|
 ·NetEye简 讯: NetEye防火墙系统(Ver3.2)tracert升级包 ·热 点 关 注: 东软NetEye西北大区用户培训会议圆满结束 ·安 全 专 家: 网络安全的技术性探讨 ·技 术 纵 谈: 构建有效的网络安全防护体系 |
* NetEye防火墙系统(Ver3.2)tracert升级包-4032系列/4016系列/4120单CPU系列
* NetEye防火墙系统(Ver3.2)tracert升级包-3120/4120/5120(双CPU)
* NetEye防火墙系统(Ver3.2)tracert升级包-3200/4200/5200
2月10日,NetEye发布了防火墙系统(Ver3.2)tracert升级包系列,使防火墙能够支持经过防火墙的tracert并且使与防火墙相连接的路由器可以学习到NAT转换后的IP地址对应的arp信息。
详细情况请参见:http://neteye.neusoft.com/download/index.jsp?lmid=0.7.1
在网络安全产品营销中心和西北大区领导的大力支持下,西北大区首次网络安全产品用户培训会议获得了圆满成功。本次培训大会同时得到了陕西省保密局的高度重视和大力支持,陕西省保密局科技处处长王二朋先生亲自到会并对与会来宾进行了有关网络安全法律法规的讲解。
共计16家单位的近40名网络安全管理员参加了此次为期3天的培训会议,东软网络安全产品营销中心为了能够办好此次培训,让参加培训的用户都能在网络安全的技术及管理等方面有所收获,专门安排了东软网络安全高级工程师进行了网络安全课程的编排和讲解。
会议上用户学员反映热烈,并和讲师针对安全产品的各个方面进行了详尽细致的探讨。学员们一致反映,参加此次会议非常有收获,并期待着再次参加东软组织的类似的网络安全培训。
 |
 |
 |
 |
网络安全是一个非常宽泛话题,今天我们来讨论的焦点集中在网络安全的技术性。
单纯从技术性来讲,目前对网络安全比较关注的有三类人:
第一类人是黑客,他们对于网络安全的关注可以说达到了如痴如醉甚至痴迷的程度,对于发现网络和系统的漏洞津津乐道,并且 “以提高全世界网络和信息安全为己任”;第二类人是网络安全厂商,他们拥有强大的资金支持、国家政府部门的支持和大量的技术人员,可以说是网络安全市场和各类媒体中曝光率最高的群体;第三类人是那些以网络为载体并且有大量的核心业务在网络上传送的用户群体,他们比较松散,管理不是都很规范,同时也是这三类人中技术力量最为薄弱的一类人。
谈到网络安全的技术性,不能不与这三类人打交道。这三类中,第一类人又可以细分为Hacker和Cracker,其中前者被认为是善意并且是有建设性的,对网络和系统的安全有极大促进作用的团体,他们从不轻易的入侵别人的系统,即使迫不得已为之也从不窃取和损坏他们的信息;而后者被认为是恶意、应该大力铲除的网络毒瘤,他们往往贪图个人的名声,希望通过一些恶作剧式的活动获得意外的收获,或者受雇于某些利益团体、个人甚至政府来从事一些危害集体、国家甚至社会的活动。
这三种人中,第一种人的技术性是最顶尖的,他们或精于操作系统,或精于应用软件,或精于网络设备,单纯的在他们的领域中应该是顶尖式的人物;第二类人技术比较宽泛,同时又较注重实用性和可用性;第三种人比较精通与技巧型的技术,并且倾向于维护性和通用性。
网络安全历来对于用户都是一个比较敏感又不得不面对的话题,我们的建议是用户与安全厂商携手来共同应对黑客中的Cracker。有了安全厂商的强大的技术支持,有了厂商的不断的研发和技术投入,用户可以尽可能小的在安全方面投入精力并且获得尽可能多的收益,达到最大的投入产出比。那么这时候用户面临一个选择的问题:如何选择安全厂商呢?笔者的建议是选择一个值得信赖的安全厂商是最为重要的,这个厂商与国家相关部门的合作关系、厂商的研发投入、厂商的分支机构情况、厂商的售前售后队伍、厂商产品的可用性、可靠性等等都是用户选择的依据。
事实上依笔者的经验,选择一个好的合作伙伴(产品和服务的提供商)比选择一个好的产品更重要。
对于厂商与用户的合作反过来又从应用的安全性上给双发带来了好处:厂商从用户那里了解了用户的业务类型、需求和安全关注点,对于用户的进一步了解不但能使安全厂商的产品越来越贴近用户、满足用户的需求,同时为厂商与用户的进一步合作、安全产品的升级换代甚至使安全厂商进入用户所在领域都有巨大的隐性的利益;用户在与厂商的合作中,能利用厂商的技术、产品完善自己的业务安全范畴,使那些单独的、孤立的业务和应用系统变得可控和安全。
总之对于网络安全的技术性,当且仅当用户与那些可信赖的厂商合作的时候,我们才能使自己的技术提高,应用安全性提高,并且具有可以和黑客抗衡的能力。
编者按:计算机网络的迅猛发展,加快了企业和社会信息化进程,同时也带来了许多网络安全问题。因此,在开展Internet网应用的同时,建立和加强有效的网络安全防护体系显得越来越重要,本文针对如何构建有效的网络安全防护体系提出了一些措施。
引言
由于互联网的开放性、通信协议的安全缺陷、以及在网络环境中数据信息的存储和对其访问与处理的分布性等特点,网上传输的数据信息很容易泄漏或被破坏。此外,由于计算机网络体系本身存在着缺陷和漏洞,使得这些漏洞往往被别有用心的人用来入侵或干扰系统,甚至窃取、篡改或删除资料等破坏,造成的后果有些是无法估量的。所以任何的网络安全都不容忽视。网络安全问题有些是与生俱来的,而有些则是人为造成的,因此,如何建立完善的网络安全防护体系,及时发现攻击事件并做出反应,尽可能将入侵事件发生所造成的损失降到最低,是计算机网络技术发展中一个有待解决的问题,也是每个网络建设者需要面对的问题。
去年在我国流行的SARS病毒暴露了我国在公共卫生防疫体系中存在着缺乏高素质的专业队伍、对疾病的监控体系落后、认识问题不深入,响应速度不及时等缺陷。这对我国现存的网络安全体系的构建很有启发,因为入侵事件与网络病毒的流行与SARS病毒的传播存在着共性。这就要求我们:首先对网络也要进行严格的实时监控;其次,及时对出现可疑行为的计算机进行隔离,以防入侵行为或病毒的传播进一步扩散范围;最后对入侵行为进行深入的调查、分析,找出解决办法,查杀病毒。
一、网络结构的安全隐患
要想建立有效的网络安全防护体系,首先要了解一下网络结构的安全隐患,以便对症下药:
(1)网络系统自身的安全漏洞
作为一个复杂的、长期发展的系统,由于某阶段的环境因素影响及技术条件的制约,网络系统自身总是存在着这样或那样的不足以及安全漏洞,有些甚至足以造成严重事故。随着时间的推移,这些漏洞往往会被人们发现,成为潜在的入侵渠道,对系统的安全造成威胁。有数据表明,大部分的攻击机会都是通过挖掘网络系统的弱点或缺陷来实现的。及时对相应的版本进行升级,是加强防护与控制能力的必要措施,并建立一套完整的升级文字记录制度。
(2)来自互联网的安全隐患
对于接入到互联网的局域网络,要充分了解外部入侵的威胁。当网络接入到互联网时,将面对来自互联网各个角落的入侵行为,有些是恶意的,有些则只是好奇,然而这都使网络安全风险成倍增加,所以,经常、及时的了解和掌握互联网世界发生的网络安全事件,借鉴外部的教训,做好必要的安全防范工作是相当重要的。
(3)共享式设备带来的隐患
现在的网络中,常采用集线器设备组网,每一台连接到网络中的计算机都能够接收到网络上传输的数据包。入侵者可利用某台计算机对网络进行侦听,以捕获发生在这个网络上的所有数据包,对其进行解包分析,从而窃取关键信息。
(4)网络病毒的肆虐
众所周知,目前的很多病毒借助于网络进行传播,当它感染网络中的一台机器后,如果不能及时发现何处理,就会借助网络,大规模地在网上迅速传播,甚至想起他外部计算机进行传播,最终造成大面积严重后果,近年来全球计算机网络的突发灾难事件往往就发生在数个小时,甚至几分钟内,就迅速扩展到世界各地,应该采取必要的隔离措施。
二、网络安全策略
所谓的网络安全策略是指对网络中的安全问题所采取的对策,以保证网络的安全运行。安全策略有两个原则:一个是没有明确表述为允许的都被认为是禁止的,另一个是一切没有明确表述为禁止的都被认为是允许的,通常人们都采用第一种策略。
建立安全的网络系统所要解决的根本问题是:如何在保证网络联通性和可用性的同时,对网络服务和客户应用进行控制和管理以保证网络信息资源的完整性不受影响。
网络安全问题与网络本身固有的特性有关,所以网络环境的复杂性决定了网络安全的复杂性。在大多数情况下,对网络资源的安全服务采取以下机制和策略:
(1)鉴别
这种安全服务包括对等实体鉴别和数据鉴别。当对等实体鉴别有N层提供时,能使(N+1)层实体确信与之打交道的对等实体正是它需要的那个(N+1)层实体,还可确信这个实体此时没有试图冒充别的实体或试图将以前的连接非授权地重演。此服务可以在连接建立或数据传送的某个阶段提供使用,它可以进行单向或双向对等实体的鉴别,也可同时进行有效期检验。当数据源鉴别由N层提供时,能使(N+1)层实体确信数据来源与所要求和对等的那个(N+1)层实体。
(2)访问控制
这种服务根据不同的安全策略而有所不同,但其本质是相同的,都是保护各种资源不受非授权的用户访问和使用。
(3)数据保密
这种服务提供数据保护,使之不会泄漏给非授权用户。其中包括连接保密,无连接保密、选择字段保密和通信信息流保密。
(4)数据的完整性
这种服务能够抵抗主动威胁,它有下面几种形式:
带恢复的连接完整性;
不带恢复的连接完整性;
选择字段的连接完整性;
无连接完整性;
选择字段无连接完整性。
(5)抗否认
这种服务有两种形式,一种是为接收者提供数据源证据,使发送着不能否认发送过这些数据;另一种是为发送者提供接收证据,使接收者不能否认收到过这些数据。
三、网络安全措施
1、防火墙技术
防火墙是一类防范措施的总称,也是一道隔离局域网络内外的安全门,它既可以使允许通过的信息方便流动,又对不允许通过的信息严格把关。防火墙也是一种控制技术,既可以作为一种软件产品制作或嵌入到某种硬件产品中,也可以把它作为一个过滤器用于监视和检查流动信息的合法性。防火墙是一种被动式的防卫技术,它假定被保护的网络是有明确定义的边界和服务,并且假定了网络威胁仅仅来自外部网络的入侵,其基本思想是:并非对每台主机进行保护,而是让所有对信息的访问通过某一点,并且保护该点。归纳起来,放火墙的主要功能有:
(1)过滤掉不良网站信息和非法用户的访问请求
(2)控制对特殊站点的访问
(3)对网络存取和访问进行监控审计
(4)强化网络安全策略
(5)防止内部信息的外泄
2、IDS技术
IDS(入侵检测系统)是指监测并分析用户和系统的行为、识别攻击、对异常行为进行统计分析、审计违反安全法规的行为等功能,提示网络管理员较有效地监视、审计并处理自己系统地安全事件。
通常,入侵检测系统按其输入数据的来源分为3种:
(1)基于主机地入侵检测系统,其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
(2)基于网络的入侵检测系统,其输入数据来源于网络的信息流,能够检测该网段上发生地网络入侵。
(3)分布式入侵检测系统,能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统有多个部件组成,采用分布式结构。
入侵检测系统可以弥补防火墙的不足,为网络安全提供一种实时的入侵检测手段。这几年东软的入侵检测产品在做好入侵专家库的同时也开始逐渐强大和完善自身的功能。目前最主要的是市场上主流的入侵检测产品目前都可以实现对于常见应用层信息进行审计和还原了,这个功能也大大增强了传统网络防护体系里关于内容安全的防护。
3、漏洞扫描与安全评估
网络漏洞扫描技术是指对目标系统进行检测,判断是否有漏洞存在,并采取相应措施。它通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答,收集到目标主机的各种信息(例如:是否能用匿名登陆,是否有可写FTP目录,是否能用Telnet,http是否是用root在运行)。获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,再与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描技术的检测手段之一,如果模拟攻击成功,则视为漏洞存在。
根据具体的应用环境,尽可能早地通过网络扫描来发现和评估漏洞风险,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵时间的发生。因此,漏洞扫描系统同时配置并提供各类安全建议、漏洞的补丁以及可能的升级版本号是非常重要和必要的。
4、基于网络隔离的相应措施
在发现异常的通信行为后,系统应能够及时采取恰当的相应措施,最大可能地减少损失。对于外部计算机发动的入侵行为,可以在防火墙或边界路由器处,将与其有关地通信数据过滤,禁止通行,达到阻断入侵行为的目。对于内部网络上发动的入侵行为,有可能是内部人员发动地,也有可能是由于网络中的某台计算机被入侵或感染了网络病毒,然后将其作为跳板,向网络中的其他计算机发动入侵或感染行为。通过向距该计算机最近的支持智能网管地交换机或路由器发送请求,如果是交换机,禁用指定端口,如果时路由器,禁止指定数据包的通过。将其隔离在网络地一个最小范围内,从而将其所能影响的范围缩到最小。
事先隔离后,再采取下一步的措施,进行深度地入侵行为的分析、病毒查杀等。上述是通过硬件的方法隔离,对其隔离亦可通过软件的方法,如向有关该计算机的通信发送阻塞包来阻止其与其他计算机通信,但这种方式有一定的复杂性,判断失误会对网络的性能产生影响。
本文探讨了网络有关的安全及反应措施,合理的运用这些措施,可以为网络构筑起多层次、综合地安全体系。当然,还有许多与安全有关的因素,如操作人员的素质、完善的管理制度等等,在网络安全中也起着重要的作用。这些因素在构建网络安全防护体系时,也应加以考虑。
NetEye安全月刊是NetEye安全网站推出的网络安全刊物,希望大家通过这个平台交流NetEye 的使用经验,或者对NetEye系列产品的意见或者不解的问题,以及有关网络安全问题的探讨,我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.
如果您有对NetEye安全月刊的改进意见;以及订阅、退订本刊;企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户,忘记登录密码请发信给我们。
欲希望了解更多的网络安全知识,请登录我们的网站http://neteye.neusoft.com