时间:2024-04-02 10:14:49
引言:寻求写作上的突破?我们特意为您精选了12篇网络安全主动防护范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
3 四项安全措施的综合管理具体实施的步骤
3.1 实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并要求所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的,之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。
3.2 开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的,大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如应该有针对医院收费项目和患者费用信息的备份策略;又如一个镜象系统,以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
3.3 减少对安全策略的破坏
不论是有线网络,还是无线网络,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
3.4 封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络,具有最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
3.5 设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外,当笔记本电脑或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。
3.6 下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
3.7 禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的信息存入你的系统,因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的,通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
3.8 留意最新的威胁
据计算机安全协会 (CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
3.9 弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。
4 结束语
虽然安全性永远都不是百分之百的,但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。
参考文献
[1] 邓素平.构建网络安全防护体系[J].山东通信技术,2001,2:17-19.
[2] 刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.
中图分类号:TP393.08文献标识码:A 文章编号:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如: 网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
参考文献:
[1] 杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2] 裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―网络安全的机密与解决方案[ M].北京:清华大学出版社,2002
[4] 张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
1 静态网络安全模型的分析
传统网络安全模型又叫做静态安全模型。美国可信计算机安全评价标准(TCSEC)是传统安全模型中最典型最成功的模型,它代表着计算机安全模型从静态安全模型过渡到动态安全模型。可是,该模型主要为单机系统设计,没有评估网络系统的脆弱性,而动态网络安全模型更多考虑的是来自网络的威胁与攻击。
传统的网络安全模型应对不了动态的网络威胁。虽然静态安全模型推动了数据库、操作系统等方面的安全发展,但是随着越来越多的网络攻击和网络自身的深入发展,静态安全模型已经无法适应目前的技术需要了。
2 P2DR网络安全模型的分析
P2DR网络安全模型是一种以PDR模型为核心的动态自适应网络安全模型。自从ISS公司在20世纪90年代提出后,各行业不断改进的网络安全模型和采用的相应解决方案一般都是在此模型的基础上提出的,它是国内外在信息系统中应用最广泛的安全模型。该模型基于闭环控制理论,以安全策略为中心,引入了时间的概念,在传统安全模型基础上做了重大的改进。
P2DR模型由安全策略(Policy)、(防护Protection)、检测(Detection)和响应(Response)四个部分组成。它的原理是:在安全策略的控制和指导下,运用如防火墙、数字签名、身份认证等各种防护手段,实时对系统进行安全检测,并通过各种响应机制保护系统,降低网络风险性,从而提高网络性能。
P2DR模型也存在一定的弱点,它忽略了系统内在的变化因素和人为因素。除了防护、检测和响应三个环节外,优化网络系统、提升网络管理人员的素质,都是该模型没有涉及到的。
3 SAWP2DR2C网络安全防御模型的结构
为了更有效地解决各种新型的网络安全威胁,在P2DR网络安全模型基础上,我们提出了更具动态特征的主动式动态网络安全模型-SAWP2DR2C模型。
如图1所示,该模型分成八个部分:安全策略(P)、服务需求/风险评估(S/A)、预警系统(W)、安全防护(P)、安全检测(D)、响应(R)、恢复(R)和反击(C),各部分之间相互依赖,形成一个闭合的循环的系统。
图1 SAWP2DR2C模型示意图
(1)安全策略(Policy)整个模型的核心就是安全策略。模型中的每个环节都在安全策略的控制与指导下进行。网络安全策略的制定,要综合考虑网络预警情况、通信情况,要进行风险分析;当实施安全方案时,还需根据安全策略进行系统防护、检测、响应恢复和主动反击。
(2)服务需求/风险分析(Service/Analysis)服务需求是个动态变化的过程,也是整个网络安全的前提条件。要想提高系统防御功能,提高速度,就一定要针对特定的服务进行风险分析,制定与之对应的安全策略。
(3)预警(Warning)依据已有的网络攻击手段和攻击方法,结合当前网络系统的具体情况,对系统未来可能受到的攻击及危害进行预测。这个环节中可以让多个计算机系统协同工作,将单机防御机制变为联合协作机制。
(4)防护(Protection)通过加密、防火墙技术、认证、数字签名等技术,防御来自外界的网络攻击,同时切断内部的非法访问在一定程度上提高安全性能阻断黑客攻击。
(5)监控(Detection)实时监测可以通过动态的性能监测、蜜罐诱骗、入侵检测和漏洞扫描等方法及时发现网络的薄弱环节,它是整个模型动态性的体现,是主动对抗网络攻击的有力依据。如果监控到网络受到攻击或是扫描到网络存在漏洞,立即做出修补并将反馈结果传递到下一模块中。
(6)响应(Response)当网络遭到入侵并在一定程度上遭到了损害后,由响应模块进行紧急处理,响应是解决安全潜在性问题的最有效的方法。
(7)恢复(Recovery)恢复是指综合运用系统升级、打补丁等方式将遭受破坏的网络系统复原到未遭受破坏之前的状态,在恢复模块中,可以将发生安全事故时丢失的信息找回,或是利用软件升级和打补丁等手段修复网络。恢复是实现动态网络安全的保证,是系统生存能力的重要体现。
(8)反击(Counterattack)当网络遭到攻击时,网络安全系统追踪黑客的攻击信息,记录网络攻击者采用的攻击手段和手段,以此作为追究责任的依据。采用欺骗类、阻塞类、控制类、探测类和追踪定位等技术方法进行有力的反击,使攻击失败,提高网络的安全性能。
该网络安全模型各部分间相互独立又相互依赖,彼此协调工作,形成一个闭合的循环的圆环。通过各个模块的协调工作,网络的整体安全性得到提升。
4 SAWP2DR2C网络安全模型的五级网络安全因素
SAWP2DR2C网络安全模型包含五级网络安全因素。
(1)物理层安全。包括通信线路、物理设备和环境的安全等。在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。
(2)系统层安全。该层的安全问题来自网络运行的操作系统。安全性问题表现为操作系统本身的不安全因素。
(3)网络层安全。网络层的安全防护是面向IP包的。该层的安全问题主要指网络信息的安全性。
(4)应用层安全。该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性。
(5)管理层安全。包括安全技术和设备的管理、安全管理制度等。管理的制度化程度极大地影响着整个网络的安全。严格安全管理制度、明确部门安全职责划分及合理定义人员角色都可以在很大程度上减少安全漏洞。
5 结束语
SAWP2DR2C网络安全防御模型在P2DR网络安全模型基础上进行了优化和改进,使之更具有主动性,大大提高了网络的安全性,结合各种防御技术,可以综合应用在校园、企业等社会各界上,形成安全性更高的防御体系。
参考文献
[1]雷明.校园网环境的网络安全防御研究与实践[D].电子科技大学,2009.
