序論:速發表網結合其深厚的文秘經驗�,特別為您篩選了11篇網絡安全方案范文��。如果您需要更多原創資料�����,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
篇1
1、前言
網絡安全安全方案涉及的內容比較多�、比較廣、比較專業和實際�����。網絡安全方案就像一張施工的圖紙,圖紙的好壞直接影響工程的質量高低。下面討論一下網絡安全設計的注意點和質量�����。
2、 網絡安全方案設計的注意點
對于網絡安全人員來說,網絡有一個整體性、動態的安全。也就是在整個項目有一種總體的把握能力,不能只關注自己熟悉的某個領域,而要對其他的領域不關心,不理解,那么就寫不出一份好的安全方案�。寫出來的方案要針對用戶所遇到的問題,運用技術和產品來解決問題�。設計人員就只有對安全技術了解得很深,對產品了解得很深,設計出的方案才能接近用戶的要求�����。
好的安全方案應該考慮技術����、策略和管理,技術是關鍵,策略是核心,管理是保證����。在方案中始終要休現出這三個方面的關系�。在網絡安全設計時,一定要了解用戶實際網絡系統環境,對可能遇到的安全風險和威脅進行量化和評估,這樣寫出的解決方案才客觀。設計網絡安全方案時,動態安全很重要,隨著環境的變化和時間的推移,系統的安全性也會發生變化,所有在設計時不僅要考慮現在的情況,還要考慮將來的情況,用一種動態的方式來考慮,做到項目實施既考慮到現在的情況,也能很好的適應以后網絡系統的升級,留一個較好的升級接口。
網絡沒有絕對安全,只有相對安全,在網絡安全方案設計時,必須清楚這點,客觀的來寫方案,不夸大也不縮小,寫得實實在在,讓人信服接受���。由于時間和空間不斷發生作用,安全是沒有不變的,不管在設計還是在實施的時候,無論是想得多完善,做得多嚴密,都不能達到絕對的安全�。所以安全方案中應該告訴用戶只能做到避免風險,清除風險的根源,降低風險所帶來的損失,而不能做到消除風險�。
3�����、 評價網絡安全方案的質量
我們怎樣才能寫出高質量�、高水平的的網絡安全方案呢?我們只有抓住重點,理解安全理念和安全過程,那么就基本可以做到了。一份好的安全方案我們需要從下面幾個方面來把握。
對安全技術和安全風險有一個綜合的把握和理解,包括現在的和將來可能出現的情況。
體現唯一性,由于安全的復雜性和特殊性,唯一性是評估安全方案最重要的一個標準����。實際中,每一個特定網絡都是唯一的,需要根據實際情況處理��。
對用戶的網絡系統可能遇到的安全風險和安全威脅,結合現有的安全技術和安全風險,要有一合適�����、中肯的評估�。
對癥下藥,用相應的安全產品、安全技術和管理手段,降低用戶的網絡系統當前可能遇到的風險和威脅,消除風險和威脅的根源,增強整個網絡系統抵抗風險和威脅的能力,增強系統本身的免疫力。
在設計方案時,要明白網絡系統安全是一個動態的、整體的�、專業的工程,不能一步到位解決用戶所有的問題�。
方案出來后,要不斷與用戶進行溝通,能夠及時得到他們對網絡系統在安全方面的要求、期望和所遇到的問題。
方案中要體現出對用戶的服務支持,這是很重要的一部分。產品和技術,都將會體現在服務中,服務用來保證質量����、提高質量���。
方案中所涉及到和產品和技術,都要經得起驗證、推敲、實施,要有理論根據,要有實際基礎���。
4、安全風險分析
主要實際安全風險一般從網絡的風險和威脅分析、系統風險和威脅分析、應用的風險和威脅分析���、對網絡、系統和應用的風險及威脅的具體實際的詳細的分析�����。
網絡的風險和威脅分析:詳細分析用戶當前的的網絡結構,找出帶來安全問題的關鍵,并形成圖形化,指出風險和威脅所帶來的危害,對那些如果不消除風險和威脅,會起引什么樣的后果,要有一個中肯、詳細的分析和解決辦法。系統的風險和威脅分析:對用戶所有的系統都要進行一次詳細地評估,分析存在哪些風險和威脅,并根據與業務的關系,指出其中的厲害關系�。要運用當前流行系統所面臨的安全風險和威脅,結合用戶的實際系統,給出一個中肯��、客觀和實際的分析���。應用的分析和威脅分析:應用的安全是企業的關鍵,也是安全方案中最終說服要保護的對象。同時由于應用的復雜性和關聯性,分析時要比較綜合�����。對網絡���、系統和應用的風險及威脅的具體實際的詳細分析:幫助用戶找出其網絡系統中要保護的對象,幫助用戶分析網絡系統,幫助他們發現其網絡系統中存在的問題,以及采用哪些產品和技術來解決�����。
5、安全產品
常用的安全產品有:防火墻�����、防病毒�����、身份認證�、傳輸加密和入侵檢測�。結合用戶的網絡���、系統和應用的實際情況,對安全產品和安全技術作比較和分析,分析要客觀、結果要中肯,幫助用戶選擇最能解決他們所遇到問題的產品,不要求新���、求好和求大。
防火墻:對包過濾技術��、技術和狀態檢測技術的防火墻,都做一個概括和比較,結合用戶網絡系統的特點,幫助用戶選擇一種安全產品,對于選擇的產品,一定要從中立的角度來說明。
防病毒:針對用戶的系統和應用的特點,對桌面防病毒、服務器防病毒和網關防病毒做一個概括和比較,詳細指出用戶必須如何做,否則就會帶來什么樣的安全威脅,一定要中肯、合適,不要夸大和縮小�����。
身份認證:從用戶的系統和用戶的認證的情況進行詳細的分析,指出網絡和應用本身的認證方法會出現哪些風險,結合相關的產品和技術,通過部署這些產品和采用相關的安全技術,能夠幫助用戶解決哪些用系統和應用的傳統認證方式所帶來的風險和威脅。
傳輸加密:要用加密技術來分析,指出明文傳輸的巨大危害,通過結合相關的加密產品和技術,能夠指出用戶的現有情況存在哪些危害和風險。
入侵檢測:對入侵檢測技術要有一個詳細的解釋,指出在用戶的網絡和系統部署了相關的產品之后,對現有的安全情況會產生一個怎樣的影響要有一個詳細的分析����。結合相關的產品和技術,指出對用戶的系統和網絡會帶來哪些好處,指出為什么必須要這樣做,不這樣做會怎么樣,會帶來什么樣的后果��。
結束語
一份好的網絡安全方案要求的是技術面要廣、要綜合,不僅只是技術好?���?傊?經過不斷的學習和經驗積
篇2
中圖分類號:TP3 文獻標識碼:A
我國關于網絡方面的基礎設施建設已經初步成型���,而網上進行的各種業務也越來越多,保證網絡環境的安全���,正常應用網絡已成為各企業正常開展業務基礎工作����。各企業只有建立起安全的網絡安全方案就要了解計算機用戶安全環境����、現狀與威脅����,才能按照用戶需求����,進行網絡安全方案的設計。網絡安全問題十分復雜,包括加密�、防火墻及防病毒等網絡安全方案。
1網絡用戶的安全需求
1.1網絡環境
網絡環境包括計算機系統內部與行業間互聯網���。
1.2網絡安全現狀
(1)計算機系統在企業內部通信、行業間通信�,都缺少安全防護的措施�����,僅有部分單位對路由器設計了 過濾防火墻���。
(2)計算機操作系統一般為UNIX和Windows NT,而桌面的操作系統都是Windows XP或者Win7�����,都沒有設置安全保護的措施����。
(3)計算機系統訪問的控制能力不強,只能對現有操作���、數據庫、電子郵件及應用方面的系統進行簡單的利用��。
(4)計算機的應用環境沒有防病毒的能力�����,尤其在病毒數據庫更新上滯后。
(5)對病毒的內部或者外部的攻擊��,沒有基本監控和保護的手段�����。
1.3網絡安全的威脅
對計算機網絡的系統結構進行分析,可以發現��,計算機網絡安全的威脅主要有以下幾個方面:
(1)UNIX和WindowsNT等類別的操作系統有網絡安全上的漏洞���。
(2)企業內部網的用戶帶來的安全威脅。
(3)企業外部的用戶帶來的安全威脅。
(4)應用了TCP/IP協議軟件��,不具備安全性�。
(5)缺少對應用服務的訪問控制�,就要解決網絡中的安全隱患�����,才能保障網絡和信息安全����。
2網絡方案的設計思想和原則
2.1網絡方案的設計思想
網絡安全是十分復雜的問題����,一定要考慮到安全的層次和技術的難度����,充分考慮費用的支出,所以�����,進行方案的設計時一定要遵循一定的設計思想����,主要有幾下幾點:
(1)提高計算機系統安全性與保密性���。
(2)保證網絡性能特點�����,也就是保證網絡協議與傳輸的透明性。
(3)網絡安全設計要易操作�,易維護�����,要易于開展自動化的管理�����,不能過多過少增加一些附加的操作。
(4)在不影響網絡的拓撲結構時��,擴展計算機系統的結構和功能。
(5)設計要做到一次投資����,長期使用�。
2.2網絡方案的設計原則
(1)遵循需求�、風險和代價平衡原則,對網絡進行研究�����,對風險進行承擔��,經過分析和研究,制定規范與措施����。
(2)遵循綜合與整體的原則,將網絡安全模塊與設備引進系統的運行與管理中��,提高系統安全性和各部分間邏輯的關聯性��,保證協調一致運行���。
(3)遵循可用性和無縫接入的原則。所有安全措施都要靠人來完成����,如果設計太復雜�����,就會對人有過高要求�����。安全設備在安裝和運行中�����,不能改變網絡拓撲的結構,要保持對網絡內用戶的透明性���。
(4)遵循設備先進和成熟���,可管理和擴展����。在安全設備選擇上,要先考慮到先進性����,研究成熟性����,選擇技術與性能優越的設備�,可靠和適用的設備。保持網絡安全設備的統一管理和控制���,實現網上對設備運行的監控。
3計算機網絡安全方案
根據以上設備思想和原則����,進行計算機網絡安全方案的研究���,方案使用的技術和設備��、措施主要有以下幾點:
3.1 VLAN的技術
要保證企業局域網安全���,就要選擇VLAN能力交換機的設備,通過用戶群組與系統資源完成訪問權限的劃分��?����?梢钥刂聘鱒LAN間信息的流向,方便各群組對相關信息的訪問�����。
3.2加密的技術
可以使用公共網進行數據的傳輸�。廣域網進行信息傳輸很容易被黑客截取與利用��,所以����,要保證信息傳輸安全,就要在內聯網系統中使用鏈路加密機�����,進行傳輸信息的加密處理����,對運行在互聯網上關鍵的業務也要進行加密的算法進行數據加密����。
3.3防火墻
從網絡系統安全考慮����,可以在內聯網和同行業進行網絡互聯���,在網上布置防火墻,而防火墻的網絡入口點也要檢查好網絡通訊情況���,對非法入侵要屏蔽處理。
3.4對入侵的檢測系統
通過防火墻技術����,對內外網進行網絡保護�����,減少網絡的安全風險?����?墒?�,入侵會尋找防火墻的后門�。近年來�,推出了入侵的檢測系統���,這是一種新型的網絡安全技術,可以實時進行入侵的檢測��,應用防護的手段��,對待入侵�,可以快速斷開網絡的連接��。
3.5安全掃描系統
安全掃描系統在階段已經是最先進的安全系統�����,可以測試與評價系統是否安全,及時發現安全漏洞��?��?梢話呙柙O定網絡服務器和路由器等���,設定模擬的攻擊��,測試系統防御的能力。
3.6提高操作系統安全性
操作系統會存在安全漏洞���,越是流行操作系統就存在越多的問題,可以進行安全增強與合理配置���,具體增強與配置的內容有以下幾點:
(1)可以跟蹤系統的應用動態����,增加安全補丁�����。
(2)可以檢查系統的設置�����,對數據存放的方式和訪問的控制及口令的選擇都要及時更新。
篇3
一���、計算機網絡安全方案設計與實現概述
影響網絡安全的因素很多,保護網絡安全的技術�����、手段也很多。一般來說���,保護網絡安全的主要技術有防火墻技術�����、入侵檢測技術、安全評估技術�����、防病毒技術�����、加密技術、身份認證技術����,等等���。為了保護網絡系統的安全���,必須結合網絡的具體需求��,將多種安全措施進行整合,建立一個完整的�、立體的�����、多層次的網絡安全防御體系�����,這樣一個全面的網絡安全解決方案����,可以防止安全風險的各個方面的問題。
二���、計算機網絡安全方案設計并實現
1.桌面安全系統
