第一代网络安全
1.
(一)防 火 墙
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。 目前,有很多厂商提供各种类型的防火墙平台,对它们有几种常用的分类方法:
1)按照产品形式可分为硬件防火墙和软件防火墙两大类;
2)按照性能可以分为百兆级和千兆级两类防火墙;
3)按照操作模式可分为透明模式、路由模式和NA T (网络地址转换)三类;
4)按照部署位置可分为边界防火墙和主机/个人防火墙两类;
5)按照OSI 模型层次划分可分为包过滤防火墙、状态检测防火墙和应用代理防火墙 对防火墙的配置和使用应该坚持四个基本原则:
对防火墙环境设计来讲,首要的就是越简单越好。设计越简单,越不容易出错,防火墙的简单
安全功能越容易得到保证,管理也越可靠和简便。
物用其长
全控制,入侵检测产品主要针对网络非法行为进行监控。
深层防御
才能实现系统的真正安全。
防火墙的一个特点是防外不防内,对内部威胁要采取其它安全措施,比如入侵检测、主机关注内部威胁
防护、漏洞扫描、病毒查杀。
(二)网络入侵检测
网络入侵检测主要采用两种技术:误用检测技术和异常检测技术。而这也是入侵检测系统的分类标准之一。
误用检测
异常检测
测,所以也被称为基于行为的检测。异常检测利用统计或特征分析的方法来检测。
(三)网络脆弱性分析
脆弱性分析技术,也被通俗地称为漏洞扫描技术,该技术是检测远程或本地系统安全脆弱性的一种安全技术。通过与目标主机TCP/IP端口建立连接并请求某些服务,记录目标主机的应答,搜集目标主机相关信息,从而发现目标主机某些内在的安全弱点。
与入侵检测之类的网络监控技术相比,漏洞扫描技术是一种预防性的措施。一般情况下,它们定期工作,检查系统中可能被人利用的网络漏洞,评估和衡量安全保护基础设施的有效性。 系统管理员利用网络漏洞扫描技术对局域网络、Web 站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,可以了解在运行的网络系统中存在的不安全的网络服务,在操作系统上存在的可能导致黑客攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序以及防火墙系统是否存在安全漏洞和配置错误,等等。 网络漏洞扫描技术通过远程检测目标主机TCP/IP不同端口的服务,记录目标主机给予的回答。此外,通过模拟黑客的进攻手法对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。 通过对比已知攻击手段及系统漏洞的签名特征来判断系统中是否有入侵行为发生。 根据使用者的行为或资源使用状况来判断是否入侵,而不依赖于具体行为是否出现来检单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安
2. 内容简介及重点】
一、物理环境安全技术
物理安全的技术层面主要包括三个方面:环境安全、设备安全和媒体安全。
环境安全
设备安全
等;
媒体安全 包括媒体数据的安全及媒体本身的安全。 对系统所在环境的安全保护,如区域保护和灾难保护; 主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护
二、通信链路安全技术
※链路加密技术
※远程拨号安全协议
三、网络安全技术
※防 火 墙
※网络入侵检测
※网络脆弱性分析
四、系统安全技术
※主机入侵检测
※计算机病毒防治
五、身份认证安全技术
※动态口令认证
※PKI 技术
※矩阵卡技术
3. 论安全产品" 老三样" 的发展趋势
2008-06-27 17:06
