網絡與信息安全一、企業信息平安的重要性和意義隨著這幾年來病毒的流行、黑客的猖狂，信息平安風險已被越來越多的企業認識與重視，信息平安的重要性已得到普遍認識與重視。信息網絡平安成為全球化問題2000年2月Yahoo！等被攻擊案件2001年8月紅色代碼事件2001年9月尼姆達事件2003年1月SQLSLAMMER事件2003年3月紅色代碼F變種事件2003年7月沖擊波事件2004年5月震蕩波事件重要性和意義當今社會，信息己成為企業的一種重要的資產，必須加以妥善的保護。信息平安管理使企業信息防止一系列威脅，保障了企業商務活動的連續性，最大限度地減小企業的商務損失，順利獲取投資和商務回報。重要性和意義信息及其支持過程的系統和網絡都是企業的重要資產。信息的機密性、完整性和可用性對保持一個企業的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。任何企業及其信息系統〔如一個企業的ERP系統〕和網絡都可能面臨著包括計算機輔助欺詐、刺探、陰謀破壞、火災、水災等大范圍的平安威脅。隨著計算機的日益開展和普及，計算機病毒、計算機盜竊、效勞器的非法入侵破壞已變得日益普遍和錯綜復雜。

信息系統的平安目標信息保護機密性、完整性、可用性系統保護可靠性、可用性、可控性信息系統平安的構成要素物理環境及保障硬件設施軟件設施管理制度及管理者蛋關于系統平安蒼蠅不叮無縫的研究攻防技術以阻之因特網播送控制通訊交通醫療金融平安漏洞危害在增大網絡對國民經濟的影響在加強研究平安漏洞以防之工業網絡的平安管理平安管理主要是為了降低企業的財政風險和由各種情況帶來的損失，如入侵、系統誤操作、特權濫用、數據篡改、欺騙以及效勞中斷等。平安管理體系結構可以提供對所需的平安組件的管理，同其它平安元素協同工作以保護信息的機密性，并保證所有對計算機資源的訪問都是授權和認證。平安管理體系結構的具體目標是提高分布式應用和信息的完整性、一致性以及機密性。平安管理體系結構能幫助指導系統和平臺的選擇，并保證所有系統都符合一個標準的最低平安級別。平安管理的目的進不來：使用訪問控制機制拿不走：使用授權機制、認證交換機制看不懂；使用加密機制改不了：使用數據完整性鑒別機制〔數字簽名〕走不脫：使用審計、監控、防抵賴等平安機制二、黑客入侵的常見手段木馬病毒后門密碼破解我國網絡信息平安形勢非常嚴峻99’本溪銀行資金騙取案2000’新浪網電子郵件被阻塞案2000’北京醫科大學網站被黑案98’上海熱線效勞器被攻案2002’全國40余家網站被黑癱瘓2002’上海某網站百萬用戶資料被盜99’鄭州保險公司數據庫被篡改案黑客攻擊頻繁2002年全球網站被黑多達55000次。

從國內情況來看，目前我國95%的與互聯網相聯的網絡管理中心都遭到過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

