前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全终端管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,VPN连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DMZ区域。DMZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DMZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(IE)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
关键词:校园 无线 网络安全 对策措施
中图分类号:TN925 文献标识码:A 文章编号:1672-3791(2014)05(a)-0029-01
近年来,随着无线通信技术的飞速发展,以及各种智能终端、笔记本电脑的普及,无线网络已经成为人们学习、工作的主要工具。高校校园网建设也从校园有线网络逐步发展成为校园无线网络。校园无线网络成为高校信息化的重要基础,广大校园师生可以在校园内任意地点通过无线接入校园网络,共享数字化校园资源。高校无线网络提高了管理效率,丰富了教学手段,在高校管理、教学和科研等方面发挥了重要的作用。
然而,在享受高校无线网络给高校带来的种种便利的同时,无线网络的安全问题也随之而来。一旦校园无线网络由于安全问题导致中断服务,将会给学校管理带来重大的损失。因此,必须重视校园无线网络安全问题,提出相关对策,确保校园无线网络稳定运行。
1 高校无线网路安全问题
1.1 手机病毒的攻击
计算机病毒的攻击是影响高校无线网络安全的重大因素之一。目前,接入高校无线网络的终端包括学生、教职工等个人电脑、智能手机以及各种移动终端。移动存储设备,如U盘、移动硬盘、数据卡在上述终端广泛使用,增加了病毒传播的途径和病毒感染的概率。一旦高校无线网络遭到病毒的入侵,轻则文件损坏、数据丢失,重则网络运行瘫痪,严重干扰高校教学、管理和科研的正常进行。
1.2 黑客恶意攻击
由于校园无线网络允许任何人、任何设备的接入,这种接入方式增加了被黑客恶意攻击的可能。黑客可以通过无线接入网络,攻击校园网络服务器。或者通过木马等恶意软件,在校园网络内部盗取个人帐号、密码等信息。特别是目前在线支付的广泛流行,一旦被盗取关键信息,会为广大校园师生带来重大的经济损失。
1.3 用户安全意识淡薄
校园无线网络的使用者主要以学生和教师为主。大多数教师对计算机、手机系统并不精通,安全意识淡薄,个人终端没有设置登录密码或设置的过于简单。这样的终端容易被入侵,严重时会形成数据丢失,进而威胁整个校园无线网的安全。
高校学生不仅具备较强的好奇心,而且他们还有比较专业的知识。他们有时会对校园无线网络造成有意无意的攻击。部分学生访问非法网站、下载视频文件,不仅容易遭到木马病毒的攻击,而且会造成网络带宽被大量占据,运行速度缓慢,影响高校管理、教学的正常进行。
2 高校无线网络安全对策
针对上述提出的高校无线网络存在的安全问题,我们应当一方面采用先进的管理技术,不断提高网络管理水平和技术水平来解决、避免安全问题的发生;另一方面,要加大无线网络安全宣传力度,提高广大师生无线网络安全意识,从而提高无线网络的安全性。具体提出几点策略:
2.1 安装杀毒软件
防止病毒攻击的最好办法就是安装杀毒软件。目前流行的杀毒软件不仅可以查杀计算机病毒,而且可以有效的阻止外部病毒的攻击。高校无线网络可以在网络中心配置一个专用的杀毒软件服务器,该服务器定期、自动的下载最新病毒库进行杀毒软件升级。该杀毒软件服务器向所有接入网络的终端提供杀毒软件的客户端,用于病毒查杀,最大限度的杜绝病毒对无线网络的攻击。
2.2 安装防火墙
校园无线网络应充分利用防火墙技术,将无线网络核心服务器和资源纳入防火墙防护的范围内,有效的隔离来自网络内部和外部的病毒、不良信息等。房后墙可以有效防止无线网络中的恶意攻击,还可以自行关闭一些非法端口,对不良信息进行预防。
2.3 增强广大师生网络安全意识
高校应该加强广大师生的校园网络安全意识,开展相关方面的学习和讲座,请专业认识介绍无线网络安全新技术以及个人防护措施,使大家都认识到网络安全问题的重要性,提高每一个使用网络人员的安全意识。用户要合理配置接入终端、不随意登录不安全的网站、设置并保存好个人账号密码,定期更新等,不让威胁无线网络安全的因素有机可乘。
2.4 加大资金、人员投入力度,创建信息安全机制
高校应该有计划、有步骤的投入资金,建设高校无线网络安全机制。由专人负责维护和管理高校无线网络,将高校网络信息安全教育纳入到日常教学当中。同时,对于关键信息和数据,应该进行及时的备份和加密,从而防止网络攻击造成数据丢失,造成不必要的损失和风险。
3 结论
高校无线网络安全的防范是一项系统且复杂的工作。因为,高校网络安全是整体的、动态的,因此为了进一步保障高校无线网络的安全,不仅要制定有效的策略,还需要建立完善的网络安全管理制度,培养专门的网络安全管理人才。当然还需要广大师生的全力配合,才能实现高校网络能够平稳、安全、可靠地运行。
参考文献
[1] 高永强,郭世泽,等.网络安全技术与应用大典[M].人民邮电出版社,2003.