中国的信息化安全事业在近几年得到快速的发展,这一方面是由于从中央到地方政府的广泛重视,另一方面也是因为我国有一批积极进取的信息安全企业,他们不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了信息安全产业的发展。可以看到,在他们的推动下,目前我国自主研发的入侵检测、防火墙等产品取得了骄人的成绩,特别是在千兆水平和芯片技术方面,基本上达到了与国际同步的水平;在系统、网络防护技术方面、网络检测与监控技术方面同样取得了显著的进步;另外,在数据加密和加密设备研究方面也具有世界先进水平。在取得成绩的同时,我们也必须关注到面临的问题。从技术层面来看,目前信息安全产品在发展过程中面临的主要问题是:以往主要关心系统与网络基础层面的防护问题,而现在越来越多要求更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据上升到了应用层面,这种应用防护问题已经深入到业务行为的相关
性和信息内容的语义范畴,越来越多的安全已经与应用相结合。
谈及安全产品,就必须提到安全产品的" 老三样"--任何一个用户,在刚刚开始面对安全问题的时候,往往考虑的就是这" 老三样" 。可以说,这三种安全产品为我国整个信息安全建设起到了功不可没的作用,但是传统的安全" 老三样" 或者说是以其为主的安全产品技术面临着许多新的问题。
首先,从用户角度来说,虽然安装了防火墙,但是还避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰;而从未大规模部署的入侵检测单个产品来看,在提前预警方面存在着先天的不足,且精确定位和全局管理方面还有很大的空间;同时, 虽然很多用户在单机、终端都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。所以说,虽然" 老三样" 已经立下了赫赫的战功,且仍然在发挥着历史作用,但是用户已渐渐感觉到其不足之处。其次,从信息安全的整体技术框架来看,同样面临着很大的问题," 老三样" 基本上还是针对数据、单个的系统,对软硬件、程序本身安全的保障。但是应用层面的安全,需要将侧重点集中在信息语义范畴的" 内容" 和网络虚拟世界的" 行为" 上。
立体化的边界防御-防火墙进入UTM 时代
UTM (Unified Threat Management)是指" 一体化的威胁管理" 。在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而对于集成多种安全功能的UTM 设备来说,以其基于应用协议层防御、超低误报率检测、高可靠高性能平台、统一组件化管理的优势将得到越来越多的青睐。
由于UTM 设备是串联接入的安全设备,因此UTM 设备本身的性能和可靠性要求非常高,同时,UTM 时代的产品形态,实际上是结合了原有的多种产品、技术精华,在统一的产品管理平台下,集成防火墙、VPN 、网关防病毒、IPS 、防拒绝服务攻击等众多产品功能于一体,实现多种的防御功能。因此,防火墙发展的最终形态应该是UTM ,而UTM 具备一些重要特点: 第一,网络全协议层防御。防火墙仅仅作为简单的二到四层的防护。如果把防火墙比喻成一个墙,那它就是一座" 防君子,不防小人的墙" ,主要是针对于一些像IT 、端口等这样一些静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对防垃圾邮件、拒绝服务、黑客攻击等这样的一些外部的威胁起到综合检测和治理的效果,能够实现七层协议保护,而不仅局限于二到四层。
第二,就是有高检测技术来降低误报。作为一个串联接入的网关设备,一旦误报过高,对用户来说是一个灾难性的后果。IPS 这个理念在九十年代就已经提出来,但是从目前全世界对IPS 的部署情况看,非常有限,影响部署的一个最大问题就是误报率。而采用高技术门槛的分类检测技术可以大幅度降低误报率,因此,针对不同的攻击,来采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件的攻击、防违规短信攻击等,有效整合可以显著降低误报率。
