第九卷第一期
Vol. 9, No. 1安徽电气工程职业技术学院学报JOURNAL OF ANHU I EL ECTRICAL EN GIN EERIN G PROFESSIONAL TECHNIQU E COLL EGE 2004年3月March 2004
网络安全的被动防御与主动防御体系应用研究
周业如, 徐擒彪Ξ
(宣城供电局, 安徽 宣城 242000)
[摘 要] 介绍了依据PPDR 网络安全模型建立的一个新型网络信息安全体系实例。阐述了主动防御
系统与被动防御系统在网络安全中的应用。运用了先进的技术支持平台和网络安全模型,
将主动防御体系与被动防御体系有机地结合起来, 构成系统相互联动, 形成具有特色的企业
计算机网络安全的新模式。
[关键词] 网络安全; 主动防御; 被动防御; 入侵检测; 漏洞扫描; 安全网关
[中图分类号] TP393. 08 [文献标识码] A [文章编号]1009-1238(2004) 01-0074-07Application and R esearch of N etwork Security Passive and Active System
ZHOU Ye -ru ,XU -(Xucheng Power Supply Bureau , [Abstract] Introduces an information security system which is based on
model , and explains the application of the active defense
passive defense system in network security. The new technical supporting
system and the network security model make a good linkage to join the active defense system
and the passive defense system together , which structures a well working interactive system.
Hence a new model of company network security system , which has more features , is
created.
[K ey w ords] network security ; active defense ; passive defense ; invasion inspecting ; leak scanning ;
network security gateway
1 问题的重要性
基于计算机网络的信息系统已成为电力企业经营、生产、行政管理的重要支柱。企业上网及互联直接提高了办公效率和工作透明度, 改善和拓宽了办公渠道和对外服务方式, 同时也大大增加了自身的安全风险。据国家信息安全管理办公室的统计, 在2001年“五一”期间的中美黑客大战中, 中国共有147个站点被黑, 被黑比例远高于美国;2002年某网络安全组织对国内政府、企业站点进行了一次安全扫描, 证明80%以上的政府、企业站点存在安全漏洞或根本不设防! 据统计, 当今世界上, 已经有超过50000种计算机病毒, 并且每天仍有300-400种新病毒出现, 平均每20s 就发生一起入侵Internet 网上计算机事件。据报道, 美国每年因信息和网络安全问题所造成的损失就超过100亿美元。各国政府不惜耗巨资加紧开发和使用保护电脑和网络安全的新技术、新产品。
Ξ收稿日期:2003-08-01
作者简介:周业如, 宣城供电局信息中心主任, 高级工程师。
徐擒彪, 宣城供电局信息中心网络管理员。
・74・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
电力企业信息网络运载着大量的客户档案数据、电网运行数据、资金流、物流等数据, 一旦数据丢失、被篡改, 必将造成难以估计的损失。因此, 安全问题是当前企业网络和信息化建设必须解决的基本问题, 信息系统及网络系统的安全工作已是企业安全工作重要研究内容之一。
2 网络信息系统的安全隐患分析
信息系统安全隐患具有本身的脆弱性和外来攻击两个方面.
1) 信息系统自身脆弱性含有以下方面
(1) 信息系统处理环节上的不安全因素。这包括数据输入, 容易输入假数据或篡改数据; 数据处理, 受到电磁干扰或信息泄漏; 数据传输, 通讯线路信息被截获; 软件、程序容易被修改; 数据输出, 信息容易被泄漏; 存取控制, 功能不完善容易被越权使用。
(2) 系统自身存在可侵入性。操作系统漏洞、操作系统留有的后门、数据库系统漏洞; 网络系统的开放性、松散性。
2) 信息系统遭受的攻击有以下方面
(1) 信息破坏。滥用特权、不合法使用、非法复制和篡改。
(2) 信息攻击。来自外部和内部的攻击行为。
A. 网际层上存在的安全隐患包括以下几种:
伪造IP 地址。。于是, 就出现将自己的计算机故意设置成其他设备的IP 地址, 从而使自己的计算机伪造成他人的计算机。
