随着计算机网络技术的快速发展和全球信息化步伐的日益加快,现代计算机网(Internet、Intranet)作为信息社会的基础设施已经渗透到社会的各个方面。伴随着信息化的日益发展,黑客、计算机病毒等因素严重威胁着计算机网络的安全,内部网络安全问题越来越突出地呈现在广大用户面前;其维护和管理也日益成为备受关注的问题。
一、内网面临的安全问题
根据公安部以及美国FBI/CSI等权威机构的调查:超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取。据中国国家信息安全测评认证中心调查,信息安全的现实威胁也主要是内部信息泄露和内部人员犯罪,而非病毒和外来黑客引起。分析发现,内网所面临的安全威胁主要表现在如下几个方面:
网络安全手抄报的句子1.难以监控外来计算机接入内网办公楼层规模化的网络接口方便了员工接入网络,同时也方便了外来计算机接入网络,管理人员对此类情况难以判定并加以监视和控制,仅仅依靠交换机上的绑定功能难以实现集中化的有效管理,一旦发生问题,网管可采取的措施有限。员工或临时的外来人员随意接入内网环境,给内网安全带来如下威胁:
1)如果外来设备携带有病毒或木马,一旦未经审查接入内网可能对内网安全构成巨大的威胁。
2)如果外来设备占用了内网重要服务器或者主机的IP地址,会造成重要影响。
3)如果外来设备是恶意接入,想盗窃内网中的各类数据,则会带来更大损失
4)如果没有严格的管理策略,员工随意设置IP地址,可能造成IP地址冲突,关键网络设备的工作异常。为谋求非法利益而恶意盗用、冒用IP地址的情况,后果将非常严重。
2.漏洞转变成病毒或攻击的风险日益增高
微软定期发布修复系统漏洞的更新,使用windows操作系统或者应用程序的内网用户常常不能及时应用这些更新,且未及时更新杀毒软件的病毒特征库时,就会给恶意的入侵者提供可乘之机,使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致内网全部陷于瘫痪,使业务无法正常进行,造成重大损失
3.非法外联、外围设备应用难以控制员工通过电话线拨号等方式,绕过防火墙的监控直接连接外网,使内网的IT资源暴露在外部攻击者面前,攻击者或病毒可通过拨号线路进入内网;另一方面,内部员工可能通过这种不受监控的网络通道将内部机密泄漏出去,给本单位带来经济损失。为了保证内部安全,杜绝信息输出的途径,要求对网内各计算机设备的外围设备使用情况进行控制,禁止或限制使用软驱、光驱、U盘、并行、串行口、红外口、1394口、Modem等外围设备。有单位的做法是对接口进行硬件上的封杀,拿掉光驱、软驱,或用胶将USB口封住,这样浪费了硬件资源,同时管理效果也不理想。USB接口作为计算机常用接口,应用日益广泛,而对于一些涉密机构来说,USB设备又是信息输出和交流的主要途径,因此使用和监管更为非常重要,需要控制USB存储设备的使用,甚至要对存储到USB
设备中的文件进行加密。
4.软件应用缺乏监控,工作效率无法提高
上网聊天、网络游戏等行为严重影响工作效率,利用QQ,MSN,ICQ这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具疯狂下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。为了提升工作效率,防止因运行不当软件带来的经济损失,需要了解并监控各计算机的软件运行情况,禁止非法软件的运行
5.软硬件设备滥用安全无法保障
内网硬件(CPU、内存、硬盘等)被随意更换,移动存储等外接设备管理难以控制,缺乏有效的技术跟踪手段;桌面软件丰富,鱼龙混杂,容易引起意外冲突和不可预测的灾难;员工可以更改机器IP地址或主机名等配置,一旦出现攻击行为或者安全事故,责任定位非常困难。
二、网络安全防范手段
1.常规安全防护手段
完善管理:完善的内网管理制度是保障网络安全的基础。所谓“三分技术,七分管理”也正是对网络安全
最好的诠释。安全管理包括安全技术和设备的管理,制定严格的安全管理制度、部门与人员的组织规则是防范网络安全的有力措施。管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角配置都可以在很大程度上降低其它层次的安全漏洞。针对自身的安全风险,各单位通常会制定一系列的安全策略、安全制度来保障自己的网络安全。但是,随着内网的规模和复杂度的急剧上升,这些安全策略往往很难被有效执行。
网络分段:内部局域网大多采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
防病毒软件与个人防火墙:病毒就是计算机的一段可执行代码,这些病毒感染到计算机上的过程最完全被动的。计算机病毒的传统感染过程并不是利用系统上的缺陷。只要用户直接跟这些病毒接触,例如拷贝文件、访问网站、接受Email等该用户的系统就会被感染。一旦计算机被感染上病毒,这些可执行代码可以自动执行,破坏计算机系统。安装并经常更新防病毒软件会对系统安全起防护作用。防病毒软件根据病毒的特征,检查用户系统上是否有病毒。这个检查过程可以是定期检查,也可以是实时检查。
内外网使用物理隔离:客户机使用双硬盘物理隔离设备,即客户端增加一块PCI卡,客户端的硬盘或其它的存储设备首先连接到该卡,然后再转接到主板上。这样通过该卡控制客户
端的硬盘或其它的存储设备的选择。而选择不同的硬盘时,同时选择了该卡不同的网络接口,连接到不同的网络。该产品对用户的使用来说不是很方便,用户往往需要通过繁复的切换才能在双网内工作,而且还无法在两个工作区内拷贝文件。安全级别低的产品可以对内网和外网进行物理隔离,但对用户的各种操作没有其它限制,如果用户将内外网线接口互换,将会出现信息泄漏的情况。
2.主动防御型安全产品
硬件防火墙:是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。防火墙是介于两个网络之间的设备,用来控制两个网络之间的通信。通过防火策略,可以有效地阻挡外来的网络攻击和一些病毒的入侵。这就是主动防御技术的最初应用。
IDS入侵检测系统:IDS是为监测内网的非法访问而开发的设备,根据入侵检测识别库的规则,判断网络中是否存在非法的访问。管理员通过分析这些事件,来对网络的安全状况进行评估,再采取对应的防护策略。相对硬件防火墙而言,IDS是基于主动防御技术的更高一级应用。
IPS入侵防护系统:一般来说,IPS系统都依靠对数据包的检测。IPS检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入网络。与IDS和硬件防火墙相比,IPS更智能,可以通过分析来决定是否允许数据包通行,这是主动防御技术的最典型应用。
杀毒软件:在病毒越来越猖狂,破坏力越来越强大的不利形势下,过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。正因为此,杀毒软件厂商才推出了集成了主动防御技术的杀毒软件,不过他们的主动防御技术只是对网页、注册表、恶意脚本增加了监测功能而已,只能说是最初级的主动防御技术应用,距离真正的主动防御也还有一定的距离。
一个可以在信息安全实践活动中真正依据的建设蓝图,就是为每个网络建立一套完善的网络安全体系。网络安全体系应该是融合了技术和管理在内的一个可以全面解决安全问题的体系结构,它应该包括完善的网络信息访问控制策略、机密数据通信安全与保护策略、灾难恢复规划、对犯罪攻击的预防检测等等。这样才能较为完善的保障内部网络的安全性。
发布评论