前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全評估報告主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:網絡安全;風險評估;安全措施
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發(fā)生的信息安全事件正在日益引起全球的關注,列舉的近年來的網絡突發(fā)事件,不難發(fā)現,強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估,是指網絡安全防御中的一項重要技術,它的原理是,根據已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。完成一個信息安全系統(tǒng)的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現,以及所導致的信息技術環(huán)境的轉變,信息安全工作人員要不斷地評估當前的安全威脅,并不斷對當前系統(tǒng)中的安全性產生認知。
2 網絡安全風險評估的現狀
2.1 風險評估的必要性
有人說安全產品就是保障網絡安全的基礎,但有了安全產品,不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發(fā)揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產品及時升級,不斷完善,實時檢測,不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的,它需要合適的安全體系和合理的安全產品組合,需要根據網絡及網絡用戶的情況和需求規(guī)劃、設計和實施一定的安全策略。通常,在一個企業(yè)中,對安全技術了如指掌的人員不多,大多技術人員停留在對安全產品的一般使用上,如果安全系統(tǒng)出現故障或者黑客攻擊引發(fā)網絡癱瘓,他們將束手無策。這時他們需要的是安全服務。而安全評估,便是安全服務的重要前期工作。網絡信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標、原則及內容
安全評估的目標通常包括:確定可能對資產造成危害的威脅;通過對歷史資料和專家的經驗確定威脅實施的可能性;對可能受到威脅影響的資產確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產是最重要的;準確了解企業(yè)網的網絡和系統(tǒng)安全現狀;明晰企業(yè)網的安全需求;制定網絡和系統(tǒng)的安全策略;制定網絡和系統(tǒng)的安全解決方案;指導企業(yè)網未來的建設和投入;通過項目實施和培訓,培養(yǎng)用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內容包括專業(yè)安全評估服務和主機系統(tǒng)加固服務。專業(yè)安全評估服務對目標系統(tǒng)通過工具掃描和人工檢查,進行專業(yè)安全的技術評定,并根據評估結果提供評估報告。
目標系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數據庫系統(tǒng),以及主流的網絡設備。使用掃描工具對目標系統(tǒng)進行掃描,提供原始評估報告或由專業(yè)安全工程師提供人工分析報告。或是人工檢查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統(tǒng)加固服務是根據專業(yè)安全評估結果,制定相應的系統(tǒng)加固方案,針對不同目標系統(tǒng),通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
系統(tǒng)加固報告服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出加固報告。系統(tǒng)加固報告增強服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統(tǒng)加固實施服務選擇使用該服務包,必須以選擇 ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統(tǒng)加固報告,并將系統(tǒng)加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業(yè)安全工程師實施加固工作。
3 網絡安全風險評估系統(tǒng)
討論安全評定的前提在于企業(yè)已經具有了較為完備的安全策略,這項工作主要檢測當前的安全策略是否被良好的執(zhí)行,從而發(fā)現系統(tǒng)中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP,而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護,網絡安全評定的主要目標就是為修補全部的安全問題提供指導。
評定網絡安全性的首要工作是了解網絡拓撲結構,拓撲描述文檔并不總能反映最新的網絡狀態(tài),進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網絡拓撲發(fā)現,但是一些網絡節(jié)點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后,應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機,還應該了解其正在運行的端口,這可以通過很多流行的端口發(fā)現工具實現。當對整個網絡的架構獲得了足夠的認知以后,就可以針對所運行的網絡協議和正在使用的端口發(fā)現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。
安全領域的很多專家都提出邊界防御已經無法滿足今天的要求,為了提高安全防御的質量,除了在網絡邊界防范外部攻擊之外,還應該在網絡內部對各種訪問進行監(jiān)控和管理。企業(yè)組織每天都會從信息應用環(huán)境中獲得大量的數據,包括系統(tǒng)日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險,是風險管理中重要一環(huán)。目前的技術手段主要被應用于信息的收集、識別和分析,也有很多廠商開發(fā)出了整合式的安全信息管理平臺,可以實現所有系統(tǒng)模塊的信息整合與聯動。
數據作為信息系統(tǒng)的核心價值,被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此,數據系統(tǒng)極易受到攻擊。對數據庫平臺來說,應該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數據庫平臺之外,數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用,而這往往是獲得系統(tǒng)權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面,這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規(guī)程化的面向體系底層的安全評定相比,應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。
4 結束語
目前我國信息系統(tǒng)安全風險評估工作,在測試數據采集和處理方面缺乏實用的技術和工具的支持,已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風險評估結果準確可靠,可以為風險管理活動提供有價值的參考;加強我國信息安全風險評估隊伍建設,促使我國信息安全評估水平得到持續(xù)改進。
參考文獻:
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001,32-34.
[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用,2004(7),21-24.
[3] 劉恒,信息安全風險評估挑戰(zhàn)[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛(wèi)清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1),40-45
[6] 趙戰(zhàn)生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.
1缺乏計算機安全評估系統(tǒng)
眾所周知,一個系統(tǒng)全面的計算機安全評估系統(tǒng)是防止黑客入侵計算機的重要保障,安全評估體系能夠對整個計算機網絡的安全性與防護性作出一個較為科學嚴謹的分析評估,而且該評估系統(tǒng)還會根據實際的計算機網路安全評估報告來制定相關的計算機安全使用策略。然而,在我們的計算機實際應用中,往往不注意計算機安全評估系統(tǒng)的構建,只注重計算機網絡安全事故的預防與事后處理,平時欠缺對計算機網絡安全作出及時的評估與監(jiān)控,給計算機網絡安全造成一定的安全隱患。
2計算機外界威脅因素
計算機網絡安全事故很多是由計算機外界威脅因素造成的,這其中包括自然環(huán)境威脅、網絡黑客與病毒的入侵攻擊與非法訪問操作。自然環(huán)境威脅一般是指計算機外在的自然條件不太完善,如各種無法預測的自然災害、難以控制的計算機外部機器故障等因素。網絡黑客與病毒的入侵攻擊不但會對計算機的網絡安全帶來極大的破壞,還會摧毀計算機系統(tǒng),對計算機自身造成極大的傷害。據估計,未來網絡黑客與病毒的摧毀力度將會越來越強,而它們自身的隱蔽性與抗壓性也會相應地得到提高,所以說,網絡黑客與病毒的存在對計算機網絡安全造成嚴重威脅。而非法訪問操作則主要指一些未得到授權,私自越過計算機權限,或者是不法分子借助一些計算機工具去進行計算機程序的編寫,從而突破該計算機的網絡訪問權限,入侵到他人計算機的不法操作。
二、計算機網絡安全防范措施
1建立安全可靠的計算機安全防線
安全可靠的計算機安全防線是避免計算機網絡不安全因素出現的最關鍵環(huán)節(jié),其構建主要依靠計算機防火墻技術、數據加密技術與病毒查殺技術。防火墻控制技術主要是一種建立在各網絡之間的互聯設備,能夠有效避免不法分子以不正當方式入侵網絡內部,防止不法分子盜取計算機網絡內部的信息資源,是計算機內部一道強有力的網絡安全屏障。數據加密技術的主要作用就是對計算機內部的數據添加密文設置,未經授權的計算機不法分子是無法獲取數據、讀懂數據的,最終達到保護網絡數據傳輸的正確性與安全性。常用的數據加密技術包括有:保證個網絡節(jié)點間信息傳輸正確且安全的鏈路加密技術、確保計算機始端數據傳輸與終端數據接收安全的端點加密技術與保證源節(jié)點到目的節(jié)點之間傳輸安全可靠的節(jié)點加密技術。病毒查殺技術可謂是計算機安全網絡防范最為關鍵的環(huán)節(jié)。病毒查殺技術一般通過殺毒軟件的安裝運行去運行的,在計算機安裝殺毒軟件以后,應當定時對殺毒軟件進行實時的監(jiān)測控制,定期對殺毒軟件進行升級處理,按時對計算機進行殺毒掃描,以求及時將計算機內容隱藏病毒進行發(fā)現處理。
2提高計算機用戶與計算機網絡管理人員的安全意識
于個人計算機用戶而言,必須要加強計算機網絡資源管理意識,根據自己實際需要對計算機設置特殊的口令,確保計算機數據獲取的合法性與安全性,避免其他計算機用戶以非法手段入侵計算機內部,獲取相關計算機網絡數據資源,造成計算機網絡安全隱患。閑時,計算機用戶還必須注意對病毒進行監(jiān)測清除,避免網絡黑客的入侵導致計算機系統(tǒng)崩潰。于社會團體組織而言,必須注重提高內部計算機管理人員的網絡安全意識,注意采用適當的方法去培養(yǎng)一批具有專業(yè)計算機技術的網絡監(jiān)控人員,打造精英計算機安全管理團隊,能及時對網絡不法攻擊作出處理,構建一個系統(tǒng)全面的計算機網絡安全管理體系,致力打造一個安全可靠的計算機網絡環(huán)境。
3完善計算機網絡安全制度
健全的計算機網絡安全制度不但可以規(guī)范計算機網絡安全使用,還能夠借助法律法規(guī)等強硬手段去徹底打擊計算機網絡犯罪,及時對計算機網絡不法分子給予相關懲處,保證了計算機網絡環(huán)境的安全可靠。因此,加強并且定期完善計算機網絡安全立法制度是十分必要的。
4其他管理措施
計算機網絡安全防范僅僅依靠強硬的計算機安全防御系統(tǒng)與專業(yè)的計算機網絡安全管理技術人員是遠遠不夠的,還必須定期對計算機網絡系統(tǒng)進行一系列的專業(yè)評估與監(jiān)測控制,實時對計算機網絡運行、數據傳輸過程進行監(jiān)控,熱切關注計算機內部系統(tǒng)是否存在一些漏洞,一旦發(fā)現漏洞,要盡早處理,避免其他計算機病毒的攻擊。
關鍵詞:信息安全;等級保護;漏洞掃描
中圖分類號:TP315 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-02
Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management
Chen Wan
(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)
Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.
Keywords:Information security;Protection Level;Vulnerability scanning
引言:伴隨著信息化的高速發(fā)展,信息安全的形勢日趨復雜和嚴峻。國家政府對信息安全高度關注,信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度,國家相關部門高度重視等級保護制度的落實與執(zhí)行。信息系統(tǒng)是業(yè)務系統(tǒng)的支持平臺,信息系統(tǒng)的安全是承載業(yè)務系統(tǒng)安全的基礎,而在信息系統(tǒng)等級保護中,安全技術測評包括五個部分:分別是物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復。其中所涉及到的主機系統(tǒng)安全控制點包括:身份鑒別、安全標記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風險控制,利用現有的信息安全工具,規(guī)范信息系統(tǒng)主機上架前的檢測,對信息安全的管理是一種創(chuàng)新的嘗試,也是安全管理中位于未雨綢繆的體現。
一、漏洞掃描系統(tǒng)的構建
(一)漏洞掃描工具的作用
漏洞掃描工具采用高效、智能的漏洞識別技術,第一時間主動對網絡中的資產進行細致深入的漏洞檢測、分析,并提供專業(yè)、有效的漏洞防護建議。
我們采用的漏洞掃描工具的管理是基于Web的管理方式,用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊進行交互,采用模塊化設計。具有優(yōu)化的專用安全系統(tǒng)平臺,具有很高的安全性和穩(wěn)定性。其專用硬件能夠長期穩(wěn)定地運行,很好地保證了任務的周期性自動處理。能夠自動處理的任務包括:評估任務下發(fā)、掃描結果自動分析、處理和發(fā)送、系統(tǒng)檢測插件的自動升級等。同時支持多用戶管理模式,能夠對用戶的權限做出嚴格的限制,通過權限的劃分可以實現一臺設備多人的虛擬多機管理,并且提供了登錄、操作和異常等日志審計功能,方便用戶對系統(tǒng)的審計和控制。
在每次安全評估之前,用戶需要根據自己的業(yè)務系統(tǒng)確定需要進行評估的資產,并且劃分資產的重要性。漏洞掃描系統(tǒng)根據用戶的資產及其重要性會自動在其內部對目標評估系統(tǒng)建立基于時間和基于風險等多種安全評估模型。在對目標完成評估之后,模型輸出的結果數據不但有定性的趨勢分析,而且有定量的風險分析,用戶能夠清楚地看到單個資產、整個網絡的資產存在的風險,還能夠看到網絡中漏洞的分布情況、風險級別排名較高的資產、不同操作系統(tǒng)和不同應用漏洞分布等詳細統(tǒng)計信息,用戶能夠很直觀地了解自己網絡安全狀況。
(二)漏洞掃描工具的部署
針對汕頭供電局的網絡情況,使用獨立式部署方式。獨立式部署就是在網絡中部署一臺漏洞掃描設備。在共享式工作模式下,只要將設備接入網絡并進行正確的配置即可正常使用,其工作范圍通常包含汕頭供電局的整個網絡地址,用戶登錄系統(tǒng)并下達掃描任務。下圖是漏洞掃描系統(tǒng)獨立式部署模式圖。從圖中可以看出,無論在汕頭供電局何處接入設備,網絡都能正常工作,完成對網絡的安全評估。
圖1:漏洞掃描系統(tǒng)獨立式部署模式圖
(三)漏洞掃描工具的定位
1.利用漏洞掃描工具定期對網絡信息系統(tǒng)進行掃描,以便主動發(fā)現存在的安全隱患和防護漏洞。
2.巡檢服務中對操作系統(tǒng)修補、加固和優(yōu)化,根據提供出來的評估報告對相關系統(tǒng)進行打補丁、升級、修補、加固和優(yōu)化,提供詳細操作報告。
3.巡檢服務過程中針對網絡設備安全加固和優(yōu)化;進行修補和加固,按照安全策略進行安全配置和優(yōu)化,提供詳細操作報告。包括:網絡設備的安全配置,網絡設備的安全加固,網絡設備的優(yōu)化配置等。
4.檢服務過程中對網絡安全設備,對所有網絡邊界進行梳理,對邊界安全防護系統(tǒng)的策略進行優(yōu)化。通過綜合應用防火墻、IPS、防病毒網關等網絡安全系統(tǒng),在區(qū)域邊界實施嚴密的控制措施,盡量在邊界阻斷來自區(qū)域外的安全威脅,從而最大化地提高電力信息數據的安全性和電力信息系統(tǒng)的可用性。
