网络安全整体解决方案范文

时间:2023-12-20 17:57:14

导语:如何才能写好一篇网络安全整体解决方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全整体解决方案

篇1

关键词:电子政务;信息安全; OA ERP

1.背景

随着电子政府的飞速发展,在带来办公便利的同事,也使政务信息面临前所未有的网络信息安全的威胁。电子政务系统一旦发生信息被窃取,网络瘫痪,将瘫痪政府职能的履行,对政府职能部门以及社会公众产生严重的危害。

2.系统安全现状

根据省电子政务内外网的建设目标和建设原则,充分利用现有网络资源,充分整合市政府原有的办公资源网,公务外网, 将原办公系统整合到统一的办公业务资源平台上。将办公业务资源网与公务外网、互联网实施物理隔离,公务外网与国际互联网实施逻辑隔离。

电子政务的网络平台,承载多个业务单位系统数据传输,核心交换区应具有良好的安全可控性,实现各业务网络的安全控制。由于安全防护为整个网络提供NET、防火墙、VPN、IDS、上网行为管理、防病毒、防垃圾邮件等功能,因此,政府建立办公业务资源网的工程虽是非涉密网,但安全保密仍然是工程建设的重点内容。存在的问题如下图:

图2.1

(1)缺乏统一的访问控制平台,各系统分别管理所属的系统资源,随着用户数增加,权限管理愈发复杂,系统安全难以得到充分保障;

(2)缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为;

(3)缺乏统一的权限管理,各应用系统有一套独立的授权管理,随着用户数据量的增多,角色定义的日益复杂,用户授权的任务越来越重;

(4)缺乏统一内部安全规范。为了保证生产、办公系统的稳定运行,总部及各部门制定了大量的安全管理规定,这些管理规定的执行和落实与标准的制定初衷存在一定距离。

3.网络与信息安全平台设计方案

3.1设计思路

信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念,即信息保障的WPDRR模型。

3.2 安全体系设计方案

综合安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。目前,政府网络中心安全设计主要包括:信息安全基础设施和网络安全防护体系的建设。

3.3.1信息安全基础设施设计方案

信息安全基础设施总体设计方案架构如下图:

图3.1 信息安全基础设施设计方案

基于PKI/PMI的信任体系和授权体系提供了基本PKI数字证书认证机制的试题身份鉴别服务,建立全系统范围一致的新人基准,为整个政府信息化提供支撑。

网络病毒防治服务体系采取单机防病毒和网络防病毒两类相结合的形式来实施。网络防病毒用来检测网络各节点病毒入侵情况,保护网络操作系统不受病毒破坏。作为网络防病毒的补充,在终端部署单机反病毒软件,实现动态防御与静态杀毒相结合,有效防止病毒入侵。

边界访问采取防火墙和网闸来实施。网闸可以切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。可以根据需求采取不同的方案。

3.3.2网络安全防护体系设计方案

图3.2 网络安全防护体系设计方案

由于网络是承载各种应用系统的载体,因而网络系统的安全是十分重要的,必须从访问控制、入侵检测、安全扫描、安全审计、VPN等方面来进行网络安全设计。

在应用层,根据网络的业务和服务,采用身份认证技术、防病毒技术、网站监控与恢复系统以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全。

在应用系统的开发过程中,要充分考虑到系统安全,采用先进的身份认证和加密技术,为整个系统提供一套完整的安全身份认证机制,以确保每个用户在合法的授权范围内对系统进行相应的操作。

3.3.3 灾难备份系统设计方案

灾难备份是为在生产中心现场整体发生瘫痪故障时,备份中心以适当方式接管工作,从而保证业务连续性的一种解决方案

备份中心具备与主中心相似的网络环境,例如光纤,E3/T3,ATM,确保数据的实时备份;具备日常维护条件;与主中心相距足够安全的距离。

当灾难情况发生,可以立即在备份中心的备份服务器上重新启动主中心应用系统,依靠实时备份数据恢复主中心业务。

4.网络架构

针对办公业务资源网和公务外网既要相互隔离又有数据交互的特点,在两网之间部署网闸;为了分别保证两网的安全,在核心交换区分别进行防火墙的部署,在核心交换区和应用服务器区分别部署IDS;建立智能安全管理中心,在办公业务资源、公务外网部署流量检测系统,于公务外网设置流量清洗系统,抗DDOS攻击。在系统安全方面部署防病毒系统,另外公务外网部署了Web应用防火墙、网页防篡改系统。通过安全集成在办公业务资源、公务外网各部署一套网络管理平台系统和安全管理平台系统。为防止外来终端接入对内部网络安全的影响,将引入终端准入产品。

5.电子政务公务外网安全设计总结

综上所述,根据市政府网络中心功能需求,我们在网络中心建立入侵监测系统、防火墙系统、防病毒系统、内网管理系统。在通过一系列技术手段对电子政务网络防护的同事,加强了安全管理手段。实现技术和行政双重方式来维护整个系统的安全,在通过对网络使用人员、管理人员进行信息安全知识培训,有效的发挥了网络安全防护效果,达到了放牧目的。

参考文献:

[1]龚俭.计算机网络安全导论[M].东南大学出版社.     

