当前我国网络信息安全的形势严峻,监测数据表明:网络病毒在成熟期呈现出新的特点,并呈爆炸式增长,其发展也呈现出新的动向。因此需要不断地研发推出更加先进的计算机反病毒技术,构建城域网的安全架构,加强无线接入安全防护,大型企业应实行安全分级管理,并出台地方法规加强信息安全保护,实行信息安全监控,做好网络信息安全保障工作。
网络安全形势严峻
病毒爆炸式增长
根据信息安全厂商金山发布的报告,在2008年上半年,电脑病毒、木马的数量呈爆炸式增长。上半年金山毒霸共截获新增病毒、木马1242244个,较去年全年病毒、木马总数增长了338%,其总数已经超过了近五年的病毒总数量的总和。其中下载器类病毒占上半年新增病毒、木马总数的20.3%,多达252175种。作为近年来新出现的一种病毒类型,下载器类病毒与木马不同,一般本身没有盗取用户信息的行为,而是通过杀毒软件,然后再从指定的地址下载大量其他病毒、木马到用户电脑,进而通过其他病毒、木马实现其非法目的。从上半年10大病毒可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒,其程序的主要功能是破坏电脑的“保安”系统,利用各种手段破坏杀毒软件,然后用另一个主要功能:疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本数量。下载器为盗号木马打开“大门”,盗号木马入侵用户电脑进行各种非法操作,下载器成了病毒流程化入侵的第一步;一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,危害非常严重。
病毒发展新动向
根据对大量病毒样本的分析,综合病毒的破坏能力、传播手段、传播目标和范围以及对目前互联网的安全形势与应用环境的判断,我们可以看出当前病毒发展的新动向:一是综合利用多种编程新技术的病毒日益成为主流;二是ARP病毒成为局域网最大的祸害;三是网游病毒大行其道,逐利成此类病毒唯一目标;四是病毒会全面进入驱动级;五是奥运成为病毒借机传播新目标。病毒作者通过以上形式传播病毒,主要目标还是瞄准经济利益。一是用户电脑染毒后,染毒电脑中所有的有价值信息,包括网络游戏账号密码、网上银行账号、网上证券交易账号密码都面临着被盗的威胁,对此用户必须高度重视。
从开始出线到现在为止,网络病毒伴随着因特网的发展经历了转型期、成长期、成熟期。从脚本语言病毒最早的充满错误、没有任何隐藏措施发展到目前的嵌入式结合,病毒正变得越来越复杂,越来越隐蔽,破坏性也越来越大,造成的损失也是传统病毒所不能比的。从近期来看,网络病毒呈现出如下趋势:网络病毒技术不断突破、网络上竞争程序传播方式趋于多样、网络木马数量迅速增长;病毒变种出现快、更新快、自我保护能力强,将成为危害的新特点;混合型病毒成为今后的病毒发展的主要趋势。
三大措施加强网络信息安全
面对目前我国计算机网络安全的严峻形势,需要不断地研发推出更加先进的计算机反病毒技术,才能应对和超越计算机病毒的发展,为电脑和网络用户提供切实的安全保障。电脑用户要增强安全意识,多学习、了解基本的计算机和网络安全防范知识与技术,做到最基本的不登录与点击不明网站和链接,每日升级杀毒软件病毒库和修复操作系统漏洞,尽量使用最新版本的应用软件等安全防范措施。
构建城域网安全架构
IP城域网的网络架构一般分为三个层次:网络核心层、网络汇聚层、宽带接入层,网络的各个层次承担了不同的功能,也面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全以及用户访问的控制;接入层网络主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。而城域网所承载的公众业务有CAN用户、通过PPPoE方式接入的宽带上网业务、基于DHCP Opoon82方式的新兴业务(如IPTV),这些业务对安全方面的要求各不相同。LAN业务主要的安全问题是用户隔离和用户接入控制;PPPoE宽带上网主要是用户账号盗用问题;IPTV业务的主要问题是DHCP用户认证方式的安全性。
城域网网络安全架构包括安全模型、核心层安全、汇聚层安全、接入层安全。宽带城域网包括基础承载网络和运营支撑平台两部分。城域承载网是城域网业务接入、汇聚交换的物理核心网。它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。对于不同的网络层次应采用不同的安全策略,来控制网络中的安全风险。对于城域网运营支撑平台,采用分区域的安全模型,把支撑平台划分成三个区域:信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络,通常采用防火墙等设备与电信业务承载网隔离,包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行的数据交互的平台,包括电信运营商提供的各种业务平台,如Web服务器等;非信任域是运营商面对客户的基础网络,它直接提供用户的接入和业务,同时也是Internet的一部分,包括基础用户接入、数据更换、媒体网关等设备,是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础,在城域网中起着至关重要的作用,作为安全模型中的非信任域,需要重点考虑。
