随着网络技术的不断进步,系统的安全除了考虑计算机病毒、系统健壮性之外,更主要的是要防止非法用户的入侵。目前这方面的防止措施主要是靠防火墙技术来完成,但是在防火墙技术方面,还是存在着一些局限。
一.防火墙的普遍局限
尽管很多企业已经实施了防火墙,但这不代表企业就此高枕无忧了。虽然大部分企业已意识到安全的重要性,并且众多的公司已开始采用防火墙技术进行网络安全防护,但是由于防火墙是基于授权机制来控制企业流入流出的信息流,所以网上的安全防护仅如果仅依赖于这种授权控制,那么疏漏就会很多。
随着人们网络安全意识的提高,采取防火墙保护系统的做法已被广泛采用,同时也出现了很多的防火墙产品。但据防火墙专家估计,由于缺乏专业技术,选用服务不当,配置不好和操作系统的脆弱性,50%左右的防火墙的实施是不正确的。另外,由于互联网的开放性,防火墙也有其局限性:
1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Inte.net的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。
2、防火墙不能防止感染了病毒的软件或文件的传输。只能在每台主机上装反病毒软件。
3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。
关于防火墙的局限性,我们不妨举例来说明,比如A是B公司的职员,那么他经过MIS部门的授权就可以通过防火墙来访问企业内部资源了,现在他因一些原因离职,在人事部门未通知MIS部门收回对A的访问授权期间,A仍可畅通无阻的进入B公司的内部网。我们知道,企业内部存在信息沟通延迟的情况是很常见的,所以仅有防火墙一层安全设置就将给A提供窃取公司内部信息的可乘之机。
二.Web服务器的安全受到威胁
在今年2月中旬,全球各大主要网站都不同程度地遭受到黑客的攻击。在这场“灾难”中,象雅虎、亚马逊等全球著名的网站都没有从这一事件幸免。有黑客在对这些开展电子商务网站大范围攻击中都使用了诸如TFN2K (Tribal Flood Network 2K)的拒绝服务攻击工具。在系统所有者不知情的情况下,黑客在Internet上的数千台系统中安装了TFN2K等程序。
专家调查发现,这一新的安全破坏行为所具有新的破坏特征是这样的:用户在点击网页、邮件、新闻组邮件中的链接时,也许就无心地执行了黑客的指令;用户在观看其他用户提供的动态网页时,也可能无心地执行恶意代码。这些危险事件的发生同时也表明:当今大多数Web服务器,包括那些提供创建电子商务模块的服务器在内,都面临着危险,都已成为黑客袭击的目标。
而现在对于电子商务企业来说,最危险的就是任何Web服务器都能通过远程控制轻易地转变为恶意代码的传播机器。通过Web内建的电子商务功能,黑客能够把Web服务器变成Web危险,也就是说现在每个Web服务器都可能被黑客用来分发恶意代码。
三.CA的安全解决方案
全球第二大的独立软件供应商CA公司针对用户电子商务全方位安全的需要,专门推出了一套全面的端到端的电子商务安全解决方案��CA eTrust,它是目前业界唯一一套端到端的全面电子商务安全解决方案。eTrust以业界最全面的综合性安全、隐密与可靠的服务对客户的电子商务提供支持。 这一完善的电子商务安全解决方案,涉及到了网络安全的各方面技术保护,从访问控制、反病毒、审核、内容检查、加密、防火墙到认证、台式机安全等,为网上交易提供了一种较完善的防护方案。它能够保护现有的投资,并可帮助客户运用最新的技术。
eTrust拥有的强大的关键组件管理功能,正适合电子商务复杂的环境。事实上,eTrust包括一套软件工具、咨询服务和支持技术,它们一起组成CA的安全战略解决方案,是目前商务安全市场上最全面的服务、技术和工具套件。它是一套完善的套装解决方案,提供了包括入侵侦察、访问控制、内容监控、台式机安全、目录、防火墙、防病毒、审计等在内的诸多防护组件。同时,因为eTrust的基础是一套通用服务,所以eTrust技术既可作为独立产品,也可作为集成安全套件或特定解决方案的一部分。
对于以上所提及到的A在离开B公司后仍可窃取B公司信息的处理,CA提出的防护策略eTrust则让这一问题迎刃而解,它在企业的访问业务系统增加了一层安全控制,即A的离职信息一经在人事部门子系统中确认,其它业务系统将自动阻止A对其的访问,这样即使防火墙允许A进入,他的恶意行动也无法得逞。电子商务由于涉及交易的支付,所以对企业网的安全性有更高的要求,防护更不可能是单向的,所以全面的安全管理对于企业,还有消费者都是非常重要的。
而作为eTrust安全解决方案的一部分、建立在CA Unicenter TNG框架之上的eTrust Intrusion Detection是为企业管理中安全系统的建立、部署和管理工作提供了强有力的全面解决方案。
CA的eTrust Intrusion Detection能够有效防止非授权访问、计算机黑客攻击、病毒及恶意代码。该软件能针对http用户命令提供的活动内容及试图跨网站链接恶意内容进行探测,并加以防范。它能够抵御病毒和TFN2K等恶意移动代码的攻击。它提供的保护还能侦测到入侵和用缓冲溢出(buffer overflow)等方法非法访问系统的行为。
eTrust Intrusion Detection是一个采取“侦测,警报,预防”工作方式的强大的网络保护解决方案,提供了实时的、非进入式的侦测、基于规则的预警和自动防护功能。
eTrust Intrusion Detection简易快捷的安装、针对多种攻击方式的预设规则,以及全面的内置报告功能,使这个解决方案能够迅速为电子商务带来价值。该软件还包括具有病毒特征库自动升级功能的反病毒引挚,以及“探测、预警、保护”功能,能够有效确保网络安全。如何防止上述危害的蔓延,CA针对此次事件迅速做出反应,对其eTrust Intrusion Detection进行升级。这次升级提供了侦测本周黑客用来攻击主要电子商务站点的工具的能力,使eTrust Intrusion Detection成功地防范了恶意HTML(超文本链接标示语言)代码嵌入Web服务器后所带来的重大危害,为电子商务企业提供了卓越的保护。
正如CA董事长兼首席执行官王嘉廉先生所说“每个人都希望互联网是安全的,那么首先要有高度可靠的安全解决方案,与传统的授权、管理和审核功能相比,它还应具有身份确认、鉴定、保护个人隐私与欺诈控制等功能,而这正是eTrust 的优势所在。CA的eTrust包括了当今一些最大的综合安全、可靠与秘密服务和解决方案,可实现性和可靠性。”