一、网络安全
1、网络安全的概念。网络安全是指网络系统中的各个部件、软件以及数据的安全,它是通过对网络信息的存储、传输和使用的过程实现,包含两个方面,一是物理安全,即保障网络设备的安全,使其能够正常稳定地提供网络服务;二是逻辑安全,即保证在网络中存储和传输的信息的安全性。2、影响网络安全的因素。网络安全在现实生活会受到很多因素的影响,其中有人为的和自然的因素,包括系统配置不当,计算机病毒木马,软件漏洞等,均会对网络安全造成极大的危害。
二、网络安全防护
网络安全防护是一种网络安全技术,该技术致力于解决有效进行介入控制,保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
针对网络上各种安全问题和隐患,为了最大程度的减小损失,可以采用如下技术进行网络安全防护。
1、防火墙技术。防火墙是一种由软件和硬件结合构成的将内部网络与公用网络分隔开的隔离系统,用来在两个网络之间进行接入控制,从而可以防止非法用户访问和修改内部网络的数据,可以有效的将网络分隔开,确保内部网络安全。
2、数据加密技术。为了提高网络中传输的数据和信息的安全性,可以采用数据加密技术对重要的数据进行加密,防止机密信息被窃取泄露,其中常采用对称加密和非对称加密对信息进行加密算法,从而实现对数据信息的加密保护。
3、入侵检测技术。通过入侵检测技术,可以对网络系统中的几个节点进行检测,通过分析采集的数据信息,判断网络中是否有不安全操作行为及是否遭到攻击。入侵检测系统对网络的监测不会影响网络的正常运行,它能实时地对网络进行检测从而及时采取防护手段保护网络安全。
4、网络扫描技术。通过网络扫描技术,可以对复杂网络进行扫描从而发现网络系统中的安全漏洞,并及时对发现的漏洞进行相应的处理,采取必要的措施。网络扫描技术可以强化网络系统,是一种主动的防御策略,通过对网络系统的强化来防止网络安全受到侵害。
5、虚拟专用网。虚拟专用网(VPN)是一种在一定网络协议基础上,公网中逻辑上独立的专用网,通过虚拟专用网,用户可以通过公网中的虚拟专线实现数据的传输,从而保障了传输数据的安全性。
6、病毒防护技术。随着网络的发展,病毒的传播也变得更加迅速,对网络和计算机具有巨大危害。
三、思科网络安防系统
思科作为一家世界500强企业,作为一个在互联网解决方案提供领域的佼佼者,十分重视网络安全及防护,其用户遍及世界各地各大企业,领域涉及各个行业,可见其网络安防系统的安全可靠性。
1、思科的网络安全设计架构。安全域要在五个层次上隔离,即物理上隔离、逻辑上隔离、策略上隔离、应用上隔离、准入上隔离。而对网络安全域的划分需要对网络系统中各个设备进行集成化、模块化并实现阶梯式安全。
2、思科自防御网络。思科自防御网络是针对网络中的攻击和威胁进行识别、主动防御和应对的新型网络战略,通过三个阶段实现对网络的安全防护。(1)集成化的安全系统。(2)协作化的安全系统。(3)智能化的自适应安全系统。
3、思科SMB级安全网络平台。采用了思科自防御网络安全的组件,思科的SMB级安全网络平台还具备成本较低的优势,非常适合一些中小企业使用,这一经济有效的方案保证了连通性、简洁性、安全性以及可扩展性,能够帮助企业优化其运营,提升企业竞争力。
四、结语
计算机和网络的扩大与普及已成为不可逆转的趋势,而网络中影响网络安全和稳定的因素也必将随之不断增加,人们越来越开始重视网络中数据信息的安全可靠性,因此网络安全防护的重要地位将得到进一步显现。
参考文献
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
当今社会已经进入到了“互联网+”时代,网络安全与我们的生活息息相关,密不可分。网络信息安全对于国家、社会、企业、生活的各个领域以及个人都有十分重要的作用和意义。目前,在网络应用的深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新。防火墙、VNP、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在互联网络中得到了广泛应用。随着大规模网络的部署和应用领域的迅速拓展,网络安全的重要性越来越受到人们的关注,但同时网络安全的脆弱性也引起了人们的重视,网络安全问题随时随地都有可能发生。近年来,国外一些组织曾多次对中国企业、政府等网站进行过大规模的网络攻击,网络安全已渗入到社会生活的各个方面,提高网络安全防护能力,研究网络安全管理策略是一项十分紧迫而有意义的课题。
2 “互联网+”时代网络安全
互联网本身在软硬件方面存在着“先天”的漏洞,“互联网+”时代的到来让这只大网的规模急剧扩大,尽管在网络安全防护方面采取了很多有效性措施,然而网络信息所具有的高无形价值、低复制成本、低传播成本和强时效性的特点造成了各种各样的安全隐患,安全成为了互联网络的重要属性。
2.1 内涵
“互联网+”是指依托互联网基础平台,利用移动互联网、 云计算、大数据技术等新一代信息技术与各行业的跨界融合,发挥互联网在生产要素配置中的优化和集成作用,实现产业转型、业务拓展和产品创新的新模式。互联网对其他行业的深入影响和渗透,正改变着人们的生成、生活方式,互联网+传统集市造就了淘宝,互联网+传统百货公司造就了京东,互联网+传统银行造就了支付宝,互联网+传统交通造就了快的、滴滴。随着“互联网+”时代的到来,迫切需要“网络安全+”的保护,否则,互联网发展的越快遭遇重大损失的风险越大,失去了安全,“互联网+”就会成为沙中之塔。在国家战略的推动下,互联网产业规模的成长空间还很巨大,网络安全,刻不容缓。
2.2 主要内容
“互联网+”不仅仅是互联网移动了、泛在了、与传统行业对接了,更加入了无所不在的计算、数据、知识,给网络安全带来了巨大的挑战和风险。网络安全泛指网络系统的硬件、软件及其系统上的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不被中断。从内容上看,“互联网+时代”的网络安全大致包括四个方面:(1)网络实体安全主要是以网络机房的物理条件、物理环境及设施、计算机硬件、附属设备及网络传输线路的安装及配置等为主;(2)软件安全主要是保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全主要是保护数据不被非法存取,确保其完整性、一致性、机密性等;(4)管理安全主要是网络运行过程中对突发事件的安全处理等,包括采取安全分析技术、建立安全管理制度、开展安全审计、进行风险分析等。
2.3 基本要求
网络安全包括五个基本要求:机密性、完整性、可用性、可控性与可审查性。(1)机密性是指保证网络信息不被非授权用户得到,即使得到也无法知晓信息内容,通过访问控制、加密变换等方式阻止非授权用户获知信息内容;(2)完整性是指网络在利用、传输、贮存等过程中不被篡改、丢失、缺损等,以及网络安全处理方法的正确性;(3)可用性是指网络中的各类资源在授权人需要的时候,可以立即获得;(4)可控性是指能够对网络系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用方式;(5)可审查性是指对出现的安全问题能够提供调查的依据和手段,使系统内发生的与安全有关的行为均有说明性记录可查。
3 “互联网+”时代网络安全分析
3.1 特征分析
近年来,无论是在军事还是在民用信息领域中都出现了一个趋势:以网络为中心,各行各业与互联网紧密相关,即进入了“互联网+”时代。各类组织、机构的行为对网络的依赖程度越来越大,以网络为中心的趋势导致了两个显著的特征:一是互联网络的重要性;二是互联网络的脆弱性。
网络的重要性体现在现代人类社会中的诸多要素对互联网络的依赖。就像人们离不开水、电、电话一样,人们也越来越离不开网络,而且越是发达的地区,对网络的依赖程度就越大。尤其是随着重要基础设施的高度信息化,直接影响国家利益及安全的许多关键基础设施已实现网络化,与此同时,这些社会的“命脉”和“核心”控制系统也面临着更大的威胁,一旦上述基础设施的网络系统遭受攻击而失灵,可能造成一个地区,甚至是一个国家社会功能的部分或者是完全瘫痪。
网络的脆弱性体现在这些重要的网络中,每时每刻都会面临恶意攻击、病毒传播、错误操作、随机失效等安全威胁,而且这些威胁所导致的损失,也随着人们对网络依赖程度的日益增高而变得越来越难以控制。互联网最初基本上是一个不设防的网络空间,其采用的TCP/IP、SNMP等协议的安全性很脆弱。它强调开放性和共享性,本身并不为用户提供高度的安全保护。互联网络系统的脆弱性,使其容易受到致命的攻击。事实上,目前我国与互联网相连的大部分网络管理中心都遭受过境内外黑客的攻击或入侵,其中银行、金融和证券机构是黑客攻击的重点。
3.2 现状分析
《2013年中国网民信息安全状况研究报告》指出:整体上,我国网络安全环境不容客观,手机短信安全、应用软件安全、计算机终端安全和各类服务器安全状况不尽人意。
从数量规模上看,中国已是网络大国,但从防护和管理能力上看,还不是网络强国,网络安全形势十分严峻复杂。2015年2月,中国互联网信息中心《第35次中国互联网络发展状况统计报告》显示,随着“互联网+”时代的到来,2014年中国网民规模6.49亿,手机网民数量5.57亿,网站总数3350000,国际出口带宽达4118G,中国大陆31个省、直辖市、自治区中网民数量超过千万规模的达25个。
从应用范围上,“互联网+”时代的到来使得庞大的网络群体带领中国进入了“低头阅读”时代,“微博客账号12 亿,微信日均发送160 亿条,QQ 日均发送60 亿条,新浪微博、腾讯微博日均发帖2.3 亿条,手机客户端日均启动20 亿次”的数据体现了中国网民的特征。
从网络安全发展趋势上看,网络规模急剧扩大,增加了网络安全漏洞的可能性;多个行业领域加入互联网,增加了网络安全控制的难度和风险;移动智能互联设备作为互联网的末端延伸,增加了网络攻击的新目标;互联网经济规模的跃升,增加了网络管理的复杂性。
3.3 威胁分析
互联网络安全威胁主要来自于几个方面:一是计算机网络系统遭受病毒感染和破坏。计算机网络病毒呈现出异常活跃的态势,我国约73%的计算机用户曾感染病毒,且病毒的破坏性较大;二是电脑黑客活动猖獗。网络系统具有致命的脆弱性、易受攻击性和开放性,我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入;三是网络基础设施自身的缺陷。各类硬件设施本身存在漏洞和安全隐患,各类网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。国内与网络有关的各类违法行为以每年30%的速度递增,来自于外部的黑客攻击、病毒入侵和基于多IP的恶意攻击持续不断。
从网络安全威胁对象上看,主要是应用软件、新型智能终端、移动互联设备、路由器和各类网站。2015年瑞星公司的《瑞星2014年中国信息安全报告》显示,新增病毒的总体数量依然呈上涨趋势,挂马网站及钓鱼网站屡禁不止。新增手机病毒上涨迅速,路由器安全、NFC支付安全、智能可穿戴设备等是当前网络安全最为薄弱的环节。
从网络安全状态上看,仅2014年,总体网民中有46.3%的网民遭遇过网络安全问题,在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。2015年2月境内感染网络病毒的终端数为2210000,境内被篡改网站数量近10000个,3月电信网内遭受DDOS攻击流量近18000TB。2015年5月底短短几天,就有支付宝、网易、Uber等互联网龙头接连出现故障,这是海外黑客针对中国APT攻击的冰山一角。
从网络安全防护技术上看,一方面,安全问题层出不穷,技术日趋复杂。另一方面,安全问题的迅速发展和网络规模的迅速扩大,给安全解决方案带来极大的挑战,方案本身的研发周期和用户部署周期的影响,导致安全解决方案在处理实际问题时普遍存在强滞后性、弱通用性和弱有效性的特点。更为重要的是现有安全解决方案通常只能针对特定的安全问题,用户需要不断增加部署新的安全解决方案以应对网络安全的发展。
4 “互联网+”时代网络安全管理体系
安全是“互联网+”时展的核心问题,网络安全管理至关重要,在“互联网+”模式提出之后,如何守卫网络安全将成其发展的关键。“互联网+”时代更需要建立一个完整的网络安全防护体系,提高各网络设备、系统之间的协同性和关联性,使网络安全防护体系由静态到动态,由被动到主动,提高网络安全处置的自适应性和实时反应能力,增强入侵检测的阻断能力,从而达到全面系统安全管控的效果。
4.1 基于监测预警建立网络安全态势感知体系
在现有基础上,通过互联网安全态势评价指标,分级分层部料数据采集和感知分析系统,构建互联网安全态势感知体系。评价指标包括网络运行基础型指标,网络脆弱性指标、网络威胁指标三类。其中运行基础指标包括基础网络性能、基础网络流量和网络设备负载等;网络脆弱性指标包括关键网络设备性能指数、重要系统的状态参数、终端服务器运行状态等;网络威胁指标包括攻击事件、攻击类型、病毒传播速度、染毒终端数量等。为了有效地获取各类统计分析数据,需要在重要的节点和核心区域部署数据采集和感知分析系统,对网络中的应用终端、大型核心服务器等关键数据进行采集,如网络运行状态数据、病毒感染数据、骨干网络流量数据、服务器病毒攻击数据等,通过对采集数据的分析,形成分类、分级的网络安全态势,通过对数据的实时关联分析动态获取网络安全态势,构建一体联动的态势感知体系。
4.2 基于主动防御建立网络安全入侵检测体系
在现有入侵防御能力基础上,重点建设主动防御、网络蜜罐、流量清洗等系统,构建网络安全入侵检测体系。一是建设主动防御系统。利用启发式检测和入侵行为分析技术构建主动防御系统,部署于各类各级网络管理终端和核心服务器上,通过对未知网络威胁、病毒木马进行检测和查杀,主动检测系统漏洞和安全配置,形成上下联动、多级一体的安全防护能力。二是建设网络蜜罐系统。利用虚拟化和仿真等技术拓展和丰富网络蜜罐系统,实现攻击诱捕和蜜罐数据管理,在重要节点、网站和业务专网以上节点部署攻击诱捕系统,有针对性地设置虚假目标,诱骗实施方对其攻击,并记录详细的攻击行为、方法和访问目标等数据,通过对诱捕攻击数据分析,形成联动防御体系。三是建设流量清洗系统,包括流量监测和过滤分系统。在核心交换区域和网络管理中心部署流量检测分系统,及时发现网络中的攻击流量和恶意流量。在核心骨干节点部署流量过滤分系统,在网络攻击发生时,按照设置的过滤规则,自动过滤恶意攻击流量,确保正常的数据流量,从数据链路层阻止恶意攻击对网络的破坏。
4.3 基于实时响应建立网络安全应急管控体系
