總體上說,一份安全解決方案的框架涉及6大方面:
1、概要安全風險分析;
2、實際安全風險分析;
3、網路系統的安全原則;
4、安全產品;
5、風險評估;
6、安全服務。
一份網路安全方案需要從以下8個方面來把握
1、體現唯一性,由於安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標准。實際中,每一個特定網路都是唯一的,需要根據實際情況來處理。
2、對安全技術和安全風險有一個綜合把握和理解,包括可能出現的所有情況。
3、對用戶的網路系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一個合適、中肯的評估,不能誇大,也不能縮小。
4、對症下葯,用相應的安全產品、安全技術和管理手段,降低用戶的網路系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網路系統抵抗風險和威脅的能力,增強系統本身的免疫力。
5、方案中要體現出對用戶的服務支持。
6、在設計方案的時候,要明白網路系統安全是一個動態的、整體的、專業的工程,不能一步到位解決用戶所有的問題。
7、方案出來後,要不斷的和用戶進行溝通,能夠及時的得到他們對網路系統在安全方面的要求、期望和所遇到的問題。
8、方案中所涉及的產品和技術,都要經得起驗證、推敲和實施,要有理論根據,也要有實際基礎。
『貳』 如何構建網路安全戰略體系
網路安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬碟故障或斷電,以及來自競爭對手的網路攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅(APT)的犯罪團伙,以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網路安全(例如應用安全和狹義的網路安全)至關重要。
安全應該成為整個企業的首要考慮因素,且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網路安全控制戰略。管理人員應該明白,所有的系統都是按照一定的安全標准建立起來的,且員工都需要經過適當的培訓。例如,所有代碼都可能存在漏洞,其中一些漏洞還是關鍵的安全缺陷。畢竟,開發者也只是普通人而已難免出錯。
安全培訓
人往往是網路安全規劃中最薄弱的環節。培訓開發人員進行安全編碼,培訓操作人員優先考慮強大的安全狀況,培訓最終用戶識別網路釣魚郵件和社會工程攻擊——總而言之,網路安全始於意識。
然而,即便是有強大的網路安全控制措施,所有企業還是難逃遭遇某種網路攻擊的威脅。攻擊者總是利用最薄弱的環節,但是其實只要通過執行一些基本的安全任務——有時被稱為「網路衛生」,很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地,企業也有責任執行維護網路安全的基本要求,例如保持強大的身份驗證實踐,以及不將敏感數據存儲在可以公開訪問的地方。
然而,一個好的網路安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言,攻擊者入侵系統的方式或「向量」數正在不斷擴張。例如,隨著信息和現實世界的日益融合,犯罪分子和國家間諜組織正在威脅物理網路系統的ICA,如汽車、發電廠、醫療設備,甚至你的物聯網冰箱。同樣地,雲計算的普及應用趨勢,自帶設備辦公(BYOD)以及物聯網(IoT)的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。
網路安全進一步復雜化的另一個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》(GDPR)這樣嚴格的監管框架還要求賦予新的角色,以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。
如此一來,對於網路安全專業人才的需求開始進一步增長,招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是,對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。
網路安全類型
網路安全的范圍非常廣,但其核心領域主要如下所述,對於這些核心領域任何企業都需要予以高度的重視,將其考慮到自身的網路安全戰略之中:
1.關鍵基礎設施
關鍵基礎設施包括社會所依賴的物理網路系統,包括電網、凈水系統、交通信號燈以及醫院系統等。例如,發電廠聯網後就會很容易遭受網路攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查,以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施,在遭遇網路攻擊後會對他們自身造成的影響進行評估,然後制定應急計劃。
2.網路安全(狹義)
網路安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網路安全通常需要權衡利弊。例如,訪問控制(如額外登錄)對於安全而言可能是必要的,但它同時也會降低生產力。