[2]闫宏生,等.计算机网络安全与防护[M].电子工业出版社.

篇2

其实全球都有同样的趋势,“2005年FBI计算机犯罪调查”指出,在美国接受调查的公司或个人,有87%至少发生一次安全事故,而半数以上发生过四次以上事故。为什么企业会产生这样的印象?赛门铁克中国区技术经理郭训平日前在赛门铁克全面安全威胁推介会上表示:“大多数企业的信息安全机制仍然不堪一击。”

实际分析企业的安全投入就会发现,虽然投入费用在不断增加,但是,来自Ernst && Young 的“2005年全球信息安全调查”显示,企业将其安全预算的50%用于日常操作和事故响应,仅将17%的预算用于完成更关键的战略项目。这就意味着,大多数企业只是采用被动的反应性防御措施。但实际上,企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。为此,赛门铁克提出了全面威胁管理解决方案,并在中国开始大力推广。那么合理的安全配置应该是什么样的呢?赛门铁克认为,企业需要的是“随需应变”的整体化安全方案。

威胁可以提前防御

多数企业都在疲于应对已经发生的安全事件,郭训平表示:“其实应用整体安全理念,这些是可以提前预防的。”

整体安全方案的基本就是应该具有较高的主动性,这体现了在未明确威胁类型的情况下阻止威胁的能力――不仅可以防御已知攻击,更重要的是,防御未知攻击,预测潜在威胁。由于能够提供额外的防御级别,因此各个企业可以获得宝贵的时间,通过更有序的方式对漏洞进行补救。这对于面临严重风险的银行、电信、网站等企业尤为重要。

其次,整体安全方案还必须重视的一点,就是应全面覆盖计算环境(多层),而不是仅仅针对互联网边界。郭训平特别谈到,企业既要保护免遭外部威胁,又要看到内部的隐患,要做到既能够防御从内部发起的一定数量的威胁,又能够防御以物理方式绕过边界控制甚至突破边界的安全威胁。除边界之外,防御范围最好包括整个内部网络、与远程办公室的网络连接、最终用户的工作站以及重要服务器。此外,整体化安全解决方案还应易于部署和操作,与不干扰合法访问和关键业务信息可用性的需求进行平衡,并能够适应企业随时间推移而提出的不断变化的需求。

如何能够随需应变

对于不少用户而言,建立一个“随需应变”的整体化安全解决方案似乎无从入手。赛门铁克针对这个难以驾驭的系统,推出了全面威胁管理方案,可以层层部署,展现清晰脉络。

篇3

“在这种情况下,数据中心的安全就成为其能否正常提供高效、可用服务的关键。”在接受本报记者专访时,山石网科新技术副总裁王钟认为,传统的数据中心安全解决防护思路难以应对云时代数据中心的发展,“我们需要摆脱以设备为核心的安全策略,从基础架构层面做起,提供整体的解决方案”。

云时代数据中心多重挑战

在云时代,数据中心主要面临两个维度上的安全,一是传统数据中心边界,二是数据中心内部和跨越不同地域的多个数据中心之间的安全。

“云数据中心业务和技术的动态变化和复杂性,给云数据中心的网络安全带来了新挑战。”王钟在接受本报记者专访时表示,挑战源于“服务器和网络的虚拟化、软件定义网络(SDN)和BYOD(Bring Your Own Device,员工携带自己的设备办公)”。

Gartner认为,2012年虚拟化技术已达到了50%的普及率。服务器虚拟化的好处显而易见,但是别忘记了,服务器虚拟化并非完美无瑕。惠普信息安全解决方案技术服务事业部经理陈颢明表示:“以前数据中心的一台物理机只支持一个操作系统,但现在一个刀片可能支持25个操作系统,这就意味着我们原本设定好的安全域的规则被打乱,不同安全层级的信息可能在同一台虚拟机上,造成的后果是权限级别低的用户有可能访问到更高权限级别才能访问的数据,并且带来安全风险。”

从虚拟化技术发展的角度来看,虚拟化数据中心多租户环境的细粒度的管理,以及对内容、应用、身份认证的的安全应对措施,是数据中心安全的关键性问题。

“大多数的识别和安全控制措施基于固定的位置、静态网络或者固定IP,难以应付虚拟机迁移带来的安全问题。”王钟认为,“虚拟化环境的动态特性某种程度上意味着新的安全威胁和漏洞。”

同样地,网络虚拟化将网络服务和物理网络设备分离,网络的部署方式也发生了改变——从设备的手工单独配置方式变为可编程的自动部署,同时网络也可以按需而动。而传统的安全解决方案基于固定物理网络设备的安全技术,面临着动态变化的网络虚拟化的挑战。

与网络虚拟化相似的是,SDN将网络控制与网络的物理拓扑分开。“当网络变成可编程实现的时候,网络安全该如何实现?当网络的控制和管理被虚拟化、集中化之后,安全的管理应该如何解决?”王钟认为,SDN带来的安全问题同样不可小觑。

最后,随着IT消费化的趋势,BYOD逐渐被越来越多企业接受,虚拟化的普及推动了这一趋势的发展。然而,企业在享受到降低成本带来的便利时,也不得不提升应对安全风险的成本。这是因为员工携带的个人设备,往往没有部署相应的安全策略,员工在哪里使用这些设备、通过哪种网络接入企业的业务平台,企业的IT人员往往难以准确了解。同时,员工在使用个人设备办公的同时,往往还进行上网和娱乐等行为。这些都给黑客潜入企业网络提供了可乘之机。

由此可见,相比于传统的数据中心安全防护,云计算时代,尤其是虚拟化技术发展带来的变革之后,数据中心的安全防护对安全设备提出了更高的要求,包括高性能并按需扩展、高可靠保障业务连续性、虚拟防火墙实现虚拟机间的隔离和可视化提供业务可管理等。在王钟看来,“安全即服务和资源、开放可定义、冗余高可靠、分布可扩展和绿色节能将是未来数据中心安全解决方案的关键”。

基础架构层面的整体解决方案

在近日举办的2012RSA中国信息安全大会上,作为云计算技术落地实施的最重要环节,数据中心的安全备受关注。众所周知,数据中心的安全设备必不可少,而且随着这些设备的日益增多,以及业务需求的变化,单一网络安全产品已经无法应对用户所面临的挑战,安全厂商应该从数据中心基础架构入手提供全面的解决方案。

“以往,安全厂商跟用户强调的往往是其产品的性能有多强,速度有多快。但事实上,某一款设备的快慢并不能从根本上解决数据中心的整体问题。”王钟向记者介绍,“站在管理者的角度上,我们首先要思考的是数据中心是否可管理。这个管理需要集中的、智能的、开放的,能够跟数据中心的管理融合起来。”在他看来,只有这几个方面都具备的安全管理架构,才是数据中心所需要的。

要满足集中、智能和开放等条件并不容易,山石网科给出的解决方案是提供基础架构层面的完整的网络安全解决方案,包括数据中心防火墙+弹性安全架构+安全监控和管理等三部分内容。在这个架构之上,山石网科推出了云数据中心网络安全解决方案——云之盾。

“云之盾整合了山石网科数据中心防火墙、弹性安全架构与安全监控与管理方案,具有冗余高可靠、分布可扩展、绿色节能等特点,可以帮助用户轻松应对未来云数据中心面临的各种安全挑战。”王钟告诉记者,云之盾是着眼于未来云数据中心的安全建设需求,并考虑未来的发展,以方便及时监控和管理为出发点研发的,能够帮助用户解决虚拟化带来的边界模糊、被保护对象不清晰,以及其他各种安全问题。

篇4

作者:侯炜

我国高速公路近几年来建设里程越来越远,而且随着互联网的迅速发展,高速公路进入了全国联网、信息交互的时代。一方面,这有助于高速公路网络信息的共享和传播。但另一方面,高速公路全面联网也对网络安全提出了新的要求。一旦网络被别有用心的人攻击,轻则导致信息泄露,重则有可能引起大的交通事故。

一、高速公路网络信息安全分析

针对目前高速公路信息网络系统安全的现状,很多专家学者都提出自己的观点和看法,例如:北京交科公路勘察设计研究院盛刚谈到网络安全问题时指出:一方面,不管是在设计还是建设方面,偏重于网络系统的技术和设备方面,缺乏整体系统的思想观念和管理理念;重点放在外部攻击与入侵,忽视内容的监管;重视网络安全的专业性知识,忽视培养技术人员,技术储备力量不足;新产品,技术发展快,信息安全隐患日益凸显,另一方面,针对高速收费、联网监控这方面,1、建设施工方面,相关的运营单位的认识和重视度不够,存在着投资大、效率低、操作难等问题;2、技术方面,未能严格按照国际相关标准规定执行,提出的技术不具备针对性。

