网络安全主动防御技术(通用11篇)
网络安全主动防御技术 篇1
一、引言
随着计算机网络发展和Internet广泛应用,信息已经成为现代社会生活的核心。目前,中国铁路系统不仅建立了自己的局域网、广域网系统,而且在局域网、广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。对于铁路运输网络系统而言,其网上信息的安全和保密尤为重要。因此,铁路运输网络必须有足够强的安全措施,否则该网络将是个无用、进而危及国家安全的网络。
二、主动防御的产生
现如今网络安全环境急剧恶化,病毒、网络蠕虫、木马、恶意脚本、间谍软件等恶意代码数量呈现成倍迅猛增长的势头,黑客入侵事件的急速攀升,攻击有泛滥之势。在商业利益或政治利益的驱动下,恶意代码以及黑客攻击向多元化、混合化发展,谋取经济利益或政治利益成为主要目的,与以前相比,恶意代码特征更难发现,更难进行检测,黑客攻击越来越难定位,攻击能量越来越大,范围越来越广,尤其互联网的高速发展,黑客、木马、病毒技术更是日新月异,与此同时多年以来安全防御技术并没有实质性的变化,依靠传统的防火墙、入侵检测系统、杀毒软件的建立起来的安全防御体系已经跟不上安全形势的发展,暴露出被动防御、联动效应差,防御层面单一等诸多问题,在应对当前严峻的安全局势已显的力不从心,网络黑色产业链的兴起更加剧了攻击和防守双方的不对称局面。因此,必须依靠技术创新,探索新的安全防御技术,才能从根本上扭转一边倒的安全局势,近年来以行为分析技术为核心的主动防御思想,得到信息安全界的广泛关注,如何从本质上防御探讨和研究,建立差异化、纵深型、立体化的主动防御体系已经成为一种必然的趋势,成为解决海量未知恶意代码和黑客攻击的大形势下最直接有效的解决途径。
三、主动防御的发展
什么是主动防御?主动防御其核心是行为分析技术,主动防御作为具有突破性的反恶意代码反黑客威胁课题,从提出构想、理论研究、技术实现经历了几代的发展过程:
第一代的行为分析技术,采用单行为判定并提示操作的方式,适用性并不是很强。当它检测到一个潜在的恶意行为时,就会弹出提示窗口,提示用户是否允许或阻止该行为。在某些时候,某些合法程序的行为也会被提示为恶意行为,这会给很多不理解这些进程及其行为的用户带来困扰。
第二代,新一代的行为分析技术在第一代技术的基础上,做了很大的改进。它不会仅仅根据某个独立的潜在恶意行为就提示风险,而是依靠行为组合规则组成的行为分析库对程序执行行为的先后顺序进行分析,从而以更加成熟的方式来判断程序的行为是否有恶意,从而避免单行为检测的误判过高的问题,该技术大大提高了对恶意行为判断的准确率。但仍然以窗口提示的方式,寻求用户自行判断程序行为的合法性,用户操作难度依旧很大。
第三代,实现了智能行为分析技术,采用行为算法分析库,借助多维函数算法演算分析行为链组合进行整体判定,在行为逻辑判定处理上相比第二代技术有了突破性的改进,在辨识的准确性、安全防御的深度和广度以及可扩展能力上有了飞跃,使主动防御能更好整合其他安全技术于一体将安全防御扩展到系统的各个层面,形成了体系式主动防御的理念。体系式主动防御融合了可逆分析,可信任评估,安全加固,智能修复等安全技术,更从根本上将程序行为分析在监控、辨识、处理流程上实现了全智能化,无需弹框交由用户判断,体现了主动防御面向未来智能安全发展的方向。
从无到有,从提出到实现,主动防御历经三代技术的不断发展革新,带来了安全技术的革命,以行为分析技术为核心的主动防御系统的推出,正逐渐改变着当前的网络安全攻防格局。
四、体系式主动防御
体系式主动防御技术的成熟,相应的体系式主动防御系统也相继面市,建设差异化、纵深型、立体化的体系式主动防御体系,以应对当前安全形势显得迫在眉睫。体系式主动防御系统由三个核心模块组成,形成全局态势展示中心,构成统一立体主动防御监管平台。
■系统设备组
■系统安全管理中心
■系统客户端
通过分布在受保护目标主机群上的主动防御引擎,实时监控、辨识、处理构成的自动化防御链,主动防御主机遭受的各类已知和未知的恶意代码和黑客攻击,主动防御设备组作为全网络主动防御客户端运行的支撑平台,将负责对客户端主机威胁检查和处理事件数据采集、安全数据分析、安全数据存储,安全策略分发,客户端升级等事务进行循环控制处理,并上报主动防御管理中心,通过主动防御管理中心全网感知网络主机的安全态势,使整个信息安全的工作重点从被动防护转移到事前监测并有效识别已知和未知威胁,事中审计、威胁实时处理、攻击防御、取证和追踪,事后自动修复、加固增强和运维保障层面上来。将防御模式从相对机械、相对被动防护体系提升为能够自动检测辨别、自动防御取证、自动修复加固的新型智能的体系式主动防御体系。
体系式主动防御体系是建立在其具体的技术原理实现上,体系式主动防御技术有以下功能模块:
体系式主动防御系统功能主要包括体系式主动防御功能(监控及检测模块,辨识决策模块,处理模块)、主机安全管理中心功能以及体系式主动防御通信系统组成,在对恶意攻击的主动防御功能实现如下图
1、体系式主动防御功能
体系式主动防御系统能有效主动防御信息系统网络内服务器、主机、流量遭受的恶意代码入侵与木马黑客的攻击,使整个主机系统处于细粒度的安全防御之中。主要包括系统监控及检测模块,辨识决策模块,处理模块。
(1)系统监控及检测模块
体系式主动防御技术其原理是在程序代码访问操作系统的必经路径或攻击的系统资源目标上建立防线,即在操作系统的六大系统(通信系统、内核系统、服务系统、账号系统、应用系统、资源系统)都建立安全防御引擎,使操作系统处于细粒度的安全防御体系中。
同时体系式主动防御技术以操作系统的引导、内核、驱动、服务、应用、插件、网络组件、系统资源等系统运行的信任链和信任环境为检测对象,以恶意行为算法辨别策略为检测手段,具有快速、消耗资源低、动态检测的特点,具有对未知恶意代码精确辨别策略的优点。
在拦截文件系统的关键位置、内核系统、驱动系统、服务系统、应用系统、插件系统、网络系统等影响系统运行安全环境的敏感威胁操作上,对恶意代码具有强大的拦截能力。
(2)辨识决策模块
基于恶意代码行为算法库的主动防御引擎,对于恶意木马、恶意插件、恶意脚本、变种恶意代码、疑难恶意代码、复合型恶意代码、流氓软件、间谍软件等众多的未知恶意代码具有主动防御能力;其核心是恶意代码行为辨别决策算法库,库中辨别决策算法库应该能覆盖了绝大多数恶意行为,辨别未知恶意代码,未知恶意代码、未知威胁能力强大,在对付未知恶意代码方面具有主动捕杀能力,同时识别算法库可以支持升级,以获得最新的行为识别算法;防御引擎可以进行系统修复,对影响系统通信和运行的关键点具有强大修复能力。
(3)处理模块
根据辨识决策系统对恶意程序处理指令,处理模块能及时响应处理要求,隔离或直接粉碎恶意代码程序以及其衍生物,依据逆向分析结果,修复系统损伤。同时进行数据获取、数据分析,形成安全事件信息,取证安全事件判断依据以及电子证据,提交安全处理记录到管理中心。
覆盖于六大系统之上的监控及检测模块、决策辨识模块和处理模块之间具有联动响应机制。决策辨识模块和处理模块实时向监控及检测模块反馈辨识和处理情况,保证行为分析技术的实时性和精确度,实现全智能监控、辨识、处理流程,同时在核心监控、辨识、处理流程之上,体系式主动防御还融合了漏洞补丁、系统加固,智能修复,系统优化等技术,使得体系式主动防御系统为每台受保护主机建立起了一套覆盖全面、重点突出、持续运行的安全防御体系,能有效克服传统安全防御技术之不足,避免信息系统内主机群遭遇严重的安全问题。
2、主机安全管理中心功能
安全管理中心将威胁监控集中在一个安全中心统一审计评估,能提供主机安全威胁和安全评估,掌控信息系统全局主机安全防御态势和具体主机安全防御态势。体系式主动防御系统采用系统精确定位技术,通过安全管理中心平台上记录的系统攻击事件或风险事件,可以迅速发现位于什么位置的主机上,攻击目标是系统那一部分,攻击程序是谁,攻击是否成功等安全状况。精确定位技术将大大提高安全管理员的进一步有效处理突发安全事件的效率。
通过来自主机内核系统、帐号及认证系统、服务系统、通信系统、文件及资源系统、应用系统和第三方安全设备的安全数据流形成的安全数据链,在中心实现安全数据系统之间的数据信息交换和融合,最大限度地发挥安全防御系统效能的信息处理系统。它可以为有关信息安全管理人员提供有关的预警信息数据分析和完整的主机系统安全态势
总之,面对来自网络内外及不同层面的攻击和入侵,由于传统防御体系的缺点和常用网络安全技术与工具存在的局限性,为回应这些威胁,安全防御必须采用更新的防止恶意代码防御技术,更快速的回应可能爆发疫情的新威胁,体系式主动防御系统的建立,将主动防御海量已知、未知黑客、木马、间谍软件、病毒等对计算机的攻击,对未知、新型、变种等恶意代码进行智能辨识和深度处理,做到实时安全预警,应急响应,有效防止重大信息安全事件的产生,取证威胁攻击事件,为安全防御技术面向未来全局性、智能性、低耗性的发展提供的方向,将在网络安全体系中发挥越来越重要的地位和作用。
网络安全主动防御技术 篇2
作者网站:www.xyzreg.net
信息来源:邪恶八进制信息安全团队(forum.eviloctal.com)
这是今年我在XCON2007(安全焦点信息安全技术峰会)所演讲的议题,现在提供ppt资料下载
地址: www.xyzreg.net/down/xcon2007_xyzreg.rar
议题介绍:
主动防御技术已被杀毒软件、软件防火墙、HIPS等安全软件广泛采用,现有的后门木马、Rootkit等恶意软件面临严峻考验,
高级恶意软件技术新挑战――突破主动防御
,
网络安全主动防御技术 篇3
越来越多的企业正在利用云、移动和大数据环境,应对各种挑战并加速创新、增强灵活性,改进财务管理。然而,这些趋势也会带来严重的安全隐患。根据惠普主导的最新调查表明,一半以上的中国业务及技术高管认为,缺乏对云服务安全需求的认识令其担忧。而超过四分之三的受访者表示,如何保护和利用大数据也令人担忧。
这项调查结果表明:企业通过采取主动的信息安全保护措施,利用智能安全防御能力降低风险的需求在不断增长。企业在其安全防御方案中变得越来越主动,并更注重战略、管理及安全智能。93%的中国受访企业业务和技术高管表示,其所在企业的安全领导与其他首席级高管拥有同等的话语权,而在全球则有71%的受访者对此表示认同。此外,对安全智能的需求也在持续增加,在中国,85%的受访者指出,他们正在探索使用安全信息和事件管理(SIEM)措施,而在全球该比例为82%。
然而,研究同时表明,企业依然把过多精力投入到被动安全防御措施上,而非更重要的主动安全防御措施。例如,超过一半的受访者表示其花在被动安全防御措施上的时间和预算大于对主动防御措施的投资。在中国,约有一半(52%)的受访企业目前已部署信息风险管理战略,而在全球该比例则不到一半(45%)。在中国,55%的企业仍在手动整合信息风险管理报告,或者根本不衡量风险,这将会妨碍企业主动预测安全威胁的能力,而在全球该比例为53%。
惠普公司企业安全产品部北亚区总经理姚翔说,安全行业是一个被动行业,CIO愿意构建业务系统,缺不愿意主动投入安全,但在企业建设中,安全又是非常重要的部分。企业高管认为增加企业安全管理复杂性的关键IT趋势包括:移动性、大数据、身份管理、基于打印机的入侵。安全形势越来越复杂,攻击以多种形式、捆绑在一起出现,迫使企业反思传统防御策略。尽管技术创新不断涌现,威胁的复杂性、持续性和不可预测性仍在不断增加。为了应对这些复杂的威胁,企业必须采用主动、可持续的信息风险管理方法。惠普智能安全解决方案能够帮助客户对其安全环境进行评估,转型及管理,以对企业最重要的资产进行保护。
惠普公司推出的HP ArcSight Enterprise Secufity Manager(ESM)6.0c,是目前市场上最强大的可扩展安全监控与法规遵从解决方案,能够帮助客户以前所未有的速度发现网络威胁并进行修复。
姚翔解释说,云计算和移动数据等主要IT发展趋势已对网络活动的可控性和可视性产生了影响,并增加了潜在安全风险。缺乏可视性会妨碍企业防御网络威胁的能力,从而导致敏感数据丢失、服务中断并损害企业声誉。然而,传统的安全信息与事件管理(SIEM)系统缺乏在大量数据产生时发现真正安全威胁的能力。
HP ArcSight ESM 6.0c是首个包含HP Correlation Optimized Retention and Retrieval Engine(CORR-引擎)的软件解决方案,能够运用复杂的智能关联分析技术,以便更精确、迅速地识别IT基础设施的安全威胁。这些情报能帮助企业筛选异常信息、优先处理关键问题,并降低网络攻击造成的潜在危害。
基于主动防御的网络安全技术研究 篇4
随着互联网的普及应用, 给人们的工作和日常生活, 都带来了极大的便利, 但是在使用互联网的过程中, 网络上的病毒、木马、黑客等对网络安全造成了很大的威胁, 因此如何保证网络的安全, 一直是影响互联网发展的重要问题, 在传统的防火墙和杀毒软件的保护方式中, 采取被动的防御原则, 很难应对日新月异的网络安全形式。随着计算机技术的发展, 病毒和木马等能够造成的危害也越来越大, 软件的漏洞更加容易被黑客利用, 同时出现了很多新的攻击手段, 依靠传统的防火墙和杀毒软件, 很难全方位的保证网络安全, 在这种背景下, 出现了主动防御技术, 以此来提供网络的安全性。
1 网络安全的现状
在计算机发展的初期, 受到当时技术水平的限制, 还没有计算机病毒和木马的概念, 现在的很多学者认为, 最早的计算机病毒模型, 是当时的一些恶意软件, 如1969年的CookieMonster程序, 会让计算机停止所有工作, 只有在输入Cookie这个命令后, 计算机才能够恢复工作, 并不会对电脑的安全造成威胁。随着互联网的出现和发展, 电子邮件开始被越来越多的人使用, 这时出现了很多嵌入邮件的病毒, 如2000年的I loveyou病毒, 只要打开了这个邮件, 电脑就会受到感染, 据不完全的统计表明, 这款病毒造成了100亿美元左右的损失。现在病毒和木马的危害向多样化发展, 包括传播方式的多样化、攻击系统部位的多样化、造成安全种类的多样化, 现在病毒的传播可以通过电子邮件、聊天软件、网页浏览等多种形式, 使得计算机感染病毒, 而不同病毒对于电脑的危害也不同, 如有些病毒会窃取电脑中的资料, 而有些病毒具有很强的破坏性, 甚至损坏硬盘的分区文件, 直接导致计算机的瘫痪。
随着病毒和木马的危害越来越大, 人们采取了多种措施来确保网络的安全, 但是现有的安全措施, 很难对网络进行全方位的保护, 如韩国作为世界上软件产业比较发达的国家, 在2013年其政府网站受到了黑客攻击, 使其瘫痪时间超过了四个小时, 而美国的多家银行等金融机构, 也受到了黑客的攻击, 损失了海量的内部私密数据, 苹果、脸谱等科技业的领先者, 在去年也受到了黑客的攻击, 很多用户资料被窃取。这些政府网站、科技业的巨头, 采用的都是目前最先进的主动防御技术, 但是依然无法保证自身网络的安全, 对于普通用户来说, 个人的隐私更是无法保证, 依靠简单的防火墙和杀毒软件, 就想保护计算机中的资料, 显然不够现实, 因此必须研究新的网络防御技术。
2 常见的主动防御技术
2.1 蜜罐技术
蜜罐技术是主动防御技术中最重要的一种技术, 也是现在研究最多, 并开始在网络上应用的一种技术, 所谓蜜罐技术, 其实就是陷阱技术, 在原有主机的基础上, 设计一个虚拟的主机, 然后故意的暴露一些系统漏洞, 在主动引诱黑客的攻击, 而这个虚拟的主机中没有任何的私密资料, 只会浪费黑客攻击的时间。而在虚拟网络被攻击的过程中, 就可以收集到各种被攻击的数据, 以此来了解网络中存在的安全隐患, 这样就可以对自身的网络进行优化, 再次遇到类似的攻击时, 能够更好的应对, 由此可以看出, 蜜罐技术本身, 并不会增加网络的安全性, 不会对原有的网络不会产生任何的影响, 虚拟网络的暴露甚至会给原有主机带来一定的危险, 但是这种分析黑客行为的技术, 能够为其他防御技术提供重要的参考资料, 目前是一种无法被替代的主动防御技术。
蜜罐技术的发展时间较短, 但是人们在很久之前, 就开始利用蜜罐技术的理念, 如在对病毒和木马的追踪时, 经常需要欺骗黑客, 然后对黑客攻击主机的行为进行分析, 由于没有虚拟主机的引入, 因此这一时期都是真正的主机被攻击, 随着蜜罐技术使用的越来越多, 人们根据实际的安全需要, 开发了一些可以欺骗黑客的工具, 如DTK这样的欺骗工具包等。由于这样的蜜罐技术会对主机的安全带来威胁, 因此人们开始使用虚拟主机来让黑客进行攻击, 但是随着病毒和木马的发展, 黑客的鉴别能力越来越强, 这些虚拟主机容易被黑客识别出来, 现在的蜜罐技术都会搭建真实的主机, 然后加入强大的数据捕捉和控制工具, 并逐渐的将蜜罐技术纳入到密网技术中。
2.2 密网技术
密网技术是在传统蜜罐技术的基础, 形成的一种新的主动防御技术, 密网技术的出现, 可以使相关数据的收集更加精确, 由于具有很高的交互性, 使得虚拟出来的网络更加真实, 而且不再是单纯的一个主机, 密网系统包括了防火墙、入侵检测等模块, 可以更加详细的了解整个攻击过程, 从而对黑客的行为进行分析。密网通常是由多个蜜罐组成的, 如图1所示, 是简单的密网网络拓扑结构, 其中物理蜜罐和虚拟蜜罐都可以是多个, 在整个网络拓扑结构中, 网关处于中心的位置, 在实际的密网组建中, 可以采用网桥或路由网关, 但是由于网桥的隐蔽性更好, 因此使用的效果更好。网关最主要的作用, 就是可以隔离黑客的攻击, 如网关的eth0和eth1两个端口分别连接真正的网络和密网, 密网和真正的网可以组成一个局域网, 这时利用eth2接口连接管理网络, 就可以捕捉所有经过网关的数据。
对于密网技术来说, 数据的控制、捕捉和分析是三个核心内容, 数据控制主要就是为了让黑客攻击虚拟的蜜罐, 要想达到这个目的, 连接技术中网络入侵防止系统 (NIPS) 非常重要, 只有在数据控制完成的基础上, 才能够从防火墙日志、网络通信和系统活动中, 捕捉到黑客攻击行为相关的数据, 进而对数据进行分析。在防火墙日志的数据捕捉中, 可以利用rc.firewall脚本等来实现, 而网络通信中数据的捕捉, 可以利用标准的snort.conf配置文件来实现, 该文件可以将网络通信信息以tcpdump日志文件的形式记录下来, 系统活动的捕捉具有较大的难度, 尤其是现在的黑客都会采用SSH或3DES等通道, 而非传统的HTTP或FTP等, 使得相关的数据必须从系统自身获得, 在这种背景下, 人们推出了Sebek工具来记录系统的活动。
3 基于主动防御技术的网络安全模型分析
所有的网络安全防御技术, 都是建立在P2DR模型的基础上, P2DR就是指Policy (安全策略) 、Protection (防护) 、Detection (检测) 、Response (响应) , 而基于主动防御技术的网络安全模型, 检测就是入侵检测系统, 目前主要的检测方式有网络入侵检测、主机入侵检测和分布式入侵检测等, 利用这些检测系统, 可以完整的记录用户和系统的活动。目前使用较多的主动防御入侵检测系统, 大多都是利用Snort和Base系统, Snort作为一个开元的网络检测系统, 本来是针对Linux系统所设计的, 逐渐的开始支持Windows系统, 但是很多内容都是基于Linux平台的, 因此Linux系统的安全性要高于Windows系统。Snort和Base的入侵检测系统, 主要利用传感器、数据库和分析系统三个模块, 传感器主要利用winpcap这个公共的网络访问系统提供接口, Snort进行数据的筛选和记录, 这些数据可以直接存储到数据库中, 目前的Snort版本可以很好的支持MySQL、ODBC等多种常见的数据库, 记录的数据量较大, 尤其是重要的企业用户, 用户和系统的活动比较多, 如果采用人工的方式进行分析, 那么分析的效率很低, 因此都会使用Base来进行分析, 这样的入侵检测模型, 可以很好的收集、保存和分析系统的活动。
4 结语
主动防御技术的出现, 是网络发展的一种必然趋势, 近些年人们在密网技术的基础上, 会对网络的脆弱性进行评估, 或者在高额的悬赏上, 让黑客提供网络存在的安全问题, 以此来进行相关的优化, 这些都属于主动防御技术, 相信随着信息技术的发展, 会出现更多、更完善的主动防御模型。
参考文献
[1]黄家林, 张征帆.主动防御系统及应用研究[J].网络安全技术与应用.2007 (03) :48-51.
[2]应向荣.网络攻击新趋势下主动防御系统的重要性[J].计算机安全.2003 (07) :53-55.
[3]张超, 孙晓燕, 徐波.基于主动防御的网络病毒防治技术研究[J].网络安全技术与应用.2009 (01) :31-32.
[4]谭啸.浅谈如何建立主动防御技术的网络安全体系[J].电脑与电信.2009 (05) :52-53.
是否噱头主动防御过招木马 篇5
奇怪的“图片”
前段时间,笔者直接打开了QQ传过来的一幅图片。就此开始了QQ和网游账号被盗、摄像头被监控的噩梦……
在种种迹象表明自己被木马远程监控之后,笔者断开网络,对电脑进行了全面的安全检测和分析。分析证明图片是一个伪装极其高明的木马文件,捆绑木马后照样能显示正常的图片,而目木马文件作过了专门的免杀处理,用卡巴斯基、KV等多款杀软进行了检测,并未发现有病毒。对于这类免杀过的木马,真的只有依靠主动防御功能才能进行防范了。但是笔者在用安全工具“Wsyscheck”检测系统内核时,发现系统中的SSDT表全部被破坏!
运行wsyscheck,选择“内核检查/SSDT检查”选项页,在其中可看到系统SSDT表恢复成了默认值,也就是未装杀毒软件时的情况。而正常状态下,安装了瑞星杀毒软件2008或其它主动防御的杀毒软件之后,SSDT表中显示显示有红色标注的被修改的SSDT表信息(如图1)。
SSDT的全称是“system Services DescriptorTable”,中文翻译为“系统服务描述符表”。Windows系统中的SSDT表,是把应用层指令传输给系统内核的一个通道。所有杀毒软件的主动防御功能都是通过修改SSDT表,拦截程序对系统内核的更改,让木马病毒等无法正常的运行。
在Wsyscheck工具中,切换到“服务管理”选项页中,可以看到有一个名为“SteelKernel32”的服务非常可疑。查看该服务的描述信息,发现为“ByShell服务端,远程监控管理官方网站www.SteelKernel.com”,很明显这是一个木马服务。依据服务信息上网查询,才知道这原来就是大名鼎鼎的ByShell木马。
瑞星VS.Byshell
其实ByShell木马就是通过对当前系统的SSDT表进行破坏,使用系统原来的SSDT表覆盖现在的SSDT表,从而让瑞星2008的主动防御功能彻底失效的,而木马程序则可以正常进行远程监控。笔者为了求证木马能否成功突破瑞星2008主动防御,特意从网上下载了ByShell木马,使用默认的配置生成服务端,并进行了免杀处理。在一个全新的系统中安装瑞星2008并开启了主动防御功能,结果发现ByShell在运行时,主动防御功能没有发出任何提示。
ProSecurity VS. Byshell
网络安全主动防御技术 篇6
关键词:主动防御技术,网络安全,体系
1. 引言
近几年随着宽带技术的发展,网络已经慢慢的深入到人们的生活当中,互联网作为一个社会公共环境,所面对的安全威胁越来越严重。从“熊猫烧香”、“AV终结者”到年末的“酷狮子”、“机器狗”等各种病毒和木马,国内外众多知名杀毒软件瞬间被它解除武装。从网络安全管理角度来说,仅靠单纯的防御是不够的,还应在被动防护的同时,建立基于主动防御技术的网络安全防护体系。
2. 主动防御技术的概念
主动防御是近几年来网络安全领域新兴的一个概念,它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,笔者总结不同研究的观点,总结主动防御通常是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,对各种进程行为进行自动监视,自动分析程序动作之间的逻辑关系,综合应用操作系统安全规则和病毒识别规则知识,自动建立新的病毒行为模式,实现自动判定新病毒,因此有了通常所说的“主动防御”。主动防御将使网络安全防护进入一个全新的阶段,也被认为是未来网络安全防护技术的发展方向。
3. 主动防御技术的原理
主动防御技术首先会构造一个框架,并在其内填入一组预先定义好的规则,这些规则是根据反病毒工程师在分析了超过几十万的大量病毒(或者说恶意程序)的代码特征和行为特征后提炼总结出来的,因此具有很大的代表性和前瞻性。主动防御会使用这组规则对被扫描对象内的代码和运行的行为进行分析,以确定其是否含有恶意代码和具有恶意行为。当今的反病毒软件,主要使用两种方法来检测恶意代码(安全威胁):基于特征码的精确检测和主动防御。要判断一个主动防御技术的有效性以及它能否脱离基于特征码的扫描技术而独立承担反病毒任务,就需要理解主动防御技术所基于的理论。目前来看,各反病毒厂商采用的主动防御技术主要有:启发式分析技术、入侵防御系统技术、缓冲区溢出检测技术、基于策略的检测技术、警告系统和行为阻止技术。而总的来说,反病毒厂商使用最多的是启发式分析和行为阻止这两项技术。
4. 主动防御的技术体系
主动防御不仅仅是一种技术,而是由多种能够实现网络安全主动防御功能的技术所组成的一个技术体系,并且通过合理运用这些技术,把它们有机地结合起来,相互协调,相互补充,最终实现完备的网络安全保护。基于主动防御技术的网络安全体系框架见图1。
4.1 入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。主要包括:网络入侵取证技术、现场取证技术、磁盘恢复取证技术、数据还原取证技术、电子邮件调查取证技术及源代码取证技术等。可对黑客攻击行为起到一定的震慑作用,并且在必要时,可作为证据来寻求法律的保护。
4.2 网络陷阱技术
网络陷阱技术主要是网络安全防御者通过提供虚假信息,迫使攻击者浪费时间做无益的进攻,以减弱后续的攻击力量,同时还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施。主要包括:伪装技术、诱骗技术、引入技术、信息控制技术、攻击吸收与转移技术、自动反击技术、数据捕获技术及数据统计和分析技术等。网络陷阱由放置在网络中的多个陷阱机和一个远程管理控制台组成。其中,陷阱机是一个能够完成牵制和控制网络攻击的子系统。每个陷阱机就是一台欺骗主机,是一种专门设计的让人“攻陷“的网络或主机,一旦被入侵者攻破,陷阱机将对入侵过程进行记录和监视,自动记录入侵者的行为和使用的工具等信息。这些信息将被用于分析学习,并有可能作为证据起诉入侵者。从而,间接起到保护真实系统的作用,也为将要发生的攻击行为提供了预警功能。
4.3 入侵检测技术
在主动防御中,检测是预测的基础,是响应的前提条件,是在系统防护基础上对网络攻击和入侵的后验感知,检测技术起着承前启后的作用。入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间。必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。主要包括:数据收集技术、攻击检测技术、响应技术。而且,各种来源的大量泛滥的数据、系统消息等常常不能得到及时处理。入侵检测系统是用来检测网络系统中发生的攻击行为或异常行为的系统,用于及时发现攻击或异常行为并进行阻断、记录、报警等响应的安全防护工具。入侵检测系统可用于监控分析用户和系统的行为(通过采集系统和网络中的信息数据,并对其进行还原分析和过程回放)、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。但是现有IDS系统在技术上还不具备检测复杂、隐蔽的攻击行为的能力。
4.4 自动恢复技术
任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,它针对服务器上的关键文件和信息进行实时的一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。其性能的关键是资源占有量、正确性和实时性。主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。一般而言,自动恢复系统由备份端(保存被保护对象的备份)、监控端(对被保护对象进行一致性检查,一旦发现被保护对象被非法改动,就使用备份端的备份内容自动恢复)、远程控制和上传控制等几部分组成。其功能为:在灾难发生后能及时快速地完成系统恢复任务。它是对传统计算机安全概念、方法和工具的进一步拓展,使得系统具有在受到攻击时能够继续完成既定任务或系统被破坏后能自动、快速地进行恢复的能力。
5. 主动防御现状
近两年来,针对杀毒软件的病毒库更新永远滞后于病毒出现的缺陷,国内几大知名计算机反病毒软件公司相继推出“病毒主动防御”系统:瑞星2008版宣称其“智能主动防御”技术能阻止恶意程序执行,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。江民杀毒软件KV2008是全新研发推出的计算机反病毒与网络安全防护软件,号称是全球首家具有灾难恢复功能的智能主动防御杀毒软件。赛门铁克于其安全软件中加入其首个主动式防御技术,强调其新的主动式防御技术将减少使用者判断机会,并可更精细、仅局部封锁威胁等功能。此外,启明星辰、绿萌、金山毒霸等国内知名软件公司也纷纷使出看家本领,不断推出带有“主动防御”功能的系统及升级库,而国外的诺顿、Kaspersky、macafee、Websense等杀毒巨头亦已经开始向“主动防御”+“特征码技术”过渡了。
6. 小结
主动安全防御技术是一门新兴的计算机网络安全技术,尽管现在应用起来涉及到许多技术问题,但未来它必定是安全领域一种新的应用模式,我们相信,主动安全防御技术在计算机安全中的重要性将会越来越明显,主动安全防御技术系统的用户需求也将越来越迫切。
参考文献
[1]张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006.
医院计算机安全主动防御技术探讨 篇7
随着计算机和网络技术的高速发展, 分布式计算机网络系统的应用也越来越广泛, 日常生活中人们对网络的依附程度越来越大, 尤其是医院计算机管理过程中。正是由于计算机应用日益普及, 计算机受攻击的可能性也随之提高, 计算机安全的管理也越来越引起众多工程师和研究学者的关注。在这种情况下, 计算机网络安全预防就成为应用系统不可缺少的一个部分, 而且要引起整个社会的重视, 以提高计算机应用系统的安全保护。
2 医院计算机安全面临的问题
目前, 医院计算机网络安全管理是网络研究者的一项重要课题, 通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1) 医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁, 破坏操作系统和应用软件。尤其是在网络环境下, 病毒传播速度快, 辐射范围广, 更加难以彻底根除, 一旦病毒侵入计算机网络系统, 就会导致网络利用率大幅下降, 系统资源遭到严重破坏, 也可能造成网络系统整个瘫痪。
(2) 医院计算机网络应用程序漏洞。现今, 网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞, 并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3) 医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理, 才能确保网络安全。但是大部分的企业在管理方面都做得不够好, 根本不重视网络信息的安全保护, 也没有投入一定的物力、人力以及财力来加强网络安全的防护, 导致管理上存在漏洞。
3 构建计算机安全主动防御体系
3.1 网络管理
医院计算机网络安全主动防御模型中, 网络管理具有重要的作用, 其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术, 尤其是对网络技术的管理, 需要采取各种网络管理策略将网络安全防范技术集成在一起, 成为一个有机的防御系统, 提高网络的整体防御能力;对用户的管理可以与管理制度相互结合, 制定网络安全管理制度, 提高人们的网络安全意识, 培训正确的网络安全操作。增强网络安全人员的法律意识, 提高网络使用警觉性, 确保网络运行于一个正常的状态。
3.2 防御策略
医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低, 采取不同的网络安全策略, 其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略, 分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等, 确保网络安全达到最优化。
3.3 防御技术
目前, 医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术, 其同时能够合理地运用传统的防病毒、防黑客技术, 并其有机地结合起来, 相互补充, 在此基础上, 使用入侵预测技术和入侵响应技术, 主动式地发现网络存在的漏洞, 防患于未然。
4 网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略, 其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面, 本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面, 纵深型的防御体系架构能够将这几种技术融合起来, 形成一个多层的纵深保护体系。
(1) 网络预警。医院计算机网络预警可以根据经验知识, 预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞, 预知网络可能发生的攻击行为; 行为预警可以通过抓取网络黑客发生的各种网络攻击行为, 分析其特征, 预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击, 判断网络可能存在的攻击行为; 情报收集分析预警可以通过从网络获取的各种数据信息, 判断是否可能发生网络攻击。
(2) 网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网 (VPN) 、防病毒体系构建网络安全保护体系, 以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3) 网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义, 网络检测可以有效地发现网络攻击, 检测网络中是否存在非法的信息流, 检测本地网络是否存在漏洞, 以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4) 网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应, 及时保护系统, 将安全事故对系统造成的危害降到最低, 因此, 网络检测到攻击之后, 需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去, 同时要定位网络攻击源位置, 搜集网络攻击的行为数据或者特点, 便于后期防止类似事件发生。比如检测到网络攻击之后, 可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5) 恢复。及时地恢复医院计算机网络系统, 能够为用户提供正常的服务, 也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统, 必须做好系统备份工作, 常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6) 反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击, 迫使其停止攻击, 攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为, 网络反击必须是在遵循国家的法律法规, 不违反道德的范围内。
5 结束语
医院计算机网络安全防护是一项非常庞大的工程, 尤其是随着计算机技术的发展和进步, 网络安全防护是有机的、动态的, 涉及的内容非常广泛, 不但包括技术方面, 同时还涉及到使用网络的人员、管理机构等诸多内容。信息防护不存在绝对的安全, 将防火墙技术、杀毒软件技术和漏洞扫描等多种技术融合在一起, 全方位地多层次地组合, 建立一个有机的、动态更新的网络安全防护系统, 以构建网络安全保障体系, 确保网络信息传输的可靠性和安全性。
摘要:随着计算机网络技术的发展, 其在医院得到了广泛地应用, 尤其是随着大数据时代的到来, 医院计算机网络的使用有效地实现了患者信息、治疗案例等数据的联网管理, 已经成为医院信息化的重要组成部分, 但是医院计算机网络安全面临的问题日益突出。本文分析了医院计算机网络安全的相关因素, 阐述了计算机网络安全主动防御模型, 同时深入地分析了计算机网络安全主动防御技术的体系架构, 以便人们更好地使用计算机, 提升计算机使用的感知度。
关键词:计算机网络安全,主动防御,预警,监测
参考文献
[1]张渝, 李小琳, 王放, 陈霞.利用子网划分解决网络故障[J].重庆医学, 2007 (23) .
[2]闫如国, 李伯祥.疗养院信息系统安全保障机制探讨[J].中国数字医学, 2008 (12) .
[3]周文杰.医院信息网络系统安全[J].中国医疗设备, 2008 (02) .
[4]张真真, 曹芸静, 孙尚武.大型医院网络安全防护体系的架构[J].现代医院, 2008 (09) .
[5]杜洁, 孟海滨.局域网网络安全防御体系研究[J].华北国防医药, 2008 (03) .
网络安全主动防御技术 篇8
计算机安全理论界定义信息安全学科是一个跨学科、综合性较强的通信学科,本文对数学、物理、计算机、通信等安全信息学科长期积累的知识和许多新的研究开发成果进行自主创新研究,加强顶层设计,从而提出系统、集成和协作的解决方案。
安全协议的研究主要包括安全协议的安全分析方法、安全协议的设计和分析。目前,国内外已经提出了许多切实可行的协议,而代表的有电子商务协议、IPSec协议、TLS协议、简单网络管理协议、PGP协议、PEM协议S-HTTP、S/MIME协议。
电子商务协议、IPSec协议和TLS协议是理论与实务界当前研究的一个热点话题。根据相关计算机理论研究,网络信息安全是信息安全的重要研究内容之一,也是信息安全领域的一个研究热点。
网络信息安全解决方案是一个综合性的问题,涉及到很多内容,包括技术、产品和管理,目前国际上已经有很多网络信息安全解决方案和产品,但由于出口政策和自主性不能直接用于解决我国自身网络问题,因此,中国的网络信息安全只能借鉴这些先进的技术和产品,才能解决问题。
2 实时反病毒技术的应用研究
病毒防火墙实际上是从信息安全防火墙中扩展出来的,是近年来的一个新概念,目的是系统实现实时监控,系统数据的流入和流出可能包含病毒代码过滤器。这恰恰体现了实时杀毒的概念本质———解决了用户的“未知”病毒。
与传统的反病毒模型相比,病毒防火墙具有明显的优势。
首先,其过滤的病毒具有很好的实时性,一旦病毒侵入系统或从系统中的其他资源的感染,它会自动检测,可以去掉,这样可以最大可能地避免病毒的资源破坏。
其次,“病毒防火墙”可以有效地防止病毒从网络到本地计算机系统。而这恰恰是传统杀毒软件无法实现的,因为传统杀毒软件的智能化静态清除病毒是在网络上被感染的文件,用于实时通信的网络却不杀。
第三,“防火墙”双向过滤功能卡本地系统不给网络病毒传播病毒。虚拟机是一个系统,它支持多个操作系统在一个单一的物理服务器上运行,它可以提供更有效的底层硬件的使用。在虚拟机中,中央处理器芯片分为系统的另一部分,在“保护模式”环境下运行的操作系统和应用程序。
通过虚拟机仿真软件,可以模拟计算机中的多个虚拟计算机,虚拟机完全像一个真实的计算机,可以工作,比如安装操作系统、安装应用程序、访问网络资源等。虽然它只是一个在你的物理计算机上运行的应用程序,它是一个真正的计算机在虚拟机中运行的应用程序。因此,当评估软件在虚拟机中,系统可能会崩溃,但是,崩溃只是一个虚拟机操作系统,并不是一个物理的计算机操作系统,并使用虚拟机撤消功能,可以立即将虚拟机恢复到状态之前的软件安装。
在反病毒领域,为什么需要使用虚拟机技术?这些病毒在目标程序的干扰下会通过加密或变性的自我隐藏。只有这样才能摆脱大部分杀毒软件的功能识别,因为它们在静态特性上几乎是完全不一样的。通过对这些病毒的分析和研究,可以发现通过进行虚拟来恢复加密的甚至变形病毒程序,这样就可以恢复原始病毒的外观,这样就可以通过传统的识别条件。
在互联网的早期,病毒制造者的心态是由病毒的原始显示转化为病毒的利益。他们更愿意写一些更强大、更广泛的病毒传播,因此木马、后门、以及蠕虫病毒已经成为主流的病毒程序。病毒的存在从形态上看,病毒厂商更倾向于通过包装方式识别反病毒软件。
在互联网时代,病毒制造业分工越来越细化,分工与合作促进了互联网的病毒。互联网的病毒给反病毒产业带来了巨大的压力。病毒制造者倾向于使用一些代码来实现病毒的大规模生产。
为了应对这种病毒性的问题,目前国内反病毒产业,都是以行为监测分析为基础的主体推动此行为。但基于监控的行为分析是一种自然的缺陷,这是所有反病毒厂商都无法避免的问题。
3 主动防御反病毒技术研究
3.1 基于SSDT的病毒主动防御技术应用
本文中SSDT系统服务描述符表是一个将应用层指令到系统内核的通道。通过一个函数修改SSDT表地址,常用的Windows功能和过滤,API钩子和一些重要的系统行为监控、恶意程序不能运行,按照正常的,为了实现主动防御功能的。
钩子的意图是钩子,是一个窗口消息处理机制的平台,应用程序可以设置上面的子程序来监视某个消息的指定窗口,并监控串口可以由其他进程生成。当消息到达目标窗口处理函数处理前,勾机制允许应用程序来保证处理窗口消息或特定事件。钩子技术是一种用于改变应用程序的结果的技术,微软本身就是在窗口操作系统中使用的技术,如窗口兼容模式等。
3.2 基于行为分析的病毒主动防御技术应用
本文对目标行为的研究可以观察到,可以通过外部行为进行量化的性能,也能对行为的具体和清晰的描述行为进行有效的控制行为。
在信息安全领域,行为分析技术的原理是基于行为的程序功能,测试是否病毒,如果是异常行为,那么它可以被认定为病毒。比如早期未知木马判断是很粗糙的,但效果是非常明显的,它的核心思想是确定目录系统是系统使用它自己的目录,除了系统的任何其他程序不应该使用这个目录,如果有一个程序,使自己的副本,你会认为该程序是一个木马或病毒。传统的防范技术使得大量的计算机用户都面临这样一个问题:没有反病毒软件不能,用杀毒软件是不多的效果。
这种情况是由几个方面造成的。
第一,杀毒软件保护是静态的,传统的被动防御完全依赖于网络维护人员的设备手动配置来实现,因此它很难处理复杂的当前网络入侵事件。
第二,杀毒软件的防护能力是被动的,它采用的是防御技术只能被动地接受每一次攻击的入侵者,但不受入侵者的任何影响。主动防御技术应包括三个层次,即资源访问规则控制、资源访问扫描、程序活动行为分析引擎。其中,行为分析引擎技术是最重要的。在资源访问控制层,通过系统资源的规则控制,以防止病毒、木马和其他恶意程序使用这些资源。在资源访问层中,通过对一些资源的监控,如文件、引导区、邮件、脚本访问、内容扫描等,分析了恶意代码,传统的杀毒软件文件监控、邮件监控等都是此层。过程活动行为决策层是从前两层的过程动作和特征信息的自动采集,并对其进行处理和判断。
参考文献
[1]李丹,苏锋,滕曰.“信息安全概论”课程教学的改革与探索[J].价值工程,2015(34).
[2]董令超.以管理和教育的手段促进信息的安全[J].科技信息,2014(14)
网络安全主动防御技术 篇9
关键词:计算机安全,主动防御技术,医院,运用,分析
0 引言
近些年来,计算机安全主动防御技术在医院中的应用越来越广泛,极大地改变了医院的管理模式,但因为计算机被攻击机率较大,黑客和病毒入侵等都可能严重损坏到计算机程序,从而给医院数据资料的安全带来不良后果。所以,目前安全主动防御技术逐渐成为人们研究的重要课题,整个社会都十分注重计算机系统应用的安全预防工作。
1 计算机安全主动防御技术的概念
主动防御是近年来计算机网络安全领域中一个新型的概念,逐渐得到人们的重视。网络安全主动防御技术是指在对本地网络安全性提供保障的同时,及时找出正在进行网络攻击,对未知攻击进行预测与识别,并使用相应措施来使攻击者不能达到其目的所形成的一种防御技术。主动防御作为前摄性防御,通过实施一些防御措施,让攻击者无法完成对目标的攻击,或者是在无需人为被动响应的情况下让系统可以较好预防安全事件的发生。主动防御的产生让网络安全防护进入一个新兴阶段,也被认为是网络安全防护技术发展的新趋势。
2 计算机安全主动防御工作在医院中常见的问题
计算机安全管理工作作为医院至关重要的一项任务,如果医院内部保密资料与患者私密资料泄露出去,就会威胁到医院安全,给医院造成不良影响,从当前医院计算机安全防御工作来看,常见的问题主要包括以下几点:
2.1 计算机网络病毒的侵入
计算机病毒一直都是计算机系统安全中的主要安全隐患,对应用软件与操作系统造成巨大破坏。特别是在网络环境下,病毒辐射范围比较广泛,传播速度较快,如果病毒入侵到计算机系统中,就会降低网络运行的效率,严重破坏了系统资源和数据,甚至可能导致整个计算机系统瘫痪。
2.2 应用程序有漏洞
目前,通常使用的应用软件(搜狐、360以及百度等)与Windows系统软件都存在不同程度的技术漏洞,这些漏洞作为计算机安全运行的严重掣肘,许多“黑客”就利用各种技术漏洞来攻击系统薄弱部位,导致系统资源与数据丢失,给管理工作带来阻碍。
2.3 网络管理存在漏洞
只有严格管理网络上传输和存储数据信息,才是提升网络安全的重要方法之一。但是在数据管理方面大部分的医院做得不够好,忽视了网络信息的安全保护,投入的物力、人力和财力来增加网络安全保护力度不足,致使网络管理存在太多漏洞。
3 计算机安全主动防御体系的构建
3.1 网络管理
网络管理在医院计算机安全主动防御模型中具有关键作用,主要位于主动防御的重要层面。而安全管理制度、网络安全技术与用户作为网络安全管理的对象,特别是网络技术管理,需要制定相应管理方案将计算机安全主动防御技术进行有机结合,从而形成有效的防御体系,提升整个计算机安全防御能力;而用户管理和管理制度有机结合,采取计算机安全管理制度,提升用户网络安全意识,对网络安全操作的正确方法进行培训。加强计算机安全工作人员的法律意识,提升使用计算机网络警觉性,为计算机安全运行提供保障。
3.2 防御技术
现今,计算机安全主动防御在医院中的应用不仅是一种防御技术,它还可以有机结合过去的防黑客和防病毒技术,相互补充,在结合上述技术基础上利用入侵相应技术与入侵预测技术,从而主动找出计算机系统中潜在的安全漏洞,并采取有效措施来解决。
3.3 防御对策
计算机安全主动防御对策在医院中的应用是指依据网络安全需求、网络设备配置应用的高低和网络规模大小来制定相应的网络安全对策,防御对策是网络行为的准则。计算机安全主动防御对策是结合网络反击、网络预警、网络恢复、网络保护、网络阻止、网络检测以及网络响应等网络安全防御技术的对策,从而为网络安全提供有效的保障。
4 计算机安全主动防御系统在医院中的构架
计算机安全主动防御系统在医院中的构架是集成网络安全管理、预防技术和预防措施等方面的网络安全防御对策,具体内容分析如下:
4.1 网络预警系统
网络预警系统主要功能是依据以前经验,对计算机网络可能发生的攻击事件进行预测,并向网络管理人员发出预警信号。在预警系统中主要安装有攻击预警装备、漏洞预警装备和行为预警装备等,这些预警系统能够对系统网络安全进行自动检查,收集与安全有关的治疗,一旦受到病毒入侵,就会立即报备,从而方便管理人员制定相应措施加强预防。
4.2 网络保护系统
网络保护系统作为计算机安全中最基本能力,目前采用的防火墙干扰体系、操作系统安全保护和防火墙都是管理者依据网络安全保护体系需要来构建的,通过这些安全保护措施为医院计算机网络运行中数据可以机密、完整和安全的传输提供有利保障。例如,某医院使用一体化准入与终端安全管理平台,在计算机网络中安装一台AMC准入控制设备以及一套DSM桌面管理系统,整个过程利用Arp Access-list准入技术,合法设备通过客户端身份证验证之后进行正常入网操作,外来设备只有通过管理工作人员的审批后才可以连接医院网络,明确整个网络边界,分清入网流程,从而为网络数据传输与接收提供安全性。
4.3 网络检测系统
计算机网络自主检测系统是医院中主动防御系统的关键措施,对整个计算机网络系统起着重要作用,医院经过网络检测系统运行能够及时找出计算机网络中潜在的系统漏洞、攻击行为和非法信息传播等,若是发现这些漏洞就能够制定有效的措施进行应对。当前,计算机网络检测主要使用网络安全扫描技术、实时监控技术与网络入侵检测技术等进行检测。
4.4 网络响应系统
现今,许多医院都配备有响应系统,这些响应系统在网络运行过程中对发生的安全事件与攻击行为做出准确反应,让计算机系统管理工作人员根据这些问题制定有效解决措施对系统进行保护,尽可能降低安全事故给系统带来的损害。所以,网络检测到攻击事件后,能够使用防火墙与网络监控系统来防止网络攻击,同时对网络攻击源头进行定位,将网络攻击行为的特征与数据收集,防止以后有类似攻击事件发生。例如,某医院在计算机系统中根据入侵行为与可疑网络活动建立相应系统防护体系,支持丢弃数据包和丢弃回话等响应方式进行阻断,支持动态隔离对攻击源设置时间进行阻扰,并支持防火墙联动和控制台告警等为医院网络的安全提供保障。
4.5 网络恢复系统
网络恢复系统作为计算机重要的技术,是指当医院计算机系统被攻击后,网络系统能够按照具体情况进行自我恢复,为正常工作提供保障,从而有效地控制计算机攻击造成的损失,前期必须做好现场外备份、现场内备份以及冷热备份等常用备份工作。
4.6 网络反击系统
当医院的计算机网络被病毒入侵时不能只是一味进行防御,必要时还应进行反击,通过各种各样网络技术对攻击者进行反击,进而及时有效的迫使攻击者停止攻击行为。攻击手段主要有欺骗类攻击行为、阻塞类攻击行为、病毒类攻击行为、探测类攻击行为、控制类攻击行为以及漏洞类攻击行为等,需要注意的是,网络反击系统必须在不违反道德与相关法律制度上进行反击。
5 结束语
医院计算机安全主动防御系统是一项庞大工程,特别是随着计算机科学技术发展进步,网络安全防御工作的性质与设计内容更加广泛、动态,在以后医院管理工作中,要求制定有效的防御措施加强网络安全保护,建立一个安全有效的网络防御体系,为医院计算机网络安全运行提供保障。
参考文献
[1]王艳红.计算机安全主动防御技术在医院中的运用探讨[J].信息与电脑,2015.
[2]彭利华.医院计算机安全主动防御技术探讨[J].信息安全与技术,2014.
谁才是真正的主动防御 篇10
传统的杀毒方式严重滞后
大家知道,传统杀毒软件的主流技术还是使用多年的“特征码查杀”,它的基本流程用通俗的话来说就是查到病毒后再想应对办法,虽然这样可以使杀毒软件对新发现病毒的误报率降低,但是总给人一种亡羊补牢的感觉。而类似瑞星2008的“主动防御”技术,包括了资源访问控制(也就是常说的HIPS)、资源访问扫描、恶意行为分析引擎等多种技术,这样才可能完全从整体上防范和查杀新发现的未知病毒的入侵。
达不到三个境界不能叫主动防御
从技术角度上来说,真正的主动防御必须有这三个逻辑层次:
第一层是资源访问规则控制层,第二层是资源访问扫描层,第三层是智能化行为分析判断层,这三个层次在系统中依次起作用,如果缺少其中任意一层都不能作为真正的“主动防御”,目前即使在全世界的杀毒软件中,能做到这三层完全具备的厂商为数稀少。
对于第一层的资源访问控制层,传统的注册表监控、内存监控等就属于这个层次。
第二层的资源访问扫描层,传统的网页监控、文件监控、邮件监控等属于这个层次。
在第一层和第二层中,会让用户大量参与,通常会让用户感到麻烦和不解,瑞星2008加入危险行为判定引擎——根据程序的动作和行为智能判定未知病毒,只有具备这种智能的解决,主动防御才变得有意义,才是真正的主动防御。
网络安全主动防御技术 篇11
关键词:网络安全,主动防御,CVE,ACL,敏感数据,新型威胁
在现代远程开放教育环境下,校园网是学校信息化建设的基础设施,在师生的在线教学平台、答疑系统、课件点播、教务管理、日常行政管理和校内外信息沟通等方面发挥着举足轻重的作用。随着校园网应用的不断普及和深入,网络的安全问题也日益凸现,给网络教育带来极大的挑战和威胁。如何保障网络的正常运行、使网络免受黑客、病毒、恶意软件等攻击、保证重要数据的合法访问就显得尤为重要。因此,在校园网的建设和维护过程中,针对各种不同的安全威胁进行分析,采取措施加以防范解决,已成为校园网络管理和维护工作的重要部分。防火墙和其它反病毒类软件都是很好的安全产品,但是要让你的网络体系具有再高一级别的安全等级,还需要网络防御具有一定的主动性,应此使用相应的主动防御安全技术可以使处在经常变化中的校园网在各种安全威胁出现之前先行一步,有足够的防护措施来阻止非法入侵者的各种攻击尝试,使校园网处于优势地位。
1 传统的网络安全体系弱点分析
传统的网络安全体系都是属于被动型或者说是反应型安全措施,主要由防火墙、虚拟专用网(VPN)、VLAN、入侵检测系统(IDS)、数据加密和反病毒、反垃圾邮件、反间谍软件等组成,在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,由这类系统组成的传统网络安全防御方法是采用尽可能多的禁止策略来进行防御,但过多的禁止策略会降低系统的可用性和灵活性。
防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能主动识别入侵,另外防火墙并不能防御内部网络或绕过防火墙发起的攻击。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料;反病毒软件是与其自身的规则和病毒特征库密不可分的,是一种被动式的防御手段,而且面对黑客攻击和新型病毒反抗能力不强;入侵检测系统是一个受激反应系统,它是对被动策略的逻辑补偿,在入侵发生后才会有所动作,它对一些新型威胁的反应能力也会有滞后。以上基本的安全措施对网络来说非常重要,但存在不足,特别是在未知的、新型的攻击面前显得很脆弱,需要安全技术人员时刻保持警惕,但是事实上很少有学校有能力24小时不间断的派人守护网络。因而建立一种主动式的,动态的安全防御体系来弥补传统网络安全体系的不足是有必要的。
2 主动式安全防御体系的建立
主动防御(Pro-active Defense)[1]是近年来兴起的安全概念,也称为前摄性防御,最早由DAPRA于1994年在关于网络系统未来发展方向的研讨会中提出的。它是在传统安全技术上增加了内部网络攻击防范、漏洞检测、敏感数据保护作及灾难恢复、入侵取证、网络陷阱、防护监控和用户认证等前摄性防御措施,从而使网络系统能够在无人值守的情况下更好的预防安全事件和发生。
本文结合远程开放教育情况下我们校园网安全建设多年的实践,从建设原则、安全策略、CVE攻击防范、全局杀毒软件部署、访问控制列表配置、敏感数据保护、陷阱网络系统、无线网络安全、应对新型网络威胁及加强网络用户培训这些方面描述了校园网主动式安全防御的一些技术要点。
1)建设原则:简单化、高效率、易操作,主动式安全防御体系统是在传统网络安全的基础上的深入发展,如果在强调安全性方面加上过多的禁止手段或增加用户使用过程中的操作复杂度往往会导致用户反感和抵制,从而阻碍安全策略的实施。一个好的安全体系应该是让用户感觉不到它的存在、是一个高效率、自动化程度较高的系统,并且对普通用户来说是操作是比较简单的,特别像病毒库更新和操作系统漏洞修补等方面更应该考虑实施效率和易操作性,目前许多单位的终端用户都存在杀毒软件和系统更新速度太慢或用户没有养成按时升级的习惯而不能及时升级的现象,从而导致网内安全威胁增加。
2)安全策略:安全策略是网络安全体系的核心,它定义了网络安全需要达到的目标。校园网的安全策略是在网络建设一开始就需要根据风险分析结果制定的,要针对自身网络的实际情况,在网络管理的具体环节对各种安全措施进行取舍,在成本和效率之间达到平衡。安全方案在实施各阶段需要根据技术发展及实际情况的变化做出相应的调整。[2]
安全策略的实施需要强迫所有单位人员遵守这一规则,单位的全体人员包括领导在内,都必须按照这个策略来执行。基本的规则包括确保网络安全产品正常运行并结合具体问题强化配置、指导用户建立可靠的密码、指导实施业务连续计划(BCP)和灾难恢复计划(DRP)、之后检查和修补系统及软件漏洞,防止黑客利用这些漏洞攻击网络、开启无线网络的加密功能以增强网络的安全级别,最后还要做好各类应用软件的管理及用户培训。执行一个有效的安全策略也就意味着向主动性安全网络迈出了第一步。
3)CVE攻击防范:CVE的全称是Common Vulnerabilities and Exposures(公共漏洞和暴露),它从本质上说是操作系统或应用程序内部的漏洞,它可以被黑客或计算机病毒开发者利用,用来攻击网络、窃取信息,严重可以导致数据破坏和网络瘫痪。据E-Crime Survey(电子犯罪调查)显示,近年来90%以上的网络安全问题都是由于CVE引起的。[3]
一个学校也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客和病毒所采用的CVE攻击方法却显得无能为力。在对抗黑客入侵和新型病毒攻击的安全技术中,实时入侵检测和漏洞扫描评估(IDnA———Intrusion Detection and Assessment)的技术和产品已经开始占据越来越重要的位置。目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,因而使用漏洞管理系统来防止CVE带来的入侵则是整个主动式安全系统最重要的部分。
在实际安全设置中面对这些问题我们要做的主要工作就是确保安全漏洞的缺陷能被及时修复,它包括三个方面内容:
1)防火墙及IDS产品及时升级更新,这项工作主要由网络管理人员完成,因而管理人员需要经常学习安全新知识并能及时修正安全策略。
2)针对目前大多数单位使用的都是Windows操作系统,需要在全局范围内部署漏洞自动修复系统WSUS。WSUS(Windows Server Update Services)是微软免费提供的操作系统升级服务,通过在内部网络中配置WSUS服务器,所有Windows的更新都能集中下载到这个服务器中,内部网络中的客户机就可以通过WSUS服务器得到更新。升级操作系统补丁的时间可以缩短到几分钟,效果十分明显,且只要一台WSUS服务器就可保证全网络内操作系统的自动升级。这既节省了资源,又避免了资源浪费,并且提高了效率[4]。目前,WSUS支持微软的全部更新,包括ISA、OfficeXP、Office2003、SQL Server2000、MSDE 2000和Exchange Server2003,等等。更为重要的是,通过WSUS服务器可以有效果管理和查看全局范围内终端补丁的更新情况和状态,便于管理人员发现问题。WSUS由于支持Windows全系列的产品,并能提供自动化操作及全局管理等技术,目前已经被越来越多的企事业单位所重视,终端操作系统通过WSUS系统自动安装更新补丁,可以有效地避免计算机病毒和木马的入侵,有力地保障系统和网络的安全。
3)应用软件及其它安全漏洞的修复是终端用户需要关注的日常安全操作,在做好系统性安全工作之外,由于在用户电脑上有许多不同的应用软件和数据,这些软件和数据是计算机病毒和木马等发起攻击的主要载体,而WSUS并不能修复第三方软件的漏洞,比如近期FLASH和REAL PLAYER等几款常用软件都暴露了较高危险级别的安全漏洞,操作系统的安全与第三方软件有密切的关系。随着人们对操作系统漏洞关注程度日益增强,恶意软件作者正开始利用第三方软件中的安全漏洞和浏览器插件制造安全事件,需要选择合适的安全软件来对抗此类攻击,像360安全卫士这类安全软件可以对SQL、Exchange Server等专用服务器类软件之外的绝大多数软件提供漏洞修补功能,另外对软件厂商暂未发布的漏洞补丁也可以采取关闭部分危险DLL文件的应急措施来解决。个人电脑安全软件能对校园局域网内个人电脑的安全情况进行全面检测,发现潜在的安全危险并及时提供修复的方法,是局域网终端必需配置的项目。
及时修复CVE带来的安全隐患相当于给网络多加了一把锁,可以阻挡90%以上的网络攻击,是主动式安全网络的一个核心内容。
3 全局杀毒软件部署
网络安全和病毒之间的战斗是永远也不会停息的,作为普通用户而言,防病毒软件是防止病毒攻击的有效手段,但就目前情况而言,还没有一款杀毒软件可以号称天下第一,在杀毒软件选择的问题上就存在很大难度,另外,单机版杀毒软件在应用过程中还存在自身易被破坏、病毒库升级不方便、使系统效率降低、无法全局管理等问题,同时管理员无法有效的监控每个用户安全软件的状态,往往是造成破坏后管理人员才得知情况,只能被动应付。网络版杀毒软件面向整体网络,对于网络病毒是比较有效的,因而在全局范围部署网络版的杀毒软件可以提升安全级别。在选择网络版杀毒软件是除价格因素外主要还在考虑以下问题:
1)操作简单化:不管功能有多强大,网络杀毒软件的安装与配置一定要简单,务必做到傻瓜型,用户端在安装后基本上不需要任何日常操作,这样用户才能轻松的使用。
2)集成化管理:管理方面要尽可能的功能强大,网络管理员可以随时查看用户端状态,及时发现问题。客户端在全网范围内要强制安装,并且要设置卸载密码以防止病毒或木马将其关闭或破坏。
3)病毒库更新效率:病毒库永远是衡量杀毒软件好坏的主要因素之一,在网络版杀毒软件方面更要找那些病毒库更新频率高,拥有雄厚的技术基础的杀毒公司,同时客户端登录网络的同时就应该立即获得病毒库的自动更新。
4)对未知病毒防范能力:网络杀毒软件应该对未知病毒有一定的免疫及检测功能。
4 访问控制列表配置
在常规网络安全设置中,防火墙主要起到了网络地址转换,路由,端口映射(PAT),外部攻击防御,提供网络地址翻译(NAT),用户认证等功能,使局域网在一定程度上可以较好的防御从公共网络发起的攻击,但在开放模式下很多校园网本身还接入上级院校的VPN和一些办公专用网络,网络结构复杂,用户应用范围广,这些访问往往不经过防火墙而在内部网络进行,因而需要在内部网络设置访问列表来阻止未授权地址访问被保护的交换机端口,通过防火墙策略设置和交换机访问列表的联动来防御有针对性的攻击。
访问控制列表(Access Control List,ACL)是路由器或交换机接口的指令列表,用来控制端口进出的数据包,适用于所有的被路由协议,如IP、IPX、AppleTalk等,是一种主动防护技术。指令列表用来告诉路由器或交换机哪些数据包可以收、哪些数据包需要拒绝。它的主要任务是保证网络资源不被非法使用和访问,是保证网络安全重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
在我们的校园网安全方案中主要考虑了入网访问控制,在全省远程教育专用网VPN端口上配置省校视频会议及教务系统专用的几个IP允许访问我校局域网,其它IP则禁止访问,对局域网内的数据库服务器和数据备份服务器所连接的交换机端口也作同样设置。访问控制通过华为6506交换机实现,配置格式如下:
以上命令是配置允许的源IP地址或源地址段及目标地址或地址段规则,最后一条规则是禁止的源地址向目标地址的访问。在设置好访问列表规则后,再将规则作用到相应端口,使其在指定端口生效。配置如下:
在进行访问列表配置的同时需要注意以下几点:
1)ACL的执行过程:一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
2)在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。
3)进行ACL配置时,管理员必须对网络柘朴结构要熟悉,对配置作好文档管理,以便在网络结构或主机发生变动时能及时准确的对ACL做出调整。
5 敏感数据保护
远程开放教育校园网中敏感数据包括教学教务数据库、网站程序和数据、备份机和专用程序及数据等,这些数据也是黑客最感兴趣的东西。对这些数据的保护关系到教学机密数据和日常工作的正常开展,也是网络安全必须重点考虑的项目。
实践中比较有效的方法主要有以下几条:
1)建立专用服务器:在条件许可的情况下要尽可能的对一些重要服务建设专用服务器,并在服务器上开设尽能少的服务,因为最少的服务代表着最大的安全,比如象数据库服务器、备份服务器和WEB服务器。
2)对数据库服务器和备份机设置访问列表和强密码机制。
3)对源程序进行严格的版本管理:在局域网内架设VSS(visual source safe)+SAW(source any where)[5]文档管理服务器对各类源代码和管理文档进行管理是一种科学的软件项目管理手段,可以防止文档管理及程序修改发生的混乱。在安全性方面考虑,应该禁止直接在服务器端修改源程序,我们的方法是开发一个检验程序实时比较备份机与服务器前端的程序文件夹,备份机存放的是经VSS工具检出的受控源程序,当前端服务器被检目录中发生文件被修改或有文件增减问题时立即用备份机上的文件自动覆盖前端被改文件并删除新增文档,使用了这一即时恢复技术可以有效解决前端程序被黑客篡改问题,在对付通过eWebEditorNet[6]之类上传漏洞给WEB服务器挂码或修改网站源程序的黑客行为是比较有效的。
4)使用移动存储设备对重要文档进行异地存储,以便在系统软硬件设备损坏时能进行有效的数据灾难恢复。
6 陷阱网络系统
陷阱网络是一种专门设计来让黑客攻陷的网络或主机,陷阱网络在主动引入机制或诱骗机制的作用下,将黑客的入侵行为引入到一个可以控制的范围,消耗其时间,了解其使用的方法和技术,追踪其来源,记录其犯罪证据。陷阱网络系统可以适用于各种规格的网络,在网络防火墙、入侵检测系统等其他安全措施的配合下,能弥补原有安全防御的不足,提升网络安全性能。[7]
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。能检测攻击类型:ICMP(控制报文协议)、CGI(通用网关接口)、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等。目前国内的网络陷阱商业产品还是空白,我们使用的Spector是由NetSec公司开发的一种比较简单的业务类型陷阱,它运行于Windows平台。能提供7个完整的模拟服务,6个预设陷阱和1个可定制陷阱,可以检测来自13个预定义端口和1个自定义端口的攻击,具有自动捕获攻击者活动的能力,所有连接的IP地址、时间、服务类型和引擎的状态等信息都记录在远程主机上。
在陷阱技术中日志的保密性、真实性和完整性及可靠性的保障特别重要,在分析时要结合防火墙和IDS产品之间有机地结合并形成一个互补的联动整体,才能更有效地发挥防护功能。目前的网络陷阱技术更多的还处在研究阶段,操作中还需要结合管理人员的经验和知识水平来发现危险并对危险进行有效跟踪。
7 无线网络安全
对于校园网络来说,那些笔记本或其它移动终端是整个安全体系的一个薄弱环节,它们具有网络的接入权限,可以随时接入校园网。但是正因为它们具有移动特性,可以随着用户迁移到其它不安全的网络而受到攻击,当这些笔记本电脑再次回到学校的网络环境时,就成了最大的安全隐患,任何一个系统都有可能由于未经验证的用户的访问而被感染。
因而在开放了无线网络的校园网系统中无线网络加密(Wireless Encryption,WEP)应该处于开启状态,并应该设置为最高安全级别,而且管理者的用户名和密码需要经常及时更换。但是这些措施也并不能够完全防止黑客通过无线路由器入侵校园内部网络。因而加入校园网的无线设备也必需包含在校园网的整体安全策略之下,通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合你的安全策略,是否是经过认证的用户,是否有明显的系统漏洞等,同时需要为无线路由器打补丁,并开启其自带的防火墙功能。
8 加强用户培训应对新型网络威胁
随着技术的发展,网络的安全威胁的种类也越来越多,近年来出现的新型安全威胁有流氓软件泛滥、即时通讯工具的安全威胁、通过移动存储设备传播的病毒和木马、P2P文件传输威胁和ARP木马欺骗攻击、信息垃圾、商业化病毒木马和恶意代码等[8]。这些新型威胁具有变种多、攻击手段隐蔽、清除困难、不可预测性等特点,给网络安全带来了巨大挑战。主动性安全防御体系的一个重要目的就是防范这类威胁,在破坏性后果发生后能及时快速的进行灾难恢复。
对于局域网内普通用户而言,信息化水平有很大的差异,不能要求每个人都能达到较专业的个人电脑安全操作水平,但每个局域网用户都是网络安全体系不可或缺的组成部分,因而对其进行相应的培训和指导也是提高网络安全性的必要措施,培训的主要目的是防范新型网络威胁造成的损失,提高用户的安全意识。培训的主要内容包括:
1)整个网络安全体系的说明,明确用户在网络中的权限和客户端强制安装安全软件的作用,使安全策略得以实施。
2)如何通过安全软件对个人电脑进行定期的全面安全检测,对发现在常规问题能够独立解决,比如通过360安全卫士进行全面检测、注意更新软件和系统的补丁,清除木马和恶评插件和流氓软件等常规操作,使网内个人电脑处于一个健康的状态。
3)指导用户进行磁盘文件整理,识别并备份重要文件,管理好下载的文档,做好移动存储设备的管理,经常性清除过期文档和垃圾文档,在系统正常运行的情况下做好系统备份。这些措施可以提高故障恢复的效率和成功率。
4)如何做好即时通讯软件的管理,特别是接收好友发送的文件前要先做询问,不要轻易打开不明链接,对下载的软件或数据要使用升级后的杀毒软件进行扫描。
5)合理使用P2P技术,防止网络资源滥用,注意更新软件版本和补丁,用杀毒软件扫描下载的文档等。
6)开设局域网内信息发布渠道,管理员及时发布新型安全威胁及应对方法,在第一时间通知用户做出相应防范。
9 小结
一个具有主动性的网络安全模型是以一个良好的安全策略为起点的,通过有效的管理使策略得以有效的实施,并在新型威胁到来时能在第一时间更新安全策略。本文所述的工作主要特色之处在于实际应用关于CVE攻击预防、全网安全状态监控和敏感数据保护等方面的研究成果,另外还从安全网络原则、安全防护产品部署这些方面描述了主动式网络安全防御技术,从我校多年的网络安全管理工作来看这些方法是行之有效的,在这种安全体系动作情况下,系统和应用软件暴露的漏洞可以在最快的时间内得到修复,从而使得攻击系统的病毒与木马大大减少,反病毒程序和IDS系统更少有机会被激活,数据库和WEB应用源程序等敏感数据被篡改的机率大大降低,管理员处理故障的效率也大大提高了。
当然,真正的安全是一种意识,而不仅仅是技术,主动式安全网络体系的建立是一个动态的过程,是多种安全技术互动的立体防线,当网络发生变化或出现新的威胁时,安全体系必须能及时作出响应。安全技术涉及的内容很多,本文仅总结了自身工作中遇到的几项技术要点,在我校的实际应用中取得了较好的效果。
参考文献
[1]Tennenhouse.A survey of Active Network Research[J].IEEE Communications,1997;1:80-86.
[2]郝桂英,赵敬梅.一种基于主动防御网络安全模型的设计与实现[J].微计算机信息.2006(22).88-89.
[3]Common Vulnerability and Exposures[EB/OL].http://cve.mitre.org.
[4]局域网内WSUS服务器的安装与使用经验[EB/OL].http://netsecurity.51cto.com/art/200611/35373.htm.
[5]吴培星,魏刚强.用VSS和SAW构建集中文档配置管理[J].中国金融电脑,2008(2).
[6]苗子墨.手机“黑”了无线局域网[J].电脑报,2008(41):16.
[7]王利林,许榕生.基于主动防御的陷阱网络系统[J].计算机工程与应用,2002(17):177-179.
【网络安全主动防御技术】推荐阅读:
网络安全防御08-28
网络信息安全与防御09-27
网络信息的安全和防御05-24
计算机防御网络安全10-22
计算机网络安全与防御07-17
主动网络技术05-21
主动式网络安全监控06-21
汽车主动安全技术05-10
车辆主动安全技术09-25
现代汽车主动安全技术08-20