关键词:计算机 网络系统 安全集成
一、企业的网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面: 信息和网络的安全防护能力差; 网络安全人才缺乏; 企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
1、计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
2、非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3、木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
1、更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用.
2、关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后.首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订.管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器.这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP.
3、防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有: 所有从内到外和从外到内的数据包都必须经过防火墙; 只有被安全策略允许的数据包才能通过防火墙; 服务器本身不能直接访问互联网; 防火墙本身要有预防入侵的功能; 默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
4、VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编辑,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
5、身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有: 静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 身份认证系统主要有2 种应用模式: 一是基于冲击、响应的认证模式; 二是基于PKI 体系的认证模式。
6、制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划.以防意外事故使网络系统遭受破坏.该应急计划应包括紧急行动方案及软、硬件系统恢复方案等.绝对的安全是没有的,安全标准的追求是以资金和方便为代价的.我们应随时根据网络系统的运行环境而采用相应的安全保护策略.通过对计算机网络系统安全问题的充分认识.以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题.
结语
如何确保计算机网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然,也是企业关心的重点。一个全方位的安全方案是非常难以实现的,只有在企业领导的支持下,在技术人员和管理人员的努力下,结合企业的实际情况,制定出相应的解决措施,才是符合本企业的安全方案。本文主要讨论了计算机网络的安全的几种不同的威胁,给出了相应安全策略以及相应的安全产品,提出了计算机网络系统实施建设的基本方案。
参考文献
关键词: 网络信息安全; 计算机; APT; 安全防御; 恶意威胁
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1 概 述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2 信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1 高级持续威胁攻击与防护技术
高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1 基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2 基于异常的流量检测技术
传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3 全包捕获与分析技术
由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2 漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1 基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2 基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3 基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4 网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。
4.1 策略选取
4.1.1 策略A
图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;
(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;
(3) 禁止H2和H3访问Domino服务器Host5(H5);
(4) H5允许访问DMZ的H2和H3及IDC区的H4。
4.2 效果分析
