企業(yè)網(wǎng)絡及應用層由于網(wǎng)絡的開發(fā)性、網(wǎng)絡協(xié)議等自身設計的薄弱和脆弱性以及由于經(jīng)濟利益驅(qū)動而導致的黑客技術(shù)的攻擊性和目標性的不斷增強等原因,經(jīng)受著來自網(wǎng)絡和應用等多層次、多方面的網(wǎng)絡威脅和攻擊。可以說,企業(yè)網(wǎng)絡信息安全能否得以保障,在絕大程度上取決于這個層次的安全防護技術(shù)的部署,本文將從企業(yè)網(wǎng)絡及應用層面臨的網(wǎng)絡威脅出發(fā),闡述該層所必需的一些安全防護技術(shù)。 1、企業(yè)網(wǎng)絡及應用層面臨的網(wǎng)絡威脅
最近的研究表明,安全問題是企業(yè)目前面臨的最大挑戰(zhàn)。來自企業(yè)內(nèi)部和外部的動態(tài)變化的安全威脅隨時會給企業(yè)運營帶來巨大的災難,并最終影響企業(yè)的盈利能力和客戶滿意度。此外,中小型企業(yè)還要注意遵從為了保護消費者隱私和保障電子信息安全而制定的各種法律法規(guī)。
1.蠕蟲和病毒
計算機蠕蟲和病毒是最常見的一類安全威脅。調(diào)查顯示,去年有75%的中小型企業(yè)感染過一種以上的病毒。蠕蟲和病毒會嚴重破壞業(yè)務的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間感染整個辦公場所,而要清除被感染計算機中的病毒所要耗費的時間也更長。可能造成的嚴重后果包括遺失訂單、破壞數(shù)據(jù)庫和降低客戶滿意度。雖然企業(yè)可以通過給計算機安裝防病毒軟件和升級操作系統(tǒng)補丁來加以防范,但是新病毒仍會隨時突破這些防線。同時,公司員工也可能通過訪問惡意網(wǎng)站、下載不可靠的資料或打開含有病毒代碼的電子郵件附件在不經(jīng)意間傳播病毒和間諜軟件,進而給企業(yè)造成巨大的經(jīng)濟損失。網(wǎng)絡安全系統(tǒng)必須能夠在網(wǎng)絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。
2.信息竊取
信息竊取是一個大問題。網(wǎng)絡黑客通過入侵企業(yè)網(wǎng)絡盜取客戶的信用卡和社會保障號碼而牟利。相對于大型企業(yè),中小型企業(yè)的防范措施較弱因而更易遭受攻擊。僅僅在物理周邊加強防范還遠遠不夠,因為黑客可能會伙同公司內(nèi)部人員,如員工或承包商,一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴重影響,因為它會破壞中小型企業(yè)賴以生存的企業(yè)商譽和客戶關(guān)系。此外,沒能采取充分措施保障信息安全的企業(yè)也可能會面臨負面報道、政府罰金和法律訴訟等問題。例如,美國加利福尼亞州在新出臺的消費者權(quán)益保護法中規(guī)定,任何企業(yè)在發(fā)現(xiàn)自己的客戶信息泄漏給非授權(quán)人員后必須馬上通知所有的客戶。任何安全策略必須能夠在企業(yè)內(nèi)部和外部對敏感的電子信息進行保護。
3.業(yè)務有效性
計算機蠕蟲和病毒會嚴重影響企業(yè)網(wǎng)絡的可靠性,進而影響企業(yè)對客戶請求的響應速度。然而,蠕蟲和病毒并不是威脅業(yè)務有效性的唯一因素。隨著企業(yè)運營與網(wǎng)絡越來越密不可分,網(wǎng)絡恐怖分子以破壞公司網(wǎng)站和電子商務運行為威脅,對企業(yè)進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網(wǎng)絡攻擊會占用關(guān)鍵網(wǎng)絡組件的大量帶寬,使其無法正常處理用戶的服務請求。結(jié)果是災難性的:數(shù)據(jù)和訂單丟失,客戶請求被拒絕。而當被攻擊的消息公之于眾后,企業(yè)的聲譽也會受到影響。雖然見諸報端的DoS攻擊主要發(fā)生在銀行和全球500強企業(yè),但實際上中小型企業(yè)由于自身較弱的防范能力而更易遭到攻擊。此外,其他攻擊形式也會影響中小型企業(yè)的業(yè)務有效性,并進而影響企業(yè)的盈利能力和客戶滿意度。例如,資源竊取攻擊會入侵企業(yè)的計算機和網(wǎng)絡,并利用這些設備進行非法的文件(如音樂、電影和軟件)交換服務。然而企業(yè)很難發(fā)現(xiàn)這種安全漏洞,它們的計算機和網(wǎng)絡響應客戶請求的速度會大打折扣,而且還會因參與非法的文件交換而面臨法律訴訟的危險。
4.垃圾郵件
2006年最后一個季度垃圾郵件猛增,這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過濾器造成的。由于發(fā)送大量垃圾郵件的成本很低——特別是通過"僵尸網(wǎng)絡"(botnet)。因此,網(wǎng)絡犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。
2、拒絕服務攻擊防護技術(shù)
DoS的英文全稱是Denial of Service,也就是"拒絕服務"的意思。從網(wǎng)絡攻擊的各種方法和所產(chǎn)生的破壞情況來看,DoS是一種很簡單但又很有效的進攻方式。其目的就是拒絕你的服務訪問,破壞服務器的正常運行,最終會使用戶的部分Internet連接和網(wǎng)絡系統(tǒng)失效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務。DoS攻擊的基本過程是:首先攻擊者向服務器發(fā)送眾多的帶有虛假地址的請求,服務器發(fā)送回復信息后等待回傳信息,由于地址是偽造的,所以服務器一直等不到回傳的消息,分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復發(fā)送偽地址請求的情況下,服務器資源最終會被耗盡。
DDoS(分布式拒絕服務),其英文全稱為Distributed Denial of Service,是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準比較大的站點,像商業(yè)公司、搜索引擎和政府部門的站點。通常,DoS攻擊只要一臺單機和一個MODEM就可實現(xiàn),與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。
拒絕服務攻擊攻擊很難解決。首先,被用來探測DDoS和DoS擊的網(wǎng)絡流沒有統(tǒng)一的特征;其次,DDoS布式特性使得它們極難被抵抗或追蹤;再次,配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到,攻擊者也可以使用IP偽裝技術(shù)來隱藏他們的真實身份,這就導致拒絕服務攻擊的追蹤更加困難。當前,較為成熟和可用的決絕服務攻擊防護技術(shù)包括:
(1)入侵預防:對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經(jīng)發(fā)動的DoS攻擊,有許多DoS防御機制試圖使系統(tǒng)免遭DoS攻擊:
I)入口過濾:設置一個路由器來禁止帶有非法源地址的包進入網(wǎng)絡;
II)出口過濾:確定了離開網(wǎng)絡的分配的地址空間;
III)基于歷史的IP地址過濾:可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫根據(jù)路由器之前的連接歷史來允許包進入。
(2)關(guān)閉不使用的服務:通常如果網(wǎng)絡服務不需要或沒有使用,則可以關(guān)閉這些服務來阻止攻擊發(fā)生的可能。
(3)應用安全補丁。
(4)負載平衡:使網(wǎng)絡提供方在重要的連接上增加帶寬,并防止萬一攻擊發(fā)生時帶寬下降。
(5)使用蜜罐:是具有一定安全性的系統(tǒng),用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。
3、垃圾郵件防護技術(shù)
隨著Internet的發(fā)展,電子郵件作為一種通信方式逐漸普及。當前電子郵件的用戶已經(jīng)從科學和教育行業(yè)發(fā)展到了普通家庭中的用戶,電子郵件傳遞的信息也從普通文本信息發(fā)展到包含聲音、圖像在內(nèi)的多媒體信息。電子郵件的廉價和操作簡便在給人們帶來巨大便利的同時,也誘使有些人將之作為大量散發(fā)自己信息的工具,最終導致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。垃圾郵件問題已經(jīng)極大地消耗了網(wǎng)絡資源,并給人們帶來了極大的不便。據(jù)中國互聯(lián)網(wǎng)協(xié)會(ISC)2005年第一次反垃圾郵件狀況調(diào)查顯示,中國郵件用戶2005年4月平均每人每天收到郵件16.8封,占收到郵件總數(shù)的60.87%。
(1)SMTP用戶認證
這是目前最常見、最簡單并且十分有效的方法。在郵件傳送代理(Mail Transport Agent,MTA)上對來自本地網(wǎng)絡以外的互聯(lián)網(wǎng)的發(fā)信用戶進行SMTP認證,僅允許通過認證的用戶進行遠程轉(zhuǎn)發(fā)。這樣既能夠有效避免郵件傳送代理服務器為垃圾郵件發(fā)送者所利用,又為出差在外或在家工作的員工提供了便利。如果不采取SMTP認證,則在不犧牲安全的前提下,設立面向互聯(lián)網(wǎng)的Web郵件網(wǎng)關(guān)也是可行的。此外,如果SMTP服務和POP3服務集成在同一服務器上,在用戶試圖發(fā)信之前對其進行POP3訪問驗證就是一種更加安全的方法,目前,新浪等大型網(wǎng)站都相繼采用了該功能,使得這些大型服務商的服務器被利用來發(fā)送垃圾郵件的概率大大降低,同時,在應用的時0候當前支持這種認證方式的郵件客戶端程序比較出色的是FoxMail。
(2)逆向DNS解析
無論哪一種認證,其目的都是避免郵件傳送代理服務器被垃圾郵件發(fā)送者所利用,但對于發(fā)送到本地的垃圾郵件仍然無可奈何。要解決這個問題,最簡單有效的方法是對發(fā)送者的IP地址進行逆向名字解析,即通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致,例如,其聲稱的名字為pc.sina.com,而其連接地址為120.20.96.68,與其DNS記錄不符,則予以拒收。這種方法可以有效過濾掉來自動態(tài)IP的垃圾郵件,對于某些使用動態(tài)域名的發(fā)送者,也可以根據(jù)實際情況進行屏蔽。但是上面這種方法對于借助Open Relay的垃圾郵件依然無效。對此,更進一步的技術(shù)是假設合法的用戶只使用本域具有合法互聯(lián)網(wǎng)名稱的郵件傳送代理服務器發(fā)送電子郵件。需要指出的是,逆向名字解析需要進行大量的DNS查詢。這樣,在網(wǎng)絡中將會出現(xiàn)大量的UDP數(shù)據(jù)包。
(3)黑名單過濾
黑名單服務是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫,最著名的是RBL、DCC和Razor等。這些數(shù)據(jù)庫保存了頻繁發(fā)送垃圾郵件的主機名字或IP地址,供MTA進行實時查詢以決定是否拒收相應的郵件。簡單地說,即數(shù)據(jù)庫中保存的IP地址或者域名都應該是非法的,都應該被阻斷。但是,目前各種黑名單數(shù)據(jù)庫難以保證其正確性和及時性,一般該名單的形成需要一段時間的積累。例如,曾經(jīng)一段時期,北美的RBL和DCC包含了我國大量的主機名字和IP地址,其中有些是早期的Open Relay造成的,有些則是由于誤報造成的。但這些遲遲得不到糾正,在一定程度上阻礙了我國與北美地區(qū)的郵件聯(lián)系,也妨礙了我國的用戶使用這些黑名單服務。
(4)白名單過濾
白名單過濾是相對于上述的黑名單過濾來說的。它建立的數(shù)據(jù)庫的內(nèi)容和黑名單的一樣,但是其性質(zhì)是:庫中存在的都是合法的,不應該被阻斷。同樣,該過濾方法存在的缺點與黑名單類似,也是更新和維護難以達到實時,一些正常的、不為系統(tǒng)白名單所收集的郵件有可能被阻斷。從應用的角度來說,在小范圍內(nèi)使用白名單是比較成功的,可以通過在企業(yè)或者是公司的網(wǎng)關(guān)處通過一段時間內(nèi)獲取由內(nèi)部發(fā)出的郵件的相關(guān)信息的辦法來生成白名單。
(5)內(nèi)容過濾
即使使用了前面諸多環(huán)節(jié)中的技術(shù),仍然會有相當一部分垃圾郵件漏網(wǎng)。對此情況,目前最有效、最根本的方法是基于郵件標題或正文的內(nèi)容過濾。其中比較簡單的方法是,結(jié)合內(nèi)容掃描引擎,根據(jù)垃圾郵件的常用標題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進行過濾。更加復雜但同時更具智能性的方法是,基于貝葉斯概率理論的統(tǒng)計方法、支持向量機(SVM)方法、人工神經(jīng)網(wǎng)絡、Winnow等方法所進行的內(nèi)容過濾,這些方法的理論基礎是通過對大量垃圾郵件中常見關(guān)鍵詞等采用上述方法進行機器學習后分析后得出其分布的統(tǒng)計模型,并由此推算目標郵件是垃圾郵件的可能性。這些方法具有一定的自適應、自學習能力,目前已經(jīng)得到了廣泛的應用。最有名的垃圾郵件內(nèi)容過濾是Spamassassin,它使用Perl語言實現(xiàn),集成了以上兩種過濾方法,可以與當前各種主流的MTA集成使用。內(nèi)容過濾是以上所有各種方法中耗費計算資源最多、最有效的辦法,在郵件流量較大的場合,需要配合高性能服務器使用。
