Internet安全權(quán)威指南

　　在9月11日（是指2001年9月11日）以前，我們可能會(huì)在這里談?wù)摰囊患戮褪牵航陙頉]有任何東西能夠像Internet的成長一樣給我們的生活帶來這么大的沖擊。但按照那天（2001年9月11日）所發(fā)生的事情，這樣的一個(gè)陳述看起來又顯得愚蠢和失禮。在這里我們所能夠做的是；指出各種各樣的網(wǎng)絡(luò)一直是變化的媒介和前進(jìn)的工具，可能是好的也可能是壞的。網(wǎng)絡(luò)并不是一定由路由器和電纜創(chuàng)建。網(wǎng)絡(luò)能夠?qū)⒕哂邢嗤繕?biāo)的個(gè)體焊接起來，并允許它們集中各自的努力來實(shí)現(xiàn)一個(gè)共同的目的。不幸的是這種目標(biāo)并不一定是被允許的。每天我們都能讀到或聽到關(guān)于恐怖分子網(wǎng)絡(luò)的事情。從報(bào)紙地能看到有關(guān)犯罪網(wǎng)絡(luò)的情況和為了粉碎它們而制定的強(qiáng)制法律。不友好的政府運(yùn)行間諜和從事破壞者網(wǎng)絡(luò)。網(wǎng)絡(luò)的這些圖像給人的印象是一種惡意的工具，是邪惡的基礎(chǔ)。但網(wǎng)絡(luò)并不總是被用來制造嘈雜，同時(shí)也用網(wǎng)絡(luò)來募集資金。在商業(yè)世界里，存在那些關(guān)心患病者福利的網(wǎng)絡(luò)，那些增加公司發(fā)展機(jī)會(huì)的網(wǎng)絡(luò)，當(dāng)然也有幫助找男友的網(wǎng)絡(luò)。Internet像其他任何網(wǎng)絡(luò)一樣，給個(gè)人提供了同樣的機(jī)會(huì)來使用它為公眾服務(wù)或?yàn)E用它。這本書的目的就是在真實(shí)世界為安全專家提供實(shí)施安全的一個(gè)指南，讓他們能夠以最小的暴露風(fēng)險(xiǎn)來建設(shè)他們的網(wǎng)絡(luò)和系統(tǒng)。許多安全書籍如百科全書般介紹了安全，從講解每個(gè)協(xié)議的細(xì)節(jié)到每個(gè)操作系統(tǒng)的配置參數(shù)。雖然這本書也覆蓋了一些技術(shù)細(xì)節(jié)，如許多操作系統(tǒng)、網(wǎng)絡(luò)組件、應(yīng)用和協(xié)議，并且假定這本書的讀者是沒有太多經(jīng)驗(yàn)的初學(xué)者，但你會(huì)發(fā)現(xiàn)本書不是常見的干巴巴的講解和理論弱點(diǎn)的堆積。我們的目的是創(chuàng)造一本書來容納我們這么多年來在系統(tǒng)開發(fā)、加密設(shè)計(jì)、保護(hù)網(wǎng)絡(luò)和為數(shù)十家大小客戶做安全顧問中所獲得的經(jīng)驗(yàn)，并帶領(lǐng)讀者走完從安全策略到安全實(shí)現(xiàn)的全部過程。最終你將發(fā)現(xiàn)我們包含了許多案例，這些案例講述了安全概念是怎么被應(yīng)用在真實(shí)公司的真實(shí)網(wǎng)絡(luò)中的。你也會(huì)發(fā)現(xiàn)有幾個(gè)案例講述了當(dāng)安全原則沒有得到遵守時(shí)發(fā)生的事情。許多書籍都在兩者之間做出選擇，或是只在策略和原則層次中進(jìn)行闡述；或是忽略安全的這些方面而直接深入到一些組件的技術(shù)細(xì)節(jié)，如防火墻、操作系統(tǒng)和應(yīng)用。我們認(rèn)為討論安全而不同時(shí)討論安全的過程是不合適的。無論你喜歡與否，為使安全更有效，一個(gè)管理員為保護(hù)網(wǎng)絡(luò)所采取的步驟必須是拱形安全策略的擴(kuò)展。那些只是實(shí)施如防火墻和VPN等點(diǎn)解決方案而不考慮它們是怎樣融人到整體策略的安全實(shí)施者其實(shí)是在虐待他們自己、他們的雇員，同時(shí)也是對他們的預(yù)算的一個(gè)浪費(fèi)。一個(gè)公司如果沒有保護(hù)他的重要資產(chǎn)，無論是信息、商業(yè)過程或服務(wù)，他就不可能長時(shí)間成功。要保護(hù)資產(chǎn)，我們首先需要確定它。要充分地保護(hù)它，你需要確定是什么在威脅它。要有效地保護(hù)它，你需要依據(jù)它的價(jià)值在保護(hù)它所需要的花費(fèi)和努力之間進(jìn)行權(quán)衡。所有這些因素混和在一起構(gòu)成了安全策略和程序的開發(fā)。最后，IT部門還要部署它的防火墻和入侵檢測系統(tǒng)，經(jīng)過深思熟慮之后，選擇了相應(yīng)的系統(tǒng)，并把它們放到在保護(hù)重要資產(chǎn)方面能起到最大作用的地方。出于這種思考方式，我們用兩章內(nèi)容來全面討論風(fēng)險(xiǎn)和策略。它們不是通過干巴巴地從一本書的模板中挑選合適的陳述來開發(fā)一個(gè)安全策略。我們認(rèn)為一個(gè)有意義的策略必須被開發(fā)且用于保護(hù)組織的特定方面，而且安全實(shí)施者必須能夠且應(yīng)該在形成策略和使其工作方面成為有價(jià)值的貢獻(xiàn)者。在討論過策略以后，我們將談?wù)撨@本書的主要內(nèi)容，那就是下流和骯臟的安全。在每一章，我們都嘗試覆蓋安全的某個(gè)方面并且使它們是相互依賴的，且最終將使這些內(nèi)容引導(dǎo)我們開發(fā)一個(gè)“安全“基礎(chǔ)設(shè)施。我們花費(fèi)很大的努力來確定，我們談?wù)摰牟恢皇恰跋笱浪保ㄒ鉃槊撾x實(shí)際的小天地）安全，而是把我們的討論深入到真實(shí)世界的實(shí)現(xiàn)層次。例如，許多技術(shù)員會(huì)告訴你為什么數(shù)字證書能夠在認(rèn)證Internet用戶方面提供普遍基礎(chǔ)。但是他們忘了告訴你在約達(dá)5億的被稱為網(wǎng)上居民的用戶中，約有99．99％的用戶仍然依靠用戶名和密碼來登錄到他們的系統(tǒng)上。知道關(guān)于PKI的技術(shù)固然是好的，但是知道如何去以一種有效和安全的方式去利用用戶名／密碼則更為實(shí)際。這一點(diǎn)在討論系統(tǒng)脆弱性時(shí)同樣成立。經(jīng)典的“中間人攻擊”（一個(gè)邪惡的攻擊者截獲兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)間的通信并把自己偽裝成通信的另一方）站在技術(shù)觀點(diǎn)看是很有趣的，但從實(shí)際觀點(diǎn)看則很難成功。這并不是說這種攻擊不會(huì)發(fā)生，它只是說，按我們的經(jīng)驗(yàn)，它很難發(fā)生。安全實(shí)施者應(yīng)該更好地利用他的時(shí)間來將他的Web服務(wù)器打上補(bǔ)丁，以防止13歲黑客的惡作劇，而不是在所有的服務(wù)器上實(shí)施加密來防止中間人攻擊。這就是現(xiàn)實(shí)，這也就是我們認(rèn)為的本書和其他書的一個(gè)主要區(qū)別——也是你需要這本書的一個(gè)好理由。最后，安全需要不斷地學(xué)習(xí)和適應(yīng)，就像生命本身一樣。這本書闡述了安全哲學(xué)，并揭示了工程師使用的技術(shù)和程序，以及如何維護(hù)一個(gè)安全網(wǎng)絡(luò)，還有其他人怎樣利用這些原則在保護(hù)他們自己的同時(shí)又不關(guān)閉利用和生產(chǎn)的大門。我們真誠地希望這本書會(huì)有助于提高安全意識，并且有助于用特定知識來武裝安全實(shí)施者，就像Elvis常說的，要照管好生意。關(guān)于作者Erick Schetina 是TrustWave公司（一個(gè)位于馬里蘭州的Internet安全公司）的CTO（首席技術(shù)宮），Schetina先生在1985年開始了他在信息安全領(lǐng)域的職業(yè)生涯，加人到美國國防部成為一個(gè)電氣工程師。在接下來的13年中，他主要從事國防部的智能鍵控信號和信息安全系統(tǒng)的研究，包括加密令牌、公鑰加密系統(tǒng)和信號處理系統(tǒng)。Schetina先生擁有約翰霍普金斯大學(xué)電子工程碩士學(xué)位和哥倫比亞大學(xué)的電子工程學(xué)士學(xué)位。他是信息安全聯(lián)盟的成員并擁有CISSP（思科信息系統(tǒng)安全）認(rèn)證專家證書，同時(shí)他也是《The Compact Disc》（Prentice－Hall，1989）和《Digital Audio Tape Recordes》（Prentice－Hall，1993）這兩本技術(shù)參考書籍的作者。Ken Green是TrustWave公司的高級安全工程師，在加入Trustwave公司之前，他是美國國防部的技術(shù)主管和資深電氣工程師，它在信息安全領(lǐng)域、網(wǎng)絡(luò)分析工程和操作方面都擁有豐富的經(jīng)驗(yàn)。Green先生在電信和數(shù)據(jù)網(wǎng)絡(luò)分析和協(xié)議（包括TCP/IP、IPSec、VPN、ATM、SONET／SDH、幀中繼和SS7）方面是公認(rèn)的專家。他經(jīng)常擔(dān)當(dāng)美國政府其他部門的顧問。它的技術(shù)專長包括協(xié)議分析、面向?qū)ο筌浖_發(fā)和大規(guī)模數(shù)據(jù)處理系統(tǒng)工程。