系统的安全性设计
要设计⼀个安全的系统,除了要了解⼀些前⾯讲到的常⽤的保护⼿段和技术措施外,还要对系统中可能出现的安全问题或存在的安全隐患有充分的认识,这样才能对系统的安全作有针对性的设计和强化,即“知⼰知彼,百战百胜”。
下⾯以物理安全、防⽕墙、⼊侵检测为例讲解系统安全中可能出现的问题及如何采取相应的措施。 lrx
1 物理安全问题与设计
物理安全包括物理设备本⾝是否安全可靠,还包括设备的位置与环境的安全、限制物理访问、地域因素等⼏个⽅⾯。
信息系统的所有重要的物理设备、设施都应该放在专门的区域,并尽可能集中,同时严格限制外来⼈员来访,尽可能地减少未经授权的访问。
物理安全还要求在设计中注意物理设备的冗余备份,例如,核⼼设备或部件都应该是热备份系统,具有实时或准实时切换的能⼒。
物理安全还要求严格限制对⽹络信息点、线缆等⽹络基础设施及其所在地进⾏物理访问,要想访问必须经过专门的授权。
物理安全还包括环境⽅⾯的因素,在设计之初就要对信息系统中的温度、湿度、灰尘、振动、雷电、电⼒等⽅⾯的参数有明确的要求,要对⾃然灾害(地震、台风、闪电等)有充分的考虑,还要对电磁泄漏等⽅⾯的要求作明确的定义。设计系统时要对这些因素全盘考虑,并采取适当的防护措施或强化⼿段。例如,机房这种重要的地点,除了所在的建筑物要有防雷系统外,还可以加装⼀套专⽤的防雷系统。这样可以保证即使建筑物遭到雷击时,万⼀建筑物的避雷系统未能充分保护好昂贵的信息系统,那么单独为机房安装的专⽤避雷系统也能保障机房设备免受损失。
2 防⽕墙及其在系统安全中的应⽤
⽹络安全隐患主要是由⽹络的开放性、⽆边界性、⾃由性造成的,所以保护⽹络安全可以⾸先考虑把被保护的⽹络从开放的、⽆边界的、⾃由的公共⽹络环境中独⽴出来,使之成为有管理的、可控制的、安全的内部⽹络。也只有做到这⼀点,实现信息⽹络的通信安全才有可能。
⽬前,最基本的⽹络分隔⼿段就是防⽕墙,它也是⽬前⽤来实现⽹络安全的⼀种主要措施。利⽤防⽕墙,可以⽤来在拒绝未经允许的⽹络连接、阻⽌敏感数据的泄漏的同时,保证合法⽤户的合法⽹络流量畅通⽆阻,可以实现内部可信任⽹络(如企业⽹)与外部不可信任⽹络(如 Internet)之间,或是
渗透聚苯板
内部不同⼦⽹之间的隔离与控制,保证⽹络系统及⽹络服务的可⽤性。
1.防⽕墙的基本原理防⽕墙通常使⽤的采⽤包过滤、状态检测、应⽤⽹关等⼏种⽅式控制⽹络连接。
空转锁
包过滤防⽕墙是⼀种简单⽽有效的安全控制技术,它根据在防⽕墙中预先定义的规则(允许或禁⽌与哪些源地址、⽬的地址、端⼝号有关的⽹络连接),对⽹络层和传输层的数据包进⾏检查,进⽽控制数据包的进出。包过滤的优点是对⽤户透明、传输性能⾼。但是由于只能在⽹络层、传输层进⾏控制,安全控制的⽅式也只限于源地址、⽬的地址和端⼝号这⼏种,对于应⽤层的信息⽆法感知,因⽽只能进⾏较为初步的安全控制,对于拥塞攻击、内存覆盖攻击或病毒等⾼层次的攻击⼿段,则⽆能为⼒。 状态检测防⽕墙保持了包过滤防⽕墙的优点,所以性能⽐较好,⽽且对应⽤是透明的。同时,状态检测防⽕墙改进了包过滤防⽕墙仅仅检查进出⽹络的数据包,不关⼼数据包状态的缺点,在防⽕墙的内部建⽴状态连接表,维护了连接,将进出⽹络的数据当成⼀个个的事件来处理。对于每⼀个⽹络连接,状态检测根据预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,⽣成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种⽅式的好处在于:由于不需要对每个数据包进⾏规则检查,⽽是对⼀个连接的后续数据包(通常是⼤量的数据包)通过散列算法,直接进⾏状态检查,从⽽使得性能得到了较⼤提⾼。
与不关⼼应⽤层数的前两种⽅式不同,应⽤⽹关防⽕墙检查所有应⽤层的信息包,并将检查的内容信息放⼊决策过程,从⽽提⾼⽹络的安全性。然⽽,应⽤⽹关防⽕墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:⼀个是从客户端到防⽕墙,另⼀个是从防⽕墙到服务器。另外,每个⽹关需要⼀个不同的应⽤进程,或⼀个后台运⾏的服务程序,对每个新的应⽤必须添加针对此应⽤的服务程序,否则不能使⽤该服务。所以,应⽤⽹关防⽕墙使⽤起来⽐较⿇烦,⽽且通⽤性⽐较差。
2.防⽕墙的优点在系统中使⽤防⽕墙,对于系统的安全有很多的优点:
(1)可以隔离⽹络,限制安全问题的扩散。防⽕墙可以隔离不同的⽹络,或者⽤来隔离⽹络中的某⼀个⽹段,这样就能够有效地控制这个⽹段或⽹络中的问题在不同的⽹络中传播,从⽽限制安全问题的扩散。
(2)通过防⽕墙可以对⽹络中的安全进⾏集中化管理,简化⽹络安全管理的复杂度。只要在防⽕墙上配置好过滤策略,就能使防⽕墙成为⼀个⽹络安全的检查站,所有进出⽹络的信息都需要通过防⽕墙,把⾮法访问拒于门外。从⽽实现安全的集中统⼀的管理,并且能够简化安全管理的复杂度。
(3)能够有效地记录 Internet 上的活动。因为所有进出内部⽹络的信息都必须通过防⽕墙,所以防⽕墙能够收集内部⽹络和外部⽹络之间或者不同⽹段之间所发⽣的事件,为管理员的进⼀步分析与安全
管理提供依据。
3.正确使⽤防⽕墙虽然防⽕墙的技术⽇渐成熟起来,成为维护⽹络安全的⼀个重要的⼿段。
遮蔽肩垫但是,它也不能完全解决⽹络上的安全问题。在实际使⽤过程中还有⼀些安全性是防⽕墙不能实现的,在实际⼯作中,⼀般应注意如下⼏点:
(1)防⽕墙虽然能对来⾃外部⽹络的⾮法连接作很严格的限制,但是对来⾃本地⽹络内部的攻击却⽆从防范。事实上,⼤多数攻击不是来⾃外部,⽽是来⾃内部。因此,即使使⽤了防⽕墙,对本地⽹络内部的主机、应⽤系统、数据库等也要采取其他有效的措施,才能真正做到安全。
(2)即使对于来⾃外部的攻击,⽬前的任何防⽕墙也不能做到完全阻挡所有的⾮法⼊侵。随着各种新技术的陆续涌现,⾮法分⼦对系统的深⼊研究与剖析,各种新的应⽤需求不断被开发,防⽕墙本⾝也会受到越来越多的威胁。对这些新的动态、趋势要密切关注,不断地升级防⽕墙、修正完善防⽕墙的配置,才能使防⽕墙本⾝更加坚固,进⽽长久地发挥安全保护作⽤。
(3)防⽕墙不能防范病毒,⽆法抵御基于数据的攻击。尽管防⽕墙的过滤技术在不断完善,可是由于病毒的类型太多,隐藏⽅式也⾮常复杂,⽽且它们很多都是隐藏在数据⽂件中,因此要防⽕墙对所有的包含病毒的⽂件作出限制是不太现实的,⽽应当在系统中单独安装专门的病毒⽹关或者在主机上安装相应的防病毒软件、反间谍软件等⼯具软件,才能较好地防范此类安全隐患。
(4)防⽕墙不能防范全部的威胁,⽽只能防备已知的威胁。所以在使⽤过程中,应当经常根据需要配合使⽤⼊侵检测系统。
(5)防⽕墙不能防范不通过它的链接。防⽕墙可以有效地过滤经过它的信息传输,但不能防范不通过它的信息传输,例如,如果允许拨号访问防⽕墙后⾯的内部系统,则防⽕墙没有任何办法对它进⾏控制。
3 ⼊侵检测系统
传统上,⼀般采⽤防⽕墙作为系统安全的边界防线。但是,随着攻击者的知识⽇趋丰富,攻击⼯具与⼿法的⽇趋复杂多样,单纯的防⽕墙已经⽆法满⾜对安全⾼度敏感的部门的需要,⽹络的防卫必须采⽤⼀种纵深的、多样的⼿段。
与此同时,当今的⽹络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏,系统管理员的⼯作不断加重,不经意的疏忽便有可能造成安全的重⼤隐患。所以,信息系统中存在着不少可以被攻击者所利⽤的安全弱点、漏洞及不安全的配置,主要表现在操作系统、⽹络服务、TCP/IP 协议、应⽤程序(如数据库、浏览器等)、⽹络设备等⼏个⽅⾯。正是这些弱点、漏洞和不安全设置给攻击者以可乘之机。
另外,由于⼤部分⽹络缺少预警防护机制,即使攻击者已经侵⼊到内部⽹络,侵⼊到关键的主机,并从事⾮法的操作,系统管理员也很难察觉到。这样,攻击者就有⾜够的时间来做他们想做的任何事情。
温湿度控制系统要防⽌和避免遭受攻击和⼊侵,不仅要出⽹络中存在的安全弱点、漏洞和不安全的配置,然后采取相应措施解决这些弱点、漏洞,对不安全的配置进⾏修正,最⼤限度地避免遭受攻击和⼊侵;还要对⽹络活动进⾏实时监测,⼀旦监测到攻击⾏为或违规操作,能够及时作出反应,包括记录⽇志、报警甚⾄阻断⾮法连接。
在这种环境下,⼊侵检测(Intrusion Detection)技术受到⼈们愈来愈多的关注,⽽且已经开始在各种不同的环境中发挥其关键作⽤。⼊侵检测系统可以在系统中发⽣⼀些不正常的操作时发出警报,防患于未然。设置硬件防⽕墙,可以提⾼⽹络的通过能⼒并阻挡⼀般性的攻击⾏为;⽽采⽤⼊侵检测系统,则可以对越过防⽕墙的攻击⾏为及来⾃⽹络内部的违规操作进⾏监测和响应。
⼊侵检测技术,通过对计算机⽹络或计算机系统中的若⼲关键点收集信息并对其进⾏分析,从中发现⽹络或系统中是否有违反安全策略的⾏为和被攻击的迹象。与其他安全产品不同的是,⼊侵检测系统需要更多的智能,它要根据智能库对收集到的数据进⾏分析,并采取相应措施。
作为对防⽕墙极其有益的补充,⼊侵检测系统(IDS)能够帮助⼈们快速发现系统攻击的发⽣,扩展
了系统管理员的安全管理能⼒(包括安全审计、监视、进攻识别和响应等),提⾼了信息系统的安全性。⼊侵检测系统被认为是防⽕墙之后的第⼆道安全闸门,它能在不影响⽹络性能的情况下对⽹络进⾏监听,从⽽提供对内部攻击、外部攻击和误操作的实时保护。
⼊侵检测系统作为⼀种积极主动的安全防护⼯具,能够在计算机⽹络和系统受到危害之前进⾏报警、拦截和响应。其主要功能包括:通过检测和记录系统中的安全违规⾏为,惩罚信息系统攻击,防⽌⼊侵事件的发⽣;检测其他安全措施未能阻⽌的攻击或安全违规⾏为;检测⿊客在攻击前的探测⾏为,预先给管理员发出警报;报告信息系统中存在的安全威胁;提供有关攻击的信息,帮助管理员诊断系统中存在的安全弱点,利于其进⾏修补。
