网络安全技术优化分析

时间:2022-02-25 03:01:13

网络安全技术优化分析

0引言

近几年中,网络运营商逐步认识到网络安全的重要性,通过部署防火墙、入侵防护设备、VPN等一系列的技术手段和措施来提高电信网络的安全性,但是整体的效果并不理想,由于网络安全问题导致的网络瘫痪、流量异常、数据泄露等情况仍然时有发生,而造成这些安全事件根本性的原因很大一部分是安全防护技术手段的缺失。比如没有形成全公司统一的网络安全技术实施总体规划,在实际的技术部署中缺乏纵深一体化的防护,在系统规划、设计、建设阶段缺乏对于网络安全技术防护方面的考虑,导致部分系统中没有部署必要的安全防护设备;而部分系统中即使部署了安全设备但是策略配置不合理,导致相应的系统弱点完全暴露在公众网络中;网络层没有统一采用MAC绑定52的策略,网内时常发生ARP攻击情况;系统口令认证方式单一,容易被破解;运行系统上的服务端口没有实施最小化的控制。此外在检测手段上,漏洞检测设备分布零星,没有形成远程控制、覆盖全系统的部署方式,检测的效率相对低下。在审计技术手段上,部分关键业务系统缺乏操作审计的管控能力,对于流量分析缺少数据包分析能力。因此,本文从层次化安全防护部署、自动化安全检测能力、全方位安全审计能力三个方面对网络安全技术手段进行分析。

1层次化安全防护部署

安全防护的目的是通过系统加固、安全设备部署等网络安全技术手段,实现对恶意或非恶意攻击行为的防御,根据防护对象的不同,又可以分成四个维度。

1.1网络层

网络层的安全防护主要通过在网络设备层面设置安全加固措施,保障数据传送的底层网络能够持续稳定的运行。首先需要保证网络拓扑的合理性,增强网络设计时的健壮性。在网络架构上保证内外网的物理隔离,防止外网的安全威胁蔓延至内网中;确保网络具备冗余倒换能力,不存在网络的单点故障;将不同的业务、不同的用户在网络层面进行隔离,降低用户非授权访问的可能性;在关键网络出口处部署防火墙设备或者设置访问控制列表,限定外部网络与受控业务系统之间可以进行交互的应用类型;避免网络设计中存在可旁路绕过安全防护设备的链路。其次启用相应的内网、外网防护技术手段,降低网络层面遭遇攻击的几率。启用网络接入的准入机制,只有通过认证的设备才允许进行网络访问;通过在网络层部署反向路由检测机制,阻断恶意用户使用仿冒地址发起攻击;通过在网络层部署MAC地址绑定机制,防止局域网内的ARP攻击;在业务系统的网络出口处启用动态路由协议的Peer认证机制,防止非授权的设备参与进路由广播和分发中,造成网络数据转发的异常。

1.2系统层

系统层的安全防护主要着眼于业务服务器、维护终端及办公终端操作系统的安全措施部署。通过设置统一的补丁服务器、病毒防护服务器,实现各类主机系统升级补丁和病毒特征更新包的统一管理、及时,避免因操作系统漏洞未及时修补造成网络安全的发生;部署统一的集中认证授权系统,实现基于手机短信认证、令牌环认证等方式的双因子认证机制,根据认证的结果分配给用户对应的访问权限,确保登录用户所能进行的操作合法性。

1.3应用层

所有的业务提供能力最终都是体现为各种业务应用,因此应用层的防护能力高低,直接决定了一个业务网络的安全程度。在应用层面需要实现最小化服务的原则,对于与业务和维护没有关联的应用服务端口,都应予以关闭;针对所提供的Web应用,应该部署WAF设备,阻隔针对应用的网络攻击行为。

1.4数据层

数据层次主要数据的加密传输和保存,客户端和服务端之间使用SSL、SSH之类的安全加密传输协议进行数据的交互,确保数据在高强度的加密通道中进行传输,不被篡改、不被截获,通过对应用系统的改造优化,实现在服务器上存储关键数据时使用MD5加密等方式进行数据存储,降低存储文件外泄后数据泄漏的风险。

2自动化安全检测能力

安全检测是通过主动自主的对网络系统进行审视,及早的发现网络系统中存在的安全问题,安全检测技术能力的提升,有助于企业能够更为快速准备的定位网络系统的薄弱环节,通过及时采取安全防护措施,降低网络安全隐患。