5.巡檢服務過程中在安全評估的基礎上,對桌面終端和服務器系統(tǒng)中存在的安全漏洞進行修復。對于無法修復的漏洞,評價其可能帶來的安全風險,并采用周邊網絡防護系統(tǒng)(如防火墻、IPS等)阻斷可能的攻擊,或通過監(jiān)控等手段對該風險進行控制管理。
二、服務器上架漏洞掃描規(guī)范編寫
按照信息安全工作實際需要,以“制度化管理、規(guī)范化操作”為原則,完善信息安全管理策略規(guī)范,理順信息工作內部安全控制流程規(guī)范,不斷增強網絡與信息安全整體管控效能。為更好的保障汕頭供電局信息網絡的安全、穩(wěn)定運行,使得漏洞掃描工具能真正的用到實處,特制訂漏洞系統(tǒng)管理流程。如下圖:
圖2:每季度漏洞掃描流程圖
圖3:新服務器上架前漏洞掃描流程圖
(一)漏洞掃描管理員的職責
負責漏洞掃描軟件(包括漏洞庫)的管理、更新和公布;
負責查找修補漏洞的補丁程序,及時提出漏洞修復方案;
密切注意最新漏洞的發(fā)生、發(fā)展情況,關注和追蹤業(yè)界公布的漏洞疫情;
每季度第一個月1-4日期間(節(jié)假日順推)進行上季度安全掃描復查;
每季度第一個月5號(節(jié)假日順推)生成上季度匯總報告;
新系統(tǒng)上線前,負責對系統(tǒng)管理員提出的申請的主機進行漏洞掃描檢查,并提交漏洞掃描報告給系統(tǒng)管理員,并檢查主機漏洞修補情況。
(二)系統(tǒng)管理員的職責
負責對漏洞掃描系統(tǒng)發(fā)現的漏洞進行修補工作;
遵守漏洞掃描設備各項管理規(guī)范。
新系統(tǒng)上線前,提交掃描申請,并負責對漏洞掃描系統(tǒng)發(fā)現的漏洞進行修補工作。
三、結束語
關鍵詞:網絡安全;病毒防范;防火墻
0引言
如何保證合法網絡用戶對資源的合法訪問以及如何防止網絡黑客的攻擊,已經成為網絡安全的主要內容。
1網絡安全威脅
1.1網絡中物理的安全威脅例如空氣溫度、濕度、塵土等環(huán)境故障、以及設備故障、電源故障、電磁干擾、線路截獲等。
1.2網絡中信息的安全威脅①蠕蟲和病毒。計算機蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴重破壞業(yè)務的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài),而要清除被感染計算機中的病毒所要耗費的時一間也更長。②黑客攻擊?!昂诳汀币辉~由英語Hacker英譯而來,原意是指專門研究、發(fā)現計算機和網絡漏洞的計算機愛好者。現如今主要用來描述那些掌握高超的網絡計算機技術竊取他人或企業(yè)部門重要數據從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網絡監(jiān)聽、密文破解和拒絕服務(DtS)攻擊等。
2網絡安全技術
為了消除上述安全威脅,企業(yè)、部門或個人需要建立一系列的防御體系。目前主要有以下幾種安全技術:
2.1密碼技術在信息傳輸過程中,發(fā)送方先用加密密鑰,通過加密設備或算法,將信息加密后發(fā)送出去,接收方在收到密文后,用解密密鑰將密文解密,恢復為明文。如果傳輸中有人竊取,也只能得到無法理解的密文,從而對信息起到保密作用。
2.2身份認證技術通過建立身份認證系統(tǒng)可實現網絡用戶的集中統(tǒng)一授權,防止未經授權的非法用戶使用網絡資源。在網絡環(huán)境中,信息傳至接收方后,接收方首先要確認信息發(fā)送方的合法身份,然后才能與之建立一條通信鏈路。身份認證技術主要包括數字簽名、身份驗證和數字證明。
2.3病毒防范技術計算機病毒實際上是一種惡意程序,防病毒技術就是識別出這種程序并消除其影響的一種技術。從防病毒產品對計算機病毒的作用來講,防病毒技術可以直觀地分為病毒預防技術、病毒檢測技術和病毒清除技術。
①病毒預防技術。計算機病毒的預防是采用對病毒的規(guī)則進行分類處理,而后在程序運作中凡有類似的規(guī)則出現則認定是計算機病毒。病毒預防技術包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統(tǒng)監(jiān)控技術等。②病毒檢測技術。它有兩種:一種是根據計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術;另一種是不針對具體病毒程序的自身校驗技術,即對某個文件或數據段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數據段進行檢驗,若出現差異,即表示該文件或數據段完整性己遭到破壞,感染上了病毒,從而檢測到病毒的存在。③病毒清除技術。計算機病毒的清除技術是計算機病毒檢測技術發(fā)展的必然結果,是計算機病毒傳染程序的一個逆過程。目前,清除病毒大都是在某種病毒出現后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發(fā)展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,殺毒軟件有其局限性,對有些變種病毒的清除無能為力。
2.4入侵檢測技術入侵檢測技術是一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?,F象的技術,也是一種用于檢測計算機網絡中違反安全策略行為的技術。
入侵檢測系統(tǒng)所采用的技術可分為特征檢測與異常檢測兩種。
①特征檢測的假設是入侵者活動可以用一種模式來表示,系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現象又不會將正常的活動包含進來。②異常檢測的假設是入侵者活動異常于正常主體的活動。根據這一理念建立主體正?;顒拥摹盎顒雍啓n”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統(tǒng)計規(guī)律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.5漏洞掃描技術漏洞掃描就是對系統(tǒng)中重要的數據、文件等進行檢查,發(fā)現其中可被黑客所利用的漏洞。漏洞檢測技術就是通過對網絡信息系統(tǒng)進行檢查,查找系統(tǒng)安全漏洞的一種技術。它能夠預先評估和分析系統(tǒng)中存在的各種安全隱患,換言之,漏洞掃描就是對系統(tǒng)中重要的數據、文件等進行檢查,發(fā)現其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復雜和通用系統(tǒng)不斷發(fā)現的安全缺陷,預先評估和分析網絡系統(tǒng)中存在的安全問題已經成為網絡管理員們的重要需求。漏洞掃描的結果實際上就是系統(tǒng)安全性能的評估報告,它指出了哪些攻擊是可能的,因此成為網絡安全解決方案中的一個重要組成部分。
漏洞掃描技術主要分為被動式和主動式兩種:
①被動式是基于主機的檢測,對系統(tǒng)中不合適的設置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查。②主動式則是基于對網絡的主動檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應,從而發(fā)現其中的漏洞。
2.6慝。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環(huán)境變得更安全。
【 關鍵詞 】 組件技術;網絡安全;架構;機制
Component Technology Framework for Analysis of Network Security Management
Hu Ting-feng
(The twentieth Middle School of Beijing City Beijing 100085)
【 Abstract 】 With the growing popularity of Internet applications, to further accelerate the process of resource sharing computer network, the resulting network security issues can not be ignored. In this paper the current status of the component technology, component technology present a network security management structure, and as a basis for analyzing the structure of the implementation mechanism and security mechanism, enhance the stability of network operation, security.
