前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全的方针主题范文,仅供参考,欢迎阅读并收藏。
摘要:在云计算环境下,传统方法采用终端网络监测方法进行网络安全估计,由于网络通信信道终端功率衰减性强,导致安全态势估计精度不高,检测性能不好。提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下网络安全估计及态势预测算法。构建云计算环境下的网络安全估计模型,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和病毒攻击检测。仿真实验表明,该算法对病毒数据流预测精度较高,实现不同场景下的网络病毒流预测和数据检测,提高了云计算环境下网络抵御病毒攻击的能力。
关键词 :网络安全;云计算;态势预测;病毒
中图分类号:TN957.52?34 文献标识码:A 文章编号:1004?373X(2015)20?0015?05
Scenario simulation of network security estimation model incloud computing environment
CHEN Liangwei
(Department of Computer Engineering,Chengdu Aeronautic Polytechnic,Chengdu 610100,China)Abstract:In the cloud computing environment,the traditional method,which takes the terminal network monitoring methodto estimate the network security,has low estimated accuracy for security situation and poor detection performance due to thehigh power attenuation of network communication channel terminal. A security estimation and trend prediction algorithm basedon adaptive data classification and membership feature extraction of virus infection in cloud computing environment is proposed.The network security estimation model based on cloud computing environment is established,the adaptive data classification al?gorithm is adopted to carry out clustering evaluation for network attacks data,and the infection membership feature of virus at?tacks data is extracted to realize the network security situational prediction and virus attack detection. The simulation test resultsshow that the algorithm has high virus data flow prediction accuracy,can realize network virus flow prediction and data detec?tion in different scenarios,and improve the ability of resisting the virus attacks in cloud computing environment.
Keywords:network security;cloud computation;situation prediction;virus
0 引言
随着网络信息技术的发展,海量数据在网络中通过云计算进行处理。云计算是基于互联网进行数据交互和通信的海量数据处理方法。云计算具有强大的计算能力和数据存储能力,通常涉及通过互联网来提供动态易扩展的资源和存储空间。在云计算环境下,由于数据在宽频带信道内进行快速聚簇和传输通信,容易受到网络病毒的攻击,威胁到网络安全。如今,云计算环境下的网络安全成为网络应用研究的热点课题。为了提高云计算环境下网络系统的安全性和稳定性,需要对云计算环境下网络的攻击和入侵信号进行准确的检测,对云计算环境下网络威胁态势进行有效预测,提高抗体的检测概率,降低网络攻击检测的虚警概率。在云计算网络数据通信中,通过对云计算环境下网络安全态势预测,提高抵御风险的能力。因此,研究云计算环境下的网络安全估计和危险态势预测模型具有重要意义[1]。
为保证个体用户的信息安全,需要提取网络信息安全特征,进行网络威胁态势预测和安全估计,传统方法中,通过使用防火墙作为第一道网络安全防护系统,进行网络攻击检测和云计算环境下的安全模型估计,在一定程度上可以保证计算机系统的安全,但防火墙在防御高度伪装与隐蔽性极强的隐形文本的数据攻击下,具有一定的局限性[2?3]。对此,相关文献进行了算法改进设计,其中文献[4]提出一种基于多源层次数据结构分析的网络危险态势预测模型,实现网络安全量化评估,但该算法需要进行IDS报警日志记载,在先验数据采集中的误差较大,适应性能不高。文献[5]提出一种基于日志审计动态预测的云计算网络安全态势预测算法,实现对点对点网络攻击的有效检测,但该算法计算复杂,运行开销大。当前对云计算环境下网络安全估计和态势预测采用终端网络监测方法进行网络安全估计,由于网络通信信道终端功率衰减性强,导致安全态势估计精度不高,检测性能不好。文献[6]中以一种解决拥塞的思维解决安全问题,但是,这种安全必须是由拥塞引起的,限制了应用性。文献[7]以能量的思想解决网络安全问题,但是其应用只能是无线传感网络,无法移植到一般网络。
