网络安全技术技术白皮书.docx
《网络安全技术技术白皮书.docx》由会员分享,可在线阅读,更多相关《网络安全技术技术白皮书.docx(38页珍藏版)》请在冰豆网上搜索。
网络安全技术技术白皮书
网络安全技术
技术白皮书
第一部分公司简介
第二部分网络安全的背景
第一章网络安全的定义
国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”我国自己提出的定义是:
“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。
”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。
但总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。
随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。
传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。
但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。
第二章产生网络安全问题的几个方面
2.1信息安全特性概述
2.2信息网络安全技术的发展滞后于信息网络技术。
网络技术的发展可以说是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了不少心力,可对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco公司为例,其低端路由产品从cisco2500系列到7500系列,其密码加密算法基本一致。
而其他功能,特别是数据吞吐能力及数据交换速率提高之大,令人瞠目。
在我国,许多大的应用系统也是建立在国外大型操作系统的基础之上。
如果我们的网络安全产品也从国外引进,会使我们的计算机信息系统完全暴露在外。
后果堪忧。
其次,网络应用的设计往往在应用方面考虑的比较多,这就是应用永远高于安全,因为一个系统的设计最终的目的是为了应用、其次才是安全。
互联网的发展也一样,互联网上的应用系统的发展速度和规模远远大于安全系统的发展速度和规模。
2.3TCP/IP协议未考虑安全性
在TCP/IP协议设计之处,主要考虑的是互联和应用方便,所以TCP/IP协议是一个开放的互联网协议,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截、偷窥和篡改。
TCP/IP协议的两个创始人VintonGCerf和RobertE.Kahn没有为这个协议的发明去申请专利,而是公开了源代码,这为互联网的飞速发展奠定了基础,也为网络安全留下了很多的隐患。
我们的网络哨兵其实也是这个安全漏洞的产物,我们的抓包程序能获取到HUB或交换机中的数据包、然后进行分析处理,这本身就是TCP/IP协议的漏洞之一。
TCP/IP协议中的数据是以明文形式发送的,这为安全留下了隐患。
2.4操作系统本身的安全性
目前流行的许多操作系统均存在网络安全漏洞,如UNIX,Windows、甚至包括一些安全系统的操作系统也存在安全漏洞。
黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。
2.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制
2.6忽略了来自内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。
2.7缺乏有效的手段监视、评估网络系统的安全性
完整准确的安全评估是黑客入侵防范体系的基础。
它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。
网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。
评估分析技术是一种非常行之有效的安全技术。
2.8使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失
在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。
网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。
如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。
第三章网络与信息安全防范体系模型以及对安全的应对措施
如何才能使我们的网络百分之百的安全呢?
对这个问题的最简单的回答是:
不可能。
因为迄今还没有一种技术可完全消除网络安全漏洞。
网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。
从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。
安全解决方案不是简单产品的堆砌,而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。
3.1信息与网络系统的安全管理模型
3.2网络与信息安全防范体系设计
3.2.1网络与信息安全防范体系模型
网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本安全体系提供这样一种思路:
结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。
多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。
图1:
网络与信息安全防范模型
网络与信息安全防范模型如图1所示,它是一个可扩展的结构。
3.2.1.1安全管理
一个成功的安全防范体系开始于一个全面的安全政策,它是所有安全技术和措施的基础,也是整个体系的核心。
3.2.1.2预警
是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有针对性的给出防范体系的建设方案才是可行的。
3.2.1.3攻击防范
攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。
使用扫描工具及时发现问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。
3.2.1.4攻击检测
攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键环节,使用基于网络和基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测系统,以及时发现攻击行为,为响应赢得时间。
采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,而不是单一的部分。
设立安全监控中心,掌握整个网络的安全运行状态,是防止入侵的关键环节。
3.2.1.5应急响应
在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏行动,作出及时准确的响应是必须的。
