网络安全与管理的知识介绍
今天学习啦小编就要跟大家讲解下网络安全与管理的相关知识~那么对此感兴趣的网友可以多来了解了解下。下面就是具体内容!!!
网络安全与管理的知识一:
一、绪论――安全管理的发展趋势和现状
1.网络安全现状。计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2.现有网络安全技术。计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,如下示意说明了这些方面的网络安全问题。
问题类型:问题点,问题描述。
协议设计:安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻甚至不列入考虑范围。
其他基础协议问题:架构在其他不稳固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题:设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误:协议设计错误,导致系统服务容易失效或遭受攻击。
软件设计:设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误:程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作:操作失误,操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护:默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛伊木马等的攻击。
未修补系统:软件和操作系统的各种补丁程序没有及时修复。
内部安全问题:对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上面所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题。
二、网络安全面临的主要问题
1.网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全措施加以防范,完全处于被动挨打的位置。
2.组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐患,从而失去了防御攻击的先机。
3.组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击者以可乘之机。
4.组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5.网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能做出积极、有序和有效的反应。
三、网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1.安全需求分析。“知已知彼,百战不殆”。只有明了自己的安全需求才能有针对性地构建适合自己的安全体系结构,从而有效地保证网络系统的安全。
2.安全风险管理。安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3.制定安全策略。根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4.定期安全审核。安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5.外部支持。计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6.计算机网络安全管理。安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
四、总结
计算机网络的安全问题越来越受到人们的重视,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
网络安全与管理的知识二:
1目前网络安全建设存在的问题
1.1忽视对网络安全技术人员的培训
很多单位对网络和安全设备等有形资产舍得投资,但对网络安全技术人员的培训等方面的投资却不够重视。好的设备需要掌握相关技能的人员操作管理才能充分发挥其功能,由缺乏技能的人员管理安全设备常常并不能起到安全保护作用。配置不当的网络和安全设备本身也有可能成为攻击对象,例如使用telnet、http等非安全方式登录管理设备,未限制或未关闭设备本身的FINGER 服务、tftp 服务等。
1.2对非信息安全部门的员工教育不足
现在很多网络攻击行为常常使用社会工程学等非技术方法,而且这种攻击行为越来越多。社会工程学是利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当的一些方法、一门艺术与学问。 Gartner集团信息安全与风险研究主任Rich Mogull认为:“社会工程学是未来10年最大的安全风险,许多破坏力最大的行为是由于社会工程学而不是黑客或破坏行为造成的。”
这种攻击行为本身并不需要太多的计算机网络技术,所以单纯靠提高网络安全技术人员的技术水平无法解决此类安全问题。这需要加强对员工的网络安全教育,提高所有员工的网络安全意识,使以符合网络安全规则的方式做事成为员工的习惯。
1.2.1网络安全管理制度建设缺乏持续性
网络安全管理是一个动态的系统工程。网络安全管理制度需要根据网络安全技术的发展、业务系统的发展而更新改进。网络安全管理制度既体现网络安全管理者对团体成员的行为标准的要求,又建立了一个保证安全策略及时下发实施的上传下达的通道,保证重大紧急事件的及时处理。例如安全事故处理流程既要规定各级管理人员能够自行处理的事件的级别,又要规定事故汇报请示流程,保证领导层能够掌握重要安全事件处理进度,及时做出决策。
1.2.2在网络安全评估量化方面存在困难
现在存在很多以量化指标衡量网络系统的安全程度的方法,例如以网络系统中各个分量的重要程度、被入侵的概率等作为权重来计算整个系统的安全量化指标,或者以系统从受到攻击到入侵成功所需时间来衡量其安全程度。这些方法对于网络安全系统的建设和评估具有重要指导意义,但是由于现实中网络安全涉及的不可控因素太多,这些衡量方法的使用效果并不总是令人满意。网络安全服从木桶理论,一个系统中的安全短板决定着这个系统整体的安全程度。不当的安全评估量化方法无法准确评估一个系统的安全程度,无法给领导层和网络安全管理人员以正确的回馈。
2网络安全建设建议
2.1结合本单位业务细化网络安全管理
首先,根据业务特点和安全要求,对整体网络进行物理和逻辑安全分区,在安全区域边界设置访问控制措施,防止越权访问资源。对于不同安全需求,可以采用单独组网、网闸隔离、防火墙等安全设备隔离、静态和动态VLAN逻辑隔离和ACL访问控制等。在服务器等重要区域,可以增设IPS或IDS、WEB防护设备、网页防篡改系统等增强保护力度。
第二,加强对IP地址和接入端口的管理。在条件允许的情况下,对于平时位置和配置固定的服务器和PC机,采用用户名/密码/MAC地址结合网络接入设备端口的身份验证策略,强制用户使用分配的IP地址和接入端口,不允许其随意修改。对于暂时不用的交换机端口应该予以关闭,避免外来计算机随意接入内部网络。
第三,网络和安全管理人员的管理权限、管理范围必须界定清楚,网络和安全设备的操作日志必须保存好。网络和安全管理人员的管理权限和范围根据各人的职责分工、管理能力进行划分,保证每位管理人员必要的操作管理权限,同时防止设备管理混乱。网络和安全设备操作日志应详细记录每个操作人员的操作,需要时应该可以追踪到所有操作人员的操作过程。
第四,以统一的安全管理策略利用安全设备和安全软件进行监管,减少人为干扰产生的例外情况。安全策略部署中的例外情况日后往往会成为安全隐患,例如,一些人员以各种借口拒绝在其工作用机上实施安全策略,或者需要开通特殊网络服务等。对于无法避免的例外情况应该指定专人负责记录、提醒、监督相关管理人员及时更改和恢复策略等。 2.2合理安排岗位职责
在一个大中型局域网中,网络管理人员不但需要保证诸如重要服务器、存储设备、门户网站等的网络畅通,而且常常需要担负IP地址规划、员工机器网络故障处理、网络系统升级改造、设备维保管理、机房环境管理、最新网络和安全技术跟进、新型网络和安全设备测试等诸多事项,所以一般无法做到单人单岗,人员的职责划分难免出现重叠区域。对于这种情况,应该按照重要程度对各岗位职责进行等级划分,把关系全局、实时性要求高的应用系统、数据存储系统等关键网络应用系统的网络安全保障作为关键工作,指定2~3人重点负责,并且把关键工作的维护人员之间的分工合作方式以制度的形式确定下来。
2.3管理层的重视和支持
首先,网络安全问题的暴露都具有滞后性,安全管理缺位造成的影响短期内并不一定能够显现出来,但是长期持续下去必然导致安全问题的发生。领导层应该对网络安全建设常抓不懈,并以制度的方式予以保证。
其次,网络安全基本数据、各部门对安全的需求等基础信息收集工作的开展常需要管理层的支持和协调,网络和安全管理策略的实施更是离不开管理层支持。目前网络安全很多威胁不是来自外部,而是缘自内部人员对网络安全知识的缺乏和对安全制度、措施的漠视,例如,个别内部机器不按要求安装主机安全软件、私自下载安装来源不明软件等。所以应该指定领导专门负责网络安全的实施和监督,配合网络安全部门技术人员完成安全措施的部署落实,做好网络安全的定期检查工作。
第三,大部分企事业单位里安全投资是属于运营成本,领导层难以期望安全投资会直接带来利润。ITIL(Information Technology Infrastructure Library,信息技术基础架构库)提供了对IT资源进行财务计量的方法,在企事业内部把IT部门为其它部门提供的服务进行量化,以便更好地体现IT部门的经济效益。但是从企事业单位的整体来看,对于大部分企事业单位,内部网络安全管理的投入仍然划归为基础运营成本。尽管如此,网络安全管理的重要性不应被忽视。
2.4强化报警和应急机制建设
美国ISS公司提出的动态安全模型P2DR (Policy,Protection,Detection,Response)认为,安全就是及时检测和响应,就是及时检测和恢复。对于需要保护的目标系统,保证其安全就是要满足防护时间大于检测时间加上响应时间,在入侵者危害安全目标之前就能被检测到并及时处理,安全目标系统的暴露时间越小系统就越安全。要提高系统安全程度,就要提高系统的防护时间,减少攻击检测时间,提高应急响应速度。
