前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理主題范文,僅供參考,歡迎閱讀并收藏。
總體管理要求
首先看一下數(shù)字出版的特點(diǎn)。
數(shù)字業(yè)務(wù)形態(tài)多樣:目前數(shù)字出版產(chǎn)品形態(tài)主要包括電子圖書、數(shù)字報(bào)紙、數(shù)字期刊、網(wǎng)絡(luò)原創(chuàng)文學(xué)、網(wǎng)絡(luò)教育出版物、網(wǎng)絡(luò)地圖、數(shù)字音樂、網(wǎng)絡(luò)動(dòng)漫、網(wǎng)絡(luò)游戲、數(shù)據(jù)庫出版物、手機(jī)出版、App應(yīng)用程序等,豐富的業(yè)務(wù)形態(tài)要求網(wǎng)絡(luò)提供多種接入方式、多種內(nèi)容共享方式,同時(shí)要保證安全。
強(qiáng)調(diào)對(duì)數(shù)字化資源的管理:國外知名出版公司特別強(qiáng)調(diào)對(duì)數(shù)字化資源的管理,很多公司通過建設(shè)自己的內(nèi)容管理平臺(tái)來更有效地建設(shè)、管理和重用數(shù)字化資源。湯姆森公司委托其下屬的Course Technology、Delmar、Promotric和NETg開發(fā)內(nèi)容管理平臺(tái)LLG,計(jì)劃五年內(nèi)完成;培生內(nèi)部已經(jīng)運(yùn)行了WPS,與前臺(tái)的Coursecompass結(jié)合以更加有效的建設(shè)模式為學(xué)校提供服務(wù);麥格勞-希爾出版公司已經(jīng)成功地將內(nèi)容管理平臺(tái)運(yùn)用在百科全書的出版上。
整體安全性要求高:數(shù)據(jù)化資源對(duì)整體安全性要求較高,現(xiàn)在網(wǎng)上支付手段豐富,如快錢、Paypal、支付寶等都需要在純凈的網(wǎng)絡(luò)環(huán)境進(jìn)行操作,以保護(hù)機(jī)構(gòu)和個(gè)人財(cái)產(chǎn)安全;要求建立完善的數(shù)字版權(quán)機(jī)制,保障作者、編輯單位的合法權(quán)益;網(wǎng)上交易和傳播的數(shù)字內(nèi)容越來越多。網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻,域名劫持、網(wǎng)頁篡改等事件時(shí)有發(fā)生,給網(wǎng)民和機(jī)構(gòu)造成了嚴(yán)重影響和重大損失。工業(yè)和信息化部2010年的數(shù)據(jù)表明,僅中國網(wǎng)民每年需要為網(wǎng)絡(luò)攻擊支付的費(fèi)用就達(dá)到153億元之多。
筆者認(rèn)為,網(wǎng)絡(luò)的應(yīng)用在出版機(jī)構(gòu)一般經(jīng)過三個(gè)發(fā)展階段:第一為溝通交流階段,在這個(gè)階段,出版機(jī)構(gòu)的工作人員上互聯(lián)網(wǎng)、了解外界知識(shí)、通過即時(shí)通信工具溝通信息等。第二階段為管理應(yīng)用階段,在這個(gè)階段,工作人員通過網(wǎng)絡(luò)協(xié)同辦公,出版機(jī)構(gòu)采用ERP、財(cái)務(wù)管控系統(tǒng)等內(nèi)部業(yè)務(wù)管理系統(tǒng)。第三階段為創(chuàng)造、創(chuàng)新階段,出版機(jī)構(gòu)使用綜合業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)字內(nèi)容收集、組織或加工,形成數(shù)字資產(chǎn),通過網(wǎng)絡(luò)進(jìn)行推廣。
根據(jù)這三個(gè)階段的應(yīng)用特點(diǎn),可以將管理要求歸結(jié)為:第一個(gè)階段應(yīng)用比較簡單,用戶都可以使用網(wǎng)絡(luò),要求網(wǎng)速快、安全性要求不高;第二個(gè)階段,并非所有用戶都能進(jìn)入內(nèi)部網(wǎng)絡(luò),設(shè)定上網(wǎng)權(quán)限,同時(shí)能對(duì)帶寬進(jìn)行有效管理,防止員工濫用網(wǎng)絡(luò)而擠占主要業(yè)務(wù)的網(wǎng)絡(luò)帶寬,防止堡壘在內(nèi)部被攻破;第三個(gè)階段有了較多的數(shù)字資產(chǎn),要防止網(wǎng)窺和盜竊行為發(fā)生,主動(dòng)防御來自互聯(lián)網(wǎng)端的威脅,防止業(yè)務(wù)流數(shù)據(jù)和內(nèi)容數(shù)據(jù)出現(xiàn)問題,保證數(shù)據(jù)安全,即能處理來自外部、內(nèi)部的威脅,保存好數(shù)據(jù),防范非法入侵。
管理及技術(shù)分析
根據(jù)數(shù)字出版的業(yè)務(wù)特點(diǎn),筆者總結(jié)了消除網(wǎng)絡(luò)安全隱患的策略。
在第一應(yīng)用階段,網(wǎng)絡(luò)中有防火墻、核心路由等元素,要保障物理線路暢通,具備一定的安全性。篇幅所限,這里不詳細(xì)描述了。
第二應(yīng)用階段要求建立終端準(zhǔn)入機(jī)制和應(yīng)用控制機(jī)制。
此階段遇到的挑戰(zhàn):用戶多導(dǎo)致內(nèi)部安全問題,帶寬濫用情況嚴(yán)重。內(nèi)網(wǎng)的安全事件約有70%來源于內(nèi)網(wǎng)的接入終端,雖然網(wǎng)絡(luò)中使用了一些安全措施如應(yīng)用防火墻、網(wǎng)絡(luò)設(shè)備訪問控制規(guī)則等改進(jìn)了網(wǎng)絡(luò)的安全性,但由于網(wǎng)內(nèi)終端數(shù)量較大、Windows系統(tǒng)的不穩(wěn)定和多處漏洞,終端用戶的應(yīng)用水平參差不齊等造成內(nèi)網(wǎng)安全事件頻發(fā)。對(duì)內(nèi)網(wǎng)終端的安全隱患管理和處理方法概括如下:建立用戶接入準(zhǔn)入制度,防止截取地址信息隨意接入,對(duì)合法用戶接入訪問權(quán)限進(jìn)行細(xì)化,加強(qiáng)整網(wǎng)應(yīng)用安全機(jī)制。
同時(shí),應(yīng)用也存在監(jiān)管的問題,如員工在日常工作時(shí)間進(jìn)行P2P下載、看影視等從而擠占正常業(yè)務(wù)的網(wǎng)絡(luò)帶寬。因此,系統(tǒng)中要設(shè)應(yīng)用控制網(wǎng)關(guān),對(duì)帶寬進(jìn)行有效管理,提供足夠帶寬給ERP、財(cái)務(wù)處理等主要業(yè)務(wù),滿足吞吐量要求。網(wǎng)內(nèi)用戶上網(wǎng)行為復(fù)雜,網(wǎng)絡(luò)中的異常流量、即時(shí)通信流量逐步增大,侵占了原本就不富余的出口帶寬;爆發(fā)內(nèi)網(wǎng)安全事件時(shí)也會(huì)出現(xiàn)相應(yīng)的流量異常,因此網(wǎng)內(nèi)要設(shè)有行之有效的流量控制和分析手段,以便對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)管以及安全事件的快速定位。
在第三應(yīng)用階段,可通過入侵檢測(cè)系統(tǒng)進(jìn)行主動(dòng)防御,對(duì)入網(wǎng)設(shè)備進(jìn)行終端準(zhǔn)入,建立獨(dú)立存儲(chǔ)甚至遠(yuǎn)程異地災(zāi)備系統(tǒng)。網(wǎng)絡(luò)入侵防御系統(tǒng)是一種在線部署產(chǎn)品,旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量,自動(dòng)對(duì)各類攻擊性的流量,尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷,而不是在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測(cè)等產(chǎn)品的不足,提供動(dòng)態(tài)的、深度的、主動(dòng)的安全防御,提供一個(gè)全新的入侵保護(hù)。
第三階段是較高級(jí)應(yīng)用階段,因數(shù)字出版應(yīng)用內(nèi)容豐富、強(qiáng)調(diào)應(yīng)用安全、響應(yīng)速度,網(wǎng)絡(luò)技術(shù)參數(shù)設(shè)定要對(duì)應(yīng)用需求有足夠響應(yīng)。
安全網(wǎng)絡(luò)應(yīng)用實(shí)例
下面是一個(gè)出版公司在保障網(wǎng)絡(luò)安全方面的具體方案,其他數(shù)字出版企業(yè)也可以從中借鑒。
一、使用一臺(tái)IP存儲(chǔ)解決專業(yè)存儲(chǔ)問題。
信息或數(shù)據(jù)在IT系統(tǒng)中,必然處于計(jì)算、存儲(chǔ)、傳輸三個(gè)狀態(tài)之一。這三個(gè)方面也正好對(duì)應(yīng)于整個(gè)IT架構(gòu)的三個(gè)基礎(chǔ)架構(gòu)單元――計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)。該方案選用一套高端SAN存儲(chǔ)作為整個(gè)信息系統(tǒng)的核心在線存儲(chǔ)。
該方案中,核心存儲(chǔ)設(shè)備通過IP SAN交換機(jī)與局域網(wǎng)多臺(tái)服務(wù)器建立連接。服務(wù)器通過普通千兆網(wǎng)卡或iSCSI HBA卡接入IP SAN。核心存儲(chǔ)設(shè)備提供海量存儲(chǔ)空間,實(shí)現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲(chǔ)資源統(tǒng)一管理。核心存儲(chǔ)設(shè)備可以混插高性能的SAS磁盤和大容量的SATA II磁盤,單臺(tái)設(shè)備即可滿足兩種不同的應(yīng)用需求,大大提高設(shè)備性價(jià)比。核心存儲(chǔ)也可以滿足包括數(shù)據(jù)庫、Web、OA、文件等多個(gè)應(yīng)用的集中訪問需求。ERP應(yīng)用作為關(guān)鍵應(yīng)用之一,IX3000存儲(chǔ)上為其提供獨(dú)立的存儲(chǔ)空間,并采用15000轉(zhuǎn)的SAS硬盤。
二、以應(yīng)用控制網(wǎng)關(guān)解決帶寬利用和用戶上網(wǎng)行為監(jiān)管問題。
公司員工越來越依賴于互聯(lián)網(wǎng)的同時(shí),上網(wǎng)行為卻不能得到有效控制和管理,不正當(dāng)?shù)厥褂没ヂ?lián)網(wǎng)從事各種活動(dòng)(如網(wǎng)上炒股、玩游戲等)會(huì)造成公司外網(wǎng)運(yùn)行效率下降、帶寬資源浪費(fèi)、商業(yè)信息泄密等問題。該公司的財(cái)務(wù)部曾反映,在制作半年報(bào)期間網(wǎng)絡(luò)時(shí)常不通,導(dǎo)致工作無法進(jìn)行。經(jīng)查是防火墻嚴(yán)重超負(fù)荷造成,負(fù)載時(shí)常超過90%,這些都是過度使用網(wǎng)絡(luò)資源產(chǎn)生的后果。
該公司的解決方案如下:在公司出口防火墻與核心交換機(jī)之間部署一臺(tái)應(yīng)用控制網(wǎng)關(guān)。該網(wǎng)關(guān)可以很好地完成公司信息中心對(duì)員工行為監(jiān)管的需求,針對(duì)P2P/IM、網(wǎng)絡(luò)游戲、炒股、非法網(wǎng)站訪問等行為,可以進(jìn)行精細(xì)化識(shí)別和控制,解決帶寬濫用影響正常業(yè)務(wù)、員工工作效率低下、訪問非法網(wǎng)站感染病毒蠕蟲的問題,幫助公司規(guī)范網(wǎng)絡(luò)的應(yīng)用層流量,為公司創(chuàng)造一個(gè)良好的網(wǎng)絡(luò)使用環(huán)境。
三、通過端點(diǎn)安全準(zhǔn)入系統(tǒng)EAD解決終端安全問題。
為了彌補(bǔ)公司現(xiàn)有安全防御體系中存在的不足,公司部署了一套端點(diǎn)安全準(zhǔn)入防御系統(tǒng),旨在加強(qiáng)對(duì)員工電腦的集中管理,統(tǒng)一實(shí)施安全策略,提高網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。終端安全準(zhǔn)入防御將防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系,通過對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控,使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御,變單點(diǎn)防御為全面防御,變分散管理為集中策略管理,提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。
終端安全準(zhǔn)入防御通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及病毒庫服務(wù)器、補(bǔ)丁服務(wù)器的相互配合,可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi),防止“危險(xiǎn)”客戶端對(duì)網(wǎng)絡(luò)安全的損害,避免“易感”客戶端受病毒、蠕蟲的攻擊。
四、使用入侵檢測(cè)系統(tǒng)阻止來自互聯(lián)網(wǎng)的攻擊行為。
在公司互聯(lián)網(wǎng)出口部署1套千兆硬件入侵防御系統(tǒng),專門針對(duì)公司服務(wù)器應(yīng)用層進(jìn)行防護(hù),填補(bǔ)防火墻安全級(jí)別不夠的問題,并與防火墻一起實(shí)現(xiàn)公司網(wǎng)絡(luò)L2-L7層立體的、全面的安全防護(hù)。
千兆高性能IPS入侵檢測(cè)系統(tǒng)可以針對(duì)公司W(wǎng)eb服務(wù)器三層架構(gòu)中的底層操作系統(tǒng)、中間層數(shù)據(jù)庫服務(wù)、上層網(wǎng)頁程序的每一層提供安全防護(hù)。為公司W(wǎng)eb服務(wù)器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協(xié)議異常等在內(nèi)的應(yīng)用層安全威脅的防范,防止網(wǎng)頁被篡改的發(fā)生,并在每檢測(cè)和阻斷一個(gè)針對(duì)Web服務(wù)器的安全威脅之后,記錄一條安全日志,為公司服務(wù)器的安全審計(jì)和安全優(yōu)化提供全面的依據(jù)。
綜合管理措施
