前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全改善方案主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]移動(dòng)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防護(hù)技術(shù)
引言
根據(jù)工信部提供的數(shù)據(jù),截至2018年3月,我國(guó)移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)高達(dá)13.2億,同比增加16.1%,移動(dòng)網(wǎng)絡(luò)用戶數(shù)量的持續(xù)增加,不僅催生了新的經(jīng)濟(jì)業(yè)態(tài),便捷了用戶生活,也誘發(fā)了信息數(shù)據(jù)丟失、泄露等安全問(wèn)題。為保持移動(dòng)網(wǎng)絡(luò)的安全性與穩(wěn)定性,研究團(tuán)隊(duì)與技術(shù)人員需要從安全防護(hù)技術(shù)的角度出發(fā),厘清設(shè)計(jì)需求,強(qiáng)化技術(shù)創(chuàng)新,逐步構(gòu)建起完備的移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系。
1移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)概述
探討移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)構(gòu)成與類型,有助于技術(shù)人員形成正確的觀念認(rèn)知,掌握移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的特點(diǎn),梳理后續(xù)安全防護(hù)技術(shù)的設(shè)計(jì)需求,為安全防護(hù)技術(shù)的科學(xué)應(yīng)用提供方向性引導(dǎo)。隨著移動(dòng)網(wǎng)絡(luò)技術(shù)的日益成熟,移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)逐步完善,可以充分滿足不同場(chǎng)景下的網(wǎng)絡(luò)安全防護(hù)基本要求。具體來(lái)看,現(xiàn)階段移動(dòng)網(wǎng)絡(luò)安全機(jī)制較為健全、完善,形成了網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用安全等幾個(gè)層級(jí)[1],實(shí)現(xiàn)了移動(dòng)網(wǎng)絡(luò)的傳輸層、服務(wù)層以及應(yīng)用層的有效聯(lián)動(dòng),強(qiáng)化了對(duì)移動(dòng)網(wǎng)絡(luò)入網(wǎng)用戶的身份識(shí)別能力,以更好地提升移動(dòng)通信網(wǎng)絡(luò)的安全防護(hù)能力,相關(guān)技術(shù)構(gòu)成如圖1所示。網(wǎng)絡(luò)接入安全保護(hù)技術(shù)的作用,使得用戶可以通過(guò)身份識(shí)別等方式,快速接入到移動(dòng)網(wǎng)絡(luò)之中,從而規(guī)避無(wú)線鏈路攻擊風(fēng)險(xiǎn),保證網(wǎng)絡(luò)運(yùn)行的安全性,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過(guò)構(gòu)建網(wǎng)絡(luò)安全域安全技術(shù)模塊,對(duì)移動(dòng)網(wǎng)絡(luò)中的數(shù)據(jù)交互路徑采取加密保護(hù)等相關(guān)舉措,可以降低數(shù)據(jù)丟失或者泄露的風(fēng)險(xiǎn)。與其他網(wǎng)絡(luò)不同,移動(dòng)網(wǎng)絡(luò)用戶相對(duì)而言較為固定,用戶群體較為明顯,這種特性使得在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)應(yīng)用過(guò)程中,可以通過(guò)簽約用戶識(shí)別模塊,形成移動(dòng)實(shí)體/通用簽約用戶識(shí)別模塊(UniversalSubscriberIdentityModule,USIM)安全環(huán)境,實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)安全防護(hù)的靈活化、有效化,依托移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù),使得電信運(yùn)營(yíng)商的服務(wù)質(zhì)量顯著提升,更好地滿足不同場(chǎng)景下、不同用戶群體的移動(dòng)網(wǎng)絡(luò)使用需求[2]。隨著5G網(wǎng)絡(luò)的日益成熟,移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)也需要做出相應(yīng)的轉(zhuǎn)變,通過(guò)形成移動(dòng)通信網(wǎng)絡(luò)安全平臺(tái),實(shí)現(xiàn)硬件系統(tǒng)與軟件系統(tǒng)的聯(lián)動(dòng),構(gòu)建起平臺(tái)式、生態(tài)化的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)機(jī)制,最大限度地保證用戶信息的安全性與有效性。
2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)需求
移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)涉及的技術(shù)類型較為多元,為有效整合安全防護(hù)技術(shù)資源,技術(shù)人員應(yīng)當(dāng)明確安全防護(hù)技術(shù)需求,在技術(shù)需求導(dǎo)向下,提升移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用的有效性。
2.1移動(dòng)通信網(wǎng)絡(luò)面臨的主要威脅
移動(dòng)通信網(wǎng)絡(luò)在使用過(guò)程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴(yán)重,用戶個(gè)人信息數(shù)據(jù)丟失案例逐年上升,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。出現(xiàn)這種情況的主要原因在于,移動(dòng)通信網(wǎng)絡(luò)經(jīng)過(guò)多年發(fā)展,其形成以網(wǎng)絡(luò)應(yīng)用服務(wù)為核心,以移動(dòng)終端為平臺(tái)的應(yīng)用場(chǎng)景[3]。這種技術(shù)特性,使得越來(lái)越多的用戶愿意通過(guò)移動(dòng)通信網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的訪問(wèn)。數(shù)據(jù)訪問(wèn)的完成,固然提升了用戶的使用體驗(yàn),但是移動(dòng)通信網(wǎng)絡(luò)在通過(guò)空中接口傳輸數(shù)據(jù)的過(guò)程中,出現(xiàn)數(shù)據(jù)截流或者丟失的概率也相對(duì)較大。移動(dòng)通信網(wǎng)絡(luò)具有較強(qiáng)的開(kāi)放性,用戶可以根據(jù)自身的需要,進(jìn)行網(wǎng)絡(luò)資源的獲取與訪問(wèn),這種開(kāi)放性,無(wú)形之中增加了安全事件的發(fā)生概率。這些移動(dòng)通信網(wǎng)絡(luò)安全威脅要素的存在,勢(shì)必要求技術(shù)人員快速做出思路的轉(zhuǎn)變,通過(guò)技術(shù)創(chuàng)新與優(yōu)化,持續(xù)增強(qiáng)技術(shù)的安全性。
2.2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)基本要求
2.2.1基于體系安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)為改善移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)能力,有效應(yīng)對(duì)各類外部風(fēng)險(xiǎn),避免數(shù)據(jù)竊取或者泄漏等情況的發(fā)生。在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)工中,需要以平臺(tái)為基礎(chǔ),豐富安全防護(hù)的路徑與場(chǎng)景,基于這種技術(shù)思路,我國(guó)相關(guān)安全技術(shù)團(tuán)隊(duì)提出了平臺(tái)化的解決方案。將移動(dòng)通信網(wǎng)絡(luò)終端作為主要平臺(tái),對(duì)終端實(shí)體設(shè)備與網(wǎng)絡(luò)之間的初始認(rèn)證路徑、認(rèn)證頻次等做出適當(dāng)?shù)恼{(diào)整,形成安全信息的交互,這種平臺(tái)式的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù),不僅可以提升實(shí)際的防護(hù)能力,還在很大程度上降低了移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用成本,避免了額外費(fèi)用的產(chǎn)生,穩(wěn)步提升了移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的實(shí)用性與可行性[4]。
2.2.2基于終端安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)終端是移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、交互、使用的重要媒介,基于這種認(rèn)知,技術(shù)人員需要將終端作為安全防護(hù)的重要領(lǐng)域,通過(guò)技術(shù)的創(chuàng)新,打造完備的終端安全防護(hù)機(jī)制體系。例如,目前較為成熟的第三代移動(dòng)通信網(wǎng)絡(luò)的認(rèn)證與密鑰協(xié)商協(xié)議(AuthenticationandKeyAgreement,AKA),其根據(jù)終端特性,設(shè)置了可信計(jì)算安全結(jié)構(gòu),這種安全結(jié)構(gòu)以可信移動(dòng)平臺(tái)、公鑰基礎(chǔ)設(shè)施作為框架,將用戶終端中嵌入敏感服務(wù),形成魯棒性終端安全平臺(tái),從實(shí)踐效果來(lái)看,這種安全認(rèn)證技術(shù)方案,不僅可以識(shí)別各類終端攻擊行為,消除各類安全風(fēng)險(xiǎn),其技術(shù)原理相對(duì)簡(jiǎn)單,實(shí)現(xiàn)難度較小,在實(shí)踐環(huán)節(jié),表現(xiàn)出明顯的實(shí)踐優(yōu)勢(shì)。
3移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系的構(gòu)建
移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從實(shí)際出發(fā),在做好防護(hù)技術(shù)設(shè)計(jì)需求分析的基礎(chǔ)上,依托現(xiàn)有的技術(shù)手段,建立起完備的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用體系,實(shí)現(xiàn)安全防護(hù)體系的健全與完善。
3.1應(yīng)用可信服務(wù)安全防護(hù)技術(shù)方案
基于移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)要求,技術(shù)人員應(yīng)當(dāng)將平臺(tái)作為基礎(chǔ),形成以移動(dòng)可信計(jì)算模塊為核心的安全防護(hù)技術(shù)體系。從實(shí)際情況來(lái)看,移動(dòng)可信計(jì)算模塊具有較強(qiáng)的獨(dú)立性,可以為用戶提供可靠的信息安全通道,對(duì)于移動(dòng)通信網(wǎng)絡(luò)終端安裝的各類操作軟件進(jìn)行合法性檢測(cè),對(duì)于沒(méi)有獲得授權(quán)的軟件,禁止安裝與運(yùn)行。這種技術(shù)處理方案實(shí)用性較強(qiáng),具備較高的使用價(jià)值。
3.2應(yīng)用安全服務(wù)器防護(hù)技術(shù)方案
為降低移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用難度,技術(shù)人員將安全服務(wù)器納入防護(hù)技術(shù)方案中,通過(guò)安全服務(wù)器,移動(dòng)通信網(wǎng)絡(luò)可以在較短的時(shí)間內(nèi)完成移動(dòng)端軟件完整性評(píng)估與合法性查詢,通過(guò)這種輔助功能,移動(dòng)通信網(wǎng)絡(luò)使用的各類硬件、軟件保持在安全運(yùn)行狀態(tài),實(shí)現(xiàn)對(duì)各類安全事件的評(píng)估與應(yīng)對(duì),以保證安全防護(hù)成效。在安全服務(wù)器防護(hù)技術(shù)設(shè)置上,技術(shù)人員需要針對(duì)性地做好查詢功能的設(shè)置工作,為移動(dòng)終端提供軟件合法性查詢服務(wù)。這種技術(shù)機(jī)制使得安全服務(wù)器可以對(duì)移動(dòng)終端安裝或者運(yùn)行軟件進(jìn)行系統(tǒng)化查詢。例如,根據(jù)需要,對(duì)安裝或者運(yùn)行軟件的合法性進(jìn)行審查。審查過(guò)程中,終端通過(guò)本地的MTM進(jìn)行查詢,如沒(méi)有獲得查詢結(jié)果,則發(fā)出查詢申請(qǐng),安全服務(wù)器在接受申請(qǐng)后,進(jìn)行系列安全查詢,并將查詢結(jié)果及時(shí)反饋給終端。在安全服務(wù)器使用過(guò)程中,還需要做好升級(jí)工作。例如,加強(qiáng)與軟件提供商的技術(shù)溝通,通過(guò)技術(shù)溝通,做好軟件安全性、合法性信息的生成,實(shí)現(xiàn)軟件的備案。還要持續(xù)提升運(yùn)營(yíng)網(wǎng)絡(luò)的接入網(wǎng)服務(wù)器交互功能,逐步強(qiáng)化移動(dòng)終端完整性的整體性接入能力,保證移動(dòng)終端的安全性與整體性。
3.3應(yīng)用大數(shù)據(jù)下安全防護(hù)技術(shù)方案
大數(shù)據(jù)背景下,移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從安全監(jiān)測(cè)、安全響應(yīng)、系統(tǒng)恢復(fù)等層面出發(fā),形成完備的安全防護(hù)機(jī)制。在安全監(jiān)測(cè)模塊設(shè)計(jì)環(huán)節(jié),技術(shù)人員通過(guò)入侵監(jiān)測(cè)技術(shù)、網(wǎng)絡(luò)深度過(guò)濾技術(shù)、網(wǎng)絡(luò)抓包技術(shù)得以對(duì)移動(dòng)通信網(wǎng)絡(luò)漏洞開(kāi)展評(píng)估與分析,并根據(jù)評(píng)估結(jié)果,進(jìn)行網(wǎng)絡(luò)安全補(bǔ)丁的下載,從而避免病毒等非法入侵行為的發(fā)生[5]。相應(yīng)安全技術(shù)研發(fā)過(guò)程中,依托殺毒軟件、防火墻等現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)方案,確保移動(dòng)通信網(wǎng)絡(luò)在遭受攻擊后,可以快速響應(yīng),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的查殺,確保信息數(shù)據(jù)的安全性。要做好網(wǎng)絡(luò)終端數(shù)據(jù)的備份,定期進(jìn)行移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)的備份,一旦出現(xiàn)信息泄露或者網(wǎng)絡(luò)遭受攻擊的情況,讓技術(shù)人員可以通過(guò)備份技術(shù),快速完成數(shù)據(jù)的恢復(fù),將信息泄露的損失降到最低。
