前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全終端管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:機(jī)密 數(shù)據(jù) 威脅 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理
一、概述
隨著網(wǎng)絡(luò)在企業(yè)生產(chǎn)經(jīng)營中應(yīng)用越來越廣、越來越深,企業(yè)網(wǎng)絡(luò)安全的問題也日益凸顯。來自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無時不刻都在威脅著企業(yè)網(wǎng)絡(luò)的安全,也成了每一位網(wǎng)絡(luò)管理人員都需要面臨的考驗(yàn)。如何建立一個完整的企業(yè)網(wǎng)絡(luò)安全解決方案,減少因網(wǎng)絡(luò)攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營數(shù)據(jù)的丟失和外泄引發(fā)的損失,本文將進(jìn)行一個淺顯的探討。
二、網(wǎng)絡(luò)安全的基礎(chǔ)——網(wǎng)絡(luò)設(shè)計
網(wǎng)絡(luò)的設(shè)計與建設(shè),是構(gòu)建一個安全網(wǎng)絡(luò)的基礎(chǔ)。合理的網(wǎng)絡(luò)構(gòu)架設(shè)計將為未來網(wǎng)絡(luò)安全的設(shè)計與構(gòu)建節(jié)省一大部分開銷,這些開銷包括了設(shè)計、成本和系統(tǒng)的效率等。因此,在構(gòu)建一個網(wǎng)絡(luò)的初期,就必須將網(wǎng)絡(luò)系統(tǒng)的安全作為設(shè)計的基本要素,考慮到整個系統(tǒng)中。一個大型的企業(yè),如在地域上分部較為集中,其內(nèi)網(wǎng)為了增大運(yùn)行保險系數(shù),一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡(luò)構(gòu)架。這種網(wǎng)絡(luò)在一路主用線纜引故障停止時會自動切換到備用環(huán)上,當(dāng)然,根據(jù)具體的系統(tǒng)配置的不同,雙環(huán)網(wǎng)正常工作時又會被分為雙路負(fù)載分擔(dān)型和雙路數(shù)據(jù)同步型等類型,在這里就不詳細(xì)介紹了。一個企業(yè)如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡(luò)的情況下,最好采用以樹形或星型網(wǎng)絡(luò)結(jié)構(gòu)為主的復(fù)合型網(wǎng)絡(luò)設(shè)計。這種設(shè)計使得各網(wǎng)絡(luò)層次的訪問控制權(quán)限一目了然,便于內(nèi)部網(wǎng)絡(luò)的控制。
一個大型企業(yè)的網(wǎng)絡(luò)在內(nèi)部又會被分為許多特定的區(qū)域——普通的辦公區(qū),財務(wù)銷售的核心業(yè)務(wù)區(qū),應(yīng)用服務(wù)器工作區(qū),網(wǎng)絡(luò)管理維護(hù)區(qū),多方網(wǎng)絡(luò)互聯(lián)區(qū)域,VPN連接區(qū)等多個功能區(qū)域。其中普通的辦公區(qū)有時是與財務(wù)銷售類的業(yè)務(wù)區(qū)合并在一起的,但是,如果公司還涉及特殊業(yè)務(wù)的時候應(yīng)當(dāng)將這兩個區(qū)域分開,甚至為其單獨(dú)建立一套網(wǎng)絡(luò)系統(tǒng)以增強(qiáng)其安全保密性。應(yīng)用服務(wù)器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務(wù),因此在安全上其級別應(yīng)當(dāng)是最高的。一般對這一區(qū)域進(jìn)行安全設(shè)置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡(luò)用戶或?qū)Π踩蟊容^高的用戶可以在不同的網(wǎng)絡(luò)之間配置防火墻,使其對網(wǎng)絡(luò)的訪問進(jìn)行更好的控制或者將不同的網(wǎng)絡(luò)直接進(jìn)行物理隔離,以完全絕斷不同網(wǎng)絡(luò)之間的互訪。在網(wǎng)絡(luò)中中有許多服務(wù)器,比如病毒服務(wù)器、郵件服務(wù)器等,有同時被內(nèi)網(wǎng)及外網(wǎng)訪問的需求,應(yīng)當(dāng)為這些有外網(wǎng)需求的服務(wù)器考慮設(shè)置DMZ區(qū)域。DMZ區(qū)域的安全級別較普通用戶區(qū)高,即便得到訪問授權(quán)的用戶,其對DMZ區(qū)域的訪問也是有限制的,只有管理人員才可以對這一區(qū)域的服務(wù)器進(jìn)行完全的訪問與控制。
三、終端的安全防護(hù)
病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務(wù)器還是普通用戶的終端,因此,對各類終端的安全防護(hù)可以說是網(wǎng)絡(luò)安全構(gòu)建的關(guān)鍵。對終端的安全防護(hù)可以分為兩套系統(tǒng);一種為硬件的防火墻類,一般由管理人員進(jìn)行專業(yè)操作處理的防護(hù)系統(tǒng),包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務(wù)器)終端防護(hù)系統(tǒng);另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進(jìn)行操作管理的防護(hù)系統(tǒng)?,F(xiàn)在多數(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)多由這兩種類型的防護(hù)系統(tǒng)復(fù)合而成。這種復(fù)合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計算機(jī)水平及殺毒軟件服務(wù)提供商的反應(yīng)能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護(hù)措施。
現(xiàn)在有廠商提供了一種協(xié)調(diào)系統(tǒng),使用這種系統(tǒng)能讓以上所述的復(fù)合安全系統(tǒng)能夠在網(wǎng)絡(luò)管理員的干涉下實(shí)現(xiàn)主動的管理。這套系統(tǒng)一般在用戶終端安裝一個客戶端,開機(jī)時,客戶端自動判定本終端的安全狀態(tài)并與安全服務(wù)器取得聯(lián)系,當(dāng)終端被判定正常時,終端可進(jìn)行正常權(quán)限的網(wǎng)絡(luò)訪問;當(dāng)終端被判定為非正常(威脅)時,此終端可根據(jù)預(yù)先堤定的安全策略,斷絕與普通局域網(wǎng)的連接,只能與特定的服務(wù)器如病毒服務(wù)器等進(jìn)行連接以解決問題。網(wǎng)絡(luò)管理員可以通過這套系統(tǒng)實(shí)時監(jiān)查每個終端的進(jìn)程與數(shù)據(jù)狀態(tài),并通過管理終端對客戶端進(jìn)行控制,以解決安全威脅。此類系統(tǒng)的應(yīng)用將所有用戶的終端都納入了系統(tǒng)管理員的控制下,以系統(tǒng)管理員專業(yè)化的技術(shù)知識實(shí)現(xiàn)對整個系統(tǒng)的監(jiān)管與維護(hù),能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡(luò)效率。
四、終端用戶的規(guī)范
網(wǎng)絡(luò)的安全除了在設(shè)計、硬件、技術(shù)管理上提高水平外,對網(wǎng)絡(luò)用戶進(jìn)行必要的指導(dǎo)是十分重要的。普通的網(wǎng)絡(luò)用戶由于其計算機(jī)專業(yè)知識水平的不同,不可能要求其對終端進(jìn)行專業(yè)的處理,告誡其正確的上網(wǎng)方式,減少各種網(wǎng)絡(luò)(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護(hù)類軟件(控件、插件)也應(yīng)當(dāng)控制使用,原因很簡單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網(wǎng)絡(luò)軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網(wǎng)絡(luò))軟件,也能在很大程度上避免網(wǎng)絡(luò)威脅。
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護(hù);接入控制;防火墻;訪問權(quán)限
