淺談網絡安全之防護

王　悅

[摘要]以Internet為代表的全球性信息化趨勢日益明顯,信息網絡技術的應用正逐漸地在銀行、證券等金融行業得到普及和廣泛。但隨著應用的不斷深入,網絡安全風險不斷暴露出來,愈演愈烈的黑客攻擊事件以及非法信息的不斷蔓延、網絡病毒的爆發、郵件蠕蟲的擴散,也給網絡蒙上陰影。目前在高速發展的企業網及網絡系統中也同樣存在著威脅網絡安全的諸多因素,網絡安全防護不容忽視。主要從病毒入侵、網絡流量、關鍵資源等方面闡述的網絡的危害性,并從網關、網絡以及主機三個層面介紹如何加強網絡安全防護的措施。

[關鍵詞]病毒 網關 網絡監控

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0910064-01

隨著網絡的普遍應用,網絡安全問題也日益突出,其防護的重要性也越來越受到關注。安全防護也已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。

一、現階段網絡安全技術的局限性

談及網絡安全技術,就必須提到網絡安全技術的三大主流防火墻技術、入侵檢測技術以及防病毒技術。任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這“老三樣”。可以說,這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用,但是傳統的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。

首先,從用戶角度來看,雖然系統中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。 再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全并不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。

所以說,雖然“老三樣”已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網絡安全的整體技術框架來看,網絡安全技術同樣面臨著很大的問題,“老三樣”基本上還是針對數據、單個系統、軟硬件以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。

二、網絡中存在的種種隱患

一般來講,對于企業網而言,需要加強安全防范和管理的體現在三個方面:

(一)防范病毒入侵。目前,網絡中存在的病毒已經不計其數,并且日有更新。而隨著紅色代碼、Nimda、SQL Slammer等病毒的一再出現,病毒已經成為一種集成了蠕蟲、病毒和黑客工具的大威脅,同時其利用郵件這一應用最廣泛的手段,隨時準備毀壞數據、致癱網絡。

(二)監控網絡流量。Internet的開放性使得網絡信息錯綜復雜,企業員工可以輕而易舉地訪問和瀏覽各類站點,包括色情、暴力及游戲等不良站點。各種非法、有害的信息:色情的、暴力的,甚至邪教的歪理邪說等,都會通過Internet肆無忌憚地涌入,甚至可能為不法分子所利用。

(三)保護關鍵資源。企業資料、人力檔案、交易數據、財務信息等重要數據是一個企業中最寶貴的關鍵資源,也是非法入侵者的攻擊對象。特別是銀行、證券、高新技術企業等信息敏感型企事業單位,往往擁有大量的機密信息,一旦泄漏就會造成巨大的經濟損失和負面影響,甚至對國家安全和社會穩定構成威脅。因此,迫切需要加強網絡防護以確保網絡內部敏感信息的安全,又保障內部網絡的暢通,充分利用網絡的開放性和靈活性。

三、網絡安全防護措施

通過以上對網絡安全問題的分析,可見網絡中各個環節都存在著安全隱患,但要做到全面防護也是有章可循的,整體而言,應該從網關、網絡以及主機三個層面進行立體的安全防護。

(一)網關防護,御敵門外事半功倍

網關,就像是一所企業的大門,是企業網絡聯通到Internet的出入口,同時,也是大部分病毒和入侵行為的必經之地。所以把好安全第一關,可以極大地減輕企業網內部的安全防范壓力,起到事半功倍的作用。在這道至關重要的關卡上,我們應該部署防火墻以及郵件過濾網關。防火墻應采用集多種功能于一體的高性能硬件防火墻,支持NAT、透明模式等多種工作方式,并且應具有狀態檢測、用戶認證、NAT/PAT、虛擬防火墻、透明代理等功能特點,還應具有豐富的防火墻增值功能,如虛擬專用網、流量整型、防病毒、入侵檢測、DNS和DHCP服務、WEBCache服務等。

(二)網絡監控,非法訪問一目了然

對于企業網而言,了解員工在網絡中都瀏覽了哪些內容并制定針對不良信息的訪問規則是十分重要的,網絡中應部署入侵檢測系統是一款非常出色的入侵預防及網絡監控手段,它能監控網絡流量、實時檢測可疑的網絡活動和入侵攻擊,它還可同路由器、防火墻等設備實現聯動,協調各種安全保護措施,使其最大程度地發揮整體安全的作用;除此之外,入侵檢測系統能檢測網絡流量中的病毒,防止病毒在網絡上的傳播,而且還擁有防止資源濫用能力,比如動態URL限制。利用入侵檢測系統強大的網絡檢測、分析、報告和管理能力為網絡安全提供可靠保障。

(三)防止非法信息訪問

1.加強企業網絡安全管理的同時,我們應該監測企業網內所有計算機正在瀏覽的網頁:是否瀏覽不良頁面,通過察看各種違反規定的信息,可以看到瀏覽網頁的人、計算機、時間和內容,并進一步加強管理,提高員工安全意識。

2.下載眾多個網站,將與工作內容無關的網站添加到URL列表中限制訪問,并建議URL列表庫每兩天升級一次。

3.獲取不良網站信息直接添加入限制列表,限制訪問。

4.可以根據不同的用戶要求,在網絡中制定策略。根據不同的人、不同的時間、訪問的不同內容來進行管理。

(四)郵件安全防護措施

1.不要輕易打開陌生人來信中的附件,尤其是一些EXE類的可執行文件。2.對于比較熟悉的朋友發來的郵件,如果其信中帶有附件卻未在正文中說明,也不要輕易打開附件,因為它的系統也許已經染毒。3.不要盲目轉發郵件。給別人發送程序文件甚至電子賀卡時,可先在自己的電腦中試一試,確認沒有問題后再發,以免無意中成為病毒的傳播者。4.隨時注意反病毒警報,及時更新殺毒軟件的病毒代碼庫。從技術手段上,可安裝具有監測郵件系統的反病毒實時監控程序,隨時監測系統行為,如使用最新版本的殺毒實時軟件來查殺該附件中的文件。

參考文獻:

[1]陳兵,《網絡安全與電子商務》,北京大學出版社版,2002年1月,第1版.

[2]劉曉輝,《網管天下網絡安全管理實踐》,電子工業出版社,2007年3月.

[3]李濤,《網絡安全概論》,電子工業出版社,2004年11月.

[4](美)麥克盧爾(McClure,s.)、斯卡姆布智(Scambray,J.)、庫爾茨(Kurtz,g.)著,王吉軍、張玉亭、周維續譯,《黑客大曝光:網絡安全機密與解決方案(第5版)》,清華大學出版社,2006年4月19日.

[5]林山,《Windows Xp網絡安全應用實踐與精通》,清華大學,2003年.