筆者認(rèn)為,要維護(hù)數(shù)字出版公司網(wǎng)絡(luò)安全,在網(wǎng)絡(luò)綜合管理上要同時(shí)做好以下幾點(diǎn):
制定合理有效的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)工作管理規(guī)定,明確責(zé)任,分工到人。
設(shè)置全集團(tuán)(公司)網(wǎng)絡(luò)管理員制度,各分(子)公司專人對(duì)網(wǎng)絡(luò)和終端進(jìn)行管理。
中心機(jī)房設(shè)置專人管理機(jī)房網(wǎng)絡(luò)設(shè)備,定期檢查并分析設(shè)備日志,定期升級(jí)軟件和補(bǔ)丁,防止“破窗”出現(xiàn),發(fā)現(xiàn)異常及時(shí)處理。
定期召開網(wǎng)絡(luò)應(yīng)用會(huì)議,通報(bào)網(wǎng)絡(luò)安全情況,部署下一階段工作重點(diǎn)。要打造一支能協(xié)同的團(tuán)隊(duì),這比單純有幾臺(tái)好設(shè)備要復(fù)雜,培訓(xùn)、協(xié)同和組織要付出更多心血。
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡(luò);管理;措施
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡(luò)安全主要包含兩部分,一個(gè)就是傳統(tǒng)網(wǎng)絡(luò)安全考慮的是防范外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個(gè)就是內(nèi)網(wǎng)安全,它是對(duì)應(yīng)于外網(wǎng)而言的。主要是指在小范圍內(nèi)的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò),這個(gè)“小范圍”可以是一個(gè)家庭,一所學(xué)校,或者是一家公司。內(nèi)網(wǎng)上的每一臺(tái)電腦(或其他網(wǎng)絡(luò)設(shè)備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復(fù)的,不會(huì)相互影響。
外網(wǎng)安全的威脅模型假設(shè)內(nèi)部網(wǎng)絡(luò)都是安全可信的,威脅都來自于外部網(wǎng)絡(luò),其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設(shè)下,只要將網(wǎng)絡(luò)邊界處的安全控制措施做好,就可以確保整個(gè)網(wǎng)絡(luò)的安全。也就是說,網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。傳統(tǒng)的防火墻、人侵檢測(cè)系統(tǒng)和VPN都是基于這種思路設(shè)計(jì)和考慮的。
對(duì)眾多大型企業(yè)而言,隨著業(yè)務(wù)的發(fā)展,用戶希望ERP、OA、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實(shí)現(xiàn),能夠同時(shí)使用有線、無線網(wǎng)絡(luò),在一個(gè)網(wǎng)絡(luò)上實(shí)現(xiàn)Web、即時(shí)通信、協(xié)作、語音、視頻的融合。外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分。而隨著移動(dòng)辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機(jī)都成為了企業(yè)OA網(wǎng)絡(luò)中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細(xì)致。它假設(shè)內(nèi)網(wǎng)網(wǎng)絡(luò)中的任何一個(gè)終端、用戶和網(wǎng)絡(luò)都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個(gè)節(jié)點(diǎn)上。 所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對(duì)內(nèi)部網(wǎng)絡(luò)中所有組成節(jié)點(diǎn)和參與者進(jìn)行細(xì)致的管理,實(shí)現(xiàn)―個(gè)可管理、可控制和可信任的內(nèi)網(wǎng)。
由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點(diǎn):
1)要求建立一種更加全面、客觀和嚴(yán)格的信任體系和安全體系。
2)要求建立更加細(xì)粒度的安全控制措施,對(duì)計(jì)算機(jī)終端、服務(wù)器、網(wǎng)絡(luò)和使用者都進(jìn)行更加具有針對(duì)性的管理。
3)對(duì)信息進(jìn)行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡(luò)的龐大化和復(fù)雜化,這一比例仍有增長的趨勢(shì)。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡(luò)安全建設(shè)關(guān)注的重點(diǎn),但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因,一直以來也都是安全建設(shè)的難點(diǎn)。
在實(shí)際應(yīng)用當(dāng)中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個(gè)方面:
1)移動(dòng)設(shè)備(筆記本電腦等)和新增設(shè)備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡(luò)。未經(jīng)允許擅自接入電腦設(shè)備會(huì)給網(wǎng)絡(luò)帶來病毒傳播、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號(hào)上網(wǎng)、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò);
4)網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻斷隔離操作。安全事件發(fā)生后,網(wǎng)管一般通過交換機(jī)、路由器或防火墻進(jìn)行封堵,但設(shè)置復(fù)雜,操作風(fēng)險(xiǎn)大,而且絕大多數(shù)普通交換機(jī)并沒有被設(shè)置成SNMP可管理模式,因此不能夠方便地進(jìn)行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié),無法做到事后分析、加強(qiáng)安全預(yù)警;
6)靜態(tài)IP地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用、IP同MAC地址的綁定情況以及網(wǎng)絡(luò)中IP分配情況;
7)針對(duì)網(wǎng)絡(luò)內(nèi)部安全隱患,自動(dòng)檢測(cè)網(wǎng)絡(luò)中主機(jī)的安全防范等級(jí),進(jìn)行補(bǔ)丁大面積分發(fā),徹底解決網(wǎng)絡(luò)中的不安全因素;
8)大型網(wǎng)絡(luò)系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜,不能明確劃分管理責(zé)任范圍;
9)網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多,不能做到精確統(tǒng)計(jì)。
以上問題其實(shí)可以歸到兩個(gè)基本需求:安全與管理。安全方面,需要保證在終端方面可以提供正常工作的基礎(chǔ)IT設(shè)施即計(jì)算機(jī)是可用的;而管理方面,則保證企業(yè)或都說組織的計(jì)算機(jī)是用來工作的,規(guī)范計(jì)算機(jī)在企業(yè)網(wǎng)絡(luò)里邊的行為。
3 加強(qiáng)內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對(duì)于信息安全的重要性已經(jīng)逐漸達(dá)成共識(shí),但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)。安全關(guān)注的趨勢(shì)由外而內(nèi),由邊界到主機(jī),由分散到集中,由系統(tǒng)到應(yīng)用,由通用到專用,由分離到整合,由技術(shù)到管理。從實(shí)際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗(yàn),我總結(jié)了加強(qiáng)內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務(wù)部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)。通過劃分虛擬網(wǎng),可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),從而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡(luò)的傳輸效率,同時(shí),由于各虛擬網(wǎng)之間不能直接進(jìn)行通訊,而必須通過路由器轉(zhuǎn),為高級(jí)的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性,也給管理帶來了極大的方便性。特別是核心業(yè)務(wù)和重要部門根據(jù)安全的需要?jiǎng)澇闪瞬煌奶摂M網(wǎng),采用完全隔離或者相對(duì)隔離的措施,保證了核心業(yè)務(wù)和重要部門的安全性。
2)對(duì)企業(yè)網(wǎng)絡(luò)的物理線路進(jìn)行規(guī)范化管理。按照區(qū)域、樓層、配線間、房間、具置規(guī)范化管理編號(hào)的原則,把所有的網(wǎng)絡(luò)線路編號(hào),套上清晰的線標(biāo),配置可網(wǎng)管的交換機(jī)。同時(shí)對(duì)交換機(jī)、配線架、電腦等設(shè)備的物理配置、存放的具置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎(chǔ)數(shù)據(jù)進(jìn)行詳細(xì)的登記,同時(shí)還對(duì)IP地址進(jìn)行統(tǒng)一管理,把電腦的IP地址、MAC地址、使用人和各種基礎(chǔ)數(shù)據(jù)進(jìn)行關(guān)聯(lián),當(dāng)網(wǎng)絡(luò)或者電腦發(fā)生故障時(shí),網(wǎng)管們能夠通過基礎(chǔ)數(shù)據(jù)管理系統(tǒng)實(shí)現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率。
3)部署桌面安全管理系統(tǒng)。企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個(gè)面向IT領(lǐng)域建設(shè)的專業(yè)安全解決方案。它采用集成化網(wǎng)絡(luò)安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個(gè)企業(yè)有效達(dá)成在物理訪問、鏈路傳輸、操作系統(tǒng)、業(yè)務(wù)應(yīng)用、數(shù)據(jù)保護(hù)、網(wǎng)間訪問和人員管理等方面的安全策略制定、自動(dòng)分發(fā)和自動(dòng)實(shí)現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個(gè)終端用戶提供透明但高度個(gè)性化安全保證的前提下真正提高組織的動(dòng)作效率和管理水平。終端安全管理是基礎(chǔ),它解決了終端計(jì)算機(jī)經(jīng)常為病毒、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應(yīng)用補(bǔ)丁,提供一系列的終端維護(hù)工具與管理工具,使管理員做到對(duì)于終端的“中央集權(quán)管理與控制”。
4)部署防病毒系統(tǒng)。病毒、木馬、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法。防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個(gè)人防火墻、安全風(fēng)險(xiǎn)檢測(cè)與刪除,可以檢測(cè)、隔離、刪除和消除或修復(fù)間諜軟件、廣告軟件、撥號(hào)程序、黑客工具、玩笑程序等多種安全風(fēng)險(xiǎn)造成的負(fù)面影響。通過防毒系統(tǒng)中心控制臺(tái)可以集中管理客戶端,統(tǒng)一部署防護(hù)策略、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況、病毒分布情況、病毒種類及查殺情況,可以控制客戶端集中或單獨(dú)清除病毒。另外,還可以通過病毒隔離區(qū)控制臺(tái),追蹤病毒傳播情況,快速找到病毒源,在第一時(shí)間對(duì)中毒的電腦進(jìn)行有效的殺毒和隔離。
5)部署網(wǎng)絡(luò)管理系統(tǒng)。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大,交換機(jī)、服務(wù)器的數(shù)量也逐漸增多,如何管理監(jiān)控重點(diǎn)設(shè)備、服務(wù)器的運(yùn)行情況,不是一件容易的事。為此部署一套網(wǎng)絡(luò)管理系統(tǒng),可對(duì)網(wǎng)絡(luò)、系統(tǒng)以及應(yīng)用進(jìn)行全面的監(jiān)視。它可以提供完整的故障管理和性能管理功能,能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)主動(dòng)監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和服務(wù)器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。通過綜合控制臺(tái)可實(shí)現(xiàn)對(duì)路由器、交換機(jī)、服務(wù)器、URL、UPS無線設(shè)備以及打印機(jī)等性能的監(jiān)視,不僅提供了網(wǎng)絡(luò)設(shè)備的多種視圖,而且將收集的信息以豐富的圖、報(bào)表形式呈現(xiàn)給操作者。
