论文部分内容阅读
各个组织在网络安全建设上投资不小,但这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来,网络内部安全必然疏于防范,信息暴露于内部人面前。假如这些信息有可利用的价值,就可能被内部人员截获并获取非法利益,而一旦泄密事故出现,不仅损失惨重,还很难追查到泄密人员。
内部网络常见的安全事件
内部安全涉及以下几方面:内部网络被病毒攻击或黑客攻击、内部数据被非法搜集或保密数据被非法拷贝、内部网络被非法侵入、内部网络被非认证计算机接入。
下面列举了日常的内部安全事件:1. 由于病毒或木马等恶意程序使内部计算机成为肉鸡,以肉鸡为跳板进行网络攻击或非法的数据收集;2. 网络接入控制不严,攻击者可使用笔记本电脑或专用分析设备接入内部网络进行非法数据收集或网络攻击;3. 内部人员使用私有计算机而此类计算机有病毒或其他恶意数据搜集软件;4. 无线设备的私搭乱建,造成内部网络被非法延伸,可造成非法终端接入内部网络,而且入侵者不用进入企业内部,在企业大楼附近就可以进行非法入侵;5. 内部员工无意或有意使用一些攻击软件,造成内部网络瘫痪或数据丢失;6. 企业内部技术人员由于日常维护中无意或有意出现一些配置错误,造成网络安全级别下降或者网络出现漏洞;7. 内部用户通过邮件或者其他通信软件无意或有意泄露内部数据;8. 管理员密码过于简单,容易被破解或者管理员无意泄露造成网络安全隐患。
由于接入层设备的物理控制的级别不够,还容易造成下列隐患:1. 接入层设备的console接入;2.使用监听软件非法搜集用户数据而不被用户察觉;3.可以更改任意计算机的接入配置,可非法接入任意计算机;4.在有些情况下,可使用一些技术手段通过网络接入设备造成整个网络的瘫痪,比如环路造成的广播风暴。
内部网络安全的解决方式
如何有效避免上述内部安全事件,应该从多个层面入手。
1.建立完善的网络防毒系统,随时监控。
防毒系统应该有两个层面:一个层面为终端防毒系统,推荐使用网络防毒系统,这样可以把各个终端的杀毒情况汇总分析,有利于网络管理人员全面掌握内部网络病毒爆发情况。另一个层面为网络边界防毒(防毒墙)。防毒墙可以在网络边界上防止病毒进入内部网络,避免用户登录恶意网站造成的病毒传播。内部防毒系统的杀毒引擎不应与防毒墙的杀毒引擎相同。
2. 网络接入问题的几种解决方法
计算机MAC地址绑定技术。MAC地址绑定技术实现简单,一般的交换机都支持。但是MAC地址绑定在内部用户频繁更改计算机接入位置时会造成维护工作量较大,而且用户可以通过软件更改计算机的MAC地址来避免此类限制。
思科动态VLAN技术。动态VLAN根据终端用户的MAC地址,决定属于哪一个VLAN,确认是否有权限访问网络。但是动态VLAN技术也存在用户更改MAC地址的问题,而且对动态VLAN技术的支持也只限于思科系列交换机。
网络准入控制系统。借助NAC,客户可以只允许合法的、值得信任的端点设备接入网络,而不允许其它设备接入。NAC使网络管理员在有线、无线和远程用户及其机器接入网络前,能对它们进行验证、授权、评估和修复。
3. 防止私自搭建无线设备
随着技术的发展,无线接入设备越来越便宜,而且配置越来越简单,非技术人员也可根据设备说明书搭建无线网络。私自搭建的无线设备把内部网络延伸了,对于内部网络来说是非常危险的。
对于私自搭建的无线设备,应采用下列方式排查:专业的无线监测搜索设备,但这类设备价格昂贵,不推荐购买;使用全向无线天线配合软件来监测无线设备的距离和方向,这样也可以定位无线设备,但不是很方便,而且测量精度不高;使用网络分析设备来抓取数据包,搜索通用无线设备的MAC地址段,通过MAC地址来定位非法的无线设备,缺点是不易统计出所有无线设备的MAC地址段,而且无线设备的MAC地址也可以通过技术手段来更改;建立网络准入控制系统,这样可以避免网络被延伸后,非法无线计算机的接入。
4. 建立多层次的网络防御系统
内部网络也应该分为多个安全区域,不同安全区域的安全级别不同,一般来说可以有如下安全区域。
核心区: 包括数据库服务器、存储系统,以及核心的数据服务器。只对相应的服务器提供服务,不针对普通用户提供服务。此区安全级别最高。
