浅析电力内网主动防御体系
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅析电力内网主动防御体系范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】在国内的主动防御产品市场启动至今,已经走过了5年多的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网主动防御安全产品厂商的进入,造成了市场的混乱。与此相对应的是,各个高度信息化的单位,对内网主动防御安全产品的需求凸现,如何选择一个合适的内网主动防御安全产品,已经成为众多网络管理员和CIO的棘手问题。专家指出,CIO和网管人员在选择内网主动防御安全产品的时候,必须从需求、性能和服务三个方面,进行整体内网安全体系的设计和规划,才能够确保成功建立内网安全管理系统,确保内网安全投资的效果。
【关键词】主动防御;企业需求;正确部署
一、认清主动防御概念
(一)主动防御的由来
以病毒、木马为主要攻击方式的网络安全事件日益严重,反病毒软件多数情况下对新出现的病毒和木马程序没有识别能力,始终处于被动的位置,不能很好地起到拦截作用。这种情况持续了很多年,随着病毒的变化越来越多,病毒产业链的活动越来越猖獗,这个现象变得更严重了,由此引发了用户对杀毒软件的不信任。
为了解决这些日益严重的新威胁,杀毒厂商实际在分两个方向同时启步。一方面采用传统的防杀毒手段,如加强特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日,这仍然是最主要的,效率最高的应对方法。
但是不可避免的,新病毒的层出不穷,会导致内网拥堵、信息泄露等严重后果。另一方面,就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。
回头看主动防御这个词,最早应该来自网关或防火墙等网络硬件系统。IDS(入侵检测系统)和IPS(入侵防护系统),这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为,防火墙是两个网络之间的设备,用来控制两个网络之间的通信,相对自己所在的网络来说,由外而内的访问会根据防火墙的规则表,适用相应的访问策略,策略包括允许、阻止或报告。通常,防火墙对由内而外的访问,是允许的。那么,如果攻击者在内网内存在,将会对整个网络产生安全问题。
入侵检测系统是为监测内网的非法访问而开发的设备,根据入侵检测识别库的规则,判断网络中是否存在非法的访问。管理员通过分析这些事件,来对网络的安全状况进行评估,再采取对应的防护策略。入侵检测系统(IDS)一个很重要的问题,就是这类警告太多了,以致于管理员要从浩如烟海的日志中来发掘安全事件,不仅仅容易出错,也增加了管理成本。IPS则相当于防火墙加入侵检测,提高了性能,也减少了误报。这些都是网关设备,这些设计理念,应用到桌面计算机系统,就被引伸为主动防御,即基于主机的入侵防护系统。
(二)主动防御的特征
用户眼中的主动防御,应该是可以自动实现对未知威胁的拦截和清除,用户不需要关注防御的具体细节。目的很简单,就是我安装了你,你为我负责,老老实实的活,别再烦我了。
安全软件厂商也一直向这个方向努力,比如,杀毒软件的主动更新,主动漏洞扫描和修复,以及对病毒的自动处理等。某种程度上说,就符合主动防御的特征。
(三)主动防御软件的主要功能
目前,在很多被列为主动防御的软件中,可实现大致三方面的功能:
1.应用程序层的防护,根据一定的规则,执行相应的应用程序。比如,某个应用程序执行时,可能会启动其它程序,或插入其它程序中运行,就会触发应用程序保护的规则。
2.注册表的防护,根据规则,响应对注册表的读写操作。这个比较好理解了,某程序执行后,会创建或访问某些注册表键,同样,这些注册表键是被HIPS软件监视或保护的。
3.文件防护,对应用程序创建或访问磁盘文件的防护,就是某程序运行后,会创建新的磁盘文件,或者需要访问硬盘上某程序文件,从而触发HIPS软件的监视或保护功能。
