论文部分内容阅读
【摘要】上海交通车管业务经过这几年的努力,已逐步打造出一个较为完整的信息化平台,该信息化平台包括了多类型的网络和多类型的业务系统;因此对于上海交通车管信息安全防范工作除了各个网络的安全,还包括各个网络的系统的信息交互的安全。本文就该信息化平台采用的几项网络安全防范措施作简要的介绍以供探讨。
【关键词】信息化网络安全管理
上海市公安局交通警察总队作为这样的一个承担着服务、管理、监管等一系列职能的部门在推动机动车和驾驶证业务管理创新上面临着巨大的挑战。正式在这样的氛围中,上海市公安局交通警察总队在2009年下半年起调整业务管理模式将部分业务项目由公安网业务系统延伸至其它网络的外围业务管理系统,逐步向社会其它管理部门开放各项业务管理和业务监管,包括在互联网上向普通办事群众开放业务办理。经这几年的努力,已逐步打造出一个较为完整的信息化平台,该信息化平台包括了多类型的网络和多类型的业务系统,因此对于上海交通车管信息安全防范工作除了各个网络的安全,还包括各个网络的系统的信息交互的安全。
一、网络存在的安全威胁分析
1、网络威胁的种类
目前,网络上的威胁多种多样,屡禁不止,且难以清除;网络上的威胁具有传播广和传播快的特性。从威胁的来源可以分为这四类:漏洞利用、Web应用、病毒、终端内容。
2、网络威胁的分析
(1)漏洞利用类威胁:各种通过操作系统、应用系统、协议异常等漏洞,进行传播的蠕虫、木马、后门、间谍软件,进行攻击和入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等。
(2)Web应用类威胁:专门针对Web应用面临的各种最新的威胁提供额外的安全防护,包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上解决了Web系统被入侵、数据被篡改的可能性。
(3)病毒类威胁:除了传统的HTTP、FTP、SMTP、POP3等协议,还可以针对商务应用(文件共享等)传输的文件进行精确的木马、病毒、蠕虫查杀。
(4)终端内容威胁:为了避免终端访问Web应用内容而被窃取隐私等信息或被用作肉鸡,需要有效过滤恶意网站、恶意文件、恶意控件、恶意脚本等内容威胁的访问。
二、网络安全的主要内容
网络安全包括网络系统的安全和网络上的信息安全。网络系统的安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断;凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性.那么信息安全怎么理解呢,信息安全是整体的、发展的、非传统的安全。
三、网络安全新技术的发展
1、硬件方面:新一代7层防火墙是目前较为成熟且使用较为广泛的硬件产品。
实现内核级联动,是一个“2-7层完整的安全防护产品”。这也是Gartner定义的”额外的防火墙智能”实现的前提,做到真正的内核级联动,才能为用户的业务系统提供一个安全防护的“铜墙铁壁”。
2、安全策略:尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。以下几种方法基本可以确保在策略上保护网络信息的安全:
(1)隐藏IP地址、关闭不必要的端口。入侵者经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址和端口。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。将业务应用服务器和数据库服务器部署在防火墙和应用负载均衡后面,可以有效的将真实的服务器IP地址和端口隐藏起来,不被入侵者查获。
(2)帐户管理。Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!禁用或彻底删除Guest帐户是最好的办法,做好IE的安全设置。
3、及时给系统打补丁:应及时更新操作系统对应的补丁程序,不断推出的系统补丁程序尽管让人厌烦,但却是我们系统安全的基础。
四、多网络多业务系统安全的技术应对措施
上海交通车管的多网络多业务系统的信息化平台实际上是一个整体应用平台,采用怎样的防范措施才能避免网络威胁进攻,保护系统运行的整体安全,成了我们管理者需要考虑的首要问题。整体的应用需要整体布局,软件和硬件都要有所考虑,要做到全面覆盖业务应用系统的各个层次,针对网络、业务应用、数据、系统等做全面的防范。
1、增加必要的硬件投入
目前,新一代防火墙独创的应用可视化引擎,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。新一代防火墙的应用可视化引擎不但可以识别724多种的应用及其应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还可以满足各局域网数据。 (1)多核并行处理架构:现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗?但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。
(2)单次解析引擎:要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,新一代防火墙所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是要统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述。
