3、入侵檢測技術
入侵檢測(Intrusion Detection)是對入侵行為的發(fā)覺�����,是防火墻的合理補充���,幫助系統(tǒng)對付網(wǎng)絡攻擊��,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計�����、監(jiān)視�、進攻識別和響應)�,提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息����,并分析這些信息,看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象���。入侵檢測被認為是防火墻之后的第二道安全閘門����,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測�����,從而提供對內(nèi)部攻擊�����、外部攻擊和誤操作的實施保護����。Dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。
?
4 �、風險評估技術
風險評估(Vulnerability Assessment)是網(wǎng)絡安全防御中的一項重要技術,運用系統(tǒng)的方法�,根據(jù)各種網(wǎng)絡安全保護措施、管理機制以及結合所產(chǎn)生的客觀效果��,對網(wǎng)絡系統(tǒng)做出是否安全的結論�����。其原理是根據(jù)已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查���。目標可以是工作站���、服務器、交換機���、數(shù)據(jù)庫應用等各種對象��。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告����,為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)����。網(wǎng)絡漏洞掃描系統(tǒng)就是這一技術的實現(xiàn),它包括了網(wǎng)絡模擬攻擊����,漏洞檢測,報告服務進程����,提取對象信息�,以及評測風險�����,提供安全建議和改進措施等功能�����,幫助用戶控制可能發(fā)生的安全事件��,最大可能的消除安全隱患�����。
風險評估技術基本上也可分為基于主機的和基于網(wǎng)絡的兩種����,前者主要關注軟件所在主機上面的風險漏洞����,而后者則是通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。然而風險評估只是一種輔助手段���,真正的安全防護工作還是依靠防火墻和入侵檢測來完成���。
5�����、虛擬局域網(wǎng)(VLAN)技術
基于ATM 和以太網(wǎng)交換技術發(fā)展起來的VLAN 技術, 把傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術, 從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡節(jié)點與網(wǎng)內(nèi)的通信, 防止了基于網(wǎng)絡的監(jiān)聽入侵���。例如可以把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務器、電子郵件服務器等單獨劃分為一個VLAN 1, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN 2���?����?刂芕LAN 1 和VLAN 2 間的單向信息流向: VLAN 1 可以訪問VLAN 2 相關信息;VLAN 2 不能訪問VLAN 1 的信息����。這樣就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用�����。
6�����、虛擬專用網(wǎng)VPN(Virtual Private Network)技術
虛擬專用網(wǎng)絡是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡上的延伸,通過一個私用的通道來創(chuàng)建一個安全的私有連接��。虛擬專用網(wǎng)絡通過安全的數(shù)據(jù)通道將遠程用戶���、公司分支機構�����、公司的業(yè)務合作伙伴等與公司的企業(yè)網(wǎng)連接起來����,構成一個擴展的公司企業(yè)網(wǎng)���。VLAN 用來在局域網(wǎng)內(nèi)實施安全防范技術, 而VPN 則專用于企業(yè)內(nèi)部網(wǎng)與Internet 的安全互聯(lián)。VPN 不是一個獨立的物理網(wǎng)絡, 他只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎上,通過Internet 在遠程客戶機與企業(yè)內(nèi)網(wǎng)之間, 建立一條秘密的��、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)���。
除了以上介紹的幾種網(wǎng)絡安全技術之外���,還有一些被廣泛應用的安全技術,如身份驗證����、存取控制��、安全協(xié)議等等��。網(wǎng)絡信息安全是一個系統(tǒng)的工程����,它與網(wǎng)絡系統(tǒng)的復雜度����、運行的位置和層次都有很大的關系,因而一個完整的網(wǎng)絡安全體系僅靠單一的技術是難以奏效的���。在實際應用中�����,只有根據(jù)實際情況�,綜合各種安全技術的優(yōu)點�,才能形成一個由具有分布性的多種安全技術構成的網(wǎng)絡安全系統(tǒng)。
三����、構建電力企業(yè)網(wǎng)絡安全防范的制度空間
做好網(wǎng)絡信息安全工作����,除了采用上述的技術手段外��,還必須建立安全管理機制�����。因為諸多不安全因素恰恰反映在組織管理等方面�����。良好的管理有助于增強網(wǎng)絡信息的安全性�����。只有切實提高網(wǎng)絡意識����,建立完善的管理制度�����,才能保證網(wǎng)絡信息的整體安全性����。