隨著計算機(jī)技術(shù)的發(fā)展和Internet的廣泛應(yīng)用,越來越多的企業(yè)都實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的電子化和網(wǎng)絡(luò)化,計算機(jī)網(wǎng)絡(luò)安全已成為企業(yè)信息安全的重要組成部分。但計算機(jī)網(wǎng)絡(luò)也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業(yè)的信息系統(tǒng)安全造成損害。
因此,如何提高計算機(jī)網(wǎng)絡(luò)的防御能力,增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性,已成為企業(yè)網(wǎng)絡(luò)建設(shè)時必須考慮的問題。下面介紹一些網(wǎng)絡(luò)安全建設(shè)方面的策略,希望能為企業(yè)網(wǎng)絡(luò)建設(shè)提供一些參考。
一、 做好網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計
網(wǎng)絡(luò)結(jié)構(gòu)安全的核心是網(wǎng)絡(luò)隔離,即將整個網(wǎng)絡(luò)按照系統(tǒng)功能、信息安全等級、工作地點(diǎn)等原則劃分為相對獨(dú)立的子網(wǎng)絡(luò),使得當(dāng)某個子網(wǎng)絡(luò)內(nèi)發(fā)生安全故障時,有害信息不能或不易擴(kuò)散到別的子網(wǎng)絡(luò)中。
各個子網(wǎng)絡(luò)之間應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備,實(shí)現(xiàn)信息系統(tǒng)隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實(shí)現(xiàn)子網(wǎng)絡(luò)之間的邏輯隔離。
二、 網(wǎng)絡(luò)設(shè)備的安全防護(hù)
網(wǎng)絡(luò)設(shè)備的安全防護(hù)是指同設(shè)備交互時的安全防護(hù),一般用于設(shè)備的配置和管理。同設(shè)備的交互有以下幾種方式:
* 通過設(shè)備Console 口訪問。
* 異步輔助端口的本地/遠(yuǎn)程撥號訪問
* TELNET訪問
* SNMP訪問
* HTTP訪問
針對這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗(yàn)證
必須要求設(shè)備配置身份驗(yàn)證,如果設(shè)備未配,將拒絕接受用戶登錄,可以通過本地用戶驗(yàn)證或RADIUS驗(yàn)證實(shí)現(xiàn)。
(2) 控制臺超時注銷
控制臺訪問用戶超過一段時間對設(shè)備沒有交互操作,設(shè)備將自動注銷本次控制臺配置任務(wù),并切斷連接。超時時間必須可配置,缺省為10分鐘。
(3) 控制臺終端鎖定
配置用戶離開配置現(xiàn)場,設(shè)備提供暫時鎖定終端的能力,并設(shè)置解鎖口令。
(4) 限制telnet用戶數(shù)目
設(shè)備對telnet用戶數(shù)量必需做出上限控制。
三、 部署用戶安全接入控制系統(tǒng)
用戶安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前,先要經(jīng)過身份認(rèn)證和終端安全檢查。用戶在確認(rèn)身份合法并通過安全檢查后,終端可以訪問用戶授權(quán)的內(nèi)部資源,認(rèn)證不通過則被拒絕接入網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。
用戶接入控制可通過部署終端安全管理系統(tǒng)實(shí)現(xiàn)。終端安全管理系統(tǒng)是一個包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務(wù)程序,在用戶使用網(wǎng)絡(luò)前,必須啟動程序,然后輸入身份信息進(jìn)行登錄。由安全管控服務(wù)器對終端用戶進(jìn)行身份認(rèn)證和安全檢查。通過之后服務(wù)器把檢查結(jié)果通知安全接入網(wǎng)關(guān),安全接入網(wǎng)關(guān)根據(jù)用戶的角色,開放終端用戶的訪問權(quán)限,有效的制止用戶的非法訪問和越權(quán)訪問。
四、 網(wǎng)絡(luò)數(shù)據(jù)流控制
網(wǎng)絡(luò)數(shù)據(jù)流控制通過數(shù)據(jù)包過濾來實(shí)現(xiàn)。通過網(wǎng)絡(luò)數(shù)據(jù)包過濾,可以限制網(wǎng)絡(luò)通信量,限制網(wǎng)絡(luò)訪問到特定的用戶和設(shè)備。
訪問列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。在端口上設(shè)定數(shù)據(jù)流過濾,防止企業(yè)內(nèi)部的IP地址欺騙。嚴(yán)格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備,原則上只允許本系統(tǒng)應(yīng)用需要的應(yīng)用數(shù)據(jù)流才能通過網(wǎng)絡(luò)設(shè)備。
五、 部署網(wǎng)絡(luò)防病毒軟件
網(wǎng)絡(luò)病毒的入口點(diǎn)是非常多的。在一個具有多個網(wǎng)絡(luò)入口的連接點(diǎn)的企業(yè)網(wǎng)絡(luò)環(huán)境中,病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質(zhì)進(jìn)入,也可能由企業(yè)信息網(wǎng)等進(jìn)入,還有可能從外部網(wǎng)絡(luò)中通過文件傳輸?shù)确绞竭M(jìn)入。所以不僅要注重單機(jī)的防毒,更要重要網(wǎng)絡(luò)的整體防毒措施。
任何一點(diǎn)沒有部署防病毒系統(tǒng),對整個網(wǎng)絡(luò)都是一個安全的威脅。網(wǎng)絡(luò)中應(yīng)部署一套網(wǎng)絡(luò)防病毒系統(tǒng),在所有重要服務(wù)器、操作終端安裝殺毒軟件。通過網(wǎng)絡(luò)殺毒服務(wù)器及時更新病毒庫及殺毒引擎,保證內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。
六、 內(nèi)部網(wǎng)絡(luò)使用安全
* 內(nèi)部系統(tǒng)中資源共享
嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄,否則較容易因?yàn)槭韬龆谂c員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶,在共享時也必須加上必要的口令認(rèn)證機(jī)制,即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全,但對一般用戶而言,還是起到一定的安全防護(hù),即使有刻意破解者,只要口令設(shè)得復(fù)雜些,也得花費(fèi)相當(dāng)長的時間。
* 信息存儲
對有涉及企業(yè)秘密信息的用戶主機(jī),使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份,包括本地備份和遠(yuǎn)程備份存儲。
* 構(gòu)建安全管理平臺
構(gòu)建安全管理平臺將會降低很多因?yàn)闊o意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如:組成安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件。通過安全管理平臺實(shí)現(xiàn)全網(wǎng)的安全管理。
總之,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,要用系統(tǒng)的思想來建設(shè)全方位的、多層次的、立體的安全防護(hù)體系。這是一項(xiàng)長期而艱巨的任務(wù),需要不斷的探索。網(wǎng)絡(luò)安全建設(shè)不能僅僅依靠于技術(shù)手段,而應(yīng)建立包括安全規(guī)范、規(guī)章制度、人員培訓(xùn)等全面的管理體系,提高全體員工的安全防范意識,保護(hù)好每臺接入網(wǎng)絡(luò)中的設(shè)備,才能實(shí)現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