據估計，每公開報道一次黑客攻擊，就有近500例是不被公眾所知曉的。

黑客行徑分析〔1〕攻擊事件的目的〔2〕實施攻擊的人員〔3〕攻擊的主要流程過去五種影響最大的攻擊紅色代碼尼姆達〔Nimda〕Melissa(1999)和LoveLetter(2000)分布式拒絕效勞〔DDOS〕攻擊遠程控制特洛伊木馬后門(1998-2000)同步風暴攻擊合理的訪問請求得不到響應pong,synk4大量的鏈接請求阻礙信道.大量的鏈接請求阻礙信道阻塞這類攻擊通常都設置假IP地址在TCP包中通過將同步位設為1的方式來請求連接，如果得到連接確認后不予理會，而是繼續發出申請，將有可能耗盡效勞器端的有限的響應連接的資源特洛伊木馬后門1998年7月，黑客組織CultoftheDeadCow推出后門制造工具BackOrifice〔BO〕使龐大的網絡系統輕而易舉地陷入了癱瘓之中。安裝BO主要目的是：黑客通過網絡遠程入侵并控制受攻擊的Win95系統，從而使受侵機器“言聽計從〞。BO以多功能、代碼簡潔而著稱，并且由于BO操作簡單，只要簡單地點擊鼠標即可，即使最不熟練的黑客也可以成功地引誘用戶安裝BackOrifice。只要用戶一安裝了BO，黑客幾乎就可以為所欲為了，像非法訪問敏感信息，修改和刪除數據，甚至改變系統配置。如果僅僅從功能上講，BackOrifice完全可以和市場上最流行的商業遠程控制軟件，像賽門鐵克的pcanywhere、CA的ControlIT等相媲美。因此，許多人干脆拿它來當作遠程控制軟件來進行合法的網絡管理。由于其簡單易用和大肆地宣傳，BO迅速被眾多的初級黑客用來攻擊系統。BO和其它木馬后門工具使人們從根本上認識到了對用戶進行一定的平安方面的培訓，使他們不要隨意運行不信任軟件和廣泛地配置防病毒軟件的重要性。典型攻擊案例臺灣黑客對某政府網站的攻擊時間：1999年8月大陸黑客出于對李登輝“兩國論〞謬論的憤慨，于8月份某日，一夜之間入侵了數十個臺灣政府站點。臺灣黑客采取報復行動，替換了這個網站的首頁。在該系統上存在至少4個致命的弱點可以被黑客利用。其中有兩個緩沖區溢出漏洞，一個CGI程序有溢出錯誤。對這些漏洞要采用比較特殊的攻擊程序。但臺灣黑客并沒有利用這些比較高級的攻擊技巧，而是從一個最簡單的錯誤配置進入了系統。原來，其缺省帳號infomix的密碼與用戶名相同!這個用戶的權限足以讓臺灣黑客對web網站為所欲為。從這件事情可以看出，有局部系統管理員不具備最起碼的平安素質。03年伊拉克戰爭全球反戰黑客行動3月，一個號稱“Freeworld〞的黑客組織聲稱成功地入侵了白宮網站病毒破壞嚴重2002年我國計算機病毒感染統計表感染過病毒感染三次部分數據被破壞數據完全被破壞83.98%59%64.5%14%病毒分類按攻擊對象分Win32、win9x、winNT/2000/XP、宏病毒、Linux、、webscript、Mac等等按連接方式分類源碼型、目標程序型、操作系統型、外殼型按破壞力分類良性、惡性按傳染方式分類引導型、系統程序型、一般程序型按病毒宿主分類引導型、文件型、混合型病毒防范根本思想病毒預防管理措施技術措施病毒檢查病毒消除當前網絡平安事件的特點攻擊者可以輕易通過多個不同的網絡、地區或國家發起攻擊，使得追查需要大范圍的協調攻擊定位十分困難：無論是虛擬還是現實世界的定位。使得防范和追查都十分困難攻擊者需要的技術水平逐漸降低，造成的危害卻逐漸增大有些問題的解決需要行業標準或者政策標準的方式來解決，例如垃圾郵件和分布式拒絕效勞攻擊當前網絡平安事件的特點病毒、蠕蟲和其他攻擊行為互相融合-傳統病毒的特點：隱蔽性、傳染性、破壞性-病毒的本質特點：“寄生〞，而不是獨立的程序-蠕蟲的特點：獨立存在，自主蔓延-更廣泛的名稱：惡意代碼〔還包括木馬程序等〕-互聯網的開展為各種惡意代碼提供了更多的時機，傳統的分類界限日趨模糊網絡蠕蟲的特點和危害性傳統的網絡蠕蟲，其危害主要表現在對網絡資源的消耗，導致網絡阻塞新一代網絡蠕蟲的攻擊能力更強，并且和黑客攻擊、計算機病毒之間界限越來越模糊，帶來更為嚴重的多方面危害，能夠對互聯網造成致命沖擊：-網絡阻塞，效勞中斷〔信息化的開展使得這種危害帶來的損失越來越大〕-開放主機，失密威脅嚴重-設置后門，成為下一輪攻擊的根底-回收機制，便以攻擊者集中掌握〔突破了傳統蠕蟲和病毒中，攻擊者不能掌握受害對象信息的情況〕今年的情況變種的舊病毒卷土重來郵件病毒蔓延仍呈上升趨勢MSN病毒影響廣泛網頁欺詐事件層出不窮特點：針對個人用戶PC的攻擊比率越來越高原因：用戶缺乏平安意識；補丁升級不及時三、入侵防范與平安保密策略物理隔離策略傳輸/存儲加密策略物理平安策略網絡分段策略身份鑒別策略監測與審計策略病毒防御策略備份與恢復策略運行平安策略平安管理策略〔一〕防火墻最大限度地限制來自外界的非法訪問，對用戶內網進行平安保護是實現網絡和網絡之間既隔斷又連通的網絡平安設施網絡A網絡B防火墻防火墻的優越性能控制不平安的效勞，只有授權的協議和效勞能通過能對站點進行訪問控制，防止非法訪問能對各種訪問記錄日志還能對正常訪問進行統計分析防火墻的根本功能過濾進出防火墻的數據管理進出防火墻的訪問行為封堵某些被禁止的業務記錄通過防火墻的信息內容和活動對網絡攻擊進行檢測和告警1、基于路由器的防火墻特點：利用路由器本身對分組的分析，以訪問控制表方式，實現對分組的過濾策略依據是：地址、端口、協議標志等網絡特性只有分組過濾功能，一般與路由器合二為一缺點路由協議靈活復雜，本身有平安隱患過濾規那么十分原始，所以，很復雜，存在平安隱患一般，網絡上路由器內的路由市動態的，而急于路由器的防火墻規那么往往是靜態的，不太容易處理防火墻規那么會降低路由器性能2、用戶化防火墻工具特點把過濾功能從路由器中獨立出來形成專用的防火墻軟件可以增加審計和告警功能缺點軟件復雜、使用和管理復雜對用戶技術要求高由于是軟件，平安性和處理速度有限3、基于通用操作系統的防火墻特點是商用防火墻，專用的防火墻軟硬件產品使用通用操作系統：Linux、Windows等等平安性和性能有提高缺點操作系統不為防火墻所管理，其平安性無法保證4、基于平安操作系統的防火墻特點專用的軟硬件產品使用平安操作系統，平安性得到極大提高往往具有加密和鑒別功能線速防火墻〔進出根本無延時〕100M/1000M防火墻平安策略網絡效勞訪問權限策略保護網絡免受的風險攻擊提供用戶對網絡資源的合理使用例：不允許從Internet到內網〔或站點〕的訪問，但允許內網〔或站點〕到Internet的訪問允許從Internet到內網的某些訪問兩個根本策略允許所有效勞除非她被特別的拒絕拒絕所有效勞除非她被特別的允許某些不平安的網絡效勞不平安的效勞Tftp：端口69XWindows/OpenWindows，端口2000，6000Rpc，端口111Rlogin、rsh、rexec等，端口513、514、512不太平安的效勞telnet:23ftp:20/21Smtp:25Rip:520Dns:53防火墻平安策略(續)防火墻設計策略本機構將使用那些網絡效勞？在何處使用這些效勞？是否有加密需求？是否有撥號接入需求？代價？防火墻的一般要求支持“拒絕所有效勞除非她別特別的允許〞策略支持自己定義平安策略平安策略靈活，以適應新的效勞和需求提供或者掛接認證手段平安策略能實現針對某個制定的站點〔IP地址或域名〕平安策略的定義要直觀針對常用的效勞〔telnet、ftp等〕提供代理手段和身份鑒別手段對smtp能提供中心化訪問的能力，提高email系統的平安性日志功能等防火墻最大限度地限制來自外界的非法訪問，對用戶內網進行平安保護基于鏈路級地址映射和有狀態跟蹤具備反攻擊和設置陷阱等主動防衛手段采用基于主機的保護策略基于模式匹配的智能的入侵檢測提供對內部泄密問題的解決方案自行升級根據平安策略自動生成配置文件采用數據加密的方法主動防止對信息完整性的破壞防火墻〔1〕黑洞式防御授權用戶非授權用戶防火墻〔2〕平安保護與信息檢查Intranet2HostWebServer5473AdminHost21ServerInternetHost12InternetServer0包含非法信息的服務器不可信網絡的主機〔二〕身份認證——鑒別、授權和管理(AAA)系統80%的攻擊發生在內部，而不是外部。內部網的管理和訪問控制，相對外部的隔離來講要復雜得多。外部網的隔離，根本上是禁止和放行，是一種粗顆粒的訪問控制。內部的網絡管理，要針對用戶來設置，你是誰？怎么確認你是誰？你屬于什么組？該組的訪問權限是什么？這是一種細顆粒的訪問控制。根據IDC的報告，單位內部的AAA系統是目前平安市場增長最快的局部。〔三〕入侵監測及預警技術入侵檢測系統〔IDS：IntrusionDetectionSystem〕從網絡中假設干個關鍵點收集有關信息，并且加以分析，檢測網絡中是否有違反平安策略的行為和遭到襲擊的跡象IDS分類模式匹配入侵檢測系統通過比較的入侵行為模式，從而發現入侵事件統計異常入侵檢測系統通過檢查有關統計數據，從而發現異常情況，實現入侵檢測目標入侵檢測系統根本模型收集信息探針檢測引擎事件數據庫統計模型入侵模型告警和報告分布式入侵檢測系統網絡IDSIDSIDSIDS入侵檢測中心Internet防火墻聯動局部入侵檢測工具SwatchTcpwrapperWatcher等〔四〕漏洞檢測技術對系統的平安性進行檢查，發現存在的平安漏洞或者可能的平安漏洞目標網絡或主機漏洞檢測系統漏洞檢測的根本原理系統掃描網絡掃描數據庫掃描應用掃描……漏洞數據庫反響信息庫漏洞分析及報告系統漏洞的類型網絡傳輸和協議的漏洞系統的漏洞管理的漏洞漏洞檢測技術分類基于應用的檢測技術對應用軟件檢查其設置等，發現平安漏洞基于主機的檢測技術通過對系統的內核、文件的屬性、系統的補丁、口令的解密等進行檢查，發現平安漏洞基于網絡的檢測技術〔五〕網絡隔離技術實現網絡和網絡之間的隔離外部網絡內部網絡客戶端的物理隔離技術第一代一個機箱內，安裝兩套計算機的主要設備，包括主板、內存、硬盤、CPU、網卡等第二代單主板、雙網卡、雙硬盤方式第三代單主板、單硬盤、雙網卡平安網絡隔離器內部網絡外部網絡平安網絡隔離器數據交換器四、加強網絡與信息平安管理組織管理人員管理技術平安管理軟件、設備、介質、涉密信息、技術文檔、線路、互連、緊急事件、審計與跟蹤涉密便攜機管理場地設施平安管理建立信息平安管理體系〔ISMS〕的重要意義

