张 波
河北工业大学图书馆
〔天津市红桥区 300130〕
随着计算机和网络技术在图书馆日益广泛地应用,网络安全防御也变得越来越重要。现代高校图书馆的网络是一个开放的、共享的、多应用并存的、以服务为本的数据密集的网络,不仅图书馆的各项传统业务工作,如图书采访、分编、流通、典藏等均由计算机代替了单一重复的手工操作,而且在计算机网络基础上发展起来的信息检索、参考咨询等业务,更是离不开计算机网络这赖以生存的环境。网络入侵和攻击等事件日益频繁,给图书馆系统的管理维护和读者的使用访问都带来了极大地不便。一旦图书馆的网络发生瘫痪,整个图书馆都将无法为读者提供服务。对此,我们应采取相应的对策。
一些未授权的非法网络用户,企图非法访问图书馆的资源或恶意破坏等不良目的,对图书馆网络进行的攻击,主要有拒绝服务攻击和非授权访问尝试等手段,他们利用图书馆网络所存在的漏洞或某些客户端系统补丁不全等进行频繁地预攻击探测扫描。
相对于外部攻击,还有很多攻击来自于内部。例如,在图书馆局域网中,不同工作机之间频繁地使用共享,为恶意木马的网络传播提供便利条件,使网络内满是ARP、DDOS等网络攻击,甚至造成整个局域网的瘫痪。
图书馆检索机的开放和电子阅览室提供U盘下载等服务,一旦U盘或某一台工作机感染病毒,很容易造成工作机的交叉感染,使蠕虫病毒或冲击波等病毒恶意传播,它会损坏硬盘数据、减慢网络运行速度,甚至有可能损坏工作机的系统和硬件。
由上面分析可以看出,虽然现在大多数图书馆都装有防火墙或者其他的一些防病毒软件,但很多情况下并不能对攻击者实施有效地阻断和反击,为了保证能够对图书馆网络实施有效地保护,就需要建立一个健全的网络安全防御系统。
防火墙是指设置在不同网络(如可信任的单位内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它的基本思想是限制网络访问,它把网络划分为两个部分:外部网络和受保护网络(内部网络),防火墙放在受保护网络与外部网络之间,是执行访问控制策略的防御系统。它是提供信息安全服务、实现网络和信息安全的基础设施,筑起网络的第一道安全防线。
当前流行的防火墙主要有下面几种:(1)基于包过滤的防火墙。包过滤防火墙可以根据下列变量来授权或拒绝对站点的访问:源地址、目的地址、协议类型、端口号。(2)状态包过滤防火墙。状态包过滤在包过滤的基础之上,对内部状态表中的会话和连接进行跟踪,并做出相应的反应。这种防火墙可以检测出违反协议标准的反常行为,提供了比简单包过滤更为灵活的功能。大部分的状态包过滤防火墙用来防御DDOS攻击,并增加了SM TP邮件保护等其他安全功能。(3)基于代理的防火墙。基于代理的防火墙与上述两种防火墙的主要区别在于,它是在应用级而不是较低的级别上进行检测通信。这种防火墙能理解应用协议(HTTP、FTP等),可以拒绝任何与协议不匹配的数据。现阶段,处于应用层的防火墙运行速度要大大低于前两种防火墙。另外,基于代理的防火墙也存在协议适应性问题。
防火墙技术的不足之处在于:防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据单位的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。但防火墙并不是保护网络安全的灵丹妙药,虽然它能过滤绝大部分不安全的服务和非法用户,但在防范针对应用层的攻击方面,就显得力不从心,如它无法消灭攻击源、无法防御病毒攻击和无法阻止内部攻击等,而且它有时也会牺牲一部分有用的服务来保障局域网的安全。
入侵检测技术是网络安全领域为弥补防火墙的不足而研究的计算机信息安全技术,它可以对网络或操作系统上的可疑行为做出策略反应,及时切断资料入侵源,记录并通过各种途径通知网络管理员,提高信息安全基础结构的完整性,是防火墙的合理补充,被认为是防火墙之后的第二道安全闸门。它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全,是安全防御体系一个重要组成部分。