文献[8]在资源分配安全中考虑了反馈的概念,但是这种反馈也只能起到提醒的作用,无法进行病毒的根除。文献[9?10]都是根据节点过滤原理进行病毒检测,但是,节点过少也会降低通信性能,因此应用缺陷明显。针对上述问题,本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型,进行网络攻击信号模型构建,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和攻击检测,仿真实验进行了性能验证,展示了本文算法在实现网络安全态势预测和攻击检测中的优越性能,提高了网络抵御病毒攻击的能力,展示了较好的应用价值。
1 网络安全估计模型及数据分析
1.1 云计算环境下的网络安全估计模型
云计算是将大量网络计算资源进行虚拟化存储和抽象计算网络运算模式,基于云计算的网络安全估计模型如图1所示。
图1 基于云计算的网络安全估计总体架构
分析图1可知,大规模的网络物理资源和多源信息在交换机中实现信息交互和数据处理,假设云计算环境下m 个终端上的病毒数据流为:
云计算环境下的网络安全估计模型的幅度和频率分别表示为:
式中η 表示网络安全频率值。
通过构建在s 域和z 域上的分数阶傅里叶变换,对网络数据在多通道平台中进行相空间重构,得到重构后的网络病毒数据特征空间矢量为:
式中θ1(k) 表示初始状态向量。设有云计算环境下存在M 个全方向性攻击的伪随机时频跳变网络谐振病毒数据,P 个干扰信号以θ0 ,θ1,θ2 ,…,θP 的相位进行网络攻击,造成网络安全威胁,则需要进行网络安全态势预测。
1.2 云计算环境下的网络攻击信号构建和数据
在上述构建的云计算环境下的网络安全估计模型的基础上,进行网络攻击信号模型构建,假设网络安全估计模型为一个三维连续的典型自治系统,采用三维连续自治系统模拟云计算环境下网络攻击服务器威胁指数和主机威胁指数,得到服务器威胁指数和主机威胁指数分别为:
式中:xk 表示网络攻击环境下的病毒数据时间序列采样值;yk 表示IDS日志信息;f(·)表示云计算环境下网络攻击的病毒数据时间序列值;h(·)表示云计算环境下网络攻击目录;vk 和ek 分别表示云计算环境下网络攻击检测受到的干扰项,且xk∈ Rnv ,yk∈ Rne ,其中,R 表示最大网络威胁阀值范围,n 表示网络攻击病毒数,此时网络威胁安全态势指数表示为:
的层次化评估系数求和;Γ(·)表示Sigma函数。采用相空间重构方法对网络采集数据进行重构,得到云计算环境下的网络攻击信号模型为:
式中:s 表示网络攻击信号特征;v 表示网络攻击信号受到的干扰项;L 表示网络病毒攻击模糊入侵特征分为L类;A 表示环境干扰系数;j 代表干扰信号数量;p(ωn ) 表示网络威胁安全态势指数。
假设网络病毒攻击模糊入侵特征可以分为L 类,入侵特征分为(w1,w2 ,?,wn ) ,n 为入侵次数。采用粒子滤波独立自相成分分析的思想,设计出一个粒子滤波联合函数,该联合函数式是以时间与频率分联合分布进行考虑的;即把模糊网络入侵信号分段分成一些局部进行分析考察,而不是全局地进行分析判断,对其进行粒子滤波变换,对于2个标量时间序列y1 和y2 ,其联联合概率密函数为f (y1,y2 ) ,最后得到网络攻击信号的系统模型为:
分析上述网络攻击过程可见,网络病毒感染数据在Javascript程序内部经过变量赋值、传递,字符编码和过滤,实现参数进入函数的过程。因此,在该种环境下,应对网络攻击信号进行自适应数据分类,提高云计算环境下的网络攻击信号检测性能。
2 特征提取及算法改进实现
2.1 自适应病毒数据分类算法
在上述构建的云计算环境下的网络安全估计模型基础上,进行网络攻击信号模型构建。根据上述信号模型,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,对云计算环境下的攻击数据自适应分类这一研究过程中,需要进行网络拓扑设计。拓扑网络的工作原理是用在两个通信设备之间实现的物理连接的一种物理布局,使诸多计算机在不同的地理位置与要使用的不同区域设备用通信线路联系起来,进行数据信息的共享和传递,分享各自的流媒体信息,软硬件信息等。假设输入到网络安全估计模型中的病毒信号为x(t) ,则基于式(3)和式(4)中mk 和μk 的表达式,可得该病毒信号的幅度和频率分布为:
式中:Wx (t,v) 表示病毒数据在t,v 域内的双线性变换下脉冲响应,其具有实值性,即Wx (t,v)∈ R,?t,v 。
基于自适应数据分类,以及网络攻击信号的系统模型s(k) ,得到云计算环境下网络攻击信号的总能量为:
对云计算环境下的网络服务层和主机层的病毒数据的总能量Ex 进行边缘特性分解得到:
构建多路复用器输入/输出的网络病毒感染的向量空间模型,构建病毒感染的模糊关系的隶属度,优化对病毒感染的免疫性设计和数据检测性能,在输入点和输出点得到多频自适应共振采集数据流为:
在云计算环境下,模糊入侵特征的信息流量是由,并采用多频自适应共振检测算法实现云环境下模糊入侵特征的检测。并且根据自相关函数极限分离定理可得,网络病毒数据的自相关变量X 由随机独立变量Si ,i = 1,2,?,N 随机组合而成,这些随机分离变量的方差和均值服从于高斯分布,从而实现网络病毒数据的分类。
