随着网络技术的快速发展和应用的日渐普及,黑客工具不仅变得越来越先进,而且也越来越容易被一般人获取和滥用。 黑客技术的提升和黑客工具的泛滥,造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击,或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护,甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。
但是,网络安全专家和专业厂商强调,没有一个公司的安全系统能保证100%的安全。安全总是相对的。本文阐释的所谓“多层次防护”,就是应用和实施一个基于多层次安全系统的全面信息安全策略,在各个层次上部署相关的网络安全产品,增加攻击者侵入所花费的时间、成本和所需要的资源,从而卓有成效地降低被攻击的危险,达到安全防护的目标。事实上,多层次防护已经成为当今网络安全的主流策略。
攻击与防范的互动
网络入侵和安全防范实际上就是指网络攻防技术。攻防技术的此消彼涨始终是网络安全领域前进的动力。攻击技术包括目标网络信息收集技术,目标网络权限提升技术,目标网络渗透技术,目标网络摧毁技术四大类。每一类技术,都是日新月异、不断更新的。所以在网络的安全防范上,我们面对越来越多的新技术的攻击。
在用户方面,不管你是否已经受到这些攻击,不管这些攻击是否产生了比较严重的后果,你都必须假设它们对信息系统的威胁总是存在的。因为一旦你的信息系统受到攻击,你就会蒙受无法估量的损失。在任何时候,对信息系统的连续不断的保护是非常必要的。研究分析表明,单一的安全保护往往效果不理想,最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护。
建设安全保护层
“分层的安全防护”提供了这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对企业的攻击。
分层的安全防护技术具体来说包括攻击检测,攻击防范,攻击后的恢复这三个大方向,每一个方向上有代表性的产品:入侵检测系统负责进行攻击检测,防火墙和强制访问控制系统负责攻击防范,攻击后的恢复则由自动恢复系统来解决。这三大方向就说明了在网络安全防护上的多层安全防护措施。
下面我们就多层次保护中包括的主要环节做具体地说明。
入侵检测系统
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要,首先因为它能够对付来自内部网络的攻击,其次它能够减少被黑客入侵的时间。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视。
因此,在提供关键服务的服务器上使用入侵监测系统,安装实时的安全监控系统,可以提高服务器系统的可靠性,使网络安全系统更加强健。选择入侵检测系统,应特别注意其主要性能的情况,包括:协议分析及检测能力;解码效率(速度);自身安全的完备性;精确度及完整度,防欺骗能力;模式更新速度等等。
入侵检测系统是分层安全中日益被越普遍采用的成分,它将有效地提升黑客进入网络系统的门槛。入侵监测系统能够通过向管理员发出入侵或者入侵企图警告来加强当前的存取控制系统(例如防火墙);识别防火墙通常不能识别的攻击(如来自企业内部的攻击);在发现入侵企图之后提供必要的信息,帮助系统的移植。
入侵检测系统虽然已经被越来越被广泛地接受为有效的安全工具,但是有一点非常重要:它不能单独工作。例如,有一种工具软件可以使检测系统失效。这种被称为"Stick"的工具可发出多个有攻击表现的信息包,从而使成为其攻击目标的网络的IDS频繁发出警告。结果造成管理者无法分辨哪些警告是针对真正的攻击发出的,从而使IDS使去作用。而且,如果有攻击表现的信息包数量超过IDS的处理能力的话,IDS会陷入DoS(拒绝服务)状态。也就是说:入侵者利用Stick模拟大量的虚假的正面攻击来攻击网络中的入侵检测系统。这样入侵检测系统就会试图应付大量的新的攻击。这样会降低入侵检测系统的性能,如果系统不能分辨混在大量的虚假的攻击中的真正的攻击,就可能会导致系统失效。
防火墙
由于入侵检测系统的漏洞的存在,防火墙的就成为多层安全防护中必要的一层。一个防火墙为了提供稳定可靠的安全性,必须跟踪流经它的所有通信信息。为了达到控制目的,防火墙首先必须获得所有通信层和其它应用的信息,然后存储这些信息,还要能够重新获得以及控制这些信息。
