《2022年内部网络信息系统高级安全策略规划大纲.pdf》由会员分享,可在线阅读,更多相关《2022年内部网络信息系统高级安全策略规划大纲.pdf(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精心整理内网信息系统高级安全策略中智交通电子系统有限公司技术总监何大为一、公司概况中智公司是在国务院领导的关怀和支持下,根据国家高新技术产业化发展规划的要求,由信息产业部发起成立的大型专业化IT企业。公司注册资金¥ 5000万元,资产总额¥ 28000万元公司总部设在北京市海淀区万寿路27号信息产业部大厦,研发中心设在紫竹院路66号赛迪大厦。二、网络安全现状Internet、Intranet加剧全球性信息化。信息网络技术的应用日益普及和深入。网络安全成为网络应用的重大隐患。由于网络安全的脆弱性而导致的经济损失,每年都在快速增长。企业追加网络安全方面的资金。各国政府开始重视,加强管理和加大投入。
2、信息产业部政策法规司副司长赵梅庄曾经在“第三十三届世界电信日纪念会暨互联网应用报告会”上说,中国政府正在加紧制定电信法,其中包含了互联网,尤其是网络安全的内容。他说,中国现有的电信管理条例已经包含了部分内容,但还需要进一步规范,例如,对黑客、病毒的界定以及法律归属等问题需要进一步的研究。三、攻击来自何方外国政府 21竞争对手 48黑客 72内部人员 89四、如何保护内部网络的安全设置防火墙对数据进行加密完善认证技术使用入侵检测系统设立防病毒体系有效的数据保护精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第
3、1 页,共 7 页 - - - - - - - - - - 精心整理1 置防火墙 防火墙并非万能,但对于网络安全来说还是必不可少的。防火墙是在两个网络之间执行控制策略的系统(包括硬件和软件) ,目的是不被非法用户侵入。本质上,它遵循的是一种允许或禁止业务来往的网络通信安全机制,也就是提供可控的过滤网络通讯,只允许授权的通讯。按照一个企业的安全体系,一般可以在以下位置部署防火墙:局域网内的 VLAN之间控制信息流向时; Intranet与 Internet之间连接时;在广域网系统中,由于安全的需要,总部的局域网可以将各分支机构的局域网看成不安全的系统,(通过公网ChinaPac,ChinaDDN
4、 ,FarmeRelay 等连接)在总部的局域网和各分支机构连接时采用防火墙隔离,并利用 VPN构成虚拟专网。总部的局域网和分支机构的局域网是通过Internet连接,需要各自安装防火墙,并利用VPN组成虚拟专网。在远程用户拨号访问时,加入虚拟专网。数据加密数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下, 数据加密是保证信息机密性的唯一方法。据不完全统计, 到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中
5、,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有:美国的 DES及其各种变形,比如TripleDES 、GDES 、NewDES 和 DES的前身 Lucifer ;欧洲的 IDEA ;日本的 FEALN 、LOKI91、Skipjack 、RC4 、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES 密码。常规密码的优点是有很强的保密强度, 且经受住时间的检验和攻击, 但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推
6、导解密密钥。比较着名的公钥密码算法有: RSA 、 背包密码、McEliece密码、DiffeHellman 、Rabin、OngFiatShamir 、零知识证明的算法、椭圆曲线、 EIGamal算法等等。最有影响的公钥密码算法是 RSA ,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求, 且密钥管理问题也较为简单, 尤其可方便的实现数字签名和验证。但其算法复杂,加密数据的速率较低。3 认证技术认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证过程通常涉及到加密
7、和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。UserName/Password认证: 该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet 、rlogin等,但此种认证方式过程不加密,即password 容易被监听和解密。使用摘要算法的认证:Radius(拨号认证协议)、 OSPF (路由协议)、 SNMPSecurityProtocol 等均使用共享的SecurityKey ,加上摘要算法( MD5 )进行认证,由于摘要算法是一个不可逆的过程,因此,由精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - -
8、 - - - - - - - -第 2 页,共 7 页 - - - - - - - - - - 精心整理摘要信息是不能计算出共享的securitykey的,这就保障了 securitykey的信息不会在网络上传输。市场上主要采用的摘要算法有MD5 和 SHA-1 。基于 PKI 的认证:使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。数字签名:数字签名作为验证发送者
9、身份和消息完整性的根据。公共密钥系统(如 RSA )基于私有 / 公共密钥对,作为验证发送者身份和消息完整性的根据,CA使用私有密钥技术其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算机能力上不可行的。并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。4入侵检测入侵检测技术是一种主动保护自己免受黑客攻击的一种新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击,而且扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应) , 提高了信息安全结构的完整性。 它从计算机网络系统中的苦干关键点收集信息,并分析这些信息,
10、 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络监测,从而提供对内部攻击、外部攻击和误操作的实时保护。此外,它还可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,是网络安全中极其重要的部分。总的来讲,入侵检测系统的功能有:监视用户和系统的运行状况,查找非法用户和合法用户的越权操作;检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 对用户的非正常活动进行统计分析,发现入侵行为的规律;检查系统程序和数据的一致性与正确性;能够实时对检测到的入侵行为做出反应;操作系统的审计管理。5. 查杀病
11、毒国家计算机病毒应急中心进行的中国首次进行的计算机病毒疫情网上调查显示,中国有高达百分之七十三的计算机曾遭受过病毒感染,而且多次感染现象非常严重, 这表明中国防治计算机病毒的工作依然严峻。 虽然很多用户在遭受病毒攻击后采取了补救措施,但调查显示, 计算机一旦被感染,就有高达百分之四十三的用户会出现部分甚至全部数据丢失。考虑到虽然数据未丢失但已经被黑客偷窥的情况,损失程度是惊人的。计算机病毒对网络工作站的攻击途径主要包含以下几个方面:1)利用软盘读写进行传播这是最古老、最有效的病毒攻击手段。通过受感染的软盘启动系统,引导型病毒进入系统引导区或系统分区表;通过拷贝和运行受感染程序,文件型病毒进行传
12、染。2)通过 CDROM读写进行传播精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页,共 7 页 - - - - - - - - - - 精心整理CDROM驱动器已成为计算机硬件系统的基本配置之一。低劣的 CDROM盘片是计算机病毒最好的寄生地和传染源。3)通过网络共享进行攻击企业局域网络的应用日益普及,高效的企业信息管理系统和办公自动化系统离不开局域网络的支持。网络的基本功能之一是资源共享,而受病毒感染的文件共享所造成的恶果,是传统病毒传染途径所力不能及的。4)通过电子邮件系统进行攻击电子邮件系统
13、已成为人们交换信息最方便、快捷的工具之一, 通过受感染的电子邮件附加文件传播病毒, 也已成为计算机病毒打破地域、 时域限制进行传播的主要手段。宏病毒长期命列病毒流行榜首位的事实正是最有力的说明。5)通过 FTP下载进行攻击FTP服务器提供通过 INTERNET 获取文件资料的功能。计算机病毒程序同样可以下载到本地硬盘中,同时,为节省网络带宽,FTP服务器上的文件通常采用压缩打包的形式,经过压缩后的病毒文件也就更具隐蔽性。6)通过 WWW浏览进行攻击计算机病毒开始采用JAVA 、ACTIVEX 技术,当用户访问某些未知站点时,就有遭受恶意 JAVA 、ACTIVEX 程序攻击的威胁。而这种威胁有
14、时很难防范。7)通过系统漏洞进行攻击最新病毒迹象表明, 病毒开始利用许多黑客技术, 利用一些操作系统的漏洞, 直接通过 TCP/IP在网上自行传播,速度极快。6数据保护目前最先进的数据备份技术是基于网络的备份系统。理想的备份系统应该是全方位、 多层次的。网络存储备份管理系统对整个网络的数据进行管理。利用集中式管理工具的帮助, 系统管理员可对全网的备份策略进行统一管理,备份服务器可以监控所有机器的备份作业,也可以修改备份策略,并可即时浏览所有目录。所有数据可以备份到同备份服务器或应用服务器相连的任意一台磁带库内。双机热备是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解
15、决计算机应用系统的可靠性问题,并具有安装维护简单、稳定可靠、监测直观等优点。位于网络运转中心部位的数据中心是各种关键性商务应用的中枢点,在确保高可用性方面, 服务器集群堪称是最具价值的系统级技术之一。 一个服务器群是通过将多台服务器互联在一起而形成的。它以松散的成对配置共享资源。 集群具有一定的自我修正能力,它可以保证系统的不间断运行,把非计划和计划的停机时间降到最低。异地容灾一般以存储区域网络(SAN )为基础,在存储区域网络与网络之间通过 LAN或 WAN 相连,速度可从 T1到 OC3 自由选择。通过光纤通道SAN 或借助于广域网扩展精品资料 - - - 欢迎下载 - - - - - -
16、 - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页,共 7 页 - - - - - - - - - - 精心整理的 SAN 到远程的复制,支持同步和异步的容灾镜像,支持全面的磁盘同步,当出现很大的灾难时,确保这些数据在另外一个地点的在线拷贝是可用的,以支持尽快恢复在另一台机器上的关键处理。五、内部网络数据存放的现状关键服务器数据的统一存放个人工作站的关键数据的分散存放六、内部网络的深层隐患易被获取口令易被放置特洛伊木马程序易被电子邮件攻击易被网络监听易被寻找系统漏洞易被利用帐号进行攻击易被偷取特权七、隐患实例1隐患实例一:键盘击打记录:其本质是一段用以处
17、理系统消息的程序,通过系统调用,将其挂入系统。此种类程序(俗称“钩子”)有很多,每种“钩子”可以截获并处理相应的消息,每当特定的消息发出,在到达目的窗口之前,钩子程序先行截获该消息、 得到对此消息的控制权。 此时在钩子函数中就可以对截获的消息进行加工处理,甚至可以强制结束消息的传递。用于键盘敲击的钩子程序可以在windows系统或 unix 系统记录下超级用户的键盘输入。2隐患实例二:口令失窃一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件 前面的部分)利用一些专门
18、软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow 文件)后,用暴力破解程序破解用户口令。3隐患实例三:特洛伊木马特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的附件,一旦用户打开了这些附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。 当您连接到因特网上时, 这个程序就会通知黑客, 来报告您的 IP地址以及预先设定的端口。精品资料 - - - 欢迎下载 - - -
19、- - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页,共 7 页 - - - - - - - - - - 精心整理4隐患实例四域名服务系统 BIND 的弱点: nxt (在处理 NXT 记录时存在漏洞,允许远程攻击者以运行DNS 服务的身份(缺省为 root )进入运行 DNS 服务的系统。 ),in.named 守护进程的漏洞有泄漏 root 权限的危险。5隐患实例五微软的 IISRDS安全漏洞。6隐患实例六sadmind存在远程溢出漏洞,在存在sadmind漏洞的一些版本中如果传送一个超长的缓存数据,会改写堆栈指针,从而造成可执行任意代码。因
20、为sadmind以root 身份来运行,因而这个漏洞会危及系统的最高安全。同时存在于某些系统内部的mountd溢出漏洞 , 攻击者通过修改堆数据有可能会获得root 特权。7隐患实例七NFS 以及WindowsNT135-139 服务端口( Windows2000 的445服务端口), UnixNFS 的服务端口2049, 还有苹果机用户支持基于 IP文件共享的 Appletalkoverip协议服务端口。这些服务的目的是让用户共享网络资源,但不正确的配置,将有可能让入侵者以root 身份执行任意代码。8隐患实例八许多网络设备和网络操作系统的SNMP (简单网络管理协议)在实现中,往往存在能进
21、行SNMP写操作的缺省 communitystring 。 远程攻击者利用这些可写操作的communitystring 能够无需任何认证直接影响设备或操作系统的运行状态。这将导致攻击者可以控制路由表和篡改ARP 缓存等。9隐患实例九IMAP 和POP 邮件服务器缓冲溢出漏洞和错误的配置存在的危险。10隐患实例十容易受攻击的 CGI程序和服务器端应用程序扩展。11隐患实例十一:输入法漏洞在我们启动 Win2000到登陆验证的提示界面时, 任何用户都可以通过“微软拼音输入法”、“全拼输入法”以及“郑码”等任何一种进入到“输入法帮助”中去,然后可以轻而易举的进入系统了。如此,就可以成功绕过Win20
22、00的用户登录机制并以管理员的权限进入到系统中了。如果主机开放了 3389端口的话,那么远程主机就可以利用这个漏洞进行攻击了。12隐患实例十二:拨号上网的隐患八、中智内部网络安全产品介绍(网络巡警检测系统ZZMONITOR)网络巡警ZZMonitor是我公司自行研制的、内部局域网使用的网络监控防护系统。它集网络入侵检测功能、 局域网络安全功能和局域网络管理功能于一体,是大中型内部局域网进行安全保护和管理的首选工具。它不同于一般的IDS软件,也不属于纯粹的软件防火墙系统,它是立精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - -
23、- - - -第 6 页,共 7 页 - - - - - - - - - - 精心整理足于一个使用者的角度,从内部网络安全和管理的实际情况出发,有效地保护和管理内部网络。功能:非法拨号上网报警非法代理服务器报警运行嗅探程序报警密码破解程序攻击报警防止各种木马的攻击可制定公共和单个计算机的报警规则可制定公共和单个计算机的网络准入规则拒绝服务攻击分布式拒绝服务攻击缓冲区溢出攻击RPC 分片攻击碎数据包攻击CGI攻击IP欺骗ARP 欺骗端口扫描端口隐蔽扫描SMB 探测操作系统识别探测Web URL 扫描FTP、TELNET 的登陆尝试精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页,共 7 页 - - - - - - - - - -