2.2 网络安全威胁态势预测算法实现
在上述进行病毒数据分类的基础上,进行感染隶属度特征提取,以及云计算环境下的网络安全估计及态势预测,根据网络攻击信号的时移不变性和频移不变性,与第2.1节对网络服务层和主机层的病毒数据的总能量进行边缘特性分解,得到方程式(13)以及多频自适应共振采集数据流x(t) ,则病毒感染隶属度特征为:
基于上述获取的网络病毒威胁的态势指向性函数,逐步舍弃云计算数据传输信道中的网络攻击的病毒信息历史测量信息,并采用级联滤波实现噪声抑制,可得到网络安全态势分析的时频响应为:
从上述分析获取的网络安全态势分析的时频响应中,可提取网络攻击病毒数据的感染隶属度特征,由此得到自组织态势分析迭代方程为:
式中:B 表示零均值病毒数据流;S 表示零均值自相关随机病毒数据;Φk 信息融合中心形成k 个联合特征函数;mk 表示网络攻击病毒数据的幅度;θ 表示网络病毒数据特征空间矢量;K 表示为病毒感染通道属性值;T 表示统计时间;a,b,z,r 都是变量参数。
根据上述预测结果,通过非高斯函数极限分离特性,可以最大限度对各独立变量进行自相关成分表征,对于动态病毒感染隶属度特征,调用Javascript解析引擎进行网络威胁态势预测,实现病毒攻击的检测。
3 仿真实验与结果分析
为了测试本文算法在进行云计算环境下网络安全估计和威胁态势预测性能,进行仿真实验。试验平台为通用PC 机,CPU 为Intel? CoreTM i7?2600@3.40 GHz,实验采用Netlogo建立云计算仿真场景,算法采用Matlab 7进行数学编程实现。网络病毒数据库使用Armadillo,该网络病毒数据库是对LAPACK和BLAS库的封装。根据网络用户对网络攻击检测任务执行能力策略判定系统的比特流量,令hTR = 1/6 ,hGD = 3 ,hF = 2 。在病毒入侵状态链为3维随机分布状态链模型,每个格点的配位数z 为26,二维配位数z 为8。仿真参数设定详见表1。
表1 云计算环境下网络安全估计仿真参数设定
通过上述仿真环境设定和参数设计,进行网络安全估计和态势预测仿真,在三种不同场景中进行病毒数据预测和威胁态势分析,仿真场景设置为:云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景。使用OpenMP 对算法中13~15 行的循环并行处理,试验共使用12组数据。根据上述网络模型构建和参数设置,模拟不同链长960 个计算核数,对个体网络用户进行病毒入侵攻击,得到三种场景下的网络病毒流预测结果如图2~图4所示。
从图可见,采用本文TraSD?VANET算法,能在云计算数据传输自由流场景、网络轻度拥堵场景和网络数据重度拥堵场景下,实现网络病毒的预测,对网络攻击的监测准确度好。当病毒信息参量呈非线性增长变化时,对网络病毒攻击的参数估计精度较高,实现网络威胁态势准确预测和评估,本文方法比传统的CoTEC和Centri?lized 方法在进行网络病毒数据预测的准确度分别高16.0%和15.7%,展示了本文算法在实现网络安全检测和预测方面的优越性能。
4 结语
对云计算环境下网络威胁态势进行有效预测,提高抗体的检测概率,降低网络攻击检测的虚警概率提高抵御风险的能力。本文提出一种基于自适应数据分类和病毒感染隶属度特征提取的云计算环境下的网络安全估计及态势预测算法。首先构建了云计算环境下的网络安全估计模型,进行网络攻击信号模型构建,采用自适应数据分类算法对网络攻击信息数据进行聚类评估,提取网络攻击病毒数据的感染隶属度特征,实现网络安全态势预测和攻击检测。仿真实验表明,本文算法能实现不同场景下的网络病毒流预测和数据检测,实现网络安全估计和态势预测,提高了网络抵御病毒攻击的能力,展示了较好的应用价值。
参考文献
[1] 刘雷雷,臧洌,邱相存.基于Kanman算法的网络安全态势预测[J].计算机与数字工程,2014,42(1):99?102.
[2] 韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报,2009,32(4):763?772.
[3] 王晟,赵壁芳.基于模糊数据挖掘和遗传算法的网络入侵检测技术[J].计算机测量与控制,2012,20(3):660?663.
[4] 刘逻,郭立红,肖辉,等.基于参数动态调整的动态模糊神经网络的软件可靠性增长模型[J].计算机科学,2013,40(2):186?190.
[5] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885?897.
[6] 罗龙,虞红芳,罗寿西.基于多拓扑路由的无拥塞快速业务迁移算法[J].计算机应用,2015,35(7):1809?1814.
[7] 孙超,杨春曦,范莎,等.能量高效的无线传感器网络分布式分簇一致性滤波算法[J].信息与控制,2015,44(3):379?384.
[8] 匡桂娟,曾国荪,熊焕亮.关注用户服务评价反馈的云资源再分配方法[J].计算机应用,2015,35(7):1837?1842
[9] OLFATI?SABER R. Distributed Kalman filtering for sensor net?works [C]// Proceedings of the 46th IEEE Conference on Deci?sion and Control. Piscataway. NJ,USA:IEEE,2007:5492?5498.
[10] 衣晓,邓露,刘瑜.基于基站划分网格的无线传感器网络分簇算法[J].控制理论与应用,2012,29(2):145?150.
