時間:2023-06-06 09:30:15
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全設備,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
0 引言
TCP/IP協議的開放性、靈活性使得基于IP技術的通信系統成為各類通信網絡的主要構成部分,但網絡上的IP數據包幾乎都是用明文傳輸的,非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數據的通信IP網,網絡的安全性尤其重要。
IPSec(Internet Protocol Security)在IP層提供安全服務,使得一個系統可以選擇需要的協議,決定為這些服務而使用的算法,選擇提供要求的服務所需要的任何密鑰。IPSec可保障主機之間、網絡安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。因此,采用基于IPSec的網絡安全設備可為重要數據安全傳輸提供保障。
1 IPSec概述
IPSec協議是IETF提供的在Internet上進行安全通信的一系列規范,提供了在局域網、專用和公用的廣域網和Internet上的安全通信的能力,保證了IP數據報的高質量性、保密性和可操作性,它為私有信息通過公用網提供了安全保障。通過IKE(IPSec Key Exchange,自動密鑰交換)將IPSec協議簡化使用和管理,使IPSec協議自動協商交換密鑰、建立和維護安全聯盟服務。使用IPSec協議來設計實現的VPN(Virtual Private Network,虛擬專用網)網關具有數據安全性、完整性、成本低等幾方面的優勢。
使用IPSec協議是用來對IP層傳輸提供各種安全服務,主要包括兩種安全協議,即AH(Authentication Header,驗證頭)協議和ESP(Encapsulating Security Payload,封裝安全載荷)協議。AH協議通過使用數據完整性檢查,可判定數據包在傳輸過程中是否被修改;通過使用驗證機制,終端系統或網絡設備可對用戶或應用進行驗證,過濾通信流,還可防止地址欺騙攻擊及重放攻擊。ESP協議包含凈負荷封裝與加密,為IP層提供的安全服務包括機密性、數據源驗證、抗重播、數據完整性和有限的流量控制等。兩者比較之下,ESP協議安全性更高,與此同時其實現復雜性也較高,本文設計的網絡安全設備采用ESP協議。
2 網絡安全設備設計
2.1 設備加解密原理
圖1 設備加密工作原理
為確保重要數據傳輸安全可靠,需在通信IP網中增加保密措施,因此本文設計了基于IPSec的網絡安全設備。設備采用軟件和硬件相結合的方式實現IPSec協議體系。軟件模塊主要完成控制層面的功能,包括網絡管理、密鑰管理、策略管理、配置管理、熱備管理、信道協商等功能;硬件模塊主要完成數據處理層面的功能,包括數據包的協議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能,設備加密工作原理如圖1所示。
當設備收到用戶IP包時,先判斷其是否為保密數據,如果是,則在該IP數據前加入一個ESP頭,然后發送到公網。ESP頭緊跟在IP頭后面,ESP占用IP協議標識值為50。對IP包的處理遵守以下規則:對于要發送到公網的IP包,先加密,后驗證;對于從公網上收到的IP包,先驗證,后解密。
當設備要發送一個IP包時,它在原IP頭前面插入一個ESP頭,并將ESP頭中的下一個頭字段改為4,根據密鑰管理協議協商得到的SPI(Security Parameters Index,安全參數索引)值填入到ESP頭中,并分配一個序列號,同時根據算法要求插入填充字段,并計算填充長度。在ESP頭的前面插入一個新的IP頭,源地址為設備的IP地址,目的地址為對端設備的IP地址,并對相應的字段賦值,在做完以上處理后,對IP包加密,并進行驗證,將驗證數據插入ESP尾部。最后計算最前面的IP頭的校驗和。
遠端設備接收到一個ESP包后,首先檢查這個包是否有相關的SA(Security Association,安全關聯)存在,如果不存在,則將該包丟棄。如果存在,則進行下一步處理。首先檢查序列號,如果序列號無效(一個重復的包),則將該包丟棄。如果有效,則進行下一步處理。根據對應的SA對這個包進行驗證,并將驗證結果與IP包中的驗證字段比較,若不一致,則丟棄,若一致,下面就進行解密,并根據填充內容來判斷解密是否正確,因為填充數據可以通過約定事先知道。在驗證和解密成功后,就對IP包進行初步地有效性檢驗,這個IP包的格式與SA要求的工作模式是否一致,若不一致,則丟棄該包,若一致,就準備從ESP包中解出原IP包,刪除外面的IP頭和ESP頭,然后檢查這個IP包與SA所要求的地址和端口是否符合,若不符合,則丟棄,若符合,則設備將該IP包轉發出去。
2.2 硬件結構設計
網絡安全設備采用模塊化的設計思路,各硬件功能模塊之間采用接插件方式連接,各模塊的連接關系如圖2所示。
圖2 設備硬件結構及連接關系
設備主板是數據處理核心模塊,其他各模塊通過接插件與其連接。承載了業務安全處理、加解密等設備的核心功能。其上的主控模塊運行Vxworks操作系統,承載設備嵌入式軟件,全面管理設備軟硬件運行狀態。板載密碼模塊完成業務數據的高速加解密處理。
接口板包括用戶口和網絡口兩塊接口板,通過高(下轉第64頁)(上接第65頁)速接插件插在設備主板上。接口板上的千兆MAC芯片通過業務和控制線纜連接到后接線板。
IC卡讀卡器通過RS232接口線纜與設備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應的直流電源。后接線板提供千兆口、100/1000自適應電口的用戶業務接入,本地控制接入。
3 VPN構建
網絡安全設備專門用于在TCP/IP體系的網絡層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密,可以支持大多數用戶業務,對局域網重要數據進行加密保護,通過公共通信網絡構建自主安全可控的內部VPN,集成一定的包過濾功能,使各種重要數據安全、透明地通過公共通信環境,是信息系統安全保障體系的基礎平臺和重要組成部分。設備部署在局域網出口處,通過對IP數據的加解密,可以保證局域網數據在公共信道上傳輸的安全性。
與設備相連的內部網受到IPSec保護,這個內部網可連入不安全的公用或專用網絡,如衛星通信、海事和專用光纖等。在一個具體的通信中,兩個設備建立起一個安全通道,通信就可通過這個通道從一個本地受保護內部網發送到另一個遠程保護內部網,就形成了一個安全虛擬網。當位于某個安全內部網的主機要向另一個位于安全內部網的主機發送數據包時,源端網絡安全設備通過IPSec對數據包進行封裝,封裝后的數據包通過隧道穿越公用網絡后到達對端網絡安全設備。由于事先已經經過協商,收端網絡安全設備知道發端所使用的加密算法及解密密鑰,因此可以對接收數據包進行封裝。解封裝后的數據包則轉發給真正的信宿主機,反之亦然。
4 結束語
在設計網絡安全設備時采用IPSec協議,使用ESP對傳輸的數據進行嚴格的保護,可大大增強IP站點間安全性。在傳輸重要數據的通信IP網中使用本文設計的基于IPSec的網絡安全設備構建VPN能很好地防止數據被更改或竊取,確保數據傳輸的安全性。
【參考文獻】
[1]藍集明,陳林.對IPSec中AH和ESP協議的分析與建議[J].計算機技術與發展,2009,11(19):15-17.
[2]郭旭展.基于IPSec的VPN安全技術研究[J].電腦知識與技術,2009,8(24):52-54.
