网络安全漫谈

网络侠客

前两天又看到了微软的补丁升级通知，公司发，邮箱发、MSN发总之大家都在发。不禁感叹现在如果自己电脑里进了一个黑客甚至比家里进了一个小偷还可怕。重要文件被盗轻则丢掉工作，重则还有牢狱之灾。如果要是公司网络造到袭击，很可能导致整个公司业务瘫痪。
网络安全不知不觉成了国计民生的大问题，那就和大家唠叨一下网络安全。整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。
安全技术手段
物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。
访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限，等等。
数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
网络安全 主动防御
说道病毒防御，目前主要分成两种一是安全厂商，杀毒软件往往专业于某一个方面，而没有一个成长平台，很难把免疫能力扩散到、复制到、覆盖到整个网络。另外一种是网络厂商，基于硬件的网络管理和病毒防御，可以更好地控制路由器、交换机等网络设备。随着企业对网络安全的重视程度日益增加，在选择网络设备和网络解决方案时，安全特性已经成为一项重要的考虑因素。
在一个安全的网络解决方案中，主动防御将成为一个重要的特点。为实现网络安全性，首先需了解将进攻与防御纳入单一综合系统的重要性。您必须了解网络资产遭遇的内外威胁，以及在这些资产遇到危险的情况下，您企业所面临的风险。主动防御综合了安全性理念和安全性战略，可为用户提供可信的网络基础设施架构，以阻止多种威胁的入侵，并对访问加以适当控制，保护所有用户的数据完整性。目前很多硬件产品都在主动防御和病毒防御上大做文章比如ProCurve NAC 800 就可以提供一套全面的测试流程，用于评估端点当前的完整性和适当配置，以避免网络遭受攻击。
首先要在防控上做好，访问控制实际上是做到主动防御的第一步；其次就是结构要合理，如果网络本身的结构就不合理，网络的技术平台本身就不合适，在这个基础上进行安全防护效率就很低；第三，要有一个策略驱动的智能边缘，它可以为系统提供端口级的策略驱动，保证网络的安全和优化。
还以惠普网络NIM（网络免疫管理系统）解决方案为例，NIM可将可疑流量远程映射到IDS、IPS、UTM设备，以便进一步分析，为管理员提供可防范多种恶意攻击的功能以及丰富的攻击减缓和攻击者跟踪的功能。系统还可以深入了解网络的内部威胁活动，帮助管理人员大幅度提高网络可用性。传统上IDS等设备只负责单一链路检测，NIM则可将IDS等功能扩散到全网，扩散到每一个交换机的端口。从这个角度看，我们可以认为NIM使得网络中的交换设备具有安全探测能力。
这就对网络提出了更高的要求，比如说无缝化的连接、更高的安全智能以及法规遵从等，但是最重要的一点是，将来的网络必须“Easy To Use”。现在，各大设备供应商实际上也就是在安全和易用上做文章。未来的网络应该具有更好的安全免疫能力，而不能简单地把安全防护工作完全交给防火墙、IDS等专业安全设备。