前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全終端管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:機(jī)密 數(shù)據(jù) 威脅 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理
一、概述
隨著網(wǎng)絡(luò)在企業(yè)生產(chǎn)經(jīng)營中應(yīng)用越來越廣、越來越深,企業(yè)網(wǎng)絡(luò)安全的問題也日益凸顯。來自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無時不刻都在威脅著企業(yè)網(wǎng)絡(luò)的安全,也成了每一位網(wǎng)絡(luò)管理人員都需要面臨的考驗(yàn)。如何建立一個完整的企業(yè)網(wǎng)絡(luò)安全解決方案,減少因網(wǎng)絡(luò)攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營數(shù)據(jù)的丟失和外泄引發(fā)的損失,本文將進(jìn)行一個淺顯的探討。
二、網(wǎng)絡(luò)安全的基礎(chǔ)——網(wǎng)絡(luò)設(shè)計
網(wǎng)絡(luò)的設(shè)計與建設(shè),是構(gòu)建一個安全網(wǎng)絡(luò)的基礎(chǔ)。合理的網(wǎng)絡(luò)構(gòu)架設(shè)計將為未來網(wǎng)絡(luò)安全的設(shè)計與構(gòu)建節(jié)省一大部分開銷,這些開銷包括了設(shè)計、成本和系統(tǒng)的效率等。因此,在構(gòu)建一個網(wǎng)絡(luò)的初期,就必須將網(wǎng)絡(luò)系統(tǒng)的安全作為設(shè)計的基本要素,考慮到整個系統(tǒng)中。一個大型的企業(yè),如在地域上分部較為集中,其內(nèi)網(wǎng)為了增大運(yùn)行保險系數(shù),一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡(luò)構(gòu)架。這種網(wǎng)絡(luò)在一路主用線纜引故障停止時會自動切換到備用環(huán)上,當(dāng)然,根據(jù)具體的系統(tǒng)配置的不同,雙環(huán)網(wǎng)正常工作時又會被分為雙路負(fù)載分擔(dān)型和雙路數(shù)據(jù)同步型等類型,在這里就不詳細(xì)介紹了。一個企業(yè)如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡(luò)的情況下,最好采用以樹形或星型網(wǎng)絡(luò)結(jié)構(gòu)為主的復(fù)合型網(wǎng)絡(luò)設(shè)計。這種設(shè)計使得各網(wǎng)絡(luò)層次的訪問控制權(quán)限一目了然,便于內(nèi)部網(wǎng)絡(luò)的控制。
一個大型企業(yè)的網(wǎng)絡(luò)在內(nèi)部又會被分為許多特定的區(qū)域——普通的辦公區(qū),財務(wù)銷售的核心業(yè)務(wù)區(qū),應(yīng)用服務(wù)器工作區(qū),網(wǎng)絡(luò)管理維護(hù)區(qū),多方網(wǎng)絡(luò)互聯(lián)區(qū)域,VPN連接區(qū)等多個功能區(qū)域。其中普通的辦公區(qū)有時是與財務(wù)銷售類的業(yè)務(wù)區(qū)合并在一起的,但是,如果公司還涉及特殊業(yè)務(wù)的時候應(yīng)當(dāng)將這兩個區(qū)域分開,甚至為其單獨(dú)建立一套網(wǎng)絡(luò)系統(tǒng)以增強(qiáng)其安全保密性。應(yīng)用服務(wù)器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務(wù),因此在安全上其級別應(yīng)當(dāng)是最高的。一般對這一區(qū)域進(jìn)行安全設(shè)置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡(luò)用戶或?qū)Π踩蟊容^高的用戶可以在不同的網(wǎng)絡(luò)之間配置防火墻,使其對網(wǎng)絡(luò)的訪問進(jìn)行更好的控制或者將不同的網(wǎng)絡(luò)直接進(jìn)行物理隔離,以完全絕斷不同網(wǎng)絡(luò)之間的互訪。在網(wǎng)絡(luò)中中有許多服務(wù)器,比如病毒服務(wù)器、郵件服務(wù)器等,有同時被內(nèi)網(wǎng)及外網(wǎng)訪問的需求,應(yīng)當(dāng)為這些有外網(wǎng)需求的服務(wù)器考慮設(shè)置DMZ區(qū)域。DMZ區(qū)域的安全級別較普通用戶區(qū)高,即便得到訪問授權(quán)的用戶,其對DMZ區(qū)域的訪問也是有限制的,只有管理人員才可以對這一區(qū)域的服務(wù)器進(jìn)行完全的訪問與控制。
三、終端的安全防護(hù)
病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務(wù)器還是普通用戶的終端,因此,對各類終端的安全防護(hù)可以說是網(wǎng)絡(luò)安全構(gòu)建的關(guān)鍵。對終端的安全防護(hù)可以分為兩套系統(tǒng);一種為硬件的防火墻類,一般由管理人員進(jìn)行專業(yè)操作處理的防護(hù)系統(tǒng),包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務(wù)器)終端防護(hù)系統(tǒng);另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進(jìn)行操作管理的防護(hù)系統(tǒng)。現(xiàn)在多數(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)多由這兩種類型的防護(hù)系統(tǒng)復(fù)合而成。這種復(fù)合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計算機(jī)水平及殺毒軟件服務(wù)提供商的反應(yīng)能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護(hù)措施。
現(xiàn)在有廠商提供了一種協(xié)調(diào)系統(tǒng),使用這種系統(tǒng)能讓以上所述的復(fù)合安全系統(tǒng)能夠在網(wǎng)絡(luò)管理員的干涉下實(shí)現(xiàn)主動的管理。這套系統(tǒng)一般在用戶終端安裝一個客戶端,開機(jī)時,客戶端自動判定本終端的安全狀態(tài)并與安全服務(wù)器取得聯(lián)系,當(dāng)終端被判定正常時,終端可進(jìn)行正常權(quán)限的網(wǎng)絡(luò)訪問;當(dāng)終端被判定為非正常(威脅)時,此終端可根據(jù)預(yù)先堤定的安全策略,斷絕與普通局域網(wǎng)的連接,只能與特定的服務(wù)器如病毒服務(wù)器等進(jìn)行連接以解決問題。網(wǎng)絡(luò)管理員可以通過這套系統(tǒng)實(shí)時監(jiān)查每個終端的進(jìn)程與數(shù)據(jù)狀態(tài),并通過管理終端對客戶端進(jìn)行控制,以解決安全威脅。此類系統(tǒng)的應(yīng)用將所有用戶的終端都納入了系統(tǒng)管理員的控制下,以系統(tǒng)管理員專業(yè)化的技術(shù)知識實(shí)現(xiàn)對整個系統(tǒng)的監(jiān)管與維護(hù),能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡(luò)效率。
四、終端用戶的規(guī)范
網(wǎng)絡(luò)的安全除了在設(shè)計、硬件、技術(shù)管理上提高水平外,對網(wǎng)絡(luò)用戶進(jìn)行必要的指導(dǎo)是十分重要的。普通的網(wǎng)絡(luò)用戶由于其計算機(jī)專業(yè)知識水平的不同,不可能要求其對終端進(jìn)行專業(yè)的處理,告誡其正確的上網(wǎng)方式,減少各種網(wǎng)絡(luò)(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護(hù)類軟件(控件、插件)也應(yīng)當(dāng)控制使用,原因很簡單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網(wǎng)絡(luò)軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網(wǎng)絡(luò))軟件,也能在很大程度上避免網(wǎng)絡(luò)威脅。
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護(hù);接入控制;防火墻;訪問權(quán)限