關鍵詞:計算機;網絡;安全管理
中圖分類號:TD672 文獻標識碼:A
1 引言
全球互聯網絡的飛速發展為網絡安全提出了新的挑戰:網絡規模及其復雜程度不斷擴大;傳統網絡攻擊技術不斷進步;各種系統安全漏洞廣為傳播;高級攻擊技術和工具肆意在互聯網上流傳;來自網絡內部的攻擊數量與日俱增等。面對層出不窮的網絡安全問題,很多機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且隨著網絡規模的不斷擴大和網絡安全產品的日益豐富,如何有效地對這些產品進行統一的管理和配置而不僅僅是對網絡安全產品進行簡單堆砌,如何使得構成的網絡安全系統更加安全、高效,就成了目前網絡安全面臨的一個主要問題,于是導致了網絡安全管理平臺的產生。
2 網絡安全管理平臺總體功能
網絡安全管理平臺要向網絡安全管理用戶提供一個配置管理安全設備、對網絡安全進行審計、監控網絡安全設備狀態的軟件環境。所實現的主要的功能為:網絡安全設備配置管理功能、安全審計功能、安全數據實時采集監控功能、平臺自身的安全性。其中安全審計包括網絡安全設備系統日志審計功能與網絡安全設備流量信息審計功能。下面就網絡安全設備管理功能及網絡安全設備系統日志審計功能加以說明:
一般說來,網絡安全設備自身有多種網絡安全功能,這些功能要由網絡安全管理者根據具體的網絡安全策略來做出配置。根據當前大多數網絡安全設備的總體功能與網絡安全管理的要求,本網絡安全管理平臺主要向用戶提供以下方面的配置管理功能:系統監控功能、安全策略配置功能、連接控制(IP Inspect)配置功能、NAT功能配置功能、QoS功能配置功能、阻斷配置功能。
網絡安全設備系統日志審計功能作為安全審計中重要的一環-物證收集,是安全審計的基礎和前提。網絡安全設備日志格式主要有三種:Syslog、Traffic log、WELF。其中Syslog格式日志在包括Cisco、Juniper在內的很多網絡設備中的廣泛應用,并由網絡安全管理平臺的安全日志Syslog審計功能來完成統計各個主機Syslog總條數、根據用戶所關心的級別查詢所有Syslog日志、根據用戶關心的類型查詢所有Syslog日志、據某個主機IP段查詢所有主機日志等審計功能。
3 網絡安全管理平臺的系統設計
網絡安全管理平臺的系統的設計以采用目前業界流行的BS/結構。數據存儲采用oarcel數據庫和文件服務器。系統從可擴展性、高性能、系統的松禍合性、安全性等角度進行了充分的考慮,為安全信息系統的管理提供了一個商業級、智能化的統一管理平臺;同時系統采用面向對象設計并以遵守SUNJava編程規范、遵守JZEEZ.O標準;遵守Struts開發架構為主要設計原則。
安全管理平臺的系統的設計以有效解決對關鍵安全數據進行業務關聯分析和計算、指導安全運維,減少安全運維的工作量、統一管理資產信息、匯總安全評估結果、實現安全事件過濾、避免海量事件出現,規范安全事件響應流程、改善安全響應工作效率、提高處理水平。實現風險模型、統一存儲、呈現、查詢等功能為系統設計的總體目標。使系統在進行數據操作的時候進行一致性、完整性、值域完整性校驗,確保系統數據的可用性、有效性和合法性。
網絡安全管理平臺的設計主要有四部分構成:產生安全事件的安全設備和安全系統(防火墻設備、入侵檢測設備、防病毒系統、終端監控系統、服務器、主機等)、安全信息數據庫系統、安全事件采集子系統和數據管理子系統。在可靠性設計上采用穩定、高效的ApacheTomcat5.0作為web服務器,并且架構設計合理且嚴謹。在易實用性設計上采用ExPlorer方式導航,操作方便、效率高,使用人員只要具備基礎的計算機知識,通過閱讀使用說明手冊或者接受簡單的培訓就能掌握使用本系統。在可維護性設計方面為使用者提供完善的系統保護和補救說明,幫助使用者快速的解決問題。在可移植性設計方面系統采用功能模塊設計,數據采集子系統和數據管理子系統相互獨立,減少了系統的藕合度。
4 網絡安全管理平臺的系統的實現
網絡安全管理平臺的系統的實現主要體現在平臺圖形化界面客戶端設計實現和數據的結構化轉換實現兩方面。
網絡安全管理平臺客戶端向網絡安全管理用戶提供一個界面友好、結構清晰、易于操作的圖形界面。在安全管理平臺圖形界面的設計中,有一個關鍵問題需要解決即在復雜的圖形界面中,如何將圖形界面顯示數據轉換為程序運行時所定義的應用數據結構中去?要解決這個問題,就需要用到Observer設計模式。Observer設計模式定義對象間的一種一對多的依賴關系,當一個對象的狀態發生改變時,所有依賴于它的對象都得到通知并被自動更新。在圖形界面的設計中,Observer設計模式的典型應用是將圖形界面表示與底層的應用數據分離。圖形界面是應用數據的外在表示,而實際數據存儲于相應的數據結構中。
在數據的結構化轉換中廣泛的應用XML技術,XML技術使客戶端與服務器端的數據交換一致性與相互可理解性問題迎刃而解。XML的靈活擴展性以及自我描述等特性,使異構應用間的數據共享成為可能XML能夠將不同來源的結構化數據結合在一起,通過在中間層的服務器上對從后端數據庫和其他應用程序取來的數據進行集成。
5 結語
網絡安全管理問題是當前安全領域研究的熱點問題,構建安全管理平臺,以安全管理中心的形式實現身份認證與授權管理,為網絡上的業務系統提供安全基礎服務,有效實現各種異構安全設備進行統一配置與管理,并對海量的安全日志進行關聯分析,是網絡安全管理工作亟待解決的重要難點。本文所提出的統一網絡安全管理平臺力圖實現一個多層次、立體化的安全防御體系,進行了相關的研究并在實際應用中取得了良好效果。
目前我國網絡安全管理平臺的研究與設計尚處于起步階段,展望未來的發展主要體現在:①加強事件關聯分析功能,提高關聯分析的效率與準確性。②構建網絡安全知識庫,針對特定安全事件,以專家知識庫的形式提示管理人員可選擇的應對處理工作流程,解決傳統過度依賴安全工作經驗的問題。③加強設備聯動能力,目前入侵檢測設備與防火墻可實現簡單的自動設備聯動,尚無法實現較復雜的聯動任務,未來將基于網絡安全專家知識庫研究自動化程度更高的安全設備聯動功能。
參考文獻
日前,象征臺灣產品最高榮譽的第14屆臺灣精品獎的評選活動圓滿落下帷幕。其中,國際知名網絡寬帶系統及解決方案供應商合勤科技(ZyXEL)推出的ZyWALL 5/35/70UTM綜合網絡安全設備系列產品,以其優異的產品設計和豐富的功能從600多件參選產品的激烈競爭中脫穎而出,獲得臺灣精品銀質獎和兩個臺灣精品獎,同時這也是27件金、銀質獲獎產品中唯一入選的網絡產品。顯示出該綜合網絡安全設備系列在為企業用戶搭建網絡安全屏障、打造全方位防護體系上所擁有的全球領先技術,前沿的設計水準和極高的產品性價比。充分展示了合勤科技(ZyXEL)在網絡安全產品方面所具有的突出市場競爭優勢和強大實力。
據悉,臺灣精品獎是整合原有的臺灣精品與產品形象獎,由臺灣經濟部國際貿易局主辦,外貿協會執行的臺灣最高等級產品設計獎項之一,代表著臺灣產品的最高榮譽。該評選主要以產品的“研發創新”、“設計與創新”、“品質系統”、“市場與品牌認知”等5個項目為評選依據,同時聘請島內外知名學者、專家擔任評委,經過嚴格的篩選和比較評出。目的在于提升企業產品創新度與制造品質,提升核心價值產品的市場占有率。今年的該獎項在經過為期兩個月的嚴格審核后,從635件入選產品中,選出了318件臺灣精品獎,再從中最后優選出了5件金質獎和22件銀質獎。合勤科技(ZyXEL)的ZyWALL 5/35/70UTM綜合網絡安全設備系列此次是第一次參加精品獎,就摘得如此重量級的獎項,再次凸顯了合勤科技(ZyXEL)一直以來在網絡安全產品方面深厚的積累和對產品品質的不斷超越。
此次合勤科技(ZyXEL)獲獎的ZyWALL5/35/70UTM綜合網絡安全設備系列產品,分別針對中小型、SOHO等不同應用環境設計,通過高性能一體化設計的防火墻來保護網絡的安全,在提高網絡效能和企業的生產力的同時,可方便地進行遠程接入網絡,并能通過單一配置界面來方便進行管理。值得一提的是,該系列產品運用了合勤科技(ZyXEL)獨創的ZyNOS操作系統,同時融合了世界著名的卡巴斯基公司的防病毒技術,能提供整合防火墻、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件等8項功能的安全平臺,還可通過ZyWALL Turbo Card加速卡將防火墻速度提高到當前ZyWALL系列產品安全處理性能的20倍,具有極佳的產品性能和全面的安全特性,是一系列非常優秀的8合1UTM綜合網絡安全產品。
ZyWALL5/35/70UTM系列產品圖片
傳承“誠信、創新、速度、共享、客戶滿意”的核心價值,合勤科技(ZyXEL)全線出擊,推出了DSL局端及客戶端接入設備、路由器設備、網絡安全設備、無線局域網接入設備、網絡語音電話及以太網交換機等系列產品,并為中小企業提供全方位的寬帶網絡應用整合解決方案。其自創的ZyXEL品牌營銷已延伸至五大洲150余個國家。曾連續三年蟬聯全球及歐洲第一大DSL路由器品牌,是全球第一大VDSL設備供貨商,歐洲第二大及全球第三大DSL客戶端設備品牌。隨著網絡市場的日益發展,合勤科技(ZyXEL)始終堅持誠信的原則,致力于技術創新,強化競爭能力。面對日益嚴重的信息網絡安全問題,合勤科技(ZyXEL)將繼續堅持開拓創新,提高網絡系統及設備的安全防御能力及整合性能,實現安全與網絡的深入融合,進而有效地應對網絡威脅,為用戶帶來更全面、體貼的安全應用與感受。
【關鍵詞】策略驅動;網絡安全;組件
1 引言
隨著計算機網絡應用領域不斷擴大和復雜性的日益增長,暴露出的眾多安全問題越來越令人擔憂。電腦病毒、黑客入侵等事件已屢見不鮮。為此,市場上出現了各個層面的網絡安全產品,如軟硬件防火墻、漏洞評估工具、入侵檢測系統、病毒掃描、和各種系統安全防護探針等。從抽象角度分析,硬件的網絡安全產品,軟件的安全應用,各種安全事件和安全數據的管理工具都可以看成網絡中的安全防護設備,簡化起見本文將其統稱為安全設備。它們在一定程度上保障了網絡環境的安全。然而,在絕大多數場合中這些安全產品是被孤立地使用的,安全產品供應商往往只是從某一個局部去解決網絡安全的部分問題,而很少從整體以及安全管理的角度去考慮。事實上,只有動態地從整體與管理的角度去考慮安全才有可能真正為用戶提供安全保障,因而有必要設計一個統一的安全策略,協調各個不同層面網絡安全資源的綜合性安全管理系統,以使各個層面的網絡安全產品融合成一整體。但是,安全設備的增多提高了網絡管理的復雜性卜,由此網絡安全管理的概念應運而生。所謂網絡安全管理就是管理以上所提到的來自不同廠商不同作用范圍的網絡安全硬件、安全應用進程、網絡安全數據等。[1]
