安全防护
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全防护范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
安全防护范文第1篇
在大型的企业网络中不同的子网各有特点,对于网络安全防护有不同的等级要求和侧重点。因此,网络安全域的“同构性简化”思路就显得非常适合安徽中烟网络安全防护的需求,下面将具体介绍安徽中烟基于安全域的网络安全防护体系建设思路。
网络安全域是使网络满足等级保护要求的关键技术,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全防护手段。通过建设基于安全域的网络安全防护体系,我们可以实现以下的目标:通过对系统进行分区域划分和防护,构建起有效的纵深防护体系;明确各区域的防护重点,有效抵御潜在威胁,降低风险;保证系统的顺畅运行,保证业务服务的持续、有效提供。
1安全域划分
由于安徽中烟网络在网络的不同层次和区域所关注的角度不同,因此进行安全域划分时,必须兼顾网络的管理和业务属性,既保证现有业务的正常运行,又要考虑划分方案是否可行。在这样的情况下,独立应用任何一种安全域划分方式都不能实现网络安全域的合理划分,需要多种方式综合应用,互相取长补短,根据网络承载的业务和企业的管理需求,有针对性地选择合理的安全域划分方式。
1.1安全域划分原则
业务保障原则安全域划分应结合烟草业务系统的现状,建立持续保障机制,能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。结构化原则安全域划分的粒度可以从系统、设备到服务、进程、会话等不断细化,在进行安全域划分时应合理把握划分粒度,只要利于使用、利于防护、利于管理即可,不可过繁或过简。等级保护原则属于同一安全域内的系统应互相信任,即保护需求相同。建立评估与监控机制,设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则安全域的划分不应只考虑到静态设计,还要考虑因需求、环境不断变化而产生的安全域的变化,所以需考虑到工程化管理。
1.2安全域划分方式
1.2.1安全域划分模型根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
1.2.2安全域边界整合1)整合原则边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。
2安全防护策略
2.1安全防护原则
集中防护通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。
2.2系统安全防护
为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。
2.2.1设备自身安全功能和配置一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。
2.2.2基础安全技术防护手段业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。
防火墙部署防火墙要部署在各种互联边界之处:
–在互联网接口区和互联网的边界必须部署防火墙;
–在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;
–在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。
网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:
–在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。
–在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。
2.2.3应用层安全防护数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型,提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。
2.2.4安全域的管理除了实施必要的安全保障措施控制外,加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括:从安全域边界的角度考虑,应提高维护、加强对边界的监控,对业务系统进行定期或不定期的风险评估及实施安全加固;从系统的角度考虑,应规范帐号口令的分配,对服务器应严格帐号口令管理,加强补丁的管理等;人员安全培训。
安全防护范文第2篇
终端安全面临挑战
需求是技术进步的最大动力,而推动终端安全防护技术升级的原因就在于安全形势正在发生重大变化。随着IT技术应用的逐步深入和Web应用的普及,特别是社交网络的兴起,将现实社会与虚拟网络连结在一起,现在的终端安全正面临着新的挑战。
挑战之一是病毒种类爆炸性增长。根据赛门铁克的研究数据显示,2007年1月,赛门铁克的全球应急响应中心共发现了病毒25万种,而到2010年12月份,这个数据则攀升到2.86亿。病毒种类太多、变异太快,这使得病毒发现、病毒特征提取、病毒库更新、病毒拦截这个流程已无法即时响应,终端安全防护的效率也就逐渐下降;同时,病毒特征库越来越大,不但大量占用用户电脑的存储资源,还耗用了大量的CPU和内存资源,用户的直观感觉则是电脑越来越慢。
“传统的防护方法是要先发现并确认这是病毒,然后才能完成后来的病毒特征提取、病毒拦截工作。换而言之,如果不知道它是病毒,就不知道如何防备它。这就是传统方法的被动之处。”赛门铁克首席信息安全技术顾问林育民表示。
挑战之二是病毒设计更有针对性。过去病毒爆发都是大面积甚至全球性的,其波及面达数百万台电脑,而今这样的病毒越来越少。由于病毒设计者从以前的技术迷恋性转变为追求经济回报,所以他们会针对某一特定对象编写病毒。其目标指向非常明确,就是某个网络甚至某几台计算机,通过入侵系统获取某些信息实现牟利。根据赛门铁克提供的数据,去年,70%以上的恶意软件攻击目标少于50台,有些甚至只是感染几台计算机。这么少的目标使得这种病毒的发现更为困难,即使安全厂商取得样本,的病毒特征也只对少数这几台电脑有效。
挑战之三是虚拟化的流行。虚拟化改变了IT资源的使用方式,使得应用系统与物理设备彻底分离,而安全防护手段也必须随之而变。“部署虚拟化技术以后,我们的电脑中可能会有多个虚拟机,有可能某些虚拟机的相似度达到90%以上,如果还是对每个虚拟机上每一个文件进行查杀病毒,不但占用资源,性能也不佳。”林育民说。
终端安全保护产品的选择
日益严峻的终端安全形势要求我们选择合适的终端安全防护产品。那么,我们该如何评判一个终端安全防护产品呢?
