前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全审计报告主题范文,仅供参考,欢迎阅读并收藏。
作为我国电子政务重要基础设施的电子政务外网,为了实现服务各级党政部门,满足各级政务部门社会管理、公共服务等方面需要的重要功能,要求具有互联网出口,并且与互联网逻辑隔离。因此,电子政务外网面临来自互联网和内部网用户两大急需解决的安全难题。
二、设计思路
本方案按照《国家电子政务外网安全保障体系总体规划建议》进行设计,规划范围以市级电子政务外网为主,以市级电子政务外网运维中心为重点,覆盖市委、市政府、市人大、市政协和多个委办局单位以及市属各个县区,根据国家电子政务外网安全保障体系的规划,市级电子政务外网安全体系包括如下三个方面的内容:
(一)安全管理体系。主要包括:按照国家安全保障体系建设标准,建设市级安全管理中心(SOC);以《国家电子政务外网安全标准指南》为标准贯彻执行国家已有安全法规标准,同时制订符合本市电子政务外网自身特点和要求的有关规定和技术规范。
(二)网络安全基础防护体系。主要包括:网络防护与隔离系统、入侵防御系统、接入认证系统、业务隔离和加密传输系统、防病毒、漏洞扫描系统等。
(三)网络信任体系。主要包括:PKI/CA系统、权限管理系统和认证授权审计系统。
三、方案设计
(一)安全管理中心。市级安全管理中心是市级电子政务外网安全的规划、实施、协调和管理机构,上联省级电子政务外网安全管理中心,把各类安全事件以标准格式上报到省中心,同时对县区管理中心下发安全策略,并接收县区的日志、事件。县级安全管理中心在市中心的授权下,具有一定的管理权限,并对县级安全策略及日志、事件进行采集和上报。市级安全管理中心也是市级网络安全设施的管理维护机构,为使安全设施能够最大限度地发挥其安全保障功能,需要建立一个良好的安全综合管理平台,以实现业务流程分析,并对业务系统在安全监控、安全审计、健康性评估等方面的运行进行有效的管控,从全局角度进行安全策略的管理,对各类安全事件作出实时的监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告、健康性报告和风险分析报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除各类安全隐患。
(二)基础防护平台建设。基础防护平台主要是以确定的安全防护模型框架为依据,结合政府业务的实际安全需求,在原有互联网安全设施基础上进行安全基础防护体系的新建或扩充、延伸与扩展。包括边界隔离与控制、身份鉴别、认证与授权、入侵检测与防御、安全审计与记录、流量监测与清洗、数据加密传输、病毒监测与防护、安全扫描与评估、安全策略集中管理、安全监控管理和安全审计管理等基础安全防护措施。最终达到提升系统的整体抗攻击能力,确保电子政务外网能够更好地支撑各类政务应用系统的运转。
(三)边界隔离与控制。防火墙是实现网络边界隔离的首选设备,防火墙是运行于软件和硬件上的,安装在特定网络边界的,实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为破坏内部网络。它可以让用户在一个安全屏障后接入互联网,还可以把单位的公共网络服务器和企业内部网络隔开,同时也可以通过防火墙将网络中的服务器与网络逻辑分离,进行重点防护。部署防火墙能够保护一个网络不受来自另外网络的攻击。
(四)入侵检测与防御。在整体的网络安全中,依靠安全策略的指导,对信息系统防护有积极的意义。但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。在攻击与防御的较量中,实时监测处在一个核心的地位。
(五)安全审计与记录。安全审计系统记录了网络使用者的全部上网行为,是支撑网络安全事件调查的基础,是审计信息的重要来源,在电子政务外网的建设中,应当尽量延伸安全审计系统部署的范围,并采用多种的安全审计系统类型(如网络审计、主机审计、数据库审计等)扩展安全审计的层面。
(六)流量检测与清洗。流量检测与清洗服务是针对网络传输信息流类型、大小以及诸如DOS/DDOS等安全攻击行为的监控、告警和防护的一种网络安全服务。该服务对进出内部网络的业务数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足各业务系统运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。
(七)统一病毒防护平台。根据电子政务外网省、市、县三级分布的特点,可采用多级、多种的方式进行病毒防护系统的综合部署,包括在网络边界安装硬件防病毒网关、针对特定应用布署网络防病毒系统、针对多数工作终端布署单机版病毒查杀软件等方式。
(八)终端管理。利用桌面终端管理系统,对于终端电脑从以下四方面进行进行标准化管理:
1.网络准入。通过网络边界部署的防火墙设备、网络交换机设备与终端管理服务器配合,实现终端用户的802.1x准入认证,使得所有终端用户接入电子政务外网网络必须提出申请,并对接入机器做防病毒等安全审核,在安装了准入客户端软件(Agent)并分配了用户名/密码后,才能合法接入网络并使用信息资源,开展业务工作,实现了对终端用户的有效管理。
2.网络切换。通过实现终端用户访问互联网和电子政务外网两网切换使用功能,实现对两网资源使用的严格管理,避免安全隐患的发生。
3.文件保险箱。利用“文件保险箱”功能,在终端用户处于“政务外网”访问状态时可以使用“文件保险箱”功能,并创建、修改、使用加密文件或文件夹,在终端用户处于“互联网”状态时无法使用此功能,不能创建、修改、使用加密文件或文件夹,从而保证工作文件的安全。
4.补丁管理。利用桌面系统补丁管理的功能,帮助管理员对网内基于Windows平台的系统快速部署最新的安全更新和重要功能更新。系统能检测用户已安装的补丁和需要安装的补丁,管理员能通过管理平台对桌面系统下发安装补丁的命令。补丁服务器可自动从微软网站更新补丁库,管理员负责审核是否允许补丁在终端系统安装。通过策略定制,终端系统可以自动检测、下载和安装已审核的补丁。
(九)采用2+N的业务模式。对于利用互联网接入的业务系统,必须采用VPN接入,建设互联网接入区,隔离互联网与政务外网的数据包,将互联网业务进行封装,确保互联网业务在专网的VPN通道内进行传输,对于需要与互联网联接的为公众服务的业务,通过逻辑隔离的安全防范措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供必要安全防护,保障电子政务外网的信息安全。
(十)信任体系设计。建立了基于PKI/CA公钥基础设施的数字证书认证体系。完善、推广、促进数字证书体系的发展和根据业务需要建立相应CA机构,并实现某些应用和管理需要的单点登录要求。
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(iso)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于b0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
20世纪60年代随着第二代晶体管机的出现和计算机的普及,特别是电算化之后,开始设立数据处理审计及安全办公室,出现了信息技术审计(IT审计)-EDP审计,当时称之为计算机审计,到70年代,利用计算机犯罪的案件开始出现,在上引起了强烈反响,人们开始认识到信息技术审计的必要性。进入80年代后,发达国家大力发展信息产业,加上计算机与通信相结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率升高,犯罪率的急剧上升引起了有关政府的极大重视,1984年日本政府公开发表了《IT审计标准》,在全日本的软件水平中增添了“IT审计师”一级的考试(在系统员考试之上的最高一级),培养从事信息技术审计的骨干队伍,信息技术审计逐步走向成熟。至20世纪90年代,信息系统向大型化、多样化及化发展,信息技术审计作为信息社会的安全对策进入普及时期。
二、信息系统审计(ISA)与信息技术审计(ITA)
信息系统审计(Information Systems Audit简称ISA)是指以某个业务应用系统为中心的审计,即对计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况进行监督、检查,并作出评价,提出意见和建议,它包括对新系统的开发审计和对现有系统的审计。而信息技术审计(Information Technology Audit简称ITA)则是侧重于对信息技术基础设施的审计,主要是对技术的安全性进行审计,重点在于网络安全和通讯安全。包括对防火墙的安全和公共密钥系统(PKI)的安全性的评价,以及对非法入侵进行检测等。在部分西方国家央行内部审计中,信息系统审计和信息技术审计有严格的区分,分别设置信息系统和信息技术审计机构,我国人民银行信息技术审计处于起步阶段,一般认为信息技术审计既包括对应用系统的审计,也包括对计算机基础设施的审计,二者是一个包含与被包含的关系,是可以通用的概念。
三、人民银行信息技术审计的发展方向
人民银行2000年开始提出信息技术审计的概念,在充分了美国、德国、英国、加拿大、荷兰、日本等国中央银行信息技术审计的基础上,2000年8月在贵阳首次召开了人民银行信息技术审计工作座谈会,以此次会议为标志,人民银行正式将信息系统安全纳入内部审计范畴,并相继开展了一系列信息系统专项审计。经过几年的探索,人民银行对信息技术审计有了明确的定位,信息技术审计逐步走向正规化、日常化。从这几年的实践来看,人民银行信息技术审计虽然引起了各级领导的高度重视,但受人员素质等各种因素的制约,信息技术审计层次较低,基本上侧重于规章制度的执行和基础设施的安全,离信息技术审计的定义相差较远,笔者认为人民银行信息技术审计应向以下几个方向发展:
1、在审计策略上向参与式审计发展。西方内部审计理念的核心是,内审人员不仅要善于发现,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。而现代内部审计方式的精髓则是参与式审计,即在整个审计过程中与被审人员维持良好的关系,共同分析问题的实际情况及潜在,一起探讨改进的可行性和应采取的措施,从而加强内部控制、改善经营管理,防范和化解潜在的风险。
信息技术审计不仅仅是传统审计业务的简单扩展,它是在传统审计、信息系统管理理论、行为理论和计算机科学四个理论基础上形成的一门边缘性学科,完全依靠自身的力量完成所有审计工作是不现实的,也是不符合成本效益原则的。西方国家信息技术审计普遍采用的做法是从外部咨询机构聘请信息技术专家、安全专家以及各种具体应用系统的专家参与审计。
参与式审计主要体现在以下几个方面:(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计、计划采取某些审计程序和的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,其中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也可以包括在审计报告中,以反映他们对审计工作的积极态度。
参与式审计的基础是信任被审部门,而我国人民银行内审脱胎于原稽核部门,沿袭了传统审计的思路和模式,在审计中持着怀疑一切的态度,将自己放在了被审单位的对立面,这样既不便于内审工作的开展,也了审计的质量和效果。
2、在审计对象上向安全审计。随着机网络技术的飞速发展,在人总行司的统一部署下,人民银行系统计算机网络经过近10年的建设已初具规模,形成了以内联网为核心,纵向覆盖至县支行,横向与各机构、财政、税务及海关、外汇交易中心等单位相联的大型网络。在人民银行系统内同时存在内联网、外联网和国际互联网三套网络系统,计算机网络成为人民银行业务系统运行、信息传输的重要平台和纽带,其运行状况直接关系到资金安全和政务信息的安全。网络在加快信息传播、加大资源共享、提高办公效率的同时也成为了人民银行系统内最大的潜在风险点。
目前人民银行系统正在运行的计算机系统共有二十多个,涉及支付结算,金融服务以及办公自动化等各个方面,在这种情况下,处于起步阶段的信息技术审计以各个业务应用系统为中心有其合理性:一是审计人员对各业务系统缺乏了解,对各系统还需要一个熟悉的过程,以系统为中心的审计有助于审计人员全面系统地了解业务系统的情况;二是计算机专业人员的缺乏,使以安全性为中心目标的信息技术审计难以有效开展;三是目前对计算机业务应用系统的监督检查环节还很薄弱,对于保证控制的各项制度措施不能很好地贯彻执行,合规性审计在一定时期内将是信息技术审计的主要。但是随着信息技术审计工作的不断开展,审计人员经验的丰富和技术的提高,信息技术审计应该走出以系统为中心的审计,向以保证组织网络与信息的安全方向发展,充分发挥信息技术审计技术性、专业性特点。
3、在审计内容上向系统开发审计发展。信息系统之所以风险较高,是因为它不仅涉及数据的安全和保护,而且涉及计算机网络的一致性和适用性,涉及系统建立和开发过程中的巨额资金流出。应用系统的开发不仅在开发阶段要花费大量的人力、物力和财力,而且对已经完成了的应用系统进行修改也将花费大量的时间和资金,相对传统业务审计而言,对信息系统仅仅进行事后审计意义不大,所以,内审部门对系统开发应在项目计划阶段就要介入,对其开况进行全过程审计监督。
对系统开况进行审计关键是要求内审人员“一开始就介入”。通过提前介入,内审部门对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督,保证系统的合理投资、合理设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失。同时,通过提前介入,也将信息系统的开发、购买、重大修改、委托运营、转让和退出使用等管理工作置于内审的有效监督之下。
在西方各国,一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门,内审部门根据系统的重要性决定审计的方式,可以要求提供相关资料,也可以派人参与开发过程,对于大型系统一般成立由财务审计人员和信息技术审计人员共同组成的联合工作组进行新系统开发审计。目前人民银行正准备进行应用系统开发审计的尝试。
4、在审计重点上向风险导向型审计发展。信息技术审计不同于我们以往的业务审计,以往的业务审计往往以发现已经发生的损失,已经实施的舞弊和违规为目的,属于以损失为基础的审计;而信息技术审计则具有一定的事前性,其目的在于发现潜在的风险和可能发生的损失。这种目的上的变化要求信息技术审计不可能以损失为基础,而应该以风险为基础,因此,信息技术审计部门必须借鉴风险评估的,由对系统运行的合规性审计逐渐转变为风险导向型审计:根据系统风险评估结果,确定审计计划,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。这种以风险为基础的审计也是当前国际审计界通行的观念和做法,也是今后我国审计的发展方向。
从现代企业制度的构成来看,会计内部控制不仅是建立现代企业制度的需要,同时也是现代企业制度的重要组成部分。内部控制的主要目标是控制企业风险,有些单位监督评审主要依靠内部审计部门来实现,而内部审计部门隶属于财务部门,企业与财务部门同属一人领导,内部审计在形式上就缺乏应有的独立性,使得企业内部控制不能全方位防范和控制企业经营风险。控制范围涉及时间和空间,内部控制延伸的空间存在较大的随意性,而受时间、人力和控制成本所限,开展全面内部详查显然是不可能的,内部控制只能采取重点抽查,这样无疑影响到对权力制约和监督的广度与深度。为了获得利润,一些部门掌权者操纵和调节单位收入、成本的时间和金额,出具失真的会计信息。另外,有些部门虽然建立了内部控制制度,但重经营,轻管理,对外部环境和经济业务等变化缺乏预见性,导致其管理滞后,内部控制制度缺乏科学性和连贯性,难以发挥应有的功效。为此,必须加强对经营者的管理,建立完善一系列的管理制度和措施。
一、部门财务审计松懈的成因
1.知识经济对财务审计假设的冲击。部门财务审计假设需要以会计假设作为重要参照依据,然而,在知识经济条件下,会计理论中的四大假设正面临着严重冲击。第一,会计主体假设面临的冲击。当前,以信息网络为依托的虚拟企业大量兴起,不仅突破了地域空间对企业经济交往的限制,而且也使得企业的外延界定更为困难,导致会计主体假定不清晰。第二,持续经营假设面临的冲击,会计主体在知识经济环境下,处于竞争日趋激烈、风险日益加大的境地,使得企业受外部环境影响较大,随时可能出现中止、清算、破产的状况。第三,会计分期假设面临的冲击。会计分期假设难以满足现阶段信息使用者对会计信息随时、及时使用的需求,无法充分发挥会计信息为决策及时提供依据的重要作用。第四,会计货币计量假设面临的冲击。因货币种类不同而发展的物价变动会计和外币业务会计,对会计货币计量假设带来了威胁,同时预测非货币性信息对于衡量企业发展潜力越来越显其重要性,这也在一定程度上动摇了货币计量假设。根据以上分析可知,知识经济对会计假设造成了严重冲击,同时也间接地影响了财务审计假设的建立。
2.财务审计内容滞后于财务会计的发展。知识经济时代下,企业在生产经营中的无形资产比例不断提高,如商誉、知识产权、人力资源等均成为了企业重要的无形资产,对于提高企业核心竞争力和经济效益起着不可忽视的作用。同时,由于金融工具的不断创新以及社会责任会计的产生与发展,致使知识经济不仅增加了审计工作内容,而且对审计工作提出了更高的要求。然而,当前财务审计明显滞后于财务会计的发展,没有针对财务会计的变化及时作出审计内容的调整和拓展,从而导致财务审计工作不完善,出现审计松懈。
3.计算机的运用模糊了财务审计线索。财务审计线索是审计工作顺利开展的基础,审计人员通过跟踪审计线索,遵循审计程序,审核相关经济业务,收集审计证据。知识经济时代转变了传统的手工会计核算方式,会计人员只需将财务原始数据及其相关信息输入财务软件,便可以利用计算机完成从记账凭证生成到财务报表输出的全过程,其中产生的全部数据均可以由计算机进行自动处理。这种方式模糊了财务审计线索,不仅增加了审计调查取证的难度,而且也容易造成部门财务审计的松懈。
4.财务审计制度的局限。在信息化条件下,财务审计的方式方法和审计内容均发生了变化,致使整个审计工作流程也必须重新调整。然而,当前审计制度没有针对这些新情况、新变化及时进行完善和修订,从而导致部分审计工作出现无章可循的状况,没有给予审计工作充足的制度保障和约束,造成了财务审计松懈。审计制度作为整个权力制约和监督体系中的重要一环,受其职能所限,对权力的制约和监督不可能面面俱到,在对权力的审计监督中遇到的问题形形,目前仍无完善的法律条文来评判,对行使权力应负的经济责任也无法作出规范的审计评价。
二、治理部门财务审计松懈的对策
1.转变部门财务审计观念。知识经济时代,部门财务审计应当转变传统的审计观念,以应对财务会计的发展,满足财务审计信息使用者的新需求。第一,树立部门财务审计服务观念。现阶段,我国大部分企业的内部管理日趋规范,内部审计工作也在不断完善。为此,部门财务审计工作不能仅局限在核查账目这一范围内,而是要立足于企业内部管理的实际需要,积极为企业管理和效益服务,并将监督与评价工作的开展建立在服务的基础之上。这就要求财务审计人员不断强化自身的服务意识,更新观念并拓宽审计领域,以此来帮助企业实现价值的再增值。第二,增强部门财务审计的导向作用。部门财务审计工作还应开展多项管理审计,如成本控制审计、投资项目效益审计、全面预算管理审计等等,借助对部门财务管理的分析和评价,为部门提出实现经济效益最大化的建议,这有助于部门财务审计向服务型、增值型和导向型审计的跨越。第三,发挥部门财务审计信息预测功能。随着财务审计信息使用者日趋多元化,如投资者、债权人、企业员工、工商税务部门、金融证券机构、银行等,他们对信息的需求复杂多变,既要求审计报告信息具备公允性和真实性,又要求审计信息具备评价性,满足公众对信息的需要。
2.转移部门财务审计重点。知识经济时代,信息网络和全球经济一体化的进程不断加快,在这样的背景下,为了进一步适应会计信息化和网络实体化,有必要转移部门财务审计重点,具体可从以下两个方面着手:第一,部门财务审计应当从原本的仅重视财务审计向财务审计与管理审计并重方向转变。大部分审计团体本身都拥有审计、会计、税务等方面的专家,他们对客户的内控制度和财务管理系统也都比较了解。为此,审计工作除了应当做好对财务报表的审计之外,还应渗透到相关的管理活动中去,这将会成为未来时期部门财务审计工作的主要发展趋势。第二,应将审计工作的重点从有形资产审计向无形资产审计转变。目前,人力资源、信息和知识已经逐步成为经济发展的关键要素,同时总资产中无形资产的比例也越来越大,其地位和作用也越来越明显,这使得信息使用者对这部分资产的关注程度越来越高,其已经成为会计核算的重点,财务审计工作也必须将此作为重点,确保信息使用者的利益。
论文摘要:随着计算机的飞速发展以及网络技术的普遍应用,随着信息时代的来临,信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域,可能会受到黑客的非法攻击,所以在任何情况下,对于各种事故,无意或有意的破坏,保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时,首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章绪论
§1.1概述
随着以Internet为代表的全球信息化浪潮的来临,信息网络技术的应用正日益广泛,应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有这些特点增加了网络信息系统的不安全性。
开放性的网络,导致网络所面临的破坏和攻击可能是多方面的,例如:可能来自物理传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也可以对硬件实施攻击。国际性的网络,意味着网络的攻击不仅仅来自本地网络的用户,也可以来自linternet上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放,使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet,他们可以从异地取回重要数据,同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。
虽然国内己有许多成熟的防火墙及其他相关安全产品,并且这些产品早已打入市场,但是对于安全产品来说,要想进入我军部队。我们必须自己掌握安全测试技术,使进入部队的安全产品不出现问题,所以对网络安全测试的研究非常重要,具有深远的意义。
§1.2本文主要工作
了解防火墙的原理、架构、技术实现
了解防火墙的部署和使用配置
熟悉防火墙测试的相关标准
掌握防火墙产品的功能、性能、安全性和可用性的测试方法
掌握入侵检测与VPN的概念及相关测试方法
第二章防火墙的原理、架构、技术实现
§2.1什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
§2.2防火墙的原理
随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的安全策略来控制信息流,防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。
§2.3防火墙的架构
防火墙产品的三代体系架构主要为:
第一代架构:主要是以单一cpu作为整个系统业务和管理的核心,cpu有x86、powerpc、mips等多类型,产品主要表现形式是pc机、工控机、pc-box或risc-box等;
第二代架构:以np或asic作为业务处理的主要核心,对一般安全业务进行加速,嵌入式cpu为管理核心,产品主要表现形式为box等;
第三代架构:iss(integratedsecuritysystem)集成安全体系架构,以高速安全处理芯片作为业务处理的主要核心,采用高性能cpu发挥多种安全业务的高层应用,产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备,容量大性能高,各单元及系统更为灵活。
§2.4防火墙的技术实现
从Windows软件防火墙的诞生开始,这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争,不断的进化与升级。从最早期的只能分析来源地址,端口号以及未经处理的报文原文的封包过滤防火墙,后来出现了能对不同的应用程序设置不同的访问网络权限的技术;近年来由ZoneAlarm等国外知名品牌牵头,还开始流行了具有未知攻击拦截能力的智能行为监控防火墙;最后,由于近来垃圾插件和流氓软件的盛行,很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上,Windows软件防火墙从开始的时候单纯的一个截包丢包,堵截IP和端口的工具,发展到了今天功能强大的整体性的安全套件。
第三章防火墙的部署和使用配置
§3.1防火墙的部署
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
----那么我们究竟应该在哪些地方部署防火墙呢?
----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
----安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
§3.2防火墙的使用配置
一、防火墙的配置规则:
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
二、防火墙设备的设置步骤:
1、确定设置防火墙的部署模式;
2、设置防火墙设备的IP地址信息(接口地址或管理地址(设置在VLAN1上));
3、设置防火墙设备的路由信息;
4、确定经过防火墙设备的IP地址信息(基于策略的源、目标地址);
5、确定网络应用(如FTP、EMAIL等应用);
6、配置访问控制策略。
第四章防火墙测试的相关标准
防火墙作为信息安全产品的一种,它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率,更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档,中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准:
4.1规则配置方面
要使防火墙软件更好的服务于用户,除了其默认的安全规则外,还需要用户在使用过程中不断的完善其规则;而规则的设置是否灵活方便、实际效果是否理想等方面,也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力,一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等,这将成为此款软件防火墙规则配置的一个特色。
§4.2防御能力方面
对于防火墙防御能力的表现,由于偶然因素太多,因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入,但大致可以做为一个性能参考。
§4.3主动防御提示方面
对于网络访问、系统进程访问、程序运行等本机状态发生改变时,防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。
§4.4自定义安全级别方面
用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则,以防止电脑被外界入侵。一般的防火墙共有四个级别:
高级:预设的防火墙安全等级,用户可以上网,收发邮件;l
中级:预设的防火墙安全等级,用户可以上网,收发邮件,网络聊天,FTP、Telnet等;l
低级:预设的防火墙安全等级,只对已知的木马进行拦截,对于其它的访问,只是给于提示用户及记录;l
自定义:用户可自定义防火墙的安全规则,可以根据需要自行进行配置。l
§4.5其他功能方面
这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项,是否可以满足用户各方面的需要。
§4.6资源占用方面
这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好,启动的速度越快越好。
§4.7软件安装方面
这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。
§4.8软件界面方面
软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善,相反地,简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项,这方便用户根据不同的安全级别启动相应的防护
第五章防火墙的入侵检测
§5.1什么是入侵检测系统?
入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程,它不仅检测来自外部的入侵行为,同时也检测内部用户的未授权活动。
入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,它作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵
§5.2入侵检测技术及发展
自1980年产生IDS概念以来,已经出现了基于主机和基于网络的入侵检测系统,出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术,并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类
从技术上讲,入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。
(1)基于知识的模式识别
这种技术是通过事先定义好的模式数据库实现的,其基本思想是:首先把各种可能的入侵活动均用某种模式表示出来,并建立模式数据库,然后监视主体的一举一动,当检测到主体活动违反了事先定义的模式规则时,根据模式匹配原则判别是否发生了攻击行为。
模式识别的关键是建立入侵模式的表示形式,同时,要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为,属已知类型,对新类型的入侵是无能为力的,仍需改进。
(2)基于知识的异常识别
这种技术是通过事先建立正常行为档案库实现的,其基本思想是:首先把主体的各种正常活动用某种形式描述出来,并建立“正常活动档案”,当某种活动与所描述的正常活动存在差异时,就认为是“入侵”行为,进而被检测识别。
异常识别的关键是描述正常活动和构建正常活动档案库。
利用行为进行识别时,存在四种可能:一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想,把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为,并具有简单的学习功能。
以下是几种基于知识的异常识别的检测方法:
1)基于审计的攻击检测技术
这种检测方法是通过对审计信息的综合分析实现的,其基本思想是:根据用户的历史行为、先前的证据或模型,使用统计分析方法对用户当前的行为进行检测和判别,当发现可疑行为时,保持跟踪并监视其行为,同时向系统安全员提交安全审计报告。
2)基于神经网络的攻击检测技术
由于用户的行为十分复杂,要准确匹配一个用户的历史行为和当前的行为是相当困难的,这也是基于审计攻击检测的主要弱点。
而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向,它能够解决传统的统计分析技术所面临的若干问题,例如,建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。
3)基于专家系统的攻击检测技术
所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的,它根据专家经验进行推理判断得出结论。例如,当用户连续三次登录失败时,可以把该用户的第四次登录视为攻击行为。
4)基于模型推理的攻击检测技术
攻击者在入侵一个系统时往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图,尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型,从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的入侵者和不同的系统建立特定的攻击脚本。
使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大,甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库,它对已知攻击可以详细、准确地报告出攻击类型,但对未知攻击却无能为力,而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的,它虽无法准确判断出攻击的手段,但可以发现更广泛的、甚至未知的攻击行为。
§5.4入侵检测技术剖析
1)信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
2)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
3)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
4)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
§5.5防火墙与入侵检测的联动
网络安全是一个整体的动态的系统工程,不能靠几个产品单独工作来进行安全防范。理想情况下,整个系统的安全产品应该有一个响应协同,相互通信,协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动,当入侵检测系统检测到入侵后,通过和防火墙通信,让防火墙自动增加规则,以拦截相关的入侵行为,实现联动联防。
§5.6什么是VPN?
VPN的英文全称是“VirtualPrivateNetwork”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或Windows2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
§5.7VPN的特点
1.安全保障虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
§5.8VPN防火墙
VPN防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。在网络的世界里,要由VPN防火墙过滤的就是承载通信数据的通信包。
最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙,因为他们的工作方式都是一样的:分析出入VPN防火墙的数据包,决定放行还是把他们扔到一边。
所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个VPN防火墙,VPN防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)VPN防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,比较好的VPN防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令VPN防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
后记:
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个:一个是虚警率太高,一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此,可以这样说,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
但无论如何,入侵检测不是对所有的入侵都能够及时发现的,即使拥有当前最强大的入侵检测系统,如果不及时修补网络中的安全漏洞的话,安全也无从谈起。
同样入侵检测技术也存在许多缺点,IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面:
1)利用加密技术欺骗IDS;
2)躲避IDS的安全策略;
3)快速发动进攻,使IDS无法反应;
4)发动大规模攻击,使IDS判断出错;
5)直接破坏IDS;
6)智能攻击技术,边攻击边学习,变IDS为攻击者的工具。
我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。
参考文献:
1..MarcusGoncalves著。宋书民,朱智强等译。防火墙技术指南[M]。机械工业出版社
2.梅杰,许榕生。Internet防火墙技术新发展。微电脑世界.