6)部署安全管理系統(tǒng)(SOC)。為了讓管理人員能夠?qū)崟r(shí)了解網(wǎng)絡(luò)中動(dòng)態(tài)和事件,滿足不斷變化的網(wǎng)絡(luò)安全管理(網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用程序、應(yīng)用服務(wù)、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、機(jī)房環(huán)境等發(fā)生的故障、超閥值行為、安全事件統(tǒng)稱為網(wǎng)絡(luò)安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成。網(wǎng)絡(luò)管理系統(tǒng)是從事件驅(qū)動(dòng)的目的出發(fā)強(qiáng)調(diào)系統(tǒng)運(yùn)維、系統(tǒng)故障處理和加強(qiáng)網(wǎng)絡(luò)的性能三個(gè)方面的內(nèi)容。與網(wǎng)絡(luò)管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對(duì)威脅的管理,它的側(cè)重點(diǎn)關(guān)注在三個(gè)層次上:資產(chǎn)層面,關(guān)注安全威脅對(duì)業(yè)務(wù)及資產(chǎn)的影響;威脅層面了解哪些威脅會(huì)影響業(yè)務(wù)及資產(chǎn);防護(hù)措施層面怎樣防護(hù)威脅,保護(hù)業(yè)務(wù)及資產(chǎn)。一句話概括,就是安全管理是從保護(hù)業(yè)務(wù)及資產(chǎn)的層面進(jìn)行的風(fēng)險(xiǎn)管理。
7)部署垃圾郵件防火墻。隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴(yán)重干擾了郵件收發(fā)的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個(gè)活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對(duì)重要資料進(jìn)行備份。在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對(duì)用戶的重要性越來越大,實(shí)際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯(cuò)誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對(duì)性的災(zāi)難可能對(duì)用戶造成的損失比直接的病毒和黑客攻擊還要大。為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全,必須對(duì)重要資料進(jìn)行備份,以防止因?yàn)楦鞣N軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。對(duì)數(shù)據(jù)的保護(hù)來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件,可以較為全面地保護(hù)數(shù)據(jù)的安全。
9)密鑰管理。在現(xiàn)實(shí)中,入侵者攻擊Intranet目標(biāo)的時(shí)候,90%會(huì)把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠(yuǎn)端主機(jī)名”找出主機(jī)上的用戶賬號(hào),然后用字典窮舉法進(jìn)行攻擊。這個(gè)破譯過程是由程序來完成的。大概十幾個(gè)小時(shí)就可以把字典里的單詞都完成。
如果這種方法不能奏效,入侵者就會(huì)仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞,伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時(shí)應(yīng)在無人的情況下進(jìn)行;口令中最好要有大小寫字母、字符、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測(cè)shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。
4 結(jié)束語
當(dāng)然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。七分管理,三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡(luò)系統(tǒng)的安全才會(huì)有最大的保障。
參考文獻(xiàn):
網(wǎng)吧路由器的好壞直接決定了網(wǎng)吧網(wǎng)絡(luò)的穩(wěn)定。而單體網(wǎng)吧技術(shù)員通常對(duì)路由器不太了解,也不懂如何優(yōu)化配置路由器,經(jīng)常導(dǎo)致網(wǎng)吧掉線。而在每個(gè)網(wǎng)吧單獨(dú)設(shè)―個(gè)精通網(wǎng)絡(luò)的網(wǎng)管成本太高,所以經(jīng)常是臨時(shí)找廠家或者商的工程師進(jìn)行遠(yuǎn)程Telnet登陸進(jìn)行排錯(cuò)和相應(yīng)配置,這樣做效率比較低,耗時(shí)很長,直接影響網(wǎng)吧經(jīng)營。
H3C網(wǎng)絡(luò)設(shè)備管理方式及其優(yōu)點(diǎn):
連鎖網(wǎng)吧在總部薪聘請(qǐng)―位網(wǎng)管,對(duì)所有分支網(wǎng)吧的網(wǎng)絡(luò)設(shè)備尤其是路由器進(jìn)行統(tǒng)一配置,可以減少很多的麻煩。而H3C的AR18路由器支持BIMS(智能分支管理),網(wǎng)管能在總部直接下發(fā)關(guān)鍵配置給各個(gè)網(wǎng)吧,方便快捷。并且可以實(shí)施監(jiān)控網(wǎng)吧路由器配置。一旦配置被惡意修改,總部處會(huì)及時(shí)告警提示網(wǎng)管。這樣就避免了分支網(wǎng)吧技術(shù)員擅自修改路由器配置或者被他人惡意修改配置帶來的麻煩。
二、對(duì)連鎖網(wǎng)吧服務(wù)器的集中管理
傳統(tǒng)網(wǎng)吧服務(wù)器管理方式及其缺點(diǎn):
傳統(tǒng)的連鎖網(wǎng)吧要對(duì)分支的游戲服務(wù)器或者電影服務(wù)器進(jìn)行管理的時(shí)候,只能開放其公網(wǎng)端口,這樣就給黑客入侵留下了機(jī)會(huì)。另外由于分支網(wǎng)吧位于不同的地點(diǎn),分屬于不同的網(wǎng)絡(luò),網(wǎng)吧與網(wǎng)吧之間的資源無法實(shí)現(xiàn)共享,某些網(wǎng)吧的一些好電影資源其他網(wǎng)吧無法訪問,這又給網(wǎng)吧經(jīng)營影視節(jié)目帶來了高成本的資源重復(fù)投入。
H3C網(wǎng)絡(luò)設(shè)備管理方式及其優(yōu)點(diǎn):使用H3C網(wǎng)吧設(shè)備的連鎖網(wǎng)吧是一個(gè)真正意義上的連鎖,因?yàn)橥ㄟ^VPN互聯(lián)之后,所有網(wǎng)吧與網(wǎng)吧之間,網(wǎng)吧與總部之間都是一個(gè)虛擬的局域網(wǎng)了,局域網(wǎng)之間相互訪問資源就非常的容易了。同時(shí)總部網(wǎng)管要維護(hù)下面的服務(wù)器,通過局域網(wǎng)IP地址就可以直接訪問分支網(wǎng)吧服務(wù)器的文件夾,即方便又安全。
三、H3C網(wǎng)吧解決方案特色
作為網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備的領(lǐng)導(dǎo)廠商,H3C公司始終關(guān)注客戶最急迫的需求,以客戶需求為導(dǎo)向來開發(fā)產(chǎn)品和設(shè)計(jì)方案。通過對(duì)目前網(wǎng)吧行業(yè)的深入調(diào)研,H3C公司基于強(qiáng)大的技術(shù)實(shí)力和突出的方案整合能力,推出了面向廣大網(wǎng)吧經(jīng)營者的網(wǎng)吧解決方案,為網(wǎng)吧經(jīng)營者提供了集經(jīng)濟(jì)和高效于一身的理想解決方案。
對(duì)于網(wǎng)吧來講,穩(wěn)定壓倒一切,而如今導(dǎo)致網(wǎng)吧不穩(wěn)定的主要原因就是安全性太差,內(nèi)網(wǎng)攻擊或者ARP病毒就能輕輕松松讓一個(gè)網(wǎng)吧掉線:網(wǎng)吧擴(kuò)建之后,設(shè)備增多,對(duì)設(shè)備的管理和配置也是一大麻煩,專門雇一個(gè)精通網(wǎng)絡(luò)的技術(shù)人員成本又太高,所以網(wǎng)吧都希望設(shè)備管理越簡單越好。H3c公司正是了解到網(wǎng)吧最迫切的需求,在網(wǎng)吧解決方案中突出兩大特色,網(wǎng)絡(luò)安全與傻瓜式管理。
網(wǎng)絡(luò)安全:徹底堵住安全死角
網(wǎng)吧出口被攻擊,網(wǎng)民賬號(hào)被盜,計(jì)費(fèi)服務(wù)器被攻擊等這些不安全的因素對(duì)網(wǎng)吧金帶來嚴(yán)重的影響。造成安全性差的原因有四個(gè):
1、黑客或競爭對(duì)手發(fā)動(dòng)針對(duì)出口路由的外網(wǎng)DDoS攻擊
2、內(nèi)網(wǎng)用戶發(fā)起的DDoS攻擊造成網(wǎng)吧網(wǎng)絡(luò)癱瘓
3、ARP欺騙病毒造成用戶無法上網(wǎng),以及QQ和游戲等帳號(hào)密碼被盜
4、計(jì)費(fèi)服務(wù)器,游戲服務(wù)器被病毒攻擊造成無法計(jì)費(fèi)
針對(duì)這4種常見的安全問題,H3C研發(fā)整套解決方案,從路由到交換都融入了安全方案:
1、防外:目前網(wǎng)吧使用的多數(shù)的出口設(shè)備以及服務(wù)器在攻擊情況下就會(huì)死機(jī);而AR18-63-1路由器具備完善的安全防護(hù)功能,防DDoS攻擊,Srnurf/Fraggle攻擊,防端口掃描攻擊等網(wǎng)絡(luò)中常見的24種外網(wǎng)攻擊,徹底杜絕黑客的侵入或者競爭網(wǎng)吧的攻擊。
2、堵內(nèi),網(wǎng)吧局域網(wǎng)內(nèi)部的攻擊,ARP欺騙,蠕蟲病毒等等都會(huì)導(dǎo)致內(nèi)部掉線,H3C交換機(jī)可以完成端到端的防御,S1526接入交換機(jī)可以直接進(jìn)行端口隔離來防止ARP病毒擴(kuò)散,S5000E交換機(jī)可以進(jìn)行MAC+IP+端口綁定,實(shí)現(xiàn)硬件過濾非法ARP報(bào)文。另外S5000E創(chuàng)新的提出交換機(jī)防DoS攻擊報(bào)文的功能,在交換機(jī)處直接將攻擊丟棄掉,攻擊無法達(dá)到路由器,從而保護(hù)了內(nèi)網(wǎng)安全。另外在S5000E交換機(jī)上面還能對(duì)常見的網(wǎng)絡(luò)病毒進(jìn)行封堵,保證內(nèi)網(wǎng)蠕蟲病毒不會(huì)擴(kuò)散,引導(dǎo)到網(wǎng)吧服務(wù)器的正常運(yùn)行。
傻瓜式管理:讓網(wǎng)吧管理變得簡單
網(wǎng)吧里面有PC機(jī)、計(jì)費(fèi)服務(wù)器、收費(fèi)服務(wù)器、交換機(jī)、路由器、網(wǎng)線等、這些設(shè)備都是不同的類型,操作管理都不相同,需要一個(gè)全方位都懂的技術(shù)員才能打理。而普通的網(wǎng)管對(duì)操作系統(tǒng),PC硬件等比較熟悉,而對(duì)網(wǎng)絡(luò)不甚了解,所以在對(duì)網(wǎng)絡(luò)設(shè)備的管理上面時(shí)常出現(xiàn)問題:
1、網(wǎng)吧設(shè)備配置:網(wǎng)吧網(wǎng)管的技術(shù)水平較低,對(duì)手傳統(tǒng)的命令行配置方式掌握程度低
2、網(wǎng)絡(luò)排錯(cuò):網(wǎng)吧排查錯(cuò)誤的方式都是通過插拔線,這種方式不僅工作量十分巨大,而且效率很低網(wǎng)管需要對(duì)網(wǎng)吧的網(wǎng)絡(luò)現(xiàn)狀進(jìn)行全局的監(jiān)控
3、連鎖網(wǎng)吧設(shè)備管理:連鎖網(wǎng)吧總部會(huì)有一個(gè)專職大網(wǎng)管,他對(duì)技術(shù)非常了解,包括網(wǎng)絡(luò)。但是由于下面的加盟或者直營網(wǎng)吧較多,一旦出了問題,只能親自到現(xiàn)場去解決,效率非常低。
[關(guān)鍵詞] 網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)
一、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述
影響網(wǎng)絡(luò)安全的因素很多,保護(hù)網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說,保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù),等等。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全,必須結(jié)合網(wǎng)絡(luò)的具體需求,將多種安全措施進(jìn)行整合,建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系,這樣一個(gè)全面的網(wǎng)絡(luò)安全解決方案,可以防止安全風(fēng)險(xiǎn)的各個(gè)方面的問題。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)
1.桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲(chǔ)在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時(shí)也造成用戶的信息易受到攻擊,造成泄密。特別是對(duì)于移動(dòng)辦公的情況更是如此。因此,需要對(duì)移動(dòng)用戶的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患。
本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)、加密運(yùn)算協(xié)處理器(CAU)、只讀存儲(chǔ)器(ROM),隨機(jī)存儲(chǔ)器(RAM)、電可擦除可編程只讀存儲(chǔ)器(E2PROM)等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(Chip Operating System)、硬件ID號(hào)、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對(duì)S鎖進(jìn)行操作。
2.病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺(tái)服務(wù)器,用于安裝IMSS。
(1)郵件防毒。采用趨勢(shì)科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實(shí)時(shí)掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒??赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務(wù)器防毒。采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新。
(3)客戶端防毒。采用趨勢(shì)科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊,并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個(gè)企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢(shì)科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運(yùn)行于何種平臺(tái)和位置,TVCS在整個(gè)網(wǎng)絡(luò)中總起一個(gè)單一管理控制臺(tái)作用。簡便的安裝和分發(fā)部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動(dòng)下載病毒代碼文件和病毒爆發(fā)警報(bào),給管理帶來極大的便利。
3.動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)
動(dòng)態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上,結(jié)合生成動(dòng)態(tài)口令的特點(diǎn),加以精心修改,通過十次以上的非線性迭代運(yùn)算,完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。
4.訪問控制“防火墻”
單位安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺(tái)網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個(gè)重要部門的局域網(wǎng)出入口,實(shí)現(xiàn)這些重要部門的訪問控制。
通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器,使其不受來自內(nèi)部的攻擊,也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個(gè)部門,或者如果病毒開始蔓延,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。
5.信息加密、信息完整性校驗(yàn)
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個(gè)子網(wǎng)之間建立起獨(dú)立的安全通道,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。
SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成
網(wǎng)絡(luò)密碼機(jī)(硬件):是一個(gè)基于專用內(nèi)核,具有自主版權(quán)的高級(jí)通信保護(hù)控制系統(tǒng)。
本地管理器(軟件):是一個(gè)安裝于密碼機(jī)本地管理平臺(tái)上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。
中心管理器(軟件):是一個(gè)安裝于中心管理平臺(tái)(Windows系統(tǒng))上的對(duì)全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。
6.安全審計(jì)系統(tǒng)
根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法,“內(nèi)審”是對(duì)系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查,識(shí)別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密,以解決內(nèi)層安全。
安全審計(jì)系統(tǒng)能幫助用戶對(duì)安全網(wǎng)的安全進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段,安全審計(jì)系統(tǒng)包括識(shí)別、記錄、存儲(chǔ)、分析與安全相關(guān)行為有關(guān)的信息。
在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能:安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等。
本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。
漢邦安全審計(jì)系統(tǒng)是針對(duì)目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個(gè)分布在整個(gè)安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測(cè)、控制系統(tǒng)。
(1)安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個(gè)部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上,其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺(tái)和監(jiān)控平臺(tái),網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。
①文件保護(hù)審計(jì):文件保護(hù)安裝在審計(jì)中心,可有效的對(duì)被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報(bào)警等功能。以及對(duì)文件保護(hù)進(jìn)行用戶管理。
②主機(jī)信息審計(jì):對(duì)網(wǎng)絡(luò)內(nèi)公共資源中,所有主機(jī)進(jìn)行審計(jì),可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。
(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時(shí)間段內(nèi),系統(tǒng)自動(dòng)每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時(shí)控制屏幕截獲的開始和結(jié)束。
②監(jiān)視鍵盤:在用戶指定的時(shí)間段內(nèi),截獲Host Sensor Program用戶的所有鍵盤輸入,用戶實(shí)時(shí)控制鍵盤截獲的開始和結(jié)束。
③監(jiān)測(cè)監(jiān)控RAS連接:在用戶指定的時(shí)間段內(nèi),記錄所有的RAS連接信息。用戶實(shí)時(shí)控制ass連接信息截獲的開始和結(jié)束。當(dāng)gas連接非法時(shí),系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。
④監(jiān)測(cè)監(jiān)控網(wǎng)絡(luò)連接:在用戶指定的時(shí)間段內(nèi),記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP, UDP,NetBios)。用戶實(shí)時(shí)控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束。由用戶指定非法的網(wǎng)絡(luò)連接列表,當(dāng)出現(xiàn)非法連接時(shí),系統(tǒng)將自動(dòng)進(jìn)行報(bào)警或掛斷連接的操作。
單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來源于安全計(jì)算機(jī),所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器,保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺(tái)主機(jī)上,負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時(shí)獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺(tái),需要安裝600個(gè)傳感器。
7.入侵檢測(cè)系統(tǒng)IDS
入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā),入侵檢測(cè)理應(yīng)受到人們的高度重視,這從國際入侵檢測(cè)產(chǎn)品市場的蓬勃發(fā)展就可以看出。
根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度,選擇IDS探測(cè)器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置,核心交換機(jī)放置控制臺(tái),監(jiān)控和管理所有的探測(cè)器因此提供了對(duì)內(nèi)部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
在單位安全內(nèi)網(wǎng)中,入侵檢測(cè)系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個(gè)要害部門子網(wǎng)和其他部門子網(wǎng)之間,通過實(shí)時(shí)截取網(wǎng)絡(luò)上的是數(shù)據(jù)流,分析網(wǎng)絡(luò)通訊會(huì)話軌跡,尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動(dòng)。
8.漏洞掃描系統(tǒng)
本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個(gè)系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺(tái)網(wǎng)絡(luò)隱患掃描I型聯(lián)動(dòng)型產(chǎn)品。I型聯(lián)動(dòng)型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶,I型聯(lián)動(dòng)型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體,網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能。網(wǎng)絡(luò)人員使用I型聯(lián)動(dòng)型產(chǎn)品,就可以很方便的對(duì)200信息點(diǎn)以上的多個(gè)網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描,可以實(shí)現(xiàn)和IDS、防火墻聯(lián)動(dòng),尤其適合于制定全網(wǎng)統(tǒng)一的安全策略。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻,實(shí)現(xiàn)分布式掃描,服務(wù)器和掃描儀都支持定時(shí)和多IP地址的自動(dòng)掃描,網(wǎng)管人員可以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描,根據(jù)系統(tǒng)提供的掃描報(bào)告,配合我們提供的三級(jí)服務(wù)體系,大大的減輕了工作負(fù)擔(dān),極大的提高了工作效率。
聯(lián)動(dòng)掃描系統(tǒng)支持多線程掃描,有較高的掃描速度,支持定時(shí)和多IP地址的自動(dòng)掃描,網(wǎng)管人員可以很輕松的對(duì)自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時(shí)提供了Web方式的遠(yuǎn)程管理,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對(duì)于信息點(diǎn)少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動(dòng)式掃描儀。移動(dòng)式掃描儀使用靈活,可以跨越網(wǎng)段、穿透防火墻,對(duì)重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù),這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能地消除安全隱患。
在防火墻處部署聯(lián)動(dòng)掃描系統(tǒng),在部門交換機(jī)處部署移動(dòng)式掃描儀,實(shí)現(xiàn)放火墻、聯(lián)動(dòng)掃描系統(tǒng)和移動(dòng)式掃描儀之間的聯(lián)動(dòng),保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),優(yōu)化資源,提高網(wǎng)絡(luò)的運(yùn)行效率和安全性。
三、結(jié)束語
隨著網(wǎng)絡(luò)應(yīng)用的深入普及,網(wǎng)絡(luò)安全越來越重要,國家和企業(yè)都對(duì)建立一個(gè)安全的網(wǎng)絡(luò)有了更高的要求。一個(gè)特定系統(tǒng)的網(wǎng)絡(luò)安全方案,應(yīng)建立在對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的基礎(chǔ)上,結(jié)合系統(tǒng)的實(shí)際應(yīng)用而做。由于各個(gè)系統(tǒng)的應(yīng)用不同,不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固化為一個(gè)模式,用這個(gè)模子去套所有的信息系統(tǒng)。
