【正文】 也不容忽視。內(nèi)部工作人員的違規(guī)行為的案例也不是沒有的。同時(shí)，IT 環(huán)境與行政建制相交叉，因此需要 進(jìn)行各個(gè)部門與其 IT 系統(tǒng)的使用，維護(hù) ，管理等環(huán)節(jié)的審核與規(guī)范；規(guī)范人員分類 ：操作、更改 業(yè)務(wù)、維護(hù)業(yè)務(wù)、管理系統(tǒng)、 維護(hù)系統(tǒng)等；制度系統(tǒng)操作與訪問規(guī)則。信息系統(tǒng)的安全防護(hù)需要與實(shí)際應(yīng)用環(huán)境，工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式與機(jī)構(gòu)進(jìn)行密切結(jié)合，從而在信息系統(tǒng)中建立一個(gè)完善的安全體系。我們應(yīng)該通過定義網(wǎng)絡(luò)安全規(guī)范，明確各級(jí)部門和人員對(duì)網(wǎng)絡(luò)使用的范圍與權(quán)力，控制網(wǎng)絡(luò)與外界的聯(lián)接，監(jiān)測(cè)和防御網(wǎng)絡(luò)入侵攻擊，制止非法信息傳輸，保護(hù) WEB 系統(tǒng)，保證只有授 權(quán)許可的通信才可以在客戶機(jī)和服務(wù)器之間建立連接，而且正在傳輸當(dāng)中的數(shù)據(jù)不能被讀取和改變。網(wǎng)絡(luò)訪問控制系統(tǒng)應(yīng)該具有如下要求：? 不僅能夠按照來訪者的 IP 地址區(qū)分用戶， 還應(yīng)該對(duì)來訪者的身份進(jìn)行驗(yàn)證? 不僅支持面向連接的通訊，還要支持 UDP 等非連接的通訊? 不僅可以控制用戶可訪問哪些網(wǎng)絡(luò)資源，還應(yīng)該能控制允許訪問的日期和時(shí)間? 對(duì)一些復(fù)雜的應(yīng)用協(xié)議，如 FTP、UDP、TFTP、Real Audio、RPC 和port mapper、Encapsulated TCP/IP 等，采用特定的 邏輯來監(jiān)視和過濾數(shù)據(jù)包。2) 網(wǎng)絡(luò)地址翻譯 使用網(wǎng) 絡(luò)地址翻譯技術(shù)，可以讓 IP 數(shù)據(jù)包的源地址和目的地址以及 TCP 或 UDP 的端口號(hào)在進(jìn)出內(nèi)部網(wǎng)時(shí)發(fā)生改變，這樣可以屏蔽網(wǎng)絡(luò)內(nèi)部細(xì)節(jié)，防止外部黑客利用 IP 探測(cè)技術(shù)發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和服務(wù)器真實(shí)地址，進(jìn)行攻擊。3) 可疑網(wǎng)絡(luò)活動(dòng)的檢測(cè) 我們知道，帶有 ActiveX、 Java、JavaScript、VBScript 的 WEB 頁面、電子郵件的附件、 帶宏的10 / 109Office 文檔等 經(jīng)常帶有一些可以 執(zhí)行的程序， 這些程序中很可能帶有計(jì)算機(jī)病毒以及特絡(luò)伊木馬、BO 等黑客工具，具有潛在的危險(xiǎn)性。 網(wǎng)絡(luò)入侵防御 在內(nèi)部的網(wǎng)絡(luò)上，也可能存在來自內(nèi)部的一些惡意攻擊和網(wǎng)絡(luò)誤用情況，甚至可能存在來自外部的惡意入侵。 系統(tǒng)級(jí)安全防護(hù)如前所述，UNIX/Windows 操作系統(tǒng)本身存在許多安全漏洞和隱患，必須加強(qiáng)這一級(jí)別的安全防護(hù)，才能保護(hù)敏感的信息資源。提示管理員進(jìn)行正確配置。? 按照登錄時(shí)間、地點(diǎn)和登錄方式限制用戶的登錄請(qǐng)求3) 增強(qiáng)訪問控制管理 安全管理應(yīng)該從如下方面加 強(qiáng) UNIX 的訪問控制機(jī)制：? 