办公室网络安全解决方案范文
时间:2024-04-19 11:28:04
导语:如何才能写好一篇办公室网络安全解决方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
当“整体化”成为大多数安全厂商宣传中耳熟能详的词汇时,用户在安全方案的选择上,应该变得更加小心翼翼。因为现实的统计发现,很多用户虽然信息安全的投入不断增加,网络安全系统也变得更加复杂,然而安全的风险状况却进一步恶化,安全事故依然层出不穷。
是什么让很多厂商的整体安全方案变成纸上谈兵的“屠龙之技”,在现实应用中屡屡受挫呢?
明确标准与要素
在赛门铁克看来,厂商方案在现实中受挫的关键根源就在于,整体安全解决方案不仅是一种防护的概念,更要将其“凝固”到具体的产品细节之中,而在这一过程中,首先需要的就是一些可以随时随地衡量的“标准”与“要素”。
当然,这些标准并不是惟一的,它们是与IT解决方案有关的理想特征,但这些标准或要素与用户企业最终承受的安全风险息息相关。具体而言,适当的解决方案首先应该具有较高的主动性,主动性体现了一个对策在未明确了解威胁类型的情况下阻止威胁的能力。
其次,整体化安全解决方案还必须重视的一点,就是应全面覆盖计算环境(多层),而不是仅仅针对互联网边界。
多层是指解决方案在整个企业中全面防御攻击的能力。除边界之外,防御范围最好包括整个内部网络、与远程办公室的网络连接、最终用户的工作站以及重要服务器。要做到既能够防御从内部发起的一定数量的威胁,又能够防御以物理方式绕过边界控制甚至突破边界的那些威胁,这一点非常重要。另外,必须认识到仅应用一种方法无法确保万无一失。每个位置在所处理的通信类型和数量方面都拥有自己的需要和环境,所以需要为其部署独一无二的攻击防御功能。
理想的整体化安全解决方案还应包括高效性、有效性、灵活性和可靠性。其中高效性是指易于部署和操作; 有效性是指能够满足阻止所有攻击的需求; 灵活性是指能够适应企业随时间推移而提出的不断变化的需求; 可靠性是指通过与长期提供成功安全解决方案的供应商合作而获得的可靠性级别。
搭建整体化方案
对于不少用户而言,建立一个“随需应变”的整体化安全解决方案似乎无从入手,事实上却并非如此。这个看起来无比复杂、难以驾驭的系统,同样可以像“庖丁解牛”一样,“以厚入间、游刃有余”。
以赛门铁克推出的全面威胁管理产品为例。该系列产品包括一组互为补充的赛门铁克安全产品,这些产品能够提供极为全面且强大的威胁管理功能。全面威胁管理解决方案中包含的产品包括赛门铁克的网络安全解决方案、网关安全解决方案、关键系统防护解决方案、客户端安全解决方案和Symantec DeepSight威胁管理系统。以上每款产品均具备一组独特的市场功能,并在整体解决方案中各尽其职。
篇2
【关键词】移动办公 身份认证 SSL VPN 数字签名 PKI/CA体系
1 引言
移动办公作为传统办公系统的无线扩展,可以与现有的办公系统无缝结合,使外出办公人员无论身处何地都如同在自己的办公室一样,可以高效率地开展工作。智能终端所拥有的运算能力,可以支持邮件收发、公文审批及个人事务处理等各种内部办公应用。随着全球经济一体化的发展,移动办公已成为现代企业信息化的重要标志,是继无纸化办公之后企业信息化的第二次浪潮。随着无线应用的发展,各种安全威胁也接踵而至。如何让人们在享受移动办公带来的方便快捷的同时,有效地应对各种安全威胁,正是大家所关心的话题。本文从安全可信的角度介绍一种移动办公的安全解决方案,以供企业在部署移动办公应用时进行参考。
2 移动办公面临的安全威胁
从互联网的诞生开始,网络安全威胁就应运而生;随着互联网的发展,网络安全威胁也在发展升级。移动办公作为一个非常成熟的互联网应用,同样面临着各类网络安全威胁,移动办公的安全威胁潜伏在业务的身份认证、数据安全、数据完整性和事后追踪等各个环节。
2.1 移动办公的身份认证
早期的网络身份认证采用静态的用户名/口令的方式进行,这种方式简单易行,安全强度不高,易被破解或截获。手机普及以后,在静态用户名/密码的基础上增加了手机号码、手机IMEI号、用户名/密码的组合认证方式。这种组合方式的安全强度有所提高,但在用户更换手机或手机号码时需要重新进行绑定,使用不太方便;而且SIM卡、手机号码、手机IMEI号也可以克隆仿制,可破解,手机丢失后易造成身份泄露。于是又出现了短信动态密码的身份认证方式,和将短信动态密码与静态用户名/口令组合成双因素的身份认证方式。这种方式虽然解决了更换手机重新绑定的麻烦,但仍然没有解决SIM卡克隆和手机丢失后易造成身份泄露的问题,同时带来了因短信拦截而导致泄密和网络质量不高或国际漫游时无法及时接收短信的问题。
2.2 移动办公的数据安全
移动办公系统的数据传输过程包括无线传输和有线传输两个部分,无传输部分采用现有的GSM、CDMA或3G网络,空口部分有加密标准和规范,但由于SIM卡、手机号码、手机IMEI号可能被克隆,所以空口加密也存在数据被解密的安全隐患;有线传输部分,一般的网络协议均为明文协议,不提供任何保密功能,因此敏感信息很有可能在传输过程中被非法窃取而造成泄密。目前常见的APN组网方式,解决了手机移动终端到互联网入口之间的认证和加密,但在互联网中的数据仍以明文方式传输。
2.3 移动办公的数据完整性
办公信息在传输过程中有可能因攻击者通过拦截、转发等手段恶意篡改,导致信息发送与接收的不一致性。目前有些应用系统中虽然通过数据摘要方式防止信息发送和接收不一致,但由于此类解决方案中未采用数字签名技术,若恶意篡改者将发送方的原文和数据摘要同时替换掉,那么接收方会误认为信息未被篡改。
2.4 移动办公责任的事后追踪
传统方式下,事故或纠纷可以通过盖章或签名来实现责任认定。而在电子化的网络环境中,对于数据处理时的意外差错或欺诈行为,如果没有相应的取证措施,则当事各方可以随便否认各自的行为,避免承担相应的责任。目前普遍通过用户名/口令、手机号码、手机IEMI号、IP地址等确认用户行为,这些信息易被篡改、复制,并且都不是实名信息,没有签名机制,无法追查到人,不受法律保护。
由此看出,在移动办公应用中缺少完整的安全解决方案,更重要的是无法解决事后追溯,一旦出现安全泄密等重大安全事件,无法做到责任认定,更得不到国家法律保护。
3 安全可信的移动办公解决方案
通过上述的分析可知,目前的移动办公安全威胁无处不在,但还没有完整的解决方案,以下介绍一个安全可信的移动办公整体解决方案。所谓“安全”,是指通过互联网访问内部的OA办公系统、其他业务系统以及内部核心信息资源时,采取适当的信息安全策略,在为合法的访问提供方便的同时,又能严格防止企业信息资源被非法窃取。所谓“可信”,就是对每个用户操作行为都能做到事后追踪,根据国家相关的法律,依法防止抵赖行为的发生。
如图1所示,通过在企业侧部署SSL VPN网关保证内网接入通道的安全,并通过第三方CA认证中心给SSL VPN网关、各种终端用户签发数字证书;另外采用USBKey、SDKey、PKI SIM卡硬件方式保存用户密钥和数字证书,确保了移动办公中所遇到的身份认证、传输保密、信息完整性、防篡改等安全问题得以解决;并且用户的各种操作行为都有数字签名,具备法律效力,可以做到防止冒名顶替,对各种公文处理、合同审批等行为做到不可否认。这些信息安全方面的显著特点通过以下技术手段实现:
(1)通过硬件保证密钥安全来实现身份认证
在移动办公方案中,使用数字证书作为用户身份的惟一标识。数字证书是互联网应用中标识用户真实身份的电子文件,与用户公私钥对绑定,确保了每对公私钥都会和惟一的自然人个体或单位存在一一对应的关系,从而保证了用户身份的真实性和惟一性。
在移动办公业务中,使用USBKey、SDKey、PKI SIM卡等硬件介质终端保存用户私钥,保证私钥不可导出,无法克隆。移动OA等应用系统在调用私钥进行数字签名时,都需要用户输入密钥保护口令,才能执行签名操作,这样就确保了私钥的安全性,从而保证了移动办公业务中用户身份认证的可靠性。
(2)基于SSL VPN的通道加密机制
SSL VPN技术保证了移动终端至企业内网之间网络传输通道的数据安全。SSL VPN技术采用SSL协议,同时用到了非对称加密技术和对称加密技术,充分利用了两种加密技术的优点。移动终端与SSL VPN网关之间通过密钥协商生成会话密钥(对称密钥)后,将建立数据加密通道,并且这种技术实现的是端到端的加密,同时解决了无线和有线传输通道的数据安全问题。SSL VPN网关部署快速,并且不需要调整企业现有网络结构,实施成本较低。可见SSL VPN是实现远程用户访问公司敏感数据既简单又安全的解决办法。
(3)数字签名技术确保数据完整性
数字签名是一种确保数据完整性和原始性的方法。发送方对数据进行数字摘要并用自己的私钥对摘要信息进行加密生成签名信息,然后将数据的签名信息、数据原文以及发送方公钥同时传送给接收方,接收方即可验证数据原文是否缺失或被篡改。数字签名可以提供有力的证据,表明数据自从被移动终端签名以来未发生变化。可见,数字签名技术解决了数据完整性的问题。
(4)PKI/CA体系保证用户行为不可否认
在移动应用中,保证用户身份认证、数据安全传输和数据完整性的同时,还需要解决用户行为不可否认的问题。从技术角度,数字签名技术保证移动用户操作行为的不可否认;从管理角度,基于PKI和第三方CA中心的管理体系可以很好地解决这方面的问题。而且,2005年4月1日实施的《电子签名法》,确定了电子签名的合法地位,使数字签名真正具备了法律效力,为移动办公业务中产生的法律纠纷提供了有效的法律依据。
4 结束语
上述方案从技术、管理、法律等多个层面解决了当前移动办公业务中所遇到的各种安全问题,是一个比较完整的移动办公安全解决方案。该方案满足了用户迫切的移动办公需求,又解决了传统业务模式所面临的信息安全和责任认定问题,为移动行业应用的推广和普及提供了安全保障,增强了电信运营商拓展行业客户市场的竞争力。
参考文献
[1]唐雄燕,侯玉华,潘海鹏,编. 第3代移动通信业务及其技术实现[M]. 北京: 电子工业出版社,2008.
[2](美)Rudolf Tanner, Jason Woodard,编. 叶银法,王月珍,陆健贤,等译. WCDMA原理与开发设计[M]. 北京: 机械工业出版社,2007.
[3](美)Andrew Nash, William Duane, Celia Joseph, et al. 张玉清,陈建奇,杨波,等译. 公钥基础设施(PKI):实现和管理电子安全[M]. 北京: 清华大学出版社,2002.
[4]张炯明,编. 安全电子商务实用技术[M]. 北京: 清华大学出版社,2002.
[5]杨义先,钮心忻,编. 应用密码学[M]. 北京: 北京邮电大学出版社,2005.
[6]中华人民共和国电子签名法[S]. 2005.
