時(shí)間:2022-05-13 22:09:47
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全解決方案,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
隨著信息高度共享,信息化程度不斷提高,給企業(yè)帶來(lái)了諸多便利的同時(shí),網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重,由外網(wǎng)迅速延伸至內(nèi)網(wǎng)。從近來(lái)病毒發(fā)作的情況來(lái)看,病毒的攻擊目標(biāo)沒(méi)有特定性,而且越來(lái)越隱蔽,如不提前防范,一旦被襲,網(wǎng)絡(luò)阻塞、系統(tǒng)癱瘓、信息傳輸中斷、數(shù)據(jù)丟失等等,無(wú)疑將給企業(yè)業(yè)務(wù)帶來(lái)巨大的經(jīng)濟(jì)損失。
二、中小企業(yè)網(wǎng)絡(luò)安全解決方案
這種典型的網(wǎng)絡(luò)規(guī)模較小的企業(yè)平均不到50臺(tái)計(jì)算機(jī),企業(yè)處理的信息量不是很大。
2.1 訪問(wèn)控制解決方案
網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是否合理是決定網(wǎng)絡(luò)安全的重要環(huán)節(jié),不同的目的子網(wǎng)的要求,有不同的網(wǎng)絡(luò)設(shè)計(jì)。把具有相同安全目的的主機(jī)劃分在同一子網(wǎng)之內(nèi),區(qū)別不同的安全水平。只有更好地考慮這些因素,將網(wǎng)絡(luò)結(jié)構(gòu)存在的安全隱患將至最低。
(1)安全物理隔離。內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接連接是不安全的。只要是內(nèi)網(wǎng)與互聯(lián)網(wǎng)直接鏈接,無(wú)論通過(guò)什么樣的手段,肯定存在著被黑客攻擊的可能。
因此,從安全角度來(lái)考慮,應(yīng)該對(duì)企業(yè)計(jì)算機(jī)內(nèi)網(wǎng)與企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)外網(wǎng)之間架設(shè)一道物理屏蔽,對(duì)內(nèi)部網(wǎng)絡(luò)中需要上因特網(wǎng)的用戶機(jī)器安裝物理隔離卡,從而保證內(nèi)部信息不被泄露。
(2)配備防火墻。網(wǎng)絡(luò)安全最經(jīng)濟(jì),安全最有效措施就是防火墻。防火墻通過(guò)制定嚴(yán)格的安全策略來(lái)實(shí)施內(nèi)部和外部網(wǎng)絡(luò)區(qū)域之間的隔離和訪問(wèn)控制,單向或雙向控制的實(shí)現(xiàn)是通過(guò)各種信任的網(wǎng)絡(luò)和防火墻,可根據(jù)時(shí)間、流量的訪問(wèn)控制,過(guò)濾一些不安全服務(wù)。
2.2 網(wǎng)絡(luò)系統(tǒng)解決方案
(1)網(wǎng)絡(luò)操作系統(tǒng)安全。使用更高版本的網(wǎng)絡(luò)操作系統(tǒng),使一些不常用,不安全的應(yīng)用程序和端口處于關(guān)閉狀態(tài)。對(duì)于一些保存了用戶信息和使用密鑰的文件嚴(yán)格限制,加強(qiáng)密碼的水平,并及時(shí)對(duì)系統(tǒng)漏洞補(bǔ)丁,不對(duì)外公開系統(tǒng)內(nèi)部的使用情況。
(2)應(yīng)用系統(tǒng)安全。應(yīng)用服務(wù)器盡量不要打開一些不經(jīng)常使用的協(xié)議和協(xié)定窗口。作為檔案服務(wù)和E―mail服務(wù)器的應(yīng)用系統(tǒng)等,可關(guān)閉HTYP、FTP、遠(yuǎn)程登錄服務(wù)等不常用協(xié)議。還有就是加強(qiáng)登錄時(shí)的密碼強(qiáng)度。管理者限制登陸者操作權(quán)限,限制在最小的范圍內(nèi)。
2.3 入侵檢測(cè)解決方案
功能強(qiáng)大的反病毒反入侵的手段是入侵檢測(cè)手段,是在特定網(wǎng)絡(luò)環(huán)境中未經(jīng)授權(quán)或惡意攻擊和入侵被識(shí)別和反應(yīng)的過(guò)程。它主要有搜集資料,并分析這些信息,計(jì)算機(jī)系統(tǒng)是否有被違反安全策略的行為和遭到攻擊的跡象。具有監(jiān)測(cè)分析用戶和系統(tǒng)的能力,評(píng)測(cè)系統(tǒng)完整的數(shù)據(jù),對(duì)統(tǒng)計(jì)異常的行為進(jìn)行識(shí)別,并自動(dòng)收集和相關(guān)系統(tǒng)的修補(bǔ)程序,使用服務(wù)器記錄黑客的功能。入侵檢測(cè)是在不影響網(wǎng)絡(luò)性能的情況下的監(jiān)控,是一種積極的安全保護(hù)技術(shù),為內(nèi)部和外部的攻擊提供實(shí)時(shí)保護(hù)。
但是入侵檢測(cè)設(shè)備雖然很實(shí)用,價(jià)格卻普遍偏高,如果中小企業(yè)資金允許,人員齊備的話,建議加裝入侵檢測(cè)設(shè)備,這樣可以做到防患于未然。
2.4 網(wǎng)絡(luò)防病毒解決方案
衡量反病毒技術(shù)是基于計(jì)算機(jī)病毒功能來(lái)判斷技術(shù)來(lái)確定病毒的類型。計(jì)算機(jī)防病毒技術(shù)在分析病毒代碼的基礎(chǔ)上,制定了刪除病毒程序并恢復(fù)原始文件的軟件。反病毒的具體實(shí)現(xiàn)方法包括網(wǎng)絡(luò)服務(wù)器、文件、E-mail等工作站技術(shù)進(jìn)行頻繁掃描和監(jiān)測(cè)。一旦發(fā)現(xiàn)和病毒代碼庫(kù)匹配病毒代碼,反病毒程序?qū)⒉扇∠鄳?yīng)措施,防止病毒進(jìn)入網(wǎng)絡(luò)相互傳播。防病毒系統(tǒng)可以防止病毒侵權(quán)使用。但是,新的病毒會(huì)隨著時(shí)間的推移不斷出現(xiàn)。這就需要及時(shí)通過(guò)互聯(lián)網(wǎng)或防病毒系統(tǒng)更新等手段安全管理員或用戶升級(jí)。一般中小型企業(yè)大都采用windows服務(wù)器的操作系統(tǒng)根據(jù)國(guó)內(nèi)外各種網(wǎng)上的反病毒軟件的綜合比較,所以本文建議采用Symantec公司Symantec系列或是微軟公司的ForeFront系列等產(chǎn)品。
2.5 數(shù)據(jù)備份和恢復(fù)安全解決方案
備份和恢復(fù)系統(tǒng)存在的目的,是盡快分發(fā)給計(jì)算機(jī)系統(tǒng)整體必要的數(shù)據(jù)和系統(tǒng)信息。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為錯(cuò)誤時(shí)起到保護(hù),在黑客的網(wǎng)絡(luò)攻擊時(shí)起到保護(hù)作用,也同時(shí)作為一個(gè)系統(tǒng)崩潰恢復(fù)的先決條件。
這個(gè)解決方案我們使用Symantec Ghost,Ghost備份和恢復(fù)系統(tǒng)具有以下功能:備份數(shù)據(jù)的完整性,并要備份介質(zhì)的管理技巧。支持多個(gè)備份,定期自動(dòng)備份,還可以設(shè)置備份自動(dòng)啟動(dòng)和停止為多個(gè)文件的格式備份,支持多種日期標(biāo)定方法,以保證備份的正確性,提供在線數(shù)據(jù)備份功能;支持RAID的容錯(cuò)技術(shù)和圖像備份功能。由于Ghost操作簡(jiǎn)便快捷,功能強(qiáng)大,所以本方案推薦使用。
本文針對(duì)TCP/IP雙層即傳統(tǒng)網(wǎng)絡(luò)層和新型應(yīng)用層的網(wǎng)絡(luò)安全問(wèn)題,通過(guò)IDC在設(shè)計(jì)、實(shí)施和運(yùn)行中的網(wǎng)絡(luò)安全問(wèn)題進(jìn)行研究分析,設(shè)計(jì)基于TCP/IP雙層的IDC網(wǎng)絡(luò)安全解決方案,該系統(tǒng)的設(shè)計(jì),旨在對(duì)IDC系統(tǒng)提供有效的安全管理和安全防范措施,實(shí)現(xiàn)對(duì)WEB應(yīng)用、內(nèi)部網(wǎng)絡(luò)和核心服務(wù)器的安全保障,真正全面地實(shí)現(xiàn)IDC網(wǎng)絡(luò)安全,對(duì)IDC的建設(shè)和推廣具有較強(qiáng)的價(jià)值。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)層;應(yīng)用層
1 引言
隨著互聯(lián)網(wǎng)的重要性和對(duì)信息傳遞的影響也越來(lái)越大,Internet不但為企業(yè)和網(wǎng)絡(luò)用戶信息、檢索信息以及資源共享提供了方便,也為個(gè)人使用網(wǎng)絡(luò)資源提供了最大的平臺(tái),特別體現(xiàn)在大多數(shù)企業(yè)和用戶的重要和關(guān)鍵的數(shù)據(jù)業(yè)務(wù)都是通過(guò)WEB瀏覽器得以呈現(xiàn)和交互,而3G業(yè)務(wù)的飛速推廣和三網(wǎng)融合的快速啟動(dòng),使通信網(wǎng)絡(luò)逐漸進(jìn)入全面多媒體化和智能化的時(shí)代。由于全球互聯(lián)網(wǎng)環(huán)境的不斷變化以及網(wǎng)絡(luò)業(yè)務(wù)的不斷復(fù)雜化將會(huì)造成大量互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)的集中,使整個(gè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)也越來(lái)越大,一些新的互聯(lián)網(wǎng)安全隱患不斷出現(xiàn),給互聯(lián)網(wǎng)用戶在使用網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)往來(lái)時(shí)帶來(lái)了巨大的安全威脅。
而且,隨著業(yè)務(wù)量的增大,IDC經(jīng)常出現(xiàn)因非法網(wǎng)絡(luò)用戶入侵和蓄意攻擊而造成較長(zhǎng)時(shí)間的網(wǎng)絡(luò)中斷現(xiàn)象,象包括某些電信級(jí)IDC在內(nèi)的很多其它IDC一樣,IDC在提供網(wǎng)絡(luò)服務(wù)的過(guò)程中存在著信息安全性、數(shù)據(jù)隱私性以及信息合法性等方面的比較嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題,因此,IDC是否能保證網(wǎng)絡(luò)信息的安全成為了各大企業(yè)、用戶以及政府關(guān)注的焦點(diǎn)。因此,受企業(yè)和政府重托的IDC面臨著非常嚴(yán)峻的安全考驗(yàn),IDC主要定位于Internet網(wǎng)絡(luò)服務(wù),對(duì)政府或企業(yè)客戶提供個(gè)性化的服務(wù)。事實(shí)上,IDC的網(wǎng)絡(luò)功能非常的豐富,應(yīng)用范圍包括網(wǎng)站托管、電子商務(wù)、服務(wù)器租用或托管等,比如企業(yè)用戶的信息交換、數(shù)據(jù)存儲(chǔ),安全服務(wù)以及各種新型的增值業(yè)務(wù)。IDC能夠創(chuàng)建全新統(tǒng)一的信息交換平臺(tái),能充分整合信息資源,實(shí)現(xiàn)網(wǎng)絡(luò)資源低成本的信息共享,也是實(shí)現(xiàn)城市管理現(xiàn)代化的重要環(huán)節(jié)之一,如果提供網(wǎng)絡(luò)服務(wù)的同時(shí)不能最大程度的保證網(wǎng)絡(luò)安全,其個(gè)性化的服務(wù)就根本無(wú)從談起。只有在基礎(chǔ)平臺(tái)設(shè)施完善和系統(tǒng)功能強(qiáng)大的基礎(chǔ)上進(jìn)一步使網(wǎng)絡(luò)安全問(wèn)題得到充分保障,才能夠充分保證IDC為企業(yè)提供真正個(gè)性化的服務(wù)。因此,基于TCP/IP網(wǎng)絡(luò)層和應(yīng)用層的IDC網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)顯得至關(guān)重要。