關(guān)鍵詞:物聯(lián)網(wǎng)專業(yè);網(wǎng)絡(luò)安全;課程建設(shè)
作者簡(jiǎn)介:姚?。?974-),男,安徽合肥人,江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院,講師,江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院博士研究生。(江蘇 無(wú)錫
214122)
中圖分類號(hào):G642.0 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-0079(2013)22-0107-02
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)等信息技術(shù)的迅猛發(fā)展,物聯(lián)網(wǎng)時(shí)代來(lái)臨了。物聯(lián)網(wǎng)是指物品通過(guò)各種信息傳感設(shè)備如射頻識(shí)別、紅外感應(yīng)器、全球定位系統(tǒng)及激光掃描器等信息傳感設(shè)備,按約定的協(xié)議,把任何物品與互聯(lián)網(wǎng)連接起來(lái),進(jìn)行信息交換和通信,以實(shí)現(xiàn)智能化識(shí)別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。[1]目前世界先進(jìn)國(guó)家都對(duì)物聯(lián)網(wǎng)技術(shù)發(fā)展高度重視。美國(guó)把物聯(lián)網(wǎng)確立為新一輪國(guó)際競(jìng)爭(zhēng)優(yōu)勢(shì)的關(guān)鍵戰(zhàn)略。在我國(guó),從2009年到現(xiàn)在,總理多次明確指出物聯(lián)網(wǎng)發(fā)展的重要性和緊迫性。
然而,物聯(lián)網(wǎng)技術(shù)的快速、健康和可持續(xù)發(fā)展離不開(kāi)物聯(lián)網(wǎng)人才的培養(yǎng)。因此結(jié)合我國(guó)當(dāng)前社會(huì)、經(jīng)濟(jì)和物聯(lián)網(wǎng)發(fā)展現(xiàn)狀,制定符合中國(guó)國(guó)情的物聯(lián)網(wǎng)人才培養(yǎng)戰(zhàn)略是當(dāng)務(wù)之急。2011年3月,教育部正式公布了戰(zhàn)略性新興產(chǎn)業(yè)相關(guān)本科新增專業(yè)名單。此次全國(guó)高校新設(shè)本科專業(yè)140個(gè),有30所高校均增設(shè)了物聯(lián)網(wǎng)工程專業(yè)。這些專業(yè)自2011年開(kāi)始招生。鑒于物聯(lián)網(wǎng)是一門集計(jì)算機(jī)、電子信息、通信、自動(dòng)化等多學(xué)科的交叉新興學(xué)科,很多工科類大學(xué)新建立的物聯(lián)網(wǎng)工程專業(yè)都是從現(xiàn)有專業(yè)中抽調(diào)教師,除了根據(jù)專業(yè)特點(diǎn)安排一些新課程以外,很多課程都是交叉學(xué)科的課程,比如反映物聯(lián)網(wǎng)安全的信息安全專業(yè)的“網(wǎng)絡(luò)安全”課程。本文就如何上好物聯(lián)網(wǎng)工程專業(yè)中的“網(wǎng)絡(luò)安全”課程做一些探討和研究。
物聯(lián)網(wǎng)可以說(shuō)是把“雙刃劍”,安全可靠的物聯(lián)網(wǎng)可以幫助人們改變生產(chǎn)生活方式,大幅度提高人們生產(chǎn)生活的效率,反之,如果因?yàn)榘踩珕?wèn)題造成局部或全局系統(tǒng)的癱瘓,也會(huì)極大影響人們的正常生產(chǎn)生活。所以,安全問(wèn)題是物聯(lián)網(wǎng)中的一個(gè)重要問(wèn)題?!熬W(wǎng)絡(luò)安全”課程就是針對(duì)物聯(lián)網(wǎng)中與各種通信網(wǎng)絡(luò)有關(guān)的安全問(wèn)題所設(shè)的一門課程。
“網(wǎng)絡(luò)安全”課程講授的是網(wǎng)絡(luò)安全最基礎(chǔ)的原理、技術(shù)及方法,知識(shí)更新快,交叉學(xué)科多,知識(shí)面廣,難以掌握。這些特點(diǎn)要求“網(wǎng)絡(luò)安全”課程課時(shí)較長(zhǎng),理論教學(xué)與動(dòng)手實(shí)踐并重,教師的教學(xué)手段多樣,學(xué)生的動(dòng)手能力較強(qiáng)。
一、樹(shù)立正確的教學(xué)指導(dǎo)思想
“網(wǎng)絡(luò)安全”作為信息安全專業(yè)的一門綜合性課程,其前導(dǎo)專業(yè)課程較多,涉及的技術(shù)、知識(shí)面較廣,部分內(nèi)容晦澀難懂,學(xué)生普遍反映學(xué)習(xí)、掌握的難度較大。而物聯(lián)網(wǎng)工程專業(yè)也是一個(gè)多學(xué)科交叉的專業(yè),學(xué)生如果想要達(dá)到本專業(yè)的培養(yǎng)目標(biāo),需要在有限的時(shí)間里學(xué)量課程。所以,物聯(lián)網(wǎng)工程專業(yè)的“網(wǎng)絡(luò)安全”課程安排的學(xué)時(shí)數(shù)不可能達(dá)到信息安全專業(yè)中的水平。另外,物聯(lián)網(wǎng)的網(wǎng)絡(luò)是互聯(lián)網(wǎng)的延展,這也增加了新的學(xué)習(xí)內(nèi)容。如何在有限的教學(xué)學(xué)時(shí)內(nèi),不但把基本理論、基本知識(shí)講深講透并且能讓學(xué)生同時(shí)掌握一定的動(dòng)手能力是任課教師的一項(xiàng)艱巨任務(wù)。[2]
要想讓物聯(lián)網(wǎng)工程專業(yè)的學(xué)生學(xué)好“網(wǎng)絡(luò)安全”課程,首先要樹(shù)立正確的教學(xué)指導(dǎo)思想。
1.理論教學(xué)與實(shí)踐教學(xué)并重
這是由“網(wǎng)絡(luò)安全”課程的特點(diǎn)決定的。“網(wǎng)絡(luò)安全”課程的理論教學(xué)涵蓋了網(wǎng)絡(luò)安全體系結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全工程三大部分。
(1)網(wǎng)絡(luò)安全體系結(jié)構(gòu)描述網(wǎng)絡(luò)信息體系結(jié)構(gòu)在滿足安全需求方面各基本元素之間的關(guān)系,反映信息系統(tǒng)安全需求和網(wǎng)絡(luò)體系結(jié)構(gòu)的共性,并由此派生了相應(yīng)的網(wǎng)絡(luò)安全協(xié)議、技術(shù)和標(biāo)準(zhǔn)。[3]這一部分內(nèi)容相對(duì)枯燥,卻是本門課程的基礎(chǔ)。可以通過(guò)一些軟件演示來(lái)改善學(xué)習(xí)效果,比如可以通過(guò)sniffer軟件來(lái)實(shí)時(shí)演示如何抓包并分析包的協(xié)議字段。這些包都是平時(shí)學(xué)生上網(wǎng)時(shí)常見(jiàn)的,由此可以提高學(xué)生的學(xué)習(xí)興趣。
(2)單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品不能解決網(wǎng)絡(luò)安全的全部問(wèn)題。應(yīng)綜合運(yùn)用各種網(wǎng)絡(luò)安全技術(shù),包括防火墻、VPN、IPSec、黑客技術(shù)、漏洞掃描、入侵檢測(cè)、惡意代碼和病毒的防治、系統(tǒng)平臺(tái)安全及應(yīng)用安全。[3]這是“網(wǎng)絡(luò)安全”所教授的主要內(nèi)容,既有基本理論需要掌握,也需要大量的實(shí)踐來(lái)保證教學(xué)效果。由于學(xué)時(shí)有限,可以采用課堂講授基本理論,課下根據(jù)學(xué)生的興趣另外安排實(shí)踐的方式。
(3)對(duì)網(wǎng)絡(luò)安全進(jìn)行的綜合處理,要從體系結(jié)構(gòu)的角度,用系統(tǒng)工程的方法,貫穿網(wǎng)絡(luò)安全設(shè)計(jì)、開(kāi)放、部署、運(yùn)行、管理和評(píng)估的全過(guò)程。[3]這一部分也是既有理論也有實(shí)踐,但實(shí)踐的不是具體的技術(shù)。需要學(xué)生對(duì)(1)、(2)部分的掌握比較扎實(shí)。這部分可以結(jié)合案例來(lái)講授,以提高吸引力。
這里要糾正一種過(guò)于偏重實(shí)踐能力培養(yǎng)的教學(xué)傾向?!熬W(wǎng)絡(luò)安全”課程有大量的實(shí)踐內(nèi)容,但這些實(shí)踐必須建立在扎實(shí)的理論基礎(chǔ)之上,教學(xué)過(guò)程中要糾正學(xué)生熱衷做試驗(yàn)而忽視理論學(xué)習(xí)的不良傾向。
2.教學(xué)指導(dǎo)與自主學(xué)習(xí)并重
由于“網(wǎng)絡(luò)安全”課程的內(nèi)容涉及面非常廣,僅僅課堂學(xué)習(xí)是遠(yuǎn)遠(yuǎn)不夠的。所以在教學(xué)實(shí)踐中,既需要任課教師提供及時(shí)的理論支持和技術(shù)支持,更需要學(xué)生進(jìn)行高效率自主學(xué)習(xí),包括課前預(yù)習(xí)、課后復(fù)習(xí),并積極利用學(xué)校各種資源如圖書(shū)館、互聯(lián)網(wǎng)、機(jī)房等,幫助理解和掌握理論知識(shí),加強(qiáng)發(fā)現(xiàn)問(wèn)題解決問(wèn)題的能力。任課教師要充分利用網(wǎng)絡(luò)的便利性,建立課程網(wǎng)站以及能同步或異步互動(dòng)的論壇,通過(guò)與學(xué)生的互動(dòng),既可以提高學(xué)生的學(xué)習(xí)興趣,解決課時(shí)有限的問(wèn)題,同時(shí)也激勵(lì)教師不斷跟上新技術(shù),改善教師理論較強(qiáng)而相對(duì)實(shí)踐較弱的問(wèn)題。
二、采用多樣化的教學(xué)手段
良好的教學(xué)手段是提高教學(xué)質(zhì)量的重要環(huán)節(jié)。教學(xué)過(guò)程中可以充分利用現(xiàn)代科技提供的各種工具,根據(jù)教學(xué)內(nèi)容的不同采用與之相適應(yīng)的教學(xué)方法,既繼承了傳統(tǒng)方法的優(yōu)點(diǎn),又能克服傳統(tǒng)方法的缺陷。
1.現(xiàn)代化的教學(xué)手段
現(xiàn)代化的教學(xué)手段中,以計(jì)算機(jī)為基礎(chǔ)的多媒體教學(xué)無(wú)疑是最常用的手段??梢酝ㄟ^(guò)播放課前制作的動(dòng)畫(huà)、剪輯的與安全有關(guān)的科幻電影片段等,使抽象的網(wǎng)絡(luò)安全理論更加生動(dòng)、形象,既提高了教學(xué)效率,也能對(duì)重點(diǎn)、難點(diǎn)問(wèn)題進(jìn)行較為透徹的講解。
建立課程網(wǎng)站(含論壇)是另一個(gè)重要的教學(xué)輔助手段。課程網(wǎng)站包含任課教師收集的所有與課程有關(guān)的資料,格式包括文本、圖形、圖像、聲音和視頻,內(nèi)容涵蓋課程規(guī)劃、任課教師隊(duì)伍、教學(xué)課件、參考資料、習(xí)題與解答、實(shí)踐等。學(xué)生可以各取所需。同時(shí)論壇提供了一種教師與學(xué)生的互動(dòng)模式。
本文提出了另一種形式的互動(dòng),即建立QQ群。QQ是一種即時(shí)通信工具,提供了強(qiáng)大的即時(shí)通信功能,而且它有著廣泛的應(yīng)用基礎(chǔ)。任課教師以課程為單位建立QQ群,所有“網(wǎng)絡(luò)安全”課程的任課教師和學(xué)生都加入群中,大家可以通過(guò)文字、語(yǔ)音、視頻等方式共同探討問(wèn)題,也可以在群里建立臨時(shí)或長(zhǎng)期討論組,就某些小群體關(guān)心的問(wèn)題進(jìn)行討論。學(xué)生可以利用QQ群提供的共享區(qū)共享各種資料,還可以利用遠(yuǎn)程協(xié)作功能實(shí)時(shí)、共同地完成某項(xiàng)任務(wù)。
2.案例輔助教學(xué)
物聯(lián)網(wǎng)就在身邊,而物聯(lián)網(wǎng)的安全案例也隨時(shí)隨地可以發(fā)現(xiàn);同時(shí),“網(wǎng)絡(luò)安全”是一門綜合性課程,知識(shí)點(diǎn)分散、課程內(nèi)容更新速度快、實(shí)踐性強(qiáng)。通過(guò)案例教學(xué),讓學(xué)生應(yīng)用所學(xué)的理論知識(shí)分析和認(rèn)識(shí)網(wǎng)絡(luò)安全事件和解決方案,以提高學(xué)生綜合運(yùn)用知識(shí)的能力。在教學(xué)過(guò)程中,可以有針對(duì)性選取有代表性、實(shí)效性和實(shí)戰(zhàn)性的案例,教師和學(xué)生在案例教學(xué)中分別找準(zhǔn)自己的定位,教師要扮演幫助者和引導(dǎo)者的角色,而學(xué)生要站在網(wǎng)絡(luò)安全技術(shù)人員的角度去發(fā)現(xiàn)問(wèn)題解決問(wèn)題。教師還要對(duì)案例討論進(jìn)行總結(jié)和評(píng)價(jià)。[4]
3.成立興趣小組
網(wǎng)絡(luò)安全知識(shí)點(diǎn)分散,需要較強(qiáng)的實(shí)踐能力??梢越Y(jié)合學(xué)院發(fā)起的“大學(xué)生創(chuàng)新項(xiàng)目”,學(xué)生根據(jù)自己的興趣點(diǎn),利用所學(xué)的知識(shí),針對(duì)某個(gè)安全問(wèn)題提出解決方案并最終在指導(dǎo)教師的幫助下完成所申請(qǐng)的創(chuàng)新項(xiàng)目。既鍛煉了學(xué)生的調(diào)研、自學(xué)、解決問(wèn)題的能力,又可以讓學(xué)生提前進(jìn)入模擬工作環(huán)境,給他們今后走上工作崗位添加自信。
三、建立合理的評(píng)價(jià)體系
各種教學(xué)手段的應(yīng)用極大地豐富了教學(xué)過(guò)程,同時(shí)也帶來(lái)如何評(píng)價(jià)學(xué)生成績(jī)的難題。傳統(tǒng)“填鴨式”教學(xué)很容易給學(xué)生的表現(xiàn)打分,但這種打分只停留在學(xué)生死記硬背的基礎(chǔ)上,最后考試的成績(jī)不能真實(shí)地反映學(xué)生水平。
1.課堂提問(wèn)與作業(yè)反饋的評(píng)價(jià)相結(jié)合
任課教師可以在課堂上就某個(gè)問(wèn)題對(duì)學(xué)生提問(wèn),然后根據(jù)學(xué)生的回答給出相應(yīng)的分?jǐn)?shù)。課后作業(yè)一定程度上反映了學(xué)生學(xué)習(xí)的認(rèn)真程度和對(duì)課程知識(shí)的理解程度,教師批改后也給予分?jǐn)?shù),這些分?jǐn)?shù)在最終考評(píng)中都占有一定的比例。
2.理論基礎(chǔ)與動(dòng)手能力的評(píng)價(jià)相結(jié)合
這可以通過(guò)兩種方案來(lái)實(shí)現(xiàn)。一是在課程考試時(shí)采用筆試和機(jī)試相結(jié)合的方式。筆試主要測(cè)試基礎(chǔ)知識(shí)和理論,機(jī)試主要測(cè)試學(xué)生動(dòng)手能力;二是在平時(shí)階段性地要求學(xué)生完成一些作品,提交結(jié)果報(bào)告,并打分。期末考試仍然筆試。第一種方案強(qiáng)調(diào)分析問(wèn)題解決問(wèn)題的能力,第二種方案強(qiáng)調(diào)創(chuàng)新和綜合運(yùn)用的能力。任課教師在教學(xué)過(guò)程中對(duì)這兩種方案既可以挑一使用,也可以混合使用。
參考文獻(xiàn):
[1]胡向東.物聯(lián)網(wǎng)研究與發(fā)展綜述[J].數(shù)字通信,2010,(2):19-23.
