本节书摘来自异步社区《IT运维之道》一书中的第13章,第13.5节,作者: 李鹏 更多章节内容可以访问云栖社区“异步社区”公众号查看。
13.5 安全软件
继个人计算机、互联网变革之后,大数据、云计算、互联网金融作为第三次IT浪潮的代表正在向人们走来,它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。在大数据、云计算和互联网金融产业的发展中,企业和用户关注的核心聚焦在数据安全及产业生态系统打造方面,数据安全贯穿了整个信息系统的建设和运维过程中,如何保障这些数据的安全是作为IT人应深思的课题,当然我们IT人本身要维护这份职业操守,首先保证自己不违反信息安全管理制度并确保数据安全。提到数据安全有人在想,数据安全和信息安全有什么区别,理解其各自含义后会对不同的工作方向有更深的理解,并有针对性地学习好相关知识,为做好IT服务打好基础。
信息安全可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期国内信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全专业是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受内部、外部、自然等因素的威胁。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。
数据安全包含数据本身的安全和数据防护的安全,数据本身的安全主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等;数据防护的安全主要是指采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。作为IT服务人来说要知道可能导致数据安全的因素,并做好防护工作和发生安全事件后如何追踪并知晓发生原因或系统的漏洞,做好修补工作避免再次发生。
13.5.1 信息安全软件
进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出,如何确保信息系统的安全已成为全社会关注的问题,我们国家也意识到此问题的严重性,在2014年2月27日成立了中央网络安全和信息化领导小组,足以引起社会的重视。目前信息安全行业中的主流技术主要有病毒检测与清除技术、安全防护技术、安全审计技术、安全检测与监控技术、解密与加密技术和身份认证技术,这些技术运用在网站安全管理、网络检测与保护和信息系统应用访问控制上。
(1)病毒检测与清除技术及软件
计算机病毒检测通常从严密监控内存RAM区和严密监控磁盘引导扇区两个方面起作用,可以有效检测带毒文件并对其清除。这类软件目前主要还是针对Windows系统,近年随着Linux系统的盛行,在此系统上也出现了一些病毒特征。目前主要的常用软件有:360杀毒软件、金山毒霸、瑞星杀毒软件、卡巴斯基杀毒软件、诺顿防病毒软件等。
(2)安全防护技术及软件
做好一个企业的信息系统安全防护应从网络防护、系统防护和应用防护三个方面入手。利用网络架构设计(如不同网段不同的功能,划分安全区域等)、防火墙、路由器设置、入侵检测防御、网络安全审计等技术防止外部网络用户以非法手段进入内部网络,访问内部资源,保护内部网络操作环境的相关技术做好网络方面的防护;利用程序设计的规范防止不必要的接口、端口确保应用程序的安全;利用防篡改、备份恢复等技术做好系统级的主机防护。
(3)安全审计技术
包含日志审计和行为审计,通过日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性、安全策略的有效性,追溯分析安全攻击轨迹,并能为实时防御提供手段。通过对员工或用户的网络行为审计,确认行为的合规性,确保信息及网络使用的合规性。
(4)安全检测与监控技术
对信息系统中的流量以及应用内容进行二至七层的检测并适度监管和控制,避免网络流量的滥用、垃圾信息和有害信息的传播。
(5)解密与加密技术
在信息系统的传输过程或存储过程中进行信息数据的加密和解密。
(6)身份认证技术
用来确定访问或介入信息系统用户或者设备身份的合法性的技术,典型的手段有用户名口令、身份识别、PKI证书和生物认证等。
懂得这些信息安全技术后要针对不同的信息系统特点做好安全策略,一个信息网络的总体安全策略可以概括为“实体可信,行为可控,资源可管,事件可查,运行可靠”五个方面,总体安全策略为其他安全策略的制定提供总的依据。
(1)实体可信
实体指构成信息网络的基本要素,主要有网络基础设备、软件系统、用户和数据。
软硬设备可信:没有预留后门或逻辑炸弹等。
用户可信:防止恶意用户对系统的攻击破坏。
数据可信:数据在传输、处理、存储等过程中是可信的,防止搭线窃听,非授权访问或恶意篡改。
(2)行为可控
用户行为可控:即保证本地计算机的各种软硬件资源(如内存、中断、I/O端口、硬盘等硬件设备,文件、目录、进程、系统调用等软件资源)不被非授权使用或被用于危害本系统或其他系统的安全。
网络接入可控:即保证用户接入网络应严格受控,用户上网必须得到申请登记并许可。
网络行为可控:即保证网络上的通信行为受到监视和控制,防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。
(3)资源可管
资源可管是指保证对软硬件及数据等网络资源进行统一管理。
主要资源有:路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、IP地址、用户账号、服务端口等。
(4)事件可查
事件可查是指保证对网络上的各类违规事件进行监控记录,确保日志记录的完整性为安全事件稽查、取证提供依据。
(5)运行可靠
运行可靠是指保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行,具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失,并具有较强的应急响应和灾难恢复能力。
13.5.2 数据安全软件
随着近年来网络系统的普及和应用,越来越多的用户注意到了数据的重要性。越来越多的人开始认识到企业中最宝贵的不是各种网络硬件,而是网络中存储的业务数据。系统的崩溃、病毒的入侵、人为的失误、机密数据泄漏、账户盗窃、不安全的API、内部人员的恶意操作、共享技术漏洞、云服务的滥用等都是数据安全的潜在威胁。数据一旦丢失或泄密,将会严重影响企业日常业务的正常运作——丧失商业机会、客户表示不满、营业收入降低、企业声誉受损。此时,最关键的问题就在于如何保护关键业务数据安全,避免机密数据的泄漏或者在数据丢失后尽快恢复数据,使系统恢复正常运作。保证数据的安全,就是保证企业的安全。
