网络安全防护及漏洞检测技术一、网络安全重要吗?这个问题现在似乎不能以是或否来回答。因为网络安全已不仅在企业显得重要,而且已上升到国家和政府的意识行为。我们知道,当今社会,随着计算机及通信技术的迅猛发展,网络已越来越渗透到一个国家的政治、经济和军事命脉,随着网络上各种业务的兴起,如电子商务、电子现金、数字货币、网络银行等的兴起,以及各种专用网(如金融网等)的建设,使得网络安全问题显得越来越重要,因此对网络安全技术的研究成为现在计算机通信界的一个热点,并且成为信息科学的一个重要研究领域。现在世界上每年因利用计算机网络进行犯罪所造成的直接经济损失惊人。据美国AB联合会早年的调查和专家评估,美国每年因计算机犯罪所造成的经济损失高达150亿美元。1984年美国曾发生利用银行网络盗窃行为,造成了2500万美元的损失,我国也发生了多起类似事件。去年发生的世界著名网站Yahoo、sina等瘫痪的事件大家还记忆犹新,各种网络事件层出不穷,这充分暴露了网络安全的脆弱性,而且网络安全不仅威胁着企业的直接利益,同时也在很大程度上危及着一个国家的安全,仅美国就发生多起黑客潜入五角大楼、航天局等国家机密计算机网络系统,窃取重要的网络情报。而且,随着信息技术的发展,各国为了达到其政治、经济和军事的战略目的,掀起了一场前所未有的战争即信息战。其实质就是利用各种计算机网络攻击技术来夺取未来信息战场的制信息权。今年五一的中美“黑客”大战在舆论上也产生了很大的影响。因此,各国都非常重视本国的网络安全建设。我国也不例外,出台了一系列的政策和法规,并成立了相应的专门机构指导网络安全的建设工作。为了有效地保障国家网络空间中的关键信息和基础设施的安全,建立全国性的计算机网络应急处理体系,国家成立了国家信息化工作领导小组(朱总理任组长),并成立了计算机网络与信息安全管理工作办公室,组建国家计算机网络应急保障体系,组织有关安全服务企业作为技术支撑单位。主要采取的战略举措有:建立国家计算机病毒应急处理中心,专门负责全国范围的计算机病毒的防治、检测、发布公告等事宜;建立国家计算机网络应急处理协调中心,为应急处理的全面开展提供参考;建立计算机网络入侵防范中心,为防范和妥善处置黑客攻击事件提供技术支持;建立国家信息安全测评认证体系;在全国推行安全产品许可证发放制度,逐步规范安全产品的市场流通;启动信息安全专项的科技计划和产业发展计划;开展信息安全专门人才的培养与岗位培训;出台一些信息安全管理的政策法规等近几年来,网络安全不管是从它的发展需求,还是概念炒作上来讲,发展都是很快的,网络安全公司也是近几年IT产业发展的一道亮景。二、网络安全体系及技术1.基本知识国际标准化组织(ISO)对“计算机安全”的定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。而网络安全从其本质上讲就是网络上的信息安全。它涉及的领域非常广泛。具体来说,网络安全是指网络系统中的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄露,系统连续可靠正常地运行,网络服务不中断。随着计算机技术的发展和应用,1981年,美国国防部计算机安全中心就开始全面研究计算机系统所处理的机密信息的保护要求和控制手段,4年后即1985年开发出计算机安全标准《可信任计算机标准评估准则》(TCSEC,TrustedComputerStandardsEvaluationCriteria),为计算机安全产品的评测提供了测试和方法,指导信息安全产品的制造和应用。它依照由低到高规定了计算机信息安全等级即:D类,C类C1级,C类C2级,B类B1级,B类B2级,B类B3级和A类。D类也叫“最低安全”类,只要评估产品达不到较高安全级别,就属于此类,一般认为:整个系统是不可信任的,是可用的最低安全形式。