信息化建设中的信息网络安全专题

摘要：Security“安全”在Internet发展到今天的历程中，已经成为一个很热门的主题。在政府各级主管部门的大力倡导和信息高速公路的飞速发展下，过去几年的信息化建设中，已经建立起了各种各样的网络，但在过去网络建设中却忽视了一个很重要的环节----建立一个安全的网络。中心将与政府相关职能管理部门、大专院校、科研机构和通信领域的专家学者以及从事信息网络安全厂家的工程技术人员一起，就信息化建设中涉及的信息网络安全问题将在以后的专题中进行探讨。
1、引言
通过几年的信息化建设，引入建立安全的网络是因为网络系统在使用过程中不断自身暴露许多不安全的因素，并受到来自Internet领域里HACKER的试探和攻击。给我们系统造成经济损失。为此，我们就开始怀疑我们的网络是不是有问题，甚至，怀疑到搞信息化建设的正确性。的确，如果有网络，拥有一个不安全的，有存在各种各样漏洞网络比没有网络更可怕。我们知道，由于信息技术的飞速发展，在INTERNET本身先天性就存在许多当时人们并没有预测的不足之处，例如，Y2K问题，IPV6问题，ATM和IP之争，病毒问题，TCP/IP本身理论上的不足，以及信息时代出现的新型灾难问题，新型的犯罪问题，以及人们是思想意识问题和诸多的五花八门的问题。谈到“安全”，“HACKER攻击和入侵”，“病毒”，“信息威胁”等时，许多人就感到困惑了，要么是无所谓的态度，等到造成损失后亡羊补牢已经晚了，要么就是惊惶失措，不知道如何是好。信息化建设中的信息网络安全防范需要认真分析系统面临的风险和安全威胁，从制定安全策略，总体规划，分步实施。提高安全意识，采取安全技术措施。
2、系统面临的安全威胁
我们讲要建立安全的、可信任的网络系统，首先我们就要分析网络存在来自那些方面的安全威胁。由于网络构成上存在许多的软硬件，即网络实体，包括：硬件平台、操作系统、应用软件、网络架构、传输链路、存储介质、网络应用、网络协议、网络管理、数据库应用、MIS系统等。所以，网络系统可能存在的安全威胁来自以下方面：
? 硬件安全威胁：主机系统的安全缺陷，不完整性，例如主机的系统对人体电磁辐射，噪音干扰；交换机、路由器本身存的不稳定性等；例如：美国国防部（DOD）于1985年出版了《可信计算机系统的评价准则》（又称"桔皮书" ），使计算机系统的安全性评估有了一个权威性的标准。DOD的桔皮书中使用了可信计算基础（Trusted Computing Base，TCB）这一概念，即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。桔皮书将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。在DOD的评估准则中，从B级开始就要求具有强制存取控制和形式化模型技术的应用。桔皮书论述的重点是通用的操作系统，为了使它的评判方法使用于网络，美国国家计算机安全中心于1987年出版了《可信网络指南》。该书从网络安全的角度出发，解释了准则中的观点。我国家标准也制定了相关计算机的安全标准。
? 操作系统的安全性：操作系统均存在网络安全漏洞，如NT服务器及Windows桌面PC。
? 防火墙的安全性：防火墙产品自身是否安全，是否设置错误，需要经过检验。谈到安全，人们往往以为采取了安全措施或安全技术手段(比如防火墙)就是万能。其实不然，安全是一个相对的概念，没有绝对的安全。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。
? 协议族安全威胁：本身缺乏安全性。系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUA)，而这些网络协议并非专为安全通讯而设计。
? 侦听（Sniffing）：入侵者通过Internet攻破数以千计的系统，包括大型网络间的网关。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。电子邮件同样也象Telnet和Ftp会话一样，可以被监视，用来获取有关站点和其相关商业交易情况的信息。
? 病毒：来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
? 会话窃取攻击：在找到一个没有用到的网络接口或者攻破网络上的一台主机后，入侵者可以主动地侦听该网段上的数据流，试图找到被主机认证的感兴趣的会话：发出大量的、无用的数据包去击溃原始系统；入侵者利用已崩溃系统的地址向其它主机发送数据包；需要通过加密来防止数据包侦听或会话窃听；保证物理端口的安全，防止不被使用的接口被非法使用。
? 欺骗（Spoofing）：欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等），当一台主机的IP地址假定为有效，并为TCP和UDP服务所相信，利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。
? 路由和中继攻击：向路由系统中插入错误的路由信息，重定向流量到一个黑洞中（blackhole）重定向流量到慢速连接，重定向流量到不同的地方进行侦听或修改，需要可靠的认证，仅从已知的路由器接收路由的更新。中继攻击保存一份原始信息的拷贝，一段时间后在转发，保存一份商业交易，而后转发。攻击者可以中继一个网络使之停止更新，并对该网段实施拒绝服务攻击。所有的交易需要携带一个序列ID或加盖时间戳。口令攻击：通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。UNIX操作系统通常将口令加密保存成为一个能够被普通用户读取的文件。一个入侵者可以运行现有的口令破解程序获取口令。如果口令强度比较弱，如少于8个字符的英文单词等，就可以被破解，并用来获得对系统的访问权。应用软件的漏洞和“后门”：许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标；软件的“后门”都是应用软件开发公司的设计编程人员为了自便而设置的，例如，定时炸弹，逻辑炸弹等。一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。
? 人为有、无意的失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。计算机网络所面临的最大威胁是人为的恶意攻击，这些人就是人们通常所说的黑客（HACKER）。出于政治、经济、伦理等方面的意图。黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。
注：在今后的专题中我们将具体讨论各相专题，例如安全的“十大误区”：技术万能，防火墙万能,重安全手段，轻安全策略,忽视安全管理,防黑与防毒区别,安全隐患主要来自外部等。
3、安全策略
安全策略的总体策略从安全风险分析、安全防范总体规划、安全技术手段、安全产品、安全功能、项目管理、安全管理、系统规划、测试和验收、安全等级评估、安全维护和动态持续的安全服务等方面去权衡网络安全的一致性和完整性。首先，要建立持久的安全意识，然后就是建立正确的安全策略。下面就从如下几个方面的安全策略进行分析：
2 物理安全策略：物理安全是保护计算机系统、网络服务器、打印机等硬件实体和通信链路以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》；设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；媒体安全：包括媒体数据的安全及媒体本身的安全。确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
2 访问控制安全策略：访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。本层分别从以下几个方面进行访问控制：
（1）合法进入网络：用户名识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。
（2）访问权限：按访问权限可将用户分为三类：特殊用户（即系统管理员Administrator）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限(Users)；审计用户(Loguser)，负责网络的安全控制与资源使用情况的审计。
（3）目录级安全控制：目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。
（4）属性安全控制：属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。
（5）网络端口和节点的安全控制：网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡、安全密码发生器）。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务器端再进行相互验证。
（6）防火墙控制（防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。目前的防火墙主要有以下四种类型：
包过滤防火墙：包过滤防火墙是防火墙发展的第一代产物，它的特征是防火墙检查每一个通过的包，或者通过，或者拒绝（有切只有两种情况，）。取决于所建立的一套规则（规则链，或过滤策略和规则）。包过滤防火墙检查每一个传入的包，察看包中可用的基本信息（源和目的地址、源和目的端口号、协议等）。然后，将这些信息与设立的安全规则数据库边进行比较，从而决定包的放行或阻断（即如果符合数据库的安全验证规则，就通过；如果不符合安全规则，就认为是对防火墙的攻击行为，故不允许其通过）。包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问，也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包，无法实施对应用级协议的处理，也无法处理UDP、RPC或动态的协议。
包过滤型防火墙的缺点就是速度慢，配置管理困难，特定的服务开放的端口（如用于HTTP/WEB访问的80端口，或用于FTP的21端口）存在着威胁，可能会被用于其它的传输；可能还有其它的方法绕过防火墙进入网络，例如拨号连接。
应用代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。与Packet Filter所不同的是，使用这种类型的防火墙，外部网络之间不存在直接连接，因此即使防火墙发生了问题，外部网络也无法获得与被保护的网络的连接，我们通常把那个中间结点称之为“dual—homed Host”(双端主机)。该防火墙是用主机来执行安全控制功能。一台双端主机配有多个网卡，分别连接不同的网络。双端主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双端主机上的服务代理来提供。内部网和外部网的用户可通过双端主机的共享数据区传递数据，从而保护了内部网络不被非法访问。目前市场比较流行的物理隔离器，物理隔离栅之类的防火墙就属于此类双端主机。
状态检测型防火墙：使用监测引擎在网关上执行网络安全策略。监测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序，并可容易地实现应用和服务的扩充。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。这种功能的优点是一旦某个访问违反安全规定，就会拒绝该访问，并报告有关状态作日志记录。注：本概念来自于某安全厂家的独自解释。
此外，还有其他的防火墙类型提出说法，例如，流媒体型防火墙等。故对防火墙的定义和发展类型等在不同时间和教课书中提法不一样，但大体意思基本上相同。网络安全管理策略：加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。长期坚持安全技能的培训、安全意识教育，网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。
2 协议安全模型策略：对系统运行环境，软硬条件，面对对象，对象所应用的系统以及系统所运行的网络协议。“协议”对网络环境下的重要性尤为突出。在不同的系统环境下运用的不同的协议，特别是在实际的应用环境中，可以根据自己的要求而开发适合自己环境的协议。在INTERNET环境下，TCP/IP（ISO的OSI模型）已经成为了工业标准。为此，我们就TCP/IP协议模型提出安全的协议模型策略：

网络协议安全结构图
2 动态的系统安全检测策略：我们说安全是相对的概念、是动态的，而非绝对的、静止不动的。强调了安全动态性，不存在一层不变的安全系统。当系统环境、系统应用、系统使用者等诸多外部因数发生变化后，系统的安全性又受到了因外部环境变化而带来的新的安全漏洞和隐患，故需要采取新的安全防范措施。当新的问题出现的时候，我们需要针对新情况，采取针对新情况而调整我们的安全策略。提供动态的系统安全和网络安全检测，检测系统和网络是否存在漏洞，测试系统和网络的抗攻击能力。对于发现的问题，给出安全解决建议，防止黑客利用系统漏洞和攻击工具进行破坏。
2 数据加密策略：对信息和数据进行加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。信息加密过程的核心技术就是加密算法，在目前大多数情况下，信息加密是保证信息机密性的唯一方法。按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。
在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。
2 病毒防护策略：计算机病毒就是一种可执行的计算机程序，除了自我复制外，某些病毒被设计成为具有破坏程序、删除文件甚至破坏系统的能力。在网络中，病毒对计算机的安全构成极大威胁。与网络黑客内外配合，窃取用户口令及帐号等变化多端的方式，使企业网络无时无刻不面对病毒的困扰，这也是必须使计算机具备预防、检查和清除病毒能力的根本所在。目前病毒防护从单机版到网络型、网关型放毒的过度（目前，对大多数计算机使用者而言，已经习惯了在我们计算机系统右下角安装一个防病毒软件。）企业防病毒，网络防毒、网关防毒是关键。企业病毒防范策略可以从以下几方面的内容入手：第一，制定适合本企业系统的反病毒策略；第二，部署多层防御战略，在尽可能多的“点”采取病毒防护措施；第三，定期更新定义文件和引擎；第四，动态更新网络系统、桌面型计算机中的反毒软件；第五，定期备份文件，定期检查从备份中恢复的数据；第六，预订电子邮件病毒警报服务；第七，尽量少使用“不卫生的应用软件和介质”（游戏软件、色情碟片、外部系统的光，软盘片等）。要分析网络环境，确认易受攻击的程度、每个系统当前的状态以及系统内的关键资产或数据。其次，制定一个安全计划，特别是要对受保护的资产风险所导致的损失进行深入分析。接下来，组建一支由企业内部人员和厂商支持人员共同组成的队伍，同时确保正规的培训进度，培训对象应包括企业的安全专业人员及最终用户。最后，需要在产品、服务与响应能力方面加以适当的投入。
2 数据备份灾难恢复策略：针对目前中大型系统运行的规模和INTERNET的新情况，需要对我们的作好数据备份灾难恢复策略。包括适用范围、备份方式、备份数据的安全存储、备份周期、负责人等。比如，目前比较流行的基于SAN环境的备份方式，在基于远程大型系统的存储备份环境中得到充分的利用。
交流联系：
Mail：sglhy@163.com Mobile：13980530934