发布时间:2023-10-10 10:37:20
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的高级网络信息安全样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
随着科学技术的不断发展,计算机网络也日益普及,给人们的生活、工作带来了巨大便利。计算机网络打破了时间和空间的限制,在计算机网络的支持下,信息可以共享,大大地提高了工作效率。然而,计算机网络具有开放性、虚拟性,在享受计算机网络便利的同时, 我们也需要承受其带来的威胁———信息安全威胁。网络环境下,病毒、木马等问题时刻存在,一旦高校计算机网络系统遭受病毒、木马威胁,就会影响到网络系统的正常运行,使得一些重要信息丢失,进而出现严重后果。因此,在推广计算机网络应用的过程中,高校 必须积极做好信息安全防护工作。
1 高校计算机网络信息安全威胁
1.1 计算机病毒威胁
计算机病毒就是病毒制造者利用软件在他人计算机中插入能够破坏其计算机正常运行的代码[1]。计算机病毒具有传播性、隐蔽性等特点,一旦计算机系统遭受病毒攻击,整个计算机系统就会崩溃,无法正常运行,更甚者造成计算机系统中重要的信息丢失。现行社会形势下,互联网已经走进高校,成为高校事业建设发展不可或缺的一部分。高校利用计算机网络建立了属于自己的校园网络体系和教务管理系统,如果高校建立的网络系统遭受到病毒威胁,就会造成不可估量的后果。如,学生学籍信息的泄漏,一旦学生学籍信息泄漏, 就会给学生造成不利。
1.2 木马威胁
所谓木马就是隐藏在正常程序中的一段具有破坏功能的恶意代码。木马经常隐藏在游戏或图形软件中,一旦人们进入到破坏者事先编好的木马程序,恶意代码就会侵入用户计算机系统,破坏、删除用户计算机系统中的文件,更甚者对计算机系统硬盘进行强制性格式 化。现阶段,高校基本上已经实现了网络办公,但是在开放的网络环境下,计算机时常会弹出一些推荐网页和小窗口,出于好奇,一旦用户进入含有木马的小窗口或者网页,这时用户电脑上的各种文件、程序以及电脑上使用的账号,密码就无安全可言了。
1.3 电脑黑客
电脑黑客是伴随着互联网的发展而出现的一种网络威胁,是指通过互联网非法入侵他人计算机系统,查看、更改、盗取他人数据的人。在这个以利益为核心价值观的社会里,一些不法分子为了利益,不惜触碰法律,非法入侵他人的计算机,窃取、篡改他们计算机系 统中的信息。对于高校而言,高校发展过程中形成了许多机密信息,一旦高校计算机系统受到黑客攻击,就会造成重要信息失窃,进而造成不可估量的损失。
2 高校计算机网络信息安全工作存在的问题
2.1 安全意识不高
随着计算机网络优势的显现,计算机网络逐渐渗透高校教育管理的各个层面,成为教职工、学生日常工作、生活中不可或缺的一部分。然而就目前来看,无论是教职工,还是学生,他们都只看到了计算机网络有利的一面,没有看到计算机网络不利的一面,他们的安 全意识还比较低,他们在使用计算机网络时,不注重计算机系统安全隐患的排查,直接点击电脑上弹出的小窗口,严重影响到了信息安全。
2.2 计算机网络系统安全性不高
现阶段,高校开始引进计算机网络来推进教学及相关工作的开展,但是高校在建立网络系统中,没有考虑到计算机网络系统自身的安全性,认为只需要投入硬件配套设施就可以,对软件设施不重视,没有考虑到软件系统的安全摘要:随着互联网时代的到来,计算机网络开始走进校园,在高校发展过程中发挥着越来越重要的作用。但是计算机网络是一把性,这样组建起来的网络系统就会存在很大漏洞,容易遭受网络攻击。
2.3 网络信息安全防护制度缺失
网络信息安全管理是一项至关重要的工作,需要高校确立完善的安全防护制度。然而就目前来看,高校在推进网络信息化建设过程中存在一个普遍问题,即“重建轻管”,认为只要引进计算机设备就可以,对计算机设备运行的管理不给予重视,没有建立与之相匹配 的安全防护制度。由于安全制度缺失,网络系统安全管理就会被忽略,进而容易出现信息安全问题。
3 高校计算机网络信息安全防护的重要性分析
