企業網絡及應用層由于網絡的開發性����、網絡協議等自身設計的薄弱和脆弱性以及由于經濟利益驅動而導致的黑客技術的攻擊性和目標性的不斷增強等原因���,經受著來自網絡和應用等多層次����、多方面的網絡威脅和攻擊��?�?梢哉f,企業網絡信息安全能否得以保障�,在絕大程度上取決于這個層次的安全防護技術的部署��,本文將從企業網絡及應用層面臨的網絡威脅出發��,闡述該層所必需的一些安全防護技術�����。 1、企業網絡及應用層面臨的網絡威脅
最近的研究表明����,安全問題是企業目前面臨的最大挑戰�。來自企業內部和外部的動態變化的安全威脅隨時會給企業運營帶來巨大的災難�����,并最終影響企業的盈利能力和客戶滿意度����。此外����,中小型企業還要注意遵從為了保護消費者隱私和保障電子信息安全而制定的各種法律法規。
1.蠕蟲和病毒
計算機蠕蟲和病毒是最常見的一類安全威脅。調查顯示,去年有75%的中小型企業感染過一種以上的病毒�����。蠕蟲和病毒會嚴重破壞業務的連續性和有效性�。隨著病毒變得更智能、更具破壞性,其傳播速度也更快���,甚至能在片刻間感染整個辦公場所,而要清除被感染計算機中的病毒所要耗費的時間也更長�?����?赡茉斐傻膰乐睾蠊ㄟz失訂單���、破壞數據庫和降低客戶滿意度�。雖然企業可以通過給計算機安裝防病毒軟件和升級操作系統補丁來加以防范,但是新病毒仍會隨時突破這些防線。同時��,公司員工也可能通過訪問惡意網站����、下載不可靠的資料或打開含有病毒代碼的電子郵件附件在不經意間傳播病毒和間諜軟件,進而給企業造成巨大的經濟損失。網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范����。
2.信息竊取
信息竊取是一個大問題��。網絡黑客通過入侵企業網絡盜取客戶的信用卡和社會保障號碼而牟利。相對于大型企業����,中小型企業的防范措施較弱因而更易遭受攻擊�����。僅僅在物理周邊加強防范還遠遠不夠�����,因為黑客可能會伙同公司內部人員,如員工或承包商���,一起作案。信息竊取會對中小型企業的發展造成嚴重影響����,因為它會破壞中小型企業賴以生存的企業商譽和客戶關系���。此外,沒能采取充分措施保障信息安全的企業也可能會面臨負面報道、政府罰金和法律訴訟等問題���。例如,美國加利福尼亞州在新出臺的消費者權益保護法中規定��,任何企業在發現自己的客戶信息泄漏給非授權人員后必須馬上通知所有的客戶�����。任何安全策略必須能夠在企業內部和外部對敏感的電子信息進行保護�����。
3.業務有效性
計算機蠕蟲和病毒會嚴重影響企業網絡的可靠性,進而影響企業對客戶請求的響應速度��。然而���,蠕蟲和病毒并不是威脅業務有效性的唯一因素����。隨著企業運營與網絡越來越密不可分,網絡恐怖分子以破壞公司網站和電子商務運行為威脅�����,對企業進行敲詐勒索��。其中��,以DoS(拒絕服務)攻擊為代表的網絡攻擊會占用關鍵網絡組件的大量帶寬,使其無法正常處理用戶的服務請求�。結果是災難性的:數據和訂單丟失�,客戶請求被拒絕�。而當被攻擊的消息公之于眾后,企業的聲譽也會受到影響�。雖然見諸報端的DoS攻擊主要發生在銀行和全球500強企業,但實際上中小型企業由于自身較弱的防范能力而更易遭到攻擊����。此外�����,其他攻擊形式也會影響中小型企業的業務有效性,并進而影響企業的盈利能力和客戶滿意度��。例如���,資源竊取攻擊會入侵企業的計算機和網絡����,并利用這些設備進行非法的文件(如音樂、電影和軟件)交換服務��。然而企業很難發現這種安全漏洞����,它們的計算機和網絡響應客戶請求的速度會大打折扣,而且還會因參與非法的文件交換而面臨法律訴訟的危險���。
4.垃圾郵件
2006年最后一個季度垃圾郵件猛增�����,這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過濾器造成的。由于發送大量垃圾郵件的成本很低——特別是通過"僵尸網絡"(botnet)��。因此�,網絡犯罪將更多地采用這種介質發布木馬病毒。
2��、拒絕服務攻擊防護技術
DoS的英文全稱是Denial of Service���,也就是"拒絕服務"的意思����。從網絡攻擊的各種方法和所產生的破壞情況來看���,DoS是一種很簡單但又很有效的進攻方式����。其目的就是拒絕你的服務訪問,破壞服務器的正常運行,最終會使用戶的部分Internet連接和網絡系統失效��。DoS的攻擊方式有很多種�����,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源�,從而使合法用戶無法得到服務�����。DoS攻擊的基本過程是:首先攻擊者向服務器發送眾多的帶有虛假地址的請求�����,服務器發送回復信息后等待回傳信息,由于地址是偽造的����,所以服務器一直等不到回傳的消息�����,分配給這次請求的資源就始終沒有被釋放�。當服務器等待一定的時間后,連接會因超時而被切斷�,攻擊者會再度傳送新的一批請求��,在這種反復發送偽地址請求的情況下,服務器資源最終會被耗盡��。
DDoS(分布式拒絕服務)���,其英文全稱為Distributed Denial of Service�����,是一種基于DoS的特殊形式的拒絕服務攻擊�����,是一種分布、協作的大規模攻擊方式,主要瞄準比較大的站點����,像商業公司�����、搜索引擎和政府部門的站點。通常,DoS攻擊只要一臺單機和一個MODEM就可實現�,與之不同的是DDoS攻擊是利用一批受控制的機器向一臺機器發起攻擊���,這樣來勢迅猛的攻擊令人難以防備�����,因此具有較大的破壞性����。
拒絕服務攻擊攻擊很難解決��。首先,被用來探測DDoS和DoS擊的網絡流沒有統一的特征��;其次����,DDoS布式特性使得它們極難被抵抗或追蹤;再次���,配置拒絕服務攻擊的自動化的工具可以非常容易的下載得到,攻擊者也可以使用IP偽裝技術來隱藏他們的真實身份�,這就導致拒絕服務攻擊的追蹤更加困難��。當前,較為成熟和可用的決絕服務攻擊防護技術包括:
(1)入侵預防:對所有攻擊最好的緩解策略就是完全攔截這些攻擊�����。這個階段首先是要阻斷已經發動的DoS攻擊����,有許多DoS防御機制試圖使系統免遭DoS攻擊:
I)入口過濾:設置一個路由器來禁止帶有非法源地址的包進入網絡;
II)出口過濾:確定了離開網絡的分配的地址空間�����;
III)基于歷史的IP地址過濾:可以利用邊路由器根據之前建立的地址數據庫根據路由器之前的連接歷史來允許包進入�。
(2)關閉不使用的服務:通常如果網絡服務不需要或沒有使用����,則可以關閉這些服務來阻止攻擊發生的可能�。
?。?)應用安全補丁。
?���。?)負載平衡:使網絡提供方在重要的連接上增加帶寬,并防止萬一攻擊發生時帶寬下降����。
?。?)使用蜜罐:是具有一定安全性的系統����,用來欺騙攻擊者來攻擊蜜罐而不是真正的系統。
3���、垃圾郵件防護技術
隨著Internet的發展,電子郵件作為一種通信方式逐漸普及�����。當前電子郵件的用戶已經從科學和教育行業發展到了普通家庭中的用戶�,電子郵件傳遞的信息也從普通文本信息發展到包含聲音、圖像在內的多媒體信息�����。電子郵件的廉價和操作簡便在給人們帶來巨大便利的同時���,也誘使有些人將之作為大量散發自己信息的工具�,最終導致了互聯網世界中垃圾郵件的泛濫。垃圾郵件問題已經極大地消耗了網絡資源�����,并給人們帶來了極大的不便���。據中國互聯網協會(ISC)2005年第一次反垃圾郵件狀況調查顯示��,中國郵件用戶2005年4月平均每人每天收到郵件16.8封���,占收到郵件總數的60.87%�。
?���。?)SMTP用戶認證
