网络运维常见安全问题与防范对策研究
前言:
在信息化逐步加快的今天,在相关入网终端的持续扩大背景下,这些网络运营不免存在一系列安全隐患。除了常见的网络隐患之外,间接部署感染恶意代码、间接获利的攻击方式也逐渐成为新型的网络运维常见问题,其中最常见的就是“流量劫持”问题。
Xcode是苹果公司在操作系统Mac OSX 上发布的集成开发工具,也是开发OS X和iOS 系统最常用的主流工具。在2015年,某公司在使用该工具对某APP 进行调试时,发现该工具会向一个名为init.icloud-analysis.com 的域名发送异常流量,且该流量为加密流量。这个意外发现立即引起全世界的关注。同年九月我国互联网应急中心(CNCERT)对该现象发送了应急预警,同时发布了《关于使用非苹果官方Xcode 存在植入恶意代码情况的预警通报》,通报中指出了关于使用使用非官方渠道的Xcode可能引起的被植入恶意代码(可以窃取信息或者恶意控制远程终端)的问题。通过跟踪分析发现,该恶意代码来源于百度网盘或者迅雷离线下载等下载工具;一时间互联网安全管理问题成为社会各界的关注焦点。因此,在现有阶段如何保证网络运维安全,保证互联网缓存安全就成为了亟待解决的问题。
一、目前网络运维管理工作中常见的安全问题
(一)信息安全发展尚且薄弱,安全管理无法适应网络发展
在组织网络信息安全系统构建中,经常会出现许多交叉因素相互制约。例如:运行成本问题、技术能力、人力配置、设备条件等的不同致使不能按照同样的标准要求网络管理,这就在一定程度上导致了有效的网络管理方式无法实现。其具体表现为:安全管理设备陈旧、管理方式不当、技术落后、对不同的安全问题没有针对性的解决方法、无法有效预防可能发生的安全问题等。总之,无论是在网络运维服务还是应急问题的处理方式上,现阶段的信息网络运行均无法达到要求。
信息业务发展迅速,但是漏洞颇多
随着网络的发展,仍然有部分人员认为虚拟网络世界中的不当言行并不会被现实世界中的人类发现,所以网络不当言论越来越多;又由于人们贪便宜心理的存在,许多人会根据自己喜好随意下载一些未经认证的软件,这就导致了安全隐患;严重的时候甚至会引来病毒攻击系统中的其余网络应用,盗窃重要数据资料等危害。
外部威胁实时变动,网络内部信息安全无法保障
随着技术的发展,现在的网络病毒和木马植入越来越多,并随着网络在生活中的应用呈现越来越疯狂的态势。尤其是行业融合带来的信息交换来过年增加,网络部门需要鉴别和侦查的信息内容越来越多,这也在一定程度上增加了网络部门受外网攻击的可能性,主要表现的问题为内部数据泄露问题。此外,也有部分运维环境的基础设施更新不及时,其运维管理环境中存在许多故障危机;即使是新型的设备在长时间的工作中也会出现老化现象,其负载能力和现在业务发展已经严重脱节;当然,还有一些单位因为经济能力的问题,无法及时更新设备,现有设备的硬件设施和电力线路等也有老化、供电不稳定的情况。
(四)流量劫持的存在
流量劫持概念早已经不是一个新鲜词汇——在互联网出现的早期它就已经出现。简单解释这个词汇的意思,就是在用户浏览网页的过程中,通过劫持用户的浏览过程增加其他网页的流量以牟取非法利益的行为。常见的“流量劫持”包括ARP攻击、各种钓鱼攻击以及伪无线、伪基站等,常使用的方法为DNS劫持、CDN劫持、网关劫持等。流量劫持对网络环境的危害是巨大的,即给虚拟世界埋下了“隐形的炸弹”,又严重影响了网络商业活动的正常进行。在互联网思维下的网络入侵比之传统的网络入侵更不容易发现,因此虽然流量劫持的发现很早,可以到现在也无法彻底消灭。笔者结合文献资料对其特点进行了分析,发现有如下几个方面:
(1) 该流量劫持并不是直接扣费的,它随着其他网页的浏览费用一起扣除,因此如果不细心检查,并不会发现;
(2) 没有任何警告或者系统运行故障,发生的较为隐蔽;
(3) 有时会有运营方或者运维人员的非法参与;
(4) 发生周期短。一旦在短时间内达到目标即刻停止并退出,寻求下一个目标;
(5) 劫持的地域和范围是可控的,其它地域的互联网访问并不会受到影响。
二、针对上述安全问题的防范对策
(一)更加井然有序地隔离业务网络
虚拟网络部署的特点之一就是增大信息网络的空间,这时地理位置将不再是限制信息传播的因素,同时网络连接会更加灵活,不受地域限制的网络管理势必会降低网络管理的成本。因此,优秀的网络运维人员要熟知并且运用这一特点,在将网络将细化矫正的基础上,根据部门机构的不同配置以及不同类型交换机口划分局域网,最后再将划分好的局域网共同汇集于交换机端口处,并将端口的访问设置为链接模式,这样不同用户、服务器之间相互隔绝。这样的设置方式就能够使每一个子网络在独立安全的环境中运行,更能体现虚拟局域网的隔离作用,消除以往经常出现的网络冲突和广播隐患问题。另外,还可以通过相对独立的子用户网络的数据包数据过滤,保证保密信息在传输过程中不会被泄露,进而保证子用户和整个网络系统的安全。
(二)全面保证终端入网的规范性和安全性
首先,选择使用准入类的认证平台,切实将准入管理发挥作用。一般,我们设置的准入管理平台为在同一交换机的不同端口分别设置认证和访问权限,或者设置特定的访问身份验证等一系列“关卡”,规避可能发生的攻击和恶意入侵。对即将使用的准入基线和基线模板进行验证和安全检查,确定没有任何病毒侵扰或者安全隐患存在后再行投入使用;其次,将用户的IP地址和硬盘序列号一一收集上来,并进行汇总,在确定无误后,将其顺次录入到用户的身份库中,确保信息库中的数据同用户身份库中的数据相符,这样就能从根本上实现实名制上网。除此之外,这样做的好处还有减轻管理主体的管理负担——管理主体可以根据认证隔离网的实际应用状况以及即时接收到的数据包等信息确定入网主机的上网下网时间,获取认证失败原因等问题,以便更好的解决用户在使用过程中的烦恼,最终更加安全有效的处理有关安全审计以及事故责任归属的相关问题。
(三)加强用户的安全监管力度,设置可靠的安全策略
一般用户的终端会有强制性的密码设置,为了保证用户端安全,出来强制设置密码之外,还要强制性规定密码复杂程度以及密码长度,甚至可以规定统一密码的使用期限;另外,为了保证密码的可靠性,还可以通过设置密码登录过程中允许输错密码的上限次数,任何条件不满足则无法注册或者顺利登陆,严重的可以限时锁定账户。但是,只要不存在入侵问题,一般在操作系统中访问的是系统中的用户,所以为了不产生误解或者其它麻烦,管理者要事先了解用户的类型以及需要的权限,对其不需要的权限或者可能影响其现有权限的项目进行禁用。这样才可以减少不法人员以系统默认功能为入侵点,非法入侵系统盗取信息。此外,管理人员还要妥善设置Internet的协议属性,在启用TCP/IP筛选功能时,选择可使用的协议路径和端口,并只对需要的端口进行开放,避免其它外部入侵者浑水摸鱼。
三、其它促进网络安全防护的措施
(一)改善网络运行基础设施
在网络机房安全上,应该安装防雷措施、监控设备和温度、湿度监控装置,提升机房内线路的防灾能力和防破坏能力,还要提升设备的硬件配置,为机房设备创造良好的环境。此外,还要对网络主干线路的关键部位,例如路由器、服务器等及时备份等设置备份,以便出现问题及时恢复;当然,还要为传输光缆配置合理的在线监控设施,提升对线路安全的检测,定期检查线路是否存在暴露、脱胶、冒火星等问题;最后,要对网络内对安全性能要求较高的用户设置更高水平的安全准则,一般我们推荐使用USB认证的方式,同时对他们使用的软件进行部署,对其进程运行和安装补丁等过程进行集中培训、管理。
(二)实施分布式监测管理
实施分布式的监测管理就要建立同意可管理的分布式监测管理平台。该平台的主要作用就是对网络系统中的各项设备、网络日志等进行统一监控,统一管理,以方便系统的稳定运行;之后使用管理软件实时监控用户的上网行为,一旦出现不合理上网或者有不安全的上网路径出现,应该在第一时间进行制止,随时掌控信息传播动态,间接或直接引导舆论趋势。此外,还可以通过漏洞扫描系统随时扫描系统状态,发现漏洞及时修补,并定期生成日志上传,通知管理人员查收和解决;现阶段有条件的单位还可以使用可视化的界面实时展示网络系统内系统控制和各终端设备的运行状况,实施统计系统中危险插件和危险项数量进行统计,并根据相应的规程自动划分危险等级。对于“流量劫持”的问题,运维人员也要及时跟进,随时检查系统内的异常流量,一旦发现,要及时定位、追踪并上报,留下证据为攻击提供事实依据,帮助提升网络运维安全。
(三)部署安全综合防护系统
安全综合防御系统包括四个方面:用户终端的风险评估防护系统、网络入侵检测系统、防病毒系统、漏洞扫描系统。其中,终端风险评估体系的主要功能是对终端用户统一评估、检查,一旦发现危险将进行统一防御,,并及时感知可能的风险,进行预警;网络入侵检测系统主要对内外网随时监测,确定是否存在入侵,一旦发现网络遭受任何方式的攻击将及时禁用交换机的端口,自觉建立一道防火墙隔绝,保证系统的安全;防病毒系统主要对内外网以及每个终端可能发生的入侵、病毒传播等安全隐患,并进行防御;漏洞扫描系统将使用网段通本地相连接的方式,随时或定时检测、扫描网络,确定网络的安全性能网络部署情况,提升网络的自我保护能力,提升安全性能。
(四)完善用户网络安全机制
严格管理终端资源,严格检查不同用网人员和进入网络人员。另外,还可以通过加强网络边界设置以及调整网络信息访问来控制;通过加固防火墙对内外网数据进行不同程度的过滤,定期检查易储存数据以及备份数据的安全性,定期调整网络访问渠道和信息访问上限,借以提高网络安全系数。同时,提升网络杀毒软件和补丁共同提升网络防病毒安全,构建终端软件安全防线。除此之外,还要定期判断网络系统的安全状况,检查安全装备以及网络运行的健康状况,给出安全等级,以供后期修复使用。
四、针对流量劫持的防范措施
在黑客攻击或者直接攻击不直接获利,不直接影响系统的情况下,只将关注点放在网络底层安全是远远不够的。现代网络运维的目的更要放在追求系统数据安全、保证网络的持续长久运维方面。所以运维管理人员要建立全景式的安全管理模式,减少安全管理中的盲点。
首先,在技术上,管理人员要提升网络安全建设,提升包括:CDN、DNS在内的安全防护系统,以降低系统被攻击的风险。然后,工作人员要加强安全管理技术,主要通过不断的核查和监督完善监督管理机制。尤其要注重以下几点:
(1) 关注互联网投诉。互联网投诉是管理人员掌握运营情况的渠道之一。对此管理人员要对互联网访问保持敏感,一旦发现有异常弹窗或者网址访问异常等情况,要及时核查,对用户的投诉保持关注,及时纠查及时解决;
(2) 加强自身系统安全防范,通过安全加固巩固系统的抗入侵能力;
(3) 规范运维安全。运维管理部门要统一运维通道,加强运维管理的规范性,控制运维管理权限,保障只有专业的运维人员才可以通过,将日至统一储存,并且定期审查,保证日志完整;
(4) 定期从互联网的不同位置审核网络访问,定期使用不同的IP地址核查重点网络、重点应用,定期从客户端检查网络是否正常运行;
(5) 对于网络运维中的敏感部门或者敏感岗位,实行责任轮流制,将运维审计等权限分别赋予不同的人员,切实保证网络运维的安全。
五、结语
总之,信息安全网络维护是一项涉及面众多,内容繁杂的工作,需要相关人员投入巨大的精力和时间,基于以上分析,我们发现现阶段网络维护工作仍旧存在许多不足,需要网络运维人员继续投入时间和经历进行管理因此, 作为信息系统维护部门,工作人员必须要详细了解自己管辖运维服务中的各类潜在问题,对以往出错位置和问题症结有清晰的认识,并在之后的工作中强加防范。另外,还要不断优化网络环境,强化硬件设施和技术环境,不断提升日常维护管理工作能力。这样,才能尽可能的创造出足够安全的网络环境,避免信息窃取现象的发生,保证工作高效率完成。
本文章来源于网络,仅供参考学习,若有侵犯您的版权等,请您联系我们,我们予以修改或删除。