【 Keywords 】 component technology; network security; architecture; mechanism
0 引言
隨著組件技術的應用,帶來一次軟件開發(fā)革命,為修改與復用提供了更好的技術支持?;诮M件技術的三層軟件開發(fā)結構,更利于系統(tǒng)分項與整體功能的實現,具有一定實用價值。正是鑒于組件這一特殊功能,可滿足軟件的即插即用功能,有針對性地進行修復與升級。但是隨著組件技術的廣泛應用,安全性能問題日益凸顯,已不容忽視。文章結合實際工作經驗,重點依據網絡安全管理模型,對相關技術進行具體分析。
1 組件技術的網絡安全管理架構
目前,大多網絡安全產品之間的功能具有重復性特點,單個的安全產品既希望獲得更多功能,同時又難以滿足用戶的各方面需求。因此,在建設安全管理系統(tǒng)過程中,雖然用戶也購買了較多產品,但是產品綜合效益難以發(fā)揮。針對這一問題,最好的解決辦法就是實現各種安全產品與安全軟件的功能組合。這樣,安全產品不再以獨立的形態(tài)出現,安全組件技術應運而生。 每一種安全組件都需繼承并順利實現接口,完成某項或者某組特殊任務,但是每一項軟件功能都有明確劃分,不會出現功能重復。在用戶應用安全管理系統(tǒng)時,根據具體要求從組件庫中選擇適用的安全組件,選定的安全組件借助綜合平臺實現集成功能。如圖1所示。
在安全組件運行的平臺上,統(tǒng)一分發(fā)、配置、加載、升級并管理安全組件。通過應用組件技術,提供了系統(tǒng)安全的系統(tǒng)性、靈活性、集成性、開放性、模塊性、透明性及可管理性等優(yōu)勢。安全管理服務器作為整個系統(tǒng)運行的核心,在分布式運行環(huán)境中,可對外提供各種基礎,如策略管理、資產管理、事件管理、應急響應等。通過應用安全管理服務器,可對組件完成集中注冊、存儲、索引、分發(fā)等,加強對各項管理信息、相關策略的收集、索引、存儲、分發(fā)等功能,同時支持審計。
通過應用數據庫,給安全系統(tǒng)提供數據查詢、存儲支持等功能。在安全管理控制臺中,提供了統(tǒng)一的系統(tǒng)管理界面框架以及各項服務配置的界面??稍谠撈脚_中實現策略編輯組件、監(jiān)視組件等功能,實現面向系統(tǒng)用戶與管理員,管理員完成安全監(jiān)督、安全策略、應急響應等工作。
分布式組件容器,分別部署于網絡的各個端點位置,為組件運行提供基礎環(huán)境,支持每個功能組件的統(tǒng)一運行環(huán)境、加載方式、通信模塊以及通用功能等。通過組件技術,實現安全產品的深化改造,統(tǒng)一在系統(tǒng)中加載運行,統(tǒng)一管理安全產品的應用性能、網絡配置以及安全性能,提高管理效率,確保整個系統(tǒng)的順利運行。
2 網絡安全管理架構的實現機制研究
通過組件技術,將入侵檢測技術、漏洞掃描、防火墻技術、網絡安全評估等相結合,利用多組件的動態(tài)協作模型,可確保安全組件既獨立運行又相互通信、共同開展工作,提高工作效率與質量,實現網絡與主機的保護功能。
2.1 防火墻和網絡探測器
網絡探測器建立在入侵檢測技術基礎上,攔截并獲取網段中的數據包,從中找出可能存在的敏感信息或入侵信息,發(fā)揮保護作用。當網絡探測器檢測到攻擊事件,就可實時記錄并保存有關信息,將信息傳輸到管理控制臺,實現報警提示。但是網絡探測器自身并不能直接阻斷具有攻擊行為的網絡連接,只能作提示所用。因此,為了及時發(fā)現攻擊行為,應加強防火墻和網絡探測器的協作,由網絡探測器發(fā)出請求信號,通過防火墻切斷網絡連接。另外,如果防火墻自身發(fā)現了可疑但是不能確定的事件,也可將有關信息傳送到網絡探測器中,由網絡探測器進行分析與評估。當網絡探測器發(fā)出通知,要求防火墻切斷網絡連接,則調用API命令的函數:FW-BLOCK,其中包括命令源、源端口、目標端口、源IP、目標IP、組斷電等。其中,命令源主要指發(fā)送命令的組件技術,阻斷點則主要指防火墻阻斷的具置。
2.2 防火墻和掃描器
掃描器定期或者按照實際需要,評估目標網絡及主機的安全風險。如果發(fā)現漏洞,掃描器不能實現漏洞修補功能,而是通過管理人員的人工干預。如果在發(fā)現漏洞到修補漏洞的這段時間內,發(fā)現風險級別較高的漏洞但是無法及時采取措施,將增加系統(tǒng)的安全風險,給系統(tǒng)運行造成威脅?;谶@一實際情況,可以實現掃描器與防火墻的協作功能,如果掃描器檢測到主機中的服務存在高風險漏洞,即將信息傳輸到防火墻,由防火墻對外部網絡的訪問行為進行限制,當人工干預修補漏洞完畢之后,再請求防火墻開發(fā)外部信息的輸入。通過實現這一操作過程,可在掃描器端口分別調用FW-BLOCK以及FW-RELEASE命令函數。
2.3 網絡探測器和主機
網絡探測器和主機都是完成入侵檢測任務的重要組成部分,二者的集成與協作較為簡單。實際上,當前很多入侵檢測系統(tǒng)中集合了基于主機與網絡兩種測試技術的復合型入侵檢測系統(tǒng),例如ISS中的ReaSecure。在組件技術的網絡安全管理架構中,網絡探測器和主機兩種組件部署在保護網絡的不同層次與位置,分別收集來自不同層次、不同位置的信息,共同歸屬于一個安全數據庫,協同整合網絡信息,并在整個網絡范圍內判斷各種異常行為的特點與具體過程,如經過偽裝的入侵行為等。在網絡探測器和主機之間,實現共同協作,應參照CIDF建議中的相關標準,以CISL數據交換語言及格式為主。
2.4 管理控制臺和組件技術
在組件技術的網絡安全管理架構中,設置專用控制臺,統(tǒng)一集中管理組件。通過這種集中式的網絡安全管理環(huán)境,更好地保持組件之間協作,成為有機整體。網絡管理員只要通過管理控制臺就可以訪問并控制各個組件,提升整個網絡安全策略,實時掌握安全動態(tài),并做好相關測試工作,保障各組件之間的協調工作,全面保護網絡運行。
2.5 掃描器和入侵檢測
當掃描器掃描到網絡及系統(tǒng)中的脆弱性安全信息,對網絡探測器以及主機的入侵檢測非常重要。因此,在該組件技術的網絡安全管理架構中,每次掃描器完成掃描評估過程,就會將漏洞信息中的相關入侵檢測組件,包括服務端口、主機IP地址、CVE值以及風險級別等。另外,在掃描器中可以獲得相應的目標網絡安全評估報告,給網絡探測器、主機等部署提供有效建議。如果入侵檢測組件已經檢測到內部主機中產生的攻擊信息,就可同時傳遞到掃描器中,實行主機安全評估,盡快完善主機存在的系統(tǒng)漏洞及安全隱患。
3 組件技術的安全機制
為了確保各個安全組件的協同工作,各組件之間必須兼容、共享,保持密切通信關系,實現信息交互。在大型分布式網絡構架中,大多安全組件安裝在通用網絡中,因此組件技術的安全系統(tǒng)中各組件之間的通信也通過網絡而實現,安全系統(tǒng)自身也可能受到外來病毒、黑客的入侵與攻擊。
出于對網絡安全管理系統(tǒng)自身安全性的重視,構建一個安全、可靠、完整的內部通信機制非常重要。為了確保組件技術的網絡安全系統(tǒng)自身具有安全性、可靠性,建議采取PKI身份認證或者保密通信機制。給系統(tǒng)中的組件通信提供鑒于數字證書基礎上的身份認證、消息加密、消息認證、消息發(fā)送等。在整個PKI系統(tǒng)中,主要包括CA服務器、客戶端應用接口、證書查詢服務器三大部分,如圖2所示。