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取����、修改、分發���。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊�����,造成泄密。特別是對于移動辦公的情況更是如此����。因此����,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
本設計方案采用清華紫光公司出品的紫光S鎖產品���,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)����、加密運算協處理器(CAU)、只讀存儲器(ROM)�����,隨機存儲器(RAM)��、電可擦除可編程只讀存儲器(E2PROM)等�����,以及固化在ROM內部的芯片操作系統COS(Chip Operating System)、硬件ID號�、各種密鑰和加密算法等��。紫光S鎖采用了通過中國人民銀行認證的SmartCOS��,其安全模塊可防止非法數據的侵入和數據的篡改��,防止非法軟件對S鎖進行操作��。
2.病毒防護系統
基于單位目前網絡的現狀��,在網絡中添加一臺服務器�����,用于安裝IMSS。
(1)郵件防毒����。采用趨勢科技的ScanMail for Notes����。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中��,可防止病毒入侵到LotueNotes的數據庫及電子郵件����,實時掃描并清除隱藏于數據庫及信件附件中的病毒��??赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作�,并提供實時監控病毒流量的活動記錄報告��。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務器防毒���。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念����,防毒模塊和管理模塊可分開安裝��。一方面減少了整個防毒系統對原系統的影響����,另一方面使所有服務器的防毒系統可以從單點進行部署��,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan��。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊���,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式�,不受Windows域管理模式的約束�,除支持SMS,登錄域腳本��,共享安裝以外,還支持純Web的部署方式�。
(4)集中控管TVCS����。管理員可以通過此工具在整個企業范圍內進行配置��、監視和維護趨勢科技的防病毒軟件���,支持跨域和跨網段的管理�����,并能顯示基于服務器的防病毒產品狀態���。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用����。簡便的安裝和分發部署�,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報����,給管理帶來極大的便利��。
3.動態口令身份認證系統
動態口令系統在國際公開的密碼算法基礎上��,結合生成動態口令的特點��,加以精心修改���,通過十次以上的非線性迭代運算�����,完成時間參數與密鑰充分的混合擴散���。在此基礎上��,采用先進的身份認證及加解密流程��、先進的密鑰管理方式,從整體上保證了系統的安全性�����。
4.訪問控制“防火墻”
單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接����、分辨非法訪問����、辨別身份偽裝等方面存在著很大的缺陷�����,從而構成了對網絡安全的重要隱患����。本設計方案選用四臺網御防火墻�,分別配置在高性能服務器和三個重要部門的局域網出入口,實現這些重要部門的訪問控制��。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段�,彼此隔離����。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊�����,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊�。如果有人闖進您的一個部門���,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大����。
5.信息加密�����、信息完整性校驗
為有效解決辦公區之間信息的傳輸安全����,可以在多個子網之間建立起獨立的安全通道����,通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性�、真實性和私有性��。
SJW-22網絡密碼機系統組成
網絡密碼機(硬件):是一個基于專用內核�,具有自主版權的高級通信保護控制系統���。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統)上的對全網的密碼機設備進行統一管理的系統軟件。
6.安全審計系統
根據以上多層次安全防范的策略�����,安全網的安全建設可采取“加密”���、“外防”�����、“內審”相結合的方法����,“內審”是對系統內部進行監視�、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密��,以解決內層安全。
安全審計系統能幫助用戶對安全網的安全進行實時監控����,及時發現整個網絡上的動態�����,發現網絡入侵和違規行為���,忠實記錄網絡上發生的一切�����,提供取證手段。作為網絡安全十分重要的一種手段����,安全審計系統包括識別�、記錄���、存儲、分析與安全相關行為有關的信息���。
在安全網中使用的安全審計系統應實現如下功能:安全審計自動響應���、安全審計數據生成、安全審計分析�����、安全審計瀏覽、安全審計事件存儲��、安全審計事件選擇等�����。
本設計方案選用“漢邦軟科”的安全審計系統作為安全審計工具��。
漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品���,是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統����。
(1)安全審計系統由安全監控中心和主機傳感器兩個部分構成����。主機傳感器安裝在要監視的目標主機上�����,其監視目標主機的人機界面操作���、監控RAS連接、監控網絡連接情況及共享資源的使用情況����。安全監控中心是管理平臺和監控平臺�,網絡管理員通過安全監控中心為主機傳感器設定監控規則��,同時獲得監控結果�、報警信息以及日志的審計��。主要功能有文件保護審計和主機信息審計���。
①文件保護審計:文件保護安裝在審計中心�,可有效的對被審計主機端的文件進行管理規則設置�����,包括禁止讀、禁止寫、禁止刪除��、禁止修改屬性、禁止重命名���、記錄日志���、提供報警等功能����。以及對文件保護進行用戶管理�����。
②主機信息審計:對網絡內公共資源中��,所有主機進行審計����,可以審計到主機的機器名����、當前用戶�、操作系統類型��、IP地址信息�。
(2)資源監控系統主要有四類功能����。①監視屏幕:在用戶指定的時間段內����,系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束���。
②監視鍵盤:在用戶指定的時間段內,截獲Host Sensor Program用戶的所有鍵盤輸入�����,用戶實時控制鍵盤截獲的開始和結束。
③監測監控RAS連接:在用戶指定的時間段內���,記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束�����。當gas連接非法時����,系統將自動進行報警或掛斷連接的操作��。
④監測監控網絡連接:在用戶指定的時間段內�����,記錄所有的網絡連接信息(包括:TCP, UDP�����,NetBios)�����。用戶實時控制網絡連接信息截獲的開始和結束�。由用戶指定非法的網絡連接列表�,當出現非法連接時�����,系統將自動進行報警或掛斷連接的操作����。
單位內網中安全審計系統采集的數據來源于安全計算機,所以應在安全計算機安裝主機傳感器��,保證探頭能夠采集進出網絡的所有數據�。安全監控中心安裝在信息中心的一臺主機上��,負責為主機傳感器設定監控規則,同時獲得監控結果�、報警信息以及日志的審計����。單位內網中的安全計算機為600臺��,需要安裝600個傳感器����。
7.入侵檢測系統IDS
入侵檢測作為一種積極主動的安全防護技術�����,提供了對內部攻擊�����、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵��。從網絡安全的立體縱深�、多層次防御的角度出發��,入侵檢測理應受到人們的高度重視����,這從國際入侵檢測產品市場的蓬勃發展就可以看出�����。
根據網絡流量和保護數據的重要程度�����,選擇IDS探測器(百兆)配置在內部關鍵子網的交換機處放置,核心交換機放置控制臺���,監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵����。
在單位安全內網中�,入侵檢測系統運行于有敏感數據的幾個要害部門子網和其他部門子網之間,通過實時截取網絡上的是數據流����,分析網絡通訊會話軌跡�����,尋找網絡攻擊模式和其他網絡違規活動。
8.漏洞掃描系統
本內網網絡的安全性決定了整個系統的安全性����。在內網高性能服務器處配置一臺網絡隱患掃描I型聯動型產品��。I型聯動型產品適用于該內網這樣的高端用戶���,I型聯動型產品由手持式掃描儀和機架型掃描服務器結合一體���,網管人員就可以很方便的實現了集中管理的功能。網絡人員使用I型聯動型產品���,就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描�,可以實現和IDS�����、防火墻聯動,尤其適合于制定全網統一的安全策略����。同時移動式掃描儀可以跨越網段、穿透防火墻�,實現分布式掃描����,服務器和掃描儀都支持定時和多IP地址的自動掃描�����,網管人員可以很輕松的就可以進行整個網絡的掃描�����,根據系統提供的掃描報告�,配合我們提供的三級服務體系���,大大的減輕了工作負擔,極大的提高了工作效率。
聯動掃描系統支持多線程掃描���,有較高的掃描速度����,支持定時和多IP地址的自動掃描,網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補�。同時提供了Web方式的遠程管理��,網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性�����。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描II型移動式掃描儀�。移動式掃描儀使用靈活,可以跨越網段����、穿透防火墻�����,對重點的服務器和網絡設備直接掃描防護�,這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性�����,最大可能地消除安全隱患。
