辦公室網(wǎng)絡(luò)安全解決方案范文

時(shí)間:2024-04-19 11:28:04

導(dǎo)語(yǔ):如何才能寫(xiě)好一篇辦公室網(wǎng)絡(luò)安全解決方案,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

當(dāng)“整體化”成為大多數(shù)安全廠商宣傳中耳熟能詳?shù)脑~匯時(shí),用戶在安全方案的選擇上,應(yīng)該變得更加小心翼翼。因?yàn)楝F(xiàn)實(shí)的統(tǒng)計(jì)發(fā)現(xiàn),很多用戶雖然信息安全的投入不斷增加,網(wǎng)絡(luò)安全系統(tǒng)也變得更加復(fù)雜,然而安全的風(fēng)險(xiǎn)狀況卻進(jìn)一步惡化,安全事故依然層出不窮。

是什么讓很多廠商的整體安全方案變成紙上談兵的“屠龍之技”,在現(xiàn)實(shí)應(yīng)用中屢屢受挫呢?

明確標(biāo)準(zhǔn)與要素

在賽門(mén)鐵克看來(lái),廠商方案在現(xiàn)實(shí)中受挫的關(guān)鍵根源就在于,整體安全解決方案不僅是一種防護(hù)的概念,更要將其“凝固”到具體的產(chǎn)品細(xì)節(jié)之中,而在這一過(guò)程中,首先需要的就是一些可以隨時(shí)隨地衡量的“標(biāo)準(zhǔn)”與“要素”。

當(dāng)然,這些標(biāo)準(zhǔn)并不是惟一的,它們是與IT解決方案有關(guān)的理想特征,但這些標(biāo)準(zhǔn)或要素與用戶企業(yè)最終承受的安全風(fēng)險(xiǎn)息息相關(guān)。具體而言,適當(dāng)?shù)慕鉀Q方案首先應(yīng)該具有較高的主動(dòng)性,主動(dòng)性體現(xiàn)了一個(gè)對(duì)策在未明確了解威脅類(lèi)型的情況下阻止威脅的能力。

其次,整體化安全解決方案還必須重視的一點(diǎn),就是應(yīng)全面覆蓋計(jì)算環(huán)境(多層),而不是僅僅針對(duì)互聯(lián)網(wǎng)邊界。

多層是指解決方案在整個(gè)企業(yè)中全面防御攻擊的能力。除邊界之外,防御范圍最好包括整個(gè)內(nèi)部網(wǎng)絡(luò)、與遠(yuǎn)程辦公室的網(wǎng)絡(luò)連接、最終用戶的工作站以及重要服務(wù)器。要做到既能夠防御從內(nèi)部發(fā)起的一定數(shù)量的威脅,又能夠防御以物理方式繞過(guò)邊界控制甚至突破邊界的那些威脅,這一點(diǎn)非常重要。另外,必須認(rèn)識(shí)到僅應(yīng)用一種方法無(wú)法確保萬(wàn)無(wú)一失。每個(gè)位置在所處理的通信類(lèi)型和數(shù)量方面都擁有自己的需要和環(huán)境,所以需要為其部署獨(dú)一無(wú)二的攻擊防御功能。

理想的整體化安全解決方案還應(yīng)包括高效性、有效性、靈活性和可靠性。其中高效性是指易于部署和操作; 有效性是指能夠滿足阻止所有攻擊的需求; 靈活性是指能夠適應(yīng)企業(yè)隨時(shí)間推移而提出的不斷變化的需求; 可靠性是指通過(guò)與長(zhǎng)期提供成功安全解決方案的供應(yīng)商合作而獲得的可靠性級(jí)別。

搭建整體化方案

對(duì)于不少用戶而言,建立一個(gè)“隨需應(yīng)變”的整體化安全解決方案似乎無(wú)從入手,事實(shí)上卻并非如此。這個(gè)看起來(lái)無(wú)比復(fù)雜、難以駕馭的系統(tǒng),同樣可以像“庖丁解牛”一樣,“以厚入間、游刃有余”。

以賽門(mén)鐵克推出的全面威脅管理產(chǎn)品為例。該系列產(chǎn)品包括一組互為補(bǔ)充的賽門(mén)鐵克安全產(chǎn)品,這些產(chǎn)品能夠提供極為全面且強(qiáng)大的威脅管理功能。全面威脅管理解決方案中包含的產(chǎn)品包括賽門(mén)鐵克的網(wǎng)絡(luò)安全解決方案、網(wǎng)關(guān)安全解決方案、關(guān)鍵系統(tǒng)防護(hù)解決方案、客戶端安全解決方案和Symantec DeepSight威脅管理系統(tǒng)。以上每款產(chǎn)品均具備一組獨(dú)特的市場(chǎng)功能,并在整體解決方案中各盡其職。

篇2

【關(guān)鍵詞】移動(dòng)辦公 身份認(rèn)證 SSL VPN 數(shù)字簽名 PKI/CA體系

1 引言

移動(dòng)辦公作為傳統(tǒng)辦公系統(tǒng)的無(wú)線擴(kuò)展,可以與現(xiàn)有的辦公系統(tǒng)無(wú)縫結(jié)合,使外出辦公人員無(wú)論身處何地都如同在自己的辦公室一樣,可以高效率地開(kāi)展工作。智能終端所擁有的運(yùn)算能力,可以支持郵件收發(fā)、公文審批及個(gè)人事務(wù)處理等各種內(nèi)部辦公應(yīng)用。隨著全球經(jīng)濟(jì)一體化的發(fā)展,移動(dòng)辦公已成為現(xiàn)代企業(yè)信息化的重要標(biāo)志,是繼無(wú)紙化辦公之后企業(yè)信息化的第二次浪潮。隨著無(wú)線應(yīng)用的發(fā)展,各種安全威脅也接踵而至。如何讓人們?cè)谙硎芤苿?dòng)辦公帶來(lái)的方便快捷的同時(shí),有效地應(yīng)對(duì)各種安全威脅,正是大家所關(guān)心的話題。本文從安全可信的角度介紹一種移動(dòng)辦公的安全解決方案,以供企業(yè)在部署移動(dòng)辦公應(yīng)用時(shí)進(jìn)行參考。

2 移動(dòng)辦公面臨的安全威脅

從互聯(lián)網(wǎng)的誕生開(kāi)始,網(wǎng)絡(luò)安全威脅就應(yīng)運(yùn)而生;隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全威脅也在發(fā)展升級(jí)。移動(dòng)辦公作為一個(gè)非常成熟的互聯(lián)網(wǎng)應(yīng)用,同樣面臨著各類(lèi)網(wǎng)絡(luò)安全威脅,移動(dòng)辦公的安全威脅潛伏在業(yè)務(wù)的身份認(rèn)證、數(shù)據(jù)安全、數(shù)據(jù)完整性和事后追蹤等各個(gè)環(huán)節(jié)。

2.1 移動(dòng)辦公的身份認(rèn)證

早期的網(wǎng)絡(luò)身份認(rèn)證采用靜態(tài)的用戶名/口令的方式進(jìn)行,這種方式簡(jiǎn)單易行,安全強(qiáng)度不高,易被破解或截獲。手機(jī)普及以后,在靜態(tài)用戶名/密碼的基礎(chǔ)上增加了手機(jī)號(hào)碼、手機(jī)IMEI號(hào)、用戶名/密碼的組合認(rèn)證方式。這種組合方式的安全強(qiáng)度有所提高,但在用戶更換手機(jī)或手機(jī)號(hào)碼時(shí)需要重新進(jìn)行綁定,使用不太方便;而且SIM卡、手機(jī)號(hào)碼、手機(jī)IMEI號(hào)也可以克隆仿制,可破解,手機(jī)丟失后易造成身份泄露。于是又出現(xiàn)了短信動(dòng)態(tài)密碼的身份認(rèn)證方式,和將短信動(dòng)態(tài)密碼與靜態(tài)用戶名/口令組合成雙因素的身份認(rèn)證方式。這種方式雖然解決了更換手機(jī)重新綁定的麻煩,但仍然沒(méi)有解決SIM卡克隆和手機(jī)丟失后易造成身份泄露的問(wèn)題,同時(shí)帶來(lái)了因短信攔截而導(dǎo)致泄密和網(wǎng)絡(luò)質(zhì)量不高或國(guó)際漫游時(shí)無(wú)法及時(shí)接收短信的問(wèn)題。

2.2 移動(dòng)辦公的數(shù)據(jù)安全

移動(dòng)辦公系統(tǒng)的數(shù)據(jù)傳輸過(guò)程包括無(wú)線傳輸和有線傳輸兩個(gè)部分,無(wú)傳輸部分采用現(xiàn)有的GSM、CDMA或3G網(wǎng)絡(luò),空口部分有加密標(biāo)準(zhǔn)和規(guī)范,但由于SIM卡、手機(jī)號(hào)碼、手機(jī)IMEI號(hào)可能被克隆,所以空口加密也存在數(shù)據(jù)被解密的安全隱患;有線傳輸部分,一般的網(wǎng)絡(luò)協(xié)議均為明文協(xié)議,不提供任何保密功能,因此敏感信息很有可能在傳輸過(guò)程中被非法竊取而造成泄密。目前常見(jiàn)的APN組網(wǎng)方式,解決了手機(jī)移動(dòng)終端到互聯(lián)網(wǎng)入口之間的認(rèn)證和加密,但在互聯(lián)網(wǎng)中的數(shù)據(jù)仍以明文方式傳輸。

2.3 移動(dòng)辦公的數(shù)據(jù)完整性

辦公信息在傳輸過(guò)程中有可能因攻擊者通過(guò)攔截、轉(zhuǎn)發(fā)等手段惡意篡改,導(dǎo)致信息發(fā)送與接收的不一致性。目前有些應(yīng)用系統(tǒng)中雖然通過(guò)數(shù)據(jù)摘要方式防止信息發(fā)送和接收不一致,但由于此類(lèi)解決方案中未采用數(shù)字簽名技術(shù),若惡意篡改者將發(fā)送方的原文和數(shù)據(jù)摘要同時(shí)替換掉,那么接收方會(huì)誤認(rèn)為信息未被篡改。

2.4 移動(dòng)辦公責(zé)任的事后追蹤

傳統(tǒng)方式下,事故或糾紛可以通過(guò)蓋章或簽名來(lái)實(shí)現(xiàn)責(zé)任認(rèn)定。而在電子化的網(wǎng)絡(luò)環(huán)境中,對(duì)于數(shù)據(jù)處理時(shí)的意外差錯(cuò)或欺詐行為,如果沒(méi)有相應(yīng)的取證措施,則當(dāng)事各方可以隨便否認(rèn)各自的行為,避免承擔(dān)相應(yīng)的責(zé)任。目前普遍通過(guò)用戶名/口令、手機(jī)號(hào)碼、手機(jī)IEMI號(hào)、IP地址等確認(rèn)用戶行為,這些信息易被篡改、復(fù)制,并且都不是實(shí)名信息,沒(méi)有簽名機(jī)制,無(wú)法追查到人,不受法律保護(hù)。

由此看出,在移動(dòng)辦公應(yīng)用中缺少完整的安全解決方案,更重要的是無(wú)法解決事后追溯,一旦出現(xiàn)安全泄密等重大安全事件,無(wú)法做到責(zé)任認(rèn)定,更得不到國(guó)家法律保護(hù)。

3 安全可信的移動(dòng)辦公解決方案

通過(guò)上述的分析可知,目前的移動(dòng)辦公安全威脅無(wú)處不在,但還沒(méi)有完整的解決方案,以下介紹一個(gè)安全可信的移動(dòng)辦公整體解決方案。所謂“安全”,是指通過(guò)互聯(lián)網(wǎng)訪問(wèn)內(nèi)部的OA辦公系統(tǒng)、其他業(yè)務(wù)系統(tǒng)以及內(nèi)部核心信息資源時(shí),采取適當(dāng)?shù)男畔踩呗?在為合法的訪問(wèn)提供方便的同時(shí),又能?chē)?yán)格防止企業(yè)信息資源被非法竊取。所謂“可信”,就是對(duì)每個(gè)用戶操作行為都能做到事后追蹤,根據(jù)國(guó)家相關(guān)的法律,依法防止抵賴(lài)行為的發(fā)生。

如圖1所示,通過(guò)在企業(yè)側(cè)部署SSL VPN網(wǎng)關(guān)保證內(nèi)網(wǎng)接入通道的安全,并通過(guò)第三方CA認(rèn)證中心給SSL VPN網(wǎng)關(guān)、各種終端用戶簽發(fā)數(shù)字證書(shū);另外采用USBKey、SDKey、PKI SIM卡硬件方式保存用戶密鑰和數(shù)字證書(shū),確保了移動(dòng)辦公中所遇到的身份認(rèn)證、傳輸保密、信息完整性、防篡改等安全問(wèn)題得以解決;并且用戶的各種操作行為都有數(shù)字簽名,具備法律效力,可以做到防止冒名頂替,對(duì)各種公文處理、合同審批等行為做到不可否認(rèn)。這些信息安全方面的顯著特點(diǎn)通過(guò)以下技術(shù)手段實(shí)現(xiàn):

(1)通過(guò)硬件保證密鑰安全來(lái)實(shí)現(xiàn)身份認(rèn)證

在移動(dòng)辦公方案中,使用數(shù)字證書(shū)作為用戶身份的惟一標(biāo)識(shí)。數(shù)字證書(shū)是互聯(lián)網(wǎng)應(yīng)用中標(biāo)識(shí)用戶真實(shí)身份的電子文件,與用戶公私鑰對(duì)綁定,確保了每對(duì)公私鑰都會(huì)和惟一的自然人個(gè)體或單位存在一一對(duì)應(yīng)的關(guān)系,從而保證了用戶身份的真實(shí)性和惟一性。

在移動(dòng)辦公業(yè)務(wù)中,使用USBKey、SDKey、PKI SIM卡等硬件介質(zhì)終端保存用戶私鑰,保證私鑰不可導(dǎo)出,無(wú)法克隆。移動(dòng)OA等應(yīng)用系統(tǒng)在調(diào)用私鑰進(jìn)行數(shù)字簽名時(shí),都需要用戶輸入密鑰保護(hù)口令,才能執(zhí)行簽名操作,這樣就確保了私鑰的安全性,從而保證了移動(dòng)辦公業(yè)務(wù)中用戶身份認(rèn)證的可靠性。

(2)基于SSL VPN的通道加密機(jī)制

SSL VPN技術(shù)保證了移動(dòng)終端至企業(yè)內(nèi)網(wǎng)之間網(wǎng)絡(luò)傳輸通道的數(shù)據(jù)安全。SSL VPN技術(shù)采用SSL協(xié)議,同時(shí)用到了非對(duì)稱(chēng)加密技術(shù)和對(duì)稱(chēng)加密技術(shù),充分利用了兩種加密技術(shù)的優(yōu)點(diǎn)。移動(dòng)終端與SSL VPN網(wǎng)關(guān)之間通過(guò)密鑰協(xié)商生成會(huì)話密鑰(對(duì)稱(chēng)密鑰)后,將建立數(shù)據(jù)加密通道,并且這種技術(shù)實(shí)現(xiàn)的是端到端的加密,同時(shí)解決了無(wú)線和有線傳輸通道的數(shù)據(jù)安全問(wèn)題。SSL VPN網(wǎng)關(guān)部署快速,并且不需要調(diào)整企業(yè)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),實(shí)施成本較低??梢?jiàn)SSL VPN是實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)公司敏感數(shù)據(jù)既簡(jiǎn)單又安全的解決辦法。

(3)數(shù)字簽名技術(shù)確保數(shù)據(jù)完整性

數(shù)字簽名是一種確保數(shù)據(jù)完整性和原始性的方法。發(fā)送方對(duì)數(shù)據(jù)進(jìn)行數(shù)字摘要并用自己的私鑰對(duì)摘要信息進(jìn)行加密生成簽名信息,然后將數(shù)據(jù)的簽名信息、數(shù)據(jù)原文以及發(fā)送方公鑰同時(shí)傳送給接收方,接收方即可驗(yàn)證數(shù)據(jù)原文是否缺失或被篡改。數(shù)字簽名可以提供有力的證據(jù),表明數(shù)據(jù)自從被移動(dòng)終端簽名以來(lái)未發(fā)生變化??梢?jiàn),數(shù)字簽名技術(shù)解決了數(shù)據(jù)完整性的問(wèn)題。

(4)PKI/CA體系保證用戶行為不可否認(rèn)

在移動(dòng)應(yīng)用中,保證用戶身份認(rèn)證、數(shù)據(jù)安全傳輸和數(shù)據(jù)完整性的同時(shí),還需要解決用戶行為不可否認(rèn)的問(wèn)題。從技術(shù)角度,數(shù)字簽名技術(shù)保證移動(dòng)用戶操作行為的不可否認(rèn);從管理角度,基于PKI和第三方CA中心的管理體系可以很好地解決這方面的問(wèn)題。而且,2005年4月1日實(shí)施的《電子簽名法》,確定了電子簽名的合法地位,使數(shù)字簽名真正具備了法律效力,為移動(dòng)辦公業(yè)務(wù)中產(chǎn)生的法律糾紛提供了有效的法律依據(jù)。

4 結(jié)束語(yǔ)

上述方案從技術(shù)、管理、法律等多個(gè)層面解決了當(dāng)前移動(dòng)辦公業(yè)務(wù)中所遇到的各種安全問(wèn)題,是一個(gè)比較完整的移動(dòng)辦公安全解決方案。該方案滿足了用戶迫切的移動(dòng)辦公需求,又解決了傳統(tǒng)業(yè)務(wù)模式所面臨的信息安全和責(zé)任認(rèn)定問(wèn)題,為移動(dòng)行業(yè)應(yīng)用的推廣和普及提供了安全保障,增強(qiáng)了電信運(yùn)營(yíng)商拓展行業(yè)客戶市場(chǎng)的競(jìng)爭(zhēng)力。

參考文獻(xiàn)

[1]唐雄燕,侯玉華,潘海鵬,編. 第3代移動(dòng)通信業(yè)務(wù)及其技術(shù)實(shí)現(xiàn)[M]. 北京: 電子工業(yè)出版社,2008.

[2](美)Rudolf Tanner, Jason Woodard,編. 葉銀法,王月珍,陸健賢,等譯. WCDMA原理與開(kāi)發(fā)設(shè)計(jì)[M]. 北京: 機(jī)械工業(yè)出版社,2007.

[3](美)Andrew Nash, William Duane, Celia Joseph, et al. 張玉清,陳建奇,楊波,等譯. 公鑰基礎(chǔ)設(shè)施(PKI):實(shí)現(xiàn)和管理電子安全[M]. 北京: 清華大學(xué)出版社,2002.

[4]張炯明,編. 安全電子商務(wù)實(shí)用技術(shù)[M]. 北京: 清華大學(xué)出版社,2002.

[5]楊義先,鈕心忻,編. 應(yīng)用密碼學(xué)[M]. 北京: 北京郵電大學(xué)出版社,2005.

[6]中華人民共和國(guó)電子簽名法[S]. 2005.

【作者簡(jiǎn)介】

篇3

論文摘要:隨著高校信息化建設(shè)水平的不斷提高,無(wú)線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成部分。該文對(duì)校園無(wú)線網(wǎng)接入進(jìn)行研究,并對(duì)校園無(wú)線網(wǎng)絡(luò)的安全進(jìn)行了分析,最后給出了一種適合校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全解決方案。

1引言

在過(guò)去的很多年,計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴(lài)銅纜或光纜,構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實(shí)施過(guò)程中工程量大,破壞性強(qiáng),網(wǎng)中的各節(jié)點(diǎn)移動(dòng)性不強(qiáng)。為了解決這些問(wèn)題,無(wú)線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展,逐漸得到的普及和發(fā)展。

在校園內(nèi),教師與學(xué)生的流動(dòng)性很強(qiáng),很容易在一些地方人員聚集,形成“公共場(chǎng)所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長(zhǎng),無(wú)論是教師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動(dòng)活動(dòng)。移動(dòng)性與頻繁交替性,使有線網(wǎng)絡(luò)無(wú)法靈活滿足他們對(duì)網(wǎng)絡(luò)的需求,造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。

將無(wú)線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng),在某些場(chǎng)所,如網(wǎng)絡(luò)教室,會(huì)議室,報(bào)告廳、圖書(shū)館等區(qū)域,可以率先覆蓋無(wú)線網(wǎng)絡(luò),讓用戶能真正做到無(wú)線漫游,給工作和生活帶來(lái)巨大的便利。隨后,慢慢把無(wú)線的覆蓋范圍擴(kuò)大,最后做到全校無(wú)線的覆蓋。

2校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀

在無(wú)線網(wǎng)絡(luò)技術(shù)成熟的今天,無(wú)線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴(kuò)容性和自由移動(dòng)性,它已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無(wú)線網(wǎng)絡(luò)的建成,在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上,都有不少的教師和學(xué)生手持筆記本電腦通過(guò)無(wú)線上網(wǎng),這都源于無(wú)線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍,使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無(wú)線網(wǎng)絡(luò)的同時(shí),無(wú)線接入的安全性也面臨的嚴(yán)峻的考驗(yàn)。目前無(wú)線網(wǎng)絡(luò)提供的比較常用的安全機(jī)制有如下三種:①基于MAC地址的認(rèn)證?;贛AC地址的認(rèn)證就是MAC地址過(guò)濾,每一個(gè)無(wú)線接入點(diǎn)可以使用MAC地址列表來(lái)限制網(wǎng)絡(luò)中的用戶訪問(wèn)。實(shí)施MAC地址訪問(wèn)控制后,如果MAC列表中包含某個(gè)用戶的MAC地址,則這個(gè)用戶可以訪問(wèn)網(wǎng)絡(luò),否則如果列表中不包含某個(gè)用戶的MAC地址,則該用戶不能訪問(wèn)網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無(wú)線設(shè)備和接入點(diǎn)上都使用有線對(duì)等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)權(quán)。③802.1x認(rèn)證。802.1x協(xié)議稱(chēng)為基于端口的訪問(wèn)控制協(xié)議,它是個(gè)二層協(xié)議,需要通過(guò)802.1x客戶端軟件發(fā)起請(qǐng)求,通過(guò)認(rèn)證后打開(kāi)邏輯端口,然后發(fā)起DHCP請(qǐng)求獲得IP以及獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)。

可以說(shuō),校園網(wǎng)的不少無(wú)線接入點(diǎn)都沒(méi)有很好地考慮無(wú)線接入的安全問(wèn)題,就連最基本的安全,如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒(méi)有設(shè)置,更不用說(shuō)像802.1x這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng),會(huì)搜索到很多無(wú)線接入點(diǎn),這些接入點(diǎn)幾乎沒(méi)有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進(jìn)入無(wú)線網(wǎng)絡(luò),進(jìn)而進(jìn)入校園網(wǎng),就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

3校園網(wǎng)無(wú)線網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)建成后,怎樣才能有效地保障無(wú)線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認(rèn)證存在兩個(gè)問(wèn)題,一是數(shù)據(jù)管理的問(wèn)題,要維護(hù)MAC數(shù)據(jù)庫(kù),二是MAC可嗅探,也可修改;如果采用共享密鑰認(rèn)證,攻擊者可以輕易地搞到共享認(rèn)證密鑰;802.1x定義了三種身份:申請(qǐng)者(用戶無(wú)線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證服務(wù)器之間,認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證服務(wù)器表明自己的身份,然后認(rèn)證服務(wù)器對(duì)申請(qǐng)者進(jìn)行認(rèn)證,認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與AP進(jìn)行通信。

雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善,IEEE802.11i和WAPI都參考了802.1x的機(jī)制。802.1x選用EAP來(lái)提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無(wú)線客戶端身份驗(yàn)證的依據(jù)是基于密碼憑據(jù)驗(yàn)證,或基于證書(shū)驗(yàn)證。建議在執(zhí)行基于證書(shū)的客戶端身份驗(yàn)證時(shí)使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗(yàn)證時(shí)使用EAP-Microsoft質(zhì)詢握手身份驗(yàn)證協(xié)議版本2(MSCHAPv2),該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中,也稱(chēng)作PEAP-EAP-MSCHAPv2。

考慮到校園群體的特殊性,為了保障校園無(wú)線網(wǎng)絡(luò)的安全,可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi),主要分成兩類(lèi)不同的用戶,一類(lèi)是校內(nèi)用戶,一類(lèi)是來(lái)訪用戶。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要,他們要求能夠隨時(shí)接入無(wú)線網(wǎng)絡(luò),訪問(wèn)校園網(wǎng)內(nèi)資源以及訪問(wèn)Internet。這些用戶的數(shù)據(jù),如工資、科研成果、研究資料和論文等的安全性要求比較高。對(duì)于此類(lèi)用戶,可使用802.1x認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。來(lái)訪用戶主要是來(lái)校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類(lèi)用戶對(duì)網(wǎng)絡(luò)安全的需求不是特別高,對(duì)他們來(lái)說(shuō)最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類(lèi)用戶,可采用DHCP+強(qiáng)制Portal認(rèn)證的方式接入校園無(wú)線網(wǎng)絡(luò)。

如圖所示,開(kāi)機(jī)后,來(lái)訪用戶先通過(guò)DHCP服務(wù)器獲得IP地址。當(dāng)來(lái)訪用戶打開(kāi)瀏覽器訪問(wèn)Intemet網(wǎng)站時(shí),強(qiáng)制Porta控制單元首先將用戶訪問(wèn)的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站,用戶只能訪問(wèn)該網(wǎng)站中提供的服務(wù),無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部的其他受限資源,比如學(xué)校公共數(shù)據(jù)庫(kù)、圖書(shū)館期刊全文數(shù)據(jù)庫(kù)等。如果要訪問(wèn)校園網(wǎng)以外的資源,必須通過(guò)強(qiáng)制Portal認(rèn)證.認(rèn)證通過(guò)就可以訪問(wèn)Intemet。對(duì)于校內(nèi)用戶,先由無(wú)線用戶終端發(fā)起認(rèn)證請(qǐng)求,沒(méi)通過(guò)認(rèn)證之前,不能訪問(wèn)任何地方,并且不能獲得IP地址??赏ㄟ^(guò)數(shù)字證書(shū)(需要設(shè)立證書(shū)服務(wù)器)實(shí)現(xiàn)雙向認(rèn)證,既可以防止非法用戶使用網(wǎng)絡(luò),也可以防止用戶連入非法AP。雙向認(rèn)證通過(guò)后,無(wú)線用戶終端從DHCP服務(wù)器獲得IP地址。無(wú)線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運(yùn)用所協(xié)商的加密算法進(jìn)行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。

使用強(qiáng)制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實(shí)意義。來(lái)訪用戶所關(guān)心的是方便和快捷,對(duì)安全性的要求不高。強(qiáng)制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來(lái)訪用戶來(lái)說(shuō)簡(jiǎn)單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過(guò)SSL加密,但傳輸?shù)臄?shù)據(jù)沒(méi)有任何加密,任何人都可以監(jiān)聽(tīng)。當(dāng)然,必須通過(guò)相應(yīng)的權(quán)限來(lái)限制和隔離此類(lèi)用戶,確保來(lái)訪用戶無(wú)法訪問(wèn)校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全,安全性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較麻煩,設(shè)置步驟也比較多,且要有專(zhuān)門(mén)的802.1x客戶端,但擁有極好的安全性,因此針對(duì)校內(nèi)用戶可使用802.1x認(rèn)證方式,以保障傳輸數(shù)據(jù)的安全。

4結(jié)束語(yǔ)

校園網(wǎng)各區(qū)域分別覆蓋無(wú)線局域網(wǎng)絡(luò)以后,用戶只需簡(jiǎn)單的設(shè)置就可以連接到校園網(wǎng),從而實(shí)現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展,將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無(wú)線網(wǎng)絡(luò)的建設(shè)。現(xiàn)在,不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無(wú)線覆蓋。但在建設(shè)無(wú)線網(wǎng)絡(luò)的同時(shí),由于對(duì)無(wú)線網(wǎng)絡(luò)的安全不夠重視,對(duì)校園網(wǎng)無(wú)線網(wǎng)絡(luò)的安全考慮不夠。在這點(diǎn)上,學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭,做好無(wú)線網(wǎng)絡(luò)的安全管理工作,并完成全校無(wú)線網(wǎng)絡(luò)的統(tǒng)一身份驗(yàn)證,做到無(wú)線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無(wú)縫對(duì)接,確保無(wú)線網(wǎng)絡(luò)的高安全性。

參考文獻(xiàn):

篇4

網(wǎng)絡(luò)不僅是一種高深的科技,而且成為人們必不可少的工具。企業(yè)上網(wǎng)大大提高了企業(yè)運(yùn)作效益,降低了企業(yè)成本。應(yīng)該看到,企業(yè)在經(jīng)營(yíng)發(fā)展過(guò)程中,除了內(nèi)部的運(yùn)轉(zhuǎn)管理外,還有大量的外部業(yè)務(wù)活動(dòng),包括與合作伙伴,上、下游企業(yè),客戶甚至競(jìng)爭(zhēng)對(duì)手的各式各樣的業(yè)務(wù)往來(lái)。過(guò)去這些業(yè)務(wù)活動(dòng)多半是通過(guò)電話、傳真、信件等傳統(tǒng)通信方式輔助進(jìn)行,而在因特網(wǎng)出現(xiàn)后的今天,這些業(yè)務(wù)活動(dòng)幾乎無(wú)一例外地正在轉(zhuǎn)移到因特網(wǎng)上,并且這種轉(zhuǎn)變的速度和程度都是非常驚人的。也就是說(shuō),過(guò)去傳統(tǒng)意義上的企業(yè)內(nèi)外部經(jīng)營(yíng)活動(dòng)包括業(yè)務(wù)信息溝通,訂貨訂單處理,庫(kù)存物流管理,客戶服務(wù),批發(fā)或零售等等已經(jīng)全部可以在因特網(wǎng)上實(shí)現(xiàn)了。所有這些應(yīng)用都可以稱(chēng)之為企業(yè)上網(wǎng),又被業(yè)界稱(chēng)為電子商務(wù)應(yīng)用,它被認(rèn)為是21世紀(jì)企業(yè)的必由之路。

二、行業(yè)分析

(一)企業(yè)上網(wǎng)的緊迫性

對(duì)于中國(guó)的企業(yè)來(lái)說(shuō),企業(yè)網(wǎng)的來(lái)臨可謂恰逢其時(shí)。隨著中國(guó)向混合市場(chǎng)經(jīng)濟(jì)的加速發(fā)展,中國(guó)各行各業(yè)的公司企業(yè)都在積極準(zhǔn)備迎接國(guó)內(nèi)外市場(chǎng)中日益激烈的競(jìng)爭(zhēng)形勢(shì)。這些公司深知:如果想在這個(gè)白熱化的市場(chǎng)競(jìng)爭(zhēng)中獲得成功,就必須最大限度地提高企業(yè)生產(chǎn)力和降低生產(chǎn)成本。因此,各大企業(yè)都迫切需要建立自己的信息技術(shù)基礎(chǔ)設(shè)施,以便將分散在各地的業(yè)務(wù)部門(mén)聯(lián)系在一起并加快整個(gè)企業(yè)內(nèi)部的信息交流和服務(wù)速度,從而加強(qiáng)自己在市場(chǎng)中的競(jìng)爭(zhēng)優(yōu)勢(shì)。

(二)、企業(yè)上網(wǎng)的需求

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)建設(shè)應(yīng)該以用戶的需求為著眼點(diǎn)。目前,隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用水平的逐步提高,企業(yè)用戶的需求,主要體現(xiàn)為:

(1)先進(jìn)性,要求網(wǎng)絡(luò)采用先進(jìn)的技術(shù),以保證整個(gè)企業(yè)網(wǎng)絡(luò)系統(tǒng)在技術(shù)上的先進(jìn)性;

(2)穩(wěn)定性與可靠性,要求網(wǎng)絡(luò)高度穩(wěn)定、可靠,這是網(wǎng)絡(luò)建設(shè)成功的關(guān)鍵,而高度穩(wěn)定、可靠的網(wǎng)絡(luò)系統(tǒng)有利于維護(hù)和管理,可減少網(wǎng)絡(luò)系統(tǒng)的擁有成本;

(3)高性能,要求網(wǎng)絡(luò)系統(tǒng)具有高性能,以滿足計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行大量關(guān)鍵業(yè)務(wù)(如項(xiàng)目設(shè)計(jì)、項(xiàng)目管理、CAD、OA、MIS、ERP及多媒體應(yīng)用等)的需要;

(4)vlan劃分的靈活性,因?yàn)榫W(wǎng)絡(luò)系統(tǒng)站點(diǎn)數(shù)和運(yùn)行的應(yīng)用都在增多,所以要求網(wǎng)絡(luò)平臺(tái)具有靈活的虛網(wǎng)(VLAN)劃分能力;

(5)由于網(wǎng)絡(luò)系統(tǒng)可能要傳輸多媒體信息,因此要求網(wǎng)絡(luò)平臺(tái)具有良好的服務(wù)質(zhì)量和較小的延遲;

(6)要求網(wǎng)絡(luò)平臺(tái)具有良好的易管理性,減少運(yùn)行、維護(hù)及管理成本;

(7)要求選擇具有良好發(fā)展前景的網(wǎng)絡(luò)廠商的產(chǎn)品,這樣才能保證平臺(tái)具有良好的售后服務(wù)、投資保護(hù),更為關(guān)鍵的是能夠保證網(wǎng)絡(luò)系統(tǒng)持久的先進(jìn)性。

三、企業(yè)網(wǎng)絡(luò)主干技術(shù)選擇:

企業(yè)局域網(wǎng)絡(luò)技術(shù)的選擇主要是主干技術(shù)的選擇,現(xiàn)今適合作局域網(wǎng)絡(luò)主干技術(shù)的主要有千兆以太網(wǎng)及ATM兩種。

千兆以太網(wǎng)是網(wǎng)絡(luò)界公認(rèn)的技術(shù)發(fā)展方向之一,它是對(duì)成功的10M和100MIEEE802.3以太網(wǎng)標(biāo)準(zhǔn)的擴(kuò)展,仍然沿用以太網(wǎng)IEEE802.3幀格式,全雙工操作和流控制方法。在半雙工模式下,千兆以太網(wǎng)使用同樣的CSMA/CD訪問(wèn)方法來(lái)解決媒體的通信競(jìng)爭(zhēng)問(wèn)題,并使用由IEEE802.3小組定義的同樣的管理對(duì)象。概括起來(lái),千兆以太網(wǎng)的優(yōu)點(diǎn)在于:網(wǎng)絡(luò)技術(shù)可靠,易于管理,具有可伸縮性,且它相對(duì)于ATM的價(jià)格水平要低得多;缺點(diǎn)為部分標(biāo)準(zhǔn)不統(tǒng)一。

ATM規(guī)定各種類(lèi)型的服務(wù)(聲音、圖像、數(shù)據(jù))信息都由大小固定的53字節(jié)的信元進(jìn)行傳輸。ATM優(yōu)點(diǎn)為:支持線路交換和分組交換;對(duì)廣域網(wǎng)和局域網(wǎng)采用相同的技術(shù);在普通線路上同時(shí)傳輸視頻、語(yǔ)音和數(shù)據(jù);對(duì)多種業(yè)務(wù)可保證服務(wù)質(zhì)量,按需分配帶寬。缺點(diǎn)為:管理和維護(hù)復(fù)雜;基于ATM的應(yīng)用較少;ATM產(chǎn)品相對(duì)于以太網(wǎng)產(chǎn)品價(jià)格昂貴;部分標(biāo)準(zhǔn)不統(tǒng)一。

千兆以太網(wǎng)能與桌面的以太網(wǎng)和快速以太網(wǎng)無(wú)縫銜接,因?yàn)樗麄儾捎玫膮f(xié)議是相同的。ATM網(wǎng)絡(luò)與以太網(wǎng)共存時(shí),需在幀和信元之間進(jìn)行轉(zhuǎn)換。在企業(yè)園區(qū)網(wǎng),90%的應(yīng)用都是基于以太網(wǎng)或快速以太網(wǎng)的,千兆以太網(wǎng)以其從以太網(wǎng)及快速以太網(wǎng)升級(jí)方便、易管理和低廉的價(jià)格使ATM舉步維艱,ATM的傳統(tǒng)優(yōu)勢(shì)如傳輸多媒體和傳輸?shù)木嚯x長(zhǎng)也日漸遜色。千兆以太網(wǎng)支持資源預(yù)留協(xié)議(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、獨(dú)立組播路由協(xié)議(PIM)、國(guó)際互聯(lián)網(wǎng)成組管理協(xié)議(IGMP)等,這就使得千兆以太網(wǎng)傳輸多媒體成為可能,已有廠家的千兆以太網(wǎng)產(chǎn)品傳輸距離超過(guò)100公里。因此建議,企業(yè)園區(qū)網(wǎng)在主要傳輸數(shù)據(jù)的情況下,應(yīng)選擇千兆以太網(wǎng)作主干技術(shù)。

四、企業(yè)網(wǎng)絡(luò)構(gòu)架的基本方案

企業(yè)網(wǎng)中大部分是中小企業(yè),中小型企業(yè)最大的特點(diǎn)是小規(guī)模與高效率的結(jié)合。他們往往不擁有完備的信息技術(shù)部門(mén),但是網(wǎng)絡(luò)應(yīng)用對(duì)他們同樣關(guān)鍵。因此,中小企業(yè)需要量身定做的解決方案。面對(duì)這一情況,上海廣電應(yīng)確信公司針對(duì)不同規(guī)模企業(yè),推出了一系列解決方案,以幫助中小企業(yè)提升其競(jìng)爭(zhēng)力。

4.1基本網(wǎng)絡(luò)方案簡(jiǎn)述

根據(jù)企業(yè)網(wǎng)站可提供的內(nèi)容和它的實(shí)際應(yīng)用情況,企業(yè)上網(wǎng)可分為兩部分,一部分是實(shí)現(xiàn)各企業(yè)部門(mén)內(nèi)部辦公功能的內(nèi)部網(wǎng),即Intranet。另一部分是各企業(yè)部門(mén)網(wǎng)站在Internet上信息與交流的外部網(wǎng)。

一旦企業(yè)建立了Intranet,就可用它來(lái)信息、增強(qiáng)企業(yè)的通信能力、建立合作的環(huán)境。有些應(yīng)用很簡(jiǎn)單,只是用HTML語(yǔ)言建立內(nèi)部的環(huán)球網(wǎng)服務(wù)器信息;有些應(yīng)用較復(fù)雜,需要連接數(shù)據(jù)庫(kù)。下面列出一些Intranet的應(yīng)用: 銷(xiāo)售報(bào)告、財(cái)務(wù)報(bào)告、客戶信息、季度統(tǒng)計(jì)、廠商信息、產(chǎn)品信息、市場(chǎng)信息小冊(cè)子、產(chǎn)品開(kāi)發(fā)信息、物資和元部件目錄、倉(cāng)庫(kù)信息、網(wǎng)絡(luò)管理、資產(chǎn)管理、新聞組、電子郵件、培訓(xùn)。

4.2具體方案實(shí)施:

按照網(wǎng)絡(luò)的規(guī)??删唧w劃分為以下幾個(gè)方案:

(1)小型企業(yè)信息系統(tǒng)方案:通常指在20-30個(gè)工作站以內(nèi)的小型辦公室(辦公環(huán)境較集中)網(wǎng)絡(luò)環(huán)境的方案。

(2)中型企業(yè)信息系統(tǒng)方案:即指在30個(gè)工作站以上的中型辦公園區(qū)(辦公環(huán)境較分散,距離教遠(yuǎn))網(wǎng)絡(luò)環(huán)境的方案。

(3)大型企業(yè)信息系統(tǒng)方案:即指在超過(guò)幾百個(gè)工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境的方案。

4.2.1小型企業(yè)信息系統(tǒng)方案

小企業(yè)辦公室網(wǎng)絡(luò),相對(duì)于大、中型企業(yè)網(wǎng)絡(luò),可以說(shuō)是麻雀雖小,五臟俱全,同樣有著文件共享、打印共享、電子郵件、財(cái)務(wù)管理、庫(kù)房管理、Web等大型網(wǎng)絡(luò)所具有的需求。

由于小型企業(yè)網(wǎng)絡(luò)站點(diǎn)數(shù)較少,而且聯(lián)網(wǎng)的站點(diǎn)較集中(例如,在一幢樓內(nèi))。因此,結(jié)構(gòu)化布線時(shí)就可以只采用雙絞線就足夠了,每個(gè)站點(diǎn)(計(jì)算機(jī))與集線器或交換機(jī)之間的距離不能超過(guò)100米。

方案說(shuō)明

網(wǎng)絡(luò)配置:中心選用InfiniteSwitch5024機(jī)架型快速以太網(wǎng)交換機(jī)(24口10/100M自適應(yīng)以太網(wǎng)交換機(jī)),采用10/100M自適應(yīng)端口連接服務(wù)器及工作站。針對(duì)小型企業(yè)用戶我們推出桌面型硬件安全設(shè)備I1102,嵌入式的硬件安全架構(gòu),使其性價(jià)比很高。簡(jiǎn)單配置的防火墻安全規(guī)則,方便客戶應(yīng)用。同時(shí)可以作為DHCP服務(wù)器,具有本地路由器功能,支持以太網(wǎng)方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的實(shí)現(xiàn)共享上網(wǎng)。

方案特點(diǎn):

(1) 性價(jià)比高;在方案中,沒(méi)有使用很多高端的設(shè)備,但已經(jīng)完全可以滿足小型企業(yè)網(wǎng)絡(luò)的需求。

(2)功能齊全;提供了文件共享、打印共享、電子郵件、電子公告、庫(kù)房管理、遠(yuǎn)程辦公、工資管理、財(cái)務(wù)分析、采購(gòu)管理、資金管理、庫(kù)存管理、銷(xiāo)售管理等較齊全的功能,很適合于小型企業(yè)網(wǎng)絡(luò)環(huán)境。

(3)安全性高;采用InfiniteSwitch5024智能以太網(wǎng)交換機(jī)交換機(jī),可以將單一的局域網(wǎng)劃分為多個(gè)相對(duì)獨(dú)立、互不干擾的VLAN(虛擬子網(wǎng)),可以方便地控制不同部門(mén)對(duì)某些資源的訪問(wèn)權(quán)限,并能夠縮小廣播域,減少不必要的帶寬占用,有效提高網(wǎng)絡(luò)的安全性和性能。I1102通過(guò)IP過(guò)濾提供防火墻功能??梢詫?duì)IP地址、端口號(hào)、協(xié)議種類(lèi)等進(jìn)行設(shè)置并加以控制。

5.2.2中型企業(yè)信息系統(tǒng)方案

由于中型企業(yè)辦公環(huán)境較分散,距離教遠(yuǎn),對(duì)網(wǎng)絡(luò)的性能要求較高(數(shù)據(jù)交換的安全性,設(shè)備運(yùn)行的可靠性,網(wǎng)絡(luò)管理的全面性),對(duì)網(wǎng)絡(luò)的速度亦有提高。同時(shí),每個(gè)網(wǎng)段最長(zhǎng)只能100米的有效距離的雙絞線傳輸介質(zhì)已經(jīng)不能滿足中型企業(yè)網(wǎng)絡(luò)的使用需求,有時(shí)必須使用多模光纖或單模光纖做為布線時(shí)所采用的傳輸線纜,使得有效傳輸距離能夠延伸至2公里(多模光纖)或更遠(yuǎn)(單模光纖)。

方案說(shuō)明

中心選用InfiniteSwitch5000系列交換機(jī),根據(jù)用戶數(shù)量及功能要求選用IS5048/5024/5024s .為了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全,在接入Internet時(shí)采用上海廣電應(yīng)確信的防火墻I91XX,可以防止來(lái)自外部的非法的、惡意的攻擊。

由于中型企業(yè)辦公環(huán)境較分散,距離教遠(yuǎn),則在中心交換機(jī)上配置100Base-FX或1000Base-LX/SX光纖模塊.企業(yè)內(nèi)部采用SVAI91XX通過(guò)DDN、FrameRlay、X.25等廣域網(wǎng)專(zhuān)線接入Internet,提供安全、快捷、簡(jiǎn)便的企業(yè)外部網(wǎng)站方案。I91XX適用于中小型企業(yè)用戶,利用CheckPoint軟件及其OEC合作伙伴構(gòu)成頂級(jí)配置,為用戶提供一個(gè)完整的網(wǎng)絡(luò)安全解決方案。

應(yīng)用二:

方案說(shuō)明

對(duì)于一個(gè)中型企業(yè),如果公司內(nèi)部有較多的部門(mén),位置比較分散,而且相互之間要獨(dú)立的工作,對(duì)于用戶的訪問(wèn)權(quán)限可以限制(如要求劃分vlan),所有的部門(mén)通過(guò)公司的網(wǎng)絡(luò)中心的一臺(tái)三層交換機(jī)來(lái)接入internet,采用SVAHammerHead9300/9500/9800來(lái)對(duì)進(jìn)行對(duì)網(wǎng)絡(luò)的安全進(jìn)行保護(hù)。對(duì)于一些移動(dòng)用戶可以采用無(wú)線接入設(shè)備(2020/1011/1001)來(lái)連入企業(yè)內(nèi)部網(wǎng)及上INTERNET.

在公司的各個(gè)部門(mén)中采用的交換機(jī)均支持vlan的劃分,根據(jù)每個(gè)部門(mén)的規(guī)劃及距離網(wǎng)絡(luò)中心的遠(yuǎn)近采用100MUTP或者100/1000M光纖接入。隨著員工數(shù)的增多,可以利用5024S/5024S 堆疊來(lái)擴(kuò)展網(wǎng)絡(luò),5024S/5024S 最多分別可堆疊至4臺(tái)/16臺(tái),因此網(wǎng)絡(luò)有很好的擴(kuò)展性及可管理性。

接入internet可以采用多種方式,通過(guò)TN/ISDN/DDN線路等多種方式,用戶可能根據(jù)需要來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)接入公用網(wǎng)。

中型企業(yè)方案特點(diǎn):

(1)較充分發(fā)揮了Internet/Intranet應(yīng)用的特性

除了傳統(tǒng)的文件共享、打印共享等功能外,電子郵件、Web、電子公告、庫(kù)房管理、遠(yuǎn)程辦公等功能都是基于Internet/Intranet應(yīng)用實(shí)現(xiàn)的。使得整個(gè)網(wǎng)絡(luò)系統(tǒng)充分發(fā)揮了Internet/Intranet應(yīng)用的跨平臺(tái)、與硬件無(wú)關(guān)、標(biāo)準(zhǔn)統(tǒng)一等特點(diǎn),使得中小型企業(yè)可以與外界透明地通訊。

(2)維護(hù)小、投入少

中型企業(yè)網(wǎng)絡(luò)系統(tǒng)使用了較少的高端產(chǎn)品,投入少而功能齊。由于使用了Internet/Intranet結(jié)構(gòu)構(gòu)造中小辦公室網(wǎng)絡(luò)系統(tǒng),使得網(wǎng)絡(luò)結(jié)構(gòu)更加Client/Server化,作為網(wǎng)絡(luò)的管理維護(hù),只需對(duì)Server端進(jìn)行維護(hù)工作,對(duì)Client的維護(hù)工作大大減少,所以總體上也就大大減少了維護(hù)工作量,并節(jié)省了投資。

(4)提高工作效率、節(jié)省開(kāi)支。

在此方案中,提供了電子郵件、電子公告、Web等實(shí)用、快捷的功能,大大提高了企業(yè)的辦公效率。同時(shí)提供了網(wǎng)絡(luò)內(nèi)用戶對(duì)Internet的透明訪問(wèn),使企業(yè)內(nèi)部可以充分利用Internet這個(gè)巨大的信息資源,更加提高了企業(yè)的辦公效率和資源利用。

5.2.3大型企業(yè)信息系統(tǒng)方案

大型企業(yè)辦公環(huán)境即指在超過(guò)幾百個(gè)工作站以上的大型辦公園區(qū)并有外地分支機(jī)構(gòu)網(wǎng)絡(luò)環(huán)境。對(duì)網(wǎng)絡(luò)的性能要求很高,同時(shí)對(duì)網(wǎng)絡(luò)的速 度亦有很高的要求。大型企業(yè)網(wǎng)支持各種網(wǎng)絡(luò)功能,能夠通過(guò)廣域網(wǎng)接口實(shí)現(xiàn)Internet接入,建立企業(yè)主頁(yè),為園區(qū)用戶提供E-mail電子郵件、WWW、FTP服務(wù),同時(shí)支持網(wǎng)絡(luò)管理和電子信息的存儲(chǔ)、訪問(wèn)管理。推薦采用局域網(wǎng)專(zhuān)線接入方式,此方式需要配備接入路由器,防火墻等網(wǎng)絡(luò)設(shè)備,租用電信部門(mén)的專(zhuān)線并向CERNET管理部門(mén)申請(qǐng)IP地址及注冊(cè)域名。接入路由器可以通過(guò)DDN專(zhuān)線、FrameRelay等與Internet相連。還可以按照需要組合配置多種WAN廣域網(wǎng)端口模塊,提供寬帶、QoS保證的遠(yuǎn)程多媒體服務(wù)。為了保證企業(yè)網(wǎng)的安全,方案中提供SVAHammerHead9000安全平臺(tái),SVAHammerHead9000系列是業(yè)界唯一模塊化網(wǎng)絡(luò)安全平臺(tái)和應(yīng)用系統(tǒng),在單一的設(shè)備上集成了路由、防火墻、入侵檢測(cè)、V、LAN連接和其他安全應(yīng)用,為用戶提供可擴(kuò)容及可靠的網(wǎng)絡(luò)安全整體解決方案。

在布線上,除了采用多模或單模光纖之外,甚至還需要從電信部門(mén)租用DDN、幀中繼、X.25、ISDN等專(zhuān)線,或者利用無(wú)線微波方式進(jìn)行遠(yuǎn)距離連接。

方案說(shuō)明

在網(wǎng)絡(luò)中心選擇上海廣電應(yīng)確信的InfiniteSwitch7508三層交換機(jī)和5024交換機(jī)。在各分部門(mén)或者分公司根據(jù)信息點(diǎn)數(shù)選擇InfiniteSwitch4000/5000系列交換機(jī)。

在網(wǎng)絡(luò)中心的核心層配置的InfiniteSwitch7508G第三層交換機(jī),可完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能交換,是一種功能強(qiáng)大的企業(yè)網(wǎng)主干交換機(jī),使網(wǎng)絡(luò)管理者能方便的監(jiān)督和管理網(wǎng)絡(luò),同時(shí),又能將主干網(wǎng)帶寬提升到千兆速度,InfiniteSwitch7000/7500系列是可網(wǎng)管的,高端口密度,配置靈活的高性能路由交換機(jī)。提供7個(gè)擴(kuò)展插槽,22G交換背板上。網(wǎng)絡(luò)管理員能夠隨時(shí)通過(guò)任意一個(gè)端口配置以上功能,以消除傳統(tǒng)路由器的瓶頸,設(shè)置優(yōu)先級(jí)給不同類(lèi)型的網(wǎng)絡(luò)傳輸及保證某些應(yīng)用的流量帶寬,如視頻傳輸。

InfiniteSwitch7508G提供了廣泛的管理選擇,包括HPOpenView和其他的MP管理系統(tǒng),或者InfiniteSwitch7508G自己提供的網(wǎng)絡(luò)管理系統(tǒng)。InfiniteSwitch7508G提供到與InfiniteSwitch4000/5000系列以太網(wǎng)交換機(jī)、防火墻和服務(wù)器群(其中包括主域服務(wù)器、備份域服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、WWW服務(wù)器等)、網(wǎng)管終端的高速連接,重要的服務(wù)器及主干鏈路均可采用千兆模塊進(jìn)行生成樹(shù)(aingTree)冗余鏈路連接。

接入層交換機(jī),在本方案設(shè)計(jì)中,為了保證網(wǎng)絡(luò)的高性能,可采用InfiniteSwitch 4000/5000系列智能以太網(wǎng)交換機(jī),根據(jù)具體實(shí)際需求,接入層交換機(jī)可選用InfiniteSwitch4024/4032/5024/5024s/5048交換機(jī)。

在方案中的防火墻,選用SVAHammerHead9300.HammerHead9300是3插槽機(jī)箱式的安全平臺(tái),用戶可以根據(jù)需求選擇服務(wù)器、交換機(jī)、路由器等模塊。SVAHammerHead9000的多種應(yīng)用模塊能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系統(tǒng),它能為用戶提供防火墻保護(hù)、入侵偵測(cè)、身份認(rèn)證、安全報(bào)告、內(nèi)容安全、高可靠性。SVAHammerHead9000的有多種網(wǎng)絡(luò)模塊,它可支持多種的LAN/WAN互連,包括:Frame、ISDN、ATM、以太網(wǎng)。實(shí)現(xiàn)完整的一體化的網(wǎng)絡(luò)安全解決方案。

方案特點(diǎn):

1、高性能;網(wǎng)絡(luò)中采用了第三層交換機(jī),第三層交換不僅擁有高速的交換功能,同時(shí)也具有全部的第三層控制功能,可以對(duì)流量基于IP地址、IP的協(xié)議類(lèi)型、以及TCP/UDP的端口進(jìn)行交換控制,從而在提高網(wǎng)絡(luò)處理效率的同時(shí),保障了VLAN之間通訊的安全性。

2、可擴(kuò)展性;網(wǎng)絡(luò)設(shè)計(jì)具有層次結(jié)構(gòu),用戶能靈活地接入到相應(yīng)的層次當(dāng)中??蓴U(kuò)展的網(wǎng)絡(luò)接口。

3、靈活性;適當(dāng)?shù)慕LAN,方便地理位置不同的用戶的網(wǎng)絡(luò)連接.

4、安全性;VLAN的建立,可以控制廣播和應(yīng)用的信息流動(dòng),從而防止用戶非法在網(wǎng)絡(luò)上截獲其它用戶或它們的資源。HammerHead9000網(wǎng)絡(luò)安全產(chǎn)品保護(hù)企業(yè)內(nèi)部資源,防止外部入侵,控制和監(jiān)督外部用戶對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn);控制、監(jiān)督和管理企業(yè)內(nèi)部對(duì)外部Internet的訪問(wèn)。

5、層次化、模塊化;本網(wǎng)絡(luò)設(shè)計(jì)的特點(diǎn)為層次化、模塊化設(shè)計(jì)。

6、優(yōu)良的性價(jià)比

六、總結(jié)

篇5

關(guān)鍵詞:網(wǎng)絡(luò)信息安全;等級(jí)保護(hù)

中圖分類(lèi)號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 14-0000-02

The Public Security Frontier Forces Information Security Construction Discussion

Jiang Haijun

(Liaoning Province Public Security Border Defense Corps Logistics Base,Shenyang110136,China)

Abstract:This article according to the public security Frontier forces network and the information security present situation,had determined by the internal core data protection network and the information security system construction goal primarily,through the pass word method safeguard internal data security,achieves the data security rank protection the request.

Keywords:Network information security;Level protection

隨著科學(xué)技術(shù)和邊防部隊(duì)勤務(wù)工作的深入發(fā)展,信息化建設(shè)已成為提高邊防執(zhí)法水平的有力途徑,全國(guó)邊防部隊(duì)近年來(lái)已基本實(shí)現(xiàn)信息資源網(wǎng)絡(luò)化。但是,緊隨信息化發(fā)展而來(lái)的網(wǎng)絡(luò)安全問(wèn)題日漸凸出,給邊防部隊(duì)管理工作帶來(lái)了新的挑戰(zhàn),筆者結(jié)合邊防部隊(duì)當(dāng)前網(wǎng)絡(luò)安全工作實(shí)際,就如何構(gòu)建全方位的網(wǎng)絡(luò)安全管理體系略陳管見(jiàn)。

一、影響邊防部隊(duì)信息網(wǎng)絡(luò)安全的主要因素分析

(一)物理層的安全問(wèn)題。構(gòu)成網(wǎng)絡(luò)的一些計(jì)算機(jī)設(shè)備主要包括各種服務(wù)器、計(jì)算機(jī)、路由器、交換機(jī)、集線器等硬件實(shí)體和通信鏈路,這些設(shè)備分向在各種不同的地方,管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起網(wǎng)絡(luò)的癱瘓。物理安全是制定區(qū)域網(wǎng)安全解決方案時(shí)首先應(yīng)考慮的問(wèn)題。

(二)計(jì)算機(jī)病毒或木馬的危害。計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響網(wǎng)絡(luò)安全的豐要因素。新型的木馬和病毒的界限越來(lái)越模糊,木馬往往借助病毒強(qiáng)大的繁殖功能使其傳播更加廣泛。

(三)黑客的威脅和攻擊?,F(xiàn)在各類(lèi)打著安全培訓(xùn)旗號(hào)的黑客網(wǎng)站不勝枚舉,大量的由淺到深的視頻教程,豐富的黑客軟件使得攻擊變得越來(lái)越容易,攻擊者的年齡也呈現(xiàn)低齡化,攻擊越演越烈。黑客入侵的常用手法有:系統(tǒng)溢出、端口監(jiān)聽(tīng)、端口掃描、密碼破解、腳本滲透等。

二、邊防部隊(duì)信息網(wǎng)絡(luò)安全的特征分析

(一)網(wǎng)絡(luò)安全管理范圍不斷擴(kuò)大。從工作點(diǎn)來(lái)看,網(wǎng)絡(luò)覆蓋范圍已從機(jī)關(guān)直接深入到基層一線,從機(jī)關(guān)辦公大樓到沿邊沿海的邊檢站、派出所。凡是有網(wǎng)絡(luò)接入點(diǎn)的地方,無(wú)論是物理線路還是無(wú)線上網(wǎng)點(diǎn)都必須進(jìn)行網(wǎng)絡(luò)安全管理,點(diǎn)多線長(zhǎng),情況復(fù)雜;從工作環(huán)節(jié)來(lái)看,從設(shè)備的選購(gòu)、網(wǎng)絡(luò)的組建、專(zhuān)線的租用到日常網(wǎng)絡(luò)應(yīng)用,從設(shè)備維護(hù)保養(yǎng)、設(shè)備出入庫(kù)到送修和報(bào)廢,無(wú)一不涉及到網(wǎng)絡(luò)信息安全,網(wǎng)絡(luò)安全已滲透到工作的每一個(gè)環(huán)節(jié)。如:某單位被通報(bào)發(fā)現(xiàn)違規(guī)事件,經(jīng)調(diào)查,結(jié)果是有人將手機(jī)接上公安網(wǎng)計(jì)算機(jī)充電,而該手機(jī)正在無(wú)線上網(wǎng)。

(二)安全管理對(duì)象類(lèi)型復(fù)雜多樣。目前,公安信息網(wǎng)、互聯(lián)網(wǎng)、業(yè)務(wù)專(zhuān)網(wǎng)、機(jī)要專(zhuān)網(wǎng)在日常工作中頻繁使用,成為管理的難點(diǎn)。同時(shí),公安網(wǎng)上各類(lèi)使用中的網(wǎng)絡(luò)安全管理軟件系統(tǒng)應(yīng)用有待深化,一些網(wǎng)絡(luò)管理軟件使用功能僅停留在表層,未能成為得力工具。

(三)網(wǎng)絡(luò)安全問(wèn)題不斷翻新。目前互聯(lián)網(wǎng)、公安網(wǎng)、業(yè)務(wù)網(wǎng)、網(wǎng)四種網(wǎng)絡(luò)必須物理隔離,禁止交叉使用移動(dòng)存儲(chǔ)介質(zhì),但四種網(wǎng)絡(luò)的信息資源在一定范圍內(nèi)卻必須共享交流。曾經(jīng)出現(xiàn)過(guò)這種情況,某單位人員在互聯(lián)網(wǎng)上建立論壇,發(fā)表不健康言論,觸犯邊防部隊(duì)管理?xiàng)l例。究其原因,是因?yàn)槲覀兊木W(wǎng)絡(luò)安全工作一直以來(lái)是局限在公安網(wǎng)內(nèi)部,尚未隨著網(wǎng)絡(luò)應(yīng)用發(fā)展趨勢(shì)擴(kuò)展到互聯(lián)網(wǎng)的管理上。

三、邊防部隊(duì)信息網(wǎng)絡(luò)安全的技術(shù)分析

網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護(hù)技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護(hù)的關(guān)鍵,一個(gè)自身不安全的設(shè)備不僅不能保護(hù)被保護(hù)的網(wǎng)絡(luò)而且一旦被入侵,反而會(huì)變?yōu)槿肭终哌M(jìn)一步入侵的平臺(tái)。

(一)虛擬網(wǎng)技術(shù)。虛擬網(wǎng)技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此,網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無(wú)需通過(guò)開(kāi)銷(xiāo)很大的路由器。

(二)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

(三)病毒防護(hù)技術(shù)。病毒歷來(lái)是信息系統(tǒng)安全的主要問(wèn)題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián),病毒的傳播途徑和速度大大加快。在防火墻、服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件。

(四)入侵檢測(cè)技術(shù)。利用防火墻技術(shù),經(jīng)過(guò)仔細(xì)的配置,通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是,僅僅使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨平臺(tái)的入侵監(jiān)視解決方案;在需要監(jiān)視的網(wǎng)絡(luò)路徑上,放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報(bào)告及上傳證據(jù),提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。

四、邊防部隊(duì)信息網(wǎng)絡(luò)安全管理體系的對(duì)策

網(wǎng)絡(luò)安全是一個(gè)范圍相對(duì)較大的概念,根據(jù)具體的實(shí)際情況組成不同安全管控層次或等級(jí)的網(wǎng)絡(luò)系統(tǒng),既是網(wǎng)絡(luò)實(shí)際發(fā)展應(yīng)用的趨勢(shì),更是網(wǎng)絡(luò)現(xiàn)實(shí)應(yīng)用的一種必然。

(一)提高多層次的技術(shù)防范措施。按照網(wǎng)絡(luò)實(shí)際應(yīng)用中出現(xiàn)故障的原因和現(xiàn)象,參考網(wǎng)絡(luò)的結(jié)構(gòu)層次,我們可以把網(wǎng)絡(luò)安全工作的對(duì)象分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全和應(yīng)用層安全,不同層次反映不同的安全問(wèn)題,采取不同的防范重點(diǎn):一是確保物理環(huán)境的安全性。包括通信線路的安全、物理設(shè)備的安全、機(jī)房的安全等。在內(nèi)網(wǎng)、外網(wǎng)共存的環(huán)境中,可以使用不同顏色的網(wǎng)線、網(wǎng)口標(biāo)記、網(wǎng)口吊牌來(lái)標(biāo)記區(qū)分不同的網(wǎng)絡(luò),如灰色的公安網(wǎng)專(zhuān)用,紅色的互聯(lián)網(wǎng)專(zhuān)用,黃色的網(wǎng)專(zhuān)用。二是確保軟硬件設(shè)備安全性。必須預(yù)備一定的備用設(shè)備,并定期備份重要網(wǎng)絡(luò)設(shè)備設(shè)置。對(duì)待報(bào)廢的各類(lèi)存儲(chǔ)類(lèi)配件,一定要進(jìn)行消磁處理,確保信息安全。三是提供良好的設(shè)備運(yùn)行環(huán)境機(jī)房要有嚴(yán)格的防盜、防火、防潮、防靜電、防塵、防高溫、防泄密等措施,并且有單獨(dú)的電源供電系統(tǒng);安裝有計(jì)算機(jī)的辦公室要有防塵、防火、防潮、防泄密等措施,電源要符合計(jì)算機(jī)工作要求。四是完善操作系統(tǒng)的安全性必須設(shè)置系統(tǒng)自動(dòng)升級(jí)系統(tǒng)補(bǔ)丁。五是加強(qiáng)密碼的管理。存取網(wǎng)絡(luò)上的任何數(shù)據(jù)皆須通過(guò)密碼登錄。同時(shí)設(shè)制復(fù)雜的計(jì)算機(jī)開(kāi)機(jī)密碼、系統(tǒng)密碼和屏保密碼。

(二)建立嚴(yán)格的網(wǎng)絡(luò)安全管理制度。嚴(yán)格的安全管理制度、明確的部門(mén)安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低安全漏洞。我們應(yīng)通過(guò)制度規(guī)范協(xié)調(diào)網(wǎng)絡(luò)安全的組織、制度建設(shè)、安全規(guī)劃、應(yīng)急計(jì)劃,筑起網(wǎng)絡(luò)安全的第一道防線。

(三)合理開(kāi)放其它類(lèi)型的網(wǎng)絡(luò)應(yīng)用。目前,很多單位都建立了警營(yíng)網(wǎng)吧,給官兵提供良好的學(xué)習(xí)娛樂(lè)平臺(tái),這種情況下就必須把互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全工作納入安全工作范圍,采取多種方法,規(guī)范和引導(dǎo)官兵進(jìn)行互聯(lián)網(wǎng)的應(yīng)用,合理開(kāi)放所需的應(yīng)用功能,有效控制不合理的功能應(yīng)用。目前,邊防部隊(duì)的信息網(wǎng)絡(luò)安全技術(shù)的研究仍處于起步階段,有大量的工作需要我們?nèi)ヌ剿骱烷_(kāi)發(fā)。公安部已在全國(guó)范圍內(nèi)大力推進(jìn)信息網(wǎng)絡(luò)安全工作,相信在大家的共同努力下,邊防部隊(duì)將建立起一套完整的網(wǎng)絡(luò)安全體系,確保信息網(wǎng)絡(luò)的安全,推動(dòng)邊防部隊(duì)信息化高度發(fā)展。

五、結(jié)論

網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)完成后,將實(shí)現(xiàn)信息系統(tǒng)等級(jí)保護(hù)中有關(guān)數(shù)據(jù)安全保護(hù)的基本要求和目標(biāo),尤其是應(yīng)用密碼技術(shù)和手段對(duì)信息系統(tǒng)內(nèi)部的數(shù)據(jù)進(jìn)行透明加密保護(hù)。網(wǎng)絡(luò)信息安全系統(tǒng)還為單位內(nèi)部機(jī)密電子文檔的管理提供了一套有效的管理辦法,為電子文檔的泄密提供了追查依據(jù),解決了信息系統(tǒng)使用方便性和安全共享可控制的難點(diǎn),為部隊(duì)深化信息化建設(shè)提供技術(shù)保障。網(wǎng)絡(luò)信息安全系統(tǒng)能夠有效提高單位的數(shù)據(jù)安全保護(hù)等級(jí),與其他信息系統(tǒng)模塊協(xié)調(diào)工作,實(shí)現(xiàn)了資源的整合和系統(tǒng)的融合,形成一個(gè)更加安全、高效、可控、完善的信息系統(tǒng)風(fēng)險(xiǎn)監(jiān)控與等級(jí)保護(hù)平臺(tái),提高了部隊(duì)內(nèi)部核心數(shù)據(jù),特別是對(duì)內(nèi)部敏感電子文檔的安全管理,隨著系統(tǒng)的不斷完善和擴(kuò)大,將對(duì)部隊(duì)內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)的安全保護(hù)發(fā)揮更大作用。

參考文獻(xiàn):

篇6

關(guān)鍵詞:企業(yè)內(nèi)網(wǎng),安全,管理策略

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)08-1pppp-0c

1 引言

內(nèi)網(wǎng)安全理論的提出是相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)安全而言的。在傳統(tǒng)的網(wǎng)絡(luò)安全威脅模型中,假設(shè)內(nèi)網(wǎng)的所有人員和設(shè)備都是安全和可信的,而外部網(wǎng)絡(luò)則是不安全的?;谶@種假設(shè),產(chǎn)生了防病毒軟件、防火墻、IDS等外網(wǎng)安全解決方案,部署在內(nèi)網(wǎng)和外網(wǎng)之間的邊界,防外為主。這種解決策略是針對(duì)外部入侵的防范,對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無(wú)任何作用。

但是,隨著各單位信息化程度的提高以及用戶計(jì)算機(jī)使用水平的提高,安全事件的發(fā)生更多是從內(nèi)網(wǎng)開(kāi)始,由此引發(fā)了對(duì)內(nèi)網(wǎng)安全的關(guān)注。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障,企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長(zhǎng)莫及了,由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面,企業(yè)中經(jīng)常會(huì)有人私自以Modem 撥號(hào)方式、手機(jī)或無(wú)線網(wǎng)卡等方式上網(wǎng),而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中,這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來(lái)了巨大的潛在威脅;另一方面,黑客利用虛擬專(zhuān)用網(wǎng)絡(luò)VPN、無(wú)線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過(guò)企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò),發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究表明:超過(guò)80%的信息安全隱患來(lái)自組織內(nèi)部,而大多數(shù)公司都沒(méi)有設(shè)置相應(yīng)的工具來(lái)監(jiān)視和檢測(cè)內(nèi)部資源的使用和濫用。相對(duì)于外網(wǎng)安全來(lái)自互聯(lián)網(wǎng)的威脅,內(nèi)網(wǎng)安全的重點(diǎn)是數(shù)據(jù)和信息的安全,而這些數(shù)據(jù)和信息,才是企業(yè)真正有價(jià)值的資源。

2 企業(yè)內(nèi)網(wǎng)安全隱患分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開(kāi)放網(wǎng)絡(luò)環(huán)境中,顧名思義,開(kāi)放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口,同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶―企業(yè)信息系統(tǒng)的便捷途徑,使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn):病毒、蠕蟲(chóng)對(duì)系統(tǒng)的破壞;系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來(lái)竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏,導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí),開(kāi)放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來(lái)巨大的威脅。內(nèi)網(wǎng)安全威脅主要包括如下幾個(gè)方面:

2.1 網(wǎng)絡(luò)病毒

目前企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)受到最多的安全威脅來(lái)自計(jì)算機(jī)病毒,病毒的傳播形式越來(lái)越復(fù)雜、傳播的速度越來(lái)越快,影響范圍越來(lái)越大,其造成的損失已不僅限于個(gè)人計(jì)算機(jī)系統(tǒng),還可以造成服務(wù)器系統(tǒng)癱瘓、主干網(wǎng)絡(luò)擁堵,甚至崩潰。在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中存在網(wǎng)絡(luò)病毒對(duì)郵件服務(wù)器及個(gè)人操作系統(tǒng)的破壞,以及網(wǎng)絡(luò)病毒造成的網(wǎng)速變慢,系統(tǒng)無(wú)法正常響應(yīng)等情況,并且在病毒發(fā)作時(shí)不能及時(shí)處理,難以快速發(fā)現(xiàn)被病毒感染機(jī)器的IP地址。

2.2 非法入侵

網(wǎng)絡(luò)黑客對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的攻擊隨時(shí)都可能發(fā)生。因此,通常首要考慮的問(wèn)題是如何有效地防范來(lái)自外部的攻擊。來(lái)自外部的攻擊通常只會(huì)影響采用合法IP地址的網(wǎng)絡(luò)設(shè)備及服務(wù)器,或者說(shuō)它們只對(duì)Internet上的可見(jiàn)設(shè)備進(jìn)行攻擊。但是這并非就意味著網(wǎng)絡(luò)內(nèi)部采用保留IP地址的網(wǎng)絡(luò)就不會(huì)受到攻擊。企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模較大,網(wǎng)絡(luò)用戶較多,安全系統(tǒng)參差不齊,缺乏統(tǒng)一有效的控制手段。因此,在考慮外部入侵的同時(shí),也要考慮來(lái)自Intranet內(nèi)部的安全威脅。

2.3 系統(tǒng)安全漏洞、補(bǔ)丁修補(bǔ)不及時(shí)

隨著各類(lèi)網(wǎng)絡(luò)和操作系統(tǒng)軟件的不斷更新和升級(jí),由于邊界處理不善和質(zhì)量控制差等綜合原因,網(wǎng)絡(luò)和系統(tǒng)軟件存在越來(lái)越多的缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)和有利條件。網(wǎng)絡(luò)入侵行為的成功大多是利用了網(wǎng)絡(luò)系統(tǒng)的安全漏洞,這些漏洞包括安全管理的漏洞、操作系統(tǒng)的漏洞、數(shù)據(jù)庫(kù)系統(tǒng)的漏洞、應(yīng)用系統(tǒng)的漏洞、網(wǎng)絡(luò)管理的漏洞等。如果不及時(shí)修補(bǔ)補(bǔ)丁,其相關(guān)的漏洞就可能會(huì)被隨之而來(lái)的攻擊手段所利用,給整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性帶來(lái)威脅。在實(shí)施網(wǎng)絡(luò)安全策略時(shí),很重要的一步就是查清各種漏洞并及時(shí)彌補(bǔ)。在上述所有漏洞中,操作系統(tǒng)漏洞及數(shù)據(jù)庫(kù)系統(tǒng)漏洞多被外部黑客所利用,而來(lái)自內(nèi)部的黑客則可能利用所有的漏洞。

2.4 IP地址管理和非法內(nèi)聯(lián)外聯(lián)問(wèn)題

企業(yè)內(nèi)部網(wǎng)絡(luò)由于沒(méi)有嚴(yán)格的管理策略,IP地址使用存在一定混亂,部分員工隨意設(shè)置IP地址,造成IP地址沖突,甚至導(dǎo)致關(guān)鍵設(shè)備的工作異常。一旦出現(xiàn)惡意盜用、冒用IP地址以謀求非法利益,后果將更為嚴(yán)重。

另外企業(yè)辦公樓層規(guī)?;木W(wǎng)絡(luò)接口方便了員工接入網(wǎng)絡(luò),同時(shí)也方便了外來(lái)計(jì)算機(jī)接入網(wǎng)絡(luò),接入內(nèi)網(wǎng)的計(jì)算機(jī)應(yīng)該是專(zhuān)門(mén)用于完成業(yè)務(wù)工作且經(jīng)過(guò)認(rèn)可的計(jì)算機(jī)。但是存在著用戶利用這些計(jì)算機(jī)設(shè)備進(jìn)行其它活動(dòng), 或使用未經(jīng)確認(rèn)許可的計(jì)算機(jī)接入內(nèi)網(wǎng),管理人員對(duì)此類(lèi)情況難以判定并加以監(jiān)視和控制,造成內(nèi)網(wǎng)安全的極大隱患。

隨著企業(yè)信息化工作的開(kāi)展和不斷深化,越來(lái)越多的企業(yè)信息通過(guò)網(wǎng)絡(luò)溝通、共享和保存。這些信息和數(shù)據(jù)既包含業(yè)務(wù)數(shù)據(jù),也包括財(cái)務(wù)憑證、報(bào)表以及人事檔案資料、公司內(nèi)部公文,還包括合作伙伴的結(jié)算信息。這些信息有些是供電企業(yè)的行業(yè)機(jī)密和商業(yè)機(jī)密,有些用于企業(yè)的規(guī)范管理,有些用于輔助決策,它們對(duì)企業(yè)的生存和發(fā)展起到至關(guān)重要的作用。因此,管理信息系統(tǒng)的安全保密性成為系統(tǒng)開(kāi)發(fā)中必須著重考慮的問(wèn)題。這些機(jī)密數(shù)據(jù)和文件的外泄,造成的影響和危害非常嚴(yán)重,由于部分特定行業(yè)的特殊性,其造成的危害往往還涉及到國(guó)家的利益,因此嚴(yán)禁網(wǎng)絡(luò)和專(zhuān)有網(wǎng)絡(luò)與Internet互聯(lián)。

2.5缺乏有效監(jiān)控措施

目前一般企業(yè)內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間采用物理隔離的安全措施,在一定程度上保證了內(nèi)部網(wǎng)絡(luò)的安全性,但是各類(lèi)網(wǎng)絡(luò)基礎(chǔ)信息采集不全。大型計(jì)算機(jī)網(wǎng)絡(luò)的管理應(yīng)該以基礎(chǔ)信息的管理為核心, 信息管理中心如果對(duì)所管轄網(wǎng)絡(luò)的用戶和資源狀況難以掌握, 對(duì)整個(gè)網(wǎng)絡(luò)的管理工作也就無(wú)從談起, 在發(fā)生違規(guī)事件時(shí)也很難及時(shí)將問(wèn)題定位到具體的用戶。網(wǎng)絡(luò)安全存在著“木桶”效應(yīng),整個(gè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)往往出現(xiàn)在終端用戶,單個(gè)用戶計(jì)算機(jī)的安全性不足,時(shí)刻威脅著整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的安全。常見(jiàn)的防火墻、入侵檢測(cè)等系統(tǒng)主要針對(duì)的是網(wǎng)絡(luò)運(yùn)行安全,對(duì)于終端用戶的監(jiān)控始終是網(wǎng)絡(luò)安全管理中的薄弱環(huán)節(jié),對(duì)網(wǎng)絡(luò)內(nèi)部的安全威脅缺乏防護(hù)、監(jiān)控和審計(jì)機(jī)制。

3 企業(yè)內(nèi)網(wǎng)安全管理策略

企業(yè)內(nèi)網(wǎng)安全管理策略能夠極好地解決網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全管理問(wèn)題,通過(guò)對(duì)終端節(jié)點(diǎn)進(jìn)行嚴(yán)防死守,對(duì)網(wǎng)絡(luò)層面進(jìn)行系統(tǒng)聯(lián)動(dòng),對(duì)內(nèi)網(wǎng)平臺(tái)進(jìn)行整合管理,從而為企業(yè)提供一個(gè)自防御的內(nèi)網(wǎng)安全管理平臺(tái),為網(wǎng)絡(luò)管理員展現(xiàn)一個(gè)安全的、易使用的環(huán)境,幫助企業(yè)解決大量的內(nèi)網(wǎng)安全隱患問(wèn)題。

3.1 資產(chǎn)管理

資產(chǎn)管理模塊自動(dòng)收集被管理的計(jì)算機(jī)全面的軟硬件信息,包括:計(jì)算機(jī)名、品牌、硬盤(pán)型號(hào)及大小、CPU、內(nèi)存等配置信息;此外,還能定義包含合同采購(gòu)保修在內(nèi)的全面資產(chǎn)維護(hù)信息及使用者狀態(tài),自動(dòng)收集計(jì)算機(jī)安裝的各種應(yīng)用軟件,并根據(jù)需要?jiǎng)討B(tài)導(dǎo)出管理報(bào)表。

3.2 進(jìn)程管理

網(wǎng)絡(luò)聊天軟件、股票軟件、網(wǎng)絡(luò)電影軟件等現(xiàn)象在辦公室蔓延令許多管理者頭痛,通過(guò)進(jìn)程管理模塊,能實(shí)時(shí)監(jiān)控與查殺企業(yè)內(nèi)部任何計(jì)算機(jī)當(dāng)前運(yùn)行進(jìn)程,并通過(guò)黑白名單功能切實(shí)保障非法進(jìn)程無(wú)法運(yùn)行,此外還能對(duì)特殊進(jìn)程設(shè)置詳細(xì)說(shuō)明信息,使計(jì)算機(jī)只運(yùn)行指定的應(yīng)用程序,規(guī)范桌面應(yīng)用程序環(huán)境。

3.3 補(bǔ)丁管理及軟件分發(fā)

不同版本的操作系統(tǒng),不同應(yīng)用軟件專(zhuān)用補(bǔ)丁,龐大的計(jì)算機(jī)數(shù)量,僅僅依靠著網(wǎng)絡(luò)維護(hù)管理人員手工安裝的解決辦法,只能讓網(wǎng)絡(luò)維護(hù)管理人員疲于奔命。系統(tǒng)補(bǔ)丁自動(dòng)管理功能為補(bǔ)丁的自動(dòng)安裝及升級(jí)提供了解決方案;此外,通過(guò)系統(tǒng)軟件分發(fā)功能,可以定制分發(fā)任務(wù),從而極大地提高工作效率。

3.4 網(wǎng)絡(luò)訪問(wèn)管理

網(wǎng)絡(luò)訪問(wèn)管理可以部署企業(yè)內(nèi)部計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)規(guī)則,只允許或禁止某些計(jì)算機(jī)訪問(wèn)特定的資源。例如一般員工不能訪問(wèn)部門(mén)領(lǐng)導(dǎo)級(jí)的計(jì)算機(jī)資源、不能訪問(wèn)內(nèi)部重要數(shù)據(jù)服務(wù)器等;另外,可以限制員工只能使用某些網(wǎng)絡(luò),或者只允許或禁止某些端口,從而合理地規(guī)劃內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)絡(luò)資源訪問(wèn)。

3.5 遠(yuǎn)程維護(hù)管理

企業(yè)跨樓層、跨地域的內(nèi)部網(wǎng)絡(luò)使得維護(hù)工作越來(lái)越繁瑣。遠(yuǎn)程維護(hù)模塊基于Java組件的實(shí)現(xiàn)方式,通過(guò)Internet Explorer瀏覽器讓網(wǎng)絡(luò)維護(hù)管理人員對(duì)計(jì)算機(jī)桌面遠(yuǎn)程接管,并且能提供連接時(shí)限的設(shè)置和分級(jí)授權(quán)等功能讓遠(yuǎn)程維護(hù)管理省時(shí)省心。

3.6 外設(shè)管理

針對(duì)企業(yè)內(nèi)的一些特殊業(yè)務(wù)要求,網(wǎng)絡(luò)維護(hù)管理人員必須全部或部分禁止外部設(shè)備,相比較于對(duì)計(jì)算機(jī)進(jìn)行硬件拆卸、外設(shè)端口貼封條的傳統(tǒng)方法,內(nèi)網(wǎng)安全管理解決方案的外設(shè)管理功能通過(guò)USB存儲(chǔ)設(shè)備的控制策略、USB接口的鍵盤(pán)鼠標(biāo)等輸入設(shè)備例外管理策略及各種光驅(qū)、軟驅(qū)等驅(qū)動(dòng)器的控制策略完美地解決了上述問(wèn)題。

3.7 桌面設(shè)置管理

由于非法修改IP地址,而造成網(wǎng)絡(luò)沖突和網(wǎng)絡(luò)安全隱患。針對(duì)此種情況,桌面設(shè)置功能提供是否允許管理共享控制、開(kāi)Guest賬號(hào)及自動(dòng)登錄等功能,并通過(guò)IP地址與計(jì)算機(jī)綁定功能,實(shí)現(xiàn)IP地址和網(wǎng)卡MAC地址的捆綁,機(jī)器就無(wú)法再更改IP地址,有效地控制網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的網(wǎng)絡(luò)行為。

3.8 系統(tǒng)預(yù)警管理

如何進(jìn)行全方位的系統(tǒng)預(yù)警是企業(yè)信息安全非常重要的一環(huán)。預(yù)警管理功能可以定義異常事件并及時(shí)向網(wǎng)絡(luò)維護(hù)管理人員進(jìn)行警告,它提供對(duì)一些特殊TCP/UDP端口訪問(wèn)的告警及非法外聯(lián)警告,讓網(wǎng)絡(luò)維護(hù)管理人員實(shí)時(shí)地了解每臺(tái)計(jì)算機(jī)的系統(tǒng)狀態(tài),及時(shí)地掌握網(wǎng)絡(luò)數(shù)據(jù),從而有充分的準(zhǔn)備來(lái)應(yīng)付可能的突發(fā)事件。

3.9 接入安全控制

企業(yè)越來(lái)越難以在保持網(wǎng)絡(luò)資源可用性的同時(shí)確保企業(yè)網(wǎng)絡(luò)的接入安全,接入安全控制功能提供了對(duì)非法接入計(jì)算機(jī)、卸載關(guān)鍵軟件等進(jìn)行了阻斷或重定向等管理手段,使企業(yè)業(yè)務(wù)數(shù)據(jù)不輕易泄露,對(duì)私自改變IP地址和安裝非法軟件等安全隱患進(jìn)行更加有效的預(yù)防。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的、全局的管理問(wèn)題,網(wǎng)絡(luò)上的任何一個(gè)漏洞,都會(huì)導(dǎo)致全網(wǎng)的安全問(wèn)題,我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施,必須從網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)、應(yīng)用業(yè)務(wù)系統(tǒng)甚至系統(tǒng)安全管理規(guī)范、使用人員安全意識(shí)等各個(gè)層面統(tǒng)籌考慮。內(nèi)網(wǎng)安全問(wèn)題在安全體系中是至關(guān)重要的環(huán)節(jié),解決內(nèi)網(wǎng)安全問(wèn)題必須從規(guī)劃內(nèi)網(wǎng)資源、規(guī)范內(nèi)網(wǎng)行為、防止內(nèi)網(wǎng)信息泄露等多方面入手,構(gòu)建有效的企業(yè)內(nèi)網(wǎng)安全管理策略,這樣才能真正保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

參考文獻(xiàn):

[1]葉代亮,孫鈺華.內(nèi)網(wǎng)的安全管理[J].計(jì)算機(jī)安全,2006.1.

[2]寧潔.內(nèi)網(wǎng)安全建設(shè)的問(wèn)題分析與解決方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006.10.

[3]宋弘,薛雯波.構(gòu)建內(nèi)網(wǎng)安全體系的幾個(gè)要點(diǎn)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2005.18.

[4]馬先.信息網(wǎng)絡(luò)安全防護(hù)分析[J].青海電力,2006.3.

[5]王為.內(nèi)部網(wǎng)絡(luò)中客戶端計(jì)算機(jī)安全策略[J].計(jì)算機(jī)安全,2006.10.

[6]劉曄,彭宗勤,志.淺論威脅企業(yè)網(wǎng)絡(luò)信息安全的因素及防范對(duì)策[J].集團(tuán)經(jīng)濟(jì)研究,2007.5.

[7]王迎新,牛東曉.電力企業(yè)網(wǎng)絡(luò)信息安全管理研究[J].中國(guó)管理信息化(綜合版),2007.3.

篇7

關(guān)鍵詞無(wú)線網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全防范

1引言

隨著信息技術(shù)的飛速發(fā)展,人們對(duì)網(wǎng)絡(luò)通信的需求不斷提高,對(duì)Internet訪問(wèn)的持續(xù)性、移動(dòng)性和適應(yīng)性等方面取得很大進(jìn)展,近年來(lái)無(wú)線網(wǎng)絡(luò)已經(jīng)成為一種較為普及的網(wǎng)絡(luò)訪問(wèn)方式,并且在一些領(lǐng)域已經(jīng)占據(jù)了主流的地位。這表明無(wú)線網(wǎng)絡(luò)有著傳統(tǒng)網(wǎng)絡(luò)不能比擬的優(yōu)勢(shì),但是將無(wú)線網(wǎng)絡(luò)接入傳統(tǒng)的Internet中存在許多技術(shù)問(wèn)題和安全問(wèn)題。

2無(wú)線局域網(wǎng)的結(jié)構(gòu)及其運(yùn)行方式

無(wú)線局域網(wǎng)所涉及的主要設(shè)備包括:無(wú)線AP、無(wú)線路由器、無(wú)線網(wǎng)橋等。無(wú)線AP(ACCESSPOINT)即無(wú)線接入點(diǎn),相當(dāng)于一個(gè)無(wú)線集線器(HUB),接在有線交換機(jī)或路由器上,為跟它連接的無(wú)線網(wǎng)卡從路由器那里分得IP。它主要是提供無(wú)線工作站對(duì)有線局域網(wǎng)的訪問(wèn)和從有線局域網(wǎng)對(duì)無(wú)線工作站的訪問(wèn),在訪問(wèn)接入點(diǎn)覆蓋范圍內(nèi)的無(wú)線工作站可以通過(guò)它進(jìn)行相互通信;無(wú)線路由器:無(wú)線路由器就是AP、路由功能和集線器的集合體,支持有線無(wú)線組成同一子網(wǎng),直接連接上層交換機(jī)或ADSL貓等,因?yàn)榇蠖鄶?shù)無(wú)線路由器都支持PPOE撥號(hào)功能;無(wú)線網(wǎng)橋又叫橋接器,它是一種在鏈路層實(shí)現(xiàn)局域網(wǎng)互連的存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備。網(wǎng)橋有在不同網(wǎng)段之間再生信號(hào)的功能,它可以有效地連接兩個(gè)LAN(局域網(wǎng)),使本地通信限制在本網(wǎng)段內(nèi),并轉(zhuǎn)發(fā)相應(yīng)的信號(hào)至另一網(wǎng)段。網(wǎng)橋通常用于連接數(shù)量不多的、同一類(lèi)型的網(wǎng)段。

無(wú)線局域網(wǎng)一般采取以下的幾種網(wǎng)絡(luò)結(jié)構(gòu)來(lái)實(shí)現(xiàn)互聯(lián)。以適應(yīng)不同的需要:

(1)基站接入型:當(dāng)采用移動(dòng)蜂窩通信網(wǎng)接入方式組建無(wú)線局域網(wǎng)時(shí),各站點(diǎn)之間的通信是通過(guò)基站接入、數(shù)據(jù)交換方式來(lái)實(shí)現(xiàn)互聯(lián)的。各移動(dòng)站不僅可以通過(guò)交換中心自行組網(wǎng),還可以通過(guò)廣域網(wǎng)與遠(yuǎn)地站點(diǎn)組建自己的工作網(wǎng)絡(luò)。如圖1。

(2)網(wǎng)橋連接型:不同的局域網(wǎng)之間互聯(lián)時(shí),如果不便采取有線方式,則可利用無(wú)線網(wǎng)橋的方式實(shí)現(xiàn)二者的點(diǎn)對(duì)點(diǎn)連接,比如距離比較遠(yuǎn)的兩棟或更多建筑物之間的互聯(lián)互通。無(wú)線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接,還為兩個(gè)網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。如圖2。圖1基站接入型圖2網(wǎng)橋連接型(3)Infrastructure接入型:計(jì)算機(jī)通過(guò)無(wú)線網(wǎng)卡與AP或橋接器進(jìn)行通訊,AP或橋接器起到了有線網(wǎng)絡(luò)中HUB的作用。可以組建星型結(jié)構(gòu)的無(wú)線局域網(wǎng),所有傳輸?shù)臄?shù)據(jù)均需通過(guò)AP或橋接器,由橋接器進(jìn)行網(wǎng)絡(luò)的控制管理。不同橋接器可以相互串聯(lián)以形成更大規(guī)模的網(wǎng)絡(luò)。在該結(jié)構(gòu)基礎(chǔ)上的WLAN,可采用類(lèi)似于交換型以太網(wǎng)的工作方式,要求HUB具有簡(jiǎn)單的網(wǎng)內(nèi)交換功能。實(shí)現(xiàn)了無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的無(wú)縫連接。

(4)無(wú)中心結(jié)構(gòu)(Ad-hoc):即不通過(guò)AP,各計(jì)算機(jī)通過(guò)無(wú)線網(wǎng)卡自行進(jìn)行通訊。網(wǎng)絡(luò)管理分散到各個(gè)計(jì)算機(jī)中。是一種點(diǎn)對(duì)點(diǎn)的應(yīng)用方式。要求網(wǎng)中任意兩個(gè)站點(diǎn)均可直接通信。此結(jié)構(gòu)的無(wú)線局域網(wǎng)一般使用公用廣播信道,MAC層采用CSMA類(lèi)型的多址接入?yún)f(xié)議。圖3Infrastructure圖4Ad-hoc3無(wú)線局域網(wǎng)的運(yùn)行方式

無(wú)線局域網(wǎng)采用的標(biāo)準(zhǔn)是IEEE802.11。該標(biāo)準(zhǔn)定義了物理層和媒體訪問(wèn)控制(MAC)規(guī)范,允許無(wú)線局域網(wǎng)及無(wú)線設(shè)備制造商建立互操作網(wǎng)絡(luò)設(shè)備。后來(lái)又相繼公布了802.11a和802.11b,IEEE802.11b使用開(kāi)放的2.4GHz直接序列擴(kuò)頻,最大數(shù)據(jù)傳輸速率為108Mbps,也可根據(jù)信號(hào)強(qiáng)弱把傳輸率調(diào)整為54Mbps、11Mbps、5.5Mbps、2Mbps和1Mbps帶寬。直線傳播傳輸范圍為室外最大300m,室內(nèi)有障礙的情況下最大100m,是現(xiàn)在使用的最多的傳輸協(xié)議。2000年,IEEE成立專(zhuān)門(mén)工作組對(duì)802.11g進(jìn)行標(biāo)準(zhǔn)化工作,目的是為了用戶獲得更高的數(shù)據(jù)速率服務(wù),后向兼容802.11b,前向兼容802.11a。

4無(wú)線局域網(wǎng)絡(luò)主要的安全威脅

由于無(wú)線網(wǎng)絡(luò)的傳輸方式和物理結(jié)構(gòu)等原因,導(dǎo)致其在安全問(wèn)題上較有線網(wǎng)絡(luò)更容易受到威脅,主要表現(xiàn)在:

(1)容易泄漏,無(wú)線局域網(wǎng)絡(luò)主要采用無(wú)線通信方式,其數(shù)據(jù)包更容易被截獲,由于不能在物理空間上的嚴(yán)格界定,所以傳輸?shù)男畔⒑苋菀妆恍孤?,任何能接受到信?hào)的人,都可進(jìn)入并解碼破譯。而事實(shí)上很多無(wú)線局域網(wǎng)絡(luò)在默認(rèn)狀態(tài)下是沒(méi)有加密的。

(2)易受干擾,由于目前802.1lb協(xié)議規(guī)定的工作頻段的開(kāi)放性,廣泛用于很多電子產(chǎn)品,因此容易互相干擾,造成無(wú)法通信或者通信中斷,如果惡意用戶通過(guò)干擾器對(duì)特定無(wú)線網(wǎng)絡(luò)進(jìn)行拒絕服務(wù)攻擊或者干擾,那么這個(gè)干擾源不是很容易就能查出來(lái)的。

(3)入侵容易,無(wú)線網(wǎng)絡(luò)的接入點(diǎn)在設(shè)計(jì)上要求其具有公開(kāi)、易獲取的特性,以方便合法接入者,但這也為入侵者提供了必要的信息,利用這些信息,入侵者可以在能夠接受信號(hào)的任何地方進(jìn)入網(wǎng)絡(luò)或發(fā)起攻擊,即使被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)也很難定位,在不改變?cè)邪踩渲玫那闆r下,難以阻止入侵的繼續(xù)。雖然,802.11在安全方面規(guī)定了WEP加密,但是WEP加密是不安全的,WEP的脆弱可能使整個(gè)網(wǎng)絡(luò)受到更大的威脅。

(4)地址欺騙與會(huì)話攔截,由于802.11無(wú)線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作,通過(guò)非常簡(jiǎn)單的方法就可以獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址,然后通過(guò)欺騙幀改變ARP表,進(jìn)行地址欺騙攻擊。同時(shí),攻擊者還可以通過(guò)截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷,裝扮成AP進(jìn)入網(wǎng)絡(luò),進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。

5無(wú)線局域網(wǎng)中主要的安全防范技術(shù)

經(jīng)過(guò)業(yè)界幾年的努力,現(xiàn)在已經(jīng)有一些較為有效的安全防范技術(shù)應(yīng)用于無(wú)線網(wǎng)絡(luò)中,比較通行的有以下一些技術(shù):

(1)服務(wù)集標(biāo)識(shí)符(SSID):ServiceSetIdentifier相當(dāng)于一個(gè)局域網(wǎng)的簡(jiǎn)單標(biāo)志或口令,它設(shè)置于無(wú)線接入點(diǎn)AP(AccessPoint)上,無(wú)線工作站要與AP連接必須要有一個(gè)和AP一致的SSID,無(wú)線工作站可以籍此來(lái)選擇想要來(lái)連接的網(wǎng)絡(luò),從安全的角度來(lái)看,SSID提供一個(gè)較低級(jí)別的安全認(rèn)證。

(2)物理地址過(guò)濾(MAC):在小規(guī)模的網(wǎng)絡(luò)中,每一個(gè)被允許訪問(wèn)AP無(wú)線工作站的網(wǎng)卡的物理地址被登記下來(lái),設(shè)置在AP中作為允許訪問(wèn)的過(guò)濾條件,在AP中沒(méi)有登記的網(wǎng)卡無(wú)法訪問(wèn)AP。

(3)連線對(duì)等保密(WEP):WEP是WiredEquivalentPrivacy的簡(jiǎn)稱(chēng),是802.11b標(biāo)準(zhǔn)里定義的一個(gè)用于無(wú)線局域網(wǎng)(WLAN)的安全性協(xié)議。WEP被用來(lái)提供和有線LAN同級(jí)的安全性。WEP的目標(biāo)就是通過(guò)對(duì)無(wú)線電波里的數(shù)據(jù)加密提供安全性,如同端對(duì)端發(fā)送一樣。由于在WLAN中,無(wú)需物理連接就可以連接到網(wǎng)絡(luò),因此IEEE選擇在數(shù)據(jù)鏈路層使用加密,采用RC4對(duì)稱(chēng)加密技術(shù),用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源,從而防止非授權(quán)用戶的監(jiān)聽(tīng)以及非法用戶的訪問(wèn)。

(4)Wi-Fi保護(hù)接入(WPA):WPA(Wi-FiProtectedAccess)繼承了WEP的基本原理,通過(guò)使用一種名為T(mén)KIP(暫時(shí)密鑰完整性協(xié)議)的新協(xié)議,使用的密鑰與網(wǎng)絡(luò)上每臺(tái)設(shè)備的MAC地址及一個(gè)更大的初始化向量合并,來(lái)確保每一節(jié)點(diǎn)均使用一個(gè)不同的密鑰流對(duì)其數(shù)據(jù)進(jìn)行加密。隨后TKIP會(huì)使用RC4加密算法對(duì)數(shù)據(jù)進(jìn)行加密,由于加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析也幾乎無(wú)法計(jì)算出通用密鑰,解決[本文由網(wǎng)站公文大全收集整理]了WEP的缺陷,WPA還包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分,是一個(gè)完整的安全性方案。

(5)端口訪問(wèn)控制技術(shù)(802.1x):802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的無(wú)線工作站通過(guò)接入端口訪問(wèn)LAN/WAN。在通過(guò)AP獲得各種業(yè)務(wù)之前,802.1x對(duì)連接到AP端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。該技術(shù)是一種增強(qiáng)型的網(wǎng)絡(luò)安全解決方案,特別適合于公共無(wú)線接入解決方案。

利用這些技術(shù),我們?cè)谙鹿?jié)中提出了一系列具有實(shí)用意義的安全防范措施。

6無(wú)線局域網(wǎng)安全防范措施

6.1建立更安全的網(wǎng)絡(luò)構(gòu)架

采用何種網(wǎng)絡(luò)構(gòu)架對(duì)于無(wú)線網(wǎng)絡(luò)的安全具有決定性的作用,隨著人們對(duì)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越重視,許多新的技術(shù)被集成到無(wú)線局域網(wǎng)上,我們這里僅給出一種采用典型端口訪問(wèn)技術(shù)和VPN技術(shù)相結(jié)合的范例,見(jiàn)圖5。

(1)采用端口訪問(wèn)技術(shù)(802.1x)進(jìn)行控制,防止非授權(quán)的非法接入和訪問(wèn)。802.1x在端口上實(shí)現(xiàn)基于MAC地址的認(rèn)證方式。做到IP與MAC地址的綁定,防止了用戶的假冒。通過(guò)EAP協(xié)議可以與RADIUS服務(wù)器進(jìn)行通信,提供便捷的認(rèn)證方式。

(2)對(duì)于密度等級(jí)高的網(wǎng)絡(luò)采用VPN進(jìn)行連接,目前廣泛應(yīng)用于局域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的虛擬專(zhuān)用網(wǎng)(VPN)安全技術(shù)。與802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同,在IP網(wǎng)絡(luò)中,VPN主要采用IPSec技術(shù)來(lái)保障數(shù)據(jù)傳輸?shù)陌踩?。?duì)于安全性要求更高的用戶,將現(xiàn)有的VPN安全技術(shù)與802.11b安全技術(shù)結(jié)合起來(lái),是目前較為理想的無(wú)線局域網(wǎng)絡(luò)的安全解決方案。圖5一個(gè)安全的無(wú)線局域網(wǎng)構(gòu)架6.2無(wú)線接入點(diǎn)的安全措施

(1)在有條件的情況下,可以采用支持WPA規(guī)范的設(shè)備,WPA標(biāo)準(zhǔn)作為一種可替代WEP的無(wú)線安全技術(shù),考慮到了不同的用戶和不同的應(yīng)用安全需要,在企業(yè)模式下,通過(guò)使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機(jī)制來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)通信安全。家庭模式(包括小型辦公室)下,在AP(或者無(wú)線路由器)以及連接無(wú)線網(wǎng)絡(luò)的無(wú)線終端上輸入共享密鑰來(lái)保護(hù)無(wú)線鏈路的通信安全。

(2)如果只能選擇WEP加密技術(shù),則最好采用128位WEP加密,并不要使用設(shè)備自帶的WEP密鑰。

(3)禁止AP向外廣播其SSID,并設(shè)置復(fù)雜的SSID,由于一般情況下,用戶自己配置客戶端系統(tǒng),所以很多人都知道該SSID,很容易共享給非法用戶。而且目前有的客戶端跳過(guò)SSID安全功能,自動(dòng)連接到AP。所以這些措施是比較脆弱的,但如果配置AP向外廣播其SSID,那么安全程度還將下降。

(4)設(shè)置MAC過(guò)濾,在AP中可以設(shè)定哪些MAC地址不能與AP通信,這樣可防止非法網(wǎng)卡登錄到AP上,也可以防止非法客戶機(jī)訪問(wèn)AP下的無(wú)線網(wǎng)客戶機(jī)。但應(yīng)該知道,實(shí)際上MAC是很容易被假冒的。

(5)注意對(duì)AP的管理,修改缺省的AP密碼,各種主流AP產(chǎn)品的默認(rèn)管理密碼已為人們熟知,應(yīng)修改缺省的密碼,以防非法闖入。

6.3無(wú)線終端上的安全措施

系統(tǒng)管理員如果需要防止無(wú)線終端上的網(wǎng)絡(luò)設(shè)置泄漏,可以選用支持修改屬性需要密碼的網(wǎng)卡,要開(kāi)啟該功能,防止網(wǎng)卡屬性被修改和信息泄漏。

與在傳統(tǒng)網(wǎng)絡(luò)中相比,無(wú)線終端更應(yīng)當(dāng)注意安裝防火墻等安全軟件,并及時(shí)更新系統(tǒng)漏洞補(bǔ)丁。

6.4管理與培訓(xùn)

安全與管理是兩個(gè)需要同等重視的問(wèn)題,而且是互相影響互相推動(dòng)的。

對(duì)于大型網(wǎng)絡(luò),我們應(yīng)該制定周密的計(jì)劃,支持多種安全策略應(yīng)對(duì)不同的情況、,從而提高無(wú)線局域網(wǎng)的性能,并能在企業(yè)無(wú)線局域網(wǎng)內(nèi)支持新的移動(dòng)模式。

可以采用第三方的軟件公司提供的軟件解決方案,在一個(gè)統(tǒng)一的平臺(tái)和界面上管理多種策略和各種類(lèi)型的無(wú)線網(wǎng)絡(luò),實(shí)施監(jiān)控和記錄歷史數(shù)據(jù),從而實(shí)現(xiàn)一個(gè)安全、可靠的無(wú)線網(wǎng)絡(luò)。

制定無(wú)線網(wǎng)絡(luò)管理的相關(guān)規(guī)定,包括使用無(wú)線網(wǎng)絡(luò)的指導(dǎo)性規(guī)定和特別的禁則,比如,規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴公司外部人員,禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)等。

對(duì)網(wǎng)絡(luò)管理人員進(jìn)行知識(shí)培訓(xùn)。普及無(wú)線網(wǎng)絡(luò)的安全知識(shí),加深員工的安全意識(shí),明白違規(guī)使用無(wú)線網(wǎng)絡(luò)的危害性。

7結(jié)語(yǔ)

無(wú)線網(wǎng)絡(luò)在很大程度上突破了統(tǒng)有線網(wǎng)絡(luò)的限制,使用戶獲得了可移動(dòng)性和方便性,但正因如此無(wú)線網(wǎng)絡(luò)也面臨更大的安全威脅,要求我們有更高一級(jí)的安全防范意識(shí)和防范措施,不可掉以輕心。當(dāng)然也沒(méi)有必要“談無(wú)線而色變”,因?yàn)槠浒踩系娘L(fēng)險(xiǎn)而不敢采用,事實(shí)上,根據(jù)不同的安全需要,對(duì)無(wú)線網(wǎng)絡(luò)的固有物理特性和組網(wǎng)結(jié)構(gòu)進(jìn)行透徹的分析,在不同的層面采取恰當(dāng)?shù)拇胧?,保障無(wú)線網(wǎng)絡(luò)的安全可用是完全可行的。

參考文獻(xiàn)

[1]蔡一郎.Windows2000Server網(wǎng)絡(luò)技術(shù)與構(gòu)架管理[M]北京:清華大學(xué)出版社,2002:302-378

[2]何軍.無(wú)線通信與網(wǎng)絡(luò).北京:清華大學(xué)出版社,2004,6

[3]孫利民,李建中.無(wú)線局域網(wǎng)絡(luò).北京:清華大學(xué)出版社,2005:4~22

[4]AspinwallJ.Installing,TroubleshootingandRepairingWirelessNetworks[M].北京:電子工業(yè)出版社,2004

[5]湛成偉.網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)淺析[J].重慶工學(xué)院學(xué)報(bào),2006,20(8):119-121

篇8

關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)管理

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校園網(wǎng)絡(luò)作為信息化校園的重要組成部分,在全國(guó)各高校大規(guī)模展開(kāi),已近十年的歷程。校園網(wǎng)的建設(shè)重點(diǎn)已從最初單純的網(wǎng)絡(luò)硬件鋪設(shè),簡(jiǎn)單的Internet接入,小規(guī)模離散的應(yīng)用,發(fā)展到大規(guī)模成系統(tǒng)的網(wǎng)絡(luò)應(yīng)用。近年隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用日益普及,學(xué)校的教學(xué)和管理對(duì)校園網(wǎng)的依賴(lài)程度不斷加大。網(wǎng)絡(luò)的脆弱性,使得依賴(lài)于網(wǎng)絡(luò)的教學(xué)與管理面臨著安全威脅,網(wǎng)絡(luò)安全成了校園網(wǎng)建設(shè)的焦點(diǎn)問(wèn)題。構(gòu)建安全的校園網(wǎng)并不是簡(jiǎn)單的堆砌網(wǎng)絡(luò)安全技術(shù)或安全產(chǎn)品,它不僅涉及到技術(shù)層面,也涉及到非技術(shù)層面。本文似從技術(shù)和管理兩個(gè)層面來(lái)探討如何構(gòu)建安全的校園網(wǎng)絡(luò)系統(tǒng)。

2 校園網(wǎng)的特點(diǎn)及安全現(xiàn)狀分析

校園網(wǎng)有著自己鮮明的特點(diǎn):一是大規(guī)模、高速網(wǎng)絡(luò)環(huán)境,主要表現(xiàn)為用戶數(shù)據(jù)龐大、地域分布的多校區(qū)網(wǎng)絡(luò)和快速局域網(wǎng)技術(shù);二是復(fù)雜的應(yīng)用和業(yè)務(wù)類(lèi)型,主要表現(xiàn)為公共服務(wù)、科研應(yīng)用、教學(xué)輔助、學(xué)生管理、行政管理、教學(xué)管理和普通上網(wǎng)應(yīng)用等;三是活躍的、不同使用水平的網(wǎng)絡(luò)用戶群體,即有普通的用戶群、又有管理用戶群,還有網(wǎng)絡(luò)相關(guān)專(zhuān)業(yè)的學(xué)生用戶群,他們網(wǎng)絡(luò)應(yīng)用目的不同,對(duì)網(wǎng)絡(luò)的熟悉程度不同;三是大量的非正版軟件和電子資源;五是開(kāi)放的環(huán)境和寬松的安全管理體制;六有限的資金投入。這些特點(diǎn)使得校園網(wǎng)既不像Internet那樣毫無(wú)限制,又不像電子商務(wù)企業(yè)那樣為強(qiáng)化安全與保密而嚴(yán)加管理和控制。

校園網(wǎng)的上述特點(diǎn),使得校園網(wǎng)一方面要面臨一般企業(yè)網(wǎng)絡(luò)所必須面對(duì)的各種安全威脅,如:普遍存在的計(jì)算機(jī)系統(tǒng)漏洞產(chǎn)生的各種安全隱患;計(jì)算機(jī)蠕蟲(chóng)、木馬、病毒泛濫,對(duì)用戶主機(jī)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)運(yùn)行構(gòu)成的嚴(yán)重威脅;外來(lái)的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網(wǎng)又不得不應(yīng)付來(lái)自內(nèi)部的安全威脅,如內(nèi)部用戶的攻擊行為,對(duì)網(wǎng)絡(luò)資源的濫用行為等等。

3 校園網(wǎng)安全需求分析

在校園網(wǎng)的安全設(shè)計(jì)中,必須考慮到校園網(wǎng)的上述特殊性。不能將整個(gè)校園網(wǎng)作為單一的安全區(qū)域,必須根據(jù)不同的應(yīng)用類(lèi)型、不同的服務(wù)對(duì)象將校園網(wǎng)劃分為具有不同安全等級(jí)的區(qū)域,并針對(duì)這些區(qū)域進(jìn)行專(zhuān)門(mén)的安全設(shè)計(jì)。一般來(lái)說(shuō),我們可以將校園網(wǎng)分為:學(xué)生網(wǎng)絡(luò)、教學(xué)管理網(wǎng)絡(luò)、公共應(yīng)用服務(wù)網(wǎng)絡(luò)、網(wǎng)絡(luò)管理系統(tǒng)和分校區(qū)網(wǎng)絡(luò)等幾個(gè)部分。下面對(duì)這些網(wǎng)絡(luò)的安全需求進(jìn)行分析。

3.1 Internet連通性的安全需求

Internet連通性是校園網(wǎng)最重要的功能,一方面要滿足內(nèi)部用戶的Internet訪問(wèn)要求,另一方面又要對(duì)外Web服務(wù)、電子郵件服務(wù)和FTP服務(wù)等公共服務(wù)。而Internet卻是攻擊和威脅的重要來(lái)源,阻斷所有不能接受的訪問(wèn)流量是最基本的安全需求,同時(shí)保持對(duì)來(lái)自Internet的網(wǎng)絡(luò)攻擊的檢測(cè)能力,是防范求知攻擊的必然要求。與內(nèi)部用戶的上網(wǎng)需求相比,校網(wǎng)園對(duì)外的公共服務(wù)應(yīng)該受到更好的安全保護(hù),在設(shè)計(jì)時(shí)必須給予重點(diǎn)考慮。

3.2 學(xué)生網(wǎng)絡(luò)的安全需求

學(xué)生網(wǎng)絡(luò)兩大特點(diǎn):一是用戶數(shù)量多數(shù)據(jù)流量大,學(xué)生是P2P(peer-to-peer)應(yīng)用的熱衷者,而P2P應(yīng)用則是網(wǎng)絡(luò)帶寬的“殺手”,2006年我院對(duì)擁有1100多用戶的學(xué)生網(wǎng)絡(luò)進(jìn)行了一項(xiàng)測(cè)試,使用一款“P2P終結(jié)者”軟件來(lái)屏蔽P2P數(shù)據(jù)包,結(jié)果網(wǎng)絡(luò)出口總流量驟降一半,據(jù)此可以估算有50%網(wǎng)絡(luò)帶寬被P2P軟件所消耗。事實(shí)上這個(gè)估算是保守的,有研究表明,P2P流量取代了HTTP流量成為Internet流量的主體,占Internet中總流量的60%~70%,占最后一公里接入網(wǎng)流量的80%[1];二是用戶類(lèi)型復(fù)雜,2007年我院的一次問(wèn)卷調(diào)查表明,85%以上的學(xué)生缺乏網(wǎng)絡(luò)安全意識(shí),近5%的學(xué)生用戶偶爾嘗試過(guò)網(wǎng)絡(luò)攻擊,近0.2%的學(xué)生在研究網(wǎng)絡(luò)攻擊技術(shù),他們是內(nèi)部攻擊的主要來(lái)源,也是最主要的病毒源和木馬源。因此在進(jìn)行網(wǎng)絡(luò)安全考慮時(shí),首先要對(duì)來(lái)自學(xué)生網(wǎng)絡(luò)的帶寬進(jìn)行限制,以保證網(wǎng)絡(luò)資源的合理分配;其次要約束學(xué)生網(wǎng)絡(luò)對(duì)校園網(wǎng)關(guān)鍵服務(wù)的訪問(wèn),盡最大努力過(guò)濾其運(yùn)行特定應(yīng)用程序的能力;同時(shí)還需要加強(qiáng)對(duì)網(wǎng)絡(luò)流量嗅探和中間人攻擊(MITM)的防范能力,以減少學(xué)生相互間的攻擊。

3.3 教學(xué)管理網(wǎng)絡(luò)的安全需求

鑒于教學(xué)管理數(shù)據(jù)的安全性需求高,教學(xué)管理網(wǎng)絡(luò)與學(xué)生網(wǎng)絡(luò)絕對(duì)不能位于同一個(gè)信任級(jí)別,應(yīng)該有更高的安全需求,給予保護(hù)并與校園網(wǎng)絡(luò)的其他部分進(jìn)行隔離。主要有以下三項(xiàng)安全措施,一是設(shè)置防火墻實(shí)施訪問(wèn)控制;二是設(shè)置入侵檢測(cè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全監(jiān)測(cè);三是強(qiáng)化論證,雖然加密所有教學(xué)管理應(yīng)用程序太過(guò)繁重,但是對(duì)于某些關(guān)鍵系統(tǒng)(會(huì)計(jì)和學(xué)生記錄)應(yīng)該要求強(qiáng)認(rèn)證。

3.4 網(wǎng)絡(luò)管理系統(tǒng)的安全需求

網(wǎng)絡(luò)管理系統(tǒng)負(fù)責(zé)整個(gè)校園網(wǎng)的通暢和安全管理工作,確保網(wǎng)絡(luò)管理系統(tǒng)的安全是非常重要的工作,因此應(yīng)該設(shè)置防火墻將管理網(wǎng)絡(luò)與校園網(wǎng)的其它部分進(jìn)行隔離加以保護(hù)。

3.5 分校區(qū)網(wǎng)絡(luò)連接的安全需求

分校區(qū)和遠(yuǎn)程用戶都需要直接訪問(wèn)校園網(wǎng)內(nèi)部的服務(wù),出于資金考慮,多數(shù)的分校網(wǎng)絡(luò)都沒(méi)有專(zhuān)線連通,部分學(xué)校嘗試無(wú)線通信,實(shí)際情況看來(lái),其保密性和穩(wěn)定性都不高。比較經(jīng)濟(jì)實(shí)用的解決方案就是,使用虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)穿過(guò)廣域網(wǎng)(WAN)。

4 校園網(wǎng)結(jié)構(gòu)的安全設(shè)計(jì)

基于上述校園網(wǎng)安全的分析,我們可以設(shè)計(jì)出如圖1所示的安全校園網(wǎng)絡(luò)系統(tǒng)。

4.1 校園網(wǎng)邊界安全設(shè)計(jì)

Internet接入是校園網(wǎng)最基本的業(yè)務(wù)需求,與Internet相比,校園網(wǎng)內(nèi)部自然是一塊相對(duì)單純的可信任安全區(qū)域,為保證校園網(wǎng)內(nèi)部的安全性和校園網(wǎng)公共服務(wù)的可訪問(wèn)性,需在校園網(wǎng)邊界進(jìn)行如下安全設(shè)置。

一是設(shè)置防火墻:防火墻首先要提供入網(wǎng)級(jí)的訪問(wèn)控制功能,以有效地阻斷來(lái)自Internet的非法訪問(wèn);其次要提供虛擬專(zhuān)用網(wǎng)(VPN)功能,借助廣域網(wǎng)實(shí)現(xiàn)遠(yuǎn)程分校區(qū)網(wǎng)絡(luò)的安全連接,使得訪問(wèn)遠(yuǎn)程校園網(wǎng)絡(luò),如同訪問(wèn)本地網(wǎng)絡(luò)一個(gè)方便安全,在保證安全性的同時(shí)還可以節(jié)省出專(zhuān)線費(fèi)用;最后還應(yīng)具備網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT),使得Internet用戶可以訪問(wèn)校園網(wǎng)內(nèi)部的公共服務(wù)。二是設(shè)置AAA認(rèn)證服務(wù)器,提供對(duì)用戶身份認(rèn)證、安全管理、安全責(zé)任跟蹤和計(jì)費(fèi)等功能。三是設(shè)置網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS),同時(shí)可在邊界路由器上啟用NetFlow功能,以加強(qiáng)對(duì)非法入侵和惡意攻擊行為的檢測(cè)和發(fā)現(xiàn)能力,為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)異常事件的處理能力。

4.2 學(xué)生網(wǎng)絡(luò)的安全設(shè)計(jì)

從前面的校園網(wǎng)業(yè)務(wù)需求的安全性分析可知,校園網(wǎng)內(nèi)部并非鐵板一塊,不同的業(yè)務(wù)需求對(duì)安全性的要求是不同的,相對(duì)來(lái)說(shuō)學(xué)生網(wǎng)絡(luò)的安全級(jí)別最低。針對(duì)學(xué)生網(wǎng)絡(luò)用戶數(shù)量龐大、用戶類(lèi)型的復(fù)雜性的特點(diǎn),主要可采取以下安全措施:一是為保證網(wǎng)絡(luò)資源的合理有效分配,必須進(jìn)行網(wǎng)絡(luò)流量限制;二是在交換機(jī)處提供必要的第二層安全控制,以減少網(wǎng)絡(luò)流量嗅探攻擊,中間人攻擊(Man-in-the-middle-attacks,簡(jiǎn)稱(chēng):MITM攻擊);三是在不同學(xué)生網(wǎng)段的路由器上設(shè)置無(wú)狀態(tài)ACL,以實(shí)現(xiàn)數(shù)據(jù)過(guò)濾。后兩項(xiàng)措施可以緩解學(xué)生系統(tǒng)之間的相互攻擊??傮w上講,學(xué)生網(wǎng)絡(luò)的安全防護(hù)功能是相當(dāng)弱的,主要的安全防護(hù)功能落在了學(xué)生主機(jī)上,因此必須加強(qiáng)網(wǎng)絡(luò)安全教育,提高學(xué)生的安全防范意識(shí)和能力。但是較低的安全防護(hù)設(shè)計(jì)卻給學(xué)生創(chuàng)造了一個(gè)相當(dāng)寬松的網(wǎng)絡(luò)環(huán)境。

4.3 教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計(jì)

教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的服務(wù)器中存在著大量敏感的數(shù)據(jù),比如說(shuō)學(xué)生成績(jī)和學(xué)生注冊(cè)信息,它們極易受到來(lái)自于Internet及學(xué)生網(wǎng)絡(luò)的攻擊,因此也就提出了更高的安全需求。對(duì)教學(xué)管理網(wǎng)絡(luò)和公共服務(wù)網(wǎng)絡(luò)的安全設(shè)計(jì),相當(dāng)于在校網(wǎng)絡(luò)的基礎(chǔ)上建立起一個(gè)安全性更高的內(nèi)部網(wǎng)絡(luò)。其安全設(shè)置類(lèi)似于校園網(wǎng)與Internet之間的安全設(shè)計(jì),如添加防火墻進(jìn)行訪問(wèn)控制,增加NIDS進(jìn)行入侵檢測(cè)。從圖中可以看到,對(duì)學(xué)生網(wǎng)絡(luò)來(lái)說(shuō),它有一道防護(hù)屏障,而相對(duì)于Internet再說(shuō),它受到兩道防護(hù)屏障的保護(hù)。這是一個(gè)合理的安全等級(jí)層次。

4.4 管理網(wǎng)絡(luò)的安全設(shè)計(jì)

管理網(wǎng)絡(luò)看似類(lèi)似于行政網(wǎng)管,需要使用防火墻進(jìn)行保護(hù)。但是它有完全不同的業(yè)務(wù)需求,它負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的安全管理,要根據(jù)各種校園網(wǎng)絡(luò)設(shè)備的管理需求,設(shè)置允許入站和出站的特定連接。因?yàn)樗闹車(chē)性S多不可信的網(wǎng)絡(luò),在網(wǎng)絡(luò)設(shè)備與管理網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送時(shí),必須保證數(shù)據(jù)的安全保密性,因此數(shù)據(jù)傳遞過(guò)程中的安全要求較高,在數(shù)據(jù)通信需要使用SSH/SSL等安全通信協(xié)議。對(duì)于那些不支持SSH/SSL的網(wǎng)絡(luò)設(shè)置,只能使用如Telnet之類(lèi)的明文管理協(xié)議,在這種缺乏安全協(xié)議的情況下,應(yīng)該限制可訪問(wèn)Telnet后臺(tái)程序的IP地址,以增加這些網(wǎng)絡(luò)設(shè)備管理的安全性。

5 校園網(wǎng)安全管理

校園網(wǎng)的安全性不僅僅是一個(gè)技術(shù)問(wèn)題,還需要安全管理的支持。安全的校園網(wǎng)絡(luò)系統(tǒng)是安全技術(shù)與安全管理有機(jī)結(jié)合的整體,它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣,校園網(wǎng)系統(tǒng)的安全強(qiáng)度等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。經(jīng)驗(yàn)表明,得不到足夠重視的網(wǎng)絡(luò)安全管理恰恰是校園網(wǎng)安全系統(tǒng)中最薄弱的一個(gè)環(huán)節(jié)。安全專(zhuān)家們則強(qiáng)調(diào)網(wǎng)絡(luò)安全靠的是“三分技術(shù),七分管理”。

為加強(qiáng)校園網(wǎng)的管理,需要做好以下四項(xiàng)工作:一是觀念的更新,網(wǎng)絡(luò)安全不止是技術(shù)部門(mén)和專(zhuān)業(yè)人員的責(zé)任,應(yīng)該得到學(xué)校高層的充分重視,需要所有的網(wǎng)絡(luò)用戶的共同遵循安全規(guī)則;二是建立網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確權(quán)力和負(fù)責(zé),從組織機(jī)構(gòu)上保障網(wǎng)絡(luò)安全管理的有效實(shí)施;三是制訂網(wǎng)絡(luò)安全管理制度,明確校園網(wǎng)用戶的權(quán)利和義務(wù),使用戶共同遵循校園網(wǎng)使用規(guī)則;四是建立完善的安全管理及應(yīng)急響應(yīng)機(jī)制,以對(duì)突發(fā)性安全事件做出迅速準(zhǔn)確的處理,最大限度地減少損失。

安全事件處理機(jī)制的建立往往是校園網(wǎng)安全管理的盲區(qū)。與國(guó)防、金融等機(jī)構(gòu)比起來(lái)校園網(wǎng)的安全級(jí)別低,應(yīng)付安全突發(fā)事件的重要性并不是太突出。而且在一般情況下,意外事件發(fā)生的幾率不高,應(yīng)付安全突發(fā)事件的必要性也往往被忽視。但是100%安全的網(wǎng)絡(luò)是不存在的,如果不能對(duì)網(wǎng)絡(luò)安全事件做出迅速而準(zhǔn)確的響應(yīng),就有可能造成重大的損失。事實(shí)是,歷史上幾次重大的安全突發(fā)事件所造成的惡劣影響,使得各國(guó)都非常重視緊急事件響應(yīng)處理。美國(guó)國(guó)防部于1989年資助卡內(nèi)基.梅隆大學(xué)建立了世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組CERT(Computer Emergency Response Team)及其協(xié)調(diào)中心CC(Coordination Center)。CERT/CC的成立標(biāo)志著信息安全由傳統(tǒng)的靜態(tài)保護(hù)手段開(kāi)始轉(zhuǎn)變?yōu)橥晟频膭?dòng)態(tài)防護(hù)機(jī)制。此后在20世紀(jì)90年代,計(jì)算機(jī)安全應(yīng)急處理得到了廣泛而深入的研究。在我國(guó),中國(guó)計(jì)算機(jī)教育與科研網(wǎng)(CERNET)于1999年成立計(jì)算機(jī)緊急事件響應(yīng)組織(CCERT),是國(guó)內(nèi)第一個(gè)安全事件響應(yīng)組織;2000年3月,中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT/CC)成立,該中心在國(guó)家因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下,協(xié)調(diào)全國(guó)范圍內(nèi)計(jì)算機(jī)安全事件響應(yīng)小組的工作,并加強(qiáng)與國(guó)際計(jì)算機(jī)安全組織的交流。

在校園網(wǎng)建設(shè)中,借助CERT的理念和研究成果,建立必要的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制將有利于規(guī)范和提高校園網(wǎng)安全管理能力。圖2所示,是一個(gè)可行的網(wǎng)絡(luò)管理和應(yīng)急響應(yīng)機(jī)制構(gòu)建方案,說(shuō)明如下。

1) 網(wǎng)絡(luò)安全的日常管理:在校園網(wǎng)的關(guān)鍵部分加強(qiáng)網(wǎng)絡(luò)安全的日常管理,使日志檢查、漏洞掃描、系統(tǒng)升級(jí)、病毒防御等工作制度化、常規(guī)化,盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責(zé)任追究制度,強(qiáng)化網(wǎng)絡(luò)管理人員的責(zé)任心。

2) 網(wǎng)絡(luò)安全應(yīng)急小組:接收并處理來(lái)自用戶的安全突發(fā)事件,NetFowl等流量分析的異常報(bào)告、入侵檢測(cè)系統(tǒng)的入侵警告和日常管理中的安全事件報(bào)告。通過(guò)分析調(diào)查,決定采取相應(yīng)的應(yīng)急處理措施,如系統(tǒng)隔離、事件跟蹤、漏洞修補(bǔ)、安全策略調(diào)整、系統(tǒng)恢復(fù)和統(tǒng)計(jì)報(bào)告等等。同時(shí)為廣大用戶提供各種安全服務(wù),如安全咨詢、安全教育和安全工具等等。

6 小結(jié)

網(wǎng)絡(luò)安全是當(dāng)前校園網(wǎng)建設(shè)和應(yīng)用的焦點(diǎn)問(wèn)題,本文從技術(shù)和管理層面深入地討論了安全校園網(wǎng)系統(tǒng)的建設(shè)問(wèn)題。在技術(shù)層面上,需要根據(jù)校園網(wǎng)應(yīng)用的不同,劃分不同的安全等級(jí)區(qū)域,并針對(duì)各個(gè)區(qū)域的應(yīng)用需求進(jìn)行安全設(shè)計(jì);在管理層面上,特別強(qiáng)調(diào)建立網(wǎng)絡(luò)安全管理及應(yīng)急響應(yīng)機(jī)制,保障網(wǎng)絡(luò)管理的規(guī)范化、制度化,提高網(wǎng)絡(luò)安全管理能力。

參考文獻(xiàn):

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.

[2] Convery S.網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M].江魁,譯.北京:人民郵電出版社,2005.

[3] 連一峰,戴英俠.計(jì)算機(jī)應(yīng)急響應(yīng)系統(tǒng)體系研究[J].中國(guó)科學(xué)院研究生院學(xué)報(bào),2004,21(2):202-209.

篇9

成就,在于自由溝通

PUSH Mail不繁瑣

如果你以前使用過(guò)諾基亞Symbian系統(tǒng)上的郵箱,或許你的印象不會(huì)太好,因?yàn)樯厦娴泥]箱設(shè)置實(shí)在是太繁瑣了,還需要如在電腦上設(shè)置郵箱一樣進(jìn)行POP、SMTP等設(shè)置。而在E7上,諾基亞專(zhuān)門(mén)制作了一個(gè)郵箱配置向?qū)А_@個(gè)向?qū)?nèi)置了包括騰訊、網(wǎng)易、新浪、搜狐、微軟Exchange Server在內(nèi)的各種郵箱設(shè)置參數(shù),你只要選定郵箱供應(yīng)商,輸入用戶名和密碼就可以了,不用再去設(shè)置POP、SMTP設(shè)置,以及選擇服務(wù)器等。

根據(jù)諾基亞的說(shuō)法,E7在和Exchange Server連接后,就能實(shí)現(xiàn)絕大部分Exchange Server 2010上提供的統(tǒng)一通信功能。統(tǒng)一溝通解決方案是即時(shí)通信在企業(yè)層面的實(shí)現(xiàn),體現(xiàn)了企業(yè)級(jí)通信應(yīng)用的最新發(fā)展趨勢(shì),也是微軟在企業(yè)級(jí)通信市場(chǎng)上大力倡導(dǎo)的應(yīng)用方向。該方案包括微軟Exchange server及客戶端的Communicator軟件。通過(guò)使用統(tǒng)一溝通解決方案,商務(wù)用戶可以極大地提高溝通的效率,節(jié)約企業(yè)成本。與此同時(shí),E7對(duì)微軟統(tǒng)一通信組建的支持,也升級(jí)到了2.0版本――如果你的Symbian^3設(shè)備沒(méi)有微軟Communicator 2.0,也可以通過(guò)Ovi商店加裝,確保和公司服務(wù)器隨時(shí)保持語(yǔ)音、郵件、會(huì)議通知等事務(wù)的同步。

另外,對(duì)于比較看重辦公文檔的商務(wù)人士來(lái)說(shuō),E7內(nèi)置的全功能的QuickOffice Premier版本,不僅可以打開(kāi)Office 2007及更早版本的全系列文檔,還能進(jìn)行編輯。在PDF閱讀方面,E7的表現(xiàn)也達(dá)到了智能手機(jī)的平均水平。內(nèi)建的Adobe Acrobat LE 2.5可以快速打開(kāi)全圖片或者圖文混排的PDF文件,但是在縮放超過(guò)10MB體積的PDF文件時(shí)有明顯的遲緩。由于QuickOffice暫時(shí)無(wú)法支持Office 2010提供的DOCX、XLSX、PPTX文件,所以E7也無(wú)法打開(kāi)Office 2010創(chuàng)建的文件。

成就,在于運(yùn)籌帷幄

諾基亞E7的實(shí)體鍵盤(pán)輸入

諾基亞目前已經(jīng)推出了四款Symbian^3手機(jī)。很顯然,諾基亞E7在硬件上和之前幾款區(qū)別最大,因?yàn)樗幸粔K42鍵的實(shí)體鍵盤(pán)。將E7拿在手里,你會(huì)覺(jué)得略有一份厚重感,因?yàn)樗锩媪碛星ぁ7滑開(kāi),42鍵的實(shí)體鍵盤(pán)就顯示在你的面前,而鍵盤(pán)的后半部分剛好成為了支撐屏幕的支架,所以滑開(kāi)后的E7有一股迷你電腦的范兒。

E7實(shí)體鍵盤(pán)的每個(gè)按鍵之間的距離合適;在F和J鍵上有兩個(gè)與PC鍵盤(pán)非常類(lèi)似的凸起,方便我們?cè)诖蜃謺r(shí)進(jìn)行定位。而且E7鍵程較長(zhǎng)、反饋很清晰,這也是實(shí)體鍵盤(pán)相對(duì)觸屏軟鍵盤(pán)來(lái)說(shuō)最大的優(yōu)勢(shì)。

有了鍵盤(pán)當(dāng)然還得需要輸入法,輸入法的重要性對(duì)于手機(jī)來(lái)說(shuō)并不亞于鍵盤(pán)本身。雖然E7剛剛上市,但諾基亞之前就已經(jīng)與搜狗展開(kāi)合作,為E7的到來(lái)做好了準(zhǔn)備。目前Ovi商店里的搜狗輸入法已經(jīng)支持E7的實(shí)體鍵盤(pán)。E7的數(shù)字鍵不是獨(dú)立的,在搜狗輸入法狀態(tài)下選字時(shí)有三個(gè)選擇:一是按左下角的右上箭頭鍵再按數(shù)字選擇;二是按右下的鍵盤(pán)方向鍵再選字;三是打開(kāi)搜狗輸入法的長(zhǎng)按直接選字模式。個(gè)人認(rèn)為第三種方式非常實(shí)用,在長(zhǎng)按直接選字模式下,輸入所需字母后直接長(zhǎng)按所需漢字所在的數(shù)字鍵,就可以直接完成選字了。而且更為方便的是,在這個(gè)狀態(tài)下,輸入英文和數(shù)字并不需要切換中英文模式――按下A鍵后再按回車(chē)鍵即可直接輸入字母A、而直接長(zhǎng)按W鍵(2)就能輸入數(shù)字2,這對(duì)于要處理大量中英文和數(shù)字混用的郵件和短信的使用者來(lái)說(shuō)非常快捷。

而且在PC上處理文字的快捷鍵,在E7的實(shí)體鍵盤(pán)依然有效,比如用Ctrl+A選擇全部文字,Ctrl+X/C/V進(jìn)行剪切/復(fù)制/粘貼,也可以用Shift(左下角第二個(gè)鍵)+方向鍵來(lái)選擇部分內(nèi)容,進(jìn)行剪切、復(fù)制或粘貼,這些功能在使用預(yù)置的QuickOffice編輯文檔時(shí)非常方便。

如果你是短信或者郵件狂人,甚至可以考慮在“設(shè)置”-“手機(jī)”-“滑蓋操作”里選中滑開(kāi)滑蓋直接新建短信/郵件。好吧,雖然我覺(jué)得E7自帶的輸入法也很好用了,但還是建議Office達(dá)人去Ovi商店下載搜狗輸入法體驗(yàn)一下。

成就,在于未雨綢繆

遠(yuǎn)程保護(hù)你的手機(jī)

智能手機(jī)發(fā)展到今天已經(jīng)成為很多人的個(gè)人信息中心,比如郵箱里的大量郵件、所有的聯(lián)系人信息、大量的短信、隨手記的筆記,以及照片視頻等全部存在手機(jī)上――別給我說(shuō)你的手機(jī)里沒(méi)有點(diǎn)小秘密――這在帶來(lái)方便的同時(shí)也帶來(lái)一個(gè)隱患,如果手機(jī)丟了怎么辦?雖說(shuō)不會(huì)出現(xiàn)“艷照門(mén)”等讓你一夜成名的事情,但個(gè)人數(shù)據(jù)、辦公數(shù)據(jù)丟失也是一件非常麻煩的事情。比如“拾到者”通過(guò)Nimbuzz登錄Gtalk、MSN等即時(shí)通信軟件,詐騙你的親朋好友,就是一件讓人很頭痛的事,更何況諾基亞E7還是一款不便宜的手機(jī)(媒體報(bào)價(jià):標(biāo)準(zhǔn)套裝5298元)。

好在諾基亞E7提供了一套易用而有效的安全解決方案。諾基亞和F-Secure公司(歐洲乃至世界知名的計(jì)算機(jī)及網(wǎng)絡(luò)安全提供商)聯(lián)手,推出了F-SecureAnti-Theft防盜服務(wù)。由于諾基亞E7電池不可更換,且無(wú)MicroSD卡插槽,因此一旦手機(jī)被鎖定,任何人都無(wú)法竊取你的個(gè)人數(shù)據(jù)。

打開(kāi)諾基亞E7,在“辦公”欄目中我們就能找到F-Secure安全套件。這款套件中的病毒防火墻功能只有15天試用期限,而Anti-Theft防盜功能,則為無(wú)限期免費(fèi)服務(wù)。第一次啟動(dòng)F-Secure安全套件會(huì)讓你輸入兩項(xiàng)信息:

?安全代碼:用來(lái)解鎖和遠(yuǎn)程控制。就是類(lèi)似于密碼一樣的東西,你可以設(shè)計(jì)一個(gè)比較復(fù)雜的代碼。

?輸入信任的電話號(hào)碼:被信任的手機(jī)號(hào)碼,摯友、家人的號(hào)碼都很合適。

在下一個(gè)頁(yè)面中將所有的選項(xiàng)都全部選上,只有這樣才能在最大程度上發(fā)揮F-Secure的防盜能力。

丟失手機(jī)后需做的第一件事就是鎖住它,讓小偷無(wú)法進(jìn)行任何操作。操作非常簡(jiǎn)單,用任意一支手機(jī),發(fā)送短信到E7上,短信內(nèi)容包含指令和你在E7上設(shè)定的安全代碼。例如想要把手機(jī)鎖起來(lái),就輸入#lock#安全代碼;如果只是獲得手機(jī)當(dāng)前所在位置,則把lock改成locate,手機(jī)收到短信后就會(huì)自動(dòng)鎖定,并且通過(guò)GPS進(jìn)行定位,自動(dòng)發(fā)送一條包含當(dāng)前所在位置的確認(rèn)信息到預(yù)留的受信任手機(jī)號(hào)碼上。點(diǎn)擊鏈接就可以看到你的手機(jī)當(dāng)前所在位置?,F(xiàn)在手機(jī)安全了,對(duì)方無(wú)法跳過(guò)待機(jī)界面,必須在手機(jī)上輸入安全代碼才能 解鎖。如果返回的信息顯示手機(jī)是在你的辦公室或家里,那說(shuō)明是你自己遺忘了,否則可以試著打電話聯(lián)系對(duì)方進(jìn)行交涉,說(shuō)不定別人只是撿到而已。

或許你也會(huì)擔(dān)心有人撿到手機(jī)后換掉你的SIM卡,這不是問(wèn)題。激活F-Secure的服務(wù)之后,更換SIM卡開(kāi)機(jī)直接鎖定,必須輸入安全代碼才能解鎖,并且手機(jī)會(huì)自動(dòng)通過(guò)新SIM卡發(fā)一條短信到你的受信任手機(jī)號(hào)碼上,通知你SIM卡已被更換。直接把#lock#之類(lèi)的命令回復(fù)到新號(hào)碼上就能鎖定手機(jī),換卡也不頂用。

如果實(shí)在沒(méi)法拿回手機(jī)又擔(dān)心資料安全,終極解決方案是遠(yuǎn)程清除手機(jī)上資料,方法也很簡(jiǎn)單,像鎖定一樣發(fā)短信過(guò)去#wipe#安全代碼,這樣就能清除手機(jī)上的視頻、照片、短信等個(gè)人信息。如果自己忘了安全代碼,可以通過(guò)手機(jī)把安全代碼發(fā)回預(yù)留的受信任號(hào)碼上。

成就,在于

豐富的互聯(lián)功能

E7還有另外一個(gè)對(duì)商務(wù)人士來(lái)說(shuō)非常便利的功能,那就是USB host功能,E7與N8相同,內(nèi)建的micro USB接口都支持USB host(也叫USB On-the-go,USB OTG),只要通過(guò)包裝附送的USB轉(zhuǎn)接線,就可以外接U盤(pán),存取其中的內(nèi)容,在檔案文件分享上更有彈性。

不過(guò),E7的USB host不只支持U盤(pán),它還可以外接鼠標(biāo)(就是一般的計(jì)算機(jī)鼠標(biāo)),連接上鼠標(biāo)后,手機(jī)就會(huì)出現(xiàn)熟悉的鼠標(biāo)指針,接下來(lái)就可像操作一般計(jì)算機(jī)一樣的方式使用手機(jī),連鼠標(biāo)滾輪都可以用;不過(guò)因?yàn)镾ymbian系統(tǒng)并沒(méi)有“右鍵菜單”這種東西,因此如果使用者按了鼠標(biāo)右鍵,手機(jī)會(huì)把它仿真成主菜單功能鍵,長(zhǎng)按鼠標(biāo)右鍵即可開(kāi)啟背景執(zhí)行程序行表(就如同長(zhǎng)按主菜單鍵一樣)。而且,即使是無(wú)線鼠標(biāo),只要把接收的USB接收器接上手機(jī),還是可以支持,但不是所有無(wú)線鼠標(biāo)都可以用。支持外接鼠標(biāo)對(duì)商務(wù)人士的好處是,只要把演示稿文件存在手機(jī)里面,要對(duì)客戶做簡(jiǎn)報(bào)時(shí),只要用HDMI或是3.5mm AV端口把演示文稿(PPT)輸出到電視機(jī)或投影機(jī)上,再插上無(wú)線鼠標(biāo),就可以很方便地解說(shuō),不用帶計(jì)算機(jī)出門(mén)了。

除了鼠標(biāo)之外,USB host也可以支持外接鍵盤(pán),不過(guò)接上之后只有英文與上排的數(shù)字鍵盤(pán)可以使用,一般鍵盤(pán)的功能鍵(如F1~F12)、Ctrl鍵,或是右邊的小數(shù)字鍵盤(pán)都不支持,也不能用外接鍵盤(pán)輸入中文。

Tips:如何將E7變成3G無(wú)線熱點(diǎn)?

篇10

信息社會(huì) 安全基石

從互聯(lián)網(wǎng)的前身――阿帕網(wǎng)(APPANet)的建立,到目前全球數(shù)以億計(jì)的上網(wǎng)用戶;從美國(guó)政府于上個(gè)世紀(jì)90年代提出的“國(guó)家信息基礎(chǔ)設(shè)施”(建設(shè)信息高速公路)計(jì)劃,到以互聯(lián)網(wǎng)為核心的綜合化信息服務(wù)體系和信息技術(shù)在全世界各領(lǐng)域的廣泛應(yīng)用;從1971年第一封以@為標(biāo)志的電子郵件的發(fā)出,到現(xiàn)在全球每天360億封的電子郵件往來(lái)。當(dāng)今世界的政治、軍事、經(jīng)濟(jì)、文化等各個(gè)方面都已經(jīng)離不開(kāi)信息技術(shù)的強(qiáng)力支撐,以互聯(lián)網(wǎng)興起為重要標(biāo)志的現(xiàn)代信息化社會(huì)已經(jīng)建立。

隨著社會(huì)的發(fā)展和穩(wěn)定對(duì)信息的依賴(lài)性越來(lái)越強(qiáng),始終伴隨著信息化的信息安全問(wèn)題在最近幾年迅猛放大,已經(jīng)成為抑制全球信息化進(jìn)程發(fā)展的重大障礙。

從無(wú)傷大雅的惡作劇腳本,到造成幾十億美元的蠕蟲(chóng)病毒,從以信息共享為名的盜版軟件,到如今泛濫成災(zāi)的流氓軟件,信息安全已經(jīng)從神秘的黑客世界走入到每一個(gè)計(jì)算機(jī)用戶的面前。如何正確、有效判別這些潛在的信息風(fēng)險(xiǎn),關(guān)系到當(dāng)今社會(huì)信息化發(fā)展的大計(jì)。

不可避免的安全危脅

寫(xiě)一段沒(méi)有任何運(yùn)行錯(cuò)誤的程序代碼對(duì)于一個(gè)程序員來(lái)說(shuō)很容易,但要寫(xiě)出一段沒(méi)有任何安全問(wèn)題的程序代碼似乎就有些困難了。是程序員的安全素質(zhì)不夠,問(wèn)題出在程序員身上么?要知道,即使是那些專(zhuān)職安全防護(hù)的軟件產(chǎn)品也經(jīng)常會(huì)曝出各種各樣的漏洞,這早已不是什么新鮮的事情。

計(jì)算機(jī)世界的霸主微軟公司的程序員可都是一流的精英,先不說(shuō)過(guò)去Windows、Office系統(tǒng)中至今還補(bǔ)不過(guò)來(lái)的千瘡百孔,往前看其新一代的號(hào)稱(chēng)最安全的操作系統(tǒng)Vista,公開(kāi)的Bug已達(dá)2萬(wàn)個(gè),問(wèn)題代碼更是多達(dá)幾十萬(wàn)行,發(fā)行日期一拖再拖。也許這主要是因?yàn)檫^(guò)于龐大的系統(tǒng)結(jié)構(gòu)和功能造成的,可在一個(gè)0和1的數(shù)字世界里,復(fù)雜才意味著技術(shù)的前進(jìn)、使用的便利、功能的強(qiáng)大,如今許多人早已明白:沒(méi)有任何問(wèn)題的代碼只能是沒(méi)有任何功能的代碼。

除了程序代碼設(shè)計(jì)本身的問(wèn)題,安全漏洞還存在于通訊協(xié)議、網(wǎng)絡(luò)架構(gòu)、交互中國(guó)家信息中心信息安全研究與服務(wù)中心李少鵬模式、電子輻射、信號(hào)外泄,甚至是用戶安全操作和安全意識(shí)等其他與信息交流有關(guān)的任何問(wèn)題中。可以說(shuō)安全威脅來(lái)自于四面八方,漏洞也不可避免,而只要漏洞存在,那么威脅永遠(yuǎn)存在。

觸目驚心的安全事件

2004年10月至2005年1月,某企業(yè)職工利用后門(mén)程序操縱了互聯(lián)網(wǎng)上超過(guò)6萬(wàn)臺(tái)的電腦主機(jī)連續(xù)攻擊北京某音樂(lè)網(wǎng)站,致使該公司蒙受重大經(jīng)濟(jì)損失,這是我國(guó)首例如此大規(guī)模的“僵尸網(wǎng)絡(luò)”攻擊案;

2005年4月11日,全國(guó)超過(guò)二十個(gè)城市的互聯(lián)網(wǎng)出現(xiàn)群發(fā)性故障;同年7月12日,北京20萬(wàn)ADSL用戶斷網(wǎng);

2005年10月,網(wǎng)易計(jì)算機(jī)系統(tǒng)公司發(fā)現(xiàn)與北京市網(wǎng)通合作項(xiàng)目中,價(jià)值10元一張的網(wǎng)易一卡通虛擬游戲點(diǎn)卡被盜15.5萬(wàn)張,總價(jià)值155萬(wàn)余元;

2006年2月“全國(guó)最大網(wǎng)上盜竊通訊資費(fèi)案”在北京開(kāi)庭審理。某資深軟件研發(fā)工程師被控利用工作之便侵入北京移動(dòng)公司充值中心數(shù)據(jù)庫(kù),盜竊了價(jià)值38071元的充值卡密碼……

公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局主持的2006年全國(guó)信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查報(bào)告中顯示,在被調(diào)查的一萬(wàn)三千多家單位中,54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件。

同時(shí),最近兩年幾乎染及所有計(jì)算機(jī)和計(jì)算機(jī)用戶的網(wǎng)絡(luò)釣魚(yú)、流氓軟件、垃圾郵件狂潮一輪又一輪的充斥著互聯(lián)網(wǎng)。據(jù)國(guó)外的一份調(diào)查統(tǒng)計(jì)顯示,89%的個(gè)人電腦平均感染過(guò)30種間諜軟件。公安部在2005年聲稱(chēng)中國(guó)的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站占全球釣魚(yú)網(wǎng)站的13%,名列全球第二位,而僅在2004年,公安部偵破的網(wǎng)絡(luò)詐騙案件就達(dá)1350起。對(duì)此,國(guó)家反計(jì)算入侵和防病毒研究中心在公安部網(wǎng)監(jiān)局的支持和指導(dǎo)下,發(fā)起成立公益性的“中反網(wǎng)絡(luò)釣魚(yú)聯(lián)盟”。今年8月,廣東首次公開(kāi)處罰垃圾郵件發(fā)送者,這也是國(guó)內(nèi)依據(jù)《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》第一次公開(kāi)處罰垃圾電子郵件的發(fā)送者。

安全法規(guī)需進(jìn)一步完善

從1989年《中華人民共和國(guó)保守國(guó)家秘密法》伊始,到2005年《電子簽名法》的實(shí)施,我國(guó)目前現(xiàn)行的與信息安全直接相關(guān)的法律、規(guī)章和制度有65部,“涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域”,可以說(shuō)已經(jīng)初步形成了一定的法規(guī)體系。尤其是在2003年《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))通過(guò)后,電子認(rèn)證、電子政務(wù)、等級(jí)保護(hù)、商用密碼以及銀行、證券等金融行業(yè)等法規(guī)和管理辦法相繼出臺(tái),不僅規(guī)范了信息安全市場(chǎng),還對(duì)電子商務(wù)的發(fā)展、網(wǎng)絡(luò)經(jīng)濟(jì)的正常運(yùn)轉(zhuǎn)到了意義深遠(yuǎn)的保障作用,同時(shí)也是對(duì)“信息安全上升為國(guó)家安全”的這一宏觀政策指引的響應(yīng)。

盡管如此,現(xiàn)行的信息安全方面的法規(guī)、標(biāo)準(zhǔn)體系仍然需要進(jìn)一步完善與成熟。截至目前,我國(guó)還沒(méi)有一部嚴(yán)格意義上基于信息安全的基本法,同時(shí)這為信息安全標(biāo)準(zhǔn)與政策的制定與落實(shí)帶來(lái)了一定的難度。

層出不窮的攻擊手段

目前流行的攻擊手段有很多,除了病毒、蠕蟲(chóng)、口令破解等傳統(tǒng)方法,木馬、網(wǎng)絡(luò)釣魚(yú)、SQL注入等較為新型的攻擊方法,其攻擊范圍也在不斷擴(kuò)大。但相應(yīng)的防范技術(shù)和知識(shí)已經(jīng)比較普及,應(yīng)對(duì)起來(lái)容易些。值得特別注意的是以下三種攻擊形式,分布式拒絕服務(wù)攻擊、零日攻擊和社會(huì)工程學(xué)攻擊。

分布式拒絕服務(wù)攻擊至今還沒(méi)有特別有效的防范方法,其具備攻擊方法簡(jiǎn)單和攻擊源無(wú)法確定的特點(diǎn),上文中音樂(lè)網(wǎng)站被攻擊的案件就是一個(gè)典型的例子。這種攻擊的難點(diǎn)在于組建大量的傀儡主機(jī)――“僵尸網(wǎng)絡(luò)”,通常借助即使通訊工具或電子郵件來(lái)植入木馬,并通過(guò)新的系統(tǒng)漏洞的出現(xiàn)而達(dá)到頂峰。

零日攻擊則是利用尚未公開(kāi)或未發(fā)行補(bǔ)丁的漏洞實(shí)施攻擊,這種攻擊最為致命和可怕,因?yàn)槿魏稳硕己茈y對(duì)未知的情況做出正確的反應(yīng),此種攻擊成功率高、隱蔽性強(qiáng),往往針對(duì)某個(gè)既定目標(biāo),是今后安全防范工作的最大隱患之一。

最后一種是社會(huì)工程學(xué),實(shí)際上它是一種非技術(shù)手段的攻擊,它的直接攻擊對(duì)象不是數(shù)據(jù)庫(kù)也不是防火墻,而是能夠出入這些敏感地帶的人。技術(shù)再高也是由人來(lái)操作的,安全防范做得再好,得到授權(quán)的人也是可以出入的。世界著名黑客凱文?米特尼克在《欺騙的藝術(shù)》一書(shū)中寫(xiě)到:“安全不是技術(shù)問(wèn)題,它是人和管理的問(wèn)題……”,“由于開(kāi)發(fā)商不斷的創(chuàng)造出更好的安全科技產(chǎn)品,攻擊者利用技術(shù)上的漏洞變得越來(lái)越困難……”,“精干的技術(shù)專(zhuān)家辛辛苦苦地 設(shè)計(jì)出安全解決方案來(lái)最小化使用計(jì)算機(jī)的風(fēng)險(xiǎn),然而卻沒(méi)有解決最大的漏洞――人為因素?!币虼?,在如今信息安全技術(shù)已經(jīng)趨于成熟的環(huán)境下,正確的安全防范意識(shí)無(wú)比重要。

目前,仍然還有許多人普遍缺乏安全意識(shí)。政府網(wǎng)站頻頻被黑、網(wǎng)上銀行客戶資金被盜、網(wǎng)上交易遭遇詐騙……,這樣的安全事件幾乎天天都在發(fā)生,其關(guān)健原因在于安全管理和意識(shí)的匱乏。對(duì)于被動(dòng)的防范來(lái)說(shuō),意識(shí)要重于技術(shù),甚至?xí)郊夹g(shù)。

安全技術(shù)任重道遠(yuǎn)

廣義上的信息安全包括了眾多內(nèi)容,信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室馮登國(guó)教授曾在今年的“十一五”信息安全發(fā)展趨勢(shì)論壇上講到抽象化、可信化、網(wǎng)絡(luò)化、標(biāo)準(zhǔn)化和集成化,是信息安全技術(shù)發(fā)展的重要趨勢(shì)。目前主流安全技術(shù)不外幾種。

主動(dòng)防御

雖然瑞星、金山、江民三大反病毒廠商在今年先后發(fā)出推出主動(dòng)防御產(chǎn)品的聲音。但實(shí)質(zhì)上,目前的主流產(chǎn)品還是在遵循“病毒產(chǎn)生――研究特征碼――升級(jí)病毒庫(kù)”的老路子。主動(dòng)防御技術(shù)如何避免大量的提示和誤報(bào)是主動(dòng)防御產(chǎn)品是否能真正走向市場(chǎng)的關(guān)鍵性問(wèn)題。

生物識(shí)別

從用戶名加口令到加密鎖,再?gòu)腢SB令牌到指紋、聲紋、虹膜等生物識(shí)別。即使身份認(rèn)證已經(jīng)有了高級(jí)的尖端技術(shù),可目前最為廣泛應(yīng)用的還是最初的用戶名加口令身份認(rèn)證技術(shù),簡(jiǎn)單易用,且能夠保障基本的安全需求。但不可否認(rèn),生物識(shí)別技術(shù)以其無(wú)可替代的識(shí)別優(yōu)勢(shì)必然隨著成本的降低、需求的加大走向普及。

可信計(jì)算

嚴(yán)格的說(shuō),可信計(jì)算并不能算一項(xiàng)新興技術(shù),早在2002年沈昌祥院士開(kāi)始在國(guó)內(nèi)提倡可信計(jì)算。雖然經(jīng)過(guò)了2004年的熱點(diǎn)后,國(guó)家將其列入“十一五”規(guī)劃重點(diǎn)支持項(xiàng)目,相關(guān)企業(yè)也成功的生產(chǎn)出TPM的安全芯片,但中國(guó)的可信計(jì)算是否能與國(guó)際標(biāo)準(zhǔn)接軌、龐大的可信計(jì)算體系涵蓋內(nèi)容之間是否能有序協(xié)調(diào)仍是一個(gè)未知的難題。

災(zāi)難恢復(fù)

實(shí)際上,災(zāi)難恢復(fù)主要不是技術(shù)問(wèn)題,而是管理和實(shí)施問(wèn)題。它的重要性隨著對(duì)國(guó)民經(jīng)濟(jì)具有重要支撐作用的大型企事業(yè)單位以及政府部門(mén)對(duì)信息化日益增長(zhǎng)的依賴(lài)性而凸現(xiàn)出來(lái)。近年來(lái),銀行、電信,海關(guān)、稅務(wù)、民航等部門(mén)已經(jīng)建立起自己的災(zāi)備中心。國(guó)務(wù)院信息化工作辦公室2005年出臺(tái)的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》為我國(guó)整個(gè)信息安全保障綜合體系的最后一環(huán)――災(zāi)難恢復(fù)的管理和實(shí)施帶來(lái)了強(qiáng)有力的促進(jìn)和重大指導(dǎo)作用。

理論篇>>>

思索信息安全:內(nèi)涵與外延

江常青

要談?wù)撔畔⒓夹g(shù)發(fā)展的趨勢(shì)和信息安全面臨內(nèi)外部環(huán)境的變化,就像一個(gè)一直在匆匆行路的人,突然要停一下,觀看周?chē)h(huán)境,預(yù)估和展望前面的道路。但是要想象前方,恐怕先要回頭看看走過(guò)的路,因?yàn)橛袃煞N可能:一種是走出來(lái)的路,過(guò)去和現(xiàn)在影響著未來(lái);二種的情況是,也許路一直在前方,變化的則是我們的認(rèn)識(shí)和行為。無(wú)論怎樣,“時(shí)而思”比不思則罔更有益。

信息安全的歷史有多久?五年,五十年,還是五千年?都可以。

目前,國(guó)家、企業(yè)和個(gè)人開(kāi)始認(rèn)識(shí)并重視信息化所帶來(lái)的安全風(fēng)險(xiǎn)問(wèn)題,以及國(guó)內(nèi)出現(xiàn)專(zhuān)門(mén)的信息安全從業(yè)人員,僅有5―10年;而以現(xiàn)代計(jì)算機(jī)的發(fā)展與應(yīng)用算起,信息技術(shù)滲入現(xiàn)在社會(huì)生活帶來(lái)的信息安全問(wèn)題,這段歷史達(dá)到了50年;其實(shí),自從人類(lèi)文明伊始,文化和信息的使用開(kāi)始就存在信息安全問(wèn)題,這是5000年的歷史。但是,歷史從來(lái)沒(méi)有象今天這樣迫使我們必須去思考和面對(duì)信息安全的問(wèn)題,因?yàn)楫?dāng)今是高度信息化的社會(huì)。我們生活在一個(gè)信息世界中,信息安全問(wèn)題關(guān)系到每個(gè)人、家庭和社會(huì)各個(gè)組織機(jī)構(gòu)。

從辨證學(xué)角度來(lái)說(shuō),變是絕對(duì)的,也是相對(duì)的。在5~5000年這個(gè)“漫長(zhǎng)”的尺度上,信息安全領(lǐng)域有的在變,而且變化很大;有些東西也許并沒(méi)有多大的進(jìn)展和變化。處理信息的設(shè)施在技術(shù)發(fā)展中變化著,解決信息安全的具體技術(shù)措施和手段也隨著發(fā)展,信息安全的內(nèi)涵也不斷延伸,但有關(guān)信息安全的一些關(guān)鍵和核心的問(wèn)題并沒(méi)有得到探討與思考。

“誰(shuí)的”信息安全?

信息安全自身沒(méi)有價(jià)值和意義,它對(duì)于信息和信息系統(tǒng)所有者、管理者、使用者、監(jiān)管者才有意義。因此,同樣一個(gè)信息及其系統(tǒng)對(duì)于不同的人、組織甚至國(guó)家的意義是不同的,因?yàn)槠浒踩哪繕?biāo)和需求是不同的。比如說(shuō),某商業(yè)銀行的信息系統(tǒng),對(duì)于銀行自身、銀行監(jiān)管部門(mén),以及政府來(lái)說(shuō),安全價(jià)值與意義有著根本的區(qū)別。作為企業(yè)的銀行,其安全核心是保障組織機(jī)構(gòu)的正常運(yùn)行和獲得商業(yè)利益的能力;作為行業(yè)管理部門(mén)是金融安全風(fēng)險(xiǎn)的一個(gè)組成部分;從國(guó)家和政府部門(mén)來(lái)說(shuō)它是事關(guān)國(guó)計(jì)民生的重要信息系統(tǒng),它的安全影響社會(huì)。

“什么的”安全?

從歷史發(fā)展看,信息安全逐步從信息傳輸?shù)陌踩?,發(fā)展到信息產(chǎn)生,傳輸、處理、存儲(chǔ)等整個(gè)生命周期的安全。同時(shí),信息安全也從單純的指信息數(shù)據(jù)的保密安全,擴(kuò)展到支撐信息流動(dòng)的軟硬件、載體的IT安全。在新一代信息技術(shù)大規(guī)模普及的今天,信息安全還包括信息的使用安全,信息內(nèi)容的安全與信息及信息系統(tǒng)互動(dòng)的人的安全等方面。

因此,信息安全不是孤立的。當(dāng)我們談?wù)摪踩珪r(shí),一定是指特定對(duì)象的安全,同時(shí)要強(qiáng)調(diào)這個(gè)特定的對(duì)象是對(duì)于誰(shuí)而言,言論中的安全必須在明確的上下文環(huán)境之中,否則就失去意義和準(zhǔn)確性。

安全是什么?

安全是一種或多種性質(zhì)或?qū)傩詥?它和色彩,質(zhì)量是對(duì)象的屬性類(lèi)似嗎?這個(gè)問(wèn)題很難回答。假設(shè)安全是“屬性”,安全信息安全經(jīng)典定義中的保密性、完整性、可用性。這三性都是以否定語(yǔ)句來(lái)定義的。要證明一個(gè)肯定的性質(zhì)存在比較容易,找到它即可。要證明“不被修改”等類(lèi)似否定語(yǔ)句的性質(zhì)比較困難。此外,要證明信息或系統(tǒng)同時(shí)滿足三個(gè)性質(zhì)更為困難,因?yàn)檫@些安全性質(zhì)是動(dòng)態(tài)變化,它會(huì)隨著外部對(duì)手和系統(tǒng)內(nèi)部自身變化而變化,也就是常說(shuō)的今天的安全難以保證明天的安全。因此,很有必要反思安全作為性質(zhì)是否妥當(dāng)。近年來(lái),從風(fēng)險(xiǎn)角度來(lái)重新定義安全的趨勢(shì)十分明顯,將安全定義為風(fēng)險(xiǎn)可控可管理的過(guò)程。這樣一來(lái),安全就不是系統(tǒng)自身的性質(zhì)了,轉(zhuǎn)化為對(duì)抗風(fēng)險(xiǎn)的保障能力。安全保障能力由技術(shù)、管理、人等措施來(lái)構(gòu)建起來(lái),安全亦被風(fēng)險(xiǎn)和保障兩個(gè)概念所取代,隱身在后面。安全與否不再是去尋找這些性質(zhì)存在與否,而是去計(jì)算保障是否大于對(duì)應(yīng)風(fēng)險(xiǎn)。如果是,就是安全。這種重新定義的安全將不再是性質(zhì),而是個(gè)過(guò)程和目標(biāo),通過(guò)過(guò)程去達(dá)到目標(biāo),而目標(biāo)反映了信息安全在上下文環(huán)境定要求。

這些探討和思考能否達(dá)到我們理解信息安全的本質(zhì),筆者不得而知,但是這是一個(gè)探索的過(guò)程。在信息技術(shù)層面上,在我們實(shí)際可以設(shè)計(jì)實(shí)現(xiàn)的信息處理技術(shù)的進(jìn)展中,可以看到未來(lái)信息安全技術(shù)的發(fā) 展趨勢(shì):

軟件安全

軟件是構(gòu)建信息世界和社會(huì)的核心部件,安全問(wèn)題的產(chǎn)生很大程度上來(lái)源它的不安全、不可靠,如何提高軟件的安全性將會(huì)是個(gè)重點(diǎn),有理由相信,隨著軟件形式化、自動(dòng)化的提高,其安全性會(huì)快速的提高。

安全度量

有人說(shuō),不可度量的不是科學(xué),信息安全正處于這樣的境地。確實(shí),目前我們還無(wú)法在信息安全領(lǐng)域找到類(lèi)似物理世界的度量,如時(shí)間量、空間量、質(zhì)量等,也沒(méi)有類(lèi)似比特的信息量,因此信息安全要成為科學(xué)還有很長(zhǎng)的路要走。但盡管如此,我們已逐漸找到一些度量,它對(duì)提高安全是有好處的,比如安全功能強(qiáng)度,人力的部署和能力提升,過(guò)程控制的環(huán)節(jié)等等。

信息流控制

除了人、管理、網(wǎng)絡(luò)系統(tǒng)外,信息安全的核心問(wèn)題還是保證數(shù)據(jù)和信息的安全。信息流如何開(kāi)放的網(wǎng)絡(luò)系統(tǒng)環(huán)境中,如何在不可信、不安全的環(huán)境中構(gòu)建可信的信息流動(dòng)和控制機(jī)制是必須要解決的問(wèn)題。因?yàn)閿?shù)據(jù)和信息不可能像物理世界中永遠(yuǎn)被隔離和鎖在保密柜中,它必須給該看到的人看到,就和貨幣要流通一樣,安全必須找到自身的動(dòng)態(tài)價(jià)值。

抗攻擊技術(shù)

由于對(duì)手一直存在,破壞安全的外部因素不會(huì)消失。安全事故和事件時(shí)時(shí)都會(huì)產(chǎn)生,如何提高信息和系統(tǒng)抗攻擊以及受攻擊后降低損失的技術(shù)十分重要,以防范為主的安全技術(shù)將被抗攻擊技術(shù)將逐步取代。

內(nèi)部安全

安全技術(shù)也將從防范外部威脅為主,轉(zhuǎn)換到關(guān)注內(nèi)部威脅為,構(gòu)建內(nèi)控技術(shù)和管理體系將會(huì)成為最熱的市場(chǎng)機(jī)遇。在這里,與業(yè)務(wù)邏輯和網(wǎng)絡(luò)行為相關(guān)安全分析成為技術(shù)難點(diǎn)。發(fā)展篇>>>

發(fā)展篇>>>

內(nèi)外之道把脈“新安全”

吳錫源

當(dāng)前,大多數(shù)企業(yè)的信息安全機(jī)制不堪一擊。具體來(lái)說(shuō),這些企業(yè)的安全措施所提供的防護(hù)級(jí)別難以應(yīng)對(duì)它們所承受的實(shí)際風(fēng)險(xiǎn)。事實(shí)勝于雄辯:雖然各個(gè)企業(yè)已竭盡所能采取相應(yīng)防護(hù)措施,但是它們?nèi)匀活l繁受到攻擊。據(jù)可靠數(shù)據(jù)統(tǒng)計(jì):僅2005年,大約三分之二的企業(yè)至少發(fā)生一次安全事故,而半數(shù)以上的企業(yè)則至少發(fā)生三次安全事故。

面臨挑戰(zhàn)的安全管理

目前的主要問(wèn)題在于,大多數(shù)企業(yè)只是采用側(cè)重邊界的高度反應(yīng)性防御措施,因此無(wú)法與當(dāng)前日新月異的威脅趨勢(shì)保持同步。新威脅層出不窮,并以前所未有的速度和效率進(jìn)行傳播,在許多情況下必然會(huì)導(dǎo)致混亂局面比比皆是。不僅如此,可用于(或至少所分配用于)改善這種局面的資金也相對(duì)較少。實(shí)際上,Ernst&Young的《2005年全球信息安全調(diào)查》顯示,各個(gè)企業(yè)將其安全預(yù)算的50%用于“日常操作和事故響應(yīng)”,僅將17%的預(yù)算用于完成“更關(guān)鍵的戰(zhàn)略項(xiàng)目”。

顯而易見(jiàn),企業(yè)需要采用更為完善的解決方案才能針對(duì)當(dāng)前的攻擊進(jìn)行自我防護(hù)。因此,企業(yè)所需要的威脅管理解決方案具有以下特點(diǎn):主動(dòng)――能夠防御未知威脅;全面――能夠?qū)⑺衅髽I(yè)內(nèi)外的攻擊源頭阻擋在外;高效――非常經(jīng)濟(jì)實(shí)惠的選擇。

在企業(yè)努力部署有效威脅管理解決方案的過(guò)程中,威脅趨勢(shì)的日新月異、符合法規(guī)要求的需要以及對(duì)反應(yīng)性對(duì)策的過(guò)度依賴(lài)對(duì)于它們面臨的重重挑戰(zhàn)來(lái)說(shuō)只是鳳毛麟角。

把脈新“安全”

傳播速度相對(duì)較慢的基于文件的病毒和群發(fā)郵件蠕蟲(chóng)仍然屢見(jiàn)不鮮。實(shí)際上,在2005年上半年,這類(lèi)威脅在向賽門(mén)鐵克報(bào)告的前10位惡意代碼示例中占三類(lèi)。不過(guò),黑客的動(dòng)機(jī)已明顯從追求名聲轉(zhuǎn)向牟取暴利,而漏洞開(kāi)發(fā)框架的日漸普及是威脅趨勢(shì)發(fā)生許多顯著變化的主要原因之一。

?威脅數(shù)量與日俱增

這不足為奇。由于黑客的動(dòng)機(jī)越來(lái)越強(qiáng)烈,并且開(kāi)發(fā)新型惡意軟件的難度越來(lái)越低,所以威脅的數(shù)量無(wú)疑會(huì)猛增。不僅如此,威脅制作軟件及其模塊化構(gòu)造技術(shù)導(dǎo)致開(kāi)發(fā)威脅變種的行為司空見(jiàn)慣。例如,2005年上半年,僅針對(duì)Win32平臺(tái)的新病毒和蠕蟲(chóng)變種數(shù)量就已達(dá)到10800種。與前六個(gè)月相比,次數(shù)量就增加了48%。

?威脅生成時(shí)間日益縮短

日益成熟的黑客工具包不斷增多的另一惡果是開(kāi)發(fā)新威脅所需的時(shí)間明顯縮短。因此,從發(fā)現(xiàn)新漏洞到發(fā)起針對(duì)該漏洞的特定攻擊之間的時(shí)間也無(wú)可避免地大大縮短。實(shí)際上,在2005年上半年,此時(shí)間段的平均持續(xù)時(shí)間僅為六天。

?威脅傳播速度正在加快

雖然近年來(lái)這方面威脅的趨勢(shì)沒(méi)有顯著變化,但是由于威脅的傳播速度已經(jīng)非常驚人,所以這種形勢(shì)不容樂(lè)觀。例如,2001年紅色代碼在37分鐘內(nèi)即可使感染速率增加一倍。而在2003年,Sapphire蠕蟲(chóng)每8.5秒傳播速度就會(huì)加倍,最終不到10分鐘就會(huì)感染90%易受攻擊的目標(biāo)主機(jī)。而且,認(rèn)為最終不會(huì)出現(xiàn)傳播速度更快的威脅完全不切實(shí)際。

?威脅日益變化莫測(cè)

導(dǎo)致變種數(shù)量不斷增多的因素也同時(shí)導(dǎo)致混合型威脅層出不窮。通過(guò)使用多種利用機(jī)制、有效負(fù)載和/或傳播方法,這類(lèi)威脅更有可能避開(kāi)企業(yè)防線,然后成功施加負(fù)面影響。另外,導(dǎo)致局面日益惡化的另一個(gè)原因是黑客目前主要攻擊系統(tǒng)和應(yīng)用程序?qū)拥娜觞c(diǎn),而不是網(wǎng)絡(luò)層的漏洞。這樣,他們的攻擊往往成為側(cè)重網(wǎng)絡(luò)層活動(dòng)對(duì)策的漏網(wǎng)之魚(yú);不幸的是,大多數(shù)企業(yè)目前只憑借這樣的對(duì)策來(lái)保護(hù)自己。

首先,威脅數(shù)量大增意味著不僅安全員工將承受更大的壓力,而且他們所實(shí)施的對(duì)策在一定程度上也會(huì)受到影響。還需要進(jìn)行更多研究以確定最具破壞力的威脅、需要采取更多防御措施,最終還需要解決更多事故和故障。要使這樣的等式重新達(dá)到平衡,很可能需要任命更多安全管理員或?qū)嵤┛商岣卟僮餍实墓ぞ?,特別是在研究和防范活動(dòng)方面。第二個(gè)影響是使利用管理補(bǔ)丁程序進(jìn)行防御的效果微乎其微。過(guò)去,從發(fā)現(xiàn)漏洞到漏洞被利用之間的時(shí)間長(zhǎng)達(dá)數(shù)月,所以制造商可以從容開(kāi)發(fā)和補(bǔ)丁程序,然后由企業(yè)對(duì)這些補(bǔ)丁程序進(jìn)行測(cè)試和實(shí)施。但是,目前在發(fā)現(xiàn)漏洞后平均需要54天才能相關(guān)補(bǔ)丁程序,所以根本無(wú)法及時(shí)提供補(bǔ)丁程序。而且即便能夠及時(shí)提供,還需要考慮測(cè)試和實(shí)施相應(yīng)補(bǔ)丁程序所需時(shí)間的問(wèn)題。在最緊迫的情況下,最高效的企業(yè)可能需要幾天才能完成該過(guò)程。但這根本不具有代表性,企業(yè)補(bǔ)丁程序管理流程的常規(guī)執(zhí)行時(shí)間至少需要30天。

安全之路延伸何方

面對(duì)不斷變化的新威脅,信息安全的環(huán)境也在發(fā)生著深刻的變革。

首先,由于需要保持競(jìng)爭(zhēng)優(yōu)勢(shì),所以各個(gè)企業(yè)必須更迅速地應(yīng)用新興技術(shù)(例如,WLAN、VolP和Web服務(wù))以及所有現(xiàn)有技術(shù)和平臺(tái)的新版本。一般,各個(gè)企業(yè)不但必須管理和保護(hù)更多計(jì)算基礎(chǔ)架構(gòu)和應(yīng)用程序,而且其中大部分均為新出現(xiàn)的復(fù)雜架構(gòu)和程序,極為分散。結(jié)果是由于配置錯(cuò)誤和疏忽導(dǎo) 致的代碼漏洞與日俱增,而且弱點(diǎn)也越來(lái)越多。

其次,隨著內(nèi)部威脅日益嚴(yán)重,企業(yè)的安全觀念正發(fā)生著深刻的變化。從歷史角度來(lái)看,企業(yè)一般將注意力集中在保護(hù)他們與互聯(lián)網(wǎng)的連接上面,很少保護(hù)他們的內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。不過(guò),由于第三方連接日益增多,現(xiàn)場(chǎng)辦公的合同工需要連接到公司網(wǎng)絡(luò),而且公司自身員工的移動(dòng)性越來(lái)越強(qiáng),從而導(dǎo)致威脅可以繞過(guò)互聯(lián)網(wǎng)邊界控制,然后從內(nèi)部以相對(duì)迅猛的速度傳播。因此,除了原來(lái)必須要保護(hù)的日益增多的基礎(chǔ)架構(gòu)外,企業(yè)現(xiàn)在還必須保護(hù)內(nèi)部網(wǎng)絡(luò)和系統(tǒng)。

此外,確保內(nèi)部網(wǎng)絡(luò)安全的另外一個(gè)要素是必須遵從各種“暗示”的法規(guī)和法律(如果沒(méi)有明示)。不過(guò),從所占用的資源數(shù)量及有時(shí)會(huì)提供虛假的安全感角度來(lái)看,遵從這些要求反而會(huì)產(chǎn)生更多問(wèn)題。事實(shí)上,一份最新調(diào)查表明遵從是信息安全活動(dòng)的最重要的推動(dòng)因素,該調(diào)查還表明由此而引發(fā)的主要活動(dòng)是制定和更新各種策略和程序,而不是切實(shí)加強(qiáng)公司的安全架構(gòu)或整體戰(zhàn)略。

更現(xiàn)實(shí)的還有預(yù)算問(wèn)題,企業(yè)面臨的這方面挑戰(zhàn)在一定程度上變得欲蓋彌彰。只需看看現(xiàn)狀就足以:目前所制定的安全預(yù)算不僅不合理,而且這部分預(yù)算的使用方式往往對(duì)防御攻擊沒(méi)有幫助,此外這部分預(yù)算永遠(yuǎn)處于與“企業(yè)”的其他需要進(jìn)行競(jìng)爭(zhēng)的狀態(tài)。

以上復(fù)雜因素清楚地表明理想的威脅管理解決方案必須兼顧高效性和靈活性。相對(duì)于安全部門(mén)可支配的資源而言,他們需要完成的工作過(guò)于繁重。與此同時(shí),基礎(chǔ)業(yè)務(wù)需求(不考慮基礎(chǔ)架構(gòu))可謂常變常新。

策略篇>>>

“濕件”:另一種思維看安全

劉 恒

魯?shù)媳R克在系列科幻小說(shuō)《濕件》中講述了一個(gè)人類(lèi)制造的肉身機(jī)器人如何控制和改變?nèi)祟?lèi)的故事。該書(shū)對(duì)人類(lèi)腦力智慧(濕件)與帶有編碼化知識(shí)(軟件)的機(jī)器人(硬件)的結(jié)合并最終擺脫人類(lèi)控制的前景作了最大膽的想象。

無(wú)獨(dú)有偶,“濕件”先后出現(xiàn)在黑客界和醫(yī)藥界,并且成為新經(jīng)濟(jì)增長(zhǎng)理論的一個(gè)術(shù)語(yǔ)。如今,啟明星辰率先在安全業(yè)界引入“濕件”理論,并開(kāi)始成功應(yīng)用到安全服務(wù)領(lǐng)域。

看到“濕件”二字,絕大部分人認(rèn)為是“事件”的筆誤,其實(shí)不然,兩者毫無(wú)瓜葛,截然不同?!皾窦笔侵概c計(jì)算機(jī)軟件、硬件系統(tǒng)緊密相連的人(程序員、操作員、管理員),及與系統(tǒng)相連的人類(lèi)神經(jīng)系統(tǒng)。由此可見(jiàn),“濕件”,是儲(chǔ)存于人腦之中,無(wú)法與擁有它的人分離的能力、才干、知識(shí)等。

從某種意義而言,“濕件”是與軟件、硬件并列的IT第三大件,人們應(yīng)該對(duì)“濕件”給予充分重視。“濕件”第一次將人的作用突出出來(lái),而且這種作用遠(yuǎn)遠(yuǎn)高于軟件和硬件。沒(méi)有軟件,硬件是無(wú)用的;沒(méi)有人的操作或指示,軟件、硬件一起也做不了什么;由此可見(jiàn),“濕件”是IT系統(tǒng)最為基礎(chǔ)的部分。

網(wǎng)絡(luò)安全的脆弱一環(huán)

盡管“濕件”的作用如此基礎(chǔ)和重要,但是長(zhǎng)期以來(lái)卻未被提到應(yīng)有的重視高度。尤其是在中國(guó)的網(wǎng)絡(luò)安全領(lǐng)域,對(duì)于“濕件”的研究基本是個(gè)“空白”,目前,啟明星辰公司敏銳地發(fā)現(xiàn)這一“空白”,第一次將安全“濕件”與安全服務(wù)緊密地聯(lián)系在一起,第一次將人在信息安全中的決定性作用突出了出來(lái)。

三個(gè)典型的案例很容易說(shuō)明問(wèn)題。

案例一:某小區(qū)的保安系統(tǒng)很健全,24小時(shí)有保安守衛(wèi),但最近卻發(fā)現(xiàn)有小偷入戶行竊。盡管沒(méi)有搞清入侵者是從哪兒進(jìn)來(lái)的,有關(guān)部門(mén)還是貼了一個(gè)告示,提醒大家夏天別開(kāi)窗戶以防小偷。由于沒(méi)有找出問(wèn)題的癥結(jié)所在,同樣的事情在該小區(qū)再次發(fā)生。后來(lái)有人發(fā)現(xiàn),小區(qū)里欄桿的設(shè)計(jì)不合理,讓小偷鉆了進(jìn)去,如果拉兩個(gè)欄桿,就可以防止這種情況。

這個(gè)案例說(shuō)明,我們必須充分了解攻擊者和攻擊行為發(fā)生的原因,才有可能有效防御攻擊。

案例二:某部門(mén)存放重要文檔的電腦出了故障,保管文檔的人在部門(mén)內(nèi)對(duì)電腦進(jìn)行了修理。一段時(shí)間后,該重要文檔泄漏了,并被公開(kāi)到互聯(lián)網(wǎng)上。經(jīng)過(guò)一番追查,最后發(fā)現(xiàn)是修理電腦的人偷偷將文檔拷貝了下來(lái)。這個(gè)案例說(shuō)明,人員安全意識(shí)的缺失是遭到攻擊的致命因素。

案例三:“你想要值錢(qián)的東西嗎?想要,你就去拿吧?!比蜃钪暮诳蚆itrdck語(yǔ)出驚人。人們都認(rèn)為他擁有無(wú)人能敵的高超技術(shù),他卻在自己的《欺騙的藝術(shù)》一書(shū)中說(shuō),安全的核心和根本,不是技術(shù)問(wèn)題,而是人和管理問(wèn)題;安全最薄弱的環(huán)節(jié)是人的因素,穿透人這道防火墻往往非常容易。

從這三個(gè)案例中,我們不難看出,人的因素在信息安全中是何等重要。這也是啟明星辰為何將“濕件”引入安全服務(wù)的意義所在。對(duì)“安全濕件”的強(qiáng)調(diào),體現(xiàn)了一種系統(tǒng)的安全設(shè)計(jì)思想,有了這種意識(shí),用戶在構(gòu)建安全系統(tǒng)時(shí)會(huì)考慮更多的因素。如果用戶沒(méi)有考慮到“濕件”也是安全系統(tǒng)的一個(gè)組成部分,他設(shè)計(jì)出來(lái)的安全防御系統(tǒng)肯定是不健全的,是失去平衡的,結(jié)果是花了很多錢(qián),建造的安全系統(tǒng)并不安全。

完善安全系統(tǒng)

信息安全是動(dòng)態(tài)的,是過(guò)程,是攻擊和防御的平衡,從這個(gè)角度講,可將安全“濕件”劃分為攻擊型“濕件”和防御型“濕件”。攻擊“濕件”和防御“濕件”都可以進(jìn)一步細(xì)分下去。例如,防御型“濕件”還可以按照不同的人、不同類(lèi)型的知識(shí)進(jìn)行細(xì)分。

在信息安全系統(tǒng)中,攻擊和防御是密不可分、相輔相成的兩個(gè)方面。一方面,所謂“知彼知己、百戰(zhàn)不殆”,只有在攻防結(jié)合的基礎(chǔ)上,充分地了解甚至先考慮攻擊“濕件”,知道攻擊“濕件”是什么、在哪里、怎么樣,才談得上有效防御。目前很多安全產(chǎn)品或方案存在著一個(gè)嚴(yán)重的缺陷,那就是并不了解攻擊者,也就是沒(méi)有防御的明確目標(biāo),只是憑想象強(qiáng)行建立起一種防御系統(tǒng)。其實(shí)也許用戶根本不需要那么強(qiáng)大的防御系統(tǒng),這就是忽略了攻擊“濕件”產(chǎn)生的問(wèn)題。

安全“濕件”有助于企業(yè)提高和完善現(xiàn)有系統(tǒng)的安全性。企業(yè)在進(jìn)行安全投資的時(shí)候,應(yīng)該首先注重培養(yǎng)人才,培養(yǎng)“濕件”,甚至應(yīng)該把“濕件”擺在硬件和軟件之前考慮。實(shí)踐證明,“濕件”的投資回報(bào)率相當(dāng)高,產(chǎn)生的效果巨大。“濕件”應(yīng)該是排在軟件和硬件之前的基礎(chǔ)性的部件。

由于防御型“濕件”中的人總是不可避免地具有脆弱性,這給攻擊型“濕件”提供了可乘之機(jī),安全風(fēng)險(xiǎn)在所難免,安全產(chǎn)品和安全技術(shù)有時(shí)也會(huì)失靈。劉恒博士指出,許多安全問(wèn)題僅憑安全產(chǎn)品和技術(shù)是解決不了的,必須充分考慮人的因素,用基于“濕件”的服務(wù)去解決。

從上述角度來(lái)看,信息安全的關(guān)注點(diǎn)正在發(fā)生變化,轉(zhuǎn)向關(guān)注“濕件”。高明的用戶一方面要構(gòu)建自己內(nèi)部的安全“濕件”,另一方面在自身“濕件”不夠強(qiáng)健時(shí),則可以購(gòu)買(mǎi)專(zhuān)業(yè)安全公司提供的安全“濕件”。“濕件”作為服務(wù)成為主流,無(wú)疑是安全產(chǎn)業(yè)發(fā)展的必然趨勢(shì)。

嶄新的安全服務(wù)

“濕件”與安全服務(wù)緊密相關(guān),但是并 不能劃等號(hào),也不能劃大于號(hào)或小于號(hào)。因?yàn)榉?wù)強(qiáng)調(diào)的是一種形式和過(guò)程,而安全“濕件”強(qiáng)調(diào)的是安全軟件和硬件之外的人的重要性,突出的是系統(tǒng)的有機(jī)性,是一種強(qiáng)調(diào)完整協(xié)調(diào)一致的理念。安全“濕件”作為服務(wù)的一種形式應(yīng)該成為安全業(yè)界的主流。啟明星辰的M2S就是全新的基于“濕件”的安全服務(wù)。

作為一個(gè)重要的防御型“濕件”,M2S體現(xiàn)的是具有標(biāo)志性的專(zhuān)業(yè)化的安全服務(wù)。這個(gè)體系是在啟明星辰TSP理念的指導(dǎo)下,在多年安全服務(wù)最佳實(shí)踐的基礎(chǔ)上,結(jié)合國(guó)際先進(jìn)的安全服務(wù)理念、模型和業(yè)務(wù)模式,以用戶需求為中心,以注重實(shí)效為宗旨,推出的一種全面、細(xì)致的全新服務(wù)模式,主要包括國(guó)際化管理咨詢、專(zhuān)業(yè)化風(fēng)險(xiǎn)評(píng)估、實(shí)時(shí)性管理監(jiān)控、專(zhuān)家型應(yīng)急響應(yīng)等內(nèi)容。

M2S,一個(gè)能夠進(jìn)行全面防范、即時(shí)監(jiān)測(cè)、專(zhuān)家響應(yīng)的實(shí)時(shí)安全過(guò)程,是一種全新的安全“濕件”。M2S有4層含義:MMS(Managed Monitoring Services),體現(xiàn)了專(zhuān)業(yè)的監(jiān)控技術(shù)與服務(wù);MSS(Managed Security Services),體現(xiàn)了安全企業(yè)與國(guó)際通用托管式安全服務(wù)的融合,強(qiáng)調(diào)安全企業(yè)要保持國(guó)際安全服務(wù)的規(guī)范性;MtoS(Management to Security),闡明了安全企業(yè)倡導(dǎo)的“通過(guò)管理達(dá)到安全”的理念,也契合了“服務(wù)的核心在于人”的理念;MSM(Management Secu-rity Monitory),管理安全監(jiān)控,這里尤其體現(xiàn)了本地化差異性,與國(guó)外MSM主要根據(jù)設(shè)備來(lái)實(shí)行監(jiān)控管理不同,M2S致力于解決客戶幾乎所有的安全問(wèn)題,范圍更為廣泛。

可以說(shuō),“濕件”理論與M2S的有效結(jié)合,提升了網(wǎng)絡(luò)和系統(tǒng)自身的防御能力,為更多的用戶提升了生產(chǎn)效能,而將安全“濕件”與服務(wù)緊密相聯(lián),也完全可以有效幫助信息安全企業(yè)在安全服務(wù)領(lǐng)域樹(shù)立新的里程碑。

管理篇>>>

安全風(fēng)險(xiǎn)管理的游戲規(guī)則

駕馭風(fēng)險(xiǎn),方可掌控安全。日前,綠盟科技專(zhuān)業(yè)服務(wù)部總監(jiān)王紅陽(yáng),就目前信息安全風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理的創(chuàng)新理念、前沿技術(shù)、創(chuàng)建適應(yīng)企業(yè)發(fā)展的網(wǎng)絡(luò)環(huán)境等問(wèn)題,接受了《軟件世界》雜志的采訪。

軟件世界:如何理解風(fēng)險(xiǎn)管理的概念?綠盟科技在這方面的研究有沒(méi)有什么前沿性的課題?

王紅陽(yáng):在COSO企業(yè)風(fēng)險(xiǎn)管理框架中,風(fēng)險(xiǎn)定義為任何可能影響某一組織實(shí)現(xiàn)其目標(biāo)的事項(xiàng)。風(fēng)險(xiǎn)的范圍可能是財(cái)務(wù)、合法性、符合性、運(yùn)維、市場(chǎng)、戰(zhàn)略、信息、技術(shù)、人員、聲譽(yù)等方面。風(fēng)險(xiǎn)包括惡性事件帶來(lái)的威脅、尚不能確定后果的事件、可轉(zhuǎn)化為機(jī)會(huì)的事件。風(fēng)險(xiǎn)管理是發(fā)現(xiàn)和了解組織中風(fēng)險(xiǎn)的各個(gè)方面,并且付諸明智的行動(dòng)幫助組織實(shí)現(xiàn)戰(zhàn)略目標(biāo),減少失敗的可能并降低不確定的經(jīng)營(yíng)結(jié)果的整個(gè)過(guò)程。信息安全風(fēng)險(xiǎn)評(píng)估(本文以下簡(jiǎn)稱(chēng)“風(fēng)險(xiǎn)評(píng)估”),則是指依據(jù)國(guó)家、國(guó)際有關(guān)信息技術(shù)、安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估活動(dòng)過(guò)程,它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅,以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響等,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度,來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過(guò)程,它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。信息安全的威脅來(lái)自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。必須按照風(fēng)險(xiǎn)管理的思想,對(duì)可能的威脅、脆弱性和需要保護(hù)的信息資源進(jìn)行分析,依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩胧?,妥善?yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)。企業(yè)風(fēng)險(xiǎn)管理使管理當(dāng)局能夠有效的應(yīng)對(duì)不確定性以及由此帶來(lái)的風(fēng)險(xiǎn)和機(jī)會(huì)。

軟件世界:如何在一個(gè)組織的網(wǎng)絡(luò)中識(shí)別出風(fēng)險(xiǎn)所在?

王紅陽(yáng):風(fēng)險(xiǎn)評(píng)估遵循了ISOl7799、ISOl3335、ISOl5408(GB/T18336)、SSE-CMM等一系列的國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)提供了評(píng)估過(guò)程、評(píng)估方法、評(píng)估模型、評(píng)估內(nèi)容等多方面的規(guī)范化指導(dǎo),同時(shí)在評(píng)估算法、評(píng)估操作等方面參考了AS/NZS4360。GAO/AIMD-00-33,GAO/AIMD-98 68.BSI PD3000等美國(guó)、澳大利亞、新西蘭的標(biāo)準(zhǔn)和規(guī)范。

風(fēng)險(xiǎn)評(píng)估的過(guò)程就是對(duì)信息系統(tǒng)所面臨的各種風(fēng)險(xiǎn)發(fā)生的可能性和風(fēng)險(xiǎn)發(fā)生后的嚴(yán)重性進(jìn)行評(píng)價(jià),即在國(guó)際、國(guó)內(nèi)等相關(guān)標(biāo)準(zhǔn)和規(guī)范的指導(dǎo)下對(duì)信息系統(tǒng)的資產(chǎn)、威脅、脆弱性三要素進(jìn)行詳細(xì)具體的評(píng)估。

風(fēng)險(xiǎn)評(píng)估包含了(但不僅限于)以下一系列的技術(shù)評(píng)估手段和管理評(píng)估手段:

?安全掃描:通過(guò)評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。

?人工檢查:通過(guò)人工方式直接操作評(píng)估對(duì)象來(lái)獲取所需要的安全配置信息,主要解決遠(yuǎn)程無(wú)法通過(guò)工具軟件或設(shè)備獲得的信息,以及為避免評(píng)估意外事件而采取的方法。

?IDS取樣分析:通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為,并對(duì)通信流量進(jìn)行分析。

?滲透測(cè)試:在獲取用戶授權(quán)后,通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法。

?應(yīng)用安全評(píng)估:對(duì)用戶業(yè)務(wù)應(yīng)用軟件進(jìn)行安全功能審核、滲透測(cè)試、源代碼審核等。

?安全管理審計(jì):通過(guò)文檔審核、策略審核、問(wèn)卷調(diào)查、顧問(wèn)訪談等形式,對(duì)信息安全策略、組織信息安全、資產(chǎn)管理、人力資源安全、物理和環(huán)境的安全、日常運(yùn)作和通訊、訪問(wèn)控制、系統(tǒng)的獲得、開(kāi)發(fā)與維護(hù)、信息安全事件管理、業(yè)務(wù)持續(xù)性管理、符合性等方面進(jìn)行綜合評(píng)估。

軟件世界:信息資產(chǎn)風(fēng)險(xiǎn)管理的內(nèi)容包括什么?通過(guò)怎樣的策略和方案可以達(dá)到風(fēng)險(xiǎn)管理的目的?

王紅陽(yáng):信息安全風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能存在的危害,以便為系統(tǒng)最終安全需求的提出提供依據(jù)。同時(shí),也是為了分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求,找出目前的安全策略和實(shí)際需求的差距,為保護(hù)信息系統(tǒng)的安全提供科學(xué)依據(jù)。進(jìn)而通過(guò)合理步驟,制定出適合系統(tǒng)具體情況的安全策略及其管理和實(shí)施規(guī)范,為安全體系的設(shè)計(jì)提供參考。

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全必要的、重要的步驟,可以使決策者對(duì)其業(yè)務(wù)信息系統(tǒng)的安全建設(shè)或安全改造思路有更深刻的認(rèn)識(shí)。通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估,他們將清楚業(yè)務(wù)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅、本身的弱點(diǎn);哪些威脅出現(xiàn)的可能性較大,造成的影響也較大,哪些威脅出現(xiàn)的可能性較小,造成的影響可以忽略不計(jì);通過(guò)保護(hù)哪些資產(chǎn),防止哪些威脅出現(xiàn),如何保護(hù)和防止才能保證系統(tǒng)達(dá)到一定的安全級(jí)別;提出的安全方案需要多少技術(shù)和費(fèi)用的支持,更進(jìn)一步,還會(huì)分析出信息系統(tǒng)的風(fēng)險(xiǎn)是如何隨時(shí)間變化的,將來(lái)應(yīng)如何面對(duì)這些風(fēng)險(xiǎn),這需要建立一個(gè)晚上的體系。