其中,CA服務器用于簽發(fā)并核實證書;客戶端應用接口則是一個用于安全組件中的PKI應用接口軟件,支持入侵檢測系統(tǒng)、掃描器、防火墻等安全組件的身份認證與通信保密;證書查詢服務器支持各種證書查詢服務。在CA服務器中,向系統(tǒng)中的所有組件簽發(fā)證書,每兩個組件之間實現通信連接。以證書查詢服務器為基礎,驗證對方身份,并協商好共享的對稱密鑰,通過該密鑰實現系統(tǒng)加密,構建一條信息交換的安全通道。
4 系統(tǒng)應用的優(yōu)勢分析
(1)在整個管理構架系統(tǒng)中,存在著多級防御體系,分別完成不同的工作任務。將整體工作量具體劃分為若干層次,可避免過去集中式系統(tǒng)中常產生的負載過度集中問題。在該系統(tǒng)中,負責服務器組的安全防御體系中,監(jiān)控過濾后的流量,與監(jiān)控所有流量的方式相比,負載有所降低,有效提高監(jiān)控效率。
(2)對于各個子系統(tǒng),在不同防御級別上有所重疊,更利于實現不同子系統(tǒng)之間的協作管理。例如,在核心防御系統(tǒng)中,防火墻、網絡掃描器、中心NIDS端接在同一個核心交換機中,極大方便相互協作與信息共享。
(3)與傳統(tǒng)的網絡安全管理系統(tǒng)相比,該系統(tǒng)既可防御外部網絡攻擊,更可對內部攻擊行為進行記錄,為用戶提供依據,防堵內部漏洞,震懾內部攻擊行為,提高系統(tǒng)運行安全性。
5 結束語
隨著網絡安全問題的日益突出,給網絡安全防護提出全新要求,且體系結構越來越復雜,涉及到各種各樣的安全技術與安全設備。隨著網絡安全管理系統(tǒng)的提出,將過去孤立的網絡安全轉變?yōu)榻y(tǒng)一性、集中性的大型安全技術管理。以組件技術為基礎的網絡安全管理架構系統(tǒng)來看,不同的組件在不同機器、不同設備運行時,執(zhí)行的任務也有所不同,但是最終歸屬到安全管理控制臺中,統(tǒng)一匯總并管理。
可見,以組件技術為基礎的網絡安全管理構架,既可保障系統(tǒng)安全性、完整性,也可發(fā)揮最大效益,減少投入成本,更方便網絡安全設備的統(tǒng)一監(jiān)控、集中管理,減少安全管理員的工作強度。當前,該架構已逐漸應用并推廣,具有良好的發(fā)展空間。
參考文獻
[1] 朱思峰,李春麗,劉曼華,楊建輝.基于多組件協作的網絡安全防御體系研究[J].周口師范學院學報,2007(2).
[2] 劉效武.基于多源融合的網絡安全態(tài)勢量化感知與評估[J].哈爾濱工程大學:計算機應用技術,2009.
[3] 謝桂芹.網絡安全軟件的自動化測試系統(tǒng)的研究與應用[D].南京郵電大學:計算機軟件與理論,2009.
[4] 郭晨,夏潔武,黃傳連.基于漏洞檢測安全中間件的設計與實現[J].微計算機信息,2007(18).
[5] 王宇,盧昱.基于組件及信任域的信息網絡安全控制[J].計算機應用與軟件,2006(3).
[6] 楊宏宇,鄧強,謝麗霞.網絡安全組件協同操作研究[J].計算機應用,2009(9).
隨著水利信息化工作的不斷推進,電子政務,水利公共信息載體,數字水利,以及水資源管理體系等信息化結果的出現,有利的推進了水利現代化的運行。網絡平臺是信息構建和信息化成果使用的重要媒介,充分的表現出了IT的實際價值。在互聯網飛速發(fā)展的現在,網絡進攻的方式也逐漸增多,信息體系所承受的安全風險也逐漸增加,怎樣保證網絡信息的安全是現在水利信息化進程中急需要處理的問題之一。
1 水利網絡信息安全的實際狀況
最近幾年,水利部門根據水利工作的實際狀況,在對治水經驗和實際操作進行總結的過程中,提出要轉變過去的水利發(fā)展道路,堅持走可持續(xù)發(fā)展水利道路,建立水利現代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革,水利信息化構建也取得了一定的成績,逐漸轉變成為水利現代化的主要力量。根據國家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理,水利電子政務的相關項目和大型灌區(qū)信息化試點等重要工程的順利完成,水利信息化基礎設備也在不斷的健全,對業(yè)務的使用能力也在逐漸加強。防汛抗旱,城市水資源的監(jiān)控管理,水利電子政務和全國水土保持監(jiān)管信息體系等業(yè)務也開始應用到實際生活中。在水利信息化基礎構建和業(yè)務不斷拓展的過程中,相關的保證水利信息化安全的體系也逐漸形成。
2 強化水利網絡信息安全的解決措施
網絡和信息的安全隱患問題,使得水利信息化的發(fā)展受到阻礙,所以要及時的進行預防,綜合治理和科學管理,逐漸增加信息的安全性,加強其中的保護能力,保證水利信息化的持續(xù)運行。
2.1 加強信息安全管理
信息安全規(guī)劃包含了技術、管理和相關法律等多個層面的問題,是穩(wěn)定網絡安全、物理安全、資料安全和使用安全的關鍵因素。信息安全規(guī)劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過程中,信息系統(tǒng)安全構建和管理要更加具有系統(tǒng)性、整體性和目標性。
2.1.1 以信息化規(guī)劃為基礎,構建信息化建設
信息安全是在信息化規(guī)劃的基礎上,對信息安全進行系統(tǒng)的整理,是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對信息化發(fā)展的實際情況進行深入的分析和研究,更好的發(fā)現信息化中存在的安全隱患,還要根據信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路,有效的處理信息安全的問題。
2.1.2 構建信息安全系統(tǒng)
信息安全規(guī)劃需要從技術安全、組織安全、戰(zhàn)略安全等方面入手,構建相關的信息安全系統(tǒng),從而更好的保證信息化的安全。
2.2 日常的運維管理
2.2.1 注重網絡的安全監(jiān)控
網絡的飛速發(fā)展使得水利網絡安全和互聯網安全關系更加緊密。所以,注重互聯網安全監(jiān)控,從而及時的采取相關的安全防護措施,是現在日常安全管理工作中的主要內容。
2.2.2 安全狀態(tài)研究
網絡信息安全是處于不斷變化的過程中,需要定時對網絡安全環(huán)境進行整體的分析,這樣不但可以發(fā)現其中的問題,還可以及時的采取相關的措施進行改正。安全態(tài)勢主要是利用網絡設備、主機設備、安全設備和安全管理工具等策略來進行信息的處理,通過統(tǒng)計和分析,綜合評價網絡系統(tǒng)的安全性,并且對發(fā)展的狀態(tài)進行判斷。
2.2.3 信息安全風險評估
風險評估是信息安全管理工作中的重要部分。通過進行風險評估,可以及時的發(fā)現信息安全中的問題,并且找到積極有效的解決措施。安全風險評估的主要方法是:(1)對被評估的主要信息進行確定;(2)通過本地審計、人員走訪、現場觀看、文檔審閱、脆弱性掃描等方法,對評估范圍中的網絡、使用和主機等方面的安全技術和信息進行管理;(3)對取得的信息資料進行綜合的分析,判別被評估信息資產中存在的主要問題和風險;(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現有技術等方面,根據風險程度的不同,分析和管理相關的安全問題;(5)根據上面的分析結果,建立相關的信息安全風險評估報告。