本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從桌面系統(tǒng)安全、病毒防護(hù)、身份鑒別、訪問控制、信息加密、信息完整性校驗(yàn)、抗抵賴、安全審計(jì)、入侵檢測(cè)、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案,目的是建立一個(gè)完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。
參考文獻(xiàn):
[1]吳若松:新的網(wǎng)絡(luò)威脅無處不在[J].信息安全與通信保密,2005年12期
[2]唐朝京張權(quán)張森強(qiáng):有組織的網(wǎng)絡(luò)攻擊行為結(jié)果的建模[J].信息與電子工程,2003年2期
關(guān)鍵詞:邊界防護(hù);安全域劃分;入侵檢測(cè);等級(jí)保護(hù)
中圖分類號(hào): TM247 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):
0 引言
隨著電網(wǎng)公司SG186工程的實(shí)施和信息化建設(shè)的逐步推進(jìn),重要應(yīng)用系統(tǒng)已集中部署到省公司,市級(jí)電力企業(yè)將主要負(fù)責(zé)數(shù)據(jù)采集和網(wǎng)絡(luò)實(shí)時(shí)傳輸工作,信息網(wǎng)絡(luò)的安全穩(wěn)定性將直接影響信息系統(tǒng)的安全、可靠。電力企業(yè)通過網(wǎng)絡(luò)分區(qū)分域、邊界防護(hù)、規(guī)范安全配置及部署網(wǎng)絡(luò)監(jiān)測(cè)防護(hù)等手段,建立信息網(wǎng)絡(luò)安全防護(hù)體系,提高了信息安全運(yùn)行水平。
1 企業(yè)信息網(wǎng)分區(qū)分域
1.1 信息網(wǎng)絡(luò)分區(qū)
電力企業(yè)信息網(wǎng)絡(luò)分為信息外網(wǎng)區(qū)和信息內(nèi)網(wǎng)區(qū)。結(jié)合資金、通道資源等因素考慮,省、地、縣信息廣域骨干網(wǎng)將做內(nèi)外網(wǎng)邏輯隔離,全部骨干網(wǎng)節(jié)點(diǎn)上投運(yùn)具備MPLS-VPN功能的高端路由器設(shè)備,信息外網(wǎng)以信息內(nèi)網(wǎng)為承載網(wǎng),開通MPLS-VPN通道到各地、縣本地網(wǎng)接入點(diǎn),地、縣本地局域網(wǎng)以物理隔離方式分別組建信息內(nèi)網(wǎng)和信息外網(wǎng)實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。
1.2 安全域建設(shè)
網(wǎng)絡(luò)安全的基本策略是進(jìn)行安全區(qū)域劃分,根據(jù)信息業(yè)務(wù)安全等級(jí)差異可劃分不同安全等級(jí)的區(qū)域,實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的有效隔離。市級(jí)電力企業(yè)主要的營銷管理系統(tǒng)、生產(chǎn)管理系統(tǒng)、協(xié)同辦公系統(tǒng)等已全部集中部署在省公司,因此在市公司中,系統(tǒng)均為二級(jí)系統(tǒng)。根據(jù)網(wǎng)絡(luò)安全域與網(wǎng)絡(luò)功能區(qū)相匹配的原則,信息內(nèi)網(wǎng)安全域可劃分為系統(tǒng)服務(wù)器域和內(nèi)網(wǎng)終端域兩個(gè),并通過防火墻實(shí)現(xiàn)安全風(fēng)險(xiǎn)隔離。信息外網(wǎng)因沒有對(duì)外業(yè)務(wù)應(yīng)用系統(tǒng),全部為外網(wǎng)終端,因此外網(wǎng)只有外網(wǎng)終端域。信息內(nèi)網(wǎng)網(wǎng)絡(luò)示意圖如圖1所示:
圖1 信息內(nèi)網(wǎng)網(wǎng)絡(luò)示意圖
2 網(wǎng)絡(luò)邊界防護(hù)
邊界防護(hù)是指網(wǎng)絡(luò)區(qū)域間和區(qū)域內(nèi)所有網(wǎng)絡(luò)流量必須在明確的策略允許下進(jìn)行傳輸,數(shù)據(jù)流進(jìn)行嚴(yán)格的控制,包括數(shù)據(jù)流的源和目的地址,控制精度達(dá)到端口級(jí),默認(rèn)拒絕所有不確定的數(shù)據(jù)流。邊界的隔離防護(hù)功能可以從物理上實(shí)現(xiàn),也可在網(wǎng)絡(luò)層和系統(tǒng)層實(shí)現(xiàn)。市級(jí)電力企業(yè)信息內(nèi)外網(wǎng)實(shí)現(xiàn)物理隔離方式,信息內(nèi)網(wǎng)不存在第三方邊界,信息內(nèi)網(wǎng)的網(wǎng)絡(luò)邊界根據(jù)區(qū)域網(wǎng)絡(luò)數(shù)據(jù)流向劃分為縱向邊界、橫向邊界和終端接入邊界。劃分示意圖如圖2所示。
圖2 邊界劃分示意圖
2.1 縱向邊界防護(hù)
市級(jí)信息網(wǎng)絡(luò)縱向邊界分為上聯(lián)省公司邊界和下聯(lián)縣級(jí)公司邊界兩部分,邊界劃分和隔離方式基本相同,采用BGP協(xié)議劃分不同的自治系統(tǒng)域網(wǎng)絡(luò)邊界,以口字形方式雙機(jī)冗余連接,部署防火墻做網(wǎng)絡(luò)邊界隔離,通過防火墻的訪問控制策略實(shí)現(xiàn)數(shù)據(jù)流的縱向訪問控制防護(hù)。
2.2 橫向邊界防護(hù)
市級(jí)信息網(wǎng)絡(luò)橫向邊界分為安全域間邊界防護(hù)和網(wǎng)段間防護(hù)。安全域邊界防護(hù)采用防火墻作邊界安全策略配置,實(shí)現(xiàn)服務(wù)器域和內(nèi)網(wǎng)終端域間的安全訪問控制;網(wǎng)段間防護(hù)包括服務(wù)器網(wǎng)段VLAN劃分和內(nèi)網(wǎng)終端域網(wǎng)段VLAN劃分,通過在網(wǎng)絡(luò)設(shè)備層上配置詳細(xì)的VLAN訪問控制策略實(shí)現(xiàn)網(wǎng)段間的邊界防護(hù)。
2.3 終端接入邊界防護(hù)
終端接入邊界防護(hù)主要是計(jì)算機(jī)終端和接入層交換機(jī)的安全接入控制,包括設(shè)備接入許可控制和外聯(lián)阻斷。設(shè)備接入控制采用網(wǎng)絡(luò)層的IP-MAC地址綁定功能做接入許可控制,并在網(wǎng)絡(luò)設(shè)備端作端口訪問控制策略;外聯(lián)阻斷控制是部署終端管理系統(tǒng)實(shí)時(shí)對(duì)設(shè)備外聯(lián)進(jìn)行檢測(cè),如有連接外網(wǎng)可主動(dòng)發(fā)起阻斷操作并告警,通過應(yīng)用系統(tǒng)層做邊界接入防護(hù)。
3 規(guī)范網(wǎng)絡(luò)安全配置
網(wǎng)絡(luò)安全威脅是實(shí)際存在的,網(wǎng)絡(luò)本身的安全性配置是網(wǎng)絡(luò)系統(tǒng)的安全基礎(chǔ),可最大程度地降低網(wǎng)絡(luò)層的攻擊威脅。如何正確有效地啟用各類網(wǎng)絡(luò)安全配置是網(wǎng)絡(luò)日常維護(hù)深入的重點(diǎn)。網(wǎng)絡(luò)設(shè)備安全配置總體包括網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)訪問控制三方面。以cisco網(wǎng)絡(luò)設(shè)備為例,列舉以下安全配置:
4 網(wǎng)絡(luò)安全監(jiān)測(cè)防護(hù)
4.1 網(wǎng)絡(luò)管理系統(tǒng)
網(wǎng)管系統(tǒng)可對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理和狀態(tài)監(jiān)控,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)所有網(wǎng)絡(luò)設(shè)備的告警監(jiān)測(cè)和故障定位,使用運(yùn)行管理功能能提供網(wǎng)絡(luò)故障預(yù)警、故障定位。同時(shí)能確定網(wǎng)絡(luò)設(shè)備CPU、內(nèi)存的負(fù)荷、站點(diǎn)的可到達(dá)性、網(wǎng)絡(luò)鏈路流量、傳輸速率、帶寬利用率、時(shí)延、丟包等。并發(fā)現(xiàn)系統(tǒng)的物理連接和系統(tǒng)配置的問題,進(jìn)而優(yōu)化網(wǎng)絡(luò)性能、提高網(wǎng)絡(luò)運(yùn)行效益。是網(wǎng)絡(luò)管理員管理網(wǎng)絡(luò)的重要手段。
4.2 入侵檢測(cè)系統(tǒng)
人侵檢測(cè)系統(tǒng)能提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和防攻擊等多項(xiàng)功能;具有事前警告、事中防護(hù)和事后取證等特點(diǎn);可以監(jiān)視用戶和系統(tǒng)的運(yùn)行狀態(tài),查找非法用戶和合法用戶的越權(quán)操作;檢測(cè)系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞。通過入侵檢測(cè)系統(tǒng),管理員能實(shí)時(shí)檢測(cè)到用戶網(wǎng)絡(luò)受攻擊行為,并即時(shí)采取應(yīng)急措施。
4.3 漏洞掃描系統(tǒng)
漏洞掃描系統(tǒng)將網(wǎng)絡(luò)、主機(jī)和桌面終端的系統(tǒng)配置信息進(jìn)行漏洞規(guī)則匹配分析,能即時(shí)檢測(cè)到網(wǎng)絡(luò)上各設(shè)備的系統(tǒng)漏洞,發(fā)現(xiàn)系統(tǒng)隱患及脆弱點(diǎn),能通過補(bǔ)丁更新系統(tǒng)更新。
4.4 日志審計(jì)系統(tǒng)
日志審計(jì)系統(tǒng)能將網(wǎng)絡(luò)設(shè)備、防火墻設(shè)備、入侵檢測(cè)及主機(jī)系統(tǒng)的日志數(shù)據(jù)進(jìn)行采集、分析和識(shí)別,對(duì)各類事件歸類匯總分析,實(shí)時(shí)定位網(wǎng)絡(luò)安全事件的準(zhǔn)確性,并進(jìn)行報(bào)警響應(yīng)。
4.5 防病毒系統(tǒng)
計(jì)算機(jī)病毒是造成網(wǎng)絡(luò)大規(guī)模癱瘓的重要原因,通過防病毒系統(tǒng)對(duì)病毒感染傳播的遏制,是網(wǎng)絡(luò)安全的重要防護(hù)手段。終端防病毒軟件安裝率是電力企業(yè)信息安全考核的重要指標(biāo)。
最近,國內(nèi)某造船廠發(fā)生了一起有驚無險(xiǎn)的網(wǎng)絡(luò)安全事件。由于該造船廠的計(jì)算機(jī)系統(tǒng)內(nèi)儲(chǔ)存有大量的重要設(shè)計(jì)數(shù)據(jù),某一天,系統(tǒng)突然報(bào)警,顯示某個(gè)電腦終端正在非法拷貝這些重要文件數(shù)據(jù),而網(wǎng)管人員通過內(nèi)網(wǎng)審計(jì)系統(tǒng)的跟蹤,立刻鎖定了拷貝文件的電腦和登陸系統(tǒng)的用戶名,從而在重要文件還沒被外傳之前,及時(shí)制止了該行為,避免了無謂的經(jīng)濟(jì)損失。
事實(shí)上,類似的內(nèi)網(wǎng)安全事件在很多企業(yè)都有發(fā)生,但由于內(nèi)網(wǎng)安全的完善程度不同,并非每個(gè)企業(yè)都能避免損失發(fā)生。有調(diào)查顯示,超過85.0%的安全威脅來自企業(yè)內(nèi)部,其中16.0%來自企業(yè)內(nèi)部未經(jīng)授權(quán)的非法訪問,40.0%來自電子文件的泄露,由此可見,內(nèi)網(wǎng)安全問題已是企業(yè)網(wǎng)絡(luò)安全建設(shè)的重頭戲。
為了確保網(wǎng)絡(luò)安全,防火墻、殺毒軟件、IPS等產(chǎn)品早已成為企業(yè)用戶的普遍部署,但是,這些主要針對(duì)外網(wǎng)的安全防護(hù)在面對(duì)內(nèi)網(wǎng)安全威脅時(shí),往往形同虛設(shè),因?yàn)椤皟?nèi)憂”勝于“外患”,企業(yè)不僅需要堅(jiān)固的邊界安全,更需要穩(wěn)定的內(nèi)網(wǎng)安全。
那么,目前企業(yè)CIO們對(duì)于內(nèi)網(wǎng)安全的認(rèn)識(shí)是否到位,他們?cè)趦?nèi)網(wǎng)安全部署方面處于何種程度,還存在哪些有待完善之處,內(nèi)網(wǎng)安全在產(chǎn)品技術(shù)上又存在哪些發(fā)展趨勢(shì)。
為此,《中國計(jì)算機(jī)用戶》雜志社實(shí)施了為期一個(gè)月的用戶調(diào)查,以期通過用戶反饋呈現(xiàn)內(nèi)網(wǎng)安全的現(xiàn)狀及趨勢(shì)。
過半企業(yè)重視內(nèi)網(wǎng)安全
網(wǎng)絡(luò)安全威脅層出不窮,網(wǎng)絡(luò)安全問題無處不在,但是,事情總有輕重緩急之分,哪個(gè)領(lǐng)域的安全問題是企業(yè)用戶當(dāng)前首需解決的呢?調(diào)查反饋顯示,“內(nèi)網(wǎng)安全”以54.9%的比例占據(jù)第一位置,其次,25.7%的用戶選擇外網(wǎng)安全,10.6%的用戶選擇了終端安全,8.8%的用戶選擇了Web安全。
顯然,企業(yè)網(wǎng)絡(luò)安全建設(shè)行進(jìn)之今,過半用戶已經(jīng)將“內(nèi)網(wǎng)安全”設(shè)定為首需解決的問題。同時(shí),這也表明用戶對(duì)于內(nèi)網(wǎng)安全重要性的認(rèn)識(shí)已經(jīng)達(dá)到相當(dāng)程度。
北京互聯(lián)通網(wǎng)絡(luò)科技有限公司產(chǎn)品項(xiàng)目部顧問黃毅就明確表示,內(nèi)網(wǎng)的安全管理,很多時(shí)候比外網(wǎng)安全管理更加重要,因?yàn)槠髽I(yè)的機(jī)密信息泄漏、業(yè)務(wù)系統(tǒng)被如侵等,往往就是透過內(nèi)部的非授權(quán)訪問和木馬泛濫導(dǎo)致的,所以,保障內(nèi)網(wǎng)安全勢(shì)在必行。
