内网安全机制

内网安全机制（共7篇）

内网安全机制 篇1

随着信息全球化的到来,电力系统在社会发展中发挥的作用越来越不可小觑,电力内网通信和运行的安全性也随之受到各方关注,传统的PKI在应用方面存在管理复杂、成本较高的缺点,如何实现电力内网的安全运行和维护,建立起有效的电力内网安全机制成为备受瞩目的课题。笔者对IBE进行简单介绍,重点对基于IBE的电力内网安全机制进行研究。

1 IBE概述

1.1 IBE的概念

基于身份的加密IBE,全称Identity-Based Encryption,是一种公共密钥加密方法,最早是在1984年由公钥密码学者Shamir提出,它是对传统密钥技术的创新和升级,是现代公共密钥加密技术的重要内容。在IBE加密机制中,用户的公钥是基于用户的身份信息设定的,不需要像CA和PKI那样通过数字证书进行绑定,极大地避免了烦琐而复杂的证书管理工作,解决了证书发布、验证及保存等操作引起的资源大量占用问题,也是对公钥密码体制的一种发展和完善。总体来说,IBE是一种先进的、发展前景广阔、具有广泛应用性的加密技术。

1.2 IBE的优点

基于身份的加密(IBE)具有很多的优点:

第一,IBE不需要公钥证书和交叉认证,简化了复杂的证书管理工作,克服了PKI、PGP、VPN等传统加密技术在应用中的缺陷,降低了系统运行的成本和难度。

第二,IBE加密机制中,密钥使用期限是固定的,密钥到期自动撤销,而且它在信息设置上也具有自动性,当信息被设定为一段时间内有效时,在有效期内,信息会得到良好的保护和加密,而一旦过了设定时间,信息则会自动失效或无法读取。

第三,IBE在邮件管理方面效果显著,能够有效防止垃圾邮件的侵入。

1.3 IBE的应用现状

在IBE提出后的十几年间,虽然人们认识到了IBE加密技术的优越性,但是由于种种问题和阻碍,IBE并未得到大规模的应用,专家学者一直不断地对IBE进行深入研究,也在不断探讨IBE的具体应用方案,时至2001年,切实可行的IBE应用方案出炉,为IBE的应用提供了理论支持和方案导向,IBE的应用实例日渐增多,笔者将具体讲述IBE在电力内网安全机制建设中的运用。

2 电力内网安全机制的构成及其重要性

现代社会,人们对电力系统的依赖性越来越大,电力网络的安全程度直接决定了社会生产的安全指数,而在信息全球化的趋势下,信息的安全受到越来越大的挑战,因此,在电力内网的安全要求日益提高的情况下,电力内网安全机制的建立和完善成为必然趋势。电力内网安全机制由加密机制、安全认证机制、访问控制机制三部分构成,它们都对保障电力内网安全机制有着重要意义。不断完善加密机制,可以保护电力内网信息安全流通,实现安全机制的高效、安全运行。所以,在电力系统管理中,应该重视内网安全机制建设,保障电力内网信息流通安全,为人类社会生产营造良好的环境和氛围。

3 基于IBE的电力内网安全机制

3.1 用户信息安全管理

IBE加密技术本身就是基于身份的加密,因此,用户信息的管理是基于IBE的电力内网安全机制的重要内容。在电力内网安全机制中,要系统、合理地组织用户注册,维护用户信息列表,竭力向用户信息管理模块提供相关的用户认证信息,进而实现保障用户信息安全的目的。要实现用户信息的安全管理,应该从以下三方面入手:

第一,建立用户信息的集中存储机制,对电力内网中的用户实现集中管理,对用户信息进行统一的规范和控制,使IBE在信息加密方面的优势充分发挥出来。

第二,在用户身份的检验方面,采用口令管理,将用户认证设置为私钥请求的基础,保障电力内网内部数据访问的安全性。

第三,增加用户自主功能,用户可以在通过程序批准的情况下,自己进行注册,简化电力内网系统管理人员的工作任务。

3.2 私钥安全管理

私钥的安全管理对IBE的有效施行具有重要意义,也是保障电力内网信息流通安全的基本因素。私钥管理的内容主要有私钥的产生、分发、撤销及电力系统主密钥的维护,在实际的电力内网运行中,私钥的安全管理程度直接决定了电力内网的安全程度。基于IBE的电力内网安全机制高度重视私钥的安全管理,私钥的获取和产生需要经过严格的程序,得到相应的认证,在信息经过一系列流程检验和确认,保证无误后,才能通过SSL安全通道将生成的私钥发送给用户,而如果信息有误或者出现其他错误,则将错误信息返回。

3.3 公开参数系统

电力内网安全机制中需要有维护内网公开参数的系统。对公开参数系统的安全管理,一方面要做到公共参数的公开,另一方面要实现主密钥的保密,这样既能为用户提供便利的公开参数查找服务,又能够保障电力内网信息的安全性和完整性。公开参数系统的主要运行步骤如下:

第一,由电力内网应用程序向公开参数系统服务器提出公开参数请求。

第二,服务器在接受到请求信息之后,在公开参数中查找符合要求的参数。

第三,系统将对应电力内网公开参数发送给请求者。

3.4 接口管理

接口管理主要负责规范电力内网安全技术接口管理,要实现电力内网的安全和可靠运行,需要借助有效的安全技术,例如病毒扫描技术、防火墙技术等,这些技术对保障电力内网信息安全、维护电力网络安全运行起到的作用不可小觑,因此,对于这些安全技术接口的管理应当格外注意,进而实现安全技术与电力内网安全机制的完美结合,利用IBE基于身份的认证特性,建立起电力内网中基于身份的访问控制。

摘要：当前社会,电力信息化建设不断深化,对电力内网的安全要求日益提高,IB E对电力内网安全性的提高有重要意义,如何将IB E技术应用到电力内网安全机制建设当中,实现电力内网的可控性与可靠性,成为电力网络维护人员的关注重点。

关键词：IB E,电力,内网安全机制

参考文献

[1]高伟,周权,郭艾侠.网络嗅探及其检测和防范[J].安庆师范学院学报(自然科学版),2002,(03):96-97.

[2]侯彦华.有关无主站VSAT的解决方案[J].北京广播电视大学学报,1996,(01):44-45.

[3]钟鸣,杨义先.一种高效的基于离散对数假设的身份认证方案[J].北京邮电大学学报,2001,(01):102-103.