C类也叫自由选择性安全保护,它包含两个安全等级,C1和C2级,该类产品对硬件提供了某种程度的保护,使它不再容易受到损害,它还提供按需知密的访问功能,即监控功能和基本审核功能。C1级产品通过访问控制限制将用户和数据分开。而C2级则是在C1级基础上,通过强制执行更为细致的控制访问策略,审核所有与安全有关的事件,来提高资源的隔离性。B类也叫强制性安全保护,包括B1,B2,B3三个级别。B1级的安全标签保护是系统中所有对象必须与一种加密标签相关联。B2级叫做结构保护,要求计算机系统中所有对象都加标签,而且给设备分配单个或多个安全级别。B3级叫做安全域保护,使用安装硬件的办法来加强域。A类也叫验证设计,是当前规定中最高安全级别。它包含了一个严格的设计、控制和验证过程,创建安全政策的正式模型,设计方案的最高级正式技术说明。2.网络安全的威胁病毒和黑客是目前网络安全的两大杀手。而病毒和黑客技术的融合发展趋势使网络安全面临着更大的威胁。如今年发生的红色代码病毒是开创了病毒新发展的里程碑,它即是利用了网络安全漏洞,并采用了高超的病毒编程技巧使得病毒迅速传播并造成了很大的破坏。从一般意义上讲,网络安全所面临的威胁主要可分为两大类:即是对网络中信息的威胁,再就是对网络中设备的威胁。而从人的因素上来考虑,影响网络安全的因素有人为和非人为的两种情况。根据RFC1244(SecurityHandbook)的定义,造成网络安全威胁的三个主要类型有:非授权访问(unauthorizedaccess)——一个非授权的人的入侵;信息泄露(disclosureofinformation)——造成将有价值的和高度机密的信息泄露给无权访问该信息的人的所有问题;拒绝服务(denialofservice)——使得系统难以或无法继续执行任务的所有问题。除此以外,还有:人为的无意失误:如操作员使用不当、安全配置不规范等造成的安全漏洞;人为的恶意攻击:网络软件的漏洞和“后门”;破坏数据的完整性——如以非法手段窃取得对数据的使用权,删除、修改某些重要信息等。从根本上讲,网络安全的威胁来自于计算机基本技术自身存在的种种隐患。这主要表现在:操作系统的脆弱性;网络协议自身的安全脆弱性;数据库管理系统的安全脆弱性网络配置的不规范等。3.网络安全模型结构为了适应网络技术的发展,国际标准化组织ISO的计算机专业委员会根据开放系统互连参考模型OSI制定了一个网络安全体系结构模型,该模型主要解决对网络系统中的传达室输信息进行保密的问题。下面列出了UNIX网络安全体系结构模型,该结构主要针对的是UNIXInternet连接。层次名称功能描述7POLICYPOLICY定义和指导6PERSONNEL使用设备和数据的人员5LAN计算机设备和数据4INTERNAL-MARK连接器——内部连接器3GATEWAYOSI7、6、5、4层的功能2PACKET-FILTEROSI3、2、1层的功能1EXTERNAL-DEMARK公共访问——外部连接最顶层:定义了组织的安全策略,包括高层次定义的允许的安全风险,以及下层的如何配备设备及过程;第六层:定义了安装、操作、维护、使用以及通过其他方法访问用户网络人员。在该层次上的安全策略,应该反映出用户对总体系统安全的期望值;局域网层:定义用户的安全程序要保护的设备和数据。它也包括一些用于实现用户的安全策略所需的监控程序;内部区分层:定义了用户如何将局域网连接到广域网以及如何将局域连接到防火墙上。这可能会涉及到很多的网络连接设备;嵌入的UNIX网关层:定义整体平台,包括在第四层的网络接口以及在第三层的路由器。