第三,就是有高可靠、高性能的硬件平台支撑。对于UTM 时代的防火墙,在保障网络安全的同时,也不能成为网络应用的瓶颈,防火墙/UTM必须以高性能、高可靠性的专用芯片及专用硬件平台为支撑,以避免UTM 设备在复杂环境下其可靠性和性能不佳可能带来的对用户核心业务正常运行的威胁。
第四,就是UTM 一体化的统一管理。由于UTM 设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,使设备本身平台标准化并具有可扩展性,用户可在统一平台上进行组件管理,同时,也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,更好地保障用户的网络安全。
而要实现UTM 可靠性硬件平台。安全厂商的优势在于应用层安全检测技术,入侵检测、漏洞扫描、防拒绝服务攻击、防垃圾邮件网关等技术都是与应用层相关联的;而提供高性能的网络接入设备则是网络厂商的优势,鉴此,安全厂商与网络厂商合作,共同开发和研制UTM 设备将是今后发展的必然趋势。据了解,国内安全厂商启明星辰与国内网络设备厂商港湾网络就联合推出了一款UTM 设备——天清汉马防火墙,另外,启明星辰还推出了一系列的分类检测产品,启明星辰的防御网关类产品品牌的名称为" 天清" 。
纵深化的可信监管-IDS 进入IMS 时代
IMS (Intrusion Management System)是指“入侵管理系统”。国内安全厂商启明星辰认为,入侵检测技术将从简单的事件报警通过IMS 达到广泛的趋势预测和深入的行为分析。IMS 具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将对客户的安全起到巨大的作用。
IMS 的四大典型特征本身是具有一个明确的层次关系的。
首先,大规模部署是实施入侵管理的基础条件。一个有组织的完整系统通过规模部署的作用,要远远大于单点系统简单的叠加。比如:建立一个全世界的地震活动监测网系统,就可以看出全球地震带的活动状况和规律;而如果只是孤立的监测点就很难做到这点。IMS 对于网络安全监控有着同样的效用,可以实现从宏观的安全趋势分析到微观的事件控制。 第二、入侵预警。检测和预警的最终目标就是一个" 快" ,要和攻击者比时间。只有减小这个时间差,才能使损失降低到最小。试想,如果蠕虫已经大规模爆发,并且已经引起了严重的后果,这种时候如果才预警已经严重滞后了。要实现这个" 快" 字,入侵预警必须具有全面的检测途径,并以先进的检测技术来实现高准确和高性能。入侵预警是IMS 进行规模部署后的直接作用,也是升华IMS 的一个非常重要的功能。
第三、精确定位。入侵预警之后就需要进行精确定位,这是从发现问题到解决问题的必然途径。精确定位的可视化可以帮助管理人员及时定位问题区域,良好的定位还可以通过联运接口和其它安全设备进行合作抑制攻击的继续。总体的说来,IMS 要求做到对外定位到边界,对内定位到设备。
第四、监管结合。监管结合就是把检测提升到管理,形成自改善的全面保障体系。监管结合最重要的是落实到对资产安全管理,通过IMS 可以实现对资产风险的评估和管理。监管结合是要通过人来实现但并不意味着大量的人力投入,IMS 具备良好的集中管理手段来保证人员的高效,同时具备全面的知识库和培训服务,能够有效提高管理人员知识和经验,保证应急体系的高效执行。
IMS 体系中需要一个重要的核心技术,那就是对漏洞生命周期和机理的研究。据了解,启明星辰的核心竞争力集中在对检测技术和漏洞技术的研究方面,启明星辰具体的安全产品是有其生命周期的,但是产品背后的核心技术是不断的发展的,特别是攻防领域的检测技术。因此,对于漏洞生命周期和机理的研究,将是启明星辰今后的一个长期发展方向,而这也是能够走向IMS 的一个重要保证。在IMS 品牌方面,启明星辰推出了" 天阗" 和" 天镜" 系列化产品,具备多种型号适应不同的环境要求。在配合安全域良好划分的规模化部署条件下,IMS 将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快!更准!更全面!
精细化的内部治理-内网安全进入了SCM 时代
SCM (Security Compliance Management )是指" 安全合规性管理" 。而对于内网安全来说,未来的趋势将是SCM 时代,即安全合规性管理时代。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM 时代的四大特点,通过精细化的内网管理可使现有的内网安全达到真正的" 可信" 。
目前,内网安全的需求有两大趋势,一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都是非常重要的。
首先, 从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,使IT 管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、物力的浪费和服务质量下降; 其次, 从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,而业务行为里面的内容是没有办法进行控制的,SCM 时代的审计要求在合规行为下实现对业务内容的控制,实现对业务行为的认证、控制和审计。对于内网来说,尽管是WINDOWS 一统天下, 但随着业务的发展,Unix 、Linux 等平台也越来越多的出现在企业的信息化解决方案中,这就要求内网安全管理要实现从单一系统到异构平台的过渡、避免了由于异构平台的不可管理引起安全盲点的出现。
传统的内网安全管理模式是一个头痛医头,脚痛医脚的局面,尽管部署了很多产品,但是问题仍然频繁发生,IT 管理人员疲于奔命。这就要求将内网管理提升到更高的层次,启明星辰遵循ITIL 的服务流程并结合内网安全管理的特点,抛弃了各自为政的安全产品解决方案从整体运维的角度来看待内网安全管理。让IT 管理部门能够从更高的层次去考虑企业高速发展和信息系统建设的结合问题, 从而从全局上避免了解决一个问题又带来一个新问题的现象。 在SCM 方面,启明星辰推出了两个品牌的产品,它们是" 天玥" 和" 天珣" 。启明星辰认为,内网安全在合规性管理的基础上,融合业务审计和运维管理,通过策略的定制可以进行更精细化的内网治理,通过终端布防能够实现更严格的管理
通过强制策略和主动服务能够做到更方便的管理。更细、更严、更方便,这就是SCM 时代能够给IT 管理部门带来的好处。
信息网络安全技术及发展趋势
郑志彬博士,中国通信标准化协会(CCSA )网络与信息安全技术委员会无线网络安全工作组组长、国家商用密码应用总体技术组核心专家、广东省保密委员会专家委员,长期从事网络安全、密码应 用技术、无线安全等技术领域的研究,现任华为公司安全与存储产品线营销工程部部长。
文/郑志彬 安全威胁攻击方法的演进
过去的一年里,重大信息安全事件的发生率确实已 经有所下降,往年震动业界的安全事件几乎没有 发生。但是在这种较为平静的表面之下,信息安 全的攻击手段正变得更具有针对性,安全形势更加严峻。
信息安全威胁方式的演进主要体现在如下几个方面。
实施网络攻击的主体发生了变化
实施网络攻击的主要人群正由好奇心重、炫耀攻防能力 的兴趣型黑客群,向更具犯罪思想
的赢利型攻击人群过渡, 针对终端系统漏洞实施“zero-day 攻击”和利用网络攻击获取 经济利益,逐步成为主要趋势。其中以僵尸网络、间谍软件 为手段的恶意代码攻击,以敲诈勒索为目的的分布式拒绝服 务攻击,以网络仿冒、网址嫁接、网络劫持等方式进行的在 线身份窃取等安全事件持续快增,而针对P2P 、I M等新型网络 应用的安全攻击也在迅速发展。近期以“熊猫烧香”、“灰 鸽子”事件为代表形成的黑色产业链,也凸显了解决信息安 全问题的迫切性和重要性。
企业内部对安全威胁的认识发生了变化
过去,企业信息网络安全的防护中心一直定位于网络边
