基本概念
從網絡運行和管理者角度說,希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅,如利用UniNAC準入控制、DLP防洩露等信息安全系統來制止和防禦網絡黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息洩露,避免對社會産生危害,對國家造成巨大損失。
随着計算機技術的迅速發展,在計算機上處理的業務也由基于單機的數學運算、文件處理,基于簡單連接的内部網絡的内部業務處理、辦公自動化等發展到基于複雜的内部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理系統和世界範圍内的信息共享和業務處理。
在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基于網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。
因此計算機安全問題,應該像每家每戶的防火防盜問題一樣,做到防範于未然。甚至不會想到你自己也會成為目标的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
網絡安全就是網絡上的信息安全,涉及的領域很廣。包括以下含義:
一、網絡運行系統安全
二、網絡上系統信息的安全
三、網絡上信息傳播的安全,即信息傳播後果的安全
四、網絡上信息内容的安全。
内容
一、網絡實體的安全
二、軟件安全
三、數據安全
四、安全管理
五、數據保密性
六、數據完整性
七、可用性
八、可審查性
國際标準化組織
為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和洩露。
選擇适當的技術和産品,制訂靈活的網絡安全策略,在保證網絡安全的情況下,提供靈活的網絡服務通道。
采用适當的安全體系設計和管理計劃,能夠有效降低網絡安全對網絡性能的影響并降低管理費用。
主要特性
1.保密性:信息不洩露給非授權用戶、實體或過程,或供其利用的特性。
2.完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丢失的特性。
3.可用性:可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;
4.可控性:對信息的傳播及内容具有控制能力。
5.可審查性:出現的安全問題時提供依據與手段
1.非授權訪問。指對網絡設備及信息資源進行非正常使用或越權使用等。
2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權限,以達到占用合法用戶資源的目的。
3.破壞數據的完整性。指使用非法手段,删除、修改、重發某些重要信息,以幹擾用戶的正常使用。
4.幹擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段。
5.病毒與惡意攻擊。指通過網絡傳播病毒或惡意Java、XActive等。
6.線路竊聽。指利用通信介質的電磁洩漏或搭線竊聽等手段獲取非法信息。
市場規模
2014年全球網絡安全市場規模有望達到956億美元(約合人民币5951.3億元),并且在未來5年,年複合增長率達到10.3%,到2019年,這一數據有望觸及1557.4億美元(約合人民币9695.1億元)。其中,到2019年,全球無線網絡安全市場規模将達到155.5億美元(約合人民币969.3億元),年複合增長率約12.94%。
從行業來看,航空航天、國防等領域仍将是網絡安全市場的主要推動力量。從地區收益來看,北美地區将是最大的市場。同時,亞太地區、中東和非洲地區有望在一定的時機呈現更大的增長速度。
報告中指出,雲服務的快速普及、無線通訊、公共事業行業的網絡犯罪增加以及嚴格的政府監管措施出台都是這一市場發展的主要因素。因此,今後批準的網絡安全解決方案将不斷增加以防範和打擊專業對手創造的先進和複雜的威脅。
此外,由于網絡犯罪逐漸增長導緻智力及金融資産的損失,并可能損害國家的基礎設施和經濟,因此雲服務提供商和垂直行業,如能源,石油和天然氣等都将加大網絡安全解決方案的投入。
展覽會
天津信息安全高峰論壇以“提高信息網絡安全水平,促進國家信息網絡安全”為宗旨,針對當前突出的網絡安全問題和信息産業發展新趨勢,圍繞“雲安全、移動安全”等當前熱點問題進行探讨。
2014中國國際計算機網絡和信息安全展,2014年5月15~17日上海世博主題館舉行。
主要關系
通常,系統安全與性能和功能是一對矛盾的關系。如果某個系統不向外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,企業接入國際互連網絡,提供網上商店和電子商務等服務,等于将一個内部封閉的網絡建成了一個開放的網絡環境,各種安全包括系統級的安全問題也随之産生。
構建網絡安全系統,一方面由于要進行認證、加密、監聽,分析、記錄等工作,由此影響網絡效率,并且降低客戶應用的靈活性;另一方面也增加了管理費用。
但是,來自網絡的安全威脅是實際存在的,特别是在網絡上運行關鍵業務時,網絡安全是首先要解決的問題。
全方位的安全體系
與其它安全體系(如保安系統)類似,企業應用系統的安全體系應包含:
訪問控制:通過對特定網段、服務建立的訪問控制體系,将絕大多數攻擊阻止在到達攻擊目标之前。
檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目标,也可使絕大多數攻擊無效。
攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。
認證:良好的認證體系可防止攻擊者假冒合法用戶。
