信息安全解决方案(《通信世界》2003年12月15号).docVIP

信息安全解决方案 中国电信股份有限公司北京研究院 胡捷 首先应该明确，以计算机网络为代表的信息安全，永远是被动的安全，而且没有绝对的安全。这是由于TCP/IP与生俱来的协议缺陷和开放、简单、共享及尽力传递等诸多特性决定的。 安全和攻击是相辅相成的，而且人们是随着攻击技术的进步、对攻击原理机制的了解而不断提高抵御攻击的能力，从而逐步完善信息系统的安全措施。针对不同的信息安全领域，应采用不同的解决方案，目前来看，信息系统的安全措施可以分为七个方面：防病毒、隐患扫描、入侵检测、防火墙、加密、认证授权、安全管理与维护。 1．病毒是最早出现的信息系统安全隐患。现有计算机系统软硬件体系结构无法避免病毒对信息系统的危害。防病毒主要通过软件执行，是通过对计算机系统中的文件进行代码扫描来实现的，防病毒软件需要具备病毒特征库，扫描的过程就是将文件代码与病毒特征库进行比对的过程。由于新的病毒层出不穷，因此防病毒软件需要及时更新病毒特征库。现有的防病毒软件基本上都是通过互联网进行升级。国内成熟的软件有金山毒霸、瑞星、江民等，国外有McAfee、Norton 或 Symantec。 2．隐患扫描系统又称漏洞扫描、安全扫描等，系统管理员用它来保障系统安全的有效工具，但是黑客靠它来收集网络重要信息。由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷，由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在。另外操作系统过于庞大和复杂，导致用户对系统更新及补丁程序下载不能及时进行，这些信息系统都是以支持TCP/IP协议栈为基础，系统漏洞都可以通过对TCP/IP协议栈的探测得知，如基本的操作系统类型、版本、后台进程等信息。黑客正是利用这种协议特性，赶在时间差内向存在漏洞的系统发起攻击。因此人们需要一种类似黑客入侵系统，提前对网络的安全性进行探查，预先得知网络何处存在隐患，可以及时对系统进行升级、更新、或者关闭某些端口和进程，从而达到防范的目的。同防病毒程序类似，网络扫描系统必须具备漏洞扫描库，对系统进行端口扫描的过程类似于防病毒程序对文件代码的扫描过程，漏洞库必须及时更新。目前比较成熟的网络隐患扫描系统是榕基和安氏公司的网络安全扫描系统。 3．入侵检测系统属于对正在入侵的行为进行探测和告警，以引起系统管理员的注意使之能及时采取措施。与防病毒和隐患扫描不同，后者主要是事前防范，入侵检测属于事中防范，是对事前防范的有效补充。入侵检测的原理是对网络中异常的数据流量和用户上网行为进行跟踪和鉴别，如端口扫描探测、TCP半连接建立频率、ICMP传输速率、远程登录系统次数、密码输入次数、异常调用数据、异常系统操作等行为。一旦某个行为的频率超过预先设定的阈值，可认为网络正在遭受攻击，入侵检测系统可立即采用声光告警和系统日志等多种手段及时通知系统管理员，使入侵带来的损失降到最小。成熟的入侵检测如思科的IDS系统。 防病毒、隐患扫描及入侵检测这三种解决方案主要是针对计算机操作系统及应用软件而采用的安全措施。计算机操作系统的安全级别在美国国家计算机安全中心 NCSC桔皮书中给与明确，由高到低分别为：A1-B3-B2-B1-C2-C1-D ，在这7个安全级别中,全世界达到B3的系统只有一两个,达到A1级别的操作系统目前还没有。操作系统安全是当前信息系统最重要也是最复杂的安全问题。我们所熟悉的Win 95为D安全级别，Novell为C1。Windows NT(包括Win 2000和Win XP)具备C2级安全能力。一直作为Internet支撑操作系统而存在的UNIX(HP unix、IBM AIX、Sun solaris等)属于B1安全级别。由于UNIX和NT作为网络操作系统，具有广泛的开放性（部分源代码是公开的），系统发展中一些不可避免的安全漏洞就必然暴露于网络黑客前并被广泛传播，从而造成很多安全问题。我们经常听说的网站主页被篡改、用户安全数据库被窃取、系统Root口令被盗、木马、恶意脚本等攻击现象，都是由计算机操作系统软件的不安全因素引起的。 4．防火墙是比较成熟的网络安全设备和措施。防火墙的原理是策略控制，通过对端口的开放和关闭决定内部网络可提供哪些业务。完善的网络安全整体解决方案中，应该把防火墙和网络隐患扫描及入侵检测系统配合使用。防火墙不能完全杜绝入侵。如果一个系统需要对外提供Web访问、DNS解析、E-mail收发业务，那么防火墙就必须打开TCP 80、UDP 53和TCP 25/UDP 110端口，此时黑客仍然可以利用应用软件和系统的高层漏洞进行攻击。严格来说，防火墙最多只打开协议的第四层，对上层数据隐含的恶意行为是无能为力的。 当然现在的防火墙设备正不断进行改进，