2 IDC的發(fā)展過(guò)程
早期IDC投入運(yùn)行并開始為企業(yè)提供較小規(guī)模的各類服務(wù)。從2007年開始,IDC向客戶提供較大規(guī)模、較高質(zhì)量的主機(jī)托管、虛擬主機(jī)、整機(jī)租用、機(jī)架出租等服務(wù)。隨著投資規(guī)模不斷擴(kuò)大,IDC系統(tǒng)的影響也逐漸擴(kuò)大。2009年開始,IDC承擔(dān)的業(yè)務(wù)類型逐漸由原來(lái)的服務(wù)器托管、網(wǎng)站托管等較基礎(chǔ)業(yè)務(wù)開始向網(wǎng)絡(luò)加速、負(fù)載均衡和虛擬專用網(wǎng)等增值業(yè)務(wù)延伸,規(guī)模也在不斷擴(kuò)大,其在業(yè)務(wù)收入方面也不斷提高。
國(guó)內(nèi)IDC的發(fā)展也受到了歐洲國(guó)家的IDC發(fā)展形勢(shì)的影響。近年來(lái),歐洲的IDC外包發(fā)展較為迅速,而國(guó)內(nèi)IDC也在開始向外包業(yè)務(wù)方面發(fā)展。在3G大規(guī)模商用背景下以及視頻、網(wǎng)游、SNS社交網(wǎng)站等新型業(yè)務(wù)的巨大推動(dòng)作用下,IDC的市場(chǎng)需求繼續(xù)增大,另一方面,當(dāng)前的國(guó)際經(jīng)濟(jì)危機(jī)形勢(shì)對(duì)于一部分小型企業(yè)來(lái)說(shuō),面臨著嚴(yán)酷的變革,造成部分企業(yè)兩極分化的情況加劇,因此,國(guó)內(nèi)IDC的整體業(yè)務(wù)量還將進(jìn)一步的提高。
IT業(yè)務(wù)是IDC大部份業(yè)務(wù)中最關(guān)鍵的一個(gè)方面,很多企業(yè)依靠信息系統(tǒng)進(jìn)行各項(xiàng)業(yè)務(wù)的運(yùn)作,如果系統(tǒng)經(jīng)常不可用,整個(gè)企業(yè)的全盤運(yùn)作可能無(wú)法進(jìn)行,因此,IDC系統(tǒng)的安全逐漸成為各大企業(yè)最關(guān)注的焦點(diǎn)。
3 IDC安全解決方案設(shè)計(jì)思想
基于網(wǎng)絡(luò)層和應(yīng)用層的IDC安全解決方案設(shè)計(jì)思想主要為以下幾個(gè)方面:
(1)在IDC的出口處部署網(wǎng)絡(luò)防火墻并進(jìn)行負(fù)載分擔(dān),實(shí)現(xiàn)對(duì)Internet網(wǎng)絡(luò)出口安全的加固,以及對(duì)用戶訪問(wèn)Internet的內(nèi)容進(jìn)行過(guò)濾;
(2)在IDC的數(shù)據(jù)管理中心NOC和IDC的核心層等部位采用多點(diǎn)的方式部署入侵檢測(cè)系統(tǒng)IDS,實(shí)現(xiàn)有效的監(jiān)測(cè)網(wǎng)絡(luò)層臨界部位的數(shù)據(jù)信息交換情況和監(jiān)視IDC內(nèi)部用戶及內(nèi)部各類系統(tǒng)的運(yùn)行情況,防止黑客侵入到IDC數(shù)據(jù)區(qū)而對(duì)IDC服務(wù)器的數(shù)據(jù)信息進(jìn)行蓄意破壞和惡意篡改,并能及時(shí)查找是否有內(nèi)部的用戶進(jìn)行某些違規(guī)非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的計(jì)算機(jī)上安裝一套漏洞掃描軟件,并定期對(duì)IDC系統(tǒng)進(jìn)行漏洞掃描和安全評(píng)估;
(4)在IDC中建立防病毒系統(tǒng),采用中央控管系統(tǒng)實(shí)現(xiàn)跨廣域網(wǎng)的管理,通過(guò)TCP/IP協(xié)議實(shí)現(xiàn)跨廣域網(wǎng)的遠(yuǎn)程調(diào)用、管理、遠(yuǎn)程監(jiān)控等功能,使其它的分支病毒防護(hù)系統(tǒng)的管理及其維護(hù)更加簡(jiǎn)便、有效,實(shí)現(xiàn)從單一客戶端集中管理整個(gè)IDC網(wǎng)絡(luò)的防病毒的任務(wù);
(5)在發(fā)生網(wǎng)絡(luò)攻擊或者蠕蟲爆發(fā)的情況下能夠及時(shí)發(fā)現(xiàn)并采取應(yīng)急措施進(jìn)行安全防范;
(6)在IDC的服務(wù)器群的出口處多點(diǎn)部署應(yīng)用層防火墻,需要對(duì)新型應(yīng)用層的攻擊威脅進(jìn)行有效防范,如網(wǎng)頁(yè)木馬威脅、Cookie注入攻擊威脅等。
4 IDC安全解決方案設(shè)計(jì)方法
4.1基于網(wǎng)絡(luò)層的IDC安全系統(tǒng)設(shè)計(jì)
基于網(wǎng)絡(luò)層的IDC安全系統(tǒng)設(shè)計(jì)將分別從網(wǎng)絡(luò)層防火墻子系統(tǒng)設(shè)計(jì)、入侵檢測(cè)IDS系統(tǒng)設(shè)計(jì)、漏洞掃描子系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)防病毒子系統(tǒng)設(shè)計(jì)等方面進(jìn)行基于網(wǎng)絡(luò)層的IDC安全系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)。
本次對(duì)IDC的網(wǎng)絡(luò)層防火墻設(shè)計(jì)部署時(shí)將H3C的超萬(wàn)兆防火墻產(chǎn)品在IDC中的位置進(jìn)行提升,直接與核心交換機(jī)連接,再通過(guò)萬(wàn)兆高速接口與IDC出口處的核心路由器相連,兩臺(tái)防火墻共同部署實(shí)現(xiàn)雙機(jī)熱備份,并且實(shí)現(xiàn)對(duì)IDC用戶網(wǎng)絡(luò)流量的負(fù)載均衡,使整個(gè)美地亞IDC內(nèi)部網(wǎng)絡(luò)得到防火墻的安全防護(hù),有效避免了網(wǎng)絡(luò)的單點(diǎn)故障和網(wǎng)絡(luò)瓶頸問(wèn)題。同時(shí),在防火墻上開啟虛擬設(shè)備的功能,把IDC內(nèi)部的不同系統(tǒng)資源按一定的配置分配到每個(gè)獨(dú)立的虛擬防火墻中,一旦在IDC中發(fā)生攻擊,防火墻中的不同虛擬防火墻將抵御各自面臨的攻擊,假設(shè)其中一個(gè)虛擬防火墻的系統(tǒng)資源被網(wǎng)絡(luò)攻擊全部耗盡,也不會(huì)影響其它服務(wù)的正常運(yùn)行。在入侵檢測(cè)IDS系統(tǒng)總署時(shí),采用多層分級(jí)管理體系,實(shí)現(xiàn)把單點(diǎn)發(fā)生的的重要事件自動(dòng)預(yù)警到其它管理區(qū)域,使得各級(jí)管理員對(duì)于可能發(fā)生的重要安全事件具有提前的預(yù)警提示;采用引擎高速捕包技術(shù)保證滿負(fù)荷的報(bào)文捕獲;采用的高速樹型匹配技術(shù)實(shí)現(xiàn)了一次匹配多個(gè)規(guī)則的模式,檢測(cè)效率得以成倍的量級(jí)提高;采用IP碎片重組、TCP流重組以及特殊應(yīng)用編碼解析等多種方式,應(yīng)對(duì)躲避IDS檢測(cè)的手法,如:WHISKER、FRAGROUTE等攻擊方式;采用預(yù)制漏洞機(jī)理分析方法定義特征,對(duì)未知攻擊方式和變種攻擊也能及時(shí)報(bào)警;采用行為關(guān)聯(lián)分析技術(shù),發(fā)現(xiàn)基于組合行為的復(fù)雜攻擊。為了降低誤報(bào)的概率,采用基于狀態(tài)的協(xié)議分析和協(xié)議規(guī)則樹,保證特征匹配的位置準(zhǔn)確性;采用基于攻擊過(guò)程的分析方法定義特征,可以識(shí)別攻擊的狀態(tài),提供不同級(jí)別的事件報(bào)警信息。為了限制濫報(bào)的概率,采用狀態(tài)檢測(cè)機(jī)制,有效地避免了事件風(fēng)暴的產(chǎn)生;采用多種統(tǒng)計(jì)合并技術(shù)對(duì)同一事件采用合并上報(bào),減少報(bào)警量。漏洞掃描子系統(tǒng)的設(shè)計(jì),分布式管理并集中分析,在IDC中部署天鏡漏洞掃描系統(tǒng)時(shí)采用分布式部署的形式,使各掃描引擎按照不同的漏洞掃描策略同時(shí)進(jìn)行多網(wǎng)絡(luò)系統(tǒng)的漏洞檢測(cè),同時(shí)將檢測(cè)結(jié)果進(jìn)行集中顯示和集中分析,采用多級(jí)管理的方式,對(duì)于擁有不同地域、大規(guī)模網(wǎng)絡(luò)的用戶,各個(gè)地域的網(wǎng)絡(luò)安全管理員管理著本地域的網(wǎng)絡(luò)安全狀況,其上層的安全管理員可以上傳檢測(cè)結(jié)果、下達(dá)檢測(cè)策略、統(tǒng)一管理、統(tǒng)一分析、統(tǒng)一升級(jí);實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)環(huán)境下的全局風(fēng)險(xiǎn)控制、降低管理成本。
4.2基于應(yīng)用層IDC安全系統(tǒng)的設(shè)計(jì)
為了使WAF在IDC安全系統(tǒng)中能夠盡可能的提供最佳的安全性能,本次設(shè)計(jì)應(yīng)用層防火墻WAF時(shí)采用最佳的模式,在此模式中,WAF中的所有數(shù)據(jù)端口都會(huì)處于開啟狀態(tài),其中WAN端口負(fù)責(zé)外部的數(shù)據(jù)處理,此WAN端口是直接面向因特網(wǎng)的端口。而把WAF中的管理端口劃分到另外一個(gè)不同的網(wǎng)段,因?yàn)樵诓渴鹪O(shè)計(jì)WAF時(shí)最好將管理數(shù)據(jù)和實(shí)際的網(wǎng)絡(luò)流量進(jìn)行分離,避免IDC中的實(shí)際網(wǎng)絡(luò)流量和WAF的相關(guān)管理數(shù)據(jù)之間出現(xiàn)互相沖突的現(xiàn)象。具體可以通過(guò)以下方法進(jìn)行網(wǎng)絡(luò)實(shí)現(xiàn):將WAF的前端端口和后端端口分配到不同的網(wǎng)段,讓所有的外部用戶與WAF的應(yīng)用虛擬IP地址進(jìn)行連接,而將此虛擬IP地址和WAF的前端端口進(jìn)行互相綁定。當(dāng)用戶訪問(wèn)時(shí),用戶的連接將會(huì)在網(wǎng)絡(luò)設(shè)備上立即終止,WAF馬上對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行安全檢查和過(guò)濾,而合法的數(shù)據(jù)流量將與WAF的WAN口重新建立起新的網(wǎng)絡(luò)連接到負(fù)載均衡設(shè)備,通過(guò)負(fù)載均衡進(jìn)行網(wǎng)絡(luò)流量的負(fù)載。WAF可以進(jìn)行實(shí)時(shí)策略的生成及執(zhí)行,根據(jù)IDC中不同的應(yīng)用程序自定義相應(yīng)的防火墻保護(hù)策略,可以無(wú)縫的砌合各用戶的應(yīng)用程序,且不會(huì)造成任何應(yīng)用失真。