内部服务区域:提供内部访问服务的服务器放置区域。只对内部用户提供服务,不对外提供服务。此区安全级别较高。
设备管理区域:硬件设备以及服务器的管理区域。此区安全级别高。
办公区域:内部网络普通用户的个人计算机区域,提供相关的上网服务。此区安全级别较高。
VIP区域:特殊用户的个人计算机区域,提供优质的上网服务以及设备调试权限。此区安全级别高。
外部接入区域:提供本部大楼以外的区域网络接入。此区安全级别一般。
存储区域:连接存储用局域网,与大楼网络隔离。
每个安全区域之间应该有防火墙进行安全防护,根据实际情况还可在各个安全区域之间部署IPS以及协议分析设备。这样在内部也建立起一套完善立体的安全防护系统。多个区域部署防火墙对于网络拓扑的复杂性和资金要求都较高,为了避免网络连接过于复杂以及达到节省资金的目的,可以使用虚拟防火墙技术。
5. 对技术人员的配置进行审计
审计系统包括两个方面。
用户上网审计:这类审计也称作上网行为审计,对网内用户的上网操作进行记录,可以查看用户是否访问非法网站,是否通过邮件传输了保密信息;还可以对一些关键字符进行过滤,对一些敏感信息进行屏蔽。这类审计产品市场上很多,功能大同小异。
技术人员的操作审计:由于现有系统多种多样,传统的审计系统对一些图形操作无能为力。我们可以使用新类型的审计系统。
此类审计系统目标是为组织IT系统核心服务器的运维操作提供强有力的监控、记录手段,使其切实满足内控管理中的合规性要求。审计系统可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作记录、审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的记录、审计,并支持操作过程的全程回放。此类审计系统弥补了传统审计、记录系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能拥有运维权限。
部署了这两类审计系统后,彻底实现了安全审计中关心的“什么人、什么时间、做了什么”的目标,既可以审计用户的上网行为,又可以审计技术人员的操作流程,完全可以满足目前IT运维操作审计的需求。
5. 接入层设备的物理安全
应专屋专用,严格控制出入人员。应有视频监控系统。接入层设备的console必须设置安全级别高的密码。严格监控接入设备的每次重启,防止被非法重置密码。对生成树以及组播等进行合理的配置。
6. 建立完善的身份认证系统
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。网络世界中一切信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是解决这个问题的。作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
常用的身份认证方式有:静态密码、IC卡、短信密码、动态口令牌、USB KEY、生物识别技术等。静态密码设置简单,最容易被破解;IC卡、USB KEY的方式存在丢失后被非法侵入的问题;生物识别技术存在投入过高、使用不方便等问题。建议使用动态口令牌 密码认证的双因素认证系统,理论上不可被破解,又可防止丢失后的密码泄露的问题。
动态口令牌是目前最为安全的身份认证方式。动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,终端每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
结语
其實在信息社会,信息就是价值,信息就是生产力。随着计算机技术的发展,人们获取信息的速度日益加快,这也给犯罪分子提供了便利,通过一个U盘或通过非法接入内部网络一分钟的时间就可以拷走上百兆字节的资料,而这些资料可能价值不菲,因此说一分钟损失几千万、上亿元绝对不是危言耸听。在许多的网络安全事件中,网络内部发起的事件往往造成更加严重的后果,我们在安全建设上“重防外,轻防内”无疑会给自己留下安全隐患。
