辦公室網絡安全解決方案范文
時間:2024-04-19 11:28:04
導語:如何才能寫好一篇辦公室網絡安全解決方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
當“整體化”成為大多數安全廠商宣傳中耳熟能詳的詞匯時,用戶在安全方案的選擇上,應該變得更加小心翼翼。因為現實的統計發現,很多用戶雖然信息安全的投入不斷增加,網絡安全系統也變得更加復雜,然而安全的風險狀況卻進一步惡化,安全事故依然層出不窮。
是什么讓很多廠商的整體安全方案變成紙上談兵的“屠龍之技”,在現實應用中屢屢受挫呢?
明確標準與要素
在賽門鐵克看來,廠商方案在現實中受挫的關鍵根源就在于,整體安全解決方案不僅是一種防護的概念,更要將其“凝固”到具體的產品細節之中,而在這一過程中,首先需要的就是一些可以隨時隨地衡量的“標準”與“要素”。
當然,這些標準并不是惟一的,它們是與IT解決方案有關的理想特征,但這些標準或要素與用戶企業最終承受的安全風險息息相關。具體而言,適當的解決方案首先應該具有較高的主動性,主動性體現了一個對策在未明確了解威脅類型的情況下阻止威脅的能力。
其次,整體化安全解決方案還必須重視的一點,就是應全面覆蓋計算環境(多層),而不是僅僅針對互聯網邊界。
多層是指解決方案在整個企業中全面防御攻擊的能力。除邊界之外,防御范圍最好包括整個內部網絡、與遠程辦公室的網絡連接、最終用戶的工作站以及重要服務器。要做到既能夠防御從內部發起的一定數量的威脅,又能夠防御以物理方式繞過邊界控制甚至突破邊界的那些威脅,這一點非常重要。另外,必須認識到僅應用一種方法無法確保萬無一失。每個位置在所處理的通信類型和數量方面都擁有自己的需要和環境,所以需要為其部署獨一無二的攻擊防御功能。
理想的整體化安全解決方案還應包括高效性、有效性、靈活性和可靠性。其中高效性是指易于部署和操作; 有效性是指能夠滿足阻止所有攻擊的需求; 靈活性是指能夠適應企業隨時間推移而提出的不斷變化的需求; 可靠性是指通過與長期提供成功安全解決方案的供應商合作而獲得的可靠性級別。
搭建整體化方案
對于不少用戶而言,建立一個“隨需應變”的整體化安全解決方案似乎無從入手,事實上卻并非如此。這個看起來無比復雜、難以駕馭的系統,同樣可以像“庖丁解牛”一樣,“以厚入間、游刃有余”。
以賽門鐵克推出的全面威脅管理產品為例。該系列產品包括一組互為補充的賽門鐵克安全產品,這些產品能夠提供極為全面且強大的威脅管理功能。全面威脅管理解決方案中包含的產品包括賽門鐵克的網絡安全解決方案、網關安全解決方案、關鍵系統防護解決方案、客戶端安全解決方案和Symantec DeepSight威脅管理系統。以上每款產品均具備一組獨特的市場功能,并在整體解決方案中各盡其職。
篇2
【關鍵詞】移動辦公 身份認證 SSL VPN 數字簽名 PKI/CA體系
1 引言
移動辦公作為傳統辦公系統的無線擴展,可以與現有的辦公系統無縫結合,使外出辦公人員無論身處何地都如同在自己的辦公室一樣,可以高效率地開展工作。智能終端所擁有的運算能力,可以支持郵件收發、公文審批及個人事務處理等各種內部辦公應用。隨著全球經濟一體化的發展,移動辦公已成為現代企業信息化的重要標志,是繼無紙化辦公之后企業信息化的第二次浪潮。隨著無線應用的發展,各種安全威脅也接踵而至。如何讓人們在享受移動辦公帶來的方便快捷的同時,有效地應對各種安全威脅,正是大家所關心的話題。本文從安全可信的角度介紹一種移動辦公的安全解決方案,以供企業在部署移動辦公應用時進行參考。
2 移動辦公面臨的安全威脅
從互聯網的誕生開始,網絡安全威脅就應運而生;隨著互聯網的發展,網絡安全威脅也在發展升級。移動辦公作為一個非常成熟的互聯網應用,同樣面臨著各類網絡安全威脅,移動辦公的安全威脅潛伏在業務的身份認證、數據安全、數據完整性和事后追蹤等各個環節。
2.1 移動辦公的身份認證
早期的網絡身份認證采用靜態的用戶名/口令的方式進行,這種方式簡單易行,安全強度不高,易被破解或截獲。手機普及以后,在靜態用戶名/密碼的基礎上增加了手機號碼、手機IMEI號、用戶名/密碼的組合認證方式。這種組合方式的安全強度有所提高,但在用戶更換手機或手機號碼時需要重新進行綁定,使用不太方便;而且SIM卡、手機號碼、手機IMEI號也可以克隆仿制,可破解,手機丟失后易造成身份泄露。于是又出現了短信動態密碼的身份認證方式,和將短信動態密碼與靜態用戶名/口令組合成雙因素的身份認證方式。這種方式雖然解決了更換手機重新綁定的麻煩,但仍然沒有解決SIM卡克隆和手機丟失后易造成身份泄露的問題,同時帶來了因短信攔截而導致泄密和網絡質量不高或國際漫游時無法及時接收短信的問題。
2.2 移動辦公的數據安全
移動辦公系統的數據傳輸過程包括無線傳輸和有線傳輸兩個部分,無傳輸部分采用現有的GSM、CDMA或3G網絡,空口部分有加密標準和規范,但由于SIM卡、手機號碼、手機IMEI號可能被克隆,所以空口加密也存在數據被解密的安全隱患;有線傳輸部分,一般的網絡協議均為明文協議,不提供任何保密功能,因此敏感信息很有可能在傳輸過程中被非法竊取而造成泄密。目前常見的APN組網方式,解決了手機移動終端到互聯網入口之間的認證和加密,但在互聯網中的數據仍以明文方式傳輸。
2.3 移動辦公的數據完整性
辦公信息在傳輸過程中有可能因攻擊者通過攔截、轉發等手段惡意篡改,導致信息發送與接收的不一致性。目前有些應用系統中雖然通過數據摘要方式防止信息發送和接收不一致,但由于此類解決方案中未采用數字簽名技術,若惡意篡改者將發送方的原文和數據摘要同時替換掉,那么接收方會誤認為信息未被篡改。
2.4 移動辦公責任的事后追蹤
傳統方式下,事故或糾紛可以通過蓋章或簽名來實現責任認定。而在電子化的網絡環境中,對于數據處理時的意外差錯或欺詐行為,如果沒有相應的取證措施,則當事各方可以隨便否認各自的行為,避免承擔相應的責任。目前普遍通過用戶名/口令、手機號碼、手機IEMI號、IP地址等確認用戶行為,這些信息易被篡改、復制,并且都不是實名信息,沒有簽名機制,無法追查到人,不受法律保護。
由此看出,在移動辦公應用中缺少完整的安全解決方案,更重要的是無法解決事后追溯,一旦出現安全泄密等重大安全事件,無法做到責任認定,更得不到國家法律保護。
3 安全可信的移動辦公解決方案
通過上述的分析可知,目前的移動辦公安全威脅無處不在,但還沒有完整的解決方案,以下介紹一個安全可信的移動辦公整體解決方案。所謂“安全”,是指通過互聯網訪問內部的OA辦公系統、其他業務系統以及內部核心信息資源時,采取適當的信息安全策略,在為合法的訪問提供方便的同時,又能嚴格防止企業信息資源被非法竊取。所謂“可信”,就是對每個用戶操作行為都能做到事后追蹤,根據國家相關的法律,依法防止抵賴行為的發生。
如圖1所示,通過在企業側部署SSL VPN網關保證內網接入通道的安全,并通過第三方CA認證中心給SSL VPN網關、各種終端用戶簽發數字證書;另外采用USBKey、SDKey、PKI SIM卡硬件方式保存用戶密鑰和數字證書,確保了移動辦公中所遇到的身份認證、傳輸保密、信息完整性、防篡改等安全問題得以解決;并且用戶的各種操作行為都有數字簽名,具備法律效力,可以做到防止冒名頂替,對各種公文處理、合同審批等行為做到不可否認。這些信息安全方面的顯著特點通過以下技術手段實現:
(1)通過硬件保證密鑰安全來實現身份認證
在移動辦公方案中,使用數字證書作為用戶身份的惟一標識。數字證書是互聯網應用中標識用戶真實身份的電子文件,與用戶公私鑰對綁定,確保了每對公私鑰都會和惟一的自然人個體或單位存在一一對應的關系,從而保證了用戶身份的真實性和惟一性。
在移動辦公業務中,使用USBKey、SDKey、PKI SIM卡等硬件介質終端保存用戶私鑰,保證私鑰不可導出,無法克隆。移動OA等應用系統在調用私鑰進行數字簽名時,都需要用戶輸入密鑰保護口令,才能執行簽名操作,這樣就確保了私鑰的安全性,從而保證了移動辦公業務中用戶身份認證的可靠性。
(2)基于SSL VPN的通道加密機制
SSL VPN技術保證了移動終端至企業內網之間網絡傳輸通道的數據安全。SSL VPN技術采用SSL協議,同時用到了非對稱加密技術和對稱加密技術,充分利用了兩種加密技術的優點。移動終端與SSL VPN網關之間通過密鑰協商生成會話密鑰(對稱密鑰)后,將建立數據加密通道,并且這種技術實現的是端到端的加密,同時解決了無線和有線傳輸通道的數據安全問題。SSL VPN網關部署快速,并且不需要調整企業現有網絡結構,實施成本較低。可見SSL VPN是實現遠程用戶訪問公司敏感數據既簡單又安全的解決辦法。
(3)數字簽名技術確保數據完整性
數字簽名是一種確保數據完整性和原始性的方法。發送方對數據進行數字摘要并用自己的私鑰對摘要信息進行加密生成簽名信息,然后將數據的簽名信息、數據原文以及發送方公鑰同時傳送給接收方,接收方即可驗證數據原文是否缺失或被篡改。數字簽名可以提供有力的證據,表明數據自從被移動終端簽名以來未發生變化。可見,數字簽名技術解決了數據完整性的問題。
(4)PKI/CA體系保證用戶行為不可否認
在移動應用中,保證用戶身份認證、數據安全傳輸和數據完整性的同時,還需要解決用戶行為不可否認的問題。從技術角度,數字簽名技術保證移動用戶操作行為的不可否認;從管理角度,基于PKI和第三方CA中心的管理體系可以很好地解決這方面的問題。而且,2005年4月1日實施的《電子簽名法》,確定了電子簽名的合法地位,使數字簽名真正具備了法律效力,為移動辦公業務中產生的法律糾紛提供了有效的法律依據。
4 結束語
上述方案從技術、管理、法律等多個層面解決了當前移動辦公業務中所遇到的各種安全問題,是一個比較完整的移動辦公安全解決方案。該方案滿足了用戶迫切的移動辦公需求,又解決了傳統業務模式所面臨的信息安全和責任認定問題,為移動行業應用的推廣和普及提供了安全保障,增強了電信運營商拓展行業客戶市場的競爭力。
參考文獻
[1]唐雄燕,侯玉華,潘海鵬,編. 第3代移動通信業務及其技術實現[M]. 北京: 電子工業出版社,2008.
[2](美)Rudolf Tanner, Jason Woodard,編. 葉銀法,王月珍,陸健賢,等譯. WCDMA原理與開發設計[M]. 北京: 機械工業出版社,2007.
[3](美)Andrew Nash, William Duane, Celia Joseph, et al. 張玉清,陳建奇,楊波,等譯. 公鑰基礎設施(PKI):實現和管理電子安全[M]. 北京: 清華大學出版社,2002.
[4]張炯明,編. 安全電子商務實用技術[M]. 北京: 清華大學出版社,2002.
[5]楊義先,鈕心忻,編. 應用密碼學[M]. 北京: 北京郵電大學出版社,2005.
[6]中華人民共和國電子簽名法[S]. 2005.