伪造(假冒) , 利用了IP 地址, 但在数据链路层之地址指定发送端与接收端地址,ARP (address resolution protocol ) 就是这种IP 地址和MAC 。如果所对应的地址是不正确的, 那么本来应该传送到接受端的IP 地址数据包或者不能到达目的地, 或者发送到错误的接受端计算机上。像这样利用地址不完全对应的设置, 会出现篡夺应用软件的会话以及妨碍通信的事情。
伪造(假冒) 路径控制信息。TCP/IP 协议环境下可能存在恶意使用路径控制信息的攻击方法, 通过伪造的路径信息传送给所要攻击的计算机, 使应该被传送到合法接受端主机的数据被传送到第三者主机上。
恶意使用(假冒) 原路由。利用IP 数据包的原路由功能伪造进攻, 可以隐藏真正的发送端发送数据包。
利用IP/ICMP 数据包的DoS 进攻(非授权使用) 。发送超过最大长度(65536字节) 的ICMP (Inter 2net control message protocol :Internet 控制报文协议) 数据包。一旦接受到这样的ICMP 数据包, 将使几个特定操作系统中实现的TCP/IP 模块崩溃。
B. 传输层上存在的安全隐患包括以下几种:
预测(假冒) TCP 初始序号。在TCP 通信中, 利用被称为三次握手步骤建立TCP 连接。此时, 对于通过IP 地址的程序, 如果可推测出初始序号, 那么, 只要伪造发送端IP 地址, 就可以建立TCP 连接。建立连接后可通过传送能增加对方设备负载的数据, 或者传送妨碍网络应答性的数据, 使对方正常的计算机陷入拒绝访问(DoS :Denial of Service ) 的状态。
利用TCP/UDP 数据包的DoS 的攻击(非授权使用) 。这是利用建立TCP 的连接的TCP SYN (synchronize flag 表示建立连接的要求) 数据包进行攻击, 通过大量的、已处于连接状态的TCP 连接, 使TCP/IP 模块陷入崩溃状态的操作。
・75・
安徽电气工程职业技术学院学报 第九卷 第一期
C. 应用层在安全方面存在以下隐患
扫描/搜索(非授权使用) 。对于信息系统的非法入侵, 是从收集作为攻击目标的计算机以及用户的相关信息开始的。扫描用户计算机后, 通过窃听用户的通信数据和数据包、搜寻认证信息以及猜测用户密码等方法, 使自己能够冒充对计算机信息和资源拥有读取与写入、以及控制权利的人员, 再访问该计算机。
DNS (domain name service :域名服务) 欺骗(假冒) 。DNS 欺骗是一种从外部改写由DNS 服务器管理的主机名与IP 地址对应表的攻击方式。
窃听用户认证信息(窃听) 。这种窃听行为大多是在非法侵入计算机后安装窃听程序, 以非法手段获取该计算机所连接的网络传输信息。特别是以普通报文形式传输数据的TELN ET 、F TP 、POP 以及HTTP 等作为窃听对象, 来盗用密码等用户认证信息。
攻击程序缺陷(非法授权使用) 。利用许多服务器软件中堆栈(预先准备的数据缓冲区) 溢出缺陷问题, 引起程序错误操作。
代理服务器的非法使用(非授权使用) 。所谓代理服务器的非法使用未公开的、未实施访问控制的代理服务器作为Web 接入平台使用, 达到隐藏访问源端, 运行。
利用电子邮件进行的DoS 攻击(非授权使用) 。:发送大量的电子邮件, 耗尽硬盘空间的电子邮件炸弹, 延迟等。
病毒。:; 利用用户作为中介() 。但从1998年以来出现了非法访问功能的病毒, 如“特洛伊(Troy ) 木马”病毒“、蠕虫) ”病毒。这些病毒具有以下功能:(1) 将获得的信息发往特定的网站; (2) 将计算机的配置改写为无防范状态; (3) 通过网络侵入计算机, 假装成非常有用的正常程序搜集信息从事非法活动; (4) 使“非法访问”与“病毒”的界限变得非常模糊。
3 网络安全模型
以上对信息系统的安全隐患包含潜在的危险以及可能发生的进攻进行了举例和分析“知己知彼, , 百战不殆”。我们应将诸多的安全问题进行分类, 制定其对策, 有些问题应依靠安全规章的制定在管理层面上加以防范, 有些问题必须靠技术手段设防。
以往单一设置软、硬件防火墙是被动防御技术措施, 在网络边界保卫内网, 近年来频繁的来自内、外网络攻击事件使人们认识到被动防御是不够的。
PPDR 模型是商业策略模型PDR 在网络安全模型上的运用,PPDR 的
含义是策略(Policy ) 、防护(Protection ) 、检测(Detection ) 、响应(Response ) ,
它们的关系如图1所示。
PPDR 是一个螺旋上升的过程, 经过一个循环以后防护水平应得到提
高。
策略, 是模型的核心, 它是网络安全需达到的目标, 也是各种措施的集
合, 在实现安全目标时必然要牺牲一定系统资源和网络运行性能, 所以策略
的制定要权衡利弊。图1 PPDR 模型
防护, 是安全的第一步, 具体包括:(1) 安全规章制定, 在安全策略的基础上制定安全细则; (2) 系统的安全配置, 配置好具体网络环境下参数、安装必要的程序补丁软件、仔细配置各类安全参数, 以达到安
・76・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
