点击图片查看原图
比如防火墙产品,目前基本是以包过滤技术为基础的,它**的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看,防火墙较为明显的局限性包括以下几方面:
1)、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。
2)、防火墙不能防范全新的威胁,更不能防止可接触的人为或自然的破坏。
3)、防火墙不能防止由自身安全漏洞引起的威胁。
4)、防火墙对用户不完全透明,非专业用户难于管理和配置,易造成安全漏洞。
5)、防火墙很难为用户在防火墙内外提供一致的安全策略,不能防止利用标准网络协议中的缺陷进行的攻击,也不能防止利用服务器系统漏洞所进行的攻击。
6)、由于防火墙设置在内网与外网通信的信道上,并执行规定的安全策略,所以防火墙在提供安全防护的同时,也变成了网络通信的瓶颈,增加了网络传输延时,如果防火墙出现问题,那么内部网络就会受到严重威胁。
7)、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。
另一方面,防火墙由于其自身机理的原因,还存在很多先天不足,主要包括:
1)、由于防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞。
2)、防火墙只是一个策略执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意。从这点上看,防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了。
3)、防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。
4)、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,处理速度减慢。
5)、防火墙准许某项服务,却不能保证该服务的安全性,它需要由应用安全来解决。
防火墙正是由于这些缺陷与不足,导致目前被攻破的几率已经接近50%。虽然目前**的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生的网络攻击。仅有防火墙的安全架构是远远不够的。
其它安全技术如IDS、**、防病毒产品等与产品与防火墙一样,也都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。IDS作为可审查性产品**的局限性是漏报和误报严重,几乎不是一个可以依赖的安全工具,而是一个参考工具。漏报等于没有报,误报则是报错了,这两个特点几乎破坏了入侵检测的可用性。**作为一种加密类技术,不管哪种**技术,在设计之初都是为了保证传输安全问题而设计的,而没有动态、实时的检测接入的**主机的安全性,同时对其作“准入控制”。这样有可能因为一个**主机的不安全,导致其整个网络不安全。防病毒产品也有局限性,主要是对新病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。
3.6. 其它行业借鉴
在我国各大基础能源行业中,电力行业由于其特殊行业背景,其安全性往往上升到国家安全高度,因此在网络安全防护方面也有着较高的要求。
早在2002年,国家经贸委即发行了第30号令,即《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。该行业法规颁布的主要目的是:“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行,建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系。”该规定将电力监控系统、办公自动化系统或其他信息系统以及互联网之间的网络做了边界划分,并明确规定,电力监控系统在与其它系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。
2003年,美国佛罗里达州以及东北部发生了大面积停电事件。当时一部分别有用心的美国和英国安全人士声称,是包括中国军方在内的中国黑客侵入了美国东北部电网的控制系统,导致了密歇根、俄亥俄、纽约等地区大面积停电。
2004年,国家电监会发行了5号令《电力二次系统安全防护规定》。规定指出,制定该规定的目的是:“为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行。”该规定将发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,划分为生产控制大区和管理信息大区,并强制要求,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认定认证的安全隔离装置。
电力行业在更高的网络安全性要求的背景下,一方面从行政角度明确地将连接各业务系统的网络划分为信息网络和控制网络;另一方面,为了解决防火墙等常规网络安全技术的局限性,在控制网络防护上采用了网络隔离技术。