新書推薦:
《
Python贝叶斯深度学习
》
售價:HK$
89.4
《
启微·狂骉年代:西洋赛马在中国
》
售價:HK$
78.4
《
有趣的中国古建筑
》
售價:HK$
67.0
《
十一年夏至
》
售價:HK$
76.2
《
如何打造成功的商业赛事
》
售價:HK$
89.5
《
万千教育学前·透视学前儿童的发展:解析幼儿教师常问的那些问题
》
售價:HK$
58.2
《
慈悲与玫瑰
》
售價:HK$
87.4
《
启蒙的辩证:哲学的片简(法兰克福学派哲学经典,批判理论重要文本)
》
售價:HK$
76.2
|
編輯推薦: |
《信息安全水平初级教程》由中国信息安全测评中心指导,由网安世纪科技有限公司审定,旨在提升全民信息安全素养,构筑国家网络安全钢铁长城。本书汇聚国内信息安全行业专家,紧扣NISP一级考试大纲,总结十多年的信息安全职业培训经验,结合各行业对工作人员信息安全意识、知识和技能的要求,从信息安全基础知识、网络安全基础技术、网络与网络安全设备、计算机终端安全、互联网应用与隐私保护、网络攻击与防护6个方面对信息安全相关知识进行介绍,全面覆盖网络安全人员的岗位知识和技能,帮助读者在日常工作中形成良好的信息安全意识,避免由于缺乏对信息安全的了解而产生的安全问题。
|
內容簡介: |
在信息系统安全保障工作中,人是核心、活跃的因素,人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的基本要素之一。《信息安全水平初级教程》总结了十多年的信息安全职业培训经验,结合各行业对工作人员信息安全意识、知识和技能的要求,从信息安全基础知识、网络安全基础技术、网络与网络安全设备、计算机终端安全、互联网应用与隐私保护、网络攻击与防护6个方面对信息安全相关知识进行介绍,基本覆盖了日常工作中需要了解的信息安全知识,帮助读者在日常工作中形成良好的信息安全意识,避免由于缺乏对信息安全的了解而产生的安全问题。
|
關於作者: |
温哲,男,45岁,长期从事国家信息安全相关工作,有多年网络安全保障领域工作经验,注册信息安全专业人员(CISP)培训教材作者之一,为推动我国信息安全人才培养工作深入开展做出较大贡献。参与《注册信息安全专业人员培训教材》等图书的编写。
张晓菲,女,47岁,长期从事信息安全人才培养工作,是注册信息安全专业人员(CISP)培训教材作者之一。参与多项国家信息安全标准编写及项目研发工作。参与《信息安全保障导论》《信息安全技术》等图书的编写。
谢斌华,男,58岁,网安世纪科技有限公司董事长,2000年开始从事信息技术培训,曾任北京师范大学培训考试基地主任、教育部考试中心全国信息技术高级人才水平考试管理中心主任。具备丰富的信息技术培训项目管理经验,参与了国家信息安全水平考试NISP品牌建立工作,后任中国信息安全测评中心NISP运营中心主任,负责国家信息安全水平考试(NISP)运营管理工作,曾参与主持NISP知识体系规划,为社会培养了大量信息安全专业人才。
冷清桂,男,59岁,网安世纪科技有限公司总裁,高级会计师,主编《网络生活新时尚》《黑客来了》,参与《中外合资企业会计》编写。
康楠,女,40岁,长期从事信息安全人才培养工作,负责国家信息安全水平考试(NISP)管理、培训知识体系研究等相关工作。
|
目錄:
|
第1章 信息安全基础知识 1
1.1 信息安全与网络空间安全 1
1.1.1 信息与信息安全 1
1.1.2 信息安全属性 3
1.1.3 信息安全发展阶段 4
1.1.4 网络空间安全 8
1.2 网络安全法律法规 9
1.2.1 我国立法体系 10
1.2.2 《网络安全法》 11
1.2.3 《网络安全法》配套法律法规 15
1.2.4 其他网络安全相关法律及条款 18
1.3 网络空间安全政策与标准 21
1.3.1 国家网络空间安全战略 21
1.3.2 信息安全标准 23
1.3.3 我国信息安全标准体系 27
1.3.4 网络安全等级保护政策与标准 28
1.3.5 道德约束与职业道德准则 31
1.4 信息安全管理 33
1.4.1 信息安全管理基础 33
1.4.2 信息安全管理体系建设 36
1.4.3 信息安全管理体系建设过程 40
1.4.4 信息安全管理实用规则 43
第2章 网络安全基础技术 46
2.1 密码学基础 46
2.1.1 密码学基本概念 46
2.1.2 对称密码算法 49
2.1.3 非对称密码算法 50
2.1.4 哈希函数与数字签名 50
2.1.5 公钥基础设施 52
2.2 身份鉴别与访问控制 53
2.2.1 身份鉴别的概念 53
2.2.2 基于实体所知的鉴别 55
2.2.3 基于实体所有的鉴别 58
2.2.4 基于实体特征的鉴别 59
2.2.5 访问控制基本概念 61
2.2.6 访问控制模型 63
2.3 网络安全协议 65
2.3.1 OSI七层模型 65
2.3.2 TCP/IP体系架构及安全风险 67
2.3.3 TCP/IP安全架构与安全协议 69
2.4 新技术领域安全 70
2.4.1 云计算安全 70
2.4.2 大数据安全 72
2.4.3 移动互联网安全 74
2.4.4 物联网安全 75
2.4.5 工业互联网安全 77
第3章 网络与网络安全设备 80
3.1 计算机网络与网络设备 80
3.1.1 计算机网络基础 80
3.1.2 网络互连设备 83
3.1.3 网络传输介质 85
3.2 防火墙 87
3.2.1 防火墙的概念 87
3.2.2 防火墙的典型技术 87
3.2.3 防火墙企业部署 90
3.3.4 防火墙的局限性 92
3.3 边界安全防护设备 93
3.3.1 入侵防御系统 93
3.3.2 网闸 93
3.3.3 上网行为管理产品 94
3.3.4 防病毒网关 95
3.3.5 统一威胁管理系统 96
3.4 网络安全管理设备 97
3.4.1 入侵检测系统 97
3.4.2 网络安全审计系统 99
3.4.3 漏洞扫描系统 100
3.4.4 虚拟专用网络 100
3.4.5 堡垒主机 101
3.4.6 安全管理平台 101
第4章 计算机终端安全 103
4.1 Windows终端安全 103
4.1.1 安全安装 103
4.1.2 保护账户安全 104
4.1.3 本地安全策略设置 104
4.1.4 安全中心 107
4.1.5 系统服务安全 109
4.1.6 其他安全设置 110
4.1.7 获取安全软件 111
4.2 Windows终端数据安全 111
4.2.1 系统备份与还原 111
4.2.2 数据备份 112
4.2.3 数据粉碎 113
4.2.4 数据加密 113
4.3 移动智能终端安全 115
4.3.1 移动智能终端的重要性 115
4.3.2 移动智能终端的安全威胁及应对 116
4.3.3 移动智能终端的安全使用 122
第5章 互联网应用与隐私保护 124
5.1 Web浏览安全 124
5.1.1 Web应用基础 124
5.1.2 浏览器的安全威胁 125
5.1.3 Web浏览安全意识 126
5.1.4 浏览器的安全使用 129
5.2 互联网通信安全 131
5.2.1 电子邮件安全 131
5.2.2 即时通信应用安全 133
5.3 个人隐私和组织机构敏感信息保护 135
5.3.1 数据泄露与隐私保护 135
5.3.2 信息的泄露途径 135
5.3.3 个人隐私信息保护 137
5.3.4 组织机构敏感信息保护 138
第6章 网络攻击与防护 139
6.1 安全漏洞与网络攻击 139
6.1.1 安全漏洞 139
6.1.2 网络攻击 141
6.2 口令破解 148
6.2.1 口令安全问题 148
6.2.2 口令破解攻击 150
6.2.3 口令破解防御 153
6.2.4 口令安全使用及管理 155
6.3 社会工程学攻击 156
6.3.1 社会工程学攻击的概念 156
6.3.2 社会工程学利用的人性“弱点” 157
6.3.3 社会工程学攻击方式及案例 158
6.3.4 社会工程学攻击防范 160
6.4 恶意代码 161
6.4.1 恶意代码的概念 161
6.4.2 恶意代码的发展历程 162
6.4.3 恶意代码的传播方式 164
6.4.4 恶意代码防护 165
参考资料 168
英文缩略语 169
|
內容試閱:
|
网络空间概念的诞生,使得互联网自由、开放的概念被颠覆,网络空间成为继陆地、海洋、天空、太空之后的“第五空间”。互联网与现实世界的紧密结合,业务对信息系统的高度依赖,使得网络空间安全问题影响着每一个人、每一个企业。没有了信息系统,人们的生活会受到极大的影响,交通、电力等各种基础设施会因此停止运转或极大降低效率,移动互联网、电子支付等都无法提供服务……这些都可能对现实社会造成致命的伤害。2021年5月,美国的燃油管道运营商科洛尼尔管道运输公司疑似受到勒索软件攻击影响,被迫暂停输送业务,对美国东海岸燃油供应造成了严重影响,导致美国政府宣布国家进入紧急状态。这个真实的案例说明,网络空间安全问题已经与每个人息息相关,任何人都无法置身其外。
网络空间安全保障中依靠的核心要素是人,习近平总书记在2016年4月19日召开的网络安全和信息化工作座谈会中明确提出:“网络空间的竞争,归根结底是人才竞争。”“网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”人员的信息安全意识缺乏是很多信息安全问题发生的根源,只有提高人员的信息安全意识,才能真正提高信息安全保障水平。我们每一个人既是网络空间的用户,也是维护网络空间安全的参与者,只有每一个人都掌握了一定的网络安全知识和技能,具备良好的信息安全意识,才能真正构筑起网络空间安全的钢铁长城。
《中华人民共和国网络安全法》第十九条规定:“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。”自该法实施以来,国家在信息安全人才培养方面加大了投入,培养各类信息安全专业人才,并且每年举办网络安全周等主题活动,进行信息安全意识宣贯。
为了落实书记讲话的指示精神和《中华人民共和国网络安全法》的相关要求,网安世纪科技有限公司在十多年信息安全职业教育经验基础上,按照国家信息安全水平考试(NISP)一级考试大纲要求,组织国内著名信息安全专家和讲师编写了本书,作为NISP(一级)培训教材。本书包括信息安全基础知识、网络安全基础技术、网络与网络安全设备、计算机终端安全、互联网应用与隐私保护、网络攻击与防护6个章节,基本覆盖了作为网络空间安全一员在日常信息系统使用中所需要掌握的知识,帮助读者在日常工作中形成良好的信息安全意识,避免由于缺乏对信息安全的了解而产生的安全问题。
本书在编写的过程中得到了许多专家、讲师的支持,特此感谢。感谢各位老师为本书的编写及审定而付出的努力。
由于水平有限,书中难免存在疏漏或不妥之处,恳请广大读者批评指正。
网络与网络安全设备
阅读提示
本章主要介绍计算机网络的基本概念,并侧重介绍了防火墙、网闸等边界安全防护设备,入侵检测、网络安全审计、网络安全管理平台等各种不同类型的网络安全产品。通过学习,读者可了解保护网络安全的不同网络安全设备的作用和应用场景。
3.1 计算机网络与网络设备
3.1.1 计算机网络基础
计算机网络的发展
计算机网络是指将地理位置不同的、具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统、网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
世界上台计算机—电子数字积分计算机(ENIAC)于1946年2月14日在宾夕法尼亚大学诞生,主要被美国国防部用于弹道计算。ENIAC占地约170m2,使用了18 000个电子管,重达30t,耗电功率约150kw,每秒可进行5000次加法运算。ENIAC的计算性能与现在的计算机相比微不足道,并且体积庞大、功耗高、易发热,但在当时却具有划时代的意义,因为它奠定了计算机的发展基础,标志着电子计算机时代的到来。ENIAC的照片如图3-1所示。
图3-1 ENIAC照片
ENIAC的诞生开启了计算机时代,但是早期的计算机由于体积庞大、价格昂贵,只能被少数大学或实验室拥有,并且一个时间段只允许一个用户进入机房中使用,这使得计算机的应用难以推广。为了解决应用上存在的问题,技术人员设计将多个计算机终端通过通信线路与计算机进行连接,并且允许多个用户从远程终端操作计算机,计算机网络由此诞生。早期计算机网络的典型应用是由一台计算机和全美范围内2000多个终端组成的飞机订票系统,当时人们把计算机网络定义为“以传输信息为目的而连接起来,实现远程信息处理或进一步达到资源共享的系统”。
出于军事研究的目的,美国国防部高级研究计划局开发出了世界上个封包交换网络阿帕网(ARPANET),发展到1975年,ARPANET中接入的主机已经超过100台,具备了初步的网络规模。后来ARPANET被分为两部分,其中民用的部分移交给美国国防部通信局管理,从而形成了初的互联网。1980年,适用于不同类型网络环境的TCP/IP被研发出来,基于TCP/IP的不同类型计算机可以方便地进行信息交换。1982年,ARPANET开始采用TCP/IP。1984年,国际标准化组织制定了开放系统互连模型(OSI)标准。OSI模型把网络通信工作分为七层,定义了不同类型的计算机之间的网络互连方式,世界上出现了具有统一标准的网络体系结构,遵循国际标准化协议的计算机网络得以迅猛发展,互联网由此诞生。
计算机网络发展到今天,已经向综合化、多样化、高速化发展,越来越多的设备被接入,互联网与现实社会融合得越来越紧密,并发展形成了网络空间。
计算机网络的分类
1)广域网、城域网与局域网
计算机网络根据覆盖范围分为广域网(WAN)、城域网(MAN)和局域网(LAN)。广域网的作用范围通常为几十到几千千米,是互联网的核心部分,其任务是长距离(如跨越不同国家)传输主机所发送的数据,因此有时广域网也被称为远程网(LHN)。连接广域网各节点交换机的链路一般都是高速链路,具有较大的通信容量。城域网的作用范围一般是一座城市,可跨越几个街区甚至整座城市,其作用距离一般为几千米到几万米。城域网一般被一个或几个单位所拥有,但也可以是一种公用设施,用来将多个局域网进行互联。目前,很多城域网采用以太网技术,因此城域网也常被并入局域网的范围进行研究。局域网是将微型计算机或工作站通过通信线路连接,作用距离比较小,一般在10千米内,目前局域网已被广泛使用,学校、医院、企业等大型社会组织可能拥有多个互联的局域网,有时这样的网络也被称为校园网、专网、企业网等。
2)公众网与专用网
计算机网络按照用户类型可分为公众网和专用网。公众网是指由网络服务提供商建设,供公共用户使用的通信网络。公众网的通信线路是共享给公共用户使用的。专用网是某个组织为满足本组织内部的特殊业务需要而建立的网络,这种网络不向本组织以外的人提供服务,如政务专网、军网、电力专网、银行内网等。
计算机网络拓扑
计算机网络的结构称为网络拓扑结构,是计算机或设备通过传输介质连接的物理模式。每一个计算机网络都由节点和链路构成。节点也称为网络单元,计算机网络中的节点分为两类:一类是转换和交换信息的转接节点,如交换机、集线器、路由器等;另一类是访问节点,包括计算机终端、移动终端、服务器等。链路是指两个节点间的连线,通常是连接不同节点的传输介质。常见的计算机网络拓扑结构有总线型拓扑、星型拓扑、环型拓扑、树型拓扑、网状拓扑和混合型拓扑。其中,星型拓扑是多个访问节点通过通信链路连接到一个中央节点进行相互通信组成的结构,中央节点根据集中的通信控制策略对不同访问节点的访问进行管理和控制。星型拓扑结构简单,连接方便,管理和维护都较为容易,并且扩展性强,是目前应用广泛的网络结构,如图3-2所示。