根据应用的不同划分不同区域,把各个区域当成独自的网络,即把内部网络划分成多个小型网络;每个网络区域之间安装防火墙、入侵检测、协议分析等设备;同时,完善终端接入控制、审计系统、认证系统、接入层设备的物理位置的安全防护等方面。这样,我们就可以建立起多层次全方位的内部安全体系,让内部网络更加安全。
内部网络常见的安全事件
内部安全涉及以下几方面:内部网络被病毒攻击或黑客攻击、内部数据被非法搜集或保密数据被非法拷贝、内部网络被非法侵入、内部网络被非认证计算机接入。
下面列举了日常的内部安全事件:1. 由于病毒或木马等恶意程序使内部计算机成为肉鸡,以肉鸡为跳板进行网络攻击或非法的数据收集;2. 网络接入控制不严,攻击者可使用笔记本电脑或专用分析设备接入内部网络进行非法数据收集或网络攻击;3. 内部人员使用私有计算机而此类计算机有病毒或其他恶意数据搜集软件;4. 无线设备的私搭乱建,造成内部网络被非法延伸,可造成非法终端接入内部网络,而且入侵者不用进入企业内部,在企业大楼附近就可以进行非法入侵;5. 内部员工无意或有意使用一些攻击软件,造成内部网络瘫痪或数据丢失;6. 企业内部技术人员由于日常维护中无意或有意出现一些配置错误,造成网络安全级别下降或者网络出现漏洞;7. 内部用户通过邮件或者其他通信软件无意或有意泄露内部数据;8. 管理员密码过于简单,容易被破解或者管理员无意泄露造成网络安全隐患。
由于接入层设备的物理控制的级别不够,还容易造成下列隐患:1. 接入层设备的console接入;2.使用监听软件非法搜集用户数据而不被用户察觉;3.可以更改任意计算机的接入配置,可非法接入任意计算机;4.在有些情况下,可使用一些技术手段通过网络接入设备造成整个网络的瘫痪,比如环路造成的广播风暴。
内部网络安全的解决方式
如何有效避免上述内部安全事件,应该从多个层面入手。
1.建立完善的网络防毒系统,随时监控。
防毒系统应该有两个层面:一个层面为终端防毒系统,推荐使用网络防毒系统,这样可以把各个终端的杀毒情况汇总分析,有利于网络管理人员全面掌握内部网络病毒爆发情况。另一个层面为网络边界防毒(防毒墙)。防毒墙可以在网络边界上防止病毒进入内部网络,避免用户登录恶意网站造成的病毒传播。内部防毒系统的杀毒引擎不应与防毒墙的杀毒引擎相同。
2. 网络接入问题的几种解决方法
计算机MAC地址绑定技术。MAC地址绑定技术实现简单,一般的交换机都支持。但是MAC地址绑定在内部用户频繁更改计算机接入位置时会造成维护工作量较大,而且用户可以通过软件更改计算机的MAC地址来避免此类限制。
思科动态VLAN技术。动态VLAN根据终端用户的MAC地址,决定属于哪一个VLAN,确认是否有权限访问网络。但是动态VLAN技术也存在用户更改MAC地址的问题,而且对动态VLAN技术的支持也只限于思科系列交换机。
网络准入控制系统。借助NAC,客户可以只允许合法的、值得信任的端点设备接入网络,而不允许其它设备接入。NAC使网络管理员在有线、无线和远程用户及其机器接入网络前,能对它们进行验证、授权、评估和修复。
3. 防止私自搭建无线设备
随着技术的发展,无线接入设备越来越便宜,而且配置越来越简单,非技术人员也可根据设备说明书搭建无线网络。私自搭建的无线设备把内部网络延伸了,对于内部网络来说是非常危险的。
对于私自搭建的无线设备,应采用下列方式排查:专业的无线监测搜索设备,但这类设备价格昂贵,不推荐购买;使用全向无线天线配合软件来监测无线设备的距离和方向,这样也可以定位无线设备,但不是很方便,而且测量精度不高;使用网络分析设备来抓取数据包,搜索通用无线设备的MAC地址段,通过MAC地址来定位非法的无线设备,缺点是不易统计出所有无线设备的MAC地址段,而且无线设备的MAC地址也可以通过技术手段来更改;建立网络准入控制系统,这样可以避免网络被延伸后,非法无线计算机的接入。
4. 建立多层次的网络防御系统
内部网络也应该分为多个安全区域,不同安全区域的安全级别不同,一般来说可以有如下安全区域。
核心区: 包括数据库服务器、存储系统,以及核心的数据服务器。只对相应的服务器提供服务,不针对普通用户提供服务。此区安全级别最高。
内部服务区域:提供内部访问服务的服务器放置区域。只对内部用户提供服务,不对外提供服务。此区安全级别较高。
设备管理区域:硬件设备以及服务器的管理区域。此区安全级别高。
