隨著網絡發展,網絡安全一直成為我們的一塊心病。雖然我們已經建立一套具備報警、預警、分析、審計、監測等全面功能的網絡安全系統,在技術角度上已經實現了巨大進步,也為政府和企業在構建網絡安全體系方面提供了更加多樣化的選擇;但是,網絡面臨的威脅卻并未隨著技術的進步而有所抑制,反而使矛盾更加突出,從層出不窮的網絡犯罪到日益猖獗的黑客攻擊,似乎網絡世界正面臨著前所未有的挑戰。網絡安全問題的日益突出,促使網絡安全企業不斷采用最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,也進一步促進了網絡安全技術的發展。
在剛剛閉幕的新安全威脅的年會上,并發布了年度攻擊預測報告:未來一年電腦領域將出現更多的惡意軟件、僵尸網絡、對VOIP系統的攻擊、電腦戰。可見網絡安全令人擔憂,網絡發展到今天,分分秒秒都有可能你的計算機受到攻擊或竊取。我們只有在遠離網絡攻擊、打擊計算機領域犯罪方面,無論是互聯網個人用戶,還是商務企業、政府以及科技廠商,應聯合起來共同應對。
網絡安全的現狀
我們知道以前的黑客攻擊和犯罪的目的性不很明確,他們大多出于好奇、出風頭的目的。而現在多是有組織、有目的的經濟犯罪,給我們防范帶來很大難度,有些時候我們稍微不注意,就有可能遭受到網絡安全的威脅。就在上個月,賊人竊取了薩科齊的賬戶號,并在戶頭內提取了一些款項,但總統府稱,被盜去的只是一個小數目,薩科齊已經向銀行方面作出投訴,但當地報章指,竊匪可以逃過追捕,相信不是等閑之輩。
連國家領導人的網銀都能被盜,我們普通的老百姓更不必說。
面對網絡安全的現狀,互聯網用戶在使用網絡時應該懂得一些社交網站攻擊知識,犯罪分子都非常聰明,但他們的行徑越來越惡劣。我們知道如果個人用戶及商務企業更改他們的密碼口令模式,如果硬件廠商所提供的筆記本電腦采取了多層數據保護措施,打擊計算機犯罪的進程將取得明顯進展,要在日常工作中做到這些并非易事.
面對當前及將來網絡安全,該如何著手?
單純依靠網絡安全技術的革新,不可能完全解決網絡安全的隱患,如果想從根本上克服網絡安全問題,我們需要首先分析距真正意義上的網絡安全到底存在哪些?應該從管理和技術兩個方面改觀網絡安全著手,是現階段解決好網絡安全問題的需要,也是今后網絡安全發展的必然趨勢。
從管理面上而言,就要從人、組織和政策上面著手。假如說你的工具跟管理配合的很好,即使非常流行的病毒來了你也不會中毒,也不會感染病毒,這是我理想中的構架。但是理想中包括人、政策、組織,還有很多改進的空間,這是我們要努力的目標。
一、結合實際,合理規劃。每個系統都有它的薄弱環節。正是這些環節使系統許多資源閑置甚至浪費,發揮不了應有的作用。我們知道黑客的攻擊點就是系統中最薄弱的環節。單個系統考慮安全問題并不能真正有效的保證安全,需要從整體IT體系層次建立網絡安全架構,合理規劃,全面防護,讓系統中最薄弱的環節發揮應有的作用。
二、集中管理,重點防護。為了應對網絡中存在的多元、多層次的安全威脅,必須首先構建一個完備的安全分析模型,在模型架構下層層設防、步步為營,才能夠將安全問題各個擊破,實現全網安全。統籌設計安全總體架構,建立規范、有序的安全管理流程,集中管理各系統的安全問題,避免安全“孤島”和安全“短板”。
三、強化員工上網行為管理,確保互聯網資源的合理使用。并不是強制性的管理模式,而是根據企業的需要,結合員工的具體要求來實施的行為管理。只有制定完整的規章制度、行為準則并和安全技術手段合理結合,網絡系統的安全才會有最大的保障。避免人為的網絡安全隱患,提升互聯網使用率,已經不僅僅局限于網絡安全管理,它已經觸及企業管理與發展的范疇。
從技術層面上而言,安全問題無處不在,單一的防病毒軟件、區域防御系統已經不能滿足企業網的需要,為了應對網絡中存在的多元、多層次的安全威脅,必須首先構建一個完備的安全分析模型,在模型架構下層層設防、步步為營,才能夠將安全問題各個擊破,實現全網安全。
安全體系架構:由以太網交換機、路由器、UTM、流量整形與行為審計系統、接入認證與強制管理(DCSM)平臺等多種網絡設備做技術支撐。從可信終端準入、資產管理、訪問控制、入侵防御、遠程訪問、行為審計、全局安全管理等多方面,構成完善的防護體系,從而實現“可信、可控、可取證”的全網安全。其中以太網交換機、路由器、UTM、流量整形與行為審計系統作為部署在網絡各個層面的組件,DCSM作為全網調度和策略分發的決策核心,通過安全聯動,從內外兩個安全域,三個維度構建自適應安全網絡。用戶接入需要通過以下三個方面:
一、安全可信: 終端的身份認證通過以后,DCSM還會檢測終端的主機完整性和安全狀態,判斷終端是否“安全可信”。當達到安全可信標準之后,才會根據用戶身份下發管理策略和訪問權限,使該用戶能正常使用網絡。
二、行為可控: 在用戶接入端點,安全客戶端整合了主機IDS和主機防火墻模塊,將根據管理員定義的策略,實時監控用戶的上網行為,如果不符合企業的網絡管理制度,DCSM可以通過發送告警消息給用戶,或者通過主機防火墻阻斷用戶訪問,甚至可以通過接入交換機將終端強制下線。 在網絡各安全域內部,網絡IDS也會實時監測通信狀態,一旦發現來自內網/外網的攻擊,就會通知DCSM,聯動相關的網絡設備,阻斷攻擊源。 除了實現傳統的防火墻功能,UTM還將自動過濾已知的病毒代碼、垃圾郵件等內容。通過使用UTM的高層協議識別或DCFS的流量整形功能,還可實現對P2P等應用的識別和阻斷,保障帶寬資源合理使用。
三、行為可取證: DCSM能夠自動生成大量圖文并茂的日志文件,便于管理員查詢各種安全事件,對違反安全制度的網絡行為,做到有據可循,并且進一步調整相應的安全措施和策略。
兩者有機結合,網絡更有保障
網絡安全的任何一項工作,都必須在網絡安全組織、網絡安全策略、網絡安全技術、網絡安全運行體系的綜合作用下才能取得成效。首先必須有具體的人和組織來承擔安全工作,并且賦予組織相應的責權;其次必須有相應的安全策略來指導和規范安全工作的開展,明確應該做什么,不應該做什么,按什么流程和方法來做;再次若有了安全組織、安全目標和安全策略后,需要選擇合適的安全技術方案來滿足安全目標;最后在確定了安全組織、安全策略、安全技術后,必須通過規范的運作過程來實施安全工作,將安全組織、安全策略和安全技術有機地結合起來,形成一個相互推動、相互聯系地整體,通過實際的工程運作和動態的運營維護,最終實現安全工作的目標。
