云安全服務的主要功能精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云安全服務的主要功能主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:云安全服務的主要功能范文
【關鍵詞】電子政務 安全云 云計算 安全框架設計
一、引言
電子政務云的安全問題是當前各方最關注的問題之一。為大力推動電子政務云安全平臺的建設和廣泛應用,來實施面對電子政務云平臺所面臨的安全隱患,使電子政務安全云的平臺建設應用的安全工作能夠落到實處。
二、云計算安全體系架構
云安全聯盟在基于云計算的三種服務模式,給出了云計算的安全框架。IaaS層位于云服務的最底層,是保證云計算體系安全的核心環節,該層能夠為云應用提供基礎的IT資源服務工作。IaaS層大量使用了虛擬化技術,保證虛擬化軟件、虛擬化服務器的安全,盡量降低虛擬化技術所面臨的安全風險,降低了安全隱患。在IaaS層中,云服務能夠為服務商提供最基本的服務設施和抽象層的安全防護。PaaS處于云服務的中間層,主要起著承上啟下的作用,該中間層一方面為IaaS層平臺提供基礎的信息資源,此外,該中間層還能為最上層SaaS提供基本的應用服務。PaaS所面臨的安全風險主要為分布式文件和數據庫安全,用戶接口和應用安全。在云服務的中間層中,主要負責云服務和應用程序的安全問題,而應用平臺和軟件開發的主要安全性主要由使用用戶來進行負責。SaaS層處于云服務的第一層,大部分的云服務用戶主要為系統軟件平臺提供數據資源信息。多租戶技術是保證順利解決該問題的關鍵要素,但是同時存在數據信息資源隔離、客戶端設備的配制問題。服務提供商對云服務的SaaS層的安全需要承擔主要責任。
(一)IaaS云計算安全框架設計
1、IaaS簡介
IaaS服務的核心思想是以服務產品的形式向用戶交付各種能力,而這些能力直接來自各種資源池,因此,IaaS服務提供商需要完成資源池化、服務和產品設計與組裝以及服務產品交付等方面的工作。IaaS的技術架構是以數據中心IT基礎架構為基礎,以滿足用戶需求的特定IT基礎架構為交付物的服務交付過程的層次化模型。在IaaS的技術架構中,通過采用資源池構建、資源調度、服務封裝等手段,可以將IT資產迅速轉變為可交付的IT服務,從而實現了IaaS云的隨需自服務、資源池化、快速擴展和服務可度量等特性。
2、IaaS的信息安全系統
從表面上看,云計算更注重共享與彈性,對于安全云的構建需要充分考慮信息封閉和權限兩方面問題。IaaS系統安全體系主要是對安全域所面臨的安全風險進行分析,從而形成安全、可靠的IaaS的信息安全系統。IaaS云計算功能架構,主要為接入層:指提供給用戶訪問云系統或用于為其他服務提供調用接口的軟硬件系統。虛擬資源層:指虛擬機、虛擬存儲設備、虛擬交換機、虛擬服務器等虛擬化的實體。虛擬化平臺層:指服務器虛擬化軟件,存儲虛擬化軟件,網絡虛擬化軟件。硬件資源層:指各種服務器,存儲設備及存儲網絡、網絡設備及連接等資源。管理層:指提供IaaS服務管理、系統運行管理及安全管理功能相關軟硬件系統。
(二)IaaS云計算安全框架
1、接入層安全,云服務是一種基于Web的服務模式,同時相關管理工作也通過Web方式來管理。因此,web安全包括Web 應用系統本身的安全和web內容安全。
2、API安全,API安全主要指IaaS作為云資源,除了可以直接為用戶所使用外,也可以被PaaS云服務商所使用。因此,在進行服務調用對API的驗證成為一個關注的問題。
3、虛擬資源層安全,虛擬資源層安全指資源被虛擬化為虛擬資源的安全風險。
4、虛擬化平臺層安全,虛擬化平臺層安全指虛擬化相關軟件的安全風險,各種虛擬化軟件引入了新的攻擊界。
5、硬件資源層安全,服務器安全主要指云計算系統中的主機服務器、維護終端在內的所有計算機設備在操作系統和數據庫的層面安全性。
6、物理安全,物理安全是整個云計算系統安全的前提,主要包括物理設備的安全、網絡環境的安全等,以保護云計算系統免受各種自然及人為的破壞。
