时间:2023-09-18 17:34:16
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络安全解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;vpn 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。 图2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 vpn(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 图3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
关键词:企业网 网络安全 安全体系 入侵检测 病毒防护
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二) 企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
图4-1 企业网络安全体系应用解决方案
结 语
本文通过对企业网络特点及所面临的安全风险分析,从网络安全系统策略与设计目标的确立出发,依据企业网络安全策略设计,构建相对比较全面的企业网络安全体系,并参照设计、构建的企业网络安全体系,给出了一个较全面的企业网络安全解决方案。对促进当前我国企业网络普遍应用情况下,企业网络安全问题的解决,具有重要意义。
参考文献:
[1]方杰,许峰,黄皓.一种优化入侵检测系统的方案[J.]计算机应用,2005,(01).
[2]李莹.小型分布式入侵检测系统的构建[J].安阳工学院学报,2005,(06).
1企业网络安全需求分析
1.1网络安全概念及特征
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
2.2.4部署漏洞扫描系统方案漏洞扫描是基于漏洞数据库,通过扫描检测远程系统或本地系统漏洞行为,与防火墙、IDS配合以提高网络安全性,扫描对象包括网络、主机和数据库。漏洞扫描运用的技术有主机在线扫描、端口扫描、操作系统识别、漏洞监测数据采集、智能端口识别、多重服务检测、系统渗透扫描等。漏洞扫描系统部署方式包括独立式部署和分布式部署。前者适于比较简单的网络结构,例如电子商务、中小企业等;后者适于复杂、分布点多、数据相对分散的网络结构,例如政府、电力行业、金融行业、电信运营商等。图1为采用独立式部署的漏洞扫描系统方案。
第二届国家网络安全宣传周近日在北京中华世纪坛如期举行,本届宣传周沿用首届“共建网络安全,共享网络文明”主题。期间,腾讯与启明星辰联合宣布达成战略合作,并面向企业市场推出全面的终端安全解决方案――云子可信网络防病毒系统,建立国内强强联合的企业安全服务战略联盟,为“互联网+”国家战略落地提供终端安全服务。
安全行业加速整合
启明星辰副总裁兼首席战略官潘柱廷表示:“新时期企业安全形势已经发生了巨大变化。企业防御需求,从合规性需求向内在需求变化,而网络入侵等安全威胁也越来越体系化、形势更加严峻。”启明星辰、腾讯的战略合作,凸显中国自主安全技术联盟的实力,符合国家网络强国的战略方针。
过去,无论是企业终端安全,还是用户终端安全,不同领域内的安全厂商虽均有推出自己主打的安全产品,但国内的企业终端安全服务市场分散,行业整合度不高,企业终端安全产品在安全防护上大多是孤军奋战,不同厂商之间难以形成产品联动,鲜有及时联动的完整的企业终端安全解决方案;近两年频繁发生的企业网络遭受攻击、用户数据泄露事件,引发安全厂商对企业终端安全问题的关注。
腾讯副总裁马斌认为,互联网化呈现了三个业态,分别是智能化、数据化和实时化,其中最重要的一点就是互联网的安全,腾讯认为互联网+安全才能更加有效的保证互联网化的顺利进行。
面对互联网的发展与变化,各行各业都在进行朝向“互联网+”的转型,无论是国家级,企业级或是个人用户都在做“互联网+”的建设,而在云、管、端的每个层面都需要构筑完善,“互联网+”要如何才能在安全的生态环境下进行是一个重要的课题,启明星辰首席战略官潘柱廷表示:“安全在‘互联网+’的进程中已经不止是‘加’的关系,而是‘乘’的关系。”反过来说,如果对网络安全的问题没有投入足够的注意力,那么之前在互联网方面的积累可能会变成一种灾害,企业必须提升网络安全建设水平。
安全厂商需要各抒己长、协同合作给用户带来最好的网络安全解决方案。启明星辰首席战略官潘柱廷表示:“安全厂商不存在什么‘一招鲜’,而是需要做好自己擅长的,而后同其他企业协同合作一同完善网络安全体系。”
正如启明星辰副总裁欧阳梅雯所言:“企业级的市场很大,只有一家供应商是不健康的,只有多家供应商共同为用户服务,有竞争,有相互合作,也有追赶,才能为用户提供最健康的生态环境。我们希望和友商之间,通过良性竞争的方式让用户得到最安全、最实惠、最好的产品。”
在此背景下,腾讯与启明星辰的合作秉承“开放、联合、共享”的原则,通过开放腾讯安全云库的能力给启明星辰,结合启明星辰对网络安全的深层理解和安全产品研发能力,为国内企业级市场提供安全产品,并希望以此来推动“互联网+”的落地与演进。
优势互补
共筑企业安全生态圈
据了解,云子可信结合了启明星辰在企业级市场安全威胁管理方面近20年的深厚技术沉淀,以及腾讯在终端安全防护领域长达16年的深厚技术积累,可谓继承了双方的“最强基因”。马斌表示,云子可信是“双方打破壁垒,实现强强联合、优势互补,针对企业内网终端用户容易遇到的各类问题,提供一整套的完整终端管控安全解决方案。”
据了解,通过双方的技术结合,云子可信解决方案打通B端企业和C端用户,在全球首创了B端企业+C端用户双向沟通的高效管理模式――全景、全面、高效的全方位管理模式,构建了企业安全的新生态。
云子可信网络防病毒系统颠覆了传统企业安全防护产品的运营模式,首次采取“安全+管理”的一体化架构,并融合了腾讯TAV自主研发杀毒引擎、安全云库、云引擎等核心技术优势,以及启明星辰多年服务企业安全的运营经验,代表了中国自主企业安全的最好水平。
根据双方达成的战略协议,云子可信网络防病毒系统将由启明星辰负责产品和渠道运营,而腾讯输出引擎和云服务等核心技术。启明星辰是国内信息安全行业的领军企业,拥有横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域共计百余个产品型号,同时还是我国规模最大的国家级网络安全研究基地。启明星辰曾完成包括国家发改委产业化示范工程,国家科技部863计划、国家科技支撑计划等国家级科研项目近百项,拥有丰富的企业级安全产品设计、开发经验。
云子可信网络防病毒系统致力于为企业级用户提供终端的全面安全防护,并有以下特色:
云部署模式――云子可信网络防病毒系统采用了云部署模式,一方面通过检测特征云的方式,及时更新至病毒特征库;另一方面,为企业级用户提供了云查杀的模式,减少客户端PC的额外计算开销,提升用户的使用体验。
一键安全――云子可信网络防病毒系统充分考虑了终端安全产品使用习惯,摒弃了复杂的交互界面,提供一键式安全防护。
管理+安全――云子可信网络防病毒系统不仅仅是杀毒软件,针对企业内网终端用户容易遇到的各类问题,如机器变慢甚至死机、关键信息泄露、越权的网络访问等,也提供了相应的解决方案。实现了真正意义上的完整终端管控安全解决方案。
此外,云子可信的恶意代码分析技术即源于启明星辰ADLab――多年来一直保持亚洲地区CVE漏洞数量领先的地位,在恶意代码分析技术方面也有着深厚的技术积累。
腾讯安全则将全球最大的风险管理数据库――安全云库开放给云子可信,让这套终端安全威胁整体解决方案可以为用户提供强有力的安全检测能力,避免由于访问恶意域名导致的各类损失,维护用户的安全上网环境。腾讯自主研发的TAV反病毒引擎对于木马、病毒、蠕虫、僵尸程序等均有极高的识别和处理能力,通过云子可信结合云查杀的虚拟执行技术,可以对各类复杂甚至是未知恶意代码进行完美识别和查杀,同时保证终端用户的使用体验。
高性能网络安全解决方案供应商飞塔(Fortinet)近日新版“Security Fabric”架构。扩展后的新版“Security Fabric”架构可以帮助企业防御呈指数级增长的物联网网络威胁,为用户提供可见、可控、弹性、可集成的部署。这一架构的升级将有效防御日益普及的物联网设备带来的复杂攻击。
最近发生的物联网攻击事件表明,一些物联网设备可以被不法分子利用,扰乱数字经济正常运作。由于一些物联网设备缺乏基本的安全特性和管理功能,更让这些问题雪上加霜。
因为涉及从平板电脑到云端应用程序的众多设备和应用环境,所以对于需要保持数据安全的企业来说,如何构建合理的安全架构是一个重大挑战。当前一些针对端点的安全产品和平台安全解决方案缺乏监测物联网攻击所需的可见性和可控性,效果不理想。
飞塔首席信息安全官菲儿・奎德(Phil Quade) 表示:“当前,恶意网络攻击者越来越多地将目标指向数以亿计的在线物联网设备,使物联网成为危机四伏的风险地带。企业实施的安全解决方案必须能够识别和分析这些威胁,使其基础设施可以防御物联网带来的大规模攻击。现在,‘Security Fabric’架构可以使企业获得稳健的安全能力,提供可见性和自动化管理方式,使物联网安全防御更有效。”
要成功防护物联网和云的广阔覆盖范围,“Security Fabric”架构的部署可使企业组织机构间的防御协调一致,整个基础设施可以提供所有安全设施的可见性,包括网络分段和端到端防o的状态。为了增强企业基础设施抵御物联网威胁的能力,该架构具备三方面功能。
第一,该架构具备出色的学习能力。高度可视化是对物联网设备进行安全认证和分类、构建风险概况并根据识别的可信度分配物联网设备组的关键。作为“Security Fabric”架构的核心,FortiOS 提供对每个安全要素和企业网络组件的全部IT视角和可见性。这使IT管理能够识别并管理其基础设施内部关键节点的物联网设备和流量。
第二,该架构可以对网络设备进行分段管理。企业需要将物联网设备和通信分为策略驱动的群组,并授予特定物联网风险适合的基准权限。飞塔的内网分段防火墙支持企业对其网络和设备进行微分段,使IT系统能够根据特定设备类型和网络访问需求,采用分层安全策略。
第三,该架构可以对网络节点进行有效防护。“'Security Fabric”架构可以关联物联网安全事件和威胁情报,以便对物联网威胁做出同步响应。“Security Fabric”架构还可以对网络内部多个节点感染病毒的物联网设备进行隔离和修复,以遏制威胁传播并确保恶意流量无法波及重要的IT系统或企业数据。
“'Security Fabric”架构可以为全球大型企业的横跨工业应用和公用事业的关键物联网设备提供安全防护。
飞塔已打好持续创新的基础,其“Security Fabric”旨在提供基于智能的网络安全。借助基于智能的网络安全,企业只需将业务需求转化为同步的网络安全动作,无需人为干涉就能够自动执行物联网战略和运营。飞塔积极推动物联网安全创新的发展,并拥有数十项已授权和申请中的物联网安全专利。