在现有应急响应机制基础上,通过进一步加强广域网络、系统设备和各类用户终端的控制,构建应急管控体系。一是加强多级、多类核心网络的控制。依托网络管理系统、流量监测系统以及流量清洗系统对骨干网络进行实时监控,实时掌控不同方向、不同区域、不同领域的网络流量分布情况、网络带宽占用情况,便于有效应对各类突况。二是加强网络安全事件的控制。特别是对影响网络运行的病毒传播扩散、恶意攻击导致网络瘫痪以及对各类网络的非法攻击等行为,要能在第一时间进行预警和处置。三是建立健全应急管控机制。对于不同类型的网络安全威胁,明确相关的职能部门及必要的防范措施,避免出现网络安全问题时“无人问津”的情况,确保网络安全处理的时效性。
5 结束语
时代赋予了互联网新的职能,互联网在给我们的生活带来便利的同时也威胁着人们的安全,必须着重研究和建立新的网络安全管理体制并制定相应的应对策略。网络安全策略不能停留在被动的封堵漏洞状态,也远远不是防毒软件和防火墙等安全产品的简单堆砌就能够解决的,网络安全需要形成一套主动防范、积极应对的可信、可控网络体系,从根本上提高网络与信息安全的监管、恢复和抗击、防护、响应等能力,对于个人、企业、社会甚至国家利益和安全都具有十分重要的现实意义。
参考文献
[1] 吴贺君.我国互联网安全现状及发展趋势[J].长春师范学院学报,2011(12).
[2] 陈君.互联网信息安全的“中国设计”[J].今日中国(中文版),2014(06).
[3] 周潜之.加强网络安全管理刻不容缓[N].光明日报,2014(01).
[4] 罗佳妮.完善互联网信息安全保障机制的思考[J].新闻传播,2013(09).
[5] 胡凌.网络安全、隐私与互联网的未来[J].中外法学,2012(02).
[6] 中国互联网信息中心.2013年中国网民信息安全状况研究报告[R].2013(09).
[7] 娜,刘鹏飞.2015中国互联网展望[J].新媒在线,2015(03).
[8] 熊励,王国正.移动互联网安全,一道绕不过去的坎[J].社会观察,2014(05).
[9] 喻国明.移动互联网时代的网络安全:趋势与对策[J].国明视点,2015(02).
[10] 蔡志伟.融合网络行为监测与控制技术研究[D].理工大学硕士论文,2011(06).
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
传统的网络安全模型应对不了动态的网络威胁。虽然静态安全模型推动了数据库、操作系统等方面的安全发展,但是随着越来越多的网络攻击和网络自身的深入发展,静态安全模型已经无法适应目前的技术需要了。
2 P2DR网络安全模型的分析
P2DR网络安全模型是一种以PDR模型为核心的动态自适应网络安全模型。自从ISS公司在20世纪90年代提出后,各行业不断改进的网络安全模型和采用的相应解决方案一般都是在此模型的基础上提出的,它是国内外在信息系统中应用最广泛的安全模型。该模型基于闭环控制理论,以安全策略为中心,引入了时间的概念,在传统安全模型基础上做了重大的改进。
P2DR模型由安全策略(Policy)、(防护Protection)、检测(Detection)和响应(Response)四个部分组成。它的原理是:在安全策略的控制和指导下,运用如防火墙、数字签名、身份认证等各种防护手段,实时对系统进行安全检测,并通过各种响应机制保护系统,降低网络风险性,从而提高网络性能。
P2DR模型也存在一定的弱点,它忽略了系统内在的变化因素和人为因素。除了防护、检测和响应三个环节外,优化网络系统、提升网络管理人员的素质,都是该模型没有涉及到的。
3 SAWP2DR2C网络安全防御模型的结构
为了更有效地解决各种新型的网络安全威胁,在P2DR网络安全模型基础上,我们提出了更具动态特征的主动式动态网络安全模型-SAWP2DR2C模型。
如图1所示,该模型分成八个部分:安全策略(P)、服务需求/风险评估(S/A)、预警系统(W)、安全防护(P)、安全检测(D)、响应(R)、恢复(R)和反击(C),各部分之间相互依赖,形成一个闭合的循环的系统。
图1 SAWP2DR2C模型示意图
(1)安全策略(Policy)整个模型的核心就是安全策略。模型中的每个环节都在安全策略的控制与指导下进行。网络安全策略的制定,要综合考虑网络预警情况、通信情况,要进行风险分析;当实施安全方案时,还需根据安全策略进行系统防护、检测、响应恢复和主动反击。
(2)服务需求/风险分析(Service/Analysis)服务需求是个动态变化的过程,也是整个网络安全的前提条件。要想提高系统防御功能,提高速度,就一定要针对特定的服务进行风险分析,制定与之对应的安全策略。
(3)预警(Warning)依据已有的网络攻击手段和攻击方法,结合当前网络系统的具体情况,对系统未来可能受到的攻击及危害进行预测。这个环节中可以让多个计算机系统协同工作,将单机防御机制变为联合协作机制。
(4)防护(Protection)通过加密、防火墙技术、认证、数字签名等技术,防御来自外界的网络攻击,同时切断内部的非法访问在一定程度上提高安全性能阻断黑客攻击。
(5)监控(Detection)实时监测可以通过动态的性能监测、蜜罐诱骗、入侵检测和漏洞扫描等方法及时发现网络的薄弱环节,它是整个模型动态性的体现,是主动对抗网络攻击的有力依据。如果监控到网络受到攻击或是扫描到网络存在漏洞,立即做出修补并将反馈结果传递到下一模块中。
(6)响应(Response)当网络遭到入侵并在一定程度上遭到了损害后,由响应模块进行紧急处理,响应是解决安全潜在性问题的最有效的方法。
(7)恢复(Recovery)恢复是指综合运用系统升级、打补丁等方式将遭受破坏的网络系统复原到未遭受破坏之前的状态,在恢复模块中,可以将发生安全事故时丢失的信息找回,或是利用软件升级和打补丁等手段修复网络。恢复是实现动态网络安全的保证,是系统生存能力的重要体现。
(8)反击(Counterattack)当网络遭到攻击时,网络安全系统追踪黑客的攻击信息,记录网络攻击者采用的攻击手段和手段,以此作为追究责任的依据。采用欺骗类、阻塞类、控制类、探测类和追踪定位等技术方法进行有力的反击,使攻击失败,提高网络的安全性能。
该网络安全模型各部分间相互独立又相互依赖,彼此协调工作,形成一个闭合的循环的圆环。通过各个模块的协调工作,网络的整体安全性得到提升。
4 SAWP2DR2C网络安全模型的五级网络安全因素
SAWP2DR2C网络安全模型包含五级网络安全因素。
(1)物理层安全。包括通信线路、物理设备和环境的安全等。在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。
(2)系统层安全。该层的安全问题来自网络运行的操作系统。安全性问题表现为操作系统本身的不安全因素。
(3)网络层安全。网络层的安全防护是面向IP包的。该层的安全问题主要指网络信息的安全性。
(4)应用层安全。该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性。
(5)管理层安全。包括安全技术和设备的管理、安全管理制度等。管理的制度化程度极大地影响着整个网络的安全。严格安全管理制度、明确部门安全职责划分及合理定义人员角色都可以在很大程度上减少安全漏洞。
5 结束语
SAWP2DR2C网络安全防御模型在P2DR网络安全模型基础上进行了优化和改进,使之更具有主动性,大大提高了网络的安全性,结合各种防御技术,可以综合应用在校园、企业等社会各界上,形成安全性更高的防御体系。
参考文献
[1]雷明.校园网环境的网络安全防御研究与实践[D].电子科技大学,2009.