三、云計算數據中心的運維對象
對于云計算的數據信息資源中心的運維管理,實際上為數據中心信息服務相關的管理工作的總稱。云計算的數據信息中心的運維對象主要有:
(一)機房環境基礎設施部分:該運維對象是保證云計算數據信息中心所管理設備,在正常運行過程中所包括的網絡通信資源、電力資源、環境資源等。云計算數據信息管理設備對于使用用戶而言,數據信息是透明的,因此,大部分的用戶大多數都會關注環境因素。
(二)在提供IT服務過程中所應用的各種設備,包括存儲、服務器、網絡設備、安全設備等硬件資源。這類設備主要功能是為云計算的安全提供基本的數據信息資源的計算、存儲以及數據通信等功能,是保證IT服務正常運行的物理載體。
(三)系統和數據資源,該單元主要包括:操作系統、數據庫、中間件、應用程序等資源;除此之外,數據資源主要包括業務數據、配置文件、日志等。
(四)管理工具,主要包括基礎設施監控軟件管理、工作流管理、報表管理和短信管理平臺等。管理工具主要是輔助管理主體能明顯提高管理數據信息資源中心,以及各種管理對象,除此之外,管理工具主要負責軟硬件設施的維護。
(五)人員,主要是指云計算數據信息資源的技術人員、運維人員和系統管理人員,除此之外,還包括能夠提供基礎服務的廠商工作人員。其中,服務廠商的工作人員是保證IT服務正常運作的基礎。
參考文獻:
[1]陳江.電子政務信息安全評估與防御研究[J].現代教育.2012(09)
[2]汪玉凱.電子政務需要政務云[J].信息系統工程.2012(06)
[3]汪玉凱.電子政務需要政務云-2012年中國電子政務展望[J].信息化建設.2012(01)
第2篇:云安全服務的主要功能范文
關鍵詞:計算機;網絡安全;防火墻;信息加密
隨著網絡科技的發展,計算機已經廣泛應用于企業。但與此同時,網絡安全問題也開始受到使用者的關注。大量的不良信息和病毒侵襲著計算機網絡,導致計算機系統安全隱患較大。且病毒的種類不斷增多,傳播速度越來越快。如何處理網絡安全問題已經成為計算機安全管理者的主要任務。當然,合理計算機操作也是確保其安全的關鍵,很多計算機侵害是由于操作者的不當操作造成的。人為惡意攻擊現象以及網絡系統自身存在漏洞這些都是導致計算機安全網絡安全系數下降的重要因素。
一、計算機網絡安全現狀分析
隨著計算機的普及,計算機用戶越來越多,導致計算機網絡同時需要處理的數據信息過大。網絡上魚龍混雜的信息較多,網絡自身存在漏洞和安全隱患。計算機需要強大的網絡垃圾信息屏蔽系統,但要開放某些網頁或者游戲,計算機網絡就無法避免這些垃圾信息或網頁。有些信息將導致計算機網絡速度變慢或者數據丟失,給普通用戶帶來很大麻煩。另外,計算機物力設備自身技術不完善,存在安全隱患,無法實現自我防范,容易受到人為破壞或者病毒侵害。另外,一些用戶安全意識差,導致不穩定因素較多,系統受到破壞,用戶自我處理病毒能力低下,使計算機病毒傳播速度加快,影響計算機運行速度甚至導致網絡癱瘓。惡意網絡攻擊對網絡信息完整性存在一定的威脅,目前網絡攻擊方式主要有惡意干擾和非授權訪問兩種。前者主要表現為計算機病毒或黑客惡意攻擊,黑客通過病毒或惡意網頁植入導致網絡受損,而后者是黑客惡意入侵導致計算機終端信息權限被非法使用,導致數據丟失。
二、計算機網絡安全體系中的關鍵技術計算機網絡安全安全系統的建立無疑是一項復雜且龐大的工程。涉及到工程技術,如何管理以及物理設備性能提升等多種問題,目前計算機網絡安全工程主要表現為網絡防火墻技術、網絡信息加密技術等。
