企业网络及应用层安全防护技术精要

企业网络及应用层由于网络的开发性、网络协议等自身设计的薄弱和脆弱性以及由于经济利益驱动而导致的黑客技术的攻击性和目标性的不断增强等原因,经受着来自网络和应用等多层次、多方面的网络威胁和攻击。可以说,企业网络信息安全能否得以保障,在绝大程度上取决于这个层次的安全防护技术的部署,本文将从企业网络及应用层面临的网络威胁出发,阐述该层所必需的一些安全防护技术。为各位的企业信息安全管理提供可靠的依据。

原文请见我的专题:http://netsecurity.51cto.com/art/201101/242803.htm

1、企业网络及应用层面临的网络威胁

最近的研究表明,安全问题是企业目前面临的最大挑战。来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难,并最终影响企业的盈利能力和客户满意度。此外,中小型企业还要注意遵从为了保护消费者隐私和保障电子信息安全而制定的各种法律法规。

1.蠕虫和病毒

计算机蠕虫和病毒是最常见的一类安全威胁。调查显示,去年有75%的中小型企业感染过一种以上的病毒。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性,其传播速度也更快,甚至能在片刻间感染整个办公场所,而要清除被感染计算机中的病毒所要耗费的时间也更长。可能造成的严重后果包括遗失订单、破坏数据库和降低客户满意度。虽然企业可以通过给计算机安装防病毒软件和升级操作系统补丁来加以防范,但是新病毒仍会随时突破这些防线。同时,公司员工也可能通过访问恶意网站、下载不可靠的资料或打开含有病毒代码的电子邮件附件在不经意间传播病毒和间谍软件,进而给企业造成巨大的经济损失。网络安全系统必须能够在网络的每一点对蠕虫、病毒和间谍软件进行检测和防范。

2.信息窃取

信息窃取是一个大问题。网络黑客通过入侵企业网络盗取客户的信用卡和社会保障号码而牟利。相对于大型企业,中小型企业的防范措施较弱因而更易遭受攻击。仅仅在物理周边加强防范还远远不够,因为黑客可能会伙同公司内部人员,如员工或承包商,一起作案。信息窃取会对中小型企业的发展造成严重影响,因为它会破坏中小型企业赖以生存的企业商誉和客户关系。此外,没能采取充分措施保障信息安全的企业也可能会面临负面报道、政府罚金和法律诉讼等问题。例如,美国加利福尼亚州在新出台的消费者权益保护法中规定,任何企业在发现自己的客户信息泄漏给非授权人员后必须马上通知所有的客户。任何安全策略必须能够在企业内部和外部对敏感的电子信息进行保护。

3.业务有效性

计算机蠕虫和病毒会严重影响企业网络的可靠性,进而影响企业对客户请求的响应速度。然而,蠕虫和病毒并不是威胁业务有效性的唯一因素。随着企业运营与网络越来越密不可分,网络恐怖分子以破坏公司网站和电子商务运行为威胁,对企业进行敲诈勒索。其中,以DoS(拒绝服务)攻击为代表的网络攻击会占用关键网络组件的大量带宽,使其无法正常处理用户的服务请求。结果是灾难性的:数据和订单丢失,客户请求被拒绝。而当被攻击的消息公之于众后,企业的声誉也会受到影响。虽然见诸报端的DoS攻击主要发生在银行和全球500强企业,但实际上中小型企业由于自身较弱的防范能力而更易遭到攻击。此外,其他攻击形式也会影响中小型企业的业务有效性,并进而影响企业的盈利能力和客户满意度。例如,资源窃取攻击会入侵企业的计算机和网络,并利用这些设备进行非法的文件(如音乐、电影和软件)交换服务。然而企业很难发现这种安全漏洞,它们的计算机和网络响应客户请求的速度会大打折扣,而且还会因参与非法的文件交换而面临法律诉讼的危险。

4.垃圾邮件

2006年最后一个季度垃圾邮件猛增,这在很大程度是由于基于图像的垃圾邮件可以逃避大部分反垃圾邮件过滤器造成的。由于发送大量垃圾邮件的成本很低–特别是通过"僵尸网络"(botnet)。因此,网络犯罪将更多地采用这种介质发布木马病毒。

2、拒绝服务攻击防护技术

DoS的英文全称是Denial of Service,也就是"拒绝服务"的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS是一种很简单但又很有效的进攻方式。其目的就是拒绝你的服务访问,破坏服务器的正常运行,最终会使用户的部分Internet连接和网络系统失效。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程是:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。

DDoS(分布式拒绝服务),其英文全称为Distributed Denial of Service,是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎和政府部门的站点。通常,DoS攻击只要一台单机和一个MODEM就可实现,与之不同的是DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。

拒绝服务攻击攻击很难解决。首先,被用来探测DDoS和DoS击的网络流没有统一的特征;其次,DDoS布式特性使得它们极难被抵抗或追踪;再次,配置拒绝服务攻击的自动化的工具可以非常容易的下载得到,攻击者也可以使用IP伪装技术来隐藏他们的真实身份,这就导致拒绝服务攻击的追踪更加困难。当前,较为成熟和可用的决绝服务攻击防护技术包括:

(1)入侵预防:对所有攻击最好的缓解策略就是完全拦截这些攻击。这个阶段首先是要阻断已经发动的DoS攻击,有许多DoS防御机制试图使系统免遭DoS攻击:

I)入口过滤:设置一个路由器来禁止带有非法源地址的包进入网络;

II)出口过滤:确定了离开网络的分配的地址空间;

III)基于历史的IP地址过滤:可以利用边路由器根据之前建立的地址数据库根据路由器之前的连接历史来允许包进入。

(2)关闭不使用的服务:通常如果网络服务不需要或没有使用,则可以关闭这些服务来阻止攻击发生的可能。

(3)应用安全补丁。

(4)负载平衡:使网络提供方在重要的连接上增加带宽,并防止万一攻击发生时带宽下降。

(5)使用蜜罐:是具有一定安全性的系统,用来欺骗攻击者来攻击蜜罐而不是真正的系统。

3、垃圾邮件防护技术

随着Internet的发展,电子邮件作为一种通信方式逐渐普及。当前电子邮件的用户已经从科学和教育行业发展到了普通家庭中的用户,电子邮件传递的信息也从普通文本信息发展到包含声音、图像在内的多媒体信息。电子邮件的廉价和操作简便在给人们带来巨大便利的同时,也诱使有些人将之作为大量散发自己信息的工具,最终导致了互联网世界中垃圾邮件的泛滥。垃圾邮件问题已经极大地消耗了网络资源,并给人们带来了极大的不便。据中国互联网协会(ISC)2005年第一次反垃圾邮件状况调查显示,中国邮件用户2005年4月平均每人每天收到邮件16.8封,占收到邮件总数的60.87%。

(1)SMTP用户认证

这是目前最常见、最简单并且十分有效的方法。在邮件传送代理(Mail Transport Agent,MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用,又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证,则在不牺牲安全的前提下,设立面向互联网的Web邮件网关也是可行的。此外,如果SMTP服务和POP3服务集成在同一服务器上,在用户试图发信之前对其进行POP3访问验证就是一种更加安全的方法,目前,新浪等大型网站都相继采用了该功能,使得这些大型服务商的服务器被利用来发送垃圾邮件的概率大大降低,同时,在应用的时0候当前支持这种认证方式的邮件客户端程序比较出色的是FoxMail。

(2)逆向DNS解析

无论哪一种认证,其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用,但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题,最简单有效的方法是对发送者的IP地址进行逆向名字解析,即通过DNS查询来判断发送者的IP与其声称的名字是否一致,例如,其声称的名字为 pc.sina.com,而其连接地址为120.20.96.68,与其DNS记录不符,则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件,对于某些使用动态域名的发送者,也可以根据实际情况进行屏蔽。但是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此,更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。需要指出的是,逆向名字解析需要进行大量的DNS查询。这样,在网络中将会出现大量的UDP数据包。

(3)黑名单过滤

黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库,最著名的是RBL、DCC和Razor等。这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址,供MTA进行实时查询以决定是否拒收相应的邮件。简单地说,即数据库中保存的IP地址或者域名都应该是非法的,都应该被阻断。但是,目前各种黑名单数据库难以保证其正确性和及时性,一般该名单的形成需要一段时间的积累。例如,曾经一段时期,北美的RBL和DCC包含了我国大量的主机名字和IP地址,其中有些是早期的Open Relay造成的,有些则是由于误报造成的。但这些迟迟得不到纠正,在一定程度上阻碍了我国与北美地区的邮件联系,也妨碍了我国的用户使用这些黑名单服务。

(4)白名单过滤

白名单过滤是相对于上述的黑名单过滤来说的。它建立的数据库的内容和黑名单的一样,但是其性质是:库中存在的都是合法的,不应该被阻断。同样,该过滤方法存在的缺点与黑名单类似,也是更新和维护难以达到实时,一些正常的、不为系统白名单所收集的邮件有可能被阻断。从应用的角度来说,在小范围内使用白名单是比较成功的,可以通过在企业或者是公司的网关处通过一段时间内获取由内部发出的邮件的相关信息的办法来生成白名单。

(5)内容过滤

即使使用了前面诸多环节中的技术,仍然会有相当一部分垃圾邮件漏网。对此情况,目前最有效、最根本的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是,结合内容扫描引擎,根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是,基于贝叶斯概率理论的统计方法、支持向量机(SVM)方法、人工神经网络、Winnow等方法所进行的内容过滤,这些方法的理论基础是通过对大量垃圾邮件中常见关键词等采用上述方法进行机器学习后分析后得出其分布的统计模型,并由此推算目标邮件是垃圾邮件的可能性。这些方法具有一定的自适应、自学习能力,目前已经得到了广泛的应用。最有名的垃圾邮件内容过滤是Spamassassin,它使用Perl语言实现,集成了以上两种过滤方法,可以与当前各种主流的MTA集成使用。内容过滤是以上所有各种方法中耗费计算资源最多、最有效的办法,在邮件流量较大的场合,需要配合高性能服务器使用。

4、病毒防护技术

对于当今网络来说,病毒和蠕虫成为了一对"孪生兄弟",两者几乎总会同时出现,而且对企业网络及其应用系统造成的危害也是非常致命的。从病毒的发展过程我们可以看出病毒有如下的发展趋势:

◆病毒向有智能和有目的的方向发展

◆未来凡能造成重大危害的,一定是"蠕虫"。"蠕虫"的特征是快速地不断复制自身,以求在最短的时间内传播到最大范围。

◆病毒开始与黑客技术结合,他们的结合将会为世界带来无可估量的损失

◆从Sircam、"尼姆达"、"求职信"、"中文求职信"到"中国黑客",这类病毒越来越向轻感染文件、重复制自身的方向发展。

◆病毒的大面积传播与网络的发展密不可分

◆基于分布式通信的病毒很可能在不久即将出现

◆未来病毒与反病毒之间比的就是速度,而增强对新病毒的反应和处理速度,将成为反病毒厂商的核心竞争力之一。

当今有几种典型反病毒技术:

◆特征值技术:所谓特征值查毒法,就是在获取病毒样本后,提取出其特征值,然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值,这说明感染了这种病毒,然后针对性地解除病毒;

◆虚拟机技术:随着病毒技术的发展,加密技术渐渐成熟起来,很多病毒的特征都在那么容易提取。这样,虚拟机杀毒技术出现,所谓虚拟机技术,就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,看看他的执行效果。由于加密的病毒在执行时最终还是要解密的。这样,在其解密之后我们可以通过特征值查毒法对其进行查杀;

◆启发式扫描技术:新病毒不断出现,传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了。一个病毒总存在其与普通程序不一般的地方,譬如他会格式化硬盘,重定位,改回文件时间,修改文件大小,能够传染等等,通过在各个层面进行病毒属性的确定和加权,就能发现新的病毒;

◆计算机病毒疫苗:"计算机病毒免疫"发源于生物免疫技术,就象为动物注射某种病毒的免疫疫苗后可以对此病毒产生自然抵抗能力一样。"计算机病毒免疫"就是一种具有类似特点的技术,它的设计目标是不依赖于病毒库的更新而让电脑具有对所有病毒的抵抗能力。普通防毒软件的最大缺点是总要等到病毒出现后才能制定出清除它的办法,并且还要用户及时的升级到新的病毒库。这就让病毒有更多的机会去蔓延传播,而病毒免疫则完全打破这种思路,它可以让电脑具有自然抵抗新病毒的能力,当有新病毒感染计算机系统时不用升级病毒库而同样可以侦测出它。