2.2.4 應急響應
所謂的應急響應就是信息安全保護的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴重影響,進行及時的響應和修復。應急響應包含了前期應急準備和后期應急響應兩個部分。前期應急準備主要有預警預防制度、組織指導系統(tǒng)、應急響應過程、應急團隊、應急器械、技術支持、費用支持等應急措施,并且定時進行應急演練等。后期應急措施主要有檢查病毒、系統(tǒng)防護、阻斷后門等問題,對網絡服務進行限制或關閉以及事后的恢復系統(tǒng)等工作。通過兩個部分的不斷配合,才能更好的發(fā)揮應急響應的重要作用。
2.3 教育培養(yǎng)
人是信息安全的主要力量,其中的知識構造和使用能力對信息安全工作有著重要的影響。強化信息安全管理人員的專業(yè)素養(yǎng),及時的進行信息安全教育,提升人們的信息安全意識,從而有效的減少信息安全問題的出現。
3 總結
隨著社會經濟的不斷發(fā)展,信息系統(tǒng)中的安全問題也逐漸增多。因此需要不斷的加強信息安全管理工作,對于網絡信息安全管理中的問題進行深入的研究,找到具有針對性的解決措施,從而保證水利信息化的健康發(fā)展。
關鍵詞:資產管理;資產探測;漏洞掃描
近年來,隨著廣電網絡公司業(yè)務邊界的不斷拓展,安全策略的不斷變化,防護對象的轉換,作為業(yè)務、生產的運行單元,廣電網絡公司的網絡資產管理逐漸成為安全核心要素。當前廣播電視網絡公司的資產規(guī)模越來越大,數量越來越多,如公網地址就達到了百萬級別,這些給資產管理工作帶來了很大的挑戰(zhàn)。各類資產、設備數量大幅增加,資產的歸屬結構關系復雜,部門與部門之間存在交叉使用的情況,同時帶來了資產安全責任難以落實,風險管理面臨巨大的壓力。如使用的Excel或ERP系統(tǒng),已經無法滿足資產管理的需要,為實現基于可視化的網絡資產全生命周期的安全管理,必須通過建設新型的資產安全管理平臺。
1新型資產安全管理平臺功能架構
新型資產安全管理平臺架構如圖1,它具備以下功能。
1.1自動采集發(fā)現企業(yè)網絡信息系統(tǒng)資產
利用專業(yè)的IT資產探測工具,對資產進行探測發(fā)現,并在此基礎上進行資產信息的補充和記錄,最終錄入安全資產管理庫。資產的探測通過自動采集、手工維護和接口同步等3種方式實現。自動采集是通過資產掃描、Web爬蟲等完成設備類和軟件類資產的自動采集,具備根據IP地址段自動掃描資產的能力,掃描結果包含但不限于IP、端口、設備類別、操作系統(tǒng)、承載的軟件應用(如中間件)等手工維護是通過人工維護對資產數據進行錄入和完善對應屬性信息。接口同步是利用統(tǒng)一安全管理平臺等系統(tǒng)進行數據同步,自動進行資產數據的錄入和核對。
1.2自動稽核網絡信息安全資產
根據資產報備流程(新增、變更和注銷),對單位上報的資產信息的準確性進行審核。如發(fā)現誤報、漏報等問題,稽核對相關單位進行通報,責令整改?;瞬捎萌粘Q矙z和不定期抽查兩種方式,日常巡檢為每周對全量資產信息審核一次。
1.3生成和梳理網絡信息資產
建立網絡信息安全資產庫并維護更新,資產庫能夠自動同步或者導入各單位上報的資產信息,并整理為統(tǒng)一模板格式。資產庫能夠將探測和導入的資產,包括主機資產和應用資產,進行集中梳理和管理,并通過導出報表的形式對資產信息進行集中展示。分析報表主要包含Excel報表和綜合報表。Excel報表主要為用戶導出資產清單和資產風險清單,生成清單文檔,用戶可以下載相關的Excel文檔。綜合報表是對資產的安全進行分析評估。用戶可以通過點擊“添加報表”根據提示創(chuàng)建資產安全評估報告,從而輸出單位資產信息匯總報告。
1.4發(fā)現資產的網絡安全漏洞和閉環(huán)管理
資產安全管理平臺采用先進的漏洞掃描引擎和流程化管理方式,對網絡信息安全資產所存在的安全漏洞進行掃描和風險全生命周期管理工作,實現了漏洞管理從發(fā)現到修復完成的閉環(huán)[1]。當風險管理員通過漏洞掃描到風險漏洞并審核后,將掃描到的漏洞下發(fā)到相關責任人員進行處理修復;相關部門責任人接到漏洞修復任務后對漏洞進行審核和修復操作,責任人修復完漏洞后提交復測申請;風險管理員對修復的漏洞進行復測和后續(xù)的歸檔,漏洞管理實現了從發(fā)現到修復的完整閉環(huán)。
1.5資產的全生命周期態(tài)勢分析
安全管理平臺通過對資產的全生命周期活動進行全方位的數據分析,包括資產探測,資產稽核、資產變更、漏洞管理等,將結果通過分析報表和可視化大屏的方式呈現。其中可視化大屏的方式是將資產信息通過折線圖、餅狀圖、柱狀圖等形式從資產情況、風險漏洞等8421多角度直觀、實時、全面地展示資產概況與趨勢,實現資產管理全流程工作信息數據可視、動態(tài)感知的目標。
2關鍵技術
新型資產安全管理平臺建設過程中,主要采用以下關鍵技術。
2.1資產建模技術
基于核心的資產建模技術,根據導入資產的信息建立資產模型,進行深度識別,自動發(fā)現關聯資產,智能識別資產類型[2]。通過網絡安全資產的主動探測和發(fā)現,結合廣播電視現有網絡資產數據庫,智能化建模。
2.2資產探測技術
利用無狀態(tài)掃描技術極速完成資產管理,通過異步連接技術高效完成端口探測與狀態(tài)識別[3]。
2.3人工智能深度學習技術
利用決策樹算法和海量產品數據庫進行機器訓練[4],完成不同應用與服務協議數據的拆分,提取特征值,自動建立指紋模型,實現智能阻斷繞過。自動整理所提供的已知資產,并持續(xù)進行智能化巡檢和識別,實時更新資產狀態(tài)。
2.4基于策略匹配的極速響應
資產安全管理平臺通過策略匹配實現漏洞的極速響應排查和策略學習,進一步提高漏洞事件匹配的準確率。另外資產安全管理平臺支持本地、虛擬等多種環(huán)境,有效做到了全業(yè)務系統(tǒng)覆蓋。結合自定義檢測,從海量數據中快速定位高危資產,極大簡便了風險管理,縮短了應急響應的流程。
3應用效果
以中廣有線信息網絡有限公司(以下簡稱中廣有線)為例,自資產安全管理平臺上線以來,為中廣有線發(fā)現未掌控的網絡資產300余個,保障了單位網絡安全資產管理的工作穩(wěn)步、有序、高效地開展,規(guī)避了未掌控資產因無法管理,導致可能被惡意網絡攻擊造成的負面影響。通過自動的資產安全管理稽核與梳理,大大降低了資產管理的成本,節(jié)省了大量的人力和管理成本。同時將原有不受管控的資產找回,部分資產被二次利用,避免了單位資產的浪費。通過高效的漏洞探測與管理機制,減少了繁瑣的修復任務下發(fā)流程,漏洞修復速度大大加快,避免漏洞未及時修復導致被攻擊造成重大經濟損失。
4結束語
資產安全管理平臺能夠滿足資產管理工作中的大多數業(yè)務需求,資產管理得到有效梳理和相關責任的順利落地,有效解決了資產管理中存在的長期痛點和難題。同時這套系統(tǒng)具備方便、高效、規(guī)范等特點,具備推廣價值。
參考文獻:
[1]倪浩杰.基于生命周期的新型漏洞管理平臺設計[J].網絡安全技術與應用,2020(4):77-79.
[2]齊權,賀劼,魯悅.網絡空間資產普查與風險感知系統(tǒng)[J].信息技術與標準化,2018(9):53-56,69.
