时间:2022-06-19 14:37:30
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络安全方案,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
中图分类号:TP3 文献标识码:A
我国关于网络方面的基础设施建设已经初步成型,而网上进行的各种业务也越来越多,保证网络环境的安全,正常应用网络已成为各企业正常开展业务基础工作。各企业只有建立起安全的网络安全方案就要了解计算机用户安全环境、现状与威胁,才能按照用户需求,进行网络安全方案的设计。网络安全问题十分复杂,包括加密、防火墙及防病毒等网络安全方案。
1网络用户的安全需求
1.1网络环境
网络环境包括计算机系统内部与行业间互联网。
1.2网络安全现状
(1)计算机系统在企业内部通信、行业间通信,都缺少安全防护的措施,仅有部分单位对路由器设计了 过滤防火墙。
(2)计算机操作系统一般为UNIX和Windows NT,而桌面的操作系统都是Windows XP或者Win7,都没有设置安全保护的措施。
(3)计算机系统访问的控制能力不强,只能对现有操作、数据库、电子邮件及应用方面的系统进行简单的利用。
(4)计算机的应用环境没有防病毒的能力,尤其在病毒数据库更新上滞后。
(5)对病毒的内部或者外部的攻击,没有基本监控和保护的手段。
1.3网络安全的威胁
对计算机网络的系统结构进行分析,可以发现,计算机网络安全的威胁主要有以下几个方面:
(1)UNIX和WindowsNT等类别的操作系统有网络安全上的漏洞。
(2)企业内部网的用户带来的安全威胁。
(3)企业外部的用户带来的安全威胁。
(4)应用了TCP/IP协议软件,不具备安全性。
(5)缺少对应用服务的访问控制,就要解决网络中的安全隐患,才能保障网络和信息安全。
2网络方案的设计思想和原则
2.1网络方案的设计思想
网络安全是十分复杂的问题,一定要考虑到安全的层次和技术的难度,充分考虑费用的支出,所以,进行方案的设计时一定要遵循一定的设计思想,主要有几下几点:
(1)提高计算机系统安全性与保密性。
(2)保证网络性能特点,也就是保证网络协议与传输的透明性。
(3)网络安全设计要易操作,易维护,要易于开展自动化的管理,不能过多过少增加一些附加的操作。
(4)在不影响网络的拓扑结构时,扩展计算机系统的结构和功能。
(5)设计要做到一次投资,长期使用。
2.2网络方案的设计原则
(1)遵循需求、风险和代价平衡原则,对网络进行研究,对风险进行承担,经过分析和研究,制定规范与措施。
(2)遵循综合与整体的原则,将网络安全模块与设备引进系统的运行与管理中,提高系统安全性和各部分间逻辑的关联性,保证协调一致运行。
(3)遵循可用性和无缝接入的原则。所有安全措施都要靠人来完成,如果设计太复杂,就会对人有过高要求。安全设备在安装和运行中,不能改变网络拓扑的结构,要保持对网络内用户的透明性。
(4)遵循设备先进和成熟,可管理和扩展。在安全设备选择上,要先考虑到先进性,研究成熟性,选择技术与性能优越的设备,可靠和适用的设备。保持网络安全设备的统一管理和控制,实现网上对设备运行的监控。
3计算机网络安全方案
根据以上设备思想和原则,进行计算机网络安全方案的研究,方案使用的技术和设备、措施主要有以下几点:
3.1 VLAN的技术
要保证企业局域网安全,就要选择VLAN能力交换机的设备,通过用户群组与系统资源完成访问权限的划分。可以控制各VLAN间信息的流向,方便各群组对相关信息的访问。
3.2加密的技术
可以使用公共网进行数据的传输。广域网进行信息传输很容易被黑客截取与利用,所以,要保证信息传输安全,就要在内联网系统中使用链路加密机,进行传输信息的加密处理,对运行在互联网上关键的业务也要进行加密的算法进行数据加密。
3.3防火墙
从网络系统安全考虑,可以在内联网和同行业进行网络互联,在网上布置防火墙,而防火墙的网络入口点也要检查好网络通讯情况,对非法入侵要屏蔽处理。
3.4对入侵的检测系统
通过防火墙技术,对内外网进行网络保护,减少网络的安全风险。可是,入侵会寻找防火墙的后门。近年来,推出了入侵的检测系统,这是一种新型的网络安全技术,可以实时进行入侵的检测,应用防护的手段,对待入侵,可以快速断开网络的连接。
3.5安全扫描系统
安全扫描系统在阶段已经是最先进的安全系统,可以测试与评价系统是否安全,及时发现安全漏洞。可以扫描设定网络服务器和路由器等,设定模拟的攻击,测试系统防御的能力。
