網絡安全整體解決方案范文

時間:2023-12-20 17:57:14

導語:如何才能寫好一篇網絡安全整體解決方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

關鍵詞:電子政務;信息安全; OA ERP

1.背景

隨著電子政府的飛速發展,在帶來辦公便利的同事,也使政務信息面臨前所未有的網絡信息安全的威脅。電子政務系統一旦發生信息被竊取,網絡癱瘓,將癱瘓政府職能的履行,對政府職能部門以及社會公眾產生嚴重的危害。

2.系統安全現狀

根據省電子政務內外網的建設目標和建設原則,充分利用現有網絡資源,充分整合市政府原有的辦公資源網,公務外網, 將原辦公系統整合到統一的辦公業務資源平臺上。將辦公業務資源網與公務外網、互聯網實施物理隔離,公務外網與國際互聯網實施邏輯隔離。

電子政務的網絡平臺,承載多個業務單位系統數據傳輸,核心交換區應具有良好的安全可控性,實現各業務網絡的安全控制。由于安全防護為整個網絡提供NET、防火墻、VPN、IDS、上網行為管理、防病毒、防垃圾郵件等功能,因此,政府建立辦公業務資源網的工程雖是非涉密網,但安全保密仍然是工程建設的重點內容。存在的問題如下圖:

圖2.1

(1)缺乏統一的訪問控制平臺,各系統分別管理所屬的系統資源,隨著用戶數增加,權限管理愈發復雜,系統安全難以得到充分保障;

(2)缺乏集中統一的訪問審計,無法進行綜合分析,因此不能及時發現入侵行為;

(3)缺乏統一的權限管理,各應用系統有一套獨立的授權管理,隨著用戶數據量的增多,角色定義的日益復雜,用戶授權的任務越來越重;

(4)缺乏統一內部安全規范。為了保證生產、辦公系統的穩定運行,總部及各部門制定了大量的安全管理規定,這些管理規定的執行和落實與標準的制定初衷存在一定距離。

3.網絡與信息安全平臺設計方案

3.1設計思路

信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念,即信息保障的WPDRR模型。

3.2 安全體系設計方案

綜合安全體系結構主要考慮安全對象和安全機制,安全對象主要有網絡安全、系統安全、數據庫安全、信息安全、設備安全、信息介質安全和計算機病毒防治等。目前,政府網絡中心安全設計主要包括:信息安全基礎設施和網絡安全防護體系的建設。

3.3.1信息安全基礎設施設計方案

信息安全基礎設施總體設計方案架構如下圖:

圖3.1 信息安全基礎設施設計方案

基于PKI/PMI的信任體系和授權體系提供了基本PKI數字證書認證機制的試題身份鑒別服務,建立全系統范圍一致的新人基準,為整個政府信息化提供支撐。

網絡病毒防治服務體系采取單機防病毒和網絡防病毒兩類相結合的形式來實施。網絡防病毒用來檢測網絡各節點病毒入侵情況,保護網絡操作系統不受病毒破壞。作為網絡防病毒的補充,在終端部署單機反病毒軟件,實現動態防御與靜態殺毒相結合,有效防止病毒入侵。

邊界訪問采取防火墻和網閘來實施。網閘可以切斷網絡之間的通用協議連接;將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等;確認后的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。可以根據需求采取不同的方案。

3.3.2網絡安全防護體系設計方案

圖3.2 網絡安全防護體系設計方案

由于網絡是承載各種應用系統的載體,因而網絡系統的安全是十分重要的,必須從訪問控制、入侵檢測、安全掃描、安全審計、VPN等方面來進行網絡安全設計。

在應用層,根據網絡的業務和服務,采用身份認證技術、防病毒技術、網站監控與恢復系統以及對各種應用服務的安全性增強配置服務來保障網絡系統在應用層的安全。

在應用系統的開發過程中,要充分考慮到系統安全,采用先進的身份認證和加密技術,為整個系統提供一套完整的安全身份認證機制,以確保每個用戶在合法的授權范圍內對系統進行相應的操作。

3.3.3 災難備份系統設計方案

災難備份是為在生產中心現場整體發生癱瘓故障時,備份中心以適當方式接管工作,從而保證業務連續性的一種解決方案。

備份中心具備與主中心相似的網絡環境,例如光纖,E3/T3,ATM,確保數據的實時備份;具備日常維護條件;與主中心相距足夠安全的距離。

當災難情況發生,可以立即在備份中心的備份服務器上重新啟動主中心應用系統,依靠實時備份數據恢復主中心業務。

4.網絡架構

針對辦公業務資源網和公務外網既要相互隔離又有數據交互的特點,在兩網之間部署網閘;為了分別保證兩網的安全,在核心交換區分別進行防火墻的部署,在核心交換區和應用服務器區分別部署IDS;建立智能安全管理中心,在辦公業務資源、公務外網部署流量檢測系統,于公務外網設置流量清洗系統,抗DDOS攻擊。在系統安全方面部署防病毒系統,另外公務外網部署了Web應用防火墻、網頁防篡改系統。通過安全集成在辦公業務資源、公務外網各部署一套網絡管理平臺系統和安全管理平臺系統。為防止外來終端接入對內部網絡安全的影響,將引入終端準入產品。

5.電子政務公務外網安全設計總結

綜上所述,根據市政府網絡中心功能需求,我們在網絡中心建立入侵監測系統、防火墻系統、防病毒系統、內網管理系統。在通過一系列技術手段對電子政務網絡防護的同事,加強了安全管理手段。實現技術和行政雙重方式來維護整個系統的安全,在通過對網絡使用人員、管理人員進行信息安全知識培訓,有效的發揮了網絡安全防護效果,達到了放牧目的。

參考文獻:

[1]龔儉.計算機網絡安全導論[M].東南大學出版社.     