對(duì)文件的訪問控制除提供讀(Read)，寫 (Write)，執(zhí)行(Execute)權(quán)限外，還應(yīng)該有建立(Create)，搜索 (Search)，刪除(Delete)，更改（Update),控制(Control)等權(quán)限以滿足復(fù)雜安全環(huán)境的需求? 應(yīng)該能夠限制資產(chǎn)被訪問的時(shí)間和日期。自從80 年代計(jì)算機(jī)病毒出現(xiàn)以來，已經(jīng)有數(shù)萬種病毒及其變種出現(xiàn)，給計(jì)算機(jī)安全和數(shù)據(jù)安全造成了極大的破壞。據(jù) NCSA 統(tǒng)計(jì)，1995 年到1996 年，計(jì)算機(jī)病毒的數(shù)量增加了 10 倍，其 傳播途徑也從主要靠軟盤拷貝變?yōu)橥ㄟ^光盤、網(wǎng)絡(luò)、 電子郵件、文件下 載等多種方式，傳播速度越來越快。如何保證企業(yè)內(nèi)部網(wǎng)絡(luò)抵御網(wǎng)絡(luò)外部的病毒入侵， 從而保障系統(tǒng)的安全運(yùn)行是目前企業(yè)系統(tǒng)管理員最為關(guān)心的問題。5) WEB 服務(wù)器的專門保護(hù) 我們應(yīng)該針對(duì)重要的、最常受到攻擊的應(yīng)用系統(tǒng)實(shí)施特別的保護(hù)。對(duì)于 WEB 的安全維護(hù)管理，特 別是主頁的 維護(hù)，修改主頁是一種典型的網(wǎng)絡(luò)傷害行為，所以主頁的保護(hù)，及 時(shí)恢復(fù)是對(duì)此行為的有效打擊。這些政策包括了解其網(wǎng)絡(luò)利用情況、檢測(cè)入侵和可疑網(wǎng)絡(luò)活動(dòng)時(shí)需要的規(guī)則。這些規(guī)則包括了監(jiān)控/阻塞具體用 戶組、地址、域訪問特定的 Web 站點(diǎn)、URL 或內(nèi)部服務(wù)器的功能。因此對(duì)于 IT 系統(tǒng)的安全管理，不應(yīng)該僅僅是對(duì)于 IT 設(shè)備的安全保護(hù)， 還要對(duì)人員進(jìn)行安全規(guī)范化管理。其中的一個(gè)關(guān)鍵環(huán)節(jié)是對(duì)于行政機(jī)制中人員的級(jí)別與權(quán)限，如何能夠有效、準(zhǔn)確、及 時(shí)的體現(xiàn)在其日常所接觸到的 IT 系統(tǒng)中。而且集中的，一致的管理，可以使人力資源有限的實(shí)際問題得到一定程度的緩解。通過該方案，可以 實(shí)現(xiàn)“ 一人一個(gè)帳號(hào)、一個(gè)口令”登錄 管理模式。結(jié)合指紋識(shí)別器、智能卡、令牌卡等物理設(shè)備，構(gòu)成網(wǎng)絡(luò)安全通訊、鑒定、審計(jì)、集中化的安全策略。例如，一個(gè)系 統(tǒng)管理員可能要管理 5 臺(tái) UNIX 主機(jī)、 20 臺(tái) Windows NT 服務(wù)器、維護(hù) 上面的多個(gè)數(shù)據(jù)庫、維護(hù)電子郵件系統(tǒng)、還要管理多臺(tái)網(wǎng)絡(luò)設(shè)備等，他需要記憶各個(gè)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備的用戶名和口令。各種系統(tǒng) 用戶的口令應(yīng)該互不相關(guān)，口令比較長而且沒有規(guī)律，在使用一段時(shí)間后要改變?yōu)樾碌闹担?這樣才能保證統(tǒng)的安全。人們往13 / 109往對(duì)他所維護(hù)的所有系統(tǒng)都使用相同或相似的口令，口令常常使用自己或親朋好友的姓名、生日、紀(jì)念日等。當(dāng)系統(tǒng)要求用戶改變口令時(shí)，人們往往按照一定規(guī)律改變，如數(shù)字加一、字母后移一個(gè)等，這樣“黑客”很容易根據(jù)老口令猜到新口令。以上這些都對(duì)系統(tǒng)安全性帶來了極大的威脅。