1、第6章 安 全 管 理第第6章章 安安 全全 管管 理理6.1 安全管理的基本概念6.2 安全管理协议6.3 安全审计6.4 入侵检测6.5 小结习题第6章 安 全 管 理6.1 安全管理的基本概念安全管理的基本概念本节介绍有关通信网络安全管理协议、安全审计以及入侵检测等方面的基本概念。6.1.1 安全管理目标安全管理目标通信网络在运行过程中,无论采取了什么样的安全机制,都要加强管理,保证采取的安全措施得到实施,及时发现系统漏洞,保证其正常运行。第6章 安 全 管 理安全管理需要达到以下目标:(1)防止未授权访问。这是通信网络安全最重要的问题,未授权的人绝对不能进入系统。用户意识、良好的口令管
2、理、登录活动记录和报告、用户和网络活动的周期检查,这些都是防止未授权访问的关键。(2)防止泄密。这也是通信网络安全的一个重要问题。防止已授权或未授权的用户相互访问重要信息。文件系统查账、登录和报告、用户意识、加密都是防止泄密的具体措施。第6章 安 全 管 理(3)防止用户拒绝系统的管理。这一方面的安全应由操作系统来完成。一个系统不应被一个有意试图使用过多资源的用户损害。例如,Unix不能很好地限制用户对资源的使用,一个用户能够使用文件系统的整个磁盘空间,而Unix基本不能阻止用户这样做。系统管理员最好用ps命令,记账程序df和du周期地检查系统,查出过多占用CUP的进程和大量占用磁盘的文件,然
3、后进行有效阻止。第6章 安 全 管 理(4)保证系统的完整性。这方面的安全与一个系统管理员的实际工作和保持一个可靠的操作系统有关。例如,周期地备份文件系统、系统崩溃后运行fsck检查、修复文件系统、当有新用户时检测该用户是否可能使用系统崩溃的软件等等。除了配合行政手段外,主要从技术上实现安全管理,从范畴上讲,涉及用户空间、资源空间和授权管理三个方面。第6章 安 全 管 理6.1.2 安全管理原则和规划安全管理原则和规划在进行网络安全管理方面,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的组织管理和人员管理等问题,这是网络安全所必须考虑的基本问题。1安全管理
4、原则安全管理原则网络信息系统的安全管理主要基于以下4个原则。1)多人负责原则每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管指派的,他们忠诚可靠,能胜任此项工作。他们应该签署工作情况记录,以证明安全工作已得到保障,特别要记录以下与安全有关的各项活动:第6章 安 全 管 理(1)访问控制使用证件的发放与回收。(2)信息处理系统使用的媒介的发放与回收。(3)处理保密信息。(4)硬件和软件的维护。(5)系统软件的设计、实现和修改。(6)重要程序和数据的删除和销毁等。第6章 安 全 管 理2)任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或
5、永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。3)职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管批准。出于对安全的考虑,下面每组内的两项信息处理工作应当分开。第6章 安 全 管 理(1)计算机操作与计算机编程。(2)机密资料的接收和传送。(3)安全管理和系统管理。(4)应用程序和系统程序的编制。(5)访问证件的管理与其它工作。(6)计算机操作与信息处理系统使用媒介的保管等。第6章 安 全 管 理4)防范黑客原则随着互联网络的日益普及,网上的一些站点公然教授黑客课程,开辟黑客
6、讨论区,发布黑客攻击经验,使得黑客攻击技术日益公开化,攻击站点变得越来越容易了。有些管理员认为可以借助各种技术措施,如计算机反病毒程序和网络防御系统软件,阻止黑客的非法进攻,保证计算机信息安全。但是构筑信息安全的防洪堤坝依然不能放松,不能对破坏计算机信息安全的事例熟视无睹,还应结合各种安全管理的手段和制度扼制黑客的攻击,防患于未然。第6章 安 全 管 理(1)加强监控能力。系统管理员要加强对系统的安全监测和控制能力,检测安全漏洞及配置错误,对已发现的系统漏洞,要立即采取措施进行升级、改造,做到防微杜渐。(2)加强安全管理。在确保合法用户的合法访问的前提下,本着最小授权的原则给用户设置属性和权限
