时间:2023-09-15 17:31:24
大型企业
多合一防护 利弊两面
大型企业网络规模大、业务多,超多节点和复杂应用意味着网络将面临更多的安全威胁。作为大型企业的IT主管应该如何应对安全威胁?是实施产品分开的综合安全防范,还是采纳整合方案,选用集多种安全功能于一身的统一威胁管理平台?我们有必要精打细算一番。
传统方式只能大投入
大型企业网络一般采用以太网组建网络,利用ADSL或者DDN专线连接Internet网络,网络应用多元化,主要包括自身应用系统、邮件系统等。其网络特点是数据存储量大,安全性要求高,以保证分支机构互相通信。
大型企业的网络特性决定了其对网络安全的特殊要求:减少网络中的病毒侵害,抵御恶性攻击,终端客户的有效管理,设备资源的有效管理,数据存储的安全可靠,分支机构的网络通信安全通畅。
摆在大型企业用户面前的安全解决方案有两种方案。其一,针对网络可能出现的不同威胁安装相应安全设备,例如防火墙、网络防病毒、入侵检测系统、内容检查系统等;其二,安装基于硬件平台的、集多种安全防护功能为一身的UTM产品。
对这类网络系统应用复杂的大型企业来说,传统的安全部署方案通常如下:
首先,针对病毒威胁,在网络中安装企业版防病毒系统,价格起码在20万元以上。通过防病毒系统可以有效地防御通过文件、软盘以及从其他外来数据拷贝途径带来的病毒侵害。
其次,在总部及各分支机构网络边界安装带有网关防毒功能的防火墙,采用防火墙可以有效地防护和抵制外来代码、人员的恶意攻击,使得网络的保护能力加强,内部网络的使用变得安全。由于带宽流量较高,应用复杂,高端防火墙的价格大约是百万元起价。
第三步就是增加入侵检测设备。根据防护对象的不同,入侵检测设备分为主机防护和网络防护,主机防护主要针对数据存储安全级别高的服务器进行入侵防护。这部分设备的投入也不菲。
第四是增加网络设备管理系统。在大型企业内部,设备多、功能不同,人为管理容易失灵,所以应该添加适当的网络设备管理系统。企业为此该支出的费用大约为十多万元。
第五是增加网络资源管理和桌面管理系统。这部分并不是每个大型企业都会有支出,但是一旦购买该系统,就能够实现对设备和终端用户更为有效地管理,使得设备资源不至于大面积浪费,减少没不必要的投资,减少公司开销,提高工作效率和管理能力。
此外,再根据企业的实际应用,还需增加反垃圾邮件、身份认证等。总的来说,一个大型企业的网络安全部署大致要耗资数百万元,而且由于多种安全设备的综合使用,给网络管理人员也带来了不小的工作压力。
UTM有弊端但也省钱
如此价格不菲的支出,即使是财力相对雄厚的大型企业也必须对市场上现有的安全设备权衡考虑。如何能兼顾成本和效用,一些大型企业决定使用统一威胁管理(UTM)设备。
目前,在安全领域,不同厂商实现UTM的方式不尽相同,通过采访了解,一种功能实现的方法是,基于原有防火墙的架构增加其他各项功能;另一种功能实现的方法是,基于原有IDS/IPS的架构,增加其他各项功能;而比较理想的功能实现的方法是基于统一威胁管理的平台,再在上面根据需要添加各项功能。
在大型企业内部,各项安全防范措施都基本完善的前提下,选用UTM实现方式从经济性上考虑更为合适。采用高端UTM产品虽然花费也不小,但相对于独立部署相应的安全产品,还是节约很多,而且同样可以做到对进出企业网络的流量全方位过滤黑客攻击、病毒、入侵、不良内容和垃圾邮件等,在几乎不影响网络速度的情况下提供高速内容处理能力,达到用户期望的安全防范效果。
另外一方面,虽然UTM集成了多种功能,但不一定需要同时开启。用户可根据不同的需求以及不同的网络规模,来决定功能的选择。例如,能源型企业对于防病毒、入侵防御的安全需求较大,因此需要UTM安全解决方案整合防火墙、防病毒、入侵防御、VPN、Web过滤、反垃圾邮件等多种安全功能。
当然,UTM产品由于其多合一的特性,目前也存在不少需要解决的地方,有些企业在部署之后会发现网络性能下降,例如,在发生阻断服务攻击时,系统处理大量的攻击封包,造成攻击渗透的问题;同时,UTM强调整合性防御,集多种安全机制于一身,却因此在一定程度上减少了防御纵深。
多功能合一不可避免会对网络性能产生影响,但分开的单一安全防范也不可能万无一失。特别是UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以考虑使用UTM作为优化的整体解决方案的一部分。
中小企业
囊中羞涩企业也无需气短
如今的中小企业与大型企业一样,都开始广泛地利用信息化手段提升自身的竞争力。信息设施有效提升了中小企业的运营效率,使中小企业可以更快速地发展壮大。然而在获得这些利益的同时,给许多大型企业造成重大损失的信息安全问题同样也在困扰着中小企业群体。虽然中小企业的信息设施规模相对较小,但是其面临的安全威胁却日益增加。
中小企业一般只在总部设立完善的网络布局,采取专线接入、ADSL接入或多条线路接入等网络接入方式,一般网络终端总数在几十到几百台不等。网络中有的划分了子网,并部署了与核心业务相关的服务器,如数据库服务器、邮件服务器、文档资料库服务器甚至ERP服务器等。
理论上说,中小企业既可以构建由防火墙、入侵检测、防病毒等功能产品组成的整体方案来保证企业的网络安全,也可以通过UTM设备来实现安全。对于很多保证安全的用户来说,到底哪一种方案更加适合呢?我们还是同样从功能、性能、经济性等方面,一起来算算帐吧。
功能更合适
UTM并非某种新产品,而是目前各种安全产品与解决方案的集成。因此,在保证安全的功能方面,两者之间几乎是等同的。随着UTM平台的完善,目前几乎所有的安全产品和技术都可以在UTM中集成,而且从单一功能的角度来比较,差别很小。从这个角度来说,担心UTM不够全面的用户大可放心选择。
同时,从实际选购的角度来说,虽然市场上有众多的安全产品,然而很多中小企业却失望地发现适合自身的“佳偶”实在是难觅。这是由于市面上的网络安全产品大多是以大型企业的系统为标准,这种直接将大型企业授权的模式应用在中小企业的方案,无法将琐碎乏味的管理工作简化,并会造成大量网络资源的浪费。对于中小企业而言,使用这些安全产品只会是事倍功半。再有就是服务,“优质的服务都只是对那些大型企业而言的,对我们中小企业来说只能是梦想!”一位中小企业负责人如是说。
性能更简单
一个可以有效保证中小企业网络安全的系统通常包括防火墙、入侵检测、漏洞扫描、安全审计、防病毒和流量监控等功能产品。但由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交换,容易形成许多安全孤岛和安全盲区。
UTM则有着传统安全防护设备所不具备的优势。首先,UTM设备大大降低了安全系统构件的复杂性,一体化的设计简化了产品选择、集成和支持服务的工作量、避免了软件安装工作和服务器的增加。安全服务商、产品经销商甚至最终用户通常都能很容易地安装和维护这些设备,而且这一过程还可以远程进行。
其次,UTM设备的维护量通常很小,因为这些设备通常都是即插即用的,只需要很少的安装配置。
再有,大多数UTM设备可以和高端软件解决方案协同工作,这一特性很有吸引力,因为很多硬件设备通常安装在远程地点,企业在那里往往没有专业安全管理人员,UTM设备可以很容易地安装并通过远程遥控来管理它。这种管理方式可以很好地和大型集中式的软件防火墙协同工作。
最后,由于应用的需求,用户通常都倾向于尝试各种操作,而UTM安全设备的“黑盒子”设计限制了用户危险操作的可能,通过更少的操作过程降低了误操作隐患,从而提高了安全性。
价格更便宜
中小企业的资金流比较薄弱,这使得中小企业在网络安全方面的投入总显得底气不足。“现在竞争激烈,利润低,开支大。像我们这样的中小企业资金本就有限,上马信息化系统都已经很不容易了,根本就没有足够的钱再来建立完善的防御体系。”一位企业负责人李先生无可奈何地表示。的确,中小企业有限的资金都用在了日常的生产和运作之中了,能够建立起企业网已属不易。李先生接着表示,“现在的网络解决安全方案都很昂贵,不是我们这样的企业能够承受的。”
而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入。以一个带宽流量在100MB以内、终端数量200台左右的中小企业用户为例,如果构建网络安全系统,即便是采用基本配置,也需要购买4万元左右的防火墙一套、10万元的网络版防病毒软件、7~8万元的IPS一套,再结合一些反垃圾邮件、URL过滤等设备,总价应该在40万元以上,而如果客户选择UTM产品,据介绍,客户只需要有10~20万元的投入,即可满足上述要求。
