安全产品白皮书.docx
《安全产品白皮书.docx》由会员分享,可在线阅读,更多相关《安全产品白皮书.docx(94页珍藏版)》请在冰豆网上搜索。
安全产品白皮书
CA安全产品白皮书
1.计算机系统安全隐患
每年我们都要在计算机系统上花费上百万美元建立与管理信息,这些信息用于商业决策、客户服务和保持竞争力。
但是你知不知道这些信息是否安全?
简单地用一张软盘就可拷贝下你占有商业先机的信息,并且你可能从不会察觉信息已被偷走,直到竞争对手把你的商业计划作为他们自己的来宣布。
你如何得知怎么样才是足够安全?
不同的公司以它们自己不同的安全观点建立了大型计算机网络,并且经常连接到网络上工作。
这样不同的信息安全需求,导致确保一个真正安全的、可审计的系统非常困难。
因特网上电子商业的导入,提高了企业加紧保护他们数字资源信息安全的需求。
目前,计算机系统和信息安全问题是IT业最为关心和关注的焦点之一。
据ICSA统计,有11%的安全问题导致网络数据被破坏,14%导致数据失密,15%的攻击来自系统外部,来自系统内部的安全威胁高达60%。
由于受到内部心怀不满的职工安放的程序炸弹侵害,OmegaEngineering公司蒙受了价值900万美元的销售收入和合同损失,由于受到来自网络的侵袭,Citibank银行被窃了1000万美元,后来他们虽然追回了750万美元损失,但却因此失去了7%的重要客户,其声誉受到了沉重打击。
这只是人们知道的两个因安全问题造成巨大损失的例子,实际上,更多的安全入侵事件没有报告。
据美国联邦调查局估计,仅有7%的入侵事件被报告了,而澳大利亚联邦警察局则认为这个数字只有5%。
因为许多入侵根本没有被检测到,还有一些受到侵袭的企业由于害怕失去客户的信任而没有报告。
那么,为什么当今信息系统中存在如此之多的安全隐患,安全问题如此突出呢?
这是与计算机系统的发展、当今流行系统的设计思路、当前IT系统的使用状况紧密相关的。
下面,我们从以下几个方面简要论述。
1.1从计算机系统的发展看安全问题
安全问题如此突出和严重是与IT技术和环境的发展分不开的。
早期的业务系统是局限于大型主机上的集中式应用,与外界联系较少,能够接触和使用系统的人员也很少,系统安全隐患尚不明显。
现在业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落,给系统的安全管理造成了很大困难。
早期的网络大多限于企业内部,与外界的物理连接很少,对于外部入侵的防范较为容易,现在,网络已发展到全球一体化的Internet,每个企业的Intranet都会有许多与外部连接的链路,如通过专线连入Internet,提供远程接入服务供业务伙伴和出差员工访问等等。
在这样一个分布式应用的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。
随着系统和网络的不断开放,供黑客攻击系统的简单易用的“黑客工具”和“黑客程序(BO程序)”不断出现,一个人不必掌握很高深的计算机技术就可以成为黑客,黑客的平均年龄越来越小,现在是14-16岁。
1.2从计算机系统的特点看安全问题
在现代典型的计算机系统中,大都采用TCP/IP作为主要的网络通讯协议,主要服务器为UNIX或WindowsNT操作系统。
众所周知,TCP/IP和UNIX都是以开放性著称的。
系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。
TCP/IP的结构与基于专用主机(如IBMES/9000、AS/400)和网络(如SNA网络)的体系结构相比,灵活性、易用性、开发性都很好,但是,在安全性方面却存在很多隐患。
TCP/IP的网络结构没有集中的控制,每个节点的地址由自己配置,节点之间的路由可任意改变。
服务器很难验证某客户机的真实性。
IP协议是一种无连接的通讯协议,无安全控制机制,存在各种各样的攻击手段。
实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(DenialofServices,拒绝服务)就是其中明显的例子。
UNIX操作系统更是以开放性著称的,在安全性方面存在许多缺限。
我们知道,在用户认证和授权管理方面,UNIX操作系统对用户登录的管理是靠用户名和口令实现的,一个用户可以没有口令(使用空的口令),也可以使用非常简单易猜的词如用户名、用户姓名、生日、单位名称等作为口令(实际上,大多数人都是这么用的);一个人只要拥有了合法的用户名和口令,就可以在任意时间、从任意地点进入系统,同时登录的进程数也没有限制,这些都是安全上的隐患。
虽然有的系统对上述内容有一定程度的限制措施,但也需要复杂的配置过程,不同系统上配置方法也很不一致,实际上无法全面有效地实施。
在对资源的访问控制管理方面,UNIX只有读、写和执行三种权限,无法对文件进行更为细致的控制。
用户可以写某个文件,就能删除它。
而在许多应用的环境下,我们是希望某些用户只能Update文件,不能删除它的。
如果对文件的控制权限扩展到读、写、增加、删除、创建、执行等多种,就可以防止恶意或无意的破坏发生。
UNIX还缺乏完善有效的跟踪审计能力。
如一个用户企图多次访问某敏感资源时,系统无法采取强有力的措施处置,管理员也很难发现。
这种情况下,如果能及时迅速地通知安全管理员,能把该用户赶出(logout)操作系统,甚至封死该帐户,使其无法继续登录,无疑会大大加强系统的安全性。
另外,不同的UNIX及UNIX的不同版本在实现的过程中都会有这样那样的BUG,其中许多BUG是与安全有关的。
80年代中期,Internet上流行的著名“蠕虫”病毒事件就是由UNIX系统的安全BUG造成的。
厂商在发现并修正BUG后会把PATCH放在其公司站点上供用户下载和安装,但许多用户没有技术能力和精力理解、跟踪这些PATCH并及时安装。
有的UNIX操作系统虽然能够达到较高的安全级别,但在缺省安装和配置中一般采用较低的安全控制,需要进行许多配置过程才能达到较高的安全级别。
由于水平和精力所限,一般用户环境中很难完成这样精确的安全配置,经常存在错误的配置,导致安全问题。
更为严重的是,一台UNIX服务器上经常要安装很多商业应用软件,这些软件大多以root用户运行。
而这些软件往往存在一些安全漏洞或错误的安全配置,从而导致root权限被人窃取。
所以,我们需要一种系统扫描工具,定期检查系统中与安全有关的软件、资源、PATCH的情况,发现问题及时报告并给出解决建议。
才能使系统经常处于安全的状态。
2.
信息系统安全管理需求分析
从以上的论述可以看出,现代计算机网络系统的安全隐患隐藏在系统的各个角落,系统的总体安全级别就象装在木筒中的水,木筒装水的多少决定于最矮的木板,系统安全级别的高低取决于系统安全管理最薄弱的环节。
要加强系统的总体安全级别,不是安装一个产品或几个功能单一的工具就能实现的,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范,使用人员安全意识等各个层面统筹考虑。
信息系统采用开发系统如UNIX、Windows等计算机和TCP/IP网络协议,与外界又有各种各样的网络连接,所以需要对系统进行更为严格的保护,防止非法的入侵。
另外,来自内部的攻击也不容忽视。
现代社会是一个充满诱惑的社会,仅通过规章制度或思想教育等工作防止内部人员作案是不够的。
内部工作人员的违规行为的案例也不是没有的。
所以,必须采取一些技术手段,加强对计算机系统的用户、资源的安全保护,防止无关人员访问敏感数据。
同时,IT环境与行政建制相交叉,因此需要进行各个部门与其IT系统的使用,维护,管理等环节的审核与规范;规范人员分类:
操作、更改业务、维护业务、管理系统、维护系统等;制度系统操作与访问规则。
CA公司认为,要保证信息系统的安全,提升整体安全级别,需要从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑。
信息系统的安全防护需要与实际应用环境,工作业务流程以及机构组织形式与机构进行密切结合,从而在信息系统中建立一个完善的安全体系。
2.1网络层安全防护
对网络进行安全保护是防治外部黑客入侵和内部网络滥用和误用的第一道屏障,而一次不经意内部拨号上网就可以绕过原有的防火墙或代理服务器,并且有可能成为系统入侵的突破口。
我们应该通过定义网络安全规范,明确各级部门和人员对网络使用的范围与权力,控制网络与外界的联接,监测和防御网络入侵攻击,制止非法信息传输,保护WEB系统,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。
从网络层进行安全防护主要应针对如下几个方面:
1)网络访问控制在网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询,修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求授予其不同权限,禁止非法用户进入系统。
网络访问控制系统应该具有如下要求:
-不仅能够按照来访者的IP地址区分用户,还应该对来访者的身份进行验证