网络安全现阶段的外部威胁主要来自黑客活动,包括:木马程序、网络安全漏洞、各种病毒,而内部人员监管手段的疏忽和不规范的操作也是导致网络安全系统受到威胁的原因之一。

在网络信息安全问题上,各省又都有各自的实际问题。例如:江苏高速公路呈现出:网络宽带分配不均、网络大小不同、网络技术复杂、网络资源分散、网络系统陈旧、网络结构多样化的特点。网络信息安全问题已经日趋严重,已成为当前高速网络首要解决的难题,治理措施刻不容缓。

二、网络信息安全的途径分析

基于现阶段高速公路网络信息存在的安全问题,多数学者提出自己的看法,其中盛刚提出需要从多角度、多方位的考虑,指出了全面的安全保障体系,包括:技术体系、运维体系、管理体系和标准体系。技术体系主要从主机安全、物理安全、数据安全、网络安全等多方面考虑的综合建设体系;运维体系分为四个部分:风险管理安全、安全体系的推广落实、安全维护、安全管理的工程建设这四部分;管理体系指信息安全的方针目标,以及在完成这些目标的过程中所使用的体系方法;标准体系具体主要确定网络信息安全的规章制度、管理办法,工作流程和总体框架。

针对各省份出现的安全问题,各自根据实际情况提出不同的解决方案,例如山西省针对本省高速公路网络信息安全也提出了自己的解决方案。从管理和技术两方面入手,管理具体从以下几方面着手:人员安全管理、系统运维管理、管理制度安全、安全管理机构、系统建设管理等方面提出的具体要求。技术方面主要分为:系统主机安全、物理安全、应用安全、数据安全和网络安全。管理和技术在维护系统安全中起着不可替代的作用,两者相辅相成,缺一不可。

山西省不仅从管理和技术两方面确保高速公路网络安全,在具体的实施过程中,更全面透彻地分析了全省高速公路在网络安全中存在的各种安全隐患,涉及网络安全、主机设备、物理安全、网络病毒、数据安全、业务管理、应用体系安全、主机系统安全、行为操作安全等各类隐患,针对具体存在的安全问题,对症下药,采取实施有效的安全防护措施。

除江苏和山西省外,福建省也提出了自己的安全措施,制定了详细的分析报告(确定框架―制定方案―修改方案―执行方案),从2013年试开始运行,截止目前为止,安全防护措施已步入正轨,已将相关制度运行管理制度实现了良好的衔接。

篇5

关键词:网络安全;医院网络;防火墙

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

随着科学技术的发展和信息时代的来临,几乎所有的医院都建立了信息网络,实现了信息资源的网络共享。但在具体建设这个医院网络平台时中,往往都只重视怎样迅速把平台搭建起来和能够马上投入使用,而忽视了在医院网络平台建设过程中信息安全的建设,包括如何保障医疗业务的正常进行、患者及医生信息的合法访问,如何使医院网络平台免受黑客、病毒、恶意软件和其它不良意图的攻击已经成为急需解决的问题。

1 医院网络安全解决方案的设计

1.1网络方案的模型

本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。

安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。

根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。

医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。

1.2 防火墙隔离的设计

防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。因此,对应用服务器和内部网络应该采用不同的安全策略。

本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。还采用堡垒主机(服务器)对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到服务器中,由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到服务嚣,服务器进行地址翻译。为这些用户提供服务.以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。防火墙系统结构设计如图2所示。

虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。

1.3 医疗业务数据的捕获

如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。

其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。

防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。

2 医院网络安全解决方案的实现

2.1 防火墙系统的布置

本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。这台堡垒主机起到的就是服务器的作用。防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。

2.2 医疗业务数据捕获的实现

本文研究的数据捕获主要从三层进行数据捕获。我们在网桥下运行如下命令进行捕获:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。Sebek是个隐藏的记录攻击者行为的内核补丁。一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。

医院的网络安全系统数据捕获是由内核模块来完成的,本文研究使用这个模块获得主机内核空间的访问,从而捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。

本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。以下就是一个linux配置文件的实例:

INTERFACE="eth0" //设定接口

DESTINATION_IP="172.17.1.2" //设定远程服务器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //设定远程服务器MAC

SOURCE_PORT=1101 //设定源地址UDP端口

DESTINATION_PORT=1101 //设定目标地址UDP端口

MAGIC_VALUE=XXXXX //如果同一网段有多个客户端,则设定相同的数值

KEYSTOKE_ONLY=1 //是否只记录键击记录

3 结束语

该文对医院网络安全的解决方案进行了较深入的研究,但该系统采用的技术也不能说是完善的,一方面因为它们也在不断发展中,另一方面是因为设计者的水平有局限。比如医院网络的数据捕获技术,它本身就是一个十分复杂的技术问题,解决的手段也是多样的。

参考文献:

篇6

今年2月份Aruba针对BYOD在中国的发展情况面向两百多位来自各个行业的企业高管和IT负责人进行的一项调查显示,目前在中国已经有78.9%的企业允许员工使用个人设备工作,这比亚太区整体还高出了8个百分点。但与此同时,BYOD也给企业带来了更大的网络技术挑战,其中调查者普遍认为网络安全和管理便捷是BYOD的两大应用挑战,分别占受访者的58.2%和43.4%。

“BYOD对企业的IT部门来说是一把双刃剑,”市场研究公司ZKResearch首席分析师Zeus Kerravala说:“一方面,让员工使用自己的设备接入企业网络能大大提高员工的工作效率;另一方面,对于IT部门来说,为这些设备配置网络、确保安全并进行管理简直是一场噩梦。而Aruba的ClearPass系列产品解决方案,不但能帮助IT部门卸下工作的重担,同时还能让企业从BYOD中获得益处。”

之前业内的解决方案需要IT部门用昂贵却无序的设备部署来替代大部分现有的网络基础架构。如果考虑到网络基础架构升级所带来的成本,与缺少提供全面移动服务管理功能的“叉车式”解决方案相比,Aruba的ClearPass能为客户节省高达76%的成本。

Aruba的ClearPass系列产品将网络接入管理和设备的自动网络配置结合在一起,能够以不破坏任何现有网络的方式进行覆盖部署。不仅如此,ClearPass还能自动运行繁琐的网络政策管理并对设备运行状况进行检查,使IT部门以更低的成本和更简易的方式接入和管理移动设备,同时还能增强网络安全。

Maimonides医疗中心是位于纽约布鲁克林区的一家优秀的治疗机构和学术性医疗中心,它在 Aruba移动企业网络(MOVE)架构的基础上部署了接入网络,使用超过300个Aruba接入点在整个中心实现了无线网络覆盖。Maimonides还使用Aruba的ClearPass用于访客接入,中心的IT负责人都对此系列产品及其无接触式移动设备配置、安全和管理功能充满期待。

Maimonides医疗中心技术服务高级经理Gabriel Sandu表示,“配合ClearPass使用的Aruba移动企业网络(MOVE)架构能根据我们的需要提供最佳解决方案,使用不同厂商的网络,能让我们未来的工作更为灵活。”

Aruba ClearPass结合高效率BYOD工作流程所有必需组成部分的解决方案,它对所有设备提供单一的管理平台,且允许以下附加功能在同一平台上实现:

(1)自动设备配置――自动进行虚拟专用网络、电子邮件和网络安全设置,推送企业应用并能根据需要撤销设备接入权限。(2)自助移动设备网络配置――能对设备提供802.1X网络安全设置的自助配置云服务。(3)设备分析――精确的设备识别以确定安全需求并根据设备类型和持有者实施网络政策。(4)设备风险管理――分析移动设备对网络构成的风险,根据风险级别限制接入,修复设备的安全保护。(5)访客接入――安全的访客管理,包括完全自动的登记流程、详细的报告和定向广告投放。

Aruba首席策略官Keerti Melkote说道:“ClearPass与其他现有的解决方案最大的不同之处在于,它能跨越不同厂商的有线和无线网络,在移动设备和个人电脑操作系统上运行。”

关于Aruba Networks

Aruba作为全球分布式企业网络的领导者,屡获殊荣的校园、分支机构/远程工作人员产品组合与移动解决方案使用户无论使用何种设备,身处何地或何种网络,都能简化运营并安全访问所有公司应用和服务,显著提高了效率并降低了资本和运营成本。

篇7

【关键词】IP城域网 网络安全 网络安全防护

一、引言

由于技术和专业的限制,IP城域网建设初期网络结构相对简单,设备性能有限的,可提供用户使用的业务类型较少。运营商长期处于铺网、圈地的状态,较少关注网络安全性。

随着宽带提速、光网城市的推进,用户规模越来越大,原有网络结构、设备性能的一些弊端逐渐显现出来,IP城域网网络安全风险越来越大,网络安全问题正逐步成为影响网络正常运行、业务顺利发展的重要因素。本文主要对IP城域网的网络架构及网络需求进行分析,并对网络安全解决方案进行论述。

二、IP城域网网络安全整体情况

IP城域网网络分层结构现状

IP城域网是在城域范围内组建的,用于实现个人和企业用户的语音、视频、数据等多种业务接入、汇聚和转发,可独立进行管理的IP网络平台。包括城域骨干网、业务控制层和宽带接入网两部分。

城域骨干网:由城域核心路由器负责对业务控制层设备进行端口和流量汇聚,并作IP城域网到IP骨干网的流量转发出口。

业务控制层由宽带接入服务器(BRAS)与业务路由器(SR)两种业务接入控制点组成,主要负责业务接入与控制。

宽带接入网:是业务控制层以下,用户家庭网关以上(不含CPE)的二层接入网络。

三、IP城域网网络安全需求分析

目前IP城域网主要以Intemet业务为主,需重点考虑以下方面:

(1)对外需加强黑客防御,对内提升安全控制;

(2)业务层、网络层和用户层安全并重;

(3)合理规划网络流量,保障网络的可达性和可靠性;

(4)加强网络身份认证、访问授权;

(5)网络按需隔离。

四、IP城域网网络安全研究

IP城域网是城域业务接入和流量转发的综合数据网络,不同的网络结构和层次所面对的网络安全问题将有所区别,为控制网络中的安全风险,需要有针对性的采取不同的安全策略。

4.1 IP城域网核心层安全

由于核心层网络承担整个城域网出口流量汇聚和转发,为保证其网络安全性和可靠性,建议采用以下安全策略,包括:

采用路由和交换设备应保证全线速、无阻塞;

尽量采用加密方式实现设备或系统登录,并强化登录口令管理;

采用节点、机框、板卡和端口级冗余备份;

采用资源预留,分布式转发等技术提高设备系统安全性;

对异常网络流量进行实时监控,及时发现和解决问题。

4.2 IP城域网汇聚层安全

汇聚层业务控制点的安全性能主要体现在以下几个方面:

根据用户签约带宽配置线路速率,并通过限速和QoS等技术控制用户合法带宽;

对传输层和会话层的会话数和连接数进行总量限制,避免DoS/DDoS攻击;

通过加强密码、密钥等方式提高网络安全控制管理水平;

创建访问控制列表(ACI),根据安全需求有选择控制非法用户访问网络安全服务;

通过syslog溯源系统强化安全日志管理。

4.3 IP城域网接入层安全

通过各种接入技术和传输资源实现网络覆盖,为用户提供多种业务接入和流量控制。

通过用户网络隔离、用户属性(IP、MAC和设备端口等)精确绑定等手段防止用户非法接入和恶意攻击,提高网络接入安全性;

在LAN接入,需要通过端口环路检测避免二层环路的发生,避免广播风暴对网络的影响。

五、结语

目前,电信运营商IP城域网在网络安全管理上还存在不足,网络安全防御手段相对匮乏。对网络安全的控制还集中在ACL、黑洞路由等传统手段,未规模推进防火墙/IPS等专用第三方网络安全设备与传统的路由器/交换机进行联动控制。且由于现有的检测和控制方式相对分散,部分系统或设备必须由运维人员手工配置,难以在网络安全受到威胁下,保证各系统和设备相互协调,迅速作出响应,以形成一个完整和有效的安全网络。

篇8

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

篇9

11月6日,东软集团在其2009解决方案论坛的信息安全分论坛上,宣布推出一款具有行业标杆意义的新产品NISG,全称为新一代集成安全网关,在今年信息安全领域新品乏善可陈的时候,这一可谓意义重大。

市场对应用安全

需求巨大

东软集团副总裁兼网络安全产品营销中心总经理贾彦生告诉记者,UTM在信息安全领域已经不是什么新鲜的概念,它包括防火墙、VPN网关、IPS、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种功能,主要还是网络层的安全,因此,UTM面临着性能等多种瓶颈问题,导致发展极为不畅,经过市场的千锤百炼,才逐渐为人们接受。集成安全网关(ISG)与此类似,却又不完全相同。ISG定位于应用层防护,并不是一味比拼性能、功能种类。

所谓应用层防护,就是针对Web服务、电子邮件、数据服务器、电子商务、VoIP和视频会议的抗DDoS攻击、P2P的监控、IM的监控、内容审计等应用层的防护,这是未来行业用户网络将面临的主要问题。贾彦生介绍,面向应用安全的ISG,一定是未来信息安全领域的重点产品,因为,未来,人们赖以生存的网络,将会从“路由器为核心”的转发型网络,向以“服务和数据为核心”的应用网络转变,因此未来网络攻击会有五个明显的新特征:一是,传统4层防火墙的普遍应用,使得攻击技术会转而面向传统安全网关的盲区―应用安全,针对某些应用的专项攻击、或者利用某些应用作为攻击通道将会成为主流;其次,视频、语音等大数据业务会决定网络带宽继续扩大,对安全网关转发性能的需求是持续的;第三,电子商务、网上银行、投资理财、虚拟交易等应用会使网络攻击更加具有吸引力,攻击频率会加大,攻击方式也会多样化;第四,传统局域网内网的扩大和复杂,使得网络内部攻击和泄密更加严重;第五,3G的普及指日可待,对应移动终端的网关安全问题也将爆发。这种情况下,需要有新的安全解决方案予以应对。

解决应用安全

需新技术

然而,应用防护最大的特点也是难点,是应用协议的多样性和多变性,一款设备很难穷举多种应用协议。东软NISG则通过两种方式解决了这一问题,一是采用NEL专利核心技术,可将引擎、协议分析和攻击检测数据快速融合,增加检测技术的兼容性,检测粒度也会非常精细,从而提高检测的效率;其次是采用了三层交换技术,将二层交换和三层路由结合成为一个有机的整体,实现了“一次路由、后续二次转发”的快速包转发,并实现了VLAN与接口的密切耦合,使得VLAN、Trunk、Channel等技术能够很方便地在防火墙上实施,减轻了管理员配置维护的工作负担。

此外,用户在应用中还会面临一些新的独立业务安全管理难题,需要依靠新的技术手段。例如,银行、电信、电力等大型行业用户的数据中心通常部署着数百台服务器,分属于不同的业务部门。在部署安全网关时,每个业务部门都会有一些个性化需求,随着部门业务的调整,安全策略也要相应调整。因此,以前单一安全网关对整个内部服务器群进行防护,很难同时满足不同业务部门的安全需求,并在部门安全策略的调整中增加了管理维护的复杂性和难度。如果为每个部门采购独立的安全网关设备,又会带来投资的增加和性能的浪费,这些部门的流量往往很小,发挥出的性能不到10%。

通过虚拟化技术就能很好地解决这一难题,东软的虚拟集成安全网关技术就是将一台物理上的NISG在逻辑上划分成多台虚拟的NISG,每个虚拟系统都可以被看成是一全独立的NISG设备,针对不同的业务采用不同的安全策略。

最后,贾彦生介绍,东软的NISG中的“N”,一般可以理解成“NEW”,意译为新一代。但是在东软的解释中,“N”这个字母含义颇丰,“N”既是东软NEUSOFT的开头字母,也是安全子品牌NetEye的开头字母,同时也包含了NEXT的含义,表示东软集团对下一代集成安全网关寄予了厚望。

锐捷三道防线打造

立体防护体系

本报讯近日,锐捷网络了一套GSN(Global Security Network)全局安全网络解决方案,该方案构筑三道安全防线:用户身份管理体系、端点安全防护体系和网络通信防护体系,通过软硬件的联动、计算机层面与网络层面的结合,从入网身份、客户端PC、网络通信等多个角度对网络安全进行监控、检测、防御和处理,确保行业网络安全,尤其是金融网络的安全。

用户身份管理体系:众所周知,在金融交易过程中,确保每个连入网络中用户身份的合法性是重中之中,因此,需要对每个入网用户进行网络准入权限控制,GSN采用了基于802.1X协议和Radius协议的身份验证体系,通过严格的多元素绑定认证,如IP地址、MAC地址、硬盘ID、认证交换机IP地址、认证交换机端口号、用户名、密码、数字证书等,确保接入用户身份的合法性。

端点安全管理体系:可通过管理入网的各个客户端PC的方式,保护整个网络安全。包括防止该客户端非法外联;可通过软件黑白名单控制的方式,让终端只能安装或不允许安装软件,保证终端的干净;可定期对操作系统打补丁,对软件强制更新。

网络通信防护体系:是前两道防线的重要补充,通过可信任的ARP(Trusted ARP)专利技术,可彻底防止网络中的ARP欺骗的发生,这是目前用户非常头疼、难以解决的安全问题;同时,可通过RG-SMP安全管理平台、RG-IDS入侵检测设备、安全智能交换机和Su客户端的联动,实现对网络安全事件的检测、分析、处理一条龙服务。

篇10

产品技术创新奖

唐桓科技一直秉承“自主可控,安全服务”的发展理念,立志成为全球领先的网络和数据安全解决方案供应商,在“多系统身份认证”、“企业内外网安全防护”、“云计算安全解决方案”、“物联网安全体系管理”、“安全子网控制管理”、“企业外发文件安全管理”等方面有成熟的技术产品和最佳应用实践。

北京唐桓科技发展有限公司(简称“唐桓科技”)成立于2007年4月,在中关村科技园区内注册,属于国家级高新技术企业、双软企业。唐桓科技一直秉承“自主可控,安全服务”的发展理念,立志成为全球领先的网络和数据安全解决方案供应商,在“多系统身份认证”、“企业内外网安全防护”、“云计算安全解决方案”、“物联网安全体系管理”、“安全子网控制管理”、“企业外发文件安全管理”等方向有成熟的技术产品和最佳应用实践。

作为行业安全解决方案提供商,唐桓科技在“银行业安全体系解决方案”、“电子商务平台安全解决方案”、“移动支付安全解决方案”、“工业控制系统安全解决方案”等方面有多年的研究和实施经验。

身份认证系统

信息化时代到来,数字技术的广泛应用在改变人们的生活、生产和学习方式的同时,也带来了突出的安全问题。根据国家互联网应急中心(CNCERT)近年的报告,信息安全热点问题如下:一是由于社交网站、论坛等信息失窃导致的用户身份被盗以及产生的其他负面影响;二是智能终端将成为黑客攻击的重点目标;三是针对网上银行、证券机构和第三方支付的网络钓鱼、网银恶意程序和信息窃取攻击将急剧增加;四是下一代互联网的应用将带来IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题。另外,在3G网络趋向成熟、移动互联网业务得到广泛普及的当前,越来越多的网络和手机安全问题开始出现。据不完全统计,因为以上安全问题有过账号或密码被盗经历的用户达到1.21亿,占总网民数的24.9%。

为了保护信息安全,先后出现了身份认证、授权控制、日志审计、防火墙、VPN等安全技术。其中身份认证是授权控制、日志审计等技术的基础,如果用户的身份能被非法假冒,那么用户权限也就可能被非法使用,审计日志也失去了意义。因此身份认证是信息安全中最重要的环节。

目前,身份认证技术主要有静态口令、动态口令、USBkey、智能卡(IC卡)、短信、数字证书、生物识别等。唐桓科技认为与动态口令相比较,传统的静态口令安全性差,非常容易受到各类盗号和钓鱼网站的攻击;数字证书安全性较强,但其投资较大,使用较复杂,管理费用较高,使用范围受系统使用逻辑而受限;生物识别技术由于生物仿冒手段的提高,安全可靠性也正在逐步降低。

根据这些情况,唐桓科技开发研制了基于事件同步的动态口令双向身份认证系统,该产品是具有自主知识产权的专利技术(专利申请号:200710195695.3),利用高强度加密算法、应用事件激发和同步机制,实现用户端和服务器端的双向身份认证。该技术能够抵御现有的各种攻击手段,并且兼容基于静态口令认证的各种网络应用系统,系统采用“一事一密”的设计理念,动态口令可以一次一变。与其他产品相比较,该产品使用简单,管理方便,成本低,适用于所有基于软硬件环境的信息化体系下需要身份认证安全保证的各类应用场景。

网络信息安全综合管理方案

针对内外网络基础设施的设备和资源,唐桓科技提供登录账户的整体安全解决方案,保证用户远程接入、穿越防火墙、远程VPN登录、数据库系统,以及网络设备运维管理等多方面的统一身份管理和认证。以第三代动态口令技术为核心,集中管理网络系统中的各种网络设备和应用系统的登录账户,从而确保整个网络系统的账户登录安全。

基于云计算的安全防护系统

针对人、机、物三元融合的协同计算环境,以云计算虚拟环境的安全性理论、模型和方法为理论基础,唐桓科技基于云计算的安全防护系统包含安全地支持大规模用户的安全可靠的通用身份认证的公共服务平台、技术标准、应用示范。

该系统通过通用、实名、集中的电子身份信息管理,可实现独立权威的网络身份信息认证;通过数据加密、安全存储,实现用户个人信息资产的安全管理服务;通过虚拟社区安全子网,实现网络环境资产的安全流转与共享;通过个性化推荐服务,实现资源找人的主动服务模式。

在网络生态环境中,该系统针对各种应用模式、各种终端类型、各种接入方式提供满足各类安全等级需求的可信的身份认证公共服务平台、技术及管理标准,实现实体的身份信息可在动态网络环境中通用、鉴别、定位、监管,促进我国具有自主创新技术的网络身份生态系统的规范化建设与产业化应用。

基于物联网的安全支撑系统

物联网的核心共性技术、网络与信息安全技术以及关键应用是物联网的主要研究内容。物联网感知节点大都部署在无人监控环境,并且由于物联网是在现有的网络基础上扩展了感知网络和应用平台,传统网络安全措施不足以提供可靠的安全保障。物联网安全研究将主要集中在物联网安全体系、物联网个体隐私保护模式、终端安全功能、物联网安全相关法律的制订等方面。

唐桓科技提供的基于物联网的安全支撑系统通过在感知物件接入网络层提供物件身份认证和监测技术,确保数量庞大的智能物件的行为、来源、数据完整性能被相互实时认证鉴别和接受;在信息采集层,根据智能物件的处理能力、网络状态,可定制信息传递的安全协议、加密算法和个体隐私性保护策略;通过将智能物件、传输网络、应用三者动态绑定,确保系统的实时可扩展性,同时满足应用安全隔离需要;利用云计算、模糊识别等各种智能计算技术,确保对海量物联网信息的安全存储、分析和处理,对物体实施智能化的控制。从整体上,实现物联网的各层网络连接组成的异构、多级、分布式网络的统一的安全体系的“桥接”和过渡,实现端和云协同计算的整体安全性。

移动互联网终端安全