现行社会形势下,计算机网络已经走进高校校园,为广大师生带来了巨大便利。但是计算机网络是一把双刃剑,在其便利高校教育管理工作的同时,也带来了一定的信息安全威胁。网络具有开放性、虚拟性,这也使得高校计算机网络系统会面临着黑客、病毒、木马 等安全威胁。一旦高校计算机系统遭受网络攻击,高校网络系统就无法正常运行,更甚者造成巨大利益和财产损失,因此,做好网络信息安全防护至关重要。计算机网络信息安全防护工作不仅关系着高校事业的发展,更关系着广大师生的利益,切实做好计算机网络信息 安全防护工作,可以有效保障高校计算机网络系统安全运行,更好地服务高校教育管理工作,推动高校事业的稳定发展[2]。
4高校计算机网络信息安全防护策略
计算机网络具有开放性和虚拟性,这也使得计算机网络存在一定的安全威胁,一旦计算机网络受到非法攻击,计算机网络信息就毫无安全可言,进而会阻碍计算机网络的发展。因此,高校在应用计算机网络的同时,必须采取有效措施,积极做好计算机网络信息安全 防护工作。
4.1 加大网络安全的宣传
网络信息安全防护是一项重要的工作,要想切实保障网络信息安全,就必须争取广大教职工的共同参与,因此,加大网络信息安全的宣传尤为重要。高校要借助广播、网络等途径向广大师生宣传网络信息安全相关知识,告知广大师生网络潜在的安全威胁,提高师生 对网络安全的认识,从而更好地规范他们的网络行为,远离网络威胁。
4.2 安装杀毒软件
针对病毒威胁,高校可以在计算机系统中安装杀毒软件,通过杀毒软件来保护计算机系统免受病毒侵害。目前,市场上常用的杀毒软件就有360杀毒软件、金沙毒霸、鲁大师等[3]。高校可以安装其中的任意一款来保障计算机系统安全。在使用计算机时,先通过杀毒 软件进行杀毒,将计算机系统中垃圾文件、病毒清理掉,确保计算机无病毒威胁;在计算机使用结束后,同样要及时杀毒,以防病毒残留。
4.3 设置防火墙
防火墙就是一个位于计算机和它所连接的网络之间的软件,防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,避免计算机受到恶意入侵[4]。同时,防火墙还可以关闭不适用的端口,拦截木马,防止来历不明的入侵者的所有通信。防火墙作为一种安全防范措施,在计算机网络系统中设置防火墙,可以大大的提高计算机网络的安全性,避免计算机网络系统受到恶意入侵和攻击。
4.4 加大网络安全技术的应用
随着计算机网络信息安全问题的日益突出,人们对网络安全技术的研究也越来越深入,一些安全技术也逐渐得到了推广,为计算机网络信息安全提供了技术保障,如身份认证技术、加密技术、跟踪技术等。在高校计算机网络系统中,管理者可以利用先进的网络信息 安全技术来保障计算机系统安全,防止信息被窃取和篡改,以加密技术为例,在存储信息、传递信息的时候,可以对信息进行加密处理,利用技术手段把重要的数据变为乱码加密传送,在达到目的地后再用相同的手段还原,从而避免信息受到恶意攻击,提高信息的安全 性[5]。
4.5 建立可行的安全防护制度
在推进高校网络信息化建设过程中,高校有必要建立一套完善的安全防护制度来保障网络信息安全管理工作。首先,建立完善的计算机网络信息安全管理制度,从制度层面对网络信息安全工作作出全面的规定;其次,建立计算机网络信息安全排查和监督机制,对计 算机网络系统的安全运行进行全面管理;再者,落实责任制,将计算机网络信息安全相关责任落实到具体人身上,从而更好地规范用网行为[6]。另外,高校要成立一支专业的小组,定期检查高校网络运行环境,对高校网络进行维护,确保高校网络安全、稳定运行。
5 结束语
综上,计算机网络在高校中的应用越来越普遍,已成为高校教育管理不可或缺的一部分。但是在计算机网络便利高校教育管理工作的同时,也使得高校面临着一定的信息安全威胁,为此,高校必须做好计算机网络信息安全防护工作。为了保证计算机网络信息安全, 高校不仅要加强计算机网络信息安全管理,更要加大信息安全技术的应用,提高计算机网络系统的安全性,从而避免计算机网络受到非法攻击,保证学校网络的安全、稳定运行。
参考文献
[1]杨海利.对于当前计算机网络信息安全及防护策略的思考[J].网络安全技术与应用,2020(06):2-3.
[2]向灿,龚旬.计算机网络信息安全及其防护策略的研究[J].网络安全技术与应用,2020(06):4-5.
[3]焦媛.计算机网络信息安全及其防护策略[J].计算机产品与流通,2020(07):28.
[4]高阳.计算机网络信息安全及防护策略[J].佳木斯职业学院学报,2020,36(05):257-258.
关键词:高中生;计算机网络技术;信息安全
引言:
我国科技领域在近年来取得了明显的进步,而其中发展势头最强劲的就是计算机网络技术,这标志着我国目前已经全面进入了信息时代。然而,在推广和普及计算机使用的过程中,一些不法分子却利用网络技术破坏用户的计算机系统,盗取用户重要的数据资料信息,导致其遭受不可估量的經济损失,对我国计算机网络信息技术的普及造成了一定程度的消极影响。笔者作为一名高中生,在计算机使用的过程中,也深感网络信息安全的重要性,基于此,本文将从以下几个方面对计算机网络信息安全技术进行探究。
一、当前计算机网络的发展实际分析
随着当前我国社会经济整体格局的不断发展,计算机网络系统也逐步得到了优化。笔者结合当前我国计算机网络的实际应用情况进行了如下分析:首先是当前国内计算机网络的构建还处于发展的初级,资源体系的完整性不高。例如,有效信息资源和无效信息资源混杂于信息网络之中,容易对我们高中生形成误导,从而造成计算机网络信息的应用既有积极一面又有消极一面的现象;其次是计算机网络安全管理中还有很多不足之处。例如,很多同学的社交软件如微信、QQ、微博等都曾经出现过被盗或被病毒干扰等情况,这种现象直接体现了当前计算机网络安全管理中的不足;最后是计算机系统资源开发的水平还有很大提升空间,例如,很多同学反映,在课后利用计算机网络复习高中知识的过程中,寻找和筛选相关学习资料时会耗费大量的时间,这说明利用计算机网络辅助高中知识学习的效率还很低。由此可见,虽然目前我国计算机网络的发展框架已经具备了一定的规模,但是仍然有一些不足存在,还需要在未来的发展中逐步完善。
二、计算机网络信息管理及安全防护中的问题
(一)木马程序或病毒对信息管理与安全进行破坏
在我国计算机安全问题中,最常见的威胁源就是木马程序和电脑病毒。这两者都是将具有一定破坏性功能的数据信息隐藏于正常计算机程序中,使计算机用户在安装或使用计算机程序的过程中感染木马和病毒,进而破坏计算机网络,造成数据资料的丢失和损害。除此以外,部分计算机病毒还会造成系统的瘫痪,严重影响计算机的正常使用。
(二)黑客攻击
当前,计算机网络信息安全管理中存在的另一个难点就是网络黑客的入侵,来自黑客的攻击往往会对用户造成非常巨大的影响。黑客攻击我们一般将其分为以下两种类型:一是网络侦查型,这种方式较为隐蔽,不会对用户的正常使用造成影响,因此用户很难发现。从而在用户毫不知情的情况盗取其计算机中的数据和信息;二是网络攻击型,相比于网络侦查型,这种方式具有明显的破坏性,黑客往往会采用一些破坏性的方式盗取和损害用户计算机中存储的数据信息。除此以外,在对用户计算机入侵的过程中,黑客往往还会通过对一些网络技术的运用,造成用户计算机部分功能或程序异常,无法使用,甚至有可能会破坏计算机主机。
(三)存在网络漏洞以及配置不科学
受技术能力的限制,很多计算机系统在研发和设计的过程中都或多或少的存在一些问题,其中多为存在网络漏洞或配置不协调等问题。而网络信息安全问题也多是由此出现。除此以外,计算机生产和设计上存在的问题也会造成文件和服务器的配置不科学的情况[1]。计算机网卡选择的不合理也会对计算机的运行效率造成影响,计算机运行速度如果太慢,必然会降低其系统的稳定性,进而导致计算机更加难以抵御网络病毒和木马。
三、计算机网络信息安全的提升策略
(一)加强信息安全防范意识
在网络信息安全管理中,要不断提升管理手段和技术手段,采取更加科学有效的措施来加强计算机网络安全管理。此外,计算机用户平时在使用计算机网络时,要在计算机中安装上杀毒短剑,同时将其更新至最新版本,不给不法分子可乘之机,从而使计算机网络信息安全性从根本上得到提升。
(二)应用防火墙技术
计算机防火墙技术是由软硬件共同组成,并在网络系统中发挥其监督。控制与保护的作用。应用防火墙技术以后,计算机在接收和传输网络信息的过程中,都要经过防火墙进行,而防火墙则通过分析、限制和分离网络信息这些功能,保证计算机网络信息的安全性[2]。防火墙作为一种有效保护计算机网络信息安全的技术,其作用主要就是阻止未被允许的数据信息在内外网之间的传输,也可以实现对计算机网络访问和存取行为的监控和审核,防止数据信息外泄。应用级防火墙以及过滤型防火墙是目前最常见的两种防火墙类型,其中应用级防火墙通常于特定的信息网络中使用,过滤型防火墙则是主要用于提升信息的透明性,提升信息处理的速度和效率。随着近年来我国计算机网络水平的不断提升,应用防火墙的水平也应不断加快发展,只有这样,才能进一步提升计算机网络信息的安全性。
(三)采用隔离技术
所谓隔离技术,一般包含物理隔离与逻辑隔离两种。物理隔离主要指的是通过物理方式将计算机主机与互联网相隔离,并以单独的形式将加密文件储存与计算机中,同时在处理网络信息时使用其他专属的计算机进行[3]。除此以外,在两台计算机信息传输的过程中也应利用专线进行。然而这种物理隔离的方式由于成本较大的原因,普通计算机用户基本难以实现,而且如果传输距离较远时,也容易给非法接入者提供可乘之机。逻辑隔离则主要是利用物理方式在被隔离的两端进行数据通道连线,同时采用相关的技术手段保证不存在其他信息通道,以实现对数据信息的转换、剥离等控制措施。
(四)采用信息加密技术
在网络信息储存与传输的过程中采用科技手段确保其完整性和安全性的方法我们将其成为信息加密技术。通过对信息加密技术的应用,可以使计算机网络信息的安全性得到有效提升,同时这也是对计算机网络信息安全的一种主动性的保护方式。信息加密技术采用特定算法对数据信息进行加密运算,并以密文的方式替换掉数据信息资料中的明文,以保证原始信息的安全性。在我们日常生活中随处可见的计算机网络密码和加密信件等都属于信息加密技术的一种方式,信息加密技术越是复杂,信息的安全性就越有保证。数据加密作为一种现代社会常见的信息加密技术,主要是以密钥和密函的方式来完成加密,从而对计算机信息网络中数据信息形成保护。应用这种加密方式时,发送数据和接收数据都需要通过密钥或密函老实现。除此以外,通过运用数据加密技术,还可以获取客户真实的数据信息,再通过对真实数据信息的利用与网络信息互相联通,以动态化的形式对网络信息数据进行保护。利用网络信息数据加密技术可以有效提升计算机网络信息的传输安全性,并确保网络信息不会泄露,提升互联网信息的整体安全技术与运行稳定性。
结语:
总而言之,现代社会,计算机网络技术已经成为了我们日常学习、工作和生活中必不可少的一个组成部分。信息安全问题也随之日益突出,并受到社会各界的广泛关注。基于此,我们在探索计算机网络信息安全技术的同时,还应不断加强我们自身的安全防范意识,才能促进计算机网络信息安全水平进一步提升。
参考文献:
[1]徐振兴.计算机网络信息安全中数据加密技术应用与实践[J].中国新技术新产品,2017(20):147-148
[2]沈传友.计算机网络信息安全及其防护对策[J].网络安全技术与应用,2017(9):3-3
关键词:校园网络 网络安全 管理
高校校园网作为高校这个特殊环境中传递信息的媒介,是学校重要的教学、科研信息基础设施,它提供教学,科研,娱乐,教育管理,招生。随着校园网的逐步发展,网络应用的逐渐普及,校内部的网络越来越多的暴露给了外部世界。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定、高效地运转,发挥其应有的作用,成为各校越来越重视的问题。
针对层出不穷的校园网络安全问题,高校内设办公机构和部门都购置了各种网络安全产品,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑,这些产品分别在不同的侧面保护着网络系统。但是,从系统整体安全考虑,这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素,更多的在网络安全的管理、部署和操作方面,因此,将技术和管理相结合,建立一个多层次的校园网安全防御体系,对于构建安全的校园网环境有着重大的意义。
保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强,安全策略是先导,先进的网络安全技术是根本。
网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络,构建了一个多层次的校园网安全主动防御体系模型。
一、依托网络安全技术构建网络安全堡垒
1.合理规划设计校园网络物理结构
校园网络是教学,科研,娱乐,教务管理、图书管管理等活动的基础设施。特别地,在科研、教务管理、图书馆管理等方面,对校园网络安全要求很高。对这些关键部门,构建相应的办公网络时,应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离,这样的物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.构建应用级网关、实时入侵检测(IDS)
应用级网关作为防火墙(Firewall)中的一个主要类型,它通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。对于内部客户而言,应用级网关好像原始的公共服务器,对于公共服务器而言,服务器好像原始的客户一样,亦即应用级网关充当了双重身份,并将内部系统与外界完全隔离开来,外面只能看到服务器,而看不到任何内部资源。
IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面,而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动,能更有效地阻止攻击事件,把网络隐患降至较低程度。
3.建立多层次的病毒防护体系
这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:定时对网络进行杀毒;对每台计算机都开启病毒监控;经常对服务器和客户机的杀毒软件进行升级。
二、加强和规范校园网络安全管理
1.加强黑客入侵检测与防范
校园网入侵者一般为校园网内部用户,有着窥探他人隐私的好奇性,攻入私人计算机。有的入侵者希望通过入侵学校数据库,以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵,引起他人注意,以显示自己的能力,这样的人不会盗取别人的电脑资料,但会故意留下“足迹”,如进行破坏或是“留言”。
为了维护高校教务系统及图书馆管理系统安全,应该特别加强黑客入侵检测,并严格防范。主要可以采取以下几方面的措施:
(1)检测网络嗅探程序
网络嗅探是一种常用的收集网络数据包的方法,其基本原理是对经过网卡的数据包进行捕获和解码,从链路层协议开始进行解码分析,一直到应用层的协议,最后获取数据包中需要的内容,如账号、口令等。
当电脑系统被一些网络嗅探程序跟踪时,可能会出现网络通讯丢包率非常高或是网络带宽出现反常,这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常,可以在关键的系统上部署检测嗅探器工具,例如AntiSniff工具,来自动检测网络嗅探程序。
(2)及时更新IIS漏洞
由于宽带的普及,给自己的计算机装上简单易学的IIS,搭建一个ftp或是web站点,已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施:关注微软官方站点,及时安装IIS的漏洞补丁。
(3)选择性关闭IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享,最好的方法是给自己的账户加上强口令,并不定期地更换。
2.加强校园网络中服务器安全规范
(1)制定缜密的服务器管理制度,对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件,及时更新,打上漏洞补丁。各种密码必须做到定期更换,经常对服务器进行漏洞扫描,确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
(2)建立定期备份制度,服务器可以采用RAID5(磁盘阵列)技术,或者是双机容错技术等等,确保系统能不间断运行。
(3)根据分配工作的不同,赋予操作人员不同级别的权限,同时建立完备的日志系统,做到出现问题能立马有迹可循。
3.建立校园网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。校园网与 Internet没有实施物理隔离。但是,对于运行内部管理信息系统的内网,建立其统一的身份认证系统仍然是非常必要的,以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
三、加强高校网络安全教育
要确保高校网络安全,除了依赖最新的网络安全技术去构建网络安全屏障外,还要加强高校网络安全教育。主要有以下几方面的措施:
1.对网络管理员定期进行专业培训
有些网络管理员专业知识和技能不够、责任心不强,部分网络管理员在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
2.在高校师生中普遍开展网络安全教育
高校中教师作为知识的引导传播者,在信息化教育不断发展的高校教育中,教师网络安全意识的提高,首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规,如内容分级过滤制度等。教师应意识到无论是在学校还是家庭,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。
四、总结
高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范,目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念,采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系,另外,我们在思想上要认识到网络安全的重要性,在校园网络安全建设硬件方面不但要有资金投入,还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训,树立大家的网络安全防范意识。这样,就可以使网络安全事故发生的可能性降低到最小。我们相信,随着教育信息化的发展,校园网络安全也越来越受到大家的关注,校园网也会越来越安全。
参考文献:
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与运用.
