时间:2022-05-13 22:09:47
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着信息高度共享,信息化程度不断提高,给企业带来了诸多便利的同时,网络安全问题日趋严重,由外网迅速延伸至内网。从近来病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给企业业务带来巨大的经济损失。
二、中小企业网络安全解决方案
这种典型的网络规模较小的企业平均不到50台计算机,企业处理的信息量不是很大。
2.1 访问控制解决方案
网络的拓扑结构是否合理是决定网络安全的重要环节,不同的目的子网的要求,有不同的网络设计。把具有相同安全目的的主机划分在同一子网之内,区别不同的安全水平。只有更好地考虑这些因素,将网络结构存在的安全隐患将至最低。
(1)安全物理隔离。内网与互联网直接连接是不安全的。只要是内网与互联网直接链接,无论通过什么样的手段,肯定存在着被黑客攻击的可能。
因此,从安全角度来考虑,应该对企业计算机内网与企业计算机网络外网之间架设一道物理屏蔽,对内部网络中需要上因特网的用户机器安装物理隔离卡,从而保证内部信息不被泄露。
(2)配备防火墙。网络安全最经济,安全最有效措施就是防火墙。防火墙通过制定严格的安全策略来实施内部和外部网络区域之间的隔离和访问控制,单向或双向控制的实现是通过各种信任的网络和防火墙,可根据时间、流量的访问控制,过滤一些不安全服务。
2.2 网络系统解决方案
(1)网络操作系统安全。使用更高版本的网络操作系统,使一些不常用,不安全的应用程序和端口处于关闭状态。对于一些保存了用户信息和使用密钥的文件严格限制,加强密码的水平,并及时对系统漏洞补丁,不对外公开系统内部的使用情况。
(2)应用系统安全。应用服务器尽量不要打开一些不经常使用的协议和协定窗口。作为档案服务和E―mail服务器的应用系统等,可关闭HTYP、FTP、远程登录服务等不常用协议。还有就是加强登录时的密码强度。管理者限制登陆者操作权限,限制在最小的范围内。
2.3 入侵检测解决方案
功能强大的反病毒反入侵的手段是入侵检测手段,是在特定网络环境中未经授权或恶意攻击和入侵被识别和反应的过程。它主要有搜集资料,并分析这些信息,计算机系统是否有被违反安全策略的行为和遭到攻击的迹象。具有监测分析用户和系统的能力,评测系统完整的数据,对统计异常的行为进行识别,并自动收集和相关系统的修补程序,使用服务器记录黑客的功能。入侵检测是在不影响网络性能的情况下的监控,是一种积极的安全保护技术,为内部和外部的攻击提供实时保护。
但是入侵检测设备虽然很实用,价格却普遍偏高,如果中小企业资金允许,人员齐备的话,建议加装入侵检测设备,这样可以做到防患于未然。
2.4 网络防病毒解决方案
衡量反病毒技术是基于计算机病毒功能来判断技术来确定病毒的类型。计算机防病毒技术在分析病毒代码的基础上,制定了删除病毒程序并恢复原始文件的软件。反病毒的具体实现方法包括网络服务器、文件、E-mail等工作站技术进行频繁扫描和监测。一旦发现和病毒代码库匹配病毒代码,反病毒程序将采取相应措施,防止病毒进入网络相互传播。防病毒系统可以防止病毒侵权使用。但是,新的病毒会随着时间的推移不断出现。这就需要及时通过互联网或防病毒系统更新等手段安全管理员或用户升级。一般中小型企业大都采用windows服务器的操作系统根据国内外各种网上的反病毒软件的综合比较,所以本文建议采用Symantec公司Symantec系列或是微软公司的ForeFront系列等产品。
2.5 数据备份和恢复安全解决方案
备份和恢复系统存在的目的,是尽快分发给计算机系统整体必要的数据和系统信息。备份不仅在网络系统硬件故障或人为错误时起到保护,在黑客的网络攻击时起到保护作用,也同时作为一个系统崩溃恢复的先决条件。
这个解决方案我们使用Symantec Ghost,Ghost备份和恢复系统具有以下功能:备份数据的完整性,并要备份介质的管理技巧。支持多个备份,定期自动备份,还可以设置备份自动启动和停止为多个文件的格式备份,支持多种日期标定方法,以保证备份的正确性,提供在线数据备份功能;支持RAID的容错技术和图像备份功能。由于Ghost操作简便快捷,功能强大,所以本方案推荐使用。
本文针对TCP/IP双层即传统网络层和新型应用层的网络安全问题,通过IDC在设计、实施和运行中的网络安全问题进行研究分析,设计基于TCP/IP双层的IDC网络安全解决方案,该系统的设计,旨在对IDC系统提供有效的安全管理和安全防范措施,实现对WEB应用、内部网络和核心服务器的安全保障,真正全面地实现IDC网络安全,对IDC的建设和推广具有较强的价值。
【关键词】网络安全;网络层;应用层
1 引言
随着互联网的重要性和对信息传递的影响也越来越大,Internet不但为企业和网络用户信息、检索信息以及资源共享提供了方便,也为个人使用网络资源提供了最大的平台,特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互,而3G业务的飞速推广和三网融合的快速启动,使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中,使整个网络的安全风险也越来越大,一些新的互联网安全隐患不断出现,给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。
而且,随着业务量的增大,IDC经常出现因非法网络用户入侵和蓄意攻击而造成较长时间的网络中断现象,象包括某些电信级IDC在内的很多其它IDC一样,IDC在提供网络服务的过程中存在着信息安全性、数据隐私性以及信息合法性等方面的比较严重的网络安全问题,因此,IDC是否能保证网络信息的安全成为了各大企业、用户以及政府关注的焦点。因此,受企业和政府重托的IDC面临着非常严峻的安全考验,IDC主要定位于Internet网络服务,对政府或企业客户提供个性化的服务。事实上,IDC的网络功能非常的丰富,应用范围包括网站托管、电子商务、服务器租用或托管等,比如企业用户的信息交换、数据存储,安全服务以及各种新型的增值业务。IDC能够创建全新统一的信息交换平台,能充分整合信息资源,实现网络资源低成本的信息共享,也是实现城市管理现代化的重要环节之一,如果提供网络服务的同时不能最大程度的保证网络安全,其个性化的服务就根本无从谈起。只有在基础平台设施完善和系统功能强大的基础上进一步使网络安全问题得到充分保障,才能够充分保证IDC为企业提供真正个性化的服务。因此,基于TCP/IP网络层和应用层的IDC网络安全的设计与实现显得至关重要。
2 IDC的发展过程
早期IDC投入运行并开始为企业提供较小规模的各类服务。从2007年开始,IDC向客户提供较大规模、较高质量的主机托管、虚拟主机、整机租用、机架出租等服务。随着投资规模不断扩大,IDC系统的影响也逐渐扩大。2009年开始,IDC承担的业务类型逐渐由原来的服务器托管、网站托管等较基础业务开始向网络加速、负载均衡和虚拟专用网等增值业务延伸,规模也在不断扩大,其在业务收入方面也不断提高。
国内IDC的发展也受到了欧洲国家的IDC发展形势的影响。近年来,欧洲的IDC外包发展较为迅速,而国内IDC也在开始向外包业务方面发展。在3G大规模商用背景下以及视频、网游、SNS社交网站等新型业务的巨大推动作用下,IDC的市场需求继续增大,另一方面,当前的国际经济危机形势对于一部分小型企业来说,面临着严酷的变革,造成部分企业两极分化的情况加剧,因此,国内IDC的整体业务量还将进一步的提高。
IT业务是IDC大部份业务中最关键的一个方面,很多企业依靠信息系统进行各项业务的运作,如果系统经常不可用,整个企业的全盘运作可能无法进行,因此,IDC系统的安全逐渐成为各大企业最关注的焦点。
3 IDC安全解决方案设计思想
基于网络层和应用层的IDC安全解决方案设计思想主要为以下几个方面:
(1)在IDC的出口处部署网络防火墙并进行负载分担,实现对Internet网络出口安全的加固,以及对用户访问Internet的内容进行过滤;
(2)在IDC的数据管理中心NOC和IDC的核心层等部位采用多点的方式部署入侵检测系统IDS,实现有效的监测网络层临界部位的数据信息交换情况和监视IDC内部用户及内部各类系统的运行情况,防止黑客侵入到IDC数据区而对IDC服务器的数据信息进行蓄意破坏和恶意篡改,并能及时查找是否有内部的用户进行某些违规非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的计算机上安装一套漏洞扫描软件,并定期对IDC系统进行漏洞扫描和安全评估;
(4)在IDC中建立防病毒系统,采用中央控管系统实现跨广域网的管理,通过TCP/IP协议实现跨广域网的远程调用、管理、远程监控等功能,使其它的分支病毒防护系统的管理及其维护更加简便、有效,实现从单一客户端集中管理整个IDC网络的防病毒的任务;
(5)在发生网络攻击或者蠕虫爆发的情况下能够及时发现并采取应急措施进行安全防范;
(6)在IDC的服务器群的出口处多点部署应用层防火墙,需要对新型应用层的攻击威胁进行有效防范,如网页木马威胁、Cookie注入攻击威胁等。
4 IDC安全解决方案设计方法
4.1基于网络层的IDC安全系统设计
基于网络层的IDC安全系统设计将分别从网络层防火墙子系统设计、入侵检测IDS系统设计、漏洞扫描子系统设计、网络防病毒子系统设计等方面进行基于网络层的IDC安全系统的设计和实现。
本次对IDC的网络层防火墙设计部署时将H3C的超万兆防火墙产品在IDC中的位置进行提升,直接与核心交换机连接,再通过万兆高速接口与IDC出口处的核心路由器相连,两台防火墙共同部署实现双机热备份,并且实现对IDC用户网络流量的负载均衡,使整个美地亚IDC内部网络得到防火墙的安全防护,有效避免了网络的单点故障和网络瓶颈问题。同时,在防火墙上开启虚拟设备的功能,把IDC内部的不同系统资源按一定的配置分配到每个独立的虚拟防火墙中,一旦在IDC中发生攻击,防火墙中的不同虚拟防火墙将抵御各自面临的攻击,假设其中一个虚拟防火墙的系统资源被网络攻击全部耗尽,也不会影响其它服务的正常运行。在入侵检测IDS系统总署时,采用多层分级管理体系,实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示;采用引擎高速捕包技术保证满负荷的报文捕获;采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;采用IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;采用行为关联分析技术,发现基于组合行为的复杂攻击。为了降低误报的概率,采用基于状态的协议分析和协议规则树,保证特征匹配的位置准确性;采用基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息。为了限制滥报的概率,采用状态检测机制,有效地避免了事件风暴的产生;采用多种统计合并技术对同一事件采用合并上报,减少报警量。漏洞扫描子系统的设计,分布式管理并集中分析,在IDC中部署天镜漏洞扫描系统时采用分布式部署的形式,使各扫描引擎按照不同的漏洞扫描策略同时进行多网络系统的漏洞检测,同时将检测结果进行集中显示和集中分析,采用多级管理的方式,对于拥有不同地域、大规模网络的用户,各个地域的网络安全管理员管理着本地域的网络安全状况,其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级;实现大规模网络环境下的全局风险控制、降低管理成本。
4.2基于应用层IDC安全系统的设计
为了使WAF在IDC安全系统中能够尽可能的提供最佳的安全性能,本次设计应用层防火墙WAF时采用最佳的模式,在此模式中,WAF中的所有数据端口都会处于开启状态,其中WAN端口负责外部的数据处理,此WAN端口是直接面向因特网的端口。而把WAF中的管理端口划分到另外一个不同的网段,因为在部署设计WAF时最好将管理数据和实际的网络流量进行分离,避免IDC中的实际网络流量和WAF的相关管理数据之间出现互相冲突的现象。具体可以通过以下方法进行网络实现:将WAF的前端端口和后端端口分配到不同的网段,让所有的外部用户与WAF的应用虚拟IP地址进行连接,而将此虚拟IP地址和WAF的前端端口进行互相绑定。当用户访问时,用户的连接将会在网络设备上立即终止,WAF马上对流经的数据包进行安全检查和过滤,而合法的数据流量将与WAF的WAN口重新建立起新的网络连接到负载均衡设备,通过负载均衡进行网络流量的负载。WAF可以进行实时策略的生成及执行,根据IDC中不同的应用程序自定义相应的防火墙保护策略,可以无缝的砌合各用户的应用程序,且不会造成任何应用失真。
参考文献:
[1]段勇,朱源.IDC基础设施云的安全策略研究[J].电信科学,2010.5
政务网络安全解决方案如今,全球都处在信息化高度发展的时期,信息高速公路的建设为我们的经济发展带来了很多的方便。但是,在享受方便的同时也在承受着一定的风险,特别是在政府系统中,计算机网络的安全更是关乎到了大局的发展,因此,我们要着重找到问题的所在,采取措施解决问题。
一、政府计算机网络中的安全影响因素
在当代社会,计算机网络已经是人们生产生活所必须的信息载体,它不仅在生产、交易、教育、流通等各个领域得到广泛的应用,而且,它也成为了各地政府部门进行管理的一种新型手段。但是,政府网络复杂的系统和设备以及多个平台的应用,就导致了政府计算机网络的安全性要比个人用户的安全性差。
1.突发事件带来的安全隐患。这里的突发事件主要是指一些不可抗力所造成的信息丢失,这是一种能预测,无法避免的问题,如地震、火灾、泥石流等原因,这种情况下的网络系统所遭受的破坏一般都是无法修复的,是毁灭性的破坏。
2.物理方面的安全隐患。政府的计算机网络都是用来进行数据通信的,它是通过无线电、物理线路等网络设备进行运行的,但是,这些网线、光纤、电缆等连接设备会遭到自然或者认为的破坏,这样就会导致数据丢失,给政府工作带来极大的不便。
3.网络病毒带来的安全隐患。虽然计算机技术在不断的发展,但是,病毒的威力和品种也在不断的上升,病毒对计算机的攻击会导致计算机瘫痪,或者政府政务网络平台上的信息被破坏、被泄露等现象,在众多的影响因素中,网络病毒的攻击和入侵是比较难处理的现象,因为,它具有再生和在发展的能力,会出现不断的攻击和来自不同病毒的攻击。
二、政府计算机网络中存在的安全隐患
当前,电子政务系统已经成为了我国各地政府部门行政的一种方式,它主要包括了政府的机密、领导的管理系统、重要事件的分析和解决等系统,那么,他们的安全都是靠计算机网络的安全来保证的。但是,现在我国政府计算机网络的安全还是存在着以下一些隐患的:
1.非法访问现象的存在。当前,还是存在着政府政府系统未经允许就擅自非法闯入的现象,这也不排除政府工作人员擅自授权、越权访问等的存在,他们对政府计算机网络的信息资源以及网络的连接进行滥用,导致政府信息被频繁的泄漏。
2.被攻击现象的存在。政府计算机网络总是存在被攻击的现象,这种现象的存在主要是两种原因所导致的,一种是有人通过程序进行攻击,主要有口令攻击、邮件炸弹、扫描等程序和工具进行对政务系统进行干扰,打乱正常的网络工作流程,使服务器工作量过大导致瘫痪。
另一种就是通过计算机网络病毒进行攻击,干扰政府政务系统的运行。通过含有病毒的邮件进行病毒传播,在工作人员打开邮件的同时就把病毒栽种在了整个计算机系统中了,或者政府工作人员在不知情情况下使用了有病毒的光盘,这样都会导致病毒的入侵。
3.政府政务信息丢失的现象。这部分强调的是具有保密性质的信息丢失或者被毁损。这种情况一般都是发生在地方政府中,因为地方政府在网络安全的管理上不够重视,工作人员工作散漫,在他们的工作电脑上往往都存着设计到机密的信息,在疏忽管理的情况下就会导致信息被有意无意的丢失。
还有一部分是政府工作系统内部的资源共享部分的安全受到冲击,工作人员对共享部分的资源不是很重视,导致工作人员为了节省时间直接把所有的信息都放在了共享中,导致了很多重要的信息被长期共享,为不法人员提供了窃取的机会。
三、政府计算机网络安全问题的解决方案
面对着政府计算机网络安全存在的安全隐患,为了保证政府信息安全,必须采取措施解决这些问题。我们要尽量采取对人力、物力、财力投入最少的方式,这样才能够实现在解决问题的过程中还能减轻政府的压力。
1.加强对基本设备的保护,减小物理威胁。计算机要想正常的工作,必须有基本的工作设备,因此,我们要对计算机的基本工作设备如网线、光纤、交换机、服务器等硬件设施和网络连接设施进行保护,避免自然现象和人为原因对其造成破坏。同时,要从内部管理制度上进行着手,建立一个完善的机房管理体制,确保网络网络设备有一个良好的存放和工作环境,对机房的水、电等存在安全隐患的因素要加强监管,防止物理安全隐患的出现。
2.加强系统维护和反毒程序的运行。首先,就要对计算机网络系统的程序进行安全扫描,在扫描的过程中可能会出现很多的漏洞和危机,这时,我们要及时地通过安全扫描这样一个安全防御措施来进行修复和调整。通过对工作站、路由器、服务站、数据库等进行扫描,把扫描结果和相关的数据分析向该系统的管理人员报告,并提出可行性的分析防止报告,这样就可以为网络系统的安全水平提供执行依据。
其次,面对越来越严重的病毒入侵,我们必须对政府计算机网络系统采取反病毒措施。伴随着新技术的不断发展,病毒的原有概念已经发生了很大的改变,不再是单纯的对系统性文件进行感染,而是发展到了自动传播的程度,并且,其存在空间也在逐渐的扩大。就近几年的中毒情况来说,很多都是网络型的,这样的传播速度是非常高的,反病毒技术已经随着病毒的发展而发展到了实时防护阶段。所以,政府要加大对病毒防护的通入,不要把眼光只放到程序的维护。
3.强化政府计算机网络技术,防止非法入侵。我们针对计算机网络的安全问题要正确面对现实,科学分析计算机网络的安全需要,针对存在的问题建立计算机网络安全运行技术结构,根据不同用户的性质实行相应的网络准入制度,根据不同用户的访问权限,设定不同的访问空间,同时,对于共享平台上的信息要进行仔细的筛选,根据国家对信息的安全规定,对设计国家秘密的信息进行严格的过滤,尤其要求工作人员对于高级别的网址和秘钥不能私自公开或转授。
针对外来人员非法入侵的情况,我们要加强网络系统的安全管理,特别是密码管理。加密是我们对信息的一种最基本的管理方式,那么,在对信息进行加密的过程中,我们可以选择对信息发送、传输和存储等三个大方面进行加密处理。加密就是把原来能看得懂的东西转化成为看不懂的东西,可以通过把传输的信息变成一堆乱码。这样,使得在传输过程中即使被盗也不会对该信息的安全性产生很大的影响。
四、总结
随着计算机技术的不断发展,计算机的安全问题会逐渐被解决,但同时,更多的危险因素也会随之增加。因此,我们要加强对政府计算机网络安全的研究,做好监督和预防工作,尽量减少网络安全给政府日常工作带来的不良影响。
参考文献:
[1]张文雷,石红波,石红舟.互联网信息安全问题的防范对策和政府责任[J].改革与战略,2006,(04).
卡巴斯基正在向中国的中小企业安全市场发力。
“其实除了大家所熟知的端点安全解决方案外,卡巴斯基在企业安全领域有着完整的安全产品体系,我们也将逐渐把这些产品引入国内。”卡巴斯基实验室大中华区总经理郑启良表示,卡巴斯基面向中国市场推出全新的中小企业安全解决方案,就是要发力中小企业市场。
郑启良介绍,卡巴斯基中小企业安全解决方案包含反病毒保护、在线交易保护、云管理和数据备份、密码管理等多重强大功能,并且简单易用。IT水平不高的中小企业用户,无需掌握专业的IT管理知识即可有效保护企业网络,节约时间成本,专心从事业务运营。同时,卡巴斯基最新推出的还有卡巴斯基安全专家服务,它可以快速准确地解决企业面临的各种安全问题,如病毒爆发和紧急事件,为企业提供专业安全知识培训,提高员工安全意识,储备企业自己的安全人员。此外,这项服务还能够对企业现有网络状态进行安全风险评估,找出安全隐患,提前防范已知、未知和高级的网络威胁。
卡巴斯基方面称,其中小企业安全解决方案有六大特点。
一是全面保护企业网络安全。卡巴斯基中小企业安全解决方案可为Windows计算机和文件服务器、Mac工作站和安卓智能设备提供最佳的IT安全保护,全面抵御各类已知与未知威胁。
二是妥善保障企业资金安全。卡巴斯基中小企业安全解决方案能够有效拦截网络间谍、网络欺诈者,以及假冒网站,避免企业金融信息被盗。该方案还包含密码管理器组件,能够帮助用户创建和记忆最新密码,从而使用户安全且自信地进行业务交易。
三是高效保护企业数据安全。卡巴斯基中小企业安全解决方案提供业内顶级的反病毒保护,能够高效拦截所有试图窃取企业机密数据的黑客攻击和行为,确保企业自身及其客户的信息安全。
四是提升员工的工作效率。通过卡巴斯基中小企业安全解决方案,用户可以限制员工在工作时间浏览网页和在线聊天,提升员工的工作效率,阻止不合适的应用程序下载至企业网络中,从而更高效地发挥企业员工的能力,确保企业高效运转。
五是节省企业的时间和成本。卡巴斯基中小企业安全解决方案专为中小企业的特殊需求而打造,能够实现快速安装、自动运行、无需监管,并确保最佳的计算机性能与安全防护。此外,还能够消除因IT安全问题造成的系统宕机,确保企业正常运转,为中小企业节省时间与成本。
六是企业安全轻松掌控。该产品包含基于网页的管理控制台。用户可随时随地通过网络管理所有设备的安全状态。
“对于中小企业而言,自身网络的安全是业务稳定运营的重要保障;卡巴斯基中小企业安全解决方案可以帮助中小企业轻松实现企业网络安全。凭借在恶意威胁和网络犯罪研究方面的领先优势,卡巴斯基近两年大力加强对企业安全解决方案的研发投入,目前在国内已经推出许多企业安全解决方案与服务,后续还会有更多、更先进、更切合国内客户需求的解决方案。”郑启良表示,“例如卡巴斯基的安全专家服务就是基于卡巴斯基全球安全研究与分析专家团队为不同规模的企业提供的多层级安全服务。目前该项服务已经在全球各个国家获得了很好的市场反响,我们也有信心很快会得到中国企业用户的支持与认可。”
近两年,SSL VPN的市场突飞猛进,SSL VPN产品与IPSecVPN产品在市场占有率已开始出现此消彼长的情况。
状态监测、应用智能、SmartDefense技术都是Check Point公司借助14年以来专业充实安全领域研究过程中所开发出来的安全防护技术,是贯穿公司所有安全防护产品,包括SSL VPN产品的安全特性。
状态监测技术
状态监测技术已经逐渐成为企业级网络安全解决方案的行业标准。状态监测能够满足上面指定的所有安全要求,而传统的防火墙技术在某些方面均存在一定的缺陷。借助状态检测技术,将在网络层截获数据包以达到最佳性能(与包过滤器相同),但随后将访问和分析来自于所有通信层的数据(与应用层网关的第 4~7层比较而言)来改进安全性。
然后,状态监测通过合并来自于通信以及应用程序的状态和上下文信息(这些信息是动态存储和更新的),来获得更高的安全性。这样将提供累积数据,据以评估以后的通信尝试。它还提供创建虚拟会话信息的功能,以便跟踪无连接协议(例如基于 RPC 和 UDP 的应用程序),这些是其他防火墙技术无法实现的。
应用智能技术
应用智能作为一组高级功能,能够检测和阻止应用级攻击。许多防火墙(特别是那些基于 Stateful Inspection 技术的防火墙)已经保存了成功抵御网络攻击的防护库。事实上,越来越多的攻击试图利用网络应用的弱点,而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护,还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point应用智能扩展了对这种网络安全解决方案的理解。
应用智能本身的形式与应用级防护相关联。然而实践中,许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层,并最终达到攻击应用程序和数据本身的目的。同时,以较低层为目标,攻击可以中断或拒绝合法的用户和应用程序服务(如 DoS 攻击)。基于上述原因,应用智能和其他网络安全解决方案不仅必须要解决应用层问题,还可以解决网络及传输层安全问题。
防火墙已经成为网络安全基础架构的主要部分,这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序,经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此,需要使用多层安全网关来保护公司网络免受这些威胁。另外,多层安全解决方案必须保护网络层和应用层免受攻击,提供对 IT 资源的访问控制。Check Point应用智能具有一系列高级功能,与 Check Point FireWall-1 NGX 和 SmartDefense 集成,能够检测和防止应用层攻击。并且针对越来越多直接针对关键应用的攻击行为,公司在业界提供了领先的安全解决方案。
SmartDefense技术
某市国土局在使用办公信息化带来的丰富资源的同时,也面临着来自互联网的安全威胁。该局是主管该市土地资源、矿产资源和房产管理的市政府工作部门,安全问题自不可小视。为此,该局希望尽快找到一个全面的安全解决方案,来解决其网络办公的各种安全问题。
需求分析
该局办公信息系统建设快速推进的同时,信息网络安全问题日渐突出。随着办公对网络资源依赖程度的加强,员工上网需求的不断增加,越来越多的安全隐患威胁着局内网络:P2P软件的泛滥,病毒、木马的横行,垃圾邮件、钓鱼邮件的骚扰等,随时都可能影响到局网络系统的正常运转。
为此,局内需要一个完备的网络安全解决方案,使内网能够安全接入互联网,在享受网络资源的同时,确保网络与数据的安全。另外,该局还希望这一安全解决方案能够对与工作无关的上网内容进行过滤,对聊天工具等进行限制,以提高办公效率。
解决方案
本案实际网络部署和网络安全需要,显然不能依靠单一防火墙来满足全局多个层次的管理需求,采用统一威胁管理(UTM)来实现该网络的安全管理势在必行。经过多方研究论证,本案最终采用合勤ZyWALL 70 UTM安全网关为中心的安全网络,以满足其不同层面和类别的需求,保证网络安全,提高办公效率。
这套合勤科技的统一安全解决方案,正好在三个方面与本案需求相吻合。一是确保网络和数据的安全,包括抵御各种网络入侵、防御黑客、病毒、蠕虫攻击等,保证局内网的数据不被窃取;二是提高整体工作效率,即对与工作无关的上网内容进行过滤,对聊天工具进行限制;三是尽可能降低管理成本,ZyWall 70UTM简单的架设、维护和升级,适用于非专业技术人员,只要求最低数量的人员进行系统维护。
合勤ZyWALL 70UTM提供了8大功能,即防病毒、入侵侦测保护、反垃圾邮件和动态内容过滤、IPSec VPN、防火墙、带宽管理、负载均衡。ZyWALL 70 UTM配备的ZyWALL Turbo Card加速卡,采用合勤科技独有的ZyXEL SecuASIC技术,整个防火墙速度提高到其他同级UTM产品性能的20倍,即使是在所有8项功能同时启动时,也能提供高速稳定的吞吐量。ZyWALL 70 UTM的智能入侵检测功能,针对网络攻击进行主动防御,并且将实时的监控状态告知网管人员。
仅用一台ZyWALL 70UTM就可有效防御内网可能受到的P2P、病毒、木马等各类威胁,保证该市国土局网络信息数据的安全,并且在保持功能稳定的同时,提供高速的数据传输能力。同时,zyWALL 70 UTM提供高速率的、采用DES、3DES、AES等加密方式保护的VPN连接,并具有VPN备份功能以保证在主要网络连接中断时能够及时地替换到备份连接上,保障网络的畅通。ZyWALL70 UTM的ICSA认证保证防火墙和IPSecVPN能够与其他厂商拥有ICSA认证的产品很好地互联互通。此外,ZyWALL 70UTM附加的增值优势包括拨号备份和流量重定向,增强了保护多重互联网连接可靠性的功能。
对于过滤与工作无关网页、提高整体工作效率的需求,ZyWALL 70 UTM的内容过滤功能大显身手。通过该网关内容过滤数据库的建立,国土局可根据需要对URL关键字进行网页阻止,并对Java/ActiveX/Cookie进行过滤,轻松阻止员工进入与工作无关或者可疑的网站,在提高工作效率的同时,也有效保护了企业网络的安全。同时启用zyWALL 70 UTM的入侵检测防御,限制BT、MSN、QQ的使用,提高办公效率。ZyWALL 70 UTM提供了垃圾邮件过滤、网络钓鱼保护功能,通过可配置的白名单、黑名单和建立外部垃圾邮件数据库,垃圾邮件的控制和管理变得轻而易举。
关键词:网络安全;攻击;防御;解决方案
一、网络安全概述
计算机网络安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保在一个网络环境里,网络信息数据的可用性、完整性和保密性受到保护。
网络安全问题实际上包含两方面的内容:一是网络的系统安全;二是网络的信息安全,而保护网络的信息安全是最终目的。要做到计算机网络信息数据的真正安全,应达到以下五个方面的目标:1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性;2)完整性:数据未经授权不能进行改变的特性;3)可用性:可被授权实体访问并按需求使用的特性;4)可控性:对信息的传播及内容具有控制能力;5)不可否认性:保证信息行为人不能否认其信息行为。
如何保证个人、企业及国家的机密信息不被黑客和间谍窃取,如何保证计算机网络不间断地工作,是国家和企业信息化建设必须考虑的重要问题。作为网络管理人员,首先要充分了解相关的网络攻击技术,才能够更好地防护自身的信息系统,以便制定较合理的网络安全解决方案。
二、常见的网络安全攻击技术
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。目前常用的网络攻击技术手段有:社会工程学、网络监听、暴力攻击、漏洞攻击、拒绝服务攻击等。
(一)社会工程学
社会工程学是一种攻击行为,攻击者利用人际关系的互动性发出攻击:通常攻击者如果没有办法通过物理入侵直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其目的。通俗地讲,社会工程学是一种利用人性的弱点,如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
(二)网络监听
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如Sniffer等)就可轻而易举地截取包括口令和帐号在内的信息资料。
(三)漏洞攻击
有些安全漏洞是操作系统或应用软件与生俱来的,如缓冲区溢出攻击,由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录提升用户,从而拥有对整个网络的绝对控制权。
(四)拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。这种攻击由于网络协议本身的安全缺陷造成的,如ICMP协议经常被用于发动拒绝服务攻击,它的具体做法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
三、常见的网络安全防御技术
面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。常见的网络安全防御技术主要包括信息加密、防火墙、入侵检测技术、漏洞扫描和数据备份等。
(一)信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。目前世界上最流行的加密算法有两大类:一种是常规算法,其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形;另外一种是公钥加密算法,其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墙
防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以达到保护内部网络系统安全的目的。
(三)入侵检测技术
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。按照数据源所处的位置不同,入侵检测技术(IDS)可以分为两大类:基于主机的IDS和基于网络的IDS。
(四)漏洞扫描
漏洞扫描是对系统进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则系统很容易受到网络的伤害甚至被黑客借助于系统的漏洞进行远程控制,所以漏洞扫描对于保护系统安全是必不可少的。
(五)数据备份
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。随着技术的不断发展,数据的海量增加,常用的技术有网络备份,它通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
四、网络安全解决方案
网络安全是一项系统工程,随着环境的改变和技术的发展,网络系统的安全状况呈动态变化,应综合运用多种计算机网络信息系统安全技术,将信息加密技术、防火墙技术、入侵检测技术、漏洞扫描技术等综合起来。但一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。应协调三者的关系,技术是关键,策略是核心,管理是保证,其最终目的是根据目标网络系统的具体需求,有针对性地解决其面临的安全问题。
参考文献:
【关键词】IP城域网 网络安全 网络安全防护
一、引言
由于技术和专业的限制,IP城域网建设初期网络结构相对简单,设备性能有限的,可提供用户使用的业务类型较少。运营商长期处于铺网、圈地的状态,较少关注网络安全性。
随着宽带提速、光网城市的推进,用户规模越来越大,原有网络结构、设备性能的一些弊端逐渐显现出来,IP城域网网络安全风险越来越大,网络安全问题正逐步成为影响网络正常运行、业务顺利发展的重要因素。本文主要对IP城域网的网络架构及网络需求进行分析,并对网络安全解决方案进行论述。
二、IP城域网网络安全整体情况
IP城域网网络分层结构现状
IP城域网是在城域范围内组建的,用于实现个人和企业用户的语音、视频、数据等多种业务接入、汇聚和转发,可独立进行管理的IP网络平台。包括城域骨干网、业务控制层和宽带接入网两部分。
城域骨干网:由城域核心路由器负责对业务控制层设备进行端口和流量汇聚,并作IP城域网到IP骨干网的流量转发出口。
业务控制层由宽带接入服务器(BRAS)与业务路由器(SR)两种业务接入控制点组成,主要负责业务接入与控制。
宽带接入网:是业务控制层以下,用户家庭网关以上(不含CPE)的二层接入网络。
三、IP城域网网络安全需求分析
目前IP城域网主要以Intemet业务为主,需重点考虑以下方面:
(1)对外需加强黑客防御,对内提升安全控制;
(2)业务层、网络层和用户层安全并重;
(3)合理规划网络流量,保障网络的可达性和可靠性;
(4)加强网络身份认证、访问授权;
(5)网络按需隔离。
四、IP城域网网络安全研究
IP城域网是城域业务接入和流量转发的综合数据网络,不同的网络结构和层次所面对的网络安全问题将有所区别,为控制网络中的安全风险,需要有针对性的采取不同的安全策略。
4.1 IP城域网核心层安全
由于核心层网络承担整个城域网出口流量汇聚和转发,为保证其网络安全性和可靠性,建议采用以下安全策略,包括:
采用路由和交换设备应保证全线速、无阻塞;
尽量采用加密方式实现设备或系统登录,并强化登录口令管理;
采用节点、机框、板卡和端口级冗余备份;
采用资源预留,分布式转发等技术提高设备系统安全性;
对异常网络流量进行实时监控,及时发现和解决问题。
4.2 IP城域网汇聚层安全
汇聚层业务控制点的安全性能主要体现在以下几个方面:
根据用户签约带宽配置线路速率,并通过限速和QoS等技术控制用户合法带宽;
对传输层和会话层的会话数和连接数进行总量限制,避免DoS/DDoS攻击;
通过加强密码、密钥等方式提高网络安全控制管理水平;
创建访问控制列表(ACI),根据安全需求有选择控制非法用户访问网络安全服务;
通过syslog溯源系统强化安全日志管理。
4.3 IP城域网接入层安全
通过各种接入技术和传输资源实现网络覆盖,为用户提供多种业务接入和流量控制。
通过用户网络隔离、用户属性(IP、MAC和设备端口等)精确绑定等手段防止用户非法接入和恶意攻击,提高网络接入安全性;
在LAN接入,需要通过端口环路检测避免二层环路的发生,避免广播风暴对网络的影响。
五、结语
目前,电信运营商IP城域网在网络安全管理上还存在不足,网络安全防御手段相对匮乏。对网络安全的控制还集中在ACL、黑洞路由等传统手段,未规模推进防火墙/IPS等专用第三方网络安全设备与传统的路由器/交换机进行联动控制。且由于现有的检测和控制方式相对分散,部分系统或设备必须由运维人员手工配置,难以在网络安全受到威胁下,保证各系统和设备相互协调,迅速作出响应,以形成一个完整和有效的安全网络。
创业初期:把握机遇走自己的路
1995年,网络开始涉足中国市场,网络安全市场当时在国外也是一个新兴的市场,国内更是一片空白。北京天融信公司的前身――北京天融信技贸有限责任公司在中关村挂牌,成为中国首家网络安全公司。
1996年,随着网络安全产品市场需求量的增大,以及国家对信息网络安全要求的政策出台,国内鼓励厂商自主研发安全产品。天融信紧紧抓住并牢牢把握重要机遇,克服重重困难,推出了我国第一套自主版权的防火墙系统,并被应用于政府的首个网络安全项目、也是当时最大的安全项目――国家统计局600万元安全系统集成项目。就此,这家当时瞄准了防火墙市场的国内安全厂商,开始顺利踏上信息安全之路并进入国产网络安全产品厂商前列。
“我是在1997年11月,一个偶然的机会进入到北京天融信公司的,那时对防火墙还是一无所知,也没有想着在这个公司长远发展下去。因为我的专业是学金属材料专业――计算机模拟计算,只是因为对计算机行业的一点兴趣以及希望有新的机会,能将所从事的研究工作进行转型,便进入了天融信公司。”于海波简单地做了自我介绍。
据记者了解,天融信公司是属于当时将产品尽快推向市场并得到应用最好的企业之一。主要产品是防火墙,该防火墙于1996年6月研制成功,属我国第一套具有自主知识版权的防火墙系统,并通过国家安全部与电子工业部联合主持的技术鉴定,填补了国内空白。国务院信息办在1997年12月还曾将天融信防火墙列为重点安全项目向全国推广。“我当时进入网络安全行业可以说对网络安全的了解是一片空白。”于海波说,“1999年前,我国的信息安全产业基本处于萌芽状态,专业从事信息安全的国内厂商可谓凤毛麟角,防火墙厂商只有天融信等几家,防病毒厂商主要包括瑞星、江民等,用户基本上不知道什么是防火墙、甚至什么是信息安全,信息安全产品以单机版杀毒软件为主”。
可见,早在当年天融信决定进入网络安全行业时,天融信就在技术、研发方面走出了自己的路。随着国内信息安全市场的需求逐渐明确,防病毒、防火墙已经成为信息系统事实上的标准配置产品。防病毒、防火墙、IDS是我国信息安全市场的支柱型产品,入侵检测(IDS)和VPN的需求上升最快,物理隔离网闸、身份认证和安全管理平台的需求也有较大幅度提高。政府上网工程、网上审批工程、电子政务工程和12大“金”字工程的实施,将政府内部网、企业内网、电子商务网与Internet互联是必须的功能,因此防“黑客”入侵攻击是信息安全的重要任务,而内外网边界安全设备的防火墙更成了需求热点。由于市场对防火墙需求强劲,与此配套使用的其他安全类产品自然也“热”起来了,成为新的需求亮点。
成长期:重视渠道和创新,打造民族品牌
2001-2003年,是我国信息安全产业的成长期,国内的信息安全厂商与用户共同成长;主流厂商密切跟踪、学习,并逐步掌握国际最新技术;用户深入了解信息安全技术,国产品牌产品得到认可;多种信息安全产品面世,“联动”成为安全产品走向。
这期间,天融信公司根据各地不断增长的安全需求,也开始了地方分支机构的建设。于海波告诉记者,他曾于2001年初,被派到广州负责分公司建设。从最初的2个人发展到现在的50多人,从最初的几百万销售额发展到2003年的3000多万的销售额。
在整个信息安全产业方面,用户对信息安全的多样化需求、个性化需求,极大地促进了国内安全厂商的发展,同时也使国内厂商逐步掌握了国际最新技术。2000年,国外信息安全产品占据大部分市场份额,但由于是进口产品,不能在国内进行技术上的快速变更满足国内用户的需求,使得更多的用户转向使用国产安全产品。如天融信开发的NGFW3000有很多功能是根据国内用户的需求开发定制的。之后,2002年推出的NGFW4000,创新性地使用了会话检测技术,极大地提高了防火墙的性能以及过滤的内容深度。
随着诸多国内、国际信息安全厂商进入国内市场并加大投入力度以及政府的扶持,国产信息安全产品与品牌得到普遍认可,使国内网络安全市场规模快速增长,年复合增长率平均达到40%左右。到2003年,总体信息安全产品市场规模已经达到20亿人民币。同时从2000年至2003年,天融信公司连续四年市场份额均居国内安全厂商之首,同时还联合多家国内知名安全厂商,共同倡导推广TopSEC联动网络安全解决方案,为用户构造了一个以防火墙为中心的联动的集成防御体系。
2004年,虽然我国的信息安全产业继续快速发展,使国内用户的需求发生了变化,即“需求的整合”。主要表现在:企业的安全建设从“被动防御”向“主动防御”过渡,即企业从发现问题后再修补的“产品叠加型”防御方式向“以风险管理”为核心的主动防御过渡;安全产品从“孤立的产品形式”向“集中管理”过渡。
面对市场和用户需求的变化,天融信的对策首先是围绕“完全你的安全”,打造全线的网络安全产品、全程的专业安全服务和全面的安全解决方案。到目前为止,天融信已经拥有了网络卫士防火墙、网络卫士VPN、网络卫士入侵检测系统、网络卫士过滤网关、TOPSEC安全审计综合分析系统、网络卫士综合管理系统等6大系列近20多款安全产品与安全应用系统,可以充分满足不同用户的应用需求。
于海波认为,信息安全行业是个来不得半点虚假的行业,“水分太多”,一定程度上会误导用户。网络系统安全必须是整体的、动态的。用户可以通过选择优秀的产品和服务构建一个完整的解决方案,要使优秀产品、服务等环节形成整体的安全策略。另外,必须有统一的、动态的安全策略,一个相互联动的、高效的整体安全解决方案,于是天融信全力推出了以“完全你的安全”为基础的全网整体解决方案,从技术、管理、运行三个层面帮助用户搭建一个安全管理、监控、检测、加固、优化、审计、维护安全平台。
结语
[关键词] 电力系统 网络安全 风险控制
1 概述
2008年对于电力部门来说,保奥运,确保电网和系统安全,是各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。
以前由于电力系统一直以来网络结构和业务系统的相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统问的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击已越来越多,已经成为电力系统不可忽视的威胁来源。但是,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外的出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。
所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。
2 电力网络信息系统安全的威胁
2.1 人为的无意失误
如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
2.2 人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!
3 网络安全风险和威胁的具体表现形式
电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:
(1)UNIX和Windows主机操作系统存在安全漏洞。
(2)Oracle、Sybase、MS SQL等主要关系型数据库的自身安全漏洞。
(3)重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
(4)利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(如RPC、FTP、TELNET、SMTP、FINGER等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击,同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。
(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
(7)应用软件有潜在的设计缺陷。
(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。
(9)虽然将来由省局(公司)统一的WEB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDN专线、ISDN等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。
(10)各局使用的OA办公自动化系统大量使用,诸如Windows操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。
系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过Sniffer网络侦听极易获得超级用户的密码。
4 系统的网络风险基本控制策略
针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故、二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:
(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控 制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。
(2)区域隔离。采用防火墙装置使核心系统得到有效保护。
(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用MPLS-VPN形成多个相互逻辑隔离的IPSEC VPN,实现多层次的保护。
(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。
(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。
5 电力系统的网络安全解决方案
针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与Internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。
(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用OUT-BAND带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。
(2)在网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。
(3)VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商(ISP)传输后不会对数据的完整与安全构成潜在危险,在数据进入MPLS VPN网络之前首先经过IPsec加密,在离开VPN网络后又再进行IPsec解密。
(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。
(5)通过专用网络防火墙控制网络边界的安全。
(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为IDS进行监控使用,也可以部署在服务器的前端作为防攻击的IPS产品使用,以保障网络的安全性。
6 电力系统局域网内部网络安全解决方案
外部攻击影响巨大,但内部攻击危害也不能忽视,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用IPS设备对关键应用进行监控和保护。同时,使用IPS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性、可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:
(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。
(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。
7 广域网整体安全解决方案
对于整个广域网,为了端对端、局对局的安全性,本着不受其他系统影响,不影响其他系统的安全原则,可对防火墙以及IPS设备进行分布式部署。
通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入。
通过过滤、IP地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDAP的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。
近年来,云计算的市场和应用正快速增长,越来越多企业进入到云I域,云计算产品及解决方案的日趋丰富和成熟也令云安全的地位上升到关键位置。由于云服务商数据中心资源的规模化和集中化,数据中心、网络链路等物理设施的一旦遭遇破坏和故障,影响巨大。在这种情况下,越来越多的IT安全厂商布局云安全产业。据Gartner 数据显示,云安全市场规模2016 年将达到36.5 亿美元,同比增长15%,云安全的发展将受益于云计算市场的快速增长。
为解决云安全问题,全球领先的安全解决方案提供商Radware也顺势推出云安全服务。Radware云安全服务可以自动检测并缓解各种攻击载体,包括DDoS、突发式攻击、复杂的大流量攻击、基于SSL的攻击、零日攻击、SQL注入等。事实上,这是当前唯一一款整合了云端DDoS、大流量和应用防火墙攻击防护的适应性解决方案,无论是永远在线、按需还是混合解决方案,都可以满足客户的独特需求。
此外,Radware云安全服务是首个持续适应,可以在几秒内自动生成针对各类攻击的防护措施,并且可以根据应用的变化自动调整防护措施。同时,Radware云安全服务也是业界唯一可以保持用户数据私密性的云端SSL攻击缓解措施,可以在保护用户SSL密钥不泄露的同时,有效防范基于SSL的攻击。
Radware云安全服务一经推出,便在北美、欧洲等地区引起了热烈反响,并获得了SC杂志2016年最佳安全管理服务大奖。在国内,随着企业用户云安全意识的不断增强,Radware云安全服务获得了电信运营商、金融证券、大型企业、服务提供商等众多行业用户的认可。日前,Radware还与腾讯云达成了战略合作关系,共同为位于中国的腾讯云应用服务器、私有云服务市场提供网络安全解决方案,同时为海外用户提供DDoS防护措施,再次验证云安全较强的防护能力,再次验证了Radware在云安全防护领域的领先地位。作为全球领先的安全解决方案提供商,Radware始终致力于为全球企业提供能够适应不同企业的独特的网络和应用环境需求的最佳云安全防护措施。本次在2016中国互联网大会上,Radware云安全服务获得“最佳安全管理奖”,是对其云安全技术和服务能力的肯定。
不是为了窃取机密,也不是为了盗窃钱财,只是为了证明自己的存在,当前网络犯罪者越来越朝着更具“黑客英雄”情怀的方向转变。在今天,也许还会有黑客会因为各种传统的原因而攻击某个安全系统或者发起DDoS攻击;但是通过攻击企业业务以展示自己的叛逆和违规行为,已经成为更多黑客的“理想”。年关将至,人们即将迎来一年当中节日最密集的时期,盛大购物季的到来,既承载了很多电子企业向年度销售额冲刺的期盼,也是忙碌了一年的人们最想以购物方式来犒劳一下自己和亲朋的季节,这些原因促成了网上购物的繁荣,当然无孔不入的黑客不会错过这样一场在线的盛宴,利用人们各种各样的疏忽发起攻击,让您的企业年度赢收表大打折扣。
对付恶意攻击者或黑客,最好办法就是防守反击,不让其得逞。遵循Ron Meyran为大、中、小商家及消费赌提供的安全黄金条律,您既可以享受网络购物的便捷,又可以收获理想的安全防护。
针对大型零售商的黄金条律
1. 评估商业风险:什么因素会给企业带来最大的风险值?数据泄露?网站涂改?服务质量下降?服务宕机?这个基础判断会帮助您了解各种最坏的可能。
2. 评估你的“敌人”:竞争对手希望打压同行的业务,出于经济目的罪犯时时在寻找容易上钩的对象。知名企业、或者影视和出版业那些涉及版权的产业很容易成为黑客主义团伙的目标,并随时都有可能遭受匿名攻击。
3. 部署DDoS防护方案:持续增长的DDoS攻击已经成为当前不可忽视的网络威胁力量。因为DDoS攻击而导致的宕机不仅会让企业蒙受经济损失,还会严重影响企业声誉。一些服务供应商提供Network DDoS防护,但是企业需要对战应用DDoS。购买先进的安全工具和获取安全专业知识是维持业务健康的关键步骤。
4. 感知用户行为:部署网络行为分析(Network Behavioral Analysis ,NBA)工具准确监测用户正在发送和接收哪些类型的信息,以及向谁发送。设置访问权限策略,以保护关键信息(如团队表、队员体能以及设备设计等)的安全。
5. 部署覆盖全网安全系统的管理工具: 通过这样一个管理工具来关联所有安全事件日志。攻击者已经变得诡计多端,他们会使用包含多重工具的混合攻击来探测、攻击和滥用您的系统资源。您必须监控网络中所有的可疑活动。
6. 思考边界安全:缓解当今的网络和应用攻击不能再依赖传统的网络安全防护产品。IPS解决方案和DoS攻击缓解解决方案依靠统计原理,只是针对已知威胁起作用的单点安全解决方案,而对付新兴的网络威胁则需要采用将传统安全工具与网络行为分析工具相结合的整体安全解决方案。
针对中小零售商的黄金条律
1. 维护实时更新系统:包括现行所有的软件补丁和更新。较小的商业机构需要在其系统中安装通用软件的最新版本。
2. 部署覆盖全网安全系统的管理工具:如上所述,在一个集中平台关联所有安全工具的事件日志。包含攻击者会使用多重工具的混合攻击来探测、攻击和滥用您的系统资源,您必须监控网络中所有的可疑活动。
3. 分隔内部和外部的应用服务器:电子商务应用是安全防护的重中之重。千万不要将邮件服务器与其部署在同一网段,因为邮件服务器会为黑客提供另一条访问和控制内部数据的渠道。
4. 教育客户:对于老客户,企业向其确保所有的宣传材料将从其所熟悉的邮件地址发送,而且企业须在其发送物中注明公司绝对不会以任何形式要求用户提供个人信息。
5. 遵从法规性也不能确保长久的安全:法规性遵从也许能帮助商家免遭某次安全攻击的侵害,但是我们主要目标是保护企业不被下一波攻击击溃。采用遵从工具来创建最佳实践模式,帮助企业保持长期的安全性。
针对购物者的黄金条律
1. 多一些理智:如果单笔交易看上去过于优惠而让人难以置信,那么它绝对有问题。
2. 多一些怀疑:收到一封促销邮件后,别着急去点击其中的链接。上网查看该商家的网站并且确认促销商品和活动真实存在。如果没有查询到,那么这封邮件就有可能是个骗局。
3. 多一些谨慎:任何时候都不要提供您的账户证书,除非您正在通过它直接访问某账户。现今的钓鱼邮件较以往看起来更权威或者正儿八经的样子,无论从商标还是样式都和商家发来的正常邮件无二,但是真正的商家从不会要求您提供个人信息。