[关键词]网络安全 管理流程 安全体系框架 安全防护策略
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2017)01-0394-01
企业在网络安全方面的整体需求涵盖基础网络、系统运行和信息内容安全、运行维护的多个方面,包括物理安全、网络安全、主机安全、应用安全、网站安全、应急管理、数据安全及备份恢复等内容,这些方方面面的安全需求,也就要求企业要有一流的安全队伍、合理的安全体系框架以及切实可行的安全防护策略。
一、强化安全队伍建设和管理要求
企业要做好、做优网络安全工作,首先要面临的就是组织机构和人才队伍建设问题,因此,专门的网络安全组织机构对每个企业来讲都是必不可少的。在此基础上,企业要结合每季度或者每月的网络安全演练、安全检查等工作成果和反馈意见,持续加强网络安全管理队伍建设,细化安全管理员和系统管理员的安全责任,进一步明确具体的分工安排及责任人,形成清晰的权责体系。同时,在企业网络自查工作部署上,也要形成正式的检查结果反馈意见,并在网络安全工作会议上明确检查的形式、流程及相关的文件和工作记录安排,做到分工明确、责任到人,做到规范化、流程化、痕迹化管理,形成规范的检查过程和完整的工作记录,从而完成管理流程和要求的塑造,为企业后续的网络安全工作提供强劲、持久的源动力和执行力。
二、搭建科学合理的安全体系框架
一般来讲,我国有不少企业的网络安全架构是以策略为核心,以管理体系、技术体系和运维体系共同支撑的一个框架,其较为明显的特点是:上下贯通、前后协同、分级分域、动态管理、积极预防。
上下贯通,就是要求企业整个网络安全工作的引领与落实贯通一致,即企业整体的网络安全方针和策略要在实际的工作中得到贯彻实施;前后协同,就是要求企业得网络安全组织机构和人员,要积极总结实际的工作经验和成果,结合企业当前的网络安全态势,最新的国际、国内安全形势变化,每年对企业的网络安全方针和策略进行不断的修正,达到前后协同的效果。分级分域,就是要求企业要结合自身的网络拓扑架构、各个业务系统及办公系统的安全需求、企业存储及使用的相关数据重要程度、各个系统及服务的使用人员等情况,明确划分每个员工的系统权限、网络权限,对使用人员进行分级管理,并对相关网络及安全设备、服务器等进行分区域管理,针对不同区域的设备设定不同的安全级别。
动态管理,就是要求企业的整体安全策略和方针、每个阶段的安全计划和工作内容,都要紧密跟踪自身的信息化发展变化情况,并要在国内突发或重大安全事件的引导下,适时调整、完善和创新安全管理模式和要求,持续提升、改进和强化技术防护手段,保证网络安全水平与企业的信息化发展水平相适应,与国内的信息安全形势相契合;积极预防就是要求企业在业务系统的开发全过程,包括可研分析、经济效益分析、安全分析、系统规划设计、开工实施、上线运行、维护保障等多个环节上要抱有主动的态度,采取积极的防护措施,不要等到问题发生了再去想对策、想办法,要尽可能的提前评估潜在的安全隐患,并着手落实各种预防性措施,并运用多种监控工具和手段,定期感知企业的网络安全状态,提升网络安全事故的预警能力和应急处置能力。
三、落实切实可行的安全防护策略
在安全策略方面,企业的安全防护策略制定思路可以概括为:依据国家网络安全战略的方针政策、法律法规、制度,按照相关行业标准规范要求,结合自身的安全环境和信息化发展战略,契合最新的安全形势和安全事件,从总体方针和分项策略两个方面进行制定并完善网络安全策略体系,并在后续的工作中,以总方针为指导,逐步建立覆盖网络安全各个环节的网络安全分项策略,作为各项网络安全工作的开展、建立目标和原则。
在网络安全管理体系方面,企业要将上述安全策略、方针所涉及的相关细化目标、步骤、环节形成具体可行的企业管理制度,以制度的形势固化下来,并强化对相关企业领导、安全机构管理人员、业务办公人员的安全形势和常识培训,提高企业从上至下的安全防护能力和安全水平;在运维管理体系建设方面,企业要对每个运维操作进行实时化监控,在不借助第三方监控工具如堡垒机的条件下,要由专人进行监管,以防止运维操作带来的安全隐患,同时,企业也要阶段性的对各个网络设备、业务系统、安全设备等进行安全评估,分析存在的安全漏洞或隐患,制定合理的解决措施,从而形成日常安全运维、定期安全评估、季度安全分析等流程化管理要求和思路。
在技术防护体系建设方面,企业可以参照PPDRR模型,通过“策略、防护、检测、响应、恢复”这五个环节,不断进行技术策略及体系的修正,从而搭建一套纵向关联、横向支撑的架构体系,完成对主机安全、终端安全、应用安全、网络安全、物理安全等各个层面的覆盖,实现技术体系的完整性和完备性。企业常用的技术防护体系建设可以从以下几个方面考虑:
(1)区域边界防护策略:企业可以考虑在各个区域的边界、互联网或者局域网出口部署下一代防火墙、入侵检测与防御设备(如果条件合适,可以考虑选择入侵防御设备)、上网行为管理、防病毒网关等网络安全新技术和新设备,从而对互联网出口或者重要区域边界进行全面的防护,提高内网出入接口的安全保障水平。此外,针对有企业生产网的情况,要对生产网与内网进行物理隔离,并对接入生产网的各种终端设备进行防病毒查收、报备,防止影响生产安全的各种事件发生,保障企业的财产安全。
关键词:智慧城市;智慧徐州;网络安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。
徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。
网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。
1 网络安全建设
由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:
1.1 安全的网络结构
安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。
1.2 访问控制安全
当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。
在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。
1.3 审计安全
安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。
网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。
1.4 检查边界的完整性
为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。
实现边界完整性检查的相关技术:
1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;
2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。
1.5 入侵防范
网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。
1.6 恶意代码防范
在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。
1.7 网络设备的安全防护
网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。
网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。
对于网络设备,应进行相应的安全加固:
1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。
2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。
3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。
4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。
5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。
2 网络安全防护
边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。
区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。
节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。
3 网络高可用
在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。
4 数据安全
4.1 数据安全建设
数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。
对于资源共享平台系统的数据安全及备份恢复要求如下:
1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;
2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;
3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。
4.2 数据安全加密传输(VPN)
针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。
4.3 数据交换过程的安全保障
平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。
4.4 数据交换接口安全设计
平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。
5 安全管理体系建设
在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。
完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。
5.1 安全策略
安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。
安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。
在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。
5.2 安全组织
由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
5.3 安全制度
智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。
参考文献:
[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.
