2010-09-14 10:59:22 来源:万方数据
根据人们以往的经验,由于机房、网络入口集中着大量重要的安全设施,人们的安全防御理念也经常局限于常规的网关级别、网络边界等方面的防御。认为在这些设备的严密监控下,来自网络外部的安全威胁将大大减少。然而情况也的确如此,事实表明,网络管理人员真正需要面对的问题多数来自网络内部的安全成胁。数据显示,安全事件来自于网络内部的威胁竟然高达99.9%,只有0.1%的安全事件来自于网络外部。客户端安全管理是目前网络管理工作量最大的部分。对网络的正常运转威胁最大的也同样是客户端的安全。
1、计算机终端安全管理研究现状和发展趋势
“SQL蠕虫”、“冲击波”、“震荡波”、“熊猫烧香”等病毒的全面性连续爆发已经成为2008年计算机领域的焦点话题。然而以上事件并为平息。接踵而来的是“计算机文件泄密”、“硬盘存储设备资料丢失”、“服务器系统瘫痪”等诸多网络端点安全事件,这一系列事件的爆发.为网络安全管理人员敲响了警钟,只有将终端计算机安全问题作为安全建设的重中之重来处理,才有可能应对网络安全事件的连续发生。企事业单位的内网终端安全是一个综合而复杂的系统工程,管理人员的T作范围涉及管理计算机系统、计算机应用软件、计算机操作人员、计算机使用规范等多个方面。虽然当前市场上有多种网管安伞软件,然而现有的网管软件只具备单一功能。只能应对部分网络安全事件,并不能够解决网络安全管理人员对整个企事业单位电脑的集体管理问题,终端计算机的安全问题更是难以解决。
由于网络管理事件频繁度的不断增加,作为网络管理技术的边缘产物——“终端内网安全管理技术”也逐步衍生、兴起。它与传统安全防御体系的缺陷密切相关,它是对传统网络安全防范体系漏洞的及时补充,它将成为未来网络安全防范体系重要组成部分之一。无论是现在还是未来,终端内网安全管理技术都应当纳入基础网络安全系统体系。由此可见,企事业单位内网网络安全将呈现新的发展趋势.安全防御体系也由计算机核心与主干的防护,逐步转向防护计算机网络边缘的每一个终端。
2、计算机终端安全管理技术研究
2.1防ARP欺骗技术
2.1.1 ARP协议的作用
ARP协议的基本功能就是通过耳标设备的IP地址,查询目标设备的MAC地址,以确保通信的顺利进行。掌握ARP协议的作用,就能明确数据包的向外传输依靠ARP协议,当然,也就是依赖ARF缓存。ARP协议的所有操作都是由内核自动完成的,同其他的应用程序没有任何关系。同时需要注意的是,AfuP协议只适用于同一网段的网络。讶
2.1.2 ARP欺骗技术
有两种方法可以达到ARP欺骗技术的目的:
1)向目标发送伪造的ARP应答数据包,其中发送方的IP地址为网关地址,而MAC地址则为一个伪造的地址。当目标接收到该ARP包时,就自动更新自身的ARP缓存。如果该欺骗一直持续下去,那么目标的网关缓存一直是一个被伪造的错误记录。当然,如果遇到具有计算机管理经验的人员查看ARP-a命令,就知道问题的所在了。
2)网关欺骗技术。中了APR欺骗技术病毒的计算机向局域网内其他计算机的网关发送伪造的ARP应答数据包,其中发送方的IP地址为目标的IP地址,而MAC地址则为一个伪造的地址。这样,网关上的目标ARP记录就是一个错误的信息,网关发送给目标的数据都是使用了错误的MAC地址。这种情况下,目标计算机能够发送数据到网关.却不能接收到网关的任何数据。同时,目标计算机查看自己的ARP-a命令也无法看出任何问题。
2.2 Winsock的网络编程技术
Windows Sockets规范本意在于提供给应用程序开发者一套简单的API,并让各家网络软件供应商共同遵守。此外,在一个特定版本Windows的基础上Windows Sockets也定义了一个二进制接口,以此来保证应用WindowsSocketsAPI的应用程序能够在任何网络软件供应商符合Windows Sockets协议的情况下工作。因此这份规范定义了应用程序开发者能够使用,并且网络软件供应商能够实现的一套库函数调用和相关语义。
