網絡安全體系解決方案范文

時間:2023-12-25 17:50:24

導語:如何才能寫好一篇網絡安全體系解決方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網絡安全體系解決方案

篇1

關鍵詞:電子政務;信息安全; OA ERP

1.背景

隨著電子政府的飛速發展,在帶來辦公便利的同事,也使政務信息面臨前所未有的網絡信息安全的威脅。電子政務系統一旦發生信息被竊取,網絡癱瘓,將癱瘓政府職能的履行,對政府職能部門以及社會公眾產生嚴重的危害。

2.系統安全現狀

根據省電子政務內外網的建設目標和建設原則,充分利用現有網絡資源,充分整合市政府原有的辦公資源網,公務外網, 將原辦公系統整合到統一的辦公業務資源平臺上。將辦公業務資源網與公務外網、互聯網實施物理隔離,公務外網與國際互聯網實施邏輯隔離。

電子政務的網絡平臺,承載多個業務單位系統數據傳輸,核心交換區應具有良好的安全可控性,實現各業務網絡的安全控制。由于安全防護為整個網絡提供NET、防火墻、VPN、IDS、上網行為管理、防病毒、防垃圾郵件等功能,因此,政府建立辦公業務資源網的工程雖是非涉密網,但安全保密仍然是工程建設的重點內容。存在的問題如下圖:

圖2.1

(1)缺乏統一的訪問控制平臺,各系統分別管理所屬的系統資源,隨著用戶數增加,權限管理愈發復雜,系統安全難以得到充分保障;

(2)缺乏集中統一的訪問審計,無法進行綜合分析,因此不能及時發現入侵行為;

(3)缺乏統一的權限管理,各應用系統有一套獨立的授權管理,隨著用戶數據量的增多,角色定義的日益復雜,用戶授權的任務越來越重;

(4)缺乏統一內部安全規范。為了保證生產、辦公系統的穩定運行,總部及各部門制定了大量的安全管理規定,這些管理規定的執行和落實與標準的制定初衷存在一定距離。

3.網絡與信息安全平臺設計方案

3.1設計思路

信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念,即信息保障的WPDRR模型。

3.2 安全體系設計方案

綜合安全體系結構主要考慮安全對象和安全機制,安全對象主要有網絡安全、系統安全、數據庫安全、信息安全、設備安全、信息介質安全和計算機病毒防治等。目前,政府網絡中心安全設計主要包括:信息安全基礎設施和網絡安全防護體系的建設。

3.3.1信息安全基礎設施設計方案

信息安全基礎設施總體設計方案架構如下圖:

圖3.1 信息安全基礎設施設計方案

基于PKI/PMI的信任體系和授權體系提供了基本PKI數字證書認證機制的試題身份鑒別服務,建立全系統范圍一致的新人基準,為整個政府信息化提供支撐。

網絡病毒防治服務體系采取單機防病毒和網絡防病毒兩類相結合的形式來實施。網絡防病毒用來檢測網絡各節點病毒入侵情況,保護網絡操作系統不受病毒破壞。作為網絡防病毒的補充,在終端部署單機反病毒軟件,實現動態防御與靜態殺毒相結合,有效防止病毒入侵。

邊界訪問采取防火墻和網閘來實施。網閘可以切斷網絡之間的通用協議連接;將數據包進行分解或重組為靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等;確認后的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。可以根據需求采取不同的方案。

3.3.2網絡安全防護體系設計方案

圖3.2 網絡安全防護體系設計方案

由于網絡是承載各種應用系統的載體,因而網絡系統的安全是十分重要的,必須從訪問控制、入侵檢測、安全掃描、安全審計、VPN等方面來進行網絡安全設計。

在應用層,根據網絡的業務和服務,采用身份認證技術、防病毒技術、網站監控與恢復系統以及對各種應用服務的安全性增強配置服務來保障網絡系統在應用層的安全。

在應用系統的開發過程中,要充分考慮到系統安全,采用先進的身份認證和加密技術,為整個系統提供一套完整的安全身份認證機制,以確保每個用戶在合法的授權范圍內對系統進行相應的操作。

3.3.3 災難備份系統設計方案

災難備份是為在生產中心現場整體發生癱瘓故障時,備份中心以適當方式接管工作,從而保證業務連續性的一種解決方案

備份中心具備與主中心相似的網絡環境,例如光纖,E3/T3,ATM,確保數據的實時備份;具備日常維護條件;與主中心相距足夠安全的距離。

當災難情況發生,可以立即在備份中心的備份服務器上重新啟動主中心應用系統,依靠實時備份數據恢復主中心業務。

4.網絡架構

針對辦公業務資源網和公務外網既要相互隔離又有數據交互的特點,在兩網之間部署網閘;為了分別保證兩網的安全,在核心交換區分別進行防火墻的部署,在核心交換區和應用服務器區分別部署IDS;建立智能安全管理中心,在辦公業務資源、公務外網部署流量檢測系統,于公務外網設置流量清洗系統,抗DDOS攻擊。在系統安全方面部署防病毒系統,另外公務外網部署了Web應用防火墻、網頁防篡改系統。通過安全集成在辦公業務資源、公務外網各部署一套網絡管理平臺系統和安全管理平臺系統。為防止外來終端接入對內部網絡安全的影響,將引入終端準入產品。

5.電子政務公務外網安全設計總結

綜上所述,根據市政府網絡中心功能需求,我們在網絡中心建立入侵監測系統、防火墻系統、防病毒系統、內網管理系統。在通過一系列技術手段對電子政務網絡防護的同事,加強了安全管理手段。實現技術和行政雙重方式來維護整個系統的安全,在通過對網絡使用人員、管理人員進行信息安全知識培訓,有效的發揮了網絡安全防護效果,達到了放牧目的。

參考文獻:

[1]龔儉.計算機網絡安全導論[M].東南大學出版社.     

[2]閆宏生,等.計算機網絡安全與防護[M].電子工業出版社.