通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5 结 语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
[4] 吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.
现实中,一方面是个人和企业对网络依赖的广度和深度都在增加,而另一方面则是网络威胁越来越强大。今天,网络安全没有幸存者,或许,协同才是出路。
美国电影《复仇者联盟》讲的是钢铁侠、美国队长、雷神托尔、绿巨人、黑寡妇和鹰眼侠六位超级英雄集结在一起,组成了复仇者联盟,携手应对邪神的故事。从独自拯救世界的超级英雄,到“组团”对抗邪恶的“英雄联盟”,协同是与以往最大的不同。
现实中,一方面是个人和企业对网络的依赖的广度和深度都在增加,而另一方面是网络威胁越来越强大。
在2016中国互联网安全大会(以下简称“ISC2016”)上,360公司董事长周鸿t在主题演讲中提到:“网络安全是当今世界、国家、企业和个人都需要面对的问题,应对网络安全威胁是大家共同的责任。在今天的安全威胁环境下,网络安全没有幸存者,协同是网络安全的出路。”
周鸿t所说的“协同”是指政府与企业的协同、企业与企业的协同,以及安全产品之间的协同。
复仇者联盟之
――数据协同
网络攻击者为了隐藏身份通常使用服务器作为跳板。这个跳板的更多数据,可能在另外一个国家,也可能在另外一个企业机构,没有数据协同,对攻击溯源和打击将无法彻底进行。此外,很多网络攻击如果不能对它进行深入的同源性分析,很可能会被忽略掉,这种分析涉及同源的样本、攻击方法、IP、URL、邮件、电话号码、联络地址以及人和机构。
“在网络威胁越来越大的今天,从政府到企业,都表现出了强烈联动的意愿,单一的政府部门和企业如果不进行数据共享和情报共享,几乎无法更好地解决现在的网络安全问题。”齐向东说。
其实,早在去年,360公司就向全球开放了威胁情报中心。据360总裁齐向东介绍,在过去的12个月里,通过对威胁情报的大数据分析,共计发现并跟踪了72个安全事件,其中,APT攻击55个,已经梳理成报告的达29个,公开6个。
对于威胁情报,Gartner给出的定义是:“威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的,基于证据知识的,包含情境、机制、影响和应对建议的,用于帮助解决威胁或危害进行决策的知识。”
通俗来讲,就是提前知道黑客可能进攻的信息。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等,这些就都属于典型的安全威胁情报。
前不久,360发现并溯源了一个黑客组织对中国一些政府机构的APT攻击事件。这个事件的追踪从一封含有一种漏洞攻击木马的邮件开始,表面上看这只是一种简单的威胁,在没有情报时当做一般病毒杀了就行。但是,当分析人员将这个木马样本通过360威胁情报中心的大数据平台进行样本同源分析后,发现了13个相关样本;又通过360多维线索分析平台,对C&C服务器及相关数据分析之后,从一批可疑的IP、URL、Email又关联发现了69个不同种类的同源样本,以及基于即时通讯工具和社交网络的3种攻击方法,新增受害人131个。再利用受害人的更多数据分析,一个黑客组织针对中国政府特定机构及相关人员的APT攻击全貌就还原了。这个溯源的过程就是典型的数据协同的结果。可以看出,数据的协同和共享,是数据驱动安全体系里最关键的基石。
复仇者联盟之
――产品协同
随着IT环境的不断变化,企业IT所面临的安全威胁也产生了更多新的变化,未知威胁、零日漏洞、APT攻击接踵而至。但是,企业已经广泛部署的传统防火墙产品并没有完全跟上黑客的脚步,受限于自身视野和技术实力,只能按照内置的固有安全机制进行保护,高级未知威胁仍然难以被有效发现和防御。
今天的信息安全已经不再是孤岛式防御所能应对的,Gartner指出,现有的拦截和阻止功能不足以抵挡有目的的高级攻击,传统防火墙产品也不具备检测高级威胁所需的持续可见性,要想对抗高级威胁,更好的发现、检测和响应功能都是必须的。
无论是沙箱还是防火墙,每种技术只能解决有限的问题,面对日益复杂的网络环境,大数据、云计算、人工智能等技术,以及防火墙、终端安全等各类安全产品整合协同起来,才有可能让数据和能力发挥合力。
在ISC2016期间,360网神宣布推出基于网络检测与响应模型(NDR)的360新一代智慧防火墙。这款产品最重要的创新就是,可以与其他安全产品以及云端实现真正的协同联动,联合处置安全威胁。它能够与APT防护系统、终端安全管理系统以及云端沙箱深度联动,形成从终端、经边界、到云端的一体化监测、分析、响应、溯源的立体智能安全防御,通过云端威胁情报+本地大数据的关联分析帮助企业用户精准发现威胁。
随着云计算价值的被认可,国内越来越多政企客户开始将重要业务转移到云端,云安全成为云计算产业发展中的关键因素。安全专家认为,云安全不是零和博弈,安全威胁是云计算产业链中所有相关方的敌人,其复杂性超出了任何一家企业的掌控能力,只有合作才能共赢。
企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的现状来看,Intranet是得到广泛认同的企业网络模式。Intranet并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。
现在,Internet的发展已使世界成为电子信息的地球村,人们不在有地理空间上的交流限制。随着网上商业活动的激增,Intranet也应运而生。企业都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。我国网络安全存在诸多问题:首先是防御意识的落后。对网络安全的防护,意识和观念须先行。但现实中无论是网民还是从事电子商务的企业,网络安全的维护意识薄弱得让人痛心。据调查:在我国电脑应用单位80%未设立相应的安全管理组织,58%无严格的调存管理制度,59%无应急措施,48%无事故发生后的系统恢复方案。因此,我们应该在积极进行企业网建设的同时,就应借鉴国外企业网建设和管理的经验,建设完善网络安全体系,将企业网中可能出现的危险和漏洞降到最低。应该提供7*24小时的网络安全及VPN网络业务运营。
