时间:2023-09-14 17:44:43
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全行业趋势,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
在投资实习了近两个月,期间体会很深。首先要感谢总给了我这次实习的机会。我的计算机背景确实能够帮助我更好的掌握相关的行业知识。
投资作为省PE与VC行业的领头羊,是省着名的投资公司。公司专注于创业投资VC,私募股权投资PE和市值管理MM,致力于本土资本投资。投资的投资策略大致是资金募集,然后项目来源进行项目的判断,撰写项目可行性分析报告和行业分析报告,在确定了项目优质后,进行项目投资和上市前的督导,财务辅导等增值服务。在项目通过发审委审核后,套现退出。
我在投资负责的主要是机械行业优质公司的寻找和网络安全行业分析。一共收集了省本地的近1000家未上市公司的主营业务和产品,大致的主营业务收入,企业的网站,对于企业的评价。在实习的过程中,发现了诸多的优质公司,如杭州爱知工程车辆有限公司,杭州大天数控机床有限公司,宁波市海达塑料机械有限公司,宁波天生密封件有限公司,宁波慈星纺机科技有限公司等等。通过电话和邮件,我访问了数家公司。
在月份的时候,参与了公司的投资项目。我们投资的是杭州安恒信息。安恒信息主要做的是网络安全行业相关的产品。安恒信息主营的产品包括明御系列,明鉴系列产品。具体而言是Web防火墙,数据库升级与风险控制系统,综合日志审计系统,扫描器,安全备案等。现在的物联网,云计算,三网融合等相关概念很火热,国家也提出了关于大力发展以信息产业为代表的战略新兴产业规划。信息产业的发展肯定会带来网络安全行业的快速成长。据易观国际统计,网络安全市场的年复合增长率将达到30%.在2010年达到了152亿的水平。但是在网络安全行业,目前A股得上市公司中,只有和卫士通。而且整个网络安全行业出现整合的趋势,年收购了网御星云。我们预测,网络安全行业在未来的十年将会迅速发展。而安恒信息作为网络安全行业的提供商,相继为浙商银行,中国石油,地税和烟草提供了成功的解决方案。我们考察了该公司的财务报表,公司的年增长率达到50%以上。为了配合此次项目,我撰写了《网络安全行业分析》。
通过本次实习,使得我对PE和VC之间的区别有了一个清楚的认识。PE多指企业达到一定成熟程度之后进入,而VC指的是风险投资,即VentureCapital。其实,在投资实习的过程中,发现现在的投资公司对于VC和PE之间的区别并不是做很深的区别。真正值得去关注的是项目究竟好坏与否。项目的好坏可以从很多因素中得出:公司管理团队,公司所在行业的发展态势以及国家政策支持力度,公司的市场占有率,主营产品的利润率,对单一客户的依赖程度。
在每天下班的时候,总会把我们送回到学校。这是非常感谢的。更应当感谢的是,在路上,总向我们讲述关于资本市场上的知识。包括贝因美,莱宝高科等等公司其实在上市推介之前,除了自己公司的业务要好,财务要比较健全之外,还有能够很好的讲故事。现在的很多上市公司在中国的资本金融环境下,讲故事成为上市的一个比较好的渠道。我还了解了关于浙大网新的过去历史————是中国市场经济计划体制下的一个产物。当时上市的是海纳。
其次还要感谢财务经理。注册会计师的他向我讲述了他炒股的会计报表原则。其实在这之前,我知道有的公司会转移利润,虚增业绩,关联交易等等。但是,由于缺乏相应的会计知识,我并不知道如何探索。他说,其实没有必要去深究,权且相信这些数据罢了。会计报表里面的数据你是无法查出来了,只能根据重要性水平来大致判断。相信就行。会有去查出其中的并不真实的数据。
在实习得很愉快,我会努力的。
金融行业对网络的依赖形同鱼水,但这也引来了各种各样网络病毒的觊觎。严峻的网络安全形势,成为各大银行的心病。
实现终端防护统一化
“由于地区发展基础不同,农行在全国的网点并没有安装统一的防病毒软件,有些电脑甚至没有任何安全防范措施。” 中国农业银行信息技术管理部彭主任回忆道,“品牌防病毒软件无法做到统一防控,致使诸如‘熊猫烧香’类病毒在广域网内各分行之间传播。”
为了有效避免病毒入侵和数据泄露,农业银行经过细致地考察和筛选,在2007年选择了趋势科技作为合作伙伴,为其提供趋势防病毒软硬件及专家服务。
“与趋势科技的合作,给农业银行的网络提供了全面而周全的保护”,从2007年起中国农业银行旗下36家一级分行、数据中心、开发中心、总行等统一提供桌面端防病毒系统OfficeScan,保障全行超过15万台PC机和服务器免受病毒和间谍软件的感染及破坏,实现终端防护统一化。病毒码的统一更新有效阻止了病毒四处蔓延。
网络故障发生率降低30%
除了终端防病毒系统外,趋势科技提供了完善的病毒邮件及垃圾邮件解决方案,在内部Domino服务器部署Scanmail for Domino产品,为全行400多台邮件服务器提供保护。在与外部邮件交互的网关处部署IMSA硬件产品,将来自因特网的病毒邮件和垃圾邮件阻止在网关外。
在实现了网络安全产品统一化、应用立体化的目标之后,农业银行安全处高处长提出“再好的产品也只是工具,没有有效的管理,再好的工具也不能实现它最大的价值”。为更好地实现全行防病毒统一工作和管理,农行部署了控管中心TMCM产品。将全行OfficeScan、ScanMail、IMSA产品注册到控管中心TMCM,并搭建总行、省级分行的二级TMCM、市行OSCE服务器及ScanMail、终端用户OfficeScan客户端四层的层次化管理架构。实现TMCM向下管理和客户机逐层向上升级的立体环境。
经过与趋势科技的合作,农业银行的网络故障发生率降低了30%,不过农业银行方面并没有就此止步。“有了产品也有了立体化部署架构,可我们对产品使用上仍然存在短板。”农业银行高处说。与此同时趋势科技更加注重用户产品使用的价值提升,向中国农业银行提供专家级管理,专业技术现场驻点支持。
