内网安全监测(共7篇)
内网安全监测 篇1
1 引言
目前, 常用的安全产品如防火墙和入侵检测技术等, 它们主要关注的是来自外部的攻击和破坏, 而对于内部用户的信息泄密甚至攻击和威胁事件的安全防范几乎不起作用。如何更有效地填补以防火墙、入侵检测系统等为代表的网络安全产品对内网安全控制的不足, 保证内部网络的安全已经成为一个迫切的、重要的任务。
2 内网安全威胁
2.1 非法接入
非法接入是指没有经过有关授权部门允许而直接将各类计算机和移动设备接入内网的行为。非法接入事件虽不是暴力入侵, 但会给内网安全带来极大威胁, 尤其是有可能带有病毒的笔记本一类移动设备的非法接入, 很可能会造成在内网传播病毒、移植木马和泄漏内网机密信息等严重后果。不安全的终端或移动设备非法接入如图1所示。
非法接入发生的主要原因是内控措施不利和内部人员的安全意识不够, 随着无线网络技术的成熟和无线网络设备的使用, 发生非法接入事故的数量将会明显上升。
2.2 非法外联
非法外联是指内部网络的计算机设备与外部网络建立了非授权的连接。非授权连接的建立可以将内部网络的资料传送到外部网络, 同时外部网络的计算机也可能通过该连接进入内部网络, 对内部网络安全造成威胁。
3 对非法接入的监测
如果一个主机的IP与MAC地址与注册表中的记录相符合, 并且能得到代理的认证, 则认为该主机合法;否则, 系统认为被探测主机属非法接入, 将会产生报警信号, 并对该主机实施通信干扰, 以防止非法主机可能对网络安全造成的危害。
在开始进行探测时, 首先确定需要进行探测的IP地址段, 之后便逐一从这些地址中提出一个IP进行探测, 即以该IP地址为目的地址发送一个探测报文。通过检查是否接收到了回应报文来判断所探测的IP是否处于在线状态。
如果收到回应报文, 说明存在一个使用该IP的主机处于在线状态, 交回应报文中的IP及MAC地址提出并与数据库中合法主机的数据进行对比, 如果这些数据不匹配, 则认为该主机属于非法接入。如果数据匹配, 还须要进一步对其实施探测, 这是因为IP和MAC地址都是可更改的, 一台非法接入的主机可以冒用一台不在线的合法主机的IP与M A C。
针对这种情况, 系统对由下线转为活动状态的主机要进行一次“代理连接认证”, 也就是向主机上的安全代理软件发送一个认证请求, 如果认证成功, 那么认为该网络主机合法, 否则, 则认定其为“非法接入”。这样就保证了网络在线主机身份的合法并具有唯一性 (因为代理软件的安装和发放是严格受控的) 。系统只对由下线状态变为活动状态的主机实施代理身份验证是因为当一台非法主机冒用一台在线主机的MAC和IP时, 网络会检测到IP冲突, 因此不需要对所有的在线主机实施代理身份验证, 这样可以减少网络占用量。对一台在线主机的探测流程如图2所示。
目前较为常用的探测技术有:A R P探测、P I N G探测和T C P A C K探测。这三种探测方式各有优缺点, A R P探测所占用的带宽少, 在网段内的穿透能力强;基于ICMP的PING方法的效率较高, 实现起来也比较容易, 但可容易被防火墙拦截;T C P A C K探测具有很强的穿透性, 甚至可以跨越网段实施探测。
以基于A R P的探测技术为例, 对网络主机的整个探测流程如下 (基于网络编程常用的Libnet函数库来实现) :通过Packet Get Adapter Names () 获取主机网卡名之后, 构造网络传输的物理帧首部, 将报文源I P地址设为本机的I P地址, 源M A C设置为本机的M A C地址, 将I P协议类型设为E T H E R T Y P E_A R P (0 x 0 8 0 6) 表示A R P数据报文。然后, 系统开始构造A R P数据包, 将硬件类型设为A R P H R D_E T H E R (为1, 表示以太网) , 协议类型设为ETHERTYPE_IP (2048) 硬件地址长度为6, 协议长度字段设为4, 操作字段设为A R P O P_R E Q U E S T (1) , 表示是A R P请求报文, 源物理地址设为本机MAC地址, 源IP地址设为本地IP地址, 目标物理地址设为物理广播地址, 目标IP地址设为所要探测的I P地址, 最后通过libnet_write_link_layer () 发送构造的ARP数据报文, 并释放相关占用内存。
通过IRIS抓包软件可以看到网络中由本机发送的ARP请求报文, 如果目的主机在线, 则会产生一个ARP响应报文。因此, 通过监听线程就可以发现网络的在线主机。虽然非法接入主机想与其他主机通信时, 也可以通过监听线程发现, 但那样发现相对较慢。
4 对非法外联的监测
在通常情况下, 主机是通过以太网连接到局域网上的, 在网卡上绑定有内部I P地址、子网掩码和网关, T C P/I P协议根据这些信息将生成路由表, 该路由表将默认路由指向网关, 任何网络数据的发送都使用该路由表选择出最优路径进行发送。当该主机进行拨号时, 主机除了原有的连接到局域网上的以太网卡外, 还会有一个拨号产生的W A N连接, 在该网络接口上会绑定ISP分配的IP地址、子网掩码和网关, 系统将增加一些路由表, 第一个默认网关将被更新为新的IP地址。根据这个路由信息的不同, 就可以分辨出主机是否拨号。
设主机A为一台内网主机, 在其没有拨号连接时, 当其收到外网主机B的ICMP报文时, 其路由发现此报文不是本网I P;于是, 首先向默认网关C发送一个A R P报文, 获取网关物理地址, 然后构造一个以B为目的IP地址, 以默认网关的物理地址为目的物理地址的ICMP响应报文。但A拨号上网后, A的默认网关已经改变, 当A通过A R P获取默认的物理地址时, 将没有A R P回应报文, 于是, 将不会产生一个I C M P回应报文。根据这种网络流量的差异, 就可以发现网络中的拨号主机。
对内部网络主机非法拨号外联的监测流程如图3所示。
启动拨号外联检测有两种方式:管理员手工驱动和时间触发两种, 而且可检测的主机仅限于本网络主机范围之内, 在每一次检测之前, 系统查看主机状态列表, 只对在线主机实施拨号外联检测。其函数接口为:
在发送数据报文之后, 需要监听网络中数据流, 因为目标主机的回应报文目的地址是其默认网关, 所以必须对报文的序列号和确认号以及数据报文的源IP和目的IP都进行判断, 以确认监听的数据报文刚好是探测报文的回应报文。为了确保有数据报文丢失现象, 一次向一台目的主机主动发送两个探测数据报文。
所发送的探测报文为T C P A C K报文, 源IP为外网地址, 目的IP为被探测主机, 源端口为5000, 目的端口为137, 序列号11111, 确认号为22222。根据返回的数据报文, 提取其源端口、目的端口、源I P、目的I P、序列号和确认号, 如果其源IP是目的主机的IP, 目的IP是默认网关IP, 确认号为22222, 源端口为137, 目的端口为5000, TCP FLAG字段设置为TCP RST, 则认为是源探测报文的回应报文, 该目标主机没有拨号外联。如果没有收到目标主机的回应报文, 且该主机在线, 则认为该主机存在拨号外联。对于已经拨号外联的主机应该立刻采取主机通信干扰。对于先前已经发现拨号的主机, 如果发送报文收到回应报文, 表示该拨号主机拨号结束。
因为探测报文的回应报文目的IP地址为外网段IP地址, 目的MAC地址为默认网关地址, 因此只能采用网络监听方式获得。如果目标主机不在线, 也不会产生回应报文, 因此为了区别目标主机是拨号外联还是系统关闭, 对没有收到回应报文的主机需要作进一步确认, 判断其是否在线。
在系统实现中, 对收到的T C P报文进行解析, 然后将回应报文的IP上报给监听线程内部的状态散列表。为了防止系统处理过程中的延迟, 以至于还没有收到某主机的响应报文, 而将其误认为拨号外联, 系统每一次在启动外联探测后6秒钟后读取其状态散列表, 当某主机既在线, 又没有回应报文时, 产生报警, 认为其拨号外联。
5 小结
内网安全监测是内网信息安全框架的一个重要组成部分, 完善内网安全体系还有很多工作要做, 它可被视为一个大系统。可以肯定的是, 伴随着网络化进程的加剧, 内网安全的研究最终会与外网安全的研究相结合, 从而建立起全面的、立体的信息安全保障体系。
摘要:计算机网络的迅速发展给我们带来利益的同时, 信息安全问题也越发突出。防止内部信息泄漏和内部攻击作为信息安全的一个重要分支, 日益成为信息安全的焦点。本文分析了内网安全所面临的主要威胁, 基于网络探测技术提出了相应的监测方案。
关键词:内网,非法接入,非法外联,监测
参考文献
[1]杨义先等.网络安全理论与技术[M].人民邮电出版社.2003.
[2]Marcus Goncalves, 宋书民等译.防火墙技术指南[M].机械工业出版社.2000.
[3]沈昌祥.信息安全工程导论[M].电子工业出版社.2003.
[4]肖伟春.内网安全建设规划方案探讨[J].计算机安全.200 (78) :94-95
内网安全技术研究 篇2
长期以来,人们谈到网络安全都是指一些外部的病毒入侵、黑客攻击,常规防御理念往往局限于利用网关、网络边界设备等进行防御,然而很多这方面的技术对保护内网却没有效用。大量关于黑客入侵、病毒攻击的报道,将人们的注意力导向到重视防范来自外部的攻击,却忽视了来自内部的安全威胁。内部人员误用、滥用、恶用内网资源,盗窃机密数据等严重破坏信息安全的行为,已成为网络中的主要威胁。对此,人们不仅缺乏必要的认识,也缺少合适的防范工具与处理手段。
1 内网安全威胁
FBI和CSI在2005年的调查结果显示:将近50%的安全威胁来自内部网络的误用,有35%来自未授权的访问,有10%来自专利信息被窃取,有8%来自内部人员的财务欺骗;在损失金额上,未授权的访问导致了31 233 100美元的损失,专利信息的窃取导致了30 933 000美元的损失,内部网络的误用导致了6 856 450美元的损失,内部人员的财务欺骗导致了2 565 000美元的损失,总计达71 587 550美元。这组数据充分说明了内网安全的重要性,也提醒我们应尽快加强内网安全建设。
内网安全的目标就是要建立一个可信、可控的内部安全网络,内网90%以上的设备由终端主机组成,因此它当之无愧地成为内网安全的重中之重。安全、有效地监控终端主机,必须首先了解来自内部网络的安全威胁。
1.1 非法外联
内部人员使用拨号、宽带等方式接入外网,使本来隔离的内网与外网之间开辟了新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内外网之间的防护屏障,顺利侵入非法外联的主机,盗窃内网的敏感信息和机密数据,造成泄密事件。
1.2 使用软件违规
内部人员出于好奇或者恶意破坏的目的,在计算机上安装使用一些黑客软件,从内部发起攻击。还有一些内部人员安全意识淡薄,没有安装指定的防病毒软件等等,这些行为都对内网安全构成了重大威胁。
1.3 外设接口使用不当
为了方便使用,计算机提供了各种大量的外设接口,如USB接口、串行接口、并行接口、软盘控制器、DVD/CD-ROM驱动器等,而这些外设接口都可能成为信息泄漏的途径。
1.4 外部设备管理不当
如果不加限制地让内部人员在内网主机上安装、使用可移动的存储设备,如软驱、光驱、U盘、移动硬盘、可读写光盘等,会通过移动存储介质间接地与外网进行数据交换,导致病毒的传入或者敏感信息、机密数据的传播与泄漏。
1.5 重要文件缺乏保护
计算机内部的相关机密文件被随意进行篡改、删除等操作,个别内部人员对涉密文件进行了共享操作,从而有意无意地造成了内部信息泄漏。
1.6 打印机的滥用
一般内部的关键资料不允许打印带出,这些关键资料包括重要的设计图纸、设计文档、参考文献等。对于这些重要电子文档的打印,要进行严格的登记和日志记录,登记所有打印机上的打印记录,以便为资料泄漏提供强有力的线索和证据。
2 内网安全管理系统
内网安全首先假设所有的内部网络都存在安全威胁,相对于外网有着更细粒度的安全管理控制,直接控制到主机系统,甚至是数据文件本身,这样就极大地提高了安全性。方案要能保障内部主机与网络系统稳定、可靠地运行,确保内部信息与网络资源受控、合法地使用,确保内部重要信息的安全与保密。
2.1 系统概述
桌面安全管理系统的出现为内网安全提供了一个较好的解决方案,它是一种基于“内部用户不可信”前提的内网安全类产品。它需要对各种类型的操作系统进行研究和控制,结合访问控制、操作系统核心技术、网络驱动、密码学、数据安全等技术手段,对涉密信息、重要的内部数据等敏感信息、信息载体及信息处理过程实施保护,使之免遭违规或非法操作的威胁,并能够完整记录相应操作的日志。
从产品功能和实现的安全目标来看,桌面安全管理系统似乎和主机审计类产品有些相似,两者都涉及到了对操作的日志审计和对主机的控制,也就是“监”和“控”。其实两者是有区别的:主机审计类产品主要侧重于对系统信息和操作的监视、审计,也就是“监”;而桌面安全管理系统不仅能够进行日志审计,更重要的是它的控制功能很强大,因此重在“控”。桌面安全管理系统可以对客户端主机进行实时监控,还可以通过实时修改下发安全策略对客户端主机进行更为严格、粒度更细的控制,从而保证在发生内部安全事件时,能够做出及时、有效的响应;在事后可以通过查看各种审计日志,形成有力的“佐证”,以便对相关人员进行责任追究。
2.2 系统结构
桌面安全管理系统根据其功能要求一般分为3个部分:服务器、控制台和客户端。各部分关系如图1所示。
服务器是桌面安全管理系统的核心部分,包括服务程序和后台数据库,一般安装在一台具有高性能CPU和大容量内存的主机上。服务器主要负责将管理员指定的各种安全策略下发到各个客户端,接收客户端收集的各种数据信息存入数据库,并将适当的数据传递给控制台显示。
控制台是系统与管理员的人机接口,是服务器的操作界面。既可以安装专门的控制台软件,通过GUI界面管理服务器,也可以使用浏览器,通过Web界面来管理服务器。管理员通过控制台可以实现管理配置安全策略、系统管理、参数配置、事件管理和日志审计等功能。
客户端是部署在被监控主机上的代理软件,它主要负责执行管理员下发的安全策略和管理命令,收集主机相关的数据并传输给服务器。
2.3 系统安全及性能
终端安全管理系统采用密码学技术,对服务器和客户端、服务器和控制台之间的通讯数据进行了加密处理,保证各组件之间的通信信道的安全性。管理员设置的各种安全策略在客户端主机离线的状态下仍然能够生效,而且在此期间对主机的各种审计日志仍然会正常记录,在客户端主机再次连入内网以后,审计日志就会自动上传到服务器,这样就能够避免主机在离线状态下的违规操作。由于客户端是安全策略的最终执行者和主机信息的收集者,因此其自身的安全保护尤为重要。终端安全管理系统采用各种技术手段来防止客户端在正常模式和安全模式下,进程和服务被恶意停止、代理程序被恶意卸载、下发的安全策略和各种配置文件被恶意修改和删除,保证客户端能够正常运行,使管理主机时刻对各台计算机进行有效监控。
桌面安全管理系统的主体架构一般采用C/S模式,客户端应用占用主机的系统资源很小,不会影响到主机的正常运行;同时对内网带宽的占用也很小,因此能够在不影响正常工作的前提下最大程度地完成内部数据的保护以及内网安全管理工作。
2.4 内网安全管理系统的实现
2.4.1 监控代理程序
读模块负责从操作系统的审计日志文件中读取连续的审计日志数据,并将其转换为一个便于存取操作的通用记录格式,传送给数据分析模块。数据分析模块根据安全规则对收到的审计数据进行分析。如果安全规则给出了明确的响应动作,则向动作响应模块发出动作指令,同时向发送模块传送匹配的数据记录。发送模块负责将接收到的数据传送给监控信息中心服务器。接收模块负责接收控制中心传来的安全规则和动作指令,刷新安全规则和向动作相应模块发送动作指令。动作响应模块负责切断用户与系统的连接和封锁用户系统帐号。各模块关系框图如图2所示。
2.4.2 监控信息中心
监控信息中心服务器的接收模块负责接收多个监控代理发送的数据,并传送给数据分析模块。数据分析模块根据安全规则对接收到的数据进行分析,通过发送模块将动作响应传送给特定的监控代理。报警信息通过管理模块传送给管理员控制台,同时归档的数据存入数据库中。管理模块为管理员控制台提供安全监控系统的各种管理、监控与数据分析服务,包括修改和部署安全规则,查询和分析数据库的审计数据,并通过发送模块向各个监控代理部署新的安全规则和发起响应动作。如图3所示。
2.4.3 管理员控制台
管理员控制台可以集中显示安全报警信息,拥有对归档审计数据的分析和查询功能,并且安全管理员能够对主机安全监控系统进行安全策略的集中配置和部署。主要分为7个模块:用户界面模块、身份认证模块、报警模块、统计分析模块、策略编辑模块,系统状态模块和通信模块(发送与接收)。如图4所示。
3 结语
目前,市场上已经存在一定数量的内网安全管理产品,例如:中网信息技术有限公司的中网桌面安全管理系统、北京天融信科技有限公司的网络卫士安全管理系统等,这些产品都是针对内网安全威胁和内网安全管理系统的功能等方面设计的,对这些产品进行分析和比较,我们发现各个产品的功能主要方面差异不大,只是在个别功能和性能上有所不同,在使用的模式和系统的稳定性上也参差不齐。随着公安信息系统信息化建设的发展,公安内部网络安全问题也日渐突出,打造适合信息化发展需要的内网信息安全产品十分必要。
摘要:在网络安全领域,内网的安全问题已逐渐成为研究的焦点。首先介绍了内网安全的现状,然后对内网安全的威胁进行了全面、深入的分析,并针对这些威胁提出了相应的安全解决方案,最后设计了内网安全管理的原型系统。
关键词:内网安全,安全威胁,监控代理
参考文献
[1][美]CHRISTOPHER ALBERTS,AUDREY DOROFEE.信息安全管理[M].北京:清华大学出版社,2011.
[2]DAN FARMER,WIETSE VENEMA.Improving the security ofyour system by breaking into it[EB/OL].http://www.rootshell.com/docs/inprove_by_breakin.
内网的安全管理 篇3
随着Internet的飞速发展,局域网已经成为很多行业不可缺少的组成部分。在享受Internet快捷方便的同时,内网安全也面临着严重的威胁。为了确实有效的保护内网的安全,建立一套完整的内网安全管理体系显得十分重要。
2、内网面临的安全问题
内网,通俗的讲就是局域网 (Local Area Network) ,内网的安全不仅面临着来自网外的病毒侵袭和黑客攻击,更多的问题是来自内部人员的违规操作、蓄意破坏或窃取信息。要做好内网的安全管理,首先在技术上,基础的硬件设施是必不可少的保障,安装边界路由器和防火墙,再配合使用入侵检测系统,经过正确的配制基本可以抵御来自网外的攻击。同时,制定合理的安全策略和严格的管理制度,从网络资源、设备资源、客户端资源和应用资源等多方对内部网络加以管理和审计,才能达到最佳的管理效果。
3、应对内网安全挑战的防御措施
在技术上,应首先从边界着手,通过正确的使用边界路由器、防火墙、入侵检测系统等设施,再配合其它技术手段,可以基本防御来自外网对内网的安全威胁。
3.1 合理设置边界路由器
一般来说,内网都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。经过恰当设置,边界路由器能够把几乎所有的非法入侵挡在网络之外。
3.1.1 修改默认的口令
设置一个安全保密性较强的口令,可以防止边界路由器被网外非法用户破解,从而增强对外部使用者的管理。
3.1.2 关闭路由器的HTTP设置
HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,HTT P协议中并没有一个用于验证口令或者一次性口令的有效规定。因此关闭路由器的HT TP设置可以增强内网的安全性。
3.1.3 封锁ICMP PING请求
PING的主要目的是识别目前正在使用的主机。因此,PING通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收PING请求的应答能力,就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的非法活动。这样做实际上并不能保护网络不受攻击,但是,这将使内网避免成为一个攻击目标。
3.1.4 关闭IP源路由
IP协议允许一台主机指定数据包通过网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
3.1.5 确定数据包过滤的需求
在这种规定中,除了网络功能需要的之外,所有的端口和IP地址都必须封锁。例如,用于WEB通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
3.1.6 建立准许进入和外出的地址过滤政策
在边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从网络内部访问互联网的IP地址都应该有一个分配给的局域网的地址,保证只有在局域网地址范围内的主机才可外出。来自互联网外部的通信的源地址应该不是内部网络的一部分。因此,应该封锁入网的非法地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。
3.1.7 审阅安全记录
审阅路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。
3.2 安装防火墙
防火墙可以限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近用户的防御设施;限定人们访问特殊站点;为监视内网安全提供方便。
设置防火墙的主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。
3.3 安装入侵检测系统
入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以与防火墙和路由器配合工作。例如,入侵监测系统可以重新配置来禁止从防火墙外部进入的恶意流量。入侵监测系统是独立于防火墙工作的。
入侵监测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。网络扫描器检测主机上先前设置的漏洞,而入侵监测系统监视和记录网络流量。如果在同一台主机上运行入侵监测系统和扫描器的话,配置合理的入侵监测系统会发出许多报警。
通过安装入侵检测系统,可以提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当窃取者入侵时立刻有效终止服务,以便有效地预防企业机密信息被窃取。应限制非法用户对网络的访问,规定具有IP地址的工作站对本地网络设备的访问权限,以防止从外界对网络设备配置的非法修改。
3.4 其它技术手段
还可以使用安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源;使用代理网关,保证操作系统的安全;对重要资料进行备份;选择有完善的在线升级服务,使用户随时拥有最新的防病毒能力的防病毒产品;对病毒经常攻击的应用程序提供重点保护;也可以使用密钥管理,没有规律的口令具有较好的安全性。与此同时,还必须制定一套规范内网安全的管理措施。
4、结语
结合当前网络上攻击泛滥的现象,应对内网所面临的来自外网的病毒和黑客攻击,以及内部资料外泄等不安全行为的威胁。其中主要包括硬件技术防御措施和管理策略的制定方法。在内网的安全管理中,必须注重技术与管理的相互结合, 通过何种手段能以最少的投资建立最为适用的内网安全管理平台等。
摘要:本文是在局域网现有的网络设备的基础上, 从技术和管理两方面着手研究, 形成一套应对内网安全的管理方法。主要内容包括三个方面:硬件设备 (路由器、防火墙、入侵检测系统等) 的正确使用、制定行而有效的安全策略以及严格的内网安全管理制度。论文涵盖了内网安全所需要的“防、测、控、管”等多方面的基础理论和实施技术。
关键词:局域网,内网安全,安全策略,管理措施
参考文献
[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2001.
[2]程胜利, 谈冉.程煜.计算机病毒及其防治技术[M].北京:清华大学出版社, 2004.9.
[3]吴功宜, 吴英.计算机网络应用技术教程[M].北京:清华大学出版社, 2001.
[4]刘承松.局域网与INTERNET应用[M].云南:云南科技出版社, 2005.6.
内网安全监测 篇4
在内网安全体系建立方面, 冯运波指出, 中国移动下发了三大IT网络安全域规范。通过划分安全域等安全手段, 对每个域实施不同安全等级、不同域之间分层次、分等级的安全防护。中国移动还加强了内部安全防护体系的建设, 包括上网行为管理系统、漏洞扫描等多种防护手段。
此前, 中国各大运营商对内网信息安全管理工作也都非常重视, 他们已经采取不同的手段和方法进行了系统管理。广西移动、贵州移动、湖南移动、陕西联通、重庆联通、山东电信等各地方运营商, 都已经选择利用部署上网行为管理设备和流量管理设备的方式解决内部网络信息安全管理问题。
划分网络等级用户组
冯运波认为, 由于在运营商内部涉及到客户信息的系统非常多, 各个信息平台中存在大量客户信息, 这些信息很有可能在合作伙伴人员、内部人员进行系统操作时泄密。
目前, 中国移动一共划分了五个等级的安全区域, 包括公共区、半安全区、核心安全区、安全区和内部业务区, 每个不同等级的安全域之间, 都使用了防火墙进行隔离。同时根据安全域的划分规范, 明确安全域的技术要求和设备要求, 并根据等级保护的要求, 确定安全域的威胁等级和保护等级。
据了解, 内网安全首先需实现内部网和外网用户身份的有效识别, 同时还需进行流量分析和控制。在具体操作中, 以贵州移动和云南移动为代表的运营商, 在防止外网用户访问内网服务器时, 均采用了划分不同用户组的方式, 以防止第三方或者非授权的终端进入到内部办公OA系统网络或BOSS网络。
围绕移动运营商, 目前已有大量的第三方代维人员需要长期驻守在机房, 或在出现突发情况后, 由第三方代维人员进行远程调试。以云南移动为例, 他们充分利用上网行为管理设备和流量管理设备, 解决了该省公司第三方代维人员 (厂商) 的安全接入和权限管理问题。
云南移动认为, 以往使用IPSEC VPN接入时, 通常为了安装调试接入VPN软件花费大量时间, 延误了应急的时间, 而且由于IPSEC VPN属于三层技术, 使用IPSEC VPN的用户还可以在接入运营商内网后, 访问其他资源不受限制。而使用SSL VPN之后, 第三方厂商人员无需长期守在机房, 仍可第一时间接入移动运营商内部网络进行设备维护。
云南移动的某负责人表示, SSL技术的优越性使得接入运营商内网的用户限制在某个固定的IP和应用。这样, 既能保证内部网络资源不被其他人员任意窃取, 又能在特殊时刻满足外网用户使用内网的安全性要求。
实现内部用户上网行为管控
据了解, 目前企业主要存在的上网情况大致包括三个方面。一是企业内网用户人数较多, 上网行为泛滥造成员工工作效率受到严重影响;二是一些内网用户访问色情、迷信、赌博等类型的网站, 给企业带来一定的安全隐患;三是在网络使用高峰期时, 内网用户的P2P、流媒体等应用会造成一定的网络拥塞, 影响正常办公与应用。
以上三种现象, 在运营商内部也时有发生, 因此, 运营商相关部门需要使用网络管理手段限制员工与工作无关的上网行为。在这点上, 湖南移动通过在办公网的总出口处部署双机热备的方式, 利用上网行为管理设备内置的应用识别库, 将所有员工在上下午上班和休息的时间分为四个时间段, 并对每个时段分别发生的上网数据进行分析和审计, 同时针对具体的IP地址和应用类型, 进行严格的流量控制和审计。
在对全网员工进行了封堵P2P、P2P流媒体和文件下载等应用测试后, 湖南移动根据具体情况, 制定了不同时间段的不同管理策略, 实现了差异化管理。据了解, 这种方式的管控, 共涉及湖南移动省公司所有部门和该省分公司14个地州市所有人员约2万人。实施差异化管理后, 湖南移动有效地减轻了网络应用对带宽的压力, 提高了带宽使用率和核心业务的带宽保障。
深信服科技副总裁张开翼认为, 作为运营商系统大规模部署上网行为管理的典型用户之一, 湖南移动通过上网行为管理方案实现了对全省办公网的集中管控, 既保障了核心应用的带宽, 又洞悉了网络的使用状况, 为制定IT决策提供了有利依据。
推动4A集中管控系统
冯运波表示, 中国移动正在推动全网4A系统工程, 该工程实施后, 可将当前所有涉及客户信息的系统均纳入4A系统的集中管控。
4A系统主要用来加强系统安全的事前、事中和事后控制, 即统一用户管理、统一用户认证、统一授权, 以及统一审计和访问控制, 实现统一的账号管理, 保证所有进入后台系统的访问都必须通过4A系统进行集中的控制。目前, 中国移动正在进行分省、分系统、分专业地推动4A系统的建设。
冯运波介绍说, 在4A系统实施过程当中, 首先是建立一个堡垒主机, 所有用户在进行集中认证后, 才能继续访问后台资源。后台的资源可以有各种各样的登录工具, 而所有的操纵行为均通过防控网关保存到内网的日志服务器。这样, 可以对维护人员, 特别是第三方的代维人员进行统一的接入访问控制, 在系统上的所有操作也均可在事后进行审计。
张开翼则表示, 在运营商的4A系统建设中, 深信服通过创新的单点登陆技术实现与4A系统的紧密关联, 获得了客户的高度认可。
内网安全监测 篇5
企业内外部、内部不同部门之间的U盘交叉使用等情况, 都给企业带来机密信息泄露的严重风险。
企业安全防护系统可以分为内网部分和外网部分, 由于内网避免了与防火墙和IPS直接过招的麻烦。而“防外不防内”也是很多企业网络中普遍存在的问题。在激烈的商业竞争中, 内网的交锋日益成为焦点。据公安部最新统计, 70%的泄密犯罪来自于内部, 电脑应用单位80%未设立相应的安全管理, 58%无严格的调存管理制度。
国内内网安全市场发展十余年间, 每年以150%速度高速发展, 是国内信息产业最有潜力的市场之一。据记者了解, 当前内网安全市场竞争激烈, 提供具体方案的企业包括国外巨头赛门铁克、趋势科技、EMC (RSA) 、Websense、McAfee等以及国内企业联软科技、东软、绿盟等。
在经过了从初生到高速发展的甜蜜期后, 国内内网安全市场即将进入重要的调整阶段。
某电信研究院人士告诉记者, 在电信领域, 国内运营商用户不断增加, 拥有大量客户资料和个人用户信息, 通信设备企业投入巨资进行技术创新和研究市场竞争策略, 这些数据面临较多安全威胁, 需要企业构建更加强大的内网安全系统。
内网安全成为安全防护新核心
一直以来, 企业安全防御的重点更多的放在网络边界 (防火墙、漏洞扫描、安全审计、防病毒、IDS等) 方面, 主要的安全设施大多物理上集中于机房、逻辑上集中在网络出入口处。应该说, 在这些安全设备的严密监控下, 来自网络外部的安全威胁得到显著缓解。
“然而, 随着企业信息化的不断深入, 来自网络内部的安全威胁开始逐步凸显出来, 网络的内部安全问题大于外部问题渐渐成为业界共识。”绿盟科技产品市场经理李海告诉记者, 现在内部员工、访客以及合作伙伴的有意操作或无心之举、安全防护边界的日渐淡化或模糊、各种网络应用的快速普及等, 让安全管理变得扑朔迷离。尤其是U盘等移动存储设备的大规模使用, 给企业带来了新的内网安全威胁。主要的安全威胁表现为敏感信息泄露以及恶意代码感染。
深圳联软科技有限公司营销总裁祝青柳表示, 现在最核心的安全威胁还是来自于利益驱动的数据泄密问题, 针对分支机构众多, 并有许多第三方服务商的大型企业尤其严重。当然, 原有的病毒、木马导致网络瘫痪这个问题依然严峻。
通信企业发力内网安全
信息化不但为企业带来了便利, 同时也催生了烦恼, 恶性竞争的事件不绝于耳, 通信行业也不例外。据悉此前, 国内著名的某通信制造业上市公司, 高层会议刚开完, 会议精神还没传达, 竞争对手的高层领导就拿到了会议纪要电子文档。
为防止类似泄密事件的发生, 通信企业逐渐高度重视内网安全。7月29日, 烽火科技集团召开了信息安全交流会, 深入探讨集团内部信息安全建设。据悉烽火集团下属虹信公司早在5月份就签约某内网安全公司, 全面打造健康、高效、安全的内网环境。
新形势下, 运营商同样非常重视内网安全。青海电信长期深受终端安全管理问题之患。从2010初开始, 经过1年多的考察、测试、评比, 青海省电信近期最终通过采购程序选择联软科技的LeagView系统, 对其数以千计的终端进行统一的安全管理工作。
“除了企业内部使用, 运营商还关注自己的行业用户, 为其提供完善的内网安全系统。”中国联通中网威信公司一位人士告诉记者。
“技术+管理”构建通信业内网安全
运营商网络是相对开放的网络, 由于其要提供对外服务的特性, 使得其网络并不能成为封闭的网络。东软网络安全资深顾问刘欣宇告诉记者, 针对这种特点, 如果要很好保证其内网的安全, 运营商至少要提供全面的内网监控和审计方案、异常流量监控方案和全面的运维管理方案, 同时, 为保证加入网络的人员身份合法性和安全防护达标, 应当构建接入控制核查机制和安全评测机制, 保证加入其网络的设备的合法性和安全达标。
对于通信行业企业该如何搭建内网安全系统, 祝青柳从技术和管理两方面做了详细介绍, 从技术上来说, 一是没有准入控制的内网安全管理最终就要失败, 建设内网安全系统一定要把网络准入控制放在第一位;二是内网安全管理范畴很广, 要充分考虑终端的资源消耗与统一管理问题;三是简单的审计、封堵、加密, 不能解决运营商的数据防泄密问题, 需要结合业务特点制定更切合实际的方案。
从管理上来说, 企业不仅仅要考虑内部人员终端的管理, 还要考虑对第三方人员终端的管理, 对第三方人员终端要有一套行之有效的技术手段和管理办法, 否则会成为内网安全管理的漏洞;任何好的技术都是需要有相配套的管理方法及流程来确保技术的真正落地。
最后, 祝青柳特别指出, 从运营上的整体内部应用架构上来说, 我们建议还需要考虑如何让内网安全管理系统, 与身份认证系统、服务台系统、HELPDESK系统内、安全运维中心的集成问题, 不要让内网安全系统成为一个孤岛系统。
国外安全企业纷纷并购数据泄露防护企业
1.2006年, McAfee收购Onigma, 花费2千万美元;2007年10月, 收购Safeboot, 花费3.5亿元;2008年8月收购Reconnex公司, 花费4600万美元。
2.2006年7月, EMC收购RSA公司, 费用总额将近21亿美元;
3.2006年11月, Check Point收购Protect Data AB数据安全公司, 花费5.86亿美元。
4.2006年12月, Websense斥资9千万美元收购PortAuthority;
5.2007年10月, 趋势科技收购Provilla公司, 估计收购价格在2亿美元上下;
6.2007年12月, 赛门铁克公司收购Vontu, 费用为3.5亿美元;2010年4月斥资3亿美元并购PGP公司, 并花费7千万美元收购GuardianEdge公司。
企业内网信息安全管理 篇6
对网络的滥用会带来成本的增加、效益的流失。据中科院调查显示:如果员工的月薪是4000元, 每天工作时间为8小时, 而他每天拿出1小时进行“网事”, 那这个员工每月就给企业带来500元【4000× (1/8) 】的损失, 每年就是6000元【500×12】;而对于员工在500人左右的企业, 一年中因为网络滥用而带来的损失将高达300万元!细算, 惊人。
上述是看得到的成本, 并不包括带来的无形效益损失, 如造成管理效率的下降, 团队精神的影响, 如纪律松散、组织效率低下、文化萧条等。员工“沉溺网络”的问题可能会出现“过分依赖网络”症状, 出现孤独不安、情绪低落、思维迟钝、创造性降低等症状, 严重者甚至有自杀倾向, 影响企业形象, 这些都是值得企业关注的问题。
另外, 员工不规范的网络行为例如为了方便在家工作调用办公室电脑的资料, 开启办公室电脑的远程控制功能。或利用无线网卡等设备进行违规拨号上网, 这种行为给企业带来严重的网络安全稳患, 如受到病毒、黑客攻击, 导致内部网络瘫痪, 甚至导致数据文件损坏、机密丢失和泄露。
对于现代企业而言, 网络无疑是一把棘手的双刃剑。如何改变员工滥用网络的局面, 不规范使用网络的行为, 如何对员工上网行为进行有效的管理, 都是企业面对的新问题。
策略一:制定有效的上网管理制度
上网管理制度建设的滞后, 是员工沉迷网络的重要原因。应对员工非工作上网行为进行明确的界定, 制定管理条例, 做到有章可依、有令可处, 并加以宣传教育, 引导员工规范使用网络, 增强安全意识, 避免无意的泄露公司信息的行为, 从制度上有效地减少员工非工作上网行为。
日本本田公司为了应对员工沉迷网事, 制定了明确条文, 如网上该做什么、不该做什么, 让员工有心理准备, 从而避免进一步激化劳工矛盾。
策略二:设置专门上网的电脑
对于大部分员工工作不需要上网的企业来说, 设置若干上网的电脑, 以给有要事急需上网的员工使用, 同时限定上网的时段。这些电脑应装有定时更新的杀毒软件, 保护整个局域网安全。员工在上网时, 最好有网络管理员进行监督, 并设置网络监控管理软件。
策略三:合理安排上网时间
企业可制定网络使用作息时间, 将上网时段分为上班和下班两个时段, 将网络资源分段开放。在上班时间内, 根据不同的部门开放工作允许的资源, 在关业务高峰时段, 限制部分员工上网或禁止使用某些网络;下班时间内, 给员工1~2小时上网时间, 让其在紧张的工作之余调解紧绷的神经, 保持员工活力。
策略四:因人而设上网权限
为防止网络滥用、保护企业机密, 对不同岗位设置不同权限。如市场部人员只允许通过公司邮件服务器收发Email, 所有邮件内容和附件要被记录;商务部门允许在任何时段上QQ、MSN, 并收发Email, 但所有日志及内容将被记录;研发人员允许上技术网站, 并禁止使用QQ、MSN;部门经理以上中层干部, 则允许拥有所有权限。
策略五:自动跟踪的安全策略
自动执行实时跟踪的安全策略是有效实现网络安全的关键。借助先进的互联网上网行为管理系统软件【网管软件】和设备。主要是安装在服务器端或是互联网络进出口处, 对整个网络的各种活动进行网络监控, 主要包括email、上传下载、网页浏览、QQ/MSN即时通信、网络游戏、P2P行为、流媒体软件等, 以规范普通员工、管理人员、公司领导等的网络权限。 (可参考目前最专业全面的:ANYVIEW (网络警) 网络监控软件) 。并且要求网络管理人员花时间审阅安全记录, 这样可以有效查出危害网络安全的行为。
策略六:建立准许进入和外出的地址过滤政策
可以使用静态路由器来实现:指定相应的IP地址对内网的路由。封锁入网胡192.168.X.X、172.16.X.X和10.X.X.X等地址。拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过, 包括回送地址127.0.0.1或者E类地址段240.0.0.0-254.255.255.255.
策略七:终端设备端口的管理
对于高度安全的网络来说, 特别是在存储或者保持秘密数据的时候, 移动设备 (包括笔记本电脑、移动硬盘等) 和增设的设备通常要求经过允许才可以过滤。在这种规定下, 除了网络功能的需要, 所有的端口包括U口都有必要封锁。例如, 用于WEB通信的端口80和用于SMTP的110、25允许来自指定地址的访问, 而其它端口都可以关闭。禁止员工使用无线网卡上网, 因为这种接入方式极有可能使的黑客绕过防火墙在企业毫不知情的情况下进入内部网络, 而造成敏感数据的丢失和病毒的传播。
策略八:修改默认口令
据国外调查显示, 80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的默认口令列表, 你可以肯定在某些地方的某个人会知道你的生日。虽然网络上有突破密码的软件, 但一个复杂的口令可以使你有时间觉察黑客的非法入侵。
策略九:优化激励分配体系
员工行为中一个重大的内部动力就是追求自身利益的最大化, 当员工认为上班的正当收益低于社会平均水平, 甚至低于非工作上网所获得的收益时, 这种行为就愈发严重;反之, 则减少。因此要扭转这种局面, 重点就是优化单位的激励分配体系。要从薪酬制定依据、薪酬水平、奖金形式等方面进行最优设计, 体现“按能取酬、多劳多得”的原则。
策略十:对岗位进行再设计
员工上班过于闲暇, 工作密度、强度不大时, 就会滋生更多的非工作上网行为, 因此就必须对工作流程再优化、岗位再设计, 适度加强员工工作强度, 提高员工工作责任心。
策略十一:开展心理辅导, 积极建立娱乐活动室, 针对员工沉迷网络出现的心理问题, 企业有必要加强心理辅导, 建立心理交流机制, 处理好员工的消极情绪, 调解其的心态, 让其树立健康心智模式, 全身心投入工作中。目前, 在世界500强中有80%的企业为员工提供了心理援助计划 (EAP) 。
建立娱乐活动室, 以积极向上的体育活动代替网络娱乐, 举行形式多样、喜闻乐见的文化娱乐活动, 增强员工对公司的信任, 增强员工之间交流, 和谐企业气氛, 达到员工和企业的双赢。因此, 加强企业文化建设, 也是一种低成本减少非工作上网行为的重要“软管理”招式。
综上所述, 企业的内网管理在某种意义上是将终端管理、网络管理和应用监管配以积极向上的企业文化共同完成的全面的管理, 企业的网管要在细节关注网络的运行, 时刻关注网络的安全。
参考文献
[1]《企业网络安全》萧文龙编著.出版社:中国铁道出版社
提升内网安全的策略探讨 篇7
中国联通DCN网络是集团公司统一部署的业务承载及支撑网络, 承载着电信业务综合管理、电信网络资源管理、计费帐务、财务、办公自动化、ERP等多个系统。在当前网络技术迅猛发展、日新月异的情况下, 该网络安全问题日渐突出, 面临着越来越严峻的安全威胁。对该网络而言, 其安全性是否得到保障, 直接影响到各承载系统的正常运行和信息安全, 某些核心系统 (如计费帐务、财务) 的安全性直接关系到企业的核心利益。因此, 提升DCN网络的安全性将具有重要的意义。
2. DCN网络所面临的安全隐患及应对措施
信息安全主要来自外网的不安全事件、病毒侵害等。企业内部一般有严格的内外网分离制度, 但是仍然会有多种途径使得内网终端与互联网有联系。由此会带来非法登陆、入侵攻击、远程控制、恶意代码及病毒感染等各种安全事件的隐患。常见的手段主要是防火墙、DDo S防护、IDS入侵检测及IPS入侵保护等。
信息安全的防护措施一般采用以下几种方式:网络防火墙、黑洞系统及IPS入侵保护系统等, 下面分别进行阐述。
2.1 网络防火墙
在公司内网与外部互联网之间架设网络防火墙, 可以建立内、外网间的安全屏障, 所有进出的信息都通过防火墙, 以便于集中实施安全策略。防火墙上面可以制定相应的安全策略, 对存在风险的服务实行阻止, 防止入侵者利用系统中存在的具有安全缺陷的服务, 可有效地保护内部网络。防火墙还可以记录上网行为, 一旦追踪异常上网行为。
2.2 黑洞 (Collapsar)
Do S (Denial of Service拒绝服务) 攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法, 如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源, 例如:网络带宽、内存和磁盘空间、CPU使用率等等。通常, 网络层的拒绝服务攻击利用了网络协议的漏洞, 或者抢占网络或者设备有限的处理能力, 造成网络或者服务的瘫痪, 而DDo S攻击又可以躲过目前常见的网络安全设备的防护, 诸如防火墙、入侵监测系统等, 这就使得对拒绝服务攻击的防治, 成为了一个令管理员非常头痛的问题。
黑洞 (Collapsar) 实现DDo S防护一般包含两个方面:其一是针对不断发展的攻击形式, 尤其是采用多种欺骗技术的技术, 能够有效地进行检测;其二, 也是最为重要的, 就是如何降低对业务系统或者是网络的影响, 从而保证业务系统的连续性和可用性。完善的DDo S攻击防护应该从四个方面考虑:
(1) 能够从背景流量中精确的区分攻击流量;
(2) 降低攻击对服务的影响, 而不仅仅是检测;
(3) 能够支持在各类网络入口点进行部署, 包括性能和体系架构等方面;
(4) 系统具备很强的扩展性和良好的可靠性。
"黑洞"抗拒绝服务攻击系统提供了DDo S防护能力, 弥补了目前安全设备 (防火墙、入侵检测等) 对DDo S攻击防护能力的不足, 不仅能够检测目前复杂的DDo S攻击, 而且能在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品, 具备了更细粒度的攻击检测和分析机制, 并加以灵活的部署方式, 能够有效的阻断攻击, 保证合法流量的正常传输, 这对于保障内网的安全性、业务系统运行的连续性和完整性有着极为重要的意义。
2.3 入侵保护系统IPS
单纯的防火墙在防护功能上有一定的局限性, 这主要表现在, 防火墙作为访问控制设备, 无法检测或拦截嵌入到普通流量中的恶意攻击代码, 比如针对WEB服务的Code Red蠕虫等。二是有些主动或被动的攻击行为是来自防火墙内部的, 防火墙无法发现内部网络中的攻击行为。鉴于防火墙具有以上一些缺陷, 所以部署了防火墙的安全保障体系还有进一步完善的需要。而入侵检测系统IDS侧重网络监控, 注重安全审计, 适合对网络安全状态的了解, 这对于防火墙来说是一个重要的增强手段。
入侵保护系统IPS (Intrusion Prevention System) 提供一种主动的、实时的防护, 其设计旨在对常规网络流量中的恶意数据包进行检测, 阻止入侵活动, 预先对攻击性的流量进行自动拦截, 使它们无法造成损失, 而不是简单地在监测到恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的, 即IPS接收到外部数据流量时, 如果检测到攻击企图, 就会自动地将攻击包丢掉或采取措施将攻击源阻断, 而不把攻击流量放进内部网络, 提供数据流的净化。
2.4 防病毒软件的部署
对于DCN内部网络来说, 除了来自外部互联网的安全风险以外, 还有内部的安全风险, 比如病毒。因此在企业内部网中部署一套网络版的防病毒软件是十分必要的。
防病毒软件的安装与升级是防病毒体系正常运行的基础条件, 包括安装和升级两个方面。因此企业内部部署的防病毒软件, 要能够自动从管理服务器进行病毒库更新, 自动更新失败后, 同时还可以进行手动更新。
3. 结语