Internet安全權威指南

　　在9月11日（是指2001年9月11日）以前，我們可能會在這里談論的一件事就是：近年來沒有任何東西能夠像Internet的成長一樣給我們的生活帶來這么大的沖擊。但按照那天（2001年9月11日）所發(fā)生的事情，這樣的一個陳述看起來又顯得愚蠢和失禮。在這里我們所能夠做的是；指出各種各樣的網絡一直是變化的媒介和前進的工具，可能是好的也可能是壞的。網絡并不是一定由路由器和電纜創(chuàng)建。網絡能夠將具有相同目標的個體焊接起來，并允許它們集中各自的努力來實現(xiàn)一個共同的目的。不幸的是這種目標并不一定是被允許的。每天我們都能讀到或聽到關于恐怖分子網絡的事情。從報紙地能看到有關犯罪網絡的情況和為了粉碎它們而制定的強制法律。不友好的政府運行間諜和從事破壞者網絡。網絡的這些圖像給人的印象是一種惡意的工具，是邪惡的基礎。但網絡并不總是被用來制造嘈雜，同時也用網絡來募集資金。在商業(yè)世界里，存在那些關心患病者福利的網絡，那些增加公司發(fā)展機會的網絡，當然也有幫助找男友的網絡。Internet像其他任何網絡一樣，給個人提供了同樣的機會來使用它為公眾服務或濫用它。這本書的目的就是在真實世界為安全專家提供實施安全的一個指南，讓他們能夠以最小的暴露風險來建設他們的網絡和系統(tǒng)。許多安全書籍如百科全書般介紹了安全，從講解每個協(xié)議的細節(jié)到每個操作系統(tǒng)的配置參數。雖然這本書也覆蓋了一些技術細節(jié)，如許多操作系統(tǒng)、網絡組件、應用和協(xié)議，并且假定這本書的讀者是沒有太多經驗的初學者，但你會發(fā)現(xiàn)本書不是常見的干巴巴的講解和理論弱點的堆積。我們的目的是創(chuàng)造一本書來容納我們這么多年來在系統(tǒng)開發(fā)、加密設計、保護網絡和為數十家大小客戶做安全顧問中所獲得的經驗，并帶領讀者走完從安全策略到安全實現(xiàn)的全部過程。最終你將發(fā)現(xiàn)我們包含了許多案例，這些案例講述了安全概念是怎么被應用在真實公司的真實網絡中的。你也會發(fā)現(xiàn)有幾個案例講述了當安全原則沒有得到遵守時發(fā)生的事情。許多書籍都在兩者之間做出選擇，或是只在策略和原則層次中進行闡述；或是忽略安全的這些方面而直接深入到一些組件的技術細節(jié)，如防火墻、操作系統(tǒng)和應用。我們認為討論安全而不同時討論安全的過程是不合適的。無論你喜歡與否，為使安全更有效，一個管理員為保護網絡所采取的步驟必須是拱形安全策略的擴展。那些只是實施如防火墻和VPN等點解決方案而不考慮它們是怎樣融人到整體策略的安全實施者其實是在虐待他們自己、他們的雇員，同時也是對他們的預算的一個浪費。一個公司如果沒有保護他的重要資產，無論是信息、商業(yè)過程或服務，他就不可能長時間成功。要保護資產，我們首先需要確定它。要充分地保護它，你需要確定是什么在威脅它。要有效地保護它，你需要依據它的價值在保護它所需要的花費和努力之間進行權衡。所有這些因素混和在一起構成了安全策略和程序的開發(fā)。最后，IT部門還要部署它的防火墻和入侵檢測系統(tǒng)，經過深思熟慮之后，選擇了相應的系統(tǒng)，并把它們放到在保護重要資產方面能起到最大作用的地方。出于這種思考方式，我們用兩章內容來全面討論風險和策略。它們不是通過干巴巴地從一本書的模板中挑選合適的陳述來開發(fā)一個安全策略。我們認為一個有意義的策略必須被開發(fā)且用于保護組織的特定方面，而且安全實施者必須能夠且應該在形成策略和使其工作方面成為有價值的貢獻者。在討論過策略以后，我們將談論這本書的主要內容，那就是下流和骯臟的安全。在每一章，我們都嘗試覆蓋安全的某個方面并且使它們是相互依賴的，且最終將使這些內容引導我們開發(fā)一個“安全“基礎設施。我們花費很大的努力來確定，我們談論的不只是“象牙塔”（意為脫離實際的小天地）安全，而是把我們的討論深入到真實世界的實現(xiàn)層次。例如，許多技術員會告訴你為什么數字證書能夠在認證Internet用戶方面提供普遍基礎。但是他們忘了告訴你在約達5億的被稱為網上居民的用戶中，約有99．99％的用戶仍然依靠用戶名和密碼來登錄到他們的系統(tǒng)上。知道關于PKI的技術固然是好的，但是知道如何去以一種有效和安全的方式去利用用戶名／密碼則更為實際。這一點在討論系統(tǒng)脆弱性時同樣成立。經典的“中間人攻擊”（一個邪惡的攻擊者截獲兩個網絡節(jié)點間的通信并把自己偽裝成通信的另一方）站在技術觀點看是很有趣的，但從實際觀點看則很難成功。這并不是說這種攻擊不會發(fā)生，它只是說，按我們的經驗，它很難發(fā)生。安全實施者應該更好地利用他的時間來將他的Web服務器打上補丁，以防止13歲黑客的惡作劇，而不是在所有的服務器上實施加密來防止中間人攻擊。這就是現(xiàn)實，這也就是我們認為的本書和其他書的一個主要區(qū)別——也是你需要這本書的一個好理由。最后，安全需要不斷地學習和適應，就像生命本身一樣。這本書闡述了安全哲學，并揭示了工程師使用的技術和程序，以及如何維護一個安全網絡，還有其他人怎樣利用這些原則在保護他們自己的同時又不關閉利用和生產的大門。