參考文獻(xiàn):
[1]段勇,朱源.IDC基礎(chǔ)設(shè)施云的安全策略研究[J].電信科學(xué),2010.5
政務(wù)網(wǎng)絡(luò)安全解決方案如今,全球都處在信息化高度發(fā)展的時(shí)期,信息高速公路的建設(shè)為我們的經(jīng)濟(jì)發(fā)展帶來(lái)了很多的方便。但是,在享受方便的同時(shí)也在承受著一定的風(fēng)險(xiǎn),特別是在政府系統(tǒng)中,計(jì)算機(jī)網(wǎng)絡(luò)的安全更是關(guān)乎到了大局的發(fā)展,因此,我們要著重找到問(wèn)題的所在,采取措施解決問(wèn)題。
一、政府計(jì)算機(jī)網(wǎng)絡(luò)中的安全影響因素
在當(dāng)代社會(huì),計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)是人們生產(chǎn)生活所必須的信息載體,它不僅在生產(chǎn)、交易、教育、流通等各個(gè)領(lǐng)域得到廣泛的應(yīng)用,而且,它也成為了各地政府部門進(jìn)行管理的一種新型手段。但是,政府網(wǎng)絡(luò)復(fù)雜的系統(tǒng)和設(shè)備以及多個(gè)平臺(tái)的應(yīng)用,就導(dǎo)致了政府計(jì)算機(jī)網(wǎng)絡(luò)的安全性要比個(gè)人用戶的安全性差。
1.突發(fā)事件帶來(lái)的安全隱患。這里的突發(fā)事件主要是指一些不可抗力所造成的信息丟失,這是一種能預(yù)測(cè),無(wú)法避免的問(wèn)題,如地震、火災(zāi)、泥石流等原因,這種情況下的網(wǎng)絡(luò)系統(tǒng)所遭受的破壞一般都是無(wú)法修復(fù)的,是毀滅性的破壞。
2.物理方面的安全隱患。政府的計(jì)算機(jī)網(wǎng)絡(luò)都是用來(lái)進(jìn)行數(shù)據(jù)通信的,它是通過(guò)無(wú)線電、物理線路等網(wǎng)絡(luò)設(shè)備進(jìn)行運(yùn)行的,但是,這些網(wǎng)線、光纖、電纜等連接設(shè)備會(huì)遭到自然或者認(rèn)為的破壞,這樣就會(huì)導(dǎo)致數(shù)據(jù)丟失,給政府工作帶來(lái)極大的不便。
3.網(wǎng)絡(luò)病毒帶來(lái)的安全隱患。雖然計(jì)算機(jī)技術(shù)在不斷的發(fā)展,但是,病毒的威力和品種也在不斷的上升,病毒對(duì)計(jì)算機(jī)的攻擊會(huì)導(dǎo)致計(jì)算機(jī)癱瘓,或者政府政務(wù)網(wǎng)絡(luò)平臺(tái)上的信息被破壞、被泄露等現(xiàn)象,在眾多的影響因素中,網(wǎng)絡(luò)病毒的攻擊和入侵是比較難處理的現(xiàn)象,因?yàn)椋哂性偕驮诎l(fā)展的能力,會(huì)出現(xiàn)不斷的攻擊和來(lái)自不同病毒的攻擊。
二、政府計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全隱患
當(dāng)前,電子政務(wù)系統(tǒng)已經(jīng)成為了我國(guó)各地政府部門行政的一種方式,它主要包括了政府的機(jī)密、領(lǐng)導(dǎo)的管理系統(tǒng)、重要事件的分析和解決等系統(tǒng),那么,他們的安全都是靠計(jì)算機(jī)網(wǎng)絡(luò)的安全來(lái)保證的。但是,現(xiàn)在我國(guó)政府計(jì)算機(jī)網(wǎng)絡(luò)的安全還是存在著以下一些隱患的:
1.非法訪問(wèn)現(xiàn)象的存在。當(dāng)前,還是存在著政府政府系統(tǒng)未經(jīng)允許就擅自非法闖入的現(xiàn)象,這也不排除政府工作人員擅自授權(quán)、越權(quán)訪問(wèn)等的存在,他們對(duì)政府計(jì)算機(jī)網(wǎng)絡(luò)的信息資源以及網(wǎng)絡(luò)的連接進(jìn)行濫用,導(dǎo)致政府信息被頻繁的泄漏。
2.被攻擊現(xiàn)象的存在。政府計(jì)算機(jī)網(wǎng)絡(luò)總是存在被攻擊的現(xiàn)象,這種現(xiàn)象的存在主要是兩種原因所導(dǎo)致的,一種是有人通過(guò)程序進(jìn)行攻擊,主要有口令攻擊、郵件炸彈、掃描等程序和工具進(jìn)行對(duì)政務(wù)系統(tǒng)進(jìn)行干擾,打亂正常的網(wǎng)絡(luò)工作流程,使服務(wù)器工作量過(guò)大導(dǎo)致癱瘓。
另一種就是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)病毒進(jìn)行攻擊,干擾政府政務(wù)系統(tǒng)的運(yùn)行。通過(guò)含有病毒的郵件進(jìn)行病毒傳播,在工作人員打開郵件的同時(shí)就把病毒栽種在了整個(gè)計(jì)算機(jī)系統(tǒng)中了,或者政府工作人員在不知情情況下使用了有病毒的光盤,這樣都會(huì)導(dǎo)致病毒的入侵。
3.政府政務(wù)信息丟失的現(xiàn)象。這部分強(qiáng)調(diào)的是具有保密性質(zhì)的信息丟失或者被毀損。這種情況一般都是發(fā)生在地方政府中,因?yàn)榈胤秸诰W(wǎng)絡(luò)安全的管理上不夠重視,工作人員工作散漫,在他們的工作電腦上往往都存著設(shè)計(jì)到機(jī)密的信息,在疏忽管理的情況下就會(huì)導(dǎo)致信息被有意無(wú)意的丟失。
還有一部分是政府工作系統(tǒng)內(nèi)部的資源共享部分的安全受到?jīng)_擊,工作人員對(duì)共享部分的資源不是很重視,導(dǎo)致工作人員為了節(jié)省時(shí)間直接把所有的信息都放在了共享中,導(dǎo)致了很多重要的信息被長(zhǎng)期共享,為不法人員提供了竊取的機(jī)會(huì)。
三、政府計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的解決方案
面對(duì)著政府計(jì)算機(jī)網(wǎng)絡(luò)安全存在的安全隱患,為了保證政府信息安全,必須采取措施解決這些問(wèn)題。我們要盡量采取對(duì)人力、物力、財(cái)力投入最少的方式,這樣才能夠?qū)崿F(xiàn)在解決問(wèn)題的過(guò)程中還能減輕政府的壓力。
1.加強(qiáng)對(duì)基本設(shè)備的保護(hù),減小物理威脅。計(jì)算機(jī)要想正常的工作,必須有基本的工作設(shè)備,因此,我們要對(duì)計(jì)算機(jī)的基本工作設(shè)備如網(wǎng)線、光纖、交換機(jī)、服務(wù)器等硬件設(shè)施和網(wǎng)絡(luò)連接設(shè)施進(jìn)行保護(hù),避免自然現(xiàn)象和人為原因?qū)ζ湓斐善茐摹M瑫r(shí),要從內(nèi)部管理制度上進(jìn)行著手,建立一個(gè)完善的機(jī)房管理體制,確保網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備有一個(gè)良好的存放和工作環(huán)境,對(duì)機(jī)房的水、電等存在安全隱患的因素要加強(qiáng)監(jiān)管,防止物理安全隱患的出現(xiàn)。
2.加強(qiáng)系統(tǒng)維護(hù)和反毒程序的運(yùn)行。首先,就要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的程序進(jìn)行安全掃描,在掃描的過(guò)程中可能會(huì)出現(xiàn)很多的漏洞和危機(jī),這時(shí),我們要及時(shí)地通過(guò)安全掃描這樣一個(gè)安全防御措施來(lái)進(jìn)行修復(fù)和調(diào)整。通過(guò)對(duì)工作站、路由器、服務(wù)站、數(shù)據(jù)庫(kù)等進(jìn)行掃描,把掃描結(jié)果和相關(guān)的數(shù)據(jù)分析向該系統(tǒng)的管理人員報(bào)告,并提出可行性的分析防止報(bào)告,這樣就可以為網(wǎng)絡(luò)系統(tǒng)的安全水平提供執(zhí)行依據(jù)。
其次,面對(duì)越來(lái)越嚴(yán)重的病毒入侵,我們必須對(duì)政府計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采取反病毒措施。伴隨著新技術(shù)的不斷發(fā)展,病毒的原有概念已經(jīng)發(fā)生了很大的改變,不再是單純的對(duì)系統(tǒng)性文件進(jìn)行感染,而是發(fā)展到了自動(dòng)傳播的程度,并且,其存在空間也在逐漸的擴(kuò)大。就近幾年的中毒情況來(lái)說(shuō),很多都是網(wǎng)絡(luò)型的,這樣的傳播速度是非常高的,反病毒技術(shù)已經(jīng)隨著病毒的發(fā)展而發(fā)展到了實(shí)時(shí)防護(hù)階段。所以,政府要加大對(duì)病毒防護(hù)的通入,不要把眼光只放到程序的維護(hù)。
3.強(qiáng)化政府計(jì)算機(jī)網(wǎng)絡(luò)技術(shù),防止非法入侵。我們針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題要正確面對(duì)現(xiàn)實(shí),科學(xué)分析計(jì)算機(jī)網(wǎng)絡(luò)的安全需要,針對(duì)存在的問(wèn)題建立計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行技術(shù)結(jié)構(gòu),根據(jù)不同用戶的性質(zhì)實(shí)行相應(yīng)的網(wǎng)絡(luò)準(zhǔn)入制度,根據(jù)不同用戶的訪問(wèn)權(quán)限,設(shè)定不同的訪問(wèn)空間,同時(shí),對(duì)于共享平臺(tái)上的信息要進(jìn)行仔細(xì)的篩選,根據(jù)國(guó)家對(duì)信息的安全規(guī)定,對(duì)設(shè)計(jì)國(guó)家秘密的信息進(jìn)行嚴(yán)格的過(guò)濾,尤其要求工作人員對(duì)于高級(jí)別的網(wǎng)址和秘鑰不能私自公開或轉(zhuǎn)授。
針對(duì)外來(lái)人員非法入侵的情況,我們要加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全管理,特別是密碼管理。加密是我們對(duì)信息的一種最基本的管理方式,那么,在對(duì)信息進(jìn)行加密的過(guò)程中,我們可以選擇對(duì)信息發(fā)送、傳輸和存儲(chǔ)等三個(gè)大方面進(jìn)行加密處理。加密就是把原來(lái)能看得懂的東西轉(zhuǎn)化成為看不懂的東西,可以通過(guò)把傳輸?shù)男畔⒆兂梢欢褋y碼。這樣,使得在傳輸過(guò)程中即使被盜也不會(huì)對(duì)該信息的安全性產(chǎn)生很大的影響。
四、總結(jié)
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)的安全問(wèn)題會(huì)逐漸被解決,但同時(shí),更多的危險(xiǎn)因素也會(huì)隨之增加。因此,我們要加強(qiáng)對(duì)政府計(jì)算機(jī)網(wǎng)絡(luò)安全的研究,做好監(jiān)督和預(yù)防工作,盡量減少網(wǎng)絡(luò)安全給政府日常工作帶來(lái)的不良影響。
參考文獻(xiàn):
[1]張文雷,石紅波,石紅舟.互聯(lián)網(wǎng)信息安全問(wèn)題的防范對(duì)策和政府責(zé)任[J].改革與戰(zhàn)略,2006,(04).
