引言:安全管理的發展趨勢和現狀
1,網絡安全現狀
計算機網絡的廣泛應用是當今信息社會的壹場革命。電子商務、電子政務等網絡應用的發展和普及,不僅給我們的生活帶來了極大的便利,也創造了巨大的財富。以互聯網為代表的全球信息化浪潮日益深入,信息網絡技術的應用越來越普及和廣泛,應用層次不斷深化,應用領域逐漸從傳統的、小型的業務系統擴展到大型的、關鍵的業務系統。
與此同時,計算機網絡也面臨著越來越多的安全威脅。網絡用戶廣為人知的黑客攻擊活動正以每年10次的速度遞增。網頁修改、非法進入主機、發送假郵件、進入銀行系統盜取轉移資金、竊取信息等網絡攻擊此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊都造成了各種危害,包括篡改和竊取機密數據、修改或醜化網站頁面以及網絡癱瘓。網絡與信息安全問題日益突出,已成為影響國家安全、社會穩定和人民生活的大事。開發與現有網絡技術相對應的網絡安全技術,保證網絡安全、有序、有效的運行,是保證互聯網高效、有序應用的關鍵之壹。
2、現有的網絡安全技術
計算機網絡是基於網絡可識別的網絡協議的各種網絡應用的完整組合,協議和應用都可能出現問題。網絡安全問題包括網絡中使用的協議的設計、協議和應用程序的軟件實現,當然還有網絡安全問題,如人為因素和系統管理錯誤。下表示意性地說明了這些網絡安全問題。
問題類型、問題點、問題描述
忽略了協議設計的安全性。在達成協議時,通常首先強調功能性,而不到最後壹刻才考慮安全性。
其他基礎協議問題壹個建立在其他非堅實基礎協議基礎上的協議,即使再完善也會有很多問題。
流程問題在設計協議時,沒有充分考慮各種可能的流程問題,導致情況發生時系統處理不當。
協議的錯誤設計使得系統服務容易失敗或受到攻擊。
軟件設計錯了。協議規劃正確,但協議設計或設計者對協議的認知存在錯誤,導致各種安全漏洞。
不良的編程習慣導致很多安全漏洞,包括常見的未檢查數據長度、輸入數據容錯能力不足、未檢測到可能的錯誤、應用環境假設錯誤、模塊引用不當、未檢測資源不足等。
人員操作失誤嚴格完善,但是操作人員沒有經過很好的培訓或者沒有按照手冊操作,導致各種安全漏洞和隱患。
系統維護默認值不安全軟件或操作系統預設設置不科學,導致系統在默認設置下處於不安全狀態。易受病毒、蠕蟲、特洛伊馬等攻擊。
未打補丁的系統軟件和操作系統的各種補丁沒有及時修復。
內部安全問題不足以防止信任系統和網絡發起的各種攻擊。信任領域的不安全系統成為了不信任領域的系統攻擊信任領域的跳板。
針對上表所示的各種網絡安全問題,世界各地的網絡安全廠商都在努力開發各種安全技術來預防這些問題,包括訪問控制技術、身份識別和認證技術、密碼學技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全和反否認協議等。各種網絡安全軟件,包括防火墻、入侵檢測(IDS)、殺毒軟件、CA系統、加密算法等。,已經陸續推出。這些技術和安全系統(軟件)為網絡系統提供了壹定的安全防範措施,在壹定程度上解決了某些方面的網絡安全問題。
3.現有網絡安全技術的缺陷。
現有的各種網絡安全技術都是針對某壹個或幾個方面的網絡安全問題而設計的,只能在壹定程度上解決某壹個或幾個方面的網絡安全問題,無法預防和解決其他問題,更談不上為整個網絡提供系統有效的防護。例如,身份認證和訪問控制技術只能解決確認網絡用戶身份的問題,但不能防止已確認用戶之間傳遞信息的安全性,而計算機病毒預防技術只能防止計算機病毒對網絡和系統的危害,但不能識別和確認網絡上用戶的身份。
