稅務系統(tǒng)網絡與信息安全

稅務系統(tǒng)網絡與信息平安

技術培訓班

網絡平安

2004年6月主要內容網絡平安簡介TCP/IP網絡平安分析網絡平安概念和手段介紹平安建議網絡平安展望冒名頂替廢物搜尋身份識別錯誤不平安效勞配置初始化乘虛而入代碼炸彈病毒更新或下載特洛伊木馬間諜行為撥號進入算法考慮不周隨意口令口令破解口令圈套竊聽偷竊網絡平安威脅線纜連接身份鑒別編程系統(tǒng)漏洞物理威脅網絡平安威脅網絡平安威脅中國黑客攻擊美國網站(1)中國黑客攻擊美國網站(2)中國黑客攻擊美國網站(3)中國被黑網站一覽表://sn/西安信息港

:///貴州方志與地情網

中國青少年開展基金會://(放有不良圖片，現已被中國黑客刪除)

://福建外貿信息網

:///湖北武昌區(qū)政府信息網(恢復)

://桂林圖書館

://ipc.ac/中國科學院理化技術研究所

中國:://beijing-radio/

中國科學院心理研究所psych.ac國內外黑客組織北京綠色聯盟技術公司(nsfocus)中國紅客聯盟(www)中國鷹派(chinawill)中國黑客聯盟HackweiserProphetAcidklownPoizonboxPrimeSuspectzSubexSVUNHi-Tech網絡病毒紅色代碼尼姆達沖擊波震蕩波

木馬工行密碼盜?。眩涯抉R其它后門工具平安威脅實例用戶使用一臺計算機D訪問位于網絡中心效勞器S上的webmail郵件效勞，存在的平安威脅：U在輸入用戶名和口令時被錄像機器D上有keylogger程序，記錄了用戶名和口令機器D上存放用戶名和密碼的內存對其他進程可讀，其他進程讀取了信息，或這段內存沒有被清0就分配給了別的進程，其他進程讀取了信息用戶名和密碼被自動保存了用戶名和密碼在網絡上傳輸時被監(jiān)聽〔共享介質、或arp偽造〕機器D上被設置了代理，經過代理被監(jiān)聽平安威脅實例〔續(xù)〕查看郵件時被錄像機器D附近的無線電接收裝置接收到顯示器發(fā)射的信號并且重現出來屏幕記錄程序保存了屏幕信息瀏覽郵件時的臨時文件被其他用戶翻開瀏覽器cache了網頁信息臨時文件僅僅被簡單刪除，但是硬盤上還有信息由于DNS攻擊，連接到錯誤的站點，泄漏了用戶名和密碼由于網絡感染了病毒，主干網癱瘓，無法訪問效勞器效勞器被DOS攻擊，無法提供效勞什么是網絡平安？本質就是網絡上的信息平安。網絡平安防護的目的。網絡安全的定義：網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網絡服務不中斷。

保障各種網絡資源穩(wěn)定、可靠的運行和受控、合法使用網絡平安的特征〔1〕保密性confidentiality：信息不泄露給非授權的用戶、實體或過程，或供其利用的特性。〔2〕完整性integrity：數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和喪失的特性?！?〕可用性availability：可被授權實體訪問并按需求使用的特性，即當需要時應能存取所需的信息。網絡環(huán)境下拒絕效勞、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。〔4〕可控性controllability：對信息的傳播及內容具有控制能力。〔5〕可審查性：出現的平安問題時提供依據與手段主要內容網絡平安簡介TCP/IP網絡平安分析網絡平安概念和手段介紹平安建議網絡平安展望網絡系統(tǒng)結構——開放系統(tǒng)互連參考模型〔1〕ISO/OSI模型網絡層數據鏈路層物理層傳輸層應用層表示層會話層網絡層數據鏈路層物理層傳輸層應用層表示層會話層對等協(xié)議物理介質系統(tǒng)A系統(tǒng)B第N+1層第N層PDUSDUHPDU第N-1層SDUN+1層協(xié)議實體N+1層協(xié)議實體N層協(xié)議實體SAPSAPTCP/IP網絡的體系結構TCP/IP技術的開展設計目標——實現異種網的網際互連是最早出現的系統(tǒng)化的網絡體系結構之一順應了技術開展網絡互連的應用需求采用了開放策略與最流行的UNIX操作系統(tǒng)相結合TCP/IP的成功主要應該歸功于其開放性，使得最廣泛的廠商和研究者能夠不斷地尋找和開發(fā)滿足市場需求的網絡應用和業(yè)務。魚與熊掌總是不能兼得，也正是其體系結構得開放性，導致了TCP/IP網絡的平安性隱患！TCP/IP的網絡互連網際互連是通過IP網關〔gateway〕實現的網關提供網絡與網絡之間物理和邏輯上的連通功能網關是一種特殊的計算機，同時屬于多個網絡G1網絡1網絡3G1網絡2TCP/IP與OSI參考模型TCP/IP協(xié)議和OSI模型的對應關系應用層表示層會話層傳輸層網絡層數據鏈路層物理層FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet,IEEE802.3,802.11等