我們真誠地希望這本書會有助于提高安全意識，并且有助于用特定知識來武裝安全實施者，就像Elvis常說的，要照管好生意。關于作者Erick Schetina 是TrustWave公司（一個位于馬里蘭州的Internet安全公司）的CTO（首席技術宮），Schetina先生在1985年開始了他在信息安全領域的職業(yè)生涯，加人到美國國防部成為一個電氣工程師。在接下來的13年中，他主要從事國防部的智能鍵控信號和信息安全系統(tǒng)的研究，包括加密令牌、公鑰加密系統(tǒng)和信號處理系統(tǒng)。Schetina先生擁有約翰霍普金斯大學電子工程碩士學位和哥倫比亞大學的電子工程學士學位。他是信息安全聯(lián)盟的成員并擁有CISSP（思科信息系統(tǒng)安全）認證專家證書，同時他也是《The Compact Disc》（Prentice－Hall，1989）和《Digital Audio Tape Recordes》（Prentice－Hall，1993）這兩本技術參考書籍的作者。Ken Green是TrustWave公司的高級安全工程師，在加入Trustwave公司之前，他是美國國防部的技術主管和資深電氣工程師，它在信息安全領域、網絡分析工程和操作方面都擁有豐富的經驗。Green先生在電信和數據網絡分析和協(xié)議（包括TCP/IP、IPSec、VPN、ATM、SONET／SDH、幀中繼和SS7）方面是公認的專家。他經常擔當美國政府其他部門的顧問。它的技術專長包括協(xié)議分析、面向對象軟件開發(fā)和大規(guī)模數據處理系統(tǒng)工程。Green先生擁有普度大學電子工程的學士和碩士學位，在普度大學他主要學習的是數字通信理論和信號處理。研究生期間他還在約翰霍普金斯大學做過網絡理論、高級信號處理和無線通信方面的研究。Jacob Carlson是TrustWave公司的高級安全工程師。他在設計、開發(fā)和實現(xiàn)安全系統(tǒng)和網絡領域（包括網絡和主機入侵測試、事件反應和計算機策略，還有數據恢復）方面擁有豐富的經驗。他使用、安裝并管理過各種各樣的防火墻，以及基于主機和基于網絡的網絡入侵檢測系統(tǒng)。另一方面，他在加密、認證、基于加密的完整性機制和公鑰基礎設施方面也擁有豐富經驗。他是 TrustWave公司高級顧問和入侵測試專家。Carlson先生在保護 Windows NT系統(tǒng)方面進行過會話和緩沖區(qū)溢出測試，他還參加了名為“黑客攻擊技術”開放小組討論，在小組中一些著名的安全專家討論了黑客團體掌握的新入侵技術，同時Carlson先生在數據分析方面也具有豐富經驗。獻辭我們想把這本在9月11日（指2001年9月11日）后出版的書籍獻給那天的受害人，包括死難者和獲得生還的人！致謝作者想感謝Phil Smith和Vizo Allman在數據分析和Windows安全方面的貢獻。另外，我們想感謝William Brown在這個項目中從大綱到完成所給與我們的幫助。最后，我們想說明的是，如果沒有我們周圍人的支持和耐心，本書就不可能完成。特別的感謝要留給我們的家人，感謝你們在過去幾個月和很多年前給予我們的鼓勵。Carson先生想對Keily O’Bannon 小姐（很快將成為Kellx Carlson夫人）毫無保留的幫助、理解和風趣表示特別的感謝。還有她提供的美味咖啡也為這本書的寫作提供了良好的環(huán)境。同時也要感謝爸爸，為他一直的支持和引以為豪，無論我看起來多么奇怪和丟掉了多少學業(yè)他都一如既往地支持我。還有媽媽，還有所有我應該感謝的。Gree先生想感謝他的家庭，尤其是他的父母，Kitty和Ralph，為他們多年來的愛和支持。在本書中，你將學到開發(fā)一個通往Internet上的安全連接需要的所有基本技巧和技術。在選擇防火墻、虛擬專網（VPN）或者入侵檢測系統(tǒng)之前，你必須準確地說明你的信息資產是什么，誰將接觸它們，對這些資產的外部威脅和內部威脅又是什么。本書將帶你走過評估你們的Internet環(huán)境、開發(fā)一個用來保護關鍵信息和網絡資源的過程性和技術性策略的全程。在幫助你開發(fā)了一個信息安全的程序以后，本書詳細介紹了實現(xiàn)網絡和服務器安全的許多技術。你將會了解到防火墻、虛擬專網、認證和入侵檢測的真實細節(jié)。然后再利用幾個適合企業(yè)和小型商業(yè)網絡的體系結構將它們結合在一起。最后，本書將檢查定制Internet應用程序開發(fā)人員常犯的通病，并提供所有軟件開發(fā)人員都應該知道的解決方案，以保證他們的代碼能夠適應Internet的惡劣環(huán)境。

　　Erik Schetina 信息系統(tǒng)安全認證專家，TrustWava公司首席技術執(zhí)行官。他與美國國防部合作，有14年開發(fā)信息安全系統(tǒng)和公鑰密碼系統(tǒng)的經驗。他還與國際上的許多著名公司合作開發(fā)了可管理的安全系統(tǒng)和入侵檢測系統(tǒng)。他是信息安全協(xié)會和信息系統(tǒng)安全認證專家組成員。