【作者簡介】
篇3
論文摘要:隨著高校信息化建設水平的不斷提高,無線網絡逐漸成為校園網解決方案的一個重要組成部分。該文對校園無線網接入進行研究,并對校園無線網絡的安全進行了分析,最后給出了一種適合校園網無線網絡的安全解決方案。
1引言
在過去的很多年,計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在實施過程中工程量大,破壞性強,網中的各節點移動性不強。為了解決這些問題,無線網絡作為有線網絡的補充和擴展,逐漸得到的普及和發展。
在校園內,教師與學生的流動性很強,很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性,使有線網絡無法靈活滿足他們對網絡的需求,造成網絡互聯和Intemet接入瓶頸。
將無線網絡的技術引入校園網,在某些場所,如網絡教室,會議室,報告廳、圖書館等區域,可以率先覆蓋無線網絡,讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴大,最后做到全校無線的覆蓋。
2校園網無線網絡安全現狀
在無線網絡技術成熟的今天,無線網絡解決方案能夠很好滿足校園網的種種特殊的要求,并且擁有傳統網絡所不能比擬的易擴容性和自由移動性,它已經逐漸成為一種潮流,成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成,在學校的教室、辦公室、會議室、甚至是校園草坪上,都有不少的教師和學生手持筆記本電腦通過無線上網,這都源于無線局域網拓展了現有的有線網絡的覆蓋范圍,使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時,無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種:①基于MAC地址的認證。基于MAC地址的認證就是MAC地址過濾,每一個無線接入點可以使用MAC地址列表來限制網絡中的用戶訪問。實施MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網絡。②共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網絡的訪問權。③802.1x認證。802.1x協議稱為基于端口的訪問控制協議,它是個二層協議,需要通過802.1x客戶端軟件發起請求,通過認證后打開邏輯端口,然后發起DHCP請求獲得IP以及獲得對網絡的訪問。
可以說,校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認證或共享密鑰認證也沒有設置,更不用說像802.1x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網絡,進而進入校園網,就會對我們的校園網絡構成威脅。
3校園網無線網絡安全解決方案
校園網內無線網絡建成后,怎樣才能有效地保障無線網絡的安全?前面提到的基于MAC地址的認證存在兩個問題,一是數據管理的問題,要維護MAC數據庫,二是MAC可嗅探,也可修改;如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰;802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經有了很大的改善,IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協議提供了本地支持。在大多數情況下,選擇無線客戶端身份驗證的依據是基于密碼憑據驗證,或基于證書驗證。建議在執行基于證書的客戶端身份驗證時使用EAP-TLS;在執行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協議版本2(MSCHAPv2),該協議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協議中,也稱作PEAP-EAP-MSCHAPv2。
考慮到校園群體的特殊性,為了保障校園無線網絡的安全,可對不同的群體采取不同的認證方法。在校園網內,主要分成兩類不同的用戶,一類是校內用戶,一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要,他們要求能夠隨時接入無線網絡,訪問校園網內資源以及訪問Internet。這些用戶的數據,如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶,可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關網站和收發郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網絡。
如圖所示,開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站,用戶只能訪問該網站中提供的服務,無法訪問校園網內部的其他受限資源,比如學校公共數據庫、圖書館期刊全文數據庫等。如果要訪問校園網以外的資源,必須通過強制Portal認證.認證通過就可以訪問Intemet。對于校內用戶,先由無線用戶終端發起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證,既可以防止非法用戶使用網絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數據的安全傳輸。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過SSL加密,但傳輸的數據沒有任何加密,任何人都可以監聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網內部資料,從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全,安全性要求比較高。802.1x認證方式安裝設置比較麻煩,設置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對校內用戶可使用802.1x認證方式,以保障傳輸數據的安全。
4結束語
校園網各區域分別覆蓋無線局域網絡以后,用戶只需簡單的設置就可以連接到校園網,從而實現上網功能。特別是隨著迅馳技術的發展,將進一步促進校園網內無線網絡的建設。現在,不少高校都已經實現了整個校園的無線覆蓋。但在建設無線網絡的同時,由于對無線網絡的安全不夠重視,對校園網無線網絡的安全考慮不夠。在這點上,學校信息化辦公室和網管中心應該牽頭,做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性。
參考文獻:
篇4
網絡不僅是一種高深的科技,而且成為人們必不可少的工具。企業上網大大提高了企業運作效益,降低了企業成本。應該看到,企業在經營發展過程中,除了內部的運轉管理外,還有大量的外部業務活動,包括與合作伙伴,上、下游企業,客戶甚至競爭對手的各式各樣的業務往來。過去這些業務活動多半是通過電話、傳真、信件等傳統通信方式輔助進行,而在因特網出現后的今天,這些業務活動幾乎無一例外地正在轉移到因特網上,并且這種轉變的速度和程度都是非常驚人的。也就是說,過去傳統意義上的企業內外部經營活動包括業務信息溝通,訂貨訂單處理,庫存物流管理,客戶服務,批發或零售等等已經全部可以在因特網上實現了。所有這些應用都可以稱之為企業上網,又被業界稱為電子商務應用,它被認為是21世紀企業的必由之路。
二、行業分析
(一)企業上網的緊迫性
對于中國的企業來說,企業網的來臨可謂恰逢其時。隨著中國向混合市場經濟的加速發展,中國各行各業的公司企業都在積極準備迎接國內外市場中日益激烈的競爭形勢。這些公司深知:如果想在這個白熱化的市場競爭中獲得成功,就必須最大限度地提高企業生產力和降低生產成本。因此,各大企業都迫切需要建立自己的信息技術基礎設施,以便將分散在各地的業務部門聯系在一起并加快整個企業內部的信息交流和服務速度,從而加強自己在市場中的競爭優勢。
(二)、企業上網的需求
企業網絡信息系統建設應該以用戶的需求為著眼點。目前,隨著網絡技術的飛速發展和應用水平的逐步提高,企業用戶的需求,主要體現為:
(1)先進性,要求網絡采用先進的技術,以保證整個企業網絡系統在技術上的先進性;
(2)穩定性與可靠性,要求網絡高度穩定、可靠,這是網絡建設成功的關鍵,而高度穩定、可靠的網絡系統有利于維護和管理,可減少網絡系統的擁有成本;
(3)高性能,要求網絡系統具有高性能,以滿足計算機網絡系統運行大量關鍵業務(如項目設計、項目管理、CAD、OA、MIS、ERP及多媒體應用等)的需要;
(4)vlan劃分的靈活性,因為網絡系統站點數和運行的應用都在增多,所以要求網絡平臺具有靈活的虛網(VLAN)劃分能力;
(5)由于網絡系統可能要傳輸多媒體信息,因此要求網絡平臺具有良好的服務質量和較小的延遲;
(6)要求網絡平臺具有良好的易管理性,減少運行、維護及管理成本;
(7)要求選擇具有良好發展前景的網絡廠商的產品,這樣才能保證平臺具有良好的售后服務、投資保護,更為關鍵的是能夠保證網絡系統持久的先進性。
三、企業網絡主干技術選擇:
企業局域網絡技術的選擇主要是主干技術的選擇,現今適合作局域網絡主干技術的主要有千兆以太網及ATM兩種。
千兆以太網是網絡界公認的技術發展方向之一,它是對成功的10M和100MIEEE802.3以太網標準的擴展,仍然沿用以太網IEEE802.3幀格式,全雙工操作和流控制方法。在半雙工模式下,千兆以太網使用同樣的CSMA/CD訪問方法來解決媒體的通信競爭問題,并使用由IEEE802.3小組定義的同樣的管理對象。概括起來,千兆以太網的優點在于:網絡技術可靠,易于管理,具有可伸縮性,且它相對于ATM的價格水平要低得多;缺點為部分標準不統一。
ATM規定各種類型的服務(聲音、圖像、數據)信息都由大小固定的53字節的信元進行傳輸。ATM優點為:支持線路交換和分組交換;對廣域網和局域網采用相同的技術;在普通線路上同時傳輸視頻、語音和數據;對多種業務可保證服務質量,按需分配帶寬。缺點為:管理和維護復雜;基于ATM的應用較少;ATM產品相對于以太網產品價格昂貴;部分標準不統一。
千兆以太網能與桌面的以太網和快速以太網無縫銜接,因為他們采用的協議是相同的。ATM網絡與以太網共存時,需在幀和信元之間進行轉換。在企業園區網,90%的應用都是基于以太網或快速以太網的,千兆以太網以其從以太網及快速以太網升級方便、易管理和低廉的價格使ATM舉步維艱,ATM的傳統優勢如傳輸多媒體和傳輸的距離長也日漸遜色。千兆以太網支持資源預留協議(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、獨立組播路由協議(PIM)、國際互聯網成組管理協議(IGMP)等,這就使得千兆以太網傳輸多媒體成為可能,已有廠家的千兆以太網產品傳輸距離超過100公里。因此建議,企業園區網在主要傳輸數據的情況下,應選擇千兆以太網作主干技術。
四、企業網絡構架的基本方案
企業網中大部分是中小企業,中小型企業最大的特點是小規模與高效率的結合。他們往往不擁有完備的信息技術部門,但是網絡應用對他們同樣關鍵。因此,中小企業需要量身定做的解決方案。面對這一情況,上海廣電應確信公司針對不同規模企業,推出了一系列解決方案,以幫助中小企業提升其競爭力。
4.1基本網絡方案簡述
根據企業網站可提供的內容和它的實際應用情況,企業上網可分為兩部分,一部分是實現各企業部門內部辦公功能的內部網,即Intranet。另一部分是各企業部門網站在Internet上信息與交流的外部網。
一旦企業建立了Intranet,就可用它來信息、增強企業的通信能力、建立合作的環境。有些應用很簡單,只是用HTML語言建立內部的環球網服務器信息;有些應用較復雜,需要連接數據庫。下面列出一些Intranet的應用: 銷售報告、財務報告、客戶信息、季度統計、廠商信息、產品信息、市場信息小冊子、產品開發信息、物資和元部件目錄、倉庫信息、網絡管理、資產管理、新聞組、電子郵件、培訓。
4.2具體方案實施:
按照網絡的規模可具體劃分為以下幾個方案:
(1)小型企業信息系統方案:通常指在20-30個工作站以內的小型辦公室(辦公環境較集中)網絡環境的方案。
(2)中型企業信息系統方案:即指在30個工作站以上的中型辦公園區(辦公環境較分散,距離教遠)網絡環境的方案。
(3)大型企業信息系統方案:即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境的方案。
4.2.1小型企業信息系統方案
小企業辦公室網絡,相對于大、中型企業網絡,可以說是麻雀雖小,五臟俱全,同樣有著文件共享、打印共享、電子郵件、財務管理、庫房管理、Web等大型網絡所具有的需求。
由于小型企業網絡站點數較少,而且聯網的站點較集中(例如,在一幢樓內)。因此,結構化布線時就可以只采用雙絞線就足夠了,每個站點(計算機)與集線器或交換機之間的距離不能超過100米。
方案說明
網絡配置:中心選用InfiniteSwitch5024機架型快速以太網交換機(24口10/100M自適應以太網交換機),采用10/100M自適應端口連接服務器及工作站。針對小型企業用戶我們推出桌面型硬件安全設備I1102,嵌入式的硬件安全架構,使其性價比很高。簡單配置的防火墻安全規則,方便客戶應用。同時可以作為DHCP服務器,具有本地路由器功能,支持以太網方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的實現共享上網。
方案特點:
(1) 性價比高;在方案中,沒有使用很多高端的設備,但已經完全可以滿足小型企業網絡的需求。
(2)功能齊全;提供了文件共享、打印共享、電子郵件、電子公告、庫房管理、遠程辦公、工資管理、財務分析、采購管理、資金管理、庫存管理、銷售管理等較齊全的功能,很適合于小型企業網絡環境。
(3)安全性高;采用InfiniteSwitch5024智能以太網交換機交換機,可以將單一的局域網劃分為多個相對獨立、互不干擾的VLAN(虛擬子網),可以方便地控制不同部門對某些資源的訪問權限,并能夠縮小廣播域,減少不必要的帶寬占用,有效提高網絡的安全性和性能。I1102通過IP過濾提供防火墻功能。可以對IP地址、端口號、協議種類等進行設置并加以控制。
5.2.2中型企業信息系統方案
由于中型企業辦公環境較分散,距離教遠,對網絡的性能要求較高(數據交換的安全性,設備運行的可靠性,網絡管理的全面性),對網絡的速度亦有提高。同時,每個網段最長只能100米的有效距離的雙絞線傳輸介質已經不能滿足中型企業網絡的使用需求,有時必須使用多模光纖或單模光纖做為布線時所采用的傳輸線纜,使得有效傳輸距離能夠延伸至2公里(多模光纖)或更遠(單模光纖)。
方案說明
中心選用InfiniteSwitch5000系列交換機,根據用戶數量及功能要求選用IS5048/5024/5024s .為了保護企業內部網絡的安全,在接入Internet時采用上海廣電應確信的防火墻I91XX,可以防止來自外部的非法的、惡意的攻擊。
由于中型企業辦公環境較分散,距離教遠,則在中心交換機上配置100Base-FX或1000Base-LX/SX光纖模塊.企業內部采用SVAI91XX通過DDN、FrameRlay、X.25等廣域網專線接入Internet,提供安全、快捷、簡便的企業外部網站方案。I91XX適用于中小型企業用戶,利用CheckPoint軟件及其OEC合作伙伴構成頂級配置,為用戶提供一個完整的網絡安全解決方案。
應用二:
方案說明
對于一個中型企業,如果公司內部有較多的部門,位置比較分散,而且相互之間要獨立的工作,對于用戶的訪問權限可以限制(如要求劃分vlan),所有的部門通過公司的網絡中心的一臺三層交換機來接入internet,采用SVAHammerHead9300/9500/9800來對進行對網絡的安全進行保護。對于一些移動用戶可以采用無線接入設備(2020/1011/1001)來連入企業內部網及上INTERNET.
在公司的各個部門中采用的交換機均支持vlan的劃分,根據每個部門的規劃及距離網絡中心的遠近采用100MUTP或者100/1000M光纖接入。隨著員工數的增多,可以利用5024S/5024S 堆疊來擴展網絡,5024S/5024S 最多分別可堆疊至4臺/16臺,因此網絡有很好的擴展性及可管理性。
接入internet可以采用多種方式,通過TN/ISDN/DDN線路等多種方式,用戶可能根據需要來實現企業網接入公用網。
中型企業方案特點:
(1)較充分發揮了Internet/Intranet應用的特性
除了傳統的文件共享、打印共享等功能外,電子郵件、Web、電子公告、庫房管理、遠程辦公等功能都是基于Internet/Intranet應用實現的。使得整個網絡系統充分發揮了Internet/Intranet應用的跨平臺、與硬件無關、標準統一等特點,使得中小型企業可以與外界透明地通訊。
(2)維護小、投入少
中型企業網絡系統使用了較少的高端產品,投入少而功能齊。由于使用了Internet/Intranet結構構造中小辦公室網絡系統,使得網絡結構更加Client/Server化,作為網絡的管理維護,只需對Server端進行維護工作,對Client的維護工作大大減少,所以總體上也就大大減少了維護工作量,并節省了投資。
(4)提高工作效率、節省開支。
在此方案中,提供了電子郵件、電子公告、Web等實用、快捷的功能,大大提高了企業的辦公效率。同時提供了網絡內用戶對Internet的透明訪問,使企業內部可以充分利用Internet這個巨大的信息資源,更加提高了企業的辦公效率和資源利用。
5.2.3大型企業信息系統方案
大型企業辦公環境即指在超過幾百個工作站以上的大型辦公園區并有外地分支機構網絡環境。對網絡的性能要求很高,同時對網絡的速 度亦有很高的要求。大型企業網支持各種網絡功能,能夠通過廣域網接口實現Internet接入,建立企業主頁,為園區用戶提供E-mail電子郵件、WWW、FTP服務,同時支持網絡管理和電子信息的存儲、訪問管理。推薦采用局域網專線接入方式,此方式需要配備接入路由器,防火墻等網絡設備,租用電信部門的專線并向CERNET管理部門申請IP地址及注冊域名。接入路由器可以通過DDN專線、FrameRelay等與Internet相連。還可以按照需要組合配置多種WAN廣域網端口模塊,提供寬帶、QoS保證的遠程多媒體服務。為了保證企業網的安全,方案中提供SVAHammerHead9000安全平臺,SVAHammerHead9000系列是業界唯一模塊化網絡安全平臺和應用系統,在單一的設備上集成了路由、防火墻、入侵檢測、V、LAN連接和其他安全應用,為用戶提供可擴容及可靠的網絡安全整體解決方案。
在布線上,除了采用多模或單模光纖之外,甚至還需要從電信部門租用DDN、幀中繼、X.25、ISDN等專線,或者利用無線微波方式進行遠距離連接。
方案說明
在網絡中心選擇上海廣電應確信的InfiniteSwitch7508三層交換機和5024交換機。在各分部門或者分公司根據信息點數選擇InfiniteSwitch4000/5000系列交換機。
在網絡中心的核心層配置的InfiniteSwitch7508G第三層交換機,可完成高帶寬、大容量網絡層路由交換功能交換,是一種功能強大的企業網主干交換機,使網絡管理者能方便的監督和管理網絡,同時,又能將主干網帶寬提升到千兆速度,InfiniteSwitch7000/7500系列是可網管的,高端口密度,配置靈活的高性能路由交換機。提供7個擴展插槽,22G交換背板上。網絡管理員能夠隨時通過任意一個端口配置以上功能,以消除傳統路由器的瓶頸,設置優先級給不同類型的網絡傳輸及保證某些應用的流量帶寬,如視頻傳輸。
InfiniteSwitch7508G提供了廣泛的管理選擇,包括HPOpenView和其他的MP管理系統,或者InfiniteSwitch7508G自己提供的網絡管理系統。InfiniteSwitch7508G提供到與InfiniteSwitch4000/5000系列以太網交換機、防火墻和服務器群(其中包括主域服務器、備份域服務器、文件服務器、數據庫服務器、應用服務器、WWW服務器等)、網管終端的高速連接,重要的服務器及主干鏈路均可采用千兆模塊進行生成樹(aingTree)冗余鏈路連接。
接入層交換機,在本方案設計中,為了保證網絡的高性能,可采用InfiniteSwitch 4000/5000系列智能以太網交換機,根據具體實際需求,接入層交換機可選用InfiniteSwitch4024/4032/5024/5024s/5048交換機。
在方案中的防火墻,選用SVAHammerHead9300.HammerHead9300是3插槽機箱式的安全平臺,用戶可以根據需求選擇服務器、交換機、路由器等模塊。SVAHammerHead9000的多種應用模塊能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系統,它能為用戶提供防火墻保護、入侵偵測、身份認證、安全報告、內容安全、高可靠性。SVAHammerHead9000的有多種網絡模塊,它可支持多種的LAN/WAN互連,包括:Frame、ISDN、ATM、以太網。實現完整的一體化的網絡安全解決方案。
方案特點:
1、高性能;網絡中采用了第三層交換機,第三層交換不僅擁有高速的交換功能,同時也具有全部的第三層控制功能,可以對流量基于IP地址、IP的協議類型、以及TCP/UDP的端口進行交換控制,從而在提高網絡處理效率的同時,保障了VLAN之間通訊的安全性。
2、可擴展性;網絡設計具有層次結構,用戶能靈活地接入到相應的層次當中。可擴展的網絡接口。
3、靈活性;適當的建立VLAN,方便地理位置不同的用戶的網絡連接.
