网络安全技术技术白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术白皮书
目录
第一部分公司简介 (4)
第二部分网络安全的背景 (4)
第一章网络安全的定义 (4)
第二章产生网络安全问题的几个方面 (5)
2.1 信息安全特性概述 (5)
2. 2 信息网络安全技术的发展滞后于信息网络技术。
(5)
2.3TCP/IP协议未考虑安全性 (5)
2.4操作系统本身的安全性 (6)
2.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制 (6)
2.6忽略了来自内部网用户的安全威胁 (6)
2.7缺乏有效的手段监视、评估网络系统的安全性 (6)
2.8使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失 (6)
第三章网络与信息安全防范体系模型以及对安全的应对措施 (7)
3.1信息与网络系统的安全管理模型 (7)
3.2 网络与信息安全防范体系设计 (7)
3.2.1 网络与信息安全防范体系模型 (7)
3.2.1.1 安全管理 (8)
3.2.1.2 预警 (8)
3.2.1.3 攻击防范 (8)
3.2.1.4 攻击检测 (8)
3.2.1.5 应急响应 (9)
3.2.1.6 恢复 (9)
3.2.2 网络与信息安全防范体系模型流程 (9)
3.2.3 网络与信息安全防范体系模型各子部分介绍 (11)
3.2.3.1 安全服务器 (11)
3.2.3.2 预警 (11)
3.2.3.3 网络防火墙 (11)
3.2.3.4 系统漏洞检测与安全评估软件 (12)
3.2.3.5 病毒防范 (12)
3.2.3.6 VPN (13)
3.2.3.7 PKI (13)
3.2.3.8 入侵检测 (13)
3.2.3.9 日志取证系统 (14)
3.2.3.10 应急响应与事故恢复 (14)
3.2.4 各子部分之间的关系及接口 (14)
第三部分相关网络安全产品和功能 (16)
第一章防火墙 (16)
1.1防火墙的概念及作用 (16)
1.2防火墙的任务 (17)
1.3防火墙术语 (18)
1.4用户在选购防火墙的会注意的问题: (20)
1.5防火墙的一些参数指标 (22)
1.6防火墙功能指标详解 (22)
1.7防火墙的局限性 (26)
1.8防火墙技术发展方向 (26)
第二章防病毒软件 (30)
2.1病毒是什么 (30)
2.2病毒的特征 (31)
2.3病毒术语 (32)
2.4病毒的发展的趋势 (34)
2.5病毒入侵渠道 (35)
2.6防病毒软件的重要指标 (36)
2.7防病毒软件的选购 (37)
第三章入侵检测系统(IDS) (38)
3.1入侵检测含义 (38)
3.2入侵检测的处理步骤 (39)
3.3入侵检测功能 (42)
3.4入侵检测系统分类 (43)
3.5入侵检测系统技术发展经历了四个阶段 (44)
3.6入侵检测系统的缺点和发展方向 (44)
第四章 VPN(虚拟专用网)系统 (44)
4.1 VPN基本概念 (44)
4.2 VPN产生的背景 (45)
4.3 VPN的优点和缺点 (45)
第五章安全审计系统 (46)
5.1、安全审计的概念 (46)
5.2:安全审计的重要性 (46)
5.3、审计系统的功能特点 (46)
第六章漏洞扫描系统 (47)
第七章身份认证系统 (PKI 系统) (48)
第一部分公司简介
第二部分网络安全的背景
第一章网络安全的定义
国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护 ,不因偶然的或恶意的原因而遭到破坏、更改、显露 ,系统能连续正常运行。
”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。
但总的说来,计算机网络的安全性 ,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。
随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。
传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。
但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。
第二章产生网络安全问题的几个方面
2.1 信息安全特性概述
2. 2 信息网络安全技术的发展滞后于信息网络技术。
网络技术的发展可以说是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了不少心力,可对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco公司为例,其低端路由产品从cisco 2500系列到7500系列,其密码加密算法基本一致。
而其他功能,特别是数据吞吐能力及数据交换速率提高之大,令人瞠目。
在我国,许多大的应用系统也是建立在国外大型操作系统的基础之上。
如果我们的网络安全产品也从国外引进 ,会使我们的计算机信息系统完全暴露在外。
后果堪忧。
其次,网络应用的设计往往在应用方面考虑的比较多,这就是应用永远高于安全,因为一个系统的设计最终的目的是为了应用、其次才是安全。
互联网的发展也一样,互联网上的应用系统的发展速度和规模远远大于安全系统的发展速度和规模。
2.3TCP/IP协议未考虑安全性
