時(shí)間:2023-06-08 10:58:46
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全服務(wù)的價(jià)值,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
一、計(jì)算機(jī)網(wǎng)絡(luò)的安全與攻擊
計(jì)算機(jī)的網(wǎng)絡(luò)安全攻擊。計(jì)算機(jī)的網(wǎng)絡(luò)安全是數(shù)據(jù)運(yùn)行的重要任務(wù),同時(shí)也是防火墻的重點(diǎn)內(nèi)容。計(jì)算機(jī)的發(fā)展在時(shí)代的變遷中更加廣泛,但同時(shí)運(yùn)行過(guò)程中的威脅也會(huì)影響到計(jì)算機(jī)的使用。例如:數(shù)據(jù)方面、環(huán)境威脅、外力破壞、拒絕服務(wù)、程序攻擊、端口破壞等。計(jì)算機(jī)網(wǎng)絡(luò)的主體就是數(shù)據(jù),在數(shù)據(jù)的運(yùn)行中如果存在漏洞會(huì)給網(wǎng)絡(luò)安全帶來(lái)很大的隱患,比如在節(jié)點(diǎn)數(shù)據(jù)處若是進(jìn)行攻擊篡改會(huì)直接破壞數(shù)據(jù)的完整性,攻擊者往往會(huì)選擇數(shù)據(jù)內(nèi)容進(jìn)行操作、對(duì)其進(jìn)行攻擊泄露,還可植入木馬病毒等,使得網(wǎng)絡(luò)安全成為了問(wèn)題;環(huán)境是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ),用戶在使用訪問(wèn)時(shí)會(huì)使用到網(wǎng)絡(luò)環(huán)境,而環(huán)境卻是開(kāi)放共享的,攻擊者可以對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)的數(shù)據(jù)包進(jìn)行處理,將攻擊帶入內(nèi)網(wǎng)以破壞內(nèi)網(wǎng)的防護(hù)功能;外力破壞主要就是木馬、病毒的攻擊,攻擊者可以利用網(wǎng)站和郵箱等植入病毒,攻擊使用者的計(jì)算機(jī),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)故障;拒絕服務(wù)是攻擊者利用系統(tǒng)的漏洞給計(jì)算機(jī)發(fā)送數(shù)據(jù)包,使得主機(jī)癱瘓不能使用任何服務(wù),主要是由于計(jì)算機(jī)無(wú)法承擔(dān)高負(fù)荷的數(shù)據(jù)存儲(chǔ)因而休眠,無(wú)法對(duì)用戶的請(qǐng)求作出反應(yīng);程序攻擊是指攻擊者應(yīng)用輔助程序攻入程序內(nèi)部,進(jìn)而毀壞文件數(shù)據(jù)等;端口攻擊卻是攻擊者從硬性的攻擊路徑著手,使得安全系統(tǒng)出現(xiàn)問(wèn)題。以上的各種網(wǎng)絡(luò)安全問(wèn)題都需要使用防火墻技術(shù),以減少被攻擊的次數(shù)和程度,保證用戶的數(shù)據(jù)及文件等的安全。
二、網(wǎng)絡(luò)安全中的防火墻技術(shù)
(一)防火墻技術(shù)的基本概念
防火墻技術(shù)是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的一道屏障,它是由多種硬件設(shè)備和軟件的組合,是用來(lái)保障網(wǎng)絡(luò)安全的裝置。主要是根據(jù)預(yù)設(shè)的條件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的信息和數(shù)據(jù)進(jìn)行監(jiān)控,然后授權(quán)以及限制服務(wù),再記錄相關(guān)信息進(jìn)行分析,明確每一次信息的交互以預(yù)防攻擊。它具有幾種屬性:所以的信息都必須要經(jīng)過(guò)防火墻、只有在受到網(wǎng)絡(luò)安全保護(hù)的允許下才能通過(guò)它、并且能夠?qū)W(wǎng)絡(luò)攻擊的內(nèi)容和信息進(jìn)行記錄并檢測(cè)、而且它自身能夠免疫各種攻擊。防火墻有各種屬性,能夠?qū)Π踩雷o(hù)的策略進(jìn)行篩選并讓其通過(guò)、能夠記錄數(shù)據(jù)的信息并進(jìn)行檢測(cè),以便及時(shí)預(yù)警、還能夠容納計(jì)算機(jī)的整體的信息并對(duì)其進(jìn)行維護(hù)。而防火墻常用技術(shù)主要分為:狀態(tài)檢測(cè)、應(yīng)用型防火墻和包過(guò)濾技術(shù)。前者是以網(wǎng)絡(luò)為整體進(jìn)行研究,分析數(shù)據(jù)流的信息并將其與網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行區(qū)分,以查找不穩(wěn)定的因素,但是時(shí)效性差;應(yīng)用型的是用來(lái)保障內(nèi)外網(wǎng)連接時(shí)的安全,使得用戶在訪問(wèn)外網(wǎng)時(shí)能夠更加的安全;包過(guò)濾技術(shù)就是將網(wǎng)絡(luò)層作為保護(hù)的對(duì)象,按計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議嚴(yán)格進(jìn)行,以此來(lái)實(shí)現(xiàn)防護(hù)效果。
(二)防火墻的常用功能構(gòu)件
它的常用功能構(gòu)件主要是認(rèn)證、訪問(wèn)控制、完整、審計(jì)、訪問(wèn)執(zhí)行功能等。認(rèn)證功能主要是對(duì)身份進(jìn)行確認(rèn);訪問(wèn)控制功能是能夠決定是否讓此次文件傳送經(jīng)過(guò)防火墻到達(dá)目的地的功能,能夠防止惡意的代碼等;完整性功能是對(duì)傳送文件時(shí)的不被注意的修改進(jìn)行檢測(cè),雖然不能對(duì)它進(jìn)行阻止,但是能進(jìn)行標(biāo)記,可以有效的防止基于網(wǎng)絡(luò)上的竊聽(tīng)等;審計(jì)功能是能夠連續(xù)的記錄重要的系統(tǒng)事件,而重要事件的確定是由有效的安全策略決定的,有效的防火墻系統(tǒng)的所有的構(gòu)件都需要統(tǒng)一的方式來(lái)記錄。訪問(wèn)執(zhí)行功能是執(zhí)行認(rèn)證和完整性等功能的,在通過(guò)這些功能的基礎(chǔ)上就能將信息傳到內(nèi)網(wǎng),這種功能能夠減少網(wǎng)絡(luò)邊界系統(tǒng)的開(kāi)銷,使得系統(tǒng)的可靠性和防護(hù)能力有所提高。
三、防火墻的應(yīng)用價(jià)值
防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全中的廣泛應(yīng)用,充分的展現(xiàn)了它自身的價(jià)值。以下談?wù)搸c(diǎn):
(一)技術(shù)的價(jià)值
技術(shù)是防火墻技術(shù)中的一種,能夠?yàn)榫W(wǎng)絡(luò)系統(tǒng)提供服務(wù),以便實(shí)現(xiàn)信息的交互功能。它是比較特殊的,能夠在網(wǎng)絡(luò)運(yùn)行的各個(gè)項(xiàng)目中都發(fā)揮控制作用,分成高效。主要是在內(nèi)外網(wǎng)信息交互中進(jìn)行控制,只接受內(nèi)網(wǎng)的請(qǐng)求而拒絕外網(wǎng)的訪問(wèn),將內(nèi)外網(wǎng)進(jìn)行分割,拒絕混亂的信息,但是它的構(gòu)建十分復(fù)雜,使得應(yīng)用不易。雖然防護(hù)能力強(qiáng),在賬號(hào)管理和進(jìn)行信息驗(yàn)證上十分有效,但是因使用復(fù)雜而無(wú)法廣泛推廣。
(二)過(guò)濾技術(shù)的價(jià)值
過(guò)濾技術(shù)是防火墻的選擇過(guò)濾,能夠?qū)?shù)據(jù)進(jìn)行全面的檢測(cè),發(fā)現(xiàn)攻擊行為或者危險(xiǎn)的因素時(shí)及時(shí)的斷開(kāi)傳送,因而能夠進(jìn)行預(yù)防并且有效控制風(fēng)險(xiǎn)信息的傳送,以確保網(wǎng)絡(luò)安全,這項(xiàng)技術(shù)不僅應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全,而且在路由器使用上也有重要的價(jià)值。
(三)檢測(cè)技術(shù)的價(jià)值
檢測(cè)技術(shù)主要應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)的狀態(tài)方面,它在狀態(tài)機(jī)制的基礎(chǔ)上運(yùn)行,能夠?qū)⑼饩W(wǎng)的數(shù)據(jù)作為整體進(jìn)行準(zhǔn)確的分析并將結(jié)果匯總記錄成表,進(jìn)而進(jìn)行對(duì)比。如今檢測(cè)技術(shù)廣泛應(yīng)用于各層次網(wǎng)絡(luò)間獲取網(wǎng)絡(luò)連接狀態(tài)的信息,拓展了網(wǎng)絡(luò)安全的保護(hù)范圍,使得網(wǎng)絡(luò)環(huán)境能夠更加的安全。
四、總結(jié)
隨著計(jì)算機(jī)網(wǎng)絡(luò)的使用愈加廣泛,網(wǎng)絡(luò)安全問(wèn)題也需要重視。而防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障手段,科學(xué)的利用防火墻技術(shù)的原理,能夠更加合理的阻止各種信息或數(shù)據(jù)的泄露問(wèn)題,避免計(jì)算機(jī)遭到外部的攻擊,確保網(wǎng)絡(luò)環(huán)境的安全。將防火墻技術(shù)應(yīng)用于計(jì)算機(jī)的網(wǎng)絡(luò)安全方面能夠更加有效的根據(jù)實(shí)際的情況對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行保護(hù),發(fā)揮其自身的作用以實(shí)現(xiàn)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的目的。
計(jì)算機(jī)碩士論文參考文獻(xiàn)
[1]馬利.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].信息與電腦,2017,13(35):35.
關(guān)鍵詞:計(jì)算機(jī)技術(shù);網(wǎng)絡(luò)安全;儲(chǔ)存;云計(jì)算
在互聯(lián)網(wǎng)信息技術(shù)快速發(fā)展的背景下,網(wǎng)絡(luò)信息安全成為當(dāng)下主要研究方向之一。云計(jì)算技術(shù)的有效應(yīng)用,既為人們的需求帶來(lái)較大的便利,同時(shí)也為用戶的信息安全帶來(lái)了一定的隱患。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心甘肅分中心作為地方網(wǎng)絡(luò)安全治理的重要技術(shù)支撐單位,為了有效保護(hù)全省計(jì)算機(jī)網(wǎng)絡(luò)儲(chǔ)存信息的安全,必須要正確認(rèn)識(shí)云計(jì)算技術(shù),科學(xué)合理的應(yīng)用,這樣才能最大化保障數(shù)據(jù)的安全性[1],并且準(zhǔn)確地監(jiān)測(cè)、預(yù)警各類網(wǎng)絡(luò)安全事件。現(xiàn)為對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全存儲(chǔ)中云計(jì)算技術(shù)的應(yīng)用進(jìn)行探究,本文將對(duì)云計(jì)算技術(shù)的概念及其發(fā)展現(xiàn)狀進(jìn)行論述,繼而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全存儲(chǔ)中云計(jì)算技術(shù)所涉及的關(guān)鍵技術(shù)進(jìn)行分析,隨后對(duì)其相關(guān)應(yīng)用策略進(jìn)行探究,以供廣大計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理從業(yè)者參考。
1 云計(jì)算技術(shù)的概念及發(fā)展現(xiàn)狀
所謂“云計(jì)算技術(shù)”,即由分布式計(jì)算、網(wǎng)格計(jì)算、并行處理等技術(shù)發(fā)展而來(lái)的新型商業(yè)計(jì)算模型,在實(shí)際運(yùn)作之時(shí),其計(jì)算任務(wù)一般分布于大量計(jì)算機(jī)構(gòu)成的資源池上,令各類應(yīng)用系統(tǒng)能以實(shí)際需求為根據(jù)獲取系統(tǒng)實(shí)際獲取的計(jì)算能力、軟件服務(wù)以及存儲(chǔ)空間,并建立網(wǎng)絡(luò)服務(wù)器集群,為各類用戶提供硬件租借、各種類型的軟件服務(wù)、數(shù)據(jù)存儲(chǔ)、計(jì)算分析等各種類型的服務(wù)。舉例而言,目前國(guó)內(nèi)普遍使用的幾類在線財(cái)務(wù)軟件金蝶及用友等等,再例如國(guó)外谷歌曾的谷歌應(yīng)用程序套裝等,這些例子借可歸納入云計(jì)算技術(shù)的范疇之中,通俗來(lái)講,云計(jì)算本身便是將本地計(jì)算機(jī)需求的計(jì)算任務(wù)“傳送”至云端,由云端處儲(chǔ)備的、運(yùn)算能力遠(yuǎn)超本地計(jì)算機(jī)能力的計(jì)算機(jī)群對(duì)本地計(jì)算機(jī)需求的計(jì)算任務(wù)進(jìn)行計(jì)算,進(jìn)而將計(jì)算結(jié)果及其相關(guān)資源傳送回本地計(jì)算機(jī),這便是最初狹義的“云計(jì)算技術(shù)”。在發(fā)展現(xiàn)狀方面,云計(jì)算技術(shù)通過(guò)其本身與以往模式大不相同的服務(wù)模式,在信息技術(shù)領(lǐng)域這灘“波瀾不驚”的死水中驚起了漫天“波瀾”,且這“波瀾”一旦出現(xiàn)便幾無(wú)休止,因而也在此領(lǐng)域內(nèi)引起了社會(huì)各階層的廣泛關(guān)注。在實(shí)際應(yīng)用一段時(shí)間后,其本身也逐漸劃分為數(shù)大層次――基礎(chǔ)設(shè)施安全層次、應(yīng)用服務(wù)器安全層次、云端安全層次等等,由于層次較多,目前云計(jì)算技術(shù)也呈現(xiàn)出了“綜合性”,而隨著近年來(lái)我國(guó)社會(huì)與科技的不斷進(jìn)步與發(fā)展,云計(jì)算技術(shù)在網(wǎng)絡(luò)安全方面的研究日漸推進(jìn),其中,目前國(guó)內(nèi)外在云計(jì)算技術(shù)方面的建樹(shù)主要存在以下案例:一是我國(guó)曾創(chuàng)建IBM云計(jì)算中心;二是除國(guó)家領(lǐng)域的云計(jì)算技術(shù)應(yīng)用于網(wǎng)絡(luò)安全的成功案例外,許多從事于網(wǎng)絡(luò)安全及其相關(guān)領(lǐng)域的企業(yè)或公司紛紛基于“云計(jì)算技術(shù)”提出了針對(duì)網(wǎng)絡(luò)安全的解決方法與策略,如目前在國(guó)內(nèi)外比較出名的360 云、IBM云、Google云及Microsoft云等等。這些案例清楚地向人們展示著“云計(jì)算技術(shù)”在網(wǎng)絡(luò)安全儲(chǔ)存中的發(fā)展程度。同樣,這些案例亦成為了將云計(jì)算技術(shù)應(yīng)用于網(wǎng)絡(luò)安全存儲(chǔ)中的先行者,為云計(jì)算技術(shù)在網(wǎng)絡(luò)安全性中的有效應(yīng)用做出表率,進(jìn)而推進(jìn)網(wǎng)絡(luò)安全儲(chǔ)存的發(fā)展。