4、安全性;VLAN的建立,可以控制廣播和應用的信息流動,從而防止用戶非法在網絡上截獲其它用戶或它們的資源。HammerHead9000網絡安全產品保護企業內部資源,防止外部入侵,控制和監督外部用戶對企業內部網的訪問;控制、監督和管理企業內部對外部Internet的訪問。
5、層次化、模塊化;本網絡設計的特點為層次化、模塊化設計。
6、優良的性價比
六、總結
篇5
關鍵詞:網絡信息安全;等級保護
中圖分類號:TP311 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
隨著科學技術和邊防部隊勤務工作的深入發展,信息化建設已成為提高邊防執法水平的有力途徑,全國邊防部隊近年來已基本實現信息資源網絡化。但是,緊隨信息化發展而來的網絡安全問題日漸凸出,給邊防部隊管理工作帶來了新的挑戰,筆者結合邊防部隊當前網絡安全工作實際,就如何構建全方位的網絡安全管理體系略陳管見。
一、影響邊防部隊信息網絡安全的主要因素分析
(一)物理層的安全問題。構成網絡的一些計算機設備主要包括各種服務器、計算機、路由器、交換機、集線器等硬件實體和通信鏈路,這些設備分向在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起網絡的癱瘓。物理安全是制定區域網安全解決方案時首先應考慮的問題。
(二)計算機病毒或木馬的危害。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響網絡安全的豐要因素。新型的木馬和病毒的界限越來越模糊,木馬往往借助病毒強大的繁殖功能使其傳播更加廣泛。
(三)黑客的威脅和攻擊。現在各類打著安全培訓旗號的黑客網站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來越容易,攻擊者的年齡也呈現低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統溢出、端口監聽、端口掃描、密碼破解、腳本滲透等。
二、邊防部隊信息網絡安全的特征分析
(一)網絡安全管理范圍不斷擴大。從工作點來看,網絡覆蓋范圍已從機關直接深入到基層一線,從機關辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網絡接入點的地方,無論是物理線路還是無線上網點都必須進行網絡安全管理,點多線長,情況復雜;從工作環節來看,從設備的選購、網絡的組建、專線的租用到日常網絡應用,從設備維護保養、設備出入庫到送修和報廢,無一不涉及到網絡信息安全,網絡安全已滲透到工作的每一個環節。如:某單位被通報發現違規事件,經調查,結果是有人將手機接上公安網計算機充電,而該手機正在無線上網。
(二)安全管理對象類型復雜多樣。目前,公安信息網、互聯網、業務專網、機要專網在日常工作中頻繁使用,成為管理的難點。同時,公安網上各類使用中的網絡安全管理軟件系統應用有待深化,一些網絡管理軟件使用功能僅停留在表層,未能成為得力工具。
(三)網絡安全問題不斷翻新。目前互聯網、公安網、業務網、網四種網絡必須物理隔離,禁止交叉使用移動存儲介質,但四種網絡的信息資源在一定范圍內卻必須共享交流。曾經出現過這種情況,某單位人員在互聯網上建立論壇,發表不健康言論,觸犯邊防部隊管理條例。究其原因,是因為我們的網絡安全工作一直以來是局限在公安網內部,尚未隨著網絡應用發展趨勢擴展到互聯網的管理上。
三、邊防部隊信息網絡安全的技術分析
網絡安全產品的自身安全的防護技術網絡安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網絡而且一旦被入侵,反而會變為入侵者進一步入侵的平臺。
(一)虛擬網技術。虛擬網技術主要基于近年發展的局域網交換技術(ATM和以太網交換)。交換技術將傳統的基于廣播的局域網技術發展為面向連接的技術。因此,網管系統有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。
(二)防火墻技術。網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。雖然防火墻是保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。
(三)病毒防護技術。病毒歷來是信息系統安全的主要問題之一。由于網絡的廣泛互聯,病毒的傳播途徑和速度大大加快。在防火墻、服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件。
(四)入侵檢測技術。利用防火墻技術,經過仔細的配置,通常能夠在內外網之間提供安全的網絡保護,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠。需要監視的服務器上安裝監視模塊(agent),分別向管理服務器報告及上傳證據,提供跨平臺的入侵監視解決方案;在需要監視的網絡路徑上,放置監視模塊(sensor),分別向管理服務器報告及上傳證據,提供跨網絡的入侵監視解決方案。
四、邊防部隊信息網絡安全管理體系的對策
網絡安全是一個范圍相對較大的概念,根據具體的實際情況組成不同安全管控層次或等級的網絡系統,既是網絡實際發展應用的趨勢,更是網絡現實應用的一種必然。
(一)提高多層次的技術防范措施。按照網絡實際應用中出現故障的原因和現象,參考網絡的結構層次,我們可以把網絡安全工作的對象分為物理層安全、系統層安全、網絡層安全和應用層安全,不同層次反映不同的安全問題,采取不同的防范重點:一是確保物理環境的安全性。包括通信線路的安全、物理設備的安全、機房的安全等。在內網、外網共存的環境中,可以使用不同顏色的網線、網口標記、網口吊牌來標記區分不同的網絡,如灰色的公安網專用,紅色的互聯網專用,黃色的網專用。二是確保軟硬件設備安全性。必須預備一定的備用設備,并定期備份重要網絡設備設置。對待報廢的各類存儲類配件,一定要進行消磁處理,確保信息安全。三是提供良好的設備運行環境機房要有嚴格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨的電源供電系統;安裝有計算機的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計算機工作要求。四是完善操作系統的安全性必須設置系統自動升級系統補丁。五是加強密碼的管理。存取網絡上的任何數據皆須通過密碼登錄。同時設制復雜的計算機開機密碼、系統密碼和屏保密碼。
(二)建立嚴格的網絡安全管理制度。嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應通過制度規范協調網絡安全的組織、制度建設、安全規劃、應急計劃,筑起網絡安全的第一道防線。
(三)合理開放其它類型的網絡應用。目前,很多單位都建立了警營網吧,給官兵提供良好的學習娛樂平臺,這種情況下就必須把互聯網的網絡安全工作納入安全工作范圍,采取多種方法,規范和引導官兵進行互聯網的應用,合理開放所需的應用功能,有效控制不合理的功能應用。目前,邊防部隊的信息網絡安全技術的研究仍處于起步階段,有大量的工作需要我們去探索和開發。公安部已在全國范圍內大力推進信息網絡安全工作,相信在大家的共同努力下,邊防部隊將建立起一套完整的網絡安全體系,確保信息網絡的安全,推動邊防部隊信息化高度發展。
五、結論
網絡信息安全系統建設完成后,將實現信息系統等級保護中有關數據安全保護的基本要求和目標,尤其是應用密碼技術和手段對信息系統內部的數據進行透明加密保護。網絡信息安全系統還為單位內部機密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據,解決了信息系統使用方便性和安全共享可控制的難點,為部隊深化信息化建設提供技術保障。網絡信息安全系統能夠有效提高單位的數據安全保護等級,與其他信息系統模塊協調工作,實現了資源的整合和系統的融合,形成一個更加安全、高效、可控、完善的信息系統風險監控與等級保護平臺,提高了部隊內部核心數據,特別是對內部敏感電子文檔的安全管理,隨著系統的不斷完善和擴大,將對部隊內部網絡和信息系統的安全保護發揮更大作用。
參考文獻:
篇6
關鍵詞:企業內網,安全,管理策略
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-1pppp-0c
1 引言
內網安全理論的提出是相對于傳統的網絡安全而言的。在傳統的網絡安全威脅模型中,假設內網的所有人員和設備都是安全和可信的,而外部網絡則是不安全的。基于這種假設,產生了防病毒軟件、防火墻、IDS等外網安全解決方案,部署在內網和外網之間的邊界,防外為主。這種解決策略是針對外部入侵的防范,對于來自網絡內部的對企業網絡資源、信息資源的破壞和非法行為的安全防護卻無任何作用。
但是,隨著各單位信息化程度的提高以及用戶計算機使用水平的提高,安全事件的發生更多是從內網開始,由此引發了對內網安全的關注。對于那些需要經常移動的終端設備在安全防護薄弱的外部網絡環境的安全保障,企業基于網絡邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網絡的安全。一方面,企業中經常會有人私自以Modem 撥號方式、手機或無線網卡等方式上網,而這些機器通常又置于企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網絡VPN、無線局域網、操作系統以及網絡應用程序的各種漏洞就可以繞過企業的邊界防火墻侵入企業內部網絡,發起攻擊使內部網絡癱瘓、重要服務器宕機以及破壞和竊取企業內部的重要數據。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究表明:超過80%的信息安全隱患來自組織內部,而大多數公司都沒有設置相應的工具來監視和檢測內部資源的使用和濫用。相對于外網安全來自互聯網的威脅,內網安全的重點是數據和信息的安全,而這些數據和信息,才是企業真正有價值的資源。
2 企業內網安全隱患分析
現代企業的網絡環境是建立在當前飛速發展的開放網絡環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶―企業信息系統的便捷途徑,使企業網絡面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網絡給企業的信息安全帶來巨大的威脅。內網安全威脅主要包括如下幾個方面:
2.1 網絡病毒
目前企業內部網絡系統受到最多的安全威脅來自計算機病毒,病毒的傳播形式越來越復雜、傳播的速度越來越快,影響范圍越來越大,其造成的損失已不僅限于個人計算機系統,還可以造成服務器系統癱瘓、主干網絡擁堵,甚至崩潰。在企業內部網絡系統中存在網絡病毒對郵件服務器及個人操作系統的破壞,以及網絡病毒造成的網速變慢,系統無法正常響應等情況,并且在病毒發作時不能及時處理,難以快速發現被病毒感染機器的IP地址。
2.2 非法入侵
網絡黑客對內部網絡系統的攻擊隨時都可能發生。因此,通常首要考慮的問題是如何有效地防范來自外部的攻擊。來自外部的攻擊通常只會影響采用合法IP地址的網絡設備及服務器,或者說它們只對Internet上的可見設備進行攻擊。但是這并非就意味著網絡內部采用保留IP地址的網絡就不會受到攻擊。企業內部網絡規模較大,網絡用戶較多,安全系統參差不齊,缺乏統一有效的控制手段。因此,在考慮外部入侵的同時,也要考慮來自Intranet內部的安全威脅。
2.3 系統安全漏洞、補丁修補不及時
隨著各類網絡和操作系統軟件的不斷更新和升級,由于邊界處理不善和質量控制差等綜合原因,網絡和系統軟件存在越來越多的缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件。網絡入侵行為的成功大多是利用了網絡系統的安全漏洞,這些漏洞包括安全管理的漏洞、操作系統的漏洞、數據庫系統的漏洞、應用系統的漏洞、網絡管理的漏洞等。如果不及時修補補丁,其相關的漏洞就可能會被隨之而來的攻擊手段所利用,給整個計算機網絡的安全性帶來威脅。在實施網絡安全策略時,很重要的一步就是查清各種漏洞并及時彌補。在上述所有漏洞中,操作系統漏洞及數據庫系統漏洞多被外部黑客所利用,而來自內部的黑客則可能利用所有的漏洞。
2.4 IP地址管理和非法內聯外聯問題
企業內部網絡由于沒有嚴格的管理策略,IP地址使用存在一定混亂,部分員工隨意設置IP地址,造成IP地址沖突,甚至導致關鍵設備的工作異常。一旦出現惡意盜用、冒用IP地址以謀求非法利益,后果將更為嚴重。
另外企業辦公樓層規模化的網絡接口方便了員工接入網絡,同時也方便了外來計算機接入網絡,接入內網的計算機應該是專門用于完成業務工作且經過認可的計算機。但是存在著用戶利用這些計算機設備進行其它活動, 或使用未經確認許可的計算機接入內網,管理人員對此類情況難以判定并加以監視和控制,造成內網安全的極大隱患。
隨著企業信息化工作的開展和不斷深化,越來越多的企業信息通過網絡溝通、共享和保存。這些信息和數據既包含業務數據,也包括財務憑證、報表以及人事檔案資料、公司內部公文,還包括合作伙伴的結算信息。這些信息有些是供電企業的行業機密和商業機密,有些用于企業的規范管理,有些用于輔助決策,它們對企業的生存和發展起到至關重要的作用。因此,管理信息系統的安全保密性成為系統開發中必須著重考慮的問題。這些機密數據和文件的外泄,造成的影響和危害非常嚴重,由于部分特定行業的特殊性,其造成的危害往往還涉及到國家的利益,因此嚴禁網絡和專有網絡與Internet互聯。
2.5缺乏有效監控措施
目前一般企業內部網絡與因特網之間采用物理隔離的安全措施,在一定程度上保證了內部網絡的安全性,但是各類網絡基礎信息采集不全。大型計算機網絡的管理應該以基礎信息的管理為核心, 信息管理中心如果對所管轄網絡的用戶和資源狀況難以掌握, 對整個網絡的管理工作也就無從談起, 在發生違規事件時也很難及時將問題定位到具體的用戶。網絡安全存在著“木桶”效應,整個網絡安全的薄弱環節往往出現在終端用戶,單個用戶計算機的安全性不足,時刻威脅著整個計算機網絡的安全。常見的防火墻、入侵檢測等系統主要針對的是網絡運行安全,對于終端用戶的監控始終是網絡安全管理中的薄弱環節,對網絡內部的安全威脅缺乏防護、監控和審計機制。
3 企業內網安全管理策略
企業內網安全管理策略能夠極好地解決網絡內部網絡的安全管理問題,通過對終端節點進行嚴防死守,對網絡層面進行系統聯動,對內網平臺進行整合管理,從而為企業提供一個自防御的內網安全管理平臺,為網絡管理員展現一個安全的、易使用的環境,幫助企業解決大量的內網安全隱患問題。
