涉密企业网络建设的设计与规划

发布时间:2015-05-22 17:37:52

前言
    企业涉密网络即存储、处理和传输国家秘密信息的计算机网络。涉密网络建设要与安全保密建设同步进行,本章重点介绍涉密网络设计原则、网络安全保密体系结构、涉密网络的物理安全、运行安全。
第一节 涉密网络的设计原则
    涉密网络设计原则主要有:
一、物理隔离
    所谓物理隔离技术是指内部信息网络不和Internet等外部信息网络相连,从物理上断开的技术。这种方法基本杜绝了因为网络互通互连所造成的外部攻击或内部泄密的可能。物理隔离技术是近年来出现的安全保密手段,它解决了重要单位及要害部门对信息安全保密的突出需求。日趋完善的物理隔离技术和产品已成为网络安全保密体系中不可缺少的重要环节。
    从理论上说,一台计算机只要连接到网络上,它就会面临来自于网络的威胁。这些威胁是多方面的,但最主要的是黑客攻击和病毒入侵两种。对待这两种威胁最有效、最直接的办法就是物理隔离。
    国家保密局颁布并于2000年1月1日起开始实施的《计算机信息系统国际联网保密管理规定》规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。
    物理隔离的目的就是要使两个存储介质中的信息不会同时出现在同一个网络中。目前,物理隔离的实现模型,一般包括客户端选择设备和网络选择器,用户或通过开关或通过键盘选择控制客户端选择设备,选择不同的存储介质,在物理存储上隔断两个网络环境。对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;对于断电后不遗失信息的部件如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。同时,网络选择端要可以在必要的情况下进行相应的网络连接跳转,在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄露到外部网。
    在物理辐射上也要隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网。涉密网络建设,要从高起点开始规划,要严格按照国家有关规定实施。从布线开始就要按照内外网隔离的规范实施,内外网分别使用独立的服务器和交换机。
    物理隔离技术发展经历了三个阶段。
    第一阶段主要采取的是双网机技术。其主要原理和工作方式是:在一个主机内具有两块主板、两套内存、两块硬盘和 CPU,相当于两台机器,只是共用一个显示器,用户通过用户端开关可以分别选择两套计算机系统,并要求布双网线结构。这种方式的优点是技术水平相对简单,缺点是成本过高。
    第二阶段主要采用的是基于双网线的安全隔离卡技术。即在客户端增加一块PCI插卡,客户端的硬盘或其他存储设备首先连接到该卡,再通过该卡连接到主板上,这样就能通过该卡控制客户端硬盘或其他存储设备,在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。该技术较之第一阶段,技术水平更高,并且大大降低了成本。但是该技术在布线时仍然需要布双网线结构,在客户交换网线连接的时候并不能使存储介质隔离,因此存在较大的安全隐患。
    第三阶段主要采取基于单网线的安全隔离卡技术加上网络选择器的方法。即客户端依然采取类似第二阶段的安全隔离卡技术。不同的是,它只采用一个网络接口,而通过网线传递不同的电平信号到网络选择端,在网络选择端安装网络选择器,根据不同的电平信号选择不同的网络连接。该技术能有效地利用现有的单网线网络环境,成本较低,由于网络的选择器不在客户端,安全性也有提高。目前使用较多的就是这种技术。
    常用的网络安全隔离技术主要有两种:
    一是单主板安全隔离计算机。其核心技术是双硬盘技术,将内外网络转换功能做入BIOS中,并将插槽也分为内网和外网,使用更方便,也更安全,价格介于双主机和隔离卡之间。另外,由于这种安全电脑是在较低层的BIOS上开发的,处理器、主板、外设的升级不会给电脑带来什么“不兼容”的影响。它很好地解决了接入网络后局域网络信息安全、系统安全、操作安全和环境安全等问题,彻底实现了网络物理隔离。单主板安全隔离计算机在传统PC主板结构上形成了两个物理隔离的网络终端接入环境,分别对应于国际互联网和内部局域网,保证了局域网信息不会被互联网上的黑客和病毒破坏。主板BIOS控制的由网卡和硬盘构成的网络接入和信息存储环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用只能在另一环境中使用的设备。BIOS还提供所有涉及信息输出设备的控制,包括:
  (1)对软驱、光驱提供限制功能。在系统引导时不允许驱动器中有移动存储介质。双网计算机提供软驱关闭/禁用功能。
  (2)对双向端口设备提供限制功能。双向端口包括打印机接口、并行接口、串行接口、USB接口、MIDI接口。这些接口如果使用不当,也是安全漏洞,需要加强使用管理。对于BIOS,则由防写跳线防止病毒破坏、非法刷新或破坏以及改变BIOS的控制特性。
    二是隔离卡技术。其核心技术也是双硬盘技术。启动外网时关闭内网硬盘,启动内网时关闭外网硬盘,使两个网络和硬盘物理隔离,它不仅用于两个网络物理隔离的情况,也可用于个人资料既要保密又要上互联网的个人计算机的情况。其优点是价格低,但使用稍麻烦,因为转换内外网要关机和重新开机。
    其实网络安全隔离卡的功能就是以物理方式将一台PC虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,两种状态是完全隔离的,从而使一部工作站可在完全安全的状态下连接内外网。网络安全隔离卡被设置在PC中最低的物理层上,通过卡上一边的IDE总线连接主板,另一边连接IDE硬盘,内、外网的连接均须通过网络安全隔离卡。PC机硬盘被物理分隔成为两个区域,在IDE总线物理层上,在固件中控制磁盘通道,在任何时候,数据只能通往一个分区。在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时与外部网的连接是断开的,且硬盘的公共区的通道是封闭的;在公共状态时,主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。
    需要两种状态转换时,就通过鼠标点击操作系统上的切换键,系统通过硬件重启信号重新启动,这样,PC内存的所有数据就被清除。两个状态分别具有独立的操作系统,并独立导入,两种硬盘分区不会同时激活。为了保证安全,两个分区不能直接交换数据,但是用户可以通过一个独特的设计,来安全方便地实现数据交换,即在两个分区以外,在硬盘上另外设置了一个功能区,该功能区在PC处于不同的状态下转换,即在两种状态下功能区均表现为硬盘的D盘,各个分区可以将功能区作为一个过渡区来交换数据。当然根据用户需要,也可创建单向的安全通道,即数据只能从公共区向安全区转移,不能逆向转移,从而保证了安全区的数据安全。
二、最高防护
    在一个涉密网络中会有各种各样的涉密文件,这些文件的密级各不相同,有秘密级、机密级,也有绝密级。对不同密级文件的防护要求也是不同的,密级越高保护的要求就越严格。那么,我们在设计一个涉密网络的时候,应该以该网络中可能出现的最高密级为标准来设计。此外,对涉密媒体中的信息进行复制、存储、传输时也应按该媒体中信息的最高密级标明密级,并按相应密级进行管理。这就是我们通常所说的最高防护的原则。
这里重点介绍一下计算机系统安全的防护标准。