[2]張軍.非計(jì)算機(jī)專業(yè)“計(jì)算機(jī)網(wǎng)絡(luò)”教學(xué)改革實(shí)踐[J].廣東工業(yè)大學(xué)學(xué)報(bào),2006,(12):103-104.
今年4月,本田汽車零件制造有限公司決心改善網(wǎng)絡(luò)安全狀況??紤]到公司屬于中小企業(yè),缺乏資金、人員、技術(shù)等實(shí)際情況,經(jīng)過(guò)對(duì)多家安全廠商及產(chǎn)品的多方面考察,選擇了安裝趨勢(shì)科技專門為中小企業(yè)量身定做的CSM(中小企業(yè)安全軟件包)。幾個(gè)月下來(lái),CSM就像一位不下班的IT助手,能夠全天候、不間斷、全自動(dòng)地監(jiān)控、響應(yīng)和防范來(lái)自互聯(lián)網(wǎng)的各種威脅,使公司網(wǎng)絡(luò)環(huán)境得到很大改善。
靈活掌握網(wǎng)頁(yè)式主控臺(tái)
CSM提供基于客戶端和服務(wù)器的兩種不同服務(wù)模式。在普通電腦上,只需要安裝客戶端類型,CSM只相當(dāng)于一個(gè)單機(jī)版防病毒軟件;指定一臺(tái)服務(wù)器電腦,同時(shí)安裝兩種類型,就可以通過(guò)服務(wù)器電腦管理局域網(wǎng)中的所有電腦了。其客戶端配置鎖定功能還有助于避免客戶端任意篡改或屏蔽病毒防護(hù)配置。
通過(guò)服務(wù)器電腦上的網(wǎng)頁(yè)式網(wǎng)絡(luò)安全主控臺(tái),可以通過(guò)單一接口對(duì)所有客戶端進(jìn)行遠(yuǎn)程管理和故障診斷等專業(yè)化的管理,由于CSM設(shè)計(jì)簡(jiǎn)潔而清晰,所有客戶端電腦的一舉一動(dòng)都能一覽無(wú)余。
輕松指揮全天候
CSM這位“虛擬網(wǎng)管員”解決了公司沒(méi)有專職IT管理人員煩惱。通過(guò)后臺(tái)的趨勢(shì)科技安全專家,CSM提供7×24小時(shí)全天候自動(dòng)警戒服務(wù),不需人工干預(yù),也不必手動(dòng)操作,就可以隨時(shí)保持最新的防毒保護(hù),還可以定期與趨勢(shì)科技TrendLabs解毒中心核對(duì),是否有任何更新快速的更新流程,真正能降低潛在的風(fēng)險(xiǎn)。
為了節(jié)省時(shí)間,兼職管理員設(shè)置了自動(dòng)查殺病毒功能,就可以安心做其他工作了。出現(xiàn)病毒情況比較嚴(yán)重時(shí)才采用手動(dòng)殺毒。另外,CSM可以對(duì)病毒的處理進(jìn)行預(yù)設(shè),可以根據(jù)每臺(tái)客戶端電腦的具體情況分別設(shè)置掃描、清除、隔離或刪除等處理方式。當(dāng)病毒查殺完成后,只需要查看CSM形成清晰細(xì)致的日志報(bào)告就可對(duì)整個(gè)網(wǎng)絡(luò)安全狀況一覽無(wú)余。
將多種威脅一網(wǎng)打盡
以前的防病毒軟件功能單一,很多新型威脅根本無(wú)法防范,而CSM能夠全面防范病毒、特洛伊木馬、蠕蟲(chóng)、間諜軟件、垃圾郵件、系統(tǒng)漏洞、僵尸網(wǎng)絡(luò),以及未授權(quán)訪問(wèn)在內(nèi)的多種威脅,還可以自動(dòng)完成病毒特征碼的更新,真正從內(nèi)容層到網(wǎng)絡(luò)層都為公司樹(shù)起了一道全面集成的防御防線。
尤其是CSM具有的病毒漏洞評(píng)價(jià)功能,可以自動(dòng)執(zhí)行掃描和報(bào)表匯總?cè)蝿?wù),通過(guò)對(duì)漏洞的嚴(yán)重程度進(jìn)行評(píng)估,提供依照風(fēng)險(xiǎn)性優(yōu)先級(jí)排列的報(bào)告,這樣就能提醒用戶采取適當(dāng)?shù)拇胧┎才庞行虻南到y(tǒng)強(qiáng)化工作。此外,CSM的個(gè)人防火墻功能為PC、筆記本電腦和服務(wù)器提供保護(hù)防火墻保護(hù)功能,防止黑客對(duì)這些設(shè)備發(fā)起攻擊。
對(duì)垃圾郵件CSM也發(fā)揮了威力,它通過(guò)終端用戶隔離、類型過(guò)濾、攔截可疑文件、預(yù)先檢測(cè)等手段,有效過(guò)濾垃圾郵件,大大提升網(wǎng)絡(luò)帶寬。安裝CSM后,它會(huì)自動(dòng)監(jiān)測(cè)企業(yè)收到的郵件內(nèi)容,進(jìn)行最終用戶隔離,并在微軟Exchange服務(wù)器上攔截垃圾郵件或打上分類標(biāo)簽,并將可疑郵件放置在特定隔離區(qū)供使用者甄別。
關(guān)鍵詞:移動(dòng)網(wǎng) 安全 IP化改造 LTE
中圖分類號(hào):TN929 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2015)04(c)-0015-01
隨著現(xiàn)代通信技術(shù)越來(lái)越深入的影響人們的生活,通信甚至和喝水吃飯一樣成為了人們?nèi)粘I畹牟豢苫蛉钡囊徊糠?,而其中?G、4G為代表移動(dòng)通信技術(shù)更是成為其中與人們?nèi)粘I盥?lián)系最緊密的通信技術(shù)。在這樣的背景下,對(duì)移動(dòng)通信網(wǎng)絡(luò)的安全性提出了更高的要求。但另一方面隨著用戶越來(lái)越多,業(yè)務(wù)越來(lái)越多,網(wǎng)絡(luò)規(guī)模也越來(lái)越大、越來(lái)越復(fù)雜。龐大復(fù)雜的網(wǎng)絡(luò)和安全性的高要求形成矛盾,依靠主備容災(zāi)、倒換等傳統(tǒng)的安全策略已經(jīng)難以對(duì)新型的網(wǎng)絡(luò)提供高效的安全保障,于是客觀要求我們提出保障移動(dòng)網(wǎng)絡(luò)安全的新策略。
1 移動(dòng)網(wǎng)絡(luò)IP化―― 安全新策略的承載基礎(chǔ)
傳統(tǒng)的網(wǎng)絡(luò)大都以電路承載為主要,但隨著網(wǎng)絡(luò)的演進(jìn),電路承載投資巨大,后續(xù)演進(jìn)困難等弊端逐一顯現(xiàn),基本上所有的主流運(yùn)營(yíng)商都選擇了網(wǎng)絡(luò)IP化的演進(jìn)方向。所謂移動(dòng)網(wǎng)IP化就是以IP承載方式替代傳統(tǒng)電路承載,實(shí)現(xiàn)移動(dòng)網(wǎng)各個(gè)接口的IP化改造。IP化改造不僅本身提高了網(wǎng)絡(luò)的安全性,更為后續(xù)的安全策略提供了承載保障。后續(xù)的網(wǎng)絡(luò)演進(jìn)幾乎都是建立在網(wǎng)絡(luò)IP化的基礎(chǔ)之上。對(duì)于移動(dòng)網(wǎng)絡(luò)安全至關(guān)重要的是核心網(wǎng)的IP化改造,其中包括:Nc接口、Mc接口、Nb接口。
IP承載方式的具有天然的多路由選擇性,較之點(diǎn)到點(diǎn)電路承載方式更為安全。IP承載方式能夠有效降低傳輸負(fù)荷,對(duì)整個(gè)傳輸網(wǎng)絡(luò)的安全具有很大的提升作用。在IP承載方式的基礎(chǔ)之上網(wǎng)絡(luò)安全策略有了很大的提升空間。
2 打破大區(qū)制――網(wǎng)狀長(zhǎng)途網(wǎng)的建立
2.1 傳統(tǒng)大區(qū)制長(zhǎng)途網(wǎng)絡(luò)結(jié)構(gòu)
對(duì)中國(guó)這樣幅員遼闊的國(guó)家,長(zhǎng)途網(wǎng)對(duì)于通信網(wǎng)尤為重要,長(zhǎng)期以來(lái)我國(guó)的長(zhǎng)途網(wǎng)都是采用大區(qū)制。即全國(guó)分為若干個(gè)大區(qū),每個(gè)大區(qū)都設(shè)大區(qū)節(jié)點(diǎn),下帶若干個(gè)省份。大區(qū)下帶省份的出省入省話務(wù)均由大區(qū)節(jié)點(diǎn)所在省份匯接。
2.2 大區(qū)制長(zhǎng)途網(wǎng)絡(luò)的安全隱患
在傳統(tǒng)長(zhǎng)途網(wǎng)中,大區(qū)節(jié)點(diǎn)間點(diǎn)對(duì)點(diǎn)相連,大區(qū)內(nèi)各省份話務(wù)均由大區(qū)節(jié)點(diǎn)轉(zhuǎn)接,這樣一旦某大區(qū)節(jié)點(diǎn)故障,將會(huì)對(duì)整個(gè)大區(qū)話務(wù)產(chǎn)生影響,造成數(shù)省大規(guī)模通信中斷。同時(shí),大區(qū)制長(zhǎng)途網(wǎng)絡(luò)中,由于節(jié)點(diǎn)單一,某省話務(wù)量激增會(huì)導(dǎo)致大區(qū)節(jié)點(diǎn)負(fù)荷激增,進(jìn)而影響整個(gè)大區(qū)通信安全。
2.3 網(wǎng)狀軟交換長(zhǎng)途網(wǎng)絡(luò)的建立
由于傳統(tǒng)長(zhǎng)途網(wǎng)存在的安全隱患,加之傳統(tǒng)長(zhǎng)途網(wǎng)基于電路傳輸擴(kuò)容投資成本巨大,于是各大運(yùn)營(yíng)商紛紛建立起以IP為承載的新型軟交換長(zhǎng)途網(wǎng)絡(luò)。
新型軟交換長(zhǎng)途網(wǎng)絡(luò)有幾個(gè)區(qū)別于傳統(tǒng)長(zhǎng)途網(wǎng)絡(luò)的特點(diǎn)。
(1)使用軟交換設(shè)備。
與傳統(tǒng)長(zhǎng)途網(wǎng)絡(luò)由傳統(tǒng)交換機(jī)搭建不同,新型長(zhǎng)途網(wǎng)絡(luò)使用軟交換設(shè)備,控制與承載分離。
(2)IP承載。
與傳統(tǒng)長(zhǎng)途網(wǎng)絡(luò)使用電路承載不同,新型長(zhǎng)途網(wǎng)絡(luò)承載與IP承載網(wǎng)之上,其Nb接口、Nc接口、Mc接口均實(shí)現(xiàn)IP化。
(3)網(wǎng)狀網(wǎng)連接。
新型長(zhǎng)途網(wǎng)絡(luò)打破了層層轉(zhuǎn)接的大區(qū)制組網(wǎng)模式,實(shí)現(xiàn)了網(wǎng)狀網(wǎng)連接,安全型大大提升。
長(zhǎng)途網(wǎng)通過(guò)新型軟交換網(wǎng)狀長(zhǎng)途網(wǎng)絡(luò)的建立,安全性得到了很大的提升,和用戶日常通信更為緊密的本地網(wǎng)則提出了MSC Pool的概念。
3 MSC Pool――本地網(wǎng)池組化改造
MSC Pool是一種通過(guò)采用Iu/A-Flex技術(shù),一個(gè)BSC/RNC可以歸屬于多個(gè)MSC,同時(shí)將多個(gè)MSC構(gòu)成一組資源池,從而實(shí)現(xiàn)MSC資源共享的特性組網(wǎng)方案。
MSC Pool組網(wǎng)相比傳統(tǒng)本地網(wǎng)組網(wǎng)安全性能大為提高,主要表現(xiàn)為以下幾點(diǎn)。
