壹、操作系統的安全管理
安全的核心是人,必須以人為核心進行安全管理,采用各種先進的安全技術,使系統免受非法攻擊,排除沒有訪問權限的使用者竊取系統機密信息,確保系統安全可靠地運行。
作為業務系統核心數據庫-主機系統,它的安全性更加重要。服務器操作系統的安全管理主要是利用現有網絡安全資源對數據流進行安全管理和自身用戶、系統管理員的操作系統管理。操作系統應提供身份認證、訪問控制功能,對用戶的所有操作和網絡服務進程具有完備的審計制度。
對操作系統管理員的口令應具有盡量短的期限,壹般每3到6個月就應該更換,以防口令失竊。對服務器的資源可以進行訪問控制列表進行管理,以訪問控制表的形式來規定主體(如用戶)對客體(如文件、數據庫、設備)的訪問權限(如可讀、可寫)。在文件系統、數據庫系統、設備管理等之中,都應使用訪問控制技術來控制用戶訪問權限。
二、多層病毒防禦體系
我們認為網絡系統可能會受到來自於多方面的病毒威脅,包括來自INTERET網關上、內部和外部的網段上,為了網絡系統免受病毒所造成的損失,建議業務系統采用多層的病毒防衛體系。所謂多層病毒防衛體系,是指在每個臺式機上要安裝臺式機的反病毒軟件,在服務器上要安裝基於服務器的反病毒軟件,在INTERET網關上要安裝基於INTERNET網關的反病毒軟件,因為對單位來說,防止病毒的攻擊是每個員工的責任,人人都要做到自己使用的臺式機上不受病毒的感染,從而保證整個網絡不受病毒的感染。
(壹)客戶端的防病毒系統
根據統計,50%以上的病毒是通過軟盤進入系統,因此對桌面系統的病毒應嚴加防範。采用桌面防病毒產品,來防止桌面機受到病毒的侵害。
(二)服務器的防病毒系統
如果服務器被感染,其感染文件將成為病毒感染的源頭,它們會迅速從桌面感染發展到整個網絡的病毒爆發。因此,基於服務器的病毒保護已成為業務系統的當務之急。所以,在業務系統的外部網與Internet及各連接的網段上重要的Web、Mail服務器上采用專業的防病毒軟件系統,提供了全面的基於服務器的病毒保護。
(三)Internet的防病毒系統
根據ICSA的報告,壹般公司或單位的電腦感染病毒的來源有超過20%是通過網絡下載文檔感染,另外有26%是經電子郵件的附加文檔所感染,由於很多業務系統連入Interent,很有可能受到來自Interent下載文件的病毒侵害及惡意的Java、ActiveX小程序的威脅。因此,此部分將成為業務系統防範的重點。
在業務系統的外部網與Interent連接的網段上Mail Server、Web server、DNS Server、等代理的服務器上安裝專業防火墻軟件系統,可防止來自於Internet上的病毒、惡意的Java、Active-x對業務網絡應用系統所造成的破壞。
三、網絡系統安全技術
(壹)常見安全性威脅
隨著計算機網絡的發展,網絡中的安全問題日趨嚴重,我們網絡中大量存儲和傳輸的數據都有可能被盜用、暴露或者篡改。網絡中所面臨的安全性威脅主要有下面幾種:
泄露(eavesdropping):當通信各方通過網絡進行交談時,如果不采用任何保密措施,別人就有可能“偷聽”到通信的內容,因此必要時可對通信的內容進行加密。
假冒(impersonation):如何識別進入計算機網絡系統的用戶是不是合法的呢?因此系統要有身份識別的功能。當網絡中的某個節點冒名要求提供服務時,系統如何能夠知道對方是否冒名呢?我們可以提供壹個合法用戶的數據庫,采用TACACS或RADIUS協議對用戶的身份進行鑒別。如果有人用PC機惡意偽造了壹條路由信息,系統如何能夠鑒別出哪些路由信息是可靠的呢?我們可以采用具有鑒別功能的路由協議,如“OSPF”“EIGRP”;有的路由協議就不支持“鑒別”功能,如“RIP”。
篡改(manipulation):為了防止報文在轉發過程中被第三者所篡改,可以在應用層對用戶的報文進行加密或校驗。
惡意攻擊(attack):除了上述用戶之間通信中的信息安全問題之外,網絡本身也容易遭受到壹些惡意程序(rogueprogram)的攻擊,如computervirus,computerworm,Trojanhorse,logicbomb等。
網絡中被攻擊的目標主要有:主機、路由節點和傳輸線路,如下圖所示:
網絡的安全性可以通過若幹條不同的途徑來實現,如可以在網絡的訪問級實現對用戶的身份進行確認等安全性措施,也可以在網絡的主幹上實施對基於IP流的監測來實現網絡安全性,還可以在網絡上實施基於每個具體應用端口的安全性措施。所有這些安全性措施對應於網絡中的不同應用和不同層次,我們可以根據具體需要靈活采用,也可以同時采用多種安全性措施以實現多級安全性(multilevelsecurity)。