(讯)行情回顾:计算机板块(-2.67%)本周大幅回落,跑输同期沪深300(2.55%)5.22个百分点,中小板综(-2.06%)和创业板综(-3.44%)。本周计算机股票少数上涨,周涨幅前三:浪潮软件(8.25%)、东软集团(7.86%)、广联达(6.46%);跌幅前三:辉煌科技(-18.65%)、汉鼎宇佑(-14.25%)、高伟达(-13.59%)。概念板块均表现萎靡,周涨幅前三:能源互联网(-1.06%)、移动互联网(-2.13%)、智慧农业(-2.19%)。
本周观点:①本周四(6月1日)起《网络安全法》将正式实施,具有极大里程碑意义。法案将针对通信、电子政务、能源、金融、交通、教育等关键信息基础设施的安全防护进行重点强调,在网络安全等级保护制度的基础上,实行重点保护。并明确对于网络运营者的责任界定和加大相关监管处罚力度。法案的实施有望直接促进行业客户对于网络安全的投入力度,信息安全行业内企业迎来重大利好。重点推荐启明星辰、绿盟科技、北信源、任子行和卫士通。②日前,人机大战在乌镇落下帷幕,最终柯洁以3盘皆负输掉比赛。人类再次败给人工智能,结果也在意料之中。赛后柯洁表示“我只能猜出AlphaGo一半的棋,另一半我猜不到,我和它差距实在太大。我也一直在改变,但也只是小小改变,围棋人工智能则是改变全世界。”其实,围棋比赛仅为Deepmind应用的冰川一角,目前深度学习已在医疗、工业制造、视频识别和语音合成等领域深入拓展,随着人工智能技术的加速成熟,各个行业对于人工智能技术的融合和应用有望提速。5月25日,工信部副司长李冠宇在论坛上表示,工信部将会同相关部门共同策划部署人工智能的重大国家战略,引导社会围绕重点领域加大投入。同时强调“中国制造2025”将把人工智能纳入智能制造的重点任务和主攻方向,引导智能制造重大需求和人工智能技术成果相结合。在政策和资金支持下,我国人工智能领域发展有望提速。针对人工智能应用方向上,我们认为在目前弱人工智能的阶段下,人工智能技术或将在工业制造方面获得率先突破和大规模应用。智能制造方面重点推荐科大智能,其他智能语音和视频识别方面继续推荐科大讯飞、海康威视和东方网力。
投资策略:长期看好信息安全、消费金融和人工智能板块投资机会。
1)信息安全:信息安全行业作为计算机行业中最具成长性的细分领域之一,未来在国家强力政策推动及下游党政军、工控、金融、电信等领域订单快速提升的双重作用下,正逐步进入成长提速期,且政策推动的催化剂持续发酵。前期《网络安全法》已正式通过并将于2017年6月1日开始实施,同时2016年12月27日正式的《国家网络空间安全战略》则进一步提升了网络安全的战略高度,政策驱动叠加用户重视程度提高使得信息安全企业迎来爆发,2017年或成为行业业绩整体向上重要拐点。其中工控等保制度今年上半年有望正式落地,预计将有效刺激工控安全需求明后年爆发式增长。我们重点推荐启明星辰(信息安全综合解决方案龙头步入成长快车道)、卫士通(加密龙头欲乘风起航)、立思辰(内容及数据安全领域新贵)。
2)人工智能:近年来人工智能发展飞速,诸如AlphaGo、Master和Libratus等人工智能机器人不断在各个领域击败人类,引发人们高度关注。目前人工智能技术已进入产业化快速发展阶段,不仅在智力竞赛领域,与此同时无人驾驶、工业机器人、语音识别和图像识别等也已逐步迈入大规模应用阶段,投资机会正逐步显现,重点推荐科大讯飞(人工智能稀缺标的,语音识别技术领导者),关注科大智能、海康威视、科大智能、四维图新、思创医惠、佳都科技、远方光电、东方网力、中科创达;
3)消费金融:人群变迁&消费升级带来的消费金融新产业趋势的出现;同时政策方面对消费金融的发展不断鼓励推动,有利于行业的快速发展,重点推荐二三四五(传统流量业务带动消费金融业务板块持续超预期,2016年全年业绩增速超50%),关注新大陆、奥马电器;
风险提示:无人驾驶技术研发遭遇瓶颈;无人驾驶普及度不及预期(来源:中泰证券 文/康雅雯 编选:中国电子商务研究中心)
年初,工信部了《通信网络安全防护管理办法》,以进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力。4月,通信网络安全专业委员会也在工信部的支持下正式成立。业界对安全问题越来越关注与重视。
非传统领域安全受到关注
“随着信息通信技术的迅速发展,通信网络加快向数字化、宽带化和智能化演进,通信网络面临的安全威胁日益多样化,网络攻击、信息窃取等非传统安全问题十分突出。”工业和信息化部政策法规司副司长李国斌曾表示,“通过建立通信网络分级、备案、安全风险评估等制度,有利于应对非传统安全威胁。”
非传统安全问题主要体现在对网络的非法利用、秘密侦测和恶意破坏。趋利性、敌意性特征日益突出。地下黑客组织呈现经济化、产业化发展的趋势已越来越明显,利益驱动下的网络安全攻击越来越多,巨大的经济效益正诱惑着黑色产业链的不断入侵。
相对于传统安全问题,非传统安全问题的隐蔽性更强,更容易受到网络攻击、病毒感染以及黑客的入侵。因此,相应的处置工作和技术要求也就更高。在以“聚焦非传统领域迎接融合时代网络安全新挑战”为主题的2010通信网络和信息安全高层论坛上,工业和信息化部通信保障局闫宏强也表示,传统安全问题易于解决,非传统安全问题难度较大。他认为,通信行业应对传统安全威胁已有一套成熟的体制、规程和标准,但是应对非传统安全威胁才刚刚起步,所以当前抓非传统安全问题责任更大,任务更重。
移动互联网安全问题凸显
3G应用日渐广泛,智能手机等移动终端的飞速增长,移动互联网正在一步步地改变我们的生活。同时,由于移动互联网本身的特性,带来了诸多的安全威胁,移动网络上的安全问题日益凸显。美国的网络安全公司SMobile曾报告称20%的Android Market软件存在安全隐患。而6月份iPad的时候,通过AT&T的网络,有11万用户的邮件遭窃取。
自由开放的移动网络带来巨大信息量的同时,也给运营商带来了业务运营成本的增加,给信息的监管带来了沉重的压力。同时使用户面临着经济损失、隐私泄露的威胁和通信方面的障碍。移动互联网由于智能终端的多样性,用户的上网模式和使用习惯与固网时代很不相同,使得移动网络的安全跟传统固网安全存在很大的差别,移动互联网的安全威胁要远甚于传统的互联网。
