对检察机关网络安全架构若干问题的简要分析・201・对检察机关网络安全架构若干问题的简要分析高远11黑龙江省人民技术处,哈尔滨市150090刘颖21500012黑龙江省科学院学术和信息处,哈尔滨市摘要:对检察机关网络安全管理中一些问题的认识和思考,希望这些问题能引起同行的交流和探讨,来架构更加完善、合理、高效、稳定的网络安全环境。作者从网络版杀毒软件、防毒墙、主动防御系统和内网安全管理等多角度进行分析,并提出了鲜明的观点。两位作者多年来一直工作在信息化建设的第一线,有着丰富的网络安全管理经验,并能结合各自的单位的工作实践进行融合,探讨和升华。关键词:网络安全网络版主动防御防毒墙ToProcuratorialNetworkSafeStructureaSurnameQuestionBriefAnalyseGAOYuanlLIUYin921500901500011Heilongjiangprovincedemosprocuratorial,Haerbinacademyofsciences,Haerbin2HeilongjiangprovinceAbstract:SomeKnowsandThinksofprocuratorialnetworksafemanage,hopethesequestionscancommunionanddiscussofbringcraflbrother。tobuiltmoreconsummate、inreason、highstabilization’Sefficiency、networksafeenvironment.Theauthoranalysefromnetworksafe、editionofthenetwork、initiativerecoveryandthewallofpreventvirus,advancebrillianceviewpoint.Thetwoauthors,severalcarlyears,workintheinformationline,haverichnessnetworksafemanageexperience,andcombinedistinctnessworkpracticetoamalgamation、discussandsublimation.KeyWords:networksafeeditionofthenetworkinitiativerecoverythewallofpreventvirus计算机网络的出现给人们的生活带来了巨大的便利,网络是一个面向大众的开放系统,但其信息保密和系统安全目前尚不完备,甚至还存在诸多隐患。计算机网络的安全形势日趋严峻。加强各单位网络安全建设,是关系到一个组织整体形象和利益的大问题。目前,各单位的网络系统中都存储着大量信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,发生作者简介:高远(1975一)。男,哈尔滨市,技术侦查工程师,计算机应用本科、刑法学研究生・202・全国计算机安全学术交流会论文集信息的丢失、篡改、增删、破坏、窃用,不能及时流通,或者都将造成难以弥补的巨大损失。对于检察机关而言,加强网络安全建设的意义更是关系到国家的安全、利益、发展和尊严。经过几年建设,各级检察机关在网络安全建设方面积累了很多经验,同时也对出现的问题进行了思索,以下就其中的几个方面提出个人看法。1网络版杀毒软件必不可少杀毒软件的网络版与单机版的主要区别体现在对整个网络中反病毒软件的管理控制能力上。不要小看网络版多出来的管理部分,它对企业防毒能力的整体提升起着绝定性作用。每台电脑上的反病毒软件就像水桶的每一块木板,病毒库的版本号和杀毒能力就像木板的高度,整个企业网的反病毒能力等同于网络中反病毒能力最差的电脑的防毒能力。也就是说,只要整个网络中有几台电脑用的是低版本的杀毒软件,整个网络的反病毒能力就会大幅度降低。可以说,网络中各计算机安装的反病毒软件的版本的一致性将决定网络整体防病毒能力。因为网络中杀毒软件版本最低的电脑一旦感染了某种病毒,即使其他安装了高版本的计算机可以避免被感染,但却不能阻止病毒大面积爆发时的破坏能力。例如当蠕虫病毒大量占用网络资源,使网络瘫痪时,同样会影响到每台计算机。另外,从管理的角度看,网络版的控管中心可以监控整个网络中杀毒软件的使用情况。如及时找到并处理那些没有安装杀毒软件或安装了杀毒软件却没有打开实时监控的计算机,以免他们在毫不知情的情况下被感染病毒,甚至因此传染给其他计算机。要知道,作为系统管理员,随时了解网络中每一台电脑是否打开了实时监控,对保证网络安全相当重要。由于有专业人士进行全网反病毒软件的管理,就可以大大提升全网的安全性。理想状态下,集中管理模式的网络版可以完成全网反病毒防护功能。