“对于终端安全防护产品的选择,有几个关键点必须考虑,即病毒查杀准、性能高、可管理性好,另外还要有一定前瞻性,符合IT技术未来的发展趋势。”林育民介绍说。
林育民进一步解释,“病毒查杀准”指病毒识别率高,能识别并拦截绝大多数病毒,这是终端安全防护产品的基本功能,也是评判一个产品好与不好最为重要的指标之一;“性能高”指的是扫描不占用太多的资源以免影响其他软件的运行,有良好的用户体验。
“可管理性”主要是应对中大型企业的各种管理需求的。大型企业的管理需求可能会比较复杂,比如,在管理上可能会要求对文件的读和写分别进行控制,还有可能要限制U盘的使用或者限制从U盘运行文件,并且可能还要对某个具体的应用程序进行管理和控制(如P2P下载、QQ等)。
而前瞻性则是对企业把握IT科技未来发展趋势能力的一种考验。比如,安全产品中提供对虚拟化的支持就是一种必然的发展趋势。虽然许多安全厂商注意到这一趋势,但往往为了追求性能与提高虚拟机密度,牺牲了虚拟化环境的安全防护能力;具有前瞻性的终端安全产品必须能在虚拟化环境下,防护不打折且对虚拟机性能冲击最小,同时兼顾安全与性能。
在林育民看来,同时满足这些条件的终端安全防护产品并不多,赛门铁克即将的Symantec Endpoint Protection 12(SEP 12)无疑是其中之一。它引入一系列创新的技术(包括Insight、SONAR),实现了主动、预防式的病毒查杀功能,可帮助物理和虚拟系统实现高效的防御功能。
安全防护范文第3篇
关键词:安全;智能手机;防护中图分类号:U664.156文献标识码:A
引言
在一个信息泄露陷阱遍地开花的时代,经常有用户的隐私被窃取,进而被众人戏谑为“信息裸奔”。现在,这股“裸奔潮”已经蔓延到智能手机这片蓝海上。虽然智能手机遭遇的恶意软件还不像网络或操作系统那样泛滥,但是大有愈演愈烈的趋势。勿庸置疑,手持智能设备在给我们带来一定便利的同时,也隐藏着一定的安全隐患。
一、智能手机安全问题日益引起人们的高度重视
据CNCERT(国家互联网应急中心)最新数据显示,去年我国移动互联网恶意代码数量高达16万行,与前年相比,增加了25倍,而这些恶意程序主要集中在Android平台上,占总数的82.5%。Android的开放性使得大量的恶意开发者因利益的驱动瞄准了这个巨大的市场。因各下载市场、ROM、刷机、论坛等渠道,缺少严格、完善的审核机制,又给了恶意软件巨大的生存的空间。
在DCCI(互联网数据中心)的《中国移动安全产业链生态发展报告》中,显示有96.7%的用户曾遭遇移动安全问题。在下载通道中,通过智能手机浏览器访问的网站中,有0.39%暗藏木马;在下载站中,木马占应用市场提交检测应用次数的11.8%。仅2013年上半年新增病毒样本数就达到了2012年全年的1.7倍。
有数据显示,今年我国智能手机出货量将突破2.7亿台,有将近5亿的用户加入移动互联网大潮中,这也就意味着,可能遭病毒感染的智能手机基数会增大。从某种意义上说,恶意软件的市场空间不断在增加,智能手机安全形势日益严峻。
在应用方面,目前28.3%的应用软件含有广告,平均每个广告软件被植入2.66个广告平台的插件,而每个含广告软件大约有2种广告样式。广告条是目前移动端主要的广告样式,占比92.6%。基本上每条广告都能连接到外部网络,这些广告同时可能获取用户的位置信息和读取用户的智能手机号码。
二、各方合力积极应对安全挑战
尽管围绕智能手机应用的各方都在积极努力加强防范,但在安全防御和查杀技术进步的同时,智能手机病毒及恶意软件也在发展,包括其隐蔽程度、危害、反查杀手段都在不断升级。今天安全厂商改进了查杀方法,智能手机病毒开发者会很快做出反应,想出新的方法来规避安全软件的查杀。新病毒层出不穷,安全厂商的查杀机制及引擎也需要不断改进。
截止到2012年第三季度,中国的智能手机安全累计用户在移动互联网用户中的渗透率已经达到63.4%。未来,随着Android开放平台智能终端出货量的继续增长,这一数字有望在年底突破70%。其实,不断增长的智能手机用户,除了给恶意软件制造者带来了市场,也给智能手机安全软件提供了广阔的市场空间。但智能手机安全软件并不能从根本上解决安全问题,应用分发平台作为流通的关键环节,有着不可忽视的作用。