[2]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010,(3).
[3]谢希仁.计算机网络[M].大连:大连理工大学出版社,2003.
【 关键词 】 高级隐遁技术;高级持续性攻击;检测方法
China’s Situation of Protection Techniques against Special Network Attacks
Xu Jin-wei
(The Chinese PLA Zongcan a Research Institute Beijing 100091)
【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry.
【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods
1 引言
2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。
APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。
APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。
2 高级隐遁技术(AET[注2])
根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。
结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。
目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。
使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。
2.1 常见的高级隐遁技术攻击方法
常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。
2.2 高级隐遁技术的测试
为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。
国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。
测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。
CNGate-TES测试环境部署如图2所示。
3 下一代威胁与 APT
下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。
对信息系统的下一代威胁和特征有几点。
0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。
多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。
混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。
定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。
高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。
3.1 APT攻击过程和技术手段
APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。
在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。
技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。
周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。
SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。
木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。
渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。
深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。
痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。
3.2 APT检测方法
随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。
虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。
3.2.1基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。
3.2.2基于信息来源的多覆盖检测
从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。
从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。
双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。
从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。
从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。
3.2.3基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。
综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。
4 结束语
结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。
一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。
二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。
三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。
[注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。
[注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。
参考文献
[1] 关于防御高级逃逸技术攻击的专题报告.
