王　悅

[摘要]以Internet為代表的全球性信息化趨勢(shì)日益明顯,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正逐漸地在銀行、證券等金融行業(yè)得到普及和廣泛。但隨著應(yīng)用的不斷深入,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷暴露出來,愈演愈烈的黑客攻擊事件以及非法信息的不斷蔓延、網(wǎng)絡(luò)病毒的爆發(fā)、郵件蠕蟲的擴(kuò)散,也給網(wǎng)絡(luò)蒙上陰影。目前在高速發(fā)展的企業(yè)網(wǎng)及網(wǎng)絡(luò)系統(tǒng)中也同樣存在著威脅網(wǎng)絡(luò)安全的諸多因素,網(wǎng)絡(luò)安全防護(hù)不容忽視。主要從病毒入侵、網(wǎng)絡(luò)流量、關(guān)鍵資源等方面闡述的網(wǎng)絡(luò)的危害性,并從網(wǎng)關(guān)、網(wǎng)絡(luò)以及主機(jī)三個(gè)層面介紹如何加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的措施。

[關(guān)鍵詞]病毒 網(wǎng)關(guān) 網(wǎng)絡(luò)監(jiān)控

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0910064-01

隨著網(wǎng)絡(luò)的普遍應(yīng)用,網(wǎng)絡(luò)安全問題也日益突出,其防護(hù)的重要性也越來越受到關(guān)注。安全防護(hù)也已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面,這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇,越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

一、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù),就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。任何一個(gè)用戶,在剛剛開始面對(duì)安全問題的時(shí)候,考慮的往往就是這“老三樣”。可以說,這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用,但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。

首先,從用戶角度來看,雖然系統(tǒng)中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。其次,未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。 再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品,但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題,還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說,雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功,且仍然發(fā)揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網(wǎng)絡(luò)安全的整體技術(shù)框架來看,網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題,“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全,需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

二、網(wǎng)絡(luò)中存在的種種隱患

一般來講,對(duì)于企業(yè)網(wǎng)而言,需要加強(qiáng)安全防范和管理的體現(xiàn)在三個(gè)方面:

(一)防范病毒入侵。目前,網(wǎng)絡(luò)中存在的病毒已經(jīng)不計(jì)其數(shù),并且日有更新。而隨著紅色代碼、Nimda、SQL Slammer等病毒的一再出現(xiàn),病毒已經(jīng)成為一種集成了蠕蟲、病毒和黑客工具的大威脅,同時(shí)其利用郵件這一應(yīng)用最廣泛的手段,隨時(shí)準(zhǔn)備毀壞數(shù)據(jù)、致癱網(wǎng)絡(luò)。

(二)監(jiān)控網(wǎng)絡(luò)流量。Internet的開放性使得網(wǎng)絡(luò)信息錯(cuò)綜復(fù)雜,企業(yè)員工可以輕而易舉地訪問和瀏覽各類站點(diǎn),包括色情、暴力及游戲等不良站點(diǎn)。各種非法、有害的信息:色情的、暴力的,甚至邪教的歪理邪說等,都會(huì)通過Internet肆無忌憚地涌入,甚至可能為不法分子所利用。

(三)保護(hù)關(guān)鍵資源。企業(yè)資料、人力檔案、交易數(shù)據(jù)、財(cái)務(wù)信息等重要數(shù)據(jù)是一個(gè)企業(yè)中最寶貴的關(guān)鍵資源,也是非法入侵者的攻擊對(duì)象。特別是銀行、證券、高新技術(shù)企業(yè)等信息敏感型企事業(yè)單位,往往擁有大量的機(jī)密信息,一旦泄漏就會(huì)造成巨大的經(jīng)濟(jì)損失和負(fù)面影響,甚至對(duì)國家安全和社會(huì)穩(wěn)定構(gòu)成威脅。因此,迫切需要加強(qiáng)網(wǎng)絡(luò)防護(hù)以確保網(wǎng)絡(luò)內(nèi)部敏感信息的安全,又保障內(nèi)部網(wǎng)絡(luò)的暢通,充分利用網(wǎng)絡(luò)的開放性和靈活性。

三、網(wǎng)絡(luò)安全防護(hù)措施

通過以上對(duì)網(wǎng)絡(luò)安全問題的分析,可見網(wǎng)絡(luò)中各個(gè)環(huán)節(jié)都存在著安全隱患,但要做到全面防護(hù)也是有章可循的,整體而言,應(yīng)該從網(wǎng)關(guān)、網(wǎng)絡(luò)以及主機(jī)三個(gè)層面進(jìn)行立體的安全防護(hù)。

(一)網(wǎng)關(guān)防護(hù),御敵門外事半功倍

網(wǎng)關(guān),就像是一所企業(yè)的大門,是企業(yè)網(wǎng)絡(luò)聯(lián)通到Internet的出入口,同時(shí),也是大部分病毒和入侵行為的必經(jīng)之地。所以把好安全第一關(guān),可以極大地減輕企業(yè)網(wǎng)內(nèi)部的安全防范壓力,起到事半功倍的作用。在這道至關(guān)重要的關(guān)卡上,我們應(yīng)該部署防火墻以及郵件過濾網(wǎng)關(guān)。防火墻應(yīng)采用集多種功能于一體的高性能硬件防火墻,支持NAT、透明模式等多種工作方式,并且應(yīng)具有狀態(tài)檢測(cè)、用戶認(rèn)證、NAT/PAT、虛擬防火墻、透明代理等功能特點(diǎn),還應(yīng)具有豐富的防火墻增值功能,如虛擬專用網(wǎng)、流量整型、防病毒、入侵檢測(cè)、DNS和DHCP服務(wù)、WEBCache服務(wù)等。

(二)網(wǎng)絡(luò)監(jiān)控,非法訪問一目了然

對(duì)于企業(yè)網(wǎng)而言,了解員工在網(wǎng)絡(luò)中都瀏覽了哪些內(nèi)容并制定針對(duì)不良信息的訪問規(guī)則是十分重要的,網(wǎng)絡(luò)中應(yīng)部署入侵檢測(cè)系統(tǒng)是一款非常出色的入侵預(yù)防及網(wǎng)絡(luò)監(jiān)控手段,它能監(jiān)控網(wǎng)絡(luò)流量、實(shí)時(shí)檢測(cè)可疑的網(wǎng)絡(luò)活動(dòng)和入侵攻擊,它還可同路由器、防火墻等設(shè)備實(shí)現(xiàn)聯(lián)動(dòng),協(xié)調(diào)各種安全保護(hù)措施,使其最大程度地發(fā)揮整體安全的作用;除此之外,入侵檢測(cè)系統(tǒng)能檢測(cè)網(wǎng)絡(luò)流量中的病毒,防止病毒在網(wǎng)絡(luò)上的傳播,而且還擁有防止資源濫用能力,比如動(dòng)態(tài)URL限制。利用入侵檢測(cè)系統(tǒng)強(qiáng)大的網(wǎng)絡(luò)檢測(cè)、分析、報(bào)告和管理能力為網(wǎng)絡(luò)安全提供可靠保障。

(三)防止非法信息訪問

1.加強(qiáng)企業(yè)網(wǎng)絡(luò)安全管理的同時(shí),我們應(yīng)該監(jiān)測(cè)企業(yè)網(wǎng)內(nèi)所有計(jì)算機(jī)正在瀏覽的網(wǎng)頁:是否瀏覽不良頁面,通過察看各種違反規(guī)定的信息,可以看到瀏覽網(wǎng)頁的人、計(jì)算機(jī)、時(shí)間和內(nèi)容,并進(jìn)一步加強(qiáng)管理,提高員工安全意識(shí)。

2.下載眾多個(gè)網(wǎng)站,將與工作內(nèi)容無關(guān)的網(wǎng)站添加到URL列表中限制訪問,并建議URL列表庫每兩天升級(jí)一次。

3.獲取不良網(wǎng)站信息直接添加入限制列表,限制訪問。

4.可以根據(jù)不同的用戶要求,在網(wǎng)絡(luò)中制定策略。根據(jù)不同的人、不同的時(shí)間、訪問的不同內(nèi)容來進(jìn)行管理。

(四)郵件安全防護(hù)措施

1.不要輕易打開陌生人來信中的附件,尤其是一些EXE類的可執(zhí)行文件。2.對(duì)于比較熟悉的朋友發(fā)來的郵件,如果其信中帶有附件卻未在正文中說明,也不要輕易打開附件,因?yàn)樗南到y(tǒng)也許已經(jīng)染毒。3.不要盲目轉(zhuǎn)發(fā)郵件。給別人發(fā)送程序文件甚至電子賀卡時(shí),可先在自己的電腦中試一試,確認(rèn)沒有問題后再發(fā),以免無意中成為病毒的傳播者。4.隨時(shí)注意反病毒警報(bào),及時(shí)更新殺毒軟件的病毒代碼庫。從技術(shù)手段上,可安裝具有監(jiān)測(cè)郵件系統(tǒng)的反病毒實(shí)時(shí)監(jiān)控程序,隨時(shí)監(jiān)測(cè)系統(tǒng)行為,如使用最新版本的殺毒實(shí)時(shí)軟件來查殺該附件中的文件。

參考文獻(xiàn):

[1]陳兵,《網(wǎng)絡(luò)安全與電子商務(wù)》,北京大學(xué)出版社版,2002年1月,第1版.

[2]劉曉輝,《網(wǎng)管天下網(wǎng)絡(luò)安全管理實(shí)踐》,電子工業(yè)出版社,2007年3月.

[3]李濤,《網(wǎng)絡(luò)安全概論》,電子工業(yè)出版社,2004年11月.

[4](美)麥克盧爾(McClure,s.)、斯卡姆布智(Scambray,J.)、庫爾茨(Kurtz,g.)著,王吉軍、張玉亭、周維續(xù)譯,《黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案(第5版)》,清華大學(xué)出版社,2006年4月19日.

[5]林山,《Windows Xp網(wǎng)絡(luò)安全應(yīng)用實(shí)踐與精通》,清華大學(xué),2003年.