3.1 資產管理
資產管理模塊自動收集被管理的計算機全面的軟硬件信息,包括:計算機名、品牌、硬盤型號及大小、CPU、內存等配置信息;此外,還能定義包含合同采購保修在內的全面資產維護信息及使用者狀態,自動收集計算機安裝的各種應用軟件,并根據需要動態導出管理報表。
3.2 進程管理
網絡聊天軟件、股票軟件、網絡電影軟件等現象在辦公室蔓延令許多管理者頭痛,通過進程管理模塊,能實時監控與查殺企業內部任何計算機當前運行進程,并通過黑白名單功能切實保障非法進程無法運行,此外還能對特殊進程設置詳細說明信息,使計算機只運行指定的應用程序,規范桌面應用程序環境。
3.3 補丁管理及軟件分發
不同版本的操作系統,不同應用軟件專用補丁,龐大的計算機數量,僅僅依靠著網絡維護管理人員手工安裝的解決辦法,只能讓網絡維護管理人員疲于奔命。系統補丁自動管理功能為補丁的自動安裝及升級提供了解決方案;此外,通過系統軟件分發功能,可以定制分發任務,從而極大地提高工作效率。
3.4 網絡訪問管理
網絡訪問管理可以部署企業內部計算機的網絡訪問規則,只允許或禁止某些計算機訪問特定的資源。例如一般員工不能訪問部門領導級的計算機資源、不能訪問內部重要數據服務器等;另外,可以限制員工只能使用某些網絡,或者只允許或禁止某些端口,從而合理地規劃內網計算機的網絡資源訪問。
3.5 遠程維護管理
企業跨樓層、跨地域的內部網絡使得維護工作越來越繁瑣。遠程維護模塊基于Java組件的實現方式,通過Internet Explorer瀏覽器讓網絡維護管理人員對計算機桌面遠程接管,并且能提供連接時限的設置和分級授權等功能讓遠程維護管理省時省心。
3.6 外設管理
針對企業內的一些特殊業務要求,網絡維護管理人員必須全部或部分禁止外部設備,相比較于對計算機進行硬件拆卸、外設端口貼封條的傳統方法,內網安全管理解決方案的外設管理功能通過USB存儲設備的控制策略、USB接口的鍵盤鼠標等輸入設備例外管理策略及各種光驅、軟驅等驅動器的控制策略完美地解決了上述問題。
3.7 桌面設置管理
由于非法修改IP地址,而造成網絡沖突和網絡安全隱患。針對此種情況,桌面設置功能提供是否允許管理共享控制、開Guest賬號及自動登錄等功能,并通過IP地址與計算機綁定功能,實現IP地址和網卡MAC地址的捆綁,機器就無法再更改IP地址,有效地控制網絡內計算機的網絡行為。
3.8 系統預警管理
如何進行全方位的系統預警是企業信息安全非常重要的一環。預警管理功能可以定義異常事件并及時向網絡維護管理人員進行警告,它提供對一些特殊TCP/UDP端口訪問的告警及非法外聯警告,讓網絡維護管理人員實時地了解每臺計算機的系統狀態,及時地掌握網絡數據,從而有充分的準備來應付可能的突發事件。
3.9 接入安全控制
企業越來越難以在保持網絡資源可用性的同時確保企業網絡的接入安全,接入安全控制功能提供了對非法接入計算機、卸載關鍵軟件等進行了阻斷或重定向等管理手段,使企業業務數據不輕易泄露,對私自改變IP地址和安裝非法軟件等安全隱患進行更加有效的預防。
4 結束語
網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點、方法,分析網絡的安全及具體措施,必須從網絡、計算機操作系統、應用業務系統甚至系統安全管理規范、使用人員安全意識等各個層面統籌考慮。內網安全問題在安全體系中是至關重要的環節,解決內網安全問題必須從規劃內網資源、規范內網行為、防止內網信息泄露等多方面入手,構建有效的企業內網安全管理策略,這樣才能真正保證整個網絡系統的安全。
參考文獻:
[1]葉代亮,孫鈺華.內網的安全管理[J].計算機安全,2006.1.
[2]寧潔.內網安全建設的問題分析與解決方案[J].網絡安全技術與應用,2006.10.
[3]宋弘,薛雯波.構建內網安全體系的幾個要點[J].計算機與網絡,2005.18.
[4]馬先.信息網絡安全防護分析[J].青海電力,2006.3.
[5]王為.內部網絡中客戶端計算機安全策略[J].計算機安全,2006.10.
[6]劉曄,彭宗勤,志.淺論威脅企業網絡信息安全的因素及防范對策[J].集團經濟研究,2007.5.
[7]王迎新,牛東曉.電力企業網絡信息安全管理研究[J].中國管理信息化(綜合版),2007.3.
篇7
關鍵詞無線網絡;網絡安全;安全防范
1引言
隨著信息技術的飛速發展,人們對網絡通信的需求不斷提高,對Internet訪問的持續性、移動性和適應性等方面取得很大進展,近年來無線網絡已經成為一種較為普及的網絡訪問方式,并且在一些領域已經占據了主流的地位。這表明無線網絡有著傳統網絡不能比擬的優勢,但是將無線網絡接入傳統的Internet中存在許多技術問題和安全問題。
2無線局域網的結構及其運行方式
無線局域網所涉及的主要設備包括:無線AP、無線路由器、無線網橋等。無線AP(ACCESSPOINT)即無線接入點,相當于一個無線集線器(HUB),接在有線交換機或路由器上,為跟它連接的無線網卡從路由器那里分得IP。它主要是提供無線工作站對有線局域網的訪問和從有線局域網對無線工作站的訪問,在訪問接入點覆蓋范圍內的無線工作站可以通過它進行相互通信;無線路由器:無線路由器就是AP、路由功能和集線器的集合體,支持有線無線組成同一子網,直接連接上層交換機或ADSL貓等,因為大多數無線路由器都支持PPOE撥號功能;無線網橋又叫橋接器,它是一種在鏈路層實現局域網互連的存儲轉發設備。網橋有在不同網段之間再生信號的功能,它可以有效地連接兩個LAN(局域網),使本地通信限制在本網段內,并轉發相應的信號至另一網段。網橋通常用于連接數量不多的、同一類型的網段。
無線局域網一般采取以下的幾種網絡結構來實現互聯。以適應不同的需要:
(1)基站接入型:當采用移動蜂窩通信網接入方式組建無線局域網時,各站點之間的通信是通過基站接入、數據交換方式來實現互聯的。各移動站不僅可以通過交換中心自行組網,還可以通過廣域網與遠地站點組建自己的工作網絡。如圖1。
(2)網橋連接型:不同的局域網之間互聯時,如果不便采取有線方式,則可利用無線網橋的方式實現二者的點對點連接,比如距離比較遠的兩棟或更多建筑物之間的互聯互通。無線網橋不僅提供二者之間的物理與數據鏈路層的連接,還為兩個網的用戶提供較高層的路由與協議轉換。如圖2。圖1基站接入型圖2網橋連接型(3)Infrastructure接入型:計算機通過無線網卡與AP或橋接器進行通訊,AP或橋接器起到了有線網絡中HUB的作用。可以組建星型結構的無線局域網,所有傳輸的數據均需通過AP或橋接器,由橋接器進行網絡的控制管理。不同橋接器可以相互串聯以形成更大規模的網絡。在該結構基礎上的WLAN,可采用類似于交換型以太網的工作方式,要求HUB具有簡單的網內交換功能。實現了無線網絡與有線網絡的無縫連接。
(4)無中心結構(Ad-hoc):即不通過AP,各計算機通過無線網卡自行進行通訊。網絡管理分散到各個計算機中。是一種點對點的應用方式。要求網中任意兩個站點均可直接通信。此結構的無線局域網一般使用公用廣播信道,MAC層采用CSMA類型的多址接入協議。圖3Infrastructure圖4Ad-hoc3無線局域網的運行方式
無線局域網采用的標準是IEEE802.11。該標準定義了物理層和媒體訪問控制(MAC)規范,允許無線局域網及無線設備制造商建立互操作網絡設備。后來又相繼公布了802.11a和802.11b,IEEE802.11b使用開放的2.4GHz直接序列擴頻,最大數據傳輸速率為108Mbps,也可根據信號強弱把傳輸率調整為54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps帶寬。直線傳播傳輸范圍為室外最大300m,室內有障礙的情況下最大100m,是現在使用的最多的傳輸協議。2000年,IEEE成立專門工作組對802.11g進行標準化工作,目的是為了用戶獲得更高的數據速率服務,后向兼容802.11b,前向兼容802.11a。
4無線局域網絡主要的安全威脅
由于無線網絡的傳輸方式和物理結構等原因,導致其在安全問題上較有線網絡更容易受到威脅,主要表現在:
(1)容易泄漏,無線局域網絡主要采用無線通信方式,其數據包更容易被截獲,由于不能在物理空間上的嚴格界定,所以傳輸的信息很容易被泄漏,任何能接受到信號的人,都可進入并解碼破譯。而事實上很多無線局域網絡在默認狀態下是沒有加密的。
(2)易受干擾,由于目前802.1lb協議規定的工作頻段的開放性,廣泛用于很多電子產品,因此容易互相干擾,造成無法通信或者通信中斷,如果惡意用戶通過干擾器對特定無線網絡進行拒絕服務攻擊或者干擾,那么這個干擾源不是很容易就能查出來的。
(3)入侵容易,無線網絡的接入點在設計上要求其具有公開、易獲取的特性,以方便合法接入者,但這也為入侵者提供了必要的信息,利用這些信息,入侵者可以在能夠接受信號的任何地方進入網絡或發起攻擊,即使被入侵檢測系統發現也很難定位,在不改變原有安全配置的情況下,難以阻止入侵的繼續。雖然,802.11在安全方面規定了WEP加密,但是WEP加密是不安全的,WEP的脆弱可能使整個網絡受到更大的威脅。
(4)地址欺騙與會話攔截,由于802.11無線局域網對數據幀不進行認證操作,通過非常簡單的方法就可以獲得網絡中站點的MAC地址,然后通過欺騙幀改變ARP表,進行地址欺騙攻擊。同時,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,裝扮成AP進入網絡,進一步獲取認證身份信息從而進入網絡。
5無線局域網中主要的安全防范技術
經過業界幾年的努力,現在已經有一些較為有效的安全防范技術應用于無線網絡中,比較通行的有以下一些技術:
(1)服務集標識符(SSID):ServiceSetIdentifier相當于一個局域網的簡單標志或口令,它設置于無線接入點AP(AccessPoint)上,無線工作站要與AP連接必須要有一個和AP一致的SSID,無線工作站可以籍此來選擇想要來連接的網絡,從安全的角度來看,SSID提供一個較低級別的安全認證。
(2)物理地址過濾(MAC):在小規模的網絡中,每一個被允許訪問AP無線工作站的網卡的物理地址被登記下來,設置在AP中作為允許訪問的過濾條件,在AP中沒有登記的網卡無法訪問AP。
(3)連線對等保密(WEP):WEP是WiredEquivalentPrivacy的簡稱,是802.11b標準里定義的一個用于無線局域網(WLAN)的安全性協議。WEP被用來提供和有線LAN同級的安全性。WEP的目標就是通過對無線電波里的數據加密提供安全性,如同端對端發送一樣。由于在WLAN中,無需物理連接就可以連接到網絡,因此IEEE選擇在數據鏈路層使用加密,采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。
(4)Wi-Fi保護接入(WPA):WPA(Wi-FiProtectedAccess)繼承了WEP的基本原理,通過使用一種名為TKIP(暫時密鑰完整性協議)的新協議,使用的密鑰與網絡上每臺設備的MAC地址及一個更大的初始化向量合并,來確保每一節點均使用一個不同的密鑰流對其數據進行加密。隨后TKIP會使用RC4加密算法對數據進行加密,由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析也幾乎無法計算出通用密鑰,解決[本文由網站公文大全收集整理]了WEP的缺陷,WPA還包含了認證、加密和數據完整性校驗三個組成部分,是一個完整的安全性方案。
(5)端口訪問控制技術(802.1x):802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的無線工作站通過接入端口訪問LAN/WAN。在通過AP獲得各種業務之前,802.1x對連接到AP端口上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口;認證通過以后,正常的數據可以順利地通過以太網端口。該技術是一種增強型的網絡安全解決方案,特別適合于公共無線接入解決方案。
利用這些技術,我們在下節中提出了一系列具有實用意義的安全防范措施。
6無線局域網安全防范措施
6.1建立更安全的網絡構架
采用何種網絡構架對于無線網絡的安全具有決定性的作用,隨著人們對無線網絡的安全問題越來越重視,許多新的技術被集成到無線局域網上,我們這里僅給出一種采用典型端口訪問技術和VPN技術相結合的范例,見圖5。
(1)采用端口訪問技術(802.1x)進行控制,防止非授權的非法接入和訪問。802.1x在端口上實現基于MAC地址的認證方式。做到IP與MAC地址的綁定,防止了用戶的假冒。通過EAP協議可以與RADIUS服務器進行通信,提供便捷的認證方式。
(2)對于密度等級高的網絡采用VPN進行連接,目前廣泛應用于局域網絡及遠程接入等領域的虛擬專用網(VPN)安全技術。與802.11b標準所采用的安全技術不同,在IP網絡中,VPN主要采用IPSec技術來保障數據傳輸的安全。對于安全性要求更高的用戶,將現有的VPN安全技術與802.11b安全技術結合起來,是目前較為理想的無線局域網絡的安全解決方案。圖5一個安全的無線局域網構架6.2無線接入點的安全措施
(1)在有條件的情況下,可以采用支持WPA規范的設備,WPA標準作為一種可替代WEP的無線安全技術,考慮到了不同的用戶和不同的應用安全需要,在企業模式下,通過使用認證服務器和復雜的安全認證機制來保護無線網絡通信安全。家庭模式(包括小型辦公室)下,在AP(或者無線路由器)以及連接無線網絡的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。
(2)如果只能選擇WEP加密技術,則最好采用128位WEP加密,并不要使用設備自帶的WEP密鑰。
(3)禁止AP向外廣播其SSID,并設置復雜的SSID,由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。而且目前有的客戶端跳過SSID安全功能,自動連接到AP。所以這些措施是比較脆弱的,但如果配置AP向外廣播其SSID,那么安全程度還將下降。
(4)設置MAC過濾,在AP中可以設定哪些MAC地址不能與AP通信,這樣可防止非法網卡登錄到AP上,也可以防止非法客戶機訪問AP下的無線網客戶機。但應該知道,實際上MAC是很容易被假冒的。
(5)注意對AP的管理,修改缺省的AP密碼,各種主流AP產品的默認管理密碼已為人們熟知,應修改缺省的密碼,以防非法闖入。
6.3無線終端上的安全措施
系統管理員如果需要防止無線終端上的網絡設置泄漏,可以選用支持修改屬性需要密碼的網卡,要開啟該功能,防止網卡屬性被修改和信息泄漏。