入侵检测系统按照其数据来源来看,可以分为两类:(1)基于主机的入侵检测系统。基于主机的入侵检测系统主要使用操作系统的审计跟踪日志作为输入,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上,试图从日志判断滥用和入侵事件的线索。(2)基于网络的入侵检测系统。基于网络的入侵检测系统是通过在计算机网络中的某些点被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中获取有用的信息,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
根据所采用的检测分析方法,入侵检测系统可分为误用检测系统和异常检测系统:(1)误用入侵检测系统。误用入侵检测系统是检测网络数据信息与事先设定的条件是否匹配,如果发现匹配的数据,即认为发生入侵或攻击行为,系统触发一个警告。误用入侵检测系统具有较高的准确性,误报率极低。但是,误用入侵检测系统只能检测系统已知攻击,并且维护包含所有已知入侵或攻击方法的数据库,因此误用入侵检测系统对入侵或攻击的漏报率比较高。(2)异常入侵检测系统。异常入侵检测系统是建立正常或合法用户行为模型,一旦出现入侵或攻击行为,则可以根据偏离正常或期望的系统或用户行为而被检测出来。描述正常或合法活动的模型是通过各种渠道收集大量历史活动资料并分析得来的。因此,异常入侵检测系统可以检测系统未知攻击,漏报率极低。但是,异常入侵检测系统的误报率却极高,一旦系统或用户活动发生变化,且该变化检测系统尚未学习到,则检测系统认为发生入侵,启动报警。
当前,入侵检测系统也存有不足之处,主要是缺乏高效网络包捕获与处理机制和与防火墙的联动机制,系统缺乏可扩展性等。
当前,防火墙与入侵检测联动技术是研究的热点,现有两种方式比较适合联动。一是通过开放接口实现互动,即防火墙或IDS产品开放一个接口供对方调用,按照一定的协议进行通信,传输警报。该方式比较灵活,防火墙可以行使它的第一层防御功能——访问控制,IDS系统可以行使它的第二层防御功能——检测入侵,丢弃恶意通信,并通知防火墙进行阻断。该方式不影响防火墙和IDS产品的性能,对于两个产品的自身发展比较好。但是,由于是两个系统的配合,所以要重点考虑防火墙和IDS产品互动的安全性。第二种方式是紧密集成实现互动,即把IDS技术与防火墙技术集成到同一个硬件平台上,在统一的操作系统管理下有序地运行。该方式实际上是把两种产品集成起来,所有通过该硬件平台的数据不仅要接受防火墙规则的验证,还要被检测判断是否有攻击,以达到真正的实时阻断。本文的入侵防御中心把入侵检测系统嵌入到防火墙中,实现两者的紧密结合和互动。入侵检测系统的数据来源不再源于网络层,而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙的检测规则的验证,还要判断是否是攻击,以达到真正的实时阻断。如果防火墙放行的数据包经IDS验证为入侵数据包,则入侵检测系统将有关该数据包的特定数据结构返回给防火墙,防火墙将其对应的规则添加到过滤规则中,从而使得后继的相似攻击包在防火墙被直接过滤。IDS对防火墙过滤规则的直接修改,使得IDS和防火墙实现了互动,从而可以弥补他们之间的不足。
动态策略管理技术在动态防御系统中,动态策略管理具体表现在:(1)在入侵防御中心里,入侵检测可以根据检测结果动态修改防火墙的规则策略,这样一来,同次入侵之后的网络封包将被防火墙过滤。而传统的入侵检测系统只能检测到攻击,写入日志或者报警,同样的攻击在下次并不能被阻止,除非是管理员在看到日志后修改了防火墙或者入侵检测的规则,这样管理员的工作量就会大大增加。本系统中,入侵预处理在检测到数据包是入侵包后,返回一个定义好的数据结构给防火墙模块,里面包含了数据包的各个字段信息以及入侵类别,防火墙由此数据结构来修改其过滤规则。(2)用户可以根据需要动态地修改防火墙的规则。本系统定义了一些有关系统内部进程的过滤规则,用户可以根据需要在界面上添加、修改或者删除过滤规则,规则随后会被传到底层的防火墙模块中,并被应用于匹配比较。(3)用户可以根据入侵检测的日志自动地在界面上修改防火墙的策略,因为入侵检测系统分成两部分实现。一是在底层驱动实现的入侵检测预处理,当入侵检测预处理检测到入侵时会通知防火墙修改规则,防火墙会自动修改自己的过滤规则;另一部分是在上层应用层实现的检测引擎检测,如果发现入侵,会报警同时记入日志文件中。用户可以根据日志文件中的记录来修改防火墙规则。
为了保证系统具有良好的通用性,系统采用JAVA语言作为开发环境,控制台基于B/S(Brow ser/Server)架构。Brow ser端只用实现极少部分功能,而大部分事务逻辑都在Server端执行。基于瘦客户端(Thin Client)的思想,简化客户端需要的维护,只对策略管理中心端进行维护和升级,提高了软件开发的效率。
系统中采用了J2EE的开发体系。所以,也采用了相关的B/S模式开发环境。通过B/S各组件完成B/S模式的运行环境。用户访问JSP文件以执行控制台功能。JSP文件被Tomcat解释后成为JAVA虚拟机语言。解释后的脚本由服务器端的JVM运行。Java脚本对数据库的访问是通过JDBC的My SQL驱动实现的。
通过上面对图书馆存在的网络威胁分析,结合当前图书馆的网络现状,我们可以建立一个综合防火墙访问控制和入侵检测系统的网络数据包检测功能,紧密实现两安全系统的互动互利,对受保护网络进行更为完善的保护的入侵防御系统。
为了测试系统的功能及性能,我们接下来在真实网络环境中对系统进行搭建和测试。首先搭建安全网络外的测试系统平台,即:攻击客户端Window s XP操作系统及网卡;部署有攻击平台,并可与防火墙服务器通信。然后组建环境在安全网络内的部分即四套系统:(1)防火墙服务器。Linux Red Hat5操作系统,双网卡。作为局域网网关,部署有图书馆的防火墙,并运行防火墙联动模块。(2)入侵检测探测器一。Linux Red Hat 5操作系统,双网卡。部署基于网络误用的入侵检测探测器和基于主机误用的入侵检测探测器,一个网卡可以与系统三通信,另一个网卡可以设置为混杂模式。(3)入侵检测探测器二。Window s XP操作系统,双网卡。部署基于网络异常的入侵检测探测器,一个网卡可以与系统三通信,另一个网卡可以设置为混杂模式。(4)策略管理中心服务器。W indow s2000 Server Professional操作系统,网卡部署有策略管理中心模块,开启服务控制模块,部署W EB服务器。最后选择一个客户端,即Window s XP操作系统,网卡。安装有IE 6浏览器并可登陆策略管理中心的W EB服务器。
通过搭建后的实际测试我们可以发现,系统能比较有效地检测出发生在网络中的攻击,对攻击进行实时报警,同时将报警信息保存到数据库中,并对攻击进行实时响应,向防火墙中添加控制规则,从而通过动态防御及时有效地阻断攻击。管理点将收到的入侵报警作为日志数据,记录在控制台的本地数据库中。根据这些日志数据库中的数据,系统管理员可以查看详细的攻击信息,或者进行入侵统计分析,制定并适时地调整系统安全策略。
图书馆的网络安全工作是一项需要持之以恒不断完善的工作,它与整个图书馆的发展建设有着密不可分的联系。网络安全技术的发展日新月异,我们必须与时俱进,紧跟计算机网络技术的发展不断地提高自身的技术水平,不断地增强人员与设备投入,才能在最大程度上保证图书馆网络的稳定,为现代图书馆各项业务的开展提供有力的安全保障。
[1]崔健双,李铁克.网络信息系统安全研究现状及热点分析[J].计算机工程与应用,2005,(35):180~184.
[2]李莹.小型分布式入侵检测系统的构建[J].安阳工学院学报,2005,(6):111~116.
[3]袁亮环.分布式N IDS在图书馆网络安全保障中的应用[J].图书馆学研究,2007,(4):31~33.
[4]秦拯,龚发根,张大方,等.分布式入侵检测系统中告警相关的研究和实现[J].计算机工程与应用,2005,(4):63~65.
[5]隆毅.分布式入侵检测系统在图书馆网络安全中的应用[J].情报探索,2007,(12):64~66.
[6]张云鹏,胡飞,马春燕.基于P2DR模型的分布式入侵检测系统设计与实现[J].计算机工程与应用,2005,(35):141~144.