前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的移動(dòng)端網(wǎng)絡(luò)安全主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:手機(jī);辦公;安全
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1674-7712 (2013) 20-0000-01
一、背景與意義
手機(jī)辦公使手機(jī)具備了和電腦一樣的辦公功能,擺脫了時(shí)間和場(chǎng)所的限制,可進(jìn)行隨身化的管理和溝通,無論身在何種緊急情況下,都能高效迅速的開展工作,對(duì)于應(yīng)對(duì)突發(fā)性事件、應(yīng)急性事件具有重要的意義,隨著手機(jī)銀行、手機(jī)證券的開展,對(duì)信息安全提出了更高的要求。
二、系統(tǒng)架構(gòu)介紹
(一)信息源:信息源是指OA系統(tǒng)、ERP系統(tǒng)的數(shù)據(jù)庫(kù),移動(dòng)信息助理的主要功能就是從業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)中把原有的業(yè)務(wù)邏輯無縫移植到手機(jī)上,并通過手機(jī)實(shí)現(xiàn)隨時(shí)隨地的辦公。
(三)服務(wù)器:運(yùn)行于服務(wù)器端的軟件,負(fù)責(zé)響應(yīng)手機(jī)客戶端的請(qǐng)求、數(shù)據(jù)傳輸、數(shù)據(jù)加密解密、安全驗(yàn)證工作。
(四)手機(jī)客戶端:運(yùn)行于手機(jī)端的軟件,用戶通過手機(jī)客戶端連接到通訊服務(wù)器,完成移動(dòng)辦公功能,手機(jī)客戶端還包括用戶登陸、客戶端設(shè)置等輔助功能。
如下圖3所示,MIA以中間件的方式,和現(xiàn)有辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)無縫銜接,快速將現(xiàn)有系統(tǒng)移植到手機(jī)上。
三、網(wǎng)絡(luò)存在的安全問題
由于網(wǎng)絡(luò)開放的特征,用戶往往要直接面對(duì)來自網(wǎng)絡(luò)內(nèi)外攻擊的威脅,而日益增長(zhǎng)的網(wǎng)絡(luò)安全事件已成為制約網(wǎng)絡(luò)發(fā)展的主要因素。
四、手機(jī)辦公網(wǎng)絡(luò)安全防范機(jī)制
1.建立長(zhǎng)效容災(zāi)備份機(jī)制,系統(tǒng)文件、應(yīng)用服務(wù)的配置文件及二次開發(fā)代碼文件都要進(jìn)行全備份,建立網(wǎng)絡(luò)系統(tǒng)備份體系,包括文件備份和設(shè)備備份,用來恢復(fù)出錯(cuò)系統(tǒng)或防止數(shù)據(jù)丟失。
2.要做到基本的手機(jī)網(wǎng)絡(luò)安全保障,首先就要在物理安全上下功夫。作為重要的、不可或缺安全系統(tǒng),物理安全為手機(jī)辦公帶來了保障。網(wǎng)絡(luò)硬件設(shè)備的安全性是任何階段性設(shè)計(jì)應(yīng)該考慮的方面。比如防電磁輻射、電源保護(hù)、網(wǎng)絡(luò)防雷系統(tǒng)與抗電磁干擾等的防護(hù)設(shè)施的安裝,可有效的保護(hù)網(wǎng)絡(luò)安全。
3.殺毒軟件可有效的查殺與防治病毒入侵。網(wǎng)絡(luò)管理中心應(yīng)該及時(shí)的升級(jí)相關(guān)的殺毒軟件,如對(duì)程序軟件、掃描引擎、病毒定義碼的升級(jí),并定期的將該軟件向不同服務(wù)器終端與主機(jī)網(wǎng)點(diǎn)進(jìn)行分發(fā),要做到適時(shí)更新殺毒軟件。
4.信息交換途徑也是重要的安全薄弱點(diǎn),在服務(wù)器、客戶間的數(shù)據(jù)交換時(shí),可能會(huì)出現(xiàn)安全漏洞。這時(shí)應(yīng)該采用SSL(安全套接入層)交換信息,此時(shí),信息就不會(huì)因?yàn)榻换ザ桓幕蚋`取。
5.安全步驟的遵守是審計(jì)功能檢測(cè)發(fā)揮功效的重要組成部分。比如是否預(yù)期配置了相關(guān)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,是否及時(shí)的監(jiān)控了網(wǎng)絡(luò)活動(dòng)情況,并發(fā)現(xiàn)相應(yīng)的病毒入侵。網(wǎng)絡(luò)設(shè)備日志、數(shù)據(jù)庫(kù)日志、操作系統(tǒng)之日志應(yīng)該在審計(jì)系統(tǒng)下進(jìn)行格式的統(tǒng)一轉(zhuǎn)換,隨后再進(jìn)行統(tǒng)一的分析處理與儲(chǔ)存,對(duì)異常的情況應(yīng)該發(fā)出警報(bào)。在查詢與報(bào)表的生成方面,用戶也不用大費(fèi)周折的進(jìn)行。
6.網(wǎng)絡(luò)安全的正常運(yùn)行應(yīng)該參考相應(yīng)的管理制度,要順利的進(jìn)行安全管理應(yīng)該以安全技術(shù)相配合。安全意識(shí)、安全技術(shù)與安全理論都應(yīng)該在日常的員工培訓(xùn)會(huì)加以重點(diǎn)闡述。通過完善的網(wǎng)絡(luò)安全管理制度確保手機(jī)辦公的安全,制度應(yīng)該詳細(xì)具體,做好執(zhí)行工作,手機(jī)辦公安全保駕護(hù)航。
五、結(jié)束語
以上只是對(duì)手機(jī)辦公的網(wǎng)絡(luò)架構(gòu)描述和制定安全措施的初步探討,提出防范外部入侵,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是網(wǎng)絡(luò)安全的一項(xiàng)重要措施,制定完備的容災(zāi)備份計(jì)劃,定期地進(jìn)行有效安全測(cè)試進(jìn)行測(cè)試將有助于網(wǎng)絡(luò)安全措施的提高。
參考文獻(xiàn):
今年5月和6月,兩場(chǎng)席卷全球的W絡(luò)安全事件,讓人們?cè)俅胃惺艿骄W(wǎng)絡(luò)攻擊的可怕。
第一波攻擊發(fā)生在5月12日,一個(gè)名為WannaCry“蠕蟲式”的勒索病毒肆虐全球,至少150個(gè)國(guó)家、30萬名用戶中招,對(duì)金融、能源、醫(yī)療等眾多行業(yè)造成嚴(yán)重影響,造成損失達(dá)80億美元。
正當(dāng)所有人都以為事件告一段落時(shí),6月27日,新一輪勒索病毒Petya再次來襲,從烏克蘭、俄羅斯開始,一路肆虐至印度、西班牙、法國(guó)、英國(guó)、丹麥等國(guó)家。
有意思的是,在中國(guó),除了少數(shù)感染個(gè)例外,Petya病毒并未像第一輪病毒那樣呈現(xiàn)大面積擴(kuò)散的趨勢(shì)。
這一方面與前一輪勒索病毒之后,網(wǎng)信辦等有關(guān)部門處理得當(dāng)、公眾警戒心理提高有關(guān),也與國(guó)內(nèi)網(wǎng)絡(luò)安全公司的努力有莫大關(guān)聯(lián)。
WannaCry勒索病毒是在周五爆發(fā),在隨后的周一,國(guó)內(nèi)最大的互聯(lián)網(wǎng)安全公司360召開會(huì),介紹狙擊勒索病毒相關(guān)情況。緊接著,董事長(zhǎng)周鴻t又召集媒體,提醒國(guó)內(nèi)企業(yè)要重視網(wǎng)絡(luò)安全。
自2016年7月360公司正式從美國(guó)紐交所退市,360和周鴻t已經(jīng)很久沒有像這樣在外界露面和發(fā)聲了。許多行業(yè)內(nèi)人士發(fā)現(xiàn),退市一年、等待回歸A股的這一年來,周鴻t低調(diào)了很多。
退市后一年的360,到底在忙些什么?
打擊網(wǎng)絡(luò)犯罪的正確姿勢(shì)
如果不是這次的勒索病毒事件,很多人甚至還沒意識(shí)到,360在網(wǎng)絡(luò)安全領(lǐng)域的響應(yīng)速度和布局,竟已到如此程度。
在勒索病毒爆發(fā)的第一時(shí)間,360公司連夜組織安全專家對(duì)病毒進(jìn)行技術(shù)原理分析,并加緊研發(fā)恢復(fù)工具,及時(shí)對(duì)國(guó)內(nèi)外的病毒受害者提供救援服務(wù)。
在周鴻t看來,在響應(yīng)速度背后,抵御網(wǎng)絡(luò)攻擊,更重要的是網(wǎng)絡(luò)安全理念的更新。 360在安全能力上的布控,不僅停留在線上,還延展到了實(shí)體、線下的智能硬件。
“在4月17日,我們就全球首發(fā)了NSA網(wǎng)絡(luò)武器技術(shù)分析,4月19日推出了免疫工具,如果那時(shí)很多企業(yè)看到通知,及時(shí)安裝了免疫工具,應(yīng)對(duì)這輪爆發(fā)就會(huì)更加主動(dòng)?!敝茗檛說,這次勒索病毒驗(yàn)證了網(wǎng)絡(luò)攻擊新時(shí)代已經(jīng)被開啟。
在周鴻t看來,這次勒索病毒暴露出一些單位、系統(tǒng)的以“內(nèi)網(wǎng)隔離”為主的網(wǎng)絡(luò)安全理念徹底落后了。在互聯(lián)網(wǎng)早期,內(nèi)網(wǎng)把一些企業(yè)網(wǎng)和互聯(lián)網(wǎng)隔離開,被認(rèn)為是一種非常有效簡(jiǎn)單的手段,但這種思想已經(jīng)落后了。
“現(xiàn)在,雖然有內(nèi)網(wǎng),依然要移動(dòng)辦公,不僅會(huì)有無線熱點(diǎn),各種無線互聯(lián)網(wǎng)設(shè)備也會(huì)提供無線接入,這使得內(nèi)網(wǎng)的邊界被打破了,等于暴露了很多攻擊面?!敝茗檛說。
網(wǎng)絡(luò)攻擊“無處不在”,360這一年來很大一部分布局和努力,就是在這種網(wǎng)絡(luò)攻擊新時(shí)代背景下,探索并推廣網(wǎng)絡(luò)安全態(tài)勢(shì)感知的理念和系統(tǒng),讓更多網(wǎng)絡(luò)攻擊的潛在對(duì)象告別單純防御的理念,具備網(wǎng)絡(luò)安全的態(tài)勢(shì)感知和預(yù)知的能力。
這一理念不只是應(yīng)用在應(yīng)對(duì)緊急網(wǎng)絡(luò)安全事件上,在更為常態(tài)化機(jī)制化的打擊網(wǎng)絡(luò)犯罪等領(lǐng)域,360同樣也在積極布局。
最典型的案例是360探索網(wǎng)絡(luò)詐騙治理新型模式的獵網(wǎng)平臺(tái)。
獵網(wǎng)平臺(tái)成立于2015年5月,由北京市公安局聯(lián)合360互聯(lián)網(wǎng)安全中心共同推出,也是全國(guó)首個(gè)警民聯(lián)動(dòng)的網(wǎng)絡(luò)詐騙信息舉報(bào)平臺(tái)。
獵網(wǎng)平臺(tái)合作的具體模式為,百姓在平臺(tái)上舉報(bào)案情線索,全國(guó)各地的公安從平臺(tái)上獲取線索,尤其通過串并工作,還能找到更多線索。
這當(dāng)中,360依靠平臺(tái)和大數(shù)據(jù)優(yōu)勢(shì),可通過數(shù)據(jù)存儲(chǔ)分析、交互方式的可視化分析等能力,從海量數(shù)據(jù)中搞清楚犯罪線索之間的關(guān)聯(lián)性,來幫助公安更高效工作。
這與應(yīng)對(duì)勒索病毒的思路異曲同工,不單純依賴防御機(jī)制,而從感應(yīng)和預(yù)知階段就做出及時(shí)的響應(yīng),從后端的防御和應(yīng)對(duì),轉(zhuǎn)移到前端的預(yù)防和預(yù)警。
它的意義甚至不只是打擊網(wǎng)絡(luò)詐騙和網(wǎng)絡(luò)安全層面,“時(shí)髦點(diǎn)說,這就是互聯(lián)網(wǎng)眾包模式在犯罪打擊上一個(gè)非常好的應(yīng)用?!?60公司首席安全官譚曉生表示:“獵網(wǎng)平臺(tái)是社會(huì)綜合治理的一次重大創(chuàng)新?!彼喈?dāng)于一個(gè)新時(shí)期社會(huì)治理的新模式,由互聯(lián)網(wǎng)公司的技術(shù)、大數(shù)據(jù),與政府機(jī)關(guān)的管理能力、執(zhí)法能力結(jié)合。
未雨綢繆物聯(lián)網(wǎng)安全
事實(shí)上,360在安全能力上的布局,不僅停留在線上,還延展到了實(shí)體、線下的智能硬件。
比如,今年6月27日,360在北京召開智能硬件產(chǎn)業(yè)安全峰會(huì),就備受關(guān)注的攝像頭信息安全問題展開探討,并把360在安全方面的獨(dú)到技術(shù)與經(jīng)驗(yàn)分享給了業(yè)界。
360還倡導(dǎo)發(fā)起了“智能硬件產(chǎn)業(yè)安全聯(lián)盟”,首次對(duì)外公布了360智能硬件安全標(biāo)準(zhǔn),通過號(hào)召業(yè)內(nèi)伙伴的共同參與,從而推動(dòng)提升智能硬件行業(yè)的產(chǎn)品安全標(biāo)準(zhǔn)。