在今年RSA大会上,菲儿・奎德在分析美国关键基础设施和关键资源(Critical infrastructure & key resources,CIKR)安全性的宏大标题下,并没有局限于技术的细节,而是从产业的角度力主政府与安全公司的融合与合作,并称之为一种“可持续发展的策略”。
如果你哪天早上上网看到一则因BYOD而引起的严重安全漏洞事件,并给企业造成损失,不要惊讶。
近两年来 iOS、Android以及Windows Phone平台迅速发展,移动互联网也得到了快速的发展,但随之而来的就是日益突出的移动互联网安全问题。
企业员工将自己的移动终端接入到公司网络用于日常工作的行为被称作BYOD(Bring Your Own Device,即个人自备设备),这已经很普遍。
但对于企业IT部门来说,BYOD不仅仅带来移动设备管理难题,更大的挑战在于如何针对BYOD制定安全策略,实现企业网络的机密性和完整性的需求将更加迫切。
正是看中这一市场的潜力,目前国内外相关安全厂商纷纷推出了企业级移动解决方案,企业级移动安全市场正在升温。
BYOD给企业带来安全困扰
知名应用交付网络(ADN)领域厂商F5 Networks公司今年2月的一份报告显示,BYOD、虚拟化、越来越复杂的攻击手法正在让企业安全面临越来越大的问题。
这份F5 Networks公司年度RSA会议上的安全趋势调查报告指出 ,近半的受访者承认传统的安全防御措施在面对这些新技术趋势中越来越无力,三分之一的受访者称他们的安全系统的敏捷性比较欠缺。
受访者们均表示BYOD对企业安全决策是一个关键性影响因素,很多受访者承认他们还没准备好抵御BYOD相关安全问题的措施。此外,三分之二的受访者表示BYOD对安全存在很大的影响。
显然,因为风险和威胁的不断变换和提升,员工行为、业务优先级和基础设施等因素都对安全措施提出了更长远的要求,找到合适的安全管理工具已经是必然和必须的了。
伴随随IT消费化在企业应用中的进一步渗透,企业员工携带移动设备办公BYOD趋势早已推波助澜,移动以独特的创新方式全方位冲击着企业IT的变革,不可置疑,除满足企业业务需求之外,对于解决突如其来的企业IT安全问题也诸将给企业带来一定的挑战。
卡巴斯基实验室亚太区技术总监王南认为,企业IT管理员的基础职责也开始发生变化,面临的困难也越来越多,除了每天应对各种针对企业的复杂恶意软件的攻击之外,现在还面临安全复杂性的挑战,如:企业员工在全球任何各种地方均可以通过智能手机和平板电脑访问企业网络,企业员工期望使用自己的移动设备和计算机完成工作,企业机密数据在企业网络内自由交换,或者在网络外通过笔记本电脑和USB存储设备交换,查明并修补用户应用程序和操作系统中的安全漏洞等。
毫无疑问,这些挑战是BYOD时代所特有的,BYOD为IT管理员的工作增加了巨大的复杂性,IT管理员疲于应对各种安全问题,不得不为每种安全问题考虑和购买最新的工具,其中包括移动设备管理、系统漏洞管理、数据加密保护等安全解决方案,这些最新工具和现有的反恶意软件技术捆绑在一起,让IT管理员管理网络更为复杂,而且安全性并没有得到保障。
企业级移动安全市场成竞争热点
正是看中这一市场的巨大需求,目前国内外厂商纷纷推出BYOD安全产品。
沉寂三年,国际安全厂商卡巴斯基于3月26日,新一代企业安全解决方案,据悉,此次新品主要面向企业及行业用户,该全新解决方案新功能和采用的新技术主要有:移动安全和设备管理系统,数据保护加密系统,端点控制工具,系统管理平台,网络安全管理中心以及业内领先的反恶意软件保护。
卡巴斯基技术开发(北京)有限公司副总经理郑启良表示,2012年我国移动用户数量已成为世界首位,而恶意程序样本已经比2011年增加25倍,而APT攻击已经严重威胁到企业的数据安全。
郑启良介绍,卡巴斯基此次推出的网络安全解决方案正是应对了企业这一需求,此解决方案是一单的统一安全平台,通过一体技术、一个平台和一次成本投入能够为企业提供及时有效的安全保护。
而企业级安全市场赛门铁克也于今年1月赛门铁克4.0战略,赛门铁克中国区总经理余亮表示,“现在,很多人习惯带着自己的手机、移动设备去企业办公,如果不能保证这些移动设备、移动应用和数据的安全,那么个人在使用这些移动设备访问企业内的数据时,就会给企业的信息安全带来威胁。超越BYOD,赛门铁克又提出了一个新的理念,就是BYOE(Bring Your Own Everything)。在BYOE时代,信息安全将成为信息系统及应用的基础,是重中之重。”
在2013年世界移动通信大会上,三星公司推出了一款移动安全软件KNOX。与此同时,三星公司和移动软件管理公司Red Bend软件公司合作,推出BYOD的True解决方案。
此外,国内安全厂商也已经看见这一商机,网秦、华为等公司已经开始行动。
早在去年5月,网秦公司宣布已经完成对北京国信灵通网络科技有限公司55%股份的收购,借助此项收购,网秦将实现在企业级移动应用市场的布局,成立于2005年的国信灵通主要为企业级客户提供各种移动服务,BYOD安全管理也是其服务之一。网秦CEO林宇曾在年初对记者表示,企业级安全市场是网秦2013年的主要发力点之一。
【关键词】企业网络 深度防御 安全管理
信息技术快速发展,计算机网络的应用日益广泛,企业的生产和管理越来越依赖于网络。但是,网络本身所具有的一些比如联结性、开放性等属性,导致其难以彻底避免一些恶意行为的攻击。一方面给企业带来巨大的利益损失,另一方面也影响了企业正常生产办公。因此,怎样提升企业网络的可靠性,逐步受到企业管理者的重视。
一、企业网络系统的安全现状
随着企业信息化管理的发展,企业的网络规模也在持续增加,随之增大的是企业网络的信息安全风险。由于企业在网络建设方面的投入,新的信息终端和交换设备不断增加,因此其内部网络所受安全事件的威胁的几率也在随时增大,大型的企业往往具有不少的分支机构,造成了网络设备分布的地理位置比较分散,网内计算机安全问题亟待解决,这是所有大型企业必须面对的问题。所以,企业必须构建一套信息安全管理软件,才能实时监控网络内部的各终端设备,使之受到尽可能小的安全威胁。此外,无论是核心网络还是分支部门的网络,都必须定期进行统一的补丁分发与移动存储管理,以保障基本的信息安全。
二、企业网络安全实现的目标
结合现阶段企业内部网络的安全现状,企业网络安全需实现的目标至少包括:严密监视来自业务支撑网外部的各种类型访问,必须掌握每一次访问的来源、所读取的具体对象和访问的具体类型,一方面支持合法访问,另一方面杜绝非法访问;对异常访问能够做到预防和处理;对流经支撑网内的所有数据包进行有效监控,实时分析这些数据包的协议类型、目的地等,从而防止信息安全隐患。有效监控的内容有:对网络中的黑客入侵行为进行检测;对各种主机设备的数据流量进行实时分析,实现信息安全的动态防护;结合具体的标准和方法对企业内部网络信息安全进行周期性评估,及时补救网络安全弱点,排查安全隐患。
三、企业网络安全系统的设计及实现
(一)安全规则层的设计
在这一层次中,为了保证企业内部运营中的网络资源及客户机的安全,首先结合企业实际情况,定义一系列规则,当发生违反这些规则的网络行为时,则触发系统的风险应急机制。在制定规则时,对每一类网络行为对企业信息安全造成的风险归纳为不同的等级。制定这些等级的一句是该企业运营对这些信息在机密性、可用性、完整性及不可抵赖性的具体要求。在所指定的等级之下对企业信息安全造成威胁的行为进行分类。
与此同时,对攻击所带来的风险进行等级划分,依次划分为低级风险、中级风险与高级风险。所谓低风险,指的是网络系统遭受入侵之后,并不会造成任何资金流失,也不会扰乱运营管理。所谓中级风险,指的是网络系统遭受入侵之后,会造成轻度资金流失,在一定程度上扰乱运营管理。所谓高级风险,指的是网络系统遭受入侵之后,会造成比较明显的资金流失,极大程度地扰乱运营管理。
(二)安全措施层的设计
在这一层次中,主要设定在网络安全之下所具体选用的安全技术与采纳的实施方法,结合企业信息系统的安全目标,结合安全规则层所指定的安全事件和安全等级,给出有针对性的解决方案。安全措施层对于一种类型的安全行为可以给出多个安全方案,举例来讲,在发现有用户进行非法授权的访问操作时,一个可能是由于遭受了网络攻击,另一个可能则是用户的误操作。此时可以采取的方案包括对用户发出警告、阻止连接和强制关闭主机等。
(三)安全决策层的设计
在这一层次中,主要任务是结合具体的方案来解决信息系统安全问题。依旧延续安全措施层的实例,当用户的非法授权访问时首次发生的,则方案(1)对用户发出警告则可以解决;而假若该用户反复进行非法访问,则方案(3)强制关闭主机效果最好。
四、企业网络安全解决方案实例
本文选择安全防御系统中相对重要的功能模块--重定向模块,并阐述其具体设计方法。企业网络在遭受外界攻击时,首先丢失的是被黑客扫描窃取的内部主机的操作系统、服务、端口等信息。在获取这些信息之后,便会通过缓冲溢出或者蠕虫等方法找到主机本身所存在的安全漏洞,对主机系统进行操纵。本文引入蜜罐技术,所设计的重定向模块的主要功能便是在攻击发生的初期,快速隔断为企业网络带来安全威胁的连接。具体实现方法为,该模块首先在网络驱动接口规范中间层进行数据过滤,获取从外部流进企业内网主机的数据包,针对具体类型的端口,以网络主机事先所维护的可疑端口表,对这些数据包进行过滤,一旦找到对可疑端口进行访问的数据包,则将其判定为一次可疑访问,此时,修改该数据包的相关参数和属性,同时,把此次访问列为可疑访问,并引导进通信队列之中,这些数据包直接越过系统的上层协议,转发至蜜罐来继续跟踪和分析。以相同的方法将蜜网所反馈的数据处理后发送给可能的攻击者。
为了使蜜罐系统能够有更加逼真的模拟效果,本设计在蜜罐系统上完全仿照实际网络系统的主机而部署相同的OS、协议栈、以及相关服务,从而在最大限度上使蜜罐与实际系统中的客户机或服务器相类似。具体的操作为,启动蜜罐设置系统,进入蜜罐的配置菜单。
在进行配置的时候,使用蜜罐系统所提供的menu命令进入界面,结合企业网络的实际特征,本文所配置的内容有:管理机IP、蜜罐IP、TCP连接以及Secure Shell管理连接等。然后在蜜罐系统对客户机进行模拟,并配置诸如办公软件等常用软件,对服务器进行模拟,开通各类网络应用服务,从而基于典型服务端口来对多个可以访问进行引诱。同时,出于进一步迷惑网络攻击者的目的,还要设置成允许网络攻击者进行更多的操作,而蜜罐系统中并未存储企业真正的数据与信息。在对具体连接方式进行设置的时候,通过custom使之能够链接vmnet2,并通过蜜罐系统抵达外网。在安装Sebek时,考虑到其Linux版本与Windows版本,分别进行不同安装文件的配置。
总之,企业在日常的信息化管理中,必须通过合理有效的安全措施,来避免由于网络安全而带来的不必要经济损失。
关键词:安全连接;防火墙;VPN;SSL
Abstract:With the continuous development of the Internet,the company's internal network size is also increasing,mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network,thereby protecting the internal security of the information.
Keywords:Secure connection;Firewall;VPN;SSL
1 引言
互联网络发展至今,改变了人们的生活方式和企业的经营方式,通过Internet可以进行交易、查询、传递信息及视频互动等,更成为企业快速获得信息的重要渠道。随着网络范围、用户数量的不断扩展,企业的网络安全问题日趋严重,由于计算机系统的安全威胁,给组织机构带来了重大的经济损失。在所有安全威胁中,外部入侵和非法访问是最为严重的安全事件[1]。
随着互联网的发展和攻击者工具与手段的升级,网络管理需要考虑整个安全体系的综合协调性。随着网络技术的迅猛发展,Internet已成为主流的低成本通讯构架,它给人们的生活和工作带来了极大方便。但是,在开放式因特网通信中,信息传输的安全性和私密性却得不到很好的保障。VPN(Virtual Private Network,简称VPN)技术[2]是当前广泛应用的安全传输技术之一。将防火墙与VPN结合应用的技术可以解决这样问题,从而提升企业内部网络的安全性。
2 VPN网络的安全设计
2.1 VPN系统的网络结构
VPN即虚拟专用网络,是通过公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
特点:
(1) 安全保障:VPN通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有和安全性。
(2) 服务质量保证(QoS):VPN可以不同要求提供不同等级的服务质量保证。
(3) 可扩充性和灵活性:VPN可支持通过Internet和Extranet的任何类型的数据流。
(4) 可管理性:VPN可以从用户和运营商角度方便地进行管理。
2.2 VPN系统的关键技术
(1) 安全隧道技术
(2) 用户认证技术
(3) 访问控制技术
2.3 VPN系统的工作流程
VPN系统建立安全连接的主要流程如下:
安全连接的建立流程
当安全连接建立之后,客户端就可以和内网中的主机在传输加密子模块的控制下进行安全通信,从而形成了一个专用网络。
3 VPN与防火墙结合的安全解决方案
3.1 网络边界安全解决方案
防火墙是一个网络的安全核心,其演变经历了五代。第五代,即新一代防火墙超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统。
(1) 防火墙在企业各机构间的部署
防火墙被部署在企业各机构的内部与外部网络之间。内部和外部网络被完全隔离开,所有来自外部网络的服务请求只能到达防火墙,防火墙对收到的数据包进行分析后将合法的请求传送给相应的内部服务主机,对于非法访问加以拒绝。内部网络的情况对于外部网络的用户来说是完全不可见的。由于防火墙是内部网络和外部网络的唯一通讯信道,因此,防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。
边界防火墙通过源地址过滤,拒绝外部非法IP地址,有效地避免了外部网络上与业务无关的主机的越权访问。防火墙可以只保留有用的服务,将其他不需要的服务关闭,可将系统受攻击的可能性降低到最小限度。边界防火墙可以进行地址转换工作,外部网络不能看到内部网络的结构,使黑客攻击失去目标。
(2) 防火墙在企业各机构内部的部署
企业的计算机网络是一个多层次、多节
点、多业务的网络,各节点间的信任程度较低,但由于业务的需要,各节点和服务器群之间又要频繁地交换数据。在这样一个拥有很多分支机构的大型企业网络环境中,保证网间安全是非常重要的。大型企业在其每个分支机构和总部之间的网络连接都必须设置防火墙,确保内部子网间的安全性。在同一机构的各个部门也要根据具体情况设置部门级的防火墙。企业内的主要部门都有自己独立的防火墙,实现部门内网和外部的隔离。各部门内部的对外访问由各自的防火墙控制,同时部门的防火墙也防止了部门外部试图对部门内部的访问。
企业计算机网络中设置多层次的防火墙后,一方面可以有效地防范来自外部网络的攻击行为,另一方面可以为内部网络制定完善的安全访问策略,从而使整个企业网络具有较高的安全级别。
3.2 企业各个所属机构之间的数据安全传输解决方案
通过采用SSLVPN技术,利用Internet可以构建一个基于广域网的、安全的企业私有网络。VPN使公司所有网络在Internet上组成一个安全的、虚拟的大局域网,企业建立VPN之后可以在广域网环境下建立和局域网环境下一样的多种应用,包括分布式OA、分布式ERP、分布式CRM、分布式财务管理等。
采用SSL技术通过在公网建立加密的数据隧道,所有数据经过高强度、不可逆的加密及动态密钥技术进行传输,有效地保证了数据的安全性,严格地讲通过SSLVPN传输数据比直接在专网上传输明码数据的安全性更高。
4 小结
本文给出的安全方案为企业的网络安全应用提供了一个借鉴和参考。在这些系统的实现中,可以根据应用的不同采用适合的网络安全辅助设备,构建以防火墙为核心的SSLVPN网络安全体系架构,提高内部网络的安全系数。
参考文献
[1]Rebecca Gurley Bace.入侵检测[M].陈明奇,吴秋新,等,译.北京:人民邮电出版社,2001.
[2]高海曲,薛元星,等.VPN技术[M].机械工业出版社,2004.
[3]马春光,郭方方.防火墙、入侵检测与VPN[M].北京:北京邮电大学出版社,2008.
关键词:网络安全,用户意识,解决方案
1、网络安全的重要性
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用书序、数论、信息论等多种学科。网络安全是指网络系统等硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常地运行,网络服务不中断。具体而言,网络安全要:保护个人隐私;控制对网络资源的访问;保证用户秘密信息在网络上传输的保密性、完整性、真实性及不可抵赖;控制不健康的内容或危害社会稳定的言论;避免国家及企业机密泄漏等。
随着企业信息化建设的飞速发展,网络数据量的迅速增长,网络安全问题已经越来越受到人们广泛的关注,各种病毒花样繁多、层出不穷;系统、程序、软件的安全漏洞越来越多;黑客们通过不正当的手段侵入他人电脑,非法获得信息资料,给正常使用网络的用户带来不可估计的损失。很多企业及用户就曾深受其害。
2、 破坏网络安全的因素
破坏网络安全的因素主要包括物理上的、技术上的、管理上的及用户意识几个方面。
从物理上讲,我网络安全是脆弱的。就如通信领域所面临的问题一样,网络涉及的设备分布极为广泛,任何个人或组织都不可能时刻对这些设备进行全面的监控。任何安置在不能上锁的地方的设施,包括有线通讯线,电话线,局域网,远程网等都有可能遭到破坏,从而引起业务中断,如果是包含数据的软盘,光盘,主机等被盗,更会引起数据的丢失和泄漏。
从技术上讲,首先,系统必须提供一定的途径以许可外系统的访问;其次,系统必须有足够的能力对这些访问进行控制。如果控制技术本身有缺陷,就有可能被攻击者利用。如在网络上广泛应用的Windows2000、WindowsXP等系统都存在自身的缺陷。最后,即使控制技术本身并无缺陷,在选用控制系统时还有一个平衡的问题;控制太严,合法用户的正常使用将受到影响;控制太松,就会有漏洞。要做到恰到好处的控制并不是一件容易的事。
从管理上说,没有一只高效的网络安全管理队伍,没有一套网络安全技术培训和用户安全意识教育机制,也是造成网络不安全的一个重要因素。上百个用户的网络就靠一两个网络管理员来维护,势必造成头痛医头、脚痛医脚的局面。
下面就重点分析一下用户意识因素:
大多数系统是以用户为中心的。一个合法的用户在系统内可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。然而,更多的安全措施必须由用户自己来完成,比如:
2.1码控制
一个合理的要求是,由用户来管理自己的登录密码。系统管理员可以更改用户的密码,但不能读取用户的密码。用户必须对自己密码的安全性、保密性负责。一个不好的(或不安全的)密码事实上不能起到密码的作用。在下面的分析中,将进行具体的分析。同样,如果不能保证密码的保密性,自然密码也是虚设。
2.2文件管理
用户对自己的文件必须负责。对于一般的系统和应用,文件的创建者拥有对文件的全部权限,包括将权限分配给他人的权限。如果缺省设置是文件创建后,仅有文件创建者拥有对文件的权限,其他人必须显示得到权限分配,问题会小些。然而,多数系统(Microsoft、Windows)对文件权限的设置是:只要没有显示的限制,都是可以访问的。这样,对文件访问的安全问题实际上是交给了用户自己管理。
2.3运行安全的程序
目前在系统一级上,尚无对病毒的有效控制。什么程序是安全的,什么程序是可能包含病毒的,只能由用户自己判断。一个用户只要有写文件、运行文件的权利,就有可能无意中给系统装上木马程序。
2.4保持警惕
这两年,电子邮件病毒日益猖獗。同前一个问题一样,电子邮件的安全也只能由用户自己控制。在浏览网页时,也可能遇上陷阱,这些都要求用户保持警惕。
3、网络安全的解决方案
网络的安全不是单纯的技术问题,他和系统的管理维护制度方面密切相关。要实现完整的企业网络安全性,首先要制定一个完整的企业安全策略。一个完整的企业网络安全策略涵盖的内容很多,整个网络系统的安全性也不仅依赖于安全可靠的网络操作、应用系统、网络设备的安全性。
3.1需求、风险、代价平衡分析的原则
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性和定量的分析,然后制定规范和措施,确定本系统的安全策略、保护成本、被保护信息的价值必须平衡。
3.2授权、认证原则
对那些确实需要保护的企业网络资源(包括设备、软件、数据等),保证在对这些资源访问前,用户必须经过授权和认证,符合身份验证和授权的用户才能够获得相应的访问权限。
3.3一致性原则
主要指只有应该具备访问权的人才能够获得相应的访问资源的账号。这里要特别注意因为员工更换部门或者离开公司,其相应的权限和账号也要相应取消。
3.4综合性、完整性原则
运用系统工具的观点、方法分析网络安全的问题,并制定具体措施。一个较好的安全措施往往是多种方法综合应用的结果。
3.5建立安全监控、报警手段或者机制
可对网络的安全策略是否得到正确的实施,以及对违反安全策略的行为予以报警,有助于确保整个网络系统的安全性。
3.6易操作性原则
如果措施过于复杂,对人的要求过高,本身就降低来安全性。
3.7适应性、灵活性原则
安全措施必须能随网络性能及安全需求的变化而变化,要容易、适应修改。
在2007年,Microsoft ForeFront家族产品逐一亮相,ISA Server 2006又一次成为人们关注的对象。这一次它不是单打独斗,而是Microsoft ForeFront阵营里的前排哨兵。作为微软企业安全解决方案的一部分,ISA Server 2006的特性能否满足企业网络的安全需求呢?
企业对网络安全的需求
综合性
随着近两年越来越多的恶性网络安全事件的爆发,企业的信息管理者已经感觉到网络安全问题不再仅仅是网络中某个环节上的问题,在很多时侯,企业需要全面、综合地提高自身网络的安全性能。
防火墙、病毒防护、VPN连接、身份验证、访问控制、流量控制、服务器、客户端安全集中管理、补丁管理、事件报告及报表等网络安全涉及到的内容,虽然不能完全综合到一款软件上,但一个好的网络安全产品的综合性是不可或缺的。网络安全管理者都不希望每种网络安全方面的部署都要新架一台服务器来作为支持。
集成性
没有一个网络安全管理者希望,在企业的网络安全的部署中,有一款产品与已经部署好的或者即将部署的产品之间互相对立、格格不入。相反,他们都希望各种产品能相互沟通、相互依存,各自的功能和产生的数据信息能被其它产品所利用,各类产品可以紧密地集成在一起,让企业网络安全更清晰可控,更便于部署和管理。
网络部署中涉及到许多硬件、软件服务商,在各类产品之间可能存在着意想不到的网络安全隐患。因此,在部署中需要尽可能地使用产品线比较丰富和完善的厂商的产品,增强产品间的集成性,可以从网络建立的初期就减少“非受迫性”网络安全事故。
易用性
众所周知,IT部门的工作十分忙碌。如果网络安全产品的复杂度很高,那么IT技术人员就不得不牺牲更多的休息时间去适应企业网络安全方面的新产品。使用易用性高的产品则可以减少IT技术人员在学习新知识中花的时间,从而更好地专注于企业的网络安全服务。
另外,并不是每一个公司都有强大的技术团队来为网络安全提供保障,一旦网络安全事件发生,会给企业造成很大的损失。使用一些易用性强的产品,将对企业网络高效运行提供一定的保障作用。
可用性
如果企业部署的安全产品三天两头地Down掉,如一句俗语所说:“泥菩萨过河,自身难保”,那企业网络还有什么安全可言呢!所以,可用性是网络安全的最基本的要求。只有网络安全产品正常可用,它才能起到保护企业网络安全的作用。
病从口入,祸从口出。网络边界的安全是网络安全中很重要的一个部分。以上的分析表明,企业的网络安全问题需要一款好的网络边界产品。ISA Server 2006就是这样一款集成的边界安全网关产品,在用户对应用系统和数据进行快速而安全的远程访问的同时,能够保护企业IT环境免受来自基于Internet的威胁。
ISA Server 2006的特性
综合性
ISA Server 2006不但可以作为高效的Web、强大的防火墙、安全的VPN,还可以作为内部服务器的平台。同时,它可协助企业保护其环境免受内部和来自Internet的威胁。借助――防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护企业网络。
通过设置合理的防火墙策略,ISA Server 2006可以控制哪些用户可以上网、在什么时间上、使用哪些协议、访问哪些网站等,另外,它可以细化到控制用户访问哪种类型的文件,并可以控制含有某些签名的数据包的传递。这样用户就可以轻松地对一些IM软件和P2P软件进行控制,让网络可以更高效地运转。
攻击
新威胁每天都在层出不穷,攻击随时可能发生,威胁可能来自于垃圾邮件,也可能是由于客户信用卡号码等宝贵信息落入他人之手。但是对于小型企业网络而言,也许最大的威胁就是企业所有者对网络安全的错误认识,并且缺乏保护网络的熟练技能。小型企业的所有者经常将网络安全问题排在其它紧迫问题之后,在很多情况下,他们甚至根本不关注网络安全。
事实上大部分攻击和安全威胁都是针对一般公众,而不是特定公司或网络列为攻击目标。黑客运行的软件程序会扫描整个网络和IP地址范围,寻找潜在弱点。当他们找到这样的弱点时,就会控制这些计算机或感染它们,并将这些计算机作为“僵尸网络”(Zombie army)进行利用,以便发起更大规模的攻击。
趋势
信息安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等产品组成的,但是由于安全产品来自不同的厂商,没有统一的标准,因此安全产品之间无法进行信息交流,于是形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台,对各种安全产品进行统一管理。于是,UTM产品出现了,并且正在逐步得到市场的认可。
分析多功能网络安全产品兴起的原因不外乎两点,一是网络的攻击型态渐趋多元,企业希望防火墙防御力更强;二是同时启用防火墙、防毒、IDS的使用者发现,三种不同系统的控制接口难以操作。于是控制界面的复杂性是整合式网络安全产品兴起的主要因素之一。
在原有高端市场面临饱和,中小型企业网络安全预算难以负荷,利润不高的局面下,整合性网络安全产品成为厂商竞争的重点。那些更容易安装、管理的安全产品在厂商大力主推下,在本地市场获得了良好的销售成绩。安全可靠、管理方便是安全设备最大的好处,而这往往也是中小企业对产品的主要需求。
据调查显示,UTM将成为未来的应用趋势。UTM是将企业防火墙、入侵检测和防御以及防病毒等众多功能结合为一体的设备。据市场调研数据显示,UTM市场到2008年将占整个信息安全市场的半壁江山,达到57.6%。UTM的一个特点是既可以只用到该产品的某一个专门用途,比如用于网关防病毒或是用于内部的入侵检测,也可以全面应用所有功能。当UTM作为一种单点产品来应用时,企业能获得统一管理的优势,并且也能在不增加新设备的情况下开启自身需要的任何功能。
不过,一些网络厂商,像cisco、Enterasys和Junmper,正在把防火墙技术加入路由器,这种技术和产品的结合将对UTM市场形成一定冲击。
解决
目前客户需要的不是一堆用途各异的孤立设备。而是一个连贯的安全平台,并且能够提供防火墙、内容过滤、边缘杀毒和虚拟专用网等技术,中央控管是其中的核心。今天,管理企业安全是――个艰难的过程,这需要将缺乏集成和互操作性的不同厂商的不同产品进行综合。其结果是复杂性加剧和运营成本增加,而且在做出重大安全决策时不得不依赖孤立的安全数据。这都给企业安全管理人员有效开展工作增加了难度。难就难在要在数以百万的事件中及时发现事故并采取行动,企业的程序管理员需要花费许多时间去做一些冗余的、管理网络当中复杂的安全基础设施工作。在这种经济状况下,从财政和资源的角度考虑,就有一种利用极少的资源去做更多的事情的压力。如果有一个能够自动分析安全警报的安全管理工具帮助企业完成这项工作,企业将能够让自己的安全管理人员集中精力到更高价值的事件上来,那同时意味着对企业进行主动的安全保护。
可以说,安全管理平台是安全策略的支撑系统,不仅向安全管理人员提供制订安全策略的依据,还可以搜集策略执行的反馈信息,优化和完善安全策略,使安全管理变得可视化、具体化和可操作。所以,企业为了确保网络安全,除了需要部署全方位的安全产品外,对这些安全产品的管理也同样重要。尤其对于实时响应能力与积极防御能力要求很高的安全产品而言,良好的管理就显得更为重要。
应用
UTM产品为网络安全用户提供了一种更加灵活也更易于管理的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到很大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能,而用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更可贵的是,用户可以随时在这个平台上增加或调整安全功能,而任何时候这些安全 功能都可以很好地切、同。现在UTM在安全产品市场上一路高歌猛进,其成长速度已经达到了两位数。除了新增的市场份额之外,受到UTM侵蚀的安全产品主要是防火墙设备和实现VPN功能的产品。按照目前的情况来估计,UTM产品的发展在未来的几年中仍会保持较高的增长速度,并有望成为主流的信息安全产品。
现在有很多针对中小企业信息安全的探讨,其中一个焦点问题就在于市场上缺乏适合中小企业需要的安全解决方案。UTM产品在中小企业市场的应用,至少可以在两个方面缓解这一问题。中小企业的资金流比较薄弱,这使得企业在信息安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能,可以有效地降低成本投入,这无疑为中小企业实施信息安全提供了一个非常具有吸引力的选择。而由于UTM的管理比较统一,能够大大降低在技术管理方面的要求,弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务,有利于中小企业用户建立更加合理和真实的解决方案。
关键词:网络;VPN;金融;信息;安全
在现代金融行业里,计算机网络有着广泛全面的应用,现代金融管理正朝着电子化、信息化、网络安全化的方向在发展,尤其是网络信息安全化发展的VPN技术在现代金融行业管理中起着越来越重要的作用。
一、现代金融网络系统典型架构及其安全现状
就金融业目前的大部分网络应用而言,典型的省内网络结构一般是由一个总部(省级网络中心)和若干个地市分支机构、以及数量不等的合作伙伴和移动远程(拨号)用户所组成。除远程用户外,其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心,为金融机构中心服务所在地,同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样,包括远程拨号、专线、Internet等。
从省级和地市金融机构的互联方式来看,可以分为以下三种模式:(1)移动用户和远程机构用户通过拨号访问网络,拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式;(2)各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接;(3)合作伙伴(客户、供应商)局域网通过专线或公共网络与总部局域网连接。
由于各类金融机构网络系统均有其特定的发展历史,其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中,主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。
就网络信息系统安全而言,目前金融机构的安全防范机制仍然是脆弱的,一般金融机构仅利用了一些常规的安全防护措施,这些措施包括利用操作系统、数据库系统自身的安全设施;购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中,也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的,也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件,这些软件通常仅具备一些基本的安全功能,而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性,如考虑不周很容易留下安全漏洞。此外,金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障,Internet服务提供商(ISP)采取的安全手段都是为了保护他们自身和他们核心服务的可靠性,而不是保护他们的客户不被攻击,他们对于你的安全问题的反应可能是提供建议,也可能是尽力帮助,或者只是关闭你的连接直到你恢复正常。因此,总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别,有的甚至对于一些常规的攻击手段也无法抵御,这些都是金融管理信息系统亟待解决的安全问题。
二、现代金融网络面临的威胁及安全需求
目前金融系统存在的网络安全威胁,就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类,而实施安全攻击的人员则可能是外部人员,也可能是机构内部人员。
针对信息的攻击是最常见的攻击行为,信息攻击是针对处于传输和存储形态的信息进行的,其攻击地点既可以在局域网内,也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性,攻击者可以不动声色地窃取并利用信息,而无虑被发现;犯罪者也可以在积聚足够的信息后骤起发难,进行敲诈勒索。此类案件见诸报端层出不穷,而未公开案例与之相比更是数以倍数。
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台,为了照顾使用的方便性而忽略了安全性,导致许多安全漏洞的产生,如果再考虑到某些软件供应商出于政治或经济的目的,可能在系统中预留“后门”,因此必须采用有效的技术手段加以预防。
针对使用者的攻击是一种看似困难却普遍存在的攻击途径,攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点,通过种种手段窃取系统权限,通过合法程序来达到非法目的,并可在事后嫁祸他人或毁灭证据,导致此类攻击难以取证。
针对资源的攻击是以各种手段耗尽系统某一资源,使之丧失继续提供服务的能力,因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击,即攻击者利用其所控制的成百上千个系统同时发起攻击,迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构,尤其是Internet以及TCP/IP协议的固有缺陷,因此在网络的基础设施没有得到大的改进前,难以彻底解决。
金融的安全需求安全包括五个基本要素:机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题,即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有:传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。
必须指出:网络信息系统是由人参与的信息环境,建立良好的安全组织和管理是首要的安全需求,也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。
三、网络安全基本技术与VPN技术
解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护,抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护,在现代金融的网络安全的应用上起着非常关键的作用。
虚拟专用网络(VPN:VirtualPrivateNetwork)技术就是在网络层通过数据包封装技术和密码技术,使数据包在公共网络中通过“加密管道”传播,从而在公共网络中建立起安全的“专用”网络。利用VPN技术,金融机构只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相安全的传递信息;另外,金融机构还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以安全的连接进入金融机构网络中,进行各类网络结算和汇兑。
综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术,并通过适当的密钥管理机制,在公共的网络基础设施上建立安全的虚拟专用网络系统,可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统,采用VPN技术可以在不影响现行业务系统正常运行的前提下,极大地提高系统的安全性能,是一种较为理想的基础解决方案。
当今VPN技术中对数据包的加解密一般应用在网络层(对于TCP/IP网络,发生在IP层),从而既克服了传统的链(线)路加密技术对通讯方式、传输介质、传输协议依赖性高,适应性差,无统一标准等缺陷,又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题,使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势,成为目前和今后金融安全网络发展的一个必然趋势。
从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络(VPDN)。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网;虚拟专用拨号网络是使用电话拨号(PPP拨号)上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议应该具备以下条件:保证数据的真实性,通讯主机必须是经过授权的,要有抵抗地址假冒(IPSpoofing)的能力。保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的能力。保证通道的机密性,提供强有力的加密手段,必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制,具有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制。
针对现行的金融机构的网络信息安全,VPN具有以下优点:(1)降低成本。不必租用长途专线建设专网,不必大量的网络维护人员和设备投资;(2)容易扩展。网络路由设备配置简单,无需增加太多的设备,省时省钱;(3)完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说,金融机构可以把拨号访问交给网络服务商(NSP)去做,由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。
综上所述,VPN技术使金融行业各部门的内部信息可以跨越公共网络进行传输,如同在各金融机构各部门之间架起众多的“虚拟专用”的网络连接线,同时,VPN为每个用户定义出各自相应的网络空间,根据使用者的身份和权限,直接将他们引导到应该接触的信息环境中去,针对目前金融管理的信息安全存在的隐患,VPN技术可以弥补这些缺点。VPN作为广域网的一种新形式,确实为金融行业在新世纪提供了一个系统实用的技术平台。总之,VPN技术拥有很吸引人的优点,随着VPN技术发展的不断完善,在未来的金融管理信息安全领域里,将会起着至关重要的作用。
参考文献:
1.戴相龙,桂世镛.中国金融改革与发展.北京:中国金融出版社,2000.
