企業(yè)網(wǎng)絡(luò)及應(yīng)用層安全防護(hù)技術(shù)精要
原創(chuàng)【51CTO.com 獨(dú)家特稿】企業(yè)網(wǎng)絡(luò)及應(yīng)用層由于網(wǎng)絡(luò)的開發(fā)性、網(wǎng)絡(luò)協(xié)議等自身設(shè)計的薄弱和脆弱性以及由于經(jīng)濟(jì)利益驅(qū)動而導(dǎo)致的黑客技術(shù)的攻擊性和目標(biāo)性的不斷增強(qiáng)等原因,經(jīng)受著來自網(wǎng)絡(luò)和應(yīng)用等多層次、多方面的網(wǎng)絡(luò)威脅和攻擊。可以說,企業(yè)網(wǎng)絡(luò)信息安全能否得以保障,在絕大程度上取決于這個層次的安全防護(hù)技術(shù)的部署,本文將從企業(yè)網(wǎng)絡(luò)及應(yīng)用層面臨的網(wǎng)絡(luò)威脅出發(fā),闡述該層所必需的一些安全防護(hù)技術(shù)。
1、企業(yè)網(wǎng)絡(luò)及應(yīng)用層面臨的網(wǎng)絡(luò)威脅
最近的研究表明,安全問題是企業(yè)目前面臨的最大挑戰(zhàn)。來自企業(yè)內(nèi)部和外部的動態(tài)變化的安全威脅隨時會給企業(yè)運(yùn)營帶來巨大的災(zāi)難,并最終影響企業(yè)的盈利能力和客戶滿意度。此外,中小型企業(yè)還要注意遵從為了保護(hù)消費(fèi)者隱私和保障電子信息安全而制定的各種法律法規(guī)。
1.蠕蟲和病毒
計算機(jī)蠕蟲和病毒是最常見的一類安全威脅。調(diào)查顯示,去年有75%的中小型企業(yè)感染過一種以上的病毒。蠕蟲和病毒會嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間感染整個辦公場所,而要清除被感染計算機(jī)中的病毒所要耗費(fèi)的時間也更長。可能造成的嚴(yán)重后果包括遺失訂單、破壞數(shù)據(jù)庫和降低客戶滿意度。雖然企業(yè)可以通過給計算機(jī)安裝防病毒軟件和升級操作系統(tǒng)補(bǔ)丁來加以防范,但是新病毒仍會隨時突破這些防線。同時,公司員工也可能通過訪問惡意網(wǎng)站、下載不可靠的資料或打開含有病毒代碼的電子郵件附件在不經(jīng)意間傳播病毒和間諜軟件,進(jìn)而給企業(yè)造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全系統(tǒng)必須能夠在網(wǎng)絡(luò)的每一點(diǎn)對蠕蟲、病毒和間諜軟件進(jìn)行檢測和防范。
2.信息竊取
信息竊取是一個大問題。網(wǎng)絡(luò)黑客通過入侵企業(yè)網(wǎng)絡(luò)盜取客戶的信用卡和社會保障號碼而牟利。相對于大型企業(yè),中小型企業(yè)的防范措施較弱因而更易遭受攻擊。僅僅在物理周邊加強(qiáng)防范還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楹诳涂赡軙锿緝?nèi)部人員,如員工或承包商,一起作案。信息竊取會對中小型企業(yè)的發(fā)展造成嚴(yán)重影響,因?yàn)樗鼤茐闹行⌒推髽I(yè)賴以生存的企業(yè)商譽(yù)和客戶關(guān)系。此外,沒能采取充分措施保障信息安全的企業(yè)也可能會面臨負(fù)面報道、政府罰金和法律訴訟等問題。例如,美國加利福尼亞州在新出臺的消費(fèi)者權(quán)益保護(hù)法中規(guī)定,任何企業(yè)在發(fā)現(xiàn)自己的客戶信息泄漏給非授權(quán)人員后必須馬上通知所有的客戶。任何安全策略必須能夠在企業(yè)內(nèi)部和外部對敏感的電子信息進(jìn)行保護(hù)。
3.業(yè)務(wù)有效性
計算機(jī)蠕蟲和病毒會嚴(yán)重影響企業(yè)網(wǎng)絡(luò)的可靠性,進(jìn)而影響企業(yè)對客戶請求的響應(yīng)速度。然而,蠕蟲和病毒并不是威脅業(yè)務(wù)有效性的唯一因素。隨著企業(yè)運(yùn)營與網(wǎng)絡(luò)越來越密不可分,網(wǎng)絡(luò)恐怖分子以破壞公司網(wǎng)站和電子商務(wù)運(yùn)行為威脅,對企業(yè)進(jìn)行敲詐勒索。其中,以DoS(拒絕服務(wù))攻擊為代表的網(wǎng)絡(luò)攻擊會占用關(guān)鍵網(wǎng)絡(luò)組件的大量帶寬,使其無法正常處理用戶的服務(wù)請求。結(jié)果是災(zāi)難性的:數(shù)據(jù)和訂單丟失,客戶請求被拒絕。而當(dāng)被攻擊的消息公之于眾后,企業(yè)的聲譽(yù)也會受到影響。雖然見諸報端的DoS攻擊主要發(fā)生在銀行和全球500強(qiáng)企業(yè),但實(shí)際上中小型企業(yè)由于自身較弱的防范能力而更易遭到攻擊。此外,其他攻擊形式也會影響中小型企業(yè)的業(yè)務(wù)有效性,并進(jìn)而影響企業(yè)的盈利能力和客戶滿意度。例如,資源竊取攻擊會入侵企業(yè)的計算機(jī)和網(wǎng)絡(luò),并利用這些設(shè)備進(jìn)行非法的文件(如音樂、電影和軟件)交換服務(wù)。然而企業(yè)很難發(fā)現(xiàn)這種安全漏洞,它們的計算機(jī)和網(wǎng)絡(luò)響應(yīng)客戶請求的速度會大打折扣,而且還會因參與非法的文件交換而面臨法律訴訟的危險。