(1)MSC Pool中無(wú)線側(cè)BSC和RNC與多個(gè)CN節(jié)點(diǎn)連接組網(wǎng),A口或Iu口的安全性大大提高。
(2)MSC Pool組網(wǎng)方式下,通過(guò)負(fù)荷均衡技術(shù),在同一MSC池區(qū)內(nèi)能夠保證每個(gè)MSC接入用戶數(shù)大體相當(dāng)。這樣有效避免了傳統(tǒng)組網(wǎng)方式下,某區(qū)域內(nèi)用戶突然激增造成的整個(gè)MSC負(fù)荷激增的危險(xiǎn)情況。
(3)MSC Pool具有良好的容災(zāi)能力,一方面MSC Pool的負(fù)荷分擔(dān)機(jī)制已經(jīng)具備了一定的MSC級(jí)的容災(zāi)能力,另一方面MSC Pool組網(wǎng)模式還能夠提供良好的主被叫容災(zāi)方案。
(4)由于MSC Pool內(nèi)沒(méi)有局間切換和局間位置更新,所以信令流量和系統(tǒng)負(fù)荷大為減少,相應(yīng)的網(wǎng)絡(luò)安全性得到了提升。
在3G網(wǎng)絡(luò)中引入的IP化改造、網(wǎng)狀長(zhǎng)途網(wǎng)、MSC Pool組網(wǎng)等新技術(shù)新概念,使得移動(dòng)網(wǎng)安全性能大為提高。
4 面向4G的歸屬位置寄存器――分布式HLR的建立
分布式HLR與傳統(tǒng)HLR最大的區(qū)別是將傳統(tǒng)HLR的信令接入及處理模塊和用戶數(shù)據(jù)庫(kù)模塊分離,分別成為分布式HLR的前端(FE)和后端(BE)。FE實(shí)現(xiàn)協(xié)議接入與業(yè)務(wù)處理功能,BE實(shí)現(xiàn)用戶數(shù)據(jù)的存儲(chǔ)、訪問(wèn)、管理、接入控制、同步等功能。分布式HLR系統(tǒng)由前端和用戶數(shù)據(jù)庫(kù)功能實(shí)體構(gòu)成。
分布式HLR具有完備的容災(zāi)方案,一般建議的容災(zāi)方式有以下幾點(diǎn)。
(1)FE可采用N+1備份方式(N>=1);當(dāng)N=1時(shí),可采用1+1主備或1+1互備;當(dāng)N>=2時(shí),應(yīng)采用N+1主備方式。當(dāng)主用FE故障時(shí),信令消息自動(dòng)/手動(dòng)切換到備用FE;當(dāng)FE恢復(fù)后,信令消息再恢復(fù)到FE。
(2)BE一般采用1+1主備方式,每個(gè)BE都可對(duì)FE提供數(shù)據(jù)訪問(wèn)服務(wù),形成BE的容災(zāi)系統(tǒng)。每個(gè)BE中保存所有用戶數(shù)據(jù),一個(gè)BE故障,另外一個(gè)BE自動(dòng)接管,提供服務(wù)。
分布式HLR的優(yōu)點(diǎn)主要體現(xiàn)在設(shè)備容量大、組網(wǎng)能力強(qiáng)、容災(zāi)方案完善、設(shè)備利用率高、可靠性強(qiáng)、可平滑演進(jìn)的特性 。HLR在移動(dòng)網(wǎng)中具有舉足輕重的作用,直接關(guān)系到網(wǎng)絡(luò)安全。分布式HLR的建立對(duì)加強(qiáng)移動(dòng)網(wǎng)的安全起到了至關(guān)重要的作用。
5 高效安全的第四代移動(dòng)通信網(wǎng)――扁平化的LTE網(wǎng)絡(luò)
LTE的全稱是3GPP Long Term Evolution,其采用優(yōu)化的UTRAN結(jié)構(gòu)。LTE根據(jù)雙工方式的不同,分為FDD和TDD兩種模式。
LTE網(wǎng)絡(luò)最大的結(jié)構(gòu)特點(diǎn)就是采用扁平化的網(wǎng)絡(luò)結(jié)構(gòu)
LTE架構(gòu)在安全提升方面有幾個(gè)明顯優(yōu)勢(shì)。
(1)LTE采用了扁平化的網(wǎng)絡(luò)結(jié)構(gòu),使網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)一步簡(jiǎn)化。
(2)網(wǎng)絡(luò)扁平化使得系統(tǒng)延時(shí)減少,從而改善用戶體驗(yàn),可開(kāi)展更多業(yè)務(wù)。
(3)網(wǎng)元數(shù)目減少,使得網(wǎng)絡(luò)部署更為簡(jiǎn)單,網(wǎng)絡(luò)的維護(hù)更加容易。
(4)取消了RNC的集中控制,避免單點(diǎn)故障,有利于提高網(wǎng)絡(luò)穩(wěn)定性。
今天,移動(dòng)通信已經(jīng)幾乎已經(jīng)融入到了生活的方方面面,對(duì)于電信級(jí)的通信網(wǎng)絡(luò),網(wǎng)絡(luò)安全是其生命線。隨著通信網(wǎng)絡(luò)的升級(jí),越來(lái)越多的安全新策略被應(yīng)用,我們一定能夠給億萬(wàn)用戶提供一個(gè)越來(lái)越先進(jìn)、越來(lái)越安全的通信網(wǎng)絡(luò)。
參考文獻(xiàn)
趨勢(shì)科技針對(duì)中型企業(yè)的IT信息安全需求為中型企業(yè)量身定制了企業(yè)防毒服務(wù)“一站式”解決方案,力求達(dá)到如下效果:
通過(guò)產(chǎn)品,落實(shí)基礎(chǔ)的安全架構(gòu)框架,分層次部署,加大防護(hù)力度。
通過(guò)服務(wù),改善網(wǎng)絡(luò)環(huán)境,縮短病毒處理周期,提升安全管理水準(zhǔn),合理降低維護(hù)成本。
統(tǒng)一管理防毒更簡(jiǎn)單有效
中型企業(yè)的信息化建設(shè)一般正處于構(gòu)建基礎(chǔ)架構(gòu)階段,網(wǎng)絡(luò)結(jié)構(gòu)具有分散、多級(jí)、多節(jié)點(diǎn)等特點(diǎn)。目前中型企業(yè)存在的主要問(wèn)題有:防牌復(fù)雜,管理難度大;網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,防毒產(chǎn)品更新、部署困難;終端用戶安全意識(shí)差,病毒的傳播防不勝防。
趨勢(shì)科技防毒服務(wù)“一站式”解決方案中所含的OfficeScan防毒墻網(wǎng)絡(luò)版軟件產(chǎn)品采用最新的云安全2.0技術(shù),從大量病毒入侵互聯(lián)網(wǎng)的主要途徑入手,通過(guò)Web信譽(yù)服務(wù)和文件信譽(yù)服務(wù)將各類病毒擋在網(wǎng)絡(luò)之外,同時(shí)又加強(qiáng)了對(duì)終端的應(yīng)用行為的監(jiān)控和移動(dòng)設(shè)備的管理(如U盤、MP3等),增強(qiáng)了各終端節(jié)點(diǎn)自身針對(duì)病毒與攻擊的防護(hù)能力,做到兼顧內(nèi)外的雙層防護(hù),幫助企業(yè)的網(wǎng)絡(luò)在面臨各種來(lái)自內(nèi)部、外部威脅時(shí)靈活應(yīng)對(duì)。
OfficeScan 10.0的云掃描模式在檢測(cè)病毒時(shí),大量的病毒掃描任務(wù)被移到云端服務(wù)器完成,從而減少掃描病毒對(duì)本機(jī)的資源占用,不需頻繁更新病毒特征庫(kù),節(jié)約了網(wǎng)絡(luò)流量,也從根本上解決了復(fù)雜網(wǎng)絡(luò)環(huán)境中由于病毒碼更新不到位造成的防護(hù)等級(jí)下降的問(wèn)題。
針對(duì)內(nèi)部威脅,趨勢(shì)科技利用先進(jìn)的終端防護(hù)技術(shù),及扎根于本地的防病毒監(jiān)測(cè)中心,為客戶機(jī)、服務(wù)器提供強(qiáng)大的本地病毒、間諜軟件、Rootkit、新變種等惡意軟件防護(hù)及惡意程序清除、防火墻等。全新的插件式體系架構(gòu)將終端防護(hù)變成了一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)安全的承載平臺(tái),方便客戶在未來(lái)不斷通過(guò)插件擴(kuò)展實(shí)現(xiàn)更嚴(yán)密的節(jié)點(diǎn)防護(hù)。
專業(yè)響應(yīng)快速修復(fù)
目前國(guó)內(nèi)中型企業(yè)的IT相關(guān)人員對(duì)網(wǎng)絡(luò)安全概念還比較模糊, 還不具備專業(yè)的防病毒技能,應(yīng)對(duì)嚴(yán)重的病毒事件和網(wǎng)絡(luò)病毒爆發(fā),無(wú)法快速地進(jìn)行問(wèn)題定位、分析、測(cè)試和解決。
防毒服務(wù)“一站式”解決方案的服務(wù)部分整合了趨勢(shì)科技原廠的EOG專家值守服務(wù),幫助企業(yè)的網(wǎng)絡(luò)管理人員快速有效地應(yīng)對(duì)病毒。多種組件形成的靈活的配套方案可以使企業(yè)選擇的空間更大。EOG服務(wù)所包含的專屬的原廠專家提供7×12小時(shí)或7×24小時(shí)的技術(shù)支持,可以為用戶提供快速的案件提交通道,并精準(zhǔn)診斷、快速處理各類病毒問(wèn)題。在應(yīng)急處理過(guò)程中,有專業(yè)工程師現(xiàn)場(chǎng)配合MOC專家一起處理病毒,并有原廠6小時(shí)的快速響應(yīng)承諾,為企業(yè)有效處理病毒危機(jī)提供了充分保障。
對(duì)有更高管理要求的企業(yè)客戶,可以提供遠(yuǎn)程安全監(jiān)控服務(wù)。趨勢(shì)科技監(jiān)控中心根據(jù)客戶的需求定義出安全監(jiān)控的關(guān)鍵指標(biāo),并在出現(xiàn)威脅時(shí)主動(dòng)發(fā)出警報(bào)和配套解決方案,同時(shí)也提供內(nèi)容豐富的每日、每周、每月防病毒數(shù)據(jù)分析報(bào)告,便于IT管理人員隨時(shí)清晰了解網(wǎng)絡(luò)安全現(xiàn)狀并向領(lǐng)導(dǎo)匯報(bào)。
目前,趨勢(shì)科技的防毒服務(wù)“一站式”解決方案已經(jīng)在多個(gè)中型企業(yè)成功應(yīng)用,獲得了用戶好評(píng)。兄弟(中國(guó))商業(yè)有限公司網(wǎng)絡(luò)中心黃主任反映:“采用趨勢(shì)科技的網(wǎng)絡(luò)安全系統(tǒng)之前,我工作壓力很大,電話響個(gè)不停,而應(yīng)用了趨勢(shì)科技產(chǎn)品后,網(wǎng)絡(luò)的病毒源、病毒規(guī)模和破壞力都降到了可控的范圍!采用了趨勢(shì)科技的EOG專家服務(wù)后,每次發(fā)生嚴(yán)重問(wèn)題,專家都打電話給我提醒,監(jiān)控中心的嚴(yán)格案件處理流程確保了我們問(wèn)題的及時(shí)處理,而且專家們很快就給出來(lái)有效解決方案,大量減少了我們的工作量!”
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)安全 數(shù)據(jù)安全 網(wǎng)絡(luò)病毒防護(hù)
一、網(wǎng)絡(luò)安全
現(xiàn)代經(jīng)濟(jì)的發(fā)展,網(wǎng)絡(luò)的運(yùn)用已經(jīng)遍布世界各地。保證網(wǎng)絡(luò)安全,也就是保證網(wǎng)絡(luò)硬件軟件和數(shù)據(jù)在除自然、人為因素破壞之外受到應(yīng)有的保護(hù),,保證其不被破壞、惡意泄露等,保密、完整和可用時(shí)網(wǎng)絡(luò)安全的三大指標(biāo)?,F(xiàn)如今,垃圾信息,的大量產(chǎn)生嚴(yán)重減緩網(wǎng)絡(luò)速度,影響這個(gè)系統(tǒng)的運(yùn)行。連續(xù)的操作能力對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是至關(guān)重要的。保證一個(gè)完整的程序完整的運(yùn)行,不僅是服務(wù)器還是數(shù)據(jù)終端都要產(chǎn)生必須的可持續(xù)服務(wù)的。再者,網(wǎng)絡(luò)的安全也受場(chǎng)地環(huán)境、電源等條件的影響和制約。技術(shù)上的不足,其實(shí)是影響網(wǎng)絡(luò)安全最主要的因素,其次還有配置不高、人為錯(cuò)誤和政策錯(cuò)誤等都有可能對(duì)網(wǎng)絡(luò)安全造成威脅。網(wǎng)絡(luò)的安全就是要達(dá)到網(wǎng)絡(luò)不被惡意修改、惡意泄露個(gè)人用戶信息。不管是內(nèi)部的還是外部的網(wǎng)絡(luò)的安全都要能夠有效的防治攻擊,這其中就包括保護(hù)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全,有效制止網(wǎng)絡(luò)病毒對(duì)于網(wǎng)絡(luò)的侵犯。
二、企業(yè)網(wǎng)絡(luò)安全防護(hù)措施
雖然現(xiàn)在有相當(dāng)一部分企業(yè)通過(guò)使用內(nèi)網(wǎng)企圖阻斷互聯(lián)網(wǎng)對(duì)于企業(yè)網(wǎng)絡(luò)安全的威脅,但是這樣在一些方面也制約著企業(yè)的發(fā)展,網(wǎng)絡(luò)的運(yùn)用對(duì)于一個(gè)企業(yè)來(lái)說(shuō)是無(wú)法避免的,使企業(yè)陷入尷尬境地。企業(yè)對(duì)于網(wǎng)絡(luò)的監(jiān)管以及采取必要的網(wǎng)絡(luò)安全措施是必不可少的。
1.企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全防護(hù)
作為儲(chǔ)存信息的重要場(chǎng)所-數(shù)據(jù)庫(kù),擔(dān)負(fù)著管理整理和保護(hù)這一系列責(zé)任重大的任務(wù)。新生事物與問(wèn)題一直以來(lái)都是并存的,數(shù)據(jù)庫(kù)的產(chǎn)生與數(shù)據(jù)庫(kù)安全問(wèn)題也是并存的,并且隨著數(shù)據(jù)庫(kù)技術(shù)不斷發(fā)展問(wèn)題不斷加深。 當(dāng)前,郵箱用戶密碼泄露等各種泄密門的頻繁發(fā)生,已經(jīng)為企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)安全敲響警鐘。對(duì)于數(shù)據(jù)庫(kù)的安全防護(hù)我們可以從以下幾方面入手。
對(duì)于特殊的訪問(wèn)模式對(duì)象,數(shù)據(jù)庫(kù)應(yīng)該允許用戶在莎草操作的對(duì)象上特殊動(dòng)作模式。簡(jiǎn)單而言,就是數(shù)據(jù)庫(kù)應(yīng)該允許一些特殊對(duì)象層上的訪問(wèn)和使用數(shù)據(jù)庫(kù)機(jī)制。比如說(shuō)在對(duì)一個(gè)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)的時(shí)候,部分用戶僅僅只能操作INSERT、SELECT的語(yǔ)句程序,像DELETE這樣的語(yǔ)句在這里將不被允許使用。對(duì)于用戶也可以分門別類的進(jìn)行安全管理策略。對(duì)于普通用戶,管理員應(yīng)該在涉及所有用戶的權(quán)限管理方面加強(qiáng)考慮改善,要么就是用角色來(lái)管理控制用戶可用權(quán)限,要么就只允許少部分用戶使用數(shù)據(jù)庫(kù),明確用戶權(quán)限,不適用角色。一般來(lái)說(shuō),對(duì)于用戶身份的確認(rèn),最簡(jiǎn)單也是最直接的辦法就是用戶自行設(shè)置密碼,同這樣的方式與數(shù)據(jù)庫(kù)進(jìn)行連接。一個(gè)數(shù)據(jù)庫(kù)有大量的用戶使用的時(shí)候,管理員應(yīng)該將用戶分成若干用戶組來(lái)管理,并且創(chuàng)建各個(gè)用戶組的角色。管理員給予一個(gè)角色所應(yīng)有的權(quán)限,這樣也就把這些權(quán)限賦予了這些用戶。這使得管理更加條理明晰化。當(dāng)然也有特殊例外情況,對(duì)于一些特殊權(quán)限,管理員必須明確權(quán)限到每一個(gè)用戶層面上。對(duì)于一個(gè)大的數(shù)據(jù)庫(kù),應(yīng)該根據(jù)實(shí)際情況把管理員也分成幾個(gè)類型的,根據(jù)管理權(quán)限把管理員分割成幾個(gè)管理角色。對(duì)于操作系統(tǒng)的安全,管理員應(yīng)該具備管理操作系統(tǒng)的權(quán)限,這樣做是便于創(chuàng)建和刪除一些文件,保護(hù)數(shù)據(jù)庫(kù)環(huán)境良好。而一般的數(shù)據(jù)庫(kù)用戶不能擁有操作系統(tǒng)的權(quán)限,這便于保證數(shù)據(jù)庫(kù)必要的安全和其他用戶信息的保密性能。
還可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密。目前大型數(shù)據(jù)庫(kù)平臺(tái)一般都是Windows NT/2000等,其對(duì)應(yīng)的安全等級(jí)基本都在C1\C2級(jí)別。雖然這些數(shù)據(jù)庫(kù)在網(wǎng)絡(luò)安全方面增加不少措施,但是在操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)文件本身的防護(hù)措施仍然不足。網(wǎng)上黑客往往繞開(kāi)這些防護(hù)措施直接通過(guò)對(duì)操作系統(tǒng)的工具的運(yùn)行篡改數(shù)據(jù)庫(kù)文件內(nèi)部的內(nèi)容。針對(duì)這一漏洞,一般采取的是B2級(jí)別的安全技術(shù)防護(hù)措施,增加對(duì)數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的加密處理,達(dá)到阻塞這一黑客攻擊行為。算法在適應(yīng)數(shù)據(jù)庫(kù)系統(tǒng)特點(diǎn)的前提下,對(duì)于加密和解密的速度要達(dá)到一定程度,通過(guò)加密算法對(duì)數(shù)據(jù)庫(kù)加密核心。把計(jì)算機(jī)硬盤的數(shù)據(jù)進(jìn)行備份和回復(fù),就會(huì)有效的防止因?yàn)閿?shù)據(jù)庫(kù)的損壞或泄漏而帶來(lái)的經(jīng)濟(jì)損失。一般來(lái)說(shuō),可以通過(guò)磁帶備份、硬盤備份和網(wǎng)絡(luò)備份三種方式來(lái)進(jìn)行數(shù)據(jù)的備份。保存這些備份資料的物質(zhì)要存儲(chǔ)在異地,并且保存介質(zhì)要防火、防潮、防水和防磁。并且還要定期清潔備份設(shè)備,安裝報(bào)警設(shè)備,隔期檢查。除此之外,企業(yè)還應(yīng)該制定完備的數(shù)據(jù)備份策略,一般情況下,完全備份、增量備份和差分備份這三種備份策略結(jié)合使用。
2.企業(yè)網(wǎng)絡(luò)病毒的防范
網(wǎng)絡(luò)的運(yùn)行使得各種網(wǎng)絡(luò)病毒滋生,企業(yè)在加強(qiáng)用戶遵守和加強(qiáng)安全操作控制措施的前提下還應(yīng)該加強(qiáng)安全操作,靈活運(yùn)用硬件和軟件病毒工具,利用網(wǎng)絡(luò)優(yōu)勢(shì),把病毒納入到網(wǎng)絡(luò)安全體系之中,形成一套完整的安全機(jī)制,使病毒得到有效的控制,不會(huì)在企業(yè)網(wǎng)絡(luò)中傳播。在思想和制度方面,應(yīng)該加強(qiáng)員工制度管理,打擊盜版,建立健全網(wǎng)絡(luò)安全管理制度。在技術(shù)方面,采取采取縱深防御方法,運(yùn)用多種阻塞渠道和安全機(jī)制對(duì)病毒進(jìn)行防范。對(duì)于病毒的防范最根本的是操作系統(tǒng)的安全,開(kāi)發(fā)并完善高性能安全的操作系統(tǒng),全面升級(jí)操作系統(tǒng),提高操作系統(tǒng)的安全性能,能有效提高對(duì)網(wǎng)絡(luò)病毒入侵的防范。還可以通過(guò)軟件過(guò)濾對(duì)病毒予以識(shí)別,隔離病毒,對(duì)于已經(jīng)存在在系統(tǒng)內(nèi)部的病毒,一般而言會(huì)采用系統(tǒng)參數(shù)分析之后,識(shí)別系統(tǒng)的不正常和惡意改變。在數(shù)據(jù)庫(kù)后臺(tái)建立一個(gè)嚴(yán)密的病毒監(jiān)視系統(tǒng),可以大大提高病毒入侵的防止工作力度和效率。對(duì)于一些需要下載的、有附件的的文件,系統(tǒng)可以對(duì)其進(jìn)行實(shí)時(shí)掃描,存在異常則隔離處理,及時(shí)更新病毒庫(kù),集中處理病毒,便于管理。在網(wǎng)絡(luò)出口處進(jìn)行訪問(wèn)控制,可以在出口處安裝防火器或者路由器,這樣也可以有效的防止內(nèi)部網(wǎng)絡(luò)中感染網(wǎng)絡(luò)病毒。只有建立一個(gè)有層次的、立體的、系統(tǒng)的防反病毒體系,才能有效地制止病毒在網(wǎng)絡(luò)內(nèi)的蔓延和傳播。
參考文獻(xiàn)
[1]陳雪,企業(yè)網(wǎng)絡(luò)安全防護(hù)技術(shù)措施[D],四川信息職業(yè)技術(shù)學(xué)院,2011.1
[2]何毅,企業(yè)網(wǎng)絡(luò)安全的防護(hù),如何能經(jīng)濟(jì)有效,2011.4
[3]李燕子,構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案[J],企業(yè)網(wǎng)絡(luò)安全,2009.9
[關(guān)鍵詞]網(wǎng)絡(luò)安全;安全協(xié)議課程;實(shí)踐教學(xué)
[DOI]10.13939/ki.zgsc.2016.02.111
構(gòu)建安全網(wǎng)絡(luò)、營(yíng)造網(wǎng)絡(luò)安全環(huán)境都需要網(wǎng)絡(luò)安全協(xié)議。人們對(duì)應(yīng)用于計(jì)算機(jī)中的安全協(xié)議做了大量的分析研究,就是為了提高網(wǎng)絡(luò)信息傳輸?shù)陌踩裕怪軓母旧媳WC網(wǎng)絡(luò)安全,以免造成因網(wǎng)絡(luò)安全等級(jí)不夠而導(dǎo)致網(wǎng)絡(luò)信息數(shù)據(jù)丟失或者文件信息丟失以及信息泄露等問(wèn)題。網(wǎng)絡(luò)安全協(xié)議課程包括對(duì)密碼學(xué)和計(jì)算機(jī)網(wǎng)絡(luò)的學(xué)習(xí),網(wǎng)絡(luò)安全協(xié)議比較復(fù)雜,無(wú)論是對(duì)于教師還是學(xué)生而言,難度都比較大,所以學(xué)生只有在加強(qiáng)自身的理解與應(yīng)用能力之后,才能有利于新知識(shí)的繼續(xù)學(xué)習(xí)。針對(duì)網(wǎng)絡(luò)安全協(xié)議中的協(xié)議原理和細(xì)節(jié),對(duì)于教師而言,如何讓學(xué)生理解非常重要;對(duì)于學(xué)生而言,如何掌握并應(yīng)用非常重要。所以,教師對(duì)于網(wǎng)絡(luò)安全協(xié)議課程的實(shí)踐教學(xué)設(shè)計(jì)不能馬虎。
1實(shí)踐教學(xué)設(shè)計(jì)總述
常用的網(wǎng)絡(luò)安全協(xié)議包括Kerberos認(rèn)證協(xié)議,安全電子交易協(xié)議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協(xié)議屬于不同的網(wǎng)絡(luò)協(xié)議層次,能提供不同的安全功能。特別是在IPV6當(dāng)中采用IPSec來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。并且在開(kāi)放系統(tǒng)互連標(biāo)準(zhǔn)中,網(wǎng)絡(luò)協(xié)議被分為7層,其中物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都是常用的。所以,由于每種網(wǎng)絡(luò)安全協(xié)議內(nèi)容豐富以及它們都有各自的優(yōu)點(diǎn)和缺點(diǎn),致使在實(shí)際應(yīng)用中網(wǎng)絡(luò)安全協(xié)議更具復(fù)雜性。教師需要通過(guò)實(shí)踐教學(xué)設(shè)計(jì)來(lái)實(shí)現(xiàn)讓學(xué)生全面理解和掌握協(xié)議中的原理和細(xì)節(jié),并能夠有效應(yīng)用。首先要做到讓學(xué)生由表及里的、由淺入深的認(rèn)識(shí)和學(xué)習(xí)網(wǎng)絡(luò)安全協(xié)議,其次要做到讓學(xué)生能應(yīng)用到網(wǎng)絡(luò)安全協(xié)議,最后達(dá)到創(chuàng)新的目標(biāo)。所以實(shí)踐教學(xué)內(nèi)容要?jiǎng)澐譃殡A段性的,才能讓學(xué)生逐步透徹地掌握網(wǎng)絡(luò)安全協(xié)議中的方方面面。
2SSL協(xié)議的實(shí)踐教學(xué)實(shí)施
2.1認(rèn)知階段
教師在本階段的教學(xué)內(nèi)容就是讓學(xué)生認(rèn)識(shí)SSL協(xié)議。需要掌握以下內(nèi)容:
SSL采用公開(kāi)密鑰技術(shù),其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性,可在服務(wù)器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持。目前,利用公開(kāi)密鑰技術(shù)的SSL協(xié)議,已成為因特網(wǎng)上保密通信的工業(yè)標(biāo)準(zhǔn)。SSL協(xié)議中的SSL握手協(xié)議可以完成通信雙方的身份鑒定以及協(xié)商會(huì)話過(guò)程中的信息加密密鑰,從而建立安全連接。SSL握手協(xié)議如下圖所示。
SSL握手協(xié)議
而在SSL協(xié)議中,獲取SSL/TLS協(xié)議通信流量,直觀地觀看SSL/TLS協(xié)議的結(jié)構(gòu)就需要使用Wireshark抓包分析工具軟件。通過(guò)流量抓取分析來(lái)讓學(xué)生掌握SSL/TLS的具體內(nèi)容。
2.2體驗(yàn)階段
經(jīng)過(guò)初步的學(xué)習(xí),要讓學(xué)生體驗(yàn)SSL的應(yīng)用范圍,對(duì)SSL的應(yīng)用過(guò)程有一個(gè)直觀的感受和體驗(yàn)。學(xué)生用于數(shù)字證書(shū)生成、發(fā)放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務(wù)器和客戶端申請(qǐng)、安裝證書(shū),再在服務(wù)器上配置SSL,通過(guò)以上步驟完成IIS服務(wù)器中的SSL/TLS配置來(lái)建立客戶端和服務(wù)器的連接。[2]此階段的具體應(yīng)用會(huì)讓學(xué)生深入的了解SSL/TLS中的有關(guān)內(nèi)容。
2.3應(yīng)用階段
應(yīng)用階段的教學(xué)內(nèi)容是前兩階段教學(xué)內(nèi)容的升華,它會(huì)使學(xué)生具備利用SSL/TLS協(xié)議進(jìn)行通信的編程能力。而要達(dá)到這點(diǎn),就需要通過(guò)利用OpenSSL,實(shí)現(xiàn)一個(gè)簡(jiǎn)單的SSL服務(wù)器和客戶端。這個(gè)階段的工作量不小,學(xué)生需要在教師的指導(dǎo)下分組進(jìn)行。進(jìn)行過(guò)程中主要環(huán)節(jié)包括,首先,學(xué)生利用自己熟悉的系統(tǒng)和開(kāi)發(fā)平臺(tái)來(lái)完成OpenSSL的編譯安裝。其次,學(xué)生參考已有的源代碼來(lái)完成VC++編譯環(huán)境的設(shè)置。[3]再次,學(xué)生利用OpenSSL的證書(shū)生成命令性工具生成服務(wù)器和客戶端數(shù)字證書(shū)。最后,通過(guò)完成簡(jiǎn)單的TCP握手連接和通信,并加入SSL握手功能來(lái)實(shí)現(xiàn)SSL/TLS編程。
2.4總結(jié)提高階段
課堂上的理論教學(xué)和階段性的實(shí)踐教學(xué)對(duì)于學(xué)生熟悉掌握SSL協(xié)議具有很好的作用,但是還存在某些方面的不完整性。例如,通過(guò)研究和實(shí)際應(yīng)用SSL/TLS協(xié)議的過(guò)程中,如何進(jìn)一步改善SSL/TLS協(xié)議所存在的問(wèn)題。這些都是需要學(xué)生去解決的。在解決過(guò)程中,學(xué)生就能具備進(jìn)行高效學(xué)習(xí)的能力。教師可以采取向?qū)W生提問(wèn)的方式來(lái)進(jìn)行這一階段的教學(xué)內(nèi)容。問(wèn)題可以是多方面的,例如通過(guò)前幾階段的認(rèn)識(shí)和實(shí)踐,SSL/TLS協(xié)議還存在哪些不足?并通過(guò)一個(gè)實(shí)際的SSL/TLS協(xié)議的應(yīng)用案例,發(fā)現(xiàn)SSL/TLS協(xié)議還有哪些局限性,并解決這些局限所帶來(lái)的問(wèn)題。在此階段內(nèi),學(xué)生和教師要進(jìn)行不斷的交流和討論,并找出相關(guān)事實(shí)依據(jù)來(lái)論證自己的觀點(diǎn)。例如,針對(duì)Heartbleed漏洞,學(xué)生需要了解漏洞產(chǎn)生的原因和危害,并提出解決措施。通過(guò)分析發(fā)現(xiàn)是OpenSSL開(kāi)源軟件包的問(wèn)題導(dǎo)致了此漏洞出現(xiàn),與SSL/TLS協(xié)議并無(wú)太大關(guān)系。經(jīng)過(guò)對(duì)此問(wèn)題的分析研究,我們可以發(fā)現(xiàn),協(xié)議本身的安全并不代表能在實(shí)現(xiàn)協(xié)議過(guò)程中避免所有的不安全因素。
3實(shí)踐教學(xué)效果評(píng)價(jià)
各個(gè)階段的實(shí)踐教學(xué)過(guò)程需要教師進(jìn)行精心的設(shè)計(jì)和把握,并通過(guò)具體的實(shí)施實(shí)踐才能驗(yàn)證實(shí)踐教學(xué)設(shè)計(jì)的是否合理,是否有效。由于網(wǎng)絡(luò)安全協(xié)議課程本身就非常復(fù)雜,再加上具體實(shí)施過(guò)程中內(nèi)容、方法和難度有所不同,就需要根據(jù)學(xué)生的反饋情況來(lái)進(jìn)行及時(shí)的調(diào)整。教師要從各項(xiàng)反饋指標(biāo)進(jìn)行自我反思,并與學(xué)生進(jìn)行溝通。同時(shí),在此過(guò)程中,也要認(rèn)真檢查對(duì)學(xué)生的作業(yè)布置,關(guān)注學(xué)生是否掌握了有關(guān)網(wǎng)絡(luò)安全協(xié)議的技能,注重學(xué)生的完成情況和學(xué)生對(duì)于實(shí)踐教學(xué)過(guò)程中不足之處的意見(jiàn)。
4結(jié)論
網(wǎng)絡(luò)安全協(xié)議內(nèi)容復(fù)雜,具體應(yīng)用過(guò)程及各項(xiàng)技術(shù)操作也較為煩瑣,因此,單單只是針對(duì)SSL/TLS協(xié)議的實(shí)踐教學(xué)做了簡(jiǎn)要的設(shè)計(jì)并不能移植到所有的網(wǎng)絡(luò)安全協(xié)議課程的教學(xué)中去。若要講關(guān)于網(wǎng)絡(luò)安全協(xié)議中鏈路層和網(wǎng)絡(luò)層,那么第三階段的實(shí)踐教學(xué)內(nèi)容就不具意義了。而要講應(yīng)用層的安全協(xié)議,第三階段的實(shí)踐教學(xué)內(nèi)容相比于第一階段和第二階段就重要得多。對(duì)于信息安全專業(yè)的學(xué)生來(lái)說(shuō),只有掌握好計(jì)算機(jī)網(wǎng)絡(luò)和密碼學(xué)的課程內(nèi)容,才能繼續(xù)網(wǎng)絡(luò)安全協(xié)議課程的學(xué)習(xí)。因?yàn)榫W(wǎng)絡(luò)安全協(xié)議課程的理論性和實(shí)踐性都非常強(qiáng)。在實(shí)踐教學(xué)的實(shí)施過(guò)程中,不但要讓學(xué)生充分品嘗動(dòng)手的樂(lè)趣,還要讓學(xué)生掌握網(wǎng)絡(luò)安全協(xié)議的具體知識(shí)。同時(shí)還要注重培養(yǎng)在網(wǎng)絡(luò)安全協(xié)議方面的應(yīng)用型人才。
參考文獻(xiàn):
[1]劉凱.網(wǎng)絡(luò)安全協(xié)議課程的實(shí)踐教學(xué)設(shè)計(jì)[J].計(jì)算機(jī)教育,2014(24):111-114,118.