【作者简介】
篇3
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
可以说,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于MAC地址的认证存在两个问题,一是数据管理的问题,要维护MAC数据库,二是MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
篇4
网络不仅是一种高深的科技,而且成为人们必不可少的工具。企业上网大大提高了企业运作效益,降低了企业成本。应该看到,企业在经营发展过程中,除了内部的运转管理外,还有大量的外部业务活动,包括与合作伙伴,上、下游企业,客户甚至竞争对手的各式各样的业务往来。过去这些业务活动多半是通过电话、传真、信件等传统通信方式辅助进行,而在因特网出现后的今天,这些业务活动几乎无一例外地正在转移到因特网上,并且这种转变的速度和程度都是非常惊人的。也就是说,过去传统意义上的企业内外部经营活动包括业务信息沟通,订货订单处理,库存物流管理,客户服务,批发或零售等等已经全部可以在因特网上实现了。所有这些应用都可以称之为企业上网,又被业界称为电子商务应用,它被认为是21世纪企业的必由之路。
二、行业分析
(一)企业上网的紧迫性
对于中国的企业来说,企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展,中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知:如果想在这个白热化的市场竞争中获得成功,就必须最大限度地提高企业生产力和降低生产成本。因此,各大企业都迫切需要建立自己的信息技术基础设施,以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度,从而加强自己在市场中的竞争优势。
(二)、企业上网的需求
企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速发展和应用水平的逐步提高,企业用户的需求,主要体现为:
(1)先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性;
(2)稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有成本;
(3)高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务(如项目设计、项目管理、CAD、OA、MIS、ERP及多媒体应用等)的需要;
(4)vlan划分的灵活性,因为网络系统站点数和运行的应用都在增多,所以要求网络平台具有灵活的虚网(VLAN)划分能力;
(5)由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的服务质量和较小的延迟;
(6)要求网络平台具有良好的易管理性,减少运行、维护及管理成本;
(7)要求选择具有良好发展前景的网络厂商的产品,这样才能保证平台具有良好的售后服务、投资保护,更为关键的是能够保证网络系统持久的先进性。
三、企业网络主干技术选择:
企业局域网络技术的选择主要是主干技术的选择,现今适合作局域网络主干技术的主要有千兆以太网及ATM两种。
千兆以太网是网络界公认的技术发展方向之一,它是对成功的10M和100MIEEE802.3以太网标准的扩展,仍然沿用以太网IEEE802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题,并使用由IEEE802.3小组定义的同样的管理对象。概括起来,千兆以太网的优点在于:网络技术可靠,易于管理,具有可伸缩性,且它相对于ATM的价格水平要低得多;缺点为部分标准不统一。
ATM规定各种类型的服务(声音、图像、数据)信息都由大小固定的53字节的信元进行传输。ATM优点为:支持线路交换和分组交换;对广域网和局域网采用相同的技术;在普通线路上同时传输视频、语音和数据;对多种业务可保证服务质量,按需分配带宽。缺点为:管理和维护复杂;基于ATM的应用较少;ATM产品相对于以太网产品价格昂贵;部分标准不统一。
千兆以太网能与桌面的以太网和快速以太网无缝衔接,因为他们采用的协议是相同的。ATM网络与以太网共存时,需在帧和信元之间进行转换。在企业园区网,90%的应用都是基于以太网或快速以太网的,千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使ATM举步维艰,ATM的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、独立组播路由协议(PIM)、国际互联网成组管理协议(IGMP)等,这就使得千兆以太网传输多媒体成为可能,已有厂家的千兆以太网产品传输距离超过100公里。因此建议,企业园区网在主要传输数据的情况下,应选择千兆以太网作主干技术。
四、企业网络构架的基本方案
企业网中大部分是中小企业,中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门,但是网络应用对他们同样关键。因此,中小企业需要量身定做的解决方案。面对这一情况,上海广电应确信公司针对不同规模企业,推出了一系列解决方案,以帮助中小企业提升其竞争力。
4.1基本网络方案简述
根据企业网站可提供的内容和它的实际应用情况,企业上网可分为两部分,一部分是实现各企业部门内部办公功能的内部网,即Intranet。另一部分是各企业部门网站在Internet上信息与交流的外部网。
一旦企业建立了Intranet,就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单,只是用HTML语言建立内部的环球网服务器信息;有些应用较复杂,需要连接数据库。下面列出一些Intranet的应用: 销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。
4.2具体方案实施:
按照网络的规模可具体划分为以下几个方案:
(1)小型企业信息系统方案:通常指在20-30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。
(2)中型企业信息系统方案:即指在30个工作站以上的中型办公园区(办公环境较分散,距离教远)网络环境的方案。
(3)大型企业信息系统方案:即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。
4.2.1小型企业信息系统方案
小企业办公室网络,相对于大、中型企业网络,可以说是麻雀虽小,五脏俱全,同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、Web等大型网络所具有的需求。
由于小型企业网络站点数较少,而且联网的站点较集中(例如,在一幢楼内)。因此,结构化布线时就可以只采用双绞线就足够了,每个站点(计算机)与集线器或交换机之间的距离不能超过100米。
方案说明
网络配置:中心选用InfiniteSwitch5024机架型快速以太网交换机(24口10/100M自适应以太网交换机),采用10/100M自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备I1102,嵌入式的硬件安全架构,使其性价比很高。简单配置的防火墙安全规则,方便客户应用。同时可以作为DHCP服务器,具有本地路由器功能,支持以太网方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的实现共享上网。
方案特点:
(1) 性价比高;在方案中,没有使用很多高端的设备,但已经完全可以满足小型企业网络的需求。
(2)功能齐全;提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能,很适合于小型企业网络环境。
(3)安全性高;采用InfiniteSwitch5024智能以太网交换机交换机,可以将单一的局域网划分为多个相对独立、互不干扰的VLAN(虚拟子网),可以方便地控制不同部门对某些资源的访问权限,并能够缩小广播域,减少不必要的带宽占用,有效提高网络的安全性和性能。I1102通过IP过滤提供防火墙功能。可以对IP地址、端口号、协议种类等进行设置并加以控制。
5.2.2中型企业信息系统方案
由于中型企业办公环境较分散,距离教远,对网络的性能要求较高(数据交换的安全性,设备运行的可靠性,网络管理的全面性),对网络的速度亦有提高。同时,每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求,有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆,使得有效传输距离能够延伸至2公里(多模光纤)或更远(单模光纤)。
方案说明
中心选用InfiniteSwitch5000系列交换机,根据用户数量及功能要求选用IS5048/5024/5024s .为了保护企业内部网络的安全,在接入Internet时采用上海广电应确信的防火墙I91XX,可以防止来自外部的非法的、恶意的攻击。
由于中型企业办公环境较分散,距离教远,则在中心交换机上配置100Base-FX或1000Base-LX/SX光纤模块.企业内部采用SVAI91XX通过DDN、FrameRlay、X.25等广域网专线接入Internet,提供安全、快捷、简便的企业外部网站方案。I91XX适用于中小型企业用户,利用CheckPoint软件及其OEC合作伙伴构成顶级配置,为用户提供一个完整的网络安全解决方案。
应用二:
方案说明
对于一个中型企业,如果公司内部有较多的部门,位置比较分散,而且相互之间要独立的工作,对于用户的访问权限可以限制(如要求划分vlan),所有的部门通过公司的网络中心的一台三层交换机来接入internet,采用SVAHammerHead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上INTERNET.
在公司的各个部门中采用的交换机均支持vlan的划分,根据每个部门的规划及距离网络中心的远近采用100MUTP或者100/1000M光纤接入。随着员工数的增多,可以利用5024S/5024S 堆叠来扩展网络,5024S/5024S 最多分别可堆叠至4台/16台,因此网络有很好的扩展性及可管理性。
接入internet可以采用多种方式,通过TN/ISDN/DDN线路等多种方式,用户可能根据需要来实现企业网接入公用网。
中型企业方案特点:
(1)较充分发挥了Internet/Intranet应用的特性
除了传统的文件共享、打印共享等功能外,电子邮件、Web、电子公告、库房管理、远程办公等功能都是基于Internet/Intranet应用实现的。使得整个网络系统充分发挥了Internet/Intranet应用的跨平台、与硬件无关、标准统一等特点,使得中小型企业可以与外界透明地通讯。
(2)维护小、投入少
中型企业网络系统使用了较少的高端产品,投入少而功能齐。由于使用了Internet/Intranet结构构造中小办公室网络系统,使得网络结构更加Client/Server化,作为网络的管理维护,只需对Server端进行维护工作,对Client的维护工作大大减少,所以总体上也就大大减少了维护工作量,并节省了投资。
(4)提高工作效率、节省开支。
在此方案中,提供了电子邮件、电子公告、Web等实用、快捷的功能,大大提高了企业的办公效率。同时提供了网络内用户对Internet的透明访问,使企业内部可以充分利用Internet这个巨大的信息资源,更加提高了企业的办公效率和资源利用。
5.2.3大型企业信息系统方案
大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高,同时对网络的速 度亦有很高的要求。大型企业网支持各种网络功能,能够通过广域网接口实现Internet接入,建立企业主页,为园区用户提供E-mail电子邮件、WWW、FTP服务,同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式,此方式需要配备接入路由器,防火墙等网络设备,租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。接入路由器可以通过DDN专线、FrameRelay等与Internet相连。还可以按照需要组合配置多种WAN广域网端口模块,提供宽带、QoS保证的远程多媒体服务。为了保证企业网的安全,方案中提供SVAHammerHead9000安全平台,SVAHammerHead9000系列是业界唯一模块化网络安全平台和应用系统,在单一的设备上集成了路由、防火墙、入侵检测、V、LAN连接和其他安全应用,为用户提供可扩容及可靠的网络安全整体解决方案。
在布线上,除了采用多模或单模光纤之外,甚至还需要从电信部门租用DDN、帧中继、X.25、ISDN等专线,或者利用无线微波方式进行远距离连接。
方案说明
在网络中心选择上海广电应确信的InfiniteSwitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择InfiniteSwitch4000/5000系列交换机。
在网络中心的核心层配置的InfiniteSwitch7508G第三层交换机,可完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度,InfiniteSwitch7000/7500系列是可网管的,高端口密度,配置灵活的高性能路由交换机。提供7个扩展插槽,22G交换背板上。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
InfiniteSwitch7508G提供了广泛的管理选择,包括HPOpenView和其他的MP管理系统,或者InfiniteSwitch7508G自己提供的网络管理系统。InfiniteSwitch7508G提供到与InfiniteSwitch4000/5000系列以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、WWW服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块进行生成树(aingTree)冗余链路连接。
接入层交换机,在本方案设计中,为了保证网络的高性能,可采用InfiniteSwitch 4000/5000系列智能以太网交换机,根据具体实际需求,接入层交换机可选用InfiniteSwitch4024/4032/5024/5024s/5048交换机。
在方案中的防火墙,选用SVAHammerHead9300.HammerHead9300是3插槽机箱式的安全平台,用户可以根据需求选择服务器、交换机、路由器等模块。SVAHammerHead9000的多种应用模块能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系统,它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。SVAHammerHead9000的有多种网络模块,它可支持多种的LAN/WAN互连,包括:Frame、ISDN、ATM、以太网。实现完整的一体化的网络安全解决方案。
方案特点:
1、高性能;网络中采用了第三层交换机,第三层交换不仅拥有高速的交换功能,同时也具有全部的第三层控制功能,可以对流量基于IP地址、IP的协议类型、以及TCP/UDP的端口进行交换控制,从而在提高网络处理效率的同时,保障了VLAN之间通讯的安全性。
2、可扩展性;网络设计具有层次结构,用户能灵活地接入到相应的层次当中。可扩展的网络接口。
3、灵活性;适当的建立VLAN,方便地理位置不同的用户的网络连接.
4、安全性;VLAN的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。HammerHead9000网络安全产品保护企业内部资源,防止外部入侵,控制和监督外部用户对企业内部网的访问;控制、监督和管理企业内部对外部Internet的访问。
5、层次化、模块化;本网络设计的特点为层次化、模块化设计。
6、优良的性价比
六、总结
篇5
关键词:网络信息安全;等级保护
中图分类号:TP311 文献标识码:A文章编号:1007-9599 (2011) 14-0000-02
The Public Security Frontier Forces Information Security Construction Discussion
Jiang Haijun
(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)
Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.
