廈門服務(wù)器租用>業(yè)界新聞> 企業(yè)網(wǎng)絡(luò)及應(yīng)用層安全防護(hù)技術(shù)精要

企業(yè)網(wǎng)絡(luò)及應(yīng)用層安全防護(hù)技術(shù)精要

發(fā)布時(shí)間：2013/1/31 15:33:23 來(lái)源: 縱橫數(shù)據(jù)

　　企業(yè)網(wǎng)絡(luò)及應(yīng)用層由于網(wǎng)絡(luò)的開(kāi)發(fā)性、網(wǎng)絡(luò)協(xié)議等自身設(shè)計(jì)的薄弱和脆弱性以及由于經(jīng)濟(jì)利益驅(qū)動(dòng)而導(dǎo)致的黑客技術(shù)的攻擊性和目標(biāo)性的不斷增強(qiáng)等原因，經(jīng)受著來(lái)自網(wǎng)絡(luò)和應(yīng)用等多層次、多方面的網(wǎng)絡(luò)威脅和攻擊。可以說(shuō)，企業(yè)網(wǎng)絡(luò)信息安全能否得以保障，在絕大程度上取決于這個(gè)層次的安全防護(hù)技術(shù)的部署，本文將從企業(yè)網(wǎng)絡(luò)及應(yīng)用層面臨的網(wǎng)絡(luò)威脅出發(fā)，闡述該層所必需的一些安全防護(hù)技術(shù)。為各位的企業(yè)信息安全管理提供可靠的依據(jù)。
　　1、企業(yè)網(wǎng)絡(luò)及應(yīng)用層面臨的網(wǎng)絡(luò)威脅
　　最近的研究表明，安全問(wèn)題是企業(yè)目前面臨的最大挑戰(zhàn)。來(lái)自企業(yè)內(nèi)部和外部的動(dòng)態(tài)變化的安全威脅隨時(shí)會(huì)給企業(yè)運(yùn)營(yíng)帶來(lái)巨大的災(zāi)難，并最終影響企業(yè)的盈利能力和客戶滿意度。此外，中小型企業(yè)還要注意遵從為了保護(hù)消費(fèi)者隱私和保障電子信息安全而制定的各種法律法規(guī)。
　　1.蠕蟲和病毒
　　計(jì)算機(jī)蠕蟲和病毒是最常見(jiàn)的一類安全威脅。調(diào)查顯示，去年有75%的中小型企業(yè)感染過(guò)一種以上的病毒。蠕蟲和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性，其傳播速度也更快，甚至能在片刻間感染整個(gè)辦公場(chǎng)所，而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)間也更長(zhǎng)。可能造成的嚴(yán)重后果包括遺失訂單、破壞數(shù)據(jù)庫(kù)和降低客戶滿意度。雖然企業(yè)可以通過(guò)給計(jì)算機(jī)安裝防病毒軟件和升級(jí)操作系統(tǒng)補(bǔ)丁來(lái)加以防范，但是新病毒仍會(huì)隨時(shí)突破這些防線。同時(shí)，公司員工也可能通過(guò)訪問(wèn)惡意網(wǎng)站、下載不可靠的資料或打開(kāi)含有病毒代碼的電子郵件附件在不經(jīng)意間傳播病毒和間諜軟件，進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對(duì)蠕蟲、病毒和間諜軟件進(jìn)行檢測(cè)和防范。
　　2.信息竊取
　　信息竊取是一個(gè)大問(wèn)題。網(wǎng)絡(luò)黑客通過(guò)入侵企業(yè)網(wǎng)絡(luò)盜取客戶的信用卡和社會(huì)保障號(hào)碼而牟利。相對(duì)于大型企業(yè)，中小型企業(yè)的防范措施較弱因而更易遭受攻擊。僅僅在物理周邊加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠，因?yàn)楹诳涂赡軙?huì)伙同公司內(nèi)部人員，如員工或承包商，一起作案。信息竊取會(huì)對(duì)中小型企業(yè)的發(fā)展造成嚴(yán)重影響，因?yàn)樗鼤?huì)破壞中小型企業(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。此外，沒(méi)能采取充分措施保障信息安全的企業(yè)也可能會(huì)面臨負(fù)面報(bào)道、政府罰金和法律訴訟等問(wèn)題。例如，美國(guó)加利福尼亞州在新出臺(tái)的消費(fèi)者權(quán)益保護(hù)法中規(guī)定，任何企業(yè)在發(fā)現(xiàn)自己的客戶信息泄漏給非授權(quán)人員后必須馬上通知所有的客戶。任何安全策略必須能夠在企業(yè)內(nèi)部和外部對(duì)敏感的電子信息進(jìn)行保護(hù)。