[2]閆宏生,等.計算機網絡安全與防護[M].電子工業出版社.

篇2

其實全球都有同樣的趨勢,“2005年FBI計算機犯罪調查”指出,在美國接受調查的公司或個人,有87%至少發生一次安全事故,而半數以上發生過四次以上事故。為什么企業會產生這樣的印象?賽門鐵克中國區技術經理郭訓平日前在賽門鐵克全面安全威脅推介會上表示:“大多數企業的信息安全機制仍然不堪一擊。”

實際分析企業的安全投入就會發現,雖然投入費用在不斷增加,但是,來自Ernst && Young 的“2005年全球信息安全調查”顯示,企業將其安全預算的50%用于日常操作和事故響應,僅將17%的預算用于完成更關鍵的戰略項目。這就意味著,大多數企業只是采用被動的反應性防御措施。但實際上,企業需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。為此,賽門鐵克提出了全面威脅管理解決方案,并在中國開始大力推廣。那么合理的安全配置應該是什么樣的呢?賽門鐵克認為,企業需要的是“隨需應變”的整體化安全方案。

威脅可以提前防御

多數企業都在疲于應對已經發生的安全事件,郭訓平表示:“其實應用整體安全理念,這些是可以提前預防的?!?/p>

整體安全方案的基本就是應該具有較高的主動性,這體現了在未明確威脅類型的情況下阻止威脅的能力――不僅可以防御已知攻擊,更重要的是,防御未知攻擊,預測潛在威脅。由于能夠提供額外的防御級別,因此各個企業可以獲得寶貴的時間,通過更有序的方式對漏洞進行補救。這對于面臨嚴重風險的銀行、電信、網站等企業尤為重要。

其次,整體安全方案還必須重視的一點,就是應全面覆蓋計算環境(多層),而不是僅僅針對互聯網邊界。郭訓平特別談到,企業既要保護免遭外部威脅,又要看到內部的隱患,要做到既能夠防御從內部發起的一定數量的威脅,又能夠防御以物理方式繞過邊界控制甚至突破邊界的安全威脅。除邊界之外,防御范圍最好包括整個內部網絡、與遠程辦公室的網絡連接、最終用戶的工作站以及重要服務器。此外,整體化安全解決方案還應易于部署和操作,與不干擾合法訪問和關鍵業務信息可用性的需求進行平衡,并能夠適應企業隨時間推移而提出的不斷變化的需求。

如何能夠隨需應變

對于不少用戶而言,建立一個“隨需應變”的整體化安全解決方案似乎無從入手。賽門鐵克針對這個難以駕馭的系統,推出了全面威脅管理方案,可以層層部署,展現清晰脈絡。

篇3

“在這種情況下,數據中心的安全就成為其能否正常提供高效、可用服務的關鍵?!痹诮邮鼙緢笥浾邔TL時,山石網科新技術副總裁王鐘認為,傳統的數據中心安全解決防護思路難以應對云時代數據中心的發展,“我們需要擺脫以設備為核心的安全策略,從基礎架構層面做起,提供整體的解決方案”。

云時代數據中心多重挑戰

在云時代,數據中心主要面臨兩個維度上的安全,一是傳統數據中心邊界,二是數據中心內部和跨越不同地域的多個數據中心之間的安全。

“云數據中心業務和技術的動態變化和復雜性,給云數據中心的網絡安全帶來了新挑戰?!蓖蹒娫诮邮鼙緢笥浾邔TL時表示,挑戰源于“服務器和網絡的虛擬化、軟件定義網絡(SDN)和BYOD(Bring Your Own Device,員工攜帶自己的設備辦公)”。

Gartner認為,2012年虛擬化技術已達到了50%的普及率。服務器虛擬化的好處顯而易見,但是別忘記了,服務器虛擬化并非完美無瑕。惠普信息安全解決方案技術服務事業部經理陳顥明表示:“以前數據中心的一臺物理機只支持一個操作系統,但現在一個刀片可能支持25個操作系統,這就意味著我們原本設定好的安全域的規則被打亂,不同安全層級的信息可能在同一臺虛擬機上,造成的后果是權限級別低的用戶有可能訪問到更高權限級別才能訪問的數據,并且帶來安全風險?!?/p>

從虛擬化技術發展的角度來看,虛擬化數據中心多租戶環境的細粒度的管理,以及對內容、應用、身份認證的的安全應對措施,是數據中心安全的關鍵性問題。

“大多數的識別和安全控制措施基于固定的位置、靜態網絡或者固定IP,難以應付虛擬機遷移帶來的安全問題?!蓖蹒娬J為,“虛擬化環境的動態特性某種程度上意味著新的安全威脅和漏洞。”

同樣地,網絡虛擬化將網絡服務和物理網絡設備分離,網絡的部署方式也發生了改變——從設備的手工單獨配置方式變為可編程的自動部署,同時網絡也可以按需而動。而傳統的安全解決方案基于固定物理網絡設備的安全技術,面臨著動態變化的網絡虛擬化的挑戰。

與網絡虛擬化相似的是,SDN將網絡控制與網絡的物理拓撲分開?!爱斁W絡變成可編程實現的時候,網絡安全該如何實現?當網絡的控制和管理被虛擬化、集中化之后,安全的管理應該如何解決?”王鐘認為,SDN帶來的安全問題同樣不可小覷。

