淺析OSS系統(tǒng)網(wǎng)絡(luò)信息安全威脅
孟凡哲 2007/03/28
運(yùn)營(yíng)支撐系統(tǒng)隨著3G各種新業(yè)務(wù)及各種新接入方式的到來,其受到安全威脅的方式越來越多樣化、復(fù)雜化,如何保證OSS系統(tǒng)的信息安全也是運(yùn)營(yíng)商所必須面對(duì)的問題。支撐系統(tǒng)在滿足用戶要求更快、更準(zhǔn)確和更有效地獲得計(jì)費(fèi)和賬務(wù)信息,再加上繁雜的資費(fèi)套餐、詳細(xì)優(yōu)惠信息、相關(guān)的費(fèi)用補(bǔ)收等諸多因素的需求同時(shí),還要保證運(yùn)營(yíng)支撐系統(tǒng)的拒絕外部網(wǎng)絡(luò)終端的隨意入侵、拒絕服務(wù)的攻擊、一系列木馬等黑客軟件的侵襲。這樣就引發(fā)了我們對(duì)于OSS系統(tǒng)的網(wǎng)絡(luò)信息安全帶來的威脅的探索和研究。
OSS信息安全威脅的特點(diǎn)
OSS信息安全威脅按照不同應(yīng)用情況和網(wǎng)絡(luò)結(jié)構(gòu),分為物理層面攻擊、系統(tǒng)層攻擊、網(wǎng)絡(luò)層攻擊和應(yīng)用程序?qū)庸。針?duì)如上的各種威脅,相應(yīng)頻繁發(fā)生的安全事件特點(diǎn)可歸納為以下幾點(diǎn):
- 接入系統(tǒng)網(wǎng)絡(luò)竊取資料的多樣性
由于現(xiàn)在系統(tǒng)為方面終端用戶的使用,提供了多種多樣的接入系統(tǒng)方式、USB等便攜設(shè)備接入、802.1X無線接入方式、可移動(dòng)電腦終端直接接入。這些都是構(gòu)成OSS系統(tǒng)信息不安全因素的組成部分之一。
- 拒絕服務(wù)攻擊發(fā)生的頻率越來越高。
由于此類攻擊往往使用虛假的源地址,因此很難定位攻擊者的位置。并且入侵目標(biāo)主機(jī)需要一定的技術(shù)和運(yùn)氣,因此很多攻擊者選擇了使用分布式拒絕服務(wù)的攻擊方法,嚴(yán)重干擾運(yùn)營(yíng)支撐的網(wǎng)絡(luò)服務(wù)。
- 攻擊軟件的泛濫
由于在網(wǎng)絡(luò)上很容易下載到攻擊工具,攻擊者需要的技術(shù)水平逐漸降低而危害增大。而且一個(gè)新的操作系統(tǒng)或網(wǎng)絡(luò)的漏洞被公布后,過去的攻擊方法一般在兩個(gè)月內(nèi)才能發(fā)布,而現(xiàn)在這個(gè)周期被明顯的縮短,可能一個(gè)或者兩個(gè)工作日就會(huì)被發(fā)布到互聯(lián)網(wǎng)上面。
- 入侵者方位的難以追蹤
有經(jīng)驗(yàn)的入侵者往往不直接攻擊目標(biāo),而是利用所掌握的分散在不同網(wǎng)絡(luò)運(yùn)營(yíng)商、不同國(guó)家或地區(qū)的跳板機(jī)發(fā)起攻擊,使得對(duì)真正入侵者的追蹤變得十分困難,需要大范圍的多方協(xié)同配合。
- 攻擊手段靈活性加強(qiáng),聯(lián)合攻擊急劇增多
網(wǎng)絡(luò)上的蠕蟲越來越發(fā)展成為傳統(tǒng)病毒、漏洞攻擊和黑客攻擊技術(shù)的結(jié)合體,不僅具有傳染性、隱蔽性和破壞性,還具有不依賴于人為操作的自主攻擊能力。新一代網(wǎng)絡(luò)蠕蟲的攻擊能力更強(qiáng),并且和黑客攻擊、計(jì)算機(jī)病毒之間的界限越來越模糊,帶來更為嚴(yán)重的多方面的危害。
- 系統(tǒng)漏洞受攻擊和被發(fā)現(xiàn)的時(shí)間間隔正在縮短
像微軟等系統(tǒng)和網(wǎng)絡(luò)軟件定期公布其新發(fā)現(xiàn)的系統(tǒng)安全漏洞。而網(wǎng)絡(luò)攻擊者熱衷于利用這些漏洞,攻擊新發(fā)現(xiàn)的漏洞,漏洞攻擊距相應(yīng)漏洞被公布的時(shí)間正在逐漸的縮短,以致于很多網(wǎng)絡(luò)管理員還來不及給系統(tǒng)打補(bǔ)丁,系統(tǒng)就已經(jīng)被入侵攻擊者利用相應(yīng)的漏洞進(jìn)行了攻擊。
- 惡意軟件、間諜軟件威脅安全
這些廣告軟件、密碼竊聽、惡意腳本程序等有害軟件,正在以基數(shù)級(jí)數(shù)量增長(zhǎng)。其通過不同方式盜取用戶的信息,并且威脅用戶計(jì)算機(jī)的安全。間諜軟件和一些流氓軟件在用戶不知情或不全面了解相應(yīng)功能的情況下,被強(qiáng)制或惡意安裝在用戶的終端上。監(jiān)控用戶的網(wǎng)絡(luò)連接,收集并發(fā)送有關(guān)用戶訪問的網(wǎng)址、IP地址、用戶計(jì)算機(jī)存儲(chǔ)的信息。這種軟件一般隱藏在其他的應(yīng)用軟件中,用戶在網(wǎng)上下載一些自身需要的實(shí)用程序、媒體播放器、游戲時(shí),這些間諜軟件就隨而被下載到用戶的電腦中,收集、監(jiān)控并發(fā)送有關(guān)用戶計(jì)算機(jī)的信息。
OSS信息安全管理
根據(jù)不同特點(diǎn)信息安全,OSS管理者首先要做的就是在保證及時(shí)準(zhǔn)確的提供信息服務(wù)的基礎(chǔ)上,從各個(gè)層面上控制可能給OSS系統(tǒng)帶來的不安全因素。
- 管理層面上制定相應(yīng)的管理制度和辦法
OSS運(yùn)營(yíng)管理著所制定的規(guī)章制度應(yīng)該包含網(wǎng)絡(luò)、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全、軟件開發(fā)、變更管理、問題管理、系統(tǒng)備份的各方面內(nèi)容(例如網(wǎng)絡(luò),物理安全,操作系統(tǒng)安全,應(yīng)用程序安全等)。相應(yīng)的安全規(guī)章制度應(yīng)進(jìn)行定期審閱更新,并將審閱更新的要求包含在相關(guān)安全規(guī)章制度內(nèi)。對(duì)于已更新的安全規(guī)章制度應(yīng)及時(shí)下發(fā)各相關(guān)部門遵照?qǐng)?zhí)行。
- 內(nèi)部支撐網(wǎng)各業(yè)務(wù)系統(tǒng)必須遵循一定的管理策略
內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)接口進(jìn)行互聯(lián)時(shí),必需經(jīng)過相關(guān)人員的書面批準(zhǔn)。互聯(lián)方案必需組織內(nèi)部或外部的安全專家論證,論證通過方可采納。內(nèi)部互聯(lián)應(yīng)該保證統(tǒng)一接口,配置防火墻進(jìn)行隔離,僅開放必要服務(wù)端口,內(nèi)部網(wǎng)絡(luò)互聯(lián)后,不應(yīng)降低原有網(wǎng)絡(luò)安全等級(jí)。內(nèi)部網(wǎng)絡(luò)互聯(lián)接口必須由指定的安全負(fù)責(zé)人進(jìn)行管理和維護(hù),負(fù)責(zé)接口的日常管理、策略調(diào)整等事務(wù);安全負(fù)責(zé)人需對(duì)相應(yīng)的接口進(jìn)行監(jiān)控和審計(jì)。
- 合理的安全域劃分
OSS管理者在保證及時(shí)準(zhǔn)確的提供信息服務(wù)的基礎(chǔ)上,應(yīng)該按不同的安全級(jí)別研究對(duì)安全域進(jìn)行劃分,確認(rèn)那些為核心子域,那些為接入域,那些為其他域。通過對(duì)不同的安全域進(jìn)行不同的安全策略劃分,保證如上的安全域所享受的安全級(jí)別是不同的。圖1顯示,核心域、接入域和其他域是第次接入的,向下訪問可以透明傳輸,而向上的訪問就必須設(shè)定相應(yīng)的訪問控制。
- 防病毒軟件的管理