　　3.業(yè)務(wù)有效性
　　計(jì)算機(jī)蠕蟲和病毒會(huì)嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的可靠性，進(jìn)而影響企業(yè)對(duì)客戶請(qǐng)求的響應(yīng)速度。然而，蠕蟲和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)運(yùn)營(yíng)與網(wǎng)絡(luò)越來(lái)越密不可分，網(wǎng)絡(luò)恐怖分子以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅，對(duì)企業(yè)進(jìn)行敲詐勒索。其中，以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊會(huì)占用關(guān)鍵網(wǎng)絡(luò)組件的大量帶寬，使其無(wú)法正常處理用戶的服務(wù)請(qǐng)求。結(jié)果是災(zāi)難性的：數(shù)據(jù)和訂單丟失，客戶請(qǐng)求被拒絕。而當(dāng)被攻擊的消息公之于眾后，企業(yè)的聲譽(yù)也會(huì)受到影響。雖然見(jiàn)諸報(bào)端的DoS攻擊主要發(fā)生在銀行和全球500強(qiáng)企業(yè)，但實(shí)際上中小型企業(yè)由于自身較弱的防范能力而更易遭到攻擊。此外，其他攻擊形式也會(huì)影響中小型企業(yè)的業(yè)務(wù)有效性，并進(jìn)而影響企業(yè)的盈利能力和客戶滿意度。例如，資源竊取攻擊會(huì)入侵企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)，并利用這些設(shè)備進(jìn)行非法的文件(如音樂(lè)、電影和軟件)交換服務(wù)。然而企業(yè)很難發(fā)現(xiàn)這種安全漏洞，它們的計(jì)算機(jī)和網(wǎng)絡(luò)響應(yīng)客戶請(qǐng)求的速度會(huì)大打折扣，而且還會(huì)因參與非法的文件交換而面臨法律訴訟的危險(xiǎn)。
　　4.垃圾郵件
　　2006年最后一個(gè)季度垃圾郵件猛增，這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過(guò)濾器造成的。由于發(fā)送大量垃圾郵件的成本很低--特別是通過(guò)"僵尸網(wǎng)絡(luò)"(botnet)。因此，網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。
　　2、拒絕服務(wù)攻擊防護(hù)技術(shù)
　　DoS的英文全稱是Denial of Service，也就是"拒絕服務(wù)"的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DoS是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式。其目的就是拒絕你的服務(wù)訪問(wèn)，破壞服務(wù)器的正常運(yùn)行，最終會(huì)使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶無(wú)法得到服務(wù)。DoS攻擊的基本過(guò)程是：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請(qǐng)求的資源就始終沒(méi)有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。
　　DDoS(分布式拒絕服務(wù))，其英文全稱為Distributed Denial of Service，是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。通常，DoS攻擊只要一臺(tái)單機(jī)和一個(gè)MODEM就可實(shí)現(xiàn)，與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。
　　拒絕服務(wù)攻擊攻擊很難解決。首先，被用來(lái)探測(cè)DDoS和DoS擊的網(wǎng)絡(luò)流沒(méi)有統(tǒng)一的特征;其次，DDoS布式特性使得它們極難被抵抗或追蹤;再次，配置拒絕服務(wù)攻擊的自動(dòng)化的工具可以非常容易的下載得到，攻擊者也可以使用IP偽裝技術(shù)來(lái)隱藏他們的真實(shí)身份，這就導(dǎo)致拒絕服務(wù)攻擊的追蹤更加困難。當(dāng)前，較為成熟和可用的決絕服務(wù)攻擊防護(hù)技術(shù)包括：
　　(1)入侵預(yù)防：對(duì)所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個(gè)階段首先是要阻斷已經(jīng)發(fā)動(dòng)的DoS攻擊，有許多DoS防御機(jī)制試圖使系統(tǒng)免遭DoS攻擊：
　　I)入口過(guò)濾：設(shè)置一個(gè)路由器來(lái)禁止帶有非法源地址的包進(jìn)入網(wǎng)絡(luò);
　　II)出口過(guò)濾：確定了離開(kāi)網(wǎng)絡(luò)的分配的地址空間;
　　III)基于歷史的IP地址過(guò)濾：可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫(kù)根據(jù)路由器之前的連接歷史來(lái)允許包進(jìn)入。
　　(2)關(guān)閉不使用的服務(wù)：通常如果網(wǎng)絡(luò)服務(wù)不需要或沒(méi)有使用，則可以關(guān)閉這些服務(wù)來(lái)阻止攻擊發(fā)生的可能。
　　(3)應(yīng)用安全補(bǔ)丁。
　　(4)負(fù)載平衡：使網(wǎng)絡(luò)提供方在重要的連接上增加帶寬，并防止萬(wàn)一攻擊發(fā)生時(shí)帶寬下降。
　　(5)使用蜜罐：是具有一定安全性的系統(tǒng)，用來(lái)欺騙攻擊者來(lái)攻擊蜜罐而不是真正的系統(tǒng)。
　　3、垃圾郵件防護(hù)技術(shù)
　　隨著Internet的發(fā)展，電子郵件作為一種通信方式逐漸普及。當(dāng)前電子郵件的用戶已經(jīng)從科學(xué)和教育行業(yè)發(fā)展到了普通家庭中的用戶，電子郵件傳遞的信息也從普通文本信息發(fā)展到包含聲音、圖像在內(nèi)的多媒體信息。電子郵件的廉價(jià)和操作簡(jiǎn)便在給人們帶來(lái)巨大便利的同時(shí)，也誘使有些人將之作為大量散發(fā)自己信息的工具，最終導(dǎo)致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。垃圾郵件問(wèn)題已經(jīng)極大地消耗了網(wǎng)絡(luò)資源，并給人們帶來(lái)了極大的不便。據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)(ISC)2005年第一次反垃圾郵件狀況調(diào)查顯示，中國(guó)郵件用戶2005年4月平均每人每天收到郵件16.8封，占收到郵件總數(shù)的60.87%。
　　(1)SMTP用戶認(rèn)證
　　這是目前最常見(jiàn)、最簡(jiǎn)單并且十分有效的方法。在郵件傳送代理(Mail Transport Agent，MTA)上對(duì)來(lái)自本地網(wǎng)絡(luò)以外的互聯(lián)網(wǎng)的發(fā)信用戶進(jìn)行SMTP認(rèn)證，僅允許通過(guò)認(rèn)證的用戶進(jìn)行遠(yuǎn)程轉(zhuǎn)發(fā)。這樣既能夠有效避免郵件傳送代理服務(wù)器為垃圾郵件發(fā)送者所利用，又為出差在外或在家工作的員工提供了便利。如果不采取SMTP認(rèn)證，則在不犧牲安全的前提下，設(shè)立面向互聯(lián)網(wǎng)的Web郵件網(wǎng)關(guān)也是可行的。此外，如果SMTP服務(wù)和POP3服務(wù)集成在同一服務(wù)器上，在用戶試圖發(fā)信之前對(duì)其進(jìn)行POP3訪問(wèn)驗(yàn)證就是一種更加安全的方法，目前，新浪等大型網(wǎng)站都相繼采用了該功能，使得這些大型服務(wù)商的服務(wù)器被利用來(lái)發(fā)送垃圾郵件的概率大大降低，同時(shí)，在應(yīng)用的時(shí)0候當(dāng)前支持這種認(rèn)證方式的郵件客戶端程序比較出色的是FoxMail。
　　(2)逆向DNS解析
　　無(wú)論哪一種認(rèn)證，其目的都是避免郵件傳送代理服務(wù)器被垃圾郵件發(fā)送者所利用，但對(duì)于發(fā)送到本地的垃圾郵件仍然無(wú)可奈何。要解決這個(gè)問(wèn)題，最簡(jiǎn)單有效的方法是對(duì)發(fā)送者的IP地址進(jìn)行逆向名字解析，即通過(guò)DNS查詢來(lái)判斷發(fā)送者的IP與其聲稱的名字是否一致，例如，其聲稱的名字為 pc.sina.com，而其連接地址為120.20.96.68，與其DNS記錄不符，則予以拒收。這種方法可以有效過(guò)濾掉來(lái)自動(dòng)態(tài)IP的垃圾郵件，對(duì)于某些使用動(dòng)態(tài)域名的發(fā)送者，也可以根據(jù)實(shí)際情況進(jìn)行屏蔽。但是上面這種方法對(duì)于借助Open Relay的垃圾郵件依然無(wú)效。對(duì)此，更進(jìn)一步的技術(shù)是假設(shè)合法的用戶只使用本域具有合法互聯(lián)網(wǎng)名稱的郵件傳送代理服務(wù)器發(fā)送電子郵件。需要指出的是，逆向名字解析需要進(jìn)行大量的DNS查詢。這樣，在網(wǎng)絡(luò)中將會(huì)出現(xiàn)大量的UDP數(shù)據(jù)包。
　　(3)黑名單過(guò)濾
　　黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫(kù)，最著名的是RBL、DCC和Razor等。這些數(shù)據(jù)庫(kù)保存了頻繁發(fā)送垃圾郵件的主機(jī)名字或IP地址，供MTA進(jìn)行實(shí)時(shí)查詢以決定是否拒收相應(yīng)的郵件。簡(jiǎn)單地說(shuō)，即數(shù)據(jù)庫(kù)中保存的IP地址或者域名都應(yīng)該是非法的，都應(yīng)該被阻斷。但是，目前各種黑名單數(shù)據(jù)庫(kù)難以保證其正確性和及時(shí)性，一般該名單的形成需要一段時(shí)間的積累。例如，曾經(jīng)一段時(shí)期，北美的RBL和DCC包含了我國(guó)大量的主機(jī)名字和IP地址，其中有些是早期的Open Relay造成的，有些則是由于誤報(bào)造成的。但這些遲遲得不到糾正，在一定程度上阻礙了我國(guó)與北美地區(qū)的郵件聯(lián)系，也妨礙了我國(guó)的用戶使用這些黑名單服務(wù)。
　　(4)白名單過(guò)濾
　　白名單過(guò)濾是相對(duì)于上述的黑名單過(guò)濾來(lái)說(shuō)的。它建立的數(shù)據(jù)庫(kù)的內(nèi)容和黑名單的一樣，但是其性質(zhì)是：庫(kù)中存在的都是合法的，不應(yīng)該被阻斷。同樣，該過(guò)濾方法存在的缺點(diǎn)與黑名單類似，也是更新和維護(hù)難以達(dá)到實(shí)時(shí)，一些正常的、不為系統(tǒng)白名單所收集的郵件有可能被阻斷。從應(yīng)用的角度來(lái)說(shuō)，在小范圍內(nèi)使用白名單是比較成功的，可以通過(guò)在企業(yè)或者是公司的網(wǎng)關(guān)處通過(guò)一段時(shí)間內(nèi)獲取由內(nèi)部發(fā)出的郵件的相關(guān)信息的辦法來(lái)生成白名單。
　　(5)內(nèi)容過(guò)濾
　　即使使用了前面諸多環(huán)節(jié)中的技術(shù)，仍然會(huì)有相當(dāng)一部分垃圾郵件漏網(wǎng)。對(duì)此情況，目前最有效、最根本的方法是基于郵件標(biāo)題或正文的內(nèi)容過(guò)濾。其中比較簡(jiǎn)單的方法是，結(jié)合內(nèi)容掃描引擎，根據(jù)垃圾郵件的常用標(biāo)題語(yǔ)、垃圾郵件受益者的姓名、電話號(hào)碼、Web地址等信息進(jìn)行過(guò)濾。更加復(fù)雜但同時(shí)更具智能性的方法是，基于貝葉斯概率理論的統(tǒng)計(jì)方法、支持向量機(jī)(SVM)方法、人工神經(jīng)網(wǎng)絡(luò)、Winnow等方法所進(jìn)行的內(nèi)容過(guò)濾，這些方法的理論基礎(chǔ)是通過(guò)對(duì)大量垃圾郵件中常見(jiàn)關(guān)鍵詞等采用上述方法進(jìn)行機(jī)器學(xué)習(xí)后分析后得出其分布的統(tǒng)計(jì)模型，并由此推算目標(biāo)郵件是垃圾郵件的可能性。這些方法具有一定的自適應(yīng)、自學(xué)習(xí)能力，目前已經(jīng)得到了廣泛的應(yīng)用。最有名的垃圾郵件內(nèi)容過(guò)濾是Spamassassin，它使用Perl語(yǔ)言實(shí)現(xiàn)，集成了以上兩種過(guò)濾方法，可以與當(dāng)前各種主流的MTA集成使用。內(nèi)容過(guò)濾是以上所有各種方法中耗費(fèi)計(jì)算資源最多、最有效的辦法，在郵件流量較大的場(chǎng)合，需要配合高性能服務(wù)器使用。
　　4、病毒防護(hù)技術(shù)
　　對(duì)于當(dāng)今網(wǎng)絡(luò)來(lái)說(shuō)，病毒和蠕蟲成為了一對(duì)"孿生兄弟"，兩者幾乎總會(huì)同時(shí)出現(xiàn)，而且對(duì)企業(yè)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)造成的危害也是非常致命的。從病毒的發(fā)展過(guò)程我們可以看出病毒有如下的發(fā)展趨勢(shì)：
　　◆病毒向有智能和有目的的方向發(fā)展
　　◆未來(lái)凡能造成重大危害的，一定是"蠕蟲"。"蠕蟲"的特征是快速地不斷復(fù)制自身，以求在最短的時(shí)間內(nèi)傳播到最大范圍。
　　◆病毒開(kāi)始與黑客技術(shù)結(jié)合，他們的結(jié)合將會(huì)為世界帶來(lái)無(wú)可估量的損失
　　◆從Sircam、"尼姆達(dá)"、"求職信"、"中文求職信"到"中國(guó)黑客"，這類病毒越來(lái)越向輕感染文件、重復(fù)制自身的方向發(fā)展。
　　◆病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分
　　◆基于分布式通信的病毒很可能在不久即將出現(xiàn)
　　◆未來(lái)病毒與反病毒之間比的就是速度，而增強(qiáng)對(duì)新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競(jìng)爭(zhēng)力之一。
　　當(dāng)今有幾種典型反病毒技術(shù)：
　　◆特征值技術(shù)：所謂特征值查毒法，就是在獲取病毒樣本后，提取出其特征值，然后通過(guò)該特征值對(duì)各個(gè)文件或內(nèi)存等進(jìn)行掃描。如果發(fā)現(xiàn)這種特征值，這說(shuō)明感染了這種病毒，然后針對(duì)性地解除病毒;
　　◆虛擬機(jī)技術(shù)：隨著病毒技術(shù)的發(fā)展，加密技術(shù)漸漸成熟起來(lái)，很多病毒的特征都在那么容易提取。這樣，虛擬機(jī)殺毒技術(shù)出現(xiàn)，所謂虛擬機(jī)技術(shù)，就是用軟件先虛擬一套運(yùn)行環(huán)境，讓病毒先在該虛擬環(huán)境下運(yùn)行，看看他的執(zhí)行效果。由于加密的病毒在執(zhí)行時(shí)最終還是要解密的。這樣，在其解密之后我們可以通過(guò)特征值查毒法對(duì)其進(jìn)行查殺;
　　◆啟發(fā)式掃描技術(shù)：新病毒不斷出現(xiàn)，傳統(tǒng)的特征值查毒法完全不可能查出新出現(xiàn)的病毒。啟發(fā)式掃描技術(shù)產(chǎn)生了。一個(gè)病毒總存在其與普通程序不一般的地方，譬如他會(huì)格式化硬盤，重定位，改回文件時(shí)間，修改文件大小，能夠傳染等等，通過(guò)在各個(gè)層面進(jìn)行病毒屬性的確定和加權(quán)，就能發(fā)現(xiàn)新的病毒;
　　◆計(jì)算機(jī)病毒疫苗："計(jì)算機(jī)病毒免疫"發(fā)源于生物免疫技術(shù)，就象為動(dòng)物注射某種病毒的免疫疫苗后可以對(duì)此病毒產(chǎn)生自然抵抗能力一樣。"計(jì)算機(jī)病毒免疫"就是一種具有類似特點(diǎn)的技術(shù)，它的設(shè)計(jì)目標(biāo)是不依賴于病毒庫(kù)的更新而讓電腦具有對(duì)所有病毒的抵抗能力。普通防毒軟件的最大缺點(diǎn)是總要等到病毒出現(xiàn)后才能制定出清除它的辦法，并且還要用戶及時(shí)的升級(jí)到新的病毒庫(kù)。這就讓病毒有更多的機(jī)會(huì)去蔓延傳播，而病毒免疫則完全打破這種思路，它可以讓電腦具有自然抵抗新病毒的能力，當(dāng)有新病毒感染計(jì)算機(jī)系統(tǒng)時(shí)不用升級(jí)病毒庫(kù)而同樣可以偵測(cè)出它。

本文來(lái)源：

上一篇: 普及正版軟件勢(shì)在必行

下一篇: 如何保護(hù)你的Windows文件服務(wù)器