1、以计算机网络为代表的信息安全永远是被 动的安全 , 相对的安全 , 这是由于Tc p/ l P 与 生俱来的协议缺陷和开放 、 简单 、 共享及尽力 传递等诸多特性决定的 。 安全和攻击是相辅相 成的 。 人们随着攻击技术的进步及对攻击原理 机制的了解而不断提高抵御攻击的能力 , 逐步 完善信息系统的安全措施 。 不同的信息安全领 域应该采用不 同的解决方案 。 目前 , 信息系统 的安全措施主要分为七个方面 : 防病毒 、 隐患 扫描 、 入侵检测 、 防火墙 、 加密 、 认证授权以 及安全管理与维护 。 二 、 隐息扫描 一 、 防病毒 病毒是最早出现 的信息系统安全隐患 。 现有计算机
2、 系统软硬件体系结构无 法避免病毒对信息系统的 危害 。 防病毒主要通过软件执行 , 通过对计算机系统中的文件 进 行代码扫描来实现的 。 防病毒软件需要具备病毒特征 库 , 扫描的过程就是将文件代码与病毒特征库进行比 对 的过程 。 由于新的病毒层出不穷 , 防病毒软件需要及时更 新病毒特征库 。 现有的防病毒软件基本上都是通过互联 网进行升级 。 国内成熟的软件有金山毒霸 、 瑞星 、 江 民 等 , 国外有赛门铁克 公司的诺顿等 。 隐患扫描系统又称漏洞扫描或安全扫描 , 是系统管 理员用来保障系统安全的有效工具 , 黑客则靠它来收集 网络重要信息 。 网络技术的飞速发展 , 网络规模迅
3、猛增长 和计算机系统 的日益复杂导致新的系统漏洞层出不穷 , 而由于系统管理员的疏忽或缺乏经验 , 使得旧有的漏洞 依然存在 ; 另外 , 操作系统过于庞大和复杂 , 导致用户对 系统更新及补丁程序下载不能及时进行 。 信息系统大都 以支持 TcP /I P 协议栈 为基础 , 系统漏 洞可以通过对 TCPI / P协议栈的探测获得 , 如操作系统类型 、 版本 、 后 台进程等信息 。 黑客利用这种协议特性 , 赶住时 间差内向 存在漏洞 的系统发起攻击 , 因此人们需要一种类似黑客 人侵方式的系统 , 提前对网络的安全性进行探查 , 得知网 络何处存在隐患 , 及时对系统进行升级 、 更新
4、或者关闭某 些端口和进程 , 从而达到防范的目的 。 同防病毒程序类 似 , 网络扫描系统必须具备漏洞扫描库 。 对系统进行端口 扫描的过程类似于防病毒程序对文件代码 的扫描过程 , 漏洞库必须及时更新 。 目前国内比较成熟的网络隐患扫 描系统有榕基公司的网络安全扫描系统等 。 三 、 人侵检侧 入侵检测系统用于对正在入侵的行为进行探测和告 警 , 以引起系统管理员的注意 , 使之能及时采取措施 。 隐 患扫描主要是事前防范 , 入侵检测则属于事中防范 , 是对 事前防范的有效补充 。 人侵检测的原理是对网络中异常 的数据流量和用户上网行为进行跟踪和鉴别 , 如端口扫 描探测 、 TcP半连接
5、建立频率 、 Ic M P传输速率 、 远程登 录系统次数 、 密码输人次数 、 异常调用数据 、 异常系统操 作等 。 一旦某个行为的频率超过预先设定的阂值 , 人侵检 测系统可立即采用声光告警和系统日志等多种手段及时 通知系统管理员 , 使人侵带来的损失降到最小 。 成熟的人 侵检测有思科的 IDs 系统等 。 防病毒 、 隐患扫描及人侵检测这三种解决方案主要 是针对计算机操作系统及应用软件而采用的安全措施 。 计算机操作系统的安全级别在美国国家计算机安全中心 Ncs c桔皮书中由高到低分别为Al 、 B3 、 B Z 、 Bl 、 cZ 、 cl 、 D 。 全世界达到B 3的系统只有一
6、两个 ,达 到A l级别 的操作系统目前还没有 。 操作系统安全是当前信息系统 最重要也是最复杂的安全问题 。 我们所熟悉的wi n9 5 为 D安全级别 , N ovel l为e z , w indow s NT(包括wi n 200 0 和wi n X P)具备cZ级安全能力 , 一直作为 In t e二et 支撑 操作系统而存在的uN Ix (HP u nix 、 I B M A xx 、 s un so l i a r s等)属于 B 1安全级别 。 由于uN Ix 和N T作为网络 操作系统 , 具有广泛的开放性(部分源代码是公开的 ) , 系统中一些不可避免的安全漏洞就必然暴露于网
7、络黑客 前并被广泛传播 , 造成很多安全问题 。 网站主页被篡改 、 、 JlJ. . 的关联引擎不 衷识库密切相关 , 取决干事件级次集的范围和进 行关联的策略 ; 置 、 风险监控等若 干环节组成的闭环 。 跨模块构成闭环的 现象同样存在 , 例如策略模块与事件管理模块的互相作 用 。 这种闭环结构保证了管理的持续性 。 5 . 对业务应用的影响最小 2 . 安全集中管理可以推动管理量化 电信运营商使用安全集中管理的 目标是保证业务的正 常使用 , 因此 , 信息的收集不刚专送应尽量不影响系统性能 , 不占用过多网络带宽 , 并巨保证管理维护的方便 。 策略执行情况的统计 、 资产面临风险
8、 的级别 以及安全 事件数据的分析都可 以精确反映安全状况 , 这为进一步的 经营分析和决策打下了数据基础 。 蒸嚣翼 的合作机会 6 。 与网管 、 故障处理等系统的结合 3 。 投人管理的人力和精力得到节约 中国企业信息化翎.食评选 神州数码大放异彩牵 电信运营商都有一定规模的网络管理系统 , 建立安全 集中管理时 , 可以考虑信息与I P网管系统的交互与 综合 。 对于安全产品的故障不一些安全事件 , 安全集中管理 平台可 以通过与故障处理系统配合 , 实现自动化处理 。 安全集中管理中策略的统一制定和发放 , 事件的统一 监控等都大大减轻了人力精力投入 , 在一定程度上为电信 运营节约
9、成本 。 近巳国家信息北评柳u中记在京发布了首届 “ 中匡吐企 业信息化50 0强 ” i周查结果 。 在此次例业信息才匕高手云集 的较量中 , 神少卜 陵交码凭借其在信息化建设中的卓越成绩 , 最佳电 子商务应用奖 ” 和 “ 中国企业信尝才娜。 了 . 系统自身安全性 它所面临的挑战包括以下几点 。 一举夺得 “ 最 强 ” 两项大奖 导者 , 。 同时 , , 郭为总裁也被评为 “ 最具远见的信意化领 以东南汽车 、 北京又鹏药业 、 i剁健康药业 、 安全集中管理平台本身不应带来安全隐患 。 四 、 安全集中管理的优势与挑战 卑 蹲黔 裂郡才招 家神州 、擞码管理 美国B roa d。
10、咖推出针对中国市场 安全集中管理作为新兴技术已显露优势 , 也必然面临 挑战 。 (l ) 需要专职组织和专业人员的支撑 专职组织是指适合安全集中管理体系的相应 组织机 构 , 人 员则不仅要熟悉电信的网络应用 , 还必须具备一定 的安全维护能力 。 组织和人员是安全集中管理发挥作用的 保障 , 需要先期投人和持续的保障 。 它的优势主要体现在以下几方面 。 1 . 安全集中管理可 以实现闭环管理 一些模块本身就具有闭环的特点 , 例如风险管理模 块 。 从风险角度出发进行管理 , 可以形成风险评估 、 风险处 ( 2 )真正的定侧 针对各电信运营商具体的网络架构 、 业务特点和风 险状况 , 考虑资产的赋值 , 评价漏洞 的严重程度 , 定制 关联的 策略以及分析具体事件 , 才能最大程度减少漏报 误报 , 确切反映安全状况 。 只有做到真正的定制 , 才能 充分体现安全集中管理的优势 , 实现安全集中管理的最 终目标 。 瘫阵 药 的 ADSL 用户端诊备芯片和参考设计电路 一 麟 通讯半导体芯片供应商月华书 由 。 m刃”甲。“ i to n日 六专 E 一m i a l : gu sh c , e nc t 。 本版责编谷爽版式设计赵瑞 37 DOI: 10.13571 / ki .cw w.2003.39.037
