时间:2023-10-09 10:59:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络内容审计,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
2012年4月25日,任子行正式在深交所创业板挂牌上市,证券简称“任子行”,证券代码“300311”。通过十多年的技术和品牌积累,任子行已取得了国家级、省部级网络信息安全领域一百多项重要资质和两百多项重大荣誉,客户数量达到了7万多家,现已发展成为国家信息安全支撑性单位,并已被业界盛誉为“网络应用审计专家”。
自主创新 不断跨越
任子行从最早的保护青少年健康成长的信息技术服务提供商发展成为国家信息安全领域的支撑性单位,目前它拥有网络内容与行为审计、监管最全面的产品线,产品可以覆盖PC端、云端、数据中心端,为各类企事业单位提供全方位的网络审计和监管产品。
目前,任子行拥有六大业务线,包括公安、网络安全、广电、舆情、运营商以及信息安全工程等。其中囊括了NET110安全审计、互联网安全审计、无线网络审计、任天行网络安全管理系统(RT/RAG)、任子行下一代防火墙(NGSA)、任子行Web防护系统(WAF)、任子行运维安全审计系统(堡垒机SAS)、任子行数据库审计系统(DBA)、互联网视音频审计、互联网舆情监测系统、运营商信息安全管理系统、IP域名资源管理系统、IDC信息安全审计管理、ICP域名备案管理系统等诸多系列的全面产品线和解决方案。
任子行主要从事网络内容与行为审计和监管产品的研发、生产、销售,并提供安全集成和安全审计相关服务,它非常重视在研发和技术领域的投入。在各类业务线的产品和解决方案中,其中完全自主知识产权产品有30多项。在底层技术方面,任子行拥有40多项核心技术,包括智能爬虫技术、海量数据分析技术、精准协议分析技术和并行协议栈FPGA捕包技术。
自2001年起,任子行先后承担国家各类逾30个科研课题的研发,具有行业领先的前瞻性技术积累。在技术研发方面,任子行目前的技术和研发人员比例占60%以上。2012年,随着公司上市成功,围绕“网络内容与行为审计产品升级优化项目”、“网络信息安全监管平台建设项目”、“研发中心扩建项目”三个募投项目展开创新研发,并加大了研发投入,比上年同期增长25%。
同时,任子行通过引进软件能力成熟度模型认证,理顺了研发体系,完善了产品中心和技术中心的运转机制,研发活动与业务线联系更加紧密,以便为用户提供更高质量的产品和服务。
拼搏奋进 发展强大
任子行网络技术股份有限公司有两个全资子公司:任网游科技发展有限公司和任子行科技开发有限公司;一个控股子公司:深圳市博海通讯技术有限公司;一个参股子公司:北京中天信安科技有限责任公司。目前,公司在深圳南山、深圳龙岗、北京和武汉设有4个研发中心、7家分公司和20多个驻外机构,并在主要大中城市设置了营销网点和技术支持中心,形成了覆盖华中、华南、西南、西北、东北、华东和华北等区域的市场销售和服务体系。任子行团队中90%的员工拥有本科、硕士、博士以上学历,73%都在30岁以下, 形成了年轻化、知识化和创新化的人才梯队,为任子行产品的研发、生产、销售奠定了坚实的人才基础。
励精图治 铸就辉煌
凭借在网络信息安全领域的不懈创新和辛勤耕耘,现在任子行网络技术股份有限公司是“国家布局内重点软件企业”和“国家计算机重点实验室”,并先后被国家发改委认定为“国家高技术产业化示范工程单位”,被国家密码管理局认定为“商用密码产品生产定点单位”,被国家保密局认定具有“涉及国家秘密的计算机信息系统集成资质(软件开发)”,通过中国信息安全认证中心“信息安全应急服务资质认证(贰级)”,被工业和信息化部认定为具有“计算机信息系统集成资质(贰级)”;拥有“广东省计算机信息系统安全服务资质(壹级)”、“省级网络安全应急服务支撑单位”、首批“深圳市自主创新行业龙头企业”、深圳市首批“国家级高新技术企业”、“广东省著名商标”、“十网络安保红盾专项工作先进单位”等重要资质和重大荣誉,同时公司率先在行业内通过ISO9001:2008质量管理体系认证,并于2012年成功导入CMMI3。
在国家和行业重大科技攻坚项目方面,任子行承担了国家863计划、国家发改委信息安全专项、金盾工程、国家242等信息安全专项、国家创新基金项目等30余项课题的研发,并参与了公安部、工业和信息化部等5项国家、行业信息安全技术标准的制订。任子行研发项目多次被科技部列入国家级火炬计划和重点新产品计划,产品分别荣获教育部科技进步一等奖、北京市科学技术一等奖、广东省科学技术三等奖、深圳市科学技术进步一等奖、深圳市科技创新奖等重大奖项。
全力以赴 坚定不移
作为中国最早涉足网络信息安全领域的企业之一,任子行成立十余年来,秉承“诚信、敬业、协同、创新”的企业精神,以铸造最具竞争力的网络信息和行为管理产品民族品牌作为公司发展的原动力,致力于“绿色、高效和安全网络”技术和产品的研发。“诚信”即做人之道、立身之本,一个人、一个家庭、一个企业、一个国家都一样;“敬业”即敬业乐群、忠于职守,是基于对一件事情、一种职业的热爱而产生的一种全身心投入的精神,是社会对人们工作态度的一种道德要求;“创新”即革故鼎新、立于不败,特别是对于网络信息安全领域,威胁、需求、技术更新换代快,更需要创新;“协同”即和谐合作、志同道合,一个个体的能力和资源是有限的,围绕同一个目标协同合作,才能发挥1+1>2的效应。
引言
随着网络信息的日益丰富,很多的不良内容在网络上出现已经成为亟待解决的社会问题,用什么样的手段来保证网络信息的合法性与健康性已经成为了网络研究领域中的最新热点,而随之而来的是越来越高的关注度。本文试图对内容审计所涉及的关键性技术进行论述,并且从中挖掘当今网络情况的研究热点与难点,为以后内容审计技术研究奠定相关基础。
一、审计关键技术
(一)模式匹配算法
审计系统需要通过多种模式精确的匹配以及多种模式匹配算法搜索数据包中是不是存在敏感模式串,并且从中统计出其频率,以便于支持文本内容的分析。
内容审计中的多种模式匹配有很多的特点:首先是在网络环境处于中英文混合的情况下,由于其编码的原因,导致其数据包中会有相关的部分通常是英文字符,而与内容相关的则是中文字符,并且两者会参杂其中。而就中文而言,因为汉字的简繁体导致文中会包含两种或两种以上的编码字符。其次是不良信息的人会在信息中刻意加入干扰字符。除此之外,因为中英文存在着较大的明显差异,例如英文的字母表小,字符较长,而中文则是大字符集语言,且字母表的数量也较为庞大,这些存在在其中的差异就造成了中英文混合环境下内容审计的模式匹配算法也会发生变化。
如果涉及到中文的多种模式相似匹配就会变得愈发的复杂。已存在的多种模式相似匹配算法允许在其模式串中随意的加入字符,但是如果一个中文字符就不允许插入任何字符了,在包含了n个中文字符的字符串中只存在n个禁止插入的位置,所以在中英文混合的网络环境中,多种模式相似匹配算法就会导致错误的匹配结果。一种适合于中英文混合环境的多种模式相似匹配算法就应该把所有的模式串转换成很多个有限的自动机并且能够利用模式串构建新状态的驱动器,从而可以用待匹配的字符来驱动状态驱动器,再由驱动器转到每一个有限自动机。
(二)文本内容分析技术
本文的内容分析在审计过程中被用作深度识别的可质疑文本,与此同时也会发现当前的信息流中存在的热点信息。本文的内容分析技术基本上以词语为最初元素,构建了基础表示模型,并且分析文本相似度分类等方式来确定其中的部分属性。
而对于中文的词语之间是不存在明确的隔断标志的,所以就需要做出分词的处理。当前最常见的中文分词的方法就是机械分词方法以及知识分词方法。前者是要求跟字典相匹配的,从而利用语法的规则来进行词语的校正。而本文则会用机械分词方法的形式来具体的描述模型,而模型就可以描述机械分词法所能够采取的算法策略。而后者不仅仅要通过字典的匹配,并且要利用多方面的知识,同时还要通过人工智能技术的分析推理来进行校正。
二、审计结果评估与处理
审计过程会根据审计结果对一定时间内的内容进行评估和预测,在特定时候则需要同网络安全防火墙进行联动合作,实施在线拦截等多项防护措施,并且要向网络管理者提交需要制定的内容的安全审计的报告。
(一)内容安全态势评估与预测
通过分析得出一定周期内的分析审计结果,对于目前的网络信息内容的安全的情况进行仔细评估,并且对于未来的情况作出预测,得以实现对于不良信息内容的大范围扩散的有利控制,一方面可以根据其严重程度来制定相应的应对措施以达到遏制其发展的目的;另一方面可以估算已有措施的有效程度,以方便以后的措施实施。
而从其本质上讲,网络内容的安全问题也是用户对于社会上的热点信息关注程度的体现。针对这样的情况,研究者首先要根据传染病模型和流言模型来建立关注热点的不良信息关注规模与趋势的预测模型;其次要根据用户关注热点不良信息的行为情况来研究相应的预测模型。
(二)在线处理与阻断
如果出现违反安全策略的信息,审计系统可以根据其情况采取相应的在线处理措施,有一部分的措施是在审计系统的内部就能够完成;另一部分就要与安全防火墙联动合作完成。
而在审计系统中在线拦截技术是最具有难度实现的。首先,对于数据包的准确性判定具有很大的难度,满足什么样的条件才能被称为是恶意数据包,这个标准很难界定。其次是在线拦截对于网络的流量的依赖是相当大的,因此会出现网络数据传输效率下降的现象出现,从而严重的影响了正常流量的使用。所以一般情况下,只有网络安全情况及其糟糕的时候才会采取在线拦截的手段。
三、审计研究的优势与劣势
(一)流媒体视频内容审计
流传的网络视频的特点是其内容丰富,给人以感观上的强烈冲击,这也将成为不良信息在网络上传播的方式之一。怎样做到准确且及时地识别出此类视频且能够在第一时间做出有效的管理措施就成为了目前亟待解决的问题。现存的识别方法大部分是要提取完整的视频帧图像,继而采取有效的识别方式来对其进行检测。这样的方法无论是从哪个角度都不能满足内容审计的现状需求。
(二)动态信息流的特征分析
不良信息在网络中的传播表面上看是没有任何的规律可循,但是仔细研究就可以摸索到它的传播是具有一定的规律性的,尤其是相对热门的信息。在具体研究的过程中,从核心内容及其传播途径入手,通过对热点信息的开始、传播到扩散整个过程的研究,从中找寻其表现出来的特有的关键点,从而挖掘隐藏在其中的信息流。
(三)关键词列表动态更新
在现存的内容审计模式中,大部分都是要人工建立其关键词表,从而将数据包中的内容与关键词相匹配,以此来查找可疑的数据包。一个全面的、客观的并且可以及时更新的关键词表是很难建立起来的,这也会导致传统的处理方式其局限性加大。尤其是在当今社会知识爆炸的大背景下,网络上出现的新兴的词汇会越来越多,而且这些热点的词汇也会关联相当多的具有舆论价值的网络内容。所以,一定要通过特有的技术手段来跟踪这些网络词汇的出现以及其发展动态。
(四)主动式内容传播检测
现在使用的内容审计的常见模式就只是被动地接受检测,无法进行整体的跟踪监控,对于网络上传播的不良信息缺乏有力地控制手段。因此,实现主动地不良信息的检测就成为了首要解决的问题。首先可以假装成不良信息的获取者或者传播者,继而了解其相关的特征属性,进而追根溯源发展不良信息的网站并且进入到其下载任务当中,从中获取其网络用户的规模以及其IP地址的大致分布,就可以实现对于不良信息传播与扩散的全程的跟踪与监控。