核心层安全架构必须采用全互联网的网络结构,以充分保证网络的连通性,提供必须的网络冗余功能。汇聚层安全要做到:用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击;支持访问控制列表(ACL),包括在虚拟路由器中创造ACL列表、采用多种过滤规则借多层次对目标网络的保护以及禁止部分用户访问或者有选择地屏蔽网络服务;实现对用户带宽的控制;安全日志管理等。接入层安全设备的安全平面包括:保证接入侧用户相互隔离、保证接入的安全性,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址与MAC地址、卡号绑定、能够准确定位用户,包括端口或MAC地址,并可提供追查恶意用户的手段;在LAN接入方面采用一些端口检测的措施,防止用户二层环路的发生;采用Port Security 措施,防止用户的CAM攻击和ARP 攻击等。
在支撑平台的分域管理方面,首先因为信任域是城域安全运营的核心所在,必须采用最严密的安全措施:部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;部署网络入侵监测系统(IDS);对核心服务实施监控,对网络攻击和病毒及时报警;建立网管系统和日志系统;对重要的主机系统应采用双机热备份方式,对重要的应用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。隔离域则是城域网对外业务服务的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁最大。可采取如下的安全手段:部署防火墙,制定安全访问策略,特别是拒绝服务攻击;及时修补服务器的安全漏洞,关闭不必要的网络服务等;系统备份和日志系统等。非信任域网络安全的主要威胁来自各种攻击和病毒,对非信任域内的安全措施主要是采用一些动态病毒监测、镜像系统备份等手段,防止病毒对系统造成危害;必须采用一些木马动态发现、查杀的工具软件来防止系统漏洞;同时也可以采用一些IDS系统来防止各种DDOS的攻击,保证系统的可用性。
加强无线接入安全防护
随着WLAN技术在城域网接入环节的兴起,关于无线接入的用户隔离技术以及对WLAN接入的网络安全防护,将成为城域网中的重要发展方向。现在可采用AP隔离、AP与用户IP/MAC地址绑定,WEP加密技术、WPA接入保护、Portal+Radius认证等技术手段来提升WLAN网络的安全特性。随着僵尸网络的产生和网络攻击行为的复杂化,未来网络中的黑客攻击将成为越来越突出的安全问题。未来的黑客攻击都是通过攻击平台软件来进行的,这些平台软件集成了多种攻击手段,仅采用单一的技术手段不能防御所有类型的攻击。
为了抵御日趋复杂的攻击行为,必须对城域网的防攻击能力有一个完整的规划,首先要建立一个密网系统,利用该系统可以从网络中获取实际的病毒数据和攻击行为样本,通过分析可以及时掌握网络中存在僵尸系统和其指令集,并可以在网络防火墙上指定有针对性的防御策略,其次要采用一些集成的攻击防御平台,在网络设备和运营支撑平台上采用多种防御手段相结合的策略,抵御网络上的攻击行为。
实施信息安全分级管理
关系国计民生的大型国有企业,一般企业网络规模庞大,结构复杂,每天都有大量业务数据通过网络传输和处理,一旦发生信息泄露,后果十分严重,信息安全管理十分迫切。对这种大企业采用分级管理、多种防护的处理架构,即在公司总部网络中心安装杀毒软件网络版的一级系统中心,负责管理整个企业网络中的所有二级系统中心;分散在各地的二级系统中心,负责管理所有本地计算机。在每个计算机上都安装杀毒软件网络版客户端或服务器端,用以保证所有计算机都时刻运行实时监控程序,同时由一级系统中心负责整个企业网络内部的软件升级工作。该网络版杀毒软件能够根据用户要求轻松制定和部署安全策略,按照不同的分支机构的安全和网络级别设定不同的安全策略,便于网络管理员进行管理。
对于管理层次众多的国有大型企业,对于地方的分支机构和主要业务部门的安全级别也应该根据其重要性设定不同级别,这样可以减少人力和资财消防。采用分级管理可以使问题得到妥善解决,有效地提高工作效率,还可以降低风险,一旦某层级的网络出现问题,便于该层级的网络管理员在第一时间作出反应,使问题在第一时间得到解决。它将信息安全的管理权限分为三个级别:超级管理员、操作管理员和审计管理员。超级管理员具有对管辖范围内客户端和下级中心的所有操作权限;操作管理员仅能管理超级管理员为其分配的客户端;审计管理员支持查看管辖范围内客户端的状态。在这种分级管理模式下,各级管理员的权限设计和职能分工非常明确,这种模式使信息安全管理员的工作变得明确而轻松。
