lián)機。這些傀儡程序通常是因為先前攻擊或病毒感染所植入的木馬。 圖二： SYN洪流癱瘓攻擊 (SYN Flooding)。 使用 DeMaster 防制分布式拒絕服務(wù)攻擊 由 TFN的例子，我們可以發(fā)現(xiàn)，分布式 拒絕 服務(wù)攻擊，在受害主機的觀點來看，是由許多來自不同來源的數(shù)據(jù)包，匯集成大量的攻擊。首先，對于可以掌控的網(wǎng)絡(luò)， DeMaster會檢查是否有任何攻擊者到客戶端或客戶端到傀儡服務(wù)程序的控制數(shù)據(jù)包(Control Packet)，如果有的話，則在第一線加以阻絕，使其不能聯(lián)絡(luò)，自然也就消除分布式 拒絕 服務(wù)攻擊的產(chǎn)生。 DeMaster針 對這些異常的網(wǎng)絡(luò)行為攻擊，不光使用計數(shù)的方式，還使用專門的統(tǒng)計算法，來檢測網(wǎng)絡(luò)的異常并減少誤判。這樣作法的優(yōu)點是，因為正規(guī)化的關(guān)系，可以去除單純因為 流量大所產(chǎn)生的誤報。DeMaster提供微調(diào)的機制，以供用戶進一步依自己的網(wǎng)絡(luò)環(huán)境加以調(diào)整，設(shè)定畫面如圖七，如此，用戶在使用上將有更大的彈性。 北京富力通能源軟件技術(shù)有限公司 第 22 頁 共 75 頁 01020304050607080901001 2 3 4 5 6 7 8 9 10 圖六：異常時的網(wǎng)絡(luò)數(shù)據(jù)包分布圖。 北京富力通能源軟件技術(shù)有限公司 第 23 頁 共 75 頁 大掌門 DeMaster 獨特功能 主動式的入侵檢測防御系統(tǒng) (IDP) 根據(jù)入侵檢測系統(tǒng)針對入侵攻擊所采取的動作，有其主動入侵檢測防御系統(tǒng) (IDP)與被動式入侵檢測系統(tǒng)（ Passive IDS） 的分別。如發(fā)現(xiàn)異常，則透過管理接口發(fā)出警告或通知防火墻更改設(shè)定。 此時，黑客的攻擊極可能已經(jīng)造成某種程度的破壞和損失。它的工作原理類似防火墻 (Firewall)。 主動式入侵檢測防御系統(tǒng)（ IDP）要比被動式入侵檢測系統(tǒng)（ IDS）更具威力，圖十將被動式入侵檢測系統(tǒng)與主動式入侵檢測防御系統(tǒng)的配置 示意圖展現(xiàn)出來，從這里可發(fā)覺兩者之間明顯的差異。由于可獨立運作，用戶可以自由選擇所使用的防火墻 (Fir