网络安全分析-IBM.DOC

第一章 网络安全分析 第一节 什么是网络安全？ 计算机安全事业始于本世纪60年代末期由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面：即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面：或者是安全控制机构有故障；或者是系统安全定义有缺陷。由于大型网络系统内运行多种网络协议（TCP/IP, IPX/SPX, NETBEU），而这些网络协议并非专为安全通讯而设计。所以，网络系统网络可能存在的安全威胁来自以下方面： 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。采用的TCP/IP协议族软件，本身缺乏安全性。未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失不安全造成的危害有多大？根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过1,70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；只有17%的公司愿意报告黑客入侵，其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失USD$402,000。 入侵的来源：首先是内部心怀不满的员工；其次为黑客；另外还有竞争者。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，象贵州省城热线、成都艺术节主页等都报道有黑客入侵，他们在主页上发布反动口号，或将主页修改成黄色画面。系统的安全应具备那些功能？与其它安全体系（如保安系统）类似，网络应用系统的安全体系应包含： 访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证。良好的认证体系可防止攻击者假冒合法用户。备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。? 入侵检测系统(Intrusion Detection System，IDS)作为最常见的网络安全产品之一，已经得到了非常广泛的应用。但近年来随着入侵防御系统(Intrusion Prevention System，IPS)的异军突起，不断有人认为IPS是IDS的升级版本，甚至还有认为IDS没有用的言论出现。本文试从入侵检测系统的起源、成长和未来发展的几个角度出发进行分析，来看看到底入侵检测系统是“已死”还是“有发展”。 入侵检测系统的起源 一般意义上，业界将James P. Anderson在1980年发布的那篇《Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源，在这篇文章里，不仅将威胁分为了外部渗透、内部渗透和不法行为三种，还创造性的提出了将审计技术应用到对威胁的检测上来。没错，虽然不论厂商还是用户，都是先开发/拥有入侵检测产品，而后再考虑审计产品，但从单纯的技术上来说，入侵检测技术的确是起源于审计技术，所不同的是，入侵检测更关注“坏”的事