出台法规加强信息安全保护
加强网络与信息安全管理,要充分利用法律、行政和技术手段,依法实施管理;要分层次、科学规划,形成有效的组织管理体系;要跟管理体制相匹配;要在安全防范、发现与预警以及应急处理上花大力气;要重视创新型人才的培养;要建设网络信息安全监控管理平台,满足各层次和各相关部门网络与信息安全管理的需求。
不法分子利用网络进行违法活动,破坏网络的安全稳定,给不少网民造成账号被盗、计算机被他人进入、资料泄露等困扰。各地应出台地方法规,对危害计算机及网络安全的行为进行打击,对保护互联网用户的合法权益,对信息系统安全等级保护、应急处理、打击违法行为等进行全面规定,这对信息系统保护将产生重要的推动作用。这类《条例》应明确规定:
强化公民个人资料保护,公开他人信息将受罚。发生重大突发事件,在危及国家安全、公共安全及社会稳定的紧急情况下,公安机关可以暂停互联网;窃取他人账号和密码也要有明确的处罚。
强化对信息系统的安全保护。根据计算机信息系统在国家安全、经济建设、社会生活中的重要程序,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程序等因素,将信息系统分为五级,要规定信息系统的分级、备案、测评、检查、整改以及各部门分工内容,要求第二级以上计算机信息系统建设完成后,运营、使用单位或者主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。在信息系统的建设过程中,在出现信息系统受到攻击或病毒感染等重大事件时,使用单位要及时报警。公安、保密、密码管理等部门各司其职,加强安全管理和监察检查。
紧急情况下可断网。要规定计算机信息系统运营、使用单位的报告义务、预案制度义务、协作义务以及公安机关的应急处理职权。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件和危及国家安全、公共安全及社会稳定的紧急情况下,可以采取24小时内暂时停机、暂停联网、备份数据等措施。
公开他人资料要受罚。要明文禁止非法占有、使用、窃取计算机信息系统资源,窃取、骗取、夺取计算机信息系统控制权,擅自向第三方公开他人电子邮箱地址和其他个人信息资料,窃取他人账号和密码,或者擅自向第三方公开他人账号和密码,假冒他人名义发送信息,故意制作、传播恶意软件等破坏性程序,并规定明确的处罚,强化了对公民个人资料的保护,规定用户资料保密制度。
要防止网上突出问题。要规定电子公告、个人主页等信息服务的单位应当设立信息审查员,使违反国家规定、危害社会主义精神文明建设的有害信息不能上网,最大限度地减少网上有害信息,为青少年提供一个健康文明的网络环境。对制作、传播恶意程序的处罚、对病毒的防治、远程控制、密码猜解、漏洞检测、信息群发等产品和工具实行备案,加强管制,最大限度地降低这些技术被不法分子用于网络攻击的可能。
实行信息安全监控
随着在中国互联网进入宽带发展快车道,网络与信息安全问题显得越来越突出,尤其是淫秽、色情、反动等信息的快速传播,网络违法犯罪事件的增多,违背建设和谐社会的主旋律。因此信息安全监控的建设对建设和谐社会、和谐网络刻不容缓。
目前信息内容监控解决方案有客户端软件、爬虫和分光三种模式,其中分光模式包括全部分光和智能分光两种,这些方案适合不同的应用环境。
客户端软件模式,即在服务器主机中安装统一的客户端软件,通过客户端软件实时监控主机的内容,及时发现有害的信息内容。该方案可以实现网站主动及时发现自身的有害信息并及时上报和处理的功能。由于完全是软件模式,所以部署简单、投入小,根据对部分软件测试的结果分析,基本上对服务器的性能影响十分有限。
爬虫模式,即根据预先设置的URL列表(这些URL一般为虚拟主机URL)和关键字,采用爬虫软件按网页上的超级链接进行网页搜索,实现信息监控。其特点是软件模式,部署简单,投入小;软件本身的搜索模式会导致一些页面爬不到,造成一定疏漏;对于一些只能注册用户访问的页面不一定能爬到;不能实时对访问非法网页的TCP链路进行控制。
全部分光模式,即将关注的流量分光出来,针对流量进行分析和监控。其整体架构包括数据采集、复合探针、选光、后端平台等部分。其特点是硬件投入,部署较复杂,成本较高;理论上可以对覆盖范围内的信息安全进行100%过滤和监控,不存在一些页面要注册而难以监控的问题,同时可以对流量进行事后复原,可以实现对TCP链路的实时控制。
智能分光模式通过对全部分光模式进行优化,引入智能分光器,对链路进行N选1后再进行信息内容监控,这样可有效地降低硬件投入和成本,同时通过优化和部署能很好地实现实时和准确监控。目前市场上的智能分选光设备,开关轮询的时间可以通过软件设定,根据不同的网络结构和需求,选择不同类型的智能分光设备和不同设置来满足信息安全监控的需求。智能分光设备的逐渐商用且有效地运用到信息安全监控领域,将大大降低信息安全监控系统的投资,是一个成本适中、性能优越的可行方案。企业可以根据网络结构和环境的不同,优化智能分光器的部署,并通过调整参数来实现实时可行的信息安全监控。
