前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全改善方案主題范文,僅供參考,歡迎閱讀并收藏。
[關(guān)鍵詞]移動網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防護技術(shù)
引言
根據(jù)工信部提供的數(shù)據(jù),截至2018年3月,我國移動互聯(lián)網(wǎng)用戶總數(shù)高達13.2億,同比增加16.1%,移動網(wǎng)絡(luò)用戶數(shù)量的持續(xù)增加,不僅催生了新的經(jīng)濟業(yè)態(tài),便捷了用戶生活,也誘發(fā)了信息數(shù)據(jù)丟失、泄露等安全問題。為保持移動網(wǎng)絡(luò)的安全性與穩(wěn)定性,研究團隊與技術(shù)人員需要從安全防護技術(shù)的角度出發(fā),厘清設(shè)計需求,強化技術(shù)創(chuàng)新,逐步構(gòu)建起完備的移動網(wǎng)絡(luò)安全防護技術(shù)體系。
1移動通信網(wǎng)絡(luò)安全防護技術(shù)概述
探討移動通信網(wǎng)絡(luò)安全防護技術(shù)構(gòu)成與類型,有助于技術(shù)人員形成正確的觀念認知,掌握移動通信網(wǎng)絡(luò)安全防護的特點,梳理后續(xù)安全防護技術(shù)的設(shè)計需求,為安全防護技術(shù)的科學(xué)應(yīng)用提供方向性引導(dǎo)。隨著移動網(wǎng)絡(luò)技術(shù)的日益成熟,移動通信網(wǎng)絡(luò)安全防護技術(shù)逐步完善,可以充分滿足不同場景下的網(wǎng)絡(luò)安全防護基本要求。具體來看,現(xiàn)階段移動網(wǎng)絡(luò)安全機制較為健全、完善,形成了網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用安全等幾個層級[1],實現(xiàn)了移動網(wǎng)絡(luò)的傳輸層、服務(wù)層以及應(yīng)用層的有效聯(lián)動,強化了對移動網(wǎng)絡(luò)入網(wǎng)用戶的身份識別能力,以更好地提升移動通信網(wǎng)絡(luò)的安全防護能力,相關(guān)技術(shù)構(gòu)成如圖1所示。網(wǎng)絡(luò)接入安全保護技術(shù)的作用,使得用戶可以通過身份識別等方式,快速接入到移動網(wǎng)絡(luò)之中,從而規(guī)避無線鏈路攻擊風(fēng)險,保證網(wǎng)絡(luò)運行的安全性,降低網(wǎng)絡(luò)安全風(fēng)險。通過構(gòu)建網(wǎng)絡(luò)安全域安全技術(shù)模塊,對移動網(wǎng)絡(luò)中的數(shù)據(jù)交互路徑采取加密保護等相關(guān)舉措,可以降低數(shù)據(jù)丟失或者泄露的風(fēng)險。與其他網(wǎng)絡(luò)不同,移動網(wǎng)絡(luò)用戶相對而言較為固定,用戶群體較為明顯,這種特性使得在移動通信網(wǎng)絡(luò)安全防護應(yīng)用過程中,可以通過簽約用戶識別模塊,形成移動實體/通用簽約用戶識別模塊(UniversalSubscriberIdentityModule,USIM)安全環(huán)境,實現(xiàn)移動網(wǎng)絡(luò)安全防護的靈活化、有效化,依托移動網(wǎng)絡(luò)安全防護技術(shù),使得電信運營商的服務(wù)質(zhì)量顯著提升,更好地滿足不同場景下、不同用戶群體的移動網(wǎng)絡(luò)使用需求[2]。隨著5G網(wǎng)絡(luò)的日益成熟,移動網(wǎng)絡(luò)安全防護技術(shù)也需要做出相應(yīng)的轉(zhuǎn)變,通過形成移動通信網(wǎng)絡(luò)安全平臺,實現(xiàn)硬件系統(tǒng)與軟件系統(tǒng)的聯(lián)動,構(gòu)建起平臺式、生態(tài)化的移動通信網(wǎng)絡(luò)安全防護機制,最大限度地保證用戶信息的安全性與有效性。
2移動通信網(wǎng)絡(luò)安全防護技術(shù)設(shè)計需求
移動通信網(wǎng)絡(luò)安全防護技術(shù)涉及的技術(shù)類型較為多元,為有效整合安全防護技術(shù)資源,技術(shù)人員應(yīng)當明確安全防護技術(shù)需求,在技術(shù)需求導(dǎo)向下,提升移動通信網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用的有效性。
2.1移動通信網(wǎng)絡(luò)面臨的主要威脅
移動通信網(wǎng)絡(luò)在使用過程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴重,用戶個人信息數(shù)據(jù)丟失案例逐年上升,網(wǎng)絡(luò)安全形勢日益嚴峻。出現(xiàn)這種情況的主要原因在于,移動通信網(wǎng)絡(luò)經(jīng)過多年發(fā)展,其形成以網(wǎng)絡(luò)應(yīng)用服務(wù)為核心,以移動終端為平臺的應(yīng)用場景[3]。這種技術(shù)特性,使得越來越多的用戶愿意通過移動通信網(wǎng)絡(luò)進行數(shù)據(jù)的訪問。數(shù)據(jù)訪問的完成,固然提升了用戶的使用體驗,但是移動通信網(wǎng)絡(luò)在通過空中接口傳輸數(shù)據(jù)的過程中,出現(xiàn)數(shù)據(jù)截流或者丟失的概率也相對較大。移動通信網(wǎng)絡(luò)具有較強的開放性,用戶可以根據(jù)自身的需要,進行網(wǎng)絡(luò)資源的獲取與訪問,這種開放性,無形之中增加了安全事件的發(fā)生概率。這些移動通信網(wǎng)絡(luò)安全威脅要素的存在,勢必要求技術(shù)人員快速做出思路的轉(zhuǎn)變,通過技術(shù)創(chuàng)新與優(yōu)化,持續(xù)增強技術(shù)的安全性。
2.2移動通信網(wǎng)絡(luò)安全防護技術(shù)設(shè)計基本要求
2.2.1基于體系安全的移動通信網(wǎng)絡(luò)安全防護為改善移動通信網(wǎng)絡(luò)安全防護能力,有效應(yīng)對各類外部風(fēng)險,避免數(shù)據(jù)竊取或者泄漏等情況的發(fā)生。在移動通信網(wǎng)絡(luò)安全防護工中,需要以平臺為基礎(chǔ),豐富安全防護的路徑與場景,基于這種技術(shù)思路,我國相關(guān)安全技術(shù)團隊提出了平臺化的解決方案。將移動通信網(wǎng)絡(luò)終端作為主要平臺,對終端實體設(shè)備與網(wǎng)絡(luò)之間的初始認證路徑、認證頻次等做出適當?shù)恼{(diào)整,形成安全信息的交互,這種平臺式的移動通信網(wǎng)絡(luò)安全防護技術(shù),不僅可以提升實際的防護能力,還在很大程度上降低了移動通信安全防護技術(shù)的應(yīng)用成本,避免了額外費用的產(chǎn)生,穩(wěn)步提升了移動通信網(wǎng)絡(luò)安全防護的實用性與可行性[4]。
2.2.2基于終端安全的移動通信網(wǎng)絡(luò)安全防護終端是移動通信網(wǎng)絡(luò)數(shù)據(jù)存儲、交互、使用的重要媒介,基于這種認知,技術(shù)人員需要將終端作為安全防護的重要領(lǐng)域,通過技術(shù)的創(chuàng)新,打造完備的終端安全防護機制體系。例如,目前較為成熟的第三代移動通信網(wǎng)絡(luò)的認證與密鑰協(xié)商協(xié)議(AuthenticationandKeyAgreement,AKA),其根據(jù)終端特性,設(shè)置了可信計算安全結(jié)構(gòu),這種安全結(jié)構(gòu)以可信移動平臺、公鑰基礎(chǔ)設(shè)施作為框架,將用戶終端中嵌入敏感服務(wù),形成魯棒性終端安全平臺,從實踐效果來看,這種安全認證技術(shù)方案,不僅可以識別各類終端攻擊行為,消除各類安全風(fēng)險,其技術(shù)原理相對簡單,實現(xiàn)難度較小,在實踐環(huán)節(jié),表現(xiàn)出明顯的實踐優(yōu)勢。
3移動網(wǎng)絡(luò)安全防護技術(shù)體系的構(gòu)建
移動通信網(wǎng)絡(luò)安全防護技術(shù)的應(yīng)用,要求技術(shù)人員從實際出發(fā),在做好防護技術(shù)設(shè)計需求分析的基礎(chǔ)上,依托現(xiàn)有的技術(shù)手段,建立起完備的移動通信網(wǎng)絡(luò)安全防護技術(shù)應(yīng)用體系,實現(xiàn)安全防護體系的健全與完善。
3.1應(yīng)用可信服務(wù)安全防護技術(shù)方案
基于移動通信網(wǎng)絡(luò)安全防護技術(shù)設(shè)計要求,技術(shù)人員應(yīng)當將平臺作為基礎(chǔ),形成以移動可信計算模塊為核心的安全防護技術(shù)體系。從實際情況來看,移動可信計算模塊具有較強的獨立性,可以為用戶提供可靠的信息安全通道,對于移動通信網(wǎng)絡(luò)終端安裝的各類操作軟件進行合法性檢測,對于沒有獲得授權(quán)的軟件,禁止安裝與運行。這種技術(shù)處理方案實用性較強,具備較高的使用價值。
3.2應(yīng)用安全服務(wù)器防護技術(shù)方案
為降低移動通信網(wǎng)絡(luò)安全防護技術(shù)的應(yīng)用難度,技術(shù)人員將安全服務(wù)器納入防護技術(shù)方案中,通過安全服務(wù)器,移動通信網(wǎng)絡(luò)可以在較短的時間內(nèi)完成移動端軟件完整性評估與合法性查詢,通過這種輔助功能,移動通信網(wǎng)絡(luò)使用的各類硬件、軟件保持在安全運行狀態(tài),實現(xiàn)對各類安全事件的評估與應(yīng)對,以保證安全防護成效。在安全服務(wù)器防護技術(shù)設(shè)置上,技術(shù)人員需要針對性地做好查詢功能的設(shè)置工作,為移動終端提供軟件合法性查詢服務(wù)。這種技術(shù)機制使得安全服務(wù)器可以對移動終端安裝或者運行軟件進行系統(tǒng)化查詢。例如,根據(jù)需要,對安裝或者運行軟件的合法性進行審查。審查過程中,終端通過本地的MTM進行查詢,如沒有獲得查詢結(jié)果,則發(fā)出查詢申請,安全服務(wù)器在接受申請后,進行系列安全查詢,并將查詢結(jié)果及時反饋給終端。在安全服務(wù)器使用過程中,還需要做好升級工作。例如,加強與軟件提供商的技術(shù)溝通,通過技術(shù)溝通,做好軟件安全性、合法性信息的生成,實現(xiàn)軟件的備案。還要持續(xù)提升運營網(wǎng)絡(luò)的接入網(wǎng)服務(wù)器交互功能,逐步強化移動終端完整性的整體性接入能力,保證移動終端的安全性與整體性。
3.3應(yīng)用大數(shù)據(jù)下安全防護技術(shù)方案