準(zhǔn)入控制策略準(zhǔn)入控制策略的主要目的是將安全問題防患于未然,而不是等到有了安全問題才開始處理。準(zhǔn)入控制策略的原理是終端用戶在入網(wǎng)之前要接受系統(tǒng)安全方面的檢查,如果發(fā)現(xiàn)系統(tǒng)有安全問題,則不允許入網(wǎng),并提示問題所在。為保證安全入網(wǎng),凡可統(tǒng)一管理的終端機(jī)(如公共機(jī)房、電子閱覽室、多媒體教室、辦公室等)均做統(tǒng)一安全處理。如安裝殺病毒軟件,及時更新系統(tǒng)補(bǔ)丁,做好各項(xiàng)數(shù)據(jù)備份,自建批處理文件、綁定正確網(wǎng)關(guān)等。防火墻與IDS聯(lián)動策略防火墻側(cè)重于控制,IDS側(cè)重于主動發(fā)現(xiàn)入侵的信號。而且,它們本身所具有的強(qiáng)大功能并沒有得到充分發(fā)揮。例如,IDS檢測到一種攻擊行為,不能及時有效地阻斷或過濾;沒有IDS,一些攻擊行為會利用防火墻合法的通道進(jìn)入網(wǎng)絡(luò)。因此,防火墻和IDS之間十分適合建立緊密的聯(lián)動關(guān)系,已將兩者的能力充分發(fā)揮出來,相互彌補(bǔ)不足,相互提供保護(hù)。訪問控制列表策略對交換機(jī)的訪問控制列表進(jìn)行合理設(shè)置可以制定各種有效的安全策略。一般病毒主要集中在幾個端口,可以通過訪問控制列表將這幾個端口封鎖。校園網(wǎng)內(nèi)P2P下載,嚴(yán)重影響網(wǎng)絡(luò)速度,而迅雷、電騾等工具的使用都是基于TCP協(xié)議的。通過防火墻無法阻止,也可以通過封鎖這類工具的端口達(dá)到阻止BT下載的目的。身份認(rèn)證策略為使所有終端用戶對網(wǎng)絡(luò)安全引起重視,也為了在網(wǎng)絡(luò)安全出現(xiàn)問題后,能迅速定位問題用戶,所有入網(wǎng)用戶要經(jīng)過身份驗(yàn)證,采取實(shí)名制。
防止入網(wǎng)賬號被盜,禁止弱密碼的設(shè)置,控制密碼輸入次數(shù),必要情況下,還要采用雙重認(rèn)證體系。對重要服務(wù)器維護(hù)的管理員,要經(jīng)常更換服務(wù)器密碼,對服務(wù)器進(jìn)行多重密碼設(shè)置,密碼保管責(zé)任到人。途徑傳播。網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)是指通過對網(wǎng)絡(luò)各類信息進(jìn)行匯集、分類、整合、篩選等技術(shù)處理,再形成對網(wǎng)絡(luò)動態(tài)、熱點(diǎn)、網(wǎng)民意見等實(shí)時統(tǒng)計報表的軟件工具。利用輿情監(jiān)控系統(tǒng),合理設(shè)置后,可以有效地對違法違規(guī)的言論、行為進(jìn)行管制。分級管理模式校園網(wǎng)絡(luò)的安全管理僅憑網(wǎng)絡(luò)信息中心的成員肯定是不行的。四川民族學(xué)院各系部公共機(jī)房,電子閱覽室,多媒體教室等都配有管理人員。在不增加人員投入的情況下,完全可以由各分部管理員與網(wǎng)絡(luò)中心的安全管理員組成分級安全管理小組。分部管理員在發(fā)現(xiàn)安全問題后,將問題和處理方法報告給網(wǎng)絡(luò)中心的安全管理員。若分部管理員不能處理該安全問題,由網(wǎng)絡(luò)中心的安全管理員組織分部成員共同分析研究。成立網(wǎng)絡(luò)服務(wù)小組根據(jù)目前四川民族學(xué)院規(guī)模,可以在A、B校區(qū)各成立一個網(wǎng)絡(luò)服務(wù)小組,主要負(fù)責(zé)終端用戶的網(wǎng)絡(luò)服務(wù)和輿情監(jiān)控,小組成員在學(xué)生中選拔。網(wǎng)絡(luò)信息中心不定期對小組成員進(jìn)行培訓(xùn),小組成員可以對準(zhǔn)入控制系統(tǒng)提示系統(tǒng)安全有問題的終端用戶給予幫助。小組成員介入校內(nèi)BBS和校外社區(qū),做好網(wǎng)上輿情跟蹤,及時對網(wǎng)絡(luò)上相關(guān)輿論進(jìn)行引導(dǎo)。舉辦“網(wǎng)絡(luò)文明”講座通過舉辦“網(wǎng)絡(luò)文明”講座,提高終端用戶對網(wǎng)絡(luò)安全的基本知識的了解。加強(qiáng)用戶對網(wǎng)絡(luò)安全法律法規(guī)的認(rèn)識,培養(yǎng)終端用戶內(nèi)在的、自覺的網(wǎng)絡(luò)道德情感、道德責(zé)任和自律能力,幫助用戶在主觀思想上建起一道防線,抵制虛假、黃色、消極內(nèi)容,使他們自覺維護(hù)網(wǎng)絡(luò)安全。病毒應(yīng)對信息網(wǎng)絡(luò)中心應(yīng)及時在校園網(wǎng)上病毒襲擊及應(yīng)對信息。目前,四川民族學(xué)院已經(jīng)開展了這項(xiàng)工作,不足之處在于對校園網(wǎng)的病毒襲擊情況了解不夠全面,處理病毒的方法很多終端用戶即使通過閱讀的信息也無法自行處理。解決這兩個不足,要結(jié)合管理層面應(yīng)對策略1和2。通過策略1的分級管理模式收集網(wǎng)絡(luò)安全信息,分析安全處理方法;通過策略2的網(wǎng)絡(luò)服務(wù)小組幫助不能自行處理的終端用戶處理。
根據(jù)藏區(qū)工作會議精神,國家要加大藏區(qū)高校的投入,包括四川民族學(xué)院在內(nèi)的藏區(qū)高校網(wǎng)絡(luò)將迅速發(fā)展。隨著校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、用戶網(wǎng)絡(luò)安全素質(zhì)、校園網(wǎng)安全需求等多方面的發(fā)展變化,校園網(wǎng)安全管理需要及時調(diào)整安全策略。校園網(wǎng)絡(luò)安全管理人員也應(yīng)不斷地進(jìn)行探索和學(xué)習(xí),與兄弟院校及企業(yè)進(jìn)行交流和合作,不斷完善管理手段,從而為師生建立一個安全、方便、健康的網(wǎng)絡(luò)環(huán)境。
作者:蔡勇智 莫泓銘 單位:四川民族學(xué)院
【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;保密方案;虛擬計算技術(shù);安全控制技術(shù)
1 引言
隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)安全問題成為了當(dāng)下人們所關(guān)注的重點(diǎn)。在網(wǎng)絡(luò)應(yīng)用中,由于軟件及硬件存在一定的漏洞,被不法分子利用造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞,因此,為計算機(jī)網(wǎng)絡(luò)進(jìn)行安全保密勢在必行。本文所提出的基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案,在特定環(huán)境下都能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)提供一定的保密措施,但是由于兩種方案自身也存在一定的漏洞,所以在不同環(huán)境下選擇不同的解決方案,對于計算機(jī)網(wǎng)絡(luò)安全保密具有非常重要的現(xiàn)實(shí)作用。
2 計算機(jī)網(wǎng)絡(luò)泄密風(fēng)險
目前計算機(jī)網(wǎng)絡(luò)應(yīng)用中可能存在的泄密渠道主要包括互聯(lián)網(wǎng)、局域網(wǎng)、無線設(shè)備、移動存儲設(shè)備、打印傳真設(shè)備等。其泄密方式如圖1所示。
在計算機(jī)網(wǎng)絡(luò)應(yīng)用過程中,存在的泄密行為與泄密風(fēng)險如表1所示。
3 基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案
隨著大數(shù)據(jù)、云計算的興起,傳統(tǒng)的計算機(jī)安全保密方式從多終端向集中存儲安全管理方式轉(zhuǎn)變,利用云計算將客戶端的數(shù)據(jù)集中管理,解決的不同終端安全管理難的問題,同時又降低了客戶端的數(shù)據(jù)存儲壓力,實(shí)現(xiàn)資源高效利用、統(tǒng)一管理,為計算機(jī)網(wǎng)絡(luò)安全管理提供了便利。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖2所示。
云計算技術(shù)為用戶構(gòu)建了虛擬桌面,提供遠(yuǎn)程數(shù)據(jù)訪問和軟件應(yīng)用。在服務(wù)器端,不僅能夠?yàn)橛脩籼峁?shù)據(jù)的存儲服務(wù)和應(yīng)用軟件的使用,同時云端服務(wù)器還對所有用戶的操作進(jìn)行監(jiān)控,對資源的利用進(jìn)行管理,并將用戶權(quán)限等級進(jìn)行設(shè)定,根據(jù)用戶使用權(quán)限為其提供相應(yīng)的服務(wù)器資源利用。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)現(xiàn)了數(shù)據(jù)的集中統(tǒng)一管理,采用統(tǒng)一安裝應(yīng)用軟件、統(tǒng)一建立防火墻和殺毒軟件,并及時對軟硬件進(jìn)行升級,可降低用戶端設(shè)備泄密的幾率。在云端服務(wù)器中儲存的數(shù)據(jù)可根據(jù)重要等級進(jìn)行管理,對級別高的數(shù)據(jù)可實(shí)行定期備份,有效的防止了數(shù)據(jù)的丟失,提高了數(shù)據(jù)資源利用的可靠性。
4 基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案是利用安全控制技術(shù)對技術(shù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全保護(hù),其中包括對設(shè)備的通信接口、用戶認(rèn)證等?;诎踩刂萍夹g(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖3所示。
