時間:2023-09-12 17:11:08
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全終端管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】計算機網絡安全;CPK終端軟件;安裝CPK終端軟件認證;CPK終端系統需求
為使互聯網行業能夠穩步快速、安全發展,國家相繼起草并實行了一系列互聯網安全管理草案,確保計算機用戶可以安全放心地使用網絡。要想互聯網行業長久不衰、堅持走科學發展的長遠道路,那么互聯網行業除了安全綜合政治管理以外,還要進行內外兼治,這樣就不得不以科學的發展眼光引進CPK網絡終端軟件管理系統。它建立了交易信任和數據安全基礎,然而CPK終端軟件的核心是建立合理的管理機制,有效數據管理扼殺了木馬病毒入侵計算機網絡的搖籃之夢。
一、CPK終端軟件管理系統的描述與分析
1.CPK終端軟件管理系統
在網絡廣泛運行的今天,家庭及企事業單位等大型辦公場所局域網可以隨意自主安裝,隨意使用盜版軟件、黑客軟件及與工作業務無關的聊天、游戲等不良娛樂軟件,這些網絡終端軟件的濫用威脅著系統的安全,影響網絡的運行性能及速度,嚴重的影響整個網絡的發展進程。所以合理化地管理網絡管理終端軟件已經迫在眉睫。CPK終端軟件管理系統能夠及時的攔截病毒的攻擊。CPK終端軟件管理系于1999年由南湘浩教授提案,2003年在《網絡安全技術概論》中公布了基于橢圓形曲線ECC構造了基于標識的組合公鑰。此密鑰是離散對數難題型的基于標識的密鑰生成與管理體制。依據對數據原理構建公開密鑰與私有密鑰的矩陣,采用雜湊函數與密碼變換將實體的標識映射為矩陣的行作坐標與數列坐標序列中,用來對矩陣元素進行選取與組合,生成數量非常大的由公開密鑰與私有密鑰組成的公鑰、私鑰對,以此來實現基于標識的超達規模的密鑰生成與分發。CPK密鑰管理從體制上是依據數學原理離散對數問題的構建,也可以用橢圓形離散對數問題進行構建。
2.CPK終端軟件管理系統的認證
網絡安全問題伴隨著互聯網的成長逐步成為我們生活中不可避免的困擾。所以認證技術直接的建立安全可靠的基礎設施平臺,在網絡交易事物的鑒別性證明和負責性證明提供了可信性的證明。從而為電子商務的有序發展提供了良好的環境。CPK身份認證無疑就是通過各種認證技術對用戶的身份進行鑒別,是我們網絡安全管理的重要基礎,集防了互聯網數據不被盜取與侵犯。合理的簽名機制是核心問題,同時,簽名機制要想順利的實現,必須有好的密鑰管理技術,互聯網認證體系的密鑰管理需要解決兩個問題,就是有密鑰管理規模化和基于密鑰標識的分發。解決這兩大問題的認證系統有基于PKI技術構建和CPK技術構建的認證系統的生成。
3.CPK終端軟件管理系統的分析
網絡安全問題不容忽視,網絡安全中的認證技術是深入解決這一問題的核心技術,它具有規范化,機密性和完整性等特點。CPK認證體系具有抗抵賴性的安全服務,目前來說公鑰基礎設施、基于標識的加密系統和組合公鑰系統得到大眾的一致認可。在標識機制中,計算機用戶可以設置自己的公鑰證書要求,進一步提升了人們對于計算機認證體系的可信度。
二、CPK終端軟件管理系統的需求分析
1.對于CPK終端軟件管理系統感官認識
對于軟件保護一般采用加密的方式進行數據保護,軟件加密分為軟加密和硬加密兩種方式。軟件加密一般的就是采取軟件方法不依靠特殊硬件來配套加密,而硬加密就是將全部信息固定在硬件上,提供的數據是一個硬件實體,如CD指紋等一類電子產品。但是在互聯網終端網絡管理上通常一般通過360殺毒軟件、補丁、網絡行為管理和管理軟件等方式進行計算機管理。網絡行為管理是指通過過濾關鍵字、關閉特殊定的端口來管理終端軟件的使用。軟件實名認證則運用了公約密碼數字簽名技術,對于計算機軟件進行身份認證和保護。同時對于計算機網的病毒損害提供了科學依據。
2.整合管理服務的體系結構
采用服務器的證書管理器和客戶端的終端軟件安全管理器,其中服務器端負責終端的注冊和證書的發放工作,它的工作內容主要包括密鑰因子生產、終端注冊管理、密鑰生成和資料庫管理。那么客戶端主要負責安裝的軟件注冊、簽名等認證工作的完成。終端系統利用其CPK標識認證實現身份認證,終端安裝的軟件進行注冊管路。以此達到終端網絡安全管理的理想模式。
三、終端軟件系統的開發及市場分析
1.終端軟件管理系統市場發展方向
網絡安全產業不僅具有高度的前瞻性,同時也具有較高的技術含量、高附加值的特點,已經跨步成為眾多發達國家保持經濟持續性發展的重要產業結構。作為信息產業中最活躍、最智力密集也是發展最快的軟件產業,更是各國人民政府關注的焦點,其發展關系到互聯網行業的穩定性和長久可靠性,并可能成為未來最大產業規模和最具開拓前景的新型產業。作為大眾青睞的新興支柱產業,同時也是互聯網行業發展的后盾力量,不僅大眾對它關注有佳,作為經濟支點部分的政府也是撐腰在即,竭盡全力的發展此行業。
隨著互聯網《網絡安全管理草案》的順利頒布,作為國家經濟和社會發展的戰略性基礎,軟件的價值及其所附加的巨大輻射性和帶動性作用將得到社會各界人士的高度重視。終端網絡管理軟件市場的進一步完善將成為必然,此環節的全面創新將共同推動未來軟件市場的可持續發展。
關鍵詞:煤炭企業;網絡信息安全;問題;對策
引言:當前煤炭企業對網絡安全威脅很難開展有效的監測,無法實現主動防御,只能處于一種被動防護狀態,這無疑將會給煤炭企業引入極大的網絡安全風險。煤炭企業上到領導下到普通職員,均對網絡信息安全問題抱有僥幸的心理,覺得一般不會出大的問題,從而缺少積極的防范措施,使得煤炭企業當前在應對實際的網絡安全威脅時不能有效的進行監測和防護。
一、關于煤炭企業當前面臨的網絡信息安全問題的分析
(1)煤炭企業員工的網絡信息安全意識比較淡薄
當前很多煤炭企業對自身所處的網絡信息安全現狀依然缺少正確、完整的認識,他們企業管理者覺得煤炭企業信息化的水平不高,接入互聯網的終端和用戶比較少,因此企業的網絡信息安全問題并不會給煤炭企業造成一定的威脅。另外,煤炭企業的管理層缺少對企業網絡信息安全的有效支持,使得實際投入到企業網絡和信息安全建設中的資金遠遠達不到應有的要求。
(2)煤炭企業內部網絡信息系統的防護能力比較薄弱
從目前看來,依然存在一些煤炭企業缺少復雜的網絡信息系統部署結構,已有的設備性能和配置也比較落后。在實際的網絡系統部署中缺少有效的安全防護技術和手段,不能有效監測到網絡安全的威脅,只能一直處于被動防護的狀態。由于煤炭企業內部大多使用的還是比較老舊的操作系統,這些舊的終端設備本身就存在著大量的系統漏洞,很容易遭到黑客的攻擊。當各個系統或軟件廠商在網上修補漏洞的補丁時,很多煤炭企業員工和用戶由于對這些網絡安全問題缺少正確的認識,無法意識到這些系統和軟件漏洞會給煤炭企業本身帶來的安全威脅,使得企業內部網絡終端設備很難全部完成漏洞的修補。
(3)煤炭企業缺乏有效的網絡安全防范體系
調查發現,當前很多煤炭企業的網絡信息安全管理較為混亂,沒有形成一套科學完整的網絡安全防范體系和機制。煤炭企業雖然制定了一些有關于網絡信息安全的管理制度和工作方法,但是依然缺乏有效的網絡安全威脅監測和應對方法,對于已有的網絡安全管理辦法也很難嚴格的去執行,不能達到預期的網絡安全防護效果。另外,對于煤炭企業員工本身缺少有效的約束管理辦法,大多數時候只能依靠員工本身的自律能力,沒能從企業網絡安全管理制度和辦法上建立起一種行之有效的防范措施。
二、煤炭企業防范網絡信息安全的對策
(1)加強企業內部網絡信息安全管理
煤炭企業要想提高企業本身的網絡安全防護能力,首先必須改變企業當前固有的網絡安全管理方法,各個部門都需要制定出適合自己部門業務系統的網絡安全防護管理機制和體系。煤炭企業必須加強企業內部自身的管理,為企業制定一套完整的網絡安全審計體系,能夠及時的發現潛在的安全威脅,并有效的追蹤到問題責任人。煤炭企業的網絡安全防護能力的強弱還需要根據企業員工網絡安全意識的強弱來判斷,因此在煤炭企業實際的運營當中,必須加大對企業網絡安全技術培訓和教育的投入。在煤炭企業中,網絡信息安全相關知識的培訓、教育以及宣傳非常重要,尤其要加強企業員工對網絡安全意識的培養,認識到網絡安全對企業發展的重要性。要想讓煤炭企業能夠具備足夠的網絡安全知識和應急響應能力,就必須對企業員工開展定期的網絡安全知識培訓,從而不斷維持煤炭企業較高的網絡信息安全水平。
(2)引入先進的安全防護技術
除了剛剛提到的煤炭企業要加強企業內部網絡信息安全管理之外,最為重要的就是煤炭企業必須要引入先進的網絡安全防護技術。如果企業沒有這些先進的安全防護技術,那么煤炭企業的網絡信息安全管理做的再好也沒有用,因為攻擊者將能夠直接不費吹之力拿下企業的整個網絡系統,令企業面臨巨大的經濟或聲譽損失。當前隨著攻擊者的攻擊手段不斷提高,網絡安全防護技術也在不斷地取得發展,因此煤炭企業必須要選擇先進的安全防護技術來保護企業系統免受侵害。
首先,煤炭企業必須要給企業內部所有的辦公終端安裝網絡版的防病毒軟件,如此一來煤炭企業便可以實現對企業辦公終端的集中式管理,使得企業的系統管理員能夠及時的了解到當前網絡環境中每個節點的網絡安全狀態,從而可以實現對企業辦公終端的有效監管。此外,煤炭企業必須要在系統網絡之間部署防火墻,避免攻擊者通過非法的技術手段訪問企業內部網絡,從而有效保護企業內部網絡的安全。防火墻技術能夠實現煤炭企業內部網絡和外部網絡的有效隔離,所有來自煤炭企業外部網絡的訪問都需要經過防火墻的檢查,從而提高企業內部網絡的安全性。除此之外,煤炭企業還必須引入數據加密技術,來有效提高企業內部系統和數據的保密性,避免企業內部的機密數據被攻擊者竊取或遭內部員工的泄露。機密數據在發送之前會被發送者使用密鑰進行加密處理得到密文,然后密文會通過傳輸介質傳送給接收者,接收者在拿到密文之后,需要利用密鑰對密文進行解密處理得到原始的機密數據。這樣一來便保證了數據信息的機密性,從而避免機密數據被黑客竊取給煤炭企業帶來經濟損失。
關鍵詞:氣象信息;網絡安全;對策;隱患
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
隨著現代氣象事業的飛速發展,計算機網絡在云南省氣象業務中的應用越來越普及,在氣象事業中的地位也越來越重要。在天氣預報業務中,各種數值預報的結果需要計算機網絡進行分析和分發,而預報結果的上傳和下發更是離不開現代信息網絡。在氣象災害的防災減災中,預警信號和災情調查等也離不開信息網絡的應用。在公共氣象服務領域、云南省氣象局的辦公自動化等業務中,氣象信息網絡扮演的角色也越來越重要。本文以將云南現有的氣象信息網絡安全為分析樣本,探討了現階段信息網絡所面臨的安全隱患等特征,并提出相關的氣象信息網絡安全防范方案,以期為氣象信息安全提供參考依據。
二、云南氣象信息網絡安全隱患分析
隨著云南省各類氣象探測業務的飛速發展,氣象信息網絡承載的數據量越來越大,需要存儲和傳輸的大量數據,保障和防范氣象信息的安全成了云南省氣象信息安全的重要任務。另外,由于云南省各類電腦終端的品種繁多,殺毒軟件和品牌多種多樣,面對來自網絡的各類攻擊,云南省的氣象信息網絡呈現較大的脆弱性和易損性。總的來說,云南氣象信息網主要有氣象信息的越權存取、網絡操作系統或終端應用軟件安全漏洞、惡意攻擊氣象信息網絡等幾類主要的安全隱患。
(一)氣象信息的越權存取。目前云南省氣象信息網絡需要傳輸和存儲海量的氣象信息。在此過程中,氣象信息網絡必須既保證傳輸的迅捷和方便,又必須要有安全保障。為此,云南省氣象信息網絡根據不同等級的客戶,設置的不同讀寫權限。由于各類用戶往往對權限理解不清,因此經常出現錯誤的操作和違規操作。不僅普通的終端客戶易于出現誤操作給氣象信息網絡帶來安全威脅,有時甚至網管也會因為一些越權處理給氣象信息網絡帶來很大的安全隱患。當氣象信息網絡管理員在服務器系統進行更新和維護時,假如出現應用軟件安裝不適當、網絡設備誤操作、防火墻系統參數設置錯誤以及服務器端口開放不正確,都會對氣象信息網絡造成較大的威脅。因此在氣象信息網絡應用中,無論是普通用戶還是高級網管,都應明了自己的操作權限,按照相關規定進行數據下載、分發和處理等,切不可隨意越權,更不能將自己的個人信息和賬號等借給他人使用。(二)網絡操作系統或終端應用軟件安全漏洞。通常操作系統是構成網絡的主要軟件系統,據統計差不多75%的網絡攻擊從操作系統這一層面展開。目前云南省氣象信息網絡上的各類終端操作系統呈多樣化趨勢,而網絡操作系統也不可避免的存在一些漏洞。另外,各類終端的應用軟件也存在許多安全漏洞。雖然在氣象信息網絡的維護周期中,信息中心安排有專人進行安全維護和質量控制,也采用各種方式對操作系統的安全性進行前期和后期測試,故操作系統和應用軟件的安全漏洞對氣象信息網絡的危害不可低估。因此如何及時地發現信息網絡中類似的安全這洞,并采取安全補丁等方法進行防范,成為目前氣象信息網絡安全的當務之急。(三)惡意攻擊氣象信息網絡。惡意攻擊通常是指某些懷有惡意企圖的人或者集團,企圖通過惡意攻擊網絡系統,來竊取、下載、篡改或者刪除某些信息的操作。惡意攻擊常常以兩種方式進行。一種是主動顯性攻擊,即通過破壞性和明顯性的操作來破壞信息的完整性和正確性;另一種是在被動隱性攻擊,即在不影響信息網絡正常運行的情況下,采用截獲、竊取、破譯等方式來獲取信息。通常第一種攻擊破壞性大,但更容易發現,而第二種惡意攻擊則更為隱蔽。由于目前的氣象還屬于公益性行業,商業化程度不夠,因此面對的惡意攻擊相對較少。但正因為商業化程度不夠,目前大量的氣象信息未采用加密措施,數據以明文形式在網絡上傳輸,因此黑客更方便辨識、截獲和竊取信息。一旦黑客掌握氣象信息的格式和編報規律,篡改氣象信息時也更加隱蔽和容易。因此面對氣象信息網絡的惡意攻擊,我們網絡管理人員切切不可掉以輕心。
三、云南省氣象信息網絡安全威脅的防范對策
面對復雜多變的網絡威脅,云南省氣象信息網絡安全必須持續不斷進行安全性測試和檢測,并不斷革新技術,并制定各種防范對策和應急措施。總的說來,可以從技術層面、管理層面以及用戶層面三個方面進行防范。在技術層面,氣象信息網絡安全管理人員需要提高自己的計算機技術,日常安全運營維護過程中,從網絡安全架構、安全風險評估、終端安全控制等方面彌補網絡安全漏洞。在管理層面,必須建立云南省氣象信息網絡的安全防護墻以及各類網絡安全的應急備用體系,以“三分技術,七分管理”為座右銘,積極管理和防范各類安全隱患。在用戶層面,必須提高網絡安全和計算機終端安全意識,不僅要更注重使用的方便性,而且更應該注重氣象信息網絡的安全性。只有解決以上三方面的問題,才能云南省氣象信息網絡安全高效地運行。
參考文獻:
[1]邱奕煒,鄧肖任,詹利群.氣象部門網絡安全威脅與對策探討[J].氣象研究與應用,2009,S1
[2]王會品,張濤.無線網絡技術在氣象信息服務中的應用[J].氣象與環境學報,2009,2
關鍵詞:企業網絡安全;內網安全;安全防護管理
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
參考文獻:
關鍵詞:網絡安全,網絡管理,多級安全
1 引言網絡技術,特別是Internet的興起,正在從根本上改變傳統的信息技術(IT)產業,隨著網絡技術和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來,研究人員在信息加密,如公開密鑰、對稱加密算法,網絡訪問控制,如防火墻,以及計算機系統安全管理、網絡安全管理等方面做了許多研究工作,并取得了很多究成果。
本論文主要針對網絡安全,從實現網絡信息安全的技術角度展開探討,以期找到能夠實現網絡信息安全的構建方案或者技術應用,并和廣大同行分享。
2 網絡安全風險分析影響局域網網絡安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來,主要有六個方面構成對網絡的威脅:
(1) 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等,都會對網絡系統造成極大的破壞。
(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機系統安全最直接的威脅,網絡更是為病毒提供了迅速傳播的途徑,病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網絡,然后對網絡進行攻擊,造成很大的損失。
(3) 來自網絡外部的攻擊:這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據、竊取、破譯機密信息、破壞軟件執行;在中間站點攔截和讀取絕密信息等。
(4) 來自網絡內部的攻擊:在局域網內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后,查看機密信息,修改信息內容及破壞應用系統的運行。
(5) 系統的漏洞及“后門”:操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。
3 網絡安全技術管理探討3.1 傳統網絡安全技術目前國內外維護網絡安全的機制主要有以下幾類:
Ø訪問控制機制;
Ø身份鑒別;
Ø加密機制;
Ø病毒防護。
針對以上機制的網絡安全技術措施主要有:
(1) 防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施,它用來控制內部網和外部網的訪問。
(2) 基于主機的安全措施
通常利用主機操作系統提供的訪問權限,對主機資源進行保護,這種安全措施往往只局限于主機本身的安全,而不能對整個網絡提供安全保證。
(3) 加密技術
面向網絡的加密技術是指通信協議加密,它是在通信過程中對包中的數據進行加密,包括完整性檢測、數字簽名等,這些安全協議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數及其它一些序列密碼算法實現信息安全功能,用于防止黑客對信息進行偽造、冒充和篡改,從而保證網絡的連通性和可用性不受損害。
(4) 其它安全措施
包括鑒別技術、數字簽名技術、入侵檢測技術、審計監控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經過網絡系統授權和登記的合法用戶才能進入網絡。審計監控是指隨時監視用戶在網絡中的活動,記錄用戶對敏感的數據資源的訪問,以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網絡安全的重要手段。
3.2 構建多級網絡安全管理多級安全作為一項計算機安全技術,在軍事和商業上有廣泛的需求。科技論文。“多級”包括數據、進程和人員的安全等級和分類,在用戶訪問數據時依據這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成,一部分是用“密級”表示數據分類具有等級性,例如絕密、秘密、機密和無密級;另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級關系。在具體的網絡安全實現上,可以從以下幾個方面來構建多級網絡安全管理:
(1) 可信終端
可信終端是指經過系統軟硬件認證通過、被系統允許接入到系統的終端設備。網絡安全架構中的終端具有一個最高安全等級和一個當前安全等級,最高安全等級表示可以使用該終端的用戶的最高安全等級,當前安全等級表示當前使用該終端用戶的安全等級。
(2) 多級安全服務器
多級安全服務器上需要部署具有強制訪問控制能力的操作系統,該操作系統能夠為不同安全等級的用戶提供訪問控制功能。該操作系統必須具備很高的可信性,一般而言要具備TCSEC標準下B1以上的評級。
(3) 單安全等級服務器和訪問控制網關
單安全等級服務器本身并不能為多個安全等級的用戶提供訪問,但結合訪問控制網關就可以為多安全等級用戶提供訪問服務。對于本網的用戶,訪問控制網關旁路許可訪問,而對于外網的用戶則必須經過訪問控制網關的裁決。訪問控制網關的作用主要是識別用戶安全等級,控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級,則只允許信息從服務器流向用戶;如果用戶的安全等級等于服務器安全等級,則允許用戶和服務器間信息的雙向流動;如果用戶的安全等級低于服務器安全等級,則只允許信息從用戶流向服務器。
(4) VPN網關
VPN網關主要用來保護跨網傳輸數據的保密安全,用來抵御來自外部的攻擊。VPN網關還被用來擴展網絡。應用外接硬件加密設備連接網絡的方式,如果有n個網絡相互連接,那么就必須使用n×(n-1)個硬件加密設備,而每增加一個網絡,就需要增加2n個設備,這對于網絡的擴展很不利。引入VPN網關后,n個網絡只需要n個VPN網關,每增加一個網絡,也只需要增加一個VPN網關。
4 結語在網絡技術十分發達的今天,任何一臺計算機都不可能孤立于網絡之外,因此對于網絡中的信息的安全防范就顯得十分重要。針對現在網絡規模越來越大的今天,網絡由于信息傳輸應用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對網絡的信息安全管理系統展開了分析討論,相信通過不斷發展的網絡硬件安全技術和軟件加密技術,再加上政府對信息安全的重視,計算機網絡的信息安全是完全可以實現的。
參考文獻:
[1] 胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.
[2] 黃國言.WEB方式下基于SNMP的網絡管理軟件的設計和實現[J].計算機應用與軟件,2003,20(9):92-94.
[3] 李木金,王光興.一種被用于網絡管理的性能分析模型和實現[J].軟件學報,2000,22(12): 251-255.
網絡安全面臨著攻擊渠道多、潛伏周期長、防御規則配置復雜等問題,論文提出一種基于J2EE的網絡安全防御系統.該系統采用原型化方法導出了系統邏輯業務功能,采用J2EE框架實現了一種界面式的網絡安全防御系統,提高了網絡安全管理的便捷性和交互性,保護網絡安全性能.
關鍵詞:
網絡安全;J2EE;JavaBean;主動防御
隨著云計算、大數據技術、網絡通信技術的發展,計算機網絡為電子商務、電子政務、金融銀行、機械生產等提供通信傳輸服務.在為人們提供工作、生活和學習便利的同時,也帶來了潛在的威脅[1].計算機網絡已經成為黑客、木馬和病毒攻擊的主要對象.威脅隨著計算機技術的提升,這些攻擊能力更強,隱藏時間長、破壞范圍廣.為了保證網絡安全運行,需要構建主動網絡安全防御系統,動態配置網絡安全防御策略.基于J2EE技術、J2EE、Tomcat服務器、MySQL數據庫和Java程序設計技術實現了一個功能完善的網絡安全防御系統,提高了網絡安全管理策略配置的便捷性,進一步提升網絡安全管理能力,保證信息化運營環境的安全性.
1網絡安全管理面臨的現狀
網絡運行過程中,由于許多網絡用戶非計算機專業人員,因此在操作管理系統、使用計算機時不規范.如果一臺終端或服務器感染了計算機病毒、木馬,在很短的時間內將擴散到其他終端和服務器中,感染其他終端系統,導致系統服務器無法正常使用[2].目前,網絡安全管理面臨著多樣化、智能化的現狀.隨著網絡黑客技術的快速普及,網絡攻擊和威脅不僅僅來源于黑客、病毒和木馬,傳播渠道不僅僅局限于計算機,隨著移動互聯網、光纖網絡的興起和應用,網絡安全威脅通過Ipad、iPhone、三星S6、華為Mate7等智能終端進行傳播,傳播渠道更加多樣化[3].隨著移動計算、云計算和分布式計算技術的快速發展,網絡黑客制作的木馬和病毒隱藏周期更長,破壞的范圍更加廣泛,安全威脅日趨智能化,給政企單位信息化系統帶來的安全威脅更加嚴重,非常容易導致網絡安全數據資料丟失[4].
2網絡安全防御系統功能分析
為了能夠更好地導出系統邏輯業務功能,系統需求分析過程中詳細地對網絡安全管理的管理員、用戶和防御人員進行調研和分析.使用原型化方法和結構化需求分析技術導出系統的邏輯業務功能,分別是系統配置管理功能、用戶管理功能、安全策略管理功能、網絡狀態監控管理功能、網絡運行日志管理功能、網絡運行報表管理功能等六個部分.(1)網絡安全管理系統配置管理功能分析通過對網絡安全管理系統操作人員進行調研和分析,導出了系統配置管理功能的業務功能.系統配置管理功能主要包括七個關鍵功能:系統用戶信息配置管理功能、網絡模式配置、網絡管理參數配置、網絡管理對象配置、輔助工具配置、備份與恢復配置和系統注冊與升級等.(2)用戶管理功能分析用戶管理功能主要包括人員、組織、機器等分析.主要功能包括三個方面:組織管理、自動分組和認證配置.組織管理功能可以對網絡中的設備進行組織和管理,按照賬號管理、機器管理等進行操作;自動分組可以根據用戶搜索的設備的具體情況改善機器的搜索范圍,添加到機器列表中,并且可以對其進行重新分組管理;認證配置可以根據終端機器的登錄模式進行認證管理.(3)安全策略管理功能分析網絡安全管理策略是網絡安全防御的關鍵內容,需要根據網絡安全防御的關鍵內容設置網絡訪問的黑白名單、應用封堵、流量封堵、行為審計、內容審計、策略分配等功能.(4)網絡狀態監控管理功能分析網絡運行管理過程中,需要時刻的監控網絡的運行管理狀態,具體的網絡運行管理的狀態主要包括三個方面:系統運行狀態、網絡活動狀態、流量監控狀態.(5)網絡運行日志管理功能分析網絡運行管理過程中,網絡運行日志管理可以分析網絡運行操作的主要信息,日志管理主要包括以下幾個方面:內容日志管理、報警日志管理、封堵日志管理、系統操作日志管理.(6)網絡運行報表管理功能分析網絡運行過程中,為了能夠實現網絡安全管理的統計分析,可以采用網絡安全報表管理模式,以便能夠統計分析接入到網絡中的各種軟硬件設備和系統的運行情況,網絡運行報表管理主要包括兩個方面的功能:統計報表和報表訂閱.
3網絡安全防御系統設計
3.1系統服務器設計網絡安全防御系統部署與運行過程中,其采用B/S體系架構,是一個功能較為完善的分布式管理系統.因此,結合系統采用的架構,本文對系統服務器進行了設計,以便能夠更好地部署相關的網絡軟硬件環境[5].網絡拓撲結構部署的內容主要包括動態內容和靜態內容兩種模式,系統軟硬件平臺部署策略也分為兩種,分別是靜態系統部署和動態系統部署,如圖2所示.
3.2系統架構設計網絡安全防御系統采用B/S架構.該架構包括三個層次:分布式表示層、業務功能處理層和數據功能處理層.其適應現代互聯網的發展需求,用戶僅僅需要在瀏覽器上安裝一些插件或使用簡單的瀏覽器就可以登錄管理系統,并且向管理系統發出各種通信管理實時數據監控邏輯業務請求,以便能夠進行及時的處理,完成互聯網安全監控需求[6].(1)表示層:在基于B/S系統架構的網絡安全防御系統中,表示層位于第一層,能夠與用戶進行直接接觸,可以把用戶的邏輯業務請求輸入到系統中.表示層將用戶的業務請求發送到業務功能處理層,之后再把業務功能處理層和數據功能處理層處理的結果反饋給用戶,將信息顯示在用戶終端上,呈現予用戶進行瀏覽.表示層是處于用戶端,使用方能利用IE瀏覽頁面來發送請求,而且能夠接受到處理的結果.(2)業務功能處理層:業務功能處理層位于Web服務器上,主要功能是接收表示層所傳送來的應用請求進行處理.并在業務邏輯的處理過程中,可以實時的檢測到用戶的邏輯業務請求,發現系統中存在的邏輯業務處理功能,實現系統的數據處理.比如可以解析出來系統相關的SQL處理語言,并且對系統的程序進行操作,反饋給表示層,并把請求處理的結果返回到客戶端表示層.(3)數據功能處理層:數據庫功能處理層位于數據庫管理系統中.在B/S架構里,數據功能處理層主要是對邏輯層傳送來的應用數據請求進行處理.數據庫的操作引擎實現了此層數據處理的過程,具備龐大的數據操作的性能,可以對數據庫進行查詢、更新等操作.并且把數據操作的結果返回于系統邏輯層,進而返回給客戶端的表示層,把操作的結果提供給用戶瀏覽.
4網絡安全防御系統實現
4.1J2EE框架實現本文采用B/S體系架構,使用Java程序設計技術,開發了一個功能完善的安全防御系統.J2EE框架實現如圖3所示.J2EE框架主要包括三個層次:客戶端表現層、業務邏輯層、數據庫持久層.每一層采用關鍵類實現[7].數據庫持久層主要包括四個關鍵類:UserDAO、BaseDAO、DraftDao和DepartmentDao等內容.BaseDAO主要是DAO接口的設計工作,DAO接口設計內容主要包括保存實體、刪除實體、更新實體等關鍵內容,介入相關的用戶ID查詢功能,查詢相關的所有的數據內容,并且實現數據顯示的分頁管理等操作.邏輯業務處理層由Spring和Struts框架進行實現.利用Struts控制系統的主要邏輯業務功能,使用Spring框架中固有的控制反轉功能使代碼最大化,并且保證接口的有效性.最為代表的就是Department類的功能實現,其采用Struts.xml進行具體的攔截配置.客戶端表現層的功能就是展現給用戶相關的界面.用戶在一個系統中輸入相關的邏輯業務請求,數據相關的數據,并且為用戶提供一種交互式的操作界面,具體的數據庫表現層主要由多個界面共同組成,用戶登錄界面執行交互式操作,在程序運行實現過程中,表現層的功能由JSP功能的form表單進行實現.
4.2網絡安全防御系統功能實現網絡安全防御系統主要包括六個功能,核心功能為黑白名單管理、應用封堵管理、策略分配管理等功能.黑白名單功能可以根據用戶的需要在網絡安全策略管理中添加目標IP用戶、Mac用戶或賬號用戶,使其可以無條件允許、禁止訪問網絡等活動,黑白名單功能運行截圖如圖4所示.應用封堵功能可以根據用戶需求,設置網絡安全應用封堵條件,運行截圖如圖5所示.策略分配管理功能可以根據用戶的需求,對網絡中增加的相關策略進行分配,并且在網絡策略分配和使用之前均是無效的,策略分配管理運行截圖如圖6所示.
5結束語
網絡安全防御系統采用三層B/S體系架構、J2EE框架實現,開發一個界面式的主動防御策略配置界面,提高了網絡安全管理策略設置便捷性,并且能夠實時地查詢網絡攻擊威脅狀況,及時地調整主動防御策略,保證網絡正常可靠運行,具有重要的作用和意義.
參考文獻:
[1]于妍,呂欣.網絡安全防御系統的設計的問題和策略研究[J].網絡安全技術與應用,2015(1):128-128.
[2]王峰.校園網網絡安全防御系統分析與設計[J].信息安全與技術,2015(6):87-87.
[3]勞曉杰.網格環境下的校園網絡安全防御系統設計與實現[J].網絡安全技術與應用,2014(3):115-116.
[4]石旭.淺析網絡監控安全管理系統的設計與實現[J].計算機光盤軟件與應用,2013(10):144-145.
[5]王喜昌.計算機網絡管理系統及其安全技術分析[J].計算機光盤軟件與應用,2014(14):215-216.
[6]陶平.網絡安全監控綜合業務管理系統設計與實現[J].重慶理工大學學報(自然科學版),2013,27(5):82-85.
根據吉林省xx局《關于開展重要信息系統及重點網站安全檢查工作的通知》精神,xx局xx調查隊成立了網絡信息安全工作領導小組,xx林隊長任組長,制定計劃,落實責任,落實人員。同時,對前郭隊網絡與信息安全進行了一次全面的清查。對在清查中發現的問題及時進行了整改,消滅隱患,確保了網絡系統保持良好的運行態勢,為前郭調查隊數據安全業務工作發展提供一個強有力的信息支持平臺。
一、組織安排。xx隊組織成立自查工作小組,組長為隊長xxx擔任,由兼職信息系統責任、運行維護和信息安全管理科室的辦公室人員組成自查工作小組工作人員,按照自查任務要求,制定具體自查方案,明確本地檢查對象和具體要求,落實各項保障措施,開展自查工作,撰寫自查報告,并填寫相應自查表。
二、制度檢查。自查工作小組根據《關于開展重要信息系統及重點網站安全檢查工作的通知》,對前郭隊的網絡安全工作的基本情況以及網站的安全保護情況的相關制度進行了檢查,現有制度有:網絡與信息安全管理制度、內網計算機與互聯網連接制度、終端計算機安全管理制度、桌面安全管理系統制度及其他網絡安全管理手段及措施制度。及時發現了問題,要求建立健全信息安全年度預算制度、信息安全發展規劃。
三、完備設施。自建互聯網局域網網絡安全防護措施:xx隊接入互聯網出口數量只有一個;終端計算機已安裝有效的防病毒軟件;終端計算機已設置管理員口令;有專門封網計算機可處理涉密信息;機房安全中防盜、消防、供電相關設施完備。
四、網絡安全。重點檢查了xx調查隊網絡安全工作的基本情況和網站的安全保護情況。機房服務器已設置防火墻、入侵防御、防病毒網關等措施;服務器中不必要的端口和服務已關閉;網站等重要系統數據備份完備;服務器、終端計算機已設置管理員登陸密碼,密碼強度符合要求。
五、人員管理。自查過程中發現的各項問題和漏洞提出整改意見,限期進行整改。建立落實網絡安全責任追究制度,要求提高人員網絡安全思想意識,積極開展數據保護、應急演練等重點工作。
當前,無線網絡技術正在被廣泛的應用到校園信息化建設之中,具有高靈活性、可移動性、開放性等特點。但是,由于無線網絡本身所具有的這些特點,造成用戶量大、密度不均、應用多樣和環境復雜等問題,無線網絡的安全性也備受關注。本文著重分析無線網絡的安全隱患以及隱患的來源,對校園無線網絡安全建設實踐進行了分析與探究。
關鍵詞:
無線網絡;安全;防范
高效無線網絡校園是現在很多高校建設的目標,因此,高校在為用戶提供基本的互聯網上網服務外,還需要為用戶提供安全可靠的網絡服務,用戶可以在校內或者校外訪問相應的資源。網絡安全設計實現對內外接入時避免面臨網絡安全的問題,保證網絡資源及網絡設備的安全是校園無線網絡建設所面臨的一個嚴峻問題。
1無線網絡安全面臨的主要問題
1.1訪問權限的控制
學校一般擁有大量的外網地址,但是對外提供服務的只是其中的一部分或者少數幾個地址,因此需要在出口設備上嚴格限制外網對內的訪問權限,只有允許的地址或者允許地址的特定端口才是可以被訪問的,其它地址一律禁止外網發起的主動訪問。
1.2攻擊主機的主動識別和防護
動態監測外網主機對資源平臺的訪問,當外部主機發起非法攻擊或者大量合法請求時,網關設備會主動將非法主機進行隔離,從而保證資源平臺的安全性;
2無線網絡安全主要的設計內容
基于“接入安全”的理念,將學院園區無線網絡認證過程設置到離學生客戶端最近的網絡邊界處,通過啟用Web認證模式,無線控制器和學校目前采用的AAA認證系統的協同工作,當學生在接入無線網絡的時候,網絡無線控制器和ZZ-OS認證網關進行對接,通過portal的方式將認證頁面推送到客戶端,然后將學生認證所需要的用戶名和密碼上傳到無線控制器,無線控制器通過與ZZ-OS認證系統的對接,獲取學生相關的認證信息,如果認證通過,則無線控制器將通知無線AP接入點,允許該學生訪問相關的資源,學生使用瀏覽器即可完成認證過程,不僅保證了接入學生的學生合法性,而且學生能快捷便利的使用無線網絡,極大的提高了學生的體驗感。
2.1學生數據加密安全
無線AP通過WEP、TKIP和AES加密技術,為接入學生提供完整的數據安全保障機制,確保無線網絡的數據傳輸安全。
2.2虛擬無線分組技術
通過虛擬無線接入點(VirtualAP)技術,整機可最大提供16個ESSID,支持16個802.1QVLAN,網管人員可以對使用相同SSID的子網或VLAN單獨實施加密和隔離,并可針對每個SSID配置單獨的認證方式、加密機制等。
2.3標準CAPWAP加密隧道確保傳輸安全無線
AP接入點與網絡無線控制器以國際標準的CAPWAP加密隧道模式通信,確保了數據傳輸過程中的內容安全。
3安全準入設計
無線網絡為開放式的網絡環境,基于端口的有線網絡管理方式已經無法滿足無線用戶接入管理的需求。為了解決接入用戶管理的問題一般高校都會部署AAA服務器,通過AAA服務器實現無線用戶身份認證。通過引入AAA服務器雖然解決了“誰”可以連接無線網絡的問題,但是如何進行用戶身份的認證呢?無線網絡部署的初期一般采用SU的方式。SU方式需要無線用戶在無線終端設備上安裝特定的客戶端,通過該客戶端完成用戶身份的校驗。但是隨著智能終端的出現,接入無線網絡的終端不僅僅是筆記本電腦,平板電腦、手機等智能終端也需要接入無線網絡,而SU模式并不適合安裝在智能終端上。為了解決智能終端接入無線網絡的問題很多設備廠商推出了Web認證,智能終端不再需要安裝客戶端,只需要通過瀏覽器就可完成身份認證。針對智能終端Web似乎是一種比較完美的身份認證方式。隨著互聯網應用的迅速崛起,用戶希望在物理位置移動的同時可以使用微信、微博等互聯網應用。如果依然采用Web方式進行身份認證,用戶將會感覺很麻煩,影響用戶對無線網絡的體驗,為了解決認證方式繁瑣的問題,無感知認證應用而生,無感知身份認證只需要用戶首次進行終端相關用戶信息配設置后續終端接入無需用戶干預自動完成。
4安全審計設計
無線網絡為了給用戶提供良好的上網體驗,一般終端接入網絡時采用動態地址分配方式,同時公有地址不足是所有國內高校面臨的一個問題,為了解決地址不足的問題一般校內采用私有地址,出口網絡設備進行NAT轉化。在私有地址環境中采用動態地址分配方式,管理員將會面臨一個問題:當發生安全事件時,網監部門只能為管理提供一個具體的外網地址和訪問的時間點,僅有的信息中要準確定位問題的具體負責人。傳統的日志審計平臺只記錄了出口設備的NAT日志,可以通過公網地址和具體的時間找到對應的私網地址,但是由于地址采用動態分配的方式,能難確定該時間段對應的地址是哪個用戶在使用或者說需要查詢多個系統才能確認最終的用戶,如果多個系統中有一個系統時鐘不一致,可能造成最終信息的錯誤。為了加強出口行為管理和日志記錄,解決安全審計方面的問題,安全方案采用elog應用日志及流量管理系統。elog配合出口網關可有效記錄NAT日志、流日志、URL日志、會話日志等,并可存儲3個月以上,滿足公安部82號令相關要求,學校也可對相關安全事件有效溯源。日志對于網絡安全的分析和安全設備的管理非常重要,網關設備采用統一格式記錄各種網絡攻擊和安全威脅,支持本地查看的同時,還能夠通過統一的輸出接口將日志發送到日志服務器,為用戶事后分析、審計提供重要信息。NAT日志查詢(如圖1所示)。在充分考慮校園無線網絡安全設計的前提下,對網絡自身的數據加密、信息泄露以及網絡攻擊進行嚴密防控的同時,提升用戶信息安全意識,從用戶自身入手防止出現簡單密碼、默認密碼和用戶主機殺毒等問題。做到“防范為主、有據可查、追本溯源”,才能更好的應對網絡安全問題,提高校園信息的安全性,為師生提供安全可靠的無線網絡服務。
參考文獻
[1]吳林剛.無線網絡的安全隱患及防護對策[J].科技信息,2011(25).
[2]馮博琴,陳主編,呂軍,程向前,李波編.計算機網絡簡明教程[M].北京:高等教育出版2009.
近年來,電力企業不斷發展,特別是水電企業,改變了以往一直以來封閉式的網絡結構和業務系統,利用信息網絡逐漸跟外界接口聯系,許多企業都建立了自己的網絡系統,如企業門戶、辦公自動化系統、財務系統、營銷系統、生產管理系統等,極大提高了辦公效率,實現數據實時傳輸及共享。信息化的發展、網絡的普及,使辦公地點不緊緊局限于辦公室,遠程移動辦公成為了可能,辦公效率也大大提高,突破了時間及空間的限制,但信息化高速發展的同時也給我們帶來了嚴重的網絡安全問題。對此國家也非常關注,特意成立中央網絡安全和信息化領導小組,再次體現出過對保障網絡安全、維護國家利益、推動信息化發展的決心。由此可見,網絡安全已經到了不可小視,必須深入探討研究的地步。
2廣蓄電廠信息網絡安全建設
2.1網絡安全區域劃分
劃分安全區域是構建企業信息網絡安全的基礎,提高抗擊風險能力,提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心,它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域,如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備(如:臺式機、筆記本電腦、打印機等)連入內網區域。
2.2二次安防體系建設
根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求,電廠堅持按照二次安全防護體系原則建設:
(1)安全分區:根據安全等級的劃分,將廣蓄電廠網絡劃分為生產控制大區和管理信息大區,其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。
(2)網絡專用:電力調度數據網在專用通道上使用獨立的網絡設備組網,采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接,在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口,將生活區網絡和辦公網絡分離,加強對網絡的統一管理和監控。
(3)橫向隔離:在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸,反向安全隔離裝置接收管理信息大區發向生產控制大區的數據,采用簽名認證、內容過濾等檢查處理,提高系統安全防護能力。
(4)縱向認證:廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署,包括縱向加密裝置、縱向防火墻等,并配置了相應的安全策略,禁用了高風險的網絡服務,實現雙向身份認證、數據加密和訪問控制。
2.3安全防護措施
(1)防火墻
在外聯接入區域同內網網絡之間設置了防火墻設備,并對防火墻制定了安全策略,對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據,對內網的訪問行為進行控制和阻斷,禁止外部用戶進入內網網絡,訪問內部機器,使所有的服務器、工作站及網絡設備都在防火墻的保護下。
(2)口令加密和訪問控制
電廠對所有用戶終端采用準入控制技術,每個用戶都以實名注冊,需通過部門賬號申請獲得IP地址才能上局域網,并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網(VLAN),并使其在局域網內隔離,限制其他VLAN成員訪問,確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等,采用專機專用配置,并賦予用戶一定的訪問存取權限、口令等安全保密措施,建立嚴格的網絡安全日志和審查系統,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(3)上網行為管理
上網行為管理設備直接串行部署在內網邊界區域,并制定了精細化的活動審計策略、應用軟件監控管理策略,監控及記錄用戶非法操作信息,實時掌握互聯網使用情況,防患于未然,通過上網行為管理設備進行互聯網網關控制。
(4)防病毒系統
在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能,系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立并實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。
(5)建立虛擬專網(VPN)系統
為保證網絡的安全,實現移動辦公,在核心網絡邊界區域部署了1臺VPN設備,并設置訪問條件和身份認證授權策略,如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網(VPN)系統,不僅滿足了電廠用戶遠程辦公需求,而且保證了電廠信息網絡及信息系統數據安全傳輸。
3信息網絡安全管理策略
俗話說:“三分技術,七分管理”,這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠,頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上,借鑒國內外企業對信息網絡安全管理的經驗,形成屬于自身發展的網絡安全管理策略。(1)建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組,制定完善的信息安全規章制度,規范整個電廠對網絡及信息系統的使用。(2)建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系,目的就是在發生緊急情況時,指導電廠的值班人員對突發事件及時響應并解決問題。(3)定期進行安全風險評估及加固。電廠每年進行安全風險評估分析,及時了解和掌握整個網絡的安全現狀,通過安全加固使得網絡安全系統更加健全。
4結束語
[關鍵詞] 計算機網絡;安全;外網;防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中圖分類號:TN711 文獻標識碼:A 文章編號:
1校園網外網現狀
1.1 網絡架構
目前我校每個辦公室都鋪設了信息外網結點,信息結點由樓層接入交換機連接到核心交換機。然后再通過外網邊界處部署的防火墻,通過VPN通道統一出口訪問互聯網。
1.2 網絡設備型號
核心交換機:H3C3600
防火墻:FW4120
校園網接入路由器:H3C5060
樓層交換機:cisco 2950
1.3 現有網絡安全配置
為了做好我校信息外網安全工作,我校統一安裝部署了卡巴斯基殺毒軟件并定期更新、掃描,同時在信息外網的邊界處部署了防火墻、由學校統一加強互聯網出口、病毒木馬、網絡行為分析與流量監控來抵御來自外部網絡的安全威脅,在這些設備、軟件的嚴密監控下,來自網絡外部的安全威脅大大減小,而對來自網絡內部的計算機客戶端的安全威脅所作的安全管理措施不夠,安全威脅較大。而且來自信息外網的威脅,也可能通過U盤等傳播到信息內網,使信息內網同樣面臨安全威脅。為了抵御內部威脅防止未授權計算機的接入,最初我們只是在H3C3600核心交換機上做了IP、MAC地址綁定,這種配置方式雖然在一定程度上可以減少非法接入和ARP欺騙攻擊但仍存在一定的缺陷,因為MAC地址可以偽造,非法用戶可以利用綁定列表中的IP并虛擬與該IP綁定的MAC地址,通過任意一個辦公室的信息結點連接外網。因此,最初所做的綁定策略是較低級別的授權認證。
2校園網信息外網安全防范措施
為了解決單純在核心交換機上進行IP、MAC地址綁定存在的缺陷,嚴格限制非法設備接入,同時做好外網信息安全工作,制定以下防范措施:
2.1 核心交換機上執行端口+IP+MAC地址綁定策略
在核心交換機上,對在用的每一個端口進行端口+IP+MAC地址的綁定,實現在固定端口只允許固定IP和MAC地址的訪問,對于未使用的端口全部關閉。由于對每個在用的端口進行綁定并有嚴格限制,而未使用的端口全部關閉,所以在一個端口綁定的PC使用該IP地址和MAC地址也不可以在其他端口上網。
在核心交換機上對端口、IP、MAC地址進行綁定,可以嚴格控制非法網絡接入,但是由于只是在核心交換機上進行限制,而終端計算機不是直接接入核心交換而是通過接入交換機進行接入,該方法雖然可以限制網絡訪問,但同一接入交換機直接相連的終端或不同接入交換機相連的終端仍然可以通信,且會產生不必要的網絡流量,對網絡仍產生一定的威脅,所以我們可以采用基于核心、接入交換的兩級綁定管理。
2.2 基于核心、接入交換機的兩級綁定管理
我們保留最初在核心交換機上做的IP、MAC地址綁定,同時在接入層交換機上對每個端口綁定固定的一個MAC地址,且每個端口只允許一個MAC地址通過。這樣,在接入層交換機上可以實現對終端計算機的一級MAC地址過濾管理,嚴格控制網絡接入設備,同時減少非法接入設備產生的不必要的流量;在核心交換機上實現對終端設備的二級IP管理,每個MAC地址只能使用特定的IP,防止終端私自更改IP,做好IP地址管理工作。通過此配置,可以實現基于核心、接入交換機的兩級綁定管理,即從源頭上,通過接入層一級管理嚴格控制終端計算機非法接入,同時對核心交換層進行二級管理防止私自更改IP,做好IP地址維護管理工作。
2.3 基于CAMS的身份認證機制
針對目前越來越復雜的網絡環境,CAMS身份認證服務機制從企業用戶的網絡接入控制入手,可以統一管理網絡中用戶的身份、權限信息,通過嚴格的身份認證、安全狀態評估和終端準入控制功能,解決企業網用戶接入控制的問題,可以大幅度提升企業網絡的安全性和可管理性。CAMS服務器與H3C系列路由器和交換機的協同配合,可以穩定、高效地完成對網路接入用戶的安全認證、授權和管理,滿足企業的高安全和可管理的需求。
2.3.1 基于CAMS身份認證的組網結構
此結構需要通過配置路由器實現Radius 服務器對登錄路由器的用戶進行認證。Radius 服務器可使用H3C的CAMS服務器,CAMS與核心交換機相互配合,以保證安全性。CAMS配置需要以系統管理員admin的權限登錄CAMS配置臺,以界面的形式進行接入設備信息和策略的配置,實現設備用戶管理功能,這里只需在CAMS配置管理平臺進行簡單配置即可。
2.3.2 可以實現的功能
(1)用戶信息統一管理:利用CAMS強大的身份認證對設備管理用戶信息(用戶名,密碼,設備服務類型和訪問權限等)進行統一認證管理,提高網絡的可維護性。
(2)增加了綁定技術:可以將用戶的帳號和IP、MAC、VLAN、設備的端口等元素綁定在一起。每次認證的時候不僅確認用戶名和密碼,還需認證其IP或MAC,甚至是VLAN和端口號。當用戶數量很多時這時只需啟動自動綁定功能,CAMS可以自動學習用戶第一次上網時的IP和MAC并做相應綁定。這樣一來不僅完善了對用戶合法身份識別的方法,更提高了網絡的安全性。
(3)在線用戶控制:CAMS提供具體的用戶在線信息,如帳號、IP、MAC、端口、時間、流量等,并可實施強制下線,減少非法用戶和中毒計算機對網絡的危害。
2.4 加強病毒防范
為了能有效地預防并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施,建立病毒預警機制,以提高對病毒的反應速度,并有效加強對病毒的處理能力。我校目前安裝的主要安全軟件有網絡版卡巴斯基和360安全衛士。
2.5 加強工作人員的網絡安全培訓,培養用戶的信息安全意識
要確保信息安全工作的順利進行,必須注重把每個環節落實到每個層次上,而進行這種具體操作的是人,人正是網絡安全中最薄弱的環節,然而這個環節的加固又是見效最快的。所以必須加強對使用網絡的人員的管理,加強工作人員的安全培訓。增強內部人員的安全防范意識,提高內部管理人員整體素質。
參考文獻
[1] 吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用〔J〕真空電子技術,2004.34-36
【 關鍵詞 】 防火墻;網絡安全;主動性
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
類似于防火墻或者反病毒類軟件,都是屬于被動型或者說是反應型安全措施。在攻擊到來時,這類軟件都會產生相應的對抗動作,它們可以作為整個安全體系的一部分,但是,還需要建立一種具有主動性的網絡安全模式,防護任何未知的攻擊,保護醫院的網絡安全。
2 實現主動性網絡安全防護體系的四項安全措施
在實現一個具有主動性的網絡安全架構前,需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面:防火墻、VPN、反病毒軟件以及入侵檢測系統(IDS)。防火墻可以檢測數據包并試圖阻止有問題的數據包,但是它并不能識別入侵,而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道,但是它并不能保護網絡中的資料。反病毒軟件是與其自身的規則密不可分的,而且面對黑客攻擊,基本沒有什么反抗能力。同樣,入侵檢測系統也是一個純粹的受激反應系統,在入侵發生后才會有所動作。
雖然這四項基本的安全措施對醫院信息化來說至關重要,但是實際上,一個醫院也許花費了上百萬購買和建立防火墻、VPN、反病毒軟件以及IDS系統,但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞,它可以被黑客利用,用來攻擊網絡、竊取信息,并使網絡癱瘓。這就更加需要一種具有主動性的網絡安全模式來綜合管理這四項基本安全措施。
3 四項安全措施的綜合管理具體實施的步驟
3.1 實現主動性的網絡安全模式
作為醫院的信息化技術人員,要保護醫院的網絡首先需要開發一套安全策略,并要求所有科室人員遵守這一規則。同時,需要屏蔽所有的移動設備,并開啟無線網絡的加密功能以增強網絡的安全級別。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的,之后檢查系統漏洞,如果發現漏洞就立即用補丁或其它方法將其保護起來,這樣可以防止黑客利用這些漏洞竊取醫院的資料和導致網絡癱瘓。
3.2 開發一個安全策略
良好的網絡環境總是以一個能夠起到作用的安全策略為開始實現的,大家都必須按照這個策略來執行。基本的規則包括從指導操作員如何建立可靠的密碼到業務連續計劃以及災難恢復計劃(BCP和DRP)。比如應該有針對醫院收費項目和患者費用信息的備份策略;又如一個鏡象系統,以便在災難發生后可以迅速恢復數據。執行一個共同的安全策略也就意味著向具有主動性安全網絡邁出了第一步。
3.3 減少對安全策略的破壞
不論是有線網絡,還是無線網絡,都很有可能出現破壞安全策略的情況。很多系統沒有裝防病毒軟件、防火墻軟件,同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等,它們都是網絡安全漏洞的根源。因此,必須強制所有的終端安裝反病毒軟件,并開啟Windows XP內建的防火墻,或者安裝商業級的桌面防火墻軟件,同時卸載點對點共享程序以及聊天軟件。
3.4 封鎖移動設備
對于醫院的網絡來說,最大的威脅可能就是來自那些隨處移動的筆記本電腦或其它移動終端,它們具有網絡的接入權限,可以隨時接入醫院的網絡,具有最大的安全隱患。
據Forrester Research調查,到2005年,世界總共將有3500萬移動設備用戶,而到2010年,這個數字將增加到150億。這些數字讓我們了解這將是醫院網絡安全所面臨的巨大考驗。通過安全策略,可以讓網絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入,然后驗證這些終端是否符合安全策略,是否是經過認證的用戶,是否有明顯的系統漏洞等。
3.5 設置防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好地完成自己該做的那份工作。防火墻要設置智能化的規則,以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口,因此需要為防火墻建立規則,屏蔽所有系統上的1045端口。另外,當筆記本電腦或其它無線設備連接到網絡中時,防火墻也應該具有動態的規則來屏蔽這些移動終端的危險端口。
3.6 下載安裝商業級的安全工具
目前與安全有關的商業軟件相當豐富,可以從網上下載相應的產品來幫助保護醫院網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等,應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級,因此應該充分利用它們。
3.7 禁止潛在的可被黑客利用的對象
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的,由于它可以將外界的信息存入你的系統,因此對網絡安全來說是一個威脅。BHO是通過ADODB流對象在IE中運行的,通過禁止ADODB流對象,就可以防止BHO寫入文件、運行程序以及在系統上進行其它一些動作。
3.8 留意最新的威脅
據計算機安全協會 (CSI)表示,2002 CSI/FBI計算機犯罪和安全調查顯示,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”。因此,需要時刻留意網絡上的最新安全信息,以便保護醫院網絡。
3.9 彌補已知的漏洞
系統上已知的漏洞被稱為“通用漏洞批露”(CVE),它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施,可以將網絡中所有系統的CVE漏洞彌補好。
4 結束語
雖然安全性永遠都不是百分之百的,但是搭建好具有主動性的網絡安全模式就可以使醫院的網絡安全處于優勢地位。
參考文獻
[1] 鄧素平.構建網絡安全防護體系[J].山東通信技術,2001,2:17-19.
[2] 劉曉瑩等.網絡安全防護體系中網絡管理技術的研究與應用[J].應用與開發,2001,2001,3:30-31.
[3] 江振宇.建立防火墻的主動性網絡安全防護體系[J].計算機與信息技術,2007,23:56.
關鍵詞:園區網;安全;立體防護
中圖分類號:TP393.1 文獻標識碼:A 文章編號:1007-9599 (2012) 16-0000-02
隨著計算機網絡規模的不斷發展,基于網絡的各類應用呈幾何級數增長,人們在日常的工作學習生活中越來越依賴于網絡的存在。但是在不法利益的驅使下,越來越多的具備隱蔽性、破壞性、窺私性的非法行為現身于網絡世界,在給用戶帶來無法估量的損失的同時,也使網絡管理人員的工作面臨巨大的壓力。作為主要基于數據鏈路層協議轉發數據的園區網,其在各個層面上都給非法的網絡攻擊破壞行為提供了較為寬松的活動空間,而且使得非法行為更加難以防范,如何構建一個安全穩定的園區網,成為園區網網絡管理者急需解決的一個難題。
雖然影響網絡安全的因素種類繁多,諸如計算機病毒、木馬、惡意插件、網絡攻擊等,但只要能夠多角度地分析網絡安全隱患,正確制定部署園區網網絡安全策略,充分發揮已有的網絡及安全設備的作用,形成立體式的網絡安全防護體系,就可以阻斷來自園區網之外的威脅,控制內網的各種不安全行為。
園區網立體安全防護體系的構建主要由園區網節點的安全性控制、邏輯線的安全性設計、應用面的安全性防護及園區網各組成要素間的聯動機制四個方面組成,下面將針對園區網立體安全防護體系組成的各個要素做詳細的闡述。
1 節點的安全性控制
在園區網的整體結構中,無論是用戶終端還是網絡設備,任何一個節點的安全等級的下降或者不滿足要求都將對整個網絡的安全性產生或多或少的影響。因此,安全的園區網,首先要求每個節點自身是安全的,在面對網絡威脅時,可以有效地進行防御阻止,即使由于技術手段的原因,無法抵御威脅,仍要具備將網絡威脅的影響范圍控制在最小的范圍的能力。
作為末端節點的用戶使用終端,其安全性主要涉及以下幾個方面。首先,具備強壯的個人密碼系統,確保終端自身使用和他人授權使用的安全可靠。其次,具備安全的操作系統設置,關閉存在安全隱患且不需要的各類應用服務和用戶賬號。第三,具備應有的安全防護軟件,安裝必要的防病毒、防木馬、防惡意行為的安全軟件及防火墻,并定期升級特征庫、定期檢查系統可能存在的安全隱患。第四,具備良好的網絡使用習慣和網絡威脅識別能力,作為終端的使用者,應當具備基本的網絡安全知識,從而正確地使用網絡并能識別網絡各類應用中潛在的威脅因素。終端節點只要具備了以上各個要素,其安全性將得到有效地控制,成為園區網中穩定的一個點結構。
園區網中的骨干節點是各類型的網絡設備,此類節點的安全與否對園區網整體的安全性將產生直接的影響,甚至會破壞整個園區網的穩定運行。而由于網絡設備在園區網運行中所擔負的功能多樣,存在的安全隱患也相應的增加,需要考慮以下幾個因素。首先,網絡設備節點的管理者是網絡管理人員,所以任何非網絡管理人員在沒有得到授權的情況下不允許直接接觸或者使用其他數字終端直接連接網絡設備,這就要求網絡設備要有獨立放置的空間,非相關人員是無法進入的,并且要做好網絡設備的底層日志的收集,定期查看,確保網絡設備的物理安全。其次,關閉網絡設備的各類不必要或者有安全隱患的服務,如WEB管理、遠程訪問等。確實需要進行遠程訪問管理的設備,要使用安全的網絡協議,如SSH、HTTPS等。如果不支持此類安全協議,則要做好對訪問源的設置,確保任何非指定節點無法訪問網絡設備,最佳的實踐方法是每一臺網絡設備都指定固定的可管理終端。第三,設置各類訪問連接方式的認證信息,并對各類密碼進行加密存儲傳輸,加強密碼的日常管理。第四,正確分配設備管理權限,充分發揮網絡設備自身的安全特性,不給非授權訪問者任何可趁之機,同時對合法的訪問者進行有效地權限限制。做好網絡設備的安全性控制,可以有效地提高園區網整體的安全防護等級,同時網絡設備的自身安全特性可以得到穩定的發揮,從而對終端節點進行更好地安全保護,對終端節點的安全威脅可以做到有效地控制。
2 邏輯線的安全性設計
在解決園區網中各個節點的自身安全性問題后,需要關注的是組成園區網網狀結構中的兩條關鍵的線形結構:園區網出口至核心設備之間、核心交換設備至園區網各類應用設備群之間。這兩條線形結構上的安全性也將直接影響園區網整體的穩定和安全性。
在園區網出口至核心設備之間連接的通常由防火墻、IPS、安全網關、防病毒設備等組成,這些設備除了需要按照網絡節點的要求做好自身的安全防護工作外,還需要考慮下面幾個因素:第一,設備間不存在同質的重復性安全配置,由于串行鏈路上的設備將對符合自身策略定義的數據包進行拆包再封裝的過程,以確保數據流量的安全性,但同時也給一些延遲敏感的數據增大了延遲度,從而影響用戶正常的網絡應用體驗,所以應當仔細設計此條邏輯線上各個設備的策略,避免重復性的安全配置;第二,應當嚴格控制數據的流向,由于外部網絡應用的安全性無法得到保證,且各類應用的安全性參差不齊,為防止外部網絡中的各類不安全因素進入園區網內部,從而在園區網內部擴散,應對外部數據的進入做源控制,限制精度應達到協議和端口級。第三,要密切關注該線上設備的狀態和日志,及時分析發現可能出現的威脅,將網絡安全威脅控制在園區網的邊界上,并對潛在的安全隱患做出有針對性的策略調整,同時要做好攻擊破壞事件的留證工作。
園區網安全最大的威脅往往不是來自外部網絡,而是來自網絡內部的不安全因素。這些非法行為的目標往往是存儲了大量應用或者用戶數據的服務器群,因此,從核心交換設備到園區網服務器群之間的線形結構的安全性就顯得至關重要。這個線形結構中的設備通常有防火墻、IPS、IDS、審計系統、身份認證系統、終端管理系統等,這些設備部分是旁路設備,但是在部分功能上可以起到干路設備的作用,要確保這條鏈路所連接的服務器群的安全,需要做好以下三個工作:第一,對各個設備所扮演的角色、具備的功能做充分的了解,合理地確定各個設備的邏輯位置,第二,做好防火墻的策略配置,將數據流量按照安全需求依次轉發,例如任何流向服務器群的數據首先需要通過身份認證,然后再通過終端管理系統,最后再經過IPS進入服務器群,同時鏡像至審計系統,第三,做好各類統計設備的日志分析,定期分析數據報表,根據實際流量的變化尋找可能存在的安全隱患,并及時調整策略部署。
3 應用面的安全性防護
網絡最終呈現給用戶的是各種應用,而這些應用自身的安全與否將直接影響到用戶的應用體驗,甚至可能造成各種損失,所以應加強各類網絡應用的安全性防護。除了終端節點應做好的安全工作外,還要重點關注以下幾個方面的問題:
第一,應用的運行環境是否穩定。運行的環境或者平臺自身是否足夠強壯,是否存在大的安全漏洞,這就要求在搭建各類應用平臺時,要選擇成熟的、可靠的、有廣泛普及應用的運行環境,既不要為“嘗鮮”而選擇那些較新的運行環境,因為沒有經過大范圍的應用測試,其安全性沒有得到有效的檢驗,也不要為了穩定而使用過于陳舊的運行環境,由于相關的技術支持已經停止,一旦出現安全漏洞,將無法及時進行修補。
第二,應用自身的開發建設是否安全。有些應用自身存在安全隱患,無法通過運行環境的安全防護來解決,因為應用在開發過程中可能沒有完全按照開發規范來實施,或者選擇了一些本身存在問題的開發平臺或語言,在測試階段沒有建立足夠全面的測試樣本,從而導致應用的先天性不足。所以在選擇網絡應用時,既要考慮自身需求,又要兼顧應用自身的健壯性。
第三,做好網絡應用的訪問控制。對于包含敏感或者密級的網絡應用,應嚴格控制用戶的訪問,做好各類訪問賬號的分級工作。而對于用戶需要上傳數據的網絡應用,也要做好用戶權限的設置,防止危險數據進入應用平臺并擴散。
4 園區網各組成要素間的聯動機制
在做好節點、邏輯線、應用面的安全防護后,園區網的安全性得到了基本保證,但仍然欠缺面對安全威脅時的自我修復能力和影響范圍的控制能力,因此,需要建立園區網各組成要素間的聯動機制,使各個組成要素在面對網絡安全威脅時,形成有機的整體,更加地靈活、健壯,不但可以有效地防范攔截各類非法行為、控制影響范圍,而且還可以在較短的時間內消除安全威脅。有效地聯動機制要求園區網的各組成要素要具備以下兩個條件:
第一,對安全威脅評估判斷標準的一致性。園區網中各個組成要素都具備一定的安全防護特性,在配置生效后,將依據自身的配置參數來對網絡數據和行為進行評估判斷,以確定流量的正常或者異常,如果網絡設備對數據行為的評估判斷標準不一致,就會出現把正常流量當作惡意流量攔截的“誤判”現象,也會出現把惡意流量當作正常流量放行的“漏判”現象。要統一各組成要素的評估判斷標準,同時要科學設定閥閾值,做好標準統一嚴格,評估判斷準確一致。
第二,對安全威脅的處理決策果決無差異化。一旦判定網絡中出現安全威脅,則各個組成要素對威脅的處理要及時,且沒有邏輯上的差異。要做到這一點,需要精心設計數據流量的流向,同時對具備處理威脅權限的設備中的相關配置進行精細化處理。處理決策的不一致,也將會出現安全威脅被抓住后又逃脫甚至合法化的情況,例如用戶終端感染病毒木馬,終端管理系統的處理方式是將終端自動跳轉到隔離網段進行后續處理,而身份認證系統則會認為用戶非法改變自己網段,將會凍結其賬號,而交換設備會再邏輯上關閉其接入端口。這樣的處理決策沒有形成一致性,雖然可能暫時隔離威脅,但威脅不能得到及時有效地處理。如果處理決策一致,則終端管理系統將用戶終端跳轉到隔離網段,同時身份認證系統解綁其相關數據,使其可以以隔離網段的身份訪問數據,而防火墻對隔離網段進行訪問范圍的限制,比如只允許其訪問防病毒服務器,在查殺病毒木馬后,終端管理系統將其跳轉為正常網段,同時身份認證系統恢復其正常角色。在隔離威脅的同時解決了安全威脅。
園區網立體安全防護體系的構建,需要以上四個條件作為支撐,而立體式的安全防護體系給園區網帶來的不僅僅是安全穩定,同時減輕了網絡管理人員的壓力,大大減少了由安全威脅帶來的各種損失。隨著網絡規模和應用以及網絡硬件設備的不斷發展,園區網將不斷面臨新的安全威脅的挑戰,但是只要堅持建設立體化的園區網安全防護體系,不斷將網絡設備的新特性充實進安全防護體系,園區網將始終保持安全的狀態為用戶提供多樣化的應用服務。
參考文獻:
