背景:

　　金稅工程是國家電子政務(wù)建設(shè)十二個系統(tǒng)中重點建設(shè)的一個系統(tǒng)，它的建設(shè)不僅有利于強化我國稅收管理，促進稅收征管改革的深化，而且為國家其它電子政務(wù)建設(shè)項目提供了豐富的共享數(shù)據(jù)源，有利于政府部門之間建立信息共享和協(xié)作關(guān)系，有利于國家電子政務(wù)建設(shè)的全面推進。隨著互聯(lián)網(wǎng)的普及和安全技術(shù)的應(yīng)用，稅務(wù)系統(tǒng)面向個人的業(yè)務(wù)逐步在互聯(lián)網(wǎng)上開展，目前網(wǎng)上保稅包括車船稅、代扣稅、一般印花稅等，而一系列的安全威脅成為稅務(wù)網(wǎng)絡(luò)建設(shè)中必須要解決的問題，如郵件病毒、蠕蟲、間諜軟件欺騙等，這些都是稅務(wù)系統(tǒng)開放面向互聯(lián)網(wǎng)業(yè)務(wù)的過程中無法避免的，面對種種的安全威脅華為3Com提出了深度安全解決方案、推出面對應(yīng)用層威脅的解決辦法。

　　1. 應(yīng)用層威脅介紹

　　2000年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時候，還主要指防火墻，因為那時候的安全還主要以網(wǎng)絡(luò)層的訪問控制為主。的確，防火墻就像一個防盜門，給了我們基本的安全防護。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。今天的網(wǎng)絡(luò)安全現(xiàn)狀和2000年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進入了一個“應(yīng)用層威脅”泛濫的時代。

　　今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失;攻擊終端用戶計算機，給用戶帶來信息風(fēng)險甚至財產(chǎn)損失;對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓;更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費，形成巨大的資源損失。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在，而IDS作為一個旁路設(shè)備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。

　　在解決問題之前，我們需要先了解一下應(yīng)用層威脅的形式和原理。所謂應(yīng)用層威脅，主要包括下面幾種形式:

圖1、應(yīng)用層威脅

　　我們重點介紹一下蠕蟲、間諜軟件、帶寬濫用這三個典型的應(yīng)用層威脅。

　　1.1. 蠕蟲

　　蠕蟲的定義是指“通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”。從本質(zhì)上講，蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過網(wǎng)絡(luò)進行主動傳播的，而病毒需要人的手工干預(yù)(如各種外部存儲介質(zhì)的讀寫)。但是時至今日，蠕蟲往往和病毒、木馬和DDoS等各種威脅結(jié)合起來，形成混合型蠕蟲。

　　蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。我們重點談?wù)劇跋到y(tǒng)漏洞型蠕蟲”，系統(tǒng)漏洞型蠕蟲利用客戶機或者服務(wù)器的操作系統(tǒng)、應(yīng)用軟件的漏洞進行傳播，成為目前最具有危險性的蠕蟲。以沖擊波蠕蟲為例，它就是利用Microsoft Rpc DCOM 緩沖區(qū)溢出漏洞進行傳播的。系統(tǒng)漏洞型蠕蟲傳播快，范圍廣、危害大。例如2001年CodeRed的爆發(fā)給全球帶來了20億美金的損失，而SQ·Slammer只在10分鐘內(nèi)就攻破了全球!下面是近5年來針對微軟操作系統(tǒng)漏洞的5個最著名的蠕蟲:

　　·紅色代碼(CodeRed):

　　MS01-033，微軟索引服務(wù)器緩沖區(qū)溢出漏洞，利用TCP 80傳播

　　·SQ·SLAMMER:

　　MS02-039，SQL服務(wù)器漏洞，利用UDP 1434進行傳播

　　·沖擊波(Blaster)

　　MS03-026，RPC DCOM服務(wù)漏洞，利用TCP 135 139等等進行傳播

　　·震蕩波(Sasser):

　　MS04-011，LSASS本地安全認(rèn)證子系統(tǒng)服務(wù)漏洞，利用TCP 445等端口進行傳播

　　·Zobot

　　MS05-39，windows PnP服務(wù)漏洞，利用TCP 445端口進行傳播

　　上述5個蠕蟲都是臭名昭著的蠕蟲，其中Zobot到2005年12月還在網(wǎng)絡(luò)上肆虐著它的余威。由于系統(tǒng)漏洞型蠕蟲都利用了軟件系統(tǒng)在設(shè)計上的缺陷，并且他們的傳播都利用現(xiàn)有的業(yè)務(wù)端口，因此傳統(tǒng)的防火墻對其幾乎是無能為力。實際上，系統(tǒng)漏洞是滋生蠕蟲的溫床，而網(wǎng)絡(luò)使得他們可以恣意妄為。