在通信世界网举办的第一期安全沙龙中,相关企业专家表示,移动互联网的安全防护应从多方入手。安全厂商应提供端到端的整体安全防护技术,监管部门需要有配套的政策法规对移动互联网进行有效地约束,运营商也需担负更多的责任和职能,开发一些相关增值业务。各方协同应对安全威胁。例如:在中国互联网大会移动互联网高峰论坛上,16家相关企业共同签署由工信部下属中国互联网协会移动互联网服务与应用推进工作组发起的《保护手机用户上网安全倡议书》,联合全体移动互联网从业者共同保护手机用户上网安全。
云安全持续升温
强大的数据处理和资源共享能力使得云计算在近年来不断升温,而云安全问题也随之而来,成为云计算需要解决的首要问题。
对电信运营商而言,云计算蕴含着巨大商机,也带来严峻的挑战。数据保护、终端防护、虚拟环境中的风险管理等信息安全问题伴随着云计算的来临将更加复杂和棘手。云计算虽然能够节省大量成本,带来可观的效益,但将服务器迁移至传统信息安全边界之外,也扩大了网络犯罪者的活动范围。
无论是新兴的还是传统的信息安全解决方案提供商都纷纷发力,或推出独立的云安全解决方案,或合纵连横,共同解决“云”时代的安全问题。继微软之后,互联网巨头谷歌也加入云安全联盟,致力于提供最佳安全实践机会,向有意加入云计算领域的企业和组织提供有价值的信息。9月,云安全联盟(CSA)中国区分会也在京成立,将致力于提升中国地区的云安全实践。
在中国电信广东研究院通信研究部副部长金华敏看来,云安全除了由云计算自身引发的安全问题外,还包括云计算技术在安全业务上的具体应用,即云安全服务。基于云计算的云安全服务可充分利用云计算平台的强大并行运算能力,全面提升云安全服务的效能。
安全将成为第三大支柱
在成功举办前六届中国国际计算机信息系统安全展览会的基础上,今年为配合新颁布的《国家信息安全等级保护管理办法(试行)》的实施,第七届中国国际计算机网络和信息安全展览会全面深入把握当前信息及网络安全发展动态,广泛展示最具代表性的信息及网络安全产品及技术,为展商和观众提供全面信息安全咨询及解决方案等最新资讯。此次展会展品涉及互联网安全、电子政务安全、虚拟专用网、公共密钥基础设施、证书中心、入侵监测系统、网络安全与管理、计算机安全、计算机取证、通讯安全、数据储存/备份、防火强/计算机病毒防护、灾难恢复、安全审核、无线安全、掌上电脑安全等。截至目前参展厂商有:天融信、安氏、联想网御、冠群金辰、启明星辰、索利通、金山、东软、微软、亿阳信通、方正、网康、O2、Broadweb、美亚、安浪、飞塔、中软等近六十家。众多厂商将在展会上展示最安全、有效,具有自身优越性的安全产品及解决方案,为信息安全以及网络安全的市场完善有序而不断开拓创新。
一、 众多领先安全产品齐聚展会
天融信:依托最佳安全服务资质以及最佳安全服务团队,为用户提供各级别的安全管理平台产品。
安氏:面对新的安全形势,用户及厂商都在不断探索和寻觅一个贴近用户实际需求、具有先进的体系架构及扩展性的解决方案。在这种情况下,UTM(Unified Threat Management ,一体化威胁管理)产品应运而生,形成“终端统一威胁管理”。
索利通:索利通网络系统(上海)有限公司作为一家致力于信息技术研究和提供的跨国公司在1998年成立之初即意识到相关安全技术研究的匮乏和其在信息化时代中举足轻重的核心作用,在海内外开展了以加强用户认证,监督系统应用为代表的研究和开发,并在以后的数年里完成和完善了SmartOn,InfoTrace,e-Care,Net'Attest等一系列软硬件安全产品。
冠群金辰:冠群金辰KSG产品家族中有两名重要成员:KILL过滤网关(KSG)、KILL邮件安全网关(KSG-M)。KSG重点过滤网络病毒、阻断蠕虫攻击、防御非法网络流量。KSG-M专门过滤非法邮件,重点过滤邮件病毒、垃圾邮件等。
金山:金山公司此次参展的产品除了原有的金山毒霸系列产品之外,还包括三大系列新品:金山防火墙、金山防毒墙和金山防水墙。
二、 安全厂商理性分析行业现状
索利通:安全和便利是伴随信息化发展的一对矛盾体。针对不同的需求,准确地把握这一对矛盾体的平衡点,给出最佳的解决方案是信息安全产业的一个长期的课题和目标。安全的信息系统的最基本的指标是在提高系统使用的便利性的同时,杜绝一切来自于外部和内部的攻击。
冠群金辰:
1.应用规模近两年有明显扩大
2.网关产品多元化发展
3.技术各有千秋,但逐步趋同
4.国内与国外产品一时难分高下
三、 安全产品发展前景值得期待
冠群金辰:
1.需求将继续快速增长
2.以内容为主的网关技术将继续发展
3.“积极防御,综合防范”继续发挥指导作用
4.技术、制度、管理并重
5.自主核心技术将成为产品长久发展的重要因素
1 计算机网络安全重要性
一方面,网络的高速发展和深度应用增大了安全风险。随着互联网和信息技术以前所未有的深度和广度改变着人们的工作、生活、交流和消费模式,网络安全带来的风险也在迅速增大。在美国大学信息化联盟EDUCAUSE公布的年度十大IT议题(Top10 IT Issues)当中,与安全相关的议题自2007 年以来频繁入选,充分说明网络与信息安全已经成为高校达成使命和维持各项职能正常运转的必需保障。
另一方面,网络安全面临的威胁增多。伴随着网络技术的快速发展,危害网络安全的技术手段、人员规模、侵扰对象和造成的后果也在不断升级。同时,针对网络安全的各类技术防护手段普遍具有滞后性。杀毒软件、防火墙、入侵检测技术、虚拟入侵诱骗技术等各类技术防范手段,需要针对网络攻击的最新特点,进行破解和实时更新,往往滞后于网络破坏行为。
我国网络安全能力仍相对薄弱,当前,乘着“互联网+”的新机遇,我国互联网持续高速发展,网络和终端更加智能化,应用服务更加规模化,跨界融合更加多样化。但与此同时,互联网的快速发展也伴生了一系列安全方面的挑战,包括全球网络空间环境日益复杂多变,网络安全风险不断增高,数据安全面临巨大挑战、新技术新业务应用引发新的安全问题等,给经济社会健康发展带来了一定的风险。
2 计算机网络安全体系建设
信息系统的安全防护分为技术部分和管理部分,技术部分主要从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行分析,管理部分主要从管理机构、制度、人员、安全运维等方面进行分析,技术和管理相结合才能形成完整的安全体系统,技术和管理互为补充、相辅相承,缺一不可。
在监测预警方面,信息安全小组成立之后,可以为高校提供监测、预警等专业服务;学校企业等可以购置监测预警平台工具,或采购第三方提供服务或采用行业的监测平台;还要多关注新技术的发展与应用,建立安全动态防御体系;部分有条件的高校可尝试采用新技术,如态势感知技术建立安全监控体系,通过这些技术提高预警能力。还要加强高校舆情监控;建立“一人一账号”实名登记上网制度和可追溯制度,加强网络信息内容监管,建立网络数据分析平台,对用户的上网行为、校园行为进行分析和预警。因为安全事件总在不断发生,我们建议不论信息安全做得如何,网络信息安全的预警机制一定要建立,还要加强应急响应能力建设;建立安全事件通报机制,制定完善的网络安全应急预案,建立用户单位、主管单位、行业机构、安全服务商、产品供应商等多种角色多方协作的应急生态链,及时发现,及时有效解决。
2.1 技术上
技术上在国内,中国需要不断推动自主技术的发展和创新,奠定网络安全的物质基础。
2.1.1 数据加密
动态信息的保护需要应用到数据加密的工作,对于动态数据通常包括主动攻击和被动攻击两种方式,主动攻击能够有效地进行检测但是无法避免,被动攻击只能避免而不能进行检测,这些保护的基础就是数据加密,数据加密也就是对以符号为基础的数据进行移位和置换的变换算法。数据加密与用户授权访问控制技术相比更为灵活科学,对于开放性的网络更实用。
2.1.2 防火墙
常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过;状态检测技术采用的是一种基于连接的状态检测机制,它具有更好的灵活性和安全性;其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.1.3 漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点,寻找一种能查找网络安全漏洞,评估并提出修改建议的网络,安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2.1.4 其他
除此之外网络安全系统有很多新的发展和趋势,其中包括检测方面,例如网页检测,通过网络设备实现对包含网页内容的网络流量的监控,木马病毒检测,通过扫描程序、启发式的扫描程序、行为陷阱、全方位的保护等方式来防御病毒木马,入侵检测是防火墙的合理补充,提高了信息安全基础结构的完整性。其他网络技术应用也对网络安全起到了很大的作用并仍在不断完善。
2.2 管理上
“互联网+”的安全已渗透到方方面面:社会层面、网络层面和应用层面,你中有我我中有你。国家的信息安全,过去的概念是中央基础设施的运行安全,它已不是全部,不是你有设备,数据安全问题就全解决了。数据安全其实是更本质的东西,只做设备一层的自主可控,其实并没有解决数据安全的问题。
一是将通过各种政策等方式来促进全行业提高思想认识,充分认识新形势下做好网络安全工作的重要性和紧迫性。
二是注重统筹规划,深入推进网络安全保障体系建设。
三是重视数据安全,强化网络数据和用户个人信息保护。
四是深化协调协作,做好对内对外的合作与交流。
五是加强人才培养,努力建设一支高素质的网络安全技术业务队伍。发展和建设我国信息安全保障体系,人才培养是必备基础和先决条件。要不断加强信息安全学科建设,尽快培养高素质的信息安全人才队伍,成为我国经济社会发展和信息安全体系建设中的一项长期性、全局性和战略性的任务。但由于种种原因网络安全学科一直未能设立为一级学科,各高校只能在不同学科下设置网络信息安全研究方向,开展网络信息安全人才培养工作。这严重影响了我国网络安全人才培养质量,由于学科建设缺乏系统性、人才培养规模小,远远满足不了国家信息安全产业发展对高层次专门人才的需要,也导致了我国网络信息安全关键技术整体上比较落后。
3 计算机网络安全体系建设关键点
网络空间不是法外之地,任何通过网络实施违法犯罪的行为都难逃法律的制裁。各企事业单位、公司、社会团体,要进一步加强日常单位网络的防护,配备专门维护人员,加强“防火墙”“网络监控系统”等技术防御措施的建设,构建多层次、立体化的网络安全防护体系。如果遇到不法攻击,要保存相关数据,及时向警方报案,以尽可能减少损失。
从技术角度来看,我国在技术标准、监管机制和产业联合引导方面尚存在不足,特别是在产业方面,每一家企业都希望做“大而全”完整的产品线。人们普遍追求商业模式上的创新,在技术方面实际上的投入非常少。从2012年公开的IDC统计数据可以看到,中国信息安全产业投入占IT产业总体支出的比例不足1%,而美国、欧洲、日本的投入则达到9%左右。要想解决整个国家网络安全保障体系能力提升的问题,最重要的一点就是加强合作,互联网是一个复杂的系统,需要大家携起手来一起合作。
众所周知,网络安全的根本性问题是存在漏洞。如果能够预先知道漏洞所在,在漏洞被利用前发现并进行修补,那么自然而然就会使网络安全的保障能力有很大的提升,这就需要构建一个整体的漏洞防御体系,其中,建立一个整体的漏洞报告平台非常重要。
整个社会大家都在利用“互联网+”开展各种各样的业务与应用。面对这样那样的安全问题,我们同样要用“互联网+”的模式来治理网络,提高我们的网络安全水平。拥有数据我们就拥有未来的机会;社会诚信还有很多领域都要打通,“互联网+”已经是融合的打通;一定要创新,线上线下融合的模式可以抓住机遇。未来任何的单一环节,任何的单一领域,单一组织和单一圈子,都没有办法来独自应对安全问题,所以需要联合起来应对。
4 结语
综上所述,计算机网络的应用越来越广泛,这就对安全方面提出了更高的要求,如何加强计算机网络安全就需要从多方面建立立体的计算机网络安全结构体系,从而确保计算机网络安全结构的科学和严密,提高对网络风险的控制和预防,真正的做到计算机网络应用的安全。
参考文献:
[1]段海新,吴建平.计算机网络安全体系的一种框架结构及其应用[J].计算机工程与应用,2000,05.
