操作系统平台之争,随之而来的是IT专业人士对系统管理等相关工作职位的取舍和抉择。系统管理员负责计算机系统的管理和升级、故障排除等工作。随着网络技术的广泛应用,系统管理员也兼任网络管理员(Network Admin)。不论是局域网(LAN)、城域网(MAN)还是广域网(WAN),在物理上通常都是由网卡、集线器、交换机、路由器、网线、RJ45接头等网络连接设备和传输介质组成。网络管理员的主要任务就是对所有网络硬件设备的维护和对网络故障的诊断与处理。
有效的网络系统管理,例如Windows环境下系统管理的方法,规划最为重要。制定网络管理政策、妥善规划网络、统筹设置网络服务系统、制定网络安全政策、充分利用网络以及对网络上不当信息资源进行过滤等等。对于实际管理工作中所需要的弹性,如严格程度、允许和不允许的操作、哪些服务要采取何种保护(身份认证、防火墙保护和流量管制等),必须要由管理人员提出方案,以降低网络发生故障的机会。
网络管理系统中最重要的部分就是网络管理协议,即网络管理器与被管代理间的通信方法。简单网络管理协议(SNMP)已经成为事实上的标准网络管理协议。SNMP解决了在Internet上的路由器管理问题,许多人认为SNMP在IP上运行的原因是因为Internet运行的是TCP/IP协议。事实上,SNMP是被设计成与协议无关的,所以它可以在IP、IPX、AppleTalk、OSI以及其他用到的传输协议上使用。
SNMP是由一系列协议组和规范组成的,提供了一种从网络上的设备中收集网络管理信息的方法。SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据。网络管理员可以使用SNMP来评价网络的运行状况,并揭示出通信的趋势,如哪一个网段接近通信负载的最大能力或正使通信出错等。先进的SNMP网管站甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。
网络正在向智能化、综合化、标准化发展,先进的计算技术、ATM交换技术、神经网络技术正在不断应用到网络中来,给网络管理提出了新的挑战。与之相适应,网络管理也在逐渐成熟并日臻完善。网络管理技术的一个新的趋势是使用RMON(远程网络监控)。随着Web的流行和技术的发展,可考虑将网络管理和Web结合起来。基于Web网络管理系统的根本点就是允许通过Web浏览器进行网络管理。
在管理过程中,网络管理软件负责将收集到的网络信息传送到浏览器(Web服务器代理),并将传统管理协议(如SNMP)转换成Web协议(如HTTP)。第二种实现方式是嵌入式。它将Web功能嵌入到网络设备中,每个设备有自己的Web地址,管理员可通过浏览器直接访问并管理该设备。在这种方式下,网络管理软件与网络设备集成在一起。网络管理软件无须完成协议转换。所有的管理信息都是通过HTTP协议传送。
在未来的Intranet中,基于代理与基于嵌入式的两种网络管理方案都将被应用。大型企业通过代理来进行网络监视与管理,而且代理方案也能充分管理大型机构的纯SNMP设备;内嵌Web服务器的方式对于小型办公室网络则是理想的管理。将两者方式混合使用,更能体现二者的优点。现在人们花费许多精力扩展Web的范围和能力。但要让Web真正应用于网络管理,以取代传统的网络管理模式,还需要国际标准组织、网络设备供应商、网络管理系统供应商和用户作大量的基础工作。
大多现在正使用的Web系统在设计时并没有过多考虑安全性,即使打上补丁,也还是不能有效抵御攻击。所以,开发系统过程中,在设计的每个阶段都考虑到安全性是很重要的,不能够仅仅满足功能性需求,还要满足安全性需求。为做到这一步,要从表示机构安全策略的高层模型开始。安全是任何计算机系统非常重要的方面,并且在把数据库向Internet开放后,这已经成为日益严重的问题。
现代企业越来越依赖Internet技术来支持在全球市场中的迅速成长和扩大。越来越多的承包商、咨询师、客户及远程工作人员得以接触企业网络资源。在这一背景下,对单一架构下的多种终端设备及用户进行网络访问与安全控制的必要性日益凸显。端点设备广泛应用,对设备管理不足或管理不当而给企业带来的潜在安全隐患,网络管理员们有着长期而深刻的认识。
互联网和局域网等技术使公司以未曾想象过的方式与人和市场建立联系。伴随着这些技术所带来的好处,脆弱性和威胁也越来越多。开放式环境的本质会提高收益的风险性、造成信息丢失。因而网络系统安全问题已变得越来越重要,网络安全分析和系统设计显得非常必要。随着技术变得更为复杂、先进,那些到网络系统进行肆虐的黑客也变得越来越狡猾。
Internet技术和应用超常规速度发展,对信息市场的开拓以及信息社会的形成起着十分重要的作用。与此同时,网络与信息的安全受到严重的威胁,一方面是由于Internet的开放性以及安全性不足,另一方面,众多的攻击手段,诸如病毒、陷门、隐通道、拒绝服务、侦听、欺骗、口令攻击、路由攻击、中继攻击、会话窃取攻击等等难以防护。以破坏系统,窃取、篡改信息、传播非法信息为目标的信息犯罪层出不穷。为保证信息系统的安全,需要完整的安全保障体系,具有保护功能、检测手段、攻击的反应以及事故恢复能力。