内网安全技术研究 篇2

长期以来,人们谈到网络安全都是指一些外部的病毒入侵、黑客攻击,常规防御理念往往局限于利用网关、网络边界设备等进行防御,然而很多这方面的技术对保护内网却没有效用。大量关于黑客入侵、病毒攻击的报道,将人们的注意力导向到重视防范来自外部的攻击,却忽视了来自内部的安全威胁。内部人员误用、滥用、恶用内网资源,盗窃机密数据等严重破坏信息安全的行为,已成为网络中的主要威胁。对此,人们不仅缺乏必要的认识,也缺少合适的防范工具与处理手段。

1 内网安全威胁

FBI和CSI在2005年的调查结果显示:将近50%的安全威胁来自内部网络的误用,有35%来自未授权的访问,有10%来自专利信息被窃取,有8%来自内部人员的财务欺骗;在损失金额上,未授权的访问导致了31 233 100美元的损失,专利信息的窃取导致了30 933 000美元的损失,内部网络的误用导致了6 856 450美元的损失,内部人员的财务欺骗导致了2 565 000美元的损失,总计达71 587 550美元。这组数据充分说明了内网安全的重要性,也提醒我们应尽快加强内网安全建设。

内网安全的目标就是要建立一个可信、可控的内部安全网络,内网90%以上的设备由终端主机组成,因此它当之无愧地成为内网安全的重中之重。安全、有效地监控终端主机,必须首先了解来自内部网络的安全威胁。

1.1 非法外联

内部人员使用拨号、宽带等方式接入外网,使本来隔离的内网与外网之间开辟了新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内外网之间的防护屏障,顺利侵入非法外联的主机,盗窃内网的敏感信息和机密数据,造成泄密事件。

1.2 使用软件违规

内部人员出于好奇或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,没有安装指定的防病毒软件等等,这些行为都对内网安全构成了重大威胁。

1.3 外设接口使用不当

为了方便使用,计算机提供了各种大量的外设接口,如USB接口、串行接口、并行接口、软盘控制器、DVD/CD-ROM驱动器等,而这些外设接口都可能成为信息泄漏的途径。

1.4 外部设备管理不当

如果不加限制地让内部人员在内网主机上安装、使用可移动的存储设备,如软驱、光驱、U盘、移动硬盘、可读写光盘等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

1.5 重要文件缺乏保护

计算机内部的相关机密文件被随意进行篡改、删除等操作,个别内部人员对涉密文件进行了共享操作,从而有意无意地造成了内部信息泄漏。

1.6 打印机的滥用

一般内部的关键资料不允许打印带出,这些关键资料包括重要的设计图纸、设计文档、参考文献等。对于这些重要电子文档的打印,要进行严格的登记和日志记录,登记所有打印机上的打印记录,以便为资料泄漏提供强有力的线索和证据。

2 内网安全管理系统

内网安全首先假设所有的内部网络都存在安全威胁,相对于外网有着更细粒度的安全管理控制,直接控制到主机系统,甚至是数据文件本身,这样就极大地提高了安全性。方案要能保障内部主机与网络系统稳定、可靠地运行,确保内部信息与网络资源受控、合法地使用,确保内部重要信息的安全与保密。

2.1 系统概述

桌面安全管理系统的出现为内网安全提供了一个较好的解决方案,它是一种基于“内部用户不可信”前提的内网安全类产品。它需要对各种类型的操作系统进行研究和控制,结合访问控制、操作系统核心技术、网络驱动、密码学、数据安全等技术手段,对涉密信息、重要的内部数据等敏感信息、信息载体及信息处理过程实施保护,使之免遭违规或非法操作的威胁,并能够完整记录相应操作的日志。

从产品功能和实现的安全目标来看,桌面安全管理系统似乎和主机审计类产品有些相似,两者都涉及到了对操作的日志审计和对主机的控制,也就是“监”和“控”。其实两者是有区别的:主机审计类产品主要侧重于对系统信息和操作的监视、审计,也就是“监”;而桌面安全管理系统不仅能够进行日志审计,更重要的是它的控制功能很强大,因此重在“控”。桌面安全管理系统可以对客户端主机进行实时监控,还可以通过实时修改下发安全策略对客户端主机进行更为严格、粒度更细的控制,从而保证在发生内部安全事件时,能够做出及时、有效的响应;在事后可以通过查看各种审计日志,形成有力的“佐证”,以便对相关人员进行责任追究。

2.2 系统结构

桌面安全管理系统根据其功能要求一般分为3个部分:服务器、控制台和客户端。各部分关系如图1所示。

服务器是桌面安全管理系统的核心部分,包括服务程序和后台数据库,一般安装在一台具有高性能CPU和大容量内存的主机上。服务器主要负责将管理员指定的各种安全策略下发到各个客户端,接收客户端收集的各种数据信息存入数据库,并将适当的数据传递给控制台显示。

控制台是系统与管理员的人机接口,是服务器的操作界面。既可以安装专门的控制台软件,通过GUI界面管理服务器,也可以使用浏览器,通过Web界面来管理服务器。管理员通过控制台可以实现管理配置安全策略、系统管理、参数配置、事件管理和日志审计等功能。

客户端是部署在被监控主机上的代理软件,它主要负责执行管理员下发的安全策略和管理命令,收集主机相关的数据并传输给服务器。

2.3 系统安全及性能

终端安全管理系统采用密码学技术,对服务器和客户端、服务器和控制台之间的通讯数据进行了加密处理,保证各组件之间的通信信道的安全性。管理员设置的各种安全策略在客户端主机离线的状态下仍然能够生效,而且在此期间对主机的各种审计日志仍然会正常记录,在客户端主机再次连入内网以后,审计日志就会自动上传到服务器,这样就能够避免主机在离线状态下的违规操作。由于客户端是安全策略的最终执行者和主机信息的收集者,因此其自身的安全保护尤为重要。终端安全管理系统采用各种技术手段来防止客户端在正常模式和安全模式下,进程和服务被恶意停止、代理程序被恶意卸载、下发的安全策略和各种配置文件被恶意修改和删除,保证客户端能够正常运行,使管理主机时刻对各台计算机进行有效监控。

桌面安全管理系统的主体架构一般采用C/S模式,客户端应用占用主机的系统资源很小,不会影响到主机的正常运行;同时对内网带宽的占用也很小,因此能够在不影响正常工作的前提下最大程度地完成内部数据的保护以及内网安全管理工作。

2.4 内网安全管理系统的实现

2.4.1 监控代理程序

读模块负责从操作系统的审计日志文件中读取连续的审计日志数据,并将其转换为一个便于存取操作的通用记录格式,传送给数据分析模块。数据分析模块根据安全规则对收到的审计数据进行分析。如果安全规则给出了明确的响应动作,则向动作响应模块发出动作指令,同时向发送模块传送匹配的数据记录。发送模块负责将接收到的数据传送给监控信息中心服务器。接收模块负责接收控制中心传来的安全规则和动作指令,刷新安全规则和向动作相应模块发送动作指令。动作响应模块负责切断用户与系统的连接和封锁用户系统帐号。各模块关系框图如图2所示。

2.4.2 监控信息中心

监控信息中心服务器的接收模块负责接收多个监控代理发送的数据,并传送给数据分析模块。数据分析模块根据安全规则对接收到的数据进行分析,通过发送模块将动作响应传送给特定的监控代理。报警信息通过管理模块传送给管理员控制台,同时归档的数据存入数据库中。管理模块为管理员控制台提供安全监控系统的各种管理、监控与数据分析服务,包括修改和部署安全规则,查询和分析数据库的审计数据,并通过发送模块向各个监控代理部署新的安全规则和发起响应动作。如图3所示。

2.4.3 管理员控制台

管理员控制台可以集中显示安全报警信息,拥有对归档审计数据的分析和查询功能,并且安全管理员能够对主机安全监控系统进行安全策略的集中配置和部署。主要分为7个模块:用户界面模块、身份认证模块、报警模块、统计分析模块、策略编辑模块,系统状态模块和通信模块(发送与接收)。如图4所示。

3 结语

目前,市场上已经存在一定数量的内网安全管理产品,例如:中网信息技术有限公司的中网桌面安全管理系统、北京天融信科技有限公司的网络卫士安全管理系统等,这些产品都是针对内网安全威胁和内网安全管理系统的功能等方面设计的,对这些产品进行分析和比较,我们发现各个产品的功能主要方面差异不大,只是在个别功能和性能上有所不同,在使用的模式和系统的稳定性上也参差不齐。随着公安信息系统信息化建设的发展,公安内部网络安全问题也日渐突出,打造适合信息化发展需要的内网信息安全产品十分必要。

摘要：在网络安全领域,内网的安全问题已逐渐成为研究的焦点。首先介绍了内网安全的现状,然后对内网安全的威胁进行了全面、深入的分析,并针对这些威胁提出了相应的安全解决方案,最后设计了内网安全管理的原型系统。

关键词：内网安全,安全威胁,监控代理

参考文献

[1][美]CHRISTOPHER ALBERTS,AUDREY DOROFEE.信息安全管理[M].北京:清华大学出版社,2011.

[2]DAN FARMER,WIETSE VENEMA.Improving the security ofyour system by breaking into it[EB/OL].http://www.rootshell.com/docs/inprove_by_breakin.

内网的安全管理 篇3

随着Internet的飞速发展，局域网已经成为很多行业不可缺少的组成部分。在享受Internet快捷方便的同时，内网安全也面临着严重的威胁。为了确实有效的保护内网的安全，建立一套完整的内网安全管理体系显得十分重要。

2、内网面临的安全问题

内网，通俗的讲就是局域网 (Local Area Network) ，内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击，更多的问题是来自内部人员的违规操作、蓄意破坏或窃取信息。要做好内网的安全管理，首先在技术上，基础的硬件设施是必不可少的保障，安装边界路由器和防火墙，再配合使用入侵检测系统，经过正确的配制基本可以抵御来自网外的攻击。同时，制定合理的安全策略和严格的管理制度，从网络资源、设备资源、客户端资源和应用资源等多方对内部网络加以管理和审计，才能达到最佳的管理效果。

3、应对内网安全挑战的防御措施

在技术上，应首先从边界着手，通过正确的使用边界路由器、防火墙、入侵检测系统等设施，再配合其它技术手段，可以基本防御来自外网对内网的安全威胁。

3.1 合理设置边界路由器

一般来说，内网都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当设置，边界路由器能够把几乎所有的非法入侵挡在网络之外。

3.1.1 修改默认的口令

设置一个安全保密性较强的口令，可以防止边界路由器被网外非法用户破解，从而增强对外部使用者的管理。

3.1.2 关闭路由器的HTTP设置

HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而，HTT P协议中并没有一个用于验证口令或者一次性口令的有效规定。因此关闭路由器的HT TP设置可以增强内网的安全性。

3.1.3 封锁ICMP PING请求

PING的主要目的是识别目前正在使用的主机。因此，PING通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收PING请求的应答能力，就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。这样做实际上并不能保护网络不受攻击，但是，这将使内网避免成为一个攻击目标。

3.1.4 关闭IP源路由

IP协议允许一台主机指定数据包通过网络的路由，而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是，这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像，或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障，否则应该关闭这个功能。

3.1.5 确定数据包过滤的需求

在这种规定中，除了网络功能需要的之外，所有的端口和IP地址都必须封锁。例如，用于WEB通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问，而所有其它端口和地址都可以关闭。

3.1.6 建立准许进入和外出的地址过滤政策

在边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外，所有试图从网络内部访问互联网的IP地址都应该有一个分配给的局域网的地址，保证只有在局域网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此，应该封锁入网的非法地址。

最后，拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。

3.1.7 审阅安全记录

审阅路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法，无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录，还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。

3.2 安装防火墙

防火墙可以限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视内网安全提供方便。

设置防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。

3.3 安装入侵检测系统

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如，入侵监测系统可以重新配置来禁止从防火墙外部进入的恶意流量。入侵监测系统是独立于防火墙工作的。

入侵监测系统扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而入侵监测系统监视和记录网络流量。如果在同一台主机上运行入侵监测系统和扫描器的话，配置合理的入侵监测系统会发出许多报警。

通过安装入侵检测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时立刻有效终止服务，以便有效地预防企业机密信息被窃取。应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。

3.4 其它技术手段

还可以使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源;使用代理网关，保证操作系统的安全;对重要资料进行备份;选择有完善的在线升级服务，使用户随时拥有最新的防病毒能力的防病毒产品;对病毒经常攻击的应用程序提供重点保护;也可以使用密钥管理，没有规律的口令具有较好的安全性。与此同时，还必须制定一套规范内网安全的管理措施。

4、结语

结合当前网络上攻击泛滥的现象，应对内网所面临的来自外网的病毒和黑客攻击，以及内部资料外泄等不安全行为的威胁。其中主要包括硬件技术防御措施和管理策略的制定方法。在内网的安全管理中，必须注重技术与管理的相互结合, 通过何种手段能以最少的投资建立最为适用的内网安全管理平台等。

摘要：本文是在局域网现有的网络设备的基础上, 从技术和管理两方面着手研究, 形成一套应对内网安全的管理方法。主要内容包括三个方面:硬件设备 (路由器、防火墙、入侵检测系统等) 的正确使用、制定行而有效的安全策略以及严格的内网安全管理制度。论文涵盖了内网安全所需要的“防、测、控、管”等多方面的基础理论和实施技术。

关键词：局域网,内网安全,安全策略,管理措施

参考文献

[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2001.

[2]程胜利, 谈冉.程煜.计算机病毒及其防治技术[M].北京:清华大学出版社, 2004.9.

[3]吴功宜, 吴英.计算机网络应用技术教程[M].北京:清华大学出版社, 2001.

[4]刘承松.局域网与INTERNET应用[M].云南:云南科技出版社, 2005.6.

内网安全监测技术研究 篇4

目前, 常用的安全产品如防火墙和入侵检测技术等, 它们主要关注的是来自外部的攻击和破坏, 而对于内部用户的信息泄密甚至攻击和威胁事件的安全防范几乎不起作用。如何更有效地填补以防火墙、入侵检测系统等为代表的网络安全产品对内网安全控制的不足, 保证内部网络的安全已经成为一个迫切的、重要的任务。

2 内网安全威胁

2.1 非法接入

非法接入是指没有经过有关授权部门允许而直接将各类计算机和移动设备接入内网的行为。非法接入事件虽不是暴力入侵, 但会给内网安全带来极大威胁, 尤其是有可能带有病毒的笔记本一类移动设备的非法接入, 很可能会造成在内网传播病毒、移植木马和泄漏内网机密信息等严重后果。不安全的终端或移动设备非法接入如图1所示。

非法接入发生的主要原因是内控措施不利和内部人员的安全意识不够, 随着无线网络技术的成熟和无线网络设备的使用, 发生非法接入事故的数量将会明显上升。

2.2 非法外联

非法外联是指内部网络的计算机设备与外部网络建立了非授权的连接。非授权连接的建立可以将内部网络的资料传送到外部网络, 同时外部网络的计算机也可能通过该连接进入内部网络, 对内部网络安全造成威胁。

3 对非法接入的监测

如果一个主机的IP与MAC地址与注册表中的记录相符合, 并且能得到代理的认证, 则认为该主机合法;否则, 系统认为被探测主机属非法接入, 将会产生报警信号, 并对该主机实施通信干扰, 以防止非法主机可能对网络安全造成的危害。

在开始进行探测时, 首先确定需要进行探测的IP地址段, 之后便逐一从这些地址中提出一个IP进行探测, 即以该IP地址为目的地址发送一个探测报文。通过检查是否接收到了回应报文来判断所探测的IP是否处于在线状态。

如果收到回应报文, 说明存在一个使用该IP的主机处于在线状态, 交回应报文中的IP及MAC地址提出并与数据库中合法主机的数据进行对比, 如果这些数据不匹配, 则认为该主机属于非法接入。如果数据匹配, 还须要进一步对其实施探测, 这是因为IP和MAC地址都是可更改的, 一台非法接入的主机可以冒用一台不在线的合法主机的IP与M A C。

针对这种情况, 系统对由下线转为活动状态的主机要进行一次“代理连接认证”, 也就是向主机上的安全代理软件发送一个认证请求, 如果认证成功, 那么认为该网络主机合法, 否则, 则认定其为“非法接入”。这样就保证了网络在线主机身份的合法并具有唯一性 (因为代理软件的安装和发放是严格受控的) 。系统只对由下线状态变为活动状态的主机实施代理身份验证是因为当一台非法主机冒用一台在线主机的MAC和IP时, 网络会检测到IP冲突, 因此不需要对所有的在线主机实施代理身份验证, 这样可以减少网络占用量。对一台在线主机的探测流程如图2所示。

目前较为常用的探测技术有:A R P探测、P I N G探测和T C P A C K探测。这三种探测方式各有优缺点, A R P探测所占用的带宽少, 在网段内的穿透能力强;基于ICMP的PING方法的效率较高, 实现起来也比较容易, 但可容易被防火墙拦截;T C P A C K探测具有很强的穿透性, 甚至可以跨越网段实施探测。

以基于A R P的探测技术为例, 对网络主机的整个探测流程如下 (基于网络编程常用的Libnet函数库来实现) :通过Packet Get Adapter Names () 获取主机网卡名之后, 构造网络传输的物理帧首部, 将报文源I P地址设为本机的I P地址, 源M A C设置为本机的M A C地址, 将I P协议类型设为E T H E R T Y P E_A R P (0 x 0 8 0 6) 表示A R P数据报文。然后, 系统开始构造A R P数据包, 将硬件类型设为A R P H R D_E T H E R (为1, 表示以太网) , 协议类型设为ETHERTYPE_IP (2048) 硬件地址长度为6, 协议长度字段设为4, 操作字段设为A R P O P_R E Q U E S T (1) , 表示是A R P请求报文, 源物理地址设为本机MAC地址, 源IP地址设为本地IP地址, 目标物理地址设为物理广播地址, 目标IP地址设为所要探测的I P地址, 最后通过libnet_write_link_layer () 发送构造的ARP数据报文, 并释放相关占用内存。

通过IRIS抓包软件可以看到网络中由本机发送的ARP请求报文, 如果目的主机在线, 则会产生一个ARP响应报文。因此, 通过监听线程就可以发现网络的在线主机。虽然非法接入主机想与其他主机通信时, 也可以通过监听线程发现, 但那样发现相对较慢。

4 对非法外联的监测

在通常情况下, 主机是通过以太网连接到局域网上的, 在网卡上绑定有内部I P地址、子网掩码和网关, T C P/I P协议根据这些信息将生成路由表, 该路由表将默认路由指向网关, 任何网络数据的发送都使用该路由表选择出最优路径进行发送。当该主机进行拨号时, 主机除了原有的连接到局域网上的以太网卡外, 还会有一个拨号产生的W A N连接, 在该网络接口上会绑定ISP分配的IP地址、子网掩码和网关, 系统将增加一些路由表, 第一个默认网关将被更新为新的IP地址。根据这个路由信息的不同, 就可以分辨出主机是否拨号。

设主机A为一台内网主机, 在其没有拨号连接时, 当其收到外网主机B的ICMP报文时, 其路由发现此报文不是本网I P;于是, 首先向默认网关C发送一个A R P报文, 获取网关物理地址, 然后构造一个以B为目的IP地址, 以默认网关的物理地址为目的物理地址的ICMP响应报文。但A拨号上网后, A的默认网关已经改变, 当A通过A R P获取默认的物理地址时, 将没有A R P回应报文, 于是, 将不会产生一个I C M P回应报文。根据这种网络流量的差异, 就可以发现网络中的拨号主机。

对内部网络主机非法拨号外联的监测流程如图3所示。

启动拨号外联检测有两种方式:管理员手工驱动和时间触发两种, 而且可检测的主机仅限于本网络主机范围之内, 在每一次检测之前, 系统查看主机状态列表, 只对在线主机实施拨号外联检测。其函数接口为:

在发送数据报文之后, 需要监听网络中数据流, 因为目标主机的回应报文目的地址是其默认网关, 所以必须对报文的序列号和确认号以及数据报文的源IP和目的IP都进行判断, 以确认监听的数据报文刚好是探测报文的回应报文。为了确保有数据报文丢失现象, 一次向一台目的主机主动发送两个探测数据报文。

所发送的探测报文为T C P A C K报文, 源IP为外网地址, 目的IP为被探测主机, 源端口为5000, 目的端口为137, 序列号11111, 确认号为22222。根据返回的数据报文, 提取其源端口、目的端口、源I P、目的I P、序列号和确认号, 如果其源IP是目的主机的IP, 目的IP是默认网关IP, 确认号为22222, 源端口为137, 目的端口为5000, TCP FLAG字段设置为TCP RST, 则认为是源探测报文的回应报文, 该目标主机没有拨号外联。如果没有收到目标主机的回应报文, 且该主机在线, 则认为该主机存在拨号外联。对于已经拨号外联的主机应该立刻采取主机通信干扰。对于先前已经发现拨号的主机, 如果发送报文收到回应报文, 表示该拨号主机拨号结束。

因为探测报文的回应报文目的IP地址为外网段IP地址, 目的MAC地址为默认网关地址, 因此只能采用网络监听方式获得。如果目标主机不在线, 也不会产生回应报文, 因此为了区别目标主机是拨号外联还是系统关闭, 对没有收到回应报文的主机需要作进一步确认, 判断其是否在线。

在系统实现中, 对收到的T C P报文进行解析, 然后将回应报文的IP上报给监听线程内部的状态散列表。为了防止系统处理过程中的延迟, 以至于还没有收到某主机的响应报文, 而将其误认为拨号外联, 系统每一次在启动外联探测后6秒钟后读取其状态散列表, 当某主机既在线, 又没有回应报文时, 产生报警, 认为其拨号外联。

5 小结

内网安全监测是内网信息安全框架的一个重要组成部分, 完善内网安全体系还有很多工作要做, 它可被视为一个大系统。可以肯定的是, 伴随着网络化进程的加剧, 内网安全的研究最终会与外网安全的研究相结合, 从而建立起全面的、立体的信息安全保障体系。

摘要：计算机网络的迅速发展给我们带来利益的同时, 信息安全问题也越发突出。防止内部信息泄漏和内部攻击作为信息安全的一个重要分支, 日益成为信息安全的焦点。本文分析了内网安全所面临的主要威胁, 基于网络探测技术提出了相应的监测方案。

关键词：内网,非法接入,非法外联,监测

参考文献

[1]杨义先等.网络安全理论与技术[M].人民邮电出版社.2003.

[2]Marcus Goncalves, 宋书民等译.防火墙技术指南[M].机械工业出版社.2000.

[3]沈昌祥.信息安全工程导论[M].电子工业出版社.2003.

浅析内网安全管理 篇5

内网是相对于广域网而言的, 通常又被称作局域网。传统的网络安全是在认为内网是安全的基础上防范外网对内网的攻击,一般采取防火墙、入侵检测系统和虚拟专用网络(VPN)等。

2内网安全体系的提出

2.1 内网是不安全的

实际上内网并不安全,美国计算机安全协会和联邦调查局在《计算机犯罪与安全调查报告》中指出,在各种信息安全威胁所造成的损失中,企业和政府机构因重要信息被窃所造成的损失排在第一位,超过黑客攻击所造成的损失,最主要的信息安全事件为内部人员和内外勾结所为。中国国家信息安全测评认证中心的调查结果也表明, 信息安全问题主要来自泄密和内部人员犯罪,而非外来黑客引起。从办公内网近年的资料失泄密案件来看,大多数属对内网管控不严造成的。

2.2 影响内网安全的因素

影响内网安全的因素是多方面的,包括重要资料传播导致失泄密问题;是否有效控制用户上网权限,个人计算机的非法接入和非法外联等;病毒的爆发和木马泛滥导致网络和系统的损坏甚至瘫痪的问题;系统和应用软件的漏洞,能否得到即时的自动补丁升级;软硬件资产的变化,能否有有效管理的手段等。

2.3 完整的内网安全体系

安全的内网是一个“可管、可控、可信”的网络,内网中所有节点和参与者进行都能得到细致的管理。完整的内网安全体系主要体现在四个方面。

一是内网安全体系的核心是数据和电子文档的安全保密。它的本质是要在生命周期里对内网信息流和数据流进行有效的全程管理, 即对资料和数据从产生、使用和销毁的全过程进行管理。

二是内网安全体系的基础是有效的身份认证。有了确切的实体身份,安全管理策略才有可能实现。而基于内网的身份认证必须综合考虑所有的实体身份,包括服务器、客户端、用户等,其中,客户端和用户的身份认证尤其重要,因为它们具有数量大、环境不安全和变化频繁的特点。

三是内网安全体系的重点是对用户的授权管理。用户授权其主要是确定“谁”能够在“哪些”计算机终端或者服务器进行“怎样的操作”,或者是“怎样使用”“哪些信息或资源”。

四是监控审计是内网安全体系的重要辅助部分。实时监控内网安全状态,对用户的行为进行监控,提供评估报告,并在发生内网安全事件后实现有效的取证。

3内网安全存在的问题

社会中各行业在信息化建设过程中,逐渐加大了内网安全的建设和管理力度, 但内网安全管理手段有限, 还有很多漏洞和管理上的盲点。

3.1 服务器和计算机终端的安全加固得不到保障

对服务器和计算机终端进行安全加固是内网安全的最基本的要求。尽管大多数办公内网用户安装了防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对机器进行漏洞扫描。但是,这些努力措施却没有起到应有的效果。首先,难以保证所有的终端用户都安装了防病毒软件和防火墙软件;其次,即便安装了防护软件, 用户也常常因为各种原因无法及时更新病毒库,也不知道如何正确配置防火墙策略;再次,系统漏洞扫描虽然可以获得终端计算机的补丁缺失情况,但有时会被用户忽略了补丁的安装。办公内网计算机终端数量众多,任何一台出现安全隐患,产生“木桶原理”中的“最短木块”,对整个内网都可能会产生巨大的冲击和破坏。

3.2 计算机终端的接入未能有效控制

办公内网计算机网络系统特点是地点分散,接入点多,内网计算机数量庞大,网络管理员很难统计内网中计算机的确切数量,而且很难控制外来人员或非法计算机随意接入内网,很容易导致内网机密信息的泄漏。另外,对于内网内已经授权使用的计算机,任何一台感染了病毒或木马,往往需要花费很长的时间才能判断和定位到该计算机,然后再通过手动的方式断网。

3.3 用户行为难以监控

用户的行为监控直接关系到用计算机的个人,目的是对个人上网进行控制,约束其行为。新形势下,内网的失泄密往往是通过移动存储设备或直接打印、刻录造成的。据统计,一半以上的单位是因为USB使用不当而丢失数据,因此,安全监控对象必须由计算机终端本身向连接终端的外设扩展,包括移动存储设备、打印机使用情况等。行为监控在内网管理中是个难点,一方面相关的管理制度不健全,权责区分不明,另一方面技术手段有限。

3.4 远程维护和管理能力不足

当接入内网的终端计算机或网络设备出现故障时, 远程维护能力弱,网络管理人员一般采用现场维护的方式,既增加了人力成本又无法保证维护的及时性。在资产管理方面, 用传统的手工登记计算机和网络设备,非常耗时和繁琐,无法做到对计算机和设备配置信息的准确掌握和及时更新。

4内网安全应对策略

针对办公内网安全面临的形势和问题,在区分管理权责、完善制度同时,要从技术上采取有效措施,加强内网安全管理。

4.1 采用多种措施增强计算机终端的安全性和健 壮性

为了增强计算机终端的安全性和健壮性,必须对终端进行加固,主要措施有三个:一是通过专用的补丁分发管理系统,对内网计算机终端补丁进行定期扫描检测和自动安装与更新,大大减少操作系统和应用软件漏洞被利用所造成的安全隐患。二是部署网络防病毒软件, 通过防病毒软件的管理监测中心,判断内网计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况;同时通过设置策略,自动更新客户端的病毒库,定时或远程扫描计算机硬盘,即时发现病毒并报告到安全管理员处理。三是安装主机防火墙,下发并配置防火墙策略,防止外来入侵和对网络访问行为进行控制。

4.2 严格控制计算机终端的接入

目前控制计算机终端入网的方法有两种,一是通过以太网接入交换机划分虚拟局域网(VLAN)、访问控制列表(ACL)来控制,同时计算机终端绑定到交换机的端口上,如MAC地址绑定,这样可以有效的控制计算机的接入。二是对安全性差的计算机,如没有安装防病毒软件,没有安装补丁分发客户端和防火墙的计算机,可以通过各种手段阻止其入网。

4.3 强势推进专用软件,监控用户行为

对用户上网行为和使用软件的控制,可以采用进程监控的办法。在计算机终端强制安装监控软件,对计算机运行的进程进行监控,发现用户正在运行的程序,可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、聊天工具等,限制用户利用计算机进行与工作无关的操作。对于计算机硬件资源的管理方法也很多, 如通过管理软件关闭计算机的软驱,控制USB接口的读写功能,限制使用打印机或对打印机进行打印监控和还原, 控制刻录光驱只能读不能刻等。

4.4 用软件解决计算机终端的远程维护和管理难 的问题

有效的内网管理软件,一是能及时地收集计算机和在网络上相关设备的信息, 如主机名、IP地址、网络参数、账户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等,为终端计算机的维护和故障诊断提供参考;二是可以远程设置计算机终端的网络参数,包括IP地址、网关、DNS等。当网络结构发生变动时,可以快速重新变更计算机网络参数;三是通过远程协理软件,对终端计算机进行远程故障诊断、日常维护等。

5分析和把握内网安全的发展趋势

目前,很多行业部门已经采购了防病毒、内网监控等多种安全产品,并且制定了安全策略和安全制度,提供了越来越完善的安全机制。但随着安全技术的发展和单位对安全的要求,办公内网安全管理呈现出新的趋势。

5.1 建立可靠的无线访问机制

无线局域网的使用越来越广泛,无线网络安全接入的破解方法很多,技术门槛也越来越低,有效地控制无线接入,如加密认证、MAC地址限制等都是内网安全必须要考虑的。严格控制计算机终端的无线网络访问的权限,审查无线网络访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口将是未来内网安全监控的难点和重点。

