內(nèi)網(wǎng)的安全與管理

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)內(nèi)網(wǎng)的安全與管理摘要：一直以來，安全防御理念局限在常規(guī)的漏洞掃描、防火墻、安全審計、防病毒、IDS等方面的防御，重要的安全設(shè)施大致集中于機房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小關(guān)鍵字：安全風(fēng)險控制防御內(nèi)網(wǎng)安全的首要任務(wù):全防御理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、、防病毒、IDS）等方面的防御，重要的安全設(shè)施大致集中于機房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安一直以來，安全防御理念局限在常規(guī)的漏洞掃描、防火墻、安全審計、防病毒、IDS等方面的防御，重要的安全設(shè)施大致集中于機房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。然而，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻漸漸地突顯出來，網(wǎng)絡(luò)的內(nèi)部安全問題大于外部問題，已經(jīng)成為業(yè)界共識。頻頻暴露出來的違規(guī)安裝軟件，私自撥號上網(wǎng)，私自帶入其他設(shè)備接入等情況使得內(nèi)網(wǎng)安全隱患重重，進行內(nèi)網(wǎng)系統(tǒng)安全優(yōu)化建設(shè)已經(jīng)刻不容緩。然而要進行內(nèi)網(wǎng)安全建設(shè)，第一步首先要全面了解系統(tǒng)，評估系統(tǒng)安全性，認識到自己的風(fēng)險所在，從而迅速、準確得解決內(nèi)網(wǎng)安全問題。經(jīng)過多年的深入研究和技術(shù)積累，安天實驗室于2010年8月推出了多維度智能主機安全檢查系統(tǒng)（TDS），它是針對內(nèi)網(wǎng)計算機進行全面的安全保密檢查及精準的安全等級判定的軟件系統(tǒng)，并有著強有力的內(nèi)網(wǎng)安全檢測分析能力和修復(fù)能力。如今企業(yè)或單位的網(wǎng)絡(luò)內(nèi)都存有眾多重要數(shù)據(jù)，而這些網(wǎng)絡(luò)交叉相連，操作系統(tǒng)混雜不一，主機型號多種多樣的，內(nèi)部網(wǎng)絡(luò)規(guī)模龐大，應(yīng)用系統(tǒng)復(fù)雜，加上工作人員龐雜，給企業(yè)內(nèi)部信息安全管理帶來了巨大壓力。TDS解決了這一問題，它可以對主機進行自動化檢查，檢測內(nèi)網(wǎng)安全隱患，實時查明內(nèi)網(wǎng)節(jié)點安全漏洞。尤其是針對敏感部門、重點機構(gòu)和信息化建設(shè)中的企事業(yè)單位。TDS的一鍵式運行操作，減少了企業(yè)部門在內(nèi)網(wǎng)安全方面投入的人員數(shù)量，減輕操作人員的工作強度。TDS無需安裝軟件，檢測后不留痕跡的特點，適合政府機關(guān)、企業(yè)單位機密數(shù)據(jù)的保密制度，防止機密泄漏、數(shù)據(jù)丟失的現(xiàn)象發(fā)生，保證了國家政府機關(guān)、企業(yè)單位的信息安全。前一階段各企業(yè)為了保證內(nèi)網(wǎng)安全，紛紛購買了獨立的殺毒軟件，檢測工具。然而，隨著經(jīng)濟發(fā)展所帶來的人員流動性的不斷增強，由于這些由不同廠商提供，不同種類的網(wǎng)絡(luò)和安全設(shè)備之間，缺乏有效的信息整合，很容易形成信息孤島，從而被各個擊破。以往的檢查產(chǎn)品掃描過程漫長、排查隱患不合理、問題定位不精確、掃描缺乏深度、安全結(jié)論模糊等一系列業(yè)內(nèi)技術(shù)難題始終存在。TDS主機安全檢查系統(tǒng)再一次突破以往的技術(shù)領(lǐng)域，它具有高性能的檢測能力和多維度的檢測角度的特點，能全面分析檢測內(nèi)網(wǎng)計算機保密安全性與系統(tǒng)脆弱性，對身份鑒別、安全標記、訪問控制、安全審計、通訊保密性等進行全面檢查，提取近百個檢測點分析，還具有漏洞掃描探測、操作系統(tǒng)信息采集與分析、日志分析、木馬檢查、安全攻擊仿真、網(wǎng)絡(luò)協(xié)議分析、系統(tǒng)性能壓力、滲透測試、安全配置檢查、進程查看分析、數(shù)據(jù)恢復(fù)取證（涉密定制）、網(wǎng)絡(luò)行為分析等多個方面評判計算機安全性能的能力，TDS將會引領(lǐng)新一代的主機安全檢查潮流。2004年，通過網(wǎng)絡(luò)快速自動傳播的蠕蟲病毒顛覆了內(nèi)網(wǎng)安全的格局，所造成的經(jīng)濟損失首次超過信息被竊所造成的損失，躍居第一。為了防止災(zāi)難再次發(fā)生，TDS主機安全檢查系統(tǒng)還提供病毒掃描快速通道，通過調(diào)用獲得科技部創(chuàng)新基金的安天AVLSDK可嵌入反病毒引擎，可以檢查系統(tǒng)中各種病毒、后門、木馬、蠕蟲、黑客工具、惡意程序、關(guān)注文件等有害數(shù)據(jù)和敏感程序，并能發(fā)現(xiàn)私自訪問互聯(lián)網(wǎng)行為，全面保護內(nèi)網(wǎng)系統(tǒng)安全不再受病毒的侵害。二、內(nèi)網(wǎng)安全風(fēng)險分析現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口，同時也為企業(yè)外部提供了進入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險：病毒、蠕蟲對系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。1.病毒、蠕蟲入侵目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點，即使再先進的防病毒軟件、入侵檢測技術(shù)也不能獨立有效地完成安全防護，特別是對新類型新變種的病毒、蠕蟲，防護技術(shù)總要相對落后于新病毒新蠕蟲的入侵。病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時升級；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護措施就連接到危險的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動用戶計算機連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。2.軟件漏洞隱患企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會給企業(yè)帶來危害，輕者危及個別設(shè)備，重者成為攻擊整個企業(yè)網(wǎng)絡(luò)媒介，危及整個企業(yè)網(wǎng)絡(luò)安全。3.系統(tǒng)安全配置薄弱企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認的安全策略增強的安全配置設(shè)置，例如，賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應(yīng)用對于各種軟件系統(tǒng)自身的安全防護的增強具有重要作用，但在實際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴重為配置漏洞，完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。4.脆弱的網(wǎng)絡(luò)接入安全防護傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進行且在網(wǎng)絡(luò)訪問用戶的身份被確認后，用戶即可以對企業(yè)內(nèi)網(wǎng)進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動用戶在安全防護較差的外網(wǎng)環(huán)境中使用VPN連接、遠程撥號、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個安全通道。另一個傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對于企業(yè)網(wǎng)管很難準確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實導(dǎo)致安全隱患的產(chǎn)生：員工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。5.企業(yè)網(wǎng)絡(luò)入侵現(xiàn)階段黑客攻擊技術(shù)細分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。對于采取各種傳統(tǒng)安全防護措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到安全防護薄弱的外網(wǎng)環(huán)境的移動用戶來說，安全保障就會嚴重惡化，當(dāng)移動用戶連接到企業(yè)內(nèi)網(wǎng)，就會將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。6.終端用戶計算機安全完整性缺失隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會在企業(yè)專網(wǎng)以外使用計算機辦公，同時這些移動員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網(wǎng)的保護之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補丁程序、安全配置等）若處于不正常運行狀態(tài)，終端員工沒有及時更新病毒特征庫，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。三、內(nèi)網(wǎng)安全實施策略1.多層次的病毒、蠕蟲防護病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫未及時升級等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對不同的原因采取有針對性的切實有效的防護辦法，就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡單的防護技術(shù)是難以防護病毒、蠕蟲的威脅的。2.終端用戶透明、自動化的補丁管理，安全配置為了彌補和糾正運行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個企業(yè)網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略，定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設(shè)備上的安全代理，安全代理執(zhí)行這些策略，以保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險，提高企業(yè)網(wǎng)絡(luò)整體的補丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補丁及安全配置管理策略得到有效的落實。3.全面的網(wǎng)絡(luò)準入控制為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時對傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護措施，而采用邊界準入控制、接入層準入控制等技術(shù)進行全面的實現(xiàn)準入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對于符合的外網(wǎng)訪問則放行。一個全面的網(wǎng)絡(luò)準入檢測系統(tǒng)。4.終端設(shè)備安全完整性保證主機完整性強制是確保企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵組件。主機完整性可確保連接到企業(yè)網(wǎng)的客戶端正運行著所需的應(yīng)用程序和數(shù)據(jù)文件。信息安全業(yè)界已經(jīng)開發(fā)出了多種基于主機的安全產(chǎn)品，以確保企業(yè)網(wǎng)絡(luò)和信息的安全，阻止利用網(wǎng)絡(luò)連接技術(shù)、應(yīng)用程序和操作系統(tǒng)的弱點和