定義
國際標準化組織(ISO)為計算機網路安全做如下定義:為保護
數據處理系統而採取的技術的和管理的安全措施,保護
計算機硬體、軟體和數據不會因偶然和故意的原因而遭到破壞、更改和泄露。計算機網路由計算機和通信網路兩部分組成,計算機是
通信網路的終端,通信網路為計算機之問的數據傳輸和交換提供了必要的手段。計算機網路最重要的資源是它向用戶提供了服務及其所擁有的信息。故其安全性定義為:通過採取各種技術的和管理的安全措施,確保網路服務的可用性和網路信息的完整性。也即兩方而的內容:一是
網路系統的安全,二是網路的信息安全。所以一個安全的計算機網路應該具有以下幾個特點:可靠性、可用性、保密性、完整性。
網路威脅
來自網路上的安全威脅與攻擊多種多樣,依照
Web訪問的結構,可將其分類為對Web伺服器的安全威脅、對Web客戶機的安全威肋和對通信信道的安全威脅三類。
Web伺服器
對於Web伺服器、伺服器的
作業系統、
資料庫伺服器都有可能存在漏洞,惡意用戶都有可能利用這些漏洞去獲得重要信息在Web伺服器上的機密檔案或重要數據(如存放用戶名、口令的檔案)放置在不安全區域,被入侵後很容易得到。Web伺服器本身存在的一些漏洞,也能被黑客利用侵入到系統,破壞一些重要的數據,甚至造成系統癱瘓。
Web客戶機
現在網頁中的活動內容己被廣泛套用,活動內容的不安全性是造成客戶端的主要威脅。網頁的活動內容是指在靜態網頁中嵌入的對用戶透明的程式,它可以完成一些動作,顯示動態圖像、下載和播放音樂、視頻等當用戶使用瀏覽器查看帶有活動內容的網頁時,這些應用程式會自動下載並在客戶機上運行,如果這些程式被惡意使用,可以竊取、改變或刪除客戶機上的信息。
通信信道
Internet是連線Web客戶機和伺服器通信的信道,是不安全的。像Sniffer這樣的嗅探程式,可對信道進行偵聽,竊取機密信息,存在著對保密性的安全威脅。未經授權的用戶可以改變信道中的信息流傳輸內容,造成對信息完整性的安全威脅。此外,還有像利用拒絕服務攻擊,向網站伺服器傳送大量請求造成主機無法及時回響而癱瘓,或者傳送大量的IP數據包來阻塞通信信道,使網路的速度變緩慢。
SSL
SSL (Secure Socket Layer) 為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網路 上之傳輸過程中不會被截取及竊聽。一般通用之規格為40 bit之安全標準,美國則已推出128 bit之更高安全 標準,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。 當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。 SSL協定位於TCP/IP協定與各種套用層協定之間,為數據通訊提供安全支持。SSL協定可分為兩層: SSL記錄協定(SSL Record Protocol):它建立在可靠的傳輸協定(如TCP)之上,為高層協定提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協定(SSL Handshake Protocol):它建立在SSL記錄協定之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。 SSL協定提供的服務主要有: 1)認證用戶和伺服器,確保數據傳送到正確的客戶機和伺服器; 2)加密數據以防止數據中途被竊取; 3)維護數據的完整性,確保數據在傳輸過程中不被改變。 SSL協定的工作流程: 伺服器認證階段:1)客戶端向伺服器傳送一個開始信息“Hello”以便開始一個新的會話連線;2)伺服器根據客戶的信息確定是否需要生成新的主密鑰,如需要則伺服器在回響客戶的“Hello”信息時將包含生成主密鑰所需的信息;3)客戶根據收到的伺服器回響信息,產生一個主密鑰,並用伺服器的公開密鑰加密後傳給伺服器;4)
伺服器恢復該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證伺服器。 用戶認證階段:在此之前,伺服器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的伺服器傳送一個提問給客戶,客戶則返回(數字)簽名後的提問和其公開密鑰,從而向伺服器提供認證。 從SSL 協定所提供的服務及其工作流程可以看出,SSL協定運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證,但是SSL協定仍存在一些問題,比如,只能提供交易中客戶與伺服器間的雙方認證,在涉及多方的電子交易中,SSL協定並不能協調各方間的安全傳輸和信任關係。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協定,為網上信用卡支付提供了全球性的標準。 https介紹 HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協定 它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上套用了Netscape的完全套接字層(SSL)作為HTTP套用層的子層。(HTTPS使用連線埠443,而不是象HTTP那樣使用連線埠80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認傳送者是誰。。 