在防火墻處部署聯動掃描系統���,在部門交換機處部署移動式掃描儀,實現放火墻����、聯動掃描系統和移動式掃描儀之間的聯動���,保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性���,最大可能的消除安全隱患��,盡可能早地發現安全漏洞并進行修補�,優化資源���,提高網絡的運行效率和安全性。
三�����、結束語
隨著網絡應用的深入普及�,網絡安全越來越重要,國家和企業都對建立一個安全的網絡有了更高的要求���。一個特定系統的網絡安全方案�,應建立在對網絡風險分析的基礎上�����,結合系統的實際應用而做。由于各個系統的應用不同�����,不能簡單地把信息系統的網絡安全方案固化為一個模式�,用這個模子去套所有的信息系統����。
本文根據網絡安全系統設計的總體規劃,從桌面系統安全��、病毒防護、身份鑒別�����、訪問控制����、信息加密、信息完整性校驗��、抗抵賴、安全審計���、入侵檢測�����、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案�����,目的是建立一個完整的�����、立體的、多層次的網絡安全防御體系���。
參考文獻:
[1]吳若松:新的網絡威脅無處不在[J].信息安全與通信保密�,2005年12期
篇4
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
計算機及其網絡技術的應用已深入各行各業���,特別是企事業單位的日常管理工作更是緊密依賴網絡資源�?�;诖?�,保證網絡的正常運行就顯得尤為重要。目前����,廣泛采用的安全措施是在企業局域網里布設網絡防火墻��、病毒防火墻�����、入侵檢測系統�����,同時在局域網內設置服務器備份與數據備份系統等方案�����。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎�?做到了這一切系統管理員就能高枕無憂了嗎�����?
1 問題的提出
圖1為現實中常用的二層網絡拓撲結構圖�����。從圖中可以看出����,網絡防火墻與入侵檢測系統(IDS)均部署在網絡入口處��,即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵�,但是對于內網用戶來說���,內部網絡是公開的,所有的安全依賴于操作系統本身的安全保障措施提供���。對一般的用戶來講,內網通常是安全的�����,即是說這種設計的對于內網的用戶應該是可信賴的��。然而對于諸如校園網的網絡系統��,由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生���,同時還要面對那些極少數有逆反心理���、強烈報復心的學生��,這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣��。
另一方面�����,有經驗的網絡管理員都知道����,網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題(最安全的方法只能是把網絡的網線撥了),只能對網絡攻擊者形成一定的阻礙并延長其侵入時間�。操作者只要有足夠的耐心并掌握一定的攻擊技術�����,這些安全設施終有倒塌的可能����。
所以��,如何最大可能地延長入侵者攻擊網絡的時間����?如何在入侵雖已發生但尚未造成損失時及時發現入侵?避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時��,管理者又如何發現����?如何保留入侵者的證據并將其提交有關部門?這些問題都是網絡管理者在安全方面需要經常思考的問題�����。正是因為上述原因�����,蜜罐技術應運而生�����。
2 蜜罐技術簡介
蜜罐技術的研究起源于上世紀九十年代初��。蜜罐技術專家L.Spitzner對蜜罐是這樣定義的:蜜罐是一個安全系統,其價值在于被掃描、攻擊或者攻陷�。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的���。它通過模擬一個或多個有漏洞的易受攻擊的主機,給攻擊者提供十分容易受攻擊的目標���。
如圖2所示���,蜜罐與正常的服務器一樣接入核心交換機��,并安裝相應的操作系統和數據庫管理系統,配置相應的網絡服務����,故意存放“有用的”但已過時的或可以公開的數據�。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器�����,只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性�����,或者故意留出一個或幾個最新發現的漏洞���,以便達到“誘騙”的目的�。
正常配置的蜜罐技術一旦使用,便可發揮其特殊功能。
1) 由于蜜罐并沒有向外界提供真正有價值的服務�����,正常情況下蜜罐系統不被訪問��,因此所有對其鏈接的嘗試都將被視為可疑的����,這樣蜜罐對網絡常見掃描��、入侵的反應靈敏度大大提高�,有利于對入侵的檢測��。
2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊�,讓攻擊者在蜜罐上浪費時間���。如圖二, 正常提供服務的服務器有4個�,加入4個蜜罐�,在攻擊者看來�����,服務器有8個�����,其掃描與攻擊的對象也增加為8個�����,所以大大減少了正常服務器受攻擊的可能性。同時����,由于蜜罐的漏洞多于正常服務器,必將更加容易吸引攻擊者注意���,讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警�,這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施�,從而使最初可能受攻擊的目標得到了保護�,真正有價值的內容沒有受到侵犯。
3) 由于蜜罐服務器上安裝了入侵檢測系統�����,因此它可以及時記錄攻擊者對服務器的訪問����,從而能準確地為追蹤攻擊者提供有用的線索�����,為攻擊者搜集有效的證據���。從這個意義上說,蜜罐就是“誘捕”攻擊者的一個陷阱��。
經過多年的發展,蜜罐技術已成為保護網絡安全的切實有效的手段之一�。對企事關單位業務數據處理��,均可以通過部署蜜罐來達到提高其安全性的目的�。
3 蜜罐與蜜網技術
蜜罐最初應用是真正的主機與易受攻擊的系統�,以獲取黑客入侵證據����、方便管理員提前采取措施與研究黑客入侵手段。1998年開始���,蜜罐技術開始吸引了一些安全研究人員的注意,并開發出一些專門用于欺騙黑客的開放性源代碼工具���,如Fred Cohen所開發的DTK(欺騙工具包)、Niels Provos開發的Honeyd等����,同時也出現了像KFSensor、Specter等一些商業蜜罐產品。
這一階段的蜜罐可以稱為是虛擬蜜罐���,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應��,從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便����。但是由于虛擬蜜罐工具存在著交互程度低�����、較容易被黑客識別等問題����。從2000年之后����,安全研究人員更傾向于使用真實的主機����、操作系統和應用程序搭建蜜罐�����,與之前不同的是�,融入了更強大的數據捕獲���、數據分析和數據控制的工具,并且將蜜罐納入到一個完整的蜜網體系中.使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析�。
蜜網技術的模型如圖3所示����。由圖中可以看出,蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關(honeywall)與日志服務器�����。其中蜜網網關僅僅作為兩個網絡的連接設備�,因此沒有MAC地址�,也不對任何的數據包進行路由及對TTL計數遞減����。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在�����。任何發送到蜜網內的機器的數據包都會經由Honeywall網關�����,從而確保管理員能捕捉和控制網絡活動�。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析,并對蜜罐機上的日志進行備份以保留證據��。這樣攻擊者并不會意識到網絡管理員正在監視著他����,捕獲的行為也使管理員掌握了攻擊者使用的工具����、策略和動機����。
4 蜜罐部署
由前述內容可以看出,蜜罐服務器布置得越多����,應用服務器被掃描與攻擊的風險則越小����,但同時系統成本將大幅度提高�����,管理難度也加大�。正因為如此,實際中蜜罐的部署是通過虛擬計算系統來完成的�。
當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware��。以Vmware為例�,物理主機配置兩個網卡����,采用Windows2000或Windows XP操作系統����,并安裝VMwar����。建立一臺虛擬機作為蜜網網關,此虛擬機設置三個虛擬網卡(其虛擬網卡類型見圖4)�����,分別連接系統工作網��、虛擬服務器網與監控服務器���。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件����,以此誘惑黑客攻擊���。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示��。
系統部署基本過程如下:
4.1 主機硬件需求
CPU:Pentium 4 以上CPU���,雙核更佳。
硬盤:80G以上���,視虛擬操作系統數量而定�。
內存:1G以上,其中蜜網軟件Honeywall至少需要256M以上���。其它視虛擬操作系統數量而定�����。(下轉第346頁)
(上接第341頁)
網卡:兩個,其中一個作為主網絡接入����,另一個作為監控使用�。
其它設備:視需要而定
4.2 所需軟件
操作系統安裝光盤:Windows 2000或Windows 2003;
虛擬機軟件:VMware Workstation for Win32;
蜜網網關軟件:Roo Honeywall CDROM v1.2���,可從蜜網項目組網站(一個非贏利國際組織���,研究蜜網技術��,網址為)下載安裝光盤�。
4.3 安裝過程
1)安裝主機操作系統��。
2) 安裝虛擬機軟件�����。
3) 構建虛擬網絡系統��。其中蜜網網關虛擬類型為Linux�,內存分配為256M以上,最好為512M�����,硬盤空間為4G以上�����,最好為10G。網卡三個�,分別設為VMnet0����、VMnet1和VMnet2�����,如圖4所示。
4) 在蜜網網關機上安裝honeywall���,配置IP信息、管理信息等�。
5) 在蜜網網關機上配置Sebek服務器端����,以利用蜜網網關收集信息。
6) 安裝虛擬服務器組���,并布設相應的應用系統����。注意虛擬服務器組均配置為VMnet1,以使其接入蜜網網關機后��。
7) 在虛擬服務器組上安裝并配置sebek客戶端��。
8) 通過監控機的瀏覽器測試蜜網網關數據����。
總之�����,虛擬蜜網系統旨在利用蜜網網關的數據控制����、數據捕獲和數據分析等功能�,通過對蜜網防火墻的日志記錄����、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動�,達到分析網絡入侵手段與方法的目的,以利于延緩網絡攻擊���、改進網絡安全性的目的�。
參考文獻:
[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.