全策略规定的要求。(3) 采用安全措施, 安装防火墙、安装V PN 等软硬件装置。这种防护现在称为被动防御, 它不可能发现和查找到安全漏洞或系统异常情况并加以阻止。
检测, 是主动防御行为, 网络的状态是动态变化的, 各种软件系统的漏洞经常出现“漏洞扫描”, 与“入侵检测”系统能及时发现和记载系统的异常情况和安全漏洞, 发现新的进攻模式。
响应, 在发现了攻击企图或攻击之后, 需要系统及时地反应, 这应有报告记录以便管理人员分析入侵细节, 以及系统的反应情况; 自动进行相应处理以阻止进一步的攻击; 自动清除入侵造成的影响, 使系统恢复正常运行。
遵循PPDR 模型的信息网络安全体系, 采用主动防御与被动防御相结合的方式, 是目前较科学的防御体系。
4 技术方案
基于原有的网络基础设施, 考虑到目前网上运行的业务需求, 网络安全建设主要实现以下目标:(1) 保障在现有网络环境下运行可靠, 避免病毒和黑客攻击; (2) 防止内、外部人员的非法访问, 特别是对内部员工的访问控制; (3) 确保在网络平台上交换的数据的安全性; (4) 方便内部授权员工(如:公司领导, 出差员工等) 从互联网上远程方便地、安全地访问内部网络,
实现信息的最大可用性() 能对网络的异常行为进行监控, 并作出回应和阻断, 建立动态防护体系。
为了实现上述目标, 我们采用了如图2:
图2 网络安全方案示意图
图2中采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案。主动防御体系采用上海金诺网安公司的漏洞扫描和入侵检测系统; 被动防御体系采用Firewall +V PN 功能的网关设备实现, 使用上海安达通信息安全技术有限公司的安全网关产品。
4. 1 被动防御体系
在Cisco 交换机与路由器之间, 插入安全网关SGW25C/4。主要起到对外防止黑客入侵, 对内进行访问控制和授权员工从外网安全接入的问题,SGW25C/4在这里主要发挥防火墙和V PN 的双重作用。
・77・
安徽电气工程职业技术学院学报 第九卷 第一期
1) 保障局域网不受来自外网的黑客攻击, 主要担当防火墙功能。
2) 能够根据需要, 为外网向内网访问的用户提供服务, 如:Web,Mail ,DNS 等服务。
3) 为内网向外网访问的用户(Internet ) 提供灵活的访问控制功能。如:可以控制任何一个内部员工能否上网, 能访问哪些网站, 能不能收发e -mail 、ftp 等, 能够在什么时间上网等等。简而言之, 能够基
(源地址, 目的地址, 源端口号, 目的端口号, 协议, 时间) 进行灵活的访问控制。于“六元组”
4) 授权的内部员工当出差在外时, 可以在外地使用拨号服务器, 然后使用“安全网关客户端软件”, 通过加密隧道从外部安全方便地接入企业中心内网。还可以授权内部员工在外网通过V PN 连接, 从安全网关处安全方便地接入企业内网。
P KI 安全网关客户端软件用于解决移动用户对P KI 安全网关的接入问题。客户端软件目前有Win2000和Win XP 下的版本, 结合Wise ID (主要用于“数字证书”和“本地私钥”的安全存储, 密码运算, 真随机数的产生等) , 可以构建“主机-主机”、“主机-P KI 网关”的V PN 隧道, 是移动用户安全接入安全网关保护的企业内网的理想的解决方案。一种USB 接口的电子证书设备, 用于存储移动用户的数字证书或预共享密钥, 以及虚拟专网的拓扑信息。客户端软件不依赖于网络接口, 可以用modem , ISDN ,ADSL ,Ethernet card 等多种方式上网。
4. 2 主动防御体系“入侵检测系统”“、漏洞扫描系统”和统一的“, 尤其是防范从单位内部发起的攻击。
, 可以依靠入侵检测系统阻断, 自动修改策略设置上的漏洞不足, 阻挡攻击的继续进入。
本方案在交换机上插入入侵检测系统(KIDS ) , 并将其与交换机相连的端口设置为镜像端口, 由IDS 传感器对防火墙的内口、关键服务器进行监听, 并进行分析、报警和响应; 在入侵检测的控制台上观察检测结果, 并形成报表, 打印。“漏洞扫描系统”是一种网络维护人员使用的安全分析工具, 主动发现网络系统中的漏洞, 修改安全网关和入侵检测系统中不适当的设置, 防患于未然。
“安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等) , 做到系统安全的最优化。
作为安全防护的两道防线, 防火墙和入侵检测系统这两个产品可以互相配合, 互相弥补各自的不足, 从而可以建立起一个立体的防护体系。
4. 2. 1 入侵检测的主要功能
1) 识别各种黑客入侵的方法和手段
网络入侵检测系统(KIDS ) 从网络中搜集各种网络行为的信息, 然后从中分析各种攻击的特征, 它可以全面快速地识别各种网络攻击, 如扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等, 并做相应的防范。
2) 监控内部人员的误操作、资源滥用和恶意行为
KIDS 记录网络行为的属性、特征、来源和目标, 并在控制台的监控视图上显示实时活动TCP 连接和正在访问的U RL , 任何不符合网络安全策略的网络数据都会被KIDS 探测到并报警。KIDS 可以根据用户需要定义各种需检测的安全事件, 例如对特定目标主机的访问的检测、数据传输中包含的特定内
