在网络高速发展的今天,网络已成为人类最丰富多彩的虚拟世界,计算机技术和通信技术相结合所形成的信息基础设施已经成为反应信息社会特征最重要的基础设施,图书馆作为一个专业的网络信息库,给我们提供很多方便快捷的专项信息。目前,支撑图书馆的关键技术主要有信息处理、信息存储和信息传输3个方面。这种由新技术带来新的信息资源形态(数字化)和新的信息资源使用方式(网络传输),必然存在许多网络隐患,易受网络黑客攻击。另外,高职院校图书馆网络系统具有体系结构开放、资源共享和信道公用等特性,这使得高职院校图书馆网络安全问题更加突出。
1.威胁高职院校图书馆网络安全的因素
1.1软件系统的漏洞
目前,大部分图书馆的信息服务器主要采用Web界面和基于TCP/IP协议的信息技术系统。TCP/IP协议现在已经广为应用、但也存在许多不足造成安全漏洞在所难免,例如:smurf攻击、ICMPUnreachable数据包断开、IP地址欺骗以及SYNflood。然而,最大的问题在于IP协议是非常容易“轻信”的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。
其次是图书馆的服务器一般用WindowsServer的操作系统,系统以图形化界面和易操作闻名,但存在着安全漏洞;另外应用软件也存在着漏洞或者缺陷。这也给黑客提供了攻击的突破口。例如,数据库是图书馆重要组成部分之一,常用的有SQL、Oracle、Sybase等,未打全补丁的数据库系统就是一个隐藏着的定时炸弹,网络上专门针对此的扫描和攻击工具不胜枚举。黑客一旦攻破其漏洞,其造成的后果将不堪设想。
1.2网络硬件系统
硬件的安全问题也可以分为两种,一种是物理安全,一种是设置安全。从物理上讲,高职院校图书馆园网络的安全是脆弱的,因为校园网络设备分布较为广泛,任何个人或部门都不可能时刻对这些设备进行全面监控。另一个方面,大多数高职院校将有限的经费主要投入在一些基本的网络设备上,对于保证网络安全的硬件关心较少,例如只注重服务器、路由器、交换机的性能而忽略了防火墙、杀毒软件的重要性,相对减少投入,所以导致校园网基本还处在一个个开放的状态,没有任何有效的安全预警机制和防范措施。
1.3内部攻击
1.4外部攻击
(1)来自Internet的病毒攻击
高职院校图书馆网络一般是通过CERNET与Internet相连,在享受Internet的高效便捷的同时,大量的网络病毒也伴随攻击而来。计算机病毒直接影响计算机系统的正常运行速度,破坏系统软件和文件系统,破坏网络资源使网络效率急剧下降,甚至造成计算机网络系统的瘫痪。现阶段,出现了专门攻击计算机网络的网络型病毒,如特洛伊木马、蠕虫病毒、震荡波、冲击波病毒、AV终结者、磁盘病毒、W0M系列盗号木马等等。
(2)黑客非法攻击
1.5内部人员管理因素
内部工作人员的素质、职业道德和责任心等对系统安全占较大比重,其中人为因素产生的原因如下:(1)管理者对系统安全的认识不足,安全意识淡薄,对安全的重视程度不够,不能及时发现已经存在的和可能出现的问题。(2)个别工作人员敬业精神不高,责任心不强,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能做出积极、有序和有效的反应。(3)技术能力不够,由于网络管理人员和有关技术人员缺乏必要的专业知识,不能安全配置和管理网络,在服务器上随意安装非法软件。(4)安全管理制度不健全或执行力度不够等因素,从而导致网络安全体系和安全控制措施不能充分、有效地发挥,造成信息泄露,给攻击者创造机会。
2.高职院校图书馆网络的防范措施
2.1选择稳定的软件系统,保证图书馆数字化安全。
2.2利用防火墙技术,避免网络威胁和黑客攻击
2.3利用加密技术,保护数字馆藏安全和信息产品传输安全。