與在傳統網絡中相比,無線終端更應當注意安裝防火墻等安全軟件,并及時更新系統漏洞補丁。
6.4管理與培訓
安全與管理是兩個需要同等重視的問題,而且是互相影響互相推動的。
對于大型網絡,我們應該制定周密的計劃,支持多種安全策略應對不同的情況、,從而提高無線局域網的性能,并能在企業無線局域網內支持新的移動模式。
可以采用第三方的軟件公司提供的軟件解決方案,在一個統一的平臺和界面上管理多種策略和各種類型的無線網絡,實施監控和記錄歷史數據,從而實現一個安全、可靠的無線網絡。
制定無線網絡管理的相關規定,包括使用無線網絡的指導性規定和特別的禁則,比如,規定員工不得把網絡設置信息告訴公司外部人員,禁止設置P2P的Adhoc網絡結構等。
對網絡管理人員進行知識培訓。普及無線網絡的安全知識,加深員工的安全意識,明白違規使用無線網絡的危害性。
7結語
無線網絡在很大程度上突破了統有線網絡的限制,使用戶獲得了可移動性和方便性,但正因如此無線網絡也面臨更大的安全威脅,要求我們有更高一級的安全防范意識和防范措施,不可掉以輕心。當然也沒有必要“談無線而色變”,因為其安全上的風險而不敢采用,事實上,根據不同的安全需要,對無線網絡的固有物理特性和組網結構進行透徹的分析,在不同的層面采取恰當的措施,保障無線網絡的安全可用是完全可行的。
參考文獻
[1]蔡一郎.Windows2000Server網絡技術與構架管理[M]北京:清華大學出版社,2002:302-378
[2]何軍.無線通信與網絡.北京:清華大學出版社,2004,6
[3]孫利民,李建中.無線局域網絡.北京:清華大學出版社,2005:4~22
[4]AspinwallJ.Installing,TroubleshootingandRepairingWirelessNetworks[M].北京:電子工業出版社,2004
[5]湛成偉.網絡安全技術發展趨勢淺析[J].重慶工學院學報,2006,20(8):119-121
篇8
關鍵詞:校園網;網絡安全;網絡管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)35-2453-02
Campus Network Security System Construction
CHEN Yan
(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)
Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.
Key words: campus network; network security; network management
1 引言
校園網絡作為信息化校園的重要組成部分,在全國各高校大規模展開,已近十年的歷程。校園網的建設重點已從最初單純的網絡硬件鋪設,簡單的Internet接入,小規模離散的應用,發展到大規模成系統的網絡應用。近年隨著網絡技術的快速發展,網絡應用日益普及,學校的教學和管理對校園網的依賴程度不斷加大。網絡的脆弱性,使得依賴于網絡的教學與管理面臨著安全威脅,網絡安全成了校園網建設的焦點問題。構建安全的校園網并不是簡單的堆砌網絡安全技術或安全產品,它不僅涉及到技術層面,也涉及到非技術層面。本文似從技術和管理兩個層面來探討如何構建安全的校園網絡系統。
2 校園網的特點及安全現狀分析
校園網有著自己鮮明的特點:一是大規模、高速網絡環境,主要表現為用戶數據龐大、地域分布的多校區網絡和快速局域網技術;二是復雜的應用和業務類型,主要表現為公共服務、科研應用、教學輔助、學生管理、行政管理、教學管理和普通上網應用等;三是活躍的、不同使用水平的網絡用戶群體,即有普通的用戶群、又有管理用戶群,還有網絡相關專業的學生用戶群,他們網絡應用目的不同,對網絡的熟悉程度不同;三是大量的非正版軟件和電子資源;五是開放的環境和寬松的安全管理體制;六有限的資金投入。這些特點使得校園網既不像Internet那樣毫無限制,又不像電子商務企業那樣為強化安全與保密而嚴加管理和控制。
校園網的上述特點,使得校園網一方面要面臨一般企業網絡所必須面對的各種安全威脅,如:普遍存在的計算機系統漏洞產生的各種安全隱患;計算機蠕蟲、木馬、病毒泛濫,對用戶主機、應用系統和網絡運行構成的嚴重威脅;外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網又不得不應付來自內部的安全威脅,如內部用戶的攻擊行為,對網絡資源的濫用行為等等。
3 校園網安全需求分析
在校園網的安全設計中,必須考慮到校園網的上述特殊性。不能將整個校園網作為單一的安全區域,必須根據不同的應用類型、不同的服務對象將校園網劃分為具有不同安全等級的區域,并針對這些區域進行專門的安全設計。一般來說,我們可以將校園網分為:學生網絡、教學管理網絡、公共應用服務網絡、網絡管理系統和分校區網絡等幾個部分。下面對這些網絡的安全需求進行分析。
3.1 Internet連通性的安全需求
Internet連通性是校園網最重要的功能,一方面要滿足內部用戶的Internet訪問要求,另一方面又要對外Web服務、電子郵件服務和FTP服務等公共服務。而Internet卻是攻擊和威脅的重要來源,阻斷所有不能接受的訪問流量是最基本的安全需求,同時保持對來自Internet的網絡攻擊的檢測能力,是防范求知攻擊的必然要求。與內部用戶的上網需求相比,校網園對外的公共服務應該受到更好的安全保護,在設計時必須給予重點考慮。
3.2 學生網絡的安全需求
學生網絡兩大特點:一是用戶數量多數據流量大,學生是P2P(peer-to-peer)應用的熱衷者,而P2P應用則是網絡帶寬的“殺手”,2006年我院對擁有1100多用戶的學生網絡進行了一項測試,使用一款“P2P終結者”軟件來屏蔽P2P數據包,結果網絡出口總流量驟降一半,據此可以估算有50%網絡帶寬被P2P軟件所消耗。事實上這個估算是保守的,有研究表明,P2P流量取代了HTTP流量成為Internet流量的主體,占Internet中總流量的60%~70%,占最后一公里接入網流量的80%[1];二是用戶類型復雜,2007年我院的一次問卷調查表明,85%以上的學生缺乏網絡安全意識,近5%的學生用戶偶爾嘗試過網絡攻擊,近0.2%的學生在研究網絡攻擊技術,他們是內部攻擊的主要來源,也是最主要的病毒源和木馬源。因此在進行網絡安全考慮時,首先要對來自學生網絡的帶寬進行限制,以保證網絡資源的合理分配;其次要約束學生網絡對校園網關鍵服務的訪問,盡最大努力過濾其運行特定應用程序的能力;同時還需要加強對網絡流量嗅探和中間人攻擊(MITM)的防范能力,以減少學生相互間的攻擊。
3.3 教學管理網絡的安全需求
鑒于教學管理數據的安全性需求高,教學管理網絡與學生網絡絕對不能位于同一個信任級別,應該有更高的安全需求,給予保護并與校園網絡的其他部分進行隔離。主要有以下三項安全措施,一是設置防火墻實施訪問控制;二是設置入侵檢測系統進行網絡安全監測;三是強化論證,雖然加密所有教學管理應用程序太過繁重,但是對于某些關鍵系統(會計和學生記錄)應該要求強認證。
3.4 網絡管理系統的安全需求
網絡管理系統負責整個校園網的通暢和安全管理工作,確保網絡管理系統的安全是非常重要的工作,因此應該設置防火墻將管理網絡與校園網的其它部分進行隔離加以保護。
3.5 分校區網絡連接的安全需求
分校區和遠程用戶都需要直接訪問校園網內部的服務,出于資金考慮,多數的分校網絡都沒有專線連通,部分學校嘗試無線通信,實際情況看來,其保密性和穩定性都不高。比較經濟實用的解決方案就是,使用虛擬專用網(VPN)技術穿過廣域網(WAN)。
4 校園網結構的安全設計
基于上述校園網安全的分析,我們可以設計出如圖1所示的安全校園網絡系統。
4.1 校園網邊界安全設計
Internet接入是校園網最基本的業務需求,與Internet相比,校園網內部自然是一塊相對單純的可信任安全區域,為保證校園網內部的安全性和校園網公共服務的可訪問性,需在校園網邊界進行如下安全設置。
一是設置防火墻:防火墻首先要提供入網級的訪問控制功能,以有效地阻斷來自Internet的非法訪問;其次要提供虛擬專用網(VPN)功能,借助廣域網實現遠程分校區網絡的安全連接,使得訪問遠程校園網絡,如同訪問本地網絡一個方便安全,在保證安全性的同時還可以節省出專線費用;最后還應具備網絡地址轉換功能(NAT),使得Internet用戶可以訪問校園網內部的公共服務。二是設置AAA認證服務器,提供對用戶身份認證、安全管理、安全責任跟蹤和計費等功能。三是設置網絡入侵檢測系統(NIDS),同時可在邊界路由器上啟用NetFlow功能,以加強對非法入侵和惡意攻擊行為的檢測和發現能力,為網絡管理員提供網絡異常事件的處理能力。
4.2 學生網絡的安全設計
從前面的校園網業務需求的安全性分析可知,校園網內部并非鐵板一塊,不同的業務需求對安全性的要求是不同的,相對來說學生網絡的安全級別最低。針對學生網絡用戶數量龐大、用戶類型的復雜性的特點,主要可采取以下安全措施:一是為保證網絡資源的合理有效分配,必須進行網絡流量限制;二是在交換機處提供必要的第二層安全控制,以減少網絡流量嗅探攻擊,中間人攻擊(Man-in-the-middle-attacks,簡稱:MITM攻擊);三是在不同學生網段的路由器上設置無狀態ACL,以實現數據過濾。后兩項措施可以緩解學生系統之間的相互攻擊。總體上講,學生網絡的安全防護功能是相當弱的,主要的安全防護功能落在了學生主機上,因此必須加強網絡安全教育,提高學生的安全防范意識和能力。但是較低的安全防護設計卻給學生創造了一個相當寬松的網絡環境。
4.3 教學管理網絡和公共服務網絡的安全設計
教學管理網絡和公共服務網絡的服務器中存在著大量敏感的數據,比如說學生成績和學生注冊信息,它們極易受到來自于Internet及學生網絡的攻擊,因此也就提出了更高的安全需求。對教學管理網絡和公共服務網絡的安全設計,相當于在校網絡的基礎上建立起一個安全性更高的內部網絡。其安全設置類似于校園網與Internet之間的安全設計,如添加防火墻進行訪問控制,增加NIDS進行入侵檢測。從圖中可以看到,對學生網絡來說,它有一道防護屏障,而相對于Internet再說,它受到兩道防護屏障的保護。這是一個合理的安全等級層次。
4.4 管理網絡的安全設計
管理網絡看似類似于行政網管,需要使用防火墻進行保護。但是它有完全不同的業務需求,它負責整個網絡的安全管理,要根據各種校園網絡設備的管理需求,設置允許入站和出站的特定連接。因為它的周圍有許多不可信的網絡,在網絡設備與管理網絡進行數據傳送時,必須保證數據的安全保密性,因此數據傳遞過程中的安全要求較高,在數據通信需要使用SSH/SSL等安全通信協議。對于那些不支持SSH/SSL的網絡設置,只能使用如Telnet之類的明文管理協議,在這種缺乏安全協議的情況下,應該限制可訪問Telnet后臺程序的IP地址,以增加這些網絡設備管理的安全性。
5 校園網安全管理
校園網的安全性不僅僅是一個技術問題,還需要安全管理的支持。安全的校園網絡系統是安全技術與安全管理有機結合的整體,它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣,校園網系統的安全強度等于它最薄弱環節的安全強度。經驗表明,得不到足夠重視的網絡安全管理恰恰是校園網安全系統中最薄弱的一個環節。安全專家們則強調網絡安全靠的是“三分技術,七分管理”。
為加強校園網的管理,需要做好以下四項工作:一是觀念的更新,網絡安全不止是技術部門和專業人員的責任,應該得到學校高層的充分重視,需要所有的網絡用戶的共同遵循安全規則;二是建立網絡安全管理機構,明確權力和負責,從組織機構上保障網絡安全管理的有效實施;三是制訂網絡安全管理制度,明確校園網用戶的權利和義務,使用戶共同遵循校園網使用規則;四是建立完善的安全管理及應急響應機制,以對突發性安全事件做出迅速準確的處理,最大限度地減少損失。
安全事件處理機制的建立往往是校園網安全管理的盲區。與國防、金融等機構比起來校園網的安全級別低,應付安全突發事件的重要性并不是太突出。而且在一般情況下,意外事件發生的幾率不高,應付安全突發事件的必要性也往往被忽視。但是100%安全的網絡是不存在的,如果不能對網絡安全事件做出迅速而準確的響應,就有可能造成重大的損失。事實是,歷史上幾次重大的安全突發事件所造成的惡劣影響,使得各國都非常重視緊急事件響應處理。美國國防部于1989年資助卡內基.梅隆大學建立了世界上第一個計算機緊急響應小組CERT(Computer Emergency Response Team)及其協調中心CC(Coordination Center)。CERT/CC的成立標志著信息安全由傳統的靜態保護手段開始轉變為完善的動態防護機制。此后在20世紀90年代,計算機安全應急處理得到了廣泛而深入的研究。在我國,中國計算機教育與科研網(CERNET)于1999年成立計算機緊急事件響應組織(CCERT),是國內第一個安全事件響應組織;2000年3月,中國計算機網絡應急處理協調中心(CNCERT/CC)成立,該中心在國家因特網應急小組協調辦公室的直接領導下,協調全國范圍內計算機安全事件響應小組的工作,并加強與國際計算機安全組織的交流。
在校園網建設中,借助CERT的理念和研究成果,建立必要的網絡管理和應急響應機制將有利于規范和提高校園網安全管理能力。圖2所示,是一個可行的網絡管理和應急響應機制構建方案,說明如下。
1) 網絡安全的日常管理:在校園網的關鍵部分加強網絡安全的日常管理,使日志檢查、漏洞掃描、系統升級、病毒防御等工作制度化、常規化,盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責任追究制度,強化網絡管理人員的責任心。
2) 網絡安全應急小組:接收并處理來自用戶的安全突發事件,NetFowl等流量分析的異常報告、入侵檢測系統的入侵警告和日常管理中的安全事件報告。通過分析調查,決定采取相應的應急處理措施,如系統隔離、事件跟蹤、漏洞修補、安全策略調整、系統恢復和統計報告等等。同時為廣大用戶提供各種安全服務,如安全咨詢、安全教育和安全工具等等。
6 小結
網絡安全是當前校園網建設和應用的焦點問題,本文從技術和管理層面深入地討論了安全校園網系統的建設問題。在技術層面上,需要根據校園網應用的不同,劃分不同的安全等級區域,并針對各個區域的應用需求進行安全設計;在管理層面上,特別強調建立網絡安全管理及應急響應機制,保障網絡管理的規范化、制度化,提高網絡安全管理能力。
參考文獻:
[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.