除成立聯(lián)盟外,360還從硬件、固件、云平臺(tái)、web端、移動(dòng)端等五大維度,包括儲(chǔ)存、通信、協(xié)議、API、升級(jí)等10個(gè)層級(jí),公開了360硬件產(chǎn)品的安全標(biāo)準(zhǔn)規(guī)范,并向“智能硬件產(chǎn)業(yè)安全聯(lián)盟”成員開放360 SMART OS,即通過共享360安全能力,來幫助行業(yè)各環(huán)節(jié)提升產(chǎn)品安全能力。
布局智能硬件安全,一方面與360涉足兒童智能手表、行車記錄儀等智能硬件,積累了大量數(shù)據(jù)和實(shí)踐經(jīng)驗(yàn)有關(guān),另一方面,也與360的安全基因有關(guān)聯(lián)。
2005年9月,周鴻t創(chuàng)立了360公司。2006年7月,“360安全衛(wèi)士”橫空出世,在沒做太多推廣的情況下,于2008年用戶數(shù)量迅速突破1億大關(guān)。2008年7月,360延伸其安全領(lǐng)域的產(chǎn)品鏈,推出免費(fèi)殺毒軟件“360殺毒”,與“360安全衛(wèi)士”形成產(chǎn)品協(xié)同,開始為用戶提供一體化的產(chǎn)品體驗(yàn)。
當(dāng)傳統(tǒng)的軟件公司還完全不懂免費(fèi)模式時(shí),在互聯(lián)網(wǎng)領(lǐng)域,免費(fèi)已是大勢(shì)所趨:免費(fèi)的雅虎、免費(fèi)的谷歌搜索、免費(fèi)的即時(shí)通訊、免費(fèi)的瀏覽器等,因此周鴻t也想到用免費(fèi)的模式來顛覆傳統(tǒng)殺毒行業(yè)。
這奠定了360公司的基本模式:用免費(fèi)的安全產(chǎn)品和服務(wù)獲取用戶后,又迅速推出瀏覽器、搜索、游戲等矩陣業(yè)務(wù),依靠海量用戶和多款爆款產(chǎn)品矩陣獲得大規(guī)模的流量,繼而通過廣告模式來實(shí)現(xiàn)流量變現(xiàn)。
2011年,360公司迅速推出360安全網(wǎng)址導(dǎo)航、360安全桌面、360安全瀏覽器、360極速瀏覽器為代表的PC端產(chǎn)品矩陣。
同時(shí)周鴻t看到了移動(dòng)互聯(lián)網(wǎng)的潛力,快速上線了360手機(jī)助手、360手機(jī)衛(wèi)士、360手機(jī)瀏覽器、360清理大師等多款移動(dòng)端產(chǎn)品,形成了PC端與移動(dòng)端的業(yè)務(wù)協(xié)同。
而隨著信息技術(shù)的發(fā)展,移動(dòng)互聯(lián)網(wǎng)之后,萬物互聯(lián)已經(jīng)成為大勢(shì)所趨,它在帶來便利的同時(shí),也帶來安全方面的巨大挑戰(zhàn)。如何更好地守護(hù)萬物互聯(lián)時(shí)代的安全,已經(jīng)成為了網(wǎng)絡(luò)安全企業(yè)面臨的重要課題和重要機(jī)遇。
可穿戴、智能硬件是當(dāng)下物聯(lián)網(wǎng)的重要入口,360近兩年在智能硬件安全上做系列布局,可以說即是基于自身PC時(shí)代和移動(dòng)互聯(lián)網(wǎng)時(shí)代積累下來的安全基因,又是順應(yīng)物聯(lián)網(wǎng)技術(shù)發(fā)展大勢(shì)未雨綢繆的必然選擇。
國(guó)家的網(wǎng)絡(luò)安全公司
除了企業(yè)和行業(yè)發(fā)展層面的考量,360最近一年更加聚焦,專注網(wǎng)絡(luò)安全核心業(yè)務(wù),在更大的層面,又與國(guó)家的網(wǎng)絡(luò)安全戰(zhàn)略和形勢(shì)密不可分。
從國(guó)內(nèi)整體的網(wǎng)絡(luò)安全形勢(shì)來看,一個(gè)顯著的特點(diǎn)是,網(wǎng)絡(luò)安全越來越受到重視,網(wǎng)絡(luò)安全行業(yè)發(fā)展越來越熱。
周鴻t曾說,互聯(lián)網(wǎng)已非常深入地與每個(gè)人的工作、生活緊密結(jié)合在一起,可以說未來這個(gè)國(guó)家和社會(huì)運(yùn)轉(zhuǎn)在互聯(lián)網(wǎng)之上,如果遭受大規(guī)模的互聯(lián)網(wǎng)攻擊,會(huì)對(duì)整個(gè)社會(huì)秩序、社會(huì)穩(wěn)定,包括對(duì)每個(gè)人的日常生活帶來影響。
以前網(wǎng)絡(luò)安全可能只涉及到人們的信息受損,如今卻關(guān)系到人們的財(cái)產(chǎn)安全,甚至生命安全,前兩個(gè)月相繼爆發(fā)的WannaCry、Petya勒索病毒就是r活的例子,保證網(wǎng)絡(luò)信息安全,一定意義上就是保證人的基本安全。
此外,網(wǎng)絡(luò)信息安全還深刻影響到國(guó)家治理、經(jīng)濟(jì)發(fā)展、軍事建設(shè)和文化保護(hù)等多個(gè)重要方面,因此網(wǎng)絡(luò)安全也是國(guó)之重器。
國(guó)與國(guó)之間的網(wǎng)絡(luò)爭(zhēng)端甚至可演變?yōu)榫W(wǎng)絡(luò)戰(zhàn)爭(zhēng),與傳統(tǒng)戰(zhàn)爭(zhēng)不同,網(wǎng)絡(luò)戰(zhàn)爭(zhēng)可以“不費(fèi)一槍一炮”,就能達(dá)到傳統(tǒng)戰(zhàn)爭(zhēng)破壞政府、經(jīng)濟(jì)、社會(huì)正常秩序的系列目的。
而一旦企業(yè)的業(yè)務(wù)布局牽扯到國(guó)家戰(zhàn)略層面,網(wǎng)絡(luò)安全企業(yè)的身份則成為能否融入國(guó)家安全戰(zhàn)略中的一個(gè)關(guān)鍵,360選擇退市回國(guó),乃至近一年的專注與聚焦,正是基于此。
在許多公開場(chǎng)合,周鴻t均表態(tài),“我們公司從美國(guó)退市回來,解決身份問題,就是想成為中國(guó)最大的網(wǎng)絡(luò)安全公司?!?/p>
如果從國(guó)內(nèi)安全行業(yè)來看,360的這一目標(biāo)正在面臨最好的機(jī)遇,當(dāng)然,也充滿挑戰(zhàn)。
[關(guān)鍵詞]移動(dòng)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防護(hù)技術(shù)
引言
根據(jù)工信部提供的數(shù)據(jù),截至2018年3月,我國(guó)移動(dòng)互聯(lián)網(wǎng)用戶總數(shù)高達(dá)13.2億,同比增加16.1%,移動(dòng)網(wǎng)絡(luò)用戶數(shù)量的持續(xù)增加,不僅催生了新的經(jīng)濟(jì)業(yè)態(tài),便捷了用戶生活,也誘發(fā)了信息數(shù)據(jù)丟失、泄露等安全問題。為保持移動(dòng)網(wǎng)絡(luò)的安全性與穩(wěn)定性,研究團(tuán)隊(duì)與技術(shù)人員需要從安全防護(hù)技術(shù)的角度出發(fā),厘清設(shè)計(jì)需求,強(qiáng)化技術(shù)創(chuàng)新,逐步構(gòu)建起完備的移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系。
1移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)概述
探討移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)構(gòu)成與類型,有助于技術(shù)人員形成正確的觀念認(rèn)知,掌握移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的特點(diǎn),梳理后續(xù)安全防護(hù)技術(shù)的設(shè)計(jì)需求,為安全防護(hù)技術(shù)的科學(xué)應(yīng)用提供方向性引導(dǎo)。隨著移動(dòng)網(wǎng)絡(luò)技術(shù)的日益成熟,移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)逐步完善,可以充分滿足不同場(chǎng)景下的網(wǎng)絡(luò)安全防護(hù)基本要求。具體來看,現(xiàn)階段移動(dòng)網(wǎng)絡(luò)安全機(jī)制較為健全、完善,形成了網(wǎng)絡(luò)接入安全、網(wǎng)絡(luò)域安全、用戶域安全、應(yīng)用安全等幾個(gè)層級(jí)[1],實(shí)現(xiàn)了移動(dòng)網(wǎng)絡(luò)的傳輸層、服務(wù)層以及應(yīng)用層的有效聯(lián)動(dòng),強(qiáng)化了對(duì)移動(dòng)網(wǎng)絡(luò)入網(wǎng)用戶的身份識(shí)別能力,以更好地提升移動(dòng)通信網(wǎng)絡(luò)的安全防護(hù)能力,相關(guān)技術(shù)構(gòu)成如圖1所示。網(wǎng)絡(luò)接入安全保護(hù)技術(shù)的作用,使得用戶可以通過身份識(shí)別等方式,快速接入到移動(dòng)網(wǎng)絡(luò)之中,從而規(guī)避無線鏈路攻擊風(fēng)險(xiǎn),保證網(wǎng)絡(luò)運(yùn)行的安全性,降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。通過構(gòu)建網(wǎng)絡(luò)安全域安全技術(shù)模塊,對(duì)移動(dòng)網(wǎng)絡(luò)中的數(shù)據(jù)交互路徑采取加密保護(hù)等相關(guān)舉措,可以降低數(shù)據(jù)丟失或者泄露的風(fēng)險(xiǎn)。與其他網(wǎng)絡(luò)不同,移動(dòng)網(wǎng)絡(luò)用戶相對(duì)而言較為固定,用戶群體較為明顯,這種特性使得在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)應(yīng)用過程中,可以通過簽約用戶識(shí)別模塊,形成移動(dòng)實(shí)體/通用簽約用戶識(shí)別模塊(UniversalSubscriberIdentityModule,USIM)安全環(huán)境,實(shí)現(xiàn)移動(dòng)網(wǎng)絡(luò)安全防護(hù)的靈活化、有效化,依托移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù),使得電信運(yùn)營(yíng)商的服務(wù)質(zhì)量顯著提升,更好地滿足不同場(chǎng)景下、不同用戶群體的移動(dòng)網(wǎng)絡(luò)使用需求[2]。隨著5G網(wǎng)絡(luò)的日益成熟,移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)也需要做出相應(yīng)的轉(zhuǎn)變,通過形成移動(dòng)通信網(wǎng)絡(luò)安全平臺(tái),實(shí)現(xiàn)硬件系統(tǒng)與軟件系統(tǒng)的聯(lián)動(dòng),構(gòu)建起平臺(tái)式、生態(tài)化的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)機(jī)制,最大限度地保證用戶信息的安全性與有效性。
2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)需求
移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)涉及的技術(shù)類型較為多元,為有效整合安全防護(hù)技術(shù)資源,技術(shù)人員應(yīng)當(dāng)明確安全防護(hù)技術(shù)需求,在技術(shù)需求導(dǎo)向下,提升移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用的有效性。
2.1移動(dòng)通信網(wǎng)絡(luò)面臨的主要威脅