使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时,预防同类事件的再发生并为捕获攻击者提供可能,为抵抗黑客入侵提供有效的保障。
3.2.1.6恢复
W恢复是防范体系的又一个环节,无论防范多严密,都很难确保万无一失,使用完善的备份机制确保内容的可恢复,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降至最低。
6个环节互为补充,构成一个有机整体,形成较完善的网络与信息安全体系。
3.2.2网络与信息安全防范体系模型流程
网络与信息安全防范体系流程主要由三大部分组成:
攻击前的防范、攻击过程中的防范和攻击后的应对。
安全管理贯穿全流程。
图2:
网络与信息安全防范体系工作流程
网络与信息安全防范体系的工作流程为:
攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御:
防火墙作为第一道关口,负责控制进入网络的访问控制,即进行了日常的防御工作,也对事实的消息进行了防御;系统漏洞检测系统、安全评估软件一个从内一个从外,非常详细地扫描安全漏洞并将系统漏洞一一列表,给出最佳解决方法。
邮件过滤系统、PKI、VPN等都是进行日常的防御工作。
攻击过程中的防范部分负责对实时的攻击做出反应。
预警系统、入侵检测系统检测通过防火墙的数据流进行进一步检查,综合分析各种信息,动态分析出那些时黑客对系统做出的进攻,并立即做出反应。
通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵,分别在网络级和系统级共同探测黑客的攻击并及时做出反击,防止黑客进行更深一步的破坏。
攻击过程后的应对部分主要是造成一定损害时,则由应急响应与灾难恢复子系统进行处理。
3.2.3网络与信息安全防范体系模型各子部分介绍
网络与信息安全防御体系是一个动态的、基于时间变化的概念,是一种互联互动、多层次的黑客入侵防御体系:
以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部分构成一个整体。
3.2.3.1安全服务器
作为一种重要的基础网络设备,安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。
目前国内服务器产品大都为国外设备,在信息安全构建过程中必然存在着潜在的危险,因而发展民族服务器产业,构建民族信息长城是国家亟待解决的重大问题。
所谓的安全服务器,即是指运行安全程序的计算机。
众所周知,Internet是伴随着TCP/IP设计的网络,不管是访问控制层还是数据链路层,安全问题基本没有被考虑。
TCP/IP是以明文方式传输数据的,这在开放的Internet环境里很容易被窃听。
安全服务器即是:
通过对传输中的数据流进行加密,保证数据即使被窃听也不能被解密;通过电子证书和密钥算法进行身份确认,防止了身份欺诈;通过对数据流的校验,保证数据在传输过程中不被篡改,使得非法进入网上秘密程序无机可乘。
其主要涉及的技术有:
容量大,稳定性高的磁盘阵列;大内存,以提高系统的处理与运算能力;系统的容错能力;故障的在线修复技术;服务器集群技术;对称多处理技术;安全SSL技术;安全服务器网络技术(SSN)等。
3.2.3.2预警
预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能的行动。
预警过程是基于收集和分析从开放信息资源收集而获得,提取重要的信息来指导计划、训练和提前做准备。
3.2.3.3网络防火墙
防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。
它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。
研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。
防火墙一般具有以下几种功能:
允许网络管理员定义一个中心点来防止非法用户进入内部网络。
可以很方便地监视网络的安全性,并报警。
可以作为部署NAT(NetworkAddressTranslation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题。
是审计和记录Internet使用费用的一个最佳地点。
网络管理员可以在此向管理部门提供Internet连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW服务器和FTP服务器,将其作为向外部发布内部信息的地点。
从技术角度来讲,就是所谓的停火区(DMZ)。
3.2.3.4系统漏洞检测与安全评估软件
系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞;安全评估软件从系统内部扫描安全漏洞和隐患。
安全评估软件还主要涉及到网络安全检测,其主要是系统提供的网络应用和服务及相关的协议分析和检测。
系统漏洞检测与安全评估软件完成的功能主要有:
对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略;
定期分析有关网络设备的安全性,检查配置文件和日志文件;
定期分析操作系统和应用软件,一旦发现安全漏洞,应该及时修补;
检测的方法主要采用安全扫描工具,测试网络系统是否具有安全漏洞和是否可以抗击有关攻击,从而判定系统的安全风险。
3.2.3.5病毒防范
病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。
能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面研究病毒免疫机理。
加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。
网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。
主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。
能对疫情情况进行统计分析,能主动对INTERNET中的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。
3.2.3.6VPN
VPN是集合了数字加密验证和授权来保护经过INTERNET的信息的技术。
它可以在远程用户和本信息系统网络之间建立一个安全管道。
主要的技术包括隧道技术、隧道交换技术与公钥基础设施(PKI)的紧密集成技术以及质量保证技术等。
隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。
隧道交换技术研究将隧道如何延伸到防火墙内,并可以在任意位置终止的技术。
2.3.7PKI
公钥技术设施集成技术:
提出与国际接轨的PKI和密钥KMI技术标准,提供基于PKI和KMI技术的安全服务平台和公共安全接口,开发PKI技术产品和应用系统。
其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。
3.2.3.8入侵检测
入侵检测子系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测子系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
