单纯的网络防御产品还不足以构建一个完善的网络整体防御体系,还需要在网络安全管理标准的指导下,通过网络安全管理整体解决方案,结合各种不同的网络防御技术和产品,在整体上维护网络和信息系统的安全。
网络防御技术的现状与发展趋势主要体现在以下三个方面:
网络防御技术与产品
维护网络安全的防御技术包括防病毒、防火墙、身份鉴别及访问控制、入侵检测及入侵防御、漏洞扫描和评估、安全隔离、信息内容过滤、安全审计和远程监控等。据公安部发布的2004年全国信息网络安全状况调查分析报告,我国信息网络使用单位应用最广泛的网络安全产品是防火墙、防病毒产品、VPN和入侵检测系统,分别占被调查用户的82%、81%、27%和22%,其他则均低于20%。
防病毒软件对计算机病毒和蠕虫进行查杀,国内著名的产品有赛门铁克的诺顿、瑞星杀毒软件、金山毒霸、江民的KV、方正安全的熊猫防病毒软件等。防病毒软件的发展趋势包括:与硬件网关和邮件服务器等结合,在网关和邮件服务器上清除病毒,降低用户的安全威胁;赛门铁克和IBM共同研究的能够对付未知病毒的数字免疫系统;趋势科技提出的将病毒源堵截在网络入口处的病毒源监控技术;将防病毒技术嵌入到操作系统内核,实现无缝连接的主动内核技术;以及通过集中式管理、分布式杀毒构成协调一致的立体防护体系的分布式处理技术等。
防火墙技术则是一种用来加强网络之间访问控制,防止网络外部用户以非法手段访问内部网络资源,从而保护内部网络安全的特殊网络互联设备。占据国内市场较多份额的著名防火墙厂商有NetScreen、CheckPoint、方正安全、天融信、东软、联想等。
防火墙技术已经从第一代的包过滤防火墙和应用网关防火墙步入第二代的状态检测防火墙。未来防火墙技术的发展趋势包括:使用网络处理器等专用硬件构建高性能网络安全计算平台,从而满足千兆网络带宽的性能需求;从简单的IP端口过滤向更高层协议的应用防护方向发展,结合入侵检测技术对数据包进行有状态的深度检测;采用分布式防火墙技术对内部网络进行“包厢化”,对每个“包厢”实施独立的安全策略和访问控制机制等。
VPN(Virtual Private Network)即虚拟专用网络,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。VPN主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备认证技术来保证安全。著名的VPN厂商包括Cisco、3Com、Netscreen、Lucent、Check Point、华为、联想、天融信等。
VPN技术的发展趋势包括:MPLS VPN技术的兴起,MPLS VPN是一种基于MPLS(Multi-protocol Label Switching,多协议标记交换)技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络,可用来构造宽带的企业内联网和企业外联网,满足灵活的业务需求。此外对VPN系统的有效管理还需进一步加强。
入侵检测的基本原理是对计算机网络和计算机系统关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件或者攻击发生,并给出警报。入侵检测是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。
入侵防御系统则在入侵检测的基础上,以内联方式接入网络,并能够通过实时阻断入侵连接防止攻击造成破坏。
著名的入侵检测产品有ISS公司的Real Secure系列产品、Cisco的IDS系列产品、Netscreen的IDP系列产品、方正安全的方通、启明星辰的天阗、绿盟科技的“冰之眼”、上海金诺的KIDS和东软的NetEye等。
入侵检测系统的发展趋势包括:针对单一数据源的基本入侵检测系统向针对多源异构数据源的分布式入侵检测框架发展;单纯的入侵检测系统向集合静态防御、漏洞扫描和动态评估、自动恢复和响应等技术的入侵防御体系发展等。
网络安全管理整体解决方案
网络防御技术和产品的简单累加不足以为整个网络提供可靠的安全防护,各个安全产品之间的协作以及如何有效地整合和管理这些安全产品,并构建一个完整的网络安全管理解决方案,是目前网络安全领域最为重要也最热门的一个课题。国际上著名的几家公司也已经提出了他们的解决方案,其中包括IBM的Tivoli、CA的eTrust和Cisco的自防御网络。
IBM的安全管理平台Tivoli Risk Manager,是一个开放的跨平台的企业级安全管理平台,它能和大量第三方安全产品集成。通过Tivoli Enterprise Console的事件关联分析技术和Tivoli Decision Support提供的统计、分析技术来帮助管理人员分析安全事件发生的背后根源,找到被攻击的对象,滤去各种假冒的攻击报警,从而全面提高整个系统的安全性。
CA的eTrust是一套全面管理电子商务环境安全的解决方案套件。它采用开放式标准构建,具有跨平台安全信息视图,能够无缝地进行安全管理。eTrust系列产品分为防御、访问和管理三组套件。安全防御可以监测、分析、警告、防止和消除任何攻击,不管它们是恶意的移动代码、蠕虫、病毒、还是企图破环企业电子商务的黑客。
eTrust Access安全访问,提供基于策略的控制,通过在网络访问控制、PKI加密、数字化认证管理和VPN环境之间提供无缝的互操作性,为员工、客户、供应商和合作伙伴建立可靠的访问渠道。
eTrust Management安全管理,提高管理安全功能的效率,使企业能够从一个中心对整个环境进行管理。它由许多eTrust软件解决方案组成,涵盖了认证管理、风险评估、攻击检测及损失预防等解决方案,使系统管理员能够有效地防御和管理各种访问,确保复杂电子商务环境的安全。
Cisco的自防御网络计划吸纳了人体自体免疫的思想,期望使得网络具有自我保护能力、自我防御能力、自我愈合能力,一旦受到网络蠕虫、网络病毒的侵扰甚至网络攻击时,能够快速反应,做到网络能够发现攻击,发现病毒,消除蠕虫,做到既保护网络应用的同时,又保护了网络自身。
Cisco自防御网络计划是一种全新的多阶段安全计划,其中Cisco网络准入控制是其第一个阶段,其基本思想是通过安全策略服务器创建准入策略,并在网络访问设备上执行安全策略,对试图访问网络主机的系统进行安全检查;对通过安全检查的客户端准许进入网络;而对由于感染病毒、蠕虫等原因未能通过安全检查的客户端进行隔离,并通过各个客户端上安装的安全代理进行病毒查杀、打补丁等安全升级工作。
网络安全管理在国内还未得到较广泛的应用,也未出现成熟的产品,但国内的各大安全厂商均对此已经非常关注,并已经开始研发此类产品,如启明星辰的天阗入侵检测与管理系统等。
信息安全管理标准
维护网络安全除了需要一系列安全防御及安全管理技术之外,还需要对整个安全管理进行规范化和标准化,目前最为权威的标准是BS 7799。
BS 7799是全球业界一致公认的辅助信息安全管理的手段,其最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或在高层会议上进行沟通的共同语言,以及保护信息资产的制度框架。BS 7799最初由英国标准协会于1995年和1998年分别制订了信息安全管理体系标准BS 7799-1和信息安全管理用户指导规范BS 7799-2。
2000年,以BS 7799为蓝本的国际标准ISO 17799出版,正式成为国际标准。ISO17799作为一套全面和复杂的信息安全管理标准,旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系,从而增强企业识别、防止、减少和控制组织信息安全风险的能力。
目前,已有20多个国家引用BS 7799作为国家标准,BS 7799也是卖出拷贝最多的管理标准,其在欧洲的证书发放量已经超过ISO9001,越来越多的信息安全公司都以BS 7799作指导为客户提供信息安全咨询服务。由此可见,BS 7799是国际上当之无愧的信息安全管理标准。
在BS 7799标准中,信息安全作为一种系统和全局的观念,主要体现在安全性、完整性和可用性三个主要方面。同时强调风险管理的思想,指导组织建立信息安全管理体系,使之成为一个系统化、程序化和文件化的管理体系。基于系统、全面、科学的安全风险评估,体现预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求,强调全过程和动态控制。本着控制费用与风险平衡的原则合理选择安全控制方式,保护组织所拥有的关键信息资产,使信息风险的发生概率和结果降低到可接受收水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。
但BS 7799标准在中国还没有得到足够重视,通过BS 7799认证的企业也屈指可数,但全国信息安全标准化技术委员会也正紧张地制定我国对应的信息安全管理标准。相信在不久的将来,BS 7799和我国自己的信息安全管理标准将在安全业界发挥巨大的作用。
4/25/2005
|