    为了使涉密网络分级工作便于操作和管理,各国都制定了相对固定的计算机系统安全标准。1983年美国国防部国家计算机安全中心(NCSC)提出了“可信计算机安全评价准则(TCSEC Trusted Computer System Evaluation Criteria,俗称橘皮书)”,为计算机安全产品的评价提供了测试标准和方法,并对计算机网络系统、数据库等的安全标准进行了解释。之后,NCSC又出版了一系列有关在TCSEC中,对用户登陆、授权管理、访问控制、审计跟踪、隐通道分析、可信通道建立、安全检测、生命周期保障、文本写作、用户指南均提出了规范性要求,并根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。具体划分如下:
可信计算机数据库、可信计算机网络等的指南(俗称彩虹系列)。
TCSEC安全等级
类别 级别 名称 主要功能
A A1 验证设计级 可形式化认证。该级要求构成系统的所有部件来源必须都有安全保证
B B3 安全域防护级 全面的访问控制、可信恢复
B2 结构化防护级 具有良好的结构化设计、形式化安全模型。要求对系统中所有对象加标签,并给设备分配安全级别
B3 标识安全防护级 强制存取控制(MAC),支持多级安全,对象必须在访问控制之下,不允许拥有者修改他们的权限
C C2 受控存取保护级 较完善的自主存取控制(DAC)、审计,限制了受控的存取控制
C1 自主安全防护级 自主存取控制,要求硬件有一定的安全保护
D D 最低安全级 未设任何安全指标,无安全功能
 
    TCSEC运用的主要安全策略是访问控制机制。用通俗的语言来讲,D级安全基本上相当于未加安全措施的个人计算机。C级安全使用了自主访问的策略,也就是根据用户需要进行授权,将主体对客体的读、写、删、创建、运行等功能设置成一个访问控制表,被授权的用户可以在其权限范围内进行相关操作。C2级与C1级的主要区别在于,C2级强化了审计跟踪的要求。
    B级安全则进一步采取了强制性访问控制机制来加强系统的安全性。该级不但要根据保密要求的高低分出等级进行标识,而且要根据领域进行标识。主体访问客体时要正确地匹配可访问的领域和保密等级,遵照所依据的安全模型制定最重要的安全原则,严禁上读、下写。B2级比B1级增加了对隐通道控制的要求,B3级又较B2、B1级增加了可信恢复的要求。
    A级安全是最高要求的安全级别,它不但具有B级以下所有强化安全的措施,而且要对所设计的安全系统进行形式化的描述和证明。
    TCSEC只针对计算机单机系统,并没有涉及到网络。为此,美国国防部又对TCSEC进行了扩充,制定了“可信计算机系统评估准则的可信网络解释”(简称“可信网络解释”)。“可信网络解释”评价网络安全性的方法是先将网络分成若干网络组件,再对各个组件进行安全测评,最后进行综合得出整个网络系统的安全等级。网络安全等级及其评价标准与TCSEC基本相同,但在网络系统中沿用这些规定时应做出必要的解释。
    值得一提的是,上述7个级别中B1级和B2级的差别最大,只有B2、B3和A1级才是真正的安全等级,可以经受程度不同的严格测试和攻击。而目前我国引进的计算机,其操作系统大都是属于C1和C2级的产品,安全隐患不容忽视。
    我国也有计算机系统安全防护标准,根据国家颁布的《计算机信息系统安全保护等级划分准则》,操作系统安全防护标准分为5个等级,其主要要求是:
    第一级(C1):自主访问控制、身份鉴别、数据完整性。
    第二级(C2):自主访问控制、身份鉴别、数据完整性、客体重用、审计。
    第三级(B1):自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记。
    第四级(B2):自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记、隐蔽信道分析、可信路径。
    第五级(B3):自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记、隐蔽信道分析、可信路径、可信恢复。
    一个安全的涉密系统一定要进行分级管理,其中包括对信息保密程度分级(绝密、机密、秘密);对用户操作权限分级(面向个人、面向群组);对网络安全程度分级(安全子网、安全区域);对系统结构分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面可选的安全体系结构以满足网络中不同层次的需求。
最高防护原则是一个综合概念,它要求涉密网络依据涉密程度采用最高防护等级,并使各项防护指标(密码、协议、芯片、防火墙、检测监控等)最优化,加强综合防护能力。
三、整体性原则
    网络安全包括许多方面的内容,有设备安全、信息安全、系统安全、安全管理等。从技术角度讲,网络安全是由安全的操作系统、应用软件、防火墙、网络监控、信息审计、信息加密、灾难恢复、安全扫描等来保证的。任何一个单独的部分都无法完成整个网络的安全管理工作。比如一个单位只购买了防火墙作为它保证网络安全的惟一措施,那么该单位只能实现对网络访问的控制,而对于攻击检测、网络安全监控等要求就无法满足了。因此我们说网络安全是一个整体的概念。在规划涉密网络时,必须保证网络设备和各个组件的整体性安全,这就是网络安全的整体性原则。
    管理学中的木桶效应说明网络安全防护必须坚持整体性原则。一只木桶盛水量的多少是由该木桶最短的一块木板所决定的。同样,一个涉密网络的安全性高低,是由该网络安全保密最薄弱的环节决定的。因此,涉密网络建设必须坚持整体性原则。
    那么,整体的网络安全模型是什么样呢?整体的网络安全模型由以下几个部分组成:M(Management)管理;P(Prediction)预警;P(Protection)防护;D(Detection)发现、扫描、检测;R(Response)反应;R(Recoveru)恢复/备份。
    管理:安全管理是网络安全中非常重要又常被忽视的一项内容。网络环境中出现的不安全问题并不全是由单纯的硬件设备引发的,还有许多非技术因素,比如管理。因此,我们在对设备和数据进行安全保护的同时,也需要加强对用户的安全管理。如实施单一的登录机制和统一的用户和目录管理机制等。只有从思想上意识到网络安全的重要性,建立严格的网络安全管理制度,才能真正保证网络的安全。
    预警:是通过对安全事件的相关性的分析和评估,预报未来安全事件发生的可能性及范围。
    防护:主要是通过适当的设备和软件,保护网络系统的安全性。防火墙就是一种最常用的防护技术。好的防火墙应该能够跟踪监控流经它的所有信息。
    检测:即对安全事件进行有效的检测和记录,一旦网络受到威胁,能够及时发现并做出反应。选择入侵检测系统时应特别注意其主要性能情况,如协议分析及检测能力、解码效率、自身安全的完备性、精确度及完整度、防欺骗能力、模式更新速度等。
    反应:建立完善的安全事件响应机制,制定多套响应方案,以应付各种突发事件。
    恢复/备份:当网络遇到攻击或突发的灾难,并造成损失时,可以及时恢复受损的部分,在最短的时间内恢复正常。
    由此可见,网络安全是一个系统工程,不是某一项技术可以完全解决的。网络安全包含多个层面,既有层次上、结构上,也有防范目标上的差别。在层次上涉及到网络层、传输层、应用层的安全;在结构上,不同节点考虑的安全也是不同的;在目标上,有些系统专注于防范破坏性的攻击,有些系统是用来检查系统的安全漏洞,有些系统用来增强基本的安全环节,有些系统解决信息的加密、认证问题,有些系统解决的是防病毒的问题。任何一个产品不可能解决全部的问题,因而一个完整的安全体系应该是一个由多种安全技术和产品构成的复杂系统,既有技术的因素,也有人为的因素,是个整体性的概念。
四、动态性原则
    网络安全管理是动态的。首先网络本身是动态变化的,网络的用户在不断增加,网络规模在不断扩大。其次网络安全问题也具有动态性,网络攻防技术不断发展,黑客不断地对网络进行攻击,病毒不断地产生。这就促使网络的防范策略也必须随着网络安全情况的变化而变化,从而形成一种相生相克的动态循环过程。
网络安全问题的这种动态性特征决定了不可能存在一劳永逸的安全解决方案,安全方案的制定必须要遵循动态性的原则。
