论文部分内容阅读
摘要:网络安全的泛滥对互联网技术的应用造成了很大的障碍。网络安全的首要问题是接入安全,如何保证网络接入终端的安全性成为业界的焦点。本文针对这一问题展开讨论,深入分析了网络安全接入所存在的风险,并结合现有的网络安全技术进行了对策分析,最后进行了总结和展望。
关键词:网络接入;安全管理;信息安全
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
The Security Risk and Countermeasures Analysis of Network Accessing
Wang Guannan
(D Liaocheng University Dongchang College,Liaocheng252000,China)
Abstract:With the rapid development of information technology,internet are widely spreaded to enterprises,government and bank.However,trojan,virus and some related security vulnerability still threat the further application of internet technology.Regarding this problem,the security risk analysis of network accessing is made and countermeasures are proposed accordingly.Finally,the conclusion and future works are described in detail.
Keywords:Network accessing;Security management;Information security
一、引言
随着互联网技术的不断进步,企业、政府和大型金融机构对信息化和网络应用的依赖性不断增加,而互联网上广泛存在的木马、病毒以及层出不穷的网络安全事件仍然威胁着数据的安全性,严重影响了网络规模的扩大和先进应用技术的部署。针对这一问题,网络安全界设计了基于隔离思想的安全保障技术,试图通过防火墙、IDS和IPS等数据检测和扫描设备的部署来达到隔离安全威胁,保障网络运行的目标。然而,信息技术的发展没有止境,网络攻击技术和新的网络安全犯罪手段层出不穷,这使得传统的安全防护措施显得力不从心,复杂的操作,繁重的告警处理使得管理员疲于奔命。统计表明,超过八成的网络安全攻击行为由内部终端发起,因此如何对网络内部的安全进行管控,对接入网络节点的行为进行规范化成为网络安全的首要问题。
二、网络接入的安全风险
(一)接入用户身份伪造风险。黑客等非法用户利用合法用户客户端做代理上网、或者通过对MAC地址进行卡隆、绑定用户的IP地址和MAC地址,破解安全接入客户端、并通过私设DHCP服务器等控制措施来达到入侵内网的目的。通过攻击接口进行非法入侵根据各级局域网、广域网及服务器接口的情况,可以通过下面几种方式进行攻击,业务系统拒绝服务、通过猜测获得内部主机其他服务的访问权限、内部网络拓扑信息外泄以及局域网中数据的截获。(二)接入系统存在缺陷。针对接入系统自身存在的缺陷进行攻击,利用操作系统支撑软件及应用系统的固有或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,从而达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测以及缓冲区溢出等。(三)权利滥用导致泄密风险。人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任,还面临越来越大的压力。稍有考虑不周,安全配置不当,就会造成安全漏洞。另外,用户安全意识不强,不按照安全规定操作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会对网络安全带来威胁。此外,文件拷出与打印等难以管理监控。企业常有重要的文件,如设计图纸、报表等,对这些重要且必须保密的资料的拷入拷出、打印等操作无法监控,出现信息泄露事件也无从追溯。(四)运维失误带来安全风险。远程计算机维护监控困难。在现代化大型企业中,一个工程项目拥有数以百计的客户端是常见的事情。这些客户端分布分散,工程人员进行监视和维护工作时,如果全部对现场机器直接操作,需要花费大量的时间和精力。此外,应用资源访问存在隐患。企业部署了多个管理信息系统时,多账号身份认证和权限管理将会带来管理上的重复和不一致性,最终导致管理混乱和安全漏洞。
三、风险对策
(一)身份认证。身份认证是首先必须考虑的。用户在接入校园网时,首先要做到的就是“入网即认证”,确保每一个进入网络的用户都是合法用户,初步确保了网络可信性与可管性。在身份认证的过程中,在认证客户端请求认证时,接入交换机端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何不信任的设备的数据流会被自动丢弃,从而确保最大限度的安全性。(二)接入终端安全修复。每个网络用户都会面临着系统补丁的升级问题,一旦升级不及时,网络病毒就会乘虚而入,轻者让用户的系统感染病毒,系统运行速度变慢,重者会导致用户电脑瘫痪,以至数据文件丢失。为了用户更方便、更快捷地升级系统补丁,缓解出口带宽压力,让用户在校内升级系统补丁,搭建安全升级服务器,用来对公布的安全漏洞进行修补。(三)网络行为规范。随着P2P资源和应用的逐步丰富,P2P下载占据了大部分带宽,造成了网页浏览慢、关键应用无法保障、断网现象也时有发生。在接入网络管理的过程中,应根据实际应用需求对P2P应用及下载分区域、分时段、分策略、分用户等进行合理有效地控制,使其整个出口流量得到充分的利用,企业的关键业务得到合理地保障。(四)接入系统强化。针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,必须在接入层设置强大的安全屏障。基于此,有必要在网络边界部署安全解决方案,该方案从网络用户终端准入控制人手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
四、结论及展望
网络安全问题的解决三分靠技术七分靠管理,严格管理网络用户免受网络安全问题威胁的重要措施。网络用户不及时升级系统补丁,升级病毒库的现象普遍存在。私设代理服务器私自访问外部网络,使用网络管理员禁止使用的软件等行为在系统内部网络中也比比皆是如果只是通过防火墙和在网络设备上配置一系列访问控制策略是无法完全避免各种安全威胁的,而必须从用户接入终端网络设备,中心服务器提供一系列端到端的安全解决方案。只有从网络接入端点的安全控制入手,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力才能从根本上解决系统中存在的问题。
参考文献:
[1]廖辉,凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计,2010,5
[2]肖治庭,徐永和,任毅.计算机网络终端安全防护模型与方法[J].通信市场,2009,3
[3]尹政,尚宪刚,王玫,张兆臣,王利.终端安全技术及措施[J].中国科技信息,2008,10
关键词:网络接入;安全管理;信息安全
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
The Security Risk and Countermeasures Analysis of Network Accessing
Wang Guannan
(D Liaocheng University Dongchang College,Liaocheng252000,China)
Abstract:With the rapid development of information technology,internet are widely spreaded to enterprises,government and bank.However,trojan,virus and some related security vulnerability still threat the further application of internet technology.Regarding this problem,the security risk analysis of network accessing is made and countermeasures are proposed accordingly.Finally,the conclusion and future works are described in detail.
Keywords:Network accessing;Security management;Information security
一、引言
随着互联网技术的不断进步,企业、政府和大型金融机构对信息化和网络应用的依赖性不断增加,而互联网上广泛存在的木马、病毒以及层出不穷的网络安全事件仍然威胁着数据的安全性,严重影响了网络规模的扩大和先进应用技术的部署。针对这一问题,网络安全界设计了基于隔离思想的安全保障技术,试图通过防火墙、IDS和IPS等数据检测和扫描设备的部署来达到隔离安全威胁,保障网络运行的目标。然而,信息技术的发展没有止境,网络攻击技术和新的网络安全犯罪手段层出不穷,这使得传统的安全防护措施显得力不从心,复杂的操作,繁重的告警处理使得管理员疲于奔命。统计表明,超过八成的网络安全攻击行为由内部终端发起,因此如何对网络内部的安全进行管控,对接入网络节点的行为进行规范化成为网络安全的首要问题。
二、网络接入的安全风险
(一)接入用户身份伪造风险。黑客等非法用户利用合法用户客户端做代理上网、或者通过对MAC地址进行卡隆、绑定用户的IP地址和MAC地址,破解安全接入客户端、并通过私设DHCP服务器等控制措施来达到入侵内网的目的。通过攻击接口进行非法入侵根据各级局域网、广域网及服务器接口的情况,可以通过下面几种方式进行攻击,业务系统拒绝服务、通过猜测获得内部主机其他服务的访问权限、内部网络拓扑信息外泄以及局域网中数据的截获。(二)接入系统存在缺陷。针对接入系统自身存在的缺陷进行攻击,利用操作系统支撑软件及应用系统的固有或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,从而达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特洛伊木马、口令猜测以及缓冲区溢出等。(三)权利滥用导致泄密风险。人为的无意失误是造成网络不安全的重要原因。网络管理员在这方面不但肩负重任,还面临越来越大的压力。稍有考虑不周,安全配置不当,就会造成安全漏洞。另外,用户安全意识不强,不按照安全规定操作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会对网络安全带来威胁。此外,文件拷出与打印等难以管理监控。企业常有重要的文件,如设计图纸、报表等,对这些重要且必须保密的资料的拷入拷出、打印等操作无法监控,出现信息泄露事件也无从追溯。(四)运维失误带来安全风险。远程计算机维护监控困难。在现代化大型企业中,一个工程项目拥有数以百计的客户端是常见的事情。这些客户端分布分散,工程人员进行监视和维护工作时,如果全部对现场机器直接操作,需要花费大量的时间和精力。此外,应用资源访问存在隐患。企业部署了多个管理信息系统时,多账号身份认证和权限管理将会带来管理上的重复和不一致性,最终导致管理混乱和安全漏洞。
三、风险对策
(一)身份认证。身份认证是首先必须考虑的。用户在接入校园网时,首先要做到的就是“入网即认证”,确保每一个进入网络的用户都是合法用户,初步确保了网络可信性与可管性。在身份认证的过程中,在认证客户端请求认证时,接入交换机端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何不信任的设备的数据流会被自动丢弃,从而确保最大限度的安全性。(二)接入终端安全修复。每个网络用户都会面临着系统补丁的升级问题,一旦升级不及时,网络病毒就会乘虚而入,轻者让用户的系统感染病毒,系统运行速度变慢,重者会导致用户电脑瘫痪,以至数据文件丢失。为了用户更方便、更快捷地升级系统补丁,缓解出口带宽压力,让用户在校内升级系统补丁,搭建安全升级服务器,用来对公布的安全漏洞进行修补。(三)网络行为规范。随着P2P资源和应用的逐步丰富,P2P下载占据了大部分带宽,造成了网页浏览慢、关键应用无法保障、断网现象也时有发生。在接入网络管理的过程中,应根据实际应用需求对P2P应用及下载分区域、分时段、分策略、分用户等进行合理有效地控制,使其整个出口流量得到充分的利用,企业的关键业务得到合理地保障。(四)接入系统强化。针对接入层用户的安全威胁,特别是来自应用层面的安全隐患,防止黑客对核心层设备及服务器的攻击,必须在接入层设置强大的安全屏障。基于此,有必要在网络边界部署安全解决方案,该方案从网络用户终端准入控制人手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
四、结论及展望
网络安全问题的解决三分靠技术七分靠管理,严格管理网络用户免受网络安全问题威胁的重要措施。网络用户不及时升级系统补丁,升级病毒库的现象普遍存在。私设代理服务器私自访问外部网络,使用网络管理员禁止使用的软件等行为在系统内部网络中也比比皆是如果只是通过防火墙和在网络设备上配置一系列访问控制策略是无法完全避免各种安全威胁的,而必须从用户接入终端网络设备,中心服务器提供一系列端到端的安全解决方案。只有从网络接入端点的安全控制入手,对接入网络的用户终端强制实施企业安全策略,加强网络用户终端的主动防御能力才能从根本上解决系统中存在的问题。
参考文献:
[1]廖辉,凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计,2010,5
[2]肖治庭,徐永和,任毅.计算机网络终端安全防护模型与方法[J].通信市场,2009,3
[3]尹政,尚宪刚,王玫,张兆臣,王利.终端安全技术及措施[J].中国科技信息,2008,10