因此，好的系統(tǒng)安全管理架構(gòu)不但應(yīng)該針對(duì)網(wǎng)絡(luò)、 計(jì)算機(jī)、 應(yīng)用等 IT環(huán)境加強(qiáng)安全管理，而且應(yīng)該 能夠盡量減少這種人為因素造成的安全損失。用戶應(yīng)該可以通過用戶 名/口令、指紋識(shí)別器、智能卡、令牌卡等多種方式獲得安全管理服務(wù)器的系統(tǒng)認(rèn)證，然后只需在計(jì)算機(jī)的圖形用戶界面上雙擊代表某一應(yīng)用的圖標(biāo)，就可以直接訪問該應(yīng)用。2) 實(shí)施統(tǒng)一的用戶和目錄管理機(jī)制隨著企業(yè)分布式計(jì)算環(huán)境的發(fā)展，需要管理的資源越來越多，如用戶、用戶組、 計(jì)算機(jī)之間的信任關(guān)系、不同操作系統(tǒng)、不同通訊協(xié)議、不同的數(shù)據(jù)庫系統(tǒng)、不同的服務(wù)器和桌面機(jī)等等。單獨(dú)地維護(hù)多種目錄體系既費(fèi)時(shí)費(fèi)力，又容易出錯(cuò)，還難以保證系統(tǒng)的總體安全性和一致性。在通常的管理模式中，每種系統(tǒng)都有自己的系統(tǒng)管理員，如 UNIX 的超級(jí)用戶為 root、Windows NT 的管理員為 administrator、Sybase 和 MS SQL Server 的系 統(tǒng)管理員為 sa 等等。好的安全管理模式應(yīng)該幫助用戶解決上述問題，允許用戶在單一的界面中管理不同系統(tǒng)的用戶和目錄結(jié)構(gòu)，可以同時(shí)在多個(gè)不同的操作系統(tǒng)平臺(tái)上創(chuàng)建、修改和刪除用 戶，提供跨平臺(tái)的用 戶 策略一致性管理。做類似工作的所有用戶可能需要類似的安全權(quán)限，安全管理應(yīng)該提供角色的概念，可以將不同平臺(tái)上有類似安全權(quán)限需求的用戶規(guī)劃成組，將用戶帳號(hào)歸為角色的概念之下，用戶可以對(duì)同一角色的用戶進(jìn)行相同的管理，不管這些用戶是屬于那個(gè)平臺(tái)、從事何種功能，使得管理員可迅速地在企業(yè)內(nèi)不同操作系統(tǒng)下迅速地創(chuàng)建所需的用戶帳號(hào)。該方案的戰(zhàn)略主導(dǎo)是以企業(yè)整體為核心，同時(shí)使用公共的服務(wù)和標(biāo)準(zhǔn)并可與其他供應(yīng)商的解決方案相集成。COMPUTER ASSOCIATES 的解決方案是提供一個(gè)企業(yè)級(jí)安全管理方案，以解決 IT 基礎(chǔ)設(shè)施內(nèi)各個(gè)領(lǐng)域的問題， COMPUTER ASSOCIATES 明確了以下的 這些安全領(lǐng)域:1. 網(wǎng)絡(luò)2. 服務(wù)器3. 用戶4. 應(yīng)用程序與服務(wù)5. 數(shù)據(jù)由于各項(xiàng)安全技術(shù)所涉及的底層技術(shù)各不相同， 用來保護(hù)每一安全領(lǐng)域機(jī)制也有所不同，COMPUTER ASSOCIATES 確定了如下的機(jī)制:領(lǐng) 域 安全機(jī)制網(wǎng)絡(luò)安全 ? 訪問控制? 入侵探測(cè)? 安全通信服務(wù)器和工作站安全 ? 防病毒? 訪問控制? 政策審查? 風(fēng)險(xiǎn)評(píng)估? 入侵探測(cè)用戶安全 ? 身份驗(yàn)證? 單點(diǎn)注冊(cè)? 帳戶管理16 / 109應(yīng)用程序和服務(wù)安全 ? 授權(quán)? 口令控制數(shù)據(jù)安全 ? 保密性? 完整性 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全關(guān)系到什么人和什么內(nèi)容具有訪問權(quán)，查明任何非法訪問或偶然訪問的入侵者，保證只有授權(quán)許可的通信才可以在客戶機(jī)和服務(wù)器之間建立連接，而且正在傳輸當(dāng)中的數(shù)據(jù)不能被讀取和改變。 防止病毒和特洛伊木 馬的侵入。 風(fēng)險(xiǎn)評(píng)估被用來檢查系統(tǒng)安全配置的缺陷，發(fā)現(xiàn)安全漏洞。 用戶安全用戶賬戶是通向系統(tǒng)內(nèi)所有資源的訪問關(guān)口。身份驗(yàn)證用來確保用戶的登錄身份與其真實(shí)身份相符，并對(duì)其提供單點(diǎn)注冊(cè)， 以解決多個(gè)口令的 問題。17 / 109 數(shù)據(jù)安全數(shù)據(jù)保密性可以保證非法或好奇者無法閱讀它，不論是在儲(chǔ)存狀態(tài)還是在傳遞當(dāng)中。 eTrustCOMPUTER ASSOCIATES 的安全方案直接針對(duì)上述模型中所有關(guān)鍵的安全領(lǐng)域，而且是目前業(yè)界一種最為全面有效的解決方案。 COMPUTER ASSOCIATES 還設(shè)立了專業(yè)的服務(wù)部門來加強(qiáng)技術(shù)上的支持與服務(wù)， 為用戶提供安全咨 詢， 培訓(xùn)和安裝實(shí)施。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。CA 公司的 eTrust Firewall 是一個(gè)通過控制網(wǎng)絡(luò)訪問來保護(hù)系統(tǒng)資源的解決方案。eTrust Firewall 具有高性能、可管理性、可升級(jí)性等特點(diǎn)，并且能夠提供對(duì)網(wǎng)絡(luò)系 統(tǒng)的全面保護(hù)—針對(duì)Inter 或 Intra。CA 公司的eTrust Firewall 也是同樣原理，它基于多種 標(biāo)準(zhǔn)對(duì) 數(shù)據(jù)包進(jìn)行過濾，包括特定的應(yīng)用、網(wǎng) 絡(luò)服務(wù)、源/目的地址等，同時(shí)使用單一的規(guī)則為整體網(wǎng)絡(luò)提供一致的安全策略。CA 公司的 eTrust Firewall 非常易于實(shí)施，管理員可以通過簡單的導(dǎo)向（Wizard）就可以完成安裝與 設(shè)置工作。 結(jié)構(gòu)與工作原理 產(chǎn)品的結(jié)構(gòu)eTrust Firewall 是由以下幾個(gè)主要模塊（Admin server，admin client，firewall engine）共同工作來提供對(duì) 網(wǎng)絡(luò)的安全保護(hù)的。在企 業(yè)版中，一個(gè) admin server 可以管理多個(gè)運(yùn)行在不同平臺(tái)上的防火墻引擎（firewall engine）。Admin Server 同樣提供對(duì)試圖訪問防火墻或?qū)Ψ阑饓M(jìn)行管理操作的用戶身份的認(rèn)證。在企業(yè)版 Firewall 中，可以支持多個(gè) Admin Client 的安裝，管理員可以在多個(gè)控制臺(tái)上遠(yuǎn)程管理防火墻的設(shè)置。它由 kernel mode 模 塊和 user mode 模塊組成。另外 eTrust Firewall 還有兩個(gè)模塊用于用戶身份認(rèn)證：eTrust Firewall User Client 和 eTrust Firewall Login Agent eTrust Firewall 的工作原理典型的防火墻包括路由式防火墻、Proxy 防火墻和狀態(tài)包過濾式防火墻。通常情況下，如果在 規(guī)則中沒有明確一個(gè)特定的數(shù)據(jù)包是否能夠被通過，則在實(shí)際檢測(cè)中遇到這種類型數(shù)據(jù)包時(shí)會(huì)將其拋棄掉。Proxy 防火墻—由一系列代理服務(wù)進(jìn)程組成。任何一個(gè)想運(yùn)行應(yīng)用程序的用戶必須首先登錄到代理服務(wù)器上或這個(gè)應(yīng)用程序必須被設(shè)定為支持代理服務(wù)的。