用於監控網路安全的工具會生成大量的數據,但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網路安全監控,安全團隊越來越多地使用機器學習來標記異常流量,並實時生成威脅警告。
3.雲安全
越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如,2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具,以幫助企業用戶能夠更好地保護他們的數據,但是需要提醒大家的是:對於網路安全而言,遷移到雲端並不是執行盡職調查的靈丹妙葯。
4.應用安全
應用程序安全(AppSec),尤其是Web應用程序安全已經成為最薄弱的攻擊技術點,但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始,並通過模糊和滲透測試來增強。
應用程序的快速開發和部署到雲端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上,考慮到威脅的擴散,這個關注點可能會發生變化。
5.物聯網(IoT)安全
物聯網指的是各種關鍵和非關鍵的物理網路系統,例如家用電器、感測器、列印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態,且幾乎不提供安全補丁,這樣一來不僅會威脅到用戶,還會威脅到互聯網上的其他人,因為這些設備經常會被惡意行為者用來構建僵屍網路。這為家庭用戶和社會帶來了獨特的安全挑戰。
網路威脅類型
常見的網路威脅主要包括以下三類:
保密性攻擊
很多網路攻擊都是從竊取或復制目標的個人信息開始的,包括各種各樣的犯罪攻擊活動,如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分,試圖獲取政治、軍事或經濟利益方面的機密信息。
完整性攻擊
一般來說,完整性攻擊是為了破壞、損壞、摧毀信息或系統,以及依賴這些信息或系統的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞,也可以是災難性的——大規模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。
可用性攻擊
阻止目標訪問數據是如今勒索軟體和拒絕服務(DoS)攻擊最常見的形式。勒索軟體一般會加密目標設備的數據,並索要贖金進行解密。拒絕服務(DoS)攻擊(通常以分布式拒絕服務攻擊的形式)向目標發送大量的請求佔用網路資源,使網路資源不可用。
這些攻擊的實現方式:
1.社會工程學
如果攻擊者能夠直接從人類身上找到入口,就不能大費周章地入侵計算機設備了。社會工程惡意軟體通常用於傳播勒索軟體,是排名第一的攻擊手段(而不是緩沖區溢出、配置錯誤或高級漏洞利用)。通過社會工程手段能夠誘騙最終用戶運行木馬程序,這些程序通常來自他們信任的和經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。
2.網路釣魚攻擊
有時候盜取別人密碼最好的方法就是誘騙他們自己提供,這主要取決於網路釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網路釣魚攻擊。這就是雙因素身份認證(2FA)成為最佳防護措施的原因——如果沒有第二個因素(如硬體安全令牌或用戶手機上的軟體令牌認證程序),那麼盜取到的密碼對攻擊者而言將毫無意義。
3.未修復的軟體
如果攻擊者對你發起零日漏洞攻擊,你可能很難去責怪企業,但是,如果企業沒有安裝補丁就好比其沒有執行盡職調查。如果漏洞已經披露了幾個月甚至幾年的時間,而企業仍舊沒有安裝安全補丁程序,那麼就難免會被指控疏忽。所以,記得補丁、補丁、補丁,重要的事說三遍!
4.社交媒體威脅
「Catfishing」一詞一般指在網路環境中對自己的情況有所隱瞞,通過精心編造一個優質的網路身份,目的是為了給他人留下深刻印象,尤其是為了吸引某人與其發展戀愛關系。不過,Catfishing可不只適用於約會場景。可信的「馬甲」賬戶能夠通過你的LinkedIn網路傳播蠕蟲。如果有人非常了解你的職業聯系方式,並發起與你工作有關的談話,您會覺得奇怪嗎?正所謂「口風不嚴戰艦沉」,希望無論是企業還是國家都應該加強重視社會媒體間諜活動。
5.高級持續性威脅(APT)
其實國家間諜可不只存在於國家以及政府組織之間,企業中也存在此類攻擊者。所以,如果有多個APT攻擊在你的公司網路上玩起「捉迷藏」的游戲,請不要感到驚訝。如果貴公司從事的是對任何人或任何地區具有持久利益的業務,那麼您就需要考慮自己公司的安全狀況,以及如何應對復雜的APT攻擊了。在科技領域,這種情況尤為顯著,這個充斥著各種寶貴知識產權的行業一直令很多犯罪分子和國家間諜垂涎欲滴。
網路安全職業
執行強大的網路安全戰略還需要有合適的人選。對於專業網路安全人員的需求從未像現在這樣高過,包括C級管理人員和一線安全工程師。雖然公司對於數據保護意識的提升,安全部門領導人已經開始躋身C級管理層和董事會。現在,首席安全官(CSO)或首席信息安全官(CISO)已經成為任何正規組織都必須具備的核心管理職位。
