Intranet 与网络安全
明用户对网络资源的访问能力。
属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、、执行修改、显示等。
5) 网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
6) 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
7) 网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证
16
Intranet 与网络安全
2.8 确保网络安全的措施
由于网络安全的目的是保障用户的重要信息的安全,因此限制直接接触十分重要。如果用户的网络连入Internet,那麽最好尽可能地把与Internet连接的机器与网络的其余部分隔离开来。实现这个目标的最安全的方法是将Internet服务器与网络实际隔开。当然,这种解决方案增加了机器管理的难度。但是如果有人闯入隔离开的机器,那麽网络的其余部分不会受到牵连。
最重要的是限制访问。不要让不需要进入网关的人都进入网关。在机器上用户仅需要一个用户帐号,严格限制它的口令。只有在使用su时才允许进入根帐号。这个方法保留一份使用根帐号者的记录。
在Internet服务器上提供的一些服务有FTP、HTTP、远程登陆和WAIS(广域信息服务)。但是,FTP和HTTP是使用最普遍的服务。它们还有潜力泄露出乎用户意料之外的秘密。
与任何其它Internet服务一样,FTP一直是(而且仍是)易于被滥用的。值得一提的弱点涉及几个方面。第一个危险是配置不当。它使站点的访问者(或潜在攻击者)能够获得更多超出其预期的数据。
他们一旦进入,下一个危险是可能破坏信息。一个未经审查的攻击者可以抹去用户的整个FTP站点。
最后一个危险不必长篇累牍,这是因为它不会造成破坏,而且是低水平的。它由用户的FTP站点构成,对于交换文件的人来说,用户的FTP站点成为“麻木不仁的窝脏点”。这些文件无所不包,可以是盗版软件,也可以是色情画。这种交换如何进行的呢?简单的很。发送者发现了一个他们有权写入和拷入可疑文件的FTP站点。通过某些其它方法,发送者通知它们的同伙文件可以使用。 所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时,这一般是FTP用户所做的事。因此,FTP用户可以访问,用户的访问者也可以使用。所有这些问题都是由未正确规定许可条件而引起的。最大的一个问题可能是允许FTP用户有机会写入。当用户通过FTP访问一个系统时,这一般是FTP用户所做的事。因此,FTP用户可以访问,用户的访问者也可以访问。
一般说来,FTP用户不是用户的系统中已经有的。因此,用户要建立FTP
17
Intranet 与网络安全
用户。无论如何要保证将外壳设置为真正外壳以外的东西。这一步骤防止FTP用户通过远程登录进行注册(用户或许已经禁止远程登录,但是万一用户没有这样做,确认一下也不会有错)。
将所有文件和目录的主人放在根目录下,不要放在ftp下。这个预防措施防止FTP用户修改用户仔细构思出的口令。然后,将口令规定为755(读和执行,但不能写,除了主人之外)。在用户希望匿名用户访问的所有目录上做这项工作。尽管这个规定允许他们读目录,但它也防止他们把什麽东西放到目录中来。 用户还需要编制某些可用的库。然而,由于用户已经在以前建立了必要的目录,因此这一步仅执行一部分。因此,用户需要做的一切是将/usr/lib/libe.so.1和/usr/lib/libsock-et.so/1拷贝到~ftp/usr/lib中。接着将~ftp/usr/lib上的口令改为555,并建立主接收器。
最后,用户需要在~ftp/dev/中建立/dev/null和/dev/socksys设备结点。用户可以用mknod手工建立它们。然而,让系统为用户工作会更加容易。SCO文档说用cpio,但是copy(非cp)很管用。
如果用户想建立一个人们都可用留下文件的目录,那麽可将它称作输入。允许其他人写入这个目录,但不能读。这个预防措施防止它成为麻木不仁的窝脏点。人们可以在这里放入他们想放的任何东西,但是他们不能将它们取出。如果用户认为信息比较适合共享,那麽将拷贝到另一个目录中。
2.9 提高企业内部网安全性的几个步骤
1) 限制对网关的访问。限制网关上的帐号数。不要允许在网络上进行根注册; 2) 不要信任任何人。网关不信任任何机器。没有一台机器应该信任网关; 3) 不要用NFS向网关传输或接收来自网关的任何文件系统; 4) 不要在网关上使用NIS(网络信息服务); 5) 制订和执行一个非网关机器上的安全性方针; 6) 关闭所有多余服务和删除多余程序
7) 删除网关的所有多余程序(远程登录、rlogin、FTP等等); 8) 定期阅读系统记录。
18
Intranet 与网络安全
3. Intranet安全解决方案
3.1 Intranet安全解决方案
过去我们往往把信息安全局限于通信保密,局限于对信息加密功能要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。一是社会的法律政策、企业的规章制度以及安全教育等外部软环境。在该方面政府有关部门、企业的主要领导应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。
企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。没有社会的参与就不可能实施安全保障。
网络信息安全包括了建立安全环境的几个重要组成部分,其中安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。
第二部分为增强的用户认证,用户认证在网络和信息的安全中属于技术措施的第一道大门,最后防线为审计和数据备份,不加强这道大门的建设,整个安全体系就会较脆弱。用户认证的主要目的是提供访问控制和不可抵赖的作用。用户认证方法按其层次不同可以根据以下三种因素提供认证。 1.用户持有的证件,如大门钥匙、门卡等等; 2.用户知道的信息,如密码;
3.用户特有的特征,如指纹、声音、视网膜扫描等等。
根据在认证中采用因素的多少,可以分为单因素认证、双因素认证,多因素认证等方法。
第三部分是授权,这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。该部分与访问控制(常说的隔离功能)是相对立的。隔离不是管
19
Intranet 与网络安全
理的最终目的,管理的最终目的是要加强信息有效、安全的使用,同时对不同用户实施不同访问许可。
第四部分是加密。在上述的安全体系结构中,加密主要满足以下几个需求。 1.认证——识别用户身份,提供访问许可; 2.一致性——保证数据不被非法篡改; 3.隐密性——保护数据不被非法用户查看;
4.不可抵赖——使信息接收者无法否认曾经收到的信息。
加密是信息安全应用中最早开展的有效手段之一,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。在实际的网络与信息安全建设中,利用加密技术至少应能解决以下问题:
1.钥匙的管理,包括数据加密钥匙、私人证书、私密等的保证分发措施; 2.建立权威钥匙分发机构; 3.保证数据完整性技术; 4.数据加密传输; 5.数据存储加密等。
第五部分为审计和监控,确切说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。
在网络和信息安全模型中,这五个部分是相辅相成、缺一不可的。其中底层是上层保障的基础,如果缺少下面各层次的安全保障,上一层的安全措施则无从说起。如果一个企业没有对授权用户的操作规范、安全政策和教育等方面制定有效的管理标准,那么对用户授权的控制过程以及事后的审计等的工作就会变得非常困难。
3.2 网络信息安全产品
为了实施上面提出的安全体系,可采用防火墙产品来满足其要求。
采用NetScreen 公司的硬件防火墙解决方案NetScreen-10 & NetScreen-100可以满足以下功能。 (1)访问控制
20