7、,加强网络访问控制,做好用户上网访问的身份认证工作,以物理隔离方式阻挡绝大部分黑客非法进入网络。(3)集中监控。对网络实行集中统一管理和集中监控机制,建立和完善口令使用和分级管理制度,重要口令由专人负责,从而防止内部人员超级访问和越权采集数据。(4)多层次防御和部门间的物理隔离。可以在防火墙的基础上实施对不同部门之间的由多级网络设备隔离的小网络,根据信息源的性质,尽量对公众信息和保密信息实施不同的安全策略和多级别保护模式。第6章 安 全 管 理(5)要随时跟踪最新网络安全技术,采用国内外先进的网络安全技术、工具、手段和产品。一旦防护手段失效,要有先进的系统恢复、备份技术。总之,只有把安全管理制
8、度与安全管理技术手段结合起来,整个网络系统的安全性才有保证,网络破坏活动才能够被阻挡于门户之外。第6章 安 全 管 理2安全管理规划网络安全问题一般可分为网络系统安全和数据安全两类。网络系统安全问题是指网络系统遭到未经授权的非法攻击、访问或破坏。数据安全问题则指机要、敏感数据被窃取,并被非法复制、使用等。在构建一个安全的网络系统之前,要考虑到以下几方面的问题:(1)重要信息保密。每个企、事业单位等都有一些不能为外人、竞争者知道的数据,也有各个部门之间的一些不可共享的数据需要保密。这就涉及到人事、财务资料的授权访问,以及商家的进、存、销渠道,销售计划,客户名单,商业行情,交易内幕,报价,合同,用
9、户的账号,密码等信息的加密。第6章 安 全 管 理(2)网络系统的安全。网络系统安全指系统进程、作业等不被监视、破坏。(3)防止外部攻击。防止外来的病毒、“黑客”对网络的各种攻击和破坏。(4)防止内部篡改。通过对内部资源的加密、签名来防止资源丢失、被破坏及被篡改。(5)检查传输内容。防止传输信息未经授权而泄露或者被篡改和破坏,防止对通信业务进行分析。对网上进出的数据进行过滤等操作,以检查传输内容是否合法。网络安全应有可扩展性,当网络规模扩大、人员变动或者对安全的要求提高时,应能很容易地对安全功能进行扩展。(6)安全产品的选型。根据所需防范的具体安全问题类型和期望达到的安全程度,选择相应的安全产
10、品。同时要注意由于出口制度等原因,一些国外安全产品的安全强度受到限制或留有安全缺陷。第6章 安 全 管 理3安全管理的实现安全管理的实现网络系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作如下:(1)根据工作的重要程度,确定该系统的安全等级。(2)根据确定的安全等级,确定安全管理的范围。(3)制定相应的机房出入管理制度。(4)制定严格的操作规程。(5)制定完备的系统维护制度。(6)制定应急措施。第6章 安 全 管 理对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,如采
11、用磁卡、身份卡等手段,对人员进行识别、登记管理。对于操作规程,要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。要制定系统在紧急情况下如何尽快恢复的应急措施,使损失减至最小。第6章 安 全 管 理6.1.3 安全管理措施安全管理措施网络安全可分为两个方面。第一是网络层,保护网络服务的可用性。第二是应用层,保护合法用户对数据的合法访问。网络层重点解决的是系统安全问题,应用层重点解决的是数据安全问题。通过网络层和应用层、系统安全和数据
12、安全相结合,架构了立体的防护体系,最终来确保网络的安全。同时,技术手段与管理手段也需要结合使用。在网络层限制访问,设一道防火墙,这是最基本的安全设施。网络层的安全检测措施主要是预防黑客的攻击,它是一种主动的预防行为。安全检测近似于病毒检查,在网络运行之前和运行当中通过不断的自测,发现系统存在的安全漏洞,并列出报告,告诉使用者检修的方法,然后及时采取补救措施。这就是安全检测的含义,具体功能包括两个方面:一是检测网络的安全漏洞,二是检测系统配置错误。第6章 安 全 管 理应用层的安全措施有如下几个方面:(1)建立全局的电子身份认证系统。(2)实现全局资源的统一管理,在身份认证和资源管理的基础之上,
13、实现全局的统一授权管理,也就是说对全局用户和资源进行集中的授权管理。(3)信息传输加密,这里包括两个方面:一类是数据的完整性,是指数据本身不能改写,可以看到但是不能去改动它。第二类是数据的保密性,数据不可窃听,通过加密来完成。(4)实现审讯记录和统计分析。首先要建立一套事件发生的记录体制,在这个体制之上对记录信息进行统计分析,得出我们所需的各方面信息。第6章 安 全 管 理有效的网络安全方案必须针对网络的易受攻击点制定保护措施,同时还要加强对网络的维护。一个系统仅靠外围安全设备的保护是不够的。典型的安全设备,如传统的防火墙、认证设备及系统外壳无法有效阻挡入侵者,它们只能保护网络的入口,一旦被入
14、侵者攻破,便无法检测来自系统内部的破坏和攻击行为。管理者应尽量缩短对破坏的反应时间,一旦给攻击者充足的时间,那么任何系统都有可能被攻破。为了减少由于入侵造成的损失,安全系统应该进行实时的检测,这种方案可以在被入侵的最初几秒钟内探测到危险动作。安全系统应对入侵做出快速反应,能够自动阻挡入侵者的破坏行为。第6章 安 全 管 理另外,防止内部人员的攻击也很重要。据估计,有50的攻击来自于内部人员。任何安全系统都需要安装、维护和更新,为了降低开支,理想的安全系统应具备灵活性、可扩充性和透明性。第6章 安 全 管 理6.1.4 人员管理人员管理根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过
15、170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的、超过50的安全威胁来自内部,只有17的公司愿意报告黑客入侵。可见来自内部的安全威胁的比重是非常大的。在入侵的来源中,首先是内部心怀不满的员工,其次为黑客,另外还有竞争者。内部工作人员甚至会充当间谍,因为他们能够较多地接触内部信息,还有工作中的任何不小心都可能给信息安全带来危险,这些都使信息安全问题越来越复杂。现在社会竞争越来越激烈,竞争对手通过网络非法访问内部信息的事件屡见不鲜。在人员管理上要考虑用户的安全意识和系统管理员的安全意识,下面以Unix系统为例来说明这两个问题。第6章 安 全 管 理1用户的安全意识用户的安全意
16、识管理员的职责之一是保证用户安全。这其中一部分工作是由用户的管理部门来完成的,但是作为系统管理员,有责任发现和报告系统的安全问题,因为系统管理员负责系统的运行。避免系统安全事故的方法是预防性的。当用户登录时,其shell在给出提示前先执行/etc/profile文件,要确保该文件中的PATH指定最后搜索当前工作目录,这样将减少用户运行特洛依木马的机会。第6章 安 全 管 理将文件建立屏蔽值的设置放在该文件中也是很合适的,可将其值设置成至少将防止用户无意中建立任何人都能写的文件。要小心选择屏蔽值,如果限制太严,则用户会在自己的.profile中重新调用umask以抵制系统管理员的意愿,如果用户大
17、量使用小组权限共享文件,系统管理员就要设置限制小组访问权限的屏蔽值。系统管理员必须建立系统安全和用户方便之间的平衡。定期地用grep命令查看用户.profile文件中的umask,可了解系统安全限制是否超过了用户极限。第6章 安 全 管 理系统管理员可以每星期随机抽选一个用户,将该用户的安全检查结果,如用户的登录情况简报、SUID/SGID文件列表等,发送给管理部门和用户本人。这样做的目的是提醒用户考虑安全问题,促使这些用户采取措施,删除文件的写许可,提醒用户注意自己有SUID程序,使用户知道是否有不是自己建立的SUID程序,知道对文件的管理关系到数据的安全。管理意识是提高安全性的一个重要因素
18、。如果用户的管理部门对安全要求不强烈,系统管理员可能也忘记强化安全规则。最好让管理部门建立一套每个人都必须遵守的安全标准,如果系统管理员在此基础上再建立自己的安全规则,就强化了安全。管理有助于加强用户意识,让用户明确,信息是有价值的资产。第6章 安 全 管 理系统管理员应当使安全保护方法对用户尽可能简单,提供一些提高安全的工具,如公布锁终端的lock程序,让用户自己运行secure程序,将检查用户口令信息的程序(pwexp)放入/etc/profile中,使用户知道自己的口令时间等。多教给用户一些关于系统安全的知识,确保用户知道自己的许可权限和umask命令的设置值。如果注意到用户在做有损安全
19、的事情,就给他们一些应当怎样做才对的提示。用户知道的关于安全的知识越多,系统管理员在保护用户利益方面所要做的事就越少。第6章 安 全 管 理2系统管理员的安全意识系统管理员的安全意识首先要保持系统管理员个人的登录安全。若系统管理员的登录口令泄密了,则窃密者离窃取root只有一步之遥,因为系统管理员经常作为root运行,窃密者非法进入到系统管理员的账号后,将用特洛依木马替换系统管理员的某些程序,系统管理员将作为root运行这些已被替换的程序。正是因为这个原因,在Unix系统中,管理员的账号最常受到攻击。要使su命令在不可读的文件中记录所有想成为root的企图,还可用记账数据或ps命令识别运行su
20、命令的用户。因此,系统管理员作为root运行程序时应当特别小心,因为最微小的疏忽也可能导致悲剧的发生。下面列出一些指导规则:第6章 安 全 管 理(1)不要作为root或以自己的登录账号运行其它用户的程序。(2)不要把当前工作目录排在PATH路径表的前边。(3)键入/bin/su执行su命令。若有su源码,则将其改成必须用全路径名运行,即su要确认argv0的头一个字符是“/”才运行。(4)不要未注销账号就离开终端,特别是作为root用户时更不能这样。(5)不允许root在除控制台外的任何终端登录。(6)经常改变root的口令。(7)确认su命令记下的想运行su企图的记录/usr/adm/su
21、log,该记录文件属root所有。(8)不要让其他人作为root运行。第6章 安 全 管 理从运行系统的安全环境考虑,还应有以下一些关键的薄弱环节:系统是否有Modem,电话号码是否公布,系统是否连接到网络上,还有什么系统也连接到该网络,系统管理员是否使用未知出处或出处不可靠的程序,系统管理员是否将重要信息放在系统中,系统的用户是否熟悉系统的使用,用户是否很重视安全问题,用户的管理部门是否重视安全问题,等等。从保持系统本身的安全考虑,应注意以下细节:第6章 安 全 管 理(1)保持系统文件安全的完整性。检查所有系统文件的访问许可,任何具有SUID许可的程序都是非法者想偷换的选择对象。(2)要特
22、别注意设备文件的访问许可。(3)要审查用户目录中具有系统ID/系统小组的SUID/SGID许可的文件。(4)在未检查用户的文件系统的SUID/SGID程序和设备文件之前,不要安装用户的文件系统。(5)将磁盘的备份存放在安全的地方。(6)设置口令时效,如果能访问Unix的源码,将加密口令和信息移到仅对root可读的文件中,并修改系统的口令处理子程序。第6章 安 全 管 理(7)记录本系统的用户及其授权使用的系统。(8)查出久未使用的登录账号,并取消该账号。(9)确保没有无口令的登录账号。(10)启动记账系统。(11)查出不寻常的系统使用情况,如大量的占用磁盘,大量使用CPU时间,大量的进程,大量
23、的使用su的企图,大量无效的登录以及大量的到某一系统的网络传输。第6章 安 全 管 理(12)修改shell,使其在等待了一定时间而无任务时终止运行。(13)修改login,使其打印出用户登录的最后时间,三次无效登录后,将通信线挂起,以便系统管理员能检查出是否有人试图非法进入系统。确保login不让root在除控制台外的任何地方登录。(14)修改su,使得只有root能以过期口令通过su进入某一账号。(15)当安装来源不可靠的软件时,要检查源码和makefile文件,查看特殊的子程序调用或命令。(16)即使是安装来源可靠的软件,也要检查是否有SUID(SGID)程序,确认这些许可的确是必要的。
24、第6章 安 全 管 理(17)将重要数据保存在软盘上。(18)将secure、perms和任何其它做安全检查的shell程序访问许可置为仅执行。(19)只要系统有任何人都可调用的拨号线,系统就不可能真正地安全。(20)如果系统管理员认为系统已经泄密,则应当设法查出肇事者。第6章 安 全 管 理6.1.5 技术管理技术管理1静态安全技术静态安全技术由管理员事先设置安全规则,被动实施安全保护的安全技术属于静态安全技术。目前市场上很多流行的安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击,一旦外部入侵者进入了系统,他们便不受任何阻挡。认证手段也
25、与此类似,一旦入侵者骗过了认证系统,那么入侵者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高,一旦考虑到安全因素而对网络数据流量进行深入检测和分析,那么网络传输速度势必受到影响。第6章 安 全 管 理静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪入侵者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。针对静态安全技术的不足,许多世界网络安全和管理专家都提出了各自的解决方案,如 NAI为传统的防火墙技术做出了重要的补充和强化,其最新的防火墙系统包含了NAI技术专家
26、多年来的研究成果自适应代理技术。第6章 安 全 管 理自适应代理技术可根据用户定义的安全规则,动态适应传送中的数据流量。当安全要求较高时,安全检查仍在应用层中进行,保证实现传统防火墙的最大安全性。而一旦可信任身份得到认证,其后的数据便可直接通过速度快的网络层。测试表明,新的自适应代理技术在保证安全的前提下,其性能比传统的防火墙技术提高了10倍。第6章 安 全 管 理2动态安全技术动态安全技术动态安全技术能够主动检测网络的易受攻击点和安全漏洞,并且通常能够早于人工探测到危险行为。它的主要检测工具包括能够进行网络、系统和应用程序易受攻击点检测的工具和扫描工具,对可疑行为的监视程序以及病毒检测工具。
27、自动检测工具通常还配有自动通报和警告系统,这是一种集网络系统入侵检测、安全扫描、动态响应和审计分析于一身的全面入侵检测解决方案。它提供综合的审计工具,发现网络环境中的安全漏洞,保证网络安全的完整性,可以发现大众化的安全漏洞和非大众化的漏洞,它可以确定防火墙的第一条防护规则是否发挥作用,评估Intranet、Web服务器、防火墙、路由器,进行扫描、测试和确定存在的可被黑客利用的脆弱性。第6章 安 全 管 理基于网络的实时入侵检测系统,通过网络流量检查保护企业财产,像一个高级防盗报警器,保护网络免受来自内外的攻击,当网络安全受到非法入侵者威胁时发出报警。其最大的特点是充分发挥了动态安全技术的优势,
28、主动检测网络内外的危险行为和动作,记录网络活动,捕捉入侵罪证,并且能够进行实时报警。一旦有非法用户企图访问网络,通过分布式的网络传感器能很快检测到入侵行为,并收集有关数据,然后通过加密连接将细节报告给管理服务器,生成永久记录。管理系统立即通过各种可能的手段,如电子邮件、寻呼机和SNMP系统向管理人员报告有关情况。管理人员马上便可通过拨号或其它方式进入网络重新配置路由器,以阻挡入侵行为的继续进行。所记录的各种信息将有助于系统管理员恢复系统正常运行,同时为捕获入侵者提供法律上的证据。第6章 安 全 管 理动态安全技术的最大优点在于主动性,通过将实时捕捉和分析系统与网络监视系统相结合,入侵检测系统能
29、够发现危险攻击的特征,进而探测出攻击行为并发出警报,同时采取保护措施。若要使某个网络得到高水平的安全保护,则应该选择更加主动和智能的网络安全技术。完备的网络安全系统应该能够监视网络和识别攻击信号,能够做到及时反应和保护,能够在受到攻击的任何阶段帮助网络安全管理人员从容应付,并且不应该对网络造成过大的负担和产生过高的费用。实际上,没有任何一种网络安全技术能够保证网络的绝对安全,用户应选择那些能够正视网络现存问题的技术。动态安全技术能够面对存在于网络安全中的种种现实问题和用户的需求,通过与传统的外围安全设备相结合,最大程度地保证网络安全。第6章 安 全 管 理3网络测试技术网络测试技术从绝对意义讲
30、,联网的计算机都是不安全的,都有可能被网上的任一台主机攻击或插入物理网络攻击,同时网络软件也引入新的威胁。网络安全和系统测试可以对内部网络、操作系统、系统服务以及防火墙等系统的安全漏洞进行检测,即时发现漏洞并给予修补,使入侵者无机可乘。网络安全测试主要用于扫描因特网网站、路由器、Windows XP、Unix服务器及所有基于TCP/IP协议的网络设备的安全漏洞和薄弱环节,分析和指出有关系统设置的安全问题及所在的薄弱环节,给出相应修补措施和安全建议,帮助管理员完善系统设置。网络检测技术包括安全审计、入侵检测等技术。网络安全测试模块包含了近百种网络安全测试工具和手段。在进行网络测试时,主要进行以下
31、几方面的测试。第6章 安 全 管 理1)系统安全测试系统安全测试模块包含多种系统安全测试工具和手段,包括口令检测、Password文件检测、守护进程检测、设备文件检测、用户占用磁盘空间检测、用户最后登录时间检测、系统文件检测、普通用户登录环境检测、超级用户登录环境检测、特权文件检测、系统保护设置检测等,适用于所有Unix系统安全问题检测、扫描,若发现问题则给出警告提示。第6章 安 全 管 理2)Web服务器安全测试Web服务器安全检测一般用于发现Web安全薄弱环节,分析和指出有关Web服务器运行及设置中的主要问题,若发现问题则给出警告提示、相应的修补和防范措施以及安全建议。它应具有数种安全测试
32、工具和手段,包括Web服务器特权检测、CGI程序检测、符号链接检测、Web目录读写权限检测、Web日志分析、Robot防护测试、Web文件更新提示等功能。第6章 安 全 管 理3)系统漏洞检测系统漏洞检测主要用于网络和系统已知漏洞的检测,它使用与黑客相同的攻击手段对网络系统进行模拟攻击实验,及时发现安全问题和漏洞所在。能够测试和分析几百种黑客常用的、有效的并且危害最大的攻击手段,对网络和系统进行模拟入侵实验,发现探测网络、系统的严重漏洞。随着操作系统的不断变化和升级以及入侵和反入侵力量的不断较量,系统漏洞检测技术也应成为开放式的结构,进行不断的升级、更新和完善。第6章 安 全 管 理4)防火墙
33、的测试除了进行与安装、配置和调整防火墙有关的基本测试之外,还应进行两种应力测试。在第一种应力测试当中,要在每一个防火墙上使用一个简单但却很大的信息荷载对防火墙进行测试,在测试当中,设置多台PC客户机,用来为运行于防火墙之后的Web服务器生成超级文本转换协议信息,http申请可以用全交换速度对系统进行测试,而防火墙的配置则允许http信息仅进出于其中的一台服务器。此外,还应在没有防火墙的情况下进行一次比较测试。第6章 安 全 管 理第二种测试方法是安全扫描程序,这种扫描程序用来测试能否透过每一个防火墙,而从防火墙保护区里面窥视信息。这一高强度安全探测软件被分别用于针对每一个防火墙的两个不同模式之
34、中。首先,它被用于一个目标型模式,其设计目的是为了专门探测在一个标准包过滤防火墙内的100多个脆弱性。这些脆弱性的范围为从使默认口令留在原处至相对不明显的Unix系统软件利用,如Unix公用网关接口目录内的phf程序等。其次,它被用于一种强制模式,其设计目的是为了探测在防火墙之后的系统脆弱性。第6章 安 全 管 理6.2 安全管理协议安全管理协议这里从技术的角度介绍两类典型的网络安全管理协议。一类是OSI的国际管理标准,该标准定义了通用管理信息协议(CMIP);另一类是因特网网络管理标准,即简单网络管理协议(SNMP)。网络管理协议为管理系统、网络和网络部件提供了方法。它们支持如配置管理、审计
35、和事件记录等管理功能,并且为诊断网络问题提供了工具。网络管理协议本身是应用层协议,像其它应用层协议一样利用低层通信设施。第6章 安 全 管 理6.2.1 CMIP的安全管理的安全管理1OSI管理标准框架结构管理标准框架结构OSI管理标准是由OSI/IEC JTC1/SC21分委会和ITU联合开发的。该标准除了CMIP以外,还包括其它框架标准。1989年公布了第一个OSI管理标准,定义了OSI的基本管理框架(ISO/IEC7498-4)。该标准定义了两种管理类型:一种是OSI系统管理,通常用来支持系统管理;另一种是OSI层管理,与特殊的OSI层实体有关。管理框架进一步定义了五个管理功能区:配置管
36、理、容错管理、审计管理、性能管理和安全管理。系统管理概述进一步扩充了管理框架结构,定义了OSI管理标准中所使用的术语,解释了基本的OSI管理概念,描述了各种标准之间的关系,建立了用来确保这些标准的一致性规则。第6章 安 全 管 理OSI管理标准应用了面向对象的信息模型构造技术。受管资源在建模时都被看做受管对象。受管对象通过其可接受的活动、发出的通知、所呈现的属性和所展现的行为来表征。在实际网络中,受管对象的类型范围几乎是无限的,不同的组织可自行定义受管对象,受管对象是按照层次组织的。例如一个文件包含多个记录,记录又包含多个字段,每个系统中的包含树最上面都有一个系统的受管对象。在管理信息标准(I
37、SO/IEC10165)中描述了模型的全部信息,主要由下面几部分信息组成:第6章 安 全 管 理(1)管理信息模型:描述了受管对象、操作和通知、过滤器、遗传和同质异晶性、包含和命名等概念。(2)管理信息定义:定义了一些有用的受管对象类、属性、行为和事件。(3)受管对象定义指南:确定这些标准的用户在定义他们自己的受管对象类时所使用的技术和原则。(4)一般管理信息:定义了通用的超级类别(如连接),根据这些超级类别可以定义OSI用的其它层类或资源类。另一个标准ISO/IEC10164进一步在审计管理、配置管理、容错管理、性能管理和安全管理这5个管理功能区中定义了大量的系统管理功能。第6章 安 全 管
38、 理2通用管理信息协议通用管理信息协议CMIPOSI管理的结构由一个管理系统和一个包含受管对象的受管系统组成,两个系统采用CMIP应用层协议进行通信。ISO/IEC 9595详细描述了通用管理信息协议(CMIP)所提供的服务,这种服务称为通用管理信息服务(CMIS)。CMIP是一个采用了远程操作模型的请求/应答协议,提供以下两种服务:第6章 安 全 管 理(1)传输由管理系统发起并面向受管对象的操作。(2)传输由受管对象产生的事件通知。面向受管对象的操作有:(1)获得关于一个受管对象或它的集合属性值。(2)更改一个或多个受管对象的一个或多个属性值。(3)发起并产生一个受管对象。(4)从环境中取
39、消一个或多个受管对象。(5)激发一个作为受管对象一部分的预定义行为过程。(6)停止一个GET操作。第6章 安 全 管 理3安全警报报告功能安全警报报告功能认证、访问控制、机密性和完整性等这些安全服务都是为了防止发生安全泄露。然而,不能保证这些服务总能正常运行。由于不合适的保护机制或保护机制中的故障,存在新产生的攻击或这些安全机制本身不能解决等情况,因此系统总会有安全泄密的风险。所以,需要有一个工具能够检测出安全泄露或可疑事件的发生,并将这些情况报告给操作员或管理员。这些安全警报能导致以下一些行动:监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络或系统的某个组成部件。第6
40、章 安 全 管 理一个与安全相关的事件会触发一个安全警报,从原理上讲,任何网络或系统部件都能够检测出该事件。在管理模型中,检测事件的部件是受管对象。安全警报通过M-EVENT-REPORT通知给管理系统。安全警报报告功能标准(ISO/IEC 10164-1)描述了M-EVENT-REPORT调用中所传递的信息。受管信息定义(ISO/IEC 101652)中详细说明了交换中所使用的正确的抽象语法。安全警报报告中传递的参数分为三类,涵盖了调用标识符、模式、受管对象类、受管对象事例、事件类型、事件时间、当前时间、通知标识符、相关的通知、额外的信息、额外的文本、安全警报原因、安全警报的严重性、安全警报
41、检测器、使用服务的用户和服务的提供者等。第6章 安 全 管 理事件类型和安全警报原因的组合表明了警报的原因,这些原因包括完整性破坏、违规操作、物理入侵、安全服务或机制的侵犯、时间区域的侵犯等。安全警报的安全参数指明了由初始受管客体发觉的警报意义,所表示的意义包括系统的完整性是未知的、安全性被损害危及到系统的安全、检测到违反安全并且重要的信息或机制已经遭到损害、检测到违反安全并且不太重要的信息或机制已经遭到损害以及不相信系统的安全性受到威胁。安全警报检测器参数是标识检测警报条件的实体,使用服务的用户参数标识那些请求服务从而导致警报发生的实体,服务提供者参数标识那些提供服务从而导致警报发生的实体。
42、第6章 安 全 管 理4安全审计追踪功能安全审计追踪功能安全审计追踪功能对确保任何网络安全都起到重要作用。它可以用来检测一个安全策略的正确性,确认与安全策略的一致性,帮助分析攻击,并且收集用于起诉攻击者的证据。安全审计追踪记录了任何可疑的事件,也可以记录许多日常事件,如建立和终止连接、使用安全机制和访问敏感资源。同类或不同类的系统都可以检测到被审计的事件,并由系统中的安全审计追踪日志来维护。安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。第6章 安 全 管 理管理一个安全审计追踪日志的机制基本上与网络管理中的管理任何其它类型的事件日志一样,该标准依赖于事件
43、报告管理功能和日志控制功能。通知一个安全审计追踪事件的过程类似于产生一个安全警报报告的过程,它包括一些受管对象对一个M-EVENT-REPORT的调用。一个安全审计追踪日志可以记录事件类型参数指示的几乎任何管理通知。第6章 安 全 管 理安全审计追踪功能标准另外定义了两个特殊的通知,分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。传递的参数和这些事件的类型基本上与安全警报报告中使用的一样,其中包括任何M-EVENT-REPORT通用的参数和任何管理警报通用的参数。服务报告事件类型中定义了一个额外的参数,称为服务报告原因,
44、用于表明报告的原因。这个参数是一个ASN.1对象标识符,也就是说任何人可以定义并注册其值。该标准还定义了一些通用的值,即服务请求、拒绝服务、来自服务的回答、服务失败、服务恢复和其它原因。第6章 安 全 管 理审计追踪过程的控制和从安全审计追踪中检索实体都独立于上面的通知过程。它们利用了定义在其它标准中的通用过程。事件报告管理功能为两个系统之间的联系建立了一个长期的事件报告。日志控制功能支持用于安全审计追踪、其它目的的日志创建和删除以及这些日志记录的检索。第6章 安 全 管 理5管理资源的访问控制管理资源的访问控制网络管理有它自己的访问控制要求,有必要控制谁能调用管理功能,谁能创建、删除、修改或
45、读取管理信息。这样的访问控制在任何使用网络管理协议的网络中都是至关重要的,因为破坏了网络管理资源也就等于破坏了整个网络。ISO/IEC101649标准中讲述了这种类型的访问控制。该标准给出了一个访问控制模型,以及支持系统之间传递访问控制信息所需要的信息对象定义,并使用了访问控制框架标准中的术语和概念模型,包括各种访问控制策略以及各种访问控制机制(如访问控制列表、能力、安全标识和基于内容的控制)。第6章 安 全 管 理访问控制体系结构中,发起者是管理系统或系统中的管理员,目标是受管系统的信息资源。一个目标可以是受管对象、受管对象的属性、受管对象的属性值或受管对象的行为。因此,可能为管理员提供了一
46、个非常精确的控制级,在这个控制级上,管理员可以为某一目的访问某一管理信息。基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目,并且使用CMIP协议来管理。当有许多规则用于一个特定的访问请求时,这些规则的优先级顺序是拒绝访问的全局规则、拒绝访问的条目规则、允许访问的全局规则、允许访问的条目规则以及默认规则。第6章 安 全 管 理一条规则的说明书中包含了许多要素,其中包括访问的许可、发起者列表、目标列表、时间表、状态条件以及认证内容等。在访问控制决策过程中,首先需要验证伴随访问请求出现的任何访问控制信息。需要标识发起者和目标使用的任何访问规则的身份,并根据他们的全局、
47、条目、默认的意义进行归组,然后根据优先组的限制来使用这些规则。使用规则的方法取决于所使用的特定访问控制机制。在访问控制列表机制中,将发起者的标识符与使用的访问控制列表进行比较。在能力机制中,将发起者提供的能力与规则中陈述的能力进行比较。在基于标识的机制中,将与发起者相关的标识与规则所识别的标识集进行比较。还需要使用基于内容的检测,如时间表、状态条件或认证级别。第6章 安 全 管 理做出访问决策后,就有其它一系列的行为发生。例如,建立或删除受管对象行为。由于所有行为都依赖于安全策略,因此有必要生成一个安全警报和安全审计追踪的通知。决策使用的信息需要暂时保存起来用于以后为相同的发起者做决策。如果访
48、问被拒绝,则有各式各样的方式来应答发起者。安全策略规定了下列类型的应答:指示出拒绝访问的错误、没有响应、错误的响应或中断相关的应用。为支持上面的过程,需要远程管理(例如,创建、更新)来存储用于决策访问控制的信息。为此,标准提供了几个受管对象类和属性类型定义,用于表示访问控制规则和支持信息结构。这些定义能够使用ISO/IEC 101641中定义的过程来远程控制访问控制信息。第6章 安 全 管 理6.2.2 SNMP的安全管理的安全管理1SNMP构成构成简单网络管理协议(SNMP)是支持基于TCP/IP的系统管理的一组因特网标准的一部分。自从1990年起,SNMP版本1就已经稳定下来,并且得到广泛
49、使用。版本2融合了许多安全内容,并于1993年推出。1998年SNMP版本3工作组提出了一组因特网建议标准(RFC2570-2575)。这个文档集定义了一个框架,把安全特征合并到SNMP版本1或SNMP版本2中,对网络安全和访问控制定义了一组明确的功能要求。第6章 安 全 管 理SNMP版本3不是独立地取代SNMP版本1或SNMP版本2的协议,而是定义一种安全能力,并与SNMP版本2或SNMP版本1联合使用。SNMP体系结构的主要部件是一个网络管理站和一些网络要素。网络管理站是一个运行了SNMP以及一些网络管理应用的主机系统。网络要素是受管系统,如主机、路由器、网关或服务器。每个网络要素都包含
50、一个管理代理,该代理实现了SNMP,并提供对管理信息的接入,管理信息是管理信息库(MIB)中网络要素的反映。第6章 安 全 管 理在网络管理站和网络要素之间进行的通信中,实现SNMP的实体被称为SNMP协议实体或简单的SNMP实体。一个SNMP实体可以以管理者角色或代理角色进行操作。SNMP也通过代理服务器提供对设备的管理。对于网络管理站而言,代理服务器起着代理的作用。但是为了处理管理的请求,它还需要和远程受管系统做进一步的通信。后一个通信可以是基于SNMP(本地代理配置)的,也可以使用其它协议(外来代理配置)。SNMP管理员通过外来代理配置管理非SNMP设备。SNMP版本2也增加了两个以管理