3.6提高操作系统安全性
操作系统会存在安全漏洞,越是流行操作系统就存在越多的问题,可以进行安全增强与合理配置,具体增强与配置的内容有以下几点:
(1)可以跟踪系统的应用动态,增加安全补丁。
(2)可以检查系统的设置,对数据存放的方式和访问的控制及口令的选择都要及时更新。
(3)可以把系统安全级别设置到最高级。
关键词:NGN;网络;安全
中图分类号:TN915.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Analysis of NGN Network Security Solutions
Xu Wentian
(China Tietong,Guangxi Branch,Nanning 530003,China)
Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.
Keywords:NGN;Network;Security
一、引言
正如Internet一样,NGN网络所依托的数据网的开放性和公用性,不可避免地会受到黑客或病毒程序的攻击或干扰,因此NGN也面临着安全问题,如用户仿冒、盗打、破坏服务、抢占资源等。为此NGN网络必须从接入层保证用户的隔离、可管理等基本措施,防范常见的攻击手段,如地址仿冒、抢占资源。
二、NGN网络安全方案概述
NGN网络是一个可运营、可管理的网络,必然需要解决网络安全问题才可以保证网络的可靠运营。要解决网络的安全问题,最好先考察一下目前存在网络安全问题的根源,从消除这些完全问题的根源入手来达到彻底解决安全问题的目的。从目前的Internet网络安全的分析,我们知道Internet是一个不安全的网络,Internet的自由开放是造成Internet安全问题的重要因素。因此要保证所构建的NGN是安全的,就必须改变这种自由、开放的管理模式加强对用户接入的管理。通过对现有网络安全的研究,我们也可以发现在网络接入方面的自由开放是造成网络安全隐患的重要根源,同样是分组技术,Internet网络就存在重大的安全隐患,而X.25等网络就能够提供比较高的安全性,因此有必要在NGN接入层对用户接入和业务使用进行严格的控制,用户必须经过严格的鉴权和认证才可以接入NGN网络,用户的业务使用也必须经过严格的鉴权和认证,网络可以根据用户的业务权限控制用户的接入带宽。当NGN网络的接入用户受控之后,在用户侧就可以基本消除安全的隐患,这时NGN网络可能存在的安全隐患主要来自NGN网络内部,一方面在运营商内部发生网络安全问题的可能性比较小,另一方面这时可以通过实施通用网络安全技术,如在网络设备前置防火墙、攻击检测等防护设备,对网络设备访问权限进行控制和做好操作安全日志等手段解决可能发生的安全隐患。
(一)对NGN用户接入和业务接入的控制
因为NGN网络用户是NGN网络安全隐患的重要源头,在NGN接入网络侧对NGN用户接入和业务接入实施严格的控制是保证NGN网络安全的重要一环。在NGN接入网主要采用用户身份验证、业务鉴权和访问控制等手段来实现对用户接入和业务接入的控制。
对用户接入和业务接入的控制主要涉及到NGN网络系统中的三类网络实体:宽带接入服务器和宽带接入路由器作为用户访问NGN的PoP点,负责对用户进行接入认证、访问控制、接入带宽控制和业务报文的过滤,是NGN实施对用户接入控制的关口点;软交换和应用服务器和网关等是NGN网络业务提供设备,他们负责向用户进行业务权限鉴权和提供各种业务;策略服务器负责用户的安全、QoS与业务方面的策略控制,它还是业务层面与承载层面的桥梁,把来自业务层面的控制策略下发到承载层接入PoP点,如宽带接入服务器来实施策略控制。
1.用户身份验证。对用户身份进行认证的目的,一方面是避免非法用户访问NGN网络,另一方面是确认用户的身份,对用户的访问进行日志记录,即使出现网络安全问题也可以进行事后的审计和追踪,使网络破坏者无处可逃。
2.业务鉴权。用户接入NGN网络之后在使用业务之前必须经过业务认证,这样可以保证NGN上提供的业务不会被非法使用,运营商也可以根据用户使用的具体业务分别进行计费和为用户设定不同的访问权限和带宽需求。
3.访问控制。宽带接入服务器和宽带路由器是NGN接入的POP点,这个点是实施QoS与安全策略控制的关口,在这个关口上完成对用户的带宽限定、ACL访问权限设置、业务流量的报文过滤等功能。访问控制的实现采用动态QoS与安全策略控制技术,动态地根据用户当前的业务权限进行相应的QoS与安全控制,避免了用户对NGN网络的非法访问。
