2018年7月10日,由中國互聯網協會主辦的第十七屆中國互聯網大會在北京召開。圍繞「新時代新征程 新動能」的大會主題,360企業安全集團董事長齊向東也以三個「新」作答,給出了應對當前網路安全形勢的三個「葯方」——新技術、新系統和新機制,即第三代網路安全技術、網路安全防護的「三位能力」系統和關鍵信息基礎設施網路安全的三方制衡機制。
齊向東給出的第三個「葯方」是三方制衡機制。他強調,保障關鍵信息基礎設施的網路安全,需要將建設、運營和安全服務三個角色分開,這和建築工程需要建設方、施工方和監理方三方制衡是一個道理。
「現在我國各地都在大力建設雲平台、大數據中心,安全是政務雲的生命線,需要明晰各方的分工和責任,甲方是建設方,要嚴格要求,乙方雲廠商,要提高標准,還需要第三方安全服務查漏補缺,這三方互相制衡,才能從最大程度上杜絕漏洞,長治久安。」齊向東說。
內容來源 新華網
❷ 第三代網路安全技術是什麼技術
網路技術在不斷發展,網路服務的內容在不斷擴展,網路安全的理念與技術也需要隨之不斷地更新和發展.本文在對網路安全技術的發展趨勢進行研究的基礎上,給出了"第三代網路安全"的基本概念和技術框架,提出了網路安全領域下一步應重點研究的一些技術和方法.認為,容忍技術是"第三代網路安全"的一個重要的組成部分。
❸ 網路管理的分類功能
事實上,網路管理技術是伴隨著計算機、網路和通信技術的發展而發展的,二者相輔相成。從網路管理范疇來分類,可分為對網「路」的管理。即針對交換機、路由器等主幹網路進行管理;對接入設備的管理,即對內部PC、伺服器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬體的信息等。根據網管軟體的發展歷史,可以將網管軟體劃分為三代:
第一代網管軟體就是最常用的命令行方式,並結合一些簡單的網路監測工具,它不僅要求使用者精通網路的原理及概念,還要求使用者了解不同廠商的不同網路設備的配置方法。
第二代網管軟體有著良好的圖形化界面。用戶無須過多了解設備的配置方法,就能圖形化地對多台設備同時進行配置和監控。大大提高了工作效率,但仍然存在由於人為因素造成的設備功能使用不全面或不正確的問題數增大,容易引發誤操作。
第三代網管軟體相對來說比較智能,是真正將網路和管理進行有機結合的軟體系統,具有「自動配置」和「自動調整」功能。對網管人員來說,只要把用戶情況、設備情況以及用戶與網路資源之間的分配關系輸入網管系統,系統就能自動地建立圖形化的人員與網路的配置關系,並自動鑒別用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。 根據國際標准化組織定義網路管理有五大功能:故障管理、配置管理、性能管理、安全管理、計費管理。對網路管理軟體產品功能的不同,又可細分為五類,即網路故障管理軟體,網路配置管理軟體,網路性能管理軟體,網路服務/安全管理軟體,網路計費管理軟體。
下面我們來簡單介紹一下大家熟悉的網路故障管理、網路配置管理、網路性能管理、網路計費管理和網路安全管理五個方面網路管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網路管理的五大功能,並被廣泛接受。這五大功能是:
⑴故障管理(Fault Management)
故障管理是網路管理中最基本的功能之一。用戶都希望有一個可靠的計算機網路。當網路中某個組成失效時,網路管理器必須迅速查找到故障並及時排除。通常不大可能迅速隔離某個故障,因為網路故障的產生原因往往相當復雜,特別是當故障是由多個網路組成共同引起的。在此情況下,一般先將網路修復,然後再分析網路故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網路故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:⑴故障監測:主動探測或被動接收網路上的各種事件信息,並識別出其中與網路和系統故障相關的內容,對其中的關鍵部分保持跟蹤,生成網路故障事件記錄。
(1)故障報警:接收故障監測模塊傳來的報警信息,根據報警策略驅動不同的報警程序,以報警窗口/振鈴(通知一線網路管理人員)或電子郵件(通知決策管理人員)發出網路嚴重故障警報。
(2)故障信息管理:依靠對事件記錄的分析,定義網路故障並生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日誌,構造排錯行動記錄,將事件-故障-日誌構成邏輯上相互關聯的整體,以反映故障產生、變化、消除的整個過程的各個方面。
(3)排錯支持工具:向管理人員提供一系列的實時檢測工具,對被管設備的狀況進行測試並記錄下測試結果以供技術人員分析和排錯;根據已有的排錯經驗和管理員對故障狀態的描述給出對排錯行動的提示。
(4)檢索/分析故障信息:瀏閱並且以關鍵字檢索查詢故障管理系統中所有的資料庫記錄,定期收集故障記錄數據,在此基礎上給出被管網路系統、被管線路設備的可靠性參數。
對網路故障的檢測依據對網路組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日誌中,並不作特別處理;而嚴重一些的故障則需要通知網路管理器,即所謂的警報。一般網路管理器應根據有關信息對警報進行處理,排除故障。當故障比較復雜時,網路管理器應能執行一些診斷測試來辨別故障原因。