在⼤型、复杂的计算机系统中布置⼊侵检测系统,可以明显提⾼信息系统安全管理的质量。
1.⼊侵检测技术⼊侵检测系统的处理过程分为数据采集阶段、数据处理及过滤阶段、⼊侵分析及检测阶段、报告及响应阶段 4 个阶段。 数据采集阶段主要收集⽬标系统中引擎提供的通信数据包和系统使⽤等情况。数据处理及过滤阶段是把采集到的数据转换为可以识别是否发⽣⼊侵的数据的阶段。分析及检测阶段通过分析上⼀阶段提供的数据来判断是否发⽣⼊侵。这⼀阶段是整个⼊侵检测系统的核⼼阶段。报告及响应阶段针对上⼀个阶段中得出的判断作出响应。如果被判断为发⽣⼊侵,系统将对其采取相应的响应措施,或者通知管
理⼈员发⽣⼊侵,以便于采取措施。
在⼊侵检测系统的⼯作过程中,对信息系统中的各种事件进⾏分析,从中检测出违反安全策略的⾏为是⼊侵检测系统的核⼼功能。检测技术分为两类:⼀种是基于标识(signature-based)的⼊侵检测,另⼀种是基于异常情况(anomaly-based)的⼊侵检测。
sim卡托基于标识的检测技术,先定义出违背安全策略的事件的特征,如⽹络数据包的某些头信息等。然后对收集到的数据进⾏分析,通过判别这类特征是否在所收集到的数据中出现来判断是否受到⼊侵。此⽅法⾮常类似杀毒软件的特征码检测,⽐较简单有效。
⽽基于异常的检测技术则先定义⼀组系统“正常”情况的数值,如 CPU 利⽤率、⽹络流量规律、⽂件校验和等(这类数据可以⼈为定义,也可以通过观察系统,并⽤统计的办法得出),然后将系统运⾏时的数值与所定义的“正常”情况⽐较,得出是否有被攻击的迹象。这种检测⽅式的核⼼在于如何定义所谓的“正常”情况。
两种检测技术的⽅法、所得出的结论有时会有⾮常⼤的差异。基于标识的检测技术的核⼼是维护⼀个知识库。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,⽽且知识库必须不断更新。基于异常的检测技术则⽆法准确判别出攻击的⼿法,但它可以判别更⼴泛,甚⾄未发觉的攻击。如果条件允许,两者结合的检测会达到更好的效果。
2.⼊侵检测系统的种类和选⽤⼀般来说,⼊侵检测系统可分为主机型和⽹络型。
主机型⼊侵检测系统往往以系统⽇志、应⽤程序⽇志等作为数据源,当然也可以通过其他⼿段(如监控系统调⽤)从所在的主机收集信息进⾏分析。主机型⼊侵检测系统保护的⼀般是其所在的主机系统。主机型⼊侵检测系统需要为不同平台开发不同的程序,⽽且会增加系统负荷,还要在每⼀台主机安装,⽐较⿇烦,但是可以充分利⽤操作系统本⾝提供的功能,并结合异常分析,更准确地报告攻击⾏为。
⽹络型⼊侵检测系统则以⽹络上的数据包作为数据源,通过在⼀台主机或⽹络设备上监听本⽹段内的所有数据包来进⾏分析判断。⼀般⽹络型⼊侵检测系统担负着保护整个⽹段的任务。这种系统应⽤⼗分简便:⼀个⽹段上只需安装⼀个或⼏个这样的系统,便可以监测整个⽹段的情况,但是它不跨越多个物理⽹段,对于复杂结构的⽹络(如交换环境)监测效果有⼀定影响。
主机型⼊侵检测系统和⽹络型⼊侵检测系统各有利弊,应⽤中可以根据实际需要从中选择。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议