時間:2022-05-13 22:09:47
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著信息高度共享,信息化程度不斷提高,給企業帶來了諸多便利的同時,網絡安全問題日趨嚴重,由外網迅速延伸至內網。從近來病毒發作的情況來看,病毒的攻擊目標沒有特定性,而且越來越隱蔽,如不提前防范,一旦被襲,網絡阻塞、系統癱瘓、信息傳輸中斷、數據丟失等等,無疑將給企業業務帶來巨大的經濟損失。
二、中小企業網絡安全解決方案
這種典型的網絡規模較小的企業平均不到50臺計算機,企業處理的信息量不是很大。
2.1 訪問控制解決方案
網絡的拓撲結構是否合理是決定網絡安全的重要環節,不同的目的子網的要求,有不同的網絡設計。把具有相同安全目的的主機劃分在同一子網之內,區別不同的安全水平。只有更好地考慮這些因素,將網絡結構存在的安全隱患將至最低。
(1)安全物理隔離。內網與互聯網直接連接是不安全的。只要是內網與互聯網直接鏈接,無論通過什么樣的手段,肯定存在著被黑客攻擊的可能。
因此,從安全角度來考慮,應該對企業計算機內網與企業計算機網絡外網之間架設一道物理屏蔽,對內部網絡中需要上因特網的用戶機器安裝物理隔離卡,從而保證內部信息不被泄露。
(2)配備防火墻。網絡安全最經濟,安全最有效措施就是防火墻。防火墻通過制定嚴格的安全策略來實施內部和外部網絡區域之間的隔離和訪問控制,單向或雙向控制的實現是通過各種信任的網絡和防火墻,可根據時間、流量的訪問控制,過濾一些不安全服務。
2.2 網絡系統解決方案
(1)網絡操作系統安全。使用更高版本的網絡操作系統,使一些不常用,不安全的應用程序和端口處于關閉狀態。對于一些保存了用戶信息和使用密鑰的文件嚴格限制,加強密碼的水平,并及時對系統漏洞補丁,不對外公開系統內部的使用情況。
(2)應用系統安全。應用服務器盡量不要打開一些不經常使用的協議和協定窗口。作為檔案服務和E―mail服務器的應用系統等,可關閉HTYP、FTP、遠程登錄服務等不常用協議。還有就是加強登錄時的密碼強度。管理者限制登陸者操作權限,限制在最小的范圍內。
2.3 入侵檢測解決方案
功能強大的反病毒反入侵的手段是入侵檢測手段,是在特定網絡環境中未經授權或惡意攻擊和入侵被識別和反應的過程。它主要有搜集資料,并分析這些信息,計算機系統是否有被違反安全策略的行為和遭到攻擊的跡象。具有監測分析用戶和系統的能力,評測系統完整的數據,對統計異常的行為進行識別,并自動收集和相關系統的修補程序,使用服務器記錄黑客的功能。入侵檢測是在不影響網絡性能的情況下的監控,是一種積極的安全保護技術,為內部和外部的攻擊提供實時保護。
但是入侵檢測設備雖然很實用,價格卻普遍偏高,如果中小企業資金允許,人員齊備的話,建議加裝入侵檢測設備,這樣可以做到防患于未然。
2.4 網絡防病毒解決方案
衡量反病毒技術是基于計算機病毒功能來判斷技術來確定病毒的類型。計算機防病毒技術在分析病毒代碼的基礎上,制定了刪除病毒程序并恢復原始文件的軟件。反病毒的具體實現方法包括網絡服務器、文件、E-mail等工作站技術進行頻繁掃描和監測。一旦發現和病毒代碼庫匹配病毒代碼,反病毒程序將采取相應措施,防止病毒進入網絡相互傳播。防病毒系統可以防止病毒侵權使用。但是,新的病毒會隨著時間的推移不斷出現。這就需要及時通過互聯網或防病毒系統更新等手段安全管理員或用戶升級。一般中小型企業大都采用windows服務器的操作系統根據國內外各種網上的反病毒軟件的綜合比較,所以本文建議采用Symantec公司Symantec系列或是微軟公司的ForeFront系列等產品。
2.5 數據備份和恢復安全解決方案
備份和恢復系統存在的目的,是盡快分發給計算機系統整體必要的數據和系統信息。備份不僅在網絡系統硬件故障或人為錯誤時起到保護,在黑客的網絡攻擊時起到保護作用,也同時作為一個系統崩潰恢復的先決條件。
這個解決方案我們使用Symantec Ghost,Ghost備份和恢復系統具有以下功能:備份數據的完整性,并要備份介質的管理技巧。支持多個備份,定期自動備份,還可以設置備份自動啟動和停止為多個文件的格式備份,支持多種日期標定方法,以保證備份的正確性,提供在線數據備份功能;支持RAID的容錯技術和圖像備份功能。由于Ghost操作簡便快捷,功能強大,所以本方案推薦使用。
本文針對TCP/IP雙層即傳統網絡層和新型應用層的網絡安全問題,通過IDC在設計、實施和運行中的網絡安全問題進行研究分析,設計基于TCP/IP雙層的IDC網絡安全解決方案,該系統的設計,旨在對IDC系統提供有效的安全管理和安全防范措施,實現對WEB應用、內部網絡和核心服務器的安全保障,真正全面地實現IDC網絡安全,對IDC的建設和推廣具有較強的價值。
【關鍵詞】網絡安全;網絡層;應用層
1 引言
隨著互聯網的重要性和對信息傳遞的影響也越來越大,Internet不但為企業和網絡用戶信息、檢索信息以及資源共享提供了方便,也為個人使用網絡資源提供了最大的平臺,特別體現在大多數企業和用戶的重要和關鍵的數據業務都是通過WEB瀏覽器得以呈現和交互,而3G業務的飛速推廣和三網融合的快速啟動,使通信網絡逐漸進入全面多媒體化和智能化的時代。由于全球互聯網環境的不斷變化以及網絡業務的不斷復雜化將會造成大量互聯網數據業務的集中,使整個網絡的安全風險也越來越大,一些新的互聯網安全隱患不斷出現,給互聯網用戶在使用網絡進行業務往來時帶來了巨大的安全威脅。
而且,隨著業務量的增大,IDC經常出現因非法網絡用戶入侵和蓄意攻擊而造成較長時間的網絡中斷現象,象包括某些電信級IDC在內的很多其它IDC一樣,IDC在提供網絡服務的過程中存在著信息安全性、數據隱私性以及信息合法性等方面的比較嚴重的網絡安全問題,因此,IDC是否能保證網絡信息的安全成為了各大企業、用戶以及政府關注的焦點。因此,受企業和政府重托的IDC面臨著非常嚴峻的安全考驗,IDC主要定位于Internet網絡服務,對政府或企業客戶提供個性化的服務。事實上,IDC的網絡功能非常的豐富,應用范圍包括網站托管、電子商務、服務器租用或托管等,比如企業用戶的信息交換、數據存儲,安全服務以及各種新型的增值業務。IDC能夠創建全新統一的信息交換平臺,能充分整合信息資源,實現網絡資源低成本的信息共享,也是實現城市管理現代化的重要環節之一,如果提供網絡服務的同時不能最大程度的保證網絡安全,其個性化的服務就根本無從談起。只有在基礎平臺設施完善和系統功能強大的基礎上進一步使網絡安全問題得到充分保障,才能夠充分保證IDC為企業提供真正個性化的服務。因此,基于TCP/IP網絡層和應用層的IDC網絡安全的設計與實現顯得至關重要。
2 IDC的發展過程
早期IDC投入運行并開始為企業提供較小規模的各類服務。從2007年開始,IDC向客戶提供較大規模、較高質量的主機托管、虛擬主機、整機租用、機架出租等服務。隨著投資規模不斷擴大,IDC系統的影響也逐漸擴大。2009年開始,IDC承擔的業務類型逐漸由原來的服務器托管、網站托管等較基礎業務開始向網絡加速、負載均衡和虛擬專用網等增值業務延伸,規模也在不斷擴大,其在業務收入方面也不斷提高。
國內IDC的發展也受到了歐洲國家的IDC發展形勢的影響。近年來,歐洲的IDC外包發展較為迅速,而國內IDC也在開始向外包業務方面發展。在3G大規模商用背景下以及視頻、網游、SNS社交網站等新型業務的巨大推動作用下,IDC的市場需求繼續增大,另一方面,當前的國際經濟危機形勢對于一部分小型企業來說,面臨著嚴酷的變革,造成部分企業兩極分化的情況加劇,因此,國內IDC的整體業務量還將進一步的提高。
IT業務是IDC大部份業務中最關鍵的一個方面,很多企業依靠信息系統進行各項業務的運作,如果系統經常不可用,整個企業的全盤運作可能無法進行,因此,IDC系統的安全逐漸成為各大企業最關注的焦點。
3 IDC安全解決方案設計思想
基于網絡層和應用層的IDC安全解決方案設計思想主要為以下幾個方面:
(1)在IDC的出口處部署網絡防火墻并進行負載分擔,實現對Internet網絡出口安全的加固,以及對用戶訪問Internet的內容進行過濾;
(2)在IDC的數據管理中心NOC和IDC的核心層等部位采用多點的方式部署入侵檢測系統IDS,實現有效的監測網絡層臨界部位的數據信息交換情況和監視IDC內部用戶及內部各類系統的運行情況,防止黑客侵入到IDC數據區而對IDC服務器的數據信息進行蓄意破壞和惡意篡改,并能及時查找是否有內部的用戶進行某些違規非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的計算機上安裝一套漏洞掃描軟件,并定期對IDC系統進行漏洞掃描和安全評估;
(4)在IDC中建立防病毒系統,采用中央控管系統實現跨廣域網的管理,通過TCP/IP協議實現跨廣域網的遠程調用、管理、遠程監控等功能,使其它的分支病毒防護系統的管理及其維護更加簡便、有效,實現從單一客戶端集中管理整個IDC網絡的防病毒的任務;
(5)在發生網絡攻擊或者蠕蟲爆發的情況下能夠及時發現并采取應急措施進行安全防范;
(6)在IDC的服務器群的出口處多點部署應用層防火墻,需要對新型應用層的攻擊威脅進行有效防范,如網頁木馬威脅、Cookie注入攻擊威脅等。
4 IDC安全解決方案設計方法
4.1基于網絡層的IDC安全系統設計
基于網絡層的IDC安全系統設計將分別從網絡層防火墻子系統設計、入侵檢測IDS系統設計、漏洞掃描子系統設計、網絡防病毒子系統設計等方面進行基于網絡層的IDC安全系統的設計和實現。
本次對IDC的網絡層防火墻設計部署時將H3C的超萬兆防火墻產品在IDC中的位置進行提升,直接與核心交換機連接,再通過萬兆高速接口與IDC出口處的核心路由器相連,兩臺防火墻共同部署實現雙機熱備份,并且實現對IDC用戶網絡流量的負載均衡,使整個美地亞IDC內部網絡得到防火墻的安全防護,有效避免了網絡的單點故障和網絡瓶頸問題。同時,在防火墻上開啟虛擬設備的功能,把IDC內部的不同系統資源按一定的配置分配到每個獨立的虛擬防火墻中,一旦在IDC中發生攻擊,防火墻中的不同虛擬防火墻將抵御各自面臨的攻擊,假設其中一個虛擬防火墻的系統資源被網絡攻擊全部耗盡,也不會影響其它服務的正常運行。在入侵檢測IDS系統總署時,采用多層分級管理體系,實現把單點發生的的重要事件自動預警到其它管理區域,使得各級管理員對于可能發生的重要安全事件具有提前的預警提示;采用引擎高速捕包技術保證滿負荷的報文捕獲;采用的高速樹型匹配技術實現了一次匹配多個規則的模式,檢測效率得以成倍的量級提高;采用IP碎片重組、TCP流重組以及特殊應用編碼解析等多種方式,應對躲避IDS檢測的手法,如:WHISKER、FRAGROUTE等攻擊方式;采用預制漏洞機理分析方法定義特征,對未知攻擊方式和變種攻擊也能及時報警;采用行為關聯分析技術,發現基于組合行為的復雜攻擊。為了降低誤報的概率,采用基于狀態的協議分析和協議規則樹,保證特征匹配的位置準確性;采用基于攻擊過程的分析方法定義特征,可以識別攻擊的狀態,提供不同級別的事件報警信息。為了限制濫報的概率,采用狀態檢測機制,有效地避免了事件風暴的產生;采用多種統計合并技術對同一事件采用合并上報,減少報警量。漏洞掃描子系統的設計,分布式管理并集中分析,在IDC中部署天鏡漏洞掃描系統時采用分布式部署的形式,使各掃描引擎按照不同的漏洞掃描策略同時進行多網絡系統的漏洞檢測,同時將檢測結果進行集中顯示和集中分析,采用多級管理的方式,對于擁有不同地域、大規模網絡的用戶,各個地域的網絡安全管理員管理著本地域的網絡安全狀況,其上層的安全管理員可以上傳檢測結果、下達檢測策略、統一管理、統一分析、統一升級;實現大規模網絡環境下的全局風險控制、降低管理成本。
4.2基于應用層IDC安全系統的設計
為了使WAF在IDC安全系統中能夠盡可能的提供最佳的安全性能,本次設計應用層防火墻WAF時采用最佳的模式,在此模式中,WAF中的所有數據端口都會處于開啟狀態,其中WAN端口負責外部的數據處理,此WAN端口是直接面向因特網的端口。而把WAF中的管理端口劃分到另外一個不同的網段,因為在部署設計WAF時最好將管理數據和實際的網絡流量進行分離,避免IDC中的實際網絡流量和WAF的相關管理數據之間出現互相沖突的現象。具體可以通過以下方法進行網絡實現:將WAF的前端端口和后端端口分配到不同的網段,讓所有的外部用戶與WAF的應用虛擬IP地址進行連接,而將此虛擬IP地址和WAF的前端端口進行互相綁定。當用戶訪問時,用戶的連接將會在網絡設備上立即終止,WAF馬上對流經的數據包進行安全檢查和過濾,而合法的數據流量將與WAF的WAN口重新建立起新的網絡連接到負載均衡設備,通過負載均衡進行網絡流量的負載。WAF可以進行實時策略的生成及執行,根據IDC中不同的應用程序自定義相應的防火墻保護策略,可以無縫的砌合各用戶的應用程序,且不會造成任何應用失真。
參考文獻:
[1]段勇,朱源.IDC基礎設施云的安全策略研究[J].電信科學,2010.5
政務網絡安全解決方案如今,全球都處在信息化高度發展的時期,信息高速公路的建設為我們的經濟發展帶來了很多的方便。但是,在享受方便的同時也在承受著一定的風險,特別是在政府系統中,計算機網絡的安全更是關乎到了大局的發展,因此,我們要著重找到問題的所在,采取措施解決問題。
一、政府計算機網絡中的安全影響因素
在當代社會,計算機網絡已經是人們生產生活所必須的信息載體,它不僅在生產、交易、教育、流通等各個領域得到廣泛的應用,而且,它也成為了各地政府部門進行管理的一種新型手段。但是,政府網絡復雜的系統和設備以及多個平臺的應用,就導致了政府計算機網絡的安全性要比個人用戶的安全性差。
1.突發事件帶來的安全隱患。這里的突發事件主要是指一些不可抗力所造成的信息丟失,這是一種能預測,無法避免的問題,如地震、火災、泥石流等原因,這種情況下的網絡系統所遭受的破壞一般都是無法修復的,是毀滅性的破壞。
2.物理方面的安全隱患。政府的計算機網絡都是用來進行數據通信的,它是通過無線電、物理線路等網絡設備進行運行的,但是,這些網線、光纖、電纜等連接設備會遭到自然或者認為的破壞,這樣就會導致數據丟失,給政府工作帶來極大的不便。
3.網絡病毒帶來的安全隱患。雖然計算機技術在不斷的發展,但是,病毒的威力和品種也在不斷的上升,病毒對計算機的攻擊會導致計算機癱瘓,或者政府政務網絡平臺上的信息被破壞、被泄露等現象,在眾多的影響因素中,網絡病毒的攻擊和入侵是比較難處理的現象,因為,它具有再生和在發展的能力,會出現不斷的攻擊和來自不同病毒的攻擊。
二、政府計算機網絡中存在的安全隱患
當前,電子政務系統已經成為了我國各地政府部門行政的一種方式,它主要包括了政府的機密、領導的管理系統、重要事件的分析和解決等系統,那么,他們的安全都是靠計算機網絡的安全來保證的。但是,現在我國政府計算機網絡的安全還是存在著以下一些隱患的:
1.非法訪問現象的存在。當前,還是存在著政府政府系統未經允許就擅自非法闖入的現象,這也不排除政府工作人員擅自授權、越權訪問等的存在,他們對政府計算機網絡的信息資源以及網絡的連接進行濫用,導致政府信息被頻繁的泄漏。
2.被攻擊現象的存在。政府計算機網絡總是存在被攻擊的現象,這種現象的存在主要是兩種原因所導致的,一種是有人通過程序進行攻擊,主要有口令攻擊、郵件炸彈、掃描等程序和工具進行對政務系統進行干擾,打亂正常的網絡工作流程,使服務器工作量過大導致癱瘓。
另一種就是通過計算機網絡病毒進行攻擊,干擾政府政務系統的運行。通過含有病毒的郵件進行病毒傳播,在工作人員打開郵件的同時就把病毒栽種在了整個計算機系統中了,或者政府工作人員在不知情情況下使用了有病毒的光盤,這樣都會導致病毒的入侵。
3.政府政務信息丟失的現象。這部分強調的是具有保密性質的信息丟失或者被毀損。這種情況一般都是發生在地方政府中,因為地方政府在網絡安全的管理上不夠重視,工作人員工作散漫,在他們的工作電腦上往往都存著設計到機密的信息,在疏忽管理的情況下就會導致信息被有意無意的丟失。
還有一部分是政府工作系統內部的資源共享部分的安全受到沖擊,工作人員對共享部分的資源不是很重視,導致工作人員為了節省時間直接把所有的信息都放在了共享中,導致了很多重要的信息被長期共享,為不法人員提供了竊取的機會。
三、政府計算機網絡安全問題的解決方案
面對著政府計算機網絡安全存在的安全隱患,為了保證政府信息安全,必須采取措施解決這些問題。我們要盡量采取對人力、物力、財力投入最少的方式,這樣才能夠實現在解決問題的過程中還能減輕政府的壓力。
1.加強對基本設備的保護,減小物理威脅。計算機要想正常的工作,必須有基本的工作設備,因此,我們要對計算機的基本工作設備如網線、光纖、交換機、服務器等硬件設施和網絡連接設施進行保護,避免自然現象和人為原因對其造成破壞。同時,要從內部管理制度上進行著手,建立一個完善的機房管理體制,確保網絡網絡設備有一個良好的存放和工作環境,對機房的水、電等存在安全隱患的因素要加強監管,防止物理安全隱患的出現。
2.加強系統維護和反毒程序的運行。首先,就要對計算機網絡系統的程序進行安全掃描,在掃描的過程中可能會出現很多的漏洞和危機,這時,我們要及時地通過安全掃描這樣一個安全防御措施來進行修復和調整。通過對工作站、路由器、服務站、數據庫等進行掃描,把掃描結果和相關的數據分析向該系統的管理人員報告,并提出可行性的分析防止報告,這樣就可以為網絡系統的安全水平提供執行依據。
其次,面對越來越嚴重的病毒入侵,我們必須對政府計算機網絡系統采取反病毒措施。伴隨著新技術的不斷發展,病毒的原有概念已經發生了很大的改變,不再是單純的對系統性文件進行感染,而是發展到了自動傳播的程度,并且,其存在空間也在逐漸的擴大。就近幾年的中毒情況來說,很多都是網絡型的,這樣的傳播速度是非常高的,反病毒技術已經隨著病毒的發展而發展到了實時防護階段。所以,政府要加大對病毒防護的通入,不要把眼光只放到程序的維護。
3.強化政府計算機網絡技術,防止非法入侵。我們針對計算機網絡的安全問題要正確面對現實,科學分析計算機網絡的安全需要,針對存在的問題建立計算機網絡安全運行技術結構,根據不同用戶的性質實行相應的網絡準入制度,根據不同用戶的訪問權限,設定不同的訪問空間,同時,對于共享平臺上的信息要進行仔細的篩選,根據國家對信息的安全規定,對設計國家秘密的信息進行嚴格的過濾,尤其要求工作人員對于高級別的網址和秘鑰不能私自公開或轉授。
針對外來人員非法入侵的情況,我們要加強網絡系統的安全管理,特別是密碼管理。加密是我們對信息的一種最基本的管理方式,那么,在對信息進行加密的過程中,我們可以選擇對信息發送、傳輸和存儲等三個大方面進行加密處理。加密就是把原來能看得懂的東西轉化成為看不懂的東西,可以通過把傳輸的信息變成一堆亂碼。這樣,使得在傳輸過程中即使被盜也不會對該信息的安全性產生很大的影響。
四、總結
隨著計算機技術的不斷發展,計算機的安全問題會逐漸被解決,但同時,更多的危險因素也會隨之增加。因此,我們要加強對政府計算機網絡安全的研究,做好監督和預防工作,盡量減少網絡安全給政府日常工作帶來的不良影響。
參考文獻:
[1]張文雷,石紅波,石紅舟.互聯網信息安全問題的防范對策和政府責任[J].改革與戰略,2006,(04).
卡巴斯基正在向中國的中小企業安全市場發力。
“其實除了大家所熟知的端點安全解決方案外,卡巴斯基在企業安全領域有著完整的安全產品體系,我們也將逐漸把這些產品引入國內。”卡巴斯基實驗室大中華區總經理鄭啟良表示,卡巴斯基面向中國市場推出全新的中小企業安全解決方案,就是要發力中小企業市場。
鄭啟良介紹,卡巴斯基中小企業安全解決方案包含反病毒保護、在線交易保護、云管理和數據備份、密碼管理等多重強大功能,并且簡單易用。IT水平不高的中小企業用戶,無需掌握專業的IT管理知識即可有效保護企業網絡,節約時間成本,專心從事業務運營。同時,卡巴斯基最新推出的還有卡巴斯基安全專家服務,它可以快速準確地解決企業面臨的各種安全問題,如病毒爆發和緊急事件,為企業提供專業安全知識培訓,提高員工安全意識,儲備企業自己的安全人員。此外,這項服務還能夠對企業現有網絡狀態進行安全風險評估,找出安全隱患,提前防范已知、未知和高級的網絡威脅。
卡巴斯基方面稱,其中小企業安全解決方案有六大特點。
一是全面保護企業網絡安全。卡巴斯基中小企業安全解決方案可為Windows計算機和文件服務器、Mac工作站和安卓智能設備提供最佳的IT安全保護,全面抵御各類已知與未知威脅。
二是妥善保障企業資金安全。卡巴斯基中小企業安全解決方案能夠有效攔截網絡間諜、網絡欺詐者,以及假冒網站,避免企業金融信息被盜。該方案還包含密碼管理器組件,能夠幫助用戶創建和記憶最新密碼,從而使用戶安全且自信地進行業務交易。
三是高效保護企業數據安全。卡巴斯基中小企業安全解決方案提供業內頂級的反病毒保護,能夠高效攔截所有試圖竊取企業機密數據的黑客攻擊和行為,確保企業自身及其客戶的信息安全。
四是提升員工的工作效率。通過卡巴斯基中小企業安全解決方案,用戶可以限制員工在工作時間瀏覽網頁和在線聊天,提升員工的工作效率,阻止不合適的應用程序下載至企業網絡中,從而更高效地發揮企業員工的能力,確保企業高效運轉。
五是節省企業的時間和成本。卡巴斯基中小企業安全解決方案專為中小企業的特殊需求而打造,能夠實現快速安裝、自動運行、無需監管,并確保最佳的計算機性能與安全防護。此外,還能夠消除因IT安全問題造成的系統宕機,確保企業正常運轉,為中小企業節省時間與成本。
六是企業安全輕松掌控。該產品包含基于網頁的管理控制臺。用戶可隨時隨地通過網絡管理所有設備的安全狀態。
“對于中小企業而言,自身網絡的安全是業務穩定運營的重要保障;卡巴斯基中小企業安全解決方案可以幫助中小企業輕松實現企業網絡安全。憑借在惡意威脅和網絡犯罪研究方面的領先優勢,卡巴斯基近兩年大力加強對企業安全解決方案的研發投入,目前在國內已經推出許多企業安全解決方案與服務,后續還會有更多、更先進、更切合國內客戶需求的解決方案。”鄭啟良表示,“例如卡巴斯基的安全專家服務就是基于卡巴斯基全球安全研究與分析專家團隊為不同規模的企業提供的多層級安全服務。目前該項服務已經在全球各個國家獲得了很好的市場反響,我們也有信心很快會得到中國企業用戶的支持與認可。”
近兩年,SSL VPN的市場突飛猛進,SSL VPN產品與IPSecVPN產品在市場占有率已開始出現此消彼長的情況。
狀態監測、應用智能、SmartDefense技術都是Check Point公司借助14年以來專業充實安全領域研究過程中所開發出來的安全防護技術,是貫穿公司所有安全防護產品,包括SSL VPN產品的安全特性。
狀態監測技術
狀態監測技術已經逐漸成為企業級網絡安全解決方案的行業標準。狀態監測能夠滿足上面指定的所有安全要求,而傳統的防火墻技術在某些方面均存在一定的缺陷。借助狀態檢測技術,將在網絡層截獲數據包以達到最佳性能(與包過濾器相同),但隨后將訪問和分析來自于所有通信層的數據(與應用層網關的第 4~7層比較而言)來改進安全性。
然后,狀態監測通過合并來自于通信以及應用程序的狀態和上下文信息(這些信息是動態存儲和更新的),來獲得更高的安全性。這樣將提供累積數據,據以評估以后的通信嘗試。它還提供創建虛擬會話信息的功能,以便跟蹤無連接協議(例如基于 RPC 和 UDP 的應用程序),這些是其他防火墻技術無法實現的。
應用智能技術
應用智能作為一組高級功能,能夠檢測和阻止應用級攻擊。許多防火墻(特別是那些基于 Stateful Inspection 技術的防火墻)已經保存了成功抵御網絡攻擊的防護庫。事實上,越來越多的攻擊試圖利用網絡應用的弱點,而不是直接面向防火墻。這種攻擊方法的重要變化需要防火墻不僅提供訪問控制和網絡級攻擊保護,還要理解應用程序的行為以抵御對應用程序的攻擊和入侵。Check Point應用智能擴展了對這種網絡安全解決方案的理解。
應用智能本身的形式與應用級防護相關聯。然而實踐中,許多針對網絡應用程序的攻擊實際上均指向網絡層和傳輸層。黑客們以攻擊這些較低層為手段來訪問應用層,并最終達到攻擊應用程序和數據本身的目的。同時,以較低層為目標,攻擊可以中斷或拒絕合法的用戶和應用程序服務(如 DoS 攻擊)。基于上述原因,應用智能和其他網絡安全解決方案不僅必須要解決應用層問題,還可以解決網絡及傳輸層安全問題。
防火墻已經成為網絡安全基礎架構的主要部分,這主要基于它們阻隔網絡級攻擊的能力。防火墻的成功另一方面也使黑客們又開發出更加復雜的攻擊方法。新種類的攻擊直接面向應用程序,經常試圖利用應用程序本身固有的弱點或基本的通信協議中的弱點。因此,需要使用多層安全網關來保護公司網絡免受這些威脅。另外,多層安全解決方案必須保護網絡層和應用層免受攻擊,提供對 IT 資源的訪問控制。Check Point應用智能具有一系列高級功能,與 Check Point FireWall-1 NGX 和 SmartDefense 集成,能夠檢測和防止應用層攻擊。并且針對越來越多直接針對關鍵應用的攻擊行為,公司在業界提供了領先的安全解決方案。
SmartDefense技術
某市國土局在使用辦公信息化帶來的豐富資源的同時,也面臨著來自互聯網的安全威脅。該局是主管該市土地資源、礦產資源和房產管理的市政府工作部門,安全問題自不可小視。為此,該局希望盡快找到一個全面的安全解決方案,來解決其網絡辦公的各種安全問題。
需求分析
該局辦公信息系統建設快速推進的同時,信息網絡安全問題日漸突出。隨著辦公對網絡資源依賴程度的加強,員工上網需求的不斷增加,越來越多的安全隱患威脅著局內網絡:P2P軟件的泛濫,病毒、木馬的橫行,垃圾郵件、釣魚郵件的騷擾等,隨時都可能影響到局網絡系統的正常運轉。
為此,局內需要一個完備的網絡安全解決方案,使內網能夠安全接入互聯網,在享受網絡資源的同時,確保網絡與數據的安全。另外,該局還希望這一安全解決方案能夠對與工作無關的上網內容進行過濾,對聊天工具等進行限制,以提高辦公效率。
解決方案
本案實際網絡部署和網絡安全需要,顯然不能依靠單一防火墻來滿足全局多個層次的管理需求,采用統一威脅管理(UTM)來實現該網絡的安全管理勢在必行。經過多方研究論證,本案最終采用合勤ZyWALL 70 UTM安全網關為中心的安全網絡,以滿足其不同層面和類別的需求,保證網絡安全,提高辦公效率。
這套合勤科技的統一安全解決方案,正好在三個方面與本案需求相吻合。一是確保網絡和數據的安全,包括抵御各種網絡入侵、防御黑客、病毒、蠕蟲攻擊等,保證局內網的數據不被竊取;二是提高整體工作效率,即對與工作無關的上網內容進行過濾,對聊天工具進行限制;三是盡可能降低管理成本,ZyWall 70UTM簡單的架設、維護和升級,適用于非專業技術人員,只要求最低數量的人員進行系統維護。
合勤ZyWALL 70UTM提供了8大功能,即防病毒、入侵偵測保護、反垃圾郵件和動態內容過濾、IPSec VPN、防火墻、帶寬管理、負載均衡。ZyWALL 70 UTM配備的ZyWALL Turbo Card加速卡,采用合勤科技獨有的ZyXEL SecuASIC技術,整個防火墻速度提高到其他同級UTM產品性能的20倍,即使是在所有8項功能同時啟動時,也能提供高速穩定的吞吐量。ZyWALL 70 UTM的智能入侵檢測功能,針對網絡攻擊進行主動防御,并且將實時的監控狀態告知網管人員。
僅用一臺ZyWALL 70UTM就可有效防御內網可能受到的P2P、病毒、木馬等各類威脅,保證該市國土局網絡信息數據的安全,并且在保持功能穩定的同時,提供高速的數據傳輸能力。同時,zyWALL 70 UTM提供高速率的、采用DES、3DES、AES等加密方式保護的VPN連接,并具有VPN備份功能以保證在主要網絡連接中斷時能夠及時地替換到備份連接上,保障網絡的暢通。ZyWALL70 UTM的ICSA認證保證防火墻和IPSecVPN能夠與其他廠商擁有ICSA認證的產品很好地互聯互通。此外,ZyWALL 70UTM附加的增值優勢包括撥號備份和流量重定向,增強了保護多重互聯網連接可靠性的功能。
對于過濾與工作無關網頁、提高整體工作效率的需求,ZyWALL 70 UTM的內容過濾功能大顯身手。通過該網關內容過濾數據庫的建立,國土局可根據需要對URL關鍵字進行網頁阻止,并對Java/ActiveX/Cookie進行過濾,輕松阻止員工進入與工作無關或者可疑的網站,在提高工作效率的同時,也有效保護了企業網絡的安全。同時啟用zyWALL 70 UTM的入侵檢測防御,限制BT、MSN、QQ的使用,提高辦公效率。ZyWALL 70 UTM提供了垃圾郵件過濾、網絡釣魚保護功能,通過可配置的白名單、黑名單和建立外部垃圾郵件數據庫,垃圾郵件的控制和管理變得輕而易舉。
關鍵詞:網絡安全;攻擊;防御;解決方案
一、網絡安全概述
計算機網絡安全是指通過采用各種技術和管理措施,使網絡系統正常運行,從而確保在一個網絡環境里,網絡信息數據的可用性、完整性和保密性受到保護。
網絡安全問題實際上包含兩方面的內容:一是網絡的系統安全;二是網絡的信息安全,而保護網絡的信息安全是最終目的。要做到計算機網絡信息數據的真正安全,應達到以下五個方面的目標:1)保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性;2)完整性:數據未經授權不能進行改變的特性;3)可用性:可被授權實體訪問并按需求使用的特性;4)可控性:對信息的傳播及內容具有控制能力;5)不可否認性:保證信息行為人不能否認其信息行為。
如何保證個人、企業及國家的機密信息不被黑客和間諜竊取,如何保證計算機網絡不間斷地工作,是國家和企業信息化建設必須考慮的重要問題。作為網絡管理人員,首先要充分了解相關的網絡攻擊技術,才能夠更好地防護自身的信息系統,以便制定較合理的網絡安全解決方案。
二、常見的網絡安全攻擊技術
網絡攻擊是利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件及其系統中的數據進行的攻擊。目前常用的網絡攻擊技術手段有:社會工程學、網絡監聽、暴力攻擊、漏洞攻擊、拒絕服務攻擊等。
(一)社會工程學
社會工程學是一種攻擊行為,攻擊者利用人際關系的互動性發出攻擊:通常攻擊者如果沒有辦法通過物理入侵直接取得所需要的資料時,就會通過電子郵件或者電話對所需要的資料進行騙取,再利用這些資料獲取主機的權限以達到其目的。通俗地講,社會工程學是一種利用人性的弱點,如人的本能反應、好奇心、信任、貪便宜等弱點進行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
(二)網絡監聽
網絡監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如Sniffer等)就可輕而易舉地截取包括口令和帳號在內的信息資料。
(三)漏洞攻擊
有些安全漏洞是操作系統或應用軟件與生俱來的,如緩沖區溢出攻擊,由于非常多系統在不檢查程式和緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設置一串準備用作攻擊的字符,他甚至能訪問根目錄提升用戶,從而擁有對整個網絡的絕對控制權。
(四)拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。這種攻擊由于網絡協議本身的安全缺陷造成的,如ICMP協議經常被用于發動拒絕服務攻擊,它的具體做法就是向目的服務器發送大量的數據包,幾乎占取該服務器所有的網絡寬帶,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。
三、常見的網絡安全防御技術
面對嚴峻的網絡安全形勢,針對不斷出現的網絡攻擊手段,研究相應的網絡安全防御技術顯得越來越重要。常見的網絡安全防御技術主要包括信息加密、防火墻、入侵檢測技術、漏洞掃描和數據備份等。
(一)信息加密技術
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。目前世界上最流行的加密算法有兩大類:一種是常規算法,其特征是收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形;另外一種是公鑰加密算法,其特征是收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導解密密鑰。比較著名的公鑰密碼算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墻
防火墻是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。它對兩個網絡之間的通信進行控制,通過強制實施統一的安全策略,限制外界用戶對內部網絡的訪問,管理內部用戶訪問外部網絡,防止對重要信息資源的非法存取和訪問,以達到保護內部網絡系統安全的目的。
(三)入侵檢測技術
入侵檢測是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性的一種網絡安全技術。它通過監視受保護系統的狀態和活動,采用誤用檢測(Misuse Detection)或異常檢測(Anomaly Detection)的方式,發現非授權的或惡意的系統及網絡行為,為防范入侵行為提供有效的手段。按照數據源所處的位置不同,入侵檢測技術(IDS)可以分為兩大類:基于主機的IDS和基于網絡的IDS。
(四)漏洞掃描
漏洞掃描是對系統進行全方位的掃描,檢查當前的系統是否有漏洞,如果有漏洞則需要馬上進行修復,否則系統很容易受到網絡的傷害甚至被黑客借助于系統的漏洞進行遠程控制,所以漏洞掃描對于保護系統安全是必不可少的。
(五)數據備份
數據備份是容災的基礎,是指為防止系統出現操作失誤或系統故障導致數據丟失,而將全部或部分數據集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。隨著技術的不斷發展,數據的海量增加,常用的技術有網絡備份,它通過專業的數據存儲管理軟件結合相應的硬件和存儲設備來實現。
四、網絡安全解決方案
網絡安全是一項系統工程,隨著環境的改變和技術的發展,網絡系統的安全狀況呈動態變化,應綜合運用多種計算機網絡信息系統安全技術,將信息加密技術、防火墻技術、入侵檢測技術、漏洞掃描技術等綜合起來。但一份好的網絡安全解決方案,不僅僅要考慮到技術,還要考慮到策略和管理。應協調三者的關系,技術是關鍵,策略是核心,管理是保證,其最終目的是根據目標網絡系統的具體需求,有針對性地解決其面臨的安全問題。
參考文獻:
【關鍵詞】IP城域網 網絡安全 網絡安全防護
一、引言
由于技術和專業的限制,IP城域網建設初期網絡結構相對簡單,設備性能有限的,可提供用戶使用的業務類型較少。運營商長期處于鋪網、圈地的狀態,較少關注網絡安全性。
隨著寬帶提速、光網城市的推進,用戶規模越來越大,原有網絡結構、設備性能的一些弊端逐漸顯現出來,IP城域網網絡安全風險越來越大,網絡安全問題正逐步成為影響網絡正常運行、業務順利發展的重要因素。本文主要對IP城域網的網絡架構及網絡需求進行分析,并對網絡安全解決方案進行論述。
二、IP城域網網絡安全整體情況
IP城域網網絡分層結構現狀
IP城域網是在城域范圍內組建的,用于實現個人和企業用戶的語音、視頻、數據等多種業務接入、匯聚和轉發,可獨立進行管理的IP網絡平臺。包括城域骨干網、業務控制層和寬帶接入網兩部分。
城域骨干網:由城域核心路由器負責對業務控制層設備進行端口和流量匯聚,并作IP城域網到IP骨干網的流量轉發出口。
業務控制層由寬帶接入服務器(BRAS)與業務路由器(SR)兩種業務接入控制點組成,主要負責業務接入與控制。
寬帶接入網:是業務控制層以下,用戶家庭網關以上(不含CPE)的二層接入網絡。
三、IP城域網網絡安全需求分析
目前IP城域網主要以Intemet業務為主,需重點考慮以下方面:
(1)對外需加強黑客防御,對內提升安全控制;
(2)業務層、網絡層和用戶層安全并重;
(3)合理規劃網絡流量,保障網絡的可達性和可靠性;
(4)加強網絡身份認證、訪問授權;
(5)網絡按需隔離。
四、IP城域網網絡安全研究
IP城域網是城域業務接入和流量轉發的綜合數據網絡,不同的網絡結構和層次所面對的網絡安全問題將有所區別,為控制網絡中的安全風險,需要有針對性的采取不同的安全策略。
4.1 IP城域網核心層安全
由于核心層網絡承擔整個城域網出口流量匯聚和轉發,為保證其網絡安全性和可靠性,建議采用以下安全策略,包括:
采用路由和交換設備應保證全線速、無阻塞;
盡量采用加密方式實現設備或系統登錄,并強化登錄口令管理;
采用節點、機框、板卡和端口級冗余備份;
采用資源預留,分布式轉發等技術提高設備系統安全性;
對異常網絡流量進行實時監控,及時發現和解決問題。
4.2 IP城域網匯聚層安全
匯聚層業務控制點的安全性能主要體現在以下幾個方面:
根據用戶簽約帶寬配置線路速率,并通過限速和QoS等技術控制用戶合法帶寬;
對傳輸層和會話層的會話數和連接數進行總量限制,避免DoS/DDoS攻擊;
通過加強密碼、密鑰等方式提高網絡安全控制管理水平;
創建訪問控制列表(ACI),根據安全需求有選擇控制非法用戶訪問網絡安全服務;
通過syslog溯源系統強化安全日志管理。
4.3 IP城域網接入層安全
通過各種接入技術和傳輸資源實現網絡覆蓋,為用戶提供多種業務接入和流量控制。
通過用戶網絡隔離、用戶屬性(IP、MAC和設備端口等)精確綁定等手段防止用戶非法接入和惡意攻擊,提高網絡接入安全性;
在LAN接入,需要通過端口環路檢測避免二層環路的發生,避免廣播風暴對網絡的影響。
五、結語
目前,電信運營商IP城域網在網絡安全管理上還存在不足,網絡安全防御手段相對匱乏。對網絡安全的控制還集中在ACL、黑洞路由等傳統手段,未規模推進防火墻/IPS等專用第三方網絡安全設備與傳統的路由器/交換機進行聯動控制。且由于現有的檢測和控制方式相對分散,部分系統或設備必須由運維人員手工配置,難以在網絡安全受到威脅下,保證各系統和設備相互協調,迅速作出響應,以形成一個完整和有效的安全網絡。
創業初期:把握機遇走自己的路
1995年,網絡開始涉足中國市場,網絡安全市場當時在國外也是一個新興的市場,國內更是一片空白。北京天融信公司的前身――北京天融信技貿有限責任公司在中關村掛牌,成為中國首家網絡安全公司。
1996年,隨著網絡安全產品市場需求量的增大,以及國家對信息網絡安全要求的政策出臺,國內鼓勵廠商自主研發安全產品。天融信緊緊抓住并牢牢把握重要機遇,克服重重困難,推出了我國第一套自主版權的防火墻系統,并被應用于政府的首個網絡安全項目、也是當時最大的安全項目――國家統計局600萬元安全系統集成項目。就此,這家當時瞄準了防火墻市場的國內安全廠商,開始順利踏上信息安全之路并進入國產網絡安全產品廠商前列。
“我是在1997年11月,一個偶然的機會進入到北京天融信公司的,那時對防火墻還是一無所知,也沒有想著在這個公司長遠發展下去。因為我的專業是學金屬材料專業――計算機模擬計算,只是因為對計算機行業的一點興趣以及希望有新的機會,能將所從事的研究工作進行轉型,便進入了天融信公司。”于海波簡單地做了自我介紹。
據記者了解,天融信公司是屬于當時將產品盡快推向市場并得到應用最好的企業之一。主要產品是防火墻,該防火墻于1996年6月研制成功,屬我國第一套具有自主知識版權的防火墻系統,并通過國家安全部與電子工業部聯合主持的技術鑒定,填補了國內空白。國務院信息辦在1997年12月還曾將天融信防火墻列為重點安全項目向全國推廣。“我當時進入網絡安全行業可以說對網絡安全的了解是一片空白。”于海波說,“1999年前,我國的信息安全產業基本處于萌芽狀態,專業從事信息安全的國內廠商可謂鳳毛麟角,防火墻廠商只有天融信等幾家,防病毒廠商主要包括瑞星、江民等,用戶基本上不知道什么是防火墻、甚至什么是信息安全,信息安全產品以單機版殺毒軟件為主”。
可見,早在當年天融信決定進入網絡安全行業時,天融信就在技術、研發方面走出了自己的路。隨著國內信息安全市場的需求逐漸明確,防病毒、防火墻已經成為信息系統事實上的標準配置產品。防病毒、防火墻、IDS是我國信息安全市場的支柱型產品,入侵檢測(IDS)和VPN的需求上升最快,物理隔離網閘、身份認證和安全管理平臺的需求也有較大幅度提高。政府上網工程、網上審批工程、電子政務工程和12大“金”字工程的實施,將政府內部網、企業內網、電子商務網與Internet互聯是必須的功能,因此防“黑客”入侵攻擊是信息安全的重要任務,而內外網邊界安全設備的防火墻更成了需求熱點。由于市場對防火墻需求強勁,與此配套使用的其他安全類產品自然也“熱”起來了,成為新的需求亮點。
成長期:重視渠道和創新,打造民族品牌
2001-2003年,是我國信息安全產業的成長期,國內的信息安全廠商與用戶共同成長;主流廠商密切跟蹤、學習,并逐步掌握國際最新技術;用戶深入了解信息安全技術,國產品牌產品得到認可;多種信息安全產品面世,“聯動”成為安全產品走向。
這期間,天融信公司根據各地不斷增長的安全需求,也開始了地方分支機構的建設。于海波告訴記者,他曾于2001年初,被派到廣州負責分公司建設。從最初的2個人發展到現在的50多人,從最初的幾百萬銷售額發展到2003年的3000多萬的銷售額。
在整個信息安全產業方面,用戶對信息安全的多樣化需求、個性化需求,極大地促進了國內安全廠商的發展,同時也使國內廠商逐步掌握了國際最新技術。2000年,國外信息安全產品占據大部分市場份額,但由于是進口產品,不能在國內進行技術上的快速變更滿足國內用戶的需求,使得更多的用戶轉向使用國產安全產品。如天融信開發的NGFW3000有很多功能是根據國內用戶的需求開發定制的。之后,2002年推出的NGFW4000,創新性地使用了會話檢測技術,極大地提高了防火墻的性能以及過濾的內容深度。
隨著諸多國內、國際信息安全廠商進入國內市場并加大投入力度以及政府的扶持,國產信息安全產品與品牌得到普遍認可,使國內網絡安全市場規模快速增長,年復合增長率平均達到40%左右。到2003年,總體信息安全產品市場規模已經達到20億人民幣。同時從2000年至2003年,天融信公司連續四年市場份額均居國內安全廠商之首,同時還聯合多家國內知名安全廠商,共同倡導推廣TopSEC聯動網絡安全解決方案,為用戶構造了一個以防火墻為中心的聯動的集成防御體系。
2004年,雖然我國的信息安全產業繼續快速發展,使國內用戶的需求發生了變化,即“需求的整合”。主要表現在:企業的安全建設從“被動防御”向“主動防御”過渡,即企業從發現問題后再修補的“產品疊加型”防御方式向“以風險管理”為核心的主動防御過渡;安全產品從“孤立的產品形式”向“集中管理”過渡。
面對市場和用戶需求的變化,天融信的對策首先是圍繞“完全你的安全”,打造全線的網絡安全產品、全程的專業安全服務和全面的安全解決方案。到目前為止,天融信已經擁有了網絡衛士防火墻、網絡衛士VPN、網絡衛士入侵檢測系統、網絡衛士過濾網關、TOPSEC安全審計綜合分析系統、網絡衛士綜合管理系統等6大系列近20多款安全產品與安全應用系統,可以充分滿足不同用戶的應用需求。
于海波認為,信息安全行業是個來不得半點虛假的行業,“水分太多”,一定程度上會誤導用戶。網絡系統安全必須是整體的、動態的。用戶可以通過選擇優秀的產品和服務構建一個完整的解決方案,要使優秀產品、服務等環節形成整體的安全策略。另外,必須有統一的、動態的安全策略,一個相互聯動的、高效的整體安全解決方案,于是天融信全力推出了以“完全你的安全”為基礎的全網整體解決方案,從技術、管理、運行三個層面幫助用戶搭建一個安全管理、監控、檢測、加固、優化、審計、維護安全平臺。
結語
[關鍵詞] 電力系統 網絡安全 風險控制
1 概述
2008年對于電力部門來說,保奧運,確保電網和系統安全,是各發電集團公司、國家電網公司、南方電網公司的頭等大事。保護電力業務系統的安全,其核心在于保護電力數據的安全,包括數據存儲、傳輸的安全。影響電力系統網絡安全的因素很多,有些因素可能是有意的,也可能是無意的誤操作;可能是人為的或是非人為的;也有可能是內部或外來攻擊者對網絡系統資源的非法使用。
以前由于電力系統一直以來網絡結構和業務系統的相對封閉,電力系統出現的網絡安全問題也基本產生于內部。但是,隨著近年來與外界接口的增加,特別是與政府、金融機構等合作單位中間業務的接口、網上服務、三網融合、數據大集中應用、內部各系統問的互聯互通等需求的發展,其安全問題不僅僅局限于內部事件了,來自外界的攻擊已越來越多,已經成為電力系統不可忽視的威脅來源。但是,未來電力系統網上服務所采用的策略一般是由各省公司做統一對外服務出口,各級分局或電力公司和電廠將沒有對外的出口;從內部業務應用的角度來看,除大量現存的C/S結構以外,還將出現越來越多的內部B/S結構應用。
所以,對于電力系統整體來說,主要問題仍有一大部分是內部安全問題。其所面臨的威脅大體可分為兩種:一是對網絡中通訊、信息的威脅;二是對網絡中設備的威脅,造成電力系統癱瘓。對于電力系統來說,主要是保護電力業務系統的安全,其核心在于保護電力數據的安全,包括數據存儲,數據傳輸的安全。
2 電力網絡信息系統安全的威脅
2.1 人為的無意失誤
如果網絡安全配置不當造成的安全漏洞,包括安全意識、用戶口令、賬號、共享信息資源等都會對網絡安全帶來威脅。主機存在系統漏洞,通過電力網絡入侵系統主機,并有可能登錄其它重要應用子系統服務器或中心數據庫服務器,進而對整個電力系統造成很大的威脅。
2.2 人為的惡意攻擊
這是計算機網絡所面臨的最大威脅,黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的可用性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成直接的極大的危害,并導致機密數據的泄漏和丟失。由于windows操作系統的漏洞不斷出現,針對windows操作系統漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現的沖擊波蠕蟲病毒和惡意程序給全世界80%的計算機造成了破壞,安徽省電力公司系統內也有多個供電企業的信息系統遭到病毒的破壞,這一事件給網絡安全再次敲響了警鐘!
3 網絡安全風險和威脅的具體表現形式
電力系統網絡的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導致的一次系統事故或大面積停電事故,二次系統的崩潰或癱瘓,以及有關信息管理系統的癱瘓。必須提出針對以上事故的各種應急預案。隨著計算機技術、通信技術和網絡技術的發展,電力系統網上開展的業務及應用系統越來越多,要求在業務系統之間進行的數據交換也越來越多,對電力網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰。其安全風險和威脅的具體表現形式如下:
(1)UNIX和Windows主機操作系統存在安全漏洞。
(2)Oracle、Sybase、MS SQL等主要關系型數據庫的自身安全漏洞。
(3)重要應用系統的安全漏洞,如:MS IIS或Netscape WEB服務應用的“緩存區溢出”等,使得攻擊者輕易獲取超級用戶權限。核心的網絡設備,如路由器、交換機、訪問服務器、防火墻存在安全漏洞。
(4)利用TCP/IP等網絡協議自身的弱點(DDOS分布式拒絕服務攻擊),導致網絡癱瘓。網絡中打開大量的服務端口(如RPC、FTP、TELNET、SMTP、FINGER等),容易被攻擊者利用。黑客攻擊工具非常容易獲得,并可以輕易實施各類黑客攻擊,如:特洛伊木馬、蠕蟲、拒絕服務攻擊、分布式拒絕服務攻擊,同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網絡的癱瘓和關鍵業務數據的泄漏、篡改甚至毀壞。在電力內部網絡中非法安裝和使用未授權軟件。對網絡性能和業務造成直接影響。系統及網絡設備的策略(如防火墻等)配置不當。
(5)關鍵主機系統及數據文件被篡改或誤改,導致系統和數據不可用,業務中斷等。
(6)分組協議里的閉合用戶群并不安全,信任關系可能被黑客利用。
(7)應用軟件有潛在的設計缺陷。
(8)在內部有大批的對內網和業務系統相當熟悉的人員,據統計,70%以上的成功攻擊來自于企業系統內部。與其他電力和合作單位之間的網絡互通存在著極大的風險。
(9)雖然將來由省局(公司)統一的WEB網站向外信息并提供網上信息服務,但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯網,存在著由多個攻擊入口進入電力內部網的可能。系統中所涉及的很多重要數據、參數直接影響系統安全,如系統口令、IP地址、交易格式、各類密鑰、系統流程、薄弱點等,技術人員的忠誠度和穩定性,將直接關系到系統安全。
(10)各局使用的OA辦公自動化系統大量使用,諸如Windows操作系統,可能存在安全的薄弱環節,并且有些分局可能提供可拷貝腳本式的撥號服務,撥入網絡后,即可到達電力的內部網絡的其它主機。
系統為電力客戶提供方便服務的同時,數據的傳輸在局外網絡和局內局域網絡的傳輸中極有可能被竊取,通過Sniffer網絡偵聽極易獲得超級用戶的密碼。
4 系統的網絡風險基本控制策略
針對電力系統網絡的安全性和可靠性,電力安全方案要能抵御通過各種形式對系統發起的惡意破壞和攻擊,防止由此導致的一次系統事故或大面積停電事故、二次系統的崩潰或癱瘓,以及有關信息管理系統的癱瘓。總體來說,電力系統安全解決方案的總體策略如下:
(1)分區防護、突出重點。根據系統中業務的重要性和對一次系統的影響程度,按其性質可劃分為實時控 制區、非控制生產區、調度生產管理區、管理信息區等四個安全區域,重點保護實時控制系統以及生產業務系統。所有系統都必須置于相應的安全區內,納入統一的安全防護方案。
(2)區域隔離。采用防火墻裝置使核心系統得到有效保護。
(3)網絡專用。在專用通道上建立電力調度專用數據網絡,實現與其他數據網絡物理隔離,并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN,實現多層次的保護。
(4)設備獨立。不同安全區域的系統必須使用不同的網絡交換機設備。
(5)縱向防護。采用認證、加密等手段實現數據的遠方安全傳輸。
5 電力系統的網絡安全解決方案
針對電力網絡安全的薄弱環節全方位統籌規劃。解決方案注重防止非法入侵全網網絡設備;保護電力數據中心及其設備中心的網絡、服務器系統不受侵犯――數據中心與Internet間必須使用防火墻隔離,并且制定科學的安全策略;制定權限管理――這是對應用系統、操作系統、數據庫系統的安全保障;考慮網絡上設備安裝后仍然可能存在的安全漏洞,并制定相應措施策略。
(1)在網絡設備的安全管理方面,將所有網絡設備上的Console口加設密碼進行屏蔽,配置管理全部采用OUT-BAND帶外方式,并對每個被管理的設備均設置相應的帳戶和口令,只有網絡管理員具有對網絡設備訪問配置和更改密碼的權力。
(2)在網管中心通過劃分不同安全區域來規范管理網絡和工作網絡,從邏輯上把每個部門的資源獨立成一個安全區域,對安全區域的劃分基于安全性策略或規則,使區域的劃分更具安全性。網絡管理員可根據用戶需求,把某些共享資源分配到單獨的安全區域中,并控制區域之間的訪問。
(3)VPN和IPsec加密的使用。電力網絡將通過MPLS VPN把跨骨干的廣域網絡變成自己的私有網絡。為保障數據經VPN承載商(ISP)傳輸后不會對數據的完整與安全構成潛在危險,在數據進入MPLS VPN網絡之前首先經過IPsec加密,在離開VPN網絡后又再進行IPsec解密。
(4)通過網絡設置控制網絡的安全。在交換機、路由器、數據庫和各種認證上,層層進行安全設置,從而確保整個網絡的安全。
(5)通過專用網絡防火墻控制網絡邊界的安全。
(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網絡安全性分析和操作系統安全性分析等一系列配置,對黑客進行監控。可以部署在內網作為IDS進行監控使用,也可以部署在服務器的前端作為防攻擊的IPS產品使用,以保障網絡的安全性。
6 電力系統局域網內部網絡安全解決方案
外部攻擊影響巨大,但內部攻擊危害也不能忽視,為了解決內網安全問題,在一個電力/電廠系統的局域網內部,可以使用防火墻對不同的網段進行隔離,并且使用IPS設備對關鍵應用進行監控和保護。同時,使用IPS設備架設在相應的安全區域,保證訪問電力系統內部重要數據的可監控性、可審計性以及防止惡意流量的攻擊。并且實現以下的主要目的:
(1)網絡安全:防火墻可以允許合法用戶的訪問以及限制其正常的訪問,禁止非法用戶的試圖訪問。
(2)防火墻負載均衡:網絡安全性越來越成為電力系統擔心的問題了,網絡安全已經成為了關鍵部門關注的焦點。網絡安全技術將防火墻作為一種防止對網絡資源進行非授權訪問的常用方法。
(3)服務器負載均衡:執行一定的負載均衡算法,可以針對電廠內關鍵的服務器群動態分配負載。
7 廣域網整體安全解決方案
對于整個廣域網,為了端對端、局對局的安全性,本著不受其他系統影響,不影響其他系統的安全原則,可對防火墻以及IPS設備進行分布式部署。
通過過濾的規則設置可以使得我們方便地控制網絡內部資源對外的開放程度,特別是針對國家電網公司、當地政府以及Internet僅僅開放某個IP的特殊端口,有效地限制黑客的侵入。
通過過濾、IP地址以及客戶端認證等規則的應用,可以確定不同的內部用戶享受不同的訪問外部資源的級別,對于內部用戶嚴格區分網段,而且可以利用獨特的內置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內部用戶主動將信息通過網絡向外界傳遞。
近年來,云計算的市場和應用正快速增長,越來越多企業進入到云I域,云計算產品及解決方案的日趨豐富和成熟也令云安全的地位上升到關鍵位置。由于云服務商數據中心資源的規模化和集中化,數據中心、網絡鏈路等物理設施的一旦遭遇破壞和故障,影響巨大。在這種情況下,越來越多的IT安全廠商布局云安全產業。據Gartner 數據顯示,云安全市場規模2016 年將達到36.5 億美元,同比增長15%,云安全的發展將受益于云計算市場的快速增長。
為解決云安全問題,全球領先的安全解決方案提供商Radware也順勢推出云安全服務。Radware云安全服務可以自動檢測并緩解各種攻擊載體,包括DDoS、突發式攻擊、復雜的大流量攻擊、基于SSL的攻擊、零日攻擊、SQL注入等。事實上,這是當前唯一一款整合了云端DDoS、大流量和應用防火墻攻擊防護的適應性解決方案,無論是永遠在線、按需還是混合解決方案,都可以滿足客戶的獨特需求。
此外,Radware云安全服務是首個持續適應,可以在幾秒內自動生成針對各類攻擊的防護措施,并且可以根據應用的變化自動調整防護措施。同時,Radware云安全服務也是業界唯一可以保持用戶數據私密性的云端SSL攻擊緩解措施,可以在保護用戶SSL密鑰不泄露的同時,有效防范基于SSL的攻擊。
Radware云安全服務一經推出,便在北美、歐洲等地區引起了熱烈反響,并獲得了SC雜志2016年最佳安全管理服務大獎。在國內,隨著企業用戶云安全意識的不斷增強,Radware云安全服務獲得了電信運營商、金融證券、大型企業、服務提供商等眾多行業用戶的認可。日前,Radware還與騰訊云達成了戰略合作關系,共同為位于中國的騰訊云應用服務器、私有云服務市場提供網絡安全解決方案,同時為海外用戶提供DDoS防護措施,再次驗證云安全較強的防護能力,再次驗證了Radware在云安全防護領域的領先地位。作為全球領先的安全解決方案提供商,Radware始終致力于為全球企業提供能夠適應不同企業的獨特的網絡和應用環境需求的最佳云安全防護措施。本次在2016中國互聯網大會上,Radware云安全服務獲得“最佳安全管理獎”,是對其云安全技術和服務能力的肯定。
不是為了竊取機密,也不是為了盜竊錢財,只是為了證明自己的存在,當前網絡犯罪者越來越朝著更具“黑客英雄”情懷的方向轉變。在今天,也許還會有黑客會因為各種傳統的原因而攻擊某個安全系統或者發起DDoS攻擊;但是通過攻擊企業業務以展示自己的叛逆和違規行為,已經成為更多黑客的“理想”。年關將至,人們即將迎來一年當中節日最密集的時期,盛大購物季的到來,既承載了很多電子企業向年度銷售額沖刺的期盼,也是忙碌了一年的人們最想以購物方式來犒勞一下自己和親朋的季節,這些原因促成了網上購物的繁榮,當然無孔不入的黑客不會錯過這樣一場在線的盛宴,利用人們各種各樣的疏忽發起攻擊,讓您的企業年度贏收表大打折扣。
對付惡意攻擊者或黑客,最好辦法就是防守反擊,不讓其得逞。遵循Ron Meyran為大、中、小商家及消費賭提供的安全黃金條律,您既可以享受網絡購物的便捷,又可以收獲理想的安全防護。
針對大型零售商的黃金條律
1. 評估商業風險:什么因素會給企業帶來最大的風險值?數據泄露?網站涂改?服務質量下降?服務宕機?這個基礎判斷會幫助您了解各種最壞的可能。
2. 評估你的“敵人”:競爭對手希望打壓同行的業務,出于經濟目的罪犯時時在尋找容易上鉤的對象。知名企業、或者影視和出版業那些涉及版權的產業很容易成為黑客主義團伙的目標,并隨時都有可能遭受匿名攻擊。
3. 部署DDoS防護方案:持續增長的DDoS攻擊已經成為當前不可忽視的網絡威脅力量。因為DDoS攻擊而導致的宕機不僅會讓企業蒙受經濟損失,還會嚴重影響企業聲譽。一些服務供應商提供Network DDoS防護,但是企業需要對戰應用DDoS。購買先進的安全工具和獲取安全專業知識是維持業務健康的關鍵步驟。
4. 感知用戶行為:部署網絡行為分析(Network Behavioral Analysis ,NBA)工具準確監測用戶正在發送和接收哪些類型的信息,以及向誰發送。設置訪問權限策略,以保護關鍵信息(如團隊表、隊員體能以及設備設計等)的安全。
5. 部署覆蓋全網安全系統的管理工具: 通過這樣一個管理工具來關聯所有安全事件日志。攻擊者已經變得詭計多端,他們會使用包含多重工具的混合攻擊來探測、攻擊和濫用您的系統資源。您必須監控網絡中所有的可疑活動。
6. 思考邊界安全:緩解當今的網絡和應用攻擊不能再依賴傳統的網絡安全防護產品。IPS解決方案和DoS攻擊緩解解決方案依靠統計原理,只是針對已知威脅起作用的單點安全解決方案,而對付新興的網絡威脅則需要采用將傳統安全工具與網絡行為分析工具相結合的整體安全解決方案。
針對中小零售商的黃金條律
1. 維護實時更新系統:包括現行所有的軟件補丁和更新。較小的商業機構需要在其系統中安裝通用軟件的最新版本。
2. 部署覆蓋全網安全系統的管理工具:如上所述,在一個集中平臺關聯所有安全工具的事件日志。包含攻擊者會使用多重工具的混合攻擊來探測、攻擊和濫用您的系統資源,您必須監控網絡中所有的可疑活動。
3. 分隔內部和外部的應用服務器:電子商務應用是安全防護的重中之重。千萬不要將郵件服務器與其部署在同一網段,因為郵件服務器會為黑客提供另一條訪問和控制內部數據的渠道。
4. 教育客戶:對于老客戶,企業向其確保所有的宣傳材料將從其所熟悉的郵件地址發送,而且企業須在其發送物中注明公司絕對不會以任何形式要求用戶提供個人信息。
5. 遵從法規性也不能確保長久的安全:法規性遵從也許能幫助商家免遭某次安全攻擊的侵害,但是我們主要目標是保護企業不被下一波攻擊擊潰。采用遵從工具來創建最佳實踐模式,幫助企業保持長期的安全性。
針對購物者的黃金條律
1. 多一些理智:如果單筆交易看上去過于優惠而讓人難以置信,那么它絕對有問題。
2. 多一些懷疑:收到一封促銷郵件后,別著急去點擊其中的鏈接。上網查看該商家的網站并且確認促銷商品和活動真實存在。如果沒有查詢到,那么這封郵件就有可能是個騙局。
3. 多一些謹慎:任何時候都不要提供您的賬戶證書,除非您正在通過它直接訪問某賬戶。現今的釣魚郵件較以往看起來更權威或者正兒八經的樣子,無論從商標還是樣式都和商家發來的正常郵件無二,但是真正的商家從不會要求您提供個人信息。