大數(shù)據(jù)背景下,移動通信安全防護技術(shù)的應(yīng)用,要求技術(shù)人員從安全監(jiān)測、安全響應(yīng)、系統(tǒng)恢復(fù)等層面出發(fā),形成完備的安全防護機制。在安全監(jiān)測模塊設(shè)計環(huán)節(jié),技術(shù)人員通過入侵監(jiān)測技術(shù)、網(wǎng)絡(luò)深度過濾技術(shù)、網(wǎng)絡(luò)抓包技術(shù)得以對移動通信網(wǎng)絡(luò)漏洞開展評估與分析,并根據(jù)評估結(jié)果,進行網(wǎng)絡(luò)安全補丁的下載,從而避免病毒等非法入侵行為的發(fā)生[5]。相應(yīng)安全技術(shù)研發(fā)過程中,依托殺毒軟件、防火墻等現(xiàn)有的網(wǎng)絡(luò)安全防護技術(shù)方案,確保移動通信網(wǎng)絡(luò)在遭受攻擊后,可以快速響應(yīng),實現(xiàn)對網(wǎng)絡(luò)病毒的查殺,確保信息數(shù)據(jù)的安全性。要做好網(wǎng)絡(luò)終端數(shù)據(jù)的備份,定期進行移動通信網(wǎng)絡(luò)數(shù)據(jù)的備份,一旦出現(xiàn)信息泄露或者網(wǎng)絡(luò)遭受攻擊的情況,讓技術(shù)人員可以通過備份技術(shù),快速完成數(shù)據(jù)的恢復(fù),將信息泄露的損失降到最低。
關(guān)鍵詞:物聯(lián)網(wǎng)專業(yè);網(wǎng)絡(luò)安全;課程建設(shè)
作者簡介:姚?。?974-),男,安徽合肥人,江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院,講師,江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院博士研究生。(江蘇 無錫
214122)
中圖分類號:G642.0 文獻標識碼:A 文章編號:1007-0079(2013)22-0107-02
隨著計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)等信息技術(shù)的迅猛發(fā)展,物聯(lián)網(wǎng)時代來臨了。物聯(lián)網(wǎng)是指物品通過各種信息傳感設(shè)備如射頻識別、紅外感應(yīng)器、全球定位系統(tǒng)及激光掃描器等信息傳感設(shè)備,按約定的協(xié)議,把任何物品與互聯(lián)網(wǎng)連接起來,進行信息交換和通信,以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。[1]目前世界先進國家都對物聯(lián)網(wǎng)技術(shù)發(fā)展高度重視。美國把物聯(lián)網(wǎng)確立為新一輪國際競爭優(yōu)勢的關(guān)鍵戰(zhàn)略。在我國,從2009年到現(xiàn)在,總理多次明確指出物聯(lián)網(wǎng)發(fā)展的重要性和緊迫性。
然而,物聯(lián)網(wǎng)技術(shù)的快速、健康和可持續(xù)發(fā)展離不開物聯(lián)網(wǎng)人才的培養(yǎng)。因此結(jié)合我國當前社會、經(jīng)濟和物聯(lián)網(wǎng)發(fā)展現(xiàn)狀,制定符合中國國情的物聯(lián)網(wǎng)人才培養(yǎng)戰(zhàn)略是當務(wù)之急。2011年3月,教育部正式公布了戰(zhàn)略性新興產(chǎn)業(yè)相關(guān)本科新增專業(yè)名單。此次全國高校新設(shè)本科專業(yè)140個,有30所高校均增設(shè)了物聯(lián)網(wǎng)工程專業(yè)。這些專業(yè)自2011年開始招生。鑒于物聯(lián)網(wǎng)是一門集計算機、電子信息、通信、自動化等多學(xué)科的交叉新興學(xué)科,很多工科類大學(xué)新建立的物聯(lián)網(wǎng)工程專業(yè)都是從現(xiàn)有專業(yè)中抽調(diào)教師,除了根據(jù)專業(yè)特點安排一些新課程以外,很多課程都是交叉學(xué)科的課程,比如反映物聯(lián)網(wǎng)安全的信息安全專業(yè)的“網(wǎng)絡(luò)安全”課程。本文就如何上好物聯(lián)網(wǎng)工程專業(yè)中的“網(wǎng)絡(luò)安全”課程做一些探討和研究。
物聯(lián)網(wǎng)可以說是把“雙刃劍”,安全可靠的物聯(lián)網(wǎng)可以幫助人們改變生產(chǎn)生活方式,大幅度提高人們生產(chǎn)生活的效率,反之,如果因為安全問題造成局部或全局系統(tǒng)的癱瘓,也會極大影響人們的正常生產(chǎn)生活。所以,安全問題是物聯(lián)網(wǎng)中的一個重要問題?!熬W(wǎng)絡(luò)安全”課程就是針對物聯(lián)網(wǎng)中與各種通信網(wǎng)絡(luò)有關(guān)的安全問題所設(shè)的一門課程。
“網(wǎng)絡(luò)安全”課程講授的是網(wǎng)絡(luò)安全最基礎(chǔ)的原理、技術(shù)及方法,知識更新快,交叉學(xué)科多,知識面廣,難以掌握。這些特點要求“網(wǎng)絡(luò)安全”課程課時較長,理論教學(xué)與動手實踐并重,教師的教學(xué)手段多樣,學(xué)生的動手能力較強。
一、樹立正確的教學(xué)指導(dǎo)思想
“網(wǎng)絡(luò)安全”作為信息安全專業(yè)的一門綜合性課程,其前導(dǎo)專業(yè)課程較多,涉及的技術(shù)、知識面較廣,部分內(nèi)容晦澀難懂,學(xué)生普遍反映學(xué)習(xí)、掌握的難度較大。而物聯(lián)網(wǎng)工程專業(yè)也是一個多學(xué)科交叉的專業(yè),學(xué)生如果想要達到本專業(yè)的培養(yǎng)目標,需要在有限的時間里學(xué)量課程。所以,物聯(lián)網(wǎng)工程專業(yè)的“網(wǎng)絡(luò)安全”課程安排的學(xué)時數(shù)不可能達到信息安全專業(yè)中的水平。另外,物聯(lián)網(wǎng)的網(wǎng)絡(luò)是互聯(lián)網(wǎng)的延展,這也增加了新的學(xué)習(xí)內(nèi)容。如何在有限的教學(xué)學(xué)時內(nèi),不但把基本理論、基本知識講深講透并且能讓學(xué)生同時掌握一定的動手能力是任課教師的一項艱巨任務(wù)。[2]
要想讓物聯(lián)網(wǎng)工程專業(yè)的學(xué)生學(xué)好“網(wǎng)絡(luò)安全”課程,首先要樹立正確的教學(xué)指導(dǎo)思想。
1.理論教學(xué)與實踐教學(xué)并重
這是由“網(wǎng)絡(luò)安全”課程的特點決定的。“網(wǎng)絡(luò)安全”課程的理論教學(xué)涵蓋了網(wǎng)絡(luò)安全體系結(jié)構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全工程三大部分。
(1)網(wǎng)絡(luò)安全體系結(jié)構(gòu)描述網(wǎng)絡(luò)信息體系結(jié)構(gòu)在滿足安全需求方面各基本元素之間的關(guān)系,反映信息系統(tǒng)安全需求和網(wǎng)絡(luò)體系結(jié)構(gòu)的共性,并由此派生了相應(yīng)的網(wǎng)絡(luò)安全協(xié)議、技術(shù)和標準。[3]這一部分內(nèi)容相對枯燥,卻是本門課程的基礎(chǔ)??梢酝ㄟ^一些軟件演示來改善學(xué)習(xí)效果,比如可以通過sniffer軟件來實時演示如何抓包并分析包的協(xié)議字段。這些包都是平時學(xué)生上網(wǎng)時常見的,由此可以提高學(xué)生的學(xué)習(xí)興趣。
(2)單一的網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品不能解決網(wǎng)絡(luò)安全的全部問題。應(yīng)綜合運用各種網(wǎng)絡(luò)安全技術(shù),包括防火墻、VPN、IPSec、黑客技術(shù)、漏洞掃描、入侵檢測、惡意代碼和病毒的防治、系統(tǒng)平臺安全及應(yīng)用安全。[3]這是“網(wǎng)絡(luò)安全”所教授的主要內(nèi)容,既有基本理論需要掌握,也需要大量的實踐來保證教學(xué)效果。由于學(xué)時有限,可以采用課堂講授基本理論,課下根據(jù)學(xué)生的興趣另外安排實踐的方式。
(3)對網(wǎng)絡(luò)安全進行的綜合處理,要從體系結(jié)構(gòu)的角度,用系統(tǒng)工程的方法,貫穿網(wǎng)絡(luò)安全設(shè)計、開放、部署、運行、管理和評估的全過程。[3]這一部分也是既有理論也有實踐,但實踐的不是具體的技術(shù)。需要學(xué)生對(1)、(2)部分的掌握比較扎實。這部分可以結(jié)合案例來講授,以提高吸引力。
這里要糾正一種過于偏重實踐能力培養(yǎng)的教學(xué)傾向。“網(wǎng)絡(luò)安全”課程有大量的實踐內(nèi)容,但這些實踐必須建立在扎實的理論基礎(chǔ)之上,教學(xué)過程中要糾正學(xué)生熱衷做試驗而忽視理論學(xué)習(xí)的不良傾向。
2.教學(xué)指導(dǎo)與自主學(xué)習(xí)并重
由于“網(wǎng)絡(luò)安全”課程的內(nèi)容涉及面非常廣,僅僅課堂學(xué)習(xí)是遠遠不夠的。所以在教學(xué)實踐中,既需要任課教師提供及時的理論支持和技術(shù)支持,更需要學(xué)生進行高效率自主學(xué)習(xí),包括課前預(yù)習(xí)、課后復(fù)習(xí),并積極利用學(xué)校各種資源如圖書館、互聯(lián)網(wǎng)、機房等,幫助理解和掌握理論知識,加強發(fā)現(xiàn)問題解決問題的能力。任課教師要充分利用網(wǎng)絡(luò)的便利性,建立課程網(wǎng)站以及能同步或異步互動的論壇,通過與學(xué)生的互動,既可以提高學(xué)生的學(xué)習(xí)興趣,解決課時有限的問題,同時也激勵教師不斷跟上新技術(shù),改善教師理論較強而相對實踐較弱的問題。
二、采用多樣化的教學(xué)手段
良好的教學(xué)手段是提高教學(xué)質(zhì)量的重要環(huán)節(jié)。教學(xué)過程中可以充分利用現(xiàn)代科技提供的各種工具,根據(jù)教學(xué)內(nèi)容的不同采用與之相適應(yīng)的教學(xué)方法,既繼承了傳統(tǒng)方法的優(yōu)點,又能克服傳統(tǒng)方法的缺陷。
1.現(xiàn)代化的教學(xué)手段
現(xiàn)代化的教學(xué)手段中,以計算機為基礎(chǔ)的多媒體教學(xué)無疑是最常用的手段。可以通過播放課前制作的動畫、剪輯的與安全有關(guān)的科幻電影片段等,使抽象的網(wǎng)絡(luò)安全理論更加生動、形象,既提高了教學(xué)效率,也能對重點、難點問題進行較為透徹的講解。