Keywords:Network information security;Level protection
随着科学技术和边防部队勤务工作的深入发展,信息化建设已成为提高边防执法水平的有力途径,全国边防部队近年来已基本实现信息资源网络化。但是,紧随信息化发展而来的网络安全问题日渐凸出,给边防部队管理工作带来了新的挑战,笔者结合边防部队当前网络安全工作实际,就如何构建全方位的网络安全管理体系略陈管见。
一、影响边防部队信息网络安全的主要因素分析
(一)物理层的安全问题。构成网络的一些计算机设备主要包括各种服务器、计算机、路由器、交换机、集线器等硬件实体和通信链路,这些设备分向在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起网络的瘫痪。物理安全是制定区域网安全解决方案时首先应考虑的问题。
(二)计算机病毒或木马的危害。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响网络安全的丰要因素。新型的木马和病毒的界限越来越模糊,木马往往借助病毒强大的繁殖功能使其传播更加广泛。
(三)黑客的威胁和攻击。现在各类打着安全培训旗号的黑客网站不胜枚举,大量的由浅到深的视频教程,丰富的黑客软件使得攻击变得越来越容易,攻击者的年龄也呈现低龄化,攻击越演越烈。黑客入侵的常用手法有:系统溢出、端口监听、端口扫描、密码破解、脚本渗透等。
二、边防部队信息网络安全的特征分析
(一)网络安全管理范围不断扩大。从工作点来看,网络覆盖范围已从机关直接深入到基层一线,从机关办公大楼到沿边沿海的边检站、派出所。凡是有网络接入点的地方,无论是物理线路还是无线上网点都必须进行网络安全管理,点多线长,情况复杂;从工作环节来看,从设备的选购、网络的组建、专线的租用到日常网络应用,从设备维护保养、设备出入库到送修和报废,无一不涉及到网络信息安全,网络安全已渗透到工作的每一个环节。如:某单位被通报发现违规事件,经调查,结果是有人将手机接上公安网计算机充电,而该手机正在无线上网。
(二)安全管理对象类型复杂多样。目前,公安信息网、互联网、业务专网、机要专网在日常工作中频繁使用,成为管理的难点。同时,公安网上各类使用中的网络安全管理软件系统应用有待深化,一些网络管理软件使用功能仅停留在表层,未能成为得力工具。
(三)网络安全问题不断翻新。目前互联网、公安网、业务网、网四种网络必须物理隔离,禁止交叉使用移动存储介质,但四种网络的信息资源在一定范围内却必须共享交流。曾经出现过这种情况,某单位人员在互联网上建立论坛,发表不健康言论,触犯边防部队管理条例。究其原因,是因为我们的网络安全工作一直以来是局限在公安网内部,尚未随着网络应用发展趋势扩展到互联网的管理上。
三、边防部队信息网络安全的技术分析
网络安全产品的自身安全的防护技术网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵,反而会变为入侵者进一步入侵的平台。
(一)虚拟网技术。虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
(二)防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(三)病毒防护技术。病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。在防火墙、服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(四)入侵检测技术。利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够。需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案;在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
四、边防部队信息网络安全管理体系的对策
网络安全是一个范围相对较大的概念,根据具体的实际情况组成不同安全管控层次或等级的网络系统,既是网络实际发展应用的趋势,更是网络现实应用的一种必然。
(一)提高多层次的技术防范措施。按照网络实际应用中出现故障的原因和现象,参考网络的结构层次,我们可以把网络安全工作的对象分为物理层安全、系统层安全、网络层安全和应用层安全,不同层次反映不同的安全问题,采取不同的防范重点:一是确保物理环境的安全性。包括通信线路的安全、物理设备的安全、机房的安全等。在内网、外网共存的环境中,可以使用不同颜色的网线、网口标记、网口吊牌来标记区分不同的网络,如灰色的公安网专用,红色的互联网专用,黄色的网专用。二是确保软硬件设备安全性。必须预备一定的备用设备,并定期备份重要网络设备设置。对待报废的各类存储类配件,一定要进行消磁处理,确保信息安全。三是提供良好的设备运行环境机房要有严格的防盗、防火、防潮、防静电、防尘、防高温、防泄密等措施,并且有单独的电源供电系统;安装有计算机的办公室要有防尘、防火、防潮、防泄密等措施,电源要符合计算机工作要求。四是完善操作系统的安全性必须设置系统自动升级系统补丁。五是加强密码的管理。存取网络上的任何数据皆须通过密码登录。同时设制复杂的计算机开机密码、系统密码和屏保密码。
(二)建立严格的网络安全管理制度。严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低安全漏洞。我们应通过制度规范协调网络安全的组织、制度建设、安全规划、应急计划,筑起网络安全的第一道防线。
(三)合理开放其它类型的网络应用。目前,很多单位都建立了警营网吧,给官兵提供良好的学习娱乐平台,这种情况下就必须把互联网的网络安全工作纳入安全工作范围,采取多种方法,规范和引导官兵进行互联网的应用,合理开放所需的应用功能,有效控制不合理的功能应用。目前,边防部队的信息网络安全技术的研究仍处于起步阶段,有大量的工作需要我们去探索和开发。公安部已在全国范围内大力推进信息网络安全工作,相信在大家的共同努力下,边防部队将建立起一套完整的网络安全体系,确保信息网络的安全,推动边防部队信息化高度发展。
五、结论
网络信息安全系统建设完成后,将实现信息系统等级保护中有关数据安全保护的基本要求和目标,尤其是应用密码技术和手段对信息系统内部的数据进行透明加密保护。网络信息安全系统还为单位内部机密电子文档的管理提供了一套有效的管理办法,为电子文档的泄密提供了追查依据,解决了信息系统使用方便性和安全共享可控制的难点,为部队深化信息化建设提供技术保障。网络信息安全系统能够有效提高单位的数据安全保护等级,与其他信息系统模块协调工作,实现了资源的整合和系统的融合,形成一个更加安全、高效、可控、完善的信息系统风险监控与等级保护平台,提高了部队内部核心数据,特别是对内部敏感电子文档的安全管理,随着系统的不断完善和扩大,将对部队内部网络和信息系统的安全保护发挥更大作用。
参考文献:
篇6
关键词:企业内网,安全,管理策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-1pppp-0c
1 引言
内网安全理论的提出是相对于传统的网络安全而言的。在传统的网络安全威胁模型中,假设内网的所有人员和设备都是安全和可信的,而外部网络则是不安全的。基于这种假设,产生了防病毒软件、防火墙、IDS等外网安全解决方案,部署在内网和外网之间的边界,防外为主。这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。
但是,随着各单位信息化程度的提高以及用户计算机使用水平的提高,安全事件的发生更多是从内网开始,由此引发了对内网安全的关注。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem 拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究表明:超过80%的信息安全隐患来自组织内部,而大多数公司都没有设置相应的工具来监视和检测内部资源的使用和滥用。相对于外网安全来自互联网的威胁,内网安全的重点是数据和信息的安全,而这些数据和信息,才是企业真正有价值的资源。
2 企业内网安全隐患分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带―企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。内网安全威胁主要包括如下几个方面:
2.1 网络病毒
目前企业内部网络系统受到最多的安全威胁来自计算机病毒,病毒的传播形式越来越复杂、传播的速度越来越快,影响范围越来越大,其造成的损失已不仅限于个人计算机系统,还可以造成服务器系统瘫痪、主干网络拥堵,甚至崩溃。在企业内部网络系统中存在网络病毒对邮件服务器及个人操作系统的破坏,以及网络病毒造成的网速变慢,系统无法正常响应等情况,并且在病毒发作时不能及时处理,难以快速发现被病毒感染机器的IP地址。
2.2 非法入侵
网络黑客对内部网络系统的攻击随时都可能发生。因此,通常首要考虑的问题是如何有效地防范来自外部的攻击。来自外部的攻击通常只会影响采用合法IP地址的网络设备及服务器,或者说它们只对Internet上的可见设备进行攻击。但是这并非就意味着网络内部采用保留IP地址的网络就不会受到攻击。企业内部网络规模较大,网络用户较多,安全系统参差不齐,缺乏统一有效的控制手段。因此,在考虑外部入侵的同时,也要考虑来自Intranet内部的安全威胁。
2.3 系统安全漏洞、补丁修补不及时
随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。网络入侵行为的成功大多是利用了网络系统的安全漏洞,这些漏洞包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞等。如果不及时修补补丁,其相关的漏洞就可能会被随之而来的攻击手段所利用,给整个计算机网络的安全性带来威胁。在实施网络安全策略时,很重要的一步就是查清各种漏洞并及时弥补。在上述所有漏洞中,操作系统漏洞及数据库系统漏洞多被外部黑客所利用,而来自内部的黑客则可能利用所有的漏洞。
2.4 IP地址管理和非法内联外联问题
企业内部网络由于没有严格的管理策略,IP地址使用存在一定混乱,部分员工随意设置IP地址,造成IP地址冲突,甚至导致关键设备的工作异常。一旦出现恶意盗用、冒用IP地址以谋求非法利益,后果将更为严重。
另外企业办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,接入内网的计算机应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其它活动, 或使用未经确认许可的计算机接入内网,管理人员对此类情况难以判定并加以监视和控制,造成内网安全的极大隐患。
随着企业信息化工作的开展和不断深化,越来越多的企业信息通过网络沟通、共享和保存。这些信息和数据既包含业务数据,也包括财务凭证、报表以及人事档案资料、公司内部公文,还包括合作伙伴的结算信息。这些信息有些是供电企业的行业机密和商业机密,有些用于企业的规范管理,有些用于辅助决策,它们对企业的生存和发展起到至关重要的作用。因此,管理信息系统的安全保密性成为系统开发中必须着重考虑的问题。这些机密数据和文件的外泄,造成的影响和危害非常严重,由于部分特定行业的特殊性,其造成的危害往往还涉及到国家的利益,因此严禁网络和专有网络与Internet互联。
2.5缺乏有效监控措施
目前一般企业内部网络与因特网之间采用物理隔离的安全措施,在一定程度上保证了内部网络的安全性,但是各类网络基础信息采集不全。大型计算机网络的管理应该以基础信息的管理为核心, 信息管理中心如果对所管辖网络的用户和资源状况难以掌握, 对整个网络的管理工作也就无从谈起, 在发生违规事件时也很难及时将问题定位到具体的用户。网络安全存在着“木桶”效应,整个网络安全的薄弱环节往往出现在终端用户,单个用户计算机的安全性不足,时刻威胁着整个计算机网络的安全。常见的防火墙、入侵检测等系统主要针对的是网络运行安全,对于终端用户的监控始终是网络安全管理中的薄弱环节,对网络内部的安全威胁缺乏防护、监控和审计机制。
3 企业内网安全管理策略
企业内网安全管理策略能够极好地解决网络内部网络的安全管理问题,通过对终端节点进行严防死守,对网络层面进行系统联动,对内网平台进行整合管理,从而为企业提供一个自防御的内网安全管理平台,为网络管理员展现一个安全的、易使用的环境,帮助企业解决大量的内网安全隐患问题。
3.1 资产管理
资产管理模块自动收集被管理的计算机全面的软硬件信息,包括:计算机名、品牌、硬盘型号及大小、CPU、内存等配置信息;此外,还能定义包含合同采购保修在内的全面资产维护信息及使用者状态,自动收集计算机安装的各种应用软件,并根据需要动态导出管理报表。
3.2 进程管理
网络聊天软件、股票软件、网络电影软件等现象在办公室蔓延令许多管理者头痛,通过进程管理模块,能实时监控与查杀企业内部任何计算机当前运行进程,并通过黑白名单功能切实保障非法进程无法运行,此外还能对特殊进程设置详细说明信息,使计算机只运行指定的应用程序,规范桌面应用程序环境。
3.3 补丁管理及软件分发
不同版本的操作系统,不同应用软件专用补丁,庞大的计算机数量,仅仅依靠着网络维护管理人员手工安装的解决办法,只能让网络维护管理人员疲于奔命。系统补丁自动管理功能为补丁的自动安装及升级提供了解决方案;此外,通过系统软件分发功能,可以定制分发任务,从而极大地提高工作效率。
3.4 网络访问管理
网络访问管理可以部署企业内部计算机的网络访问规则,只允许或禁止某些计算机访问特定的资源。例如一般员工不能访问部门领导级的计算机资源、不能访问内部重要数据服务器等;另外,可以限制员工只能使用某些网络,或者只允许或禁止某些端口,从而合理地规划内网计算机的网络资源访问。
3.5 远程维护管理
企业跨楼层、跨地域的内部网络使得维护工作越来越繁琐。远程维护模块基于Java组件的实现方式,通过Internet Explorer浏览器让网络维护管理人员对计算机桌面远程接管,并且能提供连接时限的设置和分级授权等功能让远程维护管理省时省心。
3.6 外设管理
针对企业内的一些特殊业务要求,网络维护管理人员必须全部或部分禁止外部设备,相比较于对计算机进行硬件拆卸、外设端口贴封条的传统方法,内网安全管理解决方案的外设管理功能通过USB存储设备的控制策略、USB接口的键盘鼠标等输入设备例外管理策略及各种光驱、软驱等驱动器的控制策略完美地解决了上述问题。
3.7 桌面设置管理
由于非法修改IP地址,而造成网络冲突和网络安全隐患。针对此种情况,桌面设置功能提供是否允许管理共享控制、开Guest账号及自动登录等功能,并通过IP地址与计算机绑定功能,实现IP地址和网卡MAC地址的捆绑,机器就无法再更改IP地址,有效地控制网络内计算机的网络行为。
3.8 系统预警管理
如何进行全方位的系统预警是企业信息安全非常重要的一环。预警管理功能可以定义异常事件并及时向网络维护管理人员进行警告,它提供对一些特殊TCP/UDP端口访问的告警及非法外联警告,让网络维护管理人员实时地了解每台计算机的系统状态,及时地掌握网络数据,从而有充分的准备来应付可能的突发事件。
3.9 接入安全控制
企业越来越难以在保持网络资源可用性的同时确保企业网络的接入安全,接入安全控制功能提供了对非法接入计算机、卸载关键软件等进行了阻断或重定向等管理手段,使企业业务数据不轻易泄露,对私自改变IP地址和安装非法软件等安全隐患进行更加有效的预防。
4 结束语
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施,必须从网络、计算机操作系统、应用业务系统甚至系统安全管理规范、使用人员安全意识等各个层面统筹考虑。内网安全问题在安全体系中是至关重要的环节,解决内网安全问题必须从规划内网资源、规范内网行为、防止内网信息泄露等多方面入手,构建有效的企业内网安全管理策略,这样才能真正保证整个网络系统的安全。
参考文献:
[1]叶代亮,孙钰华.内网的安全管理[J].计算机安全,2006.1.