此外,从系统后期运行维护的角度来说,选择UTM给企业带来的安全效益是难以准确估量的。中小企业由于规模小,IT人才相当匮乏,一个中型企业的IT人员往往只有一个人,而且可能还有身兼数职。因此,中小企业即使建立起了安全防护体系,其维护和升级也往往是三天打鱼两天晒网,最终导致整个安全体系形同虚设。不是中小企业不想维护,实在是心有余而力不足。而UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求,充分发挥产品的使用效果。
特殊机构
单独问题单独处理
除了大、中小型企业之外,市场中还存在着一大批拥有特殊信息安全要求的企业或机构,比如医疗、电信、政府、金融等机构。这些用户规模各异,但往往有着自己特殊的安全需求。政府机构信息安全的重要性不言自喻,医院着重要求信息系统有安全运行管理、安全防御和应对突发事件的能力;电信行业严格要求7×24小时的运转维护,使得安全设备经受更严格的考验……
具体以金融行业为例,现在许多金融机构都处在一个十字路口。一方面,他们希望扩大电子化网点,推出电子化新品种;另一方面,他们又对随之产生的安全风险感到忧心。远程访问可以大大提高银行运作效率并使之从中获得更多商业机会。这就要求金融远程访问服务系统不仅要依从严格的安全数据通讯协议,更要求应用强有力的身份认证机制和完善的存取控制措施。对于近年在安全产品市场上一路高歌猛进UTM,是否适合金融行业呢?我们来一把秋后算账。
单买 好用但贵
一个省银行从网络结构上整体分为业务网络与办公自动化网络系统,办公自动化网络系统为银行内部用户办公使用,银行通过全省业务网络或全国联网,实现银行储蓄及对公业务跨地域通存通兑等业务。银行信息网络安全系统的建设工作总体看来都包涵在安全防护、安全监测、安全管理和安全服务4个部分。
安全防护中,访问控制主要依靠防火墙技术、划分Vlan技术身份认证技术等方式来实现。保密性、可用性、不可抵赖性主要包括一些信息保密手段,例如使用 VPN技术、采用加密软件或者应用CA证书保证数据的安全防护等。防护还包括对线路高可用性、网络病毒防护、数据容灾防护等方面。
安全监测中,实时检测主要依靠入侵检测系统、风险评估依靠于脆弱性分析软件,系统加固和漏洞修补要求网络管理人员能够随时跟踪各种操作系统和应用系统漏洞情况并及时采取必要的措施。
安全管理中,建立好的银行信息网安全管理体系,需要负责管理全网所有设备的技术人员,这是一项不可忽视的支出。
安全服务中,银行不能忽视安全公司所提供的前期、中期、后期所需的各种保障服务,这项支出对于明智的银行来说不能忽略。
从功能上看,独立购买安全设备肯定能满足特殊机构的需求,因为UTM都是由各种不同厂商的各种产品集合起来的,但如果从经济上来看,这就非常不划算了。
从性能上看,目前银行对网络出口敏感信息和对于网络内部重要应用服务器、交换机的审计越来越受到重视。而使用传统的七拼八凑方式,因为各种产品的标准不统一、不兼容而导致没有办法实现安全审计这一环。此外,分散单一功能的设备虽然专业性强,但是协调性、可维护性、投入成本往往不尽如人意。有时不同供应厂商之间还会产生扯皮现象,不利于分析故障。
风险与经济并存
UTM十分适合中小企业使用,大企业也开始使用。那么UTM是否适合这些网络规模不大,但是安全要求很严格的用户呢,这些用户选择UTM有何得?有何失?
UTM的优点不用赘述,成本降低、管理复杂度降低、技术复杂度降低。最突出的一点是价格因素,以金融机构为例,“如果一个银行只针对内网的话,使用UTM大概需要二、三十万元,和一个普通的中小企业类似;但如果针对外网的话,需要100万元以上”。记者从联想网御了解到,以联想网御Power V5200 UTM防火墙为例,这款据介绍可在企业、政府机关、电信、金融行业的网络边界处提供实时地安全防护的产品,最低配置媒体报价是166万元,最高配置的媒体报价是336万元。报价尽管不菲,但是同时节省了大量的技术人员工资支出以及维护费用。
对于这些用户来说,对UTM的担心主要体现在过度集成带来的风险以及性能和稳定性的不足。
将所有功能集成在UTM 设备中,使得抗风险能力大大降低。一旦该UTM 设备出现问题,所有的安全防御措施全都失效。而你能想象金融机构,甚至政府机关、电信运营机构出现这种断层现象吗?后果一定不堪设想。
操作系统多样性让网络犯罪者拥有更多机会
2011年将是非主流操作系统、程序与浏览器的漏洞遭受更多攻击的一年,而针对应用程序漏洞的攻击也将大幅增长。云端计算和虚拟化虽然能为企业带来大量的投资回报且节省成本,但也将服务器置于传统的安全边界之外,因此反而让网络犯罪者拥有更大的发挥空间,同时也会加重云端服务供应商的信息安全责任。
趋势科技公司预测2011年将出现更多针对云端基础架构与虚拟化系统的概念验证攻击。此外,网络犯罪者已发现终端桌面操作系统的同质性已被逐渐打破,因此网络犯罪者将转攻拥有大量同质性的云端,开始尝试如何渗透云端。而有些比较版本较早但仍被广泛使用的操作系统(如:Windows 2000/Windows XP SP2)存在诸多无法修补的漏洞。由此,针对这些漏洞的攻击仍将持续增长。
社会工程学攻击仍将肆虐
社会工程学仍将持续在威胁传播方面扮演重要角色。趋势科技公司认为,传统网站遭到渗透的情况在2011年将会减少,取而代之的是,网络犯罪者将发动一波又一波的恶意程序攻击,利用精心设计的电子邮件来诱骗使用者点击恶意链接,进而导致使用者感染恶意程序下载器。这些恶意程序下载器会随机产生一些二进制恶意程序来躲避检测,如Conficker和ZeuS-UCAT就是利用这种手法。
由于网络上已经出现一些连菜鸟都会使用的网络犯罪工具,因此中小企业也开始成为网络犯罪者的攻击目标。在2010年,随着地下犯罪工具使用率暴增,特定类型的企业组织很容易成为黑客的目标,例如:ZeuS在2010年就专门锁定小型企业进行攻击。预计未来,专门锁定知名大型企业与关键基础设施的攻击,在数量与复杂度方面都将持续攀升。此外,2011年也很可能出现更多针对信息安全厂商品牌的攻击行为,用以制造用户的认知混淆与不安情绪。
信息安全时代的全新战略
科技的发展与企业办公的信息化已经是不争的事实,无论是个人还是企业,在日常生活和工作中都会越来越多地应用到IT基础设施,包括笔记本电脑、智能手机等。而作为企业的有机组成部分,由于工作和日常生活的高度信息化,大多数员工已经习惯于在生活和工作中共享一些IT设备,今天,个人设备的使用在各个企业中呈现出不断增长的趋势。而由于员工的日常生活存在对网络的自由使用等行为,加之很多人的公共安全意识还处于比较低的一个水平,这就给企业的数据信息安全埋下了隐患。
在这样的背景之下,企业部署IT安全解决方案就要注重两个方面,一是融合:如何完美地兼容员工个人IT设备中的个性化配置,使员工无障碍地切换个人设备的工作与生活模式,这意味着一家企业不仅需要保护其公司网络中每一个节点,还需要保护连接到该网络中的个人设备;二是隔离:如何杜绝员工个人的不良网络使用习惯对企业网络造成的影响,这也是对企业IT安全解决方案性能的一个考验。
融合问题的解决主要有三个要素。首先,安全解决方案对于个人端反病毒保护的部署要全面,能够抵御各类恶意攻击;其次,安全解决方案要能够兼容多种类型的操作系统,包括主流的Windows、Linux等等,以切合员工的个性化需求;最后,安全解决方案提供商最好能够兼顾个人安全和企业安全两个领域,这样员工在安全解决方案的选择上就无需进行更多的比较,工作和生活模式的安全策略可以达成一致,也不需要强行改变其固有的软件使用习惯。
关键词:存储区域网络;光纤网络交换机;Tivoli SAN Manager;存储虚拟化;云存储
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 11-0000-01
The Application and Development of Storage Area Network
Xu Jiang
(Airbus delivery center in Tianjin300042,China)
Abstract:From the perspective of system applications manager describes Storage Area Network (SAN) demand generation and product-related instances of SAN vendors and software applications in order to describe the SAN.After the storage virtualization and cloud storage as the theme about the development of storage technologies,as well as the choice of solutions in order to explore.