2 計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中云計(jì)算技術(shù)的關(guān)鍵技術(shù)
在信息技術(shù)和網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下,人們的需求日益增加且要求越來(lái)越多,云計(jì)算技術(shù)也因此誕生,是網(wǎng)絡(luò)信息技術(shù)的衍生物,主要通過(guò)把各種技術(shù)有效整合起來(lái),包括云儲(chǔ)存技術(shù)、分布式計(jì)算、虛擬技術(shù)等等,將網(wǎng)絡(luò)中的各種資源整合起來(lái),然后為用戶提供個(gè)性化服務(wù),故云計(jì)算機(jī)數(shù)按照供需原則為用戶提供個(gè)性化專業(yè)服務(wù),隨著社會(huì)的發(fā)展和人類文明的進(jìn)步,云計(jì)算技術(shù)具有良好的發(fā)展前景,對(duì)推動(dòng)整個(gè)信息行業(yè)發(fā)展具有重要意義,同時(shí)還會(huì)掀起信息產(chǎn)業(yè)發(fā)生革命性的浪潮,促使信息產(chǎn)業(yè)各項(xiàng)技術(shù)得到有效地創(chuàng)新[2]。所以,在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中科學(xué)合理應(yīng)用云計(jì)算機(jī)技術(shù)至關(guān)重要。
2.1 云計(jì)算技術(shù)中的身份認(rèn)證技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中,身份認(rèn)證是開(kāi)啟服務(wù)的關(guān)鍵鑰匙,身份認(rèn)證技術(shù)具體包括四種技術(shù),分別為口令核對(duì)、IC卡的身份驗(yàn)證、PKI身份認(rèn)證、Kerberos身份認(rèn)證,具體如下:(1 )口令核對(duì)技術(shù)是確保信息安全的關(guān)鍵性技術(shù)。用戶根據(jù)自身的需求在系統(tǒng)中獲取對(duì)應(yīng)的權(quán)限然后創(chuàng)建用戶和登陸密碼,在使用過(guò)程中,根據(jù)系統(tǒng)提示,在登陸窗口輸入用戶的賬號(hào)和密碼,一旦通過(guò)系統(tǒng)驗(yàn)證,通過(guò)系統(tǒng)驗(yàn)證即可獲取對(duì)應(yīng)的使用權(quán)限;否則視為非法用戶,不能享受服務(wù),在很大程度上保障了用戶信息的安全性[3]。(2 )IC卡的身份驗(yàn)證主要應(yīng)用在智能IC卡中。IC卡儲(chǔ)存著用戶的相關(guān)信息,包括用戶ID和口令,用戶根據(jù)自身的需求,將IC卡插入身份驗(yàn)證端口,通過(guò)對(duì)IC卡信息的提取然后輸送到服務(wù)器中進(jìn)行驗(yàn)證,確認(rèn)用戶ID與口令是否正確確保了網(wǎng)絡(luò)的安全性,IC卡身份驗(yàn)證最大的優(yōu)勢(shì)在于穩(wěn)定性較高[4]。(3 )PKI身份認(rèn)證是在公鑰基礎(chǔ)設(shè)施上所研發(fā)出一種新型認(rèn)證技術(shù)。利用公鑰把基礎(chǔ)數(shù)據(jù)經(jīng)過(guò)一定的構(gòu)造,同時(shí)配合秘鑰的使用,才能完成對(duì)用戶信息的加密和解密,因此在使用過(guò)程中必須要通過(guò)秘鑰和公鑰相互作用,才能實(shí)現(xiàn)解密的目的。目前PKI身份認(rèn)證主要是為了維護(hù)系統(tǒng)的安全性,且在秘鑰更新、秘鑰備份、恢復(fù)機(jī)制等功能下使用[5]。(4 )Kerberos身份認(rèn)證是建立在第三方可行協(xié)議之下,不同于上述三種的身份認(rèn)證技術(shù),享有授權(quán)服務(wù)器和資源訪問(wèn)系統(tǒng)的權(quán)利。通過(guò)加密用戶的口令,才能享受對(duì)應(yīng)的使用權(quán)限,然后在使用中進(jìn)行身份驗(yàn)證,身份驗(yàn)證通過(guò)獲取系統(tǒng)的合法操作權(quán)限,同時(shí)享受系統(tǒng)所帶來(lái)的服務(wù)。
2.2 云計(jì)算技術(shù)中的云數(shù)據(jù)加密技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中,數(shù)據(jù)加密是根本,也是保護(hù)數(shù)據(jù)安全的關(guān)鍵性技術(shù),具體包括對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。(1 )對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)包括密鑰、密文、明文、加密和解密等部分,該技術(shù)具有較高的解答難度,且具有較高的安全性,但是由于使用相同的密鑰,因此在傳遞和管理過(guò)程中很難有效保障其安全性,另外也不具備同時(shí)簽名功能。如圖1 所示。(2 )非對(duì)稱加密技術(shù)。與對(duì)稱加密技術(shù)而言,非對(duì)稱加密技術(shù)可以有效彌補(bǔ)其不足之處,從而大大提升了秘鑰在傳遞和管理中的安全性,但是在傳遞與管理中的作用有限,加密解密方面的能力較弱,且復(fù)雜性較高,故使用率較低[6]。如圖2 所示。
2.3 云計(jì)算技術(shù)中的糾刪碼技術(shù)
在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中,分布式儲(chǔ)存系統(tǒng)是一種比較常用的安全存儲(chǔ)系統(tǒng)。由于錯(cuò)誤代碼的固定位置存在較大差異,且不固定,因此為了有效避免這種問(wèn)題所帶來(lái)的安全性問(wèn)題,糾刪碼技術(shù)得到有效的發(fā)展與應(yīng)用。糾刪碼技術(shù)主要包括分組碼、集碼、碼子、監(jiān)督碼元和信息碼元等重要組成部分。其中最常用的糾刪碼分為級(jí)聯(lián)低密度糾刪碼、無(wú)速率編碼和RS糾刪碼,這些糾刪碼主要應(yīng)用在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中,都具有較高的編解碼效率,從而大幅度提升了網(wǎng)絡(luò)的質(zhì)量和安全性[7]。如圖3-4 所示:
3 在計(jì)算機(jī)網(wǎng)絡(luò)安全存儲(chǔ)中加強(qiáng)云計(jì)算技術(shù)運(yùn)用的策略
在科學(xué)技術(shù)全面發(fā)展的背景下,云計(jì)算技術(shù)的誕生和有效應(yīng)用,在很大程度上促進(jìn)我國(guó)社會(huì)經(jīng)濟(jì)的發(fā)展,并為人們的生活和工作帶來(lái)較多的便利和價(jià)值,但同時(shí)也帶來(lái)了一些問(wèn)題,尤其是對(duì)網(wǎng)絡(luò)安全儲(chǔ)存的安全性和準(zhǔn)確性。為了有效應(yīng)用云計(jì)算技術(shù),發(fā)揮出云計(jì)算技術(shù)的作用和價(jià)值,必須要掌握云計(jì)算技術(shù)的應(yīng)用方法,這樣才能有效提高計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存的安全性和準(zhǔn)確性,并提高云計(jì)算技術(shù)的作用和價(jià)值。
3.1 在可取回性證明算法中加入冗余編碼與糾刪碼
可取回性證明算法在計(jì)算機(jī)網(wǎng)絡(luò)儲(chǔ)存中主要是用來(lái)處理和驗(yàn)證相關(guān)數(shù)據(jù)信息。在可取回性證明算法中通過(guò)加入冗余糾錯(cuò)編碼,實(shí)現(xiàn)對(duì)用戶身份的準(zhǔn)確驗(yàn)證,從而保障了網(wǎng)絡(luò)數(shù)據(jù)信息的安全性。同樣數(shù)據(jù)信息查詢必須要進(jìn)行云端驗(yàn)證,只有通過(guò)驗(yàn)證,才能實(shí)現(xiàn)查詢數(shù)據(jù)信息的操作,并確認(rèn)云端數(shù)據(jù)是否安全。如果用戶在數(shù)據(jù)信息查詢時(shí),無(wú)法通過(guò)云端驗(yàn)證,則不能進(jìn)行對(duì)應(yīng)的數(shù)據(jù)信息查詢操作,同時(shí)還會(huì)導(dǎo)致文件損壞,此時(shí)文件的恢復(fù)至關(guān)重要,可取回性證明算法可有效恢復(fù)因無(wú)法通過(guò)驗(yàn)證的數(shù)據(jù)信息。可恢復(fù)的數(shù)據(jù)信息必須要在可取回范圍內(nèi),同時(shí)使用冗余編碼對(duì)損壞數(shù)據(jù)進(jìn)行二次利用,從而確保數(shù)據(jù)信息的完整性和安全性,可取回性證明發(fā)生具有較高的數(shù)據(jù)恢復(fù)效果[8]。另外,還能有效檢驗(yàn)云端數(shù)據(jù)信息是否完整,并準(zhǔn)確定位錯(cuò)誤數(shù)據(jù),分析出具體的地點(diǎn)。數(shù)據(jù)的恢復(fù)離不開(kāi)冗余編碼技術(shù)和糾刪碼技術(shù)的有效使用,并保證了系統(tǒng)的安全性和穩(wěn)定性。可取回性證明算法基本都是根據(jù)用戶需求,選擇或者建立對(duì)應(yīng)的安全機(jī)制和安全服務(wù)類型,滿足用戶的安全技術(shù)要求,構(gòu)建出一套完善的網(wǎng)絡(luò)安全信息系統(tǒng)。
3.2 在用戶端和云端中應(yīng)用
MC-ROMC-R對(duì)提高數(shù)據(jù)管理效率和數(shù)據(jù)信息控制效果具有重要作用,因此在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中有效應(yīng)用OMC-R策略意義重大。(1 )首先使用MC公鑰密碼算法加密。在計(jì)算機(jī)網(wǎng)絡(luò)安全儲(chǔ)存中應(yīng)用云計(jì)算機(jī)技術(shù),就會(huì)有效降低數(shù)據(jù)信息的偽裝性,此時(shí)可借助MC公鑰密碼算法,提高云端數(shù)據(jù)信息的偽裝性,實(shí)現(xiàn)對(duì)隱藏模塊、標(biāo)記模塊、行為模塊的有效偽裝,實(shí)現(xiàn)提高數(shù)據(jù)信息安全性的目標(biāo)[9]。(2 )然后計(jì)算云端數(shù)據(jù),前提是加密和校驗(yàn)核心數(shù)據(jù),防止在應(yīng)用過(guò)程中出現(xiàn)順號(hào)問(wèn)題。加密模版和解密模版是云端算法的主要模版,先根據(jù)系統(tǒng)指令操作,然后使用MC公鑰密碼算法加密技術(shù),實(shí)現(xiàn)對(duì)數(shù)據(jù)的保存、加密,并將秘鑰上傳到云端中,接著云端對(duì)其進(jìn)行二次加密處理。在使用這些數(shù)據(jù)時(shí),使用加密程序用秘鑰打開(kāi)所需數(shù)據(jù),在使用解密程度解除加密數(shù)據(jù),用戶則可以正確使用對(duì)應(yīng)的數(shù)據(jù)[10]。
《中國(guó)金融電腦雜志》2015年第一期
一、主動(dòng)式網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制
傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)及產(chǎn)品在保障網(wǎng)絡(luò)安全時(shí)發(fā)揮著各自的作用,但網(wǎng)絡(luò)安全不是孤立問(wèn)題,依靠任何一款單一的產(chǎn)品無(wú)法實(shí)現(xiàn),只有將不同廠商、不同功能的產(chǎn)品統(tǒng)一管理,使它們聯(lián)動(dòng)運(yùn)轉(zhuǎn)、協(xié)同工作,才能充分發(fā)揮整體最佳性能,全方位保障網(wǎng)絡(luò)安全。
1.聯(lián)動(dòng)概念聯(lián)動(dòng)指在一個(gè)系統(tǒng)的各個(gè)成員之間建立一種關(guān)聯(lián)和互動(dòng)機(jī)制,通過(guò)這種機(jī)制,各個(gè)成員自由交換各種信息,相互作用和影響。在主動(dòng)式網(wǎng)絡(luò)安全防御體系中,聯(lián)動(dòng)是一種新型的網(wǎng)絡(luò)防護(hù)策略。通過(guò)聯(lián)動(dòng)策略,防火墻、入侵檢測(cè)系統(tǒng)、反病毒系統(tǒng)、日志處理系統(tǒng)等安全技術(shù)和產(chǎn)品在“強(qiáng)強(qiáng)組合,互補(bǔ)互益”的基礎(chǔ)上,充分發(fā)揮單一產(chǎn)品的優(yōu)勢(shì),構(gòu)建最強(qiáng)的防御系統(tǒng)。
2.傳統(tǒng)聯(lián)動(dòng)模型網(wǎng)絡(luò)安全聯(lián)動(dòng)機(jī)制中較為完善的安全聯(lián)動(dòng)模型有TopSEC模型、入侵檢測(cè)產(chǎn)品、防火墻聯(lián)動(dòng)模型和基于策略的智能聯(lián)動(dòng)模型,下面主要介紹基于策略的智能聯(lián)動(dòng)模型(如圖1所示)。該模型中防火墻、VPN、IDS等安全部件,通過(guò)智能進(jìn)行整合,經(jīng)過(guò)部件關(guān)聯(lián)、智能推理傳送給聯(lián)動(dòng)策略引擎,再根據(jù)事先設(shè)定好的策略進(jìn)行聯(lián)動(dòng),并將最終的策略應(yīng)用到防火墻、VPN、IDS等安全部件中。
3.主動(dòng)式網(wǎng)絡(luò)安全聯(lián)動(dòng)模型通過(guò)部署誘騙系統(tǒng),吸引攻擊者,記錄攻擊行為,進(jìn)而分析新型攻擊的特點(diǎn)。同時(shí),通過(guò)聯(lián)動(dòng)機(jī)制,使模型中的各安全部件協(xié)同工作,最終發(fā)揮主動(dòng)性聯(lián)動(dòng)優(yōu)點(diǎn),構(gòu)建一個(gè)自適應(yīng)、動(dòng)態(tài)的主動(dòng)式防御系統(tǒng)。其中,蜜罐技術(shù)是防御體系內(nèi)各安全部件實(shí)現(xiàn)主動(dòng)式聯(lián)動(dòng)的核心技術(shù)。(1)蜜罐技術(shù)蜜罐是一種安全概念,美國(guó)Project Honeypot研究組的Lance Spitaner將其定義一種安全資源,它的價(jià)值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統(tǒng)或應(yīng)用程序,也可以是真實(shí)的系統(tǒng)或程序。通過(guò)蜜罐技術(shù)建立一個(gè)誘騙環(huán)境,吸引攻擊者或入侵者,觀察和記錄攻擊行為并形成日志,分析日志后追蹤、識(shí)別入侵者的身份,進(jìn)而學(xué)習(xí)新的入侵規(guī)則,主動(dòng)分析新型攻擊特點(diǎn),不斷加固自身防御能力。(2)蜜罐技術(shù)實(shí)現(xiàn)方式如圖2所示,簡(jiǎn)單的實(shí)現(xiàn)方式是將蜜罐置于防火墻內(nèi)部,通過(guò)防火墻與外部網(wǎng)絡(luò)進(jìn)行連接。蜜罐內(nèi)部主要由網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)收集和日志記錄模塊組成。網(wǎng)絡(luò)服務(wù)模塊將蜜罐偽裝成正常服務(wù),吸引入侵者對(duì)其進(jìn)行攻擊;數(shù)據(jù)收集模塊主要捕獲入侵者行為信息,用于分析攻擊者所使用的工具、策略以及攻擊目的等;日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件,并記錄到日志服務(wù)器。(3)基于蜜罐技術(shù)的主動(dòng)式安全聯(lián)動(dòng)模型將蜜罐技術(shù)融合到傳統(tǒng)安全聯(lián)動(dòng)模型,改進(jìn)后形成的新模型,讓蜜罐技術(shù)處于整個(gè)系統(tǒng)的核心地位,使整個(gè)安全聯(lián)動(dòng)模型由被動(dòng)狀態(tài)轉(zhuǎn)變?yōu)橹鲃?dòng)狀態(tài),利用蜜罐技術(shù)在整個(gè)系統(tǒng)中的自學(xué)習(xí)、自進(jìn)化的特點(diǎn),克服傳統(tǒng)安全聯(lián)動(dòng)模型無(wú)法主動(dòng)捕獲網(wǎng)絡(luò)攻擊行為、對(duì)未知攻擊防御能力不足的問(wèn)題。基于蜜罐技術(shù)的主動(dòng)式安全聯(lián)動(dòng)模型(如圖3所示)由防火墻、蜜罐系統(tǒng)、防病毒系統(tǒng)、IDS、策略庫(kù)和聯(lián)動(dòng)系統(tǒng)控制中心組成。該模型通過(guò)蜜罐誘騙系統(tǒng)不斷學(xué)習(xí)新的攻擊手段,將處理后形成的新規(guī)則及策略上傳至模型策略庫(kù),通過(guò)聯(lián)動(dòng)系統(tǒng)控制中心實(shí)現(xiàn)防火墻、IDS、反病毒等安全部件協(xié)同聯(lián)動(dòng),及時(shí)更新防火墻、防病毒策略和IDS的檢查規(guī)則。該模型較好地整合了各種安全防御產(chǎn)品的優(yōu)點(diǎn),借助于蜜罐技術(shù)“主動(dòng)誘捕”的特點(diǎn),提高了安全防御系統(tǒng)對(duì)于未知攻擊的捕捉能力。