一 绪论 安全管理的发展趋势和现状
1、 网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、 现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型 问题点 问题描述
协议设计 安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题 架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误 协议设计错误,导致系统服务容易失效或招受攻击。
软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作 操作失误 操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护 默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统 软件和操作系统的各种补丁程序没有及时修复。
内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、 现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
转贴于
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.
防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二 网络安全面临的主要问题
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三 网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
从苹果iPhone手机和App Store正式开始,移动互联网从起步前行,到振翅欲飞,仅用了5个年头。GMIC 2013(全球移动互联网大会),这一移动互联行业一年一度最重要的会议盘点了全行业热点,期望在新的5年为移动互联网重新定义。
长城会在2009年举办第一届GMIC时,董事长雷军的演讲题目是《手机替代PC》,4年过去了,几乎所有人都认同了这一观点,这个趋势已经变成了现实。今年大会的主题为“重新定义移动互联(Transforming Mobile Internet)”,意在带领移动互联网突破旧有概念,将移动互联网的真正价值与全社会各行各业以及人们日常生活相结合,创造全新的发展方向和更广阔的发展空间,以追赶移动互联网和传统行业融合的下一波浪潮。
移动互联 蓬勃发展
根据工业和信息化部的统计,截止到2013年3月底,我国移动互联网用户总数达到8.17亿,越来越多移动互联网创新企业、开发者,以及各种新应用、新产品、新服务,如雨后春笋般的破土而出。作为新的技术和产业,移动互联网广泛而深入地改变着我们的生产、工作和生活方式。
2013年,移动互联网将迎来与传统行业的跨界融合,移动互联网将与各行各业人们日常生活深度结合,并将创造更加丰富的应用,引领全新发展方向,构建更广阔的发展空间,推动移动生活走向更加美好的未来。
随着中国与韩国、日本、新加坡、马来西亚等国家和地区在3G业务领域的合作,中国乃至亚洲地区逐渐发展成为全球范围内最具潜力的移动互联网市场,备受业界关注。当然这也带来了新的机遇和挑战,不可忽视的是,移动互联网时代网络安全形势依然严峻,这是全球移动互联网业界共同面临的难题。因此,如何抓住新的机遇,有效应对挑战,创造移动互联网的更大价值,需要整个业界加强深入合作,共同挖掘移动互联领域的新机遇和新价值。
GMIC演讲 精彩纷呈
面对绝佳的行业发展形势,由长城会主办的GMIC 2013以“重新定义移动互联”为主题,盘点了全行业的热点,期待从应用、游戏、广告营销、安全支付、企业应用、人才培养等多个方面,在新的5年伊始重新定义移动互联网。
在GMIC的主会场,马化腾对话陈伟鸿、雷军,谈如何借鉴同仁堂和海底捞,UC优视公布30亿扩张计划,胡泽民称今年开发者可分到3.4亿,陈昊芝指引移动游戏的吸金之路,InMobi的电视和手机双屏广告趋势等都为行业、创新和创业提供了宝贵的借鉴。
主会场之外,今年内容和场次颇丰的分会场同样汇聚了行业巨头和领先者,腾讯、新浪、小米、UCWeb、91、Google、Admob,以及联通沃商店都分别组织了开发者日活动,直接对接开发者,结合详细解读和具体措施深挖开发者关系,着力建设生态环境。
2013年,移动互联网的一大亮点就是传统企业大规模进入移动互联网行业,宝马、福特、大众、SAP、利洁时、宝洁、英超切尔西等,都从不同角度阐述了传统企业对于移动互联网的需求和推动。
慈善公益 造福社会
目前,日立中国有限公司信息通信事业部,以“作为IT供应商的日立”为主题,亮相于目前在北京举办的“2004年中国国际通信设备技术展览会”。本次展览期间,日立公司面向新一代通信行业,针对接入网络、IP网络、移动网络这三大领域,提出最新的见解和集软硬件产品于一体的系列综合解决方案。
信雅达:助力光大总行客服中心上线
目前,由信雅达公司独家承建的国内目前最先进的中国光大银行全行95595客户服务中心系统正式上线。
该项目不仅是对光大银行原有客户服务中心功能的完整迁移,更在业务应用上大力创新。此次新一代的客户服务中心,不仅仅是一个多媒体接入的电子银行、客户联络中心,同时也是银行进行客户资料收集、客户行为分析、差异化客户服务等主动营销等手段的一个重要渠道。目前,本系统功能覆盖了光大银行几乎所有对企业和个人提供的业务功能。另外,系统作为中国光大银行贷记卡服务中心光大银行贷记卡唯一的服务渠道,为客户提供所有与贷记卡相关的服务。
IBM:保险行业高层领导研讨会召开
