1.1   网络安全的内涵

随着计算机和网络技术的迅猛发展和广泛普及,越来越多的企业将经营的各种业务建立在 Internet/Intranet 环境中。于是,支持 E-mail 、文件共享、即时消息传送的消息和协作服务器成为当今商业社会中的极重要的 IT 基础设施。然而,大部分企业在充分体会到了互联网的好处的时候,却较少关心网络互联带来的风险。
据报道,现在全世界平均每 20 秒就发生一次计算机网络***事件,而全球每年应网络安全问题造成经济损失也达数千亿美金。现在,我们日常使用的软盘、 CD VCD DVD 都可能携带恶性代码; E-mail 、上网浏览、软件下载以及即时通讯都可能被***利用而受到***;一台新计算机在连接到网上不到 15 分种即可能被扫描到。所以我们的所处的网络环境已没有值得信任的了。
随着全球信息高速公路的建设和发展,个人、企业乃至整个社会对信息技术的依赖程度越来越大,一旦网络系统安全受到严重威胁,不仅会对个人、企业造成不可避免的损失,严重时将会给企业、社会、乃至整个国家带来巨大的经济损失。因此,提高对网络安全重要性的认识,增强防范意识,强化防范措施,不仅是各个企业组织要重视的问题,也是保证信息产业持续稳定发展的重要保证和前提条件。

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.1.1 什么是网络安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于如何防范外部非法***,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。

1.1.2 网络安全的特征

网络安全一般应包括了以下五个基本特征:
l  机密性。确保网络通讯信息不会受到未经授权用户或实体的访问。
l  完整性。确保只有合法用户才能对数据进行修改,即要保证非法用户无法篡改、伪造数据。
l  可用性。确保合法用户访问时总能从服务方即时得到需要的数据。也就是确保网络节点在受到各种网络***时仍能为客户请求提供相应的服务。
l  可控性。确保可以根据公司的安全策略对信息流向及行为方式进行授权控制。
l  可审查性。确保当对出现网络安全问题后能够提供调查的依据和手段。

1.1.3 网络安全的根源

面对层出不穷的网络安全问题,现在的个人或组织一般只是被动的防御,即出现问题后才会在网上找相应的补丁和应对措施,或求助于网络安全公司。这样即使能够解决当前的危机,但也不可避免对个人和组织造成了影响,而且下一次的安全问题却随时都会爆发。所以对于网络安全,为了防范于未然,因首先了解网络安全的根源,然后制定相应的安全策略,做到事前主动防御、事发灵活控制、事后分析追踪。
网络不安全的根源可能存在于下列方面:即 TCP/IP 协议的安全、操作系统本身的安全、应用程序的安全、物理安全以及人的因素。

 

²  TCP/IP 协议的安全问题

TCP/IP 协议是进行一切互联网上活动的基础,它使不同的操作系统、不同的硬件设备、以及不同的应用能够在不同的网络环境中进行自由通信。但由于 TCP/IP 协议一开始的实现主要目的是用于科学研究,所以在网络通信的安全性方面考虑得很少,这也适用于当时的网络环境。但当时的开发者没有预料到互联网发展如些迅速,而 TCP/IP 协议也成为了 Internet 网络通信协议的标准和基础。随着 Internet 所具有的开放性、国际性和自由性在逐步体现的时候, TCP/IP 协议由于这种先天不足对网络安全造成的影响也逐步体现出来。所幸的是 TCP/IP 的下一个版本已充分考虑到了这个严重的问题,在 IP v6 内置了 IPSec 等网络安全机制。我们期待 IP V6 的到来,使我们的网络安全有一个根本上解决。

 

²  操作系统本身存在的安全问题

不管基于桌面的、网络的操作系统,还是基于 UNIX Windows 以及其它类型操作系统,都不可避免的存在诸多的安全隐患,如非法存取、远程控制、缓冲区溢出以及系统后门等。这从各个操作系统厂商不断发布的安全公告以及系统补丁中可见一二。

 

²  应用程序本身存在的安全问题

应用程序配置和漏洞问题通常是恶意软件***或利用的目标。如***者可以通过诱使用户打开受感染电子邮件附件从而达到***系统或使恶意软件在整个网路上的传播。而其它如 WWW 服务、即时通讯、 FTP 服务以及 DNS 服务等都存在不同程度的安全漏洞,只有通过及时的更新才能防止受到恶意的***。

 

²  物理安全

逻辑上的安全固然重要,但物理的不安全可能导致企业安全策略的失败。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,也是整个组织安全策略的基本元素。对于足够敏感的数据和一些关键的网络基础设施,可以在物理上和多数公司用户分开,并采用增加的身份验证技术(如智能卡登录、生物验证技术等)控制用户对其物理上的访问,从而减少安全破坏的可能性。

 

²  人的因素

对于计算机安全,最重要最基本的起点是从涉及计算机的人员开始,即用户、系统管理员以及超级管理员。所以计算机安全最基本的方法也许还是人的因素第一。安全的最弱点是人们的粗心大意。
因人的因素造成的安全威胁很多,如因无意失误而产生的配置不当、企业由于生存的压力重视生产而疏于安全方面的管理、系统内部人员泄漏机密或外部人员通过非法手段截获企业机密信息等。

1.1.4 网络安全的关键技术

从广义上讲,计算机网络安全技术主要有以下几类:
l    主机安全技术 主机 的安全风险是由***者利用主机或设备提供的服务的漏洞而引起的。主机有两大类别:客户端和服务器。有效保护客户端和服务器的安全需要您权衡安全程度和可用程度。主机防御可以包括操作系统加固、强身份验证方法、更新管理、防病毒更新和有效的审计等项目。

l    身份认证技术 增强的身份验证机制可降低成功***您的网络环境的可能性。许多组织仍使用用户名和密码组合来验证用户对资源的访问权限。基于密码的身份验证可能非常安全,但最为常见的是由于密码管理不善而非常不安全。如今广泛使用的是更安全的非基于密码的机制,例如 X.509 证书、基于时间的硬件标记或辅助身份验证过程(如生物测定法)。您可能需要结合使用不同的身份验证机制(例如,将存储在智能卡上的 X.509 证书与个人识别码 (PIN) 结合使用)以使组织具备更高级别的安全性。

l    访问控制技术 采用访问控制技术可以根据企业的管理策略决定哪流量可以进入,哪些流量必须阻止。访问控制的基本元素可以是用户(组)、协议、 IP 地址、端口号以及时间等。
l    密码管理技术 密码管理涉及建立密码策略、更改和重置密码以及将密码更改传播到连接的所有标识存储。例如,使用密码管理,用户只需一次操作即可同时更改其网络登录密码、 SAP 帐户凭据、电子邮件凭据和网站密码。
l    防火墙技术 防火墙是在一个内部可信任的私有网络和外部不可信任的网络之间建立一个检查点,在这个点上可以根据企业的安全策略控制出入的信息流,禁止一切未经允许的流量通过,从而有效的保证企业网络的安全。
l    安全审计技术 安全审核提供了一种监视访问管理事件和目录对象更改的手段。安全审核通常用于监视发生的问题和违反安全性的情况。在实施之前需要确定哪些类型的审核事件最为重要,需要捕获、存储和报告它们。

l    安全管理技术 企业网络安全不仅需要外部的软硬件技术的应用,还需要建立一套善的企业的安全管理策略。 整个策略的基础包括您的组织用来满足和支持每个层的需求的策略和过程。此级别的组成部分包括安全策略、安全过程和安全教育计划。

1.2   网络中的数据风险

不管是网络***,还是信息窃取者,或是信息的破坏者,他们最终的目标绝大多数都是企业的数据,如应用数据、业务数据或其它重要的信息数据等。所以网络中的不同类型的数据处在各种各样的风险之中。对网络中各种数据的认识及其敏感程度的了解有助于对组织重要数据的保护。

1.2.1 网络中的数据类型

网络中的数据类型按敏感程度或安全级别由低到高的次序可以分为以下四类:
l 公开数据。所有可以(或希望)为内外人员获取的自由信息,一般以 Web 页面的形式发布在企业的内外站点上。公开数据应保证其完整性和信息的及时性,对于公开数据的破坏将会使组织受到威信、信任和收入的损失。
l  内部数据。只可以(或希望)为内部人员获取的、便于组织正常操作所使用的数据,如工作秘密、商业秘密信息。内部信息必须保证只能在所管辖范围内被及时、正确地使用,要防止泄漏给外部用户。内部数据的丢失或破坏可能导致组织正常操作的中断或产生不必要的损失;
l  秘密数据。只可以为组织内一定范围人员获取的信息,并且在访问和更改方面有严格的安全控制。秘密数据对大多数内部用户保密,它的损害可能导致组织内部操作混乱和信任威机的产生。
l  机密数据。极少数的组织内指定人员获取的最高秘密,如商业机密或属于知识产权方面的内容等。根据有关规定,机密信息不能放在网上,必须保证其物理的安全。任何机密数据的丢失都被认为不可接受,可能会导致组织的严重的损失,甚至危及到组织的生存。

1.2.2 组织中常用的数据

组织中有各种各样的数据,这里我们作了一个分类,如下表 所示。表中描述了组织中常见的各种数据的类别及其它全程度。其中一种数据类别由于其适用环境不同,其安全级别也有所不同。一般安全级别越高,则由其破坏对组织产生的影响越大。

1.3   网络中潜在的威胁

由于开放性、共享性以及各种引入新技术、新服务的运用, Internet 发展迅速,逐渐成为全球重要的信息传播工具。据 2004 6 月的不完全统计, Internet 现在遍及 186 个国 家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。可以说Internet上应用尽有,需要的任何资料只需在搜索引擎中输入关键字就可出现。但在我们享受到Internet给我们带来的无穷乐趣的时候,一些别有用心的人也在通过Internet这个信息共享通道做起了一些非法的勾当。于是病毒、蠕虫、网络欺诈、******等事件越来越多,网络***对人们心理造成的影响以及对组织造成的损失也越来越大。
总的来说,网络中存在的潜在威胁主要有内部***、社会工程学、组织性***、意外的安全破坏以及自动的计算机***。

1.3.1 内部的***

虽然防火墙在企业周边网络建立起了一道安全防线,抵御了绝大多数的外部***。但防火墙不是万能,它解决的只是网络安全周边网络的一部分。据报道,企业面临的各种网络***中,来自企业内部的***占到 70-80% 。所以机构面临的最大的信息安全威胁更可能是在你的办公室内。
Secret Service 的调查结果显示, 80% 的内部***者在对公司发动***前,都存在一些不正常或消极的行为,以下是调查得出的一些结果:
l  92% 的内部***者在工作上遇到过一些不愉快的事情,如降级、调岗,受到警告或被终止合同。
l  在内部***中, 59% 是企业的前雇员或合同工, 41% 仍然在职。
l  在前雇员中, 48% 是被开除的, 38% 是辞职的, 7% 属于解聘。
l  86% 的内部***者来自技术部门,这其中,系统管理员占 38% ,程序员占 21% ,工程师占 14% 14% IT 专家。
l  96% 的内部***者是男性。
l  1/3 的***者有过被捕历史。
l  57% 的***者在***之前被其他人发现情绪不好。
l  主要***方式为远程访问。
l  实施内部***的主要动机都是为了报复。
由于内部***一般具有组织合法用户帐号,因此有能力绕过你为了保护你的网络周边安全设置的物理的和逻辑的控制措施,获得访问大部分基础设施的权限,从而违反了你为他们制定的信任规则在你的网络中从事恶意的的活动,如从读取限制的数据到偷窃或者破坏数据。所以在诸多的网络***中,内部***是最常见,也是对组织网络威胁最大的***。

1.3.2 社会工程学

社会工程学是利用人性的弱点或其它心理特征(如受害者本能反应、好奇心、信任、粗心大意、贪婪以及同情心、乐于助人等心理)并通过欺骗的方式以获取网络信息的行为。在网络安全技术运用日渐完善的今天,这种***方式因其特有的优点而在近年来已经呈现迅速上升甚至滥用的趋势。
“网络钓鱼”是近来社会工程学的代表应用——通常***者都是利用向受害者发送垃圾邮件,将受害者引导到一个与某些电子银行网站一模一样假网站,粗心的用户在输入用户名和口令的时候也就是***得逞的时候。
最近出现的“鸡尾酒钓鱼术”比起“网络钓鱼”更让人防不胜防。与使用仿冒站点和假链接行骗的“网络钓鱼”不同,“鸡尾酒钓鱼术”直接利用真的银行站点行骗,即使是有经验的用户也可能会陷入骗子的陷阱。这种欺骗技术是通过用户点击邮件中包含这种技术的恶意代码的链接登录到真正的网上银行站点时,站点上会出现一个类似登录框的弹出窗口,毫无戒心的用户往往会在这里输入自己的账号和密码,而这些信息就会通过电脑病毒发送到骗子指定的邮箱中。同时由于骗子利用了客户端技术,银行方面也很难发现自己的站点有异常。

1.3.3 组织性***

随着系统安全保护能力的增强和对网络犯罪惩罚的力度更加严厉,一种更有目的性、破坏力更大的组织性***进入了网络犯罪领域。这种***一般是由一个犯罪集团组织发起,向商业系统、金融单位、政府部门以及军事机构进行有计划有针对性的***。
组织性***在战争期间甚至可能会发生在国家之间。 2006 6 28 以色列为解救一名被绑架的士兵,在加沙发动了猛烈的“夏雨”行动。让人意想不到的是,虽然以色列的坦克群在加沙几乎没有遇到任何像样的抵抗,但以色列却遭到了来自另一个战场上的密集袭击。据以色列新闻网报道,“夏雨”行动刚刚启动,以色列国内 750 多个网站立刻遭到了阿拉伯一个名为“魔鬼队”的计算机***组织发起的报复性***。该组织对 750 多个以色列公司和组织网站同时发动了大规模密集***,报复以军对巴勒斯坦人采取的军事行动,并在瘫痪后的以色列网站首页上打出口号:“你们杀死了巴勒斯坦人,我们杀死你们服务商。”
组织性***一般也会发生在存在竞争的组织之间,为了获取商业或竞争优势,***者试图获取对其它公司的商业机密或它们存储在网络上其它知识产权进行非授权访问或进行恶意破坏。

1.3.4 意外的安全破坏

意外的安全破坏更多的来源于人的粗心大意或一个规划拙劣的网络。如非故意的授权可能使一个普通用户访问到公司的受限资源。不合适的许可能导致用户无意识的阅读、修改或者删除一些重要数据。所以必须有一个设计周密的安全策略,特别是对用户和组权限管理和维护需要特别小心。

1.3.4 自动的计算机***

自动的计算机***无须***者手动控制,它会自动寻找网络中的弱点进行自动的***。如网络病毒、蠕虫、以及 流氓软件 等恶意代码程序。

计算机病毒是***者编写的可感染的依附性恶意代码,能够自动寻找并依附于宿主对象,它可以通过软盘、光盘、硬盘等存储介质以及网络进行自动的传播。如在 2004 年出现 WORM_MYDOOM.B 的同型变种病毒,可以透过电子邮件的方式扩散。它的***方式为伪装成退信或一般收信常见内容,受害者一旦开启信件或者其所带的附件后, Windows " 记事本 " 程序便会自动跳出,而受害者的系统此时便已中毒。同时间病毒会自动搜集计算机中的通讯簿,并透过 Email 大量传播。这种病毒危害性较大,不仅会***个人计算机窃取私密资料,并能攻陷特定的网站,造成重大的灾情。

蠕虫是***者编写的可感染的独立性恶意代码,是一种与计算机病毒相仿的独立程序,可以在计算机系统中繁殖,甚至在内存、磁盘、网络中爬行,但不需要宿主对象。近年来,蠕虫所引发得安全事件此起彼伏,且有愈演愈烈之势。从2001年爆发的Codered蠕虫、Nimda蠕虫和SQL杀手病毒,到2003年肆虐的“冲击波”和2004年的“震荡波”,以及2006年横行网络世界的“熊猫烧香”,无不是“蠕虫”在作怪。蠕虫病毒会感染目前主流的WINDOWS 2000/XP/SERVER 2003系统,如果不及时预防,它们就可能在几天内快速传播、大规模感染网络,对网络安全造成严重危害!

近年来出现的流氓软件是一种不感染的独立性恶意代码。它介于计算机病毒与正规软件两者之间,同时具备正常功能(下载、媒体播放等)和恶意行为(弹广告、开后门),在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,从而给用户系统带来实质危害和使用上的诸多不便。 

现在许多形式的恶意软件嵌入一个电子邮件引擎,以便使得恶意代码利用电子邮件以快的多的速度传播,并且避免制造容易被检测到的异常活动。目前,大量的邮件群发器利用受感染系统上的后门来使用这种电子邮件引擎。所以自动的计算机***必将愈演愈烈,危害也将越来越大。

1.4   网络安全评估标准

安全防护体系的基础包括制定安全访问制度和制定安全等级与标准,以便于对一个 IT 安全产品和系统的安全性进行评估。同时有助于网络设计者来选择网产品和设计网络。
安全评估标准及技术作为各种计算机系统安全防护体系的基础,已被许多企业和咨询公司用于指导 IT 产品安全设计、以及衡量一个 IT 产品和评测系统安全性的依据。目前国际上比较重要和公认的安全标准较多,本节将介绍可信任计算机标准( Trusted Computer Standards Evaluation Criteria TCSEC )和联合公共标准( Common Criteria CC )。

1.4.1 可信任计算机标准

可信任计算机系统评估标准( TCSEC )是 1985 年由美国国家计算机安全中心( NCSC )制定并一直用于评价一个计算机系统的安全性。该标准将计算机系统分成 ABCD 四类,并且依安全级别由低到高划分为 7 个级别,分别为 D C1 C2 B1 B2 B3 、以及 A 级。
²  D

D 级为安全级别最低的级别,没有系统访问限制和数据访问限制,任何人都可登录到系统不受限制地访问他人的文件和数据。属于这个级别的系统如 MS-DOS

 

²  C1

C1 级提供选择性的安全保护,系统不需要区分用户群,提供最基本的访问控制,用户认为 C1 系统中的文档均具有相同的机密性。这种级别的系统对硬件有某种程度的保护,系统将通过用户名和口令来判定登录用户是否合法并授予相应的文件访问权限。 C1 级的不足之处是用户能够直接访问操作系统的超级用户,不能控制进入系统的用户的访问级别,所以用户可以将任意数据移走。

 

²  C2

C2 级除了包含 C1 级的所有特性外,还提供具有访问控制环境( controlled-access environment )的权力。系统而且加入了身份认证级别,可以区分用户群,存在对资源、数据、文件和进程的系统级保护。同时,系统还提供了对发生事件的审核功能,从而便于对用户行为的记录以及对***事件的分析追踪。达到这个级别的系统如 Windows NT XENIX 以及 UNIX 系统等。

 

²  B1

B1 级即标志安全保护( labeled security protection ),是支持多级安全(如秘密和绝密)的第一个级别。在这一级别中,对象(如盘区和文件服务器目录)必须在访问控制之下,不允许拥有者更改它们的许可权限。 B1 级安全措施的计算机系统,随着操作系统而定,一般政府机构和防御承包商是 B1 级计算机系统的主要拥有者。

 

²  B2

B2 级提供结构化保护,它要求计算机系统中所有对象都要加上标签,而且给设备(如磁盘、磁带和终端)分配单个或多个安全级别。它是提供较高安全级别的对象与另较低安全级别的对象相通信的第一个级别。

 

²  B3

B3 级提供安全域保护。它使用安装硬件的方式来加强域的安全,例如内存管理硬件用于保护安全域免遭无授权访问或其它安全域对象的修改。该级别也要求用户通过一条可信任途径连接到系统上。
²  A

A 级又称验证设计( verity design ),是标准中的最高级别,它包括了一个严格的设计、控制和验证过程。设计必须从数学角度进行验证,而且必须进行秘密通道和可信任分布的分析。

1.4.2 联合公共准则(CC

联合公共准则( CC )标准源于并统一了世界多个国家的信息安全的准则规范,包括欧洲 ITSEC 、美国 TCSEC 、加拿大 CTCPEC 以及美国的联邦准则( Federal Criteria )等。 CC 标准被国际标准组织( ISO )正式采纳为 ISO/IEC 15408 Parts 1-3 ),而我国则将引入的 ISO/IEC 15408 标准作为 GB/t 18336 国家标准。
CC 标准是第一个国际上共同接受的 IT 安全标准,它很有意义的贡献之一便是将安全功能需求( Security functional requirements )和安全保障需求( Security assurance requirements )通过标准独立的两个部分分开( Part2 Part3 )。评估将在特定的安全功能要求上选择适合产品自身条件和产品用户要求的安全保障需求,或者选择欲定义的安全保障级别( EAL )。同时, CC 标准采用了一套公共的准则规范为 IT 保障类产品的广泛用户群体提供最大的便利。