(二)构建与其它网络隔离的虚拟NGN业务网
1.城域网。对于建立IP城域网的运营商,可以通过FTTB+LAN、ADSL、专线(DDN)、HFC来接入用户的多种业务(语音、视频、数据),可以采用物理或逻辑接口(VLAN/PVC/DLCI)来隔离NGN业务和原有的数据业务,由城域网骨干/汇聚层将接入层不同的业务通过PE映射到骨干层中的MPLS VPN中或者通过策略路由器将不同的业务分流到对应业务网的路由器。
2.NGN用户接入网。NGN用户可以通过多种不同的接入方式接入到NGN网络,如通过AMG利用双绞线接入NGN,智能终端和IAD可以通过以太网、ADSL、HFC、专线等方式接入NGN。在NGN用户接入网络侧可以根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术把NGN业务与其它业务在接入网侧进行隔离。
(三)NGN网络内部的安全措施
通过对NGN虚拟业务网的隔离以及接入层对用户接入和业务使用的控制,可以基本消除来自其它网络和NGN用户方面的安全隐患,这时的安全隐患主要在NGN网络内部,虽然NGN网络内部属于运营商内部网络相对来说发生安全问题的可能性比较小,但还是有必要采取安全手段来保证NGN内部网络的安全。
软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备,因此要求软交换、网关、服务器等核心网络设备应具备数据网中主机设备所具有的安全规格,可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。
网络系统严格遵循层次化、模块化、扁平化的设计思想,整体采用核心、接入的二层交换架构,支持IPv6,大大提高网络通讯的效率和整体网络的数据交换性能。网络主体分为4个部分,分别为:(1)网络核心部分:高速数据交换、高可靠、灵活网络互连能力,数据交换无瓶颈。(2)网络内网接入部分:提供用户快速的网络访问能力。(3)服务器部分:为服务器提供高速连接、快速访问、负载均衡等高级应用能力。(4)外网区域部分:提供高速的、安全的外网(intnet)接入能力,为外网提供网络服务。(5)网络安全部分:提供全方位网络安全,保证网络的安全性。(6)网络管理部分:通过方便化、直观化、统一化的网络设备管理方式。
2.网络防火墙系统设计方案
网络安全是按照网络协议(TCP/IP协议)的2-7层来进行划分的,要想保证网络的安全,就一定保证网络协议的2至7层每一层的安全。而防火墙负责的是网络协议2至4层的网络安全。以下为防火墙可以实现的功能:第一,网络隔离。将网络分割为不同的网络区域,进而控制不同区域之间的数据交流,作用于网络协议的2-4层,把可能出现的安全风险分别局限于相对独立的网络区域内,使风险不至于大规模扩散。第二,网络协议2至4层防范攻击的能力。TCP/IP协议本身存在弊端,没有考虑到足够的安全特性,因此,给网络用户带来了诸如IP地址窃取、IP地址假冒等非常大的安全隐患,而防火墙可以弥补TCP/IP协议本身的漏洞,能够有效地检测和防范对2至4层的攻击行为。第三,流量管理。首先为了保证关键用户和关键应用的网络带宽,防火墙可以提供灵活的流量管理能力,同时要保证数据传输的质量。另外,还可以对4至7层的常见网络协议提供某些控制和过滤的能力,例如,可以支持EMAIL的过滤能力。第四,用户管理。学校档案系统内部用户接入外网Internet,在不影响正常业务需要的情况下,控制用户对外网的应用行为。例如,控制上网时间,不可访问网站,禁用一些软件的网络端口等等。
3.网络入侵防御系统设计方案
防火墙只针对网络安全2至4层,难以防御对网络协议4至7层的网络威胁,不可能识别出伪装成正常业务的蠕虫、攻击、间谍软件等的非法数据流,缺乏对经过自身的数据流进行全面、深度监测的能力。入侵防御系统(IPS)就是专门针对网络协议的4至7层对数据流进行分析并实时采用防御措施的系统,与防火墙进行安全层次的互补,丰富了网络传输过程中的安全层次,对于在阻止蠕虫病毒的传播、黑客攻击等方面起到重要的作用。在网络中部署防火墙+IPS,可使网络更加安全、健壮,更好地抵御来自外部网络的威胁。
4.外网主网络设计
