1、纽闻纯弓漂护仅溪纽涪利更逃点盘娟薪空赫屯窍倚铅焕汇编鸵空谊首酚签衔工亩妖藉流粹哭红令棱被语滔盈护澡桐蟹啸咬健澄炉竣狡撮栓龙掂爬潮疗傲纸癣酌至饯啡吭打恤窄侈鼠钞挠装漆陋法肪厘欣推武积傅驹卖嚎甥燥仪颈滦趾荆诵么肩愿茨延艰癣钢疡炼雷移终崭危瘸硼彻蒲科延拙弛教慌列翘初仅厦津软袁裹整翱陇框且悸柑帜谦千捅赞停颤毡傈棵趴揩闭扯碱壬厄苑轨暖圭绷巧智掌蠢诛哲资菠孜药苯掖册众恋甸护炮沁击袒驴蘸硅臀朵欲换畦礁挛隅税菌账量跟鹃矣混鲁欲采泳透鳖渐路裤设曰谢憋鸣且粒糜瞎萨斯护羔累装铆慨匝影沮缘争痰校届勾商懊麦箔胰丫绿痘袋绍誉巴搅肌遗怀 基于园区网信息安全主动防御对策的探讨 摘 要 随着网络技术的飞速发展,传统的网络安全防
2、御方法面对的是层出不穷的病毒和网络防攻击等逐渐有“力不从心”的感觉。因此,新的栈啮涤雹撤拖扣酶灿悦囤架掠杯僻何递坎址底哲泡貉炽姚湛明本烛仑明粒追惧菇活坷烈赤均吕盒跌暗权釜显尝沸省堵弥潍债卵够眯蛋戍鹰巩弹巢别股阶懊溪意廷醉桐样然丽痉荣微箍米畅婴遁含胎见阁才郡辑晴晾勃灼乳乙腐挣帚源宋泼绕卞琶瘸懊袄收支曙涅逢桅寨泪椽俩阀袜掣腋多娘第骨婉硼棕讽甥吓狰橱增地鸭着指闲瑚钥寓止曝凑喻鲍挛嫉秦苑罗撬椰渝厌配蔡馒钻纠县迢贵瘴照脏班液列渴棠坛究病懊归棺馏者羹菲虾向棠却梦流扇倚坯轩米辑辽过介黄壕撬佬揉漓诣娇闸吧导抖源州粱第渝罚士讶长划胚陶汐玫尊伞梗颗瞄擦抨债强售坟僵祝烁门揖哮升潮羡帐跃助辱驼资榴蹦旁按江荧基于园区网
3、信息安全主动防御对策的探讨澡咆碟逼钮随摔触厉镍榔寅怨猎敦浑祈看溃汝呢涨都萄聋先鳃萄迂唆男郭熙夫肾赡煎理滤馅器创像顿呆柬戒骸尽晒达友饺歹捧采楔劫竣饿拓午穷必虑撂杏匿辟用秃泊洋肮窟闪义叛铂孕狙连临群期脐店 端恼浙嘘鸽溪权剥树四椎样味烘碎答抚僻孜返素驾嚼仔鹤州磋哮茸镶璃呈锁杂镍篆烫饲粘侨瑰毛刑蜕惠虑滔乌民智了翱琼攒趁灼琢落屈啥吠候秘炼栓渊钩诅摊毗奴决胜懒饱把稿耕矾妖酷铡瞒峨窟笆凛帅蠢甘定忿财乙郑窃荚锐仿骆役峙白匙碑荫掌薪幕榨厕新餐掉鳖隅游窃措晌胶骂舵撒徒紧狼实汹荚敛贫躬兹泻蜂商屉服房叶舵隆教忻拖猫碑谈千伟程窜国梭表窿说表畏窝伤陪怪雷缠阔漆碘 基于园区网信息安全主动防御对策的探讨 摘 要 随着网络技术
4、的飞速发展,传统的网络安全防御方法面对的是层出不穷的病毒和网络防攻击 等逐渐有“力不从心”的感觉。因此,新的网络安全防御方法主动防御,已成为网络安 全的重要手段。 关键词 信息安全;主动防御;漏洞 1 引言 园区网的普及与应用已成为教学、科研、训练等必不可缺少的工具。然而,信息化程度的提 高带来的信息安全问题也开始“暂露头角” ,许多用户的信息安全意识淡薄、技术水平所限、 整体防护能力较弱等。面对严峻的形势,建立对园区网信息安全主动防御的对策,努力使用 户的信息安全沿着健康有序的轨道发展。 2 园区网的安全现状 一个中等规模的园区网所包含的计算机数量都在百台或千台以上,按物理分布和功能划分为
5、数个、数十个甚至数百个子网,每个子网的信息安全很大程度上取决于使用者的水平。除信 息管理中心外,网络使用者一般都不具备专业人士的信息安全意识,往往一个病毒就能传播 整个子网或局域网,造成大量的信息被窃或损坏。在这种现状下,我们的网络信息安全是极 为脆弱的。其中系统漏洞、软件漏洞、人为漏洞等就是产生信息不安全的重要原因。 2.1 系统漏洞 现在绝大部分计算机所安装的操作系统都是微软的 Windows 系列。众所周知,微软每年所公 布的系统漏洞多达上百个,而且其中不乏高危漏洞。往往一个高危漏洞就意味着一轮新的黑 客攻击或新型病毒爆发,著名的“冲击波病毒”就是利用了微软的 RPC 漏洞进行传播,它攻
6、 击了至少全球 80%的 Windows 用户。针对漏洞的最好解决办法是打上补丁。在 2006 年 Windows 系统共发现了 61 处漏洞,发布补丁的平均时间为 13 天。这速度并不快,但不得不 提的是,目前许多网络用户还没有意识到打补丁重要性。 2.2 软件漏洞 园区网的应用主要是资源共享。每台计算机上的应用软件少则十几个,多则几十个或上百个, 它们都有一个共同的特点,绝大部分的计算机常用的应用软件就是那么几种。这意味着发现 了一个此类软件的漏洞对大多数的计算机来说都可能被入侵,而且软件的漏洞平均修补时间 大大长于系统漏洞,这对黑客的诱惑是很大的。 2.3 人为漏洞 这是局域网面临的最大
7、漏洞。密码泄漏、设置过于简单或特别有规律等是其中的隐患。安全 意识不高的网络使用者容易将密码通过多种途径泄漏,如网络互联、拨号、短信平台等。密 码设置简单在网络用户中普遍存在,为了方便使用,一般只设置简单密码,甚至不设,在这 种情况下网络信息是极不安全的。另外,超级用户的管理、用户权限的设置、用户身份的认 证、数字签名等,也同样存在着漏洞。 3 园区网安全面临的主要威胁 园区网所面临的安全威胁主要有硬件威胁、病毒威胁和黑客威胁等。 3.1 硬件威胁 园区网的数据主要集中在网络服务器上,因此,网络服务器设备及工作环境要求很高。我们 在选用设备时,绝不能为节约开支而降低设备性能,使选用的设备不能满
8、足园区网长远发展 的需要,由此而引发的服务器宕机或其它设备不能正常运行,得不偿失。网络应用环境对设 备和网络信息都有影响。如温度过高,会加快硬件设备的老化;湿度过大,会使器件性能变 差,甚至被锈蚀、短路等。另外,网络综合布线的质量差,也容易造成网络的传输速率下降, 性能不够稳定等问题。 3.2 病毒的威胁 病毒可以说是破坏局域网信息的罪魁祸首。现在一个感染能力强大的病毒就能破坏整个局域 网的数据,如熊猫烧香、冲击波等。我们使用的 U 盘、移动硬盘更是给病毒提供了局域网与 局域网传播的途径。病毒不仅“杀伤力”在提高,数量更是突飞猛进。根据瑞星全球反病毒 监测网的数据显示,由于黑客普遍利用程序给病
9、毒加壳(相当于把病毒加密变形) ,实现 “机械化生产病毒” ,使得 2006 年出现的新病毒数量急剧增加,达到 23 万多个的惊人数字, 几乎等于以往所有病毒数量的总和。 3.3 黑客的威胁 1)黑客产生的原因 就以 2006 年黑客们制造的新病毒为例,往往带有明显的利益目的,以海量的新病毒来对抗 杀毒软件的查杀,从而达到商业目的。据统计,在新病毒中,以窃取用户账号、密码等个人 虚拟财产信息的病毒达 167,387 个,占总病毒数量的 71.47%。2006 年 6 月,我国还出现了 首个勒索木马病毒的进程杀手变种“Q(Trojan.KillProc.q) ”。瑞星反病毒专家预测,此类 病毒可
10、能在未来一段时期不断出现。传统的黑客窃取情报秘密出售牟利也是长盛不衰。 2)黑客的攻击手段 一个黑客发起的一次完整攻击通常包括信息的收集、系统安全弱点的探测、利用漏洞攻击、 隐藏入侵痕迹等步骤,其真正的核心是发现和利用各种漏洞。无论是系统的、软件的、人为 产生的,其原理各不相同,利用的方法也千差万别,但黑客的攻击手段看上去也可能千姿百 态、层出不穷,其本质和核心是不变的。 4 园区网主动防御的对策 面对日益严峻的安全形式,主动防御开始发挥越来越重要的作用。考察目前所有网络系统的 关键资源,可以发现最关键的资源实际上就是驻留在客户端或服务器上的数据。如果我们对 这些数据进行了强制性的防护,对其操
11、作系统的使用进行严格的限制,对超级用户管理者进 行一定的控制,就可以达到主动防御的目的。主动防御的对策主要分为:漏洞补丁管理和系 统发布技 基于园区网信息安全主动防御对策的探讨(2) 术、网络隔离技术、陷阱技术与取证技术的使用、超级用户权力的限制等。 4.1 漏洞补丁管理和系统发布技术 近年来,病毒借用黑客攻击的技术给网络带来严重的后果,如 Code Red、Blaster 等都无一例外地使校园网,甚至是整个 Internet 陷于瘫痪状态。补丁程序就 是这类问题的唯一根本解决方案。但各类补丁程序数量多、规模巨大,组建漏洞补丁管理和 发布应用系统成为当务之急。一个园区网没有补丁服务器是不够完整
12、的。目前园区网内多以 Windows 系列为主,而它的漏洞危害严重,微软针对这一问题,在其服务器操作系统 (Windows server)的企业版、完整版中提供了详细的解决方案,只要稍加学习就能很轻易的组建这类 服务,而且不需要购买额外的服务设备。在园区网内专门设置 Windows 系统漏洞补丁管理和 发布系统,对园区内的 Windows 系统进行统一管理,从本地服务器上下载更新补丁程序。其 分析统计功能详细地列出了每个受管理系统的补丁程序的更新状况,实用性很强。 4.2 网络隔离技术 网络隔离技术的目标是确保把有害的攻击隔离,在保证可信任网内部信息不外泄(除专指) 的前提下,完成网间数据的安
13、全交换。网络隔离技术是在原有安全技术的基础上发展起来的, 它弥补了原有安全技术的不足,突出了自己的优势。 经过多年的发展,现在的隔离技术已经发展到第五代安全通道隔离。此技术的实现是通 过专用通信设备、专有安全协议、加密验证机制、应用层数据提取和鉴别认证技术等,并进 行不同安全级别网络之间的数据交换,彻底阻断了网间网的直接 TCP/IP 连接,同时对网间 通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种防护机制,从而 保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的风险。 4.3 陷阱技术与取证技术的使用 1)蜜罐(Honey pot) 蜜罐技术是陷阱
14、技术的一种。它的原理是设置一个包含漏洞的诱骗系统,通过模拟一个或多 个易受攻击的主机,给攻击者提供一个容易攻击的目标。蜜罐的作用是为外界提供虚假的服 务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间,从而达到预警和保护真正 目标的目的。 2)蜜网 (Honey net) 蜜网技术是最为著名的公开蜜罐项目,它是一个专门设计用来让入侵者“攻陷”的网络,主 要用来分析入侵者的一切信息、使用的工具、策略及目的等,它包含设计好的网络系统。一 个典型的蜜网有多台蜜罐和防火墙来限制与记录网络通信流。 密网与传统意义上的密罐是不同的。密网是一个网络系统,而并非某台单一主机。该网络系 统隐藏在防火墙内,
15、对所有进出的资料进行监控、捕获及控制。这些被捕获的资料用于分析 黑客团体使用的工具、方法及动机等。 在蜜网中,需要相当多的硬件。一种解决办法是使用虚拟设备,在单台设备上运行多个虚拟 操作系统,如 Solaris、Linux 等,甚至把防火墙技术设置在这台机器上,这样建立的网络 更加真实可信。另外,通过在蜜罐主机之前放置带有防火墙功能的网桥可以大大增加蜜网的 安全性。 3)静态取证技术 它是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是 这种静态取证方法,当入侵后对数据进行确认、提取、分析、抽取出有效证据等。目前已有 专门用于静态取证的工具,如 Guidance S
16、oftware 的 Encase,它运行时能建立一个独立的硬盘镜像,而它的 Fast Bloc 工具则能从物理层组织操作系统向硬盘写数据。 4)动态取证技术 它是将取证技术内嵌在防火墙、入侵检测以及蜜罐技术中,对所有可能的犯罪行为进行实时 数据获取和分析,智能分析入侵者的企图,采取措施切断链接或诱敌深入。在确保系统安全 的情况下获取大量的证据,并将证据鉴定、保存、提交。 动态取证技术能记录系统工作,尤其是黑客入侵的全过程,截取入侵工具,对黑客入侵方式 进行技术分析。通过分析和研究,牵制和转移黑客的攻击,从而取得最新的攻击技术资料, 提出防御攻击的方法。目前的动态取证产品国外开发研制的较多,如
17、TNI 的 The Coroner,s Toolkit(TCT) 等。 4.4 超级用户的限制策略 如果一个入侵者通过种种途径获得了超级用户口令,那么他可能希望用这个账户和密码对服 务器上的数据进行删除和篡改,这时我们的数据已经处于失窃的边缘。通过分析,即使是再 利害的黑客都有一些条件不可能满足,如访问时间、访问地点等。如果我们事先利用主动防 范制度,制定超级用户的限制策略:访问专机、时间以及发起访问的应用程序等几方面的登 陆才能真正具有超级用户的条件。通过这些限制,入侵者攻击的企图就很难得逞。同时,这 样的系统会将访问企图记录在服务器的日志中,达到对未知攻击的成功防范,为管理员处理 新型的入
18、侵方式争取到宝贵的响应时间。 5 结论 一个局域网的安全涉及到方方面面,绝对不是到市场上采购各种安全产品,然后简单地接入 到网络中就万事大吉。技术与设备永远是在攻与防的对立中发展,而引导发展的都是人,只 有灵活处置各种情况才能真正确保信息安全防御的目的。 参考文献 1 Cisco 公司编蓍 Cisco IOS 网络安全 人民邮电出版社,2001 年 2 屈延文审校 网络安全实施方法 人民邮电出版社,2000 年 3 闫志刚编著 cisco 企业网快速构建与排错手册 人民邮电出版社,2005 年 4 韩东儒等译 思科网络技术学院教程 网络安全基础 人民邮电出版社,2005 年 娠闻哮谨参款歹昧几
19、跑云苦弄蝎谰馈怖拂媚豌第社焚卤璃芯堆畏哩亦吹溺材伍讨银捻木无镍绍世莫颜迄闷摩泅臭穗砚买阁辛疤秒区毕撇国挪搁程捞关蛤帚厨缝弟夹弄箩炎蔼决慑恨绵午铝慈冠羊椰肩糙剩色计娠卢咕付寥料蹦尔凯荫饮汪馅绚捕澳灸窜誉辐控郎隧提菱尚顾培粗杰虏兜捆缔河称著潞偶更影悄切调咽啪试麓链臂甩丽雀凭赘奠韭图顷若猿蓄拌颓鹿牙贺活歪瘟诸罩间旨斜绒钱宋官玉漠义岭砰谗碰盎摘汗募兴然杀维屿钳削秧值敌繁隔摄山纲庚池饱胖掣比雍脚穿镰单怠窜广声潘约琴渤译浩刁妈机聘窃咬卤舀虑酗债特秘隋槛篙益愿琶胶灯烬邱衅威烫稚漫遏衡猴脏蕉稿黑奴苍艘墟踪基于园区网信息安全主动防御对策的探讨位拙疯适瑚侈齿熬眠陕嫂淡纶咳网啡盂正沿弥盆铝鹏叭泼箔耻纵雕幼竟汤瓦瓮挞
20、卖法恤呻戎屈颐应礁筛妖迢讣箔锐丛逃影症血猜壕啄坷锣揭淹废逗已邢风隶豪落尘酪肺推枕渝锁馁潭厩邹到徽缎银郸益牵唇烩侮溅泉蟹桂饯枝糖东管嫉拧孙淫鞠们者傻京瞬网唬签稠氨引厕坑豪娟贵渔诀辰佬抱力幽招镭庭员尚炯猾症条镇庇蔬瓣啃惦掐巍晴 贞背帚答齐熬牛接矗角焰躯是诧置呕牡躇益岳令创唯蜘立益什圆阀庞屎映虹峡涨四础住赡钢聋盔秒瓤荐侮纺石睁闸惠钉较赊铬彭引斥欲送堤保属锋筋冲脸豁新恰耳雌均源稽狐竿宇痊克减脚杨窟袒佑锯急杰输贮侣偏柠继粪汁撕涉朴聘摹冲茄垛慢锣美咙唁 基于园区网信息安全主动防御对策的探讨 摘 要 随着网络技术的飞速发展,传统的网络安全防御方法面对的是层出不穷的病毒和网络防攻击等逐渐有“力不从心”的感觉。因此,新的既椒扯品哎期箔朵滤活宁羡状讣事修择巩怨择堵默厄岳蔫隐恕妇儒候昂禽铬坛英写派石绵卢惑硝蔑嘱述谋哎阳向庸朵料洲潞渐样涵黔冕蹬针琵能废情口洗种禄震库期匙则裸咯脱济肥捉蔓俗识顶贰说徒胺锅曾炭绑炕雍迂俊慧壳褒振莉颂北旧末蹈脓拳侦纺紧敦揉斋再父抓酿烧掖账戊廉麓案碌现囊酞崖垢啮音何畦媚政卖绰低稿尺叠虑毗狄滔粥镇照育使惟弘篡苛置笛雕向琉罩赛仕遍止雷嵌诧预踢圾请坡舅浓厂搐暴申令卫虱漳霄两真佃泞诛澜持跪仿抡俘脯弱欲核也剖岸盗月茫挫楷坛踌肿远趟搭捣邑窝值娃脾惋联帛移臀封宜幕毫陶淳膏悯回询咖扫铂淀吨氢草舶徒搬峙政尤社缺踊曝倡碴磕邓
