開篇:寫作不僅是一種記錄����,更是一種創造��,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上��。下面是小編精心整理的12篇網絡安全方案���,希望這些內容能成為您創作過程中的良師益友�,陪伴您不斷探索和進步。
第1篇
關鍵詞:企業網絡��;安全�����;病毒;物理
在現代企業的生存與發展過程中�,企業網絡安全威脅與企業網絡安全防護是并行存在的����。雖然企業網絡安全技術與以往相比取得了突破性的進展�����,但過去企業網絡處于一個封閉或者是半封閉的狀態�����,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態����,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素�,自然給企業網絡安全帶來了更多的威脅。因此�,企業網絡安全防護一個永無止境的過程�,對其進行研究無論是對于網絡安全技術的應用��,還是對于企業的持續發展���,都具有重要的意義�����。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面����。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機�����、個人電腦����、備用電源等硬件設備,時常會發生安全問題�����,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息��,進而給企業帶來不可估量經濟損失�����。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供�,該蓄電池組使用年限行��、容量低,在長時間停電的情況下�����,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運�。當然,除了電源問題外���,服務器、交換機也存在諸多安全隱患�����。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展����,對企業網絡服務器的安全需求也有所提高��。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統��,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口����、未使用端口以及不規范的高權限賬號管理等問題的存在��,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為����,但未限制存在安全隱患的上網活動���。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查���,任何電腦都可在信號區內接入到無線網絡�。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題�����,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能���。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提��,為了提高網絡設備的整體安全指數�����,可采取以下具體措施�����。首先����,合適傳輸介質的選用���。盡量選擇抗干擾能力強���、傳輸頻帶寬�、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線�、光纖等�。其次是保證供電的安全可靠����。企業網絡相關主干設備對交流電源的生產質量、供電連續性��、供電可靠性以及抗干擾性等指標提出了更高的要求���,這就要求對企業網絡的供電系統進行優化�����。以上述某企業網絡系統電源供電不足問題為例�����,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電���,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生�。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的����,需要從多個層面來構建安全防護方案���。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主��,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統�����、安裝系統補丁外��,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況�����,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學��、客觀�����、全面的安全評估���,如圖1所示��,將證書授權入侵檢測系統部署在核心交換機的監控端口��,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅�。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中����,端口是企業實現網絡信息服務主要通道����,一般一臺服務器會綁定多個IP��,而這些IP又通過多個端口來提高企業網絡服務能力�����,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看�,大多數都要通過服務器TCP/UDP端口��,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可����。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的���,可通過諸多措施來提高Internet信息服務安全�����。(1)基于IP地址實現訪問控制。通過對IIS配置�,可實現對來訪IP地址的檢測��,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器��。若在系統分區上安裝IIS��,IIS就會具備非法訪問屬性���,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學�。(3)NTFS文件系統的應用�����。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統����,安全性能更高�����。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性��,更容易受到基于端口程序漏洞的服務器攻擊����,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施���,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常��,進而預防各種安全威脅�。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控����。(2)網絡設備登錄安全���。為了保證網絡設備登錄安全指數��,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求�。除此之外�,還可設置一個單獨的super密碼�,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全����。一般在企業內部有多個無線AP設備����,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰�����,從而確保無線接入網的安全性�����。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題��,可對整個網絡進行細分�����,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段��,在每個網段均有不同的vlan,從而保證安全性���。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通��;對內服務器需要與互聯網隔離��;體驗區只能訪問互聯網�����,不能訪問辦公網。以上功能的實現�,可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫院
第2篇
關鍵詞:網絡安全����;蜜罐技術����;蜜網技術�;入侵檢測;虛擬機��;VMware
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
計算機及其網絡技術的應用已深入各行各業�����,特別是企事業單位的日常管理工作更是緊密依賴網絡資源��。基于此�����,保證網絡的正常運行就顯得尤為重要�����。目前��,廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻����、入侵檢測系統���,同時在局域網內設置服務器備份與數據備份系統等方案����。而這些安全網絡防火墻��、入侵檢測系統真能有效地保證系統的安全嗎?做到了這一切系統管理員就能高枕無憂了嗎�����?
1 問題的提出
圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出��,網絡防火墻與入侵檢測系統(IDS)均部署在網絡入口處�,即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵,但是對于內網用戶來說�����,內部網絡是公開的�����,所有的安全依賴于操作系統本身的安全保障措施提供�����。對一般的用戶來講,內網通常是安全的�����,即是說這種設計的對于內網的用戶應該是可信賴的����。然而對于諸如校園網的網絡系統,由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生,同時還要面對那些極少數有逆反心理��、強烈報復心的學生���,這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣���。
另一方面�,有經驗的網絡管理員都知道����,網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題(最安全的方法只能是把網絡的網線撥了),只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術���,這些安全設施終有倒塌的可能。
所以,如何最大可能地延長入侵者攻擊網絡的時間�����?如何在入侵雖已發生但尚未造成損失時及時發現入侵�����?避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時��,管理者又如何發現?如何保留入侵者的證據并將其提交有關部門��?這些問題都是網絡管理者在安全方面需要經常思考的問題��。正是因為上述原因��,蜜罐技術應運而生。
2 蜜罐技術簡介
蜜罐技術的研究起源于上世紀九十年代初����。蜜罐技術專家L.Spitzner對蜜罐是這樣定義的:蜜罐是一個安全系統��,其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統�����。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的�����。它通過模擬一個或多個有漏洞的易受攻擊的主機,給攻擊者提供十分容易受攻擊的目標����。
如圖2所示�����,蜜罐與正常的服務器一樣接入核心交換機��,并安裝相應的操作系統和數據庫管理系統,配置相應的網絡服務����,故意存放“有用的”但已過時的或可以公開的數據���。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器���,只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性���,或者故意留出一個或幾個最新發現的漏洞�����,以便達到“誘騙”的目的。
正常配置的蜜罐技術一旦使用,便可發揮其特殊功能�。
1) 由于蜜罐并沒有向外界提供真正有價值的服務����,正常情況下蜜罐系統不被訪問���,因此所有對其鏈接的嘗試都將被視為可疑的���,這樣蜜罐對網絡常見掃描��、入侵的反應靈敏度大大提高,有利于對入侵的檢測�����。
2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊���,讓攻擊者在蜜罐上浪費時間��。如圖二���, 正常提供服務的服務器有4個���,加入4個蜜罐��,在攻擊者看來,服務器有8個�����,其掃描與攻擊的對象也增加為8個�,所以大大減少了正常服務器受攻擊的可能性�。同時����,由于蜜罐的漏洞多于正常服務器�����,必將更加容易吸引攻擊者注意,讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警,這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施����,從而使最初可能受攻擊的目標得到了保護�����,真正有價值的內容沒有受到侵犯。
3) 由于蜜罐服務器上安裝了入侵檢測系統,因此它可以及時記錄攻擊者對服務器的訪問�����,從而能準確地為追蹤攻擊者提供有用的線索�����,為攻擊者搜集有效的證據��。從這個意義上說��,蜜罐就是“誘捕”攻擊者的一個陷阱。
經過多年的發展�,蜜罐技術已成為保護網絡安全的切實有效的手段之一�����。對企事關單位業務數據處理,均可以通過部署蜜罐來達到提高其安全性的目的���。
3 蜜罐與蜜網技術
蜜罐最初應用是真正的主機與易受攻擊的系統,以獲取黑客入侵證據�����、方便管理員提前采取措施與研究黑客入侵手段����。1998年開始����,蜜罐技術開始吸引了一些安全研究人員的注意,并開發出一些專門用于欺騙黑客的開放性源代碼工具��,如Fred Cohen所開發的DTK(欺騙工具包)����、Niels Provos開發的Honeyd等,同時也出現了像KFSensor�、Specter等一些商業蜜罐產品���。
這一階段的蜜罐可以稱為是虛擬蜜罐����,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應����,從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低�����、較容易被黑客識別等問題�。從2000年之后,安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐����,與之前不同的是,融入了更強大的數據捕獲���、數據分析和數據控制的工具,并且將蜜罐納入到一個完整的蜜網體系中.使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析�。
蜜網技術的模型如圖3所示���。由圖中可以看出��,蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關(honeywall)與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備����,因此沒有MAC地址��,也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在�。任何發送到蜜網內的機器的數據包都會經由Honeywall網關���,從而確保管理員能捕捉和控制網絡活動���。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析���,并對蜜罐機上的日志進行備份以保留證據��。這樣攻擊者并不會意識到網絡管理員正在監視著他,捕獲的行為也使管理員掌握了攻擊者使用的工具�����、策略和動機。
4 蜜罐部署
由前述內容可以看出����,蜜罐服務器布置得越多���,應用服務器被掃描與攻擊的風險則越小,但同時系統成本將大幅度提高�,管理難度也加大��。正因為如此,實際中蜜罐的部署是通過虛擬計算系統來完成的��。
當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware�。以Vmware為例,物理主機配置兩個網卡�����,采用Windows2000或Windows XP操作系統��,并安裝VMwar�����。建立一臺虛擬機作為蜜網網關,此虛擬機設置三個虛擬網卡(其虛擬網卡類型見圖4)�����,分別連接系統工作網����、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件���,以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據�。系統拓撲結構如圖4所示����。
系統部署基本過程如下:
4.1 主機硬件需求
CPU:Pentium 4 以上CPU�����,雙核更佳。
硬盤:80G以上,視虛擬操作系統數量而定��。
內存:1G以上��,其中蜜網軟件Honeywall至少需要256M以上��。其它視虛擬操作系統數量而定。(下轉第346頁)
(上接第341頁)
網卡:兩個��,其中一個作為主網絡接入�����,另一個作為監控使用����。
其它設備:視需要而定
4.2 所需軟件
操作系統安裝光盤:Windows 2000或Windows 2003�����;
虛擬機軟件:VMware Workstation for Win32����;
蜜網網關軟件:Roo Honeywall CDROM v1.2���,可從蜜網項目組網站(一個非贏利國際組織����,研究蜜網技術,網址為)下載安裝光盤���。
4.3 安裝過程
1)安裝主機操作系統����。
2) 安裝虛擬機軟件����。
3) 構建虛擬網絡系統���。其中蜜網網關虛擬類型為Linux����,內存分配為256M以上,最好為512M,硬盤空間為4G以上,最好為10G�����。網卡三個��,分別設為VMnet0�、VMnet1和VMnet2��,如圖4所示��。
4) 在蜜網網關機上安裝honeywall,配置IP信息����、管理信息等�����。
5) 在蜜網網關機上配置Sebek服務器端,以利用蜜網網關收集信息�����。
6) 安裝虛擬服務器組�,并布設相應的應用系統���。注意虛擬服務器組均配置為VMnet1�����,以使其接入蜜網網關機后��。
7) 在虛擬服務器組上安裝并配置sebek客戶端。
8) 通過監控機的瀏覽器測試蜜網網關數據���。
總之,虛擬蜜網系統旨在利用蜜網網關的數據控制���、數據捕獲和數據分析等功能,通過對蜜網防火墻的日志記錄�、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動�,達到分析網絡入侵手段與方法的目的�,以利于延緩網絡攻擊、改進網絡安全性的目的���。
參考文獻:
[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.
[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.
[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.
[4] 葉飛.蜜罐技術淺析[J].網絡安全技術與應用.2007(5):36-37.
第3篇
前言…………………………………………………………………………………………3
1 Internet與Intranet………………………………………………………………… 4
1.1 Internet概述……………………………………………………………………… 4
1.2 Internet的服務…………………………………………………………………… 4
1.3 什么是Intranet…………………………………………………………………… 4
1.4 建立企業Intranet的必要性……………………………………………………… 5
1.5 Intranet對現代企業的影響……………………………………………………… 7
1.6 利用Internet與Intranet的功能交互實現虛擬企業…………………………… 9
2 信息管理系統(MIS)的方案研究……………………………………………………11
2.1 企業級應用體系結構………………………………………………………………11
2.2 大型機模式…………………………………………………………………………12
2.3 傳統的客戶機/服務器模式………………………………………………………12
2.4 文件服務器模式……………………………………………………………………13
2.5 瀏覽器/WEB服務器模式…………………………………………………………13
3 局域網的組建……………………………………………………………………………16
3.1 局域網設計的原則…………………………………………………………………16
3.2 對等網絡和基于服務器的網絡……………………………………………………16
3.3 網絡拓撲……………………………………………………………………………16
3.4 網絡協議……………………………………………………………………………18
3.5 專用服務器…………………………………………………………………………19
3.6 網絡連接線路和設備………………………………………………………………19
3.7 使用Windows NT組建局域網……………………………………………………19
4 服裝企業MIS系統……………………………………………………………………20
4.1 發展服裝企業MIS的必要性和迫切性 …………………………………………20
4.2 發展歷史和現有產品研究…………………………………………………………20
4.3 服裝企業信息管理流程 …………………………………………………………21
5 架構基于Internet/Intranet的服裝企業MIS系統………………………………22
5.1 總體方案設計………………………………………………………………………22
5.2 硬件配置……………………………………………………………………………23
5.3 軟件配置……………………………………………………………………………24
6 服裝MIS系統應用軟件的開發(核心)…………………………………………25
6.1 DELPHI5……………………………………………………………………………25
6.2 模塊劃分和數據流程………………………………………………………………25
6.3 生產管理模塊的數據關系和數據庫設計…………………………………………26
6.4 計劃部分編制………………………………………………………………………29
6.5 實錄部分編制………………………………………………………………………36
6.6 生產分析部分編制…………………………………………………………………39
6.7 報警界限部分編制…………………………………………………………………44
6.8 權限設置部分編制…………………………………………………………………44
6.9 用戶和數據管理部分編制…………………………………………………………46
6.10 界面風格規劃………………………………………………………………………47
7 基于WEB瀏覽器的遠程訪問(核心)……………………………………………48
7.1 Web服務程序工作原理 …………………………………………………………48
7.2 多種方法的實驗和研究 …………………………………………………………48
7.3 ActiveX的原理……………………………………………………………………49
7.4 Midas編程…………………………………………………………………………50
7.5 計劃與實錄部分編制………………………………………………………………51
7.6 小組月報瀏覽部分編制……………………………………………………………52
7.7 其他部分程序編制 ………………………………………………………………54
7.8 使用PWS………………………………………………………………………54
7.9 互連實驗……………………………………………………………………………55
8 網絡安全………………………………………………………………………………57
8.1 概述…………………………………………………………………………………57
8.2 WEB在安全上的漏洞………………………………………………………………57
8.3 如何在WEB上提高系統安全性和穩定性…………………………………………57
8.4 網絡安全方案之一:使用防火墻…………………………………………………58
8.5 網絡安全方案之二:局域網自治…………………………………………………59
8.6 網絡安全方案之三:入侵檢測技術………………………………………………59
8.7 網絡安全方案之四:建立防病毒系統……………………………………………60
8.8 網絡安全方案之五:使用數字證書………………………………………………60
8.9 其他………………………………………………………………………………61
8.10 網絡安全在本局域網中的實施……………………………………………………62
9畢業設計總結…………………………………………………………………………63
9.1 計劃與實現…………………………………………………………………………63
9.2 鍛煉與提高…………………………………………………………………………63
9.3 發展與展望…………………………………………………………………………64
9.4 致謝………………………………………………………………………………… 64
10 參考書目………………………………………………………………………………… 66
:47000多字
400元
備注:此文版權歸本站所有;�����。
第4篇
【關鍵詞】網絡安全����;網絡攻擊;建設與規劃��;校園網
1�、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M�、電信50M�����、網通100M�����、聯通1G和校園網100M�。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組����,確保了Z校校園骨干網絡的可用性與高冗余性�;數據中心是由直連在核心交換機上的眾多服務器組成�����;終端區分別是教學樓�、院系樓�����、實驗�、實訓樓和圖書館大樓�。此外,還有一個獨立的無線校園網絡�����。Z校網絡信息安全保障能力已經初具規模����,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1���。
2、安全威脅分析
目前��,Z校網絡安全保障能力雖然初具規模�,但是���,在信息安全建設方面仍然面臨諸多的問題�����,如��,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態��,風險管理全憑感覺等等��,以上種種問題表明��,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序����、高效和完善的網絡安全體系���。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少���。在校區的互聯網出口處�,部署了一臺山石防火墻��,在WEB服務器群前面部署了一臺WEB應用防火墻����。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多��,外部網絡威脅一般是惡意入侵的網絡黑客����。此類威脅以炫技��、惡意破壞、敲詐錢財����、篡改數據等為目的����,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護�,但是�,黑客們只要找到漏洞�����,就會利用內網用戶作跳板進行攻擊�,最終攻破內網�。此類攻擊隨機性強、方向不確定�����、復雜度不斷提高��、破壞后果嚴重[1]���。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生���,還有一些網絡安全意識薄弱的教職工��。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的�,入侵學校網絡[2]�����。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件���,照成網絡堵塞甚至癱瘓����。
3、安全改造需求分析
本次安全改造�����,以提升鏈路穩定性����,提高網絡的服務能力為出發點,Z校在安全改造實施中�����,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET����、Internet互聯,選擇了與電信和聯通兩家運營商合作����。利用現有網絡出口鏈路資源�����,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度��,同時又要合理節約鏈路成本����,均衡使用各互聯網出口鏈路�,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署����,承載了整個校園網的業務處理�,任何一個設備出現問題將直接導致業務不能夠連續運行���,無任何備份措施����,只能替換或者跳過出故障的設備,且只能以手工方式完成切換��,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲����,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署�����。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集��、查詢工作�,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控���、配置、管理的安全設備�����,統一對眾多安全設備進行集中監控�、策略統一調度、統一升級備份和審計�。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位�����,網絡安全過程建設中�����,在利用學校原有設備的基礎上�����,在資金、技術成熟的條件下�,逐步實施��。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患���,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分��,明確網絡邊界�����,形成清晰��、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間��,各業務系統之間的隔離和訪問控制�����。本次短期網絡建設�����,把整個網絡劃分為邊界安全防護區域���、核心交換區域��、安全管理區域�、辦公接入區域����、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2�,從圖2可以看出�,出口區域���,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備���,以NAT模式或者路由模式部署�,無任何備份措施,為此需要再引入一臺同型號的防火墻設備�,實現雙機冗余部署���。同理����,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案��。安全管理區域根據學校預算��,部署幾臺安全設備���。首先�,部署一臺堡壘機�,建立集中�����、主動的安全運維管控模式����,降低人為安全風險�;其次,部署一臺入侵檢測設備(IDS)�,實時�、主動告警黑客攻擊�����、蠕蟲�、網絡病毒��、后門木馬���、D.o.S等惡意流量����,防止在出現攻擊后無數據可查�;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描����,找出存在的安全漏洞�����,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案�,以保證各系統功能的正常性和堅固性���;最后,部署一臺安全審計設備(SAS)���,實時監控網絡環境中的網絡行為、通信內容����,實現對網絡信息數據的監控����。服務器集群區域���,除了原有的WEB防火墻外�����,再部署一臺入侵防護設備(IPS)���,攔截網絡病毒��、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量��,保護Z校的信息系統和網絡架構免受侵害���,防止操作系統和應用程序損壞或宕機[4]��。
4.2長期網絡建設規劃
網絡安全的防護是動態的�、整體的,病毒傳播、黑客攻擊也不是靜態的�����。在網絡安全領域����,不存在一個能完美的防范任何攻擊的網絡安全系統��。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題����。想要構建一個相對安全的網絡系統�����,需要建立一套全方位的�,從檢測����、控制、響應�、管理��、保護到容災備份的安全保障體系。目前���,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選���。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程�,建立一個科學的安全體系和模型�,再根據安全體系和模型來分析網絡中存在的各種安全隱患����,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險�����。體系化建設需要從網絡安全的組織體系�����、技術體系和管理體系三方面著手,建立統一的安全保障體系����。組織體系著眼于人員的組織架構���,包括崗位設置����、人員錄用���、離崗�、考核等[5];技術體系分為物理安全�����、網絡安全��、主機安全�����、系統運維管理、應用安全��、數據安全及備份恢復等�����;管理體系側重于制度的梳理����,包括信息安全工作的總體方針����、規范、策略�、安全管理活動的管理制度和操作���、管理人員日常操作����、管理的操作規程���。4.2.2體系化設計網絡體系化建設要以組織體系為基礎���,以管理體系為保障�,以技術體系為支撐[6],全局�����、均衡的考慮面臨的安全風險����,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3�����。體系化建設以風險評估為起點�����,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系����,全方位����、多層次滿足安全需求�����。
5��、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體�,僅僅借助硬件產品進行的安全防護是不完整的�����、有局限的。安全問題����,是從設備到人���,從服務器上每個服務程序到Web防火墻���、入侵防御系統��、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節����,都是邁向網絡安全的步驟之一。文中的研究思路���、解決方案,對兄弟院校的網絡安全建設和改造有參考價值�。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息�,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學��,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學��,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學��,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
第5篇
廣州某醫院擁有專業技術人員1100余人��、床位850張��、專業學科43個��,現已發展成為集醫療、教學�、科研��、預防、保健�、康復功能于一體的����、面向海內外開放的綜合性現代化醫院�。隨著信息化的發展,該醫院的醫療系統也進入了數字化和信息化時代,大型的數字化醫療設備�����、各種醫院管理信息系統和醫療臨床信息系統在醫院中得到應用��。數字化醫療建設���,不但使醫院的工作流程發生了變化����,同時也對醫院信息化建設提出了更高的要求�。
目前�,該醫院已應用了HIS、EMR���、LIS、PACS等信息系統��,涵蓋了醫院日常工作流程���,比如掛號���、診療���、化驗��、劃價���、收費等����,同時也覆蓋醫院各個角落��,如病房�、藥房�、醫療設備等。隨著電子病歷��、遠程醫療的不斷發展�����,病人在就醫過程中的信息將越來越多地以數字化的方式保存在醫院的醫療信息系統中�����。
如何保證這些醫療數據的安全性�����、有效性�,是醫院信息系統所面臨的��、不可回避的問題�。
2011年底�,該醫院新大樓建成���,華僑醫院的信息網絡改造項目也同步啟動����。這次改造不僅要提高網絡與信息系統基礎設施建設����,而且還將信息系統安全建設納入其中。該醫院的信息安全主管人員清醒地認識到:醫院信息系統的正常運行�����,不僅包含網絡���、主機設備的正常運行��,還包括存儲在醫院應用系統中的各種數據的安全性和可靠性得到保障�����。
此前����,該醫院的信息系統已部署了防火墻、入侵檢測系統和網絡防病毒系統等安全產品����。為了此次新大樓的網絡安全改造建設�����,醫院邀請產品供應商和業界優秀的公司共同探討新信息系統的安全建設方案。該醫院希望其安全建設方案能夠實現以下功能:既要考慮現有系統的安全����、有效運行�,又要兼顧華僑醫院未來五年的信息化發展���。
作為該醫院原有信息安全產品供應商�����,北京冠群金辰軟件有限公司(簡稱冠群金辰)也參與了新信息系統的安全建設�,并提出針對該醫院的安全解決方案建議���。
解決之道
冠群金辰認為�����,該醫院現有信息安全系統中的防火墻�����、防毒墻�����、IDS和防病毒的防護架構可以保留�,但隨著醫院新大樓投入使用����,網絡中的終端節點會增多,網絡流量將大幅增長��,所以�����,需要對現有防火墻��、IDS等系統進行升級��,提升現有防護系統的處理能力,以適應網絡提速的要求�����,保障正常的網絡業務運行��;同時��,針對網絡中新增的客戶端節點,繼續部署防病毒系統和終端安全管理系統�,以應對越來越復雜的終端安全防護問題���。
針對目前醫院網站服務器保護的安全盲點�����,冠群金辰提出了針對Web網站安全建議:使用專業的網站防護系統采用層次化的Web主動防護技術�����,對醫院網站服務器進行有效防護����。
實際上����,冠群金辰為該醫院提出的網絡安全整體解決方案涵蓋了從邊界、網絡到主機���,多層次的縱深防御體系。該方案在邊界通過防火墻�����、物理隔離設備將非法訪問�����、病毒�、入侵攻擊等阻擋在網絡外部�����。在網絡層面��,該解決方案對網絡中的流量進行檢測,查找正在發生或將要發生的網絡攻擊,并及時采取措施���,比如報警、阻斷、記錄等。
對于網絡安全中常見的病毒�、信息泄露等安全威脅����,該方案中的防病毒軟件和終端安全管理系統為主機系統提供了基本的安全保障��。
冠群金辰為此方案提供了KILL系列安全產品,即KILL防火墻、KILL入侵檢測系統�����、KILL上網行為管理系統�、KILL防毒墻、KILL網絡防病毒系統、KILL終端安全管理系統和KILL Web安全網關,為該醫院的網絡構筑了一個多層次的安全防護體系��。從網絡訪問控制��、流量控制�、入侵攻擊����、病毒查殺、終端準入和Web防護等方面,該方案對該醫院的網絡提供全面的安全保護����。
第6篇
關鍵詞 : 油田企業;網絡安全;防火墻技術;
0 ��、引 言
為了促進社會主義經濟持續健康發展,必須健全油田企業信息化網絡安全體系�,以實現社會效益與經濟效益的結合����。隨著科技的進步,油田企業的計算機網絡面臨著各方面的發展威脅,因此需要提高油田企業的安全防護���,積極應用相應的防護方案。
1 、油田企業計算機網絡安全問題解決的必要性
在油田企業信息化體系構建的過程中��,網絡安全防護發揮著重要的作用�����。通過對計算機網絡安全防護技術的優化,可以將油田企業的網絡風險問題控制在合理范圍內,從而實現計算機網絡系統安全��、穩定運作�����,并提高計算機網絡系統的安全運作效率���,實現計算機網絡價值及作用的發揮����。在油田企業發展過程中�����,有些計算機信息存儲在計算機系統內部�����,涉及諸多機密數據信息,若這些數據被泄漏����,則必然影響油田經濟的穩定運作��。通過油田經濟安全防護工作,可以及時發現相關的安全隱患問題����,采取相關的解決方法��,解決信息化網絡問題,有效提高計算機信息的安全性[1]。
2 、油田企業網絡安全問題出現的原因
2.1�����、 網絡技術水平有待提升
受到油田企業經濟發展環境的影響����,我國油田企業的網絡安全建設技術比較落后��,特別是網絡病毒庫的建設技術��、網絡防火墻防護技術等,油田網絡防護模塊存在較多的安全問題����,不利于油田企業網絡安全的維護���。
2.2�、 網絡管理方案落后
在油田網絡安全性實踐中�,網絡系統的管理質量及水平直接影響到油田網絡的安全性,我國油田網絡的安全性問題不可避免��,若不能及時更新網絡管理方案�����,則會導致嚴重的油田企業網絡安全問題�����,不僅會造成巨大的經濟損失,還不利于社會經濟的有序運轉�。
2.3����、 缺乏對軟件和技術服務的足夠重視
在網絡安全維護管理中,領導者的管理意識直接影響著油田網絡的安全性管理水平���。如果領導及相關人員缺乏對軟件及相關技術服務的足夠重視���,則不利于相關網絡安全軟件技術的更新及升級�,其就很容易受到各類病毒及黑客的攻擊。
3��、 油田企業信息化網絡安全方案
3.1�����、 加強病毒管理與軟件升級
為了提高油田企業的信息化網絡安全水平���,必須強化病毒管理相關工作�����,實現系統軟件的不斷升級與維護,減少可能出現的油田企業網絡隱患問題。首先�,要做好各類殺毒軟件的應用工作����,在計算機及相關局域網移動設備上進行相關殺毒軟件的安裝���,實現殺毒軟件作用及功能的發揮����,提高計算機系統對病毒的防范能力[2]。其次��,在油田網絡安全性維護過程中��,要做好計算機中各類存儲信息的加密及備份工作�����,加強對計算機網絡信息加密技術的應用����,避免出現各類信息盜取及篡改問題,實現數據加密技術的優化,要求有相應的權限才能獲得相應的信息��,避免油田網絡數據信息丟失����。在這個過程中,需要安排專業人員積極展開殺毒���,實現定期殺毒,以提高計算機網絡的安全性[3]�。
3.2�����、 利用防火墻防護
為了提高油田網絡的安全性,必須不斷完善防火墻技術���。在防火墻技術應用的過程中,需要實現軟件防火墻與硬件防火墻的結合���,就各類網絡信息數據展開分析及過濾,及時攔截危險的數據信息,實現對油田網絡所有業務的篩選及封閉式管理�����,并對操作者的行為展開控制及監督�����,及時發現操作異常狀況�,記錄油田網絡數據的缺失問題[4]�。在某油田企業信息化網絡安全實踐過程中�,其進行了復合型防火墻的應用����,這種防火墻應用了先進的處理器��,處理頻率非常高�����,具備大數據吞吐量和高速率的過濾寬帶,在油田計算機網絡安全管理過程中滿足了多用戶的使用需求�。這種復合型防火墻具備隱藏局域網內部網絡地址的功能�,能夠有效提高油田企業的網絡安全性���。在網絡安全設置過程中�,通過應用這類防火墻,可以更好地避免由于客戶端運行腳本語言導致的網絡安全性問題�����,也能夠通過對一些視頻網站及游戲網站的分析�,找到網絡安全問題,并及時處理[5]。在油田企業發展過程中,通過對其網絡安全的維護�����,有利于充分發揮油田企業對社會經濟的發展作用����。石油是我國重要的能源資源,只有做好油田企業的信息化網絡安全工作�,才能為石油能源的有效性�、持續性生產奠定良好的環境基礎����,從而解決油田企業的各類網絡問題�����,實現我國油田經濟的合理有序運作����。
在防火墻安全防范技術應用的過程中��,涉及4種技術��,分別是數據包過濾技術、網關型技術����、服務技術���、復合型安全技術���。應用這些技術���,能夠提高計算機網絡安全水平����。在數據包過濾技術安全防護的過程中���,需要根據系統設置狀況展開過濾���,其是一種有效的訪問控制表技術�����,能對軟件中的每一個數據包源地址及目的地址等展開分析,若發現相關異常問題,則不予通過[6]。目前的網關型技術種類諸多�����,如WG585邊緣計算網關架構和MQTT協議可以實現云服務的接入���,能夠通過大數據云平臺來構建工業物聯網平臺,它能夠實現數據實時響應、數據模型分析判斷���、設備遠程維護下載等功能。型防火墻技術由服務器進行分析,在接受客戶的相關瀏覽要求后,再根據請求狀況,與預先設置的情況進行對比分析�����,當信息回到防火墻終端后�����,再由防火墻終端轉送到用戶客戶端�����。復合型防火墻技術的應用,實現了數據包過濾技術與服務技術的結合�,相較于普通的網絡防護技術���,其具備更高的靈活性及安全性��。
在油田網絡安全技術應用的過程中,需要應用科學的防火墻安全策略,防火墻的產品種類很多,不同的防火墻有不同的應用功能��,相關人員需要根據油田企業的實際運作狀況�����,選擇適合企業發展的防火墻技術。在防火墻配置的過程中�,需要保障自己所設置的防火墻信息的明確性��,提高防火墻的安全性,使其符合油田經濟的發展要求�����。為了提高油田企業計算機網絡的安全性���,需要保障其網絡地址具備良好的轉換功能����,這需要做好計算機防火墻的維護工作,使其具備網絡虛擬的專用功能、良好的病毒掃描功能等,滿足特殊控制的相關需求。通過復合型防火墻技術的應用����,可以從數據流方面與服務方面做好相應的網絡安全管理工作��,充分發揮防火墻的功能。
3.3、 強化設備管理體系
為了提高油田網絡的病毒防范能力及防火墻應用能力,必須做好防火墻的設計優化以及防火墻的日常使用與維護工作���,保障相關管理人員進行有效的操作。要想做好網絡設備的管理工作����,油田企業需要根據自身發展狀況及生產運營狀況�����,選擇適合的硬件設備及軟件設備,為設備的正常運行提供良好的環境����。在網絡防護設備應用的過程中��,需要將各類網絡安全設備放置在獨立的空間內�,減少外界因素對油田企業網絡安全的威脅。同時�����,油田企業要安排專業人員做好網絡安全設備的管理及維護保養工作���,實現管理環節與維護保養環節相結合����,做好全方位的設備檢查工作,解決設備運行過程中的問題�����,提高計算機網絡設備的安全性、穩定性����。定期開展設備維護及管理工作���,延長設備的使用壽命�����。
3.4、 營造良好的計算機網絡運行環境
在油田企業可持續性發展的過程中�,必須營造良好的計算機網絡運行環境��。根據油田企業的實際運作狀況,制訂有效的計算機網絡安全防護方案�,強化計算機安全管理工作�����,進行傳統網絡管理機制的創新����,實現網絡管理內容的細化及完善發展。要正確認識計算機網絡操作技術的相關規范及要求�����,嚴格規范計算機管理人員的日常工作行為�����。在網絡安全維護過程中�,一旦出現相關人員違規操作�����,就要及時進行嚴肅處理��。在計算機網絡安全防護過程中,要提高安全管理的綜合效益����,需要每個工作人員重視����,并不斷端正自身工作態度�����,將安全防護工作落到實處��,避免主觀因素導致計算機網絡安全問題。
3.5、 聘用專業的計算機網絡安全管理團隊
在網絡安全維護過程中���,油田企業需要聘用專業的網絡安全管理人員��,積極開展計算機網絡的安全管理工作實踐����,做好企業安全管理的教育培訓工作�����,強化對相關人員的引導及指導�。在油田企業網絡安全管理過程中���,要做好油田工作區域網絡的升級工作�,避免員工的不良工作行為對油田企業網絡安全產生危害。
為了提高計算機網絡安全的穩定性,必須優化計算機網絡安全方案,提高相關人員對計算機網絡安全的重視程度。工作人員在具體的操作過程中�����,需要遵循相應的標準及流程展開計算機網絡安全管理工作,定期對相關人員展開技能培訓,使相關計算機網絡安全人員正確認識計算機網絡的操作流程及步驟�,包括各項作業標準及注意事項��,通過各種方式提高計算機網絡的安全性、穩定性。針對不同的計算機網絡安全技術���,工作人員要有清晰的認識,要明確不同應用技術的優勢、特點及在使用過程中的問題���,根據實際運作情況,將先進、安全的技術應用到計算機網絡實踐中。為此,油田企業要設置統一的網絡安全技術標準。
4�����、 結 語
為了促進油田企業合理有序運行���,必須盡可能提高油田企業的網絡安全����,實現油田信息的安全��、有效管理�,不斷提高油田企業的安全管理質量���。在防火墻技術�����、計算機網絡安全掃描技術等應用的過程中�,需要充分提高防火墻技術的應用效率�,提高油田企業的信息化水平,保障計算機病毒預防系統����、網絡防火墻系統等的安全防護功能得到發揮���,防范各類外來病毒及惡意軟件�����,實現油田數據網絡合理有序運行。
參考文獻
[1]于佳妍大數據時代石油企業網絡安全防護策略[J]電子技術與軟件工程, 2019(23):190-191.
[2]竇進成試論天然氣長輸管道防腐的重要性及防護策略[J]全面腐蝕控制, 2017(3);:53-54.
[3]丁永朝,組關于原油儲罐腐蝕問題的探究及防護策略[J]中國石油和化工標準與質量, 2012(9);.274.
[4]楊中國沿海某大型煉廠外部腐蝕防護策略探討[J]全面腐蝕控制, 2016(12):54-56.
第7篇
[關鍵詞]網絡安全技術 公安網絡 系統安全 維護方案
一�、公安網絡系統中存在的安全問題
1����、公安系統存在問題的特征�����。1)系統安全問題具有動態性。隨著信息技術的飛速發展��,不同時期有不同的安全問題��,安全問題不斷地被解決��,但也不斷地出現新的安全問題。例如線路竊聽劫持事件會因為加密協議層的使用而減少��。安全問題具有動態性特點����,造成系統安全問題不可能擁有一勞永逸的解決措施。2)系統安全問題來自于管理層����、邏輯層和物理層���,并不是單一的���。管理層的安全主要包括安全政策及人員組織管理指標方面的內容���。邏輯層的安全主要涉及到信息保密性��,也就是在授權情況下,高密級信息向低密級的主體及客體傳遞,確保信息雙方的完整性�����,信息不會被隨意篡改,可以保證信息的一致性�����。一旦雙方完成信息交易��,任何一方均不可單方面否認這筆交易。物理層的安全涉及的內容是多個關鍵設備�����、信息存放地點等���,如計算機主機�、網絡等,防止信息丟失和破壞�。
2�����、公安網絡系統中存在的安全問題。1)一機兩用的現象比較普遍。部分公安值班人員在公安網絡中接入自己的私人電腦�����,同時還包括一些無線上網設備等����。外接上網設備通常安裝了無線網卡,外界侵入公安網絡的可能性增大,公安網絡的安全隱患擴大。此外,公安系統中的計算機出現故障��,需要檢查維修時��,沒有事先格式化計算機��,導致系統計算機中的資料泄露,甚至出現“一機兩用”的情況���,可以將病毒引入系統中引起信息泄露。
3�����、安全意識淡薄�。公安網絡中的計算機存在濫用的情況����,非在編的基層人員在未經允許、教育培訓的情況私自使用公安網絡,從而出現信息泄露的情況����,給網絡帶來嚴重的安全隱患��。此外,公安部門人員缺乏安全意識����,辦公室計算機的保密性不強�����,安全等級不高,重要軟件����、文件等均沒有進行必要的加密處理��,很多人員可以隨意訪問公安網絡,降低了公安網絡中計算機及其信息的安全性。
二、網絡安全技術與公安網絡系統的維護方案
1����、積極建設網絡信息安全管理隊伍���。網絡安全管理隊伍對管理公安網絡具有重要作用����。為提升公安網絡的安全性與穩定性,可以定期組織信息安全管理人員進行培訓,強化技術教育與培訓,增強網絡安全管理人員的責任意識���,改善管理效率��,提升管理水平���。
2����、充分運用網絡安全技術���。1)防毒技術�����。隨著病毒的傳播速度���、頻率���、范圍的不斷擴大�,公安網絡系統中也需要建立全方位�����、立體化的防御體系�����,運用全平臺反病毒技術、自動解壓縮技術與實時監視技術等完善病毒防御方案�����。為了實現系統低層和反病毒軟件之間的相互配合����,達到殺除病毒的目的�����,公安網絡中的計算機應運用全平臺反病毒技術��。利用光盤、網絡等媒介所傳播的軟件通常是以壓縮狀態存在的����,反病毒軟件要對系統內部所有的壓縮文件進行解壓縮�,清除壓縮包內的病毒����,若不運用自動解壓技術,存在于文件中的病毒會隨意傳播�。
3��、提高系統的可靠性。安網絡系統中一般是以敏感性資料�、社會安全資料為主�����,這些資料被泄漏或者損壞均會產生嚴重后果。為了提升信息資料的安全性���,必須定期備份,同時還應增強系統的可靠性�����。此外��,還應明確系統災難的原因,如雷電、地震等環境因素�,資源共享中�����,人為入侵等�����,針對可能出現的系統災難,可以建立起對應的災難備份系統�����。災難恢復指的是計算機系統遭遇災難之后�,重組各種資源并恢復系統運行。
三�、公安網絡系統中的網絡安全技術體系
第8篇
Abstract: Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects���, one is the physical security��, and the other is logical security. Physical security refers to physical facilities was not damaged, and does not influence its security protection performance. Logic security refers to the information integrity�����, confidentiality and usability. According to the information system security theory knowledge and combining network security development��, through analyzing the network security vulnerability of electric power enterprise��, and then puts forward a series of relevant electric power enterprise network security safety risk, and guide the enterprise security risk demand. We can use the limited resources and equipment, establish and improve an effective����, integral and multi-level power enterprise network security model.
關鍵詞: 網絡安全技術���;電力企業網絡安全�;解決方案
Key words: network security technology����;electric power enterprise network security���;solutions
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)30-0175-02
0 引言
隨著社會科技的不斷發展���,計算機網絡領域也在飛速發展�����,信息化社會時代即將到來���。盡管網絡具有多層次��、高效率、范圍廣等種種特點���,但仍然存在著一些嚴重的問題,首當其沖的是網絡信息安全問題���,本文也集中注意力來討論如何解決網絡信息安全問題。目前����,計算機網絡的多聯性造成了信息能夠被多渠道的客戶端所接收���,再加上一些企業在傳送信息時缺乏信息安全的防護意識��,這也造成了網絡信息容易遭受一些非法黑客以及計算機病毒的侵害,因此�����,計算機網絡信息的安全性和保密性是目前所需要攻克的一大重要難題�����。計算機網絡的開放性造就了網絡信息安全隱患的存在,同時�����,我們在面對危機重重的計算機網絡,如何將信息安全�����、秘密地傳輸是擺在目前計算機網絡安全研究者們眼前的問題�。據此,我們應針對企業的網絡結構體系來設計出一套適合的���、先進的網絡安全防護方案,并搭配合適的網絡防護軟件��,為電力企業營造一個安全的網絡空間���。
1 電力企業網絡安全隱患分析
電力企業既可以從因特網中獲取重要信息���,同時也能夠向因特網中發送信息��,但由于因特網的開放性�,信息的安全問題得不到保證�,而根據公安部門的網絡調查來說,有將近半數的企業受到過網絡安全的侵害�,而受到侵害的企業大部分都受到過病毒和黑客的攻擊����,且受到了一定的損失�����。
根據上面的信息可以很明確的得出網絡安全防護的重要性,而影響計算機網絡安全的因素有很多種���,其主要可以大致分成三種:一是人為無意中的失誤而導致出現安全危機;二是人為方面的惡意攻擊����,也就是黑客襲擊��;三是網絡軟件的漏洞。這三個方面的因素可以基本涵蓋網絡安全所受到的威脅行為并將之歸納如下:
1.1 病毒 病毒對于計算機來說就如同老鼠對于人類來說�?!袄鲜筮^街�,人人喊打”,而病毒過街�����,人人避而趨之����,它會破壞電腦中的數據以及計算機功能,且它對于硬件的傷害是十分大的�,而且它還能夠進行自我復制�����,這也讓病毒的生存能力大大加強,由此可以得出其破壞性可見一斑。
1.2 人為防護意識 網絡入侵的目的是為了取得訪問的權限和儲存�、讀寫的權限�,以便其隨意的讀取修改計算機內的信息����,并惡意地破壞整個系統,使其喪失服務的能力���。而有一些程序被惡意捆綁了流氓軟件�,當程序啟動時,與其捆綁的軟件也會被啟動,與此同時,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網絡的難度。除非用戶能夠禁止該程序的運行或者將相關軟件進行正確配置��,否則安全問題永遠也解決不了���。
1.3 應用系統與軟件的漏洞 網絡服務器和瀏覽器的編程原理都是應用了CGI程序�,很多人在對CGI程序進行編程時只是對其進行適當的修改,并沒有徹底的修改,因此這也造成了一個問題�,CGI程序的安全漏洞方面都大同小異��,因此,每個操作系統以及網絡軟件都不可能十全十美的出現,其網絡安全仍然不能得到完全解決��,一旦與網絡進行連接�,就有可能會受到來自各方面的攻擊。
1.4 后門與木馬程序 后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客��,黑客可以對其進行遠程控制�����,一但木馬程序感染了電腦�,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
1.5 安全配置的正確設置 一些軟件需要人為進行調試配置���,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大�����,其中可能存在的隱患會被一些惡意分子所濫用��。而黑客正是其中的一員���,他們通常是程序設計人員���,因此他們對于程序的編程和操作都十分了解��,一旦有一絲安全漏洞出現����,黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多�。
2 常用的網絡安全技術
2.1 殺毒軟件 殺毒軟件是我們最常用的軟件����,全世界幾乎每臺電腦都裝有殺毒軟件�,利用殺毒軟件來對網絡進行安全保護是最為普通常見的技術方案,它的安裝簡單�����、功能便捷使得其普遍被人們所使用��,但殺毒軟件顧名思義是用來殺毒的�,功能方面比較局限����,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網絡的發展����,殺毒技術也不斷地提升�,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用�����。
2.2 防火墻 防火墻是與網絡連接間進行一種預定義的安全策略�,對于內外網通信施行訪問控制的一種安全防護措施�。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻�����,軟件防火墻是利用軟件來在內部形成一個防火墻�,價格較為低廉�����,其功能比較少�����,僅僅是依靠自定的規則來限制非法用戶進行訪問;第二種是硬件防火墻�����,硬件防火墻通過硬件和軟件的結合來講內外部網絡進行隔離���,其效果較好���,但價格較高���,難以普及。但防火墻并沒有想象中的那樣難以破解����,擁有先進的技術仍然能夠破解或者繞過防火墻對內部數據進行訪問�,因此想要保證網絡信息安全還必須采取其他的措施來避免信息被竊取或篡改��,如:數據加密���、入侵檢測和安全掃描等等措施��。值得一提的是防火墻只能夠防護住來自外部的侵襲,而內部網絡的安全則無法保護�,因此想要對電力企業內部網絡安全進行保護還需要對內部網絡的控制和保護來實現��。
2.3 數據加密 數據加密技術可以與防火墻相互配合����,它的出現意味著信息系統的保密性和安全性進一步得到提高,秘密數據被盜竊�,偵聽和破壞的可能性大大降低�。數據加密技術還衍生出文件加密和數字簽名技術���。這兩種技術可以分為四種不同的作用���,為數據傳輸�、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。數據傳輸加密主要針對數據在傳輸中的加密作用�����,主要可以分成線路加密和端口加密這兩種基本方法���;數據儲存加密技術是在數據儲存時對其進行加密行為�,使數據在儲存時不被竊取���;數據完整性判別技術是在數據的傳輸、存取時所表現出來的一切行為的驗證�����,是否達到保密要求�����,通過對比所輸入的特征值是否與預先設定好的參數相符來實現數據的安全防護�����;數據加密在外所表現出來的應用主要為密鑰��,密鑰管理技術是為了保證數據的使用效率���。
數據加密技術是將在網絡中傳輸的數據進行加密從而保證其在網絡傳輸中的安全性���,能夠在一定程度上防止機密信息的泄漏��。同時,數據加密技術所應用的地方很廣泛��,有信息鑒別����、數字簽名和文件加密等技術,它能夠有效的阻止任何對信息安全能夠造成危害的行為�。
2.4 入侵檢測技術 網絡入侵檢測技術是一種對網絡進行實時監控的技術�����,它能夠通過軟、硬件來對網絡中的數據進行實時地檢測,并將之與入侵數據庫進行比較��,一旦其被判定為入侵行為��,它能夠立即根據用戶所設定的參數來進行防護���,如切斷網絡連接��、過濾入侵數據包等等���。因此�,我們可以將入侵檢測技術當做是防火墻的堅強后盾���,它能夠在不影響網絡性能的情況下對齊進行監聽����,并對網絡提供實時保護�����,使得網絡的安全性能大大提升���。
2.5 網絡安全掃描技術 網絡安全掃描技術是檢測網絡安全脆弱性的一項安全技術�,它通過對網絡的掃描能夠及時的將網絡中的安全漏洞反映給網絡管理員���,并客觀的評估網絡風險��。利用網絡完全掃描技術能夠對局域網����、互聯網�����、操作系統以及安全漏洞等進行服務��,并且可以檢測出操作系統中存在的安全漏洞,同時還能夠檢測出計算機中是否被安裝了竊聽程序�,以及防火墻可能存在的安全漏洞��。
3 單利企業網絡安全解決方案
3.1 物理隔離 物理隔離指的是從物理上將網絡上的潛在威脅隔離掉。其主要表現為沒有連接��、沒有包轉發等等��。
3.2 網絡系統安全解決方案 網絡服務器的操作系統是一個比較重要的部分��,網絡操作系統最重視的性能是穩定性和安全性。而網絡操作系統管理著計算機軟硬件資源����,其充當著計算機與用戶間的橋梁作用。因此��,我們一般可以采用以下設置來對網絡系統安全進行保障:
①將不必要的服務關閉��。②為之制定一個嚴格的賬戶系統���。③將賬戶權限科學分配����,不能濫放權利�。④對網絡系統進行嚴謹科學的安全配置。
3.3 入侵檢測方案 目前�����,電力企業網絡防護體系中����,僅僅是配置了傳統的防火墻進行防護。但由于傳統防火墻的功能并不強大��,再加上操作系統中可能存在的安全漏洞�,這兩點為網絡信息安全帶來了很大的風險。根據對電力企業的詳細網絡應用分析��,電力企業對外應用的服務器應當受到重點關注��。并在這個區域置放入侵檢測系統�,這樣可以與防火墻形成交叉防護����,相得益彰。
3.4 安全管理解決方案 信息系統安全主要是針對日常防護工作,應當根據國家法律來建立健全日常安全措施和安全目標,并根據電力企業的實際安全要求來部署安全措施��,并嚴格的實施貫徹下去��。
4 結束語
“魔高一尺�,道高一丈”�。不管攻擊方式多么新奇,總有相應的安全措施的出現。而網絡安全是一個綜合的�、交叉的科學領域����,其對多學科的應用可以說是十分苛刻的�,它更強調自主性和創新性。因此���,網絡安全體系建設是一個長期的、艱苦的工程��,且任何一個網絡安全方案都不可能解決所有的安全問題�。電力企業的網絡安全問題要從技術實踐上、理論上�����、管理實踐上不斷地深化����、加強。
參考文獻:
[1]杜勝男.淺析電力企業網絡安全組建方案[J].民營科技.2010(12).
第9篇
[關鍵詞]網絡����;安全技術���;安全威脅�����;發展趨勢
doi:10.3969/j.issn.1673 - 0194.2015.12.035
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)12-00-01
當前的信息網絡越發龐大,涵蓋的用戶和節點也日趨擴大,在這個流通量極大的節點上,只要一個小小的位置出現安全威脅�����,就會產生非常危險的結果����。因而隨著網絡的包容性和開放性的不斷擴大�,網絡安全技術的進步也變得越來越重要。網絡本身的連通性和傳遞性使網絡安全防護必須面對比自身多得多的威脅,因而要全面思索應對各種各樣層出不窮的問題�。
1 網絡技術安全情況現狀分析
網絡安全技術的發展是隨著網絡技術的進步而進步的��,網絡發展對安全防護水平提出更高的要求,從而促進網絡安全技術的發展。近年來���,我國的網絡覆蓋發展極為迅猛,而網絡技術也隨之普及到了各個用戶身上。在網絡安全方面��,我國的基礎網絡防護措施達標率呈上升趨勢�,面臨的風險程度也稍有下降,總體而言并沒有隨著網絡的拓展而陷入更大的安全威脅之中�,但也必須承認在安全技術的發展方面�����,還有很多不足。
我國面臨的網絡安全風險并沒有很大程度地降低���,依舊面臨傳統和非傳統的安全威脅,受到的網絡攻擊也呈上升趨勢�。網絡安全威脅可謂無處不在�,而其種類更是復雜多樣�。因此,在網絡安全技術的發展方面�����,也呈現出全方位和多點開花的狀況�����,從防護�����、應對及數據恢復等多方面全方位推進�,并創立了網絡安全模型。只有在多重安全措施并行的情況下�����,才能將網絡安全威脅的生存空間壓制到最小。
網絡安全技術如同網絡的大門和墻壁�����,是以對訪問進行排查��、對系統進行清理和搜檢及對網絡權限的部分限制為主體的多層次全方位綜合體��。
2 威脅網絡安全的幾大因素
2.1 系統不穩定和容易被利用漏洞破壞
網絡的安全漏洞一般而言不容易完全避免,在設計之初并不能做到盡善盡美����。就現在的情況而言����,漏洞的蔓延往往防不勝防���,很難及時發現漏洞侵襲�����,導致真正需要應對時早已損失慘重�����。一旦重要部分如操作系統遭到漏洞攻擊��,其造成的損害也非常巨大���。安全技術防護面臨的節點數不勝數��,但攻擊者只需要突破其中一點,就可以造成大片的損失�����,這是由網絡本身的結構所決定的�����。
2.2 網絡管理制度缺位
就管理制度而言��,現階段網絡管理缺少一套整體適用的系統方案,在標準方面往往各自為政�����,大多數情況下都是根據各自需要選擇相應的安全手段����,從而形成一個配合并不密切的整體。這樣如同臨時七拼八湊起來的結構,自然無法面對無處不在無從預防的網絡侵襲��。雖然部分企業從全局出發進行安全技術設計��,但是軟件和硬件本身的隔離�����,以及國家在系統軟件方面的力不從心,導致其自身的努力并不能完全實現�����。要完全改變現狀����,就要從整體上重新設計架構�,盡量明確管理,確定責任,并完善自身的防御功能,以緩解危機。
2.3 網絡對應安全策略缺乏
現階段已正式建立了計算機網絡安全體系����,但其應變不及時��,在安全體系遭到破壞之后���,恢復和修復工作不甚理想��。而事先預防的難度又太大,難以完全做到防患未然。因此,企圖依靠預防來進行完全控制并不現實,而完全依靠恢復和補救的方式又比較被動���。應急性的方案并不多,可以操作的臨時安全系統也缺乏實用性?��!暗诙婪谰€”的建立,還需要付出更多的努力。
對應的安全策略缺乏��,還體現在面對各類不同的網絡侵襲行為時���,由于相關的安全防護手段有其特定的安全防護范圍�����,不得不依靠多種安全技術互相堆疊��,而這些技術可能會互相沖突,或者導致其中一部分失效�,從而影響安全技術的整體應用和各個部分的有效發揮�。
2.4 局域網的開放性漏洞
局域網是建立在資源共享的基礎上的����,因此其安全防護并沒有互聯網那樣嚴密����,但是由于準入機制過于疏松,導致內部數據很容易被混進來的操作混亂和遺失�。如局域網很容易被網絡釣魚者接入��,然后竊取和篡改其資料,造成巨大的損失����?����?傮w來說,要在建設局域網的時候加強其端口的準入設計��,對于連接外網的情況���,要有足夠的審核方式來進行篩選和控制����。
3 網絡安全技術的發展前景
當前網絡技術存在的缺陷是“道高一尺魔高一丈”的狀況的體現,被動的安全技術對主動的破解技術而言是處于劣勢狀態的��。但這并不會影響到網絡安全技術的發展前景�����,正因為面臨著更多安全威脅����,才會刺激網絡安全技術的進一步發展����,從而實現更高的飛躍����。
3.1 安全防護模式進入智能控制階段
網絡安全技術的發展是在收集數據、分析防御方式�、尋找問題的過程中逐步發展起來的����,現階段由于僅限于歸納已有的問題����,而陷入被動的窘境之中。隨著網絡的進一步優化,相信計算機的智能化會帶動安全技術的智能化,從而自動的進行最優選擇����。而隨著未來完善的NGN網絡的建立��,相信這樣的控制并非虛妄之言���。
3.2 網絡容量的擴展和安全技術覆蓋的擴大
近年來�,IP技術不斷發展并擴大業務�,網絡安全技術也隨之而動,進一步提高自身的覆蓋深度和廣度�。隨著云計算技術的普及和完善���,對云數據的保護也成為了需要關注的問題�����,廣闊的安全防護需求決定了網絡安全技術覆蓋面必將進一步擴大。
主要參考文獻
[1]李偉成.新世紀中的網絡安全技術與中國的發展策略考慮[J].網絡科學技術���,2009��,17(3):22-25.
第10篇
關鍵詞:網絡;安全;VPN;加密技術;防火墻技術
網絡安全是指計算機��、網絡系統的硬件、軟件及其系統中的數據受到保護�,不因偶然或惡意的原因而遭破壞�����、更改或泄露,系統能連續可靠、正常地運行,使網絡服務不中斷�����。
隨著Internet的飛速發展,網絡應用的擴大,網絡安全風險也變的非常嚴重和復雜����。原先由單機安全事故引起的故障通過網絡傳給其他系統和主機,可造成大范圍的癱瘓,再加上安全機制的缺乏和防護意識不強,網絡風險日益加重。這些風險的出現與網絡的系統結構與應用相關聯�����。主要包括物理安全�、鏈路安全、網絡安全�、系統安全����、應用安全及管理安全等六個方面��。網絡安全性可以被粗略地分為4個相互交織的部分:保密���、鑒別���、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網絡安全性時最常想到的內容�����。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份�����。反拒認主要與簽名有關��。保密和完整性通過使用注冊過的郵件和文件鎖來實現。
1.方案目標
本方案主要從網絡層次考慮,將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡,該網在保證系統內部網絡安全的同時,還實現與Internet或國內其它網絡的安全互連���。本方案在保證網絡安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,數據庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止有害信息在網上傳播等。
2.安全需求
通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性���、可控性與可審查性。即:
可用性:授權實體有權訪問數據;
機密性:信息不暴露給未授權實體或進程;
完整性:保證數據不被未授權修改;
可控性:控制授權范圍內的信息流向及操作方式
可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機��、所交換的數據進行嚴格的訪問控制�����。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制�。
數據加密:數據加密是在數據傳輸����、存儲過程中防止非法竊取���、篡改信息的有效手段����。
安全審計:是識別與防止網絡攻擊行為�����、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏�。
3.風險分析
網絡安全是網絡正常運行的前提����。網絡安全不單是單點的安全,而是整個信息網的安全�。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面���。風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
3.1物理安全風險分析
網絡物理安全是整個網絡系統安全的前提,其主要風險有:地震����、水災���、火災等環境事故;電源故障;電磁輻射造成信息被竊取���。
3.2鏈路風險分析
網絡安全威脅不僅在網上進行攻擊���。攻擊者完全有可能在傳輸線路上安裝竊聽設備,再通過一些技術讀出�。因此對于一些重要信息在鏈路上必須加密,并且通過數字簽名及認證確保數據的真實性�、機密性、可靠性���、完整性。
3.3網絡安全風險分析
與Internet互聯的安全威脅,主要為黑客的人侵;內部局域網與外部網互聯的安全威脅,主要手段有網絡監聽與惡意攻擊等���。內部局域網的安全威脅,主要是內部人員的泄密。
3.4系統安全風險分析
主要指網絡操作系統�、應用系統的安全���。表現在開發商的Back-Door(后門)以及系統本身的漏洞上���。
3.5應用安全風險分析
應用系統的安全涉及的方面較多,主要在電子郵件與病毒方面。
3.6管理安全風險分析
內部人員的破壞,管理不善,制度不健全,都可以引起管理安全風險����。因此除了技術以外,還得依靠管理實現網絡安全���。
4.解決方案
4.1設計原則
針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循的思想:
①大幅度地提高系統的安全性和保密性�����;
②保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
③易于操作�����、維護,并便于自動化管理,而不增加或少增加附加操作;
④盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
⑤安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
⑥安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
⑦分步實施原則:分級管理,分步實施���。
4.2安全策略
針對上述分析,我們采取以下安全策略:
㈠采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行����。
㈡采用各種安全技術,構筑防御系統,主要有:
①防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
②NAT技術:隱藏內部網絡信息����。
③VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接���。它通過安全的數據通道將遠程用戶�����、公司分支機構�、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網�。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
④網絡加密技術(Ipsec) :采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性�、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
4.3防御系統
我們采用防火墻技術����、NAT技術�、VPN技術���、網絡加密技術(Ipsec),構成網絡安全的防御系統�����。
4.3.1物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散�。通常是在物理上采取一定的防護 措施,來減少或干擾擴散出去的空間信號�。為保證網絡的正常運行,在物理安全方面應采取如下措施:
①產品保障方面:主要指產品采購、運輸��、安裝等方面的安全措施�。
②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統�����。
③防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機���。
④保安方面:主要是防盜�����、防火等,還包括網絡系統所有網絡設備�����、計算機、安全設備的安全防護。
4.3.2防火墻技術
防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入�、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞����。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物理實現上,防火墻是位于網絡特殊位置地以組硬件設備———路由器�、計算機或其他特制地硬件設備��。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻��。
4.3.3 VPN技術
VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現,可以保證企業員工安全地訪問公司網絡����。
4.3.4網絡加密技術(Ipsec)
IP層是TCP/IP網絡中最關鍵的一層,IP作為網絡層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護���。因此,IP安全是整個TCP/IP安全的基礎,是網絡安全的核心�����。IPSec提供的安全功能或服務主要包括:①訪問控制;②無連接完整性;③數據起源認證;④抗重放攻擊;⑤機密性;⑥有限的數據流機密性;信息交換加密技術分為兩類:即對稱加密和非對稱加密。
5結束語
在日常工作和學習中����,只要我們使用網絡���,就必然涉及到網絡安全的問題���。目前解決網絡安全問題主要采取的技術手段�,對防止系統非法入侵都有一定的效果�����,但它們只是起著防御功能��,不能完全阻止入侵者通過蠻力攻擊或利用計算機軟硬件系統的缺陷闖入未授權的計算機或濫用計算機及網絡資源。因此,我們必須不斷學習,不斷積累經驗�,提高自身素質�,制定出嚴密的安全防范措施�����,盡可能提高網絡系統的安全可靠性����。
參考文獻:
[1]郭軍.網絡管理[M].北京:北京郵電大學出版社,2001.
第11篇
目前���,互聯網惡意軟件已經成為社會的公害�����,成為企業安全暢通上網的絆腳石�。對于企業而言����,間諜軟件、垃圾郵件等網絡威脅已經到了無法忍受的地步�����,一些間諜軟件通過“打開網頁即裝載”的方式潛藏進電腦���,幾乎是防不勝防�,甚至成為一些網絡釣魚、竊取賬戶資金的幫兇����。
僅僅是垃圾郵件和惡意程序就足以令企業的電腦資源消耗殆盡�����,既浪費了大量的系統�����、硬盤���、內存和網絡資源��,又降低了公司的經營效率。
軟件+硬件+服務
靠傳統的手法解決網絡安全問題����,已漸漸行不通了����,尋求行之有效的安全解決方案�,成為社會交給廣大防病毒廠商的一份責任。專注于網絡安全軟件及服務領域的趨勢科技在現在這個變幻莫測的網絡環境下,面對在巨大經濟利益驅使下的病毒和惡意軟件制造者的嚴重挑釁,一改業界以“產品導入方式解決網絡安全問題”作法��,第一次明確提出以客戶需求為導向的安全立體解決方案�,該方案既包括軟件,也包括硬件,同時還有服務����。
在這個“軟件+硬件+服務”安全立體解決方案中�,軟件�����、硬件和服務各司其職�,從不同層面解決用戶在安全實踐中的問題�,給用戶提供一個完善的安全保護體系。
EPS Solution Day
對此���,趨勢科技最近在北京、上海和廣州等地舉辦了“EPS Solution Day”大型解決方案日巡展活動�����,在活動中趨勢科技表示���,監控�����、強制�、防護和恢復是趨勢科技企業安全防護策略的四個環節���。在這四個環節當中���,趨勢科技將全方位的解決方案和安全服務無縫整合在一起���,監測潛在威脅��、實施統一的安全策略�����、預防惡意威脅傳播和修復被感染設備。
EPS是“軟件+硬件+服務”三位一體解決方案的結構框架和理念基礎���。在巡展中,國家計算機病毒應急中心主任張健表示����,趨勢科技所提出的“軟件+硬件+服務”一攬子式的解決方案����,扭轉了“產品導入方式解決網絡安全問題”所造成的“頭痛醫頭���,腳痛醫腳”弊病�,切重解決安全問題的本質和要害�����,為飽受安全困擾的用戶指明了方向�����,代表了安全產業未來的發展趨勢。
軟硬兼施
作為傳統的安全軟件廠商��,趨勢科技開發出許多業界有名的安全軟件����,包括OfficeScan和ScanMail等,這些軟件靈活�����、廣泛地部署在用戶的關鍵服務器當中�,保護著企業的關鍵業務。
趨勢科技并沒有局限于安全軟件��,而是前瞻性地看到硬件設備在網絡當中的地位和作用����,尤其是在網關位置,硬件設備更能發揮高效���、穩定的優勢,繼趨勢科技網絡病毒墻NVW之后��,趨勢科技又全力打造了大中型企業的網關訊息安全設備(IMSA)�����、互聯網網關安全設備(IWSA)和中小企業InterScan網關安全設備(IGSA)等高性能網關設備,幫助用戶在網絡的入口處高效率地過濾網絡威脅����。
第12篇
1.1需精確地評估防火墻的失效狀況
任何軟件都有一定的生命周期��,防火墻也有一定的生命周期,我們要正確的評估防火墻的使用效能���,一旦防火墻失效,對網絡安全造成的后果無法想象��。防火墻使用具有一定的級別��,在被外界病毒等侵入時候具有一定的防御��,我們在設置防火墻的功能時候要具有一定的科學性�,當防火墻受到攻擊時候����,能自動啟動防御功能,因此��,我們在設置防火墻功能時候�,要正確檢測防火墻是否失效功能要開啟,達到防火墻失效狀態正常評估�����。
1.2正確選擇�����、科學配置防火墻
防火墻功能的科學配置����,是對網絡安全防御的重要保障��,防火墻技術是網絡安全技術基于防火墻網絡安全技術的探究文/羅鵬 周哲韞進入新世紀以后,計算機網絡技術發展迅速,尤其Internet的發展應用�����,計算機網絡安全越來越重要�,尤其一些政府部門網絡,科研等機構網絡如被黑客或病毒侵入,后果是非常嚴重的���,在許多網絡安全技術應用中,防火墻技術室比較成熟的,本論文是從不同層面闡述防火墻網絡安全技術的應用。摘要中關鍵技術之一��,在配置防火墻時候���,要正確選擇��,科學配置�����。防火墻技術是計算機網絡技術人才需要專門的培訓與學習,才能進行科學的配置��,在配置防火時候具有一定的技巧�����,在不同環境���,不同時期具有一定的應用���,因此正確科學的配置防火墻沒有通式��,必須在根據環境狀態下進行科學合理的配置�,這樣才能使防火墻技術成為網絡安全技術中最后一道保障。
1.3有賴于動態維護
防火墻技術在網絡中應用��,不是把防火墻軟件在計算機中安裝以后����,進行一些配置以后就完事,管理員要對防火墻實時進行監控����,看防火墻是否出現一些異常狀況�,管理員還要與廠商經常保持密切聯系���,是否有更新�����,任何在完美事物都有兩面性�����,要及時更新����,彌補防火墻漏洞���,防止計算機網絡被更新�,因此防火墻技術是一種動態實時更新技術。
1.4搞好規則集的檢測審計工作
網絡安全技術最大的危險是自己,網絡管理員不能出現一點大意�����,在防火墻技術的應用過程中���,要適時進行更新���,彌補漏洞����,還要定期進行一定的檢測和審計工作�,用來評估網絡現在的安全性,以及在未來一段時間網絡的安全性�,做好正確的評審工作�,是網絡能長時間保持穩定的重要條件��,實時檢測����,實時維護是網絡安全的基本法則�����。
2防火墻網絡安全技術的實現方案
2.1設置內部防火墻�,編制可靠的安全方案
在網絡安全防范的過程中�����,內部局域網一定要重視�����,當局域網中一臺機器出現病毒狀況,可能瞬間整個網絡出現癱瘓狀態��,因此利用防火墻技術作為網絡安全的檢測��,內部局域網防火墻要進行科學合理的設置��,制定一個可行的安全方案�,對整個局域網的網絡進行一定的保障。內部防火墻進行一定的分段,每個主機要有標準�����,但有一個統一的標準����,標準時同樣的,這樣對網絡的檢測等有一定的依據����,增強了網絡的安全性����。
2.2合理設定外部防火墻�,防范外網攻擊
經外部防火墻的設定,把內網同外網相分開�,可防范外網攻擊行為�。外部防火墻通過編制訪問策略����,僅已被授權的主機方能訪問內網IP,使外網僅能訪問內網中同業務相關的所需資源��。外部防火墻會變換地址�����,使外網無法掌握內網結構���,阻斷了黑客攻擊的目標�����。外部防火墻的精確設定范圍要在內網和外網之間,防火墻對獲取的數據包加以剖析����,把其中合法請求傳導到對應服務主機��,拒絕非法訪問。
3防火墻技術的未來發展趨勢及前景
防火墻技術是網絡安全技術發展的必然產物��,為不安全的網絡搭建一個安全的網絡平臺�����,網絡安全是不可預測的��,防火墻技術也在日新月異的進行發展,防火墻技術的未來發展是廣泛的,能為網絡安全作出一定的貢獻����,下面闡述一下防火墻技術的未來發展趨勢�����,引領網絡安全技術的發展。
3.1智能化
現在計算機的未來發展是網絡化、智能化�,網絡安全問題的發展也比較快��,對網絡安全的軟件要求也是越來越高,網絡上的病毒具有不可預見性,對防御病毒的軟件提出一個嶄新的要求��,必須具有一定的智能化����,就是防火墻自身具有很強的防御功能,不是人為的進行控制,智能化是網絡安全專家對防火墻技術的期盼,也是防火墻技術自身發展的需要,但防火墻技術實現智能化需要一定的時間�,需要網絡安全專家不停努力的結果��。
3.2擴展性能更佳
計算機網絡的快速發展,點到點客戶的快速發展�����,現在3G網絡已經向4G網絡發展�,對防火墻的擴展型提出更好的要求��,軟件技術的發展必須為未來的發展提出更好的要求�,其擴展性具有一定發展���,使防火墻技術能更好的為網絡安全服務�����,提高網絡安全服務的本領�����,減少病毒的入侵,提高網絡安全����。