[2] 宋佳丽,马少华.校园网络安全评估主要技术问题[M].网络安全技术与应用,2008,10.
[3] 杨国富.网络设备安全与防火墙[M].北京:清华大学出版社,2005.
关键词:气象信息网络;安全;病毒
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 06-0101-01
一、引言
气象信息网络已经成为气象业务正常运行的重要组成部分,它是相关人员了解气象政务和天气预报等信息的重要媒体。通过这一媒介,预报人员可通过气象信息网络传输的模式数据等,做出准确的天气预报和气候预测。决策服务人员可根据实际天气情况,气象灾害预警和气候预测等信息。公众气象信息网络的这些信息来安排自己的工作、学习和生活。但随着网络病毒、计算机黑客的不断入侵,互联网的安全性越来越低,我们的气象信息网络正面临日益严重的安全威胁。气象信息网络随时都有可能遭到有意或无意的黑客攻击或者病毒传播。人们是如此地依赖气象信息网络,以至于任何因素网络安全事故都可能造成无法估量的损失和社会影响。维护气象信息网络安全性已经刻不容缓。由于气象网络系统在管理和制度上普遍存在缺陷,一些条件较差的基层台站甚至没有专职计算机网络管理人员。还有一些再基层气象职工计算机水平较低,机房设备较差,这对气象网络的安全极为不利。
二、提高气象信息网络安全的几个途径
(一)加强路由器控制,防止IP地址非法探测
加强路由器控制,防止IP地址非法探测时提高气象信息网络安全的重要步骤之一。有时候非法黑客会采用“IP地址欺骗”的方法来进行网络攻击前的准备。其具体做法是:先假扮成气象信息网络内部的一个IP地址,通过Ping、traeeroute或其他命令探测网络命令来探测网络。一旦发现漏洞,黑客会利用这些漏洞对气象信息网络进行攻击。针这类安全隐患,网络管理人员应该在路由器上建立安全访问控制列表,以防止IP地址非法探测。当建立安全访问控制列表后,可将其放到路由器连接外网接口入口,形成一道控制墙,假如非法访问者频繁地利用Ping、traeeroute或其他网络探测命令攻击主机,可对其进行隔断或阻断处理。
(二)进行端口管理,阻止病毒传播
很多网络病毒利用固定的端口进行黑客攻击和病毒传播。例如,臭名昭著的Blaster蠕虫病毒往往利用TCP 4444端口和UDP 69端口向网络内部的正常主机传播病毒。在气象信息网络安全管理时,加强计算机端口管理可在一定程度上阻碍病毒的传播范围。例如,网络安全管理人员可在路由器的内、外网结构设置ACL,这样当到达路由器时,病毒数据会被路由器的ACL设置过滤。因此,进行端口管理是一种“防患于未然”的安全策略。当发生端口攻击等计算机信息系统安全事故和计算机违法犯罪案件时,网络管理人员应该立即向单位信息安全责任人报告,并采取必要的措施,避免危害扩大,并编写违章报告、运行日志和其他与计算机网络端口攻击有关的安全材料。
(三)提高内网安全级别,实行分级权限制度
气象部门为维护常规气象业务的正常运行,必须实行网络安全级别的安全管理。一般来说,可将气象部门的内部网络按照安全级别分为三个级别:即业务子网级别、办公子网级别和服务器级别,并实行分级权限制度。通过利用三层交换机策略对子网间的相互访问进行权限控制安全级别高的子网可以访问安全级别低的子网,同时禁止低级别的子网访问高级别的子网。当低级别的子网网络感染病毒后,不至于传染至高级别子网,这样可在很大程度上防止和阻断网络间病毒的传播。网络管理人员要执行气象信息网络安全的分级保护技术措施,对计算机信息系统安全运行情况进行检查,及时查处不安全因素,排除安全隐患。
(四)实行网络流量控制,确保业务数据正常通行