最后,隨著IT消費化的趨勢,BYOD逐漸被越來越多企業接受,虛擬化的普及推動了這一趨勢的發展。然而,企業在享受到降低成本帶來的便利時,也不得不提升應對安全風險的成本。這是因為員工攜帶的個人設備,往往沒有部署相應的安全策略,員工在哪里使用這些設備、通過哪種網絡接入企業的業務平臺,企業的IT人員往往難以準確了解。同時,員工在使用個人設備辦公的同時,往往還進行上網和娛樂等行為。這些都給黑客潛入企業網絡提供了可乘之機。

由此可見,相比于傳統的數據中心安全防護,云計算時代,尤其是虛擬化技術發展帶來的變革之后,數據中心的安全防護對安全設備提出了更高的要求,包括高性能并按需擴展、高可靠保障業務連續性、虛擬防火墻實現虛擬機間的隔離和可視化提供業務可管理等。在王鐘看來,“安全即服務和資源、開放可定義、冗余高可靠、分布可擴展和綠色節能將是未來數據中心安全解決方案的關鍵”。

基礎架構層面的整體解決方案

在近日舉辦的2012RSA中國信息安全大會上,作為云計算技術落地實施的最重要環節,數據中心的安全備受關注。眾所周知,數據中心的安全設備必不可少,而且隨著這些設備的日益增多,以及業務需求的變化,單一網絡安全產品已經無法應對用戶所面臨的挑戰,安全廠商應該從數據中心基礎架構入手提供全面的解決方案。

“以往,安全廠商跟用戶強調的往往是其產品的性能有多強,速度有多快。但事實上,某一款設備的快慢并不能從根本上解決數據中心的整體問題?!蓖蹒娤蛴浾呓榻B,“站在管理者的角度上,我們首先要思考的是數據中心是否可管理。這個管理需要集中的、智能的、開放的,能夠跟數據中心的管理融合起來。”在他看來,只有這幾個方面都具備的安全管理架構,才是數據中心所需要的。

要滿足集中、智能和開放等條件并不容易,山石網科給出的解決方案是提供基礎架構層面的完整的網絡安全解決方案,包括數據中心防火墻+彈性安全架構+安全監控和管理等三部分內容。在這個架構之上,山石網科推出了云數據中心網絡安全解決方案——云之盾。

“云之盾整合了山石網科數據中心防火墻、彈性安全架構與安全監控與管理方案,具有冗余高可靠、分布可擴展、綠色節能等特點,可以幫助用戶輕松應對未來云數據中心面臨的各種安全挑戰?!蓖蹒姼嬖V記者,云之盾是著眼于未來云數據中心的安全建設需求,并考慮未來的發展,以方便及時監控和管理為出發點研發的,能夠幫助用戶解決虛擬化帶來的邊界模糊、被保護對象不清晰,以及其他各種安全問題。

篇4

作者:侯煒

我國高速公路近幾年來建設里程越來越遠,而且隨著互聯網的迅速發展,高速公路進入了全國聯網、信息交互的時代。一方面,這有助于高速公路網絡信息的共享和傳播。但另一方面,高速公路全面聯網也對網絡安全提出了新的要求。一旦網絡被別有用心的人攻擊,輕則導致信息泄露,重則有可能引起大的交通事故。

一、高速公路網絡信息安全分析

針對目前高速公路信息網絡系統安全的現狀,很多專家學者都提出自己的觀點和看法,例如:北京交科公路勘察設計研究院盛剛談到網絡安全問題時指出:一方面,不管是在設計還是建設方面,偏重于網絡系統的技術和設備方面,缺乏整體系統的思想觀念和管理理念;重點放在外部攻擊與入侵,忽視內容的監管;重視網絡安全的專業性知識,忽視培養技術人員,技術儲備力量不足;新產品,技術發展快,信息安全隱患日益凸顯,另一方面,針對高速收費、聯網監控這方面,1、建設施工方面,相關的運營單位的認識和重視度不夠,存在著投資大、效率低、操作難等問題;2、技術方面,未能嚴格按照國際相關標準規定執行,提出的技術不具備針對性。

網絡安全現階段的外部威脅主要來自黑客活動,包括:木馬程序、網絡安全漏洞、各種病毒,而內部人員監管手段的疏忽和不規范的操作也是導致網絡安全系統受到威脅的原因之一。

在網絡信息安全問題上,各省又都有各自的實際問題。例如:江蘇高速公路呈現出:網絡寬帶分配不均、網絡大小不同、網絡技術復雜、網絡資源分散、網絡系統陳舊、網絡結構多樣化的特點。網絡信息安全問題已經日趨嚴重,已成為當前高速網絡首要解決的難題,治理措施刻不容緩。

二、網絡信息安全的途徑分析

基于現階段高速公路網絡信息存在的安全問題,多數學者提出自己的看法,其中盛剛提出需要從多角度、多方位的考慮,指出了全面的安全保障體系,包括:技術體系、運維體系、管理體系和標準體系。技術體系主要從主機安全、物理安全、數據安全、網絡安全等多方面考慮的綜合建設體系;運維體系分為四個部分:風險管理安全、安全體系的推廣落實、安全維護、安全管理的工程建設這四部分;管理體系指信息安全的方針目標,以及在完成這些目標的過程中所使用的體系方法;標準體系具體主要確定網絡信息安全的規章制度、管理辦法,工作流程和總體框架。

針對各省份出現的安全問題,各自根據實際情況提出不同的解決方案,例如山西省針對本省高速公路網絡信息安全也提出了自己的解決方案。從管理和技術兩方面入手,管理具體從以下幾方面著手:人員安全管理、系統運維管理、管理制度安全、安全管理機構、系統建設管理等方面提出的具體要求。技術方面主要分為:系統主機安全、物理安全、應用安全、數據安全和網絡安全。管理和技術在維護系統安全中起著不可替代的作用,兩者相輔相成,缺一不可。