此外,角色也變得更加專業化。通用安全分析師的時代正在走向衰落。如今,滲透測試人員可能會將重點放在應用程序安全、網路安全或是強化網路釣魚用戶的安全防範意識等方面。事件響應也開始普及全天制(724小時)。以下是安全團隊中的一些基本角色:
1.首席信息安全官/首席安全官
首席信息安全官是C級管理人員,負責監督一個組織的IT安全部門和其他相關人員的操作行為。此外,首席信息安全官還負責指導和管理戰略、運營以及預算,以確保組織的信息資產安全。
2.安全分析師
安全分析師也被稱為網路安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。這一角色通常具有以下職責:
計劃、實施和升級安全措施和控制措施;
保護數字文件和信息系統免受未經授權的訪問、修改或破壞;
維護數據和監控安全訪問;
執行內/外部安全審計;
管理網路、入侵檢測和防護系統;分析安全違規行為以確定其實現原理及根本原因;
定義、實施和維護企業安全策略;
與外部廠商協調安全計劃;
3.安全架構師
一個好的信息安全架構師需要能夠跨越業務和技術領域。雖然該角色在行業細節上會有所不同,但它也是一位高級職位,主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網路安全基礎設施。這就需要安全架構師能夠全面了解企業的業務,及其技術和信息需求。
4.安全工程師
安全工程師的工作是保護公司資產免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位,其重點在於IT基礎設施中的質量控制。這包括設計、構建和防護可擴展的、安全和強大的系統;運營數據中心系統和網路;幫助組織了解先進的網路威脅;並幫助企業制定網路安全戰略來保護這些網路。
『叄』 網路安全技術的發展趨勢
專家論壇——信息網路安全技術及發展趨勢 - 華為 中文 [ 選擇地區/語言 ]
在信息網路普及的同時,信息安全威脅隨之也在不斷增加,信息網路的安全性越來越引起人們的重視。在當前復雜的應用環境下,信息網路面臨的安全形勢非常嚴峻。
安全威脅攻擊方法的演進
過去的一年裡,重大信息安全事件的發生率確實已經有所下降,往年震動業界的安全事件幾乎沒有發生。但是在這種較為平靜的表面之下,信息安全的攻擊手段正變得更具有針對性,安全形勢更加嚴峻。信息安全威脅方式的演進主要體現在如下幾個方面。
實施網路攻擊的主體發生了變化
實施網路攻擊的主要人群正由好奇心重、炫耀攻防能力的興趣型黑客群,向更具犯罪思想的贏利型攻擊人群過渡,針對終端系統漏洞實施「zero-day攻擊」和利用網路攻擊獲取經濟利益,逐步成為主要趨勢。其中以僵屍網路、間諜軟體為手段的惡意代碼攻擊,以敲詐勒索為目的的分布式拒絕服務攻擊,以網路仿冒、網址嫁接、網路劫持等方式進行的在線身份竊取等安全事件持續快增,而針對P2P、IM等新型網路應用的安全攻擊也在迅速發展。近期以「熊貓燒香」、「灰鴿子」事件為代表形成的黑色產業鏈,也凸顯了解決信息安全問題的迫切性和重要性。
企業內部對安全威脅的認識發生了變化
過去,企業信息網路安全的防護中心一直定位於網路邊界及核心數據區,通過部署各種各樣的安全設備實現安全保障。但隨著企業信息邊界安全體系的基本完善,信息安全事件仍然層出不窮。內部員工安全管理不足、員工上網使用不當等行為帶來的安全風險更為嚴重,企業管理人員也逐步認識到加強內部安全管理、採取相關的安全管理技術手段控制企業信息安全風險的重要性。
安全攻擊的主要手段發生了變化
安全攻擊的手段多種多樣,典型的手段包含拒絕服務攻擊、非法接入、IP欺騙、網路嗅探、中間人攻擊、木馬攻擊以及信息垃圾等等。隨著攻擊技術的發展,主要攻擊手段由原來單一的攻擊手段,向多種攻擊手段結合的綜合性攻擊發展。例如結合木馬、網路嗅探、防拒絕服務等多種攻擊手段的結合帶來的危害,將遠遠大於單一手法的攻擊,且更難控制。
信息安全防護技術綜述
信息網路的發展本身就是信息安全防護技術和信息安全攻擊技術不斷博弈的過程。隨著信息安全技術的發展,我們經歷了從基本安全隔離、主機加固階段、到後來的網路認證階段,直到將行為監控和審計也納入安全的范疇。這樣的演變不僅僅是為了避免惡意攻擊,更重要的是為了提高網路的可信度。下面分析信息網路中常用的信息安全技術和網路防護方法。
基本信息安全技術
信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為「攻(攻擊)、防(防範)、測(檢測)、控(控制)、管(管理)、評(評估)」等多方面的基礎理論和實施技術。目前信息網路常用的基礎性安全技術包括以下幾方面的內容。
身份認證技術:用來確定用戶或者設備身份的合法性,典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。
加解密技術:在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。
邊界防護技術:防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的特殊網路互連設備,典型的設備有防火牆和入侵檢測設備。
訪問控制技術:保證網路資源不被非法使用和訪問。訪問控制是網路安全防範和保護的主要核心策略,規定了主體對客體訪問的限制,並在身份識別的基礎上,根據身份對提出資源訪問的請求加以許可權控制。
主機加固技術:操作系統或者資料庫的實現會不可避免地出現某些漏洞,從而使信息網路系統遭受嚴重的威脅。主機加固技術對操作系統、資料庫等進行漏洞加固和保護,提高系統的抗攻擊能力。
安全審計技術:包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保管理的安全。
檢測監控技術:對信息網路中的流量或應用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。
網路安全防護思路
為了保證信息網路的安全性,降低信息網路所面臨的安全風險,單一的安全技術是不夠的。根據信息系統面臨的不同安全威脅以及不同的防護重點和出發點,有對應的不同網路安全防護方法。下面分析一些有效的網路安全防護思路。
基於主動防禦的邊界安全控制
以內網應用系統保護為核心,在各層的網路邊緣建立多級的安全邊界,從而實施進行安全訪問的控制,防止惡意的攻擊和訪問。這種防護方式更多的是通過在數據網路中部署防火牆、入侵檢測、防病毒等產品來實現。
基於攻擊檢測的綜合聯動控制
所有的安全威脅都體現為攻擊者的一些惡意網路行為,通過對網路攻擊行為特徵的檢測,從而對攻擊進行有效的識別,通過安全設備與網路設備的聯動進行有效控制,從而防止攻擊的發生。這種方式主要是通過部署漏洞掃描、入侵檢測等產品,並實現入侵檢測產品和防火牆、路由器、交換機之間的聯動控制。
基於源頭控制的統一接入管理
絕大多數的攻擊都是通過終端的惡意用戶發起,通過對接入用戶的有效認證、以及對終端的檢查可以大大降低信息網路所面臨的安全威脅。這種防護通過部署桌面安全代理、並在網路端設置策略伺服器,從而實現與交換機、網路寬頻接入設備等聯動實現安全控制。
基於安全融合的綜合威脅管理
未來的大多數攻擊將是混合型的攻擊,某種功能單一的安全設備將無法有效地對這種攻擊進行防禦,快速變化的安全威脅形勢促使綜合性安全網關成為安全市場中增長最快的領域。這種防護通過部署融合防火牆、防病毒、入侵檢測、VPN等為一體的UTM設備來實現。
基於資產保護的閉環策略管理
信息安全的目標就是保護資產,信息安全的實質是「三分技術、七分管理」。在資產保護中,信息安全管理將成為重要的因素,制定安全策略、實施安全管理並輔以安全技術配合將成為資產保護的核心,從而形成對企業資產的閉環保護。目前典型的實現方式是通過制定信息安全管理制度,同時採用內網安全管理產品以及其它安全監控審計等產品,從而實現技術支撐管理。
信息網路安全防護策略
「魔高一尺,道高一丈」,信息網路的不斷普及,網路攻擊手段也不斷復雜化、多樣化,隨之產生的信息安全技術和解決方案也在不斷發展變化,安全產品和解決方案也更趨於合理化、適用化。經過多年的發展,安全防禦體系已從如下幾個方面進行變革:由「被動防範」向「主動防禦」發展,由「產品疊加」向「策略管理」過渡,由「保護網路」向「保護資產」過渡。
根據對信息網路安全威脅以及安全技術發展趨勢的現狀分析,並綜合各種安全防護思路的優點,信息網路安全防護可以按照三階段演進的策略。通過實現每一階段所面臨的安全威脅和關鍵安全需求,逐步構建可防、可控、可信的信息網路架構。
信息網路安全防護演進策略
信息網路安全防護演進將分為三個階段。
第一階段:以邊界保護、主機防毒為特點的縱深防禦階段
縱深防禦網路基於傳統的攻擊防禦的邊界安全防護思路,利用經典的邊界安全設備來對網路提供基本的安全保障,採取堵漏洞、作高牆、防外攻等防範方法。比如通過防火牆對網路進行邊界防護,採用入侵檢測系統對發生的攻擊進行檢測,通過主機病毒軟體對受到攻擊的系統進行防護和病毒查殺,以此達到信息網路核心部件的基本安全。防火牆、入侵檢測系統、防病毒成為縱深防禦網路常用的安全設備,被稱為「老三樣」。
隨著攻擊技術的發展,縱深防禦的局限性越來越明顯。網路邊界越來越模糊,病毒和漏洞種類越來越多,使得病毒庫和攻擊特徵庫越來越龐大。新的攻擊特別是網路病毒在短短的數小時之內足以使整個系統癱瘓,縱深防禦的網路已經不能有效解決信息網路面臨的安全問題。這個階段是其它安全管理階段的基礎。
第二階段:以設備聯動、功能融合為特點的安全免疫階段
該階段採用「積極防禦,綜合防範」的理念,結合多種安全防護思路,特別是基於源頭抑制的統一接入控制和安全融合的統一威脅管理,體現為安全功能與網路設備融合以及不同安全功能的融合,使信息網路具備較強的安全免疫能力。例如網路接入設備融合安全控制的能力,拒絕不安全終端接入,對存在安全漏洞的終端強制進行修復,使之具有安全免疫能力;網路設備對攻擊和業務進行深層感知,與網路設備進行全網策略聯動,形成信息網路主動防禦能力。
功能融合和全網設備聯動是安全免疫網路的特徵。與縱深防禦網路相比,具有明顯的主動防禦能力。安全免疫網路是目前業界網路安全的主題。在縱深防禦網路的基礎上,從源頭上對安全威脅進行抑制,通過功能融合、綜合管理和有效聯動,克服了縱深防禦的局限性。
第三階段:以資產保護、業務增值為特點的可信增值階段
可信增值網路基於信息資產增值的思想,在基於資產保護的閉環策略管理的安全防護思路的基礎上,通過建立統一的認證平台,完善的網路接入認證機制,保證設備、用戶、應用等各個層面的可信,從而提供一個可信的網路環境,促進各種殺手級應用的發展,實現信息網路資產的增值。
在可信增值網路中,從設備、終端以及操作系統等多個層面確保終端可信,確保用戶的合法性和資源的一致性,使用戶只能按照規定的許可權和訪問控制規則進行操作,做到具有許可權級別的人只能做與其身份規定相應的訪問操作,建立合理的用戶控制策略,並對用戶的行為分析建立統一的用戶信任管理。
從業界的信息安全管理發展趨勢來看,基本上會遵循上述的三個階段來發展。目前還處於第二階段,第三階段的部分技術和解決方案也在開發中。下面我們詳細介紹第二階段——安全免疫階段。
安全免疫網路介紹
採用「堵漏洞、作高牆、防外攻」等防範方法的縱深防禦網路在過去的一段時間里對信息網路的安全管理發揮了重要作用。但是目前網路威脅呈現出復雜性和動態性的特徵,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為僵屍或跳板,再進一步發動大規模組合攻擊。攻擊速度超乎想像,已經按小時和分鍾來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。縱深防禦網路已經不能勝任當前的網路安全狀況。
用戶更需要零距離、多功能的綜合保護。安全能力與網路能力的融合,使網路具備足夠的安全能力,將成為信息網路發展的趨勢。安全免疫網路基於主動防禦的理念,通過安全設備融合網路功能、網路設備融合安全能力,以及多種安全功能設備的融合,並與網路控制設備進行全網聯動,從而有效防禦信息網路中的各種安全威脅。
免疫網路具備以下兩大特點
產品、功能和技術的融合
在安全免疫網路中,安全功能將與網路功能相互融合,同時安全功能之間將進行集成融合。此時,在安全產品中可以集成數據網路應用的網卡、介面技術、封裝技術等,如E1/T1介面、電話撥號、ISDN等都可以集成進安全網關。此外,新的安全網關技術可以支持RIP、OSPF、BGP、IPv6等協議,滿足中小企業對安全功能和路由功能融合的需求。網關安全產品已經從單一的狀態檢測防火牆發展到了加入IPS、VPN、殺毒、反垃圾郵件的UTM,再到整合了路由、語音、上網行為管理甚至廣域網優化技術的新型安全設備。
此外,在交換機、路由器甚至寬頻接入設備中也可以集成防火牆、入侵檢測、VPN以及深度檢測功能,而且原有的防火牆、深度檢測、VPN、防病毒等功能也可以集成在一個統一的設備中。相關的網路設備或者安全設備可以部署在網路邊緣,從而對網路進行全方位保護。
終端、網路和設備的聯動
安全免疫網路的聯動有兩個核心。第一個核心是接入控制,通過提供終端安全保護能力,在終端與安全策略設備、安全策略設備與網路設備之間建立聯動協議。第二個核心是綜合安全管理,綜合安全管理中心作為一個集中設備,提供對全網設備、主機以及應用的安全攻擊事件的管理。在中心與網路設備、安全設備之間建立聯動協議,從而實現全網安全事件的精確控制。
安全功能融合以及聯動防禦成為安全免疫網路的主題。融合的作用將使安全功能更集中、更強大,同時安全設備與路由功能的融合、安全功能與網路設備的融合將使網路對攻擊具備更強的免疫能力;通過基於安全策略的網路聯動,可實現統一的安全管理和全網的綜合安全防禦。
『肆』 網路信息安全的模型框架
通信雙方在網路上傳輸信息,需要先在發收之間建立一條邏輯通道。這就要先確定從發送端到接收端的路由,再選擇該路由上使用的通信協議,如TCP/IP。
為了在開放式的網路環境中安全地傳輸信息,需要對信息提供安全機制和安全服務。信息的安全傳輸包括兩個基本部分:一是對發送的信息進行安全轉換,如信息加密以便達到信息的保密性,附加一些特徵碼以便進行發送者身份驗證等;二是發送雙方共享的某些秘密信息,如加密密鑰,除了對可信任的第三方外,對其他用戶是保密的。
為了使信息安全傳輸,通常需要一個可信任的第三方,其作用是負責向通信雙方分發秘密信息,以及在雙方發生爭議時進行仲裁。
一個安全的網路通信必須考慮以下內容:
·實現與安全相關的信息轉換的規則或演算法
·用於信息轉換演算法的密碼信息(如密鑰)
·秘密信息的分發和共享
·使用信息轉換演算法和秘密信息獲取安全服務所需的協議 網路信息安全可看成是多個安全單元的集合。其中,每個單元都是一個整體,包含了多個特性。一般,人們從三個主要特性——安全特性、安全層次和系統單元去理解網路信息安全。
1)安全特性
安全特性指的是該安全單元可解決什麼安全威脅。信息安全特性包括保密性、完整性、可用性和認證安全性。
保密性安全主要是指保護信息在存儲和傳輸過程中不被未授權的實體識別。比如,網上傳輸的信用卡賬號和密碼不被識破。
完整性安全是指信息在存儲和傳輸過程中不被為授權的實體插入、刪除、篡改和重發等,信息的內容不被改變。比如,用戶發給別人的電子郵件,保證到接收端的內容沒有改變。
可用性安全是指不能由於系統受到攻擊而使用戶無法正常去訪問他本來有權正常訪問的資源。比如,保護郵件伺服器安全不因其遭到DOS攻擊而無法正常工作,是用戶能正常收發電子郵件。
認證安全性就是通過某些驗證措施和技術,防止無權訪問某些資源的實體通過某種特殊手段進入網路而進行訪問。
2)系統單元
系統單元是指該安全單元解決什麼系統環境的安全問題。對於現代網路,系統單元涉及以下五個不同環境。
·物理單元:物理單元是指硬體設備、網路設備等,包含該特性的安全單元解決物理環境安全問題。
·網路單元:網路單元是指網路傳輸,包含該特性的安全單元解決網路協議造成的網路傳輸安全問題。
·系統單元:系統單元是指操作系統,包含該特性的安全單元解決端系統或中間系統的操作系統包含的安全問題。一般是指數據和資源在存儲時的安全問題。
·應用單元:應用單元是指應用程序,包含該特性的安全單元解決應用程序所包含的安全問題。
·管理單元:管理單元是指網路安全管理環境,網路管理系統對網路資源進行安全管理。 網路信息安全往往是根據系統及計算機方面做安全部署,很容易遺忘人才是這個網路信息安全中的脆弱點,而社會工程學攻擊則是這種脆弱點的擊破方法。社會工程學是一種利用人性脆弱點、貪婪等等的心理表現進行攻擊,是防不勝防的。國內外都有在對此種攻擊進行探討,比較出名的如《黑客社會工程學攻擊2》等。
『伍』 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
『陸』 網路及信息系統需要構建什麼樣的網路安全防護體系
網路安全保障體系的構建
網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。
圖4 網路安全保障體系框架
網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。
2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。
3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017
『柒』 網路安全未來發展怎麼樣
行業發展現狀
1、中國網路安全行業規模發展迅速,多機構看好
2013年開始,隨著國家在科技專項上的支持加大、用戶需求擴大、企業產品逐步成熟和不斷創新,網路安全產業依然處在快速成長階段,近年來,受下游需求及政府政策的推動,我國網路安全企業數量不斷增加,網路安全產業規模也不斷發展。
IDC、中國信通院、CCIA、CCID的報告分別顯示2020年中國網路安全市場規模約為512.85億元、1702億元、553億元、749.2億元,較2019年增速分別為16.13%、8.82%、15.69%、23.20%。
——以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。
『捌』 網路安全前景怎樣
您好!看看這些對你有沒有幫助!比較多,仔細看完對你有幫助哦。
一 緒論 安全管理的發展趨勢和現狀
1、 網路安全現狀
計算機網路的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網路應用的發展和普及不僅給我們的生活帶來了很大的便利,而且正在創造著巨大的財富,以Internet為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次不斷深入,應用領域更是從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。
與此同時,計算機網路也正面臨著日益劇增的安全威脅。廣為網路用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長,網頁被修改、非法進入主機、發送假冒電子郵件、進入銀行系統盜取和轉移資金、竊取信息等網路攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等,都造成了各種危害,包括機密數據被篡改和竊取、網站頁面被修改或醜化、網路癱瘓等。網路與信息安全問題日益突出,已經成為影響國家安全、社會穩定和人民生活的大事,發展與現有網路技術相對應的網路安全技術,保障網路安全、有序和有效的運行,是保證互聯網高效、有序應用的關鍵之一。
2、 現有網路安全技術
計算機網路是基於網路可識別的網路協議基礎之上的各種網路應用的完整組合,協議本身和應用都有可能存在問題,網路安全問題包括網路所使用的協議的設計問題,也包括協議和應用的軟體實現問題,當然還包括了人為的因素以及系統管理失誤等網路安全問題,下表示意說明了這些方面的網路安全問題。
問題類型 問題點 問題描述
協議設計 安全問題被忽視 制定協議之時,通常首先強調功能性,而安全性問題則是到最後一刻、甚或不列入考慮范圍。
其它基礎協議問題 架構在其他不穏固基礎協議之上的協議,即使本身再完善也會有很多問題。
流程問題 設計協議時,對各種可能出現的流程問題考慮不夠周全,導致發生狀況時,系統處理方式不當。
設計錯誤 協議設計錯誤,導致系統服務容易失效或招受攻擊。
軟體設計 設計錯誤 協議規劃正確,但協議設計時發生錯誤,或設計人員對協議的認知錯誤,導致各種安全漏洞。
程序錯誤 程序撰寫習慣不良導致很多安全漏洞,包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發生的錯誤、應用環境的假設錯誤、引用不當模塊、未檢測資源不足等。
人員操作 操作失誤 操作規范嚴格且完善,但是操作人員未受過良好訓練、或未按手冊操作,導致各種安全漏洞和安全隱患。
系統維護 默認值不安全 軟體或操作系統的預設設置不科學,導致預設設置下系統處於不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。
未修補系統 軟體和操作系統的各種補丁程序沒有及時修復。
內部安全問題 對由信任系統和網路發起的各種攻擊防範不夠。信任領域存在的不安全系統,成為不信任領域內系統攻擊信任領域的各種跳板。
針對上表所示的各種網路安全問題,全世界的網路安全廠商都試圖發展了各種安全技術來防範這些問題,這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火牆系統、計算機病毒防護、操作系統安全、資料庫系統安全和抗抵賴協議等,相繼陸續推出了包括防火牆、入侵檢測(IDS)、防病毒軟體、CA系統、加密演算法等在內的各類網路安全軟體,這些技術和安全系統(軟體)對網路系統提供了一定的安全防範,一定程度上解決了網路安全問題某一方面的問題。
3、 現有網路安全技術的缺陷
現有的各種網路安全技術都是針對網路安全問題的某一個或幾個方面來設計的,它只能相應地在一定程度上解決這一個或幾個方面的網路安全問題,無法防範和解決其他的問題,更不可能提供對整個網路的系統、有效的保護。如身份認證和訪問控制技術只能解決確認網路用戶身份的問題,但卻無法防止確認的用戶之間傳遞的信息是否安全的問題,而計算機病毒防範技術只能防範計算機病毒對網路和系統的危害,但卻無法識別和確認網路上用戶的身份等等。
現有的各種網路安全技術中,防火牆技術可以在一定程度上解決一些網路安全問題。防火牆產品主要包括包過濾防火牆,狀態檢測包過濾防火牆和應用層代理防火牆,但是防火牆產品存在著局限性。其最大的局限性就是防火牆自身不能保證其准許放行的數據是否安全。同時,防火牆還存在著一些弱點:一、不能防禦來自內部的攻擊:來自內部的攻擊者是從網路內部發起攻擊的,他們的攻擊行為不通過防火牆,而防火牆只是隔離內部網與網際網路上的主機,監控內部網和網際網路之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防禦繞過防火牆的攻擊行為:從根本上講,防火牆是一種被動的防禦手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由於某種原因沒有通過防火牆,則防火牆就不會採取任何的措施;三、不能防禦完全新的威脅:防火牆只能防禦已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火牆不能防禦數據驅動的攻擊:雖然防火牆掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和埠號或者協議內容的,而非數據細節。這樣一來,基於數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中並發動攻擊。
入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重,它不能稱之為一個可以信賴的安全工具,而只是一個參考工具。
在沒有更為有效的安全防範產品之前,更多的用戶都選擇並依賴於防火牆這樣的產品來保障自己的網路安全,然而相對應的是,新的OS漏洞和網路層攻擊層出不窮,攻破防火牆、攻擊計算機網路的事件也越來越多,因此,開發一個更為完善的網路安全防範系統來有效保護網路系統,已經成為各網路安全廠商和用戶的共同需求和目標。
4發展趨勢:
中國的網路安全技術在近幾年得到快速的發展,這一方面得益於從中央到地方政府的廣泛重視,另一方面因為網路安全問題日益突出,網路安全企業不斷跟進最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,進一步促進了網路安全技術的發展。
從技術層面來看,目前網路安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網路基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
4.1、現階段網路安全技術的局限性
談及網路安全技術,就必須提到網路安全技術的三大主流—防火牆技術、入侵檢測技術以及防病毒技術。
任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這「老三樣」。可以說,這三種網路安全技術為整個網路安全建設起到了功不可沒的作用,但是傳統的安全「老三樣」或者說是以其為主的安全產品正面臨著許多新的問題。
首先,從用戶角度來看,雖然系統中安裝了防火牆,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。
其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。
再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全並不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
所以說,雖然「老三樣」已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網路安全的整體技術框架來看,網路安全技術同樣面臨著很大的問題,「老三樣」基本上還是針對數據、單個系統、軟硬體以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的「內容」和網路虛擬世界的「行為」上。
4.2、技術發展趨勢分析
. 防火牆技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火牆遠不能滿足業務的需要,而具備多種安全功能,基於應用協議層防禦、低誤報率檢測、高可靠高性能平台和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從後半部分來看,UTM的概念還體現了經過多年發展之後,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由於UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平台下,集防火牆、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能於一體,實現了多種防禦功能,因此,向UTM方向演進將是防火牆的發展趨勢。UTM設備應具備以下特點。
(1)網路安全協議層防禦。防火牆作為簡單的第二到第四層的防護,主要針對像IP、埠等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的牆,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限於第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的後果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,採取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規簡訊攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬體平台支撐。
(4)一體化的統一管理。由於UTM設備集多種功能於一身,因此,它必須具有能夠統一控制和管理的平台,使用戶能夠有效地管理。這樣,設備平台可以實現標准化並具有可擴展性,用戶可在統一的平台上進行組件管理,同時,一體化管理也能消除信息產品之間由於無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網路安全。
二 網路安全面臨的主要問題
1. 網路建設單位、管理人員和技術人員缺乏安全防範意識,從而就不可能採取主動的安全 措施加以防範,完全處於被動挨打的位置。
2. 組織和部門的有關人員對網路的安全現狀不明確,不知道或不清楚網路存在的安全隱 患,從而失去了防禦攻擊的先機。
3. 組織和部門的計算機網路安全防範沒有形成完整的、組織化的體系結構,其缺陷給攻擊 者以可乘之機。
4. 組織和部門的計算機網路沒有建立完善的管理體系,從而導致安全體系和安全控制措施 不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。
5. 網路安全管理人員和技術有員缺乏必要的專業安全知識,不能安全地配置和管理網路, 不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能作出積極、有序和有效的反應。
三 網路安全的解決辦法
實現網路安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立組織的安全管理體系是網路安全的核心。我們要從系統工程的角度構建網路的安全體系結構,把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
1. 安全需求分析 "知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合於自己的安全體系結構,從而有效地保證網路系統的安全。
2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網路安全策略。
4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由於網路安全是一個動態的過程,組織和部門的計算機網路的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。
5. 外部支持 計算機網路安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網路安全體系更加完善,並可以得到更新的安全資訊,為計算機網路安全提供安全預警。
6. 計算機網路安全管理 安全管理是計算機網路安全的重要環節,也是計算機網路安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網路有序地進行,是獲取安全的重要條件。
四 總結
計算機網路的安全問題越來越受到人們的重視,網路安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網路系統,隨著計算機網路技術的進一步發展,網路安全防護技術也必然隨著網路應用的發展而不斷發展。