根据相关统计机构提供的数据,目前有60%以上的网络人侵和破坏是来自网络内部的,因为网络内部的人员对于自己的网络更加熟悉,而且有一定的授权,掌握一定的密码,又位于防火墙的后端,进行入侵或破坏更加得心应手。一个内部人员不必掌握很多黑客技术就能够对系统造成重大的损失。因此信息安全审计的功能越发受到重视。
对于一个信息系统而言,信息安全审计究竟要实现怎样的功能,要实现到怎样的程度,目前大多数的单位并未真正理解,不少单位对于信息安全审计的认识还停留在日志记录的层次。一些信息安全测评认证标准可以为我们提供一定的借鉴。
1998年,国际标准化组织(ISO)和国际电工委员会(IEC)发表了《信息技术安全性评估通用准则2.0版》(IS0/IEC15408),简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则,用来评估信息系统或者信息产品的安全性。在CC准则中,对网络安全审计定义了一套完整的功能,如:安全审计自动响应、安全审计事件生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
TCSEC(TrustedComputerSystemEvaluationCriteria)准则俗称橙皮书,是美国国防部的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。它定义了一些基本的安全需求,如:policy、accountability、assurance等。accountability提出了“安全审计”的基本要求,包括:审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择记录与安全有关的信息,以便将审计的开销降到最小,并可以进行有效的分析。
计算机信息系统安全保护等级划分准则中,定义了五个级别:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。从第二个级别开始就需要基本的审计功能,越高的级别对于审计的要求也越高。第二级别的审计要求就包括:计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授权的用户对它访问或破坏。
具体来说,计算机信息系统可信计算基应能记录下述事件:使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化);删除客体;由操作员、系统管理员或系统安全管理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件,审计记录包含请求的来源(例如:终端标识符);对于客体引人用户地址空间的事件及客体删除事件,审计记录包含客体名。对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,可由授权主体调用。
从上面可以看出,很多的国际规范以及国内的安全规定中都将安全审计放在重要的位置,而安全审计并不像许多用户所理解的只是“日志记录”的功能。目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志记录功能,但是实际上这些日志并不能保障系统的安全,也无法满足事件的侦察和取证应用。各类测评认证标准为我们实现完整的信息安全审计提供了指导,但是如何建设审计系统则需要在这些原则的指导下,具体问题具体分析,根据系统状况、自身安全需求以及当前技术的支持程度来定制审计系统。
2重要领域信息系统面临的安全挑战
随着信息技术的迅速发展,许多单位和部门对信息系统的依赖性日益严重,尤其是一些重要领域(如电子政务、金融、证券等)的信息系统,一旦出现问题将带来巨大的损失。重要领域的信息系统将面临来自外部或内部的各种攻击,包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。
信息系统面临的安全威胁来自多个方面。首先,目前大部分信息系统选用的系统本身存在着安全隐患,如网络硬件设备(服务器、网络设备等)和操作平台(操作系统、数据库系统、通用软件系统等)存在弱点和漏洞。应用软件系统的脆弱性、应用系统的BUG、代码错误、不安全代码的执行模式、不安全设计、网络的脆弱性、网络协议的开放性(TCP/IP协议栈)、系统的相互依赖性都会导致网络的安全风险。此外,安全设计本身的不完备性、网络安全管理人员对系统漏洞的置若罔闻都会使攻击行为得以成功。因此,信息系统的安全方案中要综合考虑网络系统的安全配置、正常运行、安全操作、应急响应、安全审计等问题。
3重要领域信息系统中的信息安全审计需求
在重要领域信息系统的众多安全问题中,内部的安全违规问题尤其值得重视。内部人员违规一般有两种形式:一种是内部人员的违规操作,造成的后果是影响系统的安全;另一种是有目的地窃取资源。
最近几年网络安全领域主要强调的是如何防范外部人侵,如怎么建网关、建防火墙、实现内外网的物理隔离等,但是堡垒最容易从内部攻破,信息最容易从内部丢失。解决内部人员违规的一个重要手段是对重要领域信息系统实行高强度的安全审计。所谓的强审计不是简单的“日志记录“,而是增强的、全方位、多层次、分布式的安全审计,覆盖网络系统、操作系统、各类应用系统(如\^1)、£-11^1、]\(^£3^(;11&1^、081^)等,对各种未授权或非法的活动实时报警、阻断等。
安全强审计与一般的安全审计相比在以下几个方面得到增强:信息收集能力;信息分析能力;适应性;防绕过特性;信息保护特性;审计深度和针对性;规范化、标准化和开放性。
在重要领域信息系统中,信息安全审计的重点如下:
(1)网络通信系统
重要领域信息系统的普遍特点是网络流量一般不是很高,但是网上传输的可能是机密或敏感的信息,因此除了需要具备一般企业内部网所需要的人侵检测功能之外,还需要具备以下审计功能,以发现内部网络上的违规行为:对网络流量中典型协议分析、识别、判断和记录;对了61賊、1111?、£-11^1、1^?、网上聊天、文件共享操作的还原和记录;对网络流量进行监测以及对异常流量的识别和报警;对网络设备运行进行持续的监测。
⑵重要服务器
重要领域信息系统中,重要服务器是信息的集中点,需要对其进行增强的审计,以保护信息资源,对以下事件的审计是最基础的安全审计功能:服务器系统启动、运行情况;管理员登录、操作情况;系统配置更改(如注册表、配置文件、用户系统等);病毒或蠕虫感染情况;资源消耗情况;硬盘、CPU、内存、网络负载、进程等;操作系统安全日志;系统内部事件;对重要文件的访问。
(3)应用平台
仅仅对服务器系统层次的审计还是不够的,因为目前大量重要领域信息系统的应用平台在权限控制方面还有一定的缺陷,因此存在通过应用平台进行违规操作的可能性,例如:直接操作数据库的行为。因此,应用平台层次的安全审计也是必须的,审计内容包括:重要应用平台进程的运行;Web服务器、Mail服务器、Lotus、Exchange服务器、中间件系统;各个平台的健康状况;重要数据库的操作;数据库的进程;绕过应用软件直接操作数据库的违规访问行为;数据库配置的更改操作;数据备份操作和其他维护管理操作;对重要数据的访问和更改操作。
(4)重要应用系统
由于不少重要领域信息系统中已经建立了一系列的应用业务系统,因此对于一般的操作人员来说,业务系统是最主要的人机界面,对于有高安全需求的重要领域信息系统来说,还需要加强应用系统层次的审计。如对于电子政务系统,针对以下应用系统的审计是最基本的:办公自动化系统、公文流转和操作、网站系统、相关政务业务系统。
⑶重要网络区域的客户机
在一般的信息系统中,对客户机的审计通常不是必要的。但是对于一些安全级别较高的信息系统的重要网络区域,针对客户机的审计还是必要的,主要审计以下内容:病毒感染情况;通过网络进行的文件共享操作;文件拷贝、打印操作;通过Modem擅自连接外网的情况;非业务异常软件的安装和运行。
重要领域信息系统中的安全审计系统建设的要点
在重要领域信息系统中,一个较为全面的审计系统需要关注以下几点:
(1)数据的来源
审计系统如何获取所需的数据通常是最关键的,数据一般来源于以下几种方式:来自网络数据截获,如各类网络监听型的人侵检测和审计系统;来自系统、网络、防火墙、中间件等系统的日志(通常通过文件、syslog、SNMP、OPSE等机制获取日志);通过嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息(如扫描,HTTP访问等);来自应用系统、安全系统的审计接口。
在重要领域信息系统中的安全审计系统的建设中,尤其需要考虑强制获取数据的机制,即:有数据源的,通过审计系统来获取;无数据源的,要设法生成数据,进行审计。这也是强审计和一般的日志收集系统的区别之一。目前,各类wrapper技术是强制生成审计数据源的有效手段之一。
另外,在数据源方面,还需要关注所收集数据的性质,有些数据是已经经过分析和判断的数据,有些数据是未分析的原始数据,不同的数据要采用不同的处理机制。此外在很多系统中可能需要根据实际情况定制数据转化的功能。
(2)审计系统的分析机制
审计系统需具备评判异常、违规的能力,一个没有分析机制的审计系统虽然理论上可以获取和记录所有的信息,但实际上在需要多层次审计的环境中是不能发挥作用的。审计系统的分析机制通常包括:实时分析,提供或获取数据的设备/软件应具备预分析能力,并能够进行第一道筛选;事后分析,维护审计数据的机构对审计记录的事后分析,事后分析通常包括统计分析和数据挖掘两种技术。对于重要领域的信息系统来说,两方面的分析机制都是需要的,一般情况下审计系统都应具备实时分析能力,如果条件允许,也应具备事后分析的能力。
⑶与原有系统的关系
通常一般企业构建安全审计系统时,仅仅采用一些入侵检测系统就满足需求了,与原有系统关系不大。但是在重要领域信息系统中,需要实现多层次多角度的安全强审计,因此审计系统必然和原有的系统有一定的关系。通常,审计系统与原有系统的关系包括:完全透明型,原有系统根本察觉不到审计系统的存在;松散嵌入型,基本上不改变原有系统;紧密嵌人型,需要原有系统的平台层和部分应用做出较大改变;一体化设计,系统设计之初就考虑审计功能,所有模块都有与审计系统的接口。
如何在实现审计的同时确保原有系统的正常运转是审计系统构建的关键,要尽量做到最小修改和影响系统性能最小。
(4)如何保证审计功能不被绕过
有了安全审计的措施,必然会有各类绕过审计系统的手段。而在重要领域的信息系统中,审计系统如果被轻易绕过将导致严重的后果。所以在建设审计系统时,需要充分考虑审计系统的防绕特性。通常可以采用以下手段增强审计系统的防绕性:通过技术手段保证的强制审计,如网络监听和wrapper机制;通过不同审计数据的相互印证,发现绕过审计系统的行为;通过对审计记录的一致性检查,发现绕过审计系统的行为;采用相应的管理手段,从多角度保证审计措施的有力贯彻。
(5)对审计数据的有效利用
如果光建立一个审计系统,而缺乏对审计数据的深度利用将无法发挥审计系统的作用。可以考虑以下的措施:根据需求,进行二次开发,对审计数据进行深人的再分析,可以充分利用成熟的分析系统,实现关联分析、异常点分析、宏观决策支持等高层审计功能;对审计系统中安全事件建立相应的处理流程,并加强对事件处理的审计与评估;根据审计数据,对不同的安全部件建立有效的响应与联动措施;针对审计记录,有目的地进行应急处理以及预案和演习;建立相应的管理机制,实现技术和管理的有机结合。
Abstract: With the advent of the information age, digital communication and information sharing has gradually integrated into the people's work and daily life. While people enjoy the network, they have to concern the information security problem that network system structure and network technology bring. The computer network leakage of a secret has become an important hidden trouble under modern information condition. Therefore, improving network security consciousness, understanding the basic network security protection technology knowledge is significant to units at all levels for ensuring the network security and puts an end to the leakage of a secret. This paper respectively introduced from the point of view of the intranet and out net.
关键词: 网络;安全;内网;外网;技术
Key words: network;security;intranet;out net;technology
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)30-0217-02
0 引言
计算机网络泄密已成为现代信息化条件下的一个重要隐患。因此,提高网络安全意识,了解网络安全防护的基本技术知识,对于各级单位做好网络安全,杜绝网络泄密事件的发生具有极其重要的意义。
1 内网安全保密技术
内网安全,就是内部局域网的信息防泄密和终端安全管理。很多的单位军工单位对信息防泄密的需求都是相当高的,他们为了防止内部机密信息的泄露,为了有效地避免由于泄密而带来的巨大损失,都在急切地寻找一个能够帮助他们很好的保证这些信息不被泄密出去的有力工具。随着社会的不断发展,信息化程度越来越高,各企事业单位和部门对网络和终端的依赖性很强。对于那些终端数量多、管理人员少的,就会力不从心疲于应付,常常会出现管理不得力的情况,这样对于整个单位和部门的正常工作都是很不利的,所以很需要一个能够帮助他们来统一管理单位和部门内部局域网的终端。
1.1 内网的泄密途径 大多数安全事件的发生不是主要由外部攻击造成的,而是由内部原因造成的。内网的主要泄密途径包括以下几个方面:通过内网网络交换设备或者直连网线非法接入内网或者计算机终端,获取数据。利用局域网中的某一台主机,通过网络攻击或欺骗的手段,非法取得其他主机甚至是某台网络服务器的重要数据。内部员工将只允许在局域网内部使用的数据,通过磁盘复制、打印、非法拨号外联等手段泄漏到单位外部。内部人员窃取管理员用户名和密码,非法进入单位重要的业务和应用服务器获取内部重要数据。
1.2 网络安全管理技术 随着网络应用和规模的不断增加,网络管理工作越来越繁重,网络故障也频频出现:不了解网络运行状况,系统出现瓶颈;当系统出现故障后,不能及时发现、诊断;网络设备众多,配置管理非常复杂。因而,加强网络管理,以优化现有网络性能,保障网络安全是十分必要的。要加强对工作人员合法使用计算机的控制,要做好接入控制、用户集中管理、服务器资源授权和用户身份认证管理;能对服务器等重要站点实施强有力的保护措施,包括能隔离网络区域,能进行分级分域管理。必须做好网络监控和防泄密,对于泄密,必须做到能控制文件数据失窃、邮件泄密以及打印泄密,特别是打印泄密。
1.3 安全评估技术 当前,网络安全已经不再是早期的一种或几种安全产品的堆砌所能解决的问题,而是一个动态的复杂过程,它贯穿于网络信息系统的整个生命周期。这一过程的首要环节就是安全评估。对信息系统和信息技术进行科学、客观、有效的安全评估是解决信息安全问题、保障信息安全的一个重要途径,是确保信息资源安全的有效手段之一,是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。
按照信息安全评估的内容和目的,安全评估包括脆弱性评估、威胁评估、安全防护等级评估、网络攻击效能评估、信息对抗效能评估和信息安全风险管理。其中,“风险”概念揭示了信息系统安全的本质,它不但指明了信息安全问题的根源,也指出了信息安全解决方案的实质,即把残余风险控制在可接受的水平上。国外许多专家认为,信息安全风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。因此,信息安全风险管理体现了信息安全的本质,是信息安全评估的核心。
1.4 安全审计技术 安全审计,是指对计算机系统安全方案中的功能提供持续的评估。安全审计系统,是指对信息网络中任一或所有安全相关事件进行记录、分析和再现的处理系统。它通过对一些重要的事件进行记录,从而在系统发现错误或受到攻击时能定位错误,并找到被攻击的原因。因而,安全审计是事故后调查取证的基础,当然也是对计算机系统保密的信心保证。安全审计的主要功能如下:记录关键事件,关于安全事件的界定由安全官员决定。对潜在的攻击者进行威慑或警告。为系统安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞,使安全管理人员可以知道如何对系统安全进行加强和改进。为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件,并可根据实际情形调整安全策略。
2 外网安全保密技术
相对于内网安全的概念,传统意义上的网络安全更为人熟知和理解。事实上,传统的网络安全考虑的是防范外网对内网的攻击,即我们所说的外网安全。外网的安全模型假设内网都是安全可信的,则威胁都来自于网络外部,其途径主要通过内、外网的边界出口。所以,在外网的安全模型下,只要将网络边界处的安全控制措施做好,就可以确保整个网络的安全。
2.1 防火墙技术 由于TCP/IP协议是在可信环境下为网络互联而设计的开放性协议,在设计过程中就缺乏安全措施的考虑,而防火墙就是用来保护内部用户网络,防止黑客利用TCP/IP本身的内在安全弱点攻击网络设备和用户计算机。到今天,防火墙技术已经非常成熟,防火墙也已成为网络内外网之间互连的标准安全隔离设备。防火墙实质上是用来加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。
防火墙通过有效、细致的访问控制规则来满足用户必要的通信和信息共享需求,屏蔽其他任何未经授权的网络访问,并能够监视网络运行状态。防火墙是一种综合性的技术,涉及计算机网络技术、密码技术、安全协议、安全操作系统等多方面的内容。防火墙的主要功能有:按照安全策略进行检查,并过滤进出网络的数据包;管理进出网络的访问行为;封堵被禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警等。
2.2 虚拟专网技术 虚拟专用网(简称VPN)是近年来随着互联网的发展而迅速发展起来的一种技术。它不是真的专用网络,但却能够实现专用网络的功能,利用公共通信网络实现安全的保密数据通信。其原理是:需要进行机密数据传输的两个端点均连接在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备在公共网上建立一条虚拟的专用通信通道,并且所有数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输。通过VPN,授权的业务伙伴就可以在授权范围内使用单位内部的数据,实现数据的安全交换。虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用互联网公众数据网络的长途数据线路。专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
实现VPN最关键的部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的。隧道是利用一种协议传输另外一种协议的技术,主要利用隧道协议来实现VPN功能。隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。IP隧道的实现机制主要涉及两个方面,其一是第二层与第三层隧道的问题。
2.3 入侵检测技术 入侵检测技术的研究涉及到计算机、数据库、通信、网络等多方面的知识。一个有效的入侵检测系统,不仅能够正确地识别系统中的入侵行为,而且还要考虑到系统本身的安全以及如何适应网络环境发展的需要。所有这些都表明,入侵检测系统将是一个复杂的数据处理系统,所涉及到的问题域中的各种关系也比较复杂。按照传统的分类,入侵检测的分析方法主要由误用检测和异常检测组成。
2.4 网络隔离技术 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,全新安全防护防范理念的网络安全技术——网络隔离技术应运而生。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自身的优势。
2.5 匿名通信技术 匿名通信系统能隐藏网络通信实体的网络地址、实体间的通信关系等隐私信息,使其不被对手观测。在匿名通信系统中,假定网络内主机之间的通信具有机密性,即网络外的任何主机都不能观察到在网络内信息流的任何信息。同样,主机之间的通信也经过认证,即不存在欺骗行为,可通过链路级认证来保证。此外,还假定通信实体的具体物理位置信息在系统中保密,因为若能知道用户的物理位置,匿名通信也就失去了其意义。
2.6 网络安全扫描技术 基于网络的漏洞扫描,就是通过网络远程检测目标主机TCP/IP不同端口的服务,记录目标主机给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(如是否能用匿名登录,是否有可写的FTP目录,是否能用FEL-NET,HTIP是否是用root在运行)。
3 结语
计算机网络安全防护不同于传统意义下的信息保密,它是一个庞大的系统工程,不仅涉及技术人员对产品的采购、使用、维护和保养,也需要各级领导机关制定严密的管理制度和措施作保障。但是,这些管理性的保障措施都是以技术手段为基础的。
参考文献:
[1]王炽鸿.计算机辅助设计[M].北京:机械工业出版社,1998.
[2]丁剑洁.基于度量的软件维护过程管理的研究[D].西北大学,2006.
内部网络常见的安全事件
内部安全涉及以下几方面:内部网络被病毒攻击或黑客攻击、内部数据被非法搜集或保密数据被非法拷贝、内部网络被非法侵入、内部网络被非认证计算机接入。
下面列举了日常的内部安全事件:1. 由于病毒或木马等恶意程序使内部计算机成为肉鸡,以肉鸡为跳板进行网络攻击或非法的数据收集;2. 网络接入控制不严,攻击者可使用笔记本电脑或专用分析设备接入内部网络进行非法数据收集或网络攻击;3. 内部人员使用私有计算机而此类计算机有病毒或其他恶意数据搜集软件;4. 无线设备的私搭乱建,造成内部网络被非法延伸,可造成非法终端接入内部网络,而且入侵者不用进入企业内部,在企业大楼附近就可以进行非法入侵;5. 内部员工无意或有意使用一些攻击软件,造成内部网络瘫痪或数据丢失;6. 企业内部技术人员由于日常维护中无意或有意出现一些配置错误,造成网络安全级别下降或者网络出现漏洞;7. 内部用户通过邮件或者其他通信软件无意或有意泄露内部数据;8. 管理员密码过于简单,容易被破解或者管理员无意泄露造成网络安全隐患。
由于接入层设备的物理控制的级别不够,还容易造成下列隐患:1. 接入层设备的console接入;2.使用监听软件非法搜集用户数据而不被用户察觉;3.可以更改任意计算机的接入配置,可非法接入任意计算机;4.在有些情况下,可使用一些技术手段通过网络接入设备造成整个网络的瘫痪,比如环路造成的广播风暴。
内部网络安全的解决方式
如何有效避免上述内部安全事件,应该从多个层面入手。
1.建立完善的网络防毒系统,随时监控。
防毒系统应该有两个层面:一个层面为终端防毒系统,推荐使用网络防毒系统,这样可以把各个终端的杀毒情况汇总分析,有利于网络管理人员全面掌握内部网络病毒爆况。另一个层面为网络边界防毒(防毒墙)。防毒墙可以在网络边界上防止病毒进入内部网络,避免用户登录恶意网站造成的病毒传播。内部防毒系统的杀毒引擎不应与防毒墙的杀毒引擎相同。
2. 网络接入问题的几种解决方法
计算机MAC地址绑定技术。MAC地址绑定技术实现简单,一般的交换机都支持。但是MAC地址绑定在内部用户频繁更改计算机接入位置时会造成维护工作量较大,而且用户可以通过软件更改计算机的MAC地址来避免此类限制。
思科动态VLAN技术。动态VLAN根据终端用户的MAC地址,决定属于哪一个VLAN,确认是否有权限访问网络。但是动态VLAN技术也存在用户更改MAC地址的问题,而且对动态VLAN技术的支持也只限于思科系列交换机。
网络准入控制系统。借助NAC,客户可以只允许合法的、值得信任的端点设备接入网络,而不允许其它设备接入。NAC使网络管理员在有线、无线和远程用户及其机器接入网络前,能对它们进行验证、授权、评估和修复。
3. 防止私自搭建无线设备
随着技术的发展,无线接入设备越来越便宜,而且配置越来越简单,非技术人员也可根据设备说明书搭建无线网络。私自搭建的无线设备把内部网络延伸了,对于内部网络来说是非常危险的。
对于私自搭建的无线设备,应采用下列方式排查:专业的无线监测搜索设备,但这类设备价格昂贵,不推荐购买;使用全向无线天线配合软件来监测无线设备的距离和方向,这样也可以定位无线设备,但不是很方便,而且测量精度不高;使用网络分析设备来抓取数据包,搜索通用无线设备的MAC地址段,通过MAC地址来定位非法的无线设备,缺点是不易统计出所有无线设备的MAC地址段,而且无线设备的MAC地址也可以通过技术手段来更改;建立网络准入控制系统,这样可以避免网络被延伸后,非法无线计算机的接入。
4. 建立多层次的网络防御系统
内部网络也应该分为多个安全区域,不同安全区域的安全级别不同,一般来说可以有如下安全区域。
核心区: 包括数据库服务器、存储系统,以及核心的数据服务器。只对相应的服务器提供服务,不针对普通用户提供服务。此区安全级别最高。
内部服务区域:提供内部访问服务的服务器放置区域。只对内部用户提供服务,不对外提供服务。此区安全级别较高。
设备管理区域:硬件设备以及服务器的管理区域。此区安全级别高。
办公区域:内部网络普通用户的个人计算机区域,提供相关的上网服务。此区安全级别较高。
VIP区域:特殊用户的个人计算机区域,提供优质的上网服务以及设备调试权限。此区安全级别高。
外部接入区域:提供本部大楼以外的区域网络接入。此区安全级别一般。
存储区域:连接存储用局域网,与大楼网络隔离。
每个安全区域之间应该有防火墙进行安全防护,根据实际情况还可在各个安全区域之间部署IPS以及协议分析设备。这样在内部也建立起一套完善立体的安全防护系统。多个区域部署防火墙对于网络拓扑的复杂性和资金要求都较高,为了避免网络连接过于复杂以及达到节省资金的目的,可以使用虚拟防火墙技术。
5. 对技术人员的配置进行审计
审计系统包括两个方面。
用户上网审计:这类审计也称作上网行为审计,对网内用户的上网操作进行记录,可以查看用户是否访问非法网站,是否通过邮件传输了保密信息;还可以对一些关键字符进行过滤,对一些敏感信息进行屏蔽。这类审计产品市场上很多,功能大同小异。
技术人员的操作审计:由于现有系统多种多样,传统的审计系统对一些图形操作无能为力。我们可以使用新类型的审计系统。
此类审计系统目标是为组织IT系统核心服务器的运维操作提供强有力的监控、记录手段,使其切实满足内控管理中的合规性要求。审计系统可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作记录、审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的记录、审计,并支持操作过程的全程回放。此类审计系统弥补了传统审计、记录系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能拥有运维权限。
部署了这两类审计系统后,彻底实现了安全审计中关心的“什么人、什么时间、做了什么”的目标,既可以审计用户的上网行为,又可以审计技术人员的操作流程,完全可以满足目前IT运维操作审计的需求。
5. 接入层设备的物理安全
应专屋专用,严格控制出入人员。应有视频监控系统。接入层设备的console必须设置安全级别高的密码。严格监控接入设备的每次重启,防止被非法重置密码。对生成树以及组播等进行合理的配置。
6. 建立完善的身份认证系统
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。网络世界中一切信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是解决这个问题的。作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
常用的身份认证方式有:静态密码、IC卡、短信密码、动态口令牌、USB KEY、生物识别技术等。静态密码设置简单,最容易被破解;IC卡、USB KEY的方式存在丢失后被非法侵入的问题;生物识别技术存在投入过高、使用不方便等问题。建议使用动态口令牌+密码认证的双因素认证系统,理论上不可被破解,又可防止丢失后的密码泄露的问题。
动态口令牌是目前最为安全的身份认证方式。动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,终端每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
结语
关键词:信息网络安全系统
近年来,随着经济水平的不断提高,信息技术的不断发展,一些单位、企业将办公业务的处理、流转和管理等过程都采用了电子化、信息化,大大提高了办事效率。然而,正由于网络技术的广泛普及和各类信息系统的广泛应用使得网络化办公中必然存在众多潜在的安全隐患。也即在连结信息能力、流通能力迅速提高的同时,基于网络连接的安全问题将日益突出。因此,在网络开放的信息时代为了保护数据的安全,让网络办公系统免受黑客的威胁,就需要考虑网络化办公中的安全问题并预以解决。
一、网络连接上的安全
目前,企业网络办公系统多数采用的是客户机/服务器工作模式,远程用户、公司分支机构、商业伙伴及供应商基本上是通过客户端软件使用调制解调器拨号或网卡连接到服务器,以获取信息资源,通过网络在对身份的认证和信息的传输过程中如不采取有效措施就容易被读取或窃听,入侵者将能以合法的身份进行非法操作,这样就会存在严重的安全隐患。
同时,企业为了完成各分支机构间的数据、话音的传送,需要建立企业专用网络。早期由于网络技术及网络规模的限制,只能租用专线、自购设备、投入大量资金及人员构建自己实实在在的专用网络(PN,PrivateNetwork)。随着数据通信技术的发展,特别是ATM、FrameRelay(简称FR)技术的出现,企业用户可以通过租用面向连接的逻辑通道PVC组建与专线网络性质一样的网络,但是由于在物理层带宽及介质的非独享性,所以叫虚拟专用网络(VPN,VirtualPrivateNetwork)。特别是Internet的兴起,为企业用户提供了更加广泛的网络基础和灵活的网络应用。
VPN(VirtualPrivateNetwork,虚拟专用网络)是一种通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的“专用”网络。它替代了传统的拨号访问,通过一个公用网络(Internet、帧中继、ATM)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,利用公网资源作为企业专网的延续,节省了租用专线的费用。
VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN也可作为电信专线(DDN、FR)备份线路,当专线出现故障时可迅速切换到VPN链路进行数据传输,确保数据无间断性地传输。
进行远程访问时,远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到总公司的防火墙或是交换机上,在实现访问信息资源的同时可节省长途拨号的费用。当一个数据传输通道的两个端点被认为是可信的时候,安全性主要在于加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。
二、Web服务器的安全
Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,Web服务器的安全是不容忽视的。而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。
SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Keypair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。
三、数据库的安全
在办公自动化中,数据库在描述、存储、组织和共享数据中发挥了巨大的作用,它的安全直接关系到系统的有效性、数据和交易的完整性、保密性。但并不是访问并锁定了关键的网络服务和操作系统的漏洞,服务器上的所有应用程序就得到了安全保障。现代数据库系统具有多种特征和性能配置方式,在使用时可能会误用,或危及数据的保密性、有效性和完整性。所有现代关系型数据库系统都是“可从端口寻址的”,这意味着任何人只要有合适的查询工具,就都可与数据库直接相连,并能躲开操作系统的安全机制。例如:可以用TCP/IP协议从1521和1526端口访问Oracle7.3和8数据库。多数数据库系统还有众所周知的默认帐号和密码,可支持对数据库资源的各级访问。从这两个简单的数据相结合,很多重要的数据库系统很可能受到威协。因此,要保证数据库的完整性,首先应做好备份,同时要有严格的用户身份鉴别,对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,用以跟踪和记录用户对数据库和数据库对象的操作,全方面保障数据库系统的安全。4.网络安全防范
现阶段为了保证网络信息的安全,企业办公的正常运行,我们将采用以下几种方式来对网络安全进行防范:
(1)配置防病毒软件
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(2)利用防火墙
利用防火墙可以将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(3)Web、Email的安全监测系统
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
(4)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
(5)利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。:
总之,网络办公中的信息安全是一个系统的工程,不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起,才能生成一个高效、通用、安全的网络系统。但由于系统中的安全隐患、黑客的攻击手段和技术在不断提高,因此我们对安全的概念要不断的扩展,安全的技术也应不断更新,这就有大量的工作需要我们去研究、开发和探索,以此才能保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1]《网络安全理论与应用》杨波北京电子工业出版社2002
[2]《计算机网络安全技术》蔡立军中国水利水电出版社2005
关键词:计算机;安全;防火墙
计算机网络的广泛应用给计算机的安全提出了更高的要求,也使网络安全问题日渐突出。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。
一、网络安全的基本内涵释义
网络安全从本质上来讲就是网络上的信息安全,指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统能连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
二、当前计算机信息系统的网络安全存在的主要威胁
一是人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。例如防火墙,它是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目的就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。如有人为了避开防火墙服务器的额外认证,进行直接的PPP连接,就会使防火墙失去保护作用。
二是网络协议的局限性。Internet的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP协议很熟悉,就可以利用它的安全缺陷来实施网络攻击。
三是黑客的威胁和攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为两种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄露。网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。黑客入侵的例子枚不胜举,从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
三、当前维护计算机网络安全的主要防范措施
针对网络系统现实情况,处理好网络的安全问题是当务之急。为了保证网络安全采用如下方法:
(一)配置防火墙。防火墙将内部网和公开网分开,实质上是一种隔离技术。它是网络安全的屏障,是保护网络安全最主要的手段之一。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客随意访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(二)安装防病毒网关软件。防病毒网关放置在内部网络和互联网连__接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
(三)应用入侵检测系统。入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。它能够检测那些来自网络的攻击,检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务的性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(四)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
[关键词] 入侵检测 移动 IDS模型
一、引言
互联网飞速发展的今天,入侵检测技术受到广泛的关注。入侵检测是监视系统中违背系统安全策略行为的过程,入侵检测系统原型可以规范地划分为三个功能模块:采集器,分析器和管理器模块。
IDWG提出的一种比较通用的入侵检测模型,如图1所示。IDWG还对这些功能模块之间交互的消息和数据流进行了规范定义。
采集器从数据源中收集、跟踪、发掘相关信息;分析器对传感引擎提炼出的数据进行分析,过滤,目的在于发现正在进行的入侵行为或潜在的入侵行为,产生高级别安全警报;管理器负责关联这些告警信息的以及后续处理,并承担所有入侵检测进程接口的管理。
二、IDWG IDS模型的改进
IDWG IDS模型存在模块之间缺乏交互的缺陷,本文所提出的移动入侵检测系统模型在IDWG IDS模型的基础上,加上了模块之间新的交互。如下图2所示。
管理器发给分析器管理查询消息,分析器将查询结果发送到管理器,并等候进一步指示。当分析器对采集器所收集到的监视跟踪事件与数据进行修整,筛选,统一格式等操作。
三、移动入侵检测系统功能模块设计
本文的移动入侵检测系统结构的设计符合上图2改进的IDS模型,其系统结构中主要功能模块设计如图3所示。
1.原始数据。原始数据可以是基于主机的的数据源,基于网络数据源,基于报警信息源。常见的基于主机的数据源有操作系统审计记录、系统日志、用户击键、和特权程序系统调用。
(1)操作系统审计记录。操作系统审计记录是由专门的审计子系统产生的系统事件记录,它们是系统活动的信息集合,以事件发生的时间顺序记录,组织为一个或多个审计文件。
(2)系统日志。系统日志是系统和应用程序事件记录,通常是系统程序写的文本文件,操作系统通常提供多个工具记录系统发生的事件。
(3)用户击键。用户击键就是用户使用键盘的习惯,它在一定程度上反映了用户的行为、用户的工作内容等。
(4)特权程序系统调用。特权程序通常是攻击的重点目标。特权进程可访问的系统资源多,影响范围广,它甚至可以绕过内核的安全审核机制而访问系统资源,导致特权程序对系统的安全威胁大。
网络中所有可管理对象的集合――管理信息库(MIB),也是采集原始数据的重要来源。
2.采集器。系统的数据采集构件,主要是收集入侵检测中需使用的各种数据,并将数据转化为标准格式传送给IDS引擎处理。采集的数据既可以是网络中的原始数据包,也可以是来自主机的各种原始数据。
这里的移动入侵检测系统的数据采集器由攻击特征信息库,数据归类整理部件与数据统一求精部件构成。如下图4为采集器功能模块图。
数据归类整理部件负责收集原始数据,并对数据作归类整理,比如把数据分成系统级的原始数据,并且依据攻击特征信息库把数据整理成事件数据。
数据统一求精部件负责去除冗余事件,并依据攻击特征信息库将求精后事件其抽象为入侵检测系统的标准数据格式。
3.IDS引擎。IDS引擎包括管理控制台、事件检测分析器和入侵检测响应器。提供用户和其它构件的管理接口,根据Sensor收集到的数据,对数据进行检测分析,产生检测结果等。如下图5为IDS引擎功能模块图。
事件检测分析器建立相关事件信息,关联已知攻击证据,分析确定该事件是否为入侵行为的事件。
管理控制台对本地系统的采集器,事件分析器,入侵检测响应器以及移动Agent等各部件进行控制和管理,负责根据不同的入侵事件配置相应的入侵响应策略。
入侵检测响应部件负责确认入侵行为采取相应措施,如断开人侵者与系统的连接,甚至自动关闭系统与外部网络的连接,采取反攻击策略等。
4.移动系统。移动Agent系统(Mobile Agent System)用于给移动Agent提供运行环境。每种都是独立的软件实体,只执行特定的功能,且可自主的在移动自组网内移动。
监测:监测被分成网络数据包监测,用来监控用户行为和系统级行为。
决策:是IDS移动的管理中心,负责网络内所有移动Agent的派发、启动和停止,对入侵威胁做出判断。
响应:负责对主机与网络的入侵情况做出响应,执行相应的入侵处理操作,并与其他协同工作。
探测:对群内节点的事件告警进行复查,避免局部的误报、错报影响整个子群甚至全网的检测。
四、结束语
入侵检测是监视系统中违背系统安全策略行为的过程,本文对IDWG IDS模型做了改进,增加了采集器,分析器和管理器模块之间的交互。最后根据改进的模型设计了移动入侵检测系统,并对系统的各个功能模块做了定义。
参考文献
中图分类号:TP309文献标识码:A
文章编号:1004-373X(2010)19-0097-04
Research of Protocol Behavior Audit Technology Based on Regular Expressions
ZHANG Yun-ming1, WANG Yong-jun2
(1.Institute of Continuing Education, National University of Defense Technology, Changsha 410073, China;
2.Institute of Computer, National University of Defense Technology, Changsha 410073, China)
Abstract: The users′ behavior is analyzed and the audit is performed with the protocol behavior audit technology through the on-line analysis of the application layer protocol. The evidence is provided for monitoring network security by the protocol behavior audit, which realizes the purpose of enhancing the network security. The technology of the protocol behavior analysis is discussed emphatically with the regular expressions. A technology framework of the flexible and scalable protocol behavior audit is proposed. Based on the technology framework, a protocol behavior audit system was implemented for auditing the HTTP protocol, SMB protocol and TNS protocol. The process of using the technology of protocol behavior analysis based on regular expressions in this system is elaborated through the introduction of the detailed example. The testing results of the system verify the effectiveness of the protocol behavior audit technology based on regular expressions.Keywords: protocol behavior audit; regular expression; protocol analysis; security audit; information security
0 引 言
随着网络的应用普及,网络安全问题日益凸显,网络安全研究者从各种角度考虑来研究包括防火墙、病毒查杀、入侵检测、网络隔离、安全审计等在内的各种技术以增强网络的安全性。网络行为审计技术作为网络安全技术的必要组成部分,用于检测网络中的异常流量和活动并及时报警,在内网安全中发挥着重要作用。网络行为审计技术结合了网络管理中的流量分析技术和网络安全领域的协议分析技术,在国内很少明确提出,但是该技术在上网行为审计产品和数据库审计产品中得到体现。网络行为审计因为涉及范围广,本质上又是比较基础的深度包检测(Deep Packet Inspection,DPI)、深度/动态流检测(Deep/DynamicFlow Inspection,DFI)技术,目前出现几种应用对象更加专一的衍生技术,包括数据库行为监控、内容监控和过滤等。协议行为审计技术就是网络行为审计技术的延伸,利用网络行为审计的基本思想,着重于协议的行为分析和审计技术的应用,解决网络中应用层协议行为的深度检测和审计问题。
1 相关技术现状
1.1 网络安全审计
网络安全审计的概念并没有统一的认识[1]。安全审计[2]是指为了检查系统的控制是否足够,为了保证与已建立的策略和操作实施相符合,发现安全中的漏洞,以及为了建议在控制、策略和实施中做指定的改变,而对系统记录与活动进行的独立观察和考核。把安全审计限定在网络安全领域,以网络安全为目的的安全审计,就是网络安全审计。一般来说,网络安全审计包含日志审计和行为审计。日志审计是通过查看来自服务器、路由器、主机等网络中设备的各种日志从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。行为审计是通过对网络中数据包进行协议分析和还原,达到审计服务器、用户电脑、数据库、应用系统的审计安全漏洞、合法和非法或入侵操作、监控上网行为和内容、监控用户行为,确认行为的合规性,确保管理的安全。目前的网络安全审计产品众多,功能各有侧重,不尽相同,但基本都能够实现上网行为的审计。
1.2 行为分析技术
在计算机网络领域,行为分析主要有两种类型:用户行为分析和网络行为分析。用户行为分析是通过对包括用户登录、登录后的操作命令、运行的程序、访问的网络资源等应用层面的行为进行分析,主要从应用服务器、数据库、应用中间件、用户终端等位置去收集用户的行为信息。目前的内网管理设备可以检测到网络下载、即时通讯、上网浏览等用户行为。
网络行为分析[3]是对网络行为异常的探测,利用对网络的被动监测发现通讯和应用中违反安全策略的行为。网络行为分析试图把来自网络中尽量多节点的流动数据结合在一起来综合分析,发现和观察网络内部的具体情况。网络行为分析致力于摘取网络中关键性的能够反映网络行为信息,这些信息其他网络安全设备可能不进行分析。例如,通过监视网络的通讯流,网络行为分析能够发现网络中使用了禁止的协议,能够发现被病毒感染的笔记本电脑或者移动存储设备在防火墙后面的连接等。通过把当前的行为与以前的行为相比较,网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。网络行为分析主要是对网络的使用、连接和访问情况进行全局性的分析,从2008年开始,网络行为分析技术逐渐成熟,并且不断地衍生,成为其他新产品的必要技术组成部分。文献[4-7]分别从网络访问控制、网络管理、网络流量检测评估以及网络行为模拟等方面对网络行为分析的应用进行了研究。
1.3 协议行为审计
基于网络行为分析的网络行为审计技术主要关心网络流量、网络连接等网络层面上的行为[8],基于用户行为分析的审计技术则致力于从服务器、主机等网络设备的安全审计日志中分析用户行为。本文侧重于从网络协议本身入手、在线深度解析网络数据包内容、分析出协议行为、以最终达到审计用户活动为目的协议行为审计技术。
协议行为是指执行网络协议所产生的网络活动。协议行为能够准确反映用户在应用网络时的操作行为,所以对协议行为的在线分析能够准确监测到用户操作活动。
协议行为审计技术就是根据网络协议通过对网络数据包进行内容的解析实现对协议对应的网络活动的监测和记录技术。通过对审计数据深入研究还可以发现网络中的异常行为,进而可以采取相应措施进行阻止和控制,改善网络安全环境。协议行为审计技术的核心是在线进行协议解析并生成审计数据记录。
1.4 正则表达式在协议行为审计中的应用
正则表达式[9]是一种描述字符串结构模式的形式化表达方法,具有超强的结构描述能力。它的处理对象是类似字符串一样的对象序列,而围绕计算机所做的大多数工作,都归结为在这个序列上的操作,因此它在软件开发和日常数据处理工作中成为必不可少的工具,在协议识别[10]、报文深度检测中得到广泛应用[11]。正则表达式机制与传统的字符串特征匹配相比,具有匹配效率高,匹配条件灵活的优势。把这个特性用于协议内容的信息提取,结合协议解析技术,可以提高网络中协议行为审计的效率,因此,本文提出基于正则表达式的协议行为审计技术框架。
2 基于正则表达式的协议行为审计技术框架
2.1 总体框架
协议行为审计技术总体框架如图1所示。低层协议解析是指TCP/IP协议族中传输层及其以下的网络协议解析。审计规则检查模块基于可配置策略的协议行为审计考虑进行设计,策略是指可以由使用者指定的审计条件。审计数据生成模块根据协议解析和规则检查后的结果进一步分析提取,生成审计数据,并由审计数据记录模块存储。基于正则表达式的应用层协议解析引擎模块是协议行为审计的核心模块,完成应用层协议行为的分析并输出分析结果。
图1 协议行为审计技术总体框架
2.2 基于正则表达式的协议行为解析
总体框架中基于正则表达式协议行为解析引擎模块的工作流程图2所示。图中虚线左侧所示的是建立正则表达式描述库的过程,这是为解析引擎能够正常运行所做的准备工作,主要依赖于对各个协议标准的掌握和分析程度。图中虚线右侧所示的是解析引擎利用正则表达式描述库进行协议行为解析的过程。
应用层网络协议多种多样,几乎每一种网络应用都有各自的应用层协议,例如网络浏览使用HTTP协议,网络文件共享使用SMB协议。在这里,针对每个网络协议,用一组正则表达式进行描述,并不是描述出完整的协议标准,目的是在于能够以此从网络数据中提取到网络协议相关内容信息,用于分析网络协议行为。
图2 基于正则表达式的协议行为解析示意图