智能手机病毒、恶意短信让用户们防不胜防,苦不堪言,大有回到互联网刚开放时全民病毒的年代。网络不发达的时代电脑中了病毒还只是造成系统变慢、经常死机等状况,对用户的经济利益还没有太大的影响,而现在的智能手机病毒则不然,取得了最高权限的病毒理论上可以顷刻间挥霍掉你所有话费,这就是对我们经济利益裸的伤害。国外的统计数据表明,已经有86%的移动互联网用户开始担心终端的安全问题,如欺诈账单、信息盗用等;34%的用户开始对目前的终端及其服务的安全质疑。59%的用户希望运营商能够把保障终端和业务安全放在首位。
三、智能手机安全防护措施
以下分别针对这三种特殊情况分别讨论相应的防护措施:本机防护;手机上网防护;手机操作系统防护等方式进行防范。
1、本机防护
本机防护带来的安全问题常见的有:手机的通讯录、短信、通话记录等用户私密信息会被窃取;被他人伪装成用户本人使用手机进行短信诈骗等;被他人使用手机从事其它违法活动。可采用设置手机开机密码、手机登陆密码和SIM卡登陆密码。或者进行手机数据加密。也可以使用手机远程控制销毁数据。这些方式可以有效地进行本机的防护。
2、手机上网防护。
上网是智能手机的一项基本功能,也是智能手机最容易被攻击的一种方式。常见的有:用户信息被窃取、手机被恶意扣费、手机用户位置被追踪、通话被监听、手机行为被控制等。常见的手机恶意代码植入方式有:手机出厂时被植入手机恶意代码,主要一些山寨手机中比较常见;手机恶意代码附带在一些用户程序中,用户安装过程中植入;手机被他人使用过程被植入;电脑感染病毒后连接电脑的手机被植入手机恶意代码;利用手机的漏洞植入。手机恶意代码的安全防护措施主要是避免手机被他人使用,对他人赠与的手机进行彻底检查,避免手机与他人的电脑进行连接等,另外,借助第三方手机安全软件或一些手机系统自带工具可以对手机恶意代码进行查杀。
3、手机操作系统防护。
手机操作系统安全漏洞带来的安全隐患和防护措施需要对手机的操作系统进行升级或者进行漏洞修复。常见到的漏洞,一是手机信号被窃取带来的安全隐患。目前市面上一些比较先进的监听设备,可以窃取手机信号,达到实时监听的功能。二是手机接口安全漏洞。手机提供的接口越来越多,包括红外、蓝牙、USB、WIFI、射频识别、条码扫描以及GPRS、3G 网络接口,目前在芯片设计、接口协议、传输协议等方面,都可能有安全漏洞。三是手机短信、邮件漏洞。一些手机的存存一些短信、邮件漏洞,利用该漏洞可以造成手机死机、损坏、被植入恶意代码等后果,从而导致查看该类短信时,手机死机。四是手机破解、越狱利用的相关漏洞,能够自动对手机进行越狱。值得注意的是,该漏洞可以被利用在手机恶意代码的远程植入,另外,对手机进行破解、越狱,等于是解除未签名、未认证程序的安装限制,也会给手机带来很多安全隐患。
智能手机用户则需要加强智能手机操作系统的学习,减少安全漏洞,对于安全漏洞导致的危害,可以采取以下防范措施:关注手机操作系统更新信息,一些手机漏洞被发现后,手机操作系统研发公司一般会在最短的时间内补丁或升级版本的同件,需要及时进行更新;关闭手机不需要的蓝牙、WIFI等接口;利用手机安全软件,结合手机恶意代码的查杀进行防护;对手机破解、越狱可能带来的安全隐患要有足够的认识,轻易不对手机进行破解、越狱等操作。
结语
总之随着移动互联网不断渗透到人们日常生活中的个个角落,未来智能手机等移动终端的安全将成为日益严峻的问题,而它的解决离不开政府、运营商、应用平台、安全厂商、智能手机厂商、开发者、以及智能手机用户等各方的共同努力。
参考文献
安全防护范文第4篇
【 关键词 】 系统安全;安全威胁;安全策略;网络可靠性
Analysis and Research on the Protection Strategy of IT System Security
Zhang Jie Geng Yu-hua
(China Mobile Group Henan Company Limited HenanZhengzhou 450008)