[2] Convery S.網絡安全體系結構[M].江魁,譯.北京:人民郵電出版社,2005.
[3] 連一峰,戴英俠.計算機應急響應系統體系研究[J].中國科學院研究生院學報,2004,21(2):202-209.
篇9
成就,在于自由溝通
PUSH Mail不繁瑣
如果你以前使用過諾基亞Symbian系統上的郵箱,或許你的印象不會太好,因為上面的郵箱設置實在是太繁瑣了,還需要如在電腦上設置郵箱一樣進行POP、SMTP等設置。而在E7上,諾基亞專門制作了一個郵箱配置向導。這個向導內置了包括騰訊、網易、新浪、搜狐、微軟Exchange Server在內的各種郵箱設置參數,你只要選定郵箱供應商,輸入用戶名和密碼就可以了,不用再去設置POP、SMTP設置,以及選擇服務器等。
根據諾基亞的說法,E7在和Exchange Server連接后,就能實現絕大部分Exchange Server 2010上提供的統一通信功能。統一溝通解決方案是即時通信在企業層面的實現,體現了企業級通信應用的最新發展趨勢,也是微軟在企業級通信市場上大力倡導的應用方向。該方案包括微軟Exchange server及客戶端的Communicator軟件。通過使用統一溝通解決方案,商務用戶可以極大地提高溝通的效率,節約企業成本。與此同時,E7對微軟統一通信組建的支持,也升級到了2.0版本――如果你的Symbian^3設備沒有微軟Communicator 2.0,也可以通過Ovi商店加裝,確保和公司服務器隨時保持語音、郵件、會議通知等事務的同步。
另外,對于比較看重辦公文檔的商務人士來說,E7內置的全功能的QuickOffice Premier版本,不僅可以打開Office 2007及更早版本的全系列文檔,還能進行編輯。在PDF閱讀方面,E7的表現也達到了智能手機的平均水平。內建的Adobe Acrobat LE 2.5可以快速打開全圖片或者圖文混排的PDF文件,但是在縮放超過10MB體積的PDF文件時有明顯的遲緩。由于QuickOffice暫時無法支持Office 2010提供的DOCX、XLSX、PPTX文件,所以E7也無法打開Office 2010創建的文件。
成就,在于運籌帷幄
諾基亞E7的實體鍵盤輸入
諾基亞目前已經推出了四款Symbian^3手機。很顯然,諾基亞E7在硬件上和之前幾款區別最大,因為它有一塊42鍵的實體鍵盤。將E7拿在手里,你會覺得略有一份厚重感,因為它里面另有乾坤。將E7滑開,42鍵的實體鍵盤就顯示在你的面前,而鍵盤的后半部分剛好成為了支撐屏幕的支架,所以滑開后的E7有一股迷你電腦的范兒。
E7實體鍵盤的每個按鍵之間的距離合適;在F和J鍵上有兩個與PC鍵盤非常類似的凸起,方便我們在打字時進行定位。而且E7鍵程較長、反饋很清晰,這也是實體鍵盤相對觸屏軟鍵盤來說最大的優勢。
有了鍵盤當然還得需要輸入法,輸入法的重要性對于手機來說并不亞于鍵盤本身。雖然E7剛剛上市,但諾基亞之前就已經與搜狗展開合作,為E7的到來做好了準備。目前Ovi商店里的搜狗輸入法已經支持E7的實體鍵盤。E7的數字鍵不是獨立的,在搜狗輸入法狀態下選字時有三個選擇:一是按左下角的右上箭頭鍵再按數字選擇;二是按右下的鍵盤方向鍵再選字;三是打開搜狗輸入法的長按直接選字模式。個人認為第三種方式非常實用,在長按直接選字模式下,輸入所需字母后直接長按所需漢字所在的數字鍵,就可以直接完成選字了。而且更為方便的是,在這個狀態下,輸入英文和數字并不需要切換中英文模式――按下A鍵后再按回車鍵即可直接輸入字母A、而直接長按W鍵(2)就能輸入數字2,這對于要處理大量中英文和數字混用的郵件和短信的使用者來說非常快捷。
而且在PC上處理文字的快捷鍵,在E7的實體鍵盤依然有效,比如用Ctrl+A選擇全部文字,Ctrl+X/C/V進行剪切/復制/粘貼,也可以用Shift(左下角第二個鍵)+方向鍵來選擇部分內容,進行剪切、復制或粘貼,這些功能在使用預置的QuickOffice編輯文檔時非常方便。
如果你是短信或者郵件狂人,甚至可以考慮在“設置”-“手機”-“滑蓋操作”里選中滑開滑蓋直接新建短信/郵件。好吧,雖然我覺得E7自帶的輸入法也很好用了,但還是建議Office達人去Ovi商店下載搜狗輸入法體驗一下。
成就,在于未雨綢繆
遠程保護你的手機
智能手機發展到今天已經成為很多人的個人信息中心,比如郵箱里的大量郵件、所有的聯系人信息、大量的短信、隨手記的筆記,以及照片視頻等全部存在手機上――別給我說你的手機里沒有點小秘密――這在帶來方便的同時也帶來一個隱患,如果手機丟了怎么辦?雖說不會出現“艷照門”等讓你一夜成名的事情,但個人數據、辦公數據丟失也是一件非常麻煩的事情。比如“拾到者”通過Nimbuzz登錄Gtalk、MSN等即時通信軟件,詐騙你的親朋好友,就是一件讓人很頭痛的事,更何況諾基亞E7還是一款不便宜的手機(媒體報價:標準套裝5298元)。
好在諾基亞E7提供了一套易用而有效的安全解決方案。諾基亞和F-Secure公司(歐洲乃至世界知名的計算機及網絡安全提供商)聯手,推出了F-SecureAnti-Theft防盜服務。由于諾基亞E7電池不可更換,且無MicroSD卡插槽,因此一旦手機被鎖定,任何人都無法竊取你的個人數據。
打開諾基亞E7,在“辦公”欄目中我們就能找到F-Secure安全套件。這款套件中的病毒防火墻功能只有15天試用期限,而Anti-Theft防盜功能,則為無限期免費服務。第一次啟動F-Secure安全套件會讓你輸入兩項信息:
?安全代碼:用來解鎖和遠程控制。就是類似于密碼一樣的東西,你可以設計一個比較復雜的代碼。
?輸入信任的電話號碼:被信任的手機號碼,摯友、家人的號碼都很合適。
在下一個頁面中將所有的選項都全部選上,只有這樣才能在最大程度上發揮F-Secure的防盜能力。
丟失手機后需做的第一件事就是鎖住它,讓小偷無法進行任何操作。操作非常簡單,用任意一支手機,發送短信到E7上,短信內容包含指令和你在E7上設定的安全代碼。例如想要把手機鎖起來,就輸入#lock#安全代碼;如果只是獲得手機當前所在位置,則把lock改成locate,手機收到短信后就會自動鎖定,并且通過GPS進行定位,自動發送一條包含當前所在位置的確認信息到預留的受信任手機號碼上。點擊鏈接就可以看到你的手機當前所在位置。現在手機安全了,對方無法跳過待機界面,必須在手機上輸入安全代碼才能 解鎖。如果返回的信息顯示手機是在你的辦公室或家里,那說明是你自己遺忘了,否則可以試著打電話聯系對方進行交涉,說不定別人只是撿到而已。
或許你也會擔心有人撿到手機后換掉你的SIM卡,這不是問題。激活F-Secure的服務之后,更換SIM卡開機直接鎖定,必須輸入安全代碼才能解鎖,并且手機會自動通過新SIM卡發一條短信到你的受信任手機號碼上,通知你SIM卡已被更換。直接把#lock#之類的命令回復到新號碼上就能鎖定手機,換卡也不頂用。
如果實在沒法拿回手機又擔心資料安全,終極解決方案是遠程清除手機上資料,方法也很簡單,像鎖定一樣發短信過去#wipe#安全代碼,這樣就能清除手機上的視頻、照片、短信等個人信息。如果自己忘了安全代碼,可以通過手機把安全代碼發回預留的受信任號碼上。
成就,在于
豐富的互聯功能
E7還有另外一個對商務人士來說非常便利的功能,那就是USB host功能,E7與N8相同,內建的micro USB接口都支持USB host(也叫USB On-the-go,USB OTG),只要通過包裝附送的USB轉接線,就可以外接U盤,存取其中的內容,在檔案文件分享上更有彈性。
不過,E7的USB host不只支持U盤,它還可以外接鼠標(就是一般的計算機鼠標),連接上鼠標后,手機就會出現熟悉的鼠標指針,接下來就可像操作一般計算機一樣的方式使用手機,連鼠標滾輪都可以用;不過因為Symbian系統并沒有“右鍵菜單”這種東西,因此如果使用者按了鼠標右鍵,手機會把它仿真成主菜單功能鍵,長按鼠標右鍵即可開啟背景執行程序行表(就如同長按主菜單鍵一樣)。而且,即使是無線鼠標,只要把接收的USB接收器接上手機,還是可以支持,但不是所有無線鼠標都可以用。支持外接鼠標對商務人士的好處是,只要把演示稿文件存在手機里面,要對客戶做簡報時,只要用HDMI或是3.5mm AV端口把演示文稿(PPT)輸出到電視機或投影機上,再插上無線鼠標,就可以很方便地解說,不用帶計算機出門了。
除了鼠標之外,USB host也可以支持外接鍵盤,不過接上之后只有英文與上排的數字鍵盤可以使用,一般鍵盤的功能鍵(如F1~F12)、Ctrl鍵,或是右邊的小數字鍵盤都不支持,也不能用外接鍵盤輸入中文。
Tips:如何將E7變成3G無線熱點?