卡巴斯基正在向中國(guó)的中小企業(yè)安全市場(chǎng)發(fā)力。
“其實(shí)除了大家所熟知的端點(diǎn)安全解決方案外,卡巴斯基在企業(yè)安全領(lǐng)域有著完整的安全產(chǎn)品體系,我們也將逐漸把這些產(chǎn)品引入國(guó)內(nèi)。”卡巴斯基實(shí)驗(yàn)室大中華區(qū)總經(jīng)理鄭啟良表示,卡巴斯基面向中國(guó)市場(chǎng)推出全新的中小企業(yè)安全解決方案,就是要發(fā)力中小企業(yè)市場(chǎng)。
鄭啟良介紹,卡巴斯基中小企業(yè)安全解決方案包含反病毒保護(hù)、在線交易保護(hù)、云管理和數(shù)據(jù)備份、密碼管理等多重強(qiáng)大功能,并且簡(jiǎn)單易用。IT水平不高的中小企業(yè)用戶,無(wú)需掌握專業(yè)的IT管理知識(shí)即可有效保護(hù)企業(yè)網(wǎng)絡(luò),節(jié)約時(shí)間成本,專心從事業(yè)務(wù)運(yùn)營(yíng)。同時(shí),卡巴斯基最新推出的還有卡巴斯基安全專家服務(wù),它可以快速準(zhǔn)確地解決企業(yè)面臨的各種安全問(wèn)題,如病毒爆發(fā)和緊急事件,為企業(yè)提供專業(yè)安全知識(shí)培訓(xùn),提高員工安全意識(shí),儲(chǔ)備企業(yè)自己的安全人員。此外,這項(xiàng)服務(wù)還能夠?qū)ζ髽I(yè)現(xiàn)有網(wǎng)絡(luò)狀態(tài)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,找出安全隱患,提前防范已知、未知和高級(jí)的網(wǎng)絡(luò)威脅。
卡巴斯基方面稱,其中小企業(yè)安全解決方案有六大特點(diǎn)。
一是全面保護(hù)企業(yè)網(wǎng)絡(luò)安全。卡巴斯基中小企業(yè)安全解決方案可為Windows計(jì)算機(jī)和文件服務(wù)器、Mac工作站和安卓智能設(shè)備提供最佳的IT安全保護(hù),全面抵御各類已知與未知威脅。
二是妥善保障企業(yè)資金安全。卡巴斯基中小企業(yè)安全解決方案能夠有效攔截網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)欺詐者,以及假冒網(wǎng)站,避免企業(yè)金融信息被盜。該方案還包含密碼管理器組件,能夠幫助用戶創(chuàng)建和記憶最新密碼,從而使用戶安全且自信地進(jìn)行業(yè)務(wù)交易。
三是高效保護(hù)企業(yè)數(shù)據(jù)安全。卡巴斯基中小企業(yè)安全解決方案提供業(yè)內(nèi)頂級(jí)的反病毒保護(hù),能夠高效攔截所有試圖竊取企業(yè)機(jī)密數(shù)據(jù)的黑客攻擊和行為,確保企業(yè)自身及其客戶的信息安全。
四是提升員工的工作效率。通過(guò)卡巴斯基中小企業(yè)安全解決方案,用戶可以限制員工在工作時(shí)間瀏覽網(wǎng)頁(yè)和在線聊天,提升員工的工作效率,阻止不合適的應(yīng)用程序下載至企業(yè)網(wǎng)絡(luò)中,從而更高效地發(fā)揮企業(yè)員工的能力,確保企業(yè)高效運(yùn)轉(zhuǎn)。
五是節(jié)省企業(yè)的時(shí)間和成本。卡巴斯基中小企業(yè)安全解決方案專為中小企業(yè)的特殊需求而打造,能夠?qū)崿F(xiàn)快速安裝、自動(dòng)運(yùn)行、無(wú)需監(jiān)管,并確保最佳的計(jì)算機(jī)性能與安全防護(hù)。此外,還能夠消除因IT安全問(wèn)題造成的系統(tǒng)宕機(jī),確保企業(yè)正常運(yùn)轉(zhuǎn),為中小企業(yè)節(jié)省時(shí)間與成本。
六是企業(yè)安全輕松掌控。該產(chǎn)品包含基于網(wǎng)頁(yè)的管理控制臺(tái)。用戶可隨時(shí)隨地通過(guò)網(wǎng)絡(luò)管理所有設(shè)備的安全狀態(tài)。
“對(duì)于中小企業(yè)而言,自身網(wǎng)絡(luò)的安全是業(yè)務(wù)穩(wěn)定運(yùn)營(yíng)的重要保障;卡巴斯基中小企業(yè)安全解決方案可以幫助中小企業(yè)輕松實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全。憑借在惡意威脅和網(wǎng)絡(luò)犯罪研究方面的領(lǐng)先優(yōu)勢(shì),卡巴斯基近兩年大力加強(qiáng)對(duì)企業(yè)安全解決方案的研發(fā)投入,目前在國(guó)內(nèi)已經(jīng)推出許多企業(yè)安全解決方案與服務(wù),后續(xù)還會(huì)有更多、更先進(jìn)、更切合國(guó)內(nèi)客戶需求的解決方案。”鄭啟良表示,“例如卡巴斯基的安全專家服務(wù)就是基于卡巴斯基全球安全研究與分析專家團(tuán)隊(duì)為不同規(guī)模的企業(yè)提供的多層級(jí)安全服務(wù)。目前該項(xiàng)服務(wù)已經(jīng)在全球各個(gè)國(guó)家獲得了很好的市場(chǎng)反響,我們也有信心很快會(huì)得到中國(guó)企業(yè)用戶的支持與認(rèn)可。”
近兩年,SSL VPN的市場(chǎng)突飛猛進(jìn),SSL VPN產(chǎn)品與IPSecVPN產(chǎn)品在市場(chǎng)占有率已開始出現(xiàn)此消彼長(zhǎng)的情況。
狀態(tài)監(jiān)測(cè)、應(yīng)用智能、SmartDefense技術(shù)都是Check Point公司借助14年以來(lái)專業(yè)充實(shí)安全領(lǐng)域研究過(guò)程中所開發(fā)出來(lái)的安全防護(hù)技術(shù),是貫穿公司所有安全防護(hù)產(chǎn)品,包括SSL VPN產(chǎn)品的安全特性。
狀態(tài)監(jiān)測(cè)技術(shù)
狀態(tài)監(jiān)測(cè)技術(shù)已經(jīng)逐漸成為企業(yè)級(jí)網(wǎng)絡(luò)安全解決方案的行業(yè)標(biāo)準(zhǔn)。狀態(tài)監(jiān)測(cè)能夠滿足上面指定的所有安全要求,而傳統(tǒng)的防火墻技術(shù)在某些方面均存在一定的缺陷。借助狀態(tài)檢測(cè)技術(shù),將在網(wǎng)絡(luò)層截獲數(shù)據(jù)包以達(dá)到最佳性能(與包過(guò)濾器相同),但隨后將訪問(wèn)和分析來(lái)自于所有通信層的數(shù)據(jù)(與應(yīng)用層網(wǎng)關(guān)的第 4~7層比較而言)來(lái)改進(jìn)安全性。
然后,狀態(tài)監(jiān)測(cè)通過(guò)合并來(lái)自于通信以及應(yīng)用程序的狀態(tài)和上下文信息(這些信息是動(dòng)態(tài)存儲(chǔ)和更新的),來(lái)獲得更高的安全性。這樣將提供累積數(shù)據(jù),據(jù)以評(píng)估以后的通信嘗試。它還提供創(chuàng)建虛擬會(huì)話信息的功能,以便跟蹤無(wú)連接協(xié)議(例如基于 RPC 和 UDP 的應(yīng)用程序),這些是其他防火墻技術(shù)無(wú)法實(shí)現(xiàn)的。
應(yīng)用智能技術(shù)
應(yīng)用智能作為一組高級(jí)功能,能夠檢測(cè)和阻止應(yīng)用級(jí)攻擊。許多防火墻(特別是那些基于 Stateful Inspection 技術(shù)的防火墻)已經(jīng)保存了成功抵御網(wǎng)絡(luò)攻擊的防護(hù)庫(kù)。事實(shí)上,越來(lái)越多的攻擊試圖利用網(wǎng)絡(luò)應(yīng)用的弱點(diǎn),而不是直接面向防火墻。這種攻擊方法的重要變化需要防火墻不僅提供訪問(wèn)控制和網(wǎng)絡(luò)級(jí)攻擊保護(hù),還要理解應(yīng)用程序的行為以抵御對(duì)應(yīng)用程序的攻擊和入侵。Check Point應(yīng)用智能擴(kuò)展了對(duì)這種網(wǎng)絡(luò)安全解決方案的理解。
應(yīng)用智能本身的形式與應(yīng)用級(jí)防護(hù)相關(guān)聯(lián)。然而實(shí)踐中,許多針對(duì)網(wǎng)絡(luò)應(yīng)用程序的攻擊實(shí)際上均指向網(wǎng)絡(luò)層和傳輸層。黑客們以攻擊這些較低層為手段來(lái)訪問(wèn)應(yīng)用層,并最終達(dá)到攻擊應(yīng)用程序和數(shù)據(jù)本身的目的。同時(shí),以較低層為目標(biāo),攻擊可以中斷或拒絕合法的用戶和應(yīng)用程序服務(wù)(如 DoS 攻擊)。基于上述原因,應(yīng)用智能和其他網(wǎng)絡(luò)安全解決方案不僅必須要解決應(yīng)用層問(wèn)題,還可以解決網(wǎng)絡(luò)及傳輸層安全問(wèn)題。
防火墻已經(jīng)成為網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的主要部分,這主要基于它們阻隔網(wǎng)絡(luò)級(jí)攻擊的能力。防火墻的成功另一方面也使黑客們又開發(fā)出更加復(fù)雜的攻擊方法。新種類的攻擊直接面向應(yīng)用程序,經(jīng)常試圖利用應(yīng)用程序本身固有的弱點(diǎn)或基本的通信協(xié)議中的弱點(diǎn)。因此,需要使用多層安全網(wǎng)關(guān)來(lái)保護(hù)公司網(wǎng)絡(luò)免受這些威脅。另外,多層安全解決方案必須保護(hù)網(wǎng)絡(luò)層和應(yīng)用層免受攻擊,提供對(duì) IT 資源的訪問(wèn)控制。Check Point應(yīng)用智能具有一系列高級(jí)功能,與 Check Point FireWall-1 NGX 和 SmartDefense 集成,能夠檢測(cè)和防止應(yīng)用層攻擊。并且針對(duì)越來(lái)越多直接針對(duì)關(guān)鍵應(yīng)用的攻擊行為,公司在業(yè)界提供了領(lǐng)先的安全解決方案。
SmartDefense技術(shù)
某市國(guó)土局在使用辦公信息化帶來(lái)的豐富資源的同時(shí),也面臨著來(lái)自互聯(lián)網(wǎng)的安全威脅。該局是主管該市土地資源、礦產(chǎn)資源和房產(chǎn)管理的市政府工作部門,安全問(wèn)題自不可小視。為此,該局希望盡快找到一個(gè)全面的安全解決方案,來(lái)解決其網(wǎng)絡(luò)辦公的各種安全問(wèn)題。
需求分析
該局辦公信息系統(tǒng)建設(shè)快速推進(jìn)的同時(shí),信息網(wǎng)絡(luò)安全問(wèn)題日漸突出。隨著辦公對(duì)網(wǎng)絡(luò)資源依賴程度的加強(qiáng),員工上網(wǎng)需求的不斷增加,越來(lái)越多的安全隱患威脅著局內(nèi)網(wǎng)絡(luò):P2P軟件的泛濫,病毒、木馬的橫行,垃圾郵件、釣魚郵件的騷擾等,隨時(shí)都可能影響到局網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。
為此,局內(nèi)需要一個(gè)完備的網(wǎng)絡(luò)安全解決方案,使內(nèi)網(wǎng)能夠安全接入互聯(lián)網(wǎng),在享受網(wǎng)絡(luò)資源的同時(shí),確保網(wǎng)絡(luò)與數(shù)據(jù)的安全。另外,該局還希望這一安全解決方案能夠?qū)εc工作無(wú)關(guān)的上網(wǎng)內(nèi)容進(jìn)行過(guò)濾,對(duì)聊天工具等進(jìn)行限制,以提高辦公效率。
解決方案
本案實(shí)際網(wǎng)絡(luò)部署和網(wǎng)絡(luò)安全需要,顯然不能依靠單一防火墻來(lái)滿足全局多個(gè)層次的管理需求,采用統(tǒng)一威脅管理(UTM)來(lái)實(shí)現(xiàn)該網(wǎng)絡(luò)的安全管理勢(shì)在必行。經(jīng)過(guò)多方研究論證,本案最終采用合勤ZyWALL 70 UTM安全網(wǎng)關(guān)為中心的安全網(wǎng)絡(luò),以滿足其不同層面和類別的需求,保證網(wǎng)絡(luò)安全,提高辦公效率。
這套合勤科技的統(tǒng)一安全解決方案,正好在三個(gè)方面與本案需求相吻合。一是確保網(wǎng)絡(luò)和數(shù)據(jù)的安全,包括抵御各種網(wǎng)絡(luò)入侵、防御黑客、病毒、蠕蟲攻擊等,保證局內(nèi)網(wǎng)的數(shù)據(jù)不被竊取;二是提高整體工作效率,即對(duì)與工作無(wú)關(guān)的上網(wǎng)內(nèi)容進(jìn)行過(guò)濾,對(duì)聊天工具進(jìn)行限制;三是盡可能降低管理成本,ZyWall 70UTM簡(jiǎn)單的架設(shè)、維護(hù)和升級(jí),適用于非專業(yè)技術(shù)人員,只要求最低數(shù)量的人員進(jìn)行系統(tǒng)維護(hù)。
合勤ZyWALL 70UTM提供了8大功能,即防病毒、入侵偵測(cè)保護(hù)、反垃圾郵件和動(dòng)態(tài)內(nèi)容過(guò)濾、IPSec VPN、防火墻、帶寬管理、負(fù)載均衡。ZyWALL 70 UTM配備的ZyWALL Turbo Card加速卡,采用合勤科技獨(dú)有的ZyXEL SecuASIC技術(shù),整個(gè)防火墻速度提高到其他同級(jí)UTM產(chǎn)品性能的20倍,即使是在所有8項(xiàng)功能同時(shí)啟動(dòng)時(shí),也能提供高速穩(wěn)定的吞吐量。ZyWALL 70 UTM的智能入侵檢測(cè)功能,針對(duì)網(wǎng)絡(luò)攻擊進(jìn)行主動(dòng)防御,并且將實(shí)時(shí)的監(jiān)控狀態(tài)告知網(wǎng)管人員。
僅用一臺(tái)ZyWALL 70UTM就可有效防御內(nèi)網(wǎng)可能受到的P2P、病毒、木馬等各類威脅,保證該市國(guó)土局網(wǎng)絡(luò)信息數(shù)據(jù)的安全,并且在保持功能穩(wěn)定的同時(shí),提供高速的數(shù)據(jù)傳輸能力。同時(shí),zyWALL 70 UTM提供高速率的、采用DES、3DES、AES等加密方式保護(hù)的VPN連接,并具有VPN備份功能以保證在主要網(wǎng)絡(luò)連接中斷時(shí)能夠及時(shí)地替換到備份連接上,保障網(wǎng)絡(luò)的暢通。ZyWALL70 UTM的ICSA認(rèn)證保證防火墻和IPSecVPN能夠與其他廠商擁有ICSA認(rèn)證的產(chǎn)品很好地互聯(lián)互通。此外,ZyWALL 70UTM附加的增值優(yōu)勢(shì)包括撥號(hào)備份和流量重定向,增強(qiáng)了保護(hù)多重互聯(lián)網(wǎng)連接可靠性的功能。