2、科学合理的配置软件和硬件策略
(1)划分网络安全域
我们认为首先从网络管理做起,将整个信息化所涉及的业务系统划分为四个网络安全域:数据中心安全域、广域网边界安全域、互联网接入安全域、内网办公安全域。
①数据中心安全域:包括各种应用系统和服务器,由于是整个衍生业务系统的核心,安全级别最高;②广域网边界安全域:各个下属分支机构(如二手车市场、检测线、4S店上牌点、驾驶员考试点等)通过专网接入企业专网,访问各种衍生业务应用系统,主要包括专网的核心路由器、分支路由器等;③互联网接入安全域:由于内部终端、对外发布业务系统(如网上查询系统)都需要与互联网相连,访问互联网资源或者对外提供业务。此区域安全风险最高,需要重点隔离与控制;④公安网办公安全域:包括总部公安网的业务终端,为不同的业务部门和服务器等提供高速、稳定的网络接入。
(2)加强数据中心服务器保护
加强数据中心服务器的全面保护,是应用系统的信息安全的基础,通过监控访问、交换、数据流等措施来实现。
①面向用户、应用的安全访问:将访问控制权限精确到用户与业务系统,有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。②可视化安全风险评估:提供服务器风险和终端风险报告以及应用流量报表,使全网的安全风险一目了然,帮助管理员分析安全状况管理数据中心。
(3)广域网边界安全隔离与防护
①互联网出口边界防护:将网上查询等业务系统部署在DMZ区,可以实现对内网终端和对外业务发布系统的双重防护,权限控制和管理是主要方法。
●防止黑客入侵,获取权限,窃取数据,保证服务器稳定运行;
②内部终端安全防护:全面防护,标本兼治,防止业务终端访问威胁网站和应用,通过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段。
五、加强系统使用者的管理可以确保技术手段的有效运用
1、建立网络接入安全的规章制度。建立从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等一系列的规章制度;从制度上约束系统使用者的使用行为。
2、加强网络安全知识的培训,提供防范意识。不断加强网络安全的宣传和培训,强化使用人员和管理人员的安全防范意识。只有通过网络管理人员、系统数据库管理人员、业务系统维护人员与使用人员的共同努力,才可能地把不安全的因素降到最低。
六、结语
总之,信息安全防范工作是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
【关键词】信息化网络安全管理
上海市公安局交通警察总队作为这样的一个承担着服务、管理、监管等一系列职能的部门在推动机动车和驾驶证业务管理创新上面临着巨大的挑战。正式在这样的氛围中,上海市公安局交通警察总队在2009年下半年起调整业务管理模式将部分业务项目由公安网业务系统延伸至其它网络的外围业务管理系统,逐步向社会其它管理部门开放各项业务管理和业务监管,包括在互联网上向普通办事群众开放业务办理。经这几年的努力,已逐步打造出一个较为完整的信息化平台,该信息化平台包括了多类型的网络和多类型的业务系统,因此对于上海交通车管信息安全防范工作除了各个网络的安全,还包括各个网络的系统的信息交互的安全。
一、网络存在的安全威胁分析
1、网络威胁的种类
目前,网络上的威胁多种多样,屡禁不止,且难以清除;网络上的威胁具有传播广和传播快的特性。从威胁的来源可以分为这四类:漏洞利用、Web应用、病毒、终端内容。
2、网络威胁的分析
(1)漏洞利用类威胁:各种通过操作系统、应用系统、协议异常等漏洞,进行传播的蠕虫、木马、后门、间谍软件,进行攻击和入侵的DoS/DDoS攻击、缓冲区溢出攻击、协议异常攻击、蓝屏攻击、权限提取等。
(2)Web应用类威胁:专门针对Web应用面临的各种最新的威胁提供额外的安全防护,包括SQL注入、XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,从根源上解决了Web系统被入侵、数据被篡改的可能性。
(3)病毒类威胁:除了传统的HTTP、FTP、SMTP、POP3等协议,还可以针对商务应用(文件共享等)传输的文件进行精确的木马、病毒、蠕虫查杀。
(4)终端内容威胁:为了避免终端访问Web应用内容而被窃取隐私等信息或被用作肉鸡,需要有效过滤恶意网站、恶意文件、恶意控件、恶意脚本等内容威胁的访问。
二、网络安全的主要内容
网络安全包括网络系统的安全和网络上的信息安全。网络系统的安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断;凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性.那么信息安全怎么理解呢,信息安全是整体的、发展的、非传统的安全。
三、网络安全新技术的发展
1、硬件方面:新一代7层防火墙是目前较为成熟且使用较为广泛的硬件产品。
实现内核级联动,是一个“2-7层完整的安全防护产品”。这也是Gartner定义的”额外的防火墙智能”实现的前提,做到真正的内核级联动,才能为用户的业务系统提供一个安全防护的“铜墙铁壁”。
2、安全策略:尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。以下几种方法基本可以确保在策略上保护网络信息的安全:
(1)隐藏IP地址、关闭不必要的端口。入侵者经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址和端口。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。将业务应用服务器和数据库服务器部署在防火墙和应用负载均衡后面,可以有效的将真实的服务器IP地址和端口隐藏起来,不被入侵者查获。
(2)帐户管理。Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!禁用或彻底删除Guest帐户是最好的办法,做好IE的安全设置。
3、及时给系统打补丁:应及时更新操作系统对应的补丁程序,不断推出的系统补丁程序尽管让人厌烦,但却是我们系统安全的基础。
四、多网络多业务系统安全的技术应对措施
上海交通车管的多网络多业务系统的信息化平台实际上是一个整体应用平台,采用怎样的防范措施才能避免网络威胁进攻,保护系统运行的整体安全,成了我们管理者需要考虑的首要问题。整体的应用需要整体布局,软件和硬件都要有所考虑,要做到全面覆盖业务应用系统的各个层次,针对网络、业务应用、数据、系统等做全面的防范。
1、增加必要的硬件投入
目前,新一代防火墙独创的应用可视化引擎,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。新一代防火墙的应用可视化引擎不但可以识别724多种的应用及其应用动作,还可以与多种认证系统(AD、LDAP、Radius等)、应用系统(POP3、SMTP等)无缝对接,自动识别出网络当中IP地址对应的用户信息,并建立组织的用户分组结构;既满足了普通互联网边界行为管控的要求,同时还可以满足各局域网数据。 (1)多核并行处理架构:现在CPU核越来越多,从双核到4核,再从4核到8核,16核,现在还有128核的CPU了。这样来看,如果1个核能够做到1个G,那么16个核不就能够超过10个G了吗?但是通常设备性能并不能够根据核的增加而迅速增加。因为虽然各个核物理上是独立的,但是有很多资源是共享的,包括CPU的Cache,内存,这些核在访问共享资源的时候是要等其他核释放资源的,因此很多工作只能串行完成。
(2)单次解析引擎:要进行应用层威胁过滤,就必须将数据报文重组才能检测,而报文重组、特征检测都会极大地消耗内存和CPU,因而UTM的多引擎,多次解析架构工作效率低下。因此,新一代防火墙所采用的单次解析引擎通过统一威胁特征、统一匹配引擎,针对每个数据包做到了只有一次报文重组和特征匹配,消除了重复性工作对内存和资源的占用,从而系统的工作效率提高了70%-80%。但这种技术的一个关键要素就是要统一特征库,这项技术的难度在于需要找到一种全新的“特征语言”将病毒、漏洞、Web入侵、恶意代码等威胁进行统一描述。
2、科学合理的配置软件和硬件策略
(1)划分网络安全域
我们认为首先从网络管理做起,将整个信息化所涉及的业务系统划分为四个网络安全域:数据中心安全域、广域网边界安全域、互联网接入安全域、内网办公安全域。
①数据中心安全域:包括各种应用系统和服务器,由于是整个衍生业务系统的核心,安全级别最高;②广域网边界安全域:各个下属分支机构(如二手车市场、检测线、4S店上牌点、驾驶员考试点等)通过专网接入企业专网,访问各种衍生业务应用系统,主要包括专网的核心路由器、分支路由器等;③互联网接入安全域:由于内部终端、对外发布业务系统(如网上查询系统)都需要与互联网相连,访问互联网资源或者对外提供业务。此区域安全风险最高,需要重点隔离与控制;④公安网办公安全域:包括总部公安网的业务终端,为不同的业务部门和服务器等提供高速、稳定的网络接入。
(2)加强数据中心服务器保护
加强数据中心服务器的全面保护,是应用系统的信息安全的基础,通过监控访问、交换、数据流等措施来实现。
①面向用户、应用的安全访问:将访问控制权限精确到用户与业务系统,有效解决了传统防火墙IP/端口的策略无法精确管理的问题。让业务开放对象更为明了、管理更方便、策略更易懂。②可视化安全风险评估:提供服务器风险和终端风险报告以及应用流量报表,使全网的安全风险一目了然,帮助管理员分析安全状况管理数据中心。
(3)广域网边界安全隔离与防护
①互联网出口边界防护:将网上查询等业务系统部署在DMZ区,可以实现对内网终端和对外业务发布系统的双重防护,权限控制和管理是主要方法。
●防止黑客入侵,获取权限,窃取数据,保证服务器稳定运行;
②内部终端安全防护:全面防护,标本兼治,防止业务终端访问威胁网站和应用,通过漏洞防护、病毒防护、恶意控件/脚本过滤功能,切断威胁感染终端的各种技术手段。
五、加强系统使用者的管理可以确保技术手段的有效运用
1、建立网络接入安全的规章制度。建立从物理安全保密策略,系统或网络的访问控制策略,信息的加密策略,系统及网络的安全管理策略,人员安全管理策略,内容监管策略等一系列的规章制度;从制度上约束系统使用者的使用行为。
2、加强网络安全知识的培训,提供防范意识。不断加强网络安全的宣传和培训,强化使用人员和管理人员的安全防范意识。只有通过网络管理人员、系统数据库管理人员、业务系统维护人员与使用人员的共同努力,才可能地把不安全的因素降到最低。
六、结语
总之,信息安全防范工作是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。