内网安全技术论文

2024-10-22

内网安全技术论文(精选12篇)

内网安全技术论文 篇1

0 引言

长期以来,人们谈到网络安全都是指一些外部的病毒入侵、黑客攻击,常规防御理念往往局限于利用网关、网络边界设备等进行防御,然而很多这方面的技术对保护内网却没有效用。大量关于黑客入侵、病毒攻击的报道,将人们的注意力导向到重视防范来自外部的攻击,却忽视了来自内部的安全威胁。内部人员误用、滥用、恶用内网资源,盗窃机密数据等严重破坏信息安全的行为,已成为网络中的主要威胁。对此,人们不仅缺乏必要的认识,也缺少合适的防范工具与处理手段。

1 内网安全威胁

FBI和CSI在2005年的调查结果显示:将近50%的安全威胁来自内部网络的误用,有35%来自未授权的访问,有10%来自专利信息被窃取,有8%来自内部人员的财务欺骗;在损失金额上,未授权的访问导致了31 233 100美元的损失,专利信息的窃取导致了30 933 000美元的损失,内部网络的误用导致了6 856 450美元的损失,内部人员的财务欺骗导致了2 565 000美元的损失,总计达71 587 550美元。这组数据充分说明了内网安全的重要性,也提醒我们应尽快加强内网安全建设。

内网安全的目标就是要建立一个可信、可控的内部安全网络,内网90%以上的设备由终端主机组成,因此它当之无愧地成为内网安全的重中之重。安全、有效地监控终端主机,必须首先了解来自内部网络的安全威胁。

1.1 非法外联

内部人员使用拨号、宽带等方式接入外网,使本来隔离的内网与外网之间开辟了新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内外网之间的防护屏障,顺利侵入非法外联的主机,盗窃内网的敏感信息和机密数据,造成泄密事件。

1.2 使用软件违规

内部人员出于好奇或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,没有安装指定的防病毒软件等等,这些行为都对内网安全构成了重大威胁。

1.3 外设接口使用不当

为了方便使用,计算机提供了各种大量的外设接口,如USB接口、串行接口、并行接口、软盘控制器、DVD/CD-ROM驱动器等,而这些外设接口都可能成为信息泄漏的途径。

1.4 外部设备管理不当

如果不加限制地让内部人员在内网主机上安装、使用可移动的存储设备,如软驱、光驱、U盘、移动硬盘、可读写光盘等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。

1.5 重要文件缺乏保护

计算机内部的相关机密文件被随意进行篡改、删除等操作,个别内部人员对涉密文件进行了共享操作,从而有意无意地造成了内部信息泄漏。

1.6 打印机的滥用

一般内部的关键资料不允许打印带出,这些关键资料包括重要的设计图纸、设计文档、参考文献等。对于这些重要电子文档的打印,要进行严格的登记和日志记录,登记所有打印机上的打印记录,以便为资料泄漏提供强有力的线索和证据。

2 内网安全管理系统

内网安全首先假设所有的内部网络都存在安全威胁,相对于外网有着更细粒度的安全管理控制,直接控制到主机系统,甚至是数据文件本身,这样就极大地提高了安全性。方案要能保障内部主机与网络系统稳定、可靠地运行,确保内部信息与网络资源受控、合法地使用,确保内部重要信息的安全与保密。

2.1 系统概述

桌面安全管理系统的出现为内网安全提供了一个较好的解决方案,它是一种基于“内部用户不可信”前提的内网安全类产品。它需要对各种类型的操作系统进行研究和控制,结合访问控制、操作系统核心技术、网络驱动、密码学、数据安全等技术手段,对涉密信息、重要的内部数据等敏感信息、信息载体及信息处理过程实施保护,使之免遭违规或非法操作的威胁,并能够完整记录相应操作的日志。

从产品功能和实现的安全目标来看,桌面安全管理系统似乎和主机审计类产品有些相似,两者都涉及到了对操作的日志审计和对主机的控制,也就是“监”和“控”。其实两者是有区别的:主机审计类产品主要侧重于对系统信息和操作的监视、审计,也就是“监”;而桌面安全管理系统不仅能够进行日志审计,更重要的是它的控制功能很强大,因此重在“控”。桌面安全管理系统可以对客户端主机进行实时监控,还可以通过实时修改下发安全策略对客户端主机进行更为严格、粒度更细的控制,从而保证在发生内部安全事件时,能够做出及时、有效的响应;在事后可以通过查看各种审计日志,形成有力的“佐证”,以便对相关人员进行责任追究。

2.2 系统结构

桌面安全管理系统根据其功能要求一般分为3个部分:服务器、控制台和客户端。各部分关系如图1所示。

服务器是桌面安全管理系统的核心部分,包括服务程序和后台数据库,一般安装在一台具有高性能CPU和大容量内存的主机上。服务器主要负责将管理员指定的各种安全策略下发到各个客户端,接收客户端收集的各种数据信息存入数据库,并将适当的数据传递给控制台显示。

控制台是系统与管理员的人机接口,是服务器的操作界面。既可以安装专门的控制台软件,通过GUI界面管理服务器,也可以使用浏览器,通过Web界面来管理服务器。管理员通过控制台可以实现管理配置安全策略、系统管理、参数配置、事件管理和日志审计等功能。

客户端是部署在被监控主机上的代理软件,它主要负责执行管理员下发的安全策略和管理命令,收集主机相关的数据并传输给服务器。

2.3 系统安全及性能

终端安全管理系统采用密码学技术,对服务器和客户端、服务器和控制台之间的通讯数据进行了加密处理,保证各组件之间的通信信道的安全性。管理员设置的各种安全策略在客户端主机离线的状态下仍然能够生效,而且在此期间对主机的各种审计日志仍然会正常记录,在客户端主机再次连入内网以后,审计日志就会自动上传到服务器,这样就能够避免主机在离线状态下的违规操作。由于客户端是安全策略的最终执行者和主机信息的收集者,因此其自身的安全保护尤为重要。终端安全管理系统采用各种技术手段来防止客户端在正常模式和安全模式下,进程和服务被恶意停止、代理程序被恶意卸载、下发的安全策略和各种配置文件被恶意修改和删除,保证客户端能够正常运行,使管理主机时刻对各台计算机进行有效监控。

桌面安全管理系统的主体架构一般采用C/S模式,客户端应用占用主机的系统资源很小,不会影响到主机的正常运行;同时对内网带宽的占用也很小,因此能够在不影响正常工作的前提下最大程度地完成内部数据的保护以及内网安全管理工作。

2.4 内网安全管理系统的实现

2.4.1 监控代理程序

读模块负责从操作系统的审计日志文件中读取连续的审计日志数据,并将其转换为一个便于存取操作的通用记录格式,传送给数据分析模块。数据分析模块根据安全规则对收到的审计数据进行分析。如果安全规则给出了明确的响应动作,则向动作响应模块发出动作指令,同时向发送模块传送匹配的数据记录。发送模块负责将接收到的数据传送给监控信息中心服务器。接收模块负责接收控制中心传来的安全规则和动作指令,刷新安全规则和向动作相应模块发送动作指令。动作响应模块负责切断用户与系统的连接和封锁用户系统帐号。各模块关系框图如图2所示。

2.4.2 监控信息中心

监控信息中心服务器的接收模块负责接收多个监控代理发送的数据,并传送给数据分析模块。数据分析模块根据安全规则对接收到的数据进行分析,通过发送模块将动作响应传送给特定的监控代理。报警信息通过管理模块传送给管理员控制台,同时归档的数据存入数据库中。管理模块为管理员控制台提供安全监控系统的各种管理、监控与数据分析服务,包括修改和部署安全规则,查询和分析数据库的审计数据,并通过发送模块向各个监控代理部署新的安全规则和发起响应动作。如图3所示。

2.4.3 管理员控制台

管理员控制台可以集中显示安全报警信息,拥有对归档审计数据的分析和查询功能,并且安全管理员能够对主机安全监控系统进行安全策略的集中配置和部署。主要分为7个模块:用户界面模块、身份认证模块、报警模块、统计分析模块、策略编辑模块,系统状态模块和通信模块(发送与接收)。如图4所示。

3 结语

目前,市场上已经存在一定数量的内网安全管理产品,例如:中网信息技术有限公司的中网桌面安全管理系统、北京天融信科技有限公司的网络卫士安全管理系统等,这些产品都是针对内网安全威胁和内网安全管理系统的功能等方面设计的,对这些产品进行分析和比较,我们发现各个产品的功能主要方面差异不大,只是在个别功能和性能上有所不同,在使用的模式和系统的稳定性上也参差不齐。随着公安信息系统信息化建设的发展,公安内部网络安全问题也日渐突出,打造适合信息化发展需要的内网信息安全产品十分必要。

摘要:在网络安全领域,内网的安全问题已逐渐成为研究的焦点。首先介绍了内网安全的现状,然后对内网安全的威胁进行了全面、深入的分析,并针对这些威胁提出了相应的安全解决方案,最后设计了内网安全管理的原型系统。

关键词:内网安全,安全威胁,监控代理

参考文献

[1][美]CHRISTOPHER ALBERTS,AUDREY DOROFEE.信息安全管理[M].北京:清华大学出版社,2011.

[2]DAN FARMER,WIETSE VENEMA.Improving the security ofyour system by breaking into it[EB/OL].http://www.rootshell.com/docs/inprove_by_breakin.

[3]罗森林.信息系统安全与对抗技术[M].北京:北京理工大学出版社,2010.