利用加密技术是保护数字馆藏安全和信息产品传输安全的常用措施。数据库加密方法有库内加密、整个数据库加密和硬件加密。优秀的数据库管理系统(DMS)内嵌有面向网络的数据库安全保护模块,提供安全服务。美国NIST公布的数字签名算法DSA是一个公开密钥数字签名算法,用于保证网络数据传输的完整性和一致性,从而保证数据传输的准确和安全。
2.4安装防病毒软件,预防计算机病毒的入侵
防病毒软件,也可称为杀毒软件,它具备预防隔离和查杀病毒的双重功能,主要是针对已经遭受网络病毒入侵的网络在病毒入侵后,及时用杀毒软件进行杀毒,能有效的减少损失挽救各种重要信息数据。此外,杀毒软件还能实时跟踪监督各软件的运行情况,一旦发现威胁会立即报警,反馈给用户。图书馆选择一款有效优质的正版的杀毒软件便安装了第二道保护网络安全的防线。图书馆内部局域网中传播的病毒大多是管理人员工作不严谨细致导致的,这些病毒往往是在无意间就进入了工作站。因此在平时工作中,工作人员需慎重选择使用安装软件,不要轻易在工作站上插入来历不明的优盘,非用不可时必须先对它们扫描杀毒。在安装杀毒软件后,还要注意随时更新它。因为网络病毒形式千变万化,随时都有新品种诞生,杀毒软件也会做出新的防御措施。及时下载更新病毒数据库,有利于更好的实现网络安全的维护。
2.5加强图书馆数据的备份工作
数字信息是数字图书馆的核心资源,其中书目信息和读者借阅信息是图书馆员工多年辛苦劳动的结晶,数据丢失所带来的损失也常常是难以估量的。因此,图书馆数据的备份是一项极为重要的工作,应定期进行数据转储,将数据备份到其它存储设备上,或采用磁盘阵列等技术,利用冗余硬盘,让系统实时对数据进行备份,再配合热插拔等技术,可以保证在部分数据被破坏后,能立即启用备份数据,使服务部中断。
2.6采用多种方案、建立安全管理机制
只有建立了相应的安全管理制度和操作规程,才能使数字图书馆的员工各司其职,工作有章可循。把图书馆的安全措施和管理制度融会为一个整体,为图书馆的网络安全运行提供保障和基础。比如:(1)制定网络安全管理制度,划分各自得权限,规范各项计算机操作活动。(2)定期进行安全审核,主要是审核制度的安全策略,管理制度是否被有效地、准确地执行,不断调整网络系统配置以达到最优化。(3)加强图书馆各部门的协调能力,严格遵守图书馆岗位责任制。最大限度地保证数字图书馆系统安全和系统能够稳定运行。
3.结语
在信息化、网络化的时代,计算机病毒的泛滥、黑客的恶意攻击和读者网络信息的安全需求已构成对数字图书馆网络信息安全的迫切要求,网络安全任务越来越重要,加强数字图书馆信息的安全与防范工作刻不容缓。因此,这就需要全馆人员同心协力,严格遵守岗位责任制,在工作中不断努力与创新,以确保数字图书馆能在安全、稳定的状态下运行,为更多的读者提供信息服务。
参考文献
[1]黎九平.基于数据挖掘的数字图书馆网络安全管理研究[J].情报探索,2012(12).
[2]赵晓红,雒伟群,刘伟光,等.高校图书馆网络安全分析与防护策略[J].计算机与信息技术,2009(3).
1人工智能技术的优势分析
1.1具有比较强的学习推理能力
1.2强大的模糊信息处理能力
众所周知,人工智能技术在网络安全的防御过程中扮演着重要的角色,这也就决定了人工智能技术的重要价值.人工智能技术应用后,可以充分发挥其自身所具备的模糊信息处理能力,提高传统网络安全防御中我们所面临的处理不确定性和不可知的问题处理能力.我们的网络运营环境基本都是处于比较开放的环境中,所以会使多种数据信息的传播速率不断加快,再加上互联网的沟通和互联功能,这就会使得很多信息无法确定,网络安全的管理工作显得格外重要,在进行对信息分析处理的工作中,运用人工智能技术将会事半功倍,结合不准确以及不确定信息来控制管理网络资源,其信息处理能力颇为出色.