山西省不僅從管理和技術兩方面確保高速公路網絡安全,在具體的實施過程中,更全面透徹地分析了全省高速公路在網絡安全中存在的各種安全隱患,涉及網絡安全、主機設備、物理安全、網絡病毒、數據安全、業務管理、應用體系安全、主機系統安全、行為操作安全等各類隱患,針對具體存在的安全問題,對癥下藥,采取實施有效的安全防護措施。

除江蘇和山西省外,福建省也提出了自己的安全措施,制定了詳細的分析報告(確定框架―制定方案―修改方案―執行方案),從2013年試開始運行,截止目前為止,安全防護措施已步入正軌,已將相關制度運行管理制度實現了良好的銜接。

篇5

關鍵詞:網絡安全;醫院網絡;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學技術的發展和信息時代的來臨,幾乎所有的醫院都建立了信息網絡,實現了信息資源的網絡共享。但在具體建設這個醫院網絡平臺時中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫院網絡平臺建設過程中信息安全的建設,包括如何保障醫療業務的正常進行、患者及醫生信息的合法訪問,如何使醫院網絡平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經成為急需解決的問題。

1 醫院網絡安全解決方案的設計

1.1網絡方案的模型

本文研究的醫院網絡安全解決方案是采用基于主動策略的醫院網絡安全系統,它的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導下,運用防護工具(防火墻、操作系統身份認證、加密等)對網絡進行安全防護;利用檢測工具(如漏洞掃描、入侵檢測系統等等)了解和評估系統的安全狀態,檢測針對系統的攻擊行為;通過適當的反應機制將系統的安全狀態提升到最優狀態。這個過程是一個動態的、不斷循環的過程,檢測到的威脅將作為響應和加強防護的依據,防護加強后,將繼續進行檢測過程,依次循環下去,從而達到網絡安全性不斷增強的目的[1]。

根據對網絡安全的技術分析和設計目標,醫院網絡安全解決方案要解決7個實現的技術問題,分別是:數據檢測,入侵行為控制,行為分析,行為記錄,服務模擬,行為捕獲和數據融合。醫院網絡安全解決方案以P2DR模型為基礎,合理利用主動防御技術和被動防御技術來構建動態安全防御體系,根據現有安全措施和工具,在安全策略的基礎上,提出基于主動策略的醫院網絡安全方案模型,如圖1所示。

醫院網絡安全解決方案模型入侵檢測監視網絡的異常情況,當發現有可疑行為或者入侵行為時,將監測結果通知入侵行為控制,并將可疑行為數據傳給服務模擬;服務模擬在入侵行為控制的監控下向可疑行為提供服務,并調用行為捕獲對系統所有活動作嚴格和詳細的記錄;數據融合定期地從行為記錄的不同數據源提取數據,按照統一數據格式整理、融合、提煉后,一發給行為分析,對可疑行為及入侵行為作進一步分析,同時通知入侵行為控制對入侵行為進行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進行更新,將新的模式添加進去。

1.2 防火墻隔離的設計

防火墻技術是醫院網絡安全系統中使用最廣泛的一項網絡安全技術。它的作用是防止不希望的、未經授權的通信進入被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。在醫院網絡中,既有允許被內部網絡和外部網絡同時訪問的一些應用服務器(如醫療費用查詢系統、專家號預約系統、病情在線咨詢系統等),也有只允許醫院網絡內部之間進行通信,不可以外部網絡訪問的內部網絡[2]。因此,對應用服務器和內部網絡應該采用不同的安全策略。

本文研究的醫院網絡安全解決方案采用的是屏蔽子網結構的防火墻配置。將應用服務器放置在屏蔽子網機構中的DMZ區域內,由外部防火墻保護,內部網絡和外部網絡的用戶都可以訪問該區域。內部網絡除了外部防火墻的保護外。還采用堡壘主機(服務器)對內部網絡進行更加深一些層的保護。通過核心交換機的路由功能將想要進入內部網絡的數據包路由到服務器中,由包過濾原則。過濾一些內部網絡不應看到的網站信息等。內部路由器將所有內部用戶到因特網的訪問均路由到服務囂,服務器進行地址翻譯。為這些用戶提供服務.以此屏蔽內部網絡。這種結構使得應用服務器與內部網絡采用不同級別的安全策略,既實現醫院網絡的需求,也保護醫院網絡的安全。防火墻系統結構設計如圖2所示。

雖然防火墻系統能夠為醫院的網絡提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫院的網絡安全系統還采取了其他的網絡安全技術和手段來確保醫院網絡的安全。

1.3 醫療業務數據的捕獲

如果本文研究的醫院網絡安全系統不能捕獲到任何數據,那它將是一堆廢物。只有捕獲到數據,我們才能利用這些數據研究攻擊者的技術、工具和動機。本文設計的醫院安全系統實現了三層數據捕獲,即防火墻日志、嗅探器捕獲的網絡數據包、管理主機系統日志。

其中,嗅探器記錄各種進出醫院內管理網的數據包內容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數據以Tcpdump日志的格式進行存儲,這些數據不僅以后可用通過Tcpreplay進行回放,也可以在無法分析數據時,發送給別的研究人員進行分析。

防火墻和嗅探器捕獲的是網絡數據,還需要捕獲發生有管理主機上的所有系統和用戶活動。對于windows系統,可以借助第三方應用程序來記錄系統日志信息。現在大多數的攻擊者都會使用加密來與被黑系統進行通信。要捕獲擊鍵行為,需要從管理主機中獲得,如可以通過修改系統庫或者開發內核模塊來修改內核從而記錄下攻擊者的行為。