内网安全技术论文 篇2

内网,让安全更具智慧

11月7日,本刊在北京长峰假日酒店举办了第三届“内网安全”论坛,取得了圆满成功. 记得,内网的`概念刚刚在业界提出,我们举办了第一届“内网安全”论坛,给大家提供了一个开放的平台,能对这个未知未解的新生领域充分交流、互相探讨,最后提炼出对我们这个行业负责任的先期预见……一路坚持走来,我们看到政府的重视、专家的研析、用户的关注都在一点点深入加强.

作 者:穆瑛 MU Ying 作者单位:刊 名:信息安全与通信保密英文刊名:CHINA INFORMATION SECURITY年,卷(期):“”(12)分类号:关键词:

内网安全技术论文 篇3

关键词:信息数据 安全 加密技术

当前形势下,检察系统内网进行信息数据的传递与交流主要面临着两个方面的信息安全影响:人为因素和非人为因素。其中人为因素是指:黑客、病毒、木马、电子欺骗等;非人为因素是指:不可抗力的自然灾害如火灾、电磁波干扰、或者是计算机硬件故障、部件损坏等。在诸多因素的制约下,如果不对信息数据进行必要的加密处理,在内网中传递的信息数据就可能泄露,被不法分子获得,损害国家和人民的利益,甚至造成重大安全危害。因此,信息数据的安全和加密在当前形势下是必不可少的,通过信息数据加密,信息数据有了安全保障,人们不必再顾忌涉密信息数据的泄露,能够放心地在内网上完成便捷的信息数据传递与交流。

1、信息数据安全与加密的必要外部条件

1.1计算机安全。每一个计算机网络用户都首先把自己的信息数据存储在计算机之中,然后,才进行相互之间的信息数据传递与交流,有效地保障其信息数据的安全必须以保证计算机的安全为前提,计算机安全主要有两个方面包括:计算机的硬件安全与计算机软件安全。1)计算机硬件安全技术。保持计算机正常的运转,定期检查是否出现硬件故障,并及时维修处理,在易损器件出现安全问题之前提前更换,保证计算机通电线路安全,提供备用供电系统,实时保持线路畅通。2)计算机软件安全技术。首先,必须有安全可靠的操作系统。作为计算机工作的平台,操作系统必须具有访问控制、安全内核等安全功能,能够随时为计算机新加入软件进行检测。

1.2通信安全。通信安全是信息数据的传输的基本条件,当传输信息数据的通信线路存在安全隐患时,信息数据就不可能安全的传递到指定地点。尽管随着科学技术的逐步改进,计算机通信网络得到了进一步完善和改进,但是,信息数据仍旧要求有一个安全的通信环境。主要通过以下技术实现。1)信息加密技术。这是保障信息安全的最基本、最重要、最核心的技术措施。我们一般通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。2)信息确认技术。为有效防止信息被非法伪造、篡改和假冒,我们限定信息的共享范围,就是信息确认技术。通过该技术,发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。3)访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。与此同时,系统管理员能够利用这一技术实时观察用户在网络中的活动,有效的防止黑客的入侵。

2、信息数据的安全与加密技术

随着计算机网络化程度逐步提高,人们对信息数据传递与交流提出了更高的安全要求,信息数据的安全与加密技术应运而生。然而,传统的安全理念认为网络内部是完全可信任,只有网外不可信任,导致了在信息数据安全主要以防火墙、入侵检测为主,忽视了信息数据加密在网络内部的重要性。以下介绍信息数据的安全与加密技术。

2.1存储加密技术和传输加密技术。存储加密技术分为密文存储和存取控制两种,其主要目的是防止在信息数据存储过程中信息数据泄露。密文存储主要通过加密算法转换、加密模块、附加密码加密等方法实现;存取控制则通过审查和限制用户资格、权限,辨别用户的合法性,预防合法用户越权存取信息数据以及非法用户存取信息数据。

传输加密技术分为线路加密和端-端加密两种,其主要目的是对传输中的信息数据流进行加密。线路加密主要通过对各线路采用不同的加密密钥进行线路加密,不考虑信源与信宿的信息安全保护。端-端加密是信息由发送者端自动加密,并进入TCP/IP信息数据包,然后作为不可阅读和不可识别的信息数据穿过互联网,这些信息一旦到达目的地,将被自动重组、解密,成为可读信息数据。

2.2密钥管理加密技术和确认加密技术。密钥管理加密技术是为了信息数据使用的方便,信息数据加密在许多场合集中表现为密钥的应用,因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。网络信息确认加密技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个安全的信息确认方案应该能使:合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。

2.3消息摘要和完整性鉴别技术。消息摘要是一个惟一对应一个消息或文本的值,由一个单向Hash加密函数对消息作用而产生。信息发送者使用自己的私有密钥加密摘要,也叫做消息的数字签名。消息摘要的接受者能够通过密钥解密确定消息发送者,当消息在途中被改变时,接收者通过对比分析消息新产生的摘要与原摘要的不同,就能够发现消息是否中途被改变。所以说,消息摘要保证了消息的完整性。

3、结束语

综上所述,信息数据的安全与加密技术,是保障当前形势下我们安全传递与交流信息的基本技术,对信息安全至关重要。希望通过本文的研究,能够抛砖引玉,引起国内外专家的重视,投入更多的精力以及更多的财力、物力来研究信息数据安全与加密技术,以便更好的保障每一个网络使用者的信息安全。

参考文献:

[1]曾莉红.基于网络的信息包装与信息数据加密[J].包装工程,2007(08).

[2]华硕升级光盘加密技术[J].消费电子商讯,2009(11).

[3]俞评.态度决定安全强度[J].观察与思考,2004(24).

内网安全监测技术研究 篇4

目前, 常用的安全产品如防火墙和入侵检测技术等, 它们主要关注的是来自外部的攻击和破坏, 而对于内部用户的信息泄密甚至攻击和威胁事件的安全防范几乎不起作用。如何更有效地填补以防火墙、入侵检测系统等为代表的网络安全产品对内网安全控制的不足, 保证内部网络的安全已经成为一个迫切的、重要的任务。

2 内网安全威胁

2.1 非法接入

非法接入是指没有经过有关授权部门允许而直接将各类计算机和移动设备接入内网的行为。非法接入事件虽不是暴力入侵, 但会给内网安全带来极大威胁, 尤其是有可能带有病毒的笔记本一类移动设备的非法接入, 很可能会造成在内网传播病毒、移植木马和泄漏内网机密信息等严重后果。不安全的终端或移动设备非法接入如图1所示。

非法接入发生的主要原因是内控措施不利和内部人员的安全意识不够, 随着无线网络技术的成熟和无线网络设备的使用, 发生非法接入事故的数量将会明显上升。

2.2 非法外联

非法外联是指内部网络的计算机设备与外部网络建立了非授权的连接。非授权连接的建立可以将内部网络的资料传送到外部网络, 同时外部网络的计算机也可能通过该连接进入内部网络, 对内部网络安全造成威胁。

3 对非法接入的监测

如果一个主机的IP与MAC地址与注册表中的记录相符合, 并且能得到代理的认证, 则认为该主机合法;否则, 系统认为被探测主机属非法接入, 将会产生报警信号, 并对该主机实施通信干扰, 以防止非法主机可能对网络安全造成的危害。

在开始进行探测时, 首先确定需要进行探测的IP地址段, 之后便逐一从这些地址中提出一个IP进行探测, 即以该IP地址为目的地址发送一个探测报文。通过检查是否接收到了回应报文来判断所探测的IP是否处于在线状态。

如果收到回应报文, 说明存在一个使用该IP的主机处于在线状态, 交回应报文中的IP及MAC地址提出并与数据库中合法主机的数据进行对比, 如果这些数据不匹配, 则认为该主机属于非法接入。如果数据匹配, 还须要进一步对其实施探测, 这是因为IP和MAC地址都是可更改的, 一台非法接入的主机可以冒用一台不在线的合法主机的IP与M A C。

针对这种情况, 系统对由下线转为活动状态的主机要进行一次“代理连接认证”, 也就是向主机上的安全代理软件发送一个认证请求, 如果认证成功, 那么认为该网络主机合法, 否则, 则认定其为“非法接入”。这样就保证了网络在线主机身份的合法并具有唯一性 (因为代理软件的安装和发放是严格受控的) 。系统只对由下线状态变为活动状态的主机实施代理身份验证是因为当一台非法主机冒用一台在线主机的MAC和IP时, 网络会检测到IP冲突, 因此不需要对所有的在线主机实施代理身份验证, 这样可以减少网络占用量。对一台在线主机的探测流程如图2所示。

目前较为常用的探测技术有:A R P探测、P I N G探测和T C P A C K探测。这三种探测方式各有优缺点, A R P探测所占用的带宽少, 在网段内的穿透能力强;基于ICMP的PING方法的效率较高, 实现起来也比较容易, 但可容易被防火墙拦截;T C P A C K探测具有很强的穿透性, 甚至可以跨越网段实施探测。

以基于A R P的探测技术为例, 对网络主机的整个探测流程如下 (基于网络编程常用的Libnet函数库来实现) :通过Packet Get Adapter Names () 获取主机网卡名之后, 构造网络传输的物理帧首部, 将报文源I P地址设为本机的I P地址, 源M A C设置为本机的M A C地址, 将I P协议类型设为E T H E R T Y P E_A R P (0 x 0 8 0 6) 表示A R P数据报文。然后, 系统开始构造A R P数据包, 将硬件类型设为A R P H R D_E T H E R (为1, 表示以太网) , 协议类型设为ETHERTYPE_IP (2048) 硬件地址长度为6, 协议长度字段设为4, 操作字段设为A R P O P_R E Q U E S T (1) , 表示是A R P请求报文, 源物理地址设为本机MAC地址, 源IP地址设为本地IP地址, 目标物理地址设为物理广播地址, 目标IP地址设为所要探测的I P地址, 最后通过libnet_write_link_layer () 发送构造的ARP数据报文, 并释放相关占用内存。

通过IRIS抓包软件可以看到网络中由本机发送的ARP请求报文, 如果目的主机在线, 则会产生一个ARP响应报文。因此, 通过监听线程就可以发现网络的在线主机。虽然非法接入主机想与其他主机通信时, 也可以通过监听线程发现, 但那样发现相对较慢。

4 对非法外联的监测

在通常情况下, 主机是通过以太网连接到局域网上的, 在网卡上绑定有内部I P地址、子网掩码和网关, T C P/I P协议根据这些信息将生成路由表, 该路由表将默认路由指向网关, 任何网络数据的发送都使用该路由表选择出最优路径进行发送。当该主机进行拨号时, 主机除了原有的连接到局域网上的以太网卡外, 还会有一个拨号产生的W A N连接, 在该网络接口上会绑定ISP分配的IP地址、子网掩码和网关, 系统将增加一些路由表, 第一个默认网关将被更新为新的IP地址。根据这个路由信息的不同, 就可以分辨出主机是否拨号。

设主机A为一台内网主机, 在其没有拨号连接时, 当其收到外网主机B的ICMP报文时, 其路由发现此报文不是本网I P;于是, 首先向默认网关C发送一个A R P报文, 获取网关物理地址, 然后构造一个以B为目的IP地址, 以默认网关的物理地址为目的物理地址的ICMP响应报文。但A拨号上网后, A的默认网关已经改变, 当A通过A R P获取默认的物理地址时, 将没有A R P回应报文, 于是, 将不会产生一个I C M P回应报文。根据这种网络流量的差异, 就可以发现网络中的拨号主机。

对内部网络主机非法拨号外联的监测流程如图3所示。

启动拨号外联检测有两种方式:管理员手工驱动和时间触发两种, 而且可检测的主机仅限于本网络主机范围之内, 在每一次检测之前, 系统查看主机状态列表, 只对在线主机实施拨号外联检测。其函数接口为:

在发送数据报文之后, 需要监听网络中数据流, 因为目标主机的回应报文目的地址是其默认网关, 所以必须对报文的序列号和确认号以及数据报文的源IP和目的IP都进行判断, 以确认监听的数据报文刚好是探测报文的回应报文。为了确保有数据报文丢失现象, 一次向一台目的主机主动发送两个探测数据报文。

所发送的探测报文为T C P A C K报文, 源IP为外网地址, 目的IP为被探测主机, 源端口为5000, 目的端口为137, 序列号11111, 确认号为22222。根据返回的数据报文, 提取其源端口、目的端口、源I P、目的I P、序列号和确认号, 如果其源IP是目的主机的IP, 目的IP是默认网关IP, 确认号为22222, 源端口为137, 目的端口为5000, TCP FLAG字段设置为TCP RST, 则认为是源探测报文的回应报文, 该目标主机没有拨号外联。如果没有收到目标主机的回应报文, 且该主机在线, 则认为该主机存在拨号外联。对于已经拨号外联的主机应该立刻采取主机通信干扰。对于先前已经发现拨号的主机, 如果发送报文收到回应报文, 表示该拨号主机拨号结束。

因为探测报文的回应报文目的IP地址为外网段IP地址, 目的MAC地址为默认网关地址, 因此只能采用网络监听方式获得。如果目标主机不在线, 也不会产生回应报文, 因此为了区别目标主机是拨号外联还是系统关闭, 对没有收到回应报文的主机需要作进一步确认, 判断其是否在线。

在系统实现中, 对收到的T C P报文进行解析, 然后将回应报文的IP上报给监听线程内部的状态散列表。为了防止系统处理过程中的延迟, 以至于还没有收到某主机的响应报文, 而将其误认为拨号外联, 系统每一次在启动外联探测后6秒钟后读取其状态散列表, 当某主机既在线, 又没有回应报文时, 产生报警, 认为其拨号外联。

5 小结

内网安全监测是内网信息安全框架的一个重要组成部分, 完善内网安全体系还有很多工作要做, 它可被视为一个大系统。可以肯定的是, 伴随着网络化进程的加剧, 内网安全的研究最终会与外网安全的研究相结合, 从而建立起全面的、立体的信息安全保障体系。

摘要:计算机网络的迅速发展给我们带来利益的同时, 信息安全问题也越发突出。防止内部信息泄漏和内部攻击作为信息安全的一个重要分支, 日益成为信息安全的焦点。本文分析了内网安全所面临的主要威胁, 基于网络探测技术提出了相应的监测方案。

关键词:内网,非法接入,非法外联,监测

参考文献

[1]杨义先等.网络安全理论与技术[M].人民邮电出版社.2003.

[2]Marcus Goncalves, 宋书民等译.防火墙技术指南[M].机械工业出版社.2000.

[3]沈昌祥.信息安全工程导论[M].电子工业出版社.2003.

内网安全技术论文 篇5

Chinasec(安元)内网安全管理平台是基于内网安全和可信计算理论研发的内网安全系列管理产品,以密码技术为支撑,以身份认证为基础,以数据安全为核心,以监控审计为辅助,可灵活全面的定制并实施各种安全策略,主要解决用户在传统PC架构下的数据安全问题,针对内部网络的用户身份和计算机终端管理、数据信息保密、数字知识产权保护、应用系统保护、文档安全保密以及网络状况监控维护等安全问题提出了整体的解决方案。

Chinasec(安元)内网安全管理平台系列产品是在Chinasec(安元)内网安全管理平台的基础上,由多个系统组成,分别是Chinasce(安元)终端数据防泄密系统、Chinasce(安元)文档安全管理系统、Chinasce(安元)应用保护系统、Chinasce(安元)桌面管理系统、Chinasce(安元)文件审批系统、Chinasce(安元)身份认证系统、Chinasce(安元)终端应用模式切换系统、Chinasce(安元)移动存储介质管理系统等。

油田内网安全管理策略探讨 篇6

关键词:油田;内部局域网;网络安全

中图分类号:TP399文献标识码:A文章编号:1007-9599 (2012) 03-0000-01

Oil Field Internal LAN Network Security Management Strategy

Han Haiyan

(Tianjin Dagang Oil Field Plant CRR,Cangzhou061103,China)

Abstract:In recent years,with the expanding of oilfield internal LAN,exposed the many safety issues.The existing safety management system has been difficult to meet the new requirements.To this end,we must clear the security risks faced by the current oil field within the network,then find the corresponding measures to reduce the risk of a variety of security issues.

Keywords:Oil;Internal LAN;Network security

油田内网是一个有各种网络硬件设备与信息系统所组成的复杂环境,具有应用系统多、重要数据多的显著特点。随着科学技术的进步,油田内网建设虽然取得了一定的进步,但是所面临的威胁也越来越多,为油田的信息安全与安全生产带来了巨大的挑战。

一、油田内网面临的安全隐患

(一)无法有效的监控入侵行为

在组建内网虽然利用防火墙将内外网之间分割了开来为内网带来了一定的安全性。但是如今的防火墙技术仍然是有缺陷的,这就使得防火墙无法避免某些安全风险,同时如今的网络攻击手段也在不断的更新,这就使得防火墙更加疲于应付。一些手段高明的黑客或者其他入侵者有能力找到防火墙中仍然存在的漏洞进行入侵,而有的入侵者本就在防火墙内,这样的入侵行为很难被检测到,而且内网中的用户也基本没有能力进行判断。

(二)无法有效的防御各种新型病毒与垃圾邮件

如今的病毒以及病毒的变种发展的十分迅速,还有各种垃圾邮件也是层出不穷,使得各种新的病毒与垃圾邮件流入到内网中,而且很难有效的进行拦截。现在的杀毒软件对新病毒与垃圾软件基本无能为力,功能强大的能够识别一些新的病毒但是误杀率较高,还有的杀毒软件具有类似“沙盒”一样的功能,能够将可疑的软件通过隔离运行的方式来进行预防,但是这些手段都存在着一定的缺陷,这就无法将所有的新型病毒都拒之门外,造成内部网络的病毒层出不穷,而且基本所有的杀毒软件与防火墙都不能够很好的防范垃圾邮件的传播。

(三)局域网中的安全漏洞无法进行有效的统计

在整个内网之中还没有能够完全统一各种应用,使得应用较多、较繁杂,例如都有的如www服务、NT服务、文件传输、域名服务;还有其他不同的单位所采用的数据库有可能就会不一样,如有的用的是SqlServer数据库,有的用的是Oracle数据库;同时防火墙、路由器也有可能采用的是不同的。任何一种应用都不可能是完全安全的,都会存在一定的缺陷或漏洞,有的是常见的已经知道的,有的则是还没有被发现的。而且各种新的漏洞则有层出不穷。因此对正内网进行漏洞扫描基本成为了一个重要的环节,但是现在的手段却很难实现这一个功能。

(四)对内网用户的监控手段不足

当前,随着信息技术的进步,网络攻击手段也层出不穷,但是还有很多都是来自于内部的攻击,有数据显示有网络攻击70%都是来自于内部。从企业的网络安全部署来看,很多都是对外防御,很少注意到内部安全,再加上内部人员大多数都缺少足够的信息安全意识,而且内部人员对内部的情况也最清楚,这就让内部的攻击更容易成功。对于现在的技术手段,如果是内部用户因为感染病毒而进行了非主动性的对内网的用户进行了攻击,那么就很难找到这台带毒计算机,如一台感染了蠕虫病毒的机器,会不断的向局域网内发包,但是用户却没有什么办法来确定是哪一台交换机的哪一个端口。

二、加强油田内网安全的措施

(一)采用入侵检测系统

虽然现在提倡使用入侵防御系统,但是入侵防御系统对于用户的要求较高,需要用户能够分别出哪些程序与进程是无害的。而油田局域网内的大多数用户并没有这个能力。因此应该在核心机上添加入侵检测系统,对于入侵检测系统所捕获的数据自有专业人士来进行分析,找出其中不正常的数据流。利用入侵检测系统当发现网络违规行为和未授权的网络访问时,入侵检测系统中一般都有相应的安全策略来对不同的情况进行响应,而且用户还能够自定义自己需要的安全策略。防火墙与入侵检测系统之间通过联动协议能够更好的对攻击进行防御,例如入侵检测系统通知防火墙拒绝此攻击,并且禁止源地址的继续访问。这样两者之间能够有效的互补不足。

(二)防火墙之后串联防毒网关,增强病毒查杀与垃圾邮件过滤功能

防毒网关在病毒杀除、关键字过滤(如色情、反动相关的字词)、垃圾邮件阻止等方面有着较强的功能,能有效的弥补杀毒软件与防火墙的不足,同时防毒网关还具有部分防火墙的功能,同时还能够对Vlan进行划分。防毒网关会对进出网络内部的数据进行检测,并对HTTP、FTP、SMTP、IMAP这四种协议的数据进行扫描,如果发现病毒就会采取相应的措施,例如隔离或者查杀。而且防毒网关还具有垃圾邮件的阻止功能也让油田内网免受垃圾邮件的干扰。

(三)应用漏洞扫描系统,规范各种应用

就现阶段而言网络漏洞扫描还是一种相当先进的系统安全评估技术,能够及时的发现内网中的各种安全漏洞。然而这种技术虽然十分先进,但是仍然存在缺陷。因此在选用网络漏洞扫描系统时要注意这样几个标准:(1)必须要通过国家相应的权威认证,目前主要有这些组织的认证,公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心;(2)漏洞扫描系统的最新漏洞数量与升级速度,非专业的人员也要能够容易掌握系统的升级方法与漏洞更新方法;(3)漏洞扫描系统本身的安全性能,对于漏洞扫描系统本身的抗攻击能力与安全性必须要进行考查、确定;(4)是否支持分布式扫描,扫描系统必须要具有灵活、携带方便、穿透防火墙的特性,如果扫描所发出的数据包当中的一部分被路由器、防火墙过滤,那么将会降低扫描的准确性。

同时还必须要对各种应用进行进一步的规范,例如数据库,可以考虑是否能够采用同一种数据库,防火墙与网关是否可以考虑统一采购同一种产品。

三、结语

信息化建设推动了油田的发展,但是由此带来的内网安全问题也比较突出。内网安全问题严重的甚至会影响到油田的正常生产的进行,为油田带来巨大的损失。因此,必须要对油田当前内网的安全性形式进行仔细的分析,并找到解决的措施,将油田的内网安全风险尽可能的降低,为安全生产提供保障。

参考文献:

[1]刘利军,宋慧,克江.浅析油田网络安全的对策及应用[J].硅谷,2009,9

[2]唐宏,刘荣广,王蒙.油田计算机网络桌面安全管理系统的应用研究[J].内蒙古石油化工,2010,20

内网安全管理刍议 篇7

在信息化快速推进的当代, 网络完成进入人们日常生活的方方面面。内部信息网络作为企业、政府等机构内部信息流通的主干道, 发挥着重要的作用。在多种原因的共同作用下, 内网安全面临着严峻形势, 网络泄密、网络入侵等时有发生, 因此内网安全的重要性日趋提升。

二、内网的主要特点

一是内网信息量大。目前, 大量的信息以电子文件形式存储、传播, 遍布在服务器和个人电脑的各个角落。二是内网相对独立。由个人电脑、网络设备、服务器和安全设备组成的内网系统, 构成相对独立的自治系统。三是内网十分重要。各行各业的业务系统的上线后, 各个单位的正常运转对内网的依赖程度很高。

三、内网安全管理存在的问题

由于内网的相对独立, 多数人认为内网相对于互联网是安全的, 但事实并非如此, 当前内网的安全管理主要存在以下问题。

1、外紧内松。据统计, 大量的内网安全问题是由内部监管不力引发。内网的安全系统能阻止有限的病毒攻击和黑客侵入, 但对内部人员无意泄密、个人电脑被远程控制等的情况没有应对能力。2、手段缺乏。目前多数企业、政府机构安全监管力度不足, 内网监管系统有的已建立, 但策略、措施并不完善。如:基本依靠以太网交换机划分VALN等方式来限制访问范围, 用户行为监控也是手段有限, 导致通过移动存储设备复制文件或直接打印、刻录造成的失泄密时有发生。3、易攻难守。当内网内某台计算机感染了病毒或木马, 往往需要花费很长的时间才能判断和定位, 然后再通过手动的方式断网杀毒。用户主机和服务器漏洞补丁的更新只能依靠用户自行进行, 导致黑客利用操作系统或者应用程序漏洞进行攻击的风险增大。网管人员由于计算机数量多、操作系统种类杂、分布地点散等问题, 难于进行统一管理, 无法制定一致的安全策略。

四、内网安全管理体系的构建

内网安全的目标是方便管理、有效控制、确保互信, 所有设备和电脑都要统一纳入管理体系。内网安全管理体系一般由网络边界安全、数据安全保护、终端安全管理和身份认证管理等部分组成。

1、网络边界安全。网络边界安全包括防火墙、入侵检测、流量控制、防毒网关、防毒软件和多功能网关等。防毒软件主要是防御网络病毒, 为内网用户提供防毒代码自动更新服务。流量控制合理分配网络资源, 实现各业务的流管控制;防火墙、防毒墙网关主要防护外网的黑客攻击、病毒入侵等;入侵检测主要是记录与拦截对来自外网中的不安全行为进行。2、数据安全保护。数据保护包括数据库安全管理、文件加密、移动介质加密和文件集中管理等, 利用各种方法手段, 对网络中的信息和存储设备内的数据进行保护。同时, 提高数据备份力度, 采取定期备份、持续备份、实时监控等方法, 确保重要数据安全。3、终端安全管理。终端安全管理包括远程管理、补丁分发、终端防毒和系统保护等。补丁分发是主要是自动安装升级内网用户电脑补丁。终端防毒是网络防毒软件的客户端, 自动连接服务器, 定时更新病毒代码。系统保护是指对用户操作系统备份、恢复等功能。4、身份认证管理。身份认证是指对入网用户合法性的认证, 主要是通过核心交换机、接入交换机配置或准入网关限制等方法, 防止外来计算机在未授权情况下随意入网。身份认证的范围包括客户端、主要设备、服务器和用户等。授权管理是在身份认证的基础上, 对内部信息网络的各类资源进行权限管理。

五、内网安全管理的有关对策

1、完善制度。要解决内网安全问题, 要依靠技术手段, 还需注重管理制度的优化完善, 将技术和管理有机结合起来, 构建一个综合一体、层次清晰、管控有力的多层级内网安全体系。2、健全手段。制定落实安全建设计划, 一是部署网络边界防护系统, 严格管控外网访问。二是安装桌面管理系统, 实现对内网计算机的行为监控、合法验证、补丁分发、端口管理等功能。三是部署网络防毒软件, 定时自动发送升级包。四是安装准入网关, 杜绝外来计算机非法接入内网。3、加强监管。全时全方位监测内网安全状态, 对内网用户的行为实行有效监督, 定期形成评估报告。在文档的安全保密方面, 要在整个文档的生命周期内, 实行全程管理。在身份认证方面, 认证范围要扩展到全部实体, 明确“谁”能够对“哪些”资源进行“怎样的操作”。

摘要:随着信息化在各行业的迅速扩展, 内部信息网络作为机构内部信息流通的网络渠道, 面临着严峻的安全形势。本文的主要内容是根据内网的主要特点, 分析内网安全存在的主要问题, 提出了解决内网安全管理问题的主要模型, 并就内网安全管理的对策和措施进行了探讨。

关键词:内网,安全,管理

参考文献

[1]王学华, 张彬彬.内网安全技术研究[J].软件导刊, 2012 (9) :131-133.

[2]李楠.内网安全管理系统中安全评估技术的研究与实现[D].北京:北京邮电大学, 2011.

内网的安全管理 篇8

随着Internet的飞速发展,局域网已经成为很多行业不可缺少的组成部分。在享受Internet快捷方便的同时,内网安全也面临着严重的威胁。为了确实有效的保护内网的安全,建立一套完整的内网安全管理体系显得十分重要。

2、内网面临的安全问题

内网,通俗的讲就是局域网 (Local Area Network) ,内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击,更多的问题是来自内部人员的违规操作、蓄意破坏或窃取信息。要做好内网的安全管理,首先在技术上,基础的硬件设施是必不可少的保障,安装边界路由器和防火墙,再配合使用入侵检测系统,经过正确的配制基本可以抵御来自网外的攻击。同时,制定合理的安全策略和严格的管理制度,从网络资源、设备资源、客户端资源和应用资源等多方对内部网络加以管理和审计,才能达到最佳的管理效果。

3、应对内网安全挑战的防御措施

在技术上,应首先从边界着手,通过正确的使用边界路由器、防火墙、入侵检测系统等设施,再配合其它技术手段,可以基本防御来自外网对内网的安全威胁。

3.1 合理设置边界路由器

一般来说,内网都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当设置,边界路由器能够把几乎所有的非法入侵挡在网络之外。

3.1.1 修改默认的口令

设置一个安全保密性较强的口令,可以防止边界路由器被网外非法用户破解,从而增强对外部使用者的管理。

3.1.2 关闭路由器的HTTP设置

HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,HTT P协议中并没有一个用于验证口令或者一次性口令的有效规定。因此关闭路由器的HT TP设置可以增强内网的安全性。

3.1.3 封锁ICMP PING请求

PING的主要目的是识别目前正在使用的主机。因此,PING通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收PING请求的应答能力,就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。这样做实际上并不能保护网络不受攻击,但是,这将使内网避免成为一个攻击目标。

3.1.4 关闭IP源路由

IP协议允许一台主机指定数据包通过网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

3.1.5 确定数据包过滤的需求

在这种规定中,除了网络功能需要的之外,所有的端口和IP地址都必须封锁。例如,用于WEB通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

3.1.6 建立准许进入和外出的地址过滤政策

在边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从网络内部访问互联网的IP地址都应该有一个分配给的局域网的地址,保证只有在局域网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此,应该封锁入网的非法地址。

最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。

3.1.7 审阅安全记录

审阅路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。

3.2 安装防火墙

防火墙可以限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视内网安全提供方便。

设置防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。

3.3 安装入侵检测系统

入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如,入侵监测系统可以重新配置来禁止从防火墙外部进入的恶意流量。入侵监测系统是独立于防火墙工作的。

入侵监测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而入侵监测系统监视和记录网络流量。如果在同一台主机上运行入侵监测系统和扫描器的话,配置合理的入侵监测系统会发出许多报警。

通过安装入侵检测系统,可以提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当窃取者入侵时立刻有效终止服务,以便有效地预防企业机密信息被窃取。应限制非法用户对网络的访问,规定具有IP地址的工作站对本地网络设备的访问权限,以防止从外界对网络设备配置的非法修改。

3.4 其它技术手段

还可以使用安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源;使用代理网关,保证操作系统的安全;对重要资料进行备份;选择有完善的在线升级服务,使用户随时拥有最新的防病毒能力的防病毒产品;对病毒经常攻击的应用程序提供重点保护;也可以使用密钥管理,没有规律的口令具有较好的安全性。与此同时,还必须制定一套规范内网安全的管理措施。

4、结语

结合当前网络上攻击泛滥的现象,应对内网所面临的来自外网的病毒和黑客攻击,以及内部资料外泄等不安全行为的威胁。其中主要包括硬件技术防御措施和管理策略的制定方法。在内网的安全管理中,必须注重技术与管理的相互结合, 通过何种手段能以最少的投资建立最为适用的内网安全管理平台等。

摘要:本文是在局域网现有的网络设备的基础上, 从技术和管理两方面着手研究, 形成一套应对内网安全的管理方法。主要内容包括三个方面:硬件设备 (路由器、防火墙、入侵检测系统等) 的正确使用、制定行而有效的安全策略以及严格的内网安全管理制度。论文涵盖了内网安全所需要的“防、测、控、管”等多方面的基础理论和实施技术。

关键词:局域网,内网安全,安全策略,管理措施

参考文献

[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2001.

[2]程胜利, 谈冉.程煜.计算机病毒及其防治技术[M].北京:清华大学出版社, 2004.9.

[3]吴功宜, 吴英.计算机网络应用技术教程[M].北京:清华大学出版社, 2001.

[4]刘承松.局域网与INTERNET应用[M].云南:云南科技出版社, 2005.6.

浅析内网安全管理 篇9

内网是相对于广域网而言的, 通常又被称作局域网。传统的网络安全是在认为内网是安全的基础上防范外网对内网的攻击,一般采取防火墙、入侵检测系统和虚拟专用网络(VPN)等。

2内网安全体系的提出

2.1 内网是不安全的

实际上内网并不安全,美国计算机安全协会和联邦调查局在《计算机犯罪与安全调查报告》中指出,在各种信息安全威胁所造成的损失中,企业和政府机构因重要信息被窃所造成的损失排在第一位,超过黑客攻击所造成的损失,最主要的信息安全事件为内部人员和内外勾结所为。中国国家信息安全测评认证中心的调查结果也表明, 信息安全问题主要来自泄密和内部人员犯罪,而非外来黑客引起。从办公内网近年的资料失泄密案件来看,大多数属对内网管控不严造成的。

2.2 影响内网安全的因素

影响内网安全的因素是多方面的,包括重要资料传播导致失泄密问题;是否有效控制用户上网权限,个人计算机的非法接入和非法外联等;病毒的爆发和木马泛滥导致网络和系统的损坏甚至瘫痪的问题;系统和应用软件的漏洞,能否得到即时的自动补丁升级;软硬件资产的变化,能否有有效管理的手段等。

2.3 完整的内网安全体系

安全的内网是一个“可管、可控、可信”的网络,内网中所有节点和参与者进行都能得到细致的管理。完整的内网安全体系主要体现在四个方面。

一是内网安全体系的核心是数据和电子文档的安全保密。它的本质是要在生命周期里对内网信息流和数据流进行有效的全程管理, 即对资料和数据从产生、使用和销毁的全过程进行管理。

二是内网安全体系的基础是有效的身份认证。有了确切的实体身份,安全管理策略才有可能实现。而基于内网的身份认证必须综合考虑所有的实体身份,包括服务器、客户端、用户等,其中,客户端和用户的身份认证尤其重要,因为它们具有数量大、环境不安全和变化频繁的特点。

三是内网安全体系的重点是对用户的授权管理。用户授权其主要是确定“谁”能够在“哪些”计算机终端或者服务器进行“怎样的操作”,或者是“怎样使用”“哪些信息或资源”。

四是监控审计是内网安全体系的重要辅助部分。实时监控内网安全状态,对用户的行为进行监控,提供评估报告,并在发生内网安全事件后实现有效的取证。

3内网安全存在的问题

社会中各行业在信息化建设过程中,逐渐加大了内网安全的建设和管理力度, 但内网安全管理手段有限, 还有很多漏洞和管理上的盲点。

3.1 服务器和计算机终端的安全加固得不到保障

对服务器和计算机终端进行安全加固是内网安全的最基本的要求。尽管大多数办公内网用户安装了防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对机器进行漏洞扫描。但是,这些努力措施却没有起到应有的效果。首先,难以保证所有的终端用户都安装了防病毒软件和防火墙软件;其次,即便安装了防护软件, 用户也常常因为各种原因无法及时更新病毒库,也不知道如何正确配置防火墙策略;再次,系统漏洞扫描虽然可以获得终端计算机的补丁缺失情况,但有时会被用户忽略了补丁的安装。办公内网计算机终端数量众多,任何一台出现安全隐患,产生“木桶原理”中的“最短木块”,对整个内网都可能会产生巨大的冲击和破坏。

3.2 计算机终端的接入未能有效控制

办公内网计算机网络系统特点是地点分散,接入点多,内网计算机数量庞大,网络管理员很难统计内网中计算机的确切数量,而且很难控制外来人员或非法计算机随意接入内网,很容易导致内网机密信息的泄漏。另外,对于内网内已经授权使用的计算机,任何一台感染了病毒或木马,往往需要花费很长的时间才能判断和定位到该计算机,然后再通过手动的方式断网。

3.3 用户行为难以监控

用户的行为监控直接关系到用计算机的个人,目的是对个人上网进行控制,约束其行为。新形势下,内网的失泄密往往是通过移动存储设备或直接打印、刻录造成的。据统计,一半以上的单位是因为USB使用不当而丢失数据,因此,安全监控对象必须由计算机终端本身向连接终端的外设扩展,包括移动存储设备、打印机使用情况等。行为监控在内网管理中是个难点,一方面相关的管理制度不健全,权责区分不明,另一方面技术手段有限。

3.4 远程维护和管理能力不足

当接入内网的终端计算机或网络设备出现故障时, 远程维护能力弱,网络管理人员一般采用现场维护的方式,既增加了人力成本又无法保证维护的及时性。在资产管理方面, 用传统的手工登记计算机和网络设备,非常耗时和繁琐,无法做到对计算机和设备配置信息的准确掌握和及时更新。

4内网安全应对策略

针对办公内网安全面临的形势和问题,在区分管理权责、完善制度同时,要从技术上采取有效措施,加强内网安全管理。

4.1 采用多种措施增强计算机终端的安全性和健 壮性

为了增强计算机终端的安全性和健壮性,必须对终端进行加固,主要措施有三个:一是通过专用的补丁分发管理系统,对内网计算机终端补丁进行定期扫描检测和自动安装与更新,大大减少操作系统和应用软件漏洞被利用所造成的安全隐患。二是部署网络防病毒软件, 通过防病毒软件的管理监测中心,判断内网计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况;同时通过设置策略,自动更新客户端的病毒库,定时或远程扫描计算机硬盘,即时发现病毒并报告到安全管理员处理。三是安装主机防火墙,下发并配置防火墙策略,防止外来入侵和对网络访问行为进行控制。

4.2 严格控制计算机终端的接入

目前控制计算机终端入网的方法有两种,一是通过以太网接入交换机划分虚拟局域网(VLAN)、访问控制列表(ACL)来控制,同时计算机终端绑定到交换机的端口上,如MAC地址绑定,这样可以有效的控制计算机的接入。二是对安全性差的计算机,如没有安装防病毒软件,没有安装补丁分发客户端和防火墙的计算机,可以通过各种手段阻止其入网。

4.3 强势推进专用软件,监控用户行为

对用户上网行为和使用软件的控制,可以采用进程监控的办法。在计算机终端强制安装监控软件,对计算机运行的进程进行监控,发现用户正在运行的程序,可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、聊天工具等,限制用户利用计算机进行与工作无关的操作。对于计算机硬件资源的管理方法也很多, 如通过管理软件关闭计算机的软驱,控制USB接口的读写功能,限制使用打印机或对打印机进行打印监控和还原, 控制刻录光驱只能读不能刻等。

4.4 用软件解决计算机终端的远程维护和管理难 的问题

有效的内网管理软件,一是能及时地收集计算机和在网络上相关设备的信息, 如主机名、IP地址、网络参数、账户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等,为终端计算机的维护和故障诊断提供参考;二是可以远程设置计算机终端的网络参数,包括IP地址、网关、DNS等。当网络结构发生变动时,可以快速重新变更计算机网络参数;三是通过远程协理软件,对终端计算机进行远程故障诊断、日常维护等。

5分析和把握内网安全的发展趋势

目前,很多行业部门已经采购了防病毒、内网监控等多种安全产品,并且制定了安全策略和安全制度,提供了越来越完善的安全机制。但随着安全技术的发展和单位对安全的要求,办公内网安全管理呈现出新的趋势。

5.1 建立可靠的无线访问机制

无线局域网的使用越来越广泛,无线网络安全接入的破解方法很多,技术门槛也越来越低,有效地控制无线接入,如加密认证、MAC地址限制等都是内网安全必须要考虑的。严格控制计算机终端的无线网络访问的权限,审查无线网络访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口将是未来内网安全监控的难点和重点。

5.2 关闭多余的服务器和保护重要资源

内网中保持每一台主机都处于“安全”状态是非常不现实的。从安全的角度考虑择优问题,关闭多余的服务器。同时对服务器和重要计算机进行分析评估,对他们进行更加严格限制管理,如关闭共享、用户权限管理等,并重点监控其安全情况,确保内网重要数据和文档的安全。

5.3 自动跟踪的安全策略

自动执行实时跟踪的智能安全策略,是有效地实现网络安全的关键。它将是内网安全的一大改革,超过了手动安全策略的功效。通过终端加固、终端监控、终端维护、接入控制、网络管理、资产管理等功能的协同与交 互,可实现全面的内网安全管理。不仅大大节省了企业对网络安全的投资,也减轻了网络管理人员的内网管理负担,提高了工作效率。

内网安全技术论文 篇10

企业内外部、内部不同部门之间的U盘交叉使用等情况, 都给企业带来机密信息泄露的严重风险。

企业安全防护系统可以分为内网部分和外网部分, 由于内网避免了与防火墙和IPS直接过招的麻烦。而“防外不防内”也是很多企业网络中普遍存在的问题。在激烈的商业竞争中, 内网的交锋日益成为焦点。据公安部最新统计, 70%的泄密犯罪来自于内部, 电脑应用单位80%未设立相应的安全管理, 58%无严格的调存管理制度。

国内内网安全市场发展十余年间, 每年以150%速度高速发展, 是国内信息产业最有潜力的市场之一。据记者了解, 当前内网安全市场竞争激烈, 提供具体方案的企业包括国外巨头赛门铁克、趋势科技、EMC (RSA) 、Websense、McAfee等以及国内企业联软科技、东软、绿盟等。

在经过了从初生到高速发展的甜蜜期后, 国内内网安全市场即将进入重要的调整阶段。

某电信研究院人士告诉记者, 在电信领域, 国内运营商用户不断增加, 拥有大量客户资料和个人用户信息, 通信设备企业投入巨资进行技术创新和研究市场竞争策略, 这些数据面临较多安全威胁, 需要企业构建更加强大的内网安全系统。

内网安全成为安全防护新核心

一直以来, 企业安全防御的重点更多的放在网络边界 (防火墙、漏洞扫描、安全审计、防病毒、IDS等) 方面, 主要的安全设施大多物理上集中于机房、逻辑上集中在网络出入口处。应该说, 在这些安全设备的严密监控下, 来自网络外部的安全威胁得到显著缓解。

“然而, 随着企业信息化的不断深入, 来自网络内部的安全威胁开始逐步凸显出来, 网络的内部安全问题大于外部问题渐渐成为业界共识。”绿盟科技产品市场经理李海告诉记者, 现在内部员工、访客以及合作伙伴的有意操作或无心之举、安全防护边界的日渐淡化或模糊、各种网络应用的快速普及等, 让安全管理变得扑朔迷离。尤其是U盘等移动存储设备的大规模使用, 给企业带来了新的内网安全威胁。主要的安全威胁表现为敏感信息泄露以及恶意代码感染。

深圳联软科技有限公司营销总裁祝青柳表示, 现在最核心的安全威胁还是来自于利益驱动的数据泄密问题, 针对分支机构众多, 并有许多第三方服务商的大型企业尤其严重。当然, 原有的病毒、木马导致网络瘫痪这个问题依然严峻。

通信企业发力内网安全

信息化不但为企业带来了便利, 同时也催生了烦恼, 恶性竞争的事件不绝于耳, 通信行业也不例外。据悉此前, 国内著名的某通信制造业上市公司, 高层会议刚开完, 会议精神还没传达, 竞争对手的高层领导就拿到了会议纪要电子文档。

为防止类似泄密事件的发生, 通信企业逐渐高度重视内网安全。7月29日, 烽火科技集团召开了信息安全交流会, 深入探讨集团内部信息安全建设。据悉烽火集团下属虹信公司早在5月份就签约某内网安全公司, 全面打造健康、高效、安全的内网环境。

新形势下, 运营商同样非常重视内网安全。青海电信长期深受终端安全管理问题之患。从2010初开始, 经过1年多的考察、测试、评比, 青海省电信近期最终通过采购程序选择联软科技的LeagView系统, 对其数以千计的终端进行统一的安全管理工作。

“除了企业内部使用, 运营商还关注自己的行业用户, 为其提供完善的内网安全系统。”中国联通中网威信公司一位人士告诉记者。

“技术+管理”构建通信业内网安全

运营商网络是相对开放的网络, 由于其要提供对外服务的特性, 使得其网络并不能成为封闭的网络。东软网络安全资深顾问刘欣宇告诉记者, 针对这种特点, 如果要很好保证其内网的安全, 运营商至少要提供全面的内网监控和审计方案、异常流量监控方案和全面的运维管理方案, 同时, 为保证加入网络的人员身份合法性和安全防护达标, 应当构建接入控制核查机制和安全评测机制, 保证加入其网络的设备的合法性和安全达标。

对于通信行业企业该如何搭建内网安全系统, 祝青柳从技术和管理两方面做了详细介绍, 从技术上来说, 一是没有准入控制的内网安全管理最终就要失败, 建设内网安全系统一定要把网络准入控制放在第一位;二是内网安全管理范畴很广, 要充分考虑终端的资源消耗与统一管理问题;三是简单的审计、封堵、加密, 不能解决运营商的数据防泄密问题, 需要结合业务特点制定更切合实际的方案。

从管理上来说, 企业不仅仅要考虑内部人员终端的管理, 还要考虑对第三方人员终端的管理, 对第三方人员终端要有一套行之有效的技术手段和管理办法, 否则会成为内网安全管理的漏洞;任何好的技术都是需要有相配套的管理方法及流程来确保技术的真正落地。

最后, 祝青柳特别指出, 从运营上的整体内部应用架构上来说, 我们建议还需要考虑如何让内网安全管理系统, 与身份认证系统、服务台系统、HELPDESK系统内、安全运维中心的集成问题, 不要让内网安全系统成为一个孤岛系统。

国外安全企业纷纷并购数据泄露防护企业

1.2006年, McAfee收购Onigma, 花费2千万美元;2007年10月, 收购Safeboot, 花费3.5亿元;2008年8月收购Reconnex公司, 花费4600万美元。

2.2006年7月, EMC收购RSA公司, 费用总额将近21亿美元;

3.2006年11月, Check Point收购Protect Data AB数据安全公司, 花费5.86亿美元。

4.2006年12月, Websense斥资9千万美元收购PortAuthority;

5.2007年10月, 趋势科技收购Provilla公司, 估计收购价格在2亿美元上下;

6.2007年12月, 赛门铁克公司收购Vontu, 费用为3.5亿美元;2010年4月斥资3亿美元并购PGP公司, 并花费7千万美元收购GuardianEdge公司。

浅议医院计算机内网安全与管理 篇11

关键词 医院计算机 内网 安全 管理

中图分类号:TP393 文献标识码:A

1医院计算机管理的现状

上世纪末期,我国医院计算机信息系统已经初步上线,经过近二十年的发展,我国综合医院已经基本实现信息化管理,特别是以收费为主要内容的系统已较为完善。当前,各地条件较好的医院都开始实行“以病人为中心,以医疗信息为主线”的综合临床信息系统,极大地方便了医院业务流程。病人治疗用药信息与医保、新农合保险的实时结算方式对于计算机内网安全运行提出了更高的要求。当前大中型医院的计算机管理系统基本上已经覆盖全院系统,各科室部门等子系统均被纳入其中,这位各科室提供数据搜寻和技术支撑提供了方便,业务防范医疗纠纷提供了依据。医院内部之间各项医疗业务数据能够快速在内部得以交换和共享,为科学决策提供了重要保证。但是,在医院系统建设过程中,医院计算机内网的安全逐渐引起人们的关注,医院内网系统只有是安全的,才能保证病患的隐私和推动医院的发展。而我国部分医院在实现信息管理数据化的同时,对网络安全的建设和管理重视程度不高,黑客攻击、病毒感染、木马侵扰无不使得医院计算机内网面临种种威胁,必须予以重视和防范解决。