1.3网络防御协助能力比较强
在上文中已经提到,目前所面临的网络环境是呈现复杂状态的,这就是说,我们的网络安全防御的保障工作也是复杂的,是一项系统化的工程.我国的网络环境规模也逐渐的扩大,并且其内在的结构也是更加趋向于复杂,这无形中就给我们的网络安全防御工作提出了更高的要求.为了有效的避免其存在的误区,必须要加强各方面措施的协调、协同、协作,充分实现各个防御环节的共同优势.我认为,人工智能技术应用于网路安全防御中时,需要划分为三个不同的层次,这也就需要我们实现分层次的管理.一般来讲,就是上层管理者对中层管理者实行轮询监督,中层管理者对下层管理者实行轮询监督,从而构建起一个完整的工作体系,这也就能够提升网络安全防御的质量.
1.4计算的成本比较低
2我国的网络安全防御现状分析
3人工智能技术在网络安全防御中的具体表现
3.1智能防火墙在安全防御中的应用
3.2垃圾邮件自动检测技术在安全防御中的应用
3.3人工神经网络技术在安全防御中的应用
结语
综上所述,人工智能技术在网络信息安全防御的过程中具有显著的作用,它能够有效的规避传统防御方式的弊端,为新形势下网络信息安全保障工作做出了重要贡献.总之,人工智能技术在网络安全中的应用是全方位的,是一项系统工程,我们也需要运用综合的方法,比如明确智能防火墙技术、人工神经网络技术、垃圾邮件自动检测技术等在网络安全防御中的应用,为我国的网络安全环境提供基本的理论支撑.
参考文献:
〔1〕李泽宇.人工智能技术在网络安全防御中的应用探析[J].信息通信,2018(1):196-197.
〔2〕吴京京.人工智能技术在网络安全防御中的应用探析[J].计算机与网络,2017,43(14):60-61.
关键词:主动防御;网络安全;攻击;防御
DesignofNetworkSafetyAttackandDefenseTestPlatformbasedonActiveDefense
WANGChao-yang
(5Department43Team,ArtilleryAcademyoftheP.L.A,Hefei230031,China)
Abstract:Nowtraditionalpassivedefensetechnologywillnotreplythebehaviorofunceasingincreaselarge-scalenetworkattack.Accordingtothecharacteristicandtheadvantageofactivedefense,thearticlehasintroducedakindofdesignschemetestplatformabortnetworksafetyattackanddefensebasedonthetechnologyofactivedefense,andthedesignandrealizationofsystemfromthetwopiecesofexperimentmodularabortattackanddefense.