篇2

* 從時間來看,網絡安全設計及解決方案往往只考慮事前防范,缺乏必要的事后追蹤及審計能力,時間層面上并沒有端到端考慮;

* 從空間來看,往往側重于考慮對來自外網的黑客防御,對于內部的安全控制缺乏必要手段,空間層面沒有端到端考慮;

* 從網路層面來看,往往側重于業務層的安全,對網絡層和用戶層的安全缺乏必要關注。

IP信息網全面安全防護要求

從完整的安全角度來看,安全的威脅包括基礎網絡資源本身以及承載的數據兩個方面,而對安全的保障也應該是一個從發送端到接收端的完整的端到端的安全防護模型

華為“i3安全”體系架構

面對當前日益復雜的網絡環境,作為“全業務和可管理網路”的倡導者、實踐者和領先者,華為公司以其長期的網絡實踐,先進的網絡理念認為在當前日益復雜的網絡環境下,需要對傳統的狹義網絡安全理念進行重大變革,基于對當前網絡發展需求的研究,開拓性地提出“i3安全”解決方案,即時間、空間、網絡層次三個緯度端到端集成安全體系架構,給產業界和用戶一個完整清晰的網絡安全導航圖。

華為i3 安全 三維度端到端集成安全體系架構:

* i-intelligence(智能),integrated(集成),individuality(個性化);

* 3-時間、空間及網絡層次三個維度的端到端( End to End);

* 安全-所有IP信息網絡的安全架構。

網絡層次端到端安全理念

* 網絡層:保障網絡路由,網絡地址等基礎網絡的安全

* 用戶接入層:確保合法的用戶接入,訪問合法的網絡范圍,并保障用戶信息的隔離等用戶接入網絡的安全

* 業務層:保證用戶訪問內容的合法性與安全性。

華為的“i3安全” 集成安全架構針對傳統網絡在用戶層防范比較薄弱的缺陷,采取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。

華為“i3安全”解決方案

針對安全的不同方面華為提出了相應的解決方案,并將這些解決方案與網絡各層次設備進行有機的融合,從而為用戶提供全面的端到端的集成安全服務。作為華為完整的安全體系,其網絡層次、時間、空間三個緯度是融合在一起密不可分的,并且體現在各層次的網絡設備中。華為路由器、以太網交換機、WLAN、EAS以太網接入服務器及Eudemon安全網關等基礎網絡設備提供全面的集成安全特性,并提供iTellin CAMS安全策略服務系統。

篇3

銳捷網絡基于多年行業網絡規劃和建設的經驗,以及在網絡準入安全方面深入的研究和成熟的應用,應對現有的行業網絡安全的挑戰,推出了GSN全局安全網絡解決方案,采用用戶身份管理體系、端點安全防護體系和網絡通信防護體系三道防線的構筑,實現了網絡安全的戰略縱深,確保了企業的網絡安全。

為了實現傳統網絡設備與專業安全系統的統一聯動,銳捷網絡GSN全局安全解決方案融合軟硬件于一體,通過軟件與硬件的聯動、計算機領域與網絡領域的結合,幫助用戶實現全局安全。

GSN是一套由軟件和硬件聯動的解決方案,它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

第一道防線――

用戶身份管理體系

用戶身份認證體系是GSN的第一道防線,也是整個方案的基礎防線,利用針對每個入網用戶的網絡準入權限控制,捍衛整個網絡安全體系。

GSN采用了基于802.1X協議和Radius協議的身份驗證體系,通過與安全智能交換機的聯動,實現對用戶訪問網絡的身份的控制。

通過嚴格的多元素(IP、MAC、硬盤ID、認證交換機IP、認證交換機端口、用戶名、密碼、數字證書)綁定措施,確保接入用戶身份的合法性。

在辦公區存在不同的業務終端PC,需要區分其訪問權限的情況下,GSN可以依照用戶身份,限制不同用戶的訪問權限,讓用戶在接入網絡后,只能訪問自己權限之內的服務器,網絡區域等。

第二道防線――

端點安全管理體系

端點安全管理體系是GSN的第二道防線,用于加強第一道防線的管理的精細度,應用于入網的各個客戶端PC機,針對現有的客戶端PC機管理的常見問題,提供有效的管理功能。

非法外聯將會嚴重影響企業網絡的完整性,給信息安全造成重大隱患。GSN通過銳捷安全認證客戶端與SMP系統的Syslog組件聯動,進行對內網客戶端PC連接互聯網行為的日志記錄,將用戶的用戶名、IP地址、MAC地址,用戶客戶端PC的硬盤序列號等多項內容全部記錄下來,可以精確地定位到是哪個用戶、哪個客戶端PC在進行互聯網的訪問,讓用戶無法抵賴非法外連行為。

針對常見的采用Modem進行撥號外聯上網的方式,GSN解決方案提供了相應的監控和處理功能。用戶在進行撥號操作時,GSN會將其內網連接斷開,并向用戶提出警告,同時也會干預用戶的撥號過程,使撥號失敗。

運行服務器方式較為隱蔽,不容易被發現和定位。GSN通過對PC客戶端運行進程的檢查,能夠立即定位服務器進程,對用戶進行警告并采取斷網等相關措施。

軟件黑白名單控制要求客戶端PC必備的軟件如防病毒軟件,以及不允許安裝的軟件如游戲軟件等,其管理措施可以通過GSN的軟件黑白名單控制功能實現。GSN的黑白名單功能可提供基于多個層面的檢測和控制。

通過對軟件安裝情況、進程運行情況、注冊表修改情況以及后臺服務運行情況的監控,可以對軟件的安裝和使用情況有一個詳細的了解。

同時,可依照企業的相關規定進行處理。例如禁止運行聊天軟件,就可以對聊天軟件進行檢測,如果檢測到聊天軟件,則對用戶進行提醒或者處理,如禁止其上網,直到客戶端PC卸載或關閉聊天軟件等。

操作系統補丁/軟件強制更新。不安裝補丁的操作系統很可能成為網絡安全的漏洞,而未及時安裝補丁的軟件也可能成為別有用心的人發動攻擊的一個平臺。

由于安全問題的不斷涌現,防病毒軟件的殺毒引擎和病毒庫的及時更新就顯得十分重要。

而不定期的重要應用軟件的補丁,也會對業務系統乃至整個網絡的正常運行起到關鍵的作用。如SQL Server軟件不安裝Service-Pack的情況下,很可能招致嚴重的蠕蟲病毒攻擊。

針對防病毒軟件和其他重要業務軟件的更新,GSN系統采用基于軟件黑白名單機制和客戶端PC修復、隔離機制共同實現。

目前GSN針對業界主流的十多種防病毒軟件進行聯動檢測,支持對防病毒軟件的安裝/運行狀態、病毒庫版本和引擎版本信息進行檢測。

針對統一的重要軟件更新包下發,可采用GSN的服務器主動推送的方式進行。此措施可針對所有或某一組、某一個在線的客戶端PC進行,統一下發更新包。而離線的客戶端PC將在上線之后收到更新包。可要求客戶端PC必須打上指定補丁后才能夠入網。

第三道防線――

網絡通信防護體系

網絡通信防護體系是針對前兩道防線的重要補充,一旦出現無法通過端點安全體系進行有效處理的安全事件時,基于網絡安全探針――IDS提供的事件監控,對網絡安全進行保證,有效幫助用戶實現“無人值守”的全局安全網絡。