二、網(wǎng)絡(luò)安全防御技術(shù)在數(shù)據(jù)中心的應(yīng)用與展望
目前,國(guó)內(nèi)大型銀行數(shù)據(jù)中心普遍使用的網(wǎng)絡(luò)安全防御技術(shù)是基于網(wǎng)絡(luò)監(jiān)控參數(shù)基線的閾值預(yù)警方法和入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems ,IDS)。閾值預(yù)警方法是在基線數(shù)值基礎(chǔ)上給予一定的冗余,計(jì)算出該監(jiān)控參數(shù)的閾值數(shù)值,形成閾值線。當(dāng)實(shí)際運(yùn)行的數(shù)值超出閾值線,說(shuō)明該監(jiān)控參數(shù)運(yùn)行異常,可以在事件發(fā)生之前提前干預(yù),阻止事件發(fā)生,保障網(wǎng)絡(luò)服務(wù)連續(xù)性。這種防御技術(shù)支持動(dòng)態(tài)改進(jìn),但出現(xiàn)誤報(bào)的幾率比較高。IDS主要通過(guò)監(jiān)控網(wǎng)絡(luò)系統(tǒng)的狀態(tài)、行為以及使用情況,檢測(cè)系統(tǒng)用戶越權(quán)使用、系統(tǒng)外部入侵等情況。IDS具有一定的智能識(shí)別和攻擊功能,在檢測(cè)到入侵后能夠及時(shí)采取相應(yīng)措施,是一項(xiàng)相對(duì)成熟的防御技術(shù)。但I(xiàn)DS主要通過(guò)特征庫(kù)判斷,面對(duì)新型攻擊無(wú)法識(shí)別,且攻擊識(shí)別只能在事中或事后階段進(jìn)行,本質(zhì)上仍然是被動(dòng)防護(hù)。在入侵技術(shù)越來(lái)越成熟的形勢(shì)下,采用單一的網(wǎng)絡(luò)安全部件如IDS、防火墻、掃描器、病毒查殺、認(rèn)證等已經(jīng)滿足不了網(wǎng)絡(luò)安全防護(hù)的要求,將各種安全部件的功能和優(yōu)點(diǎn)進(jìn)行融合、實(shí)現(xiàn)聯(lián)動(dòng)互補(bǔ),進(jìn)而發(fā)揮最大效力將成為必然趨勢(shì)。
與上述兩種現(xiàn)有防御技術(shù)相比,基于蜜罐的主動(dòng)式網(wǎng)絡(luò)防御技術(shù)優(yōu)勢(shì)明顯。基于蜜罐的主動(dòng)式網(wǎng)絡(luò)聯(lián)動(dòng)系統(tǒng)定義簡(jiǎn)單,實(shí)力卻很強(qiáng)大,使用簡(jiǎn)單設(shè)備和較少資源即可實(shí)現(xiàn);能夠收集到小數(shù)據(jù)高價(jià)值信息,使得分析信息更容易,從中獲取的價(jià)值更大;能夠監(jiān)控檢測(cè)、捕獲攻擊,降低傳統(tǒng)安全防御設(shè)備的誤報(bào)率和漏報(bào)率;適應(yīng)能力強(qiáng),可以在多種環(huán)境下使用。大型商業(yè)銀行數(shù)據(jù)中心網(wǎng)絡(luò)覆蓋范圍廣,若能將主動(dòng)式網(wǎng)絡(luò)防御技術(shù)應(yīng)用于實(shí)踐,實(shí)現(xiàn)由點(diǎn)及面、全方位檢測(cè)病毒動(dòng)向,主動(dòng)發(fā)現(xiàn)病毒威脅并自動(dòng)采取應(yīng)對(duì)方案,將有效解決本地和網(wǎng)絡(luò)入侵、外部非法接入等隱患,網(wǎng)絡(luò)安全防范將取得顯著成效。雖然目前還存在一些尚未解決的難點(diǎn)問(wèn)題,但隨著新技術(shù)、新概念的引入和應(yīng)用,主動(dòng)式網(wǎng)絡(luò)安全防御將逐步走向?qū)嵱没跀?shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)中得到廣泛應(yīng)用,成為應(yīng)對(duì)網(wǎng)絡(luò)威脅的有力武器。
作者:李國(guó)金陳佳鶯單位:中國(guó)農(nóng)業(yè)銀行股份有限公司數(shù)據(jù)中心
【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 現(xiàn)狀分析 實(shí)現(xiàn)具體路徑
1 云計(jì)算的簡(jiǎn)介
云計(jì)算就是各類計(jì)算為前提,其中主要包含網(wǎng)絡(luò)計(jì)算以及分布計(jì)算,創(chuàng)建出一類新型的計(jì)算方式。通過(guò)一種新型的具備共同分享性的方式,進(jìn)行大數(shù)據(jù)的處理和計(jì)算,元計(jì)算的關(guān)鍵是計(jì)算機(jī)網(wǎng)絡(luò)的全套服務(wù)以及相關(guān)信息資源的儲(chǔ)存。云計(jì)算最主要的特征是:安全的數(shù)據(jù)儲(chǔ)存功能,對(duì)終端設(shè)備的標(biāo)準(zhǔn)要求不高、便捷的操作、具有較大的空間進(jìn)行計(jì)算等。所以計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)儲(chǔ)存安全維護(hù),換句話說(shuō)也就是網(wǎng)絡(luò)安全,能夠在技術(shù)方面以及管理水平層面上使用與計(jì)算的基礎(chǔ)方式,保障網(wǎng)絡(luò)信息數(shù)據(jù)的保密性,防止信息泄露或者受到黑客和攻擊者的破壞,最大限度的保障計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的完整性、安全性以及價(jià)值方面的安全層次設(shè)定。
2 云計(jì)算下網(wǎng)絡(luò)安全技術(shù)使用的價(jià)值
在新時(shí)期,運(yùn)用云計(jì)算的方式,完成對(duì)網(wǎng)絡(luò)安全技術(shù)的使用,它的作用主要是:
2.1 主要表現(xiàn)在在網(wǎng)絡(luò)數(shù)據(jù)貯存的可信賴方面
不斷深化云計(jì)算下網(wǎng)絡(luò)安全技術(shù)的使用,能夠保證網(wǎng)絡(luò)的使用者的私密數(shù)據(jù)信息不丟失或者泄露。計(jì)算機(jī)的廣域網(wǎng)與局域網(wǎng)相互融合的模式形成的的數(shù)據(jù)中心,能夠以不同地域備份和多級(jí)互聯(lián)網(wǎng)備份為基礎(chǔ),極大程度上保證計(jì)算機(jī)網(wǎng)絡(luò)使用者的信息安全,在一定程度上防止傳統(tǒng)計(jì)算機(jī)產(chǎn)生的信息遭到泄露的情況的出現(xiàn)。
2.2 主要表現(xiàn)在多個(gè)設(shè)備資源共同分享方面,能夠完成安全以及快捷的的共享
網(wǎng)絡(luò)安全技術(shù)的普遍使用,不但能夠在一定限度內(nèi)減輕用戶裝備功能上的準(zhǔn)則,當(dāng)使用者的計(jì)算機(jī)連接到網(wǎng)絡(luò),就能夠快速完成計(jì)算機(jī)之間的信息、以及軟件的共享。而且在使用者進(jìn)行共享過(guò)程的有關(guān)應(yīng)用時(shí),鑒于提前在使用者信息安全性上實(shí)施了繁雜的融合加密手段,信息在網(wǎng)絡(luò)下的傳輸過(guò)程是以一種密碼保護(hù)的情況下開(kāi)展的,唯有數(shù)據(jù)傳輸?shù)街付ǖ膶?duì)象那里,才會(huì)以嚴(yán)密的使用者權(quán)限管理形式和融合密碼的安全驗(yàn)證,就能夠完成指定用戶的信息共享,強(qiáng)化對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸安全的保障。
2.3 在云計(jì)算環(huán)境下,網(wǎng)絡(luò)安全技術(shù)使用的含義還表現(xiàn)在對(duì)網(wǎng)絡(luò)安全的檢驗(yàn)
云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全技術(shù),能夠最大限度的對(duì)大型移動(dòng)終端中的軟件行動(dòng)實(shí)施監(jiān)督,檢測(cè)出網(wǎng)絡(luò)中隱藏的木馬程序以及病毒軟件等,經(jīng)過(guò)服務(wù)終端的自行判斷以及分析后,為用戶制定相應(yīng)的解決策略,保證使用者的信息安全。
3 云計(jì)算下網(wǎng)絡(luò)安全技術(shù)的當(dāng)前狀況解析
其安全技術(shù)應(yīng)用的問(wèn)題主要包括技術(shù)、網(wǎng)絡(luò)使用的大環(huán)境以及相關(guān)的法令制度保護(hù)。
(1)技術(shù)層面的問(wèn)題主要是終端服務(wù)停止時(shí),用戶的使用受到限制,不能實(shí)施對(duì)數(shù)據(jù)和信息的保護(hù)。所以,怎么能夠在技術(shù)上保證使用者信息的安全,是一個(gè)需要快速解決關(guān)鍵問(wèn)題;
(2)計(jì)算機(jī)網(wǎng)絡(luò)使用的環(huán)境方面。研究當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境,找出保護(hù)使用者終端計(jì)算機(jī)非法病毒在網(wǎng)絡(luò)上的散布和高效的阻止攻擊者的破壞,是當(dāng)前網(wǎng)絡(luò)安全維護(hù)的關(guān)鍵問(wèn)題。由于利益的驅(qū)使,黑客的數(shù)量逐步增加,然后通過(guò)倒賣公司的商業(yè)機(jī)密獲取經(jīng)濟(jì)利益,以保證某些企業(yè)在競(jìng)爭(zhēng)中處于有利地位。
(3)當(dāng)前還沒(méi)有完善的計(jì)算機(jī)網(wǎng)絡(luò)安全上的法令規(guī)章制度的保護(hù),所以攻擊者的行為難以得到制約,造成當(dāng)前網(wǎng)絡(luò)環(huán)境的安全受到極大的威脅。
4 云計(jì)算下網(wǎng)絡(luò)安全技術(shù)的具體實(shí)現(xiàn)方式
4.1 提高使用者的安全防范思想,明確網(wǎng)絡(luò)安全技術(shù)發(fā)展的戰(zhàn)略目標(biāo)
(1)深化網(wǎng)絡(luò)使用的實(shí)名制,確定網(wǎng)絡(luò)授予使用權(quán)限的對(duì)象,從用戶身份上提高網(wǎng)絡(luò)安全。防止外界攻擊者的非法入侵造成信息的丟失。
(2)要高效的保障網(wǎng)絡(luò)安全技術(shù)在使用上的系統(tǒng)準(zhǔn)時(shí)性,此外還需強(qiáng)化對(duì)網(wǎng)絡(luò)信息散布方面的監(jiān)管,針對(duì)網(wǎng)絡(luò)中的隱秘信息,必須定時(shí)審查和不定時(shí)的抽檢,對(duì)出現(xiàn)的問(wèn)題要給予高度重視并快速解決,避免出現(xiàn)損失。
(3)使用數(shù)字簽名手段的方法,一般需要經(jīng)過(guò)數(shù)字簽名的形式,對(duì)用戶的身份進(jìn)行驗(yàn)證,最大限度維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。
4.2 極大在網(wǎng)絡(luò)安全技術(shù)上的支持,提升應(yīng)對(duì)網(wǎng)絡(luò)安全隱患的處理水平和解決方法
網(wǎng)絡(luò)安全技術(shù)支持的含義包括網(wǎng)絡(luò)應(yīng)用程序和服務(wù)的開(kāi)發(fā)、網(wǎng)絡(luò)安全維護(hù)體系的規(guī)劃及檢驗(yàn)和數(shù)字簽名技術(shù)手段的使用。在網(wǎng)絡(luò)應(yīng)用程序和服務(wù)的開(kāi)發(fā)方面上,必須高度重視殺毒程序上的安裝以及使用方法,提高計(jì)算機(jī)在網(wǎng)絡(luò)安全上防護(hù)能力。
4.3 實(shí)施加密的網(wǎng)絡(luò)安全上的有關(guān)前沿手段
經(jīng)過(guò)應(yīng)用針對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)的篩選裝備,能夠有效的防止被計(jì)算機(jī)系統(tǒng)鑒別通過(guò)但是但是屬于非法信息和程序。挑選信用優(yōu)秀的網(wǎng)絡(luò)運(yùn)營(yíng)商,供應(yīng)有關(guān)的的云服務(wù),保證使用者的信息不在自己的視野范圍內(nèi),也可以被專業(yè)能力強(qiáng)的企業(yè)監(jiān)管,避免使用者的信息出現(xiàn)泄露的風(fēng)險(xiǎn)。另外,一定要深化使用者對(duì)密碼難度上的設(shè)置,以防使用者的信息被竊取或者私自篡改。
5 結(jié)語(yǔ)
社會(huì)的快速穩(wěn)定發(fā)展,使我國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展極其快速,網(wǎng)絡(luò)安全問(wèn)題在使用中逐步顯現(xiàn)。云計(jì)算下的計(jì)算機(jī)網(wǎng)絡(luò)安全也有相當(dāng)大的問(wèn)題,主要包括計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)水平、管理技能、使用效果等繁雜的、牽涉范疇較為廣泛等因素。本文針對(duì)完成云計(jì)算下網(wǎng)絡(luò)安全手段的使用,提供了具體的實(shí)現(xiàn)方法,終極目標(biāo)是使我國(guó)的網(wǎng)絡(luò)安全使用環(huán)境更加規(guī)范化,創(chuàng)建一個(gè)管理有效、使用安全網(wǎng)絡(luò)秩序。
參考文獻(xiàn)
[1]邵曉慧,季元翔,樂(lè)歡.云計(jì)算與大數(shù)據(jù)環(huán)境下全方位多角度信息安全技術(shù)研究與實(shí)踐[J].科技通報(bào),2017(01):76-79.
[2]劉伉伉.云計(jì)算環(huán)境下入侵檢測(cè)技術(shù)的研究[D].山東師范大學(xué),2015.
[3]牛海春.基于移動(dòng)Agent的移動(dòng)云計(jì)算任務(wù)遷移機(jī)制研究[D].洛陽(yáng):河南科技大學(xué),2015.
[4]莫偉志.基于云計(jì)算校園網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展分析[J].信息安全與技術(shù),2015(06):44-45+53.
[5]郭琪瑤.云計(jì)算技術(shù)下的網(wǎng)絡(luò)安全數(shù)據(jù)存儲(chǔ)系統(tǒng)設(shè)計(jì)[J].電腦知識(shí)與技術(shù),2015(35):5-7.
關(guān)鍵詞: 蜜罐技術(shù) 虛擬蜜罐 定義和分類 關(guān)鍵技術(shù) 優(yōu)缺點(diǎn)
1.引言
伴隨著網(wǎng)絡(luò)普及與發(fā)展,網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻。面對(duì)不斷出現(xiàn)的新的攻擊方法和攻擊工具,傳統(tǒng)的、被動(dòng)防御的網(wǎng)絡(luò)防護(hù)技術(shù)越來(lái)越無(wú)法適應(yīng)網(wǎng)絡(luò)安全的需要,網(wǎng)絡(luò)安全防護(hù)體系由被動(dòng)防御轉(zhuǎn)向主動(dòng)防御是大勢(shì)所趨。作為一種新興的主動(dòng)防御技術(shù),蜜罐日益受到網(wǎng)絡(luò)安全工作者的重視。研究蜜罐及其關(guān)鍵技術(shù)對(duì)未來(lái)的網(wǎng)絡(luò)安全防護(hù)具有深遠(yuǎn)的意義。
2.蜜罐的定義和分類
2.1蜜罐的定義
蜜罐(又稱為黑客誘騙技術(shù))是一種受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng),通過(guò)真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù),來(lái)吸引攻擊,從而在黑客攻擊蜜罐期間,對(duì)其行為和過(guò)程記錄分析,以搜集信息,對(duì)新攻擊發(fā)出預(yù)警,同時(shí)蜜罐可以延緩攻擊時(shí)間和轉(zhuǎn)移攻擊目標(biāo)。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性,相反,它通過(guò)吸引入侵,來(lái)搜集信息。將蜜罐和現(xiàn)有的安全防衛(wèi)手段,如入侵檢測(cè)系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用,可以有效提高系統(tǒng)安全性。
2.2蜜罐的分類
蜜罐有三種分類方法。
2.2.1從應(yīng)用層面,可分為產(chǎn)品型和研究型。
2.2.1.1產(chǎn)品型蜜罐。指由網(wǎng)絡(luò)安全廠商開(kāi)發(fā)的商用蜜罐,一般用來(lái)作為誘餌,把黑客的攻擊盡可能長(zhǎng)時(shí)間地捆綁在蜜罐上,贏得時(shí)間,保護(hù)實(shí)際網(wǎng)絡(luò)環(huán)境,也用來(lái)搜集證據(jù)作為黑客的依據(jù),但這種應(yīng)用在法律方面仍然具有爭(zhēng)議。
2.2.1.2研究型的蜜罐。主要應(yīng)用于研究,吸引攻擊,搜集信息,探測(cè)新型攻擊和新型黑客工具,了解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律,等等。在編寫(xiě)新的IDS特征庫(kù),發(fā)現(xiàn)系統(tǒng)漏洞,分析分布式拒絕服務(wù)攻擊等方面是很有價(jià)值的[1]。
2.2.2從技術(shù)層面,根據(jù)交互程度,可分為以下三種。
2.2.2.1低交互蜜罐。只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真服務(wù),在特定的端口監(jiān)聽(tīng)記錄所有進(jìn)入的數(shù)據(jù)包,提供少量的交互功能,黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒(méi)有真正的操作系統(tǒng)和服務(wù),結(jié)構(gòu)簡(jiǎn)單,部署容易,風(fēng)險(xiǎn)很低,所能收集的信息也是有限的。
2.2.2.2中交互蜜罐:不提供真實(shí)的操作系統(tǒng),而是應(yīng)用腳本或小程序來(lái)模擬服務(wù)行為,提供的功能主要取決于腳本。在不同的端口進(jìn)行監(jiān)聽(tīng),通過(guò)更多和更復(fù)雜的互動(dòng),讓攻擊者產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺(jué),能夠收集更多數(shù)據(jù)。
2.2.2.3高交互蜜罐。由真實(shí)的操作系統(tǒng)來(lái)構(gòu)建,提供給黑客的是真實(shí)的系統(tǒng)和服務(wù),可以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作,獲得大量的有用信息,包括完全不了解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆_(kāi)放的系統(tǒng)給黑客,帶來(lái)了更高的風(fēng)險(xiǎn),即黑客可能通過(guò)這個(gè)開(kāi)放的系統(tǒng)去攻擊其他系統(tǒng)。
2.2.3從具體實(shí)現(xiàn)的角度,分為物理蜜罐和虛擬蜜罐。
2.2.3.1物理蜜罐:通常是一臺(tái)或多臺(tái)真實(shí)的在網(wǎng)絡(luò)上存在的主機(jī)操作,主機(jī)上運(yùn)行著真實(shí)的操作系統(tǒng),擁有自己的IP地址,提供真實(shí)的網(wǎng)絡(luò)服務(wù)來(lái)吸引攻擊。
2.2.3.2虛擬蜜罐:通常用的是虛擬的機(jī)器、虛擬的操作系統(tǒng),它會(huì)響應(yīng)發(fā)送到虛擬蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流,提供模擬的網(wǎng)絡(luò)服務(wù)等。
3.蜜罐的關(guān)鍵技術(shù)
蜜罐的關(guān)鍵技術(shù)主要包括欺騙技術(shù)、數(shù)據(jù)捕獲技術(shù)、數(shù)據(jù)控制技術(shù)、數(shù)據(jù)分析技術(shù),等等。其中,數(shù)據(jù)捕獲技術(shù)與數(shù)據(jù)控制技術(shù)是蜜罐技術(shù)的核心。
3.1欺騙技術(shù)
蜜罐的價(jià)值是在其被探測(cè)、攻擊或者攻陷的時(shí)候才得到體現(xiàn)的。將攻擊者的注意力吸引到蜜罐上,是蜜罐進(jìn)行工作的前提。欺騙的成功與否取決于欺騙質(zhì)量的高低。常用的欺騙技術(shù)有以下五種。
3.1.1IP空間欺騙。
IP空間欺騙利用計(jì)算機(jī)的多宿主能力,在一塊網(wǎng)卡上分配多個(gè)IP地址,來(lái)增加入侵者的搜索空間,從而顯著增加他們的工作量,間接實(shí)現(xiàn)了安全防護(hù)的目的。這項(xiàng)技術(shù)和虛擬機(jī)技術(shù)結(jié)合可建立一個(gè)大的虛擬網(wǎng)段,且花費(fèi)極低。
3.1.2 漏洞模擬。
即通過(guò)模擬操作系統(tǒng)和各種應(yīng)用軟件存在的漏洞,吸引入侵者進(jìn)入設(shè)置好的蜜罐。入侵者在發(fā)起攻擊前,一般要對(duì)系統(tǒng)進(jìn)行掃描,而具有漏洞的系統(tǒng),最容易引起攻擊者攻擊的欲望。漏洞模擬的關(guān)鍵是要恰到好處,沒(méi)有漏洞會(huì)使入侵者望而生畏,漏洞百出又會(huì)使入侵者心生疑慮。
3.1.3 流量仿真。
蜜罐只有以真實(shí)網(wǎng)絡(luò)流量為背景,才能真正吸引入侵者長(zhǎng)期停駐。流量仿真技術(shù)是利用各種技術(shù)使蜜罐產(chǎn)生欺騙的網(wǎng)絡(luò)流量,這樣即使使用流量分析技術(shù),也無(wú)法檢測(cè)到蜜罐的存在。目前的方法:一是采用重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量到誘騙環(huán)境;二是從遠(yuǎn)程產(chǎn)生偽造流量,使入侵者可以發(fā)現(xiàn)和利用[2]。
3.1.4 服務(wù)偽裝。
進(jìn)入蜜罐的攻擊者如發(fā)現(xiàn)該蜜罐不提供任何服務(wù),就會(huì)意識(shí)到危險(xiǎn)而迅速離開(kāi)蜜罐,使蜜罐失效。服務(wù)偽裝可以在蜜罐中模擬Http、FTP、Telent等網(wǎng)絡(luò)基本服務(wù)并偽造應(yīng)答,使入侵者確信這是一個(gè)正常的系統(tǒng)。
3.1.5 重定向技術(shù)[3]。
即在攻擊者不知情的情況下,將其引到蜜罐中,可以在重要服務(wù)器的附近部署蜜罐,當(dāng)服務(wù)器發(fā)現(xiàn)可疑行為后,將其重定向到蜜罐。還可以使用蜜罐,以及多個(gè)蜜罐模擬真正的服務(wù)器,當(dāng)對(duì)服務(wù)器的請(qǐng)求到來(lái)時(shí),利用事先定義好的規(guī)則,將請(qǐng)求隨機(jī)發(fā)送到蜜罐和服務(wù)器中的一個(gè),用以迷惑攻擊者,增大攻擊者陷入蜜罐的概率。
3.2數(shù)據(jù)捕獲技術(shù)
如果無(wú)法捕獲攻擊者的活動(dòng),蜜罐就失去了存在的意義。數(shù)據(jù)捕獲的目標(biāo)是捕捉攻擊者從掃描、探測(cè)、發(fā)起攻擊,直到離開(kāi)蜜罐的每一步動(dòng)作。捕獲的數(shù)據(jù)來(lái)自三個(gè)層次:防火墻日志、網(wǎng)絡(luò)數(shù)據(jù)流和主機(jī)系統(tǒng)內(nèi)核級(jí)的數(shù)據(jù)提取。第一層數(shù)據(jù)捕獲由防火墻日志根據(jù)設(shè)定的過(guò)濾規(guī)則,記錄入侵者出入蜜罐的行為信息,數(shù)據(jù)直接放在本地;第二層數(shù)據(jù)捕獲由入侵檢測(cè)系統(tǒng)捕獲網(wǎng)絡(luò)原始報(bào)文,并放在IDS本地,IDS報(bào)警信息可以讓系統(tǒng)管理員了解系統(tǒng)中正發(fā)生的狀況;第三層數(shù)據(jù)捕獲由蜜罐主機(jī)完成。主要是主機(jī)日志,用戶擊鍵序列和屏幕顯示,這些數(shù)據(jù)應(yīng)異地存儲(chǔ),以防攻擊者發(fā)現(xiàn)。隨著加密技術(shù)的發(fā)展,越來(lái)越多的攻擊者開(kāi)始使用加密工具,保護(hù)和隱藏他們的通信。系統(tǒng)內(nèi)核級(jí)的數(shù)據(jù)提取必須應(yīng)對(duì)入侵者數(shù)據(jù)加密的情況,目前最先進(jìn)的技術(shù)是開(kāi)發(fā)特殊的內(nèi)核數(shù)據(jù)處理模塊來(lái)替代系統(tǒng)內(nèi)核函數(shù),從而記錄下入侵者的行為。
3.3數(shù)據(jù)控制技術(shù)。
數(shù)據(jù)控制技術(shù)既控制數(shù)據(jù)流,又不引起攻擊者的懷疑。如攻擊者進(jìn)入蜜罐,但不能向外發(fā)起連接,他們就會(huì)對(duì)系統(tǒng)產(chǎn)生懷疑,而完全開(kāi)放的蜜罐資源在攻擊者手中會(huì)成為向第三方發(fā)起攻擊的攻擊跳板。目前數(shù)據(jù)控制技術(shù)主要從以下兩方面對(duì)攻擊者進(jìn)行限制。[3]
3.3.1限制攻擊者從蜜罐向外的連接數(shù)量。
傳統(tǒng)的限制方法是通過(guò)配置防火墻,設(shè)置從蜜罐向外的連接數(shù)目,超過(guò)數(shù)量即中斷連接。這種方法較安全,但易被攻擊者識(shí)破。改進(jìn)方法是將防火墻技術(shù)與入侵檢測(cè)技術(shù)結(jié)合,形成入侵檢測(cè)控制。即在系統(tǒng)上安裝一個(gè)包含已知攻擊模式的簽名數(shù)據(jù)庫(kù),以檢測(cè)捕獲的攻擊是否與數(shù)據(jù)庫(kù)匹配。如果匹配,就切斷連接;如果不匹配,則根據(jù)需要設(shè)定連接次數(shù)。這樣既可以學(xué)習(xí)更多的未知攻擊,又可以迷惑攻擊者。
3.3.2限制攻擊者在蜜罐中的活動(dòng)能力。
這包括連接限制、帶寬限制、沙箱技術(shù)等較新的技術(shù)。連接限制就是修改外出連接的網(wǎng)絡(luò)包,使其不能到達(dá)目的地,同時(shí)給入侵者造成網(wǎng)絡(luò)包已正常發(fā)出的假象,麻痹攻擊者。帶寬限制即通過(guò)控制帶寬利用率和網(wǎng)絡(luò)延時(shí),限制入侵者由蜜罐向外發(fā)包的能力。這種方法往往使攻擊者認(rèn)為網(wǎng)絡(luò)本身出現(xiàn)了問(wèn)題,意識(shí)不到自己已身陷蜜罐。沙箱技術(shù)可對(duì)應(yīng)用進(jìn)程進(jìn)行定量限制和定性限制,比如限制CPU的使用率和只允許訪問(wèn)特定的資源等,這無(wú)疑降低了應(yīng)用程序的訪問(wèn)能力[5]。實(shí)踐證明,若要真正實(shí)現(xiàn)既控制數(shù)據(jù)流,又不引起攻擊者的懷疑的目的,單靠某一種技術(shù)是不行的,必須綜合而靈活地使用上述數(shù)據(jù)控制技術(shù)。
3.4數(shù)據(jù)分析技術(shù)。
數(shù)據(jù)分析包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。要從大量的網(wǎng)絡(luò)數(shù)據(jù)中,提取攻擊行為的特征和模型是很難的。現(xiàn)有的蜜罐系統(tǒng)都沒(méi)有很好地解決使用數(shù)學(xué)模型自動(dòng)分析和挖掘出網(wǎng)絡(luò)攻擊行為這一難題[4]。
4.蜜罐技術(shù)的優(yōu)缺點(diǎn)
4.1蜜罐的優(yōu)點(diǎn)。
4.1.1數(shù)據(jù)價(jià)值高。
當(dāng)今,安全組織所面臨的一個(gè)問(wèn)題就是怎樣從收集到的海量數(shù)據(jù)中獲取有價(jià)值的信息,從防火墻日志、系統(tǒng)日志和入侵檢測(cè)系統(tǒng)發(fā)出的警告信息中收集到的數(shù)據(jù)的量非常大,從中提取有價(jià)值的信息很困難。蜜罐不同于其他安全工具,每天收集到若干GB的數(shù)據(jù),大多數(shù)Honeypot每天收集到的數(shù)據(jù)只有幾兆,并且這些數(shù)據(jù)的價(jià)值非常高,因?yàn)槊酃逈](méi)有任何產(chǎn)品型的功能,所有對(duì)它的訪問(wèn)都是非法的、可疑的。
4.1.2資源消耗少。
當(dāng)前大多數(shù)安全組織所面臨的另一個(gè)難題就是有時(shí)會(huì)由于網(wǎng)絡(luò)資源耗盡,因而導(dǎo)致安全措施失去了作用。例如,當(dāng)防火墻的狀態(tài)檢測(cè)表滿的時(shí)候,它就不能接受新的連接了,它會(huì)強(qiáng)迫防火墻阻斷所有的連接。同樣入侵檢測(cè)系統(tǒng)會(huì)因?yàn)榫W(wǎng)絡(luò)流量太大,使其緩沖區(qū)承受不起,所以導(dǎo)致IDS丟失數(shù)據(jù)包。因?yàn)镠oneypot只需要監(jiān)視對(duì)它自己的連接,需要捕獲和監(jiān)視的網(wǎng)絡(luò)行為很少,很少會(huì)存在網(wǎng)絡(luò)流量大的壓力,所以一般不會(huì)出現(xiàn)資源耗盡的情況。我們不需要在充當(dāng)蜜罐的主機(jī)的硬件配置上投入大量的資金,只需要一些相對(duì)便宜的計(jì)算機(jī),就可以完成蜜罐的部署工作。
4.1.3實(shí)現(xiàn)簡(jiǎn)單。
部署一個(gè)蜜罐,不需要開(kāi)發(fā)復(fù)雜和新奇的算法,不需要維護(hù)特征數(shù)據(jù)庫(kù),不需要配置規(guī)則庫(kù)。只要配置好蜜罐,把它放在網(wǎng)絡(luò)中,就可以靜觀其變。
4.2蜜罐的缺點(diǎn)。
4.2.1數(shù)據(jù)收集面狹窄。
如果沒(méi)有人攻擊蜜罐,它們就變得毫無(wú)用處。在某些情況下,攻擊者可能識(shí)別出蜜罐,就會(huì)避開(kāi)蜜罐,直接進(jìn)入網(wǎng)絡(luò)中的其他主機(jī),這樣蜜罐就不會(huì)發(fā)現(xiàn)入侵者已經(jīng)進(jìn)入了你的網(wǎng)絡(luò)。
4.2.2有一定風(fēng)險(xiǎn)。
蜜罐可能會(huì)把風(fēng)險(xiǎn)帶入它所在的網(wǎng)絡(luò)環(huán)境。蜜罐一旦被攻陷,就有可能成為攻擊、潛入或危害其他的系統(tǒng)或組織的跳板。
5.結(jié)語(yǔ)
蜜罐技術(shù)的出現(xiàn)為整個(gè)安全界注入了新鮮的血液。它不僅可以作為獨(dú)立的信息安全工具,而且可以與其他安全工具協(xié)作使用,從而取長(zhǎng)補(bǔ)短,對(duì)入侵者進(jìn)行檢測(cè)。蜜罐可以查找并發(fā)現(xiàn)新型攻擊和新型攻擊工具,從而解決了入侵檢測(cè)系統(tǒng)和防火墻中無(wú)法對(duì)新型攻擊迅速做出反應(yīng)的問(wèn)題。蜜罐系統(tǒng)是一個(gè)有相當(dāng)價(jià)值的資源,特別是對(duì)潛在的攻擊者和他們所使用工具相關(guān)信息的收集,沒(méi)有其他的機(jī)制比蜜罐系統(tǒng)更有效。
參考文獻(xiàn):
[1]翟繼強(qiáng),葉飛.蜜罐技術(shù)的研究與分析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,(4):15-17.