目前,由IBM金融服务事业部主办的“IBM保险行业高层领导研讨会”在北京召开。来自全国各地的保险行业的高层领导与全球知名的保险业专家一道,共同分析了全球和国内保险行业的趋势和面临的挑战,探讨了保险公司上市之后如何利用领先的IT科技进行核心业务以及中心系统的转型。
在如何实施的问题上,IBM的专家也提出了具体的流程:首先参照国外组件化的保险业务模型与保险IAA模型;之后采用保险模型带动公司的客户信息和账户信息的整合,通过评估现有核心业务平台,来选择新一代的保险核心系统或是保险核心业务平台开发工具,通过渠道整合带动网点转型,通过客户关系管理门户带动转型。在内部管理方面,利用软件包进行后台人事、财务和管理信息系统的处理,完成报表与总账报告的集中,利用数据挖掘的实用工具实现客户信息的最大化利用。
思科:联盟微软携手卫护网络安全
目前,思科系统公司和微软公司在美国宣布,2家公司将共享、集成对方的安全技术,以及保证网络正常运行的技术。在合作中,思科和微软将分享其技术信息,推动思科网络准入控制(NAC)和微软网络访问保护(NAP)间的解决方案兼容性。此后,双方在发展并向客户提供安全解决方案时,将致力于NAC和NAP架构间的互操作性。这一协作,将使客户能将思科网络基础设施的内嵌安全功能,与微软Windows的安全功能集成,客户可以选择组件,同时实现单一、协调的解决方案。此外,这2家公司还将共同推动网络准入和访问控制领域的行业标准,使之得到市场的广泛采用。
华为3Com:推出视讯助力金融业务创新
管理系统1.0研发思想
如今的安全部署有个误区,一旦遇到网络安全问题,人们总是习惯于倾向局域网外部入侵的防御,强化出口处安全设备的优化,却往往忽视来自内部网络安全的威胁,从目前的情况看,网络威胁绝大部分是来自内网,如蠕虫病毒攻击、网络泄密等。很多严重网络攻击或数据泄密事件也均来自内网,据美国2003年度CSI/FBI计算机安全调查的数据,虽然外部攻击占总攻击次数的22%,但是破坏力却是外网攻击的10倍以上。
IT产业在摩尔定律的支持下高速发展了十几年,新概念、新技术、新产品层出不穷,而今天,在这些新事物的推动下,产生了新型的服务模式――创新服务。在IT业界,产品即服务、软件即服务的口号已被人们所认识,但是这种服务也是基于产品,产品厂商也只是在自身安全产品基础上推出一系列服务,前提是用户必须购买产品,这种情况造成了服务成为产品的附属品,一旦产品出现了缺陷,服务效果也随之下降。而真正以用户安全需求为出发点,以产品做基础辅件,而向用户全面提供服务的创新型服务的思想。这种理念在信息安全行业并没有出现,显然许多跨国企业已经意识到了这一点,为了瞄准国际先进水平,发扬自主创新精神,北京和源沐泽科技发展有限公司经过3年苦研,在2006年率先推出了真正以用户需求为驱动的创新服务模式――U―guard内网安全管理系统1.0。
U―guard内网安全
管理系统1.0研发过程
U―guard内网安全管理系统1.0研发过程分以下两个阶段:
第一阶段,项目调研和分析
随着网络的普及,网络的开放性、互连性、共享性程度的扩大,随之而来的威胁越来越多,如黑客攻击、恶意代码、蠕虫病毒、网络泄密等威胁不断增多,可以说,网络从没有像今天这样脆弱不堪,危机四伏。
造成今天这个局面的一个重要原因是:在网络建设初期,网络安全并没有很好规划。人们总是习惯于先追求互连互通,然后再考虑安全,随着网络应用的不断深入,网络产品和安全产品不断叠加,安全产品如挂灯笼式地叠加在网络产品之上,整体缺乏统一管理和配合,彼此之间没有沟通和交互,从而造成网络安全脆弱的状况。日益严重的安全威胁使得用户对安全的需求日益迫切,用户需求推动网络产业界和安全产业界分别重新审视安全的网络和网络的安全。可以预见将来,网络与安全的融合才是解决目前尴尬现状的出路。
目前市场中所部署的多数安全解决方案都要求客户将安全功能与联网战略分离开来,各种各样的安全威胁让单一的防护体系不堪一击。当今的网络环境要求采用比传统单一产品(即防火墙)更加强大的解决方案保证语音、视频和数据网络的安全,一套完整的网络安全解决方案以及先进的防护理念成为改变当前网络安全现状的重要手段。
今天的安全产品和技术,既成熟又不成熟,成熟的是相对独立的几个方面,比如防病毒和防火墙;不成熟表现在缺乏整体安全解决方案。这种整体的不成熟给用户造成困扰,尽管部署了防火墙、防病毒和IDS等安全产品,但面临严重的网络攻击时依然损失惨重。因为每一种安全产品和技术看到的只是一个相对独立安全信息,缺乏安全管理和集中调度,就像盲人摸象,永远只是看到了问题的一个方面,而没有看到问题的全部。
在响应安全威胁方面,独立于网络部署的安全产品是比较单薄的,比如防火墙只能在网络的边缘起作用,对内网的攻击无能为力;防病毒软件需依赖终端用户的有效使用,而这种依赖缺乏有效的控制,用户可以随意安装或不安装,安装正版或盗版的防病毒软件;入侵检测只能报告非法入侵,并不能立即阻止正在发生的侵害。在复杂的网络上部署独立的安全设备有时比较困难,把它们嵌入现有的网络拓扑时显得非常突兀,轻则影响连通性和性能,重则引发新的故障,经常使用户陷入效率和安全的两难选择。
第二阶段,系统设计
系统结构
2003年初,北京和源沐泽科技发展有限公司针对调研汇总、分析的结果。首次明确提出Uguard的概念。具有结构开放性、软件的可编程性、硬件可重构性以及功能和频段的多样性等特点,无论在政府、军事、行业管理和教育系统,还是在商用数据通信中,都有着巨大的应用潜力,它具有良好的灵活性及可扩展性。为使《Uguard内网安全管理系统》中实现高速处理侦测数据技术,其中软硬件有效、合理的结合是关键部分。利用嵌入式处理器ASIC对整体硬件处理,提高其他硬件的配置和数据接收。提出一种软核与硬件逻辑相结合的高速数据交换侦测技术。可大大提高对数据处理,接收的灵活性和完整性。
