人們?yōu)榱私鉀Q資源的共享而建立了網(wǎng)絡(luò),然而全世界的計(jì)算機(jī)真的聯(lián)成了網(wǎng)絡(luò),安全卻成了問(wèn)題。因?yàn)樵诰W(wǎng)絡(luò)上,你不清楚對(duì)方在哪里,泄密、攻擊、病毒等等,越來(lái)越多的不安全因素讓網(wǎng)絡(luò)管理者難以安寧,所以把有安全需求的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)分開(kāi),是沒(méi)有辦法的選擇。分離形成了網(wǎng)絡(luò)的“孤島”,沒(méi)有了連接,安全問(wèn)題自然消失了。 然而因噎廢食不是個(gè)辦法,沒(méi)有連接,業(yè)務(wù)也無(wú)法互通,網(wǎng)絡(luò)孤島的資源在重復(fù)建設(shè)、浪費(fèi)嚴(yán)重,并且隨著信息化的深入,在各種網(wǎng)絡(luò)上信息共享需求日益強(qiáng)烈。
比如:政府的內(nèi)網(wǎng)與外網(wǎng),需要面對(duì)公眾服務(wù);銀行的數(shù)據(jù)網(wǎng)與互聯(lián)網(wǎng),需要支持網(wǎng)上交易;企業(yè)的辦公與生產(chǎn)網(wǎng),老總們的辦公桌上不能總是兩個(gè)終端吧;民航、鐵路與交通部的信息網(wǎng)與互聯(lián)網(wǎng),網(wǎng)上預(yù)定與實(shí)時(shí)信息查詢是便利出現(xiàn)的必然。本著有需求就有供應(yīng),因此,網(wǎng)絡(luò)邊界誕生了。
網(wǎng)絡(luò)邊界就是針對(duì)不同網(wǎng)絡(luò)環(huán)境所設(shè)置的安全防御措施。
把不同安全級(jí)別的網(wǎng)絡(luò)相連接,就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來(lái)自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。下面我們來(lái)看看網(wǎng)絡(luò)邊界上的安全問(wèn)題都有哪些:
非安全網(wǎng)絡(luò)互聯(lián)帶來(lái)的安全問(wèn)題與網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題是截然不同的,主要的原因是攻擊者不可控,攻擊是不可溯源的,也沒(méi)有辦法去“封殺”,一般來(lái)說(shuō)網(wǎng)絡(luò)邊界上的安全問(wèn)題主要有下面幾個(gè)方面:
1、信息泄密
網(wǎng)絡(luò)上的資源是可以共享的,但沒(méi)有授權(quán)的人得到了他不該得到的資源,信息就泄露了。一般信息泄密有兩種方式:
◆攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò),獲取了信息,這是從網(wǎng)絡(luò)內(nèi)部的泄密
◆合法使用者在進(jìn)行正常業(yè)務(wù)往來(lái)時(shí),信息被外人獲得,這是從網(wǎng)絡(luò)外部的泄密
2、入侵渠道
互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò),網(wǎng)絡(luò)上有各種勢(shì)力與團(tuán)體。入侵就是有人通過(guò)互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道),篡改數(shù)據(jù),或?qū)嵤┢茐男袨?,造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓,這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。
3、網(wǎng)絡(luò)病毒
與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián),難免在通訊中帶來(lái)病毒,一旦在你的網(wǎng)絡(luò)中發(fā)作,業(yè)務(wù)將受到巨大沖擊,病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無(wú)對(duì)手”、“無(wú)意識(shí)”的攻擊行為。
4、木馬入侵
木馬的發(fā)展是一種新型的攻擊行為,他在傳播時(shí)像病毒一樣自由擴(kuò)散,沒(méi)有主動(dòng)的跡象,但進(jìn)入你的網(wǎng)絡(luò)后,便主動(dòng)與他的“主子”聯(lián)絡(luò),從而讓主子來(lái)控制你的機(jī)器,既可以盜用你的網(wǎng)絡(luò)信息,也可以利用你的系統(tǒng)資源為他工作,比較典型的就是“僵尸網(wǎng)絡(luò)”。
來(lái)自網(wǎng)絡(luò)外部的安全問(wèn)題,重點(diǎn)是防護(hù)與監(jiān)控。來(lái)自網(wǎng)絡(luò)內(nèi)部的安全,人員是可控的,可以通過(guò)認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡,也就是我們說(shuō)的行為審計(jì)與合軌性審計(jì)。
1、黑客入侵
入侵的過(guò)程是隱秘的,造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種,只是入侵的方式采用的病毒傳播,達(dá)到的效果與黑客一樣。
2、病毒入侵
病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾,大量的自我繁殖,侵占系統(tǒng)與網(wǎng)絡(luò)資源,導(dǎo)致系統(tǒng)性能下降。病毒對(duì)網(wǎng)關(guān)沒(méi)有影響,就象“走私”團(tuán)伙,一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部,便成為可怕的“瘟疫”,病毒的入侵方式就象“水”的滲透一樣,看似漫無(wú)目的,實(shí)則無(wú)孔不入。
3、網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的,主要的目的是中斷網(wǎng)絡(luò)與外界的連接,比如DOS攻擊,雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù),但阻塞了應(yīng)用的帶寬,可以說(shuō)是一種公開(kāi)的攻擊,攻擊的目的一般是造成你服務(wù)的中斷。
對(duì)于公開(kāi)的攻擊,只有防護(hù)一條路,比如對(duì)付DDOS的攻擊;但對(duì)于入侵的行為,其關(guān)鍵是對(duì)入侵的識(shí)別,識(shí)別出來(lái)后阻斷它是容易的,但怎樣區(qū)分正常的業(yè)務(wù)申請(qǐng)與入侵者的行為呢,是邊界防護(hù)的重點(diǎn)與難點(diǎn)。
我們把網(wǎng)絡(luò)與社會(huì)的安全管理做一個(gè)對(duì)比:
要守住一座城,保護(hù)人民財(cái)產(chǎn)的安全,首先建立城墻,把城內(nèi)與外界分割開(kāi)來(lái),阻斷其與外界的所有聯(lián)系,然后再修建幾座城門,作為進(jìn)出的檢查關(guān)卡,監(jiān)控進(jìn)出的所有人員與車輛,是安全的第一種方法;
為了防止入侵者的偷襲,再在外部挖出一條護(hù)城河,讓敵人的行動(dòng)暴露在寬闊的、可看見(jiàn)的空間里,為了通行,在河上架起吊橋,把路的使用主動(dòng)權(quán)把握在自己的手中,控制通路的關(guān)閉時(shí)間是安全的第二種方法;
對(duì)于已經(jīng)悄悄混進(jìn)城的“危險(xiǎn)分子”,要在城內(nèi)建立有效的安全監(jiān)控體系,比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織,每個(gè)公民都是一名安全巡視員,順便說(shuō)一下:戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開(kāi)始在秦國(guó)使用了。只要入侵者稍有異樣行為,就會(huì)被立即揪住,這是安全的第三種方法。
作為網(wǎng)絡(luò)邊界的安全建設(shè),也采用同樣的思路:控制入侵者的必然通道,設(shè)置不同層面的安全關(guān)卡,建立容易控制的“貿(mào)易”緩沖區(qū),在區(qū)域內(nèi)架設(shè)安全監(jiān)控體系,對(duì)于進(jìn)入網(wǎng)絡(luò)的每個(gè)人進(jìn)行跟蹤,審計(jì)其行為等等。
從網(wǎng)絡(luò)的誕生,就產(chǎn)生了網(wǎng)絡(luò)的互聯(lián),Cisco公司就是靠此而興起的。從沒(méi)有什么安全功能的早期路由器,到防火墻的出現(xiàn),網(wǎng)絡(luò)邊界一直在重復(fù)著攻擊者與防護(hù)者的博弈,這么多年來(lái),“道高一尺,魔高一丈”,好象防護(hù)技術(shù)總跟在攻擊技術(shù)的后邊,不停地打補(bǔ)丁。其實(shí)邊界的防護(hù)技術(shù)也在博弈中逐漸成熟:
網(wǎng)絡(luò)隔離最初的形式是網(wǎng)段的隔離,因?yàn)椴煌木W(wǎng)段之間的通訊是通過(guò)路由器連通的,要限制某些網(wǎng)段之間不互通,或有條件地互通,就出現(xiàn)了訪問(wèn)控制技術(shù),也就出現(xiàn)了防火墻,防火墻是不同網(wǎng)絡(luò)互聯(lián)時(shí)最初的安全網(wǎng)關(guān)。
防火墻的安全設(shè)計(jì)原理來(lái)自于包過(guò)濾與應(yīng)用代理技術(shù),兩邊是連接不同網(wǎng)絡(luò)的接口,中間是訪問(wèn)控制列表ACL,數(shù)據(jù)流要經(jīng)過(guò)ACL的過(guò)濾才能通過(guò)。ACL有些象海關(guān)的身份證檢查,檢查的是你是哪個(gè)國(guó)家的人,但你是間諜還是游客就無(wú)法區(qū)分了,因?yàn)锳CL控制的是網(wǎng)絡(luò)的三層與四層,對(duì)于應(yīng)用層是無(wú)法識(shí)別的。后來(lái)的防火墻增加了NAT/PAT技術(shù),可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址,給內(nèi)部網(wǎng)絡(luò)蒙上面紗,成為外部“看不到”的灰盒子,給入侵增加了一定的難度。但是木馬技術(shù)可以讓內(nèi)網(wǎng)的機(jī)器主動(dòng)與外界建立聯(lián)系,從而“穿透”了NAT的“防護(hù)”,很多P2P應(yīng)用也采用這種方式“攻破”了防火墻。
防火墻的作用就是建起了網(wǎng)絡(luò)的“城門”,把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道,所以在網(wǎng)絡(luò)的邊界安全設(shè)計(jì)中,防火墻成為不可缺少的一部分。
防火墻的缺點(diǎn)是:不能對(duì)應(yīng)用層識(shí)別,面對(duì)隱藏在應(yīng)用中的病毒、木馬都毫無(wú)辦法。所以作為安全級(jí)別差異較大的網(wǎng)絡(luò)互聯(lián),防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。