网络安全功能需求指标分析
来源:用户上传
作者:
摘要:随着互联网时代的到来,网络安全功能存在很大的隐患,该文针对该隐患分别从安全物理环境、安全通信网络需求、区域边界需求、安全计算环境需求、安全管理中心需求5个方面分析其原因并提出有效措施。
关键词:网络安全;网络需求;安全计算环境
中图分类号:TP393.02 文献标识码:A
文章编号:1009-3044(2019)35-0046-02
1 概述
互联网由于其开放、共享的特点,已成为当今社会应用范围最广的信息通信技术,深深影响着人类的生活[1]。网络安全问题在学术界和产业界获得越来越多的关注[2]。因此,亟须对网络安全功能进行分析并提出有效措施。
2 网络安全需求分析
本文对网络安全需求的安全物理环境、安全通信网络需求、区域边界需求、安全计算环境需求、安全管理中心5个方面分析其原因,并且针对这5方面的隐患分别提出一些应对措施。
2.1安全物理环境需求指标
物理安全风险最终是因为网络设备和线路的不可使用,主要原因是指网络周边的环境和物理特性引起的,最终导致网络系统的不可使用,最严重的结果可以导致整个网络的瘫痪。因此物理层在整个网络安全分析中具有重要意义,是整个网络系统安全的前提和基础,因此要提高网络物理层的可用性,这样才能使保证整个网络的可用性,从而提高整个网络的抗破坏力。
2.2安全通信网络需求指标
通信网络是通过一定的物理连接将各个孤立的设备连接在一起,将人、计算机连接在一起,例如实现人与人,人与计算机,计算机与计算机之间进行信息交换的链路,实现了资源共享和通信的目的,通信网络安全主要包括网络架构、通信传输等方面。
1)网络架构
合理的网络架构能够有效地承载业务需要,相反,如果网络架构不合理,直接影响到承载业务的能力。因此网络结构需要具备一定的冗余性;所有网络设备、服务器网卡和连接采用冗余架构,任意设备或链路故障不影响业务使用。带宽能够满足业务高峰时期数据交换需求。提供虚拟资源池内部虚拟机间的东西向分布式防火墙功能,构建细粒度的安全隔离区域。
2)通信传输
网络协议及文件格式均具有行业内的标准、开发、公开的特征。因此,当数据在网上实现存储和传输等一系列过程时,将有可能导致信息的失真、丢失等问题,除此之外,还会遭遇信息攻击或欺诈等行为,导致最终信息收发的差异性。因此,在信息传输和存储过程中,应该提供有效的察觉与发现机制,实现通信的完整性。而数据在传输过程中,为抵制数据篡改等行为应采用加密措施保证数据的保密性。
2.3安全区域边界需求指标
区域边界的安全主要包括:边界防护、访问控制、入侵防范、恶意代码防范、安全审计等方面。
1)边界防护
边界安全防护目的时用来维护边界的完整性。主要是对内部网络中的一些内部用户在未经允许的情况下私自连到外部网络,因此要对该行为进行检查。
2)访问控制
多元业务区整体网络可划分为互联网与多元业务区边界、行业与行业边界、租户与租户边界。互联网/多元业务区边界为整个网络出口的边界,此边界可能存在由外部互联网或接人多元业务区的其他网络发起的非授权访问的风险。行业区域边界是网络中各个区域间的边界,此边界可能存在内部跨区域间的非授权访问的风险。租户區域边界是网络中各个租户的边界,此边界可能存在租户之间的非法授权访问的风险。因此对于各类边界最基本的安全需求就是访问控制,要及时对进出安全区域边界的数据信息进行控制。
3)入侵防范
网络受到攻击会带来很大的不便。一般情况下,有两种情况可能会造成各类网络攻击,第一种是有可能来自平时人们公认的互联网等外部网络;第二种有可能是内部网络。在这两种情况下,都需要采取一定的安全措施,主动地阻断针对信息系统的各种攻击,例如人们熟悉的病毒、木马、可疑代码等对网络的攻击,最终要达到对网络层以及业务系统的安全防护,从而保护核心信息资产的免受攻击危害。
4)恶意代码防范