移動(dòng)通信網(wǎng)絡(luò)在使用過程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴(yán)重,用戶個(gè)人信息數(shù)據(jù)丟失案例逐年上升,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。出現(xiàn)這種情況的主要原因在于,移動(dòng)通信網(wǎng)絡(luò)經(jīng)過多年發(fā)展,其形成以網(wǎng)絡(luò)應(yīng)用服務(wù)為核心,以移動(dòng)終端為平臺(tái)的應(yīng)用場(chǎng)景[3]。這種技術(shù)特性,使得越來越多的用戶愿意通過移動(dòng)通信網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的訪問。數(shù)據(jù)訪問的完成,固然提升了用戶的使用體驗(yàn),但是移動(dòng)通信網(wǎng)絡(luò)在通過空中接口傳輸數(shù)據(jù)的過程中,出現(xiàn)數(shù)據(jù)截流或者丟失的概率也相對(duì)較大。移動(dòng)通信網(wǎng)絡(luò)具有較強(qiáng)的開放性,用戶可以根據(jù)自身的需要,進(jìn)行網(wǎng)絡(luò)資源的獲取與訪問,這種開放性,無形之中增加了安全事件的發(fā)生概率。這些移動(dòng)通信網(wǎng)絡(luò)安全威脅要素的存在,勢(shì)必要求技術(shù)人員快速做出思路的轉(zhuǎn)變,通過技術(shù)創(chuàng)新與優(yōu)化,持續(xù)增強(qiáng)技術(shù)的安全性。
2.2移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)基本要求
2.2.1基于體系安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)為改善移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)能力,有效應(yīng)對(duì)各類外部風(fēng)險(xiǎn),避免數(shù)據(jù)竊取或者泄漏等情況的發(fā)生。在移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)工中,需要以平臺(tái)為基礎(chǔ),豐富安全防護(hù)的路徑與場(chǎng)景,基于這種技術(shù)思路,我國(guó)相關(guān)安全技術(shù)團(tuán)隊(duì)提出了平臺(tái)化的解決方案。將移動(dòng)通信網(wǎng)絡(luò)終端作為主要平臺(tái),對(duì)終端實(shí)體設(shè)備與網(wǎng)絡(luò)之間的初始認(rèn)證路徑、認(rèn)證頻次等做出適當(dāng)?shù)恼{(diào)整,形成安全信息的交互,這種平臺(tái)式的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù),不僅可以提升實(shí)際的防護(hù)能力,還在很大程度上降低了移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用成本,避免了額外費(fèi)用的產(chǎn)生,穩(wěn)步提升了移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)的實(shí)用性與可行性[4]。
2.2.2基于終端安全的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)終端是移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、交互、使用的重要媒介,基于這種認(rèn)知,技術(shù)人員需要將終端作為安全防護(hù)的重要領(lǐng)域,通過技術(shù)的創(chuàng)新,打造完備的終端安全防護(hù)機(jī)制體系。例如,目前較為成熟的第三代移動(dòng)通信網(wǎng)絡(luò)的認(rèn)證與密鑰協(xié)商協(xié)議(AuthenticationandKeyAgreement,AKA),其根據(jù)終端特性,設(shè)置了可信計(jì)算安全結(jié)構(gòu),這種安全結(jié)構(gòu)以可信移動(dòng)平臺(tái)、公鑰基礎(chǔ)設(shè)施作為框架,將用戶終端中嵌入敏感服務(wù),形成魯棒性終端安全平臺(tái),從實(shí)踐效果來看,這種安全認(rèn)證技術(shù)方案,不僅可以識(shí)別各類終端攻擊行為,消除各類安全風(fēng)險(xiǎn),其技術(shù)原理相對(duì)簡(jiǎn)單,實(shí)現(xiàn)難度較小,在實(shí)踐環(huán)節(jié),表現(xiàn)出明顯的實(shí)踐優(yōu)勢(shì)。
3移動(dòng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系的構(gòu)建
移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從實(shí)際出發(fā),在做好防護(hù)技術(shù)設(shè)計(jì)需求分析的基礎(chǔ)上,依托現(xiàn)有的技術(shù)手段,建立起完備的移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用體系,實(shí)現(xiàn)安全防護(hù)體系的健全與完善。
3.1應(yīng)用可信服務(wù)安全防護(hù)技術(shù)方案
基于移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)設(shè)計(jì)要求,技術(shù)人員應(yīng)當(dāng)將平臺(tái)作為基礎(chǔ),形成以移動(dòng)可信計(jì)算模塊為核心的安全防護(hù)技術(shù)體系。從實(shí)際情況來看,移動(dòng)可信計(jì)算模塊具有較強(qiáng)的獨(dú)立性,可以為用戶提供可靠的信息安全通道,對(duì)于移動(dòng)通信網(wǎng)絡(luò)終端安裝的各類操作軟件進(jìn)行合法性檢測(cè),對(duì)于沒有獲得授權(quán)的軟件,禁止安裝與運(yùn)行。這種技術(shù)處理方案實(shí)用性較強(qiáng),具備較高的使用價(jià)值。
3.2應(yīng)用安全服務(wù)器防護(hù)技術(shù)方案
為降低移動(dòng)通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用難度,技術(shù)人員將安全服務(wù)器納入防護(hù)技術(shù)方案中,通過安全服務(wù)器,移動(dòng)通信網(wǎng)絡(luò)可以在較短的時(shí)間內(nèi)完成移動(dòng)端軟件完整性評(píng)估與合法性查詢,通過這種輔助功能,移動(dòng)通信網(wǎng)絡(luò)使用的各類硬件、軟件保持在安全運(yùn)行狀態(tài),實(shí)現(xiàn)對(duì)各類安全事件的評(píng)估與應(yīng)對(duì),以保證安全防護(hù)成效。在安全服務(wù)器防護(hù)技術(shù)設(shè)置上,技術(shù)人員需要針對(duì)性地做好查詢功能的設(shè)置工作,為移動(dòng)終端提供軟件合法性查詢服務(wù)。這種技術(shù)機(jī)制使得安全服務(wù)器可以對(duì)移動(dòng)終端安裝或者運(yùn)行軟件進(jìn)行系統(tǒng)化查詢。例如,根據(jù)需要,對(duì)安裝或者運(yùn)行軟件的合法性進(jìn)行審查。審查過程中,終端通過本地的MTM進(jìn)行查詢,如沒有獲得查詢結(jié)果,則發(fā)出查詢申請(qǐng),安全服務(wù)器在接受申請(qǐng)后,進(jìn)行系列安全查詢,并將查詢結(jié)果及時(shí)反饋給終端。在安全服務(wù)器使用過程中,還需要做好升級(jí)工作。例如,加強(qiáng)與軟件提供商的技術(shù)溝通,通過技術(shù)溝通,做好軟件安全性、合法性信息的生成,實(shí)現(xiàn)軟件的備案。還要持續(xù)提升運(yùn)營(yíng)網(wǎng)絡(luò)的接入網(wǎng)服務(wù)器交互功能,逐步強(qiáng)化移動(dòng)終端完整性的整體性接入能力,保證移動(dòng)終端的安全性與整體性。
3.3應(yīng)用大數(shù)據(jù)下安全防護(hù)技術(shù)方案
大數(shù)據(jù)背景下,移動(dòng)通信安全防護(hù)技術(shù)的應(yīng)用,要求技術(shù)人員從安全監(jiān)測(cè)、安全響應(yīng)、系統(tǒng)恢復(fù)等層面出發(fā),形成完備的安全防護(hù)機(jī)制。在安全監(jiān)測(cè)模塊設(shè)計(jì)環(huán)節(jié),技術(shù)人員通過入侵監(jiān)測(cè)技術(shù)、網(wǎng)絡(luò)深度過濾技術(shù)、網(wǎng)絡(luò)抓包技術(shù)得以對(duì)移動(dòng)通信網(wǎng)絡(luò)漏洞開展評(píng)估與分析,并根據(jù)評(píng)估結(jié)果,進(jìn)行網(wǎng)絡(luò)安全補(bǔ)丁的下載,從而避免病毒等非法入侵行為的發(fā)生[5]。相應(yīng)安全技術(shù)研發(fā)過程中,依托殺毒軟件、防火墻等現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)方案,確保移動(dòng)通信網(wǎng)絡(luò)在遭受攻擊后,可以快速響應(yīng),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒的查殺,確保信息數(shù)據(jù)的安全性。要做好網(wǎng)絡(luò)終端數(shù)據(jù)的備份,定期進(jìn)行移動(dòng)通信網(wǎng)絡(luò)數(shù)據(jù)的備份,一旦出現(xiàn)信息泄露或者網(wǎng)絡(luò)遭受攻擊的情況,讓技術(shù)人員可以通過備份技術(shù),快速完成數(shù)據(jù)的恢復(fù),將信息泄露的損失降到最低。
關(guān)鍵詞:無線網(wǎng)絡(luò);數(shù)據(jù)安全;思考
一、無線網(wǎng)絡(luò)安全問題的表現(xiàn)
1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ),這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查??蓪?duì)接入點(diǎn)進(jìn)行配置,要求客戶端接入時(shí)輸入口令。如果沒有口令,入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信,從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部,他們可以使用網(wǎng)絡(luò)掃描器,如Netstumbler等工具??梢栽谝苿?dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無線網(wǎng)絡(luò),這種活動(dòng)稱為“wardriving”;走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù),這稱為“warwalking”。
1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下,就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn),其目的是為了避開已安裝的安全手段,創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害,但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò),并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”,雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn),然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。
1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件,或下載盜版內(nèi)容,這會(huì)產(chǎn)生一些法律問題。
1.6對(duì)無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣,劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況,一是無線數(shù)據(jù)包分析,即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分,而其數(shù)據(jù)一般會(huì)包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶,并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視,這種監(jiān)視依賴于集線器,所以很少見。
