時間:2023-09-18 17:34:16
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡安全解決方案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
摘 要 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終。 關鍵詞 信息安全;pki;ca;vpn 1 引言 隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。 隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。 在下面的描述中,以某公司為例進行說明。 2 信息系統現狀 2.1 信息化整體狀況 1)計算機網絡 某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1 2)應用系統 經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2 信息安全現狀 為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3 風險與需求分析 3.1 風險分析 通過對我們信息系統現狀的分析,可得出如下結論: (1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。 (2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。 通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在: (1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。 當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。 針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。 美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。 (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。 已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。 網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。 3.2 需求分析 如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點: (1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。 (2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。 (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。 (4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。 4 設計原則 安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。 4.1 標準化原則 本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。 4.2 系統化原則 信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。 4.3 規避風險原則 安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。 4.4 保護投資原則 由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。 4.5 多重保護原則 任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。 4.6 分步實施原則 由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5 設計思路及安全產品的選擇和部署 信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。 圖2 網絡與信息安全防范體系模型 信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施 證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標: 身份認證(authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。 數據的機密性(confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。 數據的完整性(integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。 不可抵賴性(non-repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。 5.2 邊界防護和網絡的隔離 vpn(virtual private network)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。 通過安裝部署vpn系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程lan的安全連接。 集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。 集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3 安全電子郵件 電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。 目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關系基本是樹狀的。其次, s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4 桌面安全防護 對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。 桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。 1)電子簽章系統 利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入office系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。 2) 安全登錄系統 安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。 3)文件加密系統 文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。 5.5 身份認證 身份認證是指計算機及網絡系統確認操作者身份的過程。基于pki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用usb key內置的密碼算法實現對用戶身份的認證。 基于pki的usb key的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實施方式 網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。 圖3 因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作: (1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。 (2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。 (3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。 (4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。 7 結論 本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。 也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。 參考文獻 [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》
關鍵詞:企業網 網絡安全 安全體系 入侵檢測 病毒防護
隨著互聯網技術的發展,在企業中運用計算機網絡進行各項工作更加的深入和普及,通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點,使安全問題在企業網絡的運行與管理中格外突出,研究構建、完善基于企業網的信息安全體系,對企業網安全問題的解決具有重要意義。
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二) 企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。
圖4-1 企業網絡安全體系應用解決方案
結 語
本文通過對企業網絡特點及所面臨的安全風險分析,從網絡安全系統策略與設計目標的確立出發,依據企業網絡安全策略設計,構建相對比較全面的企業網絡安全體系,并參照設計、構建的企業網絡安全體系,給出了一個較全面的企業網絡安全解決方案。對促進當前我國企業網絡普遍應用情況下,企業網絡安全問題的解決,具有重要意義。
參考文獻:
[1]方杰,許峰,黃皓.一種優化入侵檢測系統的方案[J.]計算機應用,2005,(01).
[2]李瑩.小型分布式入侵檢測系統的構建[J].安陽工學院學報,2005,(06).
1企業網絡安全需求分析
1.1網絡安全概念及特征
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示。互聯網域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
2.2.4部署漏洞掃描系統方案漏洞掃描是基于漏洞數據庫,通過掃描檢測遠程系統或本地系統漏洞行為,與防火墻、IDS配合以提高網絡安全性,掃描對象包括網絡、主機和數據庫。漏洞掃描運用的技術有主機在線掃描、端口掃描、操作系統識別、漏洞監測數據采集、智能端口識別、多重服務檢測、系統滲透掃描等。漏洞掃描系統部署方式包括獨立式部署和分布式部署。前者適于比較簡單的網絡結構,例如電子商務、中小企業等;后者適于復雜、分布點多、數據相對分散的網絡結構,例如政府、電力行業、金融行業、電信運營商等。圖1為采用獨立式部署的漏洞掃描系統方案。
第二屆國家網絡安全宣傳周近日在北京中華世紀壇如期舉行,本屆宣傳周沿用首屆“共建網絡安全,共享網絡文明”主題。期間,騰訊與啟明星辰聯合宣布達成戰略合作,并面向企業市場推出全面的終端安全解決方案――云子可信網絡防病毒系統,建立國內強強聯合的企業安全服務戰略聯盟,為“互聯網+”國家戰略落地提供終端安全服務。
安全行業加速整合
啟明星辰副總裁兼首席戰略官潘柱廷表示:“新時期企業安全形勢已經發生了巨大變化。企業防御需求,從合規性需求向內在需求變化,而網絡入侵等安全威脅也越來越體系化、形勢更加嚴峻。”啟明星辰、騰訊的戰略合作,凸顯中國自主安全技術聯盟的實力,符合國家網絡強國的戰略方針。
過去,無論是企業終端安全,還是用戶終端安全,不同領域內的安全廠商雖均有推出自己主打的安全產品,但國內的企業終端安全服務市場分散,行業整合度不高,企業終端安全產品在安全防護上大多是孤軍奮戰,不同廠商之間難以形成產品聯動,鮮有及時聯動的完整的企業終端安全解決方案;近兩年頻繁發生的企業網絡遭受攻擊、用戶數據泄露事件,引發安全廠商對企業終端安全問題的關注。
騰訊副總裁馬斌認為,互聯網化呈現了三個業態,分別是智能化、數據化和實時化,其中最重要的一點就是互聯網的安全,騰訊認為互聯網+安全才能更加有效的保證互聯網化的順利進行。
面對互聯網的發展與變化,各行各業都在進行朝向“互聯網+”的轉型,無論是國家級,企業級或是個人用戶都在做“互聯網+”的建設,而在云、管、端的每個層面都需要構筑完善,“互聯網+”要如何才能在安全的生態環境下進行是一個重要的課題,啟明星辰首席戰略官潘柱廷表示:“安全在‘互聯網+’的進程中已經不止是‘加’的關系,而是‘乘’的關系。”反過來說,如果對網絡安全的問題沒有投入足夠的注意力,那么之前在互聯網方面的積累可能會變成一種災害,企業必須提升網絡安全建設水平。
安全廠商需要各抒己長、協同合作給用戶帶來最好的網絡安全解決方案。啟明星辰首席戰略官潘柱廷表示:“安全廠商不存在什么‘一招鮮’,而是需要做好自己擅長的,而后同其他企業協同合作一同完善網絡安全體系。”
正如啟明星辰副總裁歐陽梅雯所言:“企業級的市場很大,只有一家供應商是不健康的,只有多家供應商共同為用戶服務,有競爭,有相互合作,也有追趕,才能為用戶提供最健康的生態環境。我們希望和友商之間,通過良性競爭的方式讓用戶得到最安全、最實惠、最好的產品。”
在此背景下,騰訊與啟明星辰的合作秉承“開放、聯合、共享”的原則,通過開放騰訊安全云庫的能力給啟明星辰,結合啟明星辰對網絡安全的深層理解和安全產品研發能力,為國內企業級市場提供安全產品,并希望以此來推動“互聯網+”的落地與演進。
優勢互補
共筑企業安全生態圈
據了解,云子可信結合了啟明星辰在企業級市場安全威脅管理方面近20年的深厚技術沉淀,以及騰訊在終端安全防護領域長達16年的深厚技術積累,可謂繼承了雙方的“最強基因”。馬斌表示,云子可信是“雙方打破壁壘,實現強強聯合、優勢互補,針對企業內網終端用戶容易遇到的各類問題,提供一整套的完整終端管控安全解決方案。”
據了解,通過雙方的技術結合,云子可信解決方案打通B端企業和C端用戶,在全球首創了B端企業+C端用戶雙向溝通的高效管理模式――全景、全面、高效的全方位管理模式,構建了企業安全的新生態。
云子可信網絡防病毒系統顛覆了傳統企業安全防護產品的運營模式,首次采取“安全+管理”的一體化架構,并融合了騰訊TAV自主研發殺毒引擎、安全云庫、云引擎等核心技術優勢,以及啟明星辰多年服務企業安全的運營經驗,代表了中國自主企業安全的最好水平。
根據雙方達成的戰略協議,云子可信網絡防病毒系統將由啟明星辰負責產品和渠道運營,而騰訊輸出引擎和云服務等核心技術。啟明星辰是國內信息安全行業的領軍企業,擁有橫跨防火墻/UTM、入侵檢測管理、網絡審計、終端管理、加密認證等技術領域共計百余個產品型號,同時還是我國規模最大的國家級網絡安全研究基地。啟明星辰曾完成包括國家發改委產業化示范工程,國家科技部863計劃、國家科技支撐計劃等國家級科研項目近百項,擁有豐富的企業級安全產品設計、開發經驗。
云子可信網絡防病毒系統致力于為企業級用戶提供終端的全面安全防護,并有以下特色:
云部署模式――云子可信網絡防病毒系統采用了云部署模式,一方面通過檢測特征云的方式,及時更新至病毒特征庫;另一方面,為企業級用戶提供了云查殺的模式,減少客戶端PC的額外計算開銷,提升用戶的使用體驗。
一鍵安全――云子可信網絡防病毒系統充分考慮了終端安全產品使用習慣,摒棄了復雜的交互界面,提供一鍵式安全防護。
管理+安全――云子可信網絡防病毒系統不僅僅是殺毒軟件,針對企業內網終端用戶容易遇到的各類問題,如機器變慢甚至死機、關鍵信息泄露、越權的網絡訪問等,也提供了相應的解決方案。實現了真正意義上的完整終端管控安全解決方案。
此外,云子可信的惡意代碼分析技術即源于啟明星辰ADLab――多年來一直保持亞洲地區CVE漏洞數量領先的地位,在惡意代碼分析技術方面也有著深厚的技術積累。
騰訊安全則將全球最大的風險管理數據庫――安全云庫開放給云子可信,讓這套終端安全威脅整體解決方案可以為用戶提供強有力的安全檢測能力,避免由于訪問惡意域名導致的各類損失,維護用戶的安全上網環境。騰訊自主研發的TAV反病毒引擎對于木馬、病毒、蠕蟲、僵尸程序等均有極高的識別和處理能力,通過云子可信結合云查殺的虛擬執行技術,可以對各類復雜甚至是未知惡意代碼進行完美識別和查殺,同時保證終端用戶的使用體驗。
高性能網絡安全解決方案供應商飛塔(Fortinet)近日新版“Security Fabric”架構。擴展后的新版“Security Fabric”架構可以幫助企業防御呈指數級增長的物聯網網絡威脅,為用戶提供可見、可控、彈性、可集成的部署。這一架構的升級將有效防御日益普及的物聯網設備帶來的復雜攻擊。
最近發生的物聯網攻擊事件表明,一些物聯網設備可以被不法分子利用,擾亂數字經濟正常運作。由于一些物聯網設備缺乏基本的安全特性和管理功能,更讓這些問題雪上加霜。
因為涉及從平板電腦到云端應用程序的眾多設備和應用環境,所以對于需要保持數據安全的企業來說,如何構建合理的安全架構是一個重大挑戰。當前一些針對端點的安全產品和平臺安全解決方案缺乏監測物聯網攻擊所需的可見性和可控性,效果不理想。
飛塔首席信息安全官菲兒?奎德(Phil Quade) 表示:“當前,惡意網絡攻擊者越來越多地將目標指向數以億計的在線物聯網設備,使物聯網成為危機四伏的風險地帶。企業實施的安全解決方案必須能夠識別和分析這些威脅,使其基礎設施可以防御物聯網帶來的大規模攻擊。現在,‘Security Fabric’架構可以使企業獲得穩健的安全能力,提供可見性和自動化管理方式,使物聯網安全防御更有效。”
要成功防護物聯網和云的廣闊覆蓋范圍,“Security Fabric”架構的部署可使企業組織機構間的防御協調一致,整個基礎設施可以提供所有安全設施的可見性,包括網絡分段和端到端防o的狀態。為了增強企業基礎設施抵御物聯網威脅的能力,該架構具備三方面功能。
第一,該架構具備出色的學習能力。高度可視化是對物聯網設備進行安全認證和分類、構建風險概況并根據識別的可信度分配物聯網設備組的關鍵。作為“Security Fabric”架構的核心,FortiOS 提供對每個安全要素和企業網絡組件的全部IT視角和可見性。這使IT管理能夠識別并管理其基礎設施內部關鍵節點的物聯網設備和流量。
第二,該架構可以對網絡設備進行分段管理。企業需要將物聯網設備和通信分為策略驅動的群組,并授予特定物聯網風險適合的基準權限。飛塔的內網分段防火墻支持企業對其網絡和設備進行微分段,使IT系統能夠根據特定設備類型和網絡訪問需求,采用分層安全策略。
第三,該架構可以對網絡節點進行有效防護。“'Security Fabric”架構可以關聯物聯網安全事件和威脅情報,以便對物聯網威脅做出同步響應。“Security Fabric”架構還可以對網絡內部多個節點感染病毒的物聯網設備進行隔離和修復,以遏制威脅傳播并確保惡意流量無法波及重要的IT系統或企業數據。
“'Security Fabric”架構可以為全球大型企業的橫跨工業應用和公用事業的關鍵物聯網設備提供安全防護。
飛塔已打好持續創新的基礎,其“Security Fabric”旨在提供基于智能的網絡安全。借助基于智能的網絡安全,企業只需將業務需求轉化為同步的網絡安全動作,無需人為干涉就能夠自動執行物聯網戰略和運營。飛塔積極推動物聯網安全創新的發展,并擁有數十項已授權和申請中的物聯網安全專利。
在今年RSA大會上,菲兒?奎德在分析美國關鍵基礎設施和關鍵資源(Critical infrastructure & key resources,CIKR)安全性的宏大標題下,并沒有局限于技術的細節,而是從產業的角度力主政府與安全公司的融合與合作,并稱之為一種“可持續發展的策略”。
如果你哪天早上上網看到一則因BYOD而引起的嚴重安全漏洞事件,并給企業造成損失,不要驚訝。
近兩年來 iOS、Android以及Windows Phone平臺迅速發展,移動互聯網也得到了快速的發展,但隨之而來的就是日益突出的移動互聯網安全問題。
企業員工將自己的移動終端接入到公司網絡用于日常工作的行為被稱作BYOD(Bring Your Own Device,即個人自備設備),這已經很普遍。
但對于企業IT部門來說,BYOD不僅僅帶來移動設備管理難題,更大的挑戰在于如何針對BYOD制定安全策略,實現企業網絡的機密性和完整性的需求將更加迫切。
正是看中這一市場的潛力,目前國內外相關安全廠商紛紛推出了企業級移動解決方案,企業級移動安全市場正在升溫。
BYOD給企業帶來安全困擾
知名應用交付網絡(ADN)領域廠商F5 Networks公司今年2月的一份報告顯示,BYOD、虛擬化、越來越復雜的攻擊手法正在讓企業安全面臨越來越大的問題。
這份F5 Networks公司年度RSA會議上的安全趨勢調查報告指出 ,近半的受訪者承認傳統的安全防御措施在面對這些新技術趨勢中越來越無力,三分之一的受訪者稱他們的安全系統的敏捷性比較欠缺。
受訪者們均表示BYOD對企業安全決策是一個關鍵性影響因素,很多受訪者承認他們還沒準備好抵御BYOD相關安全問題的措施。此外,三分之二的受訪者表示BYOD對安全存在很大的影響。
顯然,因為風險和威脅的不斷變換和提升,員工行為、業務優先級和基礎設施等因素都對安全措施提出了更長遠的要求,找到合適的安全管理工具已經是必然和必須的了。
伴隨隨IT消費化在企業應用中的進一步滲透,企業員工攜帶移動設備辦公BYOD趨勢早已推波助瀾,移動以獨特的創新方式全方位沖擊著企業IT的變革,不可置疑,除滿足企業業務需求之外,對于解決突如其來的企業IT安全問題也諸將給企業帶來一定的挑戰。
卡巴斯基實驗室亞太區技術總監王南認為,企業IT管理員的基礎職責也開始發生變化,面臨的困難也越來越多,除了每天應對各種針對企業的復雜惡意軟件的攻擊之外,現在還面臨安全復雜性的挑戰,如:企業員工在全球任何各種地方均可以通過智能手機和平板電腦訪問企業網絡,企業員工期望使用自己的移動設備和計算機完成工作,企業機密數據在企業網絡內自由交換,或者在網絡外通過筆記本電腦和USB存儲設備交換,查明并修補用戶應用程序和操作系統中的安全漏洞等。
毫無疑問,這些挑戰是BYOD時代所特有的,BYOD為IT管理員的工作增加了巨大的復雜性,IT管理員疲于應對各種安全問題,不得不為每種安全問題考慮和購買最新的工具,其中包括移動設備管理、系統漏洞管理、數據加密保護等安全解決方案,這些最新工具和現有的反惡意軟件技術捆綁在一起,讓IT管理員管理網絡更為復雜,而且安全性并沒有得到保障。
企業級移動安全市場成競爭熱點
正是看中這一市場的巨大需求,目前國內外廠商紛紛推出BYOD安全產品。
沉寂三年,國際安全廠商卡巴斯基于3月26日,新一代企業安全解決方案,據悉,此次新品主要面向企業及行業用戶,該全新解決方案新功能和采用的新技術主要有:移動安全和設備管理系統,數據保護加密系統,端點控制工具,系統管理平臺,網絡安全管理中心以及業內領先的反惡意軟件保護。