近年来‘1.21 DNS事件’和‘棱镜门事件’等网络安全事件层出不穷,使得网络安全监控管理理论和机制的研究受到高度的重视,而各类网络安全技术的创新已是网络安全研究的主导方向。但是,网络安全体系一定要以网为本,从网络系统的角度重新设计网络的安全体系。下面就对网络安全技术应用的综合性及系统性进行剖析。
一、网络面临的安全问题
网络环境下的信息和数据面临诸多风险,即使是在使用了现有的安全机制情况下,由于每一种安全机制都有一定的应用范围和应用环境,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)网络的自身的安全缺陷是导致网络安全问题的根本原因。
TCP/IP协议是网络中使用的基本通信协议,设计之初没有充分考虑安全威胁,许多的网络协议和应用没有提供必要的安全服务。确切的说,TCP/IP除了最常用的TCP和IP协议外,还包含许多工具性协议、管理协议及应用协议。TCP/IP协议共分为应用层、传输层、网际层、网络接口层。其中,应用层向用户提供访问Internet的TELNET、FTP、DNS等一些高层协议。传输层提供应用程序端到端通信服务的TCP和UDP协议。网际层负责相邻主机之间的通信的IP和ICMP等协议。网络接口层主要负责数据帧的发送和接收。而这些协议基本上都存安全设计缺陷或漏洞。
(二)网络系统的维护和管理方面的困难性也是网络安全问题主要原因。
木桶理论:传统理论描述的是一个木桶其价值在于盛水量的多少,但决定盛水量的关键是最短的木板。新理论认为,木桶的长久盛水量,取决于各木板之间配合的紧密性。相对于传统理论,新理论更强调系统中各个部件之间的关联。
根据权威部门统计,超过80%的网络安全问题源于用户终端,业界也推出了大量的软硬件安全产品。但这些产品并没有真正解决终端安全问题,究其原因是它们只着眼于自己的领域,相互没有配合。
(三)用户的安全和防范意识薄弱是造成网络安全问题的最重要原因。
二、网络安全的防护
现阶段为了解决网络环境下所面临的安全问题,必须强化网络安全意识,创新网络安全策略,积极落实安全防范措施。但由于网络安全威胁的多样性和复杂性,从而导致了对网络安全防护的综合性和系统性。
(一)针对以上三大隐患我们需要进行有针对性的防范:
1.网络自身的安全缺陷导致的网络安全问题
对于网络自身的安全问题是不可避免,长期存在的。由于网络和相关软件越来越复杂,安全漏洞也会越来越多,这些漏洞往往成为网络攻击的重要目标或渠道。因此我们在与相应的软件硬件厂商保持实时信息交流的同时,时刻关注网络安全的最新消息,有针对性地更新解决方案和应用策略。
2.网络维护和管理方面的困难性导致的网络安全问题
网络安全需要网络管理者和建设者主动思考,通过安全联动技术将整个网络系统中的各类资源进行整合,这样才能真正实现全面防护、统一管理、降低成本、强制安全等目标。
3.用户安全和防范意识薄弱造成的网络安全问题
首先要通过管理制度和普及相应的法律法规来全面的提升用户的安全和防范意识,使用户主动做好终端的管理和防护;其次,需要抓住网络准入这一关键点来管理终端,确保终端安全制度严格实施。同时融入其它的安全和管理技术,建立主动防御的安全体系,并在实践中不断完善。
(二)网络安全防护还需通过以下方式手段进行完善:
1.部署防火墙
防火墙的基本功能是对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(内部网)和不可信任网络(Internet)之间。在实际的应用中可结合实际需求情况进行部署。
2.在网络内部和日常管理过程中建立多级备份机制
数据和信息安全工作是网络安全的重中之重。对于重要数据资料采取必要的容灾备份机制,以保证不丢失或被破坏,即使遭到破坏在最短时间内可以恢复。
3.加强对恶意代码程序的防护
在网络预防方面:由于现有的防控软件和硬件大多数都属于被动的防治,因此对于恶意代码程序的防护应该通过管理和制度上从根本进行预防。
在终端预防方面:由于恶意代码程序都是基于软件运行的。对其防治在于完善软件的安全机制。因此我们首先要严格管理制度,对网络中的终端使用行为和各类软件从严进行管理与检测。
①加强系统中软硬件的漏洞检测和更新
就目前网络系统的安全状况而言,系统中的软件和硬件都可能存在漏洞。因此必需与设备厂商建立长久的更新预防机制。
②采用加解密技术
网络是一个开放式系统,加密和解密技术不能公应用于email等应用,对于其它的网络通信也很重要。
③部署入侵检测系统
入侵检测系统可以检查网络或系统中是否存在违反即定安全策略的行为和被攻击的迹象,通过采取相应的联动手段达到限制这些活动,以保护网络和信息系统的安全。
三、结束语
网络安全技术的应用是一个综合性的课题,涉及到技术、管理、使用等诸多方面,既包含信息系统本身的安全问题,也有物理和逻辑的技术措施,需要通过精心调研网络信息系统的安全需求,确定切实可行的网络信息安全解决方案。只有通过在建设和应用过程中不断地分析问题、不断地创新解决方案,同时严格的执行相关的管理制度和操作规程、明确清晰的制定安全策略,以及建立高素质的网络管理人才队伍。才能完好、实时地保证信息的安全性、完整性和准确性,为网络信息提供最大化的安全服务。
参考文献:
一、威胁计算机网络安全的因素
(1)存在一定的无意的人为因素。人为的因素主要是部分的电脑操作者操作不当,比如说没有进行正常的安全配置,威胁操作系统,没有较强的计算机安全防护意识,这有很大可能将威胁到计算机网络安全。(2)操作系统存在一定的不安全性。每个操作系统都存在一定的不安全性,操作系统支持数据的交换与连接,这对网络安全来说是一个漏洞;操作系统还可以创建进程,然而这些进程软件就是系统进程,黑客不法分子经常就利用这些进程软件窃取信息;再者,操作系统还支持在互联网中传送文件,文件传输过程中很有可能附带一些可执行文件,是人为编写的,一旦出现漏洞被不法分子利用,会对计算机网络系统带来很大的破坏。(3)计算机病毒的威胁和恶意程序的破坏。由于计算机网络的互联性与广泛性,计算机病毒的传播速度和威胁力越来越大,病毒其实是一些破坏计算机数据或功能、阻碍计算机正常运行的,而且还可以自我复制的一段计算机指令或代码,而且病毒还有持续时间特别长、危害性特别大、传染性特别高的特点,病毒的传播途经也特别广,一些光盘和移动硬盘以及其他的硬件设施都是病毒传播的途径,一些恶意的程序如木马程序就是利用一些程序漏洞窃取信息的恶意程序,具有一定的自发性和隐蔽性。(4)黑客的恶意攻击。黑客对计算机网络安全带来巨大的威胁,他们通常能够利用一些软件来进行网络上的攻击,他们经常窃取和篡改计算机中重要的系统数据和资源,还能自己编制病毒破坏计算机系统,对计算机的安全防护带来巨大的影响和威胁。
二、计算机网络安全防护的主要对策
(1)要健全计算机网络安全管理的防护机制。建立健全计算机网络安全防护机制,是规范计算机用户和管理员行为的保障,建立健全网络安全管理机制,有利于提高用户和计算机系统管理员的职业水准和专业素质,有利于使计算机操作人员形成良好的习惯,促使他们及时的对数据资料进行备份,促进计算机网络安全防护的工作能够顺利开展。(2)要重视加强防火墙技术。采用防火墙技术是一种有效地手段,防火墙是一种网络的屏障,因为黑客要想窃取重要的机密与信息必须进入计算机内网,而要想访问内网就必须通过连接外网来实现,采用防火墙技术可以有效地防止这一现象发生,而且比较经济。(3)重视加强数据的备份工作。及时对一些重要的数据资料进行备份工作,通过存储技术将计算机中的重要的需要被保护的数据用其他的存储设施,如移动硬盘或者光盘进行转存,以防系统崩溃时数据被破坏或者丢失,即使数据被破坏或丢失后,也可以依靠备份来进行数据的恢复,只是在备份时,不要将源数据和备份数据放在一个服务器之中,另找一个安全的地方进行存放。要切实建立健全数据备份与恢复机制。(4)进行相关政策法规的保障,同时提高计算机操作人员。与管理人员的专业能力与素养,提高安全防护意识颁布相关的法律法规保障网络安全,加强管理,同时重视计算机网络的安全意识教育,再者要提高技术人员的专业能力与素养,对于一些基本的网络安全防护措施要很熟悉而且要做到位,及时的对新的技术人员进行培训与辅导,加强安全防护管理的意识,不断提高自身的专业技能与专业素养。
三、计算机网络安全防护的发展
对于计算机网络安全防护的发展,我们需要更加的完善网络安全防护措施,在不断进行完善更新的基础上采用更为先进和主动的防护措施,化被动为主动,我们可以采用“云安全”技术,云安全这项新的技术可以大范围的对网络中的异常的软件行为进行检测,获取关于病毒、木马等恶意程序的最新消息,并通过服务端进行自动的处理分析,然后给每一位客户发送解决方案。从而整个计算机互联网络就像是一个巨大的杀毒软件。采用“云安全”等新技术会让计算机网络安全防护变得更有力。
计算机互联网络是一个庞大而又复杂的信息网络,在这个信息网络之中,做好必要的安全防护措施是很重要的,计算机网络涉及的领域相当的广泛,如果不进行计算机网络的安全防护,那么一旦在计算机网络中一个领域中出现安全问题,那么其他的领域也会受到连锁的影响。因此全面认识到计算机网络中的不安全因素,及时提出实施安全防护措施,及时的让新技术加盟,我们才能够更好地确保计算机网络的安全,促进人们正常的学习、工作、生活,促进经济平稳迅速发展,确保国家安全。
参 考 文 献
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)12-0000-00
随着网络技术的逐渐普及,随之而来的网络安全隐患也随之不断暴漏,频发的网络安全事故在造成经济和社会危害的 同时让人们逐渐认识到网络安全的重要性。必须对网络信息安全进行科学理性的分析,找到切实可行的网络安全管理方法,从而有效的提升网络安全性。
1 计算机网络安全的主要隐患
凡是威胁到计算机网络安全性的因素,都称之为计算机网络安全隐患计算机网络安全隐患的存在,给计算机带来了严重的威胁,如果不能采取科学的措施应对计算机网络安全隐患,很可能导致计算机用户资料和信急泄露、计算机被病毒感染等后果,给计算机用户带来信息、资料、精神和经济的多方面损失在此,将计算机网络安全的主要隐患总结如下:
所谓的网络安全隐患,就是可能对计算机网络产生威胁的因素。它的存在给计算机网络的应用带来了大范围的危害,如果不及时发现并加以清除,会导致诸如用户信息泄露、网络终端遭受病毒攻击、虚拟财产受到侵害等多方面的负面影响。其主要表现形式为:
1.1 网络漏洞扩大
在计算机网络中,计算机病毒和木马往往是通过网络漏洞入侵并发动攻击的。一般来说,网络漏洞的生成是有网络管理者的疏于管理造成的。如果网络漏洞不能及时封堵,不法分子往往会通过这些漏洞进行侵犯,并在网路中进行更大范围的传播,给同一网络内的终端带来极大的安全隐患。
1.2 黑客入侵
一般来说,利用计算机漏洞发动网络攻击的都是拥有较高计算机技术的黑客。他们通过非法手段入侵用户计算机或者终端,通过破解网络密码、破坏储存数据、植入扩散性病毒,甚至直接操纵终端的方式使用户蒙受大量损失。
1.3 病毒入侵
如果连入网络的计算机不能对网络内的病毒进行有效的防御,将会遭受病毒的入侵。其后果就是导致系统变慢、卡机甚至丧失运转能力。而网络病毒通常通过应用程序或者文件进行伪装。如果客户下载了这些含有病毒的文件,就会导致计算机中毒。而计算机病毒最具威胁的地方就是,当用户发现中毒时,计算机病毒已经窃取到了客户的相关信息。给用户的企业及个人信息甚至财产造成极大的隐患。而技术更加高级的病毒甚至可以让中毒电脑变成病毒的发射站,继续对网络内的其他电脑造成破坏。
1.4 网络诈骗
网络是一种虚拟社会,人们通过各种工具建立联系,网络中形形的人不一而足,很多不法分子在掌握了相关技术后以此为机会开展网络诈骗。近年来,通过虚假网站、虚假聊天等方式开展的网络诈骗行为有增多的趋势,如果一旦落入络诈骗行为的陷阱中,就很容易遭受巨大损失。
