对美军而言,作战系统的网络化、信息化产生了巨大的军事效益,但伴随而来的风险和漏洞却对军事安全构成了严重威胁。技术进步和安全需求推动着美军网络安全保护工作在实践中不断发展和完善,美军以“纵深防御”战略为指导思想,大力加强信息安全体系的建设。
“纵深防御”战略的提出
“纵深防御”原指通过层层设防来保护动力学或现实世界的军事或战略资产,迫使敌方分散进攻力量,难以维系后勤保障,从而达到迟滞敌方进攻或使之无法继续进攻的战术目的。在网络空间防御中,“纵深防御”战略是指采用多样化、多层次、纵深的防御措施来保障信息和信息系统安全,其主要目的是在攻击者成功地破坏了某种防御机制的情况下,网络安全防御体系仍能够利用其他防御机制为信息系统提供保护,使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统。
20世纪末,随着网络技术的应用与发展以及“网络中心战”概念的提出,美军各部门和单位对信息和网络的依赖性不断增强,网络安全问题随之凸显,单纯的保密与静态防护已无法满足信息安全的需求,美军亟需与之相适应的信息安全保障措施。为满足军方的需求,美国国家安全局于1998年制定了《信息保障技术框架(1.0版)》(IATF)。IATF系统地研究了信息保障技术,提出了“纵深防御”战略,认为信息保障要靠人员、操作和技术来实现,并建立起了“防护、检测、响应、恢复”动态反馈模式(即PDRR模型)保障网络安全,为保护美国的信息基础设施提供了技术指南。在美军的实践中,“纵深防御”战略应用于一种风险共担的信息系统环境,由多方共同采取多样化、多层次的综合性防御措施来保障美军信息和信息系统安全。借助在信息系统内广泛采用的多种防御措施,“纵深防御”战略有效地解决和弥补了信息系统生命周期内在人员、技术和操作方面存在的安全漏洞和薄弱环节。
“纵深防御”战略的主要内容
人员、技术和操作是“纵深防御”战略的核心要素,着眼于人员管理、技术保障和运行维护的政策制度设计、装备技术研发、安全态势维持等活动,构成了“纵深防御”战略的主要内容。
人员是网络安全体系中的决定性因素。“纵深防御”战略强调人员因素,在领导层面上,要求领导层能够意识到现实的网络安全威胁,重视安全管理工作,自上而下地推动安全管理政策的落实;在操作人员层面,要求加强对操作人员的培训,提高信息安全意识;在人员制度层面,要求制定严格的网络安全管理规范,明确各类人员的责任和义务职责;在安全防范机制层面,要求建立物理的和人工的安全监测机制,防止出现违规操作。
技术是网络安全最基本的保障,是构建网络空间防御体系的现实基础。“纵深防御”战略提出:建立有效的技术引进政策和机制是确保技术运用适当的前提,只有依据系统架构与安全政策,进行风险评估,选择合适的安全防御技术,构建完善的防御体系,才有助于推动实现全面的网络安全。
操作是指为保持系统的安全状态而开展的日常工作,其主要任务是严格执行系统安全策略,迅速应对入侵事件,确保信息系统关键功能的正常运行。操作是“纵深防御”战略中的核心因素,人员和技术在防御体系中的作用只有通过经常性的运行维护工作才能得以体现。
实施“纵深防御”战略的指导思想及应用原则
“纵深防御”战略是美军保护网络系统核心部分免遭入侵的基本策略。美国防部规定各军兵种、国防部各部门、各司令部应运用“纵深防御”战略保护国防部的信息和信息系统,开展相应的计划和训练工作;各级领导部门需因地制宜地开展风险评估工作,制定有效的风险管理措施,并根据各单位的能力和水平采取有效的“纵深防御”措施;在国防部信息系统的软硬件研发过程中,应贯彻“纵深防御”战略,积极建设相关网络安全防御系统,采取渐进的方式优先保护关键资产和数据。为推动“纵深防御”战略的实施,深化认识、明确重点,IATF提出实施“纵深防御”战略应遵循“多处设防、分层防护、细化标准”等原则。
多处设防。“纵深防御”战略把网络与基础设施、飞地边界、计算环境和支撑性基础设施列为重点防护区域,实际应用当中涉及针对路由器、防火墙、VPN、服务器、个人计算机和应用软件等的保护。本地计算环境的防护以服务器和工作站为重点,是信息系统安全保护的核心地带。飞地是一组本地计算设备的集合,飞地边界防护主要关注如何对进出这些“区域”边界的数据流进行有效地控制与监视。网络及其附属基础设施是连接各种飞地的大型传输网络,由在网络节点间传输信息的设备构成,包括各类业务网、城域网、校园网和局域网。网络及其附属基础设施的安全是整个信息系统安全的基础。支撑性基础设施(如密钥管理基础设施)是网络安全机制赖以运行的基础,其作用在于保障网络、飞地和计算环境中网络安全机制的运行,从而实现对信息系统的安全管理。
分层防护。美军在实施“纵深防御”战略的过程中,按照分层的网络体系结构,对国防信息系统各层面临的安全威胁进行充分的分析评估,针对不同的安全威胁分层部署防护和检测机制措施,形成梯次配置,进而增加攻击被检测的风险,提高攻击成本,降低其成功几率。以美海军为例,美海军在实施“纵深防御”战略的过程中,构建起了以“主机、局域网、广域网、海军GIG网络、国防部GIG网络”五个区域为基础的设防区域,综合运用入侵防御系统、防火墙、基于主机的安全系统等分层防护措施实施网络防御。
细化标准。细化标准是对各类网络安全系统机制的强度(如加密算法的强度)和网络安全技术解决方案的设计保障(如采用机密手段确保机制的实施)做出具体的规定。为了描述网络安全的强度,美国防部制定了初、中、高三个等级,并提出国防信息系统的“纵深防御”战略中,网络安全技术解决方案应根据系统的重要性等级,采取其中一个级别的措施。例如高等级的安全服务和机制可提供最严格的防护和最强的安全对抗措施,高等级的安全解决方案必须达到下列要求:采用国家安全局认证的1类密码用于加密;采用国家安全局认证的1类密码验证访问控制;密钥管理方面,对于对称密码,采用国家安全局批准的密钥管理措施(创建、控制和分发),对于非对称密码,使用5类PKI认证和硬件安全标识保护用户私有密钥和加密算法;采用的产品需通过国家安全局的评估和认证。
“纵深防御”战略的实践和发展
美军率先将“纵深防御”战略应用于全球信息栅格的建设,加强顶层设计与长远规划,积极开展安全技术创新,大胆借鉴和利用成熟的商用安全产品,从组织管理、装备技术和政策法规层面,建立起综合性网络安全保障体系,不断强化国防信息系统的安全。
在组织管理层面,为推动“纵深防御”战略的落实,美军建立了以联合参谋部为领导机构、各军种具体负责、国家安全局和国防信息系统局提供技术支援和保障的组织管理体系。联合参谋部情报部部长负责制定保障“纵深防御”战略的情报条令和法规,联合参谋部作战计划与联合部队发展部负责计划和在演习中落实“纵深防御”战略;各军种部长负责制定本军种“纵深防御”战略的具体实施细则,监督所辖网络的贯彻和执行情况;国防信息系统局局长负责组织和领导国防信息系统“纵深防御”战略防御技术的研发工作,会同参联会主席和国家安全局局长制定“纵深防御”战略分层保护措施,并监督落实情况;国家安全局局长负责管理IATF的制定工作,保障“纵深防御”战略的实施,并提供相应的工程技术支援。
在装备技术层面的建设,美国国防部要求:美军网络空间安全解决方案应坚持以通用性和综合性为研发方向,以“纵深防御”为基本手段,以C4ISR框架结构为基础,推动网络空间作战的发展。为此,美军贯彻“先关键资产和数据,后飞地网络”的保护原则,通过技术研发和装备采办,有重点、分阶段地推动装备技术防御体系的完善和更新。装备技术体系建设核心内容包括密码技术、非军事区、虚拟安全飞地、基于主机的安全系统“应用程序白名单”技术和网络态势感知。
在政策法规层面,2009年美国国防部制定并颁布了《网络空间的信息保障发展战(CIIA)》,提出了国防部信息系统安全建设的“网络保障、身份保障和信息保障”总体目标,从能力建设、任务管理、攻击防范和应变处置四个方面提出了具体的工作任务目标。为促进任务目标的落实,国防部首席信息官办公室制定了《信息安全政策总图》,以四项任务目标为总纲,着眼“纵深防御”战略的实际应用,对国防部和联邦政府现行的网络安全政策和技术法规进行了全面的梳理和分类,内容涉及网络空间安全工作的组织与领导、网络空间作战技术研发、从业人员职业技能培训、通信加密和信息共享管理、网络攻击防范、可信网络系统建设以及加强网络安全战备等方面,从而建立起了完整而又清晰的“纵深防御”战略的政策法规体系。
工信部保〔2014〕368号
各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络应急技术处理协调中心,工业和信息化部电信研究院、通信行业职业技能鉴定指导中心,中国通信企业协会、中国互联网协会,各互联网域名注册管理机构,有关单位:
近年来,各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求,在加强网络基础设施建设、促进网络经济快速发展的同时,不断强化网络安全工作,网络安全保障能力明显提高。但也要看到,当前网络安全形势十分严峻复杂,境内外网络攻击活动日趋频繁,网络攻击的手法更加复杂隐蔽,新技术新业务带来的网络安全问题逐渐凸显。新形势下电信和互联网行业网络安全工作存在的问题突出表现在:重发展、轻安全思想普遍存在,网络安全工作体制机制不健全,网络安全技术能力和手段不足,关键软硬件安全可控程度低等。为有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提高电信和互联网行业网络安全保障能力和水平,提出以下意见。