ASIC克服了软件防火墙和NP防火墙的不足之处,以专业防火墙芯片的优秀性能、独特的抗攻击能力、专业的防火墙功能为亮点,正在快速取代前两种防火墙。目前安全产品种类很多,从网络的结构来看安全产品,四层大多是防火墙设备,四层以上是对应用和内容的安全处理,例如IDS系统、网关反病毒、内容检测等安全系统。由于对应用和内容进行处理需要对数据流进行重组和还原,然后进行相关规则和关键字的查找,这些动作对传统安全产品来说是非常消耗CPU资源的,因此传统架构的安全产品只能以牺牲性能为代价,同时对应用的支持也缺乏广泛性和统一性。另外广大用户也已经不再满足于使用某几个种类的安全产品实现某几个安全功能了,整合式安全成了业内人士口中的高频词汇,而统一安全管理也被越来越多的人认为是未来的必然发展趋势。
硬件设计
智能融合系统由两部分组成:嵌入式安全接入硬件平台和软件安全平台。
嵌入式安全硬件平台,主要是嵌入式安全接入设备,实现数据流的重定向和开关控制等功能,同时具有数据交换或路由功能。该设备实际上可以在现有的网络接入设备上(如路由交换机或二层交换机)进行定制开发,使其不但具有数据的交换功能,同时嵌入安全控制模块,与其他安全系统实现挂接。设计的挂接接口有:与安全策略服务器的接口,与认证授权服务器的接口,与监控服务器的接口,与防火墙的接口。
该硬件平台在公司现有成熟的路由交换机的基础上进行升级开发。分高端系列交换机和低端系列交换机。路由交换机作为汇接的网络接入设备,有自己CPU系统,由于路由交换机的数据转发和路由功能主要通过ASIC芯片完成,CPU大部分时间处在空闲状态,无论在技术上还是在成本上非常适合进行这种融合。通过升级处理能力更强的CPU,完全可以满足这种安全控制的扩展。
软件安全平台主要实现安全策略的制定、用户授权、监控数据存储等,主要有以下软件平台:安全策略服务软件系统,用户授权服务软件系统,网络监控服务软件系统,客户端。
软件设计
在U―guard软件的设计上采用业界已经成熟的C/S结构:客户端软件负责认证、收集数据、执行策略、执行分布式计算任务;服务端程序负责下发策略,存储数据,下发、协调分布式计算任务,控制台程序配制策略,以及审计用户的电脑操作数据。
整个U―guard按功能分有:认证模块、屏幕监控模块、网络行为审计模块、应用程序审计模块、资产管理模块、网络安全模块。
运行设计
系统基本原理如上图所示,将普通接入设备升级成安全接入设备后,某一用户通过认证授权服务器准入验证后,进入网络,这时假如该用户的机器染有冲击波病毒,防火墙或安全接入设备根据策略中心下发的安全策略检测到有病毒攻击,则自动将该用户数据流阻断,同时引导到安全策略服务器上,强制或询问用户下载正版杀病毒软件或在线杀毒。只有用户完成这些程序后,用户才被允许继续上网。
另一方面,对于某些上网行为安全要求较高的领域,还可以开启行为监控功能,实行在线上网监控。真正实现对人和网络立体化防御。
Uguard内网安全管理系统1.0创新点
(1).U―guard系统1.0推出了SPN网络自保户的安全概念,其专业的网络威胁评估系统,能够根据流量异常,特征包以及常见攻击特征发现并定位安全隐患,将终端隔离,防止其在网络中蔓延。同时系统可自动调用病毒及木马查杀工具彻底根除终端中的安全隐患,然后将其恢复到网络中。U―guard系统1.0的“发现-隔离-治愈-恢复”智能处理机制,确保整个网络畅通。
(2).U―guard系统1.0采用ASIC加速芯片硬件产品架构。传统的网络安全产品,大部分采用软件与服务器或者工控机结合的模式,存在处理速度慢、稳定性差和软件自身安全难以保证等问题,形成了网络瓶颈和更多的安全问题。而采用ASIC加速芯片,具备高速数据交换能力,并且稳定安全可靠。
关键词: 电力二次系统 安全防护 具体措施
中图分类号: F406 文献标识码: A 文章编号:电力行业信息化技术的逐步提高,使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势,电力行业对网络的依赖性越来越大,为杜绝网络共计的危险,电力二次系统被提高到重要层面,已经成为有效抵制各种形式网络攻击的基本保障。
1.二次系统安全防护现状
近年来随着电力行业二次系统安全防护项目的发展,信息化应用日趋增强,电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节,我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充,自动化系统需求增大,完善电力二次系统安全成为了必须。
1.1 系统硬件平台现状
EMS系统硬件平台是十分成熟的电网管理平台,它不仅负担着电网实时监测、控制、处理、SOE等任务,而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能,还成为DMIS系统整合的有力支撑。火电厂的DCS、NCS、或ECS监控系统通过SIS系统与调度EMS系统相连,火力发电厂的AGC、AVC则直接与调度EMS系统相连,参与有功无功的远程控制。对于厂内二次系统,除了做好备份和计算机管理方面的工作外,更重要的是运用防病毒软件作为日常安全保障的重要手段,那么专用于电力系统的病毒升级服务器配备就显得尤为重要,渐渐被提上日程。
1.2 系统软件平台现状
系统软件平台EMS系统是功能一体化的系统,其网络结构是以总线连接两层交换机的构架,负荷很重,交换流量也过大,很易形成数据通信问题,甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议(TCP/IP)全封闭系统,应杜绝外部访问。
2. 二次防护系统加固措施实践
采用自加固和专业安全加固两种形式对电力系统进行加固,能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。
2.1 基于数据单向迁移的横向隔离措施
按照“安全分区、网络专用、横向隔离、纵向认证”原则,EMS系统基于LINUX操作系统服务器单向迁移数据镜像于Web服务器生成页面,给信息管理大区的业务用户使用。