[2]宁洁.内网安全建设的问题分析与解决方案[J].网络安全技术与应用,2006.10.
[3]宋弘,薛雯波.构建内网安全体系的几个要点[J].计算机与网络,2005.18.
[4]马先.信息网络安全防护分析[J].青海电力,2006.3.
[5]王为.内部网络中客户端计算机安全策略[J].计算机安全,2006.10.
[6]刘晔,彭宗勤,志.浅论威胁企业网络信息安全的因素及防范对策[J].集团经济研究,2007.5.
[7]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版),2007.3.
篇7
关键词无线网络;网络安全;安全防范
1引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的Internet中存在许多技术问题和安全问题。
2无线局域网的结构及其运行方式
无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP(ACCESSPOINT)即无线接入点,相当于一个无线集线器(HUB),接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网,直接连接上层交换机或ADSL猫等,因为大多数无线路由器都支持PPOE拨号功能;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网),使本地通信限制在本网段内,并转发相应的信号至另一网段。网桥通常用于连接数量不多的、同一类型的网段。
无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:
(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。
(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。如图2。图1基站接入型图2网桥连接型(3)Infrastructure接入型:计算机通过无线网卡与AP或桥接器进行通讯,AP或桥接器起到了有线网络中HUB的作用。可以组建星型结构的无线局域网,所有传输的数据均需通过AP或桥接器,由桥接器进行网络的控制管理。不同桥接器可以相互串联以形成更大规模的网络。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求HUB具有简单的网内交换功能。实现了无线网络与有线网络的无缝连接。
(4)无中心结构(Ad-hoc):即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。图3Infrastructure图4Ad-hoc3无线局域网的运行方式
无线局域网采用的标准是IEEE802.11。该标准定义了物理层和媒体访问控制(MAC)规范,允许无线局域网及无线设备制造商建立互操作网络设备。后来又相继公布了802.11a和802.11b,IEEE802.11b使用开放的2.4GHz直接序列扩频,最大数据传输速率为108Mbps,也可根据信号强弱把传输率调整为54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps带宽。直线传播传输范围为室外最大300m,室内有障碍的情况下最大100m,是现在使用的最多的传输协议。2000年,IEEE成立专门工作组对802.11g进行标准化工作,目的是为了用户获得更高的数据速率服务,后向兼容802.11b,前向兼容802.11a。
4无线局域网络主要的安全威胁
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在:
(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。
(2)易受干扰,由于目前802.1lb协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。
(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然,802.11在安全方面规定了WEP加密,但是WEP加密是不安全的,WEP的脆弱可能使整个网络受到更大的威胁。
(4)地址欺骗与会话拦截,由于802.11无线局域网对数据帧不进行认证操作,通过非常简单的方法就可以获得网络中站点的MAC地址,然后通过欺骗帧改变ARP表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP中存在的认证缺陷,装扮成AP进入网络,进一步获取认证身份信息从而进入网络。
5无线局域网中主要的安全防范技术
经过业界几年的努力,现在已经有一些较为有效的安全防范技术应用于无线网络中,比较通行的有以下一些技术:
(1)服务集标识符(SSID):ServiceSetIdentifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(AccessPoint)上,无线工作站要与AP连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。
(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。
(3)连线对等保密(WEP):WEP是WiredEquivalentPrivacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端对端发送一样。由于在WLAN中,无需物理连接就可以连接到网络,因此IEEE选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
(4)Wi-Fi保护接入(WPA):WPA(Wi-FiProtectedAccess)继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议)的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决[本文由网站公文大全收集整理]了WEP的缺陷,WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
(5)端口访问控制技术(802.1x):802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的无线工作站通过接入端口访问LAN/WAN。在通过AP获得各种业务之前,802.1x对连接到AP端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。该技术是一种增强型的网络安全解决方案,特别适合于公共无线接入解决方案。
利用这些技术,我们在下节中提出了一系列具有实用意义的安全防范措施。
6无线局域网安全防范措施
6.1建立更安全的网络构架
采用何种网络构架对于无线网络的安全具有决定性的作用,随着人们对无线网络的安全问题越来越重视,许多新的技术被集成到无线局域网上,我们这里仅给出一种采用典型端口访问技术和VPN技术相结合的范例,见图5。
(1)采用端口访问技术(802.1x)进行控制,防止非授权的非法接入和访问。802.1x在端口上实现基于MAC地址的认证方式。做到IP与MAC地址的绑定,防止了用户的假冒。通过EAP协议可以与RADIUS服务器进行通信,提供便捷的认证方式。
(2)对于密度等级高的网络采用VPN进行连接,目前广泛应用于局域网络及远程接入等领域的虚拟专用网(VPN)安全技术。与802.11b标准所采用的安全技术不同,在IP网络中,VPN主要采用IPSec技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。图5一个安全的无线局域网构架6.2无线接入点的安全措施
(1)在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下,在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
(2)如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。
(3)禁止AP向外广播其SSID,并设置复杂的SSID,由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能,自动连接到AP。所以这些措施是比较脆弱的,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(4)设置MAC过滤,在AP中可以设定哪些MAC地址不能与AP通信,这样可防止非法网卡登录到AP上,也可以防止非法客户机访问AP下的无线网客户机。但应该知道,实际上MAC是很容易被假冒的。
(5)注意对AP的管理,修改缺省的AP密码,各种主流AP产品的默认管理密码已为人们熟知,应修改缺省的密码,以防非法闯入。
6.3无线终端上的安全措施
系统管理员如果需要防止无线终端上的网络设置泄漏,可以选用支持修改属性需要密码的网卡,要开启该功能,防止网卡属性被修改和信息泄漏。
与在传统网络中相比,无线终端更应当注意安装防火墙等安全软件,并及时更新系统漏洞补丁。
6.4管理与培训
安全与管理是两个需要同等重视的问题,而且是互相影响互相推动的。
对于大型网络,我们应该制定周密的计划,支持多种安全策略应对不同的情况、,从而提高无线局域网的性能,并能在企业无线局域网内支持新的移动模式。
可以采用第三方的软件公司提供的软件解决方案,在一个统一的平台和界面上管理多种策略和各种类型的无线网络,实施监控和记录历史数据,从而实现一个安全、可靠的无线网络。
制定无线网络管理的相关规定,包括使用无线网络的指导性规定和特别的禁则,比如,规定员工不得把网络设置信息告诉公司外部人员,禁止设置P2P的Adhoc网络结构等。
对网络管理人员进行知识培训。普及无线网络的安全知识,加深员工的安全意识,明白违规使用无线网络的危害性。
7结语
无线网络在很大程度上突破了统有线网络的限制,使用户获得了可移动性和方便性,但正因如此无线网络也面临更大的安全威胁,要求我们有更高一级的安全防范意识和防范措施,不可掉以轻心。当然也没有必要“谈无线而色变”,因为其安全上的风险而不敢采用,事实上,根据不同的安全需要,对无线网络的固有物理特性和组网结构进行透彻的分析,在不同的层面采取恰当的措施,保障无线网络的安全可用是完全可行的。
参考文献
[1]蔡一郎.Windows2000Server网络技术与构架管理[M]北京:清华大学出版社,2002:302-378
[2]何军.无线通信与网络.北京:清华大学出版社,2004,6
[3]孙利民,李建中.无线局域网络.北京:清华大学出版社,2005:4~22
[4]AspinwallJ.Installing,TroubleshootingandRepairingWirelessNetworks[M].北京:电子工业出版社,2004
[5]湛成伟.网络安全技术发展趋势浅析[J].重庆工学院学报,2006,20(8):119-121
篇8
关键词:校园网;网络安全;网络管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2453-02
Campus Network Security System Construction
CHEN Yan
(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)
Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.
Key words: campus network; network security; network management
1 引言
校园网络作为信息化校园的重要组成部分,在全国各高校大规模展开,已近十年的历程。校园网的建设重点已从最初单纯的网络硬件铺设,简单的Internet接入,小规模离散的应用,发展到大规模成系统的网络应用。近年随着网络技术的快速发展,网络应用日益普及,学校的教学和管理对校园网的依赖程度不断加大。网络的脆弱性,使得依赖于网络的教学与管理面临着安全威胁,网络安全成了校园网建设的焦点问题。构建安全的校园网并不是简单的堆砌网络安全技术或安全产品,它不仅涉及到技术层面,也涉及到非技术层面。本文似从技术和管理两个层面来探讨如何构建安全的校园网络系统。
2 校园网的特点及安全现状分析
校园网有着自己鲜明的特点:一是大规模、高速网络环境,主要表现为用户数据庞大、地域分布的多校区网络和快速局域网技术;二是复杂的应用和业务类型,主要表现为公共服务、科研应用、教学辅助、学生管理、行政管理、教学管理和普通上网应用等;三是活跃的、不同使用水平的网络用户群体,即有普通的用户群、又有管理用户群,还有网络相关专业的学生用户群,他们网络应用目的不同,对网络的熟悉程度不同;三是大量的非正版软件和电子资源;五是开放的环境和宽松的安全管理体制;六有限的资金投入。这些特点使得校园网既不像Internet那样毫无限制,又不像电子商务企业那样为强化安全与保密而严加管理和控制。
校园网的上述特点,使得校园网一方面要面临一般企业网络所必须面对的各种安全威胁,如:普遍存在的计算机系统漏洞产生的各种安全隐患;计算机蠕虫、木马、病毒泛滥,对用户主机、应用系统和网络运行构成的严重威胁;外来的攻击、入侵等恶意行为、垃圾信息和不良信息的传播行为等。另一方面校园网又不得不应付来自内部的安全威胁,如内部用户的攻击行为,对网络资源的滥用行为等等。
3 校园网安全需求分析
在校园网的安全设计中,必须考虑到校园网的上述特殊性。不能将整个校园网作为单一的安全区域,必须根据不同的应用类型、不同的服务对象将校园网划分为具有不同安全等级的区域,并针对这些区域进行专门的安全设计。一般来说,我们可以将校园网分为:学生网络、教学管理网络、公共应用服务网络、网络管理系统和分校区网络等几个部分。下面对这些网络的安全需求进行分析。
3.1 Internet连通性的安全需求
Internet连通性是校园网最重要的功能,一方面要满足内部用户的Internet访问要求,另一方面又要对外Web服务、电子邮件服务和FTP服务等公共服务。而Internet却是攻击和威胁的重要来源,阻断所有不能接受的访问流量是最基本的安全需求,同时保持对来自Internet的网络攻击的检测能力,是防范求知攻击的必然要求。与内部用户的上网需求相比,校网园对外的公共服务应该受到更好的安全保护,在设计时必须给予重点考虑。
3.2 学生网络的安全需求
学生网络两大特点:一是用户数量多数据流量大,学生是P2P(peer-to-peer)应用的热衷者,而P2P应用则是网络带宽的“杀手”,2006年我院对拥有1100多用户的学生网络进行了一项测试,使用一款“P2P终结者”软件来屏蔽P2P数据包,结果网络出口总流量骤降一半,据此可以估算有50%网络带宽被P2P软件所消耗。事实上这个估算是保守的,有研究表明,P2P流量取代了HTTP流量成为Internet流量的主体,占Internet中总流量的60%~70%,占最后一公里接入网流量的80%[1];二是用户类型复杂,2007年我院的一次问卷调查表明,85%以上的学生缺乏网络安全意识,近5%的学生用户偶尔尝试过网络攻击,近0.2%的学生在研究网络攻击技术,他们是内部攻击的主要来源,也是最主要的病毒源和木马源。因此在进行网络安全考虑时,首先要对来自学生网络的带宽进行限制,以保证网络资源的合理分配;其次要约束学生网络对校园网关键服务的访问,尽最大努力过滤其运行特定应用程序的能力;同时还需要加强对网络流量嗅探和中间人攻击(MITM)的防范能力,以减少学生相互间的攻击。
3.3 教学管理网络的安全需求
鉴于教学管理数据的安全性需求高,教学管理网络与学生网络绝对不能位于同一个信任级别,应该有更高的安全需求,给予保护并与校园网络的其他部分进行隔离。主要有以下三项安全措施,一是设置防火墙实施访问控制;二是设置入侵检测系统进行网络安全监测;三是强化论证,虽然加密所有教学管理应用程序太过繁重,但是对于某些关键系统(会计和学生记录)应该要求强认证。
3.4 网络管理系统的安全需求
网络管理系统负责整个校园网的通畅和安全管理工作,确保网络管理系统的安全是非常重要的工作,因此应该设置防火墙将管理网络与校园网的其它部分进行隔离加以保护。
3.5 分校区网络连接的安全需求
分校区和远程用户都需要直接访问校园网内部的服务,出于资金考虑,多数的分校网络都没有专线连通,部分学校尝试无线通信,实际情况看来,其保密性和稳定性都不高。比较经济实用的解决方案就是,使用虚拟专用网(VPN)技术穿过广域网(WAN)。
4 校园网结构的安全设计
基于上述校园网安全的分析,我们可以设计出如图1所示的安全校园网络系统。
4.1 校园网边界安全设计
Internet接入是校园网最基本的业务需求,与Internet相比,校园网内部自然是一块相对单纯的可信任安全区域,为保证校园网内部的安全性和校园网公共服务的可访问性,需在校园网边界进行如下安全设置。
一是设置防火墙:防火墙首先要提供入网级的访问控制功能,以有效地阻断来自Internet的非法访问;其次要提供虚拟专用网(VPN)功能,借助广域网实现远程分校区网络的安全连接,使得访问远程校园网络,如同访问本地网络一个方便安全,在保证安全性的同时还可以节省出专线费用;最后还应具备网络地址转换功能(NAT),使得Internet用户可以访问校园网内部的公共服务。二是设置AAA认证服务器,提供对用户身份认证、安全管理、安全责任跟踪和计费等功能。三是设置网络入侵检测系统(NIDS),同时可在边界路由器上启用NetFlow功能,以加强对非法入侵和恶意攻击行为的检测和发现能力,为网络管理员提供网络异常事件的处理能力。
4.2 学生网络的安全设计
从前面的校园网业务需求的安全性分析可知,校园网内部并非铁板一块,不同的业务需求对安全性的要求是不同的,相对来说学生网络的安全级别最低。针对学生网络用户数量庞大、用户类型的复杂性的特点,主要可采取以下安全措施:一是为保证网络资源的合理有效分配,必须进行网络流量限制;二是在交换机处提供必要的第二层安全控制,以减少网络流量嗅探攻击,中间人攻击(Man-in-the-middle-attacks,简称:MITM攻击);三是在不同学生网段的路由器上设置无状态ACL,以实现数据过滤。后两项措施可以缓解学生系统之间的相互攻击。总体上讲,学生网络的安全防护功能是相当弱的,主要的安全防护功能落在了学生主机上,因此必须加强网络安全教育,提高学生的安全防范意识和能力。但是较低的安全防护设计却给学生创造了一个相当宽松的网络环境。
4.3 教学管理网络和公共服务网络的安全设计
教学管理网络和公共服务网络的服务器中存在着大量敏感的数据,比如说学生成绩和学生注册信息,它们极易受到来自于Internet及学生网络的攻击,因此也就提出了更高的安全需求。对教学管理网络和公共服务网络的安全设计,相当于在校网络的基础上建立起一个安全性更高的内部网络。其安全设置类似于校园网与Internet之间的安全设计,如添加防火墙进行访问控制,增加NIDS进行入侵检测。从图中可以看到,对学生网络来说,它有一道防护屏障,而相对于Internet再说,它受到两道防护屏障的保护。这是一个合理的安全等级层次。
4.4 管理网络的安全设计
管理网络看似类似于行政网管,需要使用防火墙进行保护。但是它有完全不同的业务需求,它负责整个网络的安全管理,要根据各种校园网络设备的管理需求,设置允许入站和出站的特定连接。因为它的周围有许多不可信的网络,在网络设备与管理网络进行数据传送时,必须保证数据的安全保密性,因此数据传递过程中的安全要求较高,在数据通信需要使用SSH/SSL等安全通信协议。对于那些不支持SSH/SSL的网络设置,只能使用如Telnet之类的明文管理协议,在这种缺乏安全协议的情况下,应该限制可访问Telnet后台程序的IP地址,以增加这些网络设备管理的安全性。
5 校园网安全管理
校园网的安全性不仅仅是一个技术问题,还需要安全管理的支持。安全的校园网络系统是安全技术与安全管理有机结合的整体,它遵循所谓的“木桶原理”。正如木桶的容积决定于它最短的木板一样,校园网系统的安全强度等于它最薄弱环节的安全强度。经验表明,得不到足够重视的网络安全管理恰恰是校园网安全系统中最薄弱的一个环节。安全专家们则强调网络安全靠的是“三分技术,七分管理”。
为加强校园网的管理,需要做好以下四项工作:一是观念的更新,网络安全不止是技术部门和专业人员的责任,应该得到学校高层的充分重视,需要所有的网络用户的共同遵循安全规则;二是建立网络安全管理机构,明确权力和负责,从组织机构上保障网络安全管理的有效实施;三是制订网络安全管理制度,明确校园网用户的权利和义务,使用户共同遵循校园网使用规则;四是建立完善的安全管理及应急响应机制,以对突发性安全事件做出迅速准确的处理,最大限度地减少损失。
安全事件处理机制的建立往往是校园网安全管理的盲区。与国防、金融等机构比起来校园网的安全级别低,应付安全突发事件的重要性并不是太突出。而且在一般情况下,意外事件发生的几率不高,应付安全突发事件的必要性也往往被忽视。但是100%安全的网络是不存在的,如果不能对网络安全事件做出迅速而准确的响应,就有可能造成重大的损失。事实是,历史上几次重大的安全突发事件所造成的恶劣影响,使得各国都非常重视紧急事件响应处理。美国国防部于1989年资助卡内基.梅隆大学建立了世界上第一个计算机紧急响应小组CERT(Computer Emergency Response Team)及其协调中心CC(Coordination Center)。CERT/CC的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。此后在20世纪90年代,计算机安全应急处理得到了广泛而深入的研究。在我国,中国计算机教育与科研网(CERNET)于1999年成立计算机紧急事件响应组织(CCERT),是国内第一个安全事件响应组织;2000年3月,中国计算机网络应急处理协调中心(CNCERT/CC)成立,该中心在国家因特网应急小组协调办公室的直接领导下,协调全国范围内计算机安全事件响应小组的工作,并加强与国际计算机安全组织的交流。
在校园网建设中,借助CERT的理念和研究成果,建立必要的网络管理和应急响应机制将有利于规范和提高校园网安全管理能力。图2所示,是一个可行的网络管理和应急响应机制构建方案,说明如下。
1) 网络安全的日常管理:在校园网的关键部分加强网络安全的日常管理,使日志检查、漏洞扫描、系统升级、病毒防御等工作制度化、常规化,尽量减少因管理员疏忽等主观因素而引起的安全事件。建立责任追究制度,强化网络管理人员的责任心。
2) 网络安全应急小组:接收并处理来自用户的安全突发事件,NetFowl等流量分析的异常报告、入侵检测系统的入侵警告和日常管理中的安全事件报告。通过分析调查,决定采取相应的应急处理措施,如系统隔离、事件跟踪、漏洞修补、安全策略调整、系统恢复和统计报告等等。同时为广大用户提供各种安全服务,如安全咨询、安全教育和安全工具等等。
6 小结
网络安全是当前校园网建设和应用的焦点问题,本文从技术和管理层面深入地讨论了安全校园网系统的建设问题。在技术层面上,需要根据校园网应用的不同,划分不同的安全等级区域,并针对各个区域的应用需求进行安全设计;在管理层面上,特别强调建立网络安全管理及应急响应机制,保障网络管理的规范化、制度化,提高网络安全管理能力。
参考文献:
[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.
[2] Convery S.网络安全体系结构[M].江魁,译.北京:人民邮电出版社,2005.
[3] 连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.
