時(shí)間:2022-04-09 20:50:14
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡(luò)安全方案,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);安全;病毒;物理
在現(xiàn)代企業(yè)的生存與發(fā)展過(guò)程中,企業(yè)網(wǎng)絡(luò)安全威脅與企業(yè)網(wǎng)絡(luò)安全防護(hù)是并行存在的。雖然企業(yè)網(wǎng)絡(luò)安全技術(shù)與以往相比取得了突破性的進(jìn)展,但過(guò)去企業(yè)網(wǎng)絡(luò)處于一個(gè)封閉或者是半封閉的狀態(tài),只需簡(jiǎn)單的防護(hù)設(shè)備和防護(hù)方案即可保證其安全性。而當(dāng)今大多數(shù)企業(yè)網(wǎng)絡(luò)幾乎處于全球互聯(lián)的狀態(tài),這種時(shí)空的無(wú)限制性和準(zhǔn)入的開(kāi)放性間接增加了企業(yè)網(wǎng)絡(luò)安全的影響因素,自然給企業(yè)網(wǎng)絡(luò)安全帶來(lái)了更多的威脅。因此,企業(yè)網(wǎng)絡(luò)安全防護(hù)一個(gè)永無(wú)止境的過(guò)程,對(duì)其進(jìn)行研究無(wú)論是對(duì)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用,還是對(duì)于企業(yè)的持續(xù)發(fā)展,都具有重要的意義。
1企業(yè)網(wǎng)絡(luò)安全問(wèn)題分析
基于企業(yè)網(wǎng)絡(luò)的構(gòu)成要素以及運(yùn)行維護(hù)條件,目前企業(yè)網(wǎng)絡(luò)典型的安全問(wèn)題主要表現(xiàn)于以下幾個(gè)方面。
1.1網(wǎng)絡(luò)設(shè)備安全問(wèn)題
企業(yè)網(wǎng)絡(luò)系統(tǒng)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、個(gè)人電腦、備用電源等硬件設(shè)備,時(shí)常會(huì)發(fā)生安全問(wèn)題,而這些設(shè)備一旦產(chǎn)生安全事故很有可能會(huì)泄露企業(yè)的機(jī)密信息,進(jìn)而給企業(yè)帶來(lái)不可估量經(jīng)濟(jì)損失。以某企業(yè)為例,該企業(yè)網(wǎng)絡(luò)的服務(wù)器及相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長(zhǎng)時(shí)間停電的情況下,很容易由于蓄電池的電量耗盡而導(dǎo)致整個(gè)企業(yè)網(wǎng)絡(luò)的停運(yùn)。當(dāng)然,除了電源問(wèn)題外,服務(wù)器、交換機(jī)也存在諸多安全隱患。
1.2服務(wù)器操作系統(tǒng)安全問(wèn)題
隨著企業(yè)規(guī)模的壯大以及企業(yè)業(yè)務(wù)的拓展,對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全需求也有所提高。目前諸多企業(yè)網(wǎng)絡(luò)服務(wù)器采用的是WindowsXP或Windows7操作系統(tǒng),由于這些操作系統(tǒng)存在安全漏洞,自然會(huì)降低服務(wù)器的安全防御指數(shù)。加上異常端口、未使用端口以及不規(guī)范的高權(quán)限賬號(hào)管理等問(wèn)題的存在,在不同程度上增加了服務(wù)器的安全威脅。
1.3訪問(wèn)控制問(wèn)題
企業(yè)網(wǎng)絡(luò)訪問(wèn)控制安全問(wèn)題也是較為常見(jiàn)的,以某企業(yè)為例,該企業(yè)采用Websense管理軟件來(lái)監(jiān)控企業(yè)內(nèi)部人員的上網(wǎng)行為,但未限制存在安全隱患的上網(wǎng)活動(dòng)。同時(shí)對(duì)于內(nèi)部上網(wǎng)終端及外來(lái)電腦未設(shè)置入網(wǎng)認(rèn)證及無(wú)線網(wǎng)絡(luò)訪問(wèn)節(jié)點(diǎn)安全檢查,任何電腦都可在信號(hào)區(qū)內(nèi)接入到無(wú)線網(wǎng)絡(luò)。
2企業(yè)網(wǎng)絡(luò)安全防護(hù)方案
基于上述企業(yè)網(wǎng)絡(luò)普遍性的安全問(wèn)題,可以針對(duì)性的提出以下綜合性的安全防護(hù)方案來(lái)提高企業(yè)網(wǎng)絡(luò)的整體安全性能。
2.1網(wǎng)絡(luò)設(shè)備安全方案
企業(yè)網(wǎng)絡(luò)相關(guān)設(shè)備的安全性能是保證整個(gè)企業(yè)網(wǎng)絡(luò)安全的基本前提,為了提高網(wǎng)絡(luò)設(shè)備的整體安全指數(shù),可采取以下具體措施。首先,合適傳輸介質(zhì)的選用。盡量選擇抗干擾能力強(qiáng)、傳輸頻帶寬、傳輸誤碼率低的傳輸介質(zhì),例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業(yè)網(wǎng)絡(luò)相關(guān)主干設(shè)備對(duì)交流電源的生產(chǎn)質(zhì)量、供電連續(xù)性、供電可靠性以及抗干擾性等指標(biāo)提出了更高的要求,這就要求對(duì)企業(yè)網(wǎng)絡(luò)的供電系統(tǒng)進(jìn)行優(yōu)化。以上述某企業(yè)網(wǎng)絡(luò)系統(tǒng)電源供電不足問(wèn)題為例,為了徹底解決傳統(tǒng)電源供給不足問(wèn)題,可以更換為大容量的蓄電池組,并安裝固定式發(fā)電機(jī)組,進(jìn)而保證在長(zhǎng)時(shí)間停電狀態(tài)下企業(yè)網(wǎng)絡(luò)設(shè)備的可持續(xù)供電,避免因?yàn)閿嚯姸鴮?dǎo)致文件損壞及數(shù)據(jù)丟失等安全問(wèn)題的發(fā)生。
2.2服務(wù)器系統(tǒng)安全方案
企業(yè)網(wǎng)絡(luò)服務(wù)器系統(tǒng)的安全尤為重要,然而其安全問(wèn)題的產(chǎn)生又是多方面因素所導(dǎo)致的,需要從多個(gè)層面來(lái)構(gòu)建安全防護(hù)方案。
2.2.1操作系統(tǒng)漏洞安全
目前企業(yè)網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)以Windows為主,該系統(tǒng)漏洞的出現(xiàn)成為了諸多攻擊者的重點(diǎn)對(duì)象,除了采取常規(guī)的更新Windows系統(tǒng)、安裝系統(tǒng)補(bǔ)丁外,還應(yīng)針對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器及個(gè)人電腦的操作系統(tǒng)使用實(shí)際情況,實(shí)施專門(mén)的漏洞掃描和檢測(cè),并根據(jù)掃描結(jié)果做出科學(xué)、客觀、全面的安全評(píng)估,如圖1所示,將證書(shū)授權(quán)入侵檢測(cè)系統(tǒng)部署在核心交換機(jī)的監(jiān)控端口,并在不同網(wǎng)段安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè),以此來(lái)檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵威脅。圖1漏洞掃描及檢測(cè)系統(tǒng)
2.2.2Windows端口安全
在Windows系統(tǒng)中,端口是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)信息服務(wù)主要通道,一般一臺(tái)服務(wù)器會(huì)綁定多個(gè)IP,而這些IP又通過(guò)多個(gè)端口來(lái)提高企業(yè)網(wǎng)絡(luò)服務(wù)能力,這種多個(gè)端口的對(duì)外開(kāi)放在一定程度反而增加了安全威脅因素。從目前各種服務(wù)器網(wǎng)絡(luò)攻擊的運(yùn)行路徑來(lái)看,大多數(shù)都要通過(guò)服務(wù)器TCP/UDP端口,可充分這一點(diǎn)來(lái)預(yù)防各種網(wǎng)絡(luò)攻擊,只需通過(guò)命令或端口管理軟件來(lái)實(shí)現(xiàn)系統(tǒng)端口的控制管理即可。
2.2.3Internet信息服務(wù)安全
Internet信息服務(wù)是以TCP/IP為基礎(chǔ)的,可通過(guò)諸多措施來(lái)提高Internet信息服務(wù)安全。(1)基于IP地址實(shí)現(xiàn)訪問(wèn)控制。通過(guò)對(duì)IIS配置,可實(shí)現(xiàn)對(duì)來(lái)訪IP地址的檢測(cè),進(jìn)而以訪問(wèn)權(quán)限的設(shè)置來(lái)阻止或允許某些特定計(jì)算機(jī)的訪問(wèn)站點(diǎn)。(2)在非系統(tǒng)分區(qū)上安裝IIS服務(wù)器。若在系統(tǒng)分區(qū)上安裝IIS,IIS就會(huì)具備非法訪問(wèn)屬性,給非法用戶侵入系統(tǒng)分區(qū)提供便利,因此,在非系統(tǒng)分區(qū)上安全I(xiàn)IS服務(wù)器較為科學(xué)。(3)NTFS文件系統(tǒng)的應(yīng)用。NTFS文件系統(tǒng)具有文件及目錄管理功能,服務(wù)器Windows2000的安全機(jī)制是基于NTFS文件系統(tǒng)的,因此Windows2000安裝時(shí)選用NTFS文件系統(tǒng),安全性能更高。(4)服務(wù)端口號(hào)的修改。雖然IIS網(wǎng)絡(luò)服務(wù)默認(rèn)端口的使用為訪問(wèn)提供了諸多便捷,但會(huì)降低安全性,更容易受到基于端口程序漏洞的服務(wù)器攻擊,因此,通過(guò)修改部分服務(wù)器的網(wǎng)絡(luò)服務(wù)端口可提高企業(yè)網(wǎng)絡(luò)服務(wù)器的安全性。
2.3網(wǎng)絡(luò)結(jié)構(gòu)安全方案
2.3.1強(qiáng)化網(wǎng)絡(luò)設(shè)備安全
強(qiáng)化企業(yè)網(wǎng)絡(luò)設(shè)備的自身安全是保障企業(yè)網(wǎng)絡(luò)安全的基礎(chǔ)措施,具體包含以下措施。(1)網(wǎng)絡(luò)設(shè)備運(yùn)行安全。對(duì)各設(shè)備、各端口運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控能有效發(fā)現(xiàn)各種異常,進(jìn)而預(yù)防各種安全威脅。一般可通過(guò)可視化管理軟件的應(yīng)用來(lái)實(shí)現(xiàn)上述目標(biāo),例如What’supGold能實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)控,而SolarWindsNetworkPerformancemonitor可實(shí)現(xiàn)對(duì)各個(gè)端口流量的實(shí)時(shí)監(jiān)控。(2)網(wǎng)絡(luò)設(shè)備登錄安全。為了保證網(wǎng)絡(luò)設(shè)備登錄安全指數(shù),對(duì)于企業(yè)網(wǎng)絡(luò)中的核心設(shè)備應(yīng)配置專用的localuser用戶名,用戶名級(jí)別設(shè)置的一級(jí),該級(jí)別用戶只具備讀權(quán)限,一般用于console、遠(yuǎn)程telnet登錄等需求。除此之外,還可設(shè)置一個(gè)單獨(dú)的super密碼,只有擁有super密碼的管理員才有資格對(duì)核心交換機(jī)實(shí)施相關(guān)配置設(shè)置。(3)無(wú)線AP安全。一般在企業(yè)內(nèi)部有多個(gè)無(wú)線AP設(shè)備,應(yīng)采用較為成熟的加密技術(shù)設(shè)置一個(gè)較為復(fù)雜的高級(jí)秘鑰,從而確保無(wú)線接入網(wǎng)的安全性。
2.3.2細(xì)分網(wǎng)絡(luò)安全區(qū)域
目前,廣播式局域的企業(yè)網(wǎng)絡(luò)組網(wǎng)模式存在著一個(gè)嚴(yán)重缺陷就是當(dāng)其中各個(gè)局域網(wǎng)存在ARP病毒時(shí),未設(shè)置ARP本地綁定或未設(shè)置ARP防火墻的終端則無(wú)法有效訪問(wèn)系統(tǒng),同時(shí)還可能泄露重要信息。為了解決這種問(wèn)題,可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行細(xì)分,即按某種規(guī)則如企業(yè)職能部門(mén)將企業(yè)網(wǎng)絡(luò)終端設(shè)備劃分為多個(gè)網(wǎng)段,在每個(gè)網(wǎng)段均有不同的vlan,從而保證安全性。
2.3.3加強(qiáng)通問(wèn)控制
針對(duì)企業(yè)各個(gè)部門(mén)對(duì)網(wǎng)絡(luò)資源的需求,在通問(wèn)控制時(shí)需要注意以下幾點(diǎn):對(duì)內(nèi)服務(wù)器應(yīng)根據(jù)提供的業(yè)務(wù)與對(duì)口部門(mén)互通;對(duì)內(nèi)服務(wù)器需要與互聯(lián)網(wǎng)隔離;體驗(yàn)區(qū)只能訪問(wèn)互聯(lián)網(wǎng),不能訪問(wèn)辦公網(wǎng)。以上功能的實(shí)現(xiàn),可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫(yī)院
關(guān)鍵詞:網(wǎng)絡(luò)安全;蜜罐技術(shù);蜜網(wǎng)技術(shù);入侵檢測(cè);虛擬機(jī);VMware
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)的應(yīng)用已深入各行各業(yè),特別是企事業(yè)單位的日常管理工作更是緊密依賴網(wǎng)絡(luò)資源。基于此,保證網(wǎng)絡(luò)的正常運(yùn)行就顯得尤為重要。目前,廣泛采用的安全措施是在企業(yè)局域網(wǎng)里布設(shè)網(wǎng)絡(luò)防火墻、病毒防火墻、入侵檢測(cè)系統(tǒng),同時(shí)在局域網(wǎng)內(nèi)設(shè)置服務(wù)器備份與數(shù)據(jù)備份系統(tǒng)等方案。而這些安全網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)真能有效地保證系統(tǒng)的安全嗎?做到了這一切系統(tǒng)管理員就能高枕無(wú)憂了嗎?
1 問(wèn)題的提出
圖1為現(xiàn)實(shí)中常用的二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。從圖中可以看出,網(wǎng)絡(luò)防火墻與入侵檢測(cè)系統(tǒng)(IDS)均部署在網(wǎng)絡(luò)入口處,即防火墻與入侵檢測(cè)系統(tǒng)所阻擋是外網(wǎng)用戶對(duì)系統(tǒng)的入侵,但是對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō),內(nèi)部網(wǎng)絡(luò)是公開(kāi)的,所有的安全依賴于操作系統(tǒng)本身的安全保障措施提供。對(duì)一般的用戶來(lái)講,內(nèi)網(wǎng)通常是安全的,即是說(shuō)這種設(shè)計(jì)的對(duì)于內(nèi)網(wǎng)的用戶應(yīng)該是可信賴的。然而對(duì)于諸如校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng),由于操作者基本上都是充滿強(qiáng)烈好奇心而又具探索精神的學(xué)生,同時(shí)還要面對(duì)那些極少數(shù)有逆反心理、強(qiáng)烈報(bào)復(fù)心的學(xué)生,這種只有操作系統(tǒng)安全性作為唯一一道防線的網(wǎng)絡(luò)系統(tǒng)的可信賴程度將大打折扣。
另一方面,有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員都知道,網(wǎng)絡(luò)中設(shè)置了防火墻與入侵檢測(cè)系統(tǒng)并不能從根本上解決網(wǎng)絡(luò)的安全問(wèn)題(最安全的方法只能是把網(wǎng)絡(luò)的網(wǎng)線撥了),只能對(duì)網(wǎng)絡(luò)攻擊者形成一定的阻礙并延長(zhǎng)其侵入時(shí)間。操作者只要有足夠的耐心并掌握一定的攻擊技術(shù),這些安全設(shè)施終有倒塌的可能。
所以,如何最大可能地延長(zhǎng)入侵者攻擊網(wǎng)絡(luò)的時(shí)間?如何在入侵雖已發(fā)生但尚未造成損失時(shí)及時(shí)發(fā)現(xiàn)入侵?避開(kāi)現(xiàn)有入侵檢測(cè)系統(tǒng)可以偵測(cè)的入侵方式而采用新的入侵方式進(jìn)行入侵時(shí),管理者又如何發(fā)現(xiàn)?如何保留入侵者的證據(jù)并將其提交有關(guān)部門(mén)?這些問(wèn)題都是網(wǎng)絡(luò)管理者在安全方面需要經(jīng)常思考的問(wèn)題。正是因?yàn)樯鲜鲈颍酃藜夹g(shù)應(yīng)運(yùn)而生。
2 蜜罐技術(shù)簡(jiǎn)介
蜜罐技術(shù)的研究起源于上世紀(jì)九十年代初。蜜罐技術(shù)專家L.Spitzner對(duì)蜜罐是這樣定義的:蜜罐是一個(gè)安全系統(tǒng),其價(jià)值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個(gè)包含漏洞的誘騙系統(tǒng)。它是專門(mén)為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人設(shè)計(jì)的。它通過(guò)模擬一個(gè)或多個(gè)有漏洞的易受攻擊的主機(jī),給攻擊者提供十分容易受攻擊的目標(biāo)。
如圖2所示,蜜罐與正常的服務(wù)器一樣接入核心交換機(jī),并安裝相應(yīng)的操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng),配置相應(yīng)的網(wǎng)絡(luò)服務(wù),故意存放“有用的”但已過(guò)時(shí)的或可以公開(kāi)的數(shù)據(jù)。甚至可以將蜜罐服務(wù)器配置成接入網(wǎng)絡(luò)即組成一臺(tái)真正能提供應(yīng)用的服務(wù)器,只是注意將蜜罐操作系統(tǒng)的安全性配置成低于正常的應(yīng)用服務(wù)器的安全性,或者故意留出一個(gè)或幾個(gè)最新發(fā)現(xiàn)的漏洞,以便達(dá)到“誘騙”的目的。
正常配置的蜜罐技術(shù)一旦使用,便可發(fā)揮其特殊功能。
1) 由于蜜罐并沒(méi)有向外界提供真正有價(jià)值的服務(wù),正常情況下蜜罐系統(tǒng)不被訪問(wèn),因此所有對(duì)其鏈接的嘗試都將被視為可疑的,這樣蜜罐對(duì)網(wǎng)絡(luò)常見(jiàn)掃描、入侵的反應(yīng)靈敏度大大提高,有利于對(duì)入侵的檢測(cè)。
2) 蜜罐的另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊,讓攻擊者在蜜罐上浪費(fèi)時(shí)間。如圖二, 正常提供服務(wù)的服務(wù)器有4個(gè),加入4個(gè)蜜罐,在攻擊者看來(lái),服務(wù)器有8個(gè),其掃描與攻擊的對(duì)象也增加為8個(gè),所以大大減少了正常服務(wù)器受攻擊的可能性。同時(shí),由于蜜罐的漏洞多于正常服務(wù)器,必將更加容易吸引攻擊者注意,讓其首先將時(shí)間花在攻擊蜜罐服務(wù)器上。蜜罐服務(wù)器靈敏的檢測(cè)并及時(shí)報(bào)警,這樣可以使網(wǎng)絡(luò)管理員及時(shí)發(fā)現(xiàn)有攻擊者入侵并及時(shí)采取措施,從而使最初可能受攻擊的目標(biāo)得到了保護(hù),真正有價(jià)值的內(nèi)容沒(méi)有受到侵犯。
3) 由于蜜罐服務(wù)器上安裝了入侵檢測(cè)系統(tǒng),因此它可以及時(shí)記錄攻擊者對(duì)服務(wù)器的訪問(wèn),從而能準(zhǔn)確地為追蹤攻擊者提供有用的線索,為攻擊者搜集有效的證據(jù)。從這個(gè)意義上說(shuō),蜜罐就是“誘捕”攻擊者的一個(gè)陷阱。
經(jīng)過(guò)多年的發(fā)展,蜜罐技術(shù)已成為保護(hù)網(wǎng)絡(luò)安全的切實(shí)有效的手段之一。對(duì)企事關(guān)單位業(yè)務(wù)數(shù)據(jù)處理,均可以通過(guò)部署蜜罐來(lái)達(dá)到提高其安全性的目的。
3 蜜罐與蜜網(wǎng)技術(shù)
蜜罐最初應(yīng)用是真正的主機(jī)與易受攻擊的系統(tǒng),以獲取黑客入侵證據(jù)、方便管理員提前采取措施與研究黑客入侵手段。1998年開(kāi)始,蜜罐技術(shù)開(kāi)始吸引了一些安全研究人員的注意,并開(kāi)發(fā)出一些專門(mén)用于欺騙黑客的開(kāi)放性源代碼工具,如Fred Cohen所開(kāi)發(fā)的DTK(欺騙工具包)、Niels Provos開(kāi)發(fā)的Honeyd等,同時(shí)也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。
這一階段的蜜罐可以稱為是虛擬蜜罐,即開(kāi)發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)并對(duì)黑客的攻擊行為做出回應(yīng),從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識(shí)別等問(wèn)題。從2000年之后,安全研究人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐,與之前不同的是,融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具,并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中.使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。
蜜網(wǎng)技術(shù)的模型如圖3所示。由圖中可以看出,蜜網(wǎng)與蜜罐最大的差別在于系統(tǒng)中多布置了一個(gè)蜜網(wǎng)網(wǎng)關(guān)(honeywall)與日志服務(wù)器。其中蜜網(wǎng)網(wǎng)關(guān)僅僅作為兩個(gè)網(wǎng)絡(luò)的連接設(shè)備,因此沒(méi)有MAC地址,也不對(duì)任何的數(shù)據(jù)包進(jìn)行路由及對(duì)TTL計(jì)數(shù)遞減。蜜網(wǎng)網(wǎng)關(guān)的這種行為使得攻擊者幾乎不可能能覺(jué)察到它的存在。任何發(fā)送到蜜網(wǎng)內(nèi)的機(jī)器的數(shù)據(jù)包都會(huì)經(jīng)由Honeywall網(wǎng)關(guān),從而確保管理員能捕捉和控制網(wǎng)絡(luò)活動(dòng)。而日志服務(wù)器則記錄了攻擊者在蜜罐機(jī)上的所有的行為以便于對(duì)攻擊者的行為進(jìn)行分析,并對(duì)蜜罐機(jī)上的日志進(jìn)行備份以保留證據(jù)。這樣攻擊者并不會(huì)意識(shí)到網(wǎng)絡(luò)管理員正在監(jiān)視著他,捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動(dòng)機(jī)。
4 蜜罐部署
由前述內(nèi)容可以看出,蜜罐服務(wù)器布置得越多,應(yīng)用服務(wù)器被掃描與攻擊的風(fēng)險(xiǎn)則越小,但同時(shí)系統(tǒng)成本將大幅度提高,管理難度也加大。正因?yàn)槿绱耍瑢?shí)際中蜜罐的部署是通過(guò)虛擬計(jì)算系統(tǒng)來(lái)完成的。
當(dāng)前在Windows平臺(tái)上流行的虛擬計(jì)算機(jī)系統(tǒng)主要有微軟的Virtual Pc與Vmware。以Vmware為例,物理主機(jī)配置兩個(gè)網(wǎng)卡,采用Windows2000或Windows XP操作系統(tǒng),并安裝VMwar。建立一臺(tái)虛擬機(jī)作為蜜網(wǎng)網(wǎng)關(guān),此虛擬機(jī)設(shè)置三個(gè)虛擬網(wǎng)卡(其虛擬網(wǎng)卡類型見(jiàn)圖4),分別連接系統(tǒng)工作網(wǎng)、虛擬服務(wù)器網(wǎng)與監(jiān)控服務(wù)器。虛擬服務(wù)器網(wǎng)根據(jù)物理主機(jī)內(nèi)存及磁盤(pán)空間大小可虛擬多個(gè)服務(wù)器并安裝相應(yīng)的操作系統(tǒng)及應(yīng)用軟件,以此誘惑黑客攻擊。蜜網(wǎng)服務(wù)器用于收集黑客攻擊信息并保留證據(jù)。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖4所示。
系統(tǒng)部署基本過(guò)程如下:
4.1 主機(jī)硬件需求
CPU:Pentium 4 以上CPU,雙核更佳。
硬盤(pán):80G以上,視虛擬操作系統(tǒng)數(shù)量而定。
內(nèi)存:1G以上,其中蜜網(wǎng)軟件Honeywall至少需要256M以上。其它視虛擬操作系統(tǒng)數(shù)量而定。(下轉(zhuǎn)第346頁(yè))
(上接第341頁(yè))
網(wǎng)卡:兩個(gè),其中一個(gè)作為主網(wǎng)絡(luò)接入,另一個(gè)作為監(jiān)控使用。
其它設(shè)備:視需要而定
4.2 所需軟件
操作系統(tǒng)安裝光盤(pán):Windows 2000或Windows 2003;
虛擬機(jī)軟件:VMware Workstation for Win32;
蜜網(wǎng)網(wǎng)關(guān)軟件:Roo Honeywall CDROM v1.2,可從蜜網(wǎng)項(xiàng)目組網(wǎng)站(一個(gè)非贏利國(guó)際組織,研究蜜網(wǎng)技術(shù),網(wǎng)址為)下載安裝光盤(pán)。
4.3 安裝過(guò)程
1)安裝主機(jī)操作系統(tǒng)。
2) 安裝虛擬機(jī)軟件。
3) 構(gòu)建虛擬網(wǎng)絡(luò)系統(tǒng)。其中蜜網(wǎng)網(wǎng)關(guān)虛擬類型為L(zhǎng)inux,內(nèi)存分配為256M以上,最好為512M,硬盤(pán)空間為4G以上,最好為10G。網(wǎng)卡三個(gè),分別設(shè)為VMnet0、VMnet1和VMnet2,如圖4所示。
4) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上安裝honeywall,配置IP信息、管理信息等。
5) 在蜜網(wǎng)網(wǎng)關(guān)機(jī)上配置Sebek服務(wù)器端,以利用蜜網(wǎng)網(wǎng)關(guān)收集信息。
6) 安裝虛擬服務(wù)器組,并布設(shè)相應(yīng)的應(yīng)用系統(tǒng)。注意虛擬服務(wù)器組均配置為VMnet1,以使其接入蜜網(wǎng)網(wǎng)關(guān)機(jī)后。
7) 在虛擬服務(wù)器組上安裝并配置sebek客戶端。
8) 通過(guò)監(jiān)控機(jī)的瀏覽器測(cè)試蜜網(wǎng)網(wǎng)關(guān)數(shù)據(jù)。
總之,虛擬蜜網(wǎng)系統(tǒng)旨在利用蜜網(wǎng)網(wǎng)關(guān)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析等功能,通過(guò)對(duì)蜜網(wǎng)防火墻的日志記錄、eth1上的嗅探器記錄的網(wǎng)絡(luò)流和Sebek 捕獲的系統(tǒng)活動(dòng),達(dá)到分析網(wǎng)絡(luò)入侵手段與方法的目的,以利于延緩網(wǎng)絡(luò)攻擊、改進(jìn)網(wǎng)絡(luò)安全性的目的。
參考文獻(xiàn):
[1] 王連忠.蜜罐技術(shù)原理探究[J].中國(guó)科技信息,2005(5):28.
[2] 牛少彰,張 瑋. 蜜罐與蜜網(wǎng)技術(shù)[J].通信市場(chǎng),2006(12):64-65.
[3] 殷聯(lián)甫.主動(dòng)防護(hù)網(wǎng)絡(luò)入侵的蜜罐(Honeypot)技術(shù)[J].計(jì)算機(jī)應(yīng)用,2004(7):29-31.
[4] 葉飛.蜜罐技術(shù)淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007(5):36-37.
前言…………………………………………………………………………………………3
1 Internet與Intranet………………………………………………………………… 4
1.1 Internet概述……………………………………………………………………… 4
1.2 Internet的服務(wù)…………………………………………………………………… 4
1.3 什么是Intranet…………………………………………………………………… 4
1.4 建立企業(yè)Intranet的必要性……………………………………………………… 5
1.5 Intranet對(duì)現(xiàn)代企業(yè)的影響……………………………………………………… 7
1.6 利用Internet與Intranet的功能交互實(shí)現(xiàn)虛擬企業(yè)…………………………… 9
2 信息管理系統(tǒng)(MIS)的方案研究……………………………………………………11
2.1 企業(yè)級(jí)應(yīng)用體系結(jié)構(gòu)………………………………………………………………11
2.2 大型機(jī)模式…………………………………………………………………………12
2.3 傳統(tǒng)的客戶機(jī)/服務(wù)器模式………………………………………………………12
2.4 文件服務(wù)器模式……………………………………………………………………13
2.5 瀏覽器/WEB服務(wù)器模式…………………………………………………………13
3 局域網(wǎng)的組建……………………………………………………………………………16
3.1 局域網(wǎng)設(shè)計(jì)的原則…………………………………………………………………16
3.2 對(duì)等網(wǎng)絡(luò)和基于服務(wù)器的網(wǎng)絡(luò)……………………………………………………16
3.3 網(wǎng)絡(luò)拓?fù)洹?6
3.4 網(wǎng)絡(luò)協(xié)議……………………………………………………………………………18
3.5 專用服務(wù)器…………………………………………………………………………19
3.6 網(wǎng)絡(luò)連接線路和設(shè)備………………………………………………………………19
3.7 使用Windows NT組建局域網(wǎng)……………………………………………………19
4 服裝企業(yè)MIS系統(tǒng)……………………………………………………………………20
4.1 發(fā)展服裝企業(yè)MIS的必要性和迫切性 …………………………………………20
4.2 發(fā)展歷史和現(xiàn)有產(chǎn)品研究…………………………………………………………20
4.3 服裝企業(yè)信息管理流程 …………………………………………………………21
5 架構(gòu)基于Internet/Intranet的服裝企業(yè)MIS系統(tǒng)………………………………22
5.1 總體方案設(shè)計(jì)………………………………………………………………………22
5.2 硬件配置……………………………………………………………………………23
5.3 軟件配置……………………………………………………………………………24
6 服裝MIS系統(tǒng)應(yīng)用軟件的開(kāi)發(fā)(核心)…………………………………………25
6.1 DELPHI5……………………………………………………………………………25
6.2 模塊劃分和數(shù)據(jù)流程………………………………………………………………25
6.3 生產(chǎn)管理模塊的數(shù)據(jù)關(guān)系和數(shù)據(jù)庫(kù)設(shè)計(jì)…………………………………………26
6.4 計(jì)劃部分編制………………………………………………………………………29
6.5 實(shí)錄部分編制………………………………………………………………………36
6.6 生產(chǎn)分析部分編制…………………………………………………………………39
6.7 報(bào)警界限部分編制…………………………………………………………………44
6.8 權(quán)限設(shè)置部分編制…………………………………………………………………44
6.9 用戶和數(shù)據(jù)管理部分編制…………………………………………………………46
6.10 界面風(fēng)格規(guī)劃………………………………………………………………………47
7 基于WEB瀏覽器的遠(yuǎn)程訪問(wèn)(核心)……………………………………………48
7.1 Web服務(wù)程序工作原理 …………………………………………………………48
7.2 多種方法的實(shí)驗(yàn)和研究 …………………………………………………………48
7.3 ActiveX的原理……………………………………………………………………49
7.4 Midas編程…………………………………………………………………………50
7.5 計(jì)劃與實(shí)錄部分編制………………………………………………………………51
7.6 小組月報(bào)瀏覽部分編制……………………………………………………………52
7.7 其他部分程序編制 ………………………………………………………………54
7.8 使用PWS………………………………………………………………………54
7.9 互連實(shí)驗(yàn)……………………………………………………………………………55
8 網(wǎng)絡(luò)安全………………………………………………………………………………57
8.1 概述…………………………………………………………………………………57
8.2 WEB在安全上的漏洞………………………………………………………………57
8.3 如何在WEB上提高系統(tǒng)安全性和穩(wěn)定性…………………………………………57
8.4 網(wǎng)絡(luò)安全方案之一:使用防火墻…………………………………………………58
8.5 網(wǎng)絡(luò)安全方案之二:局域網(wǎng)自治…………………………………………………59
8.6 網(wǎng)絡(luò)安全方案之三:入侵檢測(cè)技術(shù)………………………………………………59
8.7 網(wǎng)絡(luò)安全方案之四:建立防病毒系統(tǒng)……………………………………………60
8.8 網(wǎng)絡(luò)安全方案之五:使用數(shù)字證書(shū)………………………………………………60
8.9 其他………………………………………………………………………………61
8.10 網(wǎng)絡(luò)安全在本局域網(wǎng)中的實(shí)施……………………………………………………62
9畢業(yè)設(shè)計(jì)總結(jié)…………………………………………………………………………63
9.1 計(jì)劃與實(shí)現(xiàn)…………………………………………………………………………63
9.2 鍛煉與提高…………………………………………………………………………63
9.3 發(fā)展與展望…………………………………………………………………………64
9.4 致謝………………………………………………………………………………… 64
10 參考書(shū)目………………………………………………………………………………… 66
:47000多字
400元
備注:此文版權(quán)歸本站所有;。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)與規(guī)劃;校園網(wǎng)
1、網(wǎng)絡(luò)現(xiàn)狀
揚(yáng)州Z校擁有多個(gè)互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個(gè)計(jì)算環(huán)境,網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組,確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成;終端區(qū)分別是教學(xué)樓、院系樓、實(shí)驗(yàn)、實(shí)訓(xùn)樓和圖書(shū)館大樓。此外,還有一個(gè)獨(dú)立的無(wú)線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見(jiàn)圖1。
2、安全威脅分析
目前,Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模,但是,在信息安全建設(shè)方面仍然面臨諸多的問(wèn)題,如,網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對(duì)網(wǎng)絡(luò)中的可疑情況,沒(méi)有分析、響應(yīng)和處理的手段和流程、無(wú)法了解網(wǎng)絡(luò)的整體安全狀態(tài),風(fēng)險(xiǎn)管理全憑感覺(jué)等等,以上種種問(wèn)題表明,Z校需要對(duì)網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃,以便在今后的網(wǎng)絡(luò)安全工作中,建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。
2.1安全設(shè)備現(xiàn)狀
Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺(tái)山石防火墻,在WEB服務(wù)器群前面部署了一臺(tái)WEB應(yīng)用防火墻。
2.2外部網(wǎng)絡(luò)安全威脅
互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多,外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢(qián)財(cái)、篡改數(shù)據(jù)等為目的,對(duì)內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊,網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù),但是,黑客們只要找到漏洞,就會(huì)利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。
2.3內(nèi)部網(wǎng)絡(luò)安全威脅
內(nèi)部惡意入侵的主體是學(xué)生,還有一些網(wǎng)絡(luò)安全意識(shí)薄弱的教職工。Z校學(xué)生眾多,學(xué)生們可能本著好奇、試驗(yàn)、炫技或者惡意破壞等目的,入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點(diǎn)擊來(lái)歷不明的郵件,照成網(wǎng)絡(luò)堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點(diǎn),Z校在安全改造實(shí)施中,應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運(yùn)營(yíng)商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源,提升網(wǎng)絡(luò)訪問(wèn)速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度,同時(shí)又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實(shí)現(xiàn)關(guān)鍵設(shè)備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,均以NAT模式或者路由模式部署,承載了整個(gè)校園網(wǎng)的業(yè)務(wù)處理,任何一個(gè)設(shè)備出現(xiàn)問(wèn)題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運(yùn)行,無(wú)任何備份措施,只能替換或者跳過(guò)出故障的設(shè)備,且只能以手工方式完成切換,無(wú)論從響應(yīng)的及時(shí)性,還是從保障業(yè)務(wù)連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設(shè)備數(shù)量較多,需要對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺(tái)操作單臺(tái)部署的方式運(yùn)維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備,統(tǒng)一對(duì)眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級(jí)備份和審計(jì)。
4、解決方案
網(wǎng)絡(luò)安全建設(shè)是一個(gè)長(zhǎng)期的項(xiàng)目,不可能一蹴而就,一步到位,網(wǎng)絡(luò)安全過(guò)程建設(shè)中,在利用學(xué)校原有設(shè)備的基礎(chǔ)上,在資金、技術(shù)成熟的條件下,逐步實(shí)施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長(zhǎng)期建設(shè)兩部分。
4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃
4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計(jì)主線,從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患,根據(jù)應(yīng)用系統(tǒng)的特點(diǎn)和安全評(píng)估是數(shù)據(jù),劃分不同安全等級(jí)的區(qū)域[3]。通過(guò)安全區(qū)域的劃分,明確網(wǎng)絡(luò)邊界,形成清晰、簡(jiǎn)潔的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問(wèn)安全互聯(lián),有效的實(shí)現(xiàn)網(wǎng)絡(luò)之間,各業(yè)務(wù)系統(tǒng)之間的隔離和訪問(wèn)控制。本次短期網(wǎng)絡(luò)建設(shè),把整個(gè)網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無(wú)線訪問(wèn)控制區(qū)域。4.1.2部署設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個(gè)網(wǎng)絡(luò)安全改造的核心設(shè)備,以NAT模式或者路由模式部署,無(wú)任何備份措施,為此需要再引入一臺(tái)同型號(hào)的防火墻設(shè)備,實(shí)現(xiàn)雙機(jī)冗余部署。同理,原城市熱點(diǎn)認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺(tái),組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算,部署幾臺(tái)安全設(shè)備。首先,部署一臺(tái)堡壘機(jī),建立集中、主動(dòng)的安全運(yùn)維管控模式,降低人為安全風(fēng)險(xiǎn);其次,部署一臺(tái)入侵檢測(cè)設(shè)備(IDS),實(shí)時(shí)、主動(dòng)告警黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無(wú)數(shù)據(jù)可查;再部署一臺(tái)漏洞掃描設(shè)備,對(duì)網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報(bào)告與安全預(yù)警通告,制定安全加固實(shí)施方案,以保證各系統(tǒng)功能的正常性和堅(jiān)固性;最后,部署一臺(tái)安全審計(jì)設(shè)備(SAS),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺(tái)入侵防護(hù)設(shè)備(IPS),攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門(mén)木馬、蠕蟲(chóng)、D.o.S等惡意流量,保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。
4.2長(zhǎng)期網(wǎng)絡(luò)建設(shè)規(guī)劃
網(wǎng)絡(luò)安全的防護(hù)是動(dòng)態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域,不存在一個(gè)能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問(wèn)題。想要構(gòu)建一個(gè)相對(duì)安全的網(wǎng)絡(luò)系統(tǒng),需要建立一套全方位的,從檢測(cè)、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前,網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點(diǎn)設(shè)備保護(hù)的策略,再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過(guò)分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動(dòng)態(tài)實(shí)施過(guò)程,建立一個(gè)科學(xué)的安全體系和模型,再根據(jù)安全體系和模型來(lái)分析網(wǎng)絡(luò)中存在的各種安全隱患,對(duì)這些安全隱患提出解決方案,最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu),包括崗位設(shè)置、人員錄用、離崗、考核等[5];技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運(yùn)維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;管理體系側(cè)重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動(dòng)的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計(jì)網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ),以管理體系為保障,以技術(shù)體系為支撐[6],全局、均衡的考慮面臨的安全風(fēng)險(xiǎn),采取不同強(qiáng)度的安全措施,提出最佳解決方案。具體流程見(jiàn)圖3。體系化建設(shè)以風(fēng)險(xiǎn)評(píng)估為起點(diǎn),安全體系為核心,安全指導(dǎo)為原則,體系建設(shè)為抓手,組織和制定安全實(shí)施策略和防范措施,在建設(shè)過(guò)程中不斷完善安全體系結(jié)構(gòu)和安全防御體系,全方位、多層次滿足安全需求。
5、結(jié)語(yǔ)
從整個(gè)信息化安全體系來(lái)說(shuō),安全是技術(shù)與管理的一個(gè)有機(jī)整體,僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問(wèn)題,是從設(shè)備到人,從服務(wù)器上每個(gè)服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問(wèn)題,每一個(gè)環(huán)節(jié),都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案,對(duì)兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價(jià)值。
參考文獻(xiàn):
[1]王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問(wèn)題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2011.11:2-3
[3]徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究[D].上海:上海交通大學(xué),2009.5:1-4
[4]張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計(jì)與實(shí)現(xiàn)[D].西安:西安電子科技大學(xué),2015.10:16-17
[5]陳堅(jiān).高校校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題分析及解決方案設(shè)計(jì)[D]長(zhǎng)春:長(zhǎng)春工業(yè)大學(xué),2016.3:23-31
廣州某醫(yī)院擁有專業(yè)技術(shù)人員1100余人、床位850張、專業(yè)學(xué)科43個(gè),現(xiàn)已發(fā)展成為集醫(yī)療、教學(xué)、科研、預(yù)防、保健、康復(fù)功能于一體的、面向海內(nèi)外開(kāi)放的綜合性現(xiàn)代化醫(yī)院。隨著信息化的發(fā)展,該醫(yī)院的醫(yī)療系統(tǒng)也進(jìn)入了數(shù)字化和信息化時(shí)代,大型的數(shù)字化醫(yī)療設(shè)備、各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)在醫(yī)院中得到應(yīng)用。數(shù)字化醫(yī)療建設(shè),不但使醫(yī)院的工作流程發(fā)生了變化,同時(shí)也對(duì)醫(yī)院信息化建設(shè)提出了更高的要求。
目前,該醫(yī)院已應(yīng)用了HIS、EMR、LIS、PACS等信息系統(tǒng),涵蓋了醫(yī)院日常工作流程,比如掛號(hào)、診療、化驗(yàn)、劃價(jià)、收費(fèi)等,同時(shí)也覆蓋醫(yī)院各個(gè)角落,如病房、藥房、醫(yī)療設(shè)備等。隨著電子病歷、遠(yuǎn)程醫(yī)療的不斷發(fā)展,病人在就醫(yī)過(guò)程中的信息將越來(lái)越多地以數(shù)字化的方式保存在醫(yī)院的醫(yī)療信息系統(tǒng)中。
如何保證這些醫(yī)療數(shù)據(jù)的安全性、有效性,是醫(yī)院信息系統(tǒng)所面臨的、不可回避的問(wèn)題。
2011年底,該醫(yī)院新大樓建成,華僑醫(yī)院的信息網(wǎng)絡(luò)改造項(xiàng)目也同步啟動(dòng)。這次改造不僅要提高網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè),而且還將信息系統(tǒng)安全建設(shè)納入其中。該醫(yī)院的信息安全主管人員清醒地認(rèn)識(shí)到:醫(yī)院信息系統(tǒng)的正常運(yùn)行,不僅包含網(wǎng)絡(luò)、主機(jī)設(shè)備的正常運(yùn)行,還包括存儲(chǔ)在醫(yī)院應(yīng)用系統(tǒng)中的各種數(shù)據(jù)的安全性和可靠性得到保障。
此前,該醫(yī)院的信息系統(tǒng)已部署了防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡(luò)安全改造建設(shè),醫(yī)院邀請(qǐng)產(chǎn)品供應(yīng)商和業(yè)界優(yōu)秀的公司共同探討新信息系統(tǒng)的安全建設(shè)方案。該醫(yī)院希望其安全建設(shè)方案能夠?qū)崿F(xiàn)以下功能:既要考慮現(xiàn)有系統(tǒng)的安全、有效運(yùn)行,又要兼顧華僑醫(yī)院未來(lái)五年的信息化發(fā)展。
作為該醫(yī)院原有信息安全產(chǎn)品供應(yīng)商,北京冠群金辰軟件有限公司(簡(jiǎn)稱冠群金辰)也參與了新信息系統(tǒng)的安全建設(shè),并提出針對(duì)該醫(yī)院的安全解決方案建議。
解決之道
冠群金辰認(rèn)為,該醫(yī)院現(xiàn)有信息安全系統(tǒng)中的防火墻、防毒墻、IDS和防病毒的防護(hù)架構(gòu)可以保留,但隨著醫(yī)院新大樓投入使用,網(wǎng)絡(luò)中的終端節(jié)點(diǎn)會(huì)增多,網(wǎng)絡(luò)流量將大幅增長(zhǎng),所以,需要對(duì)現(xiàn)有防火墻、IDS等系統(tǒng)進(jìn)行升級(jí),提升現(xiàn)有防護(hù)系統(tǒng)的處理能力,以適應(yīng)網(wǎng)絡(luò)提速的要求,保障正常的網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行;同時(shí),針對(duì)網(wǎng)絡(luò)中新增的客戶端節(jié)點(diǎn),繼續(xù)部署防病毒系統(tǒng)和終端安全管理系統(tǒng),以應(yīng)對(duì)越來(lái)越復(fù)雜的終端安全防護(hù)問(wèn)題。
針對(duì)目前醫(yī)院網(wǎng)站服務(wù)器保護(hù)的安全盲點(diǎn),冠群金辰提出了針對(duì)Web網(wǎng)站安全建議:使用專業(yè)的網(wǎng)站防護(hù)系統(tǒng)采用層次化的Web主動(dòng)防護(hù)技術(shù),對(duì)醫(yī)院網(wǎng)站服務(wù)器進(jìn)行有效防護(hù)。
實(shí)際上,冠群金辰為該醫(yī)院提出的網(wǎng)絡(luò)安全整體解決方案涵蓋了從邊界、網(wǎng)絡(luò)到主機(jī),多層次的縱深防御體系。該方案在邊界通過(guò)防火墻、物理隔離設(shè)備將非法訪問(wèn)、病毒、入侵攻擊等阻擋在網(wǎng)絡(luò)外部。在網(wǎng)絡(luò)層面,該解決方案對(duì)網(wǎng)絡(luò)中的流量進(jìn)行檢測(cè),查找正在發(fā)生或?qū)⒁l(fā)生的網(wǎng)絡(luò)攻擊,并及時(shí)采取措施,比如報(bào)警、阻斷、記錄等。
對(duì)于網(wǎng)絡(luò)安全中常見(jiàn)的病毒、信息泄露等安全威脅,該方案中的防病毒軟件和終端安全管理系統(tǒng)為主機(jī)系統(tǒng)提供了基本的安全保障。
冠群金辰為此方案提供了KILL系列安全產(chǎn)品,即KILL防火墻、KILL入侵檢測(cè)系統(tǒng)、KILL上網(wǎng)行為管理系統(tǒng)、KILL防毒墻、KILL網(wǎng)絡(luò)防病毒系統(tǒng)、KILL終端安全管理系統(tǒng)和KILL Web安全網(wǎng)關(guān),為該醫(yī)院的網(wǎng)絡(luò)構(gòu)筑了一個(gè)多層次的安全防護(hù)體系。從網(wǎng)絡(luò)訪問(wèn)控制、流量控制、入侵攻擊、病毒查殺、終端準(zhǔn)入和Web防護(hù)等方面,該方案對(duì)該醫(yī)院的網(wǎng)絡(luò)提供全面的安全保護(hù)。
關(guān)鍵詞 : 油田企業(yè);網(wǎng)絡(luò)安全;防火墻技術(shù);
0 、引 言
為了促進(jìn)社會(huì)主義經(jīng)濟(jì)持續(xù)健康發(fā)展,必須健全油田企業(yè)信息化網(wǎng)絡(luò)安全體系,以實(shí)現(xiàn)社會(huì)效益與經(jīng)濟(jì)效益的結(jié)合。隨著科技的進(jìn)步,油田企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)面臨著各方面的發(fā)展威脅,因此需要提高油田企業(yè)的安全防護(hù),積極應(yīng)用相應(yīng)的防護(hù)方案。
1 、油田企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題解決的必要性
在油田企業(yè)信息化體系構(gòu)建的過(guò)程中,網(wǎng)絡(luò)安全防護(hù)發(fā)揮著重要的作用。通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的優(yōu)化,可以將油田企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題控制在合理范圍內(nèi),從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、穩(wěn)定運(yùn)作,并提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)作效率,實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)價(jià)值及作用的發(fā)揮。在油田企業(yè)發(fā)展過(guò)程中,有些計(jì)算機(jī)信息存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)部,涉及諸多機(jī)密數(shù)據(jù)信息,若這些數(shù)據(jù)被泄漏,則必然影響油田經(jīng)濟(jì)的穩(wěn)定運(yùn)作。通過(guò)油田經(jīng)濟(jì)安全防護(hù)工作,可以及時(shí)發(fā)現(xiàn)相關(guān)的安全隱患問(wèn)題,采取相關(guān)的解決方法,解決信息化網(wǎng)絡(luò)問(wèn)題,有效提高計(jì)算機(jī)信息的安全性[1]。
2 、油田企業(yè)網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)的原因
2.1、 網(wǎng)絡(luò)技術(shù)水平有待提升
受到油田企業(yè)經(jīng)濟(jì)發(fā)展環(huán)境的影響,我國(guó)油田企業(yè)的網(wǎng)絡(luò)安全建設(shè)技術(shù)比較落后,特別是網(wǎng)絡(luò)病毒庫(kù)的建設(shè)技術(shù)、網(wǎng)絡(luò)防火墻防護(hù)技術(shù)等,油田網(wǎng)絡(luò)防護(hù)模塊存在較多的安全問(wèn)題,不利于油田企業(yè)網(wǎng)絡(luò)安全的維護(hù)。
2.2、 網(wǎng)絡(luò)管理方案落后
在油田網(wǎng)絡(luò)安全性實(shí)踐中,網(wǎng)絡(luò)系統(tǒng)的管理質(zhì)量及水平直接影響到油田網(wǎng)絡(luò)的安全性,我國(guó)油田網(wǎng)絡(luò)的安全性問(wèn)題不可避免,若不能及時(shí)更新網(wǎng)絡(luò)管理方案,則會(huì)導(dǎo)致嚴(yán)重的油田企業(yè)網(wǎng)絡(luò)安全問(wèn)題,不僅會(huì)造成巨大的經(jīng)濟(jì)損失,還不利于社會(huì)經(jīng)濟(jì)的有序運(yùn)轉(zhuǎn)。
2.3、 缺乏對(duì)軟件和技術(shù)服務(wù)的足夠重視
在網(wǎng)絡(luò)安全維護(hù)管理中,領(lǐng)導(dǎo)者的管理意識(shí)直接影響著油田網(wǎng)絡(luò)的安全性管理水平。如果領(lǐng)導(dǎo)及相關(guān)人員缺乏對(duì)軟件及相關(guān)技術(shù)服務(wù)的足夠重視,則不利于相關(guān)網(wǎng)絡(luò)安全軟件技術(shù)的更新及升級(jí),其就很容易受到各類病毒及黑客的攻擊。
3、 油田企業(yè)信息化網(wǎng)絡(luò)安全方案
3.1、 加強(qiáng)病毒管理與軟件升級(jí)
為了提高油田企業(yè)的信息化網(wǎng)絡(luò)安全水平,必須強(qiáng)化病毒管理相關(guān)工作,實(shí)現(xiàn)系統(tǒng)軟件的不斷升級(jí)與維護(hù),減少可能出現(xiàn)的油田企業(yè)網(wǎng)絡(luò)隱患問(wèn)題。首先,要做好各類殺毒軟件的應(yīng)用工作,在計(jì)算機(jī)及相關(guān)局域網(wǎng)移動(dòng)設(shè)備上進(jìn)行相關(guān)殺毒軟件的安裝,實(shí)現(xiàn)殺毒軟件作用及功能的發(fā)揮,提高計(jì)算機(jī)系統(tǒng)對(duì)病毒的防范能力[2]。其次,在油田網(wǎng)絡(luò)安全性維護(hù)過(guò)程中,要做好計(jì)算機(jī)中各類存儲(chǔ)信息的加密及備份工作,加強(qiáng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息加密技術(shù)的應(yīng)用,避免出現(xiàn)各類信息盜取及篡改問(wèn)題,實(shí)現(xiàn)數(shù)據(jù)加密技術(shù)的優(yōu)化,要求有相應(yīng)的權(quán)限才能獲得相應(yīng)的信息,避免油田網(wǎng)絡(luò)數(shù)據(jù)信息丟失。在這個(gè)過(guò)程中,需要安排專業(yè)人員積極展開(kāi)殺毒,實(shí)現(xiàn)定期殺毒,以提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性[3]。
3.2、 利用防火墻防護(hù)
為了提高油田網(wǎng)絡(luò)的安全性,必須不斷完善防火墻技術(shù)。在防火墻技術(shù)應(yīng)用的過(guò)程中,需要實(shí)現(xiàn)軟件防火墻與硬件防火墻的結(jié)合,就各類網(wǎng)絡(luò)信息數(shù)據(jù)展開(kāi)分析及過(guò)濾,及時(shí)攔截危險(xiǎn)的數(shù)據(jù)信息,實(shí)現(xiàn)對(duì)油田網(wǎng)絡(luò)所有業(yè)務(wù)的篩選及封閉式管理,并對(duì)操作者的行為展開(kāi)控制及監(jiān)督,及時(shí)發(fā)現(xiàn)操作異常狀況,記錄油田網(wǎng)絡(luò)數(shù)據(jù)的缺失問(wèn)題[4]。在某油田企業(yè)信息化網(wǎng)絡(luò)安全實(shí)踐過(guò)程中,其進(jìn)行了復(fù)合型防火墻的應(yīng)用,這種防火墻應(yīng)用了先進(jìn)的處理器,處理頻率非常高,具備大數(shù)據(jù)吞吐量和高速率的過(guò)濾寬帶,在油田計(jì)算機(jī)網(wǎng)絡(luò)安全管理過(guò)程中滿足了多用戶的使用需求。這種復(fù)合型防火墻具備隱藏局域網(wǎng)內(nèi)部網(wǎng)絡(luò)地址的功能,能夠有效提高油田企業(yè)的網(wǎng)絡(luò)安全性。在網(wǎng)絡(luò)安全設(shè)置過(guò)程中,通過(guò)應(yīng)用這類防火墻,可以更好地避免由于客戶端運(yùn)行腳本語(yǔ)言導(dǎo)致的網(wǎng)絡(luò)安全性問(wèn)題,也能夠通過(guò)對(duì)一些視頻網(wǎng)站及游戲網(wǎng)站的分析,找到網(wǎng)絡(luò)安全問(wèn)題,并及時(shí)處理[5]。在油田企業(yè)發(fā)展過(guò)程中,通過(guò)對(duì)其網(wǎng)絡(luò)安全的維護(hù),有利于充分發(fā)揮油田企業(yè)對(duì)社會(huì)經(jīng)濟(jì)的發(fā)展作用。石油是我國(guó)重要的能源資源,只有做好油田企業(yè)的信息化網(wǎng)絡(luò)安全工作,才能為石油能源的有效性、持續(xù)性生產(chǎn)奠定良好的環(huán)境基礎(chǔ),從而解決油田企業(yè)的各類網(wǎng)絡(luò)問(wèn)題,實(shí)現(xiàn)我國(guó)油田經(jīng)濟(jì)的合理有序運(yùn)作。
在防火墻安全防范技術(shù)應(yīng)用的過(guò)程中,涉及4種技術(shù),分別是數(shù)據(jù)包過(guò)濾技術(shù)、網(wǎng)關(guān)型技術(shù)、服務(wù)技術(shù)、復(fù)合型安全技術(shù)。應(yīng)用這些技術(shù),能夠提高計(jì)算機(jī)網(wǎng)絡(luò)安全水平。在數(shù)據(jù)包過(guò)濾技術(shù)安全防護(hù)的過(guò)程中,需要根據(jù)系統(tǒng)設(shè)置狀況展開(kāi)過(guò)濾,其是一種有效的訪問(wèn)控制表技術(shù),能對(duì)軟件中的每一個(gè)數(shù)據(jù)包源地址及目的地址等展開(kāi)分析,若發(fā)現(xiàn)相關(guān)異常問(wèn)題,則不予通過(guò)[6]。目前的網(wǎng)關(guān)型技術(shù)種類諸多,如WG585邊緣計(jì)算網(wǎng)關(guān)架構(gòu)和MQTT協(xié)議可以實(shí)現(xiàn)云服務(wù)的接入,能夠通過(guò)大數(shù)據(jù)云平臺(tái)來(lái)構(gòu)建工業(yè)物聯(lián)網(wǎng)平臺(tái),它能夠?qū)崿F(xiàn)數(shù)據(jù)實(shí)時(shí)響應(yīng)、數(shù)據(jù)模型分析判斷、設(shè)備遠(yuǎn)程維護(hù)下載等功能。型防火墻技術(shù)由服務(wù)器進(jìn)行分析,在接受客戶的相關(guān)瀏覽要求后,再根據(jù)請(qǐng)求狀況,與預(yù)先設(shè)置的情況進(jìn)行對(duì)比分析,當(dāng)信息回到防火墻終端后,再由防火墻終端轉(zhuǎn)送到用戶客戶端。復(fù)合型防火墻技術(shù)的應(yīng)用,實(shí)現(xiàn)了數(shù)據(jù)包過(guò)濾技術(shù)與服務(wù)技術(shù)的結(jié)合,相較于普通的網(wǎng)絡(luò)防護(hù)技術(shù),其具備更高的靈活性及安全性。
在油田網(wǎng)絡(luò)安全技術(shù)應(yīng)用的過(guò)程中,需要應(yīng)用科學(xué)的防火墻安全策略,防火墻的產(chǎn)品種類很多,不同的防火墻有不同的應(yīng)用功能,相關(guān)人員需要根據(jù)油田企業(yè)的實(shí)際運(yùn)作狀況,選擇適合企業(yè)發(fā)展的防火墻技術(shù)。在防火墻配置的過(guò)程中,需要保障自己所設(shè)置的防火墻信息的明確性,提高防火墻的安全性,使其符合油田經(jīng)濟(jì)的發(fā)展要求。為了提高油田企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的安全性,需要保障其網(wǎng)絡(luò)地址具備良好的轉(zhuǎn)換功能,這需要做好計(jì)算機(jī)防火墻的維護(hù)工作,使其具備網(wǎng)絡(luò)虛擬的專用功能、良好的病毒掃描功能等,滿足特殊控制的相關(guān)需求。通過(guò)復(fù)合型防火墻技術(shù)的應(yīng)用,可以從數(shù)據(jù)流方面與服務(wù)方面做好相應(yīng)的網(wǎng)絡(luò)安全管理工作,充分發(fā)揮防火墻的功能。
3.3、 強(qiáng)化設(shè)備管理體系
為了提高油田網(wǎng)絡(luò)的病毒防范能力及防火墻應(yīng)用能力,必須做好防火墻的設(shè)計(jì)優(yōu)化以及防火墻的日常使用與維護(hù)工作,保障相關(guān)管理人員進(jìn)行有效的操作。要想做好網(wǎng)絡(luò)設(shè)備的管理工作,油田企業(yè)需要根據(jù)自身發(fā)展?fàn)顩r及生產(chǎn)運(yùn)營(yíng)狀況,選擇適合的硬件設(shè)備及軟件設(shè)備,為設(shè)備的正常運(yùn)行提供良好的環(huán)境。在網(wǎng)絡(luò)防護(hù)設(shè)備應(yīng)用的過(guò)程中,需要將各類網(wǎng)絡(luò)安全設(shè)備放置在獨(dú)立的空間內(nèi),減少外界因素對(duì)油田企業(yè)網(wǎng)絡(luò)安全的威脅。同時(shí),油田企業(yè)要安排專業(yè)人員做好網(wǎng)絡(luò)安全設(shè)備的管理及維護(hù)保養(yǎng)工作,實(shí)現(xiàn)管理環(huán)節(jié)與維護(hù)保養(yǎng)環(huán)節(jié)相結(jié)合,做好全方位的設(shè)備檢查工作,解決設(shè)備運(yùn)行過(guò)程中的問(wèn)題,提高計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備的安全性、穩(wěn)定性。定期開(kāi)展設(shè)備維護(hù)及管理工作,延長(zhǎng)設(shè)備的使用壽命。
3.4、 營(yíng)造良好的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境
在油田企業(yè)可持續(xù)性發(fā)展的過(guò)程中,必須營(yíng)造良好的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境。根據(jù)油田企業(yè)的實(shí)際運(yùn)作狀況,制訂有效的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)方案,強(qiáng)化計(jì)算機(jī)安全管理工作,進(jìn)行傳統(tǒng)網(wǎng)絡(luò)管理機(jī)制的創(chuàng)新,實(shí)現(xiàn)網(wǎng)絡(luò)管理內(nèi)容的細(xì)化及完善發(fā)展。要正確認(rèn)識(shí)計(jì)算機(jī)網(wǎng)絡(luò)操作技術(shù)的相關(guān)規(guī)范及要求,嚴(yán)格規(guī)范計(jì)算機(jī)管理人員的日常工作行為。在網(wǎng)絡(luò)安全維護(hù)過(guò)程中,一旦出現(xiàn)相關(guān)人員違規(guī)操作,就要及時(shí)進(jìn)行嚴(yán)肅處理。在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)過(guò)程中,要提高安全管理的綜合效益,需要每個(gè)工作人員重視,并不斷端正自身工作態(tài)度,將安全防護(hù)工作落到實(shí)處,避免主觀因素導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。
3.5、 聘用專業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理團(tuán)隊(duì)
在網(wǎng)絡(luò)安全維護(hù)過(guò)程中,油田企業(yè)需要聘用專業(yè)的網(wǎng)絡(luò)安全管理人員,積極開(kāi)展計(jì)算機(jī)網(wǎng)絡(luò)的安全管理工作實(shí)踐,做好企業(yè)安全管理的教育培訓(xùn)工作,強(qiáng)化對(duì)相關(guān)人員的引導(dǎo)及指導(dǎo)。在油田企業(yè)網(wǎng)絡(luò)安全管理過(guò)程中,要做好油田工作區(qū)域網(wǎng)絡(luò)的升級(jí)工作,避免員工的不良工作行為對(duì)油田企業(yè)網(wǎng)絡(luò)安全產(chǎn)生危害。
為了提高計(jì)算機(jī)網(wǎng)絡(luò)安全的穩(wěn)定性,必須優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)安全方案,提高相關(guān)人員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的重視程度。工作人員在具體的操作過(guò)程中,需要遵循相應(yīng)的標(biāo)準(zhǔn)及流程展開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作,定期對(duì)相關(guān)人員展開(kāi)技能培訓(xùn),使相關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全人員正確認(rèn)識(shí)計(jì)算機(jī)網(wǎng)絡(luò)的操作流程及步驟,包括各項(xiàng)作業(yè)標(biāo)準(zhǔn)及注意事項(xiàng),通過(guò)各種方式提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性、穩(wěn)定性。針對(duì)不同的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),工作人員要有清晰的認(rèn)識(shí),要明確不同應(yīng)用技術(shù)的優(yōu)勢(shì)、特點(diǎn)及在使用過(guò)程中的問(wèn)題,根據(jù)實(shí)際運(yùn)作情況,將先進(jìn)、安全的技術(shù)應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐中。為此,油田企業(yè)要設(shè)置統(tǒng)一的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)。
4、 結(jié) 語(yǔ)
為了促進(jìn)油田企業(yè)合理有序運(yùn)行,必須盡可能提高油田企業(yè)的網(wǎng)絡(luò)安全,實(shí)現(xiàn)油田信息的安全、有效管理,不斷提高油田企業(yè)的安全管理質(zhì)量。在防火墻技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)安全掃描技術(shù)等應(yīng)用的過(guò)程中,需要充分提高防火墻技術(shù)的應(yīng)用效率,提高油田企業(yè)的信息化水平,保障計(jì)算機(jī)病毒預(yù)防系統(tǒng)、網(wǎng)絡(luò)防火墻系統(tǒng)等的安全防護(hù)功能得到發(fā)揮,防范各類外來(lái)病毒及惡意軟件,實(shí)現(xiàn)油田數(shù)據(jù)網(wǎng)絡(luò)合理有序運(yùn)行。
參考文獻(xiàn)
[1]于佳妍大數(shù)據(jù)時(shí)代石油企業(yè)網(wǎng)絡(luò)安全防護(hù)策略[J]電子技術(shù)與軟件工程, 2019(23):190-191.
[2]竇進(jìn)成試論天然氣長(zhǎng)輸管道防腐的重要性及防護(hù)策略[J]全面腐蝕控制, 2017(3);:53-54.
[3]丁永朝,組關(guān)于原油儲(chǔ)罐腐蝕問(wèn)題的探究及防護(hù)策略[J]中國(guó)石油和化工標(biāo)準(zhǔn)與質(zhì)量, 2012(9);.274.
[4]楊中國(guó)沿海某大型煉廠外部腐蝕防護(hù)策略探討[J]全面腐蝕控制, 2016(12):54-56.
[關(guān)鍵詞]網(wǎng)絡(luò)安全技術(shù) 公安網(wǎng)絡(luò) 系統(tǒng)安全 維護(hù)方案
一、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題
1、公安系統(tǒng)存在問(wèn)題的特征。1)系統(tǒng)安全問(wèn)題具有動(dòng)態(tài)性。隨著信息技術(shù)的飛速發(fā)展,不同時(shí)期有不同的安全問(wèn)題,安全問(wèn)題不斷地被解決,但也不斷地出現(xiàn)新的安全問(wèn)題。例如線路竊聽(tīng)劫持事件會(huì)因?yàn)榧用軈f(xié)議層的使用而減少。安全問(wèn)題具有動(dòng)態(tài)性特點(diǎn),造成系統(tǒng)安全問(wèn)題不可能擁有一勞永逸的解決措施。2)系統(tǒng)安全問(wèn)題來(lái)自于管理層、邏輯層和物理層,并不是單一的。管理層的安全主要包括安全政策及人員組織管理指標(biāo)方面的內(nèi)容。邏輯層的安全主要涉及到信息保密性,也就是在授權(quán)情況下,高密級(jí)信息向低密級(jí)的主體及客體傳遞,確保信息雙方的完整性,信息不會(huì)被隨意篡改,可以保證信息的一致性。一旦雙方完成信息交易,任何一方均不可單方面否認(rèn)這筆交易。物理層的安全涉及的內(nèi)容是多個(gè)關(guān)鍵設(shè)備、信息存放地點(diǎn)等,如計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)等,防止信息丟失和破壞。
2、公安網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題。1)一機(jī)兩用的現(xiàn)象比較普遍。部分公安值班人員在公安網(wǎng)絡(luò)中接入自己的私人電腦,同時(shí)還包括一些無(wú)線上網(wǎng)設(shè)備等。外接上網(wǎng)設(shè)備通常安裝了無(wú)線網(wǎng)卡,外界侵入公安網(wǎng)絡(luò)的可能性增大,公安網(wǎng)絡(luò)的安全隱患擴(kuò)大。此外,公安系統(tǒng)中的計(jì)算機(jī)出現(xiàn)故障,需要檢查維修時(shí),沒(méi)有事先格式化計(jì)算機(jī),導(dǎo)致系統(tǒng)計(jì)算機(jī)中的資料泄露,甚至出現(xiàn)“一機(jī)兩用”的情況,可以將病毒引入系統(tǒng)中引起信息泄露。
3、安全意識(shí)淡薄。公安網(wǎng)絡(luò)中的計(jì)算機(jī)存在濫用的情況,非在編的基層人員在未經(jīng)允許、教育培訓(xùn)的情況私自使用公安網(wǎng)絡(luò),從而出現(xiàn)信息泄露的情況,給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的安全隱患。此外,公安部門(mén)人員缺乏安全意識(shí),辦公室計(jì)算機(jī)的保密性不強(qiáng),安全等級(jí)不高,重要軟件、文件等均沒(méi)有進(jìn)行必要的加密處理,很多人員可以隨意訪問(wèn)公安網(wǎng)絡(luò),降低了公安網(wǎng)絡(luò)中計(jì)算機(jī)及其信息的安全性。
二、網(wǎng)絡(luò)安全技術(shù)與公安網(wǎng)絡(luò)系統(tǒng)的維護(hù)方案
1、積極建設(shè)網(wǎng)絡(luò)信息安全管理隊(duì)伍。網(wǎng)絡(luò)安全管理隊(duì)伍對(duì)管理公安網(wǎng)絡(luò)具有重要作用。為提升公安網(wǎng)絡(luò)的安全性與穩(wěn)定性,可以定期組織信息安全管理人員進(jìn)行培訓(xùn),強(qiáng)化技術(shù)教育與培訓(xùn),增強(qiáng)網(wǎng)絡(luò)安全管理人員的責(zé)任意識(shí),改善管理效率,提升管理水平。
2、充分運(yùn)用網(wǎng)絡(luò)安全技術(shù)。1)防毒技術(shù)。隨著病毒的傳播速度、頻率、范圍的不斷擴(kuò)大,公安網(wǎng)絡(luò)系統(tǒng)中也需要建立全方位、立體化的防御體系,運(yùn)用全平臺(tái)反病毒技術(shù)、自動(dòng)解壓縮技術(shù)與實(shí)時(shí)監(jiān)視技術(shù)等完善病毒防御方案。為了實(shí)現(xiàn)系統(tǒng)低層和反病毒軟件之間的相互配合,達(dá)到殺除病毒的目的,公安網(wǎng)絡(luò)中的計(jì)算機(jī)應(yīng)運(yùn)用全平臺(tái)反病毒技術(shù)。利用光盤(pán)、網(wǎng)絡(luò)等媒介所傳播的軟件通常是以壓縮狀態(tài)存在的,反病毒軟件要對(duì)系統(tǒng)內(nèi)部所有的壓縮文件進(jìn)行解壓縮,清除壓縮包內(nèi)的病毒,若不運(yùn)用自動(dòng)解壓技術(shù),存在于文件中的病毒會(huì)隨意傳播。
3、提高系統(tǒng)的可靠性。安網(wǎng)絡(luò)系統(tǒng)中一般是以敏感性資料、社會(huì)安全資料為主,這些資料被泄漏或者損壞均會(huì)產(chǎn)生嚴(yán)重后果。為了提升信息資料的安全性,必須定期備份,同時(shí)還應(yīng)增強(qiáng)系統(tǒng)的可靠性。此外,還應(yīng)明確系統(tǒng)災(zāi)難的原因,如雷電、地震等環(huán)境因素,資源共享中,人為入侵等,針對(duì)可能出現(xiàn)的系統(tǒng)災(zāi)難,可以建立起對(duì)應(yīng)的災(zāi)難備份系統(tǒng)。災(zāi)難恢復(fù)指的是計(jì)算機(jī)系統(tǒng)遭遇災(zāi)難之后,重組各種資源并恢復(fù)系統(tǒng)運(yùn)行。
三、公安網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)安全技術(shù)體系
Abstract: Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects, one is the physical security, and the other is logical security. Physical security refers to physical facilities was not damaged, and does not influence its security protection performance. Logic security refers to the information integrity, confidentiality and usability. According to the information system security theory knowledge and combining network security development, through analyzing the network security vulnerability of electric power enterprise, and then puts forward a series of relevant electric power enterprise network security safety risk, and guide the enterprise security risk demand. We can use the limited resources and equipment, establish and improve an effective, integral and multi-level power enterprise network security model.
關(guān)鍵詞: 網(wǎng)絡(luò)安全技術(shù);電力企業(yè)網(wǎng)絡(luò)安全;解決方案
Key words: network security technology;electric power enterprise network security;solutions
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1006-4311(2012)30-0175-02
0 引言
隨著社會(huì)科技的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域也在飛速發(fā)展,信息化社會(huì)時(shí)代即將到來(lái)。盡管網(wǎng)絡(luò)具有多層次、高效率、范圍廣等種種特點(diǎn),但仍然存在著一些嚴(yán)重的問(wèn)題,首當(dāng)其沖的是網(wǎng)絡(luò)信息安全問(wèn)題,本文也集中注意力來(lái)討論如何解決網(wǎng)絡(luò)信息安全問(wèn)題。目前,計(jì)算機(jī)網(wǎng)絡(luò)的多聯(lián)性造成了信息能夠被多渠道的客戶端所接收,再加上一些企業(yè)在傳送信息時(shí)缺乏信息安全的防護(hù)意識(shí),這也造成了網(wǎng)絡(luò)信息容易遭受一些非法黑客以及計(jì)算機(jī)病毒的侵害,因此,計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性和保密性是目前所需要攻克的一大重要難題。計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性造就了網(wǎng)絡(luò)信息安全隱患的存在,同時(shí),我們?cè)诿鎸?duì)危機(jī)重重的計(jì)算機(jī)網(wǎng)絡(luò),如何將信息安全、秘密地傳輸是擺在目前計(jì)算機(jī)網(wǎng)絡(luò)安全研究者們眼前的問(wèn)題。據(jù)此,我們應(yīng)針對(duì)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)體系來(lái)設(shè)計(jì)出一套適合的、先進(jìn)的網(wǎng)絡(luò)安全防護(hù)方案,并搭配合適的網(wǎng)絡(luò)防護(hù)軟件,為電力企業(yè)營(yíng)造一個(gè)安全的網(wǎng)絡(luò)空間。
1 電力企業(yè)網(wǎng)絡(luò)安全隱患分析
電力企業(yè)既可以從因特網(wǎng)中獲取重要信息,同時(shí)也能夠向因特網(wǎng)中發(fā)送信息,但由于因特網(wǎng)的開(kāi)放性,信息的安全問(wèn)題得不到保證,而根據(jù)公安部門(mén)的網(wǎng)絡(luò)調(diào)查來(lái)說(shuō),有將近半數(shù)的企業(yè)受到過(guò)網(wǎng)絡(luò)安全的侵害,而受到侵害的企業(yè)大部分都受到過(guò)病毒和黑客的攻擊,且受到了一定的損失。
根據(jù)上面的信息可以很明確的得出網(wǎng)絡(luò)安全防護(hù)的重要性,而影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有很多種,其主要可以大致分成三種:一是人為無(wú)意中的失誤而導(dǎo)致出現(xiàn)安全危機(jī);二是人為方面的惡意攻擊,也就是黑客襲擊;三是網(wǎng)絡(luò)軟件的漏洞。這三個(gè)方面的因素可以基本涵蓋網(wǎng)絡(luò)安全所受到的威脅行為并將之歸納如下:
1.1 病毒 病毒對(duì)于計(jì)算機(jī)來(lái)說(shuō)就如同老鼠對(duì)于人類來(lái)說(shuō)。“老鼠過(guò)街,人人喊打”,而病毒過(guò)街,人人避而趨之,它會(huì)破壞電腦中的數(shù)據(jù)以及計(jì)算機(jī)功能,且它對(duì)于硬件的傷害是十分大的,而且它還能夠進(jìn)行自我復(fù)制,這也讓病毒的生存能力大大加強(qiáng),由此可以得出其破壞性可見(jiàn)一斑。
1.2 人為防護(hù)意識(shí) 網(wǎng)絡(luò)入侵的目的是為了取得訪問(wèn)的權(quán)限和儲(chǔ)存、讀寫(xiě)的權(quán)限,以便其隨意的讀取修改計(jì)算機(jī)內(nèi)的信息,并惡意地破壞整個(gè)系統(tǒng),使其喪失服務(wù)的能力。而有一些程序被惡意捆綁了流氓軟件,當(dāng)程序啟動(dòng)時(shí),與其捆綁的軟件也會(huì)被啟動(dòng),與此同時(shí),許多安全缺口被捆綁軟件所打開(kāi),這也大大降低了入侵網(wǎng)絡(luò)的難度。除非用戶能夠禁止該程序的運(yùn)行或者將相關(guān)軟件進(jìn)行正確配置,否則安全問(wèn)題永遠(yuǎn)也解決不了。
1.3 應(yīng)用系統(tǒng)與軟件的漏洞 網(wǎng)絡(luò)服務(wù)器和瀏覽器的編程原理都是應(yīng)用了CGI程序,很多人在對(duì)CGI程序進(jìn)行編程時(shí)只是對(duì)其進(jìn)行適當(dāng)?shù)男薷模](méi)有徹底的修改,因此這也造成了一個(gè)問(wèn)題,CGI程序的安全漏洞方面都大同小異,因此,每個(gè)操作系統(tǒng)以及網(wǎng)絡(luò)軟件都不可能十全十美的出現(xiàn),其網(wǎng)絡(luò)安全仍然不能得到完全解決,一旦與網(wǎng)絡(luò)進(jìn)行連接,就有可能會(huì)受到來(lái)自各方面的攻擊。
1.4 后門(mén)與木馬程序 后門(mén)是指軟件在出廠時(shí)為了以后修改方便而設(shè)置的一個(gè)非授權(quán)的訪問(wèn)口令。后門(mén)的存在也使得計(jì)算機(jī)系統(tǒng)的潛在威脅大大增加。木馬程序也屬于一種特殊的后門(mén)程序,它受控于黑客,黑客可以對(duì)其進(jìn)行遠(yuǎn)程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來(lái)控制電腦,并從電腦中竊取黑客想要的信息。
1.5 安全配置的正確設(shè)置 一些軟件需要人為進(jìn)行調(diào)試配置,而如果一些軟件的配置不正確,那么其存在可以說(shuō)形同虛設(shè)。有很多站點(diǎn)在防火墻的配置上將訪問(wèn)權(quán)限設(shè)置的過(guò)大,其中可能存在的隱患會(huì)被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設(shè)計(jì)人員,因此他們對(duì)于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現(xiàn),黑客便能夠侵入其中,并對(duì)電腦造成嚴(yán)重的危害,可以說(shuō)黑客的危害比電腦病毒的危害要大得多。
2 常用的網(wǎng)絡(luò)安全技術(shù)
2.1 殺毒軟件 殺毒軟件是我們最常用的軟件,全世界幾乎每臺(tái)電腦都裝有殺毒軟件,利用殺毒軟件來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行安全保護(hù)是最為普通常見(jiàn)的技術(shù)方案,它的安裝簡(jiǎn)單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來(lái)殺毒的,功能方面比較局限,一旦有商務(wù)方面的需要其功能就不能滿足商務(wù)需求了,但隨著網(wǎng)絡(luò)的發(fā)展,殺毒技術(shù)也不斷地提升,主流的殺毒軟件對(duì)于黑客程序和木馬的防護(hù)有著很好的保護(hù)作用。
2.2 防火墻 防火墻是與網(wǎng)絡(luò)連接間進(jìn)行一種預(yù)定義的安全策略,對(duì)于內(nèi)外網(wǎng)通信施行訪問(wèn)控制的一種安全防護(hù)措施。防火墻從防護(hù)措施上來(lái)說(shuō)可以分成兩種,一種是軟件防火墻,軟件防火墻是利用軟件來(lái)在內(nèi)部形成一個(gè)防火墻,價(jià)格較為低廉,其功能比較少,僅僅是依靠自定的規(guī)則來(lái)限制非法用戶進(jìn)行訪問(wèn);第二種是硬件防火墻,硬件防火墻通過(guò)硬件和軟件的結(jié)合來(lái)講內(nèi)外部網(wǎng)絡(luò)進(jìn)行隔離,其效果較好,但價(jià)格較高,難以普及。但防火墻并沒(méi)有想象中的那樣難以破解,擁有先進(jìn)的技術(shù)仍然能夠破解或者繞過(guò)防火墻對(duì)內(nèi)部數(shù)據(jù)進(jìn)行訪問(wèn),因此想要保證網(wǎng)絡(luò)信息安全還必須采取其他的措施來(lái)避免信息被竊取或篡改,如:數(shù)據(jù)加密、入侵檢測(cè)和安全掃描等等措施。值得一提的是防火墻只能夠防護(hù)住來(lái)自外部的侵襲,而內(nèi)部網(wǎng)絡(luò)的安全則無(wú)法保護(hù),因此想要對(duì)電力企業(yè)內(nèi)部網(wǎng)絡(luò)安全進(jìn)行保護(hù)還需要對(duì)內(nèi)部網(wǎng)絡(luò)的控制和保護(hù)來(lái)實(shí)現(xiàn)。
2.3 數(shù)據(jù)加密 數(shù)據(jù)加密技術(shù)可以與防火墻相互配合,它的出現(xiàn)意味著信息系統(tǒng)的保密性和安全性進(jìn)一步得到提高,秘密數(shù)據(jù)被盜竊,偵聽(tīng)和破壞的可能性大大降低。數(shù)據(jù)加密技術(shù)還衍生出文件加密和數(shù)字簽名技術(shù)。這兩種技術(shù)可以分為四種不同的作用,為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。數(shù)據(jù)傳輸加密主要針對(duì)數(shù)據(jù)在傳輸中的加密作用,主要可以分成線路加密和端口加密這兩種基本方法;數(shù)據(jù)儲(chǔ)存加密技術(shù)是在數(shù)據(jù)儲(chǔ)存時(shí)對(duì)其進(jìn)行加密行為,使數(shù)據(jù)在儲(chǔ)存時(shí)不被竊取;數(shù)據(jù)完整性判別技術(shù)是在數(shù)據(jù)的傳輸、存取時(shí)所表現(xiàn)出來(lái)的一切行為的驗(yàn)證,是否達(dá)到保密要求,通過(guò)對(duì)比所輸入的特征值是否與預(yù)先設(shè)定好的參數(shù)相符來(lái)實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù);數(shù)據(jù)加密在外所表現(xiàn)出來(lái)的應(yīng)用主要為密鑰,密鑰管理技術(shù)是為了保證數(shù)據(jù)的使用效率。
數(shù)據(jù)加密技術(shù)是將在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密從而保證其在網(wǎng)絡(luò)傳輸中的安全性,能夠在一定程度上防止機(jī)密信息的泄漏。同時(shí),數(shù)據(jù)加密技術(shù)所應(yīng)用的地方很廣泛,有信息鑒別、數(shù)字簽名和文件加密等技術(shù),它能夠有效的阻止任何對(duì)信息安全能夠造成危害的行為。
2.4 入侵檢測(cè)技術(shù) 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)是一種對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控的技術(shù),它能夠通過(guò)軟、硬件來(lái)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)地檢測(cè),并將之與入侵?jǐn)?shù)據(jù)庫(kù)進(jìn)行比較,一旦其被判定為入侵行為,它能夠立即根據(jù)用戶所設(shè)定的參數(shù)來(lái)進(jìn)行防護(hù),如切斷網(wǎng)絡(luò)連接、過(guò)濾入侵?jǐn)?shù)據(jù)包等等。因此,我們可以將入侵檢測(cè)技術(shù)當(dāng)做是防火墻的堅(jiān)強(qiáng)后盾,它能夠在不影響網(wǎng)絡(luò)性能的情況下對(duì)齊進(jìn)行監(jiān)聽(tīng),并對(duì)網(wǎng)絡(luò)提供實(shí)時(shí)保護(hù),使得網(wǎng)絡(luò)的安全性能大大提升。
2.5 網(wǎng)絡(luò)安全掃描技術(shù) 網(wǎng)絡(luò)安全掃描技術(shù)是檢測(cè)網(wǎng)絡(luò)安全脆弱性的一項(xiàng)安全技術(shù),它通過(guò)對(duì)網(wǎng)絡(luò)的掃描能夠及時(shí)的將網(wǎng)絡(luò)中的安全漏洞反映給網(wǎng)絡(luò)管理員,并客觀的評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)完全掃描技術(shù)能夠?qū)钟蚓W(wǎng)、互聯(lián)網(wǎng)、操作系統(tǒng)以及安全漏洞等進(jìn)行服務(wù),并且可以檢測(cè)出操作系統(tǒng)中存在的安全漏洞,同時(shí)還能夠檢測(cè)出計(jì)算機(jī)中是否被安裝了竊聽(tīng)程序,以及防火墻可能存在的安全漏洞。
3 單利企業(yè)網(wǎng)絡(luò)安全解決方案
3.1 物理隔離 物理隔離指的是從物理上將網(wǎng)絡(luò)上的潛在威脅隔離掉。其主要表現(xiàn)為沒(méi)有連接、沒(méi)有包轉(zhuǎn)發(fā)等等。
3.2 網(wǎng)絡(luò)系統(tǒng)安全解決方案 網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)是一個(gè)比較重要的部分,網(wǎng)絡(luò)操作系統(tǒng)最重視的性能是穩(wěn)定性和安全性。而網(wǎng)絡(luò)操作系統(tǒng)管理著計(jì)算機(jī)軟硬件資源,其充當(dāng)著計(jì)算機(jī)與用戶間的橋梁作用。因此,我們一般可以采用以下設(shè)置來(lái)對(duì)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行保障:
①將不必要的服務(wù)關(guān)閉。②為之制定一個(gè)嚴(yán)格的賬戶系統(tǒng)。③將賬戶權(quán)限科學(xué)分配,不能濫放權(quán)利。④對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行嚴(yán)謹(jǐn)科學(xué)的安全配置。
3.3 入侵檢測(cè)方案 目前,電力企業(yè)網(wǎng)絡(luò)防護(hù)體系中,僅僅是配置了傳統(tǒng)的防火墻進(jìn)行防護(hù)。但由于傳統(tǒng)防火墻的功能并不強(qiáng)大,再加上操作系統(tǒng)中可能存在的安全漏洞,這兩點(diǎn)為網(wǎng)絡(luò)信息安全帶來(lái)了很大的風(fēng)險(xiǎn)。根據(jù)對(duì)電力企業(yè)的詳細(xì)網(wǎng)絡(luò)應(yīng)用分析,電力企業(yè)對(duì)外應(yīng)用的服務(wù)器應(yīng)當(dāng)受到重點(diǎn)關(guān)注。并在這個(gè)區(qū)域置放入侵檢測(cè)系統(tǒng),這樣可以與防火墻形成交叉防護(hù),相得益彰。
3.4 安全管理解決方案 信息系統(tǒng)安全主要是針對(duì)日常防護(hù)工作,應(yīng)當(dāng)根據(jù)國(guó)家法律來(lái)建立健全日常安全措施和安全目標(biāo),并根據(jù)電力企業(yè)的實(shí)際安全要求來(lái)部署安全措施,并嚴(yán)格的實(shí)施貫徹下去。
4 結(jié)束語(yǔ)
“魔高一尺,道高一丈”。不管攻擊方式多么新奇,總有相應(yīng)的安全措施的出現(xiàn)。而網(wǎng)絡(luò)安全是一個(gè)綜合的、交叉的科學(xué)領(lǐng)域,其對(duì)多學(xué)科的應(yīng)用可以說(shuō)是十分苛刻的,它更強(qiáng)調(diào)自主性和創(chuàng)新性。因此,網(wǎng)絡(luò)安全體系建設(shè)是一個(gè)長(zhǎng)期的、艱苦的工程,且任何一個(gè)網(wǎng)絡(luò)安全方案都不可能解決所有的安全問(wèn)題。電力企業(yè)的網(wǎng)絡(luò)安全問(wèn)題要從技術(shù)實(shí)踐上、理論上、管理實(shí)踐上不斷地深化、加強(qiáng)。
參考文獻(xiàn):
[1]杜勝男.淺析電力企業(yè)網(wǎng)絡(luò)安全組建方案[J].民營(yíng)科技.2010(12).
[關(guān)鍵詞]網(wǎng)絡(luò);安全技術(shù);安全威脅;發(fā)展趨勢(shì)
doi:10.3969/j.issn.1673 - 0194.2015.12.035
[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2015)12-00-01
當(dāng)前的信息網(wǎng)絡(luò)越發(fā)龐大,涵蓋的用戶和節(jié)點(diǎn)也日趨擴(kuò)大,在這個(gè)流通量極大的節(jié)點(diǎn)上,只要一個(gè)小小的位置出現(xiàn)安全威脅,就會(huì)產(chǎn)生非常危險(xiǎn)的結(jié)果。因而隨著網(wǎng)絡(luò)的包容性和開(kāi)放性的不斷擴(kuò)大,網(wǎng)絡(luò)安全技術(shù)的進(jìn)步也變得越來(lái)越重要。網(wǎng)絡(luò)本身的連通性和傳遞性使網(wǎng)絡(luò)安全防護(hù)必須面對(duì)比自身多得多的威脅,因而要全面思索應(yīng)對(duì)各種各樣層出不窮的問(wèn)題。
1 網(wǎng)絡(luò)技術(shù)安全情況現(xiàn)狀分析
網(wǎng)絡(luò)安全技術(shù)的發(fā)展是隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步而進(jìn)步的,網(wǎng)絡(luò)發(fā)展對(duì)安全防護(hù)水平提出更高的要求,從而促進(jìn)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。近年來(lái),我國(guó)的網(wǎng)絡(luò)覆蓋發(fā)展極為迅猛,而網(wǎng)絡(luò)技術(shù)也隨之普及到了各個(gè)用戶身上。在網(wǎng)絡(luò)安全方面,我國(guó)的基礎(chǔ)網(wǎng)絡(luò)防護(hù)措施達(dá)標(biāo)率呈上升趨勢(shì),面臨的風(fēng)險(xiǎn)程度也稍有下降,總體而言并沒(méi)有隨著網(wǎng)絡(luò)的拓展而陷入更大的安全威脅之中,但也必須承認(rèn)在安全技術(shù)的發(fā)展方面,還有很多不足。
我國(guó)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并沒(méi)有很大程度地降低,依舊面臨傳統(tǒng)和非傳統(tǒng)的安全威脅,受到的網(wǎng)絡(luò)攻擊也呈上升趨勢(shì)。網(wǎng)絡(luò)安全威脅可謂無(wú)處不在,而其種類更是復(fù)雜多樣。因此,在網(wǎng)絡(luò)安全技術(shù)的發(fā)展方面,也呈現(xiàn)出全方位和多點(diǎn)開(kāi)花的狀況,從防護(hù)、應(yīng)對(duì)及數(shù)據(jù)恢復(fù)等多方面全方位推進(jìn),并創(chuàng)立了網(wǎng)絡(luò)安全模型。只有在多重安全措施并行的情況下,才能將網(wǎng)絡(luò)安全威脅的生存空間壓制到最小。
網(wǎng)絡(luò)安全技術(shù)如同網(wǎng)絡(luò)的大門(mén)和墻壁,是以對(duì)訪問(wèn)進(jìn)行排查、對(duì)系統(tǒng)進(jìn)行清理和搜檢及對(duì)網(wǎng)絡(luò)權(quán)限的部分限制為主體的多層次全方位綜合體。
2 威脅網(wǎng)絡(luò)安全的幾大因素
2.1 系統(tǒng)不穩(wěn)定和容易被利用漏洞破壞
網(wǎng)絡(luò)的安全漏洞一般而言不容易完全避免,在設(shè)計(jì)之初并不能做到盡善盡美。就現(xiàn)在的情況而言,漏洞的蔓延往往防不勝防,很難及時(shí)發(fā)現(xiàn)漏洞侵襲,導(dǎo)致真正需要應(yīng)對(duì)時(shí)早已損失慘重。一旦重要部分如操作系統(tǒng)遭到漏洞攻擊,其造成的損害也非常巨大。安全技術(shù)防護(hù)面臨的節(jié)點(diǎn)數(shù)不勝數(shù),但攻擊者只需要突破其中一點(diǎn),就可以造成大片的損失,這是由網(wǎng)絡(luò)本身的結(jié)構(gòu)所決定的。
2.2 網(wǎng)絡(luò)管理制度缺位
就管理制度而言,現(xiàn)階段網(wǎng)絡(luò)管理缺少一套整體適用的系統(tǒng)方案,在標(biāo)準(zhǔn)方面往往各自為政,大多數(shù)情況下都是根據(jù)各自需要選擇相應(yīng)的安全手段,從而形成一個(gè)配合并不密切的整體。這樣如同臨時(shí)七拼八湊起來(lái)的結(jié)構(gòu),自然無(wú)法面對(duì)無(wú)處不在無(wú)從預(yù)防的網(wǎng)絡(luò)侵襲。雖然部分企業(yè)從全局出發(fā)進(jìn)行安全技術(shù)設(shè)計(jì),但是軟件和硬件本身的隔離,以及國(guó)家在系統(tǒng)軟件方面的力不從心,導(dǎo)致其自身的努力并不能完全實(shí)現(xiàn)。要完全改變現(xiàn)狀,就要從整體上重新設(shè)計(jì)架構(gòu),盡量明確管理,確定責(zé)任,并完善自身的防御功能,以緩解危機(jī)。
2.3 網(wǎng)絡(luò)對(duì)應(yīng)安全策略缺乏
現(xiàn)階段已正式建立了計(jì)算機(jī)網(wǎng)絡(luò)安全體系,但其應(yīng)變不及時(shí),在安全體系遭到破壞之后,恢復(fù)和修復(fù)工作不甚理想。而事先預(yù)防的難度又太大,難以完全做到防患未然。因此,企圖依靠預(yù)防來(lái)進(jìn)行完全控制并不現(xiàn)實(shí),而完全依靠恢復(fù)和補(bǔ)救的方式又比較被動(dòng)。應(yīng)急性的方案并不多,可以操作的臨時(shí)安全系統(tǒng)也缺乏實(shí)用性。“第二道防線”的建立,還需要付出更多的努力。
對(duì)應(yīng)的安全策略缺乏,還體現(xiàn)在面對(duì)各類不同的網(wǎng)絡(luò)侵襲行為時(shí),由于相關(guān)的安全防護(hù)手段有其特定的安全防護(hù)范圍,不得不依靠多種安全技術(shù)互相堆疊,而這些技術(shù)可能會(huì)互相沖突,或者導(dǎo)致其中一部分失效,從而影響安全技術(shù)的整體應(yīng)用和各個(gè)部分的有效發(fā)揮。
2.4 局域網(wǎng)的開(kāi)放性漏洞
局域網(wǎng)是建立在資源共享的基礎(chǔ)上的,因此其安全防護(hù)并沒(méi)有互聯(lián)網(wǎng)那樣嚴(yán)密,但是由于準(zhǔn)入機(jī)制過(guò)于疏松,導(dǎo)致內(nèi)部數(shù)據(jù)很容易被混進(jìn)來(lái)的操作混亂和遺失。如局域網(wǎng)很容易被網(wǎng)絡(luò)釣魚(yú)者接入,然后竊取和篡改其資料,造成巨大的損失。總體來(lái)說(shuō),要在建設(shè)局域網(wǎng)的時(shí)候加強(qiáng)其端口的準(zhǔn)入設(shè)計(jì),對(duì)于連接外網(wǎng)的情況,要有足夠的審核方式來(lái)進(jìn)行篩選和控制。
3 網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景
當(dāng)前網(wǎng)絡(luò)技術(shù)存在的缺陷是“道高一尺魔高一丈”的狀況的體現(xiàn),被動(dòng)的安全技術(shù)對(duì)主動(dòng)的破解技術(shù)而言是處于劣勢(shì)狀態(tài)的。但這并不會(huì)影響到網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景,正因?yàn)槊媾R著更多安全威脅,才會(huì)刺激網(wǎng)絡(luò)安全技術(shù)的進(jìn)一步發(fā)展,從而實(shí)現(xiàn)更高的飛躍。
3.1 安全防護(hù)模式進(jìn)入智能控制階段
網(wǎng)絡(luò)安全技術(shù)的發(fā)展是在收集數(shù)據(jù)、分析防御方式、尋找問(wèn)題的過(guò)程中逐步發(fā)展起來(lái)的,現(xiàn)階段由于僅限于歸納已有的問(wèn)題,而陷入被動(dòng)的窘境之中。隨著網(wǎng)絡(luò)的進(jìn)一步優(yōu)化,相信計(jì)算機(jī)的智能化會(huì)帶動(dòng)安全技術(shù)的智能化,從而自動(dòng)的進(jìn)行最優(yōu)選擇。而隨著未來(lái)完善的NGN網(wǎng)絡(luò)的建立,相信這樣的控制并非虛妄之言。
3.2 網(wǎng)絡(luò)容量的擴(kuò)展和安全技術(shù)覆蓋的擴(kuò)大
近年來(lái),IP技術(shù)不斷發(fā)展并擴(kuò)大業(yè)務(wù),網(wǎng)絡(luò)安全技術(shù)也隨之而動(dòng),進(jìn)一步提高自身的覆蓋深度和廣度。隨著云計(jì)算技術(shù)的普及和完善,對(duì)云數(shù)據(jù)的保護(hù)也成為了需要關(guān)注的問(wèn)題,廣闊的安全防護(hù)需求決定了網(wǎng)絡(luò)安全技術(shù)覆蓋面必將進(jìn)一步擴(kuò)大。
主要參考文獻(xiàn)
[1]李偉成.新世紀(jì)中的網(wǎng)絡(luò)安全技術(shù)與中國(guó)的發(fā)展策略考慮[J].網(wǎng)絡(luò)科學(xué)技術(shù),2009,17(3):22-25.
關(guān)鍵詞:網(wǎng)絡(luò);安全;VPN;加密技術(shù);防火墻技術(shù)
網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然或惡意的原因而遭破壞、更改或泄露,系統(tǒng)能連續(xù)可靠、正常地運(yùn)行,使網(wǎng)絡(luò)服務(wù)不中斷。
隨著Internet的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用的擴(kuò)大,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也變的非常嚴(yán)重和復(fù)雜。原先由單機(jī)安全事故引起的故障通過(guò)網(wǎng)絡(luò)傳給其他系統(tǒng)和主機(jī),可造成大范圍的癱瘓,再加上安全機(jī)制的缺乏和防護(hù)意識(shí)不強(qiáng),網(wǎng)絡(luò)風(fēng)險(xiǎn)日益加重。這些風(fēng)險(xiǎn)的出現(xiàn)與網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)與應(yīng)用相關(guān)聯(lián)。主要包括物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等六個(gè)方面。網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分:保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問(wèn),這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過(guò)使用注冊(cè)過(guò)的郵件和文件鎖來(lái)實(shí)現(xiàn)。
1.方案目標(biāo)
本方案主要從網(wǎng)絡(luò)層次考慮,將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò),該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí),還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求,比如:可以滿足個(gè)人的通話保密性,也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障,數(shù)據(jù)庫(kù)不被非法訪問(wèn)和破壞,系統(tǒng)不被病毒侵犯,同時(shí)也可以防止有害信息在網(wǎng)上傳播等。
2.安全需求
通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問(wèn)題,我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即:
可用性:授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù);
機(jī)密性:信息不暴露給未授權(quán)實(shí)體或進(jìn)程;
完整性:保證數(shù)據(jù)不被未授權(quán)修改;
可控性:控制授權(quán)范圍內(nèi)的信息流向及操作方式
可審查性:對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段
訪問(wèn)控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問(wèn)控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。
安全審計(jì):是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏。
3.風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全,而是整個(gè)信息網(wǎng)的安全。要知道如何防護(hù),首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面。風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè),對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。
3.1物理安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提,其主要風(fēng)險(xiǎn)有:地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;電磁輻射造成信息被竊取。
3.2鏈路風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)安全威脅不僅在網(wǎng)上進(jìn)行攻擊。攻擊者完全有可能在傳輸線路上安裝竊聽(tīng)設(shè)備,再通過(guò)一些技術(shù)讀出。因此對(duì)于一些重要信息在鏈路上必須加密,并且通過(guò)數(shù)字簽名及認(rèn)證確保數(shù)據(jù)的真實(shí)性、機(jī)密性、可靠性、完整性。
3.3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
與Internet互聯(lián)的安全威脅,主要為黑客的人侵;內(nèi)部局域網(wǎng)與外部網(wǎng)互聯(lián)的安全威脅,主要手段有網(wǎng)絡(luò)監(jiān)聽(tīng)與惡意攻擊等。內(nèi)部局域網(wǎng)的安全威脅,主要是內(nèi)部人員的泄密。
3.4系統(tǒng)安全風(fēng)險(xiǎn)分析
主要指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。表現(xiàn)在開(kāi)發(fā)商的Back-Door(后門(mén))以及系統(tǒng)本身的漏洞上。
3.5應(yīng)用安全風(fēng)險(xiǎn)分析
應(yīng)用系統(tǒng)的安全涉及的方面較多,主要在電子郵件與病毒方面。
3.6管理安全風(fēng)險(xiǎn)分析
內(nèi)部人員的破壞,管理不善,制度不健全,都可以引起管理安全風(fēng)險(xiǎn)。因此除了技術(shù)以外,還得依靠管理實(shí)現(xiàn)網(wǎng)絡(luò)安全。
4.解決方案
4.1設(shè)計(jì)原則
針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況,解決網(wǎng)絡(luò)的安全保密問(wèn)題是當(dāng)務(wù)之急,考慮技術(shù)難度及經(jīng)費(fèi)等因素,設(shè)計(jì)時(shí)應(yīng)遵循的思想:
①大幅度地提高系統(tǒng)的安全性和保密性;
②保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性;
③易于操作、維護(hù),并便于自動(dòng)化管理,而不增加或少增加附加操作;
④盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展;
⑤安全保密系統(tǒng)具有較好的性能價(jià)格比,一次性投資,可以長(zhǎng)期使用;
⑥安全與密碼產(chǎn)品具有合法性,及經(jīng)過(guò)國(guó)家有關(guān)管理部門(mén)的認(rèn)可或認(rèn)證;
⑦分步實(shí)施原則:分級(jí)管理,分步實(shí)施。
4.2安全策略
針對(duì)上述分析,我們采取以下安全策略:
㈠采用漏洞掃描技術(shù),對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。
㈡采用各種安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:
①防火墻技術(shù):在網(wǎng)絡(luò)的對(duì)外接口,采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制。
②NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息。
③VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái),構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。
④網(wǎng)絡(luò)加密技術(shù)(Ipsec) :采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾浴K山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題,也可解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。
4.3防御系統(tǒng)
我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)(Ipsec),構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。
4.3.1物理安全
為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù) 措施,來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。為保證網(wǎng)絡(luò)的正常運(yùn)行,在物理安全方面應(yīng)采取如下措施:
①產(chǎn)品保障方面:主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。
②運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備,特別是安全類產(chǎn)品在使用過(guò)程中,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng),應(yīng)設(shè)置備份系統(tǒng)。
③防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機(jī)。
④保安方面:主要是防盜、防火等,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。
4.3.2防火墻技術(shù)
防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實(shí)現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備———路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng),也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。
4.3.3 VPN技術(shù)
VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn),可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。
4.3.4網(wǎng)絡(luò)加密技術(shù)(Ipsec)
IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此,IP安全是整個(gè)TCP/IP安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括:①訪問(wèn)控制;②無(wú)連接完整性;③數(shù)據(jù)起源認(rèn)證;④抗重放攻擊;⑤機(jī)密性;⑥有限的數(shù)據(jù)流機(jī)密性;信息交換加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。
5結(jié)束語(yǔ)
在日常工作和學(xué)習(xí)中,只要我們使用網(wǎng)絡(luò),就必然涉及到網(wǎng)絡(luò)安全的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題主要采取的技術(shù)手段,對(duì)防止系統(tǒng)非法入侵都有一定的效果,但它們只是起著防御功能,不能完全阻止入侵者通過(guò)蠻力攻擊或利用計(jì)算機(jī)軟硬件系統(tǒng)的缺陷闖入未授權(quán)的計(jì)算機(jī)或?yàn)E用計(jì)算機(jī)及網(wǎng)絡(luò)資源。因此,我們必須不斷學(xué)習(xí),不斷積累經(jīng)驗(yàn),提高自身素質(zhì),制定出嚴(yán)密的安全防范措施,盡可能提高網(wǎng)絡(luò)系統(tǒng)的安全可靠性。
參考文獻(xiàn):
[1]郭軍.網(wǎng)絡(luò)管理[M].北京:北京郵電大學(xué)出版社,2001.
目前,互聯(lián)網(wǎng)惡意軟件已經(jīng)成為社會(huì)的公害,成為企業(yè)安全暢通上網(wǎng)的絆腳石。對(duì)于企業(yè)而言,間諜軟件、垃圾郵件等網(wǎng)絡(luò)威脅已經(jīng)到了無(wú)法忍受的地步,一些間諜軟件通過(guò)“打開(kāi)網(wǎng)頁(yè)即裝載”的方式潛藏進(jìn)電腦,幾乎是防不勝防,甚至成為一些網(wǎng)絡(luò)釣魚(yú)、竊取賬戶資金的幫兇。
僅僅是垃圾郵件和惡意程序就足以令企業(yè)的電腦資源消耗殆盡,既浪費(fèi)了大量的系統(tǒng)、硬盤(pán)、內(nèi)存和網(wǎng)絡(luò)資源,又降低了公司的經(jīng)營(yíng)效率。
軟件+硬件+服務(wù)
靠傳統(tǒng)的手法解決網(wǎng)絡(luò)安全問(wèn)題,已漸漸行不通了,尋求行之有效的安全解決方案,成為社會(huì)交給廣大防病毒廠商的一份責(zé)任。專注于網(wǎng)絡(luò)安全軟件及服務(wù)領(lǐng)域的趨勢(shì)科技在現(xiàn)在這個(gè)變幻莫測(cè)的網(wǎng)絡(luò)環(huán)境下,面對(duì)在巨大經(jīng)濟(jì)利益驅(qū)使下的病毒和惡意軟件制造者的嚴(yán)重挑釁,一改業(yè)界以“產(chǎn)品導(dǎo)入方式解決網(wǎng)絡(luò)安全問(wèn)題”作法,第一次明確提出以客戶需求為導(dǎo)向的安全立體解決方案,該方案既包括軟件,也包括硬件,同時(shí)還有服務(wù)。
在這個(gè)“軟件+硬件+服務(wù)”安全立體解決方案中,軟件、硬件和服務(wù)各司其職,從不同層面解決用戶在安全實(shí)踐中的問(wèn)題,給用戶提供一個(gè)完善的安全保護(hù)體系。
EPS Solution Day
對(duì)此,趨勢(shì)科技最近在北京、上海和廣州等地舉辦了“EPS Solution Day”大型解決方案日巡展活動(dòng),在活動(dòng)中趨勢(shì)科技表示,監(jiān)控、強(qiáng)制、防護(hù)和恢復(fù)是趨勢(shì)科技企業(yè)安全防護(hù)策略的四個(gè)環(huán)節(jié)。在這四個(gè)環(huán)節(jié)當(dāng)中,趨勢(shì)科技將全方位的解決方案和安全服務(wù)無(wú)縫整合在一起,監(jiān)測(cè)潛在威脅、實(shí)施統(tǒng)一的安全策略、預(yù)防惡意威脅傳播和修復(fù)被感染設(shè)備。
EPS是“軟件+硬件+服務(wù)”三位一體解決方案的結(jié)構(gòu)框架和理念基礎(chǔ)。在巡展中,國(guó)家計(jì)算機(jī)病毒應(yīng)急中心主任張健表示,趨勢(shì)科技所提出的“軟件+硬件+服務(wù)”一攬子式的解決方案,扭轉(zhuǎn)了“產(chǎn)品導(dǎo)入方式解決網(wǎng)絡(luò)安全問(wèn)題”所造成的“頭痛醫(yī)頭,腳痛醫(yī)腳”弊病,切重解決安全問(wèn)題的本質(zhì)和要害,為飽受安全困擾的用戶指明了方向,代表了安全產(chǎn)業(yè)未來(lái)的發(fā)展趨勢(shì)。
軟硬兼施
作為傳統(tǒng)的安全軟件廠商,趨勢(shì)科技開(kāi)發(fā)出許多業(yè)界有名的安全軟件,包括OfficeScan和ScanMail等,這些軟件靈活、廣泛地部署在用戶的關(guān)鍵服務(wù)器當(dāng)中,保護(hù)著企業(yè)的關(guān)鍵業(yè)務(wù)。
趨勢(shì)科技并沒(méi)有局限于安全軟件,而是前瞻性地看到硬件設(shè)備在網(wǎng)絡(luò)當(dāng)中的地位和作用,尤其是在網(wǎng)關(guān)位置,硬件設(shè)備更能發(fā)揮高效、穩(wěn)定的優(yōu)勢(shì),繼趨勢(shì)科技網(wǎng)絡(luò)病毒墻NVW之后,趨勢(shì)科技又全力打造了大中型企業(yè)的網(wǎng)關(guān)訊息安全設(shè)備(IMSA)、互聯(lián)網(wǎng)網(wǎng)關(guān)安全設(shè)備(IWSA)和中小企業(yè)InterScan網(wǎng)關(guān)安全設(shè)備(IGSA)等高性能網(wǎng)關(guān)設(shè)備,幫助用戶在網(wǎng)絡(luò)的入口處高效率地過(guò)濾網(wǎng)絡(luò)威脅。
1.1需精確地評(píng)估防火墻的失效狀況
任何軟件都有一定的生命周期,防火墻也有一定的生命周期,我們要正確的評(píng)估防火墻的使用效能,一旦防火墻失效,對(duì)網(wǎng)絡(luò)安全造成的后果無(wú)法想象。防火墻使用具有一定的級(jí)別,在被外界病毒等侵入時(shí)候具有一定的防御,我們?cè)谠O(shè)置防火墻的功能時(shí)候要具有一定的科學(xué)性,當(dāng)防火墻受到攻擊時(shí)候,能自動(dòng)啟動(dòng)防御功能,因此,我們?cè)谠O(shè)置防火墻功能時(shí)候,要正確檢測(cè)防火墻是否失效功能要開(kāi)啟,達(dá)到防火墻失效狀態(tài)正常評(píng)估。
1.2正確選擇、科學(xué)配置防火墻
防火墻功能的科學(xué)配置,是對(duì)網(wǎng)絡(luò)安全防御的重要保障,防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬 周哲韞進(jìn)入新世紀(jì)以后,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速,尤其Internet的發(fā)展應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)安全越來(lái)越重要,尤其一些政府部門(mén)網(wǎng)絡(luò),科研等機(jī)構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入,后果是非常嚴(yán)重的,在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中,防火墻技術(shù)室比較成熟的,本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。摘要中關(guān)鍵技術(shù)之一,在配置防火墻時(shí)候,要正確選擇,科學(xué)配置。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人才需要專門(mén)的培訓(xùn)與學(xué)習(xí),才能進(jìn)行科學(xué)的配置,在配置防火時(shí)候具有一定的技巧,在不同環(huán)境,不同時(shí)期具有一定的應(yīng)用,因此正確科學(xué)的配置防火墻沒(méi)有通式,必須在根據(jù)環(huán)境狀態(tài)下進(jìn)行科學(xué)合理的配置,這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。
1.3有賴于動(dòng)態(tài)維護(hù)
防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用,不是把防火墻軟件在計(jì)算機(jī)中安裝以后,進(jìn)行一些配置以后就完事,管理員要對(duì)防火墻實(shí)時(shí)進(jìn)行監(jiān)控,看防火墻是否出現(xiàn)一些異常狀況,管理員還要與廠商經(jīng)常保持密切聯(lián)系,是否有更新,任何在完美事物都有兩面性,要及時(shí)更新,彌補(bǔ)防火墻漏洞,防止計(jì)算機(jī)網(wǎng)絡(luò)被更新,因此防火墻技術(shù)是一種動(dòng)態(tài)實(shí)時(shí)更新技術(shù)。
1.4搞好規(guī)則集的檢測(cè)審計(jì)工作
網(wǎng)絡(luò)安全技術(shù)最大的危險(xiǎn)是自己,網(wǎng)絡(luò)管理員不能出現(xiàn)一點(diǎn)大意,在防火墻技術(shù)的應(yīng)用過(guò)程中,要適時(shí)進(jìn)行更新,彌補(bǔ)漏洞,還要定期進(jìn)行一定的檢測(cè)和審計(jì)工作,用來(lái)評(píng)估網(wǎng)絡(luò)現(xiàn)在的安全性,以及在未來(lái)一段時(shí)間網(wǎng)絡(luò)的安全性,做好正確的評(píng)審工作,是網(wǎng)絡(luò)能長(zhǎng)時(shí)間保持穩(wěn)定的重要條件,實(shí)時(shí)檢測(cè),實(shí)時(shí)維護(hù)是網(wǎng)絡(luò)安全的基本法則。
2防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案
2.1設(shè)置內(nèi)部防火墻,編制可靠的安全方案
在網(wǎng)絡(luò)安全防范的過(guò)程中,內(nèi)部局域網(wǎng)一定要重視,當(dāng)局域網(wǎng)中一臺(tái)機(jī)器出現(xiàn)病毒狀況,可能瞬間整個(gè)網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài),因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測(cè),內(nèi)部局域網(wǎng)防火墻要進(jìn)行科學(xué)合理的設(shè)置,制定一個(gè)可行的安全方案,對(duì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)進(jìn)行一定的保障。內(nèi)部防火墻進(jìn)行一定的分段,每個(gè)主機(jī)要有標(biāo)準(zhǔn),但有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),標(biāo)準(zhǔn)時(shí)同樣的,這樣對(duì)網(wǎng)絡(luò)的檢測(cè)等有一定的依據(jù),增強(qiáng)了網(wǎng)絡(luò)的安全性。
2.2合理設(shè)定外部防火墻,防范外網(wǎng)攻擊
經(jīng)外部防火墻的設(shè)定,把內(nèi)網(wǎng)同外網(wǎng)相分開(kāi),可防范外網(wǎng)攻擊行為。外部防火墻通過(guò)編制訪問(wèn)策略,僅已被授權(quán)的主機(jī)方能訪問(wèn)內(nèi)網(wǎng)IP,使外網(wǎng)僅能訪問(wèn)內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會(huì)變換地址,使外網(wǎng)無(wú)法掌握內(nèi)網(wǎng)結(jié)構(gòu),阻斷了黑客攻擊的目標(biāo)。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間,防火墻對(duì)獲取的數(shù)據(jù)包加以剖析,把其中合法請(qǐng)求傳導(dǎo)到對(duì)應(yīng)服務(wù)主機(jī),拒絕非法訪問(wèn)。
3防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì)及前景
防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物,為不安全的網(wǎng)絡(luò)搭建一個(gè)安全的網(wǎng)絡(luò)平臺(tái),網(wǎng)絡(luò)安全是不可預(yù)測(cè)的,防火墻技術(shù)也在日新月異的進(jìn)行發(fā)展,防火墻技術(shù)的未來(lái)發(fā)展是廣泛的,能為網(wǎng)絡(luò)安全作出一定的貢獻(xiàn),下面闡述一下防火墻技術(shù)的未來(lái)發(fā)展趨勢(shì),引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。
3.1智能化
現(xiàn)在計(jì)算機(jī)的未來(lái)發(fā)展是網(wǎng)絡(luò)化、智能化,網(wǎng)絡(luò)安全問(wèn)題的發(fā)展也比較快,對(duì)網(wǎng)絡(luò)安全的軟件要求也是越來(lái)越高,網(wǎng)絡(luò)上的病毒具有不可預(yù)見(jiàn)性,對(duì)防御病毒的軟件提出一個(gè)嶄新的要求,必須具有一定的智能化,就是防火墻自身具有很強(qiáng)的防御功能,不是人為的進(jìn)行控制,智能化是網(wǎng)絡(luò)安全專家對(duì)防火墻技術(shù)的期盼,也是防火墻技術(shù)自身發(fā)展的需要,但防火墻技術(shù)實(shí)現(xiàn)智能化需要一定的時(shí)間,需要網(wǎng)絡(luò)安全專家不停努力的結(jié)果。
3.2擴(kuò)展性能更佳
計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,點(diǎn)到點(diǎn)客戶的快速發(fā)展,現(xiàn)在3G網(wǎng)絡(luò)已經(jīng)向4G網(wǎng)絡(luò)發(fā)展,對(duì)防火墻的擴(kuò)展型提出更好的要求,軟件技術(shù)的發(fā)展必須為未來(lái)的發(fā)展提出更好的要求,其擴(kuò)展性具有一定發(fā)展,使防火墻技術(shù)能更好的為網(wǎng)絡(luò)安全服務(wù),提高網(wǎng)絡(luò)安全服務(wù)的本領(lǐng),減少病毒的入侵,提高網(wǎng)絡(luò)安全。