・78・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
容的检测。这样可以及时发现违反安全规定的误操作、资源滥用和恶意行为。
3) 实时的报警和响应, 帮助用户及时发现并解决安全问题
KIDS 在发现入侵或误用行为之后, 可以根据预先定义的事件响应规则进行实时的报警。它提供多种报警手段, 报警信息可以通过发送文字、电子邮件、手机短消息、寻呼、SNMP Trap 等多种手段进行通知, 并将所有的报警信息记到日志中, 以备核查。
KIDS 还能够针对恶意攻击进行实时响应, 响应的手段有:中断TCP 会话、伪造ICMP 应答、根据黑名单断开、阻塞HTTP 请求、模拟SYN/AC K 和执行用户自定义程序等。
4) 核查系统漏洞及后门
KIDS 带有已知系统漏洞及后门的详细信息, 这些信息包括事件名称、事件描述、发布日期、更新日期、解决方案和影响平台等。通过对网络数据包连接的方式、连接端口以及连接中特定的内容等进行特征分析, 可以有效地发现网络中针对系统漏洞进行的非法行为。而且, KIDS 提供的详细信息可以帮助系统管理员修补系统漏洞。
5) 协助管理员加强网络安全的管理
借助KIDS 系统, 网络管理人员可以随时了解人们正在访问的信息, 感数据时及时觉察。KIDS , 管理能力。KIDS 管理员的安全管理。
4. 2. 2 , 具有强大的系统分析功能:
1) , 对目的网络系统在模拟黑客入侵的情况下对系统的脆弱性进行扫描。扫描的对象可以是基于TCP/IP 协议的网络上的各种服务器或独立的主机, 可以是防火墙或是路由器, 也可以是Web 站点。
2) 准确而全面地报告网络存在的脆弱性和漏洞
评判一个安全检测工具的优劣的一个重要指标是能否准确和详细地报告网络系统当前所存在的脆弱性和漏洞。安全扫描器能依据和采用目前国际上新的安全脆弱性资料库, 能够全面而准确地检测目标系统所存在的安全隐患(但资料库应经常更新) 。
3) 检测并报告扫描目标的相关信息以及对外提供的服务
网络安全扫描器不仅能够详细地扫描目标的系统信息, 如操作系统的版本信息和操作系统类型等, 而且还能够报告当前扫描目标对外提供的信息。这些信息有助于及时准确地了解自己的系统对外提供了哪些服务, 哪些服务存在着潜在的安全风险, 例如版本过低等, 这可及时提醒用户关闭对外提供的不必要的服务, 或者更换对外所显示的服务版本旗标等, 以免为怀有恶意的用户, 如黑客等, 提供过多的有用信息。
4) 为用户提供详细的脆弱性信息和安全建议
衡量安全检测工具好坏的另一个重要指标是, 不仅能够全面快速和准确地发现系统中存在的脆弱性和漏洞, 而更重要的是要给用户提出修补这些脆弱性和漏洞的具体建议和措施, 即为用户方便、迅速和彻底地解决安全脆弱性才是安全检测工具的最终目标。金诺网络安全扫描器具有目前最新、最全面的脆弱性安全数据库, 能够对每个脆弱性都可做出详细的解释, 评估其风险程度, 并且提供详细的解决方法, 可以满足各种层次用户的需要。
・79・
安徽电气工程职业技术学院学报 第九卷 第一期
5) 根据用户需要生成各种分析报告
为了方便用户的使用, 在扫描分析目标网络后可以按照用户的选择, 以HTML 或文本方式输出为用户生成一份完整的安全性分析报告。报告将系统地对目标网络系统的安全性进行详细的描述, 为用户和管理者了解安全状态、调整安全策略、确保网络安全提供决策的依据
。
4. 2. 3 主/被动防御体系相互联动
整个系统的先进性尤其突出体
现在“主被动防御体系的相互联动”
上。对于内网发起的攻击行为, 能够
由入侵检测系统检测出来, 并通知安
全网关对其访问外网的行为进行干预;
对于从外网突破安全网关防御的网络
攻击行为, 可由入侵检测系统检测出
来, 并通知安全网关封锁该入侵行为。
安全网关(被动防御系统) 和入侵检
测系统(主动防御系统) 的联动, 可
由设备管理员控制启动/关闭。 结束语
, PPDR 网络安全模型, , 。很好地将主动防御体系与被动, 形成具有特色的地市级供电企业计算机网络安全的新模式, , 为企业计算机网络安全技术的拓展找到了新的方向; 通过对入侵行为的分析, 为安全防御策略的设计提供客观的评价和调整依据。
通过半年多时间运行证明:该系统能够提供较灵活的访问控制功能, 能够将各种非法访问拒之门外, 有效地保护了关键服务器资源, 如在其他兄弟单位饱受“蠕虫王”病毒侵袭的情况下, 我们通过设置相应阻断策略, 成功阻断该病毒通过网络传入我局内网; 具有日志功能, 通过查看日志, 了解网络报警等各种事件, 及时调整策略; 设立DMZ 和EXT 区, 便于网络安全系数分级管理。
参考文献:
[1]谭思亮. 监听与隐藏-网络侦听揭密与数据保护技术[M ].北京:人民邮电出版社,2002.
[2]陈远初. 信息安全检测鉴别监控技术与系统安全性能评估分析标准实用手册[M ].北京:人民出版3社,2002.
[3]郭士秋. TCP/IP 协议堆栈运用基础传输协议体系[M ].北京:电子工业出版社,2002.
[责任编辑:程 蓓]
・80・
第九卷第一期
Vol. 9, No. 1安徽电气工程职业技术学院学报JOURNAL OF ANHU I EL ECTRICAL EN GIN EERIN G PROFESSIONAL TECHNIQU E COLL EGE 2004年3月March 2004
网络安全的被动防御与主动防御体系应用研究
周业如, 徐擒彪Ξ
(宣城供电局, 安徽 宣城 242000)
[摘 要] 介绍了依据PPDR 网络安全模型建立的一个新型网络信息安全体系实例。阐述了主动防御
系统与被动防御系统在网络安全中的应用。运用了先进的技术支持平台和网络安全模型,
将主动防御体系与被动防御体系有机地结合起来, 构成系统相互联动, 形成具有特色的企业
计算机网络安全的新模式。
[关键词] 网络安全; 主动防御; 被动防御; 入侵检测; 漏洞扫描; 安全网关
[中图分类号] TP393. 08 [文献标识码] A [文章编号]1009-1238(2004) 01-0074-07Application and R esearch of N etwork Security Passive and Active System
ZHOU Ye -ru ,XU -(Xucheng Power Supply Bureau , [Abstract] Introduces an information security system which is based on
model , and explains the application of the active defense
passive defense system in network security. The new technical supporting
system and the network security model make a good linkage to join the active defense system
and the passive defense system together , which structures a well working interactive system.
Hence a new model of company network security system , which has more features , is
created.
[K ey w ords] network security ; active defense ; passive defense ; invasion inspecting ; leak scanning ;
network security gateway
1 问题的重要性
基于计算机网络的信息系统已成为电力企业经营、生产、行政管理的重要支柱。企业上网及互联直接提高了办公效率和工作透明度, 改善和拓宽了办公渠道和对外服务方式, 同时也大大增加了自身的安全风险。据国家信息安全管理办公室的统计, 在2001年“五一”期间的中美黑客大战中, 中国共有147个站点被黑, 被黑比例远高于美国;2002年某网络安全组织对国内政府、企业站点进行了一次安全扫描, 证明80%以上的政府、企业站点存在安全漏洞或根本不设防! 据统计, 当今世界上, 已经有超过50000种计算机病毒, 并且每天仍有300-400种新病毒出现, 平均每20s 就发生一起入侵Internet 网上计算机事件。据报道, 美国每年因信息和网络安全问题所造成的损失就超过100亿美元。各国政府不惜耗巨资加紧开发和使用保护电脑和网络安全的新技术、新产品。
Ξ收稿日期:2003-08-01
作者简介:周业如, 宣城供电局信息中心主任, 高级工程师。
徐擒彪, 宣城供电局信息中心网络管理员。
・74・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
电力企业信息网络运载着大量的客户档案数据、电网运行数据、资金流、物流等数据, 一旦数据丢失、被篡改, 必将造成难以估计的损失。因此, 安全问题是当前企业网络和信息化建设必须解决的基本问题, 信息系统及网络系统的安全工作已是企业安全工作重要研究内容之一。
2 网络信息系统的安全隐患分析
信息系统安全隐患具有本身的脆弱性和外来攻击两个方面.
1) 信息系统自身脆弱性含有以下方面
(1) 信息系统处理环节上的不安全因素。这包括数据输入, 容易输入假数据或篡改数据; 数据处理, 受到电磁干扰或信息泄漏; 数据传输, 通讯线路信息被截获; 软件、程序容易被修改; 数据输出, 信息容易被泄漏; 存取控制, 功能不完善容易被越权使用。
(2) 系统自身存在可侵入性。操作系统漏洞、操作系统留有的后门、数据库系统漏洞; 网络系统的开放性、松散性。
2) 信息系统遭受的攻击有以下方面
(1) 信息破坏。滥用特权、不合法使用、非法复制和篡改。
(2) 信息攻击。来自外部和内部的攻击行为。
A. 网际层上存在的安全隐患包括以下几种:
伪造IP 地址。。于是, 就出现将自己的计算机故意设置成其他设备的IP 地址, 从而使自己的计算机伪造成他人的计算机。
伪造(假冒) , 利用了IP 地址, 但在数据链路层之地址指定发送端与接收端地址,ARP (address resolution protocol ) 就是这种IP 地址和MAC 。如果所对应的地址是不正确的, 那么本来应该传送到接受端的IP 地址数据包或者不能到达目的地, 或者发送到错误的接受端计算机上。像这样利用地址不完全对应的设置, 会出现篡夺应用软件的会话以及妨碍通信的事情。
伪造(假冒) 路径控制信息。TCP/IP 协议环境下可能存在恶意使用路径控制信息的攻击方法, 通过伪造的路径信息传送给所要攻击的计算机, 使应该被传送到合法接受端主机的数据被传送到第三者主机上。
恶意使用(假冒) 原路由。利用IP 数据包的原路由功能伪造进攻, 可以隐藏真正的发送端发送数据包。
利用IP/ICMP 数据包的DoS 进攻(非授权使用) 。发送超过最大长度(65536字节) 的ICMP (Inter 2net control message protocol :Internet 控制报文协议) 数据包。一旦接受到这样的ICMP 数据包, 将使几个特定操作系统中实现的TCP/IP 模块崩溃。
B. 传输层上存在的安全隐患包括以下几种:
预测(假冒) TCP 初始序号。在TCP 通信中, 利用被称为三次握手步骤建立TCP 连接。此时, 对于通过IP 地址的程序, 如果可推测出初始序号, 那么, 只要伪造发送端IP 地址, 就可以建立TCP 连接。建立连接后可通过传送能增加对方设备负载的数据, 或者传送妨碍网络应答性的数据, 使对方正常的计算机陷入拒绝访问(DoS :Denial of Service ) 的状态。
利用TCP/UDP 数据包的DoS 的攻击(非授权使用) 。这是利用建立TCP 的连接的TCP SYN (synchronize flag 表示建立连接的要求) 数据包进行攻击, 通过大量的、已处于连接状态的TCP 连接, 使TCP/IP 模块陷入崩溃状态的操作。
・75・
安徽电气工程职业技术学院学报 第九卷 第一期
C. 应用层在安全方面存在以下隐患
扫描/搜索(非授权使用) 。对于信息系统的非法入侵, 是从收集作为攻击目标的计算机以及用户的相关信息开始的。扫描用户计算机后, 通过窃听用户的通信数据和数据包、搜寻认证信息以及猜测用户密码等方法, 使自己能够冒充对计算机信息和资源拥有读取与写入、以及控制权利的人员, 再访问该计算机。
DNS (domain name service :域名服务) 欺骗(假冒) 。DNS 欺骗是一种从外部改写由DNS 服务器管理的主机名与IP 地址对应表的攻击方式。
窃听用户认证信息(窃听) 。这种窃听行为大多是在非法侵入计算机后安装窃听程序, 以非法手段获取该计算机所连接的网络传输信息。特别是以普通报文形式传输数据的TELN ET 、F TP 、POP 以及HTTP 等作为窃听对象, 来盗用密码等用户认证信息。
攻击程序缺陷(非法授权使用) 。利用许多服务器软件中堆栈(预先准备的数据缓冲区) 溢出缺陷问题, 引起程序错误操作。
代理服务器的非法使用(非授权使用) 。所谓代理服务器的非法使用未公开的、未实施访问控制的代理服务器作为Web 接入平台使用, 达到隐藏访问源端, 运行。
利用电子邮件进行的DoS 攻击(非授权使用) 。:发送大量的电子邮件, 耗尽硬盘空间的电子邮件炸弹, 延迟等。
病毒。:; 利用用户作为中介() 。但从1998年以来出现了非法访问功能的病毒, 如“特洛伊(Troy ) 木马”病毒“、蠕虫) ”病毒。这些病毒具有以下功能:(1) 将获得的信息发往特定的网站; (2) 将计算机的配置改写为无防范状态; (3) 通过网络侵入计算机, 假装成非常有用的正常程序搜集信息从事非法活动; (4) 使“非法访问”与“病毒”的界限变得非常模糊。
3 网络安全模型
以上对信息系统的安全隐患包含潜在的危险以及可能发生的进攻进行了举例和分析“知己知彼, , 百战不殆”。我们应将诸多的安全问题进行分类, 制定其对策, 有些问题应依靠安全规章的制定在管理层面上加以防范, 有些问题必须靠技术手段设防。
以往单一设置软、硬件防火墙是被动防御技术措施, 在网络边界保卫内网, 近年来频繁的来自内、外网络攻击事件使人们认识到被动防御是不够的。
PPDR 模型是商业策略模型PDR 在网络安全模型上的运用,PPDR 的
含义是策略(Policy ) 、防护(Protection ) 、检测(Detection ) 、响应(Response ) ,
它们的关系如图1所示。
PPDR 是一个螺旋上升的过程, 经过一个循环以后防护水平应得到提
高。
策略, 是模型的核心, 它是网络安全需达到的目标, 也是各种措施的集
合, 在实现安全目标时必然要牺牲一定系统资源和网络运行性能, 所以策略
的制定要权衡利弊。图1 PPDR 模型
防护, 是安全的第一步, 具体包括:(1) 安全规章制定, 在安全策略的基础上制定安全细则; (2) 系统的安全配置, 配置好具体网络环境下参数、安装必要的程序补丁软件、仔细配置各类安全参数, 以达到安
・76・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
全策略规定的要求。(3) 采用安全措施, 安装防火墙、安装V PN 等软硬件装置。这种防护现在称为被动防御, 它不可能发现和查找到安全漏洞或系统异常情况并加以阻止。
检测, 是主动防御行为, 网络的状态是动态变化的, 各种软件系统的漏洞经常出现“漏洞扫描”, 与“入侵检测”系统能及时发现和记载系统的异常情况和安全漏洞, 发现新的进攻模式。
响应, 在发现了攻击企图或攻击之后, 需要系统及时地反应, 这应有报告记录以便管理人员分析入侵细节, 以及系统的反应情况; 自动进行相应处理以阻止进一步的攻击; 自动清除入侵造成的影响, 使系统恢复正常运行。
遵循PPDR 模型的信息网络安全体系, 采用主动防御与被动防御相结合的方式, 是目前较科学的防御体系。
4 技术方案
基于原有的网络基础设施, 考虑到目前网上运行的业务需求, 网络安全建设主要实现以下目标:(1) 保障在现有网络环境下运行可靠, 避免病毒和黑客攻击; (2) 防止内、外部人员的非法访问, 特别是对内部员工的访问控制; (3) 确保在网络平台上交换的数据的安全性; (4) 方便内部授权员工(如:公司领导, 出差员工等) 从互联网上远程方便地、安全地访问内部网络,
实现信息的最大可用性() 能对网络的异常行为进行监控, 并作出回应和阻断, 建立动态防护体系。
为了实现上述目标, 我们采用了如图2:
图2 网络安全方案示意图
图2中采用了主动防御体系和被动防御体系相结合的全面网络安全解决方案。主动防御体系采用上海金诺网安公司的漏洞扫描和入侵检测系统; 被动防御体系采用Firewall +V PN 功能的网关设备实现, 使用上海安达通信息安全技术有限公司的安全网关产品。
4. 1 被动防御体系
在Cisco 交换机与路由器之间, 插入安全网关SGW25C/4。主要起到对外防止黑客入侵, 对内进行访问控制和授权员工从外网安全接入的问题,SGW25C/4在这里主要发挥防火墙和V PN 的双重作用。
・77・
安徽电气工程职业技术学院学报 第九卷 第一期
1) 保障局域网不受来自外网的黑客攻击, 主要担当防火墙功能。
2) 能够根据需要, 为外网向内网访问的用户提供服务, 如:Web,Mail ,DNS 等服务。
3) 为内网向外网访问的用户(Internet ) 提供灵活的访问控制功能。如:可以控制任何一个内部员工能否上网, 能访问哪些网站, 能不能收发e -mail 、ftp 等, 能够在什么时间上网等等。简而言之, 能够基
(源地址, 目的地址, 源端口号, 目的端口号, 协议, 时间) 进行灵活的访问控制。于“六元组”
4) 授权的内部员工当出差在外时, 可以在外地使用拨号服务器, 然后使用“安全网关客户端软件”, 通过加密隧道从外部安全方便地接入企业中心内网。还可以授权内部员工在外网通过V PN 连接, 从安全网关处安全方便地接入企业内网。
P KI 安全网关客户端软件用于解决移动用户对P KI 安全网关的接入问题。客户端软件目前有Win2000和Win XP 下的版本, 结合Wise ID (主要用于“数字证书”和“本地私钥”的安全存储, 密码运算, 真随机数的产生等) , 可以构建“主机-主机”、“主机-P KI 网关”的V PN 隧道, 是移动用户安全接入安全网关保护的企业内网的理想的解决方案。一种USB 接口的电子证书设备, 用于存储移动用户的数字证书或预共享密钥, 以及虚拟专网的拓扑信息。客户端软件不依赖于网络接口, 可以用modem , ISDN ,ADSL ,Ethernet card 等多种方式上网。
4. 2 主动防御体系“入侵检测系统”“、漏洞扫描系统”和统一的“, 尤其是防范从单位内部发起的攻击。
, 可以依靠入侵检测系统阻断, 自动修改策略设置上的漏洞不足, 阻挡攻击的继续进入。
本方案在交换机上插入入侵检测系统(KIDS ) , 并将其与交换机相连的端口设置为镜像端口, 由IDS 传感器对防火墙的内口、关键服务器进行监听, 并进行分析、报警和响应; 在入侵检测的控制台上观察检测结果, 并形成报表, 打印。“漏洞扫描系统”是一种网络维护人员使用的安全分析工具, 主动发现网络系统中的漏洞, 修改安全网关和入侵检测系统中不适当的设置, 防患于未然。
“安全策略管理”统一管理全网的安全策略(包括:安全网关、入侵检测系统和防病毒等) , 做到系统安全的最优化。
作为安全防护的两道防线, 防火墙和入侵检测系统这两个产品可以互相配合, 互相弥补各自的不足, 从而可以建立起一个立体的防护体系。
4. 2. 1 入侵检测的主要功能
1) 识别各种黑客入侵的方法和手段
网络入侵检测系统(KIDS ) 从网络中搜集各种网络行为的信息, 然后从中分析各种攻击的特征, 它可以全面快速地识别各种网络攻击, 如扫描、嗅探、后门、病毒、恶意代码、拒绝服务、分布式拒绝服务、可疑行为、非授权访问、主机异常和欺骗等, 并做相应的防范。
2) 监控内部人员的误操作、资源滥用和恶意行为
KIDS 记录网络行为的属性、特征、来源和目标, 并在控制台的监控视图上显示实时活动TCP 连接和正在访问的U RL , 任何不符合网络安全策略的网络数据都会被KIDS 探测到并报警。KIDS 可以根据用户需要定义各种需检测的安全事件, 例如对特定目标主机的访问的检测、数据传输中包含的特定内