正则表达式选取是从正则表达式描述库中选择相应的网络协议描述子集,并根据该网络协议交互过程所处的阶段选取合适的正则表达式。匹配引擎是构造和运行正则表达式的机制,不同的匹配引擎匹配效率和结果会有不同。协议信息处理能够根据正则表达式提取出的内容信息分析出协议行为和状态,还可决定是否对这些内容信息继续用正则表达式引擎处理或者做其他有利于分析出协议行为的操作。
在该框架下,协议行为解析的能力由正则表达式描述库中可描述的协议多少决定,各个网络协议的正则描述子集互不干扰,并可以随意的添加和删除对某种网络协议的支持,具有灵活方便的可扩展性。
3 系统实现
3.1 系统介绍
根据以上技术理论和框架,实现了一个协议行为审计系统,该系统具有可配置的策略控制模块,能够根据策略的配置准确分析和详细记录协议行为,并且具有灵活的协议扩展架构。已完成的协议行为审计包括HTTP协议行为审计、SMB协议行为审计和Oracle数据库的TNS协议行为审计。
作为从网络安全角度考虑实现的HTTP协议行为审计,该系统实现了记录网页访问过程中的源和目的IP地址,源和目的端口,源和目的MAC地址以及访问网页的完整URL等信息的功能。对SMB协议行为的分析提供了记录网络中什么用户访问了网络中的什么资源、做了什么操作的能力,即当网络中有共享资源的访问发生时,系统可以记录源访问者的用户名、所访问的共享文件或文件夹的完整路径和名字,以及对文件或文件夹所作的具体操作操作。对TNS协议,实现了记录远程Oracle数据库访问过程中的用户名、数据库名、完整的SQL语句,以及分辨出对数据库做出的查询、修改等操作。
协议行为审计系统具有可配置的策略控制机制,能够根据不同的应用需求通过配置策略来灵活管理审计对象。该系统可以分别设定源地址对象、目的地址对象、源端口、目的端口等设定审计的对象,可以分别定制审计的开始日期时间和结束日期时间。针对HTTP协议的行为审计,还可以指定URL中的关键字作为审计条件进行关键字过滤。针对SMB协议可以指定用户名关键字过滤,文件路径关键字过滤,定制一种或多种操作作为审计条件。针对TNS协议可以指定用户名关键字、数据库名关键、SQL语句中的任意关键字进行关键字过滤,还可以定制一种或者多种数据库操作作为审计条件。当系统按照策略配置产生了审计数据后,会把审计数据记录到数据库中,并根据策略配置可以向界面控制程序产生声音报警,方便管理员及时进行人工判断和处理可疑的行为。
3.2 实例:TNS协议行为审计中的数据库名称的获取
基于TNS协议的Oracle数据库远程访问中,如果Oracle数据库版本不同,客户端与Oracle交互过程中数据库名称出现的时机和在数据包中的位置也不相同。协议行为审计系统可以支持Oracle 9i数据库和Oracle 11g数据库两个版本。现在,以Oracle 9i数据库为例来说明如何利用正则表达式解析TNS协议的内容并从中获取数据库名。
在对TNS协议解析时,系统中把TNS协议的交互过程划分为五个状态,每个状态代表了TNS交互过程进入了某个阶段。针对数据库名在TNS的Connect类型数据包所在的位置,制定正则表达式:“.*SERVICE_NAME=([a-zA-Z0-9_\\.]+)”,这个表达式总是能够找到数据包中在关键字“SERVICENAME=”后面紧随着的数据库名,这个数据库名包含的合法字符包括大小写英文字母、数字和“”,“.”两个特殊字符。在初始化状态时,系统对收到的TNS数据包的数据部分执行上述的正则表达式,直到正则表达式正确地获得了数据库用户名,系统把这个用户名存储到TCP会话所绑定的数据结构中,并把状态更改为已获取数据库名的状态。随后系统会对TNS协议交互过程做进一步解析,当协议解析达到了可以表明已经成功连接的状态时,系统才可以确定已经正确的获得了正在被访问的数据库名称。
3.3 系统测试
协议行为审计系统在一个由交换机、Oracle 9i数据库服务器、Web服务器、几台测试主机和Avalanche网络测试仪组成的局域网中进行了功能和性能的全面测试。协议行为审计系统通过把系统的数据包捕获接口连接到交换机的镜像口接入到这个网络。测试结果表明:协议行为审计系统运行良好,在功能方面,完全满足设计要求;在性能方面,HTTP协议行为审计在同时有1 000个HTTP连接和百兆流量的网络背景下,按照策略配置要求审计指定网络地址和URL关键字的Web访问行为,成功率达到99%,TNS协议行为审计和SMB协议行为审计在百兆带宽的流量背景下审计成功率也都能够达到99%以上。
4 结 语
针对网络安全的研究不断深入,但是网络安全事件的发生从未停止,安全现状令人堪忧。这里提出的协议行为审计技术,能够用于网络中的用户行为监控和审计,为及时发现网络中的非法行为提供了一种解决方案。正则表达式在协议行为解析中的运用,增加了协议行为审计的效率和准确性。实现的针对三种协议的协议行为审计系统在测试环境中运行良好,为协议行为审计技术的研究提供了很好的实用范例。针对协议行为审计系统的进一步研究可着眼于利用数据挖掘技术对审计数据的分析上。
参考文献
[1]ZHANG Jun-liang, FANG Ding-yi. LIU Li. Intelligent content filtering model for network security audit system[C]//2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 546-548.
[2]戴宗坤.信息安全实用技术[M].重庆:重庆大学出版社,2005.
[3]江泓,何恩.行为分析技术及其在可信网络中的应用前景[J].信息安全与通信保密,2009(2):67-69.
[4]FRIAS-MARTINEZ V, SHERRICK Joseph, STOLFO Salvatore J. A network access control mechanism based on behavior profiles[C]//2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 3-12.
[5]ZENG Bin, ZHANG Da-fang, LI Wen-wei. Design and implementation of a network behavior analysis-oriented IP network measurement system[C]//2008 First International Workshop.[S.l.]: IEEE Computer Society, 2008: 374-379.
[6]PAN Yan-hui, WANG Tao. Network traffic emulation based on representative network behavior and protocol. 2009 Second International Workshop.[S.l.]: IEEE Computer Society, 2009: 1777-1780.
[7]KIM Taekyu. Ontology/data engineering based distributed simulation over service oriented architecture for network behavior analysis[M]. Arizona: University of Arizona, 2008.
[8]李军,曹文君,李杨.FB-NBAS:一种基于流的网络行为分析模型[J].计算机工程,2008,34(3):165-166.
[9]Jeffrey E F Friedl.精通正则表达式[M].余晟,译.北京:电子工业出版社,2009.
一、对客户局域网和INTRANET的审计
计算机网络审计是电子数据处理环境下的审计(EDP审计)的进一步发展。EDP环境与手工处理相比具有以下几个方面的特征:(1)在组织结构方面,功能与知识、程序和数据的集中化;(2)输入的书面文件减少,缺乏可见形式的业务踪迹,缺乏可见形式的输出;(3)数据处理过程具有运行的连惯性、内控的程序化、业务处理的系统性等特点。在网络环境下,数据传输更加迅速,业务文档更加缺乏可见性;而且由于资源的共享性,数据信息的存储和处理更加脆弱。以上都决定了数据处理的内部控制及系统的可靠性、安全性、效率性处于突出的重要位置。在这里,数据处理的内部控制主要指企业针对网络环境下的会计信息系统而设置的以保护资产安全性与信息真实性为目的的控制措施,诸如职责分离、授权控制、职务轮换等,它属于组织方面的内容。而系统可靠性、安全性、效率性等(简称系统性能)则是针对网络系统正常运行进行评价、检测及管理工作,它属于计算机技术方面的内容。实际上,这两方面是密切联系、相辅相成的。一个再好的计算机系统,如果内部控制薄弱,则信息处理很容易遭到内部人员篡改、破坏;一个好的内部控制环境,离开性能良好的计算机系统同样漏洞百出、易受病毒感染,难以有效运行。事实上一个性能良好的系统就等于会计信息系统有了良好的“机内控制”,二者不可相互替代。因此,在网络环境下,收集与评价计算机网络内部控制及系统性能方面的审计证据对正确发表审计意见,降低审计风险起着重要作用。
局域网就是某一个组织在有限的范围内使用的网络,这个网络使用户能够共享信息和技术。lntranet实际上就是模拟Internet技术建立在公司内部的因特网,就是由公司内部局域网连接起来组成的广域网。Intranet可以使那些规模巨大、拥有众多分支机构的大公司方便地实现在内部分布信息、充分利用现有的数据库、作为销售工具及促进统一的研究与开发等功能。对Intranet来说,建好内部的局域网仍是其核心。
对于作为公司会计信息系统组成部分的局域网和Intranet的审计无外乎两个方面,即符合性测试和实质性测试。对于前者来说,上述系统性能评价与内部控制评价是审计测试的重点。局域网系统性能评价包括可靠性、安全性、效率性等方面的研究和评价。可靠性涉及查找网络问题、报告网络错误即存档方面的控制;安全性包括防止网络被未经授权的用户访问、防止计算机病毒入侵等;效率性要求维护网络软硬件、保证网络高效率性能,且使其服务不致恶化。内部控制评价则要求在网络环境下着重关注以下几个方面:①不相容职责的重新定义和岗位的重新划分;②职务定期轮换和密码口令的定期更换;③重要信息接触的授权、重要文件的备份和操作权限的明确等;④加强内部审计监督。审计人员应充分考虑到在分布式处理环境下会计处理分散化、成本效益考虑给内部控制带来的困难,并分析内部控制的缺陷及其可能带来的对会计报表项目金额的影响。
在实质性测试方面,审计人员可以利用审计软件和测试资料来验证局域网系统是否有效运行。单机环境下的审计软件已难适应网络环境需要,审计师应开发出专用的网络版审计软件在客户网上运行,以查询、核对、摘取会计数据以供进一步调查之用。在传统的单机环境下,审计人员可以采用模拟数据法和虚构单位法(即设计虚拟数据和虚拟单位运行于计算机系统之上,然后将其结果与处理结果对比,以观察计算机程序是否有效)。但在网络环境下,由于(1)网络系统持续运行使其难以停下来接受测试;(2)虚拟数据的运行会改变客户数据记录并给系统带来差错且可能遭到被审单位拒绝——两方面原因,这两种方法用之于审计测试将受到很大阻碍。另外检查程序代码法、并行模拟法都将会遇到困难。如何在网络环境下开发出合适的系统测试方法需要进一步深入研究。另一方面,黑箱式的、绕过计算机网络系统的审计技术可能会重新得到应用和发展。
二、建设专业网络服务于注册会计师审计
计算机网络作为审计的技术手段有着广阔的应用前景。由于客户广泛的经济联系,诸如与顾客和供货商的债权债务关系、与股东和债权人的投融资关系、与政府的征纳税关系、与分支机构的管理与被管理关系等,要验证经济业务的真实性、合法性就必须超越客户范围,与客户的各方关系人联系以获取可靠的审计证据。在传统的审计环境下,为获取这些证据要么花费较长的时间,要么导致较高的审计成本。如果客户与其关联各方及注册会计师之间存在完善的计算机网络,则取证工作及与客户的交流将更易实现,笔者认为,可通过利用Internet及建设专业网络的方式,在以下几个方面提高效率:
1.事务所——客户的网络联系在执业过程中,外勤是注册会计师工作最重要的内容。由于获取实物证据的需要,即使存在完备的网络系统,CPA也不可能实现足不出户的审计,但是大量的与客户之间的交流工作及对审计过程的质量督导都可以通过网络来完成。初步了解审计客户的工作及外勤工作结束后对一些事项处理的意见交换都可在网上进行。这就需要CPA之间传递数据信息的计算机网络。
2.在Internet函证注册会计师在审计过程中,需要向客户的债权债务方发函证实往来账户的余额。实际上,银行存款余额、异地在途存货及分期收款销货、对外投资等都需要向第三方函询证实,函证是审计证据中重要的一部分。然而在手工条件下的函证,不仅费时费力而且回函率极低,以至于在我国函证几乎成为一种无效的审计方法。如果绝大多数企业都有网址,则通过Internet在网上发送E-mai1,即可实现传统的函证工作,而且注册会计师可以迅速及时地得到回函。数字签名技术的出现,使计算机网络中传递文件的真实性得到了验证,也使通过网络取得的证据具备了合法性。电子形式的回函能否成为有效的审计证据,还需进一步研究与规范,通过E-mail函证还需要网络技术发展的支持和法律法规及准则的规范。
办公网络面临的内部安全威胁
正如我们所知道的那样,70%的安全威胁来自网络内部,其形式主要表现在以下几个方面。
内部办公人员安全意识淡漠
内部办公人员每天都专注于本身的工作,认为网络安全与己无关,因此在意识上、行为上忽略了安全的规则。为了方便,他们常常会选择易于记忆但同时也易于被猜测或被黑客工具破解的密码,不经查杀病毒就使用来历不明的软件,随便将内部办公网络的软硬件配置、拓扑结构告之外部无关人员,给黑客入侵留下隐患。
别有用心的内部人员故意破坏
办公室别有用心的内部人员会造成十分严重的破坏。防火墙、IDS检测系统等网络安全产品主要针对外部入侵进行防范,但面对内部人员的不安全行为却无法阻止。一些办公人员喜欢休息日在办公室内上网浏览网页,下载软件或玩网络游戏,但受到网络安全管理规定的限制,于是绕过防火墙的检测偷偷拨号上网,造成黑客可以通过这些拨号上网的计算机来攻入内部网络。而有些办公人员稍具网络知识,又对充当网络黑客感兴趣,于是私自修改系统或找到黑客工具在办公网络内运行,不知不觉中开启了后门或进行了网络破坏还浑然不觉。更为严重的是一些人员已经在准备跳槽或被施利收买,办公内部机密信息被其私自拷贝、复制后流失到外部。此外,还有那些被批评、解职、停职的内部人员,由于对内部办公网络比较熟悉,会借着各种机会(如找以前同事)进行报复,如使用病毒造成其传播感染,或删除一些重要的文件,甚至会与外部黑客相勾结,攻击、控制内部办公网络,使得系统无法正常工作,严重时造成系统瘫痪。
单位领导对办公网络安全没有足够重视
有些单位对办公网络存在着只用不管的现象,有的领导只关心网络有没有建起来,能否连得上,而对其安全没有概念,甚至对于网络基本情况,包括网络规模、网络结构、网络设备、网络出口等概不知情。对内部办公人员,公司平时很少进行安全技术培训和安全意识教育,没有建立相应的办公网络安全岗位和安全管理制度,对于黑客的攻击和内部违规操作则又存在侥幸心理,认为这些是非常遥远的事情。在硬件上,领导普遍认为只要安装了防火墙、IDS、IPS,设置了Honeypot就可以高枕无忧。而没有对新的安全技术和安全产品做及时升级更新,对网络资源没有进行细粒度安全级别的划分,使内部不同密级的网络资源处于同样的安全级别,一旦低级别的数据信息出现安全问题,将直接影响核心保密信息的安全和完整。
缺乏足够的计算机网络安全专业人才
由于计算机网络安全在国内起步较晚,许多单位缺乏专门的信息安全人才,使办公信息化的网络安全防护只能由一些网络公司代为进行,但这些网络安全公司必定不能接触许多高级机密的办公信息区域,因此依然存在许多信息安全漏洞和隐患。没有内部信息安全专业人员对系统实施抗攻击能力测试,单位则无法掌握自身办公信息网络的安全强度和达到的安全等级。同时,网络系统的漏洞扫描,操作系统的补丁安装和网络设备的软、硬件升级,对办公网内外数据流的监控和入侵检测,系统日志的周期审计和分析等经常性的安全维护和管理也难以得到及时的实行。
网络隔离技术(GAP)初探
GAP技术
GAP是指通过专用硬件使两个或两个以上的网络在不连通的情况下进行网络之间的安全数据传输和资源共享的技术。简而言之,就是在不连通的网络之间提供数据传输,但不允许这些网络间运行交互式协议。GAP一般包括三个部分:内网处理单元、外网处理单元、专用隔离交换单元。其内、外网处理单元各拥有一个网络接口及相应的IP地址,分别对应连接内网(涉密网)和外网(互联网),专用隔离交换单元受硬件电路控制高速切换,在任一瞬间仅连接内网处理单元或外网处理单元之一。
GAP可以切断网络之间的TCP/IP连接,分解或重组TCP/IP数据包,进行安全审查,包括网络协议检查和内容确认等,在同一时间只和一边的网络连接,与之进行数据交换。
GAP的数据传递过程
内网处理单元内网用户的网络服务请求,将数据通过专用隔离硬件交换单元转移至外网处理单元,外网处理单元负责向外网服务器发出连接请求并取得网络数据,然后通过专用隔离交换单元将数据转移回内网处理单元,再由其返回给内网用户。
GAP具有的高安全性
GAP设备具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计和身份认证等安全功能。由于GAP断开链路层并切断所有的TCP连接,并对应用层的数据交换按安全策略进行安全检查,因此能够保证数据的安全性并防止未知病毒的感染破坏。
使用网络隔离技术(GAP)进行内部防护
我们知道,单台的计算机出现感染病毒或操作错误是难以避免的,而这种局部的问题较易解决并且带来的损失较小。但是,在办公信息化的条件下,如果这种错误在网络所允许的范围内无限制地扩大,则造成的损失和破坏就难以想象。因此,对办公内部网络的安全防范不是确保每一台网络内的计算机不发生安全问题,而是确保发生的安全问题只限于这一台计算机或这一小范围,控制其影响的区域。目前,对内网采取“多安全域划分”的技术较好地解决了这个问题,而GAP系统的一个典型的应用就是对内网的多个不同信任域的信息交换和访问进行控制。因此,使用GAP系统来实现办公内网的“多安全域划分”,是一个比较理想的方法。
“多安全域划分”技术
“多安全域划分”技术就是根据内网的安全需求将内网中具有不同信任度(安全等级)网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制内网中不同信任度网络间的相互访问。这样,即使某个低安全级别区域出现了安全问题,其他安全域也不会受到影响。
利用网络隔离技术(GAP)实现办公内网的“多安全域划分”
首先,必须根据办公内网的实际情况将内网划分出不同的安全区域,根据需要赋予这些安全区域不同的安全级别。安全级别越高则相应的信任度越高,安全级别较低则相应的信任度较低,然后安全人员按照所划分的安全区域对GAP设备进行安装。系统管理员依照不同安全区域的信任度高低,设置GAP设备的连接方向。GAP设备的内网处理单元安装在高安全级别区域,GAP设备的外网处理单元安装在低信任度的安全区域,专用隔离硬件交换单元则布置在这两个安全区域之间。内网处理单元高安全级别区域(假设为A区域)用户的网络服务请求,外网处理单元负责从低安全级别区域(设为B区域)取得网络数据,专用隔离硬件则将B区域的网络数据转移至A区域,最终该网络数据返回给发出网络服务请求的A区域用户。这样,A区域内用户可通过GAP系统访问B区域内的服务器、邮件服务器、进行邮件及网页浏览等。同时,A区域内管理员可以进行A区域与B区域之间的批量数据传输、交互操作,而B区域的用户则无法访问A区域的资源。这种访问的不对称性符合不同安全区域信息交互的要求,实现信息只能从低安全级别区域流向高安全级别区域的“安全隔离与信息单向传输”。
这样,较易出现安全问题的低安全区(包括人员和设备)就不会对高安全区造成安全威胁,保证了核心信息的机密性和完整性。同时,由于在GAP外网单元上集成了入侵检测和防火墙模块,其本身也综合了访问控制、检测、内容过滤、病毒查杀,因此,GAP可限制指定格式的文件,采用专用映射协议实现系统内部的纯数据传输,限定了内网局部安全问题只能影响其所在的那个安全级别区域,控制了其扩散的范围。
“多安全域划分”的防护效果
由于GAP实现内网的信任度划分和安全区域设定,使办公内网的安全性极大提高,办公内网易出现的安全问题得到有效控制。
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