(一)網絡防火墻技術。防火墻是計算機安全防護的核心,也是目前最重要的表現形式。同時,防火墻可直接進行SMTP 數據流傳輸并作為系統安全防護的主要手段。作為一種傳統的計算機安全防護技術,防火墻通常應用與兩個以上外部網訪問時的信息監控,通過防火墻可以實現對不安全信息的過濾。多種不同的防火墻技術可以同時使用,其主要作用在于將內部網與其他網絡進行強制性的分離,防火墻尤其是校內或企業計算機防火墻應滿足以下標準。防火墻必須建立局域網與公共網絡之間的節流點,并控制計算機流量的流經途徑。通過節流點的建立,防火墻可以實現對數據的校驗和實時監控。防火墻還應具有記錄網絡行為的功能,且對不規范網絡行為能夠進行報警,防止外部網絡病毒威脅,記錄功能是防火墻的主要功能之一,也是其防止病毒入侵的重要手段。防火墻應建立網絡周邊的防護邊界,其目的是防止主機長期暴露,確保內部網的信息安全。身份驗證或加密處理是其主要表現形式,即訪問控制技術和防病毒技術。前者是指對外部網或者主體訪問進行權限限制。客體是指受保護的計算機主機系統,而訪問主體則是指其他用戶的或網絡的訪問,防火墻的主要作用就是設置主體的訪問權限,拒絕不安全信息進入計算機客體,確保其安全。訪問控制技術實際上是對大量網絡信息進行必要的屏蔽,使進入計算機客體的信息更加安全。計算機病毒是影響其運行的主要因素,也是對計算機影響最大的因素。操作不當,不良網頁的進入都會導致計算機招到病毒侵害,導致信息丟失甚至系統癱瘓。因此防病毒技術是防火墻設置的主要作用。網絡技術的發展也為病毒變種提供了條件,近年來,多種不同形式的病毒不斷出現,其殺傷范圍更大,潛伏期長且很容易感染。如熊貓燒香就盜走了大量的客戶信息,嚴重威脅了計算機網絡安全,影響了計算機運行的大環境。防病毒技術目前主要分為防御、檢測和清除三種。計算機病毒防御體系是確保計算機安全的前提,當然其也存在局限性。如對于內部網自身的不安全信息無法實現有效的攔截,因此計算機防火墻依然需要發展。經歷了30年的發展,防火墻技術已經逐漸成熟,并在計算機防護上起到了積極的作用。下文我們將介紹幾種常用防火墻及其主要技術。1.NAT 防火墻。NAT 防火墻即網絡地址轉換型防火墻,此防火墻的主要作用體現在利用安全網卡對外部網的訪問進行實時記錄。采用虛擬源地址進行外部鏈接從而隱藏內部網的真實地址。使外部網只能通過非安全網絡進行內部網的訪問,對內部網起到了很好的保護作用。NAT防火墻主要是通過非安全網卡將內部網真實身份隱藏而實現內部網與外部網的分離,防止外部混雜的信息對內部網的侵害。2.Packet Filter防火墻。Packet Filter即包過濾型防火墻,其主要功能是對計算機數據包進行來源和目的地的檢測。從而屏蔽不安全信息,保護計算機安全。目前,這種計算機防火墻應用廣泛,是因為其操作原理簡單,價格低且性價比較高。但僅通過一個過濾器進行不安全信息的阻攔,常由于用戶疏忽或操作不當而無法真正發揮作用。3. Application Layer Gateways防火墻。Application Layer Gateways防火墻即應用層防火墻,其表現形式為將計算機過濾協議和轉發功能建立在計算機的應用層,實現對隱患信息的監控和排除。根據不同網絡特點,其使用不同的服務協議,對數據進行過濾和分析并形成記錄。其主要作用在于建立計算機內外網之間的聯系,為用戶提供清晰明確的網絡運行狀態,從而幫助用戶防止病毒等對計算機的侵害。4.監測型防火墻。監測型防火墻是目前較為先進的防火墻。是計算機防火墻技術革新的結果。其具有以往防火墻缺乏的功能即實現了對計算機中的每層數據進行監控記錄和分析,并且能夠更有效的阻止非法訪問和入侵。
(二)計算機網絡信息的加密技術。信息加密技術與防火墻技術同為保護計算機安全的重要手段。面對復雜的網絡環境,單一的防護手段無法滿足客戶的需要。其主要原理是利用加密算法,將可見的文字進行加密處理后,要求客戶通過密碼才能進入,保護計算機原始數據,控制非法訪問。從而降低信息泄露導致的客戶損失或系統癱瘓。計算機網絡信息加密技術表現為對稱加密、非對稱加密技術以及其他數字加密技術。1.對稱加密技術。對稱加密技術也就是私鑰加密,其主要特點是其密鑰可以進行推算,加密密鑰和解密密鑰之間存在著邏輯關系且是對稱的。對稱加密技術的優勢在于便于查找和操作,對于操作人員來說,數據不容易丟失。但是也易被破解,受到病毒的侵害,但就目前看,對稱加密技術依然是計算機網絡信息安全防護的重要手段。2.非對稱加密技術。非對稱加密技術即公鑰密碼加密技術。