(二)數據流加密
為了保證網絡的安全性,可以考慮的方法之壹就是對傳輸的數據進行加密,目前比較流行的密鑰加密算法主要有DES、RSA等,根據實際情況,可以選用網絡中的壹對路由器作為Peers,對其中通過的某些數據進行加密/解密。
對於十分重要的數據,系統可采用RSA算法進行數據加密,RSA屬於公開密鑰算法,每個人有兩個密鑰,即公開密鑰和秘密密鑰。為了提高效率,我們將RSA和DES結合起來使用。
加密時,系統隨機選擇壹個DES密鑰,並用DES算法加密原文信息。然後,利用公開密鑰加密DES密鑰。將用DES加密的信息和用RSA加密DES密鑰合在壹起,構成密文。
解密時,首先依據私有密鑰解密DES密鑰。然後再用DES密鑰解密DES加密信息,得到最終的解密信息。
數據加密和數據解密過程如圖所示。
在這種情況情況下,報文的控制信息部分(如源、目的節點地址、路由信息等)不能被加密,否則中間節點就不能正確選擇路由;由於各節點必須持有與其他節點相同的密鑰,這就需要在全網範圍內進行密鑰分配和密鑰管理。
采用了數據加密傳輸後的示意圖如下所示:
在信息系統工程中,可能有壹些敏感數據,如認為有特別的必要,可以對數據進行加密後傳輸,Cisco路由器都支持數據的加密傳輸,可以配有專門的IPSEC加密軟件,以提高設備的整體安全性能。
(三)訪問控制
顯然,只使用加密是不能解決所有問題的。對於采用動態自適應路由的網絡,壹個被攻擊者掌握的節點可以被設法更改路由,這樣將導致大量信息的泄漏或網絡癱瘓。
我們可以在用戶登錄上任何壹個網絡節點的時候就實現初步的安全性控制,如對用戶的身份和權限進行確認,等;根據我們所采用的具體方式,這種安全控制又可以分為集中式的安全控制方式和分散式的安全控制方式。
采用了集中式的安全控制方式的示意圖如下所示:
在這種情況下,如果有任何人企圖登錄到網絡中的任何節點,都必須先得到壹臺專用的安全服務器的認可,從而保證了網絡中的節點的安全性;如果考慮到服務器的可靠性等因素,可以配置壹些備用的安全性服務器,以保證在主安全服務器出現故障時維護人員對網絡節點的登錄能夠正常進行。
通過我們所配置的網絡管理軟件可以對網絡中所有的Cisco設備進行這樣的管理。
(四)數據流過濾
我們還可以通過對流經主幹網絡的數據流進行過濾來進壹步實現網絡的安全性,根據過濾的層次不同,可以將其分為基於MAC地址的數據流過濾、基於網絡層的數據流過濾、基於高層的數據流過濾三種。
比如說,如何實現基於IP流的安全性控制呢?我們先看壹下IP分組的格式:
版本、首部長度、服務類型、總長度
標識、標誌、段偏移
壽命、協議、首部校驗和
源站IP地址
目的站IP地址
任選字段
傳輸層數據
......
分組的第四、五字節分別是源站IP地址和目的站IP地址,我們在進行IP流限制的時候是通過對源IP地址的過濾來實現。
另外的壹種安全控制機制是基於MAC地址的。在我們的網絡中,並不是每壹個用戶都是直接連接在路由模塊上的,因此如果不對網絡上的數據流進行更低層的限制,用戶有可能冒充其它主機的IP地址對網絡進行非法的訪問。在交換機中,都支持基於源MAC地址的數據流過濾功能,可以確保只有有限的被確認的合法主機訪問本網絡
(五)局域網安全
當企事業單位網絡系統建成後,所有計算機設備壹般全部在內部局域網內,為了保護局域網的數據不被攻擊,建議采用VLAN技術對局域網進行規劃,根據部門職能的不同和應用的不同劃分不同的VLAN,把各部門或應用有效地隔離開,VLAN之間是由網絡中心的多層交換機進行路由轉發。
除了采用VLAN的技術,采用防火墻使內網與外網進行隔離也是非常必要的,對內部網絡實行有效的訪問控制,使中心內部數據網形成壹個獨立的應用數據網絡安全體系。
(六)廣域網安全
廣域網的範圍廣,連接用戶眾多,連網的方式多種多樣,有寬帶LAN、電話拔號、DDN專線、幀中繼等,網絡安全的考慮比較復雜,牽系到”線路安全、數據流的安全等”,綜合以上的因素,設計線路加密方式。以上圖為例,在接入端路由策略上采用靜態路由,同時運用NAT地址轉換,在路由器上添加壹條加密通道,使用加密數據流進行傳輸,這樣可以保證網數據傳輸的安全。中心的路由器上配置靜態路由和浮動靜態路由相結合,進行安全同時實現認證,動態地進行鏈路備份。
結束語
信息系統安全問題是壹個動態的問題,因此對安全需求和事件應進行同期化的管理,對安全需求的變化應及時制定安全策略,如何才能持續停留在知識曲線的最高點,把握住信息系統安全的大門,這將是對新壹代系統管理人員的挑戰。