可信終端設(shè)備和安全控制系統(tǒng)可經(jīng)由交換機(jī)訪問服務(wù)器,在交換機(jī)中安裝內(nèi)容審計系統(tǒng),該系統(tǒng)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時監(jiān)測,監(jiān)測用戶網(wǎng)絡(luò)應(yīng)用的行為。用戶通過監(jiān)測審查后可訪問具有安全控制系統(tǒng)的服務(wù)器,該服務(wù)器屬于初級服務(wù)器,可為用戶提供并不私密的數(shù)據(jù)。如果用戶想訪問受保護(hù)的服務(wù)器,則需要通過安全控制系統(tǒng)安全網(wǎng)關(guān),在該網(wǎng)關(guān)中安裝入侵檢測系統(tǒng),其可以對加密級數(shù)據(jù)提供入侵檢測功能,實(shí)現(xiàn)對核心加密數(shù)據(jù)的安全保護(hù)。用戶通過層層檢測后,可經(jīng)過交換機(jī)訪問到受保護(hù)服務(wù)器中的重要數(shù)據(jù)。
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案在用戶與服務(wù)器之間進(jìn)行通信時需要提供用戶身份認(rèn)證,獲得通信端口加密口令后,可登陸服務(wù)器調(diào)用服務(wù)器數(shù)據(jù)資源,也可以通過USB令牌或者口令卡進(jìn)行通信加密,確保用戶身份與服務(wù)器登記身份相吻合,這種方案常用于網(wǎng)上銀行用戶身份安全認(rèn)證。
5 兩種計算機(jī)網(wǎng)絡(luò)安全保密解決方案比較分析
對基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行比較,建立對比如表2所示。
基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案適用于用戶集中區(qū)域的管理,譬如大廈辦公樓、政府機(jī)關(guān)、企事業(yè)單位等?;谠朴嬎慵夹g(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案具有降低終端設(shè)備維護(hù)壓力和運(yùn)行壓力、集中網(wǎng)絡(luò)安全保密,防止由終端泄密的問題。隨著大數(shù)據(jù)集中管理和云計算技術(shù)的日益成熟,基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案將具有更加廣闊的發(fā)展空間。但是,在進(jìn)行高性能計算時,對于服務(wù)器產(chǎn)生的壓力巨大,所以其不適用于專業(yè)性計算機(jī)網(wǎng)絡(luò)安全應(yīng)用,同時由于小規(guī)模計算機(jī)網(wǎng)絡(luò)建立云計算成本較大,因此,云計算技術(shù)適用于規(guī)模較大的用戶群體,具有廣泛應(yīng)用性,而不具備尖端應(yīng)用性。
基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密解決方案對計算機(jī)的配置要求較高,通常應(yīng)用與科學(xué)研發(fā)、課題攻堅(jiān)、指揮控制等方面,其可滿足較高性能的計算,更加適用于安全要求級別高的網(wǎng)絡(luò)應(yīng)用。
6 結(jié)束語
本文對計算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行分析,提出基于云計算技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密和基于安全控制技術(shù)的計算機(jī)網(wǎng)絡(luò)安全保密兩種解決方案,并對兩種解決方案的架構(gòu)和工作方式進(jìn)行研究,分析兩種解決方案的執(zhí)行原理,對二者進(jìn)行了比較分析,提出在不同環(huán)境下可選擇不同的計算機(jī)網(wǎng)絡(luò)安全保密解決方案,做到有的放矢,更好的發(fā)揮出彼此的優(yōu)勢,對完善計算機(jī)網(wǎng)絡(luò)安全具一定的借鑒意義。
參考文獻(xiàn)
[1] 魯林鑫.企業(yè)計算機(jī)網(wǎng)絡(luò)安全防護(hù)措施和對策研究[J].科技創(chuàng)新導(dǎo)報,2010(04).
[2] 克依蘭?吐爾遜別克.計算機(jī)網(wǎng)絡(luò)安全分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(01).
[3] 宋國云,趙威,董平,張?jiān)?有效改善計算機(jī)網(wǎng)絡(luò)安全問題及其防范措施[J].電腦知識與技術(shù),2014(01).
[4] 黨政,楊同慶.信息系統(tǒng)安全技術(shù)探究[J].技術(shù)與創(chuàng)新管理,2014(03).
[5] 俞迪.基于計算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析[J].中國新通信,2014(02).
【關(guān)鍵詞】大數(shù)據(jù) 虛擬化 網(wǎng)絡(luò)安全架構(gòu) 機(jī)制
1 大數(shù)據(jù)時代網(wǎng)絡(luò)安全風(fēng)險
1.1 大數(shù)據(jù)及其特點(diǎn)
大數(shù)據(jù)(Big Data)最早由美國提出,并逐漸運(yùn)用于世界各地的學(xué)術(shù)既商業(yè)活動之中,具體指相對于計算機(jī)的處理能力而言該類數(shù)據(jù)的“海量”與“大”,即在任意有限的時間內(nèi)不能使用任意的IT或軟硬件技術(shù)工具進(jìn)行操作和運(yùn)用的數(shù)據(jù)集合??茖W(xué)家John Rauser曾用一句更為簡單的話解釋了大數(shù)據(jù),即他認(rèn)為大數(shù)據(jù)的數(shù)據(jù)處理量之大已經(jīng)超過了任意一臺計算機(jī)的處理能力。
大數(shù)據(jù)具有結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大、類型眾多、集成共享與交叉復(fù)用的特點(diǎn),對應(yīng)于大數(shù)據(jù)的處理,計算機(jī)科學(xué)界產(chǎn)生了與之對應(yīng)的云計算技術(shù)方法基于云計算技術(shù)的應(yīng)用漸趨成熟,大數(shù)據(jù)在行業(yè)內(nèi)被提出具備4V特征,即稻萑萘看籩擲嘍啵Volume)、數(shù)據(jù)類型多(Variety)、商業(yè)價值高(Value)、處理速度快(Velocity),大數(shù)據(jù)及其特征可以更好的用圖1表示。
1.2 大數(shù)據(jù)時代網(wǎng)絡(luò)安全現(xiàn)狀
網(wǎng)絡(luò)安全是國家安全的一個重要組成部分,根據(jù)我國互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT/CC 其2016年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中提供的數(shù)據(jù),截止到15年年底中國網(wǎng)站總量已達(dá)到426.7萬余個,同比年度凈增長2萬余個,此外在其的《CNCERT互聯(lián)網(wǎng)完全威脅報告》中,僅2017年2月,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近118萬個,被篡改網(wǎng)站數(shù)量為4493個,其中政府網(wǎng)站有109個??梢姶髷?shù)據(jù)時代,我國目前網(wǎng)絡(luò)安全形勢依舊嚴(yán)峻,主要問題表現(xiàn)在:
(1)公民個人安全意識不強(qiáng),個人信息泄露嚴(yán)重,從國內(nèi)感染木馬網(wǎng)絡(luò)病毒的網(wǎng)站數(shù)來看,用戶對于網(wǎng)絡(luò)安全的意識低下的現(xiàn)狀;
(2)國內(nèi)網(wǎng)絡(luò)安全保護(hù)與威脅漏洞防范措施滯后,國內(nèi)計算機(jī)網(wǎng)絡(luò)安全防護(hù)的基本措施基本都處于形式的靜態(tài)防護(hù)狀態(tài),真正對新木馬、新病毒的發(fā)現(xiàn)和攻克技術(shù)未及時跟上病毒與木馬產(chǎn)生的速度,防范能力低下,感染與反復(fù)感染情況嚴(yán)重。
(3)網(wǎng)絡(luò)攻擊等行業(yè)逐步壯大與興起,大數(shù)據(jù)時代,數(shù)據(jù)的商業(yè)價值被進(jìn)一步挖掘,強(qiáng)大的利益誘惑下,國內(nèi)不少網(wǎng)絡(luò)攻擊企業(yè)逐漸形成甚至形成不正規(guī)產(chǎn)業(yè)鏈,該行業(yè)的發(fā)展趨勢有待及時的制止與修正。
2 虛擬化網(wǎng)絡(luò)安全技術(shù)概述