嵌入的UNIX网关用于为广域网提供防火墙服务;数据包过滤层:该层次应该既提供到第一层的连接,又提供根据一定标准对输入输出的数据包进行过滤的功能;外部区分层:定义用户的系统如何与设备、电话线路、或其它的用户不能在组织内直接控制的介质进行连接;为了实现上述各种功能服务,其于这种安全体系提出的安全技术机制主要有:加密机制:用加密的方法与其它技术结合,可以提供数据的保密性和完整性,目前加密技术非常先进;数字签名机制;访问控制机制:它是按事先确定的规则决定主体对客体的访问是否合法;数据完整性机制;交换鉴别机制:它是以交换信息的方式来确认实体身份的机制,如利用口令、指纹识别等技术;业务流量填充机制:它主要是以对抗非法者在线路上监听数据并对其进行流量和流向分析;路由控制技术;公证机制:它使得能鹤双方进行数据通信时必须经过该机构来转换来保证信任度;当然,网络安全系统并非局限于上述各项技术手段,它还需要政策法规、管理策略上的各种支持,是一个涉及到方方面面的极其复杂的系统工程。我们可以以下面的三维体系图来描述网络安全的各个层面。4.网络安全解决方案完整的网络安全解决方案。应该根据应用特点,对症下药,有针对性地解决问题。具体问题包括:关于物理安全的考虑关于数据安全的考虑数据备份的考虑防病毒的考虑关于操作系统/数据库/应用系统的安全考虑网络系统安全结构的考虑通信系统安全的考虑关于口令安全的考虑关于软件研发安全的考虑关于人员安全因素的考虑网络相关设施的设置和改造安全产品的选型安全策略与安全管理保障机制的设计网络安全行政与法律保障体系的建立长期安全顾问服务服务的价格事件处理机制安全监控网络和安全监控中心的建立安全培训等。三、漏洞及漏洞检测技术1.什么是漏洞网络漏洞是黑客有所作为的根源所在。漏洞是指任意的允许非法用户未经授权获得访问或提高其访问权限的硬件或软件特征。它是由系统或程序设计本身存在的缺陷,当然也有人为系统配置上的不合理造成成的。目前流行的关于漏洞的分类主要有A类和B类的划分形式。1)安全漏洞的几种形态A类划分:1、操作系统漏洞(先天)2、应用程序漏洞(先天)3、系统配置漏洞(人为)4、工作机制漏洞(人为)5、网络系统漏洞(人为)6、管理机制漏洞(人为)2)安全漏洞的几种形态B类划分:1、管理漏洞2、软件漏洞3、结构漏洞4、信任漏洞2.CVE标准目前,已公布的各种系统漏洞有上千种,国际上为了规范漏洞的行为特征和便于管理,也成立了相应的组织构,并规范收录和管理现存各种漏洞,即CVE标准。CVE即CommonVulnerabilitiesandExposures,它是经专门的国际权威机构对已分公开发布的信息安全漏洞的定义、归类和列表。CAN——CVE的候选编号授权机构(theCVECandidateNumberingAuthority),它负责对一个新发现的信息安全漏洞进行预先编号,然后提交给CVE公告牌和编委们进行专门讨论,是否被收录入CVE库中,成为CVE的正式成员。CVE编委(CVEEditorialBoard):它负责对CAN编号的漏洞进行讨论、修正、并表决是否可收录入CVE库中;MITRE是一个非盈利性的、与政府关系密切的相对独立的机构,它维护CVE的标准并对CVE的各项事务发展提供中立指导。它兼有CAN及CVE编委两个职能。,是CVE公开发布的站点,并可自由下载。CVE中各个漏洞条目的主要内容是漏洞编号及名称、漏洞描述及相关参考信息。一个预选漏洞的编号定义,它包括漏洞发现的年度及该年度的序号,如CAN-1999-0067.当它正式被接纳为CVE正式成员后,它将更名为CVE-1999-0067,并给出它正式的定义描述。也就是说经CAN预选的漏洞不一定最终能成为CVE的正式成员。一个漏洞被正式收入CVE库的过程一般为:发现漏洞——公开讨论——CAN对其预编号——提交专委讨论、投票进入CVE——正式编号、修改、定义描述、正式入选CVE——公开发布。3.典型漏洞介绍这里我们列出了今年SANS公布的20类最常见危险的安全漏洞,我们着重介绍几个。1)针对所有系统的:(1)操作系统和应用程序的默认安装描述:大多数操作系统和应用软件提供了自动安装的功能,实际上被安装的有些功能是用户不需要的,因而不对其进行设置,从而留下了大量漏洞。受影响的系统:大多数的操作系统和应用程