时间:2023-06-06 15:45:31
序论:在您撰写网络安全防护手段时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:网络安全;防火墙;技术特征
21世纪全世界的计算机都通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国应建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了。第二,网络的安全机制与技术要不断地变化。第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此,建立有中国特色的网络安全体系,需要国家政策和法规的支持及安全产品生产集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1 网络安全现状
由于政务网、商务网所有业务应用系统都基于一个企业网络系统实现,因此,应用与应用之间难以有效地隔离;同时,用户情况复杂,有的用户属于重要应用岗位,有的属于一般岗位。虽然这些用户对应用的安全服务要求不同,但他们均混杂在一个局域网络,因此对用户较难以分别控制。此外,政务网、商务网应用是基于开放的平台实现的,开放系统平台和开放的通讯协议存在安全缺陷及漏洞,同时也造成了这些应用存在着安全上的隐患。总之,各种应用之间可能存在信息非法访问、存取的机会,这都给政务网、商务网的信息应用的安全运行带来巨大的风险。这些风险包括用户对信息的误用、滥用、盗用以及破坏。对于政务网、商务网等信息应用系统来说,面临的攻击、威胁的主要手段有:病毒、破坏硬件设备、冒充、篡改、窃取等。在网络系统中,无论任何调用指令,还是任何反馈均是通过网络传输实现的,所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保政务网、商务网网络信息的传输安全,主要应注意对网络上信息的监听。对网上传输的信息,攻击者只需在网络的传输链路上通过物理或逻辑的手段,就能对数据进行非法的截获与监听,进而获得用户或服务方的敏感信息。计算机网络上的通信面临以下四种威胁:截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。
2 网络安全管理监控
信息系统安全性起于好的管理。这包括检查所有重要文件和目录的所有者和许可权限,监视特权账户的使用,检查信息的使用及占有情况等。在一个信息系统运行中,影响系统安全的因素很多,但其中50%与管理因素有关。政务网、商务网信息系统较为复杂,一旦信息处理的某个节点或环节出现问题,很可能导致信息系统降低效率或瘫痪。而信息系统单纯依靠人工管理存在较大困难和诸多安全隐患,因此,需要一种手段和技术来保证信息系统的可管理性,并减少信息系统维护的费用。在政务网、商务网等信息系统中,分布式结构和网络计算占了重要地位。随着信息系统规模的扩大,我们会发现一个问题,就是策略的统一性、连续性。我们知道,对于政务网、商务网而言,整个信息系统是一个整体,想保证整体系统的可靠性、可用性和安全性,那么必须保持每一个局部的网络或者主机的安全性和可靠性。现在很多安全方面的隐患是由于整体信息系统的策略实施的不统一造成的。因此,当政务网、商务网制订了企业的整体安全策略时,除了通过规章制度把这些想法传达下去,还要具备相应的技术手段来保证这一点。
对于政务网、商务网这样的用户必须建立一个集中式管理的概念,就是数据和处理能力可以是分散的,但对于管理而言,应该是集中的。而所管理的内容应该包括企业网络中一些重要的信息,如:系统的集中管理、网络的集中管理、应用的集中管理、防火墙系统的集中管理、网络用户的集中管理,以及和这些相关的管理信息的复制、更新和同步。
3 防火墙技术及其发展趋势
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。此外,还有多种防火墙产品正在朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破,并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析、芯片解决计算加速技术,防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作,形成以芯片技术为主导的全系列硬件型安全网关。防火墙下一步的发展与中国下一代网络的建设紧密相关,如IPv6网络、P2P应用、3G、4G网络等等。这里特别强调的是防火墙与IPv6。由于IPv6网络的新特性,如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等,给防火墙带来新的安全挑战。防火墙不仅要及时适应IPv6网络的发展,并解决IPv6引入后带来的新问题,同时,由于IPv6与IPv4网络,网络必然会同时存在IPv4的安全问题与IPv6的安全问题,或由此造成新的安全问题。下一步要考虑的,不仅仅是更适应于网络发展的防火墙模型,可能还会包括网络安全防范与评估方法等。在Internet无所不在的理念下,防火墙等网络安全产品也必将站在可信赖应用与计算环境为基础的角度上设计并解决安全问题。当前基于不同架构设计实现的防火墙都将面临巨大的挑战,为此付出的代价也将是不同的。防火墙技术和产品已经相对成熟,但还存在一定的技术局限性,防火墙仍不能完全满足用户的需求。网络攻防是一对矛盾,用户需求激发技术创新,网络与应用也在日新月异,在关键处理技术上实现创新,并对防火墙在各种网络环境中的实际应用、稳定性与易用性,以及整体网络安全解决方案进行研究,一直会是防火墙技术的重要内容。因此,防火墙技术将持续快速发展,技术突破将必然带来新的天地。
4 结论
计算机网络安全是在攻击和防御的技术和力量此消彼长中的一个动态过程。根据前面的分析,当前的网络安全具有很多新的特点,整体的状况不容乐观。网络安全企业和专家应该从这些特点出发,寻找更好的解决之道。
无论是教学目标的要求,还是社会的发展需要,网络工程的教学工作都要将学生动手能力以及实际操作能力作为根本的培养目标,不仅要革新教学理念,更要不断的引进先进的教学方法,让学生在虚拟的条件下切实的感受到网络命令的作用,从而提高教学效果。仿真的网络环境,具有较低的经济投入,不仅可以对计算机网络的参数进行配置,还可以为学生提供一个操作简单的实践环境,通过仿真器的网络搭建,造就了完美的仿真软件,提供了生动的仿真平台,使得计算机网络中的各种算法。协议以及数据交换的过程能够更加真实生动的展示在学生面前,使得抽象难懂的模拟协议变得通俗易懂,增强了学生的理解能力,获得更好的应用体验效果。
2Ping命令
2.1参数功能
网络的安全性是整个计算机系统的重要环节,对网络环境的稳定性有着关键的影响,目前常见的网络系统配备的都是Ping命令,这种命令使用的正确与否关系着软件资源能否被正确识别、关系着软件的不足能否得到及时的弥补以及能否及时的排除系统的故障,保证系统的正常运行。在计算机的网络系统中,Ping命令主要用来发出或者对接收进来的DOS命令做出响应,可以是应发出者的要求发送出同等大小的数据包,也可以根据数据的传递与使用判断主机的位置,进而对操作系统做出判断,其基本的参数功能便是能够根据主机与路由器的提示进行网络运行状态的检测、网络通达性的测试以及系统的故障检测与报告,正是这些参数功能的存在,保证了其完成任务效率与质量,对计算机网络的构建与发展做出了巨大贡献。
2.2功能分析
由于ping命令多功能性,所以其常常被用来替代专业的网路测试,进而实现对于系统的监控。在进行网络测试的过程中,ping命令会通过一级ARP命令查看系统的IP,如果能够顺利的拼出系统的地址信息,则表示适配器工作正常,反之则表示网络出现了故障,同时在网络故障的条件下,保证本机主卡的运行状态;其次,则是查看本地循环的IP地址,如果不能够顺利进行,则表示本地的网络出现了故障,本地的IP没有处于正常的工作状态;最后,便是对DNS进行测试,如果在检测的时候不能够顺利的连接到这台主机,则表示网络检测工程可能存在着故障。在对网络系统进行检测的过程中,可能会出现因为网络环境的差异性诊断工具无法生效的情况,这就需要从ping命令着手,对故障进行检测与排查。其需要首先保障主机的正常运行,在确定没有安全设置的限制条件下,便可以开始使用ping命令进行特殊故障的排查了,当然首先便是使得ping命令能够ping通,如果不能够ping通,则表示网卡已经损坏了;此时便可以通过设备管理器打开网卡,通过鼠标右键的方式查看网卡的运行状态;在网卡正常工作的条件下,则表示工作站的程序受到了破坏,以此来对故障进行定位与推断。
3其他的网络命令
在网络系统的创建使用过程中,除却Ping命令还有较常见的Tracert命令、ARP命令、Netstat命令以及SOCKE命令。Tracert或者说跟踪路由命令是比较实用的跟踪追踪程序,是对IP数据进行访问的实用方法;Netstat命令的主要功能便是对路由表、网络连接状态以及网络接口等基本的信息进行显示,并保障早信息传递的过程中用户能够正常的使用网络;ARP命令多用于确定物理地址,看到本机或者其他计算机的缓冲内容。Socke编程或者开发命令,能够通过Socket技术实现对于计算机的高水平管理,作为应用层与通信协议之间相互联系的中间软件,其利用一连串的接口来工作,并通过将设计模式隐藏在接口的后面来适应协议的要求,并通过C/S模式来进行初始化,在监听的同时保障客户端的连接,从而实现网络在故障检测的过程中的正常使用。