Keywords:activedefense;networksafety;attack;defense
目前,伴随着计算机网络的大量普及与发展,网络安全问题也日益严峻。而传统的、被动防御的网络安全防护技术也将越来越无法应对不断出现的新的攻击方法和手段,网络安全防护体系由被动防御转向主动防御是大势所趋。因此,立足现有网络设备进行攻防实验平台的设计和研究,对于未来网络安全防护技术的研究具有深远的指导意义。
1系统功能设计概述
1.1主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-activeDefense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如:网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2攻防实验平台模型设计
2.1设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在―漏洞检测(攻击模块)―攻击进行(攻击模块)―系统被破坏―补救措施(防御模块)―解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4-5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3攻防模块设计
3平台的实现
3.1主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
[1]杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2]裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]StuartMcClure,JoelScambray,GeorgeKurtz.黑客大曝光―网络安全的机密与解决方案[M].北京:清华大学出版社,2002
[4]张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5]黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
随着计算机网络的出现和发展,计算机已经融入到人们的生活之中,成为了人们生活中的支撑性发展技术。在这种形势下,计算机面对的安全威胁也越来越多,因此计算机网络的防御策略需要不断进行加强和改进。本文主要对目前的计算机网络防御策略技术进行了分析,并提出了相应的改进策略和方法,以期提升计算机网络的安全性。
关键词:
计算机网络;网络防御;求精技术
一、前言
二、计算机网络的安全现状
事实上,虽然人们已经在计算机网络的发展过程中认识到了计算机网络安全的重要性,但是由于目前的经验和技术尚无法实现对计算机网络的环境进行妥善的保证,还存在着一定的安全性问题需要进行有效的解决。从目前的计算机网络的形式来看,网络环境安全主要存在两大问题需要继续解决,其中第一点是计算机系统本身存在的漏洞,其次就是网络环境中的病毒感染问题。其中病毒感染主要是通过邮件等通信方式以及软件安装包携带等进行传输,实现对用户的服务器进行攻击和破坏。其中不乏信息泄露等信息盗窃行为,这主要是由于网络资源被不合理的进行了应用,导致了用户的信息出现了严重的泄露,更有甚者会因此破坏网络信息的安全性和完整性,给计算机网络安全带来了极大的隐患。
三、计算机网路防御策略的主要内容
计算机网络防御策略涉及到很多的方面,是需要进行多层次多方面的考虑的。从计算机网络防御的方面来看,主要可以将计算机网络防御策略分为防护检测以及响应策略,其中还包括了恢复策略。其中主要的计算机网络防御手段包括了控制访问、入侵检测、计算机防火墙、数字签名、杀毒软件以及网络的安全监测等。网络安全防御策略是应对计算机安全的管理问题的有效的手段和方法,其中对计算机网络防御策略的求精则是指在遵循相应的求精规则的前提下,利用网络拓扑信息和一系列的求精规则进行有效的结合,同时适当地应用求精的策略和方法,以期达到促进互联网信息的安全发展的目的,加强防御策略的操作性,达到防御的效果。而事实上,在实际的经验操作中,在防御和维护计算机网络安全的过程之中,防御策略会随着安全需求的变化而不断的变化,这就需要不断地进行调整,实现操作的可行性和高效性,保证计算机网络的安全稳定的运行。
四、完善计算机网络防御策略的必要性
随着人们逐渐的认识到计算机网络安全的必要性,完善计算机网络安全防御策略的求精技术已经成为了互联网发展的重点工作内容。完善计算机网络防御策略求精技术的必要性主要包括了以下几个方面:
1.完善网络防御策略求精技术是保护用户信息安全的必然
众所周知,计算机系统一旦受到安全威胁就会对用户带来或多或少的影响,甚至可能影响到机密信息的安全性问题,影响国家社会的安全发展。事实上,目前各国都存在很多的不法分子往往通过利用相应的技术手段对用户的计算机进行入侵等行为,进而获取用户的信息等大量的信息资源,甚至通过不法手段获取非法的利益价值,这些对于用户来说都是极大的安全威胁,因此,必须要加大对此的惩处力度,保证网络安全问题能够得到有效的解决,使得用户的信息安全得到最有效的保证。
2.完善网络防御策略求精技术是计算机行业发展的趋势
社会的不断发展使得我国各行各业得到了极大的进步,也因此计算机行业需要不断地提升对自身的要求才能保证跟上时代的发展需求,目前针对计算机行业中发展的不足,需要进一步进行改进和完善以期实现计算机的良性发展和进步,立足长远,这就需要计算机行业提高对求精技术的重视程度。
3.完善网络防御策略求精技术是各领域发展对计算机的要求
随着当今计算机行业的发展和进步,已经逐渐融入到人们生活中的各个领域,在这个过程中,各行各业都对计算机有很强的需求,而这些需求的前提则是计算机网络防御系统的可靠性和稳定性。事实上,目前计算机的发展和应用水平已经成为了各行各业的衡量标准之一,因此各行业对计算机的需求极大,一旦计算机网络防御出现了问题,各个领域均会产生较为严重的影响,从个人到企业,甚至会影响到社会国家的正常稳定的发展和进步。
五、完善计算机网络防御策略求精关键技术的方法
根据目前我国计算机网络防御系统中存在的问题和现状需要进行有效的改进,提出具有针对性的解决策略,切实地解决目前计算机网络防御策略中存在的问题,完善计算机的发展,其中主要的途径主要包括了:
1.完善我国计算机网络的安全管理体系
2.加强对防火墙的设置
3.加大对防病毒技术的应用
4.提高对计算机的扫描技术的应用
六、结语
[1]吴月红.计算机网络防御策略求精关键技术[J].信息与电脑(理论版),2015(8).
