3、入侵檢測技術(shù)
入侵檢測(Intrusion Detection)是對入侵行為的發(fā)覺,是防火墻的合理補(bǔ)充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)施保護(hù)。Dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。
?
4 、風(fēng)險評估技術(shù)
風(fēng)險評估(Vulnerability Assessment)是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),運(yùn)用系統(tǒng)的方法,根據(jù)各種網(wǎng)絡(luò)安全保護(hù)措施、管理機(jī)制以及結(jié)合所產(chǎn)生的客觀效果,對網(wǎng)絡(luò)系統(tǒng)做出是否安全的結(jié)論。其原理是根據(jù)已知的安全漏洞知識庫,對目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡(luò)漏洞掃描系統(tǒng)就是這一技術(shù)的實(shí)現(xiàn),它包括了網(wǎng)絡(luò)模擬攻擊,漏洞檢測,報告服務(wù)進(jìn)程,提取對象信息,以及評測風(fēng)險,提供安全建議和改進(jìn)措施等功能,幫助用戶控制可能發(fā)生的安全事件,最大可能的消除安全隱患。
風(fēng)險評估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種,前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險漏洞,而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測其它主機(jī)的安全風(fēng)險漏洞。然而風(fēng)險評估只是一種輔助手段,真正的安全防護(hù)工作還是依靠防火墻和入侵檢測來完成。
5、虛擬局域網(wǎng)(VLAN)技術(shù)
基于ATM 和以太網(wǎng)交換技術(shù)發(fā)展起來的VLAN 技術(shù), 把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù), 從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)與網(wǎng)內(nèi)的通信, 防止了基于網(wǎng)絡(luò)的監(jiān)聽入侵。例如可以把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器等單獨(dú)劃分為一個VLAN 1, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN 2??刂芕LAN 1 和VLAN 2 間的單向信息流向: VLAN 1 可以訪問VLAN 2 相關(guān)信息;VLAN 2 不能訪問VLAN 1 的信息。這樣就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用。
6、虛擬專用網(wǎng)VPN(Virtual Private Network)技術(shù)
虛擬專用網(wǎng)絡(luò)是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡(luò)上的延伸,通過一個私用的通道來創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)絡(luò)通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司的業(yè)務(wù)合作伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。VLAN 用來在局域網(wǎng)內(nèi)實(shí)施安全防范技術(shù), 而VPN 則專用于企業(yè)內(nèi)部網(wǎng)與Internet 的安全互聯(lián)。VPN 不是一個獨(dú)立的物理網(wǎng)絡(luò), 他只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎(chǔ)上,通過Internet 在遠(yuǎn)程客戶機(jī)與企業(yè)內(nèi)網(wǎng)之間, 建立一條秘密的、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)。
除了以上介紹的幾種網(wǎng)絡(luò)安全技術(shù)之外,還有一些被廣泛應(yīng)用的安全技術(shù),如身份驗(yàn)證、存取控制、安全協(xié)議等等。網(wǎng)絡(luò)信息安全是一個系統(tǒng)的工程,它與網(wǎng)絡(luò)系統(tǒng)的復(fù)雜度、運(yùn)行的位置和層次都有很大的關(guān)系,因而一個完整的網(wǎng)絡(luò)安全體系僅靠單一的技術(shù)是難以奏效的。在實(shí)際應(yīng)用中,只有根據(jù)實(shí)際情況,綜合各種安全技術(shù)的優(yōu)點(diǎn),才能形成一個由具有分布性的多種安全技術(shù)構(gòu)成的網(wǎng)絡(luò)安全系統(tǒng)。
三、構(gòu)建電力企業(yè)網(wǎng)絡(luò)安全防范的制度空間
做好網(wǎng)絡(luò)信息安全工作,除了采用上述的技術(shù)手段外,還必須建立安全管理機(jī)制。因?yàn)橹T多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強(qiáng)網(wǎng)絡(luò)信息的安全性。只有切實(shí)提高網(wǎng)絡(luò)意識,建立完善的管理制度,才能保證網(wǎng)絡(luò)信息的整體安全性。
“三分技術(shù),七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言,其原意是:網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障,而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網(wǎng)絡(luò)安全中非常重要又常被忽視的一項(xiàng)內(nèi)容。需要‘管理’到位、‘技術(shù)’到位、‘觀念’到位,更需要管理、技術(shù)和觀念不斷更新,而且三者要有機(jī)地結(jié)合起來。
1、完善網(wǎng)絡(luò)信息安全的管理機(jī)制