图3-2 星型拓扑结构
星型拓扑网络的主要问题在于对中央节点可用性和可靠性要求较高,因为通信都经过中央节点,一旦中央节点发生故障,整个网络就会瘫痪,因此在高要求的网络中,通常会对中央节点采取备用系统的措施。
无线局域网
无线局域网(WLAN)是无线通信技术与网络技术相结合的产物,是通过无线信道来实现网络设备之间的通信,是目前应用为广泛的一种短程无线传输技术。无线局域网目前广泛使用的协议是IEEE 802.11x标准族。无线局域网包括以下基本概念。
无线接入点(AP):用于将无线工作站与无线局域网进行有效连接。服务集标识(SSID):用于标识无线网络,可以将一个无线局域网分为几个需要不同身份验证的子网络;每个子网络都可以设置独立的身份认证和不同的安全策略,只有通过身份认证的用户才可以接入相应的子网络,获得相应的访问权限。信道:以无线信号作为传输媒体的数据信号传送通道。在无线网络中,通常使用的信道为13个。设备应尽量使用不同的信道,以避免信号之间的干扰。
由于使用上的灵活和便利,无线局域网的应用日渐普及,很多城市已经将无线局域网建设作为智慧城市建设的重要组成部分。应用越广泛也意味着面临越来越多的安全问题。如何有效地保护无线局域网,为用户提供良好的服务是信息安全工作者无法逃避的挑战。针对无线局域网的安全特点,应从管理、技术方面采取措施,保障无线局域网使用的安全。
(1)将无线局域网安全管理纳入组织机构总体安全策略中。
结合组织机构业务需求对无线局域网的应用进行评估,制定使用和管理策略。限制无线局域网的使用范围,如仅用于互联网资料查询和日常办公应用。明确定义并限制无线局域网的使用范围,尽量不在无线网络中传输和处理机密与敏感数据。
(2)应用安全技术保护无线局域网安全。
为访客设立独立的接入网段,并在无线局域网与业务网之间部署隔离设备。对无线局域网接入使用安全可靠的认证和加密技术,如果有必要,可以使用其他增强认证机制。部署入侵检测系统以发现可能的攻击并定期对无线局域网的安全性进行审查。 3.1.2 网络互连设备
为了实现设备之间的相互通信和资源共享,不仅需要从物理上将网络连接起来,还需要解决两个网络之间相互访问和通信协议方面的差异、处理速率与带宽的差别等问题,这些用于连接设备、网络及进行相互协商、转换的部件就是网络互连设备。
网卡
网卡是网络接口卡(NIC)的简称,它是计算机或其他网络设备所附带的适配器,用于与其他计算机或网络设备进行通信。每一种类型的网络接口卡都是分别针对特定类型的网络设计的,如以太网、令牌网或者无线局域网等。每个网络适配器都有一个独一无二的48位串行号,被写在卡上的一块ROM(只读内存)中,称为物理地址或MAC地址。MAC地址是全球的,由电气与电子工程师协会(IEEE)负责为网卡生产商进行分配。MAC地址被作为计算机网络通信中的一种寻址机制。在OSI七层模型中,网卡工作在第二层,即数据链路层,因此网卡是一个二层设备,MAC地址也是网络通信中二层的地址。
中继器
中继器是连接网络线路的一种装置,常用于两个网络节点之间物理信号的双向转发工作。由于信号在传输线路中会有损耗,在线路上传输的信号功率会逐渐衰减,衰减到一定程度时将造成信号失真,导致接收错误,因此承载信息的数字信号或模拟信号只能传输有限的距离。中继器通过对传输的数据信号进行复制、调整和放大来延长网络中信号传输的距离。从理论上讲,中继器的使用是无限的,可以把网络延长到任意长的传输距离,但实际上这是不可能的,因为网络标准中对信号的延迟范围做了具体的规定,中继器只能在此规定范围内进行有效的工作,否则会引起网络故障。因此实际生产环境中,很多网络都限制了在同一对工作站之间加入的中继器数量(如在以太网中限制多使用4个中继器)。
中继器对信号的复制、放大等功能都是在物理层上实现的,因此中继器是一个工作在物理层的设备。
集线器
集线器也称为HUB,它的工作原理与中继器相同。简单来说,集线器就是一个多端口的中继器,它把一个端口上收到的数据广播发送到其他所有端口上。集线器也是一个工作在物理层的设备。
网桥
网桥也叫桥接器,是用于连接两个局域网的一种存储/转发设备。网桥可用于将一个大的局域网分割为多个网段,或者将两个或多个局域网进行连接,使得所有用户相互访问。网桥的作用与中继器类似,但网桥工作在数据链路层,与中继器直接对物理信号进行转发和增强不同,网桥需要分析数据帧的地址字段,以决定是否把收到的数据帧转发到另一个网络里。网桥可用于运行相同的高层协议的设备之间的通信,也可连接不同传输介质的网络。
交换机
交换机是一种用于电(光)信号转发的网络设备。交换机是多端口的网桥,为接入交换机的任意两个网络节点提供独享的信号通路。常见的交换机是以太网交换机,其他常见的还有电话语音交换机、光纤交换机等。交换机是一种网络扩容设备,能为子网提供更多的网络接口,以连接更多的计算机。网络交换机作为一种性价比高、灵活度高、简单和易于实现的网络互连设备,已经成为目前重要的组网设备。
交换机工作在数据链路层,与工作在物理层的集线器的本质区别在于,交换机为交换数据的两台设备之间提供的是“独享通路”。两台计算机设备进行通信时,如果使用集线器进行连接,则接入集线器的所有网络节点都会收到通信信息(也就是以广播形式发送),而如果通过交换机连接,除非发送方通知交换机广播,否则信息仅被接收方接收,其他网络节点都不会收到。
交换机作为使用广泛的网络互连设备,根据市场需要发展出不同类型的产品,如三层交换甚至四层交换,但无论如何,其核心功能仍然是基于二层的数据包交换,只是带有一定的处理IP层甚至更高层数据包的能力。
路由器
路由器是工作在OSI模型中第三层(网络层)的网络设备,对不同网络之间的数据包进行存储、分组转发处理。路由器连接的网络可以对应一个物理网段,也可以对应若干个物理网段,因此适合于连接复杂的大型网络,在多个网络环境中,构建灵活的连接系统,通过不同的数据分组以及介质访问方式对各个网络进行连接。
路由器与交换机相比有明显的变化和不同,交换机工作在数据链路层,不能连接数据链路层有较大差异的网络,但是路由器不同,它可以用于连接下三层执行不同协议的网络,只要使用相同的网络层协议,就能通过路由器进行连接。在目前互联网使用的TCP/IP协议族中,路由器使用网络层地址(IP地址)作为寻址机制进行数据包转发,将信息从源地址传送到目的地址。路由器是互联网的主要节点设备,作为不同网络之间互相连接的枢纽,构建了基于TCP/IP的互联网基本骨架。路由器的处理速度通常决定了网络通信的速率,可靠性直接影响网络之间通信的质量,因此路由器的技术始终处于互联网技术研究的核心地位。
网关
网关又称网间连接器、协议转换器,是复杂的网络互连设备,用于连接网络层之上执行不同协议的子网,组成异构型的因特网。网关的作用是对不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统直接进行数据转换,从而实现异构网络之间的通信。与网桥简单地传达信息不同,网关需要对数据包进行解包和重构,以适应目的系统的需求。由于历史原因,很多TCP/IP的文献曾经把网络层使用的路由器称为网关,因为大量的基于TCP/IP的局域网都采用路由器来接入网络,因此通常指的网关就是路由器。随着技术的发展,越来越多的设备提供了类似的功能,例如为了网络安全,现在很多系统在网络接入处部署防火墙,而防火墙提供了路由的功能,并作为整个网络接入其他网络的网关。
3.1.3 网络传输介质
传输线路是信息发送设备和接收设备之间的物理通路,不同传输介质具有不同的安全特性,同轴电缆、双绞线和光纤是使用比较广泛的有线传输介质。
同轴电缆
同轴电缆的结构由里到外分为四层:中心铜线(单股的实心线或多股绞合线)、塑料绝缘体、网状导电层和电线外皮。中心铜线和网状导电层形成电流回路,用于传输数据。同轴电缆显著的特征是频带较宽,其中高端的频带可达10GHz,在电视信号及信号馈线的传输过程中具有良好的应用效果,实际的应用较为广泛,在有线传输技术组成中占据着重要的地位。
同轴电缆使用总线型拓扑结构,在一根电缆上连接多个设备,但是当其中一个地方发生故障时,会串联影响到线缆上的所有设备,可靠性存在不足,并且故障的诊断和修复难度都较大,因此在应用上逐渐被双绞线或光纤取代。
双绞线
双绞线由四对不同颜色的传输线组成,是目前局域网使用广泛的互连传输介质。虽然相比同轴电缆,双绞线的速率偏低,抗干扰能力较差,但由于性能可靠、成本低廉,因此在网络通信中应用广泛。为了解决双绞线抗干扰能力差的问题,目前使用时还在双绞线外包裹一层金属屏蔽层,减少辐射并阻止外部电磁干扰,使得传输更稳定可靠。随着技术的不断发展,双绞线传输带宽也在逐步扩大,从初的仅能用于语音传输的一类线发展到目前达到10Gb/s带宽的七类线,能够满足信息化发展的需要。
一类线线缆频率带宽是750kHz,用于报警系统或只适用于语音传输(一类标准主要用于20世纪80年代初之前的电话线缆),不用于数据传输。
二类线线缆频率带宽是1MHz,用于语音传输和传输速率4Mb/s的数据传输,常使用4Mb/s规范令牌传递协议的旧的令牌网。
三类线的传输频率为16MHz,传输速率为10Mb/s,目前已淡出市场。
四类线的传输频率为20MHz,传输速率为16Mb/s,未被广泛采用。
五类线增加了绕线密度,外套一种高质量的绝缘材料,线缆频率带宽为100MHz,传输速率为100Mb/s,是常用的以太网电缆。
超五类线主要用于千兆位以太网(1000Mb/s),超五类线具有衰减小、串扰少以及时延误差小的特性。
六类线的传输频率为1~250MHz,六类线的传输性能远远高于超五类线标准,适用于传输速率高于1Gb/s的应用。
七类线的传输速率为10Gb/s,可用于今后的万兆比特以太网。
光纤
光纤通信技术使用光作为信息传输的媒介,光导纤维被封装在塑料的保护套中,一端用发光的二极管产生一个光信号,另一端是一个光敏元件,用于检测光脉冲信号。由于光在光导纤维中传输损耗非常低,因此光纤可用于长距离的信息传递。相比同轴电缆、双绞线等其他的有线传输技术,光纤通信传输技术有着自身独特的优势,具有高带宽、信号衰减小、无电磁干扰、材料抗腐蚀、重量轻和不易被窃听等特点。但光纤的成本相对较高,并且其安装和维护都需要专业设备。
无线传输
无线通信是通过电磁波来进行信息交流的通信方式,的特点是不用连接线来传导信号。近几年,无线通信技术迅猛发展,广泛应用于各个领域。无线通信网络之所以得到广泛应用,是因为无线网络的建设不像有线网络那样受地理环境的限制,无线通信用户也不像有线通信用户那样受通信电缆的限制,而是可以在移动中通信。无线通信网络的这些优势都来自其所采用的无线通信信道,而无线通信信道是一个开放性信道,它在赋予无线用户通信自由的同时,也给无线通信网络带来一些不安全因素,如通信内容容易被窃听、通信内容可以被更改和通信双方身份可能被假冒等。
3.2 防 火 墙
3.2.1 防火墙的概念
防火墙的概念早来自建筑行业,为了防止火灾蔓延,人们在寓所之间砌起一道道砖墙,当火灾发生时,由于砖墙不可燃烧,就能防止火势蔓延。计算机设备或网络与其他的网络连接(如接入互联网)后,虽然可以访问互联网中的数据,但与此同时,互联网中的计算机和网络也可以访问连接互联网的计算机设备或网络,这使得互联网中的攻击者和恶意代码可能通过互联网对联网的计算机设备、网络发起攻击。为了保护内部计算机和网络安全,需要在内部网络和外部网络之间竖起一道安全屏障,这道屏障的作用是阻断外部通过网络对内部网络、计算机设备的威胁和攻击,因其作用与防火砖墙类似,故这个屏障也被称为“防火墙”,如图3-3所示。
在信息安全中,防火墙就是一种网络安全产品,可用于隔离两个不同安全要求的网络。通常情况下,防火墙用于两个不同安全要求的安全域之间,根据定义的访问控制策略,检查并控制这两个安全域之间的所有流量。防火墙作为两个不同安全级别网络连接的桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。
图3-3 防火墙在网络中的位置
防火墙的功能和特性使得它在网络安全中得到广泛应用,防火墙产品是目前市场上应用范围广、易于被客户接受的网络安全产品之一。从企业应用到家庭网络防护,甚至到个人计算机安全的防护,防火墙都在发挥着积极的作用。
3.2.2 防火墙的典型技术
静态包过滤
静态包过滤是防火墙的基本功能。标准的防火墙产品工作在OSI模型或TCP/IP的网络层和传输层,静态包过滤根据通过防火墙的数据包中的网络层、传输层标记(源地址、目的地址、源端口号、目的端口号、数据的对话协议及数据包头中的各个标志位等因素),按照防火墙中设置好的策略(即防火墙过滤规则),对数据包进行规则匹配,以决定是否允许该数据包通过。以使用防火墙保护网站服务器为例,由于Web服务默认使用80端口,而该服务器上只提供了一个网站服务,没有提供其他任何服务,所以需要设置防火墙规则如下:允许通过的数据包为任意源IP,任意源端口,传输协议为TCP,目的IP为Web服务器IP,目的端口为TCP 80。
只有符合以上规则的数据包可以通过,其他数据包全部被丢弃。
在这样的规则下,防火墙只允许远程用户访问Web服务,也就是网站服务的数据包通过,其他的访问的数据包都会被丢弃。即使服务器上有其他服务存在漏洞,攻击者也无法进行攻击,因为所有的访问报文都会被防火墙拦截并丢弃。
包过滤技术是防火墙常用的技术,也是基础的技术。包过滤技术在应用中有以下优点。
逻辑简单,功能容易实现,设备价格便宜。在处理速度上具有一定的优势。由于所有的包过滤防火墙的操作都是在网络层上进行的,且在一般情况下仅仅检查数据包头,所以处理速度很快,对网络性能影响较小。过滤规则与应用层无关,无须修改主机上的应用程序,易于安装和使用。
包过滤技术在应用中有以下缺点。
过滤规则集合复杂,配置困难,需要用户对IP、TCP、UDP和ICMP等各种协议有深入了解,否则容易出现因配置不当带来的问题。对于网络服务较多、结构较为复杂的网络,包过滤的规则可能很多,配置起来复杂,而且不易检查、验证配置结果的正确性。由于过滤判别的只有网络层和传输层的有限信息,所以无法满足对应用层信息进行过滤的安全要求。不能防止地址欺骗,不能防止外部客户与内部主机直接连接。安全性较差,不提供用户认证功能。代理防火墙与网络地址转换
代理技术是面向应用级防火墙的一种常用技术。防火墙是内部网络和外部网络进行数据通信的转接者,当内部计算机与外部计算机进行通信时,内部计算机与外部计算机的请求都发送到防火墙,然后由防火墙把请求转发给真正的主机。
代理防火墙在应用中支持网络地址转换(NAT),所以能更好地应用于企业内部地址防护。NAT的作用是将内部的私有IP地址转换成可以在公网使用的公网IP。NAT初是为了解决互联网IP地址短缺问题而设计的,通过地址转换,多台计算机可以使用一个公网IP地址接入互联网中,由于NAT实现上与代理防火墙工作模式类似,即对数据包进行转换,因此互联网上的计算机收到的数据包是防火墙外部网络的IP地址而不是内部计算机的私有地址,也就无法知道发出该数据包的真正计算机,从而很好地隐藏了内网IP地址,也因此增加了网络安全性。
代理防火墙具有以下优点。
可避免内外网主机的直接连接,从而可以隐藏内部IP地址,更好地保护内部计算机。 可以提供比包过滤更详细的日志记录,如在一个HTTP连接中,包过滤只能记录单个的数据包,而应用代理防火墙还可以记录文件名、URL等信息。可以与认证、授权等安全手段方便地集成,面向用户授权。为用户提供透明的加密机制。
代理防护实现有以下技术缺点。
由于需要对数据包进行处理后转发,处理速度比包过滤防火墙慢。需要针对不同的应用进行开发、设置,可能导致对部分应用不支持。状态检测技术
状态检测防火墙又称动态包过滤防火墙,是对传统包过滤功能的扩展。状态检测防火墙实质上也是包过滤,但它不仅对IP包头信息进行检查过滤,还要检查包的TCP头部信息甚至包的内容。同时,引入了动态规则的概念,允许规则动态变化。状态检测防火墙通过采用状态监视器,对网络通信的各层(包括网络层、传输层以及应用层)实施监测,抽取其中部分数据,形成网络连接的动态信息,如图3-4所示。例如,通过记录网络上两台主机间的会话建立信息来保留连接的状态,判断从公共网络上返回的包是否来自可信主机。
图3-4 状态检测防火墙的工作原理
状态检测防火墙可以根据实际情况,自动地生成或删除安全过滤规则,不需要管理人员手工设置。状态检测防火墙通过对数据包的数据抽取,记录形成状态信息,不仅包括数据包的源地址、源端口号、目的地址、目的端口号、使用协议等五元组,还包括会话当前的状态属性、顺序号、应答标记、防火墙的执行动作及报文的寿命等信息,甚至针对不同协议的状态记录不同的表现情况,常见的有TCP状态、UDP状态、ICMP状态。例如,能够对TCP的顺序号进行检测操作,通过对TCP报文的顺序号字段的跟踪监测,防止攻击者利用已经处理的报文的顺序号进行重放攻击。
状态检测防火墙的优点主要体现在以下几个方面。
状态检测能够与跟踪网络会话有效地结合起来,并通过会话信息决定过滤规则。能够提供基于无连接协议(如域名解析协议)的应用及基于端口动态分配协议(如远程过程调用)的应用的安全支持。对通过的每个包都具有记录详细信息的能力,各数据包状态的所有信息都可以被记录,包括应用程序对包的请求、连接持续时间、内部和外部系统所做的连接请求等。安全性较高,状态检测防火墙结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态,做日志记录。
状态检测机制主要有以下缺点。
检查内容比包过滤检测技术多,所以对防火墙的性能提出了更高的要求。状态检测防火墙的配置非常复杂,对于用户的能力要求较高,使用起来不太方便。 3.2.3 防火墙企业部署
企业级防火墙是一种专用的网络安全产品,通常是一种软硬一体的专用设备,如图3-5所示。企业级防火墙通常有多个网络接口,能连接多个不同的网络,然后根据策略对网络间的通信数据进行过滤和记录。
图3-5 企业级防火墙
防火墙作为信息安全基础防护设备,在实际工作中,需要根据企业的安全要求和实际环境考虑部署方式。不同的组合方式体现了系统不同的安全要求,也决定了系统将采取不同的安全策略和实施方法。
1)单防火墙(无DMZ)部署方式
DMZ(Demilitarized Zone,非军事区或隔离区)是一种网络区域,是指在不信任的外部网络和可信任的内部网络之间建立一个面向外部网络的物理或逻辑子网,该子网一般用来安放对外部网络提供服务的主机。
单防火墙(无DMZ)系统是基本的防火墙部署方式,适用于无对外发布服务的企业,仅提供内部网络的基本防护。这种防火墙部署方式只需区分内部网络和外部网络,防火墙作为内部网络和外部网络的隔离设备,主要起两个作用。首先,防止外部主机发起与内部受保护资源的连接,从而防止外部网络对内部网络的威胁。其次,过滤和限制从内部主机通往外部资源的流量。单防火墙(无DMZ)部署方式如图3-6所示。
单防火墙(无DMZ)系统适用于家庭网络、小型办公网络和远程办公网络的环境,在这些环境中,主要需求为内部网络受控地访问外部网络资源,并且通常在这些内部网络中很少或没有需要外部网络来访问的资源。
2)单防火墙(DMZ)部署方式
如果企业存在对外发布服务的需求,如企业自建了Web服务网站、FTP或电子邮件系统,并且这些服务器都希望自己进行管理,那么在防火墙应用中,可以采取单防火墙(DMZ)部署方式。
防火墙产品根据功能和扩展能力不同,通常可以提供一个或多个DMZ。出于安全的考虑,可以将对外发布的服务器部署在DMZ中,如图3-7所示。
图3-7 单防火墙(DMZ)部署方式
在这种设置中,一个防火墙提供了三个不同端口,其中一个连接外部网络,一个连接内部可信网路,一个连接DMZ。DMZ用于放置一些允许外部网络访问的公开服务系统,如Web系统、邮件系统等。由于DMZ中的服务器需要提供互联网访问的服务,因此可能遭受来自互联网的攻击,将这些服务器部署在DMZ中,与内部网络进行隔离,即使DMZ中的服务器被攻击者控制,受防火墙策略的限制,攻击者也无法通过DMZ中的服务器对内部网络中的计算机发起攻击。
单防火墙(DMZ)部署方式下,可设置的DMZ数量依赖于使用的防火墙产品所能支持和扩展的DMZ端口的数量。在单防火墙(DMZ)部署中,可以根据不同的安全要求将各种不同类型的公共服务放在不同的DMZ中,并根据需要对外部网络、内部网络、DMZ网络之间的流量进行控制。在这种部署方式下,无论是单个DMZ还是多个DMZ,由于所有流量都必须通过单防火墙,防火墙需要根据设置的规则对流量进行控制,因此对防火墙性能的要求较高,如果受到拒绝服务攻击,防火墙可能会因为性能不足导致服务降级甚至服务中断,整个组织机构的进出流量都将受到影响。
3)双(多)防火墙体系结构
双(多)防火墙体系结构将两个或多个防火墙部署在不同安全级别的网络之间,这种部署方式为不同安全区域之间的流量提供了更细粒度的控制能力。例如,双防火墙部署使用两个防火墙作为外部防火墙和内部防火墙,在两个防火墙之间形成了一个非军事区网段。
双(多)防火墙体系结构中粒度控制来自每个防火墙控制所有进出网络的流量的子集,每个防火墙都是独立的控制点,分别独立控制不同安全区域之间的流量。相比单防火墙部署,双(多)防火墙部署方式要复杂得多,但是能提供更为安全的系统结构。另外要指出的是,在双(多)防火墙体系结构中,当防火墙产品选自不同厂商时,将提供附加的安全,因为在这种情况下,攻击者需要攻破两个异构的防火墙,而且需要使用针对不同防火墙产品的攻击手段,因此为内部网络提供了更高级的安全。
双(多)防火墙体系结构的缺点是实施复杂和费用较高。在复杂性方面,双(多)防火墙体系结构通常需要在DMZ网段实施某些方式的路由,以允许不同网络安全域之间的流量通过;在费用方面,不仅需要购买多台防火墙设备,而且在实施和维护上需要更多的费用,特别是当这些防火墙来自不同厂商时。因此,双(多)防火墙体系结构适用于安全要求级别较高的环境,如政府、电信、银行等组织机构的系统中。
3.2.4 防火墙的局限性
防火墙虽然是常用的网络安全设备,但网络安全面临的难题很多,防火墙只能解决其中一小部分问题,同时,防火墙依然存在很多局限和不足。
(1)防火墙难于管理和配置,易造成安全漏洞。防火墙的管理及配置大都比较复杂,要想成功地维护防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。
(2)防火墙防外不防内,不能防范恶意的知情者。目前防火墙只提供对外部网络用户攻击的防护,对来自内部网络用户的攻击无能为力。
(3)防火墙只实现了粗粒度的访问控制。防火墙出于安全或集成化的要求,通常很难与企业内部使用的其他安全机制(如访问控制)集成使用,这样企业就必须为内部的身份验证和访问控制管理维护单独的数据库。
(4)很难为用户在防火墙内外提供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址,而不是用户身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。
(5)防火墙不能防范病毒和某些网络攻击。尽管某些防火墙产品提供了在数据流通过时的病毒检测功能,但是病毒容易通过压缩包、加密包等方式流进网络内部。防火墙对于某些网络攻击也无能为例,如攻击者使用合法用户身份、从合法地址来攻击系统、窃取内部网络秘密信息时,防火墙不能阻止。
3.3 边界安全防护设备
3.3.1 入侵防御系统
入侵防御系统(IPS)是结合了入侵检测、防火墙等基础机制的安全产品,通过对网络流量进行分析,检测入侵行为并产生响应以中断入侵,从而保护组织机构信息系统的安全。
入侵防御系统的优势在于能对入侵的行为实现及时的阻断。传统的防火墙、入侵检测防护体系中,入侵检测发现攻击行为并产生报警后,还需要防火墙管理人员设置针对性的策略对攻击源进行封堵,整个流程使得防御相对攻击检测有所滞后。为了应对这一问题,部分厂家将入侵检测与防火墙实现联动,入侵检测发现攻击后通知防火墙进行阻断,但是由于缺乏相应的标准,需要安全厂商相互的协商接口,使得入侵检测与防火墙联动在实际应用中难以推广。而入侵防御系统通常采用串接的方式部署在网络中,在检测到入侵行为时,根据策略实时对入侵的攻击源和攻击流量进行阻拦,从而极大地降低了入侵的危害。
入侵防御系统是集检测、防御于一体的安全产品,可对明确判断为攻击的行为采取措施进行阻断,无须人员介入,也可能由于误报导致拦截正常的用户行为,因此入侵防御系统是一种侧重风险控制的解决方案。
3.3.2 网闸
网闸也称物理隔离系统或安全隔离与信息交换系统,是为了满足我国涉及国家秘密的计算机系统必须与互联网物理隔离的要求,提供数据交换服务的一类安全产品。2000年1月1日起施行的《计算机信息系统国际互联网保密管理规定》中明确要求:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须实行物理隔离。”根据该管理规定,所有涉及国家秘密的计算机信息系统都必须从物理层上与互联网完全隔离,从根本上杜绝来自外部网络的攻击。然而,由于业务的需要,涉及国家秘密的计算机信息系统也需要与外部计算机网络进行信息交换,这些需要交换的信息可能数据量较大、具有实时性要求,这就使得采用人工进行数据交换的方式无法满足业务需要。为了解决这一问题,网闸应运而生。
网闸通常由两个独立的系统分别连接可信网络(如涉密网)和非可信网络(互联网),两个相互独立的系统之间采用特定的安全隔离组件进行连接。安全隔离组件由隔离开关和数据暂存区构成,隔离开关是定制研发的安全组件,将数据暂存区分别连接到可信网络和非可信网络。隔离开关同一时间只能连接两个独立系统之一,不能同时连接两个系统,并且隔离开关的连接和断开不受任何软件控制,周期性地在两个系统之间切换。网闸工作原理示意图如图3-8所示。
图3-8 网闸工作原理示意图
当数据需要从外部网络(非可信网络)传送到内部网络(可信网络)时,由连接到外部网络的系统将数据复制到数据暂存区(隔离开关将暂存区连接到非可信系统),当一个周期结束后,隔离开关切换,将暂存区从连接非可信系统断开,接入连接内部网络的系统中,由连接内部网络的系统从暂存区中将数据读取出来,从而实现数据的传递。这个过程可以理解为两台不联网的计算机手工进行数据交换的自动化实现。如果需要数据的双向交换,操作与此类似。在整个过程中,内外网之间的连接已经完全从物理上断开,因此进行数据交换的两个系统不会存在物理上的通路,各自连接的可信网络和非可信网络之间也就实现了在物理隔离的前提下进行数据交换。另外,为了保障安全,网闸设备通常还集成了其他的安全机制,如集成防病毒功能,可对交换的数据进行检测,避免其中携带的计算机病毒导致安全风险;集成文件过滤机制,对交换数据的类型进行过滤,仅允许特定类型的数据文件通过,不允许交换的数据中有可执行程序,避免木马病毒伪装成数据通过网闸进入可信网络等。
网闸虽然初是为物理隔离交换数据而设计,但随着应用的不断发展,也逐步诞生了协议隔离等其他不同的技术,发展成为比防火墙安全级别更高的网络设备,用于保护要求较高的网络与其他不可信网络之间的数据交换。
网闸作为一种边界安全防护设备,与防火墙有明显的不同。防火墙是实现逻辑隔离,在数据交换时,会话双方直接或间接建立了基于通信协议的会话,防火墙仅根据规则对会话是否允许进行管理,符合规则的情况下双方就能进行数据交换,会话时双方是实时连接的。而网闸是实现物理隔离或协议隔离,网闸中的专有硬件将会话双方从物理层或链路层断开,因此会话双方是非实时连接的。
正是由于网闸具有非实时连接、需要专有硬件的特点,因此对应用的支持有限,通用性方面不如防火墙。网闸作为高安全级别要求的边界防护产品,更注重内部网络的安全防护,是风险优先的安全防护产品,与防火墙的定位和应用场景不同,二者是互补的网络安全产品,不能相互取代。
3.3.3 上网行为管理产品
上网行为管理产品是对内部网络用户的互联网行为进行控制和管理的边界网络安全产品,主要为了解决日益增长的互联网滥用及非法互联网信息防护问题。上网行为管理产品的功能包括对网页的访问过滤、网络应用控制、带宽及流量管理、互联网传输数据审计、用户行为分析等。在组织机构的互联网出口处部署上网行为管理产品,能有效地防止内部人员接触非法信息、恶意信息,避免国家、企业秘密或敏感信息泄露,并可对内部人员的互联网访问行为进行实时监控,对网络流量资源进行管理,对提高工作效率有极大的帮助。上网行为管理产品适用于需对内部访问外部行为进行内容管控与审计的机构。
上网行为管理产品技术的发展经历了从URL过滤到多种技术结合的长期过程。早期的上网行为管理只是建立一个有害网站的清单,与用户访问互联网中请求的URL进行比对,如果符合阻止访问的请求,设备就阻止该内部访问请求,不允许内部用户进行访问,并且对该用户的行为进行记录并发出警告。上网行为管理针对邮件的收发管控也是类似机制,只是将URL过滤改为邮件地址过滤。
经过多年的发展,现在的上网行为管理产品可实现的功能通常包括以下方面。
1)上网身份管控
上网行为管理产品提供用户管理系统或支持第三方账户管理系统(如组织机构中的单点登录系统),结合多种身份鉴别方式确保访问互联网人员的合法性,并根据不同的身份给予不同的互联网使用权限。部分上网行为管理产品甚至可以结合终端管理软件对上网行为的终端进行管控,通过对终端的硬件信息、操作系统进行识别,确保进行上网操作终端的合法性。
2)互联网浏览管控
除对用户互联网浏览请求中的URL进行管控外,上网行为管理产品已经逐步从URL过滤发展到对内容的管控,例如,对搜索关键字进行识别、记录和阻断,确保用户无法搜索非法内容,避免由于搜索非法关键字带来的负面影响。通过对网页中文字、图像甚至视频的识别,确保访问的网页没有非法和欺骗性内容等。
3)邮件外发管控
对利用邮件发送协议(SMTP)进行邮件外发的行为,除了对邮件接收地址的过滤,还可基于邮件的标题、正文中的文字、附件的内容识别进行阻断和记录,避免敏感信息通过邮件发送出去。对使用Web方式的网页邮件应用,同样可基于网页的内容识别进行管理。
4)用户行为管控
对用户的互联网操作行为进行管控,避免用户发送的数据中包含非法、敏感的信息,从而带来负面影响。管控对象包括论坛中的发帖、即时通信中传输的消息、FTP文件传输中的数据等。
5)上网应用管理
对上网的应用进行管控,限制特定应用连接互联网、应用使用时段、应用流量使用等。
3.3.4 防病毒网关
传统的针对恶意代码进行防御的方案是在终端进行防护,通过在计算机终端上部署单机或企业版的防病毒软件对进入终端的恶意代码进行检测和查杀。基于终端的病毒防护方式存在以下安全不足。
1)特征库升级管理问题
目前主流的防病毒技术仍然是基于恶意代码的特征库(也就是俗称的病毒库)进行检测和查杀,因此要想确保检测的效果,需要不断地更新病毒库,而终端防病毒软件的病毒库是各自独立的,因此需要确保系统中的每一个受保护的设备,无论是笔记本、PC机还是服务器都升级到的病毒库,否则防护能力会被极大地削弱,因为对系统威胁较大的往往是的各类病毒。如果某个受保护的设备没有进行更新,就可能成为病毒防护中的一块短板。在网络攻击中,一旦防护的短板被突破,攻击者就可以实施针对内网的攻击,终导致巨大的破坏。对终端防病毒软件病毒库的更新是令信息系统管理员头疼的工作,即使采用企业版病毒防护软件,通过服务器对每个终端进行病毒库更新的推送,也可能由于终端防病毒软件自身问题或网络问题,甚至由于长时间未开机导致病毒库未能及时更新。
2)终端防病毒存在防护短板
终端防病毒软件是运行在计算机终端上的应用程序,即通常以系统管理员的身份运行(常驻的防护程序以系统服务身份运行),在系统中有较高的权限,但只能在恶意代码已经传播到系统时才进行检测和查杀,而对于利用系统软件漏洞(如缓冲区溢出类型漏洞)进行传播的蠕虫、木马,由于传播可能利用的是系统服务的漏洞,蠕虫、木马同样拥有系统的管理权限,防病毒软件不仅不能清除病毒,还可能被病毒停止防护进程,致使系统缺乏防护。
防病毒网关是一种对恶意代码进行过滤的边界网络安全防护设备,主要目标是对进出网络的数据进行检测,发现其中存在的恶意代码并进行查杀。防病毒网关对组织机构的价值在于在网络连接处设置一个对恶意代码的检测机制,阻止病毒通过网页、邮件、即时通信等互联网应用进入受保护的网络,形成与终端防病毒软件互补的安全防护能力。
防病毒网关设备较好地弥补了终端防病毒软件应用中的短板,首先,只需要更新设备中的一套病毒库即可,管理员的管理压力不大;其次,防病毒网关作为部署在网络出口处的硬件设备,其功能很难被恶意代码停止。在实际应用中,防病毒网关通常采用与终端防护软件生产厂商不同的产品,实现病毒防护的异构。因为如果采用同一安全厂商的产品,若病毒库没有特征码,那么终端防病毒软件和防病毒网关都无法检测到某个病毒,而不同厂商的产品则在一定程度上提高了检测出恶意代码的可能性。
3.3.5 统一威胁管理系统
统一威胁管理系统(UTM)是集防火墙、防病毒、入侵检测、上网行为管理等多种网络安全功能于一体的网络安全设备。统一威胁管理系统将多种安全技术集成在一个硬件设备中,主要的优势在于整合所带来的低成本,用户只需要采购一个安全设备就能获得多种安全防护能力,解决采购多种网络安全设备所带来的成本压力。其次,由于多种安全功能整合,各功能均使用模块化的管理模式,在易用性和可管理性上也具有优势,使得网络安全管理人员的工作强度有所降低。因为一个设备的部署和管理相对简单,管理界面的一致性减少了网络安全管理人员设置策略、进行日常维护管理的工作量。
当然,统一威胁管理系统也存在不足。首先,高度集成带来了安全风险,由于所有安全功能集成在一个设备中,风险也就相对集中,一旦设备发生问题,会导致所有安全防护能力丢失。例如,若设备存在安全漏洞而被攻击者控制,那么整个受保护网络就处于无保护的状态,不符合信息安全中“纵深防御”的基本思想。其次,由于计算能力、内存等硬件设备性能有限,要同时支撑多个安全模块运行,必然会出现性能不足的问题。另外,多种功能模块的集成,使得系统的复杂性大幅提高,不同模块之间的协作运行对设计、开发能力都是极大的挑战,设计缺陷或开发缺陷可能会影响设备的稳定性。
统一威胁管理系统的主要应用场景是预算有限但需要较全面防护的中小型组织机构,这些机构由于互联网用户不多,互联网访问的资源需求不高,无须高性能的互联网边界防护产品,因此使用统一威胁管理系统能解决防护能力不足的问题,投资也在可接受的范围内。
3.4 网络安全管理设备
3.4.1 入侵检测系统
入侵检测基本概念
入侵检测系统(IDS)是对入侵行为进行检测和响应的网络安全设备。入侵检测系统通过监听的方式获得网络中传输的数据包,通过对数据包进行分析,判断其中是否含有攻击的行为,如果发现攻击行为或违反安全规则的行为,就根据预置策略进行响应,向安全管理人员报警或通知防火墙进行阻断等。因此入侵检测是一种主动防御技术,是防火墙的重要补充,而防火墙依据设置的规则对网络中的数据包进行过滤,是一种被动防御技术。如果把防火墙比喻成门卫,那么入侵检测就是监控摄像头。门卫只会根据基本规则对进出人员进行判断,例如只要持有工卡的人员就允许进入,而摄像头可对进入的人员进行识别,如果发现非本单位内部人员进入,则发出警报。
入侵检测类型
入侵检测系统通常分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)两种类型。网络入侵检测系统通常是软硬件一体的网络安全设备,使用网络中传输的数据作为数据源,通过在交换机上设置端口镜像,将需要进行防护的区域中的网络数据复制一份到网络入侵检测系统所连接的交换机端口,入侵检测就能收到相关的网络报文。通过对这些报文进行分析,入侵检测系统可识别出其中存在的攻击行为,从而进行响应。网络入侵检测系统是独立的网络安全设备,并且是旁路接在网络中,因此具有平台无关性,不占用主机的性能,能检测网络范围内的攻击行为。其缺点在于:
(1)无法对加密的数据进行分析检测。
(2)高速交换网络中处理负荷较重,存在性能不足。
(3)仅能检测到攻击行为,无法对攻击行为的后果进行判断(是否攻击成功等)。
主机入侵检测系统通常是软件,安装在受保护的主机操作系统上,通过对到达主机网卡的数据包进行分析,结合监测主机的审计记录、系统日志、应用日志以及其他辅助数据,来查找和发现攻击行为的痕迹。由于主机入侵检测是部署在操作系统上的,它不仅能分析网络报文,还能监视所有的系统行为,包括系统日志、账户系统、文件读写等,因此相比网络入侵检测,主机入侵检测不仅可以检测到攻击行为,还能对攻击行为的后果进行判断。另外,主机入侵检测还适用于加密网络环境。其主要不足在于:
(1)由于是软件产品,因此与平台相关,可移植性差,开发、测试的压力都比较大。
(2)系统运行需要消耗主机的计算能力、内存等,因此会影响安装主机的性能。
(3)仅能保护安装了产品的主机。
入侵检测技术实现
入侵检测系统对入侵行为的识别分为基于误用检测和基于异常检测。基于误用检测是在入侵检测系统中构建一个攻击特征数据库,将传输的数据包进行处理后与数据库中的攻击特征进行匹配,如果匹配成功则识别为攻击行为。基于误用检测需要对已知的攻击行为进行分析,提取出攻击特征,因为每种攻击行为都有明确的特征,因此基于误用检测的准确性很高,但因为依赖于分析好的攻击特征库,因此存在攻击检测滞后、需要不断更新攻击特征库的问题。
基于异常检测首先假设网络攻击行为是异常的,区别于所有的正常行为,如果能构建正常活动状态或用户正常行为并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,如果偏离正常用户行为模型并超过一定的阈值,就可以识别其为攻击行为。例如,一次端口连接的行为是正常的,访问Web网站或其他应用都会产生端口连接,但如果是顺序增长的端口连接行为,如尝试连接端口1、端口2、端口3、端口4、端口5等这样的行为是正常用户不会做的,这是在进行端口扫描,是信息搜集的一种方式,属于攻击行为。基于异常检测的主要优势是理论上可以检测到未知的攻击行为,因为不是基于特征库,只要不符合正常用户行为的都可被识别为攻击,未知的攻击方式也因为不符合用户正常行为模型而被识别。但也因为基于行为模型进行检测,会出现较严重的误报,也就是将用户行为识别为攻击。
入侵检测系统部署
部署入侵检测系统前首先需要明确部署目标,即检测攻击的需求是什么,然后根据网络拓扑结构,选择适合的入侵检测类型及部署位置。例如,部署网络入侵检测时,如果需要对全网的数据报文进行分析,就需要在核心交换机上设置镜像端口,将其他端口的数据镜像到入侵检测系统连接的交换机端口,从而使网络入侵检测系统能对全网的数据流量进行分析,如图3-9所示。
如果只需要分析针对服务器区的攻击,则可以将网络入侵检测系统部署在服务器区的交换机上。
基于主机的入侵检测系统一般更多的是用于保护关键主机或服务器,只需要将检测系统部署到这些关键主机或服务器中即可。
图3-9 NIDS部署示意
入侵检测系统的局限性
入侵检测系统作为传统的网络安全设备,经历了数十年的发展,得到了广泛的应用,在应用过程中,入侵检测系统也存在一些问题,包括:
(1)入侵检测系统虽然能检测到攻击,但由于攻击方式、类型众多,对用户有较高的要求,需要用户具备一定的网络安全知识,系统的配置、管理也较为复杂。
(2)由于网络传输能力快速提高,对入侵检测系统的性能要求也越来越高,这使得入侵检测系统难以满足实际业务需要。
(3)尽管采取了各类不同的检测技术,但入侵检测系统高虚警率问题仍然难以解决。网络高发的各类探测、攻击行为都会使得入侵检测系统产生报警信息,这些报警信息和记录的数据量通常是非常庞大的,而其中真正有价值的记录并不多,因为很多攻击行为并不会影响到信息系统安全,例如,攻击对象在网络中并不存在,或者利用的漏洞已经被修复。这些无效的报警信息会将真正有价值的信息淹没,给用户带来了较大的困扰。
3.4.2 网络安全审计系统
网络安全审计系统是一种对网络数据报文进行采集、识别、记录和分析的网络安全设备。通过实时地获取网络中的数据报文,根据网络安全审计设备中的安全控制策略,记录对受控设备的访问和操作等活动以备审查。网络安全审计系统是防火墙、入侵检测系统的良好补充,与入侵检测系统关注网络数据报文中的攻击行为不同,网络安全审计系统关注的是对活动的行为进行记录,为审计提供支持。网络安全审计系统作为完整信息安全防御体系中不可或缺的一个环节,能根据策略对用户的行为进行记录,从而确保在发生问题后有据可查。
网络安全审计设备通常作为一个独立的软硬件一体设备,与其他网络安全产品(如防火墙、入侵检测系统、漏洞扫描系统等)功能上相互独立,同时也相互补充,共同保护网络的整体安全。
3.4.3 漏洞扫描系统
漏洞是信息系统安全保障的关键因素,对信息系统进行安全评估,发现信息系统中的安全漏洞是保障信息系统安全的基础工作,而实现这项基础工作快捷、简单的方法就是对需要检测的对象进行漏洞扫描。漏洞扫描是一种主动防御技术,网络安全管理员定期进行漏洞扫描,能及时发现信息系统中运行的服务存在的安全漏洞和配置缺陷,从而采取有针对性的措施,通过停用不需要的服务、修复漏洞、修正配置措施等提高系统的安全性,降低服务被攻击者攻击的安全风险。
漏洞扫描系统是对各类网络设备、操作系统、数据库、支撑软件、应用软件进行安全性检查的一类安全产品。对于网络安全管理人员来说,可以利用漏洞扫描系统发现系统中存在的安全漏洞、配置缺陷,而对于攻击者而言,漏洞扫描系统也是寻找信息系统入侵途径的有效方法,因此漏洞扫描系统是一把双刃剑。
漏洞扫描系统和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。漏洞扫描是信息安全中的常规工作,也是常用的安全性评估手段。
3.4.4 虚拟专用网络
虚拟专用网络(VPN)是在公用网络上建立虚拟的专用网络的技术。利用VPN技术,组织机构可以将存储在内部的数据资源(如财务数据、销售数据)分布在不同区域,通过互联网进行连接的工作人员可进行安全的访问。相比建立或租用专线,VPN技术在提供安全访问的同时,极大地降低了成本。组织机构可以利用VPN远程连接分支机构、商业伙伴、移动办公人员,让这些人员可以利用互联网访问组织机构中的重要资源,从而实现协同。VPN技术的主要优势是:
(1)成本较低。VPN是利用隧道技术在公用网络中安全地传输数据,用户实际上并没有使用独立、专用的网络,只是配备了具备VPN功能的设备,因此成本比建设或租用专用线路低得多。
(2)具有较高的安全性。VPN的安全性建立在密码技术的基础上,结合身份认证、访问控制技术,使得通过公共平台传输的数据满足保密性、完整性、抗抵赖等需求,不会被攻击者窃取或篡改、伪造。
(3)服务保证。VPN技术具有简单、灵活、方便的特性,相关产品通常同时提供身份认证、访问控制、安全管理、流量管理等多种服务,方便用户进行使用和维护。
VPN适用于有通过互联网远程访问内部资源需求的组织机构,通过VPN接入,能在确保安全的同时为远程用户提供私有资源的访问。
3.4.5 堡垒主机
堡垒主机是运维管理中广泛使用的安全设备,用于解决远程维护的操作安全问题。堡垒主机是经过特殊研发并进行安全增强的计算机系统,部署在远程维护的设备所在的网络区域,所有对设备的远程维护都需要先连接到堡垒主机上,然后通过堡垒主机进行远程维护操作。作为远程维护的检查点,堡垒主机解决了远程维护管理中的痛点和难点,把安全问题集中在一个点进行管理。
所有需要远程维护的设备(如服务器),可设置主机防火墙只允许堡垒主机进行远程维护,从而避免了利用远程维护服务进行攻击的可能。堡垒主机上集成了身份认证、访问控制、操作审计的功能,远程维护人员通过堡垒主机认证身份后,根据规则仅能远程维护设定的设备,并且远程维护过程中的所有操作都被堡垒主机记录下来以供审计。
需要面向互联网提供远程维护管理的堡垒主机通常是攻击者的重点目标,一旦堡垒主机被突破,整个内部网络就完全暴露在攻击者面前,因此堡垒主机自身的安全性对整个网络的安全至关重要。堡垒主机的配置与其他主机完全不同,所有不是必需的服务都被删除或禁用,不需要开放的端口防火墙全部被阻止,相应的各项功能都为定制开发,从程度上避免因被攻击导致的安全风险。
3.4.6 安全管理平台
安全管理平台的概念
安全管理平台(SOC)也被称为安全运营中心,为组织机构提供集中、统一、可视化的安全信息管理。SOC通过实时采集各种安全信息和安全动态,进行安全信息关联分析与风险评估,实现安全事件的快速跟踪、定位和应急响应,从监控、审计、风险和运维四个维度建立起一套可度量的统一安全管理支撑平台。网络安全是一个动态的过程,即使是安全防护体系建设完善,经过安全测评证明具备较好防护能力的信息系统,随着业务的不断变化、系统的升级或新的漏洞被发现,攻击者的攻击方法和攻击工具不断更新,系统的安全性也会不断降低。信息化的不断发展使得网络日趋复杂,网络设备、安全产品、操作系统、应用软件每时每刻都在产生大量的数据,这些数据的管理和分析对网络安全管理员而言是非常繁重的工作。网络安全管理员需要逐个登录不同的设备,查看相应的日志并进行分析,费时费力还难以取得好的效果。
安全管理平台可对各类网络设备、安全设备、系统软件、应用软件产生的数据进行收集汇总、统一格式、过滤、存储和分析,通过对采集的数据进行关联分析、特征匹配等,使用户全面地掌握网络的安全状况,并对安全状态进行实时监控和管理,对各类资产(如服务器、终端、安全设备等)的脆弱性进行评估,从而实现快速发现问题、快速响应。
安全管理平台的功能
通常情况下,较为完善的安全管理平台应包含以下功能。
1)统一日志管理(集中监控)
安全管理平台可对各类安全设备的日志进行统一的监控和管理,将安全日志统一存储、分析,并将分析结果统一进行通知。网络安全管理人员可以在一个统一的界面中查看网络中每个安全设备的运行状态,实现对不同网络安全产品日志的管理。
2)统一配置管理(集中管理)
安全管理平台可对各类安全设备的配置进行集中管理,提高安全设备管理的效率,甚至实现网络安全设备配置的流程管理,包括变更审核、配置记录等。
3)各安全产品和系统的统一协调与处理(协同处理)
安全管理平台将不同安全设备纳入管理中,通过对不同的安全设备甚至主机操作系统、应用软件等策略进行统一管理,更容易实现我国信息安全保障要求中“纵深防御”的相关要求。
4)安全状态的统一管控(统一安服)
安全管理平台为网络中的安全设备、操作系统、软件等相关组件的补丁状况建立统一数据库,方便网络安全管理人员查询、统计和分析,当新的补丁发布时,安全管理人员可方便地进行系统的补丁升级工作。
5)其他功能
安全管理平台还会提供自动风险分析、安全业务流程管理、其他系统对接融合等多种类型的功能。例如,与OA系统对接,为决策者提供数据支撑等。
安全管理平台的价值
信息安全作为一个体系的工作,需要把相关的网络和安全设备、操作系统、应用软件等进行统一管理,才能有效地实现安全保障。安全管理平台具有良好的技术基础架构,能为信息系统的安全运维和安全管理提供强有力的支撑。在2019年发布的我国等级保护标准中,已经将安全管理平台建设写入安全管理通用要求中,未来会有越来越多的组织机构将安全管理平台纳入信息化规划中。
|
|