備份和恢複:良好的備份和恢複機制,可在攻擊造成損失時,盡快地恢複數據和系統服務。
多層防禦,攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目标。
隐藏内部信息,使攻擊者不能了解系統内的基本情況。
設立安全監控中心,為信息系統提供安全體系管理、監控,渠護及緊急情況服務。
解決方案
分析我們的網絡對安全性有極高的要求,網絡中的關鍵應用和關鍵數據越來越多,如何保障關鍵業務數據的安全性成為網絡運維中非常關鍵的工作。
安全缺口
安全策略經常會與用戶方便性相矛盾,從而産生相反的壓力,使安全措施與安全策略相脫節。這種情況稱為安全缺口。為什麼會存在安全缺口呢?有下面四個因素:
網絡設備種類繁多——當前使用的有各種各樣的網絡設備,從Windows NT和UNIX服務器到防火牆、路由器和Web服務器,每種設備均有其獨特的安全狀況和保密功能;
訪問方式的多樣化——一般來說,您的網絡環境存在多種進出方式,許多過程拔号登錄點以及新的Internet訪問方式可能會使安全策略的設立複雜化;
網絡的不斷變化——網絡不是靜态的,一直都處于發展變化中。啟用新的硬件設備和操作系統,實施新的應用程序和Web服務器時,安全配置也有不盡相同;
用戶保安專業知識的缺乏——許多組織所擁有的對網絡進行有效保護的保安專業知識十分有限,這實際上是造成安全缺口最為主要的一點。
主要表現
網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。
因此計算機安全問題,應該象每家每戶的防火防盜問題一樣,做到防範于未然。甚至不會想到你自己也會成為目标的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
主要類型
網絡安全由于不同的環境和應用而産生了不同的類型。主要有以下幾種:
系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由于電磁洩翻,産生信息洩露,幹擾他人或受他人幹擾。
網絡的安全
網絡上系統信息的安全。包括用戶口令鑒别,用戶存取權限控制,數據存取權限、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
信息傳播安全
網絡上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重于防止和控制由非法、有害的信息進行傳播所産生的後果,避免公用網絡上大雲自由傳翰的信息失控。
信息内容安全
網絡上信息内容的安全。它側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損于合法用戶的行為。其本質是保護用戶的利益和隐私。
影響因素
自然災害、意外事故;計算機犯罪;人為行為,比如使用不當,安全意識差等;黑客”行為:由于黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;内部洩密;外部洩密;信息丢失;電子諜報,比如信息流量分析、信息竊取等;網絡協議中的缺陷,例如TCP/IP協議的安全問題等等。
網絡安全威脅主要包括兩類:滲入威脅和植入威脅。
滲入威脅主要有:假冒、旁路控制、授權侵犯;植入威脅主要有:特洛伊木馬、陷門。
陷門:将某一“特征”設立于某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。
影響網絡安全性的因素
網絡結構因素
網絡基本拓撲結構有3種:星型、總線型和環型。一個單位在建立自己的内部網之前,各部門可能已建造了自己的局域網,所采用的拓撲結構也可能完全不同。在建造内部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性要求。
網絡協議因素
在建造内部網時,用戶為了節省開支,必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要,對網絡協議的兼容性要求越來越高,使衆多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隐患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。
地域因素由于内部網Intranet既可以是LAN也可能是WAN(内部網指的是它不是一個公用網絡,而是一個專用網絡),網絡往往跨越城際,甚至國際。地理位置複雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丢失,也給一些“黑客”造成可乘之機。
用戶因素
企業建造自己的内部網是為了加快信息交流,更好地适應市場需求。建立之後,用戶的範圍必将從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網絡的安全性帶來了威脅,因為這裡可能就有商業間諜或“黑客。”
主機因素
建立内部網時,使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網絡的大隐患。
單位安全政策
實踐證明,80%的安全問題是由網絡内部引起的,因此,單位對自己内部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。
人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網絡管理員,制訂出具體措施,提高安全意識。
其他
其他因素如自然災害等,也是影響網絡安全的因素。
技術原理
網絡安全性問題關系到未來網絡應用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟件工程和網絡安全管理等内容。一般專用的内部網與公用的互聯網的隔離主要使用“防火牆”技術。
“防火牆”是一種形象的說法,其實它是一種計算機硬件和軟件的組合,使互聯網與内部網之間建立起一個安全網關,從而保護内部網免受非法用戶的侵入。
能夠完成“防火牆”工作的可以是簡單的隐蔽路由器,這種“防火牆”如果是一台普通的路由器則僅能起到一種隔離作用。隐蔽路由器也可以在互聯網協議端口級上阻止網間或主機間通信,起到一定的過濾作用。由于隐蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火牆”一級的措施。
真正意義的“防火牆”有兩類,一類被稱為标準“防火牆”;一類叫雙家網關。标準”防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接内部網。标準“防火牆”使用專門的軟件,并要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對标準“防火牆”的擴充。雙家網關又稱堡壘主機或應用層網關,它是一個單個的系統,但卻能同時完成标準“防火牆”的所有功能。其優點是能運行更複雜的應用,同時防止在互聯網和内部系統之間建立的任何直接的連接,可以确保數據包不能直接從外部網絡到達内部網絡,反之亦然。
随着“防火牆”技術的進步,在雙家網關的基礎上又演化出兩種“防火牆”配置,一種是隐蔽主機網關,另一種是隐蔽智能網關(隐蔽子網)。隐蔽主機網關當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面将路由器進行隐藏,另一方面在互聯網和内部網之間安裝堡壘主機。堡壘主機裝在内部網上,通過路由器的配置,使該堡壘主機成為内部網與互聯網進行通信的唯一系統。目前技術最為複雜而且安全級别最高的”防火牆”當屬隐蔽智能網關。所謂隐蔽智能網關是将網關隐藏在公共系統之後,它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隐藏在公共系統之後的保護軟件來進行的。一般來說,這種“防火牆”是最不容易被破壞的。
與“防火牆”配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞所采用的主要技術手段之一。随着信息技術的發展,網絡安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外,從技術上分别在軟件和硬件兩方面采取措施,推動着數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒别以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼字與内部網絡服務器上注冊的密碼一緻。當口令與身份特征共同使用時,智能卡的保密性能還是相當有效的。
這些網絡安全和數據保護的防範措施都有一定的限度,并不是越安全就越可靠。因而,看一個内部網是否安全時不僅要考慮其手段,而更重要的是對該網絡所采取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
安全分析
物理安全分析
網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中,由于網絡系統屬于弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。
總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁幹擾;線路截獲;高可用性的硬件;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要盡量避免網絡的物理安全風險。
網絡結構安全分析
網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和内部網絡進行通信時,内部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到連上Internet/Intrant的其他的網絡;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要将公開服務器(WEB、DNS、EMAIL等)和外網及内部其它業務網絡進行必要的隔離,避免網絡結構信息外洩;同時還要對外網的服務請求加以過濾,隻允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
系統安全分析
所謂系統的安全是指整個網絡操作系統和網絡硬件平台是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇,無論是Microsfot的Windows NT或者其它任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作系統。不同的用戶應從不同的方面對其網絡作詳盡的分析,選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平台,并對操作系統進行安全配置。而且,必須加強登錄過程的認證(特别是在到達服務器主機之前的認證),确保用戶的合法性;其次應該嚴格限制登錄者的操作權限,将其完成的操作限制在最小的範圍内。
應用系統安全分析
應用系統的安全跟具體的應用有關,它涉及面廣。應用系統的安全是動态的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。
應用系統的安全是動态的、不斷變化的。
應用的安全涉及方面很多,以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上,主要考慮盡可能建立安全的系統平台,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高系統的安全性。
應用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息洩露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響将是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對于重要信息的通訊必須授權,傳輸必須加密。采用多層次的訪問控制與權限控制手段,實現對數據的安全保護;采用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
管理安全風險分析
管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如内部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網絡安全機制
必須深刻理解網絡并能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隐患成為事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是校園網建設過程中重要的一環。
網絡安全措施
物理措施:例如,保護網絡關鍵設備(如交換機、大型計算機等),以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒别,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限,等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義,防止計算機網絡病毒,安裝網絡防病毒系統。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網絡安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網絡中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網絡的隔離和限制訪問等方法來控制網絡的訪問權限,從而保護網絡資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制等等 。
安全技術
防火牆
防火牆是一種訪問控制産品。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對内部網絡的攻擊,并且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷内部網絡與外部網絡的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
網絡安全隔離
網絡隔離有兩種方式,一種是采用隔離卡來實現的,一種是采用網絡安全隔離網閘實現的。隔離卡主要用于對單台機器的隔離,網閘主要用于對于整個網絡的隔離。這兩者的區别可參見參考資料。網絡安全隔離與防火牆的區别可參看參考資料。
虛拟專用網(VPN)
虛拟專用網(VPN)是在公共數據網絡上,通過采用身份認證技術、數據加密技術和訪問控制技術,實現兩個或多個可信内部網之間的互聯。VPN的構築通常都要求采用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
入侵檢測系統(IDS)
入侵檢測,用于檢測可能的入侵等不尋常的網絡行為和事件。
防護措施
1、盡可能不對外人透露電腦賬号和密碼。
2、安裝殺毒軟件和防火牆,并定期殺毒。
3、注意升級操作系統。
4、不要随便在網絡上下載不知名的文件。
5、安裝正版的操作系統,很多破解版的系統有被黑客安裝了“後門”。
工具與法律
維護網絡安全的工具有VIEID、數字證書、數字簽名和基于本地或雲端的殺毒軟體等構成。在法律方面有中華人民共和國計算機信息系統安全保護條例、中華人民共和國電子簽名法等。
主要産品
在網絡設備和網絡應用市場蓬勃發展的帶動下,網絡安全市場迎來了高速發展期,一方面随着網絡的延伸,網絡規模迅速擴大,安全問題變得日益複雜,建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提;另一方面随着網絡所承載的業務日益複雜,保證應用層安全是網絡安全發展的新的方向。
随着網絡技術的快速發展,原來網絡威脅單點疊加式的防護手段已經難以有效抵禦日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智能安全的整體安全體系,為用戶提供多層次、全方位的立體防護體系成為信息安全建設的新理念。在此理念下,網絡安全産品将發生了一系列的變革。
結合實際應用需求,在新的網絡安全理念的指引下,網絡安全解決方案正向着以下幾個方向來發展:
1、主動防禦走向市場
主動防禦的理念已經發展了一些年,但是從理論走向應用一直存在着多種阻礙。主動防禦主要是通過分析并掃描指定程序或線程的行為,根據預先設定的規則,判定是否屬于危險程序或病毒,從而進行防禦或者清除操作。不過,從主動防禦理念向産品發展的最重要因素就是智能化問題。由于計算機是在一系列的規則下産生的,如何發現、判斷、檢測威脅并主動防禦,成為主動防禦理念走向市場的最大阻礙。
由于主動防禦可以提升安全策略的執行效率,對企業推進網絡安全建設起到了積極作用,所以盡管其産品還不完善,但是随着未來幾年技術的進步,以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防禦型産品将與傳統網絡安全設備相結合。尤其是随着技術的發展,高效準确的對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦産品将逐步發展成熟并推向市場,主動防禦技術走向市場将成為一種必然的趨勢。
2、安全技術融合備受重視
随着網絡技術的日新月異,網絡普及率的快速提高,網絡所面臨的潛在威脅也越來越大,單一的防護産品早已不能滿足市場的需要。發展網絡安全整體解決方案已經成為必然趨勢,用戶對務實有效的安全整體解決方案需求愈加迫切。安全整體解決方案需要産品更加集成化、智能化、便于集中管理。未來幾年開發網絡安全整體解決方案将成為主要廠商差異化競争的重要手段。網絡安全相關書籍軟硬結合,管理策略走入安全整體解決方案。
面對規模越來越龐大和複雜的網絡,僅依靠傳統的網絡安全設備來保證網絡層的安全和暢通已經不能滿足網絡的可管、可控要求,因此以終端準入解決方案為代表的網絡管理軟件開始融合進整體的安全解決方案。終端準入解決方案通過控制用戶終端安全接入網絡入手,對接入用戶終端強制實施用戶安全策略,嚴格控制終端網絡使用行為,為網絡安全提供了有效保障,幫助用戶實現更加主動的安全防護,實現高效、便捷地網絡管理目标,全面推動網絡整體安全體系建設的進程。
3、數據安全保護系統
數據安全保護系統是廣東南方信息安全産業基地公司,依據國家重要信息系統安全等級保護标準和法規,以及企業數字知識産權保護需求,自主研發的産品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資産,實施不同安全等級的控制,有效杜絕機密信息洩漏和竊取事件。
主要問題
安全隐患
1、Internet是一個開放的、無控制機構的網絡,黑客(Hacker)經常會侵入網絡中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2、Internet的數據傳輸是基于TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3、Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4、在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,内容是否被改動,以及是否洩露等,在應用層支持的服務協議中是憑着君子協定來維系的。
5、電子郵件存在着被拆看、誤投和僞造的可能性。使用電子郵件來傳輸重要機密信息會存在着很大的危險。
6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丢失。在網絡上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
攻擊形式
主要有四種方式中斷、截獲、修改和僞造。
中斷是以可用性作為攻擊目标,它毀壞系統資源,使網絡不可用。
截獲是以保密性作為攻擊目标,非授權用戶通過某種手段獲得對系統資源的訪問。
修改是以完整性作為攻擊目标,非授權用戶不僅獲得訪問而且對數據進行修改。
僞造是以完整性作為攻擊目标,非授權用戶将僞造的數據插入到正常傳輸的數據中。
防犯策略
1.安全技術手段
(1)物理措施:例如,保護網絡關鍵設備(如交換機、大型計算機等),制定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源(UPS)等措施。
(2)訪問控制:對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒别,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限等等。
(3)數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網絡病毒,安裝網絡防病毒系統。
(4)其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。
2.安全防範意識
擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。
3.對網絡黑客産業鍊的防範措施
中國互聯網絡信息中心15日發布的《第31次中國互聯網絡發展狀況統計報告》顯示,2012年我國網購用戶達到2.42億人,增長4807萬,增長率高達24.8%。但與此同時,網購消費欺詐等問題卻日益嚴重。
發展現狀
随着計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息洩漏、信息竊取、數據篡改、數據删添、計算機病毒等)。同時,網絡實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
國外
2012年02月04日,黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音,時長17分鐘,主要内容是雙方讨論如何尋找證據和逮捕Anonymous,LulzSec,Antisec,CSL Security等黑帽子黑客的方式,而其中涉及未成年黑客得敏感内容被遮蓋。
FBI已經确認了該通話錄音得真實性,安全研究人員已經開始着手解決電話會議系統得漏洞問題。
2012年02月13日,據稱一系列政府網站均遭到了Anonymous組織的攻擊,而其中CIA官網周五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談,并随後上傳于網絡。
國内
2010年,Google發布公告稱将考慮退出中國市場,而公告中稱:造成此決定的重要原因是因為Google被黑客攻擊。
2011年12月21日,國内知名程序員網站CSDN遭到黑客攻擊,大量用戶數據庫被公布在互聯網上,600多萬個明文的注冊郵箱被迫裸奔。
2011年12月29日下午消息,繼CSDN、天涯社區用戶數據洩露後,互聯網行業一片人心惶惶,而在用戶數據最為重要的電商領域,也不斷傳出存在漏洞、用戶洩露的消息,漏洞報告平台烏雲發布漏洞報告稱,支付寶用戶大量洩露,被用于網絡營銷,洩露總量達1500萬~2500萬之多,洩露時間不明,裡面隻有支付用戶的賬号,沒有密碼。已經被卷入的企業有京東商城、支付寶和當當網,其中京東及支付寶否認信息洩露,而當當則表示已經向當地公安報案。
未來二三十年,信息戰在軍事決策與行動方面的作用将顯著增強。在諸多決定性因素中包括以下幾點:互聯網、無線寬帶及射頻識别等新技術的廣泛應用;實際戰争代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客高手能夠反複打進對手的計算機網絡。
據網易、中搜等媒體報道,為維護國家網絡安全、保障中國用戶合法利益,我國即将推出網絡安全審查制度。該項制度規定,關系國家安全和公共安全利益的系統使用的重要信息技術産品和服務,應通過網絡安全審查。審查的重點在于該産品的安全性和可控性,旨在防止産品提供者利用提供産品的方便,非法控制、幹擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的産品和服務,将不得在中國境内使用。
技術支配力量加重
在所有的領域,新的技術不斷超越先前的最新技術。便攜式電腦和有上網功能的手機使用戶一周7天、一天24小時都可收發郵件,浏覽網頁。
對信息戰與運作的影響:技術支配力量不斷加強是網絡戰的根本基礎。複雜且常是精微的技術增加了全世界的财富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使計算機的控制與監視陷于混亂時,維持行業和支持系統的運轉就非常困難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,“一個常被忽視的情況是犯罪組織對信息技術的使用。”時在2015年,黑手黨通過電子手段消除了得克薩斯州或内布拉斯加州一家中型銀行的所有記錄,然後悄悄訪問了幾家大型金融服務機構的網站,并發布一條簡單的信息:“那是我們幹的——你可能是下一個目标。我們的願望是保護你們。”
未來派學者斯蒂芬·斯蒂爾指出:“網絡系統……不單純是信息,而是網絡文化。多層次協調一緻的網絡襲擊将能夠同時進行大(國家安全系統)、中(當地電網)、小(汽車發動)規模的破壞。”
通信技術生活方式
電信正在迅速發展,這主要是得益于電子郵件和其他形式的高技術通信。然而,“千禧世代”(1980年-2000年出生的一代——譯注)在大部分情況下已不再使用電子郵件,而喜歡采用即時信息和社交網站與同伴聯系。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的複雜而廣泛的社會。
對信息戰和運作的影響:這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。
破壞或許并不明目張膽,或者易于發現。由于生産系統對客戶的直接輸入日益開放,這就有可能修改電腦控制的機床的程序,以生産略微不合規格的産品——甚至自行修改規格,這樣,産品的差異就永遠不會受到注意。如果作這類篡改時有足夠的想像力,并且謹慎地選準目标,則可以想象這些産品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可設想的軍事後果。
信息技術與商業管理顧問勞倫斯·沃格爾提醒注意雲計算(第三方數據寄存和面向服務的計算)以及Web2.0的使用(社交網及交互性)。他說:“與雲計算相關的網絡安全影響值得注意,無論是公共的還是私人的雲計算。随着更多的公司和政府采用雲計算,它們也就更容易受到破壞和網絡襲擊。這可能導緻服務及快速的重要軟件應用能力受到破壞。另外,由于Facebook、博客和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網絡上進行交互的和雙向的聯絡,網絡襲擊的風險将随之大增。”
全球經濟日益融合
這方面的關鍵因素包括跨國公司的興起、民族特性的弱化(比如在歐盟範圍之内)、互聯網的發展,以及對低工資國家的網上工作外包。
對信息戰及運作的影響:互聯網、私人網絡、虛拟私人網絡以及多種其他技術,正在将地球聯成一個複雜的“信息空間”。這些近乎無限的聯系一旦中斷,必然會對公司甚至對國家經濟造成嚴重破壞。
研究與發展
(R&D)促進全球經濟增長的作用日益增強,美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。R&D的主要産品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機裡,通過企業的内聯網傳輸,而且一般是在互聯網上傳送。這種可獲取性為間諜提供了極好的目标——無論是工業間諜,還是軍事間諜。這(5)技術變化随着新一代的發明與應用而加速在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代,産品周期可持續三四十年。今天,持續三四十周已屬罕見。
原因很簡單:大約80%過往的科學家、工程師、技師和醫生今天仍然活着——在互聯網上實時交流意見。
機器智能的發展也将對網絡安全産生複雜影響。據知識理論家、未來學派學者布魯斯·拉杜克說:“知識創造是一個可由人重複的過程,也是完全可由機器或在人機互動系統中重複的過程。”人工知識創造将迎來“奇點”,而非人工智能,或人工基本智能(或者技術進步本身)。人工智能已經可由任何電腦實現,因為情報的定義是儲存起來并可重新獲取(通過人或計算機)的知識。(人工知識創造)技術最新達到者将推動整個範式轉變。