⑵計費管理(Accounting Management)
計費管理記錄網路資源的使用,目的是控制和監測網路操作的費用和代價。它對一些公共商業網路尤為重要。它可以估算出用戶使用網路資源可能需要的費用和代價,以及已經使用的資源。網路管理員還可規定用戶可使用的最大費用,從而控制用戶過多佔用和使用網路 資源。這也從另一方面提高了網路的效率。另外,當用戶為了一個通信目的需要使用多個網路中的資源時,計費管理應可計算總計費用。
⑴計費數據採集:計費數據採集是整個計費系統的基礎,但計費數據採集往往受到採集設備硬體與軟體的制約,而且也與進行計費的網路資源有關。
⑵數據管理與數據維護:計費管理人工交互性很強,雖然有很多數據維護系統自動完成,但仍然需要人為管理,包括交納費用的輸入、聯網單位信息維護,以及賬單樣式決定等。
⑶計費政策制定;由於計費政策經常靈活變化,因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。
⑷政策比較與決策支持:計費管理應該提供多套計費政策的數據比較,為政策制訂提供決策依據。
⑸數據分析與費用計算:利用採集的網路資源使用數據,聯網用戶的詳細信息以及計費政策計算網路用戶資源的使用情況,並計算出應交納的費用。
⑹數據查詢:提供給每個網路用戶關於自身使用網路資源情況的詳細信息,網路用戶根據這些信息可以計算、核對自己的收費情況。
⑶配置管理(Configuration Management)
配置管理同樣相當重要。它初始化網路、並配置網路,以使其提供網路服務。配置管理是一組對辨別、定義、控制和監視組成一個通信網路的對象所必要的相關功能,目的是為了 實現某個特定功能或使網路性能達到最優。
⑴配置信息的自動獲取:在一個大型網路中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對於不熟悉網路結構的人員來說,這項工作甚至無法完成『因此,一個先進的網路管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網路結構和配置狀況的情況下,也能通過有關的技術手段來完成對網路的配置和管理。在網路設備的配置信息中,根據獲取手段大致可以分為三類:一類是網路管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網路管理協議標准中有定義,但是對設備運行比較重要的配置信息;三類就是用於管理的一些輔助信息。
⑵自動配置、自動備份及相關技術:配置信息自動獲取功能相當於從網路設備中「讀」信息,相應的,在網路管理應用中還有大量「寫」信息的需求。同樣根據設置手段對網路配置信息進行分類:一類是可以通過網路管理協議標准中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
⑶配置一致性檢查:在一個大型網路中,由於網路設備眾多,而且由於管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上『即使是同一個管理員對設備進行的配置,也會由於各種原因導致配置一致性問題。因此,對整個網路的配置情況進行一致性檢查是必需的。在網路的配置中,對網路正常運行影響最大的主要是路由器埠配置和路由信息配置,因此,要進行一致性檢查的也主要是這兩類信息。
⑷用戶操作記錄功能:配置系統的安全性是整個網路管理系統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,並保存下來。管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。
⑷性能管理(Performance Management)
性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網路及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網路以維持網路的性能。性能管理收集分析有關被管網路當前狀況的數據信息,並維持和分析性能日誌。一些典型的功能包括:
⑴性能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存餘量。對於每個被管對象,定時採集性能數據,自動生成性能報告。
⑵閾值控制:可對每一個被管對象的每一條屬性設置閾值,對於特定被管對象的特定屬性,可以針對不同的時間段和性能指標進行閾值設置。可通過設置閾值檢查開關控制閡值檢查和告警,提供相應的閾值管理和溢出告警機制。
⑶性能分橋:對歷史數據進行分析,統計和整理,計算性能指標,對性能狀況作出判斷,為網路規劃提供參考。
⑷可視化的性能報告:對數據進行掃描和處理,生成性能趨勢曲線,以直觀的圖形反映性能分析的結果。
⑸實時性能監控:提供了一系列實時數據採集;分析和可視化工具,用以對流量、負載、丟包、溫度、內存、延遲等網路設備和線路的性能指標進行實時檢測,可任意設置數據採集間隔。