[2]胡文廣,張穎江,蘭義華.蜜罐研究與應(yīng)用.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,(5):48-49.
信息安全時(shí)代,大數(shù)據(jù)平臺(tái)承載了巨大數(shù)據(jù)資源,必然成為黑客組織、各類敵對(duì)勢(shì)力網(wǎng)絡(luò)攻擊的重要目標(biāo)。因此,大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)安全問(wèn)題,將是所有大數(shù)據(jù)利用的前提條件。與此同時(shí),我們也可以利用大數(shù)據(jù)技術(shù)來(lái)提升我國(guó)網(wǎng)絡(luò)安全技術(shù)水平,在保障國(guó)家網(wǎng)絡(luò)空間安全方面發(fā)揮作用。
大數(shù)據(jù)時(shí)代
網(wǎng)絡(luò)安全的主要威脅
大數(shù)據(jù)時(shí)代,我國(guó)網(wǎng)絡(luò)安全面臨著多重安全威脅。
首先,網(wǎng)絡(luò)基礎(chǔ)設(shè)施及基礎(chǔ)軟硬件系統(tǒng)受制于人。大數(shù)據(jù)平臺(tái)依托于互聯(lián)網(wǎng)面向政府、企業(yè)及廣大公眾提供服務(wù),但我國(guó)互聯(lián)網(wǎng)從基礎(chǔ)設(shè)施層面即已存在不可控因素。
另外,我國(guó)對(duì)大數(shù)據(jù)平臺(tái)的基礎(chǔ)軟硬件系統(tǒng)也未完全實(shí)現(xiàn)自主控制。在能源、金融、電信等重要信息系統(tǒng)的核心軟硬件實(shí)施上,服務(wù)器、數(shù)據(jù)庫(kù)等相關(guān)產(chǎn)品皆由國(guó)外企業(yè)占據(jù)市場(chǎng)壟斷地位。
其次,網(wǎng)站及應(yīng)用漏洞、后門(mén)層出不窮。據(jù)我國(guó)安全企業(yè)網(wǎng)站安全檢測(cè)服務(wù)統(tǒng)計(jì),我國(guó)高達(dá)60%的網(wǎng)站存在安全漏洞和后門(mén)。可以說(shuō),網(wǎng)站及應(yīng)用系統(tǒng)的漏洞是大數(shù)據(jù)平臺(tái)面臨的最大威脅之一。而我國(guó)的各類大數(shù)據(jù)行業(yè)應(yīng)用,廣泛采用了各種第三方數(shù)據(jù)庫(kù)、中間件,但此類系統(tǒng)的安全狀況不容樂(lè)觀,廣泛存在漏洞。更為堪憂的是,各類網(wǎng)站漏洞修復(fù)的情況難以令人滿意。
第三,系統(tǒng)問(wèn)題之外,網(wǎng)絡(luò)攻擊手段更加豐富。其中,終端惡意軟件、惡意代碼是黑客或敵對(duì)勢(shì)力攻擊大數(shù)據(jù)平臺(tái)、竊取數(shù)據(jù)的主要手段之一。目前網(wǎng)絡(luò)攻擊越來(lái)越多地是從終端發(fā)起的,終端滲透攻擊也已成為國(guó)家間網(wǎng)絡(luò)戰(zhàn)的主要方式。另外,針對(duì)大數(shù)據(jù)平臺(tái)的高級(jí)持續(xù)性威脅(簡(jiǎn)稱APT)攻擊非常常見(jiàn)。APT攻擊非常具有破壞性,是未來(lái)網(wǎng)絡(luò)戰(zhàn)的主要手段,也是對(duì)我國(guó)網(wǎng)絡(luò)空間安全危害最大的一種攻擊方式。近年來(lái),具備國(guó)家和組織背景的APT攻擊日益增多,毫無(wú)疑問(wèn),大數(shù)據(jù)平臺(tái)也將成為APT攻擊的主要目標(biāo)。
以大數(shù)據(jù)技術(shù)
對(duì)抗大數(shù)據(jù)平臺(tái)安全威脅
由上述分析可知,針對(duì)大數(shù)據(jù)平臺(tái)這種重要目標(biāo)的網(wǎng)絡(luò)攻擊,其技術(shù)手段的先進(jìn)性、復(fù)雜度、隱蔽性和持續(xù)性,以及背后的支持力量,都已超出了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的應(yīng)對(duì)能力。全球網(wǎng)絡(luò)安全行業(yè)都在研究探討應(yīng)對(duì)這種高級(jí)威脅的新型技術(shù)體系,大數(shù)據(jù)技術(shù)成為其中重要的方面。包括360公司在內(nèi)的互聯(lián)網(wǎng)安全企業(yè),已經(jīng)在利用大數(shù)據(jù)技術(shù)提供各種網(wǎng)絡(luò)安全服務(wù),為提升大數(shù)據(jù)平臺(tái)的安全保障,增強(qiáng)國(guó)家網(wǎng)絡(luò)安全空間的安全防衛(wèi)能力提供有力的支持。
利用大數(shù)據(jù)技術(shù)應(yīng)對(duì)DNS安全威脅,積極推動(dòng)基礎(chǔ)軟硬件自主控制。以DNS為例,作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施,我國(guó)首先應(yīng)積極爭(zhēng)取獲得域名服務(wù)器的運(yùn)營(yíng)管理權(quán),構(gòu)筑完整的安全防范體系。另外,我們應(yīng)該積極利用大數(shù)據(jù)技術(shù),研發(fā)高性能、抗攻擊的安全DNS系統(tǒng)。依托大數(shù)據(jù)技術(shù)建立DNS應(yīng)急災(zāi)備系統(tǒng),緩存全球DNS系統(tǒng)的各級(jí)數(shù)據(jù)。同時(shí)還可以利用DNS解析的大數(shù)據(jù)來(lái)分析網(wǎng)絡(luò)攻擊。
盡管在國(guó)家推動(dòng)和產(chǎn)業(yè)參與下,我國(guó)在自主可控的基礎(chǔ)軟硬件產(chǎn)品的研發(fā)方面取得了一定成效。但由于我國(guó)在該領(lǐng)域起步較晚,在大數(shù)據(jù)時(shí)代,以操作系統(tǒng)等基礎(chǔ)軟硬件的國(guó)產(chǎn)化和自主知識(shí)產(chǎn)權(quán)化,仍然需要政府的推動(dòng)、企業(yè)的投入和科研院校的參與,更有必要依托大數(shù)據(jù)技術(shù)實(shí)現(xiàn)研發(fā)數(shù)據(jù)的共享。
利用大數(shù)據(jù)技術(shù)防護(hù)網(wǎng)站攻擊,定位攻擊來(lái)源。一方面,開(kāi)發(fā)并優(yōu)化網(wǎng)站衛(wèi)士服務(wù)。我國(guó)安全公司已針對(duì)網(wǎng)站漏洞、后門(mén)等威脅推出了相應(yīng)的網(wǎng)站安全衛(wèi)士服務(wù),能夠利用大數(shù)據(jù)平臺(tái)資源,幫助網(wǎng)站實(shí)現(xiàn)針對(duì)各類應(yīng)用層入侵、DDoS/CC流量型攻擊、DNS攻擊的安全防護(hù),同時(shí)向網(wǎng)站提供加速、緩存、數(shù)據(jù)分析等功能。同時(shí)通過(guò)對(duì)海量日志大數(shù)據(jù)的分析,可以挖掘發(fā)現(xiàn)大量新的網(wǎng)站攻擊特征、網(wǎng)站漏洞等。另一方面,通過(guò)對(duì)日志大數(shù)據(jù)進(jìn)行分析,還能進(jìn)一步幫助我們溯源定位網(wǎng)站攻擊的來(lái)源、獲取黑客信息,為公安部門(mén)提供有價(jià)值的線索。
利用大數(shù)據(jù)技術(shù)防范終端惡意軟件和特種木馬、檢測(cè)和防御APT攻擊。基于大數(shù)據(jù)和云計(jì)算技術(shù)實(shí)現(xiàn)的云安全系統(tǒng),可以為防范終端特種木馬攻擊起到有力的支持。目前我國(guó)的安全公司已經(jīng)在為有關(guān)部門(mén)提供支持,利用其云安全系統(tǒng)的大數(shù)據(jù)資源,幫助有關(guān)部門(mén)分析定位終端特種木馬的分布、感染的目標(biāo)終端,以及分析同源的特種木馬,為有關(guān)部門(mén)工作提供了有力的支持。
為了對(duì)抗APT攻擊,我們可以采用大數(shù)據(jù)分析技術(shù)研發(fā)APT攻擊檢測(cè)和防御產(chǎn)品。此類產(chǎn)品可以在大時(shí)間窗口下對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行全流量鏡像偵聽(tīng),對(duì)所有網(wǎng)絡(luò)訪問(wèn)請(qǐng)求實(shí)現(xiàn)大數(shù)據(jù)存儲(chǔ),并對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行建模、關(guān)聯(lián)分析及可視化,自動(dòng)發(fā)現(xiàn)異常的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求行為,溯源并定位APT攻擊過(guò)程。
另外,我國(guó)還應(yīng)建立國(guó)家級(jí)APT防護(hù)聯(lián)動(dòng)平臺(tái)。當(dāng)前, 我國(guó)重要信息系統(tǒng)具有相互隔離、孤立的特點(diǎn),針對(duì)APT攻擊難以形成關(guān)聯(lián)協(xié)同、綜合防御的效應(yīng),容易被各個(gè)擊破。因此,在重要信息系統(tǒng)單位部署APT攻擊檢測(cè)產(chǎn)品的基礎(chǔ)上,非常有必要建立國(guó)家級(jí)的APT防護(hù)聯(lián)動(dòng)平臺(tái),匯聚不同政府部門(mén)、重要信息系統(tǒng)中部署的APT防護(hù)產(chǎn)品所檢測(cè)的安全事件及攻擊行為數(shù)據(jù),對(duì)其進(jìn)行大數(shù)據(jù)分析挖掘,從而形成國(guó)家級(jí)針對(duì)APT攻擊的全面?zhèn)蓽y(cè)、防護(hù)能力。
大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全的建議
鑒于大數(shù)據(jù)資源在國(guó)家安全方面的戰(zhàn)略價(jià)值,除在基礎(chǔ)軟硬件設(shè)施建設(shè)、網(wǎng)絡(luò)攻擊監(jiān)測(cè)、防護(hù)等方面努力之外,針對(duì)國(guó)內(nèi)大數(shù)據(jù)服務(wù)及大數(shù)據(jù)應(yīng)用方面還有如下建議。
對(duì)重要大數(shù)據(jù)應(yīng)用或服務(wù)進(jìn)行國(guó)家網(wǎng)絡(luò)安全審查。對(duì)于涉及國(guó)計(jì)民生、政府執(zhí)政的重要大數(shù)據(jù)應(yīng)用或服務(wù),應(yīng)納入國(guó)家網(wǎng)絡(luò)安全審查的范疇,盡快制定明確的安全評(píng)估規(guī)范,確保這些大數(shù)據(jù)平臺(tái)具備嚴(yán)格可靠的安全保障措施。
合理約束敏感和重要部門(mén)對(duì)社交網(wǎng)絡(luò)工具的使用。政府部門(mén)、央企及重要信息系統(tǒng)單位,應(yīng)避免、限制使用社交網(wǎng)絡(luò)工具作為日常辦公的通信工具,并做到辦公用移動(dòng)終端和個(gè)人移動(dòng)終端的隔離,以防止國(guó)家重要和機(jī)密信息的泄露。
敏感和重要部門(mén)應(yīng)謹(jǐn)慎使用第三方云計(jì)算服務(wù)。云計(jì)算服務(wù)是大數(shù)據(jù)的主要載體,越來(lái)越多的政府部門(mén)、企事業(yè)單位將電子政務(wù)、企業(yè)業(yè)務(wù)系統(tǒng)建立在第三方云計(jì)算平臺(tái)上。但由于安全意識(shí)不夠、安全專業(yè)技術(shù)力量缺乏、安全保障措施不到位,第三方云計(jì)算平臺(tái)自身的安全性往往無(wú)法保證。因此,政府、央企及重要信息系統(tǒng)單位,應(yīng)謹(jǐn)慎使用第三方云服務(wù),避免使用公共云服務(wù)。同時(shí)國(guó)家應(yīng)盡快出臺(tái)云服務(wù)安全評(píng)估檢測(cè)的相關(guān)規(guī)范和標(biāo)準(zhǔn)。
嚴(yán)格監(jiān)管、限制境外機(jī)構(gòu)實(shí)施數(shù)據(jù)的跨境流動(dòng)。對(duì)于境外機(jī)構(gòu)在國(guó)內(nèi)提供涉及大數(shù)據(jù)的應(yīng)用或服務(wù),應(yīng)對(duì)其進(jìn)行更為嚴(yán)格的網(wǎng)絡(luò)安全審核,確保其數(shù)據(jù)存儲(chǔ)于境內(nèi)的服務(wù)器,嚴(yán)格限制數(shù)據(jù)的跨境流動(dòng)。
關(guān)鍵詞 內(nèi)部網(wǎng)絡(luò);安全防范;企業(yè)
中圖分類號(hào)TP39 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào) 1674-6708(2013)83-0207-02
1 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對(duì)網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、入侵檢測(cè)等方面加以設(shè)置,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處加以實(shí)施,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來(lái)的安全威脅,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問(wèn)題。
目前,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題的嚴(yán)重程度已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了外部網(wǎng)絡(luò)帶來(lái)的安全威脅,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題。但是,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng),對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題不夠重視,甚至沒(méi)有對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施,因此導(dǎo)致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加,給企業(yè)帶來(lái)了重大經(jīng)濟(jì)損失和社會(huì)負(fù)面影響,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過(guò)程中亟待解決的問(wèn)題。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過(guò)程中必不可少的一部分。而且,網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅。
2.1內(nèi)部網(wǎng)絡(luò)脆弱
企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的,而且,由于部分網(wǎng)絡(luò)管理人員對(duì)于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問(wèn)題,隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加,也給計(jì)算機(jī)終端帶來(lái)了更多的系統(tǒng)漏洞問(wèn)題。
2.2用戶權(quán)限不同
企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)用戶都擁有不同的使用權(quán)限,因此,對(duì)用戶權(quán)限的統(tǒng)一控制和管理非常難以實(shí)現(xiàn),不同的應(yīng)用程序都會(huì)遭到用戶密碼的破譯和非法越權(quán)操作。部分企業(yè)的信息安全部門(mén)對(duì)于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位,更容易給網(wǎng)絡(luò)黑客留下可乘之機(jī)。
2.3信息分散
由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)分布在不同的計(jì)算機(jī)終端中,沒(méi)有將這些信息統(tǒng)一存儲(chǔ)到服務(wù)器中,又缺乏嚴(yán)格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公,對(duì)于數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機(jī)會(huì)。