但也需要认识到,因为反病毒厂商的技术实力和市场关注点不同,所以产品质量同样参差不齐,差距很大。有些反病毒产品的网络版制作得非常简陋,很多正常功能都没实现,导致普通用户产生误解,觉得网络版用处不大。同样地,有些国络版产品,虽然技术非常成熟,但在使用上不符合中国用户习惯,使用户在使用中遇到了很多非技术性的问题,导致用户对网络版杀毒软件的功能产生误解。2防毒墙所发挥的作用并不显著随着互联网的普及,病毒的传播手段由传统的通过移动介质(如软盘、光盘等)等方式转向了以网络、邮件为主的传播方式,利用系统漏洞进行传播的网络蠕虫和邮件蠕虫大规模泛滥。这些蠕虫的攻击目标也从计算机本身转移到了网络,以占用网络带宽、造成网络瘫痪为主要目标。所以有人提出来,能不能开发出一种在网络进出的咽喉要道(网关)处进行病毒过滤的产品,这样可以有效阻止蠕虫病毒通过网关进入到企业内部网。此概念一提出就得到了广大反病毒厂商的积极响应,各种形式的防毒墙如雨后春笋般出现。但因为技术实力和研发投入不同,产品质量有天壤之别。“反正是装在一个硬件盒子里,安装在网络接口,普通用户根本看不见,即使是网络管理员也只能看见界面,只要不影响用户网络使用就很少被人想起来。”当时,很多厂商就凭着这个手段欺骗用户,很多劣质的产品凭借市场宣传被用户买走。即使到现在,很多厂商的防毒墙产品的质量依然很差,但凭借自己的品牌优势还在销售,而且价格不菲。但用过一段时间后,用户突然发现,其实装了防毒墙还是要装,杀毒软件因为防毒墙对检察机关来说有一些先天的缺点:如无法清除内部网络中已经存在的病毒;只能对某些特定的协议流进行过滤,如HTTP、SMTP,FTP等协议,无法真正意义上防范所有病毒;对通过使用传统手段(如光盘、软盘和U盘)进入网络的病毒为力;对移动接入设备没有监控能力,也无法保证网内其他机器不受该设备影响;除了防不住病毒外,防毒墙有时还会影响网络的运行速度。但防毒墙就一无是处了?不是,只是我们没有接触到真正的专业级别的设备。防毒墙产品需要强大的硬件研发力量支持,而其研发成本非常高昂,对检察机关网络安全架构若干问题的简要分析・203・所以市场上就出现三种产品:一种很便宜,但用处不大;一种很贵,由传统反病毒厂商开发,但其实只是在卖品牌,作用和第一种没有明显区别;第三种也很贵,但货真价实,只是在大众市场很少能看到。对于普通应用来说,防毒墙的意义确实不大,真正的反病毒工作还是要由网络版的反病毒产品来完成。但那些对网络安全要求比较特殊的机构还是需要防毒墙这类产品的,例如金融、电信的网络的前端最好部署防毒墙。但就检察系统目前的情况来看,的确没有使用防毒墙的需要。3“主动防御”的概念名不副实主动防御不是一个具体功能,只是一个概念,是针对传统反病毒技术中的“特征码技术”而言的。所以在介绍“主动防御”功能这个概念时,不妨先了解一下当前的传统反病毒技术中的“特征码扫描”。“特征码扫描”是目前最成熟的反病毒技术,效率高,误报低,并且可以有效清除计算机病毒。但却存在一个很大的问题——滞后于病毒。“特征码扫描”技术的实现需要由反病毒公司的专业反病毒人员对可疑程序进行分析研究,判断该程序是否是病毒。如果该程序是病毒,则由反病毒工程师提取该病毒的特征码,再通过升级的方式更新用户计算机上杀毒软件的病毒特征库,之后用户计算机上的杀毒软件才能判断该程序是病毒。也就是说,如果用户不升级病毒库,计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说,病毒总是出现在杀毒软件更新病毒特征码之前的,因此,基于特征码扫描技术的传统杀毒软件完全受制于病毒样本的收集能力和病毒库的更新速度。所以,所有反病毒厂商都在尝试各种技术来解决反病毒行业滞后性的问题,也就有了与传统技术相对的概念-一“主动防御”。“主动防御”是一个针对传统反病毒技术的概念,并不等同于一两项技术或功能。我们可以说一个功能带有“主动防御”的性质,但是不能说某个具体的功能是“主动防御”。如果厂商宣传自己有“主动防御”功能,实际上是在“忽悠”。“主动防御”概念的核心在于“主动性”,即无需人工干预就能对病毒程序做出的防御行为,并具备对未知病毒的防御能力。目前各大厂商所说的“主动防御”功能都是指HIPS(HostIntrusionPreventSystem)主机入侵防御系统。它通过可定制的规则对本地的运行程序、注册表的读写操作以及文件读写操作进行判断并允许或禁止,从而实现对病毒行为的防御。大家采用的虽然都是HIPS技术,但因为每家厂商的技术实力和积累不同,各自产品所带的“主动防御功能”是不同的。整体看来,各个反病毒厂商所宣传的“主动防御功能”采用的都是HIPS技术,但成熟程度各不相同。而且,这种技术目前还不是一种成熟的技术,需要厂商投入更多的人力、物力和时间去完善。另外,“主动防御功能”还存在一些麻烦。首先,由于行为分析引擎技术不成熟,集成了这种功能的杀毒软件需要过多的用户参与,要求用户选择操作,有时安装一个软件甚至可能被提示十多次。而且,让用户自己决定这个动作是否合法,即使专业的反病毒工程师都不一定能够对每个程序的每个动作都做出准确判断,更何况普通用户了。事实上,反病毒厂商的这种做法是非常不负责任的,根本没从用户实际情况考虑,相当于把可能发生问题的责任又重新推回给用户。其次,在使用了所谓具有“主动防御功能”的软件后,系统资源被大量占用,计算机性能迅速下降。能不能防住未知病毒不说,但没发挥作用前先把系统变慢了,实在让人开心不起来。所以,有些在中国被传得神乎其神的外国反病毒厂商默认情况下,是不开启“主动防御功能”的。如果您还为了“主动防御功能”而选择某个反病毒产品,我不得不说,完全是在搞“盲目崇拜”。目前,厂商宣传的“主动防御功能”只是一个普通技术而已,绝对没有宣传的那么神。而且,这种技术并不是一项成熟的技术,还存在这样或那样的问题,需要进一步完善。4内网安全管理很重要安全领域较大的误区是对的安全虽然很重视,却忽视了内网的安全。来自内部网络的攻击有愈演愈烈之势,内网安全已经成为管理的隐患。・204・全国计算机安全学术交流会论文集信息资料被非法泄露、拷贝、篡改,往往给部门造成政治和经济的双重重大损失。必须使内部网络始终在安全、可靠、保密的环境下运,帮助各类业务统一优化、规范管理,保障各类业务正常安全运行。日前在网络安全的IT投入上,多数行业盛行的都是“2:8法则”,即认为内网、安全投入的合适比例为2:8,普遍存在重外轻内的现象。受“2:8法则”影响,对于内网安全重视不足,投入过少。对内网安全的认识也存在误区,即简单的认为内网安全就是监控审计,或者内网安全就是数据加密,也使建立起来的内网安全体系或多或少都留有隐患。实际上内网安全体系还涵盖身份认证、授权管理等方面,更需要一个功能强大、应用覆盖面广的平台方能胜任。内网的安全常见问题,具体说来,就是如下几点:资产管理失控。网络中终端用户随意增减调换,每个终端硬件配备(cpu、硬盘、内存等)肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载,各种外设(软驱、光驱、闪存、打印机、Modem等)无节制使用;网络资源滥用。IP地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载、登录色情反动网站等行为影响工作效率,影响网络正常使用;病毒蠕虫入侵。由于打补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续的影响;外部非法接入。移动设备和新增设备未经过安全检查和处理违规接人或者入侵内部网络,带来病毒传播,黑客入侵等不安全因素;内部非法外联。内部网络用户通过调制解调器、双网卡无线网卡等设备进行在线违规;拨号上网、违规离线上网等,或违反规定将专网专用计算机带出网络进入到其他网络;重要信息泄密。因系统漏洞、病毒入侵、非法接入,非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失;补丁管理混乱。终端用户不了解系统补丁状态,不及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。以上内网安全经常忽略的几点问题,总结归纳实际就是从以下几点来考虑并逐一解决。进行补丁自动分发部署和补丁控制(微软公司SUS/SMS存在功能不错),进行外来笔记本电脑随意接入控制,对未安装防病毒软件的终端进行统计(前文已经交待),对感染蠕虫病毒的计算机快速定位,并强制其断开网络连接;如何有效进行网络“设备资源管理”;对终端的安全策略进行统一配置管理;审计终端的各种违规行为。对于检察机关来说,信息安全保障系统建设,不仅需要严格的“制度防内”包括建立严密的计算机管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障信息系统的安全正常运行;更需要成熟完善的“技术防内”,通过技术手段上加强安全措施,防止内部违规行为,防止内网的信息泄密,使正常业务与应用不受影响。“内忧”胜于“外患”,检察机关不仅需要铸造如同长城一般的边关防御体系,同样需要着重管理,打造安全和谐的内部环境。参考文献【l】天马行空防毒【J】.网管员世界,2008(5):36[2】刘志勇.数据中心“八面埋伏”[J】.网管员世界,2008(6):35对检察机关网络安全架构若干问题的简要分析
作者:作者单位:
高远, 刘颖
高远(黑龙江省人民技术处,哈尔滨市 150090), 刘颖(黑龙江省科学院学术和信息处,哈尔滨市 150001)
本文链接:http://d.g.wanfangdata.com.cn/Conference_6879005.aspx
