廖蔚 尹智為 何昕 王釗
(廣東煙草佛山市有限責任公司 廣東省佛山市 528000)
如何保證網絡的安全是廣大的網絡設計人員和管理人員所關注的問題。隨著因特網的應用范圍越來越大,電腦設備幾乎遍布每個人家,對電腦網路的安全措施采取也是目前需要解決的問題。當下,我國的網絡系統(tǒng)正處于安全威脅的環(huán)境之中,其自身的安全問題也日益突出,建立GSM 網絡的整體安全具有重要的現(xiàn)實意義。
計算機技術性是指由計算機、網絡通信及路線、互聯(lián)網三者相互融合的一個通訊技術,大家可以根據(jù)計算機來操縱命令,根據(jù)互聯(lián)網的接入與其他人進行溝通和交流,在生活中我們恰好是借助了互聯(lián)網信息分享的特征,才可以促使許多復雜的工作通過連接網絡的計算機來完成,從理論方面而言,計算機信息安全技術就是維護客戶在互聯(lián)網的個人隱私,確保大家運用的安全性,這樣也能夠更好地提升計算機的性能,提升計算機系統(tǒng)軟件的安全系數(shù),避免病毒感染竊取信息的情況出現(xiàn)??傮w來說,網絡安全的表現(xiàn)主要有兩方面,一方面可以確保大家在互聯(lián)網的個人隱私得到安全防護,另一方面可以確保計算機妥善處理安全隱患,使計算機的可操縱性、主體性變得更強。
在網絡安全方面,我們要進一步完善計算機的管理方法,完善其入侵探測技術,并提高計算機的可靠性,在出現(xiàn)惡意外掛、病毒感染等信息時,電腦的網絡安全技術能夠及時、準確地檢測到威脅并及時的將其清除,從而促進有關程序能夠正常的工作。在未來,網絡安全技術不僅僅會提高 PC CPU 的基礎,而且還會推動整個AI 產業(yè)的發(fā)展。若個體用戶難以保障隱私,那么企業(yè)將面臨著被竊取的風險,人工智能也將無法繼續(xù)存在,政府的安全部門也將無法抵抗外來入侵,如果一個重要的國家商業(yè)機密泄露出去,它將會引起整個社會的恐慌,甚至會對環(huán)境造成一定的破壞,因此,在這個網絡年代,電腦網絡的安全技術,并不只是在保障國家、企業(yè)、民眾的網絡安全,更是一個為網絡使用者提供便利的基礎,為人類從事更高科技行業(yè)的基礎。
電腦主要分為兩大部分:是由硬件和軟件組成,主機主要包括電腦硬盤、獨立顯卡、CPU、屏幕、風機等,其中移動軟件是指系統(tǒng)軟件(Windows、iOS、紅旗系統(tǒng)等)和電腦中的其他各種系統(tǒng),而電腦的缺陷就是其自身特性,在一定程度上,存在的錯誤問題是不可避免,雖然電腦系統(tǒng)自身的軟體也在不斷地改進和更新以解決這些問題,但由于目前電腦資訊安全技術還處于一個摸索的階段,所以從根本上來看是解決不了這些問題的,計算機硬盤、移動硬盤和計算機網絡常常會有各種漏洞,這些缺陷會對計算機造成一些不可預測的危險,使計算機自身無法有效的利用它的網絡保護。
互聯(lián)網病毒是一種根據(jù)程序編寫、人為因素來設計方案的一種編號程序流程,在互聯(lián)網、電腦硬盤、移動盤上都具備著強有力的毀壞能力、復制能力和感染能力,給計算機系統(tǒng)軟件及其用戶信息都會產生巨大的影響,到目前為止,相對比較多的互聯(lián)網病毒大概可以分為以下幾類:特工病毒、腳本制作病毒、木馬病毒、蜘蛛病毒,這些病毒可以埋伏在客戶電腦的硬盤中,偽造、復制用戶的信息,并持續(xù)的進攻計算機的體系、入侵檢測技術,甚至能夠將用戶的信息復制并發(fā)送在網絡上。早些年來,相對比較傳統(tǒng)的熊貓燒香病毒的主要功能是刪除并感染計算機的關鍵文檔,毀壞用戶的數(shù)據(jù),危害計算機系統(tǒng)軟件的正常運行,同樣,木馬病毒也是運用了計算機遠程監(jiān)控的作用機理,對數(shù)據(jù)進行復制并對其稍做修改,感染此病毒的電腦內部就會一覽無遺,而散播病毒的人也可以輕松地去遠程操縱其他用戶的計算機,并竊取計算機里的材料。
在計算機系統(tǒng)漏洞和電腦病毒的前提下,第三種能夠毀壞計算機網絡安全的便是黑客入侵,黑客入侵是一種違反法律、可以毀壞其他用戶應用安全性、進攻其他用戶信息的一種個人行為,黑客的入侵方式主要有以下幾種:
(1)腳本進擊:這類黑客入侵的關鍵目標是用戶的瀏覽器,根據(jù)瀏覽器中編號的腳本,就可以得到用戶的核心信息(網址收藏夾、瀏覽歷史等),這類攻擊往往會偽造用戶瀏覽器的首頁連接,并在用戶的計算機內嵌入可以通過編號解決的瀏覽器的程序流程,腳本進擊一般會改動、感染、拷貝用戶的信息及數(shù)據(jù),之后再向計算機持續(xù)傳出開啟某不良網站的命令,以此來干涉計算機的正常運行;
(2)利用性進擊:利用病毒系統(tǒng)軟件來操縱客戶的計算機,抄襲客戶的信息或毀壞正常的運行程序;
(3)否定服務項目式進擊:這類入侵方式主要是針對總流量系統(tǒng)軟件,通過向客戶推送一種數(shù)據(jù)文件,來占有計算機絕大多數(shù)的CPU 與總流量,進而導致計算機的麻痹;
(4)歪曲事實信息進擊:這類入侵方式關鍵是對電子郵件進行阻攔、查獲,并對信息的源頭展開包裝,在真實身份檢測的情況下納入病毒。
運營商的局域網總體規(guī)劃分為三個結構:以因特網為中心的計算機機房;把各個項目的建設相互連接,形成了網絡中心;內部空間擴展以GSM 網絡核心。使用五種類型的混合纖維混合網絡,組成了星形的拓撲。網絡中心以48 芯單模纖維連接,通過1000Mb/s 的速率傳輸,內部構造按照5 級的雙絞合電纜提供100Mb/s 的服務器。覆蓋數(shù)十棟辦公樓和應用網絡場所,共有3464 個信息點到接入互聯(lián)網交換器。運營商有GSM 網絡,都是大型光纜線路。主要的機械裝置把Cisco 6506 和 Nortel 8606 作為備用,核心設備的主要產品有:6506、3750,2970;2950 號大樓和中央電腦室之間的通信干線都有幾根光纜,除了辦公居住地使用了一臺cisco3750 作為連接和連接的核心外,其余的都是通過訪問級直接連接,用戶通過身份驗證、日志記錄、服務器防火墻、鏈路網絡服務等方式進行。
附屬辦公運營商按照100 兆星型以太網絡的界面進行基建,主要采用24 芯多模纖維進行通信,共1108 個信息節(jié)點,以Cisco3750、銳捷2126 為主體,設有200 M 獨立的電信網絡端口,用戶通過網絡選擇 pppoe 進行認證,并通過 SSL vpn 方式接入總部各個商業(yè)管理系統(tǒng)。
3.2.1 對外提供服務的安全問題
運營商把因特網連接,會面臨著來自互聯(lián)網的各種攻擊,各種病毒和木馬隨時都有可能在因特網上傳播,影響到運營商的網絡性能,導致運營商無法提供任何的服務。運營商的服務器中也有大量的可用的資料,很可能會被黑客攻擊。最容易受到威脅的就是WEB 服務,Web 服務有很多漏洞,比如 Web Service,移動電話,Web 應用程序,安全性差,目前廣泛使用的 CGI 程序和 ASP、PHP 腳本等,存在著嚴重的安全問題。
3.2.2 遠程訪問服務隱患
為方便運營商管理系統(tǒng)的工作人員可以隨時查看GSM網絡所有的操作管理信息,同時也方便運營商的辦公系統(tǒng)系統(tǒng)軟件使用,運營商網絡內部布局配置PPTP 服務器,提供VPN 服務,但對終端設備本體線實施認證,錯誤數(shù)據(jù)報文實施驗證難以開展檢驗,非常容易遭到詳細地址暴露、收到外網的攻擊。雖然安裝PPTP VPN 的方式更容易,成本也更便宜,但是VPN Server 不能根據(jù)使用者的類別來制定針對運營商的網絡資源的接入策略,而且拔號機的安裝也有一些專業(yè)性的需求,給使用者帶來不便。
針對GSM 網絡企業(yè)的網絡安全防護,通常采用的方法是建立防火墻,運營商應用天和信誠防火墻負責內部和外部網區(qū)域之間的隔離和存取,它是基于一個獨立的計算機操作系統(tǒng)TOS(Topsec Operating System)來實現(xiàn)對網絡的訪問和控制。在保證防火墻的良好性能的同時,可以對OSI 網絡的各個層面的安全進行即時的安全防護,并且可以檢測不良WEB 的具體內容,垃圾短信,惡意程序,以及釣魚等。圖1 為防火墻的區(qū)域劃分。
圖1 :防火墻的區(qū)域劃分
SSL 一致性屬于高危安全的一種,它被應用于Web 存取過程和Web 用戶端的應用。目前,幾乎每一款標準計算機的操作系統(tǒng)中都安裝了SSL,使得員工可以使用任意規(guī)格的瀏覽器進行遠程的安全訪問。采用SINFOR SSLVPN 作為運營商系統(tǒng)的安全訪問方案,并將其應用于運營商系統(tǒng)的GSM 網絡。SINFOR SSLVPN 網絡安全網絡系統(tǒng)內置 CA 證書,用戶可以自行建設或使用第三方 CA 進行驗證。除了能提供Local DB、LDAP/AD、Radius、安全ID 等以外,還能提供USB Dkey 的雙重驗證。
由于使用IP Tunnel 技術,SINFOR SSL VPN 安全網絡關會提供更多的細節(jié)支援,包括分享文檔/打印輸出,F(xiàn)TP,Outlook;SQL, Lotus,Sybase, Oracle;像Citrix 這樣通用的應用,以及基于TCP的UDP和ICMP一致性所有的應用軟件。如果在本地網使用了路由方式的布線方式,也可以與遠端訪問用戶進行雙向訪問。這個SSL VPN 能夠實現(xiàn)復雜多樣的B/S 和C/S 應用。對于網絡運營商來說,由于 SSL 的方便,他們可以不需要進行客戶的部署和維修,大大減少了VPN網絡的維護工作。
運營商GSM 網絡的業(yè)務流程應用系統(tǒng)層面,關鍵實施的對策是通過入侵檢測技術和數(shù)據(jù)備份技術來保證網絡安全。
4.3.1 入侵檢測
針對運營商內部的網絡特性,我們選擇了ISS(InternetSecuritySystems)作為一種綜合的實時入侵探測技術,可以根據(jù)符合網絡和服務器的檢查模式,來做出相應保護反應。ISS 安全體系包括一個控制臺和一個檢測器,一個是Networksensor,另一個是 Serversensor,它們的主要作用是:可連接多個 Internet 發(fā)動器和 Agent Server;實現(xiàn)對該檢測器的遙控配置與管理;立即得到這樣的檢波器報告的安全性問題報告。
因特網引擎:在對應的服務器上運行,將每個網關中的信息網進行解析,對包頭和數(shù)據(jù)區(qū)段的特定內容進行解析,與模塊中定義的事物進行匹配。一旦檢測到攻擊,互聯(lián)網發(fā)動機就會做出反應,發(fā)出警報/通知(通知給控制臺發(fā)送e-mail、snmptrap、查詢即時對話和通知其他控制臺),記錄所有的工作記錄和所有的對話,使用安全反應(阻止入侵連接,調整網絡設備的設置),例如服務器防火墻,執(zhí)行特殊的用戶回應過程。
服務器代理(server sensor):裝配在各服務器上,對服務器、系統(tǒng)軟件日志和網路專題的動態(tài)進行即時監(jiān)控;從分析服務器的記錄中識別攻擊,響應個體的行動可能是攔截、智能報警和阻塞通信,可以在入侵進入計算機系統(tǒng)之前主動攔截;并能夠完全自動化的對網絡模塊進行再設置,并與防火墻聯(lián)動阻擋下一次的攻擊。
在運營商GSM 網絡需要對特定的區(qū)域內的個體行為進行監(jiān)控即可,最容易的感應器部署位置是監(jiān)控防火墻,DMZ 端口連接的一個重要的服務器區(qū),以及它的監(jiān)控防火墻內部端口,以便監(jiān)控入侵的服務器區(qū)的網絡個體的行動,以及通過該防火墻的某些網絡個體的活動實現(xiàn)應用。因此,一個傳統(tǒng)的入侵防護網結構由一個控制臺和一個探測器組成。IDS 部署結構圖如圖2 所示。
圖2 :IDS 部署結構圖
入侵探測在整個網絡中扮演著“傾聽者”的角色,不會與任何的網絡連接,所以為了保證安全,它會將入侵的控制臺和監(jiān)控器組成一個專門的網絡。針對 IDS 特定類型的入侵探測系統(tǒng),采用了一種基于頻域的入侵探測技術。這樣既能凸顯出入侵探測的安全性,又能防止出現(xiàn) Nimda 和 CodeRed的問題,一旦出現(xiàn)了問題提,Nimda, CodeRed, IDS 監(jiān)控中心就能及時的找到問題,讓管理員及時了解情況,并對其進行重新部署,解決出現(xiàn)的問題。
4.3.2 數(shù)據(jù)備份
運營商GSM 網絡采用體積大、價格低廉的SATA 磁碟作為備用存儲介質,利用所選擇的虛擬磁帶庫,將磁盤組模擬為磁帶庫,對目前運營商GSM 網絡中的各個業(yè)務進行備份。
如圖3,選擇一種備用的計算機作為控制器,并將所有的設備按照千兆網卡的網絡交換設備組成備用網。使用 Veritas備份,分別在其他的服務器上裝配相應的選件、手機客戶端代理和數(shù)據(jù)庫代理。所有的備份和修理資料都可以通過這種專門備用網絡進行傳輸,不會輕易損害原有的業(yè)務網絡。
圖3 :備份系統(tǒng)結構
這種備份結構的設計,在計算機操作系統(tǒng)的應用中實現(xiàn)了圖形接口的處理;
并調整數(shù)據(jù)資料的備份修理率;可獲取磁帶庫的管理辦法及易于導引的資料處理;不用為錄像機的穩(wěn)定而擔憂。
在實施備用應對措施時,需要掌握以下內容:
(1)必須對資料進行備份;
(2)控制資料的數(shù)量;
(3)確定一次系統(tǒng)備份所需時間;
(4)保存資料的時間長短;
(5)儲存媒體的體積。
他們采用了“祖—父—子”的備用戰(zhàn)略,在虛擬錄像機中,根據(jù)需要虛擬出相應的控制器和錄像機,然后根據(jù)“祖-父-子”原則對每天的工作進行備份。
“祖—父—子”戰(zhàn)略:這個戰(zhàn)略適用于每天(子),每周(父),每個月(祖)。每個禮拜中,備用媒體上的每天錄音帶都會被標記??偟脑隽總浞菔鞘褂谩白印薄T谝恢艿墓潭ㄌ炖?,可以通過這個來反復地使用。多出星期的備用媒體,再加上諸如“周一”,“周二”等標志,依次導出,全備份是一周一次的記錄,“子”媒體每天都不會被用到。每個周都會重新利用“父”媒體,“祖”媒體在每個月的最后一周執(zhí)行完整備份,每個媒體都有很大的可能性是被壓縮的磁盤或一套帶子,這取決于整個存儲數(shù)據(jù)的總量,每月底將已發(fā)出的或有存檔的錄音更換,并保存好。
利用互聯(lián)網的信息系統(tǒng),可以分為幾個層次:內部辦公,WEB,數(shù)據(jù)庫服務等。這些應用通常是按照相應的數(shù)據(jù)庫體系來實現(xiàn)的,比如MS SQL, ORACLE 等?;ヂ?lián)網的內部架構也會產生大量的應用資料。在備份系統(tǒng)中,保存這些數(shù)據(jù)是至關重要的。對于檔案服務器和 Web Services 這樣的服務器來說,有一個非常關鍵的問題,那就是大部分使用檔案都是“開啟”狀態(tài),無法復制或修改。當在上面的文件備份過程中,計算機操作系統(tǒng)中的內部操作將會被忽略。
中國的網絡信息安全技術性也是有非常大的進步空間,在組裝計算機技術時,應通過組裝服務器防火墻和電腦殺毒軟件來確保信息的安全性,可以保證隔絕網絡病毒的與此同時,還理應讓學生獨立的培訓與信息安全生產技術相關的專業(yè)知識。
網絡的建設是一項持續(xù)的、復雜的系統(tǒng)工程,其安全建設要求統(tǒng)一考慮,長遠規(guī)劃,分步實施,確保技術的先進性和可擴展性。隨著網絡技術的不斷發(fā)展,網絡也將會出現(xiàn)新的安全問題,比如現(xiàn)在一些運營商實施的無線網絡以及 IPv6網絡的建設等。因此,網絡整體安全防范體系是一個動態(tài)的、不斷發(fā)展變化的綜合運行機制,如何在技術上適應網絡動態(tài)變化,建立自適應的安全保障體系,仍是一個值得研究的課題。