2.1 病毒防護(hù)技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護(hù)網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.2 入侵檢測技術(shù)
通過加強(qiáng)對網(wǎng)絡(luò)間訪問的控制來保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。
2.3 漏洞掃描技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,我們稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護(hù)網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.4 防火墻技術(shù)
通過加強(qiáng)對網(wǎng)絡(luò)間訪問的控制來保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。防火墻超出了最初對防火墻的定義是從監(jiān)測型防火墻的出現(xiàn)開始的。其表現(xiàn)是,不僅能阻止外來侵?jǐn)_,更重要的是,它也能對來自網(wǎng)絡(luò)內(nèi)部的破壞起到防護(hù)的作用
3 大數(shù)據(jù)環(huán)境虛擬化網(wǎng)絡(luò)安全SDN架構(gòu)
網(wǎng)絡(luò)安全應(yīng)用虛擬化(Virtualized Security Appliance)是較為有效的解決網(wǎng)絡(luò)安全的常見方式,本節(jié)根據(jù)大數(shù)據(jù)時代網(wǎng)絡(luò)安全特征及可用技術(shù),結(jié)合傳統(tǒng)軟件定義網(wǎng)絡(luò)SDN安全架構(gòu)方式,提出如下所示的基于安全應(yīng)用虛擬化的網(wǎng)絡(luò)安全SDN架構(gòu),即SDN-VSN。
該架構(gòu)首先在安全業(yè)務(wù)管理實(shí)踐的基礎(chǔ)上運(yùn)用SDN API進(jìn)行業(yè)務(wù)需求與計算機(jī)指令的靈活轉(zhuǎn)換,在SDN控制層能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化安全防護(hù),包括有安全協(xié)議的描述、安全網(wǎng)絡(luò)檢測、安全路由保證、網(wǎng)絡(luò)拓?fù)涔芾砑鞍踩Y源管理的基礎(chǔ)業(yè)務(wù)描述與控制;其次,在安全策略方面,該架構(gòu)采用二級分解方式,指定的物理資源進(jìn)行了映射配置和安全防控,并采用事件驅(qū)動的啟動模式,達(dá)到一種及時響應(yīng)、及時防護(hù)的安全防控效果;最后,在安全實(shí)施方面,上述架構(gòu)包含了字符段匹配、安全協(xié)議識別等通過標(biāo)準(zhǔn)Open Flow表示、識別與實(shí)施的安全運(yùn)作機(jī)制。
4 大數(shù)據(jù)環(huán)境下虛擬化網(wǎng)絡(luò)安全機(jī)制
4.1 邊界安全機(jī)制
網(wǎng)絡(luò)邊界安全機(jī)制指從網(wǎng)絡(luò)與外界之間互通引起的安全題進(jìn)行防護(hù)的一種防護(hù)機(jī)制,包括黑客入侵、網(wǎng)絡(luò)攻擊及木馬病毒攻擊的防護(hù),大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全,因此如何從數(shù)據(jù)挖掘的角度設(shè)計并分析已有病毒或木馬庫的特征,及時更新病毒庫進(jìn)行有效的邊界保護(hù),最大限度實(shí)現(xiàn)邊界隔離。
4.2 終端安全機(jī)制
網(wǎng)絡(luò)終端指網(wǎng)絡(luò)的最終使用者即網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)終端安全機(jī)制即是強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)過程中從網(wǎng)絡(luò)用戶端入手,運(yùn)用防火墻、防病毒、防木馬等技術(shù)對可能的網(wǎng)絡(luò)安全漏洞進(jìn)行措施性規(guī)避,新一代的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)終端數(shù)量劇增,在對于網(wǎng)絡(luò)終端防護(hù)的安全機(jī)制需要考慮終端之間的統(tǒng)一有效控制,即當(dāng)某一終端出現(xiàn)安全漏洞威脅時,其他與之相近的終端能夠迅速接受信號,并在統(tǒng)一受控的基礎(chǔ)上進(jìn)行迅速的防護(hù)技術(shù)部署,防止漏洞和威脅進(jìn)一步無限制的蔓延,終端防護(hù)的技術(shù)在大數(shù)據(jù)環(huán)境下需要過更多運(yùn)用云技術(shù),通過云端有效控制數(shù)以億增的網(wǎng)絡(luò)終端量及相應(yīng)的可能遭受的安全風(fēng)險。
4.3 聯(lián)動安全機(jī)制
聯(lián)動安全機(jī)制是在保證邊界安全和終端安全的基礎(chǔ)上運(yùn)用云端技術(shù)及大數(shù)據(jù)預(yù)測技術(shù)及時的將終端與邊界聯(lián)動起來的一種安全機(jī)制,即保證終端與邊界的安全統(tǒng)一。實(shí)際的操作中,網(wǎng)絡(luò)的邊界與終端無論哪一邊遭受到安全攻擊,通過數(shù)據(jù)分析及時更新數(shù)據(jù)并下發(fā)到另一端,以確保實(shí)現(xiàn)聯(lián)動的防護(hù)機(jī)制。雙防御的及時防護(hù)就像一個新型高效網(wǎng)絡(luò)護(hù)盾,如當(dāng)某一終端遭受攻擊或漏洞被篡改,可以迅速的通知邊界設(shè)備進(jìn)行及時的物理或網(wǎng)絡(luò)隔離,并迅速進(jìn)行數(shù)據(jù)分析更新數(shù)據(jù)庫病毒庫,防止同網(wǎng)絡(luò)種其他設(shè)備遭受到相同黑客病毒的攻擊。聯(lián)動機(jī)制有效的提高了終端和邊界雙方面聯(lián)動的防護(hù)效果,有效應(yīng)對未知攻擊并可以進(jìn)行及時的防護(hù)措施,并運(yùn)用大數(shù)據(jù)預(yù)測與分析技術(shù)可以預(yù)測可能受到的安全攻擊,進(jìn)行對應(yīng)的防護(hù)措施,從而將損害降到最低,實(shí)現(xiàn)網(wǎng)絡(luò)安全最大化的終極目標(biāo)。
參考文獻(xiàn)
[1]CNCERT互聯(lián)網(wǎng)安全威脅報告.國家互聯(lián)網(wǎng)應(yīng)急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.
[2]孟治強(qiáng).基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)初探[J].商,2015(34):207-207.
[3]楊艷,張瑩.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全研究[J].自動化與儀器儀表,2016(10):149-150.
[4]劉新,常英賢,田健偉.大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全防護(hù)策略研究[J].探索科學(xué),2016(10).
[5]馬文靜.下一代無線網(wǎng)絡(luò)安全及切換機(jī)制研究[D].北京郵電大學(xué),2010.
[6]吳越,孫皓,張樹彬.下一代網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2007(05):12-14.
【關(guān)鍵詞】郵政網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 加密
1 郵政系統(tǒng)的基本原理
郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個三級四層的全國性的網(wǎng)絡(luò)系統(tǒng),其中三級為省際網(wǎng)、省內(nèi)網(wǎng)和郵區(qū)網(wǎng),四層為國家郵政信息中心、省郵政信息中心、郵區(qū)郵政信息中心和基礎(chǔ)接入節(jié)點(diǎn)。
郵政綜合計算機(jī)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示,網(wǎng)絡(luò)互連方式包括郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部三級四層之間的互連、郵政綜合計算機(jī)網(wǎng)二級機(jī)構(gòu)接入、郵政綜合計算機(jī)網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)的互連。網(wǎng)絡(luò)上使用的通信協(xié)議為TCP/IP。
2 現(xiàn)有系統(tǒng)的基本原理