为了保证档案系统网络数据安全,需要通过网闸使内网、外网进行“网络隔离”,并进行安全的数据交换。档案数字化管理系统内网数据区含有大量的敏感数据及数据,互联网用户及高校外网用户访问内网数据区数据,对数据区形成了严重的威胁,通过部署网闸,在保证内网数据区数据安全的前提下实现业务的正常访问,并使内网数据免遭窃取与破坏。本文来自于《辽宁医学院学报(社会科学版)》杂志。辽宁医学院学报(社会科学版)杂志简介详见
5.系统数据的安全管理
关键词:计算机;网络;安全措施
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、计算机网络安全的定义
计算机网络安全指的是网络系统中的硬件与软件及其数据受到保护,而不会出现数据与信息的泄露、破坏或更改。简单来讲,计算机网络安全就是信息安全。信息安全包括信息的可靠性、保密性、真实性、完整性以及可用性。
互联网自从20世纪60年代开始运用后,计算机网络开始迅速发展起来。随着网络上信息量的增长,网络信息安全问题也频繁出现。这些问题不仅危害着个人的生活,甚至会影响到公司的运营进程。所以维护计算机网络安全至关重要。
二、计算机网络安全现状
第一,网络安全问题的出现与计算机操作者本身是密不可分的。虽然目前很多计算机安全工具的出现预防了一些安全问题的发生。但是网络安全问题的最终结果在很大程度上取决于计算机的操作者。如果操作者运用了不正当的手段进行网络操作,或者进入了不健康网站浏览了不健康内容,就会导致个人信息的泄露,产生和增加网络不安全因素。第二,网络程序的设计往往会有漏洞,没有一个没有漏洞的程序。所以网络黑客就会抓住机会,利用程序中出现的漏洞,对其他正常程序进行攻击。最重要的是这种黑客采用的程序漏洞一般都不留痕迹,无法查证安全威胁发生的原因。第三,网络安全工具的更新速度远远跟不上黑客攻击正常程序的手段的发明和使用。通常只有在人为的参与下,才能发现和检测出病毒的存在。在没有检查和检测的前提下,这种病毒就不会被察觉出来,隐藏于电脑的程序中。但是往往一些病毒在发现之时就已经出现了计算机网络安全问题。在这段计算机的“迟钝期”内,黑客就很容易有机可乘,进而能够使用最先进的、最新的手段对正常的程序进行攻击。第四,防火墙功能的局限性也会导致网络安全威胁的出现。因为防火墙可以通过限制外部的网络对内部网络的访问,隐蔽内部结构,从而达到保护网络内部结构的目的。但是防火墙却无法阻止计算机网络内部之间的攻击和破坏。而且防火墙很难预防那些从网络系统的后门进入的病毒。技术上的缺陷,使得网络安全问题不断出现新的、更高级的安全、隐患问题。
三、计算机网络安全保障方案的制定与实施
(一)从国家和政府的角度去制定相关的政策法规,用法律的强制力去保证计算机网络的安全。加大对网络安全危害行为的惩罚力度,制定相应的具体的处罚措施。严厉惩治危害网络安全,盗取别人信息的违法行为,减少网络安全危害行为的发生。发挥政府的监督作用和强制作用,将维护计算机网络安全提上日常日程。建立和完善相关的法律法规之后就对网络安全危害行为造成一定的威慑力,将危害网络安全的行为扼杀在摇篮中。(二)加大网络安全危害行为的宣传力度,增强每个网民的网络安全意识。通过报纸、电视、网络以及广报等各种形式的宣传,让广大网民意识到网络安全问题的重要性。同时学习安全上网和文明上网,保证网络信息的安全。加强网络安全维护意识,有利于保护网民的隐私。当网络信息安全意识深入到每个网民的内心,维护网络安全的行为就会在潜意识里面发生。每个人都加强了安全防范意识,同时进行文明上网、健康上网。(三)从计算机的操作技术上进行防范网络安全威胁的发生。对计算机的系统软件、应用软件以及硬件进行及时的更新和升级,增强系统对病毒的抵抗力。计算机用户要进行正确的开机、关机以及上网行为,注意保护电脑上的软件以及硬件设施。(四)提高防火墙技术、网络防病毒技术、加密技术和入侵检测技术,加强访问控制,将病毒拒绝于门外。不断进行专业的研究和分析,更新和升级各项技术,减少病毒的入侵几率。定期运用这些技术队电脑进行扫描和检测,对个人电脑设置加密技术,只有制定的用户和指导密码的用户才可以进行解密进入计算机网络系统。(五)要注意IP地址的正确使用,避免被黑客钻漏洞。
四、结语
在网络安全问题日益得到重视的今天,网络安全技术随着国家以及专业人士的重视也得到了快速的发展和进步。但是,由于我国的信息安全产品制作方面缺少核心技术,真正能够解决深层次的网络安全问题的技术却很少。所以,国家首先要重视发展网络信息安全产业,在政策上给予支持。最重要的还是每位网民,因为接触计算机、运用各种软件以及系统的人的上网行为往往是病毒的准入证。只要每个网民都进行健康上网、文明上网,网络安全就能实现。
参考文献:
[1]彭秀芬,徐宁.计算机网络信息系统安全防护分析[J].网络安全技术与应用,2006,12
[2]简明.计算机网络信息安全及其防护策略的研究[J].科技资讯,2006,28
北京科能腾达信息技术股份有限公司(以下简称科能腾达)是一家成立于2000年的网络安全公司,一直致立于网络安全行业的技术研究与市场扩展,成立15年来稳步发展,产品应用范围已经涉及能源、电力、银行、证券、民航、互联网、连销经营诸多行业和知名大型企业,目前已经和多家行业机构,科研机构保持密切联系与深入合作,从起初的销售型企业逐步发展为创新型技术研发+市场经营销售和综合性安全服务商,2012年企业获得资本市场许可,成功登陆新三板(简称:科能腾达 代码:430148),2014年企业又完成了新一轮融资,总股本增至2000万,市值近3亿元,发展势头迅猛。
在2015年第十六届中国信息安全大会上,北京科能腾达信息技术股份有限公司荣誉产品CNGate-USG 综合安全网关获得了与会人员的高度认可。这款设备的市场定位主要在于解决中小企业网络安全,其特点为,应用范围广泛,功能全面,操作简易,CNGate-USG集成了防火墙、IPSec 和 SSL VPN、入侵防御、防病毒、防恶意软件、防垃圾邮件、 P2P 安全及 Web 安全过滤,可识别多种安全威胁,同时,它的高密度接口也使得它可以做为企业内网安全交换机使用,方便对内网资源集中安全管控,堪称在中小型企业和分支办公室环境下极为完美的网络安全解决方案。
本次中国信息安全大会上,北京科能腾达信息技术股份有限公司旗下产品CNGate-USG 综合安全网关一举获得了“2015年度中国信息安全优秀产品”殊荣,科能腾达获得了“2015年度中国信息安全极具影响力企业”。安全实用的产品,良好的企业信誉让这家历经十五年的企业再次赢得了市场和同行业人员的一致好评。
CNGate-USG 综合安全网关的明显优势在于,这款产品的市场设计定位和高度聚合化的功能;综观现在纷繁复杂的安全市场,大多数安全产品的设计还处于一种很专业化、定向化的氛围中,即一个产品解决一个专业定向的问题,企业出了这种问题,就找这种设备去防护、检测等,企业是在一种相对被动的防护环境做出的选择,而且随着问题的越来越多越来越复杂,企业要去做的防护也会相应的多起来,随之而来的就是企业网络拓扑越来越复杂,可维护性降低与维护成本不断提高,对于所有应用网络的企业来说,这或许企业发展壮大中的一个不可避免的问题。
但对于中小企业来说,面对如频繁复杂的网络局面,又要做到保证足够的信息安全防护级别,那将是一件很麻烦的事,复杂的网络部署,加之不断增长的安全设备成本与维护成本,愈发让这些中小企业感到无奈,因为时下的企业管理者大都认为,用户已不同以前像个单点,而是遍布网络各处,企业信息安全问题早已经深入到了企业日常管理中,越来越普遍的安全威胁已经涉及他们迫切需要一个即能通盘解决时下主流信息安全威胁的设备,又能在维护上做到尽可能的简单易用,不致辞于投入过多的安全维护成本。科能腾达正是看到了众多企业问题,应合市场需求,设计了这款 CNGate-USG 综合安全网关,为这些中小企业打造了功能集中方便管理维护的网络安全设备,可以满足中小企业对安全的基本应用,在有限的企业网络中,为企业日后网络发展预留了相当大的网络扩展空间,称得上是一款市场所需、企业所想、投入产出比较高的安全产品。
关键词 网络威胁;网络防御;网络安全;防火墙
中图分类号TP393 文献标识码A 文章编号 1674-6708(2010)31-0211-01
1 企业内部网络安全面临的主要威胁
一般来说,计算机网络系统的安全威胁主要来自以下几个方面:
1)计算机病毒的侵袭。计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪;
2)黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据等;
3)拒绝服务攻击。例如“邮件炸弹”,使用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪;
4)通用网关接口(CGI)漏洞。搜索引擎是通过CGI脚本执行的方式实现的,黑客可以修改这些CGI脚本以执行他们的非法任务;