计算机安全问题日益严重,建立安全防范体系的需求就越来越强烈。20年前,第一个电脑病毒C-BRAIN诞生。一般而言,IT业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒在当时并没有太大的杀伤力,但后来一些有心人士以C-BRAIN为蓝图,制作出一些变形的病毒。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。
操作系统是整个计算机信息系统的核心,操作系统安全是整个安全防范体系的基础,同时也是信息安全的重要内容。引起人们高度重视的威胁使很多公司忙于求助信息安全提供商,但提供商通常只提供一维的解决方案,局限性很大。很多公司转而购买时髦、华而不实的技术解决方案,希望彻底解决信息网络安全问题。但是,此类技术只是解决方案的一部分(如防火墙),而安全必须从全局角度进行设计、实施和风险管理(包括培训和安全服务方案),这样才能保证公司业务运行能够不断取得成功。
一般来讲,信息安全主要包括系统安全及数据安全两方面的内容。系统网络安全一般采用防火墙、VPN、病毒查杀、防范等被动措施;而数据安全则主要是指采用现代密码技术对数据进行主动保护,如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,都能起到保护作用并筛选出网络上的攻击者。可靠性对防火墙类访问控制设备来说是最为重要的,直接影响受控网络的可用性。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
做为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品,防火墙技术也已经逐步趋于成熟,并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来,面对未来高端防火墙的发展趋势,无论是从用户还是产品供应商,都不可避免的推向了一种对新型防火墙技术需求的角度。加强防火墙对数据处理中的粒度和力度,已经成为未来防火墙对数据检测高粒度的发展趋势。
VPN即虚拟专用网(Virtual Private Network),是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,如果接入方式为拨号方式,则称之为VPDN。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN是在不安全的Internet中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。
认证技术防止数据的伪造和被篡改,它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途:验证数据的完整性、用户认证。
VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。
密码技术是保障信息安全的核心技术。它是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密,而且完成数字签名、身份验证、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造和假冒。
密码学(Cryptography)包括密码编码学和密码分析学。密码体制设计是密码编码学的主要内容,密码体制的破译是密码分析学的主要内容,密码编码技术和密码分析技术是相互依存、相互支持、密不可分的两个方面。密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码体制要求加密解密双方拥有相同的密钥。而非对称密钥密码体制是加密解密双方拥有不相同的密钥,在不知道陷门信息的情况下,加密密钥和解密密钥是不能相互算出的。
密码学不仅仅只包含编码与破译,而且包括安全管理、安全协议设计、散列函数等内容。不仅如此,密码学的进一步发展,涌现了大量的新技术和新概念,如零知识证明技术、盲签名、量子密码技术、混沌密码等。通过研究操作系统的安全策略访问模型,结合相关安全标准和已有的先进技术,将密码服务与高级别存取控制机制有机地结合起来,探索适合的安全操作系统结构,最终形成一个适应各类安全产品和系统安全需求的结构化保护级实用操作系统。
只有运用足够强大的处理能力,才能够破解任何加密算法。赛门铁克研究出的信息安全生命周期模型所提供的结构化方式,使公司机构能够评估、设计、实施和维护综合有效的全公司信息安全方案。微软公司的硬盘加密技术将能够方便、安全地处理硬盘数据。如微软Vista的安全性相当高,在处理硬盘时无需再担心其中的数据会发生泄露,能够确保其中的数据是安全的。对硬盘上的数据进行加、解密。一般企业会面临黑客破解加密算法的风险,但只有政府部门才具备破解加密算法所需要的处理能力。
网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题已成了人们日趋关注的焦点。而与之相应的系统管理、网络管理、信息安全等工作职位的变迁和职责的变化更是值得IT专业人士关注。