3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案
3.1網(wǎng)絡(luò)安全防范總體設(shè)計(jì)
即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等防護(hù)手段,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對(duì)安全。因此,在本文設(shè)計(jì)的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中,部署了硬件加密機(jī)的應(yīng)用,能夠保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進(jìn)行加密處理,從而加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。
3.2網(wǎng)絡(luò)安全體系模型構(gòu)建
企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的,水平層面上包括了安全管理、安全技術(shù)、安全策略和安全產(chǎn)品,它們之間是通過(guò)支配和被支配的模式實(shí)現(xiàn)使用的;垂直層面上的安全制度是負(fù)責(zé)對(duì)水平層面上的行為進(jìn)行安全規(guī)范。一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性,必須包括用戶授權(quán)管理、用戶身份認(rèn)證、數(shù)據(jù)信息保密和實(shí)時(shí)監(jiān)控審計(jì)這四個(gè)方面。這四個(gè)方面的管理功能是共同作用于同一個(gè)平臺(tái)之上的,從而構(gòu)建成一個(gè)安全可靠、實(shí)時(shí)可控的企業(yè)內(nèi)部網(wǎng)絡(luò)。
1)用戶身份認(rèn)證
用戶身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ),企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認(rèn)證包括了服務(wù)器用戶、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶、客戶端用戶等等,而且,由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大,存在著更多的不安全、不確定性,因此,對(duì)于網(wǎng)絡(luò)客戶端用戶的身份認(rèn)證至關(guān)重要。
2)用戶授權(quán)管理
用戶授權(quán)管理是以用戶身份認(rèn)證作為基礎(chǔ)的,主要是對(duì)用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán),每個(gè)用戶都對(duì)應(yīng)著不用的權(quán)限,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問(wèn)和使用,包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲(chǔ)設(shè)備資源使用權(quán)限等等。
3)數(shù)據(jù)信息保密
數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行,從而保證對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)信息和知識(shí)產(chǎn)權(quán)信息的有效保護(hù)。
4)實(shí)時(shí)監(jiān)控審計(jì)
實(shí)時(shí)監(jiān)控審計(jì)作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分,主要實(shí)現(xiàn)的是對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實(shí)時(shí)監(jiān)控,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評(píng)估報(bào)告,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí),能夠及時(shí)匯總數(shù)據(jù),為安全事故的分析判斷提供有效依據(jù)。
4結(jié)論
目前,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問(wèn)題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問(wèn)題,越來(lái)越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中,但是由于企業(yè)工作人員的安全防范意識(shí)不強(qiáng),或者網(wǎng)絡(luò)操作不規(guī)范,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來(lái)了更多的安全威脅。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問(wèn)題,具有一定的實(shí)踐應(yīng)用價(jià)值。
參考文獻(xiàn)
近年來(lái),全球頻發(fā)網(wǎng)絡(luò)安全事件。2015年5月,蘭德公司對(duì)6000余名美國(guó)成年人展開(kāi)了一項(xiàng)調(diào)查,結(jié)果顯示:在2014年6月到2015年6月,26%的被調(diào)查者收到過(guò)個(gè)人信息遭泄露的通知。蘭德公司據(jù)此預(yù)測(cè):僅過(guò)去一年,美國(guó)就有6400萬(wàn)成年人的個(gè)人信息遭到泄露――這相當(dāng)于超過(guò)1/4的美國(guó)成年人口。
針對(duì)日益突出的網(wǎng)絡(luò)安全問(wèn)題,蘭德公司2016年6月發(fā)表了題為《網(wǎng)絡(luò)犯罪:你需要知道什么》的文章,對(duì)該公司今年的若干網(wǎng)絡(luò)安全系列報(bào)告進(jìn)行了梳理和總結(jié),主要從網(wǎng)絡(luò)黑客和防御者角度出發(fā),探討網(wǎng)絡(luò)犯罪的現(xiàn)狀、網(wǎng)絡(luò)防御工作的困境及未來(lái)走向。
“網(wǎng)絡(luò)黑市”熱鬧而隱秘
蘭德公司的研究人員將售賣網(wǎng)絡(luò)犯罪工具和用戶信息的市場(chǎng),形容為一個(gè)熱鬧的“集市”。在這個(gè)“網(wǎng)絡(luò)黑市”中,黑客和其他網(wǎng)絡(luò)犯罪者像商人一樣販賣各種服務(wù)與產(chǎn)品,并通過(guò)隱秘的聊天室或論壇接頭和交易。購(gòu)買(mǎi)者可以很容易地在黑市里找到任何想要的東西:用戶的醫(yī)療記錄、可供雇傭的黑客、惡意軟件開(kāi)發(fā)工具包、僵尸網(wǎng)絡(luò)病毒、勒索軟件等等。 據(jù)蘭德公司估算,目前“網(wǎng)絡(luò)黑市”的價(jià)值至少有數(shù)十億美元。
“網(wǎng)絡(luò)黑市”的內(nèi)部運(yùn)作復(fù)雜有序,且組織嚴(yán)密。在黑市中,參與者們分工明確、層級(jí)分明,包括維持秩序的管理員、從事犯罪工具研發(fā)的專家、中介、供應(yīng)商、中間商、普通成員等。此外,黑客們按照專長(zhǎng)不同,甚至已經(jīng)打出了自己的“品牌”。俄羅斯的黑客們以提供高質(zhì)量的產(chǎn)品與服務(wù)聞名;越南和中國(guó)的黑客群體分別主攻電子商務(wù)和知識(shí)產(chǎn)權(quán)領(lǐng)域;而美國(guó)的黑客們則主要從事金融犯罪。
蘭德公司在今年的網(wǎng)絡(luò)安全系列報(bào)告之一――《網(wǎng)絡(luò)犯罪工具與數(shù)據(jù)失竊的市場(chǎng)》中估算,目前,“網(wǎng)絡(luò)黑市”的價(jià)值至少有數(shù)十億美元。而造成“網(wǎng)絡(luò)黑市”迅猛發(fā)展的原因主要有三方面:
第一,“網(wǎng)絡(luò)黑市”的門(mén)檻相對(duì)較低。無(wú)論是黑客還是購(gòu)買(mǎi)者,都可以通過(guò)互聯(lián)網(wǎng)較為容易地進(jìn)入市場(chǎng)進(jìn)行買(mǎi)賣。因此,相比非法藥品交易等犯罪市場(chǎng)而言,“網(wǎng)絡(luò)黑市”相關(guān)產(chǎn)品和服務(wù)的供應(yīng)量和需求量都有增無(wú)減。
第二,大多“網(wǎng)絡(luò)黑市”所提供的產(chǎn)品和服務(wù)都能通過(guò)互聯(lián)網(wǎng)即時(shí)送達(dá),這節(jié)省了運(yùn)輸費(fèi)用,從而降低了成本,使網(wǎng)絡(luò)犯罪成為“高盈利”的犯罪領(lǐng)域。
第三,如上文所述,“網(wǎng)絡(luò)黑市”擁有嚴(yán)密的組織形式,且市場(chǎng)運(yùn)營(yíng)嚴(yán)格遵守相關(guān)規(guī)章制度。蘭德公司的研究人員認(rèn)為,“網(wǎng)絡(luò)黑市”在這方面甚至超越了許多合法市場(chǎng)。
網(wǎng)絡(luò)防御者的困境
為保護(hù)網(wǎng)絡(luò)安全,政府和企業(yè)每年都投入了大量資金。《網(wǎng)絡(luò)犯罪:你需要知道什么》一文估測(cè):現(xiàn)在全世界每年在網(wǎng)絡(luò)安全領(lǐng)域的總投入約800億美元。然而,大量投入并不意味著實(shí)現(xiàn)了成功的網(wǎng)絡(luò)防御。
無(wú)論是從企業(yè)還是從政府的角度來(lái)看,較為成功的網(wǎng)絡(luò)防御就是將網(wǎng)絡(luò)安全的成本最小化,即把投入網(wǎng)絡(luò)安全領(lǐng)域的資源以及遭受網(wǎng)絡(luò)攻擊的損失,都降到最低。可是,蘭德公司的研究人員在對(duì)18名大型企業(yè)首席信息安全官進(jìn)行調(diào)查采訪后發(fā)現(xiàn),實(shí)際上網(wǎng)絡(luò)防御者們普遍面臨著這樣困境:他們不知道目前投入在網(wǎng)絡(luò)安全領(lǐng)域的資源(包括資金、人員配備等)是否夠用。這主要體現(xiàn)在兩方面――
首先,在網(wǎng)絡(luò)攻擊真正到來(lái)之前,信息安全官很難預(yù)估其可能帶來(lái)的損失。如何在“將投入最小化”和“將損失最小化”之間找到一個(gè)最理想的平衡點(diǎn),成為一大難題。在蘭德公司的采訪中,沒(méi)有一位信息安全官可以清晰地闡釋“為什么將投入金額定為某一個(gè)具體數(shù)字”這類問(wèn)題。甚至有信息安全官悲觀地表示,他們只有在又一次網(wǎng)絡(luò)攻擊成功之后,才知道此前投入的資金依舊不夠。
其次,相比于網(wǎng)絡(luò)攻擊帶來(lái)的直接經(jīng)濟(jì)損失,名譽(yù)與公信力的受損才是政府和企業(yè)最為擔(dān)憂的事情。蘭德公司的文章中指出,由于涉及到名譽(yù)問(wèn)題,許多政府和企業(yè)不惜斥巨資未雨綢繆。然而,這些防御投入是否必要,卻有待商榷。
以2014年摩根大通銀行賬戶泄露事件為例。盡管當(dāng)時(shí)有約8000萬(wàn)個(gè)客戶的信息遭遇泄露,但黑客們所做的只是將用戶的賬戶名稱、電話號(hào)碼和住址等信息收集起來(lái)。截止到2014年底,沒(méi)有任何關(guān)鍵信息被盜,也沒(méi)有任何賬戶被攻擊或者資金被轉(zhuǎn)移。這次事件并沒(méi)有造成實(shí)際的經(jīng)濟(jì)損失,可摩根大通卻因?yàn)闆](méi)能保護(hù)好客戶信息,名譽(yù)大受影響。目前,摩根大通每年在網(wǎng)絡(luò)安全方面的投入是2.5億美元,且還有繼續(xù)增加的趨勢(shì)。
其實(shí),許多時(shí)候網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)往往被企業(yè)過(guò)分夸大,導(dǎo)致一樁無(wú)害的信息泄露事件也會(huì)引起極度恐慌。正如蘭德公司的高級(jí)管理學(xué)家、網(wǎng)絡(luò)安全系列報(bào)告作者之一馬丁?利比奇(Martin Libicki)所說(shuō):“許多網(wǎng)絡(luò)安全方面的花費(fèi)都是出于我們的恐懼,但實(shí)際上,我們所恐懼的事情卻很少發(fā)生。”
網(wǎng)絡(luò)安全形勢(shì)愈加復(fù)雜
面對(duì)網(wǎng)絡(luò)犯罪市場(chǎng)和網(wǎng)絡(luò)防御工作的現(xiàn)狀,蘭德公司的研究人員在《網(wǎng)絡(luò)犯罪:你需要知道什么》一文中拋出了一個(gè)我們都無(wú)法回避的問(wèn)題:網(wǎng)絡(luò)安全的未來(lái)將是怎樣的?
顯然,未來(lái)的網(wǎng)絡(luò)安全形勢(shì)將更為復(fù)雜。隨著物聯(lián)網(wǎng)的發(fā)展,除了手機(jī)和筆記本電腦,醫(yī)療設(shè)備、家用恒溫器,甚至是廚房用品都將逐步實(shí)現(xiàn)在線互聯(lián)功能。根據(jù)全球權(quán)威IT研究與咨詢公司高德納(Gartner)的預(yù)測(cè):到2020年,聯(lián)網(wǎng)設(shè)備的數(shù)量將是全球人口數(shù)量的三倍。這意味著:每一個(gè)設(shè)備都有可能成為黑客們攻擊的目標(biāo),而這將為網(wǎng)絡(luò)防御工作帶來(lái)極大的挑戰(zhàn)。
關(guān)鍵詞:云計(jì)算 網(wǎng)絡(luò)安全 技術(shù)升級(jí) 實(shí)現(xiàn)路徑
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2015)04-0193-01
云計(jì)算是建立在互聯(lián)網(wǎng)基礎(chǔ)上的資源整合計(jì)算技術(shù),將全部計(jì)算資源進(jìn)行集中整合,通過(guò)云軟件進(jìn)行統(tǒng)一的數(shù)據(jù)管理。在云計(jì)算環(huán)境下,用戶不用對(duì)底層問(wèn)題進(jìn)行考慮,而是專注于自身需求的達(dá)成。在云計(jì)算環(huán)境下,用戶資源具有無(wú)限延展性,信息使用不受時(shí)間地點(diǎn)限制,費(fèi)用低廉,對(duì)于管理成本的下降以及運(yùn)營(yíng)成本控制起到了積極促進(jìn)作用。但是在實(shí)際操作中,云計(jì)算的應(yīng)用為網(wǎng)絡(luò)安全技術(shù)帶來(lái)的更大挑戰(zhàn),而對(duì)這一問(wèn)題進(jìn)行研究有著積極的實(shí)踐意義和應(yīng)用價(jià)值。
1 云計(jì)算環(huán)境下網(wǎng)絡(luò)安全威脅分析
1.1 網(wǎng)絡(luò)因素
在云計(jì)算環(huán)境下,由于網(wǎng)絡(luò)攻擊造成服務(wù)器運(yùn)營(yíng)失效,進(jìn)而出現(xiàn)數(shù)據(jù)傳輸風(fēng)險(xiǎn),風(fēng)險(xiǎn)類型主要有如下幾種:第一,數(shù)據(jù)被竊取。用戶數(shù)據(jù)在云環(huán)境下被竊取盜用或者監(jiān)聽(tīng),使個(gè)人信息以及數(shù)據(jù)安全面臨巨大風(fēng)險(xiǎn)。第二,數(shù)據(jù)被篡改。云環(huán)境下未經(jīng)用戶授權(quán)而對(duì)其數(shù)據(jù)進(jìn)行篡改或刪除,使數(shù)據(jù)完整性受到破壞。第三,攻擊服務(wù)器。利用云計(jì)算BUG向服務(wù)器提出過(guò)獎(jiǎng)數(shù)據(jù)請(qǐng)求,進(jìn)而使服務(wù)器拒絕服務(wù),極有可能造成用戶數(shù)據(jù)嚴(yán)重破壞。
1.2 存儲(chǔ)因素
數(shù)據(jù)存儲(chǔ)方面的威脅主要表現(xiàn)在以下幾個(gè)方面:第一,由于用戶數(shù)據(jù)保密措施不到位,一旦計(jì)算機(jī)遭遇惡意攻擊,將使數(shù)據(jù)安全受到極大威脅。第二,存儲(chǔ)介質(zhì)被攻擊方控制,進(jìn)而造成數(shù)據(jù)篡改、泄漏等。第三,由于數(shù)據(jù)備份缺失,一旦遭遇數(shù)據(jù)損壞,很難得到完整恢復(fù)。
1.3 身份認(rèn)證及訪問(wèn)限制因素
身份認(rèn)證風(fēng)險(xiǎn)一般有三項(xiàng),首先,對(duì)合法用戶已經(jīng)認(rèn)證的信息進(jìn)行盜取,造成用戶信息泄漏,數(shù)據(jù)安全難以保障。第二,通過(guò)第三方信息服務(wù)設(shè)備盜取用戶信息,同樣會(huì)使用戶信息遭到破壞。第三,用戶利用非常規(guī)手段進(jìn)行信息操作后,否認(rèn)操作行為,出現(xiàn)身份抵賴現(xiàn)象。
同時(shí),由于訪問(wèn)限制因素,也會(huì)造成用戶信息受到威脅。對(duì)于第三方服務(wù)器進(jìn)行惡意攻擊,造成攻擊者得到非法授權(quán),并以此實(shí)現(xiàn)用戶數(shù)據(jù)破壞,或者對(duì)用戶正常使用造成干擾。再者,合法用戶利用非法權(quán)限進(jìn)行操作,使數(shù)據(jù)信息的私密性、完整性受到威脅。再加上非法入侵者利用推理通道越權(quán)操作,造成用戶數(shù)據(jù)安全性下降。
1.4 虛擬環(huán)境與審計(jì)因素
云計(jì)算是依托虛擬環(huán)境構(gòu)建的計(jì)算空間,不設(shè)置邊界安全,而是以防火墻以及數(shù)據(jù)監(jiān)測(cè)等形式保障數(shù)據(jù)安全。在云計(jì)算領(lǐng)域,用戶以租用形式換取相應(yīng)資源,在統(tǒng)一物理空間內(nèi),會(huì)有若干數(shù)量的虛擬機(jī)合租者,多用戶機(jī)制如果監(jiān)管不到位,會(huì)造成數(shù)據(jù)安全隱患增加。
而在數(shù)據(jù)安全審計(jì)中,由于審計(jì)功能遭遇惡意關(guān)閉,或者被用戶主動(dòng)關(guān)閉,都會(huì)造成運(yùn)營(yíng)日志缺失,從而使審計(jì)功能難以發(fā)揮應(yīng)用作用。而審計(jì)記錄不清晰、有歧義,記錄不全等,也使系統(tǒng)無(wú)法獲得用戶的規(guī)范操作日志,進(jìn)而為數(shù)據(jù)審計(jì)增加難度。
2 云計(jì)算環(huán)境下網(wǎng)絡(luò)安全防御措施
2.1 強(qiáng)化技術(shù)監(jiān)督措施
通過(guò)一定的技術(shù)監(jiān)控,能夠保障云計(jì)算環(huán)境下的用戶安全,通過(guò)安全孔家的構(gòu)架,實(shí)現(xiàn)穩(wěn)定、暢通、安全的云環(huán)境,主要技術(shù)手段有以下幾種:第一,及時(shí)更新軟件,消除軟件BUG造成的安全風(fēng)險(xiǎn)。第二,建立針對(duì)云計(jì)算體系的安全防御構(gòu)架,實(shí)現(xiàn)風(fēng)險(xiǎn)事前防御。第三,以虛擬運(yùn)行環(huán)境為基礎(chǔ),進(jìn)一步完善數(shù)據(jù)隔離制定,消除統(tǒng)一虛擬空間的多個(gè)服務(wù)器之間的惡意攻擊。第四,強(qiáng)化安全技術(shù)的研發(fā)和運(yùn)營(yíng),例如“云加密”和“謂詞加密”技術(shù)的應(yīng)用。根據(jù)存儲(chǔ)中存在的數(shù)據(jù)風(fēng)險(xiǎn),建立起相應(yīng)的數(shù)據(jù)存儲(chǔ)安全空間,從而保障數(shù)據(jù)存儲(chǔ)介質(zhì)具有高度安全性。
2.2 完善身份認(rèn)證以及訪問(wèn)監(jiān)控機(jī)制
對(duì)于由身份認(rèn)證造成的威脅,可以將第三方認(rèn)證體系的完善作為基礎(chǔ),從而構(gòu)建起更為多樣化的認(rèn)證方式。利于引入指紋以及語(yǔ)音技術(shù)進(jìn)行認(rèn)證,利用電子口令建立安全防線,在CA服務(wù)基礎(chǔ)上進(jìn)行安全認(rèn)證,利用智能卡認(rèn)證等,并建立有效的審計(jì)失敗監(jiān)控,對(duì)于非法認(rèn)證,要及時(shí)監(jiān)督發(fā)現(xiàn)并進(jìn)行追蹤。
在訪問(wèn)安全控制中,要贏得那個(gè)進(jìn)一步完善訪問(wèn)控制機(jī)制,建立更為安全、穩(wěn)定的云環(huán)境。由于在云空間內(nèi)同時(shí)存在若干類型用戶,不同用戶的權(quán)限與空間功能需求具有明顯差異,尤其是在不同云環(huán)境下,同一用戶的權(quán)限也會(huì)發(fā)生不同變化。因此,在訪問(wèn)控制方面需要建立更為完善的控制機(jī)制,便于用戶針對(duì)自身權(quán)限進(jìn)行角色配置,從而消除訪問(wèn)監(jiān)控不利造成的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
2.3 審計(jì)與網(wǎng)絡(luò)環(huán)境監(jiān)測(cè)
建立完善的信息審計(jì)機(jī)制以及入侵檢測(cè)機(jī)制,對(duì)用戶的操作行為進(jìn)行全面、客觀記錄,并能夠針對(duì)信息記錄進(jìn)行日志分析,如果用戶出現(xiàn)非法操作,能夠及時(shí)發(fā)現(xiàn)并非報(bào)警追蹤。在審計(jì)制度的建立上,應(yīng)當(dāng)注重內(nèi)部和外部的整合性,并且在用戶數(shù)據(jù)保密、完整的基礎(chǔ)上,建立起更為安全的、不可抵賴性的風(fēng)險(xiǎn)防御機(jī)制。
在網(wǎng)絡(luò)安全控制中,數(shù)據(jù)傳輸應(yīng)當(dāng)遵循網(wǎng)絡(luò)安全的相關(guān)協(xié)議,保證用戶數(shù)據(jù)安全不受破壞。在數(shù)據(jù)傳輸過(guò)程中,要采用更為嚴(yán)格的加密措施,對(duì)數(shù)據(jù)進(jìn)行相應(yīng)加密,避免在傳輸過(guò)程中數(shù)據(jù)泄漏。在網(wǎng)絡(luò)環(huán)境下建立起信任過(guò)濾模式,使網(wǎng)絡(luò)安全防御更為系統(tǒng)化和規(guī)范化,利用新型網(wǎng)絡(luò)安全工具實(shí)現(xiàn)低風(fēng)險(xiǎn)操作。
3 結(jié)語(yǔ)
云計(jì)算是網(wǎng)絡(luò)技術(shù)發(fā)展升級(jí)的必然需求,對(duì)互聯(lián)網(wǎng)的利用和發(fā)展有著劃時(shí)代的推動(dòng)價(jià)值。雖然在現(xiàn)階段網(wǎng)絡(luò)應(yīng)用中還存在一些漏洞和問(wèn)題,但是,隨著網(wǎng)絡(luò)科技與云技術(shù)的不斷完善,這一性能優(yōu)越、成本低廉的高科技形式必然會(huì)有更為廣闊的應(yīng)用空間,云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)也將得到長(zhǎng)足發(fā)展,為公眾提供更為便利的信息使用環(huán)境。
參考文獻(xiàn)
[1]曾志峰,楊義先.網(wǎng)絡(luò)安全的發(fā)展與研究[J].計(jì)算機(jī)工程與應(yīng)用,2000(10).
關(guān)鍵詞:校園網(wǎng);數(shù)據(jù)中心;網(wǎng)絡(luò)安全
中圖分類號(hào):TP393.08
本項(xiàng)目涉及的是某高校校園網(wǎng)的升級(jí)改造。近年來(lái),隨著學(xué)校校園網(wǎng)應(yīng)用的不斷增加,原學(xué)校核心網(wǎng)壓力越來(lái)越大。同時(shí),隨著新的教學(xué)模式的應(yīng)用,如很多學(xué)科視頻應(yīng)用逐漸常規(guī)化,大量的視頻及圖像數(shù)據(jù)流對(duì)原校園網(wǎng)中服務(wù)器、存儲(chǔ)及核心網(wǎng)絡(luò)設(shè)備性能都提出了更高的要求,另外校園網(wǎng)的網(wǎng)絡(luò)安全也日益成為焦點(diǎn)。因此,該校決定對(duì)原有校園網(wǎng)進(jìn)行改造。
1 項(xiàng)目需求
在此次校園網(wǎng)升級(jí)改造中,該校決定將各系業(yè)務(wù)進(jìn)行整合,并建設(shè)一個(gè)獨(dú)立、高性能的數(shù)據(jù)中心。通過(guò)數(shù)據(jù)中心統(tǒng)一為全校提供靈活、高效的業(yè)務(wù)支撐,滿足各院系差異化需求,并保留未來(lái)強(qiáng)大的擴(kuò)展能力。
由于新建立的數(shù)據(jù)中心需要為全校的各種視頻、網(wǎng)絡(luò)教學(xué)等關(guān)鍵業(yè)務(wù)提供服務(wù),因此對(duì)數(shù)據(jù)中心服務(wù)器、存儲(chǔ)及網(wǎng)絡(luò)設(shè)備的性能和可靠性提出了很高的要求。
具體要求:
(1)數(shù)據(jù)中心服務(wù)器配置了大量高性能千兆網(wǎng)卡,因此要求新建數(shù)據(jù)中心網(wǎng)絡(luò)能夠滿足高密度千兆速率接入需求。
(2)新建數(shù)據(jù)中心網(wǎng)絡(luò)要求具備接口擴(kuò)展等數(shù)據(jù)中心特性,以適應(yīng)未來(lái)發(fā)展需求。
由于此次改造的重點(diǎn)是數(shù)據(jù)中心,因此對(duì)網(wǎng)絡(luò)安全也提出了相應(yīng)的要求:
(1)防御來(lái)自網(wǎng)絡(luò)外部的DDoS攻擊,保障數(shù)據(jù)中心的可用性。
(2)對(duì)應(yīng)用層攻擊進(jìn)行預(yù)防和阻止。
(3)攻擊防范及訪問(wèn)控制,抵御來(lái)自外部的各種攻擊;在校園內(nèi)部根據(jù)部門(mén)的不同安全區(qū)域、級(jí)別進(jìn)行隔離。
(4)高密度部署,具備虛擬化能力,低成本地滿足校園各部門(mén)專屬安全防護(hù)的需要。
2 項(xiàng)目解決方案
通過(guò)對(duì)客戶需求及應(yīng)用場(chǎng)景的深入分析,最終將該公司數(shù)據(jù)中心建設(shè)的關(guān)注點(diǎn)放在了數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)上。經(jīng)過(guò)分析最終選定華為公司為運(yùn)營(yíng)商。
通過(guò)對(duì)數(shù)據(jù)中心的分析,目前對(duì)數(shù)據(jù)經(jīng)中心的安全需求基本包括以下方面:
數(shù)據(jù)中心鏈路普遍采用10G鏈路,將要向40G/100G鏈路進(jìn)行遷移,同時(shí),數(shù)據(jù)中心的發(fā)展,使得大二層數(shù)據(jù)中心快速發(fā)展,東西向流量的交換集中匯聚到數(shù)據(jù)中心核心交換機(jī),這種趨勢(shì)必然要求信息安全產(chǎn)品需要有更高的處理能力,低性能的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品如FW/IPS等必制約了數(shù)據(jù)中心的平滑升級(jí);
數(shù)據(jù)中心的發(fā)展規(guī)模越來(lái)越大,業(yè)務(wù)越來(lái)越多,數(shù)據(jù)中心數(shù)據(jù)價(jià)值也越來(lái)越高,各種對(duì)數(shù)據(jù)的攻擊也日新月異,攻擊呈現(xiàn)持續(xù)性、高流量、異變性等,如何防護(hù)這些種類繁多的攻擊行為要求防護(hù)產(chǎn)品的快速反應(yīng)和高性能的處理能力;
信息安全威脅的快速變化,需要網(wǎng)絡(luò)防護(hù)產(chǎn)品能快速的安全能力升級(jí)的能力,以及要求安全廠商有更積極的安全產(chǎn)品升級(jí)策略;
網(wǎng)絡(luò)安全產(chǎn)品能夠感知不同的應(yīng)用類型,在網(wǎng)絡(luò)需要時(shí)可以對(duì)不同的應(yīng)用給予不同的帶寬保障,保障高價(jià)值業(yè)務(wù)的用戶體驗(yàn);以緩和數(shù)據(jù)中心出口帶寬的壓力,提升用戶體驗(yàn)。
2.1 外聯(lián)區(qū)安全防護(hù)
華為高端防火墻部署在大型數(shù)據(jù)中心出口,為客戶提供高性能、高密度、高可用性、高安全的網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)。通過(guò)部署高性能的高端墻,實(shí)現(xiàn)了安全域隔離,將數(shù)據(jù)中心劃分為外鏈區(qū)和核心區(qū),對(duì)各個(gè)域之間的流量進(jìn)行安全防護(hù),有效避免網(wǎng)絡(luò)風(fēng)暴擴(kuò)散,保障網(wǎng)絡(luò)安全。在外聯(lián)區(qū)部署IPS入侵防御系統(tǒng),及時(shí)判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,并在發(fā)現(xiàn)威脅的情況進(jìn)行阻斷或告警等措施實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。通過(guò)在關(guān)鍵業(yè)務(wù)系統(tǒng)的入換機(jī)旁路部署NIP系統(tǒng),對(duì)訪問(wèn)系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)入侵檢測(cè),實(shí)現(xiàn)了統(tǒng)計(jì)分析、入侵檢測(cè)與防護(hù)、安全審計(jì)等功能。
同時(shí)在出口部署Anti-DDoS設(shè)備,可以有效識(shí)別DDoS攻擊,減少惡意流量的沖擊,實(shí)現(xiàn)對(duì)DDoS的攻擊防護(hù)。
2.2 核心區(qū)網(wǎng)絡(luò)安全解決方案
通過(guò)在核心交換機(jī)上部署各種安全業(yè)務(wù),如防火墻、IPS/IDS等為數(shù)據(jù)中心的業(yè)務(wù)提供內(nèi)部網(wǎng)絡(luò)安全解決方案。
在核心區(qū)部署高性能USG設(shè)備,將核心區(qū)按照業(yè)務(wù)模式劃分不同的區(qū)域,如測(cè)試區(qū)、托管區(qū)、運(yùn)行管理區(qū)等,對(duì)不同的區(qū)域?qū)崿F(xiàn)不同的安全策略,為不同的區(qū)域提供不同的安全防護(hù)能力。
在核心區(qū)部署高性能的IPS設(shè)備,以旁路IDS方式部署NIP產(chǎn)品,監(jiān)控內(nèi)部的攻擊行為,檢測(cè)異常的數(shù)據(jù)流量,同時(shí)在業(yè)務(wù)服務(wù)器群前,防御DDoS攻擊,以及各種黑客攻擊行為和蠕蟲(chóng)等,以保護(hù)高安全業(yè)務(wù)區(qū)的業(yè)務(wù)安全。
2.3 方案的優(yōu)勢(shì)
多種專業(yè)防護(hù)能力:采用“七層過(guò)濾”技術(shù),秒級(jí)防御流量型、應(yīng)用型、畸形報(bào)文等各種DoS/DDoS攻擊;方案集成業(yè)務(wù)感知模塊,超1200多種應(yīng)用識(shí)別能力,能夠?qū)I(yè)務(wù)做到應(yīng)用層可視化管控。
高性能:針對(duì)數(shù)據(jù)中心大數(shù)據(jù)、大流量的特點(diǎn),華為數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案依托電信級(jí)的硬件平臺(tái),提供高性能、高可靠的安全防護(hù)。在業(yè)務(wù)吞吐量、接口能力、漏洞檢出率/誤報(bào)率、防護(hù)響應(yīng)速度等安全設(shè)備關(guān)鍵指標(biāo)上全面領(lǐng)先業(yè)界水平。
高可靠:方案涉及設(shè)備的電源/風(fēng)扇/主控等關(guān)鍵部件冗余和可熱插拔,業(yè)務(wù)板間均衡負(fù)載流量,多種容錯(cuò)設(shè)計(jì)保證在海量復(fù)雜網(wǎng)絡(luò)流量下可靠性和可用性,保證業(yè)務(wù)永續(xù)。
易擴(kuò)展:采用插板式設(shè)計(jì),安全隔離、IPS和Anti-DDoS的功能均能在同一硬件平臺(tái)上擴(kuò)展,高密度,保護(hù)客戶已有投資。
虛擬化能力強(qiáng):虛擬化能力是業(yè)界平均水平的4倍以上,低成本的提供多部門(mén)獨(dú)享安全服務(wù)的需求。
全面的IPv6攻擊防范能力:提供完善的IPv6過(guò)渡方案,確保IPv4向IPv6網(wǎng)絡(luò)過(guò)渡期間的安全、平滑升級(jí)。
3 結(jié)束語(yǔ)
本文對(duì)校園網(wǎng)的數(shù)據(jù)中心升級(jí)做了簡(jiǎn)要的描述。在校園網(wǎng)的建設(shè)中,我們首先要做的是了解各項(xiàng)業(yè)務(wù)需求,然后從中選出最重要的點(diǎn)作為項(xiàng)目實(shí)現(xiàn)的重點(diǎn),進(jìn)行方案設(shè)計(jì)和設(shè)備選型,最后進(jìn)行項(xiàng)目實(shí)施。
參考文獻(xiàn):
[1]鄭葉來(lái),陳世峻.分布式云數(shù)據(jù)中心的建設(shè)與管理[M].北京:清華大學(xué)出版社,2013.
[2]張廣明,陳冰,張彥和.數(shù)據(jù)中心基礎(chǔ)設(shè)施設(shè)計(jì)與建設(shè)[M].北京:電子工業(yè)出版社,2012.
[3]孟玲玲.校園網(wǎng)組建與維護(hù)[M].北京:中國(guó)人民大學(xué)出版社,2011.
關(guān)鍵詞 計(jì)算機(jī)技術(shù);網(wǎng)絡(luò)安全;服務(wù)器;防御措施
中圖分類號(hào) TP39 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708(2013)89-0212-02
0引言
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展以及網(wǎng)絡(luò)的不斷普及,網(wǎng)絡(luò)的重要性在人們?nèi)粘I詈凸ぷ髦械闹匾詣t越來(lái)越突出,然而伴隨網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)安全問(wèn)題卻又困擾著網(wǎng)絡(luò)的應(yīng)用發(fā)展以及人們的工作和生活,不斷出現(xiàn)的企業(yè)信息泄密事件就是最好的證明,也因此計(jì)算機(jī)網(wǎng)絡(luò)安全正成為人們?nèi)找骊P(guān)注的焦點(diǎn),計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅主要包括竊聽(tīng)、篡改與重發(fā)、假冒、抵賴及病毒、特洛伊木馬等的威脅[1],入侵檢測(cè)系統(tǒng)是(Intrusion Detection Sys-tem,IDS)當(dāng)前眾多安全技術(shù)手段中,能夠有效組織非法訪問(wèn)行為的一種重要手段。但是,隨著有關(guān)病毒技術(shù)的發(fā)展以及網(wǎng)絡(luò)流量的快速增大,檢測(cè)系統(tǒng)的檢測(cè)能力也受到了挑戰(zhàn)。當(dāng)前,入侵網(wǎng)絡(luò)服務(wù)器、威脅網(wǎng)絡(luò)服務(wù)器安全主要就是通過(guò)各種病毒進(jìn)行入侵,其中使用比較多的就是木馬病毒。本文將主要探討網(wǎng)絡(luò)對(duì)計(jì)算機(jī)網(wǎng)路服務(wù)器造成的危害,并對(duì)相關(guān)的防御技術(shù)進(jìn)行闡述,希望能為相關(guān)的研究提供部分參考價(jià)值。
1網(wǎng)絡(luò)木馬對(duì)計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全危害
木馬主要是指包含在一個(gè)合法程序中的非法程序,具體自我設(shè)置的能力,當(dāng)前主要可以分為兩類:網(wǎng)游木馬和網(wǎng)銀木馬。當(dāng)木馬運(yùn)行時(shí),黑客便可以隨時(shí)從他人的硬盤(pán)上查看、刪除相關(guān)的文件。對(duì)計(jì)算機(jī)存在著很大的危害,主要表現(xiàn)在:它對(duì)別人的電腦具有較強(qiáng)的控制功能和破壞能力,通過(guò)監(jiān)控別人的電腦,可以獲取相關(guān)的密碼,盜取別人的信息文件,威脅別人的財(cái)產(chǎn)安全,網(wǎng)游木馬可以盜取游戲玩家的網(wǎng)游賬號(hào),轉(zhuǎn)移其虛擬財(cái)產(chǎn),網(wǎng)銀木馬則可以采用鍵盤(pán)記錄的方式盜取網(wǎng)銀賬號(hào)和密碼,使黑客能夠輕易的進(jìn)入我們的網(wǎng)上銀行賬號(hào),這將直接使我們的經(jīng)濟(jì)受損。
2相關(guān)的防御措施探討
從上面的分析中,我們可以知道,網(wǎng)絡(luò)木馬病毒入侵計(jì)算機(jī)系統(tǒng)帶來(lái)的最大的損害就是使得個(gè)人的財(cái)產(chǎn)信息泄密,威脅個(gè)人的財(cái)產(chǎn)安全[2],因此,有必要采取相關(guān)的策略進(jìn)行防御,筆者認(rèn)為可以采取的策略主要有。
2.1 建立一個(gè)相對(duì)安全的服務(wù)器防護(hù)體系
服務(wù)器的安全,是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要保證,也是網(wǎng)絡(luò)管理人員的主要職責(zé),但是不存在絕對(duì)的網(wǎng)絡(luò)安全防護(hù)體系,因?yàn)橛?jì)算機(jī)技術(shù)是不斷發(fā)展的,網(wǎng)絡(luò)威脅的因素也在隨時(shí)的變化。筆者認(rèn)為,要建立一個(gè)安全的防護(hù)體系,主要可以從以下幾點(diǎn)做起:第一,要建立一個(gè)強(qiáng)有力的網(wǎng)絡(luò)安全體系;即要將所有的服務(wù)器與周圍的其它設(shè)備相結(jié)合進(jìn)行頭籌規(guī)劃,一般而言,一個(gè)完整的安全體系除了需要技術(shù)的支撐以外,最重要的就是管理制度方面的支撐。安全管理方面最基本的措施就是要完善相關(guān)的規(guī)章制度,岳蘇各種網(wǎng)絡(luò)行為;安全技術(shù)方面就是要利用各種殺毒軟件和硬件來(lái)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全管理;第二,建立穩(wěn)固的防護(hù)基礎(chǔ),計(jì)算機(jī)被入侵的一個(gè)重要原就是因?yàn)橛?jì)算機(jī)的系統(tǒng)本身存在安全漏洞,因此必須要有一定的防護(hù)基礎(chǔ);第三,對(duì)電腦中的數(shù)據(jù)進(jìn)行定期備份,并做好密碼保護(hù),因?yàn)橐坏?shù)據(jù)被損害或者是被竊取,將造成無(wú)可避免的損失;第四,做好遠(yuǎn)程訪問(wèn)的管理,計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)優(yōu)點(diǎn)就是可以實(shí)現(xiàn)遠(yuǎn)程訪問(wèn),但是卻為黑客的入侵打開(kāi)了大門(mén),因?yàn)橹灰肋h(yuǎn)程訪問(wèn)的電話號(hào)碼,就可以很快實(shí)現(xiàn)入侵。
2.2 配置合適的安全服務(wù)器
服務(wù)器是網(wǎng)站的基礎(chǔ)、靈魂、尖兵。網(wǎng)站有了基礎(chǔ),才會(huì)有接下來(lái)的網(wǎng)站排名,流量,品牌形象等等。所以在一開(kāi)始建設(shè)網(wǎng)站的時(shí)候,一定要在域名注冊(cè)查詢選擇好適合自己網(wǎng)站的服務(wù)器,不管是虛擬主機(jī)還是VPS或者自己架立的服務(wù)器,差的服務(wù)器最后只有影響自己網(wǎng)站后期的發(fā)展。一般而言,服務(wù)器主要分為兩類:非x86服務(wù)器和x86服務(wù)器,按應(yīng)用的層次劃分,則主要可以分為入門(mén)級(jí)服務(wù)器、工作組服務(wù)器、部門(mén)級(jí)服務(wù)器和企業(yè)級(jí)服務(wù)器四種,服務(wù)器的配置一定要根據(jù)自身使用和安全防護(hù)的需要進(jìn)行配置。
2.3 建立安全管理規(guī)章制度
俗話說(shuō):“無(wú)規(guī)矩不成方圓。”完善的安全管理規(guī)章制度是保證計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證之一,也是計(jì)算機(jī)管理人員實(shí)行計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全管理的重要支撐。[3]安全管理規(guī)章制度的內(nèi)容應(yīng)該要包括以下幾個(gè)方面:1)要針對(duì)主要的管理人員設(shè)置基本的規(guī)則,2)本人用戶名、口令要自己保密,不得外泄與他人,沒(méi)有經(jīng)過(guò)別人的同意不得私自進(jìn)入別人的賬戶系統(tǒng);3)不得惡意攻擊系統(tǒng),獲取系統(tǒng)的管理權(quán)限;4)完善與計(jì)算機(jī)服務(wù)器安全管理有關(guān)的制度,比如計(jì)算機(jī)上機(jī)控制管理制度、計(jì)算機(jī)機(jī)房的安全管理規(guī)章制度、上網(wǎng)信息登記審核制度等相關(guān)的制度,以確保安全管理制度得到有效執(zhí)行。
2.4 盡量減少文件共享
文件使用共享的好處就在于可以實(shí)現(xiàn)資源共享,所以有很多的人都喜歡將自己的計(jì)算機(jī)設(shè)計(jì)為文件共享狀態(tài),安全隱患也隨之產(chǎn)生,很多的黑客就是通過(guò)共享文件,進(jìn)入文件中進(jìn)行破壞行動(dòng),所以應(yīng)該要盡量減少文件的共享,以保證自己計(jì)算機(jī)的安全。
3 結(jié)論
綜上所述,我們可以知道,計(jì)算機(jī)信息技術(shù)的發(fā)展可以說(shuō)是一把雙刃劍,在改變?nèi)藗兩罟ぷ鞣绞降耐瑫r(shí),也給人們帶來(lái)了很多的信息安全隱患。木馬是入侵網(wǎng)絡(luò)服務(wù)器眾多病毒中的一種,其所帶來(lái)的危害是巨大的,直接威脅著廣大網(wǎng)民的個(gè)人財(cái)產(chǎn)信息,建立安全的防御系統(tǒng)十分的必要,如何維護(hù)計(jì)算機(jī)服務(wù)器的安全將成為未來(lái)計(jì)算機(jī)行業(yè)研究的重要課題。
參考文獻(xiàn)
[1]鄒峰.基于計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)與防御研究[J].煤炭技術(shù),2011,1:92-94.
關(guān)鍵詞:安全策略 VLAN技術(shù) 計(jì)算機(jī)病毒 網(wǎng)絡(luò)資源 共享
教育信息網(wǎng)絡(luò)是教育信息系統(tǒng)運(yùn)行的載體,是各級(jí)教育管理部門(mén)之間進(jìn)行信息交換、實(shí)現(xiàn)信息共享的基礎(chǔ)平臺(tái)。教育信息網(wǎng)絡(luò)安全狀況直接影響著正常工作的運(yùn)轉(zhuǎn)。在網(wǎng)絡(luò)建成的初期,安全問(wèn)題可能還不突出,但隨著信息化應(yīng)用的深入,網(wǎng)絡(luò)上的各種數(shù)據(jù)急劇增加,各種各樣的安全問(wèn)題開(kāi)始困擾我們。因此在網(wǎng)絡(luò)建設(shè)過(guò)程中,必須未雨綢繆,及時(shí)采取有效的安全措施,防范和清除各種安全隱患和威脅。
一、教育信息網(wǎng)絡(luò)面臨的安全威脅
教育信息網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種:一是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅;二是對(duì)網(wǎng)絡(luò)設(shè)備的威脅。這些威脅可能來(lái)源于各種各樣的因素,總結(jié)起來(lái),大致有下面幾種:
1、物理因素。從物理上講,教育信息網(wǎng)絡(luò)的安全是脆弱的,整個(gè)網(wǎng)絡(luò)涉及設(shè)備分布極為廣泛,任何個(gè)人或部門(mén)都不可能時(shí)刻對(duì)這些設(shè)備進(jìn)行全面監(jiān)控,任何安置在不能上鎖的地方的設(shè)施,包括光纜、電纜、局域網(wǎng)、遠(yuǎn)程網(wǎng)等都有可能遭到破壞,從而引起網(wǎng)絡(luò)的癱瘓,影響正常工作的進(jìn)行。如果是包含數(shù)據(jù)的軟盤(pán)、光碟、主機(jī)等被盜,更會(huì)引起數(shù)據(jù)的丟失和泄露。
2、技術(shù)脆弱性因素。目前教育信息網(wǎng)絡(luò)中局域網(wǎng)之間遠(yuǎn)程互連線路混雜,有電信、廣電、聯(lián)通、移動(dòng)等多家,因此缺乏相應(yīng)的統(tǒng)一安全機(jī)制,在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。此外,隨著軟件交流規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免地存在。
3、操作人員的失誤因素。教育網(wǎng)絡(luò)是以用戶為中心的系統(tǒng)。一個(gè)合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作。管理人員可以通過(guò)對(duì)用戶的權(quán)限分配限定用戶的某些行為,以免故意或非故意地破壞。更多的安全措施必須由使用者來(lái)完成。使用者安全意識(shí)淡薄,操作不規(guī)范是威脅網(wǎng)絡(luò)安全的主要因素。
4、管理因素。嚴(yán)格的管理是網(wǎng)絡(luò)安全的重要措施。事實(shí)上,很多網(wǎng)管都疏于這方面的管理,對(duì)網(wǎng)絡(luò)的管理思想麻痹,網(wǎng)絡(luò)管理員配置不當(dāng)或者網(wǎng)絡(luò)應(yīng)用升級(jí)不及時(shí)造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網(wǎng)絡(luò)站點(diǎn)下載的軟件、在防火墻內(nèi)部架設(shè)撥號(hào)服務(wù)器卻沒(méi)有對(duì)賬號(hào)認(rèn)證等嚴(yán)格限制,舍不得投入必要的人力、財(cái)力、物力來(lái)加強(qiáng)網(wǎng)絡(luò)的安全管理等等,都造成了網(wǎng)絡(luò)安全的隱患。
5、其他因素。一般來(lái)說(shuō),安全與方便通常是互相矛盾的。有些網(wǎng)管雖然知道自己網(wǎng)絡(luò)中存在的安全漏洞以及可能招致的攻擊,但是出于管理協(xié)調(diào)方面的問(wèn)題,卻無(wú)法去更正。因?yàn)槭谴蠹乙黄鹪诠芾硎褂靡粋€(gè)網(wǎng)絡(luò),包括用戶數(shù)據(jù)更新管理、路由政策管理、數(shù)據(jù)流量統(tǒng)計(jì)管理、新服務(wù)開(kāi)發(fā)管理、域名和地址管理等等。網(wǎng)絡(luò)安全管理只是其中的一部分,并且在服務(wù)層次上,處于對(duì)其他管理提供服務(wù)的地位上。這樣,在與其他管理服務(wù)存在沖突的時(shí)候,網(wǎng)絡(luò)安全往往需要作出讓步。
二、實(shí)現(xiàn)教育信息網(wǎng)絡(luò)安全的對(duì)策
網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來(lái)自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。對(duì)于教育信息網(wǎng)絡(luò),受投資規(guī)模等方面的限制,不可能全部最高強(qiáng)度的實(shí)施,但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決,將有限的資金用在最為關(guān)鍵的地方。實(shí)現(xiàn)整體網(wǎng)絡(luò)安全需要依靠完備適當(dāng)?shù)木W(wǎng)絡(luò)安全策略和嚴(yán)格的管理來(lái)落實(shí)。
網(wǎng)絡(luò)的安全策略就是針對(duì)網(wǎng)絡(luò)的實(shí)際情況(被保護(hù)信息價(jià)值、被攻擊危險(xiǎn)性、可投入的資金),在網(wǎng)絡(luò)管理的整個(gè)過(guò)程,具體對(duì)各種網(wǎng)絡(luò)安全措施進(jìn)行取舍。網(wǎng)絡(luò)的安全策略可以說(shuō)是在一定條件下的成本和效率的平衡。
教育信息網(wǎng)絡(luò)包括各級(jí)教育數(shù)據(jù)中心和信息系統(tǒng)運(yùn)行的局域網(wǎng),連接各級(jí)教育內(nèi)部局域網(wǎng)的廣域網(wǎng),提供信息和社會(huì)化服務(wù)的國(guó)際互聯(lián)網(wǎng)。它具有訪問(wèn)方式多樣,用戶群龐大,網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。網(wǎng)絡(luò)的安全問(wèn)題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為保證網(wǎng)絡(luò)的安全性,一般采用以下一些策略:
