1 信息安全威脅
隨著Intemet的飛速發(fā)展以及我國政府信息化為代表的電子政務(wù)的蓬勃發(fā)展,網(wǎng)絡(luò)已經(jīng)得到廣泛的普及,業(yè)界電子商務(wù)的開展,海量的網(wǎng)絡(luò)信息,日趨豐富的網(wǎng)絡(luò)功能使得網(wǎng)絡(luò)走進千家萬戶。網(wǎng)絡(luò)信息帶來了生活效率質(zhì)的飛躍,但病毒和黑客等對網(wǎng)絡(luò)信息安全造成的威脅,也極大地引起人們的關(guān)注和思考。信息安全性要求和政府辦公效率問題一度使人們陷入兩難境地。企事業(yè)網(wǎng)絡(luò)應(yīng)用中最為常見的安全防護產(chǎn)品一防火墻,雖然經(jīng)過了幾代的發(fā)展,從軟件到硬件、從單核到多核,但其根本的被動防護的原理卻基本沒有改變,這也使得其面對變幻多端的威脅時,總是一籌莫展難以應(yīng)對。
2 防火墻
防火墻是一類防范措施的總稱,它使得內(nèi)部網(wǎng)絡(luò)與Intemet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪,用來保護內(nèi)部網(wǎng)絡(luò)。簡單防火墻可以只用路由器實現(xiàn),復(fù)雜的可以用主機甚至一個子網(wǎng)來實現(xiàn)。設(shè)置防火墻是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡化網(wǎng)絡(luò)的安全管理。
防火墻可以過濾掉不安全服務(wù)和非法用戶、控制對特殊站點的訪問、提供監(jiān)視Intemet安全和預(yù)警的方便端點。但是由于互連網(wǎng)的開放性,有許多防范功能的防火墻也有一些防范不到的地方,如:
1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護網(wǎng)內(nèi)部不受限制的向外撥號,一些用戶可以形成與Intemet的直接連接,從而繞過防火墻,造成一個潛在的后門攻擊渠道。
2)防火墻不能防止感染了病毒的軟件或文件的傳輸,這只能在每臺主機上裝反病毒軟件。
3)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Intemet主機上并被執(zhí)行而發(fā)起攻擊時,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。
防火墻經(jīng)歷了軟件防火墻、硬件防火墻、ASIC防火墻、UTM(統(tǒng)一威脅網(wǎng)關(guān))四個時代,雖然性能逐步加強、功能逐步完善,但是它們都是被動防御為主,在保護信息安全方面都顯不足。而云火墻采用了主動防御的思想,它是防火墻的進一步發(fā)展,它把防火墻提升到一個新的高度,給網(wǎng)絡(luò)安全帶來了新的生機。云火墻的出現(xiàn),意味著第五代防火墻的誕生。圖1所示為五代防火墻的演進圖。
圖1 防火墻的演進
3 云火墻技術(shù)
隨著Web2.0時代到來,各種網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)應(yīng)用層出不窮。攻擊者可利用的攻擊手段也更加先進。傳統(tǒng)的手動靜態(tài)的防護,已經(jīng)很難對抗大規(guī)模的網(wǎng)絡(luò)攻擊和病毒疫情。在網(wǎng)絡(luò)中,如果一個端點發(fā)生了攻擊,那么其他端點也可能有類似的問題發(fā)生。對此網(wǎng)絡(luò)應(yīng)該采用最新的安全防護模式——協(xié)同防護:一旦發(fā)現(xiàn)某處發(fā)生攻擊,立即通知其他地方統(tǒng)一阻止和部署。這就是云火墻的核心思想,將防護攻擊變成動態(tài)的、協(xié)同的、主動的。
防火墻的策略是靜態(tài)的,用戶或網(wǎng)管設(shè)定以后,不會自動更改,是完全被動地防御攻擊,不知道攻擊會出現(xiàn)在哪里,以什么形式發(fā)生。而云火墻是動態(tài)的,它會根據(jù)云的數(shù)據(jù)中心實時收集到的互聯(lián)網(wǎng)上攻擊的地址和URL來更新自己的策略表。如發(fā)現(xiàn)有很多計算機感染了,云火墻會自動和這些主機的鏈接中斷,而當感染消失后,云火墻也會動態(tài)地解除中斷。這樣,防護變成了主動,做到防患于未然。
3.1云火墻的特點
云火墻主要有以下特點:
(1)云上數(shù)據(jù)中心動態(tài)更新策略
這是云火墻最大的特點,也是它被稱為“云”的原因。云上數(shù)據(jù)中心是云火墻的核心,是在互聯(lián)網(wǎng)部署的云端數(shù)據(jù)庫。它會在全球收集各種惡意URL,各種掛馬地址,每隔一定時間就會動態(tài)更新給全球的客戶端用戶。
(2)利用IPS模塊建立信譽的關(guān)聯(lián)協(xié)作
在云火墻中,如果用戶的IP曾有過很多威脅網(wǎng)絡(luò)安全的事情,則每次行為都會被記錄到信譽分值中,隨著信譽值降低,該用戶今后再次被檢測到惡意攻擊后,就會被網(wǎng)絡(luò)自動關(guān)閉鏈接。
(3)提供虛擬云端的移動安全接入
隨著移動互聯(lián)網(wǎng)時代的到來,移動網(wǎng)絡(luò)的安全接人成為關(guān)注焦點。云計算通過SSLVPN技術(shù),實現(xiàn)了移動接入者的安全保護。SSLVPN即指采用SSL(Security Socket Layer)協(xié)議來實現(xiàn)遠程接入的一種新型的安全解決技術(shù)。
(4)支持Netflow技術(shù)對云中的流量進行監(jiān)控。對于網(wǎng)絡(luò)中異常流量的監(jiān)控一直是網(wǎng)絡(luò)安全和網(wǎng)絡(luò)防護的重要手段之一。在云火墻中,采用Netflow V9技術(shù),實現(xiàn)通過云火墻就可以檢測流量,網(wǎng)管人員通過云火墻就可以管理網(wǎng)絡(luò),實現(xiàn)了NOC(網(wǎng)絡(luò)管理平臺)和SOC(安全管理平臺)的二合一。
3.2云火墻的技術(shù)原理
云火墻最本質(zhì)的特點,就是它的動態(tài)化和智能化,而其技術(shù)實現(xiàn)的途徑,就是充分利用云進行動態(tài)實時的威脅信息集中采樣與共享,從而最終實現(xiàn)主動應(yīng)變的安全服務(wù)。目前全球最龐大的安全威脅監(jiān)測網(wǎng)絡(luò)SensorBase,就是新一代防火墻的“云端”。它可以持續(xù)收集互聯(lián)網(wǎng)上已知威脅的詳細信息,包括連續(xù)攻擊者、僵尸網(wǎng)絡(luò)收獲者、惡意爆發(fā)和黑網(wǎng)DarkNets等。通過將這些信息實時傳遞到云火墻,可以在僵尸網(wǎng)絡(luò)等惡意攻擊者有機會損害重要資產(chǎn)之前及時過濾掉這些攻擊者,也就是說,把其防火墻升級到云火墻,即可實現(xiàn)動態(tài)防范、主動安全。
云火墻的“大腦”是SensorBase,而SensorBase的前身是SenderBase。作為全球最大的郵件流量監(jiān)控網(wǎng)絡(luò),SenderBase能夠提供全球安全威脅實時視圖和電子郵件的“信用報告服務(wù)”,F(xiàn)在Sensor—Base中加入了僵尸網(wǎng)絡(luò)主控數(shù)據(jù)庫,能夠敏感監(jiān)控僵尸網(wǎng)絡(luò)的動態(tài)。同時,SensorBase還增加了動態(tài)策略,如果某個互聯(lián)網(wǎng)地址有問題就會被阻斷。SensorBase是云火墻出現(xiàn)的前提,SensorBase的信息需要及時進行更新,并同步到所有云火墻中,才能夠發(fā)揮云火墻的強大作用。各種安全信息不但可以從SensorBase傳到云火墻,還可以從云火墻傳到SensorBase,而云火墻中的IPS可以在第一時間把攻擊同步給SensorBase,SensorBase再同步給其他云火墻。
當然,云安全成功的關(guān)鍵是要有足夠多的信息收集點和計算能力,只有這樣才能更快、更新、更好地更新云火墻數(shù)據(jù)庫,提供及時的安全消息和服務(wù)。云火墻的工作原理如圖2所示。
圖2 云火墻工作原理圖
云火墻的關(guān)鍵特征是動態(tài)防范和主動安全,而SensorBase作為云火墻的“大腦”監(jiān)控著僵尸網(wǎng)絡(luò)的變化,如果再輔以能遍布全球的傳感器和眾多的安全信息提供方,就可以使云火墻能夠在最短的時間內(nèi)了解全世界網(wǎng)絡(luò)中惡意威脅的動態(tài)并提供防范措施,從而為安全防護技術(shù)帶來革命性的進展。
3.3云火墻的優(yōu)勢
云火墻最本質(zhì)的特點,就是它的動態(tài)化和智能化,而其技術(shù)實現(xiàn)的途徑,就是充分利用“云”進行動態(tài)實時的威脅信息集中采樣與共享,從而最終實現(xiàn)主動應(yīng)變的安全服務(wù)。
UTM等網(wǎng)關(guān)集成設(shè)備,都是靜態(tài)的,不斷將病毒特征更新到本地。隨著更新的特征越來越多,同時打開這么多的特征,對本地的設(shè)備壓力會很大。而在云火墻,只有在有攻擊的時候,才自動將策略更新給設(shè)備,沒有攻擊的時候,取消策略。作為設(shè)備端,只需要開通缺省配置就可以了。這也正是云火墻動態(tài)更新的好處。而且,云火墻每隔一定時間向客戶端更新的不是病毒特征,而是防護策略。