Green先生擁有普度大學(xué)電子工程的學(xué)士和碩士學(xué)位，在普度大學(xué)他主要學(xué)習(xí)的是數(shù)字通信理論和信號處理。研究生期間他還在約翰霍普金斯大學(xué)做過網(wǎng)絡(luò)理論、高級信號處理和無線通信方面的研究。Jacob Carlson是TrustWave公司的高級安全工程師。他在設(shè)計(jì)、開發(fā)和實(shí)現(xiàn)安全系統(tǒng)和網(wǎng)絡(luò)領(lǐng)域（包括網(wǎng)絡(luò)和主機(jī)入侵測試、事件反應(yīng)和計(jì)算機(jī)策略，還有數(shù)據(jù)恢復(fù)）方面擁有豐富的經(jīng)驗(yàn)。他使用、安裝并管理過各種各樣的防火墻，以及基于主機(jī)和基于網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測系統(tǒng)。另一方面，他在加密、認(rèn)證、基于加密的完整性機(jī)制和公鑰基礎(chǔ)設(shè)施方面也擁有豐富經(jīng)驗(yàn)。他是 TrustWave公司高級顧問和入侵測試專家。Carlson先生在保護(hù) Windows NT系統(tǒng)方面進(jìn)行過會(huì)話和緩沖區(qū)溢出測試，他還參加了名為“黑客攻擊技術(shù)”開放小組討論，在小組中一些著名的安全專家討論了黑客團(tuán)體掌握的新入侵技術(shù)，同時(shí)Carlson先生在數(shù)據(jù)分析方面也具有豐富經(jīng)驗(yàn)。獻(xiàn)辭我們想把這本在9月11日（指2001年9月11日）后出版的書籍獻(xiàn)給那天的受害人，包括死難者和獲得生還的人！致謝作者想感謝Phil Smith和Vizo Allman在數(shù)據(jù)分析和Windows安全方面的貢獻(xiàn)。另外，我們想感謝William Brown在這個(gè)項(xiàng)目中從大綱到完成所給與我們的幫助。最后，我們想說明的是，如果沒有我們周圍人的支持和耐心，本書就不可能完成。特別的感謝要留給我們的家人，感謝你們在過去幾個(gè)月和很多年前給予我們的鼓勵(lì)。Carson先生想對Keily O’Bannon 小姐（很快將成為Kellx Carlson夫人）毫無保留的幫助、理解和風(fēng)趣表示特別的感謝。還有她提供的美味咖啡也為這本書的寫作提供了良好的環(huán)境。同時(shí)也要感謝爸爸，為他一直的支持和引以為豪，無論我看起來多么奇怪和丟掉了多少學(xué)業(yè)他都一如既往地支持我。還有媽媽，還有所有我應(yīng)該感謝的。Gree先生想感謝他的家庭，尤其是他的父母，Kitty和Ralph，為他們多年來的愛和支持。在本書中，你將學(xué)到開發(fā)一個(gè)通往Internet上的安全連接需要的所有基本技巧和技術(shù)。在選擇防火墻、虛擬專網(wǎng)（VPN）或者入侵檢測系統(tǒng)之前，你必須準(zhǔn)確地說明你的信息資產(chǎn)是什么，誰將接觸它們，對這些資產(chǎn)的外部威脅和內(nèi)部威脅又是什么。本書將帶你走過評估你們的Internet環(huán)境、開發(fā)一個(gè)用來保護(hù)關(guān)鍵信息和網(wǎng)絡(luò)資源的過程性和技術(shù)性策略的全程。在幫助你開發(fā)了一個(gè)信息安全的程序以后，本書詳細(xì)介紹了實(shí)現(xiàn)網(wǎng)絡(luò)和服務(wù)器安全的許多技術(shù)。你將會(huì)了解到防火墻、虛擬專網(wǎng)、認(rèn)證和入侵檢測的真實(shí)細(xì)節(jié)。然后再利用幾個(gè)適合企業(yè)和小型商業(yè)網(wǎng)絡(luò)的體系結(jié)構(gòu)將它們結(jié)合在一起。最后，本書將檢查定制Internet應(yīng)用程序開發(fā)人員常犯的通病，并提供所有軟件開發(fā)人員都應(yīng)該知道的解決方案，以保證他們的代碼能夠適應(yīng)Internet的惡劣環(huán)境。

　　Erik Schetina 信息系統(tǒng)安全認(rèn)證專家，TrustWava公司首席技術(shù)執(zhí)行官。他與美國國防部合作，有14年開發(fā)信息安全系統(tǒng)和公鑰密碼系統(tǒng)的經(jīng)驗(yàn)。他還與國際上的許多著名公司合作開發(fā)了可管理的安全系統(tǒng)和入侵檢測系統(tǒng)。他是信息安全協(xié)會(huì)和信息系統(tǒng)安全認(rèn)證專家組成員。