[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.
[3] 赵军.信息安全体系下的东营智慧城市建设研究[J].中国安防,2014(9):84-89.
1数据备份
所谓数据备份是指对重要数据进行定期备份,通过数据备份免除因信息存储设备的物理损坏或者非法访问信息造成的信息丢失和破坏,数据备份可以说是保证数据安全的重要举措。数据备份的方式有两种,分别是采用磁盘阵列、磁带库和建立备份记录。采用磁盘阵列、磁带库进行备份主要是着眼于计算机系统自身的安全性而言的,采用磁盘阵列、磁带库进行备份旨在提高计算机系统自身的安全性以及可靠性,进而达到保护计算机数据安全的目的。建立备份记录则是通过对备份的数据信息进行及时记录,以此来防止因备份错误所导致的数据信息不安全问题。
2防病毒技术
所谓防病毒技术旨在通过对计算机系统进行定期查杀,以免除因病毒入侵给计算机系统自身安全所带来的隐患,计算机病毒技术大致分为三部分,分别是:对计算机病毒进行预防、对计算机病毒进行检测以及对计算机病毒进行查杀。从防病毒技术的发展历程来看,大约经历了三个阶段,第一阶段是单机病毒第二阶段是网络病毒第三阶段是网关病毒。透过计算机病毒防治手段可以看出,计算机病毒对计算机系统所造成的危害范围呈现出不断扩大的趋势。计算机病毒历经数年的发展已从单一的单机病毒发展到可以威胁整个计算机网络的病毒,因此对于计算机病毒的预防、检测以及查杀手段也要不断的进行更新,从而使之能够适应新形势下计算机病毒发展的实际需要。就目前网络飞速的发展而言,使用网关病毒对计算机病毒进行预防、检测以及查杀仍然是今后防病毒道路上不可或缺的一种防病毒手段。
3防火墙技术
防火墙技术是一种将内部网络和外部网络分开的设备,是提供信息安全服务、实现网络和信息安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取、信息传递等操作。就其结构可以将防火墙分为软件防火墙与硬件防火墙两类。软件防火墙主要用于个人用户,在使用时一般将其直接安装到用户的电脑上,进而通过相应的设置来对计算机和网络之间的信息交换进行控制,软件防火墙的优势在于成本不高,但其功能也是相对有限的。目前常见的软件防火墙主要有天网防火墙、卡巴斯基防火墙以及瑞星防火墙等。与软件防火墙不同的是,硬件防火墙在使用时需要将其安装到内部网络与外网交接处,硬件防火墙在企事业单位中使用最多,硬件防火墙的功能和软件防火墙相比也更为强大,但其成本相对较高。
4加强计算机网络访问权限控制
访问权限控制是指对合法用户进行的对存储信息的文件或数据操作权限控制,这种权限主要对信息资源的读、写、执行等。信息存储访问权限控制主要采用以下方法,分别是:确定合法用户对信息的访问权限、定期检查存储信息的访问权限和操作权限。
5加强网络安全教育
关键词:电力制造企业;计算机网络;安全
一、安全风险分析
电力制造企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来,以避免外来因素对生产系统造成损害,在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多,通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒(滥用授权)、电源中断、通信中断、软硬件故障、计算机病毒(恶意代码)等,上述风险所造成的后果一般为数据丢失或数据错误,使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言论等风险,会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大,因此生产控制系统和管理系统之间尽量减少物理连接。当需要数据传输时必须利用专用的通信线路和单向传输方式,一般采用防火墙或专用隔离装置。
二、安全需求分析
一般电力制造企业的安全系统规划主要从安全产品、安全策略、安全的人三方面着手,其中安全策略足安全系统的核心,直接影响安全产品效能的发挥和人员的安全性(包括教育培训和管理制度),定置好的安全策略将成为企业打造网络安全最重要的环节,必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒(包括恶意代码)通过各种形式对网络信息系统发起的恶意攻击和破坏,是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具,是确保业务和业务数据的完整性和准确性的基本保障,需要兼顾成本和实效。安全的人员是企业经营链中的细胞,既可以成为良性资产又可能成为主要的威胁,也可以使安全稳固又可能非法访问和泄密,需要加强教育和制度约束。
三、安全思想和原则
电力制造企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰。保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律。对网络犯罪严惩不贷。
四、安全策略与方法
1、物理安全策略和方法。
物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料:要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。
2、访问控制策略和方法。
网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VL心、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。
3、开放的网络服务策略和方法。
Internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对Web服务和FTP服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时增加审计手段。
4、电子邮件安全策略和方法。
电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力制造企业可以在电子邮件安全方案加大投入或委托专业公司进行。
5、网络反病毒策略和方法。
每个电力制造企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。
目前,计算机网络与信息安全已经被纳入电力制造企业的安全生产管理体系中,并根据“谁主管、谁负责、联合保护、协调处置”的原则,实行“安全第一、预防为主、管理与技术并重、综合防范”的方针,在建立健全电力制造企业内部信息安全组织体系的同时,制定完善的信息安全管理措施,建立从上而下的信息安全培训体系,根据科学的网络安全策略,采用适合的安全产品,确保各项电力应用系统和控制系统能够安全稳定的运行,为电力制造企业创造新业绩铺路架桥。
参考文献
关键词:网络安全;防火墙;防范策略;网络攻击;计算机病毒
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2132-02
Analysis of the Computer Network Security and its Preventive Tactics
ZHANG Jing
(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)
Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.
Key words: network security;firewall;preventive tactic;network attack;computer virus
1 引言
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险,网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性,计算机网络的安全以及防范措施已迫在眉睫。
2 网络安全面临的威胁
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他意图不轨的攻击,常见的威胁主要来自以下几个方面:
1) 非授权访问非授权访问指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授权的网络或文件访问,侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。
2) 自然威胁 自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。
3) 后门和木马程序 后门是一段非法的操作系统程序,其目的是为闯人者提供后门,它可以在用户主机上没有任何痕迹地运行一次即可安装后门,通过后门实现对计算机的完全控制,而用户可能莫名其妙地丢失文件、被篡改了数据等。木马,又称为特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马里一般有两个程序,一个是服务器程序,一个是控制器程序。
4) 计算机病毒计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。它具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等。
3 网络安全的防范策略
1) 防火墙技术的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2) 建立安全实时相应和应急恢复的整体防御没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。
3) 建立分层管理和各级安全管理中心建立多级安全层次和和级别,将网络安全系统分为不同的级别。包括,对信息保密程度的分级(绝密、机密、秘密、普密);对用户操作权限分级;对网络安全程度分级;对系统实现的结构分级等。从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
4) 阻止入侵或非法访问入网访问控制为网络访问提供第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。设定用户权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备执行哪些操作。
5) 数据传输加密技术目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。数据存储加密技术目的是防止在存储环节的数据失密。可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现;后者则是对用户资格、权限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
6) 密钥管理技术为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。
7) 加强网络的安全管理、制定有效的规章制度,对于确保网络的安全、可靠运行,将起到十分有效的作用。加强网络的安全管理包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度。制定网络系统的维护制度和应急措施包括:加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪;加强计算机人员安全防范意识,提高人员的安全素质;健全的规章制度和有效的、易于操作的网络安全管理平台。
4 结束语
解决安全的措施有很多,仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施,尽可能提高网络系统的安全可靠性。
参考文献:
第二届国家网络安全宣传周近日在北京中华世纪坛如期举行,本届宣传周沿用首届“共建网络安全,共享网络文明”主题。期间,腾讯与启明星辰联合宣布达成战略合作,并面向企业市场推出全面的终端安全解决方案――云子可信网络防病毒系统,建立国内强强联合的企业安全服务战略联盟,为“互联网+”国家战略落地提供终端安全服务。
安全行业加速整合
启明星辰副总裁兼首席战略官潘柱廷表示:“新时期企业安全形势已经发生了巨大变化。企业防御需求,从合规性需求向内在需求变化,而网络入侵等安全威胁也越来越体系化、形势更加严峻。”启明星辰、腾讯的战略合作,凸显中国自主安全技术联盟的实力,符合国家网络强国的战略方针。
过去,无论是企业终端安全,还是用户终端安全,不同领域内的安全厂商虽均有推出自己主打的安全产品,但国内的企业终端安全服务市场分散,行业整合度不高,企业终端安全产品在安全防护上大多是孤军奋战,不同厂商之间难以形成产品联动,鲜有及时联动的完整的企业终端安全解决方案;近两年频繁发生的企业网络遭受攻击、用户数据泄露事件,引发安全厂商对企业终端安全问题的关注。
腾讯副总裁马斌认为,互联网化呈现了三个业态,分别是智能化、数据化和实时化,其中最重要的一点就是互联网的安全,腾讯认为互联网+安全才能更加有效的保证互联网化的顺利进行。
面对互联网的发展与变化,各行各业都在进行朝向“互联网+”的转型,无论是国家级,企业级或是个人用户都在做“互联网+”的建设,而在云、管、端的每个层面都需要构筑完善,“互联网+”要如何才能在安全的生态环境下进行是一个重要的课题,启明星辰首席战略官潘柱廷表示:“安全在‘互联网+’的进程中已经不止是‘加’的关系,而是‘乘’的关系。”反过来说,如果对网络安全的问题没有投入足够的注意力,那么之前在互联网方面的积累可能会变成一种灾害,企业必须提升网络安全建设水平。
安全厂商需要各抒己长、协同合作给用户带来最好的网络安全解决方案。启明星辰首席战略官潘柱廷表示:“安全厂商不存在什么‘一招鲜’,而是需要做好自己擅长的,而后同其他企业协同合作一同完善网络安全体系。”
正如启明星辰副总裁欧阳梅雯所言:“企业级的市场很大,只有一家供应商是不健康的,只有多家供应商共同为用户服务,有竞争,有相互合作,也有追赶,才能为用户提供最健康的生态环境。我们希望和友商之间,通过良性竞争的方式让用户得到最安全、最实惠、最好的产品。”
在此背景下,腾讯与启明星辰的合作秉承“开放、联合、共享”的原则,通过开放腾讯安全云库的能力给启明星辰,结合启明星辰对网络安全的深层理解和安全产品研发能力,为国内企业级市场提供安全产品,并希望以此来推动“互联网+”的落地与演进。
优势互补
共筑企业安全生态圈
据了解,云子可信结合了启明星辰在企业级市场安全威胁管理方面近20年的深厚技术沉淀,以及腾讯在终端安全防护领域长达16年的深厚技术积累,可谓继承了双方的“最强基因”。马斌表示,云子可信是“双方打破壁垒,实现强强联合、优势互补,针对企业内网终端用户容易遇到的各类问题,提供一整套的完整终端管控安全解决方案。”
据了解,通过双方的技术结合,云子可信解决方案打通B端企业和C端用户,在全球首创了B端企业+C端用户双向沟通的高效管理模式――全景、全面、高效的全方位管理模式,构建了企业安全的新生态。
云子可信网络防病毒系统颠覆了传统企业安全防护产品的运营模式,首次采取“安全+管理”的一体化架构,并融合了腾讯TAV自主研发杀毒引擎、安全云库、云引擎等核心技术优势,以及启明星辰多年服务企业安全的运营经验,代表了中国自主企业安全的最好水平。
根据双方达成的战略协议,云子可信网络防病毒系统将由启明星辰负责产品和渠道运营,而腾讯输出引擎和云服务等核心技术。启明星辰是国内信息安全行业的领军企业,拥有横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域共计百余个产品型号,同时还是我国规模最大的国家级网络安全研究基地。启明星辰曾完成包括国家发改委产业化示范工程,国家科技部863计划、国家科技支撑计划等国家级科研项目近百项,拥有丰富的企业级安全产品设计、开发经验。
云子可信网络防病毒系统致力于为企业级用户提供终端的全面安全防护,并有以下特色:
云部署模式――云子可信网络防病毒系统采用了云部署模式,一方面通过检测特征云的方式,及时更新至病毒特征库;另一方面,为企业级用户提供了云查杀的模式,减少客户端PC的额外计算开销,提升用户的使用体验。
一键安全――云子可信网络防病毒系统充分考虑了终端安全产品使用习惯,摒弃了复杂的交互界面,提供一键式安全防护。
管理+安全――云子可信网络防病毒系统不仅仅是杀毒软件,针对企业内网终端用户容易遇到的各类问题,如机器变慢甚至死机、关键信息泄露、越权的网络访问等,也提供了相应的解决方案。实现了真正意义上的完整终端管控安全解决方案。
此外,云子可信的恶意代码分析技术即源于启明星辰ADLab――多年来一直保持亚洲地区CVE漏洞数量领先的地位,在恶意代码分析技术方面也有着深厚的技术积累。
腾讯安全则将全球最大的风险管理数据库――安全云库开放给云子可信,让这套终端安全威胁整体解决方案可以为用户提供强有力的安全检测能力,避免由于访问恶意域名导致的各类损失,维护用户的安全上网环境。腾讯自主研发的TAV反病毒引擎对于木马、病毒、蠕虫、僵尸程序等均有极高的识别和处理能力,通过云子可信结合云查杀的虚拟执行技术,可以对各类复杂甚至是未知恶意代码进行完美识别和查杀,同时保证终端用户的使用体验。
据中国互联网信息中心的调查数据显示,我国互联网发展再次提速,截止到2006年6月30日,我国网民人数达到1.23亿,与去年同期相比增长了19.4%,其中宽带上网网民人数为7700万人,将近全国网民总数的2/3。
中国网民数目的增长势头在过去数年节节上升,事实上早在2000年,中国网民群体已经仅次于美国、占据全球第二大的位置,中国取代美国成为全球最大的网民国家也指日可待。那么,互联网的快速发展对企业及各种机构等组织来说意味着什么呢?
“不可抗力”引发危机
企业在把握互联网带来的机遇的同时,必需密切关注互联网在中国日益普及所带来的挑战。
具体来说,互联网为企业及机构带来了三种“不可抗力”的影响:首先,互联网必会衍生电子商务,大部分商业活动转向网上进行如今已是不可逆转的趋势;其次,互联网使用及电子商务一定会引发更多的网络安全问题;再次,网络安全威胁不能彻底被消灭,绝对没有一劳永逸的安全方案或策略。这三种不可抗力引发出一个重要问题:中国企业及机构做好网络安全的准备了吗?