關鍵詞:網絡安全;云計算;網絡安全數據存儲系統(tǒng);設計;數據存儲
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0005-03
1 引言
1.1 研究背景
對于本次研究中,基于云計算技術,該技術是由多種不同技術混合發(fā)展的結果。當前社會中,云計算技術的成熟度較高,又有多數公司企業(yè)的應用推動,也使得云計算的發(fā)展極為迅速【1】。云計算技術中,其確保用戶可以將大量的數據存儲在云端之中,可以減少使用信息數據的IT設備投資成本,也可提升數據使用便利【2】。然而,在實際中,網絡安全數據存儲中,由于云計算數據損壞引發(fā)的弊端,也不斷出現,給用戶造成損失,對此進行研究,以便解決安全問題。
1.2國內外研究現狀
在我國的云計算發(fā)展中,2008年,我國就在無錫以及北京地區(qū),建立IBM云計算中心;同時,中國的移動研究院,在當前已經建立了1024個關于云計算研究的試驗中心【3】。在云安全技術方面,通過云分析、識別病毒以及木馬方面,也在我國網絡安全應用中取得巨大成功【4】。同時,對于瑞星、趨勢以及卡巴斯基等公司,也均推出基于云的網絡安全解決方法【5】,促進我國云技術的發(fā)展在國外云計算研究中,Google云、IBM云、亞馬遜云、微軟云等,其也均是運用云計算實現網絡安全數據存儲的先行者。在云計算領域之中,還包括VMware、Salesforce等成功的公司【6】。在國外云技術發(fā)展中,微軟公司也緊跟上安全數據網絡云計算發(fā)展步伐,在2008年的10月期間推出Windows Azure操作系統(tǒng),微軟已經配置了220個集裝箱式數據中心,包括44萬臺服務器【7-8】。
1.3本次設計可行性
在本次設計中,系統(tǒng)由網絡安全技術項目開發(fā)小組開發(fā)研制;本系統(tǒng)設計中,主要就是基于云計算技術,可以采用BS的系統(tǒng)架構模式,基于WEB網絡應用形式,滿足系統(tǒng)用戶的使用安全需求。利用https協議實現web服務器和web客戶端之間的數據的加密傳輸,數字簽名認證,加密存儲,實現網絡安全通信,實現簡單的網絡信息安全存儲,發(fā)揮設計可行性,有助于提升網絡安全數據存儲性能。
2云計算技術應用
2.1技術簡介
對于云計算技術中,可以根據該技術服務類型的不同,可以把基礎設施作為其服務IaaS的云計算技術,一種就是將平臺作為服務的PaaS云計算技術,還有一種是將軟件作為服務的SaaS云技術。
在實際之中,我們可以將云計算當做商業(yè)計算模型,可以使云計算系統(tǒng)用戶能夠按需,去獲取系統(tǒng)服務【9】。
2.2應用特點
云計算具有超大規(guī)模:云計算技術中,“云”具有相當規(guī)模,可以賦予用戶實現“云”計算的能力【10】。
云計算具有虛擬化的特點,用戶可以在任意位置用 “云”終端服務【11】。
云計算具有通用性,大幅降低系統(tǒng)的設計成本【12】。
3分析網絡安全數據存儲系統(tǒng)設計需求
隨著當我國云計算技術的發(fā)展與成功應用,云計算已經滲透到人民生活的方方方面,因而,由此帶來的云計算安全問題,也越來越令人擔憂。若是黑客突破了網絡安全系統(tǒng)屏障之后,對于系統(tǒng)中沒有加密明文存儲的數據,就極其容易被泄露,給用戶數據安全帶來危害。本次設計中,在分析云計算技術下優(yōu)化系統(tǒng)設計特征以及面臨的相關安全威脅,可以從云計算的服務用戶角度,優(yōu)化水云計算網絡安全數據存儲系統(tǒng)的防御策略。在云計算技術下,進網絡安全數據存儲系統(tǒng)設計之中,能夠通過對用戶安全和攻擊數據刻畫出攻擊者的行為習慣,從研究“一片葉子“過渡到觀察”整片森林”,對整個森林的形勢更了解,掌握安全主動權;當網絡行為層面檢測到異常,云盾的態(tài)勢感知會快速完成從“異常發(fā)現”到“實時分析”再到“追溯取證”的全過程,并輔以直觀的可視化的分析報告,提升網絡安全數據存儲系統(tǒng)安全。
4云計算技術下設計網絡安全數據存儲系統(tǒng)
4.1總體結構設計
4.2系統(tǒng)功能設計
對于本次系統(tǒng)設計之中,找出適合自身需求的云模式。系統(tǒng)功能結構如圖3所示:
登錄注冊模塊功能:實現用戶的登錄和注冊,和服務器進行通信使用https協議,在將注冊信 息保存到數據庫時,對注冊信息進行加密傳輸,web服務器收到數據后進行解密,然后對數據進行加密存儲。
生成數字證書模塊功能:用于對訂單文件的數字認證。讓用戶進行系統(tǒng)操作,對數據存儲文件進行加密傳輸,web服務器收到文件后對文件進行解密,然后對文件加密存儲
系統(tǒng)操作模塊: 對云計算技術下的網絡安全信息進行加密傳輸,web服務器接收到信息后對信息解密,然后對信息進行加密存儲。
4.3 設計云計算服務
在云計算技術下,設計網絡安全數據存儲系統(tǒng),對有特殊安全需求的存儲服務,會以黑客的視角,用黑客的攻擊方法進行測試,給出安全評估報告,及早發(fā)現網絡安全數據存儲系統(tǒng)中可能被利用的漏洞,對于云服務中的漏洞能夠及時自動修復。云計算的存儲來源可以基于整個體系,既有主機端數據,也有網絡數據;既有線上數據,也有線下數據。數據來源足夠豐富,足以覆蓋防護面上的漏洞和盲點。數據的處理不僅包括存儲,還有計算。誰攻擊過用戶,誰對用戶有威脅,都能夠通過云網絡安全數據存儲系統(tǒng)實時分析計算出來。
4.4 系統(tǒng)代碼實現
5 應用云計算技術下網絡安全數據存儲系統(tǒng)的效益
隨著我國當前在網絡安全以及網絡信息交換技術等方面的深入研究,基于云計算技術下,結合與防火墻技術、入侵檢測系統(tǒng)技術以及病毒檢測等相關技術,使其與網絡安全數據存儲實現有機的結合,有助于提高當前系統(tǒng)的數據處理速率;并可以根據實際的數據存儲系統(tǒng)應用,去修改完善該系統(tǒng)的安全功能,提高云計算技術下網絡系統(tǒng)的安全性?;谠朴嬎慵夹g設計網絡安全數據存儲系統(tǒng),可以提升系統(tǒng)安全性能,提高16.0%,也可以提高該系統(tǒng)使用性能,發(fā)揮積極應用價值。
6 結論
綜上所述,設計網絡安全數據存儲系統(tǒng)中,基于云計算技術下,提升系統(tǒng)存儲安全技術的可擴展與高性能,有助于推動云計算網絡環(huán)境下的網絡安全數據存儲系統(tǒng)安全,將會發(fā)揮積極影響。
參考文獻:
[1] 張樹凡,吳新橋,曹宇,等.基于云計算的多源遙感數據服務系統(tǒng)研究[J].現代電子技術,2015, 03(03):90-94.
[2] 陳良維.云計算環(huán)境下的網絡安全估計模型態(tài)勢仿真[J].現代電子技術,2015.
[3] 李海濤.云計算用戶數據傳輸與存儲安全研究[J].現代電子技術,2013,20(20):24-26.