4结语
在大型的企业网络中不同的子网各有特点,对于网络安全防护有不同的等级要求和侧重点。因此,网络安全域的“同构性简化”思路就显得非常适合安徽中烟网络安全防护的需求,下面将具体介绍安徽中烟基于安全域的网络安全防护体系建设思路。
网络安全域是使网络满足等级保护要求的关键技术,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全防护手段。通过建设基于安全域的网络安全防护体系,我们可以实现以下的目标:通过对系统进行分区域划分和防护,构建起有效的纵深防护体系;明确各区域的防护重点,有效抵御潜在威胁,降低风险;保证系统的顺畅运行,保证业务服务的持续、有效提供。
1安全域划分
由于安徽中烟网络在网络的不同层次和区域所关注的角度不同,因此进行安全域划分时,必须兼顾网络的管理和业务属性,既保证现有业务的正常运行,又要考虑划分方案是否可行。在这样的情况下,独立应用任何一种安全域划分方式都不能实现网络安全域的合理划分,需要多种方式综合应用,互相取长补短,根据网络承载的业务和企业的管理需求,有针对性地选择合理的安全域划分方式。
1.1安全域划分原则
业务保障原则安全域划分应结合烟草业务系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。结构化原则安全域划分的粒度可以从系统、设备到服务、进程、会话等不断细化,在进行安全域划分时应合理把握划分粒度,只要利于使用、利于防护、利于管理即可,不可过繁或过简。等级保护原则属于同一安全域内的系统应互相信任,即保护需求相同。建立评估与监控机制,设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则安全域的划分不应只考虑到静态设计,还要考虑因需求、环境不断变化而产生的安全域的变化,所以需考虑到工程化管理。
1.2安全域划分方式
1.2.1安全域划分模型根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
1.2.2安全域边界整合1)整合原则边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。
2安全防护策略
2.1安全防护原则
集中防护通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。
2.2系统安全防护
为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。
2.2.1设备自身安全功能和配置一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。
2.2.2基础安全技术防护手段业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。
防火墙部署防火墙要部署在各种互联边界之处:
–在互联网接口区和互联网的边界必须部署防火墙;
–在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;
–在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。
网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:
–在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。
–在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。
2.2.3应用层安全防护数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型,提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。
