一、厂商简介
北京冠群金辰软件有限公司成立于1998年7月15日,是由CA有限公司与公安部中国金辰安全技术实业公司共同出资成立的中外合资企业,这是国内软件业的第一次合资,也是国外先进计算机网络安全技术与国内先进的反病毒技术的首次融合。
冠群金辰前身之一是中国公安部金辰公司,其创立了著名的反病毒品牌--"KILL",经过十余年的积累,KILL在中国安全领域,家喻户晓,深入人心。与世界著名的Computer Associate公司合资后,融合了CA公司全球领先的安全技术和雄厚的资金背景,冠群金辰得以迅速成长。
成立以来,适应中国安全市场的不断变化,冠群金辰不断调整自身发展策略:将知名的KILL防病毒品牌与eTrust安全产品系列有效整合,全面拓展公司产品线,成功调整公司销售、技术等服务团队。现在,冠群金辰已经成为中国安全市场第一个根据用户需求定制化的整体解决方案提供商,具备雄厚的实力以及强大的发展潜力。
二、成功案例
国家计委
国家海关
中国电信
中国联通
...........
三、解决方案
1、网络安全的目标及服务
网络安全的目标主要可以用三句话描述:
网络访问主体能够且只能够访问他被授权访问的网络资源;
通过不当手段得到的信息是不可被理解的;
被破坏的网络资源应该能够被及时恢复。
对第一句话,我们强调了网络访问主体能够访问他被授权访问的资源,因为这的确是一个很现实的安全问题。 互联网上有很大一部分攻击行为就是拒绝服务攻击(Denial of Service),使原本应该对外提供服务的网络资源被恶意淹没和终止。这句话的另一个隐含意义还有:网络访问主体对他的访问行为不能抵赖。
第二句话的含义就是指网络中存储和流动的信息不是以明文的形式存在,通过网络漏洞或其它不当手段得到的信息是不能被理解或至少在该信息失效前是不被理解的。
第三句话的含义就是网络上的资源应有备份系统或有抗破坏能力,比如系统校验恢复。
用更通俗的方式表达就是安全要实现:“进不去、窃不走、看不懂、改不了、打不乱、赖不了、跑不掉”。
基于此,国际标准化组织在其制定的有关开放系统互连参考模型的安全体系结构(ISO7498-2)中也定义了五个标准安全服务:
身份认证服务
访问控制服务
数据保密性服务
数据完整性服务
不可否认服务
除此之外, 一个好的安全系统也离不开以下几个方面:
安全风险评估
安全行为审计和分析
安全管理
在明确网络安全的目标后, 我们也必须清楚不同用户的业务对安全的需求和侧重是各不相同的, 而且他们的业务所处的安全环境也是各有差异的,比如证券,保险等金融行业较侧重于信息的存取控制能力, 而信息发布网站则更侧重于服务保证能力; 因此没有一个单一的安全工具或网络方案能够满足所有用户的所有安全要求。网络安全的首要任务就是满足用户的业务需求, 离开这一主题, 奢谈安全技术和产品无异于南辕北辙。
2、网络安全攻击分析
网络安全攻击主要出于两个目的:窃取信息和破坏系统。从动机上是出于政治,军事,经济等目的,但当前也有相当部分安全攻击仅仅出于攻击者的心理自满或炫耀。
网络攻击的来源包括两个:内部网络和企业外网,相比起来,来自内网的攻击可能更不容易为人们所警惕和防范。这也是网络安全管理员要格外注意的环节。
网络攻击的一般模式我们可以通过下图看出:
现实表明, 安全攻击行为的层次越深, 意味攻击者的技术水平越高, 其攻击所造成的破坏力和破坏范围就越大。
网络安全攻击的常用手段有:
口令攻击
漏洞扫描
包侦测
地址欺骗
拒绝服务
缓冲区溢出
病毒和特洛伊木马
未授权访问
随着互联网技术和应用的普及, 网络攻击行为也在逐步发生一些特征上的变化, 如下图所示:
网络攻击工具的普遍性和易得到性会使得网络安全问题由以前的少见少量变化成普遍,大量的发生,并且随着时间的推移,原来的只有高水平黑客才拥有的攻击技术也会变得大众化,所有这些都要求安全防范技术,安全防范范围,安全防范方案和安全管理的水平都要不断的更新和提高。
三.常见的安全工具及功能分析
针对网络安全的目标和现实隐忧, 一些专业网络安全公司都推出了一些相应的安全产品, 虽然各家产品的性能特点不尽相同, 但基本上可以归为以下几类:
身份验证
存取控制(包括防火墙和基于主机的存取控制)
加密
灾难恢复(包括系统备份/恢复和病毒清除工具)
网络活动侦测审计(包括入侵检测系统,审计系统)
安全漏洞检测
其它(如反DDOS工具等)
下面对部分安全工具的功能进行简单说明:
防火墙
防火墙基本上起一个隔离内外网的作用,它可以限定内外网通信的主体以及它们之间的通信协议,比如限制对外开放Telnet登录服务,允许内网访问互联网Web服务等。它对内网两个通信主体或者外网两个通信主体之间的通信是不起作用的。它如同一个企业的门卫。
为防止源地址欺骗攻击,防火墙要能支持RFC2827。很多防火墙还有NAT(网络地址转换)功能。
新一代防火墙已经能支持状态记忆,称之为有状态(Stateful)防火墙,不同于以前的静态防火墙,这类防火墙为复杂协议提供了最坚固的保护,通过跟踪TCP对话及过滤基于对话状态的IP包,它们可以在保持包过滤效率的情况下,用应用级的智能分析功能对数据包进行分析。
基于主机的核心保护
利用禁止未授权访问的全面安全策略来保护关键业务数据和应用。它如同企业的文件保险柜一样,对网络系统资源进行主动的自我保护。
入侵检测系统
实时监视网络活动和分析数据,以检测出发生和可能发生的攻击,并对网络安全行为进行审计。一个好的入侵检测系统还应该对可能的安全攻击行为采取主动响应加以制止。它类似于企业的安全监控系统。
安全漏洞评估
自动检测远程或本地网络节点的安全弱点,并能根据需要生成各类报表。它类似于企业的安全巡检系统。
为保证整体安全解决方案的效率,各安全部件之间应该实现一种联动机制。下图反映了各安全工具之间的理想关系:
四.安全技术建议
对网络安全,我们有几个安全技术方面的建议:
1.任何安全工具都有其合理的定位和安全局限性。
我们认为,若干无关联的安全工具堆砌在一起也并不能组成一个有效的安全技术方案。
像防火墙主要是隔离内外网,屏蔽内外网之间与业务无关的通信,并防止地址假冒,其功能类似于企业的门卫系统;基于主机的核心保护是防止对具体的网络资源进行与业务安全相悖的访问,类似保险柜;入侵检测系统则监视网络通信,对其进行综合分析,并和已有的攻击库相比对,作出响应,类似于保安监视系统;漏洞评估工具则试图找出安全漏洞并加以修正建议,类似于安全检验员。
可以看出,任何安全工具都是针对安全的某一个环节或方面开发的。要保证企业网络通信安全,必须对安全的各个环节都加以防范,并根据业务的具体特性、业务的具体安全环境有相应侧重;同时,网络本身也是一个多样化的、复杂的系统,没有一个安全工具能够满足所有业务的所有安全需求。如同一个单位如果只安装监控系统,而没有对业务文件进行安全存放,那么当监视系统判断出有人有窃密的行为时(很可能还判断不出来),信息窃取事件早已发生,因为这种行为判断本身有时间滞后特性。
简单的把多个安全工具堆砌在一起也并不能提高和改善系统的安全度。安全本身就是一个多环节的联动。当监视系统发觉发生安全问题时,就会通知其它安全部门,比如门卫和保密单位采取相应措施,及时修改安全进出规则。网络安全也一样,当入侵检测系统发现网络异常行为时,会和防火墙、主机核心保护进行联动;当防病毒系统发现新的病毒时,也会及时更新入侵检测系统的病毒攻击库,使入侵检测系统的检测效率提高。当网络安全的各个安全部件(工具)真正实现联动时,网络安全才算实现质的改善。
2.某些安全工具本身具有安全管理双刃性。
这些安全管理的双刃性表现为:
