论文部分内容阅读
[摘要] 随着信息时代的到来电子商务和在线交易已经成为当今商业社会的一部分,越来越多的企业发现内部计算机网络中存在安全隐患而遭受计算机罪犯勒索。大多企业重视提高企业网的边界安全,而企业网络的核心内网还是非常脆弱的,对内部网络安全威胁的认识,直接关系到所采取的安全防范策略措施。要制定内部网络安全防范措施,必须首先搞清内部网络安全的威胁因素,才能做到对症下药。必要的防范手段是保证信息安全的前提。
[关键词] 内部网络 安全威胁 技术策略
1引言
目前人们对网络安全普遍都有一个不全面的认识,即认为对企业内部网络(Intranet)的威胁主要来自于企业外部。因此,网络安全部门、网络设备用户和网络产品开发者都将主要精力放在了研究如何防止网络遭受来自于企业外部的攻击,而忽视了来自于企业内部的网络安全威胁。
由于互联网的快速发展,公司各种商务活动和信息共享的需要,企业内部网络需要24x7与互联网(Internet)相连接,以便于异地分支机构、合作伙伴、用户的各种访问或服务共享,这在极大地方便了企业商务活动的同时,也使企业网完全暴露在病毒、黑客等非法入侵的威胁之下。几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备堵住了来自Internet的不安全因素。然而,lntranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
但是对国内大多数企业来说,对网络安全的认识还仅仅停留在购买杀毒软件和防火墙来抵御外来入侵的层面上,但是对于来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。实际上内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。因此,公司对内部网络安全威胁的认识,直接关系到所采取的安全防范策略措施。
2内部网络存在的安全威胁
内部网络存在的安全威胁有一部分是安全系统的部署缺陷,而更多的是终端用户的不良操作习惯导致的。
2.1 网络交换机的安全威胁
在实际网络环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其他设备的攻击趋势越来越严重,带来的影响越来越剧烈。随着局域网的广泛互连,加上TCP/IP协议本身的开放性,网络安全已成为一个突出问题,而交换机作为网络环境中重要的转发设备,其普通安全特性已经无法满足现在的安全需求,因此交换机需要增加安全防范措施来应对出现的安全威胁。针对网络交换机的常见攻击有:针对VLAN中继攻击;生成树协议攻击;MAC表洪水攻击;ARP攻击;VTP协议攻击等。
2.2 过时的微软服务包
运行未安装最新更新程序的Windows是另一个严重问题。及时更新软件是一条安全基本常识,每家公司都在设法做到这点,但大多数公司是借助于自动更新。
然而,为公司的每个台式机打上补丁已经是一项艰巨任务,更不用说还要顾及连接到网络上的笔记本电脑、个人数字助理和手机了,总会有漏网之鱼;同样道理,只要有一个端点存在已知安全漏洞,就足以危及整个网络系统。
2.3 用户和用户组权限分配不合理
让适当的用户组做适当的事情,尽量不分配多余的权限,避免用户和用户组权限分配不合理。
2.4 反病毒问题
由于恶意软件编写者使用的一种感染手法就是,在尽可能短的时间内感染尽可能多的计算机。因此,各大反病毒软件厂商每周都在不断的发布更新程序,所以让保护机制处于最新版本对网络安全十分重要。
2.5USB设备的不规范使用
内部网络最大的威胁是未加登记或未加保护的USB设备。感染的来源未必是内部员工。来访者(不管有没有受到邀请)访问公司的计算机后,就能轻易插入USB存储设备。很多木马和病毒正是借助这个途径来大肆传播和产生危害的。Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接,所以这带来了极大的限制。
2.6 账号及口令管理不严及设置不合理
账号及口令管理不严格,导致外来者很容易得到。设置账号和密码常常较简单,与使用者的生日及一些个人信息相关,或者使用常见的词汇做为密码,使得用来保护计算机的安全屏障形同虚设。
2.7 未经授权的远程控制软件
远程控制软件对诊断软硬件方面的故障大有帮助。但这类软件对不法分子来说同样大有帮助,因为它为进入计算机提供了一条便道。在某些情况下,远程控制软件由需要能够从其他地方访问台式机的用户来安装。在另一些情况下,却是有人未经授权擅自安装上去的,这些安装或改动的软件旨在用户浑然不知或未经同意的情况下,允许第三方使用系统。
2.8 无线连接
如今的笔记本电脑当中约有95%随机配备了内置的无线访问功能。无线连接缺乏有线网络的安全性。
推荐的策略一般是控制威胁,而不是试图完全消除威胁。虽然端点安全面临的有些威胁(比如未经授权的对等文件共享)能够从公司网络上加以消除,但另一些威胁还不能完全消除(比如无线连接和USB设备,对现代公司的IT部门来说相当必要)。
2.9 用户操作失误
用户操作失误,可能会损坏网络设备如主机硬件等,误删除文件和数据、误格式化硬盘等。
3常用防范方法
鉴于以上种种的安全隐患和风险,我们有必要采取一定的手段来进行见招拆招的防范。
3.1 对网络安全的要求
(1)物理安全。物理安全主要包括环境安全、设备安全、媒体安全等方面。处理秘密信息的系统中心机房应采用有效的技术防范措施,重要的系统还应配备警卫人员进行区域保护。
(2)运行安全。运行安全主要包括备份与恢复、病毒的检测与消除、电磁兼容等。涉密系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。应采用国家有关主管部门批准的查毒杀毒软件适时查毒杀毒,包括服务器和客户端的查毒杀毒。
(3)信息安全。确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务。
3.2 各种防护方法
3.2.1 通过在网络周边设置防火墙、在客户端PC上安装防病毒软件保护网络。
不幸的是,网络仍然易于遭受更高级的安全威胁(例如病毒和蠕虫),因为大部分防火墙不能深入检测病毒特征码,更无法通过网络行为异常检测(NBAD)寻找具有攻击性的网络行为。同样,PC防病毒软件不能做到防范时时的病毒攻击,更不用说有许多客户允许那些未更新防病毒文件的终端用户访问网络。
3.2.2 认证技术和访问控制
认证是防止恶意攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用。认证的主要目的有两个:(1)验证消息的发送者是否合法;(2)验证消息的完整性,保证信息在传送过程中未被篡改、重放或者延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。消息认证和身份认证解决了通讯双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动。
访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。訪问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.2.3 入侵防护技术(IPS)
作为一种主动式的防范技术,入侵防护能够弥补防火墙等反应式技术的不足,帮助人们扭转被动防范局面。入侵防护技术是近两年出现的主动防范技术。它能够实时检查和阻止入侵。如果有攻击者利用漏洞发起攻击,入侵防护设备能够从数据流中检查出攻击并且加以阻止。传统的防火墙只能对网络层进行检查,不能检测应用层的内容,因而也就无法发现针对应用层的攻击,而入侵防护可以深入应用层检查数据包。所有的数据包在经过入侵防护设备时,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
3.2.4 蜜罐和蜜网技术
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络,在诱捕网络架构中,包含一个或多个蜜罐,同时又保证了网络的高度可控性,以及提供多种数据捕获和数据分析工具,以方便对攻击信息的采集和分析。
3.2.5 计算机取证技术
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,并对入侵事件进行重建的过程。
主要技术有:(1)数据保护技术,(2)磁盘镜像拷贝技术,(3)数据恢复技术,(4)数据分析技术,(5)入侵检测取证技术,(6)陷阱网络取证技术。
取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉讼证据也存在一定的争议。取证技术的法律完善是一个亟待解决的问题。
4内部网络安全防范措施
在制定单位内部网络安全防范措施时,要因地制宜,应分析单位内部网络与信息安全的威胁因素,对网络安全防范实行周密部署:(1)通过有效的隔离措施保障各网络系统的数据安全,如单位内部网络与互联网的逻辑隔离、单位内部各业务部门的逻辑隔离;(2)合理配置网络设备,保障网络系统在异常情况受到网络攻击时的稳定性、安全眭;(3)严格内部网络的接人控制机制,防止内部信息的外泄;(4)使用高性能的杀毒软件进行全方位的计算机病毒防范;(5)变被动防范为主动防范;将制度防范与技术防范有机结合;(6)重视提高网络安全管理员的素质;(7)重视建立网络安全日志及审查制度。
4.1 主要技术策略和措施
4.1.1 网络交换机的安全威胁防范
作为整个网络的核心,交换机最重要的作用就是转发数据。在攻击者攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这是交换机所需要的基本的安全功能。通过对现有交换机的安全配置或安全升级,实现局域网交换机的安全防护。
(1)针对VLAN中继攻击的防范
对交换机进行安全设置就可以防止VLAN中继攻击。首先是所有中继端口上都要使用专门的VLANID,同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的VLAN中。其次是通过明确的设置,关闭掉所有用户端口上的DTP,这样就可以将所有端口设置成非中继模式。另外对交换机设置IP/MAC地址绑定功能,限制用户的非授权网络访问。
(2)生成树协议攻击的防范
要防止操纵生成树协议的攻击,需要使用根目录保护和网桥协议数据单元(BPDU)保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。为了解决生成树协议收敛速度慢的问题,可以在交换机上配置使用快速生成树协议(RSTP),避免在网络重新收敛过程中的网络回路的产生。
(3)MAC表洪水攻击的防范
通过设置端口上最大可以学习的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。设置合适的老化时间可以有效实现MAC地址老化的功能。
在交换机上配置端口安全选项可以防止MAC表淹没攻击。该选择项可以提供特定交换机端口的MAC地址说明,也可以提供一个交换机端口可以学习的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC地址,要么可以关闭该端口。
(4)ARP攻击的防范
在交换网络中,可以在交换机端口上通过绑定每台设备的IP和MAC地址,同时限制该交换机端口能够学习的MAC地址最大数目来解决ARP欺骗或攻击的行为。实施IP和MAC地址绑定和限制最大MAC地址数目后,该交换机端口就不再接收并记录新的MAC地址,对不符合记录的数据包不转发。
(5)VTP协议攻击的防范
为了保证VIP域的安全,VTP域可以设置密码,域中所有交换机必须要设置成同样的密码。在VTP域中的交换机配置了同样的密码后,VTP才能正常工作。而不知道密码或密码错误的交换机将无法获知VLAN的消息。
4.1.2 对USB存储设备的管理
企业局域网如何管理USB存储设备(U盘、移动硬盘等),一般可以采用的方法包括:
方法1:封掉USB口,有些单位通过焊死或者封死USB口的方法来达到目的;
方法2:采用专业的软件管理,主要实现的功能如:介质注册、介质授权、访问控制、数据保护、安全数据交换、日志审计等;
方法3:采用一些内网安全系统,一般的内网安全软件均带有控制硬件设备和接口的功能。
4.1.3 用户操作失误
加强计算机用户的培训和管理,杜绝用户操作的失误。
4.1.4 限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显,VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
4.1.5 为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来加固防火墙,保护MS—SQL,但是一些蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个“隔离区”,并将他们所需要访问的资源放置在相应的“隔离区”中,不允许他们对内网其他资源的访问。
4.1.6 建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
4.1.7 创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击,还不如在如何使攻擊者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个销售部用户的客户机被侵入了,攻击者也不会由此而进入到公司的研发部门。因此要实现公司研发部门与销售部之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
4.1.8 及时升级微软服务包:
国内许多公司和组织都在使用微软的产品,由于用户不断发现其产品存在的各种漏洞和缺陷,微软升级服务包也跟着不断的更新,因此能否及时进行微软升级服务包的更新,从某种程度上影响了网络使用设备的安全。
4.1.9 购买并安装正版的杀毒软件
购买市场上比较流行的高性能的正版杀毒软件,实时升级病毒库样本,就能很大程度上减少一些常见病毒和木马对网络用户的危害。
4.2 必要的制度防范
不论网络系统配置的如何安全,做为执行者的操作人员,始终都是网络安全的最后一道屏障。制定必要的制度,做到了分级管理、责任到人,对计算机管理员及计算机用户进行必要的约束,才能最大限度地保证内网的安全。
(1)建立和完善各种安全操作、管理制度,明确安全职责;建立对突发事件的应对预案。
(2)加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患。
(3)建立一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。
5结束语
在网络安全防范中,应根据单位的特殊性制定网络安全防范策略,在加强对单位用户的安全制度教育的同时,采用先进的网络安全防范技术,制度防范和技术防范互为补充,才能保障内网的安全。
[关键词] 内部网络 安全威胁 技术策略
1引言
目前人们对网络安全普遍都有一个不全面的认识,即认为对企业内部网络(Intranet)的威胁主要来自于企业外部。因此,网络安全部门、网络设备用户和网络产品开发者都将主要精力放在了研究如何防止网络遭受来自于企业外部的攻击,而忽视了来自于企业内部的网络安全威胁。
由于互联网的快速发展,公司各种商务活动和信息共享的需要,企业内部网络需要24x7与互联网(Internet)相连接,以便于异地分支机构、合作伙伴、用户的各种访问或服务共享,这在极大地方便了企业商务活动的同时,也使企业网完全暴露在病毒、黑客等非法入侵的威胁之下。几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备堵住了来自Internet的不安全因素。然而,lntranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
但是对国内大多数企业来说,对网络安全的认识还仅仅停留在购买杀毒软件和防火墙来抵御外来入侵的层面上,但是对于来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。实际上内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。因此,公司对内部网络安全威胁的认识,直接关系到所采取的安全防范策略措施。
2内部网络存在的安全威胁
内部网络存在的安全威胁有一部分是安全系统的部署缺陷,而更多的是终端用户的不良操作习惯导致的。
2.1 网络交换机的安全威胁
在实际网络环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其他设备的攻击趋势越来越严重,带来的影响越来越剧烈。随着局域网的广泛互连,加上TCP/IP协议本身的开放性,网络安全已成为一个突出问题,而交换机作为网络环境中重要的转发设备,其普通安全特性已经无法满足现在的安全需求,因此交换机需要增加安全防范措施来应对出现的安全威胁。针对网络交换机的常见攻击有:针对VLAN中继攻击;生成树协议攻击;MAC表洪水攻击;ARP攻击;VTP协议攻击等。
2.2 过时的微软服务包
运行未安装最新更新程序的Windows是另一个严重问题。及时更新软件是一条安全基本常识,每家公司都在设法做到这点,但大多数公司是借助于自动更新。
然而,为公司的每个台式机打上补丁已经是一项艰巨任务,更不用说还要顾及连接到网络上的笔记本电脑、个人数字助理和手机了,总会有漏网之鱼;同样道理,只要有一个端点存在已知安全漏洞,就足以危及整个网络系统。
2.3 用户和用户组权限分配不合理
让适当的用户组做适当的事情,尽量不分配多余的权限,避免用户和用户组权限分配不合理。
2.4 反病毒问题
由于恶意软件编写者使用的一种感染手法就是,在尽可能短的时间内感染尽可能多的计算机。因此,各大反病毒软件厂商每周都在不断的发布更新程序,所以让保护机制处于最新版本对网络安全十分重要。
2.5USB设备的不规范使用
内部网络最大的威胁是未加登记或未加保护的USB设备。感染的来源未必是内部员工。来访者(不管有没有受到邀请)访问公司的计算机后,就能轻易插入USB存储设备。很多木马和病毒正是借助这个途径来大肆传播和产生危害的。Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接,所以这带来了极大的限制。
2.6 账号及口令管理不严及设置不合理
账号及口令管理不严格,导致外来者很容易得到。设置账号和密码常常较简单,与使用者的生日及一些个人信息相关,或者使用常见的词汇做为密码,使得用来保护计算机的安全屏障形同虚设。
2.7 未经授权的远程控制软件
远程控制软件对诊断软硬件方面的故障大有帮助。但这类软件对不法分子来说同样大有帮助,因为它为进入计算机提供了一条便道。在某些情况下,远程控制软件由需要能够从其他地方访问台式机的用户来安装。在另一些情况下,却是有人未经授权擅自安装上去的,这些安装或改动的软件旨在用户浑然不知或未经同意的情况下,允许第三方使用系统。
2.8 无线连接
如今的笔记本电脑当中约有95%随机配备了内置的无线访问功能。无线连接缺乏有线网络的安全性。
推荐的策略一般是控制威胁,而不是试图完全消除威胁。虽然端点安全面临的有些威胁(比如未经授权的对等文件共享)能够从公司网络上加以消除,但另一些威胁还不能完全消除(比如无线连接和USB设备,对现代公司的IT部门来说相当必要)。
2.9 用户操作失误
用户操作失误,可能会损坏网络设备如主机硬件等,误删除文件和数据、误格式化硬盘等。
3常用防范方法
鉴于以上种种的安全隐患和风险,我们有必要采取一定的手段来进行见招拆招的防范。
3.1 对网络安全的要求
(1)物理安全。物理安全主要包括环境安全、设备安全、媒体安全等方面。处理秘密信息的系统中心机房应采用有效的技术防范措施,重要的系统还应配备警卫人员进行区域保护。
(2)运行安全。运行安全主要包括备份与恢复、病毒的检测与消除、电磁兼容等。涉密系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。应采用国家有关主管部门批准的查毒杀毒软件适时查毒杀毒,包括服务器和客户端的查毒杀毒。
(3)信息安全。确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务。
3.2 各种防护方法
3.2.1 通过在网络周边设置防火墙、在客户端PC上安装防病毒软件保护网络。
不幸的是,网络仍然易于遭受更高级的安全威胁(例如病毒和蠕虫),因为大部分防火墙不能深入检测病毒特征码,更无法通过网络行为异常检测(NBAD)寻找具有攻击性的网络行为。同样,PC防病毒软件不能做到防范时时的病毒攻击,更不用说有许多客户允许那些未更新防病毒文件的终端用户访问网络。
3.2.2 认证技术和访问控制
认证是防止恶意攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用。认证的主要目的有两个:(1)验证消息的发送者是否合法;(2)验证消息的完整性,保证信息在传送过程中未被篡改、重放或者延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。消息认证和身份认证解决了通讯双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动。
访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。訪问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.2.3 入侵防护技术(IPS)
作为一种主动式的防范技术,入侵防护能够弥补防火墙等反应式技术的不足,帮助人们扭转被动防范局面。入侵防护技术是近两年出现的主动防范技术。它能够实时检查和阻止入侵。如果有攻击者利用漏洞发起攻击,入侵防护设备能够从数据流中检查出攻击并且加以阻止。传统的防火墙只能对网络层进行检查,不能检测应用层的内容,因而也就无法发现针对应用层的攻击,而入侵防护可以深入应用层检查数据包。所有的数据包在经过入侵防护设备时,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
3.2.4 蜜罐和蜜网技术
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络,在诱捕网络架构中,包含一个或多个蜜罐,同时又保证了网络的高度可控性,以及提供多种数据捕获和数据分析工具,以方便对攻击信息的采集和分析。
3.2.5 计算机取证技术
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,并对入侵事件进行重建的过程。
主要技术有:(1)数据保护技术,(2)磁盘镜像拷贝技术,(3)数据恢复技术,(4)数据分析技术,(5)入侵检测取证技术,(6)陷阱网络取证技术。
取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉讼证据也存在一定的争议。取证技术的法律完善是一个亟待解决的问题。
4内部网络安全防范措施
在制定单位内部网络安全防范措施时,要因地制宜,应分析单位内部网络与信息安全的威胁因素,对网络安全防范实行周密部署:(1)通过有效的隔离措施保障各网络系统的数据安全,如单位内部网络与互联网的逻辑隔离、单位内部各业务部门的逻辑隔离;(2)合理配置网络设备,保障网络系统在异常情况受到网络攻击时的稳定性、安全眭;(3)严格内部网络的接人控制机制,防止内部信息的外泄;(4)使用高性能的杀毒软件进行全方位的计算机病毒防范;(5)变被动防范为主动防范;将制度防范与技术防范有机结合;(6)重视提高网络安全管理员的素质;(7)重视建立网络安全日志及审查制度。
4.1 主要技术策略和措施
4.1.1 网络交换机的安全威胁防范
作为整个网络的核心,交换机最重要的作用就是转发数据。在攻击者攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这是交换机所需要的基本的安全功能。通过对现有交换机的安全配置或安全升级,实现局域网交换机的安全防护。
(1)针对VLAN中继攻击的防范
对交换机进行安全设置就可以防止VLAN中继攻击。首先是所有中继端口上都要使用专门的VLANID,同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的VLAN中。其次是通过明确的设置,关闭掉所有用户端口上的DTP,这样就可以将所有端口设置成非中继模式。另外对交换机设置IP/MAC地址绑定功能,限制用户的非授权网络访问。
(2)生成树协议攻击的防范
要防止操纵生成树协议的攻击,需要使用根目录保护和网桥协议数据单元(BPDU)保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。为了解决生成树协议收敛速度慢的问题,可以在交换机上配置使用快速生成树协议(RSTP),避免在网络重新收敛过程中的网络回路的产生。
(3)MAC表洪水攻击的防范
通过设置端口上最大可以学习的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。设置合适的老化时间可以有效实现MAC地址老化的功能。
在交换机上配置端口安全选项可以防止MAC表淹没攻击。该选择项可以提供特定交换机端口的MAC地址说明,也可以提供一个交换机端口可以学习的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC地址,要么可以关闭该端口。
(4)ARP攻击的防范
在交换网络中,可以在交换机端口上通过绑定每台设备的IP和MAC地址,同时限制该交换机端口能够学习的MAC地址最大数目来解决ARP欺骗或攻击的行为。实施IP和MAC地址绑定和限制最大MAC地址数目后,该交换机端口就不再接收并记录新的MAC地址,对不符合记录的数据包不转发。
(5)VTP协议攻击的防范
为了保证VIP域的安全,VTP域可以设置密码,域中所有交换机必须要设置成同样的密码。在VTP域中的交换机配置了同样的密码后,VTP才能正常工作。而不知道密码或密码错误的交换机将无法获知VLAN的消息。
4.1.2 对USB存储设备的管理
企业局域网如何管理USB存储设备(U盘、移动硬盘等),一般可以采用的方法包括:
方法1:封掉USB口,有些单位通过焊死或者封死USB口的方法来达到目的;
方法2:采用专业的软件管理,主要实现的功能如:介质注册、介质授权、访问控制、数据保护、安全数据交换、日志审计等;
方法3:采用一些内网安全系统,一般的内网安全软件均带有控制硬件设备和接口的功能。
4.1.3 用户操作失误
加强计算机用户的培训和管理,杜绝用户操作的失误。
4.1.4 限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显,VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
4.1.5 为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来加固防火墙,保护MS—SQL,但是一些蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个“隔离区”,并将他们所需要访问的资源放置在相应的“隔离区”中,不允许他们对内网其他资源的访问。
4.1.6 建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
4.1.7 创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击,还不如在如何使攻擊者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个销售部用户的客户机被侵入了,攻击者也不会由此而进入到公司的研发部门。因此要实现公司研发部门与销售部之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
4.1.8 及时升级微软服务包:
国内许多公司和组织都在使用微软的产品,由于用户不断发现其产品存在的各种漏洞和缺陷,微软升级服务包也跟着不断的更新,因此能否及时进行微软升级服务包的更新,从某种程度上影响了网络使用设备的安全。
4.1.9 购买并安装正版的杀毒软件
购买市场上比较流行的高性能的正版杀毒软件,实时升级病毒库样本,就能很大程度上减少一些常见病毒和木马对网络用户的危害。
4.2 必要的制度防范
不论网络系统配置的如何安全,做为执行者的操作人员,始终都是网络安全的最后一道屏障。制定必要的制度,做到了分级管理、责任到人,对计算机管理员及计算机用户进行必要的约束,才能最大限度地保证内网的安全。
(1)建立和完善各种安全操作、管理制度,明确安全职责;建立对突发事件的应对预案。
(2)加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患。
(3)建立一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。
5结束语
在网络安全防范中,应根据单位的特殊性制定网络安全防范策略,在加强对单位用户的安全制度教育的同时,采用先进的网络安全防范技术,制度防范和技术防范互为补充,才能保障内网的安全。