遵守这套Windows Sockets规范的网络软件,我们称之为Windows Sockets兼容的,而Windows Sockets兼容实现的提供者,我们称之为Windows Sockets提供者。一个网络软件供应商必须百分之百地实现Windows Sockets规范才能做到与Windows Sockets兼容。任何能够与Windows Sockets兼容实现协同工作的应用程序就被认为是具有Windows Sockets接El。我们称这种应用程序为Windows Sockets应用程序。Windows Socket:规范定义并记录了如何使用API与Intemet协议连接。尤其要指出的是所有的Windows Sockets实现都支持流套接口和数据报套接口。
3、终端内网安全管理策略实现的基本功能
实时掌控整个局域网内计算机的运行状态;动态监控任意时段内被控端计算机的使用状况;被控端计算机根据监控端的要求,实时向监控端传送计算机的运行信息.执行监控端响应的控制操作;以上这些内容都是局域网的管理者对终端内网安全管理系统的基本要求。由此可见,被控端的内网安全管理策略应具备以下几种基本功能:
1)获取本机信息并传送给监控端;
2)处理监控端的配置信息;
3)执行监控端实时传送的计算机系统信息。
根据以上内网安全管理策略实现的主要功能,被控端可分为以下三个模块:被控端消息引擎模块、系统状态信息获取模块和网络传输模块。其中系统状态信息获取模块主要完成的功能包括:屏幕信息获取、系统文件目录状态信息获取、CPU状态信息获取、进程变化信息获取等四项功能。网络传输模块主要完成传输被控端生成消息的功能。消息引擎模块主要完成识别监控端发送过来的消息及调用相应处理过程的功能。
4、计算机终端安全管理实现的目标
目前的管理技术是.通过大批量的解决用户终端计算机安全管理问题来实现计算机终端安全管理设计并维护内网安全管理系统的目标,最终完成企事业单位内网安全的可控性管理。具体分析计算机终端安全管理要实现的目标包括以下几方面:
1)确保企事业单位内网的所有计算机处于可控状态,坚决实现对非法计算机接人的有效控制。例如:阻止未获得内网安全管理系统相应权限的计算机揍入网络;阻止未安装内网安全管理系统客户端的计算机接入网络。这是计算机终端安全管理至关重要的一个步骤.是否能够有效控制非法接入。是决定整个系统的安全管理是否能够实现的关键。
2)确保有效维护终端计算机操作系统及软件的安全性。例如:通过及时更新计算机的安伞补丁,强制阻断未安装杀毒软件的终端计算机接入,批量设置计算机的安全保护措施,确保减少计算机被攻击的可能,提高计算机的安全性。
3)实施计算机安全状态的动态评估,实时监控并评估计算机是否符合安全状态的管理规定。例如:评估计算机的安全设置是否合理,监测计算机的网络流量是否异常,监控计算机是否做了非法操作等。
4)有效实现计算机设置的批量管理。例如:批量进行软件安装、批量实现安全设置等。
5)当终端计算机出现安全问题后,坚决实现对问题计算机的IP地址/MAC地址/主机名等进行快速的定位以及远程桌面监控。
6)实现对接入网络的计算机资产的有效管理。例如:自动收集接入网络的设备信息并对其变化进行实施跟踪,确保及时预警。
5、结束语
随着企事业单位计算机终端设备数量的大幅增加,计算机病毒在网络传播过程中对终端设备造成的风险和对管理者的管理经验提出一次又一次的挑战,计算机的终端管理已经成为每个网络工作者必须及时正视与面对的问题。在终端计算机的管理过程中。很有口『能由于某个极不起眼的计算机内携带病毒,该病毒通过网络传播,迅速蔓延到其他系统和主机上,引起整个单位网络系统的瘫痪,影响人们的正常工作。造成重大损失。因此,终端管理者应对系统的网络安全稳定运行制定严密的单位内部标准。同时。终端设备的桌面安全和桌面管理问题也不容忽视。由于各企事业单位的内网网络维护管理的人力资源有限。采用专业的内网安全管理系统可以有效地解决或缓解上述提到的内网安全和管理问题.并可取得以下两方面的效益:
1)解决网络统一管理问题:计算机终端管理系统将企事业单位内网变成一个真正的可统一管理的级联网络;实现上级对下级统一的管理和监控,下级数据可统一上报至上级,并由上级汇总管理。
2)解决网络安全的根本问题:计算机终端管理系统可提供补丁加固、密码监控以及端口、进程、流量、访问区域、注册表、软件安装等方面的监控管理,全方位的监控各个环节的终端使用,最大限度上确保客户端系统的完善性,保证网络终端设备的安全性。从而实现整个网络的系统安全。
(责编:韩雨彤)
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。