内网信息系统高级安全策略.doc

电子政务与信息安全政策框架研讨会Symposium on Policy & Regulations of E-government and Internet Security 内网信息系统高级安全策略中智交通电子系统有限公司技术总监 何大为一、公司概况中智公司是在国务院领导的关怀和支持下，根据国家高新技术产业化发展规划的要求，由信息产业部发起成立的大型专业化IT企业。公司注册资金￥5000万元，资产总额￥28000万元公司总部设在北京市海淀区万寿路27号信息产业部大厦，研发中心设在紫竹院路66号赛迪大厦。二、网络安全现状Internet、Intranet加剧全球性信息化。信息网络技术的应用日益普及和深入。网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失，每年都在快速增长。 企业追加网络安全方面的资金。各国政府开始重视，加强管理和加大投入。信息产业部政策法规司副司长赵梅庄曾经在“第三十三届世界电信日纪念会暨互联网应用报告会”上说，中国政府正在加紧制定电信法，其中包含了互联网，尤其是网络安全的内容。 他说，中国现有的电信管理条例已经包含了部分内容，但还需要进一步规范，例如，对黑客、病毒的界定以及法律归属等问题需要进一步的研究。三、攻击来自何方外国政府 21竞争对手 48黑客 72内部人员 89四、如何保护内部网络的安全设置防火墙 对数据进行加密 完善认证技术 使用入侵检测系统 设立防病毒体系有效的数据保护1 置防火墙防火墙并非万能，但对于网络安全来说还是必不可少的。防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授权的通讯。按照一个企业的安全体系，一般可以在以下位置部署防火墙： 局域网内的VLAN之间控制信息流向时； Intranet与Internet之间连接时； 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，Farme Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。 在远程用户拨号访问时，加入虚拟专网。2 数据加密数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，数据加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。 在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。 常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。 3 认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。 User Name/Password认证：该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证：Radius（拨号认证协议）、OSPF（路由协议）、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法（MD5）进行认证，由于摘要算法是一个不可逆的过程，因此，由摘要信息是不能计算出共享的security key的，这就保障了security key的信息不会在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。 基于PKI的认证：使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 数字签名：数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统（如RSA）基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据，CA使用私有密钥技术其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算机能力上不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。 4入侵检测入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击，而且扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全结构的完整性。它从计算机网络系统中的苦干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下能对网络监测，从而提供对内部攻击、外部攻击和误操作的实时保护。此外，它还可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，是网络安全中极其重要的部分。总的来讲，入侵检测系统的功能有： 监视用户和系统的运行状况，查找非法用户和合法用户的越权操作； 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 对用户的非正常活动进行统计分析，发现入侵行为的规律； 检查系统程序和数据的一致性与正确性； 能够实时对检测到的入侵行为做出反应； 操作系统的审计管理。 5.查杀病毒国家计算机病毒应急中心进行的中国首次进行的计算机病毒疫情网上调查显示，中国有高达百分之七十三的计算机曾遭受过病毒感染，而且多次感染现象非常严重，这表明中国防治计算机病毒的工作依然严峻。虽然很多用户在遭受病毒攻击后采取了补救措施，但调查显示，计算机一旦被感染，就有高达百分之四十三的用户会出现部分甚至全部数据丢失。考虑到虽然数据未丢失但已经被黑客偷窥的情况，损失程度是惊人的。计算机病毒对网络工作站的攻击途径主要包含以下几个方面：1） 利用软盘读写进行传播 这是最古老、最有效的病毒攻击手段。通过受感染的软盘启动系统，引导型病毒进入系统引导区或系统分区表；通过拷贝和运行受感染程序，文件型病毒进行传染。2） 通过CDROM读写进行传播 CDROM驱动器已成为计算机硬件系统的基本配置之一。低劣的CDROM盘片是计算机病毒最好的寄生地和传染源。 3）通过网络共享进行攻击企业局域网络的应用日益普及，高效的企业信息管理系统和办公自动化系统离不开局域网络的支持。网络的基本功能之一是资源共享，而受病毒感染的文件共享所造成的恶果，是传统病毒传染途径所力不能及的。 4)通过电子邮件系统进行攻击电子邮件系统已成为人们交换信息最方便、快捷的工具之一，通过受感染的电子邮件附加文件传播病毒，也已成为计算机病毒打破地域、时域限制进行传播的主要手段。宏病毒长期命列病毒流行榜首位的事实正是最有力的说明。5）通过FTP下载进行攻击 FTP服务器提供通过INTERNET获取文件资料的功能。计算机病毒程序同样可以下载到本地硬盘中，同时，为节省网络带宽，FTP服务器上的文件通常采用压缩打包的形式，经过压缩后的病毒文件也就更具隐蔽性。 6）通过WWW浏览进行攻击 计算机病毒开始采用JAVA、ACTIVEX技术，当用户访问某些未知站点时，就有遭受恶意JAVA、ACTIVEX程序攻击的威胁。而这种威胁有时很难防范。7）通过系统漏洞进行攻击 最新病毒迹象表明，病毒开始利用许多黑客技术，利用一些操作系统的漏洞，直接通过TCP/IP在网上自行传播，速度极快。 6 数据保护目前最先进的数据备份技术是基于网络的备份系统。理想的备份系统应该是全方位、多层次的。网络存储备份管理系统对整个网络的数据进行管理。利用集中式管理工具的帮助，系统管理员可对全网的备份策略进行统一管理，备份服务器可以监控所有机器的备份作业，也可以修改备份策略，并可即时浏览所有目录。所有数据可以备份到同备份服务器或应用服务器相连的任意一台磁带库内。双机热备是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解决计算机应用系统的可靠性问题，并具有安装维护简单、稳定可靠、监测直观等优点。位于网络运转中心部位的数据中心是各种关键性商务应用的中枢点，在确保高可用性方面，服务器集群堪称是最具价值的系统级技术之一。一个服务器群是通过将多台服务器互联在一起而形成的。它以松散的成对配置共享资源。集群具有一定的自我修正能力，它可以保证系统的不间断运行，把非计划和计划的停机时间降到最低。异地容灾一般以存储区域网络（SAN）为基础，在存储区域网络与网络之间通过LAN或WAN相连，速度可从T1到OC3自由选择。通过光纤通道SAN或借助于广域网扩展的SAN到远程的复制，支持同步和异步的容灾镜像，支持全面的磁盘同步，当出现很大的灾难时，确保这些数据在另外一个地点的在线拷贝是可用的，以支持尽快恢复在另一台机器上的关键处理。五、内部网络数据存放的现状关键服务器数据的统一存放个人工作站的关键数据的分散存放六、内部网络的深层隐患易被获取口令易被放置特洛伊木马程序易被电子邮件攻击 易被网络监听易被寻找系统漏洞易被利用帐号进行攻击易被偷取特权七、隐患实例1隐患实例一：键盘击打记录：其本质是一段用以处理系统消息的程序，通过系统调用，将其挂入系统。此种类程序（俗称“钩子”）有很多，每种“钩子”可以截获并处理相应的消息，每当特定的消息发出，在到达目的窗口之前，钩子程序先行截获该消息、得到对此消息的控制权。此时在钩子函数中就可以对截获的消息进行加工处理，甚至可以强制结束消息的传递。 用于键盘敲击的钩子程序可以在windows系统或unix系统记录下超级用户的键盘输入。2隐患实例二：口令失窃一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令。3隐患实例三：特洛伊木马特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的附件，一旦用户打开了这些附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。4隐患实例四域名服务系统BIND的弱点：nxt（在处理NXT记录时存在漏洞，允许远程攻击者以运行DNS服务的身份（缺省为root）进入运行DNS服务的系统。） , d 守护进程的漏洞有泄漏root权限的危险。5隐患实例五微软的IIS RDS 安全漏洞。6隐患实例六sadmind存在远程溢出漏洞 ，在存在sadmind漏洞的一些版本中如果传送一个超长的缓存数据,会改写堆栈指针，从而造成可执行任意代码。因为sadmind以root身份来运行，因而这个漏洞会危及系统的最高安全。同时存在于某些系统内部的 mountd溢出漏洞,攻击者通过修改堆数据有可能会获得root特权。7隐患实例七NFS 以及WindowsNT 135-139服务端口（Windows2000的445服务端口），Unix NFS 的服务端口2049,还有苹果机用户支持基于IP文件共享的Appletalk over ip协议服务端口。这些服务的目的是让用户共享网络资源，但不正确的配置，将有可能让入侵者以root身份执行任意代码。8隐患实例八许多网络设备和网络操作系统的SNMP（简单网络管理协议）在实现中，往往存在能进行SNMP写操作的缺省community string。远程攻击者利用这些可写操作的community string能够无需任何认证直接影响设备或操作系统的运行状态。这将导致攻击者可以控制路由表和篡改ARP缓存等。9隐患实例九IMAP 和 POP 邮件服务器缓冲溢出漏洞和错误的配置存在的危险。