一、上網行爲管理技術
上網行爲管理技術作爲一種積極主動地安全防護技術,它提供了一種對於局域網內部攻擊、駭客外部侵入的實時保護技術。上網行爲管理技術是隨着網絡的發展而產生的新的防毒、防駭客的安全技術。由於對網絡安全的要求,已不能侷限於被動的防護(如:端口控制、防火牆、防病毒之類),而更關注人們的網絡行爲。因爲更多的攻擊和破壞是來自我們內部的漏洞和管理。爲了保證局域網內部網絡信息在傳輸與存儲過程中的安全性、機密性和完整性,上網行爲管理技術是按照一定的安全策略,對外部網絡以及內部局域網的運行狀況、上網行爲進行監控,儘可能發現各種攻擊企圖、攻擊行爲或攻擊結果,從而進行攔截或發出警告,是非常有效和實用的的網絡安全技術。
二、上網行爲管理技術的性能指標
隨着網絡技術的不斷提高和網絡安全係數的降低,傳統意義上的防火牆、殺毒軟件已經無法應對多變的安全威脅。而我們現在更多的威脅不是來自駭客的攻擊、病毒的的入侵。而更多的是來自我們內部網絡,內部管理鬆懈幫了駭客的大忙。再厲害的駭客要實施攻擊,也必須在現有的系統或網絡上找到突破口。而上網行爲管理技術從根本上解決了這一問題。其技術主要包括以下四個指標:
1。 上網內容過濾的準確性,特別是URL地址庫的及時更新完善;
2。 針對不斷涌現應用協議識別的完備性,如P2P、IM、音視頻、網遊等;
3。 信息保密性:防止各種重要敏感信息通過郵件、IM、FTP、BBS等方式泄露出去;
4。 網絡硬件平臺的增強性,通過不斷增強上網行爲管理的網絡硬件平臺來保證其性能提升。
主要協議識別→管理控制(→分析報表FTP、HTTP、SMTP、P2P、IM
三、上網行爲管理技術具體應用
1、建立身份認證體系
沒有嚴格的認證就無法有效的區分用戶,也就無法部署差異化授權和審計策略,自然無法有效防禦身份冒充、權限擴散與濫用等。上網行爲管理技術支持多種上網身份認證方式。通過認證和硬件綁定能有效的區分用戶身份,審計和防禦身份冒充、權限擴散與濫用。上網行爲管理無須客戶端軟件的WEB的認證方式,支持對所有或特定用戶免認證,也可採用基於IP/MAC綁定的認證技術。
2、細緻的訪問權限分配
上網行爲管理技術不僅設置了差異化的互聯網訪問權限,還有差異化的行爲審計策略,按照行政架構、IP分段、VLAN信息建立用戶組結構。爲了給不同用戶、不同部門授予差異化的防問權限,包括差異化的行爲審計策略,支持用戶名、密碼身份驗證方式的同時,還可提供綁定IP/MAC功能,並提供多種身份認證方式,可以限定賬號的生效期限。其豐富的用戶身份識別方式使得管理員可以自由的根據實際用戶在組織內的身份和權限合理安排其對應的認證手段。
3、全面的監控審計功能
上網行爲管理體制完善的訪問審計和監控功能能夠有效防止信息通過網絡泄密。建立訪問審計、監控審計、模塊構築完備的內部安全屏障。其實真正的網絡安全不在於外部駭客的攻擊,而是內部網絡使用者的泄漏,所以建立強大的內部安全管理策略,減少內部泄密行爲。上網行爲管理技術主要監控和審計郵件、BBS、論壇發貼,QQ、MSN等內容,審計網絡內外用戶對內部服務器的訪問操作。
4、海量日誌檢索與報表
通過設置外置中心數據中心,可供管理員對網絡流量、垃圾郵件、網絡監控、安全日誌等詳細信息查詢,並可詳細的分析出Internet網中的詳細使用情況,
5、特有的單點登陸技術
將單點登錄技術同認證機制結合在一起,讓通過域認證的用戶可以更加方便的實現Web認證。通過數據包監聽方式支持LDAP單點登陸功能,若有第三方介入內網立刻禁止訪問,進一步降低了信息外泄的風險。
6、提供“客戶端准入規則”(Network Admission Rules,NAR)認證功能。
在局域網內客戶端的安全級別往往難以保證,使用版本陳舊的操作系統、不及時更新補丁、長時間不更新防火牆和殺毒軟件等,都給病毒和駭客的攻擊大開方便之門。而這種狀況可以通過對客戶端的評估來實現。當啓用了局域網客戶端准入規則功能後,局域網內用戶第一次發起互聯網連接請求時,“客戶端准入規則”將“動態分發准入代理”(Sinfor Ingress Agent,SIA)至客戶端主機。SIA主要確定端口是否遵從管理員設定的安全策略,SIA中配置了用於檢查預定義的和可定製的標準,它可以檢測到局域網內的用戶是否及時給操作系統打補丁、是否安裝殺毒軟件、殺毒軟件是否升級到最新版本等等。當SIA將蒐集到的客戶端信息傳回後臺後,如果局域網內某用戶的安全狀態不符合SIA的規則設置,上網行爲管理的網關將對該用戶執行預定的策略,可直接禁止上網或彈出警告,從而有效避免了不安全事件的發生。
四、上網行爲管理技術存在的問題
1、由於上網行爲管理系統每天產生大量的日誌,其中包括流量統計日誌、郵件日誌、網絡監控日誌、准入規則日誌和安全日誌,對於每天這樣大量的日誌數據,網絡管理人員不能保證每天都檢測報告信息,也不可能每天實時監控分析數據,如何將有用的數據在極短的.時間內過濾出來,讓網絡管理員能在有效的時間段內發現網絡中出現的問題,這將對上網行爲管理技術來說更爲理想。
2、對於網絡中出現的IP地址衝突不能及時有效的提醒管理員注意,需手動解決或發現。
3、上網行爲管理中技術中的URL對網頁的過濾並不全面。因爲有一些聊天網站通過變化端口照樣可以訪問。
五、結語
保證網絡信息安全最重要的不是運用一種或幾種成熟的安全防禦技術,重要的是思想上的高度重視。要確保網絡安全尤其是局域網的安全,我們的科研人員就必須樹立“三分技術,七分管理”的思想。安全對於我們是至關重要的。所以必需要建立一個行之有效、完善的網絡安全體系,並制定相關的網絡管理策略和規章制度,然後纔是安全產品和網絡技術的幫助。否則就不可能有一個真正意義上的網絡安全防護體系。目前我們對網絡信息安全的管理基本還處在一個靜態的、局部的、少數人負責的、突擊式的、事後糾正的管理方式下,不能從根本上避免和降低各類網絡風險,也不能降低信息安全故障導致的綜合損失。事實上很多病毒事件和攻擊都是因爲我們打開一些非法網頁、訪問非法BBS論壇、或通過FTP下載文件以及即時通訊軟件傳播文件而引發的。據統計數據顯示,在我國針對網絡遊戲、聊天軟件、接發郵件的木馬病毒數量比去年增加了五倍,達到90421個,佔到總病毒數量的75。7%,可見,如果我們做好自身的防範工作,就可以避免決大多數的網絡安全事故。建立和實施嚴密的計算機網絡安全制度與安全策略是真正實現網絡安全的基礎。而上網行爲管理技術、網絡管理策略以及規章制度三者的有機結合纔是網絡信息安全最有力的保障。
參考文獻:
1、李渙洲。網絡安全與入侵檢測技術【J】。四川師範大學學報,2001,3。
2、王曼維。新形勢下計算機網絡安全及策略【J】。長春大學學報,2004,2。
3、馮登國。計算機通信網絡安全【M】。清華大學出版社,2001。
4、崔國棟。計算機網絡安全問題和對策探析【J】。 現代經濟信息,2009,17。
5、趙慶祥等。信息時代計算機網絡安全探析【J】。信息安全與通信保密,2009,8。
6、蘇孝青等。計算機網絡安全技術發展與防火牆技術探討【J】。科技創新導報,2009,25。