對(duì)于過(guò)濾與工作無(wú)關(guān)網(wǎng)頁(yè)、提高整體工作效率的需求,ZyWALL 70 UTM的內(nèi)容過(guò)濾功能大顯身手。通過(guò)該網(wǎng)關(guān)內(nèi)容過(guò)濾數(shù)據(jù)庫(kù)的建立,國(guó)土局可根據(jù)需要對(duì)URL關(guān)鍵字進(jìn)行網(wǎng)頁(yè)阻止,并對(duì)Java/ActiveX/Cookie進(jìn)行過(guò)濾,輕松阻止員工進(jìn)入與工作無(wú)關(guān)或者可疑的網(wǎng)站,在提高工作效率的同時(shí),也有效保護(hù)了企業(yè)網(wǎng)絡(luò)的安全。同時(shí)啟用zyWALL 70 UTM的入侵檢測(cè)防御,限制BT、MSN、QQ的使用,提高辦公效率。ZyWALL 70 UTM提供了垃圾郵件過(guò)濾、網(wǎng)絡(luò)釣魚保護(hù)功能,通過(guò)可配置的白名單、黑名單和建立外部垃圾郵件數(shù)據(jù)庫(kù),垃圾郵件的控制和管理變得輕而易舉。
關(guān)鍵詞:網(wǎng)絡(luò)安全;攻擊;防御;解決方案
一、網(wǎng)絡(luò)安全概述
計(jì)算機(jī)網(wǎng)絡(luò)安全是指通過(guò)采用各種技術(shù)和管理措施,使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行,從而確保在一個(gè)網(wǎng)絡(luò)環(huán)境里,網(wǎng)絡(luò)信息數(shù)據(jù)的可用性、完整性和保密性受到保護(hù)。
網(wǎng)絡(luò)安全問(wèn)題實(shí)際上包含兩方面的內(nèi)容:一是網(wǎng)絡(luò)的系統(tǒng)安全;二是網(wǎng)絡(luò)的信息安全,而保護(hù)網(wǎng)絡(luò)的信息安全是最終目的。要做到計(jì)算機(jī)網(wǎng)絡(luò)信息數(shù)據(jù)的真正安全,應(yīng)達(dá)到以下五個(gè)方面的目標(biāo):1)保密性:信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程,或供其利用的特性;2)完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性;3)可用性:可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性;4)可控性:對(duì)信息的傳播及內(nèi)容具有控制能力;5)不可否認(rèn)性:保證信息行為人不能否認(rèn)其信息行為。
如何保證個(gè)人、企業(yè)及國(guó)家的機(jī)密信息不被黑客和間諜竊取,如何保證計(jì)算機(jī)網(wǎng)絡(luò)不間斷地工作,是國(guó)家和企業(yè)信息化建設(shè)必須考慮的重要問(wèn)題。作為網(wǎng)絡(luò)管理人員,首先要充分了解相關(guān)的網(wǎng)絡(luò)攻擊技術(shù),才能夠更好地防護(hù)自身的信息系統(tǒng),以便制定較合理的網(wǎng)絡(luò)安全解決方案。
二、常見的網(wǎng)絡(luò)安全攻擊技術(shù)
網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。目前常用的網(wǎng)絡(luò)攻擊技術(shù)手段有:社會(huì)工程學(xué)、網(wǎng)絡(luò)監(jiān)聽、暴力攻擊、漏洞攻擊、拒絕服務(wù)攻擊等。
(一)社會(huì)工程學(xué)
社會(huì)工程學(xué)是一種攻擊行為,攻擊者利用人際關(guān)系的互動(dòng)性發(fā)出攻擊:通常攻擊者如果沒(méi)有辦法通過(guò)物理入侵直接取得所需要的資料時(shí),就會(huì)通過(guò)電子郵件或者電話對(duì)所需要的資料進(jìn)行騙取,再利用這些資料獲取主機(jī)的權(quán)限以達(dá)到其目的。通俗地講,社會(huì)工程學(xué)是一種利用人性的弱點(diǎn),如人的本能反應(yīng)、好奇心、信任、貪便宜等弱點(diǎn)進(jìn)行諸如欺騙、傷害等危害手段,獲取自身利益的手法。
(二)網(wǎng)絡(luò)監(jiān)聽
網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式,在這種模式下,主機(jī)能接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰(shuí)。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí),用戶輸入的密碼需要從用戶端傳送到服務(wù)器端,而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒(méi)有加密,只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(如Sniffer等)就可輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。
(三)漏洞攻擊
有些安全漏洞是操作系統(tǒng)或應(yīng)用軟件與生俱來(lái)的,如緩沖區(qū)溢出攻擊,由于非常多系統(tǒng)在不檢查程式和緩沖之間變化的情況,就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入,把溢出的數(shù)據(jù)放在堆棧里,系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令,系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別設(shè)置一串準(zhǔn)備用作攻擊的字符,他甚至能訪問(wèn)根目錄提升用戶,從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。
(四)拒絕服務(wù)攻擊
拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之一。這種攻擊由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的,如ICMP協(xié)議經(jīng)常被用于發(fā)動(dòng)拒絕服務(wù)攻擊,它的具體做法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包,幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶,從而使其無(wú)法對(duì)正常的服務(wù)請(qǐng)求進(jìn)行處理,而導(dǎo)致網(wǎng)站無(wú)法進(jìn)入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。
三、常見的網(wǎng)絡(luò)安全防御技術(shù)
面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),針對(duì)不斷出現(xiàn)的網(wǎng)絡(luò)攻擊手段,研究相應(yīng)的網(wǎng)絡(luò)安全防御技術(shù)顯得越來(lái)越重要。常見的網(wǎng)絡(luò)安全防御技術(shù)主要包括信息加密、防火墻、入侵檢測(cè)技術(shù)、漏洞掃描和數(shù)據(jù)備份等。
(一)信息加密技術(shù)
信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。目前世界上最流行的加密算法有兩大類:一種是常規(guī)算法,其特征是收信方和發(fā)信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價(jià)的。比較著名的常規(guī)密碼算法有:美國(guó)的DES及其各種變形;另外一種是公鑰加密算法,其特征是收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)解密密鑰。比較著名的公鑰密碼算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墻
防火墻是一項(xiàng)協(xié)助確保信息安全的設(shè)備,會(huì)依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制,通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略,限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn),管理內(nèi)部用戶訪問(wèn)外部網(wǎng)絡(luò),防止對(duì)重要信息資源的非法存取和訪問(wèn),以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的目的。
(三)入侵檢測(cè)技術(shù)
入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng),采用誤用檢測(cè)(Misuse Detection)或異常檢測(cè)(Anomaly Detection)的方式,發(fā)現(xiàn)非授權(quán)的或惡意的系統(tǒng)及網(wǎng)絡(luò)行為,為防范入侵行為提供有效的手段。按照數(shù)據(jù)源所處的位置不同,入侵檢測(cè)技術(shù)(IDS)可以分為兩大類:基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。
(四)漏洞掃描
漏洞掃描是對(duì)系統(tǒng)進(jìn)行全方位的掃描,檢查當(dāng)前的系統(tǒng)是否有漏洞,如果有漏洞則需要馬上進(jìn)行修復(fù),否則系統(tǒng)很容易受到網(wǎng)絡(luò)的傷害甚至被黑客借助于系統(tǒng)的漏洞進(jìn)行遠(yuǎn)程控制,所以漏洞掃描對(duì)于保護(hù)系統(tǒng)安全是必不可少的。
(五)數(shù)據(jù)備份
數(shù)據(jù)備份是容災(zāi)的基礎(chǔ),是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失,而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲(chǔ)介質(zhì)的過(guò)程。隨著技術(shù)的不斷發(fā)展,數(shù)據(jù)的海量增加,常用的技術(shù)有網(wǎng)絡(luò)備份,它通過(guò)專業(yè)的數(shù)據(jù)存儲(chǔ)管理軟件結(jié)合相應(yīng)的硬件和存儲(chǔ)設(shè)備來(lái)實(shí)現(xiàn)。
四、網(wǎng)絡(luò)安全解決方案
網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程,隨著環(huán)境的改變和技術(shù)的發(fā)展,網(wǎng)絡(luò)系統(tǒng)的安全狀況呈動(dòng)態(tài)變化,應(yīng)綜合運(yùn)用多種計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將信息加密技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、漏洞掃描技術(shù)等綜合起來(lái)。但一份好的網(wǎng)絡(luò)安全解決方案,不僅僅要考慮到技術(shù),還要考慮到策略和管理。應(yīng)協(xié)調(diào)三者的關(guān)系,技術(shù)是關(guān)鍵,策略是核心,管理是保證,其最終目的是根據(jù)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的具體需求,有針對(duì)性地解決其面臨的安全問(wèn)題。
參考文獻(xiàn):
【關(guān)鍵詞】IP城域網(wǎng) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全防護(hù)
一、引言
由于技術(shù)和專業(yè)的限制,IP城域網(wǎng)建設(shè)初期網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)簡(jiǎn)單,設(shè)備性能有限的,可提供用戶使用的業(yè)務(wù)類型較少。運(yùn)營(yíng)商長(zhǎng)期處于鋪網(wǎng)、圈地的狀態(tài),較少關(guān)注網(wǎng)絡(luò)安全性。
隨著寬帶提速、光網(wǎng)城市的推進(jìn),用戶規(guī)模越來(lái)越大,原有網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備性能的一些弊端逐漸顯現(xiàn)出來(lái),IP城域網(wǎng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)越來(lái)越大,網(wǎng)絡(luò)安全問(wèn)題正逐步成為影響網(wǎng)絡(luò)正常運(yùn)行、業(yè)務(wù)順利發(fā)展的重要因素。本文主要對(duì)IP城域網(wǎng)的網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)需求進(jìn)行分析,并對(duì)網(wǎng)絡(luò)安全解決方案進(jìn)行論述。
二、IP城域網(wǎng)網(wǎng)絡(luò)安全整體情況
IP城域網(wǎng)網(wǎng)絡(luò)分層結(jié)構(gòu)現(xiàn)狀
IP城域網(wǎng)是在城域范圍內(nèi)組建的,用于實(shí)現(xiàn)個(gè)人和企業(yè)用戶的語(yǔ)音、視頻、數(shù)據(jù)等多種業(yè)務(wù)接入、匯聚和轉(zhuǎn)發(fā),可獨(dú)立進(jìn)行管理的IP網(wǎng)絡(luò)平臺(tái)。包括城域骨干網(wǎng)、業(yè)務(wù)控制層和寬帶接入網(wǎng)兩部分。
城域骨干網(wǎng):由城域核心路由器負(fù)責(zé)對(duì)業(yè)務(wù)控制層設(shè)備進(jìn)行端口和流量匯聚,并作IP城域網(wǎng)到IP骨干網(wǎng)的流量轉(zhuǎn)發(fā)出口。
業(yè)務(wù)控制層由寬帶接入服務(wù)器(BRAS)與業(yè)務(wù)路由器(SR)兩種業(yè)務(wù)接入控制點(diǎn)組成,主要負(fù)責(zé)業(yè)務(wù)接入與控制。