安全威胁的种类和破坏力在与时俱进,这是安全领域最令人不安的事实之一。与安全隐患作斗争不是一项简单的任务。过去,企业IT团队使用多种工具的组合解决各种安全问题。现在这种方法已因成本过高和无法扩展而变得不合实宜,而非集成工具的维护工作过于复杂正是造成上述缺陷的首要原因。因此,IT团队开始将目光转向具有高可靠性的集成安全解决方案。
安全管理的现状促使越来越多的中小型企业(SME)转而青睐统一威胁管理(Unified Threat Management/UTM)相关解决方案。在大型组织机构的数据中心及隔离区(DMZ)等数据集聚点,巨大数据流量的压力和用户对高速度的追求使专门的威胁管理解决方案成为必需。
就目前而言,无论是少林金钟罩,还是武当铁布衫,需要双管齐下:将统一威胁管理解决方案运用于分支机构,同时将专门的高性能威胁管理设备运用于核心中枢部门,这种“两手都要硬”的策略不失为分布式企业的最佳选择。
为统一威胁管理解决方案辩明真身
将高性能放在首位的客户可能会选择单一功能的安全产品;但是,多种专业设备的部署和管理将会耗费大量成本。除支付购买多种产品单元的初期投资外,IT团队可能还要花费精力应对五花八门的用户界面与管理工具,而统一威胁管理解决方案则能够在大多数情况下为用户提供性能、成本与可管理性之间的最佳结合点。不过我们应该注意的是,并不是出门去随便购买一套统一威胁管理解决方案就万事大吉。各家厂商生产的统一威胁管理解决方案大相径庭,因此我们强烈建议客户,在为基础设施选定具体的安全解决方案之前,首先要仔细比较各种产品在性能和技术规范上的不同之处。
产品功能的质量是否统一
市场上出现的各种统一威胁管理解决方案设备可能并不具备统一的强大功能。厂商可能只是将来自不同开发者和第三方供应商的防病毒软件、防火墙和网页过滤功能集合在一起,作为整套统一威胁管理解决方案出售。受低成本或劣质产品设计的影响,具体的统一威胁管理解决方案产品可能会含有设计不合理的技术,进而导致最终产品的质量良莠不齐,使性能的可靠性受到损害。
考虑到统一威胁管理解决方案在保护企业数据安全方面扮演的关键角色,我们建议IT经理人选择顶级质量的统一威胁管理解决方案,以使企业享受到市场领先供应商提供的先进功能,从而确保针对安全威胁的有效防御。
是否拥有全面的安全保护功能
选择优秀的统一威胁管理解决方案,意味着客户将坐拥整套安全保护功能,包括互为补充的主动反应机制与被动反应机制,以及具有可视性和可控制性特点的网络层机制。
真正的统一威胁管理解决方案不仅能够满足上述全部要求,还要具备以下功能:虚拟专用网络(VPN)、多层防火墙、多方位侵入监测与预防机制、多协议防病毒软件、反间谍软件(anti-spyware)、反网络钓鱼软件(anti-phishing)、反垃圾邮件(anti-spam)以及网页过滤等。
是否应用虚拟技术
虚拟功能是强大的统一威胁管理解决方案所应具备的重要特点之一。统一威胁管理解决方案采用的虚拟技术允许管理员将不同的“虚拟”统一威胁管理解决方案部署到不同的网络分区或用户组,从而利用统一界面对整个系统进行管理。这一重要功能帮助管理员应用不同种类的接入请求,根据不同的安全策略以简易而安全的方式划分用户组和数据通信种类。虚拟技术的本质在于模拟网络中拥有多部设备,而无需真正部署设备,从而节约了管理成本与部署成本所需的人力物力。
统一威胁管理解决方案采用的部分虚拟技术包括:
-安全区域(Security Zones),即分布在逻辑区中的网络逻辑分区。安全区域可分配给物理接口,也将整部设备分配给虚拟系统。在后一种设置中,多个安全区域共享同一个物理接口,从而增加接口密度,降低设备成本。
-虚拟系统,即分区附加层次,能够创建多个独立的虚拟环境。各个虚拟环境都拥有自己的用户、防火墙、VPN、安全策略和管理接口。虚拟系统允许管理员迅速将网络划分为由单一设备管理的多个安全环境,从而帮助网络操作员创建多用户解决方案,同时减少防火墙数目,降低管理压力。这种方法能够有效地降低成本与运营开支。
-虚拟路由器。此功能帮助管理员对单一设备进行分区,使其起到多部物理路由器的作用。各个虚拟路由器可对各自的域提供支持,确保路由信息不与建立在其他虚拟路由器上的域进行交换,从而避免了通信混乱。
-虚拟局域网(VLAN)。即子网络的逻辑(而非物理)分支,帮助管理员确认通信并对其进行细分。安全策略可以具体规定由各个虚拟局域网(VLAN)至安全区域、虚拟系统或物理接口的通信路由,从而帮助管理员确认并组织多个部门之间的通信,并确定哪些资源可被访问。
是否具备网页过滤方法的选择
市场上的大多数统一威胁管理解决方案都具有网页过滤功能。IT经理人必需对哪一种网页过滤功能最适合企业需要有清醒的认识。
某些统一威胁管理解决方案拥有外部网页过滤功能,能够使通信流量由设备转而流向专用的网页过滤服务器,以执行网页过滤策略。还有一些统一威胁管理解决方案具备集成式网页过滤功能,能够帮助企业建立自己的网页访问策略,通过一个不断更新的数据库有选择地阻止对某些网站的访问。
无论选择哪一种过滤方法,统一威胁管理解决方案都应能够使企业组织将所选方法迅速付诸实施。此外,统一威胁管理解决方案还应帮助IT经理人使用黑名单、白名单及其他各种预定义及用户定义策略定制网页过滤解决方案。
专门的威胁管理解决方案
许多拥有大型数据中心的大企业或公司需要部署额外的威胁管理工具,如防火墙、防病毒网关、防入侵系统等,以满足对系统大容量和高性能的需要。
随着社交网络逐渐成为大多数用户生活的一部分,也被越来越多地用于企业通信,这使IT安全人员很难阻止企业内对社交网络的使用。然而,这些社交网络确实可能对企业的业务造成严重的安全威胁。那么对于安全人员而言,如何在允许用户使用社交网络和阻止敏感数据通过社交网络泄漏(或者恶意软件的蔓延)之间找到平衡呢?