二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡(jiǎn)稱,讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別,類似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的,客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是,如果黑客利用其他手段獲取相應(yīng)參數(shù),仍可接入目標(biāo)網(wǎng)絡(luò),因此,隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對(duì)AP的設(shè)定,將指定的無線網(wǎng)卡的物理地址(MAC地址)輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷,只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā),否則將會(huì)被丟棄。這種方式比較麻煩,而且不能支持大量的移動(dòng)客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò),一般SOHO,小型企業(yè)工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱,所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼,部署比較麻煩;使用靜態(tài)非交換式密鑰,安全性也受到了業(yè)界的質(zhì)疑,但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊,一般用于SOHO、中小型企業(yè)的安全加密。
2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN,將所有的無線客戶端設(shè)備完全隔離,使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè),讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義,用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認(rèn)證機(jī)制,從而提供更高級(jí)別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱,下一代無線規(guī)格802.11i之前的過渡方案,也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP(TemporalKeyIntegrityProtocol),這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議,而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求,該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級(jí)的AES加密,能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議,盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁,但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。:
2.802.11iIEEE正在開發(fā)的新一代的無線規(guī)格,致力于徹底解決無線網(wǎng)絡(luò)的安全問題,草案中包含加密技術(shù)AES(AdvancedEncryptionStandard)與TKIP,以及認(rèn)證協(xié)議IEEE802.1x。盡管理論上講此協(xié)議可以徹底解決無線網(wǎng)絡(luò)安全問題,適用于所有企業(yè)網(wǎng)絡(luò)的無線部署,但是目前為止尚未有支持此協(xié)議的產(chǎn)品問世。
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬網(wǎng)絡(luò)技術(shù) 應(yīng)用
信息時(shí)代的到來,使人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度越來越大。同時(shí),各種網(wǎng)絡(luò)安全事件頻發(fā),黑客攻擊、病毒感染、隱私信息泄露等一定程度上影響網(wǎng)絡(luò)正常秩序,給受害人造成了不可估量的損失,因此,有必要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)進(jìn)行探討,構(gòu)建安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境,更好的為人們的生產(chǎn)生活服務(wù)。
1 計(jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)
為保證計(jì)算機(jī)網(wǎng)絡(luò)安全,確保生產(chǎn)工作的順利進(jìn)行,人們構(gòu)建了多種形式的虛擬網(wǎng),一定程度上提高計(jì)算機(jī)網(wǎng)絡(luò)安全性,較為常見的網(wǎng)絡(luò)有虛擬局域網(wǎng)(VLAN)與虛擬專用網(wǎng)(VPN),其中VLAN根據(jù)工作需要將網(wǎng)絡(luò)節(jié)點(diǎn)劃分成多個(gè)邏輯工作組,有效避免了廣播風(fēng)暴的傳播,提高網(wǎng)絡(luò)傳輸質(zhì)量與效率。最重要的是不同虛擬網(wǎng)絡(luò)之間無法直接通信,進(jìn)一步提高了網(wǎng)絡(luò)安全性。VPN是一種利用加密、隧道技術(shù)在Internet建立的私人數(shù)據(jù)網(wǎng)絡(luò),因其融合了訪問控制、用戶認(rèn)證以及安全隧道,使得網(wǎng)絡(luò)安全性大大提高??紤]到人們對(duì)VLAN相關(guān)技術(shù)比較熟悉這里不再贅述,接下來將重點(diǎn)探討VPN虛擬網(wǎng)絡(luò)技術(shù)。
1.1 隧道技術(shù)
所謂隧道技術(shù)指源局域網(wǎng)信息發(fā)送到公網(wǎng)之前,將傳輸信息作為負(fù)載進(jìn)行封裝處理,而后在信息接收端將負(fù)載解封便可獲得相關(guān)信息。采用隧道技術(shù)進(jìn)行信息傳輸時(shí),為提高信息成功傳輸機(jī)率及信息的安全性,需遵守一定的傳輸協(xié)議,即,隧道協(xié)議。隧道協(xié)議包括三部分:PPTP協(xié)議、L2TP協(xié)議以及IPSec協(xié)議,為VPN中信息的安全傳輸提供了重要保障。
1.2 加密技術(shù)
VPN中信息加密操作主要有IPSec協(xié)議實(shí)現(xiàn),運(yùn)用一種端對(duì)端的加密模式,即,信息傳輸之前根據(jù)協(xié)議中的機(jī)密規(guī)則對(duì)信息進(jìn)行加密,確保在整個(gè)網(wǎng)絡(luò)中信息以密文的形式傳輸。需要說明的是,該協(xié)議對(duì)傳輸信息的加密以數(shù)據(jù)包為單位,不僅增強(qiáng)了加密靈活性,而且使得數(shù)據(jù)包在公共網(wǎng)絡(luò)環(huán)境中的安全性得以提升,一定程度上網(wǎng)絡(luò)攻擊的防范效果。另外,在應(yīng)用該協(xié)議的同時(shí),融合物理層保護(hù)、邊界保護(hù)以及用戶訪問控制,可為數(shù)據(jù)傳輸提供更深層次的安全防護(hù)。
1.3 認(rèn)證技術(shù)
為保證數(shù)據(jù)信息在公共網(wǎng)絡(luò)中安全傳輸,VPN還需認(rèn)證技術(shù)的支持。VPN中認(rèn)證功能主要通過AH、ESP以及IKE協(xié)議實(shí)現(xiàn),其中AH協(xié)議對(duì)認(rèn)證采用的方法進(jìn)行定義,負(fù)責(zé)對(duì)數(shù)據(jù)源的認(rèn)真以及保證數(shù)據(jù)源的完整性。該協(xié)議工作時(shí)將身份驗(yàn)證報(bào)頭,添加到每個(gè)數(shù)據(jù)包之上,報(bào)頭中包含有帶密鑰的hash散列,并在數(shù)據(jù)包中進(jìn)行計(jì)算,只要信息被修改可導(dǎo)致散列無效,因此,一定程度上保護(hù)信息的完整性;ESP協(xié)議對(duì)可選認(rèn)證與加密應(yīng)用方法進(jìn)行定義。該協(xié)議的加密服務(wù)是可選的,通常情況下,只對(duì)IP包有效荷載部分進(jìn)行加密,而不加密整個(gè)數(shù)據(jù)包,它可以單獨(dú)使用,也可與AH一起使用。該協(xié)議的的加密部分,主要包括ESP報(bào)尾、數(shù)據(jù)以及上層傳輸協(xié)議信息;IKE協(xié)議負(fù)責(zé)交換密鑰,給通信雙方構(gòu)建驗(yàn)證后的密鑰以及安全參數(shù)。
2 虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用
2.1 需求介紹
某公司總部接入Internet的方式為寬帶接入,帶寬為100M。公司在鄭州、洛陽、平頂山、信陽、焦作等均設(shè)立分公司,接入Internet的方式為撥號(hào)、寬帶或ADSL。分公司與公司總部需進(jìn)行業(yè)務(wù)信息的傳輸。其中在鄭州、洛陽兩地配有性能優(yōu)越的服務(wù)器,為其他分公司提供數(shù)據(jù)信息服務(wù),而位于鄭州的總部需對(duì)傳輸?shù)男畔⑦M(jìn)行分發(fā)。
隨著公司業(yè)務(wù)的不斷擴(kuò)大,現(xiàn)有網(wǎng)絡(luò)已很難滿足信息傳輸需要,尤其一些重要信息,對(duì)傳輸安全性的要求較高。同時(shí),由于該公司采用電信提供的專線進(jìn)行組網(wǎng),專線租用費(fèi)用以及通信費(fèi)用耗費(fèi)嚴(yán)重,一定程度上了增加了公司的經(jīng)濟(jì)負(fù)擔(dān)。另外,電信提供的傳輸平臺(tái)在信息傳輸安全方面多有欠缺,信息傳輸期間竊取、篡改以及監(jiān)聽的可能性非之大,一旦被不法分子獲得傳輸信息,將會(huì)給公司造成不可估量的損失。
2.2 需求目標(biāo)
針對(duì)公司信息傳輸實(shí)際以及業(yè)務(wù)開展情況,公司急需安全、穩(wěn)定、高效的傳輸網(wǎng)絡(luò),在提高自身信息化水平的同時(shí),建立一個(gè)全省級(jí)的信息服務(wù)網(wǎng)絡(luò),為信息安全傳輸創(chuàng)造良好條件。
2.3 方案介紹
為實(shí)現(xiàn)公司信息傳輸目標(biāo),為分公司與總公司信息傳輸提供安全、穩(wěn)定的保障擬組建VPN網(wǎng)絡(luò)具體實(shí)現(xiàn)方案為:
首先,在公司總部安全一個(gè)性能良好的VPN服務(wù)器,為移動(dòng)用戶、核心分支以及其他分支與中心實(shí)現(xiàn)連接的VPN硬件安全網(wǎng)關(guān),并將總部的VPN硬件網(wǎng)絡(luò)的安全隧道設(shè)置為200個(gè)。其次,各分支根據(jù)信息傳輸要求,通過安裝VPN客戶端增強(qiáng)軟件,建立安全隧道。再次,在核心分支兩端分別安裝VPN網(wǎng)關(guān),完成安全隧道的構(gòu)建,將VPN安全網(wǎng)絡(luò)可連接的安全隧道設(shè)置為500個(gè)。而對(duì)于移動(dòng)用戶而言,只需要安裝VPN客戶端軟件,便可實(shí)現(xiàn)與內(nèi)網(wǎng)的通信。
2.4 運(yùn)營(yíng)結(jié)果
根據(jù)公司對(duì)信息傳輸?shù)男枰獞?yīng)用虛擬網(wǎng)絡(luò)技術(shù)組間VPN網(wǎng)絡(luò),滿足了公司總部與分公司間的信息傳輸需求,尤其在傳輸信息加密以及信息認(rèn)證方面獲得了預(yù)期的目標(biāo),信息傳輸?shù)陌踩缘靡源蟠筇岣?。而且減少了在網(wǎng)絡(luò)自費(fèi)方面的投入,為公司效益的增加奠定了堅(jiān)實(shí)的基礎(chǔ)。
3 總結(jié)
人們?cè)谙硎苡?jì)算機(jī)網(wǎng)絡(luò)給生產(chǎn)、生活帶來便利的同時(shí),還應(yīng)注重網(wǎng)絡(luò)安全方面的考慮,尤其應(yīng)注重應(yīng)用虛擬網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的提高,為信息的傳輸、共享奠定基礎(chǔ),以營(yíng)造良好的網(wǎng)絡(luò)秩序,為我國(guó)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展與應(yīng)用創(chuàng)造良好的環(huán)境。
參考文獻(xiàn)
[1]任科.計(jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用研究[J].電子技術(shù)與軟件工程,2015,08:219.
