第一篇:談下一代防火墻安全特征及發展趨勢
談下一代防火墻安全特征及發展趨勢
[摘要]隨著越來越重要的信息應用以互聯網作為運行基礎,用戶面臨的威脅形形色色,各類網絡安全問題日益突出。尤其是黑客、計算機病毒對網絡安全的危害,使得人們不得不重視防火墻技術。防火墻是一種行之有效的網絡安全機制,是在網絡的內部與外部之間實施安全防范的系統安全。只有了解了現有防火墻的安全特征,才能完善安全防范手段,實現下一代防火墻的安全使用。根據互聯網目前的系統管理現狀,本文就針對下一代防火墻的安全特征進行分析,探討其未來發展趨勢。
[關鍵詞]下一代防火墻;安全特征;發展趨勢
中圖分類號:TM215 文獻標識碼:A 文章編號:1009-914X(2017)12-0311-01
前言:在信息化潮流的引導下,互聯網的飛速發展給人們的生活帶來便捷,人們對互聯網的依賴程度加大。但是,近年來計算機網絡面臨的威脅越來越多的人為攻擊事件,數量劇烈上升趨勢。人們的利益受到威脅,對互聯網的放火墻安全性能產生不信任。所以,下一代防火墻的安全性值得我們探究和思考,爭取解決下一代互聯網的安全威脅。
1.研究防火墻安全特征
1.1 互聯網面對的安全威脅
自莫里斯蠕蟲病毒出現以來,病毒的數量呈爆炸式增長,安全漏洞數量增長較快,系統或軟件的嚴重級別漏洞增多。同時,黑客等網絡不法分子通過網絡技術,攻破用戶防火墻,帶來安全威脅。對于銀行系統、商業系統、政府和軍事領域而言,這些比較敏感的系統和部門對公共通信網絡中存儲與傳輸的數據安全問題尤為關注。目前,最常見的安全問題是網絡協議和軟件的安全缺陷、計算機病毒、身份信息竊取、網絡釣魚詐騙及分布式拒絕服務。其中計算機病毒并不獨立存在,而是寄生在其他程序之中,所以,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯網金融的發展,人們的身份信息與銀行資產很容易被黑客侵入,個人和企業的信息輕而易舉被竊取,造成巨大損失。以上種種安全問題都需要下一代防火墻提高安全特性。
1.2 目前防火墻的安全技術標準
在2005、2006年,防火墻標準進行了重新編制,只針對包過濾和應用級防火墻技術,其中代理服務器要求和并列到應用級防火墻技術中進行描述。先后形成了《GB/T20010―2005信息安全技術包過濾防火墻評估準則》。GB/T20281―2006標準則吸收了原來國家標準的所有重要內容。該標準將防火墻通用技術要求分為功能、性能、安全和保證四大?。其中,功能要求是對防火墻產品應具備的安全功能提出具體的要求,包括包過濾、應用代理、內容過濾、安全審計和安全管理等;安全要求是對防火墻自身安全和防護能力提出具體的要求;保證要求則針對防火墻開發者和防火墻自身提出具體的要求。性能要求是對防火墻產品應達到的性能指標做出規定。同時,將防火墻產品進行安全等級劃分。安全等級分為三個級別,逐級提高,功能強弱、安全強度和保證要求的高低是等級劃分的具體依據,功能、安全為該標準的安全功能要求內容。這是我國信息安全標準中第一次將性能值進行量化的標準。
1.3 采用防火墻系統的必要性
隨著越來越多重要的信息應用以互聯網作為運行基礎,信息安全問題已經成為威脅民生、社會、甚至國家安全的重要問題。從計算機網絡安全技術的角度來看,防火墻是指強加于兩個網絡之間邊界處,以保護內部網絡免遭外部網絡威脅的系統或者系統組合。防火墻技術作為保護計算機網絡安全的最常用技術之一,當前全球約有三分之一的計算機是處于防火墻的保護之下。防火墻在不危機內部網絡數據和其他資源的前提下,允許本地用戶使用外部網絡資源,并將外部未授權的用戶屏蔽在內部網絡之外,從而解決了因連接外部網絡所帶來的安全問題。
2.分析下一代防火墻的發展趨勢
2.1 防火墻發展的新技術趨勢
就目前國內形勢而言,下一代防火墻發展的新技術趨勢有四方面。隨著運行商、金融、大型企業的數據中心等用戶對安全的關注,對防火墻高吞吐量、高性能連接處理能力的要求越來越迫切。傳統的硬件構架已經無法滿足用戶的需求,因此多核處理,ASIC加速芯片處理等技術紛紛登場,高性能成為新的技術趨勢。雖然IPv6在目前推廣和普及的力度較大,但新的安全問題也逐漸產生。在純IPv6網絡中,IPv6端與端的IPSec以及最終拜托NAT的發展構架對防火墻產品的沖擊影響較大,但在IPv4/6共存階段,針對不同過渡協議混雜的背景,防火墻產品還是有著技術發展和實現的需求,所以使防火墻適用于IPv4/6也是重要技術趨勢之一。基于防火墻用戶的配置策略,應用深層控制技術開始越來越多的被提及。同時,隨著云時代的到來,各類云服務逐漸進入普通大眾的生活。防火墻的安全性能也伴隨著云技術的發展開發出云服務虛擬化技術。
