時間:2023-10-09 10:59:41
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)內(nèi)容審計,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
2012年4月25日,任子行正式在深交所創(chuàng)業(yè)板掛牌上市,證券簡稱“任子行”,證券代碼“300311”。通過十多年的技術(shù)和品牌積累,任子行已取得了國家級、省部級網(wǎng)絡(luò)信息安全領(lǐng)域一百多項重要資質(zhì)和兩百多項重大榮譽,客戶數(shù)量達到了7萬多家,現(xiàn)已發(fā)展成為國家信息安全支撐性單位,并已被業(yè)界盛譽為“網(wǎng)絡(luò)應(yīng)用審計專家”。
自主創(chuàng)新 不斷跨越
任子行從最早的保護青少年健康成長的信息技術(shù)服務(wù)提供商發(fā)展成為國家信息安全領(lǐng)域的支撐性單位,目前它擁有網(wǎng)絡(luò)內(nèi)容與行為審計、監(jiān)管最全面的產(chǎn)品線,產(chǎn)品可以覆蓋PC端、云端、數(shù)據(jù)中心端,為各類企事業(yè)單位提供全方位的網(wǎng)絡(luò)審計和監(jiān)管產(chǎn)品。
目前,任子行擁有六大業(yè)務(wù)線,包括公安、網(wǎng)絡(luò)安全、廣電、輿情、運營商以及信息安全工程等。其中囊括了NET110安全審計、互聯(lián)網(wǎng)安全審計、無線網(wǎng)絡(luò)審計、任天行網(wǎng)絡(luò)安全管理系統(tǒng)(RT/RAG)、任子行下一代防火墻(NGSA)、任子行Web防護系統(tǒng)(WAF)、任子行運維安全審計系統(tǒng)(堡壘機SAS)、任子行數(shù)據(jù)庫審計系統(tǒng)(DBA)、互聯(lián)網(wǎng)視音頻審計、互聯(lián)網(wǎng)輿情監(jiān)測系統(tǒng)、運營商信息安全管理系統(tǒng)、IP域名資源管理系統(tǒng)、IDC信息安全審計管理、ICP域名備案管理系統(tǒng)等諸多系列的全面產(chǎn)品線和解決方案。
任子行主要從事網(wǎng)絡(luò)內(nèi)容與行為審計和監(jiān)管產(chǎn)品的研發(fā)、生產(chǎn)、銷售,并提供安全集成和安全審計相關(guān)服務(wù),它非常重視在研發(fā)和技術(shù)領(lǐng)域的投入。在各類業(yè)務(wù)線的產(chǎn)品和解決方案中,其中完全自主知識產(chǎn)權(quán)產(chǎn)品有30多項。在底層技術(shù)方面,任子行擁有40多項核心技術(shù),包括智能爬蟲技術(shù)、海量數(shù)據(jù)分析技術(shù)、精準(zhǔn)協(xié)議分析技術(shù)和并行協(xié)議棧FPGA捕包技術(shù)。
自2001年起,任子行先后承擔(dān)國家各類逾30個科研課題的研發(fā),具有行業(yè)領(lǐng)先的前瞻性技術(shù)積累。在技術(shù)研發(fā)方面,任子行目前的技術(shù)和研發(fā)人員比例占60%以上。2012年,隨著公司上市成功,圍繞“網(wǎng)絡(luò)內(nèi)容與行為審計產(chǎn)品升級優(yōu)化項目”、“網(wǎng)絡(luò)信息安全監(jiān)管平臺建設(shè)項目”、“研發(fā)中心擴建項目”三個募投項目展開創(chuàng)新研發(fā),并加大了研發(fā)投入,比上年同期增長25%。
同時,任子行通過引進軟件能力成熟度模型認(rèn)證,理順了研發(fā)體系,完善了產(chǎn)品中心和技術(shù)中心的運轉(zhuǎn)機制,研發(fā)活動與業(yè)務(wù)線聯(lián)系更加緊密,以便為用戶提供更高質(zhì)量的產(chǎn)品和服務(wù)。
拼搏奮進 發(fā)展強大
任子行網(wǎng)絡(luò)技術(shù)股份有限公司有兩個全資子公司:任網(wǎng)游科技發(fā)展有限公司和任子行科技開發(fā)有限公司;一個控股子公司:深圳市博海通訊技術(shù)有限公司;一個參股子公司:北京中天信安科技有限責(zé)任公司。目前,公司在深圳南山、深圳龍崗、北京和武漢設(shè)有4個研發(fā)中心、7家分公司和20多個駐外機構(gòu),并在主要大中城市設(shè)置了營銷網(wǎng)點和技術(shù)支持中心,形成了覆蓋華中、華南、西南、西北、東北、華東和華北等區(qū)域的市場銷售和服務(wù)體系。任子行團隊中90%的員工擁有本科、碩士、博士以上學(xué)歷,73%都在30歲以下, 形成了年輕化、知識化和創(chuàng)新化的人才梯隊,為任子行產(chǎn)品的研發(fā)、生產(chǎn)、銷售奠定了堅實的人才基礎(chǔ)。
勵精圖治 鑄就輝煌
憑借在網(wǎng)絡(luò)信息安全領(lǐng)域的不懈創(chuàng)新和辛勤耕耘,現(xiàn)在任子行網(wǎng)絡(luò)技術(shù)股份有限公司是“國家布局內(nèi)重點軟件企業(yè)”和“國家計算機重點實驗室”,并先后被國家發(fā)改委認(rèn)定為“國家高技術(shù)產(chǎn)業(yè)化示范工程單位”,被國家密碼管理局認(rèn)定為“商用密碼產(chǎn)品生產(chǎn)定點單位”,被國家保密局認(rèn)定具有“涉及國家秘密的計算機信息系統(tǒng)集成資質(zhì)(軟件開發(fā))”,通過中國信息安全認(rèn)證中心“信息安全應(yīng)急服務(wù)資質(zhì)認(rèn)證(貳級)”,被工業(yè)和信息化部認(rèn)定為具有“計算機信息系統(tǒng)集成資質(zhì)(貳級)”;擁有“廣東省計算機信息系統(tǒng)安全服務(wù)資質(zhì)(壹級)”、“省級網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位”、首批“深圳市自主創(chuàng)新行業(yè)龍頭企業(yè)”、深圳市首批“國家級高新技術(shù)企業(yè)”、“廣東省著名商標(biāo)”、“十網(wǎng)絡(luò)安保紅盾專項工作先進單位”等重要資質(zhì)和重大榮譽,同時公司率先在行業(yè)內(nèi)通過ISO9001:2008質(zhì)量管理體系認(rèn)證,并于2012年成功導(dǎo)入CMMI3。
在國家和行業(yè)重大科技攻堅項目方面,任子行承擔(dān)了國家863計劃、國家發(fā)改委信息安全專項、金盾工程、國家242等信息安全專項、國家創(chuàng)新基金項目等30余項課題的研發(fā),并參與了公安部、工業(yè)和信息化部等5項國家、行業(yè)信息安全技術(shù)標(biāo)準(zhǔn)的制訂。任子行研發(fā)項目多次被科技部列入國家級火炬計劃和重點新產(chǎn)品計劃,產(chǎn)品分別榮獲教育部科技進步一等獎、北京市科學(xué)技術(shù)一等獎、廣東省科學(xué)技術(shù)三等獎、深圳市科學(xué)技術(shù)進步一等獎、深圳市科技創(chuàng)新獎等重大獎項。
全力以赴 堅定不移
作為中國最早涉足網(wǎng)絡(luò)信息安全領(lǐng)域的企業(yè)之一,任子行成立十余年來,秉承“誠信、敬業(yè)、協(xié)同、創(chuàng)新”的企業(yè)精神,以鑄造最具競爭力的網(wǎng)絡(luò)信息和行為管理產(chǎn)品民族品牌作為公司發(fā)展的原動力,致力于“綠色、高效和安全網(wǎng)絡(luò)”技術(shù)和產(chǎn)品的研發(fā)。“誠信”即做人之道、立身之本,一個人、一個家庭、一個企業(yè)、一個國家都一樣;“敬業(yè)”即敬業(yè)樂群、忠于職守,是基于對一件事情、一種職業(yè)的熱愛而產(chǎn)生的一種全身心投入的精神,是社會對人們工作態(tài)度的一種道德要求;“創(chuàng)新”即革故鼎新、立于不敗,特別是對于網(wǎng)絡(luò)信息安全領(lǐng)域,威脅、需求、技術(shù)更新?lián)Q代快,更需要創(chuàng)新;“協(xié)同”即和諧合作、志同道合,一個個體的能力和資源是有限的,圍繞同一個目標(biāo)協(xié)同合作,才能發(fā)揮1+1>2的效應(yīng)。
引言
隨著網(wǎng)絡(luò)信息的日益豐富,很多的不良內(nèi)容在網(wǎng)絡(luò)上出現(xiàn)已經(jīng)成為亟待解決的社會問題,用什么樣的手段來保證網(wǎng)絡(luò)信息的合法性與健康性已經(jīng)成為了網(wǎng)絡(luò)研究領(lǐng)域中的最新熱點,而隨之而來的是越來越高的關(guān)注度。本文試圖對內(nèi)容審計所涉及的關(guān)鍵性技術(shù)進行論述,并且從中挖掘當(dāng)今網(wǎng)絡(luò)情況的研究熱點與難點,為以后內(nèi)容審計技術(shù)研究奠定相關(guān)基礎(chǔ)。
一、審計關(guān)鍵技術(shù)
(一)模式匹配算法
審計系統(tǒng)需要通過多種模式精確的匹配以及多種模式匹配算法搜索數(shù)據(jù)包中是不是存在敏感模式串,并且從中統(tǒng)計出其頻率,以便于支持文本內(nèi)容的分析。
內(nèi)容審計中的多種模式匹配有很多的特點:首先是在網(wǎng)絡(luò)環(huán)境處于中英文混合的情況下,由于其編碼的原因,導(dǎo)致其數(shù)據(jù)包中會有相關(guān)的部分通常是英文字符,而與內(nèi)容相關(guān)的則是中文字符,并且兩者會參雜其中。而就中文而言,因為漢字的簡繁體導(dǎo)致文中會包含兩種或兩種以上的編碼字符。其次是不良信息的人會在信息中刻意加入干擾字符。除此之外,因為中英文存在著較大的明顯差異,例如英文的字母表小,字符較長,而中文則是大字符集語言,且字母表的數(shù)量也較為龐大,這些存在在其中的差異就造成了中英文混合環(huán)境下內(nèi)容審計的模式匹配算法也會發(fā)生變化。
如果涉及到中文的多種模式相似匹配就會變得愈發(fā)的復(fù)雜。已存在的多種模式相似匹配算法允許在其模式串中隨意的加入字符,但是如果一個中文字符就不允許插入任何字符了,在包含了n個中文字符的字符串中只存在n個禁止插入的位置,所以在中英文混合的網(wǎng)絡(luò)環(huán)境中,多種模式相似匹配算法就會導(dǎo)致錯誤的匹配結(jié)果。一種適合于中英文混合環(huán)境的多種模式相似匹配算法就應(yīng)該把所有的模式串轉(zhuǎn)換成很多個有限的自動機并且能夠利用模式串構(gòu)建新狀態(tài)的驅(qū)動器,從而可以用待匹配的字符來驅(qū)動狀態(tài)驅(qū)動器,再由驅(qū)動器轉(zhuǎn)到每一個有限自動機。
(二)文本內(nèi)容分析技術(shù)
本文的內(nèi)容分析在審計過程中被用作深度識別的可質(zhì)疑文本,與此同時也會發(fā)現(xiàn)當(dāng)前的信息流中存在的熱點信息。本文的內(nèi)容分析技術(shù)基本上以詞語為最初元素,構(gòu)建了基礎(chǔ)表示模型,并且分析文本相似度分類等方式來確定其中的部分屬性。
而對于中文的詞語之間是不存在明確的隔斷標(biāo)志的,所以就需要做出分詞的處理。當(dāng)前最常見的中文分詞的方法就是機械分詞方法以及知識分詞方法。前者是要求跟字典相匹配的,從而利用語法的規(guī)則來進行詞語的校正。而本文則會用機械分詞方法的形式來具體的描述模型,而模型就可以描述機械分詞法所能夠采取的算法策略。而后者不僅僅要通過字典的匹配,并且要利用多方面的知識,同時還要通過人工智能技術(shù)的分析推理來進行校正。
二、審計結(jié)果評估與處理
審計過程會根據(jù)審計結(jié)果對一定時間內(nèi)的內(nèi)容進行評估和預(yù)測,在特定時候則需要同網(wǎng)絡(luò)安全防火墻進行聯(lián)動合作,實施在線攔截等多項防護措施,并且要向網(wǎng)絡(luò)管理者提交需要制定的內(nèi)容的安全審計的報告。
(一)內(nèi)容安全態(tài)勢評估與預(yù)測
通過分析得出一定周期內(nèi)的分析審計結(jié)果,對于目前的網(wǎng)絡(luò)信息內(nèi)容的安全的情況進行仔細評估,并且對于未來的情況作出預(yù)測,得以實現(xiàn)對于不良信息內(nèi)容的大范圍擴散的有利控制,一方面可以根據(jù)其嚴(yán)重程度來制定相應(yīng)的應(yīng)對措施以達到遏制其發(fā)展的目的;另一方面可以估算已有措施的有效程度,以方便以后的措施實施。
而從其本質(zhì)上講,網(wǎng)絡(luò)內(nèi)容的安全問題也是用戶對于社會上的熱點信息關(guān)注程度的體現(xiàn)。針對這樣的情況,研究者首先要根據(jù)傳染病模型和流言模型來建立關(guān)注熱點的不良信息關(guān)注規(guī)模與趨勢的預(yù)測模型;其次要根據(jù)用戶關(guān)注熱點不良信息的行為情況來研究相應(yīng)的預(yù)測模型。
(二)在線處理與阻斷
如果出現(xiàn)違反安全策略的信息,審計系統(tǒng)可以根據(jù)其情況采取相應(yīng)的在線處理措施,有一部分的措施是在審計系統(tǒng)的內(nèi)部就能夠完成;另一部分就要與安全防火墻聯(lián)動合作完成。
而在審計系統(tǒng)中在線攔截技術(shù)是最具有難度實現(xiàn)的。首先,對于數(shù)據(jù)包的準(zhǔn)確性判定具有很大的難度,滿足什么樣的條件才能被稱為是惡意數(shù)據(jù)包,這個標(biāo)準(zhǔn)很難界定。其次是在線攔截對于網(wǎng)絡(luò)的流量的依賴是相當(dāng)大的,因此會出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸效率下降的現(xiàn)象出現(xiàn),從而嚴(yán)重的影響了正常流量的使用。所以一般情況下,只有網(wǎng)絡(luò)安全情況及其糟糕的時候才會采取在線攔截的手段。
三、審計研究的優(yōu)勢與劣勢
(一)流媒體視頻內(nèi)容審計
流傳的網(wǎng)絡(luò)視頻的特點是其內(nèi)容豐富,給人以感觀上的強烈沖擊,這也將成為不良信息在網(wǎng)絡(luò)上傳播的方式之一。怎樣做到準(zhǔn)確且及時地識別出此類視頻且能夠在第一時間做出有效的管理措施就成為了目前亟待解決的問題。現(xiàn)存的識別方法大部分是要提取完整的視頻幀圖像,繼而采取有效的識別方式來對其進行檢測。這樣的方法無論是從哪個角度都不能滿足內(nèi)容審計的現(xiàn)狀需求。
(二)動態(tài)信息流的特征分析
不良信息在網(wǎng)絡(luò)中的傳播表面上看是沒有任何的規(guī)律可循,但是仔細研究就可以摸索到它的傳播是具有一定的規(guī)律性的,尤其是相對熱門的信息。在具體研究的過程中,從核心內(nèi)容及其傳播途徑入手,通過對熱點信息的開始、傳播到擴散整個過程的研究,從中找尋其表現(xiàn)出來的特有的關(guān)鍵點,從而挖掘隱藏在其中的信息流。
(三)關(guān)鍵詞列表動態(tài)更新
在現(xiàn)存的內(nèi)容審計模式中,大部分都是要人工建立其關(guān)鍵詞表,從而將數(shù)據(jù)包中的內(nèi)容與關(guān)鍵詞相匹配,以此來查找可疑的數(shù)據(jù)包。一個全面的、客觀的并且可以及時更新的關(guān)鍵詞表是很難建立起來的,這也會導(dǎo)致傳統(tǒng)的處理方式其局限性加大。尤其是在當(dāng)今社會知識爆炸的大背景下,網(wǎng)絡(luò)上出現(xiàn)的新興的詞匯會越來越多,而且這些熱點的詞匯也會關(guān)聯(lián)相當(dāng)多的具有輿論價值的網(wǎng)絡(luò)內(nèi)容。所以,一定要通過特有的技術(shù)手段來跟蹤這些網(wǎng)絡(luò)詞匯的出現(xiàn)以及其發(fā)展動態(tài)。
(四)主動式內(nèi)容傳播檢測
現(xiàn)在使用的內(nèi)容審計的常見模式就只是被動地接受檢測,無法進行整體的跟蹤監(jiān)控,對于網(wǎng)絡(luò)上傳播的不良信息缺乏有力地控制手段。因此,實現(xiàn)主動地不良信息的檢測就成為了首要解決的問題。首先可以假裝成不良信息的獲取者或者傳播者,繼而了解其相關(guān)的特征屬性,進而追根溯源發(fā)展不良信息的網(wǎng)站并且進入到其下載任務(wù)當(dāng)中,從中獲取其網(wǎng)絡(luò)用戶的規(guī)模以及其IP地址的大致分布,就可以實現(xiàn)對于不良信息傳播與擴散的全程的跟蹤與監(jiān)控。
根據(jù)相關(guān)統(tǒng)計機構(gòu)提供的數(shù)據(jù),目前有60%以上的網(wǎng)絡(luò)人侵和破壞是來自網(wǎng)絡(luò)內(nèi)部的,因為網(wǎng)絡(luò)內(nèi)部的人員對于自己的網(wǎng)絡(luò)更加熟悉,而且有一定的授權(quán),掌握一定的密碼,又位于防火墻的后端,進行入侵或破壞更加得心應(yīng)手。一個內(nèi)部人員不必掌握很多黑客技術(shù)就能夠?qū)ο到y(tǒng)造成重大的損失。因此信息安全審計的功能越發(fā)受到重視。
對于一個信息系統(tǒng)而言,信息安全審計究竟要實現(xiàn)怎樣的功能,要實現(xiàn)到怎樣的程度,目前大多數(shù)的單位并未真正理解,不少單位對于信息安全審計的認(rèn)識還停留在日志記錄的層次。一些信息安全測評認(rèn)證標(biāo)準(zhǔn)可以為我們提供一定的借鑒。
1998年,國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)發(fā)表了《信息技術(shù)安全性評估通用準(zhǔn)則2.0版》(IS0/IEC15408),簡稱CC準(zhǔn)則或CC標(biāo)準(zhǔn)。CC準(zhǔn)則是信息技術(shù)安全性通用評估準(zhǔn)則,用來評估信息系統(tǒng)或者信息產(chǎn)品的安全性。在CC準(zhǔn)則中,對網(wǎng)絡(luò)安全審計定義了一套完整的功能,如:安全審計自動響應(yīng)、安全審計事件生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
TCSEC(TrustedComputerSystemEvaluationCriteria)準(zhǔn)則俗稱橙皮書,是美國國防部的一個準(zhǔn)則,用于評估自動信息數(shù)據(jù)處理系統(tǒng)產(chǎn)品的安全措施的有效性。它定義了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全審計”的基本要求,包括:審計信息必須被有選擇地保留和保護,與安全有關(guān)的活動能夠被追溯到負(fù)責(zé)方,系統(tǒng)應(yīng)能夠選擇記錄與安全有關(guān)的信息,以便將審計的開銷降到最小,并可以進行有效的分析。
計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則中,定義了五個級別:第一級:用戶自主保護級;第二級:系統(tǒng)審計保護級;第三級:安全標(biāo)記保護級;第四級:結(jié)構(gòu)化保護級;第五級:訪問驗證保護級。從第二個級別開始就需要基本的審計功能,越高的級別對于審計的要求也越高。第二級別的審計要求就包括:計算機信息系統(tǒng)可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄,并能阻止非授權(quán)的用戶對它訪問或破壞。
具體來說,計算機信息系統(tǒng)可信計算基應(yīng)能記錄下述事件:使用身份鑒別機制;將客體引人用戶地址空間(例如:打開文件、程序初始化);刪除客體;由操作員、系統(tǒng)管理員或系統(tǒng)安全管理員實施的動作,以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件,其審計記錄包括:事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件,審計記錄包含請求的來源(例如:終端標(biāo)識符);對于客體引人用戶地址空間的事件及客體刪除事件,審計記錄包含客體名。對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件,審計機制提供審計記錄接口,可由授權(quán)主體調(diào)用。
從上面可以看出,很多的國際規(guī)范以及國內(nèi)的安全規(guī)定中都將安全審計放在重要的位置,而安全審計并不像許多用戶所理解的只是“日志記錄”的功能。目前絕大部分的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)管系統(tǒng)都有不同程度的日志記錄功能,但是實際上這些日志并不能保障系統(tǒng)的安全,也無法滿足事件的偵察和取證應(yīng)用。各類測評認(rèn)證標(biāo)準(zhǔn)為我們實現(xiàn)完整的信息安全審計提供了指導(dǎo),但是如何建設(shè)審計系統(tǒng)則需要在這些原則的指導(dǎo)下,具體問題具體分析,根據(jù)系統(tǒng)狀況、自身安全需求以及當(dāng)前技術(shù)的支持程度來定制審計系統(tǒng)。
2重要領(lǐng)域信息系統(tǒng)面臨的安全挑戰(zhàn)
隨著信息技術(shù)的迅速發(fā)展,許多單位和部門對信息系統(tǒng)的依賴性日益嚴(yán)重,尤其是一些重要領(lǐng)域(如電子政務(wù)、金融、證券等)的信息系統(tǒng),一旦出現(xiàn)問題將帶來巨大的損失。重要領(lǐng)域的信息系統(tǒng)將面臨來自外部或內(nèi)部的各種攻擊,包括基于偵聽、截獲、竊取、破譯、業(yè)務(wù)流量分析、電磁信息提取等技術(shù)的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴散等技術(shù)的主動攻擊。
信息系統(tǒng)面臨的安全威脅來自多個方面。首先,目前大部分信息系統(tǒng)選用的系統(tǒng)本身存在著安全隱患,如網(wǎng)絡(luò)硬件設(shè)備(服務(wù)器、網(wǎng)絡(luò)設(shè)備等)和操作平臺(操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、通用軟件系統(tǒng)等)存在弱點和漏洞。應(yīng)用軟件系統(tǒng)的脆弱性、應(yīng)用系統(tǒng)的BUG、代碼錯誤、不安全代碼的執(zhí)行模式、不安全設(shè)計、網(wǎng)絡(luò)的脆弱性、網(wǎng)絡(luò)協(xié)議的開放性(TCP/IP協(xié)議棧)、系統(tǒng)的相互依賴性都會導(dǎo)致網(wǎng)絡(luò)的安全風(fēng)險。此外,安全設(shè)計本身的不完備性、網(wǎng)絡(luò)安全管理人員對系統(tǒng)漏洞的置若罔聞都會使攻擊行為得以成功。因此,信息系統(tǒng)的安全方案中要綜合考慮網(wǎng)絡(luò)系統(tǒng)的安全配置、正常運行、安全操作、應(yīng)急響應(yīng)、安全審計等問題。
3重要領(lǐng)域信息系統(tǒng)中的信息安全審計需求
在重要領(lǐng)域信息系統(tǒng)的眾多安全問題中,內(nèi)部的安全違規(guī)問題尤其值得重視。內(nèi)部人員違規(guī)一般有兩種形式:一種是內(nèi)部人員的違規(guī)操作,造成的后果是影響系統(tǒng)的安全;另一種是有目的地竊取資源。
最近幾年網(wǎng)絡(luò)安全領(lǐng)域主要強調(diào)的是如何防范外部人侵,如怎么建網(wǎng)關(guān)、建防火墻、實現(xiàn)內(nèi)外網(wǎng)的物理隔離等,但是堡壘最容易從內(nèi)部攻破,信息最容易從內(nèi)部丟失。解決內(nèi)部人員違規(guī)的一個重要手段是對重要領(lǐng)域信息系統(tǒng)實行高強度的安全審計。所謂的強審計不是簡單的“日志記錄“,而是增強的、全方位、多層次、分布式的安全審計,覆蓋網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、各類應(yīng)用系統(tǒng)(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,對各種未授權(quán)或非法的活動實時報警、阻斷等。
安全強審計與一般的安全審計相比在以下幾個方面得到增強:信息收集能力;信息分析能力;適應(yīng)性;防繞過特性;信息保護特性;審計深度和針對性;規(guī)范化、標(biāo)準(zhǔn)化和開放性。
在重要領(lǐng)域信息系統(tǒng)中,信息安全審計的重點如下:
(1)網(wǎng)絡(luò)通信系統(tǒng)
重要領(lǐng)域信息系統(tǒng)的普遍特點是網(wǎng)絡(luò)流量一般不是很高,但是網(wǎng)上傳輸?shù)目赡苁菣C密或敏感的信息,因此除了需要具備一般企業(yè)內(nèi)部網(wǎng)所需要的人侵檢測功能之外,還需要具備以下審計功能,以發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)上的違規(guī)行為:對網(wǎng)絡(luò)流量中典型協(xié)議分析、識別、判斷和記錄;對了61賊、1111?、£-11^1、1^?、網(wǎng)上聊天、文件共享操作的還原和記錄;對網(wǎng)絡(luò)流量進行監(jiān)測以及對異常流量的識別和報警;對網(wǎng)絡(luò)設(shè)備運行進行持續(xù)的監(jiān)測。
⑵重要服務(wù)器
重要領(lǐng)域信息系統(tǒng)中,重要服務(wù)器是信息的集中點,需要對其進行增強的審計,以保護信息資源,對以下事件的審計是最基礎(chǔ)的安全審計功能:服務(wù)器系統(tǒng)啟動、運行情況;管理員登錄、操作情況;系統(tǒng)配置更改(如注冊表、配置文件、用戶系統(tǒng)等);病毒或蠕蟲感染情況;資源消耗情況;硬盤、CPU、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進程等;操作系統(tǒng)安全日志;系統(tǒng)內(nèi)部事件;對重要文件的訪問。
(3)應(yīng)用平臺
僅僅對服務(wù)器系統(tǒng)層次的審計還是不夠的,因為目前大量重要領(lǐng)域信息系統(tǒng)的應(yīng)用平臺在權(quán)限控制方面還有一定的缺陷,因此存在通過應(yīng)用平臺進行違規(guī)操作的可能性,例如:直接操作數(shù)據(jù)庫的行為。因此,應(yīng)用平臺層次的安全審計也是必須的,審計內(nèi)容包括:重要應(yīng)用平臺進程的運行;Web服務(wù)器、Mail服務(wù)器、Lotus、Exchange服務(wù)器、中間件系統(tǒng);各個平臺的健康狀況;重要數(shù)據(jù)庫的操作;數(shù)據(jù)庫的進程;繞過應(yīng)用軟件直接操作數(shù)據(jù)庫的違規(guī)訪問行為;數(shù)據(jù)庫配置的更改操作;數(shù)據(jù)備份操作和其他維護管理操作;對重要數(shù)據(jù)的訪問和更改操作。
(4)重要應(yīng)用系統(tǒng)
由于不少重要領(lǐng)域信息系統(tǒng)中已經(jīng)建立了一系列的應(yīng)用業(yè)務(wù)系統(tǒng),因此對于一般的操作人員來說,業(yè)務(wù)系統(tǒng)是最主要的人機界面,對于有高安全需求的重要領(lǐng)域信息系統(tǒng)來說,還需要加強應(yīng)用系統(tǒng)層次的審計。如對于電子政務(wù)系統(tǒng),針對以下應(yīng)用系統(tǒng)的審計是最基本的:辦公自動化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)站系統(tǒng)、相關(guān)政務(wù)業(yè)務(wù)系統(tǒng)。
⑶重要網(wǎng)絡(luò)區(qū)域的客戶機
在一般的信息系統(tǒng)中,對客戶機的審計通常不是必要的。但是對于一些安全級別較高的信息系統(tǒng)的重要網(wǎng)絡(luò)區(qū)域,針對客戶機的審計還是必要的,主要審計以下內(nèi)容:病毒感染情況;通過網(wǎng)絡(luò)進行的文件共享操作;文件拷貝、打印操作;通過Modem擅自連接外網(wǎng)的情況;非業(yè)務(wù)異常軟件的安裝和運行。
重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)建設(shè)的要點
在重要領(lǐng)域信息系統(tǒng)中,一個較為全面的審計系統(tǒng)需要關(guān)注以下幾點:
(1)數(shù)據(jù)的來源
審計系統(tǒng)如何獲取所需的數(shù)據(jù)通常是最關(guān)鍵的,數(shù)據(jù)一般來源于以下幾種方式:來自網(wǎng)絡(luò)數(shù)據(jù)截獲,如各類網(wǎng)絡(luò)監(jiān)聽型的人侵檢測和審計系統(tǒng);來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志(通常通過文件、syslog、SNMP、OPSE等機制獲取日志);通過嵌入模塊,主動收集系統(tǒng)內(nèi)部事件;通過網(wǎng)絡(luò)主動訪問,獲取信息(如掃描,HTTP訪問等);來自應(yīng)用系統(tǒng)、安全系統(tǒng)的審計接口。
在重要領(lǐng)域信息系統(tǒng)中的安全審計系統(tǒng)的建設(shè)中,尤其需要考慮強制獲取數(shù)據(jù)的機制,即:有數(shù)據(jù)源的,通過審計系統(tǒng)來獲取;無數(shù)據(jù)源的,要設(shè)法生成數(shù)據(jù),進行審計。這也是強審計和一般的日志收集系統(tǒng)的區(qū)別之一。目前,各類wrapper技術(shù)是強制生成審計數(shù)據(jù)源的有效手段之一。
另外,在數(shù)據(jù)源方面,還需要關(guān)注所收集數(shù)據(jù)的性質(zhì),有些數(shù)據(jù)是已經(jīng)經(jīng)過分析和判斷的數(shù)據(jù),有些數(shù)據(jù)是未分析的原始數(shù)據(jù),不同的數(shù)據(jù)要采用不同的處理機制。此外在很多系統(tǒng)中可能需要根據(jù)實際情況定制數(shù)據(jù)轉(zhuǎn)化的功能。
(2)審計系統(tǒng)的分析機制
審計系統(tǒng)需具備評判異常、違規(guī)的能力,一個沒有分析機制的審計系統(tǒng)雖然理論上可以獲取和記錄所有的信息,但實際上在需要多層次審計的環(huán)境中是不能發(fā)揮作用的。審計系統(tǒng)的分析機制通常包括:實時分析,提供或獲取數(shù)據(jù)的設(shè)備/軟件應(yīng)具備預(yù)分析能力,并能夠進行第一道篩選;事后分析,維護審計數(shù)據(jù)的機構(gòu)對審計記錄的事后分析,事后分析通常包括統(tǒng)計分析和數(shù)據(jù)挖掘兩種技術(shù)。對于重要領(lǐng)域的信息系統(tǒng)來說,兩方面的分析機制都是需要的,一般情況下審計系統(tǒng)都應(yīng)具備實時分析能力,如果條件允許,也應(yīng)具備事后分析的能力。
⑶與原有系統(tǒng)的關(guān)系
通常一般企業(yè)構(gòu)建安全審計系統(tǒng)時,僅僅采用一些入侵檢測系統(tǒng)就滿足需求了,與原有系統(tǒng)關(guān)系不大。但是在重要領(lǐng)域信息系統(tǒng)中,需要實現(xiàn)多層次多角度的安全強審計,因此審計系統(tǒng)必然和原有的系統(tǒng)有一定的關(guān)系。通常,審計系統(tǒng)與原有系統(tǒng)的關(guān)系包括:完全透明型,原有系統(tǒng)根本察覺不到審計系統(tǒng)的存在;松散嵌入型,基本上不改變原有系統(tǒng);緊密嵌人型,需要原有系統(tǒng)的平臺層和部分應(yīng)用做出較大改變;一體化設(shè)計,系統(tǒng)設(shè)計之初就考慮審計功能,所有模塊都有與審計系統(tǒng)的接口。
如何在實現(xiàn)審計的同時確保原有系統(tǒng)的正常運轉(zhuǎn)是審計系統(tǒng)構(gòu)建的關(guān)鍵,要盡量做到最小修改和影響系統(tǒng)性能最小。
(4)如何保證審計功能不被繞過
有了安全審計的措施,必然會有各類繞過審計系統(tǒng)的手段。而在重要領(lǐng)域的信息系統(tǒng)中,審計系統(tǒng)如果被輕易繞過將導(dǎo)致嚴(yán)重的后果。所以在建設(shè)審計系統(tǒng)時,需要充分考慮審計系統(tǒng)的防繞特性。通常可以采用以下手段增強審計系統(tǒng)的防繞性:通過技術(shù)手段保證的強制審計,如網(wǎng)絡(luò)監(jiān)聽和wrapper機制;通過不同審計數(shù)據(jù)的相互印證,發(fā)現(xiàn)繞過審計系統(tǒng)的行為;通過對審計記錄的一致性檢查,發(fā)現(xiàn)繞過審計系統(tǒng)的行為;采用相應(yīng)的管理手段,從多角度保證審計措施的有力貫徹。
(5)對審計數(shù)據(jù)的有效利用
如果光建立一個審計系統(tǒng),而缺乏對審計數(shù)據(jù)的深度利用將無法發(fā)揮審計系統(tǒng)的作用。可以考慮以下的措施:根據(jù)需求,進行二次開發(fā),對審計數(shù)據(jù)進行深人的再分析,可以充分利用成熟的分析系統(tǒng),實現(xiàn)關(guān)聯(lián)分析、異常點分析、宏觀決策支持等高層審計功能;對審計系統(tǒng)中安全事件建立相應(yīng)的處理流程,并加強對事件處理的審計與評估;根據(jù)審計數(shù)據(jù),對不同的安全部件建立有效的響應(yīng)與聯(lián)動措施;針對審計記錄,有目的地進行應(yīng)急處理以及預(yù)案和演習(xí);建立相應(yīng)的管理機制,實現(xiàn)技術(shù)和管理的有機結(jié)合。
Abstract: With the advent of the information age, digital communication and information sharing has gradually integrated into the people's work and daily life. While people enjoy the network, they have to concern the information security problem that network system structure and network technology bring. The computer network leakage of a secret has become an important hidden trouble under modern information condition. Therefore, improving network security consciousness, understanding the basic network security protection technology knowledge is significant to units at all levels for ensuring the network security and puts an end to the leakage of a secret. This paper respectively introduced from the point of view of the intranet and out net.
關(guān)鍵詞: 網(wǎng)絡(luò);安全;內(nèi)網(wǎng);外網(wǎng);技術(shù)
Key words: network;security;intranet;out net;technology
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1006-4311(2012)30-0217-02
0 引言
計算機網(wǎng)絡(luò)泄密已成為現(xiàn)代信息化條件下的一個重要隱患。因此,提高網(wǎng)絡(luò)安全意識,了解網(wǎng)絡(luò)安全防護的基本技術(shù)知識,對于各級單位做好網(wǎng)絡(luò)安全,杜絕網(wǎng)絡(luò)泄密事件的發(fā)生具有極其重要的意義。
1 內(nèi)網(wǎng)安全保密技術(shù)
內(nèi)網(wǎng)安全,就是內(nèi)部局域網(wǎng)的信息防泄密和終端安全管理。很多的單位軍工單位對信息防泄密的需求都是相當(dāng)高的,他們?yōu)榱朔乐箖?nèi)部機密信息的泄露,為了有效地避免由于泄密而帶來的巨大損失,都在急切地尋找一個能夠幫助他們很好的保證這些信息不被泄密出去的有力工具。隨著社會的不斷發(fā)展,信息化程度越來越高,各企事業(yè)單位和部門對網(wǎng)絡(luò)和終端的依賴性很強。對于那些終端數(shù)量多、管理人員少的,就會力不從心疲于應(yīng)付,常常會出現(xiàn)管理不得力的情況,這樣對于整個單位和部門的正常工作都是很不利的,所以很需要一個能夠幫助他們來統(tǒng)一管理單位和部門內(nèi)部局域網(wǎng)的終端。
1.1 內(nèi)網(wǎng)的泄密途徑 大多數(shù)安全事件的發(fā)生不是主要由外部攻擊造成的,而是由內(nèi)部原因造成的。內(nèi)網(wǎng)的主要泄密途徑包括以下幾個方面:通過內(nèi)網(wǎng)網(wǎng)絡(luò)交換設(shè)備或者直連網(wǎng)線非法接入內(nèi)網(wǎng)或者計算機終端,獲取數(shù)據(jù)。利用局域網(wǎng)中的某一臺主機,通過網(wǎng)絡(luò)攻擊或欺騙的手段,非法取得其他主機甚至是某臺網(wǎng)絡(luò)服務(wù)器的重要數(shù)據(jù)。內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù),通過磁盤復(fù)制、打印、非法撥號外聯(lián)等手段泄漏到單位外部。內(nèi)部人員竊取管理員用戶名和密碼,非法進入單位重要的業(yè)務(wù)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。
1.2 網(wǎng)絡(luò)安全管理技術(shù) 隨著網(wǎng)絡(luò)應(yīng)用和規(guī)模的不斷增加,網(wǎng)絡(luò)管理工作越來越繁重,網(wǎng)絡(luò)故障也頻頻出現(xiàn):不了解網(wǎng)絡(luò)運行狀況,系統(tǒng)出現(xiàn)瓶頸;當(dāng)系統(tǒng)出現(xiàn)故障后,不能及時發(fā)現(xiàn)、診斷;網(wǎng)絡(luò)設(shè)備眾多,配置管理非常復(fù)雜。因而,加強網(wǎng)絡(luò)管理,以優(yōu)化現(xiàn)有網(wǎng)絡(luò)性能,保障網(wǎng)絡(luò)安全是十分必要的。要加強對工作人員合法使用計算機的控制,要做好接入控制、用戶集中管理、服務(wù)器資源授權(quán)和用戶身份認(rèn)證管理;能對服務(wù)器等重要站點實施強有力的保護措施,包括能隔離網(wǎng)絡(luò)區(qū)域,能進行分級分域管理。必須做好網(wǎng)絡(luò)監(jiān)控和防泄密,對于泄密,必須做到能控制文件數(shù)據(jù)失竊、郵件泄密以及打印泄密,特別是打印泄密。
1.3 安全評估技術(shù) 當(dāng)前,網(wǎng)絡(luò)安全已經(jīng)不再是早期的一種或幾種安全產(chǎn)品的堆砌所能解決的問題,而是一個動態(tài)的復(fù)雜過程,它貫穿于網(wǎng)絡(luò)信息系統(tǒng)的整個生命周期。這一過程的首要環(huán)節(jié)就是安全評估。對信息系統(tǒng)和信息技術(shù)進行科學(xué)、客觀、有效的安全評估是解決信息安全問題、保障信息安全的一個重要途徑,是確保信息資源安全的有效手段之一,是加強信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)。通過開展信息安全評估工作,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾,找到解決諸多關(guān)鍵問題的辦法。
按照信息安全評估的內(nèi)容和目的,安全評估包括脆弱性評估、威脅評估、安全防護等級評估、網(wǎng)絡(luò)攻擊效能評估、信息對抗效能評估和信息安全風(fēng)險管理。其中,“風(fēng)險”概念揭示了信息系統(tǒng)安全的本質(zhì),它不但指明了信息安全問題的根源,也指出了信息安全解決方案的實質(zhì),即把殘余風(fēng)險控制在可接受的水平上。國外許多專家認(rèn)為,信息安全風(fēng)險管理是信息安全的基礎(chǔ)工作和核心任務(wù)之一,是最有效的一種措施,是保證信息安全投資回報率優(yōu)化的科學(xué)方法。因此,信息安全風(fēng)險管理體現(xiàn)了信息安全的本質(zhì),是信息安全評估的核心。
1.4 安全審計技術(shù) 安全審計,是指對計算機系統(tǒng)安全方案中的功能提供持續(xù)的評估。安全審計系統(tǒng),是指對信息網(wǎng)絡(luò)中任一或所有安全相關(guān)事件進行記錄、分析和再現(xiàn)的處理系統(tǒng)。它通過對一些重要的事件進行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤,并找到被攻擊的原因。因而,安全審計是事故后調(diào)查取證的基礎(chǔ),當(dāng)然也是對計算機系統(tǒng)保密的信心保證。安全審計的主要功能如下:記錄關(guān)鍵事件,關(guān)于安全事件的界定由安全官員決定。對潛在的攻擊者進行威懾或警告。為系統(tǒng)安全管理員提供有價值的系統(tǒng)使用日志,幫助系統(tǒng)管理員及時發(fā)現(xiàn)入侵行為和系統(tǒng)漏洞,使安全管理人員可以知道如何對系統(tǒng)安全進行加強和改進。為安全官員提供一組可供分析的管理數(shù)據(jù),用于發(fā)現(xiàn)何處有違反安全方案的事件,并可根據(jù)實際情形調(diào)整安全策略。
2 外網(wǎng)安全保密技術(shù)
相對于內(nèi)網(wǎng)安全的概念,傳統(tǒng)意義上的網(wǎng)絡(luò)安全更為人熟知和理解。事實上,傳統(tǒng)的網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即我們所說的外網(wǎng)安全。外網(wǎng)的安全模型假設(shè)內(nèi)網(wǎng)都是安全可信的,則威脅都來自于網(wǎng)絡(luò)外部,其途徑主要通過內(nèi)、外網(wǎng)的邊界出口。所以,在外網(wǎng)的安全模型下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡(luò)的安全。
2.1 防火墻技術(shù) 由于TCP/IP協(xié)議是在可信環(huán)境下為網(wǎng)絡(luò)互聯(lián)而設(shè)計的開放性協(xié)議,在設(shè)計過程中就缺乏安全措施的考慮,而防火墻就是用來保護內(nèi)部用戶網(wǎng)絡(luò),防止黑客利用TCP/IP本身的內(nèi)在安全弱點攻擊網(wǎng)絡(luò)設(shè)備和用戶計算機。到今天,防火墻技術(shù)已經(jīng)非常成熟,防火墻也已成為網(wǎng)絡(luò)內(nèi)外網(wǎng)之間互連的標(biāo)準(zhǔn)安全隔離設(shè)備。防火墻實質(zhì)上是用來加強網(wǎng)絡(luò)之間的訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。
防火墻通過有效、細致的訪問控制規(guī)則來滿足用戶必要的通信和信息共享需求,屏蔽其他任何未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問,并能夠監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。防火墻是一種綜合性的技術(shù),涉及計算機網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、安全協(xié)議、安全操作系統(tǒng)等多方面的內(nèi)容。防火墻的主要功能有:按照安全策略進行檢查,并過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包;管理進出網(wǎng)絡(luò)的訪問行為;封堵被禁止的訪問行為;記錄通過防火墻的信息內(nèi)容和活動;對網(wǎng)絡(luò)攻擊進行檢測和告警等。
2.2 虛擬專網(wǎng)技術(shù) 虛擬專用網(wǎng)(簡稱VPN)是近年來隨著互聯(lián)網(wǎng)的發(fā)展而迅速發(fā)展起來的一種技術(shù)。它不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能,利用公共通信網(wǎng)絡(luò)實現(xiàn)安全的保密數(shù)據(jù)通信。其原理是:需要進行機密數(shù)據(jù)傳輸?shù)膬蓚€端點均連接在公共通信網(wǎng)上,當(dāng)需要進行機密數(shù)據(jù)傳輸時,通過端點上的VPN設(shè)備在公共網(wǎng)上建立一條虛擬的專用通信通道,并且所有數(shù)據(jù)均經(jīng)過加密后再在網(wǎng)上傳輸,這樣就保證了機密數(shù)據(jù)的安全傳輸。通過VPN,授權(quán)的業(yè)務(wù)伙伴就可以在授權(quán)范圍內(nèi)使用單位內(nèi)部的數(shù)據(jù),實現(xiàn)數(shù)據(jù)的安全交換。虛擬,是指用戶不再需要擁有實際的長途數(shù)據(jù)線路,而是使用互聯(lián)網(wǎng)公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。專用網(wǎng)絡(luò),是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。
實現(xiàn)VPN最關(guān)鍵的部分是在公網(wǎng)上建立虛信道,而建立虛信道是利用隧道技術(shù)實現(xiàn)的。隧道是利用一種協(xié)議傳輸另外一種協(xié)議的技術(shù),主要利用隧道協(xié)議來實現(xiàn)VPN功能。隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其他協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息,從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。IP隧道的實現(xiàn)機制主要涉及兩個方面,其一是第二層與第三層隧道的問題。
2.3 入侵檢測技術(shù) 入侵檢測技術(shù)的研究涉及到計算機、數(shù)據(jù)庫、通信、網(wǎng)絡(luò)等多方面的知識。一個有效的入侵檢測系統(tǒng),不僅能夠正確地識別系統(tǒng)中的入侵行為,而且還要考慮到系統(tǒng)本身的安全以及如何適應(yīng)網(wǎng)絡(luò)環(huán)境發(fā)展的需要。所有這些都表明,入侵檢測系統(tǒng)將是一個復(fù)雜的數(shù)據(jù)處理系統(tǒng),所涉及到的問題域中的各種關(guān)系也比較復(fù)雜。按照傳統(tǒng)的分類,入侵檢測的分析方法主要由誤用檢測和異常檢測組成。
2.4 網(wǎng)絡(luò)隔離技術(shù) 面對新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對安全的特殊需求,全新安全防護防范理念的網(wǎng)絡(luò)安全技術(shù)——網(wǎng)絡(luò)隔離技術(shù)應(yīng)運而生。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來的,它彌補了原有安全技術(shù)的不足,突出了自身的優(yōu)勢。
2.5 匿名通信技術(shù) 匿名通信系統(tǒng)能隱藏網(wǎng)絡(luò)通信實體的網(wǎng)絡(luò)地址、實體間的通信關(guān)系等隱私信息,使其不被對手觀測。在匿名通信系統(tǒng)中,假定網(wǎng)絡(luò)內(nèi)主機之間的通信具有機密性,即網(wǎng)絡(luò)外的任何主機都不能觀察到在網(wǎng)絡(luò)內(nèi)信息流的任何信息。同樣,主機之間的通信也經(jīng)過認(rèn)證,即不存在欺騙行為,可通過鏈路級認(rèn)證來保證。此外,還假定通信實體的具體物理位置信息在系統(tǒng)中保密,因為若能知道用戶的物理位置,匿名通信也就失去了其意義。
2.6 網(wǎng)絡(luò)安全掃描技術(shù) 基于網(wǎng)絡(luò)的漏洞掃描,就是通過網(wǎng)絡(luò)遠程檢測目標(biāo)主機TCP/IP不同端口的服務(wù),記錄目標(biāo)主機給予的回答。通過這種方法,可以搜集到很多目標(biāo)主機的各種信息(如是否能用匿名登錄,是否有可寫的FTP目錄,是否能用FEL-NET,HTIP是否是用root在運行)。
3 結(jié)語
計算機網(wǎng)絡(luò)安全防護不同于傳統(tǒng)意義下的信息保密,它是一個龐大的系統(tǒng)工程,不僅涉及技術(shù)人員對產(chǎn)品的采購、使用、維護和保養(yǎng),也需要各級領(lǐng)導(dǎo)機關(guān)制定嚴(yán)密的管理制度和措施作保障。但是,這些管理性的保障措施都是以技術(shù)手段為基礎(chǔ)的。
參考文獻:
[1]王熾鴻.計算機輔助設(shè)計[M].北京:機械工業(yè)出版社,1998.
[2]丁劍潔.基于度量的軟件維護過程管理的研究[D].西北大學(xué),2006.
內(nèi)部網(wǎng)絡(luò)常見的安全事件
內(nèi)部安全涉及以下幾方面:內(nèi)部網(wǎng)絡(luò)被病毒攻擊或黑客攻擊、內(nèi)部數(shù)據(jù)被非法搜集或保密數(shù)據(jù)被非法拷貝、內(nèi)部網(wǎng)絡(luò)被非法侵入、內(nèi)部網(wǎng)絡(luò)被非認(rèn)證計算機接入。
下面列舉了日常的內(nèi)部安全事件:1. 由于病毒或木馬等惡意程序使內(nèi)部計算機成為肉雞,以肉雞為跳板進行網(wǎng)絡(luò)攻擊或非法的數(shù)據(jù)收集;2. 網(wǎng)絡(luò)接入控制不嚴(yán),攻擊者可使用筆記本電腦或?qū)S梅治鲈O(shè)備接入內(nèi)部網(wǎng)絡(luò)進行非法數(shù)據(jù)收集或網(wǎng)絡(luò)攻擊;3. 內(nèi)部人員使用私有計算機而此類計算機有病毒或其他惡意數(shù)據(jù)搜集軟件;4. 無線設(shè)備的私搭亂建,造成內(nèi)部網(wǎng)絡(luò)被非法延伸,可造成非法終端接入內(nèi)部網(wǎng)絡(luò),而且入侵者不用進入企業(yè)內(nèi)部,在企業(yè)大樓附近就可以進行非法入侵;5. 內(nèi)部員工無意或有意使用一些攻擊軟件,造成內(nèi)部網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失;6. 企業(yè)內(nèi)部技術(shù)人員由于日常維護中無意或有意出現(xiàn)一些配置錯誤,造成網(wǎng)絡(luò)安全級別下降或者網(wǎng)絡(luò)出現(xiàn)漏洞;7. 內(nèi)部用戶通過郵件或者其他通信軟件無意或有意泄露內(nèi)部數(shù)據(jù);8. 管理員密碼過于簡單,容易被破解或者管理員無意泄露造成網(wǎng)絡(luò)安全隱患。
由于接入層設(shè)備的物理控制的級別不夠,還容易造成下列隱患:1. 接入層設(shè)備的console接入;2.使用監(jiān)聽軟件非法搜集用戶數(shù)據(jù)而不被用戶察覺;3.可以更改任意計算機的接入配置,可非法接入任意計算機;4.在有些情況下,可使用一些技術(shù)手段通過網(wǎng)絡(luò)接入設(shè)備造成整個網(wǎng)絡(luò)的癱瘓,比如環(huán)路造成的廣播風(fēng)暴。
內(nèi)部網(wǎng)絡(luò)安全的解決方式
如何有效避免上述內(nèi)部安全事件,應(yīng)該從多個層面入手。
1.建立完善的網(wǎng)絡(luò)防毒系統(tǒng),隨時監(jiān)控。
防毒系統(tǒng)應(yīng)該有兩個層面:一個層面為終端防毒系統(tǒng),推薦使用網(wǎng)絡(luò)防毒系統(tǒng),這樣可以把各個終端的殺毒情況匯總分析,有利于網(wǎng)絡(luò)管理人員全面掌握內(nèi)部網(wǎng)絡(luò)病毒爆況。另一個層面為網(wǎng)絡(luò)邊界防毒(防毒墻)。防毒墻可以在網(wǎng)絡(luò)邊界上防止病毒進入內(nèi)部網(wǎng)絡(luò),避免用戶登錄惡意網(wǎng)站造成的病毒傳播。內(nèi)部防毒系統(tǒng)的殺毒引擎不應(yīng)與防毒墻的殺毒引擎相同。
2. 網(wǎng)絡(luò)接入問題的幾種解決方法
計算機MAC地址綁定技術(shù)。MAC地址綁定技術(shù)實現(xiàn)簡單,一般的交換機都支持。但是MAC地址綁定在內(nèi)部用戶頻繁更改計算機接入位置時會造成維護工作量較大,而且用戶可以通過軟件更改計算機的MAC地址來避免此類限制。
思科動態(tài)VLAN技術(shù)。動態(tài)VLAN根據(jù)終端用戶的MAC地址,決定屬于哪一個VLAN,確認(rèn)是否有權(quán)限訪問網(wǎng)絡(luò)。但是動態(tài)VLAN技術(shù)也存在用戶更改MAC地址的問題,而且對動態(tài)VLAN技術(shù)的支持也只限于思科系列交換機。
網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。借助NAC,客戶可以只允許合法的、值得信任的端點設(shè)備接入網(wǎng)絡(luò),而不允許其它設(shè)備接入。NAC使網(wǎng)絡(luò)管理員在有線、無線和遠程用戶及其機器接入網(wǎng)絡(luò)前,能對它們進行驗證、授權(quán)、評估和修復(fù)。
3. 防止私自搭建無線設(shè)備
隨著技術(shù)的發(fā)展,無線接入設(shè)備越來越便宜,而且配置越來越簡單,非技術(shù)人員也可根據(jù)設(shè)備說明書搭建無線網(wǎng)絡(luò)。私自搭建的無線設(shè)備把內(nèi)部網(wǎng)絡(luò)延伸了,對于內(nèi)部網(wǎng)絡(luò)來說是非常危險的。
對于私自搭建的無線設(shè)備,應(yīng)采用下列方式排查:專業(yè)的無線監(jiān)測搜索設(shè)備,但這類設(shè)備價格昂貴,不推薦購買;使用全向無線天線配合軟件來監(jiān)測無線設(shè)備的距離和方向,這樣也可以定位無線設(shè)備,但不是很方便,而且測量精度不高;使用網(wǎng)絡(luò)分析設(shè)備來抓取數(shù)據(jù)包,搜索通用無線設(shè)備的MAC地址段,通過MAC地址來定位非法的無線設(shè)備,缺點是不易統(tǒng)計出所有無線設(shè)備的MAC地址段,而且無線設(shè)備的MAC地址也可以通過技術(shù)手段來更改;建立網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),這樣可以避免網(wǎng)絡(luò)被延伸后,非法無線計算機的接入。
4. 建立多層次的網(wǎng)絡(luò)防御系統(tǒng)
內(nèi)部網(wǎng)絡(luò)也應(yīng)該分為多個安全區(qū)域,不同安全區(qū)域的安全級別不同,一般來說可以有如下安全區(qū)域。
核心區(qū): 包括數(shù)據(jù)庫服務(wù)器、存儲系統(tǒng),以及核心的數(shù)據(jù)服務(wù)器。只對相應(yīng)的服務(wù)器提供服務(wù),不針對普通用戶提供服務(wù)。此區(qū)安全級別最高。
內(nèi)部服務(wù)區(qū)域:提供內(nèi)部訪問服務(wù)的服務(wù)器放置區(qū)域。只對內(nèi)部用戶提供服務(wù),不對外提供服務(wù)。此區(qū)安全級別較高。
設(shè)備管理區(qū)域:硬件設(shè)備以及服務(wù)器的管理區(qū)域。此區(qū)安全級別高。
辦公區(qū)域:內(nèi)部網(wǎng)絡(luò)普通用戶的個人計算機區(qū)域,提供相關(guān)的上網(wǎng)服務(wù)。此區(qū)安全級別較高。
VIP區(qū)域:特殊用戶的個人計算機區(qū)域,提供優(yōu)質(zhì)的上網(wǎng)服務(wù)以及設(shè)備調(diào)試權(quán)限。此區(qū)安全級別高。
外部接入?yún)^(qū)域:提供本部大樓以外的區(qū)域網(wǎng)絡(luò)接入。此區(qū)安全級別一般。
存儲區(qū)域:連接存儲用局域網(wǎng),與大樓網(wǎng)絡(luò)隔離。
每個安全區(qū)域之間應(yīng)該有防火墻進行安全防護,根據(jù)實際情況還可在各個安全區(qū)域之間部署IPS以及協(xié)議分析設(shè)備。這樣在內(nèi)部也建立起一套完善立體的安全防護系統(tǒng)。多個區(qū)域部署防火墻對于網(wǎng)絡(luò)拓?fù)涞膹?fù)雜性和資金要求都較高,為了避免網(wǎng)絡(luò)連接過于復(fù)雜以及達到節(jié)省資金的目的,可以使用虛擬防火墻技術(shù)。
5. 對技術(shù)人員的配置進行審計
審計系統(tǒng)包括兩個方面。
用戶上網(wǎng)審計:這類審計也稱作上網(wǎng)行為審計,對網(wǎng)內(nèi)用戶的上網(wǎng)操作進行記錄,可以查看用戶是否訪問非法網(wǎng)站,是否通過郵件傳輸了保密信息;還可以對一些關(guān)鍵字符進行過濾,對一些敏感信息進行屏蔽。這類審計產(chǎn)品市場上很多,功能大同小異。
技術(shù)人員的操作審計:由于現(xiàn)有系統(tǒng)多種多樣,傳統(tǒng)的審計系統(tǒng)對一些圖形操作無能為力。我們可以使用新類型的審計系統(tǒng)。
此類審計系統(tǒng)目標(biāo)是為組織IT系統(tǒng)核心服務(wù)器的運維操作提供強有力的監(jiān)控、記錄手段,使其切實滿足內(nèi)控管理中的合規(guī)性要求。審計系統(tǒng)可對主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理維護進行安全、有效、直觀的操作記錄、審計,對策略配置、系統(tǒng)維護、內(nèi)部訪問等進行詳細的記錄,提供細粒度的記錄、審計,并支持操作過程的全程回放。此類審計系統(tǒng)彌補了傳統(tǒng)審計、記錄系統(tǒng)的不足,將運維審計由事件審計提升為內(nèi)容審計,并將身份認(rèn)證、授權(quán)、管理、審計有機地結(jié)合,保證只有合法用戶才能擁有運維權(quán)限。
部署了這兩類審計系統(tǒng)后,徹底實現(xiàn)了安全審計中關(guān)心的“什么人、什么時間、做了什么”的目標(biāo),既可以審計用戶的上網(wǎng)行為,又可以審計技術(shù)人員的操作流程,完全可以滿足目前IT運維操作審計的需求。
5. 接入層設(shè)備的物理安全
應(yīng)專屋專用,嚴(yán)格控制出入人員。應(yīng)有視頻監(jiān)控系統(tǒng)。接入層設(shè)備的console必須設(shè)置安全級別高的密碼。嚴(yán)格監(jiān)控接入設(shè)備的每次重啟,防止被非法重置密碼。對生成樹以及組播等進行合理的配置。
6. 建立完善的身份認(rèn)證系統(tǒng)
身份認(rèn)證技術(shù)是在計算機網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的解決方法。網(wǎng)絡(luò)世界中一切信息都是用一組特定的數(shù)據(jù)來表示的,計算機只能識別用戶的數(shù)字身份,所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者,也就是說保證操作者的物理身份與數(shù)字身份相對應(yīng),身份認(rèn)證技術(shù)就是解決這個問題的。作為防護網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口,身份認(rèn)證有著舉足輕重的作用。
常用的身份認(rèn)證方式有:靜態(tài)密碼、IC卡、短信密碼、動態(tài)口令牌、USB KEY、生物識別技術(shù)等。靜態(tài)密碼設(shè)置簡單,最容易被破解;IC卡、USB KEY的方式存在丟失后被非法侵入的問題;生物識別技術(shù)存在投入過高、使用不方便等問題。建議使用動態(tài)口令牌+密碼認(rèn)證的雙因素認(rèn)證系統(tǒng),理論上不可被破解,又可防止丟失后的密碼泄露的問題。
動態(tài)口令牌是目前最為安全的身份認(rèn)證方式。動態(tài)口令牌是客戶手持用來生成動態(tài)密碼的終端,主流的是基于時間同步方式的,終端每60秒變換一次動態(tài)口令,口令一次有效,它產(chǎn)生6位動態(tài)數(shù)字進行一次一密的方式認(rèn)證。由于它使用起來非常便捷,85%以上的世界500強企業(yè)運用它保護登錄安全,廣泛應(yīng)用在VPN、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)等領(lǐng)域。
結(jié)語
關(guān)鍵詞:信息網(wǎng)絡(luò)安全系統(tǒng)
近年來,隨著經(jīng)濟水平的不斷提高,信息技術(shù)的不斷發(fā)展,一些單位、企業(yè)將辦公業(yè)務(wù)的處理、流轉(zhuǎn)和管理等過程都采用了電子化、信息化,大大提高了辦事效率。然而,正由于網(wǎng)絡(luò)技術(shù)的廣泛普及和各類信息系統(tǒng)的廣泛應(yīng)用使得網(wǎng)絡(luò)化辦公中必然存在眾多潛在的安全隱患。也即在連結(jié)信息能力、流通能力迅速提高的同時,基于網(wǎng)絡(luò)連接的安全問題將日益突出。因此,在網(wǎng)絡(luò)開放的信息時代為了保護數(shù)據(jù)的安全,讓網(wǎng)絡(luò)辦公系統(tǒng)免受黑客的威脅,就需要考慮網(wǎng)絡(luò)化辦公中的安全問題并預(yù)以解決。
一、網(wǎng)絡(luò)連接上的安全
目前,企業(yè)網(wǎng)絡(luò)辦公系統(tǒng)多數(shù)采用的是客戶機/服務(wù)器工作模式,遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商基本上是通過客戶端軟件使用調(diào)制解調(diào)器撥號或網(wǎng)卡連接到服務(wù)器,以獲取信息資源,通過網(wǎng)絡(luò)在對身份的認(rèn)證和信息的傳輸過程中如不采取有效措施就容易被讀取或竊聽,入侵者將能以合法的身份進行非法操作,這樣就會存在嚴(yán)重的安全隱患。
同時,企業(yè)為了完成各分支機構(gòu)間的數(shù)據(jù)、話音的傳送,需要建立企業(yè)專用網(wǎng)絡(luò)。早期由于網(wǎng)絡(luò)技術(shù)及網(wǎng)絡(luò)規(guī)模的限制,只能租用專線、自購設(shè)備、投入大量資金及人員構(gòu)建自己實實在在的專用網(wǎng)絡(luò)(PN,PrivateNetwork)。隨著數(shù)據(jù)通信技術(shù)的發(fā)展,特別是ATM、FrameRelay(簡稱FR)技術(shù)的出現(xiàn),企業(yè)用戶可以通過租用面向連接的邏輯通道PVC組建與專線網(wǎng)絡(luò)性質(zhì)一樣的網(wǎng)絡(luò),但是由于在物理層帶寬及介質(zhì)的非獨享性,所以叫虛擬專用網(wǎng)絡(luò)(VPN,VirtualPrivateNetwork)。特別是Internet的興起,為企業(yè)用戶提供了更加廣泛的網(wǎng)絡(luò)基礎(chǔ)和靈活的網(wǎng)絡(luò)應(yīng)用。
