CMS数字证书管理服务器:为安全代理网关SSL及各SSL客户端颁发绑定了各自的身份信息的数字证书,在SSL与各SSL客户端的公共网络传输中使用数字证书进行身份验证及信息的加密传输,并且CMS数字证书管理服务器对各SSL客户端的用户进行管理,并对各SSL客户端用户的访问控制授权,使得只有通过授权的合法SSL客户端用户才能够通过安全代理网关SSL访问到内网Web服务器和资源服务器,CMS服务器所签发的证书存储在IC卡(USB KEY)中,IC卡采用用户PIN口令保护,从而保证了证书和私钥的安全性,SSL安全代理网关:提供SSL客户端身份认证、数据加密、数据完整性保护以及访问代理等功能,SSL启动之前必须从CMS申请一张数字证书,以便各SSL客户端通过验证SSL网关的数字证书来确认其合法身份。就访问代理功能而言,SSL使用双宿主机来实现外网到内网地址的转换,外网的SSL客户端只需要与SSL进行连接,由SSL将其请求转发到内网Web服务器和资源服务器中,从而既实现了外网到内网的透明合法访问,又对外网屏弊了内网的地址信息,实现了对内网的安全保护;就身份认证功能而言,当SSL户端向SSL建链时,SSL需要对SSL客户端的身份进行验证,以保证只有合法用户才能够与其建立连接,如果建立连接的客户端不能提供合法身份信息,则SSL将拒绝该连接;就数据加密功能而言,SSL在验证了SSL客户端的合法身份后,即与其协商信息安全传输的加密参数,在协商完毕后即启用加密信息传输,使在SSL客户端与SSL之间的数据以加密方式传输,从而保证除SSL客户端与SSL之外的第三方无法获得正确数据信息。SSL客户端软件:是安装在各用户工作站PC中的代理客户端软件,用户在使用代理客户端软件之前,必须向CMS申请一张个人身份证书,这张数字证书以及证书对应的私钥等信息存储在IC卡(USB KEY)中,用户通过个人身份证书向SSL证明其合法身份,用户的数据通过SSL户端软件进行加密、完整性保护之后传输给SSL;同时SSL客户端软件也负责接收SSL传输的加密数据,对这些数据进行解密以及完整性验证,最后将解密之后的数据发给用户,这样,通过SSL客户端软件和SSL安全代理网关,为用户的数据建立了一个安全的传输通道,充分保证数据的安全性。
SSL安全代理网关在解决企业内部人员作案防范的问题上的工作原理如下:继续以前面甲和乙的例子,即使前面所说的那个乙得到了甲访问并操作内部资源服务器一部分绝密信息的账号口令,但是很遗憾他必须还得得到甲的USB KEY,因为SSL客户端用户要访问到内网Web服务器和资源服务器必须向SSL出示CMS签发的合法授权证书,而CMS签发的证书存储在USB KEY中,没有甲的USB KEY,SSL拒绝乙以甲的账号和口令访问内网Web服务器和内部资源服务器,再假设乙神通广大偷到了甲的USB KEY,但是还是很遗憾,乙还必须知道甲的USB KEY用户PIN口令。如果没有用户PIN口令,乙得到了甲的USB KEY同样无用,这样层层关卡有效地将企业内部人员作案的可能性降到了最小。
4总结
防患于未然是解决企业信息化建中网络安全问题的根本,不管隐藏Hacker的技术水平如何提高,不管计算机病毒如何猖獗,只要企业提高信息安全意识及网络防范技术就能御敌于网络之外,真证实现企业信息化安全。
参考文献
[1]王众托.企业信息化与管理变革[M].中国人民大学出版社,2001.8
[2]游文丽.对我国企业信息化管理现状的思考[J].商业研究,2003(3)
[3]申林.走出信息化的陷阱[J].企业研究,2003(1)
作者简介:
汪燕,女,1968年出生。毕业于西北师范大学,就职于长风信息集团信息工程研究所。通讯地址:兰州市安宁区安宁西路718号信息工程研究所;邮编:730070;电话:7993450;E—mail:lzdwy@hotmail.com。
中小企业信息系统技术安全与防范
张诚
(长风信息集团信息工程研究所 兰州 730070)
摘要:在当前互联网时代,随着信息产业的高速发展,企业上网、通过电子邮件进行业务往来、利用网络发布自己的营销信息,利用互联网建立自己的信息系统,这些都已成为企业拓展业务的基础模式。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。对于国内占大多数的中小企业来说,如何在充分利用信息化优势的同时,更好地保护自身的信息资产,已经成为一个严峻的挑战。特别是近两年来,网络上的病毒、攻击事件频发,我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。因此,信息安全问题正在成为中小企业信息化进程中的难题。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键词:信息安全 防火墙 入侵检测 安全配置
1目前信息系统技术安全的研究
1.1中小企业信息安全现状分析
随着信息化的发展,计算机、互联网的应用在越来越多的中小企业中占据了越来越重要的地位,很多中小企业都开始利用信息化手段来提升自己的竞争力,信息化有效地提高了中小企业的运营效率,使中小企业得以更快速的发展壮大。目前,中小企业用户占我国企业主体比重的95%以上,但由于分布较散,购买力相对较弱,中小企业的安全问题似乎一直没有得到安全厂商的足够重视。市场上的安全产品五花八门种类繁多,防病毒、防火墙、信息加密、入侵检测、安全认证、核心防护无不囊括其中,但从其应用范围来看,这些方案大多数面向银行、证券、电信、政府等行业用户和大型企业用户,针对中小企业的安全解决方案寥寥无几,产品仅仅是简单的客户端加服务器,不能完全解决中小企业用户所遭受的安全威胁。现在,国内厂商推出了网络版病毒软件,但由于功能的单一,并不能为中小企业提供完善的防护。与此同时,中小企业信息安全的问题也越来越严重,并开始困扰着广大中小企业群体。
如今已经是一个网络病毒肆虐的时代,几乎每天都有数百种新的病毒产生,而在中小企业中,安全资源不足、技术保障不成体系,达不到预想的目标、应急反应体系没有经常化、制度化、信息安全的标准、制度建设滞后、IT设施管理松散、员工安全意识不强等问题的存在,更使中小企业的网络容易受到病毒、蠕虫、木马等的危害,严重时甚至造成企业网络瘫痪,导致业务无法开展。此外,间谍软件、垃圾邮件、网络钓鱼、僵尸网络等也对企业的网络安全带来了严重的威胁。这些几乎由于未修补或防范软件漏洞而导致系统遭受病毒的入侵。
1.2中小企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案:正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全:网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation)、可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
2计算机网络中信息系统的安全防范措施
2.1网络层安全措施
2.1.1防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
2.1.2入侵检测技术
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(Intrusion Detection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(Promise Mode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(C Signature—Based),另一种基于异常情况(Abnormally—Based)。
2.2服务器端安全措施
只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以Windows2000SERVER为例。
2.2.1正确地分区和分配逻辑盘
微软的IIS经常有泄漏源码、溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘15G。用来装系统和重要的日志文件,D盘30G放IIS,E盘30G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
2.2.2正确地选择安装顺序
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Windows2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Windows2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Windows2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
2.3安全配置
2.3.1端口