建立課程網(wǎng)站(含論壇)是另一個重要的教學(xué)輔助手段。課程網(wǎng)站包含任課教師收集的所有與課程有關(guān)的資料,格式包括文本、圖形、圖像、聲音和視頻,內(nèi)容涵蓋課程規(guī)劃、任課教師隊伍、教學(xué)課件、參考資料、習(xí)題與解答、實踐等。學(xué)生可以各取所需。同時論壇提供了一種教師與學(xué)生的互動模式。
本文提出了另一種形式的互動,即建立QQ群。QQ是一種即時通信工具,提供了強大的即時通信功能,而且它有著廣泛的應(yīng)用基礎(chǔ)。任課教師以課程為單位建立QQ群,所有“網(wǎng)絡(luò)安全”課程的任課教師和學(xué)生都加入群中,大家可以通過文字、語音、視頻等方式共同探討問題,也可以在群里建立臨時或長期討論組,就某些小群體關(guān)心的問題進行討論。學(xué)生可以利用QQ群提供的共享區(qū)共享各種資料,還可以利用遠程協(xié)作功能實時、共同地完成某項任務(wù)。
2.案例輔助教學(xué)
物聯(lián)網(wǎng)就在身邊,而物聯(lián)網(wǎng)的安全案例也隨時隨地可以發(fā)現(xiàn);同時,“網(wǎng)絡(luò)安全”是一門綜合性課程,知識點分散、課程內(nèi)容更新速度快、實踐性強。通過案例教學(xué),讓學(xué)生應(yīng)用所學(xué)的理論知識分析和認識網(wǎng)絡(luò)安全事件和解決方案,以提高學(xué)生綜合運用知識的能力。在教學(xué)過程中,可以有針對性選取有代表性、實效性和實戰(zhàn)性的案例,教師和學(xué)生在案例教學(xué)中分別找準自己的定位,教師要扮演幫助者和引導(dǎo)者的角色,而學(xué)生要站在網(wǎng)絡(luò)安全技術(shù)人員的角度去發(fā)現(xiàn)問題解決問題。教師還要對案例討論進行總結(jié)和評價。[4]
3.成立興趣小組
網(wǎng)絡(luò)安全知識點分散,需要較強的實踐能力。可以結(jié)合學(xué)院發(fā)起的“大學(xué)生創(chuàng)新項目”,學(xué)生根據(jù)自己的興趣點,利用所學(xué)的知識,針對某個安全問題提出解決方案并最終在指導(dǎo)教師的幫助下完成所申請的創(chuàng)新項目。既鍛煉了學(xué)生的調(diào)研、自學(xué)、解決問題的能力,又可以讓學(xué)生提前進入模擬工作環(huán)境,給他們今后走上工作崗位添加自信。
三、建立合理的評價體系
各種教學(xué)手段的應(yīng)用極大地豐富了教學(xué)過程,同時也帶來如何評價學(xué)生成績的難題。傳統(tǒng)“填鴨式”教學(xué)很容易給學(xué)生的表現(xiàn)打分,但這種打分只停留在學(xué)生死記硬背的基礎(chǔ)上,最后考試的成績不能真實地反映學(xué)生水平。
1.課堂提問與作業(yè)反饋的評價相結(jié)合
任課教師可以在課堂上就某個問題對學(xué)生提問,然后根據(jù)學(xué)生的回答給出相應(yīng)的分數(shù)。課后作業(yè)一定程度上反映了學(xué)生學(xué)習(xí)的認真程度和對課程知識的理解程度,教師批改后也給予分數(shù),這些分數(shù)在最終考評中都占有一定的比例。
2.理論基礎(chǔ)與動手能力的評價相結(jié)合
這可以通過兩種方案來實現(xiàn)。一是在課程考試時采用筆試和機試相結(jié)合的方式。筆試主要測試基礎(chǔ)知識和理論,機試主要測試學(xué)生動手能力;二是在平時階段性地要求學(xué)生完成一些作品,提交結(jié)果報告,并打分。期末考試仍然筆試。第一種方案強調(diào)分析問題解決問題的能力,第二種方案強調(diào)創(chuàng)新和綜合運用的能力。任課教師在教學(xué)過程中對這兩種方案既可以挑一使用,也可以混合使用。
參考文獻:
[1]胡向東.物聯(lián)網(wǎng)研究與發(fā)展綜述[J].數(shù)字通信,2010,(2):19-23.
[2]張軍.非計算機專業(yè)“計算機網(wǎng)絡(luò)”教學(xué)改革實踐[J].廣東工業(yè)大學(xué)學(xué)報,2006,(12):103-104.
今年4月,本田汽車零件制造有限公司決心改善網(wǎng)絡(luò)安全狀況。考慮到公司屬于中小企業(yè),缺乏資金、人員、技術(shù)等實際情況,經(jīng)過對多家安全廠商及產(chǎn)品的多方面考察,選擇了安裝趨勢科技專門為中小企業(yè)量身定做的CSM(中小企業(yè)安全軟件包)。幾個月下來,CSM就像一位不下班的IT助手,能夠全天候、不間斷、全自動地監(jiān)控、響應(yīng)和防范來自互聯(lián)網(wǎng)的各種威脅,使公司網(wǎng)絡(luò)環(huán)境得到很大改善。
靈活掌握網(wǎng)頁式主控臺
CSM提供基于客戶端和服務(wù)器的兩種不同服務(wù)模式。在普通電腦上,只需要安裝客戶端類型,CSM只相當于一個單機版防病毒軟件;指定一臺服務(wù)器電腦,同時安裝兩種類型,就可以通過服務(wù)器電腦管理局域網(wǎng)中的所有電腦了。其客戶端配置鎖定功能還有助于避免客戶端任意篡改或屏蔽病毒防護配置。
通過服務(wù)器電腦上的網(wǎng)頁式網(wǎng)絡(luò)安全主控臺,可以通過單一接口對所有客戶端進行遠程管理和故障診斷等專業(yè)化的管理,由于CSM設(shè)計簡潔而清晰,所有客戶端電腦的一舉一動都能一覽無余。
輕松指揮全天候
CSM這位“虛擬網(wǎng)管員”解決了公司沒有專職IT管理人員煩惱。通過后臺的趨勢科技安全專家,CSM提供7×24小時全天候自動警戒服務(wù),不需人工干預(yù),也不必手動操作,就可以隨時保持最新的防毒保護,還可以定期與趨勢科技TrendLabs解毒中心核對,是否有任何更新快速的更新流程,真正能降低潛在的風(fēng)險。
為了節(jié)省時間,兼職管理員設(shè)置了自動查殺病毒功能,就可以安心做其他工作了。出現(xiàn)病毒情況比較嚴重時才采用手動殺毒。另外,CSM可以對病毒的處理進行預(yù)設(shè),可以根據(jù)每臺客戶端電腦的具體情況分別設(shè)置掃描、清除、隔離或刪除等處理方式。當病毒查殺完成后,只需要查看CSM形成清晰細致的日志報告就可對整個網(wǎng)絡(luò)安全狀況一覽無余。
將多種威脅一網(wǎng)打盡
以前的防病毒軟件功能單一,很多新型威脅根本無法防范,而CSM能夠全面防范病毒、特洛伊木馬、蠕蟲、間諜軟件、垃圾郵件、系統(tǒng)漏洞、僵尸網(wǎng)絡(luò),以及未授權(quán)訪問在內(nèi)的多種威脅,還可以自動完成病毒特征碼的更新,真正從內(nèi)容層到網(wǎng)絡(luò)層都為公司樹起了一道全面集成的防御防線。
尤其是CSM具有的病毒漏洞評價功能,可以自動執(zhí)行掃描和報表匯總?cè)蝿?wù),通過對漏洞的嚴重程度進行評估,提供依照風(fēng)險性優(yōu)先級排列的報告,這樣就能提醒用戶采取適當?shù)拇胧┎才庞行虻南到y(tǒng)強化工作。此外,CSM的個人防火墻功能為PC、筆記本電腦和服務(wù)器提供保護防火墻保護功能,防止黑客對這些設(shè)備發(fā)起攻擊。
對垃圾郵件CSM也發(fā)揮了威力,它通過終端用戶隔離、類型過濾、攔截可疑文件、預(yù)先檢測等手段,有效過濾垃圾郵件,大大提升網(wǎng)絡(luò)帶寬。安裝CSM后,它會自動監(jiān)測企業(yè)收到的郵件內(nèi)容,進行最終用戶隔離,并在微軟Exchange服務(wù)器上攔截垃圾郵件或打上分類標簽,并將可疑郵件放置在特定隔離區(qū)供使用者甄別。
關(guān)鍵詞:移動網(wǎng) 安全 IP化改造 LTE
中圖分類號:TN929 文獻標識碼:A 文章編號:1672-3791(2015)04(c)-0015-01
隨著現(xiàn)代通信技術(shù)越來越深入的影響人們的生活,通信甚至和喝水吃飯一樣成為了人們?nèi)粘I畹牟豢苫蛉钡囊徊糠?,而其中?G、4G為代表移動通信技術(shù)更是成為其中與人們?nèi)粘I盥?lián)系最緊密的通信技術(shù)。在這樣的背景下,對移動通信網(wǎng)絡(luò)的安全性提出了更高的要求。但另一方面隨著用戶越來越多,業(yè)務(wù)越來越多,網(wǎng)絡(luò)規(guī)模也越來越大、越來越復(fù)雜。龐大復(fù)雜的網(wǎng)絡(luò)和安全性的高要求形成矛盾,依靠主備容災(zāi)、倒換等傳統(tǒng)的安全策略已經(jīng)難以對新型的網(wǎng)絡(luò)提供高效的安全保障,于是客觀要求我們提出保障移動網(wǎng)絡(luò)安全的新策略。
1 移動網(wǎng)絡(luò)IP化―― 安全新策略的承載基礎(chǔ)
傳統(tǒng)的網(wǎng)絡(luò)大都以電路承載為主要,但隨著網(wǎng)絡(luò)的演進,電路承載投資巨大,后續(xù)演進困難等弊端逐一顯現(xiàn),基本上所有的主流運營商都選擇了網(wǎng)絡(luò)IP化的演進方向。所謂移動網(wǎng)IP化就是以IP承載方式替代傳統(tǒng)電路承載,實現(xiàn)移動網(wǎng)各個接口的IP化改造。IP化改造不僅本身提高了網(wǎng)絡(luò)的安全性,更為后續(xù)的安全策略提供了承載保障。后續(xù)的網(wǎng)絡(luò)演進幾乎都是建立在網(wǎng)絡(luò)IP化的基礎(chǔ)之上。對于移動網(wǎng)絡(luò)安全至關(guān)重要的是核心網(wǎng)的IP化改造,其中包括:Nc接口、Mc接口、Nb接口。
IP承載方式的具有天然的多路由選擇性,較之點到點電路承載方式更為安全。IP承載方式能夠有效降低傳輸負荷,對整個傳輸網(wǎng)絡(luò)的安全具有很大的提升作用。在IP承載方式的基礎(chǔ)之上網(wǎng)絡(luò)安全策略有了很大的提升空間。
2 打破大區(qū)制――網(wǎng)狀長途網(wǎng)的建立
2.1 傳統(tǒng)大區(qū)制長途網(wǎng)絡(luò)結(jié)構(gòu)
對中國這樣幅員遼闊的國家,長途網(wǎng)對于通信網(wǎng)尤為重要,長期以來我國的長途網(wǎng)都是采用大區(qū)制。即全國分為若干個大區(qū),每個大區(qū)都設(shè)大區(qū)節(jié)點,下帶若干個省份。大區(qū)下帶省份的出省入省話務(wù)均由大區(qū)節(jié)點所在省份匯接。
2.2 大區(qū)制長途網(wǎng)絡(luò)的安全隱患
在傳統(tǒng)長途網(wǎng)中,大區(qū)節(jié)點間點對點相連,大區(qū)內(nèi)各省份話務(wù)均由大區(qū)節(jié)點轉(zhuǎn)接,這樣一旦某大區(qū)節(jié)點故障,將會對整個大區(qū)話務(wù)產(chǎn)生影響,造成數(shù)省大規(guī)模通信中斷。同時,大區(qū)制長途網(wǎng)絡(luò)中,由于節(jié)點單一,某省話務(wù)量激增會導(dǎo)致大區(qū)節(jié)點負荷激增,進而影響整個大區(qū)通信安全。
2.3 網(wǎng)狀軟交換長途網(wǎng)絡(luò)的建立
由于傳統(tǒng)長途網(wǎng)存在的安全隱患,加之傳統(tǒng)長途網(wǎng)基于電路傳輸擴容投資成本巨大,于是各大運營商紛紛建立起以IP為承載的新型軟交換長途網(wǎng)絡(luò)。
新型軟交換長途網(wǎng)絡(luò)有幾個區(qū)別于傳統(tǒng)長途網(wǎng)絡(luò)的特點。
(1)使用軟交換設(shè)備。
與傳統(tǒng)長途網(wǎng)絡(luò)由傳統(tǒng)交換機搭建不同,新型長途網(wǎng)絡(luò)使用軟交換設(shè)備,控制與承載分離。
(2)IP承載。
與傳統(tǒng)長途網(wǎng)絡(luò)使用電路承載不同,新型長途網(wǎng)絡(luò)承載與IP承載網(wǎng)之上,其Nb接口、Nc接口、Mc接口均實現(xiàn)IP化。
(3)網(wǎng)狀網(wǎng)連接。
新型長途網(wǎng)絡(luò)打破了層層轉(zhuǎn)接的大區(qū)制組網(wǎng)模式,實現(xiàn)了網(wǎng)狀網(wǎng)連接,安全型大大提升。
長途網(wǎng)通過新型軟交換網(wǎng)狀長途網(wǎng)絡(luò)的建立,安全性得到了很大的提升,和用戶日常通信更為緊密的本地網(wǎng)則提出了MSC Pool的概念。
3 MSC Pool――本地網(wǎng)池組化改造
MSC Pool是一種通過采用Iu/A-Flex技術(shù),一個BSC/RNC可以歸屬于多個MSC,同時將多個MSC構(gòu)成一組資源池,從而實現(xiàn)MSC資源共享的特性組網(wǎng)方案。
MSC Pool組網(wǎng)相比傳統(tǒng)本地網(wǎng)組網(wǎng)安全性能大為提高,主要表現(xiàn)為以下幾點。
(1)MSC Pool中無線側(cè)BSC和RNC與多個CN節(jié)點連接組網(wǎng),A口或Iu口的安全性大大提高。
(2)MSC Pool組網(wǎng)方式下,通過負荷均衡技術(shù),在同一MSC池區(qū)內(nèi)能夠保證每個MSC接入用戶數(shù)大體相當。這樣有效避免了傳統(tǒng)組網(wǎng)方式下,某區(qū)域內(nèi)用戶突然激增造成的整個MSC負荷激增的危險情況。
(3)MSC Pool具有良好的容災(zāi)能力,一方面MSC Pool的負荷分擔機制已經(jīng)具備了一定的MSC級的容災(zāi)能力,另一方面MSC Pool組網(wǎng)模式還能夠提供良好的主被叫容災(zāi)方案。
(4)由于MSC Pool內(nèi)沒有局間切換和局間位置更新,所以信令流量和系統(tǒng)負荷大為減少,相應(yīng)的網(wǎng)絡(luò)安全性得到了提升。
在3G網(wǎng)絡(luò)中引入的IP化改造、網(wǎng)狀長途網(wǎng)、MSC Pool組網(wǎng)等新技術(shù)新概念,使得移動網(wǎng)安全性能大為提高。
4 面向4G的歸屬位置寄存器――分布式HLR的建立
分布式HLR與傳統(tǒng)HLR最大的區(qū)別是將傳統(tǒng)HLR的信令接入及處理模塊和用戶數(shù)據(jù)庫模塊分離,分別成為分布式HLR的前端(FE)和后端(BE)。FE實現(xiàn)協(xié)議接入與業(yè)務(wù)處理功能,BE實現(xiàn)用戶數(shù)據(jù)的存儲、訪問、管理、接入控制、同步等功能。分布式HLR系統(tǒng)由前端和用戶數(shù)據(jù)庫功能實體構(gòu)成。
分布式HLR具有完備的容災(zāi)方案,一般建議的容災(zāi)方式有以下幾點。
(1)FE可采用N+1備份方式(N>=1);當N=1時,可采用1+1主備或1+1互備;當N>=2時,應(yīng)采用N+1主備方式。當主用FE故障時,信令消息自動/手動切換到備用FE;當FE恢復(fù)后,信令消息再恢復(fù)到FE。
(2)BE一般采用1+1主備方式,每個BE都可對FE提供數(shù)據(jù)訪問服務(wù),形成BE的容災(zāi)系統(tǒng)。每個BE中保存所有用戶數(shù)據(jù),一個BE故障,另外一個BE自動接管,提供服務(wù)。
分布式HLR的優(yōu)點主要體現(xiàn)在設(shè)備容量大、組網(wǎng)能力強、容災(zāi)方案完善、設(shè)備利用率高、可靠性強、可平滑演進的特性 。HLR在移動網(wǎng)中具有舉足輕重的作用,直接關(guān)系到網(wǎng)絡(luò)安全。分布式HLR的建立對加強移動網(wǎng)的安全起到了至關(guān)重要的作用。
5 高效安全的第四代移動通信網(wǎng)――扁平化的LTE網(wǎng)絡(luò)
LTE的全稱是3GPP Long Term Evolution,其采用優(yōu)化的UTRAN結(jié)構(gòu)。LTE根據(jù)雙工方式的不同,分為FDD和TDD兩種模式。
LTE網(wǎng)絡(luò)最大的結(jié)構(gòu)特點就是采用扁平化的網(wǎng)絡(luò)結(jié)構(gòu)
LTE架構(gòu)在安全提升方面有幾個明顯優(yōu)勢。
(1)LTE采用了扁平化的網(wǎng)絡(luò)結(jié)構(gòu),使網(wǎng)絡(luò)結(jié)構(gòu)進一步簡化。
(2)網(wǎng)絡(luò)扁平化使得系統(tǒng)延時減少,從而改善用戶體驗,可開展更多業(yè)務(wù)。
(3)網(wǎng)元數(shù)目減少,使得網(wǎng)絡(luò)部署更為簡單,網(wǎng)絡(luò)的維護更加容易。
(4)取消了RNC的集中控制,避免單點故障,有利于提高網(wǎng)絡(luò)穩(wěn)定性。
今天,移動通信已經(jīng)幾乎已經(jīng)融入到了生活的方方面面,對于電信級的通信網(wǎng)絡(luò),網(wǎng)絡(luò)安全是其生命線。隨著通信網(wǎng)絡(luò)的升級,越來越多的安全新策略被應(yīng)用,我們一定能夠給億萬用戶提供一個越來越先進、越來越安全的通信網(wǎng)絡(luò)。
參考文獻
趨勢科技針對中型企業(yè)的IT信息安全需求為中型企業(yè)量身定制了企業(yè)防毒服務(wù)“一站式”解決方案,力求達到如下效果:
通過產(chǎn)品,落實基礎(chǔ)的安全架構(gòu)框架,分層次部署,加大防護力度。
通過服務(wù),改善網(wǎng)絡(luò)環(huán)境,縮短病毒處理周期,提升安全管理水準,合理降低維護成本。
統(tǒng)一管理防毒更簡單有效
中型企業(yè)的信息化建設(shè)一般正處于構(gòu)建基礎(chǔ)架構(gòu)階段,網(wǎng)絡(luò)結(jié)構(gòu)具有分散、多級、多節(jié)點等特點。目前中型企業(yè)存在的主要問題有:防牌復(fù)雜,管理難度大;網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,防毒產(chǎn)品更新、部署困難;終端用戶安全意識差,病毒的傳播防不勝防。
趨勢科技防毒服務(wù)“一站式”解決方案中所含的OfficeScan防毒墻網(wǎng)絡(luò)版軟件產(chǎn)品采用最新的云安全2.0技術(shù),從大量病毒入侵互聯(lián)網(wǎng)的主要途徑入手,通過Web信譽服務(wù)和文件信譽服務(wù)將各類病毒擋在網(wǎng)絡(luò)之外,同時又加強了對終端的應(yīng)用行為的監(jiān)控和移動設(shè)備的管理(如U盤、MP3等),增強了各終端節(jié)點自身針對病毒與攻擊的防護能力,做到兼顧內(nèi)外的雙層防護,幫助企業(yè)的網(wǎng)絡(luò)在面臨各種來自內(nèi)部、外部威脅時靈活應(yīng)對。
OfficeScan 10.0的云掃描模式在檢測病毒時,大量的病毒掃描任務(wù)被移到云端服務(wù)器完成,從而減少掃描病毒對本機的資源占用,不需頻繁更新病毒特征庫,節(jié)約了網(wǎng)絡(luò)流量,也從根本上解決了復(fù)雜網(wǎng)絡(luò)環(huán)境中由于病毒碼更新不到位造成的防護等級下降的問題。
針對內(nèi)部威脅,趨勢科技利用先進的終端防護技術(shù),及扎根于本地的防病毒監(jiān)測中心,為客戶機、服務(wù)器提供強大的本地病毒、間諜軟件、Rootkit、新變種等惡意軟件防護及惡意程序清除、防火墻等。全新的插件式體系架構(gòu)將終端防護變成了一個網(wǎng)絡(luò)節(jié)點安全的承載平臺,方便客戶在未來不斷通過插件擴展實現(xiàn)更嚴密的節(jié)點防護。
專業(yè)響應(yīng)快速修復(fù)
目前國內(nèi)中型企業(yè)的IT相關(guān)人員對網(wǎng)絡(luò)安全概念還比較模糊, 還不具備專業(yè)的防病毒技能,應(yīng)對嚴重的病毒事件和網(wǎng)絡(luò)病毒爆發(fā),無法快速地進行問題定位、分析、測試和解決。
防毒服務(wù)“一站式”解決方案的服務(wù)部分整合了趨勢科技原廠的EOG專家值守服務(wù),幫助企業(yè)的網(wǎng)絡(luò)管理人員快速有效地應(yīng)對病毒。多種組件形成的靈活的配套方案可以使企業(yè)選擇的空間更大。EOG服務(wù)所包含的專屬的原廠專家提供7×12小時或7×24小時的技術(shù)支持,可以為用戶提供快速的案件提交通道,并精準診斷、快速處理各類病毒問題。在應(yīng)急處理過程中,有專業(yè)工程師現(xiàn)場配合MOC專家一起處理病毒,并有原廠6小時的快速響應(yīng)承諾,為企業(yè)有效處理病毒危機提供了充分保障。
對有更高管理要求的企業(yè)客戶,可以提供遠程安全監(jiān)控服務(wù)。趨勢科技監(jiān)控中心根據(jù)客戶的需求定義出安全監(jiān)控的關(guān)鍵指標,并在出現(xiàn)威脅時主動發(fā)出警報和配套解決方案,同時也提供內(nèi)容豐富的每日、每周、每月防病毒數(shù)據(jù)分析報告,便于IT管理人員隨時清晰了解網(wǎng)絡(luò)安全現(xiàn)狀并向領(lǐng)導(dǎo)匯報。
目前,趨勢科技的防毒服務(wù)“一站式”解決方案已經(jīng)在多個中型企業(yè)成功應(yīng)用,獲得了用戶好評。兄弟(中國)商業(yè)有限公司網(wǎng)絡(luò)中心黃主任反映:“采用趨勢科技的網(wǎng)絡(luò)安全系統(tǒng)之前,我工作壓力很大,電話響個不停,而應(yīng)用了趨勢科技產(chǎn)品后,網(wǎng)絡(luò)的病毒源、病毒規(guī)模和破壞力都降到了可控的范圍!采用了趨勢科技的EOG專家服務(wù)后,每次發(fā)生嚴重問題,專家都打電話給我提醒,監(jiān)控中心的嚴格案件處理流程確保了我們問題的及時處理,而且專家們很快就給出來有效解決方案,大量減少了我們的工作量!”
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)安全 數(shù)據(jù)安全 網(wǎng)絡(luò)病毒防護
一、網(wǎng)絡(luò)安全
現(xiàn)代經(jīng)濟的發(fā)展,網(wǎng)絡(luò)的運用已經(jīng)遍布世界各地。保證網(wǎng)絡(luò)安全,也就是保證網(wǎng)絡(luò)硬件軟件和數(shù)據(jù)在除自然、人為因素破壞之外受到應(yīng)有的保護,,保證其不被破壞、惡意泄露等,保密、完整和可用時網(wǎng)絡(luò)安全的三大指標。現(xiàn)如今,垃圾信息,的大量產(chǎn)生嚴重減緩網(wǎng)絡(luò)速度,影響這個系統(tǒng)的運行。連續(xù)的操作能力對于一個網(wǎng)絡(luò)系統(tǒng)來說是至關(guān)重要的。保證一個完整的程序完整的運行,不僅是服務(wù)器還是數(shù)據(jù)終端都要產(chǎn)生必須的可持續(xù)服務(wù)的。再者,網(wǎng)絡(luò)的安全也受場地環(huán)境、電源等條件的影響和制約。技術(shù)上的不足,其實是影響網(wǎng)絡(luò)安全最主要的因素,其次還有配置不高、人為錯誤和政策錯誤等都有可能對網(wǎng)絡(luò)安全造成威脅。網(wǎng)絡(luò)的安全就是要達到網(wǎng)絡(luò)不被惡意修改、惡意泄露個人用戶信息。不管是內(nèi)部的還是外部的網(wǎng)絡(luò)的安全都要能夠有效的防治攻擊,這其中就包括保護網(wǎng)絡(luò)數(shù)據(jù)庫的安全,有效制止網(wǎng)絡(luò)病毒對于網(wǎng)絡(luò)的侵犯。
二、企業(yè)網(wǎng)絡(luò)安全防護措施
雖然現(xiàn)在有相當一部分企業(yè)通過使用內(nèi)網(wǎng)企圖阻斷互聯(lián)網(wǎng)對于企業(yè)網(wǎng)絡(luò)安全的威脅,但是這樣在一些方面也制約著企業(yè)的發(fā)展,網(wǎng)絡(luò)的運用對于一個企業(yè)來說是無法避免的,使企業(yè)陷入尷尬境地。企業(yè)對于網(wǎng)絡(luò)的監(jiān)管以及采取必要的網(wǎng)絡(luò)安全措施是必不可少的。
1.企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫安全防護
作為儲存信息的重要場所-數(shù)據(jù)庫,擔負著管理整理和保護這一系列責任重大的任務(wù)。新生事物與問題一直以來都是并存的,數(shù)據(jù)庫的產(chǎn)生與數(shù)據(jù)庫安全問題也是并存的,并且隨著數(shù)據(jù)庫技術(shù)不斷發(fā)展問題不斷加深。 當前,郵箱用戶密碼泄露等各種泄密門的頻繁發(fā)生,已經(jīng)為企業(yè)網(wǎng)絡(luò)數(shù)據(jù)庫安全敲響警鐘。對于數(shù)據(jù)庫的安全防護我們可以從以下幾方面入手。
對于特殊的訪問模式對象,數(shù)據(jù)庫應(yīng)該允許用戶在莎草操作的對象上特殊動作模式。簡單而言,就是數(shù)據(jù)庫應(yīng)該允許一些特殊對象層上的訪問和使用數(shù)據(jù)庫機制。比如說在對一個數(shù)據(jù)庫進行訪問的時候,部分用戶僅僅只能操作INSERT、SELECT的語句程序,像DELETE這樣的語句在這里將不被允許使用。對于用戶也可以分門別類的進行安全管理策略。對于普通用戶,管理員應(yīng)該在涉及所有用戶的權(quán)限管理方面加強考慮改善,要么就是用角色來管理控制用戶可用權(quán)限,要么就只允許少部分用戶使用數(shù)據(jù)庫,明確用戶權(quán)限,不適用角色。一般來說,對于用戶身份的確認,最簡單也是最直接的辦法就是用戶自行設(shè)置密碼,同這樣的方式與數(shù)據(jù)庫進行連接。一個數(shù)據(jù)庫有大量的用戶使用的時候,管理員應(yīng)該將用戶分成若干用戶組來管理,并且創(chuàng)建各個用戶組的角色。管理員給予一個角色所應(yīng)有的權(quán)限,這樣也就把這些權(quán)限賦予了這些用戶。這使得管理更加條理明晰化。當然也有特殊例外情況,對于一些特殊權(quán)限,管理員必須明確權(quán)限到每一個用戶層面上。對于一個大的數(shù)據(jù)庫,應(yīng)該根據(jù)實際情況把管理員也分成幾個類型的,根據(jù)管理權(quán)限把管理員分割成幾個管理角色。對于操作系統(tǒng)的安全,管理員應(yīng)該具備管理操作系統(tǒng)的權(quán)限,這樣做是便于創(chuàng)建和刪除一些文件,保護數(shù)據(jù)庫環(huán)境良好。而一般的數(shù)據(jù)庫用戶不能擁有操作系統(tǒng)的權(quán)限,這便于保證數(shù)據(jù)庫必要的安全和其他用戶信息的保密性能。
還可以對數(shù)據(jù)庫進行加密。目前大型數(shù)據(jù)庫平臺一般都是Windows NT/2000等,其對應(yīng)的安全等級基本都在C1\C2級別。雖然這些數(shù)據(jù)庫在網(wǎng)絡(luò)安全方面增加不少措施,但是在操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)庫文件本身的防護措施仍然不足。網(wǎng)上黑客往往繞開這些防護措施直接通過對操作系統(tǒng)的工具的運行篡改數(shù)據(jù)庫文件內(nèi)部的內(nèi)容。針對這一漏洞,一般采取的是B2級別的安全技術(shù)防護措施,增加對數(shù)據(jù)庫中的敏感數(shù)據(jù)的加密處理,達到阻塞這一黑客攻擊行為。算法在適應(yīng)數(shù)據(jù)庫系統(tǒng)特點的前提下,對于加密和解密的速度要達到一定程度,通過加密算法對數(shù)據(jù)庫加密核心。把計算機硬盤的數(shù)據(jù)進行備份和回復(fù),就會有效的防止因為數(shù)據(jù)庫的損壞或泄漏而帶來的經(jīng)濟損失。一般來說,可以通過磁帶備份、硬盤備份和網(wǎng)絡(luò)備份三種方式來進行數(shù)據(jù)的備份。保存這些備份資料的物質(zhì)要存儲在異地,并且保存介質(zhì)要防火、防潮、防水和防磁。并且還要定期清潔備份設(shè)備,安裝報警設(shè)備,隔期檢查。除此之外,企業(yè)還應(yīng)該制定完備的數(shù)據(jù)備份策略,一般情況下,完全備份、增量備份和差分備份這三種備份策略結(jié)合使用。
2.企業(yè)網(wǎng)絡(luò)病毒的防范
網(wǎng)絡(luò)的運行使得各種網(wǎng)絡(luò)病毒滋生,企業(yè)在加強用戶遵守和加強安全操作控制措施的前提下還應(yīng)該加強安全操作,靈活運用硬件和軟件病毒工具,利用網(wǎng)絡(luò)優(yōu)勢,把病毒納入到網(wǎng)絡(luò)安全體系之中,形成一套完整的安全機制,使病毒得到有效的控制,不會在企業(yè)網(wǎng)絡(luò)中傳播。在思想和制度方面,應(yīng)該加強員工制度管理,打擊盜版,建立健全網(wǎng)絡(luò)安全管理制度。在技術(shù)方面,采取采取縱深防御方法,運用多種阻塞渠道和安全機制對病毒進行防范。對于病毒的防范最根本的是操作系統(tǒng)的安全,開發(fā)并完善高性能安全的操作系統(tǒng),全面升級操作系統(tǒng),提高操作系統(tǒng)的安全性能,能有效提高對網(wǎng)絡(luò)病毒入侵的防范。還可以通過軟件過濾對病毒予以識別,隔離病毒,對于已經(jīng)存在在系統(tǒng)內(nèi)部的病毒,一般而言會采用系統(tǒng)參數(shù)分析之后,識別系統(tǒng)的不正常和惡意改變。在數(shù)據(jù)庫后臺建立一個嚴密的病毒監(jiān)視系統(tǒng),可以大大提高病毒入侵的防止工作力度和效率。對于一些需要下載的、有附件的的文件,系統(tǒng)可以對其進行實時掃描,存在異常則隔離處理,及時更新病毒庫,集中處理病毒,便于管理。在網(wǎng)絡(luò)出口處進行訪問控制,可以在出口處安裝防火器或者路由器,這樣也可以有效的防止內(nèi)部網(wǎng)絡(luò)中感染網(wǎng)絡(luò)病毒。只有建立一個有層次的、立體的、系統(tǒng)的防反病毒體系,才能有效地制止病毒在網(wǎng)絡(luò)內(nèi)的蔓延和傳播。
參考文獻
[1]陳雪,企業(yè)網(wǎng)絡(luò)安全防護技術(shù)措施[D],四川信息職業(yè)技術(shù)學(xué)院,2011.1
[2]何毅,企業(yè)網(wǎng)絡(luò)安全的防護,如何能經(jīng)濟有效,2011.4
[3]李燕子,構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案[J],企業(yè)網(wǎng)絡(luò)安全,2009.9
[關(guān)鍵詞]網(wǎng)絡(luò)安全;安全協(xié)議課程;實踐教學(xué)
[DOI]10.13939/ki.zgsc.2016.02.111
構(gòu)建安全網(wǎng)絡(luò)、營造網(wǎng)絡(luò)安全環(huán)境都需要網(wǎng)絡(luò)安全協(xié)議。人們對應(yīng)用于計算機中的安全協(xié)議做了大量的分析研究,就是為了提高網(wǎng)絡(luò)信息傳輸?shù)陌踩?,使之能從根本上保證網(wǎng)絡(luò)安全,以免造成因網(wǎng)絡(luò)安全等級不夠而導(dǎo)致網(wǎng)絡(luò)信息數(shù)據(jù)丟失或者文件信息丟失以及信息泄露等問題。網(wǎng)絡(luò)安全協(xié)議課程包括對密碼學(xué)和計算機網(wǎng)絡(luò)的學(xué)習(xí),網(wǎng)絡(luò)安全協(xié)議比較復(fù)雜,無論是對于教師還是學(xué)生而言,難度都比較大,所以學(xué)生只有在加強自身的理解與應(yīng)用能力之后,才能有利于新知識的繼續(xù)學(xué)習(xí)。針對網(wǎng)絡(luò)安全協(xié)議中的協(xié)議原理和細節(jié),對于教師而言,如何讓學(xué)生理解非常重要;對于學(xué)生而言,如何掌握并應(yīng)用非常重要。所以,教師對于網(wǎng)絡(luò)安全協(xié)議課程的實踐教學(xué)設(shè)計不能馬虎。
1實踐教學(xué)設(shè)計總述
常用的網(wǎng)絡(luò)安全協(xié)議包括Kerberos認證協(xié)議,安全電子交易協(xié)議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協(xié)議屬于不同的網(wǎng)絡(luò)協(xié)議層次,能提供不同的安全功能。特別是在IPV6當中采用IPSec來加強網(wǎng)絡(luò)的安全性。并且在開放系統(tǒng)互連標準中,網(wǎng)絡(luò)協(xié)議被分為7層,其中物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都是常用的。所以,由于每種網(wǎng)絡(luò)安全協(xié)議內(nèi)容豐富以及它們都有各自的優(yōu)點和缺點,致使在實際應(yīng)用中網(wǎng)絡(luò)安全協(xié)議更具復(fù)雜性。教師需要通過實踐教學(xué)設(shè)計來實現(xiàn)讓學(xué)生全面理解和掌握協(xié)議中的原理和細節(jié),并能夠有效應(yīng)用。首先要做到讓學(xué)生由表及里的、由淺入深的認識和學(xué)習(xí)網(wǎng)絡(luò)安全協(xié)議,其次要做到讓學(xué)生能應(yīng)用到網(wǎng)絡(luò)安全協(xié)議,最后達到創(chuàng)新的目標。所以實踐教學(xué)內(nèi)容要劃分為階段性的,才能讓學(xué)生逐步透徹地掌握網(wǎng)絡(luò)安全協(xié)議中的方方面面。
2SSL協(xié)議的實踐教學(xué)實施
2.1認知階段
教師在本階段的教學(xué)內(nèi)容就是讓學(xué)生認識SSL協(xié)議。需要掌握以下內(nèi)容:
SSL采用公開密鑰技術(shù),其目標是保證兩個應(yīng)用間通信的保密性和可靠性,可在服務(wù)器和客戶機兩端同時實現(xiàn)支持。目前,利用公開密鑰技術(shù)的SSL協(xié)議,已成為因特網(wǎng)上保密通信的工業(yè)標準。SSL協(xié)議中的SSL握手協(xié)議可以完成通信雙方的身份鑒定以及協(xié)商會話過程中的信息加密密鑰,從而建立安全連接。SSL握手協(xié)議如下圖所示。
SSL握手協(xié)議
而在SSL協(xié)議中,獲取SSL/TLS協(xié)議通信流量,直觀地觀看SSL/TLS協(xié)議的結(jié)構(gòu)就需要使用Wireshark抓包分析工具軟件。通過流量抓取分析來讓學(xué)生掌握SSL/TLS的具體內(nèi)容。
2.2體驗階段
經(jīng)過初步的學(xué)習(xí),要讓學(xué)生體驗SSL的應(yīng)用范圍,對SSL的應(yīng)用過程有一個直觀的感受和體驗。學(xué)生用于數(shù)字證書生成、發(fā)放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務(wù)器和客戶端申請、安裝證書,再在服務(wù)器上配置SSL,通過以上步驟完成IIS服務(wù)器中的SSL/TLS配置來建立客戶端和服務(wù)器的連接。[2]此階段的具體應(yīng)用會讓學(xué)生深入的了解SSL/TLS中的有關(guān)內(nèi)容。
2.3應(yīng)用階段
應(yīng)用階段的教學(xué)內(nèi)容是前兩階段教學(xué)內(nèi)容的升華,它會使學(xué)生具備利用SSL/TLS協(xié)議進行通信的編程能力。而要達到這點,就需要通過利用OpenSSL,實現(xiàn)一個簡單的SSL服務(wù)器和客戶端。這個階段的工作量不小,學(xué)生需要在教師的指導(dǎo)下分組進行。進行過程中主要環(huán)節(jié)包括,首先,學(xué)生利用自己熟悉的系統(tǒng)和開發(fā)平臺來完成OpenSSL的編譯安裝。其次,學(xué)生參考已有的源代碼來完成VC++編譯環(huán)境的設(shè)置。[3]再次,學(xué)生利用OpenSSL的證書生成命令性工具生成服務(wù)器和客戶端數(shù)字證書。最后,通過完成簡單的TCP握手連接和通信,并加入SSL握手功能來實現(xiàn)SSL/TLS編程。
2.4總結(jié)提高階段
課堂上的理論教學(xué)和階段性的實踐教學(xué)對于學(xué)生熟悉掌握SSL協(xié)議具有很好的作用,但是還存在某些方面的不完整性。例如,通過研究和實際應(yīng)用SSL/TLS協(xié)議的過程中,如何進一步改善SSL/TLS協(xié)議所存在的問題。這些都是需要學(xué)生去解決的。在解決過程中,學(xué)生就能具備進行高效學(xué)習(xí)的能力。教師可以采取向?qū)W生提問的方式來進行這一階段的教學(xué)內(nèi)容。問題可以是多方面的,例如通過前幾階段的認識和實踐,SSL/TLS協(xié)議還存在哪些不足?并通過一個實際的SSL/TLS協(xié)議的應(yīng)用案例,發(fā)現(xiàn)SSL/TLS協(xié)議還有哪些局限性,并解決這些局限所帶來的問題。在此階段內(nèi),學(xué)生和教師要進行不斷的交流和討論,并找出相關(guān)事實依據(jù)來論證自己的觀點。例如,針對Heartbleed漏洞,學(xué)生需要了解漏洞產(chǎn)生的原因和危害,并提出解決措施。通過分析發(fā)現(xiàn)是OpenSSL開源軟件包的問題導(dǎo)致了此漏洞出現(xiàn),與SSL/TLS協(xié)議并無太大關(guān)系。經(jīng)過對此問題的分析研究,我們可以發(fā)現(xiàn),協(xié)議本身的安全并不代表能在實現(xiàn)協(xié)議過程中避免所有的不安全因素。
3實踐教學(xué)效果評價
各個階段的實踐教學(xué)過程需要教師進行精心的設(shè)計和把握,并通過具體的實施實踐才能驗證實踐教學(xué)設(shè)計的是否合理,是否有效。由于網(wǎng)絡(luò)安全協(xié)議課程本身就非常復(fù)雜,再加上具體實施過程中內(nèi)容、方法和難度有所不同,就需要根據(jù)學(xué)生的反饋情況來進行及時的調(diào)整。教師要從各項反饋指標進行自我反思,并與學(xué)生進行溝通。同時,在此過程中,也要認真檢查對學(xué)生的作業(yè)布置,關(guān)注學(xué)生是否掌握了有關(guān)網(wǎng)絡(luò)安全協(xié)議的技能,注重學(xué)生的完成情況和學(xué)生對于實踐教學(xué)過程中不足之處的意見。
4結(jié)論
網(wǎng)絡(luò)安全協(xié)議內(nèi)容復(fù)雜,具體應(yīng)用過程及各項技術(shù)操作也較為煩瑣,因此,單單只是針對SSL/TLS協(xié)議的實踐教學(xué)做了簡要的設(shè)計并不能移植到所有的網(wǎng)絡(luò)安全協(xié)議課程的教學(xué)中去。若要講關(guān)于網(wǎng)絡(luò)安全協(xié)議中鏈路層和網(wǎng)絡(luò)層,那么第三階段的實踐教學(xué)內(nèi)容就不具意義了。而要講應(yīng)用層的安全協(xié)議,第三階段的實踐教學(xué)內(nèi)容相比于第一階段和第二階段就重要得多。對于信息安全專業(yè)的學(xué)生來說,只有掌握好計算機網(wǎng)絡(luò)和密碼學(xué)的課程內(nèi)容,才能繼續(xù)網(wǎng)絡(luò)安全協(xié)議課程的學(xué)習(xí)。因為網(wǎng)絡(luò)安全協(xié)議課程的理論性和實踐性都非常強。在實踐教學(xué)的實施過程中,不但要讓學(xué)生充分品嘗動手的樂趣,還要讓學(xué)生掌握網(wǎng)絡(luò)安全協(xié)議的具體知識。同時還要注重培養(yǎng)在網(wǎng)絡(luò)安全協(xié)議方面的應(yīng)用型人才。
參考文獻:
[1]劉凱.網(wǎng)絡(luò)安全協(xié)議課程的實踐教學(xué)設(shè)計[J].計算機教育,2014(24):111-114,118.
