时间:2023-09-15 17:30:38
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇目前网络安全形势,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
4月28日,总部位于美国硅谷的梭子鱼网络有限公司(Barracuda Networks,博威特网络技术(上海)有限公司)在北京召开2011年度新品战略会,宣布梭子鱼2011年在中国的发展战略,并正式了梭子鱼的下一代防火墙产品,率先扛起了下一代防火墙大旗。
梭子鱼中国区总经理何平在会上表示,下一代防火墙是未来一段时间内面向中国市场的重点主推产品。“尽管国内目前真正部署下一代防火墙产品的用户还不多,但是据我所知,未来半年内至少还有2~3家厂商会推出下一代防火墙产品,不出3年时间,所有信息安全厂商都会涉足这一领域。”
当前信息安全市场的整体发展方向是怎样的?刚刚崭露头角的下一代防火墙市场发展态势如何?传统防火墙与下一代防火墙产品之间的相互替代关系将如何逐步实现?日前,《计算机世界》报总编辑许传朝与梭子鱼中国区总经理何平围绕这些问题展开了一场深度对话。
安全成标配
许传朝:当今社会的信息系统越来越普及,应用越来越广泛,安全性也越来越重要。从信息安全厂商的角度,梭子鱼怎么看目前信息安全行业的总体发展方向呢?
何平:从信息系统部署的角度来看,过去中国企业的信息系统部署主要是两个阶段:第一阶段是部署基础设施,比如网络、主机,主要是物理层的建设;第二个阶段就是上应用层,比如应用程序、ERP、CRM等一些应用。而对于安全,基本上是在这两个阶段完成之后才会考虑。
但今天这种情况已经有所改变。现在很多新项目上马,安全问题都会从一开始被整体考虑进来。这就好比建仓库,以前考虑更多的是容积有多大,却不会考虑逃生出口、消防栓等;而现在新建一个仓库,就一定会有安全指标的要求。信息化建设和传统的基础建设有一致性,从总体趋势来说,在整个项目设计之初,就把对信息安全的考量纳入到设计范围之中,是很好的趋势。
许传朝:从你个人的理解来看,美国的信息安全市场与中国市场存在哪些差异?
何平:从信息安全整体形势来说,中国和美国在技术演进和攻击手段等方面,差异并不大。因为所有黑客攻击都是由互联网产生的,而互联网并不受国家和地域限制。所以,从黑客攻击的手段到黑客攻击目标,大体是一致的。
不过中国市场和美国市场比,也有几个突出的差别。
首先,中国和美国最大的差别就在于安全基础。过去两年中国互联网应急响应中心统计报告显示,2009年中国的信息系统漏洞事件是300多件,到2010年这个数字变成了3400件。其中很多网络安全问题的原因就在于我们的基础不牢固――应用程序开发水平比较低,而且在开发的过程中对安全性的考量不够周到,导致系统容易被攻击。
第二,中国发展太快了,对应用程序的交付周期要求比较短,一般程序开发周期不超过一年;但在国外,很多企业,比如金融机构的试运行周期就有6个月,而国内的软件试运行周期通常只有一个月。
第三,国内和国外安全市场还有一个突出的差别,就是国外受攻击的网站通常是经济型网站,比如金融企业、银行、信用卡机构等,而国内被攻击的通常是政府、军队网站等一些带有政治性的网站,企业的网站通常不会被攻击。
网络环境
日益复杂
许传朝:梭子鱼的垃圾邮件防火墙产品在中国市场的占有率超过60%,作为一家业界领先的厂商,梭子鱼如何看待全球垃圾邮件问题的发展态势?一家权威研究机构曾经发表报告指出,中国正从两年前的全球垃圾邮件第一大国发展到2010年的排名第18位。这说明中国的垃圾邮件问题解决得好,还是说国外的垃圾邮件问题发展得比中国更快呢?
何平:关于垃圾邮件问题,最值得注意的一点,就是当前安全威胁传播途径的变化。早期感染病毒通常是因为下载,或者是用U盘拷文件,这是最简单的病毒载体。而在2007~2009年,全球安全威胁最大的来源就成了电子邮件中所含的恶意代码。当时电子邮件占全世界安全威胁载体的70%以上。这也是那段时间反垃圾邮件厂商特别多的原因,当时仅中国区就有至少20 家厂商同时在做反垃圾邮件。此后,随着邮件防护水平的提高,安全威胁又找到了新的传播途径――搜索引擎恶意代码。
过去,病毒被过于狭义化了。实际上,所谓病毒就是非法程序,现在整个非法程序的范畴正在扩大,往往一个看起来正常的程序,其实有后门,这些恶意软件都需要防范。正是这种变化导致垃圾邮件虽然仍是主要病毒载体,但它的安全威胁已经下降了。
许传朝:当前整个IT行业避不开的热点话题是移动互联、云计算等新技术的应用,这对整个信息安全形势会提出哪些要求?从安全厂商的角度来说,会做哪些相应的应对工作?
何平:从网络安全的角度来说,防护点和防护手段、防护产品越来越复杂了。
以前我们主要强调桌面安全,只要安装杀毒软件,让电脑不感染病毒就没有问题;第二阶段大家开始关注服务器端的安全,因为很多应用从单机程序进入CS架构,于是大家采用双机热备等技术手段,也装一些杀毒软件,避免病毒入侵;之后安全形势发生了更大的变化,CS架构变成了BS架构,要建立整个主机防护系统,于是开始使用防火墙之类的产品。
现在环境又发生了变化,进入云计算时代,网络边界从有限的变成了无限的,计算资源不再是封闭的,而是共享的,这导致安全威胁也会共享,网络安全从主机和客户端两点,变成对网络边界的考虑,整个安全形势变得更加复杂。云计算时代,我们需要建立一个多层防护体系,来应对复杂的安全威胁,这不是单一安全产品能解决的问题,而是需要第三方、专业的安全咨询公司来帮助设计和统筹整体的安全策略,要管理和技术平台相结合才行。
押注下一代防火墙
许传朝:针对信息安全形势的这种变化,梭子鱼在产品和技术方面是否也相应会发生一些变化?
何平:梭子鱼2002年在美国硅谷创立的时候,只有一款产品,就是反垃圾邮件防火墙。那时候70%~80%的安全威胁来自邮件,我们抓住了市场机会;从2006年开始,我们转向Web安全,推出了上网行为管理的产品;2007年我们收购了一家专做Web应用防火墙的公司;2011年,我们面向中国市场推出下一代防火墙。如果说传统防火墙产品相当于DOS系统,那么下一代防火墙就是Windows,未来,下一代防火墙产品将会替代所有传统防火墙。
梭子鱼目前一共有12条产品线,比如:主机防护方面有Web应用防火墙;主机负载方面有服务器负载均衡;网络边界有下一代防火墙;邮件服务器有反垃圾邮件系统;远程接入有远程VPN;多链路互联网访问有链路均衡系统。所有产品线的逻辑关系是连贯的,可以通过多产品组合去解决客户很多关键性问题。所谓安全,就是要保障公司运营的持续性,我认为当前面临的主要问题就是主机防护、网络边界、链路安全三大块。
许传朝:中国的信息安全市场竞争十分激烈。相对于其他安全厂商,梭子鱼的优势和核心竞争力在哪里?
何平:作为国际品牌,梭子鱼的优势在于,在全球一致性方面会比较好。在整个信息安全产业研究方面,一般来说欧美的公司会稍微超前一点,而且会有一个比较大的全球视野来考虑问题,对整个产业方向和产品研发的路线图方面会有比较清晰的认识。与国内本土厂商比,我们的优势在于国际化视野、产品开发的稳定性,以及对整个安全趋势的理解。弱势在于成本,打价格战的时候比较吃亏。所以我们会锁定一些高端客户,一些比较小的客户可能就放弃了,因为我们没有办法都去做。
同时,梭子鱼和其他国际品牌厂商相比,更在意本土化的工作。很多国外公司都是全球同步发行新产品,美国上市一个产品,国内也同时上市;但梭子鱼的产品通常是在美国上市半年到一年后,才会在国内上市。因为我们会考虑这个产品目前是否适合中国市场,在产品上市方面更贴近中国市场的时间表。
许传朝:在中国市场上,你们目前最重视的是哪块市场?
何平:随着公司产品线的扩大,我们的能力也在提高,10年之前不敢想的事情,今天可能就有能力做了。就现阶段而言,我们最希望进入的市场有两块:一个是Web应用安全市场,另一个是数据安全市场。这也是中国最大的两块市场。在Web应用安全方面,梭子鱼将从Web应用防火墙切入,该产品在国内市场的品牌知名度和市场占有率都是数一数二的。下一代防火墙产品也是为了进入这一领域而收购的。在数据备份领域,我们也通过收购两家公司进入市场。
当一个行业的技术和产品升级、新的技术革命正在到来时,你必须把握机会,及时切入市场。梭子鱼恰恰就是在技术转折点的时候切入这两个市场的。下一代防火墙市场将迎来爆炸性增长,不超过5年时间,传统防火墙产品就会被完全取代。梭子鱼是以市场领导者的身份进入这个市场的,我们要引导一个技术方向,而不是做跟随者。
总编观察
“下一代”不仅是概念
安全对于企业有多重要,从索尼的PSN网络和在线娱乐PC游戏网络被黑客攻击的影响就可见一斑,在事件泄露后的3个交易日内,索尼股价下跌7%,市值缩水20亿美元,这直接影响了索尼公司整体的运营以及客户对于索尼的信心。
信息技术,尤其是互联网的普及,让“民间智慧”得以充分发挥,同时也让“黑客”智慧交相呼应,如虎添翼,从而让安全形势错综复杂和瞬息万变,而安全防御除了要应对病毒、木马、恶意软件、网络攻击等各种不同的安全威胁的生产手段、传播方式、传播手段的变化,还要应对企业内部信息系统和信息技术不断发生的变化,例如云计算带来的信息系统结构和应用模式的变化,移动互联带来的计算终端设备的个性化和多样化。所以需要主动式的整体网络安全防御。
关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDA Pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
北京天融信科技有限公司(简称天融信),1995年成立于北京,是中国领先的网络安全、大数据与安全云服务提供商。天融信凭借业界领先的网络安全、大数据与云服务等技术,为用户构建下一代可信网络安全架构,帮助用户降低安全风险,创造业务价值。
日前在刚刚落幕的中国信息产业经济年会上,天融信风险探知系统被国内权威IT媒体《中国计算机报》评为“2016年度优秀产品”。天融信风险探知系统能够帮助用户准确了解网络资产、应用状态,摸清IT家底,排除隐患,为用户带来全新的安全体验,因而倍受分布式企业、互联网公司等用户的好评。
对于业务规模不断扩大,网络和服务器遍布全国乃至全球的用户来说,用户实时准确地了解所辖网络的状况,有利于掌握用户自身安全风险。尤其是在安全形势日益严峻的今天,用户如何在新漏洞爆发后第一时间了解该漏洞对自身网络的影响,准确掌握联网系统的安全状态,准确掌握物联网定设备(如工控设备、摄像头等)的分布等情况对于帮助企业及时化解安全风险,完善防御体系,提升安全保障能力极其重要。
天融信风险探知系统采用分布式探测技术,通过安全情报机制,实现了安全信息融合。此外,该系统依托风险分析模型,可以实时准确地获取网络静态和动态安全状况,帮助企业用户建立网络安全评估系统。具体来说,该系统具备构建资产信息库、绘制信息安全底图、漏洞验证三大功能。由于该系统具有全面的信息探测、完善的安全情报库、开放的漏洞验证框架、强大的数据分析能力等特点,因此,它可以帮助用户准确掌握网络资产、应用安全状态,建立完善的主动防御探知体系。该系统可以主动发现企业现有防御体系中存在的风险,并确保这些风险漏洞在被恶意利用前得到修复,进而提高企业的信息安全综合防御能力。
天融信风险探知系统目前广泛应用在全网态势感知、资产摸底、漏洞分布评估、设备分布情况评估等领域。天融信CEO于海波表示:“随着移动互联、物联网、BYOD、云计算、大数据等新技术的应用,用户数据信息资产变得日益分散,而天融信风险探知系统能够帮助用户快速梳理数据信息资产。无论面对互联网还是内网,该系统都能帮客户构建安全的基础信息资产数据库。通过绘制网络风险信息安全底图,该系统可以在第一时间帮助用户简单明了地判断安全风险对网络影响的范围和程度,进而定期对网络安全风险进行评估和安全检查,提升企业的安全保障能力,橛没Т来了全新的安全体验。”
关键词:网络安全;网络安全威胁;主动防御技术
1.引言
随着计算机网络技术的迅速发展和计算机网络应用的普及,计算机网络已成为当今社会各领域重要的信息获取、交换和传输手段。虽然网络安全防范技术的研究是目前网络安全研究的一个热点,但目前的技术研究重点仅放在了某一个单独的安全技术上,却很少考虑对各种安全技术如何加以整合,构建一个完整的网络安全防御系统。
2.网络安全的现状
随着1988年11月2号由RobertMorrisJr编写的一个基于BSDUnix的"InternetWorm"蠕虫出现到2001年8月5号的红色代码"CodeRed"蠕虫发作,直至2003年8月12号的冲击波"Blaster"蠕虫的大规模爆发。互联网的安全威胁正逐渐逼近每一个普通用户。
进入21世纪以来,尽管人们在计算机技术上不懈努力,但网络安全形势越发令人不安。在网络侵权方面和各领域的计算机犯罪,数量、性质、手段、规模已经到了令人惊叹的地步。据统计,每年美国由于网络安全问题而遭受经济损失超过了170亿美元,英国、德国也都有数十亿美元,法国则有100亿法郎,亚太地区的新加坡、日本的问题也非常严重。在国际法律界所列举的现代社会新型犯罪的排行榜上,计算机犯罪已名列榜首。据统计,全世界平均每20秒就发生1次网络入侵事件,一旦黑客寻找到系统的薄弱环节,用户将会受到相应的损失。
根据中国互联网信息中心2006年初的统计报告数据显示:我国互联网网站有近百万家,上网用户达1亿多,宽带上网人数和网民数均居全球第二。同时,各种网络安全漏洞大量存在以及不断地被发现,网络安全风险也无处不在,计算机系统受病毒感染和破坏的情况非常严重,计算机病毒表现出异常活跃的态势。
3.网络安全的含义
网络安全(NetworkSecurity)是一门涉及计算机科学、网络技术、通信技术、信息安全技术、密码技术、应用数学、数论、信息论等多种学科的综合性科学。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统中的硬件、软件及其系统中的数据受到保护,不会遭受破坏、更改、泄露,系统可持续正常地运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、真实性、完整性、可用性和可控性的相关理论和技术都是网络安全所研究的领域。
4.网络安全的重要性
在当今的信息社会中,网络信息系统的安全对于整个社会都具有极其重要的作用,大到国家,小到公司,企业,甚至个人,其网络信息系统的安全性都需要得到充分的保护。网络安全体系脆弱将会引发一系列问题:
(1) 互联网面临大面积瘫痪的危险。引发新一轮利用身份盗窃的网页仿冒和病毒攻击狂潮,从而导致全球互联网瘫痪,从而对通信、金融、交通、广播和众多其他行业带来灾难性影响。
(2) 国家利益将蒙受巨大损失。如果电子政务的信息安全得不到保障,电子政务的便利与效率便无从保证,对国家利益将带来严重威胁。此外,政府网站被攻击、无法访问、网页被篡改等问题的发生都会影响政府的形象。
(3) 电子商务将遭受严重打击,用户在线购物积极性下降。日前市场调研公司Gartner的一份研究报告显示,出于安全考虑,四分之一的被调查者表示将减少在线购物,四分之三的购物者表示在网上购物时将更加谨慎。
(4) 电信运营商形象可能受损,造成电信用户可能流失。计算机系统被入侵是目前电信行业安全状况中比较严重的现象,而计算机系统的受损,将极大地影响运营商的品牌形象,从而导致客户流失。
综上我们可以看出在当今的网络时代,信息安全问题己经突出的表现在了网络安全方面,即如何在一个开放的网络环境中保证信息的安全,保证整个信息系统的正常运行。
5.目前主要面临的网络安全威胁
一般讲,网络面临的安全威胁可分为两种,一是对硬件(设备)的威胁;二是对软件(数据和程序)的威胁。这些威胁的产生可能是自然的、故意的或非故意的,可能来自于外部人员,甚至是内部人员所为。网络的安全威胁主要来自以下几个方面:
实体摧毁。实体摧毁是计算机网络安全面对的"硬杀伤"威胁。主要有电磁攻击、火力打击和兵力破坏3种。
无意失误。如操作员安全配置不当造成的安全漏洞,用户口令选择不慎,用户安全意识不强,用户将自己的账号与别人共享或随意转借他人等都会对网络安全带来威胁。
病毒破坏。来自于互联网上的大量病毒通过网络传播计算机病毒,其破坏性高,而且用户很难以防范。如众所周知的"爱虫、"CIH,以及"震荡波"、"冲击波"等病毒都具有极大的破坏性。这些病毒以几何级数在互联网上进行自我繁殖,导致大量的计算机系统在短时间内瘫痪,损失惨重。现在,互联网上病毒的种类繁多,不计其数,其对计算机系统的破坏更是令所有的互联网用户以及网络安全专家面临巨大的挑战。
黑客攻击。预先没有经过同意,就使用计算机资源或网络被看作非授权访问。它主要有以下几种形式:假冒身份、攻击、非法用户进入网络系统进行违法操作、合法用户在未授权情况下进行操作等。某些新兴的信息技术在方便使用者的同时,也为"黑客"的入侵系统留下了大大小小的安全漏洞,令系统外部或内部人员可以轻易地对系统进行恶意操作。
网络软件的漏洞和"后门"。网络软件不可能是百分之百的无漏洞和无缺陷的,然而,这些缺陷和漏洞恰恰是黑客进行攻击的首选目标。另外,软件的"后门"都是软件公司的程序员为了自便而设置的,一般不为外人所知,但 "后门"一旦被打开,其造成的后果将不堪设想。
网络滥用。在一些企业的内部网上,对不恰当的WEB站点进行访问、收发垃圾邮件、利用网络与其他员工或网络用户进行非正当通讯等情况普遍存在,导致大量网络资源的无谓消耗,使网络的使用效率和安全性能大大降低,甚至影响正常的网络通讯。
6.网络安全防范技术分析
面对严峻的网络安全形势,通过以上网络风险分析可以了解网络的薄弱点,从而利用安全技术手段有针对性的去防御。根据近几年网络安全领域的发展情况,网络安全防范技术大致可以分为两类:传统防御和主动防御。
6.1传统防御技术
传统防御技术主要包括防火墙、访问控制、认证技术、病毒防范、漏洞扫描、入侵检测、信息加密技术和灾备恢复等技术。
6.2主动防御技术
主动防御技术是针对传统防御来 讲的。传统防御技术为网络信息系统的安全运行提供了有力的保障,但本身固有的缺陷制约了它在网络安全建设中不能更大的发挥作用。其主要缺陷为:防御能力是被动且是静态的,其防御能力主要依赖于在接入系统之前的系统配置,只能防御系统配置中有涉及的网络安全攻击,而网络安全防护是一个动态变化的过程,新的安全漏洞会不断出现,黑客的攻击手法也不断翻新,传统防御技术是难以识别、检测和处理新产生的网络攻击手段,且只能被动的接受网络的每一次入侵攻击,不能在根本上解决网络安全问题。
主动防御技术是网络安全领域近几年新兴的一个热点,受到了业界的广泛关注,主动防御技术是指能够预测和识别潜在的攻击,及时发现正在进行的网络攻击,并能采取相应措施使攻击者不能达到其目的的技术手段和各种方法。主动防御技术是一种完全不同于传统防御技术的思想和技术,克服了传统防御技术的不足。主动防御是未来网络安全防护技术的发展方向,使网络安全防护进入一个更高的阶段。主动防御技术是以传统网络安全防御为前提的,是在保证和增强基本网络安全的基础之上实施的,主要包括入侵防护技术、取证技术、蜜罐和蜜网技术等。
6.3面临的主要问题及发展趋势
随着计算机网络技术的不断发展,网络防御技术也成为了近几年研究的热点,得到了快速的发展。但也存在一些问题善待解决。一是防火墙技术还需要提高,近年来有关防火墙被攻击成功的事件越来越多,给网络安全保障工作带来了极大威胁,二是入侵检测技术的检测效率不高,具有较高的漏报率和误报率;三是网络防御系统自身的安全性也面临考验,四是日益增长的网络流量导致检测分析难度加大,五是缺乏统一的网络防御术语和概念框架,缺乏客观评估信息的与测试。
7.结束语
主动防御技术作为一门新兴的技术,在最近几年内得到了快速的发展。虽然目前防御技术还存在一些尚未解决的难点问题,但这并不能阻碍网络安全防御技术的发展道路。近年来,随着生物免疫技术、神经网络技术和遗传算法等新的概念不断引入到入侵检测技术中来,检测技术也得到很大的发展,目前已经出现了基于生物免疫、基于神经网络、基于协议分析、基于数据挖掘等多种入侵枪测技术研究热点,随着对网络防御技术的深入研究,防御技术必将在网络安全防护中得到更加广泛的应用,成为应对网络威胁、保障网络安全的有力武器。
参考文献:
[1]苏燕电,浅谈构建校园网网络安全,知识与技术[J].2007
[2]严望佳,黑客分析与防范技术[M].清华大学出版,1999;
[3]黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用.2007
万物互联给人们带来便捷的同时,也隐藏着巨大风险。云服务器碎片化了“存储部落”,移动互联拓宽了“数据通路”,二者使得虚拟世界的“点线”模式融合扩展成了“面”,边界消失之快始料未及,窃密风险如影随形,保障网络安全、加强网络空间治理工作亟待推进。
前所未有的挑战
在保密技术交流大会的公众体验区,有一面“绵羊墙”。工作人员解释说,网民在黑客面前就像一只只白绵羊,扫描一个二维码、打开一个中奖链接,他们的IP地址、终端系统乃至用户名和密码就展示在黑客的“绵羊墙”上。
在日常工作中,窃密风险更是防不胜防:使用无线键盘输入一次信息、用打印机打印一份资料、用U盘存储一份文件,我们就有可能落入木马芯片的陷阱。
正如大唐电信科技产业集团首席科学家张知恒所说,很多网民的状态是“不知道自己不知道”,不知道自认为安全的上网过程是否处在安全环境当中。
中国海洋大学法学专业学生庄宇符在公众体验区向记者直言:“你在网上玩得正嗨的时候,永远不知道别人在做什么。”
公众体验区的模拟场面只是网络安全现状的缩影,复杂多变的网络环境正给网络安全保障带来前所未有的挑战。主动适应信息化发展要求,从观念、制度、管理和技术等方面改革创新,打造网络安全升级版成为形势所需。
自主创新出“重器”
面对层出不穷的网络安全威胁和复杂情况,大会510余家参展企业和单位纷纷“亮剑”,展示了前沿的炫酷新技术和网络安全新利器,引起公众围观。
参展企业的关键词是自主创新。针对黑客对政府网站漏洞的攻击,有企业展示了自主研发的基于大数据分析的生态感知平台,能够实时监测黑客攻击的相关信息,实现分钟级的响应和预警;针对进口芯片安全性无法保证的问题,有企业推出了安全增强的“中国芯”,并将其应用到了打印机、复印机等设备中。
此外,一次可销毁6块4T硬盘的办公型销毁设备、可以实现抗干扰和通信加密的安全手机、基于云计算需求推出的服务器虚拟化产品等信息安全产品也让人眼前一亮。
网络安全需综合施策
促进信息安全技术创新,加快科技成果转化,既是国家战略需要,也是网络空间治理的前沿热点。为保障网络安全、加强网络空间治理、打破传统态势,突破核心技术、找到关键抓手、加强协同合作是大势所趋。网络安全业内人士及专家在大会中纵论安全形势,提出综合治理建议。
技术是安全的保障,核心技术则是信息化保密的关键。国家保密局的负责同志指出,目前,我国的集成电路芯片等核心技术受制于人,信息产品、服务严重依赖于国外,外部威胁随之而来。要守住安全底线,就要抓紧突破关键核心技术,加快推进国产自主可控替代计划。
如何改变网络安全攻防战中易攻难守的态势?中国工程院院士邬江兴在演讲中介绍了拟态防御技术。他指出,网络空间易攻难守态势出现的原因在于存在着未知漏洞和后门。拟态防御技术利用拟态构架“内生”的主动防御机制,有望从根本上颠覆网络空间基于“后门工程和隐匿漏洞”的攻方优势。
以采用的技术手段和防护措施。
关键词:局域网;安全;防护措施
中图分类号:TP 文献标识码:A 文章编号:1671—7597(2012)0120184-01
随着科技的不断进步和发展,信息化已经存在于社会发展中的各个角
落,计算机网络在提高数据传输率,实现数据集中和数据共享等方面发挥
着极其重要的作用,已经成为我们工作、学习和生活密不可分的工具。但
随着网络用户的不断增加和网络结构的日渐复杂,网络安全问题也就显得
尤为重要,尤其是局域网安全问题已经成为各行业迫在眉睫要解决的问
题。
1 局域网安全形势分析
互联网的迅速普及,使广域网应用和局域网应用成为企事业发展中不
可缺少的一部分。然而,在感受网络所带来的便利的同时,也面临着各种
各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入
侵等等。目前在广域网中已有了相对完善的安全防御体系,防火墙、防毒
墙、IDS等重要的安全设施大致集中在机房或网络入口处,在这些设备的
严密监控下,来自网络外部的安全威胁大大减小。但在局域网中,虽然有
些企业也建立了相应的局域网络安全系统,并制定了相应的网络安全使用
制度,但在实际使用中,并未起到较好的效果。由于用户对操作系统安全
使用策略的配置及各种技术选项意义不明确,各种安全工具得不到正确的
使用,导致系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷。
针对来自网络内部的计算机客户端缺乏必要和有效的安全管理措施,导致
未经授权的网络设备或用户就可能通过局域网的网络设备自动进入网络,
形成极大的安全隐患。目前局域网的安全隐患正是来自网络系统本身存在
的安全弱点,而系统在使用和管理过程的疏漏则增加了安全问题的严重程
度,局域网安全形势十分严峻,不可忽视。
2 局域网安全隐患分析
由于局域网的结构和采用的技术比较简单,仅包括少数网络设备,安
全措施相对较少,这给病毒传播提供了有效的通道,为数据信息的安全埋
下了隐患。通常局域网的安全威胁有以下几类:
2.1 漏洞和黑客攻击
由于局域网的主要功能就是资源共享,而正是由于共享资源的“数据
开放性”,导致系统存在很多漏洞,黑客就是利用了这些系统漏洞对系统
进行攻击,对数据信息进行篡改和删除。最常用的手段就是冒充一些真正
的网站来骗取用户的敏感数据,如用户名、口令、账号ID或信用卡详细信
息等。由于用户缺乏数据备份和系统管理等方面的安全意识和安全手段,
因此经常会造成数据丢失、信息泄漏等问题。
2.2 病毒威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新
防病毒软件的病毒库而造成计算机病毒的入侵。病毒和恶意代码攻击电脑
后,轻则使系统工作效率下降,重则造成系统死机或瘫痪,使部分文件或
全部数据丢失,甚至造成计算机主板等硬件设备损坏,严重影响正常工
作。
2.3 用户安全意识不强
许多用户使用移动存储设备来进行数据传递,经常将外部数据不经
过必要的安全检查就通过移动存储设备带入内部局域网,同时将内部数
据带出局域网,这给木马、蠕虫等病毒的进入提供了方便,同时也增加
了数据泄密的可能性。另外一机两用甚至多用情况普遍,笔记本电脑在
内外网之间平凡切换使用,许多用户将在Internet网上使用过的笔记本
电脑在未经许可的情况下擅自接入内部局域网络使用,造成病毒的传入
和信息的泄密。
3 局域网安全控制分析
3.1 人员网络安全培训
安全是个系统,它是一个汇集了硬件、软件、网络、人员以及他们之
间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、
技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个
环节落实到每个层次上。而进行这种具体操作的是人,人正是网络安全中
最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使
用网络的人员的管理,注意管理方式和实现方法,从而加强工作人员的安
全培训,增强内部人员的安全防范意识,提高内部管理人员整体素质。对
于局域网内部人员可以从以下几方面进行培训:
1)加强安全意识培训,让每个工作人员明白数据信息安全的重要
性,理解保证数据信息安全是所有计算机使用者共同的责任。
2)加强安全知识培训,使每个计算机使用者掌握一定的安全知识,
至少能够掌握如何备份本地数据,保证本地数据信息的安全可靠。
3)加强网络知识培训,通过培训掌握一定的网络知识,能够掌握
IP地址的配置、数据的共享等网络基本知识,树立良好的计算机使用习
惯。
3.2 局域网安全技术和防控措施
安全管理是指保护网络用户资源与设各以及网络管理系统本身不被未
经授权的用户访问。目前网络管理工作最重要的部分是客户端安全,对网
络安全运行威胁最大的也是客户端安全。只有解决网络内部的安全问题,
才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终
端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对
以上三个方面的管理是当前解决局域网安全问题的关键所在。
1)控制用户访问。入网访问控制是保证网络资源不被非法使用,是
网络安全防范和保护的主要策略,它为网络访问提供了第一层访问控制。
它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间
和在哪台工作站入网。用户被赋予一定的权限,网络控制用户可以访问的
目录、文件和其他资源,指定用户对这些文件、目录、设备能够执行的操
作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置
口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限
制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码
不符合要求的计算机在多次警告后阻断其连网。
2)采用防火墙技术。防火墙可以是硬件也可以是软件,与网络的其
余部分隔开,使内部网络与互联网或是其他外部网络之间相互隔离,用来
保护内网资源免遭非法使用者的侵入。它能够执行安全管制措施,记录所
有可疑事件。在防火墙上可以通过设置访问控制列表来限制网络互访,它
实际上是一个在两个网络之间实行控制策略的系统,是建立在现代通信网
络技术和信息安全技术基础上的应用性安全技术。
3)严控IP地址的使用。在网络中启动IP地址绑定,采用IP地址与
MCA地址唯一对应、网络没有空闲IP地址的策略。由于采用了无空闲IP地
址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局
域网络造成病毒传播和数据泄密。
4)加强数据保护。对重要数据和文件采取必要的权限设置,防止用
户对目录和文件的误删除和修改,防止用户查看目录和文件、显示向某个
文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统
属性等。
3.3 病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是
通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫
痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病
毒更重要。防毒的重点是控制病毒的传染,防毒的关键是对病毒行为的判
断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。
防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面
制定有针对性的防病毒策略:
1)增加安全意识和安全知识,对工作人员定期培训。首先明确病毒
的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运
行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜
绝病毒能够起到很重要的作用。
2)谨慎使用移动存储设备。在使用移动存储设备之前进行必要的病
毒扫描和查杀,尽可能的避免病毒的入侵,坚决把病毒拒绝在外。
3)挑选网络版杀毒软件。一般而言,查杀是否彻底,界面是否友
好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件是否有
效的三大要素。目前很多杀毒软件都做的都相当不错,能够熟练掌握杀毒
软件使用,及时升级杀毒软件病毒库,有效使用杀毒软件是防毒杀毒的关
键。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有
效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断
安全事件发生点和网络。
局域网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探
索。随着网络应用的发展,计算机病毒的存在形式及传播途径日趋多样
化,安全问题日益复杂化,网络安全建设已不再像单台计算机防护那样简
单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的
管理系统来设置和维护对安全的防护策略。
参考文献:
[1]邓亚平,计算机网络安全[M].北京:人民邮电出版社,2004.
[2]王秀和、杨明,计算机网络安全技术浅析[J].中国教育技术设备,
为切实加强对全省政府系统办公业务资源网(以下简称省政府专网)的安全管理,确保重要网络办公应用系统运行稳定、安全可控,根据《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》(〔2008〕17号)精神,经省政府同意,现就加强省政府专网安全管理工作通知如下:
一、提高认识,认清形势,高度重视新形势下省政府专网安全管理工作
省政府专网是以省政府办公厅为枢纽的全省政府系统办公业务资源网,是全省电子政务建设的重要组成部分,也是我省推进电子政务建设的重要基础。省政府专网自1997年开始建设使用以来,不断升级完善,目前已连接各省辖市政府及170家省直单位。其网上的主要办公应用有公文交换、信息采编、应急值班、公务邮件会议通知报名等办公应用系统。同时建设了省政府专网网站,为各联网单位提供了信息共享平台。
当前,网络安全形势十分严峻。国内外敌对势力大肆利用各种手段对我各级政府信息系统进行网络攻击、破坏,窃密手段不断翻新,窃密活动十分猖獗。随着信息化建设的不断推进和新技术的发展运用,泄密风险、泄密渠道和泄密隐患明显增多,网络安全管理难度明显加大。同时,一些单位和人员信息安全和保密意识淡薄,管理机制不健全,制度不落实,技术防护措施不完善,违规操作行为有禁不止等问题比较突出。网络安全涉及国家安全,各地、各部门必须站在维护国家安全和利益、保障中原经济区建设顺利进行、加快中原崛起和振兴的战略高度,充分认识信息化条件下政府信息系统安全管理面临的严峻形势,采取切实有效措施,加强省政府专网安全管理工作,保障其安全、稳定运行。
二、加强领导,明确责任,健全省政府专网安全管理责任制
各地、各部门要把省政府专网安全管理工作列入重要议事日程,加强领导,落实责任,完善措施,强化监管,切实抓紧抓好。省政府办公厅负责规划建设省级政府专网平台,制定网络对接、信息交换、安全技术及运行管理标准规范,并对省级政府专网平台安全负责。
各地、各部门要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,建立健全省政府专网安全管理责任制,把责任落实到具体岗位和个人。一要明确一名主管领导,负责本地、本部门省政府专网安全管理工作,及时研究解决工作中存在的问题,统筹协调和保障工作的开展。二要指定一个内设机构具体承担本单位省政府专网安全管理工作,负责组织落实本单位网络信息安全保密管理制度,完善防护措施,开展信息安全保密教育和监督检查等。三要指定一位安全观念强、富有责任心、懂安全防护技术的工作人员担任专职或兼职省政府专网安全员,负责日常检查、维护、联系等工作。四要制定完善网络管理岗位责任制度和办法,与网络管理、使用人员签订安全保密责任书,明确省政府专网安全管理责任。
三、强化教育,加强培训,提高网络安全意识和防护技能
各地、各部门要结合实际,认真组织开展对省政府专网分管领导、工作人员的教育培训,加强对国家保密法律、法规和网络安全保密管理规定的深入学习,特别是要对网络管理人员和专兼职网络安全员开展岗位任职培训。当前,要严格落实省政府专网安全管理工作要求,一是严禁将网络、信息系统和国际互联网等公共信息网接入省政府专网;二是严禁在计算机与连接省政府专网计算机之间交叉使用U盘等移动存储设备;三是严禁在没有防护措施的情况下将国际互联网等公共信息网上的数据拷贝到省政府专网;四是严禁计算机、连接互联网的计算机与连接省政府专网的计算机混用。行政机关及其工作人员要切实遵守信息安全和保密管理各项规定,做到令行禁止,杜绝安全隐患。
四、完善措施,增强能力,夯实安全工作基础
(一)实行严格的网络隔离。省政府专网是非的全省政府系统内部办公网络,要与网络以及国际互联网等公共信息网物理隔离,专网专用。
(二)实行严格的接入管理。省政府办公厅对省政府专网实行严格的网络接入审批制度,拟接入省政府专网的单位要以书面形式向省政府办公厅提出申请。对已经接入省政府专网的单位,必须按照省政府办公厅统一分配的域名、IP(网络之间互连的协议)地址段等配置相关设备,未经批准不得随意改动;符合安全要求的单位要将本单位办公局域网整体接入省政府专网;如将接入省政府专网的网络向下连接或改变省政府专网连接方式、范围,或利用省政府专网开展新的纵向办公应用,须先制定网络系统方案和工作方案,并报省政府办公厅电子政务办公室审核。
(三)实行严格的内容管理。连接省政府专网的计算机、服务器和其他设备不得用于存储、处理、传输涉及国家秘密的信息。接入省政府专网的用户不得利用省政府专网制作、复制或传播各类不良信息,不得从事干扰其他省政府专网用户、破坏网络服务和网络设备的活动,如在网络上不真实的信息、散布计算机病毒等。
(四)实行计算机配置管理和安全审计。各单位要对连接省政府专网的计算机和移动存储设备实行配置管理,统一编号、统一标志、统一登记;对办公用计算机逐步加装安全审计工具,定期进行安全审计。
(五)增强网络安全保障能力。各地、各部门要加快信息安全防护设施建设,将信息安全防护设施建设、运行、维护、检查和管理费用纳入预算,保证资金落实。同时,要加快建立健全以身份认证、访问控制、安全审计、责任认定、病毒防护等为主要内容的网络安全体系,完善网络安全技术防护手段。
【关键词】网络安全 计算机 信息管理
在我国计算机技术快速普及的发展背景下,我国的各个不同领域都开始逐步加快了网络化和信息自动化管理的应用步伐,大数据时代的到来,给人们生活工作的各个方面带来了深刻变化,是人们生活水平提高和工作效率提高的重要原因,在如此影响广泛的前提下,计算机网络信息安全存在的问题必然会引发社会各界的重视和关注。因此,分析如何更为有效的解决好网络信息安全管理问题至关重要。
一、网络信息安全的含义
网络信息安全从广义上讲就是计算机信息使用管理者进行使用者IP锁定,从而对使用者的IP进行身份信息确认,防止一些负面的资源信息恶意入侵,迫坏计算机系统的正常运作,保证计算机使用者的信息数据使用安全性。较为系统的概括就是在网络系统的安全状态下,进行系统软件和硬件以及部分核心数据的管理。网络的信息安全包含了从信息储备状态下开始的安全储备,信息运行处理状态下的运行安全、信息传递和总结状态下的保持安全状态。为此,可以将网络信息安全高度概括为两个主要状态:首先是静态网络安全,静态网络安全是在没有进行网络信息交易和信息运用传递时,要保证信息不被任何外界信息和系统入侵病毒破坏和窃取。网络信息安全体系具有明显的可审计性和信息严控保密性,信息完整度高,可审计性主要是指网络信息进行交流以后,用户不可以随意对自己的接受内容进行另类操作;保密性就是指不可随意泄露网络信息内容给其他个体;完整性就是指用户不能擅自修改没有获得修改许可的网络信息。
二、计算机信息网络安全管理的现状
我国的网络信息管理技术在近些年不断发展和完善,同步带动了计算机网络技术的升级和深入的应用进展,但是发展进步同时必然才在随之而来的问题,各类非官方合法访问和恶意攻击也在不断增加,与之相对应的,各类防火墙和加密技术、安全登录验证和身份验证等也都需要不断进行改善和强化。但是由于不同技术特点各不相同,应用领域差距较大,我国在各个不同领域的应用行研究不够成熟,所以没有形成一个较为系统完善是应用管理机制。这些必然导致了各项网络信息安全管理制度的技术能力没有得到最大程度的发挥。现如今阶段,在所有的网络系统中黑客攻击手段远超过计算机的安全破坏病毒的数量,同时,很多的黑客攻击手段都是具有毁灭性影响的,这些都要求了我国的计算机网络信息安全管理工作需要尽快落实。互联网的最大优势就是可以实现跨越空间和地域的信息化时时交流,使用者可以实现在各个地区的沟通和交流,通过计算机网络信息技术的应用互联,可以为人们的生活和生产活动提供更为便捷的信息沟通。正是此种巨大便利的存在导致了互联网安全隐患的不断增加。
三、造成我国网络安全威胁的原因
(一)入侵计算机信息管理系统
现如今针对网络信息安全案例分析得出结论,多数的网络安全问题存在的因素来源于网络黑客和网络不法分子的入侵,会对整体的计算机信息网络安全造成巨大威胁。正是这些网络网络破坏因素的存在才导致了政府安全管理部门和计算机网络信息企业的经营管理系统安全风险加大。此外,部分的网络主页遭到黑客和不法分子的恶意篡改,在不同时间段一系列病毒信息,这些都会导致网络信息安全系统的正常运作受到威胁,继而会对政府以及相关的网络信息应用企业造成病毒入侵危害,严重者可能会导致整个企业管理的网络信息系统瘫痪,这些都会对国家政府和相关信息应用企业造成安全威胁,同时也会对国家信息安全和社会稳定造成影响。目前,非法入侵计算机安全管理系统已经被列入了我国法律管理范围之内。计算机网络信息安全管理系统是进行有效数据整合以及数据高效动态管理的重要内容和方法,伴随着我国计算机网络信息安全技术的不断进步和发展,计算机的网络信息安全管理系统的黑客入侵和病毒入侵事件也在不断增加,所以针对入侵计算机信息管理系统这一问题需要进行有效的入侵检测技术研发,虽然现有的计算机网络信息管理技术有所进步,但是对于实际的问题解决能力仍然有限。
(二)对于信息管理系统的恶意破坏
针对计算机管理系统的蓄意病毒入侵问题,计算机安全管理系统指出根本原因依旧集中在部分黑客和不法分子的利用系统存在的安全漏洞,非法进入国家政府网络系统中,随后对部分的核心信息以及文件进行内容盗取和改动。还存在部分网络黑客和网络信息破坏份子在进入相关网络系统后,对系统账号和系统内容进行非法篡改,同时加装一些密码破解软件和病毒入侵软件,从而达到对政府网络和目标企业信息网络的长期性操控,从中盗取一些核心企业信息和数据,此类不法分子就是通过对计算机网络信息安全管理系统的整体核心资源操控破坏信息安全,达到整体网络受制于个人操控的目的,这些都会对国家和网络信息应用企业带来重大影响和不可估量的安全隐患。计算机病毒也属于对信息管理系统进行恶意破坏的重要的因素,计算机病毒通俗角度分析就是对计算机各种数据的复制和修改各类程度代码,利用不同的程序编段对计算机系统进行数据破坏,进而对计算机系统造成严重的运行影响,导致无法再进行信息系统使用。例如:木马病毒,是很常见的信息管理系统恶意破坏病毒,主要是以计算机本身作为病毒传播载体,抓住计算机本身的系统漏洞进行病毒植入,所以对计算机的网络信息安全是更大的威胁。
(三)对于相关数据和程序的恶意破坏
很多的网络黑客和利用网络信息进行不法操作的分子在进入计算机系统软件以后,对计算机的相关应用数据和计算机应用程序进行恶意破坏,同时还会利用很多的远程操控系统软件进行计算机系统实施操控。这会严重导致计算机相关数据文件的永久性破坏控制,长期发展会造成计算机文件系统的安全保障系统无法恢复,进而会对计算机使用和操作者以及整体企业造成影响,无法正常进行工作系统安排。在相关数据程序遭到恶意破坏的案例中,很多木马程序和后门都会引发计算机病毒的感染,计算机一旦感染此类病毒就会很难进行阻止,病毒的传播速度极快。在计算机技术更新应用升级过程中,木马程序病毒也会随着计算机的系统更新而更新。病毒在更新发展后也会出现提供黑客的应用隐蔽。
四、计算机信息管理应用于网络安全的策略
(一)加强系统程序病毒风险防范意识
如果要达到计算机核心管理系统安全管理,首先就是要从主观观念上强化计算机信息管理相关应用工作者的风险防范意识,提高计算机信息安全管理人员对各类网络信息安全案例的了解,和相应解决措施的掌握,这些是进行计算机网络信息安全管理和安全运用首先要进行合理解决的重要问题,与此同时,不仅要对计算机网络信息安全管理的工作人员加强风险防范意识,还要同时提高计算机应用者的安全维护意识,注意网络安全的系统维护,对计算机安全管理问题进行系统认识,从核心的基础安全防范计算机病毒入侵入手分析,最基本做法就是要进行计算机核心划分部门的机密文件及时加密储存,进行合理的分类管理,这些都是政府部门进行企业计算机安全管理的重要内容和方法,同时也计算机应用者提高使用利用合理性和安全技术性的重要要求。
(二)管理系统技术严格把关
要达到对计算机管理应用安全维护,必须加强核心技术的严格控制和把握,对于网络安全工作者,最主要的职责和工作核心内容就是强化自身的信息网络管理技术技能,对核心管理技术进行及时把握。我们比较熟悉的几个计算机信息安全管理技术内容包括:计算机网络安全病毒查杀、计算机的防火墙功能、计算机的安全监测技术等等。在对计算机进行安全管理防护的同时,需要将各种风险影响因素考虑在内,只有对各类影响安全操作的因素有系统总结和理解,才能实现对计算机信息网络安全技术的合理使用。此外,在进行网络安全访问系统设置的同时,需要对重要数据与核心信息进行备份管理,应该重视和关注计算机系统操作的安全性和操作规范性,从而降低计算机病毒入侵的可能性和危险性。我们应该配套提高计算机病毒检测能力和手段,对可能的个人信息泄露做到及时发现及时处理。个人骚扰信息和诈骗电话很多都是因为个人网络信息的泄露,所以必须对网络安全管理技术严格把关。
通过对网络安全形势下计算机信息管理的深入分析可见,计算机网络应用技术的使用范围拓展和使用主体增加必然带来使用风险的同步上升。对于加强计算机网络信息应用安全的问题必须从技术影响实际入手,分析主要的风险来源和安全隐患,从而做到有针对性的网络安全进行维护,构建起安全可靠的网络环境,推动计算机网络更加稳定健康发展。
参考文献:
[1]迟洪伟.关于计算机信息网络安全管理的几点思考[J].硅谷,2015.
关键词:校园网;风险分析;安全管理
0 引言
随着互联网的普及和迅速发展,人们在生活、工作和学习中也逐渐接触到了与之相关的各类网络应用,并且有效地提高了工作和生活效率。随着国家对教育投入的不断增加,各大院校的校园信息化建设飞速发展,校园网为教师和学生的工作、学习、生活、娱乐带来了很多便利,校内的各项工作都已经离不开互联网的支持,但校园网同时面临着严峻的网络安全形势。Internet资源共享程度高,覆盖的地理范围广。Internet网络协议具有开放性,并且系统具有通用性,极大的促进了网络的飞速发展。但也正是因为其自身的开放性和脆弱性以及计算机本身安全的脆弱性使得因特网在传播信息的同时,也面临着不可预测的威胁和攻击,导致网络安全方面的诸多漏洞,使其受到威胁和攻击的可能性大大增加。层出不穷的安全隐患严重影响了学校教学管理工作,比如黑客攻击、病毒入侵、服务器瘫痪等导致校园网不能正常运行。所以说,网络安全问题将始终伴随着因特网的发展而存在,成为网络发展不可忽视的问题。此外,随着网络规模的快速增长,网络的结构也变得越来越复杂,新技术的不断采用带动了业务和网络应用的不断发展,因此对网络性能要求越来越高。网络能否实现安全管理影响着网络的发展,网络安全技术成为网络技术发展中的一项重要技术要素。如果没有一个统一的、高效的校园网网络安全管理体系,网络管理员就很难对校园网网络安全情况进行分析,对校园网的安全也难以得到保证,进而无法保障校园网的稳定安全运行。因此,目前我们迫切需要一种实用、低廉、安全的系统性校园网安全解决方案,保障校园网的稳定运行。本文将对校园网的安全威胁进行分析,从网络的安全需求出发,在己有安全体系结构的基础上进行研究,分析信息系统安全特点。根据校园网的实际安全要求,提出一个安全解决方案,探讨如何保障大学校园网络的安全。
1 校园网面临的安全问题
目前,高校校园网网络安全的两大拦路虎就是网络设备破坏性活动和网络数据安全威胁,笔者认为,主要危害网络安全的威胁有:
(1)目前计算机系统本身的漏洞是影响最深也是最值得关注的,严重威胁了计算机系统的使用和用户的信息安全。
(2)我国计算机主要也受病毒以及网络蠕虫侵害较深,这些病毒等在影响用户使用计算机的同时,对计算机的信息安全保护以及网络安全运行提出了更高的要求。
(3)黑客的大量存在也是造成校园网威胁的主要因素,由于校园网使用者众多,部分人利用网络协议、服务器和操作系统的安全漏洞以及管理上的疏忽非法访问资源、删改数据、破坏系统,很多黑客将目标转向高校的服务器和网站,通过恶意攻击和入侵,以达到获取资料的目的。
(4)校园网内部用户对网络资源的滥用,由于校园网只是对学生收取较低的费用,所以会出现校园网用户大肆下载视频和大体积软件的情况,大大的占用了带宽,从而导致网络响应缓慢甚至卡机。
(5)垃圾邮件、不良信息的传播,占用校园网带宽,造成邮件服务器拥塞。有人利用校园网内无人管理的服务器作为中转,使用他人邮件地址发送信息,损害他人权益。还可以被黑客利用进行攻击,以干扰用户的正常使用。
(6)目前,越来越多的学生掌握了相当高的网络管理技术,甚至超乎管理人员的想象。部分学生出于好奇对校园网服务器进行攻击。这一现象往往被忽视。很多校园网起初都是局域网,随后发展成为多出口的校园网,因为各种原因,比如意识上的不重视、资金方面的短缺、安全维护方法不正确等因素,使得校园网在安全方面缺少相应的措施,有的高校只是在内部网与互联网之间使用一个带防火墙功能的路由器,有的高校甚至直接面对互联网,不采取任何安全防护。最后结果往往是使校园网络很容易遭受病毒的感染,网络系统不够稳定,经常受到一些黑客们的袭击,这些问题在没有完善的安全保护措施,都是无法避免的。校园网的安全问题正面临严峻的挑战,病毒、黑客、拒绝服务攻击等问题都造成网络运行不正常,给网络稳定运行带来严重的打击,这既影响了日常生活,也给计算机带来了损害,所以我们要采取有效的措施来维护网络的稳定及校园网的环境安全,保证校园网不被病毒感染,能够有效的发挥网络的作用。
2 校园网风险分析
2.1 物理安全分析
网络的物理安全是网络系统的安全基础,是指整个网络系统的环境安全、介质安全和设备安全。它校园网包括的设备较多,涉及范围很广,不可能时时刻刻的全方位监控。对于高校来讲,物理安全的风险损毁整个网络平台以及系统内部的数据,主要表现在如下几个方面:
(1)自然灾害诸如火灾、水灾、地震等会破坏通信线路、局域网以及远程网等,致使整个校园无法正常营运,严重时能毁灭整个信息系统;
(2)电源故障等致使工作中的设备突然断电,使得操作系统突然丧失工作电源,数据库部分信息丢失;
(3)设备丢失或被盗导致数据意外泄漏;
(4)设备长时间暴露在电磁辐射中,导致信息被窃取;
(5)报警系统的设计存在缺陷,这可能造成实际情况下的事故。
2.2 网络安全分析
各大高校的校园网基本上都是基于TCP/IP协议下的网络,TCP/IP协议的设计初衷并非是基于安全的角度考虑,所以这方面会存在很大不足,整个计算机的网络层隐藏着诸多安全威胁。
(1)利用明文传输时的安全风险
当数据在以太网进行传输时,一个子网下属的每个网络设备都会收到这个数据包,所以传输数据很容易被在线窃听。最为危险的是TCP/IP协议在线传输数据时用的都是明文的方式,尤其是通过FTP、Telnet以及电子邮件时,用户的口令以及账号都没有进行加密,网络攻击者很容易从截取的数据包中获得用户的私人账号以及口令,以此得到非法访问的目的。如果攻击者获得用户的关键账号以及电子口令,那么后果将不堪设想。
(2)利用IP地址行骗
TCP/IP协议将IP地址作为识别网络节点的唯一标识,然而网络节点的IP地址是动态不固定的,是一种公共数据,所以网络攻击者可以通过修改网络节点的IP地址来伪造成某个安全可信的节点IP地址。利用IP地址欺骗的事件在校园网中经常发生,对整个校园网络的正常通信秩序构成严重的威胁。
(3)TCP同步网络轰炸
TCP是一个面向连接较为可靠的传输层协议,通信双方之间必须通过三次握手的方式才能建立好一条连接,即SNY、SNY+ACK以及A/X三种协议数据包。如果一个不存在的源地址发送SNY数据包,服务器将无法发送SYN+ACK数据包到这个实际上并不存在的地址,最终只能超时等待,这将造成系统资源长时间的浪费,如果网络攻击者长时间的发送此类数据包,那么服务器资源将被耗尽,最终死机。
2.3 系统层安全分析
目前用户使用的操作系统,无论是Windows、Linux还是商业用的Unix操作系统,其自身都会存在一定的设计缺陷,而且软件源代码的开发规模较大,系统往往会有一定的安全漏洞,目前大多数高校的校园网用户大多数都是Windows操作系统,它们的安全漏洞隐患令人堪忧。加上校园用户的安全意识普遍不足,且技术防御水平不高,系统安全经常受到威胁,主要有如下表现:
(1)配置不妥
系统的安全防御程度和整个系统的配置关系密切,若用户没有采用合适的配置,那么将给整个操作系统埋下巨大的安全隐患。比如,用户没有设置相应的口令或者设置的口令强度不够,关键重要文件设置权限过于宽松,经常性的有意无意的将重要信息的目录实现共享,暴露在网络上,都不太妥当。
(2)系统服务设置不合理
操作系统对外界提供一定的网络服务,比如RPC服务、Daemon进程等等,这些为攻击者入侵者提供了有效的系统潜入信息,入侵者能够通过这些服务存在的漏洞获得超级用户的实际控制权,进而进一步实现入侵盗取目的。
(3)病毒和恶意程序代码
若用户在联网的情况下未及时安装系统操作补丁、杀毒软件或者更新杀毒软件的病毒特征库,很容易遭到外界病毒的威胁和入侵。而且用户防范意识不强,很容易从网络上下载到带有恶意代码的软件,致使计算机和用户资料受到侵害。目前最为严重的病毒是木马病毒,采取的是ARP欺骗攻击。具体表现为用户的计算机无法通过网关,打不开网页。若校园网段中有一台电脑感染ARP病毒,那么这台机器便会通过全网段发送大量的ARP欺骗数据包,导致网络通信道路拥堵,使得同网的其他用户网速越来越慢,上网不稳定,甚至会频频掉线。
2.4 应用层面安全分析
大多数高校内部网络都设有提供公众信息服务的服务器,比如WWW服务、E-mail服务以及FTP服务、数据库服务等。跟操作系统提供的系统服务差不多的是,这些服务也存在相应的漏洞,使用不当会给系统带来极大的安全隐患。
(1)WWW服务
WWW服务作为广大高校的重要宣传窗口,扮演了及其重要的角色。若www服务器出现安全漏洞,带来的危害可能有:高校页面被非法篡改,www服务器被DoS攻击而无法正常运行。
(2)E-mail服务
电子邮件是一种方便、快捷而便宜的通信服务,若E-mail服务器存在一定的漏洞,那么攻击者便可以通过这些漏洞控制E-mail服务器,用户很可能受到骚扰,这将给E-mail服务器用户带来诸多烦恼。
(3)FTP服务
FTP服务器在传输文件时,如果采用了某种匿名的FTP服务便不再需要口令。要想确保匿名的FTP服务器安全,便要求管理员拥有较高的系统管理水平,系统管理员如果错误的设置权限,就会被黑客利用破坏整个服务器系统。如果FTP服务器的应用软件存在漏洞,那么也具备一定的安全风险。
(4)数据库服务
无论是校园网管中心、教学单位或者办公单位的网络,都配备有数据库管理服务器。若这些数据库服务器隐藏安全漏洞,比如空口令等,攻击者便可以抓住这一点抓住这些漏洞控制整个数据库服务器,获取用户的私密信息,很可能导致用户数据泄露。
3 校园网风险安全管理
网络安全技术的关键就是网络管理。不同厂商的硬件平台、操作系统平台、应用软件等都已经加入自己的技术,变得越来越复杂和难以统一管理,现代人们的工作、生活方面已经高度依赖网络,网络的畅通、可靠就显得尤为重要。网络安全对网络系统应用和性能的影响日趋重要,使得网络安全管理逐渐成为网络管理技术中的一个重要分支,呈现出从通常网管系统中分离出来的趋势。高校校园网的安全是一个需要全方位防范的系统工程。要采取主动的防范方式才能获得网络安全的主动权,使网络避免受到破坏与攻击。因此,要及时发现和修补网络中存在的各种漏洞,分析网络中存在的安全隐患和威胁,这就要求校园网具有网络扫描、系统扫描、数据库扫描、实时入侵监控和系统安全决策等功能。
(1)安全防护
安全防护用来有效进行介入控制,是保证数据传输的安全性的技术手段。能够提高校园网自身的抵抗能力,重点处理网络中的病毒与攻击。主要技术包括:统一身份认证、数字签名、通信加密、主机安全、防病毒、补丁管理、备份与容灾,也包括网络边界上的防护(防火墙、防拒绝服务攻击、流量控制、防垃圾邮件等)以及不同安全域的隔离等。
(2)安全审计
安全审计主要是按照一定的安全策略,记录校园网内网用户的网络活动信息,通过检查、审查和检验操作事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能的过程,也可以对潜在攻击者起到威慑和警示作用。主要包括:网络行为审计、运维管理审计、数据库审计、业务合规性审计等。
4 总结
随着信息化的发展,学校对校园网依赖会越来越严重,建立一个安全、稳定的校园网是我们的迫切需求。本文分析了网络安全技术,从校园网网络的安全需求入手,深入分析了的校园网的物理层、网络层、系统层、应用层、用户管理等方面,并提出了校园网的网络安全管理技术。为今后完善和提升校园网的安全提供了理论基础。
参考文献:
[1]川华蓓,钱翔,刘永.计算机网络原理与技术[M].北京:科学出版社,2001.
[2]马宜兴.网络安全与病毒防范(第2版)[M].上海:上海交通大学出版社,2005.
关键词 linux;网络入侵;防御;系统设计
中图分类号TP393 文献标识码A 文章编号 1674-6708(2011)34-0178-02
0 引言
随着Linux操作系统与网络技术的迅猛发展,基于Linux操作系统构建的小型网络安全形势也日趋严峻和复杂化,各种计算机安全事件的数量正在不断增长。面对小型网络的安全防御问题,如何构建安全的网络入侵检测防御系统,成为目前计算机网络面临的首要问题。由于网络入侵者采用的攻击技术与攻击手段不断地变化,功能更为强大,更具针对性和欺骗性,构建高效的入侵检测防御系统是保护计算机网络安全的直接解决途径。目前,在Linux环境下的主流入侵防御技术是构建特征入侵的防御系统。特征入侵,就是网络或系统中存在违反安全策略的行为和攻击行为。入侵检测防御系统,就是采用主动的入侵检测技术检测系统中的这些违反安全策略行为和攻击行为的系统。作为一种重要的安全防护工具,入侵检测防御系统的作用已经超过了防火墙的概念。本文通过分析常见的网络攻击方式,对Linux操作系统下对网络入侵检测防御系统的设计原理和设计实现进行了探讨。
1 入侵检测防御系统
入侵检测防御系统是为了检测黑客通过病毒等手段有意攻击计算机网络和计算机系统而构建的检测防御系统。入侵检测防御系统应具有捕获符合指定条件的网络数据包、数据预处理、入侵分析以及告警、简单防御攻击行为、诱骗攻击者、获取对方攻击意图、获取攻击者的简单资料等信息的能力。
2 常见的网络攻击方式
如果想要避免Linux网络遭受黑客的攻击,就必须对黑客的攻击方法、攻击原理以及攻击过程有深入详细的了解。这样才能设计出有效的主动检测防御系统。在Linux网络系统中,常被攻击的方式主要有Synflood攻击、Ping Flood攻击、Smurf攻击、Teardrop攻击、Land攻击、ICMP扫描/TCP扫描/UDP扫描等等。
2.1 Synflood攻击
Synflood攻击属于DoS攻击的一种,是最基本的入侵攻击手段之一,也是最难对付的入侵攻击手段。具体表现方式是在计算机进行网络通信时,服务器接到用户端的SYN包后,回应用户端一个SYN/ACK包,然后等待用户端的ACK回应包进行确认时,用户端不发送ACK包而导致服务器一直等待,致使服务器一直等待对应用户端回应而无法响应其他机器的连接请求时,就可认定为Synflood攻击。
2.2 Ping Flood攻击
Ping Flood攻击的原理是由于操作系统等对传输文件包的长度有限制,如ICMP包的64 KB规定,当发送者产生长度超过64Kb的文件包时,就会导致内存错误、TCP/IP堆栈崩溃的情况。目前,大多数系统对Ping Flood攻击都有一定的抵抗能力。
2.3 Smurf攻击
Smurf攻击的原理是将某数据包的回复地址设置成被攻击网络的地址,当网络中某台机器使用被攻击的网络地址发送一个被设置的数据包时,就会收到多个相应的数据包,Smurf攻击就是通过数据包阻塞被害网络的方式进行攻击,导致该网络的所有机器都对此数据包的请求都做出答复,最终导致网络的阻塞,甚至崩溃。
2.4 Teardrop攻击
Teardrop攻击方式是采用病态的 UDP数据包进行攻击。当操作系统收到病态的UDP数据包后,产生内存错误而导致系统崩溃。在识别Teardrop攻击时,一般是通过检测UDP数据包的完整性和IP包I号是否为242来确认的。
2.5 Land攻击
Land攻击中,一个特别打造的SYN包的源地址和目标地址都被设置成某个服务器的地址。当服务器接收自己发送的SYN/ACK消息时,就会创建一个空的连接,每个连接都将保留到超时,从而出现系统的崩溃现象。在检测时,对同一端口的大量TCP/SYN包,如果源地址和目标地址相同,就可认定为是Land攻击。
3 入侵检测防御系统的设计原理
随着计算机网络技术的发展,依靠主机自我审计信息的检测方式已经难以适应快速发展的网络安全需求,而基于规则匹配的入侵检测技术日益发展成熟。由于规则库的完善,相应的误报率也得到了有效控制。因此,可采用扩展性好、可移植佳、开源的Snort作为系统检测模块,以二级链表方式组织规则库,将协议类型、源地址/端口分类合并形成规则头链表,再对可选规则分类,将同一协议类型、源/目的地址/端口的规则放在同一头链下,形成二链表。基于网络的入侵检测防御系统整体设计结构如下图所示。
3.1 网络数据包捕获模块
网络数据包捕获模块的主要功能就是从以太网中捕获数据包,这个工作可以在操作系统的底层调用来实现,也可以使用相应的高层调用来实现。为提高效率,可以采用Lniux流行的BPF捕获机制实现。此机制性能优越,不需底层调用。
3.2 网络数据分析模块
网络数据分析模块是本系统中一个十分重要的模块,它的设计结果关系到能否有效主动防御入侵,保证计算机网络安全的最终效果。只有能够完全的分析数据包类型,才能在此基础上进一步分析是否有入侵行为的发生。为保证分析结果的准确性,本系统设置了各种入侵行为特征库,通过预设模块调用。通过与捕获数据的对比分析,可以大大提高数据的分析速度与准确性,减少错报、漏报的几率。
3.3 紧急处理、保护/响应、诱骗模块
在对网络数据包与特征库对比分析后,对捕获到的可疑行为进行紧急响应,积极调用与之相关的保护模块、诱骗系统。由于网络攻击的复杂性,不可能做到针对每一种攻击方式都设置相应处理措施,只能将攻击方式大致分类处理,并针对每一种分类,设计出相应的保护措施与诱骗措施,以期达到主动防御的效果。因此,本模块的设计也是整个检测防御系统的核心,稍有漏洞,就功亏一篑。在进行本模块的设计时,一定要做好相关文献资料的查阅工作,做到最大保护系统的安全,一旦保护模块失败,还可以通过诱骗系统暂时保护系统的安全。
3.4 报警系统与系统日志、操作界面模块
由于网络技术的不断发展,攻击者的手段也在快速更新,仅仅依靠设计好的检测防御模块还不能彻底保证计算机网络的安全,还需要设置相应的报警机制,及时的提醒网络管理员,对可疑的攻击行为或防御失败的攻击行为尽快处理,以避免出现不必要损失。对于系统日志模块,是记录系统检测防护网络安全性能的实时记录,也是系统管理员寻找防御失败攻击行为解决措施的直接参考依据。做好系统日志模块的记录模块设计,可以为特征库的更新做好数据基础,为建立新的检测防御体系提供技术支持。
3.5 存储模块
由于网络数据包很多,而且是稍纵即逝,如何建立动态的数据存储、将有用信息经检测分析系统的过滤后,及时存储起来,是本模块的主要设计要求。可参考的数据库为MYSQL,由于本系统采取模块化的设计思想,易于单独考虑数据模块的设计方法,以方便动态挂载/卸载,以及系统管理员的查看。
4 结论
Linux操作系统是一个免费的操作系统,具有高稳定性、高可靠性、高安全性、源文件开放的特点;在近年中,颇受受到了广大计算机爱好者的青睐,各种基于Linux操作系统的专业应用程序也得到了开发应用。Linux作为一个多用户的操作系统,具有多任务处理、支持共享库、支持Windows操作系统、虚拟内存、支持GUN软件、内置网络配置、非专有资源代码等优点。随着Linux应用的不断深入,Linux的用户也越来越多,构建Linux环境下的入侵检测防御系统具有重要的现实意义。
参考文献
[1][美]Strassberg Keith E.防火墙技术大全[M].李昂,等译.北京:机械工业出版社,2003.
[2]潘瑜.Linux网络系统安全的分析和探讨[J].计算机时代,2003(8):7-9.
关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于Internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,Bug的存在有其固有性,这些Bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如IDA Pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
3.3漏洞利用
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于Web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4 新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿IT企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。
互联网已经进入Web2.O时代,Web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.O时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
4 结柬语
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
1.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
1.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
1.3网络安全策略的设计与实施步骤
(1)确定网络安全需求:确定网络安全需求的范围,评估面临的网络风险。(2)制订可实现的网络安全策略目标。(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容。(4)制订网络安全系统的日常维护计划。
2网络安全防御与改善措施
网络安全问题是潜藏在我们每一个人身边的现实威胁,网络攻击分分秒秒都在发生,瞄准了企业、政府、军队和有价值的个人和各个行业及领域,威胁无处不在。
2.1网络安全风险评估
网络安全风险评估主要由以下三个步骤所组成:识别网络安全事故的危害、评估危害的风险和控制网络安全风险的措施及管理。而通过进行网络安全风险评估,可以及时防范于风险的危害,及时调整网络安全内容,保障网络安全运行,保证计算机信息管理系统及时应对不断变化的网络安全形势,提高危险的预防和网络安全的防御能力。就网络安全风险评估中的风险控制来说,网络安全风险控制是使网络安全风险降低到企业或者是单位可以接受的程度,当风险发生时,不至于影响企业或单位的正常日常业务运作。网络安全风险控制包括:选择安全控制措施、风险控制(免风险、转移风险、减少危险、减少薄弱点、进行安全监控等)和可接受风险。
2.2网络安全防范管理
做好网络安全防范计划与策略,对网络安全进行防范控制和管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:(1)国家信息安全漏洞共享平台。(2)反网络病毒联盟组织。
2.3建立良好的网络安全机制
要不断地加强计算机信息网络的安全规范化管理力度,建立良好的网络安全机制,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识,防范不良因素的影响。目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。
2.4加强网络安全人员培训
网络安全在今天的非常的重要,对于人才的渴求也非常的大,但是人才的数量非常的有限,需求非常的大,很多的企业进行高薪聘请,但是流动性比较大,对于企业没有真正的感情,这样不利于企业的长期与发展,企业面临着非常研究的形式与考研。正是这样,很多的企业面对于这样的问题进行人才的内部的培养,通过聘请名师进行基础知识以及实践等等方面,对于受训的人员进行系统的考试,对于成绩优异的人员进行进一步培养,作为企业的后备人才。企业应该做到充分调动员工的积极性,建立严明的奖惩制度,对于学习优异的学员进行物质以及精神上的奖励,这样对于员工来说是一种激励,建立考核制度,针对于员工进行周考核、月考核,慢慢的形成制度化,从而真正意义的调动员工的学习。未来的发展竞争会变得更加的激烈,正是这样的原因,一定要进行改革,改革的方向来自于多个方面,但是人才是一切改革的动力,所以人才的储备是未来的竞争重要的组成部分,加强人才的培养是未来发展的保证。
2.5引入网络安全审计系统
网络安全审计系统指主体对客体进行访问和使用情况进行记录和审查,以保证网络安全规则被正确执行,并帮助分析安全事故产生的原因。采用网络安全审计系统可以对潜在的攻击者起到震慑或警告的作用,对于已经发生的系统破坏行为提供有效的追纠证据,为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。
3结论
