3、入侵檢測技術(shù)
入侵檢測(Intrusion Detection)是對入侵行為的發(fā)覺,是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實施保護。Dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。
?
4 、風險評估技術(shù)
風險評估(Vulnerability Assessment)是網(wǎng)絡安全防御中的一項重要技術(shù),運用系統(tǒng)的方法,根據(jù)各種網(wǎng)絡安全保護措施、管理機制以及結(jié)合所產(chǎn)生的客觀效果,對網(wǎng)絡系統(tǒng)做出是否安全的結(jié)論。其原理是根據(jù)已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡漏洞掃描系統(tǒng)就是這一技術(shù)的實現(xiàn),它包括了網(wǎng)絡模擬攻擊,漏洞檢測,報告服務進程,提取對象信息,以及評測風險,提供安全建議和改進措施等功能,幫助用戶控制可能發(fā)生的安全事件,最大可能的消除安全隱患。
風險評估技術(shù)基本上也可分為基于主機的和基于網(wǎng)絡的兩種,前者主要關(guān)注軟件所在主機上面的風險漏洞,而后者則是通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。然而風險評估只是一種輔助手段,真正的安全防護工作還是依靠防火墻和入侵檢測來完成。
5、虛擬局域網(wǎng)(VLAN)技術(shù)
基于ATM 和以太網(wǎng)交換技術(shù)發(fā)展起來的VLAN 技術(shù), 把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù), 從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡節(jié)點與網(wǎng)內(nèi)的通信, 防止了基于網(wǎng)絡的監(jiān)聽入侵。例如可以把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務器、電子郵件服務器等單獨劃分為一個VLAN 1, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN 2??刂芕LAN 1 和VLAN 2 間的單向信息流向: VLAN 1 可以訪問VLAN 2 相關(guān)信息;VLAN 2 不能訪問VLAN 1 的信息。這樣就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用。
6、虛擬專用網(wǎng)VPN(Virtual Private Network)技術(shù)
虛擬專用網(wǎng)絡是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡上的延伸,通過一個私用的通道來創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)絡通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司的業(yè)務合作伙伴等與公司的企業(yè)網(wǎng)連接起來,構(gòu)成一個擴展的公司企業(yè)網(wǎng)。VLAN 用來在局域網(wǎng)內(nèi)實施安全防范技術(shù), 而VPN 則專用于企業(yè)內(nèi)部網(wǎng)與Internet 的安全互聯(lián)。VPN 不是一個獨立的物理網(wǎng)絡, 他只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎(chǔ)上,通過Internet 在遠程客戶機與企業(yè)內(nèi)網(wǎng)之間, 建立一條秘密的、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)。
除了以上介紹的幾種網(wǎng)絡安全技術(shù)之外,還有一些被廣泛應用的安全技術(shù),如身份驗證、存取控制、安全協(xié)議等等。網(wǎng)絡信息安全是一個系統(tǒng)的工程,它與網(wǎng)絡系統(tǒng)的復雜度、運行的位置和層次都有很大的關(guān)系,因而一個完整的網(wǎng)絡安全體系僅靠單一的技術(shù)是難以奏效的。在實際應用中,只有根據(jù)實際情況,綜合各種安全技術(shù)的優(yōu)點,才能形成一個由具有分布性的多種安全技術(shù)構(gòu)成的網(wǎng)絡安全系統(tǒng)。
三、構(gòu)建電力企業(yè)網(wǎng)絡安全防范的制度空間
做好網(wǎng)絡信息安全工作,除了采用上述的技術(shù)手段外,還必須建立安全管理機制。因為諸多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強網(wǎng)絡信息的安全性。只有切實提高網(wǎng)絡意識,建立完善的管理制度,才能保證網(wǎng)絡信息的整體安全性。
“三分技術(shù),七分管理”是網(wǎng)絡安全領(lǐng)域的一句至理名言,其原意是:網(wǎng)絡安全中的30%依靠計算機系統(tǒng)信息安全設(shè)備和技術(shù)保障,而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網(wǎng)絡安全中非常重要又常被忽視的一項內(nèi)容。需要‘管理’到位、‘技術(shù)’到位、‘觀念’到位,更需要管理、技術(shù)和觀念不斷更新,而且三者要有機地結(jié)合起來。