[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.
[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.
篇5
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2011) 15-0000-01
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、計算機網絡安全的定義
計算機網絡安全指的是網絡系統中的硬件與軟件及其數據受到保護��,而不會出現數據與信息的泄露、破壞或更改��。簡單來講����,計算機網絡安全就是信息安全����。信息安全包括信息的可靠性���、保密性���、真實性���、完整性以及可用性。
互聯網自從20世紀60年代開始運用后,計算機網絡開始迅速發展起來����。隨著網絡上信息量的增長��,網絡信息安全問題也頻繁出現���。這些問題不僅危害著個人的生活����,甚至會影響到公司的運營進程。所以維護計算機網絡安全至關重要��。
二、計算機網絡安全現狀
第一�����,網絡安全問題的出現與計算機操作者本身是密不可分的�����。雖然目前很多計算機安全工具的出現預防了一些安全問題的發生��。但是網絡安全問題的最終結果在很大程度上取決于計算機的操作者�。如果操作者運用了不正當的手段進行網絡操作����,或者進入了不健康網站瀏覽了不健康內容���,就會導致個人信息的泄露,產生和增加網絡不安全因素��。第二��,網絡程序的設計往往會有漏洞,沒有一個沒有漏洞的程序�����。所以網絡黑客就會抓住機會����,利用程序中出現的漏洞,對其他正常程序進行攻擊��。最重要的是這種黑客采用的程序漏洞一般都不留痕跡��,無法查證安全威脅發生的原因����。第三�����,網絡安全工具的更新速度遠遠跟不上黑客攻擊正常程序的手段的發明和使用。通常只有在人為的參與下���,才能發現和檢測出病毒的存在����。在沒有檢查和檢測的前提下��,這種病毒就不會被察覺出來�,隱藏于電腦的程序中�。但是往往一些病毒在發現之時就已經出現了計算機網絡安全問題����。在這段計算機的“遲鈍期”內��,黑客就很容易有機可乘����,進而能夠使用最先進的��、最新的手段對正常的程序進行攻擊���。第四�����,防火墻功能的局限性也會導致網絡安全威脅的出現�。因為防火墻可以通過限制外部的網絡對內部網絡的訪問����,隱蔽內部結構,從而達到保護網絡內部結構的目的��。但是防火墻卻無法阻止計算機網絡內部之間的攻擊和破壞�。而且防火墻很難預防那些從網絡系統的后門進入的病毒����。技術上的缺陷����,使得網絡安全問題不斷出現新的、更高級的安全、隱患問題����。
三、計算機網絡安全保障方案的制定與實施
(一)從國家和政府的角度去制定相關的政策法規���,用法律的強制力去保證計算機網絡的安全。加大對網絡安全危害行為的懲罰力度�����,制定相應的具體的處罰措施�。嚴厲懲治危害網絡安全�����,盜取別人信息的違法行為����,減少網絡安全危害行為的發生�����。發揮政府的監督作用和強制作用����,將維護計算機網絡安全提上日常日程�。建立和完善相關的法律法規之后就對網絡安全危害行為造成一定的威懾力���,將危害網絡安全的行為扼殺在搖籃中�����。(二)加大網絡安全危害行為的宣傳力度��,增強每個網民的網絡安全意識。通過報紙�����、電視��、網絡以及廣報等各種形式的宣傳,讓廣大網民意識到網絡安全問題的重要性�����。同時學習安全上網和文明上網��,保證網絡信息的安全�。加強網絡安全維護意識���,有利于保護網民的隱私�。當網絡信息安全意識深入到每個網民的內心���,維護網絡安全的行為就會在潛意識里面發生。每個人都加強了安全防范意識�,同時進行文明上網��、健康上網���。(三)從計算機的操作技術上進行防范網絡安全威脅的發生����。對計算機的系統軟件���、應用軟件以及硬件進行及時的更新和升級����,增強系統對病毒的抵抗力��。計算機用戶要進行正確的開機、關機以及上網行為,注意保護電腦上的軟件以及硬件設施�。(四)提高防火墻技術、網絡防病毒技術�����、加密技術和入侵檢測技術,加強訪問控制���,將病毒拒絕于門外。不斷進行專業的研究和分析�����,更新和升級各項技術�,減少病毒的入侵幾率�����。定期運用這些技術隊電腦進行掃描和檢測�,對個人電腦設置加密技術�����,只有制定的用戶和指導密碼的用戶才可以進行解密進入計算機網絡系統�����。(五)要注意IP地址的正確使用��,避免被黑客鉆漏洞。
四����、結語
在網絡安全問題日益得到重視的今天���,網絡安全技術隨著國家以及專業人士的重視也得到了快速的發展和進步�。但是,由于我國的信息安全產品制作方面缺少核心技術���,真正能夠解決深層次的網絡安全問題的技術卻很少���。所以,國家首先要重視發展網絡信息安全產業�����,在政策上給予支持���。最重要的還是每位網民,因為接觸計算機��、運用各種軟件以及系統的人的上網行為往往是病毒的準入證�����。只要每個網民都進行健康上網�����、文明上網,網絡安全就能實現���。
參考文獻:
[1]彭秀芬,徐寧.計算機網絡信息系統安全防護分析[J].網絡安全技術與應用,2006,12
篇6
1 企業計算機網絡安全方案的構建意義
目前�,我國大中型企業信息化建設中的關鍵部分就是信息安全建設�,解決信息安全問題有利于企業信息化建設工作的全面推進�����。企業信息安全建設的最終目的是要真正做到“防患于未然”��,信息安全的有效性建設能夠控制企業信息化建設的總體成本�����,為企業節約大量資金,實現資源優化配置��。企業計算機網絡安全建設工作要始終堅持等級保護理念,才能促進企業信息安全建設工作的穩步實施����,保證企業信息管理系統的建設符合行業標準和政策規定,全面提升企業在激烈的市場競爭中的競爭力���。
2 企業計算機網絡安全的弱點和威脅
2.1 信息安全弱點
信息安全弱點與企業信息資源密切相關���,信息安全弱點的暴露很有可能導致企業資產的嚴重損失���。但是,信息安全弱點本身并不會為企業帶來損失�����,只是在特定的環境下被非法者利用后才會造成企業資產損失��,例如�����,企業信息系統開發過程中的脆弱性問題,管理員的管理措施問題等��,這些信息安全弱點都為非法攻擊者提供了非法入侵的可能���。
2.2 信息安全威脅
信息安全威脅指的是對企業資產構成潛在性的破壞因素���,信息安全威脅的產生包括人為因素和自然環境因素�����。信息安全威脅可能是偶然發生的事件�,也有可能是人為蓄意制造的時間�����,包括信息泄露�����、信息篡改等��,這些事件都會導致企業信息的可用性���、完整性和保密性遭到破壞���,屬于對企業信息的惡意攻擊���。
2.3 網絡安全事件
由于網絡特有的開放性特點�,造成了非法攻擊、黑客入侵��、病毒傳播等海量安全事件發生�,信息安全領域對于網絡安全的研究也日益重視�����。根據大量網絡安全事件分析來看�����,企業信息管理系統的應用設計存在著諸多缺陷和弊端,給情報機構的非法入侵提供了極大的可能性�����。由此�����,內容分級制度��、脆弱性檢測技術�����、智能分析技術已經廣泛應用于企業信息系統開發過程中���。
3 企業計算機網絡安全存在的主要問題
⑴企業分部采用寬帶撥號上網的方式與企業總部實現通信傳輸,這種落后的網絡通信方式難以保證數據傳輸的安全性�����。企業信息安全級別較高的部門通過互聯網實現數據傳輸的過程中���,沒有采取任何數據加密措施�,非常容易造成數據信息的泄露和篡改,同時��,企業信息管理系統的操作應用沒有設置明確的管理人員,導致其他非法用戶也可以入侵到企業內部網絡中����,對服務器數據進行竊取和篡改��。以上兩種網絡安全問題都容易造成企業重要數據的泄露,甚至給企業帶來不看估計的損失��。
⑵隨著企業網絡規模的日益擴大,在網絡邊界如果仍然采用路由器連接企業內部網絡和外部網絡���,已經無法適應飛速發展的網絡互連技術�。企業雖然可以在網絡邊界的路由器中設置訪問控制策略����,但是仍然存在來自互聯網的各種非法攻擊���、IP地址攻擊、ARP協議欺騙等問題��,這表明了企業需要一善可靠的防火墻設備�,來對企業網絡的數據傳輸提供有效控制和保護����。
⑶由于互聯網技術的飛速發展,為企業提供了豐富的信息資源�����,除了企業日常運營需要使用網絡資源�����,其他工作人員也有可能通過網絡獲取信息資源,例如使用迅雷����、BT等軟件下載視音頻信息等,網絡下載會占用企業大部分帶寬資源���,嚴重的會導致系統管理員無法對網絡終端的訪問情況進行有效管理�,或者某一個計算機終端因下載感染病毒而引發ARP欺騙。
⑷隨著互聯網應用的日益普及����,木馬病毒的廣泛傳播,企業員工計算機使用水平參差不齊�����,不能保證對網絡中的有害信息進行有效識別,由此導致了木馬病毒在企業內部網絡的感染和傳播���。因此�,需要定期對企業數據傳輸的原始數據流進行病毒查殺和威脅分析��,以此起到有害信息過濾的作用���,使流入企業內部網絡的數據信息能夠安全可靠���,真正降低企業信息安全風險。同時����,企業可以采用網關防病毒產品,在企業內部網絡與外部網絡處進行隔離保護�����,當木馬病毒出現時可以被攔截在企業內部網絡之外��,為企業提供可靠的安全邊界保護�。
4 企業計算機網絡安全方案的構建實施
企業總部需要與企業分部��,以及其他合作企業之間實現數據傳輸與交換���,企業派往外地出差的員工也需要通過遠程網絡訪問企業總部內網的信息管理系統����,因此�����,不同用戶企業總部內部網絡的訪問有著不同需求���,企業必須具有安全可靠�、性能較高���、成本較低的網絡接入方式�����。由于企業分部大部分與企業總部不在一個城市,在企業總部與企業分部之間鋪設光纜線路是極為不現實的����;如果租用專用光纖網絡通信線路��,高額的租賃費用會嚴重增加企業運營發展的經濟負擔�����;如果將企業總部內部網絡的應用服務器映射在網關位置,雖然能夠方面用戶遠程訪問企業內部信息管理系統�����,但會給企業網絡帶來巨大的安全隱患����。本文基于以上分析���,本文選擇利用VPN技術(虛擬局域網)在企業內部網絡出口處�����,虛擬設置一條網絡專線,以此將企業總部與企業分部網絡進行有效連接��,形成一個規模較大的局域網���,真正實現了用戶遠程訪問和接入。VPN技術不僅能夠滿足異地用戶對企業總部網絡信息管理系統的訪問需求���,而且充分保證了用戶訪問的安全性,避免了單點登錄技術對企業整個網絡構成的安全威脅��。