設計了一個基于策略驅動的網絡安全設備聯動管理平臺的原型系統。下面我們將首先分別介紹安全設備和網絡安全聯動管理,并在后面的章節中具體介紹我們設計的網絡安全管理平臺。
2 網絡安全管理平臺的框架
網絡安全管理平臺的設計目的是提供一個可擴充的體系框架,在這個框架下被管理節點的功能可以根據管理的需要增加或者刪減,從而達到管理地靈活性,可擴充性,分布式,同時簡化和降低管理復雜度。
基于對管理平臺的各種技術和功能的要求,我們設計了一個分布式的多節點系統。系統中存在著以下幾種角色:管理節點,安全組件,核心控制臺,策略引擎和安全通信通道。
管理平臺希望獲得管理靈活、方便的性能,我們提出了基于策略的管理方式。策略體現網絡安全管理員的管理意圖,描述當前網絡的安全操作和安全性育昌。
通過以上設計,網絡安全管理平臺應該能夠達到通過對現有網絡安全設備簡單包裝即可嵌入本文設計的網絡安全管理平臺,達到可集成當前存在的網絡安全資源遵照安全平臺規范設計的安全組件可以在網絡內部平滑的流動,從而達到管理可擴展性和動態性符合管理平臺規范安全組件的特定功能可以調用其他組件或者被其他組件調用,達到安全能力互補提高系統可存活性的目的。
在安全管理平臺中,安全管理策略可以理解為網絡管理員的管理意圖。這里可能有兩類情況,其一是經一定的觸發安全事件而執行的動作以保證大型網絡安全。觸發源來自安全組件的報警,執行動作由具備相應功能的安全組件或設備,這一類稱為系統響應策略或聯動策略。另一類是為了完成系統交互功能,網絡管理員設定的一些網絡安全管理命令,它通常包括管理動作,管理對象,管理方法等兒個部分,這一類可稱為安全管理策略或功能策略。管理策略可以描述為安全管理策略={ START STOP LOAD UNLOAD }+安全管理組件+管理域,即在一個管理域內安裝、卸載、啟動或停止一種安全管理組件。例如,在所有Linux服務器上安裝一個Anti sniffer軟件,所有Linux服務器是一個管理域、Anti sniffer軟件是一個安全管理組件,安裝或啟動就是一個管理方法。
3 管理平臺的消息機制
消息機制下的系統具有可擴充性強,分布式甚至對等處理等優點。消息在網絡中可以被以中間節點全部轉發、部分轉發、部分處理、全部處理等多種方式使用。如果消息、能夠采用標準的消息格式,則系統中還可能兼容大量的不同實現方式的中間節點。在網絡安全管理中,對大量來源的資源的整合、兼容是非常重要的,如論文開始所述,正是由于網絡安全的復雜性和多樣性才產生所謂的網絡安全管理的概念。同時,規范化的消息能夠幫助系統適應復雜的網絡拓撲結構,因為,中間節點的轉發功能實際上相當于IP網絡中的路由器的概念,網絡中大量存在具有轉發能力的管理節點l相當于大規模網絡中存在大量的路由器)使消息可以在復雜拓撲的網絡中正確的被發送到指定的位置。
網絡安全管理平臺原型系統的數據流是采用消息模式,系統的絕大多數行為由消息驅動產生。網絡安全管理平臺所有傳輸的消息都是采用XVIL格式。通訊數據經過加密和認證的安全通道傳輸。
在網管平臺原型系統中,由于系統數據傳輸采用EVIL,格式,所以,XML文件的解析成為系統消息機制的核心問題。實踐中我們采用C DOM API作為XML Parser的基礎。
平臺的消息通訊過程中,Core Manager同Agency以及Agency之間的交互采用平臺消息的格式。傳送雙方一的節點主要處理依據是數據頭()中的Message巧pe標簽值。對應于不同的標簽,消息體()中包含了不同的數據,同樣節點的處理方一式也不相同。同時,底層通訊時分別采用了RC4加密和MDS認證技術,保證通訊內容的安全。本節將具體介紹通訊的安全機制以及整個通訊過程中的消息機制。
平臺啟動后,主控端和分控端經過認證后,分控端發送注冊報文向主控端注冊資源,主控端下發啟動策略并鏡像聯動策略倒分控端。內容檢測探針一啟動后,當發現有泄密事件發生后,添加到平臺報警隊列中。策略引擎輪詢報警隊列,當報警隊列不空時,分析相應事件進行策略匹配,從而完成一次聯動過程。
4 總結
網絡安全管理系統及其原型系統采用XML,語言作為系統平臺的統一策略語言,定義了語言中的各種資源描述規范。使用XML,格式的消息作為系統平臺的基本消息格式,定義在策略收發過程和系統反饋過程中的消息處理模式。實現了一個基于策略的網絡安全管理原型系統,原型系統能夠分析策略語言的內容,按照頂先定義的方式“推送”策略到策略執行點。原型系統基本可以達到簡單的策略編寫就可以管理網絡中的不同來源的設備集成管理,達到聯動的網絡安全管理基本目的。
【參考文獻】
關鍵詞:數字化醫院;網絡安全
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-02
The Study of Digitalization Hospital Network Security Issues and Strategies
Li Zhihua
(Hospital of Wuzhou City,Wuzhou543000,China)
Abstract:Digital management of medical equipment and first-class modern hospital two main components,through the computer network,PACS systems to achieve a concentration of medical image management and sharing of information,HIS system put the hospital and medical services for transaction management information management,computer networks and digital management in hospitals is becoming increasingly important role.To enhance network management,protection of digital and information security management,this paper analyzes the hospital information network security problems faced on the basis of a solution of computer viruses,information system crashes,data loss and other problems measures.
Keywords:Digitalization hospital;Network security
一、前言
“數字化醫院"信息技術發展的產物,它主要由三個部分組成,即計算機網絡、業務應用系統和數字化的醫療設備,這三部整合在一起構成了醫院的綜合信息系統,該系統包括信息的采集、傳輸、存儲和處理等功能,實現了醫院內部醫療業務和管理工作的流程化、數字化運轉。“數字化醫院"是醫院現代化的標志,它有助于醫院整合資源、優化流程,從而達到運行成本減少,服務質量提升的管理目標。
醫院的數字化運轉帶了了很多便捷,但同時也存在著這樣的問題:醫院的正常運轉離不開信息系統,只要信息系統在運行中發生問題,就會給整個醫院帶來嚴重的后果。信息系統的穩定性、安全性成了醫院開展工作的保障。
二、數字化醫院計算機網絡安全的重要性
醫院的信息化建設工作經歷了不同的階段。在信息化起步階段,醫院內部的科室各自建立了獨立的應用系統的軟件,以滿足自己的需求,系統之間是孤立的缺乏相互的聯系,如果某個應用系統出現安全問題,其影響范圍一般只限于本科室。而“數字化醫院"階段,醫院內不同的應用信息系統之間實現了系統整合和數據共享,各個應用系統都運行在醫院內統一的計算機網絡平臺上,在這個環境下一旦某個終端出現了安全問題,如病毒發作等,其影響可能會波及到整個網絡,從而影響整個醫院內部信息系統的運行,給醫院的正常運轉帶來嚴重的影響。如果攻擊損壞了存儲設備或服務器上的醫療數據,可能會導致醫療業務無法在正常開展,影響患者的及時救治,影響醫院的聲譽。
三、數字化醫院中計算機網絡安全面臨的主要問題
(一)病毒感染
隨著醫院信息系統(HIS)應用的全面鋪開,客戶端的數量不斷增加,這就給醫院內部的信息網絡管理部門帶來了挑戰,這些部門需要投入更多的精力來防治病毒感染。病毒感染對網絡的影響巨大,舉例來說,如果網絡中的某些客戶端沒有打上操作系統漏洞的補丁,這些漏洞就很容易被蠕蟲等病毒利用,嚴重時會就讓整個網絡癱瘓,破壞服務器上的應用程序和數據,導致HIS不能正常運行。
(二)擅自安裝光驅和使用USB存儲設備
在網絡安全管理中,常采用的措施有2個,一是拆除光驅,二是通過客戶端計算機中的CMOS設置,禁用USB端口。這樣可以防止客戶端的操作人員通過光驅和USB存儲設備來安裝游戲和軟件,以免USB存儲設備上的計算機病毒在安裝時感染客戶端,增加整個網絡被病毒感染的危險。有些操作人員為了滿足自己的需要,不顧網絡安全管理的要求,擅自安裝光驅和使用USB存儲設備,給網絡安全帶來隱患。
(三)擅自修改的IP地址
擅自修改的IP地址也是網絡安全的一大隱患,在醫院的網絡系統中,往往給客戶端分配固定的IP地址。有些員工擅自對自己客戶端的IP地址進行修改,導致與網絡上其他客戶端、服務器和網絡設備等發生地址沖突,如果與某個客戶端發生沖突,會導致該客戶端無法與服務器進行連接,如果與服務器和網絡設備等發生地址沖突,則會影響到整個網絡,導致網絡癱瘓。
(四)盜取數據庫密碼