2.2.4安全域的管理除了实施必要的安全保障措施控制外,加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括:从安全域边界的角度考虑,应提高维护、加强对边界的监控,对业务系统进行定期或不定期的风险评估及实施安全加固;从系统的角度考虑,应规范帐号口令的分配,对服务器应严格帐号口令管理,加强补丁的管理等;人员安全培训。
随着信息安全技术的不断发展深化,单纯的层次化方法已经不能适应新的安全形势,必须以体系化思想重新定义纵深防御,形成一个纵深的、动态的安全保障框架,亦即纵深防御体系。纵深防御体系是一种信息安全防护系统设计方法论,其基本思想是综合治理,它以信息安全为中心,以多层面安全手段为基础,以流程化管控为抓手,以贯穿信息系统的生命周期为管理范畴,采用等级化的思想,最终形成手段纵深、级别纵深、流程纵深的防御与保障体系,以等级化为原则等级保护作为国家信息安全的一项制度,为关系到国计民生的各类重大信息系统的安全防护提供了指导思路。等级保护的主体思想在于等级化和差异化,即为不同等级的保护对象提供合理的防护措施。纵深防御体系的建设,不能是防护设施和防护手段的一味堆砌,而是要以等级化为指导思想,充分考虑防护目标的等级特征,在防控框架、控制流程、生命周期管理等各个方面,都需要划分相应的等级,以等级特征为基础,提供合理的防护。没有等级标的的防护是盲目的,不仅浪费大量的人力物力,而且还会导致安全措施、手段脱离需求,造成防护手段不到位。以信息安全为中心信息是业务系统的产物,是各项业务的最终承载者。诸多单位、人员、系统进行的各项工作,其价值都体现在信息上,可以说信息是业务系统的核心所在。因此信息的安全是纵深防御体系的中心,保障信息安全也是纵深防御体系实施的最终目的。纵深防御体系建设必须围绕信息安全保障展开。以多层次安全手段为基础为实现信息安全,必须从4个层面加以控制防护:法律、规范、标准、制度,安全管理,物理安全,网络安全,系统安全,应用安全以及信息安全。信息安全包括了保护信息的保密性、完整性、可用性、不可否认性等安全属性的各类防护措施;应用安全包括计算机硬件、软件、数据库、操作系统安全等,以提供安全可靠的计算机系统作为保障。网络安全包括身份认证、访问控制、防病毒、数据传输的加解密等等,以提供安全的网络环境。物理安全是各类逻辑防护手段的基础,物理环境不安全,其他逻辑防护的安全性也无从谈起。这一系列的防护手段,都需要进行统一的管理,才能协调一致,才能保证防护的有效性。而管理的实施和技术方法手段的管理、部署以及运行管理都需要政策、规程、操作和组织架构等方面构成的政策框架来支撑和维护。这七个层面形成的控制框架是纵深防御体系的基础。
以流程化管控为抓手安全防护与管理一定是动态过程,再稳固的静态防护措施,最终都会在新型漏洞和威胁下土崩瓦解。因此,纵深防御体系的实施必须要实施流程化管控,其中包括四个阶段:防护、感知、决策和响应,并不断循环往复。防护是指对网络设备、业务系统、信息等采取的各类防护手段,即按照控制框架实施的防护措施。感知主要完成对网络中各类安全事件的监控,包括对网络空间的网络行为、网络资源状态、用户行为、网络流量、设备状态和系统脆弱的感知等。决策为安全事件的处理提供评判依据,包括了对防护对象和防护措施的等级划分和管理、安全事件的关联分析、安全风险评估、安全事件预警等。响应则完成对安全事件的处理过程,包括应急措施、灾难恢复、网络阻断、病毒删除、系统加固等措施。通过流程化管控的不断循环重复,及时调整安全防护策略,保证了安全防护系统防护效能的不断提升。以信息系统的生命周期为管理范畴信息系统的生命周期包括设计、建设、运行以及终止四个阶段。之所以出现信息系统建设和安全防护系统建设“两张皮”的情况,主要原因是在信息系统设计过程中,没有充分考虑安全防护需求,导致后期的安全防护手段只能在信息系统的修修补补,不能起到合理的防护作用。另外,由于日常防护管理只注重系统运行时的管理,而在系统终止后疏于监管,由此导致的信息丢失现象也日益严重。因此,为避免信息失控,纵深防御体系必须涵盖信息系统的生命周期全过程。在设计过程中,充分进行风险分析,紧密贴合安全防护需求,设计信息安全防护系统。在建设阶段,信息系统与安全防护系统同步建设,避免安全防护系统与信息系统的整体业务需求脱节。在运行阶段,实施安全防护,并依据信息系统的新变化,及时调整安全策略和安全配置。在信息系统终止阶段,应该具有完善的系统注销制度和管理规范,保证在系统中残留的有用信息不外泄,进而从信息系统的整个生命周期保证信息安全。总之,纵深防御体系并不是传统意义上的防护位置的纵深,也不是网络协议层次的纵深,而是深人贯彻等级化保护的思想,在信息系统的整个生命周期,采用合理化的防护和管理控制框架,实施不断循环的流程化管控,进而形成一体化的、动态的防护与保障框架,提供合理、有效的信息安全保护。纵深防御体系需要强调人的管理通常情况下,信息安全系统的实施具有三个层次。最低层次是技术手段建设。在这个阶段,主要以防护手段建设为主,部署防火墙,采用加密传输,实施身份认证、授权等等,这些技术手段都以消除某种特定威胁为主要目标,具有很强的局限性。第二层次为安全管理。经过第一阶段的手段建设,使每一种风险都有相应的措施应对,但是过多的手段带来的就是管理上的问题。