5.2 关闭多余的服务器和保护重要资源

内网中保持每一台主机都处于“安全”状态是非常不现实的。从安全的角度考虑择优问题,关闭多余的服务器。同时对服务器和重要计算机进行分析评估,对他们进行更加严格限制管理,如关闭共享、用户权限管理等,并重点监控其安全情况,确保内网重要数据和文档的安全。

5.3 自动跟踪的安全策略

自动执行实时跟踪的智能安全策略,是有效地实现网络安全的关键。它将是内网安全的一大改革,超过了手动安全策略的功效。通过终端加固、终端监控、终端维护、接入控制、网络管理、资产管理等功能的协同与交 互,可实现全面的内网安全管理。不仅大大节省了企业对网络安全的投资,也减轻了网络管理人员的内网管理负担,提高了工作效率。

内网安全机制 篇6

企业内外部、内部不同部门之间的U盘交叉使用等情况, 都给企业带来机密信息泄露的严重风险。

企业安全防护系统可以分为内网部分和外网部分, 由于内网避免了与防火墙和IPS直接过招的麻烦。而“防外不防内”也是很多企业网络中普遍存在的问题。在激烈的商业竞争中, 内网的交锋日益成为焦点。据公安部最新统计, 70%的泄密犯罪来自于内部, 电脑应用单位80%未设立相应的安全管理, 58%无严格的调存管理制度。

国内内网安全市场发展十余年间, 每年以150%速度高速发展, 是国内信息产业最有潜力的市场之一。据记者了解, 当前内网安全市场竞争激烈, 提供具体方案的企业包括国外巨头赛门铁克、趋势科技、EMC (RSA) 、Websense、McAfee等以及国内企业联软科技、东软、绿盟等。

在经过了从初生到高速发展的甜蜜期后, 国内内网安全市场即将进入重要的调整阶段。

某电信研究院人士告诉记者, 在电信领域, 国内运营商用户不断增加, 拥有大量客户资料和个人用户信息, 通信设备企业投入巨资进行技术创新和研究市场竞争策略, 这些数据面临较多安全威胁, 需要企业构建更加强大的内网安全系统。

内网安全成为安全防护新核心

一直以来, 企业安全防御的重点更多的放在网络边界 (防火墙、漏洞扫描、安全审计、防病毒、IDS等) 方面, 主要的安全设施大多物理上集中于机房、逻辑上集中在网络出入口处。应该说, 在这些安全设备的严密监控下, 来自网络外部的安全威胁得到显著缓解。

“然而, 随着企业信息化的不断深入, 来自网络内部的安全威胁开始逐步凸显出来, 网络的内部安全问题大于外部问题渐渐成为业界共识。”绿盟科技产品市场经理李海告诉记者, 现在内部员工、访客以及合作伙伴的有意操作或无心之举、安全防护边界的日渐淡化或模糊、各种网络应用的快速普及等, 让安全管理变得扑朔迷离。尤其是U盘等移动存储设备的大规模使用, 给企业带来了新的内网安全威胁。主要的安全威胁表现为敏感信息泄露以及恶意代码感染。

深圳联软科技有限公司营销总裁祝青柳表示, 现在最核心的安全威胁还是来自于利益驱动的数据泄密问题, 针对分支机构众多, 并有许多第三方服务商的大型企业尤其严重。当然, 原有的病毒、木马导致网络瘫痪这个问题依然严峻。

通信企业发力内网安全

信息化不但为企业带来了便利, 同时也催生了烦恼, 恶性竞争的事件不绝于耳, 通信行业也不例外。据悉此前, 国内著名的某通信制造业上市公司, 高层会议刚开完, 会议精神还没传达, 竞争对手的高层领导就拿到了会议纪要电子文档。

为防止类似泄密事件的发生, 通信企业逐渐高度重视内网安全。7月29日, 烽火科技集团召开了信息安全交流会, 深入探讨集团内部信息安全建设。据悉烽火集团下属虹信公司早在5月份就签约某内网安全公司, 全面打造健康、高效、安全的内网环境。

新形势下, 运营商同样非常重视内网安全。青海电信长期深受终端安全管理问题之患。从2010初开始, 经过1年多的考察、测试、评比, 青海省电信近期最终通过采购程序选择联软科技的LeagView系统, 对其数以千计的终端进行统一的安全管理工作。

“除了企业内部使用, 运营商还关注自己的行业用户, 为其提供完善的内网安全系统。”中国联通中网威信公司一位人士告诉记者。

“技术+管理”构建通信业内网安全

运营商网络是相对开放的网络, 由于其要提供对外服务的特性, 使得其网络并不能成为封闭的网络。东软网络安全资深顾问刘欣宇告诉记者, 针对这种特点, 如果要很好保证其内网的安全, 运营商至少要提供全面的内网监控和审计方案、异常流量监控方案和全面的运维管理方案, 同时, 为保证加入网络的人员身份合法性和安全防护达标, 应当构建接入控制核查机制和安全评测机制, 保证加入其网络的设备的合法性和安全达标。

对于通信行业企业该如何搭建内网安全系统, 祝青柳从技术和管理两方面做了详细介绍, 从技术上来说, 一是没有准入控制的内网安全管理最终就要失败, 建设内网安全系统一定要把网络准入控制放在第一位;二是内网安全管理范畴很广, 要充分考虑终端的资源消耗与统一管理问题;三是简单的审计、封堵、加密, 不能解决运营商的数据防泄密问题, 需要结合业务特点制定更切合实际的方案。

从管理上来说, 企业不仅仅要考虑内部人员终端的管理, 还要考虑对第三方人员终端的管理, 对第三方人员终端要有一套行之有效的技术手段和管理办法, 否则会成为内网安全管理的漏洞;任何好的技术都是需要有相配套的管理方法及流程来确保技术的真正落地。

最后, 祝青柳特别指出, 从运营上的整体内部应用架构上来说, 我们建议还需要考虑如何让内网安全管理系统, 与身份认证系统、服务台系统、HELPDESK系统内、安全运维中心的集成问题, 不要让内网安全系统成为一个孤岛系统。

国外安全企业纷纷并购数据泄露防护企业

1.2006年, McAfee收购Onigma, 花费2千万美元;2007年10月, 收购Safeboot, 花费3.5亿元;2008年8月收购Reconnex公司, 花费4600万美元。

2.2006年7月, EMC收购RSA公司, 费用总额将近21亿美元;

3.2006年11月, Check Point收购Protect Data AB数据安全公司, 花费5.86亿美元。

4.2006年12月, Websense斥资9千万美元收购PortAuthority;

5.2007年10月, 趋势科技收购Provilla公司, 估计收购价格在2亿美元上下;

6.2007年12月, 赛门铁克公司收购Vontu, 费用为3.5亿美元;2010年4月斥资3亿美元并购PGP公司, 并花费7千万美元收购GuardianEdge公司。

内网安全威胁分析及预防研究 篇7

关键词：内部网络,网络漏洞,安全策略,入侵检测,TCP/IP

0 引言

内部网络 (简称内网) 安全问题研究是信息系统 (IS) 安全研究课题的重要组成部分, 作为一个技术问题, 在IS研究与应用领域中日益得到广泛重视和深入研究。在企业组织中, IS安全管理的重要性越来越明显, 当今企业组织正努力建立和完善有效的安全管理措施[1]。

