1、信息安全解决方案中国电信股份有限公司北京研究院 胡捷首先应该明确,以计算机网络为代表的信息安全,永远是被动的安全,而且没有绝对的安全。这是由于 TCP/IP 与生俱来的协议缺陷和开放、简单、共享及尽力传递等诸多特性决定的。安全和攻击是相辅相成的,而且人们是随着攻击技术的进步、对攻击原理机制的了解而不断提高抵御攻击的能力,从而逐步完善信息系统的安全措施。针对不同的信息安全领域,应采用不同的解决方案,目前来看,信息系统的安全措施可以分为七个方面:防病毒、隐患扫描、入侵检测、防火墙、加密、认证授权、安全管理与维护。1病毒是最早出现的信息系统安全隐患。现有计算机系统软硬件体系结构无法避免病毒对信息系统
2、的危害。防病毒主要通过软件执行,是通过对计算机系统中的文件进行代码扫描来实现的,防病毒软件需要具备病毒特征库,扫描的过程就是将文件代码与病毒特征库进行比对的过程。由于新的病毒层出不穷,因此防病毒软件需要及时更新病毒特征库。现有的防病毒软件基本上都是通过互联网进行升级。国内成熟的软件有金山毒霸、瑞星、江民等,国外有 McAfee、Norton 或 Symantec。2隐患扫描系统又称漏洞扫描、安全扫描等,系统管理员用它来保障系统安全的有效工具,但是黑客靠它来收集网络重要信息。由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏洞层出不穷,由于系统管理员的疏忽或缺乏经验,导
3、致旧有的漏洞依然存在。另外操作系统过于庞大和复杂,导致用户对系统更新及补丁程序下载不能及时进行,这些信息系统都是以支持 TCP/IP 协议栈为基础,系统漏洞都可以通过对 TCP/IP 协议栈的探测得知,如基本的操作系统类型、版本、后台进程等信息。黑客正是利用这种协议特性,赶在时间差内向存在漏洞的系统发起攻击。因此人们需要一种类似黑客入侵系统,提前对网络的安全性进行探查,预先得知网络何处存在隐患,可以及时对系统进行升级、更新、或者关闭某些端口和进程,从而达到防范的目的。同防病毒程序类似,网络扫描系统必须具备漏洞扫描库,对系统进行端口扫描的过程类似于防病毒程序对文件代码的扫描过程,漏洞库必须及时更
4、新。目前比较成熟的网络隐患扫描系统是榕基和安氏公司的网络安全扫描系统。3入侵检测系统属于对正在入侵的行为进行探测和告警,以引起系统管理员的注意使之能及时采取措施。与防病毒和隐患扫描不同,后者主要是事前防范,入侵检测属于事中防范,是对事前防范的有效补充。入侵检测的原理是对网络中异常的数据流量和用户上网行为进行跟踪和鉴别,如端口扫描探测、TCP 半连接建立频率、ICMP 传输速率、远程登录系统次数、密码输入次数、异常调用数据、异常系统操作等行为。一旦某个行为的频率超过预先设定的阈值,可认为网络正在遭受攻击,入侵检测系统可立即采用声光告警和系统日志等多种手段及时通知系统管理员,使入侵带来的损失降到最
5、小。成熟的入侵检测如思科的 IDS 系统。防病毒、隐患扫描及入侵检测这三种解决方案主要是针对计算机操作系统及应用软件而采用的安全措施。计算机操作系统的安全级别在美国国家计算机安全中心 NCSC 桔皮书中给与明确,由高到低分别为:A1-B3-B2-B1-C2-C1-D ,在这 7 个安全级别中,全世界达到B3 的系统只有一两个,达到 A1 级别的操作系统目前还没有。操作系统安全是当前信息系统最重要也是最复杂的安全问题。我们所熟悉的 Win 95 为 D 安全级别,Novell 为C1。Windows NT(包括 Win 2000 和 Win XP)具备 C2 级安全能力。一直作为 Interne
6、t 支撑操作系统而存在的 UNIX(HP unix、IBM AIX、Sun solaris 等)属于 B1 安全级别。由于UNIX 和 NT 作为网络操作系统,具有广泛的开放性(部分源代码是公开的) ,系统发展中一些不可避免的安全漏洞就必然暴露于网络黑客前并被广泛传播,从而造成很多安全问题。我们经常听说的网站主页被篡改、用户安全数据库被窃取、系统 Root 口令被盗、木马、恶意脚本等攻击现象,都是由计算机操作系统软件的不安全因素引起的。4防火墙是比较成熟的网络安全设备和措施。防火墙的原理是策略控制,通过对端口的开放和关闭决定内部网络可提供哪些业务。完善的网络安全整体解决方案中,应该把防火墙和网