隨著計算機(jī)技術(shù)的發(fā)展和Internet的廣泛應(yīng)用,越來越多的企業(yè)都實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的電子化和網(wǎng)絡(luò)化,計算機(jī)網(wǎng)絡(luò)安全已成為企業(yè)信息安全的重要組成部分。但計算機(jī)網(wǎng)絡(luò)也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業(yè)的信息系統(tǒng)安全造成損害。
因此,如何提高計算機(jī)網(wǎng)絡(luò)的防御能力,增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性,已成為企業(yè)網(wǎng)絡(luò)建設(shè)時必須考慮的問題。下面介紹一些網(wǎng)絡(luò)安全建設(shè)方面的策略,希望能為企業(yè)網(wǎng)絡(luò)建設(shè)提供一些參考。
一、 做好網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計
網(wǎng)絡(luò)結(jié)構(gòu)安全的核心是網(wǎng)絡(luò)隔離,即將整個網(wǎng)絡(luò)按照系統(tǒng)功能、信息安全等級、工作地點(diǎn)等原則劃分為相對獨(dú)立的子網(wǎng)絡(luò),使得當(dāng)某個子網(wǎng)絡(luò)內(nèi)發(fā)生安全故障時,有害信息不能或不易擴(kuò)散到別的子網(wǎng)絡(luò)中。
各個子網(wǎng)絡(luò)之間應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備,實(shí)現(xiàn)信息系統(tǒng)隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實(shí)現(xiàn)子網(wǎng)絡(luò)之間的邏輯隔離。
二、 網(wǎng)絡(luò)設(shè)備的安全防護(hù)
網(wǎng)絡(luò)設(shè)備的安全防護(hù)是指同設(shè)備交互時的安全防護(hù),一般用于設(shè)備的配置和管理。同設(shè)備的交互有以下幾種方式:
* 通過設(shè)備Console 口訪問。
* 異步輔助端口的本地/遠(yuǎn)程撥號訪問
* TELNET訪問
* SNMP訪問
* HTTP訪問
針對這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗(yàn)證
必須要求設(shè)備配置身份驗(yàn)證,如果設(shè)備未配,將拒絕接受用戶登錄,可以通過本地用戶驗(yàn)證或RADIUS驗(yàn)證實(shí)現(xiàn)。
(2) 控制臺超時注銷
控制臺訪問用戶超過一段時間對設(shè)備沒有交互操作,設(shè)備將自動注銷本次控制臺配置任務(wù),并切斷連接。超時時間必須可配置,缺省為10分鐘。
(3) 控制臺終端鎖定
配置用戶離開配置現(xiàn)場,設(shè)備提供暫時鎖定終端的能力,并設(shè)置解鎖口令。
(4) 限制telnet用戶數(shù)目
設(shè)備對telnet用戶數(shù)量必需做出上限控制。
三、 部署用戶安全接入控制系統(tǒng)
用戶安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前,先要經(jīng)過身份認(rèn)證和終端安全檢查。用戶在確認(rèn)身份合法并通過安全檢查后,終端可以訪問用戶授權(quán)的內(nèi)部資源,認(rèn)證不通過則被拒絕接入網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。
用戶接入控制可通過部署終端安全管理系統(tǒng)實(shí)現(xiàn)。終端安全管理系統(tǒng)是一個包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務(wù)程序,在用戶使用網(wǎng)絡(luò)前,必須啟動程序,然后輸入身份信息進(jìn)行登錄。由安全管控服務(wù)器對終端用戶進(jìn)行身份認(rèn)證和安全檢查。通過之后服務(wù)器把檢查結(jié)果通知安全接入網(wǎng)關(guān),安全接入網(wǎng)關(guān)根據(jù)用戶的角色,開放終端用戶的訪問權(quán)限,有效的制止用戶的非法訪問和越權(quán)訪問。
四、 網(wǎng)絡(luò)數(shù)據(jù)流控制
網(wǎng)絡(luò)數(shù)據(jù)流控制通過數(shù)據(jù)包過濾來實(shí)現(xiàn)。通過網(wǎng)絡(luò)數(shù)據(jù)包過濾,可以限制網(wǎng)絡(luò)通信量,限制網(wǎng)絡(luò)訪問到特定的用戶和設(shè)備。
訪問列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。在端口上設(shè)定數(shù)據(jù)流過濾,防止企業(yè)內(nèi)部的IP地址欺騙。嚴(yán)格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備,原則上只允許本系統(tǒng)應(yīng)用需要的應(yīng)用數(shù)據(jù)流才能通過網(wǎng)絡(luò)設(shè)備。
五、 部署網(wǎng)絡(luò)防病毒軟件
網(wǎng)絡(luò)病毒的入口點(diǎn)是非常多的。在一個具有多個網(wǎng)絡(luò)入口的連接點(diǎn)的企業(yè)網(wǎng)絡(luò)環(huán)境中,病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質(zhì)進(jìn)入,也可能由企業(yè)信息網(wǎng)等進(jìn)入,還有可能從外部網(wǎng)絡(luò)中通過文件傳輸?shù)确绞竭M(jìn)入。所以不僅要注重單機(jī)的防毒,更要重要網(wǎng)絡(luò)的整體防毒措施。
任何一點(diǎn)沒有部署防病毒系統(tǒng),對整個網(wǎng)絡(luò)都是一個安全的威脅。網(wǎng)絡(luò)中應(yīng)部署一套網(wǎng)絡(luò)防病毒系統(tǒng),在所有重要服務(wù)器、操作終端安裝殺毒軟件。通過網(wǎng)絡(luò)殺毒服務(wù)器及時更新病毒庫及殺毒引擎,保證內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。
六、 內(nèi)部網(wǎng)絡(luò)使用安全
* 內(nèi)部系統(tǒng)中資源共享
嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄,否則較容易因?yàn)槭韬龆谂c員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶,在共享時也必須加上必要的口令認(rèn)證機(jī)制,即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全,但對一般用戶而言,還是起到一定的安全防護(hù),即使有刻意破解者,只要口令設(shè)得復(fù)雜些,也得花費(fèi)相當(dāng)長的時間。
* 信息存儲
對有涉及企業(yè)秘密信息的用戶主機(jī),使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份,包括本地備份和遠(yuǎn)程備份存儲。
* 構(gòu)建安全管理平臺
構(gòu)建安全管理平臺將會降低很多因?yàn)闊o意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如:組成安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件。通過安全管理平臺實(shí)現(xiàn)全網(wǎng)的安全管理。
總之,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,要用系統(tǒng)的思想來建設(shè)全方位的、多層次的、立體的安全防護(hù)體系。這是一項長期而艱巨的任務(wù),需要不斷的探索。網(wǎng)絡(luò)安全建設(shè)不能僅僅依靠于技術(shù)手段,而應(yīng)建立包括安全規(guī)范、規(guī)章制度、人員培訓(xùn)等全面的管理體系,提高全體員工的安全防范意識,保護(hù)好每臺接入網(wǎng)絡(luò)中的設(shè)備,才能實(shí)現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