根据中国国社会科学院在5个城市进行的调查,大约有25%的被访者曾经尝试过网上消费。
电子商务在中国还有很大的发展空间,企业应该利用这个机会做好网络安全防范,否则当电子商务全面腾飞时企业将处于被动境地。
“犯罪软件”横行
目前,欺骗广告软件、间谍软件、恶意攻击软件都含有犯罪的意图,因此应该把它们正名为“犯罪软件”(Crimeware),这些软件的犯罪模式都有一个共通的特征,都是一个隐蔽的电子世界群体,采用先进的技术在不同网络的信息渠道非法挖掘资料,其中危害最大的是盗窃身份,利用身份图利。
根据澳大利亚贸易协会在2003年委托亚太地区安全事业研究中心(SIRCA)的一项调查结果显示,身份盗窃犯罪令澳大利亚每年蒙受11亿美元的经济损失,根据Unisys预测,这个数字应该达到40亿美元。
银行、金融业等一些警惕性较强的行业已经开始努力抗击网络犯罪,但效果不彰,原因是它们的对手属于“知识型”罪犯,“知识型”罪犯采用最新的技术及协作性很强的作案手法,而金融单位的传统防范措施完全不是为对付网络犯罪而设置。
银行采用的保安措施只是针对个别产品、个别种类的犯罪模式而设计,因此防止伪造支票的措施和自动柜员机的安全系统互不配套,而网络罪犯恰恰就能利用这一点,从多个切入点作案,因此金融机构必须设立一个整合的安全政策及防范体系结构,从多方位收集、分析、共享资料,让各部门迅速采取一致性的对策。
例如,当银行发觉某个银行账户在北京进行了一笔信用卡交易,五分钟后同―账户又在另一城市使用ATM提款,类似这种情况,就有可能存在骗案,而个别传统的独立防止犯案系统是不能察觉其中蹊跷的。
标准权威认证
美国国土安全部所制定的《捍卫虚拟空间安全的国家策略》值得我国借鉴。大体而言,这个策略制订了一系列安全标准供企业遵从,然后通过一家权威的认证单位对企业的安全准备作出评价和考核,如果企业符合标准便可取得有关认证,其模式与IS09000等质量认证相仿。
关键词:计算机网络安全网络攻击防范策略
1 计算机网络攻击的特点
1.1 损失巨大
由于攻击和入侵的对象是网络上的计算机,因此攻击一旦成功,就会使网络中的计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均每起计算机犯罪案件所成的经济损失是一般案件的几十到几百倍。
1.2 威胁社会和国家安全
一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
1.3 手段多样,手法隐蔽
计算机攻击的手段可以说五花八门:网络攻击者既可以通过监视网上数据来获取别人的保密信息,又可以通过截取别人的帐号和口令进入别人的计算机系统,还可以通过一些特殊的方法绕过人们精心设计的防火墙,等等。这些过程都可以在很短的时间内通过计算机完成,因而犯罪不留痕迹,隐蔽性很强。
1.4 以软件攻击为主
几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此,计算机犯罪具有隐蔽性,这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
2 计算机网络安全存在的隐忧
2.1间谍软件
所谓“间谍软件”,一般指从计算机上搜集信息,并在未得到该计算机用户许可时便将信息传递到第三方的软件,包括监视击键,搜集机密信息(密码、信用卡号、PIN码等),获取电子邮件地址,跟踪浏览习惯等。间谍软件还有一个副产品,在其影响下这些行为不可避免的响网络性能,减慢系统速度,进而影响整个商业进程。
2.2 混合攻击
混合攻击集合了多种不同类型的攻击方式,它们集病毒,蠕虫以及其他恶意代码于一身,针对服务器或者互联网的漏洞进行快速的攻击、传播、扩散,从而导致极大范围内的破坏。
2.3 绕道攻击
网关级别的安全防护无法保护电脑免遭来自CD,USB设备或者闪盘上的恶意软件攻击。同理,那些被拿到办公室之外使用的员工电脑也无法得到有效的保护。假如你将电脑拿到一个无线热点区域之中,那么窃听者以及AP盗用者都有可能拦截到电脑的相关通讯如果你的电脑并未采取足够客户端安全防护措施的话。而这些攻击,我们就将其称为“绕道攻击”。
2.4 强盗AP
是指那些既不属于IT部门,也并非由IT部门根据公司安全策略进行配置的AP,代表着一种主要的网络安全风险来源,它们可以允许未经授权的人对网络通讯进行监听,并尝试注人风险,一旦某个强盗AP连接到了网络上,只需简单的将一个WiFi适配器插入一个USB端口,或者将一台AP连到一个被人忽略的以太网端口,又或者使用一台配备了WiFi的笔记本电脑以及掌上电脑,那么未经授权的用户就可以在公司建筑的外面(甚至可能是更远一些的地方)访问你的网络。
2.5 网页及浏览器攻击
网页漏洞攻击试图通过Web服务器来破坏安全防护,比如微软的IISApache,Sunday的Java Web服务器,以及IBM的WebSphere。
2.6 蠕虫及病毒
感染现有计算机程序的病毒,以及那些本身就是可执行文件的蠕虫,是最广为人知的计算机安全威胁病毒。一般倾向于栖身在文档、表格或者其他文件之中,然后通过电子邮件进行传播,而蠕虫通常是直接通过网络对自身进行传播。一旦病毒或者蠕虫感染了一台电脑,它不仅会试图感染其他系统,同时还会对现有系统大搞破坏。
2.7 网络欺诈
网络钓鱼只是企图欺骗用户相信那些虚假的电子邮件、电话或网站,这些网站往往和网上银行或支付服务相关,让你认为它们是合法的,而其意图则是让用户提交自己的私人信息,或是下载恶意程序来感染用户的计算机。
2.8 击键记录
击键记录,或者输人记录,指的都是那些对用户键盘输人(可能还有鼠标移动)进行记录的程序,那些程序以此来获取用户的用户名、密码、电子邮件地址,即时通信相关信息,以及其他员工的活动等。击键记录程序一般会将这些信息保存到某个文件中,然后悄悄的将这些文件转发出去,供记录者进行不法活动。
3 安全策略
3.1 防火墙技术
防火墙的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
3.2 建立安全实时相应和应急恢复的整体防御
没有百分百安全和保密的网络信息,因此要求网络要在被攻击和破坏时能够及时发现,及时反映,尽可能快的恢复网络信息中心的服务,减少损失,网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。
3.3 阻止入侵或非法访问
入网访问控制为网络访问提供第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
3.4 数据传输加密技术
目的是对传输中的数据流加密,常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将被自动重组、解密,成为可读数据。
3.5 密钥管理技术
为了数据使用的方便,数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁
带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。