| 企业网可能存在的安全隐患来自四个方面:企业员工的越权访问;操作系统及防火墙本身的安全漏洞;协议和应用系统对访问控制及安全通讯方面考虑较少;缺乏有效的手段监视、评估网络系统安全性等等。这些给黑客造成诸多可乘之机,其入侵手段主要分为两类:利用管理上的漏洞骗取用户名及密码;利用协议、系统软件或应用程序的安全漏洞,用工具截获用户密码。CyberSafe网络安全公司咨询服务总监Tom Peltier指出,击破网络安全系统后,攻击者可以?听网上的信息,窃取和破坏数据库信息,摧毁网络节点等,给系统带来不可估量的损失。
面对随时可能出现的网络攻击,网络管理人员一方面要加强企业网内部的管理和规划,将企业网划分成不同网段,制定严密的安全制度;另一方面需要与供应商配合,定期检测、共同解决网络软硬件设备中存在的安全漏洞。
然而,网络安全措施不可能达到绝对安全,互联网上潜伏的威胁行为时刻可能爆发。因此,V-ONE公司总裁David D. Dawson指出:“除了在网络入口处设置多重防火墙外,一个优秀的网络保安系统还应当结合一个有效的动态入侵侦测系统,实时捕捉入侵行为并采取相应还击措施。”
黑客的主要攻击手法
黑客的攻击手法多种多样,Peltier认为排在入侵行为前列的分别是:防火墙及系统探测、通过网络文件系统(NFS)进行攻击、通过电子邮件攻击、使用缺省密码进行攻击、电子欺诈、安置特洛伊木马程序等。
企业网中存在着许多安全漏洞:如操作系统中的大量不安全的指令(FTP、rlogin、Telnet);已经暴露安全缺陷的应用程序版本(如邮件传送程序);主机之间可传递的信任关系;防火墙自身的安全漏洞等等。黑客常常抓住这些弱点,使用自动工具和计算机扫描技术来截获用户名与密码,不出三分钟就可以识别出企业的安全系统。黑客会扫描所有的命令历史文件来查找远程登录命令“rlogin”,从而发现经常访问远程网络的用户,并使用该用户帐号来攻击企业网络,在网络中找到立足之处。黑客可能会在企业的电脑系统中安装“后门”程序或者是“特洛伊木马”程序,使他们可以无限制地访问内部系统,而且不会受到安全监控系统和审核规则的制约。
这类攻击通常都是通过网络防火墙来进行的,因而,企业首先应确保网络防火墙放置在所有的计算机系统的前方,密切监测通过该防火墙的所有服务,避免黑客扫描,阻止黑客进入。其次要订阅安全警报邮件,以便在潜在的安全漏洞爆发之前及时发现它们。还要定期检查记录数据、审核跟踪记录,查找不正常或可疑的行为。最后,与网络产品和防火墙供应商一道对系统加以检查,即时获取并安装系统安全补丁。
管理制度上的漏洞为黑客获取用户名和密码以及其它敏感信息方面打开方便之门。通常,电脑黑客会试探性地使用易于猜测或系统缺省的密码,来访问企业的电脑系统。各种电脑系统都带有供应商预设的用户名和密码。黑客们熟知这些缺省的用户名和密码。他们可以采用这些信息在未经授权的情况下,以管理员的身份访问网络。大多数易于记忆的密码如字典中的词汇、常用名、歌名等等,同时也是易于猜测的。另外,黑客们会假扮成公司的某个职员给公司职员打电话,通过欺骗行为获取公司内部敏感或机密信息。
对此,Datalink公司高级顾问Thomas Yu强调指出,为防范这类黑客的袭?,首先应建立并强制推行公司范围的联络与信息保护制度,确保所有网上可能影响网络安全的员工,按照制度中规定的方式操作。
制订有针对性的保安规划
Yu先生认为,网络保安的关键,是根据企业网对安全的期望值,将合适的管理构架与适当的保安系统相结合,制定一套有针对性的保安规划。规划企业网保安系统可以依照如下步骤进行:
第一步,建立一个有针对性的保安规划:明确在安全问题上你的目标是什么?需要保护哪些网络资源?待保护的网络资源需要达到什么安全级别?你目前面临哪些威胁(书店网络与军队网络面临的威胁完全不同)?一个高安全的保安系统应能在所有适当地点安置足够的保安措施。