防火墙仅检查独立的信息包是不够的,因为状态信息——以前的通信和其它应用信息——是控制新的通信连接的最基本的因素。对于某一通信连接,通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做控制决定的关键因素。因此为了保证高层的安全,防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态,并做信息处理(基于以上所有元素的灵活的表达式的估算)。
安全漏洞评估系统
安全漏洞评估系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞,而且还可以证明漏洞发生在什么地方以及发生的原因。它质询网络和系统;在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
最新的漏洞评估系统还采用了独特的“路径分析技术”,用以发现漏洞的根本原因。通过分析漏洞的根本原因,任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题,或被确定到网络中的系统并且迅速被排除。
防病毒软件
防病毒软件的应用也是多层安全防护的一种必要措施。防病毒软件是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强,但是需要不断更新,而且存在一定的片面性。由于这方面的介绍已经很多,这里不作进一步的展开。
多层防护发挥的作用
让我们看看多层防护策略如何发挥作用。
即使网络中的入侵检测系统失效,防火墙、安全漏洞评估和防病毒软件还会起作用。
配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。
安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞,即使某一个攻击没有被发现,那么这样的攻击也不会成功。
即使入侵检测系统没有发现已知病毒,防火墙没能够阻止病毒,安全漏洞检测没有清除病毒传播途径,防病毒软件同样能够侦测这些病毒。
所以,在使用了多层安全防护措施以后,企图入侵你公司的信息系统的黑客要付出成数倍的代价才有可能达到入侵目的。这时,你的信息系统的安全系数得到了大大的提升。
需要特别说明的事,网络安全的多层防护并不是一个空洞的概念和设想,而是当今领先的专业厂商完全可以提供的网络安全系列产品和全面解决方案。如积极倡导并大力实践多层次防护的赛门铁克公司就扮演了一个先行者和领导者的角色。
赛门铁克企业安全系列结合了三种技术之解决方案,包括防毒、过滤解决方案与入侵防护,收购Axent之后,更扩展了关于这三方面之各项解决方案。在每一领域中,赛门铁克均不断开发出可以支持主要作业平台(如Linux,Unix,
Windows NT,Windows 2000, Windows Me等)的各项技术,并在网络上布署多层防护,从防火墙、网络或电子邮件网关口,到服务器或工作站。赛门铁克完成AXENT收购案后,开发并推出的内容过滤、电子邮件扫描与入侵防护等应用于多层防护的一系列新技术、新产品。此外,赛门铁克企业安全系列还添加了与IBM合作开发完成的数字免疫系统(DIS),并正积极建立全球性的专业服务与安全咨询业务。所有这些,并结合赛门铁克著名之管理工具,包括远程遥控方案(pcAnywhere)、存储方案克隆精灵(Ghost)与中央控管中心(System Center),使得赛门铁克能够为企业提供网络安全多层次保护的有效策略和完整方案。
让黑客选择放弃
在结束本文前,我们再回顾一下前面提到的有关网络安全的两个基本认识:100%的安全性是不可能达到的目标;所有问题必须与将牵涉到的风险、成本及效益进行测量比对。实际上,网络安全的多层次防护正是基于这两点认识所给出的对策、方案和承诺。
最近举报率非常高的非法入侵已经很好地阐述了信息战本质上的不平等:一个专业知识有限的黑客,有时甚至是通过一次电话拨号连接,就能轻易地侵入和攻击一个企业的电脑网络,使企业直接损失上百万,并影响企业的声誉和业务开展。如果你拥有多层安全防护系统,那么,黑客渗透进来的成本就更高,他们就需要更多的资源,而这些都是大多数潜在的黑客做不到的。多层安全防护系统使得入侵者更可能放弃对你的系统的攻击。