ARP欺騙的防護。面對在等行業的局域網絡中時常出現的ARP欺騙,GSN能夠通過三層網關設備、安全智能交換機以及客戶端Su軟件的聯動,實現對ARP欺騙的三重立體防御。

采用銳捷網絡的可信任ARP(Trusted ARP)專利技術,實現三層網關設備和客戶端PC之間的聯動的可信任的ARP關系,從而保證了用戶與網關通信的正常。

在安全智能交換機上結合用戶認證信息,則能夠實現基于端口的ARP報文合法性檢查,基于深度檢測的硬件訪問控制列表,將所有ARP欺騙報文全部過濾,從而徹底阻止ARP欺騙的發生。

聯動的網絡安全事件處理

入侵檢測系統IDS可以監控網絡中流量的情況,并針對異常的流量發起預警。IDS匯報上來的信息包含源、目的IP,但這些信息對網絡管理人員處理安全事件來說,并沒有太大的意義。

因為處理網絡安全事件一定要追根溯源,定位到機器甚至定位到人,方能徹底解決,僅僅提供IP地址是不夠的。GSN體系中的安全事件聯動解決了這個問題。

IDS作為網絡通信的探針,對網絡的流量進行旁路監聽,并隨時向安全策略平臺SMP上報發生的安全事件,解析IDS上報的安全事件,并通過GSN體系中每個用戶的信息來將安全事件定位到人,并根據IDS與GSN共享的事件庫,對安全事件給出建議的處理方法,或者通過預先定制好的策略來對安全事件進行自動的處理,這就解決了在IDS檢測到安全事件后,難處理的問題。

通過RG-SMP安全管理平臺、RG-IDS入侵檢測設備、安全智能交換機和Su客戶端的聯動,實現了對網絡安全事件的檢測、分析、處理一條龍服務。基于嚴格的身份驗證,可以方便地將網絡安全事件定位到人,并自動通知和處理。

GSN針對安全事件的處理方式可以定制,管理員可在綜合評估網內安全形勢的情況下,對不同等級的安全事件做出不同程度的處理。

篇4

關鍵詞信息安全;PKI;CA;VPN

1引言

隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。

隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進行說明。

2信息系統現狀2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。

圖1

2)應用系統

經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。

2.2信息安全現狀

為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統現狀的分析,可得出如下結論:

(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:

(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。

針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。

已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。

網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:

(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。

(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。

(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。

4.2系統化原則

信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。

4.3規避風險原則

安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:

身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。

數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。

桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統

安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。

3)文件加密系統

文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:

(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。

(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。

7結論

本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。

也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。

篇5

【關鍵詞】網絡安全;防火墻;VPN;VLAN

一、引言

隨著電力施工企業信息化發展的不斷深入,企業對信息系統的依賴程度越來越高,信息與網絡安全直接影響到企業生產、經營及管理活動,甚至直接影響企業未來發展。企業網絡規模的擴大、信息接入點增多、分布范圍廣,使信息接入點管控難度大。企業信息與網絡安全面臨各類威脅,筆者以構建某電力施工企業信息與網絡安全體系為例,從信息安全管理、技術實施方面進行闡述與分析,建立一套比較完整信息化安全保障體系,保障業務應用的正常運行。

二、企業網絡安全威脅問題分析

1.企業網絡通信設備存的安全漏洞威脅,網絡非法入侵者可以采用監聽數據、嗅探數據、截取數據等方式收集信息,利用拒絕服務攻擊、篡改數據信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網絡系統的知識結構非常清楚,包括企業外部人員、企業內部熟悉網絡技術的工作人員,利用內部網絡進行惡意操作。非法用戶入侵企業內部網絡主要采用非法授權訪問對企業內部網絡進行惡意操作,以達到竊取商業機密的目的;獨占網絡資源的方式,非業務數據流(如P2P文件傳輸與即時通訊等)消耗了大量帶寬,輕則影響企業業務無法正常運作,重則致使企業IT系統癱瘓,對內部網絡系統造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經授權的程序代碼和軟件系統。病毒感染可能造成網絡通信阻塞、文件系統破壞,系統無法提供服務甚至重要數據丟失。病毒的傳播非常迅速;蠕蟲是通過計算機網絡進行自我復制的惡意程序,泛濫時可以導致網絡阻塞和癱瘓;間諜軟件在用戶不知情的情況下進行非法安裝,并把截獲的機密信息發送給第三者。

4.隨著企業信息化平臺、一體化系統投入運行,大量重要數據和機密信息都需要通過內部局域網和廣域網來傳輸,信息被非法截取、篡改而造成數據混亂和信息錯誤的幾率加大;當非法入侵者以不正當的手段獲得系統授權后。可以對企業內部網絡的信息資源執行非法操作,包括篡改數據信息、復制數據信息、植入惡意代碼、刪除重要信息等,甚至竊取用戶的個人隱私信息,阻止合法用戶的正常使用,造成破壞和損失。保護信息資源,保證信息的傳遞成為企業信息安全中重要的一環。

三、企業信息與網絡安全策略

結合電力施工企業業務廣范圍大特點,提出一套側重網絡準入控制的信息安全解決方案,保障企業網絡信息安全。

1.遠程接入VPN安全解決方案

施工企業擁有多個項目部,地域范圍廣,項目部、出差人員安全訪問企業信息系統是企業信息化的要求,確保網絡連接間保密性是必要的。采用SSL VPN安全網關旁路部署在網絡內部,通過設置用戶級別、權限來屏蔽非授權用戶的訪問。訪問內部網絡資源的移動、項目用戶先到SSL VPN上進行認證,根據認證結果分配相應權限,實現對內部資源的訪問控制。

2.邊界安全解決方案

在系統互聯網出口部署防火墻(集成防病毒和網絡安全監控模塊)和IPS設備,同時通過防火墻和IPS將企業內部網、數據中心、互聯網等安全區域分隔開,并通過制定相應的安全規則,以實現各區域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心,郵件、WEB網關設備、IDS及IPS等設備為輔的邊界防護體系。

(1)通過防火墻在網絡邊界建立網絡通信監控系統,監測、限制、更改跨越防火墻的數據流以及對外屏蔽網絡內部的信息、結構和運行狀況,控制非法訪問、增強網絡信息保密性、記錄和統計網絡數據并對非法入侵報警提示等,達到保障計算機網絡安全的目的。

(2)在防火墻上開啟防病毒模塊,可以在網關處阻止病毒、木馬等威脅的傳播,保護網絡內部用戶免受侵害,改變了原有被動等待病毒感染的防御模式,實現網絡病毒的主動防御,切斷病毒在網絡邊界傳遞的通道。