诸多防护系统的升级、维护和管理,成为维护人员的噩梦。各个防护措施间的协调配置也给维护人员提出了很高的挑战。保护对象是否安全已不是防护措施是否得当的简单问题,维护人员的负责程度、能力高低成为决定防护措施是否成功的关键,而这些因素是极不稳定的,迫切需要统一的安全管理规范、流程、措施来规范系统维护人员的操作,并建立管理系统来协助维护人员完成各项工作,确保实现稳定、有效的安全防护。第三层次为人的管理。技术上的问题一定是可以解决的,但人的问题是一个复杂问题,人是信息安全领域最不安全的因素。即便是制定了严格的规章制度,建立了全面、稳定的安全防护体系,如果人不遵守这些制度,违规操作或者无意行为,都可能绕过防护体系。在这种情况下,整个安全防护系统就像是马其诺防线一样形同虚设。因此,要实现纵深防御,必须强调对人员的管理。规范员工的安全操作行为,加强员工的安全意识培训,提升员工对安全的认识高度,从意识形态领域提高信息安全防护的强度。这不仅要求单位个体的努力,还需要全社会的共同努力,为我们的网络安全提供一个良好的人文环境。
作者:安辉耀 张鹏
关键词:安全域 边界整合 数据业务系统 安全防护
中图分类号:TP309.2 文献标识码:A 文章编号:1007-9416(2013)08-0180-02
0 引言
随着数据业务快速发展,信息化程度不断提高,国民经济对信息系统的依赖不断增强,迫切需要数据业务系统在网络层面建立清晰的组网结构。同时,根据国家安全等级保护的要求,需要不断细化各业务系统的安全防护要求,落实更多的数据业务等级保护问题。针对数据业务系统规模庞大、组网复杂的现状,以及向云计算演进的特点,按照等级保护和集中化的要求,需要对运营商数据业务系统进行安全域的划分和边界整合,明确数据业务系统组网结构。在此基础上,进一步提出了数据业务系统安全防护策略,促进数据业务系统防护水平和安全维护专业化水平的整体提高。
1 数据业务系统网络安全面临的威胁
随着全球信息化和网络技术的迅猛发展,网络安全问题日益严峻,黑客攻击日益猖獗,尤其是以下几个方面的问题引起了人们的广泛关注,给电信信息化安全带来了新的挑战。
(1)黑客攻击是窃取网站集中存储信息的重要手段,通过获取用户口令,寻找出网络缺陷漏洞,从而获取用户权限,达到控制主机系统的目的,导致用户重要信息被窃取。
(2)随着移动互联网智能终端的快速发展,3G和wifi网络的大量普及,恶意程序成为黑客攻击智能终端的一个重要手段,针对智能终端的攻击不断增加,最终将导致重要资源和财产的严重损失。
(3)随着电子商务的普及,人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进行交易,黑客将对金融机构中的信息实施更加专业化和复杂化的恶意攻击。
(4)自韩国爆发大规模黑客入侵事件以来,APT(Advanced Persistent Threat)攻击更加盛行,主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我毁灭等,由于APT攻击具有极强的隐蔽能力和针对性,同时网络风险与日剧增,传统的安全防护系统很难抵御黑客的入侵,这就需要企业和运营商全方位提升防护能力。
(5)随着云计算大规模的应用,作为一种新型的计算模式,对系统中的安全运营体系和管理提出了新的挑战,虚拟化软件存在的安全漏洞需要更加全面地进行安全加固,建立一套完整的安全体制。
2 数据业务系统安全域划分与边界整合
2.1 安全域划分的目的
安全域是指在同一系统内根据业务性质、使用主体、安全目标和策略等元素的不同来划分的网络逻辑区域,同一区域有相同的安全保护需求、安全访问控制和边界控制策略,网络内部有较高的互信关系。
安全域划分的目的是清晰网络层次及边界,对网络进行分区、分等级防护,根据纵深防护原则,构建整体网络的防护体系,抵御网络威胁,保证系统的顺畅运行及业务安全。通过安全域的划分,可以有利于如下四方面:
(1)降低网络风险:根据安全域的划分及边界整合,明确各安全域边界的灾难抑制点,实施纵深防护策略,控制网络的安全风险,保护网络安全。
