讓安全滲透進(jìn)網(wǎng)絡(luò)

2013-12-03 17:08:33 電力信息化　點(diǎn)擊量：評論 (0)

摘要：本文分析了網(wǎng)絡(luò)安全的特點(diǎn)，提出了具體的行之有效的安全理念及解決方案。由于是實(shí)踐的總結(jié)，因此具有一定的參考性。關(guān)鍵詞：網(wǎng)絡(luò)安全安全滲透解決方案一、網(wǎng)絡(luò)安全形勢分析大家知道，自從1995年開始在網(wǎng)

PN技術(shù)的普及，使得企業(yè)內(nèi)網(wǎng)無限擴(kuò)展，更加大了威脅進(jìn)入內(nèi)網(wǎng)的機(jī)會。

þ 正確觀念二：僅靠防火墻不能解決大部分網(wǎng)絡(luò)安全問題。

各種蠕蟲、病毒、應(yīng)用層攻擊技術(shù)和EMAIL、移動代碼結(jié)合，形成復(fù)合攻擊手段，使威脅更加危險和難以抵御。這些復(fù)合威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來了重大損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DDOS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的性能威脅。這些威脅大部分都能夠穿透防火墻，防火墻基于TCP/IP 3層和4層的訪問控制對這些問題無能為力。

很多惡意流量可以穿過防火墻

þ 正確觀念三：主機(jī)和應(yīng)用層的安全抵御必須和網(wǎng)絡(luò)緊密結(jié)合。

目前，越來越多的病毒和蠕蟲是基于網(wǎng)絡(luò)來傳播的，有了網(wǎng)絡(luò)這個介質(zhì)，可以威脅傳播速度很快，以SQL Slammer為例，10分鐘內(nèi)，SQL Slammer感染了全球90％的有漏洞的計算機(jī)。如果網(wǎng)絡(luò)對于這些威脅不能識別，不能在其傳播擴(kuò)散的通路上進(jìn)行阻截，純粹依靠人工手動的打補(bǔ)丁、升級防病毒軟件和在網(wǎng)絡(luò)上設(shè)置ACL，根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫。

二、安全滲透網(wǎng)絡(luò)解決方案

在這種咄咄逼人的安全形勢下，原來的“防火墻＋I(xiàn)DS＋防病毒”的傳統(tǒng)網(wǎng)絡(luò)安全解決方案已經(jīng)不能滿足安全需求了，新的安全形勢要求我們必須對安全解決方案做出新的定義。這樣就產(chǎn)生了安全滲透網(wǎng)絡(luò)。

安全滲透網(wǎng)絡(luò)體系架構(gòu)

下面我們對安全滲透網(wǎng)絡(luò)三個基本特征的定義：

u 安全滲透網(wǎng)絡(luò)要求網(wǎng)絡(luò)必須從端點(diǎn)開始進(jìn)行行為的管理：僅僅進(jìn)行身份鑒別是不夠的，必須做到對端點(diǎn)的行為進(jìn)行識別，讓行為順從取代簡單的“口令”認(rèn)證，成為安全接入網(wǎng)絡(luò)的基本條件

u 安全滲透網(wǎng)絡(luò)要求網(wǎng)絡(luò)深入到應(yīng)用和業(yè)務(wù)內(nèi)容進(jìn)行保護(hù)：網(wǎng)絡(luò)設(shè)備只工作在網(wǎng)絡(luò)層和傳輸層是不夠的，必須具有深度報文解析和深度應(yīng)用感知的能力。

u 安全滲透網(wǎng)絡(luò)要求基礎(chǔ)安全特性成為網(wǎng)絡(luò)的一部分：也就是基礎(chǔ)安全特性應(yīng)該有機(jī)的滲透到網(wǎng)絡(luò)設(shè)備中，網(wǎng)絡(luò)可以彈性的調(diào)整和部署，以適應(yīng)因?yàn)闃I(yè)務(wù)變化引起的安全策略的變化。

相應(yīng)的，安全滲透網(wǎng)絡(luò)由三個功能模塊組成，分別是用戶層上以EAD（端點(diǎn)準(zhǔn)入防御）為基礎(chǔ)的端點(diǎn)安全模塊；應(yīng)用層上以IPS為依托的威脅抵御模塊；以及網(wǎng)絡(luò)層上的基礎(chǔ)安全模塊。

2.1 端點(diǎn)安全模塊－端點(diǎn)準(zhǔn)入防御（EAD）

在企業(yè)網(wǎng)里，網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補(bǔ)丁、升級病毒庫的

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