7、络隐患扫描及入侵检测系统配合使用。防火墙不能完全杜绝入侵。如果一个系统需要对外提供 Web 访问、DNS 解析、E-mail 收发业务,那么防火墙就必须打开 TCP 80、UDP 53 和 TCP 25/UDP 110 端口,此时黑客仍然可以利用应用软件和系统的高层漏洞进行攻击。严格来说,防火墙最多只打开协议的第四层,对上层数据隐含的恶意行为是无能为力的。当然现在的防火墙设备正不断进行改进,而且各种安全防护技术相互进行交叉和渗透,在传统意义上的防火墙上增加入侵检测、七层协议分析(如阻止垃圾邮件甚至防病毒) 、加密等功能,甚至提供认证授权、增强抵御 D.O.S 攻击的配置和特性都已经实现。流行的
8、防火墙产品如思科 PIX、Net Screen、Check Point 等。5加密以 IPSec 技术为主,它主要是解决信息系统在数据传输过程中的安全防护。信息在网络中传递,数据在途中有可能被窃听、修改、破坏,也有可能黑客将数据中途拦截,与用户建立虚假连接,导致用户关键数据向外人开放。为了解决网络层(L3 层)数据传递过程中的安全问题,产生了 IPSec 技术。IPSec 报头主要由 AH(Authentication Head) 和 ESP(Encapsulating Security Payload)两部分组成。AH 和 ESP 可以单独使用,也可以配合使用。AH 可以证明数据发送的源端合
9、法性,ESP 主要功能为保证数据的机密和完整性。IPSec 的实现方式是在原 IP 数据包内添加 IPSec 报头,对原 IP 数据包进行封装或标记处理,从而实现 IPSec 的两种工作模式:传输模式(IPSec 报头作为标记插入 IP 数据包结构中)和隧道模式(IPSec 报头将原 IP 数据包进行完整封装) 。两种模式分别适用于端到端的主机之间相互通信以及 Site to Site 网关之间的相互通信;传输模式如下图:原 IP 报头 AH ESP 原 IP 数据包的 Payload(Data)传输模式通常只适用于端到端的 IPSec 加密,即提供两台主机跨越 IP 网络之间的加密通信。隧道
10、模式如下图:新 IP 报头 AH ESP 原 IP 报头 原 IP 数据包的ayload(Data)隧道模式适用于分别通过网关设备连接到 IP 网络的两个站点(Site)之间的点到点加密通信,网关设备可以是防火墙或路由器。为了适应电子商务等新应用对互联网安全提出的新要求,还产生了 CA 认证中心的应用模式。IPSec 和 CA 可以联动,采用了大量相关的加密(包括对称加密和非对称加密) 、数字签名、授权和认证技术,还有 PKI(Public Key Infrastructure)和 IKE(Internet Ksy Exchange)等相关概念;为了解决传输层(L4 层)数据安全,人们采用了
11、SSL(Secure Socket Layer)加密技术,SSL 在 L3 上透明传输,主机软件已经将传输层以上的数据加密,作为净负荷,通过 IP 底层网络传输,对路由器和防火墙透明。当一个 Web Client 与一个Web Server 网站建立 SSL 安全连接时,URL 显示的是 https:/www.ABC.com/,其中的“https”即代表了 SSL 提供的安全特性。6认证授权是阻止无关人员获得网络控制权限的措施。认证授权又可进一步分为网络设备的接入控制(Console、Telnet 及 SNMP Polling 访问) 、用户上网的认证授权(宽带、窄带接入认证和授权,如 Rad
12、ius) 、协议内部的相互认证(PPP、SNMP、IGP、BGP)三部分。61 网络设备的接入控制主要是杜绝无关人员获得对网络设备的配置权限,如通过带外的 Console 口、带内的 Telnet 以及 SNMP 的轮询等方式。目前的安全措施就是设置密码,包括本地认证密码或经过网络统一的 Radius 认证密码,或采用 SSH 加密实现安全登录;对SNMP 协议主要是通过 Community 字符串的设置来实现安全;进一步的安全措施是对允许进入设备的源地址进行访问控制,配置 ACL,只允许网络管理人员从某些特定的源地址才能进入,也可以设置设备 Session 时间,避免网管人员临时离开现场时外
13、人趁机进入系统的配置界面。62 用户上网的认证授权是杜绝不具权限的用户非法对网络的访问。认证方式有多种,如窄带的 PPP,宽带的 PPPoE、802.1x、DHCP+Web 等。认证协议尽量采用基于Client/Server 模式的 Radius,接入服务器 RAS 或 BRAS 为 Radius client,网络中的某个位置设置 Radius server。Radius 协议标准化程度高,对用户的认证授权功能更加完善,可以更好地与计费系统配合。63 协议内部的相互认证也是网络安全的一个组成部分。如两台路由器之间通过 PPP协议互连,为了验证对端路由器的来源与连接合法性,采用 PAP/CHA
14、P 认证;多个路由器组成的 IP 网络,为了保证路由通告的安全,可以采用 MD5 加密认证机制确保路由器之间相互信任;SNMP 协议中的 Trap 和 Polling 信息,也通过 Community 信息相互认证,避免将网络设备的状态信息送到不受信任的 NMS 上。7安全管理和维护主要是从网络运营商的角度对信息安全进行管理和设备配置。包括以下两个部分:71 对攻击的防护:为了保证网络系统的平稳运行,需要从网络攻击种类及防护措施说起。针对网络系统最常见的攻击就是拒绝服务 D.O.S 攻击。它可以使网络、系统或主机丧失能力或崩溃,从而不能为合法用户提供正常的服务。D.O.S 攻击主要包括 Smu
15、rf、TCP Syn flooding、Ping of Death、DDOS 等几种。Smurf 攻击原理是,黑客向一个网段发起大量的 ICMP 回应请求数据包,在请求包中采用虚假的源地址,这个伪造的源地址正是受害者的主机地址。网段中的所有主机都会响应这个黑客发起的 ICMP 回应请求包,将大量的 ICMP 回应数据包同时发送受害主机,导致受害主机 CPU 繁忙、带宽耗尽,甚至宕机。解决的方法是,在运营商网络的边界路由器上配置 uRPF,IP 数据包通过网络边界路由器的某个接口进入网络,如果这个 IP 数据的源地址从这个路由器接口是不可达的,证明源地址为伪造地址,路由器将丢弃数据包;同时,在边
16、界路由器上还需要配置 Rate Limit,对 ICMP 的通过带宽进行限制,如每秒允许通过 100个,一定程度上限制了 ICMP 数据包经过网络对被害者造成攻击。由于 ICMP 攻击的报文长度大多为 92Byte,更新的技术可以依据 IP 报文的长度进行过滤(通过对 IP 报头中的Total Length 字段的读取) ,实现更精确的防范措施;此外,还需要对用户网段的网关路由器进行 no directed broadcast 配置,避免网段内所有主机响应黑客发起的直接广播数据包。与基于 IP 层的 Smurf 攻击类似的是基于 UDP Echo 的 Fraggle 攻击。Smurf 攻击及防
17、护原理见下图TCP Syn flooding 利用了 TCP 协议的缺陷。正常的 TCP 连接建立步骤是,源端向目的主机发送 TCP Syn request,目的主机向源端返回 TCP Syn ACK 和 TCP Syn Request 后,源端应进入 Establish 状态,然后再次发送 TCP Syn ACK,当目的主机收到后,也将进入Establish 状态,从而建立了一个完整的 TCP Session。在 TCP 建立连接的握手阶段,黑客向受害者主机发起大量不完整 TCP Session 连接请求,即采用随机源地址和源端口,向目的主机发送 TCP Syn Request,目的主机向网
18、络中其他主机返回大量 TCP Syn ACK 和 TCP Syn Requset 后只能处于等待再次接收 ACK 的状态,而那些随机源地址所对应的主机是不可能相应目的主机的 TCP 连接建立请求的。最终占用受害者(目的主机)内存和 CPU 资源,导致合法用户无法建立正常的 TCP Session。解决方法是,启用路由器操作系统的 TCP 拦截特性、启用防火墙中的 syn flooding 保护功能、使用入侵监测系统等,另外,也可以关闭某些主机的 TCP 端口(当与目的主机建立不存在的 TCP 端口连接时,目的主机发送Reset,当即中止连接) ,采用路由黑洞(将黑客地址静态指向 Null 0
19、接口)等措施。与TCP Syn flooding 攻击类似的是 LAND 攻击,黑客向亩地主机发送源地址和目的地址相同的 TCP Syn 连接请求包,导致受害主机与自己建立 TCP 连接。Ping of Death 方式中,黑客修改 IP 报头中的长度使之大于实际的包长,或发送一个长度大于 64K 字节的 IP 数据包,导致接收系统 IP 协议栈崩溃。解决措施是过滤超大或分段的 ICMP 数据包,使之不能进入网络到达主机。与此种攻击类似的是 Tear Drop 攻击,利用 IP 报文分片中偏移量重叠,导致某些系统接收到后会死机。DDOS,顾名思义,分布式 D.O.S。黑客利用 E-mail 或
20、 Java Script 等手段控制其他大量网上 24 小时开机的主机,在特定的时间内操纵这些被控主机向受害者发起大量 D.O.S 攻击(攻击方式主要为 Trinoo、TFN/TFN2K、Stacheldraht;也可以采用 Smurf、Ping of death、TCP syn flooding 等 )。对于被控制的主机,某种程度上也为受害者,而且控制程序对被控主机而言,是以一种病毒的形式出现的。著名的“红色代码”病毒就是 DDOS 攻击的一种方式。“红色代码”病毒的攻击原理利用 Win 2000 操作系统的索引服务(Index Service)中的一个漏洞。此病毒扫描其他有漏洞可乘的系统进
21、行传播,在认定目标服务器后,将运行一个程序造成服务器宕机。还可安放“特洛伊木马”从外部对该服务器发布任意指令。病毒运作的特征是向一个随机的网段中的所有主机发起 300-600 个 TCP 半连接线程,导致这些主机所在的网络流量剧增,网络设备如路由器、交换机将不堪重荷而跨掉。与之类似的还有冲击波病毒,其危害程度不亚于“红色代码”这类蠕虫病毒。 “冲击波”(Worm.Blaster)病毒抓住了微软在前不久刚刚公布的一个远程过程调用 RPC 安全漏洞。利用 RPC 漏洞进行攻击,波及到的计算机系统包括 NT4.0、WINDOWS2000 及 XP 等几类。感染了“冲击波”病毒的电脑,又会通过互联网自
22、动扫描,寻找其他感染目标,在一定程度上造成了网络的拥堵。目前, “冲击波”病毒的传播已呈放缓趋势,专家声称今后的预防重点是其不断增加的变种。 “冲击波”病毒表现:莫名其妙地死机或重新启动计算机;IE 浏览器不能正常地打开链接;不能复制粘贴;有时出现应用程序,比如 Word 异常;网络变慢;在任务管理器里有一个叫“msblast.exe”的进程在运行。冲击波病毒带来的另一个副作用是导致运营商网络设备的负载加重。冲击波病毒及其变种发作时,对网络中随机地址进行 Ping 或 TCP Syn_Sent,路由器每秒钟需要处理大量的路由查找,或者需要建立并保持大量的 TCP 连接状态,会导致路由器 CPU
23、 使用率急剧上升。目前比较可行的解决方式是对直接受害主机采用防范 D.O.S 攻击的措施,对间接受害者(被控主机)采用软件工具(如杀毒软件)搜索本网络中主机内的 DDOS 引擎并将其删除。72 网络系统的安全管理包括:A) 使用审计跟踪来详细记录事务处理过程、记录时间戳、源主机、目的主机、端口号、持续时间和所传送的字节数B) 启用实时报警记录(Log) ,以便在受到 DOS 攻击或出现了其他预定好的情况时能及时发出告警C) 关闭某些网络设备出厂缺省设置,如 CDP、Finger、Bootp Server、IP Redirect、Proxy Arp、Directed-Broadcast 等等D) 采用路由黑洞 Null0 丢弃不存在的路由(RFC1918 地址、Full Routing Table 中没有的欺诈地址)E) 划分网段:限制广播域,将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的F) 设备选型避免有协议缺陷的设备,采用针对常规 DOS 攻击增强了抵御能力的设备,如对 ICMP 具备过滤功能、采用多重 CPU 分管转发平面和数据平面等;G) 采用可防护 DOS 攻击的配置,如 uRPF、CAR、no directed broadcast 等;