由于因特网的普及, 网络上可以找到许多简单易用的入侵攻击程序与指令集, 使用者很容易通过下载取得, 以致各种入侵与破坏事件层出不穷。若要防御这些不当的攻击行为, 通常是在路由器、服务器及网络的适当位置设定严密的存取监控机制, 而现今的网络环境中存在着许多类型的入侵攻击手法, 许多安全机制往往只能用于局部的安全防止[2]。要做到网络安全防御, 必须有全面性的考虑。本文将探讨内网的潜在威胁, 透过入侵行为的特性分析, 了解不易检测的网络漏洞及入侵检测, 给网络管理者提供一个具体、确实且符合整体性的安全考虑;从入侵行为的趋势对网络进行有效的监控与存取控制, 减少因内部的攻击行为而造成的损害, 有效提高网络的安全性。

1 相关工作研究

入侵检测系统 (Intrusion-detection System, IDS) 是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其它网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年, James P. Anderson为美国空军作了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告, 在其中他提出了IDS的概念。 20世纪80年代中期, IDS逐渐发展成为入侵检测专家系统 (IDES) 。 1990年, IDS分化为基于网络的IDS和基于主机的IDS。由于入侵检测系统的市场在近几年中飞速发展, 许多公司投入到这一领域上来。Axent、Internet Security System (ISS) 、Cisco等公司都推出了自己的产品。

Axent公司的Intruder Alert[3]是一款著名的主机型入侵检测系统, 主要由管理控制台、软件代理等关键部件构成, 它能够通过分析系统和应用程序事件, 连续地监视针对主机的各种攻击行为。Intruder Alert使用了一种叫做Drop-detect的技术, 不仅能够检测已知攻击, 也可以检测各种新出现的攻击。

Cisco Secure[4]入侵检测系统是一种网络型入侵检测系统, 用于实时地检测、报告和终止所监测网络中的未经授权活动。Cisco Secure入侵检测系统包括感应器、中央管理控制台和通信与服务支撑系统。

ISS公司的Real Secure[5]入侵检测系统将基于主机和基于网络的技术、分布式技术结合在一起, 能够实时监视主机的系统事件和网络中传输的数据, 检测非法的外部入侵行为和内网的误用行为并进行响应。

2 内网的潜在威胁

网络入侵者会利用各种方式入侵内网, 进行系统资源的破坏或机密数据的窃取, 有些侦测方式或入侵攻击相当隐密, 往往在事后才发现。为了有效预防这些威胁, 可以在组织内部的网络安全弱点或重要网段进行网络传输数据包的分析与辨识, 避免遭到不当的检测或攻击。只有在了解内网的安全威胁后, 在制定内网安全策略与防制方法时, 才能有效保障网络系统的各项资源。

2.1 网络漏洞分析

网络攻击的方法相当多, 但它们几乎都是借助于网络上的各种弱点与缺陷。因此, 了解系统可能存在的弱点、缺陷与入侵者的攻击手法, 将有助于建立全面性的网络安全架构。

(1) 易忽略协议

ICMP是一个很少被监控的网络通信协议, 通常是作为机器与机器间的交谈、相互传递错误信息与其它需要注意之状况。目前ICMP有18种信息种类, 在一般网络管理上, 并不会允许所有种类的ICMP信息都能直接与因特网服务器沟通, 因为一旦ICMP信息可以进入网关服务器, 攻击者就可以发动阻断服务攻击。另外, 一般而言, 网络管理者并没有对电子邮件SMTP与POP等通信协议作全面性的监控, 入侵者可以藉由含有病毒的电子邮件进入系统后建立后门, 这个通道隐然形成一个入侵系统的最佳路径。

(2) 易隐藏通道

有经验的入侵者会透过加密信道, 让网络监视系统无法发挥作用。他们通常会在一个已经被破解的系统上建立后门, 再利用一般网络防火墙并没有过滤ICMP ECHO、ICMP ECHO REPLY与UDP流量的特性及隐藏通道的技术, 将要攻击的指令封装在ICMP或UDP的标头内, 送到已被植入木马的服务器中, 服务器中木马就会执行该指令, 而将执行结果封装在ICMP REPLY内, 回传给控制端。

(3) TCP/IP协议漏洞

一般对TCP/IP的攻击方法有IP地址的欺骗、TCP序号的预测与联机劫持等。IP地址的欺骗主要是伪造来源主机IP地址, 以攻击某一个目标主机, 使得目标主机无法追溯真正的来源主机。DoS与DDoS攻击为其典型的例子。

2.2 内网侦测

当内网攻击者想知道其所在的内网区段是否存在可以入侵或攻击的对象时, 会先扫描其内部所有主机的连接端口, 找出哪些系统在运作中, 且具有未补丁的弱点或漏洞。连接端口扫描时, 会尝试连接目标主机上的TCP与UDP连接端口, 以确定有哪些正在执行的服务及聆听状态, 进一步判断其执行的操作系统种类及应用程序版本等信息。如果该系统并没有作好安全设定或存在安全漏洞, 那么未经授权的使用者就可以由此连接端口进入目标系统, 进而随意地存取其信息或进行破坏。

下面几种技术常被运用在入侵前的检测上:

(1) 连接端口扫描

TCP联机扫描:这种类型的扫描会尝试着与目标主机连接端口P作一个完整的三阶段确认, 即SYN、SYN/ACK、ACK等动作, 若成功联机, 表示该连接端口正在聆听中;如果无法建立联机, 就表示该连接端口并没有开启或不处在聆听状态。但是, 这个方法会在P留下联机记录, 很容易被入侵检测系统检测出来。

(2) 秘密扫描

秘密扫描可分成下列几种:

(a) TCP SYN扫描:它对目标主机的某连接端口P发送SYN数据包, 如果从P收到SYN/ACK的响应, 就可以确定P正处于聆听状态;如果收到的响应是RST/ACK, 就表示P不在聆听状态。该扫描技术仅有少数的目标主机会留下记录, 图1为尽量避免留下痕迹的秘密扫描方法。

(b) TCP FIN扫描:会对目标主机连接端口P送出FIN数据包, 如果P不在聆听状态, 则会回复RST信息。否则, 目标主机会丢弃该数据包, 而不响应任何信息。

(c) TCP Xmas Tree扫描:对目标主机连接端口P送出FIN、URG 与PSH数据包, 如果P不在聆听状态, 则会回复RST信息;否则, 目标主机会丢弃此数据包, 而不响应任何信息。

(d) TCP Null扫描:对目标主机连接端口P发送将所有标志都关闭的数据包, 如果该连接端口并没有在聆听状态, 则会回复RST信息;否则, 目标主机会丢弃该数据包, 而不响应任何信息。

(e) TCP RST扫描:对目标主机连接端口P传送RST数据包, 如果P正在聆听状态, 则不会有任何响应;若P是一个不存在的地址, 则P所在网域上的路由器在收到一组无法传送或转送的数据报时, 就会回复错误信息“ICMP Host Unreachable”。

(f) UDP扫描:会对目标主机连接端口P送出UDP数据包, 如果从P收到回复信息“ICMP Port Unreachable”, 表示P是关闭的;否则, 表示P是开启的。不过UDP协议是非连接导向的, 许多因素都会影响其准确性, 例如, 网络资源与系统资源的使用负载过大, 处理速度缓慢, 都有可能对该扫描的准确性及可靠性造成影响。

3 内网安全预防

在了解内网的潜在威胁与缺失后, 必须注意网络结构与应用的变化, 网络安全的管理方式及安全策略也应该适时地调整, 并加强监控内网未经授权的服务与安全较薄弱的节点, 必要时检查与分析网络数据包, 找出异常的网络行为或攻击, 予以拒绝。

3.1 网络监控

有经验的攻击者常会利用网络的缺陷及各种避免追踪的技巧, 隐藏档案、加密档案或消除记录来规避系统的监视与取证。因此, 网管人员在面对任何可能的攻击或异常行为时必须事先熟悉: (1) 网络运作的各项标准; (2) 可预测的合法网络行为; (3) 某些特定服务及功能的网络正常流量; (4) 各种数据包标头及数据包内容的特征。

为了防止未经授权的使用、误用或滥用等攻击行为, 必须实施网络监控, 并搜集与分析网络数据包, 以保护网络与系统的安全。以下将分别介绍实施监控的较佳地点、数据包特征的辨识方式及异常的联机活动等, 以搜集相关证据与信息, 确认或制止可疑的入侵与攻击行为。

(1) 重要节点:

由于网络的资源有限, 若实施全面性的监控与检测, 将对网路绩效造成重大影响。因此, 碍于系统的服务质量, 仅能在网络传输特别敏感的区段作全面性的监测, 其它节点则只作局部性的抽样, 如此亦能降低监控主机的负荷。节点监控示意图如图2所示。

(2) 重要主机:

是提供组织重要数据与信息的机制, 为防止未经授权的使用及信息窃取, 对于未经授权的网络行为, 应该予以监测并拒绝。

(3) 外部网络与内网的交接边界:

这个区域可以监控所有来自网络外部或内部对外的异常网络行为, 而给予网管人员实时的告警或直接制止。

(4) 对于曾经受过攻击入侵的系统或子网域:

为防止攻击者由其在内部建立的后门而对网络发动攻击或启动对外的联机, 其网络流量不论是输入或输出, 皆应该作全面性的检测。

(5) 网络数据包特征:

在TCP/IP网络环境下, 为有效监控网络流量, 必须了解这个协议各种数据包的特性, 才能有效辨识各种攻击手法及入侵的企图。在监控网络数据包方面, 可以从IP标头、TCP标头与网络数据包是否遵守RFC网络通信标准来判识, 分析如下:

(a) 可疑的IP标头

所有的TCP、UDP、ICMP、和IGMP的信息都是以IP的信息报来传送。一般防火墙与入侵检测系统都是依据IP标头来过滤网络流量。若发现有可疑的来源IP地址或IP片段, 可以回避该IP的所有数据包, 避免被外界扫描或攻击。

(b) 可疑的TCP标头

TCP协议必须透过TCP三阶段确认, 也可传递其它的网络数据包, TCP数据包标头包含了来源端口号、目标端口号与数据包类型等。一般的半开式扫描会以隐密的方式扫描目标系统, 判断目前有哪些连接端口是开启的, 这种未完成三阶段确认的联机扫描运作对系统威胁相当大, 为避免这类扫描, 可以对半开式扫描类型的数据包予以监测并拒绝。

(c) 可疑的UDP标头

UDP是一个不可靠、非联机性通信协议。攻击者会利用伪造的IP地址不断地对目标主机P发出UDP请求数据包, 使得P忙于回应, 造成网络拥塞或使P的CPU负荷过重, 无法提供服务。

(d) 数据包是否遵循RFC标准

攻击者会修改TCP/IP标头内尚未使用或保留的字段内容, 而做特殊的用途, 例如, 放置启动木马进行实际攻击之指令, 这些不遵守RFC 标准或变形的数据包存在着许多潜在危险因子, 在入侵检测系统上必须对这类被异动过的数据包作有效监测与防止。

(6) 异常联机

异常联机通常发生在服务器、网络线路或网络设备发生异常时, 它是网络攻击者用以扫描网络主机状态的方式之一, 但此时网络其它部分的运作却是正常的。透过监控TCP的联机状况, 分析2台主机之间异常失败联机的问题, 可以辨识是否为潜在的入侵检测或非法的网络通信, 此时, 应检查重要主机所发出的ICMP控制信息并进行分析。如为失败的联机, 在短时间内多次尝试对目标主机进行联机, 但是并没有具体的实际联机, 则必须分析该数据包来源, 判断其目的、用途及是否为授权或允许的网络行为;如为阻断的联机, 在主机之间尚未建立正式联机前, 攻击者可能会透过“半开式扫描”对目标主机进行检测, 由此判断目前正在运作的系统与开放的连接端口, 这种未经正式确认的连线, 例如TCP SYN、TCP Xmas Tree、TCP RST等扫描, 很可能是入侵攻击的前置动作。

3.2 存取控制

在充分了解内网面临的入侵攻击及威胁后, 可以适当地利用网络数据包的特征、身份识别的机制与多层防御的机制, 建构安全的传输机制, 防止未经身份识别与授权的存取, 以有效保护内部重要主机的数据。

(1) 阻止不合法的网络传输

在网络内部传输必须采用合法的网址, 例如, 从外部网络传送进来的数据包来源IP却是属于内网的地址, 相对地, 从内网传送出去的数据包来源IP却不属于内网的地址, 则表示有某一网络主机P已遭到入侵, 而入侵者以P为跳板去攻击其它主机或外部主机。这类不合法的数据包传输必须予以阻断及禁止存取。

(2) 身份识别的存取

一般除了利用使用者账号与密码控管存取权限外, 还可以制订较为严谨的识别存取机制。在局域网络中, 当一个以太网络数据包由一部主机传送至另一部主机时, 是由一组48 位的以太网络地址MAC决定该数据包传送到哪个接口。利用MAC 的唯一识别特性, 将合法的IP与该主机唯一的MAC配对使用, 正面表列合法的IP_MAC 与负面表列不合法的IP_MAC, 制定对伺服主机安全存取的过滤机制, 以过滤不合法的数据包, 强化身份识别的存取。

(3) 多层防御

在网络上的威胁, 除了外部入侵者外, 尚有来自内部的使用者。如果将存放重要数据的服务器暴露在内网的共享网络节区, 内部使用者就有可能直接对它进行攻击。因此, 在内网中, 另外建置一个内部防火墙, 构成多层防御体系结构, 分隔一般使用者与重要服务器的网段, 严格限制其出入的传输, 强化数据存取的安全性。

4 结语

为了确保网络系统的安全性, 必须实时发现入侵或攻击行为, 并有效予以修补与防止, 才可以有效保证网络系统的安全。本文分析了攻击者常用的方式与方法, 在检测机制上给出了有效的监测与防范方式, 并依据已知的潜在安全漏洞及可能的入侵检测分析, 在网络技术层面上提出了防止的方法, 以保障内网安全与重要服务器信息的安全。

参考文献

[1]ANDREA P.From Network Security to ContentFiltering[J].Computer Fraud&Security, 2007 (5) :14~17.

[2]FLORIN H.Information and Network SystemSecurity[C]//Proceedings of the 9th WSEASInternational Conference on Data Networks, Communications, Computers, 2007, Tobago:441~446.

[3]CONORICH D G.Monitoring Intrusion DetectionSystems:From Data to Knowledge[J].InformationSystems Security, 2004, 13 (2) :19~30.

[4]ITOH T.Hierarchical Visualization of NetworkIntrusion Detection Data[J].IEEE Computer Graphicsand Applications, 2006, 26 (2) :40~47.