关键词:主动;被动;防御;安全;网络
ToBuildaSecuredandReliableNetworkNeedsCombinationofInitiativeandPassiveDefense
HUANGWei-fa
(FujianProvincialTobaccoCompanyFuzhouBranchCompany,Fuzhou350013,China)
Abstract:Howtoguaranteethesecurityofnetworktobaccobusinesshasbecomeakeyissuetopushforwardthesmoothdevelopmentoftobaccoindustryintheinformationera.Accordingtothenecessitytoconductelectronicadministrationande-commerceintobaccoindustry,onthebasisofthestatusquoofFuzhounetworksecurityoftobaccobusinessanddailywork,thispaperputforwardasuggestion:networksecurityadministrationisacomprehensivesystem,henceitisnecessarytofocusontheaspectsofstrategy,managementandtechnologysoastobuildamoreeffectiveandmorereliablenetworksecuritysystembycombininginitiativedefensetechnologywiththetraditionalpassivedefense.
Keywords:initiative;passive;defense;security;network
该文以作者所在单位的网络为例,从策略、管理、技术等方面对如何打造更为安全可靠的网络安全体系进行了分析和探讨。
1网络安全的基本认识
当今社会是信息化的社会,信息化的基础设施是网络。随着Internet的发展和PC机的普及,网络和信息化已经成为了现代社会的重要标志之一。从Internet的最早起源美国国防部高级研究计划署DARPA(DefenceAdvancedResearchProjectsAgency)的前身ARPAnet开始,到现代高达发达的信息化公路,网络可以说是无处不有,电子邮件、网上银行、电子商务、网络办公……网络已经融入了我们的生活,给人们的生活带来的极大的方便。
然而,网络信息技术也和其他科学技术一样是一把双刃剑。当大部分人们利用网络信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用网络信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)统计,2007年各种网络安全事件与2006年相比都有显著增加,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件成倍增长,网络仿冒事件数量由563件增加至1326件,增长率近1.4倍;垃圾邮件事件数量由587件增加至1197件,增长率达1倍;网页恶意代码事件数量由320件增加至1151件,增长率近2.6倍。2007年微软公司正式公布了69个4具有编号的安全漏洞。其中,除Windows操作系统漏洞外,安全漏洞更多的集中出现在了IE浏览器和MSOffice等应用软件上。
2福州烟草网络安全现状