2 醫院網絡安全解決方案的實現

2.1 防火墻系統的布置

本文研究的醫院防火墻系統采用的是屏蔽子網結構,在該結構中,采用Quidway SecPath 1000F硬件防火墻與外部網絡直接相連,通過核心交換機Quidway S6506R將屏蔽子網結構中的DMZ區域和內部網絡連接起來,DMZ區域中的各種應用的服務器都采用的是IBM xSeries 346,其中一臺作為堡壘主機使用。這臺堡壘主機起到的就是服務器的作用。防火墻根據管理員設定的安全規則保護內部網絡,提供完善的安全設置,通過高性能的醫院網絡核心進行訪問控制。

2.2 醫療業務數據捕獲的實現

本文研究的數據捕獲主要從三層進行數據捕獲。我們在網橋下運行如下命令進行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監視他在主機上的活動,我們采用Sebek來實現我們的目標。Sebek是個隱藏的記錄攻擊者行為的內核補丁。一旦在主機上安裝了Sebek的客戶端,它就在系統的內核級別運行,記錄的數據并不是記錄在本地硬盤上,而是通過UDP數據包發送到遠程服務器上,入侵者很難發現它的存在。

醫院的網絡安全系統數據捕獲是由內核模塊來完成的,本文研究使用這個模塊獲得主機內核空間的訪問,從而捕獲所有read()的數據。Sebek替換系統調用表的read()函數來實現這個功能,這個替換的新函數只是簡單的調用老read()函數,并且把內容拷貝到一個數據包緩存,然后加上一個頭,再把這個數據包發送到服務端。替換原來的函數就是改變系統調用表的函數指針。

本文通過配置參數決定了Sebek收集什么樣的信息,發送信息的目的地。以下就是一個linux配置文件的實例:

INTERFACE="eth0" //設定接口

DESTINATION_IP="172.17.1.2" //設定遠程服務器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設定遠程服務器MAC

SOURCE_PORT=1101 //設定源地址UDP端口

DESTINATION_PORT=1101 //設定目標地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網段有多個客戶端,則設定相同的數值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結束語

該文對醫院網絡安全的解決方案進行了較深入的研究,但該系統采用的技術也不能說是完善的,一方面因為它們也在不斷發展中,另一方面是因為設計者的水平有局限。比如醫院網絡的數據捕獲技術,它本身就是一個十分復雜的技術問題,解決的手段也是多樣的。

參考文獻:

篇6

今年2月份Aruba針對BYOD在中國的發展情況面向兩百多位來自各個行業的企業高管和IT負責人進行的一項調查顯示,目前在中國已經有78.9%的企業允許員工使用個人設備工作,這比亞太區整體還高出了8個百分點。但與此同時,BYOD也給企業帶來了更大的網絡技術挑戰,其中調查者普遍認為網絡安全和管理便捷是BYOD的兩大應用挑戰,分別占受訪者的58.2%和43.4%。

“BYOD對企業的IT部門來說是一把雙刃劍,”市場研究公司ZKResearch首席分析師Zeus Kerravala說:“一方面,讓員工使用自己的設備接入企業網絡能大大提高員工的工作效率;另一方面,對于IT部門來說,為這些設備配置網絡、確保安全并進行管理簡直是一場噩夢。而Aruba的ClearPass系列產品解決方案,不但能幫助IT部門卸下工作的重擔,同時還能讓企業從BYOD中獲得益處。”

之前業內的解決方案需要IT部門用昂貴卻無序的設備部署來替代大部分現有的網絡基礎架構。如果考慮到網絡基礎架構升級所帶來的成本,與缺少提供全面移動服務管理功能的“叉車式”解決方案相比,Aruba的ClearPass能為客戶節省高達76%的成本。

Aruba的ClearPass系列產品將網絡接入管理和設備的自動網絡配置結合在一起,能夠以不破壞任何現有網絡的方式進行覆蓋部署。不僅如此,ClearPass還能自動運行繁瑣的網絡政策管理并對設備運行狀況進行檢查,使IT部門以更低的成本和更簡易的方式接入和管理移動設備,同時還能增強網絡安全。

Maimonides醫療中心是位于紐約布魯克林區的一家優秀的治療機構和學術性醫療中心,它在 Aruba移動企業網絡(MOVE)架構的基礎上部署了接入網絡,使用超過300個Aruba接入點在整個中心實現了無線網絡覆蓋。Maimonides還使用Aruba的ClearPass用于訪客接入,中心的IT負責人都對此系列產品及其無接觸式移動設備配置、安全和管理功能充滿期待。

Maimonides醫療中心技術服務高級經理Gabriel Sandu表示,“配合ClearPass使用的Aruba移動企業網絡(MOVE)架構能根據我們的需要提供最佳解決方案,使用不同廠商的網絡,能讓我們未來的工作更為靈活?!?/p>

Aruba ClearPass結合高效率BYOD工作流程所有必需組成部分的解決方案,它對所有設備提供單一的管理平臺,且允許以下附加功能在同一平臺上實現:

(1)自動設備配置――自動進行虛擬專用網絡、電子郵件和網絡安全設置,推送企業應用并能根據需要撤銷設備接入權限。(2)自助移動設備網絡配置――能對設備提供802.1X網絡安全設置的自助配置云服務。(3)設備分析――精確的設備識別以確定安全需求并根據設備類型和持有者實施網絡政策。(4)設備風險管理――分析移動設備對網絡構成的風險,根據風險級別限制接入,修復設備的安全保護。(5)訪客接入――安全的訪客管理,包括完全自動的登記流程、詳細的報告和定向廣告投放。

Aruba首席策略官Keerti Melkote說道:“ClearPass與其他現有的解決方案最大的不同之處在于,它能跨越不同廠商的有線和無線網絡,在移動設備和個人電腦操作系統上運行。”