在現有的各種網絡安全技術中,防火墻技術可以在壹定程度上解決壹些網絡安全問題。防火墻產品主要有包過濾防火墻、狀態檢測包過濾防火墻和應用層代理防火墻,但防火墻產品都有局限性。它最大的局限性是防火墻本身不能保證它允許發布的數據的安全性。同時,防火墻還存在壹些弱點:壹是無法防禦來自內部的攻擊:來自內部的攻擊者從網絡內部發起攻擊,他們的攻擊並不經過防火墻,但防火墻只是隔離內網和互聯網上的主機,監控內網和互聯網的通信,並不檢查內網的情況,對內部的攻擊無能為力;第二,無法防禦繞過防火墻的攻擊:從根本上說,防火墻是壹種被動防禦手段,妳只能等待通過它的數據報。如果數據因為某種原因無法通過防火墻,防火墻不會采取任何措施;第三,不能防禦全新的威脅:防火墻只能防禦已知的威脅,但是人們發現可信服務中有新的入侵方式,可信服務變得不可信;第四,防火墻無法防禦數據驅動的攻擊:雖然防火墻會對所有傳遞的信息進行掃描分析,但這種掃描分析多是針對IP地址和端口號或協議內容,而不是數據細節。這樣,數據驅動的攻擊,比如病毒,就可以附著在電子郵件之類的東西上,進入妳的系統,發動攻擊。
入侵檢測技術也有局限性。其最大的局限性是嚴重的漏報和誤報。不能稱之為可靠的安全工具,只是壹個參考工具。
在沒有更有效的安全產品之前,更多的用戶選擇和依賴防火墻這樣的產品來保護自己的網絡安全。然而,與之相對應的是,新的OS漏洞和網絡層攻擊層出不窮,攻破防火墻、攻擊計算機網絡的事件越來越多。因此,開發更完善的網絡安全系統來有效保護網絡系統,已經成為網絡安全廠商和用戶的共同需求和目標。
4發展趨勢:
近年來,中國的網絡安全技術發展迅速。壹方面得益於中央和地方政府的廣泛重視。另壹方面,由於網絡安全問題日益突出,網絡安全企業緊跟最新安全技術,不斷推出符合用戶需求、具有時代特征的安全產品,進壹步推動了網絡安全技術的發展。
從技術角度來看,網絡安全產品在發展過程中面臨的主要問題是:過去人們主要關心系統和網絡基礎的保護,而現在人們更加關註應用層面的安全保護。安全防護已經從底層或者簡單的數據層面上升到應用層面,滲透到業務行為的關聯性和信息內容的語義範疇,越來越多的安全技術與應用相結合。
4.1,現階段網絡安全技術的局限性
談到網絡安全技術,就必須提到網絡安全技術的三大主流——防火墻技術、入侵檢測技術和反病毒技術。
任何用戶,在剛開始面對安全問題的時候,往往會考慮這“老三樣”。可以說,這三種網絡安全技術在整個網絡安全建設中發揮了不可或缺的作用,但傳統的安全“老三樣”或基於它們的安全產品正面臨著許多新的問題。
首先,從用戶的角度來說,雖然系統中安裝了防火墻,但是無法避免蠕蟲、垃圾郵件、病毒傳播、拒絕服務的入侵。
其次,沒有大規模部署的入侵檢測單壹產品在預警方面存在先天不足,在精準定位和統籌管理方面還有很大空間。
再次,雖然很多用戶在單機和終端上都安裝了防病毒產品,但是內網的安全不僅僅是防病毒的問題,還包括安全策略的執行、外部非法入侵、補丁管理、合規管理等。
所以,雖然“老三三”取得了巨大的成就,仍然發揮著重要的作用,但是用戶已經逐漸感受到了它的不足。其次,從網絡安全的整體技術框架來看,網絡安全技術也面臨著很大的問題。“老三樣”基本都是針對數據、單系統、軟硬件、程序本身的安全性。應用層的安全需要重點關註信息語義範疇的“內容”和網絡虛擬世界的“行為”。
4.2、技術發展趨勢分析
防火墻技術的發展趨勢
在混合攻擊的時代,單壹功能的防火墻已經不能滿足業務的需求,而是具有多重安全功能。基於應用協議層防禦、低誤報率檢測、高可靠高性能平臺和統壹組件管理的技術,優勢將越來越體現出來,UTM(unifiedtreatmanagement)技術應運而生。
從概念的定義來看,UTM不僅提出了具體產品的形式,還涵蓋了更深遠的邏輯範疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、集成安全網關、集成安全設備都符合UTM的概念;從後半部分來看,UTM的概念也體現了信息安全行業經過多年的發展,對安全管理的深刻理解,以及對安全產品可用性和聯動能力的深入研究。
UTM的功能如圖1所示。因為UTM設備是串聯的安全設備,所以UTM設備必須具有良好的性能和高可靠性。同時,在統壹的產品管理平臺下,UTM集成了防火墻、VPN、網關反病毒、IPS、拒絕服務攻擊等眾多產品功能。,實現各種防禦功能。因此,向UTM演進將是防火墻的發展趨勢。UTM設備應具有以下特征。
(1)網絡安全協議層防禦。防火墻作為簡單的2到4層防護,主要是對IP、端口等靜態信息進行保護和控制,但真正的安全不能只停留在底層。我們需要建造壹堵更高、更堅固、更可靠的墻。除了傳統的訪問控制之外,還需要全面檢測和控制垃圾郵件、拒絕服務、黑客攻擊等外部威脅,實現七層協議的保護,不局限於第二層到第四層。
(2)通過分類檢測技術降低誤報率。壹旦串聯的網關設備虛警過高,就會給用戶帶來災難性的後果。IPS的概念是在20世紀90年代提出的,但是目前IPS在全球的部署非常有限,影響其部署的壹個重要問題就是虛警率。分類檢測技術可以大大降低誤報率。針對不同的攻擊,采用不同的檢測技術,如反拒絕服務攻擊、反蠕蟲和黑客攻擊、反垃圾郵件攻擊、反非法短信攻擊等。,從而顯著降低假陽性率。
(3)由高可靠性、高性能的硬件平臺支持。
(4)集成統壹管理。因為UTM設備集成了多種功能,所以必須有壹個可以統壹控制和管理的平臺,讓用戶可以有效管理。這樣,設備平臺可以標準化和可擴展,用戶可以在統壹的平臺上管理組件。同時,集成管理還可以消除由於信息產品之間無法互通而造成的信息孤島,從而在應對各種攻擊威脅時更好地保護用戶的網絡安全。
二,網絡安全面臨的主要問題
1.網絡建設單位、管理人員和技術人員缺乏安全意識,無法采取主動的安全措施進行防範,完全處於被動地位。
2.組織和部門的相關人員不清楚網絡安全的現狀,不知道或不知道網絡的隱患,從而失去防禦攻擊的機會。
3.組織和部門的計算機網絡安全沒有形成完整的、有組織的架構,其缺陷給了攻擊者可乘之機。
4.組織和部門的計算機網絡沒有建立完善的管理制度,導致安全制度和安全控制措施不能充分有效地發揮作用。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者收集敏感信息的機會。
5.網絡安全管理人員和技術人員缺乏必要的專業安全知識,無法對網絡進行安全配置和管理,無法及時發現存在的和可能存在的安全問題,無法積極、有序、有效地應對突發安全事件。
三種網絡安全解決方案
實現網絡安全的過程是復雜的。這壹復雜的過程需要嚴格有效的管理來保證整個過程的有效性,保證安全控制措施能夠有效發揮其有效性,保證預期安全目標的實現。因此,建立壹個組織的安全管理體系是網絡安全的核心。應從系統工程的角度構建網絡安全架構,通過管理手段將組織和部門的所有安全措施和流程整合為壹個有機整體。安全體系結構由許多靜態安全控制措施和動態安全分析過程組成。
1.安全需求分析“知己知彼,百戰不殆”。只有了解自己的安全需求,才能構建適合自己的安全架構,從而有效保證網絡系統的安全。
2.安全風險管理安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行評估,使組織和部門以可接受的投入實現最大的安全性。風險評估為組織和部門制定安全策略和建立安全架構提供了直接依據。
3.制定安全策略根據組織和部門的安全需求以及風險評估的結論,制定組織和部門的計算機網絡安全策略。
4.定期安全審計安全審計的主要任務是審計組織的安全政策是否得到有效和正確的實施。其次,由於網絡安全是壹個動態的過程,組織和部門的計算機網絡的配置可能會經常發生變化,因此組織和部門的安全需求也會發生變化,組織的安全策略也需要相應地進行調整。為了及時反映安全政策和控制措施的變化,有必要定期進行安全審核。
5.計算機網絡安全的外部支持離不開必要的外部支持。通過專業安全服務機構的支持,網絡安全體系將更加完善,可以獲得更新的安全信息,為計算機網絡安全提供安全預警。
6.計算機網絡安全管理安全管理是計算機網絡安全的重要組成部分,是計算機網絡安全體系結構的基本組成部分。妥善管理活動,規範組織的各項業務活動,使網絡有序運行,是獲得安全的重要條件。
四個總結
計算機網絡的安全越來越受到人們的關註。網絡安全不僅是壹個技術問題,也是壹個安全管理問題。必須綜合考慮安全因素,制定合理的目標、技術方案和相關配套法規。世界上沒有絕對安全的網絡系統。隨著計算機網絡技術的進壹步發展,網絡安全防護技術也必然隨著網絡應用的發展而發展。