準(zhǔn)入控制策略準(zhǔn)入控制策略的主要目的是將安全問題防患于未然,而不是等到有了安全問題才開始處理。準(zhǔn)入控制策略的原理是終端用戶在入網(wǎng)之前要接受系統(tǒng)安全方面的檢查,如果發(fā)現(xiàn)系統(tǒng)有安全問題,則不允許入網(wǎng),并提示問題所在。為保證安全入網(wǎng),凡可統(tǒng)一管理的終端機(jī)(如公共機(jī)房、電子閱覽室、多媒體教室、辦公室等)均做統(tǒng)一安全處理。如安裝殺病毒軟件,及時更新系統(tǒng)補(bǔ)丁,做好各項數(shù)據(jù)備份,自建批處理文件、綁定正確網(wǎng)關(guān)等。防火墻與IDS聯(lián)動策略防火墻側(cè)重于控制,IDS側(cè)重于主動發(fā)現(xiàn)入侵的信號。而且,它們本身所具有的強(qiáng)大功能并沒有得到充分發(fā)揮。例如,IDS檢測到一種攻擊行為,不能及時有效地阻斷或過濾;沒有IDS,一些攻擊行為會利用防火墻合法的通道進(jìn)入網(wǎng)絡(luò)。因此,防火墻和IDS之間十分適合建立緊密的聯(lián)動關(guān)系,已將兩者的能力充分發(fā)揮出來,相互彌補(bǔ)不足,相互提供保護(hù)。訪問控制列表策略對交換機(jī)的訪問控制列表進(jìn)行合理設(shè)置可以制定各種有效的安全策略。一般病毒主要集中在幾個端口,可以通過訪問控制列表將這幾個端口封鎖。校園網(wǎng)內(nèi)P2P下載,嚴(yán)重影響網(wǎng)絡(luò)速度,而迅雷、電騾等工具的使用都是基于TCP協(xié)議的。通過防火墻無法阻止,也可以通過封鎖這類工具的端口達(dá)到阻止BT下載的目的。身份認(rèn)證策略為使所有終端用戶對網(wǎng)絡(luò)安全引起重視,也為了在網(wǎng)絡(luò)安全出現(xiàn)問題后,能迅速定位問題用戶,所有入網(wǎng)用戶要經(jīng)過身份驗(yàn)證,采取實(shí)名制。
防止入網(wǎng)賬號被盜,禁止弱密碼的設(shè)置,控制密碼輸入次數(shù),必要情況下,還要采用雙重認(rèn)證體系。對重要服務(wù)器維護(hù)的管理員,要經(jīng)常更換服務(wù)器密碼,對服務(wù)器進(jìn)行多重密碼設(shè)置,密碼保管責(zé)任到人。途徑傳播。網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)是指通過對網(wǎng)絡(luò)各類信息進(jìn)行匯集、分類、整合、篩選等技術(shù)處理,再形成對網(wǎng)絡(luò)動態(tài)、熱點(diǎn)、網(wǎng)民意見等實(shí)時統(tǒng)計報表的軟件工具。利用輿情監(jiān)控系統(tǒng),合理設(shè)置后,可以有效地對違法違規(guī)的言論、行為進(jìn)行管制。分級管理模式校園網(wǎng)絡(luò)的安全管理僅憑網(wǎng)絡(luò)信息中心的成員肯定是不行的。四川民族學(xué)院各系部公共機(jī)房,電子閱覽室,多媒體教室等都配有管理人員。在不增加人員投入的情況下,完全可以由各分部管理員與網(wǎng)絡(luò)中心的安全管理員組成分級安全管理小組。分部管理員在發(fā)現(xiàn)安全問題后,將問題和處理方法報告給網(wǎng)絡(luò)中心的安全管理員。若分部管理員不能處理該安全問題,由網(wǎng)絡(luò)中心的安全管理員組織分部成員共同分析研究。成立網(wǎng)絡(luò)服務(wù)小組根據(jù)目前四川民族學(xué)院規(guī)模,可以在A、B校區(qū)各成立一個網(wǎng)絡(luò)服務(wù)小組,主要負(fù)責(zé)終端用戶的網(wǎng)絡(luò)服務(wù)和輿情監(jiān)控,小組成員在學(xué)生中選拔。網(wǎng)絡(luò)信息中心不定期對小組成員進(jìn)行培訓(xùn),小組成員可以對準(zhǔn)入控制系統(tǒng)提示系統(tǒng)安全有問題的終端用戶給予幫助。小組成員介入校內(nèi)BBS和校外社區(qū),做好網(wǎng)上輿情跟蹤,及時對網(wǎng)絡(luò)上相關(guān)輿論進(jìn)行引導(dǎo)。舉辦“網(wǎng)絡(luò)文明”講座通過舉辦“網(wǎng)絡(luò)文明”講座,提高終端用戶對網(wǎng)絡(luò)安全的基本知識的了解。加強(qiáng)用戶對網(wǎng)絡(luò)安全法律法規(guī)的認(rèn)識,培養(yǎng)終端用戶內(nèi)在的、自覺的網(wǎng)絡(luò)道德情感、道德責(zé)任和自律能力,幫助用戶在主觀思想上建起一道防線,抵制虛假、黃色、消極內(nèi)容,使他們自覺維護(hù)網(wǎng)絡(luò)安全。病毒應(yīng)對信息網(wǎng)絡(luò)中心應(yīng)及時在校園網(wǎng)上病毒襲擊及應(yīng)對信息。目前,四川民族學(xué)院已經(jīng)開展了這項工作,不足之處在于對校園網(wǎng)的病毒襲擊情況了解不夠全面,處理病毒的方法很多終端用戶即使通過閱讀的信息也無法自行處理。解決這兩個不足,要結(jié)合管理層面應(yīng)對策略1和2。通過策略1的分級管理模式收集網(wǎng)絡(luò)安全信息,分析安全處理方法;通過策略2的網(wǎng)絡(luò)服務(wù)小組幫助不能自行處理的終端用戶處理。
根據(jù)藏區(qū)工作會議精神,國家要加大藏區(qū)高校的投入,包括四川民族學(xué)院在內(nèi)的藏區(qū)高校網(wǎng)絡(luò)將迅速發(fā)展。隨著校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、用戶網(wǎng)絡(luò)安全素質(zhì)、校園網(wǎng)安全需求等多方面的發(fā)展變化,校園網(wǎng)安全管理需要及時調(diào)整安全策略。校園網(wǎng)絡(luò)安全管理人員也應(yīng)不斷地進(jìn)行探索和學(xué)習(xí),與兄弟院校及企業(yè)進(jìn)行交流和合作,不斷完善管理手段,從而為師生建立一個安全、方便、健康的網(wǎng)絡(luò)環(huán)境。
作者:蔡勇智 莫泓銘 單位:四川民族學(xué)院
【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;保密方案;虛擬計算技術(shù);安全控制技術(shù)
1 引言
隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)安全問題成為了當(dāng)下人們所關(guān)注的重點(diǎn)。在網(wǎng)絡(luò)應(yīng)用中,由于軟件及硬件存在一定的漏洞,被不法分子利用造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞,因此,為計算機(jī)網(wǎng)絡(luò)進(jìn)行安全保密勢在必行。本文所提出的基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案,在特定環(huán)境下都能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)提供一定的保密措施,但是由于兩種方案自身也存在一定的漏洞,所以在不同環(huán)境下選擇不同的解決方案,對于計算機(jī)網(wǎng)絡(luò)安全保密具有非常重要的現(xiàn)實(shí)作用。
2 計算機(jī)網(wǎng)絡(luò)泄密風(fēng)險
目前計算機(jī)網(wǎng)絡(luò)應(yīng)用中可能存在的泄密渠道主要包括互聯(lián)網(wǎng)、局域網(wǎng)、無線設(shè)備、移動存儲設(shè)備、打印傳真設(shè)備等。其泄密方式如圖1所示。
在計算機(jī)網(wǎng)絡(luò)應(yīng)用過程中,存在的泄密行為與泄密風(fēng)險如表1所示。
3 基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案
隨著大數(shù)據(jù)、云計算的興起,傳統(tǒng)的計算機(jī)安全保密方式從多終端向集中存儲安全管理方式轉(zhuǎn)變,利用云計算將客戶端的數(shù)據(jù)集中管理,解決的不同終端安全管理難的問題,同時又降低了客戶端的數(shù)據(jù)存儲壓力,實(shí)現(xiàn)資源高效利用、統(tǒng)一管理,為計算機(jī)網(wǎng)絡(luò)安全管理提供了便利。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖2所示。
云計算技術(shù)為用戶構(gòu)建了虛擬桌面,提供遠(yuǎn)程數(shù)據(jù)訪問和軟件應(yīng)用。在服務(wù)器端,不僅能夠?yàn)橛脩籼峁?shù)據(jù)的存儲服務(wù)和應(yīng)用軟件的使用,同時云端服務(wù)器還對所有用戶的操作進(jìn)行監(jiān)控,對資源的利用進(jìn)行管理,并將用戶權(quán)限等級進(jìn)行設(shè)定,根據(jù)用戶使用權(quán)限為其提供相應(yīng)的服務(wù)器資源利用。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)現(xiàn)了數(shù)據(jù)的集中統(tǒng)一管理,采用統(tǒng)一安裝應(yīng)用軟件、統(tǒng)一建立防火墻和殺毒軟件,并及時對軟硬件進(jìn)行升級,可降低用戶端設(shè)備泄密的幾率。在云端服務(wù)器中儲存的數(shù)據(jù)可根據(jù)重要等級進(jìn)行管理,對級別高的數(shù)據(jù)可實(shí)行定期備份,有效的防止了數(shù)據(jù)的丟失,提高了數(shù)據(jù)資源利用的可靠性。
4 基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案是利用安全控制技術(shù)對技術(shù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全保護(hù),其中包括對設(shè)備的通信接口、用戶認(rèn)證等?;诎踩刂萍夹g(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖3所示。