非對稱加密技術的主要特點是要求密鑰必須成對出現,加密密鑰和解密密鑰是相互分離的,就目前技術下,非對稱加密技術并不能在計算機系統中實現。分對稱加密技術的過程為:文件發送方將文件利用接收方的公鑰密碼進行加密;然后文件發送方在利用自身的私鑰密碼進行加密處理后發回給文件接收方。然后用解密技術從接收文件方開始進行解密獲得文件發送方的私鑰,實現解密。非對稱技術操作復雜,度計算機系統的技術要求較高,因此很難完全實現。但這種加密技術可以很好的防止病毒或非法網頁的侵襲,安全系數較高。也未來計算機信息安全防護的主要手段,當然其實現應借助計算機系統以外的其他技術或設備。3.其他加密技術。加密技術確保了計算機網絡信息的安全,除了對稱和非對稱信息加密兩種技術外,系統還具有一種數字摘要功能。目前主要表現為數字指紋或者安全Hash 編碼法。要實現Hash 編碼的解密必須使摘要的每個數字與解密數字一一對應。其中單向的含義為是密碼無法被解密。另外,計算機網絡信息技術還包括容災技術。其建立的目的為防止自然災害等物理因素造成的系統破壞,進一步確保數據存儲的安全和完整。
三、計算機網絡安全技術展望
首先:云安全技術是將成為重要發展模式。目前,云技術安全網絡防護已經初見成效。云技術的提出成為網絡安全研究的重點,解決了一定的網絡安全隱患,但其應用尚存在一定的難題。今后計算機安全管理發展方向就是探討如何更有效的發揮云技術的作用,為網絡安全保駕護航。云安全技術在于對數據的分析和運算能力高于以往的信息加密技術。將云端作為網絡安全防護的核心,避免了用戶不不安全操作導致的計算機隱患,從而保證計算機終端信息以及傳輸和接收信息的安全。其次:關于ids的入侵檢測。ids的入侵檢測出現的主要目的是彌補單純防火墻技術無法解決內部網病毒侵害的缺點ids技術主要對計算機易受侵害的關鍵點進行信息收集,并控制不良信息的非法入侵。此技術縮小了入侵檢測范圍,具有針對性強、效率高等特點。是對防火墻技術的最好補充,可以與防火墻技術同時使用,既節約了資源,有更好的實現了安全防護。與防火墻或其他防護技術不同,ids入侵檢測技術為主動防御,這樣對網絡病毒或不良侵害具有一定的預防作用,在網絡侵襲方面具有進步意義,因此是未來計算機網絡安全防護的主要發展方向,發展空間廣闊。
四、總結
總之,計算機網絡安全問題值得關注,其涉及面廣,對技術的要求較高。如何規范我國計算機網絡安全也成為用戶的集體要求。人為攻擊、計算機自身漏洞以及使用者不規則操作都會造成計算機安全問題。因此,應建立計算機使用規則,加強其使用規范程度,使使用者認識到正確使用計算機操作系統的重要性。另外,不斷的進行技術革新也是關鍵,對于技術人員來說,應不斷完善我國計算機網絡安全防護技術,使計算機能夠為人們的生活和工作提供更多的方便。
參考文獻:
[1]亓崇宇.計算機網絡安全分析研究[J].計算機光盤軟件與應用,2012(17)
第3篇:云安全服務的主要功能范文
隨著2014年6月《現代職業教育體系建設規劃(2014-2020年)》的頒布實施,現代職業教育得到進一步的發展,現代職業教育體系建設得到進一步的完善。社會的發展伴隨著科技的進步,各類人才的培養需要建立符合社會需求的模擬環境和課程設立。在信息技術高速發展的今天,許多教學活動日益依賴信息化技術,而教學計算機的配置在3-5年內就已經跟不上新技術的發展了。同時由于教師崗位的人動、教學軟件的頻繁升級、教學課件在辦公電腦和教室電腦間的不斷轉換、計算機故障的發生、計算機病毒對數據的破壞等因素,使管理員很難對其進行統一管理,且維護工作量大,也影響教育教學工作的有序推進。當前桌面虛擬化技術的不斷發展和大量應用,在工作連續性、安全性、個性化等方面得到巨大的價值體現,也極大提升了現行管理工作的效率,同時給職校計算機實訓室建設提供了新的方向。
1 云計算、云桌面和虛擬化
云計算(Cloud Computing)是一種模式,這種模式提供了一種通過網絡訪問可配置的計算資源共享池(資源包括網絡,服務器,存儲,應用軟件,服務)的方式,只需投入很少的管理工作,或與服務供應商進行很少的交互,這些資源就能夠被快速的提供給終端用戶。