    第一,网络安全系统要能适应网络环境发展和安全威胁的动态变化。安全系统不应是简单的决策响应型,而应是包含系统监测和实时响应的动态安全型。安全系统要:时刻监视网络情况,定期自动扫描系统和检查配置参数,分析和审查用户口令及访问授权,发现漏洞立即采取安全措施;实时监控和快速检测黑客攻击,并进行实时响应;对内部操作进行实时监控,避免内部人员的误操作和非授权访问。
    第二,网络安全设备要满足安全策略的动态要求。安全设备之间必须是相互关联的,并能够互动。例如,防火墙通常是对内外网络之间的通信进行访问控制,它是在网络层和应用层上实现的,因此对于通过协议隧道绕过防火墙的安全威胁,就无法防范。同时它是一种被动的防御体系,无法自动调整设置来阻断攻击。而入侵检测系统虽然能检测到攻击事件,但其自身却无法阻止和处理。如果能将防火墙模块和入侵检测系统集成在一起,实现互联互动,那么在入侵检测系统发现攻击行为之后,就能自动地调整防火墙的设置,及时阻断来自网络的威胁。
    第三,网络安全技术要不断发展、更新。一方面,当今世界信息技术更新速度非常快,每天甚至每小时都会有新产品问世。要密切关注网络安全技术领域的最新动态,及时更新自己的网络安全设备,升级安全防护软件;另外,全世界的黑客天天都在研究网络攻击技术,从来没有放松过对网络的攻击,某些黑客网站每天都在发布新的网络安全漏洞和攻击方法,我们必须提高警惕及时进行相应的技术升级来加以防御。
    第四,网络管理人员、网络管理机构以及涉密网络的用户也是动态的。要根据机构、人员、用户的变化,及时进行网络安全保密教育,严格网络安全保密管理。要根据人员变化和用户变化的情况,及时调整有关安全策略。动态性原则还包括对整个安全系统的动态的安全风险评估。通过定期对网络进行安全分析和安全测试,分析网络的安全风险,调整网络的安全策略,修补网络的安全漏洞。安全风险评估分为安全分析的方法和安全测试的方法,包括以下主要内容:对网络的拓扑结构和环境的变化必须进行定期的分析,并且及时调整安全策略;定期分析网络设备的安全性,检查配置文件和日志文件;定期分析操作系统和应用软件,一旦发现安全漏洞,应该及时修补。检测的方法主要采用安全扫描工具,测试网络系统是否具有安全漏洞和是否可以抗击有关攻击,从而判定系统的安全风险。主要的安全扫描包括:操作系统漏洞扫描,应用软件扫描和网络扫描等。
 
 
第二节 信息安全保密体系结构
一、涉密网络建设原则
    虽然网络安全技术多种多样,不同的网络的结构也不尽相同,但基本的安全设计原则是相同的。主要可以概括为以下几个基本原则:
  (1)同步建设原则。由于涉密计算机网络与安全保密系统是不可分割的统一整体,必须同步规划、同步建设。一定要杜绝“先建设,后防护,重使用,轻安全”的思想。要建立健全严格的网络保密审批制度,不经保密论证和审批,不得建网;已经建成的网络必须要经过技术安全保密检查并合格后方能投入使用。
  (2)分级防护原则。应该按照网络的涉密等级和重要程度,确定防护标准。对涉及战略全局的重要网络要重点防护,处理核心秘密的网络要单独设置,确保安全。涉密网络必须与外部网络实行物理隔离,禁止与国际互联网进行直接或间接的物理连接。
  (3)综合治理原则。解决安全保密是一项集技术与管理于一体的系统工程。解决安全保密问题离不开技术,但只靠技术,忽视管理,再好的技术也难以发挥作用。各类涉密网络,既要克服系统技术上的缺陷,又要解决管理环节上的漏洞,实行综合治理。
  (4)兼顾统筹原则。在网络建设与应用时,切记不能以牺牲保密为代价,来换取网络建设的速度和应用效率,也不能想当然地提出过高的安全保密要求,这样会挫伤网络建设与应用的积极性。二者必须统筹兼顾,既确保信息安全保密,又有利于网络建设和应用。
    另外,为了防止危及信息安全保密的事件发生,对其他非涉密网络,也应明确一些相应的原则,主要有:控制源头原则,即从信息源头抓起,坚持做到上网的不涉密,涉密的不上网;归口管理原则,即按业务系统实施保密管理,谁建谁管,网络连到哪里,保密工作就管到哪里;分级负责原则,即按职责区分网络管理责任,实行明确的保密工作责任制。
二、具体的网络安全解决方案
    我们这里介绍一种较为全面的网络安全的解决方案,以供参考和借鉴。这种方案主要包括四级安全防护措施。
  (一)网络级安全防护措施
    该措施主要是从网络层进行安全防护,有以下几方面的内容:
  (1)网络访问控制。在网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询、修改还是请求维护;提供基于用户的访问规则,针对不同的用户和用户的不同要求授予其不同权限,禁止非法用户进入。
  (2)网络地址翻译。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。具体说来,就是通过使用网络地址翻译技术,让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部信息,防止外部黑客利用#$ 探测技术发现内部网络结构和服务器的真实地址,进行攻击。
  (3)可疑网络活动的检测。如对ActiveX、Java、JavaScript、VBScript的WEB页面、电子邮件的附件、带宏的Office文档等经常可能带有计算机病毒以及特洛伊木马、BO等黑客工具的文件或程序进行检测,隔离未知应用,建立安全资源区域。
  (4)网络入侵防御。通过监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、恶意的程序、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机。
  (二)系统级防护措施
  (1)使用系统弱点扫描,能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置,提示管理员进行正确配置。
  (2)加强操作系统用户认证授权管理,限制用户口令规则和长度,禁止用户使用简单口令,强制用户定期修改口令。
  (3)按照登录时间、地点和登录方式限制用户的登录请求。
  (4) 增强访问控制管理,包括:对文件的访问控制除提供读(Read)、写(Write)、执行(Execute)权限外,还应该有建立(Create)、搜索(Search)、删除(Delete)、更改(Update)、控制(Control)等权限以满足复杂安全环境的需求。
  (5)网络病毒的防护。因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,网络在构建防病毒系统时,应利用全方位的防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒可能入侵的缺口。
  (三)应用级安全防护措施
  (1)实施单一登录机制。
  (2)实施统一的用户和目录管理机制,包括允许用户在单一的界面中管理不同系统的用户和目录结构,可以同时在多个不同的操作系统平台上创建、修改和删除用户,提供跨平台的用户策略一致性管理,实施基于策略的管理以确保系统安全;减少网络管理人员管理目录和用户的时间、精力,隐藏不同操作系统的差异。
  (四)数据级安全防护措施
    由于TCP/IP自身的性质决定了各种数据在传输的过程中都是以明文形式进行的,这就使数据在传输过程中存在极大的安全风险。如果不加防护,网络攻击者可以轻易地截获网络中传输的数据,甚至对其进行修改和破坏。这时就需要数据级的安全防护措施,即借助于专业的加密工具对数据进行加密以确保数据的保密性和完整性。
  (五)用户级安全防护措施
    用户级的安全措施主要是指管理用户账户。在用户获得访问特权时设置用户功能,或在他们的访问特权不再有效时限制用户账户。这项工作主要依靠管理员来完成,而借助于专业的评估审计工具将会使管理员更加有的放矢。具体来说主要有以下几方面:
  (1)入网访问控制。分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入网络。
  (2)网络的权限控制。根据访问权限可将用户分为两类:特殊用户(即系统管理员)和一般用户。系统管理员根据用户的实际需要分配操作权限,负责对网络安全控制与资源使用情况进行审计。
  (3)目录级安全控制。对目录和文件的访问权限可分为八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。
  (4)属性安全控制。能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、修改、显示等。
  (5)网络服务器安全控制。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除、破坏重要信息或数据;可以设定服务器登录的时间限制、非法访问者检测和关闭的时间间隔等。
  (6)网络监测和锁定控制。网络管理员可用以对网络实施监控。服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
三、OSI安全体系结构
    为了推动网络应用,实现各种网络互连,国际标准化组织计算机专业委员会,对开放系统互联即OSI(Open System Interconnection)环境的安全性进行了深入的研究,在此基础上提出了OSI安全体系(ISO7498-2-1989),规定了安全服务、安全机制、安全管理及有关安全方面的其他问题。此外,它还定义了各种安全机制以及安全服务在OSI中的各层配置。
    一般来说,对于一个网络系统,主要应考虑的问题有:实体的物理安全;数据的加密保护;人员管理;密钥管理;实施访问控制和验证技术,防止非法用户闯入网络系统;采用鉴别和签名技术,防止对数据的非法修改和服务拒绝等;采用审计跟踪技术,对危害网络安全的事件进行审计。
    OSI提出了每一类安全服务所需要的各种安全机制,而安全机制如何提供安全服务的细节可以在安全框架内找到。一种安全服务可以在OSI的层协议上进行配置,在具体的实现过程中,可以根据具体的安全需求来确定。OSI规定了两类安全服务的配置情况:即无连接通信方式和有连接通信方式。OSI安全体系结构包括安全服务、安全机制、安全配置。
  (一)安全服务
    针对网络系统受到的威胁,OSI安全体系结构中提出了6类特殊的安全服务。它们是:
  (1)对等实体鉴别服务。对等实体鉴别服务用于两个开放系统同等层中建立连接的实体,或数据传输阶段对对方实体的合法性进行判断,以防假冒。对等实体可以是用户与用户或进程与进程。鉴别服务还有数据源点鉴别,用于验证所收到的数据来源与所声称的来源是否一致,它不提供防止数据中途修改的功能。
  (2)访问控制服务。访问控制服务可以防止未经授权的用户非法使用系统资源。它可分为自主型访问控制和强制型访问控制两类。这种服务同时可以提供给一个用户组(通常是一个闭合的用户群)。实现机制可以是基于访问控制属性的访问控制表、基于安全标签或用户和资源分档的多级访问控制等。
  (3)数据保密服务。这是为了保护系统之间交换的数据,防止因数据被截获而造成信息泄密。由于"#$ 参考模型中规定数据传输可采用连接方式和无连接方式,因此,数据保密服务也提供连接方式和无连接方式两种保护。为了给用户提供方便,还提供可选字段的数据保护及信息流量填空服务。它的基础是数据加密机制的选择。
  (4)数据完整性服务。OSI中的数据完整性服务可以防止非法用户对正常进行交换的数据进行修改、复制和删除。它有五种服务方式:可恢复连接完整性、无恢复连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性。
  (5)数据源点鉴别(确认)。这是由OSI的第N层向第N+1层提供服务,它用以确保数据是由合法的实体发出的,以防假冒。
  (6)防止否认服务。这是防止数据发送方在发出数据后,又否认自己曾经发过此数据,还能防止接收方收到数据后否认自己曾收到过此数据。
  (二)安全机制
    为了提供上述安全服务,安全体系结构建议采用下述+ 种安全机制。
  (1)加密机制。加密是提供数据保护最常用的方法。加密算法按密钥的类型可分为对称密钥算法和非对称密钥(也称公开密钥)算法;按密码体制可分为序列密码算法和分组密码算法。这些算法具有不同的优缺点,根据加密的层次和加密对象可采用不同的算法。
  (2)数字签名机制。在通信双方交换数据时,为防止否认、伪造、篡改、冒充等行为的发生,应采用数字签名技术。数字签名机制规定了两个过程:对数据单元签名和验证已签名的数据单元。签名机制的本质特征是只能使用签名者私有信息签名。因此,当验证签名时,可在事后的任何时候向第三方(如:审查员或仲裁人)证实只有私有信息的惟一持有者才能产生这个签名。
  (3)访问控制机制。它是按照事先确定的规划,判断主体对客体的访问是否合法。当主体试图非法使用未经授权使用的资源(客体)时,访问控制机制将拒绝这一企图,并可附带报告这一事件给审计跟踪系统,审计跟踪系统产生一个报警或形成部分追踪审计。访问控制机制的实现常常基于一种或几种措施,如访问控制信息库、鉴别信息(如口令)、权限、安全标志、试图访问的时间、试图访问的路由和访问的持续时间等。
  (4)数据完整性机制。数据完整性包括两种形式:数据单元完整性和数据单元序列的完整性。保证数据完整性的一般方法是:发送实体在数据单元上加标记,这个标记是数据本身的函数,是经过加密的;接收实体产生对应的标记,并将产生的标记与接收到的标记相比较,以确定在传输过程中数据是否被修改过。数据单元序列的完整性是要求数据编号的连续性和时间标记的正确性(不是过时的),以防止假冒、丢失、重发、插入或修改数据。
  (5)鉴别交换机制。鉴别交换是以交换信息的方式来确认实体身份的机制。用于鉴别交换的技术有:①口令,由发方实体提供,收方实体检测;②密码技术,将交换的数据加密,只有合法用户才能解密;③使用该实体的特征或拥有物,这时常采用的技术是指纹识别和身份卡等。
  (6)通信业务流量填充机制。这种机制主要是对抗非法者在线路上监听数据并对其进行流量和流向分析。采用的方法一般是由保密装置在无信息传输时,连续地发出伪随机序列的方式,使得非法者不知哪些是有用的信息、哪些是无用信息。
  (7)路由控制机制。在大型的网络中,从源节点到目的节点可能有多条线路可以到达,有些线路可能是安全的,有些线路则可能是不安全的。路由控制机制可使信息发送者选择特殊的路由申请,以保证数据安全。目前典型的应用为IP层防火墙。
  (8)公证机制。在大型的网络中,由于有许多节点或端节点,而使用网络的所有用户并不都是诚实可信的,同时也可能由于系统故障等原因使信息丢失、迟到等,这很可能会引起责任问题。为了解决这种问题出现,就需要有一个大家都信任的第三者———公证机制,仲裁出现的问题。通信双方进行数据通信必须经过这个机制来交换,以确保公证机制能得到必要的信息,供以后仲裁。
    此外,还有一些不为特殊服务而设的普遍性安全机制。主要有:
  (1)可信功能度。为了扩充其他安全机制的范围或建立其有效性,必须使用可信功能度。这是要保证直接提供安全机制或访问安全机制的任意功能度都应是可信赖的。
  (2)安全标记。包含数据项的资源可能具有与这些数据相关联的安全标记。例如,指示安全等级(密级)的标记。通常,传送数据时需要同时传送适当的安全标记。安全标记可以是与被传送的数据相关的附加数据,也可以是隐含的信息,如通过使用一个特定密钥加密数据来隐含,或由数据上下文(如数据源点或路由)来隐含。显式安全标记必须能清晰地显示出来,以便验证。另外,它们必须安全可靠地依附于与之相关的数据。
  (3)事件检测。与安全有关的事件检测包括对明显威胁安全的事件和“正常”事件(如成功的访问或登录)的检测。与安全有关的事件可由包括安全机制的OSI实体来检测。
  (4)安全审计跟踪。这是一种很有价值的安全机制,可通过事后的安全审计来检测和调查遭到破坏的程度。安全审计是对系统数据的独立评估和审核,以测试系统控制是否充分,确保与既定策略和操作规程相一致。这有助于进行侵害评估,并指出控制、策略和程序的变化。
  (5)安全恢复。安全恢复机制可应其他机制的请求,在应用一组规则后采取恢复动作。
  (三)安全服务机制的配置
    前面概括介绍了网络系统所需要的安全服务和安全机制。由此我们可以看出,安全服务是由相应层的安全机制提供的。下面介绍OSI各层配置的安全服务机制。
  (1)物理层。物理层提供的安全服务有:保密;业务流安全(在双向、同时、同步、点到点情况下提供业务流安全服务);根据传输数据的类型提供限制业务流安全服务。该层安全服务采用数据加密和业务流填充机制来实现。
  (2)数据链路层。数据链路层可提供数据保密服务。数据保密服务用数据加密机制实现。
  (3)网络层。网络层的功能主要是路由选择和报文转发。因此,该层提供的安全服务有:对等实体鉴别(路由节点和路中节点的鉴别);访问控制;数据保密;数据的完整性;数据源点鉴别;业务流填充。
    该层安全服务采用的机制是:①对等实体的鉴别服务采用交换(用加密算法加密的)信息、受保护口令和签名机制等方法。"访问控制服务采用访问控制机制(如访问控制表等)实现。在网络层,访问控制有两种用途:一是允许一个路由节点控制网络连接的建立并拒绝非法的网络连接;二是控制一个或多个子网对网络资源的使用。②数据保密服务采用加密和路由控制机制实现。$数据源点鉴别服务可把加密、签名和数据完整性机制结合起来使用。③业务流安全服务是通过业务流填充,并结合该层以下的服务来实现的。
  (4)传输层。传输层介于通信子网和资源子网之间,起承上启下的作用。该层提供的安全服务是:对等实体鉴别;访问控制;数据保密;数据的完整性;数据源点鉴别。该层安全服务采用的机制与网络层相同。
  (5)会话层。会话层不提供安全服务。
  (6)表示层。在应用层安全服务的支持下,表示层除可提供传输层所提供的安全服务外,还可提供禁止否认服务。
  (7)应用层。应用层作为开放系统参考模型的最高层,为OSI用户访问网络系统环境提供手段。在这一层,由于有些应用实体是系统提供给所有用户使用的,而有些应用实体是用户自己开发,有特定用途的。因此,这一层的安全服务一般都是专用的,而且由于应用实体不同,所要求的安全服务不同,因而采用的机制也不同。原则上,6种安全服务都可以在本层实现。
第三节 涉密网络的物理安全
    涉密网络的物理安全策略是保护计算机系统、网络服务器、打印机等设施和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容环境;防止非法进入机房和各种破坏活动的发生。它包括环境安全、设备安全和介质安全三个方面。
一、环境安全
    涉密网络的安全环境有广义和狭义之分,广义的安全环境是指国际和国内的信息安全保密环境,这是大环境,是开展网络安全工作的基础和客观依据。狭义的安全环境是指计算机和网络所在场所的物理环境。由于计算机系统对场所环境的要求很高,湿度、温度、灰尘、雷击、静电等物理因素都会对计算机系统造成程度不同的影响,因此我们应该:
  (1)备份。应将关键性的数据和资料及时备份并将其保存在耐火、防潮的保险箱内,甚至可以将其保存于远离工作场所的地方。
  (2)防电磁辐射。应在机房采用电磁屏蔽措施,除对设备和插件进行金属屏蔽之外,还应对机房的下水管道和金属门窗进行屏蔽和隔离。
  (3)防火。机房内应配备充足的防火器材和设备,如消防栓、手提式灭火器、感应式烟尘探测器、自动喷淋灭火系统等。
  (4)防水。网络设备所在的场所在设计时应有防水天花板;墙壁、地板、天花板之间要有防水涂层或防水密封材料;机房内不应有供水系统的出口;地板下或地槽内要有排水设施。
  (5)保持一定的湿度。电子器件对湿度的要求很高,过湿可能引起硬件失效、电路板变形、磁介质霉变等;过低的湿度会引起静电荷的累计,影响硬件的特性。所以,机房应配备湿度计和加湿(除湿)设备。
  (6)防烟尘。机房内应设专用拖鞋或鞋套;严禁吸烟;每个终端最好有专用的防护罩或盖布;定期擦拭工作台、机箱;定期用吹风机或吸尘器除尘。
  (7)电源。计算机系统对电源的要求很高,电压要稳,不能突然断电。应使用稳压器和不间断电源,甚至可以自备发电机组以防意外。
  (8)应安装空调调节室内温度,保持室内整洁,防止污染。
二、设备安全
    为了确保设备安全,我国对境内的计算机信息系统安全专用产品实行生产销售许可证制度。
    由于信息技术固有的敏感性和特殊性,信息产品是否安全,专用的信息安全产品以及由这些产品构成的网络系统是否可靠,都成为国家、企业和社会各方面关注的问题。为此各国政府纷纷颁布标准,以测评和认证等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格管理。
    测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更严格。首先,在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和技术标准,推行安全认证制度,以控制国外进口产品和国内出口产品的安全性能。其次,对国内使用的产品,实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三,对信息技术和信息安全技术中的核心技术,由政府直接控制,如密码技术和密码产品。第四,在国家信息安全各主管部门的支持和指导下,由标准化和质量技术监督主管部门授权并且依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。
    在我国,安全专用产品的生产者要有销售许可证,安全产品必须经过国家权威部门或机构进行检测和认定。进入涉密系统的产品还要通过国家保密局的鉴定验收。
三、介质安全
    计算机磁介质是指计算机中用来记录、存储有关信息的设备,包括磁带、磁鼓、磁盘等。计算机的磁介质能存储大量的信息,这些信息很容易复制,不会留下痕迹。而且,删除旧信息的磁介质,经过特殊处理,可以再现原有信息。因此,它们在存储和传输的过程中,很容易遭到篡改、伪造、窃取、销毁等不法行为的威胁。从某种意义上说,计算机磁介质已经成为另一种形式的“保险柜”,财富和秘密的诱惑使计算机介质成为各国犯罪分子和情报部门窥伺的地方。
    那么如何才能保证计算机磁介质的信息安全呢?应该从思想意识、制度和技术手段等多方面给予关注和保障。
  (1)思想重视、制度健全。由于计算机磁介质应用频繁,携带方便,拷贝容易,所以给管理工作带来极大的不便。有关单位应该在思想上高度重视,把磁介质的安全放在与信息安全、信息保密同等重要的位置。应有专人负责,并制定完善的相关规章制度加以管理。
  (2)对磁介质进行分类。介质中的信息多种多样,有需要保护的重要信息,也有一般信息。为了给予重要信息以足够的重视和保护,对磁介质进行分类是非常必要的。分类以信息的重要性、敏感性为标准,也可根据本单位的具体情况来分类,并做出明显的分类标志。分类标志在计算机上显示时,要在文头特别字段指明,也可以在封装上用鲜艳的颜色编码表示。在拷贝信息时,要注意子信息要与母信息的磁介质分类相同。
  (3)对重要的磁介质还应采取如下措施:
    ① 要有信息加密和防止非法拷贝的措施。这是防止信息泄露的最关键措施。
    ② 要造册登记,编制目录,集中管理。除安装在驱动器上的磁盘外,都应装在箱内。
    ③ 复制、使用、发放、传递要有审批签字手续,建立登记制度。
    ④ 磁介质要放入金属箱内,并有保安措施以防磁性被破坏而导致信息丢失。
    ⑤ 介质、信息需要销毁时必须进行登记,并由承办人填写销毁记录,且要使用专门的销毁设备。
    ⑥ 对系统的采购和维修应在国内指定的单位进行。
    ⑦ 放置涉密磁介质的密闭容器必须由耐火材料制成,其耐火极限不应低于" 小时。
    ⑧ 涉密磁介质在停用、淘汰或转让时,必须用专门的设备将其上的数据彻底消除。