寬帶接入網(wǎng):是業(yè)務(wù)控制層以下,用戶家庭網(wǎng)關(guān)以上(不含CPE)的二層接入網(wǎng)絡(luò)。
三、IP城域網(wǎng)網(wǎng)絡(luò)安全需求分析
目前IP城域網(wǎng)主要以Intemet業(yè)務(wù)為主,需重點(diǎn)考慮以下方面:
(1)對(duì)外需加強(qiáng)黑客防御,對(duì)內(nèi)提升安全控制;
(2)業(yè)務(wù)層、網(wǎng)絡(luò)層和用戶層安全并重;
(3)合理規(guī)劃網(wǎng)絡(luò)流量,保障網(wǎng)絡(luò)的可達(dá)性和可靠性;
(4)加強(qiáng)網(wǎng)絡(luò)身份認(rèn)證、訪問(wèn)授權(quán);
(5)網(wǎng)絡(luò)按需隔離。
四、IP城域網(wǎng)網(wǎng)絡(luò)安全研究
IP城域網(wǎng)是城域業(yè)務(wù)接入和流量轉(zhuǎn)發(fā)的綜合數(shù)據(jù)網(wǎng)絡(luò),不同的網(wǎng)絡(luò)結(jié)構(gòu)和層次所面對(duì)的網(wǎng)絡(luò)安全問(wèn)題將有所區(qū)別,為控制網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn),需要有針對(duì)性的采取不同的安全策略。
4.1 IP城域網(wǎng)核心層安全
由于核心層網(wǎng)絡(luò)承擔(dān)整個(gè)城域網(wǎng)出口流量匯聚和轉(zhuǎn)發(fā),為保證其網(wǎng)絡(luò)安全性和可靠性,建議采用以下安全策略,包括:
采用路由和交換設(shè)備應(yīng)保證全線速、無(wú)阻塞;
盡量采用加密方式實(shí)現(xiàn)設(shè)備或系統(tǒng)登錄,并強(qiáng)化登錄口令管理;
采用節(jié)點(diǎn)、機(jī)框、板卡和端口級(jí)冗余備份;
采用資源預(yù)留,分布式轉(zhuǎn)發(fā)等技術(shù)提高設(shè)備系統(tǒng)安全性;
對(duì)異常網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)和解決問(wèn)題。
4.2 IP城域網(wǎng)匯聚層安全
匯聚層業(yè)務(wù)控制點(diǎn)的安全性能主要體現(xiàn)在以下幾個(gè)方面:
根據(jù)用戶簽約帶寬配置線路速率,并通過(guò)限速和QoS等技術(shù)控制用戶合法帶寬;
對(duì)傳輸層和會(huì)話層的會(huì)話數(shù)和連接數(shù)進(jìn)行總量限制,避免DoS/DDoS攻擊;
通過(guò)加強(qiáng)密碼、密鑰等方式提高網(wǎng)絡(luò)安全控制管理水平;
創(chuàng)建訪問(wèn)控制列表(ACI),根據(jù)安全需求有選擇控制非法用戶訪問(wèn)網(wǎng)絡(luò)安全服務(wù);
通過(guò)syslog溯源系統(tǒng)強(qiáng)化安全日志管理。
4.3 IP城域網(wǎng)接入層安全
通過(guò)各種接入技術(shù)和傳輸資源實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋,為用戶提供多種業(yè)務(wù)接入和流量控制。
通過(guò)用戶網(wǎng)絡(luò)隔離、用戶屬性(IP、MAC和設(shè)備端口等)精確綁定等手段防止用戶非法接入和惡意攻擊,提高網(wǎng)絡(luò)接入安全性;
在LAN接入,需要通過(guò)端口環(huán)路檢測(cè)避免二層環(huán)路的發(fā)生,避免廣播風(fēng)暴對(duì)網(wǎng)絡(luò)的影響。
五、結(jié)語(yǔ)
目前,電信運(yùn)營(yíng)商IP城域網(wǎng)在網(wǎng)絡(luò)安全管理上還存在不足,網(wǎng)絡(luò)安全防御手段相對(duì)匱乏。對(duì)網(wǎng)絡(luò)安全的控制還集中在ACL、黑洞路由等傳統(tǒng)手段,未規(guī)模推進(jìn)防火墻/IPS等專用第三方網(wǎng)絡(luò)安全設(shè)備與傳統(tǒng)的路由器/交換機(jī)進(jìn)行聯(lián)動(dòng)控制。且由于現(xiàn)有的檢測(cè)和控制方式相對(duì)分散,部分系統(tǒng)或設(shè)備必須由運(yùn)維人員手工配置,難以在網(wǎng)絡(luò)安全受到威脅下,保證各系統(tǒng)和設(shè)備相互協(xié)調(diào),迅速作出響應(yīng),以形成一個(gè)完整和有效的安全網(wǎng)絡(luò)。
創(chuàng)業(yè)初期:把握機(jī)遇走自己的路
1995年,網(wǎng)絡(luò)開始涉足中國(guó)市場(chǎng),網(wǎng)絡(luò)安全市場(chǎng)當(dāng)時(shí)在國(guó)外也是一個(gè)新興的市場(chǎng),國(guó)內(nèi)更是一片空白。北京天融信公司的前身――北京天融信技貿(mào)有限責(zé)任公司在中關(guān)村掛牌,成為中國(guó)首家網(wǎng)絡(luò)安全公司。
1996年,隨著網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)需求量的增大,以及國(guó)家對(duì)信息網(wǎng)絡(luò)安全要求的政策出臺(tái),國(guó)內(nèi)鼓勵(lì)廠商自主研發(fā)安全產(chǎn)品。天融信緊緊抓住并牢牢把握重要機(jī)遇,克服重重困難,推出了我國(guó)第一套自主版權(quán)的防火墻系統(tǒng),并被應(yīng)用于政府的首個(gè)網(wǎng)絡(luò)安全項(xiàng)目、也是當(dāng)時(shí)最大的安全項(xiàng)目――國(guó)家統(tǒng)計(jì)局600萬(wàn)元安全系統(tǒng)集成項(xiàng)目。就此,這家當(dāng)時(shí)瞄準(zhǔn)了防火墻市場(chǎng)的國(guó)內(nèi)安全廠商,開始順利踏上信息安全之路并進(jìn)入國(guó)產(chǎn)網(wǎng)絡(luò)安全產(chǎn)品廠商前列。
“我是在1997年11月,一個(gè)偶然的機(jī)會(huì)進(jìn)入到北京天融信公司的,那時(shí)對(duì)防火墻還是一無(wú)所知,也沒(méi)有想著在這個(gè)公司長(zhǎng)遠(yuǎn)發(fā)展下去。因?yàn)槲业膶I(yè)是學(xué)金屬材料專業(yè)――計(jì)算機(jī)模擬計(jì)算,只是因?yàn)閷?duì)計(jì)算機(jī)行業(yè)的一點(diǎn)興趣以及希望有新的機(jī)會(huì),能將所從事的研究工作進(jìn)行轉(zhuǎn)型,便進(jìn)入了天融信公司。”于海波簡(jiǎn)單地做了自我介紹。
據(jù)記者了解,天融信公司是屬于當(dāng)時(shí)將產(chǎn)品盡快推向市場(chǎng)并得到應(yīng)用最好的企業(yè)之一。主要產(chǎn)品是防火墻,該防火墻于1996年6月研制成功,屬我國(guó)第一套具有自主知識(shí)版權(quán)的防火墻系統(tǒng),并通過(guò)國(guó)家安全部與電子工業(yè)部聯(lián)合主持的技術(shù)鑒定,填補(bǔ)了國(guó)內(nèi)空白。國(guó)務(wù)院信息辦在1997年12月還曾將天融信防火墻列為重點(diǎn)安全項(xiàng)目向全國(guó)推廣。“我當(dāng)時(shí)進(jìn)入網(wǎng)絡(luò)安全行業(yè)可以說(shuō)對(duì)網(wǎng)絡(luò)安全的了解是一片空白。”于海波說(shuō),“1999年前,我國(guó)的信息安全產(chǎn)業(yè)基本處于萌芽狀態(tài),專業(yè)從事信息安全的國(guó)內(nèi)廠商可謂鳳毛麟角,防火墻廠商只有天融信等幾家,防病毒廠商主要包括瑞星、江民等,用戶基本上不知道什么是防火墻、甚至什么是信息安全,信息安全產(chǎn)品以單機(jī)版殺毒軟件為主”。
可見,早在當(dāng)年天融信決定進(jìn)入網(wǎng)絡(luò)安全行業(yè)時(shí),天融信就在技術(shù)、研發(fā)方面走出了自己的路。隨著國(guó)內(nèi)信息安全市場(chǎng)的需求逐漸明確,防病毒、防火墻已經(jīng)成為信息系統(tǒng)事實(shí)上的標(biāo)準(zhǔn)配置產(chǎn)品。防病毒、防火墻、IDS是我國(guó)信息安全市場(chǎng)的支柱型產(chǎn)品,入侵檢測(cè)(IDS)和VPN的需求上升最快,物理隔離網(wǎng)閘、身份認(rèn)證和安全管理平臺(tái)的需求也有較大幅度提高。政府上網(wǎng)工程、網(wǎng)上審批工程、電子政務(wù)工程和12大“金”字工程的實(shí)施,將政府內(nèi)部網(wǎng)、企業(yè)內(nèi)網(wǎng)、電子商務(wù)網(wǎng)與Internet互聯(lián)是必須的功能,因此防“黑客”入侵攻擊是信息安全的重要任務(wù),而內(nèi)外網(wǎng)邊界安全設(shè)備的防火墻更成了需求熱點(diǎn)。由于市場(chǎng)對(duì)防火墻需求強(qiáng)勁,與此配套使用的其他安全類產(chǎn)品自然也“熱”起來(lái)了,成為新的需求亮點(diǎn)。
成長(zhǎng)期:重視渠道和創(chuàng)新,打造民族品牌
2001-2003年,是我國(guó)信息安全產(chǎn)業(yè)的成長(zhǎng)期,國(guó)內(nèi)的信息安全廠商與用戶共同成長(zhǎng);主流廠商密切跟蹤、學(xué)習(xí),并逐步掌握國(guó)際最新技術(shù);用戶深入了解信息安全技術(shù),國(guó)產(chǎn)品牌產(chǎn)品得到認(rèn)可;多種信息安全產(chǎn)品面世,“聯(lián)動(dòng)”成為安全產(chǎn)品走向。
這期間,天融信公司根據(jù)各地不斷增長(zhǎng)的安全需求,也開始了地方分支機(jī)構(gòu)的建設(shè)。于海波告訴記者,他曾于2001年初,被派到廣州負(fù)責(zé)分公司建設(shè)。從最初的2個(gè)人發(fā)展到現(xiàn)在的50多人,從最初的幾百萬(wàn)銷售額發(fā)展到2003年的3000多萬(wàn)的銷售額。
在整個(gè)信息安全產(chǎn)業(yè)方面,用戶對(duì)信息安全的多樣化需求、個(gè)性化需求,極大地促進(jìn)了國(guó)內(nèi)安全廠商的發(fā)展,同時(shí)也使國(guó)內(nèi)廠商逐步掌握了國(guó)際最新技術(shù)。2000年,國(guó)外信息安全產(chǎn)品占據(jù)大部分市場(chǎng)份額,但由于是進(jìn)口產(chǎn)品,不能在國(guó)內(nèi)進(jìn)行技術(shù)上的快速變更滿足國(guó)內(nèi)用戶的需求,使得更多的用戶轉(zhuǎn)向使用國(guó)產(chǎn)安全產(chǎn)品。如天融信開發(fā)的NGFW3000有很多功能是根據(jù)國(guó)內(nèi)用戶的需求開發(fā)定制的。之后,2002年推出的NGFW4000,創(chuàng)新性地使用了會(huì)話檢測(cè)技術(shù),極大地提高了防火墻的性能以及過(guò)濾的內(nèi)容深度。
隨著諸多國(guó)內(nèi)、國(guó)際信息安全廠商進(jìn)入國(guó)內(nèi)市場(chǎng)并加大投入力度以及政府的扶持,國(guó)產(chǎn)信息安全產(chǎn)品與品牌得到普遍認(rèn)可,使國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)規(guī)模快速增長(zhǎng),年復(fù)合增長(zhǎng)率平均達(dá)到40%左右。到2003年,總體信息安全產(chǎn)品市場(chǎng)規(guī)模已經(jīng)達(dá)到20億人民幣。同時(shí)從2000年至2003年,天融信公司連續(xù)四年市場(chǎng)份額均居國(guó)內(nèi)安全廠商之首,同時(shí)還聯(lián)合多家國(guó)內(nèi)知名安全廠商,共同倡導(dǎo)推廣TopSEC聯(lián)動(dòng)網(wǎng)絡(luò)安全解決方案,為用戶構(gòu)造了一個(gè)以防火墻為中心的聯(lián)動(dòng)的集成防御體系。
2004年,雖然我國(guó)的信息安全產(chǎn)業(yè)繼續(xù)快速發(fā)展,使國(guó)內(nèi)用戶的需求發(fā)生了變化,即“需求的整合”。主要表現(xiàn)在:企業(yè)的安全建設(shè)從“被動(dòng)防御”向“主動(dòng)防御”過(guò)渡,即企業(yè)從發(fā)現(xiàn)問(wèn)題后再修補(bǔ)的“產(chǎn)品疊加型”防御方式向“以風(fēng)險(xiǎn)管理”為核心的主動(dòng)防御過(guò)渡;安全產(chǎn)品從“孤立的產(chǎn)品形式”向“集中管理”過(guò)渡。
面對(duì)市場(chǎng)和用戶需求的變化,天融信的對(duì)策首先是圍繞“完全你的安全”,打造全線的網(wǎng)絡(luò)安全產(chǎn)品、全程的專業(yè)安全服務(wù)和全面的安全解決方案。到目前為止,天融信已經(jīng)擁有了網(wǎng)絡(luò)衛(wèi)士防火墻、網(wǎng)絡(luò)衛(wèi)士VPN、網(wǎng)絡(luò)衛(wèi)士入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)衛(wèi)士過(guò)濾網(wǎng)關(guān)、TOPSEC安全審計(jì)綜合分析系統(tǒng)、網(wǎng)絡(luò)衛(wèi)士綜合管理系統(tǒng)等6大系列近20多款安全產(chǎn)品與安全應(yīng)用系統(tǒng),可以充分滿足不同用戶的應(yīng)用需求。
于海波認(rèn)為,信息安全行業(yè)是個(gè)來(lái)不得半點(diǎn)虛假的行業(yè),“水分太多”,一定程度上會(huì)誤導(dǎo)用戶。網(wǎng)絡(luò)系統(tǒng)安全必須是整體的、動(dòng)態(tài)的。用戶可以通過(guò)選擇優(yōu)秀的產(chǎn)品和服務(wù)構(gòu)建一個(gè)完整的解決方案,要使優(yōu)秀產(chǎn)品、服務(wù)等環(huán)節(jié)形成整體的安全策略。另外,必須有統(tǒng)一的、動(dòng)態(tài)的安全策略,一個(gè)相互聯(lián)動(dòng)的、高效的整體安全解決方案,于是天融信全力推出了以“完全你的安全”為基礎(chǔ)的全網(wǎng)整體解決方案,從技術(shù)、管理、運(yùn)行三個(gè)層面幫助用戶搭建一個(gè)安全管理、監(jiān)控、檢測(cè)、加固、優(yōu)化、審計(jì)、維護(hù)安全平臺(tái)。
