1 信息安全威脅
隨著Intemet的飛速發(fā)展以及我國(guó)政府信息化為代表的電子政務(wù)的蓬勃發(fā)展,網(wǎng)絡(luò)已經(jīng)得到廣泛的普及,業(yè)界電子商務(wù)的開(kāi)展,海量的網(wǎng)絡(luò)信息,日趨豐富的網(wǎng)絡(luò)功能使得網(wǎng)絡(luò)走進(jìn)千家萬(wàn)戶。網(wǎng)絡(luò)信息帶來(lái)了生活效率質(zhì)的飛躍,但病毒和黑客等對(duì)網(wǎng)絡(luò)信息安全造成的威脅,也極大地引起人們的關(guān)注和思考。信息安全性要求和政府辦公效率問(wèn)題一度使人們陷入兩難境地。企事業(yè)網(wǎng)絡(luò)應(yīng)用中最為常見(jiàn)的安全防護(hù)產(chǎn)品一防火墻,雖然經(jīng)過(guò)了幾代的發(fā)展,從軟件到硬件、從單核到多核,但其根本的被動(dòng)防護(hù)的原理卻基本沒(méi)有改變,這也使得其面對(duì)變幻多端的威脅時(shí),總是一籌莫展難以應(yīng)對(duì)。
2 防火墻
防火墻是一類防范措施的總稱,它使得內(nèi)部網(wǎng)絡(luò)與Intemet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪,用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。簡(jiǎn)單防火墻可以只用路由器實(shí)現(xiàn),復(fù)雜的可以用主機(jī)甚至一個(gè)子網(wǎng)來(lái)實(shí)現(xiàn)。設(shè)置防火墻是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡(jiǎn)化網(wǎng)絡(luò)的安全管理。
防火墻可以過(guò)濾掉不安全服務(wù)和非法用戶、控制對(duì)特殊站點(diǎn)的訪問(wèn)、提供監(jiān)視Intemet安全和預(yù)警的方便端點(diǎn)。但是由于互連網(wǎng)的開(kāi)放性,有許多防范功能的防火墻也有一些防范不到的地方,如:
1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào),一些用戶可以形成與Intemet的直接連接,從而繞過(guò)防火墻,造成一個(gè)潛在的后門攻擊渠道。
2)防火墻不能防止感染了病毒的軟件或文件的傳輸,這只能在每臺(tái)主機(jī)上裝反病毒軟件。
3)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Intemet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí),就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。
防火墻經(jīng)歷了軟件防火墻、硬件防火墻、ASIC防火墻、UTM(統(tǒng)一威脅網(wǎng)關(guān))四個(gè)時(shí)代,雖然性能逐步加強(qiáng)、功能逐步完善,但是它們都是被動(dòng)防御為主,在保護(hù)信息安全方面都顯不足。而云火墻采用了主動(dòng)防御的思想,它是防火墻的進(jìn)一步發(fā)展,它把防火墻提升到一個(gè)新的高度,給網(wǎng)絡(luò)安全帶來(lái)了新的生機(jī)。云火墻的出現(xiàn),意味著第五代防火墻的誕生。圖1所示為五代防火墻的演進(jìn)圖。
圖1 防火墻的演進(jìn)
3 云火墻技術(shù)
隨著Web2.0時(shí)代到來(lái),各種網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用層出不窮。攻擊者可利用的攻擊手段也更加先進(jìn)。傳統(tǒng)的手動(dòng)靜態(tài)的防護(hù),已經(jīng)很難對(duì)抗大規(guī)模的網(wǎng)絡(luò)攻擊和病毒疫情。在網(wǎng)絡(luò)中,如果一個(gè)端點(diǎn)發(fā)生了攻擊,那么其他端點(diǎn)也可能有類似的問(wèn)題發(fā)生。對(duì)此網(wǎng)絡(luò)應(yīng)該采用最新的安全防護(hù)模式——協(xié)同防護(hù):一旦發(fā)現(xiàn)某處發(fā)生攻擊,立即通知其他地方統(tǒng)一阻止和部署。這就是云火墻的核心思想,將防護(hù)攻擊變成動(dòng)態(tài)的、協(xié)同的、主動(dòng)的。
防火墻的策略是靜態(tài)的,用戶或網(wǎng)管設(shè)定以后,不會(huì)自動(dòng)更改,是完全被動(dòng)地防御攻擊,不知道攻擊會(huì)出現(xiàn)在哪里,以什么形式發(fā)生。而云火墻是動(dòng)態(tài)的,它會(huì)根據(jù)云的數(shù)據(jù)中心實(shí)時(shí)收集到的互聯(lián)網(wǎng)上攻擊的地址和URL來(lái)更新自己的策略表。如發(fā)現(xiàn)有很多計(jì)算機(jī)感染了,云火墻會(huì)自動(dòng)和這些主機(jī)的鏈接中斷,而當(dāng)感染消失后,云火墻也會(huì)動(dòng)態(tài)地解除中斷。這樣,防護(hù)變成了主動(dòng),做到防患于未然。
3.1云火墻的特點(diǎn)
云火墻主要有以下特點(diǎn):
(1)云上數(shù)據(jù)中心動(dòng)態(tài)更新策略
這是云火墻最大的特點(diǎn),也是它被稱為“云”的原因。云上數(shù)據(jù)中心是云火墻的核心,是在互聯(lián)網(wǎng)部署的云端數(shù)據(jù)庫(kù)。它會(huì)在全球收集各種惡意URL,各種掛馬地址,每隔一定時(shí)間就會(huì)動(dòng)態(tài)更新給全球的客戶端用戶。
(2)利用IPS模塊建立信譽(yù)的關(guān)聯(lián)協(xié)作
在云火墻中,如果用戶的IP曾有過(guò)很多威脅網(wǎng)絡(luò)安全的事情,則每次行為都會(huì)被記錄到信譽(yù)分值中,隨著信譽(yù)值降低,該用戶今后再次被檢測(cè)到惡意攻擊后,就會(huì)被網(wǎng)絡(luò)自動(dòng)關(guān)閉鏈接。
(3)提供虛擬云端的移動(dòng)安全接入
隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái),移動(dòng)網(wǎng)絡(luò)的安全接人成為關(guān)注焦點(diǎn)。云計(jì)算通過(guò)SSLVPN技術(shù),實(shí)現(xiàn)了移動(dòng)接入者的安全保護(hù)。SSLVPN即指采用SSL(Security Socket Layer)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型的安全解決技術(shù)。
(4)支持Netflow技術(shù)對(duì)云中的流量進(jìn)行監(jiān)控。對(duì)于網(wǎng)絡(luò)中異常流量的監(jiān)控一直是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防護(hù)的重要手段之一。在云火墻中,采用Netflow V9技術(shù),實(shí)現(xiàn)通過(guò)云火墻就可以檢測(cè)流量,網(wǎng)管人員通過(guò)云火墻就可以管理網(wǎng)絡(luò),實(shí)現(xiàn)了NOC(網(wǎng)絡(luò)管理平臺(tái))和SOC(安全管理平臺(tái))的二合一。
3.2云火墻的技術(shù)原理
云火墻最本質(zhì)的特點(diǎn),就是它的動(dòng)態(tài)化和智能化,而其技術(shù)實(shí)現(xiàn)的途徑,就是充分利用云進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與共享,從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全服務(wù)。目前全球最龐大的安全威脅監(jiān)測(cè)網(wǎng)絡(luò)SensorBase,就是新一代防火墻的“云端”。它可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細(xì)信息,包括連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)DarkNets等。通過(guò)將這些信息實(shí)時(shí)傳遞到云火墻,可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機(jī)會(huì)損害重要資產(chǎn)之前及時(shí)過(guò)濾掉這些攻擊者,也就是說(shuō),把其防火墻升級(jí)到云火墻,即可實(shí)現(xiàn)動(dòng)態(tài)防范、主動(dòng)安全。