来自社交网络的安全威胁不容忽视,在最近几个月里,我们看到越来越多的攻击开始瞄准那些主要的社交网络,如MySpace、Facebook和LinkedIn等,并且这些社交网络通常在工作时间也是可以被访问的。从2005年年底攻击MySpace的Samy蠕虫病毒到最近袭击Facebook用户的Koobface变种病毒,攻击者们已经发现社交网络是攻入企业内部核心网络的很好的后门。
对于社交网络的无限制访问而造成的威胁中,恶意软件并不是唯一的威胁。Sophos在2月份公布的调查结果显示,62.8%的企业关注的问题是,员工们在这些社交网络上共享了太多信息,而66%的企业认为,员工使用社交网络会给企业带来严重威胁。
虽然企业都清楚社交网络带来的危害,但是也只有大约半数的企业表示他们确实有限制用户访问社交网络的时间,主要通过政策和用户教育来提高用户的行为安全性。
但是社交网络政策和用户教育并不总是能够避免用户在不知情的情况下(有时是知情的情况下)进行错误的操作。举例来说,就在上个月,一名夏威夷女子就因为非法获取病人的医疗记录并在MySpace张贴该病人死于艾滋病的消息而被判处一年监禁。在这种旗下,即使是HIPAA法规都没能阻止用户违法规则。
随着社交网络受欢迎程度的不断增长,企业可能很难阻止对社交网络的访问。如果是这样的话,可以强制阻止用户访问,但是要提防用户找到绕过企业阻止机制的方法。他们可能会选择更加简单的方式,通过手机应用程序,或者使用基于网络的服务器(如即将在下周的Black Hat上公布的基于浏览器的darknet)来访问社交网络。不管是哪种方式,对于企业而言,都是双输的局面,因为用户在试图绕过企业阻止机制时等于是浪费工作事件,并且同时可能向企业引入新的漏洞或者病毒。
如果你没有选择阻止社交网络,你可能需要采取更加被动和深入的方法。可以将对社交网络访问的时间限制到某些时间段,如午饭时间等,这也正是七月份Sophos安全威胁报告所建议的方式。其他选择包括对所有web流量进行扫描以查找恶意软件或者病毒,以及使用数据泄漏防御(DLP)解决方案来检测所有内容。
第一种方式,限制访问时间,可能可以有效的减少社交网络占据员工工作时间的影响,但是也可能让员工想尽办法去绕过阻止机制,从而浪费更多时间。
由于来自社交网络的威胁存在很多形式,链接到其他网站的链接,直接的邮件消息,钓鱼电子邮件等,所有的web流量都应该进行恶意内容扫描,而不只是对来自社交网站的内容进行扫描。对于第二层保护,DLP可以用于帮助防止员工在不适当的位置张贴敏感信息,虽然DLP不能够阻止某些内部威胁,但是它可以很有效的阻止和检测意外的病毒感染和数据泄漏。
1、硬件故障
在企业的信息化系统中,计算机作为一种系统的辅助工具,其由很多部件组成,这些部件之间,分工协作,紧密相连,构成了整个信息化系统。因此,如果计算机出现故障,进而可能导致整个系统无法正常工作。计算机中部件的损坏,大多数都是网络连接不当和线路的物理损坏引起的,这些问题都具有不可预知性。计算机的硬件问题,还包括企业内部计算机网络系统中的各个终端的机房的问题。机房作为企业的信息化系统的重要组成部分,掌握着企业的信息流动和信息的安全,如果机房中计算机出现了故障和损伤,就会导致企业信息化系统的安全受到巨大威胁,甚至会导致信息化系统的崩溃。因此,机房的安全管理和维护,是计算机硬件方面一个重要的问题。
2、外部威胁
所谓的外部威胁,是指来自外部的恶意入侵和攻击。最为常见的外部威胁是黑客的入侵和计算机病毒。在企业的信息化系统中,各个信息单元都是相互信任的,系统的防御能力较为薄弱,一旦有黑客入侵或者感染计算机病毒,就可能导致整个系统的故障。这是由于防御意识的薄弱和防御能力低下所造成的风险。此外,由于系统设计本身有可能存在很多的漏洞,其中的应用程序也会有很多的漏洞。此外,当今黑客攻击的方式和方法已经越来越先进,也呈现出多样化的形式,越来越强大的黑客攻击技术让计算机防御变得更加艰难。这些来自外部的威胁是影响计算机网络安全的最为重大的因素。
二、计算机网络安全的应对措施