一、总体要求
认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神,坚持以安全保发展、以发展促安全,坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施,坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合,坚持立足行业、服务全局,以提升网络安全保障能力为主线,以完善网络安全保障体系为目标,着力提高网络基础设施和业务系统安全防护水平,增强网络安全技术能力,强化网络数据和用户信息保护,推进安全可控关键软硬件应用,为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。
二、工作重点
(一)深化网络基础设施和业务系统安全防护。认真落实《通信网络安全防护管理办法》(工业和信息化部令第11号)和通信网络安全防护系列标准,做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。加强网络和信息资产管理,全面梳理关键设备列表,明确每个网络、系统和关键设备的网络安全责任部门和责任人。合理划分网络和系统的安全域,理清网络边界,加强边界防护。加强网站安全防护和企业办公、维护终端的安全管理。完善域名系统安全防护措施,优化系统架构,增强带宽保障。加强公共递归域名解析系统的域名数据应急备份。加强网络和系统上线前的风险评估。加强软硬件版本管理和补丁管理,强化漏洞信息的跟踪、验证和风险研判及通报,及时采取有效补救措施。
(二)提升突发网络安全事件应急响应能力。认真落实工业和信息化部《公共互联网网络安全应急预案》,制定和完善本单位网络安全应急预案。健全大规模拒绝服务攻击、重要域名系统故障、大规模用户信息泄露等突发网络安全事件的应急协同配合机制。加强应急预案演练,定期评估和修订应急预案,确保应急预案的科学性、实用性、可操作性。提高突发网络安全事件监测预警能力,加强预警信息和预警处置,对可能造成全局性影响的要及时报通信主管部门。严格落实突发网络安全事件报告制度。建设网络安全应急指挥调度系统,提高应急响应效率。根据有关部门的需求,做好重大活动和特殊时期对其他行业重要信息系统、政府网站和重点新闻网站等的网络安全支援保障。
(三)维护公共互联网网络安全环境。认真落实工业和信息化部《木马和僵尸网络监测与处置机制》、《移动互联网恶意程序监测与处置机制》,建立健全钓鱼网站监测与处置机制。在与用户签订的业务服务合同中明确用户维护网络安全环境的责任和义务。加强木马病毒样本库、移动恶意程序样本库、漏洞库、恶意网址库等建设,促进行业内网络安全威胁信息共享。加强对黑客地下产业利益链条的深入分析和源头治理,积极配合相关执法部门打击网络违法犯罪。基础电信企业在业务推广和用户办理业务时,要加强对用户网络安全知识和技能的宣传辅导,积极拓展面向用户的网络安全增值服务。
(四)推进安全可控关键软硬件应用。推动建立国家网络安全审查制度,落实电信和互联网行业网络安全审查工作要求。根据《通信工程建设项目招标投标管理办法》(工业和信息化部令第27号)的有关要求,在关键软硬件采购招标时统筹考虑网络安全需要,在招标文件中明确对关键软硬件的网络安全要求。加强关键软硬件采购前的网络安全检测评估,通过合同明确供应商的网络安全责任和义务,要求供应商签署网络安全承诺书。加大重要业务应用系统的自主研发力度,开展业务应用程序源代码安全检测。
(五)强化网络数据和用户个人信息保护。认真落实《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号),严格规范用户个人信息的收集、存储、使用和销毁等行为,落实各个环节的安全责任,完善相关管理制度和技术手段。落实数据安全和用户个人信息安全防护标准要求,完善网络数据和用户信息的防窃密、防篡改和数据备份等安全防护措施。强化对内部人员、合作伙伴的授权管理和审计,加大违规行为惩罚力度。发生大规模用户个人信息泄露事件后要立即向通信主管部门报告,并及时采取有效补救措施。
(六)加强移动应用商店和应用程序安全管理。加强移动应用商店、移动应用程序的安全管理,督促应用商店建立健全移动应用程序开发者真实身份信息验证、应用程序安全检测、恶意程序下架、恶意程序黑名单、用户监督举报等制度。建立健全移动应用程序第三方安全检测机制。推动建立移动应用程序开发者第三方数字证书签名和应用商店、智能终端的签名验证和用户提示机制。完善移动恶意程序举报受理和黑名单共享机制。加强社会宣传,引导用户从正规应用商店下载安装移动应用程序、安装终端安全防护软件。
(七)加强新技术新业务网络安全管理。加强对云计算、大数据、物联网、移动互联网、下一代互联网等新技术新业务网络安全问题的跟踪研究,对涉及提供公共电信和互联网服务的基础设施和业务系统要纳入通信网络安全防护管理体系,加快推进相关网络安全防护标准研制,完善和落实相应的网络安全防护措施。积极开展新技术新业务网络安全防护技术的试点示范。加强新业务网络安全风险评估和网络安全防护检查。
(八)强化网络安全技术能力和手段建设。深入开展网络安全监测预警、漏洞挖掘、恶意代码分析、检测评估和溯源取证技术研究,加强高级可持续攻击应对技术研究。建立和完善入侵检测与防御、防病毒、防拒绝服务攻击、异常流量监测、网页防篡改、域名安全、漏洞扫描、集中账号管理、数据加密、安全审计等网络安全防护技术手段。健全基于网络侧的木马病毒、移动恶意程序等监测与处置手段。积极研究利用云计算、大数据等新技术提高网络安全监测预警能力。促进企业技术手段与通信主管部门技术手段对接,制定接口标准规范,实现监测数据共享。加强与网络安全服务企业的合作,防范服务过程中的风险,在依托安全服务单位开展网络安全集成建设和风险评估等工作时,应当选用通过有关行业组织网络安全服务能力评定的单位。
三、保障措施
(一)加强网络安全监管。通信主管部门要切实履行电信和互联网行业网络安全监管职责,不断健全网络安全监管体系,积极推动关键信息基础设施保护、网络数据保护等网络安全相关立法,进一步完善网络安全防护标准和有关工作机制;要加大对基础电信企业的网络安全监督检查和考核力度,加强对互联网域名注册管理和服务机构以及增值电信企业的网络安全监管,推动建立电信和互联网行业网络安全认证体系。国家计算机网络应急技术处理协调中心和工业和信息化部电信研究院等要加大网络安全技术、资金和人员投入,大力提升对通信主管部门网络安全监管的支撑能力。
(二)充分发挥行业组织和专业机构的作用。充分发挥行业组织支撑政府、服务行业的桥梁纽带作用,大力开展电信和互联网行业网络安全自律工作。支持相关行业组织和专业机构开展面向行业的网络安全法规、政策、标准宣贯和知识技能培训、竞赛,促进网络安全管理和技术交流;开展网络安全服务能力评定,促进和规范网络安全服务市场健康发展;建立健全网络安全社会监督举报机制,发动全社会力量参与维护公共互联网网络安全环境;开展面向社会公众的网络安全宣传教育活动,提高用户的网络安全风险意识和自我保护能力。
(三)落实企业主体责任。相关企业要从维护国家安全、促进经济社会发展、保障用户利益的高度,充分认识做好网络安全工作的重要性、紧迫性,切实加强组织领导,落实安全责任,健全网络安全管理体系。基础电信企业主要领导要对网络安全工作负总责,明确一名主管领导具体负责、统一协调企业内部网络安全各项工作;要加强集团公司、省级公司网络安全管理专职部门建设,加强专职人员配备,强化专职部门的网络安全管理职能,切实加大企业内部网络安全工作的统筹协调、监督检查、责任考核和责任追究力度。互联网域名注册管理和服务机构、增值电信企业要结合实际健全内部网络安全管理体系,配备网络安全管理专职部门和人员,保证网络安全责任落实到位。
随着社会的快速发展,计算机信息管理技术应用到各个行业中,并得到广泛的推广。但是,随着计算机技术的发展,网络安全遇到了新的考验,这些威胁到网络安全的问题严重制约了计算机信息管理的发展。本文主要通过对计算机信息管理技术在网路安全的重要性进行探析,同是,还对网络安全中计算机使用的具体方案进行探析,并对相应的不足之处提供解决方案。
关键词:
计算机信息管理技术;网络安全;方案
1网络安全收到威胁
科学技术在快速发展,连带着计算机信息管理技也运用到各个行业并起到重大效用。据统计,我国的网络使用者在2014年的时候就已经达到六个亿,而手机上网者的也在不断突破,据统计也将超过五个亿,由此可见,网络使用者在逐渐发展壮大。此外,国内超过九成的企业都在用互联网,互联网的发展不仅走向广大群众,也促进我国经济的发展。所以,提高计算机信息管理技术就是提高网络安全,是非要有必要的。在未来的发展中,计算机技术的使用肯定渗透到各方各面,如何保证网络安全是整个社会发展的必然考虑因素。此外,为了增强网络安全,也必须要提高计算机管理信息管理技术。目前,危险网络安全最常见的是网络黑客,比方说盗取信息,篡改信息,或者网络钓鱼等,此类袭击网络安全的事件主要使用的是病毒,因此,只有加强计算机技术,才能确保网络安全,才能保证整个网络的使用。
2网络安全存在的风险
网络的安全不管是针对个人还是企业或者政府,因此,网络的安全尤其重要。目前,互联网是完全开放的,哪怕是一个很小的网络空间,也很难保证网络的安全。现在对网络管理极大功能的统计有计费、安全、故障、性能以及配置等几点。由此可见管理网络安全非常的重要。对于大多数的人来说,网络安全是一个尤为严重的事情,这是对每一个人都有影响的事情。我们目前使用的网络每个时间都会收到网络袭击,特别是在云计算发展的今天,如何保证互联网的安全是目前考虑的重要问题,因此,我们要注重网络安全的防御工作。
3增加计算机信息管理技术在网络安全中的方法
3.1做好网络风险的评估
通常来说,网络风险的评估主要通过以下几点:第一个就是对网络安全事件的危害程度进程判别;第二个就是对危害网络安全的控制以及使用的措施进行判别。因此,在今后的工作中只有确保网络风险的评估工作才能确保网络的安全,才能及时的发现危害网络安全的因素,以及制定出相应的措施。此外,还要做好防范方案的调整,只有这样才能充分确保网络安全的运行,才能规避运动的风险。总体来说,就是要使用科学的方案来确保网络安全。
3.2做好网络风险防范措施
网络风险的最好方式就是需要国家的有效政策,比方说构建有效的互联网网络安全管理组织,或者有针对性的建设一些平台,以便交流等。只有这样才能在网络安全受到威胁的时候有效的组织起来,将网络危害降低到最低,以完成对网络的完全的最终目的。
3.3完善网络安全制度
网络安全中如何有效的发挥计算机信息管理技术,首先要做的是建设晚上的网络安全制度,只有规范管理计算机信息网络,才能推进整个信息模块的建设,才能确保网络的安全。比方说目前使用的安全制度有防护网、防火墙、软件过滤、密码、身份验证等。所以,在未来的发展中要大力推广这些安全制度,只有这样才能及时采取有效措施组织对网络的破坏。
3.4加强网络安全防护意识
安全问题是网络肯定存在的问题,加强网络安全还有一个点就是要提高使用者的安全意识,只有充分了解网络安全的重要性,才能更大程度的规避危险。因此,计算机使用者要做好防范意识,以确保计算机信息管理技术充分的利用。3.5注意加强操作系统的安全工作确保计算机正常使用的重要系统就是操作系统。但是在实际情况中,有很多因素影响着操作系统方便运行,这些影响操作的都会给网络安全增加隐患。所以,确保网络安全的事情之一就是确保操作系统的正常使用。比方说,建设一个完善的安全防护体系,以弥补操作系统存在的漏洞,这些安全防护体系包括一些VPN,或者一些防火墙,只有这样才能完善操作,才能提高网络安全。
4结语
目前,计算机信息管理技术应用到网络上面还有着很多的问题,针对这些问题我们也在不断的提出解决方案。因此,在未来网络安全的问题上面,首要做的事情就是做好操作系统的安全问题,只有这样才能最大程度的利用计算机信息管理技术,才能提升网络安全等级。
参考文献
[1]刘博.计算机信息管理在网络安全中的应用研究[J].计算机光盘软件与应用,2013,(15):138-139.
[2]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用,2012,(23):57+88.
关键词:网络安全;动态安全模型;P2DR;企业园区网
中图分类号:TP393.08文献标志码:A
近年来,网络安全技术的研究逐渐摆脱了传统的单一防守思想局限,开始关注入侵检测系统以及实时响应系统在网络安全中的重要作用。P2DR作为一种全面、动态、实时的主动防御和利用入侵检测制定及时响应措施的模型代表,为网络安全管理提供了很好的解决方案。它能够根据网络动态变化的情况及时做出相应的调整,以维持网络系统的相对安全稳定的状态。
1P2DR模型
P2DR模型是一个动态模型,其中引进了时间的概念,而且对如何实现系统安全,如何评估安全的状态给出了可操作性的描述,P2DR模型是对传统安全模型的重大改进。P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)。防护、检测和响应组成了一个较完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。P2DR网络安全模型如图1所示。
(1)Policy。它是模型的核心,负责制定一系列的控制策略、通信策略和整体安全策略。一个策略体系的建立包括安全策略的制定、评估和执行等。策略意味着网络安全要达到的目标,它决定了各种措施的强度。因为追求安全是要付出代价的,一般会牺牲用户使用的舒适度,还有整个网络系统的运行性能,因此策略的制定要按照需要进行。在制定好策略之后,网络安全的其他几个方面就要围绕着策略运行。
(2)Protection。它是模型的重要组成部分,通过传统的静态安全技术和方法来实现,主要有防火墙、数字加密技术、身份认证控制等。通过防火墙监视、限制进出网络的数据包,防范内外网之间的非法访问,提高网络的防护能力,保护信息系统的保密性、完整性、可用性、可控性和不可否认性,可以根据安全策略来制定程序内置主机防火墙策略。
(3)Detection。它是整个模型动态性的体现,能够保证模型随着事件的递增,防御能力也随着提升。检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在的,检测的对象主要针对系统自身的脆弱性及外部威胁,利用检测工具了解和评估系统的安全状态。
(4)Response。它是解决安全潜在性的最有效的方法,在安全系统中占有重要的地位。主要负责在检测到安全漏洞和安全事件之后及时做出正确的响应,从而把系统调整到风险最低,最为安全的状态。
2某企业园区网络安全系统方案的设计
随着企业的快速发展,应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,计算机病毒、系统非法入侵、数据泄密、木马植入、漏洞非法利用等信息安全事件时有发生。企业园区的主要功能包括园区办公,科研生产,实验测试等等,而相关的产品设计方案、生产制造数据、设备程序代码等等都是企业赖以生存的商业机密,任何数据的丢失都可能给企业带来无法想象的损失。企业园区信息安全体系最终目的就是保护数据安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。
2.1设计原则
企业园区网络安全体系结构是一种被划分若干层面、多层次和立体的安全构架,体系涉及网络安全策略指导、网络安全标准规范、网络安全防范技术、网络安全管理保障和网络安全服务支持体系等诸多方面,因此建立动态安全体系结构应遵循:
(1)先进性和整体性。它不是一个独立的个体,而是由一组相互补充、相互作用的安全防范标准、技术与工具组成的有机整体;
(2)层次性和区域性。它不是各项安全工具的顺序排列,而应该是在多层次、多区域和不同保护措施的等级上的三维空间中安全工具的有选择的部署,根据安全保护等级在不同层次、不同区域的系统中部署各类安全工具,建立起安全工具之间的依赖关系,形成一个有机的三维网络安全体系。
(3)实用性与通用性。它应该与实际需要协调一致,不同的网络环境应该针对不同的重点采用不同的安全解决方案;
(4)高性能与可扩展性。它应该可以随网络系统的变化而调整,并根据实际需求进行扩展。
2.2网络安全系统设计
某企业园区网络的典型场景如图2所示。
从图可以看出,整个企业园区网路大致可以分为办公接入区、科研生产区、实验测试区、管理中心区、数据中心区、广域网接入区和生产外联区等7个业务子网区域。数据中心区是整个园区网络的核心部分,对整个数据中心构成安全威胁的区域主要是办公接入区、实验测试区、广域网接入区和生产外联区。因此要做好这四个区域的访问控制限制,避免病毒和攻击入侵到数据中心区,确保整个园区网络系统稳定、可靠、安全的运行,为整个园区的办公与科研生产提供有利的保障。
办公接入区与实验测试区主要是园区用户的PC机接入。一方面,由于很多用户安全意识匮乏,对网络攻击和防范了解又很少,在不知不觉中就遭到了安全攻击;另一方面,整个网络系统还不可避免地受到来自内部一些员工的违规接入、非法上联甚至是恶意的入侵攻击、破坏等行为。此区域需要重点防范基于七层的网络病毒泛滥的威胁,如:木马、蠕虫以及各种基于系统漏洞的病毒,所以,在办公网络接入区和实验测试区部署IPS。
广域网接入区是一个严重的危险区域,该区域是本园区与其他园区及上级部门的汇聚区域,外来数据都要通过此区域流入到园区网络的数据中心,只要有一个节点或者一个分支网点被病毒感染,就会严重威胁到数据中心的安全,使整个园区办公网络与科研生产网络受到严重影响,所以此区域需部署IPS与防火墙。
生产外联区是园区与外界交换的一种重要部分,园区内相关部门通过该区域可以访问互联网,以获取外界最新信息,也方便外网用户访问园区的一些公共信息,实现园区内外的信息交互。随着互联网的发展,生产外联区将会成为展现园区实力一个重点窗口,但同时生产外联区既与网络核心交换区直接相连,又是一个Internet出口,必将是黑客入侵、病毒侵蚀、网络钓鱼欺骗等众多危害最严重的区域,所以此处的安全部署不容忽视,需在出口处部署防火墙和IPS。
2.3系统的实现
结语
P2DR网络安全模型理论给人们提出了全新的安全概念,安全不能依靠单纯的静态防护,也不能依靠单纯的技术手段来解决,而是随着网络技术、应用技术的发展而发展。本文通过对P2DR网络安全模型的研究,结合各种网络安全技术和管理手段,给出了基于P2DR模型的某企业园区网络安全系统的设计方案。实践运行结果表明,该设计方案具有良好的安全效果。
参考文献
[1]侯小梅,毛宗源.基于P2DR模型的Internet安全技术[J].计算机工程与应用,2000.
一是坚持依法建设,在健全制度规范上下功夫。目前,人防档案工作法规建设比较薄弱,相关制度规定不够健全,现有档案法规偏重宏观指导,缺乏具体规范,刚性不足,操作性和可行性不够。特别是档案信息化建设与管理的法规标准还不够完善,档案部门各自为政,制度规定五花八门,应用软件系统不统一,标准建设落后于实际工作,与人防系统准军事化建设的需求还不相适应。应抓紧调查研究,搞好顶层设计,尽快制定与上位法和工作实际相适应的法规制度,使立卷归档、查阅使用、保管解密等各个方面都有法可依,逐步形成与人防信息化建设相衔接、与机关公文运转相协调、与档案工作发展相适应的规章制度。要加快档案信息管理系统研发、推广应用和综合集成,建立一套科学、先进、实用、操作性强的标准规范,逐步形成标准统一、安全高效的档案信息管理与服务平台,使人防档案信息资源管理和利用服务实现互通、互联和共享。
二是坚持信息主导,在构建网络环境上下功夫。网络技术的普及正在重构人们的工作方式和生活方式,人防档案信息管理与服务同样面临网络化问题,是否充分利用网络技术来提供档案信息服务已不再是单纯的技术手段问题。人防档案信息服务的网络化不仅可以从根本上提高档案信息服务的效率和效益,更重要的是顺应了网络化办公与生活的活动方式,更好地实现与社会的高效互动。因此,应树立信息主导的理念,抓紧进行研究和论证,加大力量投入,逐步建立起功能完备、综合性强、覆盖面广的人防档案信息资源网络,为用户提供高效便捷的档案信息服务。一方面,要加快人防文档一体化管理系统建设,构建统一的网络平台,实现人防系统内档案资源共享、服务互补以及相关技术共同开发和维护;另一方面,在严格保密、确保安全的基础上,加强与外部网络系统的协同合作,借鉴其他信息服务机构的经验,形成相互交融、互惠互利的外部网络环境。
三是坚持统筹规划,在建立标准体系上下功夫。传统意义上人防档案保护标准化主要是指档案库房、档案设施、档案装备等标准化以及纸质档案管理保护标准化。随着新型存储介质的不断出现和现代信息处理技术的广泛应用,出现许多新型载体的档案,如机读档案、声像档案、图片档案等,大量的人防档案信息也将被电子化以文件的形式保存起来,存储于各式各样的磁盘、光盘、硬盘、数据流磁带等不同形式介质中。因此,以新型档案载体作为对象的档案保护标准化将成为今后研究的重点内容,不仅要研究有效保护和保管档案载体的方式方法,还要研究如何保护档案信息内容的安全性、真实性、完整性、有效性及可用性的措施,借助技术和管理双重手段,逐步建立科学、有效的档案信息化管理体系,形成系列而完整的标准技术规范,促进档案信息资源的价值实现,推动档案文明保护与传承。
四是坚持以人为本,在强化人才素质上下功夫。人防档案工作科技含量很高、专业性很强,涉及多门学科、多项技术、多个领域。随着信息技术在档案工作领域的普及与应用,各种新型载体档案大幅度增加,机读型、视听型档案大量涌现,如果档案工作者还停留在传统的工作模式与业务水准上,就很难适应档案信息化建设与发展需要。要加大档案人员的任职教育和继续培训力度,制定切实可行的培养计划,充分利用各种培训资源,在提高专业水平与实践能力的同时,尽快掌握档案工作最前沿、最需要、最实用的现代信息技能,熟悉了解新知识、新理论,不断扩大知识面,改善和更新知识结构。要增强人防档案管理人员运用专业理论解决实际问题的能力,使其熟练掌握编目、标引、建立数据库、网络检索等知识,熟悉各类信息系统软件和网络工具,熟练运用多媒体技术,不断提高档案管理人员的业务水平和管理能力,努力培养专家型、复合型、研究型、创新型的高素质档案人才。
五是坚持科学管理,在提高信息功效上下功夫。信息时代,人防档案载体日趋多元,信息构成多种多样,人防档案的存储、保管、防护和开发利用都面临新情况新问题,加强档案安全科学管理是实现信息化的第一要务。要以现代科学理论为指导,根据人防档案工作的客观规律和档案信息的建设发展进行合理的组织、计划和控制,用现代技术手段将档案信息资源进行规范调整,对各类档案数字信息实施有效控制,实现档案信息有序化系统化。加快提升人防档案信息化管理水平,应用先进技术和科学管理手段,保证数字档案信息资源的可靠可信和长期可用,不断提高档案信息应用功效。加强人防档案服务利用高效化,运用多功能检索技术满足用户利用各种平台进行快速、准确、全面的查询要求,进一步提高档案服务利用的现代化水平。不断更新安全防护设施设备,利用现代高新技术手段,加强人防档案信息的科学管理,确保人防档案的安全。
关键词:802.1X网络准入控制Symanteccisco
0引言
目前,企业的办公和生产对信息化的依赖程度越来越高,对信息网络安全要求也越来越高。企业的信息网络规模越庞大,信息接入点就越多,难以杜绝不符合安全规范的终端接入网络中,这些终端都将成为传播病毒的源头和被病毒感染的对象,影响企业内部信息网络和终端的可利用率。
为防止非授权终端和用户接入网络,消除不符合企业安全策略的终端接入网络所带来的安全隐患,建立一套网络准入控制系统,能够有效保证只有合法的用户在经过授权、并且使用符合安全策略的终端上才可以接入企业的内部信息网,从而实现接入内部信息网的终端和用户都是合法的、安全的、可控的,对于不符合安全要求的终端,只能接入到隔离网络进行安全修复。
1、需求分析
(1)设备准入控制
建立内部信息网接入网络准入控制改造,实现基于MAC地址授权的设备准入控制,只有经过授权的终端才可以接入内部信息网络。
(2)用户准入控制
基于交换机端口802.1x的用户准入控制,通过与AD域结合,实现只有合法用户才可以接入内部信息网络。
(3)系统安全合规性准入控制
消除不符合企业安全策略的终端接入网络带来的安全隐患,实现只有符合公司安全接入策略的终端才能接入企业内部信息网络。
2、产品选型:
目前主流的主机安全合规性检查产品入产品主要有Symantec网络访问控制产品、Cisco网络访问控制产品、Forescout网络准入控制产品,下面对主流的网络准入产品进行比较。详见表一。
3、综合对比:优点:(1)SymantecNAC技术比较成熟,功能比较完善,稳定性较好。与Symantec防病毒系统、端点保护系统无缝集成,是一套完整的桌面终端安全保护和网络准入方案,带有完整的端点保护功能:防病毒、主机防火墙、主机IPS、程序控制等保护功能,无需再安装额外的端点防护软件。
(2)JuniperUAC可使用802.1X将其部署在L2,或使用防火墙的部署方法将其部署在L3。也可使用混合模式来设置UAC,将802.1X用于网络准入控制并将L3设置用于资源接入控制。采用混合模式来可以取得较高的控制强度。终端管理简单方便,可选择免安装Agent方式。
(3)CiscoNAC多种方案供选择和部署方式多样化。处理工作倚重硬件完成,性能较好。使用轻量Agent,对客户端资源消耗小。
缺点:(1)SymantecNAC客户端功能全,对客户端消耗资源较大。不支持使用网络防火墙作为接入控制。
(2)JuniperUAC采用802.1X+防火墙的混合控制方式,需要在每台接入交换机处安装Juniper防火墙,耗资较大。不支持除Juniper外其他网络防火墙作为接入控制。终端无防病毒系统和端点防护系统,需配合其他品牌产品使用。
(3)CiscoNAC方案过于复杂分散、组件过多,对日后运行维护复杂,管理较困难。终端无防病毒系统和端点防护系统,需配合其他品牌产品使用。
从产品的稳定性、功能完善性、维护管理简易度的角度,以及产品的日志系统、报表系统等角度分析,SymantecNAC准入控制系统在主机安全合规性检查产品相当大的优势。所以在本次网络准入中采用SymantecNAC准入控制系统在主机安全合规性检查。
4、总体实现设计
4.1总体实现设计说明:
(1)METAIPDHCP服务器对接入到网络提出IP地址申请的设备进行MAC地址认证,非授权接入的设备一律拒绝分配IP地址;
(2)赛门铁克LANEnforcer设备会对分配了IP地址而对交换机提出802.1X认证请求的设备进行有关的终端合规性检查。对于不符合安全策略的终端根据策略执行不同的处理,可以将其置于隔离区;
(3)对于不符合安全策略的终端,可以分配到受限组并令其限时修复;也可以只是对其进行提示,还可以有其他多种的处理方法;
(4)所有终端设备(除了极少数设备没有DHCP功能而需要在交换机上设置例外放行规则之外)都必须通过合法DHCP服务器来获得正确的IP地址,否则接入交换机会利用DHCPSNOOPING+DAI特性禁止其进入;
(5)在接入交换机的上级三层汇聚交换机上启用DHCPSNOOPING+DAI特性,交换机检查记录所有的DHCP请求以及返回地址分配信息、IP地址租用时间,对IP地址、MAC地址、交换机物理端口进行动态绑定,在IP地址租用时间范围内符合以上绑定信息的通信才可以通过交换机端口,也就是说满足以上绑定条件才能进入网络;
(6)安全策略检查、文件审计、访问限制等策略的执行,一般由SEP客户端实现;LANEnforcer也可以对终端进行扫描以检查其是否符合策略;
(7)安装了SEP客户端能够自动判别使用环境的不同,而执行不同的安全强制策略。
赛门铁克LANEnforcer802.1X是带外802.1XRADIUS解决方案,它与支持802.1X标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持IEEE802.1x准入控制协议。LANEnforcer使用该链接级协议评估端点遵从性,提供自动问题修复并允许遵从系统进入企业网络。
在实施期间,端点上的赛门铁克使用802.1x将遵从信息传送到网络交换机上,然后将此信息中继到LANEnforcer。如果端点不遵从策略,LANEnforcer会将其放入隔离网络,在此对其进行修复,而不会影响任何遵从端点。SymantecNetworkAccessControl补救端点并将其转换到遵从状态后,802.1x协议将试图对用户重新进行身份验证,并为其授予网络访问权限。
LANEnforcer可以参与现有AAA身份管理架构以便对用户和端点进行身份验证,对于只要求进行端点遵从验证的环境,也可以充当独立的RADIUS解决方案(也称为透明模式,本项目采用此方式)。在透明模式下,管理员只需将交换机配置为使用LANEnforcer作为RADIUS服务器,就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行LANEnforcer无需额外基础架构,并且是一种实施基于VLAN交换的安全网络准入控制解决方案的简单方法。
4.2针对cisco交换机相关配置
针对常用cisco2950交换机,在此给出相关的配置命令,同时交换机的IOS版本需要CiscoIOSRelease12.2(50)SE以上版本来支持关键特性。
全局配置:
aaanew-model
aaaauthenticationdot1xdefaultgroupradius
aaaauthorizationnetworkdefaultgroupradius
dot1xsystem-auth-control
radius-serverhost192.168.0.1auth-port1812acct-port1813testusernameroot
idle-time1key123456
radius-serverretransmit3
备注:其中192.168.0.1为赛门铁克LANEnforcer的服务器IP地址。
端口配置:
switchportmodeaccess
dot1xport-controlauto
dot1xtimeoutquiet-period30
dot1xtimeoutreauth-period30
dot1xtimeoutsupp-timeout2
dot1xmax-reauth-req1
dot1xguest-vlan2
spanning-treeportfast
dot1xreauthentication
隔离VLAN配置:
Vlan2
Nameguset_vlan
最终交换机802.1x认证特性流程图如下图二所示:
图二最终交换机802.1x认证特性流程图
5、结语
本文详细介绍了一种基于802.1X协议的网络准入控制技术在企业实现的技术方案。本文的技术方案可作为规模相近、有类似终端安全问题的企业在网络准入控制方面参考之用。在运用网络准入控制技术加强终端安全管控方面,需要技术与管理制度相结合,这样才能事半功倍。
参考文献
[1]于承斌,崔萌,尚年,杨慧慧.基于802.1x的认证系统防ARP欺骗技术.信息技术,2009(1)
国家广电总局《广播电视相关信息系统安全等级保护定级指南》通过专家评审
浙江省、陕西省、宁夏自治区、江西省推动国有企业信息安全等级保护工作
2011年电信业网络与信息安全高层研讨会召开
启明星辰——网御星云重大资产重组预案出台
RSA首席技术官BretHartman访华并接受媒体采访
首届CCF青年精英大会在西安市举办
安全保护模型与等级保护安全要求关系的研究
物联网安全中的等级保护研究
三网融合下的信息系统等级保护划分标准研究
云环境下开展等级保护工作的思考
基于等级保护制度的人口计生信息系统安全研究
无线局域网中实现信息系统安全等级保护的要求
物联网的安全层级防护策略研究
一种对抗无线认知传感器网络攻击的分布式防护研究
关于非接触式IC卡安全性的探究
TD-LTE对信息安全影响分析及对策研究
云计算安全性研究
云计算服务安全问题研究
云计算环境下信息安全分级防护研究
智能电网中的云计算应用及安全研究
云计算环境下木马技术研究
一种基于RFID技术的EM卡有源仿真设计与实现研究
基于GML与数字签名的空间数据传输安全技术研究
复杂网络环境下故障排除方法及防御策略研究
抗量子计算密码体制研究(续前)
Web2.0时代SNS与国家安全问题研究
国标四级安全操作系统的内存泄露分析方法研究
基于统计学的文件闲散区隐藏数据取证分析方法研究
网络犯罪侦查的IP定位跟踪技术研究
电子物证提取和检验前的“污染”研究
基于粗糙集理论在公安工作中的研究
基于ARM+Linux的高速数据采集系统
网络性能测量系统及其架构设计研究
QQ登录协议安全性分析和改进研究
中美信息安全意识培养模式的比较研究
数字证书技术在网络实名制中的应用研究
基于小波的金融时间序列波动性研究
2011年5月计算机病毒疫情分
维护文明健康网络环境服务信息安全保障体系
加强行业自律优化电子商务安全环境
公安部网络安全保卫局在天津召开病毒防治类产品管理工作座谈会
关于推进我国信息安全风险评估的思考
我国信息安全认证认可事业回顾与展望
内网信息安全保障体系建设研究
三网融合背景下信息安全问题与保障体系研究
加速建设高素质信息安全人才队伍的思考
信息网络安全成人教育探析
浅网络信任体系建设及其存在的问
浅谈渗透测试在Web系统防护中的应用
数字版权保护对信息安全保障的支撑作用
从“BTChina”看网络著作权保护“双赢”原则
信息系统灾备保障核心——安全网络存储
电子商务中第三方支付平台安全监管的法律规制
从网络信息安全角度看三网融合
网络与信息安全事件应急处置中的事件定级方法
我国信息安全法律能力建设的思路
无线局域网入侵检测系统的架构与应用
企业网络的优化与安全
特洛伊木马穿透个人防火墙技术综述
基于开源技术的电子商务系统安全优化
一种具有误导功能的密写方法
异地局域网资源共享及其安全规制
网络挂马入侵流程线索调查方法研究
基于秘密群的分布式认证
网络入侵容忍技术研究
欧盟信息网络监管立法经验解析
美国《国家网络安全综合计划(CNCI)》综述
广电行业信息安全等级保护工作探究
基于测评知识库的自动评价系统研究
网神SecSIS3600支撑信息系统等级保护
关注重点行业安全保密建设新形势
2010年8月份十大重要安全漏洞
僵尸网络威胁增加木马数量持续下降
网络环境下保护著作权的安全措施
打击网络违法犯罪各专项行动案件
摘录:最高法、最高检关于刑事案件的解释
北京市成功侦破多起网络案件
荆州市“3·6”网络案破获记
苏州市破获台湾籍人员组织网络案
青岛市侦破“博易通运动网”特大网络案
成都市打掉一网络集团
曲靖市严打网络
解析四类银行网络犯罪
网络游戏盗窃案之法理分析
打击网络盗版维护法律尊严
谨防网上财产不翼而飞
互联网规制的立法构想
论网络犯罪之法律属性
论网络犯罪中电子证据的收集
互联网有害信息的界定和相关行为的处理刍议
我国法律政策中认定“色情”的标准
试论网络侵权案件管辖权的确定
我国电子商务欺诈犯罪的刑事法律界定
论利用计算机破坏电力、广电、电信设施的犯罪
关于网络端口过滤的法律思考
围剿垃圾邮件营造健康的网络应用环境
P2P引发的网络著作权问题
谁该为QQ群上传播的物品负责
计算机网络存在隐患
信息安全服务市场中的信号失效问题与对策
构建信息安全保障体系的核心技术平台
浪潮网泰整体安全解决方案——网泰安全隔离网闸应用于外交部某财务系
国外网络犯罪防控体系介绍
日本政府信息化建设的现状
在技术和用户需求驱动下,网络和高端安全产品正在走向融合。未来,新一代信息技术将呈现出更加开放、智能、融合的属性,这将给信息安全从业者带来更大挑战。
从用户方面看,用户需求开始由被动向主动转型,对产品的选择也趋于理性。在产品结构方面,除防火墙、IDS(入侵检测系统)和防病毒这“老三样”产品外,用户对UTM(统一威胁管理)、Web安全、信息加密、身份认证、IPS(入侵防御系统)、VPN(虚拟专用网络)、安全审计、安全管理平台、专业安全服务等的需求逐步上升。
从防护对象看,用户对网络边界安全和内网安全防护都有所加强,服务器、终端、操作系统、数据库等软硬件系统防护体系建设全面推进。网络安全、应用安全、数据安全和系统安全体系将逐步健全。
2011年,随着网络威胁变得更加复杂多样,单一功能的安全产品越来越难以满足客户的安全防护需求,安全产品正在向多功能化方向发展,安全集成和产品功能融合已经是大势所趋,这种融合包括:软硬件、安全产品和IT设备的融合,厂商之间的产品和解决方案的融合等。如:UTM将多种安全功能集于一体,集成了防火墙、网关防病毒、网络入侵检测与防护等功能,有取代传统防火墙之势,有望成为未来的主流信息安全产品之一。