Keywords:Storage area network;Fiber optic network switches;Tivoli SAN Manager;Storage virtualization;Cloud storage
一、存储区域网络需求
存储区域网络是一种高速网络或子网络,提供在计算机与存储系统之间的数据传输。存储设备是指一台或多台用以存储计算机数据的磁盘设备,通常指磁盘阵列。一个SAN网络由负责网络连接的通信结构、负责组织连接的管理层、存储部件以及计算机系统构成,从而保证数据传输的安全性和力度。
典型的SAN是一个企业整个计算机网络资源的一部分。通常SAN与其它计算资源紧密集群来实现远程备份和档案存储过程。SAN支持磁盘镜像技术、备份与恢复、档案数据的存档和检索、存储设备间的数据迁移以及网络中不同服务器间的数据共享等功能。此外SAN还可以用于合并子网和网络附接存储系统。
二、IBM 的SAN解决方案实例:
IBM为多协议的局部、校园、城市和全球存储网络提供了整合的SAN 解决方案,包括:
(一)入门级SAN交换机:
IBM System Storage SAN24B-4 光纤网络交换机专为满足中小型SAN环境的需求而设计。它可用于构建各种高性能 SAN 解决方案,从简单的单交换机配置到支持光纤网络连接和高级业务持续的大型多交换机配置。例如面向IBM Power Systems服务器的基础架构简化方案,包括采用 IBM System Storage磁盘存储阵列的存储整合和高可用器群集。
(二)中端SAN 交换机:
中端和企业级SAN光纤网络交换机,例如IBM System Storage SAN80B-4 SAN 光纤网络交换机可提供达80个端口,链路速度支持可达8G bps,是针对可扩展的中小企业和大型企业解决方案。适用于 IBM Power Systems、IBM System x、IBM System z 以及其他服务器环境。随需增加端口的可扩展性支持非中断性的容量激活。
(三)企业级SAN导控器:
IBM System Storage SAN768B 和 IBM System Storage SAN384B光纤网络交换机专为企业数据中心而设计,是针对最高可用性和可扩展性的企业解决方案。支持开放系统和 System z环境,能够应对数据增长和服务器虚拟化,能够实现服务器、SAN 和数据中心整合,可为完全连接的多协议SAN光纤网络提供可靠的基础,能够支持数千台服务器、存储和网络设备。具有光纤网络优化服务,可提供多种特有功能,包括瓶颈检测、高级性能监控Top Talkers和自适应网络;以及一套工具,包括入口速率限制、流量隔离和质量服务。
三、Tivoli存储区域网络管理器
Tivoli SAN Manager是IBM的SAN管理解决方案,作为一个提供全局性存储管理视图的应用程序,比传统的SAN管理定义提供了更多的扩展服务。Tivoli SAN Manager能够直接与Tivoli NetView集成,能够通过用与管理LAN和WAN一致的界面来监视和控制SAN基础结构。可从相同的控制台依次查看所有这些网络事件。
四、存储虚拟化
存储虚拟化的思想是将资源的逻辑映像与物理存储分开,从而为系统和管理员提供一幅简化、无缝的资源虚拟视图,目的是提高基础架构的效率,使存储管理变得更加轻松和提高性价比。存储管理员可以随意进行日常维护或者更换老化的阵列。
五、云存储
云存储是从云计算概念上延伸和发展出来的。云计算是分布式处理、并行处理和网格计算的发展,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经计算分析之后将处理结果回传给用户。云存储是指通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个服务系统,是使用整个云存储系统带来的一种数据访问服务。
六、结束语
随着网络的不断发展,企业通过网络平台,不仅可以实现企业内部信息的交流和共享,而且还可以借助网络的力量,应用在生产当中,从而极大地提高了生产效率。但是,在不断拓展网络架构的时候,网络安全也随即成为企业所关注的重点。
针对互联网上不断出现的安全威胁,我们推荐两款由McAfee公司提供的高性能完全集成的解决方案:McAfee Total Protection for Small Business和 McAfee Secure Internet Gateway。McAfee Total Protection for Small Business 专为中小型企业设计,是真正集成的系统安全防护产品,可有效防御病毒、间谍软件、垃圾邮件、黑客和身份信息窃取等威胁。McAfee Secure Internet Gateway 可全面防范 Web 和电子邮件威胁,保护您的企业免受垃圾邮件、网络钓鱼诈骗、间谍软件、病毒和恶意网站的侵扰,并可以防范不当的网络使用行为。
McAfee Total Protection for Small Business 可通过一个控制台McAfee SecurityCenter进行管理,并且可以自动升级而无需人工干预,从而极大的简化了您的安全工作。其高级版本 Total Protection for Small Business-Advanced可通过一个高度安全的系统实时处理电子邮件,在威胁进入您的网络之前进行防护,过滤和隔离所有通过电子邮件带来的威胁。
该系统可与所有电子邮件应用程序兼容,可以快速处理您的电子邮件,延迟时间不到1秒钟。此外,McAfee还为需要监控内部电子邮件安全性的用户提供了电子邮件服务器防护功能,操作简便,可迅速提供保护。
用户若要实现终极反间谍功能,可将 McAfee Total Protection for Small Business与桌面间谍软件清除工具如McAfee Anti-Spyware Enterprise组合使用。Anti-Spyware可选的Web 过滤模块提供反间谍软件的第二级保护,可防止员工访问带有间谍软件和广告软件的网站。
此外,它还具备拦截来自受感染主机的流出通信量,防止机密信息泄露等功能。其硬件采用高性能的 ASIC 加速平台,性能完全能够满足大型企业的需求。
而对那些对邮件安全有着极为特殊和苛刻要求的公司而言, McAfee Secure Internet Gateway(SIG)设备将是他们的理想之选。SIG采用了强大的检测算法,能够查找并拦截98%的垃圾邮件,其中包括难以检测的图像垃圾邮件。病毒和间谍软件拦截程序通过扫描所有下载内容和附件来确保最终用户的安全。其内置 McAfee SiteAdvisorTM 可监控、警告或提前阻止用户访问含有间谍软件、网络钓鱼诈骗或垃圾邮件的网站,使您安全地使用网络。Secure Internet Gateway 是一款完全独立的解决方案,无需安装任何软件,因而也无需维护。您可通过McAfee ePolicy Orchestrator对其进行集中管理,从而为企业节省大量宝贵的时间,降低购买成本以及管理分离组件的复杂性,极大地提高了工作效率。