具有以下的功能:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
3.2.3.9日志取证系统
通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。
3.2.3.10应急响应与事故恢复
本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络,当信息系统遭受攻击时,快速反应和对遭到的系统、文件和数据进行快速恢复。
为建立信息安全应急反应服务体系提供方法。
并且能提供自我诊断与自我恢复相结合的功能。
主要涉及的技术有:
故障分析诊断技术。
将入侵检测、病毒防治和安全管理等系统相配合,研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。
攻击避免与故障隔离技术。
研究信息系统、网络系统的仿真、诱骗和隐蔽技术;研究具有抗攻击和破坏能力的网络与系统的体系结构和技术,如隔离技术等。
3.2.4各子部分之间的关系及接口
各子部分的关系如图:
图3:
各子部分之间关系图
各子部分之间的接口规范如下:
1.内容安全使用CVP(ContentVectoringProtocol)
内容安全允许用户扫描经过网络的所有数据包内容。
例如:
病毒、恶意Java或AcitveX程序等。
本体系可提供的CVPAPI定义了异步接口将数据包转发到服务器应用程序去执行内容验证。
用户可以根据多种标准来验证内容的安全。
2、Web资源管理使用UFP(URLFilteringProtocol)
UFP定义了Client/Server异步接口来分类和控制基于特定URL地址的通信。
防火墙上的UFP客户端将URL传送到UFP服务器上,UFP服务器使用动态分类技术将URL进行分类,防火墙则根据安全规则的定义对分类进行处理。
对客户来说,通过中央的安全策略管理即可实现高效的Web资源管理。
3、入侵检测采用SAMP(SuspiciousActivityMonitorngProtocol)
SAMPAPI定义了入侵检测应用同VPN和网络防火墙通信的接口。
入侵检测引擎使用SAMP来识别网络中的可疑行为,并通知防火墙处理。
另外SAMP应用可以发送日志、告警和状态信息到安全管理子系统。
4、事件集成
可提供两个API:
LEA(LogExportAPI)和ELA(EventLoggingAPI)允许第三方来访问日志数据。
报表和事件分析采用LEAAPI,而安全与事件整合采用ELAAPI。
5、管理和分析采用OMI(OPSECManagementInterface)
OMI提供到安全管理子系统的中央策略数据库的接口,允许第三方应用安全地访问存储在管理服务器上的安全策略。
OMI能够访问以下资源:
●存储在管理服务器上的安全策略
●管理服务器上定义的网络、服务、资源和服务器对象
●用户、摸板和用户组
●允许登录到管理服务器的管理员列表
6、认证采用OPSECPKI集成
本体系提供了一个开放式集成环境,第三方的PublicKeyInfrastructure(PKI)能紧密的与总体系集成在一起(VPNGateway、VPNSecureClient、防火墙C/S之间的通信等)。
VPNGateway能同时多个不同的CA。
开放的PKI使得管理员能够选择最大限度满足要求的PKI解决方案。
第三部分相关网络安全产品和功能
第一章防火墙
1.1防火墙的概念及作用
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。
而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。
应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。
一般的防火墙都可以达到以下目的:
一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet等种类相对集中的网络。
防火墙正在成为控制对网络系统访问的非常流行的方法。
事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。
1.2防火墙的任务
防火墙在实施安全的过程中是至关重要的。
一个防火墙策略要符合四个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。
大多数情况下防火墙的组件放在一起使用以满足公司安全目的的需求。
防火墙要能确保满足以下四个目标:
◆实现一个公司的安全策略
防火墙的主要意图是强制执行你的安全策略。
在前面的课程提到过在适当的网络安全中安全策略的重要性。
举个例子,也许你的安全策略只需对MAIL服务器的SMTP流量作些限制,那么你要直接在防火墙强制这些策略。
◆创建一个阻塞点
防火墙在一个公司私有网络和分网问建立一个检查点。
这种实现要求所有的流量都要通过这个检查点。
一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。
网络安全产业称这些检查点为阻塞点。
通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的方来实现安全目的。
如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
检查点的另一个名字叫做网络边界。
◆记录Internet活动
防火墙还能够强制日志记录,并且提供警报功能。
通过在防火墙上实现日志服务,安全管理员可以监视所有从外部网或互联网的访问。
好的日志策略是实现适当网络安全的有效工具之一。
防火墙对于管理员进行日志存档提供了更多的信息。
◆限制网络暴露
防火墙在你的网络周围创建了一个保护的边界。
并且对于公网隐藏了你内部系统的一些信息以增加保密性。
当远程节点侦测你的网络时,他们仅仅能看到防火墙。
远程设备将不会知道你内部网络的布局以及都有些什么。
防火墙提高认证功能和对网络加密来限制网络信息的暴露。
通过对所能进来的流量时行源检查,以限制从外部发动的攻击。
1.3防火墙术语
在我们继续讨论防火墙技术前,我们需要对一些重要的术语有一些认识:
Ø网关
网关是在两上设备之间提供转发服务的系统。
网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关。
这个术语是非常常见的,而且在本课会用于一个防火墙组件里,在两个不同的网络路由和处理数据。
Ø电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。
另外,电路级网关还提供一个重要的安全功能:
网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。
有两种方法来实现这种类型的网关,一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。
另一种是在第一个防火墙主机和第二个之间建立安全的连接。
这种结构的好处是当一次攻击发生时能提供容错功能。
Ø应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。
通常是在特殊的服务器上安装软件来实现的。
Ø包过滤
升级会员 