搜索
冠博科技网络安全白皮书1、网络安全威胁“全球化”是今天的世界最为关注的,也是最为强大与最具有说服力的字眼。每个产业、每个企业、甚至每个人都期待着这一趋势能够帮助其降低竞争风险、提高其增长速度并完成自身素质的提高。互联网就是实现“全球化”的一个强有力工具,人们依赖着它实现各种信息的发布和收集、商业活动的运作或日常生活。在人们体验因特网带来的诸多好处的同时,也面临着前所未有的安全问题和安全威胁。互联网作为一种完全开放的网络,各种信息包括有害信息都可能进入网络并在其上传播。当企业连接到互联网,就不可避免地在安全性上存在隐患。Internet的安全威胁主要体现在下列几方面:*Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。*Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。*Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。*在计算机上存储、传输和处理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。*电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。*计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。总之,互联网的应用越多,联网的设备越多,使用的用户越多,安全威胁就会越来越严重。2、网络安全防范尽管网络安全威胁会导致风险和成本的提高,但是互联网仍然是最快捷、最方便、最安全的通信方式。例如,在某个著名的网站上使用您的信用卡实际上很可能比您在某个餐厅中用它来付款更加安全。但是对安全漏洞的恐惧给很多企业带来了一个严重程度比安全漏洞本身有过之而无不及的问题:对安全性的担忧让很多人不愿意利用互联网进行商业交易。网络安全防范的重点主要有三个方面:一是内部犯罪,二是黑客犯罪,三是计算机病毒。FBI报告当前77%网络安全来自网络内部犯罪。网络内部人员可以利用网络这一途径转移企业各种绝密的核心技术资料文件、核心经济数据、主要客户数据,给企业带来许多困难和麻烦,重者可能会影响企业的生存和发展。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。但应该认识到,目前还没有一项技术或工具能解决网络的安全问题,网络的安全问题的解决需要一个完整的安全防范体系。一个单位或企业必须根据自身的安全需求,制定相应的安全策略,采取相应的安全保护措施。3、网络安全技术首先,与网络信息有关的安全概念有:保密性(confidentiality)、完整性(integrity)和可用性(availability);其次,与使用者有关的安全概念有:认证(authentication)、授权(authorization)和抗抵赖(non-repudiation)。保密性是指只有授权用户才可以访问数据信息,用于防止未授权用户访问或复制数据。通常是通过加密技术(cryptography)来实现保密性。完整性是指信息不被非法修改、删除、插入虚假信息,以及防止非法生成消息或重发,用于对抗破坏通信和重发的威胁。对于网络信息服务而言,数据完整性的重要性有时高于保密性。通常采用加密函数和散列函数来保证数据的完整性。可用性是指合法用户可以不受干扰地使用各种资源。一个具有可用性的网络信息服务系统应当能够在攻击发生后及时正确地恢复。一般通过加强系统的管理和设计来提高可用性。授权决定哪个用户可以访问特定的数据资源。授权决定了用户的权限,用户必须等到其身份被确认以后才可以进行被授权的操作。授权用来抵御系统入侵,访问控制列表和策略标签是常用机制。认证和授权紧密相关,认证用来确认用户的身份,用来对抗伪装和欺骗等威胁。认证包括实体认证(确认用户身份)和数据源认证(确认数据来自确定用户)。抗抵赖是指通信者不能在通信过程完成后否认对通信过程的参与。抗抵赖包括起源抗抵赖(保护接受方利益,证明发送方身份,发送时间和发送内容)和传递抗抵赖(保护发送方利益,证明接受方身份,接受时间和接受内容)。当前网络安全主要包括五大关键技术:*身份识别技术实施认证(authentication)和授权(authorization)功能、PKI认证还具有抗抵赖(non-repudiation)*网络边界安全技术配合身份识别技术实施授权(authorization),保护网络不被非法访问。*VPN技术集中体现了保密性(confidentiality)、完整性(integrity)和可用性(availability)、认证(authentication)、授权(authorization)和抗抵赖(non-repudiation)。