關(guān)鍵詞:云計(jì)算安全 APT攻擊 APT防御
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)11-0177-02
近年來(lái),互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)的依賴性逐年增強(qiáng),而云計(jì)算以及云計(jì)算安全自然成為研究焦點(diǎn)。云計(jì)算安全能讓人們享受到來(lái)自網(wǎng)絡(luò)的安全服務(wù),而云計(jì)算的充分利用,則需要云計(jì)算的安全防御作為保障。網(wǎng)絡(luò)中的APT攻擊,也促使APT防御的研究不斷推進(jìn)。
1 云計(jì)算安全現(xiàn)狀
傳統(tǒng)的IT系統(tǒng)是封閉的,由各個(gè)獨(dú)立的部門所控制;而在云計(jì)算安全中,所有的數(shù)據(jù)、IT基礎(chǔ)設(shè)施和網(wǎng)絡(luò)架構(gòu)等均暴露在云中,其周邊環(huán)境無(wú)法控制;另外,云計(jì)算系統(tǒng)運(yùn)用虛擬化技術(shù)也帶來(lái)諸多不利因素。
網(wǎng)絡(luò)方面,首先,在云計(jì)算中,其環(huán)境沒(méi)有拓?fù)溥吔?,多個(gè)業(yè)務(wù)系統(tǒng)共享同一物理基礎(chǔ)設(shè)施,如圖1云計(jì)算系統(tǒng)的網(wǎng)絡(luò)拓?fù)渌荆迷萍夹g(shù)虛擬化后,位于某臺(tái)服務(wù)器上的虛擬機(jī)可能不在同一安全區(qū)域,而位于多臺(tái)服務(wù)器上的虛擬機(jī)卻在同一安全區(qū)域。其次,在虛擬化環(huán)境中,位于一臺(tái)服務(wù)器上的虛擬機(jī)之間的數(shù)據(jù)可通過(guò)虛擬交換機(jī)進(jìn)行數(shù)據(jù)交換,而其對(duì)外部網(wǎng)絡(luò)不可見(jiàn)。
存儲(chǔ)方面,云環(huán)境下,所有數(shù)據(jù)被保存在云端,而云的存儲(chǔ)空間不被用戶知曉。另一方面,為保證云端數(shù)據(jù)的安全性和保密性,云端數(shù)據(jù)進(jìn)行加密處理,其利用數(shù)據(jù)搜索和分析方法,也不能在短時(shí)間內(nèi)搜尋有效數(shù)據(jù)。
2 基于云計(jì)算安全的傳統(tǒng)APT防御
從技術(shù)手段方面分析,針對(duì)APT復(fù)雜性攻擊可分為兩個(gè)方面。
(1)采用多途徑不同方式進(jìn)行情報(bào)收集
對(duì)于此方面的防御是不管攻擊者通過(guò)何種渠道攻擊,其必須在個(gè)人電腦上執(zhí)行。雖能夠防止APT攻擊,但操作人員有機(jī)會(huì)進(jìn)入到云中,查詢大量數(shù)據(jù),其可造成數(shù)據(jù)泄露。
(2)從交叉學(xué)科的角度分析
APT攻擊有眾多前沿領(lǐng)域的交叉,如圖2交叉學(xué)科應(yīng)用示意所示。對(duì)于該類APT攻擊的防御,其采用大數(shù)據(jù)分析檢測(cè)方案,但對(duì)服務(wù)器運(yùn)行速度有較高需求,因此不能被廣泛應(yīng)用。
3 云計(jì)算安全的防御改善
針對(duì)大型企業(yè),云計(jì)算建立的文件白名單、安全策略和服務(wù)器級(jí)別,其對(duì)全網(wǎng)文件可進(jìn)行云查詢、云審計(jì)和云鑒定,最終實(shí)現(xiàn)監(jiān)測(cè)和防御APT攻擊。
對(duì)于核心服務(wù)器,可采用高級(jí)安全策略,即除指定文件外,其它所有文件都不能運(yùn)行,杜絕機(jī)密信息被泄露的可能性。這種高級(jí)安全策略只關(guān)閉核心文件運(yùn)行,并且服務(wù)器運(yùn)行良好,也不影響用戶的正常使用,極大的增加服務(wù)器的安全性。針對(duì)中小型企業(yè),防御改善如下。
(1)周邊網(wǎng)絡(luò)安全
防火墻是建立于內(nèi)、外網(wǎng)絡(luò)邊界上的封鎖機(jī)制,內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全、可靠的,而外部網(wǎng)絡(luò)存在安全隱患。防火墻通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,極大保護(hù)內(nèi)網(wǎng)的安全。
(2)主機(jī)層安全
對(duì)于企業(yè)內(nèi)部核心服務(wù)器和重點(diǎn)用戶計(jì)算機(jī)做統(tǒng)一的安全管理,即安裝正版的企業(yè)型殺毒軟件。因?yàn)槠髽I(yè)版本的殺毒軟件的優(yōu)勢(shì)在于對(duì)于客戶端的管理,并方便采集整個(gè)網(wǎng)絡(luò)的安全狀況。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證,其是防止非法訪問(wèn)的核心防線,并且重要服務(wù)器上的用戶認(rèn)證須經(jīng)常更換;然后再利用網(wǎng)絡(luò)控制用戶和用戶組訪問(wèn)文件和其他資源;可以指定用戶對(duì)這些文件、目錄設(shè)備能夠執(zhí)行的權(quán)限。及時(shí)安裝操作系統(tǒng)漏洞補(bǔ)丁或數(shù)據(jù)庫(kù)系統(tǒng)補(bǔ)丁,以預(yù)防0day攻擊。
(3)數(shù)據(jù)層安全
數(shù)字簽名即是一個(gè)收發(fā)雙方進(jìn)行簽名和確認(rèn)的過(guò)程,提供對(duì)信息來(lái)源的鑒別、保證信息的完整性和不可否認(rèn)性的功能,其為解決偽造、冒充和篡改等問(wèn)題提供解決方案。
(4)增強(qiáng)安全意識(shí)
現(xiàn)今的信息安全已不再是只靠產(chǎn)品解決方案,就可高枕無(wú)憂的年代。即使詳盡的安全策略,也可毀于企業(yè)內(nèi)部人員的錯(cuò)誤操作。對(duì)于APT的攻擊,提升用戶終端使用習(xí)慣和安全操作意識(shí),禁止員工在重要服務(wù)器上使用U盤,都可有效防御APT攻擊。制定明確的信息安全手冊(cè),禁止員工點(diǎn)擊垃圾郵件和不明鏈接;了解當(dāng)今安全威脅趨勢(shì)和進(jìn)行合理的終端設(shè)備管理,禁止員工將存有企業(yè)內(nèi)部重要信息的筆記本在非安全的環(huán)境下連接至互聯(lián)網(wǎng)。
4 結(jié)束語(yǔ)
本文研究云計(jì)算安全現(xiàn)狀和傳統(tǒng)APT防御,提出針對(duì)中小型企業(yè)的云計(jì)算安全的改善措施,即安全管理和維護(hù)、核心服務(wù)器安全管理和企業(yè)文檔數(shù)據(jù)庫(kù)權(quán)限控制等措施。
參考文獻(xiàn)
[1]杜躍進(jìn),APT應(yīng)對(duì)面臨的挑戰(zhàn)[J],中國(guó)信息安全,2012,(09):80-80.
[2]王繼剛,瀏覽器軟件的安全漏洞挖掘技術(shù)研究[J],信息網(wǎng)絡(luò)安全,2012,(12):36-38.
關(guān)鍵詞:網(wǎng)絡(luò)安全;嗅探器;檢測(cè);響應(yīng);托管式安全監(jiān)控
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)05-1068-03
Network Security Management and Monitoring
WANG Li-zan
(Modern Education Technology Center,Guangdong Pharmaceutical University, Guangdong Province,Guangzhou 510000,China)
Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet, the current security risks and counter measures. Furthermore, an explanation to the importance of monitoring in the network security, and a brief introduction to Managed Security Monitoring, as well as its potential in enterprises development, which is constructive to enterprise network security.
Key words: network security; sniffer; detection; response; managed security monitoring
1 引言
互聯(lián)網(wǎng)對(duì)于商業(yè)來(lái)說(shuō)是至關(guān)重要的。一個(gè)跨國(guó)大公司往往別無(wú)選擇地將其內(nèi)部網(wǎng)絡(luò)連接到世界上各個(gè)地區(qū),因?yàn)槟抢镉兄麄兊目蛻?,供?yīng)商,合作伙伴和自己的雇員。 然而隨著網(wǎng)絡(luò)的擴(kuò)展新的威脅也隨之而來(lái),惡意黑客,犯罪分子,工業(yè)間諜等的數(shù)量與日俱增。 這些網(wǎng)絡(luò)上的掠食者,不斷的企圖竊取公司資產(chǎn)和知識(shí)產(chǎn)權(quán),或者通過(guò)對(duì)關(guān)鍵性的服務(wù)器進(jìn)行攻擊來(lái)使系統(tǒng)服務(wù)停止甚至崩潰。這種行為產(chǎn)生的后果,不僅損害到了公司的聲譽(yù),而且還會(huì)驚嚇到客戶。 如果一個(gè)公司不能成功地進(jìn)行防范和解決這些問(wèn)題,那么他們的業(yè)務(wù)在商業(yè)因特網(wǎng)上的擴(kuò)展在很大程度上也將會(huì)受到阻礙。
2 網(wǎng)絡(luò)安全
2.1 安全的重要性
計(jì)算機(jī)安全是互聯(lián)網(wǎng)的一個(gè)根本技術(shù),它起源于純粹學(xué)術(shù)上的好奇心,發(fā)展到現(xiàn)在已經(jīng)演變成為一個(gè)十分重要的商業(yè)應(yīng)用。在互聯(lián)網(wǎng)上,任何企業(yè)或個(gè)人都無(wú)法忽略對(duì)安全的需求。
網(wǎng)絡(luò)上貿(mào)易機(jī)密,客戶資料,金錢等被竊取的風(fēng)險(xiǎn)是真實(shí)存在的。由計(jì)算機(jī)安全問(wèn)題所造成的損失也可能是相當(dāng)巨大的。例如ILOVEYOU病毒,據(jù)不完全統(tǒng)計(jì),它在全球范圍內(nèi)造成的損失已高達(dá)100億美元;其中生產(chǎn)上的損失占了絕大部分,同時(shí)它帶來(lái)了其它間接的影響:顧客的流失,品牌和商譽(yù)上的損害,這些都是難以進(jìn)行估計(jì)的。 除此之外,新的問(wèn)題將接踵而至。因?yàn)闅W洲的國(guó)家都有嚴(yán)格的隱私法:如果公司或企業(yè)不采取相關(guān)措施來(lái)保護(hù)客戶的隱私,他們將被追究法律責(zé)任。在美國(guó)也有類似的法律,尤其是銀行和醫(yī)療保健等行業(yè)-都會(huì)制定相關(guān)的法案來(lái)專門針對(duì)隱私保護(hù)。
雖然在互聯(lián)網(wǎng)上進(jìn)行業(yè)務(wù)的同時(shí)伴隨著如此大的風(fēng)險(xiǎn),但是公司和企業(yè)并不會(huì)停止去利用這個(gè)平臺(tái)。因?yàn)榫W(wǎng)絡(luò)能給企業(yè)帶來(lái)新的市場(chǎng),新的客戶,新的收入來(lái)源,甚至新的商業(yè)模式。這是具有相當(dāng)巨大的誘惑力的,所以即便是存在這樣的風(fēng)險(xiǎn)性,他們也會(huì)不斷的在這個(gè)互聯(lián)網(wǎng)環(huán)境里拓展自己的業(yè)務(wù)。正因如此,比起其它問(wèn)題來(lái),計(jì)算機(jī)安全更加顯得重要。
2.2 落后的傳統(tǒng)安全
網(wǎng)絡(luò)安全上的攻防如同在進(jìn)行軍備上的較量,且攻擊者一方具有較大的優(yōu)勢(shì)。首先,防衛(wèi)者必需對(duì)所有可能的攻擊進(jìn)行防范,而攻擊者需要做的只是找到其中一個(gè)弱點(diǎn)或者漏洞。其次,現(xiàn)代巨大而復(fù)雜的網(wǎng)絡(luò)使得防衛(wèi)者不可能保證100%的安全性。另外,熟練的攻擊者可以將復(fù)雜的攻擊手段整合到軟件中,使得即使是一些非內(nèi)行人士也可以很容易的使用它們。這就不奇怪為什么連一個(gè)專業(yè)的首席信息官(CIO)也無(wú)法完全地掌握所有這些可能存在的威脅,普通人就更不可能做到了。
計(jì)算機(jī)安全已經(jīng)發(fā)展了40幾年,每年都有新的研究,新的技術(shù),新的產(chǎn)品,甚至新的法律不斷出現(xiàn),然而網(wǎng)絡(luò)的安全狀況卻似乎一年比一年更糟。在互聯(lián)網(wǎng)上,安全只能說(shuō)是相對(duì)的。
今天安全的東西明天可能會(huì)變得不再安全,即使是微軟這樣大的公司,也會(huì)受到攻擊和入侵。因此我們對(duì)網(wǎng)絡(luò)安全的考慮重點(diǎn)不應(yīng)該放在安全設(shè)備的數(shù)量方面,而應(yīng)該更多的將注意力集中到嚴(yán)謹(jǐn)?shù)牧鞒毯椭贫壬?。我們必須停止一味地尋找能避免一切攻擊威脅的神奇的防范技術(shù),更多時(shí)候應(yīng)該完善好攻擊和防范的處理措施及方案,這將有益于我們更好地掌握到可能存在的風(fēng)險(xiǎn)。
