1、浅谈网络技术与平安问题:计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的开展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。与此同时,计算机网络也正面临着日益剧增的平安威胁。关键字:网络 平安 管理 网络开展 网络现状一、现阶段网络平安技术的局限性 谈及网络平安技术,就必须提到网络平安技术的三大主流防火墙技术、入侵检测技术以及防病毒技术。 任何一个用户,在刚刚开始面对平安问题的时候
2、,考虑的往往就是这“老三样。可以说,这三种网络平安技术为整个网络平安建设起到了功不可没的作用,但是传统的平安“老三样或者说是以其为主的平安产品正面临着许多新的问题。首先,从用户角度来看,虽然系统中安装了防火墙,但是仍防止不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝效劳的侵扰。 其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的缺乏,且在精确定位和全局管理方面还有很大的空间。 再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的平安并不仅仅是防病毒的问题,还包括平安策略的执行、外来非法侵入、补丁管理以及合规管理等方面。 所以说,虽然“老三样已经立下了赫赫战功,且仍然发挥着重要
3、作用,但是用户已渐渐感觉到其缺乏之处。其次,从网络平安的整体技术框架来看,网络平安技术同样面临着很大的问题,“老三样根本上还是针对数据、单个系统、软硬件以及程序本身平安的保障。应用层面的平安,需要将侧重点集中在信息语义范畴的“内容和网络虚拟世界的“行为上。 二、防火墙技术开展趋势 在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种平安功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的表达,UTUnifiedThreatManagement,统一威胁管理技术应运而生。从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加
4、深远的逻辑范畴。从定义的前半局部来看,很多厂商提出的多功能平安网关、综合平安网关、一体化平安设备都符合UTM的概念;而从后半局部来看,UTM的概念还表达了经过多年开展之后,信息平安行业对平安管理的深刻理解以及对平安产品可用性、联动能力的深入研究。由于UTM设备是串联接入的平安设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝效劳攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的开展趋势。UTM设备应具备以下特点。 1网络平安协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像I
5、P、端口等静态的信息进行防护和控制,但是真正的平安不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝效劳、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。 2通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比方防拒绝效劳攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从
6、而显著降低误报率。 3有高可靠性、高性能的硬件平台支撑。 4一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络平安。三、 网络平安面临的主要问题1. 网络建设单位、管理人员和技术人员缺乏平安防范意识,从而就不可能采取主动的平安 措施加以防范,完全处于被动挨打的位置。 2. 组织和部门的有关人员对网络的平安现状不明确,不知道或不清楚网
7、络存在的平安隐 患,从而失去了防御攻击的先机。 3. 组织和部门的计算机网络平安防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。 4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致平安体系和平安控制措施 不能充分有效地发挥效能。业务活动中存在平安疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的时机。 5. 网络平安管理人员和技术有员缺乏必要的专业平安知识,不能平安地配置和管理网络, 不能及时发现已经存在的和随时可能出现的平安问题,对突发的平安事件不能作出积极、有序和有效的反响。四、 网络平安的解决方法实现网络平安的过程是复杂的。这个复杂的过程需要严格有效的管理才
8、能保证整个过程的有效性,才能保证平安控制措施有效地发挥其效能,从而确保实现预期的平安目标。因此,建立组织的平安管理体系是网络平安的核心。我们要从系统工程的角度构建网络的平安体系结构,把组织和部门的所有平安措施和过程通过管理的手段融合为一个有机的整体。平安体系结构由许多静态的平安控制措施和动态的平安分析过程组成。 1. 平安需求分析 知彼,百战不殆。只有明了自己的平安需求才能有针对性地构建适合于自己的平安体系结构,从而有效地保证网络系统的平安。 2. 平安风险管理 平安风险管理是对平安需求分析结果中存在的平安威胁和业务平安需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的平安。风险评估
9、为制定组织和部门的平安策略和构架平安体系结构提供直接的依据。 3. 制定平安策略 根据组织和部门的平安需求和风险评估的结论,制定组织和部门的计算机网络平安策略。 4. 定期平安审核 平安审核的首要任务是审核组织的平安策略是否被有效地和正确地执行。其次,由于网络平安是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对平安的需求也会发生变化,组织的平安策略需要进行相应地调整。为了在发生变化时,平安策略和控制措施能够及时反映这种变化,必须进行定期平安审核。 5. 外部支持 计算机网络平安同必要的外部支持是分不开的。通过专业的平安效劳机构的支持,将使网络平安体系更加完善,并可以得到更新的平安资讯,为计算机网络平安提供平安预警。 6. 计算机网络平安管理 平安管理是计算机网络平安的重要环节,也是计算机网络平安体系结构的根底性组成局部。通过恰当的管理活动,标准组织的各项业务活动,使网络有序地进行,是获取平安的重要条件。计算机网络的平安问题越来越受到人们的重视,网络平安不仅仅是技术问题,同时也是一个平安管理问题。我们必须综合考虑平安因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对平安的网络系统,随着计算机网络技术的进一步开展,网络平安防护技术也必然随着网络应用的开展而不断开展。