Linux系统可实现对个体文件、任务进行加密处理,更加可靠。可是Web服务器在身份认证和权限管理方面无有效措施,Linux系统中的SAMBA服务使Web服务器在直接面向与INTERNET互联的MIS网络时,给HACKER攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用,才能在共享网络数据时对侵入的非法信息进行阻断。
2.2 基于认证加密技术的纵向防护措施
采用IP认证加密装置间的相互认证来实现安全Ⅰ/Ⅱ区内部的纵向通信过程。有如下方面:IP认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有NAT功能。
2.3 系统的网络访问控制措施
网络各节点全面控制措施可以从五个方面来实现:
(1)强化口令管理:如果设置的口令较易被破解就需要加强口令管理控制。因为EMS系统口令若被人盗用,会对电力二次系统和电网的安全运行形成危害,后果不堪设想。
(2)禁用不必要服务:诸如Finger、BootpServer、ProxyArp等出场缺省服务,在路由器上,对于SNMP、DHCP以及Web不必须的管理服务等能关闭的就关闭。
(3)禁用远程访问:远程访问控制计算机必然泄露系统信息,在链接过程中难免有病毒侵入系统,所以应完全避免。
(4)控制流量有限进入网络:路由器通常会成为DOS攻击的目标,没有IP地址的包,一切外来的和仿冒内部的包都不要随意下载、打开使用。此外,用户还可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。
2.4 数据库管理与安全审计措施
数据库管理要着重EMS系统管理,其数据资源受到设备物理防护,而无法避免人为因素破坏。因而用户应该采取必要措施加以防范。比如明确系统维护人员、调度操作人员、设备巡视人员职责权限,实现口令管理,同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度,严禁无关人员使用工作人员口令、权限,并健全相关处罚措施。
2.5 防病毒措施
防病毒措施的关键就是防病毒软件的使用。专业病毒软件的使用和定期更新是防范的重点,而因为更新需要插入的移动设备必须要率先排除染毒可能。也就需要固定的专门的病毒升级服务器,它可设立在安全III区,采用LINUX系统平台,加装防毒软件,成为独立的病毒升级机,先用本机杀毒而后经过物理隔离设备供给总线结构连接的EMS网络各设备,来实现系统设备病毒库的安全升级。
此外,EMS提供的I/O设备是一大隐患,能封存该设备就要加以封存,防范因此造成的系统崩溃等故障。
2.6 制度管理措施
严格专人负责制,成立专门的安全防护领导小组和监督工作组,负责本单位二次系统安全防护的组织管理和具体工作。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。有专人查看IDS入侵检测系统运行日志,及时处理网络异常。
2.7 其它加固措施
程序安全措施、安全细化评估、数据的备份和恢复、入侵检测 IDS等手段都可作为加固措施进行配置。
结束语:
计算机网络的安全是和电力生产安全连为一体的,只有运用健全的网络安全管理技术和完备的管理方法,加强日常管理监督,不断应用新技术对电力安全系统进行更新,才能成为电力行业安全防护最好的保障。
参考文献:
这种变化反映出安全行业的趋势:即恶意攻击正从普通的病毒转变为更有针对性的攻击,这些攻击所针对的目标是存在漏洞的企业IT系统。
会上,网络安全测试公司Cenzic公布了几种程序漏洞趋势:在2007年第二季度,在流行软件中发现了1484个漏洞,其中,有72%的漏洞与软件程序、网络程序、网络服务器或网页浏览程序相关,而2007年第一季度,这一比例只有7%。
在浏览器漏洞中,有33%的漏洞存在于微软的IE浏览器中,26%存在于Mozilla的Firefox中,21%的存在于Opera浏览器中。
AJAX程序中漏洞多
SPI Dynamics程序安全测试软件制造商的研究员们演示了常见的AJAX程序设计漏洞,这些设计都来自不合标准的代码,比如使用客户端XSL转换、使用错误的服务器端的API以及将数据无意识地存放在很多客户端的程序中等等。基于AJAX的Web 2.0语言,比如异步JavaScript和XM已经成为一种流行的平台,但很多程序员在使用这些语言时没有重视其安全问题。
与会专家表示:大部分的开发人员对AJAX缺乏经验。雅虎、Google都存在AJAX安全问题。如果这些公司都存在问题,那么小公司的开发问题更多。
两位研究员对一个使用AJAX编程技术开发的虚拟旅游网站发起攻击,他们使用了从这些程序窃取信息的攻击手段,对网站实行拒绝服务式攻击,或者利用漏洞去深入底层的系统,都获得了成功。
2007年4月,Hoffman在ShmooCon年度黑客大会上使用他自己设计的一种系统发现了一个JavaScript漏洞,引起轰动,漏洞叫做Jikto,会后,有人将这个工具泄露到了互联网上。
数据库中存在漏洞
SPI的对手,Watchfire演示了“空悬指针”攻击――指针指向了一块没有分配给用户使用的内存,这是一种非常常见的编程漏洞。空悬指针曾被专家怀疑可以造成潜在的安全威胁,但一直没有得到证实。会上,Watchfire表示,他们找到了第一种可以真正利用这一漏洞的指令。Watchfire的安全研究主管Danny Allan说:“很长一段时间以来,空悬指针理论上被认为是一种安全漏洞,因为如果将指针指向恶意代码,你就可以干坏事,但之前,还没有人能够找出利用这一漏洞的方法。但目前已经出现了这种漏洞的利用方法。我预计,围绕这一问题将出现大量的研究。”今年6月,这家公司被IBM收购,IBM计划将Watchfire的漏洞扫描技术整合到它的Rational开发平台当中。
Core的研究员Saura和Ariel Waissbein表示通过执行记录插入操作,人们可窃取数据库中的机密信息,在一个数据库当中,记录插入指令是一套非特权指令集,任何用户都可以使用它们,包括通过网络程序访问系统等等。