ICMPARPRARPOSI參考模型Internet協(xié)議簇物理層影響網絡平安的主要因素〔1〕網絡的缺陷 因特網在設計之初對共享性和開放性的強調，使得其在平安性方面存在先天的缺乏。其賴以生存的TCP/IP協(xié)議族在設計理念上更多的是考慮該網絡不會因局部故障而影響信息的傳輸，根本沒有考慮平安問題，故缺乏應有的平安機制。因此它在控制不可信連接、分辨非法訪問、區(qū)分身份偽裝等方面存在著很大的缺陷，從而構成了對網絡平安的重要隱患。例如：多數底層協(xié)議為播送方式，多數應用層協(xié)議為明文傳輸，缺乏保密與認證機制，因此容易遭到欺騙和竊聽軟件及系統(tǒng)的“漏洞〞及后門隨著軟件及網絡系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的平安漏洞或“后門〞也不可防止的存在，比方我們常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的平安漏洞，眾多的效勞器、瀏覽器、桌面軟件等等都被發(fā)現存在很多平安隱患。任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽或設計中的一個缺陷等原因留下漏洞。這也成為網絡的不平安因素之一影響網絡平安的主要因素〔2〕黑客的攻擊 黑客技術不再是一種高深莫測的技術，并逐漸被越來越多的人掌握。目前，世界上有20多萬個免費的黑客網站，這些站點從系統(tǒng)漏洞入手，介紹網絡攻擊的方法和各種攻擊軟件的使用，這樣，系統(tǒng)和站點遭受攻擊的可能性就變大了。加上現在還缺乏針對網絡犯罪卓有成效的還擊和跟蹤手段，這些都使得黑客攻擊具有隱蔽性好，“殺傷力〞強的特點，構成了網絡平安的主要威脅。網絡普及，平安建設滯后 網絡硬件建設如火如荼，網絡管理尤其是平安管理滯后，用戶平安意識不強，即使應用了最好的平安設備也經常達不到預期效果主要內容網絡平安簡介TCP/IP網絡平安分析網絡平安概念和手段介紹平安建議網絡平安展望網絡平安策略網絡平安是一個系統(tǒng)的概念，可靠的網絡平安解決方案必須建立在集成網絡平安技術的根底上，網絡系統(tǒng)平安策略就是基于這種技術集成而提出的，主要有三種：1直接風險控制策略〔靜態(tài)防御〕平安=風險分析+平安規(guī)那么+直接的技術防御體系+平安監(jiān)控攻擊手段是不斷進步的，平安漏洞也是動態(tài)出現的，因此靜態(tài)防御下的該模型存在著本質的缺陷。2自適應網絡平安策略〔動態(tài)性〕平安=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞分析+實時響應該策略強調系統(tǒng)平安管理的動態(tài)性，主張通過平安性檢測、漏洞監(jiān)測，自適應地填充“平安間隙〞，從而提高網絡系統(tǒng)的平安性。完善的網絡平安體系，必須合理協(xié)調法律、技術和管理三種因素，集成防護、監(jiān)控和恢復三種技術，力求增強網絡系統(tǒng)的健壯性與免疫力。局限性在于：只考慮增強系統(tǒng)的健壯性，僅綜合了技術和管理因素，僅采用了技術防護。

網絡平安策略〔續(xù)〕

3智能網絡系統(tǒng)平安策略〔動態(tài)免疫力〕平安=風險分析+平安策略+技術防御體系+攻擊實時檢測+平安跟蹤+系統(tǒng)數據恢復+系統(tǒng)學習進化技術防御體系包括漏洞檢測和平安縫隙填充；平安跟蹤是為攻擊證據記錄效勞的，系統(tǒng)學習進化是旨在改善系統(tǒng)性能而引入的智能反響機制。 模型中，“風險分析+平安策略〞表達了管理因素；“技術防御體系+攻擊實時檢測+系統(tǒng)數據恢復+系統(tǒng)學習進化〞表達了技術因素；技術因素綜合了防護、監(jiān)控和恢復技術；“平安跟蹤+系統(tǒng)數據恢復+系統(tǒng)學習進化〞使系統(tǒng)表現出動態(tài)免疫力。網絡平安防護模型－PDRR 目前業(yè)界共識：“平安不是技術或產品，而是一個過程〞。為了保障網絡平安，應重視提高系統(tǒng)的入侵檢測能力、事件反響能力和遭破壞后的快速恢復能力。信息保障有別于傳統(tǒng)的加密、身份認證、訪問控制、防火墻等技術，它強調信息系統(tǒng)整個生命周期的主動防御。網絡平安防護模型－PDRR〔續(xù)〕保護(PROTECT) 傳統(tǒng)平安概念的繼承，包括信息加密技術、訪問控制技術等等。檢測(DETECT) 從監(jiān)視、分析、審計信息網絡活動的角度，發(fā)現對于信息網絡的攻擊、破壞活動，提供預警、實時響應、事后分析和系統(tǒng)恢復等方面的支持，使平安防護從單純的被動防護演進到積極的主動防御。網絡平安防護模型－PDRR〔續(xù)〕響應(RESPONSE)在遭遇攻擊和緊急事件時及時采取措施，包括調整系統(tǒng)的平安措施、跟蹤攻擊源和保護性關閉效勞和主機等?；謴?RECOVER)評估系統(tǒng)受到的危害與損失，恢復系統(tǒng)功能和數據，啟動備份系統(tǒng)等。網絡平安保障體系平安管理與審計物理層平安網絡層平安傳輸層平安應用層平安鏈路層物理層網絡層傳輸層應用層表示層會話層審計與監(jiān)控身份認證數據加密數字簽名完整性鑒別端到端加密訪問控制鏈路加密物理信道平安物理隔離訪問控制數據機密性數據完整性用戶認證防抵賴平安審計網絡平安層次層次模型網絡平安技術實現平安目標用戶平安效勞可用平安技術選擇--根據協(xié)議層次 物理層：物理隔離鏈路層:鏈路加密技術、PPTP/L2TP網絡層:IPSec協(xié)議〔VPN〕、防火墻TCP層:SSL協(xié)議、基于公鑰的認證和對稱鑰加密技術應用層:SHTTP、PGP、S/MIME、SSH(Secureshell)、開發(fā)專用協(xié)議〔SET〕網絡平安工具物理隔離設備交換機/路由器平安模塊防火墻(Firewall)網絡掃描器入侵檢測系統(tǒng)(IntrusionDetectionSystem)網絡防毒虛擬專用網〔VPN〕病毒防護網絡3A……物理隔離主要分兩種：雙網隔離計算機物理隔離網閘雙網隔離計算機解決每人2臺計算機的問題1臺計算機，可以分時使用內網或外網關鍵部件硬盤網線軟盤/USB/MODEM等共享部件顯示器鍵盤/鼠標主板/電源硬盤*原理切換關鍵部件簡單雙網隔離計算機外網硬盤內網硬盤外網網線內網網線公共部件控制卡控制開關復雜雙網隔離計算機內網硬盤外網網線內網網線公共部件控制卡遠端設備使用控制卡上的翻譯功能將硬盤分為邏輯上獨立的局部充分使用UTP中的8芯，減少一根網線物理隔離網閘的根本原理采用數據“擺渡〞的方式實現兩個網絡之間的信息交換在任意時刻，物理隔離設備只能與一個網絡的主機系統(tǒng)建立非TCP/IP協(xié)議的數據連接，即當它與外部網絡相連接時，它與內部網絡的主機是斷開的，反之亦然。任何形式的數據包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離設備。物理隔離設備在網絡的第7層講數據復原為原始數據文件，然后以“擺渡文件〞形式傳遞原始數據。物理隔離實現根本原理〔1〕物理隔離實現根本原理〔2〕內外網模塊連接相應網絡實現數據的接收及預處理等操作；交換模塊采用專用的高速隔離電子開關實現與內外網模塊的數據交換，保證任意時刻內外網間沒有鏈路層連接；數據只能以專用數據塊方式靜態(tài)地在內外網間通過網閘進行“擺渡〞，傳送到網閘另一側；集成多種平安技術手段，采用強制平安策略，對數據內容進行平安檢測，保障數據平安、可靠的交換。物理隔離技術的應用涉密網和非涉密網之間物理隔離技術的優(yōu)缺點優(yōu)點：