在TCP/IP协议设计之处,主要考虑的是互联和应用方便,所以TCP/IP协议是一个开放
的互联网协议,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截、偷窥和篡改。
TCP/IP协议的两个创始人Vinton G Cerf和Robert E. Kahn没有为这个协议的发明去申请专利,而是公开了源代码,这为互联网的飞速发展奠定了基础,也为网络安全留下了很多的隐患。
我们的网络哨兵其实也是这个安全漏洞的产物,我们的抓包程序能获取到HUB或交换机中的数据包、然后进行分析处理,这本身就是TCP/IP 协议的漏洞之一。
TCP/IP协议中的数据是以明文形式发送的,这为安全留下了隐患。
2.4操作系统本身的安全性
目前流行的许多操作系统均存在网络安全漏洞,如UNIX, Windows、甚至包括一些安全系统的操作系统也存在安全漏洞。
黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。
2.5未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制
2.6忽略了来自内部网用户的安全威胁
来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。
2.7缺乏有效的手段监视、评估网络系统的安全性
完整准确的安全评估是黑客入侵防范体系的基础。
它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。
网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。
评估分析技术是一种非常行之有效的安全技术。
2.8使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失
在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。
网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存
在的。
如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。
第三章网络与信息安全防范体系模型以及对安全的应对措施
如何才能使我们的网络百分之百的安全呢?对这个问题的最简单的回答是:不可能。
因为迄今还没有一种技术可完全消除网络安全漏洞。
网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。
从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。
安全解决方案不是简单产品的堆砌,而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。
3.1信息与网络系统的安全管理模型
3.2 网络与信息安全防范体系设计
3.2.1 网络与信息安全防范体系模型
网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本安全体系提供这样一
种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。
多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。
图1:网络与信息安全防范模型
网络与信息安全防范模型如图1所示,它是一个可扩展的结构。
3.2.1.1 安全管理
一个成功的安全防范体系开始于一个全面的安全政策,它是所有安全技术和措施的基础,也是整个体系的核心。
3.2.1.2 预警
是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有针对性的给出防范体系的建设方案才是可行的。
3.2.1.3 攻击防范
攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。
使用扫描工具及时发现问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。
3.2.1.4 攻击检测
攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键环节,使用基于网络
和基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测系统,以及时发现攻击行为,为响应赢得时间。
采用与防火墙互联互动、互动互防的技术手段,形成一个整体策略,而不是单一的部分。
设立安全监控中心,掌握整个网络的安全运行状态,是防止入侵的关键环节。
3.2.1.5 应急响应
在发现入侵行为后,为及时切断入侵、抵抗攻击者的进一步破坏行动,作出及时准确的响应是必须的。
使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时,预防同类事件的再发生并为捕获攻击者提供可能,为抵抗黑客入侵提供有效的保障。
3.2.1.6 恢复
W 恢复是防范体系的又一个环节,无论防范多严密,都很难确保万无一失,使用完善的备份机制确保内容的可恢复,借助自动恢复系统、快速恢复系统来控制和修复破坏,将损失降至最低。
6个环节互为补充,构成一个有机整体,形成较完善的网络与信息安全体系。
3.2.2 网络与信息安全防范体系模型流程