當前網(wǎng)絡(luò)中,零日攻擊的溢出會出現(xiàn)在哪里并不清楚,所以很難防范。一旦零日攻擊發(fā)生后,會產(chǎn)生很大效果,例如蠕蟲泛濫等。但是云火墻一旦發(fā)現(xiàn)這種異常情況后,會將疫情報告給云數(shù)據(jù)中心,然后轉(zhuǎn)發(fā)給整個網(wǎng)絡(luò),來協(xié)同防范。
4 信息安全措施
信息就是從一個主機或客戶端(端點)傳遞到路由器、交換機、防火墻等網(wǎng)絡(luò)連接設(shè)備(網(wǎng)絡(luò))。而在信息傳遞過程中,通常需要滿足三個要素的要求,也就是我們常說的信息安全三要素:保密性、完整性、可用性。首先,要保證信息的完整,不能在傳遞中丟失,其次,要保證信息除了既定接收者之外,不被其他人獲取和破譯,最后,要保證傳遞的信息是可用的、有價值的。滿足了這三個要求,也就保證了信息的安全。
信息在網(wǎng)絡(luò)中傳輸有兩個邏輯單元在保證信息的傳遞,一個是端點,一個是網(wǎng)絡(luò)。針對這個特點,既可以在端點實施信息安全保護,也可以在網(wǎng)絡(luò)實施。在端點實施,可以將攻擊控制在源頭,例如一些針對系統(tǒng)的應(yīng)用比較適合在斷點做防護,而如果在網(wǎng)絡(luò)實施防護,會耗費大量的資源;在網(wǎng)絡(luò)實施防護,可以做到風險的集中可控,比如發(fā)現(xiàn)一些服務(wù)器的漏洞,但是終端的應(yīng)用需求使得不能輕易通過升級終端程序來解決,這時就需要在網(wǎng)絡(luò)側(cè)部署一些防攻擊的手段,將攻擊控制在遠端。不過在端點做防護,首先要保證端點本身不是攻擊者,否則端點的防護就不能實現(xiàn),此時需要網(wǎng)絡(luò)的協(xié)助建立一個嚴格的準入控制,來判斷端點的性質(zhì)。最好的策略是兩者協(xié)同工作,通過合理和協(xié)同部署,實現(xiàn)網(wǎng)絡(luò)對端點的識別和判斷,并賦予相應(yīng)的權(quán)限。
如若保證網(wǎng)絡(luò)安全,搭建一個可信的網(wǎng)絡(luò)安全架構(gòu)具有非常重要的作用。從端點和網(wǎng)絡(luò)二者的關(guān)系考慮,網(wǎng)絡(luò)安全架構(gòu)可以由三部分組成:可信層、安全層、服務(wù)層。如圖3所示。
圖3 可信網(wǎng)絡(luò)的三層架構(gòu)框架圖
(1)可信層:該層是本架構(gòu)的基礎(chǔ)層。在本層中,提供三種可信服務(wù)。首先保證網(wǎng)絡(luò)是可信的,各終端接入的是可信的網(wǎng)絡(luò),網(wǎng)絡(luò)也能識別終端是否可以信任。然后提供鏈路層的加密服務(wù),使得數(shù)據(jù)在交換機問傳輸時,可以選擇是否采用加密進行保護。最后通過各種組策略,對角色進行權(quán)限的控制和管理。
(2)安全層:在本層中通過防火墻入侵檢測,VPN安全網(wǎng)關(guān)等技術(shù),來構(gòu)建安全層的防護。利用防火墻、Email過濾、安全控制、3A認證、VPN等技術(shù)進行隔離、識別和管理,使網(wǎng)絡(luò)里流轉(zhuǎn)的數(shù)據(jù)能夠被監(jiān)控、識別、關(guān)聯(lián)和控制管理。
(3)服務(wù)層:服務(wù)層主要由三個功能部分組成:云火墻,實現(xiàn)防止木馬;IPS(入侵防御系統(tǒng))聯(lián)防,根據(jù)IP地址進行協(xié)防和聯(lián)防,發(fā)現(xiàn)攻擊可以通知其他IP;Email和Web安全保障,利用云數(shù)據(jù)中心統(tǒng)一的數(shù)據(jù)庫,即時收集和更新各地的攻擊信息,做出防護。
5 結(jié)束語
互聯(lián)網(wǎng)時代,信息呈爆炸趨勢,每天新出現(xiàn)的數(shù)據(jù)以TB計算,以云計算為代表的現(xiàn)代信息體系也正變得日益龐大和復(fù)雜,這也急需云安全時代的出現(xiàn)。不過,盡管云火墻相對傳統(tǒng)的防火墻技術(shù)有了很大的提升,但是距離建立起一套真正的現(xiàn)代信息安全防護體系還有著相當?shù)木嚯x。但是很重要的是,我們可以從中看到邁向未來安全的關(guān)鍵路標,而這也正是云安全的本質(zhì)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:淺析基于云火墻的網(wǎng)絡(luò)安全與信息安全措施
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953667.html