要应对计算机网络安全方面的威胁,可以从两个方面来采取措施:技术方面和管理方面。从技术方面去应对计算机网络安全威胁,可以细分为几个方向:一个是设置防火墙;另一个是设置相关的检测手段;第三个可以从物理隔离方面阻断病毒的传播。设置防火墙,是企业信息化系统中防御外来威胁最为常用的手段,防火墙可以对外部访问的尺度进行控制,对那些不在规定范围或者异常的访问者进行阻挡,只允许在规定范围之内的或者正常的访问者对相关数据进行访问。这样可以让那些恶意访问者被阻挡在系统之外。另外,在企业的信息化系统中一些重要部位设置一些检测工具,也可以有效抵御外部威胁。一旦这些检测工具发现有异常行为,它们就会发出警报,这种检测工具不但能够防御外部的威胁,对于来自系统内部的攻击也能够进行检测和防御,弥补了防火墙功能上的不足,提升了企业信息化系统的防御能力。另外,使用物理隔离手段也能够阻断黑客攻击和病毒入侵。物理隔离手段,是将企业内网和进行隔离,这种手段能够完全阻断内网和外网之间的信息传递,其防御能力比防火墙和检查工具要强,当然它的弱点也非常明显,就是在阻断黑客攻击和病毒传播的同时,也让内网无法与外网进行有效地信息传递。物理隔离方法要将系统中不需要使用的端口进行关闭,同时,使用系统杀毒软件对系统进行扫描,对病毒进行查杀,对于系统中存在的漏洞进行修补,实时保护系统的安全,保证系统能够正常运行。对于接入系统的移动设备,如果这些移动设备没有通过安全认证,将会对这些设备进行严密监控,一旦设备中的某些应用程序行为异常,就会对这些设备进行隔离,从而从外到内全面保护系统的安全。除以上提到的一些技术方面的防御手段之外,还可以研发安全级别更高的信息化系统。要在人机交互界面更加友好、操作更加人性化和安全性能更高等方面下功夫,做到信息化系统的硬件和软件的完美结合。要有效抵御计算机网络安全威胁,仅从技术方面着手是不够的,还需要在管理方面做文章。要加强计算机网络安全的管理,一方面要完善相关的法律法规;另一方面也要规范各种操作,加强人员操作技能的培训。要建立一个安全管理的机构,建立健全各项法律法规,同时加强执法,对计算机用户进行安全方面的培训和教育,普及与计算机相关的法律知识,让计算机用户接受计算机安全法、犯罪法的教育,提高他们的安全意识和道德意识,防止计算机犯罪行为的发生。此外,还应该对企业信息化系统涉及的相关机房、设备进行有效管理。不但要加强管理人员和操作人员专业技能的培训,还需要建立一套行之有效的管理手段,对机房、设备进行严格管理,保证机房、设备和数据的安全,从而保证整个系统不受损害。
三、计算机网络安全防御体系的建立
要从根本上解决企业信息化系统所面临的网络安全问题,就必须建立一套良好的计算机网络安全防御体系,这个防御体系不能片面强调某一个方面,而是应该站在全局的角度,全面的看待问题,对整个网络系统进行监控,保证整个网络系统的安全。自从全球进入信息化时代以来,企业的信息化也在不断的变革和发展,从企业信息化发展的大趋势来看,建立一套行之有效的计算机网络安全防御体系是必不可少的。企业要实现现代化管理,就必须采用信息化管理系统,因此,必须建立完善的安全防御体系,全面监控整个信息化系统的运作,避免安全隐患的产生。要建立一套切实可行的计算机网络安全防御体系,必须结合企业的实际情况。第一,企业信息化系统中的各个网络单元要做到相互隔离,只有这样,才不会出现一个网络单元感染病毒或者遭受黑客攻击而影响其他网络单元,将安全威胁降到了最低。第二,在建立网络安全防御系统时,要对企业的相关信息设置一个安全等级,对于不同的信息要设置不同的安全等级,机密信息要设置为最高等级,重要信息可以设置为第二高的等级,目的是为了让不同的信息存在不同的使用权限,有效防止信息的泄露。第三,在建立网络安全防御系统时,要将防火墙、检测工具和物理隔离结合使用,全方位的保护系统免受侵害。第四,对于企业内部进行的信息沟通和交流,要建立相关规章制度,不但要对信息流量进行控制,还要对信息传递内容进行监控,保证信息沟通的顺畅和安全。第五,在企业信息化系统中,只有经过授权和认证的访问者和信息,才能在系统中正常的访问和运行。总之,要建立一套安全可靠的企业信息化管理系统来帮助企业进行信息化管理,不但要在软件和硬件方面加强管理,还需建立相关网络安全防御体系,操作方法也应严格按照要求来进行,将内网和外网进行有效隔离,设置相关的权限和安全等级,将先进的网络防御技术引入到体系中来,从而全面提升企业信息化系统的安全等级。
四、结语