結(jié)語(yǔ)
[關(guān)鍵詞] 電力系統(tǒng) 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)控制
1 概述
2008年對(duì)于電力部門來(lái)說(shuō),保奧運(yùn),確保電網(wǎng)和系統(tǒng)安全,是各發(fā)電集團(tuán)公司、國(guó)家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護(hù)電力業(yè)務(wù)系統(tǒng)的安全,其核心在于保護(hù)電力數(shù)據(jù)的安全,包括數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩S绊戨娏ο到y(tǒng)網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的,也可能是無(wú)意的誤操作;可能是人為的或是非人為的;也有可能是內(nèi)部或外來(lái)攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用。
以前由于電力系統(tǒng)一直以來(lái)網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對(duì)封閉,電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題也基本產(chǎn)生于內(nèi)部。但是,隨著近年來(lái)與外界接口的增加,特別是與政府、金融機(jī)構(gòu)等合作單位中間業(yè)務(wù)的接口、網(wǎng)上服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)問(wèn)的互聯(lián)互通等需求的發(fā)展,其安全問(wèn)題不僅僅局限于內(nèi)部事件了,來(lái)自外界的攻擊已越來(lái)越多,已經(jīng)成為電力系統(tǒng)不可忽視的威脅來(lái)源。但是,未來(lái)電力系統(tǒng)網(wǎng)上服務(wù)所采用的策略一般是由各省公司做統(tǒng)一對(duì)外服務(wù)出口,各級(jí)分局或電力公司和電廠將沒(méi)有對(duì)外的出口;從內(nèi)部業(yè)務(wù)應(yīng)用的角度來(lái)看,除大量現(xiàn)存的C/S結(jié)構(gòu)以外,還將出現(xiàn)越來(lái)越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。
所以,對(duì)于電力系統(tǒng)整體來(lái)說(shuō),主要問(wèn)題仍有一大部分是內(nèi)部安全問(wèn)題。其所面臨的威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)中通訊、信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅,造成電力系統(tǒng)癱瘓。對(duì)于電力系統(tǒng)來(lái)說(shuō),主要是保護(hù)電力業(yè)務(wù)系統(tǒng)的安全,其核心在于保護(hù)電力數(shù)據(jù)的安全,包括數(shù)據(jù)存儲(chǔ),數(shù)據(jù)傳輸?shù)陌踩?/p>
2 電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅
2.1 人為的無(wú)意失誤
如果網(wǎng)絡(luò)安全配置不當(dāng)造成的安全漏洞,包括安全意識(shí)、用戶口令、賬號(hào)、共享信息資源等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。主機(jī)存在系統(tǒng)漏洞,通過(guò)電力網(wǎng)絡(luò)入侵系統(tǒng)主機(jī),并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫(kù)服務(wù)器,進(jìn)而對(duì)整個(gè)電力系統(tǒng)造成很大的威脅。
2.2 人為的惡意攻擊
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的可用性和完整性;另一類是被動(dòng)攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成直接的極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn),針對(duì)windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來(lái)。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80%的計(jì)算機(jī)造成了破壞,安徽省電力公司系統(tǒng)內(nèi)也有多個(gè)供電企業(yè)的信息系統(tǒng)遭到病毒的破壞,這一事件給網(wǎng)絡(luò)安全再次敲響了警鐘!
3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式
電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個(gè)非常緊迫的問(wèn)題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故,二次系統(tǒng)的崩潰或癱瘓,以及有關(guān)信息管理系統(tǒng)的癱瘓。必須提出針對(duì)以上事故的各種應(yīng)急預(yù)案。隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來(lái)越多,要求在業(yè)務(wù)系統(tǒng)之間進(jìn)行的數(shù)據(jù)交換也越來(lái)越多,對(duì)電力網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn)。其安全風(fēng)險(xiǎn)和威脅的具體表現(xiàn)形式如下:
(1)UNIX和Windows主機(jī)操作系統(tǒng)存在安全漏洞。
(2)Oracle、Sybase、MS SQL等主要關(guān)系型數(shù)據(jù)庫(kù)的自身安全漏洞。
(3)重要應(yīng)用系統(tǒng)的安全漏洞,如:MS IIS或Netscape WEB服務(wù)應(yīng)用的“緩存區(qū)溢出”等,使得攻擊者輕易獲取超級(jí)用戶權(quán)限。核心的網(wǎng)絡(luò)設(shè)備,如路由器、交換機(jī)、訪問(wèn)服務(wù)器、防火墻存在安全漏洞。
(4)利用TCP/IP等網(wǎng)絡(luò)協(xié)議自身的弱點(diǎn)(DDOS分布式拒絕服務(wù)攻擊),導(dǎo)致網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)中打開大量的服務(wù)端口(如RPC、FTP、TELNET、SMTP、FINGER等),容易被攻擊者利用。黑客攻擊工具非常容易獲得,并可以輕易實(shí)施各類黑客攻擊,如:特洛伊木馬、蠕蟲、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊,同時(shí)可利用ActiveX、Java、JavaScript、VBS等實(shí)施攻擊。造成網(wǎng)絡(luò)的癱瘓和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡(luò)中非法安裝和使用未授權(quán)軟件。對(duì)網(wǎng)絡(luò)性能和業(yè)務(wù)造成直接影響。系統(tǒng)及網(wǎng)絡(luò)設(shè)備的策略(如防火墻等)配置不當(dāng)。
(5)關(guān)鍵主機(jī)系統(tǒng)及數(shù)據(jù)文件被篡改或誤改,導(dǎo)致系統(tǒng)和數(shù)據(jù)不可用,業(yè)務(wù)中斷等。
(6)分組協(xié)議里的閉合用戶群并不安全,信任關(guān)系可能被黑客利用。
(7)應(yīng)用軟件有潛在的設(shè)計(jì)缺陷。
(8)在內(nèi)部有大批的對(duì)內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)相當(dāng)熟悉的人員,據(jù)統(tǒng)計(jì),70%以上的成功攻擊來(lái)自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡(luò)互通存在著極大的風(fēng)險(xiǎn)。
(9)雖然將來(lái)由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務(wù),但很多分局和分公司仍允許以撥號(hào)、DDN專線、ISDN等方式單獨(dú)接入互聯(lián)網(wǎng),存在著由多個(gè)攻擊入口進(jìn)入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全,如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點(diǎn)等,技術(shù)人員的忠誠(chéng)度和穩(wěn)定性,將直接關(guān)系到系統(tǒng)安全。
(10)各局使用的OA辦公自動(dòng)化系統(tǒng)大量使用,諸如Windows操作系統(tǒng),可能存在安全的薄弱環(huán)節(jié),并且有些分局可能提供可拷貝腳本式的撥號(hào)服務(wù),撥入網(wǎng)絡(luò)后,即可到達(dá)電力的內(nèi)部網(wǎng)絡(luò)的其它主機(jī)。
系統(tǒng)為電力客戶提供方便服務(wù)的同時(shí),數(shù)據(jù)的傳輸在局外網(wǎng)絡(luò)和局內(nèi)局域網(wǎng)絡(luò)的傳輸中極有可能被竊取,通過(guò)Sniffer網(wǎng)絡(luò)偵聽極易獲得超級(jí)用戶的密碼。
4 系統(tǒng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)基本控制策略
針對(duì)電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性,電力安全方案要能抵御通過(guò)各種形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊,防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故、二次系統(tǒng)的崩潰或癱瘓,以及有關(guān)信息管理系統(tǒng)的癱瘓。總體來(lái)說(shuō),電力系統(tǒng)安全解決方案的總體策略如下:
(1)分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度,按其性質(zhì)可劃分為實(shí)時(shí)控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個(gè)安全區(qū)域,重點(diǎn)保護(hù)實(shí)時(shí)控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi),納入統(tǒng)一的安全防護(hù)方案。
(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護(hù)。
(3)網(wǎng)絡(luò)專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò),實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離,并通過(guò)采用MPLS-VPN形成多個(gè)相互邏輯隔離的IPSEC VPN,實(shí)現(xiàn)多層次的保護(hù)。
(4)設(shè)備獨(dú)立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡(luò)交換機(jī)設(shè)備。
(5)縱向防護(hù)。采用認(rèn)證、加密等手段實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸。
5 電力系統(tǒng)的網(wǎng)絡(luò)安全解決方案
針對(duì)電力網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡(luò)設(shè)備;保護(hù)電力數(shù)據(jù)中心及其設(shè)備中心的網(wǎng)絡(luò)、服務(wù)器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離,并且制定科學(xué)的安全策略;制定權(quán)限管理――這是對(duì)應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)的安全保障;考慮網(wǎng)絡(luò)上設(shè)備安裝后仍然可能存在的安全漏洞,并制定相應(yīng)措施策略。
(1)在網(wǎng)絡(luò)設(shè)備的安全管理方面,將所有網(wǎng)絡(luò)設(shè)備上的Console口加設(shè)密碼進(jìn)行屏蔽,配置管理全部采用OUT-BAND帶外方式,并對(duì)每個(gè)被管理的設(shè)備均設(shè)置相應(yīng)的帳戶和口令,只有網(wǎng)絡(luò)管理員具有對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)配置和更改密碼的權(quán)力。
(2)在網(wǎng)管中心通過(guò)劃分不同安全區(qū)域來(lái)規(guī)范管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò),從邏輯上把每個(gè)部門的資源獨(dú)立成一個(gè)安全區(qū)域,對(duì)安全區(qū)域的劃分基于安全性策略或規(guī)則,使區(qū)域的劃分更具安全性。網(wǎng)絡(luò)管理員可根據(jù)用戶需求,把某些共享資源分配到單獨(dú)的安全區(qū)域中,并控制區(qū)域之間的訪問(wèn)。