作為內(nèi)網(wǎng)安全建設(shè)領(lǐng)域的專家,北京鼎普科技股份有限公司戰(zhàn)略市場部經(jīng)理萬俊告訴記者,一直以來,企業(yè)安全防御的理念更多局限在常規(guī)的網(wǎng)管級(jí)別(防火墻等)、網(wǎng)絡(luò)邊界(漏洞掃描、安全審計(jì)、防病毒、IDS)等方面,主要的安全設(shè)施大多集中于機(jī)房、網(wǎng)絡(luò)入口處。應(yīng)該說,在這些安全設(shè)備的嚴(yán)密監(jiān)控下,來自網(wǎng)絡(luò)外部的安全威脅得到顯著緩解。
然而,隨著企業(yè)信息化的不斷深入,來自網(wǎng)絡(luò)內(nèi)部的安全威脅開始逐步凸顯出來,網(wǎng)絡(luò)的內(nèi)部安全問題大于外部問題漸漸成為業(yè)界共識(shí)。
對(duì)此,我們可以從企業(yè)用戶當(dāng)前對(duì)于安全細(xì)節(jié)問題的關(guān)注度得到印證。在“哪些安全細(xì)節(jié)問題是貴公司當(dāng)前比較重視的”這一問題中,83.2%的用戶選擇了病毒查殺,69.0%的用戶選擇了數(shù)據(jù)庫安全,46.9%的用戶選擇了網(wǎng)絡(luò)設(shè)備安全,31.9%的用戶選擇了補(bǔ)丁升級(jí)管理,31.0%的用戶選擇了網(wǎng)站運(yùn)維安全,27.4%的用戶選擇了身份認(rèn)證,22.1%的用戶選擇了信息加密。
可以看出,不論是常見的病毒查殺,還是身份認(rèn)證或信息加密,用戶對(duì)此都持有相當(dāng)?shù)年P(guān)注。
“提高意識(shí)管理到位”是首要
為什么需要管理內(nèi)網(wǎng)安全,我們從企業(yè)員工的日常小事即可明白。如今,很多員工在上班閑暇時(shí),偶爾聊聊QQ或MSN,要不上開心網(wǎng)玩“偷菜”或觀看在線電影,要不干脆打開BT電驢等下載軟件下載大容量文件。這些在大小企業(yè)中普遍存在的現(xiàn)象不僅影響了員工的工作效率,而且還會(huì)占用企業(yè)網(wǎng)絡(luò)流量,從而影響其他正常業(yè)務(wù)的開展。
事實(shí)當(dāng)然不僅如此,根據(jù)本次調(diào)查反饋,70.8%的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”,37.2%的企業(yè)存在“經(jīng)常有人改動(dòng)IP地址從而造成沖突”,62.8%的企業(yè)存在“經(jīng)常出現(xiàn)某臺(tái)電腦沒有打補(bǔ)丁或補(bǔ)丁不全”,31.0%的企業(yè)存在“經(jīng)常受到非法入侵”,48.7%的企業(yè)存在“不能完全限制內(nèi)網(wǎng)的設(shè)備與重要信息的保管”。
可以看出,近七成左右的企業(yè)存在“員工隨便登陸MSN、QQ、BT等內(nèi)容”和“經(jīng)常出現(xiàn)某臺(tái)電腦沒有打補(bǔ)丁或補(bǔ)丁不全”的現(xiàn)象,另外三項(xiàng)困擾也有近五成企業(yè)有所遭遇。
另外,根據(jù)調(diào)查反饋,目前企業(yè)網(wǎng)絡(luò)主要遭遇的安全威脅中,76.1%的用戶選擇木馬病毒,14.2%的用戶選擇蠕蟲,8.8%的用戶選擇電子郵件攻擊,0.9%的用戶選擇網(wǎng)絡(luò)釣魚/欺騙??梢?,木馬泛濫的確到了人人喊打的地步。
需要指出的是,木馬病毒除了可以跟隨Web應(yīng)用從外網(wǎng)進(jìn)入內(nèi)網(wǎng)之外,還有一個(gè)重要的傳播渠道,即通過移動(dòng)U盤直接在內(nèi)網(wǎng)終端上蔓延開來。
對(duì)此,在諸多安全廠商的內(nèi)網(wǎng)安全產(chǎn)品中,都或多或少存在防止移動(dòng)終端傳播病毒的功能。比如鼎普科技的安全U盤系統(tǒng),它是通過智能判斷和權(quán)限訪問控制技術(shù),使數(shù)據(jù)信息在U盤上實(shí)現(xiàn)存取控制,同時(shí)也具備對(duì)U盤進(jìn)行身份認(rèn)證、敏感信息外帶時(shí)防止非授權(quán)訪問和病毒竊取等功能。目前,金融、電信等行業(yè)用戶大多應(yīng)用了類似系統(tǒng)以杜絕終端隱患。
拋開行業(yè)特殊性,拋開單一內(nèi)網(wǎng)安全產(chǎn)品或功能,目前企業(yè)用戶針對(duì)網(wǎng)絡(luò)安全的部署現(xiàn)狀如何呢。根據(jù)調(diào)查反饋,96.5%的用戶選擇了殺毒軟件,78.8%的用戶選擇了防火墻,24.8%的用戶選擇了VPN(安全傳輸),20.4%的用戶選擇了身份認(rèn)證系統(tǒng),27.4%的用戶選擇了內(nèi)網(wǎng)安全管理,8.8%的用戶選擇了IDS/IPS。
很明顯,雖然近八成企業(yè)都部署了殺毒軟件和防火墻,但這正好說明企業(yè)在網(wǎng)絡(luò)安全建設(shè)過程中,外網(wǎng)安全是優(yōu)先經(jīng)歷的階段,而接下來的重點(diǎn)則在內(nèi)網(wǎng)安全。
那么,內(nèi)網(wǎng)安全建設(shè)應(yīng)該從何處下手呢,首先,我們可以從“企業(yè)網(wǎng)絡(luò)中發(fā)生安全事件的原因通常包括有哪些”這一問題的調(diào)查結(jié)果看,有48.7%的用戶選擇“網(wǎng)絡(luò)或軟件配置錯(cuò)誤”,28.3%的用戶選擇“管理員弱口令”,62.8%的用戶選擇“系統(tǒng)漏洞”,74.3%的用戶選擇“員工安全意識(shí)淡薄、管理不到位”,15.0%的用戶選擇“DDoS攻擊”。
顯然,“員工安全意識(shí)淡薄、管理不到位”是企業(yè)發(fā)生網(wǎng)絡(luò)安全事件的最普遍原因,這與很多企業(yè)CIO的看法也是一致。
山西省大同市陽高縣畜牧服務(wù)中心飼料牧草管理站站長杭軍表示,影響內(nèi)網(wǎng)安全管理的因素很多,其中,用戶
的認(rèn)識(shí)水平、重視程度及使用習(xí)慣,尤其是普通用戶的安全意識(shí)和相關(guān)管理人員的管理水平,尤為重要。
同樣,在吉林吉恩鎳業(yè)股份有限公司信息中心主任周軍利看來,保障內(nèi)網(wǎng)安全,首先需要制訂科學(xué)完善的內(nèi)網(wǎng)安全管理制度,從制度上規(guī)范員工的上網(wǎng)行為,其次要加大制度的執(zhí)行和考核力度,讓員工自覺地樹立信息安全意識(shí),最后就是使用先進(jìn)的內(nèi)網(wǎng)安全管理產(chǎn)品,從技術(shù)上保障內(nèi)網(wǎng)的安全。
從“偏安全”到“偏管理”
從技術(shù)角度講,內(nèi)網(wǎng)安全包含的內(nèi)容其實(shí)很多,比如如何發(fā)現(xiàn)客戶端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁,如何防范移動(dòng)存儲(chǔ)設(shè)備隨意介入內(nèi)網(wǎng)、如何防范內(nèi)網(wǎng)設(shè)備非法外聯(lián),如何點(diǎn)對(duì)點(diǎn)控制異??蛻舳说倪\(yùn)行,如何防范內(nèi)部信息泄露等。
換句話說,與防范外網(wǎng)安全主要集中于邊界部署不同,保障內(nèi)網(wǎng)安全需要涉及的環(huán)節(jié)較多,相應(yīng)的產(chǎn)品部署也相對(duì)更加多樣。比如有的側(cè)重內(nèi)網(wǎng)終端防護(hù),有的側(cè)重流量和上網(wǎng)行為控制,有的側(cè)重監(jiān)控審計(jì),有的側(cè)重身份認(rèn)證或信息加密等。
萬俊介紹,過去幾年,人們對(duì)于內(nèi)網(wǎng)安全的管理主要偏向于防止信息泄密,因此,嚴(yán)格控制電腦終端的外設(shè)及各類端口成為各大廠商產(chǎn)品方案的重點(diǎn)訴求。
然而,隨著網(wǎng)絡(luò)安全形勢(shì)的不斷演變,企業(yè)用戶開始不僅滿足于對(duì)電腦終端的監(jiān)控,而是希望從管理的角度對(duì)內(nèi)網(wǎng)安全進(jìn)行防護(hù)。比如本文開頭所說的那家造船廠,通過內(nèi)網(wǎng)審計(jì)系統(tǒng)鎖定非法操作,再比如統(tǒng)計(jì)網(wǎng)絡(luò)流量、補(bǔ)丁分發(fā)以及系統(tǒng)軟硬件的升級(jí)管理等。
這在本次調(diào)查也有所反映。“在內(nèi)網(wǎng)安全管理方面,貴公司期望在哪個(gè)部分得到加強(qiáng)”,有51.3%的用戶選擇了“監(jiān)控審計(jì)”,26.5%的用戶選擇了“桌面管理”,14.2%的用戶選擇了“文檔加密”,8.0%的用戶選擇了“磁盤加密”。
事實(shí)上,為了滿足用戶需求,廠商的產(chǎn)品策略上也在隨之跟進(jìn)?!爱?dāng)然,我們?cè)诋a(chǎn)品策略上也從最初單純的監(jiān)控審計(jì),到現(xiàn)在把監(jiān)控審計(jì)和管理相結(jié)合,走向偏重管理的方向。”萬俊表示,“畢竟,內(nèi)網(wǎng)安全的重心已經(jīng)從偏重安全轉(zhuǎn)移到偏重管理,內(nèi)網(wǎng)的概念已不僅集中在這塊,許多非企業(yè)、非業(yè)務(wù)也開始從管理的角度落實(shí)內(nèi)網(wǎng)安全?!?/p>
在實(shí)踐應(yīng)用中,偏重管理就是要求企業(yè)在運(yùn)用內(nèi)網(wǎng)功能的時(shí)候,不是為了在事后進(jìn)行補(bǔ)救,而是一方面可以做到預(yù)防危險(xiǎn)的發(fā)生,另一方面把公司一些理念、文化都能在計(jì)算機(jī)內(nèi)網(wǎng)監(jiān)控中得到體現(xiàn)。
比如鼎普科技最新研發(fā)的“獵隼”網(wǎng)絡(luò)信息監(jiān)測(cè)系統(tǒng),這個(gè)系統(tǒng)通過對(duì)所有網(wǎng)絡(luò)的內(nèi)容進(jìn)行解析,能夠及時(shí)阻止內(nèi)部的計(jì)算機(jī)通過互聯(lián)網(wǎng)發(fā)生的敏感信息泄露,快速定位追查源頭,防止違規(guī)事件發(fā)生。它還能對(duì)整個(gè)網(wǎng)絡(luò)及計(jì)算機(jī)用戶上網(wǎng)行為、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,幫助網(wǎng)絡(luò)高效、穩(wěn)定、安全的運(yùn)行,為信息化建設(shè)及管理提供有效的技術(shù)支撐。
打造立體防御體系
“未來一年,貴公司是否制定了進(jìn)一步加強(qiáng)內(nèi)網(wǎng)安全管理的計(jì)劃”,結(jié)果顯示,41.6%的企業(yè)表示有,32.7%的用戶表示暫時(shí)沒有,25.7%的用戶表示不確定。可見,有四成多的用戶打算加強(qiáng)內(nèi)網(wǎng)安全部署。
不過,涉及內(nèi)網(wǎng)安全的因素非常多,產(chǎn)品形式也比較多樣,在哪些環(huán)節(jié)如何部署就顯得非常重要。
總體而言,內(nèi)網(wǎng)安全集中關(guān)注的對(duì)象包括引起信息安全威脅的內(nèi)網(wǎng)用戶、應(yīng)用環(huán)境、應(yīng)用環(huán)境邊界和內(nèi)網(wǎng)通信安全。
因此,如何在企業(yè)內(nèi)網(wǎng)構(gòu)建一個(gè)有機(jī)統(tǒng)一的安全控制系統(tǒng),實(shí)現(xiàn)立體式實(shí)時(shí)監(jiān)管,才是實(shí)施內(nèi)網(wǎng)安全部署的關(guān)鍵所在。
在萬俊看來,保障內(nèi)網(wǎng)安全不能僅靠各種功用安全產(chǎn)品的堆疊,而需要由單純的安全產(chǎn)品部署上升到如何實(shí)現(xiàn)可信、可控的立體防護(hù)體系。比如通過四級(jí)可信認(rèn)證機(jī)制,則可以讓系統(tǒng)既突出安全性,又注重管理性。
第一級(jí)認(rèn)證:基于硬件級(jí)別的安全防護(hù)和訪問控制。在最底層實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端進(jìn)行物理安全加固,例如使用鼎普計(jì)算機(jī)安全防護(hù)卡從BIOS級(jí)實(shí)現(xiàn)登錄認(rèn)證和全盤數(shù)據(jù)保護(hù),一方面可以杜絕非法用戶從光盤啟動(dòng)繞過軟件防護(hù)竊取數(shù)據(jù),同時(shí)還可令用戶不能隨意安裝操作系統(tǒng)、卸載已安裝的軟件系統(tǒng)改變現(xiàn)有安全環(huán)境。
第二級(jí)認(rèn)證:基于操作系統(tǒng)的身份認(rèn)證和文件保護(hù)。采用基于USB-KEY的雙因素認(rèn)證技術(shù)實(shí)現(xiàn)操作系統(tǒng)登錄的可信可控,即在計(jì)算機(jī)硬件啟動(dòng)之后,可以限制用戶權(quán)限,如是否可以進(jìn)一步登錄操作系統(tǒng),以及可以進(jìn)行何種權(quán)限的文件操作,文件如何安全存放以及安全刪除。
第三級(jí)認(rèn)證:實(shí)現(xiàn)對(duì)程序安裝運(yùn)行的授權(quán)控制。對(duì)應(yīng)用程序進(jìn)行黑白名單控制,只有經(jīng)過管理員簽名授權(quán)的程序才能在單機(jī)終端上運(yùn)行使用,進(jìn)一步規(guī)范終端用戶的軟件程序使用行為,可以最大程度防止程序的隨意安裝使用帶來的病毒、木馬的傳播。
第四級(jí)認(rèn)證:實(shí)現(xiàn)可信計(jì)算機(jī)接入內(nèi)網(wǎng)的認(rèn)證管理。網(wǎng)絡(luò)邊界的安全可控是內(nèi)網(wǎng)安全的基本問題,通過基于802.1X認(rèn)證協(xié)議的可信終端認(rèn)證子系統(tǒng),實(shí)現(xiàn)網(wǎng)絡(luò)的安全接入――只有經(jīng)過授權(quán)許可的可信、可控、健康計(jì)算機(jī)才能接入到內(nèi)網(wǎng),并對(duì)人終端的運(yùn)行、健康狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控,通過創(chuàng)新的技術(shù)理念打造出一個(gè)信得過、進(jìn)得來、控得住的健康可信內(nèi)部網(wǎng)絡(luò)。如果不健康,防護(hù)系統(tǒng)會(huì)采取進(jìn)一步措施,如報(bào)警、斷阿等。
在建立以上四級(jí)可信認(rèn)證機(jī)制的縱深防御體系基礎(chǔ)上,企業(yè)用戶還要實(shí)現(xiàn)身份鑒別、介質(zhì)管理,數(shù)據(jù)保護(hù)、安全審計(jì)、實(shí)時(shí)監(jiān)控等防護(hù)要求,如此才能達(dá)到扎實(shí)有效的安全效果。
用戶聲音
對(duì)于完善企業(yè)內(nèi)網(wǎng)安全管理,您認(rèn)為哪些因素比較重要?