通常在气象信息网络没有感染病毒时网络带宽应该能够满足业务数据的正常传输。假如网络中的终端计算机感染了“蠕虫”病毒或一些木马程序后,网络流量会出现异动。有时,网络中会产生海量的数据流量,严重的甚至会将气象信息网络的带宽完全耗尽,并导致业务网络的阻塞或完全瘫痪。由于天气预报、气候预测等正常的气象业务运行需要气象数据及时准确的传输和传达,网络流量耗尽或阻塞将给气象业务的正常运行带来巨大的隐患。因此,为确保常规气象业务数据的准确、及时传输,必须要对一些非业务的数据流量加强管理和限制,防止因为少量终端计算机的不正常而殃及整个网络。气象信息安全的相关人员应根据国家法律法规和有关政策要求,遵循国家“积极防御、综合防范”的方针,确定气象信息安全工作的策略、重点、制度和措施顺利事实。
(五)终端计算机的网络安全管理
计算机终端的安全是是气象信息网络安全的重要组成部分。病毒、恶意软件、木马等电脑病毒以及终端本身的软硬件故障,常常给整个网络带来安全隐患,严重的甚至能导致系统崩溃。因此,对于终端计算机一定要加强网络安全管理。因此要定期或不定期组织终端计算机系统的安全风险评估,检查安全运行情况,并根据评估报告对系统安全措施进行完善与升级,及时排除安全隐患。具体的办法和措施有:进入安全模式,使用杀毒软件、360安全卫士、金山清理专家进行杀毒或者重装系统等。
三、结语
总之,气象信息网络的安全保障工作是一项关系气象业务健康稳定发展的长期任务,要充分认识加强信息安全保障工作的重要性和紧迫性,把信息安全工作列入重要议事日程,明确任务,落实责任,建立并认真落实信息安全责任制。在管理制度方面,要建立健全气象信息安全组织机构、建立健全气象信息网络安全责任体系、建立一整套气象信息网络安全管理和信息安全应急处置等制度,最后,相关部门要宣传贯彻国家信息安全相关法律、法规、规章和有关政策,并组织对气象信息网络管理人员进行信息安全教育建设并完善信息安全保障体系,推动信息安全工作的发展。信息网络安全责任人要正确处理好安全与发展的关系,建立信息安全长效机制,落实信息安全措施,切实履行好信息安全保障责任。
参考文献:
[1]陈晓字,王晓明,孙鹏.浅谈广东省气象局网络安全防护体系的部署[J].广东气象,2004,26(3):41-43
【关键词】 供电 网络终端 计算机 信息安全
1 信息网络安全面临形势
所谓信息安全是一个广泛而抽象的概念,建立在网络基础之上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件、软件及相关数据,使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行。
在电力企业,信息安全主要强调的是消减并控制风险,保持电力生产经营业务操作的连续性,并将风险造成的损失和影响降低到最低程度。
供电企业信息化的快速发展特别SG-ERP系统的实施,为工作带来便利的同时也带来了极大的安全风险,统一坚强智能电网的建设和“三集五大”体系的建设对信息安全提出了更高的要求。
2 信息网络桌面终端存在的安全隐患和风险分析
供电企业经过多年的信息安全建设,已建成了“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体架构,网络隔离及网络横纵向边界的信息安全防护措施已日趋完善。由于网络用户人员数量庞大、情况复杂、分布广泛等问题的存在,信息安全的防护重点逐渐从网络层面向终端用户计算机层面转移。
涉及信息网络终端计算机的常见威胁、隐患和风险主要包括:恶意访问、信息泄露、破坏信息的完整性、非法使用、窃听、业务流分析、内部攻击、特洛伊木马、陷阱门、抵赖、电脑病毒、业务欺骗等。
上述风险对于供电企业信息安全产生巨大威胁,任何一台网络终端计算机出现信息风险漏洞,将直接波及到整个网络的信息安全,已经采取的网络边界、数据审计等防护措施将形同虚设,黑客或恶意破坏者就能轻而易举绕过所有安全防护、长驱直入、大肆破坏,对供电企业内部应用系统安全、网络安全、数据安全和生产经营业务造成不可估量的损失。
3 网络桌面终端信息安全防范措施
3.1 信息安全防范重在管理