一、我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)
(一)基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升,但安全隱患不容忽視。根據(jù)工信部組織開展的2011年通信網(wǎng)絡(luò)安全防護(hù)檢查情況,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較2010年均有所提高,對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大,網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升,對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng),網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高,各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%,較2010年的92.25%、2009年的78.61%呈逐年穩(wěn)步上升趨勢(shì)。
但是,基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。據(jù)抽查結(jié)果顯示,域名解析系統(tǒng)(DNS)、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)的百分比分別為6.8%、17.3%和0.6%。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄的漏洞統(tǒng)計(jì),2011年發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)的漏洞203個(gè),其中高危漏洞73個(gè);發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè), 應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)監(jiān)測(cè),2011年每天發(fā)生的分布式拒絕服務(wù)攻擊(DDoS)事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊,導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無法解析。8月18日晚和19日晚,新疆某運(yùn)營(yíng)商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊,造成局部用戶無法正常使用互聯(lián)網(wǎng)。
(二)政府網(wǎng)站安全事件顯著減少,網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注。據(jù)CNCERT監(jiān)測(cè),2011年中國(guó)大陸被篡改的政府網(wǎng)站為2807個(gè),比2010年大幅下降39.4%;從CNCERT專門面向國(guó)務(wù)院部門門戶網(wǎng)站的安全監(jiān)測(cè)結(jié)果來看,國(guó)務(wù)院部門門戶網(wǎng)站存在低級(jí)別安全風(fēng)險(xiǎn)的比例從2010年的60%進(jìn)一步降低為50%。但從整體來看,2011年網(wǎng)站安全情況有一定惡化趨勢(shì)。在CNCERT接收的網(wǎng)絡(luò)安全事件(不含漏洞)中,網(wǎng)站安全類事件占到61.7%;境內(nèi)被篡改網(wǎng)站數(shù)量為36612個(gè),較2010年增加5.1%;4月-12月被植入網(wǎng)站后門的境內(nèi)網(wǎng)站為12513個(gè)。CNVD接收的漏洞中,涉及網(wǎng)站相關(guān)的漏洞占22.7%,較2010年大幅上升,排名由第三位上升至第二位。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。2011年底, CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注,被公開的疑似泄露數(shù)據(jù)庫(kù)26個(gè),涉及帳號(hào)、密碼信息2.78億條,嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn),我國(guó)部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ),相關(guān)漏洞修補(bǔ)不及時(shí),安全防護(hù)水平較低。
(三)我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。
黑影服務(wù)器-僵尸網(wǎng)絡(luò)控制端數(shù)量排名(2012年3月14日)
麥咖啡
賽門鐵克
賽門鐵克——病毒郵件排名(2011年11月)
賽門鐵克——釣魚網(wǎng)站排名(2011年11月)
賽門鐵克-垃圾郵件數(shù)量排名(2011年11月)
索菲斯
索菲斯—垃圾郵件排名
2011年,CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),境外有近4.7萬個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī),雖然其數(shù)量較2010年的22.1萬大幅降低,但其控制的境內(nèi)主機(jī)數(shù)量卻由2010年的近500萬增加至近890萬,呈現(xiàn)大規(guī)模化趨勢(shì)。其中位于日本(22.8%)、美國(guó)(20.4%)和韓國(guó)(7.1%)的控制服務(wù)器IP數(shù)量居前三位,美國(guó)繼2009年和2010年兩度位居榜首后,2011年其控制服務(wù)器IP數(shù)量下降至第二,以9528個(gè)IP控制著我國(guó)境內(nèi)近885萬臺(tái)主機(jī),控制我國(guó)境內(nèi)主機(jī)數(shù)仍然高居榜首。在網(wǎng)站安全方面,境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁篡改;境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制,其中美國(guó)有3328個(gè)IP(占28.1%)控制著境內(nèi)3437個(gè)網(wǎng)站,位居第一,源于韓國(guó)(占8.0%)和尼日利亞(占5.8%)的IP位居第二、三位;仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外,其中美國(guó)仍然排名首位——共有481個(gè)IP(占72.1%)仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn),中國(guó)香港(占17.8%)和韓國(guó)(占2.7%)分列二、三位。總體來看,2011年位于美國(guó)、日本和韓國(guó)的惡意IP地址對(duì)我國(guó)的威脅最為嚴(yán)重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù),2011年在我國(guó)實(shí)施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊(cè)。此外,CNCERT在2011年還監(jiān)測(cè)并處理多起境外IP對(duì)我國(guó)網(wǎng)站和系統(tǒng)的拒絕服務(wù)攻擊事件。這些情況表明我國(guó)面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴(yán)重。
(四)網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。隨著我國(guó)網(wǎng)上銀行的蓬勃發(fā)展,廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。2011年初,全國(guó)范圍大面積爆發(fā)了假冒中國(guó)銀行網(wǎng)銀口令卡升級(jí)的騙局,據(jù)報(bào)道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測(cè),2011年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍, 3月-12月發(fā)現(xiàn)針對(duì)我國(guó)網(wǎng)銀的釣魚網(wǎng)站域名3841個(gè)。CNCERT全年共接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件,較2010年增長(zhǎng)近2.5倍,占總接收事件的35.5%;重點(diǎn)處理網(wǎng)頁釣魚事件1833件,較2010年增長(zhǎng)近兩倍。
(五)工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后,2011年美國(guó)伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作,11月Stuxnet病毒轉(zhuǎn)變?yōu)閷iT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。2011年CNVD收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處置安全漏洞,但在處置過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。
(六)手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展,黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。2011年CNCERT捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè),較2010年增加超過兩倍。其中,惡意扣費(fèi)類惡意程序數(shù)量最多,為1317個(gè),占21.08%,其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來看,約有60.7%的惡意程序針對(duì)Symbian平臺(tái),該比例較2010年有所下降,針對(duì)Android平臺(tái)的惡意程序較2010年大幅增加,有望迅速超過Symbian平臺(tái)。2011年境內(nèi)約712萬個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序,嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。
(七)木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗。2011年,CNCERT全年共發(fā)現(xiàn)近890萬余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序,較2010年大幅增加78.5%。其中,感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬余個(gè),國(guó)家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告,2011年截獲的惡意程序樣本數(shù)量較2010年增加26.1%,位于較高水平。黑客在瘋狂制造新的惡意程序的同時(shí),也在想方設(shè)法逃避監(jiān)測(cè)和打擊,例如,越來越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測(cè)和處置。
(八)應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)。2011年,CNVD共收集整理并公開信息安全漏洞5547個(gè),較2010年大幅增加60.9%。其中,高危漏洞有2164個(gè),較2010年增加約2.3倍。在所有漏洞中,涉及各種應(yīng)用程序的最多,占62.6%,涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二,占22.7%,而涉及各種操作系統(tǒng)的漏洞則排到第三位,占8.8%。除預(yù)警外,CNVD還重點(diǎn)協(xié)調(diào)處置了大量威脅嚴(yán)重的漏洞,涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁瀏覽器、手機(jī)應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對(duì)安全問題重視不夠,質(zhì)量控制不嚴(yán)格,發(fā)生安全事件后應(yīng)急處置能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大,因此一旦某個(gè)產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞,將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強(qiáng)了對(duì)軟件和網(wǎng)站漏洞的挖掘和攻擊活動(dòng)。
(九)DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)。2011年,DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一,表現(xiàn)出三個(gè)特點(diǎn)。一是DDoS攻擊事件發(fā)生頻率高,且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),我國(guó)境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中,TCP SYN FLOOD和UDP FLOOD等常見虛假源IP地址攻擊事件約占70%,對(duì)其溯源和處置難度較大。二是在經(jīng)濟(jì)利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大,難以防范。例如2011年針對(duì)浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月,綜合采用了DNS請(qǐng)求攻擊、UDP FLOOD、TCP SYN FLOOD、HTTP請(qǐng)求攻擊等多種方式,攻擊峰值流量達(dá)數(shù)十個(gè)Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮。2011年多家省部級(jí)政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊,且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭(zhēng)斗引起。
二、國(guó)內(nèi)網(wǎng)絡(luò)安全應(yīng)對(duì)措施
(一)相關(guān)互聯(lián)網(wǎng)主管部門加大網(wǎng)絡(luò)安全行政監(jiān)管力度,堅(jiān)決打擊境內(nèi)網(wǎng)絡(luò)攻擊行為。針對(duì)工業(yè)控制系統(tǒng)安全事件愈發(fā)頻繁的情況,工信部在2011年9月專門印發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,對(duì)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理提出了明確要求。2011年底,工信部印發(fā)了《移動(dòng)互聯(lián)網(wǎng)惡意程序監(jiān)測(cè)與處置機(jī)制》,開展治理試點(diǎn),加強(qiáng)能力建設(shè)。6月起,工信部組織開展2011年網(wǎng)絡(luò)安全防護(hù)檢查工作,積極將防護(hù)工作向域名服務(wù)和增值電信領(lǐng)域延伸。另外還組織通信行業(yè)開展網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練,指導(dǎo)相關(guān)單位妥善處置網(wǎng)絡(luò)安全應(yīng)急事件等。公安部門積極開展網(wǎng)絡(luò)犯罪打擊行動(dòng),破獲了2011年12月底CSDN、天涯社區(qū)等數(shù)據(jù)泄漏案等大量網(wǎng)絡(luò)攻擊案件;國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心積極發(fā)揮網(wǎng)絡(luò)安全信息共享平臺(tái)作用,有力支撐各部門做好網(wǎng)絡(luò)安全工作。
(二)通信行業(yè)積極行動(dòng),采取技術(shù)措施凈化公共網(wǎng)絡(luò)環(huán)境。面對(duì)木馬和僵尸程序在網(wǎng)上的橫行和肆虐,在工信部的指導(dǎo)下,2011年CNCERT會(huì)同基礎(chǔ)電信運(yùn)營(yíng)企業(yè)、域名從業(yè)機(jī)構(gòu)開展14次木馬和僵尸網(wǎng)絡(luò)專項(xiàng)打擊行動(dòng),次數(shù)比去年增加近一倍。成功處置境內(nèi)外5078個(gè)規(guī)模較大的木馬和僵尸網(wǎng)絡(luò)控制端和惡意程序傳播源。此外,CNCERT全國(guó)各分中心在當(dāng)?shù)赝ㄐ殴芾砭值闹笇?dǎo)下,協(xié)調(diào)當(dāng)?shù)鼗A(chǔ)電信運(yùn)營(yíng)企業(yè)分公司合計(jì)處置木馬和僵尸網(wǎng)絡(luò)控制端6.5萬個(gè)、受控端93.9萬個(gè)。根據(jù)監(jiān)測(cè),在中國(guó)網(wǎng)民數(shù)和主機(jī)數(shù)量大幅增加的背景下,控制端數(shù)量相對(duì)2010年下降4.6%,專項(xiàng)治理工作取得初步成效。
(三)互聯(lián)網(wǎng)企業(yè)和安全廠商聯(lián)合行動(dòng),有效開展網(wǎng)絡(luò)安全行業(yè)自律。2011年CNVD收集整理并漏洞信息,重點(diǎn)協(xié)調(diào)國(guó)內(nèi)外知名軟件商處置了53起影響我國(guó)政府和重要信息系統(tǒng)部門的高危漏洞。中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟(ANVA)啟動(dòng)聯(lián)盟內(nèi)惡意代碼共享和分析平臺(tái)試點(diǎn)工作,聯(lián)合20余家網(wǎng)絡(luò)安全企業(yè)、互聯(lián)網(wǎng)企業(yè)簽訂遵守《移動(dòng)互聯(lián)網(wǎng)惡意程序描述規(guī)范》,規(guī)范了移動(dòng)互聯(lián)網(wǎng)惡意代碼樣本的認(rèn)定命名,促進(jìn)了對(duì)其的分析和處置工作。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)于2011年8月組織包括奇虎360和騰訊公司在內(nèi)的38個(gè)單位簽署了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》,該公約提倡公平競(jìng)爭(zhēng)和禁止軟件排斥,一定程度上規(guī)范了終端軟件市場(chǎng)的秩序;在部分網(wǎng)站發(fā)生用戶信息泄露事件后,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)立即召開了“網(wǎng)站用戶信息保護(hù)研討會(huì)”,提出安全防范措施建議。
(四)深化網(wǎng)絡(luò)安全國(guó)際合作,切實(shí)推動(dòng)跨境網(wǎng)絡(luò)安全事件有效處理。作為我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急體系對(duì)外合作窗口,2011年CNCERT積極推動(dòng)“國(guó)際合作伙伴計(jì)劃”,已與40個(gè)國(guó)家、79個(gè)組織建立了聯(lián)系機(jī)制,全年共協(xié)調(diào)國(guó)外安全組織處理境內(nèi)網(wǎng)絡(luò)安全事件1033起,協(xié)助境外機(jī)構(gòu)處理跨境事件568起。其中包括針對(duì)境內(nèi)的DDoS攻擊、網(wǎng)絡(luò)釣魚等網(wǎng)絡(luò)安全事件,也包括針對(duì)境外蘇格蘭皇家銀行網(wǎng)站、德國(guó)郵政銀行網(wǎng)站、美國(guó)金融機(jī)構(gòu)Wells Fargo網(wǎng)站、希臘國(guó)家銀行網(wǎng)站和韓國(guó)農(nóng)協(xié)銀行網(wǎng)站等金融機(jī)構(gòu),加拿大稅務(wù)總局網(wǎng)站、韓國(guó)政府網(wǎng)站等政府機(jī)構(gòu)的事件。另外CNCERT再次與微軟公司聯(lián)手,繼2010年打擊Waledac僵尸網(wǎng)絡(luò)后,2011年又成功清除了Rustock僵尸網(wǎng)絡(luò),積極推動(dòng)跨境網(wǎng)絡(luò)安全事件的處理。2011年,CNCERT圓滿完成了與美國(guó)東西方研究所(EWI)開展的為期兩年的中美網(wǎng)絡(luò)安全對(duì)話機(jī)制反垃圾郵件專題研討,并在英國(guó)倫敦和我國(guó)大連舉辦的國(guó)際會(huì)議上正式了中文版和英文版的成果報(bào)告“抵御垃圾郵件 建立互信機(jī)制”,增進(jìn)了中美雙方在網(wǎng)絡(luò)安全問題上的相互了解,為進(jìn)一步合作打下基礎(chǔ)。
三、2012年值得關(guān)注的網(wǎng)絡(luò)安全熱點(diǎn)問題
隨著我國(guó)互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用的快速發(fā)展,2012年的網(wǎng)絡(luò)安全形勢(shì)將更加復(fù)雜,尤其需要重點(diǎn)關(guān)注如下幾方面問題:
(一)網(wǎng)站安全面臨的形勢(shì)可能更加嚴(yán)峻,網(wǎng)站中集中存儲(chǔ)的用戶信息將成為黑客竊取的重點(diǎn)。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差,其中存儲(chǔ)的用戶信息極易被竊取,黑客在得手之后會(huì)進(jìn)一步研究利用所竊取的個(gè)人信息,結(jié)合社會(huì)工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng),可能導(dǎo)致更嚴(yán)重的財(cái)產(chǎn)損失。
(二)隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展,針對(duì)移動(dòng)互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加,智能終端將成為黑客攻擊的重點(diǎn)目標(biāo)。由于Android手機(jī)用戶群的快速增長(zhǎng)和Android應(yīng)用平臺(tái)允許第三方應(yīng)用的特點(diǎn),運(yùn)行Android操作系統(tǒng)的智能移動(dòng)終端將成為黑客關(guān)注的重點(diǎn)。
(三)隨著我國(guó)電子商務(wù)的普及,網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移,針對(duì)網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的攻擊將急劇增加。針對(duì)金融機(jī)構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化,可能集網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體,實(shí)施更具威脅的攻擊。
(四)APT 攻擊將更加盛行,網(wǎng)絡(luò)竊密風(fēng)險(xiǎn)加大。APT攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性,傳統(tǒng)的安全防護(hù)系統(tǒng)很難防御。美國(guó)等西方發(fā)達(dá)國(guó)家已將APT攻擊列入國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié),2012年APT攻擊將更加系統(tǒng)化和成熟化,針對(duì)重要和敏感信息的竊取,有可能成為我國(guó)政府、企業(yè)等重要部門的嚴(yán)重威脅。
(五)隨著2012年ICANN正式啟動(dòng)新通用頂級(jí)域名(gTLD)業(yè)務(wù),新增的大量gTLD及其多語言域名資源,將給域名濫用者或欺詐者帶來更大的操作空間。
(六)隨著寬帶中國(guó)戰(zhàn)略開始實(shí)施,國(guó)家下一代互聯(lián)網(wǎng)啟動(dòng)商用試點(diǎn),以及無線城市的大規(guī)模推進(jìn)和云計(jì)算大范圍投入應(yīng)用, IPv6網(wǎng)絡(luò)安全、無線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問題將會(huì)越來越多地呈現(xiàn)出來。
【關(guān)鍵詞】無線網(wǎng)絡(luò) 網(wǎng)絡(luò)安全隱患 手機(jī)WIFI 防御策略
21世紀(jì)的第一個(gè)十年過去了,要說這十年什么發(fā)展的最迅速,許多人會(huì)想到互聯(lián)網(wǎng)技術(shù)和智能手機(jī)的普及。如今,電腦作為一個(gè)PC端,雖然發(fā)展不錯(cuò),但已經(jīng)不能和小巧智能的手機(jī)相比了,大多數(shù)人不會(huì)坐在電腦前一呆呆一天,但會(huì)抱著手機(jī)一看看一天。早上起床看手機(jī),晚上睡覺看手機(jī),無處不在的online手機(jī)無線促使著手機(jī)科技的發(fā)展。無線網(wǎng)絡(luò)是手機(jī)普及的重要因素,它安裝方便,上網(wǎng)速度快,信號(hào)穩(wěn)定,移動(dòng)性好,無線網(wǎng)絡(luò)在家庭、企事業(yè)單位、學(xué)校、公共場(chǎng)合都有著廣泛的使用率。然而有利就有弊,無線網(wǎng)絡(luò)本身也存在許多問題,網(wǎng)絡(luò)安全不夠完善,信息泄露、黑客破壞、網(wǎng)上詐騙等問題接二連三。本文分析無線網(wǎng)絡(luò)存在的安全弊端,并給出維護(hù)無線網(wǎng)絡(luò)安全的措施和應(yīng)對(duì)網(wǎng)絡(luò)遭受攻擊時(shí)的防御策略。
1 無線網(wǎng)絡(luò)
無線網(wǎng)絡(luò)也稱為無線局域網(wǎng),是計(jì)算機(jī)網(wǎng)絡(luò)和無線通信的結(jié)合體。它的數(shù)據(jù)來源是電腦互聯(lián)網(wǎng),通過射頻信號(hào),在空氣中傳輸數(shù)據(jù)給客戶端,例如手機(jī)、平板電腦、電視等媒體。無線網(wǎng)絡(luò)的優(yōu)勢(shì)很大,第一點(diǎn)就是它的移動(dòng)性。比如在辦公室內(nèi),安置一個(gè)無線網(wǎng)絡(luò),可以保證在任意位置獲得無線數(shù)據(jù),支持自由移動(dòng)、持續(xù)連接。第二點(diǎn)是成本低,只需要有一臺(tái)PC端提供有線網(wǎng)絡(luò),再連入路由器,基本上可以長(zhǎng)時(shí)間開啟不用擔(dān)心信號(hào)等問題。維護(hù)也很方便,同時(shí)不占用空間。第三點(diǎn)是它有很好的傳輸速度,也就是網(wǎng)速,802.11b的傳輸速度達(dá)11Mbps數(shù)據(jù)速率,802.11g無線速率達(dá)到54Mbps,802.11n的速率達(dá)到500Mbps,而最新標(biāo)準(zhǔn)802.11ac達(dá)到1Gbps。已經(jīng)可以滿足大多數(shù)用戶需求。
2 無線網(wǎng)絡(luò)安全隱患
一般用戶使用無線網(wǎng)絡(luò),大多是能構(gòu)建一個(gè)WLAN,無線終端如手機(jī)能使用無線就可以了。因此無線網(wǎng)絡(luò)安全的威脅就隨之而來。
2.1 無線路由器隱患
無線路由在出廠時(shí)配置的賬號(hào)和密碼大多相同的,因此無線路由可能被非法入侵,并且被控制。入侵者可以隨意更改無線路由參數(shù),對(duì)提供無線的客戶端進(jìn)行攻擊,甚至獲得寬帶的上網(wǎng)賬號(hào)和密碼。
2.2 無線WEP密碼威脅
網(wǎng)上有許多WEP破解軟件,簡(jiǎn)單的無線WEP太容易被破解,在網(wǎng)上存在的非法程序,可以捕捉到無線信號(hào),對(duì)密鑰加密的無線網(wǎng)絡(luò)進(jìn)行破解。
2.3 竊取信息
信號(hào)是802.11的無線網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證,所以入侵者可以讓ARP去欺騙局域網(wǎng),重新定向數(shù)據(jù)流,進(jìn)一步獲取用戶信息,造成網(wǎng)絡(luò)入侵。
利用中間人進(jìn)行欺騙攻擊,使用一個(gè)非法的AP欺騙客戶端,再欺騙客戶終端,從而獲得了用戶信息,進(jìn)行竊取和修改。
網(wǎng)絡(luò)信息大多數(shù)不進(jìn)行加密,因此被截取了信息就可以讀取其內(nèi)容,也會(huì)入侵用戶的網(wǎng)絡(luò)信息。
3 防御策略
3.1 計(jì)算機(jī)網(wǎng)絡(luò)防御
3.1.1 配置防火墻
防火墻的主要用途是在網(wǎng)絡(luò)信息傳輸過程中控制訪問的程度。如果得到授權(quán),就可以訪問用戶的計(jì)算機(jī)網(wǎng)絡(luò),未得到授權(quán)就可以阻止訪問,這樣可以防御未知的網(wǎng)絡(luò)進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部,防止網(wǎng)絡(luò)黑客入侵用戶的電腦盜竊信息和資料。防火墻對(duì)于保護(hù)用戶信息有至關(guān)重要的作用,是計(jì)算機(jī)網(wǎng)絡(luò)不可缺少的一部分。
3.1.2 檢測(cè)和掃描系統(tǒng)
檢測(cè)系統(tǒng)是在防火墻未起作用的情況下,抵抗黑客通過網(wǎng)絡(luò)漏洞進(jìn)行的攻擊。檢測(cè)和掃描系統(tǒng)由計(jì)算機(jī)本身進(jìn)行,大多數(shù)的系統(tǒng)軟件都帶有這種檢測(cè)方式,或者采用其他的殺毒軟件進(jìn)行檢測(cè)和掃描,這部分系統(tǒng)大多是清查計(jì)算機(jī)存在的系統(tǒng)漏洞,漏洞就好比黑客在自己電腦上開的一個(gè)后門,很容易讓黑客和病毒進(jìn)入計(jì)算機(jī)。建立完善的檢測(cè)和掃描系統(tǒng),可以堵死這些系統(tǒng)漏洞,讓計(jì)算機(jī)網(wǎng)絡(luò)處在一個(gè)安全的環(huán)境當(dāng)中。
3.2 無線網(wǎng)絡(luò)防御
3.2.1 隱藏?zé)o線
在軍事上,許多重要的設(shè)施都要進(jìn)行隱蔽,一旦被發(fā)現(xiàn)了就會(huì)被摧毀。因此,如果讓自己的無線網(wǎng)絡(luò)不被發(fā)現(xiàn),那么它就相對(duì)是安全的了。控制信號(hào)的輻射范圍,可以實(shí)現(xiàn)最大可能的隱藏??刂菩盘?hào)覆蓋范圍:例如在家庭里安置無線網(wǎng)絡(luò),就要選擇合理的無線訪問點(diǎn),控制信號(hào)的覆蓋區(qū),盡量限制在家庭里。減少泄露到屋外的信號(hào)。
3.2.2 無線路由加密
一個(gè)好的加密方式及密碼,可以給無線路由進(jìn)行安全防護(hù)。市場(chǎng)出售的無線路由器的賬號(hào)及密碼都基本相同,所以要自行修改無線路由的參數(shù),密碼要求盡可能的復(fù)雜,數(shù)字字母交叉會(huì)更好。無線訪問密碼一定要設(shè)置,如果沒有是很容易被“蹭網(wǎng)”的,蹭網(wǎng)的后果會(huì)導(dǎo)致自己的網(wǎng)速下降, 或者產(chǎn)生其他的安全問題。目前的加密方式主要有WEP加密、WPA加密等,WEP使用率很高,也很好設(shè)置,但容易被破解,所以為了自身無線的安全起見,建議采用WPA加密方式。
3.2.3 地址過濾
IP地址過濾:?jiǎn)⒂肐P地址過濾功能。大多數(shù)無線路由器都有過濾IP地址功能,可以在無線路由器頁面設(shè)置,將熟悉的IP地址設(shè)為允許訪問。其他IP地址統(tǒng)一設(shè)置為不允許訪問,這樣可以隔離外部的IP地址連接。
MAC地址過濾:啟用過濾MAC地址功能。MAC地址的設(shè)置和IP地址設(shè)置差不多,多數(shù)無線路由器都有過濾MAC地址功能。收集家庭電腦等終端的MAC地址,在無線路由器的相關(guān)設(shè)置中,寫入允許接入此網(wǎng)絡(luò)的無線終端的MAC地址,這樣及時(shí)有人搜索到了自己的無線網(wǎng)絡(luò),也不能進(jìn)行連接。
3.2.4 檢查無線路由器記錄
每隔一段時(shí)間登陸無線路由器檢查一下訪問記錄,是否有未知的MAC地址終端訪問,再檢查一下寬帶上網(wǎng)時(shí)間是否有異常,這樣做可以確保及時(shí)發(fā)現(xiàn)未知終端盜用自己的寬帶時(shí)間,并且阻止未知MAC地址登陸自己的無線路由。
3.3 手機(jī)WFIF防御
這在于每一個(gè)手機(jī)用戶,要要求自己不登陸不正規(guī)的網(wǎng)站,不隨意打開未知網(wǎng)頁,不下載不清楚的文件,尤其是APK安裝包。自己的藍(lán)牙要及時(shí)關(guān)閉,并且加上密碼鎖。禁止手機(jī)內(nèi)的應(yīng)用軟件隨意上網(wǎng),防止發(fā)生木馬開門。關(guān)注下手機(jī)系統(tǒng)的更新信息,用正規(guī)的安全軟件下載手機(jī)系統(tǒng)漏洞補(bǔ)丁,不定時(shí)清理手機(jī)垃圾文件和短信,保證手機(jī)的上網(wǎng)安全。
4 總結(jié)
隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展及普及,無線網(wǎng)絡(luò)在網(wǎng)速和安全上進(jìn)行了很大提升,將促進(jìn) WLAN 網(wǎng)絡(luò)被更多人使用,最后可能會(huì)全地區(qū)覆蓋。但網(wǎng)絡(luò)安全知識(shí)的普及并不是很夠,有了技術(shù)沒有意識(shí)也是不行的,本文分析了一般的網(wǎng)絡(luò)威脅,給出了常用的應(yīng)對(duì)策略,可以滿足一般家庭和地區(qū)的網(wǎng)絡(luò)安全防御。來提升WLAN的安全。
參考文獻(xiàn)
[1] 希賽網(wǎng)[Z].網(wǎng)絡(luò)技術(shù)學(xué)院,2013.
[2]盧開澄.計(jì)算機(jī)密碼學(xué)―計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)預(yù)安全[M].北京:清華大學(xué)出版社,2010(11).
【關(guān)鍵詞】?jī)?nèi)網(wǎng) 網(wǎng)絡(luò)安全 加密 身份認(rèn)證
一、引言
隨著信息技術(shù)特別是網(wǎng)絡(luò)技術(shù)的發(fā)展,大部分的企業(yè)或機(jī)關(guān)單位都組建了內(nèi)部局域網(wǎng),實(shí)現(xiàn)了資源共享,信息傳遞快速有效,極大地提高了工作效率。內(nèi)網(wǎng)已成為企事業(yè)單位日常工作不可或缺的重要組成部分,同時(shí),內(nèi)網(wǎng)中一般會(huì)有大量的保密數(shù)據(jù)文件和信息通過網(wǎng)絡(luò)進(jìn)行傳遞。例如政府、軍隊(duì)或軍工單位內(nèi)具有一定密級(jí)的文件、文檔、設(shè)計(jì)圖紙等;設(shè)計(jì)院所的圖紙和設(shè)計(jì)圖庫(kù)等;研發(fā)型企業(yè)的設(shè)計(jì)方案、源代碼和圖紙等數(shù)字知識(shí)產(chǎn)權(quán);企事業(yè)單位的財(cái)務(wù)數(shù)據(jù)等,都是保密數(shù)據(jù)信息。如何對(duì)這些保密數(shù)據(jù)信息進(jìn)行全方位的保護(hù),是非常重要的。
二、內(nèi)部網(wǎng)絡(luò)安全面臨的威脅
隨著技術(shù)的發(fā)展,網(wǎng)絡(luò)讓信息的獲取、共享和傳播更加方便,同時(shí)內(nèi)部局域網(wǎng)開放共享的特點(diǎn),使得分布在各臺(tái)主機(jī)中的重要信息資源處于一種高風(fēng)險(xiǎn)的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。防火墻、入侵檢測(cè)、網(wǎng)絡(luò)隔離裝置等網(wǎng)絡(luò)安全保護(hù)對(duì)于防止外部入侵有不可替代的作用,而對(duì)于內(nèi)部泄密顯得無可奈何,內(nèi)部人員的非法竊密事件逐漸增多。據(jù)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心調(diào)查,信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。根據(jù)對(duì)內(nèi)網(wǎng)具體情況的總結(jié)分析,來自內(nèi)部的安全威脅(見圖1)主要有4類:a.竊取者將自己的計(jì)算機(jī)非法接入內(nèi)網(wǎng)或者非法直接鏈接計(jì)算機(jī)終端,竊取內(nèi)網(wǎng)重要數(shù)據(jù);b.竊取者直接利用局域網(wǎng)中的某一臺(tái)主機(jī),通過網(wǎng)絡(luò)攻擊或欺騙的手段,非法取得其他主機(jī)甚至是某臺(tái)服務(wù)器的重要數(shù)據(jù);c.內(nèi)部員工將只允許在局域網(wǎng)內(nèi)部使用的數(shù)據(jù)通過磁盤復(fù)制、打印、非法撥號(hào)外聯(lián)等手段泄漏到外部;d.內(nèi)部人員竊取管理員用戶名和密碼,非法進(jìn)入重要的系統(tǒng)和應(yīng)用服務(wù)器獲取內(nèi)部重要數(shù)據(jù)。
在網(wǎng)絡(luò)互聯(lián)互通實(shí)現(xiàn)信息快速交換的同時(shí),如何加強(qiáng)網(wǎng)絡(luò)內(nèi)部的安全,防止企事業(yè)單位的關(guān)鍵數(shù)據(jù)從網(wǎng)絡(luò)中泄漏出去,是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)一個(gè)主要的發(fā)展方向。
三、現(xiàn)有內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品分析
為了解決內(nèi)網(wǎng)安全問題,市場(chǎng)上也出現(xiàn)了諸多的內(nèi)網(wǎng)信息安全產(chǎn)品,主要分為三類。1.監(jiān)控與審計(jì)系統(tǒng)
現(xiàn)有各廠商的監(jiān)控與審計(jì)系統(tǒng)一般都由三部分組成:客戶端、服務(wù)器。其中,客戶端安裝在受控的計(jì)算機(jī)終端,用來收集數(shù)據(jù)信息,并執(zhí)行來自服務(wù)器模塊的指令;服務(wù)器端一般安裝在內(nèi)網(wǎng)中一臺(tái)具有高性能CPU和大容量?jī)?nèi)存的用作服務(wù)器的計(jì)算機(jī)上,存儲(chǔ)和管理所有客戶端計(jì)算機(jī)數(shù)據(jù);系統(tǒng)安全管理員可以登錄到服務(wù)器端管理各類審計(jì)功能模塊,并制定各種安全策略。客戶端根據(jù)控制端下發(fā)的安全策略,對(duì)受控主機(jī)進(jìn)行相應(yīng)的監(jiān)控,并將相應(yīng)的信息上傳至服務(wù)器。它能夠獲取受控主機(jī)的信息資料,對(duì)各類輸入輸出端口如USB、軟驅(qū)、光驅(qū)、網(wǎng)卡、串/并口、調(diào)制解調(diào)器、紅外通信等進(jìn)行控制與監(jiān)控,也可以對(duì)各類應(yīng)用程序進(jìn)行監(jiān)控,防止終端計(jì)算機(jī)非法接入、非法外聯(lián),對(duì)文件操作等行為進(jìn)行審計(jì)。
這類產(chǎn)品提供了一定的安全控制功能,但由于其重點(diǎn)是按照安全策略進(jìn)行記錄和審計(jì),屬于事后審計(jì)產(chǎn)品,因此并不能很好地阻止單位信息泄密事件的發(fā)生,一旦發(fā)現(xiàn)泄密事件發(fā)生,損失已經(jīng)造成,所以這類產(chǎn)品的安全作用有一定的局限性。2.文檔加密系統(tǒng)文檔加密系統(tǒng)采用一定的加密算法對(duì)文件進(jìn)行加密,實(shí)現(xiàn)對(duì)各類電子文檔內(nèi)容級(jí)的安全保護(hù),一般由客戶端加解密軟件和認(rèn)證服務(wù)器構(gòu)成。加密軟件對(duì)涉密文件進(jìn)行加密,設(shè)置不同級(jí)別的使用權(quán)限。權(quán)限設(shè)計(jì)可由管理員或加密文件的擁有者進(jìn)行設(shè)置。管理員可以控制終端用戶對(duì)重要文件的讀取、存儲(chǔ)、復(fù)制、打印等,從而防止用戶之間非法復(fù)制、外部發(fā)行、光盤拷貝,可以杜絕使用U盤、軟盤、光盤、電子郵件等方式竊取企事業(yè)單位的電子文檔。
文檔加密可以實(shí)現(xiàn)對(duì)重要數(shù)據(jù)的加密保護(hù),但是管理不靈活,而且內(nèi)網(wǎng)資源眾多,需要分別進(jìn)行權(quán)限的設(shè)置,管理難度大,尤其當(dāng)用戶權(quán)限發(fā)生頻繁更換的時(shí)候,容易造成漏洞,此類產(chǎn)品可操作性較差。3.身份認(rèn)證系統(tǒng)用戶認(rèn)證系統(tǒng)采用各種認(rèn)證方式實(shí)現(xiàn)用戶的安全登陸和認(rèn)證,獨(dú)立于計(jì)算機(jī)原有的登陸系統(tǒng),安全可靠性更高。一般由認(rèn)證服務(wù)器和認(rèn)證組成,有些產(chǎn)品提供認(rèn)證令牌。認(rèn)證服務(wù)器是網(wǎng)絡(luò)中的認(rèn)證引擎,由安全管理員進(jìn)行管理,主要用于令牌簽發(fā),安全策略的設(shè)置與實(shí)施,日志創(chuàng)建等;認(rèn)證是一種安裝在終端計(jì)算機(jī)上的專用軟件,實(shí)施認(rèn)證服務(wù)器建立的各種安全策略;認(rèn)證令牌以硬件、軟件或智能卡等多種形式向用戶提供,用來確認(rèn)用戶身份,如果令牌認(rèn)證正確,就可以高度確信該用戶是合法用戶。目前這類產(chǎn)品主要實(shí)現(xiàn)了單一的用戶身份鑒別,并不能實(shí)現(xiàn)對(duì)計(jì)算機(jī)的有效訪問控制,其應(yīng)用范圍相對(duì)有限。
上述三類產(chǎn)品在一定程度上或某些方面解決了內(nèi)網(wǎng)信息安全問題,并沒有實(shí)現(xiàn)計(jì)算機(jī)、用戶、策略三個(gè)方面的全面防護(hù)。
四、內(nèi)網(wǎng)安全產(chǎn)品關(guān)鍵性能探討
內(nèi)網(wǎng)對(duì)信息安全的要求越來越高,內(nèi)網(wǎng)安全產(chǎn)品不應(yīng)該只是解決單方面的問題,應(yīng)該從用戶身份認(rèn)證、計(jì)算機(jī)安全性、網(wǎng)絡(luò)通信安全性、數(shù)據(jù)自身安全性、外設(shè)安全管理、綜合安全審計(jì)等方面提供一整套完善的解決方案(見圖2),對(duì)數(shù)據(jù)的存儲(chǔ)、傳輸和使用在整個(gè)生命周期內(nèi)進(jìn)行控制、保護(hù)和審計(jì),確保數(shù)據(jù)的完整性和保密性,從而防止敏感信息泄漏,為企事業(yè)單位構(gòu)建可信可控的內(nèi)部網(wǎng)絡(luò)。
1.統(tǒng)一建立身份認(rèn)證授權(quán)體系應(yīng)完全獨(dú)立于計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)原有的認(rèn)證體系,采用軟硬件相結(jié)合的多重認(rèn)證體系,提高可靠性,使用方便,對(duì)原有的內(nèi)網(wǎng)體系影響很小。同時(shí),對(duì)所有外設(shè)、輸入/輸出端口及操作的授權(quán)管理,實(shí)現(xiàn)授權(quán)的人僅能操作授權(quán)的計(jì)算機(jī),僅能使用授權(quán)的磁盤、磁盤分區(qū)、外設(shè)、移動(dòng)存儲(chǔ)設(shè)備等,僅能使用授權(quán)的輸入輸出接口,為安全系統(tǒng)的可靠運(yùn)行奠定基礎(chǔ)。2.透明模式強(qiáng)制網(wǎng)絡(luò)通訊加密由于標(biāo)準(zhǔn)的計(jì)算機(jī)通信協(xié)議本身設(shè)計(jì)上沒有考慮安全性,是一個(gè)開放的協(xié)議,使得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)能夠被截獲。為確保內(nèi)網(wǎng)信息安全,必須要解決內(nèi)網(wǎng)中任意兩臺(tái)機(jī)器之間進(jìn)行通信時(shí)數(shù)據(jù)的安全性問題。內(nèi)網(wǎng)安全產(chǎn)品應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)膹?qiáng)制加密,任意兩臺(tái)計(jì)算機(jī)間的通信密鑰都是不一樣的,這有效防止了網(wǎng)內(nèi)使用惡意偵聽軟件的行為。同時(shí),由于網(wǎng)絡(luò)協(xié)議數(shù)據(jù)封裝格式不通,內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)的各種方式非法外聯(lián)也無法進(jìn)行通信,這有效的防止了非法外聯(lián)行為的發(fā)生。