VPN(VirtualPrivateNetwork,虛擬專用網(wǎng)絡(luò))是一種通過綜合利用網(wǎng)絡(luò)技術(shù)、訪問控制技術(shù)和加密技術(shù),并通過一定的用戶管理機制,在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)。它替代了傳統(tǒng)的撥號訪問,通過一個公用網(wǎng)絡(luò)(Internet、幀中繼、ATM)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道,利用公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù),節(jié)省了租用專線的費用。
VPN是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN也可作為電信專線(DDN、FR)備份線路,當(dāng)專線出現(xiàn)故障時可迅速切換到VPN鏈路進行數(shù)據(jù)傳輸,確保數(shù)據(jù)無間斷性地傳輸。
進行遠程訪問時,遠程用戶可以通過VPN技術(shù)撥號到當(dāng)?shù)氐腎SP,然后通過共享路由網(wǎng)絡(luò),連接到總公司的防火墻或是交換機上,在實現(xiàn)訪問信息資源的同時可節(jié)省長途撥號的費用。當(dāng)一個數(shù)據(jù)傳輸通道的兩個端點被認(rèn)為是可信的時候,安全性主要在于加強兩個虛擬專用網(wǎng)服務(wù)器之間的加密和認(rèn)證手段上,而VPN通過對自己承載的隧道和數(shù)據(jù)包實施特定的安全協(xié)議,主機之間可通過這些協(xié)議協(xié)商用于保證數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)收發(fā)雙方的認(rèn)證性等安全性所需的加密技術(shù)和數(shù)據(jù)簽字技術(shù)。
二、Web服務(wù)器的安全
Intranet是目前最為流行的網(wǎng)絡(luò)技術(shù)。利用Intranet,各個企業(yè),無論大中小,都可以很方便地建立起自己的內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)。Intranet通過瀏覽器來查看信息,用戶的請求送到Web服務(wù)器,由Web服務(wù)器對用戶的請求進行操作,直接提交靜態(tài)頁面;或通過CGI進行交互式復(fù)雜處理,再由Web服務(wù)器負(fù)責(zé)將處理結(jié)果轉(zhuǎn)化為HTML格式,反饋給用戶。因此,Web服務(wù)器的安全是不容忽視的。而安全套接字層SSL(Securesocketlayer)的使用為其提供了較好的安全性。
SSL是用于服務(wù)器之上的一個加密系統(tǒng),是利用傳輸控制協(xié)議(TCP)來提供可靠的端到端的安全服務(wù),它可以確保在客戶機與服務(wù)器之間傳輸?shù)臄?shù)據(jù)是安全與隱密的。SSL協(xié)議分為兩層,底層是建立在可靠的TCP上的SSL記錄層,用來封裝高層的協(xié)議,上層通過握手協(xié)議、警示協(xié)議、更改密碼協(xié)議,用于對SSL交換過程的管理,從而實現(xiàn)超文體傳輸協(xié)議的傳輸。目前大部分的Web服務(wù)器和瀏覽器都支持SSL的資料加密傳輸協(xié)議。要使服務(wù)器和客戶機使用SSL進行安全的通信,服務(wù)器必須有兩樣?xùn)|西:密鑰對(Keypair)和證書(Certificate)。SSL使用安全握手來初始化客戶機與服務(wù)器之間的安全連接。在握手期間,客戶機和服務(wù)器對它們將要為此會話使用的密鑰及加密方法達成一致。客戶機使用服務(wù)器證書驗證服務(wù)器。握手之后,SSL被用來加密和解密HTTPS(組合SSL和HTTP的一個獨特協(xié)議)請求和服務(wù)器響應(yīng)中的所有信息。
三、數(shù)據(jù)庫的安全
在辦公自動化中,數(shù)據(jù)庫在描述、存儲、組織和共享數(shù)據(jù)中發(fā)揮了巨大的作用,它的安全直接關(guān)系到系統(tǒng)的有效性、數(shù)據(jù)和交易的完整性、保密性。但并不是訪問并鎖定了關(guān)鍵的網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)的漏洞,服務(wù)器上的所有應(yīng)用程序就得到了安全保障。現(xiàn)代數(shù)據(jù)庫系統(tǒng)具有多種特征和性能配置方式,在使用時可能會誤用,或危及數(shù)據(jù)的保密性、有效性和完整性。所有現(xiàn)代關(guān)系型數(shù)據(jù)庫系統(tǒng)都是“可從端口尋址的”,這意味著任何人只要有合適的查詢工具,就都可與數(shù)據(jù)庫直接相連,并能躲開操作系統(tǒng)的安全機制。例如:可以用TCP/IP協(xié)議從1521和1526端口訪問Oracle7.3和8數(shù)據(jù)庫。多數(shù)數(shù)據(jù)庫系統(tǒng)還有眾所周知的默認(rèn)帳號和密碼,可支持對數(shù)據(jù)庫資源的各級訪問。從這兩個簡單的數(shù)據(jù)相結(jié)合,很多重要的數(shù)據(jù)庫系統(tǒng)很可能受到威協(xié)。因此,要保證數(shù)據(jù)庫的完整性,首先應(yīng)做好備份,同時要有嚴(yán)格的用戶身份鑒別,對使用數(shù)據(jù)庫的時間、地點加以限制,另外還需要使用數(shù)據(jù)庫管理系統(tǒng)提供的審計功能,用以跟蹤和記錄用戶對數(shù)據(jù)庫和數(shù)據(jù)庫對象的操作,全方面保障數(shù)據(jù)庫系統(tǒng)的安全。4.網(wǎng)絡(luò)安全防范
現(xiàn)階段為了保證網(wǎng)絡(luò)信息的安全,企業(yè)辦公的正常運行,我們將采用以下幾種方式來對網(wǎng)絡(luò)安全進行防范:
(1)配置防病毒軟件
在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡(luò)免受病毒的侵襲。
(2)利用防火墻
利用防火墻可以將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
(3)Web、Email的安全監(jiān)測系統(tǒng)
在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。
(4)漏洞掃描系統(tǒng)
解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
(5)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全
對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。:
總之,網(wǎng)絡(luò)辦公中的信息安全是一個系統(tǒng)的工程,不能僅僅依靠防毒軟件或者防火墻等單個的系統(tǒng),必須將各種安全技術(shù)結(jié)合在一起,才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。但由于系統(tǒng)中的安全隱患、黑客的攻擊手段和技術(shù)在不斷提高,因此我們對安全的概念要不斷的擴展,安全的技術(shù)也應(yīng)不斷更新,這就有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索,以此才能保證我國信息網(wǎng)絡(luò)的安全,推動我國國民經(jīng)濟的高速發(fā)展。
參考文獻:
[1]《網(wǎng)絡(luò)安全理論與應(yīng)用》楊波北京電子工業(yè)出版社2002
[2]《計算機網(wǎng)絡(luò)安全技術(shù)》蔡立軍中國水利水電出版社2005
關(guān)鍵詞:計算機;安全;防火墻
計算機網(wǎng)絡(luò)的廣泛應(yīng)用給計算機的安全提出了更高的要求,也使網(wǎng)絡(luò)安全問題日漸突出。如果不很好地解決這個問題,必將阻礙計算機網(wǎng)絡(luò)化發(fā)展的進程。
一、網(wǎng)絡(luò)安全的基本內(nèi)涵釋義
網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全,指網(wǎng)絡(luò)系統(tǒng)中流動和保存的數(shù)據(jù),不受到偶然的或者惡意的破壞、泄露、更改,系統(tǒng)能連續(xù)正常的工作,網(wǎng)絡(luò)服務(wù)不中斷。從廣義上來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。
二、當(dāng)前計算機信息系統(tǒng)的網(wǎng)絡(luò)安全存在的主要威脅
一是人為的無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。例如防火墻,它是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目的就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。如有人為了避開防火墻服務(wù)器的額外認(rèn)證,進行直接的PPP連接,就會使防火墻失去保護作用。
二是網(wǎng)絡(luò)協(xié)議的局限性。Internet的基石是TCP/IP協(xié)議簇,該協(xié)議簇在實現(xiàn)上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設(shè)計上就是不安全的。并且,由于TCP/IP協(xié)議是公布于眾的,如果人們對TCP/IP協(xié)議很熟悉,就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。
三是黑客的威脅和攻擊。這是計算機網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為兩種:一種是網(wǎng)絡(luò)攻擊,以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網(wǎng)絡(luò)偵察,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進行截獲、竊取、破譯,以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害,并導(dǎo)致機密數(shù)據(jù)的泄露。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo)。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。
三、當(dāng)前維護計算機網(wǎng)絡(luò)安全的主要防范措施
針對網(wǎng)絡(luò)系統(tǒng)現(xiàn)實情況,處理好網(wǎng)絡(luò)的安全問題是當(dāng)務(wù)之急。為了保證網(wǎng)絡(luò)安全采用如下方法:
(一)配置防火墻。防火墻將內(nèi)部網(wǎng)和公開網(wǎng)分開,實質(zhì)上是一種隔離技術(shù)。它是網(wǎng)絡(luò)安全的屏障,是保護網(wǎng)絡(luò)安全最主要的手段之一。利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客隨意訪問自己的網(wǎng)絡(luò)。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。
(二)安裝防病毒網(wǎng)關(guān)軟件。防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連__接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時,可能已經(jīng)感染了很多計算機,防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時,管理員只要將防病毒網(wǎng)關(guān)升級就可以抵御新病毒的攻擊。
(三)應(yīng)用入侵檢測系統(tǒng)。入侵檢測技術(shù)是近20年來出現(xiàn)的一種主動保護自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。它能夠檢測那些來自網(wǎng)絡(luò)的攻擊,檢測到超過授權(quán)的非法訪問。一個網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機的配置。由于它不會在業(yè)務(wù)系統(tǒng)的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業(yè)務(wù)的性能。它從系統(tǒng)運行過程中產(chǎn)生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素,并對威脅做出相應(yīng)的處理。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(四)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個子網(wǎng)做一有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。
[關(guān)鍵詞] 入侵檢測 移動 IDS模型
一、引言
互聯(lián)網(wǎng)飛速發(fā)展的今天,入侵檢測技術(shù)受到廣泛的關(guān)注。入侵檢測是監(jiān)視系統(tǒng)中違背系統(tǒng)安全策略行為的過程,入侵檢測系統(tǒng)原型可以規(guī)范地劃分為三個功能模塊:采集器,分析器和管理器模塊。
IDWG提出的一種比較通用的入侵檢測模型,如圖1所示。IDWG還對這些功能模塊之間交互的消息和數(shù)據(jù)流進行了規(guī)范定義。
采集器從數(shù)據(jù)源中收集、跟蹤、發(fā)掘相關(guān)信息;分析器對傳感引擎提煉出的數(shù)據(jù)進行分析,過濾,目的在于發(fā)現(xiàn)正在進行的入侵行為或潛在的入侵行為,產(chǎn)生高級別安全警報;管理器負(fù)責(zé)關(guān)聯(lián)這些告警信息的以及后續(xù)處理,并承擔(dān)所有入侵檢測進程接口的管理。
二、IDWG IDS模型的改進
IDWG IDS模型存在模塊之間缺乏交互的缺陷,本文所提出的移動入侵檢測系統(tǒng)模型在IDWG IDS模型的基礎(chǔ)上,加上了模塊之間新的交互。如下圖2所示。
管理器發(fā)給分析器管理查詢消息,分析器將查詢結(jié)果發(fā)送到管理器,并等候進一步指示。當(dāng)分析器對采集器所收集到的監(jiān)視跟蹤事件與數(shù)據(jù)進行修整,篩選,統(tǒng)一格式等操作。
三、移動入侵檢測系統(tǒng)功能模塊設(shè)計
本文的移動入侵檢測系統(tǒng)結(jié)構(gòu)的設(shè)計符合上圖2改進的IDS模型,其系統(tǒng)結(jié)構(gòu)中主要功能模塊設(shè)計如圖3所示。
1.原始數(shù)據(jù)。原始數(shù)據(jù)可以是基于主機的的數(shù)據(jù)源,基于網(wǎng)絡(luò)數(shù)據(jù)源,基于報警信息源。常見的基于主機的數(shù)據(jù)源有操作系統(tǒng)審計記錄、系統(tǒng)日志、用戶擊鍵、和特權(quán)程序系統(tǒng)調(diào)用。
(1)操作系統(tǒng)審計記錄。操作系統(tǒng)審計記錄是由專門的審計子系統(tǒng)產(chǎn)生的系統(tǒng)事件記錄,它們是系統(tǒng)活動的信息集合,以事件發(fā)生的時間順序記錄,組織為一個或多個審計文件。
(2)系統(tǒng)日志。系統(tǒng)日志是系統(tǒng)和應(yīng)用程序事件記錄,通常是系統(tǒng)程序?qū)懙奈谋疚募僮飨到y(tǒng)通常提供多個工具記錄系統(tǒng)發(fā)生的事件。
(3)用戶擊鍵。用戶擊鍵就是用戶使用鍵盤的習(xí)慣,它在一定程度上反映了用戶的行為、用戶的工作內(nèi)容等。
(4)特權(quán)程序系統(tǒng)調(diào)用。特權(quán)程序通常是攻擊的重點目標(biāo)。特權(quán)進程可訪問的系統(tǒng)資源多,影響范圍廣,它甚至可以繞過內(nèi)核的安全審核機制而訪問系統(tǒng)資源,導(dǎo)致特權(quán)程序?qū)ο到y(tǒng)的安全威脅大。
網(wǎng)絡(luò)中所有可管理對象的集合――管理信息庫(MIB),也是采集原始數(shù)據(jù)的重要來源。
2.采集器。系統(tǒng)的數(shù)據(jù)采集構(gòu)件,主要是收集入侵檢測中需使用的各種數(shù)據(jù),并將數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)格式傳送給IDS引擎處理。采集的數(shù)據(jù)既可以是網(wǎng)絡(luò)中的原始數(shù)據(jù)包,也可以是來自主機的各種原始數(shù)據(jù)。
這里的移動入侵檢測系統(tǒng)的數(shù)據(jù)采集器由攻擊特征信息庫,數(shù)據(jù)歸類整理部件與數(shù)據(jù)統(tǒng)一求精部件構(gòu)成。如下圖4為采集器功能模塊圖。
數(shù)據(jù)歸類整理部件負(fù)責(zé)收集原始數(shù)據(jù),并對數(shù)據(jù)作歸類整理,比如把數(shù)據(jù)分成系統(tǒng)級的原始數(shù)據(jù),并且依據(jù)攻擊特征信息庫把數(shù)據(jù)整理成事件數(shù)據(jù)。
數(shù)據(jù)統(tǒng)一求精部件負(fù)責(zé)去除冗余事件,并依據(jù)攻擊特征信息庫將求精后事件其抽象為入侵檢測系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)格式。
3.IDS引擎。IDS引擎包括管理控制臺、事件檢測分析器和入侵檢測響應(yīng)器。提供用戶和其它構(gòu)件的管理接口,根據(jù)Sensor收集到的數(shù)據(jù),對數(shù)據(jù)進行檢測分析,產(chǎn)生檢測結(jié)果等。如下圖5為IDS引擎功能模塊圖。
事件檢測分析器建立相關(guān)事件信息,關(guān)聯(lián)已知攻擊證據(jù),分析確定該事件是否為入侵行為的事件。
管理控制臺對本地系統(tǒng)的采集器,事件分析器,入侵檢測響應(yīng)器以及移動Agent等各部件進行控制和管理,負(fù)責(zé)根據(jù)不同的入侵事件配置相應(yīng)的入侵響應(yīng)策略。
入侵檢測響應(yīng)部件負(fù)責(zé)確認(rèn)入侵行為采取相應(yīng)措施,如斷開人侵者與系統(tǒng)的連接,甚至自動關(guān)閉系統(tǒng)與外部網(wǎng)絡(luò)的連接,采取反攻擊策略等。
4.移動系統(tǒng)。移動Agent系統(tǒng)(Mobile Agent System)用于給移動Agent提供運行環(huán)境。每種都是獨立的軟件實體,只執(zhí)行特定的功能,且可自主的在移動自組網(wǎng)內(nèi)移動。
監(jiān)測:監(jiān)測被分成網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)測,用來監(jiān)控用戶行為和系統(tǒng)級行為。
決策:是IDS移動的管理中心,負(fù)責(zé)網(wǎng)絡(luò)內(nèi)所有移動Agent的派發(fā)、啟動和停止,對入侵威脅做出判斷。
響應(yīng):負(fù)責(zé)對主機與網(wǎng)絡(luò)的入侵情況做出響應(yīng),執(zhí)行相應(yīng)的入侵處理操作,并與其他協(xié)同工作。
探測:對群內(nèi)節(jié)點的事件告警進行復(fù)查,避免局部的誤報、錯報影響整個子群甚至全網(wǎng)的檢測。
四、結(jié)束語
入侵檢測是監(jiān)視系統(tǒng)中違背系統(tǒng)安全策略行為的過程,本文對IDWG IDS模型做了改進,增加了采集器,分析器和管理器模塊之間的交互。最后根據(jù)改進的模型設(shè)計了移動入侵檢測系統(tǒng),并對系統(tǒng)的各個功能模塊做了定義。
參考文獻
中圖分類號:TP309文獻標(biāo)識碼:A
文章編號:1004-373X(2010)19-0097-04
Research of Protocol Behavior Audit Technology Based on Regular Expressions
ZHANG Yun-ming1, WANG Yong-jun2
(1.Institute of Continuing Education, National University of Defense Technology, Changsha 410073, China;
2.Institute of Computer, National University of Defense Technology, Changsha 410073, China)
Abstract: The users′ behavior is analyzed and the audit is performed with the protocol behavior audit technology through the on-line analysis of the application layer protocol. The evidence is provided for monitoring network security by the protocol behavior audit, which realizes the purpose of enhancing the network security. The technology of the protocol behavior analysis is discussed emphatically with the regular expressions. A technology framework of the flexible and scalable protocol behavior audit is proposed. Based on the technology framework, a protocol behavior audit system was implemented for auditing the HTTP protocol, SMB protocol and TNS protocol. The process of using the technology of protocol behavior analysis based on regular expressions in this system is elaborated through the introduction of the detailed example. The testing results of the system verify the effectiveness of the protocol behavior audit technology based on regular expressions.Keywords: protocol behavior audit; regular expression; protocol analysis; security audit; information security
0 引 言
隨著網(wǎng)絡(luò)的應(yīng)用普及,網(wǎng)絡(luò)安全問題日益凸顯,網(wǎng)絡(luò)安全研究者從各種角度考慮來研究包括防火墻、病毒查殺、入侵檢測、網(wǎng)絡(luò)隔離、安全審計等在內(nèi)的各種技術(shù)以增強網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)行為審計技術(shù)作為網(wǎng)絡(luò)安全技術(shù)的必要組成部分,用于檢測網(wǎng)絡(luò)中的異常流量和活動并及時報警,在內(nèi)網(wǎng)安全中發(fā)揮著重要作用。網(wǎng)絡(luò)行為審計技術(shù)結(jié)合了網(wǎng)絡(luò)管理中的流量分析技術(shù)和網(wǎng)絡(luò)安全領(lǐng)域的協(xié)議分析技術(shù),在國內(nèi)很少明確提出,但是該技術(shù)在上網(wǎng)行為審計產(chǎn)品和數(shù)據(jù)庫審計產(chǎn)品中得到體現(xiàn)。網(wǎng)絡(luò)行為審計因為涉及范圍廣,本質(zhì)上又是比較基礎(chǔ)的深度包檢測(Deep Packet Inspection,DPI)、深度/動態(tài)流檢測(Deep/DynamicFlow Inspection,DFI)技術(shù),目前出現(xiàn)幾種應(yīng)用對象更加專一的衍生技術(shù),包括數(shù)據(jù)庫行為監(jiān)控、內(nèi)容監(jiān)控和過濾等。協(xié)議行為審計技術(shù)就是網(wǎng)絡(luò)行為審計技術(shù)的延伸,利用網(wǎng)絡(luò)行為審計的基本思想,著重于協(xié)議的行為分析和審計技術(shù)的應(yīng)用,解決網(wǎng)絡(luò)中應(yīng)用層協(xié)議行為的深度檢測和審計問題。
1 相關(guān)技術(shù)現(xiàn)狀
1.1 網(wǎng)絡(luò)安全審計
網(wǎng)絡(luò)安全審計的概念并沒有統(tǒng)一的認(rèn)識[1]。安全審計[2]是指為了檢查系統(tǒng)的控制是否足夠,為了保證與已建立的策略和操作實施相符合,發(fā)現(xiàn)安全中的漏洞,以及為了建議在控制、策略和實施中做指定的改變,而對系統(tǒng)記錄與活動進行的獨立觀察和考核。把安全審計限定在網(wǎng)絡(luò)安全領(lǐng)域,以網(wǎng)絡(luò)安全為目的的安全審計,就是網(wǎng)絡(luò)安全審計。一般來說,網(wǎng)絡(luò)安全審計包含日志審計和行為審計。日志審計是通過查看來自服務(wù)器、路由器、主機等網(wǎng)絡(luò)中設(shè)備的各種日志從而評估網(wǎng)絡(luò)配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,并能為實時防御提供手段。行為審計是通過對網(wǎng)絡(luò)中數(shù)據(jù)包進行協(xié)議分析和還原,達到審計服務(wù)器、用戶電腦、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的審計安全漏洞、合法和非法或入侵操作、監(jiān)控上網(wǎng)行為和內(nèi)容、監(jiān)控用戶行為,確認(rèn)行為的合規(guī)性,確保管理的安全。目前的網(wǎng)絡(luò)安全審計產(chǎn)品眾多,功能各有側(cè)重,不盡相同,但基本都能夠?qū)崿F(xiàn)上網(wǎng)行為的審計。
1.2 行為分析技術(shù)
在計算機網(wǎng)絡(luò)領(lǐng)域,行為分析主要有兩種類型:用戶行為分析和網(wǎng)絡(luò)行為分析。用戶行為分析是通過對包括用戶登錄、登錄后的操作命令、運行的程序、訪問的網(wǎng)絡(luò)資源等應(yīng)用層面的行為進行分析,主要從應(yīng)用服務(wù)器、數(shù)據(jù)庫、應(yīng)用中間件、用戶終端等位置去收集用戶的行為信息。目前的內(nèi)網(wǎng)管理設(shè)備可以檢測到網(wǎng)絡(luò)下載、即時通訊、上網(wǎng)瀏覽等用戶行為。
網(wǎng)絡(luò)行為分析[3]是對網(wǎng)絡(luò)行為異常的探測,利用對網(wǎng)絡(luò)的被動監(jiān)測發(fā)現(xiàn)通訊和應(yīng)用中違反安全策略的行為。網(wǎng)絡(luò)行為分析試圖把來自網(wǎng)絡(luò)中盡量多節(jié)點的流動數(shù)據(jù)結(jié)合在一起來綜合分析,發(fā)現(xiàn)和觀察網(wǎng)絡(luò)內(nèi)部的具體情況。網(wǎng)絡(luò)行為分析致力于摘取網(wǎng)絡(luò)中關(guān)鍵性的能夠反映網(wǎng)絡(luò)行為信息,這些信息其他網(wǎng)絡(luò)安全設(shè)備可能不進行分析。例如,通過監(jiān)視網(wǎng)絡(luò)的通訊流,網(wǎng)絡(luò)行為分析能夠發(fā)現(xiàn)網(wǎng)絡(luò)中使用了禁止的協(xié)議,能夠發(fā)現(xiàn)被病毒感染的筆記本電腦或者移動存儲設(shè)備在防火墻后面的連接等。通過把當(dāng)前的行為與以前的行為相比較,網(wǎng)絡(luò)行為分析能夠發(fā)現(xiàn)沒有使用補丁和病毒特征更新的零日攻擊和蠕蟲爆發(fā)。網(wǎng)絡(luò)行為分析主要是對網(wǎng)絡(luò)的使用、連接和訪問情況進行全局性的分析,從2008年開始,網(wǎng)絡(luò)行為分析技術(shù)逐漸成熟,并且不斷地衍生,成為其他新產(chǎn)品的必要技術(shù)組成部分。文獻[4-7]分別從網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)流量檢測評估以及網(wǎng)絡(luò)行為模擬等方面對網(wǎng)絡(luò)行為分析的應(yīng)用進行了研究。
1.3 協(xié)議行為審計
基于網(wǎng)絡(luò)行為分析的網(wǎng)絡(luò)行為審計技術(shù)主要關(guān)心網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接等網(wǎng)絡(luò)層面上的行為[8],基于用戶行為分析的審計技術(shù)則致力于從服務(wù)器、主機等網(wǎng)絡(luò)設(shè)備的安全審計日志中分析用戶行為。本文側(cè)重于從網(wǎng)絡(luò)協(xié)議本身入手、在線深度解析網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容、分析出協(xié)議行為、以最終達到審計用戶活動為目的協(xié)議行為審計技術(shù)。
協(xié)議行為是指執(zhí)行網(wǎng)絡(luò)協(xié)議所產(chǎn)生的網(wǎng)絡(luò)活動。協(xié)議行為能夠準(zhǔn)確反映用戶在應(yīng)用網(wǎng)絡(luò)時的操作行為,所以對協(xié)議行為的在線分析能夠準(zhǔn)確監(jiān)測到用戶操作活動。
協(xié)議行為審計技術(shù)就是根據(jù)網(wǎng)絡(luò)協(xié)議通過對網(wǎng)絡(luò)數(shù)據(jù)包進行內(nèi)容的解析實現(xiàn)對協(xié)議對應(yīng)的網(wǎng)絡(luò)活動的監(jiān)測和記錄技術(shù)。通過對審計數(shù)據(jù)深入研究還可以發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,進而可以采取相應(yīng)措施進行阻止和控制,改善網(wǎng)絡(luò)安全環(huán)境。協(xié)議行為審計技術(shù)的核心是在線進行協(xié)議解析并生成審計數(shù)據(jù)記錄。
1.4 正則表達式在協(xié)議行為審計中的應(yīng)用
正則表達式[9]是一種描述字符串結(jié)構(gòu)模式的形式化表達方法,具有超強的結(jié)構(gòu)描述能力。它的處理對象是類似字符串一樣的對象序列,而圍繞計算機所做的大多數(shù)工作,都歸結(jié)為在這個序列上的操作,因此它在軟件開發(fā)和日常數(shù)據(jù)處理工作中成為必不可少的工具,在協(xié)議識別[10]、報文深度檢測中得到廣泛應(yīng)用[11]。正則表達式機制與傳統(tǒng)的字符串特征匹配相比,具有匹配效率高,匹配條件靈活的優(yōu)勢。把這個特性用于協(xié)議內(nèi)容的信息提取,結(jié)合協(xié)議解析技術(shù),可以提高網(wǎng)絡(luò)中協(xié)議行為審計的效率,因此,本文提出基于正則表達式的協(xié)議行為審計技術(shù)框架。
2 基于正則表達式的協(xié)議行為審計技術(shù)框架
2.1 總體框架
協(xié)議行為審計技術(shù)總體框架如圖1所示。低層協(xié)議解析是指TCP/IP協(xié)議族中傳輸層及其以下的網(wǎng)絡(luò)協(xié)議解析。審計規(guī)則檢查模塊基于可配置策略的協(xié)議行為審計考慮進行設(shè)計,策略是指可以由使用者指定的審計條件。審計數(shù)據(jù)生成模塊根據(jù)協(xié)議解析和規(guī)則檢查后的結(jié)果進一步分析提取,生成審計數(shù)據(jù),并由審計數(shù)據(jù)記錄模塊存儲。基于正則表達式的應(yīng)用層協(xié)議解析引擎模塊是協(xié)議行為審計的核心模塊,完成應(yīng)用層協(xié)議行為的分析并輸出分析結(jié)果。
圖1 協(xié)議行為審計技術(shù)總體框架
2.2 基于正則表達式的協(xié)議行為解析
總體框架中基于正則表達式協(xié)議行為解析引擎模塊的工作流程圖2所示。圖中虛線左側(cè)所示的是建立正則表達式描述庫的過程,這是為解析引擎能夠正常運行所做的準(zhǔn)備工作,主要依賴于對各個協(xié)議標(biāo)準(zhǔn)的掌握和分析程度。圖中虛線右側(cè)所示的是解析引擎利用正則表達式描述庫進行協(xié)議行為解析的過程。
應(yīng)用層網(wǎng)絡(luò)協(xié)議多種多樣,幾乎每一種網(wǎng)絡(luò)應(yīng)用都有各自的應(yīng)用層協(xié)議,例如網(wǎng)絡(luò)瀏覽使用HTTP協(xié)議,網(wǎng)絡(luò)文件共享使用SMB協(xié)議。在這里,針對每個網(wǎng)絡(luò)協(xié)議,用一組正則表達式進行描述,并不是描述出完整的協(xié)議標(biāo)準(zhǔn),目的是在于能夠以此從網(wǎng)絡(luò)數(shù)據(jù)中提取到網(wǎng)絡(luò)協(xié)議相關(guān)內(nèi)容信息,用于分析網(wǎng)絡(luò)協(xié)議行為。
圖2 基于正則表達式的協(xié)議行為解析示意圖
正則表達式選取是從正則表達式描述庫中選擇相應(yīng)的網(wǎng)絡(luò)協(xié)議描述子集,并根據(jù)該網(wǎng)絡(luò)協(xié)議交互過程所處的階段選取合適的正則表達式。匹配引擎是構(gòu)造和運行正則表達式的機制,不同的匹配引擎匹配效率和結(jié)果會有不同。協(xié)議信息處理能夠根據(jù)正則表達式提取出的內(nèi)容信息分析出協(xié)議行為和狀態(tài),還可決定是否對這些內(nèi)容信息繼續(xù)用正則表達式引擎處理或者做其他有利于分析出協(xié)議行為的操作。
在該框架下,協(xié)議行為解析的能力由正則表達式描述庫中可描述的協(xié)議多少決定,各個網(wǎng)絡(luò)協(xié)議的正則描述子集互不干擾,并可以隨意的添加和刪除對某種網(wǎng)絡(luò)協(xié)議的支持,具有靈活方便的可擴展性。
3 系統(tǒng)實現(xiàn)
3.1 系統(tǒng)介紹
根據(jù)以上技術(shù)理論和框架,實現(xiàn)了一個協(xié)議行為審計系統(tǒng),該系統(tǒng)具有可配置的策略控制模塊,能夠根據(jù)策略的配置準(zhǔn)確分析和詳細記錄協(xié)議行為,并且具有靈活的協(xié)議擴展架構(gòu)。已完成的協(xié)議行為審計包括HTTP協(xié)議行為審計、SMB協(xié)議行為審計和Oracle數(shù)據(jù)庫的TNS協(xié)議行為審計。
作為從網(wǎng)絡(luò)安全角度考慮實現(xiàn)的HTTP協(xié)議行為審計,該系統(tǒng)實現(xiàn)了記錄網(wǎng)頁訪問過程中的源和目的IP地址,源和目的端口,源和目的MAC地址以及訪問網(wǎng)頁的完整URL等信息的功能。對SMB協(xié)議行為的分析提供了記錄網(wǎng)絡(luò)中什么用戶訪問了網(wǎng)絡(luò)中的什么資源、做了什么操作的能力,即當(dāng)網(wǎng)絡(luò)中有共享資源的訪問發(fā)生時,系統(tǒng)可以記錄源訪問者的用戶名、所訪問的共享文件或文件夾的完整路徑和名字,以及對文件或文件夾所作的具體操作操作。對TNS協(xié)議,實現(xiàn)了記錄遠程Oracle數(shù)據(jù)庫訪問過程中的用戶名、數(shù)據(jù)庫名、完整的SQL語句,以及分辨出對數(shù)據(jù)庫做出的查詢、修改等操作。
協(xié)議行為審計系統(tǒng)具有可配置的策略控制機制,能夠根據(jù)不同的應(yīng)用需求通過配置策略來靈活管理審計對象。該系統(tǒng)可以分別設(shè)定源地址對象、目的地址對象、源端口、目的端口等設(shè)定審計的對象,可以分別定制審計的開始日期時間和結(jié)束日期時間。針對HTTP協(xié)議的行為審計,還可以指定URL中的關(guān)鍵字作為審計條件進行關(guān)鍵字過濾。針對SMB協(xié)議可以指定用戶名關(guān)鍵字過濾,文件路徑關(guān)鍵字過濾,定制一種或多種操作作為審計條件。針對TNS協(xié)議可以指定用戶名關(guān)鍵字、數(shù)據(jù)庫名關(guān)鍵、SQL語句中的任意關(guān)鍵字進行關(guān)鍵字過濾,還可以定制一種或者多種數(shù)據(jù)庫操作作為審計條件。當(dāng)系統(tǒng)按照策略配置產(chǎn)生了審計數(shù)據(jù)后,會把審計數(shù)據(jù)記錄到數(shù)據(jù)庫中,并根據(jù)策略配置可以向界面控制程序產(chǎn)生聲音報警,方便管理員及時進行人工判斷和處理可疑的行為。
3.2 實例:TNS協(xié)議行為審計中的數(shù)據(jù)庫名稱的獲取
基于TNS協(xié)議的Oracle數(shù)據(jù)庫遠程訪問中,如果Oracle數(shù)據(jù)庫版本不同,客戶端與Oracle交互過程中數(shù)據(jù)庫名稱出現(xiàn)的時機和在數(shù)據(jù)包中的位置也不相同。協(xié)議行為審計系統(tǒng)可以支持Oracle 9i數(shù)據(jù)庫和Oracle 11g數(shù)據(jù)庫兩個版本。現(xiàn)在,以O(shè)racle 9i數(shù)據(jù)庫為例來說明如何利用正則表達式解析TNS協(xié)議的內(nèi)容并從中獲取數(shù)據(jù)庫名。
在對TNS協(xié)議解析時,系統(tǒng)中把TNS協(xié)議的交互過程劃分為五個狀態(tài),每個狀態(tài)代表了TNS交互過程進入了某個階段。針對數(shù)據(jù)庫名在TNS的Connect類型數(shù)據(jù)包所在的位置,制定正則表達式:“.*SERVICE_NAME=([a-zA-Z0-9_\\.]+)”,這個表達式總是能夠找到數(shù)據(jù)包中在關(guān)鍵字“SERVICENAME=”后面緊隨著的數(shù)據(jù)庫名,這個數(shù)據(jù)庫名包含的合法字符包括大小寫英文字母、數(shù)字和“”,“.”兩個特殊字符。在初始化狀態(tài)時,系統(tǒng)對收到的TNS數(shù)據(jù)包的數(shù)據(jù)部分執(zhí)行上述的正則表達式,直到正則表達式正確地獲得了數(shù)據(jù)庫用戶名,系統(tǒng)把這個用戶名存儲到TCP會話所綁定的數(shù)據(jù)結(jié)構(gòu)中,并把狀態(tài)更改為已獲取數(shù)據(jù)庫名的狀態(tài)。隨后系統(tǒng)會對TNS協(xié)議交互過程做進一步解析,當(dāng)協(xié)議解析達到了可以表明已經(jīng)成功連接的狀態(tài)時,系統(tǒng)才可以確定已經(jīng)正確的獲得了正在被訪問的數(shù)據(jù)庫名稱。
3.3 系統(tǒng)測試
協(xié)議行為審計系統(tǒng)在一個由交換機、Oracle 9i數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、幾臺測試主機和Avalanche網(wǎng)絡(luò)測試儀組成的局域網(wǎng)中進行了功能和性能的全面測試。協(xié)議行為審計系統(tǒng)通過把系統(tǒng)的數(shù)據(jù)包捕獲接口連接到交換機的鏡像口接入到這個網(wǎng)絡(luò)。測試結(jié)果表明:協(xié)議行為審計系統(tǒng)運行良好,在功能方面,完全滿足設(shè)計要求;在性能方面,HTTP協(xié)議行為審計在同時有1 000個HTTP連接和百兆流量的網(wǎng)絡(luò)背景下,按照策略配置要求審計指定網(wǎng)絡(luò)地址和URL關(guān)鍵字的Web訪問行為,成功率達到99%,TNS協(xié)議行為審計和SMB協(xié)議行為審計在百兆帶寬的流量背景下審計成功率也都能夠達到99%以上。
4 結(jié) 語
針對網(wǎng)絡(luò)安全的研究不斷深入,但是網(wǎng)絡(luò)安全事件的發(fā)生從未停止,安全現(xiàn)狀令人堪憂。這里提出的協(xié)議行為審計技術(shù),能夠用于網(wǎng)絡(luò)中的用戶行為監(jiān)控和審計,為及時發(fā)現(xiàn)網(wǎng)絡(luò)中的非法行為提供了一種解決方案。正則表達式在協(xié)議行為解析中的運用,增加了協(xié)議行為審計的效率和準(zhǔn)確性。實現(xiàn)的針對三種協(xié)議的協(xié)議行為審計系統(tǒng)在測試環(huán)境中運行良好,為協(xié)議行為審計技術(shù)的研究提供了很好的實用范例。針對協(xié)議行為審計系統(tǒng)的進一步研究可著眼于利用數(shù)據(jù)挖掘技術(shù)對審計數(shù)據(jù)的分析上。
參考文獻
[1]ZHANG Jun-liang, FANG Ding-yi. LIU Li. Intelligent content filtering model for network security audit system[C]//2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 546-548.
[2]戴宗坤.信息安全實用技術(shù)[M].重慶:重慶大學(xué)出版社,2005.
[3]江泓,何恩.行為分析技術(shù)及其在可信網(wǎng)絡(luò)中的應(yīng)用前景[J].信息安全與通信保密,2009(2):67-69.
[4]FRIAS-MARTINEZ V, SHERRICK Joseph, STOLFO Salvatore J. A network access control mechanism based on behavior profiles[C]//2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 3-12.
[5]ZENG Bin, ZHANG Da-fang, LI Wen-wei. Design and implementation of a network behavior analysis-oriented IP network measurement system[C]//2008 First International Workshop.[S.l.]: IEEE Computer Society, 2008: 374-379.
[6]PAN Yan-hui, WANG Tao. Network traffic emulation based on representative network behavior and protocol. 2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 1777-1780.
[7]KIM Taekyu. Ontology/data engineering based distributed simulation over service oriented architecture for network behavior analysis[M]. Arizona: University of Arizona, 2008.
[8]李軍,曹文君,李楊.FB-NBAS:一種基于流的網(wǎng)絡(luò)行為分析模型[J].計算機工程,2008,34(3):165-166.
[9]Jeffrey E F Friedl.精通正則表達式[M].余晟,譯.北京:電子工業(yè)出版社,2009.
一、對客戶局域網(wǎng)和INTRANET的審計
計算機網(wǎng)絡(luò)審計是電子數(shù)據(jù)處理環(huán)境下的審計(EDP審計)的進一步發(fā)展。EDP環(huán)境與手工處理相比具有以下幾個方面的特征:(1)在組織結(jié)構(gòu)方面,功能與知識、程序和數(shù)據(jù)的集中化;(2)輸入的書面文件減少,缺乏可見形式的業(yè)務(wù)蹤跡,缺乏可見形式的輸出;(3)數(shù)據(jù)處理過程具有運行的連慣性、內(nèi)控的程序化、業(yè)務(wù)處理的系統(tǒng)性等特點。在網(wǎng)絡(luò)環(huán)境下,數(shù)據(jù)傳輸更加迅速,業(yè)務(wù)文檔更加缺乏可見性;而且由于資源的共享性,數(shù)據(jù)信息的存儲和處理更加脆弱。以上都決定了數(shù)據(jù)處理的內(nèi)部控制及系統(tǒng)的可靠性、安全性、效率性處于突出的重要位置。在這里,數(shù)據(jù)處理的內(nèi)部控制主要指企業(yè)針對網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)而設(shè)置的以保護資產(chǎn)安全性與信息真實性為目的的控制措施,諸如職責(zé)分離、授權(quán)控制、職務(wù)輪換等,它屬于組織方面的內(nèi)容。而系統(tǒng)可靠性、安全性、效率性等(簡稱系統(tǒng)性能)則是針對網(wǎng)絡(luò)系統(tǒng)正常運行進行評價、檢測及管理工作,它屬于計算機技術(shù)方面的內(nèi)容。實際上,這兩方面是密切聯(lián)系、相輔相成的。一個再好的計算機系統(tǒng),如果內(nèi)部控制薄弱,則信息處理很容易遭到內(nèi)部人員篡改、破壞;一個好的內(nèi)部控制環(huán)境,離開性能良好的計算機系統(tǒng)同樣漏洞百出、易受病毒感染,難以有效運行。事實上一個性能良好的系統(tǒng)就等于會計信息系統(tǒng)有了良好的“機內(nèi)控制”,二者不可相互替代。因此,在網(wǎng)絡(luò)環(huán)境下,收集與評價計算機網(wǎng)絡(luò)內(nèi)部控制及系統(tǒng)性能方面的審計證據(jù)對正確發(fā)表審計意見,降低審計風(fēng)險起著重要作用。
局域網(wǎng)就是某一個組織在有限的范圍內(nèi)使用的網(wǎng)絡(luò),這個網(wǎng)絡(luò)使用戶能夠共享信息和技術(shù)。lntranet實際上就是模擬Internet技術(shù)建立在公司內(nèi)部的因特網(wǎng),就是由公司內(nèi)部局域網(wǎng)連接起來組成的廣域網(wǎng)。Intranet可以使那些規(guī)模巨大、擁有眾多分支機構(gòu)的大公司方便地實現(xiàn)在內(nèi)部分布信息、充分利用現(xiàn)有的數(shù)據(jù)庫、作為銷售工具及促進統(tǒng)一的研究與開發(fā)等功能。對Intranet來說,建好內(nèi)部的局域網(wǎng)仍是其核心。
對于作為公司會計信息系統(tǒng)組成部分的局域網(wǎng)和Intranet的審計無外乎兩個方面,即符合性測試和實質(zhì)性測試。對于前者來說,上述系統(tǒng)性能評價與內(nèi)部控制評價是審計測試的重點。局域網(wǎng)系統(tǒng)性能評價包括可靠性、安全性、效率性等方面的研究和評價。可靠性涉及查找網(wǎng)絡(luò)問題、報告網(wǎng)絡(luò)錯誤即存檔方面的控制;安全性包括防止網(wǎng)絡(luò)被未經(jīng)授權(quán)的用戶訪問、防止計算機病毒入侵等;效率性要求維護網(wǎng)絡(luò)軟硬件、保證網(wǎng)絡(luò)高效率性能,且使其服務(wù)不致惡化。內(nèi)部控制評價則要求在網(wǎng)絡(luò)環(huán)境下著重關(guān)注以下幾個方面:①不相容職責(zé)的重新定義和崗位的重新劃分;②職務(wù)定期輪換和密碼口令的定期更換;③重要信息接觸的授權(quán)、重要文件的備份和操作權(quán)限的明確等;④加強內(nèi)部審計監(jiān)督。審計人員應(yīng)充分考慮到在分布式處理環(huán)境下會計處理分散化、成本效益考慮給內(nèi)部控制帶來的困難,并分析內(nèi)部控制的缺陷及其可能帶來的對會計報表項目金額的影響。
在實質(zhì)性測試方面,審計人員可以利用審計軟件和測試資料來驗證局域網(wǎng)系統(tǒng)是否有效運行。單機環(huán)境下的審計軟件已難適應(yīng)網(wǎng)絡(luò)環(huán)境需要,審計師應(yīng)開發(fā)出專用的網(wǎng)絡(luò)版審計軟件在客戶網(wǎng)上運行,以查詢、核對、摘取會計數(shù)據(jù)以供進一步調(diào)查之用。在傳統(tǒng)的單機環(huán)境下,審計人員可以采用模擬數(shù)據(jù)法和虛構(gòu)單位法(即設(shè)計虛擬數(shù)據(jù)和虛擬單位運行于計算機系統(tǒng)之上,然后將其結(jié)果與處理結(jié)果對比,以觀察計算機程序是否有效)。但在網(wǎng)絡(luò)環(huán)境下,由于(1)網(wǎng)絡(luò)系統(tǒng)持續(xù)運行使其難以停下來接受測試;(2)虛擬數(shù)據(jù)的運行會改變客戶數(shù)據(jù)記錄并給系統(tǒng)帶來差錯且可能遭到被審單位拒絕——兩方面原因,這兩種方法用之于審計測試將受到很大阻礙。另外檢查程序代碼法、并行模擬法都將會遇到困難。如何在網(wǎng)絡(luò)環(huán)境下開發(fā)出合適的系統(tǒng)測試方法需要進一步深入研究。另一方面,黑箱式的、繞過計算機網(wǎng)絡(luò)系統(tǒng)的審計技術(shù)可能會重新得到應(yīng)用和發(fā)展。
二、建設(shè)專業(yè)網(wǎng)絡(luò)服務(wù)于注冊會計師審計
計算機網(wǎng)絡(luò)作為審計的技術(shù)手段有著廣闊的應(yīng)用前景。由于客戶廣泛的經(jīng)濟聯(lián)系,諸如與顧客和供貨商的債權(quán)債務(wù)關(guān)系、與股東和債權(quán)人的投融資關(guān)系、與政府的征納稅關(guān)系、與分支機構(gòu)的管理與被管理關(guān)系等,要驗證經(jīng)濟業(yè)務(wù)的真實性、合法性就必須超越客戶范圍,與客戶的各方關(guān)系人聯(lián)系以獲取可靠的審計證據(jù)。在傳統(tǒng)的審計環(huán)境下,為獲取這些證據(jù)要么花費較長的時間,要么導(dǎo)致較高的審計成本。如果客戶與其關(guān)聯(lián)各方及注冊會計師之間存在完善的計算機網(wǎng)絡(luò),則取證工作及與客戶的交流將更易實現(xiàn),筆者認(rèn)為,可通過利用Internet及建設(shè)專業(yè)網(wǎng)絡(luò)的方式,在以下幾個方面提高效率:
1.事務(wù)所——客戶的網(wǎng)絡(luò)聯(lián)系在執(zhí)業(yè)過程中,外勤是注冊會計師工作最重要的內(nèi)容。由于獲取實物證據(jù)的需要,即使存在完備的網(wǎng)絡(luò)系統(tǒng),CPA也不可能實現(xiàn)足不出戶的審計,但是大量的與客戶之間的交流工作及對審計過程的質(zhì)量督導(dǎo)都可以通過網(wǎng)絡(luò)來完成。初步了解審計客戶的工作及外勤工作結(jié)束后對一些事項處理的意見交換都可在網(wǎng)上進行。這就需要CPA之間傳遞數(shù)據(jù)信息的計算機網(wǎng)絡(luò)。
2.在Internet函證注冊會計師在審計過程中,需要向客戶的債權(quán)債務(wù)方發(fā)函證實往來賬戶的余額。實際上,銀行存款余額、異地在途存貨及分期收款銷貨、對外投資等都需要向第三方函詢證實,函證是審計證據(jù)中重要的一部分。然而在手工條件下的函證,不僅費時費力而且回函率極低,以至于在我國函證幾乎成為一種無效的審計方法。如果絕大多數(shù)企業(yè)都有網(wǎng)址,則通過Internet在網(wǎng)上發(fā)送E-mai1,即可實現(xiàn)傳統(tǒng)的函證工作,而且注冊會計師可以迅速及時地得到回函。數(shù)字簽名技術(shù)的出現(xiàn),使計算機網(wǎng)絡(luò)中傳遞文件的真實性得到了驗證,也使通過網(wǎng)絡(luò)取得的證據(jù)具備了合法性。電子形式的回函能否成為有效的審計證據(jù),還需進一步研究與規(guī)范,通過E-mail函證還需要網(wǎng)絡(luò)技術(shù)發(fā)展的支持和法律法規(guī)及準(zhǔn)則的規(guī)范。
辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅
正如我們所知道的那樣,70%的安全威脅來自網(wǎng)絡(luò)內(nèi)部,其形式主要表現(xiàn)在以下幾個方面。
內(nèi)部辦公人員安全意識淡漠
內(nèi)部辦公人員每天都專注于本身的工作,認(rèn)為網(wǎng)絡(luò)安全與己無關(guān),因此在意識上、行為上忽略了安全的規(guī)則。為了方便,他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼,不經(jīng)查殺病毒就使用來歷不明的軟件,隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓?fù)浣Y(jié)構(gòu)告之外部無關(guān)人員,給黑客入侵留下隱患。
別有用心的內(nèi)部人員故意破壞
辦公室別有用心的內(nèi)部人員會造成十分嚴(yán)重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對外部入侵進行防范,但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁,下載軟件或玩網(wǎng)絡(luò)游戲,但受到網(wǎng)絡(luò)安全管理規(guī)定的限制,于是繞過防火墻的檢測偷偷撥號上網(wǎng),造成黑客可以通過這些撥號上網(wǎng)的計算機來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識,又對充當(dāng)網(wǎng)絡(luò)黑客感興趣,于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運行,不知不覺中開啟了后門或進行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買,辦公內(nèi)部機密信息被其私自拷貝、復(fù)制后流失到外部。此外,還有那些被批評、解職、停職的內(nèi)部人員,由于對內(nèi)部辦公網(wǎng)絡(luò)比較熟悉,會借著各種機會(如找以前同事)進行報復(fù),如使用病毒造成其傳播感染,或刪除一些重要的文件,甚至?xí)c外部黑客相勾結(jié),攻擊、控制內(nèi)部辦公網(wǎng)絡(luò),使得系統(tǒng)無法正常工作,嚴(yán)重時造成系統(tǒng)癱瘓。
單位領(lǐng)導(dǎo)對辦公網(wǎng)絡(luò)安全沒有足夠重視
有些單位對辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象,有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來,能否連得上,而對其安全沒有概念,甚至對于網(wǎng)絡(luò)基本情況,包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對內(nèi)部辦公人員,公司平時很少進行安全技術(shù)培訓(xùn)和安全意識教育,沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度,對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理,認(rèn)為這些是非常遙遠的事情。在硬件上,領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻、IDS、IPS,設(shè)置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新,對網(wǎng)絡(luò)資源沒有進行細粒度安全級別的劃分,使內(nèi)部不同密級的網(wǎng)絡(luò)資源處于同樣的安全級別,一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題,將直接影響核心保密信息的安全和完整。
缺乏足夠的計算機網(wǎng)絡(luò)安全專業(yè)人才
由于計算機網(wǎng)絡(luò)安全在國內(nèi)起步較晚,許多單位缺乏專門的信息安全人才,使辦公信息化的網(wǎng)絡(luò)安全防護只能由一些網(wǎng)絡(luò)公司代為進行,但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級機密的辦公信息區(qū)域,因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試,單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強度和達到的安全等級。同時,網(wǎng)絡(luò)系統(tǒng)的漏洞掃描,操作系統(tǒng)的補丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級,對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測,系統(tǒng)日志的周期審計和分析等經(jīng)常性的安全維護和管理也難以得到及時的實行。
網(wǎng)絡(luò)隔離技術(shù)(GAP)初探
GAP技術(shù)
GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡(luò)在不連通的情況下進行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之,就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸,但不允許這些網(wǎng)絡(luò)間運行交互式協(xié)議。GAP一般包括三個部分:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡(luò)接口及相應(yīng)的IP地址,分別對應(yīng)連接內(nèi)網(wǎng)(涉密網(wǎng))和外網(wǎng)(互聯(lián)網(wǎng)),專用隔離交換單元受硬件電路控制高速切換,在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。
GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接,分解或重組TCP/IP數(shù)據(jù)包,進行安全審查,包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等,在同一時間只和一邊的網(wǎng)絡(luò)連接,與之進行數(shù)據(jù)交換。
GAP的數(shù)據(jù)傳遞過程
內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請求,將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元,外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請求并取得網(wǎng)絡(luò)數(shù)據(jù),然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元,再由其返回給內(nèi)網(wǎng)用戶。
GAP具有的高安全性
GAP設(shè)備具有安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計和身份認(rèn)證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接,并對應(yīng)用層的數(shù)據(jù)交換按安全策略進行安全檢查,因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。
使用網(wǎng)絡(luò)隔離技術(shù)(GAP)進行內(nèi)部防護
我們知道,單臺的計算機出現(xiàn)感染病毒或操作錯誤是難以避免的,而這種局部的問題較易解決并且?guī)淼膿p失較小。但是,在辦公信息化的條件下,如果這種錯誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地擴大,則造成的損失和破壞就難以想象。因此,對辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺網(wǎng)絡(luò)內(nèi)的計算機不發(fā)生安全問題,而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍,控制其影響的區(qū)域。目前,對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題,而GAP系統(tǒng)的一個典型的應(yīng)用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進行控制。因此,使用GAP系統(tǒng)來實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”,是一個比較理想的方法。
“多安全域劃分”技術(shù)
“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度(安全等級)網(wǎng)段劃分成獨立的安全域,通過在這些安全域間加載獨立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問。這樣,即使某個低安全級別區(qū)域出現(xiàn)了安全問題,其他安全域也不會受到影響。
利用網(wǎng)絡(luò)隔離技術(shù)(GAP)實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”
首先,必須根據(jù)辦公內(nèi)網(wǎng)的實際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域,根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應(yīng)的信任度越高,安全級別較低則相應(yīng)的信任度較低,然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低,設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域,GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域,專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域(假設(shè)為A區(qū)域)用戶的網(wǎng)絡(luò)服務(wù)請求,外網(wǎng)處理單元負(fù)責(zé)從低安全級別區(qū)域(設(shè)為B區(qū)域)取得網(wǎng)絡(luò)數(shù)據(jù),專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域,最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請求的A區(qū)域用戶。這樣,A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進行郵件及網(wǎng)頁瀏覽等。同時,A區(qū)域內(nèi)管理員可以進行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作,而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求,實現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。
這樣,較易出現(xiàn)安全問題的低安全區(qū)(包括人員和設(shè)備)就不會對高安全區(qū)造成安全威脅,保證了核心信息的機密性和完整性。同時,由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊,其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺,因此,GAP可限制指定格式的文件,采用專用映射協(xié)議實現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸,限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域,控制了其擴散的范圍。
“多安全域劃分”的防護效果
由于GAP實現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定,使辦公內(nèi)網(wǎng)的安全性極大提高,辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。
[論文摘要]隨著計算機技術(shù)的發(fā)展,在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時,基于網(wǎng)絡(luò)連接的安全問題也日益突出,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。
隨著計算機網(wǎng)絡(luò)的發(fā)展,其開放性,共享性,互連程度擴大,網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。而網(wǎng)絡(luò)安全問題顯得越來越重要了。國際標(biāo)準(zhǔn)化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。
一、網(wǎng)絡(luò)的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點:
(一)每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的。因此,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶,不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如,NT在進行合理的設(shè)置后可以達到C2級的安全性,但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面,可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較,針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。
(三)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計者留下的一個后門,任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進而對系統(tǒng)進行攻擊。對于這類入侵行為,防火墻是無法發(fā)覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來,程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會產(chǎn)生日志,幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)
然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網(wǎng)絡(luò)安全的主要技術(shù)
安全是網(wǎng)絡(luò)賴以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。
(一)認(rèn)證
對合法用戶進行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問,使用認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。
(二)數(shù)據(jù)加密
加密就是通過一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認(rèn)證,因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件中實現(xiàn)。
2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結(jié)合起來,就可以得到一個更復(fù)雜的系統(tǒng)。
(三)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)訪問控制設(shè)備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器,而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù),它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(tǒng)(路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系。
(五)虛擬專用網(wǎng)(VPN)技術(shù)
VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一,所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制,這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。
(六)其他網(wǎng)絡(luò)安全技術(shù)
1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實智能卡就是密匙的一種媒體,由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。
2.安全脆弱性掃描技術(shù),它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。
3.網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
5.Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。