在计算机环境中,病毒、蠕虫等恶意代码时刻都会造成计算机潜在隐患。当前计算机病毒对计算机的威胁十分严峻,例如人们熟悉的蠕虫病毒,当该病毒爆发后,子网络会很快地被蠕虫病毒蔓延,后果严重的可以攻击网络和数据窃密。从而占据在正常业务范围内十分有限的带宽,正常的网络性能就会严重下降,严重者可以中断网络通信,一些信息收到损坏或泄漏,严重影响了人们的正常业务开展。因此有必要使用恶意代码防范软件来防御恶意代码的入侵。
5)安全审计
建立必要的审计机制在安全区域边界是十分有必要的。对进出边界的各类网络行为进行记录与审计分析,结合主机审计、应用审计以及网络审计等,可以形成多层次的审计系统,从而实现对出入边界的行为多层审计。
2.4安全计算环境需求指标
安全计算环境需求指标主要包括主机安全、数据安全、虚拟安全。
1)主机安全
主机安全主要包括主机与应用层面的一些安全风险和需求分析,例如,身份鉴别、安全审计、数据完整性与保密性、备份与恢复等方面。
2)数据安全
(1)数据保密性
为了解决远程用户访问多元业务区上内部敏感数据的安全性问题,部署SSL VPN,实现对一些敏感数据的加密传输。主要有数据泄露、数据损坏/篡改、数据丢失等。
(2)数据完整性
为了满足多元业务区上业务系统的数据完整性保护需求,部分信息系统需要部署电子签章系统,保障内部办公数据的完整性;部分信息系统由于终端用户的不确定性,需要部署信手书签名系统,保障用户数据的完整性和抗抵赖。 3)虚拟化安全
虚拟化安全技术核心思想是通过一些虚拟化的技术,将个体服务器的操作系统,可以违带处理多个系统进行操作,目前虚拟化技术已经成了计算机网络技术中最为重要的一项核心技术[3]。虚拟化安全主要有数据隔离、安全边界等。
(1)虚拟机数据隔离
在云计算模式中,云端是一个虚拟的资源共享平台,该平台会将用户的所有信息数据都集中在云中实现存储、管理和计算的处理,在该模式下,用户的信息数据会难以实现隔离,极易造成隐私泄露。
(2)虚拟化安全边界
独立的海量信息数据通过虚拟化会将该数据整合在一起,形成一个没有安全边界、可以动态扩展的虚拟资源池。在该情况下,缺乏了安全边界,往往不同的管理者可能越界管理,这增加了信息泄露的风险。
(3)虚拟机互访风险
在服务器虚拟化中,很多的虚拟机可能被分布在不同的逻辑服务器群上,服务器的逻辑资源被多个虚拟机享用,这就为一些非法用户利用大量虚拟机进行协同攻击提供了便利,这种协同攻击的隐蔽性更强,破坏程度也更大。
(4)虚拟机集成风险
在云计算模式下,目标是实现大量软、硬件资源的集成。但是由于大量软硬件自身的一些特征,例如使用性能、安全性等存在差异,导致最终集成的云虚拟平台上有可能出现漏洞,从而使整个平台受攻击的风险。
2.5安全管理中心需求指标
“三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性[4]。在技术管理措施外,安全管理在网络安全功能中同样很重要。建立健全的安全管理体系,这不仅是国家等级保护中的要求,也是安全体系中不可或缺的重要组成部分。参考国家相关标准、行业规范等从管理制度、管理机制、人员管理等方面建立可操作的管理体系。
3 结束语
互联网时代给人类带来很多的方便,同时网络安全问题也困扰我们。本文针对网络安全问题,从5个方面分析其原因,分别提出一些有效的措施从而加强网络安全问题的引发。
参考文献:
[1]钟植任,关洪涛,刘冉,等.一种运营商网络安全功能虚拟化系统部署方法[J].信息通信技术,2017,11(03):13-19.
[2]赵旭辉,刘江辉.探析下一代防火墙安全特征及发展趋势[J].信息与电脑:理论版,2013(11);152-154.
[3]刘小军,任鹏.虚拟化安全技术研究[J].网络安全技术与应用,2018(10):18+26.
[4]管虎.三分技術,七分管理[J].信息安全与通信保密,2006(05):39-40.
【通联编辑:代影】
转载注明来源:https://www.xzbu.com/8/view-15123310.htm