OSS信息技術(shù)部門對(duì)電腦防病毒軟件統(tǒng)一升級(jí),統(tǒng)一設(shè)置安全策略,強(qiáng)制安裝。防病毒服務(wù)器上設(shè)置自動(dòng)實(shí)時(shí)更新殺毒軟件廠商發(fā)布的安全補(bǔ)丁及病毒庫(kù)?蛻艚K端上的殺毒軟件在登錄公司網(wǎng)絡(luò)時(shí)實(shí)現(xiàn)自動(dòng)掃描更新安全補(bǔ)丁及病毒庫(kù)。了解公司客戶終端數(shù)量分布情況,抽取一定量的終端檢查其殺毒軟件更新情況,重點(diǎn)檢查接入核心域的相關(guān)部門終端,確認(rèn)是否所有終端設(shè)置為自動(dòng)更新殺毒軟件版本、安全補(bǔ)丁程序及所有終端均安裝了安全補(bǔ)丁和最新病毒庫(kù)版本。并組織專人查看客戶終端病毒日志。
- OSS網(wǎng)絡(luò)系統(tǒng)與互聯(lián)網(wǎng)或外聯(lián)公司的網(wǎng)絡(luò)連接必須經(jīng)過防火墻或應(yīng)用網(wǎng)關(guān)協(xié)議控制保護(hù)
公司對(duì)防火墻設(shè)置及應(yīng)用網(wǎng)關(guān)的安全設(shè)置在安全政策中進(jìn)行規(guī)定,并由網(wǎng)絡(luò)管理員及相關(guān)應(yīng)用網(wǎng)關(guān)系統(tǒng)管理員進(jìn)行設(shè)置。OSS信息技術(shù)部門網(wǎng)絡(luò)管理員需每月對(duì)防火墻日志進(jìn)行審查。同時(shí)OSS的安全管理員根據(jù)防火墻管理規(guī)章制度、流程等,檢查OSS系統(tǒng)的防火墻日志及定期更新防火墻策略。
OSS信息安全威脅的分析
在過去的安全管理觀念中主要是對(duì)外部入侵的安全防護(hù),隨著信息安全的重要性地位的提升,對(duì)內(nèi)部信息安全的威脅的重視程度也同樣的需要加強(qiáng)提高。這就要求我們注重對(duì)安全威脅事件的分析處理能力的加強(qiáng)。利用IPS等入侵檢測(cè)系統(tǒng),增強(qiáng)對(duì)網(wǎng)絡(luò)安全事件的分析工作。首先解釋一下IPS的含義,入侵防御產(chǎn)品看成是一定安全目標(biāo)的系統(tǒng)時(shí),我們可稱之為入侵防御系統(tǒng)(IPS)。IPS的檢測(cè)功能類似于IDS,但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊,可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。通過對(duì)IPS上記錄的安全事件的分析處理,及時(shí)更新安全策略,設(shè)置新的訪問控制,從而降低相應(yīng)的入侵攻擊。
防病毒和防火墻硬件軟件發(fā)生的安全事件的分析。過去的防病毒和防火墻的管理方式是被動(dòng),脅迫式的。即接入OSS系統(tǒng)的終端軟件、硬件未經(jīng)安全檢查處理不得裝入系統(tǒng),及時(shí)對(duì)殺毒軟件和防火墻策略進(jìn)行升級(jí),并要健全有關(guān)措施,防止電腦病毒侵害系統(tǒng),要求所有登入OSS的終端操作系統(tǒng)必須強(qiáng)制安裝統(tǒng)一的防病毒軟件,不同安全子域間設(shè)立不同的安全策略。但在此基礎(chǔ)上要設(shè)立相應(yīng)的日志分析系統(tǒng),網(wǎng)絡(luò)管理員通過定期的審計(jì)核查,分析發(fā)現(xiàn)防病毒及防火墻硬件軟件日志的信息安全事件,協(xié)同信息安全專家們的建議和意見,及時(shí)的做出整改,并生成相應(yīng)的知識(shí)庫(kù),避免類似情況的發(fā)生和出現(xiàn)。
綜上所述,OSS信息安全的威脅來自于多方面,隨著信息產(chǎn)業(yè)的不段發(fā)展更新而演變著相應(yīng)的入侵和威脅方式。只有通過不斷的更新信息安全保護(hù)措施和管理制度,分析相應(yīng)的發(fā)展趨勢(shì),不斷升級(jí)信息安全管理的系統(tǒng)處理能力,才能最大限度的減少相應(yīng)的攻擊和入侵。只有在對(duì)OSS信息安全威脅的不斷的探究中,才能加深信息安全管理人員處理信息威脅的能力。
中國(guó)計(jì)費(fèi)網(wǎng)
相關(guān)鏈接: