随着信息技术的不断发展和生产办公自动化系统的逐步普及, 很多企事业单位内部的生产和管理环节都装备了以各种数据网络平台为核心的信息系统, 且很多都是通过在原有数据网络系统基础上逐步扩充子系统或者将原来互相独立的工作平台经逐步整合形成工作网络。这样的一套网络工作平台, 虽然在功能上能够满足实际应用需求, 看似运行良好, 但在系统的安全性上往往存在漏洞和隐患, 特别是随着因特网的普及和远程办公系统的广泛应用企事业单位内部的数据网络安全防范问题尤显突出, 容易因安全防范的疏漏造成敏感数据泄漏或系统运行瘫痪, 给正常工作带来影响。
为此, 需要综合考虑此类数据网络系统的组合情况, 找出可能存在的薄弱环节和安全机制设置节点, 针对性地加强防护设备和软件投入, 加强安全管理机制的制定和运行, 切实保证单位内部信息系统的安全。
1 可参考的标准安全模型和系统层次划分
1.1 P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表, 也是动态安全模型的雏形, 可供我们在实际分析和设置网络安全机制时加以参考, 它包括四个主要部分:Policy (安全策略) 、Protection (防护) 、Detection (检测) 和Response (响应) 。
(1) 安全策略:是模型的核心, 所有的防护、检测和响应都是依据安全策略实施的。网络安全策略一般包括总体安全策略和具体安全策略二个部分组成。
(2) 防护:是根据系统可能出现的安全问题而采取的预防措施, 这些措施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、访问控制、授权和虚拟专用网 (VPN) 技术、防火墙、安全扫描和数据备份等。
(3) 检测:当攻击者穿透防护系统时, 检测功能就发挥作用, 与防护系统形成互补。检测是动态响应的依据。
(4) 响应:系统一旦检测到入侵, 响应系统就开始工作, 进行事件处理。响应包括紧急响应和恢复处理, 恢复处理又包括系统恢复和信息恢复。
P2DR模型的思路就是在整体的安全策略的控制和指导下, 通过防护、检测和响应组成了一个完整的、动态的安全循环, 在安全策略的指导下保证信息系统的安全。其核心理念就是:及时的检测和响应就是安全, 及时的检测和恢复就是安全。
但P2DR模型也存在弱点, 在强调技术防范的同时忽略了管理和人员的因素, 如内部人员的素质不稳定, 安全制度落实不到位等。因此在实际的网络安全维护工作中, 除了要加强信息系统本身的安全免疫力, 人员这个在系统中最重要角色的素质提升也是不容忽视的重要一环。
1.2 系统层次划分
在具体的网络安全实践中, 可将系统分成如下几个层面。
(1) 应用层面:具体的业务应用系统、功能实现模块和操作界面程序等。
(2) 数据库层面:所有的应用系统基本都是以数据库操作为核心, 因此数据库的安全防护极为重要。
(3) 网络节点层面:网络应用十分多样节点众多, 如服务器、用户计算机、联网设备等, 因此管理也较复杂, 数据传输过程中存在极大风险。
(4) 管理层面:信息系统的使用需要遵循严格的程序和制度, 尽力排除人为因素引发的安全隐患。
以上每个层面都可以较清晰明确地从各类数据网络系统中进行划分, 从而方便我们针对每个层面分析可能存在的安全威胁并制定对策。
2 安全威胁分析
2.1 应用层面
(1) 假冒用户身份:非法用户假冒合法用户的身份访问应用资源, 如攻击者通过各种手段取得应用系统的一个合法用户的帐号访问应用资源, 或是一个内部的合法用户盗用领导的用户帐号访问应用资源。用户身份假冒的风险来源主要有两点:一是应用系统的身份认证机制比较薄弱, 如把用户信息 (用户名、口令) 在网上明文传输, 造成用户信息泄漏;二是用户自身安全意识不强, 如使用简单的口令, 或把口令记在计算机旁边等。
(2) 非授权访问:非法用户或者合法用户访问在其权限之外的系统资源。其风险来源于两点:一是应用系统没有正确设置访问权限, 使合法用户通过正常手段就可以访问到不在权限范围之内的资源;二是应用系统中存在一些后门、隐通道、陷阱等, 使非法用户 (特别是系统开发人员) 可以通过非法的途径进入应用系统。
(3) 数据窃取、篡改、攻击、抵赖:攻击者通过侦听网络上传输的数据, 窃取的重要数据, 或以此为基础实现进一步的攻击, 包括: (1) 攻击者利用网络窃听工具窃取经由网络传输的数据包, 通过分析获得重要的信息; (2) 内部用户通过网络侦听获取在网络上传输的用户帐号, 利用此帐号访问应用资源; (3) 攻击者篡改网络上传输的数据包, 使信息的接收方接收到不正确的信息, 影响正常的工作; (4) 信息发送方或接收方抵赖曾经发送过或接收到了信息。
2.2 数据库层面
(1) 登录数据库系统的身份认证采用“用户名/口令”认证方式, 防护能力薄弱。
(2) 数据库中存放的数据没有保护手段, 只要获取数据库的管理员的口令就可以获取数据库中的敏感信息。
(3) 数据库的访问操作没有安全审计功能, 无法保证数据库的安全监管和监督。
(4) 数据库的管理员的权限没有限制, 不能排除数据库管理员的自守自盗行为。
2.3 网络节点层面
(1) 操作系统可靠性:无论是UNIX或者Windows, 必然有后门和漏洞, 对于稍大的系统来说, 更可能涉及内部各节点的操作系统不统一, 所以存在着极大的风险。
(2) 对业务主机系统的非授权访问:网络业务主机系统中有些信息需经授权才能访问, 由于缺乏安全措施, 可能会有非法用户在没有经过允许的情况下直接常访问网络资源, 造成一些重要或者机密信息泄露出去, 造成不必要的损失和不良社会影响。
(3) 内部攻击:内部员工 (包括熟悉内部网络的其它人员) 可能尝试一些网络攻击, 甚至破坏。不论如何, 他们最为熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工, 可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工 (这些员工比已经离开的员工能造成更大的损失) 可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库删除数据等等。
(4) 业务信息传输易被监听和接收:客户端和服务器之间的连接节点多, 网络复杂, 所以暴露在外面的传输部分多, 且网络中的信息完全是明文传输, 所以存在明显的风险。首先是敏感数据在线路传输中泄露出去, 主要是黑客利用电磁泄露或搭线窃听等方式获得机密信息, 或者通过对信息流向、流量、通信频度和长度等参数的分析, 推出有用信息, 如用户口令、帐号等重要信息。其次是破坏数据完整性, 一些攻击者以非法手段窃取了对数据的使用权, 删除、修改、插入或者发送某些重要信息, 以取得有益于攻击者的响应, 以干扰用户的正常使用。
(5) 重要人员口令安全:各种应用系统、桌面端及域服务器通过简单静态的口令字和ID卡进行身份鉴别 (如使用服务器或数据库的认证机制) , 一旦身份鉴别通过, 用户即可访问服务器。使得攻击者可以通过以下几种方式很容易地获取口令字。
(1) 内部的管理人员因安全管理不当而造成泄密;
(2) 通过在公用网上搭线窃取口令字;
(3) 通过假冒, 植入嗅探程序, 截获口令字;
(4) 采用字典攻击方式, 获得口令字。
攻击者一旦掌握了某一用户口令字, 就有可能得到管理员的权限并可造成不可估量的损失。尤其对于重要人员 (包括领导、管理人员、财务人员或其它涉及敏感信息的重要应用人员) 的口令一旦失窃, 对应用系统将产生重大安全隐患。
2.4 管理层面
管理是数据网络系统正常运转的重要环节, 如果责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全风险, 如下。
(1) 让一些非本地员工或外来人员进入机房, 或者员工无意泄露他们所知道的一些重要信息, 而管理上没有相应的制度来约束。
(2) 没有制定完善的安全管理流程、无有效的服务器安全配置方案、日常维护服务不到位、缺乏紧急响应制度等。
3 防护对策
根据上述对可能存在的安全威胁的分析, 可以有针对性采取各种防护对策, 通过在网络系统中有针对性地引入各种安全产品, 增强静态安全防护能力, 完善动态安全管理措施等, 可以最大限度提高网络平台的安全性。
3.1 部署网络安全产品
3.1.1 防火墙
在部署防火墙之前, 首先要根据系统网络结构界定各部分边界, 比如内部局域网与Internet之间、远程子系统与中心机房以及远程子系统之间都可以设置边界。在此基础上, 在边界设立防火墙, 实现:过滤不安全的服务、提供对系统的访问控制、增强保密性、记录和统计网络利用数据以及非法使用数据等功能, 形成网络安全防护的第一道防线。
虽然防火墙能解决网络系统中的大部分安全问题, 但当内部用户绕过防火墙建立与外部网络的连接形成不受控通信管道;或者黑客利用防火墙必须打开的通道 (如Web服务、Po P3服务、某业务系统专有服务) 探测到内部服务器信息, 然后利用这些服务器漏洞攻入内部系统;甚至, 当内部用户有意对内部网络发起攻击或无意滥用系统权限时, 会产生非常严重的安全破坏防火墙还是无能为力。
3.1.2 入侵侦测产品
实时网络入侵侦测系统是防火墙技术的必要补充, 它能够监视局域网上传输的所有网络数据信息, 根据用户指定的保护目标及检测策略对网络上传输的数据进行深度分析, 当可疑行为或攻击行为发生时立即产生警报;同时根据用户需要, 能采取多种响应措施, 包括立即切断连接会话、重新配置防火墙、发送Snmp Trap消息、发送电子邮件等。
3.1.3 安全扫描产品
在局域网内部安装安全扫描产品, 完整准确的对现有的整个网络安全防护性能给出科学、准确的分析评估, 可以给出将要实施的安全策略技术上的可实现性、经济上的可行性、组织上的可执行性。对网络中使用的路由器、交换机、服务器、数据库服务器以及各工作站操作系统等进行深度的安全评估, 并根据评估的结果提出详细的修补、加固的意见。
3.2 身份认证机制和用户口令管理
在应用系统客户端和服务器、数据库服务器、网络服务器、相关网络设备 (路由器、交换机、防火墙等) 都应设置身份认证机制, 并纳入统一的用户集中管理制度中。对重要或复杂数据网络系统应采用部署安全认证服务器的办法进行集中认证管理, 如在局域网的服务器网段使用Radius/Tacacs/Tacacs+等认证服务。因认证服务器采用专用设备和专用的安全操作系统, 保证了自身的安全和24小时的不间断工作。有条件的可采用双机热备技术, 排除单点故障隐患, 为整个身份认证系统提供了一个安全可靠的中心认证平台。
在用户口令管理方面也应采取集中式管理, 配合相应的用户端口令管理软件模块, 确保用户登录的安全性。必要时, 可采取USB接口的智能钥匙、IC卡等多重认证登录手段, 通过密钥进行登录, 大大增加系统访问的安全性。
3.3 设置动态安全维护机制
安全一向是一个交互的过程, 使用任何一种安全防范产品都不能解决一直在发展的系统安全问题, 因为防火墙和网络入侵探测软件并无把握100%保护系统不受攻击和侵害, 同时各种系统软件、硬件都处于不断的维护更新状态之中。为此, 应定期使用网络安全扫描产品对实际安全状况进行综合评估, 找出存在的安全漏洞及其他的安全隐患。同时应实时地跟踪安全厂商和知名安全机构公布的安全警报信息, 及时修补系统漏洞。
3.4 建立安全管理制度
严格高效的管理在整个网络安全维护中显得尤为关键, 因此需配套建立系统安全应急响应制度, 对发现的安全问题以最快速度加以响应并有效解决;同时要制定信息安全管理制度, 并在制度的执行过程中切实做好技术指导和监督考核, 不断提高使用者的信息安全意识和安全防范技能。
4 结语
数据网络安全是一个系统工程, 它包括了多个层面的内容, 实施过程中要统筹考虑各层次安全策略、优化系统配置、建立安全管理制度和提高人员安全意识等很多方面, 还必须结合日常实践, 不断完善安全维护体系和应急响应机制, 最终实现系统的安全运行。
摘要:本文结合目前一般企事业单位数据网络平台现状, 从实际应用和管理的角度出发划分若干层次, 分析各层次安全威胁, 并给出相应基本防护对策, 并结合实践归纳了日常管理中的维护手段。
关键词:网络安全,企事业单位,防护