(四)主动防御软件采取的主要技术
1.启发杀毒技术。启发杀毒技术是目前比较成熟的对付未知病毒的技术,以NOD32,Dr.Web、迈克菲,Avira、VBA32等为代表。以NOD32为例,监控系统时候先用内置的特征码库判断,如果判断不出的就把程序纳入NOD32内置的一个微型虚拟机内运行来根据他的行为进行危害判断,发现没有问题再放行。但目前由于系统开销问题,所有的启发杀毒引擎只能用简化的虚拟机,这样一些设计先进的病毒可以判断出这还是虚拟机从而不发作,如果用更复杂的虚拟机,虽然可以发现更多的病毒,但是系统开销又很大。
启发引擎只能在速度和效率上找平衡,这也是当前所有启发杀毒技术的无奈。还有一个问题是由于启发杀毒技术为了加速判断,经常需要运用一些规则来判断,但是由于判断的规则有些严厉有些宽松,严厉的经常有误杀问题,宽松的也容易放过一些真正的病毒,所以启发杀毒引擎在规则的严厉程度的选择上是一个很大的问题。
2.行为杀毒技术。行为杀毒技术是这两年热炒的杀毒技术,如卡巴斯基、Sanrasoft公司的Rudra、Cyberhawk和Prevx1都以行为杀毒技术为核心来构建自己的产品,其他一些大牌主流厂商也开始跟进。行为杀毒技术很好解释,就是程序在系统中实时监控所有的程序行为,发现他有危险的行为就立即制止并报警。但是由于目前Win系统过于庞大,各种应用软件的编写和运行方式千差万别,对于杀毒软件公司来说完全判断出所有的安全行为和危险行为基本是不可能完成的任务。
二、内网主动防御产品遴选要素
在国内的主动防御产品市场启动至今,已经走过了5年多的历程,在这个过程中,内网安全的概念不断完善和丰富,也在不断的演进,但是,时至今日,依然缺乏统一的标准,并由于众多小型内网主动防御安全产品厂商的进入,造成了市场的混乱。
与此相对应的是,各个高度信息化的单位,对内网主动防御安全产品的需求凸现,如何选择一个合适的内网主动防御安全产品,已经成为众多网络管理员和CIO的棘手问题。
专家指出,CIO和网管人员在选择内网主动防御安全产品的时候,必须从需求、性能和服务三个方面,进行整体内网安全体系的设计和规划,才能够确保成功建立内网安全管理系统,确保内网安全投资的效果。
(一)内网安全需求分析是基础
目前企业内部网络所面临的安全威胁主要包括:
1.来自网络外部的恶意攻击
病毒、木马、黑客等恶意程序在互连网上的扩散,对一个既定目标发起的攻击变得越来越容易,另外,商业竞争也在导致更多的恶意攻击、泄密事件的产生。
2.网络病毒的袭击
当今的病毒的传播能力与感染能力的快速提升,同时其破坏能力也在快速增强,所造成的损失也在以几何极数上升。如何防范各种类型的病毒,特别是未知病毒与木马,是任何一个企业网络都不得不面对一个安全挑战。
3.来自网络内部的攻击
在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的人为行为,以及操作人员的操作失误等、内部网络的恶意程序利用系统漏洞进行的攻击等。
(二)性能指标是选型关键
专家认为,在进行具体产品选型之前,必须仔细考虑产品的性能指标是否符合单位的需要。内网主动防御安全产品的性能,主要体现在安全性、维护性、兼容性和扩展性四个方面。
安全性是内网主动防御安全产品首先需要考核的要点。不同的内网主动防御安全产品,依据其设计理念不同,其安全性区别很大。
维护性是选择内网主动防御安全产品的时候CIO要考虑的另外一个问题,因为内网主动防御安全产品跟传统安全产品最大的区别在于其基于终端控制技术,要尽可能选择跟上层应用无关的产品,这样可以确保在应用产品升级和增加新应用等信息化建设的时候内网安全体系依然可以支持。
兼容性是内网主动防御安全产品发展初期曾经出现的致命问题,在兼容性的考虑上,应该尽可能选择通过采用系统底层技术和正常系统机制实现的内网主动防御安全产品,而尽量避免选择钩子技术(如剪贴板拦截和DLL替换)和非正常系统技术实现的内网主动防御安全产品,这样可以确保系统的兼容性。