第二步,制定安全制度和公约,约束企业员工的访问行为,确保所有在网上并影响网络安全的员工,正在按公约中规定的方式操作。
企业网保安公约是对信息系统工作过程的简明概述,应规定如下要点:可以使用本系统的员工;员工使用系统的时段;员工对系统的使用权限(不同的部门可以委认不同的接入级别);系统接入权的授权程序;系统接入权的撤销程序(例如当员工离职时);系统的使用方式总汇;远程与本地登录方式;定期检查系统审核跟踪所记录的数据;对开发商预设的所有密码进行修改;使用不易猜测的密码(密码至少要有八个字符,其中要包含特殊字符并且同时使用大小写);定期轮换密码;定期对所有的系统进行病毒检查;定期发送有关安全威胁、政策、补救措施的安全简报;定期将所有敏感数据进行备份;教育职员使用特定的辨认流程来核对对方的身份。
最后,在明确了保护对象及其所需要的安全级别之后,结合各种保安产品构建保安系统。
按部门或安全级别分类
划分网段是保证网络安全的一项重要措施,具体做法为,将企业网按部门或安全级别分类,通过具有VLAN(虚拟局域网)功能的交换器将物理位置分散的同类设备组合在同一个虚拟网内,并通过路由器和防火墙限制不同虚拟网之间的互相访问权限。采用VLAN技术实际上是将以太网的基于广播机制转变为点到点通讯,信息只到达应该到达的地点。因此,这样可以防止大部分基于网络监听的入侵手段。
VLAN可以按系统的安全性来划分,将总部中的服务器系统单独划在一起,如数据库服务器、电子邮件服务器等组成一个VLAN。它也可以按机构职能划分,如将领导所在的网络单独作为一个VLAN,其它部门分别作为一个VLAN。同一VLAN中的用户通过交换器连接,它们之间采用路由器。为保证VLAN之间的单向信息流动,即允许领导所在的VLAN查看其它VLAN的相关信息,其它VLAN不能访问领导所在VLAN的信息,需要在领导VLAN与其它VLAN之间设置防火墙作为安全隔离设备,控制VLAN之间的信息交流。
但是,虚拟网技术也带来了新的安全问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象;基于网络广播原理的入侵监控技术,在高速交换网络内需要特殊的设置;基于MAC(媒体访问控制协议)的VLAN不能防止MAC欺骗攻击,因此,VLAN的划分最好基于交换机端口。
动态的威胁
网络管理人员应该根据最坏的情况制定保安措施,布建多种控制工具进行安全防范。防火墙是企业内部网系统与互联网连接处的第一道屏障,其主要作用是在网络入口点检查网络通信,根据客户设定的安全规则,在保护内部网安全的前提下,提供内外网络通信。Dawson指出:“防火墙是用得最广的一种保安产品,用户可以设置安全级别,安置重防火墙。”
然而,互联网是动态变化的。随着技术的不断发展,来自互联网的攻击,对于相对静态的保安系统(防火墙)便意味着动态和不断变化的威胁。因此,Yu认为:“优秀的保安防护系统应当采用有效的入侵侦测系统,它弥补了保安系统相对静止性的缺陷,提供一层附加的保护,捕捉任何被忽略的漏洞。”当黑客试图入侵时,该软件可实时报警,并自动关闭相应进攻路径予以还击。
在未来,黑客将会继续投入时间进行网络攻击活动(包括内部或者外部),供应商仍将继续以打补丁的方式不断增强产品的安全性。Peltier指出:“从安全的角度看,基于主机的软件应用仍是不可靠的。防火墙技术会进一步发展,未来的防火墙将在路由器和“设防区”主机之间,进行详细的数据包跟踪以及访问控制。信息的传送将更广泛地应用加密手段,特别是网络级加密和应用程序级加密。应用程序将集成安全控制,并采用对用户透明的用户接口。” |