關于Aruba Networks

Aruba作為全球分布式企業網絡的領導者,屢獲殊榮的校園、分支機構/遠程工作人員產品組合與移動解決方案使用戶無論使用何種設備,身處何地或何種網絡,都能簡化運營并安全訪問所有公司應用和服務,顯著提高了效率并降低了資本和運營成本。

篇7

【關鍵詞】IP城域網 網絡安全 網絡安全防護

一、引言

由于技術和專業的限制,IP城域網建設初期網絡結構相對簡單,設備性能有限的,可提供用戶使用的業務類型較少。運營商長期處于鋪網、圈地的狀態,較少關注網絡安全性。

隨著寬帶提速、光網城市的推進,用戶規模越來越大,原有網絡結構、設備性能的一些弊端逐漸顯現出來,IP城域網網絡安全風險越來越大,網絡安全問題正逐步成為影響網絡正常運行、業務順利發展的重要因素。本文主要對IP城域網的網絡架構及網絡需求進行分析,并對網絡安全解決方案進行論述。

二、IP城域網網絡安全整體情況

IP城域網網絡分層結構現狀

IP城域網是在城域范圍內組建的,用于實現個人和企業用戶的語音、視頻、數據等多種業務接入、匯聚和轉發,可獨立進行管理的IP網絡平臺。包括城域骨干網、業務控制層和寬帶接入網兩部分。

城域骨干網:由城域核心路由器負責對業務控制層設備進行端口和流量匯聚,并作IP城域網到IP骨干網的流量轉發出口。

業務控制層由寬帶接入服務器(BRAS)與業務路由器(SR)兩種業務接入控制點組成,主要負責業務接入與控制。

寬帶接入網:是業務控制層以下,用戶家庭網關以上(不含CPE)的二層接入網絡。

三、IP城域網網絡安全需求分析

目前IP城域網主要以Intemet業務為主,需重點考慮以下方面:

(1)對外需加強黑客防御,對內提升安全控制;

(2)業務層、網絡層和用戶層安全并重;

(3)合理規劃網絡流量,保障網絡的可達性和可靠性;

(4)加強網絡身份認證、訪問授權;

(5)網絡按需隔離。

四、IP城域網網絡安全研究

IP城域網是城域業務接入和流量轉發的綜合數據網絡,不同的網絡結構和層次所面對的網絡安全問題將有所區別,為控制網絡中的安全風險,需要有針對性的采取不同的安全策略。

4.1 IP城域網核心層安全

由于核心層網絡承擔整個城域網出口流量匯聚和轉發,為保證其網絡安全性和可靠性,建議采用以下安全策略,包括:

采用路由和交換設備應保證全線速、無阻塞;

盡量采用加密方式實現設備或系統登錄,并強化登錄口令管理;

采用節點、機框、板卡和端口級冗余備份;

采用資源預留,分布式轉發等技術提高設備系統安全性;

對異常網絡流量進行實時監控,及時發現和解決問題。

4.2 IP城域網匯聚層安全

匯聚層業務控制點的安全性能主要體現在以下幾個方面:

根據用戶簽約帶寬配置線路速率,并通過限速和QoS等技術控制用戶合法帶寬;

對傳輸層和會話層的會話數和連接數進行總量限制,避免DoS/DDoS攻擊;

通過加強密碼、密鑰等方式提高網絡安全控制管理水平;

創建訪問控制列表(ACI),根據安全需求有選擇控制非法用戶訪問網絡安全服務;

通過syslog溯源系統強化安全日志管理。

4.3 IP城域網接入層安全

通過各種接入技術和傳輸資源實現網絡覆蓋,為用戶提供多種業務接入和流量控制。

通過用戶網絡隔離、用戶屬性(IP、MAC和設備端口等)精確綁定等手段防止用戶非法接入和惡意攻擊,提高網絡接入安全性;

在LAN接入,需要通過端口環路檢測避免二層環路的發生,避免廣播風暴對網絡的影響。

五、結語

目前,電信運營商IP城域網在網絡安全管理上還存在不足,網絡安全防御手段相對匱乏。對網絡安全的控制還集中在ACL、黑洞路由等傳統手段,未規模推進防火墻/IPS等專用第三方網絡安全設備與傳統的路由器/交換機進行聯動控制。且由于現有的檢測和控制方式相對分散,部分系統或設備必須由運維人員手工配置,難以在網絡安全受到威脅下,保證各系統和設備相互協調,迅速作出響應,以形成一個完整和有效的安全網絡。

篇8

關鍵詞信息安全;PKI;CA;VPN

1引言

隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進行說明。

2信息系統現狀2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。

圖1

2)應用系統

經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統現狀的分析,可得出如下結論:

(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:

(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。

已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:

(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:

身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。

數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程?;赑KI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:

(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。

(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。

篇9

11月6日,東軟集團在其2009解決方案論壇的信息安全分論壇上,宣布推出一款具有行業標桿意義的新產品NISG,全稱為新一代集成安全網關,在今年信息安全領域新品乏善可陳的時候,這一可謂意義重大。

市場對應用安全

需求巨大

東軟集團副總裁兼網絡安全產品營銷中心總經理賈彥生告訴記者,UTM在信息安全領域已經不是什么新鮮的概念,它包括防火墻、VPN網關、IPS、防病毒網關、防垃圾郵件網關、抗DDoS網關等各種功能,主要還是網絡層的安全,因此,UTM面臨著性能等多種瓶頸問題,導致發展極為不暢,經過市場的千錘百煉,才逐漸為人們接受。集成安全網關(ISG)與此類似,卻又不完全相同。ISG定位于應用層防護,并不是一味比拼性能、功能種類。