借助以上McAfee这两款解决方案,企业可将更多时间放在关注业务上,而无需将时间浪费在繁杂的独立产品上。优秀的一体化集成解决方案将始终如一地保护您的系统免受最新威胁的侵扰,通过一个管理控制台即可进行轻松管理。无论是中小型企业还是行业领先的大型企业都可以从McAfee方便的自动服务中进行选择,以实现全面的企业网络安全保护。
在IT架构越发复杂的今天,企业一直在寻求新的IT服务方式来快速响应业务发展需求,虚拟化正在成为这种出路的最佳出路。
计算机虚拟化技术当前主要包括服务器虚拟化、应用虚拟化、桌面虚拟化。目前网络虚拟化,显卡虚拟化(也称GPU虚拟化)等技术都在快速发展,在不久的将来,当前物理的PC设备将都支持虚拟化技术,实现IaaS(infrastrure as a service),实现真正意义的云计算。其中,桌面虚拟化技术是当前发展最快的,也是最具应用前景的技术。
虚拟桌面的核心与关键,不是后台服务器虚拟化技术讲桌面虚拟,而是真正的远程网络访问的能力。在这种条件下下,我们可以像今天我们可以随时访问邮件系统一样,通过任何设备,在任何地点,任何时间访问在网络上的属于我们个人的桌面系统。
这已经成为一种被广泛接受的IT管理趋势。
调研机构Vanson Bourne与思杰系统公司联合进行的全球调查结果显示,在未来两年,对移动办公安全性需求的爆炸性增长将迅速激起市场对桌面虚拟化需求的飙升。55%的受访机构预计到2013年将首次部署桌面虚拟化,其中86%表示安全性是其选择部署桌面虚拟化的主要驱动力。
具体来看,桌面虚拟化可以满足用户如下需求:允许员工在家办公使用个人设备安全访问企业系统;允许现场员工使用企业敏感数据时无移动设备被盗导致数据丢;当工作场所发生问题时,为员工提供安全访问企业数据的方法;允许员工个人电脑发生损坏或丢失的情况下,可以继续工作等。
针对虚拟桌面,思科协同合作伙伴,提出了端到端的桌面虚拟化解决方案,并对中国市场的典型企业提供了针对性部署和服务。据了解,思科的虚拟桌面解决方案结合了业内领先的合作伙伴方案,提供完整的服务器承载虚拟桌面基础设施,帮助IT实现强化管理控制和数据安全,提供接近本机的最终用户桌面体验,并可以简化向新桌面操作系统的升级,有助于IT控制OpEx和CapEx。
架构上,思科提供了桌面虚拟化端到端解决方案,涵盖虚拟化的数据中心、虚拟化的网络以及支持虚拟化的终端设备。同时,思科UnifiedComputing SystemTM、统一网络服务和VN-Link解决方案为以各种方式连接虚拟机的网络提供了可靠性和安全性。每台虚拟机都配置有针对于该虚拟桌面的策略、安全、网络和应用程序优化配置文件;其扩展内存技术帮助确保了每个桌面虚拟机具有充足的内容来响应用户需求;简化的体系结构、无状态计算和服务配置文件运营模型可以显著减少配置虚拟桌面的周期时间。
目前,思科提供了针对各种部署规模的不同VDI解决方案包大小。用户可以选择添加其他解决方案组件(安全性、负载平衡、WAN优化等)以实现由思科VDI所提供的全面优点。
关键词:工作过程;项目导向;情境教学
1.教学内容的组织
本课程基于四个学习情境开展教学,理论与实践一体化,把所要掌握的理论知识贯穿于每个学习情境中,整个课程教学均在网络实训基地完成,每个学习情境围绕一个教学项目,每个教学项目进行分解,开发和设计出若干个实训项目,以学生为主体,在边做边教,边做边学,做到教、学、做一体。
序号学习情境学习单元教学内容学时分配1SOHO网络构建SOHO网络需求分析,规划与设计建网方案如何根据实际项目进行需求分析,网络拓扑结构设计、SOHO网络设备选型、分类IP地址规划,设计网络建设方案36SOHO网络布线实施、网络连接与配置、网络测试与验收双绞线制作、SOHO网络设备连接、ADSL接入配置、网络配置、网络测试与故障排查、验收文档编写32企业办公网络构建企业办公网络需求分析,规划与设计建网方案如何根据实际项目进行需求分析,网络拓扑结构设计、交换机设备选型、无类IP地址规划、服务规划224设计网络建设方案2企业办公网络子网规划、交换机安装与配置子网规划、VLAN的划分2二层交换机的安装与配置4三层交换机的安装与配置6常用网络服务的规划、安装与配置文件服务器的安装与配置2DHCP服务器的安装与配置2网络测试与验收全网连通性测试,故障排查,验收文档编写43园区网络的构建园区网络构建需求分析,规划与设计建网方案如何根据实际项目进行需求分析,网络拓扑结构设计、交换机、路由器设备选型、无类IP地址规划,设计网络建设方案214园区路由器安装与配置路由器的安装与配置(包括静态路由、RIP、OSPF、ACL配置)10园区网络测试与验收全网连通性测试,故障排查,验收文档编写24校园网的构建案例实训校园网的需求分析、校园网组网方案规划与设计根据我院龙腰校区的实际情况和网络需求进行分析、交换机与路由器设备的选型、规划与设计组网方案2
12校园网组网实施交换机安装与配置4路由器安装与配置4校园网测试与验收全网连通性测试,故障排查,验收文档编写2
2、教学项目举例
项目名称:构建SOHO网络 所属学习情境:SOHO网络构建
实施场所:校内网络技术实训基地 课时:6课时 环境准备人员:实训教师
指导教师:专任教师为主,兼任教师为辅 评估小组成员:专兼教师、各小组组长
教学目标:
通过项目教学使学生了解SOHO网络构建的工作流程,掌握SOHO网构建技能,能按项目需求构建小型网络。具备SOHO网络的规划、设计与实施的能力及SOHO网络的运维管理能力
学习任务:
根据SOHO网络的构建项目要求,能对SOHO网络的硬件需求,软件需求分析,并根据软硬件的选择原则,能根据用户需求做出合理的资金预算;能根据SOHO网络布线标准,熟练制作双绞线;能熟练完成SOHO网络的连接,网络配置,网络测试及故障的排查方法;能按项目需求很好地完成构建SOHO网络建设方案并实施项目
实施环境要求:
每组学生3-4人,每组实践平台要求:3-4台计算机,[一台modem、一台ADSLmodem]。材料准备:双绞线、水晶头、RJ45压线钳、交换机/集线器(每组一台)、网卡(每机一张)
项目说明:
项目场景介绍
现有一个办公室,共有四台电脑,要求连接成网络,相互之间能相互通信及文件和打印共享,同时有一台电脑能支持远程桌面功能。(如果环境允许的话,可设计完成与Internet网络的连接)
需求分析
(1)连接四台计算机
分析:采取什么拓扑结构,需要什么网络设备,如何联接
(2)能相互通信
分析:如何安装网络软件,如何设置网络属性,如何测试能否相互通信
(3)能共享文件与打印资源
分析:如何设置文件与打印资源,如何访问网络资源?
*(4)访问Internet网络
分析:有几种连接方法?采用哪种连接方法访问Internet性价比最高?为什么?