-不仅支持面向连接的通讯,还要支持UDP等非连接的通讯
-不仅可以控制用户可访问哪些网络资源,还应该能控制允许访问的日期和时间
-对一些复杂的应用协议,如FTP、UDP、TFTP、RealAudio、RPC和portmapper、EncapsulatedTCP/IP等,采用特定的逻辑来监视和过滤数据包。
-对于现有的各种网络进攻手段,提供有效的安全保障。
2)网络地址翻译使用网络地址翻译技术,可以让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。
系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。
3)可疑网络活动的检测我们知道,带有ActiveX、Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常带有一些可以执行的程序,这些程序中很可能带有计算机病毒以及特络伊木马、BO等黑客工具,具有潜在的危险性。
网络安全管理应该能够对这些可疑目标(包括通过SSL协议或者加密传输的可疑目标)进行检测,隔离未知应用,建立安全资源区域。
-网络入侵防御在内部的网络上,也可能存在来自内部的一些恶意攻击和网络误用情况,甚至可能存在来自外部的恶意入侵。
安全防护体系应该能够监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、怀恶意的applets、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机。
2.2系统级安全防护
如前所述,UNIX/Windows操作系统本身存在许多安全漏洞和隐患,必须加强这一级别的安全防护,才能保护敏感的信息资源。
1)使用系统弱点扫描能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。
提示管理员进行正确配置。
2)加强操作系统用户认证授权管理
-限制用户口令规则和长度,禁止用户使用简单口令;强制用户定期修改口令。
-按照登录时间、地点和登录方式限制用户的登录请求
3)增强访问控制管理安全管理应该从如下方面加强UNIX的访问控制机制:
-对文件的访问控制除提供读(Read),写(Write),执行(Execute)权限外,还应该有建立(Create),搜索(Search),删除(Delete),更改(Update),控制(Control)等权限以满足复杂安全环境的需求
-应该能够限制资产被访问的时间和日期。
(例如:
某些文件只能在上班时间被改写,而下班时间不能)
-即使超级用户也不应透过安全屏障去访问XX的文件
-对计算机进程提供安全保护,防止非法用户启动或停止关键进程
-控制对网络访问和端口的访问控制
4)计算机病毒防护随着企业IT系统和网络规模的扩展,信息技术在企业网络中的运用越来越广泛深入,信息安全问题也显得越来越紧迫。
自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。
近期出现的恶性病毒如CIH等甚至能够破坏计算机硬件,使整个计算机瘫痪。
据NCSA统计,1995年到1996年,计算机病毒的数量增加了10倍,其传播途径也从主要靠软盘拷贝变为通过光盘、网络、电子邮件、文件下载等多种方式,传播速度越来越快。
据统计,99.3%的美国公司都受到过病毒的侵袭,修复每次事故要平均花费8300美元。
如何保证企业内部网络抵御网络外部的病毒入侵,从而保障系统的安全运行是目前企业系统管理员最为关心的问题。
所以,系统安全管理应该包括强大的计算机病毒防护功能。
5)WEB服务器的专门保护我们应该针对重要的、最常受到攻击的应用系统实施特别的保护。
Web服务器是一个单位直接面对外界的大门,通常也是最先在网络伤害行为中受到威胁的环节,同时主页是一个单位的形象。
对于WEB的安全维护管理,特别是主页的维护,修改主页是一种典型的网络伤害行为,所以主页的保护,及时恢复是对此行为的有效打击。
同时,需要对于Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全政策进行明确规划。
这些政策包括了解其网络利用情况、检测入侵和可疑网络活动时需要的规则。
这些规则可以非常方便地加以激活、关闭或加以剪裁以满足系统在一般需要之外的其它具体要求。
这些规则包括了监控/阻塞具体用户组、地址、域访问特定的Web站点、URL或内部服务器的功能。
2.3应用级安全保护
