一、对安全协议进行分析帮助企业做好内网安全管理
随着企业内网泄密事件的不断发生,企业做好内网安全管理刻不容缓,今天就通过安全协议进行分析来保障企业的内网信息安全。安全协议是指利用密码技术实现的用于增强系统安全所需的协议,它是许多分布式系统安全的基础。 大多数安全协议只有为数不多的几个消息传递,其中每一个消息都是经过巧妙设计的,消息之间存在着复杂的相互作用和制约;同时,安全协议中使用了多种不同的密码体制,安全协议的复杂性导致许多安全协议存在不同程度的安全缺陷。造成协议存在安全缺陷的原因是,协议设计者没有采用恰当的技术,或者对环境要求的安全需求认识不足。
因此,对协议的安全性进行分析和研究是一个重要课题。由于实际应用的安全协议产生缺陷的原因是多种多样的,所以很难有一种通用的方法给安全协议的安全缺陷进行分类。 不难想象,即使协议中所用到的密码算法绝对安全,仍然可能因为参与者之间的交互协议存在漏洞或缺陷而导致协议遭到攻击。这样的例子有很多,如密钥交换协议可能遭受中间人攻击,而与密码算法的安全性无关。因此,确保协议自身的安全是至关重要的。
安全协议的安全性证明是一个困难的问题,许多广泛应用的安全协议后来都被发现存在安全缺陷。因此,从安全协议分析和设计的角度来看,所有安全协议应当进行严格的分析和论证。
目前,对安全协议进行分析的方法主要有攻击检验方法和形式化分析两种。所谓攻击检验方法,就是穷举使用目前已知的对协议的有效攻击方法,对安全协议进行攻击,检验安全协议是否具有抵抗这些攻击的能力。
二、内网安全管理中基于协议验证的检测方法的利弊
如今,谁能及早的检测出内网安全隐患或内网安全攻击,谁就能保证自身的信息安全。其中,入侵检测技术就广泛应用在企业内网安全管理中,通过检测来保证内网信息安全。今天就为大家介绍下基于协议的入侵检测技术。基于协议验证的入侵检测的思想是验证网络流量是否遵循相应的协议规范。例如,客户端发出的HTTP请求,是否遵循HTTP协议规范,这种方法有很多优点:
第一,因为正确的非恶意网络流量不会违反协议规范,因此一旦发现网络流量违反协议规范就可以判定一定是攻击或可疑行为。
第二,编程人员在编写程序时,由于进度等各方面的压力,有时考虑得不是非常细致,对于边界条件的处理可能存在问题,导致内网安全漏洞。目前也有一些自动内网安全工具,基于类似的思想进行渗透攻击。例如,如果协议规定用户名只能有20字节,攻击工具可能提供一个200字节的用户名,测试被攻击目标在这种情况下的反应。因此,协议验证方法对于某些未知的攻击模式也起作用。
第三,这种方法的基础是协议解析,因此可以针对漏洞模式而不是入侵模式进行检测,检测的准确率比基于规则的方法要高。
协议验证方法的缺点是,对于每个协议都需要编写相应的解析程序,比较复杂。另外当基于规则的入侵检测系统的规则数目不是很多时,基于规则的的入侵检测系统速度更快。还有一点需要注意,有些入侵检测系统,不是完全按照是否遵循协议规范来判定是否是入侵或可疑行为,而是根据异常来判断。 三、加强内网安全管理的建议和措施 可管理的安全才是真正的安全。虽然管理对于信息安全的重要性已经逐渐达成共识,但如何将安全管理规章和技术手段有效的结合在一起,真正提高信息安全的有效性,依然是我们共同面临的挑战。安全关注的趋势由外而内,由边界到主机,由分散到集中,由系统到应用,由通用到专用,由分离到整合,由技术到管理。从实际工作出发和借鉴兄弟单位成功经验,我总结了加强内网安全的措施如下: 1)按照企业的管理框架,根据不同的业务部门或子公司划成了不同的虚拟网(Vlan)。通过划分虚拟网,可以把广播限制在各个虚拟网的范围内,从而减少整个网络范围内广播包的传输,提高了网络的传输效率。 同时,由于各虚拟网之间不能直接进行通讯,而必须通过路由器转,为高级的安全控制提供了可能,增强了网络的安全性,也给管理带来了极大的方便性。特别是核心业务和重要部门根据安全的需要划成了不同的虚拟网,采用完全隔离或者相对隔离的措施,保证了核心业务和重要部门的安全性。 2)对企业网络的物理线路进行规范化管理。按照区域、楼层、配线间、房间、具体位置规范化管理编号的原则,把所有的网络线路编号,套上清晰的线标,配置可网管的交换机。 同时对交换机、配线架、电脑等设备的物理配置、存放的具体位置以及电脑的软件系统和系统配置等基础数据进行详细的登记,同时还对IP地址进行统一管理,把电脑的IP地址、MAC地址、使用人和各种基础数据进行关联,当网络或者电脑发生故障时,网管们能够通过基础数据管理系统实现快速定位、快速排查故障,极大地提高了网管们解决故障的工作效率。
|