云火墻的“大腦”是SensorBase,而SensorBase的前身是SenderBase。作為全球最大的郵件流量監(jiān)控網(wǎng)絡(luò),SenderBase能夠提供全球安全威脅實(shí)時(shí)視圖和電子郵件的“信用報(bào)告服務(wù)”。現(xiàn)在Sensor—Base中加入了僵尸網(wǎng)絡(luò)主控?cái)?shù)據(jù)庫(kù),能夠敏感監(jiān)控僵尸網(wǎng)絡(luò)的動(dòng)態(tài)。同時(shí),SensorBase還增加了動(dòng)態(tài)策略,如果某個(gè)互聯(lián)網(wǎng)地址有問(wèn)題就會(huì)被阻斷。SensorBase是云火墻出現(xiàn)的前提,SensorBase的信息需要及時(shí)進(jìn)行更新,并同步到所有云火墻中,才能夠發(fā)揮云火墻的強(qiáng)大作用。各種安全信息不但可以從SensorBase傳到云火墻,還可以從云火墻傳到SensorBase,而云火墻中的IPS可以在第一時(shí)間把攻擊同步給SensorBase,SensorBase再同步給其他云火墻。
當(dāng)然,云安全成功的關(guān)鍵是要有足夠多的信息收集點(diǎn)和計(jì)算能力,只有這樣才能更快、更新、更好地更新云火墻數(shù)據(jù)庫(kù),提供及時(shí)的安全消息和服務(wù)。云火墻的工作原理如圖2所示。
圖2 云火墻工作原理圖
云火墻的關(guān)鍵特征是動(dòng)態(tài)防范和主動(dòng)安全,而SensorBase作為云火墻的“大腦”監(jiān)控著僵尸網(wǎng)絡(luò)的變化,如果再輔以能遍布全球的傳感器和眾多的安全信息提供方,就可以使云火墻能夠在最短的時(shí)間內(nèi)了解全世界網(wǎng)絡(luò)中惡意威脅的動(dòng)態(tài)并提供防范措施,從而為安全防護(hù)技術(shù)帶來(lái)革命性的進(jìn)展。
3.3云火墻的優(yōu)勢(shì)
云火墻最本質(zhì)的特點(diǎn),就是它的動(dòng)態(tài)化和智能化,而其技術(shù)實(shí)現(xiàn)的途徑,就是充分利用“云”進(jìn)行動(dòng)態(tài)實(shí)時(shí)的威脅信息集中采樣與共享,從而最終實(shí)現(xiàn)主動(dòng)應(yīng)變的安全服務(wù)。
UTM等網(wǎng)關(guān)集成設(shè)備,都是靜態(tài)的,不斷將病毒特征更新到本地。隨著更新的特征越來(lái)越多,同時(shí)打開(kāi)這么多的特征,對(duì)本地的設(shè)備壓力會(huì)很大。而在云火墻,只有在有攻擊的時(shí)候,才自動(dòng)將策略更新給設(shè)備,沒(méi)有攻擊的時(shí)候,取消策略。作為設(shè)備端,只需要開(kāi)通缺省配置就可以了。這也正是云火墻動(dòng)態(tài)更新的好處。而且,云火墻每隔一定時(shí)間向客戶端更新的不是病毒特征,而是防護(hù)策略。
當(dāng)前網(wǎng)絡(luò)中,零日攻擊的溢出會(huì)出現(xiàn)在哪里并不清楚,所以很難防范。一旦零日攻擊發(fā)生后,會(huì)產(chǎn)生很大效果,例如蠕蟲(chóng)泛濫等。但是云火墻一旦發(fā)現(xiàn)這種異常情況后,會(huì)將疫情報(bào)告給云數(shù)據(jù)中心,然后轉(zhuǎn)發(fā)給整個(gè)網(wǎng)絡(luò),來(lái)協(xié)同防范。
4 信息安全措施
信息就是從一個(gè)主機(jī)或客戶端(端點(diǎn))傳遞到路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)連接設(shè)備(網(wǎng)絡(luò))。而在信息傳遞過(guò)程中,通常需要滿足三個(gè)要素的要求,也就是我們常說(shuō)的信息安全三要素:保密性、完整性、可用性。首先,要保證信息的完整,不能在傳遞中丟失,其次,要保證信息除了既定接收者之外,不被其他人獲取和破譯,最后,要保證傳遞的信息是可用的、有價(jià)值的。滿足了這三個(gè)要求,也就保證了信息的安全。
