¿Tecnología de prevención y seguridad de la información empresarial?
1 Introducción
La aplicación generalizada de las redes informáticas ha tenido un impacto importante en el desarrollo de la economía, la cultura, la educación y la ciencia y la tecnología. la red. Hablando objetivamente, casi ninguna red es inmune a los problemas de seguridad. Según las estadísticas compiladas por FinancialTimes, en promedio, una red es invadida cada 20 segundos y la seguridad es la base del desarrollo de la red. Especialmente en el campo de la industria de la seguridad de la información, su sensibilidad y particularidad inherentes afectan directamente los intereses económicos y de seguridad del país. Por lo tanto, en una situación en la que el proceso de creación de redes e informatización es irreversible, cómo minimizar o evitar las pérdidas económicas causadas por la fuga y destrucción de información es un tema de gran importancia estratégica que debe resolverse adecuadamente.
2 Amenazas a la seguridad que enfrenta la red
Las amenazas que enfrentan las redes informáticas incluyen principalmente amenazas a la información en la red y amenazas a los equipos en la red. Son muchos los factores que afectan a las redes informáticas, y las amenazas a las que se enfrentan provienen de muchos aspectos. Los principales son:
① Errores humanos: como vulnerabilidades de seguridad provocadas por una configuración de seguridad inadecuada del operador, falta de conocimiento de los usuarios. conciencia de seguridad si la contraseña del usuario no se elige cuidadosamente y el usuario transfiere su cuenta a otros o la comparte con otros a voluntad, representará una amenaza para la seguridad de la red;
②Interceptación de información: interceptación de información. A través del canal, obteniendo información confidencial, o mediante el análisis del flujo de información, la frecuencia de la comunicación y el análisis de longitud, se puede derivar información útil. Este método no destruye el contenido de la información y no es fácil de descubrir. Este método fue el método más utilizado y efectivo en enfrentamientos militares pasados, enfrentamientos políticos y enfrentamientos económicos actuales;
③Robo y destrucción internos: se refiere al robo por parte de personal interno o del sistema a través de la red Confidencialidad, filtración o alteración de información, y violación de los sistemas de información. Según una encuesta realizada por el FBI en septiembre de 1997, el 70% de los ataques se lanzaron desde dentro y sólo el 30% desde fuera;
④ Ataques de piratas informáticos: los piratas informáticos se han convertido en la némesis de la seguridad de las redes. En los últimos años, especialmente del 7 al 9 de febrero de 2000, ocho sitios web importantes en los Estados Unidos, como Yahoo y Amazon, sufrieron sucesivamente ataques electrónicos de fuentes desconocidas, lo que provocó interrupciones en el sistema de servicios y la tasa total de uso de Internet en 2 días. % Las pérdidas directas causadas por este ataque a estos sitios web alcanzaron los 1.200 millones de dólares estadounidenses y las pérdidas económicas indirectas alcanzaron los 1.000 millones de dólares estadounidenses
⑤Defectos técnicos: debido a las limitaciones de la capacidad cognitiva y el desarrollo tecnológico; En el hardware y durante el proceso de diseño del software, inevitablemente quedarán defectos técnicos, lo que puede causar riesgos de seguridad de la red. En segundo lugar, la mayoría de los productos de hardware y software de red son importados. Por ejemplo, el 90% de las computadoras del mundo están equipadas con el sistema operativo Windows de Microsoft. Muchos piratas informáticos ingresan a la red a través de las lagunas y puertas traseras del sistema operativo de Microsoft. visto en un periódico;
⑥Virus: El primer virus (gusano) reportado en 1988 invadió la Internet militar de los EE. UU., provocando la infección de 8.500 computadoras y el cierre de 6.500, lo que provocó pérdidas económicas directas de casi 100 millones de dólares. Desde entonces, este tipo de cosas han sucedido una tras otra, desde el brote de virus como Code Red en 2001 hasta Shock Wave y Sasser de este año, el modo de infección de virus informáticos ha cambiado de la propagación pasiva en una sola máquina a la activa. La propagación a través de la red, que no sólo provoca la destrucción de la red y la fuga de información en línea, especialmente en redes privadas, sino que la infección por virus se ha convertido en una grave amenaza para la seguridad de la red. Además, las amenazas a la seguridad de la red también incluyen factores de fuerza mayor, como los desastres naturales.
Las amenazas de seguridad anteriores a las redes informáticas a menudo se resumen de la siguiente manera: ① Escucha: el atacante obtiene información confidencial al monitorear los datos de la red ② Retransmisión: el atacante obtiene parte o toda la información primero y luego la envía; esta información al destinatario; ③ Falsificación: el atacante envía información falsificada al destinatario; ④ Manipulación: el atacante modifica, elimina e inserta la información de comunicación entre usuarios legítimos y luego la envía al destinatario; el proveedor utiliza algún método para ralentizar o incluso paralizar la respuesta del sistema, impidiendo que los usuarios legítimos obtengan servicios ⑥ Denegación de comportamiento: la entidad de comunicación niega el comportamiento que ha ocurrido ⑦ Acceso no autorizado: usar la red o la computadora sin consentimiento previo; Propagación de virus: Los virus informáticos que se propagan a través de Internet son muy destructivos y difíciles de prevenir para los usuarios.
El conjunto mínimo de objetivos de seguridad de la red son los siguientes aspectos: ① Autenticidad de la identidad: se puede identificar la autenticidad de la identidad de la entidad que se comunica ② Confidencialidad de la información: garantizar que la información confidencial no se filtre a personas no autorizadas; personas persona o entidad; ③ Integridad de la información: garantizar la coherencia de los datos y evitar que usuarios o entidades no autorizados creen, modifiquen y destruyan los datos; ④ Disponibilidad del servicio: garantice que no se niegue indebidamente a los usuarios legítimos el uso de información y recursos; -repudio: establecer un mecanismo de responsabilidad eficaz para evitar que las entidades nieguen sus acciones; ⑥ Controlabilidad del sistema: la capacidad de controlar el uso de los recursos por parte de personas o entidades; ⑦ Bajo las condiciones de cumplir con los requisitos de seguridad, el sistema debe ser simple de operar; Fácil de mantener; ⑧Auditabilidad: proporciona la base y los medios para investigar los problemas de seguridad de la red que surjan.
3 Principales Tecnologías de Seguridad de Red
Para garantizar la seguridad de la información de la red, las siguientes tecnologías de seguridad se utilizan comúnmente en aplicaciones prácticas.
3.1 Tecnología de prevención de virus
El virus informático es en realidad un programa funcional que puede infectar e infringir el sistema informático durante el funcionamiento del sistema informático. Después de que el virus penetra con éxito en el sistema o ataca violando la autorización, el atacante generalmente implanta caballos de Troya o bombas lógicas y otros programas en el sistema para proporcionar condiciones convenientes para futuros ataques al sistema y a la red. El software antivirus actual se enfrenta a los desafíos de Internet. Actualmente, cada día aparecen en el mundo entre 13 y 50 nuevos virus, y el 60% de los virus se propagan a través de Internet. Para proteger eficazmente los recursos de información de una empresa, se requiere que el software antivirus admita todos los protocolos de Internet y sistemas de correo electrónico que las empresas puedan utilizar, y que sea capaz de adaptarse y mantenerse al día con el ritmo siempre cambiante de los tiempos. En estos aspectos, algunos software antivirus extranjeros como Norton, McAfee, Panda Defender, etc. están liderando el camino. La mayoría del software antivirus nacional se centra en productos antivirus independientes. Aunque algunos fabricantes han lanzado versiones en línea de productos antivirus, solo protegen computadoras de escritorio y servidores de archivos. El alcance de la protección aún es limitado, por lo que los antivirus nacionales. Los fabricantes deberían comenzar temprano a fortalecer la protección en la puerta de enlace o el servidor de correo. Sólo cortando eficazmente la entrada del virus podrán las empresas y los usuarios evitar las pérdidas económicas causadas por los brotes de virus.
3.2 Tecnología de firewall
La tecnología de firewall es un medio para fortalecer la seguridad de la red aislando la topología de la red y los tipos de servicios. El objeto que protege es un bloque de red con un límite cerrado claro en la red, y el objeto contra el que protege son amenazas de seguridad desde fuera del bloque de red protegido. En la actualidad, los productos de firewall incluyen principalmente los siguientes tipos: ① Firewall de filtrado de paquetes: generalmente se instala en un enrutador, según la lista de control de acceso establecida por el administrador de la red, la dirección IP de origen, la dirección IP de destino y el protocolo de encapsulación (como TCP / IP, etc.) y número de puerto, etc. para filtrar. ②Firewall del servidor proxy: la tecnología de filtrado de paquetes puede prohibir el acceso no autorizado mediante el bloqueo de direcciones IP. Pero no es muy adecuado para las redes utilizadas por las empresas para controlar el acceso interno al mundo exterior. Para las empresas con tales requisitos, se puede utilizar la tecnología de servidor proxy para lograrlo. Un servidor proxy generalmente consta de un programa de servidor y un programa de cliente. El programa de cliente está conectado al nodo intermedio (ProxyServer). De esta manera, solo se puede ver el servidor proxy desde la red externa y no se pueden ver los recursos internos. Por lo tanto, utilizar la tecnología de servidor proxy es más confiable que la tecnología de filtrado de paquetes únicos y, al mismo tiempo, todos los registros de acceso se registrarán en detalle.
La desventaja es que, debido a que no permite a los usuarios acceder directamente a la red, ralentizará la velocidad de acceso de los usuarios legítimos a la información. Además, cabe señalar que no todo el software de aplicaciones de Internet admite la tecnología de servidor proxy. ③Firewall de monitoreo de estado: después de monitorear los datos relevantes a través del módulo de detección (un motor de software que puede ejecutar políticas de seguridad de red en la puerta de enlace), extrae parte de los datos (es decir, información de estado) y los guarda dinámicamente para futuras referencias de seguridad. Toma de decisiones. El módulo de detección puede admitir múltiples protocolos y aplicaciones y puede ampliar fácilmente aplicaciones y servicios. Después de usar la tecnología de monitoreo de estado, antes de que el acceso del usuario llegue al sistema operativo de la puerta de enlace, el monitor de estado debe extraer datos relevantes de la solicitud de acceso y analizarlos junto con la configuración de la red y las regulaciones de seguridad para aceptar, rechazar, autenticar o cifrar el comunicación. Una vez que un acceso viola las normas de seguridad anteriores, la alarma de seguridad negará el acceso e informará el estado de la red al administrador del sistema. Pero su configuración es muy complicada y ralentizará la velocidad de transmisión de información de la red.
3.3 Tecnología de cifrado
Las características de un sistema de seguridad de red basado en cifrado de datos son: Proteger el sistema de red (incluidos los datos del usuario) mediante un cifrado confiable de los datos de la red. Todos los flujos de datos, por lo tanto Resolviendo fundamentalmente los dos requisitos principales de la seguridad de la red (es decir, la disponibilidad de los servicios de red y la integridad de la información) sin hacer ningún requisito especial para el entorno de la red. La ventaja de un sistema de red que utiliza tecnología de cifrado es que no solo no requiere el soporte de una topología de red especial, sino que tampoco requiere la seguridad de la ruta de la red durante el proceso de transmisión de datos, logrando así una verdadera realización de extremo a extremo. Asegurar la seguridad en el proceso de comunicación de la red. Se espera que en los próximos 3 a 5 años, los sistemas de seguridad de red que utilizan tecnología de cifrado se conviertan en el principal método de implementación de seguridad de red. La tecnología de cifrado se puede dividir en cifrado simétrico, cifrado asimétrico y cifrado irreversible según la simetría entre la clave de cifrado y la clave de descifrado. En la transmisión de red, la tecnología de cifrado es un método de seguridad eficiente y flexible. Sin embargo, debido a que la mayoría de los algoritmos de cifrado de datos se originan en los Estados Unidos y están restringidos por las leyes de control de exportaciones de los EE. UU., no se pueden utilizar a gran escala en Internet, lo que limita la seguridad. Aplicación de soluciones de seguridad de redes basadas en tecnología de cifrado.
3.4 Tecnología de detección de intrusiones
La tecnología de detección de intrusiones se divide principalmente en dos tipos principales: ① Detección de intrusiones anormales: se refiere a intrusiones que pueden detectarse en función del comportamiento anormal y el uso de los recursos informáticos. Las pruebas de intrusión anormal intentan caracterizar el comportamiento aceptable de manera cuantitativa para diferenciar entre comportamiento anormal y potencialmente invasivo. El problema a resolver en una intrusión anormal es construir un conjunto de actividades anormales y descubrir un subconjunto de actividades intrusivas a partir de él. Los métodos de detección de intrusiones anormales se basan en el establecimiento de modelos de anomalías, y diferentes modelos constituyen diferentes métodos de detección. La detección de anomalías es una tecnología de detección que predice cambios en el comportamiento del usuario a través de la desviación de un conjunto de valores de medición observados y luego toma decisiones. ② Detección de intrusiones por uso indebido: se refiere al uso de patrones de ataque de vulnerabilidad de software de aplicaciones y sistemas conocidos para detectar intrusiones. La principal suposición del mal uso de la detección de intrusiones es que hay ataques que se pueden codificar con precisión de cierta manera, y al capturar los ataques y reorganizarlos, se puede confirmar que la actividad de intrusión es una variante del método de intrusión que utiliza ataques basados en sobre la misma vulnerabilidad. El uso indebido de la detección de intrusiones se refiere a que se detecta mediante la comparación de patrones con patrones de intrusión predefinidos y las circunstancias bajo las cuales se observa que ocurren las intrusiones describen las características, condiciones, permutaciones y relaciones en los eventos que conducen a la seguridad. incumplimientos u otros usos indebidos. Un patrón incompleto puede indicar un intento de intrusión.
3.5 Tecnología de escaneo de seguridad de red
La tecnología de escaneo de seguridad de red incluye principalmente: ①Tecnología de escaneo de puertos: el escaneo de puertos envía paquetes de detección al puerto de servicio Tcp / Ip del host de destino y registra el objetivo. Respuesta del anfitrión. Al analizar la respuesta para determinar si el puerto de servicio está abierto o cerrado, puede conocer los servicios o la información que proporciona el puerto.
El escaneo de puertos también puede monitorear el funcionamiento del host local capturando los paquetes IP entrantes y salientes del host o servidor local. Solo puede analizar los datos recibidos y ayudarnos a descubrir algunas debilidades inherentes del host de destino sin proporcionar pasos detallados para ingresar. un sistema; ② Tecnología de escaneo de vulnerabilidades: el escaneo de vulnerabilidades utiliza principalmente los dos métodos siguientes para verificar si el host de destino tiene vulnerabilidades: después del escaneo de puertos, aprendemos los puertos abiertos por el host de destino y los servicios de red en los puertos, y los correlacionamos. la información se compara con la biblioteca de vulnerabilidades proporcionada por el sistema de escaneo de vulnerabilidades de la red para ver si hay vulnerabilidades que cumplan con las condiciones coincidentes, mediante la simulación de métodos de ataque de piratas informáticos, se escanea el sistema host de destino en busca de vulnerabilidades de seguridad ofensivas, como probar contraseñas débiles; etc. Si el ataque simulado tiene éxito, indica que existe una vulnerabilidad de seguridad en el sistema host de destino.
Además de las diversas tecnologías de seguridad de red presentadas anteriormente, también existen algunas tecnologías de seguridad ampliamente utilizadas, como autenticación de identidad, control de acceso, protocolos de seguridad, etc.