图1为作者所在单位的网络拓扑图。在图中可以看到,在广域网范围,全网由主备两条2MSDH链路连省公司和下属各县分公司;在城域网范围,连接各业务部门和下属单位近十条链路;由于业务需要,还存在到其他地区的2M帧中继以及到兴业银行和农业银行等连接。这些线路或通过广域网连接到市公司中心机房的两台cisco3600路由器,或通过城域网连接到市公司中心机房的6509核心交换机,最终全区所有节点约800台都汇聚到6509核心交换机。在全区外网唯一的出口和内网之间架设一台中科网威防火墙NPFW-200-P4和入侵检测服务器。在公司架设一台防病毒服务器,全网所有电脑都安装瑞星网络版防病毒软件。
从拓扑图来看,这是一个规模不大的网络系统,网络中采用了防火墙、入侵检测服务器和瑞星网络版防病毒软件等措施来构建基本的安全防御系统。防火墙隔离了内部局域网与外部互联网,保护内部网络不会轻易受到攻击,瑞星防病毒软件安装在每个终端上,对终端进行杀毒保护,这是最为简单的组合模式,然而在实际运作中,我们发现存在着不少安全问题。
传统安全防御的方法更多的是采取被动防御技术的,构筑好一个防御的城堡以后,就坐等敌人的进攻,主动权交到了对方的手里,这样的防御永远只能跟在对方的身后,拆拆补补,南门受到了攻击,就调集部队守南门,北门告急,再调过去补北门,疲于奔命,顾此失彼。而且一个城堡能否被攻破,不是取决于城堡有多厚,而是最薄的地方在哪里,而更加致命的是被动防御往往不知道什么地方最薄。
其次,在管理上,建立规范的信息化管理系统和制定符合实际的安全管理制度体系,并不是一个有什么难度的事情,最为困难的就是如何保障信息管理系统的有效运行和安全管理制度体系的执行到位,这涉及到企业的管理风格,业务模式与对信息安全的重视依赖程度,特别是企业领导对信息安全问题的重视程度以及信息部门在企业中的地位,决定了网络安全体系如何建设、建设到什么程度以及能够起到多大的作用。
最后,在技术上,我们虽已配备安全产品的“老三样”――防火墙、入侵检测以及防病毒软件。但随着技术的发展,现代防火墙技术已经逐步走向网络层之外的其他安全层次。而我们的防火墙功能比较弱,无法为各种网络应用提供相应的安全服务。同时,由于没有流量控制、带宽控制等功能,使得我们在外网访问管理上捉襟现肘,许多很好的管理思路无法得到实施。
对于终端电脑没有有效的工具来管理。如前所述,在传统安全防御思路中,对来自内部的安全威胁认识不足,各类信息软硬件的发展诸如移动存储设备(移动硬盘、闪盘、SD/CF/等)、服务器软件等使得病毒木马可以轻易绕过防火墙进入局域网内部,更何况现在许多的病毒木马可以终止安全软件的运行。身份认证系统是整个网络安全体系的基础,否则即便发现了安全问题也会由于无法查找而只能不了了之,只有建立了基于全区网络的统一身份认证系统,才能彻底的解决用户入网身份问题,同时也为各项应用系统提供了安全可靠的保证。
与作者所在单位相似的是,多年的信息化建设,使得许多企业也意识到了搞好网络安全的重要性和必要性,不少企业都能斥资数百乃至上千万购置防火墙、防病毒软硬件设备来构筑自己信息安全的堡垒。但是他们往往发现投入了许多,安全问题不减反增,每天不停打着漏洞补丁,病毒日志数十页地增加着,系统运行时好时坏,从事信息建设的工作者无法高枕无忧,反而更加有如履薄冰的感觉。尽管采用了花样翻新的安全产品和解决方案,但企业所面临的安全威胁不是减少,而是大大增加了。
道高一尺,魔高一丈。虽然90%的企业机构已经采用了防火墙和防病毒解决方案,但仍有超过一半会受到安全漏洞的影响;尽管对信息安全忧心忡忡的企业已经在该领域投入了大量资金,但企业每天受到攻击的次数却以每半年30%的速度增长。
3主动与被动防御相结合构建更为安全的网络安全体系
网络安全解决方案核心目标是最大限度确保数据安全和业务的连续性。对于企业来说最关心的并不是一个完美的,无懈可击的网络,而是如何保证网络所承载业务的正常、安全、可靠地运行。虽然我们面对的信息网络具有各种各样的安全缺陷,只要我们通过适合灵活的安全策略,保证业务活动和业务数据的安全,并确保业务应用的可用性,那么承载业务的这个网络对于我们来说就是符合要求的安全网络。
以下从策略、管理、技术三个方面就如何打造主动与被动防御相结合的网络安全体系进行探讨:
3.1在策略方面
