第一篇:美国网络信息安全产业格局分析
美国网络信息安全产业格局分析
导读:孙子兵法云“知己知彼,百战不殆”。在中美网络安全领域“斗而不破”的遏制与反遏制、打压与反打压博弈中,对美方的战略、能力、产业、技术等进行全面综合的了解至关重要。但遗憾的是,过去中方的视角长久的放在关键基础技术领域,放在微软、英特尔、谷歌、苹果等厂商身上,却忽略了美国产业体系中一股强大而独立的力量,其信息安全企业星群,他们也同样是美国全球战略能力的基石。
在网络信息攻与防的双方向上,美国均拥有着全球最顶级的巨大威慑力和他国看似无法企及的战略优势,而来自中国的观察者易于犯的错误是——既伴着内心深深的忧惧,对这种战略优势进行着轻率地道义层面批判,却缺少对其核心支撑点——信息安全产业的深入而系统地分析。
美国信息安全产业并不是一台生冷而高耸的巨型兵工厂或商业机器,而是一组生动、富有理想与活力的企业符号。长期以来,国内对这些企业符号充满了疑问和不解,一方面,是其传统的巨头Symantec、McAfee等始终屹立不倒;另一方面则是新兴企业与新兴技术此起彼伏。
巨头型厂商厚重全面的解决方案与独立安全厂商的新概念、新产品交相辉映,令观者应接不暇,更令把美国当作信息化和信息安全建设标尺的各国政府和行业用户茫然无措。
但如果我们把这些企业的规模、并购关系、技术领域、市场范围以及与美国政府的关系,完全罗列开来,进行梳理的时候,就会发现他们并非如突兀坠落在平原上的巨型陨铁,而是有着鲜明的层次和关联的大战略基石。
一、美国信息安全产业格局的层次分析 一如美国在其他信息产业领域的优势一样,以Apple、Google、IBM、Microsoft、Ora-cle、Cisco、Qualcomm、Intel、Facebook(按市值排序)等为代表的基础信息巨头同样在信息安全产业架构中扮演着宽阔而坚实的地基。其稳居全球供应链的顶端位置、进行大量的信息聚合和创造、改变全球用户的工作和生活方式,其一方面构成美国全球战略威慑能力,同时又能反过来游说院府影响美国的政治走向。
而透过斯诺登事件,公众们亦知道了,他们与美国的庞大国家机器微妙互动,强化了后者覆盖全球的情报能力。由于这些企业规模庞大、市值往往以千亿美金衡量,并持续进行并购,不断扩容体量,我们可以称其为信息“寡头”企业。
在这些寡头层次之上,则是信息安全产业的巨子们Symantec、McAfee、Trend micro(趋势),他们市值数十亿美金乃至数百亿美元,尽管这些企业均从反病毒起家,但经过多年发展和持续地兼并重组,其产品跨度已经形成完整的从流量到端的解决方案能力、并向集成、存储、云等安全关联的各方面扩展,产品用户覆盖全球。对中国类似石油、电信、电力等关键行业来说,选择其产品曾长期被视为“政治正确”的选择。
而对更多的安全厂商来说,其依然专注于系统安全、网络安全或其他安全技术的某个窄带领域,可以称其为专业安全厂商或独立安全厂商:
美国专业安全厂商,除了具有单点专注的特点外,大多不仅服务于美国用户,也坚定地追求着全球市场。他们是全球网络安全技术发展的风向标,他们享有“美国制造”的国家品牌带入感,引导着信息安全创新的话语权。
但同时他们与寡头和巨头企业不同的是,他们执行更为稳健务实的市场政策,驾轻就熟地寻找当地国家的集成商和掮客企业,通过OEM绕过当地政策和法制的保护,如国内很多场合的“国产”防火墙招标就是Fortinet(飞塔)等美国品牌的“贴牌产品”内战。
随着市场发展,这些独立安全厂商既具有成为新巨头的潜质,同时也有被巨头收购,成为其解决方案中一部分的可能。
而由于美国瞄准全球市场的安全厂商和明星过多,亦掩盖了若干隐形的冠军和一个特殊的市场,即面向其政府和国家机器用户的专用市场。而其中又呈现出两个企业群落,即专用技术企业和承包商。
专用技术领域,是和美国国家机器作业关联密切的技术服务领域,包括入侵取证、数据恢复、数据分析等,这些厂商有的是独立厂商,也有的是巨头厂商或其他大型传统企业(甚至是非IT企业)的一部分。大数据分析的明星企业Palantir作为美国官方的御用安全企业,是这个产业群体的代表之一。
而承包商则往往是更深入情报作业的直接参与和执行者,类似斯诺登所效力的Booz Allen Hamilton、信号分析处理厂商Argon ST、面向C4I系统的网络安全服务厂商GnostechInc等。在这个层次上,我们可以看到美国信息安全思想与其国土安全观和全球战略能力的融合。
这些厂商不止服务于专用网络信息系统,也服务于关键工业生产、军事装备等领域。安全思想通过这种服务,深达到更多的关键层次领域,达成虚实结合、网电一体。信息安全概念、意识和方法也同时扩散到社会基础、国土安全和军事体系的全景纵深。通过图1我们可以看出,尽管美国信息安全企业技术领域繁多,投资关系复杂,但这其中几条边界非常清晰。
●基础寡头和独立安全厂商的边界: 尽管传统寡头厂商不断兼并独立安全厂商以扩大体量,但我们看到的是其既未导致“独立安全厂商消亡”而构成对自由竞争的伤害;同时也没有改变寡头厂商的原有轨迹——他们依然坚定扮演集成服务提供商或者网络服务提供商的固有角色。
如Google绝不会因为兼并Virustotal(多引擎扫描服务提供者)和Zynamics(安全分析工具软件制造商)而变成一个在安全市场上有所动作的厂商。无论规模大小,美国厂商通常都具有简单清晰的模式与价值观。
●开放市场和专有市场的边界:
从某种意义上说,以全球市场为目标的美国独立安全产品厂商专注而窄带,使其不会向与国家机器的情报体系“过从甚密”的方向游移,从而导致伤害其面向全球用户的信任力。
而专有市场的存在,亦既有助于形成美国独有的国家安全作业能力,避免信息外泄,同时,也保证这些厂商不必在全球市场收益和美国官方诉求间徘徊,而可以坚定地如被Fireeye收购之前的Mandiant一样,在中美大国博弈间,充当非官方的技术喉舌(而即使这种并购发生后,Fireeye也在努力强调“M部门”与Fireeye本体之前的区别)。
从这个意义上说,这个层次不仅是一个商业层次,也构成了大国话语权博弈的立体纵深。
●政府、军方与承包商的角色与关系:
围绕军方和情报机构承包商体系是重要的美国商业文明特色,其在具体的情报作业层面,弥补了国家机器本身的人力不足,遏制了大政府倾向,而同时也形成了一个独有的信息层次屏障。尽管出现了斯诺登事件,但我们依然要看到,在充分利用信息的联通和共享,主动国家安全能力提升的思路下,承包商层次其实在很长时间扮演了一个信息和作业中间带的角色。
同时也可以看到,这些承包商(包括部分专有市场厂商),往往由前军政界人士发起或者担任高管,其也建立了一种约定俗成的合法利益输送层次(旋转门),形成了一种既同谋共赢、又不伤害美国国家能力的特殊(而且是合法的)政商关系。
这个看似严谨又充满活力的庞大体系,并不是某种计划经济的产物,也不是某届或某几届总统班子马基雅维利式先验设计的结果。而是在其“企业自由”的立国支撑点下,持续遵循内部自由竞争、对外强力输出的产物,可以概括为“顶层设计、自由生长、建立规则、强化优势”。
二、领跑者:巨头的形成与价值
美国作为计算机和互联网的本土,在上世纪80年代的个人计算机革命中,亦诞生了一批其早期安全企业,这其中就包括了被称为信息安全传统三大的Symantec、McAfee和Trend Micro(尽管Trend Micro自诩为治理结构跨美、日和台湾地区的国际厂商,而并不完全是美国厂商,但其根本上还是获益于美国的土壤和产业机会,并也在硅谷信息安全群中扮演重要角色)。
他们的共同特点都是创建于上世纪80年代,在反病毒领域获得了产业认同和早期价值最大化,而逐步成为拥有了上万名员工、十亿美金量级的销售额的企业巨人。
他们当初在反病毒领域获取第一桶金并不偶然,信息安全市场有两个最重要的最成熟的领域,一个是以反病毒为代表的系统(主机)安全领域,一个是防火墙(安全网关)为代表的网络安全领域。这两类产品都是在与主流威胁对抗中不断改进成型,并逐步具备了共同特点,即经过基本的安装配置部署后,就自行成效,可以不经人工干预而产生效果。而相比之下,类似IDS、扫描器等对使用者的能力和精力有较大依赖的产品,均未能形成较大市场规模。
病毒的威胁在上世纪80年代下半期即快速到来,因此主机安全技术的商业化,要比网络安全技术早了十余年。但 “三大巨头”并非唯一的先行者,上世纪80年代末、90年代初,反病毒企业在全球如雨后春笋般浮现,反病毒核心技术“反病毒引擎”的第一技术平台此时亦并不在美国,反而是由Kaspersky和Dr.Solomon为代表的欧系厂商占据,与美国厂商呈现争锋之势。
在这种对垒中,美国国内市场庞大的内需、资本市场的澎湃活力所带来良好融资能力、以及全球市场的布局辐射,让尚在幼年的“三大”站上了巨人肩膀。他们纷纷较早跃上美国资本市场,并开始了持续的并购之路。
使之从单一反病毒厂商发展为综合性的全领域解决方案的厂商。在这个美国企业能力不断强化,欧洲企业一边顽强创新、一边退守自保的过程中,Dr.Solomon很快被McAfee收购,而McAfee则完整获得了其先进引擎能力。而卡巴斯基虽然也稳健发展,成为俄罗斯IT的旗帜性企业,同时也成为俄罗斯国家安全的支点企业,但从商业上看,其并未成长为可以在市值(估值)和国际市场覆盖能力上与“三大”比肩的巨头。
传统“三大”与美国情报体系是否有密切的互动?目前尚未有公开资料可以证明。如从公开资料上看,至少没有证据显示他们参与了“棱镜”计划,但棱镜更多是NSA与具有内容和关系价值的互联网巨头厂商的合作。
而安全厂商自身的资源更多是安全事件、端设备环境和流量行为的信息,显然从这个层面上,作为安全厂商的情报价值是不够的。但传统“三大”对全球行业用户的部署到达能力、端和流量的结合手段、与作为安全厂商进行数据采样提交方面的用户先天容忍度,又有独特的情报优势。如果我们关注《Symantec互联网安全分析报告》,我们就同样可以看到能够采集这些资源所依托的巨大部署规模,以及这些信息所投射的战略价值。
三、专业安全厂商的创新迭代与创新方法
在美国独立信息安全企业的星群中,最富有魅力和研究价值的,是其专业安全厂商的创新迭代。在这个过程中新企业、新技术、新公司、新产品品类不断涌现,而从威胁到产品形态的新概念更迭,也让全球跟跑者们叫苦不迭。
无疑这种概括新威胁、定义新概念、形成新品类式的成熟打法,驱动了多家美国网络安全企业从初创到“各领风骚几年”式的快速迭代成长,但这种成功绝不是源自单纯的概念炒作和商业包装,而是有其值得尊敬的内因与外因。
其内因是:对新威胁的敏锐把握,丰富的产品想象力,迅速的单点核心技术突破,并形成新形态品类的能力;其外因则是:对于创新的鼓励和宽容,以及鲜明的专有核心技术价值导向。
在美国安全企业创新迭代案例中,其中最闪亮的轨迹,是网络安全厂商Netscreen、Fortinet、Paloalto Network和Fireeye依次崛起。而其所提出的产品概念,均创造出了细分市场,也依次在基于流量的安全产品中成为独立品类冠军。我们将这四家厂商的要素,绘制成表2,由此我们则可以看出,这些企业所形成的产品品类概念,绝非空泛包装,而是应对当时主流威胁的结果。
Netscreen面对信息高速公路建设引领的带宽快速增长趋势,提出了基于ASIC的高速硬件防火墙的思路;Fortinet面对网络应用发展带来的邮件蠕虫、垃圾邮件、广告软件等威胁,提出了“统一威胁管理”的概念;Paloalto Networks面对互联网客户端和SNS的大发展等带来的新威胁,设计了“下一代防火墙”;而Fireeye面对政经集团背景的APT攻击大潮,采用沙箱前置与流量产品结合的方法,亦形成了自己独特的反APT和0day漏洞的产品形态。
这四个厂商的创新过程,都是典型的硅谷路线。强力的技术核心团队迅速得到技术资本的关注和推动支持,在发展的过程中资本给予了研发之路高度的耐心和容忍,如Paloalto Network在起步近两年后,产品才基本成型,Fireeye在成立几年后,才找到了我们今天看到的正确产品思路。
更令人称道的是,在他们尚还弱小,并无足够的支付能力之时,大量人才就因其良好的发展前景和上市预期,从传统“三大”和其他主流企业纷纷加盟,呈现了一种令国内业界难以想象逆向流动的生态。
资本环境的追捧创造,必然推动了人才富有理想主义和冒险精神,而理想主义和冒险精神又获得了高回报的激励,这就构成了一个完整的正能量链条。
四、变局:大并购时代
2010年起,美国整个信息安全产业格局的发展开始进入到新的大并购时代。从2010年7月开始,在之后将近两年的时间里,美国企业发起了超过10个价值10亿美元以上的并购案,其中最有影响力的无疑是“Intel对McAfee的并购”,这是信息安全开始走向寡头化的风向标。
美国的传统软件厂商、大集成商、芯片供应商和既有的巨头安全企业,都纷纷出手把大量独立安全公司融入体系,这些并购使其技术原有短板得以补充、新技术的储备不足获得应对以及解决方案更加完整。
我们通过图2展示了在大并购时代所推动的跨行业寡头体系的形成。但在这个过程中,我们并未看到这种巨型“托拉斯”所带来的垄断和对创新的扼杀倾向。恰恰相反,这些并购多数并不是基于扩大市场份额、消灭竞争对手的考虑,而更多瞄准单点上有突出技术优势的以及能够弥补、或强化收购者自身短板的企业。
被并购的新锐技术团队,多半因其技术优势而获得了良好的溢价,几人、十几人的小团队都可因其核心技术能力,获得千万甚至数亿美元的估值。从而使收购成为良好的技术创新团队自我价值实现和风险投资者的推出通道,并引发了“从寡头中再次创业,再次被寡头收购”的风潮。
因此,大量并购不但没有消亡了美国在安全领域中的基础创新能力,反而使之成为了技术创新的动力源泉。
而在国际博弈中,来自欧洲、日本、印度等国的个性安全企业,则往往在崭露头角后,被美国巨头厂商兼并。从这些企业团队角度来看,已经达成了某种成功(但交易中的议价能力往往有所不足)。但从国家能力对比来看,则汇入了美国对单极世界主导地位不断被强化的趋势。
而反之,如果被收购的是美国厂商,而买主来自其他国家。美国官方和民间机构,则会陷入异常的敏感之中,美国官方所形成的《An Analysis of Chinese Investments in the U.S.Economy》一文中虽然轻描淡写的说:“对于中国的国际直接投资,美国政府并没有统一的立场。国家和地方官员寻求增加经济活动以吸引中国的国际直接投资„„同时,其他联邦官员极其担心中国的国际直接投资在国家安全和经济安全方面的潜在影响。”
但如果这种投资涉及网络安全,则基本不可能达成,2011年初,美国外国投资委员会阻碍华为收购小厂商3Leaf的案例,就是这种紧张感的典型案例。
中国企业在美国的并购动作,显然会触痛美国政府最敏感的神经。但如果认为这种紧张感仅仅是针对中国的,其实就误读了美国固有的“国家安全情结”,一个鲜明的例子是,即使对于同在西方阵营的小老弟以色列,美国也同样做出了阻碍Checkpoint收购美国著名开源安全厂商Sourcefire的举动。
五、产业秩序:互信与互动与产业联盟
2011年的RSA展会上,新兴的主机安全厂商Bit9打出了对巨头厂商McAfee的攻击性广告,但这其实是美国式的技术幽默。McAfee无疑会警惕Bit9,并视其发展做出对应的反应,但不会是那种“东方式”的强势打压。
自由竞争是美国企业发展的核心动力,这种动力中既有价值导向,也有规则定义——鼓励竞争、鼓励创新、限制垄断。
这种厂商间既存在合作,又存在互补、互信的一个良好例证是——基于各自的云化服务,美国已经形成了一个反APT作业的“事实联盟”,在这个体系上,有Palo alto Networks所贡献的可执行文件鉴定服务、Wildfire、Bit9所贡献的海量白名单和文件信誉鉴定、已被Google收购的Virustotal提供的多引擎对照扫描+静态分析+动态执行服务、Fireeye提供的文档格式溢出和移动应用鉴定服务,而一些新锐移动云端安全服务厂商如Trustlook、Virtual Threat等亦可能成为体系的一员,各厂商间购置对方的分析服务,作为自身分析能力的扩展,同时还有Solera等厂商兼容各家产品进行集中分析,Mandiant等则负责传播造势,从而形成了一个应对APT的产业资源体系和事实上的利益同盟。
六、政商关系解读
对于美国IT企业与政府间的关系,有两种意见都是偏颇的,一种是全面拔高其IT企业的道德操守和信息自由信仰,而对其与美国国家机器间的互动关系视而不见;而另一种则堕入彻底阴谋论,把一切美国IT产品都简单视为具有主观恶意的逻辑炸弹,亦把一切美国IT厂商都视为其情报体系的紧密互动层。而抛开这两种先天偏见,则有助于我们理清美国安全厂商与政府的微妙关系。
例如有人以德国《明镜周刊》报道的“NSA的ANT系列信息装备”作为美国安全企业为美国情报机构安放后门的证据,但经过对相关资料的分析研判,更准确的表达应该是有多家安全产品的弱点可以被NSA利用,这里需要注意的是“弱点”和“后门”有本质的区别,否则就很难理解为什么中国厂商华为也在这份名单之上。笔者认为,这个案例总体上只能说明NSA信息武备的丰富程度和强大的弱点与漏洞挖掘能力。
我们从斯诺登事件引出的信息中,亦可做出下列分析:
1.与美国情报机构建立密切关联的多数企业是有信息聚合能力的互联网巨头,由于其建立在全球用户以信息上载、聚合以及置换免费服务的模式基础上,美国可以通过爱国者法案对其数据实现“合法”监控。
2.Cisco与NSA的密切联系可以被证实,但并不能说这就代表了美国情报机构与其网络设备和安全厂商的典型关系,NSA可以放心与Cisco合作的原因,是后者已经建立起了全球市场的牢固不可替代性,同时其产品覆盖能力也有足够的战略价值。而其他美国厂商并不具有足够的政治风险抵御能力。
3.美国已经通过类似标准污染的方式(类似NIST SP800/90标准中对随机数强度的弱化),实现对更多产品的“上游感染”,而不需要直接和这些厂商发生情报作业的关联。
笔者愿意做出这样的判断,在全球范围普遍性的伤害美国企业的用户信任力,并不符合美国国家利益的最大化。换言之,美国在信息领域的战略威慑能力,首先来自其产品与服务的到达能力和覆盖程度,而不来自其中是否有可利用的后门。这种态度不是期望为美国专业安全厂商洗白,而是希望大国博弈的因应之策建立在理性的思考和分析之上。
我们不妨看棱镜门中的一个事实,在美国的互联网大佬中,Facebook是最后一个加入的,同时也是棱镜“上榜”企业中最后一个上市的,而尚未上市的Twitter则根据资料显示尚未加入。如果做一个类比来看,这可以称为“把羊养大了再挤奶”的原则,而不是“把猪养肥了再杀掉”。
而通过NSA向RSA公司支付1000万美元,换取其使用有后门的算法的操作,我们亦可以做出这样的判断,美国政府积极地为那些承担国家义务的企业提供补偿。
另一个案例或许也能为这种判断提供注脚,当美国政府要求Fireeye对中国禁售的时候,也同时设定规范,要求与五角大楼等政府机构有网络连接关系的军火商、大的IT厂商部署反APT产品,这种导向形成了在其“爱因斯坦”计划之外的一种单点但有效的反入侵能力层次,推动了以Fireeye为代表新锐厂商的产品部署,而从客观上,这构成了要求Fireeye放弃中国大陆市场的经济补偿。
七、启示录
网络信息安全早已不是实验室技术,其在本世纪初就进入了以大产业体系为基础,以企业创新为动力的时代。可以说没有产业就没有技术与产品,而没有企业这个基本元素,也就谈不上产业的存在。
经济界已经充分认识到中小企业是创新与社会发展的核心动力,而在信息技术领域,我们却依然期望简单地通过大规模的国家投入或是某个应用方向赌博式的技术绕前就可以改变当前的被动局面。美国信息安全产业的强大,为我们正确理解信息化和网络安全之间的关系提供了典范注解。国内有部分声音认为,依靠信息系统的国产化和信息系统某些安全特性的增强,就可以一劳永逸地抛弃所有的安全风险、威胁和积弊,而不再需要安全产品的保驾护航。