(3)以入侵防御系統IPS應用層安全設備,作為防火墻的重要補充,很好的解決了應用層防御安全威脅,通過在線部署,IPS可以檢測并直接阻斷惡意流量。

(4)將上網行為管理設備置于核心交換機與防火墻之間。通過對在線用戶狀態、Web訪問內容、外發信息、網絡應用、帶寬占用情況等進行實時監控,在上網行為管理設備上設置不同的策略,阻擋P2P應用,釋放網絡帶寬,有效地解決了內部網絡與互聯網之間的安全使用和管理問題。

3.內網安全解決方案

內網安全是網絡安全建設的重點,由于內網節點數量多、分布復雜、終端用戶安全應用水平參差不齊等原因,也是安全建設的難點。

(1)主要利用構建虛擬局域網VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,將信任網段與不信任網段劃分在不同的VLAN段內,實現內部一個網段與另一個網段的物理隔離,防止影響一個網段的安全事故透過整個網絡傳播,限制局部網絡安全問題對全局網絡造成的影響。

(2)建立企業門戶系統,用戶的訪問控制部署統一的用戶認證服務,實現單點登錄功能,統一存儲所有應用系統的用戶認證信息,而授權等操作則由各應用系統完成,即統一存儲、分布授權。

(3)系統軟件部署安全、漏洞更新,定期對系統進行安全更新、漏洞掃描,自動更新Windows操作系統和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網絡版的防病毒軟件,定期更新最新病毒定義文件,制定統一的策略,客戶端定期從病毒服務器下載安裝新的病毒定義文件,有效減少了病毒的影響;配置郵件安全網關系統,為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現郵件內容過濾等功能,有效地從網絡層到應用層保護郵件服務器不受各種形式的網絡攻擊。

4.數據中心安全解決方案

作為數據交換最頻繁、資源最密集的地方,數據中心出現任何安全防護上的疏漏必將導致不可估量的損失,因此數據中心安全解決方案十分重要。

(1)構建網絡鏈接從鏈路層到應用層的多層防御體系。由交換機提供數據鏈路層的攻擊防御。數據中心網絡邊界安全定位在傳輸層與網絡層的安全上,通過防火墻可以把安全信任網絡和非安全網絡進行隔離,并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力,即可以有效檢測并實時阻斷隱藏在海量網絡流量中的病毒、攻擊與濫用行為,也可以對分布在網絡中的各種流量進行有效管理,從而達到對網絡應用層的保護。

(2)建立數據備份和異地容災方案,建立了完善的數據備份體系,保證數據崩潰時能夠實現數據的完全恢復。同時在異地建立一個備份站點,通過網絡以異步的方式,把主站點的數據備份到備份站點,利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

5.安全信息管理與培訓

(1)網絡管理是計算機網絡安全重要組成部分,在組織架構上,應采用虛擬團隊的模式,成立了相關信息安全管理小組。從決策、監督和具體執行三個層面為網絡信息安全工作提供保障。建立規范嚴謹的管理制度,制定相應的規范、配套制度能保證規范執行到位,保障了網絡信息安全工作的“有章可循,有據可查”。主要涉及:安全策略管理、業務流程管理、應用軟件開發管理、操作系統管理、網絡安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規的執行等。

(2)人員素質的高低對信息安全方面至關重要;提高人員素質的前提就是加強培訓,特別加強是對專業信息人員的培訓工作。

四、結束語

該企業信息與網絡安全體系建設以技術、管理的安全理念為核心,從組織架構的建設、安全制度的制定、先進安全技術的應用三個層面,構建一個多層次、全方位網絡防護體系。在統一的安全策略基礎上,利用安全產品間的分工協作,并針對局部關鍵問題點進行安全部署,使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理,達到提升網絡對安全威脅的整體防御能力。

參考文獻

篇6

這家成立剛剛兩年的公司再一次填補了我國在工業控制系統(下稱“工控系統”)網絡安全風險評估領域缺乏有效工具和方法的空白。

近年來,國內外發生的越來越多的工控網絡安全事件,用慘重的經濟損失和被危及的國家安全警示我們:工業控制網絡安全正在成為網絡空間對抗的主戰場和反恐新戰場。 匡恩網絡總裁孫一桉說,預計匡恩網絡在今年可以實現可信和自主控制,形成―個基于可信計算的安全體系。

隨著“中國制造2025”和“互聯網+”在各個領域的深度滲透和廣泛推進,我們期待出現基于智能化、網絡化的新的經濟發展形態。而這個目標的實現,離不開自主可控的工控系統,離不開我國工控網絡安全行業的健康快速發展和像匡恩網絡這樣專注于智能工業網絡安全解決方案的高科技創新企業。

近日,就我國工控網絡安全的行業現狀和產業發展等相關問題,《中國經濟周刊》記者專訪了匡恩網絡總裁孫一桉。

匡恩網絡是工控安全行業最強的技術力量

《中國經濟周刊》:在國內工控網絡安全行業,匡恩網絡是規模最大、實力最強的企業之一,匡恩網絡在發展工控網絡安全產業方面有哪些優勢?

孫一桉:匡恩網絡作為中國的工控安全民營企業,源于中國,扎根于中國,對中國工控網絡安全行業有自己的見解和應對之道。

首先,匡恩網絡匯聚了網絡安全、工控系統等領域的優秀人才,是國內安全界普遍認可的工控網絡安全領域技術實力最強、規模最大的一支技術力量。

其次,匡恩網絡擁有完全自主知識產權的安全檢測和防護技術,國際領先,填補國內空白,申請和取得了發明專利30余項和著作權30余項。

再就是,以“4+1”防護理念為指導思想,匡恩網絡已完成3大系列、12條產品線,成為國內首家以全產品線和服務覆蓋工控網絡全業務領域的高技術創新公司;獨創了從設備檢測、安全服務到威脅管理、監測審計再到智能保護的全生命周期自主可控的解決方案。

“四個安全性”加“時間持續性”缺一不可

《中國經濟周刊》:我們了解到,您提出了“4+1”工控網絡安全防護理念,這一理念應該如何理解,對匡恩網絡的產品研發有什么意義?

孫一桉:匡恩網絡在實踐探索中創新性地提出了“4+1”的立體化工控安全防護理念。

第一是結構安全性,包括網絡結構的優化和防護類設備的部署;第二是本體安全性,主要關注工控系統中設備自身的安全性;第三是行為安全性,工控系統對行為的判斷、處理原則和入侵容忍度與信息系統不同,要根據工控系統的行業特點,判斷系統內部發起的行為是否具有安全隱患,系統外部發起的行為是否具有安全威脅,并采取相應的機制;第四是基因安全性,實現工控安全設備基礎軟硬件的自主可控、安全可信,并進一步將可信平臺植入到工業控制設備上;最后是時間持續性,即安全的持續管理與運維,在持續的對抗中保障安全。 在“4?29首都網絡安全日”博覽會上,匡恩網絡推出的部分保護類產品。

綜上,四個安全性加時間持續性,就構成了我們的工控安全防護體系。

匡恩網絡已實現全系列產品自主可控

《中國經濟周刊》:工控網絡安全領域的關鍵就是自主可控。匡恩網絡在這方面是如何布局并逐步推進的?

孫一桉:匡恩網絡是做工業控制網絡安全的,行業涉及國家關鍵基礎設施、制造、軍隊軍工等重大領域,所以我們從一開始就在硬件和軟件方面全部堅持自主研發,所有的解決方案都是自主開發,也申請了大量的專利和知識產權保護,目前已做到了全系列十幾款產品的自主可控,是國內同類廠商中的佼佼者。下一步,我們將把自己開發的硬件、軟件全部納入可信計算體系。我們可以保證任何篡改、植入的系統都不能在我們的環境下運行。預計匡恩網絡在今年可以實現可信和自主控制,形成一個基于可信計算的安全體系。

工控系統的特點是行業差異化大、投資大

《中國經濟周刊》:許多業內人士表示,工控網絡安全是一個很大的市場,也是將來能出現大公司的行業。關于這個市場,目前工控網絡安全主要針對或服務的是哪些行業?

孫一桉: 工控網絡安全的市場應從三個層次去看。

第一,工控網絡安全本身。我國制造業、基礎設施的規模非常大,它們在安全方面的花費有一個固定的比例。

第二,更大范圍內的大安全的概念。工業網絡安全也是生產安全的一部分,在大安全概念中的市場就更廣泛了,涉及到與功能安全相結合、數據安全相結合等,而不僅僅是網絡安全。 匡恩網絡推出的虛擬電子沙盤,展示智能制造等六大行業解決方案。

第三,做安全一方面是為了保護、防御系統安全,另一方面也是為了提高生產力,所以,在此基礎上衍生出了工控系統本身智能化的提升和生產力的提高。匡恩網絡的定位是從“工控的安全”做到“安全的工控”。這個過程當然不是一蹴而就,我們先要解決工控系統的網絡安全,之后再擴大到大安全的概念,最后再擴大到工業智能化,以安全為基因的智能化生產和智能化服務。

我們自2015年成立匡恩網絡智能工業安全研究院以來,就已經突破了傳統的、簡單的工業網絡安全的概念,在新能源和智能制造等領域開始布局新的產品,今年會有一系列新的產品。隨后我們還會再進一步擴大范圍。

之前的一兩年我們著重做平臺建設。工控系統的特點是行業差異化太大,我們投入巨大的研發力量,做了一個適應性非常好的平臺。這些前期的工作現在已經開花結果了,我們針對各個行業的特點做行業解決方案,提供定制化服務。目前覆蓋的行業主要包括能源電力、軌道交通、石油石化、智能制造等,凡是智能化水平比較高的工業和制造業企業都是我們的客戶。也包括基礎設施如燃氣、水、電、軌道交通、高鐵、航空、港口等。今后我們還要繼續拓展行業范圍,比如防疫站、醫院,未來也會關注更多的物聯網終端。

工控安全市場只開發了冰山一角

《中國經濟周刊》:工控網絡安全的需求這么大,您估計國內市場有多大規模?

孫一桉:我一直都不認為工控網絡安全是整體信息安全的一個細分市場,它更像是傳統信息安全領域的平行市場,市場規模非常大。但是這個市場的成長,從大家認識到開始采用再到大量采用,跳躍性很強,需要一個比較長的培養過程。

這種跳躍是由幾個原因造成的:一、這個市場更大程度上是一個事件驅動、政策驅動的市場,是跳躍性的。二、行業進入門檻非常高。不管是匡恩網絡還是華為、思科,要進入一個新行業,都要經過一個很長時間的試點和適應階段,而且在此期間看不到效益。但一個小小的試點,隨之而來的可能就是復制性很強的、爆炸性的市場。

現在我們所做的點點滴滴,只是未來更大的市場的冰山一角。盡管我們2015年相比2014年有10倍的增長,今年預計還會有大幅增長,但這并不是我們最看重的。在工控安全市場爆發點來臨之前,我們要做的,就是全力以赴地練內功,做品牌,做產品,讓用戶的認可度和滿意度不斷提升。

我們與傳統信息安全廠商主要還是合作關系,我們做工業控制網絡安全,介于信息安全和工業控制之間。這是一個新生態,我們在努力適應并融入這個新的生態圈。

專家點評

北京中安國發信息技術研究院院長、信息安全應急演練關鍵技術研究中心主任張勝生:我國工控安全保障需要從業務安全需求出發

在“兩化融合”“工業4.0”和“中國制造2025”的大背景下,隨著信息化的推進和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時,也帶來了工控系統的安全及泄密問題。我國工控系統及設備的安全保護水平明顯偏低,長期以來沒有得到關注,如系統終端平臺安全防護弱點,系統配置和軟件安全漏洞、工控協議安全問題、私有協議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權限控制的接入、網絡安全邊界防護,以及內部非法人員、密鑰管理、當前國際復雜環境等,存在各種網絡安全的風險和漏洞。

篇7

關鍵詞:網絡安全;網絡管理;防護;防火墻

中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2011)14-3302-02

隨著企業信息化進程的不斷發展,網絡已成為提高企業生產效率和企業競爭力的有力手段。目前,石化企業網絡各類系統諸如ERP系統、原油管理信息系統 、電子郵件系統 以及OA協同辦公系統等都相繼上線運行,信息化的發展極大地改變了企業傳統的管理模式,實現了企業內的資源共享。與此同時,網絡安全問題日益突出,各種針對網絡協議和應用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。

因此,了解網絡安全,做好防范措施,保證系統安全可靠地運行已成為企業網絡系統的基本職能,也是企業本質安全的重要一環。

1 石化企業網絡安全現狀

石化企業局域網一般包含Web、Mail等服務器和辦公區客戶機,通過內部網相互連接,經防火墻與外網互聯。在內部網絡中,各計算機處在同一網段或通過Vlan(虛擬網絡)技術把企業不同業務部門相互隔離。

2 企業網絡安全概述

企業網絡安全隱患的來源有內、外網之分,網絡安全系統所要防范的不僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問。企業網絡安全隱患主要如下:

1) 操作系統本身存在的安全問題

2) 病毒、木馬和惡意軟件的入侵

3) 網絡黑客的攻擊

4) 管理及操作人員安全知識缺乏

5) 備份數據和存儲媒體的損壞

針對上述安全隱患,可采取安裝專業的網絡版病毒防護系統,同時加強內部網絡的安全管理;配置好防火墻過濾策略,及時安裝系統安全補丁;在內、外網之間安裝網絡掃描檢測、入侵檢測系統,配置網絡安全隔離系統等。

3 網絡安全解決方案

一個網絡系統的安全建設通常包含許多方面,主要為物理安全、數據安全、網絡安全、系統安全等。

3.1 物理安全

物理安全主要指環境、場地和設備的安全及物理訪問控制和應急處置計劃等,包括機房環境安全、通信線路安全、設備安全、電源安全。

主要考慮:自然災害、物理損壞和設備故障;選用合適的傳輸介質;供電安全可靠及網絡防雷等。

3.2 網絡安全

石化企業內部網絡,主要運行的是內部辦公、業務系統等,并與企業系統內部的上、下級機構網絡及Internet互連。

3.2.1 VLAN技術

VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。

借助VLAN技術,可將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。

3.2.2 防火墻技術

1) 防火墻體系結構

① 雙重宿主主機體系結構

防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡和內部網絡的任務。

② 被屏蔽主機體系結構

被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,強迫所有的外部主機與一個堡壘主機相連,而不讓其與內部主機相連。

③ 被屏蔽子網體系結構

被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內網,一端連接外網。為了入侵這種類型的體系結構,入侵者必須穿透兩個屏蔽路由器。

2) 企業防火墻應用

① 企業網絡體系中的三個區域

邊界網絡。此網絡通過路由器直接面向Internet,通過防火墻將數據轉發到網絡。

網絡。即DMZ,將用戶連接到Web服務器或其他服務器,Web服務器通過內部防火墻連接到內部網絡。

內部網絡。連接各個內部服務器(如企業OA服務器,ERP服務器等)和內部用戶。

② 防火墻及其功能

在企業網絡中,常常有兩個不同的防火墻:防火墻和內部防火墻。雖然任務相似,但側重點不同,防火墻主要提供對不受信任的外部用戶的限制,而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。

在以上3個區域中,雖然內部網絡和DMZ都屬于企業內部網絡的一部分,但他們的安全級別不同,對于要保護的大部分內部網絡,一般禁止所有來自Internet用戶的訪問;而企業DMZ區,限制則沒有那么嚴格。

3.2.3 VPN技術

VPN(Virtual Private Network)虛擬專用網絡,一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線,但它并不需要真正地去鋪設光纜之類的物理線路。

企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統,與Internet進行隔離,控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間,將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離,禁止外網直接訪問內網,控制內網的對外訪問。

3.3 應用系統安全

企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制,對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等

病毒防護是企業應用系統安全的重要組成部分,企業在構建網絡防病毒系統時,應全方位地布置企業防毒產品。

在網絡骨干接入處,安裝防毒墻,對主要網絡協議(SMTP、FTP、HTTP)進行殺毒處理;在服務器上安裝單獨的服務器殺毒產品,各用戶安裝網絡版殺毒軟件客戶端;對郵件系統,可采取安裝專用郵件殺毒產品。

4 結束語

該文從網絡安全及其建設原則進行了論述,對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異,網絡安全管理任重道遠,網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設,確保網絡安全運行勢在必行。

參考文獻:

[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010.

[2] 王文壽. 網管員必備寶典――網絡安全[M]. 北京:清華大學出版社,2007.

篇8

關鍵詞:網絡安全;醫院網絡;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學技術的發展和信息時代的來臨,幾乎所有的醫院都建立了信息網絡,實現了信息資源的網絡共享。但在具體建設這個醫院網絡平臺時中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫院網絡平臺建設過程中信息安全的建設,包括如何保障醫療業務的正常進行、患者及醫生信息的合法訪問,如何使醫院網絡平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經成為急需解決的問題。

1 醫院網絡安全解決方案的設計

1.1網絡方案的模型

本文研究的醫院網絡安全解決方案是采用基于主動策略的醫院網絡安全系統,它的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導下,運用防護工具(防火墻、操作系統身份認證、加密等)對網絡進行安全防護;利用檢測工具(如漏洞掃描、入侵檢測系統等等)了解和評估系統的安全狀態,檢測針對系統的攻擊行為;通過適當的反應機制將系統的安全狀態提升到最優狀態。這個過程是一個動態的、不斷循環的過程,檢測到的威脅將作為響應和加強防護的依據,防護加強后,將繼續進行檢測過程,依次循環下去,從而達到網絡安全性不斷增強的目的[1]。

根據對網絡安全的技術分析和設計目標,醫院網絡安全解決方案要解決7個實現的技術問題,分別是:數據檢測,入侵行為控制,行為分析,行為記錄,服務模擬,行為捕獲和數據融合。醫院網絡安全解決方案以P2DR模型為基礎,合理利用主動防御技術和被動防御技術來構建動態安全防御體系,根據現有安全措施和工具,在安全策略的基礎上,提出基于主動策略的醫院網絡安全方案模型,如圖1所示。

醫院網絡安全解決方案模型入侵檢測監視網絡的異常情況,當發現有可疑行為或者入侵行為時,將監測結果通知入侵行為控制,并將可疑行為數據傳給服務模擬;服務模擬在入侵行為控制的監控下向可疑行為提供服務,并調用行為捕獲對系統所有活動作嚴格和詳細的記錄;數據融合定期地從行為記錄的不同數據源提取數據,按照統一數據格式整理、融合、提煉后,一發給行為分析,對可疑行為及入侵行為作進一步分析,同時通知入侵行為控制對入侵行為進行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進行更新,將新的模式添加進去。

1.2 防火墻隔離的設計

防火墻技術是醫院網絡安全系統中使用最廣泛的一項網絡安全技術。它的作用是防止不希望的、未經授權的通信進入被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。在醫院網絡中,既有允許被內部網絡和外部網絡同時訪問的一些應用服務器(如醫療費用查詢系統、專家號預約系統、病情在線咨詢系統等),也有只允許醫院網絡內部之間進行通信,不可以外部網絡訪問的內部網絡[2]。因此,對應用服務器和內部網絡應該采用不同的安全策略。

本文研究的醫院網絡安全解決方案采用的是屏蔽子網結構的防火墻配置。將應用服務器放置在屏蔽子網機構中的DMZ區域內,由外部防火墻保護,內部網絡和外部網絡的用戶都可以訪問該區域。內部網絡除了外部防火墻的保護外。還采用堡壘主機(服務器)對內部網絡進行更加深一些層的保護。通過核心交換機的路由功能將想要進入內部網絡的數據包路由到服務器中,由包過濾原則。過濾一些內部網絡不應看到的網站信息等。內部路由器將所有內部用戶到因特網的訪問均路由到服務囂,服務器進行地址翻譯。為這些用戶提供服務.以此屏蔽內部網絡。這種結構使得應用服務器與內部網絡采用不同級別的安全策略,既實現醫院網絡的需求,也保護醫院網絡的安全。防火墻系統結構設計如圖2所示。

雖然防火墻系統能夠為醫院的網絡提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫院的網絡安全系統還采取了其他的網絡安全技術和手段來確保醫院網絡的安全。

1.3 醫療業務數據的捕獲

如果本文研究的醫院網絡安全系統不能捕獲到任何數據,那它將是一堆廢物。只有捕獲到數據,我們才能利用這些數據研究攻擊者的技術、工具和動機。本文設計的醫院安全系統實現了三層數據捕獲,即防火墻日志、嗅探器捕獲的網絡數據包、管理主機系統日志。

其中,嗅探器記錄各種進出醫院內管理網的數據包內容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數據以Tcpdump日志的格式進行存儲,這些數據不僅以后可用通過Tcpreplay進行回放,也可以在無法分析數據時,發送給別的研究人員進行分析。

防火墻和嗅探器捕獲的是網絡數據,還需要捕獲發生有管理主機上的所有系統和用戶活動。對于windows系統,可以借助第三方應用程序來記錄系統日志信息。現在大多數的攻擊者都會使用加密來與被黑系統進行通信。要捕獲擊鍵行為,需要從管理主機中獲得,如可以通過修改系統庫或者開發內核模塊來修改內核從而記錄下攻擊者的行為。

2 醫院網絡安全解決方案的實現

2.1 防火墻系統的布置

本文研究的醫院防火墻系統采用的是屏蔽子網結構,在該結構中,采用Quidway SecPath 1000F硬件防火墻與外部網絡直接相連,通過核心交換機Quidway S6506R將屏蔽子網結構中的DMZ區域和內部網絡連接起來,DMZ區域中的各種應用的服務器都采用的是IBM xSeries 346,其中一臺作為堡壘主機使用。這臺堡壘主機起到的就是服務器的作用。防火墻根據管理員設定的安全規則保護內部網絡,提供完善的安全設置,通過高性能的醫院網絡核心進行訪問控制。

2.2 醫療業務數據捕獲的實現

本文研究的數據捕獲主要從三層進行數據捕獲。我們在網橋下運行如下命令進行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監視他在主機上的活動,我們采用Sebek來實現我們的目標。Sebek是個隱藏的記錄攻擊者行為的內核補丁。一旦在主機上安裝了Sebek的客戶端,它就在系統的內核級別運行,記錄的數據并不是記錄在本地硬盤上,而是通過UDP數據包發送到遠程服務器上,入侵者很難發現它的存在。

醫院的網絡安全系統數據捕獲是由內核模塊來完成的,本文研究使用這個模塊獲得主機內核空間的訪問,從而捕獲所有read()的數據。Sebek替換系統調用表的read()函數來實現這個功能,這個替換的新函數只是簡單的調用老read()函數,并且把內容拷貝到一個數據包緩存,然后加上一個頭,再把這個數據包發送到服務端。替換原來的函數就是改變系統調用表的函數指針。

本文通過配置參數決定了Sebek收集什么樣的信息,發送信息的目的地。以下就是一個linux配置文件的實例:

INTERFACE="eth0" //設定接口

DESTINATION_IP="172.17.1.2" //設定遠程服務器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設定遠程服務器MAC

SOURCE_PORT=1101 //設定源地址UDP端口

DESTINATION_PORT=1101 //設定目標地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網段有多個客戶端,則設定相同的數值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結束語

該文對醫院網絡安全的解決方案進行了較深入的研究,但該系統采用的技術也不能說是完善的,一方面因為它們也在不斷發展中,另一方面是因為設計者的水平有局限。比如醫院網絡的數據捕獲技術,它本身就是一個十分復雜的技術問題,解決的手段也是多樣的。

參考文獻:

篇9

關鍵詞:電信;網絡安全;技術防護

從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。

1 電信網絡安全及其現狀

狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。

電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。

然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。

2 電信網絡安全面臨的形勢及問題

2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅

傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。

2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素

NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。

2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復

目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。

2.4 相關法規尚不完善,落實保障措施缺乏力度

當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。

3 電信網絡安全防護的對策思考

強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。

3.1 發散性的技術方案設計思路

在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。

3.2 網絡層安全解決方案

網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。

3.3 網絡層方案配置

在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。

3.4 主機、操作系統、數據庫配置方案

由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。

3.5 系統、數據庫漏洞掃描

系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。

參考文獻

篇10

[關鍵詞]企業信息 網絡安全體系

一、企業信息網絡安全現狀概述

進入21世紀后,隨著國內信息化程度的快速提高,信息網絡信息安全越來越多受到關注,信息網絡安全產品和廠商短短幾年內大量涌現。但是,令人擔憂的是,雖然眾多的產品和廠商都以信息網絡安全的概念在提供服務,但其中包含的實際技術和內容卻千差萬別。這樣的情況,一方面對市場和用戶形成了誤導,不利于解決用戶的實際信息網絡安全問題,造成投資浪費;另一方面也不利于創造良性的競爭環境,阻遏了信息網絡安全市場的發展。

鑒于此,有必要對信息網絡安全進行成體系的理論探討,形成統一的共識和標準,這樣才能讓信息網絡安全產品和廠商真正滿足用戶的需求,解決用戶的實際問題,推動國家信息化的發展。

二、信息網絡安全問題的本質探討

1.信息網絡安全問題的形成原因

信息網絡安全問題的提出跟國家信息化的進程息息相關,信息化程度的提高,使得內部信息網絡具備了以下三個特點:

(1)隨著ERP、OA和CAD等生產和辦公系統的普及,單位的日程運轉對內部信息網絡的依賴程度越來越高,信息網絡已經成了各個單位的生命線,對信息網絡穩定性、可靠性和可控性提出高度的要求。

(2)內部信息網絡由大量的終端、服務器和網絡設備組成,形成了統一有機的整體,任何一個部分的安全漏洞或者問題,都可能引發整個網絡的癱瘓,對信息網絡各個具體部分尤其是數量巨大的終端可控性和可靠性提出前所未有的要求。