企業在部署上網行為管理設備(SINFOR M5X00-AC)時��,應該開啟VPN功能�����,在企業總部內部網絡的邊界防火墻設備中進行端口映射�����,同時在企業分部網絡中安裝上網行為管理設備,并且與企業總部的上網行為管理設備共同利用VPN技術建立虛擬專用網絡��,在對數據信息進行加密后在互聯網上傳輸�。企業在構建虛擬專用網絡時�,只要在任何一端的連接管理設置中輸入對方網絡地址,VPN設備就可以自動進行虛擬局域網組建�,網絡中的任何計算機終端都可以通過虛擬專用網實現數據傳輸與共享����。如果還有其他分部需要加入到虛擬局域網中�����,則可以通過輸入加密的訪問WAN扣地址實現�。需要注意的是�����,已將連通的虛擬局域網的內網網段不能完全相同���。
企業在部署上網行為管理設備時,由于訪問控制策略是信息安全策略的核心部分�,也是對網絡中數據傳輸的關鍵保護措施,由此����,需要對接入企業總部網絡的用戶進行身份認證�����,根據不同用戶的身份授予不同權限�,再利用配置邏輯隔離服務器實現不同用戶身份對不同應用服務器的接入�,從而對企業內部網絡中的業務信息管理系統進行訪問和使用�����。同時��,安全級別為五級的QoS安全機制能夠為企業不同信息系統提供相應的安全服務保障��,并且可以按照業務類別劃分優先級別��,重要的數據信息將會獲得優先傳輸的權限���。對用戶訪問權限的細致劃分可以限制非法用戶對網絡資源的訪問和使用,防止非法用戶入侵企業內部網絡進行破壞性操作���,直接對接入企業內部網絡的各項訪問應用進行管控,真正提高了企業網絡系統的安全性�。
在企業內部網絡部署應用安全產品過程中��,需要綜合考慮如何完成安全產品的部署策略���,才能使安全產品的性能充分發揮�����,同時�,企業內部網絡還可以將不同的安全產品集成應用����,使其發揮最大功能,充分提高企業信息管理系統的安全性和可靠性�。
本文基于信息安全等級指導思想下,對企業內部網絡存在的問題進行了分析����,并提出了良好的解決方案�,包括防火墻的部署、入侵檢測設備的部署��、上網行為管理設備的部署、防毒墻的部署�、企業版殺毒軟件的部署等。
5 結論
綜上所述�,本文在網絡信息安全等級保護理念下��,將企業內部網絡的安全防護的有效性作為最終目標�����,對企業網絡信息安全存在的風險進行深入分析�,結合企業實際情況,提出了企業計算機網絡安全設計方案����,保障了企業總部內部網絡與分部網絡之間數據傳輸通信的安全性和可靠性。
[參考文獻]
[1]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信�����,2013,09:25-27.
[2]王迅.電信企業計算機網絡安全構建策略分析[J].科技傳播����,2013,07:217+209.
篇7
【關鍵詞】網絡安全技術 解決方案 企業網絡安全
網絡由于其系統方面漏洞導致的安全問題是企業的一大困擾����,如何消除辦企業網絡的安全隱患成為企業管理中的的一大難題�。各種網絡安全技術的出現為企業的網絡信息安全帶來重要保障��,為企業的發展奠定堅實的基礎��。
1 網絡安全技術
1.1 防火墻技術
防火墻技術主要作用是實現了網絡之間訪問的有效控制�����,對外部不明身份的對象采取隔離的方式禁止其進入企業內部網絡�����,從而實現對企業信息的保護。
如果將公司比作人,公司防盜系統就如同人的皮膚一樣����,是阻擋外部異物的第一道屏障�����,其他一切防盜系統都是建立在防火墻的基礎上?����,F在最常用也最管用的防盜系統就是防火墻��,防火墻又可以細分為服務防火墻和包過濾技術防火墻�。服務防火墻的作用一般是在雙方進行電子商務交易時�,作為中間人的角色��,履行監督職責�。包過濾技術防火墻就像是一個篩子,會選擇性的讓數據信息通過或隔離���。
1.2 加密技術
加密技術是企業常用保護數據信息的一種便捷技術,主要是利用一些加密程序對企業一些重要的數據進行保護�,避免被不法分子盜取利用��。常用的加密方法主要有數據加密方法以及基于公鑰的加密算法�����。數據加密方法主要是對重要的數據通過一定的規律進行變換���,改變其原有特征,讓外部人員無法直接觀察其本質含義�����,這種加密技術具有簡便性和有效性�,但是存在一定的風險����,一旦加密規律被別人知道后就很容易將其破解��?�;诠€的加密算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法�。這種加密方法具有較強的隱蔽性����,外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙�,因此具有較強的保密性���。
1.3 身份鑒定技術
身份鑒定技術就是根據具體的特征對個人進行識別�,根據識別的結果來判斷識別對象是否符合具體條件�,再由系統判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效����,比如指紋或者后虹膜��, 一般情況下只有本人才有權限進行某些專屬操作���,也難以被模擬�,安全性能比較可靠�。這樣的技術一般應用在企業高度機密信息的保密過程中�,具有較強的實用性����。
2 企業網絡安全體系解決方案
2.1 控制網絡訪問
對網絡訪問的控制是保障企業網絡安全的重要手段�����,通過設置各種權限避免企業信息外流�,保證企業在激烈的市場競爭中具有一定的競爭力。企業的網絡設置按照面向對象的方式進行設置����,針對個體對象按照網絡協議進行訪問權限設置���,將網絡進行細分����,根據不同的功能對企業內部的工作人員進行權限管理��。企業辦公人員需要使用到的功能給予開通�����,其他與其工作不相關的內容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護����,從根本上保障企業機密信息的安全�。另外對網絡的訪問控制可以分時段進行,例如某文件只可以在相應日期的一段時間內打開����。
企業網絡設計過程中應該考慮到網絡安全問題���,因此在實際設計過程中應該對各種網絡設備���、網絡系統等進行安全管理,例如對各種設備的接口以及設備間的信息傳送方式進行科學管理�,在保證其基本功能的基礎上消除其他功能��,利用當前安全性較高的網絡系統�����,消除網絡安全的脆弱性�����。
企業經營過程中由于業務需求常需要通過遠端連線設備連接企業內部網絡��,遠程連接過程中脆弱的網絡系統極容易成為別人攻擊的對象�����,因此在企業網絡系統中應該加入安全性能較高的遠程訪問設備,提高遠程網絡訪問的安全性���。同時對網絡系統重新設置�,對登入身份信息進行加密處理����,保證企業內部人員在操作過程中信息不被外人竊取,在數據傳輸過程中通過相應的網絡技術對傳輸的數據審核����,避免信息通過其他渠道外泄,提高信息傳輸的安全性����。
2.2 網絡的安全傳輸
電子商務時代的供應鏈建立在網絡技術的基礎上,供應鏈的各種信息都在企業內部網絡以及與供應商之間的網絡上進行傳遞��,信息在傳遞過程中容易被不法分子盜取���,給企業造成重大經濟損失。為了避免信息被竊取���,企業可以建設完善的網絡系統,通過防火墻技術將身份無法識別的隔離在企業網絡之外�����,保證企業信息在安全的網絡環境下進行傳輸�����。另外可以通過相應的加密技術對傳輸的信息進行加密處理����,技術一些黑客破解企業的防火墻,竊取到的信息也是難以理解的加密數據����,加密過后的信息常常以亂碼的形式存在�。從理論上而言��,加密的信息仍舊有被破解的可能性�,但現行的數據加密方式都是利用復雜的密匙處理過的����,即使是最先進的密碼破解技術也要花費相當長的時間,等到數據被破解后該信息已經失去其時效性,成為一條無用的信息���,對企業而言沒有任何影響�����。
2.3 網絡攻擊檢測
一些黑客通常會利用一些惡意程序攻擊企業網絡���,并從中找到漏洞進入企業內部網絡��,對企業信息進行竊取或更改。為避免惡意網絡攻擊����,企業可以引進入侵檢測系統����,并將其與控制網絡訪問結合起來�����,對企業信息實行雙重保護。根據企業的網絡結構�����,將入侵檢測系統滲入到企業網絡內部的各個環節��,尤其是重要部門的機密信息需要重點監控���。利用防火墻技術實現企業網絡的第一道保護屏障�,再配以檢測技術以及相關加密技術����,防火記錄用戶的身份信息,遇到無法識別的身份信息即將數據傳輸給管理員����。后續的入侵檢測技術將徹底阻擋黑客的攻擊,并對黑客身份信息進行分析�����。即使黑客通過這些屏障得到的也是經過加密的數據�,難以從中得到有效信息����。通過這些網絡安全技術的配合,全方位消除來自網絡黑客的攻擊�����,保障企業網絡安全�。
3 結束語
隨著電子商務時代的到來�,網絡技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用,企業網絡安全也將長期伴隨企業經營管理��,因此必須對企業網絡實行動態管理,保證網絡安全的先進性����,為企業的發展建立安全的網絡環境����。
參考文獻
[1]周觀民,李榮會.計算機網絡信息安全及對策研究[J].信息安全與技術�,2011.
篇8
中圖分類號:C913.3文獻標識碼:A文章編號:1005-5312(2010)12-0088-01
一、網絡安全概述
(一)網絡安全的基本概念
網絡安全包括物理安全和邏輯安全�����。對于物理安全,需要加強計算機房管理,如門衛���、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令�、文件許可和查帳等方法來實現�。
(二)網絡面臨的主要攻擊
⑴ 緩沖區溢出。
⑵ 遠程攻擊��。
⑶ 口令破解��。
⑷ 超級權限。
⑸ 拒絕服務(DDOS)�����。
二��、安全需求
通過對網絡系統的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性��、完整性�����、可用性�、可控性與可審查性����。即,
可用性: 授權實體有權訪問數據。
機密性: 信息不暴露給未授權實體或進程�。
完整性: 保證數據不被未授權修改�。
可控性: 控制授權范圍內的信息流向及操作方式。
可審查性:對出現的安全問題提供依據與手段�����。
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機�����、所交換的數據進行嚴格的訪問控制�。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制����。
數據加密:數據加密是在數據傳輸�、存儲過程中防止非法竊取��、篡改信息的有效手段�����。