云桌面是云計算的一種典型應用,其核心技術是桌面虛擬化,其原理是在服務器端為每個用戶準備專用的虛擬機并在其中部署用戶所需的操作系統和各種應用,然后通過桌面顯示協議將完整的虛擬機桌面交付給遠程的用戶使用,用戶可以通過瘦客戶端或者其他任何與網絡相連的設備來訪問跨平臺的應用程序,以及整個客戶桌面。所有虛擬機在數據中心進行統一的托管管理,同時用戶能夠獲得完整PC的使用體驗。其價值體現在快速部署、維護方便、信息安全、辦公便捷等方面。
桌面虛擬化使得桌面管理變得簡單,不用每臺終端單獨進行維護,每臺終端進行更新。終端數據集中存儲在數據中心,安全性相對傳統桌面應用要高很多。桌面虛擬化可以使得一個人擁有多個桌面環境,也可以把一個桌面環境供多人使用。其主要功能是將分散的桌面環境集中保存并管理起來,包括桌面環境的集中下發,集中更新,集中管理等。
2 云桌面技術的具體應用
利用強大的服務器集群資源,以精簡的瘦客戶機取代傳統PC電腦,通過虛擬化技術,實現前端桌面與后端操作系統的網絡訪問。
在后臺數據中心根據教學需求定制各種不同的桌面環境,為其分配獨立的硬件性能及軟件系統,利用云桌面技術可以將教師日常使用的桌面環境完美的遷移到任何一處終端上,使同一套教學終端設備能使用不同的教學環境,不必再為不同的專業、不斷更新的教學內容而建設不同的機房或電腦,而只需要根據需求定制不同的桌面環境來滿足應用即可,這樣就在很大程度上減少了學校計算機建設方面的持續投入。如果想繼續提高桌面環境的性能和使用效果,以及在不改變計算機基礎建設的情況下滿足不斷增長的教學任務對計算資源的需求,可以通過增加服務器及其硬件設備的方式來實現。
通過云桌面,系統維護及網絡管理人員在數據中心就能夠完成對終端設備的程序安裝、軟件維護、系統優化等工作,降低了人力成本。對教師來說,再也不必將精力分散在對教學環境的維護上,可以把全副精力投入到教學工作中。同時云桌面技術的應用,帶來了安全性能的全面提高,因為終端設備實質上只是起到一個交互顯示作用,所有的運算和存儲實際上都是在服務器端完成的,所以不用擔心病毒感染。
學校計算機機房通過部署云桌面,合理分配計算資源,為每個用戶定制桌面環境,保留每個用戶的資料、作業、實驗等數據,做到不管處于哪個機房,用戶使用的桌面環境都是和自己以往使用的一致,保障了教學任務的連續性。
3 目標、意義及效果
通過云桌面技術,集中管理桌面應用,實現對桌面應用的統一配置與管理,隨需交付使用,基本解決了在傳統PC上的管理、維護、安全等問題。通過一套集中、統一的管理平臺,高效實現對教學課件、教學桌面、教學終端的統一管理,在后臺就能解決所有的運維管理問題。提高了軟件部署效率和教學環境的交付,提高了網管人員的工作效率和老師的教學效果。師生只需通過瘦客端不需要進行操作培訓。
通過服務器端虛擬化軟件,為云桌面提供了超強的還原能力,能保留學生的學習環境和老師的教學環境,使得后期的課程學習、教學得以延續。同時由于云桌面不受空間位置的限制,在任何有網絡連接的地方都可以登錄數據中心的桌面系統,與傳統計算機一樣操作,真正實現了移動辦公和學習。并且由于數據集中存儲在后端服務器上,不依賴本地設備,能禁止使用USB等可移動存儲設備,加強了云桌面的安全性。
由于瘦客戶機具有體積小、功耗低、使用壽命長達8年的特性,極大減少了學校在計算機建設上的投資,降低了管理維護成本。
4 總結和展望
通過云桌面技術實現傳統桌面計算向服務器計算的轉移,且云桌面的使用效果依賴于服務器的性能,勢必使得學校必須投入一定數量的服務器和桌面虛擬化軟件。同時由于云桌面的運行完全通過網絡連接實現,為保障停電時整套平臺的正常運維,必須建設一套擁有足夠電力續航的供電系統。
但總體來看,虛擬化是未來的發展趨勢,隨著技術的不斷發展完善,硬件成本的不斷降低,云桌面技術將會有更廣闊的應用前景。
參考文獻
[1]IBM中國研究院虛擬化與云計算研究組.虛擬化與云計算[M].北京:電子工業出版社,2009(10).
第4篇:云安全服務的主要功能范文
【關鍵詞】主動防御;企業需求;正確部署
一、認清主動防御概念
(一)主動防御的由來
以病毒、木馬為主要攻擊方式的網絡安全事件日益嚴重,反病毒軟件多數情況下對新出現的病毒和木馬程序沒有識別能力,始終處于被動的位置,不能很好地起到攔截作用。這種情況持續了很多年,隨著病毒的變化越來越多,病毒產業鏈的活動越來越猖獗,這個現象變得更嚴重了,由此引發了用戶對殺毒軟件的不信任。
為了解決這些日益嚴重的新威脅,殺毒廠商實際在分兩個方向同時啟步。一方面采用傳統的防殺毒手段,如加強特征識別、加強引擎脫殼、加強樣本的收集、加快病毒特征的更新等等。時至今日,這仍然是最主要的,效率最高的應對方法。
但是不可避免的,新病毒的層出不窮,會導致內網擁堵、信息泄露等嚴重后果。另一方面,就是開發新的病毒識別技術。比如行為識別、注冊表保護、應用程序保護等等。
回頭看主動防御這個詞,最早應該來自網關或防火墻等網絡硬件系統。IDS(入侵檢測系統)和IPS(入侵防護系統),這些功能是在防火墻的基礎上開發的攻擊識別和攔截技術。因為,防火墻是兩個網絡之間的設備,用來控制兩個網絡之間的通信,相對自己所在的網絡來說,由外而內的訪問會根據防火墻的規則表,適用相應的訪問策略,策略包括允許、阻止或報告。通常,防火墻對由內而外的訪問,是允許的。那么,如果攻擊者在內網內存在,將會對整個網絡產生安全問題。
入侵檢測系統是為監測內網的非法訪問而開發的設備,根據入侵檢測識別庫的規則,判斷網絡中是否存在非法的訪問。管理員通過分析這些事件,來對網絡的安全狀況進行評估,再采取對應的防護策略。入侵檢測系統(IDS)一個很重要的問題,就是這類警告太多了,以致于管理員要從浩如煙海的日志中來發掘安全事件,不僅僅容易出錯,也增加了管理成本。IPS則相當于防火墻加入侵檢測,提高了性能,也減少了誤報。這些都是網關設備,這些設計理念,應用到桌面計算機系統,就被引伸為主動防御,即基于主機的入侵防護系統。
(二)主動防御的特征
用戶眼中的主動防御,應該是可以自動實現對未知威脅的攔截和清除,用戶不需要關注防御的具體細節。目的很簡單,就是我安裝了你,你為我負責,老老實實的活,別再煩我了。
安全軟件廠商也一直向這個方向努力,比如,殺毒軟件的主動更新,主動漏洞掃描和修復,以及對病毒的自動處理等。某種程度上說,就符合主動防御的特征。
(三)主動防御軟件的主要功能
目前,在很多被列為主動防御的軟件中,可實現大致三方面的功能:
1.應用程序層的防護,根據一定的規則,執行相應的應用程序。比如,某個應用程序執行時,可能會啟動其它程序,或插入其它程序中運行,就會觸發應用程序保護的規則。
2.注冊表的防護,根據規則,響應對注冊表的讀寫操作。這個比較好理解了,某程序執行后,會創建或訪問某些注冊表鍵,同樣,這些注冊表鍵是被HIPS軟件監視或保護的。
3.文件防護,對應用程序創建或訪問磁盤文件的防護,就是某程序運行后,會創建新的磁盤文件,或者需要訪問硬盤上某程序文件,從而觸發HIPS軟件的監視或保護功能。
(四)主動防御軟件采取的主要技術
1.啟發殺毒技術。啟發殺毒技術是目前比較成熟的對付未知病毒的技術,以NOD32,Dr.Web、邁克菲,Avira、VBA32等為代表。以NOD32為例,監控系統時候先用內置的特征碼庫判斷,如果判斷不出的就把程序納入NOD32內置的一個微型虛擬機內運行來根據他的行為進行危害判斷,發現沒有問題再放行。但目前由于系統開銷問題,所有的啟發殺毒引擎只能用簡化的虛擬機,這樣一些設計先進的病毒可以判斷出這還是虛擬機從而不發作,如果用更復雜的虛擬機,雖然可以發現更多的病毒,但是系統開銷又很大。
啟發引擎只能在速度和效率上找平衡,這也是當前所有啟發殺毒技術的無奈。還有一個問題是由于啟發殺毒技術為了加速判斷,經常需要運用一些規則來判斷,但是由于判斷的規則有些嚴厲有些寬松,嚴厲的經常有誤殺問題,寬松的也容易放過一些真正的病毒,所以啟發殺毒引擎在規則的嚴厲程度的選擇上是一個很大的問題。
2.行為殺毒技術。行為殺毒技術是這兩年熱炒的殺毒技術,如卡巴斯基、Sanrasoft公司的Rudra、Cyberhawk和Prevx1都以行為殺毒技術為核心來構建自己的產品,其他一些大牌主流廠商也開始跟進。行為殺毒技術很好解釋,就是程序在系統中實時監控所有的程序行為,發現他有危險的行為就立即制止并報警。但是由于目前Win系統過于龐大,各種應用軟件的編寫和運行方式千差萬別,對于殺毒軟件公司來說完全判斷出所有的安全行為和危險行為基本是不可能完成的任務。
二、內網主動防御產品遴選要素
在國內的主動防御產品市場啟動至今,已經走過了5年多的歷程,在這個過程中,內網安全的概念不斷完善和豐富,也在不斷的演進,但是,時至今日,依然缺乏統一的標準,并由于眾多小型內網主動防御安全產品廠商的進入,造成了市場的混亂。
與此相對應的是,各個高度信息化的單位,對內網主動防御安全產品的需求凸現,如何選擇一個合適的內網主動防御安全產品,已經成為眾多網絡管理員和CIO的棘手問題。
專家指出,CIO和網管人員在選擇內網主動防御安全產品的時候,必須從需求、性能和服務三個方面,進行整體內網安全體系的設計和規劃,才能夠確保成功建立內網安全管理系統,確保內網安全投資的效果。
(一)內網安全需求分析是基礎
目前企業內部網絡所面臨的安全威脅主要包括:
1.來自網絡外部的惡意攻擊
病毒、木馬、黑客等惡意程序在互連網上的擴散,對一個既定目標發起的攻擊變得越來越容易,另外,商業競爭也在導致更多的惡意攻擊、泄密事件的產生。
2.網絡病毒的襲擊
當今的病毒的傳播能力與感染能力的快速提升,同時其破壞能力也在快速增強,所造成的損失也在以幾何極數上升。如何防范各種類型的病毒,特別是未知病毒與木馬,是任何一個企業網絡都不得不面對一個安全挑戰。
3.來自網絡內部的攻擊
在所有的網絡攻擊事件當中,來自企業內部的攻擊占有相當大的比例,這包括了懷有惡意的人為行為,以及操作人員的操作失誤等、內部網絡的惡意程序利用系統漏洞進行的攻擊等。
(二)性能指標是選型關鍵
專家認為,在進行具體產品選型之前,必須仔細考慮產品的性能指標是否符合單位的需要。內網主動防御安全產品的性能,主要體現在安全性、維護性、兼容性和擴展性四個方面。
安全性是內網主動防御安全產品首先需要考核的要點。不同的內網主動防御安全產品,依據其設計理念不同,其安全性區別很大。
維護性是選擇內網主動防御安全產品的時候CIO要考慮的另外一個問題,因為內網主動防御安全產品跟傳統安全產品最大的區別在于其基于終端控制技術,要盡可能選擇跟上層應用無關的產品,這樣可以確保在應用產品升級和增加新應用等信息化建設的時候內網安全體系依然可以支持。
兼容性是內網主動防御安全產品發展初期曾經出現的致命問題,在兼容性的考慮上,應該盡可能選擇通過采用系統底層技術和正常系統機制實現的內網主動防御安全產品,而盡量避免選擇鉤子技術(如剪貼板攔截和DLL替換)和非正常系統技術實現的內網主動防御安全產品,這樣可以確保系統的兼容性。
擴展性是在內網主動防御安全產品選型中容易受到忽視的問題,事實上,內網安全是一個完整的體系,只有進行整體的規劃,才能達到最大的效果,雖然一個單位在初期可能僅具有簡單的內網安全需求,但應該從長遠著想,選擇擴展性能良好,模塊化程度高的內網主動防御安全產品。很難想象,為了達到監控審計、數據保密和授權管理的目標,在客戶端安裝三個不同的內網主動防御安全產品,使用三個不同的服務器進行管理,這無論對管理還是系統穩定性,都會造成很大的不便和隱患。
(三)服務能力是內網安全系統實施成敗的關鍵
內網安全系統的實施跟其它安全系統的重要區別在于,內網安全體系建立的過程,是一個咨詢、實施和改進的過程,涉及到對單位管理制度、網絡拓撲、應用系統和使用習慣等調研、協調和設計的過程,要求內網安全廠商和供應商能夠提供高質量和持續的服務。
首先要考查的是內網安全廠商是否是專注于內網安全行業,只有專注的廠商,才可能以內網主動防御安全產品為其企業生命線,提供高質量的服務。其次要考查內網安全廠商的核心隊伍結構,內網主動防御安全產品是一個技術含量相當高的產品,其隊伍的專業背景和組成決定了該產品的優越性。再次要考查內網主動防御安全產品的本地化服務能力,是否具有本地化的服務提供商,確保能夠為本單位提供及時有效的服務。
三、正確部署主動防御安全產品
(一)建立智能化的終端聯動防護體系
各終端要能夠依據程序行為自主分析判斷未知病毒和新木馬,發現有網絡內有惡意行為立即報警阻斷,對未知病毒能夠自主識別、明確報出、自動清除,無需人工參與操作,能解決傳統殺毒軟件依賴特征碼查殺,對于病毒庫中沒有的未知木馬和新病毒束手無策的弊端。
當網絡內有某臺終端攔截到未知病毒后,能夠自動提取其特征碼并上報到管理中心,管理中心自動下發至全網終端,從而實現了全網的安全防范。
(二)實現全網安全管理
管理員要在管理控制臺實現對全網各終端的安全管理,并且可實時查看終端的安全狀態,執行全網升級、安全策略的制定和下發等操作,還需要針對某一終端查看其系統信息、自啟動信息、可疑程序檢測等,方便管理員了解網絡安全狀況和及時的調整安全策略,以便當網絡內有重大安全事件發生時,管理員可快速定位網絡內的安全薄弱點。
(三)多重的升級保障
需采用雙連接通訊方式,實時保證終端與系統中心通訊的完整性。在網絡與互聯網隔離的情況下,用戶可采用離線升級包的方式進行升級。
對于使用筆記本電腦的用戶,管理員還可為其分配移動客戶端號,當離開用戶網絡時,可直接連接軟件開發網站進行升級,以此確保用戶軟件升級的穩定性。主動防御體系建立后,網絡安全性和穩定性的提升加快企業信息化進程,以往被困擾著的病毒傳播和爆發得到有效的遏制,簡化管理員的維護工作。
主動防御軟件的監視和保護功能,向主動防御目標更進了一步,但還不是完全實現真正地“主動防御”。因為,在使用這類軟件時,會大量頻繁觸發主動防御軟件的監視功能,這些功能,尚不能自動進行正確的處理,對這些警報的處理,需要這臺電腦的最終用戶作出正確的選擇,這就是困惑所在。目前來說,主動防御軟件,盡管可以一定程度上起到提升安全性的作用,但用起來,太麻煩了。
它真的是普通用戶需要的嗎?普通電腦用戶能夠做出正確的處置嗎?這些都是安全軟件廠商進一步需要完善的功能。同時,它還有另一個困惑:如果我能夠順利而熟練的使用主動防御的軟件,我可能只需要在其它方面注意,就可以更容易的避免受到病毒或木馬的入侵。
電力內網主動防御,目前還遠未實現真正的“主動防御”。只能說,離這個目標近了一些。我們需要完善相應安全防護整體大體系建設及云安全技術的完善和發展,讓我們一起努力。打造安全的電力內網環境。
參考文獻
[1]黃鵬.局域網計算機監控系統的設計和實現[D].華中科技大學,2005.
[2]劉可.基于云的安全防御端系統研究與實現[J].計算機安全,2011(07).
[3]王建.局域網網絡安全綜合防御體系構建與分析[J].電腦知識與技術,2010(33).
[4]肖堅.淺析入侵防御系統[J].電腦知識與技術,2011 (14).
[5]楊金龍.聯動式網絡入侵檢測系統的研究和實現[J].黑龍江科技信息,2011(16).