Proxy 防火墻的缺點(diǎn)主要在于性能比較低，每一個(gè)包都需要經(jīng)過代理應(yīng)用和網(wǎng)絡(luò)協(xié)議堆棧兩處，會(huì)影響數(shù)據(jù)包的通過效率；并不是所有的應(yīng)用可以被代理型防火墻支持；另外，由于每一個(gè)應(yīng)用都必須提供給防火墻唯一的代碼，各應(yīng)用都要支持代理的服務(wù)，因此會(huì)存在運(yùn)行沖突和安全方面的限制。在一個(gè) TCP 數(shù)據(jù)包傳輸過來時(shí)，防火墻首先會(huì)根據(jù)規(guī)則檢查包的起始連接（startofconnection）部分，之后創(chuàng)建一個(gè)連接，在其基礎(chǔ)之上建立應(yīng)用級(jí)的傳輸前后順序關(guān)系，之后所有的數(shù)據(jù)包都會(huì)被監(jiān)視其狀態(tài)或順序關(guān)系。這種類型的防火墻提供了一個(gè)較理想的性能與安全的平衡。21 / 109eTrust Firewall 的核心在于網(wǎng)絡(luò)傳輸過濾模塊。 IP 數(shù)據(jù)包包含了 IP 的報(bào)頭，取決于正在傳輸?shù)纳蠈訁f(xié)議的類型，這個(gè)包還可以包括 TCP 的報(bào)頭、 TCP 的數(shù)據(jù)以及UDP 的數(shù)據(jù)等；根據(jù)使用這些協(xié)議的應(yīng)用的具體情況，IP 包內(nèi)也有可能包含應(yīng)用級(jí)別的報(bào)頭和數(shù)據(jù)。eTrust Firewall 應(yīng)用了狀態(tài)包過濾技術(shù)。這就使得 eTrust Firewall 可以實(shí)現(xiàn)根據(jù)狀態(tài)方式來進(jìn)行過濾檢查。通過獲得的狀態(tài)信息，它也可以根據(jù)高層協(xié)議和網(wǎng)絡(luò)應(yīng)用的具體類型來限制某些數(shù)據(jù)包的通過，從而達(dá)到網(wǎng)絡(luò)傳輸控制的作用。由于 eTrust Firewall 的規(guī)則只需要評(píng)估一個(gè)連接的初始數(shù)據(jù)包狀態(tài)信息，因此這種狀態(tài)分析方式也可以獲得更為有效的過濾功能。eTrust Firewall 在數(shù)據(jù)包到達(dá) TCP/IP 堆棧之前，檢測(cè)所有的包內(nèi)容，鎖定并阻止針對(duì)操作系統(tǒng)上 TCP/IP 薄弱環(huán)節(jié)的拒絕訪問攻擊（Denial of Service ），如 Ping of Death、Tiny Fragment attacks、Sync Flood attack 等手段。22 / 109 產(chǎn)品的功能特性eTrust Firewall 的操作對(duì)用戶是完全透明的，在安裝了 CA 公司的防火墻之后，用戶 不會(huì)注意到操作系 統(tǒng)有任何變化。eTrust Firewall 的基本功能CA 公司的 eTrust Firewall 提供了強(qiáng)有力的防火墻通用功能：訪問控制—eTrust Firewall 可以限制 Inter 與私有網(wǎng)絡(luò)之間的訪問，通過規(guī)則的設(shè)定，可以阻斷來自 Inter 的違反訪問規(guī)則的或惡意攻擊的數(shù)據(jù)包，確保通過防火墻的數(shù)據(jù)都是被驗(yàn)證為合法的。這樣可以防止黑客通過截取分析數(shù)據(jù)包來獲得內(nèi)部網(wǎng)絡(luò)地址信息，進(jìn)而分析出拓樸結(jié)構(gòu)。事件記錄與提示—eTrust Firewall 提供完備的日志記錄及告警功能，在日志中記錄網(wǎng)絡(luò)流量、對(duì)發(fā)生的攻擊的安全分析等信息；在發(fā)生對(duì)網(wǎng)絡(luò)進(jìn)行攻擊的事件時(shí)，還可以實(shí)時(shí)地發(fā)送警告信息給安全管理員。eTrust Firewall 正是采用這種狀態(tài)包過濾技術(shù)，對(duì)流經(jīng)防火墻的數(shù)據(jù)進(jìn)行分析與