吉林吉恩鎳業(yè)股份有限公司信息中心主任 周軍利
首先要制訂科學(xué)完善的內(nèi)網(wǎng)安全管理制度,從制度上有所保障;要加大制度的執(zhí)行和考核力度,要讓員工自覺樹立信息安全意識(shí);要有先進(jìn)的內(nèi)網(wǎng)安全管理軟件,從技術(shù)上保障內(nèi)網(wǎng)安全。
中國石化管道儲(chǔ)運(yùn)公司技術(shù)作業(yè)分公司科研所高級(jí)工程師楊家琳
1、規(guī)范內(nèi)網(wǎng)用戶上網(wǎng)行為;2、堵塞系統(tǒng)漏洞;3、加強(qiáng)防范措施(網(wǎng)絡(luò)監(jiān)控和預(yù)警、防病毒、木馬與非法入侵)
山東省泰安市國家稅務(wù)局 胡志京
1、提高全員對(duì)信息安全的防護(hù)意識(shí),建章立制,落實(shí)制度,規(guī)范操作;2、提高領(lǐng)導(dǎo)層的高度重視意識(shí),每年要有一定投入,進(jìn)行一些安全設(shè)備和殺毒軟件的更新?lián)Q代,以保證將病毒、不安全隱惠消滅在萌芽狀態(tài)。3、加強(qiáng)日常管理,抓好制度落實(shí),做到勤檢查,常督促,把網(wǎng)絡(luò)信息安全工作落到實(shí)處。
IM和P2P淪為黑客攻擊管道
從終端來看,垃圾郵件,蠕蟲病毒,間諜軟件,針對(duì)即時(shí)通訊和P2P應(yīng)用安全事件正成為終端安全隱患的主要來源。
FaceTime通訊公司最新的調(diào)查報(bào)告說,微軟的MSN網(wǎng)絡(luò)仍然是被攻擊得最多的即時(shí)通訊網(wǎng)絡(luò),2004年和2005年都是如此,而被攻擊數(shù)量下降得最快的網(wǎng)絡(luò)是美國在線的AIM 網(wǎng)絡(luò)。即時(shí)通訊威脅對(duì)于企業(yè)的IT人員來說是一種非常大的挑戰(zhàn),因?yàn)樗鼈兝昧藢?shí)時(shí)通訊的管道以及全球各地的即時(shí)通訊網(wǎng)絡(luò)進(jìn)行繁殖,它們的傳播速度比電子郵件攻擊快很多。
根據(jù)披露,2005年11月有一個(gè)國際黑客組織已經(jīng)利用即時(shí)通訊軟件病毒控制了1.7萬臺(tái)個(gè)人電腦組成僵尸網(wǎng)絡(luò)為商業(yè)目的攻擊行為做準(zhǔn)備。
我們也已知道,即時(shí)消息和P2P 應(yīng)用在帶來方便性、實(shí)時(shí)性、新業(yè)務(wù)商機(jī)的同時(shí),也給最終用戶、企業(yè)網(wǎng)絡(luò)和電信網(wǎng)絡(luò)帶來多方位的安全威脅。通常來說,這些安全威脅包括:邊界安全措施失效;難以控制文件數(shù)據(jù)的共享和流動(dòng),帶來病毒、木馬、蠕蟲等;容易導(dǎo)致知識(shí)產(chǎn)權(quán)損失、泄密等;由于大量使用非標(biāo)準(zhǔn)、不公開協(xié)議,使用動(dòng)態(tài)、隨即、非固定的端口;難以檢測(cè)、過濾和管理;隱藏于HTTP管道中的各種潛在的隱秘通道。
我們也可以看到在復(fù)雜的網(wǎng)絡(luò)環(huán)境下一些有代表性的P2P網(wǎng)絡(luò)安全產(chǎn)品,提供基于包過濾特性提供針對(duì)P2P傳輸?shù)姆雷o(hù),在保障安全的同時(shí)還可阻止并記錄國際上幾乎所有的P2P封殺機(jī)構(gòu)(如RIAA、MPAA、MediaForce、BaySTP、NetPD等等)對(duì)計(jì)算機(jī)進(jìn)行探測(cè)連接,從而避免隱私外泄,可以自動(dòng)下載最新的屏蔽列表來屏蔽各種廣告、間諜軟件及研究機(jī)構(gòu)對(duì)機(jī)器的掃描。
目前業(yè)界一些致力于IM/P2P的專業(yè)廠商也推出了針對(duì)保護(hù)用戶免受IM與P2P的安全威脅,將檢測(cè)和分析通過IM傳播的病毒與蠕蟲、通過IM發(fā)送的垃圾郵件“SPIM”、惡意代碼等的整體方案。
針對(duì)IM的安全管理,比如IM監(jiān)控,P2P的監(jiān)控等,正在成為網(wǎng)關(guān)級(jí)防御,針對(duì)IM和P2P,垃圾郵件監(jiān)控、管理和控制等等需求和話題正在不斷催生出相關(guān)應(yīng)用的針對(duì)性安全解決方案。
UTM:潮流趨勢(shì)所至
在企業(yè)級(jí)領(lǐng)域,由于信息基礎(chǔ)設(shè)施的不斷增加和應(yīng)用的不斷擴(kuò)展,企業(yè)公共出口的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的布局已經(jīng)發(fā)展到一定階段,隨著縱深防御概念逐漸深入,威脅已經(jīng)從外部轉(zhuǎn)向內(nèi)部。從產(chǎn)品來看,UTM(一體化的威脅管理)正在成為新的增長點(diǎn)。在混合攻擊肆虐的時(shí)代,單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要,而對(duì)于集成多種安全功能的UTM設(shè)備來說,以其基于應(yīng)用協(xié)議層防御、超低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)、統(tǒng)一組件化管理的優(yōu)勢(shì)將得到越來越多的青睞。
由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備,因此UTM設(shè)備本身的性能和可靠性要求非常高,同時(shí),UTM時(shí)代的產(chǎn)品形態(tài),實(shí)際上是結(jié)合了原有的多種產(chǎn)品、技術(shù)精華,在統(tǒng)一的產(chǎn)品管理平臺(tái)下,集成防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,實(shí)現(xiàn)多種的防御功能。
鑒此,安全廠商與網(wǎng)絡(luò)廠商合作,共同開發(fā)和研制UTM設(shè)備將是今后發(fā)展的必然趨勢(shì)。
威脅由外轉(zhuǎn)內(nèi)
對(duì)于內(nèi)網(wǎng)安全,已經(jīng)進(jìn)入到內(nèi)網(wǎng)合規(guī)性管理的階段。目前,內(nèi)網(wǎng)安全的需求有兩大趨勢(shì),一是終端的合規(guī)性管理,即終端安全策略、文件策略和系統(tǒng)補(bǔ)丁的統(tǒng)一管理;二是內(nèi)網(wǎng)的業(yè)務(wù)行為審計(jì),即從傳統(tǒng)的安全審計(jì)或網(wǎng)絡(luò)審計(jì),向?qū)I(yè)務(wù)行為審計(jì)的發(fā)展,這兩個(gè)方面都是非常重要的。
從現(xiàn)狀來看,根據(jù)美國洋基集團(tuán)(Yankee Group)一項(xiàng)針對(duì)北美和西歐六百家公司的調(diào)查顯示,2005年的安全問題有六成源自內(nèi)部,高于前一年的四成。該集團(tuán)表示:“威脅已從外部轉(zhuǎn)向內(nèi)部”。每年企業(yè)界動(dòng)輒投資上千萬防毒防黑,但企業(yè)防御失效的另一個(gè)容易被忽略的問題是:來自員工、廠商或其它合法使用系統(tǒng)者的內(nèi)部濫用。在漏洞攻擊愈來愈快速的今日,有可能因?yàn)橐粋€(gè)訪客攜入的計(jì)算機(jī)而癱瘓幾千萬IT設(shè)備。
中小企業(yè)面臨的三大安全威脅是病毒攻擊、垃圾郵件、網(wǎng)絡(luò)攻擊,因而有很多廠商推出了針對(duì)中小企業(yè)的集成式套裝產(chǎn)品。對(duì)內(nèi)網(wǎng)終端設(shè)備的管理,通過基于網(wǎng)絡(luò)的控制臺(tái)使管理員能夠從產(chǎn)品分發(fā)、運(yùn)行監(jiān)控、組件升級(jí)、配置修改、統(tǒng)一殺毒、應(yīng)急響應(yīng)等全過程,實(shí)施集中式的管理,強(qiáng)制部署的安全策略,有助于避免企業(yè)用戶無心過錯(cuò)導(dǎo)致的安全漏洞。而新型病毒與黑客技術(shù)結(jié)合得越來越緊密,與此相對(duì)應(yīng),防病毒軟件與防火墻、IDS等技術(shù)配合得越來越緊密。只有多種技術(shù)相互補(bǔ)充配合,才可以有效對(duì)付混合威脅。
大型企業(yè)有一定的信息化基礎(chǔ),對(duì)于內(nèi)網(wǎng)安全來說,企業(yè)用戶需要實(shí)施整體的安全管理策略。 內(nèi)網(wǎng)安全管理系統(tǒng)需要將安全網(wǎng)管、內(nèi)網(wǎng)審計(jì)與內(nèi)網(wǎng)監(jiān)控有機(jī)地結(jié)合在一起,以解決企業(yè)內(nèi)部專用網(wǎng)絡(luò)的安全管理、安全控制和行為監(jiān)視為目標(biāo),采用主動(dòng)的安全管理和安全控制的方式。將內(nèi)部網(wǎng)絡(luò)的安全隱患以技術(shù)的手段進(jìn)行有效的控制,全面保護(hù)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)。運(yùn)用多種技術(shù)手段,從源頭上阻止了敏感信息泄漏事件的發(fā)生。
對(duì)于大型企業(yè)來說,選用的產(chǎn)品需要能夠自動(dòng)發(fā)現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn),并確定威脅企業(yè)IT環(huán)境完整性的安全漏洞。通過采集實(shí)時(shí)的技術(shù)庫,并且將它們與基于風(fēng)險(xiǎn)的任務(wù)列表(帶有補(bǔ)救指導(dǎo))中已驗(yàn)證的漏洞相關(guān)聯(lián),并且?guī)椭髽I(yè)確定哪些漏洞將影響哪些資產(chǎn)。最終為企業(yè)提供一份即時(shí)的關(guān)于關(guān)鍵性業(yè)務(wù)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。對(duì)于企業(yè)內(nèi)網(wǎng)來說,行之有效的安全管理是各種規(guī)模企業(yè)所企盼的,固若金湯的城池,往往在內(nèi)部安全威脅面前形同虛設(shè)?!皟?nèi)憂”勝于“外患”,企業(yè)不僅需要鑄造抵抗外部風(fēng)險(xiǎn)的縱深防御體系,同樣需要著重管理,打造安全和諧的內(nèi)部環(huán)境。
關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;防范措施;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件,將校園內(nèi)
計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起,用于教學(xué)、科研、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網(wǎng)的正常運(yùn)行。隨著“校校通”工程的深入實(shí)施,學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。
一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因,比如將原有的單機(jī)互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機(jī)房設(shè)計(jì)不合理,溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少,安全意識(shí)淡薄,U盤、移動(dòng)硬盤、手機(jī)等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí),不能安全地配置和管理網(wǎng)絡(luò);學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房;學(xué)校師生上網(wǎng)身份無法唯一識(shí)別,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計(jì)算機(jī)安裝還原卡或使用還原軟件,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性,傳播到網(wǎng)絡(luò)服務(wù)器,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染,危害極大。感染計(jì)算機(jī)病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評(píng)論,列出了下個(gè)世紀(jì)的國際恐怖活動(dòng)將采用五種新式武器和手段,計(jì)算機(jī)病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性。
(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合,通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕),控制數(shù)據(jù)包的進(jìn)出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析,通過日志分析,獲取時(shí)間、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。
(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度,定期對(duì)各工作站進(jìn)行維護(hù),對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù),定時(shí)升級(jí)文件并查毒殺毒,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù),賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進(jìn)行操作,合理設(shè)置網(wǎng)絡(luò)共享文件,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等,定時(shí)對(duì)其進(jìn)行審查分析,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個(gè)子網(wǎng)間通過路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,網(wǎng)絡(luò)管理員借助VLAN技術(shù)管理整個(gè)網(wǎng)絡(luò),通過設(shè)置命令,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對(duì)網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對(duì)防火墻有益的補(bǔ)充。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警,通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息,記錄事件,自動(dòng)阻斷通信連接,重置路由器、防火墻,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。
三、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長期以來,從病毒、黑客與防范措施的發(fā)展來看,總是“道高一尺,魔高一丈”,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運(yùn)用多項(xiàng)措施,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
參考文獻(xiàn):
1、王文壽,王珂.網(wǎng)管員必備寶典――網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等專科學(xué)校學(xué)報(bào),2002(8).