“三分技術,七分管理”是網(wǎng)絡安全領域的一句至理名言�����,其原意是:網(wǎng)絡安全中的30%依靠計算機系統(tǒng)信息安全設備和技術保障��,而70%則依靠用戶安全管理意識的提高以及管理模式的更新�����。安全管理是網(wǎng)絡安全中非常重要又常被忽視的一項內(nèi)容�。需要‘管理’到位����、‘技術’到位、‘觀念’到位�,更需要管理、技術和觀念不斷更新�,而且三者要有機地結合起來。
1�����、完善網(wǎng)絡信息安全的管理機制
(1)網(wǎng)絡與信息安全需要制度化、規(guī)范化���。網(wǎng)絡和信息安全管理真正納入安全生產(chǎn)管理體系�����,并能夠得到有效運作���,就必須使這項工作制度化、規(guī)范化����。要在電力企業(yè)網(wǎng)絡與信息安全管理工作中融入輸變電設備安全管理的思想,就像管“電網(wǎng)”一樣管理“信息網(wǎng)絡”����,制定出相應的管理制度。如建立用戶權限管理制度��、口令保密制度���、密碼和密鑰管理制度、網(wǎng)絡與信息安全管理制度����、病毒防范制度��、網(wǎng)絡設備管理流程���、設備運行規(guī)程、網(wǎng)絡安全防護策略����、訪問控制、授權管理等一系列的安全管理制度和規(guī)定�。管理制度具有嚴肅性、權威性�、強制性,管理制度一旦形成���,就要嚴格執(zhí)行��。企業(yè)應組織有關人員對管理制度進行學習����,保證制度的落實���。
(2)明確網(wǎng)絡與信息安全保證體系中的四個關鍵系統(tǒng)�����,即安全決策指揮系統(tǒng)����、安全管理技術系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓系統(tǒng)���,實行企業(yè)行政正職負責制���,明確主管領導職權、部門職責和用戶責任���。按照統(tǒng)一領導和分級管理的原則�,明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門����,行使網(wǎng)絡與信息安全監(jiān)督職能以及安全監(jiān)督人員職責。
(3)應用“統(tǒng)一的策略管理”思想實現(xiàn)網(wǎng)絡信息安全的管理目標����。“統(tǒng)一”��,就是要提高各項安全技術和措施的協(xié)同作戰(zhàn)能力�����;策略��,就是為發(fā)布���、管理和保護信息資源而制定的一組規(guī)程����、制度和措施的綜合��,企業(yè)內(nèi)所有員工都必須遵守的規(guī)則�。電力企業(yè)應從以下三個方面,規(guī)定各部門和用戶要遵守的規(guī)范及應負的責任�����,使得網(wǎng)絡與信息安全管理有一套可切實執(zhí)行的依據(jù)��。
A�、用戶的統(tǒng)一管理:實現(xiàn)員工檔案、訪問資源的權限的統(tǒng)一管理�。
?B�����、資源的統(tǒng)一配置管理:文件系統(tǒng)����、網(wǎng)絡設備(防火墻�����、認證系統(tǒng)����、入侵檢測、漏洞掃描)����,Intranet、Internet網(wǎng)絡資源的統(tǒng)一配置管理�����。
C���、管理策略的一致性:防火墻規(guī)則的制定�、Internet訪問控制的管理,內(nèi)部信息資源的管理應體現(xiàn)一致性�。只有管理政策一致,才能避免出現(xiàn)遺漏�。
2����、強化企業(yè)內(nèi)部人員安全培訓
?信息安全培訓是實施信息安全的基礎,根據(jù)中國國家信息安全測評認證中心提供的調(diào)查結果顯示����,現(xiàn)實的威脅主要為信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起�����。據(jù)公安部最新統(tǒng)計����,70%的泄密犯罪來自于內(nèi)部;計算機應用單位80%未設立相應的安全管理�����;58%無嚴格的管理制度�。
?要實現(xiàn)“企業(yè)安全”就必須對企業(yè)內(nèi)部人員進行安全培訓����,從而強化從高層到基礎員工的安全意識�����,最終提升企業(yè)網(wǎng)絡信息安全的“機率”�����。
?安全培訓計劃可階段性地進行�����,根據(jù)企業(yè)性質(zhì)與人員的職責�、業(yè)務不同,可以將安全培訓分成三個不同的層次���,即初級�、中級和高級���。初級培訓的對象包括所有員工���,培訓的內(nèi)容主要角色與責任���、政策與程序;旨在強化所有員工的安全意識與責任�;第二層次為中級培訓,對象包括高層領導��、(非)技術管理人員�����、系統(tǒng)所有者���、合同管理者、人力資源管理者與法律人員���。教育及培訓的內(nèi)容包括安全核心知識���、風險管理、資源需求與合同需求等���,旨在強化人員的安全能力與安全意識����。第三層次為高級安全培訓,對象包括信息安全人員����、系統(tǒng)管理人員,內(nèi)容主要包括操作/應用系統(tǒng)�、協(xié)議、安全工具�����、技術控制�����、風險評估����、安全計劃和認證與評估,旨在提高企業(yè)的整體安全管理�。
綜合上述幾方面的論述,企業(yè)必須充分重視和了解網(wǎng)絡信息系統(tǒng)的安全威脅所在�,制定保障網(wǎng)絡安全的應對措施,落實嚴格的安全管理制度���,才能使網(wǎng)絡信息得以安全運行�����。由于網(wǎng)絡信息安全的多樣性和互連性����,單一的信息技術往往解決不了信息安全問題,必須綜合運用各種高科技手段和信息安全技術�、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網(wǎng)絡安全�,需要綜合考慮各個方面,包括系統(tǒng)自身的硬件和軟件安全��,也包括完善的網(wǎng)絡管理制度以及先進的網(wǎng)絡安全技術等���。
參考文獻
1、孟洛明,亓峰·《現(xiàn)代網(wǎng)絡管理技術》�����,北京郵電大學出版社2001
2���、Elizabeth D. Zwicky,Simon Cooper,D. Brent Chapman·《構建Internet防火墻(影印版)》�,清華大學出版社2003?
3、唐正軍·《入侵檢測技術導論》機械工業(yè)出版社2004