可信終端設(shè)備和安全控制系統(tǒng)可經(jīng)由交換機(jī)訪問服務(wù)器,在交換機(jī)中安裝內(nèi)容審計系統(tǒng),該系統(tǒng)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時監(jiān)測,監(jiān)測用戶網(wǎng)絡(luò)應(yīng)用的行為。用戶通過監(jiān)測審查后可訪問具有安全控制系統(tǒng)的服務(wù)器,該服務(wù)器屬于初級服務(wù)器,可為用戶提供并不私密的數(shù)據(jù)。如果用戶想訪問受保護(hù)的服務(wù)器,則需要通過安全控制系統(tǒng)安全網(wǎng)關(guān),在該網(wǎng)關(guān)中安裝入侵檢測系統(tǒng),其可以對加密級數(shù)據(jù)提供入侵檢測功能,實(shí)現(xiàn)對核心加密數(shù)據(jù)的安全保護(hù)。用戶通過層層檢測后,可經(jīng)過交換機(jī)訪問到受保護(hù)服務(wù)器中的重要數(shù)據(jù)。
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案在用戶與服務(wù)器之間進(jìn)行通信時需要提供用戶身份認(rèn)證,獲得通信端口加密口令后,可登陸服務(wù)器調(diào)用服務(wù)器數(shù)據(jù)資源,也可以通過USB令牌或者口令卡進(jìn)行通信加密,確保用戶身份與服務(wù)器登記身份相吻合,這種方案常用于網(wǎng)上銀行用戶身份安全認(rèn)證。
5 兩種計算機(jī)網(wǎng)絡(luò)安全保密解決方案比較分析
對基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行比較,建立對比如表2所示。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案適用于用戶集中區(qū)域的管理,譬如大廈辦公樓、政府機(jī)關(guān)、企事業(yè)單位等?;谠朴嬎慵夹g(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案具有降低終端設(shè)備維護(hù)壓力和運(yùn)行壓力、集中網(wǎng)絡(luò)安全保密,防止由終端泄密的問題。隨著大數(shù)據(jù)集中管理和云計算技術(shù)的日益成熟,基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案將具有更加廣闊的發(fā)展空間。但是,在進(jìn)行高性能計算時,對于服務(wù)器產(chǎn)生的壓力巨大,所以其不適用于專業(yè)性計算機(jī)網(wǎng)絡(luò)安全應(yīng)用,同時由于小規(guī)模計算機(jī)網(wǎng)絡(luò)建立云計算成本較大,因此,云計算技術(shù)適用于規(guī)模較大的用戶群體,具有廣泛應(yīng)用性,而不具備尖端應(yīng)用性。
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案對計算機(jī)的配置要求較高,通常應(yīng)用與科學(xué)研發(fā)、課題攻堅、指揮控制等方面,其可滿足較高性能的計算,更加適用于安全要求級別高的網(wǎng)絡(luò)應(yīng)用。
6 結(jié)束語
本文對計算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行分析,提出基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密兩種解決方案,并對兩種解決方案的架構(gòu)和工作方式進(jìn)行研究,分析兩種解決方案的執(zhí)行原理,對二者進(jìn)行了比較分析,提出在不同環(huán)境下可選擇不同的計算機(jī)網(wǎng)絡(luò)安全保密解決方案,做到有的放矢,更好的發(fā)揮出彼此的優(yōu)勢,對完善計算機(jī)網(wǎng)絡(luò)安全具一定的借鑒意義。
參考文獻(xiàn)
[1] 魯林鑫.企業(yè)計算機(jī)網(wǎng)絡(luò)安全防護(hù)措施和對策研究[J].科技創(chuàng)新導(dǎo)報,2010(04).
[2] 克依蘭?吐爾遜別克.計算機(jī)網(wǎng)絡(luò)安全分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(01).
[3] 宋國云,趙威,董平,張元龍.有效改善計算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].電腦知識與技術(shù),2014(01).
[4] 黨政,楊同慶.信息系統(tǒng)安全技術(shù)探究[J].技術(shù)與創(chuàng)新管理,2014(03).
[5] 俞迪.基于計算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析[J].中國新通信,2014(02).
【關(guān)鍵詞】大數(shù)據(jù) 虛擬化 網(wǎng)絡(luò)安全架構(gòu) 機(jī)制
1 大數(shù)據(jù)時代網(wǎng)絡(luò)安全風(fēng)險
1.1 大數(shù)據(jù)及其特點(diǎn)
大數(shù)據(jù)(Big Data)最早由美國提出,并逐漸運(yùn)用于世界各地的學(xué)術(shù)既商業(yè)活動之中,具體指相對于計算機(jī)的處理能力而言該類數(shù)據(jù)的“海量”與“大”,即在任意有限的時間內(nèi)不能使用任意的IT或軟硬件技術(shù)工具進(jìn)行操作和運(yùn)用的數(shù)據(jù)集合??茖W(xué)家John Rauser曾用一句更為簡單的話解釋了大數(shù)據(jù),即他認(rèn)為大數(shù)據(jù)的數(shù)據(jù)處理量之大已經(jīng)超過了任意一臺計算機(jī)的處理能力。
大數(shù)據(jù)具有結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大、類型眾多、集成共享與交叉復(fù)用的特點(diǎn),對應(yīng)于大數(shù)據(jù)的處理,計算機(jī)科學(xué)界產(chǎn)生了與之對應(yīng)的云計算技術(shù)方法基于云計算技術(shù)的應(yīng)用漸趨成熟,大數(shù)據(jù)在行業(yè)內(nèi)被提出具備4V特征,即稻萑萘看籩擲嘍啵Volume)、數(shù)據(jù)類型多(Variety)、商業(yè)價值高(Value)、處理速度快(Velocity),大數(shù)據(jù)及其特征可以更好的用圖1表示。
1.2 大數(shù)據(jù)時代網(wǎng)絡(luò)安全現(xiàn)狀
網(wǎng)絡(luò)安全是國家安全的一個重要組成部分,根據(jù)我國互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT/CC 其2016年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中提供的數(shù)據(jù),截止到15年年底中國網(wǎng)站總量已達(dá)到426.7萬余個,同比年度凈增長2萬余個,此外在其的《CNCERT互聯(lián)網(wǎng)完全威脅報告》中,僅2017年2月,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近118萬個,被篡改網(wǎng)站數(shù)量為4493個,其中政府網(wǎng)站有109個??梢姶髷?shù)據(jù)時代,我國目前網(wǎng)絡(luò)安全形勢依舊嚴(yán)峻,主要問題表現(xiàn)在:
(1)公民個人安全意識不強(qiáng),個人信息泄露嚴(yán)重,從國內(nèi)感染木馬網(wǎng)絡(luò)病毒的網(wǎng)站數(shù)來看,用戶對于網(wǎng)絡(luò)安全的意識低下的現(xiàn)狀;
(2)國內(nèi)網(wǎng)絡(luò)安全保護(hù)與威脅漏洞防范措施滯后,國內(nèi)計算機(jī)網(wǎng)絡(luò)安全防護(hù)的基本措施基本都處于形式的靜態(tài)防護(hù)狀態(tài),真正對新木馬、新病毒的發(fā)現(xiàn)和攻克技術(shù)未及時跟上病毒與木馬產(chǎn)生的速度,防范能力低下,感染與反復(fù)感染情況嚴(yán)重。
(3)網(wǎng)絡(luò)攻擊等行業(yè)逐步壯大與興起,大數(shù)據(jù)時代,數(shù)據(jù)的商業(yè)價值被進(jìn)一步挖掘,強(qiáng)大的利益誘惑下,國內(nèi)不少網(wǎng)絡(luò)攻擊企業(yè)逐漸形成甚至形成不正規(guī)產(chǎn)業(yè)鏈,該行業(yè)的發(fā)展趨勢有待及時的制止與修正。
2 虛擬化網(wǎng)絡(luò)安全技術(shù)概述
2.1 病毒防護(hù)技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護(hù)網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.2 入侵檢測技術(shù)
通過加強(qiáng)對網(wǎng)絡(luò)間訪問的控制來保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備。互聯(lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。
2.3 漏洞掃描技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,我們稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護(hù)網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.4 防火墻技術(shù)
通過加強(qiáng)對網(wǎng)絡(luò)間訪問的控制來保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。防火墻超出了最初對防火墻的定義是從監(jiān)測型防火墻的出現(xiàn)開始的。其表現(xiàn)是,不僅能阻止外來侵?jǐn)_,更重要的是,它也能對來自網(wǎng)絡(luò)內(nèi)部的破壞起到防護(hù)的作用
3 大數(shù)據(jù)環(huán)境虛擬化網(wǎng)絡(luò)安全SDN架構(gòu)
網(wǎng)絡(luò)安全應(yīng)用虛擬化(Virtualized Security Appliance)是較為有效的解決網(wǎng)絡(luò)安全的常見方式,本節(jié)根據(jù)大數(shù)據(jù)時代網(wǎng)絡(luò)安全特征及可用技術(shù),結(jié)合傳統(tǒng)軟件定義網(wǎng)絡(luò)SDN安全架構(gòu)方式,提出如下所示的基于安全應(yīng)用虛擬化的網(wǎng)絡(luò)安全SDN架構(gòu),即SDN-VSN。
該架構(gòu)首先在安全業(yè)務(wù)管理實(shí)踐的基礎(chǔ)上運(yùn)用SDN API進(jìn)行業(yè)務(wù)需求與計算機(jī)指令的靈活轉(zhuǎn)換,在SDN控制層能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化安全防護(hù),包括有安全協(xié)議的描述、安全網(wǎng)絡(luò)檢測、安全路由保證、網(wǎng)絡(luò)拓?fù)涔芾砑鞍踩Y源管理的基礎(chǔ)業(yè)務(wù)描述與控制;其次,在安全策略方面,該架構(gòu)采用二級分解方式,指定的物理資源進(jìn)行了映射配置和安全防控,并采用事件驅(qū)動的啟動模式,達(dá)到一種及時響應(yīng)、及時防護(hù)的安全防控效果;最后,在安全實(shí)施方面,上述架構(gòu)包含了字符段匹配、安全協(xié)議識別等通過標(biāo)準(zhǔn)Open Flow表示、識別與實(shí)施的安全運(yùn)作機(jī)制。
4 大數(shù)據(jù)環(huán)境下虛擬化網(wǎng)絡(luò)安全機(jī)制
4.1 邊界安全機(jī)制
網(wǎng)絡(luò)邊界安全機(jī)制指從網(wǎng)絡(luò)與外界之間互通引起的安全題進(jìn)行防護(hù)的一種防護(hù)機(jī)制,包括黑客入侵、網(wǎng)絡(luò)攻擊及木馬病毒攻擊的防護(hù),大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全,因此如何從數(shù)據(jù)挖掘的角度設(shè)計并分析已有病毒或木馬庫的特征,及時更新病毒庫進(jìn)行有效的邊界保護(hù),最大限度實(shí)現(xiàn)邊界隔離。
4.2 終端安全機(jī)制
網(wǎng)絡(luò)終端指網(wǎng)絡(luò)的最終使用者即網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)終端安全機(jī)制即是強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)過程中從網(wǎng)絡(luò)用戶端入手,運(yùn)用防火墻、防病毒、防木馬等技術(shù)對可能的網(wǎng)絡(luò)安全漏洞進(jìn)行措施性規(guī)避,新一代的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)終端數(shù)量劇增,在對于網(wǎng)絡(luò)終端防護(hù)的安全機(jī)制需要考慮終端之間的統(tǒng)一有效控制,即當(dāng)某一終端出現(xiàn)安全漏洞威脅時,其他與之相近的終端能夠迅速接受信號,并在統(tǒng)一受控的基礎(chǔ)上進(jìn)行迅速的防護(hù)技術(shù)部署,防止漏洞和威脅進(jìn)一步無限制的蔓延,終端防護(hù)的技術(shù)在大數(shù)據(jù)環(huán)境下需要過更多運(yùn)用云技術(shù),通過云端有效控制數(shù)以億增的網(wǎng)絡(luò)終端量及相應(yīng)的可能遭受的安全風(fēng)險。
4.3 聯(lián)動安全機(jī)制
聯(lián)動安全機(jī)制是在保證邊界安全和終端安全的基礎(chǔ)上運(yùn)用云端技術(shù)及大數(shù)據(jù)預(yù)測技術(shù)及時的將終端與邊界聯(lián)動起來的一種安全機(jī)制,即保證終端與邊界的安全統(tǒng)一。實(shí)際的操作中,網(wǎng)絡(luò)的邊界與終端無論哪一邊遭受到安全攻擊,通過數(shù)據(jù)分析及時更新數(shù)據(jù)并下發(fā)到另一端,以確保實(shí)現(xiàn)聯(lián)動的防護(hù)機(jī)制。雙防御的及時防護(hù)就像一個新型高效網(wǎng)絡(luò)護(hù)盾,如當(dāng)某一終端遭受攻擊或漏洞被篡改,可以迅速的通知邊界設(shè)備進(jìn)行及時的物理或網(wǎng)絡(luò)隔離,并迅速進(jìn)行數(shù)據(jù)分析更新數(shù)據(jù)庫病毒庫,防止同網(wǎng)絡(luò)種其他設(shè)備遭受到相同黑客病毒的攻擊。聯(lián)動機(jī)制有效的提高了終端和邊界雙方面聯(lián)動的防護(hù)效果,有效應(yīng)對未知攻擊并可以進(jìn)行及時的防護(hù)措施,并運(yùn)用大數(shù)據(jù)預(yù)測與分析技術(shù)可以預(yù)測可能受到的安全攻擊,進(jìn)行對應(yīng)的防護(hù)措施,從而將損害降到最低,實(shí)現(xiàn)網(wǎng)絡(luò)安全最大化的終極目標(biāo)。
參考文獻(xiàn)
[1]CNCERT互聯(lián)網(wǎng)安全威脅報告.國家互聯(lián)網(wǎng)應(yīng)急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.
[2]孟治強(qiáng).基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)初探[J].商,2015(34):207-207.
[3]楊艷,張瑩.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全研究[J].自動化與儀器儀表,2016(10):149-150.
[4]劉新,常英賢,田健偉.大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全防護(hù)策略研究[J].探索科學(xué),2016(10).
[5]馬文靜.下一代無線網(wǎng)絡(luò)安全及切換機(jī)制研究[D].北京郵電大學(xué),2010.
[6]吳越,孫皓,張樹彬.下一代網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2007(05):12-14.
【關(guān)鍵詞】郵政網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 加密
1 郵政系統(tǒng)的基本原理
郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個三級四層的全國性的網(wǎng)絡(luò)系統(tǒng),其中三級為省際網(wǎng)、省內(nèi)網(wǎng)和郵區(qū)網(wǎng),四層為國家郵政信息中心、省郵政信息中心、郵區(qū)郵政信息中心和基礎(chǔ)接入節(jié)點(diǎn)。
郵政綜合計算機(jī)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示,網(wǎng)絡(luò)互連方式包括郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部三級四層之間的互連、郵政綜合計算機(jī)網(wǎng)二級機(jī)構(gòu)接入、郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)的互連。網(wǎng)絡(luò)上使用的通信協(xié)議為TCP/IP。
2 現(xiàn)有系統(tǒng)的基本原理
通過建立郵政行業(yè)內(nèi)通用的綜合安全保密管理技術(shù)架構(gòu)和管理中心平臺,從而為郵政系統(tǒng)建立健全的安全組織、完善的安全管理機(jī)制和集成統(tǒng)一的安全策略提供必要的技術(shù)基礎(chǔ)。該管理中心平臺在結(jié)構(gòu)上和郵政系統(tǒng)現(xiàn)有管理體制和網(wǎng)絡(luò)結(jié)構(gòu)相適應(yīng),并在密碼設(shè)備管理、密碼服務(wù)調(diào)用接口、密鑰管理、安全日志管理等方面建立統(tǒng)一的標(biāo)準(zhǔn)和要求,此外,該平臺應(yīng)具有較強(qiáng)的開放性,能容納未來的安全保密設(shè)備。
以目前比較成熟的PKI體系為基礎(chǔ),針對不同應(yīng)用模式構(gòu)建統(tǒng)一的安全服務(wù)平臺,為郵政業(yè)務(wù)系統(tǒng)提供一個公共的安全服務(wù)平臺,為郵政生產(chǎn)、業(yè)務(wù)、服務(wù)和管理應(yīng)用提供一系列標(biāo)準(zhǔn)的、切合郵政安全需求的安全服務(wù)接口,使得各個應(yīng)用系統(tǒng)的開發(fā)在一個高安全性的服務(wù)環(huán)境下順利實(shí)施。
綜合運(yùn)用數(shù)據(jù)包封裝技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),構(gòu)建建立能涵蓋郵政終端節(jié)點(diǎn)->城市中心->省中心->國家中心各部門(人員)的中國郵政虛擬專用網(wǎng)絡(luò)系統(tǒng)(VPN)。
3 現(xiàn)有系統(tǒng)的組成結(jié)構(gòu)
現(xiàn)有系統(tǒng)共包含五個組成部分:綜合安全管理中心、應(yīng)用安全服務(wù)平臺、低端網(wǎng)絡(luò)IP密碼服務(wù)包、網(wǎng)絡(luò)IP加密機(jī)和終端線路加密器。以下分別介紹各個部件的功能:
3.1 綜合安全管理中心
綜合安全管理中心實(shí)現(xiàn)對全網(wǎng)絡(luò)密碼設(shè)備的分級集中管理,包括對密碼設(shè)備所需數(shù)字證書的管理、密碼設(shè)備遠(yuǎn)程配置、密碼設(shè)備運(yùn)行狀態(tài)監(jiān)控及密碼設(shè)備安全審計日志的集中存放、動態(tài)分析和報告生成等功能。此外,該中心還可包含對其它安全設(shè)備,如防火墻、入侵檢測等的集中管理。
3.2 應(yīng)用安全中間件
應(yīng)用安全中間件是一個由五個安全組件構(gòu)成的安全服務(wù)套件,可以為基于不同平臺的各類業(yè)務(wù)系統(tǒng)提供統(tǒng)一、標(biāo)準(zhǔn)的安全服務(wù),它為用戶提供了實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性、不可抵賴性以及身份認(rèn)證功能等的統(tǒng)一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補(bǔ)充,構(gòu)成了一個面向用戶信息應(yīng)用系統(tǒng)的較為完整的安全服務(wù)體系。該套件的所有組件均集成了國密辦審批的本項目專用密碼算法和密碼模塊,其功能基本覆蓋了郵政系統(tǒng)各類業(yè)務(wù)系統(tǒng)的安全服務(wù)需求。
3.3 基于網(wǎng)絡(luò)的IP加密機(jī)
基于網(wǎng)絡(luò)的IP加密機(jī)通過在網(wǎng)絡(luò)層實(shí)施密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),實(shí)現(xiàn)郵政系統(tǒng)各級機(jī)構(gòu)間通過公網(wǎng)的安全互聯(lián)。IP加密機(jī)為一獨(dú)立的網(wǎng)絡(luò)安全設(shè)備,可透明地接入(嵌入)郵政系統(tǒng)現(xiàn)有網(wǎng)絡(luò)架構(gòu),并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.4 基于主機(jī)的低端網(wǎng)絡(luò)IP密碼服務(wù)包
基于主機(jī)的網(wǎng)絡(luò)IP密碼服務(wù)包的應(yīng)用對象為郵政系統(tǒng)中大量存在的柜員微機(jī)工作站和儲蓄網(wǎng)點(diǎn)PC,是一個能嵌入到現(xiàn)有客戶端系統(tǒng)中的IP安全保密墊片程序模塊,該模塊處于網(wǎng)絡(luò)驅(qū)動程序和IP協(xié)議棧之間,對出入主機(jī)的數(shù)據(jù)包實(shí)施加解密處理和訪問控制,實(shí)現(xiàn)和基于網(wǎng)絡(luò)的IP加密機(jī)的互通,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.5終端線路加密器
終端線路加密器是一個能完成終端柜員身份認(rèn)證功能及線路加密功能的設(shè)備,其應(yīng)用對象為郵政系統(tǒng)中大量存在的郵政儲蓄和電子匯兌柜員終端。該設(shè)備能透明地接入郵政儲蓄柜員終端業(yè)務(wù)系統(tǒng)和其它“終端-主機(jī)”結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中,解決(?。┙K端用戶的強(qiáng)身份認(rèn)證和線路加密功能,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
4網(wǎng)絡(luò)安全的重要性
在信息社會中,信息具有和能源、物源同等的價值,在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題,對于企業(yè)更是如此。例如:在競爭激烈的市場經(jīng)濟(jì)驅(qū)動下,每個企業(yè)對于原料配額、生產(chǎn)技術(shù)、經(jīng)營決策等信息,在特定的地點(diǎn)和業(yè)務(wù)范圍內(nèi)都具有保密的要求,一旦這些機(jī)密被泄漏,不僅會給企業(yè),甚至也會給國家造成嚴(yán)重的經(jīng)濟(jì)損失。 經(jīng)濟(jì)社會的發(fā)展要求各用戶之間的通信和資源共享,需要將一批計算機(jī)連成網(wǎng)絡(luò),這樣就隱含著很大的風(fēng)險,包含了極大的脆弱性和復(fù)雜性,特別是對當(dāng)今最大的網(wǎng)絡(luò)――國際互聯(lián)網(wǎng),很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟(jì)的信息化程度的提高,有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機(jī)中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大,信息的泄露問題也變得日益嚴(yán)重,因此,計算機(jī)網(wǎng)絡(luò)的安全性問題就越來越重要。
5 結(jié)論
隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)攻擊也在迅速增多,病毒郵件攻擊的影響日益激烈,病毒、蠕蟲和毫無必要的大量垃圾電子郵件利用互聯(lián)網(wǎng)資源來傳播,使企業(yè)網(wǎng)絡(luò)的傳輸速度緩慢甚至癱瘓。本文提出的企業(yè)網(wǎng)絡(luò)安全解決方案能夠?yàn)槠髽I(yè)提供安全的網(wǎng)絡(luò)保護(hù),并縮減了企業(yè)在網(wǎng)絡(luò)安全方面的投資。解決了企業(yè)的安全隱患,使能夠合理利用網(wǎng)絡(luò)并從網(wǎng)絡(luò)中獲取豐厚的效益,提高了企業(yè)的競爭力。
參考文獻(xiàn)
[1]張千里,陳光英 .網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003(01).
[2]董玉格等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京:人民郵電出版社,2002(08).
[3]顧巧論等編著.計算機(jī)網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2003(01).
【關(guān)鍵詞】制藥企業(yè) 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)安全架構(gòu) 網(wǎng)絡(luò)設(shè)計
隨著數(shù)字化和信息化進(jìn)程的不斷加速,企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍日益擴(kuò)大。制藥企業(yè)作為技術(shù)密集型企業(yè),多以精深工藝、提升品質(zhì)、加強(qiáng)管理為目的,建立了由ERP、電子商務(wù)、Web網(wǎng)站、OA構(gòu)成的網(wǎng)絡(luò)系統(tǒng)。目前,網(wǎng)絡(luò)已應(yīng)用于制藥企業(yè)各個事務(wù)層面,因此網(wǎng)絡(luò)安全尤為重要,必須建立多層次的安全體系架構(gòu),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)保障。