安全管理是个广泛的理念,IT环境中出现的不安全问题并不是全部由于单纯的IT设备本身造成的,相反更多的问题是由于其它非IT技术因素引起的,只是最终通过计算机的载体实现而已。
因此对于IT系统的安全管理,不应该仅仅是对于IT设备的安全保护,还要对人员进行安全规范化管理。
这是弥补安全漏洞的一个重要途径。
其中的一个关键环节是对于行政机制中人员的级别与权限,如何能够有效、准确、及时的体现在其日常所接触到的IT系统中。
由于企业信息系统本身具有十分充分的安全理念和制度,所以实现其于电子化之中的过程非常关键,同时能够跟随业务机构调整而进行相关变化的及时响应是确保整体信息系统规范化要素。
而且集中的,一致的管理,可以使人力资源有限的实际问题得到一定程度的缓解。
企业级的用户管理,用于构筑集中化的网络用户登录管理、集中化的安全策略管理的解决方案。
通过该方案,可以实现“一人一个帐号、一个口令”登录管理模式。
用户只需一次登录即可访问网络中各种资源(如操作系统、电子邮件,数据库系统,应用等),而不用分别手工登录这些资源。
结合指纹识别器、智能卡、令牌卡等物理设备,构成网络安全通讯、鉴定、审计、集中化的安全策略。
1)实施单一登录机制
在一个现实的大型计算机系统的运作过程中,一个IT管理人员需要管理多个系统、维护多套用户名和口令。
例如,一个系统管理员可能要管理5台UNIX主机、20台WindowsNT服务器、维护上面的多个数据库、维护电子邮件系统、还要管理多台网络设备等,他需要记忆各个操作系统、数据库系统、应用系统、网络设备的用户名和口令。
其它的管理人员和工作人员也是如此。
各种系统用户的口令应该互不相关,口令比较长而且没有规律,在使用一段时间后要改变为新的值,这样才能保证统的安全。
但是,要让一个人记忆许多长而难记又经常变化的口令是很困难的。
人们往往对他所维护的所有系统都使用相同或相似的口令,口令常常使用自己或亲朋好友的姓名、生日、纪念日等。
“黑客”会比较容易地猜出其口令,猜出一个口令,就能更加容易地猜到其它口令。
当系统要求用户改变口令时,人们往往按照一定规律改变,如数字加一、字母后移一个等,这样“黑客”很容易根据老口令猜到新口令。
还有用户喜欢把口令记在笔记本上,这就更容易失密了。
以上这些都对系统安全性带来了极大的威胁。
从规章制度上限制用户上述行为是不现实的,只有从技术上采取一定措施,帮助用户解决记忆长而无规律、易变口令的问题,才能真正保证系统的安全。
因此,好的系统安全管理架构不但应该针对网络、计算机、应用等IT环境加强安全管理,而且应该能够尽量减少这种人为因素造成的安全损失。
应该实现“一人一个帐号、一个口令”登录管理模式,用户只需一次登录即可访问网络中操作系统、电子邮件,数据库系统,应用系统等各种资源。
用户应该可以通过用户名/口令、指纹识别器、智能卡、令牌卡等多种方式获得安全管理服务器的系统认证,然后只需在计算机的图形用户界面上双击代表某一应用的图标,就可以直接访问该应用。
在此过程中所涉及的安全机制应该包括口令PIN密钥管理、数据加密和数字签名等技术,以最大限度的保证用户、口令等信息的安全。
2)实施统一的用户和目录管理机制
随着企业分布式计算环境的发展,需要管理的资源越来越多,如用户、用户组、计算机之间的信任关系、不同操作系统、不同通讯协议、不同的数据库系统、不同的服务器和桌面机等等。
随着这些资源的增加,要想安全有效地管理他们就越来越困难了。
单独地维护多种目录体系既费时费力,又容易出错,还难以保证系统的总体安全性和一致性。
管理企业内部的用户资源也变得越来越重要和困难。
在通常的管理模式中,每种系统都有自己的系统管理员,如UNIX的超级用户为root、WindowsNT的管理员为administrator、Sybase和MSSQLServer的系统管理员为sa等等。
IT管理人员每天都要和这些繁杂的系统打交道,不同的系统管理员在管理这些用户时,就有可能采用不同的用户名,不同的管理策略,以适应各类系统的需要。
好的安全管理模式应该帮助用户解决上述问题,允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理。
可以实施基于策略的管理以确保系统安全,可以减少IT管理人员管理目录和用户的时间和精力,可以隐藏不同操作系统的差异。
做类似工作的所有用户可能需要类似的安全权限,安全管理应该提供角色的概念,可以将不同平台上有类似安全权限需求的用户规划成组,将用户帐号归为角色的概念之下,用户可以对同一角色的用户进行相同的管理,不管这些用户是属于那个平台、从事何种功能,使得管理员可迅速地在企业内不同操作系统下迅速地创建所需的用户帐号。
3.