通過建立郵政行業(yè)內(nèi)通用的綜合安全保密管理技術(shù)架構(gòu)和管理中心平臺,從而為郵政系統(tǒng)建立健全的安全組織、完善的安全管理機(jī)制和集成統(tǒng)一的安全策略提供必要的技術(shù)基礎(chǔ)。該管理中心平臺在結(jié)構(gòu)上和郵政系統(tǒng)現(xiàn)有管理體制和網(wǎng)絡(luò)結(jié)構(gòu)相適應(yīng),并在密碼設(shè)備管理、密碼服務(wù)調(diào)用接口、密鑰管理、安全日志管理等方面建立統(tǒng)一的標(biāo)準(zhǔn)和要求,此外,該平臺應(yīng)具有較強(qiáng)的開放性,能容納未來的安全保密設(shè)備。
以目前比較成熟的PKI體系為基礎(chǔ),針對不同應(yīng)用模式構(gòu)建統(tǒng)一的安全服務(wù)平臺,為郵政業(yè)務(wù)系統(tǒng)提供一個公共的安全服務(wù)平臺,為郵政生產(chǎn)、業(yè)務(wù)、服務(wù)和管理應(yīng)用提供一系列標(biāo)準(zhǔn)的、切合郵政安全需求的安全服務(wù)接口,使得各個應(yīng)用系統(tǒng)的開發(fā)在一個高安全性的服務(wù)環(huán)境下順利實(shí)施。
綜合運(yùn)用數(shù)據(jù)包封裝技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),構(gòu)建建立能涵蓋郵政終端節(jié)點(diǎn)->城市中心->省中心->國家中心各部門(人員)的中國郵政虛擬專用網(wǎng)絡(luò)系統(tǒng)(VPN)。
3 現(xiàn)有系統(tǒng)的組成結(jié)構(gòu)
現(xiàn)有系統(tǒng)共包含五個組成部分:綜合安全管理中心、應(yīng)用安全服務(wù)平臺、低端網(wǎng)絡(luò)IP密碼服務(wù)包、網(wǎng)絡(luò)IP加密機(jī)和終端線路加密器。以下分別介紹各個部件的功能:
3.1 綜合安全管理中心
綜合安全管理中心實(shí)現(xiàn)對全網(wǎng)絡(luò)密碼設(shè)備的分級集中管理,包括對密碼設(shè)備所需數(shù)字證書的管理、密碼設(shè)備遠(yuǎn)程配置、密碼設(shè)備運(yùn)行狀態(tài)監(jiān)控及密碼設(shè)備安全審計日志的集中存放、動態(tài)分析和報告生成等功能。此外,該中心還可包含對其它安全設(shè)備,如防火墻、入侵檢測等的集中管理。
3.2 應(yīng)用安全中間件
應(yīng)用安全中間件是一個由五個安全組件構(gòu)成的安全服務(wù)套件,可以為基于不同平臺的各類業(yè)務(wù)系統(tǒng)提供統(tǒng)一、標(biāo)準(zhǔn)的安全服務(wù),它為用戶提供了實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性、不可抵賴性以及身份認(rèn)證功能等的統(tǒng)一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補(bǔ)充,構(gòu)成了一個面向用戶信息應(yīng)用系統(tǒng)的較為完整的安全服務(wù)體系。該套件的所有組件均集成了國密辦審批的本項(xiàng)目專用密碼算法和密碼模塊,其功能基本覆蓋了郵政系統(tǒng)各類業(yè)務(wù)系統(tǒng)的安全服務(wù)需求。
3.3 基于網(wǎng)絡(luò)的IP加密機(jī)
基于網(wǎng)絡(luò)的IP加密機(jī)通過在網(wǎng)絡(luò)層實(shí)施密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),實(shí)現(xiàn)郵政系統(tǒng)各級機(jī)構(gòu)間通過公網(wǎng)的安全互聯(lián)。IP加密機(jī)為一獨(dú)立的網(wǎng)絡(luò)安全設(shè)備,可透明地接入(嵌入)郵政系統(tǒng)現(xiàn)有網(wǎng)絡(luò)架構(gòu),并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.4 基于主機(jī)的低端網(wǎng)絡(luò)IP密碼服務(wù)包
基于主機(jī)的網(wǎng)絡(luò)IP密碼服務(wù)包的應(yīng)用對象為郵政系統(tǒng)中大量存在的柜員微機(jī)工作站和儲蓄網(wǎng)點(diǎn)PC,是一個能嵌入到現(xiàn)有客戶端系統(tǒng)中的IP安全保密墊片程序模塊,該模塊處于網(wǎng)絡(luò)驅(qū)動程序和IP協(xié)議棧之間,對出入主機(jī)的數(shù)據(jù)包實(shí)施加解密處理和訪問控制,實(shí)現(xiàn)和基于網(wǎng)絡(luò)的IP加密機(jī)的互通,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.5終端線路加密器
終端線路加密器是一個能完成終端柜員身份認(rèn)證功能及線路加密功能的設(shè)備,其應(yīng)用對象為郵政系統(tǒng)中大量存在的郵政儲蓄和電子匯兌柜員終端。該設(shè)備能透明地接入郵政儲蓄柜員終端業(yè)務(wù)系統(tǒng)和其它“終端-主機(jī)”結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中,解決(啞)終端用戶的強(qiáng)身份認(rèn)證和線路加密功能,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
4網(wǎng)絡(luò)安全的重要性
在信息社會中,信息具有和能源、物源同等的價值,在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題,對于企業(yè)更是如此。例如:在競爭激烈的市場經(jīng)濟(jì)驅(qū)動下,每個企業(yè)對于原料配額、生產(chǎn)技術(shù)、經(jīng)營決策等信息,在特定的地點(diǎn)和業(yè)務(wù)范圍內(nèi)都具有保密的要求,一旦這些機(jī)密被泄漏,不僅會給企業(yè),甚至也會給國家造成嚴(yán)重的經(jīng)濟(jì)損失。 經(jīng)濟(jì)社會的發(fā)展要求各用戶之間的通信和資源共享,需要將一批計算機(jī)連成網(wǎng)絡(luò),這樣就隱含著很大的風(fēng)險,包含了極大的脆弱性和復(fù)雜性,特別是對當(dāng)今最大的網(wǎng)絡(luò)――國際互聯(lián)網(wǎng),很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟(jì)的信息化程度的提高,有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機(jī)中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大,信息的泄露問題也變得日益嚴(yán)重,因此,計算機(jī)網(wǎng)絡(luò)的安全性問題就越來越重要。
5 結(jié)論
隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)攻擊也在迅速增多,病毒郵件攻擊的影響日益激烈,病毒、蠕蟲和毫無必要的大量垃圾電子郵件利用互聯(lián)網(wǎng)資源來傳播,使企業(yè)網(wǎng)絡(luò)的傳輸速度緩慢甚至癱瘓。本文提出的企業(yè)網(wǎng)絡(luò)安全解決方案能夠?yàn)槠髽I(yè)提供安全的網(wǎng)絡(luò)保護(hù),并縮減了企業(yè)在網(wǎng)絡(luò)安全方面的投資。解決了企業(yè)的安全隱患,使能夠合理利用網(wǎng)絡(luò)并從網(wǎng)絡(luò)中獲取豐厚的效益,提高了企業(yè)的競爭力。
參考文獻(xiàn)
[1]張千里,陳光英 .網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003(01).
[2]董玉格等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京:人民郵電出版社,2002(08).
[3]顧巧論等編著.計算機(jī)網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2003(01).
【關(guān)鍵詞】制藥企業(yè) 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)安全架構(gòu) 網(wǎng)絡(luò)設(shè)計
隨著數(shù)字化和信息化進(jìn)程的不斷加速,企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍日益擴(kuò)大。制藥企業(yè)作為技術(shù)密集型企業(yè),多以精深工藝、提升品質(zhì)、加強(qiáng)管理為目的,建立了由ERP、電子商務(wù)、Web網(wǎng)站、OA構(gòu)成的網(wǎng)絡(luò)系統(tǒng)。目前,網(wǎng)絡(luò)已應(yīng)用于制藥企業(yè)各個事務(wù)層面,因此網(wǎng)絡(luò)安全尤為重要,必須建立多層次的安全體系架構(gòu),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)保障。