办公区域:内部网络普通用户的个人计算机区域,提供相关的上网服务。此区安全级别较高。
VIP区域:特殊用户的个人计算机区域,提供优质的上网服务以及设备调试权限。此区安全级别高。
外部接入区域:提供本部大楼以外的区域网络接入。此区安全级别一般。
存储区域:连接存储用局域网,与大楼网络隔离。
每个安全区域之间应该有防火墙进行安全防护,根据实际情况还可在各个安全区域之间部署IPS以及协议分析设备。这样在内部也建立起一套完善立体的安全防护系统。多个区域部署防火墙对于网络拓扑的复杂性和资金要求都较高,为了避免网络连接过于复杂以及达到节省资金的目的,可以使用虚拟防火墙技术。
5. 对技术人员的配置进行审计
审计系统包括两个方面。
用户上网审计:这类审计也称作上网行为审计,对网内用户的上网操作进行记录,可以查看用户是否访问非法网站,是否通过邮件传输了保密信息;还可以对一些关键字符进行过滤,对一些敏感信息进行屏蔽。这类审计产品市场上很多,功能大同小异。
技术人员的操作审计:由于现有系统多种多样,传统的审计系统对一些图形操作无能为力。我们可以使用新类型的审计系统。
此类审计系统目标是为组织IT系统核心服务器的运维操作提供强有力的监控、记录手段,使其切实满足内控管理中的合规性要求。审计系统可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作记录、审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的记录、审计,并支持操作过程的全程回放。此类审计系统弥补了传统审计、记录系统的不足,将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能拥有运维权限。
部署了这两类审计系统后,彻底实现了安全审计中关心的“什么人、什么时间、做了什么”的目标,既可以审计用户的上网行为,又可以审计技术人员的操作流程,完全可以满足目前IT运维操作审计的需求。
5. 接入层设备的物理安全
应专屋专用,严格控制出入人员。应有视频监控系统。接入层设备的console必须设置安全级别高的密码。严格监控接入设备的每次重启,防止被非法重置密码。对生成树以及组播等进行合理的配置。
6. 建立完善的身份认证系统
身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。网络世界中一切信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是解决这个问题的。作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
常用的身份认证方式有:静态密码、IC卡、短信密码、动态口令牌、USB KEY、生物识别技术等。静态密码设置简单,最容易被破解;IC卡、USB KEY的方式存在丢失后被非法侵入的问题;生物识别技术存在投入过高、使用不方便等问题。建议使用动态口令牌 密码认证的双因素认证系统,理论上不可被破解,又可防止丢失后的密码泄露的问题。
动态口令牌是目前最为安全的身份认证方式。动态口令牌是客户手持用来生成动态密码的终端,主流的是基于时间同步方式的,终端每60秒变换一次动态口令,口令一次有效,它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
结语
其實在信息社会,信息就是价值,信息就是生产力。随着计算机技术的发展,人们获取信息的速度日益加快,这也给犯罪分子提供了便利,通过一个U盘或通过非法接入内部网络一分钟的时间就可以拷走上百兆字节的资料,而这些资料可能价值不菲,因此说一分钟损失几千万、上亿元绝对不是危言耸听。在许多的网络安全事件中,网络内部发起的事件往往造成更加严重的后果,我们在安全建设上“重防外,轻防内”无疑会给自己留下安全隐患。
根据应用的不同划分不同区域,把各个区域当成独自的网络,即把内部网络划分成多个小型网络;每个网络区域之间安装防火墙、入侵检测、协议分析等设备;同时,完善终端接入控制、审计系统、认证系统、接入层设备的物理位置的安全防护等方面。这样,我们就可以建立起多层次全方位的内部安全体系,让内部网络更加安全。