ComputerAssociates安全解决方案
3.1安全之道
COMPUTERASSOCIATES致力于为整个IT系统提供风险管理的全面安全方案以帮助客户保护其珍贵的信息财富。
该方案的战略主导是以企业整体为核心,同时使用公共的服务和标准并可与其他供应商的解决方案相集成。
COMPUTERASSOCIATES安全方案的名称就是eTrust。
COMPUTERASSOCIATES的解决方案是提供一个企业级安全管理方案,以解决IT基础设施内各个领域的问题,COMPUTERASSOCIATES明确了以下的这些安全领域:
1.网络
2.服务器
3.用户
4.应用程序与服务
5.数据
由于各项安全技术所涉及的底层技术各不相同,用来保护每一安全领域机制也有所不同,COMPUTERASSOCIATES确定了如下的机制:
领域
安全机制
网络安全
Ø访问控制
Ø入侵探测
Ø安全通信
服务器和工作站安全
Ø防病毒
Ø访问控制
Ø政策审查
Ø风险评估
Ø入侵探测
用户安全
Ø身份验证
Ø单点注册
Ø帐户管理
应用程序和服务安全
Ø授权
Ø口令控制
数据安全
Ø保密性
Ø完整性
3.1.1网络安全
网络安全关系到什么人和什么内容具有访问权,查明任何非法访问或偶然访问的入侵者,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。
3.1.2服务器安全
保护服务器--主机,分布式系统的服务器和用户工作站—需要控制谁能访问它们或访问者可以干些什么;防止病毒和特洛伊木马的侵入;检测有意或偶然闯入系统的不速之客;风险评估被用来检查系统安全配置的缺陷,发现安全漏洞;政策审查则用来监视系统是否严格执行了规定的安全政策。
3.1.3用户安全
用户账户是通向系统内所有资源的访问关口。
管理这些帐户,在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户帐户是安全的关键。
身份验证用来确保用户的登录身份与其真实身份相符,并对其提供单点注册,以解决多个口令的问题。
3.1.4应用程序和服务安全
大多数应用程序和服务都是靠口令保护的,加强口令变化是安全方案中必不可少的手段,而授权则是用来规定用户或资源对系统的访问权限。
3.1.5数据安全
数据保密性可以保证非法或好奇者无法阅读它,不论是在储存状态还是在传递当中。
数据完整性是指防止非法或偶然的数据改动。
3.2eTrust
COMPUTERASSOCIATES的安全方案直接针对上述模型中所有关键的安全领域,而且是目前业界一种最为全面有效的解决方案。
。
COMPUTERASSOCIATES的安全方案被命名为eTrust.
CA的eTrust解决方案是建立在一个开放的、标准的安全基础框架之上,它包括:
ØeTrustIntrusionDetection—智能型网络审计监控,入侵探测,通过积极主动的防护以免造成破坏;
ØeTrustAccessControl—跨分布式企业,基于策略的授权与访问控制;
ØeTrustSingleSign-on—针对应用程序和数据库的跨分布式企业,包括跨万维网的单次签名;
ØeTrustAdmin—跨异构企业目录与名称的用户与资源管理;
ØeTrustPolicyCompliance—企业范围安全策略分析,包括通过eTrustAdmin和eTrustAccessControl的自动更正措施;
ØeTrustOCSPro,eTrustPKI—证书与公钥管理,基于政策安全的基础框架;
ØeTrustVPN—具有授权与鉴定功能的可靠的虚拟专用网络;
ØeTrustEncryption—单一化的端到端安全通讯;
ØeTrustFirewall—对网络进行迅速、高效、同时具有可管理性的互联网防护;
ØeTrustAntivirus—通过集中策略管理对从互联网网关到本地桌面机实现全面病毒防护;
ØeTrustContentInspection—基于策略的智能型互联网防护,在网关和桌面机防止包括Java和ActiveX在内的恶意代码;
ØeTrustAudit—跨整个安全套件的集中式审核;
ØeTrustDesktopSecurity—完善的桌面安全防护,防止未知的恶意代码与病毒损害;
ØeTrustDirectory—符合X.500标准和具有容错性的企业中枢结构目录服务器。
COMPUTERASSOCIATES还设立了专业的服务部门来加强技术上的支持与服务,为用户提供安全咨询,培训和安装实施。
4.eTrust网络防护
4.1eTrustFireWall
4.1.1概述
防火墙处于网络安全体系中的最底层,属于网络层安全技术范畴。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时
升级会员 