卡巴斯基技術開發(北京)有限公司副總經理鄭啟良表示,2012年我國移動用戶數量已成為世界首位,而惡意程序樣本已經比2011年增加25倍,而APT攻擊已經嚴重威脅到企業的數據安全。
鄭啟良介紹,卡巴斯基此次推出的網絡安全解決方案正是應對了企業這一需求,此解決方案是一單的統一安全平臺,通過一體技術、一個平臺和一次成本投入能夠為企業提供及時有效的安全保護。
而企業級安全市場賽門鐵克也于今年1月賽門鐵克4.0戰略,賽門鐵克中國區總經理余亮表示,“現在,很多人習慣帶著自己的手機、移動設備去企業辦公,如果不能保證這些移動設備、移動應用和數據的安全,那么個人在使用這些移動設備訪問企業內的數據時,就會給企業的信息安全帶來威脅。超越BYOD,賽門鐵克又提出了一個新的理念,就是BYOE(Bring Your Own Everything)。在BYOE時代,信息安全將成為信息系統及應用的基礎,是重中之重。”
在2013年世界移動通信大會上,三星公司推出了一款移動安全軟件KNOX。與此同時,三星公司和移動軟件管理公司Red Bend軟件公司合作,推出BYOD的True解決方案。
此外,國內安全廠商也已經看見這一商機,網秦、華為等公司已經開始行動。
早在去年5月,網秦公司宣布已經完成對北京國信靈通網絡科技有限公司55%股份的收購,借助此項收購,網秦將實現在企業級移動應用市場的布局,成立于2005年的國信靈通主要為企業級客戶提供各種移動服務,BYOD安全管理也是其服務之一。網秦CEO林宇曾在年初對記者表示,企業級安全市場是網秦2013年的主要發力點之一。
【關鍵詞】企業網絡 深度防御 安全管理
信息技術快速發展,計算機網絡的應用日益廣泛,企業的生產和管理越來越依賴于網絡。但是,網絡本身所具有的一些比如聯結性、開放性等屬性,導致其難以徹底避免一些惡意行為的攻擊。一方面給企業帶來巨大的利益損失,另一方面也影響了企業正常生產辦公。因此,怎樣提升企業網絡的可靠性,逐步受到企業管理者的重視。
一、企業網絡系統的安全現狀
隨著企業信息化管理的發展,企業的網絡規模也在持續增加,隨之增大的是企業網絡的信息安全風險。由于企業在網絡建設方面的投入,新的信息終端和交換設備不斷增加,因此其內部網絡所受安全事件的威脅的幾率也在隨時增大,大型的企業往往具有不少的分支機構,造成了網絡設備分布的地理位置比較分散,網內計算機安全問題亟待解決,這是所有大型企業必須面對的問題。所以,企業必須構建一套信息安全管理軟件,才能實時監控網絡內部的各終端設備,使之受到盡可能小的安全威脅。此外,無論是核心網絡還是分支部門的網絡,都必須定期進行統一的補丁分發與移動存儲管理,以保障基本的信息安全。
二、企業網絡安全實現的目標
結合現階段企業內部網絡的安全現狀,企業網絡安全需實現的目標至少包括:嚴密監視來自業務支撐網外部的各種類型訪問,必須掌握每一次訪問的來源、所讀取的具體對象和訪問的具體類型,一方面支持合法訪問,另一方面杜絕非法訪問;對異常訪問能夠做到預防和處理;對流經支撐網內的所有數據包進行有效監控,實時分析這些數據包的協議類型、目的地等,從而防止信息安全隱患。有效監控的內容有:對網絡中的黑客入侵行為進行檢測;對各種主機設備的數據流量進行實時分析,實現信息安全的動態防護;結合具體的標準和方法對企業內部網絡信息安全進行周期性評估,及時補救網絡安全弱點,排查安全隱患。
三、企業網絡安全系統的設計及實現
(一)安全規則層的設計
在這一層次中,為了保證企業內部運營中的網絡資源及客戶機的安全,首先結合企業實際情況,定義一系列規則,當發生違反這些規則的網絡行為時,則觸發系統的風險應急機制。在制定規則時,對每一類網絡行為對企業信息安全造成的風險歸納為不同的等級。制定這些等級的一句是該企業運營對這些信息在機密性、可用性、完整性及不可抵賴性的具體要求。在所指定的等級之下對企業信息安全造成威脅的行為進行分類。
與此同時,對攻擊所帶來的風險進行等級劃分,依次劃分為低級風險、中級風險與高級風險。所謂低風險,指的是網絡系統遭受入侵之后,并不會造成任何資金流失,也不會擾亂運營管理。所謂中級風險,指的是網絡系統遭受入侵之后,會造成輕度資金流失,在一定程度上擾亂運營管理。所謂高級風險,指的是網絡系統遭受入侵之后,會造成比較明顯的資金流失,極大程度地擾亂運營管理。
(二)安全措施層的設計
在這一層次中,主要設定在網絡安全之下所具體選用的安全技術與采納的實施方法,結合企業信息系統的安全目標,結合安全規則層所指定的安全事件和安全等級,給出有針對性的解決方案。安全措施層對于一種類型的安全行為可以給出多個安全方案,舉例來講,在發現有用戶進行非法授權的訪問操作時,一個可能是由于遭受了網絡攻擊,另一個可能則是用戶的誤操作。此時可以采取的方案包括對用戶發出警告、阻止連接和強制關閉主機等。
(三)安全決策層的設計
在這一層次中,主要任務是結合具體的方案來解決信息系統安全問題。依舊延續安全措施層的實例,當用戶的非法授權訪問時首次發生的,則方案(1)對用戶發出警告則可以解決;而假若該用戶反復進行非法訪問,則方案(3)強制關閉主機效果最好。
四、企業網絡安全解決方案實例
本文選擇安全防御系統中相對重要的功能模塊--重定向模塊,并闡述其具體設計方法。企業網絡在遭受外界攻擊時,首先丟失的是被黑客掃描竊取的內部主機的操作系統、服務、端口等信息。在獲取這些信息之后,便會通過緩沖溢出或者蠕蟲等方法找到主機本身所存在的安全漏洞,對主機系統進行操縱。本文引入蜜罐技術,所設計的重定向模塊的主要功能便是在攻擊發生的初期,快速隔斷為企業網絡帶來安全威脅的連接。具體實現方法為,該模塊首先在網絡驅動接口規范中間層進行數據過濾,獲取從外部流進企業內網主機的數據包,針對具體類型的端口,以網絡主機事先所維護的可疑端口表,對這些數據包進行過濾,一旦找到對可疑端口進行訪問的數據包,則將其判定為一次可疑訪問,此時,修改該數據包的相關參數和屬性,同時,把此次訪問列為可疑訪問,并引導進通信隊列之中,這些數據包直接越過系統的上層協議,轉發至蜜罐來繼續跟蹤和分析。以相同的方法將蜜網所反饋的數據處理后發送給可能的攻擊者。
為了使蜜罐系統能夠有更加逼真的模擬效果,本設計在蜜罐系統上完全仿照實際網絡系統的主機而部署相同的OS、協議棧、以及相關服務,從而在最大限度上使蜜罐與實際系統中的客戶機或服務器相類似。具體的操作為,啟動蜜罐設置系統,進入蜜罐的配置菜單。
在進行配置的時候,使用蜜罐系統所提供的menu命令進入界面,結合企業網絡的實際特征,本文所配置的內容有:管理機IP、蜜罐IP、TCP連接以及Secure Shell管理連接等。然后在蜜罐系統對客戶機進行模擬,并配置諸如辦公軟件等常用軟件,對服務器進行模擬,開通各類網絡應用服務,從而基于典型服務端口來對多個可以訪問進行引誘。同時,出于進一步迷惑網絡攻擊者的目的,還要設置成允許網絡攻擊者進行更多的操作,而蜜罐系統中并未存儲企業真正的數據與信息。在對具體連接方式進行設置的時候,通過custom使之能夠鏈接vmnet2,并通過蜜罐系統抵達外網。在安裝Sebek時,考慮到其Linux版本與Windows版本,分別進行不同安裝文件的配置。
總之,企業在日常的信息化管理中,必須通過合理有效的安全措施,來避免由于網絡安全而帶來的不必要經濟損失。
關鍵詞:安全連接;防火墻;VPN;SSL
Abstract:With the continuous development of the Internet,the company's internal network size is also increasing,mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network,thereby protecting the internal security of the information.
Keywords:Secure connection;Firewall;VPN;SSL
1 引言
互聯網絡發展至今,改變了人們的生活方式和企業的經營方式,通過Internet可以進行交易、查詢、傳遞信息及視頻互動等,更成為企業快速獲得信息的重要渠道。隨著網絡范圍、用戶數量的不斷擴展,企業的網絡安全問題日趨嚴重,由于計算機系統的安全威脅,給組織機構帶來了重大的經濟損失。在所有安全威脅中,外部入侵和非法訪問是最為嚴重的安全事件[1]。
隨著互聯網的發展和攻擊者工具與手段的升級,網絡管理需要考慮整個安全體系的綜合協調性。隨著網絡技術的迅猛發展,Internet已成為主流的低成本通訊構架,它給人們的生活和工作帶來了極大方便。但是,在開放式因特網通信中,信息傳輸的安全性和私密性卻得不到很好的保障。VPN(Virtual Private Network,簡稱VPN)技術[2]是當前廣泛應用的安全傳輸技術之一。將防火墻與VPN結合應用的技術可以解決這樣問題,從而提升企業內部網絡的安全性。
2 VPN網絡的安全設計
2.1 VPN系統的網絡結構
VPN即虛擬專用網絡,是通過公用網絡建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常,VPN是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
特點:
(1) 安全保障:VPN通過建立一個隧道,利用加密技術對傳輸數據進行加密,以保證數據的私有和安全性。
(2) 服務質量保證(QoS):VPN可以不同要求提供不同等級的服務質量保證。
(3) 可擴充性和靈活性:VPN可支持通過Internet和Extranet的任何類型的數據流。
(4) 可管理性:VPN可以從用戶和運營商角度方便地進行管理。
2.2 VPN系統的關鍵技術
(1) 安全隧道技術
(2) 用戶認證技術
(3) 訪問控制技術
2.3 VPN系統的工作流程
VPN系統建立安全連接的主要流程如下:
安全連接的建立流程
當安全連接建立之后,客戶端就可以和內網中的主機在傳輸加密子模塊的控制下進行安全通信,從而形成了一個專用網絡。
3 VPN與防火墻結合的安全解決方案
3.1 網絡邊界安全解決方案
防火墻是一個網絡的安全核心,其演變經歷了五代。第五代,即新一代防火墻超出了原來傳統意義上防火墻的范疇,已經演變成一個全方位的安全技術集成系統。
(1) 防火墻在企業各機構間的部署
防火墻被部署在企業各機構的內部與外部網絡之間。內部和外部網絡被完全隔離開,所有來自外部網絡的服務請求只能到達防火墻,防火墻對收到的數據包進行分析后將合法的請求傳送給相應的內部服務主機,對于非法訪問加以拒絕。內部網絡的情況對于外部網絡的用戶來說是完全不可見的。由于防火墻是內部網絡和外部網絡的唯一通訊信道,因此,防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。
邊界防火墻通過源地址過濾,拒絕外部非法IP地址,有效地避免了外部網絡上與業務無關的主機的越權訪問。防火墻可以只保留有用的服務,將其他不需要的服務關閉,可將系統受攻擊的可能性降低到最小限度。邊界防火墻可以進行地址轉換工作,外部網絡不能看到內部網絡的結構,使黑客攻擊失去目標。
(2) 防火墻在企業各機構內部的部署
企業的計算機網絡是一個多層次、多節
點、多業務的網絡,各節點間的信任程度較低,但由于業務的需要,各節點和服務器群之間又要頻繁地交換數據。在這樣一個擁有很多分支機構的大型企業網絡環境中,保證網間安全是非常重要的。大型企業在其每個分支機構和總部之間的網絡連接都必須設置防火墻,確保內部子網間的安全性。在同一機構的各個部門也要根據具體情況設置部門級的防火墻。企業內的主要部門都有自己獨立的防火墻,實現部門內網和外部的隔離。各部門內部的對外訪問由各自的防火墻控制,同時部門的防火墻也防止了部門外部試圖對部門內部的訪問。
企業計算機網絡中設置多層次的防火墻后,一方面可以有效地防范來自外部網絡的攻擊行為,另一方面可以為內部網絡制定完善的安全訪問策略,從而使整個企業網絡具有較高的安全級別。
3.2 企業各個所屬機構之間的數據安全傳輸解決方案
通過采用SSLVPN技術,利用Internet可以構建一個基于廣域網的、安全的企業私有網絡。VPN使公司所有網絡在Internet上組成一個安全的、虛擬的大局域網,企業建立VPN之后可以在廣域網環境下建立和局域網環境下一樣的多種應用,包括分布式OA、分布式ERP、分布式CRM、分布式財務管理等。
采用SSL技術通過在公網建立加密的數據隧道,所有數據經過高強度、不可逆的加密及動態密鑰技術進行傳輸,有效地保證了數據的安全性,嚴格地講通過SSLVPN傳輸數據比直接在專網上傳輸明碼數據的安全性更高。
4 小結
本文給出的安全方案為企業的網絡安全應用提供了一個借鑒和參考。在這些系統的實現中,可以根據應用的不同采用適合的網絡安全輔助設備,構建以防火墻為核心的SSLVPN網絡安全體系架構,提高內部網絡的安全系數。
參考文獻
[1]Rebecca Gurley Bace.入侵檢測[M].陳明奇,吳秋新,等,譯.北京:人民郵電出版社,2001.
[2]高海曲,薛元星,等.VPN技術[M].機械工業出版社,2004.
[3]馬春光,郭方方.防火墻、入侵檢測與VPN[M].北京:北京郵電大學出版社,2008.
關鍵詞:網絡安全,用戶意識,解決方案
1、網絡安全的重要性
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用書序、數論、信息論等多種學科。網絡安全是指網絡系統等硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不中斷。具體而言,網絡安全要:保護個人隱私;控制對網絡資源的訪問;保證用戶秘密信息在網絡上傳輸的保密性、完整性、真實性及不可抵賴;控制不健康的內容或危害社會穩定的言論;避免國家及企業機密泄漏等。
隨著企業信息化建設的飛速發展,網絡數據量的迅速增長,網絡安全問題已經越來越受到人們廣泛的關注,各種病毒花樣繁多、層出不窮;系統、程序、軟件的安全漏洞越來越多;黑客們通過不正當的手段侵入他人電腦,非法獲得信息資料,給正常使用網絡的用戶帶來不可估計的損失。很多企業及用戶就曾深受其害。
2、 破壞網絡安全的因素
破壞網絡安全的因素主要包括物理上的、技術上的、管理上的及用戶意識幾個方面。
從物理上講,我網絡安全是脆弱的。就如通信領域所面臨的問題一樣,網絡涉及的設備分布極為廣泛,任何個人或組織都不可能時刻對這些設備進行全面的監控。任何安置在不能上鎖的地方的設施,包括有線通訊線,電話線,局域網,遠程網等都有可能遭到破壞,從而引起業務中斷,如果是包含數據的軟盤,光盤,主機等被盜,更會引起數據的丟失和泄漏。
從技術上講,首先,系統必須提供一定的途徑以許可外系統的訪問;其次,系統必須有足夠的能力對這些訪問進行控制。如果控制技術本身有缺陷,就有可能被攻擊者利用。如在網絡上廣泛應用的Windows2000、WindowsXP等系統都存在自身的缺陷。最后,即使控制技術本身并無缺陷,在選用控制系統時還有一個平衡的問題;控制太嚴,合法用戶的正常使用將受到影響;控制太松,就會有漏洞。要做到恰到好處的控制并不是一件容易的事。
從管理上說,沒有一只高效的網絡安全管理隊伍,沒有一套網絡安全技術培訓和用戶安全意識教育機制,也是造成網絡不安全的一個重要因素。上百個用戶的網絡就靠一兩個網絡管理員來維護,勢必造成頭痛醫頭、腳痛醫腳的局面。
下面就重點分析一下用戶意識因素:
大多數系統是以用戶為中心的。一個合法的用戶在系統內可以執行各種操作。管理人員可以通過對用戶的權限分配,限定用戶的某些行為,以避免故意的或非故意的某些破壞。然而,更多的安全措施必須由用戶自己來完成,比如:
2.1碼控制
一個合理的要求是,由用戶來管理自己的登錄密碼。系統管理員可以更改用戶的密碼,但不能讀取用戶的密碼。用戶必須對自己密碼的安全性、保密性負責。一個不好的(或不安全的)密碼事實上不能起到密碼的作用。在下面的分析中,將進行具體的分析。同樣,如果不能保證密碼的保密性,自然密碼也是虛設。
2.2文件管理
用戶對自己的文件必須負責。對于一般的系統和應用,文件的創建者擁有對文件的全部權限,包括將權限分配給他人的權限。如果缺省設置是文件創建后,僅有文件創建者擁有對文件的權限,其他人必須顯示得到權限分配,問題會小些。然而,多數系統(Microsoft、Windows)對文件權限的設置是:只要沒有顯示的限制,都是可以訪問的。這樣,對文件訪問的安全問題實際上是交給了用戶自己管理。
2.3運行安全的程序
目前在系統一級上,尚無對病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用戶自己判斷。一個用戶只要有寫文件、運行文件的權利,就有可能無意中給系統裝上木馬程序。
2.4保持警惕
這兩年,電子郵件病毒日益猖獗。同前一個問題一樣,電子郵件的安全也只能由用戶自己控制。在瀏覽網頁時,也可能遇上陷阱,這些都要求用戶保持警惕。
3、網絡安全的解決方案
網絡的安全不是單純的技術問題,他和系統的管理維護制度方面密切相關。要實現完整的企業網絡安全性,首先要制定一個完整的企業安全策略。一個完整的企業網絡安全策略涵蓋的內容很多,整個網絡系統的安全性也不僅依賴于安全可靠的網絡操作、應用系統、網絡設備的安全性。
3.1需求、風險、代價平衡分析的原則
對一個網絡要進行實際分析,對網絡面臨的威脅及可能承擔的風險進行定性和定量的分析,然后制定規范和措施,確定本系統的安全策略、保護成本、被保護信息的價值必須平衡。
3.2授權、認證原則
對那些確實需要保護的企業網絡資源(包括設備、軟件、數據等),保證在對這些資源訪問前,用戶必須經過授權和認證,符合身份驗證和授權的用戶才能夠獲得相應的訪問權限。
3.3一致性原則
主要指只有應該具備訪問權的人才能夠獲得相應的訪問資源的賬號。這里要特別注意因為員工更換部門或者離開公司,其相應的權限和賬號也要相應取消。
3.4綜合性、完整性原則
運用系統工具的觀點、方法分析網絡安全的問題,并制定具體措施。一個較好的安全措施往往是多種方法綜合應用的結果。
3.5建立安全監控、報警手段或者機制
可對網絡的安全策略是否得到正確的實施,以及對違反安全策略的行為予以報警,有助于確保整個網絡系統的安全性。
3.6易操作性原則
如果措施過于復雜,對人的要求過高,本身就降低來安全性。
3.7適應性、靈活性原則
安全措施必須能隨網絡性能及安全需求的變化而變化,要容易、適應修改。
在2007年,Microsoft ForeFront家族產品逐一亮相,ISA Server 2006又一次成為人們關注的對象。這一次它不是單打獨斗,而是Microsoft ForeFront陣營里的前排哨兵。作為微軟企業安全解決方案的一部分,ISA Server 2006的特性能否滿足企業網絡的安全需求呢?
企業對網絡安全的需求
綜合性
隨著近兩年越來越多的惡性網絡安全事件的爆發,企業的信息管理者已經感覺到網絡安全問題不再僅僅是網絡中某個環節上的問題,在很多時侯,企業需要全面、綜合地提高自身網絡的安全性能。
防火墻、病毒防護、VPN連接、身份驗證、訪問控制、流量控制、服務器、客戶端安全集中管理、補丁管理、事件報告及報表等網絡安全涉及到的內容,雖然不能完全綜合到一款軟件上,但一個好的網絡安全產品的綜合性是不可或缺的。網絡安全管理者都不希望每種網絡安全方面的部署都要新架一臺服務器來作為支持。
集成性
沒有一個網絡安全管理者希望,在企業的網絡安全的部署中,有一款產品與已經部署好的或者即將部署的產品之間互相對立、格格不入。相反,他們都希望各種產品能相互溝通、相互依存,各自的功能和產生的數據信息能被其它產品所利用,各類產品可以緊密地集成在一起,讓企業網絡安全更清晰可控,更便于部署和管理。
網絡部署中涉及到許多硬件、軟件服務商,在各類產品之間可能存在著意想不到的網絡安全隱患。因此,在部署中需要盡可能地使用產品線比較豐富和完善的廠商的產品,增強產品間的集成性,可以從網絡建立的初期就減少“非受迫性”網絡安全事故。
易用性
眾所周知,IT部門的工作十分忙碌。如果網絡安全產品的復雜度很高,那么IT技術人員就不得不犧牲更多的休息時間去適應企業網絡安全方面的新產品。使用易用性高的產品則可以減少IT技術人員在學習新知識中花的時間,從而更好地專注于企業的網絡安全服務。
另外,并不是每一個公司都有強大的技術團隊來為網絡安全提供保障,一旦網絡安全事件發生,會給企業造成很大的損失。使用一些易用性強的產品,將對企業網絡高效運行提供一定的保障作用。
可用性
如果企業部署的安全產品三天兩頭地Down掉,如一句俗語所說:“泥菩薩過河,自身難保”,那企業網絡還有什么安全可言呢!所以,可用性是網絡安全的最基本的要求。只有網絡安全產品正常可用,它才能起到保護企業網絡安全的作用。
病從口入,禍從口出。網絡邊界的安全是網絡安全中很重要的一個部分。以上的分析表明,企業的網絡安全問題需要一款好的網絡邊界產品。ISA Server 2006就是這樣一款集成的邊界安全網關產品,在用戶對應用系統和數據進行快速而安全的遠程訪問的同時,能夠保護企業IT環境免受來自基于Internet的威脅。
ISA Server 2006的特性
綜合性
ISA Server 2006不但可以作為高效的Web、強大的防火墻、安全的VPN,還可以作為內部服務器的平臺。同時,它可協助企業保護其環境免受內部和來自Internet的威脅。借助――防火墻的混合架構、深入的內容檢查、細化的策略以及全面的報警和監控功能,它能夠更加輕松地管理和保護企業網絡。
通過設置合理的防火墻策略,ISA Server 2006可以控制哪些用戶可以上網、在什么時間上、使用哪些協議、訪問哪些網站等,另外,它可以細化到控制用戶訪問哪種類型的文件,并可以控制含有某些簽名的數據包的傳遞。這樣用戶就可以輕松地對一些IM軟件和P2P軟件進行控制,讓網絡可以更高效地運轉。
攻擊
新威脅每天都在層出不窮,攻擊隨時可能發生,威脅可能來自于垃圾郵件,也可能是由于客戶信用卡號碼等寶貴信息落入他人之手。但是對于小型企業網絡而言,也許最大的威脅就是企業所有者對網絡安全的錯誤認識,并且缺乏保護網絡的熟練技能。小型企業的所有者經常將網絡安全問題排在其它緊迫問題之后,在很多情況下,他們甚至根本不關注網絡安全。
事實上大部分攻擊和安全威脅都是針對一般公眾,而不是特定公司或網絡列為攻擊目標。黑客運行的軟件程序會掃描整個網絡和IP地址范圍,尋找潛在弱點。當他們找到這樣的弱點時,就會控制這些計算機或感染它們,并將這些計算機作為“僵尸網絡”(Zombie army)進行利用,以便發起更大規模的攻擊。
趨勢
信息安全系統通常是由防火墻、入侵檢測、漏洞掃描、安全審計、防病毒、流量監控等產品組成的,但是由于安全產品來自不同的廠商,沒有統一的標準,因此安全產品之間無法進行信息交流,于是形成許多安全孤島和安全盲區。而企業用戶目前急需的是建立一個規范的安全管理平臺,對各種安全產品進行統一管理。于是,UTM產品出現了,并且正在逐步得到市場的認可。
分析多功能網絡安全產品興起的原因不外乎兩點,一是網絡的攻擊型態漸趨多元,企業希望防火墻防御力更強;二是同時啟用防火墻、防毒、IDS的使用者發現,三種不同系統的控制接口難以操作。于是控制界面的復雜性是整合式網絡安全產品興起的主要因素之一。
在原有高端市場面臨飽和,中小型企業網絡安全預算難以負荷,利潤不高的局面下,整合性網絡安全產品成為廠商競爭的重點。那些更容易安裝、管理的安全產品在廠商大力主推下,在本地市場獲得了良好的銷售成績。安全可靠、管理方便是安全設備最大的好處,而這往往也是中小企業對產品的主要需求。
據調查顯示,UTM將成為未來的應用趨勢。UTM是將企業防火墻、入侵檢測和防御以及防病毒等眾多功能結合為一體的設備。據市場調研數據顯示,UTM市場到2008年將占整個信息安全市場的半壁江山,達到57.6%。UTM的一個特點是既可以只用到該產品的某一個專門用途,比如用于網關防病毒或是用于內部的入侵檢測,也可以全面應用所有功能。當UTM作為一種單點產品來應用時,企業能獲得統一管理的優勢,并且也能在不增加新設備的情況下開啟自身需要的任何功能。
不過,一些網絡廠商,像cisco、Enterasys和Junmper,正在把防火墻技術加入路由器,這種技術和產品的結合將對UTM市場形成一定沖擊。
解決
目前客戶需要的不是一堆用途各異的孤立設備。而是一個連貫的安全平臺,并且能夠提供防火墻、內容過濾、邊緣殺毒和虛擬專用網等技術,中央控管是其中的核心。今天,管理企業安全是――個艱難的過程,這需要將缺乏集成和互操作性的不同廠商的不同產品進行綜合。其結果是復雜性加劇和運營成本增加,而且在做出重大安全決策時不得不依賴孤立的安全數據。這都給企業安全管理人員有效開展工作增加了難度。難就難在要在數以百萬的事件中及時發現事故并采取行動,企業的程序管理員需要花費許多時間去做一些冗余的、管理網絡當中復雜的安全基礎設施工作。在這種經濟狀況下,從財政和資源的角度考慮,就有一種利用極少的資源去做更多的事情的壓力。如果有一個能夠自動分析安全警報的安全管理工具幫助企業完成這項工作,企業將能夠讓自己的安全管理人員集中精力到更高價值的事件上來,那同時意味著對企業進行主動的安全保護。
可以說,安全管理平臺是安全策略的支撐系統,不僅向安全管理人員提供制訂安全策略的依據,還可以搜集策略執行的反饋信息,優化和完善安全策略,使安全管理變得可視化、具體化和可操作。所以,企業為了確保網絡安全,除了需要部署全方位的安全產品外,對這些安全產品的管理也同樣重要。尤其對于實時響應能力與積極防御能力要求很高的安全產品而言,良好的管理就顯得更為重要。
應用
UTM產品為網絡安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施,而以往困擾用戶的安全產品聯動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設備,UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能,而用戶既可以選擇具備全面功能的UTM設備,也可以根據自己的需要選擇某幾個方面的功能。更可貴的是,用戶可以隨時在這個平臺上增加或調整安全功能,而任何時候這些安全 功能都可以很好地切、同。現在UTM在安全產品市場上一路高歌猛進,其成長速度已經達到了兩位數。除了新增的市場份額之外,受到UTM侵蝕的安全產品主要是防火墻設備和實現VPN功能的產品。按照目前的情況來估計,UTM產品的發展在未來的幾年中仍會保持較高的增長速度,并有望成為主流的信息安全產品。
現在有很多針對中小企業信息安全的探討,其中一個焦點問題就在于市場上缺乏適合中小企業需要的安全解決方案。UTM產品在中小企業市場的應用,至少可以在兩個方面緩解這一問題。中小企業的資金流比較薄弱,這使得企業在信息安全方面的投入總顯得底氣不足。而整合式的UTM產品相對于單獨購置各種功能,可以有效地降低成本投入,這無疑為中小企業實施信息安全提供了一個非常具有吸引力的選擇。而由于UTM的管理比較統一,能夠大大降低在技術管理方面的要求,彌補中小企業在技術力量上的不足。這使得中小企業可以最大限度地降低對安全供應商的技術服務,有利于中小企業用戶建立更加合理和真實的解決方案。
關鍵詞:網絡;VPN;金融;信息;安全
在現代金融行業里,計算機網絡有著廣泛全面的應用,現代金融管理正朝著電子化、信息化、網絡安全化的方向在發展,尤其是網絡信息安全化發展的VPN技術在現代金融行業管理中起著越來越重要的作用。
一、現代金融網絡系統典型架構及其安全現狀
就金融業目前的大部分網絡應用而言,典型的省內網絡結構一般是由一個總部(省級網絡中心)和若干個地市分支機構、以及數量不等的合作伙伴和移動遠程(撥號)用戶所組成。除遠程用戶外,其余各地市分支機構均為規模不等的局域網絡系統。其中省級局域網絡是整個網絡系統的核心,為金融機構中心服務所在地,同時也是該金融企業的省級網絡管理中心。而各地市及合作伙伴之間的聯接方式則多種多樣,包括遠程撥號、專線、Internet等。
從省級和地市金融機構的互聯方式來看,可以分為以下三種模式:(1)移動用戶和遠程機構用戶通過撥號訪問網絡,撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式;(2)各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接;(3)合作伙伴(客戶、供應商)局域網通過專線或公共網絡與總部局域網連接。
由于各類金融機構網絡系統均有其特定的發展歷史,其網絡技術的運用也是傳統技術和先進技術兼收并蓄。通常在金融機構的網絡系統建設過程中,主要側重于網絡信息系統的穩定性并確保金融機構的正常生產營運。
就網絡信息系統安全而言,目前金融機構的安全防范機制仍然是脆弱的,一般金融機構僅利用了一些常規的安全防護措施,這些措施包括利用操作系統、數據庫系統自身的安全設施;購買并部署商用的防火墻和防病毒產品等。在應用程序的設計中,也僅考慮到了部分信息安全問題。應該說這在金融業務網絡建設初期的客觀環境下是可行的,也是客觀條件限制下的必然。由于業務網絡系統中大量采用不是專為安全系統設計的各種版本的商用基礎軟件,這些軟件通常僅具備一些基本的安全功能,而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統的安全性,如考慮不周很容易留下安全漏洞。此外,金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障,Internet服務提供商(ISP)采取的安全手段都是為了保護他們自身和他們核心服務的可靠性,而不是保護他們的客戶不被攻擊,他們對于你的安全問題的反應可能是提供建議,也可能是盡力幫助,或者只是關閉你的連接直到你恢復正常。因此,總的來說金融系統中的大部分網絡系統遠沒有達到與金融系統信息的重要性相稱的安全級別,有的甚至對于一些常規的攻擊手段也無法抵御,這些都是金融管理信息系統亟待解決的安全問題。
二、現代金融網絡面臨的威脅及安全需求
目前金融系統存在的網絡安全威脅,就其攻擊手段而言可分為針對信息的攻擊、針對系統的攻擊、針對使用者的攻擊以及針對系統資源的攻擊等四類,而實施安全攻擊的人員則可能是外部人員,也可能是機構內部人員。
針對信息的攻擊是最常見的攻擊行為,信息攻擊是針對處于傳輸和存儲形態的信息進行的,其攻擊地點既可以在局域網內,也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性,攻擊者可以不動聲色地竊取并利用信息,而無慮被發現;犯罪者也可以在積聚足夠的信息后驟起發難,進行敲詐勒索。此類案件見諸報端層出不窮,而未公開案例與之相比更是數以倍數。
利用系統(包括操作系統、支撐軟件及應用系統)固有的或系統配置及管理過程中的安全漏洞,穿透或繞過安全設施的防護策略,達到非法訪問直至控制系統的目的,并以此為跳板,繼續攻擊其他系統。由于我國的網絡信息系統中大量采用不是專為安全系統設計的基礎軟件和支撐平臺,為了照顧使用的方便性而忽略了安全性,導致許多安全漏洞的產生,如果再考慮到某些軟件供應商出于政治或經濟的目的,可能在系統中預留“后門”,因此必須采用有效的技術手段加以預防。
針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識不強、管理制度松弛、認證技術不嚴密的特點,通過種種手段竊取系統權限,通過合法程序來達到非法目的,并可在事后嫁禍他人或毀滅證據,導致此類攻擊難以取證。
針對資源的攻擊是以各種手段耗盡系統某一資源,使之喪失繼續提供服務的能力,因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊,即攻擊者利用其所控制的成百上千個系統同時發起攻擊,迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現有的網絡架構,尤其是Internet以及TCP/IP協議的固有缺陷,因此在網絡的基礎設施沒有得到大的改進前,難以徹底解決。
金融的安全需求安全包括五個基本要素:機密性、完整性、可用性、可審查性和可控性。目前國內金融機構的網絡信息系統應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題,即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題。網絡系統需要解決的關鍵安全問題概括起來主要有:傳輸信息的安全、節點身份認證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。
必須指出:網絡信息系統是由人參與的信息環境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術手段得以有效發揮的基礎。金融行業需要的是集組織、管理和技術為一體的完整的安全解決方案。
三、網絡安全基本技術與VPN技術
解決網絡信息系統安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統進行安全保護,抵抗各種外來攻擊。密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等。
密碼技術是實現網絡安全的最有效的技術之一,實際上,數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下,數據加密是保證信息機密性的唯一方法。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法,這使得它能以較小的代價提供很強的安全保護,在現代金融的網絡安全的應用上起著非常關鍵的作用。
虛擬專用網絡(VPN:VirtualPrivateNetwork)技術就是在網絡層通過數據包封裝技術和密碼技術,使數據包在公共網絡中通過“加密管道”傳播,從而在公共網絡中建立起安全的“專用”網絡。利用VPN技術,金融機構只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相安全的傳遞信息;另外,金融機構還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以安全的連接進入金融機構網絡中,進行各類網絡結算和匯兌。
綜合利用網絡互聯的隧道技術、數據加密技術、網絡訪問控制技術,并通過適當的密鑰管理機制,在公共的網絡基礎設施上建立安全的虛擬專用網絡系統,可以實現完整的集成化金融機構范圍VPN安全解決方案。對于現行的金融行業網絡應用系統,采用VPN技術可以在不影響現行業務系統正常運行的前提下,極大地提高系統的安全性能,是一種較為理想的基礎解決方案。
當今VPN技術中對數據包的加解密一般應用在網絡層(對于TCP/IP網絡,發生在IP層),從而既克服了傳統的鏈(線)路加密技術對通訊方式、傳輸介質、傳輸協議依賴性高,適應性差,無統一標準等缺陷,又避免了應用層端——端加密管理復雜、互通性差、安裝和系統遷移困難等問題,使得VPN技術具有節省成本、適應性好、標準化程度高、便于管理、易于與其他安全和系統管理技術融合等優勢,成為目前和今后金融安全網絡發展的一個必然趨勢。
從應用上看虛擬專用網可以分為虛擬企業網和虛擬專用撥號網絡(VPDN)。虛擬企業網主要是使用專線上網的部分企業、合作伙伴間的虛擬專網;虛擬專用撥號網絡是使用電話撥號(PPP撥號)上網的遠程用戶與企業網間的虛擬專網。虛擬專網的重點在于建立安全的數據通道,構造這條安全通道的協議應該具備以下條件:保證數據的真實性,通訊主機必須是經過授權的,要有抵抗地址假冒(IPSpoofing)的能力。保證數據的完整性,接收到的數據必須與發送時的一致,要有抵抗不法分子篡改數據的能力。保證通道的機密性,提供強有力的加密手段,必須使竊聽者不能破解攔截到的通道數據。提供動態密鑰交換功能和集中安全管理服務。提供安全保護措施和訪問控制,具有抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制。
針對現行的金融機構的網絡信息安全,VPN具有以下優點:(1)降低成本。不必租用長途專線建設專網,不必大量的網絡維護人員和設備投資;(2)容易擴展。網絡路由設備配置簡單,無需增加太多的設備,省時省錢;(3)完全控制主動權。VPN上的設施和服務完全掌握在金融機構自己的手中。比方說,金融機構可以把撥號訪問交給網絡服務商(NSP)去做,由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。
綜上所述,VPN技術使金融行業各部門的內部信息可以跨越公共網絡進行傳輸,如同在各金融機構各部門之間架起眾多的“虛擬專用”的網絡連接線,同時,VPN為每個用戶定義出各自相應的網絡空間,根據使用者的身份和權限,直接將他們引導到應該接觸的信息環境中去,針對目前金融管理的信息安全存在的隱患,VPN技術可以彌補這些缺點。VPN作為廣域網的一種新形式,確實為金融行業在新世紀提供了一個系統實用的技術平臺。總之,VPN技術擁有很吸引人的優點,隨著VPN技術發展的不斷完善,在未來的金融管理信息安全領域里,將會起著至關重要的作用。
參考文獻:
1.戴相龍,桂世鏞.中國金融改革與發展.北京:中國金融出版社,2000.