安全審計: 是識別與防止網絡攻擊行為�����、追查網絡泄密行為的重要措施之一����。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
三����、網絡安全防護策略
個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護��。
第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊����。
第二個層次,是通過路由器后進入網站的第一個安全屏障��。該層主要由防火墻進行防護和訪問控制,防火墻在安全規則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖��。同時,為了反映防火墻之內的實際安全狀態,部署網絡入侵檢測系統(IDS)�。入侵檢測系統可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業務平臺的攻擊行為和內部網絡中的非法行為�����。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊�����。
第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統,防范網頁被非法篡改��。
此外,還部署網絡漏洞掃描系統,定期或不定期的對接服務器區進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞����。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。
第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器����。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性�。
(二)多種防護手段
我們設計的高強度安全防護措施,包括多種防護手段,即有靜態的防護手段,如防火墻,又有動態的防護手段,如網絡IDS、網絡防病毒系統。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統�����。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角��。
(三)防火墻系統
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的�����、潛在破壞性的侵入���。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許�����、拒絕��、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力�。它是提供信息安全服務,實現網絡和信息安全的基礎設施��。
防火墻可通過監測����、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息���、結構和運行狀況,以此來實現網絡的安全保護����。在此次的網絡系統安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制��。防火墻可將網絡分成若干個區域,Trust(可信任區,連接內部局域網),Untrust(不信任區,連接Internet ),DMZ(中立區,連接對外的WEB server�����、e-Mail server 等)之后,還可以由客戶自行定義安全區域。
(四)網絡入侵檢測系統的作用
通過使用網絡入侵檢測系統,我們可以做到:發現誰在攻擊網絡:解決網絡防護的問題(網絡出入口�����、DMZ����、關鍵網段)����。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統免受二次攻擊�����。
處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件�。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護�����。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據��。實現安全事件來源追查�����。 DDOS攻擊防范:通過實時監控網絡流量,及時發現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷��。
四�、安全服務
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統���、應用程序的變化,管理人員的變化���。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整���。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料���。
五����、總結
毫無疑問,安全是一個動態的問題�����。在做未來的計劃時,既要考慮用戶環境的發展,也要考慮風險的發展,這樣才能讓安全在操作進程中占有一席之地�����。最謹慎��、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來��。歸納起來,對網絡安全的解決方案從人員安全�����、物理層安全、邊界安全���、網絡安全、主機安全���、應用程序和數據安全這幾方面入手即可���。上述幾個方面做好之后,我們就可以讓一個網絡系統:
進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡�。
拿不走: 使用屏蔽�����、防下載機制,實現對用戶的權限控制。
讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序�。
改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。
走不脫: 使用日志����、安全審計、監控技術使得攻擊者不能抵賴自己的行為�。
參考文獻:
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.
篇9
特別值得一提的是��,為了滿足用戶和業務的需求����,時刻保持競爭優勢����,企業不得不持續擴張網絡體系。然而���,很多人可能不知道,網絡的每一次擴張��,即便是一臺新計算機、一臺新服務器以及軟件應用平臺���,都將給病毒、蠕蟲�、黑客留下可乘之機����,為企業網絡帶來額外的安全風險。同時��,純病毒時代已經一去不復返����,幾年前占據著新聞頭條的計算機病毒事件在今天看來已經不是什么新聞��,取而代之的是破壞程度呈幾何增長的新型病毒����。這種新型病毒被稱為混合型病毒���,這種新病毒結合了傳統電子郵件病毒的破壞性和新型的基于網絡的能力����,能夠快速尋找和發現整個企業網絡內存在的安全漏洞��,并進行進一步的破壞����,如拒絕服務攻擊����,拖垮服務器,攻擊計算機或系統的薄弱環節���。在這種混合型病毒時代���,單一的依靠軟件安全防護已開始不能滿足客戶的需求��。
網絡安全不只是軟件廠商的事
今年上半年��,網絡安全軟件及服務廠商——趨勢科技與網絡業界領導廠商——思科系統公司在北京共同宣布簽署了為企業提供綜合性病毒和蠕蟲爆發防御解決方案的合作協議��。該協議進一步擴展了雙方此前針對思科網絡準入控制(NAC)計劃建立的合作關系���,并將實現思科網絡基礎設施及安全解決方案與趨勢科技防病毒技術�、漏洞評估和病毒爆發防御能力的結合����。
根據合作協議����,思科首先將在思科IOS路由器�����、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(IDS)軟件中添加趨勢科技的網絡蠕蟲和病毒識別碼技術�����。此舉將為用戶提供高級的網絡病毒智能識別功能和附加的實時威脅防御層,以抵御各種已知和未知的網絡蠕蟲的攻擊�。
“在抵御網絡蠕蟲、防止再感染����、漏洞和系統破壞的過程中��,用戶不斷遭受業務中斷的損失,這導致了對更成熟的威脅防御方案需求的增長��?����!壁厔菘萍紕撌既思媸紫瘓绦泄購埫髡u論說��,“傳統的方法已無法滿足雙方客戶的需求�����?�!?/p>
“現在的網絡安全已不是單一的軟件防護���,而是擴充到整個網絡的防治?����!彼伎迫蚋笨偛枚偶覟I在接受記者采訪時表示:“路由器和交換機應該是保護整個網絡安全的��,如果它不安全���,那它就不是路由器����。從PC集成上來看��,網絡設備應該能自我保護�,甚至實現對整個網絡安全的保護���?��!?/p>
業界專家指出�,防病毒與網絡基礎設施結合��,甚至融入到網絡基礎架構中�,這是網絡安全的發展潮流���,趨勢科技和思科此次合作引領了這一變革��,邁出了安全發展史上里程碑式的重要一步�����。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話�,我們不難發現這是雙方的一步好棋����,兩家公司都需要此次合作�����。
作為網絡領域的全球領導者�,思科一直致力于推動網絡安全的發展并獨具優勢。自防御網絡(Self-DefendingNetwork�,SDN)計劃是思科于今年3月推出的全新的安全計劃����,它能大大提高網絡發現、預防和對抗安全威脅的能力�����。思科網絡準入控制(NAC)計劃則是SDN計劃的重要組成部分,它和思科的其他安全技術一起構成了SDN的全部內涵�。
SDN是一個比較全面���、系統的計劃,但是它缺乏有效的病毒防護功能��。隨著網絡病毒的日見猖獗����,該計劃防毒功能的欠缺日益凸顯。趨勢科技領先的防毒安全解決方案正是思科安全體系所亟需的�����。
趨勢科技作為網絡安全軟件及服務廠商���,以卓越的前瞻和技術革新能力引領了從桌面防毒到網絡服務器和網關防毒的潮流。趨勢科技的主動防御的解決方案是防毒領域的一大創新����,其核心是企業安全防護戰略(EPS)。EPS一反過去被動地以防毒軟件守護的方式�,將主動預防和災后重建的兩大階段納入整個防衛計劃當中��,并將企業安全防護策略延伸至網絡的各個層次���。
“如果此次與思科合作的不是趨勢科技,我們恐怕連覺都睡不好��?!睆埫髡膽蜓詿o不透露出趨勢科技對此次合作的迫切性和重要性。
更讓張明正高興的是�����,通過此次合作,趨勢科技大大擴充了渠道�����?�!拔覀兊那乐丿B性很小�?!睆埫髡硎?���。而此次“1+1<2”的低成本產品集成將使這次合作發揮更大的空間���。
網絡安全路在何方���?