・78・
周业如, 徐擒彪:网络安全的被动防御与主动防御体系应用研究
容的检测。这样可以及时发现违反安全规定的误操作、资源滥用和恶意行为。
3) 实时的报警和响应, 帮助用户及时发现并解决安全问题
KIDS 在发现入侵或误用行为之后, 可以根据预先定义的事件响应规则进行实时的报警。它提供多种报警手段, 报警信息可以通过发送文字、电子邮件、手机短消息、寻呼、SNMP Trap 等多种手段进行通知, 并将所有的报警信息记到日志中, 以备核查。
KIDS 还能够针对恶意攻击进行实时响应, 响应的手段有:中断TCP 会话、伪造ICMP 应答、根据黑名单断开、阻塞HTTP 请求、模拟SYN/AC K 和执行用户自定义程序等。
4) 核查系统漏洞及后门
KIDS 带有已知系统漏洞及后门的详细信息, 这些信息包括事件名称、事件描述、发布日期、更新日期、解决方案和影响平台等。通过对网络数据包连接的方式、连接端口以及连接中特定的内容等进行特征分析, 可以有效地发现网络中针对系统漏洞进行的非法行为。而且, KIDS 提供的详细信息可以帮助系统管理员修补系统漏洞。
5) 协助管理员加强网络安全的管理
借助KIDS 系统, 网络管理人员可以随时了解人们正在访问的信息, 感数据时及时觉察。KIDS , 管理能力。KIDS 管理员的安全管理。
4. 2. 2 , 具有强大的系统分析功能:
1) , 对目的网络系统在模拟黑客入侵的情况下对系统的脆弱性进行扫描。扫描的对象可以是基于TCP/IP 协议的网络上的各种服务器或独立的主机, 可以是防火墙或是路由器, 也可以是Web 站点。
2) 准确而全面地报告网络存在的脆弱性和漏洞
评判一个安全检测工具的优劣的一个重要指标是能否准确和详细地报告网络系统当前所存在的脆弱性和漏洞。安全扫描器能依据和采用目前国际上新的安全脆弱性资料库, 能够全面而准确地检测目标系统所存在的安全隐患(但资料库应经常更新) 。
3) 检测并报告扫描目标的相关信息以及对外提供的服务
网络安全扫描器不仅能够详细地扫描目标的系统信息, 如操作系统的版本信息和操作系统类型等, 而且还能够报告当前扫描目标对外提供的信息。这些信息有助于及时准确地了解自己的系统对外提供了哪些服务, 哪些服务存在着潜在的安全风险, 例如版本过低等, 这可及时提醒用户关闭对外提供的不必要的服务, 或者更换对外所显示的服务版本旗标等, 以免为怀有恶意的用户, 如黑客等, 提供过多的有用信息。
4) 为用户提供详细的脆弱性信息和安全建议
衡量安全检测工具好坏的另一个重要指标是, 不仅能够全面快速和准确地发现系统中存在的脆弱性和漏洞, 而更重要的是要给用户提出修补这些脆弱性和漏洞的具体建议和措施, 即为用户方便、迅速和彻底地解决安全脆弱性才是安全检测工具的最终目标。金诺网络安全扫描器具有目前最新、最全面的脆弱性安全数据库, 能够对每个脆弱性都可做出详细的解释, 评估其风险程度, 并且提供详细的解决方法, 可以满足各种层次用户的需要。
・79・
安徽电气工程职业技术学院学报 第九卷 第一期
5) 根据用户需要生成各种分析报告
为了方便用户的使用, 在扫描分析目标网络后可以按照用户的选择, 以HTML 或文本方式输出为用户生成一份完整的安全性分析报告。报告将系统地对目标网络系统的安全性进行详细的描述, 为用户和管理者了解安全状态、调整安全策略、确保网络安全提供决策的依据
。
4. 2. 3 主/被动防御体系相互联动
整个系统的先进性尤其突出体
现在“主被动防御体系的相互联动”
上。对于内网发起的攻击行为, 能够
由入侵检测系统检测出来, 并通知安
全网关对其访问外网的行为进行干预;
对于从外网突破安全网关防御的网络
攻击行为, 可由入侵检测系统检测出
来, 并通知安全网关封锁该入侵行为。
安全网关(被动防御系统) 和入侵检
测系统(主动防御系统) 的联动, 可
由设备管理员控制启动/关闭。 结束语
, PPDR 网络安全模型, , 。很好地将主动防御体系与被动, 形成具有特色的地市级供电企业计算机网络安全的新模式, , 为企业计算机网络安全技术的拓展找到了新的方向; 通过对入侵行为的分析, 为安全防御策略的设计提供客观的评价和调整依据。
通过半年多时间运行证明:该系统能够提供较灵活的访问控制功能, 能够将各种非法访问拒之门外, 有效地保护了关键服务器资源, 如在其他兄弟单位饱受“蠕虫王”病毒侵袭的情况下, 我们通过设置相应阻断策略, 成功阻断该病毒通过网络传入我局内网; 具有日志功能, 通过查看日志, 了解网络报警等各种事件, 及时调整策略; 设立DMZ 和EXT 区, 便于网络安全系数分级管理。
参考文献:
[1]谭思亮. 监听与隐藏-网络侦听揭密与数据保护技术[M ].北京:人民邮电出版社,2002.
[2]陈远初. 信息安全检测鉴别监控技术与系统安全性能评估分析标准实用手册[M ].北京:人民出版3社,2002.
[3]郭士秋. TCP/IP 协议堆栈运用基础传输协议体系[M ].北京:电子工业出版社,2002.
[责任编辑:程 蓓]
・80・