引言
企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏,必须建立企业网络信息系统的安全服务体系。关于计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织(ISO)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。 信息安全的隐患存在于信息的共享和传递过程中。目前,浏览器/服务器技术已广泛应用于企业网络信息系统中,而其基础协议就存在着不少的安全漏洞。 一种基本的安全系统——网络安全系统,也称为防火墙系统,可以设置在公用网络系统和企业内部网络之间,或者设置在内部网络的不同网段之间,用以保护企业的核心秘密并抵御外来非法攻击。随着企业网上业务的不断扩大和电子商务的发展,对网络的安全服务提出了新的要求。像用户认证、信息的加密存贮、信息的加密传输、信息的不可否认性、信息的不可修改性等要求,要用密码技术、数字签名、数字邮戳、数字凭证和认证中心等技术和手段构成安全电子商务体系。
黑客攻击企业信息系统的手段
2.1 TCP/IP协议存在安全漏洞
目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。再如应用层协议Telnet、FTP、SMTP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为开了方便之门。 对运行TCP/IP协议的网络系统,存在着如下五种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据纂改。
2.2 黑客攻击网络信息系统的手段
黑客攻击的目标不相同,有的黑客注意焦点是美国国防部五角大楼,有的关心是安全局、银行或者重要企业的信息中心,但他们采用的攻击方式和手段却有一定的共同性。一般黑客的攻击大体有如下三个步骤:
信息收集→对系统的安全弱点探测与分析→实施攻击。
2.2.1 信息收集
信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。
·SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
·TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。
·Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
·DNS服务器 该服务器提供了系统中可以访问的主机的IP地址表和它们所对应的主机名。
·Finger协议 可以用Finger来获取一个指定主 机上的所有用户的详细信息(如用户注册名、电话号码、最后
注册时间以及他们有没有读邮件等等)。
·Ping实用程序 可以用来确定一个指定的主机的位置。
·自动Wardialing软件 可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号码使其MODEM响应。
2.2.2 系统安全弱点的探测
在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主机。
·自编程序 对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得一览无余了。
·利用公开的工具 象Internet的电子安全扫描程序IIS(InternetSecurity Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞。这些工具有两面性,就看是什么人在使用它们。系统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权。
2.2.3 网络攻击
黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:
·该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。
·该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。
·该黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。
·如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。
防火墙的基本思想
如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。 防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。 防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。
包过滤技术
包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所有通过的信息包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定的过滤原则过滤信息包。那些不符合规定的IP地址的信息包会被防火墙过滤掉,以保证网络系统的安全。这是一种基于网络层的安全技术,对于应用层的黑客行为是无能为力的。
代理技术
代理服务器接收客户请求后会检查验证其合法性,如其合法,代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来,从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过,而其他所有服务都完全被封锁住。这一点对系统安全是很重要的,只有那些被认为“可信赖的”服务才允许通过防火墙。另外代理服务还可以过滤协议,如可以过滤FTP连接,拒绝使用FTP put(放置)命令,以保证用户不能将文件写到匿名服务器。 代理服务具有信息隐蔽、保证有效的认证和登录、简化了过滤规则等优点。 网络地址转换服务(NATNetwork Address Translation)可以屏蔽内部网络的IP地址,使网络结构对外部来讲是不可见的。
状态监视技术
这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。
防火墙的类型
4.1 按实现的网络层次分
Internet采用TCP/IP协议,设置在不同网络层次上的电子屏障构成了不同类型的防火墙:
包过滤型防火墙(Packet Firewall)、电路网关(Circuit Gateway)和应用网关(Application Gateway)。
安全策略是防火墙的灵魂和基础。在建立防火墙之前要在安全现状、风险评估和商业需求的基础上提出一个完备的总体安全策略,这是配制防火墙的关键。 安全策略可以按如下两个逻辑来制订:
·准许访问除明确拒绝以外的全部访问——所有未被禁止的都允许访问。
·拒绝访问除明确准许的全部访问——所有未被允许的都禁止访问。
可以看出后一逻辑限制性大,前一逻辑比较宽松。
4.1.1 包过滤防火墙
(1)包过滤防火墙实施步骤
包过滤防火墙是基于路由器来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否来决定舍取。建立这类防火墙需按如下步骤去做。
·建立安全策略——写出所允许的和禁止的任务;
·将安全策略转化为数据包分组字段的逻辑表达式;
·用供货商提供的句法重写逻辑表达式并设置之。
(2)包过滤防火墙针对典型攻击的过滤规则
包过滤防火墙主要是防止外来攻击,其过滤规则大体有:
·对付源IP地址欺骗式攻击(Source IP Address Spoofing Attacks) 对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络IP地址的数据包的这类攻击,防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。
·对付源路由攻击(Source Rowing Attacks) 源站点指定了数据包在Internet中的传递路线,以躲过安全检查,使数据包循着一条不可预料的路径到达目的地。对付这类攻击,防火墙应丢弃所有包含源路由选项的数
据包。
·对付残片攻击(Tiny Fragment Attacks) 入侵者使用TCP/IP数据包的分段特性,创建极小的分段并强行将TCP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查第一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(Fragment Offset)为1的数据包全部丢弃即可。
(3)包过滤防火墙的优缺点
包过滤防火墙的优点是简单、透明,其缺点是:
·该防火墙需从建立安全策略和过滤规则集入手,需要花费大量的时间和人力,还要不断根据新情况不断更新过滤规则集。同时,规则集的复杂性又没有测试工具来检验其正确性,难免仍会出现漏洞,给黑客以可乘之机。
·对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务相关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。
·包过滤防火墙只按规则丢弃数据包而不作记录和报告,没有日志功能,没有审计性。同时它不能识别相同IP地址的不同用户,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。
包过滤防火墙是保护网络安全的必不可少的重要工具,更重要的是要理解这些问题并着手解决。
4.1.2电路级网关
电路级网关又称线路级网关,它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求,转发请求;与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息,如Syn、Ack和序列数据等是否合乎逻辑,判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据,而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制,其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。 在不同方向上拒绝发送放置和取得命令,就可限制FTP服务的使用。如不允许放置命令输入,外部用户就不能写到FTP服务器破坏其内容;如不允许放置命令输出,则不可能将信息存储在网点外部的FTP服务器了。 电路级网关的防火墙的安全性比较高,但它仍不能检查应用层的数据包以消除应用层攻击的威胁。
4.1.3 应用级网关
应用级网关使用软件来转发和过滤特定的应用服务,如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过,也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议,如过滤FTP连接、拒绝使用FTP放置命令等。 应用级网关具有登记、日记、统计和报告功能,有很好的审计功能。还可以具有严格的用户认证功能。
应用级网关的安全性高,其不足是要为每种应用提供专门的代理服务程序。
4.2 按实现的硬件环境分
根据实现防火墙的硬件环境,可分为基于路由器的防火墙和基于主机系统的防火墙。 包过滤防火墙可基于路由器或基于主机系统来实现,而电路级网关和应用级网关只能由主机系统来实现。
4.3 按拓扑结构分
4.3.1 双穴网关(Dual Homed Gateway)
主机系统作为网关,其中安装两块网络接口分别连接到Internet和Intranet。在该双穴网关中,从包过滤到应用级的代理服务、监视服务都可以用来实现系统的安全策略。 对双穴网关的最大威胁是直接登录到该主机后实施攻击,因此双穴网关对不可信任的外部主机的登录应进行严格的身份验证。
4.3.2 屏蔽主机网关
屏蔽主机网关由一个运行代理服务的双宿网关和一个具有包过滤功能的路由器组成,功能的分开提高了防护系统的效率。
4.3.3 屏蔽子网网关
一个独立的屏蔽子网位于Intranet与Internet之间,起保护隔离作用。它由两台过滤路由器和一台代理服务主机构成。路由器过滤掉禁止或不能识别的信息,将合法的信息送到代理服务主机上,并让其检查,并向内或向外转发符合安全要求的信息。 该方案安全性能很高,但管理也最复杂,成本也很高,应用于高安全要求的场合。
先进的认证技术
先进的认证措施,如智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。尽管认证技术各不相同,但它们产生的认证信息不能让通过非法监视连接的攻击者重新使用。在目前黑客智能程度越来越高的情况之下,一个可访问Internet的防火墙,如果不使用先进认证装置或者不包含使用先进验证装置的挂接工具的话,这样防火墙几乎是没有意义的。 当今使用的一些比较流行的先进认证装置叫做一次性口令系统。例如,智能卡或认证令牌产生一个主系统可以用来取代传统口令的响应信号,由于智能卡或认证令牌是与主系统上的软件或硬件协同工作的,因此,所产生的响应对每次注册都是独一无二的。其结果是产生一种一次性口令。这种口令即使被入侵者获得,也不可能被入侵者重新使用来获得某一帐户,就非常有效地保护了Intranet网络。 由于防火墙可以集中并控制网络的访问,因而防火墙是安装先进认证系统的合理场所。
结束语
Intrnaet必须受到保护,防火墙是最重要的手段之一。现代防火墙必须采用综合安全技术,有时还需加入信息的加密存贮和加密传输技术,方能有效地保护系统的安全。对于电子商务还需采用数字签名、数字邮戳、数字凭证等安全技术方能有效地保护企业的利益。