因此它成为当前的一大热点。*安全策略管理---基于规则(Rule-Based)和基于身份(Identity-Based)的访问控制策略,对于解决网的安全问题更为有效。*智能安全监控---因为没有任何安全体系和措施可以认为是万无一失的,如果某个系统从未发现被攻击过的迹象,更可能的是已经受到攻击却没有被察觉。基于网络的这种易攻击性和脆弱性,我们必须尽早发现被攻击的现象,并在受到攻击后及时报警,而且要及时地恢复被破坏的关键数据。要让一个网络安全解决方案发挥作用,它必须集成这几种不同类型的保护方式,将它们集成到网络的各个部分。应该知道,安全措施的层次越多,在攻击造成损失之前制止攻击的可能性就越大。3.1.身份识别技术身份识别是网络安全的关键组成部分。基于身份识别的网络服务让系统可以根据各种特征参数(例如用户名、IP地址、MAC地址、PKI证书和Kerberos令牌等)识别用户的身份,进而为其提供特定的访问权限:对网络的特定部分、特定应用或者特定网络服务的访问。身份识别方面的重要趋势包括访问权限的精确度的不断提高和动态、主动地分配访问权限的能力。PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。IEEE802.1X和PPPPAP/CHAP/EAP协议是Internet身份识别的重要技术。IEEE802.1X通常应用到LAN或WLAN网络,而PPPPAP/CHAP/EAP协议应用到WAN或VPN网络。它们基于同一的系统架构---EAP协议:采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。IEEE802.1X和PPPPAP/CHAP/EAP都可以根据用户ID或设备,对网络客户端(或LAN端口或WAN端口或WLAN或VPN连接)进行鉴权的标准。EAP身份识别有两个非常重要的组成部分。第一是制定身份识别策略。第二是实施策略。在EAP身份识别服务中,策略定义功能由Radius访问控制服务器和一个的用户目录服务器配合完成(通过LDAP协议)。而身份识别的策略实施功能由网络设备执行。Vocal系列产品允许网络管理员在用户和端口级别实施真正的基于身份的网络接入控制和策略增强。它可以使用安全可靠、功能强大的授权技术,提供用户和设备身份识别。该解决方案将拥有身份的个体与一定的策略关联起来。这些策略通过“管理”功能创建,增强控制精细度。采用IEEE802.1X和PPPEAP协议具有下列优势:(1)可以利用PKI(公共密钥基础架构)、令牌、智能卡及未来的生物测定学提供强大的授权功能(2)可以利用多种更为安全的认证协议。(3)配合RADIUS和目录服务,认证和授权都可以在后端通信实现,可以集中进行鉴权、密钥管理和LAN连接配置。Vocal系列身份识别服务具有与众不同的特点:(1)Vocal系列产品可以与Radius服务器合作,精确、动态地提供基于端口的安全。一个通过交换机或者接入点连接到网络的用户可以利用802.1x进行身份认证。对于802.1x协议的扩展非常重要。用户可以被纳入某个特定的VLAN,并分配特定的访问权限。通过802.1x,即使用户在整个网络中四处移动,从一个物理地点转移到另外一个,安全策略也会随着他一同移动。无论用户身在何处,用户都可以获得统一的安全策略和访问权限。(2)支持对路由器、VPN、防火墙、拨号和宽带DSL、IP语音(VoIP)、无线局域网的访问控制。(3)除了提供基于身份的动态端口鉴权和保护网络接入安全功能外,还提供按照用户需求动态分配VLAN和ACL的功能。3.2网络边界安全网络边界是指内部网络和外部网络的分界线。网络防火墙技术是一种用来加强网络边界安全的重要手段和工具。它可以防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:(1)分组过滤防火墙分组过滤防火墙是防火墙的基本功能,其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。分组过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但其缺陷也是明显的。分组过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。(2)状态检查防火墙这种更简单但更强大的访问控制方法能够从会话角度分析分组。如果一个进入的流量看起来象是对一个来自网络内部的先前请求的应答,那么防火墙就允许其通过。这种方法允许相对无限制地传输来自网络内部的流量,同时提供有选择性的、灵活的外部用户访问。状态检查与简单ACL共同提供了易于管理的保护措施,这些措施只