篇10
信息社會 安全基石
從互聯網的前身――阿帕網(APPANet)的建立,到目前全球數以億計的上網用戶;從美國政府于上個世紀90年代提出的“國家信息基礎設施”(建設信息高速公路)計劃,到以互聯網為核心的綜合化信息服務體系和信息技術在全世界各領域的廣泛應用;從1971年第一封以@為標志的電子郵件的發出,到現在全球每天360億封的電子郵件往來。當今世界的政治、軍事、經濟、文化等各個方面都已經離不開信息技術的強力支撐,以互聯網興起為重要標志的現代信息化社會已經建立。
隨著社會的發展和穩定對信息的依賴性越來越強,始終伴隨著信息化的信息安全問題在最近幾年迅猛放大,已經成為抑制全球信息化進程發展的重大障礙。
從無傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲病毒,從以信息共享為名的盜版軟件,到如今泛濫成災的流氓軟件,信息安全已經從神秘的黑客世界走入到每一個計算機用戶的面前。如何正確、有效判別這些潛在的信息風險,關系到當今社會信息化發展的大計。
不可避免的安全危脅
寫一段沒有任何運行錯誤的程序代碼對于一個程序員來說很容易,但要寫出一段沒有任何安全問題的程序代碼似乎就有些困難了。是程序員的安全素質不夠,問題出在程序員身上么?要知道,即使是那些專職安全防護的軟件產品也經常會曝出各種各樣的漏洞,這早已不是什么新鮮的事情。
計算機世界的霸主微軟公司的程序員可都是一流的精英,先不說過去Windows、Office系統中至今還補不過來的千瘡百孔,往前看其新一代的號稱最安全的操作系統Vista,公開的Bug已達2萬個,問題代碼更是多達幾十萬行,發行日期一拖再拖。也許這主要是因為過于龐大的系統結構和功能造成的,可在一個0和1的數字世界里,復雜才意味著技術的前進、使用的便利、功能的強大,如今許多人早已明白:沒有任何問題的代碼只能是沒有任何功能的代碼。
除了程序代碼設計本身的問題,安全漏洞還存在于通訊協議、網絡架構、交互中國家信息中心信息安全研究與服務中心李少鵬模式、電子輻射、信號外泄,甚至是用戶安全操作和安全意識等其他與信息交流有關的任何問題中。可以說安全威脅來自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠存在。
觸目驚心的安全事件
2004年10月至2005年1月,某企業職工利用后門程序操縱了互聯網上超過6萬臺的電腦主機連續攻擊北京某音樂網站,致使該公司蒙受重大經濟損失,這是我國首例如此大規模的“僵尸網絡”攻擊案;
2005年4月11日,全國超過二十個城市的互聯網出現群發性故障;同年7月12日,北京20萬ADSL用戶斷網;
2005年10月,網易計算機系統公司發現與北京市網通合作項目中,價值10元一張的網易一卡通虛擬游戲點卡被盜15.5萬張,總價值155萬余元;
2006年2月“全國最大網上盜竊通訊資費案”在北京開庭審理。某資深軟件研發工程師被控利用工作之便侵入北京移動公司充值中心數據庫,盜竊了價值38071元的充值卡密碼……
公安部公共信息網絡安全監察局主持的2006年全國信息網絡安全狀況與計算機病毒疫情調查報告中顯示,在被調查的一萬三千多家單位中,54%的被調查單位發生過信息網絡安全事件。
同時,最近兩年幾乎染及所有計算機和計算機用戶的網絡釣魚、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯網。據國外的一份調查統計顯示,89%的個人電腦平均感染過30種間諜軟件。公安部在2005年聲稱中國的網絡釣魚網站占全球釣魚網站的13%,名列全球第二位,而僅在2004年,公安部偵破的網絡詐騙案件就達1350起。對此,國家反計算入侵和防病毒研究中心在公安部網監局的支持和指導下,發起成立公益性的“中反網絡釣魚聯盟”。今年8月,廣東首次公開處罰垃圾郵件發送者,這也是國內依據《互聯網電子郵件服務管理辦法》第一次公開處罰垃圾電子郵件的發送者。
安全法規需進一步完善
從1989年《中華人民共和國保守國家秘密法》伊始,到2005年《電子簽名法》的實施,我國目前現行的與信息安全直接相關的法律、規章和制度有65部,“涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域”,可以說已經初步形成了一定的法規體系。尤其是在2003年《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)通過后,電子認證、電子政務、等級保護、商用密碼以及銀行、證券等金融行業等法規和管理辦法相繼出臺,不僅規范了信息安全市場,還對電子商務的發展、網絡經濟的正常運轉到了意義深遠的保障作用,同時也是對“信息安全上升為國家安全”的這一宏觀政策指引的響應。
盡管如此,現行的信息安全方面的法規、標準體系仍然需要進一步完善與成熟。截至目前,我國還沒有一部嚴格意義上基于信息安全的基本法,同時這為信息安全標準與政策的制定與落實帶來了一定的難度。
層出不窮的攻擊手段
目前流行的攻擊手段有很多,除了病毒、蠕蟲、口令破解等傳統方法,木馬、網絡釣魚、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴大。但相應的防范技術和知識已經比較普及,應對起來容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務攻擊、零日攻擊和社會工程學攻擊。
分布式拒絕服務攻擊至今還沒有特別有效的防范方法,其具備攻擊方法簡單和攻擊源無法確定的特點,上文中音樂網站被攻擊的案件就是一個典型的例子。這種攻擊的難點在于組建大量的傀儡主機――“僵尸網絡”,通常借助即使通訊工具或電子郵件來植入木馬,并通過新的系統漏洞的出現而達到頂峰。
零日攻擊則是利用尚未公開或未發行補丁的漏洞實施攻擊,這種攻擊最為致命和可怕,因為任何人都很難對未知的情況做出正確的反應,此種攻擊成功率高、隱蔽性強,往往針對某個既定目標,是今后安全防范工作的最大隱患之一。
最后一種是社會工程學,實際上它是一種非技術手段的攻擊,它的直接攻擊對象不是數據庫也不是防火墻,而是能夠出入這些敏感地帶的人。技術再高也是由人來操作的,安全防范做得再好,得到授權的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術》一書中寫到:“安全不是技術問題,它是人和管理的問題……”,“由于開發商不斷的創造出更好的安全科技產品,攻擊者利用技術上的漏洞變得越來越困難……”,“精干的技術專家辛辛苦苦地 設計出安全解決方案來最小化使用計算機的風險,然而卻沒有解決最大的漏洞――人為因素。”因此,在如今信息安全技術已經趨于成熟的環境下,正確的安全防范意識無比重要。
目前,仍然還有許多人普遍缺乏安全意識。政府網站頻頻被黑、網上銀行客戶資金被盜、網上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發生,其關健原因在于安全管理和意識的匱乏。對于被動的防范來說,意識要重于技術,甚至會超越技術。
安全技術任重道遠
廣義上的信息安全包括了眾多內容,信息安全國家重點實驗室馮登國教授曾在今年的“十一五”信息安全發展趨勢論壇上講到抽象化、可信化、網絡化、標準化和集成化,是信息安全技術發展的重要趨勢。目前主流安全技術不外幾種。
主動防御
雖然瑞星、金山、江民三大反病毒廠商在今年先后發出推出主動防御產品的聲音。但實質上,目前的主流產品還是在遵循“病毒產生――研究特征碼――升級病毒庫”的老路子。主動防御技術如何避免大量的提示和誤報是主動防御產品是否能真正走向市場的關鍵性問題。
生物識別
從用戶名加口令到加密鎖,再從USB令牌到指紋、聲紋、虹膜等生物識別。即使身份認證已經有了高級的尖端技術,可目前最為廣泛應用的還是最初的用戶名加口令身份認證技術,簡單易用,且能夠保障基本的安全需求。但不可否認,生物識別技術以其無可替代的識別優勢必然隨著成本的降低、需求的加大走向普及。
可信計算
嚴格的說,可信計算并不能算一項新興技術,早在2002年沈昌祥院士開始在國內提倡可信計算。雖然經過了2004年的熱點后,國家將其列入“十一五”規劃重點支持項目,相關企業也成功的生產出TPM的安全芯片,但中國的可信計算是否能與國際標準接軌、龐大的可信計算體系涵蓋內容之間是否能有序協調仍是一個未知的難題。
災難恢復
實際上,災難恢復主要不是技術問題,而是管理和實施問題。它的重要性隨著對國民經濟具有重要支撐作用的大型企事業單位以及政府部門對信息化日益增長的依賴性而凸現出來。近年來,銀行、電信,海關、稅務、民航等部門已經建立起自己的災備中心。國務院信息化工作辦公室2005年出臺的《重要信息系統災難恢復指南》為我國整個信息安全保障綜合體系的最后一環――災難恢復的管理和實施帶來了強有力的促進和重大指導作用。
理論篇>>>
思索信息安全:內涵與外延
江常青
要談論信息技術發展的趨勢和信息安全面臨內外部環境的變化,就像一個一直在匆匆行路的人,突然要停一下,觀看周圍環境,預估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過的路,因為有兩種可能:一種是走出來的路,過去和現在影響著未來;二種的情況是,也許路一直在前方,變化的則是我們的認識和行為。無論怎樣,“時而思”比不思則罔更有益。
信息安全的歷史有多久?五年,五十年,還是五千年?都可以。
目前,國家、企業和個人開始認識并重視信息化所帶來的安全風險問題,以及國內出現專門的信息安全從業人員,僅有5―10年;而以現代計算機的發展與應用算起,信息技術滲入現在社會生活帶來的信息安全問題,這段歷史達到了50年;其實,自從人類文明伊始,文化和信息的使用開始就存在信息安全問題,這是5000年的歷史。但是,歷史從來沒有象今天這樣迫使我們必須去思考和面對信息安全的問題,因為當今是高度信息化的社會。我們生活在一個信息世界中,信息安全問題關系到每個人、家庭和社會各個組織機構。
從辨證學角度來說,變是絕對的,也是相對的。在5~5000年這個“漫長”的尺度上,信息安全領域有的在變,而且變化很大;有些東西也許并沒有多大的進展和變化。處理信息的設施在技術發展中變化著,解決信息安全的具體技術措施和手段也隨著發展,信息安全的內涵也不斷延伸,但有關信息安全的一些關鍵和核心的問題并沒有得到探討與思考。
“誰的”信息安全?
信息安全自身沒有價值和意義,它對于信息和信息系統所有者、管理者、使用者、監管者才有意義。因此,同樣一個信息及其系統對于不同的人、組織甚至國家的意義是不同的,因為其安全的目標和需求是不同的。比如說,某商業銀行的信息系統,對于銀行自身、銀行監管部門,以及政府來說,安全價值與意義有著根本的區別。作為企業的銀行,其安全核心是保障組織機構的正常運行和獲得商業利益的能力;作為行業管理部門是金融安全風險的一個組成部分;從國家和政府部門來說它是事關國計民生的重要信息系統,它的安全影響社會。
“什么的”安全?
從歷史發展看,信息安全逐步從信息傳輸的安全,發展到信息產生,傳輸、處理、存儲等整個生命周期的安全。同時,信息安全也從單純的指信息數據的保密安全,擴展到支撐信息流動的軟硬件、載體的IT安全。在新一代信息技術大規模普及的今天,信息安全還包括信息的使用安全,信息內容的安全與信息及信息系統互動的人的安全等方面。
因此,信息安全不是孤立的。當我們談論安全時,一定是指特定對象的安全,同時要強調這個特定的對象是對于誰而言,言論中的安全必須在明確的上下文環境之中,否則就失去意義和準確性。
安全是什么?
安全是一種或多種性質或屬性嗎?它和色彩,質量是對象的屬性類似嗎?這個問題很難回答。假設安全是“屬性”,安全信息安全經典定義中的保密性、完整性、可用性。這三性都是以否定語句來定義的。要證明一個肯定的性質存在比較容易,找到它即可。要證明“不被修改”等類似否定語句的性質比較困難。此外,要證明信息或系統同時滿足三個性質更為困難,因為這些安全性質是動態變化,它會隨著外部對手和系統內部自身變化而變化,也就是常說的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質是否妥當。近年來,從風險角度來重新定義安全的趨勢十分明顯,將安全定義為風險可控可管理的過程。這樣一來,安全就不是系統自身的性質了,轉化為對抗風險的保障能力。安全保障能力由技術、管理、人等措施來構建起來,安全亦被風險和保障兩個概念所取代,隱身在后面。安全與否不再是去尋找這些性質存在與否,而是去計算保障是否大于對應風險。如果是,就是安全。這種重新定義的安全將不再是性質,而是個過程和目標,通過過程去達到目標,而目標反映了信息安全在上下文環境定要求。
這些探討和思考能否達到我們理解信息安全的本質,筆者不得而知,但是這是一個探索的過程。在信息技術層面上,在我們實際可以設計實現的信息處理技術的進展中,可以看到未來信息安全技術的發 展趨勢:
軟件安全
軟件是構建信息世界和社會的核心部件,安全問題的產生很大程度上來源它的不安全、不可靠,如何提高軟件的安全性將會是個重點,有理由相信,隨著軟件形式化、自動化的提高,其安全性會快速的提高。
安全度量
有人說,不可度量的不是科學,信息安全正處于這樣的境地。確實,目前我們還無法在信息安全領域找到類似物理世界的度量,如時間量、空間量、質量等,也沒有類似比特的信息量,因此信息安全要成為科學還有很長的路要走。但盡管如此,我們已逐漸找到一些度量,它對提高安全是有好處的,比如安全功能強度,人力的部署和能力提升,過程控制的環節等等。
信息流控制
除了人、管理、網絡系統外,信息安全的核心問題還是保證數據和信息的安全。信息流如何開放的網絡系統環境中,如何在不可信、不安全的環境中構建可信的信息流動和控制機制是必須要解決的問題。因為數據和信息不可能像物理世界中永遠被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動態價值。
抗攻擊技術
由于對手一直存在,破壞安全的外部因素不會消失。安全事故和事件時時都會產生,如何提高信息和系統抗攻擊以及受攻擊后降低損失的技術十分重要,以防范為主的安全技術將被抗攻擊技術將逐步取代。
內部安全
安全技術也將從防范外部威脅為主,轉換到關注內部威脅為,構建內控技術和管理體系將會成為最熱的市場機遇。在這里,與業務邏輯和網絡行為相關安全分析成為技術難點。發展篇>>>
發展篇>>>
內外之道把脈“新安全”
吳錫源
當前,大多數企業的信息安全機制不堪一擊。具體來說,這些企業的安全措施所提供的防護級別難以應對它們所承受的實際風險。事實勝于雄辯:雖然各個企業已竭盡所能采取相應防護措施,但是它們仍然頻繁受到攻擊。據可靠數據統計:僅2005年,大約三分之二的企業至少發生一次安全事故,而半數以上的企業則至少發生三次安全事故。
面臨挑戰的安全管理
目前的主要問題在于,大多數企業只是采用側重邊界的高度反應性防御措施,因此無法與當前日新月異的威脅趨勢保持同步。新威脅層出不窮,并以前所未有的速度和效率進行傳播,在許多情況下必然會導致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對較少。實際上,Ernst&Young的《2005年全球信息安全調查》顯示,各個企業將其安全預算的50%用于“日常操作和事故響應”,僅將17%的預算用于完成“更關鍵的戰略項目”。
顯而易見,企業需要采用更為完善的解決方案才能針對當前的攻擊進行自我防護。因此,企業所需要的威脅管理解決方案具有以下特點:主動――能夠防御未知威脅;全面――能夠將所有企業內外的攻擊源頭阻擋在外;高效――非常經濟實惠的選擇。
在企業努力部署有效威脅管理解決方案的過程中,威脅趨勢的日新月異、符合法規要求的需要以及對反應性對策的過度依賴對于它們面臨的重重挑戰來說只是鳳毛麟角。
把脈新“安全”