【 Abstract 】 Based on the analysis of security threats faced by IT system, IT system is divided into a plurality of security sub-domain, by formulating the construction and security strategy of each security sub-domain, system network architecture is more security, system security protection capability is further enhanced.
【 Keywords 】 system security; security threats; security policy; network reliability
1 引言
随着企业IT支撑系统的逐步建设,IT系统已融入企业生产和管理的各个方面,对企业的正常运行的影响也越来越大。但是,伴随着网络规模的不断扩大和在网络上运行的业务系统的增多,相关的安全问题也日益严重,通过网络影响业务系统的活动所使用的技术手段越来越高明。系统网络面临各种安全威胁,特别是侵入与攻击事件的发生,会给企业造成极大的经济损失。
2 系统安全威胁分析
目前威胁IT系统安全的因素主要包括病毒侵袭、黑客攻击等。
2.1 病毒传播
随着网络技术的日益发展,病毒技术也在不断发展提高,病毒的传播途径越来越广,传播速度越来越快,造成的危害也越来越大,病毒已经严重威胁着业务支撑系统的安全。尤其近期病毒日益向网络化和多样化发展,业务支撑系统中任何一个节点病毒疫情爆发,将波及到网络中其它所有节点,从而影响整个网络的正常运行。
2.2 黑客攻击
暴露于网络中的IT系统经常存在很多漏洞,由于部分用户和管理人员的安全意识不强,同时,黑客攻击的手段在不断变更,攻击水平飞速提高,计算机犯罪和非法入侵攻击对企业造成的危害极其严重。通过因特网侵入他国重要部门计算机系统的事例已屡见不鲜,黑客攻击已经逐渐成为将来信息战的一种重要手段。
3 系统安全防护原则
安全域划分与边界整合是安全工作的基础。安全域的划分,就是从安全角度将系统划分成不同的区域,以便实行分门别类的防护。根据等级保护的要求,确定各安全域的保护等级,并部署相应安全手段。安全域调整的基本原则有几点。
分区域保护原则:应根据各业务的不同重要性,划分多个具有不同安全保护等级的安全域,实现不同强度保护;安全域内的系统应具有相同或者相近的保护等级,实施统一的安全策略管理。
重点保护原则:在分区域保护原则基础上,对于其中某些系统设备由于其存储数据的性质、或者由于其承载的业务非常关键,应得到重点的保护。应集中资源首先确保重点应用安全,安全需求高安全域的重要应用优先保护。
相互信任原则:属于同一安全域内的系统应互相信任,也就是说即使保护需求相同,如果属于不同的系统而且互不信任,也不应该纳入同一安全域进行保护,“信任”是一个相对的概念。
可行性、可靠性原则:安全系统的方案设计和系统设计,应满足可用性、高性能及高可靠性要求,保证在采用安全防护手段之后,不会对现有网络和业务系统有大的影响,在保证网络和业务系统正常运转的前提下,提供最优安全保证;同时安全解决方案应具有良好的扩展性,能适应将来的发展。
4 系统安全防护策略
为实现上述安全防护原则,可根据系统体系架构和承载业务不同,将整个IT业务系统划分为多个安全区域,不同的安全区域采用不同的安全策略,实现安全等级防护。
4.1 安全域划分
以核心IT业务系统为例,说明安全域划分和防护策略。系统可主要划分为核心域和接入域两个安全域,再根据安全域内部的不同业务类型安全需求采取不同的安全策略,部署相应的安全设备,以实现整体系统的安全。
核心域中承载系统核心数据和业务,包括系统核心主机、网管系统、客服系统等,其安全级别最高的,是系统安全的首要考虑的防护对象。接入域包括内部接口域和外部接口域两大部分,其中内部接口域是指本系统和本企业内部其他IT系统间的接口;外部接口域是指和银行、互联网等外部系统的接口。
接入域虽然安全防护级别相对核心域较低,但由于其和外部进行大量数据交互,是外部恶意攻击的重要途径,因此其安全性也非常重要,是防护内部系统安全的的重要屏障。