而事实上我们看到,作为拥有最高“国产化”率、最好的核心技术自给能力的美国,自身也同样面临着广泛的安全威胁,也拥有着最为发达的信息安全产业。这说明,强大的自主信息化和强大的自主网络安全互为保障,相辅相成,不可能互相取代。
美国信息安全产业的层次结构、价值导向、运行规则等,显然值得我们分析、研究、借鉴。
充足的内需是美国信息安全产业得以发展的基础,美国用户在信息时代发展中享受了最先进的技术成果,也同时深刻感受到了安全威胁,从而认识到了信息安全产品和服务是一个独立的市场门类和层次,这个层次不可能依靠信息体系自身内置的安全能力所取代。这种认识促成了信息安全产品采购在信息化的预算中长期超过20%的高比重,这为美国安全企业形成了充分的收益空间。
活跃的资本力量和成熟的资本市场则为美国安全厂商提供了助跑和催化机制,其对风险、收益、创新的成熟理解,促成了保护创新、引导创新的价值导向。从Fireeye亏损3000万美元上市,却能因其技术方向、产品能力和人才储备等因素获得极高的市值,我们就能看到美国证券市场的特有魅力。
而CIA背景的In-Q-Tel模式的横空出世,这代表了美国官方直接入局这一领域,为美国国家安全孵化出未来所需的技术支点。清晰的市场规范、对商业文明和契约精神的成熟理解、合理的政商关系设计等等,则都成为美国信息安全产业有利的保障力量。从而使“鼓励创新的中小安全企业发展,遏制垄断对创新的伤害”成为社会共识。
在大国竞技中,跟跑者未必要对领跑者亦步亦趋,但需要分析领跑者的领先轨迹。这种轨迹中有无法模仿的先发优势和地缘特点,以及历史经纬的偶然眷顾;但同样会有因果清晰的必然规律。
认识到这些,对于跟跑者的路径选择,至关重要。
第二篇:网络信息安全
网络信息安全
信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护,以实现电子信息的保密性、完整性、可用性和可控性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.硬件安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存储及流通数据的女全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
●包过滤技术(Packct Filtering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
●代理(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。运行代理服务的主机被称为应用机关。代理服务还可以用于实施较强的数据流监控、过滤、记录等功能。
●状态监控(Statc Innspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务代理。目前最有效的实现方法是采用 Check Point)提出的虚拟机方式(Inspect Virtual Machine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和 Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Timestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名
(二)网络信忽安全的目标
1.保密性。保密性是指信息不泄露给非授权人、实休和过程,或供其使用的特性。
2.完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
3.可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息
4.可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
5.可审查性。在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
网络信息安全面临的问题
1.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。2.黑客攻击手段多样
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。
有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。3.计算机病毒
第三篇:校园网络信息安全及策略分析论文
校园网络信息安全及策略分析论文
[摘要]高校信息化使所要处理的相关信息也在迅速地扩大,因此各高校都在加强网络信息平台的建设,尤其是校园网的建设,以此来管理数量庞大的信息。校园网络安全问题也因此成为各高校在信息化建设中面临的重大问题之一。针对高校网络的现状及问题提出了相应的安全评估和安全控制策略。
[关键词]校园网 安全分析 解决方案
一、校园网络安全隐患综合分析 1.物理层的安全问题
校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。
物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。2.系统和应用软件存在的漏洞威胁
在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。3.计算机病毒入侵和黑客攻击
计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。4.内部用户滥用网络资源
校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。
二、采取安全控制策略 1.硬件安全策略
硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。2.访问控制策略
访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。(1)防火墙控制策略
防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。(2)入侵监测控制策略
入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。公务员之家(3)服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。3.病毒防护策略
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。4.不良信息的防护策略
Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。5.建立安全评估策略
校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。
三、结束语
高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。参考文献: [1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.[3]李鹏,王纪凤,尚玉莲,等.防火墙与入侵监测系统在高校校园网中的应用[J].泰山医学院学报,2007,(11):906-907.[4]饶正婵.高校校园网络安全研究[J].福建电脑,2005,(11):49-53.[5]章萍.高职校园网络安全分析与解决方案[J].科技经济市场,2008,(5):29-30.校园网信息安全及防范策略
论文导读:随着计算机技术、网络技术的飞速发展和普及应用,校园网在学校的教学和管理中发挥着越来越重要的作用,为师生工作、学习、生活提供了极大的方便,正在悄然改变着传统的教学和管理模式。但是,它的安全问题日渐突显:计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患,对校园网信息安全构成了极大的威胁。关键词:校园网,信息安全,防范策略
1.引言
随着计算机技术、网络技术的飞速发展和普及应用,校园网在学校的教学和管理中发挥着越来越重要的作用,为师生工作、学习、生活提供了极大的方便,正在悄然改变着传统的教学和管理模式。但是,它的安全问题日渐突显:计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患,对校园网信息安全构成了极大的威胁。随着网络用户的快速增长,校园网信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。在校园网建设和运行过程中必须针对不同的安全威胁制定相应的防范措施,以确保建立一个安全、稳定高效的校园网络系统。
2.校园网面临的安全威胁
2.1 操作系统漏洞。这是造成校园网自身缺陷的原因之一。目前常用的操作系统Windows2000/XP、UNIX、Linux等都存在着一些安全漏洞, 对网络安全构成了威胁。如Windows2000/XP的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。加上系统管理员或使用人员对复杂的系统和自身的安全机制了解不够,配置不当,从而形成安全隐患。
2.2 内部用户的恶意攻击。这是校园网安全受到威胁的另一个主要原因。学校是计算机使用者集中的地方,学生中不乏高手;同时,学生的好奇心重,摹仿力强,即使水平不高,也可以用从网上下载的专门软件对他人的计算机进行攻击。据统计,校园网约有70%的攻击来自内部用户,相对于外部攻击者来说,内部用户更具有得天独厚的破坏优势。
2.3 保密意识淡薄。在校园网中内部用户的非授权访问,是校园网安全受到威胁的主要原因之一,最容易造成系统资源和重要信息的泄漏或被篡改。一些校园网为了简单省事,计算机的命名经常按部门名称命名,计算机的管理员账号也不作任何修改而采用默认账号,甚至不设登录密码,这等于给攻击者大开方便之门,让攻击者能轻而易举地发现自己感兴趣的目标而随意进入,对保密内容随意浏览,更为危险的是,有的数据非授权就可以任意改动,根本无安全可言。
2.4 计算机病毒的侵害。计算机病毒是由某些人利用计算机软、硬件系统编制的具有特殊功能的恶意程序。影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响高校校园网络安全的主要因素。
2.5黑客的攻击。除了面临来自内部的攻击之外,校园网还要防范来自外部黑客的攻击。外部黑客是利用黑客程序,针对系统漏洞,在远程控制计算机,甚至直接破坏计算机系统。黑客通常会在用户的计算机中植入一个木马病毒,与黑客程序内外勾结,对计算机安全构成威胁进而危及网络。
3.保障校园网安全的关键技术
3.1防火墙技术
防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上我们应按照以下配置来提高网络安全性:
根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
3.2入侵检测系统
入侵检测系统是帮助网络管理者及时、准确地发现网络的各种入侵行为与网络异常现象,并能进行告警、跟踪、定位的实时检测系统;也是通过对网络面临威胁的监控与分析,展示网络总体的安全态势的安全管理工具。入侵检测系统可以弥补防火墙相对静态防御的不足,是防火墙的合理补充。防火墙属于被动的静态安全防御技术,对于网络中日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动应对来自网络的各种攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高了校园网信息系统的安全性。入侵检测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警,提高了信息安全基础结构的完整性。
3.3漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
3.4网络版杀毒软件
为了在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,这种防病毒手段应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
部署网络版杀毒软件就可以较好的解决这个问题。例如:在学校网络中心配置一台高效的服务器,安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机,在各主机节点分别安装网络版杀毒软件的客户端。安装完后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机查杀毒。网络中心负责整个校园网的升级工作。由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件,然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是由程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
4.校园网信息安全的防范策略
4.1 物理安全
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。一般分为两个方面: 首先是要保护校园网中的计算机、服务器、路由器、交换机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;其次则是确保计算机系统有一个良好的电磁兼容工作环境。
4.2 访问控制策略
访问控制策略是保证网络安全最重要的核心策略之一,它的主要任务是保证校园网络资源不被非法使用和非法访问。一般主要分三个方面:首先是入网访问控制,在使用和访问网络教学资源时,网络系统软件要求用户输入用户名和用户口令,系统进行对入网用户的识别和验证是防止非法访问的第一道防线;其次是用户权限控制,用户权限控制是针对网络非法操作所提出的一种安全保护措施,不同级别的用户应设置不同的权限,以此来控制用户可以访问哪些资源;第三是网络监测和锁定控制,网络系统管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的访问,服务器应报警,以引起管理员的注意。同时对非法访问次数进行记录,并能自动锁定,以保系统安全。
4.3 信息加密策略
利用加密算法对敏感的信息加密, 可以防止被非法人员窃析。现在有一些加密软件可以加密邮件、文件等。利用这些加密软件可以有效的保护数据、文件、口令和控制信息在网络中的安全传输。论文参考。
4.4 备份和镜像技术
网络系统的备份是指对网络中的核心设备和数据信息进行备份,以便在网络遭到破坏时,快速、全面地恢复网络系统的运行。论文参考。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在人侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。论文参考。镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。
4.5 网络安全管理规范
网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括: 确定安全管理等级和安全管理范围; 制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
5.结束语
校园网信息安全是一项复杂的系统工程,不能仅仅依靠某一方面的安全策略,而需要仔细考虑系统的安全需求,网络信息安全涉及的内容既有技术方面的问题,又有管理方面的问题,应加强从网络信息安全技术和网络信息安全管理两个方面来进行网络信息安全部署,尽可能的为校园网提供安全可靠的网络运行环境。
参考文献: [1] 张武军.高校校园网安全整体解决方案研究.电子科技.2006 年第3 期.[2] 朱海虹.浅谈网络安全技术.科技创新导报,2007,32:32. [3] 符彦惟.计算机网络安全实用技术.清华大学出版社。2008.9 校园网络安全问题的防范浅析 摘 要 :计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。本文通过对校园网络安全问题的原因进行分析,提出了防范校园网络安全问题的一些技术和方法,并认为校园网络安全问题的防范不单单是通过技术手段,而防范的管理方法有时更重要。
关键词 :网络安全;木马;防范;管理
随着计算机及网络技术与应用的不断发展,全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。然而伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。
南昌工程学院从九十年代末就积极开始信息化建设,目前校园网网络为1000M主干,100M到桌面。无线AP一百多台,覆盖部分办公场所。网络出口为2534M,活跃账户11765个,在线用户人数高峰期在8000以上,教工和学生采用实名制身份账号有序使用校园网络。基于综合布线平台,学校围绕数字化管理、数字化教学、数字化生活和数字化科研,开展数字化校园应用建设。围绕数字化管理目前已经建设投入使用的有统一门户、统一数据标准、统一数据库、统一认证授权平台;建设了迎新、注册、选课、OA、教务、学工、人事、科研、资产、团委、档案等业务管理系统。围绕数字化教学引进了清华在线网络教学平台,并围绕这个平台,探索数字化辅助教学实践。围绕数字化生活,我们建设了校园一卡通系统,涉及消费、用电管理、身份认证等。在电子图书、电子期刊、数字资源等方面均逐步完善,为全校师生开展现代化教学提供了良好的基础和条件。
与此同时,广大师生在学习、生活、工作广泛使用计算机网络的同时,校园网络的安全问题也越来越突显。南昌工程学院校园网络网站和服务器每天都有百的攻击,电子校务也有人试图篡改数据,老师学生的上网帐号被盗的事件也常有发生,校园网络的不良信息也时常干扰学校的管理。如果这些问题不加以防范和控制,将会给学校带来很严重的不良后果。计算机和网络技术具有的复杂性和多样性,使计算机网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了病毒的种类,而且许多攻击都是致命的。由于互联网本身的性质没有失控和地域的限制,每种新攻击手段在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击导致计算机网络及系统瘫痪。变种新出现的攻击方法更具智能化,攻击目标直接指向互联网基础协议和操作系统层次,而且黑客手段不断升级翻新,因此,计算机网络安全面临更大挑战。通过这几年的案例分析,归纳起来,针对校园网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、黑客攻击、恶意传播不良信息等。
1、软件漏洞
每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。这也是校园网络用户容易被攻击、容易被中毒,反过来作为毒源又影响其他用户,它是校园网络不稳定的一个重要诱因。
2、配置不当
安全配置不当造成安全漏洞,例如,一些安全软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。还有一些可远程的端口处于开放状态,留下了被攻击的隐患。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
3、安全意识不强 用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
4、病毒
目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
5、黑客攻击: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
6、恶意传播不良信息:
由于一些网络用户出于某种目的,通过交互式公共的信息平台散布一些反动、淫秽信息,或散布一些造谣、诽谤、煽动性言论,这种方式带来的危害更严重,更广泛。也是综治工作的一个重点和难点。
针对网络的不安全因素,应该建立一套网络与信息安全防范体系,网络与信息安全防范体系应该是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,该安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。该安全体系不但从安全技术上入手,还应在管理上入手。从某种角度看,从管理上加强防范会更有效,特别是校园网络。
针对上述网络安全威胁,我们根据自身的网络现状和特点可以采取以下技术和方法:
1、防火墙技术
防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。但防火墙也不是万能的,它对很多木马的攻击和来自网络的攻击就显得无能为力。我们还要配合其他技术和方法来保障网络的安全。
2、入侵检测技术
入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件:
〔1〕事件产生器,提供事件记录流的信息源。〔2〕事件分析器,这是发现入侵迹象的分析引擎。
〔3〕响应单元,这是基于分析引擎的分析结果产生反应的响应部件。
〔4〕事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。
3、病毒防范
病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面 研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析,能主动对INTERNET中的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。
4、网站集群系统
通过一个软件平台,实现多个网站的建设和管理,降低网站维护的难度,减少网站维护的工作量;各网站既可有独立的域名、个性的页面风格以及相对独立的管理后台,网站间又可以实现信息相互共享。基于平台建设网站简单方便,无需编写任何代码,直接配置即可,非专业人员亦可搭建和管理网站。网站采用模版与信息相分离技术,以后的网站改版,只需重新做模版页面即可。网站的安全关系到学校的整体形象和相关秩序,是保障学校网站安全的重要环节。保障一个系统的安全比几十个网站系统要更加容易。而且采用静态网页技术,大大级减少了木马的攻击。
5、防范与制度相结合 在网络安全方面,技术性防范措施虽然很重要,但我认为校园网络安全的保障只有技术性防范还是远远不够的,例如,南昌工程学院学生帐号被盗的主要原因是因为学生的帐号密码使用的是默认的通用密码,没有进行修改,很容易被他人盗取。网络信息中心通过与保卫处和学工处协商,制定了违反校园网络安全的处罚办法,制定了一套报案、取证、笔录、处罚的完整程序。通过宣传使广大师生有了密码保护意识,同时也认识到网上盗号、非法攻击也是犯罪。这样,从两头进行防范。通过一段时间的运行来看,案件的发生率有明显的降低。通过十多年的实践,使我们认识到校园网络的信息安全不单单是计算机网络的问题,它会衍生去很多其他安全问题,也是校园不稳定因素的诱因、导火索、催化剂。我们应该通过技术的手段和可行的管理方法,在保障广大师生安全地分享网络资源的同时,积极的防范网络的不安全因素,我们期待着更先进的网络安全技术不断出现,它将会对网络安全的研究和可实际应用网络安全系统的开发起非常大的促进作用。同时,我们也要不断地总结工作中成功的经验和做法,使我们的校园网络更安全,社会更稳定。
第四篇:院士:中国网络太依赖美国 信息安全受制于人
院士:中国网络太依赖美国 信息安全受制于人
目前,棱镜事件仍在持续升温。对于该事件曝出的美国入侵我国网络系统,攻击我国内地及香港网络中枢等数百个目标的问题,中国工程院院士倪光南在接受《中国科学报》记者专访时指出,在技术上,棱镜等监控计划很容易施加到中国网络系统上,面对网络攻击,我国的网络空间仍缺乏防护能力。
“我国网络系统大多依托美国公司的技术、装备和服务,它们对于监控者来说几乎是透明的。更不用说有的本来就具有‘后门’,在这种情况下,外加的安全防护措施无济于事,必须从根本上改变这种局面。”倪光南说。
我国网络和信息系统大量使用外国信息技术产品。例如,思科的设备在我国网络中,尤其是在网络核心节点中占据很大的比重,微软的操作系统在PC领域垄断了市场,IBM的主机主宰了银行信息系统,甲骨文的数据库拥有很大的市场份额„„
事实上,我国信息化发展过程一直受到美国的牵制,关键行业如电力、银行等核心信息系统有90%以上使用国外产品。以数据库为例,多年来,国内数据库市场超过90%的市场份额被甲骨文等国际巨头占领。
信息安全的自主创新和贯彻国家意志已经成为事关国家安全的重大战略问题,如何保障国家信息安全已成为国家经济发展、科技进步、社会稳定的先决条件。
纵观整个信息化行业,我国在终端、网络、软件、服务器、集成电路芯片等IT基础设施建设上大都采用了国外技术、国外品牌,而自主技术、自主品牌多少有些遭遇习惯性“冷遇”。
“过去有关部门从未意识到,要对这些信息技术产品进行审查,要制订替换它们的计划。这次棱镜事件才使人们有了危机感。”倪光南说,“亡羊补牢,犹未为晚。希望有关部门以此为契机,真正制订和实施一个在网络和信息系统中逐步替换进口信息技术产品的计划。”
倪光南建议,面对日益增多的安全威胁,我国亟须完善自主可控的国家信息安全体系建设,紧跟国家信息安全等级保护制度,强化基础网络和重要信息系统的等级化保护和监督管理,落实等级保护相关措施。同时,鼓励和扶持民族核心技术及产品创新,运用具有自主知识产权的产品和技术,保障国家基础网络和重要信息系统安全,实现真正的自主可控,不再受制于人,把中国的信息安全掌握在自己手中。
“目前我国具有自主知识产权的信息技术产品大多已达到实用水平,尽管其中某些指标,特别是在成熟度方面还有一些差距,但其安全性要大大好于进口产品。而且,成熟度只有通过大量应用才能迅速提高。在多数情况下,不愿用国货,不是产品本身的问题,而是崇洋媚外、缺乏创新自信的问题。”倪光南说。
从保护国家信息安全的角度出发,信息产品、设备的采购应当尽量采购国产产品、设备,以达到信息安全自主可控的要求。
事实上,这也是国际通行的惯例。由于信息产品的安全性直接涉及国家安全和利益,美国等发达国家很早就制定了完善的信息安全产品策略,比如《保护美国关键基础设施》总统令,欧洲的《确保欧盟高水平的网络与信息安全的相关措施》等。我国的华为、中兴等企业就因此被美国拒之门外。
“我国也可以通过政府采购的合法途径,加强对优质可靠的国产产品的采购,提高对国家信息安全的保护。”倪光南说,“希望棱镜事件的教训能够促使中国各界大大提高对网络空间安全的认识,并落实到以国产网络信息产品替代进口产品、消除安全隐患的具体措施上。政府应当带头实施,就像买公车那样,带头使用国产软硬件。企业和科技界有责任保障我国网络空间的安全,这也是在信息领域赶上和超过发达国家的机遇。”
第五篇:网络信息安全自查报告
网络信息系统安全自查报告
我公司对网络信息安全系统工作一直十分重视,成立了专门的领导小组,建立健全了网络安全保密责任制和有关规章制度,由公司办公室统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我公司网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密和其他重大安全问题。
一、计算机涉密信息管理情况
今年以来,我公司加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取严格措施,形成了良好的安全保密环境。对涉密计算机(含笔记本电脑)实行了与国际互联网及其他公共信息网实现物理隔离,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机(含笔记本电脑)及网络使用,也严格按照公司计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我公司配备了防病毒软件、硬件防火墙,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是信息系统安全方面实行领导审查签字制度。凡上传网站的信息,须经有关领导审查签字后方可上传;二是开展经常性安全检查,主要对SQL注入攻击、跨站脚本攻击、弱口令、操作系统补丁安装、应用程序补丁安装、防病毒软件安装与升级、木马病毒检测、端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行监管,认真做好系统安全日记。
三是日常管理方面切实抓好外网、网站和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、U盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防静电、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括网站、邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我公司每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS运转正常、并添加了柴油发电机进行补充。系统安全有效,暂未出现任何安全隐患。
四、通讯设备运转正常
我公司网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口也是通过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我公司对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在公司开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、网站安全及 我公司对网站安全方面有相关要求,一是使用专属权限密码锁登陆后台;二是上传文件提前进行病毒检测;三是网站分模块分权限进行维护,定期进后台清理垃圾文件;四是网站更新专人负责。
七、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网站安全管理制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我公司结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是系统管理员于每周五定期检查中心计算机系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是实行领导定期询问制度,由系统管理员汇报计算机使用情况,确保情况随时掌握;四是定期组织全公司人员学习有关网络知识,提高计算机使用水平,确保预防。
八、安全教育
为保证我公司网络安全有效地运行,减少病毒侵入,我公司就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
九、自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)由于近几年网络管理人员变换频繁,造成对于线路规划混乱,近期将利用各种措施进行整理归档。
(二)加强设备维护检查和记录,及时发现问题解决问题。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
(四)检查中发现,我们对于计算机整体网络和机房的防范措施跟很多成熟的管理单位有差距,今后首先加强意识,然后按照规范进行各种管理。
河南省永联民爆器材股份有限公司
二○一三年八月十五日
点击咨询 