项目教学过程:
将学生进行分组实施项目,每组指定一个小组长,每组4—6人,一个实验平台,按照项目的 “资讯、计划、决策、实施、检查、评估” 六个工作过程环节来开展教学,实现边做边学,从做中学。
(1)资讯
教师给出项目,分析项目建设需求,让学生明确这个教学项目要完成的任务。
(2)计划
要求小组长组织小组成员对项目说明进行讨论、分析,制定建网初步方案。
(3)决策
确定网络构建方案,画出网络拓扑图,并由小组长安排小组成员工作任务,明确项目实施的步骤及完成的时间。
(4)实施
小组成员按方案和工作任务安排进行项目实施。
(5)检查
项目实施完成后,小组成员进行访问测试,看能否达到项目预期目标,如果未达到要求,则组织小组成员进行故障分析和排除,并记录排障日志。
(6)评估
项目经过自己检查,提交给评价小组进行验收,评价小组将对项目的各项功能进行测试,评分,并要求小组提交所有的项目过程材料(包括方案和排障日志)
整个教学过程,以学生为主体,教师从中指导,实现与学生的互动,回答和解释学生提出的疑问,从而让学生学习到该教学项目所应该掌握的部分知识内容。
教学项目验收标准:
(1)组网方案合理、描述条理清晰、内容完整、方案设计性价比高(30%)
(2)网线制作规范和连接规范(10%)
(3)各主机是否配置正确,IP地址规划合理,能实现四台主机相互通信,并能相互共享网络资源(40%)
(4)过程表现情况及团队合作情况(20%)
(5)是否选择最优连网方式,连接设置正确,能成功连接Interne
3、结论
本课程依据网络技术专业高职生的培养目标、企业职业岗位的任职要求,针对网络构建岗位的主要工作任务的工作过程所应具备的基本工作能力,进行教学内容的选取,整个课程的教学内容强调实践教学,重于强化专业技能的培养,同时网络组建必须要求掌握的知识与技术贯穿于教学项目中,通过实践教学加深对理论知识的理解,通过综合项目的工作过程教学培养学生的岗位技能、团结协作能力及解决实际问题的能力,大大缩短校企之间的距离,使学生能根据企业的场景,企业用户的需求,完成企业网络的规划、设计和实施的能力。具有一定的针对性和适用性,为学生上岗和持续发展奠定良好的基础。
参考文献:
[关键词] das nas san iscsl
随着计算机网络技术的飞速发展,各种网络服务器对存储的需求随之发展,但由于商业企业规模不同,对网络存储的需求也应有所不同,选择不当的网络存储技术,往往会使得企业在网络建设中盲目投资不需要的设备,或者造成企业的网络性能低下,影响企业信息化发展,因此商业企业如何选择和使用适当的专业存储方式是非常重要的。
目前高端服务器所使用的专业存储方案有das、nas、san、iscsl几种,通过这几种专业的存储方案使用raid阵列提供的高效安全的存储空间。
一、直接附加存储(das)
直接附加存储是指将存储设备通过scsi接口直接连接到一台服务器上使用。das购置成本低,配置简单,使用过程和使用本机硬盘并无太大差别,对于服务器的要求仅仅是一个外接的scsi口,因此对于小型企业很有吸引力。但是das也存在诸多问题:(1)服务器本身容易成为系统瓶颈;(2)服务器发生故障,数据不可访问;(3)对于存在多个服务器的系统来说,设备分散,不便管理。同时多台服务器使用das时,存储空间不能在服务器之间动态分配,可能造成相当的资源浪费;(4)数据备份操作复杂。
二、网络附加存储(nas)
nas实际是一种带有瘦服务器的存储设备。这个瘦服务器实际是一台网络文件服务器。nas设备直接连接到tcp/ip网络上,网络服务器通过tcp/ip网络存取管理数据。nas作为一种瘦服务器系统,易于安装和部署,管理使用也很方便。同时由于可以允许客户机不通过服务器直接在nas中存取数据,因此对服务器来说可以减少系统开销。nas为异构平台使用统一存储系统提供了解决方案。由于nas只需要在一个基本的磁盘阵列柜外增加一套瘦服务器系统,对硬件要求很低,软件成本也不高,甚至可以使用免费的linux解决方案,成本只比直接附加存储略高。nas存在的主要问题是:(1)由于存储数据通过普通数据网络传输,因此易受网络上其它流量的影响。当网络上有其它大数据流量时会严重影响系统性能;(2)由于存储数据通过普通数据网络传输,因此容易产生数据泄漏等安全问题;(3)存储只能以文件方式访问,而不能像普通文件系统一样直接访问物理数据块,因此会在某些情况下严重影响系统效率,比如大型数据库就不能使用nas。
三、存储区域网(san)
san实际是一种专门为存储建立的独立于tcp/ip网络之外的专用网络。目前一般的san提供2gb/s到4gb/s的传输数率,同时san网络独立于数据网络存在,因此存取速度很快,另外san一般采用高端的raid阵列,使san的性能在几种专业存储方案中傲视群雄。san由于其基础是一个专用网络,因此扩展性很强,不管是在一个san系统中增加一定的存储空间还是增加几台使用存储空间的服务器都非常方便。通过san接口的磁带机,san系统可以方便高效的实现数据的集中备份。san作为一种新兴的存储方式,是未来存储技术的发展方向,但是,它也存在一些缺点:(1)价格昂贵。不论是san阵列柜还是san必须的光纤通道交换机价格都是十分昂贵的,就连服务器上使用的光通道卡的价格也是不容易被小型商业企业所接受的;(2)需要单独建立光纤网络,异地扩展比较困难;
四、iscsi
使用专门的存储区域网成本很高,而利用普通的数据网来传输scsi数据实现和san相似的功能可以大大的降低成本,同时提高系统的灵活性。iscsi就是这样一种技术,它利用普通的tcp/ip网来传输本来用存储区域网来传输的scsi数据块。iscsi的成本相对san来说要低不少。随着千兆网的普及,万兆网也逐渐的进入主流,使iscsi的速度相对san来说并没有太大的劣势。iscsi目前存在的主要问题是:(1)新兴的技术,提供完整解决方案的厂商较少,对管理者技术要求高;(2)通过普通网卡存取iscsi数据时,解码成scsi需要cpu进行运算,增加了系统性能开销,如果采用专门的iscsi网卡虽然可以减少系统性能开销,但会大大增加成本;(3)使用数据网络进行存取,存取速度冗余受网络运行状况的影响。
通过以上分析,下表总结了这四种方式的主要区别。
通过以上比较研究,四种方案各有优劣。对于小型且服务较为集中的商业企业,可采用简单的das方案。对于中小型商业企业,服务器数量比较少,有一定的数据集中管理要求,且没有大型数据库需求的可采用nas方案。对于大中型商业企业,san和iscsi是较好的选择。如果希望使用存储的服务器相对比较集中,且对系统性能要求极高,可考虑采用san方案;对于希望使用存储的服务器相对比较分散,又对性能要求不是很高的,可以考虑采用iscsi方案。
参考文献:
[1]白广思:c san与ip san架构比较新论.情报科学, 2007, (9)
攻击
新威胁每天都在层出不穷,攻击随时可能发生,威胁可能来自于垃圾邮件,也可能是由于客户信用卡号码等宝贵信息落入他人之手。但是对于小型企业网络而言,也许最大的威胁就是企业所有者对网络安全的错误认识,并且缺乏保护网络的熟练技能。小型企业的所有者经常将网络安全问题排在其它紧迫问题之后,在很多情况下,他们甚至根本不关注网络安全。
事实上大部分攻击和安全威胁都是针对一般公众,而不是特定公司或网络列为攻击目标。黑客运行的软件程序会扫描整个网络和IP地址范围,寻找潜在弱点。当他们找到这样的弱点时,就会控制这些计算机或感染它们,并将这些计算机作为“僵尸网络”(Zombie army)进行利用,以便发起更大规模的攻击。
趋势
信息安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等产品组成的,但是由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交流,于是形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。于是,UTM产品出现了,并且正在逐步得到市场的认可。
分析多功能网络安全产品兴起的原因不外乎两点,一是网络的攻击型态渐趋多元,企业希望防火墙防御力更强;二是同时启用防火墙、防毒、IDS的使用者发现,三种不同系统的控制接口难以操作。于是控制界面的复杂性是整合式网络安全产品兴起的主要因素之一。
在原有高端市场面临饱和,中小型企业网络安全预算难以负荷,利润不高的局面下,整合性网络安全产品成为厂商竞争的重点。那些更容易安装、管理的安全产品在厂商大力主推下,在本地市场获得了良好的销售成绩。安全可靠、管理方便是安全设备最大的好处,而这往往也是中小企业对产品的主要需求。
据调查显示,UTM将成为未来的应用趋势。UTM是将企业防火墙、入侵检测和防御以及防病毒等众多功能结合为一体的设备。据市场调研数据显示,UTM市场到2008年将占整个信息安全市场的半壁江山,达到57.6%。UTM的一个特点是既可以只用到该产品的某一个专门用途,比如用于网关防病毒或是用于内部的入侵检测,也可以全面应用所有功能。当UTM作为一种单点产品来应用时,企业能获得统一管理的优势,并且也能在不增加新设备的情况下开启自身需要的任何功能。
不过,一些网络厂商,像cisco、Enterasys和Junmper,正在把防火墙技术加入路由器,这种技术和产品的结合将对UTM市场形成一定冲击。
解决
目前客户需要的不是一堆用途各异的孤立设备。而是一个连贯的安全平台,并且能够提供防火墙、内容过滤、边缘杀毒和虚拟专用网等技术,中央控管是其中的核心。今天,管理企业安全是――个艰难的过程,这需要将缺乏集成和互操作性的不同厂商的不同产品进行综合。其结果是复杂性加剧和运营成本增加,而且在做出重大安全决策时不得不依赖孤立的安全数据。这都给企业安全管理人员有效开展工作增加了难度。难就难在要在数以百万的事件中及时发现事故并采取行动,企业的程序管理员需要花费许多时间去做一些冗余的、管理网络当中复杂的安全基础设施工作。在这种经济状况下,从财政和资源的角度考虑,就有一种利用极少的资源去做更多的事情的压力。如果有一个能够自动分析安全警报的安全管理工具帮助企业完成这项工作,企业将能够让自己的安全管理人员集中精力到更高价值的事件上来,那同时意味着对企业进行主动的安全保护。
可以说,安全管理平台是安全策略的支撑系统,不仅向安全管理人员提供制订安全策略的依据,还可以搜集策略执行的反馈信息,优化和完善安全策略,使安全管理变得可视化、具体化和可操作。所以,企业为了确保网络安全,除了需要部署全方位的安全产品外,对这些安全产品的管理也同样重要。尤其对于实时响应能力与积极防御能力要求很高的安全产品而言,良好的管理就显得更为重要。
应用
UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更可贵的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全 功能都可以很好地切、同。现在UTM在安全产品市场上一路高歌猛进,其成长速度已经达到了两位数。除了新增的市场份额之外,受到UTM侵蚀的安全产品主要是防火墙设备和实现VPN功能的产品。按照目前的情况来估计,UTM产品的发展在未来的几年中仍会保持较高的增长速度,并有望成为主流的信息安全产品。
现在有很多针对中小企业信息安全的探讨,其中一个焦点问题就在于市场上缺乏适合中小企业需要的安全解决方案。UTM产品在中小企业市场的应用,至少可以在两个方面缓解这一问题。中小企业的资金流比较薄弱,这使得企业在信息安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入,这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。而由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务,有利于中小企业用户建立更加合理和真实的解决方案。
进入2006年,计算机网络安全威胁日益严重,病毒发作和黑客活动频繁,垃圾邮件猛增,从而也迫使计算机用户的安全防范意识和手段不断提高,网络安全产品需求随之迅速增长。
2006年,中国网络安全产品市场呈现以下特点:
1.并购正在进行,强强合作仍在延续 面对日益严重的安全形势,厂商也在不断以变应变,比较明显的特征是通过整合和并购以求全面发展。与此同时,安全厂商之间的强强合作也较为引人瞩目。
2.目标攻击逐渐增多,用户损失更为惨重 目标攻击已成现今网络威胁的趋势之一,通常网络安全公司仅仅寻找较大规模的攻击,但黑客有目标的攻击规模通常都很小,这就很容易躲过网络安全公司的监视,使得他们有充足的时间研究整个公司的情况,并获得超过预期想象的非法收入。
3.ANTI-SPAM,不再是厂商的独角戏 2006年2月21日,信息产业部宣布要在年内推行“阳光绿色网络工程”,活动将持续一年。
4.另类二八定律,厂商发力企业级市场 中国杀毒软件市场呈现倒二八现象,即80%的市场由消费市场占据。面对潜力无限的企业级市场和市场三强并不稳固的市场地位,其他杀毒厂商不甘寂寞,以各种手段争食企业级市场的一杯羹。
国外强势厂商也不满足于现有的市场占有率,纷纷针对尚未认真挖掘的中小企业市场推出新的市场策略和产品。
未来几年,中国网络安全产品市场的发展将呈现以下趋势:
1.中小企业争夺激烈,渠道建设先行 安全厂商目前均已形成一定的市场规模,要想进一步扩大市场销量,则需要积极打造营销产业链,具备完整、透明的渠道政策,全力发展和维护核心商的利益,积极与渠道伙伴合作,实现由客户驱动的公司转变为渠道驱动的公司。另外,还应该针对日益火爆的中小企业市场对网络安全产品的需求,建立相关的渠道,并推出符合这部分用户群应用的打包产品及网安解决方案。
2.行业定价特征明显,解决方案成为首选 网络安全产品向整体解决方案发展已经成为必然趋势,而且用户则更为迫切需要务实有效的安全整体解决方案。
3.扩大渠道覆盖面积,增强对渠道支持力度 为了增强渠道的服务能力,很多厂商建立了合作伙伴机制,包括技术、产品、集成、培训、服务等多种伙伴类型,那下一步就是要使得合作伙伴协同运作,厂商通过融合各种合作伙伴来与客户建立了一个无缝连接,形成多赢的局面。而随着信息化和网络化的发展,借助电子手段、互联网手段等新型销售模式成为了分销的新宠,必将成为今后多元化渠道的重要组成部分。
2007年中国国际通信设备技术展览会在北京国际展览中心圆满闭幕了。Fujitsu(富士通)在本届展会上给到会观众带来了其最新的宽带图像解决方案和企业解决方案,引起了广泛的关注。
大自然创造了富饶的森林,人类创造了今天的网络世界。今天的网络通过给人们提供各种有价值的信息来支撑人们的生活,无论何时、何地、任何人与任何事物都可以便捷安全地相互联结。今天的投入和努力支撑着联结万物的明天的网络社会。富士通的展区以孕育人类生活的绿色富饶的森林为背景,将网络喻为森林,展现人与网络和谐共存的理念。
宽带图像解决方案
为从直播现场、电视台、运营商到每个家庭,提供视频服务所必需的设备及相应的解决方案。
1.支持IPTV大规模视频配发系统:MillionStream。
2.实时图像传输装置:IP-9500。
3.支持移动WiMAX的小型/轻量/低耗电的基站系统。
4.3GLTE(LongTermEvol-ution)下一代通信系统。在WiMAX、3GLTE等下一代通信系统方面,不再仅局限于硬件设备的提供,通过在2G/3G多年的无线网络设计过程中所积累的丰富经验,还可以为客户打造完美的无线精品网络。
5.综合运行管理系统:Proactnes。提供从直播现场、电视台、比赛过程到家庭的端到端的网络和运营服务。
6.业务支撑系统。福建富士通提供立足于用户的、面向宽带服务的CRM,计费系统与IT设备组合的解决方案。
企业解决方案
为推动企业的革新,提供面向企业的网络服务和解决方案。
1.安全网络环境的有效灵活应用。
个人接入解决方案:PersonalAccessSolution介绍只需在PC上插入USB,就可以实现三合一的坚固的认证(通过存储键的指纹认证、事前登记的机身号码确认、电脑安全环境的检查)和自动进行VPN连接的安全保障服务。
宽带会议解决方案:JoinMeeting介绍网络视频会议、远程演讲、客户支持等营销活动的支援工具。
此前,勒索软件侵害的对象主要是一些有充裕资金的企业,但近期形势发生了一些变化,中小企业、个人也都成为受灾群体。随着智能移动端设备的广泛使用,勒索软件感染的途径更加多样化,并且已经从传统的PC端逐渐蔓延到手机端。在同一个商业网络中,通过被勒索软件感染的手机也有可能对网络中其他设备造成不良影响,网络中其他设备也可能遭受勒索软件感染。
大型企业或机构中可能有一些专职IT管理人员会处理被勒索软件感染的设备,但任何一位IT管理人员都不愿企业或机构的数百台设备遭受勒索软件感染。勒索软件感染会致使关键系统处于离线状态,以至于企业或机构的全部运营活动都处于危险境地。很多安全解决方案提供商对此做出分析,运用新技术,推出了一些安全防御解决方案,并且提出了一些可行的安全防御建议,供大众参考。
持续跟踪分析
在近期的一些勒索事件中,尽管大多数的勒索软件犯罪组织并没有特定的攻击目标,但是,赛门铁克的安全团队发现,一部分犯罪组织已经将攻击目标转向特定企业,试图通过破坏企业的整体运营以获得巨额赎金。在今年年初,一家大型企业所遭受的精心策划的勒索软件攻击事件正是犯罪组织针对特定企业发起攻击的典型案例。在此类针对企业的攻击中,攻击者像网络间谍一样拥有高级专业知识,能够利用包含软件漏洞和合法软件的攻击工具包侵入企业网络。勒索软件攻击者与网络间谍之间并无区别,他们都是利用服务器上尚未修补的漏洞,在企业网络中获得立足点。通过使用多种公开的黑客工具,网络攻击者能够看到企业的网络结构,并使用未知的勒索软件变种尽可能多地感染企业内的计算机。
此前,卡巴斯基也对勒索攻击事件进行过持续的跟踪分析。卡巴斯基发现,这种勒索软件感染事件并非仅出现在局部地区,而是全球性的。因此,卡巴斯基提出了打击勒索软件的倡议,表示“打击这种全球威胁需要国际间合作”。
不断爆发的勒索软件攻击对企业造成了相当严重的影响,所幸企业的关键系统和大部分被勒索软件加密的数据可以通过备份恢复过来。未来,我们可能会看到更多针对资金雄厚的企业发起的勒索软件攻击,以索要巨额赎金。
令人担忧的趋势
赛门铁克最新的《勒索软件与企业2016》调查报告中指出,勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一。在2015 年,赛门铁克共发现100种新型勒索软件,创下历史新高。在被发现的新型勒索软件中,大多数为更危险的“加密勒索软件”,这类恶意软件可以通过强效加密锁定目标的文件。
无独有偶,卡巴斯基也发现,最近几年,勒索软件正在成为一个非常严重的问题。欧盟执法机关将其视为一种头号威胁,约三分之二的欧盟成员国正在对这种形式的恶意软件攻击进行调查。
同2014年4月至2015年3月这段时间相比,在2015年4月至2016年3月遭遇所有类型勒索软件攻击的用户总数增长了17.7%,全球受攻击用户从196.7784万个增长到231.5931万个;遭遇加密勒索软件攻击的用户数量增长了5.5倍,从2014年―2015年的13.1111万个增加到2015年―2016年的71.8536万个;至少遭遇一次勒索软件攻击的用户占所有遭遇恶意软件攻击的用户总数的比例增长了0.7个百分点,从2014年―2015年的3.63%增长到2015年―2016年的4.34%;遭遇加密勒索软件的用户占所有遭遇勒索软件攻击的用户数量比例显著上升,上升了25个百分点,从2014年―2015年的6.6%上升到2015年―2016年间的31.6%;遭遇锁定软件(锁定用户屏幕的勒索软件)的用户数量下降了13.03%,从2014年―2015年的183.6673万个减少到2015年―2016年间的159.7395万个;德国、意大利和美国的用户遭遇加密勒索软件的比例最高。
再来看一看遭受勒索软件感染后,用户交付赎金的数额变化情况。赛门铁克的《勒索软件与企业2016》报告中指出,从2015年年末至今,勒索软件的平均赎金增长超过2倍,从294美元增长至679美元。2016年,一种名为7ev3n-HONE$T的恶意软件(Trojan.Cryptolocker.AD)要求每台计算机支付13个比特币的赎金,换算约为5083美元(根据发现的时间),成为最高的勒索金额。
勒索软件的影响范围
根据赛门铁克的调查报告,美国成为感染勒索软件最严重的国家,占全球的28%。排名前十的国家还包括加拿大、澳大利亚、印度、日本、意大利、英国、德国、荷兰和马来西亚。现在,个人消费者仍然是勒索软件的主要攻击目标(57%)。但长期趋势表明,以企业为攻击目标的勒索软件攻击次数正在缓慢且稳步地增长。
或许有人会提出这样的问题,为什么目前勒索软件的主要攻击目标会有57%是个人用户,而非企业用户,攻击这些目标群体真会获得很多利润吗?企业对于自身信息应该更为看重,更应该愿意支付赎金,攻击它们应该比攻击个人用户更有利可图。赛门铁克公司大中华区首席运营官罗少辉表示,不同的黑客发动攻击时,所选择的目标不尽相同。有些黑客仅针对个人用户进行攻击,因为个人用户的安全意识比较低、防护措施也比较薄弱,黑客通过简单的勒索软件就能够轻易地实施攻击。同时,由于黑客对个人用户的勒索金额较小,个人用户为了尽快获得密钥会更加倾向于支付赎金。所以,现在的勒索软件攻击的对象大部分针对个人用户。
而针对企业的攻击,由于攻击规模相对较大,因此黑客需要采用一些专业攻击工具,花费较多的时间,因此黑客索要的赎金也是相当可观的。“我认为,正是由于勒索软件针对企业的攻击数量上升,企业才会更加关注安全防护,逐步增强安全防御措施。”罗少辉补充道。
赛门铁克的《勒索软件与企业2016》调查报告还指出,当前受勒索软件影响较大的行业为服务业(38%)、制造业(17%)、金融、保险和房地产业(10%),以及公共管理(10%)。
过去,黑客攻击的主要方式是通过电子邮件进行传播。但如今,黑客通常不再使用单一手法进行攻击,黑客也会在同一时间,利用电子邮件、社交媒体和短信等多种不同方式队攻击目标。此外,勒索软件会出现很多变种。因此,即便用户对电子邮件保持谨慎,也有可能通过其他途径感染勒索软件。正是由于黑客的攻击方式更加多样化,赛门铁克对勒索软件的攻击模式和途径进行统一分析与整理还存在一定困难,无法全面对其梳理,绘制一个全面的图表。
以邮件和URL传播为主
由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全的勒索软件风险研究报告同样显示,在综合部署电子邮件、URL、文件等多层防护机制之后,在防护边界对于勒索软件的检测率可以达到99%。
亚信安全技术总经理蔡N钦指出:“勒索软件作者会不断改变程序代码来绕过过滤程序,并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样,黑客也开始将恶意软件目标放到服务器基础设施上,与最近攻击医疗行业的‘SAMSAM’雷同,它们无需与 C&C 服务器联系也能加密档案。简言之,并没有万灵丹来防止这类网络威胁,企业用户需要尽可能地降低风险,并通过多层防护机制来进行检查和拦截。”
从亚信安全7月的《勒索软件风险研究报告》中还可以发现,在过去的10个月中,勒索软件主要是通过电子邮件、URL、文件这三种方式进行传播。其中,通过电子邮件传播的勒索软件数量出现了较为显著的增长,占比从不足5%增长到46%,仅次于通过URL传播的比例(52%)。
据亚信安全病毒监测实验室分析:电子邮件与URL是勒索软件传播者尤为喜欢的两种传播途径,主要是因为这两种方式简单有效,通过大规模群发的方式,不仅能够降低传播成本,还便于利用社交工程攻击的方式来吸引更多人点击。而且,这两种方式要比很多人想象的更有效果,因为黑客会利用漏洞攻击套件(Exploit Kit)攻击操作系统及应用程序的漏洞,若用户电脑没有更新补丁,只是浏览一般网页就可能会被勒索软件感染。
对此,赛门铁克也提出了几条建议:
1. 新型勒索软件变体会定期更新,赛门铁克建议用户及时更新安全防护软件,确保防御能力。
2. 软件更新通常包含最新发现的可被勒索软件利用的安全漏洞补丁,用户应该及时更新操作系统和其它应用软件。
3. 电子邮件是感染勒索软件的主要途径之一。赛门铁克建议用户及时删除所收到的任何可疑邮件,特别是包含链接或附件的邮件。
4. 谨慎对待任何建议启用宏查看内容的Microsoft Office电子邮件附件。若无法确定电子邮件的来源是否可信,不要启用宏并立即删除该邮件。
5. 应对勒索软件攻击的最有效方式是对重要数据进行备份。攻击者通过对重要文件进行加密,使受害者无法访问。如果受害者拥有备份副本,可以在清除感染后立刻恢复文件。
与此类似,卡巴斯基也提出了一些安全解决方案和建议:
1. 必须进行数据备份。越早地将备份当作是日常使用计算机时必须做的事,能够越早地对各种类型的勒索软件免疫。这与赛门铁克给出的第五条建议类似。
2. 使用一款可靠的安全解决方案。使用安全解决方案时,不要将高级安全功能关闭。通常,这些高级功能能够基于程序的行为检测最新的勒索软件。
3. 保持计算机上的软件更新。大多数常用的应用程序(Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office)和操作系统(例如Windows)都具有自动更新功能。保持自动更新功能开启,不要忽略这些应用程序安装更新的请求。
4. 当心自己从互联网上下载的文件,以及通过电子邮件收到的文件。尤其是来自不受信任来源的文件。换句话说,如果你想要下载的是一个mp3文件,但是却得到了一个扩展名为.exe的文件,那这个文件绝对不是音频文件,而是一个恶意软件。要确保下载的内容没有问题,最好的办法是检查其扩展名是否正确,同时要确保其能够通过反病毒解决方案的扫描。
5. 如果某些原因导致你的文件被勒索软件加密,并且要求你支付赎金,请不要支付。你付给网络罪犯的每一分钱都会增强他们利用这种网络犯罪形式获利的信心,而这些钱会被用来制造新的勒索软件。
同时,很多安全解决方案提供商,每天都在为对抗勒索软件这种威胁努力工作。有时候,安全解决方案提供商开发出一些针对某些特定勒索软件的解密工具,并且通过同执法机关合作,它们可以获取到特定恶意软件家族的加密密匙,可用帮助遭受勒索软件加密的用户来解密被加密的文件。最后一点,制造、传播,以及索要赎金解密文件等行为,在全球大多数国家都属于犯罪行为。如果遭遇攻击,请向警方报案,以便开始调查。
健全防御机制
当企业中的一台电脑(或智能设备)感染了勒索软件后,如果员工将其接入其他商业或者家庭网络中,是否意味着采用该网络的相关设备也会陷入勒索软件的威胁之中?对此,罗少辉表示:“部分勒索软件会经由感染的终端扩散传染至局域网和互联网上的其他设备,这主要由勒索软件的具体行为决定。尽管无法完全确定这种情况的发生,但采用该网络的其他电脑或者智能设备陷入勒索软件的威胁的可能性非常高。部分勒索软件自身会在感染用户电脑后进行扩散,从而使相连设备感染病毒,以此达到勒索更多赎金的目的。赛门铁克建议,当发现一台终端感染勒索软件后,立刻将该终端与网络隔离,减少大范围感染的几率。”
在中国“互联网+”时代背景下,每个企业的发展都与互联网息息相关,每个企业都参与云计算或者享受着云服务。随着云应用的增长,云安全也变得尤为重要。近日,赛门铁克公司宣布与北京神州云科信息服务有限公司(以下简称云科)开启全面合作,共同打造企业云安全管理服务平台,应对中国市场不断激增的云和信息安全需求。
如今的安全防护已经从终端防御过渡到云端防御,赛门铁克是否有更好的架构或技术,能够从云端或者源头防控勒索软件等安全威胁呢?笔者就此询问了赛门铁克公司大中华区总裁威,他表示:“由于客户的规模不同,因此采取安全防护的方法也有所不同。许多机关单位、金融机构,或者大型企业,平时十分重视对于终端安全的维护,也会配备安全设备和人员进行全方位安全防护。”威补充道:“许多中小型用户,在IT方面的金钱和人员投入相对较少,一旦遇到恶意程序入侵或发现漏洞,很难及时实现终端防护。因此,中小型企业便可以将终端安全防御放在云上,借助云供应商的服务实现终端防护。云科拥有专业的安全团队,能够在云端为中小型企业提供安全服务,并对相关安全策略进行调优,以此来为中小企业提供更好的安全保障。如今,黑客攻击的手段不断更新,对于中小企业来讲,如果仅依靠一到两位安全人员进行安全管理,防护的效果较弱,也更容易受到黑客的攻击。因此,云安全服务能够为中小企业提供较为完善的安全保障,去弥补中小企业IT投入不足的问题。”
在防御策略上,很多安全解决方案提供商都认为要构建多层防御机制。赛门铁克的安全产品及解决方案采取多层防护,能够最大限度地降低勒索软件的感染率。亚信安全提醒企业用户,要将勒索软件治理摆在更重要的位置,并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制,以保护企业信息资产的安全不受侵犯。
赛门铁克所提供的综合策略能够在三个阶段抵御勒索软件的入侵:
1. 预防:电子邮件安全、入侵防御、下载洞察、浏览器保护、主动防御漏洞攻击(PEP)。
2. 控制:基于签名的高级反病毒引擎和具有机器学习的启发式技术,例如SONAR和Sapient。
3. 响应:专门的事件响应小组可以协助企业应对勒索软件攻击并进行恢复。
亚信安全建议用户从以下几个维度入手,构建深层次的防御体系:
1. 文件:企业最好采取3―2―1规则,对重要文件进行备份,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。此外,亚信安全还推出了针对勒索软件加密文件的解密工具,可以有效应对CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索软件及其变种的加密行为。
2. 电子邮件和网页:部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术,侦测并封堵通过电子邮件和网页进行攻击的勒索软件。
3. 终端:少部分勒索软件可能会绕过网络/电子邮件防护,这也是为什么终端安全防护十分重要的原因,终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版(OfficeScan)的Aegis行为检测功能可以检测部分的勒索软件加密行为,并能够对未知勒索软件的防御起到积极作用。
4. 网络:勒索软件也可能通过其他网络协议进入企业网络进行散播,因此,企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统,来阻止其渗透和蔓延。
5. 服务器:通过虚拟补丁防护方案,来确保任何尚未修补漏洞的服务器,有效防范“零日攻击”。
6. 网关:在网关层面进行有效拦截,是企业最经济的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式,但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口,还改进了和亚信安全深度威胁发现设备(TDA)及亚信安全深度威胁分析设备(DDAN)的产品联动,能够通过侦测、分析和拦截功能的融合,建立针对加密勒索软件攻击路径的有效“抑制点”。
支付赎金与部署安全防御措施的性价比探讨
从攻防成本的角度来说,中小企业受到恶意攻击后,再采取的相应安全防护措施所造成的成本,远比赎金价格更高。在这种成本压力之下,很多中小企业都会选择支付赎金。对中小企业而言,采用整套安全解决方案的成本会不会太高?威认为:“攻击者选择攻击目标与实施攻击的难易程度及赎金回报率有关。因此,许多黑客会选择更高级的攻击手段去攻击大型企业,以得到更高的赎金。”
网络附加存储(NAS)是一种整合的磁盘存储,它直接附加于网络上,比直接连接到服务器的存储更加高效。通过将文件服务器负担从应用服务器上移走,数据能够被集中的管理。此方案是中小企业、远程分支机构的理想解决方案。
基于HP ProLiant存储服务器家族的NAS解决方案,更加关注数据集中,在改善存储性能的同时可简化数据管理,与传统SAN解决方案相比运行成本更低。NAS解决方案的简约之道同样保护用户在HP产品方面的现有投资,它能够使用现有的HP通用硬盘驱动器,确保数据连续性,以及通过重复使用当前硬件来降低成本。
HP ProLiant 存储服务器:让NAS存储更加简单
HP ProLiant存储服务器经济使用、易于理解且部署简单,采用工业标准构件组成,可与企业现有的以太网基础设施架构相兼容;而通过基于Web的图形界面,使管理简单易行。HP ProLiant存储服务器实现了整合与集中的存储管理,降低了企业总体拥有成本,可以快速、轻松地扩展,满足未来的存储扩展需要。HP ProLiant存储服务器产品目前包括立式和机架安装式两种外形,可适应各种IT环境。
HP ProLiant立式存储服务器包括经济入门级HP ProLiant ML110 G2存储服务器,也包括中档的ProLiant ML350 G4p和ML 370 G4存储服务器。机架安装式存储服务器包括基于SATA的HP ProLiant DL100存储服务器解决方案;连接SCSI或SATA的中档HP ProLiant DL380 G4存储服务器解决方案;企业级HP ProLiant DL380 G4存储服务器(SAN存储机型)和企业级HP ProLiant DL585存储服务器NAS/SAN融合解决方案。部分HP存储服务器机型可以升级,包括利用HP ProLiant存储服务器iSCSI功能包软件提供的以太网数据块存储服务。其中,ProLiant DL380服务器采用单或双英特尔3.6 GHz处理器,性能十分出色。当用于连接SCSI或SATA的解决方案时,这款服务器可扩展到数TB的容量。DL380可灵活地部署为3款单机应用机型或1款NAS网关机型,而所有这些机型都可以通过iLO技术远程管理。
HP ProLiant存储服务器解决方案建立在两个领先的商用平台基础之上――HP ProLiant服务器和Microsoft Windows Storage Server 2003操作系统,可以提供时间点数据拷贝、复制、服务器集群,以及实施软、硬件配额的管理功能等。HP ProLiant存储服务器可快速在以太网网络上安装,支持多种协议的文件共享,并可无缝迁移到新的系统,更为中小企业和远程办公室提供更多帮助。同时,HP服务提供全面的支持――包括软件与硬件支持,复杂的IT管理,以及全面的合作伙伴辅助服务。
同时,HP ProLiant存储服务器iSCSI特性包将iSCSI目标功能添加到专为中小企业设计的HP存储服务器(NAS)产品中,能够在集中管理且可轻松扩展的存储平台上为应用服务器提供文件、打印和块服务,并具有合理的价格、强大的性能,降低了存储整合的入门要求,充分利用以太网方面现有的专业知识来进行存储整合,无需投资并构建光纤通道基础设施方面的知识,便能够享受其优势。HP ProLiant存储服务器iSCSI特性包经过Microsoft Exchange 2000和2003服务器以及Microsoft SQL 2000 和2003服务器的验证,在Oracle数据库9i和10g上经过认证。现在,行业用户可以利用ProLiant存储服务器可以轻松简化存储了,并为您的存储提供强大保障。
如NAS一样轻松销售文件和打印解决方案
无论企业的规模大小,都需要安全、可靠的文件整合和打印服务。随着数据量年复一年地快速增长,通用服务器将不堪重负。基于HP ProLiant存储服务器的HP NAS文件及打印解决方案,将文件整合和打印服务与托管在异构环境下的应用程序相分离,并为此提供了理想的网络连接存储(NAS)解决方案――简单,经济。HP ProLiant存储服务器降低了复杂性,增强了服务器的性能,消除了由于应用需要而导致的访问中断,并大幅度提高了客户端文件和打印服务的可用性。
