防范网络破坏从内部做起

防范网络破坏从内部做起

G00170017A0017gt03.jpg (17054 字节) G00170017A0017gt02.jpg (10896 字节) 　　最近发生的黑客袭击世界各大著名网站的事件，让人们对网络安全的话题重又投入了几分关注。据统计，大约有五分之四的数据犯罪来自防火墙以内。当口令和防火墙力不从心之时，应该如何维护和运行网络？

黑客和破坏者并不是宝贵的数据面对的惟一威胁。据《InformationWeek》杂志最近的一次调查显示，41％的IT管理人员经常因安全问题指责其授权用户和雇员；31％的被调查者认为，缔约方的服务提供商是导致安全问题的根源。当76％的被调查公司表示去年曾遇到安全性损害、64％的企业称其系统曾由于恶意活动而瘫痪时，我们的网络维护人员就不得不对网络安全问题多加警惕了。
　　当然，这并不是说企业网络的安全性功能如防火墙、网络地址翻译和代理服务器没有恪尽职守。但是，它们能防止“坏蛋”从外界偷窃信息，而在网络内部，网络资源可能根本得不到任何保护。
什么情况下可能出乱子
　　让我们来研究一下网络所传输的数据以及其中有多少是以纯文本形式传输。普通的Web网页大多数是文本文件，极少数带有图形或可执行的内容。从WorldWideWeb或企业的Intranet（内部网）服务器发出的信息流中，可能有对贵企业十分重要的、在局域网上传输的纯文本。不仅如此，输入的电子邮件通常是不加密的，待发出的邮件也是如此。更糟的是，在缺省模式中，电子邮件客户端用来与其电子邮件服务器进行核查的口令也是以纯文本形式发出的，在这些口令被截获时很容易受到伤害。甚至于在网络设备和网络管理人员的控制台之间发送的某些电子信息也是纯文本形式，也可能被截获或假冒。
　　截获信息的过程相当容易，只需使用常见的软件如协议分析器甚至从Internet下载的免费工具，任何PC都可以截获来自网卡的信息。在共享型局域网中，每台PC都通过一台以太网集线器联网，每台PC都可以看到和截获每一个数据包。
　　交换型以太局域网似乎不太容易受到伤害，这是因为每个最终用户站点只能看到发到它的PC上的信息流。但是，对于居心叵测的人(如企业间谍或心怀不满的员工)来说，他们可能在流过大量信息流的一些关键地点，如路由器与广域网访问点之间放置一些远程PC，并从那儿复制信息。更糟的是，如果路由器或其它网络基础设备的管理访问代码被窃取，数据包便可以被转送到不归它所有的地方去。
　　有没有解决的办法呢？有。这就是确保即使网络信息流被截获，也要让它们对黑客来说变得毫无价值。怎么做？那就是对端对端的所有网络信息流进行加密。
功夫全在负荷的加密
　　采用IP协议在局域网、广域网或Internet上传输的每个信息都被分成许多小部分，称为数据包。每个数据包由两部分组成：标题和负荷。标题含有包含目的IP地址在内的各种路由信息；负荷是要通过网络发送的实际数据，如邮件信息、待发送给文件服务器的文件、希望得到网络服务的登录请求等。
　　网络上的每个设备(PC、服务器、集线器、代理服务器等)都必须能够读取和了解IP标题信息。但是，负荷只需要双方了解：发送信息的PC和接收信息的设备。如果负荷被加密，数据包在网络上的传输能力不会受到影响，惟一的影响是信息会更加安全。
　　有几种被广泛采用的标准用于对网络信息流进行加密，而且许多Internet服务器和浏览器都已经了解这些标准。这些标准都基于公钥密码的概念，即利用极多的质数因子来建立非常安全的通信。
　　最重要的标准是IPSec，即IPSecurity标准。该标准确保双方的网络设备采用同样的加密算法对负荷进行编码和解码，从而建立起加密的会话。Internet界广泛采纳IPSec标准，几乎每一种现代Web服务器和Web浏览器都内置IPSec支持能力。它甚至被集成到Microsoft公司的新操作系统Windows2000中。
　　虽然IPSec被用来保证安全会话中的双方采用相同的加密算法，但IPSec标准并没有对加密算法作出规定，而是允许使用双方PC都拥有的任何加密算法。当前使用最广泛的加密方法被称为DES(Data Encryption
Standard)。世界上最常用的DES版本采用40位或56位的二进制数作为密钥。许多客户机和服务器都内置DES支持能力。
　　Web浏览器在利用IPSec和DES进行安全会话时，Microsoft公司的Internet Explorer会在屏幕的右下方显示一个很小的黄色挂锁；Netscape公司的Navigator会在左下角显示一个挂锁。
使加密切实可行
　　我们面临的一个问题是，对每个网络数据包进行加密和解密会带来很大的额外处理工作量。对每个数据包进行40位或56位的DES加密算法所造成的大量数字运算，会使PC性能发生明显的变化：每个网络事务会显得慢慢吞吞；PC做其它工作(如文字处理或图形处理)的能力也会削弱。这种影响在服务器上更加严重，这是因为服务器可能正在与各种不同的PC和其它服务器同时进行数十个或数百个对话。
　　您可以命令操作系统如Windows2000参与局域网和广域网上的所有端对端IP加密，但这只有在性能和可用性上付出很高的代价时才行得通。网络被用得越多，性能就越差。3Com公司的研究表明，这样的加密会使台式PC机的处理能力减少77％。当频繁使用加密会话时，基于600MHz Pentium III的PC会降低为133MHz的计算机。
　　解决办法可能是寻找外援，把IPSec和DES加密承包出去，就是由专门设计的专用微处理器去做这种“搬重物”的苦活，使计算机的主处理器不受任何影响。
　　3Com公司最近推出了一种网卡3CR990－TX－95，卡上含有一个加密微处理器。Windows2000会把处理会话和DES编码/解码的全部任务都卸给加密处理器。管理人员可利用Microsoft公司有关建立与贯彻IPSec策略的Windows2000工具，来规定局域网或广域网上的网络通信必须使用IPSec。测试结果表明：通过采用专用加密处理器，在启动端对端的IPSec和DES之后，服务器和工作站上的网络流量完全不受影响。
内外保护一起做
　　保护宝贵的资源免遭可能发生的任何威胁，诚然是至关重要的。防火墙、口令、以及防止非法访问网络的其它保护措施已经开始就位了。此后，该是内部防患了。请记住，4/5的数据犯罪来自防火墙以内。端对端的网络信息流加密是迈向安全计算环境征途中合乎逻辑的下一步骤。
(张三康　范艳霞)