4.垃圾郵件
2006年最后一個季度垃圾郵件猛增,這在很大程度是由于基于圖像的垃圾郵件可以逃避大部分反垃圾郵件過濾器造成的。由于發(fā)送大量垃圾郵件的成本很低--特別是通過"僵尸網(wǎng)絡(luò)"(botnet)。因此,網(wǎng)絡(luò)犯罪將更多地采用這種介質(zhì)發(fā)布木馬病毒。
2、拒絕服務(wù)攻擊防護(hù)技術(shù)
DoS的英文全稱是Denial of Service,也就是"拒絕服務(wù)"的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看,DoS是一種很簡單但又很有效的進(jìn)攻方式。其目的就是拒絕你的服務(wù)訪問,破壞服務(wù)器的正常運(yùn)行,最終會使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)。DoS攻擊的基本過程是:首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求,服務(wù)器發(fā)送回復(fù)信息后等待回傳信息,由于地址是偽造的,所以服務(wù)器一直等不到回傳的消息,分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復(fù)發(fā)送偽地址請求的情況下,服務(wù)器資源最終會被耗盡。#p#
DDoS(分布式拒絕服務(wù)),其英文全稱為Distributed Denial of Service,是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準(zhǔn)比較大的站點(diǎn),像商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。通常,DoS攻擊只要一臺單機(jī)和一個MODEM就可實(shí)現(xiàn),與之不同的是DDoS攻擊是利用一批受控制的機(jī)器向一臺機(jī)器發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。
拒絕服務(wù)攻擊攻擊很難解決。首先,被用來探測DDoS和DoS擊的網(wǎng)絡(luò)流沒有統(tǒng)一的特征;其次,DDoS布式特性使得它們極難被抵抗或追蹤;再次,配置拒絕服務(wù)攻擊的自動化的工具可以非常容易的下載得到,攻擊者也可以使用IP偽裝技術(shù)來隱藏他們的真實(shí)身份,這就導(dǎo)致拒絕服務(wù)攻擊的追蹤更加困難。當(dāng)前,較為成熟和可用的決絕服務(wù)攻擊防護(hù)技術(shù)包括:
(1)入侵預(yù)防:對所有攻擊最好的緩解策略就是完全攔截這些攻擊。這個階段首先是要阻斷已經(jīng)發(fā)動的DoS攻擊,有許多DoS防御機(jī)制試圖使系統(tǒng)免遭DoS攻擊:
I)入口過濾:設(shè)置一個路由器來禁止帶有非法源地址的包進(jìn)入網(wǎng)絡(luò);
II)出口過濾:確定了離開網(wǎng)絡(luò)的分配的地址空間;
III)基于歷史的IP地址過濾:可以利用邊路由器根據(jù)之前建立的地址數(shù)據(jù)庫根據(jù)路由器之前的連接歷史來允許包進(jìn)入。
(2)關(guān)閉不使用的服務(wù):通常如果網(wǎng)絡(luò)服務(wù)不需要或沒有使用,則可以關(guān)閉這些服務(wù)來阻止攻擊發(fā)生的可能。
(3)應(yīng)用安全補(bǔ)丁。
(4)負(fù)載平衡:使網(wǎng)絡(luò)提供方在重要的連接上增加帶寬,并防止萬一攻擊發(fā)生時帶寬下降。
(5)使用蜜罐:是具有一定安全性的系統(tǒng),用來欺騙攻擊者來攻擊蜜罐而不是真正的系統(tǒng)。
3、垃圾郵件防護(hù)技術(shù)
隨著Internet的發(fā)展,電子郵件作為一種通信方式逐漸普及。當(dāng)前電子郵件的用戶已經(jīng)從科學(xué)和教育行業(yè)發(fā)展到了普通家庭中的用戶,電子郵件傳遞的信息也從普通文本信息發(fā)展到包含聲音、圖像在內(nèi)的多媒體信息。電子郵件的廉價和操作簡便在給人們帶來巨大便利的同時,也誘使有些人將之作為大量散發(fā)自己信息的工具,最終導(dǎo)致了互聯(lián)網(wǎng)世界中垃圾郵件的泛濫。垃圾郵件問題已經(jīng)極大地消耗了網(wǎng)絡(luò)資源,并給人們帶來了極大的不便。據(jù)中國互聯(lián)網(wǎng)協(xié)會(ISC)2005年第一次反垃圾郵件狀況調(diào)查顯示,中國郵件用戶2005年4月平均每人每天收到郵件16.8封,占收到郵件總數(shù)的60.87%。
(1)SMTP用戶認(rèn)證