  (4)保存好备份的磁介质。磁介质最好分为两处进行保存,一是在机房内只存储维持运行的最少量的磁介质;二是在机房外存储备用的磁介质。这样可以有效地保证灾害恢复功能,最大限度地缩小可能的损失程度。
  (5)要定期检查备份的磁介质。磁介质存放较长时间后,上面记录的数据可能会由于种种原因而受到损坏。要根据磁介质的使用寿命和存放地的环境定期检查和重复拷贝,以保证信息的可靠性和持久性。
  (6)对磁介质的使用要严格管理。磁介质内信息的增减要有清楚、完整的记录,文件的使用中任何人不得随意修改。
  (7)不得重复使用载有绝密信息的磁介质。磁介质虽然可以通过消磁来消除上面的信息,但是无法彻底清除,总会有一些信息残留在磁介质上。因此,记录过绝密信息的磁介质只准许使用一次,不得再作他用。
  (8)尽量在软盘上读写涉密文件。对一般单位来说,这是最简单也是最保险的办法。因为,就目前来说,对电脑硬件的任何防护措施都无法保证硬盘中数据的绝对安全。另外,使用软盘也应明密分开。混用不但不利于管理,而且提高了管理成本。
  (9)对新型移动的存储设备以及硬盘、活动硬盘要严格管理。
第四节 涉密网络的运行安全
    前面我们介绍了涉密网络的设计原则、网络安全体系结构和物理安全方面的一些问题。一个涉密网络一旦建成运行起来,它就是一个动态的网络,随时都可能遇到许多新的问题,有无法预料的自然灾害和人为破坏,还有防不胜防的黑客攻击和病毒入侵。这一节重点介绍计算机系统的备份与恢复和计算机病毒的防治问题。
一、备份与恢复
    随着网络技术的普及,我们的工作和生活对网络和计算机的依赖程度越来越高,一旦网络遭遇天灾人祸,将有可能造成难以弥补的损失。因此,今天的人们已经越来越多地感觉到数据备份与恢复的重要性。尤其是对重要的数据和文件更应该坚持进行严格的备份以防万一。
  (一)备份技术
    许多人认为备份就是将数据拷贝后保存起来,而且数据一旦备份后就可以确保万无一失了。其实,这是对备份的误解。实际上,备份不仅仅是对数据的保存,还应包括对整个系统的备份。这样,在系统遭到自然灾害或人为破坏的时候,才可能通过备份对系统进行迅速有效的恢复。因此,在作备份计划时,不但要考虑传统意义上的数据、文件备份,还要注意对操作系统、应用程序等系统内容的备份。
    备份的方式主要有全备份、增量备份和差分备份三种。
  (1)全备份(Full Backup)。所谓全备份,就是每天用一盘磁带对整个系统进行包括系统和数据在内的完全备份。这种备份方式的好处是很直观,容易被人理解。而且当发生数据丢失的灾难时,只要用一盘磁带(即灾难发生前一天的备份磁盘),就可以恢复丢失的数据。但它也有不足之处:首先,由于每天都对系统进行完全备份,备份数据中就会有大量重复内容,例如操作系统与应用程序。这些重复的数据占用了大量的磁带空间,也增加了备份的成本;其次,由于这种备份的数据量相当大,因此备份时间较长。对于那些业务繁忙、备份时间有限的单位来说,这种备份无疑是不合适的。
  (2)增量备份(Incremental Backup)。增量备份的意思是每次备份的数据只相当于上一次备份后增加的和修改过的数据。这种备份的优点很明显:没有重复的备份数据,节省磁带空间,又缩短了备份时间。但它的缺点在于当发生灾难时,恢复数据比较麻烦。举例来说,如果系统在星期四的早晨发生故障,那么现在就需要将系统恢复到星期三晚上的状态。这时,管理员需要找出星期一的完全备份磁带进行系统恢复,然后再找出星期二的磁带来恢复星期二的数据,最后再找出星期三的磁带来恢复星期三的数据。显然,这比第一种备份方式要麻烦得多。另外,在这种备份下,各磁带间的关系就像链子一样,一环套一环,其中任何一张磁带出了问题,都会导致整个系统无法恢复。
  (3)差分备份(Diffetential Backup)。差分备份就是每次备份的数据是相对于上一次全备份之后新增加的和修改过的数据。管理员先在星期一进行一次系统完全备份;然后在接下来的几天里,再将当天所有与星期一不同的数据(增加的或修改的)备份到磁带上。差分备份无需每天都做系统完全备份,因此备份所需时间短,并节省磁带空间,它的灾难恢复也很方便,系统管理员只需两盘磁带,即系统全备份的磁带与发生灾难前一天的备份磁带,就可以将系统完全恢复。
    那么,备份所需要的硬件设备和技术都有哪些呢?时下比较常用的有硬盘介质存储、光介质备份和磁带/磁带机存储技术。
    与光学介质备份和磁带/磁带机存储技术相比,硬盘存储所需的费用要昂贵得多。磁盘存储技术虽然可以提供容错性解决方案,但容错无法阻止逻辑上的错误,如人为误操作、数据错误和病毒等。一旦两个磁盘在短时间内失灵,在一个磁盘重建之前,不论是磁盘镜像还是磁盘都不能提供数据保护。因此,在大容量数据备份方面,采用硬盘作为备份介质并不是最佳选择。
    与硬盘备份相比,虽然光学介质备份比较经济,但它所用的访问时间要比硬盘长2到6倍,并且容量相对较小。当备份大容量数据时,所需光盘数量较大;虽然保存的时间较长,但整体可靠性较低。所以光学介质也不是大容量数据备份的最佳选择。
    在大容量备份方面,磁带机具有较大优势:容量大并可灵活配置;速度相对适中;介质保存时间长,可存储/6 年以上;成本较低;数据安全性高;可实现无人操作的自动备份等。所以一般来说,磁带设备是大容量网络备份用户的主要选择。
    备份在需要大量硬件的同时,还需要适当的备份软件的支持。大多数人只了解操作系统附带的一些备份功能,但对专业备份软件却知之甚少。备份软件一般可分为两大类:一种是各个操作系统厂商在软件中附带的,如NecWare操作系统中的“Backup”功能、NT操作系统中的“NTBackup”等;二是各个专业厂商提供的各种专业备份软件,如HP OpenView Omni Back II和CA公司的ARCserceIT等。对于备份软件的选择,不仅要看它是否使用方便、自动化程度高,还要看它是否有好的扩展性和灵活性。一个专业的备份软件配合高性能的备份设备,能够使损坏的系统迅速起死回生。
  (二)恢复技术
    恢复技术就是当系统遭受灾难后,如何迅速、准确地把系统软件、应用软件以及备份数据等装入系统中,恢复系统的正常运行。恢复系统通常提供两种功能:预防可能的错误和出现灾难后的恢复。灾难恢复其实是一种非常传统的工作。自从在最早的DASD设备上存储第一批数据开始,灾难恢复就是人们长期致力于解决的一个问题。现在,介质备份和远离现场存储等工作已是一种常规任务。
    恢复过程可分为以下几种:
  (1)向前恢复。如果系统故障或事务失败,则在故障后将影响事务运行的软件和数据恢复到事务开始前的状态。这就要求能够向前处理恢复日志。
  (2)正向恢复。当存储的信息被破坏,而不危及系统日志时,可将数据库的最近映像连同日志一并输入系统,然后按照日志记录的操作顺序,用每个操作的后像代替前像,将数据恢复到最近可用状态。
  (3)校正。在某些情况下,如日志被损坏,它是不可能通过正常过程恢复的。这时必须使用特定的历程去检验数据中有问题的部分的一致性,通过修补的方法纠正错误。
二、计算机病毒防治
    计算机病毒其实就是一种软件。在《中华人民共和国计算机信息系统安全保护条例》中,对计算机病毒给出了明确的定义:“指编造或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码”。
    和其他软件一样,计算机病毒也是由人编写的,只不过它的目的不是造福于人类,而是专搞破坏活动。在网络环境下,计算机病毒有着不可估量的破坏力。目前全球已发现5万余种病毒,并且还在以每天10余种的速度在增长。我国平均每100 台电脑就有73台感染过计算机病毒,其中感染三次以上的用户高达59%。更有资料显示,病毒所造成的损失,占网络经济损失的76%,仅“爱虫”病毒在全球所造成的损失,就高达96亿美元。由此可见,计算机病毒已成为威胁计算机和网络安全的重要隐患之一,对它的防范是网络安全建设中的重要环节。
  (一)计算机病毒的种类与结构
    虽然不同类型的计算机病毒采取的机制和表现手法不尽相同,但计算机病毒的结构基本相似,一般来说由以下三个程序模块组成。