(2)更易部署新业务:通过安全域划分,明确网络组网层次,对网络的安全规划、设计、入网和验收总做进行指导。需要扩展新的业务时,根据新业务的属性及安全防护要求,部署在相应的安全域内。
(3)IT内控的实效性增强:通过安全域的划分,明确各安全域面临的威胁,确定其防护等级和防护策略。另外,安全域划分可以指导安全策略的制定和实施,由于同一安全域的防护要求相同,更有利于提高安全设备的利用率,避免重复投资。
(4)有利于安全检查和评估:通过安全域划分,在每个安全域部署各自的防护策略,构建整体防护策略体系,方便运维阶段进行全局风险监控,提供检查审核依据。
2.2 安全域划分
根据安全域的定义,分析数据业务系统面临的威胁,确定威胁的类型及不同业务的安全保护等级,通常将数据业务系统划分为四类主要的安全域:核心生产区、内部互联接口区、互联网接口区和核心交换区。
(1)核心生产区:本区域由各业务的应用服务器、数据库及存储设备组成,与数据业务系统核心交换区直接互联,外部网络不能与该区域直接互联,也不能通过互联网直接访问核心生产区的设备。
(2)内部互联接口区:本区域由连接内部系统的互联基础设施构成,主要放置企业内部网络,如IP专网等连接,及相关网络设备,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。
(3)核心交换区:负责连接核心生产区、互联网接口区和内部互联接口区等安全域。
(4)互联网接口区:和互联网直接连接,具有实现互联网与安全域内部区域数据的转接作用,主要放置互联网直接访问的设备(业务系统门户)。
2.3 边界整合
目前,对于以省为单位,数据业务机房一般是集中建设的,通常建设一个到两个数据业务机房。进行数据业务系统边界整合前,首先要确定边界整合的范围:至少以相同物理位置的数据业务系统为基本单位设置集中防护节点,对节点内系统进行整体安全域划分和边界整合。若物理位置不同,但具备传输条件的情况下,可以进一步整合不同集中防护节点的互联网出口。
对节点内系统边界整合的基本方法是将各系统的相同类型安全域整合形成大的安全域,集中设置和防护互联网出口和内部互联出口,集中部署各系统共享的安全防护手段,并通过纵深防护的部署方式,提高数据业务系统的安全防护水平,实现网络与信息安全工作“同步规划、同步建设、同步运行”。
通常数据业务系统边界整合有两种方式:集中防护节点内部的边界整合和跨节点整合互联网传输接口。
(1)集中防护节点内部的边界整合
根据数据业务系统边界整合的基本原则,物理位置相同的数据业务系统通常设置一个集中防护节点。在集中防护节点内部,根据安全域最大化原则,通过部署核心交换设备连接不同系统的相同类型子安全域,整合形成大的安全域,集中设置内部互联出口和互联网出口。整合后的外部网络、各安全域及其内部的安全子域之间满足域间互联安全要求,整个节点共享入侵检测、防火墙等安全防护手段,实现集中防护。
(2)跨节点整合互联网传输接口
在具备传输条件的前提下,将现有集中防护节点的互联网出口整合至互备的一个或几个接口,多个集中防护节点共享一个互联网传输出口。通过核心路由器连接位置不同的集中防护节点,并将网络中的流量路由到整合后的接口。各节点可以保留自己的互联网接口区,或者进一步将互联网接口区集中到整合后的接口位置。
在安全域划分及边界整合中,根据安全域最大化原则,多个安全子域会被整合在一个大的安全域内。同时,根据域间互联安全要求和最小化策略,这些安全子域之间不能随意互联,必须在边界实施访问控制策略。
3 数据业务系统的安全防护策略
3.1 安全域边界的保护原则
(1)集中防护原则:以安全域划分和边界整合为基础,集中部署防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段,多个安全域或子域共享手段提供的防护;
(2)分等级防护原则:根据《信息系统安全保护等级定级指南》和《信息系统等级保护安全设计技术要求》的指导,确定数据业务业务系统边界的安全等级,并部署相对应的安全技术手段。对于各安全域边界的安全防护应按照最高安全等级进行防护;
(3)纵深防护原则:通过安全域划分,在外部网络和核心生产区之间存在多层安全防护边界。由于安全域的不同,其面临的安全风险也不同,为了实现对关键设备或系统更高等级防护,这就需要根据各边界面临的安全风险部署不同的安全技术及策略。
3.2 安全技术防护部署
对于数据网络,一般安全防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的基础安全技术。下面以数据业务系统安全域划分和边界整合为基础,进行安全技术手段的部署。
(1)防火墙部署:防火墙是可以防止网络中病毒蔓延到局域网的一种防护安全机制,但只限制于外部网络,因此防火墙必须部署在互联网接口区和互联网的边界。同时,对于重要系统的核心生产区要构成双重防火墙防护,需要在核心交换区部署防火墙设备。由于安全域内部互联风险较低,可以复用核心交换区的防火墙对内部互联接口区进行防护,减少防火墙数量,提高集中防护程度。
(2)入侵检测设备的部署:入侵检测主要通过入侵检测探头发现网络的入侵行为,能够及时对入侵行为采取相应的措施。入侵检测系统中央服务器集中部署在网管网中,并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头,及时发现入侵事件。同时安全防护要求较高的情况下,将入侵检测探头部署在核心交换区,通过网络数据包的分析和判断,实现各安全子域间的访问控制。
(3)防病毒系统的部署:防病毒系统采用分级部署,对安全域内各运行Windows操作系统的设备必须安装防病毒客户端,在内部互联接口子域的内部安全服务区中部署二级防病毒控制服务器,负责节点内的防病毒客户端。二级服务器由部署在网管网中的防病毒管理中心基于策略实施集中统一管理。
(4)异常流量的检测和过滤:为了防御互联网病毒、网络攻击等引起网络流量异常,将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧,便于安全管理人员排查网络异常、维护网络正常运转、保证网络安全。
(5)网络安全管控平台:网络安全管控平台前置机接受部署在数据业务系统网管网内的安全管控平台核心服务器控制,部署在各集中防护节点的内部互联接口区的安全服务子域中,实现统一运维接入控制,实现集中认证、授权、单点登录及安全审计。
(6)运行管理维护:安全工作向来三分技术、七分管理,除了在安全域边界部署相应的安全技术手段和策略外,日常维护人员还要注重安全管理工作。一方面,对安全域边界提高维护质量,加强边界监控和系统评估;另一方面,要从系统、人员进行管理,加强补丁的管理和人员安全培训工作,提高安全意识,同时对系统及服务器账号严格管理,统一分配。
4 结语
由于通信技术的快速发展, 新业务和新应用系统越来越多,主机设备数量巨大,网络日益复杂,服务质量要求也越来越高。通过安全域的划分,构建一个有效可靠的纵深防护体系,同时优化了数据业务系统,提高网络运维效率,提高IT网络安全防护等级,保证系统的顺畅运行。
参考文献
[1]魏亮.电信网络安全威胁及其需求[J].信息网络安全,2007.1.
安全域划分方式
1安全域划分模型。根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
2安全域边界整合。1)整合原则。边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法。为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。
安全防护策略
1安全防护原则
集中防护。通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护。根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护。从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。
2系统安全防护
为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。
1)设备自身安全功能和配置。一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。
2)基础安全技术防护手段。业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。防火墙部署防火墙要部署在各种互联边界之处:在互联网接口区和互联网的边界必须部署防火墙;在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。
【关键词】图书馆;计算机网络;安全防护
图书馆计算机网络安全主要就是其网络系统中包含的硬件、软件与相关数据等能够得到有效的保护,避免在偶然发生或者恶意的原因对计算机网络产生破坏、更改等问题,使得网络系统能够保持正常的运行状态,保持网络服务的畅通,不断提升图书馆计算机网络安全等级,达到网络信息的最大化的共享,为读者提供更好的服务。
一、高校图书馆计算机网络实体安全防护
1、图书馆计算机网络机房物理环境的安全防护。
实体安全主要考虑场地、设备的安全,对实体访问进行控制,图书馆计算机网络实体安全主要指对计算机系统环境、场地、设备、载体、人员等采取安全措施。首先是图书馆的场地安全,指的是中心机房,它是图书馆运行的关键组成部分,对进入机房的工作人员应该实行严格的管理,应该对那些非工作人员进行限制。在具体的中心机房运行中,要制定相关的工作规范,最大程度的减少非工作人员进入的机会,应该与图书馆的其他功能区域分隔开来,辅助区应该设置在机房的外面,形成一道进入机房的关卡。而且在位置的选择上也应避免将其建设在潮湿的底层,顶层因为容易侵入也不是首选。如果一个楼层办公室数量较多,机房应设置在一个边角位置,在防护与撤离方面会比较方便。另外,机房内设置的空调设备能够对其空间内的湿度、温度等进行有效的调控,确保计算机网络的正常运转,通常机房内温度应保持在20摄氏度左右,相对湿度则应保持在50%左右,同时还要对机房进行防尘与除尘,增加防静电地板的铺设可以使计算机网络工作不受到静电的影响。
2、图书馆计算机网络电源接地与防盗防火的安全防护。
计算机网络的运行离不开电源,图书馆内的计算机需要使用具有保护装置的不间断电源工具,这样能够有效的避免出现电源中断或者电压瞬变、冲击等问题,在计算机的接地系统中电位的设置应该将参考点定为大地,接地是零电位,这样能够让计算机的数字电路拥有较为稳定的低电位,为计算机硬件、数据以及人身的安全提供保障。另外,在计算机网络的安全防护中还应该注意防盗与防火的问题,机房应该严格设置防盗系统,对机房所有的门窗进行加固处理,然后通过全场监控系统对机房进行实时的监视,提高机房的防盗等级。对机房设备维护管理的相关制度规范严格的遵守与实施,对容易出现火灾的隐患部位进行更加细致的检查,完善防火应急方案,对相关的工作人员的应急能力进行培训与提升。
二、高校图书馆计算机网络安全的硬件与软件防护措施
硬件与软件共同组成了计算机网络系统,实现图书馆计算机网络安全的一个重要方法就是进行计算机网络的硬件与软件防护。硬件防护顾名思义就是对计算机网络系统中的硬件设施实施的一系列的安全防护手段,比如CPU、设备、缓存等硬件,也可以通过硬件的增加提升计算机的安全防护能力。硬件防护相比软件防护来说更加的稳定、可靠,也是图书馆计算机防护技术实施中重要的一个环节,尤其是对于其中那些重要的数据与系统来说,需要结合硬件与软件防护两种手段,确保其运行环境的绝对安全,主要的硬件防护手段包括输入输出通道管理、储存器保护以及虚拟内存保护等等。
三、高校图书馆计算机网络的互联网安全防护措施
现代图书馆的运行与互联网之间存在的密切的关系,比如会使用互联网进行信息的检索、信息的接收发送等,人们也更加习惯使用互联网进行信息的查询,但是互联网中存在的不安全因素非常多,因此在使用中应该更加注意对其进行安全防护。设置防火墙就是比较有效的安全防护措施之一,它是由硬件与软件设备共同组合形成的安全系统,会存在于内部网络与互联网之间,外界的用户如果没有经过授权那么就会被防火墙阻止进入内部网络进行访问,起到一个安全屏障的作用。防火墙的设置应该具有数据包过滤、服务以及网络地址变换等功能,一旦出现可疑的情况能够报警并显示详细的信息,提高了安全防护的效果。
四、高校图书馆计算机网络的病毒防护措施
在防止计算机病毒造成网络安全危害上,除了用户有积极的防病毒意识外,比较有效的方法是安装杀毒软件,防病毒软件可以查杀多种系统环境下的病毒,有查毒、杀毒范围广、能力强的优势。防病毒软件在运行中还需要进行及时的更新升级,对不断出现的不同类型的病毒进行有效的查杀,并且它还具备实时的监控功能,计算机网络在启动、运行的整个过程中就都可以得到安全的保护了。在实际的安全防护工作中,可以将防病毒软件的使用与防火墙的设置相结合使用,可以将杀毒软件的功能附加到防火墙之中,使其增加防病毒的作用,实现病毒与图书馆内部网络的有效隔离。综上所述,图书馆计算网络安全防护中包含安全培训、电磁防护等多种措施,实际的安全工作属于一项复杂又需要不断变化的系统工程,计算机网络安全防护涉及到图书馆网络建设以及发展的整个过程,是一项需要长期坚持的工作,应该始终对其安全防护进行重视,进行技术更新,确保技术、设备等的投入充足,提升图书馆计算机网络安全防护的质量,为图书馆各项工作的顺利开展提供支持。
【参考文献】
[1]林志军.图书馆计算机网络安全与防护措施[J].现代图书情报技术,2004(S1)
[2]秦久英.数字图书馆计算机网络的安全防护技术研究[J].考试周刊,2015(77)
