份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:分组过滤、应用代理。 2.入侵检测技术
IETF将一个入侵检测系统分为四个组件:事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。 根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种
ID(IntrusionDetection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
3.认证中心(CA)与数字证书
互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而,由于互联网所具有的广泛性和开放性,决定了互联网不可避免地存在着信息
6
安全隐患。为了防范信息安全风险,许多新的安全技术和规范不断涌现,PKI(PublicKeyInfrastructure,公开密钥基础设施)即是其中一员。
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。 4.身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等,与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议;入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段,安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理,他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题,给他们提供了权限管理的依据。
从木桶理论来看,这些安全产品就是组成木桶的一块块木板,则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统,这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底,由它来保证物理身份和数字身份的统一,如果桶底是漏的,那桶壁上的木板再长也
7
没有用。因此,身份认证是整个信息安全体系最基础的环节,身份安全是信息安全的基础。
目前常见的身份认证方式主要有三种,第一种是使用用户名加口令的方式,这时是最常见的,但这也是最原始、最不安全的身份确认方式,非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等),该技术以人体唯一的生物特征为依据,具有很好的安全性和有效性,但实现的技术复杂,技术不成熟,实施成本昂贵,在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式——基于USBKey的身份认证
1.4 研究入侵检测与防御的必要性
安全产品的主要目的是使安全风险处于可视和可控的状态。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象的技术,可实时监控和检测网络或系统中的活动状态,一旦发现网络中的可疑行为或恶意攻击,IDS便可做出及时的报警和响应,甚至可以调整防火墙的配置策略,与其进行联动。
目前,入侵检测系统已能为来自内外部的各种入侵提供全面的安全防御,给客户带来识别各种黑客入侵的方法和手段、监控内部人员的误操作等,帮用户及时发现并解决安全问题和协助管理员加强网络安全的管理。
第二章 常用入侵手段与防范对策
2.1 黑客入侵过程概述
随着通讯和计算机技术的迅猛发展,计算机网络向世界各个角落迅速延伸。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统,而且通过各种方式与互联网相连。通过上网树立形象、开展业务,已经成为政府办公、企业发展的重要手段。然而,Internet(互联网)这一开放系统在给人们带来便利的同时,也带来一些问题。例如网络安全问题愈来愈突出,关于通过网络攻击信息系统,造成经济损失的事件已有多起,并时常见诸报端。在科技最发达、防御最严密的美国国防部五角大楼内,每年都有成千上万的非法入侵者侵入其内部网络系统,我国的ISP、证券公司及银行也多次被国内外黑客攻击。但是仍然有些单位对自己网络的安全问题毫无认识,以致对是否遭受黑客入侵及自身的网络安全问题毫不知晓。
8
我国信息化事业能否顺利发展,一个很关键的因素便是网络信息的安全问题,这已成为制约网络发展的首要因素。许多单位不敢涉足网络领域、许多行业不能充分利用网络的性能优势、许多个人对网络安全没信心,这些都成为网络发展的制约因素,所以,重视和加快网络安全问题的研究和产品开发具有重要意义。
黑客入侵防范是网络安全的重要组成部分。北京中科网威信息技术有限公司在多年研究工作的基础上,提出了一种动态、多层次的黑客入侵防范体系。它以评估为基础,以策略为核心,以防护、侦测、响应和恢复为手段构成一个体系——中科网威黑客入侵防范体系,如图所示:
中科网威黑客入侵防范体系1-1
完整准确的安全评估是中科网威黑客入侵防范体系的基础。她对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。一个成功的网络安全体系开始于一个全面的安全策略,它是所有安全技术和措施的基础,也是整个中科网威黑客入侵防范体系的核心。
防护是用于提高安全性能,抵抗入侵的主动防御手段。它通过建立一种机制来检查系统的安全设置,发现整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与策略相违背的情况,确保与公司安全政策保持一致。在防护中通过使用漏洞扫描工具及时发现问题并进行修补,使用防护工具,通过抗毁技术、系统安全优化配置技术的实施,防火墙、VPN、加密认证等技术和措施的使用,来提高网络抵抗黑客入侵的能力。侦测是保证主动及时发现攻击行为,为快速响应提供可能的关键环节。使用基于网络的和基于主机的IDS,加上对侦测系统实施隐蔽技术,可以防止黑客发现防护手段进而破坏侦测系统,从而为及时发现攻击行为并做出响应赢得时间。采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,而不是单兵作战,强调协作技术,设立安全监控中心,掌握整个网络的安全运行状态,是防止入侵的关键环节。
9
在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏活动,做出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时,预防同类事件的再发生,并为捕获攻击者提供可能,为抵抗黑客入侵提供有效的保障。 恢复是防范体系的又一个环节,无论防范多严密,都很难确保万无一失,所以,采用亡羊补牢、犹为未晚的策略,使用完善的备份机制确保内容的可恢复性,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降至最低。
针对以上体系,北京中科网威信息技术有限公司专门研制开发了一系列网络安全产品——“火眼”网络安全评估分析系统、“天眼”入侵侦测系统、“磐石”网站监控与恢复系统、“长城”防火墙。它们处于体系中的一个或多个层次,适用于各级Internet /Intranet信息系统、金融证券和其它网络,它们能成为您网络的安全守护神,忠实地维护您的形象和保护您的利益。
2.2 常用入侵手段与防范对策
入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,它不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动,因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术,它已经渐渐地从“入侵检测”发展为“入侵防御”了。 在入侵检测系统检测到网络中的攻击或未授权行为时,传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员,然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度,也大大地提高了安全维护费用,因此系统需要具有更多主动响应行为的入侵检测系统,如今的入侵检测系统可以通过发复位包的方式,或者执行一段用户编写的程序,自动切断危险的连接。
而且,入侵检测系统作为整体安全技术的一个组成部分,它还应该和其他安全组件协同工作、建立互动的响应机制。例如,防火墙作为限制内外网络互相访问的关口,其配置的过滤规则阻止了非授权用户对公司网络的访问,因此在入侵检测系统发现攻击行为时,由它自动地修改防火墙的安全策略,就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。
在入侵防御系统中,如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中,误报对安全管理员形成一种滋扰,大量的误报还可能淹没真正的攻击行为,使安全管理员无从响应。在建立联动的一体化安全防御体系中,入侵检测系统可以自动调整其他安全组件的策略,来防止进一步的攻击,这时误报带来的负面影响可能更大了——因为误报触动策略调整之后,本该许可的访问就无法访问了,这形成了一种新的DoS形式。
同时,先进的入侵防御系统还必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件,将数据进行标准化、集中、并进行关联和智能分析,以降低误报率和预告威胁的趋势;另一方面还要结合漏洞扫描,
10