中斷直接連接

強大的檢查機制

最高的平安性缺點：

對協(xié)議不透明，對每一種協(xié)議都要一種具體的實現 效率低交換機平安模塊MAC綁定QOS設置多VLAN劃分日志其他…路由器平安功能訪問控制鏈表基于源地址/目標地址/協(xié)議端口號路徑的完整性防止IP假冒和拒絕效勞〔Anti-spoofing/DDOS〕檢查源地址：ipverifyunicastreverse-path過濾RFC1918地址空間的所有IP包；關閉源路由：noipsource-route路由協(xié)議的過濾與認證Flood管理日志其他抗攻擊功能VPN通過一個私有的通道來創(chuàng)立一個平安的私有連接，將遠程用戶、公司分支機構、公司的業(yè)務伙伴等跟企業(yè)網連接起來，形成一個擴展的公司企業(yè)網提供高性能、低價位的因特網接入VPN是企業(yè)網在公共網絡上的延伸VPN簡介網上數據泄漏的風險Internet內部網惡意修改通道終點到：假冒網關外部段〔公共因特網〕ISP接入設備原始終點為：平安網關數據在到達終點之前要經過許多路由器，明文傳輸的報文很容易在路由器上被查看和修改監(jiān)聽者可以在其中任一段鏈路上監(jiān)聽數據逐段加密不能防范在路由器上查看報文，因為路由器需要解密報文選擇路由信息，然后再重新加密發(fā)送惡意的ISP可以修改通道的終點到一臺假冒的網關遠程訪問搭線監(jiān)聽攻擊者ISPISP竊聽正確通道VPN功能

數據機密性保護數據完整性保護數據源身份認證重放攻擊保護遠程訪問Internet內部網合作伙伴分支機構虛擬私有網虛擬私有網虛擬私有網VPN是企業(yè)網在因特網上的延伸VPN的典型應用現有的VPN解決方案基于IPSec

的VPN解決方案基于第二層的VPN解決方案非IPSec

的網絡層VPN解決方案非IPSec

的應用層解決方案基于IPSec的VPN解決方案在通信協(xié)議分層中，網絡層是可能實現端到端平安通信的最低層，它為所有應用層數據提供透明的平安保護，用戶無需修改應用層協(xié)議。該方案能解決的問題：數據源身份認證：證實數據報文是所聲稱的發(fā)送者發(fā)出的。數據完整性：證實數據報文的內容在傳輸過程中沒被修改正，無論是被成心改動或是由于發(fā)生了隨機的傳輸錯誤。數據保密：隱藏明文的消息，通常靠加密來實現。重放攻擊保護：保證攻擊者不能截獲數據報文，且稍后某個時間再發(fā)放數據報文，而不會被檢測到。自動的密鑰管理和平安關聯管理：保證只需少量或根本不需要手工配置，就可以在擴展的網絡上方便精確地實現公司的虛擬使用網絡方針

AH協(xié)議

ESP協(xié)議ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方案需要用到如下的協(xié)議：IPSec框架的構成基于第二層的VPN解決方案

公司內部網撥號連接因特網L2TP通道用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocol

PPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對通道的終端實體進行身份認證，而不認證通道中流過的每一個數據報文，無法抵抗插入攻擊、地址欺騙攻擊。沒有針對每個數據報文的完整性校驗，就有可能進行拒絕效勞攻擊：發(fā)送假冒的控制信息，導致L2TP通道或者底層PPP連接的關閉。雖然PPP報文的數據可以加密，但PPP協(xié)議不支持密密鑰的自動產生和自動刷新，因而監(jiān)聽的攻擊者就可能最終破解密鑰，從而得到所傳輸的數據。L2TP通道非IPSec的網絡層VPN解決方案

網絡地址轉換由于AH協(xié)議需要對整個數據包做認證，因此使用AH協(xié)議后不能使用NAT包過濾由于使用ESP協(xié)議將對數據包的全部或局部信息加密，因此基于報頭或者數據區(qū)內容進行控制過濾的設備將不能使用效勞質量由于AH協(xié)議將IP協(xié)議中的TOS位當作可變字段來處理，因此，可以使用TOS位來控制效勞質量非IPSec的應用層VPN解決方案

SOCKS位于OSI模型的會話層，在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機的單獨會話，效率低，但會話控制靈活性大SSL屬于高層平安機制，廣泛用于WebBrowseandWebServer，提供對等的身份認證和應用數據的加密。在SSL中，身份認證是基于證書的，屬于端到端協(xié)議，不需要中間設備如：路由器、防火墻的支持S-HTTP提供身份認證、數據加密，比SSL靈活，但應用很少，因SSL易于管理S-MIME一個特殊的類似于SSL的協(xié)議，屬于應用層平安體系，但應用僅限于保護電子郵件系統(tǒng)，通過加密和數字簽名來保障郵件的平安，這些平安都是基于公鑰技術的，雙方身份靠X.509證書來標識，不需要FirewallandRouter的支持NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)S—MIME

Kerberos

ProxiesSET

IPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAP

TCP/IP協(xié)議棧與對應的VPN協(xié)議Application現有的VPN解決方案－－小結

網絡層對所有的上層數據提供透明方式的保護，但無法為應用提供足夠細的控制粒度數據到了目的主機，基于網絡層的平安技術就無法繼續(xù)提供保護，因此在目的主機的高層協(xié)議棧中很容易受到攻擊應用層的平安技術可以保護堆棧高層的數據，但在傳遞過程中，無法抵抗常用的網絡層攻擊手段，如源地址、目的地址欺騙應用層平安幾乎更加智能，但更復雜且效率低因此可以在具體應用中采用多種平安技術，取長補短防火墻的主要功能監(jiān)控并限制訪問 針對黑客攻擊的不平安因素，防火墻采取控制進出內外網的數據包的方法，實時監(jiān)控網絡上數據包的狀態(tài)，并對這些狀態(tài)加以分析和處理，及時發(fā)現存在的異常行為；同時，根據不同情況采取相應的防范措施，從而提高系統(tǒng)的抗攻擊能力?？刂茀f(xié)議和效勞 針對網絡先天缺陷的不平安因素，防火墻采取控制協(xié)議和效勞的方法，使得只有授權的協(xié)議和效勞才可以通過防火墻，從而大大降低了因某種效勞、協(xié)議的漏洞而引起災難性平安事故的可能性。防火墻的主要功能〔續(xù)〕保護網絡內部 針對軟件及系統(tǒng)的漏洞或“后門〞，防火墻采用了與受保護網絡的操作系統(tǒng)、應用軟件無關的體系結構，其自身建立在平安操作系統(tǒng)之上；同時，針對受保護的內部網絡，防火墻能夠及時發(fā)現系統(tǒng)中存在的漏洞，進行訪問上的限制；防火墻還可以屏蔽受保護網絡的相關信息，使黑客無從下手。日志記錄與審計 當防火墻系統(tǒng)被配置為所有內部網絡與外部Internet連接均需經過的平安節(jié)點時，防火墻系統(tǒng)就能夠對所有的網絡請求做出日志記錄。日志是對一些可能的攻擊行為進行分析和防范的十分重要的情報。另外,防火墻系統(tǒng)也能夠對正常的網絡使用情況做出統(tǒng)計。這樣網絡管理員通過對統(tǒng)計結果進行分析，掌握網絡的運行狀態(tài)，繼而更加有效的管理整個網絡。防火墻的優(yōu)點與缺乏可屏蔽內部效勞，防止相關平安缺陷被利用2－7層訪問控制〔集中在3-4層〕解決地址缺乏問題抗網絡層、傳輸層一般攻擊缺乏防外不防內對網絡性能有影響對應用層檢測能力有限入侵檢測根本原理：利用sniffer方式獲取網絡數據，根據特征判斷是否存在網絡攻擊優(yōu)點：能及時獲知網絡平安狀況，借助分析發(fā)現平安隱患或攻擊信息，便于及時采取措施。缺乏：準確性：誤報率和漏報率有效性：難以及時阻斷危險行為網絡防病毒根本功能：串接于網絡中，根據網絡病毒的特征在網絡數據中比對，從而發(fā)現并阻斷病毒傳播優(yōu)點：能有效阻斷網絡病毒的傳播缺乏：只能檢查已經局部發(fā)作的病毒對網絡有一定影響網絡掃描器通過模擬網絡攻擊檢查目標主機是否存在平安漏洞優(yōu)點：有利于及早發(fā)現問題，并從根本上解決平安隱患缺乏：只能針對平安問題進行掃描準確性vs指導性訪問控制〔1〕廣義的訪問控制功能包括鑒別、授權和記賬等鑒別〔Authentication〕：區(qū)分用戶是誰的過程。授權〔Authorization〕對完成認證過程的用戶授予相應權限，解決用戶能做什么的問題。在一些訪問控制的實現中，認證和授權是統(tǒng)一在一起的記賬〔Accounting〕；統(tǒng)計用戶做過什么的過程，通常使用消耗的系統(tǒng)時間、接收和發(fā)送的數據量來量度。Tacacs、Tacacs+、Radius等技術能實現這三種功能。訪問控制〔2〕RADIUS協(xié)議針對遠程用戶Radius〔RemoteAuthenticationDialinUserservice〕協(xié)議，采用分布式的Client/Server結構完成密碼的集中管理和其他訪問控制功能；網絡用戶〔Client〕通過網絡