篇10
Abstract : The paper mainly discusses the network information security.
1.網絡安全的含義
1.1含義 網絡安全是指:為保護網絡免受侵害而采取的措施的總和���。當正確的采用網絡安全措施時�,能使網絡得到保護����,正常運行���。
它具有三方面內容:①保密性:指網絡能夠阻止未經授權的用戶讀取保密信息����。②完整性:包括資料的完整性和軟件的完整性��。資料的完整性指在未經許可的情況下確保資料不被刪除或修改。軟件的完整性是確保軟件程序不會被錯誤�、被懷有而已的用戶或病毒修改。③可用性:指網絡在遭受攻擊時可以確保合法擁護對系統的授權訪問正常進行。
1.2特征 網絡安全根據其本質的界定��,應具有以下基本特征:①機密性:是指信息不泄露給非授權的個人��、實體和過程���,或供其使用的特性。②完整性:是指信息未經授權不能被修改���、不被破壞、不入�����、不延遲����、不亂序和不丟失的特性。③可用性:是指授權的用戶能夠正常的按照順序使用的特征�,也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。
2.網絡安全現狀
網絡目前的發展已經與當初設計網絡的初衷大相徑庭��,安全問題已經擺在了非常重要的位置上����,安全問題如果不能解決��,會嚴重地影響到網絡的應用�。網絡信息具有很多不利于網絡安全的特性,例如網絡的互聯性�,共享性,開放性等�����,現在越來越多的惡性攻擊事件的發生說明目前網絡安全形勢嚴峻,不法分子的手段越來越先進�,系統的安全漏洞往往給他們可趁之機,因此網絡安全的防范措施要能夠應付不同的威脅�����,保障網絡信息的保密性、完整性和可用性�。
3.網絡安全解決方案
要解決網絡安全,首先要明確實現目標:①身份真實性:對通信實體身份的真實性進行識別�����。②信息機密性:保證機密信息不會泄露給非授權的人或實體��。③信息完整性:保證數據的一致性�����,防止非授權用戶或實體對數據進行任何破壞。④服務可用性:防止合法擁護對信息和資源的使用被不當的拒絕���。⑤不可否認性:建立有效的責任機智,防止實體否認其行為��。⑥系統可控性:能夠控制使用資源的人或實體的使用方式���。⑦系統易用性:在滿足安全要求的條件下,系統應該操作簡單��、維護方便���。⑧可審查性:對出現問題的網絡安全問題提供調查的依據和手段�。
4.如何保障網絡信息安全
網絡安全有安全的操作系統、應用系統�、防病毒�、防火墻、入侵檢測�����、網絡監控�����、信息審計�、通信加密���、災難恢復、安全掃描等多個安全組件組成�,一個單獨的組件是無法確保信息網絡的安全性。從實際操作的角度出發網絡安全應關注以下技術:
4.1防病毒技術����。病毒因網絡而猖獗�����,對計算機系統安全威脅也最大����,做好防護至關重要��。應采取全方位的企業防毒產品,實施層層設防�、集中控制、以防為主�、防殺結合的策略�����。
4.2防火墻技術���。通常是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合(包括硬件和軟件)。它是不同網絡或網絡安全域之間信息的唯一出入口���,能根據企業的安全政策控制(允許��、拒絕����、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力�����。它是提供信息安全服務�����,實現網絡和信息安全的基礎設施。防火墻是目前保護網絡免遭黑客襲擊的有效手段��,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊���,不能防止來自內部變節者和不經心的用戶們帶來的威脅����,也不能完全防止傳送已感染病毒的軟件或文件�,以及無法防范數據驅動型的攻擊�。
4.3入侵檢測技術����。入侵檢測幫助系統對付網絡攻擊����,擴展系統管理員的安全管理能力�,提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下對網絡進行監控���,從而提供對內部攻擊�����、外部攻擊和誤操作的實時保護�。具體的任務是監視���、分析用戶及系統活動�;系統構造和弱點審計;識別反映已進攻的活動規模并報警�����;異常行為模式的統計分析;評估重要系統和數據文件的完整性�����;操作系統的審計跟蹤管理���,并識別用戶違反安全策略的行為��。
4.4安全掃描技術���。這是又一類重要的網絡安全技術����。安全掃描技術與防火墻����、入侵檢測系統三者相互配合,對網絡安全的提高非常有效�。通過對系統以及網絡的掃描����,能夠對自身系統和網絡環境有一個整體的評價���,并得出網絡安全風險級別����,還能夠及時的發現系統內的安全漏洞,并自動修補����。如果說防火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施��,做到防患于未然�����。
4.5網絡安全緊急響應體系���。網絡安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生變化��。隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略�����,并及時組建網絡安全緊急響應體系��,專人負責��,防范安全突發事件。
4.6安全加密技術��。加密技術的出現為全球電子商務提供了保證�����,從而使基于Internet上的電子交易系統成為了可能���,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流���。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰�����。不對稱加密����,即加密密鑰不同于解密密鑰,加密密鑰公之于眾�����,誰都可以用���,解密密鑰只有解密人自己知道。⑦網絡主機的操作系統安全和物理安全措施�。防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平�����。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施��。按照級別從低到高����,分別是主機系統的物理安全、操作系統的內核安全�、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施��。這些構成整個網絡系統的第二道安全防線����,主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線����,用來遭受攻擊之后進行系統恢復。在防火墻和主機安全措施之后����,是全局性的由系統安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施�����。它從網絡系統中的防火墻��、網絡主機甚至直接從網絡鏈路層上提取網絡狀態信息��,作為輸人提供給入侵檢測子系統���。入侵檢測子系統根據一定的規則判斷是否有入侵事件發生��,如果有入侵發生�,則啟動應急處理措施�����,并產生警告信息����。而且�����,系統的安全審計還可以作為以后對攻擊行為和后果進行處理����、對系統安全策略進行改進的信息來源���。
篇11
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網絡安全概述
1.1 網絡病毒
(1)計算機感染病毒的途徑:校園內部網感染和校園外部網感染�����。
(2)病毒入侵渠道:來自Internet 或外網的病毒入侵�����、網絡郵件/群件系統、文件服務器和最終用戶���。主要的病毒入口是Internet,主要的傳染方式是群件系統�����。
(3)計算機病毒發展趨勢:病毒與黑客程序相結合��,病毒破壞性更大��,制作病毒的方法更簡單���,病毒傳播速度更快��,傳播渠道更多,病毒的實時檢測更困難�����。
(4)切斷病毒源的途徑:要防止計算機病毒在網絡上傳播、擴散��,需要從Internet�����、郵件����、文件服務器和用戶終端四個方面來切斷病毒源�����。
1.2 網絡攻擊
(1)校園網與Internet 相連�����,面臨著遭遇攻擊的風險�����。
(2)校園網內部用戶對網絡的結構和應用模式都比較了解��,存在的安全隱患更大一些。
(3)目前使用的操作系統存在安全漏洞��,對網絡安全構成了威脅��。
(4)存在“重技術����、輕安全、輕管理”的傾向����。
(5)服務器與系統一般都沒有經過細密的安全配置�。
2 校園網絡安全分析
2.1 物理安全分析
網絡的物理安全風險主要有環境事故(如地震�、水災����、火災、雷電等)�、電源故障、人為操作失誤或錯誤���、設備被盜或被毀��、電磁干擾��、線路截獲等��。
2.2 網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡系統的安全性����。從結構上講�,校園網可以分成核心、匯聚和接入三個層次����;從網絡類型上講,可以劃分為教學子網�����、辦公子網��、宿舍子網等。其特點是接入方式多�,包括撥號上網、寬帶接入���、無線上網等各種形式��,接入的用戶類型也非常復雜�����。
