網(wǎng)絡(luò)安全—信息時(shí)代威脅重重

伴隨著通訊傳播和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，全民信息化已經(jīng)逐漸成為時(shí)代的趨勢(shì)。越來越多的新型開源網(wǎng)絡(luò)應(yīng)用框架正在改變數(shù)據(jù)創(chuàng)建和訪問的方式，以智能手機(jī)和平板電腦為主流的各種新型移動(dòng)終端也在伴隨著互聯(lián)網(wǎng)的發(fā)展而逐漸融入人們的生活。

但是，信息化技術(shù)的不斷完善在滿足了人們工作需要和娛樂生活的同時(shí)，也給信息化基礎(chǔ)設(shè)施建設(shè)帶來了強(qiáng)烈的沖擊，這種沖擊主要表現(xiàn)在兩個(gè)方面，一是數(shù)據(jù)流量，眾多的網(wǎng)絡(luò)應(yīng)用帶來了海量的數(shù)據(jù)流量，尤其是伴隨著“云計(jì)算技術(shù)”的到來，使得數(shù)據(jù)中心的流量上限變得更加不可預(yù)測(cè)，直接對(duì)數(shù)據(jù)中心安全和存儲(chǔ)設(shè)備的性能提出了更高的要求，高度的可靠性、穩(wěn)定性、方便管理和節(jié)能環(huán)保等特點(diǎn)將成為未來數(shù)據(jù)中心安全最基本的要求，這都將為數(shù)據(jù)中心建設(shè)和管理造成前所未有的壓力。

另一方面，海量數(shù)據(jù)使得數(shù)據(jù)中心的安全形勢(shì)變得不容樂觀，一是因?yàn)楦S信息化發(fā)展而來的黑客侵入、木馬病毒、DDoS攻擊等多種不安全因素，二是新型的開源網(wǎng)絡(luò)應(yīng)用框架和移動(dòng)網(wǎng)絡(luò)終端的應(yīng)用不斷增多，使得針對(duì)應(yīng)用層的數(shù)據(jù)越來越多，而基于IP地址訪問策略控制的傳統(tǒng)安全管理模式已經(jīng)不能滿足數(shù)據(jù)的安全需求，因而造成了很大的安全漏洞。

網(wǎng)絡(luò)安全—IP管理策略安全性

對(duì)于遠(yuǎn)程接入的用戶，部分廠商采用DDNS（動(dòng)態(tài)域名服務(wù)）來解決動(dòng)態(tài)IP問題，但是用戶要為此承擔(dān)DDNS的故障風(fēng)險(xiǎn)。由于DDNS系統(tǒng)是第三方的系統(tǒng)，本身具備一定的脆弱性，容易受到攻擊，其可用性和可靠性因素會(huì)給用戶增加額外的不可控風(fēng)險(xiǎn)。

在利用IP管理模式進(jìn)行內(nèi)網(wǎng)管理時(shí)，用戶需要承擔(dān)IP被偽造或者假冒的風(fēng)險(xiǎn)。由于IP地址是可偽造或者假冒的，從理論上說，任何人都可通過偽造或者假冒合法IP地址欺騙安全網(wǎng)關(guān)，獲取訪問內(nèi)網(wǎng)數(shù)據(jù)的權(quán)限，甚至針對(duì)內(nèi)網(wǎng)進(jìn)行網(wǎng)絡(luò)攻擊。

內(nèi)網(wǎng)管理中，即使采用IP/MAC地址綁定的形式，用戶也要承擔(dān)主機(jī)被冒用的風(fēng)險(xiǎn)。簡(jiǎn)單說，即是不具備訪問權(quán)限的人通過使用別人的內(nèi)網(wǎng)主機(jī)，一樣也可以非法獲取對(duì)內(nèi)網(wǎng)敏感數(shù)據(jù)的訪問權(quán)限。并且，在內(nèi)網(wǎng)主機(jī)數(shù)量龐大的情況下，IP/MAC地址綁定而導(dǎo)致的額外管理成本較高。

網(wǎng)絡(luò)安全—角色的管理模式

如何阻止越來越多針對(duì)應(yīng)用層的訪問和攻擊，確保安全管理和網(wǎng)絡(luò)資源協(xié)調(diào)分配，基于角色的管理模式或能夠徹底解決這一難題。基于角色的管理是安全網(wǎng)關(guān)類產(chǎn)品發(fā)展的一個(gè)趨勢(shì)，在IT安全管理和網(wǎng)絡(luò)資源分配的過程中，從管理的成本角度、安全管理和資源分配的效果來看，基于角色的管理模式優(yōu)于傳統(tǒng)的基于IP的管理模式。

據(jù)了解，基于角色的管理模式與傳統(tǒng)的IP管理模式相比較，可以對(duì)通過訪問者身份進(jìn)行認(rèn)證和審核，并根據(jù)訪問者的權(quán)限對(duì)其訪問的網(wǎng)絡(luò)資源進(jìn)行控制，在技術(shù)上可避免IP被盜用或者PC終端被盜用的可能性；

從訪問控制的角度來說，基于角色的訪問控制模式在控制上更加嚴(yán)密和便于管理，基于角色的審計(jì)結(jié)果可為追蹤和定位非法訪問者身份提供直接的依據(jù)，安全防護(hù)的效果更好；從分配資源的角度來說，基于角色的分配方式更加精細(xì)，使用戶合理地利用網(wǎng)絡(luò)資源。

基于角色的安全管理模式來保障網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)資源協(xié)調(diào)分配的技術(shù)已經(jīng)出現(xiàn)，這種技術(shù)可面向角色對(duì)信息進(jìn)行有效的訪問控制和網(wǎng)絡(luò)資源分配，可以為用戶提供基于角色和應(yīng)用的帶寬管理手段，同時(shí)兼容基于IP的管理模式，可在原有的網(wǎng)絡(luò)上進(jìn)行切換與改造。

網(wǎng)絡(luò)安全—應(yīng)用可視化與多核安全網(wǎng)關(guān)

在基于角色的管理模式基礎(chǔ)上，應(yīng)把安全做到了針對(duì)應(yīng)用層的檢測(cè)，以此解決傳統(tǒng)防火墻對(duì)流量識(shí)別的不足，并提出“應(yīng)用可視化”觀點(diǎn)。“應(yīng)用可視化”并沒有依托于傳統(tǒng)的端口去匹配應(yīng)用，而是基于協(xié)議的行為和特征，精確地識(shí)別各種應(yīng)用協(xié)議，并針對(duì)行為進(jìn)行細(xì)粒度的管理和策略控制，對(duì)嵌入應(yīng)用的威脅進(jìn)行實(shí)時(shí)安全防護(hù)，從而有效地防范網(wǎng)絡(luò)外部和內(nèi)部威脅。

多核安全網(wǎng)關(guān)的“應(yīng)用可視化”功能搭載于高性能的多核PlusG2硬件架構(gòu)，通過64位安全操作系統(tǒng)StoneOS的創(chuàng)新并行流檢測(cè)引擎進(jìn)行交叉檢測(cè)，從而實(shí)現(xiàn)了網(wǎng)絡(luò)行為和應(yīng)用可視化，可以極大地提升網(wǎng)絡(luò)對(duì)嵌入應(yīng)用的威脅的“偵破”能力。

對(duì)于目前的網(wǎng)絡(luò)安全局勢(shì)，很多公司力求將多種功能并與產(chǎn)品性能達(dá)到完美統(tǒng)一，不但要在產(chǎn)品功能上除了部署防火墻、VPN、病毒過濾、入侵檢測(cè)等UTM具備的功能外，還將會(huì)帶寬管理、上網(wǎng)行為管理、攻擊防護(hù)等安全功能集成到統(tǒng)一的平臺(tái)，從底層進(jìn)行軟硬件和并行操作系統(tǒng)的優(yōu)化。

基于IP地址訪問策略控制的傳統(tǒng)安全管理模式在安全方面具有明顯的缺陷，對(duì)于網(wǎng)絡(luò)管理員來說，因無法確認(rèn)IP地址與人、內(nèi)網(wǎng)主機(jī)與人之間的對(duì)應(yīng)關(guān)系，所以給網(wǎng)絡(luò)安全帶來極大的風(fēng)險(xiǎn)，同時(shí)也會(huì)給安全事件的追蹤與審計(jì)帶來困難。

【編輯推薦】

1. 安全3.3的三大必要條件
2. 淺析黑客技術(shù)和網(wǎng)絡(luò)安全
3. 別讓惡意軟件妨礙我們的生活
4. 大多數(shù)企業(yè)忽視“網(wǎng)絡(luò)間諜”的威脅
5. IT人員的困繞：互聯(lián)網(wǎng)早期的病毒傳播