(3)由于生產和辦公系統的電子化,使得內部網絡成為單位信息和知識產權的主要載體,傳統的對信息的控制管理手段不再使用,新的信息管理控制手段成為關注的焦點。

上述三個問題,都是依賴于信息網絡,與信息網絡的安全緊密相連的,信息網絡安全受到廣泛的高度重視也就不以為奇。

2.信息網絡安全問題的威脅模型

相對于信息網絡安全概念,傳統意義上的網絡安全更加為人所熟知和理解,事實上,從本質來說,傳統網絡安全考慮的是防范互聯網對信息網絡的攻擊,即可以說是互聯網安全,包括傳統的防火墻、入侵檢察系統和VPN都是基于這種思路設計和考慮的。互聯網安全的威脅模型假設內部網絡都是安全可信的,威脅都來自于外部網絡,其途徑主要通過內互聯網邊界出口。所以,在互聯網安全的威脅模型假設下,只要將網絡邊界處的安全控制措施做好,就可以確保整個網絡的安全。

而信息網絡安全的威脅模型與互聯網安全模型相比,更加全面和細致,它即假設信息網絡中的任何一個終端、用戶和網絡都是不安全和不可信的,威脅既可能來自互聯網,也可能來自信息網絡的任何一個節點上。所以,在信息網絡安全的威脅模型下,需要對內部網絡中所有組成節點和參與者的細致管理,實現一個可管理、可控制和可信任的信息網絡。由此可見,相比于互聯網安全,企業的信息網絡安全具有以下特點:

(1)要求建立一種更加全面、客觀和嚴格的信任體系和安全體系;

(2)要求建立更加細粒度的安全控制措施,對計算機終端、服務器、網絡和使用者都進行更加具有針對性的管理;

(3)要求對信息進行生命周期的完善管理。

三、現有信息網絡安全產品和技術分析

自從信息網絡安全概念提出到現在,有眾多的廠商紛紛自己的信息網絡安全解決方案,由于缺乏標準,這些產品和技術各不相同,但是總結起來,應該包括監控審計類、桌面管理類、文檔加密類、文件加密類和磁盤加密類等。下面分別對這些產品和技術類型的特性做了簡單的分析和說明。

1.監控審計類

監控審計類產品是最早出現的信息網絡安全產品, 50%以上的信息網絡安全廠商推出的信息網絡安全產品都是監控審計類的。監控審計類產品主要對計算機終端訪問網絡、應用使用、系統配置、文件操作,以及外設使用等提供集中監控和審計功能,并可以生成各種類型的報表。

監控審計產品一般基于協議分析、注冊表監控和文件監控等技術,具有實現簡單和開發周期短的特點,能夠在信息網絡發生安全事件后,提供有效的證據,實現事后審計的目標。監控審計類產品的缺點是不能做到事情防范,不能從根本上實現提高信息網絡的可控性和可管理性。

2.桌面管理類

桌面管理類產品主要針對計算機終端實現一定的集中管理控制策略,包括外設管理、應用程序管理、網絡管理、資產管理以及補丁管理等功能,這類型產品通常跟監控審計產品有類似的地方,也提供了相當豐富的審計功能,

桌面監控審計類產品除了使用監控審計類產品的技術外,還可能需要對針對Windows系統使用鉤子技術,對資源進行控制,總體來說,技術難度也不是很大。桌面監控審計類產品實現了對計算機終端資源的有效管理和授權,其缺點不能實現對信息網絡信息數據提供有效的控制。

3.文檔加密類

文檔加密類產品也是信息網絡安全產品中研發廠商相對較多的信息網絡安全產品類型,其主要解決特定格式主流文檔的權限管理和防泄密問題,可以部分解決專利資料、財務資料、設計資料和圖紙資料的泄密問題。

文檔加密技術一般基于文件驅動和應用程序的API鉤子技術結合完成,具有部署靈活的特點。但是,因為文檔加密技術基于文件驅動鉤子、臨時文件和API鉤子技術,也具有軟件兼容性差、應用系統適應性差、安全性不高以及維護升級工作量大的缺點。

4.文件加密類

文件加密類產品類型繁多,有針對單個文件加密,也有針對文件目錄的加密,但是總體來說,基本上是提供了一種用戶主動的文件保護措施。

文件加密類產品主要基于文件驅動技術,不針對特定類型文檔,避免了文檔加密類產品兼容性差等特點,但是由于其安全性主要依賴于使用者的喜好和習慣,難以實現對數據信息的強制保護和控制。

5.磁盤加密類

磁盤加密類產品在磁盤驅動層對部分或者全部扇區進行加密,對所有文件進行強制的保護,結合用戶或者客戶端認證技術,實現對磁盤數據的全面保護。

磁盤加密技術由于基于底層的磁盤驅動和內核驅動技術,具有技術難度高、研發周期長的特點。此外,由于磁盤加密技術對于上層系統、數據和應用都是透明的,要實現比較好的效果,必須結合其他信息網絡安全管理控制措施。

四、構建完整的信息網絡安全體系

從前面的介紹可以看出,上述的信息網絡安全產品,都僅僅解決了信息網絡安全部分的問題,并且由于其技術的限制,存在各自的缺點。事實上,要真正構建一個可管理、可信任和可控制的信息網絡安全體系,應該統一規劃,綜合上述各種技術的優勢,構建整體一致的信息網絡安全管理平臺。

根據上述分析和信息網絡安全的特點,一個整體一致的信息網絡安全體系,應該包括身份認證、授權管理、數據保密和監控審計四個方面,并且,這四個方面應該是緊密結合、相互聯動的統一平臺,才能達到構建可信、可控和可管理的安全信息網絡的效果。

身份認證是信息網絡安全管理的基礎,不確認實體的身份,進一步制定各種安全管理策略也就無從談起。信息網絡的身份認證,必須全面考慮所有參與實體的身份確認,包括服務器、客戶端、用戶和主要設備等。其中,客戶端和用戶的身份認證尤其要重點關注,因為他們具有數量大、環境不安全和變化頻繁的特點。

授權管理是以身份認證為基礎的,其主要對內部信息網絡各種信息資源的使用進行授權,確定“誰”能夠在那些“計算機終端或者服務器”使用什么樣的“資源和權限”。授權管理的信息資源應該盡可能全面,應該包括終端使用權、外設資源、網絡資源、文件資源、服務器資源和存儲設備資源等。

數據保密是信息網絡信息安全的核心,其實質是要對信息網絡信息流和數據流進行全生命周期的有效管理,構建信息和數據安全可控的使用、存儲和交換環境,從而實現對信息網絡核心數據的保密和數字知識產權的保護。由于信息和數據的應用系統和表現方式多種多樣,所以要求數據保密技術必須具有通用性和應用無關性。

監控審計是信息網絡安全不可缺少的輔助部分,可以實現對信息網絡安全狀態的實時監控,提供信息網絡安全狀態的評估報告,并在發生信息網絡安全事件后實現有效的取證。

需要再次強調的是,上述四個方面,必須是整體一致的,如果只簡單實現其中一部分,或者只是不同產品的簡單堆砌,都難以建立和實現有效信息網絡安全管理體系。