(1)網(wǎng)絡(luò)與信息安全需要制度化、規(guī)范化。網(wǎng)絡(luò)和信息安全管理真正納入安全生產(chǎn)管理體系,并能夠得到有效運(yùn)作,就必須使這項(xiàng)工作制度化、規(guī)范化。要在電力企業(yè)網(wǎng)絡(luò)與信息安全管理工作中融入輸變電設(shè)備安全管理的思想,就像管“電網(wǎng)”一樣管理“信息網(wǎng)絡(luò)”,制定出相應(yīng)的管理制度。如建立用戶權(quán)限管理制度、口令保密制度、密碼和密鑰管理制度、網(wǎng)絡(luò)與信息安全管理制度、病毒防范制度、網(wǎng)絡(luò)設(shè)備管理流程、設(shè)備運(yùn)行規(guī)程、網(wǎng)絡(luò)安全防護(hù)策略、訪問控制、授權(quán)管理等一系列的安全管理制度和規(guī)定。管理制度具有嚴(yán)肅性、權(quán)威性、強(qiáng)制性,管理制度一旦形成,就要嚴(yán)格執(zhí)行。企業(yè)應(yīng)組織有關(guān)人員對管理制度進(jìn)行學(xué)習(xí),保證制度的落實(shí)。
(2)明確網(wǎng)絡(luò)與信息安全保證體系中的四個關(guān)鍵系統(tǒng),即安全決策指揮系統(tǒng)、安全管理技術(shù)系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓(xùn)系統(tǒng),實(shí)行企業(yè)行政正職負(fù)責(zé)制,明確主管領(lǐng)導(dǎo)職權(quán)、部門職責(zé)和用戶責(zé)任。按照統(tǒng)一領(lǐng)導(dǎo)和分級管理的原則,明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門,行使網(wǎng)絡(luò)與信息安全監(jiān)督職能以及安全監(jiān)督人員職責(zé)。
(3)應(yīng)用“統(tǒng)一的策略管理”思想實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的管理目標(biāo)。“統(tǒng)一”,就是要提高各項(xiàng)安全技術(shù)和措施的協(xié)同作戰(zhàn)能力;策略,就是為發(fā)布、管理和保護(hù)信息資源而制定的一組規(guī)程、制度和措施的綜合,企業(yè)內(nèi)所有員工都必須遵守的規(guī)則。電力企業(yè)應(yīng)從以下三個方面,規(guī)定各部門和用戶要遵守的規(guī)范及應(yīng)負(fù)的責(zé)任,使得網(wǎng)絡(luò)與信息安全管理有一套可切實(shí)執(zhí)行的依據(jù)。
A、用戶的統(tǒng)一管理:實(shí)現(xiàn)員工檔案、訪問資源的權(quán)限的統(tǒng)一管理。
?B、資源的統(tǒng)一配置管理:文件系統(tǒng)、網(wǎng)絡(luò)設(shè)備(防火墻、認(rèn)證系統(tǒng)、入侵檢測、漏洞掃描),Intranet、Internet網(wǎng)絡(luò)資源的統(tǒng)一配置管理。
C、管理策略的一致性:防火墻規(guī)則的制定、Internet訪問控制的管理,內(nèi)部信息資源的管理應(yīng)體現(xiàn)一致性。只有管理政策一致,才能避免出現(xiàn)遺漏。
2、強(qiáng)化企業(yè)內(nèi)部人員安全培訓(xùn)
?信息安全培訓(xùn)是實(shí)施信息安全的基礎(chǔ),根據(jù)中國國家信息安全測評認(rèn)證中心提供的調(diào)查結(jié)果顯示,現(xiàn)實(shí)的威脅主要為信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計(jì),70%的泄密犯罪來自于內(nèi)部;計(jì)算機(jī)應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理;58%無嚴(yán)格的管理制度。
?要實(shí)現(xiàn)“企業(yè)安全”就必須對企業(yè)內(nèi)部人員進(jìn)行安全培訓(xùn),從而強(qiáng)化從高層到基礎(chǔ)員工的安全意識,最終提升企業(yè)網(wǎng)絡(luò)信息安全的“機(jī)率”。
?安全培訓(xùn)計(jì)劃可階段性地進(jìn)行,根據(jù)企業(yè)性質(zhì)與人員的職責(zé)、業(yè)務(wù)不同,可以將安全培訓(xùn)分成三個不同的層次,即初級、中級和高級。初級培訓(xùn)的對象包括所有員工,培訓(xùn)的內(nèi)容主要角色與責(zé)任、政策與程序;旨在強(qiáng)化所有員工的安全意識與責(zé)任;第二層次為中級培訓(xùn),對象包括高層領(lǐng)導(dǎo)、(非)技術(shù)管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓(xùn)的內(nèi)容包括安全核心知識、風(fēng)險管理、資源需求與合同需求等,旨在強(qiáng)化人員的安全能力與安全意識。第三層次為高級安全培訓(xùn),對象包括信息安全人員、系統(tǒng)管理人員,內(nèi)容主要包括操作/應(yīng)用系統(tǒng)、協(xié)議、安全工具、技術(shù)控制、風(fēng)險評估、安全計(jì)劃和認(rèn)證與評估,旨在提高企業(yè)的整體安全管理。
綜合上述幾方面的論述,企業(yè)必須充分重視和了解網(wǎng)絡(luò)信息系統(tǒng)的安全威脅所在,制定保障網(wǎng)絡(luò)安全的應(yīng)對措施,落實(shí)嚴(yán)格的安全管理制度,才能使網(wǎng)絡(luò)信息得以安全運(yùn)行。由于網(wǎng)絡(luò)信息安全的多樣性和互連性,單一的信息技術(shù)往往解決不了信息安全問題,必須綜合運(yùn)用各種高科技手段和信息安全技術(shù)、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網(wǎng)絡(luò)安全,需要綜合考慮各個方面,包括系統(tǒng)自身的硬件和軟件安全,也包括完善的網(wǎng)絡(luò)管理制度以及先進(jìn)的網(wǎng)絡(luò)安全技術(shù)等。
參考文獻(xiàn)
1、孟洛明,亓峰·《現(xiàn)代網(wǎng)絡(luò)管理技術(shù)》,北京郵電大學(xué)出版社2001
2、Elizabeth D. Zwicky,Simon Cooper,D. Brent Chapman·《構(gòu)建Internet防火墻(影印版)》,清華大學(xué)出版社2003?
3、唐正軍·《入侵檢測技術(shù)導(dǎo)論》機(jī)械工業(yè)出版社2004