盜取數據庫密碼是網絡安全中遇到的技術含量較高的問題,盜取者往往有比較高的計算機水平,因而當盜取數據庫密碼進行非法連接數據庫時,所帶來的安全隱患也最大。非法連接者可以修改、刪除數據庫中的數據,可以拷貝系統中的一些信息,給HIS的正常運行和醫院的運轉帶來影響。
四、網絡安全的防范措施
(一)實施內外網物理隔離
數字化醫院的職責要求醫院的計算機網絡必須實行內外網物理隔離,這里的外網主要是指互聯網以及醫院外部的網絡,內網是指醫院內部承載HIS系統運行的網絡平臺。外部網絡由于范圍廣泛、用戶數量多,黑客攻擊和病毒等都比較多,需要和業務系統進行隔離。物理隔離一般有兩種做法,一是在只采用一套網絡線路,在網絡的邊界購置網閘進行隔離,用戶在內外網絡切換時,不需要調整網線接口;二是在綜合布線的時候鋪設兩套線路,一套用于與互聯網等外部網絡相連,另外的一套用于內部HIS系統的運行。
(二)維護網絡的物理安全
要做好網絡的物理安全維護,需要從三個方面入手,一是按照國家的有關標準,制定卻是可行的設備運行和維護管理制度,并嚴格執行;二是在設備選購過程中,選擇質量穩定、安全性能好的產品,三是做好網絡設備維護的技術措施和技術保障。
網絡組成部分包括服務器、網絡互連設備、網絡線路、網絡安全設備等,網絡物理安全維護的技術措施主要包括三個方面:一是對重要設備的供電保障和安全、防止電磁干擾;機房需要配備8小時以上的UPS電源,使用后備電源保障服務器和網絡核心設備的正常運行,二是防治自然性災害對網絡的破壞,如防雷、防水災、火災等,三是防止認為的誤操作等對網絡設備物體的破壞,這就要求網管人員嚴格按照設備的使用規范操作。
在做好設備的物理安全的同時,還要對關鍵設備做好應急措施。應急措施一般要做好以下兩個方面:一是對關鍵設備存有備件,一旦設備發生故障,可以及時更換,保障HIS盡快恢復運行;二是對關鍵設備做雙機熱備,當其中一臺設備出現故障,另一臺設備就自動切換,保證系統的運行不間斷。
(三)禁止使用游戲、娛樂軟件
醫院作為員工工作的場所,應制定規章制度,嚴格禁止使用游戲、娛樂軟件,利用計算機終端做一些與工作無關的事情。使用游戲、娛樂軟件不光影響醫務人員的形象,同時游戲、娛樂軟件還是計算機病毒傳播的途徑之一。
(四)強化客戶端操作系統的安全
強化客戶端操作系統的安全主要做好二點:一是維護操作系統的穩定,及時更新操作系統的補丁,讓病毒和黑客攻擊沒漏洞可鉆;二是做好客戶端登錄的身份驗證,強化客戶端的口令管理。通過局域網的域控制器對客戶端進行身份驗證,只有通過驗證的用戶才能使用信息系統,共享網絡數據。
(五)完善數據備份措施
數字化醫院的所有工作成果和工作過程數據都保存在網絡上,數據是HIS系統的起點和歸宿,保證數據的安全顯得尤為重要。制定和實施完備的數據備份措施,是達到數據的完整性、可靠性、可用性的重要保障。數據備份應采取實時備份和定期備份相結合的方式,根據數據重要程度和數據產生的特點,確定是否需要熱備份以及定期備份的頻率。
(六)采用殺毒軟件及網絡安全設備
采用殺毒軟件及網絡安全設備是加強網絡安全的防范的重要措施。病毒和黑客攻擊是破壞網絡安全、破壞數據的主要原因,必須嚴加防范。殺毒軟件有網絡版和單機版兩種,單機版只能對本機的病毒和攻擊進行防治,而網絡版殺毒軟件可對整個網絡的病毒進行防治,客戶端把病毒監控和查殺信息反饋給軟件監控中心,監控中心統計網絡中存在的病毒和攻擊的類型和數量,讓網管人員可以及時采取措施,隔斷病毒的傳播,把病毒影響的范圍控制下來,因而數字化醫院應該采用網絡版殺毒軟件。防火墻、入侵檢測、網閘等網絡安全設備目前在防范病毒和黑客攻擊中發揮著越來越大的作用。防火墻設置在不同網絡之間的安全設備。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。入侵檢測設備對網絡行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測對系統安全的影響和威脅。網閘彌補了防火墻的不足之處,通過對兩個網絡在鏈路層斷開,實現不同網絡上的數據庫之間交換數據,實現安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證等功能。
網絡安全設備和殺毒軟件的選擇必須根據網絡的實際情況和安全要求,配合使用,才能達到較好的防范效果。
(七)嚴格密碼管理
破譯用戶密碼是在網絡攻擊的第一步,網絡入侵者只有取得密碼,才能做下一步的入侵攻擊,因而HIS系統的管理員必須嚴格密碼的管理:一是密碼的選取必須符合必要安全規范的要求,密碼要保證一定的長度和復雜度,不容易破解和猜測;二是在不同的系統上要使用不同有的密碼;三是密碼要定期更改,不能一成不變;四是密碼不能外泄,只能由系統管理人員掌握。
(八)采用遠程桌面管理系統
近幾年,遠程桌面管理系統的運用在逐漸推開,其功能也越來越強大,可以實現客戶端軟件系統和硬件設備狀況的管理、可以對客戶端進行配置、可以監控客戶端的用戶操作的內容。系統管理員只要在自己的辦公室就基本可以完成以前的網絡管理工作:如果發現病毒,網管就直接操作查殺客戶端;如果發現非法入侵,網管可堵住系統的漏洞,如果客戶點擅自修改了密碼,系統管理員可以及時進行調整,如果員工擅自在計算機上安裝光驅等設備,系統管理員可及時發現,并責令改正。
五、總結
計算機網絡的安全是數字化醫院正常運轉的重要保證,隨著信息化技術的高速發展,信息網絡安全所遇到的問題會越來越多,道高一尺、魔高一丈,解決問題的方法和手段也會日益增加。為做好網絡安全,系統管理人員不僅要鉆研技術,從技術來保障安全的實現;還要提高自己的綜合管理能力,制定出可行、可操作的管理制度;還要更新觀念,把網絡安全管理變"堵"為"殺"或"防"的層面上,既要保障網絡的安全,又要滿足員工的多樣化需求。
參考文獻:
[1]阮興云等.醫學工程實踐與探索[M].昆明:云南科技出版社,2010,6
[2]向明華.醫療設備系統數據的安全與備份[J].醫療設備信息,2005,11:15
[3]張俊才.基于三層構架的醫院信息系統監控平臺設計[J].醫療設備信息,2005,11:8
[4]郭雪清等.醫院信息網絡系統運行中的安全管理[J].醫療設備信息,2005,4:53-54
[5]鄭少慧.HIS系統數據的安全與維護[J].醫療設備信息,2004,7:16-17
關鍵詞:信息安全 通信融合 網絡安全
信息技術的發展使網絡世界變得復雜多樣,為了能夠有效的改善這種情況,我們在網絡系統中設置多個安全設置,將信息進行融合,改變了單個安全設置防備不完善的性能,保障了系統的安全。
一、當代的我們為何要重視信息安全
1.由于微機本身的安全性能較低
微機產生于上世紀七十年代,當時的集成電路高度發展,最終形成了微機。微機在成熟后被稱為個人計算機,針對于個人使用,而不是公用。微機的出現雖然在一定程度上降低了制造成本,但隨著儲存器隔離機制和程序的安全保護機制等一系列成熟的信息安全機制被去除,程序的執行不再被限制,系統的數據也可以隨意被更改,病毒、木馬等程序也就趁機猖獗起來。
2.隨著信息技術的再度發展,最初的被稱為個人計算機的微型計算機再次成為公用,但關于信息安全的系統已經去除,因此,現代計算機面對如此復雜的環境,抵御能力自然下降。
3.網絡的迅猛發展,再次將計算機帶入到了網絡中,甚至已經成為了一個重要的組成部分。網絡的連接使信息的傳遞突破了地域的界限,但缺乏安全體制的管理,網絡信息世界已經危機四伏。一些網絡協議的復雜性,導致了安全驗證的過程十分復雜,其次,當前的網絡協議都是一些較為簡單的。不能完全保證信息的安全性和網絡不被攻擊。
二、信息通信的融合發展
最初的信息技術與通信技術是兩個毫不相干的獨立領域。隨著時代的轉變,技術的發展,通信技術為了使更多的人獲取到信息通信增值服務,在技術層面上將通信技術逐漸從底層延伸到了應用層,總之,通信技術和信息技術兩者之間在理論上的界限越來越模糊。但從目前的總體趨勢來看,通信技術和信息技術的融合發展,是大勢所趨。兩種技術的融合可以基于寬帶網絡提供通信服務,如進行信息的采集和共享工作。
信息技術和通信技術的融合在當代形成了一個全新的技術領域。它為傳統的行業在技術上帶來了顛覆性的轉變。突破了傳統的軟件產業與硬件產業獨立發展的境況,逐漸將軟件硬化、硬件軟化了,以此來逐步節約成本和提升管理工作的效率。同時也使產品具有更高的穩定性,實現了信息從上層貫穿至底層的資源互動。
此外,我們在當代提出信息通信技術的融合是由于信息通信技術已經成為了推動社會發展的主動力,并迅速的帶動了各國的經濟增長。而在我國,信息通信融合這一概念最早被接受則是出現在電信運營商。他們將現代的信息技術通過計算機網絡與通信融合成一個提供服務的平臺,后來,這一平臺就被稱為融合通信。當前,我國已經正式將信息通信產業設立為推動我國經濟繁榮的新興產業。三個主要的通信服務運營商正在以不同的方式進行著信息通信的融合。信息通信融合發展,不僅對于我國的通信業務產生了影響,也對我們發展國家電力電網事業有了啟發。我國在發展智能電網和智能電廠的創設方面多運用了這一融合性的思想,將會對智能電網事業起到支撐性的作用。
三、信息通信融合技術在網絡安全中應用的必要性
信息融合技術已經成為國內外的研究熱點,經過研究表明,發揮信息融合技術的自身優勢,是保證網絡安全的關鍵。
1.隨著信息技術的不斷發展,傳統的設置防火墻已經不能解決來自互聯網內部的網絡安全問題了。網絡安全設備的單一性再次暴露了無法應對多重網絡攻擊的特點。殺毒軟件無法識別最新的病毒程序,檢測系統無法及時的傳遞檢測信息。而這時正需要對網絡的安全性做出全面的分析。
2.高速運轉中的各類信息急切的需要一個管理的平臺。隨著網絡攻擊的日益增多,我們在網絡的配置中增添了許多的安全設備,但這些安全設備在運行的過程中難免會產生大量的信息,這為網絡安全管理員對于安全性的分析設置了障礙。同時,過于復雜的管理過程也影響了網絡系統之間的合作。
3.網絡攻擊手段的多樣性催生了許多關于網絡安全性的思考。現代的網絡攻擊手段,通常是分層次,分步驟的逐一進行攻擊。因此,我們只有順應變化,不斷的提升網絡安全防御能力,才能提升網絡安全性,全面的分析和處理網絡問題.