非法接入內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī),因?yàn)闊o法獲得有效的網(wǎng)絡(luò)通信密鑰,也都將無法聯(lián)通,有效防止了非法接入行為的發(fā)生。3.透明模式強(qiáng)制加密本地硬盤采用強(qiáng)加密算法改寫系統(tǒng)層對(duì)文件的讀寫操作,使得本地硬盤中的除系統(tǒng)盤外的所有文件均為加密存儲(chǔ),只能在內(nèi)網(wǎng)安全產(chǎn)品啟動(dòng)的情況下才能正常讀寫這些文件。同時(shí)根據(jù)需要制定審計(jì)策略,對(duì)特別重要的文件的讀寫操作進(jìn)行審計(jì)。所有本地文件,都將被系統(tǒng)自動(dòng)強(qiáng)制加密保存在磁盤中。同時(shí)為了在保證數(shù)據(jù)安全性的同時(shí)不影響用戶日常使用習(xí)慣,加解密必須采用透明方式。通過強(qiáng)制加密,即使磁盤被盜用或者丟失,都不會(huì)造成重要信息的泄密。防止了因?yàn)橛脖P丟失、多操作系統(tǒng)和光盤啟動(dòng)等造成的數(shù)據(jù)泄密事件的發(fā)生。4.加強(qiáng)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的安全管理通過管理員的注冊(cè)、認(rèn)證、授權(quán)后才能在指定的范圍內(nèi)按照指定的讀寫策略使用移動(dòng)存儲(chǔ)設(shè)備,可以實(shí)現(xiàn)對(duì)軟盤、U盤和移動(dòng)硬盤等便攜式移動(dòng)存儲(chǔ)設(shè)備的有效管理。
當(dāng)移動(dòng)存儲(chǔ)設(shè)備被注冊(cè)為加密讀寫策略的時(shí)候,所有寫入該移動(dòng)存儲(chǔ)設(shè)備的文件數(shù)據(jù)將被強(qiáng)制加密,只能在管理員授權(quán)允許的終端上正常使用。如果使用移動(dòng)存儲(chǔ)介質(zhì)將這些數(shù)據(jù)攜帶到出此范圍,無法正常讀寫,只是毫無意義的加密數(shù)據(jù)。這種方式有效地限定了數(shù)據(jù)的可用范圍,對(duì)于用戶來說,既可以享受移動(dòng)存儲(chǔ)設(shè)備共享數(shù)據(jù)的方便性,又可以實(shí)現(xiàn)有效地?cái)?shù)據(jù)共享范圍管理。
總之,新型的內(nèi)網(wǎng)信息安全產(chǎn)品要提供一種方便、有效、先進(jìn)的內(nèi)網(wǎng)信息安全管理控制技術(shù)和解決方案,解決內(nèi)部網(wǎng)絡(luò)的用戶身份和計(jì)算機(jī)管理、網(wǎng)絡(luò)信息保密等安全問題,達(dá)到外部入侵進(jìn)不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果,有效防止機(jī)密敏感信息的泄漏,為企事業(yè)單位構(gòu)建了一個(gè)可信可控的內(nèi)網(wǎng)。
參考文獻(xiàn)
[1]張敏波.網(wǎng)絡(luò)安全實(shí)戰(zhàn)詳解[M].北京:電子工業(yè)出版社,2008.
[2]吳亞非,李新友,祿凱.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:清華大學(xué)出版社,2007.
計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi),有的員工在不知情的情況下下載了感染病毒的軟件或者是電子郵件,導(dǎo)致了病毒的傳播。有些計(jì)算機(jī)病毒只會(huì)開玩笑似的在受害人機(jī)器上顯示警告信息,重則可能破壞或危機(jī)整個(gè)企業(yè)網(wǎng)絡(luò)的安全。例如前幾年出現(xiàn)的“熊貓燒香”的病毒,對(duì)不少個(gè)人用戶以及企業(yè)用戶造成了極大危害。這些病毒會(huì)從一臺(tái)計(jì)算機(jī)迅速傳播到另一臺(tái),令企業(yè)防不勝防。
2企業(yè)內(nèi)網(wǎng)安全隱患
2.1選用未授權(quán)盜版軟件
部分的中小企業(yè)出于節(jié)約成本,會(huì)選擇使用未授權(quán)盜版軟件。
2.2企業(yè)內(nèi)部人為因素
人為原因有多方面,比如說企業(yè)員工對(duì)業(yè)務(wù)的不熟悉,對(duì)一些數(shù)據(jù)的修改出現(xiàn)錯(cuò)誤,或者誤刪了一些重要的數(shù)據(jù),容易導(dǎo)致整個(gè)系統(tǒng)出現(xiàn)問題,甚至破壞網(wǎng)絡(luò)設(shè)備,也出現(xiàn)過一些員工因?yàn)椴粷M現(xiàn)在的工作狀態(tài),故意破壞企業(yè)內(nèi)的一些重要數(shù)據(jù)。
2.3移動(dòng)存儲(chǔ)介質(zhì)的不規(guī)范使用
在企業(yè)信息網(wǎng)絡(luò)安全方面,移動(dòng)存儲(chǔ)介質(zhì)的使用也是一個(gè)重要的安全隱患點(diǎn)。容易導(dǎo)致未授權(quán)打印、未授權(quán)拷貝等問題,也會(huì)出現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)感染移動(dòng)存儲(chǔ)介質(zhì)病毒的問題。
2.4內(nèi)網(wǎng)網(wǎng)絡(luò)攻擊
部分網(wǎng)絡(luò)管理員工由于非常熟悉企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu),利用管理上的一些漏洞入侵他人計(jì)算機(jī),非法獲取企業(yè)內(nèi)部訊息或者破壞信息。這種網(wǎng)絡(luò)攻擊方式可歸納為三類:一是非法外聯(lián),即沒有經(jīng)過上級(jí)管理部門的同意,就將企業(yè)內(nèi)的計(jì)算機(jī)連入外網(wǎng)中;二是非法入侵,即在沒有授權(quán)的情況下,擅自處理信息,導(dǎo)致系統(tǒng)遭受破壞;三是非法接入,即沒有通過網(wǎng)絡(luò)管理部門的意見,就直接將計(jì)算機(jī)接入企業(yè)內(nèi)網(wǎng)。
3企業(yè)外網(wǎng)的安全防范措施
3.1病毒防護(hù)技術(shù)
病毒防護(hù)技術(shù)在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御體系中也是一項(xiàng)非常重要的技術(shù)。企業(yè)應(yīng)購(gòu)置正版授權(quán)殺毒軟件,并為每個(gè)用戶安裝客戶端,以此來應(yīng)對(duì)越來越復(fù)雜和高級(jí)的病毒和木馬程序。
3.2防火墻技術(shù)
防火墻包括硬件和軟件兩個(gè)部分,隨著人們對(duì)完全意識(shí)的增強(qiáng),每臺(tái)電腦上面都會(huì)安裝不同的防火墻,企業(yè)里面一般都會(huì)安裝專業(yè)的企業(yè)版防火墻,能有效的實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最有效、最經(jīng)濟(jì)的安全防護(hù),能主動(dòng)抵御外網(wǎng)的各種攻擊,企業(yè)還可以利用防火墻,阻止對(duì)一些網(wǎng)頁的訪問,從而降低遭受外網(wǎng)攻擊的概率。
3.3入侵監(jiān)測(cè)技術(shù)
在企業(yè)網(wǎng)絡(luò)安全中,要建立起防火墻之后的第二道安全閘門——入侵檢測(cè)技術(shù),構(gòu)建一套完整的主動(dòng)防御體系,在不少的金融企業(yè)和銀行都采用了此項(xiàng)技術(shù),并且收到了良好的效果,此項(xiàng)技術(shù)能在不影響網(wǎng)絡(luò)性能的情況下實(shí)現(xiàn)主動(dòng)監(jiān)測(cè),可以識(shí)別一些防火墻不能識(shí)別的內(nèi)部攻擊,對(duì)于一些合法用戶的錯(cuò)誤操作,能有效的捕捉這些信息,從而實(shí)現(xiàn)實(shí)時(shí)安全保護(hù)。
4企業(yè)內(nèi)網(wǎng)的安全防范措施
網(wǎng)絡(luò)安全重在防范,為了確保企業(yè)內(nèi)網(wǎng)的安全運(yùn)行,必須要重視管理制度、將管理、監(jiān)測(cè)和控制三者結(jié)合在一起,重視對(duì)員工網(wǎng)絡(luò)安全知識(shí)的培訓(xùn),提高所有員工的安全意識(shí),特別是涉及到商業(yè)機(jī)密或者政治機(jī)密的企事業(yè)單位,尤為重要。同時(shí)采用安裝防火墻等網(wǎng)絡(luò)安全防范手段和安全檢測(cè)手段相結(jié)合,主動(dòng)防御;建立起規(guī)范化的網(wǎng)絡(luò)安全日志和審查制度。(1)提高和加強(qiáng)員工網(wǎng)絡(luò)安全知識(shí),各企事業(yè)單位可酌情根據(jù)自身狀況合理安排,邀請(qǐng)有經(jīng)驗(yàn)的網(wǎng)絡(luò)安全專家到公司來授課。(2)企業(yè)要建立起計(jì)算機(jī)網(wǎng)絡(luò)用戶的信息數(shù)據(jù)庫(kù),對(duì)于一些重要數(shù)據(jù)的客戶,對(duì)他們的登錄時(shí)間、訪問地點(diǎn)都需要重要監(jiān)測(cè);要建立起內(nèi)部網(wǎng)絡(luò)主機(jī)的登錄日志,對(duì)于所有在內(nèi)部網(wǎng)絡(luò)登錄的用戶信息,時(shí)間都要有詳細(xì)的記錄,發(fā)現(xiàn)可疑操作的時(shí)候要采取必要的安全措施。對(duì)于未經(jīng)授權(quán)的接入、外聯(lián)、存取都要生成日志記錄,通過必要的技術(shù)手段進(jìn)行檢測(cè)和判斷是否對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。企業(yè)還有對(duì)網(wǎng)絡(luò)設(shè)備不斷更新,從技術(shù)層面上提高設(shè)備的預(yù)防能力,比如說防火墻軟件的及時(shí)更新,處理數(shù)據(jù)的計(jì)算機(jī)更新等。一旦出現(xiàn)網(wǎng)絡(luò)安全問題,能及時(shí)的對(duì)日志進(jìn)行審查,分析引起網(wǎng)絡(luò)安全問題的原因,從而解決相關(guān)的問題。(3)在企業(yè)內(nèi)網(wǎng)與外網(wǎng)物理隔離的前提下,可將防火墻技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)與安全監(jiān)測(cè)、安全控制和安全管理進(jìn)行集成與融合,從而有效地實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的安全防范。
5總結(jié)
級(jí)別:省級(jí)期刊
榮譽(yù):
級(jí)別:省級(jí)期刊
榮譽(yù):
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)