一、安全架構(gòu)設(shè)計要點(diǎn)
(一)多元線程。安全架構(gòu)分為“預(yù)防”、“治理”、“鞏固”三個線程?!邦A(yù)防”是通過Windows Server Update Services更新服務(wù),及時修補(bǔ)內(nèi)網(wǎng)終端與服務(wù)器的系統(tǒng)漏洞?!爸卫怼笔轻槍Σ煌陌踩{進(jìn)行防護(hù)。對于病毒威脅和黑客入侵,進(jìn)行軟硬件聯(lián)合防御?!办柟獭笔潜4嫱暾W(wǎng)絡(luò)日志,有科學(xué)的備份策略,對終端計算機(jī)的嚴(yán)格管理,保證終端安全。
(二)立體布局。安全架構(gòu)設(shè)計要兼顧物理層、鏈路層、網(wǎng)絡(luò)層和應(yīng)用層,形成立體化的防護(hù)布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。
(三)系統(tǒng)管理。安全架構(gòu)包括技術(shù)層和管理層兩方面,必須建立安全管理系統(tǒng)與安全技術(shù)相適應(yīng)。管理系統(tǒng)要求嚴(yán)密的崗位分工,以及日常維護(hù)管理制度。一個合理的管理系統(tǒng)能夠明確網(wǎng)絡(luò)邊界,增強(qiáng)網(wǎng)絡(luò)的可控性,實(shí)現(xiàn)有計劃的訪問控制,有效阻止?jié)B透式網(wǎng)絡(luò)攻擊。
二、安全架構(gòu)設(shè)計方案
(一)網(wǎng)絡(luò)平臺方案設(shè)計
1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計。制藥企業(yè)的網(wǎng)絡(luò)設(shè)置采用拓?fù)浣Y(jié)構(gòu),根據(jù)藥品的生產(chǎn)、銷售、組織、管理等部門分成多個子網(wǎng),共同構(gòu)建企業(yè)網(wǎng)絡(luò)平臺。在各VLAN之間布置路由,實(shí)現(xiàn)各VLAN間的自由互訪。但各子網(wǎng)間互訪需要進(jìn)行網(wǎng)絡(luò)驗(yàn)證,避免某子網(wǎng)的安全威脅獲得擴(kuò)大性傳播。
2.域管理設(shè)計。為實(shí)現(xiàn)集中式管理,應(yīng)在制藥企業(yè)網(wǎng)絡(luò)平臺布局域管理。域管理可以實(shí)現(xiàn)單一賬戶登錄,單節(jié)點(diǎn)管理,具有安全便捷的優(yōu)點(diǎn)。企業(yè)內(nèi)網(wǎng)絡(luò)終端設(shè)備較多,因此要進(jìn)行網(wǎng)絡(luò)標(biāo)簽設(shè)置,具體規(guī)則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網(wǎng)關(guān),第二段代表部門,第三段代表姓名全拼,唯一的網(wǎng)絡(luò)標(biāo)簽可以保證定位的速度與精度。
3.入侵檢測設(shè)計。網(wǎng)絡(luò)入侵檢測是通過防火墻和專用軟件(IDS)實(shí)現(xiàn)的。配置企業(yè)級防火墻,可以杜絕內(nèi)外網(wǎng)間的病毒威脅,提供相對安全的網(wǎng)絡(luò)環(huán)境。而網(wǎng)康、綠盟、安全胄甲等專業(yè)入侵檢測軟件(IDS)則是對防火墻的合理補(bǔ)充,IDS從企業(yè)網(wǎng)絡(luò)中采集關(guān)鍵信息,分析總流量、上傳量、ERP等數(shù)據(jù)變化,自主判斷網(wǎng)絡(luò)中違反安全策略的行為。聯(lián)合應(yīng)用防火墻與IDS,可以實(shí)時、動態(tài)地保護(hù)網(wǎng)絡(luò)平臺,擴(kuò)展系統(tǒng)管理員的安全管理能力,形成完整的網(wǎng)絡(luò)安全平臺結(jié)構(gòu)。
(二)防治病毒方案設(shè)計
1.分布式部署。一般而言,制藥企業(yè)規(guī)模龐大且機(jī)構(gòu)復(fù)雜,由多個服務(wù)器構(gòu)成子網(wǎng),因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進(jìn)行配置,并根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架,設(shè)立多級病毒防治管理中心,負(fù)責(zé)各自網(wǎng)段的病毒查殺工作。
2.網(wǎng)絡(luò)邊緣防護(hù)。網(wǎng)絡(luò)邊緣是靠近用戶端的網(wǎng)絡(luò)層面,對其進(jìn)行病毒防護(hù)的方法是在部署好防病毒網(wǎng)關(guān)后再連接外網(wǎng),全面掃描網(wǎng)絡(luò)后安置硬件防毒墻。建議使用網(wǎng)神、驅(qū)逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協(xié)議進(jìn)行查殺病毒。再配置一套符合企業(yè)網(wǎng)絡(luò)應(yīng)用需要的安全策略,控制多項網(wǎng)絡(luò)端口,填補(bǔ)邊緣防護(hù)缺口,建立起軟硬件相結(jié)合的安全屏障。
3.防病毒管理。防毒技術(shù)是網(wǎng)絡(luò)安全架構(gòu)的技術(shù)保障,而技術(shù)需要管理制度作為保障才能發(fā)揮最大效用。制藥企業(yè)防毒管理制度應(yīng)包括:強(qiáng)制實(shí)施防病毒策略,嚴(yán)肅工作紀(jì)律;定期檢查硬件防毒墻運(yùn)行狀態(tài),調(diào)整工作參數(shù),避免過熱過勞運(yùn)行;定期升級防毒軟件病毒庫,如有大規(guī)模病毒爆發(fā)需進(jìn)行專項治理;加強(qiáng)移動存儲介質(zhì)管理,不使用來源不明的存儲介質(zhì)。
(三)數(shù)據(jù)備份和審計方案設(shè)計
數(shù)據(jù)備份和審計是制藥企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重要組件。數(shù)據(jù)備份的作用是記錄各類網(wǎng)絡(luò)信息,為查找漏洞、排除問題、安全設(shè)置提供參考。考慮到制藥企業(yè)數(shù)據(jù)備份的規(guī)模及對數(shù)據(jù)安全的要求,可利用IBM公司開發(fā)的iSCSI接口,將現(xiàn)有SCSI接口與以太網(wǎng)絡(luò)結(jié)合,實(shí)現(xiàn)服務(wù)器與IP網(wǎng)絡(luò)儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應(yīng)用符合一定技術(shù)標(biāo)準(zhǔn)的備份軟件,具備快速存取能力、極簡管理能力和災(zāi)難恢復(fù)能力。另外,備份軟件要適應(yīng)當(dāng)前的網(wǎng)絡(luò)條件,能同時支持64位和32位WINDOWS系統(tǒng)、UNIX、IOS系統(tǒng),能在常用系統(tǒng)平臺進(jìn)行主動式備份。建議采用FileGee等備份軟件,實(shí)現(xiàn)自動備份文件,并可進(jìn)行多介質(zhì)服務(wù)器管理,提供集中管理備份策略。
數(shù)據(jù)備份的目的是進(jìn)行數(shù)據(jù)審計,通過檢索備份數(shù)據(jù),分析數(shù)據(jù)特征和變化趨勢,對企業(yè)內(nèi)服務(wù)器和終端設(shè)備進(jìn)行安全審計。終端設(shè)備審計方案是:調(diào)取網(wǎng)絡(luò)數(shù)據(jù),對各種網(wǎng)絡(luò)應(yīng)用進(jìn)行識別、記錄和控制,在此基礎(chǔ)上判斷網(wǎng)絡(luò)行為正當(dāng)與否,如存在安全隱患則采取緊急策略,對問題網(wǎng)絡(luò)端口進(jìn)行控制。服務(wù)器審計方案是:在數(shù)據(jù)庫中提取記錄企業(yè)服務(wù)器運(yùn)行信息,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)日志,作出勘察、判斷與決策,防止誤操作和不當(dāng)操作行為,預(yù)防各種潛在的違規(guī)操作行為。
三、總結(jié)
本文立足于制藥企業(yè)的網(wǎng)絡(luò)管理實(shí)際,擬定了三項網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的設(shè)計要點(diǎn),提出安全規(guī)劃,明確建設(shè)目標(biāo)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計以平臺安全、防治病毒、數(shù)據(jù)備份和審計為基點(diǎn),兼顧了整體性和可操作性,設(shè)計出符合線程化、立體化、系統(tǒng)化要求的安全架構(gòu),為制藥企業(yè)網(wǎng)絡(luò)安全應(yīng)用和管理提供了技術(shù)支持。
參考文獻(xiàn):
[1] 熊芳芳.淺談計算機(jī)網(wǎng)絡(luò)安全問題及其對策.電子世界.2012(11).