這是目前最常見、最簡單并且十分有效的方法。在郵件傳送代理(Mail Transport Agent,MTA)上對來自本地網(wǎng)絡(luò)以外的互聯(lián)網(wǎng)的發(fā)信用戶進(jìn)行SMTP認(rèn)證,僅允許通過認(rèn)證的用戶進(jìn)行遠(yuǎn)程轉(zhuǎn)發(fā)。這樣既能夠有效避免郵件傳送代理服務(wù)器為垃圾郵件發(fā)送者所利用,又為出差在外或在家工作的員工提供了便利。如果不采取SMTP認(rèn)證,則在不犧牲安全的前提下,設(shè)立面向互聯(lián)網(wǎng)的Web郵件網(wǎng)關(guān)也是可行的。此外,如果SMTP服務(wù)和POP3服務(wù)集成在同一服務(wù)器上,在用戶試圖發(fā)信之前對其進(jìn)行POP3訪問驗(yàn)證就是一種更加安全的方法,目前,新浪等大型網(wǎng)站都相繼采用了該功能,使得這些大型服務(wù)商的服務(wù)器被利用來發(fā)送垃圾郵件的概率大大降低,同時,在應(yīng)用的時0候當(dāng)前支持這種認(rèn)證方式的郵件客戶端程序比較出色的是FoxMail。#p#
(2)逆向DNS解析
無論哪一種認(rèn)證,其目的都是避免郵件傳送代理服務(wù)器被垃圾郵件發(fā)送者所利用,但對于發(fā)送到本地的垃圾郵件仍然無可奈何。要解決這個問題,最簡單有效的方法是對發(fā)送者的IP地址進(jìn)行逆向名字解析,即通過DNS查詢來判斷發(fā)送者的IP與其聲稱的名字是否一致,例如,其聲稱的名字為pc.sina.com,而其連接地址為120.20.96.68,與其DNS記錄不符,則予以拒收。這種方法可以有效過濾掉來自動態(tài)IP的垃圾郵件,對于某些使用動態(tài)域名的發(fā)送者,也可以根據(jù)實(shí)際情況進(jìn)行屏蔽。但是上面這種方法對于借助Open Relay的垃圾郵件依然無效。對此,更進(jìn)一步的技術(shù)是假設(shè)合法的用戶只使用本域具有合法互聯(lián)網(wǎng)名稱的郵件傳送代理服務(wù)器發(fā)送電子郵件。需要指出的是,逆向名字解析需要進(jìn)行大量的DNS查詢。這樣,在網(wǎng)絡(luò)中將會出現(xiàn)大量的UDP數(shù)據(jù)包。
(3)黑名單過濾
黑名單服務(wù)是基于用戶投訴和采樣積累而建立的、由域名或IP組成的數(shù)據(jù)庫,最著名的是RBL、DCC和Razor等。這些數(shù)據(jù)庫保存了頻繁發(fā)送垃圾郵件的主機(jī)名字或IP地址,供MTA進(jìn)行實(shí)時查詢以決定是否拒收相應(yīng)的郵件。簡單地說,即數(shù)據(jù)庫中保存的IP地址或者域名都應(yīng)該是非法的,都應(yīng)該被阻斷。但是,目前各種黑名單數(shù)據(jù)庫難以保證其正確性和及時性,一般該名單的形成需要一段時間的積累。例如,曾經(jīng)一段時期,北美的RBL和DCC包含了我國大量的主機(jī)名字和IP地址,其中有些是早期的Open Relay造成的,有些則是由于誤報造成的。但這些遲遲得不到糾正,在一定程度上阻礙了我國與北美地區(qū)的郵件聯(lián)系,也妨礙了我國的用戶使用這些黑名單服務(wù)。
(4)白名單過濾
白名單過濾是相對于上述的黑名單過濾來說的。它建立的數(shù)據(jù)庫的內(nèi)容和黑名單的一樣,但是其性質(zhì)是:庫中存在的都是合法的,不應(yīng)該被阻斷。同樣,該過濾方法存在的缺點(diǎn)與黑名單類似,也是更新和維護(hù)難以達(dá)到實(shí)時,一些正常的、不為系統(tǒng)白名單所收集的郵件有可能被阻斷。從應(yīng)用的角度來說,在小范圍內(nèi)使用白名單是比較成功的,可以通過在企業(yè)或者是公司的網(wǎng)關(guān)處通過一段時間內(nèi)獲取由內(nèi)部發(fā)出的郵件的相關(guān)信息的辦法來生成白名單。
(5)內(nèi)容過濾
即使使用了前面諸多環(huán)節(jié)中的技術(shù),仍然會有相當(dāng)一部分垃圾郵件漏網(wǎng)。對此情況,目前最有效、最根本的方法是基于郵件標(biāo)題或正文的內(nèi)容過濾。其中比較簡單的方法是,結(jié)合內(nèi)容掃描引擎,根據(jù)垃圾郵件的常用標(biāo)題語、垃圾郵件受益者的姓名、電話號碼、Web地址等信息進(jìn)行過濾。更加復(fù)雜但同時更具智能性的方法是,基于貝葉斯概率理論的統(tǒng)計方法、支持向量機(jī)(SVM)方法、人工神經(jīng)網(wǎng)絡(luò)、Winnow等方法所進(jìn)行的內(nèi)容過濾,這些方法的理論基礎(chǔ)是通過對大量垃圾郵件中常見關(guān)鍵詞等采用上述方法進(jìn)行機(jī)器學(xué)習(xí)后分析后得出其分布的統(tǒng)計模型,并由此推算目標(biāo)郵件是垃圾郵件的可能性。這些方法具有一定的自適應(yīng)、自學(xué)習(xí)能力,目前已經(jīng)得到了廣泛的應(yīng)用。最有名的垃圾郵件內(nèi)容過濾是Spamassassin,它使用Perl語言實(shí)現(xiàn),集成了以上兩種過濾方法,可以與當(dāng)前各種主流的MTA集成使用。內(nèi)容過濾是以上所有各種方法中耗費(fèi)計算資源最多、最有效的辦法,在郵件流量較大的場合,需要配合高性能服務(wù)器使用。
4、病毒防護(hù)技術(shù)
對于當(dāng)今網(wǎng)絡(luò)來說,病毒和蠕蟲成為了一對"孿生兄弟",兩者幾乎總會同時出現(xiàn),而且對企業(yè)網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)造成的危害也是非常致命的。從病毒的發(fā)展過程我們可以看出病毒有如下的發(fā)展趨勢:
◆病毒向有智能和有目的的方向發(fā)展
◆未來凡能造成重大危害的,一定是"蠕蟲"。"蠕蟲"的特征是快速地不斷復(fù)制自身,以求在最短的時間內(nèi)傳播到最大范圍。
◆病毒開始與黑客技術(shù)結(jié)合,他們的結(jié)合將會為世界帶來無可估量的損失#p#
◆從Sircam、"尼姆達(dá)"、"求職信"、"中文求職信"到"中國黑客",這類病毒越來越向輕感染文件、重復(fù)制自身的方向發(fā)展。
◆病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分
◆基于分布式通信的病毒很可能在不久即將出現(xiàn)
◆未來病毒與反病毒之間比的就是速度,而增強(qiáng)對新病毒的反應(yīng)和處理速度,將成為反病毒廠商的核心競爭力之一。
當(dāng)今有幾種典型反病毒技術(shù):
◆特征值技術(shù):所謂特征值查毒法,就是在獲取病毒樣本后,提取出其特征值,然后通過該特征值對各個文件或內(nèi)存等進(jìn)行掃描。如果發(fā)現(xiàn)這種特征值,這說明感染了這種病毒,然后針對性地解除病毒;
◆虛擬機(jī)技術(shù):隨著病毒技術(shù)的發(fā)展,加密技術(shù)漸漸成熟起來,很多病毒的特征都在那么容易提取。這樣,虛擬機(jī)殺毒技術(shù)出現(xiàn),所謂虛擬機(jī)技術(shù),就是用軟件先虛擬一套運(yùn)行環(huán)境,讓病毒先在該虛擬環(huán)境下運(yùn)行,看看他的執(zhí)行效果。由于加密的病毒在執(zhí)行時最終還是要解密的。這樣,在其解密之后我們可以通過特征值查毒法對其進(jìn)行查殺;
◆啟發(fā)式掃描技術(shù):新病毒不斷出現(xiàn),傳統(tǒng)的特征值查毒法完全不可能查出新出現(xiàn)的病毒。啟發(fā)式掃描技術(shù)產(chǎn)生了。一個病毒總存在其與普通程序不一般的地方,譬如他會格式化硬盤,重定位,改回文件時間,修改文件大小,能夠傳染等等,通過在各個層面進(jìn)行病毒屬性的確定和加權(quán),就能發(fā)現(xiàn)新的病毒;
◆計算機(jī)病毒疫苗:"計算機(jī)病毒免疫"發(fā)源于生物免疫技術(shù),就象為動物注射某種病毒的免疫疫苗后可以對此病毒產(chǎn)生自然抵抗能力一樣。"計算機(jī)病毒免疫"就是一種具有類似特點(diǎn)的技術(shù),它的設(shè)計目標(biāo)是不依賴于病毒庫的更新而讓電腦具有對所有病毒的抵抗能力。普通防毒軟件的最大缺點(diǎn)是總要等到病毒出現(xiàn)后才能制定出清除它的辦法,并且還要用戶及時的升級到新的病毒庫。這就讓病毒有更多的機(jī)會去蔓延傳播,而病毒免疫則完全打破這種思路,它可以讓電腦具有自然抵抗新病毒的能力,當(dāng)有新病毒感染計算機(jī)系統(tǒng)時不用升級病毒庫而同樣可以偵測出它。
5、密碼技術(shù)和PKI技術(shù)
隨著計算機(jī)網(wǎng)絡(luò)和計算機(jī)通訊技術(shù)的發(fā)展,計算機(jī)密碼學(xué)得到前所未有的重視并迅速普及和發(fā)展起來。在國外,它已成為計算機(jī)安全主要的研究方向。密碼學(xué)是一門古老而深奧的學(xué)科,對一般人來說是非常陌生的。長期以來,只在很小的范圍內(nèi)使用,如軍事、外交、情報等部門。計算機(jī)密碼學(xué)是研究計算機(jī)信息加特別是20世紀(jì)70年代后期,由于計算機(jī)、電子通信的廣泛使用,現(xiàn)代密碼學(xué)得到了空前的發(fā)展。
除了提供機(jī)密性外,密碼學(xué)可以為企業(yè)安全需要提供三方面的功能:鑒別、完整性和抗抵賴性。這些功能是通過計算機(jī)進(jìn)行社會交流,至關(guān)重要的需求。
鑒別:消息的接收者應(yīng)該能夠確認(rèn)消息的來源;入侵者不可能偽裝成他人。
完整性:消息的接收者應(yīng)該能夠驗(yàn)證在傳送過程中消息沒有被修改;入侵者不可能用假消息代替合法消息。
抗抵賴性:發(fā)送消息者事后不可能虛假地否認(rèn)他發(fā)送的消息。
基于密鑰的算法通常有兩類:對稱算法和公開密鑰算法(非對稱算法)。對稱算法有時又叫傳統(tǒng)密碼算法,加密密鑰能夠從解密密鑰中推算出來,反過來也成立。在大多數(shù)對稱算法中,加解密的密鑰是相同的。對稱算法要求發(fā)送者和接收者在安全通信之前,協(xié)商一個密鑰。對稱算法的安全性依賴于密鑰,泄漏密鑰就意味著任何人都能對消息進(jìn)行加解密。公開密鑰算法(非對稱算法)的加密的密鑰和解密的密鑰不同,而且解密密鑰不能根據(jù)加密密鑰計算出來,或者至少在可以計算的時間內(nèi)不能計算出來。之所以叫做公開密鑰算法,是因?yàn)榧用苊荑€能夠公開,即陌生者能用加密密鑰加密信息,但只有用相應(yīng)的解密密鑰才能解密信息。加密密鑰叫做公開密鑰(簡稱公鑰),解密密鑰叫做私人密鑰(簡稱私鑰)。#p#
對稱加密系統(tǒng)最著名的是美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES、AES(高級加密標(biāo)準(zhǔn))和歐洲數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA。而自公鑰加密問世以來,學(xué)者們提出了許多種公鑰加密方法,它們的安全性都是基于復(fù)雜的數(shù)學(xué)難題。
根據(jù)所基于的數(shù)學(xué)難題來分類,有以下三類系統(tǒng)目前被認(rèn)為是安全和有效的:大整數(shù)因子分解系統(tǒng)(代表性的有RSA)、橢園曲線離散對數(shù)系統(tǒng)(ECC)和離散對數(shù)系統(tǒng)(代表性的有DSA)。當(dāng)前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統(tǒng)),它的安全性是基于大整數(shù)素因子分解的困難性,而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題,至今沒有有效的方法予以解決,因此可以確保RSA算法的安全性。RSA系統(tǒng)是公鑰系統(tǒng)的最具有典型意義的方法,大多數(shù)使用公鑰密碼進(jìn)行加密和數(shù)字簽名的產(chǎn)品和標(biāo)準(zhǔn)使用的都是RSA算法。
PKI是一種新的安全技術(shù),它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系,是一種基礎(chǔ)設(shè)施,網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講,PKI包含了安全認(rèn)證系統(tǒng),即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺,目的是為了管理密鑰和證書。一個機(jī)構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。X.509格式的證書和證書廢除列表(CRL);CA/RA操作協(xié)議;CA管理協(xié)議;CA政策制定。
從廣義上講,所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng),都可叫做PKI系統(tǒng),PKI的主要目的是通過自動管理密鑰和證書,可以為用戶建立起一個安全的網(wǎng)絡(luò)運(yùn)行環(huán)境,使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù),從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性、有效性,數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過程中,不能被非授權(quán)者偷看,數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改,數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認(rèn)。一個有效的PKI系統(tǒng)必須是安全的和透明的,用戶在獲得加密和數(shù)字簽名服務(wù)時,不需要詳細(xì)地了解PKI是怎樣管理證書和密鑰的,一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分:
◆公鑰密碼證書管理。
◆黑名單的發(fā)布和管理。
◆密鑰的備份和恢復(fù)。
◆自動更新密鑰。
◆自動管理歷史密鑰。
◆支持交叉認(rèn)證。
6、IPSec技術(shù)
在網(wǎng)絡(luò)層實(shí)現(xiàn)安全服務(wù)有很多的優(yōu)點(diǎn)。首先,由于多種傳送協(xié)議和應(yīng)用程序可以共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu),密鑰協(xié)商的開銷被大大地削減了。其次,若安全服務(wù)在較低層實(shí)現(xiàn),那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。目前公認(rèn)的網(wǎng)絡(luò)攻擊三種原型是竊聽 、篡改、偽造、拒絕服務(wù)攻擊等。IPSec 針對攻擊原型的安全措施。IPsec提供三項(xiàng)主要的功能:認(rèn)證功能(AH),認(rèn)證和機(jī)密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實(shí)性包括數(shù)據(jù)源認(rèn)證和可選的抗重傳服務(wù);ESP分為兩部分,其中ESP頭提供數(shù)據(jù)機(jī)密性和有限抗流量分析服務(wù),在ESP尾中可選地提供無連接完整性、數(shù)據(jù)源認(rèn)證和抗重傳服務(wù)。#p#
IPSec提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的機(jī)制,可用它為IP及上層協(xié)議(如UDP和TCP)提供安全保證。它定義了一套默認(rèn)的、強(qiáng)制實(shí)施的算法,以確保不同的實(shí)施方案相互間可以共通。而且很方便擴(kuò)展。IPSec可保障主機(jī)之間、安全網(wǎng)關(guān)(如路由器或防火墻)之間或主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。IPSec是一個工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。IPSec有兩個基本目標(biāo):保護(hù)IP數(shù)據(jù)包安全;為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施。IPSec結(jié)合密碼保護(hù)服務(wù)、安全協(xié)議組和動態(tài)密鑰管理,三者共同實(shí)現(xiàn)上述兩個目標(biāo),IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設(shè),就是假定數(shù)據(jù)通信的傳輸媒介是不安全的,因此通信數(shù)據(jù)必須經(jīng)過加密,而掌握加解密方法的只有
IPSec提供三種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)。
◆驗(yàn)證:通過認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的,同時可以確定申請發(fā)送者在實(shí)際上是真實(shí)發(fā)送者,而不是偽裝的。
◆數(shù)據(jù)完整驗(yàn)證:通過驗(yàn)證保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。
◆保密:使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容,而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。
7、訪問控制技術(shù)
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。
(1)入網(wǎng)訪問控制
入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進(jìn)入該網(wǎng)絡(luò)。 對網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應(yīng)不少于6個字符,口令字符最好是數(shù)字、字母和其他字符的混合,用戶口令必須經(jīng)過加密。用戶還可采用一次性用戶口令,也可用便攜式驗(yàn)證器(如智能卡)來驗(yàn)證用戶的身份。 網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時間和方式。用戶賬號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的"證件"、用戶可以修改自己的口令,但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制:最小口令長度、強(qiáng)制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。 用戶名和口令驗(yàn)證有效之后,再進(jìn)一步履行用戶賬號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費(fèi)網(wǎng)絡(luò)的訪問"資費(fèi)"用盡時,網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制,用戶此時應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進(jìn)行審計。如果多次輸入口令不正確,則認(rèn)為是非法用戶的入侵,應(yīng)給出報警信息。
(2)權(quán)限控制
網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(irm)可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類:特殊用戶(即系統(tǒng)管理員);一般用戶,系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限;審計用戶,負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。
(3)目錄級安全控制
網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效,用戶還可進(jìn)一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。用戶對文件或目標(biāo)的有效權(quán)限取決于以下兩個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務(wù)器資源的訪問 ,從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。#p#
(4)屬性安全控制
當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表,用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限:向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。
(5)服務(wù)器安全控制
網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。
8、防火墻技術(shù)
防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng),而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。這是防火墻的工作原理特性。防火墻之所以能保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò),就是依據(jù)這樣的工作原理或者說是防護(hù)機(jī)制進(jìn)行的。它可以由管理員自由設(shè)置企業(yè)內(nèi)部網(wǎng)絡(luò)的安全策略,使允許的通信不受影響,而不允許的通信全部被拒絕于內(nèi)部網(wǎng)絡(luò)之外。
隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn),防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來體現(xiàn)。
◆防火墻包過濾技術(shù)
◆用戶身份驗(yàn)證防火墻:一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的,包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng),它的安全級別越高,但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大,因?yàn)橛脩羯矸蒡?yàn)證需要時間,特別是加密型的用戶身份驗(yàn)證。
◆多級過濾技術(shù):所謂多級過濾技術(shù),是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規(guī)則,過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù),可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚,每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層,從這個概念出發(fā),又有很多內(nèi)容可以擴(kuò)展,為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。
◆病毒防火墻:使防火墻具有病毒防護(hù)功能。現(xiàn)在通常被稱之為病毒防火墻,當(dāng)然目前主要還是在個人防火墻中體現(xiàn),因其為純軟件形式,更容易實(shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播,比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少企業(yè)的損失。
◆防火墻的體系結(jié)構(gòu)
隨著網(wǎng)絡(luò)應(yīng)用的增加,對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應(yīng)用將會越來越普遍,要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發(fā)了基于ASIC(特殊應(yīng)用集成電路,Application Specific Integrated Circuit)的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,需要在很大程度上依賴于軟件的性能;但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。#p#
與基于ASIC的純硬件防火墻相比,基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得其缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運(yùn)行性能的要求。
◆防火墻的系統(tǒng)管理
總體說來,防火墻的系統(tǒng)管理有如下幾種發(fā)展趨勢:
◆集中式管理:集中式管理可以降低管理成本,并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。
◆強(qiáng)大的審計功能和自動日志分析功能:這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可讓管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞,及時地調(diào)整安全策略等。不過具有這種功能的防火墻通常是比較高級的,早期的靜態(tài)包過濾防火墻是不具有的。
◆網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化:隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展,現(xiàn)在有一種體系結(jié)構(gòu)的提法,叫做"建立以防火墻為核心的網(wǎng)絡(luò)安全體系"。因?yàn)閷?shí)踐表明,僅使用現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系,就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線,各種安全技術(shù)各司其職,從各方面防御外來入侵。
9、入侵檢測技術(shù)
Intrusion Detection System(入侵檢測系統(tǒng))顧名思義,便是對入侵行為的發(fā)覺,其通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。通常說來,其具有如下幾個功能:
◆監(jiān)控、分析用戶和系統(tǒng)的活動。
◆核查系統(tǒng)配置和漏洞。
◆評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性。
◆識別攻擊的活動模式并向網(wǎng)管人員報警。
◆對異常活動的統(tǒng)計分析。
操作系統(tǒng)審計跟蹤管理,識別違反政策的用戶活動。
按照技術(shù)以及功能來劃分,入侵檢測系統(tǒng)可以分為如下幾類:
◆基于主機(jī)的入侵檢測系統(tǒng):其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志,一般只能檢測該主機(jī)上發(fā)生的入侵。
◆基于網(wǎng)絡(luò)的入侵檢測系統(tǒng):其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流,能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。
◆采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng):能夠同時分析來自主機(jī)系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng),一般為分布式結(jié)構(gòu),由多個部件組成。#p#
10、統(tǒng)一威脅管理技術(shù)
UTM是與企業(yè)防火墻、入侵檢測和防御以及防病毒等結(jié)合為一體的設(shè)備,將成為未來的應(yīng)用趨勢。IDC同時預(yù)測,UTM市場到2008年將占整個信息安全市場的半壁江山,達(dá)到57.6%。UTM的一個特點(diǎn)是可以只用到該產(chǎn)品的某一個專門用途,比如用于網(wǎng)關(guān)防病毒或是用于內(nèi)部的入侵檢測,也可以全面應(yīng)用所有功能。當(dāng)UTM作為一種單點(diǎn)產(chǎn)品來應(yīng)用時,企業(yè)能獲得統(tǒng)一管理的優(yōu)勢,并且也能在不增加新設(shè)備的情況下開啟自身需要的任何功能。UTM產(chǎn)品為網(wǎng)絡(luò)安全用戶提供了一種更加靈活也更易于管理的選擇。用戶可以在一個更加統(tǒng)一的架構(gòu)上建立自己的安全基礎(chǔ)設(shè)施,而以往困擾用戶的安全產(chǎn)品聯(lián)動性等問題也能夠得到很大的緩解。相對于提供單一的專有功能的安全設(shè)備,UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產(chǎn)品整合了防病毒、防火墻、入侵檢測等很多常用的安全功能,而用戶既可以選擇具備全面功能的UTM設(shè)備,也可以根據(jù)自己的需要選擇某幾個方面的功能。更加可貴的是,用戶可以隨時在這個平臺上增加或調(diào)整安全功能。
UTM技術(shù)可以進(jìn)行改良的信息包檢查,識別應(yīng)用層信息,命令入侵檢測和阻斷,蠕蟲病毒防護(hù)以及高級的數(shù)據(jù)包驗(yàn)證機(jī)制。這些特性和技術(shù)使得IT管理人員可以很容易地控制如Instant Message信息傳輸,BT多線程動態(tài)應(yīng)用下載,Skype等新型軟件的應(yīng)用,并且阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。同時,設(shè)備可以支持動態(tài)的行為特征庫更新,更具備7層的數(shù)據(jù)包檢測能力。完全克服了目前市場上深度包檢測的技術(shù)弱點(diǎn)。特別針對分包攻擊的內(nèi)容效果明顯。但UTM技術(shù)必須要有強(qiáng)大的硬件平臺支撐,否則,難以適應(yīng)當(dāng)前的網(wǎng)絡(luò)性能要求。
UTM的應(yīng)用優(yōu)勢在于:
◆降低安全管理復(fù)雜度
◆集成的維護(hù)平臺
◆單一服務(wù)體系結(jié)構(gòu)
◆集中的安全日志管理
◆組合式的安全保護(hù)
◆應(yīng)用的靈活性
◆良好的可擴(kuò)展性
◆進(jìn)一步降低成本
UTM設(shè)備可以減少與安全功能相關(guān)的采集,安裝,管理支出,確保企業(yè)網(wǎng)絡(luò)的連續(xù)性,和可用性,為目前流行的安全威脅提供有效的防御。
【51CTO.com獨(dú)家特稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】
【編輯推薦】
