基于密罐技術(shù)的電子文件中心信息安全研究

    從20世紀(jì)90年代初期開始，信息技術(shù)持續(xù)高速發(fā)展，引起了全球范圍內(nèi)的信息革命。隨著國(guó)家信息化建設(shè)和電子政務(wù)的發(fā)展，我國(guó)電子文件數(shù)量激增，在此推動(dòng)下，順應(yīng)電子文件保管和利用的需要，電子文件中心被建立起來(lái)。電子文件中心是對(duì)傳統(tǒng)載體檔案館功能的繼承、延伸和發(fā)展，是建設(shè)數(shù)字檔案館的基礎(chǔ)和核心。在電子文件中心系統(tǒng)網(wǎng)絡(luò)中存儲(chǔ)著海量的信息，而且時(shí)刻都進(jìn)行著傳輸、交流和更新。信息技術(shù)的廣泛應(yīng)用，為檔案管理和利用提供了高效便捷的手段和方法。但是如果它的安全得不到保障，那損失將是無(wú)法估量的，這就給檔案信息安全帶來(lái)了新的挑戰(zhàn)。因此，信息安全問(wèn)題已經(jīng)成為制約電子文件中心發(fā)展的關(guān)鍵因素之一。

一、電子文件中心網(wǎng)絡(luò)系統(tǒng)的安全威脅和防范策略

    1．影響電子文件中心網(wǎng)絡(luò)系統(tǒng)的安全威脅。網(wǎng)絡(luò)、計(jì)算機(jī)、服務(wù)器、存儲(chǔ)設(shè)備、系統(tǒng)軟件和檔案管理信息系統(tǒng)，是電子文件檔案信息賴以生存的IT基礎(chǔ)環(huán)境，也是引發(fā)檔案信息安全的風(fēng)險(xiǎn)因素。其中，由于互聯(lián)網(wǎng)的開放性和各種操作系統(tǒng)、軟件的缺少安裝配置存在很多安全漏洞和缺陷。例如，目前采用的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，操作系統(tǒng)的安全性并不完美；防火墻產(chǎn)品自身的安全、設(shè)置是否錯(cuò)誤都需要認(rèn)真檢驗(yàn)，來(lái)確保防火墻的安全性。系統(tǒng)內(nèi)部網(wǎng)的安全威脅，以及缺少有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)，很容易造成網(wǎng)絡(luò)系統(tǒng)癱瘓，信息被竊取，數(shù)據(jù)被篡改，造成非法訪問(wèn)，傳輸盜竊、數(shù)據(jù)截獲，界面截取等潛在危害。

    2．目前電子文件中心網(wǎng)絡(luò)系統(tǒng)的主要防范策略及不足。目前電子文件中心網(wǎng)絡(luò)系統(tǒng)的主要防范策略有防火墻技術(shù)和入侵檢測(cè)技術(shù)，但這兩項(xiàng)技術(shù)都存在不同程度的不足。

    (1)防火墻技術(shù)。防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的由路由器或計(jì)算機(jī)組成的一系列部件的組合。防火墻具有很強(qiáng)的抗攻擊能力，它是不同的網(wǎng)絡(luò)之間信息的唯一出入口，設(shè)置的目的是防止未授權(quán)的通信進(jìn)入被保護(hù)的網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)實(shí)施有效的訪問(wèn)、監(jiān)督和控制，阻止黑客的進(jìn)入和攻擊。但防火墻也存在著各種漏洞，黑客仍有可能利用系統(tǒng)的缺陷繞過(guò)防火墻進(jìn)行攻擊。同時(shí)，防火墻也不能保護(hù)來(lái)自于網(wǎng)絡(luò)內(nèi)部和病毒的攻擊。因此，防火墻對(duì)網(wǎng)絡(luò)的防護(hù)是被動(dòng)的，受攻擊的網(wǎng)絡(luò)并不知道是誰(shuí)對(duì)網(wǎng)絡(luò)發(fā)動(dòng)了攻擊，采取了什么樣的方法，達(dá)到了攻擊目的，甚至不知道采取什么措施來(lái)保護(hù)網(wǎng)絡(luò)，防御措施比較被動(dòng)。這就迫使單位要強(qiáng)化自己的網(wǎng)絡(luò)安全策略。

    (2)入侵檢測(cè)技術(shù)。入侵檢測(cè)是防火墻的合力(包括安全審計(jì)、監(jiān)視計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)遭到襲擊的跡象)。包括系統(tǒng)外部的入侵和內(nèi)部的非授權(quán)入侵，是用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)在識(shí)別時(shí)具有一定的智能功能，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，能對(duì)入侵特征進(jìn)行提取和匯總，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)的攻擊、識(shí)別和響應(yīng)，提供內(nèi)部和外部攻擊的日志，這樣就擴(kuò)展了系統(tǒng)網(wǎng)絡(luò)管理人員的安全管理能力。盡管人侵檢測(cè)技術(shù)會(huì)及時(shí)匯報(bào)監(jiān)聽(tīng)和攻擊，但是，黑客的攻擊方法是多種多樣、日新月異的，入侵檢測(cè)技術(shù)在使用中也存在著難以檢測(cè)到的時(shí)候，因此可能發(fā)生漏報(bào)或誤報(bào)的情況。

    因此，從上面的分析可以看出，目前的網(wǎng)絡(luò)安全技術(shù)采用的都是被動(dòng)防御的方法，以防火墻和入侵檢測(cè)系統(tǒng)為主要的網(wǎng)絡(luò)防御技術(shù)通常滯后于現(xiàn)在的各種復(fù)雜多變的黑客攻擊技術(shù)。這要求我們把被動(dòng)防御變成主動(dòng)防御，而蜜罐技術(shù)通過(guò)觀察和記錄黑客在蜜罐上的活動(dòng)，幫助系統(tǒng)網(wǎng)絡(luò)管理人員了解黑客的動(dòng)向和使用的攻擊方法，作為一種主動(dòng)的防御技術(shù)會(huì)使這些網(wǎng)絡(luò)安全問(wèn)題得到解決。

二、蜜罐技術(shù)

    1．蜜罐的定義。關(guān)于蜜罐，到目前為止還沒(méi)有一個(gè)完整的定義。“蜜網(wǎng)項(xiàng)目組”的創(chuàng)始人Lance Spitzner對(duì)蜜罐給出了一個(gè)比較權(quán)威的定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。這個(gè)定義表明蜜罐并沒(méi)有其他的實(shí)際作用，所有流人和流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示著掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。實(shí)際上，蜜罐中只有一些虛假的敏感數(shù)據(jù)，不用于對(duì)外的正常服務(wù)。所以，它可以是一個(gè)網(wǎng)絡(luò)、一臺(tái)主機(jī)、一項(xiàng)服務(wù)，也可以是數(shù)據(jù)庫(kù)中的某些無(wú)用的數(shù)據(jù)或者偽裝的用戶名及其弱口令等，因此任何與它交互的行為都可以被認(rèn)為是攻擊行為，這樣就簡(jiǎn)化了檢測(cè)過(guò)程，它可以部署在各個(gè)內(nèi)部子網(wǎng)或關(guān)鍵主機(jī)上，檢測(cè)來(lái)自網(wǎng)絡(luò)系統(tǒng)外部和內(nèi)部的各種攻擊，用一種以檢測(cè)、監(jiān)視和捕獲攻擊行為和保護(hù)真實(shí)主機(jī)為目標(biāo)的誘騙技術(shù)。

    2．蜜罐的基本原理。蜜罐系統(tǒng)是一個(gè)陷阱系統(tǒng)，它通過(guò)設(shè)置一個(gè)具有很多漏洞的系統(tǒng)吸引黑客入侵，收集入侵者信息，為其他安全技術(shù)提供更多的知識(shí)。蜜罐采用監(jiān)視器和事件日志兩個(gè)工具對(duì)訪問(wèn)蜜罐系統(tǒng)的行為進(jìn)行監(jiān)控。由于蜜罐是一個(gè)很具有誘惑力的系統(tǒng)，能夠分散黑客的注意力和精力，所以對(duì)真正的網(wǎng)絡(luò)資源起到保護(hù)作用。

    3．蜜罐的主要技術(shù)。蜜罐系統(tǒng)主要涉及網(wǎng)絡(luò)欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)p湍1：3重定向)、攻擊分析與特征提取等主要技術(shù)。(1)網(wǎng)絡(luò)欺騙技術(shù)：是蜜罐的核心技術(shù)，利用各種欺騙手段和安全弱點(diǎn)和系統(tǒng)漏洞，引誘黑客的攻擊。(2)數(shù)據(jù)捕獲技術(shù)：主要目的是盡可能多的捕獲攻擊信息，而不被黑客發(fā)現(xiàn)，包括輸入、輸出及鍵盤和屏幕的捕獲。(3)數(shù)據(jù)控制技術(shù)：主要目的是防止黑客將蜜罐作為跳板去攻擊其他系統(tǒng)或危害別的主機(jī)，因此必須控制進(jìn)出系統(tǒng)的數(shù)據(jù)流量而不被黑客懷疑。(4)攻擊分析與特征提取：蜜罐系統(tǒng)設(shè)置一個(gè)數(shù)據(jù)分析模塊，在同一控制臺(tái)對(duì)收集到的所有信息進(jìn)行分析、綜合和關(guān)聯(lián)，完成對(duì)蜜罐攻擊信息的分析。

三、電子文件中心網(wǎng)絡(luò)系統(tǒng)蜜罐技術(shù)的部署

    1．如何部署蜜罐。蜜罐的部署十分簡(jiǎn)單，不需要特殊的環(huán)境，可以根據(jù)需要的服務(wù)來(lái)定。只要在外部因特網(wǎng)上安裝一臺(tái)計(jì)算機(jī)運(yùn)行沒(méi)有打上補(bǔ)丁的微軟Windows或者Red Hat Linux系統(tǒng)就可以。放置位置同服務(wù)器的放置位置相同。可以用在防火墻之內(nèi)，確保網(wǎng)絡(luò)內(nèi)部主機(jī)的安全性。也可以安置在防火墻之外，確保WEB、FTP、DNS等服務(wù)器的信息安全。將蜜罐設(shè)置在防火墻之內(nèi)的一個(gè)優(yōu)點(diǎn)是它可以探測(cè)出來(lái)自組織內(nèi)部的攻擊和未授權(quán)活動(dòng)，但這可能會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)產(chǎn)生新危險(xiǎn)。防火墻必須能夠區(qū)分來(lái)自互聯(lián)網(wǎng)的信息，并且決定哪些信息進(jìn)入蜜罐，哪些信息要被阻攔。如要允許來(lái)自互聯(lián)網(wǎng)的訪問(wèn)，需要調(diào)整防火墻的設(shè)置規(guī)則。蜜罐放置在防火墻之外的優(yōu)點(diǎn)是很容易被攻擊者識(shí)別，被攻破的風(fēng)險(xiǎn)很大。防火墻、人侵檢測(cè)系統(tǒng)等設(shè)備不需要作任何調(diào)整就能監(jiān)視外部的網(wǎng)絡(luò)攻擊。防火墻之后的系統(tǒng)被攻陷的危害也大為減少。蜜罐還會(huì)產(chǎn)生大量的信息，由于數(shù)據(jù)量過(guò)大，有時(shí)會(huì)難以處理。

    2．電子文件中心使用蜜罐后的技術(shù)優(yōu)勢(shì)。當(dāng)電子文件中心的網(wǎng)絡(luò)系統(tǒng)建立起蜜罐后，蜜罐會(huì)悄悄記錄進(jìn)出計(jì)算機(jī)的所有流量，電子文件中心網(wǎng)絡(luò)系統(tǒng)管理人員就可以等待攻擊者自投羅網(wǎng)。相對(duì)于其他的網(wǎng)絡(luò)安全機(jī)制，蜜罐使用簡(jiǎn)單，配置靈活，占用資源少，可以在復(fù)雜的環(huán)境下有效地工作，并且所收集到的數(shù)據(jù)和信息都有很好的針對(duì)性和研究?jī)r(jià)值，因此大大減少了電子文件中心網(wǎng)絡(luò)系統(tǒng)管理人員所要分析的數(shù)據(jù)和f苦息。另外，蜜罐系統(tǒng)具有分析電子文件運(yùn)刮軌跡的功能，保證電子文件從創(chuàng)建、使用到銷毀的整個(gè)文件生命周期處于安全狀態(tài)，保證電子文件的機(jī)密、完整和真實(shí)。蜜罐技術(shù)是一種新型的針對(duì)網(wǎng)絡(luò)安全的主動(dòng)防御技術(shù)，是對(duì)現(xiàn)有的安全體系的重要補(bǔ)充。它可以作為獨(dú)立的安全信息工具，也可以和其他類型的安全機(jī)制協(xié)作使用，取長(zhǎng)補(bǔ)短地對(duì)入侵進(jìn)行檢測(cè)，查找并發(fā)現(xiàn)新型的攻擊工具。

四、法律問(wèn)題

    蜜罐技術(shù)可能涉及的相關(guān)法律問(wèn)題。首先，作為蜜罐防御方法之一的誘捕行動(dòng)是否會(huì)觸犯法律?誘捕行為不是攻擊行為，只是一種防御方法，因此不對(duì)蜜罐進(jìn)行宣傳，誘捕行為就不會(huì)觸犯到法律。第二，是否會(huì)侵犯隱私權(quán)?盡管各個(gè)國(guó)家都制定了保護(hù)個(gè)人隱私權(quán)的法律，但是目前還沒(méi)有直接針對(duì)蜜罐的保護(hù)個(gè)人網(wǎng)絡(luò)通信的隱私權(quán)的法律。因此，不會(huì)涉及隱私權(quán)的侵犯。第三，蜜罐的部署方和被黑客攻擊后的第三方網(wǎng)絡(luò)的訴訟問(wèn)題。如果第三方網(wǎng)絡(luò)被黑客利用蜜罐造成破壞后，第三方可能會(huì)對(duì)蜜罐的部署方提出訴訟。對(duì)此，需要采取強(qiáng)有力的控制措施，必要時(shí)切斷蜜罐的網(wǎng)絡(luò)連接，盡量減少這種風(fēng)險(xiǎn)。因?yàn)椋�保護(hù)第三方和保護(hù)自己的資源同樣重要。

    目前，蜜罐技術(shù)的發(fā)展已經(jīng)趨于成熟，對(duì)于不熟練的入侵者和新型的攻擊工具，都能很好地捕獲和發(fā)現(xiàn)，越來(lái)越成為對(duì)付黑客的有效工具之一，受到了網(wǎng)絡(luò)信息安全專家的青睞。電子文件中心網(wǎng)絡(luò)系統(tǒng)構(gòu)筑蜜罐系統(tǒng)后，會(huì)使其安全性躍升一個(gè)大的臺(tái)階。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標(biāo)題：基于密罐技術(shù)的電子文件中心信息安全研究

本文網(wǎng)址：http://www.lukmueng.com/html/consultation/1083959811.html