[4] 劉勝娃,陳思錦,李衛(wèi),等.面向企業(yè)私有云計算平臺的安全構架研究[J].現代電子技術,2014,4(4):34-36.
[5] 荊宜青.云計算環(huán)境下的網絡安全問題及應對措施探討[J].網絡安全技術與應用,2015(9):75-76.
[6] 黎偉.大數據環(huán)境下的網絡安全研究[J].科技創(chuàng)新與應用,2015(33):105.
[7] 王筱娟.云計算與圖書館發(fā)展的研究[J].科技風,2015(7):224.
[8] 劉思得.基于網絡的云存儲模式的分析探討[J].科技通報,2012,28(10):206-209.
[9] 張潔.云計算環(huán)境下的數據存儲保護機制研究與仿真[J].計算機仿真,2013,30(8):254-257.
[10] 梁彪,曹宇佶,秦中元,等.云計算下的數據存儲安全可證明性綜述[J].計算機應用研究,2012,29(7):2416-2421.
[關鍵詞]企業(yè)信息 網絡安全體系
一、企業(yè)信息網絡安全現狀概述
進入21世紀后,隨著國內信息化程度的快速提高,信息網絡信息安全越來越多受到關注,信息網絡安全產品和廠商短短幾年內大量涌現。但是,令人擔憂的是,雖然眾多的產品和廠商都以信息網絡安全的概念在提供服務,但其中包含的實際技術和內容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際信息網絡安全問題,造成投資浪費;另一方面也不利于創(chuàng)造良性的競爭環(huán)境,阻遏了信息網絡安全市場的發(fā)展。
鑒于此,有必要對信息網絡安全進行成體系的理論探討,形成統(tǒng)一的共識和標準,這樣才能讓信息網絡安全產品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發(fā)展。
二、信息網絡安全問題的本質探討
1.信息網絡安全問題的形成原因
信息網絡安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內部信息網絡具備了以下三個特點:
(1)隨著ERP、OA和CAD等生產和辦公系統(tǒng)的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,信息網絡已經成了各個單位的生命線,對信息網絡穩(wěn)定性、可靠性和可控性提出高度的要求。
(2)內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統(tǒng)一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發(fā)整個網絡的癱瘓,對信息網絡各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。
(3)由于生產和辦公系統(tǒng)的電子化,使得內部網絡成為單位信息和知識產權的主要載體,傳統(tǒng)的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。
上述三個問題,都是依賴于信息網絡,與信息網絡的安全緊密相連的,信息網絡安全受到廣泛的高度重視也就不以為奇。
2.信息網絡安全問題的威脅模型
相對于信息網絡安全概念,傳統(tǒng)意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統(tǒng)網絡安全考慮的是防范互聯網對信息網絡的攻擊,即可以說是互聯網安全,包括傳統(tǒng)的防火墻、入侵檢察系統(tǒng)和VPN都是基于這種思路設計和考慮的。互聯網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內互聯網邊界出口。所以,在互聯網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。
而信息網絡安全的威脅模型與互聯網安全模型相比,更加全面和細致,它即假設信息網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自互聯網,也可能來自信息網絡的任何一個節(jié)點上。所以,在信息網絡安全的威脅模型下,需要對內部網絡中所有組成節(jié)點和參與者的細致管理,實現一個可管理、可控制和可信任的信息網絡。由此可見,相比于互聯網安全,企業(yè)的信息網絡安全具有以下特點:
(1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;
(2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;
(3)要求對信息進行生命周期的完善管理。
三、現有信息網絡安全產品和技術分析
自從信息網絡安全概念提出到現在,有眾多的廠商紛紛自己的信息網絡安全解決方案,由于缺乏標準,這些產品和技術各不相同,但是總結起來,應該包括監(jiān)控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產品和技術類型的特性做了簡單的分析和說明。
1.監(jiān)控審計類
監(jiān)控審計類產品是最早出現的信息網絡安全產品, 50%以上的信息網絡安全廠商推出的信息網絡安全產品都是監(jiān)控審計類的。監(jiān)控審計類產品主要對計算機終端訪問網絡、應用使用、系統(tǒng)配置、文件操作,以及外設使用等提供集中監(jiān)控和審計功能,并可以生成各種類型的報表。
監(jiān)控審計產品一般基于協議分析、注冊表監(jiān)控和文件監(jiān)控等技術,具有實現簡單和開發(fā)周期短的特點,能夠在信息網絡發(fā)生安全事件后,提供有效的證據,實現事后審計的目標。監(jiān)控審計類產品的缺點是不能做到事情防范,不能從根本上實現提高信息網絡的可控性和可管理性。
2.桌面管理類
桌面管理類產品主要針對計算機終端實現一定的集中管理控制策略,包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能,這類型產品通常跟監(jiān)控審計產品有類似的地方,也提供了相當豐富的審計功能,
桌面監(jiān)控審計類產品除了使用監(jiān)控審計類產品的技術外,還可能需要對針對Windows系統(tǒng)使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監(jiān)控審計類產品實現了對計算機終端資源的有效管理和授權,其缺點不能實現對信息網絡信息數據提供有效的控制。
3.文檔加密類
文檔加密類產品也是信息網絡安全產品中研發(fā)廠商相對較多的信息網絡安全產品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。
文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統(tǒng)適應性差、安全性不高以及維護升級工作量大的缺點。
4.文件加密類
文件加密類產品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。
文件加密類產品主要基于文件驅動技術,不針對特定類型文檔,避免了文檔加密類產品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現對數據信息的強制保護和控制。
5.磁盤加密類
磁盤加密類產品在磁盤驅動層對部分或者全部扇區(qū)進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現對磁盤數據的全面保護。
磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術,具有技術難度高、研發(fā)周期長的特點。此外,由于磁盤加密技術對于上層系統(tǒng)、數據和應用都是透明的,要實現比較好的效果,必須結合其他信息網絡安全管理控制措施。
四、構建完整的信息網絡安全體系
從前面的介紹可以看出,上述的信息網絡安全產品,都僅僅解決了信息網絡安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的信息網絡安全體系,應該統(tǒng)一規(guī)劃,綜合上述各種技術的優(yōu)勢,構建整體一致的信息網絡安全管理平臺。
根據上述分析和信息網絡安全的特點,一個整體一致的信息網絡安全體系,應該包括身份認證、授權管理、數據保密和監(jiān)控審計四個方面,并且,這四個方面應該是緊密結合、相互聯動的統(tǒng)一平臺,才能達到構建可信、可控和可管理的安全信息網絡的效果。
身份認證是信息網絡安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。信息網絡的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數量大、環(huán)境不安全和變化頻繁的特點。
授權管理是以身份認證為基礎的,其主要對內部信息網絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。
數據保密是信息網絡信息安全的核心,其實質是要對信息網絡信息流和數據流進行全生命周期的有效管理,構建信息和數據安全可控的使用、存儲和交換環(huán)境,從而實現對信息網絡核心數據的保密和數字知識產權的保護。由于信息和數據的應用系統(tǒng)和表現方式多種多樣,所以要求數據保密技術必須具有通用性和應用無關性。
監(jiān)控審計是信息網絡安全不可缺少的輔助部分,可以實現對信息網絡安全狀態(tài)的實時監(jiān)控,提供信息網絡安全狀態(tài)的評估報告,并在發(fā)生信息網絡安全事件后實現有效的取證。
需要再次強調的是,上述四個方面,必須是整體一致的,如果只簡單實現其中一部分,或者只是不同產品的簡單堆砌,都難以建立和實現有效信息網絡安全管理體系。