網絡逐漸成為企業運營不可或缺的一部分,基于互聯網的應用、遠程培訓、在線訂購以及財務交易等,極大地提高企業的生產力和盈利能力,帶來很多的便利。
但在享受便利的同時,網絡系統同樣也成為安全威脅的首要目標,網絡安全面臨著前所未有的威脅。威脅不僅來自人為的破壞,也來自自然環境。各種人員、機構出于各種目的攻擊行為,系統自身的安全缺陷(脆弱性),以及自然災難,都可能構成對企業網絡系統的威脅。
威脅的發起因素是威脅的主體, 按威脅主體的性質分類, 安全威脅可以分為人為的安全威脅和非人為的安全威脅。按人為攻擊的方式分類,可以分為被動攻擊、主動攻擊、鄰近攻擊和分發攻擊等。
1、安全威脅
非人為的安全威脅
非人為的安全威脅主要分為兩類,一類是自然災難,另一類是技術局限性。信息系統都是在一定的物理環境下運行, 自然災難對信息系統的威脅是非常嚴重的。典型的自然災難包括:地震、水災、火災、風災等。自然災難可能會對信息系統造成毀滅性的破壞。
同所有技術一樣,信息技術本身也存在局限性,有很多缺陷和漏洞。典型的缺陷包括:系統、硬件、軟件的設計缺陷、實現缺陷和配置缺陷。信息系統的高度復雜性以及信息技術的高速發展和變化,使得信息系統的技術局限性成為嚴重威脅信息系統安全的重大隱患。
人為安全威脅
網絡系統面臨的人為安全威脅可分為外部威脅和內部威脅,人為安全威脅主要是人為攻擊,主要分為以下幾類:被動攻擊、主動攻擊、鄰近攻擊、分發攻擊。
被動攻擊
這類攻擊主要包括被動監視通信信道上的信息傳送。被動攻擊主要是了解所傳送的信息,一般不易被發現。典型攻擊行為有:
a) 監聽通信數據;
b) 解密加密不善的通信數據;
c) 口令截獲;
d) 通信流量分析。
主動攻擊
主動攻擊為攻擊者主動對信息系統實施攻擊,包括企圖避開安全保護,引入惡意代碼,以及破壞數據和系統的完整性。
a) 修改數據;
b) 重放所截獲的數據;
c) 插入數據;
d) 盜取合法建立的會話;
e) 偽裝;
f) 越權訪問;
g) 利用緩沖區溢出(BOF)漏洞執行代碼;
h) 插入和利用惡意代碼(如:特洛依木馬、后門、病毒等);
i) 利用協議、軟件、系統故障和后門;
j) 拒絕服務攻擊。
鄰近攻擊
此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網絡、系統和設備,目的是修改、收集信息,或者破壞系統。這種接近可以是公開的或秘密的,也可能是兩種都有,鄰近攻擊最容易發生在沒有良好保安措施的地方。典型的鄰近攻擊有:
a) 偷取磁盤后又還回;
b) 偷窺屏幕信息;
c) 收集作廢的打印紙;
d) 物理毀壞通信線路。
分發攻擊
分發攻擊是指在系統硬件和軟件的開發、生產、運輸、安裝和維護階段,攻擊者惡意修改設計、配置等行為。典型的分發攻擊方式有:
a) 利用制造商在設備上設置隱藏的攻擊途徑;
b) 在產品分發、安裝時修改軟硬件配置,設置隱藏的攻擊途徑;
c) 在設備和系統維護升級過程中修改軟硬件配置,設置隱藏的攻擊途徑。直接通過因特網進行遠程升級維護具有較大的安全風險。
內部威脅
內部威脅是由于內部管理不善, 由內部合法人員造成, 他們具有對系統的合法訪問權限。內部合法人員對系統的威脅, 除了具有上述人為安全威脅的攻擊方式, 還具有其特有的攻擊手段。內部威脅分為惡意和非惡意兩種,即惡意攻擊和非惡意威脅。惡意攻擊是指出于各種目的而對所使用的信息系統實施的攻擊。非惡意威脅則是由于合法用戶的無意行為造成了對政務信息系統的攻擊,他們并非故意要破壞信息和系統,但由于誤操作、經驗不足、培訓不足而導致一些特殊的行為,對系統造成了破壞。
典型的內部威脅有:
a) 惡意修改數據和安全機制配置參數;
b) 惡意建立未授權的網絡連接,如:撥號連接;
c) 惡意的物理損壞和破壞;
d) 無意的數據損壞和破壞,如:誤刪除。
2、傳統安全防范技術
面對如此眾多的威脅威脅, 傳統安全防范技術強調單個安全產品的重要性, 如防火墻的性能和功能,IDS 入侵檢測系統的高效性等,而對全網的安全威脅沒有一個仔細的研究,對網絡安全的設計沒有明確的層次和區域,如下圖所示:
網絡中部署了相關的安全產品,防火墻,VPN,IDS,安全管理等,但由于組網方式很隨意,沒有統一規劃,不清楚網絡的威脅,層次,區域策略,安全防護手段部署原則不明確,當網絡某一局部出現安全隱患被侵入后,由于網絡之間邊界不清楚,無清楚的邊界控制,攻擊很容易擴散,從而局部侵入馬上成為全網侵入,造成對全網的威脅。當局部的蠕蟲泛濫,造成全網的快速泛濫,企業用戶缺乏足夠的緩沖處理時間,可能很快造成全網癱瘓,而部署的安全設備也不能充分的發揮作用,成為資源的浪費。
3、縱深防御和安全區域劃分
因此,在多種多樣的安全威脅前,企業需要建立縱深防御體系,防止因某個部分的侵入而導致整個系統的崩潰;基于網絡系統之間邏輯關聯性和物理位置,功能特性,劃分清楚的安全層次和安全區域,在部署安全產品和策略時,才可以定義清楚安全策略和部署模式。
特別是對復雜的大系統,安全保障包括網絡基礎設施、業務網,辦公網,本地交換網,電子商務網,信息安全基礎設施等多個保護區域。這些區域是一個緊密聯系的整體,相互間既有縱向的縱深關系,又有橫向的協作關系,每個范圍都有各自的安全目標和安全保障職責。積極防御、綜合防范的方針為各個保護范圍提供安全保障,有效地協調縱向和橫向的關系,提高網絡整體防御能力。
安全區域劃分對企業網絡的建設有著以下重要意義:
縱深防御依賴于安全區域的清除定義
安全區域間邊界清晰,明確邊界安全策略
加強安全區域策略控制力,控制攻擊擴散,增加應對安全突發事件的緩沖處理時間
依據安全策略,可以明確需要部署的安全設備
使相應的安全設備充分運用,發揮應有的作用
安全域隔離技術
安全域隔離技術主要分為物理隔離技術和邏輯隔離技術兩類
物理隔離
? 物理級(電磁輻射)-- 屏蔽、干擾
? 終端級(雙網機)-- 雙盤型、雙區型
? 傳輸信道級 -- 非加密信道、加密信道
? 網絡級(網閘)
--信息交換型
--信息共享型
--系統互操作型
邏輯隔離
? 防火墻控制
? VLAN虛擬網技術
? FR, ATM技術
? L2TP V3,ATOM
? IPsec VPN, MPLS VPN, SSL VPN, GRE技術
? 病毒網關過濾技術
? 應用層安全控制技術