任何企業，不管它在信息技術方面如何努力以及采納如何新的信息平安技術，實際上在信息平安管理方面都還存在漏洞，例如：

1.缺少信息平安管理論證，平安導向不明確，管理支持不明顯；

2.缺少跨部門的信息平安協調機制；

3.保護特定資產以及完成特定平安過程的職責還不明確；

4.雇員信息平安意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所；

5.企業信息系統管理制度不夠健全；

6.企業信息系統主機房平安存在隱患，如防火設施存在問題，與危險品倉庫同處一幢辦公樓等；7.企業信息系統備份設備仍有欠缺；

8.企業信息系統平安防范技術投入欠缺；

9.軟件知識產權保護欠缺；

10.計算機房、辦公場所等物理防范措施欠缺；

11.檔案、記錄等缺少可靠貯存場所；

12.缺少一旦發生意外時的保證生產經營連續性的措施和方案；…….等等

通過以上信息管理方面的漏洞，以及經常見諸報端的種種信息平安事件說明，任何企業都急需建立信息平安管理體系，以保障其技術和商業機密，保障信息的完整性和可用性，最終保持其生產、經營活動的連續性。平安管理與設計平安管理不緊緊是指規章制度等管理措施，更多的是指一種技術的應用，它從技術實現中抽象出來，但依靠技術實現。分級平安管理策略：網絡級平安：指對網絡系統的實體平安性的管理。系統級平安：從操作系統和數據庫保護的角度考慮系統平安措施。企業級平安：指對企業員工的管理和企業內部網的日常維護。應用級平安：保證各種應用系統(OA系統及其他業務系統)的信息訪問合法性。針對內部業務網用戶的平安能力提升物理平安能力提升自身防護能力提升平安響應能力提升個人操作能力提升策略實施能力提升系統升級能力提升系統通信能力提升病毒防御能力提升數據備份能力提升在保證業務正常、平安高效運作的情況下，做到“不該看到的不能看，不能擴散的嚴格限制〞信息平安實施結構示意網絡平安管理方法建立一套完整可行的網絡平安與網絡管理策略將內部網絡、公開效勞器網絡和外網進行有效隔離，防止與外部網絡的直接通信建立網站各主機和效勞器的平安保護措施，保證他們的系統平安對網上效勞請求內容進行控制，使非法訪問在到達主機前被拒絕加強合法用戶的訪問認證，將用戶的訪問權限控制在最低限度全面監視對公開效勞器的訪問，及時發現和拒絕不平安的操作和黑客攻擊行為加強對各種訪問的審計工作，詳細記錄對網絡、公開效勞器的訪問行為，形成完整的系統日志備份與災難恢復——強化系統備份，實現系統快速恢復加強網絡平安管理，提高全體人員的網絡平安意識和防范技術保護檢測響應恢復網絡平安管理體系結構網絡管理策略的應用確定系統的安全類型實施方案（措施）測評方案評審方案規定系統的安全類型設計方案（要求）測評驗收已建成系統改進完善平安體系結構：被動與主動相結合物理平安——對主機房及重要信息存儲、收發部門進行屏蔽處理；本地網、局域網傳輸線路傳導輻射的抑制；對終端設備輻射的防范。網絡平安——系統〔主機、效勞器〕平安、系統結構的平安、反病毒、系統平安檢測、入侵檢測〔監控〕、審計分析平安體系結構：被動與主動相結合(二)網絡運行平安——備份與恢復、應急、局域網、子網平安、訪問控制〔防火墻〕、網絡平安檢測信息平安——信息傳輸平安〔動態平安〕、數據加密、數據完整性鑒別、防抵賴、信息存儲平安〔靜態平安〕、數據庫平安、終端平安、信息的防泄密、信息內容審計、用戶鑒別、用戶授權操作系統應根據系統平安策略修改默認設置〔如用戶帳號、口令、效勞端口、審計參數等〕權限分配必須嚴格管理，用戶權限分配應滿足最小權限原那么。口令應滿足一定質量，并對登錄操作系統失敗次數作一定的限制。經常檢查系統用戶、用戶組和組策略以及一些重要文件和目錄的權限設置、性能指標。關閉默認網絡共享資源，限制效勞端口，禁止匿名帳戶訪問。嚴格限制網絡效勞遠程用戶的讀、寫、可執行權限。根據系統實際應用對一些風險較高、較為流行的平安漏洞采用打補丁、系統升級、關閉不必要的效勞等方式修補。標識與鑒別(一)系統各類用戶在執行各項操作前，應標識身份并通過系統鑒別。鑒別機制不被旁路。如采用口令鑒別機制，應保證口令質量選擇及口令使用制度。用戶身份鑒別數據應根據系統平安需求采用加密傳輸、加密存儲等方式予以保護并阻止非授權用戶的訪問。應及時對鑒別失敗作出處理。應將身份標識與該用戶所有可審計行為關聯的能力。標識與鑒別〔二〕常用的鑒別技術口令證書IC卡指紋動態雙因素認證系統Kerberos訪問控制按照系統資源及系統信息流實施訪問控制管理，并滿足最小權限原那么。劃分平安子網，并在各網絡連接處使用平安設備進行邏輯隔離和訪問控制。訪問控制規那么只能由系統授權人員設置。系統應根據實際應用設定訪問控制的粒度。密碼技術系統應根據平安需求在傳輸與存儲重要信息時采用適宜的加密方式。系統需要保證傳輸和存儲信息的完整性時，應采用密碼完整性校驗機制。系統需要保證信息發送方與信息接收方對曾經發送或接收的信息不能抵賴時，應采用基于密碼算法的數字簽名技術。保證密鑰在生成、分配、訪問、存儲、銷毀等過程中的平安。通過公網的信息交互而采用的VPN產品；SSL通道、SSH通道等。平安審計采用集中式或分布式的審計系統。審計規那么由系統授權人員設定。審計日志只能允許授權人員查閱。審計系統應提供將審計日志記錄導入導出的能力。病毒防范應對病毒可能侵入系統的途徑〔如軟盤、光盤、可移動磁盤、網絡接口等〕進行控制。安裝國家認可的病毒防治產品，定期組織查殺系統的病毒。系統應在病毒侵入時及時報警并予以隔離、去除或采用既定病毒防范策略中規定的處理方式，并有詳細的日志記錄。定期更新病毒特征庫，及時對病毒防治產品進行版本升級。網絡化病毒防范技術病毒防范中心分中心分中心單機單機單機單機單機單機單機入侵監控應實時監視當前網絡信息流或主機中特定的活動并采取相應的措施。入侵監控系統只能允許授權人員設置入侵管理規那么。入侵監控系統有完備的日志記錄。入侵監控系統只能允許授權人員查閱、統計、管理、維護日志記錄。應定期更新攻擊特征數據庫，定期分析入侵監控記錄。應建立完整的平安備份制度，并實現既定的平安備份功能。對以加密方式保存數據備份的，應同時保存數據恢復所需密鑰。實時性要求較高的系統，應對關鍵設備、通訊