随着企业信息化建设的不断发展,电子化的信息系统给企业带来了诸多便利,越来越多的信息通过网络进行高效的传递,与此同时,新的问题也给IT 专家们带来了全新的挑战,即如何构建安全的IT架构,使它们能够在不断演变、日益增多的安全风险中安然无恙。威胁的爆发频率越来越高、攻击手段越来越高明,而且受经济利益驱动的成分越来越大。同时员工和合作伙伴对连接的需求也提升到一个更高的层次,他们需要多点访问,需要无论在办公室或者在家都能够访问他们所需要的数据,而这无疑又加大了潜在威胁的风险面。对 IT 专家而言,快速响应这些威胁是一项长期挑战,这对于保持企业的正常运转至关重要。如果缺乏行之有效的安全策略,组织的职能将消失殆尽,这绝非危言耸听。
那么,究竟如何才能构建真正的安全可靠的IT架构?随着威胁技术的不断发展,当前条件下仅仅利用某一种防御技术已经很难真正抵御威胁,我们需要的是纵深化的、全面的防御,只有构建了综合的、多点的防御,才能使企业信息安全得到保障。本文将向您介绍纵深防御中的几个重要的环节。
通信和团队协作安全
现在,典型的企业工作者都需要进行移动办公和团队协作。他们具有复杂的访问个人、团队、企业和合作伙伴数据的访问需求。工作者需要在本地和远程都能够访问和共享这些数据,有时是在不安全的场所中,而且使用类似 Internet 公共终端这样的设备。即时消息、电子邮件、远程访问和 Internet 访问是关键的业务工具,因此任何服务中断都会给生产效率带来不利影响。但是,部署一种消息传递和协作基础结构又会增加安全需求和安全管理的复杂性。
有四种因素可以威胁消息传递和协作基础结构的安全性,包括:
•恶意软件。现在很多病毒和蠕虫可以通过网页浏览、电子邮件和即时消息迅速感染全球数百万台计算机系统。类似 MyDoom 蠕虫这样的高调攻击 (High profile attack) 导致的停机和病毒清除的开支可以给企业增加数十万美元的成本。事实上,根据 Computer Security Institute 在 2005 年的调查,对于收入不足 1000 万美元的企业,平均每名员工的安全支出是 643 美元。
•垃圾邮件。垃圾电子邮件消耗网络资源,充斥电子邮件收件箱,这让企业不堪重负。仅 MSN Hotmail每天就要处理将近 30 亿封垃圾邮件。来自 IDC 的分析人员估计垃圾邮件流量要占到全部电子邮件流量的 50% ~ 95%。垃圾邮件不仅威胁企业效率,而且还是恶意代码的常用载体。因此,消息传递基础结构就成为企业防御恶意软件的重点。
•未经授权的网络访问。当网络向外部用户开放以进行消息传递和协作时,适用于保护 LAN 数据的安全过程和策略就会失去效用。例如,外部网络使用的脆弱的身份验证可能会危害网络接入点的安全,并允许未经授权的访问。通过 Internet 或无线网络发送的敏感数据如果没有适当地加密,可能会被泄密。此外,因为现在黑客使用更加高级的应用程序层攻击,所以企业必须使用应用程序防火墙,以确保流量在进入内部网络之前得到过滤。
•未经授权的数据访问。企业越来越担心敏感信息通过消息传递和协作架构外泄。根据 Jupiter Research 分析人员的调查,与其他任何安全问题相比,在受到病毒感染后,企业更加频繁地报告电子邮件意外转发和移动设备丢失。
企业必须结合使用多种技术和方法来保护他们的消息传递和协作环境免受内部和外部安全威胁的影响。由于这些威胁使用多种攻击方式,因此企业需要建立多层保护以进行防御。同时这些攻击也在不断发展,它们能够找到新的方法来突破原有防御,因此需要使用多种技术。综上所述,使用多层保护和多种技术形成了微软的纵深防御体系。为了简化安全管理和提高性能,微软同时推荐将该解决方案集成到企业基础结构中。
纵深防御体系
纵深防御体系被认为是一种最佳安全做法。这种方法就是在网络中的多个点使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中,纵深防御体系可以帮助管理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这降低了威胁进入内部网络的可能性。
多层保护
为建立深入的消息传递和协作防御,企业可以在基础结构内的四个点保护网络流量,即网络边缘、服务器、客户端以及信息本身。网络边缘有两个作用:保护访问以及保护网络免受内部和外部攻击。
•保护访问。消息传递和协作防御必须防止未经授权访问网络、应用程序和企业数据的情况。这需要在网关或非军事区 (DMZ) 提供防火墙保护。这层保护可以保护对于内部服务器的访问免受所有恶意访问的影响,包括那些寻求破解和利用消息传递和协作系统和服务的应用程序和网络攻击。
要利用消息传递和协作服务器,黑客首先必须找到这些服务器。因此,企业必须实施一些技术以防止黑客找到基础结构服务器。例如,对于 Microsoft Exchange,很多企业提供通过 Outlook Web Access (OWA) 的远程访问。企业可以在 OWA 服务器和网络边缘之间设置一个安全层,从而消除 OWA 直接访问 Internet 并带来潜在威胁的情况。这一层额外的保护给黑客找到有漏洞的计算机带来了困难,并且提供了一个可以进行用户身份验证和流量扫描的点。
•边缘保护。一般说来,企业可以同时在网络边缘或网关位置应用防病毒和反垃圾邮件保护,以阻止基于 SMTP 的威胁进入内部网络。这一层保护不仅可以阻止病毒和垃圾邮件侵害用户,同时也极大减少了流向电子邮件服务器的总体流量。这意味着带宽和服务器资源现在仅用于关键业务通信。
•服务器保护。安全威胁可以来自网络内部和外部网络,以及通过授权的计算机发起攻击。例如,员工可能无意中将一个受病毒感染的文件从 USB设备复制到一台安全计算机中。因此前端和后端电子邮件服务器都必须提供防病毒保护。而网关保护可以消除大部分威胁,在消息传递和协作服务器中安装防病毒软件则可以提供额外的防御线,并遏制内部事件的威胁,让它们永远不能到达网关。
•客户端保护。尽管不是消息传递和协作基础结构的组成部分,但受危害的客户端可以自由地访问一些安全区域。因此,必须在客户端上设置桌面防病毒、反垃圾邮件和个人防火墙保护。同时需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。
•信息保护。数字信息保护是一项任重而道远的任务。通常,企业使用基于周边的安全方法来保护数字信息。防火墙可以限制对于网络的访问,而访问控制列表 (ACL) 可以限制对于特定数据的访问。此外,企业还可以使用加密和身份验证技术和产品在邮件传送时提供保护,同时帮助确保目标收件人是第一个打开邮件的人。
这些方法可以帮助企业控制对于敏感数据的访问。然而,收件人仍然能够对他们收到的信息自由执行任何操作。在获得访问授权后,访问者要对数据执行任何操作或是将数据发送到哪里都没有任何办法可以控制。基于周边的安全方法不能对员工使用数据的方式以及员工将数据分发到周边外部的方式强制应用企业规则以进行控制,也不能在周边被渗透之后强制应用企业规则。
作为企业整体安全策略的重要组成部分,一个好的信息保护解决方案必须提供控制数据使用和分发的方法,而不是仅提供简单的访问控制。它必须在防火墙后帮助保护敏感的企业信息,并确保数据得到保护而且不能被篡改。
多种技术
除了在整个网络中提供多个防御层之外,纵深防御体系还使用多种技术来揭露和防止安全威胁。它并非依赖于单一技术来防御攻击,从而消除了企业整个安全体系结构中的单点故障。
对于防病毒来说,使用多个供应商的扫描引擎是非常有用的,因为每个引擎都具有一组独特的检测方法。病毒特征库是最常见的检测方法,每个引擎供应商都有自己的一组用于创建特征库的优先顺序和技术。每个企业也都建立了自己的更新的时间表。使用多个引擎可以有效地缩短更新间隔,从而减少新威胁可以利用的总时间段。除了特征库文件之外,防病毒引擎还不同程度地依赖供应商独有的启发式技术或行为阻止技术。使用多个引擎的企业可以更好地保护自己免受新威胁的侵害。例如,如果威胁没有被一个引擎中的特征库文件检测到,它可能很快被另一个引擎中内置的特征库或启发式技术检测到。
其他安全解决方案(例如防火墙和反垃圾邮件)也可以得益于多种安全技术。以防火墙来说,在网络基础结构中的多个点设置不同的安全配置可以提供更好的保护。例如,在网络边缘其配置被设置为决定是否访问,而在 DMZ 或内部网络中,保护特定应用程序的防火墙使用智能过滤配置来进一步控制和消除恶意访问。对于反垃圾邮件来说,不断发展的反垃圾邮件技术很难 100% 准确地判断垃圾邮件。使用特征库和启发式技术组合的方法可以改进检测,而且这两种解决方案可以协同工作以降低错误判断的情况。
与基础结构集成
不管要提供什么保护,安全解决方案都必须可靠和可管理才行。如果 IT 管理员要不断重启崩溃的服务器、重新配置系统或是手动分发更新,那不仅会严重削弱保护,而且还会影响效率增长,这与企业使用安全解决方案的初衷背道而驰。
要确保安全解决方案很好地发挥作用,一个重要的方法就是确保与消息传递和协作基础结构紧密集成。这种集成让安全应用程序可以集中全力提供保护,而不用执行冗余的消息传递应用程序任务。例如,如果防病毒解决方案与本机 Microsoft Windows SMTP 协议栈集成,它就不需要利用端口 25 重定向器,只需执行病毒扫描即可,而不用执行路由功能。
关键词:数据通信网络;维护;网络安全问题
在数据库技术、通信技术和计算机网络技术等信息技术快速发展的趋势下,人们越来越依赖于计算机网络系统来获得相关通信数据,企事业单位开始通过局域网的构建实现信息共享,以便获得丰富多样的通信数据。虽然数据通信网络给人们的生产生活带来了极大的便利,但是其网络安全和网络维护的问题也越来越突出,这就需要做好网络安全工作,制定维护网络安全的措施,保证数据通信网络的可靠性、稳定性及安全性。
一、维护数据通信网络来保障网络安全的意义
首先,在稳定性方面,如果数据通信网络缺乏良好的稳定性,在网络内部传输消息时则可能会出现丢失或延误等问题,继而造成部分企业决策的延误,使企业遭受严重的损失。其次,在安全性方面,有些不法分子借助数据通信网络的漏洞,对某企业的局域网进行恶意攻击,从而导致企业遭受严重的经济损失。要想保证网络的安全,必须要从数据通信网络的层面出发,制定切实可行的维护措施,提高数据通信网络的安全性与可靠性,对网络漏洞进行及时修复,这样才能降低网络漏洞出现几率,提高网络的可靠性与安全性,更好地保障用户的信息与财产安全。
二、维护数据通信网络来保证网络安全的路径
要想通过数据通信网络的维护来保障网络安全,必须要做到如下几点:第一,做好网络安全性的评估工作。构建数据通信网络的主要目的就是为企业或单位内部创造良好的平台,便于进行网络通信和数据共享,而做好网络安全性评估工作是保证该平台安全性的重要举措。在评估网络安全性的过程中,必须要详细检查局域性的数据通信网络,对网络内部的安全系数与安全威胁进行评价,科学制定后续的维护工作。当然评估工作需由专业评估维护人员实施,对数据通信网络各个方面的软件和硬件性能数据进行合理分析,及时发现可能存在的威胁,在此基础上全面评价该网络。第二,认真分析网络可能存在的威胁或漏洞。评估某一局域网的安全性之后,如果发现其安全系数较低,则表明该网络可能存在安全威胁或网络漏洞,必须要进行详细的分析和研究,针对硬件设备、软件设备和网络数据信息等进行分析。首先,相关人员应该认真检要的数据信息,对其是否存在被入侵的问题进行分析,如果发现存在则要及时提高网络安全的等级,如对更高一级的访问权限进行设置、细化限制访问IP等[2]。其次,相关人员需要科学分析与细致检查网络内使用的硬件和软件设备,对其是否存在一些干扰信息或隐藏的病毒信息等进行检查,做好设备性能评估工作。可以说,只有通过严格分析网络内部的系统,才能具体准确的找到安全漏洞或网络威胁,合理维护数据通信网络,促进网络安全性的提高。第三,及时消除网络威胁或漏洞。相关人员发现网络漏洞或安全威胁之后,不仅要制定针对性强的消除措施,还需要进一步提高整个网络的安全性。通常在消除网络安全威胁或漏洞时,可以利用服务器对网络数据进行分析,查找出具体的漏洞,在此基础上对其进行修补;也可以通过有效的杀毒软件防御和消除一些病毒攻击,或者是构建防火墙,增强病毒防御的可靠性。例如:在网络外接口处,对防火墙控制网络层进行利用,以便鉴别穿越、更改限制防火墙的数据流,维护网络的安全,避免网络中不安全因素的进一步扩展而威胁到局域网内部的安全。
结束语
随着信息网络技术的不断发展,数据通信网络的应用越来越广泛,为人们的生产生活带来了极大的便利,但在享受这种便利的同时也要正视网络安全问题,科学维护数据通信网络,增强网络安全意识,对网络安全常识加以掌握。这样才能保证数据通信网络的稳定性与安全性,及时消除网络威胁或安全漏洞,保障数据信息、通信、集体和个人财产的安全。
参考文献
[1]杨华.数据通信网络维护与网络安全问题的探讨[J].通讯世界,2016,03:80.