傳播速度相對較慢的基于文件的病毒和群發郵件蠕蟲仍然屢見不鮮。實際上,在2005年上半年,這類威脅在向賽門鐵克報告的前10位惡意代碼示例中占三類。不過,黑客的動機已明顯從追求名聲轉向牟取暴利,而漏洞開發框架的日漸普及是威脅趨勢發生許多顯著變化的主要原因之一。
?威脅數量與日俱增
這不足為奇。由于黑客的動機越來越強烈,并且開發新型惡意軟件的難度越來越低,所以威脅的數量無疑會猛增。不僅如此,威脅制作軟件及其模塊化構造技術導致開發威脅變種的行為司空見慣。例如,2005年上半年,僅針對Win32平臺的新病毒和蠕蟲變種數量就已達到10800種。與前六個月相比,次數量就增加了48%。
?威脅生成時間日益縮短
日益成熟的黑客工具包不斷增多的另一惡果是開發新威脅所需的時間明顯縮短。因此,從發現新漏洞到發起針對該漏洞的特定攻擊之間的時間也無可避免地大大縮短。實際上,在2005年上半年,此時間段的平均持續時間僅為六天。
?威脅傳播速度正在加快
雖然近年來這方面威脅的趨勢沒有顯著變化,但是由于威脅的傳播速度已經非常驚人,所以這種形勢不容樂觀。例如,2001年紅色代碼在37分鐘內即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲每8.5秒傳播速度就會加倍,最終不到10分鐘就會感染90%易受攻擊的目標主機。而且,認為最終不會出現傳播速度更快的威脅完全不切實際。
?威脅日益變化莫測
導致變種數量不斷增多的因素也同時導致混合型威脅層出不窮。通過使用多種利用機制、有效負載和/或傳播方法,這類威脅更有可能避開企業防線,然后成功施加負面影響。另外,導致局面日益惡化的另一個原因是黑客目前主要攻擊系統和應用程序層的弱點,而不是網絡層的漏洞。這樣,他們的攻擊往往成為側重網絡層活動對策的漏網之魚;不幸的是,大多數企業目前只憑借這樣的對策來保護自己。
首先,威脅數量大增意味著不僅安全員工將承受更大的壓力,而且他們所實施的對策在一定程度上也會受到影響。還需要進行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達到平衡,很可能需要任命更多安全管理員或實施可提高操作效率的工具,特別是在研究和防范活動方面。第二個影響是使利用管理補丁程序進行防御的效果微乎其微。過去,從發現漏洞到漏洞被利用之間的時間長達數月,所以制造商可以從容開發和補丁程序,然后由企業對這些補丁程序進行測試和實施。但是,目前在發現漏洞后平均需要54天才能相關補丁程序,所以根本無法及時提供補丁程序。而且即便能夠及時提供,還需要考慮測試和實施相應補丁程序所需時間的問題。在最緊迫的情況下,最高效的企業可能需要幾天才能完成該過程。但這根本不具有代表性,企業補丁程序管理流程的常規執行時間至少需要30天。
安全之路延伸何方
面對不斷變化的新威脅,信息安全的環境也在發生著深刻的變革。
首先,由于需要保持競爭優勢,所以各個企業必須更迅速地應用新興技術(例如,WLAN、VolP和Web服務)以及所有現有技術和平臺的新版本。一般,各個企業不但必須管理和保護更多計算基礎架構和應用程序,而且其中大部分均為新出現的復雜架構和程序,極為分散。結果是由于配置錯誤和疏忽導 致的代碼漏洞與日俱增,而且弱點也越來越多。
其次,隨著內部威脅日益嚴重,企業的安全觀念正發生著深刻的變化。從歷史角度來看,企業一般將注意力集中在保護他們與互聯網的連接上面,很少保護他們的內部網絡和系統。不過,由于第三方連接日益增多,現場辦公的合同工需要連接到公司網絡,而且公司自身員工的移動性越來越強,從而導致威脅可以繞過互聯網邊界控制,然后從內部以相對迅猛的速度傳播。因此,除了原來必須要保護的日益增多的基礎架構外,企業現在還必須保護內部網絡和系統。
此外,確保內部網絡安全的另外一個要素是必須遵從各種“暗示”的法規和法律(如果沒有明示)。不過,從所占用的資源數量及有時會提供虛假的安全感角度來看,遵從這些要求反而會產生更多問題。事實上,一份最新調查表明遵從是信息安全活動的最重要的推動因素,該調查還表明由此而引發的主要活動是制定和更新各種策略和程序,而不是切實加強公司的安全架構或整體戰略。
更現實的還有預算問題,企業面臨的這方面挑戰在一定程度上變得欲蓋彌彰。只需看看現狀就足以:目前所制定的安全預算不僅不合理,而且這部分預算的使用方式往往對防御攻擊沒有幫助,此外這部分預算永遠處于與“企業”的其他需要進行競爭的狀態。
以上復雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對于安全部門可支配的資源而言,他們需要完成的工作過于繁重。與此同時,基礎業務需求(不考慮基礎架構)可謂常變常新。
策略篇>>>
“濕件”:另一種思維看安全
劉 恒
魯迪盧克在系列科幻小說《濕件》中講述了一個人類制造的肉身機器人如何控制和改變人類的故事。該書對人類腦力智慧(濕件)與帶有編碼化知識(軟件)的機器人(硬件)的結合并最終擺脫人類控制的前景作了最大膽的想象。
無獨有偶,“濕件”先后出現在黑客界和醫藥界,并且成為新經濟增長理論的一個術語。如今,啟明星辰率先在安全業界引入“濕件”理論,并開始成功應用到安全服務領域。
看到“濕件”二字,絕大部分人認為是“事件”的筆誤,其實不然,兩者毫無瓜葛,截然不同。“濕件”是指與計算機軟件、硬件系統緊密相連的人(程序員、操作員、管理員),及與系統相連的人類神經系統。由此可見,“濕件”,是儲存于人腦之中,無法與擁有它的人分離的能力、才干、知識等。
從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應該對“濕件”給予充分重視。“濕件”第一次將人的作用突出出來,而且這種作用遠遠高于軟件和硬件。沒有軟件,硬件是無用的;沒有人的操作或指示,軟件、硬件一起也做不了什么;由此可見,“濕件”是IT系統最為基礎的部分。
網絡安全的脆弱一環
盡管“濕件”的作用如此基礎和重要,但是長期以來卻未被提到應有的重視高度。尤其是在中國的網絡安全領域,對于“濕件”的研究基本是個“空白”,目前,啟明星辰公司敏銳地發現這一“空白”,第一次將安全“濕件”與安全服務緊密地聯系在一起,第一次將人在信息安全中的決定性作用突出了出來。
三個典型的案例很容易說明問題。
案例一:某小區的保安系統很健全,24小時有保安守衛,但最近卻發現有小偷入戶行竊。盡管沒有搞清入侵者是從哪兒進來的,有關部門還是貼了一個告示,提醒大家夏天別開窗戶以防小偷。由于沒有找出問題的癥結所在,同樣的事情在該小區再次發生。后來有人發現,小區里欄桿的設計不合理,讓小偷鉆了進去,如果拉兩個欄桿,就可以防止這種情況。
這個案例說明,我們必須充分了解攻擊者和攻擊行為發生的原因,才有可能有效防御攻擊。
案例二:某部門存放重要文檔的電腦出了故障,保管文檔的人在部門內對電腦進行了修理。一段時間后,該重要文檔泄漏了,并被公開到互聯網上。經過一番追查,最后發現是修理電腦的人偷偷將文檔拷貝了下來。這個案例說明,人員安全意識的缺失是遭到攻擊的致命因素。
案例三:“你想要值錢的東西嗎?想要,你就去拿吧。”全球最著名的黑客Mitrdck語出驚人。人們都認為他擁有無人能敵的高超技術,他卻在自己的《欺騙的藝術》一書中說,安全的核心和根本,不是技術問題,而是人和管理問題;安全最薄弱的環節是人的因素,穿透人這道防火墻往往非常容易。
從這三個案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務的意義所在。對“安全濕件”的強調,體現了一種系統的安全設計思想,有了這種意識,用戶在構建安全系統時會考慮更多的因素。如果用戶沒有考慮到“濕件”也是安全系統的一個組成部分,他設計出來的安全防御系統肯定是不健全的,是失去平衡的,結果是花了很多錢,建造的安全系統并不安全。
完善安全系統
信息安全是動態的,是過程,是攻擊和防御的平衡,從這個角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進一步細分下去。例如,防御型“濕件”還可以按照不同的人、不同類型的知識進行細分。
在信息安全系統中,攻擊和防御是密不可分、相輔相成的兩個方面。一方面,所謂“知彼知己、百戰不殆”,只有在攻防結合的基礎上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產品或方案存在著一個嚴重的缺陷,那就是并不了解攻擊者,也就是沒有防御的明確目標,只是憑想象強行建立起一種防御系統。其實也許用戶根本不需要那么強大的防御系統,這就是忽略了攻擊“濕件”產生的問題。
安全“濕件”有助于企業提高和完善現有系統的安全性。企業在進行安全投資的時候,應該首先注重培養人才,培養“濕件”,甚至應該把“濕件”擺在硬件和軟件之前考慮。實踐證明,“濕件”的投資回報率相當高,產生的效果巨大。“濕件”應該是排在軟件和硬件之前的基礎性的部件。
由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機,安全風險在所難免,安全產品和安全技術有時也會失靈。劉恒博士指出,許多安全問題僅憑安全產品和技術是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務去解決。
從上述角度來看,信息安全的關注點正在發生變化,轉向關注“濕件”。高明的用戶一方面要構建自己內部的安全“濕件”,另一方面在自身“濕件”不夠強健時,則可以購買專業安全公司提供的安全“濕件”。“濕件”作為服務成為主流,無疑是安全產業發展的必然趨勢。
嶄新的安全服務
“濕件”與安全服務緊密相關,但是并 不能劃等號,也不能劃大于號或小于號。因為服務強調的是一種形式和過程,而安全“濕件”強調的是安全軟件和硬件之外的人的重要性,突出的是系統的有機性,是一種強調完整協調一致的理念。安全“濕件”作為服務的一種形式應該成為安全業界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務。
作為一個重要的防御型“濕件”,M2S體現的是具有標志性的專業化的安全服務。這個體系是在啟明星辰TSP理念的指導下,在多年安全服務最佳實踐的基礎上,結合國際先進的安全服務理念、模型和業務模式,以用戶需求為中心,以注重實效為宗旨,推出的一種全面、細致的全新服務模式,主要包括國際化管理咨詢、專業化風險評估、實時性管理監控、專家型應急響應等內容。
M2S,一個能夠進行全面防范、即時監測、專家響應的實時安全過程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現了專業的監控技術與服務;MSS(Managed Security Services),體現了安全企業與國際通用托管式安全服務的融合,強調安全企業要保持國際安全服務的規范性;MtoS(Management to Security),闡明了安全企業倡導的“通過管理達到安全”的理念,也契合了“服務的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監控,這里尤其體現了本地化差異性,與國外MSM主要根據設備來實行監控管理不同,M2S致力于解決客戶幾乎所有的安全問題,范圍更為廣泛。
可以說,“濕件”理論與M2S的有效結合,提升了網絡和系統自身的防御能力,為更多的用戶提升了生產效能,而將安全“濕件”與服務緊密相聯,也完全可以有效幫助信息安全企業在安全服務領域樹立新的里程碑。
管理篇>>>
安全風險管理的游戲規則
駕馭風險,方可掌控安全。日前,綠盟科技專業服務部總監王紅陽,就目前信息安全風險評估以及風險管理的創新理念、前沿技術、創建適應企業發展的網絡環境等問題,接受了《軟件世界》雜志的采訪。
軟件世界:如何理解風險管理的概念?綠盟科技在這方面的研究有沒有什么前沿性的課題?
王紅陽:在COSO企業風險管理框架中,風險定義為任何可能影響某一組織實現其目標的事項。風險的范圍可能是財務、合法性、符合性、運維、市場、戰略、信息、技術、人員、聲譽等方面。風險包括惡性事件帶來的威脅、尚不能確定后果的事件、可轉化為機會的事件。風險管理是發現和了解組織中風險的各個方面,并且付諸明智的行動幫助組織實現戰略目標,減少失敗的可能并降低不確定的經營結果的整個過程。信息安全風險評估(本文以下簡稱“風險評估”),則是指依據國家、國際有關信息技術、安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估活動過程,它要評估信息系統的脆弱性、信息系統面臨的威脅,以及脆弱性被威脅源利用后所產生的實際負面影響等,并根據安全事件發生的可能性和負面影響的程度,來識別信息系統的安全風險。
信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。企業風險管理使管理當局能夠有效的應對不確定性以及由此帶來的風險和機會。
軟件世界:如何在一個組織的網絡中識別出風險所在?
王紅陽:風險評估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國際和國內標準,這些標準提供了評估過程、評估方法、評估模型、評估內容等多方面的規范化指導,同時在評估算法、評估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國、澳大利亞、新西蘭的標準和規范。
風險評估的過程就是對信息系統所面臨的各種風險發生的可能性和風險發生后的嚴重性進行評價,即在國際、國內等相關標準和規范的指導下對信息系統的資產、威脅、脆弱性三要素進行詳細具體的評估。
風險評估包含了(但不僅限于)以下一系列的技術評估手段和管理評估手段:
?安全掃描:通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。
?人工檢查:通過人工方式直接操作評估對象來獲取所需要的安全配置信息,主要解決遠程無法通過工具軟件或設備獲得的信息,以及為避免評估意外事件而采取的方法。
?IDS取樣分析:通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析。
?滲透測試:在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法。
?應用安全評估:對用戶業務應用軟件進行安全功能審核、滲透測試、源代碼審核等。
?安全管理審計:通過文檔審核、策略審核、問卷調查、顧問訪談等形式,對信息安全策略、組織信息安全、資產管理、人力資源安全、物理和環境的安全、日常運作和通訊、訪問控制、系統的獲得、開發與維護、信息安全事件管理、業務持續性管理、符合性等方面進行綜合評估。
軟件世界:信息資產風險管理的內容包括什么?通過怎樣的策略和方案可以達到風險管理的目的?
王紅陽:信息安全風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能存在的危害,以便為系統最終安全需求的提出提供依據。同時,也是為了分析網絡信息系統的安全需求,找出目前的安全策略和實際需求的差距,為保護信息系統的安全提供科學依據。進而通過合理步驟,制定出適合系統具體情況的安全策略及其管理和實施規范,為安全體系的設計提供參考。
信息安全風險評估是一個組織機構實現信息系統安全必要的、重要的步驟,可以使決策者對其業務信息系統的安全建設或安全改造思路有更深刻的認識。通過信息安全風險評估,他們將清楚業務信息系統包含的重要資產、面臨的主要威脅、本身的弱點;哪些威脅出現的可能性較大,造成的影響也較大,哪些威脅出現的可能性較小,造成的影響可以忽略不計;通過保護哪些資產,防止哪些威脅出現,如何保護和防止才能保證系統達到一定的安全級別;提出的安全方案需要多少技術和費用的支持,更進一步,還會分析出信息系統的風險是如何隨時間變化的,將來應如何面對這些風險,這需要建立一個晚上的體系。