隨著智能手機(jī)、平板電腦等終端產(chǎn)品的普及,網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。面對新的網(wǎng)絡(luò)安全的威脅和攻擊,傳統(tǒng)的應(yīng)對手段也需要顛覆了。請關(guān)注—
隨著新的互聯(lián)網(wǎng)時代的到來,許多人已經(jīng)可以實(shí)現(xiàn)借助家里電腦、智能手機(jī)、平板電腦等終端進(jìn)行遠(yuǎn)程辦公,現(xiàn)今IT信息系統(tǒng)的架構(gòu)也發(fā)生了變化,導(dǎo)致網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。在近期舉辦的第二屆國家網(wǎng)絡(luò)安全宣傳周上,基于云端架構(gòu)的網(wǎng)絡(luò)安全防護(hù)體系正受到越來越多的追捧。
網(wǎng)絡(luò)安全問題越來越復(fù)雜
今年2月份,網(wǎng)絡(luò)安全公司卡巴斯基的一份分析報告顯示,黑客組織Carbanak在兩年內(nèi)連續(xù)攻擊了俄、烏、白等30多個國家的金融機(jī)構(gòu),造成損失達(dá)10億美元,引發(fā)了俄羅斯銀行業(yè)恐慌。
根據(jù)2012年的數(shù)據(jù),我國電子銀行交易筆數(shù)高達(dá)896.2億筆,交易規(guī)模為820萬億元,個人網(wǎng)銀用戶規(guī)模為2.1億戶。電子銀行替代率提高到72.3%,且到2016年時,該比率預(yù)計將達(dá)到82.3%。而與此同時,信息泄露、惡意軟件、釣魚網(wǎng)站等卻在不斷的威脅到網(wǎng)銀安全服務(wù),中國工商銀行(601398,股吧)安全部總經(jīng)理敦宏程表示,這些網(wǎng)絡(luò)上侵害金融安全的非法活動甚至已形成黑色產(chǎn)業(yè)鏈,相關(guān)組織內(nèi)分工明確。
“黑客最初是向目標(biāo)機(jī)構(gòu)的普通職員發(fā)送電子郵件,誘使他們打開一個包含惡意軟件的附件;突破職員電腦后,黑客會以此為跳板進(jìn)行滲透平移,找到并攻陷掌握銀行交易權(quán)限的高級管理人員;通過在管理人員的電腦植入木馬程序,分析得到合法賬號、密碼以及系統(tǒng)操作流程,最終冒充合法賬號成功轉(zhuǎn)移資產(chǎn)?!本W(wǎng)康科技執(zhí)行副總裁左英男介紹俄羅斯銀行大案時說,盡管俄羅斯警方幾年前已經(jīng)逮捕了8名犯罪團(tuán)伙成員,但攻擊并未停止。
“哪個網(wǎng)絡(luò)是不可信的?哪個網(wǎng)絡(luò)是可信的?這些概念已經(jīng)改變了。傳統(tǒng)的網(wǎng)絡(luò)安全理論是靜態(tài)、被動的,是一種防御性思維,已不適應(yīng)信息產(chǎn)業(yè)架構(gòu)的變化。隨著互聯(lián)網(wǎng)的云化和移動終端移動化趨勢,IT信息系統(tǒng)的架構(gòu)需要有新的手段去解決安全問題?!弊笥⒛姓f。
借助云端解決網(wǎng)絡(luò)安全
“安全問題永遠(yuǎn)是人與人之間的智力對抗,所謂魔高一尺道高一丈,但防御的一方永遠(yuǎn)處于被動地位,所以現(xiàn)在要改變這種防御策略,形成主動發(fā)現(xiàn)、主動打擊。這就是我們提出的下一代網(wǎng)絡(luò)安全架構(gòu),提供主動對抗的手段?!弊笥⒛薪榻B,下一代網(wǎng)絡(luò)安全架構(gòu)的一個重要特點(diǎn)就是智能協(xié)同,主動防御。云、邊界設(shè)備與終端設(shè)備之間都可以進(jìn)行聯(lián)動,使得架構(gòu)中“邊界”設(shè)備和“終端”設(shè)備的安全能力都得到了劃時代的提升,可以有效應(yīng)對已知和未知的高級威脅。
“更好的安全模型應(yīng)該是PDFP模型(Prediction預(yù)測、Detection檢測、Forensics取證、Protection防護(hù)),即假設(shè)IT系統(tǒng)存在無法預(yù)估的風(fēng)險,甚至認(rèn)為攻擊已經(jīng)發(fā)生只是人們尚未感知,此時必須進(jìn)行動態(tài)檢測,把異常的人員、行為、應(yīng)用、內(nèi)容等日志信息實(shí)時匯集到云分析中心,通過跨時空的大數(shù)據(jù)分析,迅速判定攻擊并進(jìn)行過程溯源,從而實(shí)施對抗策略。這個過程是動態(tài)的、主動的,是一種對抗型思維?!弊笥⒛薪忉專皩砦覀儠o客戶提供一個云管端的架構(gòu),部屬終端、部屬終結(jié)設(shè)備,會給他一個云賬號,登錄云賬號之后,能夠看到經(jīng)過大數(shù)據(jù)分析之后的結(jié)果,主機(jī)是否危險,內(nèi)部有哪些僵尸,都在干什么,有非常直觀的風(fēng)險信息提示?!?/p>
目前,為了防止用戶信息泄露和受到詐騙,當(dāng)前各大銀行紛紛采取措施,其中云技術(shù)、大數(shù)據(jù)等已被運(yùn)用。比如銀聯(lián)推出的虛擬銀行卡,可以直接使用手機(jī)來刷POS機(jī),而基于云端的安全機(jī)制將大大提高賬戶的安全性。
提高民眾的安全意識是關(guān)鍵
“網(wǎng)絡(luò)安全問題并不僅僅是一個行業(yè)、一個企業(yè)的行為,它還需要整個全民網(wǎng)絡(luò)安全意識的提高,以及整個社會網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建?!弊笥⒛姓f。
中國工商銀行安全部總經(jīng)理敦宏程表示,相對銀行采取的種種措施,民眾的網(wǎng)絡(luò)安全意識仍然是抵御網(wǎng)絡(luò)金融詐騙和信息泄露的第一道關(guān)口?!坝脩舻陌踩庾R,實(shí)際上相對來說是各個環(huán)節(jié)中最薄弱的環(huán)節(jié),工商銀行為此提供了很多安全措施,都是針對客戶安全意識不足做的補(bǔ)充措施?!?/p>
關(guān)鍵詞:終端準(zhǔn)入 網(wǎng)絡(luò)安全 802.1x EAD
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)06-0014-02
1 引言
在創(chuàng)新無處不在的IT世界里,從要求可用性到安全性再到高效率,只經(jīng)歷了短短的幾年時間。如何對終端設(shè)備進(jìn)行高效、安全、全方位控制一直都困擾著眾多IT管理者,由于終端設(shè)備數(shù)量多、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊,而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高,導(dǎo)致了終端成為整個IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán),對終端問題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一,它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。
終端作為網(wǎng)絡(luò)的關(guān)鍵組成和服務(wù)對象,其安全性受到極大關(guān)注。終端準(zhǔn)入控制技術(shù)是網(wǎng)絡(luò)安全一個重要的研究方向,它通過身份認(rèn)證和完整性檢查,依據(jù)預(yù)先設(shè)定的安全策略,通過軟硬件結(jié)合的方式控制終端的訪問權(quán)限,能有效限制不可信、非安全終端對網(wǎng)絡(luò)的訪問,從而達(dá)到保護(hù)網(wǎng)絡(luò)及終端安全的目的。終端準(zhǔn)入控制技術(shù)的研究與應(yīng)用對于提高網(wǎng)絡(luò)安全性,保障機(jī)構(gòu)正常運(yùn)轉(zhuǎn)具有重要作用;對于機(jī)構(gòu)解決信息化建設(shè)中存在的安全問題具有重要意義。目前,終端準(zhǔn)入控制技術(shù)已經(jīng)得到較大的發(fā)展和應(yīng)用,在安全領(lǐng)域起到越來越重要的作用。
2 發(fā)展現(xiàn)狀
為了解決網(wǎng)絡(luò)安全問題,安全專家相繼提出了新的理念。上世紀(jì)90年代以來,國內(nèi)外提出了主動防御、可信計算等概念,認(rèn)為安全應(yīng)該回歸終端,以終端安全為核心來解決信息系統(tǒng)的安全問題。
3 終端準(zhǔn)動模型
H3C終端準(zhǔn)入控制解決方案(EAD,End user Admission Domination)從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過智能客戶端、安全策略服務(wù)器、聯(lián)動設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端按需實(shí)施靈活的安全策略,并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,極大地加強(qiáng)了企業(yè)用戶終端的主動防御能力,為企業(yè)IT管理人員提供了高效、易用的管理工具。
4 終端準(zhǔn)入控制過程
EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式。通過身份認(rèn)證之后,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、是否有等安全認(rèn)證檢查。通過安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò),同時EAD將對終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計。若未通過安全認(rèn)證,則將用戶放入隔離區(qū),直到用戶通過安全認(rèn)證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。
5 終端準(zhǔn)入控制策略的實(shí)現(xiàn)
5.1 接入用戶身份認(rèn)證
為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD通過交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過Windows域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實(shí)現(xiàn)了Windows 域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾,避免了用戶二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認(rèn)證流程,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如圖3所示。
5.2 安全策略狀態(tài)評估
EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過智能客戶端實(shí)時檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動控制,完成對用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查,可以正常訪問授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強(qiáng)制放入隔離區(qū)內(nèi),直至通過安全策略檢查才可訪問授權(quán)的網(wǎng)絡(luò)資源。
5.3 EAD與iMC融合管理
EAD通過與iMC(開放智能管理中樞,Intelligent Management Center)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對用戶的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺實(shí)現(xiàn)了對網(wǎng)絡(luò)、安全、存儲、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實(shí)現(xiàn)了行為審計、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開放式管理體驗(yàn)。
6 結(jié)語
在未實(shí)施終端準(zhǔn)入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動,雖制定完善的IT管理制度,但不能有效實(shí)行,比如不能及時升級系統(tǒng)補(bǔ)丁,不能及時升級殺毒軟件病毒庫,不能實(shí)時監(jiān)控用戶軟件安裝,不能實(shí)時監(jiān)控計算機(jī)硬件信息等問題。通過實(shí)施終端準(zhǔn)入解決方案,降低了來自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。
參考文獻(xiàn)
[1]周超,周城,丁晨路.計算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù).計算機(jī)系統(tǒng)應(yīng)用,2011,20(1):89—94.
[2]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案.醫(yī)院數(shù)字化,2011,26(11):30-32.
[3]成大偉,呂鋒.支持802.1x的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在企業(yè)中的應(yīng)用.中國科技博覽,2012,27:296.
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級別:省級期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