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。
安全管理贯穿全流程。
图2:网络与信息安全防范体系工作流程
网络与信息安全防范体系的工作流程为:
攻击前的防范部分负责对日常的防御工作及对实时的消息进行防御:防火墙作为第一道关口,负责控制进入网络的访问控制,即进行了日常的防御工作,也对事实的消息进行了防御;系统漏洞检测系统、安全评估软件一个从内一个从外,非常详细地扫描安全漏洞并将系统漏洞一一列表,给出最佳解决方法。
邮件过滤系统、PKI、VPN等都是进行日常的防御工作。
攻击过程中的防范部分负责对实时的攻击做出反应。
预警系统、入侵检测系统检测通过防火墙的数据流进行进一步检查,综合分析各种信息,动态分析出那些时黑客对系统做出的进攻,并立即做出反应。
通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵,分别在网络级和系统级共同探测黑客的攻击并及时做出反击,防止黑客进行更深一步的破坏。
攻击过程后的应对部分主要是造成一定损害时,则由应急响应与灾难恢复子系统进行处理。
3.2.3 网络与信息安全防范体系模型各子部分介绍
网络与信息安全防御体系是一个动态的、基于时间变化的概念,是一种互联互动、多层次的黑客入侵防御体系:以预警、攻击防范、攻击检测、应急响应、恢复和安全管理为子部分构成一个整体。
3.2.3.1 安全服务器
作为一种重要的基础网络设备,安全服务器产品广泛应用于电子商务和电子信息服务等关键领域。
目前国内服务器产品大都为国外设备,在信息安全构建过程中必然存在着潜在的危险,因而发展民族服务器产业,构建民族信息长城是国家亟待解决的重大问题。
所谓的安全服务器,即是指运行安全程序的计算机。
众所周知,Internet 是伴随着TCP/IP 设计的网络,不管是访问控制层还是数据链路层,安全问题基本没有被考虑。
TCP/IP是以明文方式传输数据的,这在开放的Internet 环境里很容易被窃听。
安全服务器即是:通过对传输中的数据流进行加密,保证数据即使被窃听也不能被解密;通过电子证书和密钥算法进行身份确认,防止了身份欺诈;通过对数据流的校验,保证数据在传输过程中不被篡改,使得非法进入网上秘密程序无机可乘。
其主要涉及的技术有:容量大,稳定性高的磁盘阵列;大内存,以提高系统的处理与运算能力;系统的容错能力;故障的在线修复技术;服务器集群技术;对称多处理技术;安全SSL 技术;安全服务器网络技术( SSN)等。
3.2.3.2 预警
预警子系统的目的就是采用多检测点数据收集和智能化的数据分析方法检测是否存在某种恶意的攻击行为,并评测攻击的威胁程度、攻击的本质、范围和起源,同时预测敌方可能的行动。
预警过程是基于收集和分析从开放信息资源收集而获得,提取重要的信息来指导计划、训练和提前做准备。
3.2.3.3 网络防火墙
防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。
它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。
防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控
制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。
研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。
防火墙一般具有以下几种功能:
允许网络管理员定义一个中心点来防止非法用户进入内部网络。
可以很方便地监视网络的安全性,并报警。
可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT 技术,将有限的IP地址动态或静态地与内部的IP 地址对应起来,用来缓解地址空间短缺的问题。
是审计和记录Internet 使用费用的一个最佳地点。
网络管理员可以在此向管理部门提供Internet 连接的费用情况,查出潜在的带宽瓶颈位置,并能够依据本机构的核算模式提供部门级的计费。
可以连接到一个单独的网段上,从物理上和内部网段隔开,并在此部署WWW 服务器和FTP 服务器,将其作为向外部发布内部信息的地点。
从技术角度来讲,就是所谓的停火区(DMZ)。
3.2.3.4 系统漏洞检测与安全评估软件
系统漏洞检测可以探测网络上每台主机乃至路由器的各种漏洞;安全评估软件从系统内部扫描安全漏洞和隐患。
安全评估软件还主要涉及到网络安全检测,其主要是系统提供的网络应用和服务及相关的协议分析和检测。
系统漏洞检测与安全评估软件完成的功能主要有:
对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略;
定期分析有关网络设备的安全性,检查配置文件和日志文件;
定期分析操作系统和应用软件,一旦发现安全漏洞,应该及时修补;
检测的方法主要采用安全扫描工具,测试网络系统是否具有安全漏洞和是否可以抗击有关攻击,从而判定系统的安全风险。
3.2.3.5 病毒防范
病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。
能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方
面研究病毒免疫机理。
加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。
网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。
主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。
能对疫情情况进行统计分析,能主动对INTERNET 中的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。
3.2.3.6 VPN
VPN 是集合了数字加密验证和授权来保护经过INTERNET 的信息的技术。
它可以在远程用户和本信息系统网络之间建立一个安全管道。
主要的技术包括隧道技术、隧道交换技术与公钥基础设施( PKI)的紧密集成技术以及质量保证技术等。
隧道技术主要研究合适的封装协议、加解密算法、密钥交换协议以及认证协议等。
隧道交换技术研究将隧道如何延伸到防火墙内,并可以在任意位置终止的技术。
2.3.7 PKI
公钥技术设施集成技术:提出与国际接轨的PKI和密钥KMI技术标准,提供基于PKI和KMI 技术的安全服务平台和公共安全接口,开发PKI技术产品和应用系统。
其中PKI的安全核心部件包括不同规模的CA系统、RA系统和KM系统。
3.2.3.8 入侵检测
入侵检测子系统是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测子系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
具有以下的功能:
监视、分析用户及系统活动;
系统构造和弱点的审计;
识别反映已知进攻的活动模式并向相关人士报警;
异常行为模式的统计分析;
评估重要系统和数据文件的完整性;
操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
3.2.3.9 日志取证系统
通过对网络上发生的各种访问过程进行记录和产生日志,并对日志进行统计分析,从而对资源使用情况进行分析,对异常现象进行追踪监视。
3.2.3.10 应急响应与事故恢复
本子系统主要的目标是在开放的互联网环境下构造基于生存性的多样化动态漂移网络,当信息系统遭受攻击时,快速反应和对遭到的系统、文件和数据进行快速恢复。
为建立信息安全应急反应服务体系提供方法。
并且能提供自我诊断与自我恢复相结合的功能。
主要涉及的技术有:故障分析诊断技术。
将入侵检测、病毒防治和安全管理等系统相配合,研究攻击和破坏事件自动报警和保护技术、攻击事件信息记录和破坏现场保护技术、黑客追踪和病毒源分析技术。
攻击避免与故障隔离技术。
研究信息系统、网络系统的仿真、诱骗和隐蔽技术;研究具有抗攻击和破坏能力的网络与系统的体系结构和技术,如隔离技术等。
3.2.4 各子部分之间的关系及接口
各子部分的关系如图:
图3:各子部分之间关系图
各子部分之间的接口规范如下:
1. 内容安全使用CVP(Content Vectoring Protocol)
内容安全允许用户扫描经过网络的所有数据包内容。
例如:病毒、恶意Java 或AcitveX 程序等。
本体系可提供的CVP API 定义了异步接口将数据包转发到服务器应用程序去执行内容验证。
用户可以根据多种标准来验证内容的安全。
2、Web 资源管理使用UFP(URL Filtering Protocol)
UFP 定义了Client/Server 异步接口来分类和控制基于特定URL 地址的通信。
防火墙上的UFP 客户端将URL传送到UFP 服务器上,UFP 服务器使用动态分类技术将URL 进行分类,防火墙则根据安全规则的定义对分类进行处理。
对客户来说,通过中央的安全策略管理即可实现高效的Web 资源管理。
3、入侵检测采用SAMP(Suspicious Activity Monitorng Protocol)
SAMP API 定义了入侵检测应用同VPN 和网络防火墙通信的接口。
入侵检测引擎使用SAMP 来识别网络中的可疑行为,并通知防火墙处理。
另外SAMP 应用可以发送日志、告警和状态信息到安全管理子系统。
4、事件集成
可提供两个API:LEA(Log Export API)和ELA(Event Logging API)允许第三方来访问日志数据。
报表和事件分析采用LEA API,而安全与事件整合采用ELA API。
5、管理和分析采用OMI(OPSEC Management Interface)
OMI 提供到安全管理子系统的中央策略数据库的接口,允许第三方应用安全地访问存储在管理服务器上的安全策略。
OMI 能够访问以下资源:
●存储在管理服务器上的安全策略
●管理服务器上定义的网络、服务、资源和服务器对象
●用户、摸板和用户组
●允许登录到管理服务器的管理员列表
6、认证采用OPSEC PKI 集成
本体系提供了一个开放式集成环境,第三方的Public Key Infrastructure(PKI)能紧密的与总体系集成在一起(VPN Gateway、VPN SecureClient、防火墙C/S 之间的通信等)。
VPN Gateway 能同时多个不同的CA。
开放的PKI 使得管理员能够选择最大限度满足要求的PKI 解决方案。
第三部分相关网络安全产品和功能
第一章防火墙
1.1防火墙的概念及作用
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。
而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。
应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。
因此,防火墙的作用。