所謂應用層防護,就是針對Web服務、電子郵件、數據服務器、電子商務、VoIP和視頻會議的抗DDoS攻擊、P2P的監控、IM的監控、內容審計等應用層的防護,這是未來行業用戶網絡將面臨的主要問題。賈彥生介紹,面向應用安全的ISG,一定是未來信息安全領域的重點產品,因為,未來,人們賴以生存的網絡,將會從“路由器為核心”的轉發型網絡,向以“服務和數據為核心”的應用網絡轉變,因此未來網絡攻擊會有五個明顯的新特征:一是,傳統4層防火墻的普遍應用,使得攻擊技術會轉而面向傳統安全網關的盲區―應用安全,針對某些應用的專項攻擊、或者利用某些應用作為攻擊通道將會成為主流;其次,視頻、語音等大數據業務會決定網絡帶寬繼續擴大,對安全網關轉發性能的需求是持續的;第三,電子商務、網上銀行、投資理財、虛擬交易等應用會使網絡攻擊更加具有吸引力,攻擊頻率會加大,攻擊方式也會多樣化;第四,傳統局域網內網的擴大和復雜,使得網絡內部攻擊和泄密更加嚴重;第五,3G的普及指日可待,對應移動終端的網關安全問題也將爆發。這種情況下,需要有新的安全解決方案予以應對。

解決應用安全

需新技術

然而,應用防護最大的特點也是難點,是應用協議的多樣性和多變性,一款設備很難窮舉多種應用協議。東軟NISG則通過兩種方式解決了這一問題,一是采用NEL專利核心技術,可將引擎、協議分析和攻擊檢測數據快速融合,增加檢測技術的兼容性,檢測粒度也會非常精細,從而提高檢測的效率;其次是采用了三層交換技術,將二層交換和三層路由結合成為一個有機的整體,實現了“一次路由、后續二次轉發”的快速包轉發,并實現了VLAN與接口的密切耦合,使得VLAN、Trunk、Channel等技術能夠很方便地在防火墻上實施,減輕了管理員配置維護的工作負擔。

此外,用戶在應用中還會面臨一些新的獨立業務安全管理難題,需要依靠新的技術手段。例如,銀行、電信、電力等大型行業用戶的數據中心通常部署著數百臺服務器,分屬于不同的業務部門。在部署安全網關時,每個業務部門都會有一些個性化需求,隨著部門業務的調整,安全策略也要相應調整。因此,以前單一安全網關對整個內部服務器群進行防護,很難同時滿足不同業務部門的安全需求,并在部門安全策略的調整中增加了管理維護的復雜性和難度。如果為每個部門采購獨立的安全網關設備,又會帶來投資的增加和性能的浪費,這些部門的流量往往很小,發揮出的性能不到10%。

通過虛擬化技術就能很好地解決這一難題,東軟的虛擬集成安全網關技術就是將一臺物理上的NISG在邏輯上劃分成多臺虛擬的NISG,每個虛擬系統都可以被看成是一全獨立的NISG設備,針對不同的業務采用不同的安全策略。

最后,賈彥生介紹,東軟的NISG中的“N”,一般可以理解成“NEW”,意譯為新一代。但是在東軟的解釋中,“N”這個字母含義頗豐,“N”既是東軟NEUSOFT的開頭字母,也是安全子品牌NetEye的開頭字母,同時也包含了NEXT的含義,表示東軟集團對下一代集成安全網關寄予了厚望。

銳捷三道防線打造

立體防護體系

本報訊近日,銳捷網絡了一套GSN(Global Security Network)全局安全網絡解決方案,該方案構筑三道安全防線:用戶身份管理體系、端點安全防護體系和網絡通信防護體系,通過軟硬件的聯動、計算機層面與網絡層面的結合,從入網身份、客戶端PC、網絡通信等多個角度對網絡安全進行監控、檢測、防御和處理,確保行業網絡安全,尤其是金融網絡的安全。

用戶身份管理體系:眾所周知,在金融交易過程中,確保每個連入網絡中用戶身份的合法性是重中之中,因此,需要對每個入網用戶進行網絡準入權限控制,GSN采用了基于802.1X協議和Radius協議的身份驗證體系,通過嚴格的多元素綁定認證,如IP地址、MAC地址、硬盤ID、認證交換機IP地址、認證交換機端口號、用戶名、密碼、數字證書等,確保接入用戶身份的合法性。

端點安全管理體系:可通過管理入網的各個客戶端PC的方式,保護整個網絡安全。包括防止該客戶端非法外聯;可通過軟件黑白名單控制的方式,讓終端只能安裝或不允許安裝軟件,保證終端的干凈;可定期對操作系統打補丁,對軟件強制更新。

網絡通信防護體系:是前兩道防線的重要補充,通過可信任的ARP(Trusted ARP)專利技術,可徹底防止網絡中的ARP欺騙的發生,這是目前用戶非常頭疼、難以解決的安全問題;同時,可通過RG-SMP安全管理平臺、RG-IDS入侵檢測設備、安全智能交換機和Su客戶端的聯動,實現對網絡安全事件的檢測、分析、處理一條龍服務。

篇10

產品技術創新獎

唐桓科技一直秉承“自主可控,安全服務”的發展理念,立志成為全球領先的網絡和數據安全解決方案供應商,在“多系統身份認證”、“企業內外網安全防護”、“云計算安全解決方案”、“物聯網安全體系管理”、“安全子網控制管理”、“企業外發文件安全管理”等方面有成熟的技術產品和最佳應用實踐。

北京唐桓科技發展有限公司(簡稱“唐桓科技”)成立于2007年4月,在中關村科技園區內注冊,屬于國家級高新技術企業、雙軟企業。唐桓科技一直秉承“自主可控,安全服務”的發展理念,立志成為全球領先的網絡和數據安全解決方案供應商,在“多系統身份認證”、“企業內外網安全防護”、“云計算安全解決方案”、“物聯網安全體系管理”、“安全子網控制管理”、“企業外發文件安全管理”等方向有成熟的技術產品和最佳應用實踐。

