概述
從理論上講 ,一旦
主機連線到網路上,它就面臨著來自網路的安全威脅,這些威脅主要有:非授權訪問、信息泄漏或丟失、破壞數據完整性、拒絕服務攻擊和
後門程式等。
主機防護的需求是顯而易見的。計算機和網路運轉的核心是
數據,如果沒有數據,那么也就無所謂安全。數據的歸屬則是主機,當然這其中包括普通的
個人電腦,
伺服器以及一些大型的磁碟陣列。目前的病毒及攻擊威脅都是以獲取或者破壞數據為目的,主機是抗擊這些威脅的最後一道防線,不管是
網路攻擊也好,傳統的
外設傳播的攻擊也好,只要在主機上構築一道強大的防線就能達到以一抵十的效果。
目前的網路環境很複雜,安全問題眾多,
病毒、
木馬、
蠕蟲已經成為我們耳熟能詳的名詞,從
作業系統廠商到網路設備廠商在到專門的安全廠商無疑都將安全放在非常重要的位置。市場對安全的需求重大。這裡我們將通過網路攻擊,信息泄密以及系統本身的脆弱點三個方面來分析和論述主機安全的重要性以及主機防護系統的必要性。
主機防護的必要性
網路攻擊
在這個世界上,人類不斷研究和發展新的
信息安全機制和工程實踐,為戰勝
計算機網路安全威脅付出了艱巨的努力。似乎如果計算機
攻擊手法不再翻新,關於
信息安全的戰爭將很快結束。雖然,大多數地下組織研究的攻擊手法都是驚人的相似,無非就是
蠕蟲、
後門、rootkits、DoS和sniffer等。但這些手段都體現了它們驚人的威力。這幾類攻擊手段的新變種,與之前出現的相比,更加智慧型化,攻擊目標直指網際網路基礎協定和
作業系統層次。從程式的控制程式到
核心級,
黑客的攻擊手法不斷升級翻新,向用戶的信息安全防範能力不斷發起挑戰。
在長期與信息安全專家的較量中,黑客對開發隱蔽的計算機網路攻擊技術更加得心應手。工具本身是不會危及系統安全的一壞事都是人幹的。信息安全專業人員也使用和入侵者同樣使用的掃描和監聽工具,對系統安全做例行公事般地審計。在惡意用戶使用前,那些能非法控制程式的新的滲透測試工具,也被安全人員用來測試系統的漏洞。但是,還有很多的工具有它完全黑暗的一面,比如,蠕蟲程式不斷發展和傳播,它只用來幹壞事反入侵檢測工具和很多專門用來破壞系統的安全性。
列舉一下目前的網路攻擊手段,包括服務拒絕攻擊、利用型攻擊、信息收集型攻擊、假訊息攻擊等。服務拒絕攻擊企圖通過使你的服務
計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為。利用型攻擊是一類試圖直接對你的機器進行控制的攻擊。信息收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括
掃描技術、體系結構刺探、利用信息服務。假訊息攻擊用於攻擊目標配置不正確的訊息,主要包括
高速快取污染、偽造
電子郵件。
信息泄密
當我們在享受網路帶來的便利時,也經常會遇到一些
網路安全方面的問題,像家庭地址、信用卡密碼、電子郵件地址等私人信息的泄露,輕則引來無數垃圾郵件,重則帶來財產損失。也許你的競爭對手此刻正在努力破解你的賬號……
計算機網路給人們提供的各種服務,最終體現在網路中所存儲的數據上。這些數據一方面為使用者提供各種信息,一方面也支撐著整個網路和系統的正常運轉。從安全的角度來說,存在專門針對網路和系統中的數據進行的竊取、篡改、假冒、抵賴等破壞行為,對
網路和用戶自身都帶來巨大威脅。
數據竊取指的是數據在計算機或者其他設備中進行存儲、處理、傳送等過程中,被別人非法竊取的行為。數據竊取導致的損失可能是多方面的,例如個人隱私泄漏、金融損失、國家機密泄漏等。數據竊取的手段比較多,包括網路竊聽,黑客入侵,軟體傳送,電磁輻射等。
系統自身脆弱性