  (1)引导模块。在合适的条件下,引导模块作为整个病毒程序的组成部分,首先得到执行。它负责把病毒程序加载到内存中合适的区域,并嵌入到正在执行的操作系统或其他宿主程序中,完成激活前的全部准备工作。
  (2)传染模块。传染模块主要负责寻找传染的条件和传染的对象,在保证被传染对象正常工作的情况下,将病毒程序自身(或变形后的自身)复制到被传染对象中,从而完成计算机病毒的复制传播任务。是否具备这种复制能力是判断一个程序是否为病毒程序的必要条件。
  (3)破坏与表现模块。这里的破坏不仅是破坏系统的软、硬件和数据、文件等,而且还表现在明显地降低整个系统的运行效率。这部分程序负责捕捉进入被破坏程序的条件,在条件满足时开始进行破坏系统或数据的工作,甚至可以毁掉包括病毒程序本身在内的所有系统资源。
    根据传染的方式,病毒可分为:引导型病毒、文件型病毒和混合型病毒三种。
    通常,病毒能感染的只是可执行代码。在电脑中,只有引导程序和可执行文件是可执行代码。宏病毒是一类比较特殊的病毒,如word宏病毒可感染非执行文件,但宏其实也是一种可执行代码。
另外,根据特有算法,病毒又可分为:伴随型病毒和蠕虫病毒两种。
    计算机病毒具有以下几个主要特点:
  (1)传染性。传染性是计算机病毒的共同特征。病毒程序通过自己的再生功能把自身复制到其他尚未感染的对象中。病毒的这种快速自我复制机制提高了病毒的生存能力和危害性。为了获得被激活的继续传染能力,病毒一般只传染可执行文件。
  (2)潜伏性。大部分的病毒感染系统之后,一般不会马上发作,而是长期隐藏在系统中。只有在满足某种特定条件时才启动其破坏与表现模块。这些病毒在平时会隐藏得很好,只有在发作时才会露出本来面目。病毒正是借助这一特性来进行广泛的传播。所以,人们往往无法在第一时间发现病毒的入侵,当发现时已经晚了。如著名的CIH病毒就只在26日发作,“黑色星期五”则是每逢13号星期五的日子发作。
  (3)隐蔽性。在没有防护措施的情况下,计算机病毒在侵入系统之后,能在很短的时间里感染大量程序。这些病毒通常潜伏在正常程序或磁盘中较隐蔽的地方,也有一些病毒以隐含文件的形式出现,其目的就是不让用户发现它们。加之受到感染的计算机系统通常仍能正常运行,因而用户不易察觉任何异常。
  (4)可执行性。由于病毒本身是一种可执行的程序代码,所以病毒程序在计算机内的存在形式有激活和静止两种状态。计算机没有运行病毒程序时,病毒程序是静止的。这时,它既不能感染其他程序,也不能破坏系统和用户的资源。只有当病毒程序被执行后,它才被激活,同时获得计算机操作系统中的部分控制权,开始其一系列的既定操作。
  (5)破坏性。任何病毒程序只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机的工作效率,重者可导致系统崩溃。根据破坏程度的不同又可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无聊的话,或者根本不造成破坏,而只占用系统资源;恶性病毒则有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,有可能对数据造成不可挽回的破坏。
  (6)相关性。一般的计算机病毒都是与具体的计算机操作系统和硬件环境密切相关的。这是由于具体的操作系统与硬件环境限制了程序代码的可执行能力,因此,寄生在可执行程序上的病毒程序不具备跨操作系统平台的传播能力。
  (7)不可判定性。病毒是一段程序,不同种类的病毒,它们的代码千差万别,任何人都不可能预测明天将会出现什么新病毒。虽然有些人利用病毒的某些操作的共性制作了声称可以查杀所有病毒的程序,但由于当今软件的种类极其丰富,而且某些正常程序也使用或借鉴了一些病毒的技术。所以,要想对所有病毒进行准确的判定是非常困难的,也不可能做到真正查杀所有病毒。因此我们认为病毒具有不可判断性,既有共性也有个性,要具体问题具体分析,永远不可能有一劳永逸的防病毒软件。
  (二)病毒的传播途径和发展趋势
    病毒的传播方式始终是随着计算机和网络技术的发展而发展的。早期的病毒主要是通过软盘传播,当软盘在感染病毒的计算机上使用后,哪怕只是看一下软盘的目录,这张盘都有可能被病毒感染。如果再将这张盘在没有病毒的计算机上使用,就会不知不觉地将病毒传染给这台计算机。感染后的计算机又会承担继续传播病毒的任务。周而复始,病毒就这样传播开来了。
    目前,软盘仍然是计算机病毒传播的主要渠道之一,但已出现了许多新的病毒传播途径,其中较为常见的有:
  (1)通过一些新的存储介质传播。其中光盘是最常见的一种。光盘以其低廉的价格和较大的容量成为存储信息最为理想的介质,目前,电子出版物的大量涌现,绝大多数都是以光盘为载体的。同时,光盘也顺理成章地成为盗版软件的理想载体。盗版软件制作粗糙,内容来源混乱,加之盗版者利欲熏心,根本不可能主动查杀病毒,因此大量盗版软件的出现,为病毒的传播提供了肥沃的土壤。
  (2)通过游戏软件传播。随着计算机整体性能的提高,目前的游戏软件规模越来越大,多媒体效果越来越好,许多人为了使速度更快,把游戏软件安装在硬盘上玩。由于游戏软件规模较大,即使病毒程序隐藏其中也很难发现,这样一来,病毒就很顺利地侵入到电脑中了。
  (3)通过计算机硬件传播。病毒首先隐藏在嵌入式芯片的程序中,然后通过将芯片装入计算机而完成传播过程。这种途径比较少见,但却极具隐蔽性和实时性。
  (4)通过互联网传播。通过网络,人们可以足不出户漫游全球,享受方便快捷的信息服务。然而,网络的方便快捷也为病毒的传播打开了方便之门。在网络环境中,由电子邮件、共享软件、数据文件携带的文件病毒、宏病毒,通过服务器到用户、用户到用户等形式进行传播,速度快,范围广,而且隐蔽性好。因此网络已逐渐成为病毒传播的最主要途径。
    近年来,互联网在全球得到迅猛发展。互联网的发展使病毒也发生了许多新的变化,孕育出了网络病毒。由于网络具有互联性特点,从而大大增强了网络病毒的威力。具体表现在以下几个方面:
  (1)网络病毒唱主角。随着网络技术的发展,宽带网络得到普及,网速大幅度提高,这就使传输文件变得非常快捷,计算机之间的远程控制也越来越方便,因此,今后病毒的传播可以具有一定的方向性,按照制作者的要求去感染特定的内容。
  (2)病毒与黑客技术相结合。网络病毒逐渐成为黑客攻击的有力武器,特洛伊木马病毒就是病毒与黑客技术结合的典型代表。这样的病毒发作时,不但会给系统造成破坏,而且往往伴随着用户秘密文件的丢失。这种丢失不仅仅是被删除而且是被窃取,一旦被黑客利用,将给用户带来巨大损失。由此可见这种结合既增大了病毒的威胁性,又增加了黑客的攻击力,危害极大。
  (3)传播能力增强。为了节约数据传输的时间和存储空间,压缩技术在互联网和Windows系统中得到广泛应用。目前的程序代码或数据文件很多是经过压缩后传输的。由于压缩文件在解压后才能进一步使用,这就使数据文件也具备了携带病毒的能力。另外,现在许多病毒不再需要宿主,比如宏病毒就不需要寄生在其他可执行的程序体上,所以这种病毒程序具备了跨平台操作的能力。也就是说,只要你在互联网上,世界任何地方的病毒都有可能传到你的计算机上。病毒传播已经没有了地域和国界限制。
  (4)变形能力增强。可任意变形、异常复杂的病毒的出现,标志着病毒程序设计水平的提高和病毒变化、生存能力的增强。这种病毒每自我复制、传染一次,就要改变自身的加密数据,使之具有新的、不同的面孔,给检测和清除这种变形病毒程序的工作造成很大困难。
  (5)交互能力增强。黑客病毒程序的出现,说明病毒程序设计者的目的突破了破坏系统资源、干扰系统运行的常见模式,使病毒具备了窥视、窃取信息的能力。为了更好地达到这一目的,设计者应用客户/服务器的结构设计出来的病毒程序,增强了与远程黑客之间的人机交互能力。
  (6)邮件病毒增加。这类病毒是由受到感染的计算机自动向用户的通讯录中的人发送带毒文件,而且这类邮件的标题当中有一些具有诱惑力的话语(如爱虫病毒、新年快乐病毒等),由于是熟悉的人发送的邮件,接收者往往没有戒心。因此,这类病毒传播速度非常快,只要有一个用户受到感染,就可以形成一个非常大的传染面。
    具体说来,病毒通过网络传播的方式主要有以下几种:
    ①病毒直接从有盘站拷贝到服务器中。
    ②病毒先传染工作站,在工作站内存驻留,等运行网络程序时再传染给服务器。
    ③病毒先传染工作站,在工作站内存驻留,在运行时直接通过映像路径传染到服务器。
    ④如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中。
    计算机病毒在网络上一般是通过“工作站!服务器!工作站”的途径进行传播的,但传播的形式复杂多样。单机上的计算机病毒一般可通过删除带毒文件、低级格式化硬盘等措施将病毒彻底清除。而在网络中,只要有一台工作站未能彻底清除病毒,就可能使整个网络重新被病毒感染。网络病毒对网络工作的影响轻则降低运行速度,影响工作效率,重则能使网络崩溃,破坏服务器内的信息。
  (三)病毒的防治
    目前主要的防病毒技术有以下几种:
  (1)病毒码扫描技术。这种技术采取病毒码特征字符串逐一匹配的方式对每一文件进行扫描。它是一种最早的防病毒技术,但至今仍在使用。早期的病毒码扫描软件扫描速度很慢,但当时病毒数量较少、硬盘容量不大,这类产品还能够胜任。随着病毒数量增加和计算机硬盘容量增大(现在的硬盘容量是早期硬盘的几百倍),早期的扫描方法越来越不能胜任了。不过,经过不断的改进和完善,病毒码扫描方法又焕发了新的活力。技术上它主要是大大减少了病毒码与被检测软件的字符匹配数量,如排除被测文件中不可能存放病毒码的区域和病毒码中广谱特征字符的应用。这种病毒码扫描技术简单、实用,但只能检测出它所知道的病毒,对新的或未知的病毒无能为力。
  (2)实时监测技术。实时监测是比较理想的防病毒手段。早期的实时监测技术一般采用防病毒卡的形式,安装在计算机上,待系统启动时,卡内反病毒软件驻留内存,并取得操作系统底层的控制权,在病毒程序常用的操作磁头中断调用入口处设置监测程序,对每一次的操作进行监测,发现问题,及时给以报警提示,并中止病毒的行为。几年来,由于微机操作系统的巨大变化,Windows95/98成为微机操作系统的主宰。基于硬件的防病毒技术遇到了开发难度大、兼容性差、运行速度慢的障碍。目前采用操作系统上打补丁的办法,使操作系统具备有效的防病毒功能,这种主动内核技术可以实现对病毒行为的实时监测,同时也可以中止病毒的行为,代表了现阶段防病毒技术的先进水平。
  (3)完整性检验技术。这种技术又称免疫技术,是一种主动防护技术。它的实质是对用户的可执行文件进行实时的检查,一旦发现非法改动立即报警,并能对被修改的程序进行修复。但是这种技术还有一些不足之处,比如当用户对文件进行合法修改时也容易发生错误报警。还有就是许多完整性检验算法用的是clean room certification方法,这种方法较为简单,容易被一些高级的病毒所欺骗。所以这种技术目前的应用还不广泛,但可以用作其他防病毒技术的补充。
  (4)虚拟机技术。可以想像,如果病毒在一台机器当中发作,会对该机器产生一定的影响,甚至破坏系统。如果这台机器是一个虚拟机,我们就可以在其受到破坏的同时证实病毒的存在,而且由于虚拟机与实际的系统是相互分离的,即使它受到损坏,机器本身的正常系统也不会受到影响,这样用户就可以在系统不受影响的前提下发现病毒。理论上讲,使用虚拟机可以发现任何一种病毒,但是从实际操作上看,由于虚拟机需要占用大量的系统资源,不可能对每一个被检测的文件都进行这种检测,而且它只能查毒不能杀毒。
  (5)嵌入式防毒技术。它将杀毒引擎直接嵌入IE浏览器和流行办公软件Office 2000和Office XP组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体,在占用系统资源更小的情况下查杀病毒,这种方式可以有效地查杀各种宏病毒、互联网病毒及恶意程序。听起来它和防火墙技术之间好像没什么区别,但其实它们之间还是有一定区别的。防火墙技术需要一直处于运行状态才能够进行病毒检测,而嵌入式杀毒引擎是整合到应用程序内部进行杀毒,因此它不需要一直处于启动状态,例如,嵌入Office查毒仅在用户使用Office的过程中才驻入内存,在用户退出Office时就从内存中卸载,因此占用系统资源少。由于嵌入式查毒是在应用软件启动的同时进行查毒,因此外部的病毒很难通过该应用程序的访问侵入到系统内部。正是因为这个原因,它也存在一些问题,目前这种杀毒引擎只能嵌入少数应用程序,只能够防止目前大部分的病毒入侵,而不能完全封杀病毒的入侵途径。
    目前,防病毒工作面临许多新的问题。病毒技术随着计算机技术和网络技术的发展而不断地发展、变化,尤其是网络病毒,其技术水平高,发展速度快,传播蔓延迅速。通过Outlook电子邮件、IE浏览器传播的VB heml病毒和通过Netscape电子邮件、浏览器传播的JAVA病毒,使得用户只要在网上浏览或接收邮件,病毒就有可能传播。同时;网上还有BO、网上客车(NetBUS)等通过压缩文件形式隐蔽存放的网络黑客工具,Active X恶意小程序以及Windows NT环境下的Remote Explorer病毒。目前,防病毒面临的新问题主要有:病毒的对抗能力增强;防病毒技术还构不成体系;防病毒产品开发难度大等。
     所以说病毒的防治工作是一项长期不懈的工作,它也是一项系统性很强的工作。加强以下几个方面的工作是十分必要的。
  (1)做好预防工作,防毒于未染。现在的病毒技术与过去相比有了很大的提高,传播更快,感染力更强,产生变种更容易。这一切都使杀毒工作变得更加困难。一旦系统感染上病毒,它不但会在短时间内大面积传播,而且要将病毒清除干净再恢复到未染毒以前的状态,需要花大量的人力物力不说,几乎是不可能的。这就像要把一块染上污点的白布重新洗白一样困难。然而,如果事先我们能够在思想上对这个问题给予足够的重视,预先制定一系列科学的防毒策略,建立一个完善的防毒体系,时刻注意网络安全建设,及时升级安全系统,就完全可以很轻易地避免病毒的入侵。而且,与事后再进行补救相比,这样做所付出的代价要小得多。所以,各单位的领导一定要在思想上重视这个问题,尽量做到未雨绸缪,避免亡羊补牢。
  (2)以网治网,结网防毒。网络在助长了病毒传播的同时,其某些特征同样可以被我们利用来进行防毒和杀毒。比如网络一般为星形和环形结构,具有辐射扩散的特性,从接入的方式上看,更具有上下游的特性,也就是说,信息的接收具有前后端的顺序,具有上一级或者下一级入口的分别,其关键点是网关和服务器。利用这一点,完全可以在理论上做到从尽可能的最初始状态采取措施,解决病毒。具体到反病毒软件,就是要实行网关级的和服务器级(特别如邮件服务器等)的防护策略,安装对应的软件系统和模块。这样,能够避免第一个病毒感染者作为传播源通过局域网实现几何级数般的爆炸式增长,更减少和遏制了通过邮件服务器上电子邮件的群发、转发、回复等使病毒从发源地的局域网通过E-mail向外部的广域网扩散蔓延。这才是惟一能够以最小投入获得最高防护效果,达到防毒于未染,防患于未然的解决之道。
  (3)统一管理,整体防御。一个网络当中如果每一台单机都安装了反病毒软件,固然可以在一定程度上确保安全,但是如何管理每一台机器以及每一台服务器,对网络用户而言将是一个严重的问题。一个病毒库的升级文件,如果每一个人都下载一次的话,既占用了网络的资源,也会浪费用户大量的时间,因此建立一个统一的网络管理平台就成为网络用户的迫切需求。管理员通过中央控制系统,可以轻而易举地实现整个系统的升级,以及定时查毒,避免交叉感染。但是这里也存在一个安全问题,如果大型网络用户在升级病毒文件之前未进行单机检测,就很可能导致整个系统内的机器全部瘫痪。这显示出在为提高实用性而改进工具的同时也会带来一定的风险。因此,我们在建立网络安全系统的时候,一定要建立一整套管理制度,强化日常管理,尽量避免由于管理的疏漏而导致不必要的损失。
\