2.2 下一代互聯網高性能防火墻標準
據國家標準化管理委員會2013年下達的國家標準制修訂計劃,對原有《GB/T20281-2006信息安全技術防火墻技術要求和測試評價方法》進行修訂,由于下一代互聯網的特性是防火墻功能屬性,所以維持原有標準名稱。該標準與GB/T20281-2006的主要差異是增加了高性能防火墻的描述,增加了防火墻的功能分類,加強了防火墻的應用層控制能力,增加了下一代互聯網協議支持能力的要求,級別統一劃分為基本級和增強級。該標準安全功能主要對產品實現的功能進行了要求。主要包括網絡層控制、應用層控制和安全運維管理三部分,其中網絡層控制主要包括包過濾、NAT、狀態檢測、策略路由等方面。這些安全功能新標準要求將大大提高下一代防火墻的安全特性。在環境適應性要求方面,該標準對下一代防火墻產品的部署模式及下一代互聯網環境的適應性支持進行了要求。同時,該標準的性能要求對下一代防火墻的吞吐量、延遲、最大并發連接數、最大連接速率和最大事務等性能指標進行了要求。
2.3 網絡安全的實現
網絡安全的實現是多方面的。訪問控制是網絡安全防御和保護的主要策略。進行訪問控制的目的是保護網絡資源不被非法使用和非法訪問。控制用戶可以訪問網絡資源的范圍,為網絡訪問提供限制,只允許訪問權限的用戶訪問網絡資源。且隨著當前通信技術的快速發展,用戶對信息的安全處理、安全存儲、安全傳輸的需要也越來越迫切,并受到了廣泛關注。信息在網絡傳輸的安全威脅是由于TPC/IP協議所固有的,因此數據加密技術成為實現計算機網絡安全技術的必然選擇。病毒防護主要包括計算機病毒的預防、檢測與清除。最理想的防止病毒攻擊的方法就是預防,在第一時間內阻止病毒進入系統。攻擊防御對網絡及網絡設備的傳輸行為進行實時監視,在惡意行為被發動時及時進行阻止,攻擊防御可以針對特征分析及分析做出判斷。同時,網絡安全建設“三分技術,七分管理”。因此,除了運用各種安全技術之外,還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。
結語
總而言之,事物的發展過程是曲折的,前途是光明的。隨著人類在經濟、工業、軍事領域方面越來越多地依賴信息化管理和處理,由于信息網絡在設計上對安全問題的忽視,以及爆發性應用背后存在的使用和管理上的脫節,使互聯網中信息的安全性逐漸受到嚴重威脅,實用和安全矛盾逐漸顯現。而下一代防火墻的安全特性隨著互聯網的發展是不斷改進,進行高性能技術的研究,已有所成果。所以,關于下一代防火墻的安全特性我們要抱有積極的態度。
參考文獻
[1] 吳秀梅.防火墻技術及應用教程[M].北京:清華大學出版社.2010.[2] 黎連業,張維.防火墻及其應用技術.清華大學,2004.
第二篇:下一代防火墻NGFW技術探討
下一代防火墻NGFW技術探討
摘 要:NGFW(下一代防火墻)自從2009年得到Gartner的“正名”開始,便迅速成為邊界安全技術范疇最為炙手可熱的話題。國內外廠商更是借勢紛紛發布各自的NGFW產品,但時至今日,所謂NGFW的業界標準卻依然沒有形成統一。因此,在當前表現較為混亂的防火墻市場環境下,廣大用戶在面對形形色色的NGFW產品時,更需要關注的是本質,而非表象。
關鍵詞:NGFW;標準;本質NGFW概念
2009年,Gartner《定義下一代防火墻》首次對NGFW這一概念進行了釋義,其關鍵內容如下:
(1)標準的第一代防火墻能力:包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等等。
(2)集成的而非僅僅共處一個位置的網絡入侵檢測:支持面向安全漏洞的特征碼和面向威脅的特征碼。IPS與防火墻的互動效果應當大于這兩部分效果的總和。
(3)應用意識和全棧可見性:識別應用和在應用層上執行獨立于端口和協議,而不是根據純端口、純協議和純服務的網絡安全政策。
(4)額外的防火墻智能:防火墻收集外來信息來做出更好地阻止決定或建立優化的阻止規則庫。
首先對Gartner的觀點做個簡單解讀。包過濾、網絡地址轉換(NAT)、狀態性協議檢測、VPN等安全功能傳統防火墻都能滿足;“集成的而非僅僅共處一個位置的網絡入侵檢測”則指出NGFW需要集成IPS功能,在IPS與防火墻之間能夠建立起自動化的聯動機制,使IPS引擎檢測到源自某個IP地址的攻擊行為后,能夠自動由防火墻引擎采用最簡單的方式直接對其進行阻斷;“應用意識和全棧可見性”更加關注應用層控制;“額外的防火墻智能”表達了NGFW應該能夠通過獲取外部信息,來幫助其作出更加合理與有效的安全策略。
通常情況下,傳統防火墻定性為面向網絡層安全,而NGFW則是更加關注應用層安全。通過對Gartner的NGFW定義進行解讀后不難發現,其似乎更像是對當時防火墻技術發展的一個階段性總結。NGFW發展現狀
在國外安全市場中,PaloAlto被認為是最先將NGFW概念應用于產品的安全廠商,其通過“App-ID”、“User-ID”和“Content-ID”來詮釋NGFW產品對于“應用”、“用戶”和“內容”三個方面的安全控制與可視化管理,成為了業界NGFW產品特性描述的經典。
反觀我們身處其中的國內市場,NGFW產品的情況卻顯得有些復雜。從2011年開始,國內廠商陸續發布各自的下一代防火墻產品。有些廠商此前并無防火墻技術積累與市場基礎,但為了滿足自身發展需要,實現業務的快速擴張,便開始向防火墻市場進軍,作為“新人”往往需要用些心思來體現自己的與眾不同。因此,在市場策略方面,將NGFW作為市場切入點或許是這類廠商再合適不過的選擇。除此以外,該類產品雖然擁有NGFW對“用戶”、“應用”和“內容”進行控制的相似功能,但由于底層缺乏一套強大的安全系統架構支撐,對于一款NGFW產品而言在專業性方面明顯不足,從“里”到“外”更像是在傳統上網行為管理產品基礎上進行的一個簡單修改。也就是說,該類廠商所謂的NGFW產品實質上只是“優化后的ACM+WAF”,僅此而已!NGFW發展方向
從Gartner定義下一代防火墻到現在已有五年時間,隨著關于NGFW的各種討論持續升溫并且越發深入,使NGFW產品正在向著理性方向發展。真正的NGFW應該具有如下幾個必要特征。
3.1 更精準的應用管控能力
下一代防火墻的應用識別引擎不僅需要識別出底層的承載協議(例如標準的HTTP協議),還能進一步區分出上層的精確應用協議類型。除此以外,相比以往的安全網關類產品,下一代防火墻更應該關注應用的識別率,而非特征庫的規模。下一代防火墻對于主流網絡應用的識別率應至少達到90%以上,而對于加密應用的識別率則需要達到更高標準,尤其是對帶寬資源占用較大的各種P2P加密流量,只有這樣,才能使我們的網絡帶寬資源真正得到有效控制。
3.2 更加關注未知威脅的識別與防御
下一代防火墻需要以深度、精細、高效的流量安全檢測技術為基礎,提供入侵防御、病毒防御、僵尸網絡阻斷、WEB安全防護、數據防泄漏等更為全面的應用層威脅防御能力,才能有效阻止已知的各類安全威脅。
面對未知威脅,下一代防火墻當然也需要提供相應防御方案。沙箱技術目前被認為是確定未知威脅最為有效的技術手段,而下一代防火墻借助沙箱技術能夠為防御未知威脅提供一套更為有效的解決方案。
3.3 全棧高性能安全處理
高性能尤其是應用層高性能也是下一代防火墻必須要逾越的一道障礙。隨著硬件技術的飛速發展,多核硬件架構逐漸在安全產品中得到廣泛應用,主要包括X86多核與MIPS多核兩個陣營。就多核技術的當前現狀與發展趨勢看來,X86多核技術能夠為下一代防火墻突破性能瓶頸提供更加有力的硬件支撐。
3.4 由內而外的風險可視化設計
隨著安全網關類產品與技術的不斷發展,在業務層面,不僅使網關類產品獲得了更全面的安全防護功能與更強大的數據處理能力,而管理層面的各種特性也正在成為越來越多廠商的眾矢之的。其中,通過對轉發的業務數據、檢測的安全威脅等網絡流量信息進行監控、統計和分析,并從用戶、應用、內容等多維度將網絡應用及安全狀態為管理員提供全面的可視化圖表展現,從而使通過網絡傳播的安全風險得到有效掌控,這些,已經成為網關產品的一個基礎特性。而作為下一代防火墻產品,除了關注通過網絡傳輸的安全風險以外,還可以在事先對源自設備內部的各種安全風險信息進行有效識別。
第三篇:IT行業特征與發展趨勢
洞悉產業特征,引領行業未來
時光飛逝,轉眼間,聯欣已經走過了13個年頭。我們05年開始快訂通業務,7年磨一劍,現在已經成為一家名副其實的信息技術企業。信息行業發展之快可以說是前無古人,有著以下區別于傳統行業的幾大特點:
一、固定成本高,可變成本低,造成生產規模經濟效應比傳統行業更加顯著。
何為生產規模經濟效應?即隨著生產商生產規模的擴大,產品的平均成本將隨之略微下降的現象。
何為固有成本和可變成本?以計算機硬件制造業為例,建設一家生產計算機芯片的工廠,總投資需20億美元以上(這就是固有成本),而在建成后的生產過程中,可變成本(生產芯片用的原材料即為可變成本)卻不到總成本的30%,即計算機芯片生產中70%以上是固定成本。
由此可見,信息行業隨著產品銷售量增大,實際的生產成本急速降低,與傳統行業生產正本與銷售量基本成正比或稍有減少的現象形成明顯對比。給我們聯欣的啟示就是:進一步重視銷售,擴大銷售量也是降低生產研發成本的一種方法!
二、研發成本高,生產成本相對低,技術更新快,行業外延和滲透性高,造成創新與風險并存。
新世紀以來,隨著全球信息產業競爭的加劇,信息技術企業研發投資規模迅速擴大,研究開發投資占銷售額比重明顯提高。一般的信息技術企業研究開發投資占銷售額比重都在5%以上,處于發展前沿的信息技術企業研究開發投資占銷售額的比重甚至高達15%至20%。2000年美國網絡設備制造商Cisco公司研發投資27億美元,2001年美國微電子器件制造商英特爾公司研發投資超過40億美元。
信息技術水平每3年提高一倍,信息技術專利每年新增超過30萬項,科研資料的有效壽命平均只有5年。以科技研發為先導、具有高創新性和擁有高更新頻率已經成為世界電子信息產業發展的重要特征。此外,電子信息產業的滲透性高,不但涉及制造業,而且衍生到服務業,其產品的形式也日趨多樣化,極大地改變了人們的生活,對教育、醫療保健、旅游及文化娛樂等都產生了深刻影響。因此,技術創新的空間也大大擴展。但是,由于信息技術產業化過程投入大、成功率不高,也使電子信息產業呈現相對較高的風險。
正所謂技術創新是信息產業發展的核心驅動力,機會向來與風險并存,給我們聯欣的啟示就是:要拓展創新面,在風險中看到機會,在盡量減少不確定因素,降低風險的同時,把握機會,敢為人先,勇于創新!時刻牢記,不要成為第二個諾基亞!(昔日的手機巨頭,因為其保守的姿態,如今已經開始被蘋果和異軍突起的HTC邊緣化)
三、用戶成本鎖定明顯,造成巨大的更新轉移成本。何為用戶成本鎖定?即用戶一旦使用上某種電子信息產品之后,如果要更新原有的產品,就會遇到巨大的更新轉移成本。
與傳統工業品通常具有獨立性不同,電子信息產品大多數處于一個系統中,單件產品難以發揮作用,只有與其他配套的產品相互配合,才能產生效用,所以,用戶一旦選定某種系統中的一件產品,就不得不采用與之相適應的配套硬件和軟件。另外,用戶本身還存在與外界數據交換的需求,這種交換往往要求采用同一種格式,否則就會造成很大的信息交換障礙。這種狀況使得更新信息系統轉移成本巨大,頻繁更換供應商幾乎不可能。一旦用戶使用上該產品,用戶就會“越陷越深”,直至被牢牢鎖定。鎖定程度的大小與轉移成本相關,成本越大,鎖定程度越高。
這種現象使不兼容的新產品即使性能優良、價格便宜也難以得到推廣和使用,有利于供應商獲得長期的高額利潤。給我們聯欣的啟示就是:做好產品的前提下,目光放遠,哪怕即使要稍微犧牲一點眼前的利潤(比如,PDA終端的價格適度下調),也要牢牢抓住客戶,因為有了客戶就有了未來!(就像現在的騰訊,做什么,成什么!)。
四、對標準的高度依賴,造成標準制定者必定引領市場。
由于電子信息產品通常是在系統中發揮作用。產品供應商雖然可以通過成本鎖定用戶,但是畢竟一家廠商難以提供所有的配套部件,要使多家廠商發揮各自技術優勢生產的產品能夠協調運行,必須依賴于一個統一的接口標準,因而對標準的控制和介入程度實質上標志著技術和生產的競爭力。如果一個國家或一家企業能夠有效控制技術標準,并且有足夠的生產實力,就具備了其他國家或企業難以超越的競爭優勢,不僅能夠將產品線延伸至多種信息產品,進行“縱向競爭”,還可以利用手中的專利和專有技術來限制競爭者生產兼容產品,或者阻撓競爭者建立聯盟,進行“橫向競爭”,以確保自己在市場中的份額。
由此可見,誰控制了標準,誰就會在激烈的市場競爭中取得主動。也就是管理學中經常提到的“一流企業定標準,二流企業做品牌,三流企業賣技術,四流企業賣產品”。給我們聯欣的提示就是:我們聯欣現在的訂貨會基本處于領先地位,但是不明顯,我們一定要與肖邦科技、捷慧達等同行拉大差距,將他們遠遠甩在身后,更大程度地掌控訂貨會市場,由我們聯欣來制定未來訂貨會的標準!道路艱難,所以我們更要居安思危,為自己提出更高的目標,并努力奮斗,讓聯欣更上一層樓,盡早實現上市目標!
最后獻打油詩一首與聯欣人共勉!(最后一句雙關,一、諧音表心志,二、隱晦剖真理)
聯眾人之志
欣繁榮尤在加領導心上
油崛于股市
第四篇:談理論發展趨勢論文
一、激勵客體和對象趨向集中于對企業經營者的激勵
在以往的激勵工作乃至當前的改革中,凡涉及激勵,往往著眼于對一般職工的獎懲和精神激勵,而對于企業的高層管理人員——企業經營者來說則缺乏理論探討和實踐。其實,對于普通員工的激勵,相對來說是較為容易而次要的。由于勞動分工和生產專業化的存在和深化,每一職工的操作和工作越來越單
一、明晰和有形,確定性的工作表現為工作方法、方式、工業流程的標準化。這種細致的分工意味著可以比較容易地確定一系列準確、精密和具體的涵蓋其工作數量、工作質量和工作速度等方面的考核指標體系,并以此為基礎,確定對職工的獎懲方式和獎懲程度,合理地分配組織激勵資源。而相對來說,企業高層經營管理人員其工作主要是決策、計劃和人力資源開發,其經營管理工作的直接成果主要是主意、指令、宗旨、目標、規范、制度,是軟性的、無形的,同時其努力程度、能力、風險態度、投資傾向和決策正確性等內涉及變量和滯后顯示變量囿于信息、時間和空間的限制很難及時準確地用簡單的考核指標來衡量。其次,企業經營者的間接勞動成果(即企業表現)具有非常復雜的背景和歸因。其可察變量(如資本利潤率、企業成長和增長速度、全員勞動生產量、產值、成本、技術進步和生產率)其特性或根源往往不是一維而是多維的,企業經營管理工作量是個復雜動態的系統,其可察因素往往是多維因素非線性作用的結果。這時偏倚、強調某一因素和特性會產生不適當的刺激作用,因此平衡各方面的因素,進行恰到好處的激勵決定著激勵機制的制定、激勵資源的合理導向和配置。再次,企業經營者的勞動成果——企業表現,非但隱含著異常復雜的背景(如努力程度、能力、風險態度)而且還受到不少非經營者所能控制因素的影響(如在計劃經濟和市場經濟的混合體制下由于企業目標多元化和行政指令的干涉而導致的激勵不準確、不規范、不公平和證券市場投機行為等)。因此,對于企業經營者的激勵和誘導日益成為現代激勵理論的研究重點。
二、對企業經營者進行有效的激勵和約束
已有的激勵理論主要是從心理學和組織行為學的角度來展開研究的,激勵被認為是通過高水平的努力實現組織的意愿,而這種努力以能夠滿足個體某些需要和動機為條件。因此,流行的管理激勵理論可以分為兩類。一類是以人的心理需求和動機為主要研究對象的激勵理論,這包括默里的需求理論、麥克萊蘭的成就激勵理論、馬斯洛的需求層次論、阿德佛的ERG理論、弗雷德里克·赫茨伯格的雙因素理論。另一類是以人的心理過程和行為過程相互作用的動態系統為研究對象的激勵過程理論。這種理論以系統和動態的目光來看待激勵,這主要包括弗魯姆、波特和勞勒的期望理論、亞當斯的公平理論、邁克爾·羅斯的歸因理論和軌跡控制理論、斯金納的強化理論。激勵過程理論體系較之于激勵內容理論體系從系統性和動態性的角度來說是一種巨大的進步,但從根本上來說仍以對人的心理特征和以此為基礎的行為特征為出發點。而人的心理需求難以加以觀察、評估和衡量,屬于內涉變量;同時心理特征必然因人、因時、因事而異,并處于動態變化之中,各種激勵方法實施的可重復性差,由此而難以把握;再次隨著人們對于激勵條件的適應性,任何激勵因素都會變成保健因素,致使管理組織激勵資源的稀缺性和激勵因素(如工資、獎金)的剛性之間存在著嚴重的沖突,使得管理激勵難以持久。因此,激勵往往被認為是屬于管理藝術和領導藝術的范疇,是一種令人敬而遠之、望而生畏的工作。激勵,尤其是對企業經營者的激勵一直是世界性的難題,以往的激勵理論和實踐中所存在的種種問題就是最好的說明。但激勵是現代企業經營管理工作的一項職能,并依附于其他職能(如決策、計劃、人力資源開發、指揮、控制)及其衍生的目標,激勵歸根結底是在對其他職能履行狀況的評價的基礎上促進其他職能更好地開展的職能。因此,激勵工作的真正科學性在于以企業經營管理工作的性質和規律為依據,設置合理的激勵機制和約束機制,對企業經營者進行有效的激勵和約束。
事物的性質和規律是指事物本身所具有的、區別于其他事物的特征和聯系。管理工作的性質和規律是指管理工作本身所具有的、區別于一般勞動和其他工作的根本屬性和內在聯系。目前,已經探索和歸納出企業經營管理工作的9種特性,即權力性、知識性、成果無形性、效果的間接性、效益的滯后性、隨機性、創新性、信息不對稱性和二重性。企業經營者只有遵循其管理工作的性質和規律才能做好企業經營管理工作。
同時,對企業經營管理工作性質和規律的研究,也給我們提供了解決激勵和約束問題的方法論。我們可以從企業經營管理工作的性質和規律出發,設計對企業經營者的激勵和約束機制。如根據企業經營管理工作
效益的滯后性,即企業經營管理工作主要是決策、計劃和人力資源開發,與一般勞動和技術工作相比,管理工作的時效更強,其效益具有滯后性,企業管理工作的成果與失誤可能經過若干年后才能顯示出來,企業當前的效益可能得益于當前管理決策的正確,也可能是以犧牲今后的長遠效益為代價的。我們可以設計出年薪制、遠期收入制、股票購買權、長期雇傭制、資產連帶制、決策責任制等激勵約束機制。又如企業經營管理工作具有權力性,管理就是通過其他人來完成工作,是籌劃、組織和控制一個組織或群體的工作。凡是直接生產具有社會結合過程的形態,而不是表現為獨立生產者獨立勞動的地方,都必然會產生監督勞動和指揮勞動,管理工作具有權力性,即指揮別人的權和強迫別人服從的力。管理要通過各種職能機構和人員的職、權、責活動來進行,管理機構和管理人員,無論職位高低、責任輕重,都擁有一定的權力。人們除了擁有對企業的控制權力以外,還不同程度地對企業資產享有剩余索取權(包括股權、債權、紅利、獎金、薪金),合理地擁有權力是做好管理工作的有效激勵因素。因此,又可以設計出團隊生產、民主管理、參與式管理、工作擴大化、工作豐富化、股份合作制、管理激勵和產權激勵的適度結合等多種方法方式。
三、從激勵方法、方式的研究過渡到對經濟機制的設計和研究
打開企業“黑箱”并加以抽象,企業作為有機聯系的自組織系統主要包含和充斥兩種主要的關系——人與物之間的關系和人與人之間的關系。人處于管理系統中的核心位置,通過四通八達的信息網絡與物(包括生產資料、生產設備、資金、運輸工具等)和其他人相聯系。一方面,在人與物形成的對立統一中,人與物之間主要存在著知識的信息不對稱。由于真正的生產力是作為死的勞動的物的因素和作為活的勞動的人的因素相結合的產物,而且生產力的大小即物的因素在生產力中所起的作用取決于人的能力的發揮,因此,激勵就必須使人的積極性、主動性和首創性得到充分的發揮,不斷努力學習和創新,使人減少對物的知識的不對稱,最大限度地使自己的認識與客觀物質世界相一致。另一方面,在人的組織系統中也存在著信息不對稱。在企業經營管理中,企業經營管理工作者處于信息交匯中心,與企業外部管理層,如企業資產所有者或上級主管部門相比,企業經營者(即代理人)掌握的信息多或具有信息優勢,而委托者掌握信息少,或處于信息劣勢,同時企業內部各個階層之間也存在著這種信息不對稱。信息不對稱包括動機不對稱和知識不對稱,從理論上講,知識不對稱是可以解決的,而動機不對稱則難以克服。信息不對稱又必然導致逆選擇行為和敗德行為。由于企業及其組織內部充斥著四通八達的、縱橫交錯的信息流和信息網絡,同時又伴隨著不可避免的信息不對稱,因而傳統的僅限于局部的、具體的、微觀的激勵方法、方式只能對有限時間和空間的信息,予以疏導和規整,在一定程度上激發企業人員的工作積極性和主動性而不能從根本上解決對企業人員尤其是對企業經營者的激勵問題。也正是在這種意義上,激勵成為管理學、組織行為學、信息經濟學和制度經濟學的前沿研究領域。
解決問題的關鍵途徑在于經濟機制的設計理論。以系統、健全、完整和適宜的經濟機制自動有效的整合和規范企業的信息通道,減少信息不對稱,提高企業人員的工作積極性,以盡量少的成本和組織資源來更好地完成組織功能和實現資源帕累托最優配置,經濟機制和制度的設計主要包括三個方面,一個方面是市場機制的設置,包括產品市場、要素市場和資本市場的制度設置,但由于現實中的三種市場皆為不完全信息市場,因此就給政府宏觀調控機制和企業內部經濟機制的設計留下創新的空間。作為行為主體的政府,其運作機制的設置主要目標是,規范和調節市場秩序,兼顧市場效率和公平,為企業創造公平、透明的市場環境,使市場信號能真實地反映企業的利潤指標和經營績效,使企業有參與市場競爭、創造佳績的積極性和主動性。而對企業制度的設計則主要是建立和完善規范的公司制下的內部治理結構和組織結構,尤其是新老三會的合理制衡體系,規范企業經營行為,以減少信息不對稱和責任不對等所導致的經營者的機會主義行為,進而使經營者和所有者之間、各級管理者之間激勵趨于相容,同時構建和完善產權激勵機制和管理激勵機制。
第五篇:淺談分布式防火墻技術的應用與發展趨勢
淺談分布式防火墻技術的應用與發展趨勢
傳統的防火墻分為包過濾型和代理型,他們都有各自的缺點與局限性。隨著計算機安全技術的發展和用戶對防火墻功能要求的提高,目前出現一種新型防火墻,那就是“分布式防火墻”,英文名為“Distributed Firewalls”。它是在目前傳統的邊界式防火墻基礎上開發的。但目前主要是以軟件形式出現的,也有一些國際著名網絡設備開發商開發生產了:集成分布式防火墻技術的硬件分布式防火墻,做成嵌入式防火墻PCI卡或PCMCIA卡的形式,但負責集中管理的還是一個服務器軟件。因為是將分布式防火墻技術集成在硬件上,所以通常稱之為“嵌入式防火墻”,其實其核心技術就是“分布式防火墻”技術。
1.分布式防火墻的產生
1.1 傳統防火墻的缺陷
傳統防火墻根據所采用的技術,可以分為包過濾型和代理型。下面重點介紹包過濾型防火墻和應用網關防火墻的原理及其缺點。
包過濾防火墻的工作原理:包過濾技術包括兩種基本類型:無狀態檢查的包過濾和有狀態檢查的包過濾,其區別在于后者通過記住防火墻的所有通信狀態,并根據狀態信息來過濾整個通信流,而不僅僅是包。包過濾是在IP層實現的,因此,它可以只用路由器完成。包過濾根據包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等報頭信息來判斷是否允許包通過。過濾用戶定義的內容,如IP地址。其工作原理是系統在網絡層檢查數據包,與應用層無關,包過濾器的應用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施透明,合法用戶在進出網絡時,根本感覺不到它的存在,使用起來很方便。這樣系統就具有很好的傳輸性能,易擴展。但是這種防火墻不太安全,因為系統對應用層信息無感知――也就是說,它們不理解通信的內容,不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址,就可以很輕易地通過包過濾器,這樣更容易被黑客攻破。基于這種工作機制,包過濾防火墻有以下缺陷:
(1)特洛伊木馬使包過濾器失效;
(2)第0個分段中便過濾TCP;
(3)只能訪問部分數據包的頭信息;
(4)不能保存來自于通信和應用的狀態信息;
(5)處理信息的能力有限。
(6)允許1024以上的端口通過; 應用網關防火墻也存在著許多缺陷:
(1)不能為UDP、RPC等協議族提供代理;
(2)可提供的服務數和伸縮性也有限;
(3)不能被設置為網絡透明工作;
(4)容易消除阻斷的URL;
(5)無法保護操作系統;
(6)管理復雜,影響系統的整體性能等。
基于上述原因,一種新型的防火墻技術,分布式防火墻(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火墻以上的不足,它通過把防火墻的安全防護系統延伸到網絡中各臺主機,一方面有效地保證了用戶的投資不會很高,另一方面給網絡帶來全面的安全防護。
1.2 分布式防火墻定義
1.廣義分布式防火墻
防火墻是一道介于開放的、不安全的公共網與信息、資源匯集的內部網之間的屏障,由一個或一組系統組成。
圖
(二)其工作原理由圖所示。
廣義分布式防火墻是一種全新的防火墻體系結構,包括網絡防火墻、主機防火墻和中心管理三部分:
(1)網絡防火墻(Network Firewall):用于內部網與外部網之間(即傳統的邊界防火墻)和內部網與子網之間的防護產品,后者區別于前者的一個特征是需要支持內部網可能有的IP和非IP協議。
(2)主機防火墻(Host Firewall):有純軟件和硬件兩種產品,是用于對網絡的服務器和桌面機進行防護。它是作用在同一內部子網之間的工作站與服務器之間,以確保內部網絡服務器的安全。它達到了應用層的安全防護,比起網絡層更加徹底。
(3)中心管理(Central Management):這是一個防火墻服務器管理軟件,負責總體安全策略的策劃、管理、分發及日志的匯總。這是新的防火墻的管理功能,也是以前傳統邊界防火墻所不具有的。
2.分布式防火墻的特點
綜合起來分布式防火墻技術具有以下幾個主要特點:
1.保護全面性
分布式防火墻把Internet和內部網絡均視為“不友好的”。它們對個人計算機進行保護的方式如同邊界防火墻對整個網絡進行保護一樣。對于Web服務器來說,分布式防火墻進行配置后能夠阻止一些非必要的協議,如HTTP 和 HTTPS之外的協議通過,從而阻止了非法入侵的發生,同時還具有入侵檢測及防護功能。
2.主機駐留性
分布式防火墻是一種主機駐留式的安全系統。主機防火墻對分布式防火墻體系結構的突出貢獻是,使安全策略不僅僅停留在網絡與網絡之間,而是把安全策略推廣延伸到每個網絡末端。
3.嵌入操作系統內核
主要是針對目前的純軟件式分布式防火墻。操作系統自身存在許多安全漏洞,運行在其上的應用軟件無一不受到威脅。分布式主機防火墻也運行在主機上,所以其運行機制是主機防火墻的關鍵技術之一。為自身的安全和徹底堵住操作系統的漏洞,主機防火墻的安全監測核心引擎要以嵌入操作系統內核的形態運行,直接接管網卡,在把所有數據包進行檢查后再提交操作系統。為實現這樣的運行機制,除防火墻廠商自身的開發技術外,與操作系統廠商的技術合作也是必要的條件,因為這需要一些操作系統不公開內部技術接口。
4.類似個人防火墻
針對桌面應用的狹義分布式防火墻與個人防火墻有相似之處,如都對應個人系統,但兩者的差別又是本質的。首先,它們的管理方式不同,個人防火墻的安全策略由系統使用者自己設置,目標是防止外部攻擊;而針對桌面應用的狹義防火墻的安全策略是由管理員統一設置,除了對該桌面系統起到保護作用外,還對該桌面系統的對外訪問加以控制,并且這種安全機制是使用者不能改動的。其次,個人防火墻面向個人用戶,而針對桌面應用的狹義防火墻面向的是企業級用戶,是企業級安全解決方案的組成部分。
5.適用于服務器托管
不同的托管用戶都有不同數量的服務器在數據中心托管,服務器上也有不同的應用。對于安裝了中心管理系統的管理終端,數據中心安全服務部門的技術人員可以對所有在數據中心委托安全服務的服務器的安全狀況進行監控,并提供有關的安全日志記錄。3.分布式防火墻的優點
綜合起來這種新的防火墻技術具有以下幾個主要優點:
1.分布式體系結構保護內網安全
分布式的系統構架能夠滿足不同形態和規模的網絡,能夠適應網絡結構和規模的變化,系統的靈活性得到充分的體現。[5]分布式的安全思路是在保證每個節點安全的前提上,達到整個網絡的安全,某個節點的脆弱環節不會導致整個網絡的安全遭到破壞。因此,創新的分布式的體系架構對于內網和移動辦公的防黑和防木馬、防病毒都起到很好的防護作用。
2.集中管理
獨特的集中管理方式,對所有節點的管理可以通過統一的安全策略管理服務器來完成。中央策略管理服務器是一個集成的管理環境,負責給各個節點分發安全策略,記錄客戶端的工作狀態,記錄客戶端強制復制的日志,記錄服務器日志,并可以生成,指派,掃描和檢查所有的客戶端安全策略。通過集中管理控制中心,統一制定和分發安全策略,真正做到多主機統一管理,最終用戶“零”負擔。同時,通過不同的集中管理控制策略的制定,還可以對最終用戶的上網行為進行控制。
3.中央控制策略動態更新
管理員在管理服務器更新安全策略之后,會在很短的時間內動態分發到各個客戶端節點,只要客戶端的機器空閑,客戶端就會自動從統一策略服務器更新策略,用戶也可以手動啟動安全策略更新程序。客戶端將會自動加載這些新的安全策略。安全策略在網絡傳輸的過程中是以加密的形式完成的,不會被黑客竊聽安全策略的具體內容。同時客戶端所自行采用的安全策略只能比統一分發的中央控制策略的安全級別更高,不可以低于統一分發的中央控制策略的安全級別。
4.系統擴展性增強
分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。因為分布式防火墻分布在整個企業的網絡或服務器中,所以它具有無限制的擴展能力。隨著網絡的增長,它們的處理負荷也在網絡中進一步分布,因此它們的高性能可以持續保持住。而不會像邊界式防火墻一樣隨著網絡規模的增大而不堪重負。
4.分布式防火墻的主要功能
綜合起來分布式防火墻技術具有以下幾個主要功能:
1.控制網絡連接(包過濾、基于狀態的過濾)
2.應用訪問控制
3.網絡狀態監控
4.入侵檢測
5.防御黑客攻擊
6.腳本過濾(對常見的各種腳本,如JavaScript、VBScript等ActiveX腳本進行分析檢查)
7.日志管理
8.客戶端定制的安全策略
9.對安全策略、日志和數據庫的備份
10.統一的安全策略管理服務器 5.分布式防火墻技術的發展
隨著分布式防火墻技術的不斷發展,未來分布式防火墻技術將主要向兩個方向發展:分布式主動型防火墻技術和分布式智能型防火墻技術。
1.分布式主動型防火墻
隨著分布式防火墻技術的不斷發展,未來分布式防火墻技術將向分布式主動型防火墻技術發展。不是被動地防止攻擊,而是將內部的攻擊拒絕在攻擊者處。有效防止來自內部的拒絕服務攻擊,使服務器能正常提供服務,從而克服分布式防火墻在防止拒絕服務攻擊上的不足。
2.分布式智能型防火墻
分布式智能型防火墻是未來分布式防火墻發展的另一個方向。它具有以下幾個特點:
(1)透明流量分擔技術
保證了防火墻能夠加大帶寬,同時又起到雙機設備的作用,顯著提高防火墻的可用性。其巨大的吞吐能力,保證了客戶網絡巨大數據流的來往,并且不會影響網絡速度和性能。
(2)內核集成IPS模塊
分布式智能型防火墻將IPS作為一個模塊集成到里面,直接在主干上直接監測并且阻斷供給,更高效更安全。并且,如果單獨放置IPS,那么這些DOS攻擊以及防掃描的工作就被提到了應用空間去完成,顯然沒有集成之后的IPS直接在防火墻的內核處理的效率和穩定性高。
(3)預置防IP欺騙策略
智能型分布式防火墻的“防黒客”功能,能夠對IP欺騙,碎片攻擊,源路由攻擊,DOS攻擊等各種黑客攻擊進行有效的抵抗和防御。
結論:
縱觀防火墻技術的發展歷史,分布式防火墻技術無疑是一座里程碑。它不但彌補了傳統邊界式防火墻的不足,而且把防火墻的安全防護系統延伸到網絡中各臺主機,一方面有效地保證了用戶的投資不會很高,另一方面給網絡帶來全面的安全防護。分布式防火墻分布在整個企業的網絡或服務器中,具有無限制的擴展能力,隨著網絡的增長,它們的處理負荷也在網絡中進一步分布,進而持續保持高性能。然而當前黑客入侵系統技術的不斷進步以及網絡病毒朝智能化和多樣化發展,對分布式防火墻技術提出了更高的要求。分布式防火墻技術只有不斷向主動型和智能型等方向發展,才能滿足人們對防火墻技術日益增長的需求。
點擊咨詢 