淺談網絡攻擊與終端安全防護

閆廣華+++呂曉晨+++郝小輝+++高歌

摘 要：隨著現代企業信息化建設進度的加快，網絡信息安全問題日漸突出。文章對當前主流網絡安全防護技術進行剖析，希望可以對企業網絡安全管理人員開拓工作思路有所幫助。

關鍵詞：網絡威脅；防護；安全；反間諜

前言

現代社會，計算機和網絡的廣泛應用已經成為企業辦公條件的基本組成部分，辦公信息化程度的不斷加深，極大地提高了企業辦公效率，降低了企業經營管理成本，增強了企業市場競爭力和創造經濟效益的能力。與此同時，圍繞計算機和互聯網發生的信息安全問題逐漸引起企業管理者們的注意。通過臺式電腦、筆記本電腦、各類移動設備和服務器等網絡設備實施的信息竊取與破壞活動相較傳統方式具有更強的隱蔽性，在當今高度信息化的管理環境下更具破壞力。加強企業信息安全管理和網絡防護已經成為當代企業，特別是大型企業日常工作的重要組成。信息安全工作力度和辦公信息化程度密切相關，由于我國企業信息化時間尚短，安全防護技術和經驗都比較缺乏，從而導致網絡安全防護體系的建立還不完善，抓不到工作著力點，還存有較多的缺陷和問題，不僅難以達到預計的安全防護目的，還增加了管理成本，不利于企業的健康發展。筆者從工作實際出發，對企業網絡信息安全工作進行梳理，明確了企業網絡安全防范工作的主要內容，并提出了相應工作辦法，以其提高我國企業網絡信息安全管理水平。

1 病毒防范和反間諜措施

計算機病毒和間諜軟件是當今計算機網絡安全威脅的最主要形式。使用帶有數據庫的殺毒軟件對各類終端設備進行掃描，將采集的信息與數據庫中已知威脅特征進行對比，從而達到識別計算機病毒、蠕蟲、特洛伊木馬、間諜軟件和其它惡意軟件的目的。這是當前針對上述威脅的最主要防治手段。一旦經過掃描確認威脅，殺毒軟件會根據預設進行自動處理，一般是刪除被感染文件或對其進行隔離處理，以防治惡意軟件對系統的進一步破壞。從殺毒軟件的工作原理上我們可以看到，殺毒軟件對惡意軟件的準確辨識是殺毒軟件發揮作用的前提要件，而辨識又是以數據庫含有病毒特征段為基礎，這就要求殺毒軟件必須及時更新，才能最大程度的保障對惡意軟件的辨識與防治。殺毒軟件的工作機理決定了殺毒軟件無法做到對惡意軟件的完全防范，要實現系統的全方位防護，需要殺毒軟件與防火墻、設備控制和入侵防御等其它基本終端安全技術的高度結合與協調運作。

2 網絡威脅防護

建立在網絡終端設施之上的網絡威脅防護是系統對于來自網絡的混合型威脅的最佳防護手段，它以防火墻為主，結合了入侵防御以及先進的網絡通信控制功能等多種防護技術。當前網絡使用環境的高度復雜性，特別是移動設備的大量使用，使得網絡威脅防護的難度大大增加。由于移動設備很多時候已經脫離企業網絡安全防范系統的保護范圍，使得移動設備成為各類威脅的首選目標，遭受破壞的幾率很大。在這種情況下，破壞者往往先入侵企業安全架構意外的終端設備，比如辦公人員攜帶外出的筆記本，由于此時筆記本處于企業安全體系之外，所以入侵成功率較高，然后再利用筆記本與企業系統相連接的機會感染整個系統。網絡威脅防護的防火墻，不僅可以阻止內部網絡攻擊入侵連接到網絡的任何終端，甚至還可以阻止這些威脅離開最初感染的終端。

3 入侵防御

入侵防御是企業網絡安全防護體系的重要組成部分，主要負責防范各類利用系統漏洞的入侵行為。通過對入侵行為的一般特征的利用，能夠將利用系統漏洞的入侵行為阻止于網絡層，實現系統安全防護的目的。精確性、可維護性、可伸縮性、覆蓋性、主動性、抗圍攻性、遏制性是入侵防御的特點。傳統IPS解決方案能夠檢測到特定的利用已知漏洞入侵的攻擊行為，但對各類漏洞攻擊的變種缺乏有效的應對措施。IPS供應商根據遭受的第一次漏洞攻擊發布攻擊特征，以此作為防御漏洞攻擊的基本依據。這種防御機制使攻擊者發動攻擊的時間非常多。根據互聯網安全威脅報告，操作系統或應用程序提供商發布漏洞補丁程序的周期平均為47天。在漏洞對應的補丁發布之前利用這些漏洞進行攻擊的行為被成為零日攻擊。零日攻擊往往會給企業帶來巨大損失。而各類攻擊的變種也使得傳統的反應式防護無法發揮應有作用。這是反應式防護的工作機理造成的。除此之外，反應式防護對于尚未發現、尚未報告或未知的威脅缺乏防護能力，比如通常檢測不到以特定公司為目標的隱蔽漏洞利用攻擊。要妥善解決這個問題，就必須實施比基于漏洞的IPS反應式防護更主動的防護方法。

通過對系統漏洞的高級分析，可以實現對利用該漏洞的全部攻擊行為的檢測與防御，甚至對于隱蔽性更強的特定目標的漏洞攻擊也具有較好的檢測盒防護作用。

4 終端安全防護

與防病毒軟件和反間諜軟件不同，終端安全防護通過采取對攻擊威脅的主動式防御機制來同時保護服務器和移動設備安全。企業根據自身安全需要制定安全策略，再以此為基礎對企業網絡各終端及外來訪問配置相應級別的安全策略，從而實現對終端訪問系統的行為和訪問范圍進行規范和限制，以此達到安全防范的目的。由于這些安全策略是以企業現有網絡基礎構架基礎制定的，所以能夠和企業網絡實現無縫集成，從而提高了管理效率。

5 整體防護方法

由于來自網絡外部的惡意攻擊手段種類繁多，僅靠部署防病毒軟件和反間諜軟件等一種或少數幾種防御手段難以切實保障企業網絡安全。只有整合各種防御手段，對企業系統實行全方位防護，才能最大限度地保障企業信息安全。整體防護方法將反應性和主動性終端防護措施相結合，并通過層次化的方式，對內部網絡及終端進行分級保護，同時具有高度的互操作性、集成性以及易管理性的特點。創建、部署、管理和報告與終端防護和終端遵從相關的各類終端安全活動是整體防護方式的工作重心，通過將防病毒軟件、反間諜軟件、網絡威脅防護、主動威脅防護以及網絡訪問控制相結合，形成一套互為補充并且能夠協調合作的綜合性安全防護解決方案。通過提高反應機制的精確度來提高工作效率，實現簡化終端安全管理工作并降低運營成本是整體防護方法今后發展的主要方向。

6 簡化終端保護

由于各種網絡安全防護措施都都有著較強的針對性，為最大限度地保障網絡安全，往往需要采取多種防范措施，不僅工作量大，也使得企業日常經營管理的成本大幅增加。為解決這個問題，就必須在保障企業信息安全的基礎上對安全防范措施進行簡化。通過將多種功能整合到一個終端安全代理，可以提高操作效能。通過安全代理的全局化設置，對客戶終端的使用進行規范，可以根據客戶需要靈活調整防護機制，以達到簡化操作、降低管理成本的目的。

7 結束語

時代在發展，企業辦公的環境也在不斷變化，加強企業網絡安全管理，妥善應對網絡威脅，保護企業信息安全，是保障企業正常運行和健康發展的重要措施。隨著科學技術水平的提高，網絡設備的軟硬件性能和外部攻擊的威脅都在增強，企業信息安全管理人員要積極學習，及時掌握網絡安全防護技術的發展動態，根據自身企業的特點，設計并不斷完善企業網絡安全防范體系，為企業的正常經營運行提供牢固的信息安全保障。

參考文獻

[1]李濤.網絡安全概論[M].北京：電子工業出版社，2004：19-22.

[2]楊明福.計算機網絡[M].北京：電子工業出版社，1998：39-41.endprint