這是目前最常見、最簡單并且十分有效的方法���。在郵件傳送代理(Mail Transport Agent,MTA)上對來自本地網絡以外的互聯網的發信用戶進行SMTP認證�,僅允許通過認證的用戶進行遠程轉發���。這樣既能夠有效避免郵件傳送代理服務器為垃圾郵件發送者所利用�,又為出差在外或在家工作的員工提供了便利�。如果不采取SMTP認證,則在不犧牲安全的前提下�����,設立面向互聯網的Web郵件網關也是可行的�����。此外���,如果SMTP服務和POP3服務集成在同一服務器上�,在用戶試圖發信之前對其進行POP3訪問驗證就是一種更加安全的方法���,目前�����,新浪等大型網站都相繼采用了該功能�,使得這些大型服務商的服務器被利用來發送垃圾郵件的概率大大降低��,同時,在應用的時0候當前支持這種認證方式的郵件客戶端程序比較出色的是FoxMail����。
?����。?)逆向DNS解析
無論哪一種認證,其目的都是避免郵件傳送代理服務器被垃圾郵件發送者所利用,但對于發送到本地的垃圾郵件仍然無可奈何���。要解決這個問題,最簡單有效的方法是對發送者的IP地址進行逆向名字解析,即通過DNS查詢來判斷發送者的IP與其聲稱的名字是否一致��,例如�����,其聲稱的名字為pc.sina.com�,而其連接地址為120.20.96.68��,與其DNS記錄不符�,則予以拒收���。這種方法可以有效過濾掉來自動態IP的垃圾郵件��,對于某些使用動態域名的發送者���,也可以根據實際情況進行屏蔽��。但是上面這種方法對于借助Open Relay的垃圾郵件依然無效。對此���,更進一步的技術是假設合法的用戶只使用本域具有合法互聯網名稱的郵件傳送代理服務器發送電子郵件。需要指出的是�,逆向名字解析需要進行大量的DNS查詢。這樣�,在網絡中將會出現大量的UDP數據包�����。
(3)黑名單過濾
黑名單服務是基于用戶投訴和采樣積累而建立的���、由域名或IP組成的數據庫�����,最著名的是RBL、DCC和Razor等��。這些數據庫保存了頻繁發送垃圾郵件的主機名字或IP地址��,供MTA進行實時查詢以決定是否拒收相應的郵件��。簡單地說,即數據庫中保存的IP地址或者域名都應該是非法的���,都應該被阻斷。但是��,目前各種黑名單數據庫難以保證其正確性和及時性�����,一般該名單的形成需要一段時間的積累����。例如����,曾經一段時期,北美的RBL和DCC包含了我國大量的主機名字和IP地址�����,其中有些是早期的Open Relay造成的��,有些則是由于誤報造成的。但這些遲遲得不到糾正�����,在一定程度上阻礙了我國與北美地區的郵件聯系����,也妨礙了我國的用戶使用這些黑名單服務。
?��。?)白名單過濾
白名單過濾是相對于上述的黑名單過濾來說的。它建立的數據庫的內容和黑名單的一樣�,但是其性質是:庫中存在的都是合法的�����,不應該被阻斷。同樣,該過濾方法存在的缺點與黑名單類似��,也是更新和維護難以達到實時�����,一些正常的�、不為系統白名單所收集的郵件有可能被阻斷��。從應用的角度來說��,在小范圍內使用白名單是比較成功的,可以通過在企業或者是公司的網關處通過一段時間內獲取由內部發出的郵件的相關信息的辦法來生成白名單�。
?。?)內容過濾
即使使用了前面諸多環節中的技術�����,仍然會有相當一部分垃圾郵件漏網。對此情況,目前最有效���、最根本的方法是基于郵件標題或正文的內容過濾。其中比較簡單的方法是,結合內容掃描引擎,根據垃圾郵件的常用標題語�����、垃圾郵件受益者的姓名���、電話號碼、Web地址等信息進行過濾。更加復雜但同時更具智能性的方法是����,基于貝葉斯概率理論的統計方法�、支持向量機(SVM)方法�、人工神經網絡、Winnow等方法所進行的內容過濾,這些方法的理論基礎是通過對大量垃圾郵件中常見關鍵詞等采用上述方法進行機器學習后分析后得出其分布的統計模型���,并由此推算目標郵件是垃圾郵件的可能性。這些方法具有一定的自適應、自學習能力����,目前已經得到了廣泛的應用��。最有名的垃圾郵件內容過濾是Spamassassin,它使用Perl語言實現���,集成了以上兩種過濾方法,可以與當前各種主流的MTA集成使用����。內容過濾是以上所有各種方法中耗費計算資源最多����、最有效的辦法�����,在郵件流量較大的場合,需要配合高性能服務器使用���。