關(guān)鍵詞:云計算安全 APT攻擊 APT防御
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)11-0177-02
近年來,互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)的依賴性逐年增強,而云計算以及云計算安全自然成為研究焦點。云計算安全能讓人們享受到來自網(wǎng)絡(luò)的安全服務(wù),而云計算的充分利用,則需要云計算的安全防御作為保障。網(wǎng)絡(luò)中的APT攻擊,也促使APT防御的研究不斷推進。
1 云計算安全現(xiàn)狀
傳統(tǒng)的IT系統(tǒng)是封閉的,由各個獨立的部門所控制;而在云計算安全中,所有的數(shù)據(jù)、IT基礎(chǔ)設(shè)施和網(wǎng)絡(luò)架構(gòu)等均暴露在云中,其周邊環(huán)境無法控制;另外,云計算系統(tǒng)運用虛擬化技術(shù)也帶來諸多不利因素。
網(wǎng)絡(luò)方面,首先,在云計算中,其環(huán)境沒有拓撲邊界,多個業(yè)務(wù)系統(tǒng)共享同一物理基礎(chǔ)設(shè)施,如圖1云計算系統(tǒng)的網(wǎng)絡(luò)拓撲所示,利用云技術(shù)虛擬化后,位于某臺服務(wù)器上的虛擬機可能不在同一安全區(qū)域,而位于多臺服務(wù)器上的虛擬機卻在同一安全區(qū)域。其次,在虛擬化環(huán)境中,位于一臺服務(wù)器上的虛擬機之間的數(shù)據(jù)可通過虛擬交換機進行數(shù)據(jù)交換,而其對外部網(wǎng)絡(luò)不可見。
存儲方面,云環(huán)境下,所有數(shù)據(jù)被保存在云端,而云的存儲空間不被用戶知曉。另一方面,為保證云端數(shù)據(jù)的安全性和保密性,云端數(shù)據(jù)進行加密處理,其利用數(shù)據(jù)搜索和分析方法,也不能在短時間內(nèi)搜尋有效數(shù)據(jù)。
2 基于云計算安全的傳統(tǒng)APT防御
從技術(shù)手段方面分析,針對APT復(fù)雜性攻擊可分為兩個方面。
(1)采用多途徑不同方式進行情報收集
對于此方面的防御是不管攻擊者通過何種渠道攻擊,其必須在個人電腦上執(zhí)行。雖能夠防止APT攻擊,但操作人員有機會進入到云中,查詢大量數(shù)據(jù),其可造成數(shù)據(jù)泄露。
(2)從交叉學(xué)科的角度分析
APT攻擊有眾多前沿領(lǐng)域的交叉,如圖2交叉學(xué)科應(yīng)用示意所示。對于該類APT攻擊的防御,其采用大數(shù)據(jù)分析檢測方案,但對服務(wù)器運行速度有較高需求,因此不能被廣泛應(yīng)用。
3 云計算安全的防御改善
針對大型企業(yè),云計算建立的文件白名單、安全策略和服務(wù)器級別,其對全網(wǎng)文件可進行云查詢、云審計和云鑒定,最終實現(xiàn)監(jiān)測和防御APT攻擊。
對于核心服務(wù)器,可采用高級安全策略,即除指定文件外,其它所有文件都不能運行,杜絕機密信息被泄露的可能性。這種高級安全策略只關(guān)閉核心文件運行,并且服務(wù)器運行良好,也不影響用戶的正常使用,極大的增加服務(wù)器的安全性。針對中小型企業(yè),防御改善如下。
(1)周邊網(wǎng)絡(luò)安全
防火墻是建立于內(nèi)、外網(wǎng)絡(luò)邊界上的封鎖機制,內(nèi)部網(wǎng)絡(luò)被認為是安全、可靠的,而外部網(wǎng)絡(luò)存在安全隱患。防火墻通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,極大保護內(nèi)網(wǎng)的安全。
(2)主機層安全
對于企業(yè)內(nèi)部核心服務(wù)器和重點用戶計算機做統(tǒng)一的安全管理,即安裝正版的企業(yè)型殺毒軟件。因為企業(yè)版本的殺毒軟件的優(yōu)勢在于對于客戶端的管理,并方便采集整個網(wǎng)絡(luò)的安全狀況。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證,其是防止非法訪問的核心防線,并且重要服務(wù)器上的用戶認證須經(jīng)常更換;然后再利用網(wǎng)絡(luò)控制用戶和用戶組訪問文件和其他資源;可以指定用戶對這些文件、目錄設(shè)備能夠執(zhí)行的權(quán)限。及時安裝操作系統(tǒng)漏洞補丁或數(shù)據(jù)庫系統(tǒng)補丁,以預(yù)防0day攻擊。
(3)數(shù)據(jù)層安全
數(shù)字簽名即是一個收發(fā)雙方進行簽名和確認的過程,提供對信息來源的鑒別、保證信息的完整性和不可否認性的功能,其為解決偽造、冒充和篡改等問題提供解決方案。
(4)增強安全意識
現(xiàn)今的信息安全已不再是只靠產(chǎn)品解決方案,就可高枕無憂的年代。即使詳盡的安全策略,也可毀于企業(yè)內(nèi)部人員的錯誤操作。對于APT的攻擊,提升用戶終端使用習(xí)慣和安全操作意識,禁止員工在重要服務(wù)器上使用U盤,都可有效防御APT攻擊。制定明確的信息安全手冊,禁止員工點擊垃圾郵件和不明鏈接;了解當今安全威脅趨勢和進行合理的終端設(shè)備管理,禁止員工將存有企業(yè)內(nèi)部重要信息的筆記本在非安全的環(huán)境下連接至互聯(lián)網(wǎng)。
4 結(jié)束語
本文研究云計算安全現(xiàn)狀和傳統(tǒng)APT防御,提出針對中小型企業(yè)的云計算安全的改善措施,即安全管理和維護、核心服務(wù)器安全管理和企業(yè)文檔數(shù)據(jù)庫權(quán)限控制等措施。
參考文獻
[1]杜躍進,APT應(yīng)對面臨的挑戰(zhàn)[J],中國信息安全,2012,(09):80-80.
[2]王繼剛,瀏覽器軟件的安全漏洞挖掘技術(shù)研究[J],信息網(wǎng)絡(luò)安全,2012,(12):36-38.
關(guān)鍵詞:網(wǎng)絡(luò)安全;嗅探器;檢測;響應(yīng);托管式安全監(jiān)控
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)05-1068-03
Network Security Management and Monitoring
WANG Li-zan
(Modern Education Technology Center,Guangdong Pharmaceutical University, Guangdong Province,Guangzhou 510000,China)
Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet, the current security risks and counter measures. Furthermore, an explanation to the importance of monitoring in the network security, and a brief introduction to Managed Security Monitoring, as well as its potential in enterprises development, which is constructive to enterprise network security.
Key words: network security; sniffer; detection; response; managed security monitoring
1 引言
互聯(lián)網(wǎng)對于商業(yè)來說是至關(guān)重要的。一個跨國大公司往往別無選擇地將其內(nèi)部網(wǎng)絡(luò)連接到世界上各個地區(qū),因為那里有著他們的客戶,供應(yīng)商,合作伙伴和自己的雇員。 然而隨著網(wǎng)絡(luò)的擴展新的威脅也隨之而來,惡意黑客,犯罪分子,工業(yè)間諜等的數(shù)量與日俱增。 這些網(wǎng)絡(luò)上的掠食者,不斷的企圖竊取公司資產(chǎn)和知識產(chǎn)權(quán),或者通過對關(guān)鍵性的服務(wù)器進行攻擊來使系統(tǒng)服務(wù)停止甚至崩潰。這種行為產(chǎn)生的后果,不僅損害到了公司的聲譽,而且還會驚嚇到客戶。 如果一個公司不能成功地進行防范和解決這些問題,那么他們的業(yè)務(wù)在商業(yè)因特網(wǎng)上的擴展在很大程度上也將會受到阻礙。
2 網(wǎng)絡(luò)安全
2.1 安全的重要性
計算機安全是互聯(lián)網(wǎng)的一個根本技術(shù),它起源于純粹學(xué)術(shù)上的好奇心,發(fā)展到現(xiàn)在已經(jīng)演變成為一個十分重要的商業(yè)應(yīng)用。在互聯(lián)網(wǎng)上,任何企業(yè)或個人都無法忽略對安全的需求。
網(wǎng)絡(luò)上貿(mào)易機密,客戶資料,金錢等被竊取的風(fēng)險是真實存在的。由計算機安全問題所造成的損失也可能是相當巨大的。例如ILOVEYOU病毒,據(jù)不完全統(tǒng)計,它在全球范圍內(nèi)造成的損失已高達100億美元;其中生產(chǎn)上的損失占了絕大部分,同時它帶來了其它間接的影響:顧客的流失,品牌和商譽上的損害,這些都是難以進行估計的。 除此之外,新的問題將接踵而至。因為歐洲的國家都有嚴格的隱私法:如果公司或企業(yè)不采取相關(guān)措施來保護客戶的隱私,他們將被追究法律責任。在美國也有類似的法律,尤其是銀行和醫(yī)療保健等行業(yè)-都會制定相關(guān)的法案來專門針對隱私保護。
雖然在互聯(lián)網(wǎng)上進行業(yè)務(wù)的同時伴隨著如此大的風(fēng)險,但是公司和企業(yè)并不會停止去利用這個平臺。因為網(wǎng)絡(luò)能給企業(yè)帶來新的市場,新的客戶,新的收入來源,甚至新的商業(yè)模式。這是具有相當巨大的誘惑力的,所以即便是存在這樣的風(fēng)險性,他們也會不斷的在這個互聯(lián)網(wǎng)環(huán)境里拓展自己的業(yè)務(wù)。正因如此,比起其它問題來,計算機安全更加顯得重要。
2.2 落后的傳統(tǒng)安全
網(wǎng)絡(luò)安全上的攻防如同在進行軍備上的較量,且攻擊者一方具有較大的優(yōu)勢。首先,防衛(wèi)者必需對所有可能的攻擊進行防范,而攻擊者需要做的只是找到其中一個弱點或者漏洞。其次,現(xiàn)代巨大而復(fù)雜的網(wǎng)絡(luò)使得防衛(wèi)者不可能保證100%的安全性。另外,熟練的攻擊者可以將復(fù)雜的攻擊手段整合到軟件中,使得即使是一些非內(nèi)行人士也可以很容易的使用它們。這就不奇怪為什么連一個專業(yè)的首席信息官(CIO)也無法完全地掌握所有這些可能存在的威脅,普通人就更不可能做到了。
計算機安全已經(jīng)發(fā)展了40幾年,每年都有新的研究,新的技術(shù),新的產(chǎn)品,甚至新的法律不斷出現(xiàn),然而網(wǎng)絡(luò)的安全狀況卻似乎一年比一年更糟。在互聯(lián)網(wǎng)上,安全只能說是相對的。
今天安全的東西明天可能會變得不再安全,即使是微軟這樣大的公司,也會受到攻擊和入侵。因此我們對網(wǎng)絡(luò)安全的考慮重點不應(yīng)該放在安全設(shè)備的數(shù)量方面,而應(yīng)該更多的將注意力集中到嚴謹?shù)牧鞒毯椭贫壬?。我們必須停止一味地尋找能避免一切攻擊威脅的神奇的防范技術(shù),更多時候應(yīng)該完善好攻擊和防范的處理措施及方案,這將有益于我們更好地掌握到可能存在的風(fēng)險。
2.3 安全與風(fēng)險管理
每當同網(wǎng)絡(luò)管理員提及計算機安全技術(shù),他們往往談到的是“如何去避免威脅”。這是傳統(tǒng)規(guī)范的計算機安全所產(chǎn)生的一種計算機科學(xué)心態(tài):找出有什么威脅,并通過技術(shù)的手段來避免和根除。可惜的是,技術(shù)可以在某種程度上“解決”電腦安全問題,而最終的結(jié)果往往是安全程序成為了一個裸的商業(yè)犧牲品。
安全并不僅僅是純技術(shù)上的問題,它同每個人也是息息相關(guān)的。 沒有任何一個計算機安全產(chǎn)品,能完全保障網(wǎng)絡(luò)與財產(chǎn)的安全性,而且這也不是企業(yè)應(yīng)有的經(jīng)營方式。
對于企業(yè)管理風(fēng)險,網(wǎng)絡(luò)安全只是其中的一個環(huán)節(jié),安全性也并不是在任何情況下都越大越好的。你可以通過一進門就對每一個人進行嚴格審查的方式來改善一間銀行的安全與風(fēng)險管理,但是如果采取這種做法,會很大程度上影響到商業(yè)利益。因此所有這些企業(yè)都在尋找著一個合理的安全的平衡點,這樣的局面給另外一些公司和企業(yè)開拓了新的市場:為了在執(zhí)行安全的同時吸引和留住新客戶,他們需要根據(jù)所處的環(huán)境以及他們所從事的行業(yè),來選擇特定的計算機安全解決方案。
3 安全管理監(jiān)控
3.1 預(yù)防,檢測,響應(yīng)
現(xiàn)實世界里的安全,可概括為預(yù)防,檢測,響應(yīng)。 如果預(yù)防機制很完善,你甚至可以不需要檢測和響應(yīng),但遺憾的是沒有哪個預(yù)防機制是100%完美的。實際上,對于計算機網(wǎng)絡(luò),所有的軟件產(chǎn)品都存在或大或小的安全漏洞,大多數(shù)網(wǎng)絡(luò)設(shè)備也都存在錯誤的配置,用戶方面也可能會出現(xiàn)各種操作上的失誤。所以沒有檢測和響應(yīng),預(yù)防機制所體現(xiàn)出來的價值是相當有限的。另外,比起設(shè)置更多的預(yù)防措施,加入檢測和響應(yīng)反而更具成本效益,也更加高效。在互聯(lián)網(wǎng)上,我們統(tǒng)稱為監(jiān)控。
監(jiān)控才是真正的安全。一個偷竊者,無論如何入侵或者怎樣做。只要有足夠的行為感應(yīng)器,電子眼,和壓力板設(shè)置在你的房子里,只要他進來過,您都可以捉到他的蛛絲馬跡。同理,如果您可以很仔細的監(jiān)控網(wǎng)絡(luò),那么無論黑客利用什么漏洞進行入侵和攻擊,您都能第一時間發(fā)現(xiàn)它。如果迅速作出有效的應(yīng)對措施,您也同樣可以在他造成損害前阻止他。良好的檢測和響應(yīng)可以彌補不完善的預(yù)防措施-沒有哪一家銀行敢這樣說:”我們的安全措施是十分完美的,我們不需要一個警報系統(tǒng)” 。檢測和響應(yīng)是在現(xiàn)實世界中我們得到安全的方式,也是保障我們可以在互聯(lián)網(wǎng)上安全穿梭的唯一手段。一個企業(yè)的CIO如果要妥善管理相關(guān)的風(fēng)險與他們的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,那么就必須在網(wǎng)絡(luò)監(jiān)控服務(wù)上進行一定的投資。
3.2 網(wǎng)絡(luò)安全監(jiān)控
網(wǎng)絡(luò)監(jiān)控意味著一系列的嗅探器覆蓋在網(wǎng)絡(luò)的周圍,并針對每一個網(wǎng)絡(luò)設(shè)備和服務(wù)器生成連續(xù)的數(shù)據(jù)流的審計訊息。若發(fā)現(xiàn)可疑的行為,智能檢測系統(tǒng)便發(fā)送提示信息,每一個其他的安全產(chǎn)品便會以某種方式產(chǎn)生報警信號。然而這些嗅探器本身并不提供安全性,所以你必須清楚地了解他們的不足之處,并且在假設(shè)攻擊者已經(jīng)完全掌握這些嗅探器的特征的前提下作出應(yīng)對措施。
第一步是智能地提高警覺,根據(jù)整個網(wǎng)絡(luò)環(huán)境的不同,網(wǎng)絡(luò)攻擊的蛛絲馬跡可以是很微小的。對于一個中等規(guī)模的網(wǎng)絡(luò), 軟件可以在一天里,過濾數(shù)萬兆字節(jié)的審計信息的,但攻擊者卻可以很容易就瞞過軟件的檢測。所以智能地提高警覺,要求人們做到:
1) 分析軟件發(fā)現(xiàn)的可疑訊息;
2) 更加深入地了解可疑事件,確定真實的狀況;
3) 將錯誤的警報和真正的攻擊區(qū)別開來;
4) 了解它們之間的聯(lián)系。
總的來說,提高警覺性,可能相對于整體來講只是稍微有效的,更重要的應(yīng)該是要知道如何去應(yīng)對,這是第二步。再好的網(wǎng)絡(luò)監(jiān)控軟件提供的也只是一種信息,而這些信息要體現(xiàn)出它的價值則需要專家。最后,必須結(jié)合組織的業(yè)務(wù)需求做出合適的處理措施,所有這一切,是檢測和響應(yīng)用于計算機網(wǎng)絡(luò)所要求達到的。
網(wǎng)絡(luò)設(shè)備每天產(chǎn)生兆字節(jié)甚至更多的審計信息,自動搜索軟件通過這些字節(jié)進行篩選,尋找并發(fā)現(xiàn)攻擊的跡象;專家再進行分析,了解攻擊的行為,并決定如何作出回應(yīng);最后網(wǎng)絡(luò)的使用者-組織-則在針對主要業(yè)務(wù)的基礎(chǔ)上進行合理的安全決策。
因此做好網(wǎng)絡(luò)監(jiān)控工作,人們需要做到上面的每一步。軟件不會象人一樣思考,不會發(fā)問,也不會自我適應(yīng)。 缺少了人,計算機安全軟件,只是一種靜態(tài)的防御。 而軟件與專家相結(jié)合,將使你擁有一個完整的更高級別的安全性。
3.3 監(jiān)控服務(wù)托管
檢測和響應(yīng)系統(tǒng)成功的關(guān)鍵是自身的警覺性:攻擊可以發(fā)生在一年中的任何一天以及一天中的任何時間。雖然公司或企業(yè)是有可能為自己的網(wǎng)絡(luò)建立專門的檢測和響應(yīng)服務(wù),但成本效益較低。部署在安全方面的工作人員,以每日二十四小時,一年365天來算,需要5個全職員工;如果包括主管和其它專門技能的備份人員,則還可能還需要更多。
即使這個組織有資金和預(yù)算可以投入到這方面人力上,在今天的就業(yè)市場仍然很難聘請到他們。想留住他們將更難:因為對一個單一的組織的攻擊行為,并非經(jīng)常發(fā)生,不足以讓一隊高素質(zhì)的人員感興趣和從事于此。
在現(xiàn)實世界中,這方面的專業(yè)項目大多數(shù)情況都是進行托管,它是唯一滿足需求的符合成本效益的方式。除了專業(yè)技術(shù)的聚集,這個訊息的服務(wù)同時帶來了其它的經(jīng)濟規(guī)模。因為它需要更多的人,所以它更容易雇用和訓(xùn)練其人員。它可以為他們建立一個基礎(chǔ)設(shè)施進行支援和培訓(xùn)。對新的黑客工具,新的安全產(chǎn)品,新的軟件以及新漏洞的監(jiān)控手段的了解都保持直至目前為止。一個托管式安全監(jiān)控(MSM)服務(wù)可以將這些費用分攤到所有客戶上。
MSM服務(wù)提供商在互聯(lián)網(wǎng)上相對于單一客戶來說也有一個更廣泛的視野,它通過對某個客戶的攻擊行為的了解,將新的知識用以保障其所有的客戶。對于一個MSM公司 ,網(wǎng)絡(luò)攻擊是每天都在發(fā)生的;而公司內(nèi)部的專家,他們也知道如何去回應(yīng)和處理這些特定的攻擊,因為在所有可能的情況下,他們已經(jīng)碰到過很多次這樣相同的行為和事件。因此,安全是相當復(fù)雜的,而且至關(guān)重要,將其進行托管比起自己去實施可要有效的多。
3.4 監(jiān)控優(yōu)先
監(jiān)控應(yīng)該是任何網(wǎng)絡(luò)安全計劃的第一步.它是網(wǎng)絡(luò)管理員可以做的即時起作用的手段。而政策分析和脆弱性評估需要時間,如果不付諸于實踐,實際上并不能很好的改善網(wǎng)絡(luò)的安全。另外,安裝安全產(chǎn)品,往往需要正確安裝在適當?shù)牡胤讲拍苓_到提高了安全性的效果,監(jiān)控,可以確保安全產(chǎn)品是否正在提供它們應(yīng)有的安全保障。
大型的網(wǎng)絡(luò)通常是由內(nèi)部網(wǎng)和外部網(wǎng)組成,監(jiān)控的最佳時間是當網(wǎng)絡(luò)中數(shù)據(jù)相互流通的時侯。監(jiān)控的主旨是即時的安全,既不做脆弱性評估,也沒有為網(wǎng)絡(luò)提供防火墻。 監(jiān)控提供了其它的安全產(chǎn)品所不能提供的動態(tài)的安全方式。并作為安全產(chǎn)品已嵌入到IDSs網(wǎng)絡(luò)防火墻,一個專門的安全裝置,它使監(jiān)控得到了更好的發(fā)揮。
監(jiān)控是公司和企業(yè)安全的視窗。監(jiān)控可以通過信息反饋,以保證其他網(wǎng)絡(luò)安全活動更加有效。它可以幫助您確定在哪個位置安裝安全裝置,以及確認他們的狀態(tài)是否正常。它可以使您知道如何去正確配置安全設(shè)備;它可以確保你的安全性始終走在前沿。所以,實施網(wǎng)絡(luò)安全計劃,監(jiān)控是需要做的第一件事。
4 結(jié)束語
一個高度連接網(wǎng)絡(luò)必然存在著安全隱患。安全產(chǎn)品并不能完全“解決”網(wǎng)際網(wǎng)路安全性的問題,實際上,存在著許多它們無法涉及到的盲點。進行安全和風(fēng)險上的管理:在企業(yè)網(wǎng)絡(luò)拓展的同時采用合理的計算機安全解決方案,這是一個比較好的方式。
計算機安全關(guān)鍵在于提高警覺性,是需要每天都要保持的。千百年來,不管技術(shù)進步如何迅速,世界上仍然沒有一個絕對安全的地方,警報和安全服務(wù)仍然是國家的重要指標。
要達到有效的安全性是必須有人的參與,自動化的安全系統(tǒng)始終是會存在缺陷的。一個狡猾的攻擊者可以利用新的攻擊欺騙軟件繞過安全設(shè)備 。人們需要接受這個事實,并對新的攻擊和新的威脅作出反應(yīng),重新對事件進行權(quán)衡:人的思維是攻擊的源頭,所以人的思維同樣可以用來進行防范。
互聯(lián)網(wǎng)的現(xiàn)狀使得托管式安全監(jiān)控(MSM)服務(wù)發(fā)展為最具成本效益的方式,它提供了更具彈性的安全,它可以把人,制度和產(chǎn)品很好的結(jié)合在一起,它將為混亂的現(xiàn)代商業(yè)網(wǎng)絡(luò)創(chuàng)造了一個安全的環(huán)境。
參考文獻:
[1] 杜向文.中小企業(yè)的網(wǎng)絡(luò)安全[J].計算機安全,2006,(8):47-50.
[2] 石焱.計算機網(wǎng)絡(luò)安全的現(xiàn)狀及對策[J].科技廣場,2008,(8):89-90.