4.1 漏洞补丁管理和系统发布技术
近年来,病毒借用黑客攻击的技术给网络带来严重的后果,如Code Red、Blaster等都无一例外地使校园网,甚至是整个Internet陷于瘫痪状态。补丁程序就是这类问题的唯一根本解决方案。但各类补丁程序数量多、规模巨大,组建漏洞补丁管理和发布应用系统成为当务之急。一个园区网没有补丁服务器是不够完整的。目前园区网内多以Windows系列为主,而它的漏洞危害严重,微软针对这一问题,在其服务器操作系统(Windows server)的企业版、完整版中提供了详细的解决方案,只要稍加学习就能很轻易的组建这类服务,而且不需要购买额外的服务设备。在园区网内专门设置Windows系统漏洞补丁管理和发布系统,对园区内的Windows系统进行统一管理,从本地服务器上下载更新补丁程序。其分析统计功能详细地列出了每个受管理系统的补丁程序的更新状况,实用性很强。
4.2 网络隔离技术
网络隔离技术的目标是确保把有害的攻击隔离,在保证可信任网内部信息不外泄(除专指)的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。
经过多年的发展,现在的隔离技术已经发展到第五代——安全通道隔离。此技术的实现是通过专用通信设备、专有安全协议、加密验证机制、应用层数据提取和鉴别认证技术等,并进行不同安全级别网络之间的数据交换,彻底阻断了网间网的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的风险。
4.3 陷阱技术与取证技术的使用
1)蜜罐(Honey pot)
蜜罐技术是陷阱技术的一种。它的原理是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间,从而达到预警和保护真正目标的目的。
2)蜜网 (Honey net)
蜜网技术是最为著名的公开蜜罐项目,它是一个专门设计用来让入侵者“攻陷”的网络,主要用来分析入侵者的一切信息、使用的工具、策略及目的等,它包含设计好的网络系统。一个典型的蜜网有多台蜜罐和防火墙来限制与记录网络通信流。
密网与传统意义上的密罐是不同的。密网是一个网络系统,而并非某台单一主机。该网络系统隐藏在防火墙内,对所有进出的资料进行监控、捕获及控制。这些被捕获的资料用于分析黑客团体使用的工具、方法及动机等。
在蜜网中,需要相当多的硬件。一种解决办法是使用虚拟设备,在单台设备上运行多个虚拟操作系统,如Solaris、Linux等,甚至把防火墙技术设置在这台机器上,这样建立的网络更加真实可信。另外,通过在蜜罐主机之前放置带有防火墙功能的网桥可以大大增加蜜网的安全性。
3)静态取证技术
它是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,当入侵后对数据进行确认、提取、分析、抽取出有效证据等。目前已有专门用于静态取证的工具,如Guidance Software的Encase,它运行时能建立一个独立的硬盘镜像,而它的Fast Bloc工具则能从物理层组织操作系统向硬盘写数据。
4)动态取证技术
它是将取证技术内嵌在防火墙、入侵检测以及蜜罐技术中,对所有可能的犯罪行为进行实时数据获取和分析,智能分析入侵者的企图,采取措施切断链接或诱敌深入。在确保系统安全的情况下获取大量的证据,并将证据鉴定、保存、提交。
动态取证技术能记录系统工作,尤其是黑客入侵的全过程,截取入侵工具,对黑客入侵方式进行技术分析。通过分析和研究,牵制和转移黑客的攻击,从而取得最新的攻击技术资料,提出防御攻击的方法。目前的动态取证产品国外开发研制的较多,如TNI的The Coroner,s Toolkit(TCT) 等。
4.4 超级用户的限制策略
如果一个入侵者通过种种途径获得了超级用户口令,那么他可能希望用这个账户和密码对服务器上的数据进行删除和篡改,这时我们的数据已经处于失窃的边缘。通过分析,即使是再利害的黑客都有一些条件不可能满足,如访问时间、访问地点等。如果我们事先利用主动防范制度,制定超级用户的限制策略:访问专机、时间以及发起访问的应用程序等几方面的登陆才能真正具有超级用户的条件。通过这些限制,入侵者攻击的企图就很难得逞。同时,这样的系统会将访问企图记录在服务器的日志中,达到对未知攻击的成功防范,为管理员处理新型的入侵方式争取到宝贵的响应时间。
5 结论
一个局域网的安全涉及到方方面面,绝对不是到市场上采购各种安全产品,然后简单地接入到网络中就万事大吉。技术与设备永远是在攻与防的对立中发展,而引导发展的都是人,只有灵活处置各种情况才能真正确保信息安全防御的目的。
参考文献
[1] Cisco公司编蓍.《Cisco IOS网络安全》.人民邮电出版社,2001年
[2] 屈延文审校.《网络安全实施方法》.人民邮电出版社,2000年
[3] 闫志刚编著.《cisco企业网快速构建与排错手册》.人民邮电出版社,2005年
[4] 韩东儒等译.《思科网络技术学院教程 网络安全基础》.人民邮电出版社,2005年
入侵检测系统与网络教学平台互动的研究及实现
数据安全策略研究