四、信息通信融合應用到網絡安全中的可行性
網絡攻擊手段的不斷復雜和安全技術的不斷發展,促使了信息融合技術的應運而生,信息融合技術在網絡安全方面起到了聯動、預警、評估分析等作用。并且經過長時間的實踐,我們發展融合技術應用到網絡安全方面是可行的。
1.單個網絡設備在防御方面通常具有不穩定性和一定的局限性。而信息融合技術則能夠在一定程度上使網絡的性能得到有效的提升,并能將運行中的網絡狀態準確的描述出來。
2.網絡安全設備中融入了信息安全設備,將有利于提升網絡安全設備的可信度,同時也提升了判斷網絡安全問題的正確性。
3.信息融合技術在處理網絡安全中的不確定性問題方面做出了貢獻,減少了我們對于網絡安全問題上認知的模糊問題。
4.由于采用了信息融合技術,從而整體提升了網絡對于信息的檢測能力,通過網絡多個安全設備的處理信息和對安全事件的綜合處理結果,提升了對于網絡中的有效且安全的信息的發現概率。
隨著網絡之間攻與守的角色不斷轉變,信息融合技術在網絡安全中的重要意義也逐漸受到了來自國內外的關注。在國外的相關文獻中曾指出,信息的融合可實現不同質的數據進行融合。若想要成功的反應一個網絡系統的網絡形態,就必須要進行數據信息的融合。此外,國外還有根據信息融合技術構建態勢感知模型。通過態勢感知構架我們得知,信息的融合能夠及時的了解網絡的安全動態,并對我們在進行有關的決策時提供幫助。
五、信息融合技術在網絡安全的應用中仍需改善的地方
雖然信息融合技術在一定程度上為網絡安全做出了貢獻,也有許多技術應用到了網絡安全的創建中,但縱觀整體,仍有許多需要改進的地方。
1.信息融合的過程中,可以適當的選擇多種方式相結合,避免由單一方式造成的誤差以及理論性誤差,提升結果的準確率。
2.信息融合技術目前只是針對某一種網絡安全問題進行模型創立和解決問題,而沒有涉及到整體的網絡狀況的研究。
3.應注重融合技術與網絡安全系統的不斷磨合,使其充分適應網絡環境,降低由于主觀因素帶來的不適應性問題,從而全面的反應系統的安全問題。
總結:
信息通信融合技術的發展是一個長時間的復雜的工程,從維持到穩定再到發展也是一個漫長的過程,這其中也包含了對于網絡、信息、系統等多方面的管理水平,以及對于操控計算機的專業人員的水平管理。也可以說,這其中的任何一個環節的疏漏都有可能導致融合技術無法發揮其正常的水平。在當前這個信息時代,信息的安全已經關系到國家的安全,因此,我們利用信息融合技術,切實的保障言網絡系統和信息的安全能夠在一定程度上提升我們的綜合國力。但我們深知,信息融合技術的發展還不夠完善,起步較晚,而且網絡信息安全的保障工作也不在一朝一夕之間,更多的是需要我們根據實際情況,磨合信息融合技術,全面而有效的保障網絡信息的安全。
參考文獻:
[1] 金海敏, 許斌. 淺談當前形式下電力信息通信技術[J]. 大科技,2011(20): 259260.
目前,互聯網惡意軟件已經成為社會的公害,成為企業安全暢通上網的絆腳石。對于企業而言,間諜軟件、垃圾郵件等網絡威脅已經到了無法忍受的地步,一些間諜軟件通過“打開網頁即裝載”的方式潛藏進電腦,幾乎是防不勝防,甚至成為一些網絡釣魚、竊取賬戶資金的幫兇。
僅僅是垃圾郵件和惡意程序就足以令企業的電腦資源消耗殆盡,既浪費了大量的系統、硬盤、內存和網絡資源,又降低了公司的經營效率。
軟件+硬件+服務
靠傳統的手法解決網絡安全問題,已漸漸行不通了,尋求行之有效的安全解決方案,成為社會交給廣大防病毒廠商的一份責任。專注于網絡安全軟件及服務領域的趨勢科技在現在這個變幻莫測的網絡環境下,面對在巨大經濟利益驅使下的病毒和惡意軟件制造者的嚴重挑釁,一改業界以“產品導入方式解決網絡安全問題”作法,第一次明確提出以客戶需求為導向的安全立體解決方案,該方案既包括軟件,也包括硬件,同時還有服務。
在這個“軟件+硬件+服務”安全立體解決方案中,軟件、硬件和服務各司其職,從不同層面解決用戶在安全實踐中的問題,給用戶提供一個完善的安全保護體系。
EPS Solution Day
對此,趨勢科技最近在北京、上海和廣州等地舉辦了“EPS Solution Day”大型解決方案日巡展活動,在活動中趨勢科技表示,監控、強制、防護和恢復是趨勢科技企業安全防護策略的四個環節。在這四個環節當中,趨勢科技將全方位的解決方案和安全服務無縫整合在一起,監測潛在威脅、實施統一的安全策略、預防惡意威脅傳播和修復被感染設備。
EPS是“軟件+硬件+服務”三位一體解決方案的結構框架和理念基礎。在巡展中,國家計算機病毒應急中心主任張健表示,趨勢科技所提出的“軟件+硬件+服務”一攬子式的解決方案,扭轉了“產品導入方式解決網絡安全問題”所造成的“頭痛醫頭,腳痛醫腳”弊病,切重解決安全問題的本質和要害,為飽受安全困擾的用戶指明了方向,代表了安全產業未來的發展趨勢。
軟硬兼施
作為傳統的安全軟件廠商,趨勢科技開發出許多業界有名的安全軟件,包括OfficeScan和ScanMail等,這些軟件靈活、廣泛地部署在用戶的關鍵服務器當中,保護著企業的關鍵業務。
趨勢科技并沒有局限于安全軟件,而是前瞻性地看到硬件設備在網絡當中的地位和作用,尤其是在網關位置,硬件設備更能發揮高效、穩定的優勢,繼趨勢科技網絡病毒墻NVW之后,趨勢科技又全力打造了大中型企業的網關訊息安全設備(IMSA)、互聯網網關安全設備(IWSA)和中小企業InterScan網關安全設備(IGSA)等高性能網關設備,幫助用戶在網絡的入口處高效率地過濾網絡威脅。
【關鍵詞】:職校;數字;職校網絡;安全
一、引言
隨著數字化職校網絡建設與應用的普及,數字化職校網絡安全問題已經成為教育主管部門和學校管理者關心的重大問題。數字化職校建設是學校一項基礎性、長期性和經常性的工作,是學校建設和人才培養的重要組成部分,其建設水平是學校整體辦學水平、學校形象和地位的重要標志。職校網在學校的數字化職校建設中扮演著至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證職校網絡正常運行,成為各職校不可回避的緊迫問題。
二、職校校園網絡現狀
(1)考慮到投入和收益的比例,眾多學校對校園網絡的經費投入不足,再加上掌握決策權的學校領導對信息技術的了解不多,對建設校園網的目的不明確,所以就將有限的經費投資在關鍵的硬件設備上,而對于網絡的安全建設一直沒有比較系統的投入,從而導致校園網絡安全防范能力不夠,隨時都有被侵襲的危險,存在極大的安全隱患。
(2)計算機蠕蟲病毒泛濫與網絡蠕蟲病毒的危害日益嚴重,種類和數量日益增多,發作日益頻繁。現在蠕蟲病毒往往與黑客技術結合,計算機中毒發作后,常導致拒絕服務攻擊,連累全網服務中斷。過去病毒最大的“本事”是復制自身到其他程序,現在它具有了蠕蟲的特點,通過網絡到處亂竄。還有些病毒具有黑客程序的功能,一旦侵入計算機系統后,病毒控制者可以從入侵的系統中竊取信息,遠程控制這些系統了。
(3)來自網絡外部的入侵攻擊等惡意破壞行為頻率越來越高。某些計算機被攻破后,可能成為黑客的工具,進行再次攻擊。例如,系統攻擊就是攻擊針對單個主機,并通過RealSecure系統對它進行監視。
(4)眾多學校技術人員技術參差不齊,責任心不強,多數網絡管理員都從大中專院校畢業,在工作之前沒有受過系統的專業培訓,所以,不能很好地勝任本職工作。如把在計算機中裝上還原卡當作是萬能管理方法;不設置系統管理員密碼;在系統中不安裝防火墻和殺毒軟件等等。另外,有些網絡管理員敷衍塞責,對出現的系統故障置之不理。
(5)盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。比如,Microsoft公司對盜版的XP操作系統的更新作了限制,盜版安裝的計算機系統今后會留下大量的安全漏洞。
三、職校校園網中的安全隱患
1、校園網通過與Internet相聯,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險;
2、目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅;
3、校園網內部也存在很大的安全隱患,由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些;
4、隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果;
5、限于學院數字化的進程,目前的網絡防護體系中還缺少硬件級防火墻這一防護環節,即沒有對內部網和外部網進行有效的隔離,入侵就很難避免。
四、職校校園網絡安全解決方案
基于對以上校園網中的安全威脅,我們提出以下安全策略:
1、升級網絡基礎交換設備
將校園網內所有交換機全部升級為安全智能接入交換機。智能接入交換機具備大容量訪問控制功能,能夠屏蔽常見病毒端口,將病毒攻擊、網關攻擊等行為限制在接入層。并結合用戶上網認證系統,對用戶進入校園網的權限及可用資源實行規范、分級管理。
2、在計算機及網絡技術教育課程中有機融入網絡規范意識的教育。網絡行為規范教育不僅僅是“思品課”老師的責任,也是計算機及網絡技術教育課程教師的責任。因此學校應當在《計算機基礎》、《計算機應用》等相關技術課程教學大綱中提出網絡規范教育的教學要求,在課堂教學中通過多種形式,進行網絡法制、道德教育。這種融入專業技術課程中的思
想教育往往能收到事半功倍的效果。
3、配備完整的系統的網絡安全設備
校園網絡雖然比較復雜,但從整體技術架構來看,還是屬于局域網范疇,因此,在局域網和外部網絡接口處配置統一的網絡安全控制和監管設備即可將絕大多數外部攻擊拒之門外。另外需要注意的是,校園網絡現在基本上都是高速網絡,因此配置安全設備既要考慮到功能,又必須考慮性能,將配置安全設備后對網絡性能的影響盡可能的降到最低。據此要求,校園網絡需要配備以下安全設備:高性能的硬件防火墻;旁路監聽型的入侵檢測系統;漏洞掃描系統;安全審計系統;旁路監聽型不良內容過濾系統;覆蓋全校范圍的網絡版防病毒系統;網絡故障檢測,以及網絡故障診斷設備。通過配置這些安全產品可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網絡的故障可以迅速定位并解決。
4、安裝補丁程序和網絡殺毒軟件
任何操作系統都有漏洞,大部分校園網服務器使用的操作系統都有漏洞,尤其是Windows2000、Windows2003等微軟的操作系統。網絡系統管理員需要及時對系統進行升級,有時候也可以借助第三方安全軟件來對系統進行升級,如“360安全衛士”就是很好的免費軟件。電腦病毒的防范,根據校園網現狀,在充分考慮可行性的基礎上,可采用殺毒軟件網絡版的分級管理,多重防護體系作為校園網的防病毒管理架構。充分使用殺毒軟件網絡版所擁有的“遠程安裝”、“智能升級”、“集中管理”等多種功能,為校園網絡建立起一個完善的防病毒體系。
5、采取有利措施防止內部用戶非正常使用和對校園網的的攻擊行為。建立各部門計算機使用制度,明確用戶的責任和義務,嚴禁各部門隨意安裝和運行一些帶有黑客性質的軟件。嚴禁使用未檢驗的光盤、軟盤和其他移動存儲設備。對校園網上的計算機實施IP和MAC地址的綁定,防止私自亂改IP的現象發生。注意對校園網服務器的安全防護。運用VLAN技術來加強內部網絡管理。
參考文獻:
五年前,硅谷的風險投資商們幾乎都不愿投資防火墻與內容層相結合的安全產品。 因為,互聯網作為一種綜合體,而非單一,其流量包括數據、電子郵件、話音、Web、視頻等。正是基于此,防火墻結合多種功能后,其基于網絡的處理能力如何?這一點曾遭受風險投資商的質疑。現今,網絡安全領域又出現了一些新的趨勢,安全技術的集成和優化正在成為安全產品的發展方向。
安全新趨勢
但在如今的安全市場中,幾乎沒有一家廠商能夠獨自占有15% 以上市場份額。如果要在高端上深入,必須要用ASIC,但這必將是一項需要長期戰略投資才能見成效的事業。而低端產品則更為看重性價比。Fortinet公司的研發人員的比例占全體人數的一半以上。FortiGate系列產品擁有近30個型號的產品線,使用同一顆芯片,同一個OS。多功能集成的安全平臺在使用一套統一的系統結構、同一系列專用ASIC,自然也會獲得成本優勢。
在安全設備中,可以看見的趨勢是各種功能越來越集中。要在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其他基于內容的安全威脅的產品,UTM是理想的技術途徑。 一些安全系統除了集成了防火墻、VPN、入侵檢測之外,還融入AV、 內容過濾和流量控制功能,提供了高性價比的解決方案。
當前,一些原本運用軟件方式實現安全的廠家正在轉型,然而要真正做到成功轉型,是需要長期投入的;因為功能不能硬湊,在引擎核心層需要設計好才符合整體要求,如果硬拼強湊,不但功能會受限,性能也會受到制約。
另外,還有些網絡設備公司在其原來產品中添加安全要素,他們也確實具有硬件設計能力。然而,處理數據包頭部分,并非包內容處理。只有通過包檢測和重組,一些最復雜的混合型威脅才能被發現。計算能力是基于性能,還是內容處理,如何采取措施解決性能與功能的矛盾是問題關鍵所在。為了補償先進檢測技術帶來的性能延遲,使用ASIC芯片、多功能引擎,多功能OS是有效的措施。在混合式(Blended)攻擊的情況下,只有UTM才真正具有防御實力。目前,涉及的產品、技術包括防火墻、 AV、 IDC、內容過濾、反垃圾郵件、高端10G以太網接口、先進的電信標準(ATCA)和ASIC 技術等。
類似于互聯網的寬帶服務商, 安全也要向提供用戶服務。而面向運營商提供的安全設備往往要求更高。當前,大多數服務商已認可ATCA標準(先進的電信運營商標準)。安全產品開始出現10GB級產品。事實上,全球也許只有20~30家大型運營商能用上最高端的產品,而且他們也需要個性化服務、全方位的承包,即一對一服務。如果設備平臺統一、背板兼容,互換性好,對用戶和廠商而言,也就降低了管理成本。
預訂的安全服務有AV、 IPS、 web過濾、反垃圾郵件服務。相應地,廠家要構建全球安全防護服務體系,保證用戶能夠隨時隨地更新升級病毒庫。
UTM順勢而為
美國IDC研究機構將防病毒、入侵檢測和防火墻合一的安全設備命名為統一威脅管理系統(Unified Threat Management, 簡稱UTM ),并預測UTM在今后幾年內將有可能超越防火墻,成為人們首選的安全設備。UTM理念從何而來?事實上, 這一設計概念源自于五年半前安全廠商對未來網絡安全和內容安全發展趨勢的判斷和預測。
關鍵詞:信息系統;網絡安全
中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 10-0000-01
Network Security Management of Highway Information System
Yuan Yujun,Li Xianshu
(JingHu Highway,North of Lin Management Office,Linyi276013,China)
Abstract:This paper analyzes the current situation,the importance of network security,combined with the actual highway information system network,analyzes the security vulnerabilities of its existence,and the corresponding solutions.
Keywords:Information system;Network security
隨著IT技術的發展,政府、企業和個人越來越多的將政務、商務、經營等活動放到網絡上進行,在網絡應用越來越普遍、越來越重要的同時,它的安全問題就越發顯的重要。據統計,現在全球每20秒就發生一起入侵網絡的事件,超過半數的防火墻被攻破,每年因此而造成的經濟損失超過80億美元;在國內,超過76%的網絡存在安全隱患,20%存在嚴重問題,并且有超過70%的網絡安全威脅來自內部。與之相適應,網絡安全已成為信息安全領域一個非常重要的方面,隨著計算機網絡的廣泛應用,網絡安全的重要性也日漸突出,當前國際國內社會,網絡安全已經成為國家、國防及國民經濟的重要組成部分。
山東省高速公路信息化“十五規劃”中明確指出,山東高速公路信息化方針為:“統籌規劃、突出重點、互聯互通、安全可靠”。因此,在信息系統網絡應用的同時,我們必須保證網絡的安全,把安全放在比較重要的位置。
一、高速公路信息系統網絡特點分析
高速公路以其高效、迅捷、安全的特點,在交通運輸中越來越發揮其不可替代的作用。高速公路信息系統的建設,對改變交通管理模式,改進和完善高速公路管理水平,提高科學決策水平和快速反應能力,提高服務水平,改善道路運營環境,實現高效、優質、安全、舒適和道路運營目的,起著重要的推動作用。
截至2009年底,山東省高速公路信息系統(通信、監控、收費三大系統)已建成4300余公里,實現了收費站-分中心-中心-總中心四級聯網,在全省高速公路已實現收費聯網“一卡通”。信息系統中通信網實現了語音、數據和圖像等業務功能,滿足了收費網、監控網等的帶寬要求,傳輸模式以及遠程監控等要求;通過對多種外場設備控制,可對交通流量、氣象情況、道路運行情況等信息進行采集和圖像監視,實現了對整個路網全程、實時監控,生成并顯示各種報表等功能;收費網實現了全省高速公路“一票直達”、全省統一收費,并按路段合理準確的進行結算和賬務分割及對特殊收費情況進行監督管理的功能。而且,高速公路信息管理系統的三級管理體制(總中心、中心、分中心)已建立運行并在逐步完善。
綜合以上,高速公路信息系統的網絡具有以下特點:信息系統網絡對我們的高速公路信息化建設事業至關重要;高速公路信息系統點多線長面廣,管理體制和層次較復雜;隨著高速公路建設的不斷進行,信息系統的網絡也將隨之不斷擴大。
二、高速公路信息系統網絡安全隱患
目前,高速公路信息系統網絡主要存在以下安全隱患:
(一)網絡安全意識尚未深入人心,職工網絡安全意識有待加強。
(二)信息系統點多線長,各路段信息系統由不同管理處,不同的部門負責,很難做到協調一致,統一部署;信息系統網絡安全相關的規章制度尚未建立健全,相關的應急預案、方案尚未出臺;對網絡安全的檢查考核工作尚未開展。
(三)黑客技術日益公開化、職業化,各種攻擊日益頻繁,病毒日益泛濫,重大網絡安全事故日益增多,網絡安全事件日益嗇;與此相對應的是:高速公路信息系統(通信、監控、收費)尚未應用必要的網絡安全設備、尚未采用一定的網絡安全措施。
(四)現有計算機操作系統已發現2000多個漏洞,而且每一個漏洞均有可能被黑客利用,對計算機、信息系統網絡造成重大的危害。
(五)對防范內部員工的誤操作或惡意攻擊沒有很好的辦法。
三、切實加強網絡安全建設
結合高速公路信息系統網絡的特點,為加強山東高速網絡安全建設,應當堅持以管理為基礎,以制度為保障,以技術為實現手段的中心思想,并注重以下幾個方面:
(一)加強網絡安全教育,培養員工的網絡安全意識,使每個員工都認識到網絡安全的重要性,并且能夠掌握必要的網絡安全防范知識。網絡安全工作不能單靠網絡安全設備或個別的網絡管理售貨員,而是需要單位領導高度重視、全體員工共同努力,才能夠切實保證信息系統網絡的安全。
(二)建立專門負責信息系統網絡安全的機構,統一指揮、協調一致,并明確各相關部門的網絡安全責任和義務,做到網絡安全各相關部門權責分明。
(三)對全體員工進行網絡安全培訓,全面提高職工的計算機水平及網絡安全防護能力。
關鍵詞:動態自治;網絡;安全管理
中圖分類號:TP309.5文獻標識碼:A文章編號:1007-9599 (2012) 06-0000-02
在當前的網絡安全管理架構的現狀背景下。相應的安全管理體系需要可以從管理的層面出發來代表信息系統安全的一種動態模型。目前,已有的方法雖然通過一定的網絡安全策略在某種程度上解決了網絡安全的防御問題,不過在此基礎上,其還是太過于趨向依賴同一種安全產品。在本文中,詳細闡述了一種新的網絡安全管理架構,即創建于動態自治的一種網絡安全管理架構。在這個網絡中包含了一種滿足于整個網絡安全要求的同時動態可變的區域網絡。具體地說,這種動態自治網絡也是通過了一種接入機制的管理系統,在此基礎上,構成了一種可控的網絡整體。以下將此網絡簡稱為DASN網絡。
一、動態自治的網絡安全管理架構
本文討論的動態自治的網絡安全管理架構從以下幾個方面考慮網絡防御的能力:
(1)從全局角度分析并評估網絡安全狀況,整合現有的網絡安全方面的某些資源,同事通過特定的策略使其能夠自動地來完成相關設施的部署與響應。
(2)通過實現網絡安全管理的高度自治,保證相應的DASN網絡應具有的信息安全。同時引入動態接入控制實現相應安全節點的控制。
(3)通過一定的接入控制策略,動態構建網絡上的管理區域,實現整個網絡管理的擴展,同時通過接入的方式確保區域安全。
二、DASN網絡中安全管理
本文著重于實現DASN網絡的安全管理,并在一定的基礎條件之下,建立相應的安全管理系統,文章同時提出了DASN網絡安全事件管理模型。其由包括四大模塊:
(1)網絡數據收集:此模塊對網絡中一些基本的信息進行數據資源的采集,重點進行原始數據的收集,其中包括事件日志與安全日志等內容。在實際情況中,此模塊的日常運行一般由進行運行。
(2)網絡數據的標準化整合:網絡中的數據收集是網絡安全中的重要環節。如果按現有的情況,從網絡中整理出來的數據不夠整齊,而且信息源的格式也存在著很多不同的地方,這就給系統檢測帶來很多的不便利。文中利用已有的資源共享同時通過一定的標準化和整合來對這類問題進行處理。這個模塊在提前設定好的數據格式的基礎上,將已有進行數據的整合并格式化,在此之后對標準化后的數據進行過濾,并進行網絡數據的冗余處理,同時依據一定的分類規則歸類數據。
(3)事件情景的分析:這個模塊在前期整合的過程中,僅僅去除了冗余并規范了數據,而這些數據對于系統來說還是初始數據,因此我們還要根據所在的網絡環境及事件狀況來對核心事件數據進行分析。在事件發生后,將整理后的數據映射到系統中上,通過對行為數據的進一步細化,對事件是否安全進行監控與行為分析,最后確定事件性質與位置。
(4)數據量化輸出:在整個網絡環境中,對經過分析后的事件進行進一步的量化,與此同時,對其可能的發展態勢及影響進行預測。一般的分析結果可以有信息類、警告類、嚴重類等三種。對于較高級別的警告,要根據評測結果與之前設定的值進行操作。
三、DASN動態接入網絡的實現
DASN網絡的安全管理在內容上,主要是強調網絡中的數據資源的整合管理。諸如網絡安全節點的接入以及網絡信息的一般性保護。在網絡中的架構進行運轉的過程中,我們需要從各個不同的角度對DASN網絡具體的動態接入過程進行展示,在此基礎上構建較為完整的網絡安全模型。本文采取了隔離節點設備或不完全權限的賦予等形式,對網絡中的相關設施配置應用了相對于DASN網絡的配置策略。而網絡安全控制也會同時識別未接入的節點操作的合法性與安全狀況,進而最大程度地降低非法節點的接入所可能帶來的安全威脅。與此同時,相關節點不同的安全等級也決定了驗證的策略也不一樣。因此, 在節點接入時不僅需要用戶的認證以及相關的安全認證,還應該應用特定的控制訪問安全的軟件,同時需要傳輸的數據進一步進行加密處理。針對DASN中諸多網絡對象各不相同的特征,本文中的模型將其分為設備、網關及終端等模式,而這些又進一步被統一稱為網絡管理的安全性。與此對應的是DASN網絡的網絡接入工作。其具體是由網絡終端、網絡安全管理中心進行具體的操作。作為網絡中的子系統的管理服務器會也從供應商服務器提供的信息中更新自身網絡安全性的相關信息,在自身網絡的安全信息更新后,本模型根據得到的更新信息以及最新的網絡安全工具的信息,對自身的系統在安全節點安全狀況的方面進行新的更新與評估。在此基礎上,系統再對其已經確定的安全缺陷做出迅速的反應,這樣就能大大地提高自網絡系統自身保障安全性方面的能力。對于DASN網絡的安全補丁管理,本文的模型可以包括安全補丁自檢測、補丁分發、補丁庫自動更新維護等機制。
四、基于自治安全策略的DASN網絡模型
DASN網絡中的自治安全策略模型用于保證其網絡的安全節點,能夠在其動態接入相關網絡的過程中,保證所使用的策略的完整與安全。通過這種方式,規避在節點的接入過程中可能帶來的風險,這樣也有利于保證DASN網絡策略的動態自治,進一步確保其安全可靠。本文建立的模擬DASN網絡是一個動態的網絡,此網絡是多種不同的網絡產品,通過一系列的內部協議構成的虛擬網絡環境。盡管如此,其自身的安全的策略管理,以及網絡安全分析等也要實現統一管理。同時,從全局角度,能夠使得此網絡按照一定的策略自治進行工作。這里面所說的自治的概念,就意味著DASN網絡中,相關的安全節點可以實現統一安全策略配置,同時具有一致的響應與應急方案。經過一系列的統一流程,最后能夠使系統的安全策略可以進行統一配置、統一分發管理與安全配置。在此基礎上,能夠使DASN網絡可以集中管理網絡中安全設備和系統。與此同時,在DASN網絡的安全管理平臺中,配置網絡內的相關安全節點參數,以便使自身網絡達到動態的配置與更新。另外,在DASN網絡中,應急響應流程應該具有高度一致性,這種一致性指的是DASN網絡中的安全事故處理流程的一致,而其相應的管理也應確保所涉及的事件可以得到及時地處理。
基于自治安全策略的DASN網絡模型需滿足以下三個方面的要求:首先應具備高擴展性,網絡架構能夠對各種安全設備進行統一管理。對最新的安全技術應保留相應的擴展接口。這樣的設計,能夠有利于自身利用上市場上最新的安全設備,進一步保證其實時性。其次是網絡的高可控性,DASN網絡架構可以對其應用范圍內的設備進行統一配置,同時具有信息收集的能力,DASN的網絡中安全設備在運行過程中產生一系列的配置信息及系統安全信息等數據,因此DASN網絡架構應具有收集這些信息的能力,這樣就能方便用戶在整體地掌握系統的安全狀況。最后DASN網絡應擁有良好的互操作性,DASN網絡應在其應用的范圍內,實現相關設備的安全和規則的綜合配置。系統將其自治的安全策略模型分成狀態監控、系統管理、策略管理等部分。其中策略管理框架以及系統資源管理作為了系統的支持部分。策略管理、狀態監控以及安全作為了應用系統的部分。
參考文獻:
[1]沈星星,程學旗.基于數據流管理平臺的網絡安全事件監控系統[J].小型微型計算機系統,2006,27(2):237-240
[2]董玉格,金海,趙振.攻擊與防護一網絡安全與實用防護技術(第一版)[M].北京:人民郵電出版社,2002:79-181
[3]史簡,郭山清,謝立.統一網絡安全管理平臺的研究與實現[J].計算機應用研究,2006,(9):92-97
任何事情都具有兩面性,有一利往往也必有一弊。就像IPv6,它為互聯網帶來了幾乎無限的IP地址資源的同時,也改變了互聯網的安全環境,讓更大的風險隨之而至。
從當前所獲取的一些網絡攻擊事件的信息來看,盡管IPv4向IPv6的過渡才剛剛開始,但一些攻擊者卻已經開始通過IPv6的基礎設施散布垃圾郵件,甚至利用IPv6的地址空間向IPv4網絡發起攻擊。
“看上去很美”的IPv6是否存在更大的安全黑洞?在熱情迎接IPv6的同時,我們是否看到了藏匿在過渡過程中的安全隱患?人們在IPv4環境中積累的安全經驗是否也適用于IPv6?
通過“認證”就夠了嗎
三年前,一則關于“Windows Vista系統中所包含的Teredo技術存在潛在安全隱患”的消息,就曾暴露出一些IPv4向IPv6過渡中面臨的安全問題。Teredo是一項地址分配和自動隧道技術,它能通過IPv4網絡傳遞IPv6流量,幫助客戶端實現對IPv4與IPv6協議的兼容。當時就有安全專家指出,Teredo客戶端可以在把IPv6數據包傳遞到另一目的地的同時,繞過基于網絡的源路由控制,穿透防火墻等安全設備,而在Vista系統下該功能還被默認啟用,這種技術所形成的安全漏洞很容易被黑客所利用。由于當時沒有任何系統能夠有效過濾所有的Teredo數據包,專家只能建議網絡管理員先禁用Teredo功能,并倡議防火墻、入侵檢測系統和路由器等廠商增加對Teredo協議的支持,以確保常規的網絡安全產品能夠過濾所有的Teredo數據包。
事實上,“Teredo事件”只是IPv6所帶來的安全隱患的一個縮影。因為三年過后,Teredo的問題還沒有被完全解決,大量類似的過渡技術卻開始被更廣泛地使用(如6to4、SIT機制及基于IPv6的UDP通信等標準過渡方式),并且使用這些技術的相關產品還紛紛通過了IPv6認證。這種狀況,不免讓記者對當前大批掛著IPv6認證標志的網絡安全產品的真實效果感到擔憂。
Radware 安全產品總監Ron Meyran告訴記者,雖然目前不少廠商都宣稱自己擁有通過了IPv6認證的安全產品,但事實上許多廠商只是提供了一個特別的版本,僅是能夠支持與IPv6網絡通信的能力或依靠某個License運行,并不意味著這些產品能夠有效解決IPv6帶來的安全問題。甚至很多安全產品在處理類似Teredo的問題時,不是存在局限性就是徹底無效。
他表示,即使是對于某些通過認證的安全設備,企業也要慎重選擇。在不了解它們的運作機制前,不能盲目采購。比如,企業依舊需要檢測防火墻是否可以讓一些未經檢查的IPv6流量輕松通過,而不是將其視為非IPv6應用版加以攔截、檢查;IPv6流量是否可以繞過多個深層數據包引擎的硬件組件等。此外,由于IPv6地址的長度是IPv4的4倍,會因此顯著影響網絡安全產品的流量處理速度。這個特點,也可以幫助大家判斷出相關安全產品支持IPv6的真偽。
注意它的先天不足
和IPv4相比,IPv6在設計之初,就對安全問題做出了更多的考慮。借助IPSec(Internet 協議安全性),IPv6的安全性能確實得以改善。但是,近來發生的網絡攻擊事件顯示,IPSec并不能處理IPv6網絡中的所有漏洞問題。而對比IPv4,新的網絡環境要更為復雜,所產生的網絡漏洞也更難預料。例如,攻擊者的IPv6路由器可以使用虛假廣告,為網絡中已啟用IPv6的設備自動創建新的IPv6地址;一些過渡機制使IPv6與IPv4網絡之間可以相互影響,反而為網絡攻擊者提供了更豐富的可利用的資源;過渡工具可以為各種IPv4應用提供連接到IPv6服務的連接方式,IPv6應用也可連接到IPv4服務,這種狀況可以讓網絡攻擊變得更為瘋狂;IPv6地址的長度也會成為攻擊者借助的有力工具,因為基于IPv6的流量過濾將增加安全設備CPU的負擔,攻擊者發起的DDoS攻擊所產生的流量,將比以往更易導致網絡設備和服務器的癱瘓。
而且,盡管IPv6的內部加密機制是為用戶與服務器之間的交流提供身份認證與保密功能的,但該功能卻給防火墻和IPS也“下了絆兒”。它令攻擊者得以利用加密機制繞過防火墻和IPS檢查,直接向服務器發起攻擊,原因正在于這些安全設備無法檢測加密內容。Ron Meyran指出,攻擊者還可以利用Teredo、6to4、ISATAP等IPv6協議機制偽裝各種進攻。攻擊者會讓允許通過的信息包看上去跟正常的IPv4流量毫無差別,只有通過防火墻和IPS的準確核實,才能通過深度包檢測技術(DPI)對IPv6流量完成內容檢測。“目前,能夠支持IPv6并可真正執行IPv6 DPI的IPS產品和防火墻產品為數不多。如果沒有部署其他安全設備或邊界安全網關,攻擊者很可能利用這一疏忽,借助IPv6數據包進入企業核心網絡。”
除此之外,IPv6重定向協議中存在的安全隱患也非常值得人們關注。在IPv6協議中,重定向報文的主要作用是為局域網內的節點提供正確的路由選擇。IPv6重定向協議本身的主要功能是保證主機擁有動態的、小而優的路由表,以提高報文的轉發效率。但是,由于IPv6重定向協議缺乏源地址認證,對于局域網中的惡意節點來說,就可以利用IPv6重定向報文實現數據報的非法重定向,從而實現多種攻擊措施。比如,它首先偽裝路由器,然后再發送Redir報文告訴被攻擊者:發往某個外網節點的數據包,走自己這條路由更好,那么被攻擊節點就會將數據包交由惡意節點轉發,而惡意節點則可以不轉發并禁止其通信,或是進行篡改。
當心“不聽話”的IPv6
在從IPV4向IPV6過渡的過程中,企業將面臨更多的對信息安全問題以及對信息安全體系的重新理解和調整。
首先,為了實現IPv4與IPv6的無縫兼容,很多IPv6設備都內置了各種無狀態的自動配置功能,而這樣的網絡設備對網絡管理員而言卻成了不可控的設備。管理員將難以察覺哪些網絡設備是失控的,而攻擊者卻可以利用這種情況下手。比如攻擊者可以輕易控制一個行為失常的網絡設備讓其修改或降低流量,卻不會被網絡管理員發覺。IPv6帶來的這類風險,恐怕很多網絡管理員還沒有料到。
其次,在企業迎接IPv6的同時,IT管理的難度也會隨之增加。Sophos技術策略主管James Lyne告訴記者,有些對IPv6流量不感興趣的企業,希望設立明確的規則來嚴格阻止IPv6數據包。而IT管理人員必須要知道“如何與IPv6對話”才能編寫相應的規則來處理該協議。