扩展性是在内网主动防御安全产品选型中容易受到忽视的问题,事实上,内网安全是一个完整的体系,只有进行整体的规划,才能达到最大的效果,虽然一个单位在初期可能仅具有简单的内网安全需求,但应该从长远着想,选择扩展性能良好,模块化程度高的内网主动防御安全产品。很难想象,为了达到监控审计、数据保密和授权管理的目标,在客户端安装三个不同的内网主动防御安全产品,使用三个不同的服务器进行管理,这无论对管理还是系统稳定性,都会造成很大的不便和隐患。
(三)服务能力是内网安全系统实施成败的关键
内网安全系统的实施跟其它安全系统的重要区别在于,内网安全体系建立的过程,是一个咨询、实施和改进的过程,涉及到对单位管理制度、网络拓扑、应用系统和使用习惯等调研、协调和设计的过程,要求内网安全厂商和供应商能够提供高质量和持续的服务。
首先要考查的是内网安全厂商是否是专注于内网安全行业,只有专注的厂商,才可能以内网主动防御安全产品为其企业生命线,提供高质量的服务。其次要考查内网安全厂商的核心队伍结构,内网主动防御安全产品是一个技术含量相当高的产品,其队伍的专业背景和组成决定了该产品的优越性。再次要考查内网主动防御安全产品的本地化服务能力,是否具有本地化的服务提供商,确保能够为本单位提供及时有效的服务。
三、正确部署主动防御安全产品
(一)建立智能化的终端联动防护体系
各终端要能够依据程序行为自主分析判断未知病毒和新木马,发现有网络内有恶意行为立即报警阻断,对未知病毒能够自主识别、明确报出、自动清除,无需人工参与操作,能解决传统杀毒软件依赖特征码查杀,对于病毒库中没有的未知木马和新病毒束手无策的弊端。
当网络内有某台终端拦截到未知病毒后,能够自动提取其特征码并上报到管理中心,管理中心自动下发至全网终端,从而实现了全网的安全防范。
(二)实现全网安全管理
管理员要在管理控制台实现对全网各终端的安全管理,并且可实时查看终端的安全状态,执行全网升级、安全策略的制定和下发等操作,还需要针对某一终端查看其系统信息、自启动信息、可疑程序检测等,方便管理员了解网络安全状况和及时的调整安全策略,以便当网络内有重大安全事件发生时,管理员可快速定位网络内的安全薄弱点。
(三)多重的升级保障
需采用双连接通讯方式,实时保证终端与系统中心通讯的完整性。在网络与互联网隔离的情况下,用户可采用离线升级包的方式进行升级。
对于使用笔记本电脑的用户,管理员还可为其分配移动客户端号,当离开用户网络时,可直接连接软件开发网站进行升级,以此确保用户软件升级的稳定性。主动防御体系建立后,网络安全性和稳定性的提升加快企业信息化进程,以往被困扰着的病毒传播和爆发得到有效的遏制,简化管理员的维护工作。
主动防御软件的监视和保护功能,向主动防御目标更进了一步,但还不是完全实现真正地“主动防御”。因为,在使用这类软件时,会大量频繁触发主动防御软件的监视功能,这些功能,尚不能自动进行正确的处理,对这些警报的处理,需要这台电脑的最终用户作出正确的选择,这就是困惑所在。目前来说,主动防御软件,尽管可以一定程度上起到提升安全性的作用,但用起来,太麻烦了。
它真的是普通用户需要的吗?普通电脑用户能够做出正确的处置吗?这些都是安全软件厂商进一步需要完善的功能。同时,它还有另一个困惑:如果我能够顺利而熟练的使用主动防御的软件,我可能只需要在其它方面注意,就可以更容易的避免受到病毒或木马的入侵。
电力内网主动防御,目前还远未实现真正的“主动防御”。只能说,离这个目标近了一些。我们需要完善相应安全防护整体大体系建设及云安全技术的完善和发展,让我们一起努力。打造安全的电力内网环境。
参考文献
[1]黄鹏.局域网计算机监控系统的设计和实现[D].华中科技大学,2005.
[2]刘可.基于云的安全防御端系统研究与实现[J].计算机安全,2011(07).
[3]王建.局域网网络安全综合防御体系构建与分析[J].电脑知识与技术,2010(33).
[4]肖坚.浅析入侵防御系统[J].电脑知识与技术,2011 (14).
[5]杨金龙.联动式网络入侵检测系统的研究和实现[J].黑龙江科技信息,2011(16).
作者简介:
王宏伟(1973—),男,吉林人,大学本科,华北电力大学在职工程硕士,主要从事供电企业科技环保管理工作。