内容安全是信息安全中一个重要的分支,也是目前最活跃的安全领域。
一、内容安全的分类
1、 违禁内容的传播
顾名思义,违禁内容是指内容本身要表达的意思,违反了某种规则或安全策略,尤其是政策法规的范畴。在很多情况下,违禁内容的表达方式和格式并没有什么问题,无法从表达方式或格式来加以禁止,必须从语意和关键词上理解该内容是违禁的。比如说,在防SARS期间,有人在网络上传播关于SRARS的谣言,根据最高法院的通知精神,传播SARS谣言是违法的,必须加以禁止。网络无法知道,传播正常的关于SARS的治疗信息和违禁传播的关于SARS的谣言有什么差异,必须从内容上才能知道。违禁内容的传播属于内容安全的范畴,而不是网络安全的范畴。违禁内容的危害是对思想造成破坏。
2、 基于内容的破坏
基于内容的破坏,大家比较容易理解,如病毒。一个文件感染了病毒,对用户的计算机和网络会造成破坏。同样的道理,网络无法知道,一个感染了病毒的文件,与一个正常的文件有什么差异。但我们知道,带病毒的文件,是被篡改了的正常文件上带有病毒特征代码,这些代码在被执行的时候,具有有害的特性。因此,基于内容的破坏,属于内容安全的范畴,也不属于网络安全的范畴。基于内容的根据是对计算机造成破坏。
3、 基于内容的攻击
基于内容的攻击,是一种攻击行为,载体是内容,攻击的对象是应用程序,目标是取得对应用主机的控制权,攻击主机。在web上表格填写数据时,填写恶意格式,导致CGI程序执行错误,引发应用程序出错。在web服务和web应用盛行的今天,基于内容的攻击越来越流行,危害越来越大,对电子政务和电子商务是一个巨大的灾难。网络无法知道,应用程序的漏洞是什么,无法区分正确的格式和错误的格式,因此,基于内容的攻击,属于内容安全的范畴,不属于网络安全的范畴。
二、内容安全的解决方案
1、禁止违禁内容传播的解决方案
禁止违禁内容的传播的方法,一是对违禁内容进行内容过滤,如基于关键词的内容过滤,基于语意的内容过滤。前者在技术上很成熟,准确度很高,漏报率低,但误报率高。后者在技术上还不成熟,存在很多困难,效率低下,实现达到目标困难。二是对违禁内容的来源进行访问控制,这种方式对已经知道恶意传播的对象非常有效。到目前为止,还没有禁止违禁内容传播的理想的理论方法,就像天气或地震预报一样,总是尽可能的准确,但无法绝对准确。在必须执行违禁内容控制的情况下,多采用人工和技术相结合的策略。
2、防止基于内容破坏的解决方案
防病毒是目前采用最多的防止基于内容破坏的解决方案。通过查找内容中的恶意病毒代码来消除基于内容的破坏。防病毒软件同样存在漏报和误报的问题。最关键的问题是,每次总数病毒爆发在前,才能取得病毒特征代码,然后才能防止该病毒。预防已知病毒的实现较为成功,但预防未知病毒的能力较弱。为了解决防病毒软件这方面的不足,出现了很多的相关技术如专家会诊,引发病毒隔离区等,来补充和弥补方病毒软件的不足。
3、防止基于内容攻击的解决方案
基于内容的攻击的危害已经超过违禁内容传播和病毒,成为目前最热门的威胁之一。目前存在的十大漏洞和风险包括:1,参数无效,2,访问控制失效,3,账户和会话管理失效,4,跨站点脚本,5,缓冲溢出,6,恶意命令,7,错误处理问题,8,不安全加密,9,远程管理缺陷,10,配置错误。目前已经出现一类新的产品称为应用安全代理来解决基于内容攻击的问题。应用安全代理将应用与安全进行适当的分工,有害专注应用功能的问题,将安全问题交给专业厂商来完成。
三、中网公司的内容安全产品
1、中网内容过滤和审查系统
中网公司内容过滤审查系统,是一个基于关键词的内容过滤和审查系统。主要应用在电子邮件,BBS和聊天室等系统上。以在电子邮件上的应用为例,中网mailguard实现了以下功能:
(1)防护功能
1)系统提供对邮件恶意发送(包括邮件炸弹)的实时防护。对短时间内投递大量邮件有实时防护。
2)系统能够防止非法的邮件转发。
(2)邮件过滤功能
1)系统提供:对邮件服务器接收、发送的邮件,按照系统定义的过滤规则,进行邮件的监测、过滤的功能。
2)系统提供:按照过滤规则针对邮件的发送者、接收者、抄送、标题、邮件大小、来源地址进行过滤的功能。
3)系统提供:按照过滤规则对邮件正文内容的过滤功能,并支持对不同编码方式的邮件正文的解码。支持的编码方式包括常见的各种编码方式,如MIME、BASE64、QUOTE-PRINTABLE、uucode 等。
4)系统提供对邮件附件内容的识别与过滤,支持的邮件附件文件格式包括:txt、html等。
5)系统提供对邮件内容危害程度的量化分级。
6)系统提供过滤规则的制定。过滤规则全面、有效:不放过有害邮件,不错杀正常邮件。过滤规则中至少包括:该规则的适用范围、适用对象、符合规则后的处理措施。过滤规则支持对关键字的复杂的逻辑组合。
7)系统能对符合过滤规则的邮件采取进一步处理操作。操作方式与邮件内容危害程度分级有合理的对应关系。操作方式分为自动、人工两类。系统允许邮件系统管理员定义操作方式,操作方式至少包括:暂停发送、直接删除、转发和放行。
8)系统对所有内容有害(包括色情、反动等等不良信息)的邮件拦截成功率在95%以上。
9)系统对内容反动的邮件能够完全拦截。
(3)垃圾邮件识别防护功能
1)系统具有垃圾邮件防护策略,能够在系统级防止邮件用户受到垃圾邮件的骚扰。
2)系统能够区分邮件用户收到的正常邮件与垃圾邮件,能从接收到的邮件中将可能存在的垃圾邮件识别出来。系统对于识别出的垃圾邮件可以进行备份,并可以由管理员选择拒收、拦截、删除、或放行。
3)系统对于垃圾邮件的识别成功率在90%以上。
(4)管理功能
1)系统提供基于 WEB 的管理界面,界面简洁、直观、易于操作、有管理员的身份认证。支持本地和远程管理。并提供接口,使得该管理界面可以与其它管理界面良好结合。
2)管理员对垃圾邮件防护规则的建立、修改与维护便捷,直观。
3)管理员对过滤规则的建立、修改与维护便捷,直观。
4)管理员对过滤字库的建立、修改与维护便捷,直观。
5)管理员可便捷的对符合过滤规则的邮件作人工处理,包括对邮件内容的察看、删除、放行、转发。
6)管理员可便捷的对判定为垃圾邮件的邮件作人工处理,包括对邮件内容的察看、删除、放行、转发
7)系统对符合过滤规则以及判定为垃圾邮件的邮件进行详细的日志纪录。系统提供辅助工具,统计已拦截的邮件的内容特征,发出反馈信息,帮助管理员修改过滤规则与过滤字库以及垃圾邮件识别策略。
8)管理界面提供对符合过滤规则的邮件的流量统计、邮件拦截成功率、错误拦截率的统计,供管理员参考。
9)管理界面提供对判定为垃圾邮件的邮件的流量统计、邮件拦截成功率、错误拦截率的统计,供管理员参考。
2、中网防病毒网关
(1)支持专家会诊的功能
在新病毒刚露头时,就应有能立即快速将其查找出来的手段,这样可针对其采取相应的措施,将新病毒消灭在初发阶段。这种方法之一就是,用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门的程序,其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得,需要有反病毒部门经常提供新病毒特征码和反毒程序模块。
理论上讲,用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统等等,目前还没有解不了的变形病毒。但是具体的防病毒软件供应商,采用的技术则是有限的,在用户的每一台机器上安装多个厂商的防病毒软件不太可能,但在专用的网关设备上则完全可能。如果把多种防病毒软件放在一台服务器上,我们称之为“会诊”。
将病毒的广谱特性,通过开放接口的方式,加载在防病毒的网关上,能够大大地增强病毒的防护能力。
(2)诱发病毒隔离去
对付传染的方式,莫过于消灭病毒的传染机制,切断病毒的传染途径,隔离病毒传染源,建立病毒隔离区。消灭病毒传染机制,是防病毒厂商和软件厂商的事,比如说微软公司的outlook和IIS,被病毒用来作为传染机制,微软会增加消灭病毒的机制。防病毒网关,主要是切断病毒的传染途径,隔离病毒的传染源,建立病毒隔离区,来保证内部网络不受病毒的侵害。
建立病毒的隔离区,是一个行之有效的办法。相比于目前的情况,一旦用户感染病毒,所有的内部用户都存在感染病毒的可能,然后,再检查和清楚病毒的机制,建立病毒隔离区的好处要大得多。
(3)宣传和提示
如果一个用户收到一个电子邮件,防病毒网关提示,该电子邮件带有病毒,用户还要去下载或点击附件的很少。因此,及时的提示和告知,是控制病毒最有效的方式。
(4)具有系统级的防病毒架构,对应潜在的病毒载体,电子邮件网关立即改变传输路径,送达病毒隔离区,进行防病毒检查和处理。
(5)采用“会诊”机制来检查和处理病毒,大大提高了系统的查病毒和处理的能力。
(6)网关是一个开放平台,支持第三方的防病毒软件,支持实时更新和升级的功能。
(7)采用“询问处理”方式,最大限度地保证互联网的可用性。
(8)支持用户自定义“广谱特征”的杀病毒机制。
(9)支持广义过滤技术。
(10)提供完整的防病毒日志报告。
3、中网物理隔离网闸
(1)网络隔离与数据交换
中网物理隔离网闸由外部系统、内部系统和数据交换系统组成。外部系统连接外网,内部系统连接内网,正常情况下,隔离设备的双系统之间是完全断开的。在保证两网端口的情况下,实现信息的摆渡和交换。
(2)应用代理
中网物理隔离网闸通过应用代理来实现应用层数据交换,对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流。应用代理中断了直接连接,外部数据首先由应用代理接收,并且在最高层的协议组里进行检查,通过检查后再发起和后端内部服务的连接,把数据发送个服务器。应答数据过程反之。
应用代理提供了很高的安全控制,因为它能够进行完全的应用协议检查,深入到应用协议的命令,内容。比如FTP中的“put”和“get”这些命令的检查,Http请求的检查,URL的检查,文件内容的检查,查病毒等。
(3)抗攻击
采取了应用代理机制后,在系统内核需要加入抗DOS攻击模块,以避免系统遭到消耗资源的攻击方式。
(4)内容过滤
中网物理隔离网闸保证了网络之间网络协议的隔断,也就是IP包数据不能穿透。但是依然会有应用层数据在隔离的网络之间流动。加入了对应用层数据的内容过滤,才能保证内网安全的完整性。
内容过滤在可信端内部系统做,建立在代理应用层数据缓存的基础上。内容过滤的步骤依协议而定,一般的,先检查协议头,再命令,内容…。内容过滤主要过滤恶意代码和命令,限制应用协议的命令集使用,以及基于关键词的信息内容检查。
检查基于内容的攻击包括:
1)参数捣乱
2)Debug选项
3)编码攻击
4)跨站点脚本
5)缓冲溢出
6)恶意命令
7)错误处理问题
8)不安全加密
9)远程管理缺陷
10)其他攻击
|