1、完善網(wǎng)絡信息安全的管理機制
(1)網(wǎng)絡與信息安全需要制度化、規(guī)范化。網(wǎng)絡和信息安全管理真正納入安全生產(chǎn)管理體系,并能夠得到有效運作,就必須使這項工作制度化、規(guī)范化。要在電力企業(yè)網(wǎng)絡與信息安全管理工作中融入輸變電設(shè)備安全管理的思想,就像管“電網(wǎng)”一樣管理“信息網(wǎng)絡”,制定出相應的管理制度。如建立用戶權(quán)限管理制度、口令保密制度、密碼和密鑰管理制度、網(wǎng)絡與信息安全管理制度、病毒防范制度、網(wǎng)絡設(shè)備管理流程、設(shè)備運行規(guī)程、網(wǎng)絡安全防護策略、訪問控制、授權(quán)管理等一系列的安全管理制度和規(guī)定。管理制度具有嚴肅性、權(quán)威性、強制性,管理制度一旦形成,就要嚴格執(zhí)行。企業(yè)應組織有關(guān)人員對管理制度進行學習,保證制度的落實。
(2)明確網(wǎng)絡與信息安全保證體系中的四個關(guān)鍵系統(tǒng),即安全決策指揮系統(tǒng)、安全管理技術(shù)系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓系統(tǒng),實行企業(yè)行政正職負責制,明確主管領(lǐng)導職權(quán)、部門職責和用戶責任。按照統(tǒng)一領(lǐng)導和分級管理的原則,明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門,行使網(wǎng)絡與信息安全監(jiān)督職能以及安全監(jiān)督人員職責。
(3)應用“統(tǒng)一的策略管理”思想實現(xiàn)網(wǎng)絡信息安全的管理目標?!敖y(tǒng)一”,就是要提高各項安全技術(shù)和措施的協(xié)同作戰(zhàn)能力;策略,就是為發(fā)布、管理和保護信息資源而制定的一組規(guī)程、制度和措施的綜合,企業(yè)內(nèi)所有員工都必須遵守的規(guī)則。電力企業(yè)應從以下三個方面,規(guī)定各部門和用戶要遵守的規(guī)范及應負的責任,使得網(wǎng)絡與信息安全管理有一套可切實執(zhí)行的依據(jù)。
A、用戶的統(tǒng)一管理:實現(xiàn)員工檔案、訪問資源的權(quán)限的統(tǒng)一管理。
?B、資源的統(tǒng)一配置管理:文件系統(tǒng)、網(wǎng)絡設(shè)備(防火墻、認證系統(tǒng)、入侵檢測、漏洞掃描),Intranet、Internet網(wǎng)絡資源的統(tǒng)一配置管理。
C、管理策略的一致性:防火墻規(guī)則的制定、Internet訪問控制的管理,內(nèi)部信息資源的管理應體現(xiàn)一致性。只有管理政策一致,才能避免出現(xiàn)遺漏。
2、強化企業(yè)內(nèi)部人員安全培訓
?信息安全培訓是實施信息安全的基礎(chǔ),根據(jù)中國國家信息安全測評認證中心提供的調(diào)查結(jié)果顯示,現(xiàn)實的威脅主要為信息泄露和內(nèi)部人員犯罪,而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計,70%的泄密犯罪來自于內(nèi)部;計算機應用單位80%未設(shè)立相應的安全管理;58%無嚴格的管理制度。
?要實現(xiàn)“企業(yè)安全”就必須對企業(yè)內(nèi)部人員進行安全培訓,從而強化從高層到基礎(chǔ)員工的安全意識,最終提升企業(yè)網(wǎng)絡信息安全的“機率”。
?安全培訓計劃可階段性地進行,根據(jù)企業(yè)性質(zhì)與人員的職責、業(yè)務不同,可以將安全培訓分成三個不同的層次,即初級、中級和高級。初級培訓的對象包括所有員工,培訓的內(nèi)容主要角色與責任、政策與程序;旨在強化所有員工的安全意識與責任;第二層次為中級培訓,對象包括高層領(lǐng)導、(非)技術(shù)管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓的內(nèi)容包括安全核心知識、風險管理、資源需求與合同需求等,旨在強化人員的安全能力與安全意識。第三層次為高級安全培訓,對象包括信息安全人員、系統(tǒng)管理人員,內(nèi)容主要包括操作/應用系統(tǒng)、協(xié)議、安全工具、技術(shù)控制、風險評估、安全計劃和認證與評估,旨在提高企業(yè)的整體安全管理。
綜合上述幾方面的論述,企業(yè)必須充分重視和了解網(wǎng)絡信息系統(tǒng)的安全威脅所在,制定保障網(wǎng)絡安全的應對措施,落實嚴格的安全管理制度,才能使網(wǎng)絡信息得以安全運行。由于網(wǎng)絡信息安全的多樣性和互連性,單一的信息技術(shù)往往解決不了信息安全問題,必須綜合運用各種高科技手段和信息安全技術(shù)、采用多級安全措施才能保證整個信息體系的安全。要做到全面的網(wǎng)絡安全,需要綜合考慮各個方面,包括系統(tǒng)自身的硬件和軟件安全,也包括完善的網(wǎng)絡管理制度以及先進的網(wǎng)絡安全技術(shù)等。
參考文獻
1、孟洛明,亓峰·《現(xiàn)代網(wǎng)絡管理技術(shù)》,北京郵電大學出版社2001
2、Elizabeth D. Zwicky,Simon Cooper,D. Brent Chapman·《構(gòu)建Internet防火墻(影印版)》,清華大學出版社2003?
3、唐正軍·《入侵檢測技術(shù)導論》機械工業(yè)出版社2004