3.1.1配置入网身份认证机制
3.1.2加强网络内部机器的管理
3.1.3建立安全管理中心(SOC)
3.2在管理方面
3.2.1网络安全是一项技术问题,更是一项管理问题
网络不能完全依赖安全产品来解决信息安全,网络安全更需要从管理的基础上突破技术问题。安全问题不仅仅是技术问题,更多是管理的问题。在技术保障下,良好的管理能够使网络安全达到最大化。网络安全事务是多维的,涉及到:公共管理、安全策略、法律法规、人员素质、安全审计、安全保险、安全技术、安全意识培养、安全评估等多方面。一个方面的疏漏就会导致整个安全防护系统功败垂成。通过加强管理来避免安全问题,使安全隐患最小化,建立安全问题的责任问责制,形成信息安全问题解决机制。
3.2.2提高全体人员网络安全意识
1)提高领导网络安全意识
网络安全关系着核心数据的保护、业务运行的稳定性和办公流程运转的连续性,是信息化工作的重要的基础性的内容。
2)提高信息化工作人员网络安全意识
网络安全不是装个防火墙和防病毒软件,没事就杀杀毒。它是复杂的,多维的,动态发展的;它要求工作人员不仅要具备技术水平,更需要提高认识和综合能力,具备良好的管理水平。信息化工作人员有必要定期进行培训,接触并学习到较为前沿先进的技术知识,并加强和同行间的交流。
3)提高终端用户网络安全意识。
所有终端用户是信息化工作开展的出发点和归宿点;他们既是信息网络的使用者,也是信息网络安全风险最大的制造者。引发安全问题可能是有意的,可能是无意的;但绝大多数是无意的。只有提高所有终端用户计算机使用水平和网络安全意识,才能最大程度消除安全风险。
3.2.3网络安全管理监督机制
任何制度建立了但没有执行就是一纸空文,执行了但没有监督就无法落到实处。网络安全管理监督需要技术做保证。只有具备进行身份认证和操作记录的技术,才能防止用户的抵赖,真正做到监督有所依据、有所成效。同时建立网络运行状况定期公布制度,甚至进一步建立奖惩制度,有力的督促用户规范使用网络和信息设备。
3.3在技术方面
3.3.1及时更新升级网络安全设备
对防火墙、防病毒软件等被动防御技术进行及时更新换代,以确保防火墙、防病毒软件能够适应最新的安全防御要求,实现管理者的安全防御思路和策略。提高网络管理者对网络的操控能力。
3.3.2配置安全专用设备加强外网安全管理
新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重的是网络层的过滤;而安全专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。
3.3.3配置网络管理软件加强终端用户管理
由于全网内终端电脑数量多、分布广、权限大、使用人员水平参差不齐等原因,网络安全管理在防范内网安全上存在着巨大的漏洞。内网存在大量的病毒传播,文件传输,共享漏洞,密码保护等问题。只有配置了网络管理软件,才能有效的实现可控、可追踪、可审计和全面的终端管理。
3.3.4合理使用VPN或VLAN技术
合理使用VPN或VLAN技术,通过物理网络的划分,控制网络流量的流向,使其不要流向非法用户,以达到防范目的。
4结论
构筑一个主动与被动防御相结合的网络安全体系,就需要打破原来城堡式的被动防御观念,建立一个灵活机动、积极寻找防御点的可以信赖并且是可控的网络环境,关键点就在于这个体系要能够主动预知和控制我们的防御。任何方案不可能做到绝对安全,只能最大限度去降低安全事故的发生概率,主动防御通过各种措施来评估和预知安全事故的可能发生点,采取手段制止事故的发生。在网络安全的管理与建设当中,应当清醒的认识到网络安全管理是一个综合的系统工程,需要从策略、管理、技术三方面着手,在传统被动防御的基础上结合主动防御技术构造更加有效可靠的网络安全体系,为烟草行业实现健康稳定可持续发展提供强有力的信息化技术支撑。
参考文献:
[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.