https是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎是SSL,因此加密的詳細內容請看SSL。 它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認連線埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,它被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付方面。 限制 它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密算法的支持. 一種常見的誤解是“銀行用戶線上使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上,與伺服器的加密連線中能保護銀行卡號的部分,只有用戶到伺服器之間的連線及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者嘗試竊聽數據於傳輸中。 商業網站被人們期望迅速儘早引入新的特殊處理程式到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個資料庫里。那些資料庫和伺服器少數情況有可能被未授權用戶攻擊和損害
V3系統
桌面虛擬化是虛擬化技術的浪潮。桌面虛擬化的目的是從底層構建不同的工作區(最終用戶的應用程式,數據,網路負載和設定)。桌面虛擬化,和現有許多虛擬化解決方案概念相似,本文只在介紹成功的虛擬化架構技術。 虛擬機(VM)技術,為所有
虛擬桌面解決方案的基礎,使計算機能夠同時支持和執行兩個或兩個以上的計算機環境,其中“環境”包括作業系統以及用戶應用程式和數據。虛擬機是一個虛擬的運算系統,借用計算機資源(CPU,硬碟,記憶體等),讓主機工作的同時,也作為客戶計算機而存在。 計算機資源共享的好處可以提供給最終用戶,包括:
隔離 – 工作區在不同的計算環境獨立運作,雖然有些資源可以共享(例如,鍵盤,滑鼠和螢幕),同時其他的卻可以得到保護(例如,數據檔案)。在一個
虛擬環境中,主機資源需要從並發訪問到雙方的賓主控制的保護,在傳統的
虛擬系統中,這種隔離和控制是通過一個特殊的軟體程式提供的,稱為虛擬機監視器(VMM)。VMM可以自主監控主機計算機環境或者主機和客戶計算機行為。資源平衡 -如果有需要的話,可以對每個功能自主的運行環境進行資源消耗監控和限制。可移動/遷移 - 某些虛擬機的配置被認為是可移動的,也就是說,整個計算機環境,可從一個移動到另一個不同的主機。今天世界上越來越多的移動套用得益於這種虛擬機技術,流動性是
虛擬桌面解決方案的關鍵,雖然今天存在的軟體產品,都提供基本的虛擬機能力,但是這些產品僅提供有限的或者根本沒有移動虛擬化的支持。 今天我們有許多方法來實現VMM以及配套軟體。本文將說明各種不同的VMM技術優劣點,並重點介紹V3專業安全版所採用的工作區虛擬引擎技術:
系統管理程式 – 該VMMs程式採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,模擬的任何指令的方式。管理程式可以提供一個完整的
虛擬桌面,但是帶來不同程度的資源開銷和性能降低。半虛擬化 –該 VMMS程式採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,沒有任何指示的方式。半虛擬化可以要求來賓
桌面作業系統進行修改,以避免這些
特權指令。半虛擬化系統,可以提供一個完整的
虛擬桌面,有不同程度的資源開銷和性能損失。工作區虛擬引擎(名為WVE) - 該VMMs程式採取攔截和陷阱,模擬或重定向將違背隔離或導致系統不穩定低級別的OS API調用的方式。有些WVEs可以在一個
核心中提供虛擬化的能力,使工作區嵌入一個包含企業域級別的特權代碼模組和子系統的完整的作業系統,有獨立的網路
堆疊和支持,如端點安全套用,資料庫套用和電腦管理軟體,需要的驅動和安全服務。 WVEs可以提供一個完整的
虛擬桌面,很少或根本沒有性能損失。應用程式容器 – 該系統採取攔截和陷阱,模仿那些違背隔離或導致系統不穩定的最高等級OS API調用。套用容器一般不能提供一個完整的虛擬桌面。仿真 - 模擬整個系統的
硬體系統,包括
中央處理器,I / O設備等模擬器可以提供一個完整的虛擬化桌面,但存在巨大的性能損失。
加密運行
全透明加密運行技術的原理是通過映射大的加密檔案成動態的Windows虛擬
磁碟分區而讓V3
虛擬系統整體透明加密運行。
安全管理器
安全資源管理器技術的原理是通過重寫Windows資源管理器,實現重寫過資源管理器中的檔案訪問完全可控的目的,以配合檔案之間交換的特殊需要而設計
安全網路
企業的IT部門在選擇安全網路工具時候經常會困惑,到底是選擇軟體類型的還是硬體類型的,但說到底還是得綜合考慮自己企業的預算和網路部署情況。許多企業一邊在尋找更好的解決方案,一方面不斷和網路安全公司進行各種改進的合作嘗試。
這些不斷的安全網路測試同時也提高了企業IT平台的安全性,特別是在專業人士的充分地考慮到測試範圍和底層系統、網路設施的情況下,這也會影響企業對安全網路設備的選擇。
但在這些的背後,卻經常會忽略最基本的安全網路問題:你的測試是針對整個安全網路的,還是單個設備安全網路,或者是兩者的安全網路結合?
技術人員用隔離設備,如
SIP伺服器,將要進行測試的設備和安全網路中的其他設備隔離開來,再進行各種漏洞攻擊或者基於軟體的安全網路漏洞掃描。
如果安全網路測試的對象是整個安全網路或者是安全網路的一部分,而非單個設備,就需要對測試軟體做不同的配置。例如,滲透測試將使用設備或者某些檔案為測試安全網路目標。入侵者必須通過一些中轉設備來進行跳轉,這是一種間隔攻擊測試。安全網路漏洞掃描器可以提供不同的模組,專注於一個特定的區域的 模組——如Web伺服器的漏洞,SMTP服務協定漏洞等等——這些是安全網路具體協定的測試模組。另外如SIP伺服器的安全網路測試,漏洞掃描部署VOIP類型的模組進行安全網路漏洞檢測。然而,整個安全網路的測試,卻需要根據設備的數量和類型,分配幾個不同的模組共同協助工作。
安全網路測試,一旦確定好安全網路測試的訪問和目的,就會面對一個安全網路問題:你需要用什麼安全網路工具和設備進行測試?或許應該這么說:有哪些安全網路測試方法是既經濟又適用的?
對安全網路測試工具的正確選擇,需要測試人員定好測試的目的和設備,而這些往往是和企業的預算有關。
物理設備和虛擬化設備進行安全網路測試的時候需要用不同的測試方法。
路由器的安全網路測試一般只需要一台基於軟體的漏洞掃描客戶端進行測試。
一些企業購買硬體類的安全網路評估設備進行安全性評估。安全網路硬體設備的成本一般都比較高,比軟體掃描高多了。因為安全網路硬體安全類設備主要是專用的計算機,包括安全網路有專用的軟體版本,固定的升級,還有良好的售後服務,
這些安全網路設備的選擇沒法一下子就總結完,但事情都是這樣,都是從一個坑挖到另一個坑,挖對了就是個正確的選擇,挖錯了就只能當買經驗。
一些安全網路專家喜歡購買一個硬體安全設備進行安全評估工作,因為這樣能最大程度的避免作業系統的影響-比如系統驅動問題、程式庫檔案、軟體包依賴等等,這些問題都會導致安全網路測試工具的缺陷和測試問題,而專用物理設備則是專用開發的,不受這些影響。還有一個原因,就是物理測試設備不受環境的影響,可以即插即用,在某些場合用處大很多,而且由於專用性的原因,測試質量高很多。
在安全網路測試裡面,成本和效率總是不可以得兼的。許多情況下,基於軟體的安全網路漏洞掃描工具效率是比硬體專用安全網路漏洞掃描工具低的。如果企業已經購買和部署了安全網路測試工具,其實就是慢一點,沒什麼區別。如果企業是涉及網際網路業務和網路,計算機設備較多的,更多的建議是購買安全網路硬體安全掃描設備;其他的企業其實用軟體安全網路漏洞掃描工具都沒什麼問題,區別不大。
軟體定義
物理安全網路的老路子正在讓位給邏輯技術。網路流量正在不斷變化,從東到西、以數據中心為中心、軟體定義安全網路模型要求有新的安全規劃。
從網際網路曙光初現開始,安全網路就一直與企業緊緊聯繫。
軟體定義的網路為安全網路帶來了戲劇性變化。從長期來看,公司將受益於更智慧型、更安全的安全網路管理。但短期內,新的安全網路功能可能引發新漏洞,進而影響軟體定義安全網路的推廣。
安全網路基礎設施——乙太網交換機與路由器——通常工作在七層網路模型的第二層與第三層。安全網路設施——防火牆、入侵檢測、VP虛擬專用網(VPN)在第四至第七層運行。但是,基礎設施與安全網路之間是互相依賴的。
一般任何對潛在安全威脅的安全網路反應就是阻止其網路訪問。企業試圖創建一個用於環繞數據中心的安全網路護城河系統;安全網路可以通過高級工具來識別威脅並從底層阻斷這些流量。傳統物理設備與頂層控制軟體之間要想協調工作,還需要經過大量安全網路設定。
最近的技術進步已經能夠撕開外圍的安全網路封鎖。黑客通過底層的安全網路檢查點,進而取得高層數據的事件日益增長。軟體定義安全網路則可以將底層硬體安全拋開。
軟體定義安全網路技術將控制平面從數據平面分離。控制器現在可以不受物理設備與專有軟體限制,管理通往不同網路的流量。安全網路流通常(但不總是)可以通過
OpenFlow協定控制。
內部與外部
軟體定義的網路安全網路處理內部與外部威脅。
安全網路外部威脅——個人試圖進入未授權的網路——正變得越來越複雜。傳統上,如防火牆、入侵檢測系統與入侵防禦系統,沙盒與深度數據包檢測工具等都被用來確保數據安全網路。
軟體定義安全網路引入了這些系統不具備的新變數。安全網路通過現有物理基礎設施架構運行虛擬連線。因此,軟體定義的安全網路設備需要能夠解封裝流量。例如,如何正確的檢查安全網路傳入流量,新的安全網路工具需要能夠解封裝流量,或者依賴於網關與交換機,將軟體定義安全網路封裝和解封裝協定傳輸到各個VLAN,用於處理內容。
安全網路內部威脅的複雜性與數量不斷增加。企業需要監控從一個系統傳輸到另一個系統的安全網路信息,如兩台虛擬機之間或伺服器到存儲系統的安全網路信息。
安全網路積極的一面,軟體定義安全網路建立在開放API上,是很開放的OpenFlow。安全網路可程式特性可以讓控制器基於正在運行的應用程式,安全網路設定行為與性能。
傳統物理安全網路策略被定義為將靜態區域映射到物理接口上。軟體定義的安全網路策略無須捆綁到基礎設施。
在一個更動態的軟體定義安全網路中,安全網路區域被從物理平面分離,安全網路或主機“對象”都是可以編程定義的。數據流被通過安全設備進行相應的編程。此外,安全網路檢查還會處理應用程式與虛擬機邏輯挑戰。
企業還可以建立更加自動化與複雜的軟體定義安全網路配置。例如系統監控流量模式、異常情況識別,並在發生前就修復潛在的問題。
先後順序
先有軟體定義的網路才有軟體定義的安全網路
首先,軟體定義的完全基礎設施必須對於軟體定義的安全網路來套用。傳統方案無法監控這些新的數據傳輸,所以需要升級現有的安全網路系統。
企業目前還沒有辦法協調跨越多款控制器之間的安全服務,這是成熟的軟體定義安全網路中一項重要功能。
安全網路新工具會從何而來?一種可能是FRESCO,FRESCO是一個應用程式開發框架,為了方便快速設計與組合具備OpenFlow功能的安全模組。該框架是一個OpenFlow應用程式,其提供了腳本語言用於開發與共享安全網路檢測與緩解模組。研究人員編寫模組,然後是原型以及更多複雜的安全網路服務。部署時,這些服務由不同控制器進行操作,以確保控制器能夠確保流控規則與安全網路策略套用。