一、安全架構(gòu)設(shè)計要點(diǎn)
(一)多元線程。安全架構(gòu)分為“預(yù)防”、“治理”、“鞏固”三個線程?!邦A(yù)防”是通過Windows Server Update Services更新服務(wù),及時修補(bǔ)內(nèi)網(wǎng)終端與服務(wù)器的系統(tǒng)漏洞?!爸卫怼笔轻槍Σ煌陌踩{進(jìn)行防護(hù)。對于病毒威脅和黑客入侵,進(jìn)行軟硬件聯(lián)合防御?!办柟獭笔潜4嫱暾W(wǎng)絡(luò)日志,有科學(xué)的備份策略,對終端計算機(jī)的嚴(yán)格管理,保證終端安全。
(二)立體布局。安全架構(gòu)設(shè)計要兼顧物理層、鏈路層、網(wǎng)絡(luò)層和應(yīng)用層,形成立體化的防護(hù)布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。
(三)系統(tǒng)管理。安全架構(gòu)包括技術(shù)層和管理層兩方面,必須建立安全管理系統(tǒng)與安全技術(shù)相適應(yīng)。管理系統(tǒng)要求嚴(yán)密的崗位分工,以及日常維護(hù)管理制度。一個合理的管理系統(tǒng)能夠明確網(wǎng)絡(luò)邊界,增強(qiáng)網(wǎng)絡(luò)的可控性,實(shí)現(xiàn)有計劃的訪問控制,有效阻止?jié)B透式網(wǎng)絡(luò)攻擊。
二、安全架構(gòu)設(shè)計方案
(一)網(wǎng)絡(luò)平臺方案設(shè)計
1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計。制藥企業(yè)的網(wǎng)絡(luò)設(shè)置采用拓?fù)浣Y(jié)構(gòu),根據(jù)藥品的生產(chǎn)、銷售、組織、管理等部門分成多個子網(wǎng),共同構(gòu)建企業(yè)網(wǎng)絡(luò)平臺。在各VLAN之間布置路由,實(shí)現(xiàn)各VLAN間的自由互訪。但各子網(wǎng)間互訪需要進(jìn)行網(wǎng)絡(luò)驗(yàn)證,避免某子網(wǎng)的安全威脅獲得擴(kuò)大性傳播。
2.域管理設(shè)計。為實(shí)現(xiàn)集中式管理,應(yīng)在制藥企業(yè)網(wǎng)絡(luò)平臺布局域管理。域管理可以實(shí)現(xiàn)單一賬戶登錄,單節(jié)點(diǎn)管理,具有安全便捷的優(yōu)點(diǎn)。企業(yè)內(nèi)網(wǎng)絡(luò)終端設(shè)備較多,因此要進(jìn)行網(wǎng)絡(luò)標(biāo)簽設(shè)置,具體規(guī)則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網(wǎng)關(guān),第二段代表部門,第三段代表姓名全拼,唯一的網(wǎng)絡(luò)標(biāo)簽可以保證定位的速度與精度。
3.入侵檢測設(shè)計。網(wǎng)絡(luò)入侵檢測是通過防火墻和專用軟件(IDS)實(shí)現(xiàn)的。配置企業(yè)級防火墻,可以杜絕內(nèi)外網(wǎng)間的病毒威脅,提供相對安全的網(wǎng)絡(luò)環(huán)境。而網(wǎng)康、綠盟、安全胄甲等專業(yè)入侵檢測軟件(IDS)則是對防火墻的合理補(bǔ)充,IDS從企業(yè)網(wǎng)絡(luò)中采集關(guān)鍵信息,分析總流量、上傳量、ERP等數(shù)據(jù)變化,自主判斷網(wǎng)絡(luò)中違反安全策略的行為。聯(lián)合應(yīng)用防火墻與IDS,可以實(shí)時、動態(tài)地保護(hù)網(wǎng)絡(luò)平臺,擴(kuò)展系統(tǒng)管理員的安全管理能力,形成完整的網(wǎng)絡(luò)安全平臺結(jié)構(gòu)。
(二)防治病毒方案設(shè)計
1.分布式部署。一般而言,制藥企業(yè)規(guī)模龐大且機(jī)構(gòu)復(fù)雜,由多個服務(wù)器構(gòu)成子網(wǎng),因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進(jìn)行配置,并根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架,設(shè)立多級病毒防治管理中心,負(fù)責(zé)各自網(wǎng)段的病毒查殺工作。
2.網(wǎng)絡(luò)邊緣防護(hù)。網(wǎng)絡(luò)邊緣是靠近用戶端的網(wǎng)絡(luò)層面,對其進(jìn)行病毒防護(hù)的方法是在部署好防病毒網(wǎng)關(guān)后再連接外網(wǎng),全面掃描網(wǎng)絡(luò)后安置硬件防毒墻。建議使用網(wǎng)神、驅(qū)逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協(xié)議進(jìn)行查殺病毒。再配置一套符合企業(yè)網(wǎng)絡(luò)應(yīng)用需要的安全策略,控制多項(xiàng)網(wǎng)絡(luò)端口,填補(bǔ)邊緣防護(hù)缺口,建立起軟硬件相結(jié)合的安全屏障。
3.防病毒管理。防毒技術(shù)是網(wǎng)絡(luò)安全架構(gòu)的技術(shù)保障,而技術(shù)需要管理制度作為保障才能發(fā)揮最大效用。制藥企業(yè)防毒管理制度應(yīng)包括:強(qiáng)制實(shí)施防病毒策略,嚴(yán)肅工作紀(jì)律;定期檢查硬件防毒墻運(yùn)行狀態(tài),調(diào)整工作參數(shù),避免過熱過勞運(yùn)行;定期升級防毒軟件病毒庫,如有大規(guī)模病毒爆發(fā)需進(jìn)行專項(xiàng)治理;加強(qiáng)移動存儲介質(zhì)管理,不使用來源不明的存儲介質(zhì)。
(三)數(shù)據(jù)備份和審計方案設(shè)計
數(shù)據(jù)備份和審計是制藥企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重要組件。數(shù)據(jù)備份的作用是記錄各類網(wǎng)絡(luò)信息,為查找漏洞、排除問題、安全設(shè)置提供參考。考慮到制藥企業(yè)數(shù)據(jù)備份的規(guī)模及對數(shù)據(jù)安全的要求,可利用IBM公司開發(fā)的iSCSI接口,將現(xiàn)有SCSI接口與以太網(wǎng)絡(luò)結(jié)合,實(shí)現(xiàn)服務(wù)器與IP網(wǎng)絡(luò)儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應(yīng)用符合一定技術(shù)標(biāo)準(zhǔn)的備份軟件,具備快速存取能力、極簡管理能力和災(zāi)難恢復(fù)能力。另外,備份軟件要適應(yīng)當(dāng)前的網(wǎng)絡(luò)條件,能同時支持64位和32位WINDOWS系統(tǒng)、UNIX、IOS系統(tǒng),能在常用系統(tǒng)平臺進(jìn)行主動式備份。建議采用FileGee等備份軟件,實(shí)現(xiàn)自動備份文件,并可進(jìn)行多介質(zhì)服務(wù)器管理,提供集中管理備份策略。
數(shù)據(jù)備份的目的是進(jìn)行數(shù)據(jù)審計,通過檢索備份數(shù)據(jù),分析數(shù)據(jù)特征和變化趨勢,對企業(yè)內(nèi)服務(wù)器和終端設(shè)備進(jìn)行安全審計。終端設(shè)備審計方案是:調(diào)取網(wǎng)絡(luò)數(shù)據(jù),對各種網(wǎng)絡(luò)應(yīng)用進(jìn)行識別、記錄和控制,在此基礎(chǔ)上判斷網(wǎng)絡(luò)行為正當(dāng)與否,如存在安全隱患則采取緊急策略,對問題網(wǎng)絡(luò)端口進(jìn)行控制。服務(wù)器審計方案是:在數(shù)據(jù)庫中提取記錄企業(yè)服務(wù)器運(yùn)行信息,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)日志,作出勘察、判斷與決策,防止誤操作和不當(dāng)操作行為,預(yù)防各種潛在的違規(guī)操作行為。
三、總結(jié)
本文立足于制藥企業(yè)的網(wǎng)絡(luò)管理實(shí)際,擬定了三項(xiàng)網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的設(shè)計要點(diǎn),提出安全規(guī)劃,明確建設(shè)目標(biāo)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計以平臺安全、防治病毒、數(shù)據(jù)備份和審計為基點(diǎn),兼顧了整體性和可操作性,設(shè)計出符合線程化、立體化、系統(tǒng)化要求的安全架構(gòu),為制藥企業(yè)網(wǎng)絡(luò)安全應(yīng)用和管理提供了技術(shù)支持。
參考文獻(xiàn):
[1] 熊芳芳.淺談計算機(jī)網(wǎng)絡(luò)安全問題及其對策.電子世界.2012(11).