2.3 系統的安全分析
系統安全是指整個網絡的操作系統和網絡硬件平臺是否可靠且值得信賴�,其層次分為鏈路安全、網絡安全���、信息安全����。目前�,沒有完全安全的操作系統�。
2.4 應用系統的安全分析
應用系統的安全是動態的���、不斷變化的,涉及到信息����、數據的安全性���。
2.5 管理的安全風險分析
安全管理制度不健全、責權不明確及缺乏可操作性等����,都可能引起管理安全的風險。
3 校園網絡安全解決方案
3.1 校園內部網絡安全方案
3.1.1 內網病毒防范
在網絡的匯聚三層交換機上實施不同的病毒安全策略���。網絡通過在交換機上設置相應的病毒策略,配合網絡的認證客戶端軟件�����,能偵測到具體的計算機上是否有病毒���。
3.1.2 單機病毒防范
教師機安裝NT 內核的操作系統�����,使用NTFS 格式的分區�����;服務器可以使用Windows Server甚至UNIX或類UNIX系統���。學生機安裝硬盤還原卡�����、保護卡或者還原精靈�,充分利用NTFS分區的“安全”特性,設置好各個分區�����、目錄����、文件的訪問權限。安裝簡單的包過濾防火墻����。
3.1.3 內部網絡安全監控
采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機�����,能把網絡訪問安全控制前移到用戶的接入點�����。利用三層交換機的網絡監控軟件��,對網絡進行即時監控�����。
3.1.4 防毒郵件網關系統
校園網網關病毒防火墻安裝在Internet 服務器或網關上�,在電腦病毒通過Internet 入侵校園內部網絡的第一個入口處設置一道防毒屏障��,使得電腦病毒在進入網絡之前即被阻截�����。
3.1.5 文件服務器的病毒防護
服務器上安裝防病毒系統�,可以提供系統的實時病毒防護功能��、實時病毒監控功能�、遠程安裝和遠程調用功能����、病毒碼自動更新功能以及病毒活動日志�、多種報警通知方式等���。
3.1.6 中央控制管理中心防病毒系統
建立中央控制管理中心系統���,能有效地將跨平臺、跨路由��、跨產品的所有防毒產品的管理綜合起來�,使管理人員能在單點實現對全網的管理。
3.2 校園外部網絡安全方案
3.2.1 校園網分層次的拓撲防護措施
層次一是中心級網絡�,主要實現內外網隔離���、內外網用戶的訪問控制、內部網的監控�����、內部網傳輸數據的備份與稽查�����;層次二是部門級�,主要實現內部網與外部網用戶的訪問控制、同級部門間的訪問控制����、部門網內部的安全審計;層次三是終端/個人用戶級�,主要實現部門網內部主機的訪問控制、數據庫及終端信息資源的安全保護���。
3.2.2 校園網安全防護要點
(1)防火墻技術。目前���,防火墻分為三類��,包過濾型防火墻��、應用型防火墻和復合型防火墻(由包過濾與應用型防火墻結合而成)����。利用防火墻����,可以實現內部網與外部網絡之間或是內部網不同網絡安全域的隔離與訪問控制,保證網絡系統及網絡服務的可用性�。
(2)防火墻設置原則。一是根據校園網安全策略和安全目標�����,遵從“不被允許的服務就是被禁止”的原則�����;二是過濾掉以內部網絡地址進入路由器的IP包和以非法IP地址離開內部網絡的IP包���;三是在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用����;四是定期查看防火墻訪問日志,及時發現攻擊行為和不良的上網記錄����;五是允許通過配置網卡對防火墻進行設置,提高防火墻管理的安全性����。
(3)校園網部署防火墻����。系統中使用防火墻�,在內部網絡和外界Internet之間隔離出一個受屏蔽的子網����,其中WWW��、E-mail���、FTP、DNS 服務器連接在防火墻的DMZ區�,對內、外網進行隔離��。內網口連接校園網內網交換機����,外網口通過路由器與Internet 連接。
(4)入侵檢測系統的部署����。入侵檢測系統集入侵檢測�、網絡管理和網絡監視功能于一身�����,可以彌補防火墻相對靜態防御的不足���。根據校園網絡的特點�,將入侵檢測引擎接入中心交換機上����,對來自外部網和校園網內部的各種行為進行實時檢測。
(5)漏洞掃描系統���。采用先進的漏洞掃描系統定期對工作站�、服務器����、交換機等進行安全檢查����,并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告�����。
3.2.3 校園網防護體系
構造校園網“包過濾防火墻+NAT+計費++VPN+網絡安全檢測+監控”防護體系���,具體解決的問題是:內外網絡邊界安全�����,防止外部攻擊,保護內部網絡���;隔離內部不同網段�,建立VLAN����;根據IP地址、協議類型���、端口進行過濾��;內外網絡采用兩套IP地址�����,需要網絡地址轉換NAT功能�����;通過IP地址與MAC地址對應防止IP欺騙�;基于用戶和IP地址計費和流量統計與控制�����;提供應用服務����,隔離內外網絡����;用戶身份鑒別、權限控制�;支持透明接入和VPN 及其管理;網絡監控與入侵檢測�����。
4 校園網絡運營安全
4.1 認證的方式
網絡運營是對網絡用戶的管理,通過“認證的方式”使用網絡�����。方式如下:
(1)802.1x的基本思想是端口的控制�����。一般是在二層交換機上實現����,需要接入的所有交換機都支持802.1x協議��,實現整網的認證�。
(2)基于流的認證方式�����。指交換機可以用基于用戶設備的MAC地址��、VLAN�、IP等實現認證和控制,能解決傳統802.1x無法解決但對于運營是十分重要的一些問題�,如假、假冒IP和MAC��、假冒DHCP SERVER����。
4.2 管理
利用客戶端機器上安裝服務器軟件實現多人共用一個賬號上網的現象非常普遍,給學校的運營帶來很大的損失��。使用三層交換機上的802.1x擴展功能和802.1x客戶端�����,防止非認證的用戶借助軟件從已認證的端口使用服務或訪問網絡資源����,做到學校提供一個網絡端口只能一個用戶上網���。
4.3 賬戶管理
學生是好奇心強的群體�,假冒DHCP SERVER和IP���、MAC給學校的運營管理帶來很大的麻煩���。通過匯聚三層交換機和客戶端軟件配合,發現有假冒的DHCP SERVER,立即封掉該賬戶��。
5 校園網絡的訪問控制策略
5.1 建立并嚴格執行規章制度
規章制度作為一項核心內容���,應始終貫穿于系統的安全生命周期。
5.2 身份驗證
對用戶訪問網絡資源的權限進行嚴格的認證和控制����。
5.3 病毒防護
主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒�、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染����、清除系統中已發現的病毒和調查病毒來源�。
6 校園網絡安全監測
校園網絡安全監測可采用以下系統或措施:入侵檢測系統;Web�、E-mail���、BBS的安全監測系統���;漏洞掃描系統;網絡監聽系統;在路由器上捆綁IP和MAC地址��。這些系統或措施在不影響網絡性能的情況下能對網絡進行檢測�,從而提供對內部攻擊��、外部攻擊和誤操作的實時保護���。
7 校園網絡系統配置安全
7.1 設置禁用
禁用Guest賬號�;為Administrator設置一個安全的密碼��;將各驅動器的共享設為不共享�;關閉不需要的服務,運用掃描程序堵住安全漏洞��,封鎖端口�。
7.2 設置IIS
通過設置,彌補校園網服務器的IIS 漏洞���。
7.3 運用VLAN 技術來加強內部網絡管理VLAN 技術的核心是網絡分段�,網絡分段可分為物理分段和邏輯分段兩種方式����。在實際應用過程中,通常采用二者相結合的方法�����。
7.4 遵循“最小授權”原則
指網絡中的賬號設置�����、服務配置���、主機間信任關系配置等都應為網絡正常運行所需的最小限度,這可以將系統的危險性大大降低����。
7.5 采用“信息加密”技術
包括算法、協議�、管理在內的龐大體系。加密算法是基礎���,密碼協議是關鍵�,密鑰管理是保障���。
8 校園網絡安全管理措施
安全措施主要包括:行政法律手段�����、各種管理制度(人員審查��、工作流程����、維護保障制度等)以及專業措施(識別技術���、存取控制、密碼��、低輻射�����、容錯�、防病毒、采用高安全產品等)����。
9 結束語
校園網安全是一個動態的發展過程,應該是檢測��、監視��、安全響應的循環過程�����。確定安全技術���、安全策略和安全管理只是一個良好的開端����,只能解決60%~90%的安全問題��,其余的安全問題仍有待解決��。這些問題包括信息系統高智能主動性威脅���、后續安全策略與響應的弱化、系統的配置錯誤��、對安全風險的感知程度低���、動態變化的應用環境充滿弱點等����,這些都是對信息系統安全的挑戰�����。
參考文獻:
[1]孫念龍.后門防范技巧[J].網管員世界,2005(6).
[2]段新海.校園網安全問題分析與對策[J].中國教育網絡,2005(3).
