当前我国网络信息安全的形势严峻,监测数据表明:网络病毒在成熟期呈现出新的特点,并呈爆炸式增长,其发展也呈现出新的动向。因此需要不断地研发推出更加先进的计算机反病毒技术,构建城域网的安全架构,加强无线接入安全防护,大型企业应实行安全分级管理,并出台地方法规加强信息安全保护,实行信息安全监控,做好网络信息安全保障工作。
网络安全形势严峻
病毒爆炸式增长
根据信息安全厂商金山发布的报告,在2008年上半年,电脑病毒、木马的数量呈爆炸式增长。上半年金山毒霸共截获新增病毒、木马1242244个,较去年全年病毒、木马总数增长了338%,其总数已经超过了近五年的病毒总数量的总和。其中下载器类病毒占上半年新增病毒、木马总数的20.3%,多达252175种。作为近年来新出现的一种病毒类型,下载器类病毒与木马不同,一般本身没有盗取用户信息的行为,而是通过杀毒软件,然后再从指定的地址下载大量其他病毒、木马到用户电脑,进而通过其他病毒、木马实现其非法目的。从上半年10大病毒可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒,其程序的主要功能是破坏电脑的“保安”系统,利用各种手段破坏杀毒软件,然后用另一个主要功能:疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本数量。下载器为盗号木马打开“大门”,盗号木马入侵用户电脑进行各种非法操作,下载器成了病毒流程化入侵的第一步;一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,危害非常严重。
病毒发展新动向
根据对大量病毒样本的分析,综合病毒的破坏能力、传播手段、传播目标和范围以及对目前互联网的安全形势与应用环境的判断,我们可以看出当前病毒发展的新动向:一是综合利用多种编程新技术的病毒日益成为主流;二是ARP病毒成为局域网最大的祸害;三是网游病毒大行其道,逐利成此类病毒唯一目标;四是病毒会全面进入驱动级;五是奥运成为病毒借机传播新目标。病毒作者通过以上形式传播病毒,主要目标还是瞄准经济利益。一是用户电脑染毒后,染毒电脑中所有的有价值信息,包括网络游戏账号密码、网上银行账号、网上证券交易账号密码都面临着被盗的威胁,对此用户必须高度重视。
从开始出线到现在为止,网络病毒伴随着因特网的发展经历了转型期、成长期、成熟期。从脚本语言病毒最早的充满错误、没有任何隐藏措施发展到目前的嵌入式结合,病毒正变得越来越复杂,越来越隐蔽,破坏性也越来越大,造成的损失也是传统病毒所不能比的。从近期来看,网络病毒呈现出如下趋势:网络病毒技术不断突破、网络上竞争程序传播方式趋于多样、网络木马数量迅速增长;病毒变种出现快、更新快、自我保护能力强,将成为危害的新特点;混合型病毒成为今后的病毒发展的主要趋势。
三大措施加强网络信息安全
面对目前我国计算机网络安全的严峻形势,需要不断地研发推出更加先进的计算机反病毒技术,才能应对和超越计算机病毒的发展,为电脑和网络用户提供切实的安全保障。电脑用户要增强安全意识,多学习、了解基本的计算机和网络安全防范知识与技术,做到最基本的不登录与点击不明网站和链接,每日升级杀毒软件病毒库和修复操作系统漏洞,尽量使用最新版本的应用软件等安全防范措施。
构建城域网安全架构
IP城域网的网络架构一般分为三个层次:网络核心层、网络汇聚层、宽带接入层,网络的各个层次承担了不同的功能,也面临不同的安全问题。核心层网络主要面临的安全问题是路由的安全及核心层设备自身受攻击的问题;汇聚层网络主要面临的安全问题是路由的安全、各种异常流量的抑制、用户业务的安全以及用户访问的控制;接入层网络主要由一些二层接入设备构成,其主要面临的安全问题是一些基于二层协议的用户攻击行为和广播风暴的抑制等。而城域网所承载的公众业务有CAN用户、通过PPPoE方式接入的宽带上网业务、基于DHCP Opoon82方式的新兴业务(如IPTV),这些业务对安全方面的要求各不相同。LAN业务主要的安全问题是用户隔离和用户接入控制;PPPoE宽带上网主要是用户账号盗用问题;IPTV业务的主要问题是DHCP用户认证方式的安全性。
城域网网络安全架构包括安全模型、核心层安全、汇聚层安全、接入层安全。宽带城域网包括基础承载网络和运营支撑平台两部分。城域承载网是城域网业务接入、汇聚交换的物理核心网。它由核心交换层、边缘汇聚层、综合接入层构成。运营支撑平台由业务支撑平台、网管平台、认证计费平台等组成。对于不同的网络层次应采用不同的安全策略,来控制网络中的安全风险。对于城域网运营支撑平台,采用分区域的安全模型,把支撑平台划分成三个区域:信任域、非信任域和隔离区域。信任域是宽带运营商的基础网络,通常采用防火墙等设备与电信业务承载网隔离,包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行的数据交互的平台,包括电信运营商提供的各种业务平台,如Web服务器等;非信任域是运营商面对客户的基础网络,它直接提供用户的接入和业务,同时也是Internet的一部分,包括基础用户接入、数据更换、媒体网关等设备,是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础,在城域网中起着至关重要的作用,作为安全模型中的非信任域,需要重点考虑。
核心层安全架构必须采用全互联网的网络结构,以充分保证网络的连通性,提供必须的网络冗余功能。汇聚层安全要做到:用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击;支持访问控制列表(ACL),包括在虚拟路由器中创造ACL列表、采用多种过滤规则借多层次对目标网络的保护以及禁止部分用户访问或者有选择地屏蔽网络服务;实现对用户带宽的控制;安全日志管理等。接入层安全设备的安全平面包括:保证接入侧用户相互隔离、保证接入的安全性,防止IP地址被盗用或仿冒,防止用户间的相互攻击;IP地址与MAC地址、卡号绑定、能够准确定位用户,包括端口或MAC地址,并可提供追查恶意用户的手段;在LAN接入方面采用一些端口检测的措施,防止用户二层环路的发生;采用Port Security 措施,防止用户的CAM攻击和ARP 攻击等。
在支撑平台的分域管理方面,首先因为信任域是城域安全运营的核心所在,必须采用最严密的安全措施:部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;部署网络入侵监测系统(IDS);对核心服务实施监控,对网络攻击和病毒及时报警;建立网管系统和日志系统;对重要的主机系统应采用双机热备份方式,对重要的应用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。隔离域则是城域网对外业务服务的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁最大。可采取如下的安全手段:部署防火墙,制定安全访问策略,特别是拒绝服务攻击;及时修补服务器的安全漏洞,关闭不必要的网络服务等;系统备份和日志系统等。非信任域网络安全的主要威胁来自各种攻击和病毒,对非信任域内的安全措施主要是采用一些动态病毒监测、镜像系统备份等手段,防止病毒对系统造成危害;必须采用一些木马动态发现、查杀的工具软件来防止系统漏洞;同时也可以采用一些IDS系统来防止各种DDOS的攻击,保证系统的可用性。