[2] Mark Boltz、Mika Jalava、Jack Walsh(ICSA实验室)Stonesoft公司.高级逃逸技术-避开入侵防御技术的新方法和新组合 .
[3] 恶意代码综合监控系统技术白皮书.国都兴业信息审计系统技术(北京)有限公司.
[4] 杜跃进.从RSA2012看中国的网络安全差距.2012信息安全高级论坛.
[5] 张帅.APT攻击那些事.金山网络企业安全事业部.
[6] 徐金伟,徐圣凡.我国信息安全产业现状调研报告.2012.5.
[7] 徐金伟.我国专业公司网络流量监控技术现状. 2012.6.
[8] 北京科能腾达信息技术股份有限公司.CNGate-TES测试手册.
[9] 南京翰海源信息技术有限公司.星云2技术白皮书V1.0.
大数据时代信息安全面临挑战
在大数据时代,无处不在的智能终端、随时在线的网络传输、互动频繁的社交网络使得互联网时时刻刻都在产生着海量的数据。随着产生、存储、分析的数据量越来越大,在这些海量数据背后隐藏着大量的经济与政治利益。大数据如同一把双刃剑,在我们享受大数据分析带来的精准信息的同时,其所带来的安全问题也开始成为企业的隐患。
1、黑客更显著的攻击目标:在网络空间里,大数据是更容易被“发现”的大目标。一方面,大数据意味着海量的数据,也意味着更复杂、更敏感的数据,这些数据会吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得黑客成功攻击一次就能获得更多数据,无形中降低了黑客的攻击成本,增加了其“收益率”。
2、隐私泄露风险增加:大量数据的汇集不可避免地加大了用户隐私泄露的风险。一方面,数据集中存储增加了泄露风险,而这些数据不被滥用,也成为人身安全的一部分。另一方面,一些敏感数据的所有权和使用权并没有明确界定,很多基于大数据的分析都未考虑到其中涉及的个体隐私问题。
3、威胁现有的存储和防护措施:大数据存储带来新的安全问题。数据大集中的后果是复杂多样的数据存储在一起,很可能会出现将某些生产数据放在经营数据存储位置的情况,致使企业安全管理不合规。大数据的大小也影响到安全控制措施能否正确运行。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐,就会暴露大数据安全防护的漏洞。
4、大数据技术成为黑客的攻击手段:在企业用数据挖掘和数据分析等大数据技术获取商业价值的同时,黑客也在利用这些大数据技术向企业发起攻击。黑客会最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息,大数据分析使黑客的攻击更加精准。此外,大数据也为黑客发起攻击提供了更多机会。黑客利用大数据发起僵尸网络攻击,可能会同时控制上百万台傀儡机并发起攻击。
5、成为高级可持续攻击的载体:传统的检测是基于单个时间点进行的基于威胁特征的实时匹配检测,而高级可持续攻击(APT)是一个实施过程,无法被实时检测。此外,由于大数据的价值低密度特性,使得安全分析工具很难聚焦在价值点上,黑客可以将攻击隐藏在大数据中,给安全服务提供商的分析制造很大困难。黑客设置的任何一个会误导安全厂商目标信息提取和检索的攻击,都会导致安全监测偏离应有方向。
6、信息安全产业面临变革:大数据的到来也为信息安全产业的发展带来了新的契机,还没有意识到这场变革的安全厂商将在这场变革大潮中被抛弃。大数据正在为安全分析提供新的可能性,在未来的安全架构体系中,通过大数据智能分析有效的将原来分割的安全产品更好的融合起来,成为不同的安全智能节点,这将是在大数据时代安全产业需要研究突破的重点。
RSA信息安全智能分析平台解析
日前,EMC信息安全事业部RSA宣布推出了RSA信息安全智能分析平台,该平台基于RSA NetWitness成熟的技术架构,并将SIEM、网络取证(Network Forensics)和大数据分析技术进行了融合,为信息安全专业人员提供了深度可视性,帮助他们察看和了解安全漏洞及安全攻击,使安全风险一出现就能被发现,因此显著节省了时间,将查找时间从几天缩短为几分钟。另外,通过帮助信息安全专业人员了解起源于企业内部及外部的数字风险,企业还能更好地保护自己的资产,包括知识产权以及其他敏感数据,同时节省与安全威胁管理及法规遵从报告有关的时间和费用。
RSA信息安全智能分析平台特性:
数据快速捕获与分析:与信息安全相关的数据,包括通过网络传送的完整数据包、日志和安全威胁情报,都能快速捕获和分析,以加速对潜在安全威胁的检测。
强大的分析能力:实现比基于SIEM的传统安全方法大得多的数据采集规模,而且新的分析方法具有更强大的分析能力。
集成了应对安全威胁的智能性:帮助企业实现安全威胁情报供给的可操作性,以加速对指向企业的、潜在攻击工具及方法的检测和查找。
安全威胁的背景信息:通过与RSA Archer GRC平台以及与RSA防数据丢失(DLP)套件的集成,还通过融合其他产品产生的数据,分析人员可以利用业务背景信息,为造成最大风险的安全威胁优先分配资源。
恶意软件识别:该解决方案利用各种查找方法识别基于恶意软件的攻击,识别范围大得多。
法规遵从报告自动化:通过良好的信息安全实践,帮助实现法规遵从性。
成熟的大数据平台及分析方法与信息安全工具相集成,使信息安全保障方式取得了极大的进步。正如所开发的那样,RSA信息安全智能分析平台整合了无与伦比的可视性,可利用大数据平台及先进的分析方法,识别高风险活动、降低高级安全威胁风险并满足法规遵从要求。
大数据安全未来趋势展望
据MacDonald预测,到2016年,40%的企业(银行、保险、医药和国防行业为主)将积极地对至少10TB数据进行分析,以找出潜在危险的活动。然而,供应商的产品格局却无法在短期内进行转变。现在,企业通常依赖于SIEM系统来关联和分析安全相关的数据,MacDonald表示目前的SIEM产品无法处理这么大的工作量,大多数SIEM产品提供接近实时数据,但只能处理规范化数据,还有些SIEM产品能够处理大量原始交易数据,但无法提供实时情报信息。
Gartner公司分析师表示,使用“大数据”来提高企业信息安全不完全是炒作,这在未来几年内这将成为现实。大数据将为安全团队带来新的工作方式,通过了解大数据的优势、制定切合实际的目标以及利用现有安全技术的优势,安全管理人员将会发现他们在大数据进行的投资是值得的。
北京元支点信息安全技术有限公司(以下简称“元支点”)是安全行业的新军,专注于数据安全,在国内率先提出对抗性、趣味化、定制化信息安全概念的高新技术企业,全力推动信息安全行业由原来的静态、被动、枯燥的状态转化到主动、对抗型安全状态;将原有枯燥、高深的安全技术转化为趣味、易解的状态。
元支点自成立之初,就确立了以技术为导向,以研发为驱动的经营理念,坚持做自己的产品,研发自有的技术,现已拥有多项自主知识产权的产品,已形成自主品牌――数据机器人。