界及核心数据区,通过部署各种各样的安全设备实现安全保 障。但随着企业信息边界安全体系的基本完善,信息安全事 件仍然层出不穷。内部员工安全管理不足、员工上网使用不 当等行为带来的安全风险更为严重,企业管理人员也逐步认 识到加强内部安全管理、采取相关的安全管理技术手段控制 企业信息安全风险的重要性。
安全攻击的主要手段发生了变化
安全攻击的手段多种多样,典型的手段包含拒绝服务攻 击、非法接入、I P欺骗、网络嗅探、中间人攻击、木马攻击以 及信息垃圾等等。随着攻击技术的发展,主要攻击手段由原来 单一的攻击手段,向多种攻击手段结合的综合性攻击发展。例 如结合木马、网络嗅探、防拒绝服务等多种攻击手段的结合带 来的危害,将远远大于单一手法的攻击,且更难控制。
信息安全防护技术综述
信息网络的发展本身就是信息安全防护技术和信息安全 攻击技术不断博弈的过程。随着信息安全技术的发展,我们 经历了从基本安全隔离、主机加固阶段、到后来的网络认证阶段,直到将行为监控和审计也纳入 安全的范畴。这样的 演变不仅仅是为了避免 恶意攻击,更重要的是为了提 高网络的可信度。下面分析信息网络中常
用的信息安全技术和网络防护方法。
基本信息安全技术 信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和 不可否认性,进而又发展为“攻(攻击)、防(防 范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。目前 信息网络常用的基础性安全技术包括以下几方面的 内容。
身份认证技术:用来确定用户或者设备身份的 合法性,典型的手段有用户名口令、身份识别、P K I 证书和生物认证等。
加解密技术:在传输过程或存储过程中进行信 息数据的加解密,典型的加密体制可采用对称加密 和非对称加密。
边界防护技术:防止外部网络用户以非法手段 进入内部网络,访问内部资源,保护内部网络操作 环境的特殊网络互连设备,典型的设备有防火墙和 入侵检测设备。
访问控制技术:保证网络资源不被非法使用和 访问。访问控制是网络安全防范和保护的主要核心 策略,规定了主体对客体访问的限制,并在身份识 别的基础上,根据身份对提出资源访问的请求加以 权限控制。
主机加固技术:操作系统或者数据库的实现会 不可避免地出现某些漏洞,从而使信息网络系统遭 受严重的威胁。主机加固技术对操作系统、数据库 等进行漏洞加固和保护,提高系统的抗攻击能力。
安全审计技术:包含日志审计和行为审计, 通过日志审计协助管理员在受到攻击后察看网络日 志,从而评估网络配置的合理性、安全策略的有效 性,追溯分析安全攻击轨迹,并能为实时防御提供 手段。通过对员工或用户的网络行为审计,确认行 为的合规性,确保管理的安全。
检测监控技术:对信息网络中的流量或应用内容进行二至七层的检测并适度监管和控制,避免网 络流量的滥用、垃圾信息和有害信息的传播。
网络安全防护思路
为了保证信息网络的安全性,降低信息网络所 面临的安全风险,单一的安全技术是不够的。根据 信息系统面临的不同安全威胁以及不同的防护重点 和出发点,有对应的不同网络安全防护方法。下面 分析一些有效的网络安全防护思路。
■基于主动防御的边界安全控制
以内网应用系统保护为核心,在各层的网络边 缘建立多级的安全边界,从而实施进行安全访问的 控制,防止恶意的攻击和访问。这种防护方式更多 的是通过在数据网络中部署防火墙、入侵检测、防 病毒等产品来实现。
■基于攻击检测的综合联动控制
所有的安全威胁都体现为攻击者的一些恶意网 络行为,通过对网络攻击行为特征的检测,从而对 攻击进行有效的识别,通过安全设备与网络设备的 联动进行有效控制,从而防止攻击的发生。这种方式主要是通过部署漏洞扫描、入侵检测等产品,并实现入侵
检测产品和防火墙、路由器、交换机之间的联动控制。
■基于源头控制的统一接入管理
绝大多数的攻击都是通过终端的恶意用户发起,通过对 接入用户的有效认证、以及对终端的检查可以大大降低信息 网络所面临的安全威胁。这种防护通过部署桌面安全代理、 并在网络端设置策略服务器,从而实现与交换机、网络宽带 接入设备等联动实现安全控制。
■基于安全融合的综合威胁管理
未来的大多数攻击将是混合型的攻击,某种功能单一的 安全设备将无法有效地对这种攻击进行防御,快速变化的安 全威胁形势促使综合性安全网关成为安全市场中增长最快的 领域。这种防护通过部署融合防火墙、防病毒、入侵检测、 VPN 等为一体的UTM 设备来实现。
■基于资产保护的闭环策略管理
信息安全的目标就是保护资产,信息安全的实质是“三 分技术、七分管理”。在资产保护中,信息安全管理将成为 重要的因素,制定安全策略、实施安全管理并辅以安全技术 配合将成为资产保护的核心,从而形成对企业资产的闭环保 护。目前典型的实现方式是通过制定信息安全管理制度,同时采用内网安全管理产品以及其它安全监控审计等产品,从 而实现技术支撑管理。
信息网络安全防护策略
“魔高一尺,道高一丈”,信息网络的不断普及,网 络攻击手段也不断复杂化、多样化,随之产生的信息安全技 术和解决方案也在不断发展变化,安全产品和解决方案也更 趋于合理化、适用化。经过多年的发展,安全防御体系已从 如下几个方面进行变革:由“被动防范”向“主动防御”发 展,由“产品叠加”向“策略管理”过渡,由“保护网络” 向“保护资产”过渡。 根据对信息网络安全威胁以及安全技术发展趋势的现状 分析,并综合各种安全防护思路的优点,信息网络安全防护 可以按照三阶段演进的策略。通过实现每一阶段所面临的安 全威胁和关键安全需求,逐步构建可防、可控、可信的信息 网络架构。
信息网络安全防护演进策略
信息网络安全防护演进将分为三个阶段。
■第一阶段:以边界保护、主机防毒为特点的纵深防御阶段
纵深防御网络基于传统的攻击防御的边界安全防护思 路,利用经典的边界安 全设备来对网络提供基 本的安全保障,采取堵 漏洞、作高墙、防外攻 等防范方法。比如通过 防火墙对网络进行边界 防护,采用入侵检测系 统对发生的攻击进行检 测,通过主机病毒软件 对受到攻击的系统进行 防护和病毒查杀,以此 达到信息网络核心部件 的基本安全。防火墙、 入侵检测系统、防病毒 成为纵深防御网络常用的安全设备 , 被称为 “老三样”。
随着攻击技术的发展,纵深防御的局限性 越来越明显。网络边界越来越模糊,病毒和漏洞种类越来越多,使得病毒库和攻击特征库越来越庞大。新的攻击特别是网络病毒在短短的数小时之内足 以使整个系统瘫痪,纵深防御的网络已经不能有效解决信息网络 面临的安全问题。这个阶段是其它安全管理阶段的基础。
■第二阶段:以设备联动、功能融合为特点的安全免疫阶段
该阶段采用“积极防御,综合防范”的理念,结合多 种安全防护思路,特别是基于源头抑制的统一接入控制和安 全融合的统一威胁管理,体现为安全功能与网络设备融合以 及不同安全功能的融合,使信息网络具备较强的安全免疫能 力。例如网络接入设备融合安全控制的能力,拒绝不安全终 端接入,对存在安全漏洞的终端强制进行修复,使之具有安 全免疫能力;网络设备对攻击和业务进行深层感知,与网络 设备进行全网策略联动,形成信息网络主动防御能力。
功能融合和全网设备联动是安全免疫网络的特征。与纵 深防御网络相比,具有明显的主动防御能力。安全免疫网络 是目前业界网络安全的主题。在纵深防御网络的基础上,从 源头上对安全威胁进行抑制,通过功能融合、综合管理和有 效联动,克服了纵深防御的局限性。 ■第三阶段:以资产保护、业务增值为特点的可信增值阶段
可信增值网络基于信息资产增值的思想,在基于资产保 护的闭环策略管理的安全防护思路的基础上,通过建立统一 的认证平台,完善的网络接入认证机制,保证设备、用户、 应用等各个层面的可信,从而提供一个可信的网络环境,促 进各种杀手级应用的发展,实现信息网络资产的增值。
在可信增值网络中,从设备、终端以及操作系统等多个 层面确保终端可信,确保用户的合法性和资源的一致性,使 用户只能按照规定的权限和访问控制规则进行操作,做到具 有权限级别的人只能做与其身份规定相应的访问操作,建立 合理的用户控制策略,并对用户的行为分析建立统一的用户信任管理。
从业界的信息安全管理发展趋势来看,基本上会遵循 上述的三个阶段来发展。目前还处于
第二阶段,第三阶段的 部分技术和解决方案也在开发中。下面我们详细介绍第二阶段——安全免疫阶段。
安全免疫网络介绍
采用“堵漏洞、作高墙、防外攻”等防范方法的纵深防 御网络在过去的一段时间里对信息网络的安全管理发挥了重 要作用。但是目前网络威胁呈现出复杂性和动态性的特征, 黑客日益聚焦于混合型攻击,结合各种有害代码来探测和攻击系统漏洞,并使之成为僵尸或跳板,再进一步发动大规模组合攻击。攻击速度超乎想象,已经按小时和分钟来计算, 出现了所谓大量的零日或零小时攻击的新未知攻击。纵深防 御网络已经不能胜任当前的网络安全状况。
用户更需要零距离、多功能的综合保护。安全能力与网 络能力的融合,使网络具备足够的安全能力,将成为信息网 络发展的趋势。安全免疫网络基于主动防御的理念,通过安 全设备融合网络功能、网络设备融合安全能力,以及多种安 全功能设备的融合,并与网络控制设备进行全网联动,从而 有效防御信息网络中的各种安全威胁。
免疫网络具备以下两大特点。
■产品、功能和技术的融合
在安全免疫网络中,安全功能将与网络功能相互融合, 同时安全功能之间将进行集成融合。此时,在安全产品中可 以集成数据网络应用的网卡、接口技术、封装技术等,如E1/ T1接口、电话拨号、I S D N等都可以集成进安全网关。此外, 新的安全网关技术可以支持RIP 、OSPF 、BGP 、IPv6等协议,满 足中小企业对安全功能和路由功能融合的需求。网关安全产 品已经从单一的状态检测防火墙发展到了加入I P S、V P N、杀 毒、反垃圾邮件的U T M,再到整合了路由、语音、上网行为 管理甚至广域网优化技术的新型安全设备。
此外,在交换机、路由器甚至宽带接入设备中也可以集 成防火墙、入侵检测、VPN 以及深度检测功能,而且原有的防 火墙、深度检测、VPN 、防病毒等功能也可以集成在一个统一 的设备中。相关的网络设备或者安全设备可以部署在网络边 缘,从而对网络进行全方位保护。 ■终端、网络和设备的联动
安全免疫网络的联动有两个核心。第一个核心是接入控 制,通过提供终端安全保护能力,在终端与安全策略设备、 安全策略设备与网络设备之间建立联动协议。第二个核心是 综合安全管理,综合安全管理中心作为一个集中设备,提供 对全网设备、主机以及应用的安全攻击事件的管理。在中心 与网络设备、安全设备之间建立联动协议,从而实现全网安 全事件的精确控制。
安全功能融合以及联动防御成为安全免疫网络的主题。 融合的作用将使安全功能更集中、更强大,同时安全设备与 路由功能的融合、安全功能与网络设备的融合将使网络对攻 击具备更强的免疫能力;通过基于安全策略的网络联动,可 实现统一的安全管理和全网的综合安全防御。
4. 信息系统
完整性。指信息在存储或传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性,保证真实的信息从真实的信源无失真地到达真实的信宿。
保密性。指严密控制各个可能泄密的环节,使信息在产生、传输、处理和存储的各个环节中不泄漏给非授权的个人和实体。
可用性。指保证信息确实能为授权使用者所用,即保证合法用户在需要时可以使用所需信息。 可控性。指信息和信息系统时刻处于合法所有者或使用者的有效掌握与控制之下。
不可否认性。指保证信息行为人不能否认自己的行为。