第一篇:谈下一代防火墙安全特征及发展趋势
谈下一代防火墙安全特征及发展趋势
[摘要]随着越来越重要的信息应用以互联网作为运行基础,用户面临的威胁形形色色,各类网络安全问题日益突出。尤其是黑客、计算机病毒对网络安全的危害,使得人们不得不重视防火墙技术。防火墙是一种行之有效的网络安全机制,是在网络的内部与外部之间实施安全防范的系统安全。只有了解了现有防火墙的安全特征,才能完善安全防范手段,实现下一代防火墙的安全使用。根据互联网目前的系统管理现状,本文就针对下一代防火墙的安全特征进行分析,探讨其未来发展趋势。
[关键词]下一代防火墙;安全特征;发展趋势
中图分类号:TM215 文献标识码:A 文章编号:1009-914X(2017)12-0311-01
前言:在信息化潮流的引导下,互联网的飞速发展给人们的生活带来便捷,人们对互联网的依赖程度加大。但是,近年来计算机网络面临的威胁越来越多的人为攻击事件,数量剧烈上升趋势。人们的利益受到威胁,对互联网的放火墙安全性能产生不信任。所以,下一代防火墙的安全性值得我们探究和思考,争取解决下一代互联网的安全威胁。
1.研究防火墙安全特征
1.1 互联网面对的安全威胁
自莫里斯蠕虫病毒出现以来,病毒的数量呈爆炸式增长,安全漏洞数量增长较快,系统或软件的严重级别漏洞增多。同时,黑客等网络不法分子通过网络技术,攻破用户防火墙,带来安全威胁。对于银行系统、商业系统、政府和军事领域而言,这些比较敏感的系统和部门对公共通信网络中存储与传输的数据安全问题尤为关注。目前,最常见的安全问题是网络协议和软件的安全缺陷、计算机病毒、身份信息窃取、网络钓鱼诈骗及分布式拒绝服务。其中计算机病毒并不独立存在,而是寄生在其他程序之中,所以,它具有隐蔽性、潜伏性、传染性和极大的破坏性。身份信息的窃取也是值得我们注意的。随着互联网金融的发展,人们的身份信息与银行资产很容易被黑客侵入,个人和企业的信息轻而易举被窃取,造成巨大损失。以上种种安全问题都需要下一代防火墙提高安全特性。
1.2 目前防火墙的安全技术标准
在2005、2006年,防火墙标准进行了重新编制,只针对包过滤和应用级防火墙技术,其中代理服务器要求和并列到应用级防火墙技术中进行描述。先后形成了《GB/T20010―2005信息安全技术包过滤防火墙评估准则》。GB/T20281―2006标准则吸收了原来国家标准的所有重要内容。该标准将防火墙通用技术要求分为功能、性能、安全和保证四大?。其中,功能要求是对防火墙产品应具备的安全功能提出具体的要求,包括包过滤、应用代理、内容过滤、安全审计和安全管理等;安全要求是对防火墙自身安全和防护能力提出具体的要求;保证要求则针对防火墙开发者和防火墙自身提出具体的要求。性能要求是对防火墙产品应达到的性能指标做出规定。同时,将防火墙产品进行安全等级划分。安全等级分为三个级别,逐级提高,功能强弱、安全强度和保证要求的高低是等级划分的具体依据,功能、安全为该标准的安全功能要求内容。这是我国信息安全标准中第一次将性能值进行量化的标准。
1.3 采用防火墙系统的必要性
随着越来越多重要的信息应用以互联网作为运行基础,信息安全问题已经成为威胁民生、社会、甚至国家安全的重要问题。从计算机网络安全技术的角度来看,防火墙是指强加于两个网络之间边界处,以保护内部网络免遭外部网络威胁的系统或者系统组合。防火墙技术作为保护计算机网络安全的最常用技术之一,当前全球约有三分之一的计算机是处于防火墙的保护之下。防火墙在不危机内部网络数据和其他资源的前提下,允许本地用户使用外部网络资源,并将外部未授权的用户屏蔽在内部网络之外,从而解决了因连接外部网络所带来的安全问题。
2.分析下一代防火墙的发展趋势
2.1 防火墙发展的新技术趋势
就目前国内形势而言,下一代防火墙发展的新技术趋势有四方面。随着运行商、金融、大型企业的数据中心等用户对安全的关注,对防火墙高吞吐量、高性能连接处理能力的要求越来越迫切。传统的硬件构架已经无法满足用户的需求,因此多核处理,ASIC加速芯片处理等技术纷纷登场,高性能成为新的技术趋势。虽然IPv6在目前推广和普及的力度较大,但新的安全问题也逐渐产生。在纯IPv6网络中,IPv6端与端的IPSec以及最终拜托NAT的发展构架对防火墙产品的冲击影响较大,但在IPv4/6共存阶段,针对不同过渡协议混杂的背景,防火墙产品还是有着技术发展和实现的需求,所以使防火墙适用于IPv4/6也是重要技术趋势之一。基于防火墙用户的配置策略,应用深层控制技术开始越来越多的被提及。同时,随着云时代的到来,各类云服务逐渐进入普通大众的生活。防火墙的安全性能也伴随着云技术的发展开发出云服务虚拟化技术。
2.2 下一代互联网高性能防火墙标准
据国家标准化管理委员会2013年下达的国家标准制修订计划,对原有《GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法》进行修订,由于下一代互联网的特性是防火墙功能属性,所以维持原有标准名称。该标准与GB/T20281-2006的主要差异是增加了高性能防火墙的描述,增加了防火墙的功能分类,加强了防火墙的应用层控制能力,增加了下一代互联网协议支持能力的要求,级别统一划分为基本级和增强级。该标准安全功能主要对产品实现的功能进行了要求。主要包括网络层控制、应用层控制和安全运维管理三部分,其中网络层控制主要包括包过滤、NAT、状态检测、策略路由等方面。这些安全功能新标准要求将大大提高下一代防火墙的安全特性。在环境适应性要求方面,该标准对下一代防火墙产品的部署模式及下一代互联网环境的适应性支持进行了要求。同时,该标准的性能要求对下一代防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务等性能指标进行了要求。
2.3 网络安全的实现
网络安全的实现是多方面的。访问控制是网络安全防御和保护的主要策略。进行访问控制的目的是保护网络资源不被非法使用和非法访问。控制用户可以访问网络资源的范围,为网络访问提供限制,只允许访问权限的用户访问网络资源。且随着当前通信技术的快速发展,用户对信息的安全处理、安全存储、安全传输的需要也越来越迫切,并受到了广泛关注。信息在网络传输的安全威胁是由于TPC/IP协议所固有的,因此数据加密技术成为实现计算机网络安全技术的必然选择。病毒防护主要包括计算机病毒的预防、检测与清除。最理想的防止病毒攻击的方法就是预防,在第一时间内阻止病毒进入系统。攻击防御对网络及网络设备的传输行为进行实时监视,在恶意行为被发动时及时进行阻止,攻击防御可以针对特征分析及分析做出判断。同时,网络安全建设“三分技术,七分管理”。因此,除了运用各种安全技术之外,还要建立一系列安全管理制度。使下一代防火墙真正的起到安全作用。
结语
总而言之,事物的发展过程是曲折的,前途是光明的。随着人类在经济、工业、军事领域方面越来越多地依赖信息化管理和处理,由于信息网络在设计上对安全问题的忽视,以及爆发性应用背后存在的使用和管理上的脱节,使互联网中信息的安全性逐渐受到严重威胁,实用和安全矛盾逐渐显现。而下一代防火墙的安全特性随着互联网的发展是不断改进,进行高性能技术的研究,已有所成果。所以,关于下一代防火墙的安全特性我们要抱有积极的态度。
参考文献
[1] 吴秀梅.防火墙技术及应用教程[M].北京:清华大学出版社.2010.[2] 黎连业,张维.防火墙及其应用技术.清华大学,2004.
第二篇:下一代防火墙NGFW技术探讨
下一代防火墙NGFW技术探讨
摘 要:NGFW(下一代防火墙)自从2009年得到Gartner的“正名”开始,便迅速成为边界安全技术范畴最为炙手可热的话题。国内外厂商更是借势纷纷发布各自的NGFW产品,但时至今日,所谓NGFW的业界标准却依然没有形成统一。因此,在当前表现较为混乱的防火墙市场环境下,广大用户在面对形形色色的NGFW产品时,更需要关注的是本质,而非表象。
关键词:NGFW;标准;本质NGFW概念
2009年,Gartner《定义下一代防火墙》首次对NGFW这一概念进行了释义,其关键内容如下:
(1)标准的第一代防火墙能力:包过滤、网络地址转换(NAT)、状态性协议检测、VPN等等。
(2)集成的而非仅仅共处一个位置的网络入侵检测:支持面向安全漏洞的特征码和面向威胁的特征码。IPS与防火墙的互动效果应当大于这两部分效果的总和。
(3)应用意识和全栈可见性:识别应用和在应用层上执行独立于端口和协议,而不是根据纯端口、纯协议和纯服务的网络安全政策。
(4)额外的防火墙智能:防火墙收集外来信息来做出更好地阻止决定或建立优化的阻止规则库。
首先对Gartner的观点做个简单解读。包过滤、网络地址转换(NAT)、状态性协议检测、VPN等安全功能传统防火墙都能满足;“集成的而非仅仅共处一个位置的网络入侵检测”则指出NGFW需要集成IPS功能,在IPS与防火墙之间能够建立起自动化的联动机制,使IPS引擎检测到源自某个IP地址的攻击行为后,能够自动由防火墙引擎采用最简单的方式直接对其进行阻断;“应用意识和全栈可见性”更加关注应用层控制;“额外的防火墙智能”表达了NGFW应该能够通过获取外部信息,来帮助其作出更加合理与有效的安全策略。
通常情况下,传统防火墙定性为面向网络层安全,而NGFW则是更加关注应用层安全。通过对Gartner的NGFW定义进行解读后不难发现,其似乎更像是对当时防火墙技术发展的一个阶段性总结。NGFW发展现状
在国外安全市场中,PaloAlto被认为是最先将NGFW概念应用于产品的安全厂商,其通过“App-ID”、“User-ID”和“Content-ID”来诠释NGFW产品对于“应用”、“用户”和“内容”三个方面的安全控制与可视化管理,成为了业界NGFW产品特性描述的经典。
反观我们身处其中的国内市场,NGFW产品的情况却显得有些复杂。从2011年开始,国内厂商陆续发布各自的下一代防火墙产品。有些厂商此前并无防火墙技术积累与市场基础,但为了满足自身发展需要,实现业务的快速扩张,便开始向防火墙市场进军,作为“新人”往往需要用些心思来体现自己的与众不同。因此,在市场策略方面,将NGFW作为市场切入点或许是这类厂商再合适不过的选择。除此以外,该类产品虽然拥有NGFW对“用户”、“应用”和“内容”进行控制的相似功能,但由于底层缺乏一套强大的安全系统架构支撑,对于一款NGFW产品而言在专业性方面明显不足,从“里”到“外”更像是在传统上网行为管理产品基础上进行的一个简单修改。也就是说,该类厂商所谓的NGFW产品实质上只是“优化后的ACM+WAF”,仅此而已!NGFW发展方向
从Gartner定义下一代防火墙到现在已有五年时间,随着关于NGFW的各种讨论持续升温并且越发深入,使NGFW产品正在向着理性方向发展。真正的NGFW应该具有如下几个必要特征。
3.1 更精准的应用管控能力
下一代防火墙的应用识别引擎不仅需要识别出底层的承载协议(例如标准的HTTP协议),还能进一步区分出上层的精确应用协议类型。除此以外,相比以往的安全网关类产品,下一代防火墙更应该关注应用的识别率,而非特征库的规模。下一代防火墙对于主流网络应用的识别率应至少达到90%以上,而对于加密应用的识别率则需要达到更高标准,尤其是对带宽资源占用较大的各种P2P加密流量,只有这样,才能使我们的网络带宽资源真正得到有效控制。
3.2 更加关注未知威胁的识别与防御
下一代防火墙需要以深度、精细、高效的流量安全检测技术为基础,提供入侵防御、病毒防御、僵尸网络阻断、WEB安全防护、数据防泄漏等更为全面的应用层威胁防御能力,才能有效阻止已知的各类安全威胁。
面对未知威胁,下一代防火墙当然也需要提供相应防御方案。沙箱技术目前被认为是确定未知威胁最为有效的技术手段,而下一代防火墙借助沙箱技术能够为防御未知威胁提供一套更为有效的解决方案。
3.3 全栈高性能安全处理
高性能尤其是应用层高性能也是下一代防火墙必须要逾越的一道障碍。随着硬件技术的飞速发展,多核硬件架构逐渐在安全产品中得到广泛应用,主要包括X86多核与MIPS多核两个阵营。就多核技术的当前现状与发展趋势看来,X86多核技术能够为下一代防火墙突破性能瓶颈提供更加有力的硬件支撑。
3.4 由内而外的风险可视化设计
随着安全网关类产品与技术的不断发展,在业务层面,不仅使网关类产品获得了更全面的安全防护功能与更强大的数据处理能力,而管理层面的各种特性也正在成为越来越多厂商的众矢之的。其中,通过对转发的业务数据、检测的安全威胁等网络流量信息进行监控、统计和分析,并从用户、应用、内容等多维度将网络应用及安全状态为管理员提供全面的可视化图表展现,从而使通过网络传播的安全风险得到有效掌控,这些,已经成为网关产品的一个基础特性。而作为下一代防火墙产品,除了关注通过网络传输的安全风险以外,还可以在事先对源自设备内部的各种安全风险信息进行有效识别。
第三篇:IT行业特征与发展趋势
洞悉产业特征,引领行业未来
时光飞逝,转眼间,联欣已经走过了13个年头。我们05年开始快订通业务,7年磨一剑,现在已经成为一家名副其实的信息技术企业。信息行业发展之快可以说是前无古人,有着以下区别于传统行业的几大特点:
一、固定成本高,可变成本低,造成生产规模经济效应比传统行业更加显著。
何为生产规模经济效应?即随着生产商生产规模的扩大,产品的平均成本将随之略微下降的现象。
何为固有成本和可变成本?以计算机硬件制造业为例,建设一家生产计算机芯片的工厂,总投资需20亿美元以上(这就是固有成本),而在建成后的生产过程中,可变成本(生产芯片用的原材料即为可变成本)却不到总成本的30%,即计算机芯片生产中70%以上是固定成本。
由此可见,信息行业随着产品销售量增大,实际的生产成本急速降低,与传统行业生产正本与销售量基本成正比或稍有减少的现象形成明显对比。给我们联欣的启示就是:进一步重视销售,扩大销售量也是降低生产研发成本的一种方法!
二、研发成本高,生产成本相对低,技术更新快,行业外延和渗透性高,造成创新与风险并存。
新世纪以来,随着全球信息产业竞争的加剧,信息技术企业研发投资规模迅速扩大,研究开发投资占销售额比重明显提高。一般的信息技术企业研究开发投资占销售额比重都在5%以上,处于发展前沿的信息技术企业研究开发投资占销售额的比重甚至高达15%至20%。2000年美国网络设备制造商Cisco公司研发投资27亿美元,2001年美国微电子器件制造商英特尔公司研发投资超过40亿美元。
信息技术水平每3年提高一倍,信息技术专利每年新增超过30万项,科研资料的有效寿命平均只有5年。以科技研发为先导、具有高创新性和拥有高更新频率已经成为世界电子信息产业发展的重要特征。此外,电子信息产业的渗透性高,不但涉及制造业,而且衍生到服务业,其产品的形式也日趋多样化,极大地改变了人们的生活,对教育、医疗保健、旅游及文化娱乐等都产生了深刻影响。因此,技术创新的空间也大大扩展。但是,由于信息技术产业化过程投入大、成功率不高,也使电子信息产业呈现相对较高的风险。
正所谓技术创新是信息产业发展的核心驱动力,机会向来与风险并存,给我们联欣的启示就是:要拓展创新面,在风险中看到机会,在尽量减少不确定因素,降低风险的同时,把握机会,敢为人先,勇于创新!时刻牢记,不要成为第二个诺基亚!(昔日的手机巨头,因为其保守的姿态,如今已经开始被苹果和异军突起的HTC边缘化)
三、用户成本锁定明显,造成巨大的更新转移成本。何为用户成本锁定?即用户一旦使用上某种电子信息产品之后,如果要更新原有的产品,就会遇到巨大的更新转移成本。
与传统工业品通常具有独立性不同,电子信息产品大多数处于一个系统中,单件产品难以发挥作用,只有与其他配套的产品相互配合,才能产生效用,所以,用户一旦选定某种系统中的一件产品,就不得不采用与之相适应的配套硬件和软件。另外,用户本身还存在与外界数据交换的需求,这种交换往往要求采用同一种格式,否则就会造成很大的信息交换障碍。这种状况使得更新信息系统转移成本巨大,频繁更换供应商几乎不可能。一旦用户使用上该产品,用户就会“越陷越深”,直至被牢牢锁定。锁定程度的大小与转移成本相关,成本越大,锁定程度越高。
这种现象使不兼容的新产品即使性能优良、价格便宜也难以得到推广和使用,有利于供应商获得长期的高额利润。给我们联欣的启示就是:做好产品的前提下,目光放远,哪怕即使要稍微牺牲一点眼前的利润(比如,PDA终端的价格适度下调),也要牢牢抓住客户,因为有了客户就有了未来!(就像现在的腾讯,做什么,成什么!)。
四、对标准的高度依赖,造成标准制定者必定引领市场。
由于电子信息产品通常是在系统中发挥作用。产品供应商虽然可以通过成本锁定用户,但是毕竟一家厂商难以提供所有的配套部件,要使多家厂商发挥各自技术优势生产的产品能够协调运行,必须依赖于一个统一的接口标准,因而对标准的控制和介入程度实质上标志着技术和生产的竞争力。如果一个国家或一家企业能够有效控制技术标准,并且有足够的生产实力,就具备了其他国家或企业难以超越的竞争优势,不仅能够将产品线延伸至多种信息产品,进行“纵向竞争”,还可以利用手中的专利和专有技术来限制竞争者生产兼容产品,或者阻挠竞争者建立联盟,进行“横向竞争”,以确保自己在市场中的份额。
由此可见,谁控制了标准,谁就会在激烈的市场竞争中取得主动。也就是管理学中经常提到的“一流企业定标准,二流企业做品牌,三流企业卖技术,四流企业卖产品”。给我们联欣的提示就是:我们联欣现在的订货会基本处于领先地位,但是不明显,我们一定要与肖邦科技、捷慧达等同行拉大差距,将他们远远甩在身后,更大程度地掌控订货会市场,由我们联欣来制定未来订货会的标准!道路艰难,所以我们更要居安思危,为自己提出更高的目标,并努力奋斗,让联欣更上一层楼,尽早实现上市目标!
最后献打油诗一首与联欣人共勉!(最后一句双关,一、谐音表心志,二、隐晦剖真理)
联众人之志
欣繁荣尤在加领导心上
油崛于股市
第四篇:谈理论发展趋势论文
一、激励客体和对象趋向集中于对企业经营者的激励
在以往的激励工作乃至当前的改革中,凡涉及激励,往往着眼于对一般职工的奖惩和精神激励,而对于企业的高层管理人员——企业经营者来说则缺乏理论探讨和实践。其实,对于普通员工的激励,相对来说是较为容易而次要的。由于劳动分工和生产专业化的存在和深化,每一职工的操作和工作越来越单
一、明晰和有形,确定性的工作表现为工作方法、方式、工业流程的标准化。这种细致的分工意味着可以比较容易地确定一系列准确、精密和具体的涵盖其工作数量、工作质量和工作速度等方面的考核指标体系,并以此为基础,确定对职工的奖惩方式和奖惩程度,合理地分配组织激励资源。而相对来说,企业高层经营管理人员其工作主要是决策、计划和人力资源开发,其经营管理工作的直接成果主要是主意、指令、宗旨、目标、规范、制度,是软性的、无形的,同时其努力程度、能力、风险态度、投资倾向和决策正确性等内涉及变量和滞后显示变量囿于信息、时间和空间的限制很难及时准确地用简单的考核指标来衡量。其次,企业经营者的间接劳动成果(即企业表现)具有非常复杂的背景和归因。其可察变量(如资本利润率、企业成长和增长速度、全员劳动生产量、产值、成本、技术进步和生产率)其特性或根源往往不是一维而是多维的,企业经营管理工作量是个复杂动态的系统,其可察因素往往是多维因素非线性作用的结果。这时偏倚、强调某一因素和特性会产生不适当的刺激作用,因此平衡各方面的因素,进行恰到好处的激励决定着激励机制的制定、激励资源的合理导向和配置。再次,企业经营者的劳动成果——企业表现,非但隐含着异常复杂的背景(如努力程度、能力、风险态度)而且还受到不少非经营者所能控制因素的影响(如在计划经济和市场经济的混合体制下由于企业目标多元化和行政指令的干涉而导致的激励不准确、不规范、不公平和证券市场投机行为等)。因此,对于企业经营者的激励和诱导日益成为现代激励理论的研究重点。
二、对企业经营者进行有效的激励和约束
已有的激励理论主要是从心理学和组织行为学的角度来展开研究的,激励被认为是通过高水平的努力实现组织的意愿,而这种努力以能够满足个体某些需要和动机为条件。因此,流行的管理激励理论可以分为两类。一类是以人的心理需求和动机为主要研究对象的激励理论,这包括默里的需求理论、麦克莱兰的成就激励理论、马斯洛的需求层次论、阿德佛的ERG理论、弗雷德里克·赫茨伯格的双因素理论。另一类是以人的心理过程和行为过程相互作用的动态系统为研究对象的激励过程理论。这种理论以系统和动态的目光来看待激励,这主要包括弗鲁姆、波特和劳勒的期望理论、亚当斯的公平理论、迈克尔·罗斯的归因理论和轨迹控制理论、斯金纳的强化理论。激励过程理论体系较之于激励内容理论体系从系统性和动态性的角度来说是一种巨大的进步,但从根本上来说仍以对人的心理特征和以此为基础的行为特征为出发点。而人的心理需求难以加以观察、评估和衡量,属于内涉变量;同时心理特征必然因人、因时、因事而异,并处于动态变化之中,各种激励方法实施的可重复性差,由此而难以把握;再次随着人们对于激励条件的适应性,任何激励因素都会变成保健因素,致使管理组织激励资源的稀缺性和激励因素(如工资、奖金)的刚性之间存在着严重的冲突,使得管理激励难以持久。因此,激励往往被认为是属于管理艺术和领导艺术的范畴,是一种令人敬而远之、望而生畏的工作。激励,尤其是对企业经营者的激励一直是世界性的难题,以往的激励理论和实践中所存在的种种问题就是最好的说明。但激励是现代企业经营管理工作的一项职能,并依附于其他职能(如决策、计划、人力资源开发、指挥、控制)及其衍生的目标,激励归根结底是在对其他职能履行状况的评价的基础上促进其他职能更好地开展的职能。因此,激励工作的真正科学性在于以企业经营管理工作的性质和规律为依据,设置合理的激励机制和约束机制,对企业经营者进行有效的激励和约束。
事物的性质和规律是指事物本身所具有的、区别于其他事物的特征和联系。管理工作的性质和规律是指管理工作本身所具有的、区别于一般劳动和其他工作的根本属性和内在联系。目前,已经探索和归纳出企业经营管理工作的9种特性,即权力性、知识性、成果无形性、效果的间接性、效益的滞后性、随机性、创新性、信息不对称性和二重性。企业经营者只有遵循其管理工作的性质和规律才能做好企业经营管理工作。
同时,对企业经营管理工作性质和规律的研究,也给我们提供了解决激励和约束问题的方法论。我们可以从企业经营管理工作的性质和规律出发,设计对企业经营者的激励和约束机制。如根据企业经营管理工作
效益的滞后性,即企业经营管理工作主要是决策、计划和人力资源开发,与一般劳动和技术工作相比,管理工作的时效更强,其效益具有滞后性,企业管理工作的成果与失误可能经过若干年后才能显示出来,企业当前的效益可能得益于当前管理决策的正确,也可能是以牺牲今后的长远效益为代价的。我们可以设计出年薪制、远期收入制、股票购买权、长期雇佣制、资产连带制、决策责任制等激励约束机制。又如企业经营管理工作具有权力性,管理就是通过其他人来完成工作,是筹划、组织和控制一个组织或群体的工作。凡是直接生产具有社会结合过程的形态,而不是表现为独立生产者独立劳动的地方,都必然会产生监督劳动和指挥劳动,管理工作具有权力性,即指挥别人的权和强迫别人服从的力。管理要通过各种职能机构和人员的职、权、责活动来进行,管理机构和管理人员,无论职位高低、责任轻重,都拥有一定的权力。人们除了拥有对企业的控制权力以外,还不同程度地对企业资产享有剩余索取权(包括股权、债权、红利、奖金、薪金),合理地拥有权力是做好管理工作的有效激励因素。因此,又可以设计出团队生产、民主管理、参与式管理、工作扩大化、工作丰富化、股份合作制、管理激励和产权激励的适度结合等多种方法方式。
三、从激励方法、方式的研究过渡到对经济机制的设计和研究
打开企业“黑箱”并加以抽象,企业作为有机联系的自组织系统主要包含和充斥两种主要的关系——人与物之间的关系和人与人之间的关系。人处于管理系统中的核心位置,通过四通八达的信息网络与物(包括生产资料、生产设备、资金、运输工具等)和其他人相联系。一方面,在人与物形成的对立统一中,人与物之间主要存在着知识的信息不对称。由于真正的生产力是作为死的劳动的物的因素和作为活的劳动的人的因素相结合的产物,而且生产力的大小即物的因素在生产力中所起的作用取决于人的能力的发挥,因此,激励就必须使人的积极性、主动性和首创性得到充分的发挥,不断努力学习和创新,使人减少对物的知识的不对称,最大限度地使自己的认识与客观物质世界相一致。另一方面,在人的组织系统中也存在着信息不对称。在企业经营管理中,企业经营管理工作者处于信息交汇中心,与企业外部管理层,如企业资产所有者或上级主管部门相比,企业经营者(即代理人)掌握的信息多或具有信息优势,而委托者掌握信息少,或处于信息劣势,同时企业内部各个阶层之间也存在着这种信息不对称。信息不对称包括动机不对称和知识不对称,从理论上讲,知识不对称是可以解决的,而动机不对称则难以克服。信息不对称又必然导致逆选择行为和败德行为。由于企业及其组织内部充斥着四通八达的、纵横交错的信息流和信息网络,同时又伴随着不可避免的信息不对称,因而传统的仅限于局部的、具体的、微观的激励方法、方式只能对有限时间和空间的信息,予以疏导和规整,在一定程度上激发企业人员的工作积极性和主动性而不能从根本上解决对企业人员尤其是对企业经营者的激励问题。也正是在这种意义上,激励成为管理学、组织行为学、信息经济学和制度经济学的前沿研究领域。
解决问题的关键途径在于经济机制的设计理论。以系统、健全、完整和适宜的经济机制自动有效的整合和规范企业的信息通道,减少信息不对称,提高企业人员的工作积极性,以尽量少的成本和组织资源来更好地完成组织功能和实现资源帕累托最优配置,经济机制和制度的设计主要包括三个方面,一个方面是市场机制的设置,包括产品市场、要素市场和资本市场的制度设置,但由于现实中的三种市场皆为不完全信息市场,因此就给政府宏观调控机制和企业内部经济机制的设计留下创新的空间。作为行为主体的政府,其运作机制的设置主要目标是,规范和调节市场秩序,兼顾市场效率和公平,为企业创造公平、透明的市场环境,使市场信号能真实地反映企业的利润指标和经营绩效,使企业有参与市场竞争、创造佳绩的积极性和主动性。而对企业制度的设计则主要是建立和完善规范的公司制下的内部治理结构和组织结构,尤其是新老三会的合理制衡体系,规范企业经营行为,以减少信息不对称和责任不对等所导致的经营者的机会主义行为,进而使经营者和所有者之间、各级管理者之间激励趋于相容,同时构建和完善产权激励机制和管理激励机制。
第五篇:浅谈分布式防火墙技术的应用与发展趋势
浅谈分布式防火墙技术的应用与发展趋势
传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是“分布式防火墙”,英文名为“Distributed Firewalls”。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了:集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为“嵌入式防火墙”,其实其核心技术就是“分布式防火墙”技术。
1.分布式防火墙的产生
1.1 传统防火墙的缺陷
传统防火墙根据所采用的技术,可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。
包过滤防火墙的工作原理:包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知――也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。基于这种工作机制,包过滤防火墙有以下缺陷:
(1)特洛伊木马使包过滤器失效;
(2)第0个分段中便过滤TCP;
(3)只能访问部分数据包的头信息;
(4)不能保存来自于通信和应用的状态信息;
(5)处理信息的能力有限。
(6)允许1024以上的端口通过; 应用网关防火墙也存在着许多缺陷:
(1)不能为UDP、RPC等协议族提供代理;
(2)可提供的服务数和伸缩性也有限;
(3)不能被设置为网络透明工作;
(4)容易消除阻断的URL;
(5)无法保护操作系统;
(6)管理复杂,影响系统的整体性能等。
基于上述原因,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,它通过把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。
1.2 分布式防火墙定义
1.广义分布式防火墙
防火墙是一道介于开放的、不安全的公共网与信息、资源汇集的内部网之间的屏障,由一个或一组系统组成。
图
(二)其工作原理由图所示。
广义分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三部分:
(1)网络防火墙(Network Firewall):用于内部网与外部网之间(即传统的边界防火墙)和内部网与子网之间的防护产品,后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。
(2)主机防火墙(Host Firewall):有纯软件和硬件两种产品,是用于对网络的服务器和桌面机进行防护。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。它达到了应用层的安全防护,比起网络层更加彻底。
(3)中心管理(Central Management):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。
2.分布式防火墙的特点
综合起来分布式防火墙技术具有以下几个主要特点:
1.保护全面性
分布式防火墙把Internet和内部网络均视为“不友好的”。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。
2.主机驻留性
分布式防火墙是一种主机驻留式的安全系统。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
3.嵌入操作系统内核
主要是针对目前的纯软件式分布式防火墙。操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。
4.类似个人防火墙
针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处,如都对应个人系统,但两者的差别又是本质的。首先,它们的管理方式不同,个人防火墙的安全策略由系统使用者自己设置,目标是防止外部攻击;而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置,除了对该桌面系统起到保护作用外,还对该桌面系统的对外访问加以控制,并且这种安全机制是使用者不能改动的。其次,个人防火墙面向个人用户,而针对桌面应用的狭义防火墙面向的是企业级用户,是企业级安全解决方案的组成部分。
5.适用于服务器托管
不同的托管用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。对于安装了中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。3.分布式防火墙的优点
综合起来这种新的防火墙技术具有以下几个主要优点:
1.分布式体系结构保护内网安全
分布式的系统构架能够满足不同形态和规模的网络,能够适应网络结构和规模的变化,系统的灵活性得到充分的体现。[5]分布式的安全思路是在保证每个节点安全的前提上,达到整个网络的安全,某个节点的脆弱环节不会导致整个网络的安全遭到破坏。因此,创新的分布式的体系架构对于内网和移动办公的防黑和防木马、防病毒都起到很好的防护作用。
2.集中管理
独特的集中管理方式,对所有节点的管理可以通过统一的安全策略管理服务器来完成。中央策略管理服务器是一个集成的管理环境,负责给各个节点分发安全策略,记录客户端的工作状态,记录客户端强制复制的日志,记录服务器日志,并可以生成,指派,扫描和检查所有的客户端安全策略。通过集中管理控制中心,统一制定和分发安全策略,真正做到多主机统一管理,最终用户“零”负担。同时,通过不同的集中管理控制策略的制定,还可以对最终用户的上网行为进行控制。
3.中央控制策略动态更新
管理员在管理服务器更新安全策略之后,会在很短的时间内动态分发到各个客户端节点,只要客户端的机器空闲,客户端就会自动从统一策略服务器更新策略,用户也可以手动启动安全策略更新程序。客户端将会自动加载这些新的安全策略。安全策略在网络传输的过程中是以加密的形式完成的,不会被黑客窃听安全策略的具体内容。同时客户端所自行采用的安全策略只能比统一分发的中央控制策略的安全级别更高,不可以低于统一分发的中央控制策略的安全级别。
4.系统扩展性增强
分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
4.分布式防火墙的主要功能
综合起来分布式防火墙技术具有以下几个主要功能:
1.控制网络连接(包过滤、基于状态的过滤)
2.应用访问控制
3.网络状态监控
4.入侵检测
5.防御黑客攻击
6.脚本过滤(对常见的各种脚本,如JavaScript、VBScript等ActiveX脚本进行分析检查)
7.日志管理
8.客户端定制的安全策略
9.对安全策略、日志和数据库的备份
10.统一的安全策略管理服务器 5.分布式防火墙技术的发展
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将主要向两个方向发展:分布式主动型防火墙技术和分布式智能型防火墙技术。
1.分布式主动型防火墙
随着分布式防火墙技术的不断发展,未来分布式防火墙技术将向分布式主动型防火墙技术发展。不是被动地防止攻击,而是将内部的攻击拒绝在攻击者处。有效防止来自内部的拒绝服务攻击,使服务器能正常提供服务,从而克服分布式防火墙在防止拒绝服务攻击上的不足。
2.分布式智能型防火墙
分布式智能型防火墙是未来分布式防火墙发展的另一个方向。它具有以下几个特点:
(1)透明流量分担技术
保证了防火墙能够加大带宽,同时又起到双机设备的作用,显著提高防火墙的可用性。其巨大的吞吐能力,保证了客户网络巨大数据流的来往,并且不会影响网络速度和性能。
(2)内核集成IPS模块
分布式智能型防火墙将IPS作为一个模块集成到里面,直接在主干上直接监测并且阻断供给,更高效更安全。并且,如果单独放置IPS,那么这些DOS攻击以及防扫描的工作就被提到了应用空间去完成,显然没有集成之后的IPS直接在防火墙的内核处理的效率和稳定性高。
(3)预置防IP欺骗策略
智能型分布式防火墙的“防黒客”功能,能够对IP欺骗,碎片攻击,源路由攻击,DOS攻击等各种黑客攻击进行有效的抵抗和防御。
结论:
纵观防火墙技术的发展历史,分布式防火墙技术无疑是一座里程碑。它不但弥补了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。分布式防火墙分布在整个企业的网络或服务器中,具有无限制的扩展能力,随着网络的增长,它们的处理负荷也在网络中进一步分布,进而持续保持高性能。然而当前黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展,对分布式防火墙技术提出了更高的要求。分布式防火墙技术只有不断向主动型和智能型等方向发展,才能满足人们对防火墙技术日益增长的需求。
点击咨询 