2医院计算机内网风险因素

2.1操作系统的脆弱性及医院U盘介质管理不规范

目前大多医院的操作系统使用的是Windows系统,该操作系统存在脆弱性,系统漏洞难以得到及时修补。这是因为医院的计算机大多无法连接到外网,不能自动更新系统补丁,而医院内部网络的补丁升级和更新常存在较大的技术漏洞,计算机管理部分无法及时了解医院内部电脑的补丁安装情况。虽然医院使用内网,外网感染不会发生,但工作人员使用的U盘介质等还是可以使得医院内网系统感染病毒和木马,这样的行为是医院电脑终端感染病毒的最主要的途径。

2.2恶意代码和木马的潜伏性

通过侦测,很多医院的内网被发现有木马和恶意代码,而市面和网络上流传的杀毒软件主要是用于网络病毒的查收,对于单位内部网络的恶意代码和木马没有查杀能力,医院内网与外网的隔绝,使得医院内部的这些威胁无法通过网络杀毒软件进行及时处理,潜伏在电脑终端里,将为医院计算机内网爆发重大病毒感染埋下隐患。

2.3病毒防护软件失效

医院计算机内网安全防护软件失效指的是这些软件在内网运行中没有正常运行,其预期功能没有发挥。使得内部计算机出现无法上网,防病毒软件无法升级查杀。医院计算机的单机防病毒体系,使得电脑终端的防病毒情况无法被及时掌握,医院计算机内网安全隐患较大。

3医院计算机内网安全管理方法

3.1全面监控内网管理

医院计算机内网安全,首先必须从整体出发,建立针对医院内部所有计算机终端的监控管理体系,为每一台电脑终端安装电脑管理软件,对终端桌面进行管理监控,部署终端与控制中心的网络,由控制中心集中对电脑终端进行管理和维护,整理分析和掌握内网运行状况。内网入侵中,入侵者会采用专门的算法来破解口令,这要求医院内网的管理人员一定要注重内网密码的设置,口令应设置得较为复杂并定期使用破解口令程序来检测内网的安全性。

3.2建立整体安全防御体系

由于计算机网络安全威胁不断变化,种类繁多,因地针对网络安全的防御体系也应及时作出调整甚至应当超前,建立医院内部网络的整体防御安全体系。虽然医院计算机内网终端基本上都装有防病毒软件,但因为内网与外网的隔绝,内网计算机终端的防病毒软件无法进行及时更新升级,对系统安全的隐患较大,无法有效对内网安全进行全面的防护。医院内网应建立其计算机终端防护和终端查杀结合的安全防御体系,正确做好内网管理软件的接入管理和介质管理,减少计算机受病毒感染的概率,实现内网修复管理和威胁管理的及时性。整体安全防御体系中,可以使用代理网关访问外网。代理网关的设置,使得内网终端访问外网需要经过代理网关的把关,让网络数据无法在内网和外网之间进行交换,有效保护内网数据的安全。

3.3建立防火墙和病毒防御系统

在医院内网终端上配置防火墙和网络防病毒系统,能有效预防计算机操作系统感染病毒并在内网上蔓延,引发内网数据丢失和医院正常工作的开展。医院网络建设规模一般较大,需要多台大型网络设备进行分流,如交换机和路由器。此外,由于缴费和社保要求,医院内网还需专线连接银行、医保等机构,如此多样化的需求要求必须在医院计算机系统内配置防火墙过滤网关和病毒防系统,防治病毒入侵。防火墙设置的基本功能在于对未经授权访问计算机的请求被阻止,减少医院计算机内网被非法和恶意入侵的概率。

总之,计算机信息时代的医院内网必须加强安全管理,以管理手段和技术手段共同保证内网的安全,实现系统的安全可靠运行。

参考文献

[1] 孙扬.浅析校园内部局域网信息安全[J].信息科学,2012(9).

[2] 尹淑莉.保障内部网络安全的策略和建议[J].科技风,2008(4).

[3] 张连银.防火墙技术在网络安全中的应用[J].科技资讯,2011(6).

内网安全威胁分析及预防研究 篇12

关键词:内部网络,网络漏洞,安全策略,入侵检测,TCP/IP

0 引言

内部网络 (简称内网) 安全问题研究是信息系统 (IS) 安全研究课题的重要组成部分, 作为一个技术问题, 在IS研究与应用领域中日益得到广泛重视和深入研究。在企业组织中, IS安全管理的重要性越来越明显, 当今企业组织正努力建立和完善有效的安全管理措施[1]。

由于因特网的普及, 网络上可以找到许多简单易用的入侵攻击程序与指令集, 使用者很容易通过下载取得, 以致各种入侵与破坏事件层出不穷。若要防御这些不当的攻击行为, 通常是在路由器、服务器及网络的适当位置设定严密的存取监控机制, 而现今的网络环境中存在着许多类型的入侵攻击手法, 许多安全机制往往只能用于局部的安全防止[2]。要做到网络安全防御, 必须有全面性的考虑。本文将探讨内网的潜在威胁, 透过入侵行为的特性分析, 了解不易检测的网络漏洞及入侵检测, 给网络管理者提供一个具体、确实且符合整体性的安全考虑;从入侵行为的趋势对网络进行有效的监控与存取控制, 减少因内部的攻击行为而造成的损害, 有效提高网络的安全性。

1 相关工作研究

入侵检测系统 (Intrusion-detection System, IDS) 是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其它网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月。该年, James P. Anderson为美国空军作了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告, 在其中他提出了IDS的概念。 20世纪80年代中期, IDS逐渐发展成为入侵检测专家系统 (IDES) 。 1990年, IDS分化为基于网络的IDS和基于主机的IDS。由于入侵检测系统的市场在近几年中飞速发展, 许多公司投入到这一领域上来。Axent、Internet Security System (ISS) 、Cisco等公司都推出了自己的产品。

Axent公司的Intruder Alert[3]是一款著名的主机型入侵检测系统, 主要由管理控制台、软件代理等关键部件构成, 它能够通过分析系统和应用程序事件, 连续地监视针对主机的各种攻击行为。Intruder Alert使用了一种叫做Drop-detect的技术, 不仅能够检测已知攻击, 也可以检测各种新出现的攻击。

Cisco Secure[4]入侵检测系统是一种网络型入侵检测系统, 用于实时地检测、报告和终止所监测网络中的未经授权活动。Cisco Secure入侵检测系统包括感应器、中央管理控制台和通信与服务支撑系统。

ISS公司的Real Secure[5]入侵检测系统将基于主机和基于网络的技术、分布式技术结合在一起, 能够实时监视主机的系统事件和网络中传输的数据, 检测非法的外部入侵行为和内网的误用行为并进行响应。

2 内网的潜在威胁

网络入侵者会利用各种方式入侵内网, 进行系统资源的破坏或机密数据的窃取, 有些侦测方式或入侵攻击相当隐密, 往往在事后才发现。为了有效预防这些威胁, 可以在组织内部的网络安全弱点或重要网段进行网络传输数据包的分析与辨识, 避免遭到不当的检测或攻击。只有在了解内网的安全威胁后, 在制定内网安全策略与防制方法时, 才能有效保障网络系统的各项资源。

2.1 网络漏洞分析

网络攻击的方法相当多, 但它们几乎都是借助于网络上的各种弱点与缺陷。因此, 了解系统可能存在的弱点、缺陷与入侵者的攻击手法, 将有助于建立全面性的网络安全架构。

(1) 易忽略协议

ICMP是一个很少被监控的网络通信协议, 通常是作为机器与机器间的交谈、相互传递错误信息与其它需要注意之状况。目前ICMP有18种信息种类, 在一般网络管理上, 并不会允许所有种类的ICMP信息都能直接与因特网服务器沟通, 因为一旦ICMP信息可以进入网关服务器, 攻击者就可以发动阻断服务攻击。另外, 一般而言, 网络管理者并没有对电子邮件SMTP与POP等通信协议作全面性的监控, 入侵者可以藉由含有病毒的电子邮件进入系统后建立后门, 这个通道隐然形成一个入侵系统的最佳路径。

(2) 易隐藏通道

有经验的入侵者会透过加密信道, 让网络监视系统无法发挥作用。他们通常会在一个已经被破解的系统上建立后门, 再利用一般网络防火墙并没有过滤ICMP ECHO、ICMP ECHO REPLY与UDP流量的特性及隐藏通道的技术, 将要攻击的指令封装在ICMP或UDP的标头内, 送到已被植入木马的服务器中, 服务器中木马就会执行该指令, 而将执行结果封装在ICMP REPLY内, 回传给控制端。

(3) TCP/IP协议漏洞

一般对TCP/IP的攻击方法有IP地址的欺骗、TCP序号的预测与联机劫持等。IP地址的欺骗主要是伪造来源主机IP地址, 以攻击某一个目标主机, 使得目标主机无法追溯真正的来源主机。DoS与DDoS攻击为其典型的例子。

2.2 内网侦测

当内网攻击者想知道其所在的内网区段是否存在可以入侵或攻击的对象时, 会先扫描其内部所有主机的连接端口, 找出哪些系统在运作中, 且具有未补丁的弱点或漏洞。连接端口扫描时, 会尝试连接目标主机上的TCP与UDP连接端口, 以确定有哪些正在执行的服务及聆听状态, 进一步判断其执行的操作系统种类及应用程序版本等信息。如果该系统并没有作好安全设定或存在安全漏洞, 那么未经授权的使用者就可以由此连接端口进入目标系统, 进而随意地存取其信息或进行破坏。

下面几种技术常被运用在入侵前的检测上:

(1) 连接端口扫描

TCP联机扫描:这种类型的扫描会尝试着与目标主机连接端口P作一个完整的三阶段确认, 即SYN、SYN/ACK、ACK等动作, 若成功联机, 表示该连接端口正在聆听中;如果无法建立联机, 就表示该连接端口并没有开启或不处在聆听状态。但是, 这个方法会在P留下联机记录, 很容易被入侵检测系统检测出来。

(2) 秘密扫描

秘密扫描可分成下列几种:

(a) TCP SYN扫描:它对目标主机的某连接端口P发送SYN数据包, 如果从P收到SYN/ACK的响应, 就可以确定P正处于聆听状态;如果收到的响应是RST/ACK, 就表示P不在聆听状态。该扫描技术仅有少数的目标主机会留下记录, 图1为尽量避免留下痕迹的秘密扫描方法。

(b) TCP FIN扫描:会对目标主机连接端口P送出FIN数据包, 如果P不在聆听状态, 则会回复RST信息。否则, 目标主机会丢弃该数据包, 而不响应任何信息。

(c) TCP Xmas Tree扫描:对目标主机连接端口P送出FIN、URG 与PSH数据包, 如果P不在聆听状态, 则会回复RST信息;否则, 目标主机会丢弃此数据包, 而不响应任何信息。

(d) TCP Null扫描:对目标主机连接端口P发送将所有标志都关闭的数据包, 如果该连接端口并没有在聆听状态, 则会回复RST信息;否则, 目标主机会丢弃该数据包, 而不响应任何信息。

(e) TCP RST扫描:对目标主机连接端口P传送RST数据包, 如果P正在聆听状态, 则不会有任何响应;若P是一个不存在的地址, 则P所在网域上的路由器在收到一组无法传送或转送的数据报时, 就会回复错误信息“ICMP Host Unreachable”。

(f) UDP扫描:会对目标主机连接端口P送出UDP数据包, 如果从P收到回复信息“ICMP Port Unreachable”, 表示P是关闭的;否则, 表示P是开启的。不过UDP协议是非连接导向的, 许多因素都会影响其准确性, 例如, 网络资源与系统资源的使用负载过大, 处理速度缓慢, 都有可能对该扫描的准确性及可靠性造成影响。

3 内网安全预防

在了解内网的潜在威胁与缺失后, 必须注意网络结构与应用的变化, 网络安全的管理方式及安全策略也应该适时地调整, 并加强监控内网未经授权的服务与安全较薄弱的节点, 必要时检查与分析网络数据包, 找出异常的网络行为或攻击, 予以拒绝。

3.1 网络监控

有经验的攻击者常会利用网络的缺陷及各种避免追踪的技巧, 隐藏档案、加密档案或消除记录来规避系统的监视与取证。因此, 网管人员在面对任何可能的攻击或异常行为时必须事先熟悉: (1) 网络运作的各项标准; (2) 可预测的合法网络行为; (3) 某些特定服务及功能的网络正常流量; (4) 各种数据包标头及数据包内容的特征。

为了防止未经授权的使用、误用或滥用等攻击行为, 必须实施网络监控, 并搜集与分析网络数据包, 以保护网络与系统的安全。以下将分别介绍实施监控的较佳地点、数据包特征的辨识方式及异常的联机活动等, 以搜集相关证据与信息, 确认或制止可疑的入侵与攻击行为。

(1) 重要节点:

由于网络的资源有限, 若实施全面性的监控与检测, 将对网路绩效造成重大影响。因此, 碍于系统的服务质量, 仅能在网络传输特别敏感的区段作全面性的监测, 其它节点则只作局部性的抽样, 如此亦能降低监控主机的负荷。节点监控示意图如图2所示。

(2) 重要主机:

是提供组织重要数据与信息的机制, 为防止未经授权的使用及信息窃取, 对于未经授权的网络行为, 应该予以监测并拒绝。

(3) 外部网络与内网的交接边界:

这个区域可以监控所有来自网络外部或内部对外的异常网络行为, 而给予网管人员实时的告警或直接制止。

(4) 对于曾经受过攻击入侵的系统或子网域:

为防止攻击者由其在内部建立的后门而对网络发动攻击或启动对外的联机, 其网络流量不论是输入或输出, 皆应该作全面性的检测。

(5) 网络数据包特征:

在TCP/IP网络环境下, 为有效监控网络流量, 必须了解这个协议各种数据包的特性, 才能有效辨识各种攻击手法及入侵的企图。在监控网络数据包方面, 可以从IP标头、TCP标头与网络数据包是否遵守RFC网络通信标准来判识, 分析如下:

(a) 可疑的IP标头

所有的TCP、UDP、ICMP、和IGMP的信息都是以IP的信息报来传送。一般防火墙与入侵检测系统都是依据IP标头来过滤网络流量。若发现有可疑的来源IP地址或IP片段, 可以回避该IP的所有数据包, 避免被外界扫描或攻击。

(b) 可疑的TCP标头

TCP协议必须透过TCP三阶段确认, 也可传递其它的网络数据包, TCP数据包标头包含了来源端口号、目标端口号与数据包类型等。一般的半开式扫描会以隐密的方式扫描目标系统, 判断目前有哪些连接端口是开启的, 这种未完成三阶段确认的联机扫描运作对系统威胁相当大, 为避免这类扫描, 可以对半开式扫描类型的数据包予以监测并拒绝。

(c) 可疑的UDP标头

UDP是一个不可靠、非联机性通信协议。攻击者会利用伪造的IP地址不断地对目标主机P发出UDP请求数据包, 使得P忙于回应, 造成网络拥塞或使P的CPU负荷过重, 无法提供服务。

(d) 数据包是否遵循RFC标准

攻击者会修改TCP/IP标头内尚未使用或保留的字段内容, 而做特殊的用途, 例如, 放置启动木马进行实际攻击之指令, 这些不遵守RFC 标准或变形的数据包存在着许多潜在危险因子, 在入侵检测系统上必须对这类被异动过的数据包作有效监测与防止。

(6) 异常联机

异常联机通常发生在服务器、网络线路或网络设备发生异常时, 它是网络攻击者用以扫描网络主机状态的方式之一, 但此时网络其它部分的运作却是正常的。透过监控TCP的联机状况, 分析2台主机之间异常失败联机的问题, 可以辨识是否为潜在的入侵检测或非法的网络通信, 此时, 应检查重要主机所发出的ICMP控制信息并进行分析。如为失败的联机, 在短时间内多次尝试对目标主机进行联机, 但是并没有具体的实际联机, 则必须分析该数据包来源, 判断其目的、用途及是否为授权或允许的网络行为;如为阻断的联机, 在主机之间尚未建立正式联机前, 攻击者可能会透过“半开式扫描”对目标主机进行检测, 由此判断目前正在运作的系统与开放的连接端口, 这种未经正式确认的连线, 例如TCP SYN、TCP Xmas Tree、TCP RST等扫描, 很可能是入侵攻击的前置动作。

3.2 存取控制

在充分了解内网面临的入侵攻击及威胁后, 可以适当地利用网络数据包的特征、身份识别的机制与多层防御的机制, 建构安全的传输机制, 防止未经身份识别与授权的存取, 以有效保护内部重要主机的数据。

(1) 阻止不合法的网络传输

在网络内部传输必须采用合法的网址, 例如, 从外部网络传送进来的数据包来源IP却是属于内网的地址, 相对地, 从内网传送出去的数据包来源IP却不属于内网的地址, 则表示有某一网络主机P已遭到入侵, 而入侵者以P为跳板去攻击其它主机或外部主机。这类不合法的数据包传输必须予以阻断及禁止存取。

(2) 身份识别的存取

一般除了利用使用者账号与密码控管存取权限外, 还可以制订较为严谨的识别存取机制。在局域网络中, 当一个以太网络数据包由一部主机传送至另一部主机时, 是由一组48 位的以太网络地址MAC决定该数据包传送到哪个接口。利用MAC 的唯一识别特性, 将合法的IP与该主机唯一的MAC配对使用, 正面表列合法的IP_MAC 与负面表列不合法的IP_MAC, 制定对伺服主机安全存取的过滤机制, 以过滤不合法的数据包, 强化身份识别的存取。

(3) 多层防御

在网络上的威胁, 除了外部入侵者外, 尚有来自内部的使用者。如果将存放重要数据的服务器暴露在内网的共享网络节区, 内部使用者就有可能直接对它进行攻击。因此, 在内网中, 另外建置一个内部防火墙, 构成多层防御体系结构, 分隔一般使用者与重要服务器的网段, 严格限制其出入的传输, 强化数据存取的安全性。

4 结语

为了确保网络系统的安全性, 必须实时发现入侵或攻击行为, 并有效予以修补与防止, 才可以有效保证网络系统的安全。本文分析了攻击者常用的方式与方法, 在检测机制上给出了有效的监测与防范方式, 并依据已知的潜在安全漏洞及可能的入侵检测分析, 在网络技术层面上提出了防止的方法, 以保障内网安全与重要服务器信息的安全。

参考文献

[1]ANDREA P.From Network Security to ContentFiltering[J].Computer Fraud&Security, 2007 (5) :14~17.

[2]FLORIN H.Information and Network SystemSecurity[C]//Proceedings of the 9th WSEASInternational Conference on Data Networks, Communications, Computers, 2007, Tobago:441~446.

[3]CONORICH D G.Monitoring Intrusion DetectionSystems:From Data to Knowledge[J].InformationSystems Security, 2004, 13 (2) :19~30.

[4]ITOH T.Hierarchical Visualization of NetworkIntrusion Detection Data[J].IEEE Computer Graphicsand Applications, 2006, 26 (2) :40~47.

上一篇:科普价值下一篇:骶管冲击法