4.2 安全防护措施
安全防护主要包括安全域技术改造和安全加固二部分内容。
安全域技术改造部分包括根据安全防护要求进行系统核心域、接口域的的安全域构建和系统网络架构调整等内容,将系统设备根据业务和安全防护要求分别划分到相对独立的安全子域中去。
对系统进行安全加固时,可分两步进行。一是对现有系统的安全加固,采用先进的技术手段对核心业务系统中的主机、操作系统、数据库、网络设备进行安全评估,查找系统安全漏洞,并针对发现的安全漏洞进行修补加固。二是针对现有系统安全防火措施的不足增加新的安全设备,并制定全面完善的维护和操作安全管理流程和规范,通过访问控制策略调查制定新的安全域访问控制策略。
4.2.1防火墙的设置
在接口子域采用双层异构防火墙部署,在与外部接口的交换机两侧分别部署不同厂商的防火墙设备,将与外部通信的网络交换机放置在两层防火墙之间,在双层防火墙间的交换机上部署接口服务器,用于处理系统和其他系统的业务和数据交互。
交换机和防火墙都采用主备高可用布署方式,同时在防火墙上进行相应的安全设置,建立访问控制列表(ACL)和安全过滤策略,限制外部非法系统的接入。
4.2.2部署网络防毒墙设备
在系统内部部署网络防毒墙用来抵挡和阻断网络蠕虫和病毒的传播。网络防毒墙具备针对网络蠕虫、病毒等特征码的检测功能,用来监控整个网络的病毒行为。防毒墙的病毒扫描引擎结合了启发式扫描等多种技术,能够检测已知的和尚未开发出特征码的新病毒,还可对垃圾邮件进行识别和处理。网络防毒墙是终端防病毒软件的重要补充,两者结合能最大程度消灭网络病毒,净化内部系统和网络。
4.2.3部署网页防篡改系统
随着企业业务发展的需要,各种互联网应用日益增多。网上营业厅、自助服务平台等通过互联网提供服务的业务也日益普及,大量系统均采用了B/S架构,为防御黑客对业务系统网页的进行篡改,确保客户账户和密码安全,需要部署专门的网页防篡改系统来保护网页和保障业务系统的安全。
网页防篡改系统通过采用实时阻断技术,加载网页篡改检测引擎,能够有效阻断非授权人员或系统对网页内容的篡改;在发现网页内容被非法篡改时,通过事件触发技术,能够瞬间清除被非法篡改的网页,将网页恢复正常;在客户访问系统时,能够确保每个对外发送的网页的正确性。
部署网页防篡改系统,能实现网站监控与恢复、网页与同步、受攻击报警、网页维护日志、系统备份功能,还可进行用户认证、篡改分析和审计,并可以根据需要灵活构建复杂的网站防护系统。
4.3.4部署入侵检测系统
在内部接口域和外部接口域部署入侵检测设备,通过对网络流量的镜像监听来发现网络中的异常行为。对防火墙进入子系统的数据进行监测,把防火墙与交换机之间的通讯端口镜像到入侵检测设备的监听端口,实现对子系统防火墙之间的通讯数据进行监控的功能。
入侵检测系统在发现入侵或异常行为后,可提供控制台报警、邮件报警、声音报警以及短消息报警、切断会话等多种报警方式。能够与路由器、防火墙等网络及安全设备进行联动,组成联合防御体系,解决入侵检测信息孤岛问题。
此外,入侵检测探测器还能够发现并记录网络中常用的敏感信息,帮助管理员发现内部的网络滥用行为;能够对常用的应用协议(HTTP、FTP、SMTP、POP3、TELNET)进行内容恢复,并按照相应的协议格式完整展现,清楚展现入侵者的攻击过程,重现内部网络资源滥用时泄漏的保密信息内容。
5 安全防护实施风险控制
在进行IT业务系统安全域划分以及安全产品部署和安全策略实施的过程中,一定要把对业务系统的影响降到最小,把风险降到最低。
在操作实施前,应制定完善细致的操作步骤和实施方案,考虑各种可能出现的问题,制定相应的应急预案和回退机制。在操作时间的选择上,要尽量避开业务高峰时段,如在凌晨进行工程实施,使加固行为对业务的影响降到最低。进行操作前,对系统的重要数据和操作系统以及系统配置信息进行备份,对操作流程进行测试验证,确保操作安全有效。在操作过程中,操作人员应严格按照既定流程操作,并由专人对所有操作进行严格复查,确保没有缺少或者多余的操作,以防误操作对被加固设备带来不良影响。
参考文献
[1] 刘化君.网络安全技术[M]. 北京:人民邮电出版社,2010.