信息在網(wǎng)絡(luò)中傳輸有兩個(gè)邏輯單元在保證信息的傳遞,一個(gè)是端點(diǎn),一個(gè)是網(wǎng)絡(luò)。針對(duì)這個(gè)特點(diǎn),既可以在端點(diǎn)實(shí)施信息安全保護(hù),也可以在網(wǎng)絡(luò)實(shí)施。在端點(diǎn)實(shí)施,可以將攻擊控制在源頭,例如一些針對(duì)系統(tǒng)的應(yīng)用比較適合在斷點(diǎn)做防護(hù),而如果在網(wǎng)絡(luò)實(shí)施防護(hù),會(huì)耗費(fèi)大量的資源;在網(wǎng)絡(luò)實(shí)施防護(hù),可以做到風(fēng)險(xiǎn)的集中可控,比如發(fā)現(xiàn)一些服務(wù)器的漏洞,但是終端的應(yīng)用需求使得不能輕易通過(guò)升級(jí)終端程序來(lái)解決,這時(shí)就需要在網(wǎng)絡(luò)側(cè)部署一些防攻擊的手段,將攻擊控制在遠(yuǎn)端。不過(guò)在端點(diǎn)做防護(hù),首先要保證端點(diǎn)本身不是攻擊者,否則端點(diǎn)的防護(hù)就不能實(shí)現(xiàn),此時(shí)需要網(wǎng)絡(luò)的協(xié)助建立一個(gè)嚴(yán)格的準(zhǔn)入控制,來(lái)判斷端點(diǎn)的性質(zhì)。最好的策略是兩者協(xié)同工作,通過(guò)合理和協(xié)同部署,實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)端點(diǎn)的識(shí)別和判斷,并賦予相應(yīng)的權(quán)限。
如若保證網(wǎng)絡(luò)安全,搭建一個(gè)可信的網(wǎng)絡(luò)安全架構(gòu)具有非常重要的作用。從端點(diǎn)和網(wǎng)絡(luò)二者的關(guān)系考慮,網(wǎng)絡(luò)安全架構(gòu)可以由三部分組成:可信層、安全層、服務(wù)層。如圖3所示。
圖3 可信網(wǎng)絡(luò)的三層架構(gòu)框架圖
(1)可信層:該層是本架構(gòu)的基礎(chǔ)層。在本層中,提供三種可信服務(wù)。首先保證網(wǎng)絡(luò)是可信的,各終端接入的是可信的網(wǎng)絡(luò),網(wǎng)絡(luò)也能識(shí)別終端是否可以信任。然后提供鏈路層的加密服務(wù),使得數(shù)據(jù)在交換機(jī)問(wèn)傳輸時(shí),可以選擇是否采用加密進(jìn)行保護(hù)。最后通過(guò)各種組策略,對(duì)角色進(jìn)行權(quán)限的控制和管理。
(2)安全層:在本層中通過(guò)防火墻入侵檢測(cè),VPN安全網(wǎng)關(guān)等技術(shù),來(lái)構(gòu)建安全層的防護(hù)。利用防火墻、Email過(guò)濾、安全控制、3A認(rèn)證、VPN等技術(shù)進(jìn)行隔離、識(shí)別和管理,使網(wǎng)絡(luò)里流轉(zhuǎn)的數(shù)據(jù)能夠被監(jiān)控、識(shí)別、關(guān)聯(lián)和控制管理。
(3)服務(wù)層:服務(wù)層主要由三個(gè)功能部分組成:云火墻,實(shí)現(xiàn)防止木馬;IPS(入侵防御系統(tǒng))聯(lián)防,根據(jù)IP地址進(jìn)行協(xié)防和聯(lián)防,發(fā)現(xiàn)攻擊可以通知其他IP;Email和Web安全保障,利用云數(shù)據(jù)中心統(tǒng)一的數(shù)據(jù)庫(kù),即時(shí)收集和更新各地的攻擊信息,做出防護(hù)。
5 結(jié)束語(yǔ)
互聯(lián)網(wǎng)時(shí)代,信息呈爆炸趨勢(shì),每天新出現(xiàn)的數(shù)據(jù)以TB計(jì)算,以云計(jì)算為代表的現(xiàn)代信息體系也正變得日益龐大和復(fù)雜,這也急需云安全時(shí)代的出現(xiàn)。不過(guò),盡管云火墻相對(duì)傳統(tǒng)的防火墻技術(shù)有了很大的提升,但是距離建立起一套真正的現(xiàn)代信息安全防護(hù)體系還有著相當(dāng)?shù)木嚯x。但是很重要的是,我們可以從中看到邁向未來(lái)安全的關(guān)鍵路標(biāo),而這也正是云安全的本質(zhì)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:淺析基于云火墻的網(wǎng)絡(luò)安全與信息安全措施
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083953667.html
相關(guān)文章