数据机器人推出的产品采用了前沿技术和创新的方法,譬如幻影技术。IT研究与顾问咨询公司Gartner于今年6月份公布的2016年十大前沿信息安全技术中的第九项为“伪装技术”,其注释为:“这种技术的本质就是有针对性地对攻击者进行网络、应用、终端和数据的伪装,欺骗攻击者,尤其是攻击者的工具中的各种特征识别,使得那些工具失效,扰乱攻击者的视线,将其引入死胡同,延缓攻击的时间。譬如可以设置一个伪目标/诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警。”
Gartner预测,到2018 年10%的企业将采用这类技术,主动地与黑客进行对抗。元支点早在2015年初就开始研究探索此项技术在实际对抗中的应用,并在15年9月就率先将此项技术应用在公司产品――端点(主机)高级威胁感知系统,通过在网络、主机中形成一个可交互的影子层,实现在终端、服务器、网络、数据库、应用、数据等各个角落,真正的用户是看不到这些影子层的,而黑客在入侵时则会因为执行了错误的操作,被灵敏感知并判定身份,当其实施攻击行为时,就会掉入预设的陷阱网络,看到的所有数据全是虚假的数据,这样通过提供无止境的虚假数据源,扰乱黑客的视线,精确检测到攻击。并且,幻影是动态、不断变化的,攻击者即使多次入侵,感觉都是第一次来,让其“屡败屡战,屡战屡败”。
通过幻影技术、IP跟踪技术,还可精准实时绘制黑客肆虐网络的路线图,黑客的所有行为都被实时监控,并被记录作为证据,通过路线图也能精准感知黑客攻击的标的物。这是国内率先将此项前沿技术落地的安全产品。
元支点旗下另一款产品――微盾,则是防止黑客利用工具快速扒窃数据的利器,也是元支点公司独创。在不改变网页结构的情况下,调整网页代码即可以阻止利用工具窃取数据的行为,让所有基于Web扫描、爬虫、批量获取数据工具等的不法行为无效,能有效阻止使用工具扫描漏洞、快速获取数据行为。
近年来,不断曝光的大型国企、互联网知名企业,甚至军政机关,以及其他物理隔离的内网、专网丢失数据的事件,给国家、企业造成了巨大的损失,我国的信息安全形势日益严峻,也暴露出现有防护方法的缺陷。
【关键词】高级持续性威胁 网络安全 体系
一、引言
随着互联网技术的发展,网络威胁每天层出不穷,各种攻击随时都有可能发生。APT是近年来威胁企业数据安全的主要威胁之一。与分散、单个的网络攻击不同,这是一种针对特定组织所做的复杂且多方位的攻击。这种行为通常需要经过长期的策划,具有高度的隐蔽性与持续性,目的直达企业核心数据。那些拥有大量机密或金融资产的单位特别容易成为攻击对象,这对企业信息安全构成了极大的威胁。在传统的三层网络防护体系下,IT安全管理人员只是把其当作简单的网络攻击或者病毒攻击进行处理,使得大部分时间耗费在终端查毒与杀毒的环节中,当一批病毒处理完成后,IT安全管理人员无法准确定位病毒的来源,并且下一次出现的地方也无法预测,不能通过系统的监控作用避免APT攻击。针对传统企业级网络安全体系的弱点,提出了一种有效防范APT攻击的分层集中式网络安全体系,通过集中分析与管控的方法来有效防范APT攻击[1]。
二、APT攻击的特点
APT攻击的特点主要表现在针对性、隐藏性、持续性与易变性四个方面[2]。首先,APT是在某个系统下具有计划性的攻击类型,这是需要经过细心的策划过程才能完成,体现出较强的目的性,所以攻击的方式、种类、内容会发生变化。一个企业在其它地方所获取到的病毒库或者所谓的经验可能对本地情况是无效的。其次,由于APT攻击具有较强的针对性,为了不轻易被对方发现,需要保持较高的隐蔽性。一方面,其可以通过多形、加密等形式使自己较难被侦查;另一方面,对于企业的IT人员来说这只是将其视为简单的病毒入侵或者单个的网络威胁进行处理,不能通过系统的方法达到防范目的。再次,APT攻击体现出持续性的特点,攻击时间可以持续几个月甚至高达一年以上。在这阶段攻击者可以不断收集各方面信息,为发起攻击做好充足的准备,或者采用持续攻击的方式,发现企业内部安全的漏洞,从而获得可靠的情报。最后,因为APT攻击具有针对性与持续性的特点,其攻击者根据收集到的数据信息随时会改变攻击方式,如果一条路径被切断了,应当充分考虑选择其它方式的路径,具有多变性的特点。
三、防范APT攻击的网络安全体系
(一)快速有效的威胁检测技术。这个模块提供一个统一形式的接口,在原本的三层防护体系下各个位置的安全防护模块可以将有关的日志信息进行上传处理,对设定在各个不同网络位置的安全防护模块所产生日志分析的实际基础上,根据系统经验或者自定义形式规则,能够主动地发现有可能出现的安全威胁。
(二)基于沙盒的虚拟分析技术。原本的三层安全防护体系对于部分附件/可执行文件容易产生影响,然而缺乏一个准确有效的可行性分析过程,传统方法一般是将这类型文件进行隔离或者直接忽略处理。假如某个文件属于正常形式的文件,对其进行隔离处理后,用户需要进行操作才可以获取这项文件;假如某个文件属于恶性文件,忽略处理的话,则会对用户的系统产生较大影响。所以尽管是隔离或者忽略的方式,都容易会对用户产生一定的困扰。同时用户一般不具备足够的理论知识分析文件是否属于恶性类型。使用基于沙盒的虚拟分析技术能够为用户解决这种问题,将这种文件放置在沙盒中操作处理,观察对系统的各种更改是否属于有害的方式,假如是无害的则忽略处理,假如是有害的则应当拦截这类型文件。沙盒是一个封闭模式的模拟环境,同时使用虚拟化的技术,对网络的总体安全环境不会产生太大的影响[3]。
(三)统一可靠的威胁名单。依据威胁检测技术与虚拟分析技术的作用效果,能够生成一个存在可疑性威胁的名单,以便于能够及时反馈到在各个不同网络位置的安全防护部分,通过这些网络安全系统可以更好地进行安全防护。
(四)生成有效的本地病毒库有利于防范高级持续性威胁与针对性攻击,一般情况下APT与Targeted Attacks是传统模式的全局病毒库所无法处理的,由于这种类型攻击在其它方面是不会发生的,不能形成有效的病毒库。子系统根据相关的威胁分析与虚拟分析的实际结果能够提供一个本地生成病毒库的具体功能,从而使得安全威胁在网络体系中能够进一步得到扩散。
(五)清晰完整的报表系统。这个集中分析与控制系统根据各种不同的目的,提供相应的报表给有关IT信息安全管理人员进行查询操作,比如拦截计算机病毒数量、本地病毒库的更新状态、发现潜在威胁、病毒来源等方面。一个清晰完整的报表系统,可以省去过去阶段IT信息安全管理人员在各个系统上进行报表查询功能,然后可以支持人工整合的处理功能,在很大程度降低日常的管理开销状况[4]。
四、结束语
现阶段这种分层集中式的网络安全体系已经开始在部分企业级别的防病毒产品中发挥作用,同时逐渐应用在政府、银行、大型国企等容易受到APT攻击威胁的各种机关部门。通过应用防APT攻击的网络安全体系,可以削弱APT攻击的有效性,有利于提升企业信息安全的防护能力,从而降低信息暴露与被盗取的风险因素。
参考文献:
[1]江原.APT攻击的那些事[J].信息安全与通信保密,2011(11):22-23.
[2]杜跃进.APT应对面临的挑战――关于APT的一些问题[J].信息安全与通信保密,2012(7):13-14.
[3]刘婷婷.APT攻击悄然来袭 企业信息面临“精准打击”[J].信息安全与通信保密,2012(3):39-40.
[4]张帅.对APT攻击的检测与防御[J].信息安全与技术,2011(9):125-127.
中标软件有限公司总经理,中国软件高级副总裁,研究员级高级工程师,"核高基"国家科技重大专项总体专家组成员,任中国软件行业协会常务理事,开源及基础软件技术创新联盟理事长。
2013蛇年伊始,科技部副部长曹健林公开解读了中国云计算发展及其将给国人生产生活带来的变化。他指出:云安全仍然是影响云计算发展的最关键问题。我们要发展信息安全特别是云安全技术,同时,相关法律法规的健全也迫在眉睫。
云计算带来新安全风险
作为第四次IT革命的云计算是当今主流技术(虚拟化、分布式存储、分布式计算、SOA、应用调度等)的优化整合提升,给传统IT服务带来新的商业模式。
云计算除了资源整合共享导致成本降低之外,最核心优势就是能够快速地满足商业市场变化的需求。
但是,正如老子道德经所云“祸兮,福之所倚;福兮,祸之所伏”,云计算也带来了新型网络威胁、数据安全和隐私泄露的风险,甚至在全球范围内已经发生诸多云计算安全事件。
美国《NetworkWorld》杂志2011年曾专门列出了全球发生过的十个最严重的云服务中断事故,包括亚马逊、谷歌、Salesforce和微软在内的多家云服务提供商都曾因为云安全事故而遭受到不同程度的打击,业务损失严重,微软公司甚至因此全面停止提供Sidekick智能手机的云数据服务。
因此,如何更好地建立企业云计算的安全技术和安全策略管理标准体系,从而有效避免云计算所带来的安全隐患,已成为行业日益关注的焦点。
在采用云计算之前,企业通过安装阻止非法访问内部网络的硬件防火墙来定义安全边界,也通过密码认证等方式来限制和阻止非法用户的访问。在移动用户很少和所有数据都在企业内部的时代,这些安全策略是完全可行的。
进入云时代之后,情况出现了极大的变化:访问连接无处不在、信息交换多种多样、之前信任的安全边界被云计算不断破坏与重组。因此,传统静态的安全控制已经无法满足云时代的动态特性。云计算的安全技术、安全策略、目标和防范措施都要求企业具有创新思维,要求企业重新定义企业网络安全边界。
解决云计算特有安全问题
不管采用什么云服务模型(IaaS、PaaS和SaaS)或云部署方式(公有云、私有云、混合云和社区云),要满足云端时代的安全需求,传统信息安全的五大方面(加密、访问控制、审计、认证、授权验证)都需要解决云计算特有的问题,如资源虚拟化、多租户、动态分配、特权用户以及服务模式等云计算特性,造成信任关系的建立、管理和维护更加困难,服务授权和访问控制变得更加复杂,网络安全边界变得模糊等,这些问题要求在现有安全技术基础上提供更多的云安全技术和方案来解决。
正是在这样的云时展大趋势下,中国电子信息产业集团于2012年先后成立了两家专注于信息安全的企业:中电信息技术研究院和中电长城网际。
秉承中央企业保障国家基础信息网络和重要信息系统的安全为使命,以面向国家重要信息系统的高端咨询和安全服务业务为主线,着眼于信息化发展的大趋势和信息安全对抗的严峻局面,立足产业、突出国家信息安全顶层设计,提高国家信息安全咨询与服务能力,带动产品技术的不断创新和产业化发展,为国家信息安全保障体系提业支撑。