[2] 张玉清.网络攻击与防御技术[M]. 北京:清华大学出版社,2011.
[3] 于九红.网络安全设计[M]. 北京:电子工业出版社,2012.
[4] 俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社,2008.
作者简介:
安全防护范文第5篇
关键词Web;网络安全;安全威胁;安全防护
1引言
随着Internet的普及,人们对其依赖也越来越强,但是由于Internet的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务,Web站点被黑客入侵的事件屡有发生,Web安全问题已引起人们的极大重视。
2Web的安全威胁
来自网络上的安全威胁与攻击多种多样,依照Web访问的结构,可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。
2.1对Web服务器的安全威胁
对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑:
2.1.1在Web服务器上的机密文件或重要数据(如存放用户名、口令的文件)放置在不安全区域,被入侵后很容易得到。
2.1.2在Web数据库中,保存的有价值信息(如商业机密数据、用户信息等),如果数据库安全配置不当,很容易泄密。
2.1.3Web服务器本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要的数据,甚至造成系统瘫痪。
2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。
2.2对Web客户机的安全威胁
现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序,它可以完成一些动作,显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时,这些应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。主要用到JavaApplet和ActiveX技术。
JavaApplet使用Java语言开发,随页面下载,Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制JavaApplet的活动,它不会访问系统中规定安全范围之外的程序代码。但事实上JavaApplet存在安全漏洞,可能被利用进行破坏。
ActiveX是微软的一个控件技术,它封装由网页设计者放在网页中来执行特定的任务的程序,可以由微软支持的多种语言开发但只能运行在Windows平台。ActiveX在安全性上不如JavaApplet,一旦下载,能像其他程序一样执行,访问包括操作系统代码在内的所有系统资源,这是非常危险的。
Cookie是Netscape公司开发的,用来改善HTTP的无状态性。无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。Cookie实际上是一段小消息,在浏览器第一次连接时由HTTP服务器送到浏览器端,以后浏览器每次连接都把这个Cookie的一个拷贝返回给Web服务器,服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。Cookie不能用来窃取关于用户或用户计算机系统的信息,它们只能在某种程度上存储用户的信息,如计算机名字、IP地址、浏览器名称和访问的网页的URL等。所以,Cookie是相对安全的。
2.3对通信信道的安全威胁
Internet是连接Web客户机和服务器通信的信道,是不安全的。像Sniffer这样的嗅探程序,可对信道进行侦听,窃取机密信息,存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性的安全威胁。此外,还有像利用拒绝服务攻击,向网站服务器发送大量请求造成主机无法及时响应而瘫痪,或者发送大量的IP数据包来阻塞通信信道,使网络的速度便缓慢。
3Web的安全防护技术
3.1Web客户端的安全防护
Web客户端的防护措施,重点对Web程序组件的安全进行防护,严格限制从网络上任意下载程序并在本地执行。可以在浏览器进行设置,如MicrosoftInternetExplorer的Internet选项的高级窗口中将Java相关选项关闭。在安全窗口中选择自定义级别,将ActiveX组件的相关选项选为禁用。在隐私窗口中根据需要选择Cookie的级别,也可以根据需要将c:\windows\cookie下的所有Cookie相关文件删除。
3.2通信信道的安全防护
通信信道的防护措施,可在安全性要求较高的环境中,利用HTTPS协议替代HTTP协议。利用安全套接层协议SSL保证安全传输文件,SSL通过在客户端浏览器软件和Web服务器之间建立一条安全通信信道,实现信息在Internet中传送的保密性和完整性。但SSL会造成Web服务器性能上的一些下降。
3.3Web服务器端的安全防护
限制在Web服务器中账户数量,对在Web服务器上建立的账户,在口令长度及定期更改方面作出要求,防止被盗用。
Web服务器本身会存在一些安全上的漏洞,需要及时进行版本升级更新。
尽量使EMAIL、数据库等服务器与Web服务器分开,去掉无关的网络服务。
在Web服务器上去掉一些不用的如SHELL之类的解释器。
定期查看服务器中的日志文件,分析一切可疑事件。
设置好Web服务器上系统文件的权限和属性。
通过限制许可访问用户IP或DNS。
从CGI编程角度考虑安全。采用编译语言比解释语言会更安全些,并且CGI程序应放在独立于HTML存放目录之外的CGI-BIN下等措施。4Web服务器安全防护策略的应用
这里以目前应用较多的Windows2000平台和IIS的Web服务器为例简述Web服务器端安全防护的策略应用。
4.1系统安装的安全策略
安装Windows2000系统时不要安装多余的服务和多余的协议,因为有的服务存在有漏洞,多余的协议会占用资源。安装Windows2000后一定要及时安装补丁4程序(W2KSP4_CN.exe),立刻安装防病毒软件。
4.2系统安全策略的配置
通过“本地安全策略”限制匿名访问本机用户、限制远程用户对光驱或软驱的访问等。通过“组策略”限制远程用户对Netmeeting的桌面共享、限制用户执行Windows安装任务等安全策略配置。
4.3IIS安全策略的应用
在配置Internet信息服务(IIS)时,不要使用默认的Web站点,删除默认的虚拟目录映射;建立新站点,并对主目录权限进行设置。一般情况下设置成站点管理员和Administrator两个用户可完全控制,其他用户可以读取文件。
4.4审核日志策略的配置
当Windows2000出现问题的时候,通过对系统日志的分析,可以了解故障发生前系统的运行情况,作为判断故障原因的根据。一般情况下需要对常用的用户登录日志,HTTP和FTP日志进行配置。
4.4.1设置登录审核日志
审核事件分为成功事件和失败事件。成功事件表示一个用户成功地获得了访问某种资源的权限,而失败事件则表明用户的尝试失败。
4.4.2设置HTTP审核日志
通过“Internet服务管理器”选择Web站点的属性,进行设置日志的属性,可根据需要修改日志的存放位置。
4.4.3设置FTP审核日志
设置方法同HTTP的设置基本一样。选择FTP站点,对其日志属性进行设置,然后修改日志的存放位置。
4.5网页和下载的安全策略
因为Web服务器上的网页,需要频繁进行修改。因此,要制定完善的维护策略,才能保证Web服务器的安全。有些管理员为方便起见,采用共享目录的方法进行网页的下载和,但共享目录方法很不安全。因此,在Web服务器上要取消所有的共享目录。网页的更新采用FTP方法进行,选择对该FTP站点的访问权限有“读取、写入”权限。对FTP站点属性的“目录安全性”在“拒绝访问”对话框中输入管理维护工作站的IP地址,限定只有指定的计算机可以访问该FTP站点,并只能对站点目录进行读写操作。
5结束语
通过对Web安全威胁的讨论及具体Web安全的防护,本文希望为用户在安全上网或配置Web服务器安全过程中起到借鉴作用。
【参考文献】