作為行業安全解決方案提供商,唐桓科技在“銀行業安全體系解決方案”、“電子商務平臺安全解決方案”、“移動支付安全解決方案”、“工業控制系統安全解決方案”等方面有多年的研究和實施經驗。

身份認證系統

信息化時代到來,數字技術的廣泛應用在改變人們的生活、生產和學習方式的同時,也帶來了突出的安全問題。根據國家互聯網應急中心(CNCERT)近年的報告,信息安全熱點問題如下:一是由于社交網站、論壇等信息失竊導致的用戶身份被盜以及產生的其他負面影響;二是智能終端將成為黑客攻擊的重點目標;三是針對網上銀行、證券機構和第三方支付的網絡釣魚、網銀惡意程序和信息竊取攻擊將急劇增加;四是下一代互聯網的應用將帶來IPv6網絡安全、無線網安全和云計算系統及數據安全等方面的問題。另外,在3G網絡趨向成熟、移動互聯網業務得到廣泛普及的當前,越來越多的網絡和手機安全問題開始出現。據不完全統計,因為以上安全問題有過賬號或密碼被盜經歷的用戶達到1.21億,占總網民數的24.9%。

為了保護信息安全,先后出現了身份認證、授權控制、日志審計、防火墻、VPN等安全技術。其中身份認證是授權控制、日志審計等技術的基礎,如果用戶的身份能被非法假冒,那么用戶權限也就可能被非法使用,審計日志也失去了意義。因此身份認證是信息安全中最重要的環節。

目前,身份認證技術主要有靜態口令、動態口令、USBkey、智能卡(IC卡)、短信、數字證書、生物識別等。唐桓科技認為與動態口令相比較,傳統的靜態口令安全性差,非常容易受到各類盜號和釣魚網站的攻擊;數字證書安全性較強,但其投資較大,使用較復雜,管理費用較高,使用范圍受系統使用邏輯而受限;生物識別技術由于生物仿冒手段的提高,安全可靠性也正在逐步降低。

根據這些情況,唐桓科技開發研制了基于事件同步的動態口令雙向身份認證系統,該產品是具有自主知識產權的專利技術(專利申請號:200710195695.3),利用高強度加密算法、應用事件激發和同步機制,實現用戶端和服務器端的雙向身份認證。該技術能夠抵御現有的各種攻擊手段,并且兼容基于靜態口令認證的各種網絡應用系統,系統采用“一事一密”的設計理念,動態口令可以一次一變。與其他產品相比較,該產品使用簡單,管理方便,成本低,適用于所有基于軟硬件環境的信息化體系下需要身份認證安全保證的各類應用場景。

網絡信息安全綜合管理方案

針對內外網絡基礎設施的設備和資源,唐桓科技提供登錄賬戶的整體安全解決方案,保證用戶遠程接入、穿越防火墻、遠程VPN登錄、數據庫系統,以及網絡設備運維管理等多方面的統一身份管理和認證。以第三代動態口令技術為核心,集中管理網絡系統中的各種網絡設備和應用系統的登錄賬戶,從而確保整個網絡系統的賬戶登錄安全。

基于云計算的安全防護系統

針對人、機、物三元融合的協同計算環境,以云計算虛擬環境的安全性理論、模型和方法為理論基礎,唐桓科技基于云計算的安全防護系統包含安全地支持大規模用戶的安全可靠的通用身份認證的公共服務平臺、技術標準、應用示范。

該系統通過通用、實名、集中的電子身份信息管理,可實現獨立權威的網絡身份信息認證;通過數據加密、安全存儲,實現用戶個人信息資產的安全管理服務;通過虛擬社區安全子網,實現網絡環境資產的安全流轉與共享;通過個性化推薦服務,實現資源找人的主動服務模式。

在網絡生態環境中,該系統針對各種應用模式、各種終端類型、各種接入方式提供滿足各類安全等級需求的可信的身份認證公共服務平臺、技術及管理標準,實現實體的身份信息可在動態網絡環境中通用、鑒別、定位、監管,促進我國具有自主創新技術的網絡身份生態系統的規范化建設與產業化應用。

基于物聯網的安全支撐系統

物聯網的核心共性技術、網絡與信息安全技術以及關鍵應用是物聯網的主要研究內容。物聯網感知節點大都部署在無人監控環境,并且由于物聯網是在現有的網絡基礎上擴展了感知網絡和應用平臺,傳統網絡安全措施不足以提供可靠的安全保障。物聯網安全研究將主要集中在物聯網安全體系、物聯網個體隱私保護模式、終端安全功能、物聯網安全相關法律的制訂等方面。

唐桓科技提供的基于物聯網的安全支撐系統通過在感知物件接入網絡層提供物件身份認證和監測技術,確保數量龐大的智能物件的行為、來源、數據完整性能被相互實時認證鑒別和接受;在信息采集層,根據智能物件的處理能力、網絡狀態,可定制信息傳遞的安全協議、加密算法和個體隱私性保護策略;通過將智能物件、傳輸網絡、應用三者動態綁定,確保系統的實時可擴展性,同時滿足應用安全隔離需要;利用云計算、模糊識別等各種智能計算技術,確保對海量物聯網信息的安全存儲、分析和處理,對物體實施智能化的控制。從整體上,實現物聯網的各層網絡連接組成的異構、多級、分布式網絡的統一的安全體系的“橋接”和過渡,實現端和云協同計算的整體安全性。

移動互聯網終端安全