2 计算机网络安全管理措施
为了有效提升网络安全系数、打击网络诈骗,有必要对网络安全进行必要的安全管理,从用户接入、网络安全防护、过滤不良信息等方面进行管控,制定网络安全突发事件下的应对措施和应急预案,最大限度的将网络安全隐患降低到可控的范围之内。
2.1 加强网络防火墙的防护效果
目前广泛运用的网络防火墙是人们在计算机内部通过假设技术性防护屏障来对用户的信息以及资产安全进行防护的措施。计算机防火墙一方面可以过滤由外部网络进人内部网络或用户计算机的各种程序、代码,防护来自外部网络的不安全因素,另一方面及时预警外部网络的黑客攻击或者病毒入并有效防护计算机安全。基于计算机防火墙的功能,建议所有的计算机都要及时的升级计算机内部的防火墙,及时关注防火墙的安全信息,通过防火墙将可以检测到的病毒隔离在计算机终端之外。
2.2 提升杀毒软件的普及率
计算机杀毒软件是用户为了保护计算机安全而进行的主动防御措施。虽然计算机杀毒软件与计算机病毒的产生和发展相比具有一定程度的滞后性,但是对于一般的病毒而言,计算机杀毒软件还是具有较强的甄别和杀灭效果。用户要主动安装计算机杀毒软件,及时升级,定期对计算机进行全方位的检测,确保计算机网络的安全。由于计算机软件的使用门槛较低,杀毒效果较好,成为了目前较为流行的计算机网络安全防御工具,用户要对计算机杀毒软件的作用引起高度的重视。
2.3 提高网络访问的权限
目前的计算机网络根据功能都设定了一定的访问权限。访问权限的高低决定了相关用户可以了解计算机信息的多少。所以说必须设定科学的访问权限等级从而有效维护计算机的网络安全。如果访问权限设定过高,会影响到客户的访问效果;反之,如果计算机网络的访问权限较低,将提升网络安全的隐患。所以要在兼顾网络安全以及用户体验的同时,合理的设置网络访问的权限等级。网络安全管理人员也要对网络安全进行全方位的监控,在发现入侵危险的同时,要及时的进行锁定和隔离。
2.4 制定完善的网络安全应急预案
网络安全事件在发生的初期一般都是可以控制的,所以说要在网络安全事件发生之前就制定有效的应急预案,完善网络安全管理责任制,结合以网络的网络安全案例,对可能发生的网络攻击行为进行预判,并根据不同的网络攻击模式制定详细的应对措施,在实践的过程中对于应对预算加强改进和完善,从而在最大程度上确保用户的网络安全。
3 结语
计算机网络技术的发展总是和网络安全问题的发展相辅相成的。我们要正视这个现实,从技术层面和教育层面增强用户的网络安全意识。不断提升网络安全层级,积极主动地降低网络安全事故给社会经济发展和人民群众的生产生活带来的不利影响。
近年来,伴随着网络信息市场规模的迅猛发展,各种针对网络的违法犯罪活动的可能性也在不断增加,而一段时间以来曝光的各类网络诈骗、信息泄露以及网络攻击事件也在提醒着人们必须告诉重视网络实践中各种潜在的风险,切实利用好各种网络安全技术,最大限度地有效规避信息时代中的各种网络风险。
1网络工程实践中的一般安全技术分析
网络工程实践中的安全技术伴随着网络工程的发展而不断完善,目前总结来看网络工程实践中的安全技术主要分为以下几大类:
1.1攻击
所谓攻击,是指应用各种杀毒软件工具对可能影响计算机网络正常工作的各类病毒进行反攻击和查杀,从而达到保护计算机并保证计算机正常工作的目的。一般来说,由于该技术应用较为普遍且一般仅能满足小众型用户的网络安全需要,因而只是一种最基本的网络安全技术手段。
1.2预防
所谓预防,主要是指利用相应的网络技术手段来防止计算机内部信息的泄露及数据信息破坏。目前来看,计算机内部信息的泄露途径主要有黑客恶意访问、恶意软件等等,因此为有效计算机网络内部信息的泄露及破坏,一般主要采用网络信息密码技术和防火墙技术,其中密码技术是当前网络安全尤其是网络信息安全的重要技术之一,采用加密技术后的加密网络,不仅可以有效阻止非授权用户的搭线窃听及非法访问行为,同时也是有效应对各类恶意软件的可靠途径,目前,通常情况下的加密行为可以在通信的三个层次来实现,即分别是链路加密、节点加密和端到端加密三种;防火墙技术则是专门在公网和专网、外网和内网之间搭设的一个技术性的保护措施,其可以有效拦截来自外部网络的各种网络攻击,包括内网的网络安全,随着防火墙技术的快速发展,目前的防火墙技术已经相当成熟和完善,其中主流的防火墙技术主要有包过滤技术、应用技术和状态监测技术三种。
1.3监测
这里的监测主要是指对网络工程内外部环境进行实时监测,以确保计算机网络能够正常工作,目前网络工程中进行监测使用较多的主要是IDS即计算机网络入侵检测系统,以旁路为主,对计算机网络进行实时监控,一旦发生可疑情况及时报告或者采取有效措施来进行应对,同时还可以对来自网络内部的各种攻击进行积极主动的观测,这是相比较于防火墙技术IDS的独特优势所在。
1.4控制和管理
控制和管理也是网络工程中常用的安全技术,所谓控制是通过运用本地监测软件等对网络工程运行情况进行定期和不定期的扫描,以及时发现并处理各种漏洞及风险,而管理则是通过虚拟网、VPN技术等对计算机网络的运行进行安全管理和维护,防止各类安全问题的出现。
2网络工程实践中安全技术的应用分析
随着网络工程实践的不断延伸,网络工程实践中的安全问题也逐渐受到人们的高度重视,尤其是在当前越来越趋于复杂的网络安全发展态势下,要想真正确保网络工程的安全使用,笔者以为,必须要建立起一个立体化的网络安全防护体系,这一体系应该涵盖计算机网络工程的软件、硬件乃至管理等诸多方面,彼此之间相互配合协调,真正实现网络工程的安全使用。根据当前网络工程风险的来源的不同层次,笔者主要从网络工程的网络层安全、应用层安全及管理层安全三个角度来论述网络工程实践中安全技术的应用。
2.1网络工程的网络层安全防护
网络层安全是网络工程中安全防护的重要区域,例如来自网络上的计算机病毒以及来自局域外的恶意攻击等等,都会对网络工程的安全使用造成巨大威胁,因此对于网络层的安全防护,除了必须采用相应的防火墙技术以外,还应积极主动地安装相应的IDS系统和IPS系统,及时发现并积极处理各种来自网络层的安全风险,确保计算机网络工程网络层方面的安全。
2.2网络工程的应用层安全防护
除了网络层方面的风险以外,应用层安全也是网络工程日常维护中需要重点加强安全防护的区域之一,常见的应用层网络风险主要由于人为应用而产生的一些漏洞,这些漏洞一旦被非法利用则有可能对网络工程的安全带来风险,例如有的计算机编程人员为省时方便而在软件中存留有一定的漏洞,这些漏洞的存在就极有可能被其他人员获取,因而会成为黑客等不法分子的首要攻击目标,因此必须在日常维护中利用交换技术、虚拟网及VPN等技术来对网络工程中的各种软件进行定期和不定期的扫描,一旦发现潜在漏洞及时填补。
2.3网络工程的安全管理防护
网络工程实践中安全技术的使用主要靠工作人员来完成,因此管理者在网络工程的安全防护方面发挥着不可替代的关键作用,在日常工作过程中,工作人员要积极主动地强化对各类网络安全技术的熟悉,能够及时发现网络工程实践中存在的各种现实和潜在的风险,有针对性地进行安全维护,同时还必须不断提高自身的网络安全意识,切实做好网络安全管理工作。
3总结
总之,在当前日趋复杂的网络工程安全领域,仅仅依靠简单的被动式防御已经不能很好地适应今后的网络工程安全防护工作需要,加快构建包括网络工程的网络层、应用层以及安全管理在内的立体式、动态化以及智能化的网络工程防护体系,当是未来网络工程安全防御的大趋势,也是当下网络工程安全防护工作者所应该认真思考、积极实践的现实性问题。
参考文献
[1]杨雅颂.网络工程实践中安全技术的应用[J].电子技术与软件工程,2016(19):235-236.
[2]毕文霞.试析网络工程实践中安全技术的应用[J].黑龙江科学,2016(14):34-35.
中图分类号:TP311
一、引言
信息技术的飞速发展,给当今社会带来了巨大的冲击和变革,国家的政治、经济、军事、文化以及人们的日常生活等方方面面,都深深地打上了信息烙印。然而信息技术繁荣的背后,信息网络日益暴露了其安全上的隐患和漏洞,向人们展示了其脆弱的一面,呈几何增长的网络安全事件不断地冲撞着人们的心理防线。Internet在造福人类的同时也成了网络破坏者和犯罪的天堂。信息网络安全形势日益严峻,网络攻防越演越烈,人们越来越多地把目光投向信息网络安全的前沿阵地。传统的安全防护手段如防火墙、入侵检测、安全漏洞扫描、虚拟专用网等都是被动的,它们依赖于对攻击的现有认知,对未知攻击基本没有防护效果。
蜜罐作为一种新的安全工具在攻击的检测、分析、研究,尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐并不是传统安全防御手段、工具的替代,而是它们的辅助和补充。相对于传统安全手段、工具的被动防御,蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间,赢得主动。蜜罐是一种伪装成真实目标的资源库,它不能明显改善网络的安全状况,其主要目的是吸收受保护系统的网络安全风险、诱捕并分析网络攻击行为,帮助用户对网络安全状况进行评估。将蜜罐和传统安全防护工具相结合,根据实际需求,合理配置,信息系统将得到更好的安全保障。
二、蜜罐原理
蜜罐的最终目标是尽可能详尽地捕捉、收集、监视并控制入侵者的活动,蜜罐的所有设计、部署和实施都是围绕这一目标进行的。
蜜罐可以是单独的系统,也可以和受保护的关键系统放在一起。蜜罐由密和罐组成,蜜就是引诱黑客前来攻击的攻击诱骗技术。网络攻击诱骗技术的目的体现在入侵前后两个阶段,在黑客入侵前主要是吸引黑客的注意并诱使其发起攻击,增大黑客发现并入侵蜜罐的几率。在黑客入侵后主要是迷惑入侵者,使其相信蜜罐是真实的系统,蜜罐和真实系统最大的不同在于蜜罐没有正常的网络访问,是一个处于严密监视的、静寂的系统,所以需要使用诱骗技术来迷惑身陷蜜罐的入侵者,使他们相信他们入侵的就是一个真实的系统。
数据捕捉是蜜罐的核心功能,就是在不被入侵者察觉的情况下尽可能多地捕捉、收集他们的活动并存放在安全的地方。数据捕捉主要分为两层,一是基于主机的数据收集,就是在蜜罐目标系统捕捉和收集入侵者的活动,包括他们所执行的操作,访问过的数据和文件,主要表现为击键序列和系统日志;二是基于网络的数据收集,就是通过网络步骤和收集入侵者的活动,网络黑客的所有探测、攻击最终都是通过互联网发起的,各种数据和信息都通过网络来传送,通过截获的所有网络流量,可以监视入侵者在蜜罐中的活动,了解其与外界的联系。
蜜罐是存在诸多安全漏洞,易于攻破,高风险的网络监视系统。蜜罐是网络安全防护工具,在保护网络安全的同时,其自身的安全同样不容忽视。蜜罐是一个监视系统,也是一个牢笼系统,在诱捕黑客、收集数据,延缓入侵者攻击其他系统的同时,需要对入侵者的行为进行控制,将他们的活动限制在一定范围内,避免入侵者利用蜜罐攻击其他网络系统。一般系统的数据控制是严进宽出,蜜罐正好相反,对于进入系统的网络连接和流量不作任何限制,蜜罐外出的流量很可能是入侵者借蜜罐对外发起的新的攻击。
数据控制和数据捕捉是一对矛盾,控制得越多,系统就越安全,同时捕捉到的数据也就越少。让蜜罐捕捉的数据尽可能地多,同时系统被攻破的风险尽可能地小是蜜罐的设计目标。
三、结束语
蜜罐是主动防御型网络安全工具,它适用于各种类型的局域网,可以和现有的防火墙、入侵检测系统产生互动,互为补充,在网络防火墙、入侵检测系统等其他安全措施的配合下,弥补原有网络安全防御系统的不足,提高网络安全系统,蜜罐只是捕捉网络攻击行为的工具,对网络攻击行为进行学习和研究,最终调整安全策略、部署以及从根本上改善信息安全现状才是真正的目的。
参考文献:
[1]吕波.基于主动防御性的密网系统研究与实现[D].电子科技大学,2010(5).