由于网络终端计算机分布的复杂性可知,在当前的新形势下,信息安全并不仅仅是信息专业管理部门和运行维护单位要面对的问题,因此,全面加强信息安全管理是确保信息安全的首要解决措施。
(1)建章立制,规范信息安全全过程管理。针对信息网络和终端安全风险,针对性地制定《信息安全管理规定》等规章制度,固化信息安全管理工作流程,建立网络终端接入-调整-拆除-报废的全过程控制体系,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,将信息安全责任和压力层层下放,可以有效促进信息安全标准要求的贯彻落实。
(2)强化信息网络运行维护。采取对信息内外网终端计算机的人工抽检和技术巡检方式,定期开展对网络的全面核查,以及时发现安全隐患。高密度检查路由器、交换机等信息网络设备和防火墙、IPS等安全设备的策略配置,确保与业务需求相匹配。
(3)开展信息安全风险评估。作为信息安全保障基础性工作,针对信息系统的潜在威胁、薄弱环节、等级化防护措施、信息内外网隔离措施等进行综合评估分析,有效指导各单位系统地开展信息安全防护体系建设和安全整改加固工作。
(4)严防网络终端计算机违规外联。违规外联是指信息网络及终端计算机设备违反相关规定连接了包括互联网在内的其他网络。具体措施包括:计算机不得使用双网卡、严禁“一机双网”、内网计算机严禁外借、内部计算机统一外修出口、内部网络严禁私设路由器、严禁使用无线上网卡、手机、无线路由器等方式私自接入互联网、严禁任何单位和个人私设任何形式的互联网出口、严禁外来人员使用内部计算机等。
(5)加强宣传培训,将信息安全要求传达到每位终端用户。信息安全并不仅是信息专业部门要面对的问题,如果大家不严格遵守相关的信息安全要求,信息安全事件就可能发生在每个人身上。考虑到网络用户的参培时间不可控的因素,可以采取分层级、多批次培训的方式,将信息安全知识和相关要求层层传达到每位用户。
3.2 充分利用信息安全技术手段
(1)部署桌面终端安全管理软件。桌面终端管理系统是确保桌面终端计算机安全的最有效的技术手段之一,基本功能应包括:内网计算机资产管理、运维管理、非法外联监控、注册基本管理、安全管理、安全监控强审计、网络接入控制、补丁管理、文件分发管理等。通过桌面终端管理系统的部署,可以全面掌控网络终端计算机的安全运行状况,有效提升信息安全管理效率。
(2)实行网络安全准入。综合采用设备监控、隔离检查、网络协议检测等多种技术,通过入网安全审核、账号弱口令检测、桌面管理系统客户端和防病毒软件安装更新检查等,及时保证终端达到安全入网要求。
(3)架设网络版杀毒软件和补丁更新。为了确保杀毒软件安装率100%,确保病毒库和操作系统补丁随时更新,在网络内部架设网络版杀毒软件和补丁更新服务器,以服务器-客户端的方式主动推送病毒库和操作系统、应用系统补丁,及时封堵终端计算机安全漏洞。
(4)利用安全移动存储介质交换数据。应用实施范围界定为接入信息网络的所有计算机设备,在终端计算机上安装安全移动介质系统客户端,通过服务器端平台进行安全策略配置,使终端计算机上的移动介质使用符合相关安全要求,最大程度地封堵通过移动介质非法外传或导入信息的漏洞。
(5)加强网络边界处防火墙、IPS、上网行为审计等系统防护。一方面防范外部网络对于信息内网的安全攻击和恶意入侵,另一方面可以全面核查内网计算机的上网行为,对于敏感信息、发送敏感邮件等违规行为予以自动阻断。
4 结语
随着信息技术的飞速发展,影响网络安全的各种因素也会不断变化,网络安全不仅仅是技术问题,同时也是一个安全管理问题,是一个动态发展变化的过程,不是一劳永逸的,也不可能一蹴而就,这就要求每位终端计算机设备使用人员要在日常工作中时刻牢记信息安全,杜绝安全隐患,严格遵守信息安全规定,共同维护信息网络和终端计算机的安全稳定运行。
参考文献:
[1]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005.
随着信息化建设的推进,目前整个IT系统的建设已经具备了相当的规模,网络、服务器、终端机和运行在上面的应用系统形成了整个业务运行的基础支撑环境,业务系统越来越依赖于IT系统,而作为整个IT基础设施中数量最多的终端机,是IT管理部门最为头疼的问题。一方面,由于计算机设备的更新和变化,对计算机设备的管理经常处于一种无序及手工统计的状态;另一方面,安全漏洞与日俱增,新的病毒充斥网络,原有的手工安装和分发升级文件包及补丁不仅需要更多的人力资源,还会造成时间的迟滞,影响运行效率,给单位带来损失;再者,非法办公软件及其他软件的使用,不但造成了生产效率的低下,也给单位的形象造成了很坏的影响。
终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。
内部网络面临安全问题
现代网络安全管理体系的日臻完善,使得对网络终端桌面安全管理的需求强烈凸现出来。正确、全面地认识终端桌面管理产品的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的问题。
近两年的安全防御调查也表明,政府、企业及金融证券等单位中超过80%的管理和安全问题来自终端,计算机终端广泛涉及每个用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,网络安全呈现出了新的发展趋势,对于各政府企业网络来说,安全战场已经逐步由核心与主干的防护,转向网络边缘的每一个终端。
提起网络安全,人们自然就会想到病毒破坏和黑客攻击,其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机终端的安全威胁却是众多安全管理人员普遍反映的问题。
自2003年来,以SQL蠕虫、“冲击波”、“震荡波”等病毒的连续性爆发以及多种木马程序的蔓延为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多终端安全事件在各地网络频繁发生,增加了网络管理人员的工作量。一些常见的终端安全威胁随时随地都可能影响着用户网络的正常运行,这也显现出终端管理的缺乏。
对症下药主动防御
解决以上这些问题的有效方法是建立终端安全管理体系。
操作系统存在自身的弱点就是在应用中不断出现漏洞,这将形成一个变化中的安全风险,让攻击者有威胁计算机安全的可乘之机。一些蠕虫会发现并利用漏洞进入计算机操作系统。过去,我们被迫要等到爆发之后再写一个特征码来防护操作系统;现在,我们要采用混合型威胁防护,即主动式防护来保护我们的计算机安全性。
病毒、蠕虫破坏一类的网络安全事件在网络安全领域一直没有一个根本的解决办法,其中的原因是多方面的:有人为的原因,如不安装防杀病毒软件、病毒库未及时升级等等;也有技术上的原因,如杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。通过终端安全管理系统,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对网络的危害降低到最低限度。
仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,必须采用多层次的安全防护策略,归结起来是:事前预防、事中隔离、事后修复和杀毒联动。
新型的网络准入控制技术(Network Access Control, NAC )是在端点连接到网络之前对它们的安全状态进行审计,并在连接到标准企业网络之前进行适当地更新,从而将蠕虫和病毒屏蔽在网络之外,也能强制执行应用级的安全策略。网络准入控制是一个过程,它通过强制执行作为网络访问前提条件的IT安全策略,来减少网络安全事件,增强对安全制度的遵从。网络准入系统通过保证每个端点在安全上不做任何妥协,阻止不安全和未授权的行为,在网络中排除未授权的设备,从而保护网络的安全性和完整性。网络准入系统通过确认设备的安全策略,创建加密的虚拟桌面环境,在会话结束后清除所有传输过去的数据,将对机密数据的保护延展到非企业所属的设备之上。
网络准入系统基于一个全新系统架构,它将整个内网安全防护策略划分为逻辑上的三个组成部分:
1. 内网边界安全防护:此部分架构实现对来自网络外部的安全威胁进行安全防护。
2. 内网安全威胁防护:此部分架构实现对来自网络内部的安全威胁进行防护。
3. 外网移动用户安全接入防护:此部分架构用于保证内部移动用户所处网络环境的变换,以及当移动用户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。
由此可见,只有建立完整的终端安全管理体系才能有效保护我们的内部网络安全。终端安全管理体系是能够提供端点的全程、纵深端点安全保障体系(如图1所示)。
利用全新系统架构,我们建立的终端安全管理系统是一个主动的安全防御体系,与传统的解决方案有所不同(如图2 所示)。打个比方:子弹射出之后,如何阻截飞速前进的子弹,以了解我们是否有比利用磁铁来追赶子弹更好的解决方案。例如,我们可以适当采取主动的预防措施(比如防弹背心),以便在子弹导致破坏之前阻截子弹;或者为枪装一把锁,以防止子弹射出枪膛;或者我们可以使攻击者不知道向哪里发射子弹,就像在布满镜子的大厅中一样。在计算机世界,我们可能正在对付数以百万的“子弹” ―― 互联网上每时每刻存在着数百万蠕虫和混合型威胁。要阻截这数百万的“子弹”,我们必须在主机、服务器和整个网络结构中部署功能相似的各种技术,积极阻截这些威胁。