从具体产品看,防火墙已经从最初的包过滤防火墙发展到现在的深度检测防火墙,产品性能和对应用层数据的检测能力不断提高;UTM从简单的功能叠加,逐步发展到功能融合;IDS/IPS随着网络技术和相关学科的发展日趋成熟;内网(终端)安全产品需求快速增长;Web应用安全类产品从单一保护模式发展到多方保护模式;SOC(安全管理平台)产品正不断适应本地化需求。
东软NetEye安全运维管理平台(SOC)
东软NetEye安全运维管理平台(SOC)解决了海量数据和信息孤岛的困扰,整体上简化了安全管理的数据模型。通过将网络中各类IT基础设施的多类数据存储到一个通用数据库中,并根据科学的策略进行关联分析,协助安全维护人员更有效地回应不断变化的安全风险。
东软SOC采用创新的“私有云”架构,将数据收集、数据集成、数据分析等任务逐层下发到云端,实现了海量异构数据集成、数据归并、数据分析的多层次处理。基于云的系统能同时汇聚超大规模的数据信息,并扩大其监控的范围,从而提高分析的有效性。
东软SOC能实现人性化的触摸屏操作,可以进行形象化比拟安全状态,能对业务系统进行监控,全面展开数据收集,并能进行海量异构数据收集与分析,提供细致到位的平台支撑。
华赛SecospaceUSG5500万兆UTM
SecospaceUSG5500是华为赛门铁克面向大中型企业和下一代数据中心推出的新一代万兆UTM。USG5500集大容量交换与专业安全于一体,在仅3U的平台上提供了超过30G的处理能力,融合了IPS、AV、URL过滤、应用流量控制、反垃圾邮件等行业领先的专业安全技术,可精细化管理一千多种网络应用,同时传承了USG产品族优异的防火墙、VPN及路由特性,为用户打造更高速、更高效、更安全的网络。
USG5500有以下特点:更高速,能提供万兆多核全新硬件平台,实现海量业务处理;更高效,能进行超千种应用程序精细管理;更安全,重新演绎了专业内容安全防御技术。USG5500基于赛门铁克多年积累的反病毒技术,采用文件级内容扫描的AV引擎,结合全球领先的仿真环境虚拟执行技术,提供高达99%的精准检出率,多次获国际评测组织好评;专业漏洞补丁技术,让变形无所遁形:USG5500采用赛门铁克领先的漏洞防护技术,针对漏洞(而非攻击代码)提供“虚拟补丁”。
梭子鱼下一代防火墙F800
梭子鱼下一代防火墙F800是一个集成硬件设备和虚拟化软件的安全网关,它能全面防护企业网络架构,提升点对点连接流量,简化网络操作流程。除了强大的防火墙和VPN功能以外,产品还集成了一系列下一代防火墙的复杂技术,包括身份认证的七层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。
梭子鱼下一代防火墙F800突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径,根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式,包括专用线路、XDSL、3G/UMTS无线移动网络及其他以太网的链路接口。
除了上述领先的下一代防火墙的卓越性能外,该产品还配备了业界领先的中央管理控制平台、功能更具弹性的VPN及智能流量管理技术,能保障用户在全面提升网络性能的同时缩减成本支出。
Hillstone云数据中心安全解决方案
采用HillstoneSG-6000-X6150高性能数据中心防火墙的弹性化安全方案,能为云数据中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G数据中心防火墙,它具有以下特点:电信级可靠性设计,高性能、高容量、低延迟,智能的业务自适应能力,深度应用检测及网络可视化,丰富的业务扩展能力,绿色、节能、环保。
该方案能为海量计算提供更高的性能保障。HillstoneSG-6000-X6150高性能数据中心防火墙可提供更为有效的保障,平台采用全并行安全架构,实现对安全业务的分布式处理;对软件处理流程进行了很大的优化,在业务安全处理流程上,实现一次解包全并行处理,达到最高的处理效率。
该方案还能为快速增长的业务提供高可扩展性支持。HillstoneSG-6000-X6150高性能数据中心防火墙采用弹性架构,在全模块化设计的基础上,实现数据输入/输出与安全计算的分离、控制与安全处理的分离,多个计算资源可为相同的接口服务,在增加业务处理模块后,为特定的业务提供更高性能的处理资源。这种弹性可扩展的特性,既降低了数据中心安全建设的初期成本,同时伴随着业务增长,也有效地保护了用户投资。
除以上功能外,该方案还能为云数据中心业务持续性提供高可靠保证,为云数据中心虚拟化提供支撑,并能提供云数据中心全局可视化管理。
趋势科技云计算安全解决方案
趋势科技的云计算安全整体解决方案可以全面保护超过22种平台和环境的数据资产。通过趋势科技的企业威胁管理战略配合“云计算安全5.0”解决方案,用户可全面地保护从物理机、虚拟机到云基础设施、云数据、云应用到移动互联网中的移动设备和智能手机等环境。趋势科技带给企业用户的全球领先的云计算安全技术,将成为云计算产业发展最坚实的基础,这使得用户能够迈向云端,安心地全力把握云计算浪潮所带来的宝贵商机。
近两年,SSLVPN的市场突飞猛进,SSLVPN产品与IPSecVPN产品在市场占有率已开始出现此消彼长的情况。
状态监测、应用智能、SmartDefense技术都是CheckPoint公司借助14年以来专业充实安全领域研究过程中所开发出来的安全防护技术,是贯穿公司所有安全防护产品,包括SSLVPN产品的安全特性。
状态监测技术
状态监测技术已经逐渐成为企业级网络安全解决方案的行业标准。状态监测能够满足上面指定的所有安全要求,而传统的防火墙技术在某些方面均存在一定的缺陷。借助状态检测技术,将在网络层截获数据包以达到最佳性能(与包过滤器相同),但随后将访问和分析来自于所有通信层的数据(与应用层网关的第4~7层比较而言)来改进安全性。
然后,状态监测通过合并来自于通信以及应用程序的状态和上下文信息(这些信息是动态存储和更新的),来获得更高的安全性。这样将提供累积数据,据以评估以后的通信尝试。它还提供创建虚拟会话信息的功能,以便跟踪无连接协议(例如基于RPC和UDP的应用程序),这些是其他防火墙技术无法实现的。
应用智能技术
应用智能作为一组高级功能,能够检测和阻止应用级攻击。许多防火墙(特别是那些基于StatefulInspection技术的防火墙)已经保存了成功抵御网络攻击的防护库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。CheckPoint应用智能扩展了对这种网络安全解决方案的理解。
应用智能本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如DoS攻击)。基于上述原因,应用智能和其他网络安全解决方案不仅必须要解决应用层问题,还可以解决网络及传输层安全问题。
防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多层安全解决方案必须保护网络层和应用层免受攻击,提供对IT资源的访问控制。CheckPoint应用智能具有一系列高级功能,与CheckPointFireWall-1NGX和SmartDefense集成,能够检测和防止应用层攻击。并且针对越来越多直接针对关键应用的攻击行为,公司在业界提供了领先的安全解决方案。
SmartDefense技术
关键词:信息技术电力信息系统安全性
中图分类号:TM769文献标识码:A文章编号:1007-3973(2013)010-040-02
1引言
电力系统在国民经济中的影响与日俱增,人们的日常生活已经与电力紧密相连,任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现,电力监控系统逐步转化为分布式监控,每部分地区发生电力系统的不安全、不稳定现象,都能通过该系统进行监控,进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长,各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制,相比以往的配人值守等方式,准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来,使电力系统的整体性更加稳定。信息化程度的深化,可以将电力中的调度业务和市场业务升级到因特网层面上,使业务处理显得更加灵活有序。然而,信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时,也对电网的系统网络安全产生了一定的影响。因此,本文以电力信息系统中的网络与信息安全防护为对象,全面分析电力信息系统安全风险及需求,提出了电力信息系统安全防护方案和改进措施。
2电力信息系统安全体系现状
电力系统是一个与社会稳定、人民生活息息相关的复杂体系,保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面,例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年,电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴,电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一,可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期,例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术,但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面:
2.1初步完成了信息化基础设施建设
信息技术在电力系统中广泛应用的背景下,我国初步完成了信息化电力系统的基础设施建设,同时,电力系统的各个子系统的管理水平得到了很大的提高,包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设,使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成,为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统,覆盖了包括发电、输电、配电等多个环节。
2.2独立自主地坚持了创新之路
纵观国内外电力系统信息化的发展历史,可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发,配电系统自动化领域总体达到国际先进水平,一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中,SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后,已经投入到实际运行当中,产生了巨大的经济效益。由此可见,我国在电力行业信息产业道路上取得了丰硕的成果。
2.3信息安全技术取得了重大突破
由于电力系统逐步升级为自动化管理,信息在处理过程容易发生偏差,造成各种损失,因此,我国在信息安全方面加大了投入。经过多年的研究探索,电力信息安全取得了很大的进展,主要体现在以下几个方面:(1)基本完成了第一批电力企业信息系统的安全防护工作。(2)开展了以网络安全为主的电力行业信息安全的基础性工作。(3)初步建立了有关电力行业信息安全的法律法规,使信息安全逐渐变得合法化、规范化。(4)建立了电力行业网络与信息安全的管理制度,完善了信息安全责任体制。
3电力系统信息安全的有关防护方案
由于信息系统安全是一个复杂的系统工程,且电力处于国民经济产业中的重要位置,更应系统地、全面地进行分析和把握,从全局角度加以设计和实施。按照安全风险类别及安全建设原则,电力信息系统的安全防护方案大致可分为以下几个方面:数据安全、系统安全、网络安全、物理安全等四个方面。
3.1数据安全
数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键,日常生活中最安全、最有效的方法就是采用数据备份,一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形,备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁,信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用,因而其传输的都是重要信息,实际操作中可以结合传输加密技术实现数据的机密性。最后,信息传输安全主要指的是为了保护数据信息传输过程的安全。
3.2系统安全
系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容:(1)安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击,安全评估系统可以有效地对系统进行扫描,搜索并修补安全漏洞,增强系统对网络攻击的防护能力。(2)病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构,此种体系下才能有效地防治病毒,从而保证整个体系范围内病毒防护体系的有效性和完整性。(3)由于操作系统是整个安全系统的核心控制部位,因此要应该行之有效地进行防护,尽量采用安全性较高的操作系统,关闭存在安全隐患的程序和文件,严格限制用户使用权限,及时修补系统安全漏洞。
3.3网络安全
网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面:(1)作为防火墙的合理补充,安全检测须在内部核心部位配备入侵检测系统,以对抗来自系统系统内部和外部透过防火墙的各种攻击,在入侵检测系统和防火墙的共同作用下,可有效地减小系统的损害程度。(2)网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系,例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序,避免安全系数较低的其他网络对其构成威胁。
3.4物理安全
一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面:(1)应注意环境安全保护,以确保电力系统的信息设备不因环境问题而出现故障。(2)加强设备的安全保护,防止发生设备被盗、损毁现象,也要限制设备防护人员的数量,限制设备出现损毁的客观条件。(3)媒介安全方案的设计主要是加强场地基础设施建设,严格制止信息通过辐射、线路截获等方式造成泄露。
4电力系统信息化过程中的安全防护措施
由于电力系统信息安全是社会可靠供电的保障,因而需要严格控制。笔者根据多年从事电厂管理工作的经验,综合国内外学者的相关研究,提出以下几条措施建议:
4.1加强安全管理
除了电力网络系统自身的不稳定因素外,内部的人为因素也占有很大比例。因此,加强内部的安全管理可减少人为风险的产生。具体措施如下:
(1)适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证,各个从业人员须了解并严格执行企业安全策略,并且防止重技术轻管理的倾向,加强对人员的管理和培训,否则无法建立一个真正安全的网络信息系统。
(2)建立安全管理制度。电力行业中,管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。
(3)完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等,保证后续电力信息系统的开发安全。
(4)建立安全保证体系。其中明确各有关部门的工作职责,包括落实责任制,实行信息安全责任追究制度。
4.2加强防护措施
基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面:(1)加强数据防御,即保证数据在存储、使用过程中的完整性,同时也要保证系统出现意外故障时数据依然能够及时恢复。(2)完善系统自身物理防御,包括主机防御和边界防御,主要指的是对系统漏洞进行扫描、对主机加固,利用防火墙等安全设备来保护网络入口点等。(3)增强应用防御,因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能,在此基础上生产的产品可消除已知安全漏洞,因而风险最低。
以上几项措施的核心技术体现在以下几点:
(1)物理隔离。主要用于电力信息网不同区之间的隔离,由于其隐蔽性,使得该系统不易遭受攻击。
(2)数据备份。电力企业的数据需经常进行备份,建立企业数据备份中心,制定详尽的应用数据备份预案,从而保证信息系统的可用性和可靠性。
(3)网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术,它可以阻断攻击破坏行为,分权限合理享用信息资源。
5结束语
随着信息技术在电力系统中的应用日益广泛,其风险问题的研究不容忽视的主题。本文通过分析了我国电力信息系统当前的现状和主要构成,综合已有学者及笔者自身从事电厂管理的经验,提出了包括管理措施和技术措施等两方面的措施建议,主要针对电力信息系统中存在的威胁系统安全的因素,提出合理化的建议,设立严格的安全管理制度,增强人员的技术水平和安全意识,以此保障电力信息系统的安全与稳定。
参考文献:
[1]王建永.电力系统信息安全应用研究[J].硅谷,2008(12).
[2]谢翔.如何解决电力系统的信息安全问题[J].电力安全技术,2008,10(1).
[3]梁永华,谈顺涛.安全技术在地区电网计量计费系统中的应用[J].电网技术,2004,28(20).
[4]陈思勤.华能上海石洞口第二电厂实时系统安全分析及防护对策[J].电网技术,2004,28(11).
[5]余贻鑫,赵义术,刘辉,等.基于实用动态安全域的电力系统安全成本优化[J].中国电机工程学报,2004,24(6).
关键词:网络安全;攻击;防御;解决方案
一、网络安全概述
计算机网络安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保在一个网络环境里,网络信息数据的可用性、完整性和保密性受到保护。
网络安全问题实际上包含两方面的内容:一是网络的系统安全;二是网络的信息安全,而保护网络的信息安全是最终目的。要做到计算机网络信息数据的真正安全,应达到以下五个方面的目标:1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性;2)完整性:数据未经授权不能进行改变的特性;3)可用性:可被授权实体访问并按需求使用的特性;4)可控性:对信息的传播及内容具有控制能力;5)不可否认性:保证信息行为人不能否认其信息行为。
如何保证个人、企业及国家的机密信息不被黑客和间谍窃取,如何保证计算机网络不间断地工作,是国家和企业信息化建设必须考虑的重要问题。作为网络管理人员,首先要充分了解相关的网络攻击技术,才能够更好地防护自身的信息系统,以便制定较合理的网络安全解决方案。
二、常见的网络安全攻击技术
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。目前常用的网络攻击技术手段有:社会工程学、网络监听、暴力攻击、漏洞攻击、拒绝服务攻击等。
(一)社会工程学
社会工程学是一种攻击行为,攻击者利用人际关系的互动性发出攻击:通常攻击者如果没有办法通过物理入侵直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其目的。通俗地讲,社会工程学是一种利用人性的弱点,如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
(二)网络监听
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如Sniffer等)就可轻而易举地截取包括口令和帐号在内的信息资料。
(三)漏洞攻击
有些安全漏洞是操作系统或应用软件与生俱来的,如缓冲区溢出攻击,由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录提升用户,从而拥有对整个网络的绝对控制权。
(四)拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。这种攻击由于网络协议本身的安全缺陷造成的,如ICMP协议经常被用于发动拒绝服务攻击,它的具体做法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
三、常见的网络安全防御技术
面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。常见的网络安全防御技术主要包括信息加密、防火墙、入侵检测技术、漏洞扫描和数据备份等。
(一)信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。目前世界上最流行的加密算法有两大类:一种是常规算法,其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形;另外一种是公钥加密算法,其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、DiffeHellman、EIGamal算法等。
(二)防火墙
防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以达到保护内部网络系统安全的目的。
(三)入侵检测技术
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(MisuseDetection)或异常检测(AnomalyDetection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。按照数据源所处的位置不同,入侵检测技术(IDS)可以分为两大类:基于主机的IDS和基于网络的IDS。
(四)漏洞扫描
漏洞扫描是对系统进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则系统很容易受到网络的伤害甚至被黑客借助于系统的漏洞进行远程控制,所以漏洞扫描对于保护系统安全是必不可少的。
(五)数据备份
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。随着技术的不断发展,数据的海量增加,常用的技术有网络备份,它通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
四、网络安全解决方案
网络安全是一项系统工程,随着环境的改变和技术的发展,网络系统的安全状况呈动态变化,应综合运用多种计算机网络信息系统安全技术,将信息加密技术、防火墙技术、入侵检测技术、漏洞扫描技术等综合起来。但一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。应协调三者的关系,技术是关键,策略是核心,管理是保证,其最终目的是根据目标网络系统的具体需求,有针对性地解决其面临的安全问题。
参考文献:
随着企业网络信息技术的快速发展和广泛应用,社会信息化进程不断加快,生产制造、物流网络、自动化办公系统对信息系统的依赖程度越来越大,因此,保证信息系统的安全稳定运行也越来越重要。如何保证企业网络信息化安全、稳定运行就需要网络规划设计师在设计初始周全的考虑到网络安全所需达到的条件(包括硬件、OSI/RM各层、各种系统操作和应用)。
1网络安全、信息安全标准
网络安全性标准是指为了规范网络行为,净化网络环境而制定的强制性或指导性的规定。目前,网络安全标准主要有针对系统安全等级、系统安全等级评定方法、系统安全使用和操作规范等方面的标准。世界各国纷纷颁布了计算机网络的安全管理条例,我国也颁布了《计算机网络国际互联网安全管理方法》等多个国家标准,用来制止网络污染,规范网络行为,同时各种网络技术在不断的改进和完善。1999年9月13日,中国颁布了《计算机信息系统安全保护等级划分准则》(GB17859:1999),定义了计算机信息系统安全保护能力的5个等级,分别如下:(1)第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。(2)第二级:系统审计保护级。除继承前一个级别的安全功能外,还要求创建和维护访问的审计踪记录,使所有的用户对自己行为的合法性负责。(3)第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。(4)第四级:结构化保护级。除继承前一个级别的安全功能外,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。(5)第五级:访问验证保护级。除继承前一个级别的安全功能外,还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。
2企业网络主要安全隐患
企业网络主要分为内网和外网,网络安全体系防范的不仅是病毒感染,还有基于网络的非法入侵、攻击和访问,但这些非法入侵、攻击、访问的途径非常多,涉及到整个网络通信过程的每个细节。从以往的网络入侵、攻击等可以总结出,内部网络的安全威胁要多于外部网络,因为内网受到的入侵和攻击更加容易,所以做为网络安全体系设计人员要全面地考虑,注重内部网络中存在的安全隐患。
3企业网络安全防护策略
设计一个更加安全的网络安全系统包括网络通信过程中对OSI/RM的全部层次的安全保护和系统的安全保护。七层网络各个层次的安全防护是为了预防非法入侵、非法访问、病毒感染和黑客攻击,而非计算机通信过程中的安全保护是为了预防网络的物理瘫痪和网络数据损坏的。OSI/RM各层采取的安全保护措施及系统层的安全防护如图1所示。
4OSI/RM各层主要安全方案
4.1物理层安全
通信线路的屏蔽主要体现在两个方面:一方面是采用屏蔽性能好的传输介质,另一方面是把传输介质、网络设备、机房等整个通信线路安装在屏蔽的环境中。(1)屏蔽双绞线屏蔽与非屏蔽的普通五类、超五类双绞线的主要区别是屏蔽类双绞线中8条(4对)芯线外集中包裹了一屏蔽层。而六类屏蔽双绞和七类双绞线除了五类、超五类屏蔽双绞线的这一层统一屏蔽层外,还有这些屏蔽层就是用来进行电磁屏蔽的,一方面防止外部环境干扰网线中的数据传输,另一方防止传输途中的电磁泄漏而被一些别有用心的人侦听到。(2)屏蔽机房和机柜机房屏蔽的方法是在机房外部以接地良好的金属膜、金属网或者金属板材(主要是钢板)包围,其中包括六面板体和一面屏蔽门。根据机房屏蔽性能的不同,可以将屏蔽机房分为A、B、C三个级别,最高级为C级。机柜的屏蔽是用采用冷扎钢板围闭而成,这些机柜的结构与普通的机柜是一样的,都是标准尺寸的。(3)WLAN的物理层安全保护对于无线网络,因为采用的传输介质是大气,大气是非固定有形线路,安全风险比有线网络更高,所以在无线网络中的物理层安全保护就显得更加重要了。如果将机房等整个屏蔽起来,成本太高,现在主要采用其他方式如多位数共享密钥、WPA/WPA2动态密钥、IEEE802.1X身份验证等。现在最新的无线宽带接入技术——WiMAX对于来自物理层的攻击,如网络阻塞、干扰,显得很脆弱,以后将提高发射信号功率、增加信号带宽和使用包括跳频、直接序列等扩频技术。
4.2数据链路层安全
在数据链路层可以采用的安全保护方案主要包括:数据链路加密、MAC地址绑定(防止MAC地址欺骗)、VLAN网段划分、网络嗅探预防、交换机保护。VLAN隔离技术是现代企业网络建设中用的最多的技术,该技术可分为基于端口的VLAN、基于MAC地址的VLAN、基于第三层的VLAN和基于策略的VLAN。
4.3网络层安全
在网络层首先是身份的认证,最简单的身份认证方式是密码认证,它是基于windows服务器系统的身份认证可针对网络资源的访问启用“单点登录”,采用单点登录后,用户可以使用一个密码或智能卡一次登录到windows域,然后向域中的任何计算机验证身份。网络上各种服务器提供的认证服务,使得口令不再是以明文方式在网络上传输,连接之间的通信是加密的。加密认证分为PKI公钥机制(非对称加密机制),Kerberos基于私钥机制(对称加密机制)。IPSec是针对IP网络所提出的安全性协议,用途就是保护IP网络通信安全。它支持网络数据完整性检查、数据机密保护、数据源身份认证和重发保护,可为绝大部分TCP/IP族协议提供安全服务。IPSec提供了两种使用模式:传输模式(TransportMode)和隧道模式(TUNNELMode)。
4.4传输层安全
传输层的主要作用是保证数据安全、可靠的从一端传到另一端。TLS/SSL协议是工作在传输层的安全协议,它不仅可以为网络通信中的数据提供强健的安全加密保护,还可以结合证书服务,提供强大的身份谁、数据签名和隐私保护。TLS/SSL协议广泛应用于Web浏览器和Web服务器之间基于HTTPS协议的互联网安全传输。
4.5防火墙
因防火墙技术在OSI/RM各层均有体现,在这里简单分析一下防火墙,防火墙分为网络层防火墙和应用层防火墙,网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。应用层防火墙是在TCP/IP堆栈的“应用层”上运作,应用层防火墙可以拦截进出某应用程序的所有封包。目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。
5结语
以上对于实现企业网络建设安全技术及信息安全的简单论述,是基于网络OSI/RM各层相应的安全防护分析,重点分析了物理层所必须做好的各项工作,其余各层简单分析了应加强的主要技术。因网络技术日新月益,很多新的网络技术在本文中未有体现,实则由于本人时间、水平有限,请各位读者给予见解。文章中部分内容借签于参考文献,在此非常感谢各位作者的好书籍。
作者:单位:西山煤电(集团)有限公司物资供应分公司
引用:
[1]李磊.网络工程师考试辅导.北京:清华大学出版社,2009.
[2]王达,阚京茂.网络工程方案规划与设计.北京:中国水利水电出版社,2010.