6、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
7、孟曉明.網(wǎng)絡(luò)信息的安全問題與安全防護(hù)策略研究[J].情報(bào)雜志,2004(3).
關(guān)鍵詞:準(zhǔn)入控制;802.1x;協(xié)議;Radius
內(nèi)網(wǎng)接入管理是近年來國內(nèi)外很多企業(yè)對(duì)內(nèi)部網(wǎng)絡(luò)安全提出的一項(xiàng)技術(shù)需求。它要求內(nèi)網(wǎng)中計(jì)算機(jī)接入能得到控制。未經(jīng)授權(quán)的計(jì)算機(jī)禁止接入內(nèi)網(wǎng),從而確保內(nèi)部網(wǎng)絡(luò)的安全性。內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)的目標(biāo)是:通過對(duì)內(nèi)網(wǎng)準(zhǔn)入技術(shù)的分析,實(shí)現(xiàn)未注冊(cè)內(nèi)網(wǎng)終端的阻斷功能,同時(shí),只有完全符合安全標(biāo)準(zhǔn)的計(jì)算機(jī)才能接入受保護(hù)網(wǎng)絡(luò)。
一、早期的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù)
早期局域網(wǎng)一般由不可網(wǎng)管交換機(jī)或Hub組建而成。針對(duì)這種局域網(wǎng),國內(nèi)安全廠商很多都是通過ARP欺騙的方式實(shí)現(xiàn)這一功能,實(shí)現(xiàn)原理如下。
1.用戶計(jì)算機(jī)安裝準(zhǔn)入控制客戶端,客戶端檢測(cè)用戶計(jì)算機(jī)是否達(dá)到接入要求。
2.準(zhǔn)入控制服務(wù)器對(duì)所在網(wǎng)段使用ARP掃描功能,在很短時(shí)間內(nèi)(2-3s)獲得新接入的計(jì)算機(jī)的IP地址和MAC地址。
3.通過準(zhǔn)入控制服務(wù)器對(duì)未注冊(cè)用戶計(jì)算機(jī)實(shí)施ARP欺騙,發(fā)送IP地址已占用的信息,并發(fā)送錯(cuò)誤的網(wǎng)關(guān)地址。利用Windows操作系統(tǒng)本身機(jī)制,未注冊(cè)客戶端會(huì)發(fā)現(xiàn)自己的IP地址在網(wǎng)絡(luò)中已經(jīng)存在,并認(rèn)為自己的IP地址甚至錯(cuò)誤,系統(tǒng)會(huì)在未注冊(cè)計(jì)算機(jī)上提示IP地址設(shè)置錯(cuò)誤。
早期的內(nèi)網(wǎng)接入控制技術(shù)存在一些缺點(diǎn)。例如會(huì)在網(wǎng)絡(luò)中生成大量的ARP數(shù)據(jù)包,影響整體網(wǎng)絡(luò)性能;ARP欺騙的方式也會(huì)造成用戶側(cè)計(jì)算機(jī)ARP防火墻軟件的產(chǎn)生報(bào)警信息。
二、當(dāng)前三種可行的準(zhǔn)入控制方案
目前針對(duì)大型園區(qū)網(wǎng)絡(luò)可行的準(zhǔn)入方案主要有三種。
第一通過軟件準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)未注冊(cè)阻斷功能。
第二通過硬件準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)未注冊(cè)阻斷功能。
第三與支持802.1x協(xié)議的交換機(jī)設(shè)備聯(lián)動(dòng),在接入層實(shí)現(xiàn)未注冊(cè)終端阻斷功能。
1.軟件準(zhǔn)入網(wǎng)關(guān)
軟件準(zhǔn)入網(wǎng)關(guān)發(fā)現(xiàn)自己“轄區(qū)”內(nèi)有未注冊(cè)計(jì)算機(jī)時(shí),不為其分配IP地址,或者拒絕其數(shù)據(jù)包,對(duì)已注冊(cè)計(jì)算機(jī)一律放行。
軟件準(zhǔn)入網(wǎng)關(guān)的一般結(jié)構(gòu)如圖1所示。
軟件準(zhǔn)入網(wǎng)關(guān)的原理和下面將要介紹的硬件準(zhǔn)入網(wǎng)關(guān)原理基本一致,但是適用環(huán)境較為單一。軟件準(zhǔn)入網(wǎng)關(guān)一般使用WinPcap網(wǎng)絡(luò)驅(qū)動(dòng)開發(fā),客戶端超過100后,系統(tǒng)性能會(huì)急劇下降,應(yīng)用環(huán)境受到很大限制。
2.硬件準(zhǔn)入網(wǎng)關(guān)
硬件準(zhǔn)入網(wǎng)關(guān)比軟件準(zhǔn)入網(wǎng)關(guān)性能高,很多園區(qū)網(wǎng)采用這種控制方式。硬件準(zhǔn)入網(wǎng)關(guān)的部署方式類似于軟件準(zhǔn)入網(wǎng)關(guān),由終端管理服務(wù)器將內(nèi)網(wǎng)客戶機(jī)狀態(tài)發(fā)送給硬件網(wǎng)關(guān),再由硬件網(wǎng)關(guān)判斷并執(zhí)行阻斷或URL重定向。以某知名廠商為例,終端管理服務(wù)器和準(zhǔn)入網(wǎng)關(guān)之間通信的數(shù)據(jù)格式如圖2和表1所示。
準(zhǔn)入網(wǎng)關(guān)和終端管理服務(wù)器之間采用應(yīng)答握手驗(yàn)證協(xié)議(CHAP),認(rèn)證采用預(yù)共享口令,認(rèn)證后派生出隨機(jī)加密密鑰對(duì)內(nèi)容進(jìn)行加密。
用準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)準(zhǔn)入控制受限于所處網(wǎng)絡(luò)的結(jié)構(gòu),一般部署在安全級(jí)別不同的兩個(gè)網(wǎng)絡(luò)邊界之間。低安全級(jí)別的計(jì)算機(jī)在進(jìn)入高安全級(jí)別的網(wǎng)絡(luò)之前,必須經(jīng)終端管理服務(wù)器檢查各項(xiàng)安全策略,之后通知準(zhǔn)入網(wǎng)關(guān)進(jìn)行放行、阻斷或重定向操作。
3.基于交換機(jī)端口的準(zhǔn)入控制
基于交換機(jī)端口的準(zhǔn)入控制需要使用IEEE 802.1x協(xié)議。802.1x協(xié)議是一種訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶通過網(wǎng)絡(luò)交換機(jī)接入端口訪問局域網(wǎng)。在認(rèn)證通過之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。
802.1x協(xié)議運(yùn)行在OSI模型鏈路層,借用EAP(擴(kuò)展認(rèn)證協(xié)議),不需要到網(wǎng)絡(luò)層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本,提供良好的擴(kuò)展性和適應(yīng)性。802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS服務(wù)器和交換機(jī)利用可控端口共同完成對(duì)用戶的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上,通過可控端口進(jìn)行交換,通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包。802.1x協(xié)議可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN。
為了實(shí)現(xiàn)基于802.1x協(xié)議的準(zhǔn)入控制,需要將準(zhǔn)入網(wǎng)關(guān)與支持802.1x EAP協(xié)議的交換機(jī)配合實(shí)施,目的是為內(nèi)網(wǎng)提供高度靈活的用戶接入強(qiáng)制策略。同時(shí),為了保證能夠了解內(nèi)網(wǎng)終端在網(wǎng)絡(luò)接入時(shí)的安全狀態(tài)以及網(wǎng)絡(luò)應(yīng)用行為,需要在接入內(nèi)網(wǎng)的終端上安裝和運(yùn)行準(zhǔn)入客戶端軟件(Agent)。
準(zhǔn)入控制過程如下:交換機(jī)發(fā)起EAP認(rèn)證,Agent在收到EAP認(rèn)證質(zhì)詢時(shí),將當(dāng)前終端安全狀態(tài)以及終端身份向交換機(jī)報(bào)告,交換機(jī)在收到Agent的應(yīng)答以后,將應(yīng)答信息以Radius協(xié)議封裝,發(fā)送到終端管理服務(wù)器,終端管理服務(wù)器按照管理設(shè)定的規(guī)則檢驗(yàn)Agent的應(yīng)答信息。如果終端的身份合法并且安全狀態(tài)也符合企業(yè)安全策略的要求,終端管理服務(wù)器將指示準(zhǔn)入網(wǎng)關(guān)放行。準(zhǔn)入網(wǎng)關(guān)同時(shí)作為Radius服務(wù)器,負(fù)責(zé)通知交換機(jī)將終端放入正常的工作VLAN;如果終端驗(yàn)證失敗,準(zhǔn)入網(wǎng)關(guān)就按照管理的設(shè)定,通知交換機(jī)將終端放入隔離VLAN或直接關(guān)閉端口。在隔離VLAN的終端,Agent會(huì)自動(dòng)進(jìn)行終端安全狀態(tài)的修復(fù),在修復(fù)完成以后,系統(tǒng)自動(dòng)將終端重新接入正常工作VLAN。
目前支持的802.1x協(xié)議的有Nortel、Alcatel、Cisco、Huawei等主流設(shè)備供應(yīng)商。以Cisco公司的網(wǎng)絡(luò)交換機(jī)為例,802.1X認(rèn)證配置如下:
aaa new-model
aaa authentication login default none
aaa authentication dot1x default group radius
dot1x system-auth-control
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
!
interface FastEthernet0/2
switchport mode access
dot1x port-control auto
!
radius-server host 192.168.1.100
radius-server key PASSWORD
以上配置中192.168.1.100為準(zhǔn)入網(wǎng)關(guān)的IP地址。
本文主要介紹了三種可行的內(nèi)網(wǎng)準(zhǔn)入控制技術(shù),其中以基于網(wǎng)絡(luò)端口的控制方案最為嚴(yán)格,對(duì)系統(tǒng)管理水平的要求也最高。通常在園區(qū)網(wǎng)管理中,一般采用硬件準(zhǔn)入網(wǎng)關(guān)與基于端口的準(zhǔn)入網(wǎng)關(guān)相結(jié)合的方式,達(dá)到即經(jīng)濟(jì)又高效的管理效果。
參考文獻(xiàn):
[1]于昇,祝璐.網(wǎng)絡(luò)接入控制架構(gòu)研究綜述[J/OL].信息安全與通信保密,2009(8):41-43.
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