⑹網路對象性能查詢:可通過列表或按關鍵字檢索被管網路對象及其屬性的性能記錄。
⑸安全管理(Security Management)
安全性一直是網路的薄弱環節之一,而用戶對網路安全的要求又相當高,因此網路安全管理非常重要。網路中主要有以下幾大安全問題:
網路數據的私有性(保護網路數據不被侵 入者非法獲取),
授權(Authentication)(防止侵入者在網路上發送錯誤信息),
訪問控制(控制訪問控制(控制對網路資源的訪問)。
相應的,網路安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日誌。包括:
網路管理過程中,存儲和傳輸的管理和控制信息對網路的運行和管理至關重要,一旦泄密、被篡改和偽造,將給網路造成災難性的破壞。網路管理本身的安全由以下機制來保證:⑴管理員身份認證,採用基於公開密鑰的證書認證機制;為提高系統效率,對於信任域內(如區域網)的用戶,可以使用簡單口令認證。
⑵管理信息存儲和傳輸的加密與完整性,Web瀏覽器和網路管理伺服器之間採用安全套接字層(SSL)傳輸協議,對管理信息加密傳輸並保證其完整性;內部存儲的機密信息,如登錄口令等,也是經過加密的。
⑶網路管理用戶分組管理與訪問控制,網路管理系統的用戶(即管理員)按任務的不同分成若干用戶組,不同的用戶組中有不同的許可權范圍,對用戶的操作由訪問控制檢查,保證用戶不能越權使用網路管理系統。
⑷系統日誌分析,記錄用戶所有的操作,使系統的操作和對網路對象的修改有據可查,同時也有助於故障的跟蹤與恢復。
網路對象的安全管理有以下功能:
⑴網路資源的訪問控制,通過管理路由器的訪問控制鏈表,完成防火牆的管理功能,即從網路層(1P)和傳輸層(TCP)控制對網路資源的訪問,保護網路內部的設備和應用服務,防止外來的攻擊。
⑵告警事件分析,接收網路對象所發出的告警事件,分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息),實時地向管理員告警,並提供歷史安全事件的檢索與分析機制,及時地發現正在進行的攻擊或可疑的攻擊跡象。
⑶主機系統的安全漏洞檢測,實時的監測主機系統的重要服務(如WWW,DNS等)的狀態,提供安全監測工具,以搜索系統可能存在的安全漏洞或安全隱患,並給出彌補的措施。
⑹上網行為管理
小草網管軟體綜合智能動態帶寬保障,伺服器流量分析與保障、虛擬多設備管理等多項突破性技術,涵蓋流量分析、帶寬管理、上網行為管理、DMZ區伺服器管理,專線集中管理、企業級防火牆與路由器、負載均衡等功能,在網路性能、質量、安全等方面為客戶提供完整的解決方案。本產品已獲得各行業客戶的廣泛認可,成為企業網關綜合管理軟體產品第一品牌。
1.企業網關統一管理系統
2. 支持在windows操作系統上安裝與部署
3.安裝與操作簡單易用
4. 流量分析准確
5. 流控效果顯著
6.市場上唯一支持對DMZ區與內網伺服器管理的產品
7. 市場上唯一支持對多條專線統一集中管理的產品
❹ 國外研究了3G網路安全的哪些問題
第三代移動通信系統(3G)在2G的基礎上進行了改進,繼承了2G系統安全的優點,同時針對3G系統的新特性,定義了更加完善的安全特徵與鑒權服務。未來的移動通信系統除了能夠提供傳統的語音、數據、多媒體業務外,還應當能支持電子商務、電子支付、股票交易、互聯網業務等,個人智能終端將獲得廣泛使用,移動通信網路最終會演變成開放式的網路,能向用戶提供開放式的應用程序介面,以滿足用戶的個性化需求。因此,網路的開放性以及無線傳輸的特性,使安全問題將成為整個移動通信系統的核心問題之一。
3G系統的面臨的安全問題與以往的移動通信網路有本質的不同:3G上最重要的安全問題將是IP網路的安全和基於IP技術的應用的 安全。其中IP網不僅指承載網,更是指業務網;IP應用也不僅指網際網路瀏覽、下載、郵件等應用,也包括承載在IP協議之上的移動通信系統控制信令和 數據。
安全威脅產生的原因來自於網路協議和系統的弱點,攻擊者可以利用網路協議和系統的弱點非授權訪問和處理敏感數據,或是干擾、濫用網路服務,對用戶和網路資源造成損失。按照攻擊的物理位置,對移動通信系統的安全威脅可以分為無線鏈路的威脅、對服務網路的威脅和對移動終端的威脅。主要威脅方式有以下幾種:
(1)竊聽,即在無線鏈路或服務網內竊聽用戶數據、信令數據及控制數據;
(2)偽裝,即偽裝成網路單元截取用戶數據、信令數據及控制數據,偽終端欺騙網路獲取服務;
(3)流量分析,即主動或被動流量分析以獲取信息的時間、速率、長度、來源及目的地;
(4)破壞數據的完整性,即修改、插入、重放、刪除用戶數據或信令數據以破壞數據的完整性;
(5)拒絕服務,即在物理上或協議上干擾用戶數據、信令數據及控制數據在無線鏈路上的正確傳輸,以實現拒絕服務攻擊;
(6)否認,即用戶否認業務費用、業務數據來源及發送或接收到的其他用戶的數據,網路單元否認提供的網路服務;
(7)非授權訪問服務,即用戶濫用許可權獲取對非授權服務的訪問,服務網濫用許可權獲取對非授權服務的訪問;
(8)資源耗盡,即通過使網路服務過載耗盡網路資源,使合法用戶無法訪問。
(9) 隨著網路規模的不斷發展和網路新業務的應用,還會有新的攻擊類型出現。