2.3 安全與風(fēng)險(xiǎn)管理
每當(dāng)同網(wǎng)絡(luò)管理員提及計(jì)算機(jī)安全技術(shù),他們往往談到的是“如何去避免威脅”。這是傳統(tǒng)規(guī)范的計(jì)算機(jī)安全所產(chǎn)生的一種計(jì)算機(jī)科學(xué)心態(tài):找出有什么威脅,并通過(guò)技術(shù)的手段來(lái)避免和根除??上У氖?,技術(shù)可以在某種程度上“解決”電腦安全問(wèn)題,而最終的結(jié)果往往是安全程序成為了一個(gè)裸的商業(yè)犧牲品。
安全并不僅僅是純技術(shù)上的問(wèn)題,它同每個(gè)人也是息息相關(guān)的。 沒(méi)有任何一個(gè)計(jì)算機(jī)安全產(chǎn)品,能完全保障網(wǎng)絡(luò)與財(cái)產(chǎn)的安全性,而且這也不是企業(yè)應(yīng)有的經(jīng)營(yíng)方式。
對(duì)于企業(yè)管理風(fēng)險(xiǎn),網(wǎng)絡(luò)安全只是其中的一個(gè)環(huán)節(jié),安全性也并不是在任何情況下都越大越好的。你可以通過(guò)一進(jìn)門就對(duì)每一個(gè)人進(jìn)行嚴(yán)格審查的方式來(lái)改善一間銀行的安全與風(fēng)險(xiǎn)管理,但是如果采取這種做法,會(huì)很大程度上影響到商業(yè)利益。因此所有這些企業(yè)都在尋找著一個(gè)合理的安全的平衡點(diǎn),這樣的局面給另外一些公司和企業(yè)開(kāi)拓了新的市場(chǎng):為了在執(zhí)行安全的同時(shí)吸引和留住新客戶,他們需要根據(jù)所處的環(huán)境以及他們所從事的行業(yè),來(lái)選擇特定的計(jì)算機(jī)安全解決方案。
3 安全管理監(jiān)控
3.1 預(yù)防,檢測(cè),響應(yīng)
現(xiàn)實(shí)世界里的安全,可概括為預(yù)防,檢測(cè),響應(yīng)。 如果預(yù)防機(jī)制很完善,你甚至可以不需要檢測(cè)和響應(yīng),但遺憾的是沒(méi)有哪個(gè)預(yù)防機(jī)制是100%完美的。實(shí)際上,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò),所有的軟件產(chǎn)品都存在或大或小的安全漏洞,大多數(shù)網(wǎng)絡(luò)設(shè)備也都存在錯(cuò)誤的配置,用戶方面也可能會(huì)出現(xiàn)各種操作上的失誤。所以沒(méi)有檢測(cè)和響應(yīng),預(yù)防機(jī)制所體現(xiàn)出來(lái)的價(jià)值是相當(dāng)有限的。另外,比起設(shè)置更多的預(yù)防措施,加入檢測(cè)和響應(yīng)反而更具成本效益,也更加高效。在互聯(lián)網(wǎng)上,我們統(tǒng)稱為監(jiān)控。
監(jiān)控才是真正的安全。一個(gè)偷竊者,無(wú)論如何入侵或者怎樣做。只要有足夠的行為感應(yīng)器,電子眼,和壓力板設(shè)置在你的房子里,只要他進(jìn)來(lái)過(guò),您都可以捉到他的蛛絲馬跡。同理,如果您可以很仔細(xì)的監(jiān)控網(wǎng)絡(luò),那么無(wú)論黑客利用什么漏洞進(jìn)行入侵和攻擊,您都能第一時(shí)間發(fā)現(xiàn)它。如果迅速作出有效的應(yīng)對(duì)措施,您也同樣可以在他造成損害前阻止他。良好的檢測(cè)和響應(yīng)可以彌補(bǔ)不完善的預(yù)防措施-沒(méi)有哪一家銀行敢這樣說(shuō):”我們的安全措施是十分完美的,我們不需要一個(gè)警報(bào)系統(tǒng)” 。檢測(cè)和響應(yīng)是在現(xiàn)實(shí)世界中我們得到安全的方式,也是保障我們可以在互聯(lián)網(wǎng)上安全穿梭的唯一手段。一個(gè)企業(yè)的CIO如果要妥善管理相關(guān)的風(fēng)險(xiǎn)與他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,那么就必須在網(wǎng)絡(luò)監(jiān)控服務(wù)上進(jìn)行一定的投資。
3.2 網(wǎng)絡(luò)安全監(jiān)控
網(wǎng)絡(luò)監(jiān)控意味著一系列的嗅探器覆蓋在網(wǎng)絡(luò)的周圍,并針對(duì)每一個(gè)網(wǎng)絡(luò)設(shè)備和服務(wù)器生成連續(xù)的數(shù)據(jù)流的審計(jì)訊息。若發(fā)現(xiàn)可疑的行為,智能檢測(cè)系統(tǒng)便發(fā)送提示信息,每一個(gè)其他的安全產(chǎn)品便會(huì)以某種方式產(chǎn)生報(bào)警信號(hào)。然而這些嗅探器本身并不提供安全性,所以你必須清楚地了解他們的不足之處,并且在假設(shè)攻擊者已經(jīng)完全掌握這些嗅探器的特征的前提下作出應(yīng)對(duì)措施。
第一步是智能地提高警覺(jué),根據(jù)整個(gè)網(wǎng)絡(luò)環(huán)境的不同,網(wǎng)絡(luò)攻擊的蛛絲馬跡可以是很微小的。對(duì)于一個(gè)中等規(guī)模的網(wǎng)絡(luò), 軟件可以在一天里,過(guò)濾數(shù)萬(wàn)兆字節(jié)的審計(jì)信息的,但攻擊者卻可以很容易就瞞過(guò)軟件的檢測(cè)。所以智能地提高警覺(jué),要求人們做到:
1) 分析軟件發(fā)現(xiàn)的可疑訊息;
2) 更加深入地了解可疑事件,確定真實(shí)的狀況;
3) 將錯(cuò)誤的警報(bào)和真正的攻擊區(qū)別開(kāi)來(lái);
4) 了解它們之間的聯(lián)系。
總的來(lái)說(shuō),提高警覺(jué)性,可能相對(duì)于整體來(lái)講只是稍微有效的,更重要的應(yīng)該是要知道如何去應(yīng)對(duì),這是第二步。再好的網(wǎng)絡(luò)監(jiān)控軟件提供的也只是一種信息,而這些信息要體現(xiàn)出它的價(jià)值則需要專家。最后,必須結(jié)合組織的業(yè)務(wù)需求做出合適的處理措施,所有這一切,是檢測(cè)和響應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)所要求達(dá)到的。
網(wǎng)絡(luò)設(shè)備每天產(chǎn)生兆字節(jié)甚至更多的審計(jì)信息,自動(dòng)搜索軟件通過(guò)這些字節(jié)進(jìn)行篩選,尋找并發(fā)現(xiàn)攻擊的跡象;專家再進(jìn)行分析,了解攻擊的行為,并決定如何作出回應(yīng);最后網(wǎng)絡(luò)的使用者-組織-則在針對(duì)主要業(yè)務(wù)的基礎(chǔ)上進(jìn)行合理的安全決策。
因此做好網(wǎng)絡(luò)監(jiān)控工作,人們需要做到上面的每一步。軟件不會(huì)象人一樣思考,不會(huì)發(fā)問(wèn),也不會(huì)自我適應(yīng)。 缺少了人,計(jì)算機(jī)安全軟件,只是一種靜態(tài)的防御。 而軟件與專家相結(jié)合,將使你擁有一個(gè)完整的更高級(jí)別的安全性。
3.3 監(jiān)控服務(wù)托管
檢測(cè)和響應(yīng)系統(tǒng)成功的關(guān)鍵是自身的警覺(jué)性:攻擊可以發(fā)生在一年中的任何一天以及一天中的任何時(shí)間。雖然公司或企業(yè)是有可能為自己的網(wǎng)絡(luò)建立專門的檢測(cè)和響應(yīng)服務(wù),但成本效益較低。部署在安全方面的工作人員,以每日二十四小時(shí),一年365天來(lái)算,需要5個(gè)全職員工;如果包括主管和其它專門技能的備份人員,則還可能還需要更多。
即使這個(gè)組織有資金和預(yù)算可以投入到這方面人力上,在今天的就業(yè)市場(chǎng)仍然很難聘請(qǐng)到他們。想留住他們將更難:因?yàn)閷?duì)一個(gè)單一的組織的攻擊行為,并非經(jīng)常發(fā)生,不足以讓一隊(duì)高素質(zhì)的人員感興趣和從事于此。
在現(xiàn)實(shí)世界中,這方面的專業(yè)項(xiàng)目大多數(shù)情況都是進(jìn)行托管,它是唯一滿足需求的符合成本效益的方式。除了專業(yè)技術(shù)的聚集,這個(gè)訊息的服務(wù)同時(shí)帶來(lái)了其它的經(jīng)濟(jì)規(guī)模。因?yàn)樗枰嗟娜耍运菀坠陀煤陀?xùn)練其人員。它可以為他們建立一個(gè)基礎(chǔ)設(shè)施進(jìn)行支援和培訓(xùn)。對(duì)新的黑客工具,新的安全產(chǎn)品,新的軟件以及新漏洞的監(jiān)控手段的了解都保持直至目前為止。一個(gè)托管式安全監(jiān)控(MSM)服務(wù)可以將這些費(fèi)用分?jǐn)偟剿锌蛻羯稀?/p>
MSM服務(wù)提供商在互聯(lián)網(wǎng)上相對(duì)于單一客戶來(lái)說(shuō)也有一個(gè)更廣泛的視野,它通過(guò)對(duì)某個(gè)客戶的攻擊行為的了解,將新的知識(shí)用以保障其所有的客戶。對(duì)于一個(gè)MSM公司 ,網(wǎng)絡(luò)攻擊是每天都在發(fā)生的;而公司內(nèi)部的專家,他們也知道如何去回應(yīng)和處理這些特定的攻擊,因?yàn)樵谒锌赡艿那闆r下,他們已經(jīng)碰到過(guò)很多次這樣相同的行為和事件。因此,安全是相當(dāng)復(fù)雜的,而且至關(guān)重要,將其進(jìn)行托管比起自己去實(shí)施可要有效的多。
3.4 監(jiān)控優(yōu)先
監(jiān)控應(yīng)該是任何網(wǎng)絡(luò)安全計(jì)劃的第一步.它是網(wǎng)絡(luò)管理員可以做的即時(shí)起作用的手段。而政策分析和脆弱性評(píng)估需要時(shí)間,如果不付諸于實(shí)踐,實(shí)際上并不能很好的改善網(wǎng)絡(luò)的安全。另外,安裝安全產(chǎn)品,往往需要正確安裝在適當(dāng)?shù)牡胤讲拍苓_(dá)到提高了安全性的效果,監(jiān)控,可以確保安全產(chǎn)品是否正在提供它們應(yīng)有的安全保障。
大型的網(wǎng)絡(luò)通常是由內(nèi)部網(wǎng)和外部網(wǎng)組成,監(jiān)控的最佳時(shí)間是當(dāng)網(wǎng)絡(luò)中數(shù)據(jù)相互流通的時(shí)侯。監(jiān)控的主旨是即時(shí)的安全,既不做脆弱性評(píng)估,也沒(méi)有為網(wǎng)絡(luò)提供防火墻。 監(jiān)控提供了其它的安全產(chǎn)品所不能提供的動(dòng)態(tài)的安全方式。并作為安全產(chǎn)品已嵌入到IDSs網(wǎng)絡(luò)防火墻,一個(gè)專門的安全裝置,它使監(jiān)控得到了更好的發(fā)揮。
監(jiān)控是公司和企業(yè)安全的視窗。監(jiān)控可以通過(guò)信息反饋,以保證其他網(wǎng)絡(luò)安全活動(dòng)更加有效。它可以幫助您確定在哪個(gè)位置安裝安全裝置,以及確認(rèn)他們的狀態(tài)是否正常。它可以使您知道如何去正確配置安全設(shè)備;它可以確保你的安全性始終走在前沿。所以,實(shí)施網(wǎng)絡(luò)安全計(jì)劃,監(jiān)控是需要做的第一件事。
4 結(jié)束語(yǔ)
一個(gè)高度連接網(wǎng)絡(luò)必然存在著安全隱患。安全產(chǎn)品并不能完全“解決”網(wǎng)際網(wǎng)路安全性的問(wèn)題,實(shí)際上,存在著許多它們無(wú)法涉及到的盲點(diǎn)。進(jìn)行安全和風(fēng)險(xiǎn)上的管理:在企業(yè)網(wǎng)絡(luò)拓展的同時(shí)采用合理的計(jì)算機(jī)安全解決方案,這是一個(gè)比較好的方式。
計(jì)算機(jī)安全關(guān)鍵在于提高警覺(jué)性,是需要每天都要保持的。千百年來(lái),不管技術(shù)進(jìn)步如何迅速,世界上仍然沒(méi)有一個(gè)絕對(duì)安全的地方,警報(bào)和安全服務(wù)仍然是國(guó)家的重要指標(biāo)。
要達(dá)到有效的安全性是必須有人的參與,自動(dòng)化的安全系統(tǒng)始終是會(huì)存在缺陷的。一個(gè)狡猾的攻擊者可以利用新的攻擊欺騙軟件繞過(guò)安全設(shè)備 。人們需要接受這個(gè)事實(shí),并對(duì)新的攻擊和新的威脅作出反應(yīng),重新對(duì)事件進(jìn)行權(quán)衡:人的思維是攻擊的源頭,所以人的思維同樣可以用來(lái)進(jìn)行防范。
互聯(lián)網(wǎng)的現(xiàn)狀使得托管式安全監(jiān)控(MSM)服務(wù)發(fā)展為最具成本效益的方式,它提供了更具彈性的安全,它可以把人,制度和產(chǎn)品很好的結(jié)合在一起,它將為混亂的現(xiàn)代商業(yè)網(wǎng)絡(luò)創(chuàng)造了一個(gè)安全的環(huán)境。
參考文獻(xiàn):
[1] 杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J].計(jì)算機(jī)安全,2006,(8):47-50.
[2] 石焱.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策[J].科技廣場(chǎng),2008,(8):89-90.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)