篇9
成就,在于自由沟通
PUSH Mail不繁琐
如果你以前使用过诺基亚Symbian系统上的邮箱,或许你的印象不会太好,因为上面的邮箱设置实在是太繁琐了,还需要如在电脑上设置邮箱一样进行POP、SMTP等设置。而在E7上,诺基亚专门制作了一个邮箱配置向导。这个向导内置了包括腾讯、网易、新浪、搜狐、微软Exchange Server在内的各种邮箱设置参数,你只要选定邮箱供应商,输入用户名和密码就可以了,不用再去设置POP、SMTP设置,以及选择服务器等。
根据诺基亚的说法,E7在和Exchange Server连接后,就能实现绝大部分Exchange Server 2010上提供的统一通信功能。统一沟通解决方案是即时通信在企业层面的实现,体现了企业级通信应用的最新发展趋势,也是微软在企业级通信市场上大力倡导的应用方向。该方案包括微软Exchange server及客户端的Communicator软件。通过使用统一沟通解决方案,商务用户可以极大地提高沟通的效率,节约企业成本。与此同时,E7对微软统一通信组建的支持,也升级到了2.0版本――如果你的Symbian^3设备没有微软Communicator 2.0,也可以通过Ovi商店加装,确保和公司服务器随时保持语音、邮件、会议通知等事务的同步。
另外,对于比较看重办公文档的商务人士来说,E7内置的全功能的QuickOffice Premier版本,不仅可以打开Office 2007及更早版本的全系列文档,还能进行编辑。在PDF阅读方面,E7的表现也达到了智能手机的平均水平。内建的Adobe Acrobat LE 2.5可以快速打开全图片或者图文混排的PDF文件,但是在缩放超过10MB体积的PDF文件时有明显的迟缓。由于QuickOffice暂时无法支持Office 2010提供的DOCX、XLSX、PPTX文件,所以E7也无法打开Office 2010创建的文件。
成就,在于运筹帷幄
诺基亚E7的实体键盘输入
诺基亚目前已经推出了四款Symbian^3手机。很显然,诺基亚E7在硬件上和之前几款区别最大,因为它有一块42键的实体键盘。将E7拿在手里,你会觉得略有一份厚重感,因为它里面另有乾坤。将E7滑开,42键的实体键盘就显示在你的面前,而键盘的后半部分刚好成为了支撑屏幕的支架,所以滑开后的E7有一股迷你电脑的范儿。
E7实体键盘的每个按键之间的距离合适;在F和J键上有两个与PC键盘非常类似的凸起,方便我们在打字时进行定位。而且E7键程较长、反馈很清晰,这也是实体键盘相对触屏软键盘来说最大的优势。
有了键盘当然还得需要输入法,输入法的重要性对于手机来说并不亚于键盘本身。虽然E7刚刚上市,但诺基亚之前就已经与搜狗展开合作,为E7的到来做好了准备。目前Ovi商店里的搜狗输入法已经支持E7的实体键盘。E7的数字键不是独立的,在搜狗输入法状态下选字时有三个选择:一是按左下角的右上箭头键再按数字选择;二是按右下的键盘方向键再选字;三是打开搜狗输入法的长按直接选字模式。个人认为第三种方式非常实用,在长按直接选字模式下,输入所需字母后直接长按所需汉字所在的数字键,就可以直接完成选字了。而且更为方便的是,在这个状态下,输入英文和数字并不需要切换中英文模式――按下A键后再按回车键即可直接输入字母A、而直接长按W键(2)就能输入数字2,这对于要处理大量中英文和数字混用的邮件和短信的使用者来说非常快捷。
而且在PC上处理文字的快捷键,在E7的实体键盘依然有效,比如用Ctrl+A选择全部文字,Ctrl+X/C/V进行剪切/复制/粘贴,也可以用Shift(左下角第二个键)+方向键来选择部分内容,进行剪切、复制或粘贴,这些功能在使用预置的QuickOffice编辑文档时非常方便。
如果你是短信或者邮件狂人,甚至可以考虑在“设置”-“手机”-“滑盖操作”里选中滑开滑盖直接新建短信/邮件。好吧,虽然我觉得E7自带的输入法也很好用了,但还是建议Office达人去Ovi商店下载搜狗输入法体验一下。
成就,在于未雨绸缪
远程保护你的手机
智能手机发展到今天已经成为很多人的个人信息中心,比如邮箱里的大量邮件、所有的联系人信息、大量的短信、随手记的笔记,以及照片视频等全部存在手机上――别给我说你的手机里没有点小秘密――这在带来方便的同时也带来一个隐患,如果手机丢了怎么办?虽说不会出现“艳照门”等让你一夜成名的事情,但个人数据、办公数据丢失也是一件非常麻烦的事情。比如“拾到者”通过Nimbuzz登录Gtalk、MSN等即时通信软件,诈骗你的亲朋好友,就是一件让人很头痛的事,更何况诺基亚E7还是一款不便宜的手机(媒体报价:标准套装5298元)。
好在诺基亚E7提供了一套易用而有效的安全解决方案。诺基亚和F-Secure公司(欧洲乃至世界知名的计算机及网络安全提供商)联手,推出了F-SecureAnti-Theft防盗服务。由于诺基亚E7电池不可更换,且无MicroSD卡插槽,因此一旦手机被锁定,任何人都无法窃取你的个人数据。
打开诺基亚E7,在“办公”栏目中我们就能找到F-Secure安全套件。这款套件中的病毒防火墙功能只有15天试用期限,而Anti-Theft防盗功能,则为无限期免费服务。第一次启动F-Secure安全套件会让你输入两项信息:
・安全代码:用来解锁和远程控制。就是类似于密码一样的东西,你可以设计一个比较复杂的代码。
・输入信任的电话号码:被信任的手机号码,挚友、家人的号码都很合适。
在下一个页面中将所有的选项都全部选上,只有这样才能在最大程度上发挥F-Secure的防盗能力。
丢失手机后需做的第一件事就是锁住它,让小偷无法进行任何操作。操作非常简单,用任意一支手机,发送短信到E7上,短信内容包含指令和你在E7上设定的安全代码。例如想要把手机锁起来,就输入#lock#安全代码;如果只是获得手机当前所在位置,则把lock改成locate,手机收到短信后就会自动锁定,并且通过GPS进行定位,自动发送一条包含当前所在位置的确认信息到预留的受信任手机号码上。点击链接就可以看到你的手机当前所在位置。现在手机安全了,对方无法跳过待机界面,必须在手机上输入安全代码才能 解锁。如果返回的信息显示手机是在你的办公室或家里,那说明是你自己遗忘了,否则可以试着打电话联系对方进行交涉,说不定别人只是捡到而已。
或许你也会担心有人捡到手机后换掉你的SIM卡,这不是问题。激活F-Secure的服务之后,更换SIM卡开机直接锁定,必须输入安全代码才能解锁,并且手机会自动通过新SIM卡发一条短信到你的受信任手机号码上,通知你SIM卡已被更换。直接把#lock#之类的命令回复到新号码上就能锁定手机,换卡也不顶用。
如果实在没法拿回手机又担心资料安全,终极解决方案是远程清除手机上资料,方法也很简单,像锁定一样发短信过去#wipe#安全代码,这样就能清除手机上的视频、照片、短信等个人信息。如果自己忘了安全代码,可以通过手机把安全代码发回预留的受信任号码上。
成就,在于
丰富的互联功能
E7还有另外一个对商务人士来说非常便利的功能,那就是USB host功能,E7与N8相同,内建的micro USB接口都支持USB host(也叫USB On-the-go,USB OTG),只要通过包装附送的USB转接线,就可以外接U盘,存取其中的内容,在档案文件分享上更有弹性。
不过,E7的USB host不只支持U盘,它还可以外接鼠标(就是一般的计算机鼠标),连接上鼠标后,手机就会出现熟悉的鼠标指针,接下来就可像操作一般计算机一样的方式使用手机,连鼠标滚轮都可以用;不过因为Symbian系统并没有“右键菜单”这种东西,因此如果使用者按了鼠标右键,手机会把它仿真成主菜单功能键,长按鼠标右键即可开启背景执行程序行表(就如同长按主菜单键一样)。而且,即使是无线鼠标,只要把接收的USB接收器接上手机,还是可以支持,但不是所有无线鼠标都可以用。支持外接鼠标对商务人士的好处是,只要把演示稿文件存在手机里面,要对客户做简报时,只要用HDMI或是3.5mm AV端口把演示文稿(PPT)输出到电视机或投影机上,再插上无线鼠标,就可以很方便地解说,不用带计算机出门了。
除了鼠标之外,USB host也可以支持外接键盘,不过接上之后只有英文与上排的数字键盘可以使用,一般键盘的功能键(如F1~F12)、Ctrl键,或是右边的小数字键盘都不支持,也不能用外接键盘输入中文。
Tips:如何将E7变成3G无线热点?
篇10
信息社会 安全基石
从互联网的前身――阿帕网(APPANet)的建立,到目前全球数以亿计的上网用户;从美国政府于上个世纪90年代提出的“国家信息基础设施”(建设信息高速公路)计划,到以互联网为核心的综合化信息服务体系和信息技术在全世界各领域的广泛应用;从1971年第一封以@为标志的电子邮件的发出,到现在全球每天360亿封的电子邮件往来。当今世界的政治、军事、经济、文化等各个方面都已经离不开信息技术的强力支撑,以互联网兴起为重要标志的现代信息化社会已经建立。
随着社会的发展和稳定对信息的依赖性越来越强,始终伴随着信息化的信息安全问题在最近几年迅猛放大,已经成为抑制全球信息化进程发展的重大障碍。
从无伤大雅的恶作剧脚本,到造成几十亿美元的蠕虫病毒,从以信息共享为名的盗版软件,到如今泛滥成灾的流氓软件,信息安全已经从神秘的黑客世界走入到每一个计算机用户的面前。如何正确、有效判别这些潜在的信息风险,关系到当今社会信息化发展的大计。
不可避免的安全危胁
写一段没有任何运行错误的程序代码对于一个程序员来说很容易,但要写出一段没有任何安全问题的程序代码似乎就有些困难了。是程序员的安全素质不够,问题出在程序员身上么?要知道,即使是那些专职安全防护的软件产品也经常会曝出各种各样的漏洞,这早已不是什么新鲜的事情。
计算机世界的霸主微软公司的程序员可都是一流的精英,先不说过去Windows、Office系统中至今还补不过来的千疮百孔,往前看其新一代的号称最安全的操作系统Vista,公开的Bug已达2万个,问题代码更是多达几十万行,发行日期一拖再拖。也许这主要是因为过于庞大的系统结构和功能造成的,可在一个0和1的数字世界里,复杂才意味着技术的前进、使用的便利、功能的强大,如今许多人早已明白:没有任何问题的代码只能是没有任何功能的代码。
除了程序代码设计本身的问题,安全漏洞还存在于通讯协议、网络架构、交互中国家信息中心信息安全研究与服务中心李少鹏模式、电子辐射、信号外泄,甚至是用户安全操作和安全意识等其他与信息交流有关的任何问题中。可以说安全威胁来自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威胁永远存在。
触目惊心的安全事件
2004年10月至2005年1月,某企业职工利用后门程序操纵了互联网上超过6万台的电脑主机连续攻击北京某音乐网站,致使该公司蒙受重大经济损失,这是我国首例如此大规模的“僵尸网络”攻击案;
2005年4月11日,全国超过二十个城市的互联网出现群发性故障;同年7月12日,北京20万ADSL用户断网;
2005年10月,网易计算机系统公司发现与北京市网通合作项目中,价值10元一张的网易一卡通虚拟游戏点卡被盗15.5万张,总价值155万余元;
2006年2月“全国最大网上盗窃通讯资费案”在北京开庭审理。某资深软件研发工程师被控利用工作之便侵入北京移动公司充值中心数据库,盗窃了价值38071元的充值卡密码……
公安部公共信息网络安全监察局主持的2006年全国信息网络安全状况与计算机病毒疫情调查报告中显示,在被调查的一万三千多家单位中,54%的被调查单位发生过信息网络安全事件。
同时,最近两年几乎染及所有计算机和计算机用户的网络钓鱼、流氓软件、垃圾邮件狂潮一轮又一轮的充斥着互联网。据国外的一份调查统计显示,89%的个人电脑平均感染过30种间谍软件。公安部在2005年声称中国的网络钓鱼网站占全球钓鱼网站的13%,名列全球第二位,而仅在2004年,公安部侦破的网络诈骗案件就达1350起。对此,国家反计算入侵和防病毒研究中心在公安部网监局的支持和指导下,发起成立公益性的“中反网络钓鱼联盟”。今年8月,广东首次公开处罚垃圾邮件发送者,这也是国内依据《互联网电子邮件服务管理办法》第一次公开处罚垃圾电子邮件的发送者。
安全法规需进一步完善
从1989年《中华人民共和国保守国家秘密法》伊始,到2005年《电子签名法》的实施,我国目前现行的与信息安全直接相关的法律、规章和制度有65部,“涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域”,可以说已经初步形成了一定的法规体系。尤其是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)通过后,电子认证、电子政务、等级保护、商用密码以及银行、证券等金融行业等法规和管理办法相继出台,不仅规范了信息安全市场,还对电子商务的发展、网络经济的正常运转到了意义深远的保障作用,同时也是对“信息安全上升为国家安全”的这一宏观政策指引的响应。
尽管如此,现行的信息安全方面的法规、标准体系仍然需要进一步完善与成熟。截至目前,我国还没有一部严格意义上基于信息安全的基本法,同时这为信息安全标准与政策的制定与落实带来了一定的难度。
层出不穷的攻击手段
目前流行的攻击手段有很多,除了病毒、蠕虫、口令破解等传统方法,木马、网络钓鱼、SQL注入等较为新型的攻击方法,其攻击范围也在不断扩大。但相应的防范技术和知识已经比较普及,应对起来容易些。值得特别注意的是以下三种攻击形式,分布式拒绝服务攻击、零日攻击和社会工程学攻击。
分布式拒绝服务攻击至今还没有特别有效的防范方法,其具备攻击方法简单和攻击源无法确定的特点,上文中音乐网站被攻击的案件就是一个典型的例子。这种攻击的难点在于组建大量的傀儡主机――“僵尸网络”,通常借助即使通讯工具或电子邮件来植入木马,并通过新的系统漏洞的出现而达到顶峰。
零日攻击则是利用尚未公开或未发行补丁的漏洞实施攻击,这种攻击最为致命和可怕,因为任何人都很难对未知的情况做出正确的反应,此种攻击成功率高、隐蔽性强,往往针对某个既定目标,是今后安全防范工作的最大隐患之一。
最后一种是社会工程学,实际上它是一种非技术手段的攻击,它的直接攻击对象不是数据库也不是防火墙,而是能够出入这些敏感地带的人。技术再高也是由人来操作的,安全防范做得再好,得到授权的人也是可以出入的。世界著名黑客凯文・米特尼克在《欺骗的艺术》一书中写到:“安全不是技术问题,它是人和管理的问题……”,“由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难……”,“精干的技术专家辛辛苦苦地 设计出安全解决方案来最小化使用计算机的风险,然而却没有解决最大的漏洞――人为因素。”因此,在如今信息安全技术已经趋于成熟的环境下,正确的安全防范意识无比重要。
目前,仍然还有许多人普遍缺乏安全意识。政府网站频频被黑、网上银行客户资金被盗、网上交易遭遇诈骗……,这样的安全事件几乎天天都在发生,其关健原因在于安全管理和意识的匮乏。对于被动的防范来说,意识要重于技术,甚至会超越技术。
安全技术任重道远
广义上的信息安全包括了众多内容,信息安全国家重点实验室冯登国教授曾在今年的“十一五”信息安全发展趋势论坛上讲到抽象化、可信化、网络化、标准化和集成化,是信息安全技术发展的重要趋势。目前主流安全技术不外几种。
主动防御
虽然瑞星、金山、江民三大反病毒厂商在今年先后发出推出主动防御产品的声音。但实质上,目前的主流产品还是在遵循“病毒产生――研究特征码――升级病毒库”的老路子。主动防御技术如何避免大量的提示和误报是主动防御产品是否能真正走向市场的关键性问题。
生物识别
从用户名加口令到加密锁,再从USB令牌到指纹、声纹、虹膜等生物识别。即使身份认证已经有了高级的尖端技术,可目前最为广泛应用的还是最初的用户名加口令身份认证技术,简单易用,且能够保障基本的安全需求。但不可否认,生物识别技术以其无可替代的识别优势必然随着成本的降低、需求的加大走向普及。
可信计算
严格的说,可信计算并不能算一项新兴技术,早在2002年沈昌祥院士开始在国内提倡可信计算。虽然经过了2004年的热点后,国家将其列入“十一五”规划重点支持项目,相关企业也成功的生产出TPM的安全芯片,但中国的可信计算是否能与国际标准接轨、庞大的可信计算体系涵盖内容之间是否能有序协调仍是一个未知的难题。
灾难恢复
实际上,灾难恢复主要不是技术问题,而是管理和实施问题。它的重要性随着对国民经济具有重要支撑作用的大型企事业单位以及政府部门对信息化日益增长的依赖性而凸现出来。近年来,银行、电信,海关、税务、民航等部门已经建立起自己的灾备中心。国务院信息化工作办公室2005年出台的《重要信息系统灾难恢复指南》为我国整个信息安全保障综合体系的最后一环――灾难恢复的管理和实施带来了强有力的促进和重大指导作用。
理论篇>>>
思索信息安全:内涵与外延
江常青
要谈论信息技术发展的趋势和信息安全面临内外部环境的变化,就像一个一直在匆匆行路的人,突然要停一下,观看周围环境,预估和展望前面的道路。但是要想象前方,恐怕先要回头看看走过的路,因为有两种可能:一种是走出来的路,过去和现在影响着未来;二种的情况是,也许路一直在前方,变化的则是我们的认识和行为。无论怎样,“时而思”比不思则罔更有益。
信息安全的历史有多久?五年,五十年,还是五千年?都可以。
目前,国家、企业和个人开始认识并重视信息化所带来的安全风险问题,以及国内出现专门的信息安全从业人员,仅有5―10年;而以现代计算机的发展与应用算起,信息技术渗入现在社会生活带来的信息安全问题,这段历史达到了50年;其实,自从人类文明伊始,文化和信息的使用开始就存在信息安全问题,这是5000年的历史。但是,历史从来没有象今天这样迫使我们必须去思考和面对信息安全的问题,因为当今是高度信息化的社会。我们生活在一个信息世界中,信息安全问题关系到每个人、家庭和社会各个组织机构。
从辨证学角度来说,变是绝对的,也是相对的。在5~5000年这个“漫长”的尺度上,信息安全领域有的在变,而且变化很大;有些东西也许并没有多大的进展和变化。处理信息的设施在技术发展中变化着,解决信息安全的具体技术措施和手段也随着发展,信息安全的内涵也不断延伸,但有关信息安全的一些关键和核心的问题并没有得到探讨与思考。
“谁的”信息安全?
信息安全自身没有价值和意义,它对于信息和信息系统所有者、管理者、使用者、监管者才有意义。因此,同样一个信息及其系统对于不同的人、组织甚至国家的意义是不同的,因为其安全的目标和需求是不同的。比如说,某商业银行的信息系统,对于银行自身、银行监管部门,以及政府来说,安全价值与意义有着根本的区别。作为企业的银行,其安全核心是保障组织机构的正常运行和获得商业利益的能力;作为行业管理部门是金融安全风险的一个组成部分;从国家和政府部门来说它是事关国计民生的重要信息系统,它的安全影响社会。
“什么的”安全?
从历史发展看,信息安全逐步从信息传输的安全,发展到信息产生,传输、处理、存储等整个生命周期的安全。同时,信息安全也从单纯的指信息数据的保密安全,扩展到支撑信息流动的软硬件、载体的IT安全。在新一代信息技术大规模普及的今天,信息安全还包括信息的使用安全,信息内容的安全与信息及信息系统互动的人的安全等方面。
因此,信息安全不是孤立的。当我们谈论安全时,一定是指特定对象的安全,同时要强调这个特定的对象是对于谁而言,言论中的安全必须在明确的上下文环境之中,否则就失去意义和准确性。
安全是什么?
安全是一种或多种性质或属性吗?它和色彩,质量是对象的属性类似吗?这个问题很难回答。假设安全是“属性”,安全信息安全经典定义中的保密性、完整性、可用性。这三性都是以否定语句来定义的。要证明一个肯定的性质存在比较容易,找到它即可。要证明“不被修改”等类似否定语句的性质比较困难。此外,要证明信息或系统同时满足三个性质更为困难,因为这些安全性质是动态变化,它会随着外部对手和系统内部自身变化而变化,也就是常说的今天的安全难以保证明天的安全。因此,很有必要反思安全作为性质是否妥当。近年来,从风险角度来重新定义安全的趋势十分明显,将安全定义为风险可控可管理的过程。这样一来,安全就不是系统自身的性质了,转化为对抗风险的保障能力。安全保障能力由技术、管理、人等措施来构建起来,安全亦被风险和保障两个概念所取代,隐身在后面。安全与否不再是去寻找这些性质存在与否,而是去计算保障是否大于对应风险。如果是,就是安全。这种重新定义的安全将不再是性质,而是个过程和目标,通过过程去达到目标,而目标反映了信息安全在上下文环境定要求。
这些探讨和思考能否达到我们理解信息安全的本质,笔者不得而知,但是这是一个探索的过程。在信息技术层面上,在我们实际可以设计实现的信息处理技术的进展中,可以看到未来信息安全技术的发 展趋势:
软件安全
软件是构建信息世界和社会的核心部件,安全问题的产生很大程度上来源它的不安全、不可靠,如何提高软件的安全性将会是个重点,有理由相信,随着软件形式化、自动化的提高,其安全性会快速的提高。
安全度量
有人说,不可度量的不是科学,信息安全正处于这样的境地。确实,目前我们还无法在信息安全领域找到类似物理世界的度量,如时间量、空间量、质量等,也没有类似比特的信息量,因此信息安全要成为科学还有很长的路要走。但尽管如此,我们已逐渐找到一些度量,它对提高安全是有好处的,比如安全功能强度,人力的部署和能力提升,过程控制的环节等等。
信息流控制
除了人、管理、网络系统外,信息安全的核心问题还是保证数据和信息的安全。信息流如何开放的网络系统环境中,如何在不可信、不安全的环境中构建可信的信息流动和控制机制是必须要解决的问题。因为数据和信息不可能像物理世界中永远被隔离和锁在保密柜中,它必须给该看到的人看到,就和货币要流通一样,安全必须找到自身的动态价值。
抗攻击技术
由于对手一直存在,破坏安全的外部因素不会消失。安全事故和事件时时都会产生,如何提高信息和系统抗攻击以及受攻击后降低损失的技术十分重要,以防范为主的安全技术将被抗攻击技术将逐步取代。
内部安全
安全技术也将从防范外部威胁为主,转换到关注内部威胁为,构建内控技术和管理体系将会成为最热的市场机遇。在这里,与业务逻辑和网络行为相关安全分析成为技术难点。发展篇>>>
发展篇>>>
内外之道把脉“新安全”
吴锡源
当前,大多数企业的信息安全机制不堪一击。具体来说,这些企业的安全措施所提供的防护级别难以应对它们所承受的实际风险。事实胜于雄辩:虽然各个企业已竭尽所能采取相应防护措施,但是它们仍然频繁受到攻击。据可靠数据统计:仅2005年,大约三分之二的企业至少发生一次安全事故,而半数以上的企业则至少发生三次安全事故。
面临挑战的安全管理
目前的主要问题在于,大多数企业只是采用侧重边界的高度反应性防御措施,因此无法与当前日新月异的威胁趋势保持同步。新威胁层出不穷,并以前所未有的速度和效率进行传播,在许多情况下必然会导致混乱局面比比皆是。不仅如此,可用于(或至少所分配用于)改善这种局面的资金也相对较少。实际上,Ernst&Young的《2005年全球信息安全调查》显示,各个企业将其安全预算的50%用于“日常操作和事故响应”,仅将17%的预算用于完成“更关键的战略项目”。
显而易见,企业需要采用更为完善的解决方案才能针对当前的攻击进行自我防护。因此,企业所需要的威胁管理解决方案具有以下特点:主动――能够防御未知威胁;全面――能够将所有企业内外的攻击源头阻挡在外;高效――非常经济实惠的选择。
在企业努力部署有效威胁管理解决方案的过程中,威胁趋势的日新月异、符合法规要求的需要以及对反应性对策的过度依赖对于它们面临的重重挑战来说只是凤毛麟角。
把脉新“安全”
传播速度相对较慢的基于文件的病毒和群发邮件蠕虫仍然屡见不鲜。实际上,在2005年上半年,这类威胁在向赛门铁克报告的前10位恶意代码示例中占三类。不过,黑客的动机已明显从追求名声转向牟取暴利,而漏洞开发框架的日渐普及是威胁趋势发生许多显著变化的主要原因之一。
・威胁数量与日俱增
这不足为奇。由于黑客的动机越来越强烈,并且开发新型恶意软件的难度越来越低,所以威胁的数量无疑会猛增。不仅如此,威胁制作软件及其模块化构造技术导致开发威胁变种的行为司空见惯。例如,2005年上半年,仅针对Win32平台的新病毒和蠕虫变种数量就已达到10800种。与前六个月相比,次数量就增加了48%。
・威胁生成时间日益缩短
日益成熟的黑客工具包不断增多的另一恶果是开发新威胁所需的时间明显缩短。因此,从发现新漏洞到发起针对该漏洞的特定攻击之间的时间也无可避免地大大缩短。实际上,在2005年上半年,此时间段的平均持续时间仅为六天。
・威胁传播速度正在加快
虽然近年来这方面威胁的趋势没有显著变化,但是由于威胁的传播速度已经非常惊人,所以这种形势不容乐观。例如,2001年红色代码在37分钟内即可使感染速率增加一倍。而在2003年,Sapphire蠕虫每8.5秒传播速度就会加倍,最终不到10分钟就会感染90%易受攻击的目标主机。而且,认为最终不会出现传播速度更快的威胁完全不切实际。
・威胁日益变化莫测
导致变种数量不断增多的因素也同时导致混合型威胁层出不穷。通过使用多种利用机制、有效负载和/或传播方法,这类威胁更有可能避开企业防线,然后成功施加负面影响。另外,导致局面日益恶化的另一个原因是黑客目前主要攻击系统和应用程序层的弱点,而不是网络层的漏洞。这样,他们的攻击往往成为侧重网络层活动对策的漏网之鱼;不幸的是,大多数企业目前只凭借这样的对策来保护自己。
首先,威胁数量大增意味着不仅安全员工将承受更大的压力,而且他们所实施的对策在一定程度上也会受到影响。还需要进行更多研究以确定最具破坏力的威胁、需要采取更多防御措施,最终还需要解决更多事故和故障。要使这样的等式重新达到平衡,很可能需要任命更多安全管理员或实施可提高操作效率的工具,特别是在研究和防范活动方面。第二个影响是使利用管理补丁程序进行防御的效果微乎其微。过去,从发现漏洞到漏洞被利用之间的时间长达数月,所以制造商可以从容开发和补丁程序,然后由企业对这些补丁程序进行测试和实施。但是,目前在发现漏洞后平均需要54天才能相关补丁程序,所以根本无法及时提供补丁程序。而且即便能够及时提供,还需要考虑测试和实施相应补丁程序所需时间的问题。在最紧迫的情况下,最高效的企业可能需要几天才能完成该过程。但这根本不具有代表性,企业补丁程序管理流程的常规执行时间至少需要30天。
安全之路延伸何方
面对不断变化的新威胁,信息安全的环境也在发生着深刻的变革。
首先,由于需要保持竞争优势,所以各个企业必须更迅速地应用新兴技术(例如,WLAN、VolP和Web服务)以及所有现有技术和平台的新版本。一般,各个企业不但必须管理和保护更多计算基础架构和应用程序,而且其中大部分均为新出现的复杂架构和程序,极为分散。结果是由于配置错误和疏忽导 致的代码漏洞与日俱增,而且弱点也越来越多。
其次,随着内部威胁日益严重,企业的安全观念正发生着深刻的变化。从历史角度来看,企业一般将注意力集中在保护他们与互联网的连接上面,很少保护他们的内部网络和系统。不过,由于第三方连接日益增多,现场办公的合同工需要连接到公司网络,而且公司自身员工的移动性越来越强,从而导致威胁可以绕过互联网边界控制,然后从内部以相对迅猛的速度传播。因此,除了原来必须要保护的日益增多的基础架构外,企业现在还必须保护内部网络和系统。
此外,确保内部网络安全的另外一个要素是必须遵从各种“暗示”的法规和法律(如果没有明示)。不过,从所占用的资源数量及有时会提供虚假的安全感角度来看,遵从这些要求反而会产生更多问题。事实上,一份最新调查表明遵从是信息安全活动的最重要的推动因素,该调查还表明由此而引发的主要活动是制定和更新各种策略和程序,而不是切实加强公司的安全架构或整体战略。
更现实的还有预算问题,企业面临的这方面挑战在一定程度上变得欲盖弥彰。只需看看现状就足以:目前所制定的安全预算不仅不合理,而且这部分预算的使用方式往往对防御攻击没有帮助,此外这部分预算永远处于与“企业”的其他需要进行竞争的状态。
以上复杂因素清楚地表明理想的威胁管理解决方案必须兼顾高效性和灵活性。相对于安全部门可支配的资源而言,他们需要完成的工作过于繁重。与此同时,基础业务需求(不考虑基础架构)可谓常变常新。
策略篇>>>
“湿件”:另一种思维看安全
刘 恒
鲁迪卢克在系列科幻小说《湿件》中讲述了一个人类制造的肉身机器人如何控制和改变人类的故事。该书对人类脑力智慧(湿件)与带有编码化知识(软件)的机器人(硬件)的结合并最终摆脱人类控制的前景作了最大胆的想象。
无独有偶,“湿件”先后出现在黑客界和医药界,并且成为新经济增长理论的一个术语。如今,启明星辰率先在安全业界引入“湿件”理论,并开始成功应用到安全服务领域。
看到“湿件”二字,绝大部分人认为是“事件”的笔误,其实不然,两者毫无瓜葛,截然不同。“湿件”是指与计算机软件、硬件系统紧密相连的人(程序员、操作员、管理员),及与系统相连的人类神经系统。由此可见,“湿件”,是储存于人脑之中,无法与拥有它的人分离的能力、才干、知识等。
从某种意义而言,“湿件”是与软件、硬件并列的IT第三大件,人们应该对“湿件”给予充分重视。“湿件”第一次将人的作用突出出来,而且这种作用远远高于软件和硬件。没有软件,硬件是无用的;没有人的操作或指示,软件、硬件一起也做不了什么;由此可见,“湿件”是IT系统最为基础的部分。
网络安全的脆弱一环
尽管“湿件”的作用如此基础和重要,但是长期以来却未被提到应有的重视高度。尤其是在中国的网络安全领域,对于“湿件”的研究基本是个“空白”,目前,启明星辰公司敏锐地发现这一“空白”,第一次将安全“湿件”与安全服务紧密地联系在一起,第一次将人在信息安全中的决定性作用突出了出来。
三个典型的案例很容易说明问题。
案例一:某小区的保安系统很健全,24小时有保安守卫,但最近却发现有小偷入户行窃。尽管没有搞清入侵者是从哪儿进来的,有关部门还是贴了一个告示,提醒大家夏天别开窗户以防小偷。由于没有找出问题的症结所在,同样的事情在该小区再次发生。后来有人发现,小区里栏杆的设计不合理,让小偷钻了进去,如果拉两个栏杆,就可以防止这种情况。
这个案例说明,我们必须充分了解攻击者和攻击行为发生的原因,才有可能有效防御攻击。
案例二:某部门存放重要文档的电脑出了故障,保管文档的人在部门内对电脑进行了修理。一段时间后,该重要文档泄漏了,并被公开到互联网上。经过一番追查,最后发现是修理电脑的人偷偷将文档拷贝了下来。这个案例说明,人员安全意识的缺失是遭到攻击的致命因素。
案例三:“你想要值钱的东西吗?想要,你就去拿吧。”全球最著名的黑客Mitrdck语出惊人。人们都认为他拥有无人能敌的高超技术,他却在自己的《欺骗的艺术》一书中说,安全的核心和根本,不是技术问题,而是人和管理问题;安全最薄弱的环节是人的因素,穿透人这道防火墙往往非常容易。
从这三个案例中,我们不难看出,人的因素在信息安全中是何等重要。这也是启明星辰为何将“湿件”引入安全服务的意义所在。对“安全湿件”的强调,体现了一种系统的安全设计思想,有了这种意识,用户在构建安全系统时会考虑更多的因素。如果用户没有考虑到“湿件”也是安全系统的一个组成部分,他设计出来的安全防御系统肯定是不健全的,是失去平衡的,结果是花了很多钱,建造的安全系统并不安全。
完善安全系统
信息安全是动态的,是过程,是攻击和防御的平衡,从这个角度讲,可将安全“湿件”划分为攻击型“湿件”和防御型“湿件”。攻击“湿件”和防御“湿件”都可以进一步细分下去。例如,防御型“湿件”还可以按照不同的人、不同类型的知识进行细分。
在信息安全系统中,攻击和防御是密不可分、相辅相成的两个方面。一方面,所谓“知彼知己、百战不殆”,只有在攻防结合的基础上,充分地了解甚至先考虑攻击“湿件”,知道攻击“湿件”是什么、在哪里、怎么样,才谈得上有效防御。目前很多安全产品或方案存在着一个严重的缺陷,那就是并不了解攻击者,也就是没有防御的明确目标,只是凭想象强行建立起一种防御系统。其实也许用户根本不需要那么强大的防御系统,这就是忽略了攻击“湿件”产生的问题。
安全“湿件”有助于企业提高和完善现有系统的安全性。企业在进行安全投资的时候,应该首先注重培养人才,培养“湿件”,甚至应该把“湿件”摆在硬件和软件之前考虑。实践证明,“湿件”的投资回报率相当高,产生的效果巨大。“湿件”应该是排在软件和硬件之前的基础性的部件。
由于防御型“湿件”中的人总是不可避免地具有脆弱性,这给攻击型“湿件”提供了可乘之机,安全风险在所难免,安全产品和安全技术有时也会失灵。刘恒博士指出,许多安全问题仅凭安全产品和技术是解决不了的,必须充分考虑人的因素,用基于“湿件”的服务去解决。
从上述角度来看,信息安全的关注点正在发生变化,转向关注“湿件”。高明的用户一方面要构建自己内部的安全“湿件”,另一方面在自身“湿件”不够强健时,则可以购买专业安全公司提供的安全“湿件”。“湿件”作为服务成为主流,无疑是安全产业发展的必然趋势。
崭新的安全服务
“湿件”与安全服务紧密相关,但是并 不能划等号,也不能划大于号或小于号。因为服务强调的是一种形式和过程,而安全“湿件”强调的是安全软件和硬件之外的人的重要性,突出的是系统的有机性,是一种强调完整协调一致的理念。安全“湿件”作为服务的一种形式应该成为安全业界的主流。启明星辰的M2S就是全新的基于“湿件”的安全服务。
作为一个重要的防御型“湿件”,M2S体现的是具有标志性的专业化的安全服务。这个体系是在启明星辰TSP理念的指导下,在多年安全服务最佳实践的基础上,结合国际先进的安全服务理念、模型和业务模式,以用户需求为中心,以注重实效为宗旨,推出的一种全面、细致的全新服务模式,主要包括国际化管理咨询、专业化风险评估、实时性管理监控、专家型应急响应等内容。
M2S,一个能够进行全面防范、即时监测、专家响应的实时安全过程,是一种全新的安全“湿件”。M2S有4层含义:MMS(Managed Monitoring Services),体现了专业的监控技术与服务;MSS(Managed Security Services),体现了安全企业与国际通用托管式安全服务的融合,强调安全企业要保持国际安全服务的规范性;MtoS(Management to Security),阐明了安全企业倡导的“通过管理达到安全”的理念,也契合了“服务的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全监控,这里尤其体现了本地化差异性,与国外MSM主要根据设备来实行监控管理不同,M2S致力于解决客户几乎所有的安全问题,范围更为广泛。
可以说,“湿件”理论与M2S的有效结合,提升了网络和系统自身的防御能力,为更多的用户提升了生产效能,而将安全“湿件”与服务紧密相联,也完全可以有效帮助信息安全企业在安全服务领域树立新的里程碑。
管理篇>>>
安全风险管理的游戏规则
驾驭风险,方可掌控安全。日前,绿盟科技专业服务部总监王红阳,就目前信息安全风险评估以及风险管理的创新理念、前沿技术、创建适应企业发展的网络环境等问题,接受了《软件世界》杂志的采访。
软件世界:如何理解风险管理的概念?绿盟科技在这方面的研究有没有什么前沿性的课题?
王红阳:在COSO企业风险管理框架中,风险定义为任何可能影响某一组织实现其目标的事项。风险的范围可能是财务、合法性、符合性、运维、市场、战略、信息、技术、人员、声誉等方面。风险包括恶性事件带来的威胁、尚不能确定后果的事件、可转化为机会的事件。风险管理是发现和了解组织中风险的各个方面,并且付诸明智的行动帮助组织实现战略目标,减少失败的可能并降低不确定的经营结果的整个过程。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家、国际有关信息技术、安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁,以及脆弱性被威胁源利用后所产生的实际负面影响等,并根据安全事件发生的可能性和负面影响的程度,来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。企业风险管理使管理当局能够有效的应对不确定性以及由此带来的风险和机会。
软件世界:如何在一个组织的网络中识别出风险所在?
王红阳:风险评估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的国际和国内标准,这些标准提供了评估过程、评估方法、评估模型、评估内容等多方面的规范化指导,同时在评估算法、评估操作等方面参考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美国、澳大利亚、新西兰的标准和规范。
风险评估的过程就是对信息系统所面临的各种风险发生的可能性和风险发生后的严重性进行评价,即在国际、国内等相关标准和规范的指导下对信息系统的资产、威胁、脆弱性三要素进行详细具体的评估。
风险评估包含了(但不仅限于)以下一系列的技术评估手段和管理评估手段:
・安全扫描:通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。
・人工检查:通过人工方式直接操作评估对象来获取所需要的安全配置信息,主要解决远程无法通过工具软件或设备获得的信息,以及为避免评估意外事件而采取的方法。
・IDS取样分析:通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析。
・渗透测试:在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法。
・应用安全评估:对用户业务应用软件进行安全功能审核、渗透测试、源代码审核等。
・安全管理审计:通过文档审核、策略审核、问卷调查、顾问访谈等形式,对信息安全策略、组织信息安全、资产管理、人力资源安全、物理和环境的安全、日常运作和通讯、访问控制、系统的获得、开发与维护、信息安全事件管理、业务持续性管理、符合性等方面进行综合评估。
软件世界:信息资产风险管理的内容包括什么?通过怎样的策略和方案可以达到风险管理的目的?
王红阳:信息安全风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能存在的危害,以便为系统最终安全需求的提出提供依据。同时,也是为了分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。进而通过合理步骤,制定出适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。
信息安全风险评估是一个组织机构实现信息系统安全必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过信息安全风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的支持,更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险,这需要建立一个晚上的体系。