(3)VPN和IPsec加密的使用。電力網(wǎng)絡(luò)將通過(guò)MPLS VPN把跨骨干的廣域網(wǎng)絡(luò)變成自己的私有網(wǎng)絡(luò)。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會(huì)對(duì)數(shù)據(jù)的完整與安全構(gòu)成潛在危險(xiǎn),在數(shù)據(jù)進(jìn)入MPLS VPN網(wǎng)絡(luò)之前首先經(jīng)過(guò)IPsec加密,在離開VPN網(wǎng)絡(luò)后又再進(jìn)行IPsec解密。
(4)通過(guò)網(wǎng)絡(luò)設(shè)置控制網(wǎng)絡(luò)的安全。在交換機(jī)、路由器、數(shù)據(jù)庫(kù)和各種認(rèn)證上,層層進(jìn)行安全設(shè)置,從而確保整個(gè)網(wǎng)絡(luò)的安全。
(5)通過(guò)專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。
(6)進(jìn)行黑客防范配置。通過(guò)信息檢測(cè)、攻擊檢測(cè)、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置,對(duì)黑客進(jìn)行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進(jìn)行監(jiān)控使用,也可以部署在服務(wù)器的前端作為防攻擊的IPS產(chǎn)品使用,以保障網(wǎng)絡(luò)的安全性。
6 電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全解決方案
外部攻擊影響巨大,但內(nèi)部攻擊危害也不能忽視,為了解決內(nèi)網(wǎng)安全問(wèn)題,在一個(gè)電力/電廠系統(tǒng)的局域網(wǎng)內(nèi)部,可以使用防火墻對(duì)不同的網(wǎng)段進(jìn)行隔離,并且使用IPS設(shè)備對(duì)關(guān)鍵應(yīng)用進(jìn)行監(jiān)控和保護(hù)。同時(shí),使用IPS設(shè)備架設(shè)在相應(yīng)的安全區(qū)域,保證訪問(wèn)電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性、可審計(jì)性以及防止惡意流量的攻擊。并且實(shí)現(xiàn)以下的主要目的:
(1)網(wǎng)絡(luò)安全:防火墻可以允許合法用戶的訪問(wèn)以及限制其正常的訪問(wèn),禁止非法用戶的試圖訪問(wèn)。
(2)防火墻負(fù)載均衡:網(wǎng)絡(luò)安全性越來(lái)越成為電力系統(tǒng)擔(dān)心的問(wèn)題了,網(wǎng)絡(luò)安全已經(jīng)成為了關(guān)鍵部門關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對(duì)網(wǎng)絡(luò)資源進(jìn)行非授權(quán)訪問(wèn)的常用方法。
(3)服務(wù)器負(fù)載均衡:執(zhí)行一定的負(fù)載均衡算法,可以針對(duì)電廠內(nèi)關(guān)鍵的服務(wù)器群動(dòng)態(tài)分配負(fù)載。
7 廣域網(wǎng)整體安全解決方案
對(duì)于整個(gè)廣域網(wǎng),為了端對(duì)端、局對(duì)局的安全性,本著不受其他系統(tǒng)影響,不影響其他系統(tǒng)的安全原則,可對(duì)防火墻以及IPS設(shè)備進(jìn)行分布式部署。
通過(guò)過(guò)濾的規(guī)則設(shè)置可以使得我們方便地控制網(wǎng)絡(luò)內(nèi)部資源對(duì)外的開放程度,特別是針對(duì)國(guó)家電網(wǎng)公司、當(dāng)?shù)卣约癐nternet僅僅開放某個(gè)IP的特殊端口,有效地限制黑客的侵入。
通過(guò)過(guò)濾、IP地址以及客戶端認(rèn)證等規(guī)則的應(yīng)用,可以確定不同的內(nèi)部用戶享受不同的訪問(wèn)外部資源的級(jí)別,對(duì)于內(nèi)部用戶嚴(yán)格區(qū)分網(wǎng)段,而且可以利用獨(dú)特的內(nèi)置LDAP的功能對(duì)客戶端進(jìn)行認(rèn)證。通過(guò)這種方式可以有效地限制內(nèi)部用戶主動(dòng)將信息通過(guò)網(wǎng)絡(luò)向外界傳遞。
近年來(lái),云計(jì)算的市場(chǎng)和應(yīng)用正快速增長(zhǎng),越來(lái)越多企業(yè)進(jìn)入到云I域,云計(jì)算產(chǎn)品及解決方案的日趨豐富和成熟也令云安全的地位上升到關(guān)鍵位置。由于云服務(wù)商數(shù)據(jù)中心資源的規(guī)模化和集中化,數(shù)據(jù)中心、網(wǎng)絡(luò)鏈路等物理設(shè)施的一旦遭遇破壞和故障,影響巨大。在這種情況下,越來(lái)越多的IT安全廠商布局云安全產(chǎn)業(yè)。據(jù)Gartner 數(shù)據(jù)顯示,云安全市場(chǎng)規(guī)模2016 年將達(dá)到36.5 億美元,同比增長(zhǎng)15%,云安全的發(fā)展將受益于云計(jì)算市場(chǎng)的快速增長(zhǎng)。
為解決云安全問(wèn)題,全球領(lǐng)先的安全解決方案提供商Radware也順勢(shì)推出云安全服務(wù)。Radware云安全服務(wù)可以自動(dòng)檢測(cè)并緩解各種攻擊載體,包括DDoS、突發(fā)式攻擊、復(fù)雜的大流量攻擊、基于SSL的攻擊、零日攻擊、SQL注入等。事實(shí)上,這是當(dāng)前唯一一款整合了云端DDoS、大流量和應(yīng)用防火墻攻擊防護(hù)的適應(yīng)性解決方案,無(wú)論是永遠(yuǎn)在線、按需還是混合解決方案,都可以滿足客戶的獨(dú)特需求。
此外,Radware云安全服務(wù)是首個(gè)持續(xù)適應(yīng),可以在幾秒內(nèi)自動(dòng)生成針對(duì)各類攻擊的防護(hù)措施,并且可以根據(jù)應(yīng)用的變化自動(dòng)調(diào)整防護(hù)措施。同時(shí),Radware云安全服務(wù)也是業(yè)界唯一可以保持用戶數(shù)據(jù)私密性的云端SSL攻擊緩解措施,可以在保護(hù)用戶SSL密鑰不泄露的同時(shí),有效防范基于SSL的攻擊。
Radware云安全服務(wù)一經(jīng)推出,便在北美、歐洲等地區(qū)引起了熱烈反響,并獲得了SC雜志2016年最佳安全管理服務(wù)大獎(jiǎng)。在國(guó)內(nèi),隨著企業(yè)用戶云安全意識(shí)的不斷增強(qiáng),Radware云安全服務(wù)獲得了電信運(yùn)營(yíng)商、金融證券、大型企業(yè)、服務(wù)提供商等眾多行業(yè)用戶的認(rèn)可。日前,Radware還與騰訊云達(dá)成了戰(zhàn)略合作關(guān)系,共同為位于中國(guó)的騰訊云應(yīng)用服務(wù)器、私有云服務(wù)市場(chǎng)提供網(wǎng)絡(luò)安全解決方案,同時(shí)為海外用戶提供DDoS防護(hù)措施,再次驗(yàn)證云安全較強(qiáng)的防護(hù)能力,再次驗(yàn)證了Radware在云安全防護(hù)領(lǐng)域的領(lǐng)先地位。作為全球領(lǐng)先的安全解決方案提供商,Radware始終致力于為全球企業(yè)提供能夠適應(yīng)不同企業(yè)的獨(dú)特的網(wǎng)絡(luò)和應(yīng)用環(huán)境需求的最佳云安全防護(hù)措施。本次在2016中國(guó)互聯(lián)網(wǎng)大會(huì)上,Radware云安全服務(wù)獲得“最佳安全管理獎(jiǎng)”,是對(duì)其云安全技術(shù)和服務(wù)能力的肯定。
不是為了竊取機(jī)密,也不是為了盜竊錢財(cái),只是為了證明自己的存在,當(dāng)前網(wǎng)絡(luò)犯罪者越來(lái)越朝著更具“黑客英雄”情懷的方向轉(zhuǎn)變。在今天,也許還會(huì)有黑客會(huì)因?yàn)楦鞣N傳統(tǒng)的原因而攻擊某個(gè)安全系統(tǒng)或者發(fā)起DDoS攻擊;但是通過(guò)攻擊企業(yè)業(yè)務(wù)以展示自己的叛逆和違規(guī)行為,已經(jīng)成為更多黑客的“理想”。年關(guān)將至,人們即將迎來(lái)一年當(dāng)中節(jié)日最密集的時(shí)期,盛大購(gòu)物季的到來(lái),既承載了很多電子企業(yè)向年度銷售額沖刺的期盼,也是忙碌了一年的人們最想以購(gòu)物方式來(lái)犒勞一下自己和親朋的季節(jié),這些原因促成了網(wǎng)上購(gòu)物的繁榮,當(dāng)然無(wú)孔不入的黑客不會(huì)錯(cuò)過(guò)這樣一場(chǎng)在線的盛宴,利用人們各種各樣的疏忽發(fā)起攻擊,讓您的企業(yè)年度贏收表大打折扣。
對(duì)付惡意攻擊者或黑客,最好辦法就是防守反擊,不讓其得逞。遵循Ron Meyran為大、中、小商家及消費(fèi)賭提供的安全黃金條律,您既可以享受網(wǎng)絡(luò)購(gòu)物的便捷,又可以收獲理想的安全防護(hù)。
針對(duì)大型零售商的黃金條律
1. 評(píng)估商業(yè)風(fēng)險(xiǎn):什么因素會(huì)給企業(yè)帶來(lái)最大的風(fēng)險(xiǎn)值?數(shù)據(jù)泄露?網(wǎng)站涂改?服務(wù)質(zhì)量下降?服務(wù)宕機(jī)?這個(gè)基礎(chǔ)判斷會(huì)幫助您了解各種最壞的可能。
2. 評(píng)估你的“敵人”:競(jìng)爭(zhēng)對(duì)手希望打壓同行的業(yè)務(wù),出于經(jīng)濟(jì)目的罪犯時(shí)時(shí)在尋找容易上鉤的對(duì)象。知名企業(yè)、或者影視和出版業(yè)那些涉及版權(quán)的產(chǎn)業(yè)很容易成為黑客主義團(tuán)伙的目標(biāo),并隨時(shí)都有可能遭受匿名攻擊。
3. 部署DDoS防護(hù)方案:持續(xù)增長(zhǎng)的DDoS攻擊已經(jīng)成為當(dāng)前不可忽視的網(wǎng)絡(luò)威脅力量。因?yàn)镈DoS攻擊而導(dǎo)致的宕機(jī)不僅會(huì)讓企業(yè)蒙受經(jīng)濟(jì)損失,還會(huì)嚴(yán)重影響企業(yè)聲譽(yù)。一些服務(wù)供應(yīng)商提供Network DDoS防護(hù),但是企業(yè)需要對(duì)戰(zhàn)應(yīng)用DDoS。購(gòu)買先進(jìn)的安全工具和獲取安全專業(yè)知識(shí)是維持業(yè)務(wù)健康的關(guān)鍵步驟。
4. 感知用戶行為:部署網(wǎng)絡(luò)行為分析(Network Behavioral Analysis ,NBA)工具準(zhǔn)確監(jiān)測(cè)用戶正在發(fā)送和接收哪些類型的信息,以及向誰(shuí)發(fā)送。設(shè)置訪問(wèn)權(quán)限策略,以保護(hù)關(guān)鍵信息(如團(tuán)隊(duì)表、隊(duì)員體能以及設(shè)備設(shè)計(jì)等)的安全。
5. 部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具: 通過(guò)這樣一個(gè)管理工具來(lái)關(guān)聯(lián)所有安全事件日志。攻擊者已經(jīng)變得詭計(jì)多端,他們會(huì)使用包含多重工具的混合攻擊來(lái)探測(cè)、攻擊和濫用您的系統(tǒng)資源。您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動(dòng)。
6. 思考邊界安全:緩解當(dāng)今的網(wǎng)絡(luò)和應(yīng)用攻擊不能再依賴傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。IPS解決方案和DoS攻擊緩解解決方案依靠統(tǒng)計(jì)原理,只是針對(duì)已知威脅起作用的單點(diǎn)安全解決方案,而對(duì)付新興的網(wǎng)絡(luò)威脅則需要采用將傳統(tǒng)安全工具與網(wǎng)絡(luò)行為分析工具相結(jié)合的整體安全解決方案。
針對(duì)中小零售商的黃金條律
1. 維護(hù)實(shí)時(shí)更新系統(tǒng):包括現(xiàn)行所有的軟件補(bǔ)丁和更新。較小的商業(yè)機(jī)構(gòu)需要在其系統(tǒng)中安裝通用軟件的最新版本。
2. 部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具:如上所述,在一個(gè)集中平臺(tái)關(guān)聯(lián)所有安全工具的事件日志。包含攻擊者會(huì)使用多重工具的混合攻擊來(lái)探測(cè)、攻擊和濫用您的系統(tǒng)資源,您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動(dòng)。
3. 分隔內(nèi)部和外部的應(yīng)用服務(wù)器:電子商務(wù)應(yīng)用是安全防護(hù)的重中之重。千萬(wàn)不要將郵件服務(wù)器與其部署在同一網(wǎng)段,因?yàn)猷]件服務(wù)器會(huì)為黑客提供另一條訪問(wèn)和控制內(nèi)部數(shù)據(jù)的渠道。
4. 教育客戶:對(duì)于老客戶,企業(yè)向其確保所有的宣傳材料將從其所熟悉的郵件地址發(fā)送,而且企業(yè)須在其發(fā)送物中注明公司絕對(duì)不會(huì)以任何形式要求用戶提供個(gè)人信息。
5. 遵從法規(guī)性也不能確保長(zhǎng)久的安全:法規(guī)性遵從也許能幫助商家免遭某次安全攻擊的侵害,但是我們主要目標(biāo)是保護(hù)企業(yè)不被下一波攻擊擊潰。采用遵從工具來(lái)創(chuàng)建最佳實(shí)踐模式,幫助企業(yè)保持長(zhǎng)期的安全性。
針對(duì)購(gòu)物者的黃金條律
1. 多一些理智:如果單筆交易看上去過(guò)于優(yōu)惠而讓人難以置信,那么它絕對(duì)有問(wèn)題。
2. 多一些懷疑:收到一封促銷郵件后,別著急去點(diǎn)擊其中的鏈接。上網(wǎng)查看該商家的網(wǎng)站并且確認(rèn)促銷商品和活動(dòng)真實(shí)存在。如果沒(méi)有查詢到,那么這封郵件就有可能是個(gè)騙局。
3. 多一些謹(jǐn)慎:任何時(shí)候都不要提供您的賬戶證書,除非您正在通過(guò)它直接訪問(wèn)某賬戶。現(xiàn)今的釣魚郵件較以往看起來(lái)更權(quán)威或者正兒八經(jīng)的樣子,無(wú)論從商標(biāo)還是樣式都和商家發(fā)來(lái)的正常郵件無(wú)二,但是真正的商家從不會(huì)要求您提供個(gè)人信息。