隨著智能手機(jī)、平板電腦等終端產(chǎn)品的普及,網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。面對新的網(wǎng)絡(luò)安全的威脅和攻擊,傳統(tǒng)的應(yīng)對手段也需要顛覆了。請關(guān)注—
隨著新的互聯(lián)網(wǎng)時代的到來,許多人已經(jīng)可以實(shí)現(xiàn)借助家里電腦、智能手機(jī)、平板電腦等終端進(jìn)行遠(yuǎn)程辦公,現(xiàn)今IT信息系統(tǒng)的架構(gòu)也發(fā)生了變化,導(dǎo)致網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。在近期舉辦的第二屆國家網(wǎng)絡(luò)安全宣傳周上,基于云端架構(gòu)的網(wǎng)絡(luò)安全防護(hù)體系正受到越來越多的追捧。
網(wǎng)絡(luò)安全問題越來越復(fù)雜
今年2月份,網(wǎng)絡(luò)安全公司卡巴斯基的一份分析報告顯示,黑客組織Carbanak在兩年內(nèi)連續(xù)攻擊了俄、烏、白等30多個國家的金融機(jī)構(gòu),造成損失達(dá)10億美元,引發(fā)了俄羅斯銀行業(yè)恐慌。
根據(jù)2012年的數(shù)據(jù),我國電子銀行交易筆數(shù)高達(dá)896.2億筆,交易規(guī)模為820萬億元,個人網(wǎng)銀用戶規(guī)模為2.1億戶。電子銀行替代率提高到72.3%,且到2016年時,該比率預(yù)計將達(dá)到82.3%。而與此同時,信息泄露、惡意軟件、釣魚網(wǎng)站等卻在不斷的威脅到網(wǎng)銀安全服務(wù),中國工商銀行(601398,股吧)安全部總經(jīng)理敦宏程表示,這些網(wǎng)絡(luò)上侵害金融安全的非法活動甚至已形成黑色產(chǎn)業(yè)鏈,相關(guān)組織內(nèi)分工明確。
“黑客最初是向目標(biāo)機(jī)構(gòu)的普通職員發(fā)送電子郵件,誘使他們打開一個包含惡意軟件的附件;突破職員電腦后,黑客會以此為跳板進(jìn)行滲透平移,找到并攻陷掌握銀行交易權(quán)限的高級管理人員;通過在管理人員的電腦植入木馬程序,分析得到合法賬號、密碼以及系統(tǒng)操作流程,最終冒充合法賬號成功轉(zhuǎn)移資產(chǎn)?!本W(wǎng)康科技執(zhí)行副總裁左英男介紹俄羅斯銀行大案時說,盡管俄羅斯警方幾年前已經(jīng)逮捕了8名犯罪團(tuán)伙成員,但攻擊并未停止。
“哪個網(wǎng)絡(luò)是不可信的?哪個網(wǎng)絡(luò)是可信的?這些概念已經(jīng)改變了。傳統(tǒng)的網(wǎng)絡(luò)安全理論是靜態(tài)、被動的,是一種防御性思維,已不適應(yīng)信息產(chǎn)業(yè)架構(gòu)的變化。隨著互聯(lián)網(wǎng)的云化和移動終端移動化趨勢,IT信息系統(tǒng)的架構(gòu)需要有新的手段去解決安全問題?!弊笥⒛姓f。
借助云端解決網(wǎng)絡(luò)安全
“安全問題永遠(yuǎn)是人與人之間的智力對抗,所謂魔高一尺道高一丈,但防御的一方永遠(yuǎn)處于被動地位,所以現(xiàn)在要改變這種防御策略,形成主動發(fā)現(xiàn)、主動打擊。這就是我們提出的下一代網(wǎng)絡(luò)安全架構(gòu),提供主動對抗的手段?!弊笥⒛薪榻B,下一代網(wǎng)絡(luò)安全架構(gòu)的一個重要特點(diǎn)就是智能協(xié)同,主動防御。云、邊界設(shè)備與終端設(shè)備之間都可以進(jìn)行聯(lián)動,使得架構(gòu)中“邊界”設(shè)備和“終端”設(shè)備的安全能力都得到了劃時代的提升,可以有效應(yīng)對已知和未知的高級威脅。
“更好的安全模型應(yīng)該是PDFP模型(Prediction預(yù)測、Detection檢測、Forensics取證、Protection防護(hù)),即假設(shè)IT系統(tǒng)存在無法預(yù)估的風(fēng)險,甚至認(rèn)為攻擊已經(jīng)發(fā)生只是人們尚未感知,此時必須進(jìn)行動態(tài)檢測,把異常的人員、行為、應(yīng)用、內(nèi)容等日志信息實(shí)時匯集到云分析中心,通過跨時空的大數(shù)據(jù)分析,迅速判定攻擊并進(jìn)行過程溯源,從而實(shí)施對抗策略。這個過程是動態(tài)的、主動的,是一種對抗型思維?!弊笥⒛薪忉專皩砦覀儠o客戶提供一個云管端的架構(gòu),部屬終端、部屬終結(jié)設(shè)備,會給他一個云賬號,登錄云賬號之后,能夠看到經(jīng)過大數(shù)據(jù)分析之后的結(jié)果,主機(jī)是否危險,內(nèi)部有哪些僵尸,都在干什么,有非常直觀的風(fēng)險信息提示。”
目前,為了防止用戶信息泄露和受到詐騙,當(dāng)前各大銀行紛紛采取措施,其中云技術(shù)、大數(shù)據(jù)等已被運(yùn)用。比如銀聯(lián)推出的虛擬銀行卡,可以直接使用手機(jī)來刷POS機(jī),而基于云端的安全機(jī)制將大大提高賬戶的安全性。
提高民眾的安全意識是關(guān)鍵
“網(wǎng)絡(luò)安全問題并不僅僅是一個行業(yè)、一個企業(yè)的行為,它還需要整個全民網(wǎng)絡(luò)安全意識的提高,以及整個社會網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建?!弊笥⒛姓f。
中國工商銀行安全部總經(jīng)理敦宏程表示,相對銀行采取的種種措施,民眾的網(wǎng)絡(luò)安全意識仍然是抵御網(wǎng)絡(luò)金融詐騙和信息泄露的第一道關(guān)口?!坝脩舻陌踩庾R,實(shí)際上相對來說是各個環(huán)節(jié)中最薄弱的環(huán)節(jié),工商銀行為此提供了很多安全措施,都是針對客戶安全意識不足做的補(bǔ)充措施?!?/p>
關(guān)鍵詞:終端準(zhǔn)入 網(wǎng)絡(luò)安全 802.1x EAD
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)06-0014-02
1 引言
在創(chuàng)新無處不在的IT世界里,從要求可用性到安全性再到高效率,只經(jīng)歷了短短的幾年時間。如何對終端設(shè)備進(jìn)行高效、安全、全方位控制一直都困擾著眾多IT管理者,由于終端設(shè)備數(shù)量多、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊,而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高,導(dǎo)致了終端成為整個IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán),對終端問題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一,它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。
終端作為網(wǎng)絡(luò)的關(guān)鍵組成和服務(wù)對象,其安全性受到極大關(guān)注。終端準(zhǔn)入控制技術(shù)是網(wǎng)絡(luò)安全一個重要的研究方向,它通過身份認(rèn)證和完整性檢查,依據(jù)預(yù)先設(shè)定的安全策略,通過軟硬件結(jié)合的方式控制終端的訪問權(quán)限,能有效限制不可信、非安全終端對網(wǎng)絡(luò)的訪問,從而達(dá)到保護(hù)網(wǎng)絡(luò)及終端安全的目的。終端準(zhǔn)入控制技術(shù)的研究與應(yīng)用對于提高網(wǎng)絡(luò)安全性,保障機(jī)構(gòu)正常運(yùn)轉(zhuǎn)具有重要作用;對于機(jī)構(gòu)解決信息化建設(shè)中存在的安全問題具有重要意義。目前,終端準(zhǔn)入控制技術(shù)已經(jīng)得到較大的發(fā)展和應(yīng)用,在安全領(lǐng)域起到越來越重要的作用。
2 發(fā)展現(xiàn)狀
為了解決網(wǎng)絡(luò)安全問題,安全專家相繼提出了新的理念。上世紀(jì)90年代以來,國內(nèi)外提出了主動防御、可信計算等概念,認(rèn)為安全應(yīng)該回歸終端,以終端安全為核心來解決信息系統(tǒng)的安全問題。
3 終端準(zhǔn)動模型
H3C終端準(zhǔn)入控制解決方案(EAD,End user Admission Domination)從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過智能客戶端、安全策略服務(wù)器、聯(lián)動設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端按需實(shí)施靈活的安全策略,并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,極大地加強(qiáng)了企業(yè)用戶終端的主動防御能力,為企業(yè)IT管理人員提供了高效、易用的管理工具。
4 終端準(zhǔn)入控制過程
EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式。通過身份認(rèn)證之后,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、是否有等安全認(rèn)證檢查。通過安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò),同時EAD將對終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計。若未通過安全認(rèn)證,則將用戶放入隔離區(qū),直到用戶通過安全認(rèn)證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。
5 終端準(zhǔn)入控制策略的實(shí)現(xiàn)
5.1 接入用戶身份認(rèn)證
為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD通過交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過Windows域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實(shí)現(xiàn)了Windows 域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾,避免了用戶二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認(rèn)證流程,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如圖3所示。
5.2 安全策略狀態(tài)評估
EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過智能客戶端實(shí)時檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動控制,完成對用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查,可以正常訪問授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強(qiáng)制放入隔離區(qū)內(nèi),直至通過安全策略檢查才可訪問授權(quán)的網(wǎng)絡(luò)資源。
5.3 EAD與iMC融合管理
EAD通過與iMC(開放智能管理中樞,Intelligent Management Center)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對用戶的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺實(shí)現(xiàn)了對網(wǎng)絡(luò)、安全、存儲、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實(shí)現(xiàn)了行為審計、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開放式管理體驗(yàn)。
6 結(jié)語
在未實(shí)施終端準(zhǔn)入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動,雖制定完善的IT管理制度,但不能有效實(shí)行,比如不能及時升級系統(tǒng)補(bǔ)丁,不能及時升級殺毒軟件病毒庫,不能實(shí)時監(jiān)控用戶軟件安裝,不能實(shí)時監(jiān)控計算機(jī)硬件信息等問題。通過實(shí)施終端準(zhǔn)入解決方案,降低了來自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。
參考文獻(xiàn)
[1]周超,周城,丁晨路.計算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù).計算機(jī)系統(tǒng)應(yīng)用,2011,20(1):89—94.
[2]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案.醫(yī)院數(shù)字化,2011,26(11):30-32.
[3]成大偉,呂鋒.支持802.1x的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在企業(yè)中的應(yīng)用.中國科技博覽,2012,27:296.
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國期刊全文數(shù)據(jù)庫(CJFD)
級別:省級期刊
榮譽(yù):中國學(xué)術(shù)期刊(光盤版)全文收錄期刊
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
級別:部級期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