入侵檢測發展到現在已經從IDS更多地擔當起的責任。原因很簡單,只IDS具備檢測能力,如果可以的話,,戶要的是防止入侵的效果,而不想了解具體的入侵事件,對於普通的主機用戶來說這種需求更加明顯。所以在的基礎上還提供了主動的保護能力。監控
連線埠掃描行為是大多數防火牆的主要功能之一,如果發現長時間的來自相似IP位址的連線埠掃描行為,就可能預示著有蠕蟲的攻擊。對於這一點,可以通過動態地阻斷和打開被長時間掃描的連線埠這種手段進行一定程度上的保護。
作業系統提供的通用即插即服務功能可以幫助計算機發現和使用基於網路的
硬體設備,它在提供了方便的硬體套用之外也帶來一些安全隱患。該服務主要具有兩個重要弱點,一個是緩衝區溢出錯誤隱患,另一個是UpnP服務無法對其自身搜尋最新設備使用信息的操作步驟加以充分限制。這些弱點致使黑客能夠取得被感染系統的完全控制並在此基礎上阻止主機提供有效的服務,或者使主機成為發動DoS攻擊的工具。
主動防護系統
一個完善的主機安全系統需要從三方面來提供保護,分別是系統安全、檔案安全和網路安全。這樣劃分的意義是顯而易見的。網路安全保護主機的門戶,儘量避免惡意數據包進出主機
網卡,系統安全保護作業系統,避免系統被破壞,檔案安全保護主機上的數據,避免
數據被竊取或者銷毀。從這三個方面來保護主機就可以提供一個全面的保護環境。
系統安全
按照網路安全技術與實際套用結合的緊密程度,可以把網路
信息安全技術分為以下幾類
通信安全、主機系統伺服器安全和各種套用的安全等。通信安全主要是防止數據在被傳輸過程中不被修改、竊取或偽造。這一部分的功能可以通過對數據實行各種加密技術來實現。相對來說主機安全就顯得更加重要伺服器上往往存放一單位或部門的關鍵信息。目前而言,對主機的安全保護主要依賴於
防火牆、闖入發現系統和作業系統本身固有的安全特性。但是防火牆的最大缺點就是它的防外不防內的特點,而伺服器經常是對外提供服務,這樣實際上防火牆並不能從根本上解決主機安全問題。IDS是一種被動的防禦措施它並不能阻止任何非法行為。作業系統雖然提供了一些安全措施,但是其功能非常有限,並且經常存在各種漏洞,這隻有經驗豐富的系統管理員才能保證作業系統的安全。根據這種需要,可以結合防火牆技術、IDS技術、防病毒軟體建立一套適合實際需要的主機安全系統,就非常科學。實現系統安全需要兩方面的技術,一個是對註冊表的監控,另一個是對檔案的監控。
檔案安全
對於一台主機來說保護主機系統的正常運行固然很重要,然後保護的最終目的其實還是存放在主機上的數據,所以除了考慮系統安全之外,檔案安全也是不容忽視的一個重要環節。對於
作業系統的重要檔案己經在前面的系統保護部分作了分析和列舉,僅僅是系統保護當然是不夠的,還要設計專門的檔案保護功能才能解決這個問題。
實現
檔案安全需要檔案操作控制模組的支持,檔案操作控制模組是檔案保護模組和系統防護模組的支撐模組。檔案操作控制模組通過對系統所有檔案、目錄相關操作的截獲,並與檔案保護模組和系統防護模組傳送過來的規則進行比較,實現基於檔案或目錄名稱、操作類型等的匹配。對需要禁止的行為立即中斷其在作業系統中的進一步處理,實現對被保護目錄的隱藏、鎖定,和防範針對主機的惡意檔案操作的行為。
網路接口安全
在主機的網路接口上所做的保護措施傳統的有
防火牆和
入侵檢測系統,功能相對比較固定,可擴展之處不多。主機防火牆系統主要提供訪問控制功能,各功能分別從不同的網路協定層次對主機系統網路資源進行保護,在此訪問控制功能包含四個主要方面:基於IP的主機
網路訪問控制,基於應用程式路徑和名稱的主機應用程式網路訪問控制,基於URL的WEB廣告和ActiveX控制項、Java控制項、Cookie、Java script、VB script訪問控制,瀏覽痕跡清除,以及基於
關鍵字的WEB瀏覽、郵件正文訪問和各種惡意代碼訪問等的控制。這四項功能無疑都需要一些網路包處理技術的支持。