2.1漏洞扫描

漏洞扫描技术是在网络安全检测方面使用的最为广泛的一种手段,通过自动化的扫描工具和被检测的系统进行连接,并读取内置的漏洞数据库进行数据交互情况的匹配,以判断目标系统是否存在相应的网络安全漏洞。根据扫描对象的不同,漏洞扫描又可分为系统扫描和Web应用扫描。为保证漏洞扫描技术手段部署的有效性,一方面需要考虑漏洞扫描工具选用的合理性,工具是否具备较为完备的安全漏洞数据库,漏洞判定的原理依据是否合理有效,漏洞扫描任务执行速度是否快速;另一方面需要系统化的考虑漏洞扫描工具的布放,通过集中管控,分级部署的方式,使得漏洞扫描工具能够通过远程管理和控制,跨区域覆盖到所有需检测的网络系统,自动化执行周期性的扫描任务,提升漏洞扫描工作任务执行的效率。

2.2基线检查

基线检查系统通过远程登录目标系统或者通过在目标主机上运行采集脚本,获取目标主机的实际配置情况,与系统内设置的各种系统、应用的配置的标准项进行对比核对,找出其中的差异,即不合规项,形成直观的统计报表。

3全方位安全审计能力

通过安全审计技术手段,实现对网络操作、流量特征行为进行审核,发现网络中所存在的违背安全策略的行为,根据审计的结果,做好事中处理或者事后补救的措施,保障企业的网络安全。

3.1操作审计

各运维部门负责运维种类繁多,数量庞大的各式通信网元,且参与运维的人员众多,但是相应的运维操作并没有全部进行审计管控,存在网络安全管控上的盲点,因此完善在操作审计上的能力也是优化网络安全管理体系的重要环节。通过全覆盖式操作审计系统的覆盖,实现对现网设备及应用的集中操作审计,对运营商日常运维操作的情况进行记录,保存运维人员的登录账号名,登录时间,登录结果,登录IP地址以及操作帐号,操作时间,操作命令,操作结果等一系列操作信息,周期性的对操作的情况进行审核,是否存在异常的操作行为,同时在发生安全事件时,也可通过操作审计系统进行设备操作记录的回溯,发现问题关键点。

3.2流量分析

在运营网络中不光存在着正常的业务流量,还有众多的网络攻击、垃圾邮件、蠕虫病毒等产生的异常流量,对于这些异常流量的及时甄别、快速处置是优化网络安全环境的关键步骤。运营商应该在流量分析的手段上进行补充完善,形成以下几个层次的分析能力:第一层次是基于SNMP协议,采集平台网络出口设备的端口进出字节情况,构造出日常的流量图形情况,通过实施监测发现流量突增突减的情况,可以粗略的判断是否存在网络攻击行为,及时对异常行为做出响应;第二层次是基于netflow技术,通过提取数据包的包头,获取IP地址、协议类型、应用端口、数据包进出的设备端口、字节数等一系列信息,构建出整个网络流量的整体视图,分析网络中存在的异常流量情况并进行对应的溯源,准确定位攻击的源头所在;第三层次是部署镜像或者分光抓包的能力,在网络安全事件发生时,具备快速响应能力,及时获取事件发生时,被攻击网络的交互数据包情况,通过对这些数据包的精准分析,发现网络攻击的方式方法,采取针对性的防护措施进行防御。

3.3日志分析

网络中系统、应用、安全设备所产生的记录用户的行为、系统状态的日志,为网络安全事件的处置提供了大量重要的信息,通过对来自网络中各种设备和应用的日志进行关联性分析,可以判定出攻击者什么时候通过什么手段发起的哪种类型的攻击,攻击影响的范围是多大。因此,应当建立集中式的日志收集分析系统,提高自身在网络安全事中的技术处理手段。

总之,网络运营商在整个互联网生态圈中提供最为基础的通信管道,承担着公共网络的建设和维护的职责,因此一旦运营商的网络遭遇黑客的恶意攻击或者发生其他类似的安全问题,所影响到的互联网用户范围非常广,造成的社会影响非常大。技术手段作为网络安全的重中之重,本文对其进行了重点探讨,希望能对未来网络安全的发展贡献一定的力量。

作者:杨钧 单位:乌鲁木齐69022部队

引用:

[1]上官晓丽.国际信息安全管理标准的相关研究[J].信息技术与标准化,2014.

[2]侯继江.中国网络安全防护工作开展思路及经验总结[J].电信网技术,2011.

[3]杨雪梅.基于PPDR模型的关键应用信息系统防御体系[J].计算机与应用化学,2015.

[4]杨雪梅.基于PPDR模型的关键应用信息系统防御体系[J].计算机与应用化学,2014.

[5]付云霞.建立企业网络安全管理体系探讨[J].信息系统工程,2013.