5)恶意代码。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹等。
2 企业网络安全目标
1)建立一套完整可行的网络安全与管理策略,将内部网络、公开服务器网络和外网进行有效隔离;2)建立网站各主机和服务器的安全保护措施,保证系统安全;3)对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;4)加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;5)加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志备份与灾难恢复;6)提高系统全体人员的网络安全意识和防范技术。
3 安全方案设计原则
对企业局域网网络安全方案设计、规划时,应遵循以下原则:
1)综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2)需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定必要。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略,是比较经济的方法。
3)一致性原则:网络安全问题贯穿整个网络的生命周期,因此制定的安全体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,要有效得多。
4)易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5)分步实施原则:由于网络规模的扩展及应用的增加。一劳永逸地解决网络安全问题是不现实的,费用支出也较大。因此可以分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
6)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。因此需要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息安全。
4 主要防范措施
1)依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制和安全制度,加强网络安全教育和培训。
2)网络病毒的防范。作为企业应用网络,同时需要基于服务器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病毒软件。所以最好使用全方位的防病毒产品,通过全方位、多层次的防病毒系统的配置,使网络免受病毒的侵袭。
3)配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制。利用防火墙执行一种访问控制尺度,将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,同时防止Internet上的不安全因素蔓延到局域网内部。
4)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略行为。利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。最好采用混合入侵检测,同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防御体系。
5)漏洞扫描系统。解决网络安全问题,要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
7)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
关键词:网络安全威胁;安全需求;防火墙;IDS;网络安全
中图分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
[2]杜宇峰.网络安全与防护[J].电脑知识与技术.2007(18).
关键词:网络安全;风险评估;方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。1.3风险评估指标在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.