序論:在您撰寫安全網(wǎng)絡策略時����,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�,引導您走向新的創(chuàng)作高度。
第1篇
【關(guān)鍵詞】網(wǎng)絡安全���;威脅風險�;安全漏洞�����;防范策略
引言
經(jīng)濟多元化發(fā)展的今天�,人們的生活越來越離不開信息網(wǎng)絡世界,對網(wǎng)絡空間的安全也提出了更高的要求�。網(wǎng)絡安全問題可以造成的嚴重危害有目共睹�,僅以2016年為例����,就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網(wǎng)站、315晚會上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產(chǎn)�、俄羅斯黑客盜取2.7億郵箱賬號密碼并在黑市交易、山東臨沂準大一新生徐玉玉因電信詐騙死亡�����、國家電網(wǎng)掌上電力及電e寶等App泄露大量用戶數(shù)據(jù)等重大網(wǎng)絡安全事件發(fā)生����。因此��,提高全民的網(wǎng)絡安全意識���、普及網(wǎng)絡安全威脅防范知識已成為當務之急���。只有在全民做好防范應對的前提下,才真正能夠抵御來自于互聯(lián)網(wǎng)的絕大部分威脅和風險�����,營造一個健康和諧、更好地為人類生活服務的網(wǎng)絡社會����。
1網(wǎng)絡安全三類威脅
根據(jù)國家互聯(lián)網(wǎng)應急中心(CNCERT)網(wǎng)絡安全信息與動態(tài)監(jiān)測結(jié)果,2016年12月12日至12月18日��,我國境內(nèi)被篡改網(wǎng)站數(shù)量達3438個(其中政府網(wǎng)站79個)��;境內(nèi)被植入后門的網(wǎng)站數(shù)量達1614個(其中政府網(wǎng)站33個)��;針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量達2486個���。境內(nèi)感染網(wǎng)絡病毒的主機數(shù)量達94.8萬�����,其中包括被木馬或被僵尸程序控制主機72.8萬���,感染飛客(conficker)蠕蟲主機22萬;新增信息安全漏洞274個�,其中高危漏洞98個。與前一周相比�����,被篡改網(wǎng)站、仿冒頁面�����、感染病毒主機���、新增信息安全漏洞等數(shù)量都在增加[1]�?�?梢?��,互聯(lián)網(wǎng)安全威脅普遍、大量存在���,而且有不斷增加的趨勢����。這些威脅依據(jù)安全三要素“人�、機、環(huán)境”可分類為:人為威脅�����、計算機威脅和網(wǎng)絡威脅。1.1人為威脅人為威脅[2]即由用戶非正常操作引起的威脅����,包括:(1)無意識的操作失誤,如系統(tǒng)管理員安全配置不當��、系統(tǒng)登錄口令強度太弱�、長時間離開未鎖定計算機、重要賬號隨意轉(zhuǎn)借他人�����、下載運行存在安全風險的軟件程序等��;(2)有意識的主動攻擊��,如通過釣魚郵件�、社會工程學等方法竊取重要數(shù)據(jù)信息,或者利用病毒木馬傳播�����、惡意代碼植入�����、拒絕服務攻擊等方式對系統(tǒng)和數(shù)據(jù)進行篡改甚至破壞。
1.2計算機威脅
計算機威脅主要是由計算機自身部署的軟硬件產(chǎn)生的威脅���,包括:(1)因操作系統(tǒng)���、數(shù)據(jù)庫或其他應用系統(tǒng)未及時升級至最新版本導致存在可被利用的漏洞或者“后門”[3];(2)因需要提供某些特定服務而開啟相應端口�����,這些服務和端口同時也可能被攻擊者利用�����;(3)因接入外部設(shè)備(如U盤��、攝像頭��、打印機等)導致敏感信息泄露或計算機被感染等問題�。
1.3網(wǎng)絡威脅
網(wǎng)絡威脅是三類威脅中存在最廣泛�、危害性最強的?;ヂ?lián)網(wǎng)上充斥著各種各樣、不計其數(shù)的病毒����、木馬和惡意代碼��,未作任何防護措施的計算機直接接入網(wǎng)絡中的危險不言而喻����;網(wǎng)絡通信協(xié)議使得具有不同硬件架構(gòu)和操作系統(tǒng)的計算機能夠互聯(lián)互通�����,但許多早期協(xié)議在設(shè)計之初并未考慮網(wǎng)絡安全問題�����,不可避免會存在安全隱患���;除此之外�����,互聯(lián)網(wǎng)中還遍布各種具有攻擊能力的網(wǎng)絡工具�,攻擊者可以操縱這些工具并結(jié)合一些攻擊命令實現(xiàn)各種攻擊目的���,輕則竊取重要文件或造成目標計算機運行異常�,重則完全控制目標計算機甚至造成物理性嚴重破壞。
2常用網(wǎng)絡安全防范策略
為有效防范上述網(wǎng)絡安全威脅�����,結(jié)合生活生產(chǎn)實際���,常用且有效的一些應對策略和措施包括以下方面����。
2.1完善用戶賬戶口令安全
包括操作系統(tǒng)(如Windows�、Linux/Unix)、數(shù)據(jù)庫(如SQLServer�、Oracle、MySQL)����、中間件(如Tomcat、Weblogic�、JBoss)、遠程連接和文件共享服務(如Ftp����、Telnet��、SSH)、網(wǎng)絡設(shè)備(如網(wǎng)關(guān)�����、交換機����、路由器、攝像頭����、打印機)等重要軟硬件資源的管理員口令都應設(shè)置為大小寫字母、數(shù)字及特殊字符的強組合���,且應達到一定長度并定期更換(如8位以上��、每3月更換)�。研究表明�,暴力破解8位強組合口令的時間是8位純數(shù)字口令的7.2*107倍,是6位強組合口令的9.2*103倍���,長度越長��、組合越復雜的口令被破解成功的概率將以指數(shù)級減小�。對于Windows操作系統(tǒng),應特別注意禁用Guest來賓賬戶��,有為數(shù)不少的成功入侵案例就是利用這個賬號存在的漏洞來達到入侵目的����。為進一步加強反入侵效果,還可以將系統(tǒng)默認的管理員用戶名administrator修改為其他名稱��,同時再創(chuàng)建一個具有極小權(quán)限的administrator賬戶����,從而對攻擊者造成干擾和迷惑,爭取時間組織有效防御���。
2.2禁用不常用的端口
操作系統(tǒng)一般會默認開放一些網(wǎng)絡服務�����,如果確認不會用到這些服務�����,就應該禁用服務對應的端口��,減少計算機暴露在網(wǎng)絡中的安全風險��。對于個人終端計算機����,可以禁用的常見端口包括:21(Ftp服務)����、23(Telnet服務)、80/8080(Http服務)��、139/445(網(wǎng)絡共享服務)����、443(Https服務)、3389(遠程連接服務)等��,這樣可以阻止相當一部分網(wǎng)絡攻擊����。對于部署了數(shù)據(jù)庫和中間件的服務器計算機,應該更改以下默認端口:1433(SQLServer)���、1521(Oracle)���、3306(MySQL)�����、7001(Weblogic)�、8080(Tomcat/JBoss)等���,達到在網(wǎng)絡中隱藏自身的目的�����。
2.3及時更新最新升級補丁
任何軟件系統(tǒng)都不可能是絕對安全的����,總會被有意者發(fā)現(xiàn)新的安全問題����,因此開發(fā)商需要不斷升級補丁和重大版本更新來修復和封堵漏洞,保持系統(tǒng)的安全性和穩(wěn)定性�。如果不及時更新至最新的版本,就很容易被攻擊者利用已知漏洞獲得系統(tǒng)控制權(quán)限或致使系統(tǒng)癱瘓����。因此�,應定期檢要的軟件系統(tǒng)如操作系統(tǒng)�����、數(shù)據(jù)庫���、中間件、辦公軟件����、開發(fā)環(huán)境(如Java、PHP)等是否存在重要升級補丁或重大版本更新���,及時選擇合適的時機完成升級更新����,封堵來自于軟件本身的威脅�����。
2.4部署安裝必要的安全軟�����、硬件
要保證計算機安全接入互聯(lián)網(wǎng),以下安全軟件和硬件是必須部署安裝的:(1)防火墻/安全網(wǎng)關(guān)���,用于實現(xiàn)對網(wǎng)絡的訪問控制��,過濾不安全的流量數(shù)據(jù)包�����,禁用指定端口的通信和來自特定ip地址的訪問等[4]����;(2)防病毒軟件���,用于防范�����、攔截���、查殺、隔離計算機病毒��、木馬和惡意代碼�����;(3)加密U盤,用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數(shù)據(jù)��。企業(yè)級用戶還應部署如下系統(tǒng)以達到更高的安全防護級別:(1)入侵檢測系統(tǒng)/入侵防御系統(tǒng)���,用于自動檢測和防御來自外部網(wǎng)絡的可能的攻擊行為�,并為網(wǎng)絡安全管理人員提供日志審計以追溯攻擊來源���、識別較隱蔽的攻擊行為等;(2)漏洞掃描系統(tǒng)�����,通過掃描等方式檢測本地或遠程計算機系統(tǒng)存在的安全脆弱性��,發(fā)現(xiàn)可被利用的安全漏洞隱患并提供相應的修復和加固建議�����;(3)災備系統(tǒng)�,用于對信息系統(tǒng)進行數(shù)據(jù)、軟件和硬件備份�,使得在災難發(fā)生導致系統(tǒng)損毀時��,能夠迅速��、可靠地恢復到正常運行狀態(tài)���。
2.5應用加密技術(shù)存儲、傳輸文件
對于具有密級級別的文件資料����,如國家、商業(yè)�����、企業(yè)的絕密�、機密和秘密文件,應當進行加密存儲���,防止攻擊者在成功入侵獲得文件后輕易解讀���。目前的加密存儲方式可分為硬件加密、軟件加密和智能加密三類�����,其中使用最廣泛、最便捷的是軟件加密方式�����,常見如壓縮軟件WinRAR提供的加密壓縮包功能�����,以及一些專業(yè)加密軟件如“超級加密3000”���、“文件夾超級加密大師”���、“隱身俠”等��。密級很高的文件不建議使用軟件加密���,應選擇安全性更高的硬件和智能加密方式����。重要文件和信息在網(wǎng)絡中的傳輸也應該進行加密�����。一些早期的網(wǎng)絡傳輸協(xié)議如ftp、telnet等均以明文方式傳輸信息���,只要傳輸?shù)木W(wǎng)絡數(shù)據(jù)包被截獲�,所有信息都將徹底暴露����,毫無安全性可言,也正因如此����,ftp和telnet服務已經(jīng)逐漸被相對安全得多的ssh服務所代替。除了信息傳輸方式應設(shè)置為密文外�,被傳輸?shù)奈募旧硪矐敿用埽苑纻鬏斖ǖ辣唤俪只蛑虚g節(jié)點服務器被控制導致文件被他人獲得后可無限制訪問���。
3結(jié)語
第2篇
1.影響網(wǎng)絡信息安全的主要因素
1.1 導致互聯(lián)網(wǎng)脆弱性的原因��。
(1)網(wǎng)絡的開放性�,網(wǎng)絡的技術(shù)是全開放的�,使得網(wǎng)絡所面臨的攻擊來自多方面?���;蚴莵碜晕锢韨鬏斁€路的攻擊�����,或是來自對網(wǎng)絡通信協(xié)議的攻擊���,以及對計算機軟件、硬件的漏洞實施攻擊��。
(2)網(wǎng)絡的自由性����,大多數(shù)的網(wǎng)絡對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng)��,和獲取各類信息��。
1.2 安全管理困難性��。
雖然安全事件通常是不分國界的�,但是安全管理卻受國家等多種因素的限制���。安全管理也非常復雜��,經(jīng)常出現(xiàn)人力投入不足��、安全政策不明等現(xiàn)象���。擴大到不同國家之間�����,跨國界的安全事件的追蹤就非常困難���。
2.網(wǎng)絡安全的主要技術(shù)
2.1 防火墻技術(shù)。防火墻指的是一個由軟件和硬件設(shè)備組合而成�、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障����。它是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(Security Gateway)�����,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入����。
2.1.1 網(wǎng)絡安全的屏障�。
防火墻可通過過濾不安全的服務而減低風險���,極大地提高內(nèi)部網(wǎng)絡的安全性��。由于只有經(jīng)過選擇并授權(quán)允許的應用協(xié)議才能通過防火墻�����,所以網(wǎng)絡環(huán)境變得更安全��。防火墻可以禁止諸如不安全的NFS協(xié)議進出受保護的網(wǎng)絡�����,使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡�。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊��,如IP選項中的源路由攻擊和ICMP重定向路徑�����。防火墻能夠拒絕所有以上類型攻擊的報文�����,并將情況及時通知防火墻管理員���。
2.1.2 強化網(wǎng)絡安全策略�����。通過以防火墻為中心的安全方案配置��。能將所有安全軟件(如口令��、加密��、身份認證等)配置在防火墻上�����。與將網(wǎng)絡安全問題分散到各個主機上相比���,防火墻的集中安全管理更經(jīng)濟。例如�,在網(wǎng)絡訪問時,一次一密口令系統(tǒng)和其他的身份認證系統(tǒng)完全可以不必分散在各個主機上而集中在防火墻�����。
2.2 數(shù)據(jù)加密技術(shù)。
2.2.1 常用的數(shù)據(jù)加密技術(shù)�。
目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。
2.2.2 數(shù)據(jù)加密技術(shù)的含義���。
所謂數(shù)據(jù)加密(Data Encryption)技術(shù)是指將一個信息(或稱明文��,plain text)經(jīng)過加密鑰匙(Encryption key)及加密函數(shù)轉(zhuǎn)換���,變成無意義的密文(cipher text),而接收方則將此密文經(jīng)過解密函數(shù)���、解密鑰匙(Decryption key)還原成明文��。加密技術(shù)是網(wǎng)絡安全技術(shù)的基石����。
3.網(wǎng)絡安全具有的功能
3.1 身份識別�。
身份識別是安全系統(tǒng)應具備的基本功能,身份識別主要是通過標識和鑒別用戶的身份�,防止攻擊者假冒合法用戶獲取訪問權(quán)限。對于一般的計算機網(wǎng)絡而言����,主要考慮主機和節(jié)點的身份認證����,至于用戶的身份認證可以由應用系統(tǒng)來實現(xiàn)����。
3.2 存取控制��。
存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力���。存取控制是網(wǎng)絡安全理論的重要方面����,主要包括人員限制���、數(shù)據(jù)標識�、權(quán)限控制�����、類型控制和風險分析����。存取控制也是最早采用的安全技術(shù)之一���,它一般與身份驗證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限����,以實現(xiàn)不同安全級別的信息分級管理。
4.常見網(wǎng)絡攻擊方法
4.1 網(wǎng)絡中的安全漏洞無處不在�����。即便舊的安全漏洞補上了����,新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡攻擊正是利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊�����。
第一:搜索
第二:掃描
第三:獲得權(quán)限
第四:保持連接
第五:消除痕跡
4.2 網(wǎng)絡攻擊的常見方法��。
(1)口令入侵
(2)電子郵件攻擊
(3)木馬程序
(4)漏洞攻擊
5.網(wǎng)絡安全應對策略
(1)使用防火墻軟件
(2)提高網(wǎng)絡安全意識
(3)隱藏自己的IP地址
(4)備份資料
(5)提高警惕
我國面對網(wǎng)絡威脅采取的主要策略:
5.1 完善管理機制���。
一個完善的計算機網(wǎng)絡信息系統(tǒng)安全方案至少應該包括以下幾個方面:訪問控制�、檢查安全漏洞、攻擊監(jiān)控����、加密、備份和恢復����、多層防御、建立必要的管理機制�����。隨著計算機技術(shù)和通信技術(shù)的發(fā)展���,計算機網(wǎng)絡將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段��,滲透到社會生活的各個領(lǐng)域���。因此���,認清網(wǎng)絡的脆弱性和潛在威脅,采取強有力的安全策略��,對于保障網(wǎng)絡的安全性顯得十分重要。同時�,計算機網(wǎng)絡技術(shù)目前正處于蓬勃發(fā)展的階段,新技術(shù)層出不窮�,其中也不可避免地存在一些漏洞,因此����,進行網(wǎng)絡防范要不斷追蹤新技術(shù)的應用情況,及時升級�、完善自身的防御措施。
5.2 逐步消除網(wǎng)絡安全隱患�。
(1)每個人必須對其網(wǎng)絡行為承擔法律和道德責任是規(guī)范網(wǎng)絡秩序的一個重要準則。
第3篇
關(guān)鍵詞:網(wǎng)絡拓撲�;防火墻;路由器��;交換機����;LAN;網(wǎng)絡安全策略
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)24-5855-03
On the Hospital Network Security Policy
HUANG Shao-e
(Information Department of Songgang Hospital, Shenzhen 518105, China)
Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.
Key words: network topology; firewal; router; switch; VLAN; network security policy
隨著醫(yī)院業(yè)務的不斷發(fā)展��,其網(wǎng)絡系統(tǒng)[1]也經(jīng)歷了多年的不斷建設(shè)�����。在業(yè)務水平、網(wǎng)絡規(guī)模不斷提升的同時����,網(wǎng)絡也變得越來越復雜,而這種復雜對其安全性的挑戰(zhàn)也是越來越嚴峻���。OA業(yè)務系統(tǒng)對信息系統(tǒng)的依賴程度也越來越高���,信息安全的問題也越來越突出。醫(yī)院計算機管理人員充分認識到了安全保證對于業(yè)務系統(tǒng)的重要性����,采取了相應的安全措施�����,部署了一些安全設(shè)備發(fā)揮了積極的作用��。但是安全的動態(tài)性����、系統(tǒng)性的屬性決定了安全是一個逐步完善的整體性系統(tǒng)工程,需要管理��、組織和技術(shù)各方面的配合。安全源于未雨綢繆�����,隨著安全信息建設(shè)的逐步深入�����,醫(yī)院立足于當前系統(tǒng)環(huán)境�����,考慮到未來業(yè)務發(fā)展的趨勢決定對系統(tǒng)進行安全體系建設(shè)�。在2009年初計劃投入建設(shè)我院信息安全保障體系[1-2],以增強我院的外網(wǎng)信息安全風險防范能力�����。
下面就我院網(wǎng)絡改造前后安全問題進行淺談���。
1 我院網(wǎng)絡未改造前現(xiàn)狀系統(tǒng)安全風險分析
未改造前我院外部網(wǎng)絡所面臨的主要問題:所面臨的主要問題可以細化為:① 員工有少數(shù)人上網(wǎng)進行BT下載����,嚴重占用帶寬�����,影響其他人的正常的互聯(lián)網(wǎng)訪問。② 內(nèi)網(wǎng)機器感染了病毒�,沒有有效監(jiān)控措施快速找到感染病毒的機器。③ 內(nèi)網(wǎng)網(wǎng)絡沒有做安全隔離�,服務器和客戶端沒有有效的隔離。④ 服務器區(qū)沒有任何的安全防護措施�,容易受到攻擊。⑤ OA院內(nèi)辦公系統(tǒng)�、數(shù)字多媒體圖書館等系統(tǒng)直接暴露于互聯(lián)網(wǎng),沒有任何安全防護措施�,很容易造成隱私信息的泄漏。
未改造前的網(wǎng)絡狀況拓撲結(jié)構(gòu)如圖1所示�����。
本單位辦公樓層分布:十層樓門診部(門診辦公+行政辦公)���、十層樓住院部、小樓層其他業(yè)務科室辦公樓�;
2 我院改造后的網(wǎng)絡系統(tǒng)安全策略[2-3]
通過以VLAN(Virtual Local Area Network)方式的配置管理技術(shù),在交換式以太網(wǎng)中���,利用VLAN技術(shù)將由交換機連接成的物理網(wǎng)絡劃分成多個VLAN邏輯子網(wǎng)����,實現(xiàn)不同網(wǎng)段邏輯隔離,按照樓層與科室類別和安全等級對計算機網(wǎng)絡段實現(xiàn)分類管理�,有利于網(wǎng)絡的管理[4]和提高網(wǎng)絡利用率。
2.1 硬件改造架設(shè)
在文中重點解說USG防火墻防御能力[5]的網(wǎng)絡安全策略�����。此次改造增加的設(shè)備有:H3C S1526交換機��、Cisco2800路由器和USG-600C防火墻���。
2.1.1 USG防火墻的冗余措施
USG-600C防火墻作為網(wǎng)絡接入的冗余措施[6]�,對數(shù)據(jù)流進行精細的控制����。USG安全網(wǎng)關(guān)具有如下特點:1)完善的訪問控制手段:IP地址過濾、MAC地址過濾���、IP+MAC綁定����、用戶認證���、流量整形�、連接數(shù)控制等;2)IPS-堅固的防御體系�����;3)完善的攻擊特征庫:包括50多類����,超過1800項的入侵攻擊特征;4)漏洞機理分析技術(shù)����,精確抵御黑客攻擊、蠕蟲���、木馬��、后門����;5)應用還原重組技術(shù):抑制間諜軟件����、灰色軟件、網(wǎng)絡釣魚的泛濫����;6)網(wǎng)絡異常分析技術(shù):全面防止拒絕服務攻擊;7)業(yè)界領(lǐng)先的網(wǎng)絡防病毒技術(shù):文件感染病毒����、宏病毒、腳本病毒���、蠕蟲����、木馬�����、惡意軟件�����、灰色軟件�����;8)實用的流量監(jiān)控系統(tǒng)NetFlow:歷史帶寬使用趨勢分析、帶寬應用分布�����、帶寬使用實時統(tǒng)計����、IP流量排名等;9)多種手段全面清除垃圾郵件:黑名單����、白名單、可追查性檢查�����、病毒掃描�����、附件類型和附件大小過濾����、關(guān)鍵字過濾等;10)精確的抗DoS攻擊能力:采用特征控制和異常控制相結(jié)合的手段��,有效保障抗拒絕服務攻擊的準確性和全面性��,阻斷絕大多數(shù)的DoS攻擊行為�����;11)完善的P2P����、IM����、流媒體、網(wǎng)絡游戲和股票軟件控制能力����;12)強大的日志報表功能:可對防火墻日志、攻擊日志��、病毒日志���、帶寬使用日志���、Web訪問日志��、Mail發(fā)送日志�����、關(guān)鍵資產(chǎn)訪問日志��、用戶登錄日志等進行記錄���。
USG-600C防火墻支持IP與MAC地址綁定功能并提供了多種綁定手段[7],包括手動綁定���,自動單主機綁定以及自動多主機綁定能力��。其IP與MAC地址綁定功能值得一提�,因ARP欺騙可以造成內(nèi)部網(wǎng)絡的混亂�,讓某些被欺騙的計算機無法正常訪問外網(wǎng),讓網(wǎng)關(guān)無法和客戶端正常通信��。分析其原理如下:假設(shè)這樣一個網(wǎng)絡���,一個Hub或交換機連接了3臺機器����,依次是計算機A,B����,C�。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
正常情況下在A計算機上運行ARP -A查詢ARP緩存表應該出現(xiàn)如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
在計算機B上運行ARP欺騙程序�,來發(fā)送ARP欺騙包。
B向A發(fā)送一個自己偽造的ARP應答���,而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址)��,MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應該是CC-CC-CC-CC-CC-CC�,這里被偽造了)�。當A接收到B偽造的ARP應答,就會更新本地的ARP緩存(A可不知道被偽造了)����。而且A不知道其實是從B發(fā)送過來的,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址��。
欺騙完畢我們在A計算機上運行ARP -A來查詢ARP緩存信息�����。你會發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網(wǎng)絡中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的����,也就是說雖然我們?nèi)粘Mㄓ嵍际峭ㄟ^IP地址,但是最后還是需要通過ARP協(xié)議進行地址轉(zhuǎn)換����,將IP地址變?yōu)镸AC地址。而上面例子中在計算機A上的關(guān)于計算機C的MAC地址已經(jīng)錯誤了��,所以即使以后從A計算機訪問C計算機這個192.168.1.3這個地址也會被ARP協(xié)議錯誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的��。
解決ARP欺騙的辦法就是進行IP與MAC地址綁定�,由于每塊網(wǎng)卡的MAC地址都是固定的,經(jīng)過地址綁定后�,IP地址就與計算機或用戶(若每臺計算機的用戶固定)的對應關(guān)系就固定了。也就是說��,只有特定的主機才能使用特定的IP地址���,這就可以保證IP地址不被盜用�����,同時也加強了內(nèi)部網(wǎng)絡IP不被隨便人為修改的計算機管理����。
2.1.2 網(wǎng)絡主干設(shè)置
核心H3C S1526交換機為網(wǎng)絡的主負載,樓層中心交換機為輔����,利用H3C S1526交換機來進行VLAN端口劃分,劃分了三個網(wǎng)絡區(qū)間���。這三個區(qū)間分別為VLAN 1、VLAN 2和兩個VLAN的和集���。第一區(qū)間為VLAN 1,連接DDN專線出口, 包含門診部和住院部及其它樓層的獨立網(wǎng)絡段���;第二個為VLAN 2,連接ADSL出口,該區(qū)間包含9樓行政辦公的獨立網(wǎng)段��;第三個區(qū)間是前兩個區(qū)間的和集����,包含兩個網(wǎng)絡段,再細劃分兩個共享端口作為OA服務器端口��。
下面來看一下C1526交換機上VLAN的三大網(wǎng)段劃分如圖2所示。
2.1.3 Cisco2800路由器設(shè)置
利用Console端口進行配置�����,其 Cisco2800路由器端口設(shè)置如下:
Building configuration...
Current configuration : 2355 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Router
boot-start-marker
boot-end-marker
logging buffered 51200 warnings
enable password ********
username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
ip domain name
no ftp-server write-enable
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
interface Serial0/1/0
ip address 102.105.101.102 255.255.255.240
ip nat outside
encapsulation ppp
ip classless
ip route 0.0.0.0 0.0.0.0 102.105.101.101
ip http server
ip http authentication local
ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240
ip nat inside source list 1 pool NATOUT overload
ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable
access-list 1 permit 192.168.0.0 0.0.255.255
control-plane
banner login ^C
以上端口設(shè)置主要是完成OA服務器端口映射的功能�����,到此步就完成了整個網(wǎng)絡硬件布置�。下面就改造后的網(wǎng)絡安全體系進行圖解。
2.2 新規(guī)劃改造后的網(wǎng)絡安全體系拓撲
新規(guī)則的網(wǎng)絡拓撲圖如圖3所示����。
3 結(jié)束語
綜上,網(wǎng)絡安全是必須關(guān)注的問題����,但如何在網(wǎng)絡建設(shè)中對投入設(shè)備的選購是需要慎重考慮的。網(wǎng)絡擴展包括設(shè)備交換容量的擴展能力����、端口密度的擴展能力、主干帶寬的擴展以及網(wǎng)絡規(guī)劃的擴展能力����,非專業(yè)防火墻是萬萬不能選購�,路由器和交換機也是要考慮其品牌和使用功能�����,作為一個規(guī)模經(jīng)營醫(yī)療單位的信息管理員更是不能在選購硬件上少花功夫�,既要保證最大的安全性,也要讓網(wǎng)絡在有限的條件下實施���,從而做到資源上不浪費�����,技術(shù)上也不落后。
參考文獻:
[1] 劉旭旭.醫(yī)院計算機系統(tǒng)與網(wǎng)絡的設(shè)備部署[J].現(xiàn)代計算機(專業(yè)版),2011,(Z1):106-108.
[2] 王穎,劉書恩.新醫(yī)改下醫(yī)院信息網(wǎng)絡的建設(shè)[J].醫(yī)學信息(中旬刊),2010(6):1581.
[3] 苗秋瑾.數(shù)字化醫(yī)院的網(wǎng)絡安全隱患與防[J].數(shù)字技術(shù)與應用,2009 (9):158-159.
[4] 朱彥斌.醫(yī)院信息化網(wǎng)絡建設(shè)與維護[J].醫(yī)療設(shè)備,2008(2):87-88.
[5] 沈永新.關(guān)于防火墻技術(shù)的研究與探討[J].福建電腦,2011,(1).
[6] 孫興文.個人防火墻系統(tǒng)架構(gòu)設(shè)計與實現(xiàn)[J].電腦知識與技術(shù),2009,(33).
第4篇
【關(guān)鍵詞】網(wǎng)絡信息安全����;設(shè)計;管理策略
企業(yè)在發(fā)展的過程中����,必然存在各種信息,有些信息可以對外公開公布�,社會公眾可以透過這些信息了解到企業(yè)的經(jīng)營狀況;有些信息則屬于企業(yè)的機密�����,只有授權(quán)范圍之內(nèi)的少數(shù)人才能夠了解,因為它關(guān)系著企業(yè)的生死存亡����。隨著計算機技術(shù)、網(wǎng)絡技術(shù)����、通訊技術(shù)的飛速發(fā)展,使信息的處理與傳遞以前所未有的速度進行���。企業(yè)想要在利用計算機網(wǎng)絡化提高自身管理水平的同時��,保證信息安全��,就必須對企業(yè)的網(wǎng)絡信息安全系統(tǒng)進行設(shè)計與規(guī)劃�,科學構(gòu)建安全訪問系統(tǒng)�����,以此來提高網(wǎng)絡信息安全����。
一����、威脅網(wǎng)絡信息安全的因素
隨著計算機網(wǎng)絡技術(shù)的不斷提高�,非法訪問、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級�。這也在客觀上需要企業(yè)提高網(wǎng)絡信息安全設(shè)計水平,VPN���、殺毒軟件�����、數(shù)據(jù)加密���、身份認證以及防火墻技術(shù)在企業(yè)中得到推廣使用,在網(wǎng)絡信息安全系統(tǒng)構(gòu)建上起到了一定的效果���,但是這些產(chǎn)品的功能相對分散,相互的關(guān)聯(lián)性并不高�����,整體效益并不是十分理想。
(一)計算機病毒
計算機病毒是指編程人員在計算程序中插入一些能夠破壞計算機功能的數(shù)據(jù)����,它能夠使計算機無法進行正常使用,并且能夠進行自我復制的計算程序代碼或者計算機指令����。計算機病毒不能夠獨立存在,它只能夠寄生于其他程序里面��,具有傳染性�����、隱蔽性���、破壞性的特點����。隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展�,病毒種類在不斷升級。當今世界上的計算機活體病毒的各類��,已經(jīng)達到了14萬之多�����,傳播途徑主要有硬盤、電子郵件以及依附于各種下載軟件之中�。攜帶病毒的計算機只要運行時,滿足了病毒制造者預設(shè)的條件��,那么計算病毒就會爆發(fā)����,輕者文件丟失、運行速度減慢�����,重者則導致系統(tǒng)癱瘓����、硬件損壞。比如圖一�,為CIH病毒發(fā)作時的情況。
(二)黑客攻擊
提起黑客����,我們都不陌生����,他們是一些熱衷于研究��、編寫程序的專才�。其中有些人利用掌握的知識推動計算機網(wǎng)絡技術(shù)的發(fā)展����,但是也有一些人則利用這些技術(shù)罪犯,獲取不正當利益�,比如進入2002年,網(wǎng)絡犯罪分子開始采用DDOS的手法對服務系統(tǒng)進行攻擊����,干擾在線商務。在寬帶網(wǎng)絡環(huán)境下����,常見的攻擊方式主要有以下兩種:一是黑客發(fā)動的����,針對網(wǎng)絡設(shè)備與網(wǎng)絡服務的DDOS攻擊��;二是利用蠕蟲病毒進行攻擊�,從而造成網(wǎng)絡流量迅速增加�,最終導致計算機網(wǎng)絡設(shè)備徹底崩潰���。DDOS的攻擊對象主要有域名服務器、網(wǎng)頁服務器以及郵件服務器����,一旦受到DDOS的攻擊,服務器則會被來自四面八方的海量信息所淹沒����。網(wǎng)絡黑客的目的就是用大量的垃圾信息來阻礙服務器的正常對信息的處理,然后借機切斷攻擊目標的對外連線���。黑客經(jīng)常把網(wǎng)絡與“僵尸電腦”相連��,然后將大量的查詢要求傳送到開放的DNS服務器中�,這些查詢信息則會偽裝成被海量信息攻擊的目標傳出����,所以DNS服務器會把回應信息傳到相應的網(wǎng)址上去。傳統(tǒng)的身份認證�,外來攻擊者只是憑借獲取有關(guān)用戶身份憑證,就能夠以任何一臺設(shè)備而進入網(wǎng)絡���。就算是最嚴密的認證系統(tǒng)也很難對網(wǎng)絡信息安全進行保護���。除此以外,企事業(yè)單位的員工能夠通過任意一臺沒有經(jīng)過確認設(shè)備�,以有效身份憑證進入網(wǎng)絡系統(tǒng),導致木馬程序��、間諜軟件等惡意程序入侵系統(tǒng)�,對網(wǎng)絡信息安全系統(tǒng)產(chǎn)生了嚴重威脅。
(三)協(xié)議設(shè)計上存在著缺陷
互聯(lián)網(wǎng)是建立在TCP/IP協(xié)議上的�����,這一協(xié)議在設(shè)計之初更偏重于效率��,而忽略了安全因素�,因此TCP/IP在設(shè)計之初,就存在一定的缺陷��。
1.安全策略不嚴謹�����。很多站點在防火墻的配置上增加了訪問的權(quán)限���,沒有考慮到這些權(quán)限可能被人利用�,比如內(nèi)部員工濫用權(quán)限,無意中為黑客留下了線索���,一旦黑客入侵����,網(wǎng)絡維護人員往往毫無察覺�����。
2.信息容易被人竊取��。多數(shù)企業(yè)互聯(lián)網(wǎng)上的流量都是沒有經(jīng)過加密的�����,這就使文件在傳送的過程中很容易被人竊取�����。而且基于TCP/IP協(xié)議的很多應用服務都不同程度的存在一些安全問題�,很容易被人利用。
3.配置過于復雜���。訪問控制的配置通常是十分復雜的��,這就非常容易造成配置上的錯誤��,而形成了安全隱患��。目前�����,銀行之間在數(shù)據(jù)傳輸?shù)倪^程中�,所采用的協(xié)議均是保密的���,這就提高了安全性�����,防止網(wǎng)絡黑客的入侵�。當然����,現(xiàn)階段我們還不能將TCP/IP與其實現(xiàn)代碼進行保密處理,因為這將不利于TCP/IP網(wǎng)絡的發(fā)展��,但是銀行的這種處理方式可以為我們網(wǎng)絡信息安全系統(tǒng)的設(shè)計拓寬一些思路����。
二����、網(wǎng)絡信息安全設(shè)計及管理策略
(一)網(wǎng)絡與系統(tǒng)安全的設(shè)計
網(wǎng)絡與系統(tǒng)安全的設(shè)計可以采用NetScreen-208防火墻設(shè)備�,這種設(shè)備是當前國內(nèi)市場上功能較為齊全的防火墻產(chǎn)品,它包括了8個自適應10/100M以太網(wǎng)端口�����,這些端口能夠把網(wǎng)絡劃分成為多個區(qū)域���,從而把需要保護的區(qū)域與潛在的相分離���,在與網(wǎng)絡設(shè)備進行連接時,這個設(shè)備的端口1與內(nèi)部網(wǎng)的主交換機相連接�,而端口2則與DMZ區(qū)相連接,端口3與因特網(wǎng)的路由器相連接��。
殺毒軟件可以采用瑞星網(wǎng)絡版軟件����,這一軟件具有網(wǎng)絡管理功能,它主要是通過一個控制中心在整個網(wǎng)絡的內(nèi)部實現(xiàn)遠程報警、智能升級以及遠程管理等功能���,有效的監(jiān)管病毒入口如圖二����。
(二)服務系統(tǒng)的設(shè)計
企業(yè)的內(nèi)部網(wǎng)站與數(shù)據(jù)庫服務系統(tǒng)����,依據(jù)信息的秘密等級,主要分成應用與非應用兩種�,同樣它們所依賴的服務器也可發(fā)分成與非兩類����。正如筆者描述的,服務器主要處理的是信息�,而非服務器主要處理的是非信息。從安全等級考慮���,服務系統(tǒng)應該是企業(yè)的重點保護對象����。因此�����,我們可以在服務器前配置相應的安全網(wǎng)關(guān),其設(shè)計如圖三�����。
用戶在訪問頻密信息時����,主要是基于HTTP協(xié)議,用戶在通過安全網(wǎng)關(guān)認證之后���,依據(jù)使用權(quán)限的不同�,訪問的內(nèi)容也有所區(qū)別���。用戶在訪問非信息時�,同樣是基于HTTP協(xié)議���,但是能夠直接進入非服務器而獲取信息���。
安全網(wǎng)關(guān)是服務器的關(guān)口,同時也是用戶網(wǎng)絡身份認證的中心���,用戶和服務器之間并沒有直接的相連����,這就有效避免了黑客對服務器的進攻,保證了信息的安全��。
(三)訪問權(quán)限管理
在網(wǎng)絡信息安全系統(tǒng)中設(shè)置用戶角色���、用戶等級�����、用戶權(quán)限等字段��,加強訪問權(quán)限的管理與控制���,并將數(shù)據(jù)信息根據(jù)企業(yè)的實際需要�����,劃分為不同的等級階段�;根據(jù)實際用戶的崗位設(shè)置劃分為不同的角色,網(wǎng)絡信息管理人員授予不同操作權(quán)限�,劃分到不同的虛擬局域網(wǎng)之內(nèi),形成不同的安全區(qū)域。
用戶則通過網(wǎng)絡查詢系統(tǒng)的有關(guān)信息�����,使用HTTP協(xié)議與安全網(wǎng)關(guān)相連接��,經(jīng)過身份認證之后�����,再與服務器相連接��,最后進行應用系統(tǒng)���。用戶在獲取信息時���,由應用系統(tǒng)依據(jù)用戶的角色、權(quán)限進行相應的限制����。
(四)對傳遞的數(shù)據(jù)進行加密
企業(yè)使用安全網(wǎng)關(guān)以后,與SSL建立通道�����,在這一安全通道上對用戶與服務器之間傳輸?shù)臄?shù)據(jù)信息進行加密,保證機密信息不會被泄露�����。加密的算法可以由用戶自己進行選擇�����,這就增加了系統(tǒng)的靈活性��,可以滿足不同權(quán)限等級用戶的需要�。
三、總結(jié)
綜上所述�����,隨著我國市場經(jīng)濟的快速發(fā)展以及計算機網(wǎng)絡技術(shù)的普及���,信息充斥著社會的每一個角落�,不但真假難辨���,其中還隱藏著某種威脅。現(xiàn)階段���,影響我國網(wǎng)絡信息安全的因素有很多��,比如計算機病毒��;黑客攻擊��;協(xié)議設(shè)計上存在著缺陷等等���,而實現(xiàn)信息安全的設(shè)計也有很多�����,企業(yè)需要根據(jù)自身的發(fā)展的現(xiàn)狀���,選擇相應的信息安全設(shè)計方案,相信通過我們的共同努力�����,網(wǎng)絡信息安全的管理與設(shè)計必將會翻開嶄新的一頁��。
參考文獻
[1]蘇玉召,趙妍.計算機網(wǎng)絡信息安全及其防護策略的研究[J].計算機與信息技術(shù),2006(05).
[2]戴啟艷.影響信息系統(tǒng)安全的主要因素及主要防范技術(shù)[J].中國科技信息,2010(06).
[3]林柏鋼.網(wǎng)絡與信息安全現(xiàn)狀分析與策略控制[J].信息安全與通信保密,2005(07).
[4]南溯.淺議計算機網(wǎng)絡維修和管理[J].電腦編程技巧與維護,2010(04).
[5]張東生.計算機網(wǎng)絡安全技術(shù)與防范策略探析[J].電腦編程技巧與維護,2011(02).
[6]朱燕.虛擬機技術(shù)在計算機網(wǎng)絡安全教學中的應用[J].電腦知識與技術(shù)(學術(shù)交流),
第5篇
【關(guān)鍵詞】計算機網(wǎng)絡���;信息安全����;控制技術(shù);防護策略
隨著互聯(lián)網(wǎng)的誕生以及計算機技術(shù)的逐漸成熟�����,信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證�。信息網(wǎng)絡涉及國家的政治、軍事以及文教等各個領(lǐng)域�����,傳輸�����、處理和存儲著許多重要信息���,難免吸引各國各地各種的人為攻擊����,所以��,計算機系統(tǒng)的網(wǎng)絡信息安全就顯得尤為重要�。
一、網(wǎng)絡信息安全概述
網(wǎng)絡信息安全分為兩個層面����,即網(wǎng)絡安全和信息安全。其中����,網(wǎng)絡安全包括諸如硬件平臺、操作系統(tǒng)及應用軟件的系統(tǒng)安全以及運行服務安全����,即保證服務的連續(xù)性以及高效性。信息安全主要是指數(shù)據(jù)方面的安全�����,包括數(shù)據(jù)加密�、備份、程序等����。網(wǎng)絡信息安全具體包含如下:
首先保證硬件安全,是指網(wǎng)絡硬件和存儲媒體的安全�。要保護硬件設(shè)施不受損害,能夠正常工作����。其次是軟件安全���,是指計算機及其網(wǎng)絡中的各類軟件不被篡改和破壞,不被非法操作或者誤操作��,功能不會失效��,不被非法復制��。第三是運行服務安全��,是指保證信息處理和傳輸系統(tǒng)的安全�。即網(wǎng)絡中的各個信息系統(tǒng)能夠正常運行并能夠正常的通過網(wǎng)絡交流信息。通過對網(wǎng)絡系統(tǒng)中的各種設(shè)備的運行狀況監(jiān)測�,發(fā)現(xiàn)不安全的因素能夠及時報警,保持網(wǎng)絡系統(tǒng)正常運行��。最后是存儲以及流通數(shù)據(jù)的安全��,即數(shù)據(jù)安全�。要保護網(wǎng)絡中的數(shù)據(jù)不被篡改,不允許進行非法增刪�����、解密、顯示���、使用復制等操作。它側(cè)重于防止和控制非法����、有害的信息進行傳播后的后果。避免公用網(wǎng)絡上大量自由傳輸?shù)男畔⑹Э亍?/p>
二�、網(wǎng)絡信息安全控制技術(shù)
第一,生物識別技術(shù)�����。人的指紋��、聲音�����、容貌�、視網(wǎng)膜、掌紋等等��,這些都是人的生物特征,是很難進行復制操作的��。尤其是指紋的唯一性�����、穩(wěn)定性和再生性都讓人們對用其來作為信息安全的驗證方式有著極大的興趣?�,F(xiàn)在�����,人們對于視網(wǎng)膜等生物特征在信息安全方面的技術(shù)也有了很大的進步���。生物識別技術(shù)相比原先傳統(tǒng)的身份驗證方法再可復制性方面有了很大程度的提高��。
第二�����,防火墻技術(shù)����。所謂防火墻就是運用綜合的網(wǎng)絡技術(shù)來在被保護的網(wǎng)絡和外網(wǎng)之間形成一道技術(shù)上的屏障�����,將私人的網(wǎng)絡和外部的網(wǎng)絡分開了,以保護私人信息的不被竊取����,對于預防難以預測的、具有潛在破壞性的不軌信息入侵有著極好的防護作用�。
第三����,數(shù)據(jù)加密技術(shù)。所謂數(shù)據(jù)加密技術(shù)就是按照已經(jīng)確定好的密碼進行運算�,將不希望被別人知道的數(shù)據(jù)信息轉(zhuǎn)變成為不知道密碼的人難以識別的密文再進行傳輸,而收到信息的人也只有知道密碼算法的人才能夠?qū)⒚芪脑僖淮蔚霓D(zhuǎn)變成為明文從而得知該數(shù)據(jù)中所包含的信息����。
第四,入侵檢測技術(shù)�����。入侵檢測技術(shù)的出現(xiàn)就是為了能夠保證計算機系統(tǒng)中信息的安全�����,能夠及時的發(fā)現(xiàn)并且報告使用者計算機系統(tǒng)中出現(xiàn)的一些未授權(quán)或者異常的現(xiàn)象的一種信息技術(shù),是用來檢測互聯(lián)網(wǎng)中是否出現(xiàn)了違反信息安全的行為的一種技術(shù)��。
第五����,安全漏洞掃描技術(shù)。對系統(tǒng)漏洞的檢測和系統(tǒng)安全方面的風險評估技術(shù)��,因為它能夠預先知道系統(tǒng)中可能存在風險的地方和這些地方繼續(xù)存在下去會對系統(tǒng)可能造成的危害這一特殊的功能而為幾乎所有的計算機用戶所青睞�����。
第六�����,安全審計技術(shù)��。安全審計技術(shù)就是使用一種或者集中不同的安全檢測工具����,也就是掃描器,預先掃描出系統(tǒng)中存在漏洞的地方��,對系統(tǒng)存在安全漏洞的地方進行檢查�,將系統(tǒng)的薄弱環(huán)節(jié)給出報告�,并且提供相對應的解決方法來增強計算機系統(tǒng)的安全方面的措施���。
三�、網(wǎng)絡信息安全的防護策略
第一���,物理安全策略���。物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器��、打印機等硬件實體和通信鏈路免受自然災害�、人為破壞和搭線攻擊����。對于計算機操作系統(tǒng)、數(shù)據(jù)庫以及服務系統(tǒng)也要進行相應的查缺補漏��,然后再對這些系統(tǒng)進行進一步的安全加固�,尤其是對有著關(guān)鍵業(yè)務的服務器更加應該要建立起嚴格的、有效的審核機制����,最大限度的保證相關(guān)部分的信息安全�����。如果對計算機中的操作系統(tǒng)�����、服務系統(tǒng)����、數(shù)據(jù)庫系統(tǒng)�、網(wǎng)絡協(xié)議等部分存在的漏洞不及時的發(fā)現(xiàn)并且補救,所帶來的安全問題則會是像黑客入侵����、系統(tǒng)缺陷、非法訪問�����、病毒等等一系列的安全方面的隱患���。
第二���,訪問控制策略��。訪問控制是網(wǎng)絡安全防范和保護的主要策略�����。它首要的任務是保證網(wǎng)絡資源不被非法使用和非常規(guī)訪問�。它也是維護網(wǎng)絡系統(tǒng)安全����、保護網(wǎng)絡資源的重要手段。各種網(wǎng)絡安全策略必須相互配合才能真正起到保護作用��,但訪問控制可以說是保證網(wǎng)絡安全最重要的核心策略之一����。
第三,加密防御策略�。對于互聯(lián)網(wǎng)中所可能存在的不良操作的入侵的檢測系統(tǒng)是包含在信息安全系統(tǒng)中的����,其中防火墻就相當于是計算機系統(tǒng)入口的保安,能夠按照我們預先的設(shè)定進行有效的判斷���,將合乎規(guī)則的操作指令給予放行�,而那些惡意的、帶有病毒等等的危害性數(shù)據(jù)或操作阻擋在計算機系統(tǒng)之外��,保護計算機的信息安全����。
第四,網(wǎng)絡安全管理策略��。網(wǎng)絡安全管理策略包括:制定有關(guān)網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度�,制定網(wǎng)絡系統(tǒng)的維護制度和應急措施;確定安全管理等級和安全管理范圍等����。利用身份認證和用戶權(quán)限劃分手段作為單位安全網(wǎng)內(nèi)網(wǎng)計算機信息系統(tǒng)安全保密管理的技術(shù)支撐平臺,結(jié)合單位安全網(wǎng)內(nèi)網(wǎng)系統(tǒng)對其中所涉及的各類用戶的實際權(quán)限劃分�,以及對網(wǎng)絡系統(tǒng)的系統(tǒng)管理設(shè)計規(guī)劃,在技術(shù)支撐平臺的基礎(chǔ)上來分析單位安全網(wǎng)內(nèi)網(wǎng)系統(tǒng)對網(wǎng)絡基礎(chǔ)�����、安全信息的安全管理需求����,制定完善的安全保密管理制度和管理策略信息系統(tǒng)的安全管理部門應根據(jù)管理
總之,計算機網(wǎng)絡中的信息安全問題對于國計民生都是十分重要的一個部分,這就需要我們在了解了互聯(lián)網(wǎng)的信息安全安全的控制技術(shù)和特征的基礎(chǔ)上���,加強計算機網(wǎng)絡安全設(shè)施建設(shè)�����,提高網(wǎng)絡安全技術(shù)等防護措施����,最大限度的保證互聯(lián)網(wǎng)的信息安全�����。
參考文獻:
[1]梁毅�����,莫彬����,李云祥,韋燕萍.網(wǎng)絡環(huán)境下農(nóng)業(yè)科技信息安全與對策研究[J].農(nóng)業(yè)網(wǎng)絡信息���,2008,(12)
第6篇
關(guān)鍵詞:安全策略;企業(yè)網(wǎng)絡;訪問控制
中圖分類號:TN915.08文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-00
Enterprise Network Design Based on Security Policy
Yang Haojun
(CNPC International(Sudan)Khartoum Refinery Co.Lts.,Beijing100101,China)
Abstract:The security and the function are pair of contradictory relations,security threat from the network is the actual existence,the network security is the question which must first solve.This article discuss enterprise network design method of security policy angle,by time well distributed security and opening relations,thus realizes“safely as far as possible”enterprise network.
Keywords:Security policy;Enterprise network;Access control
一���、企業(yè)安全網(wǎng)絡體系
企業(yè)安全網(wǎng)絡體系應包含:
(1)訪問控制,通過對特定網(wǎng)段�����、服務建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達攻擊目標之前����。
(2)檢查安全漏洞,通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數(shù)攻擊無效。
(3)攻擊監(jiān)控,通過對特定網(wǎng)段�、服務建立的攻擊監(jiān)控體系,可實時檢測出絕大多數(shù)攻擊,并采取相應的行動。
(4)加密通訊,主動的加密通訊,可使攻擊者不能了解�、修改敏感信息。
(5)認證,良好的認證體系可防止攻擊者假冒合法用戶����。
(6)備份和恢復,良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數(shù)據(jù)和系統(tǒng)服務。
(7)多層防御,攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標���。
(8)隱藏內(nèi)部信息,使攻擊者不能了解系統(tǒng)內(nèi)的基本情況�����。
(9)設(shè)立安全監(jiān)控中心,為信息系統(tǒng)提供安全體系管理�����、監(jiān)控,維護及緊急情況服務��。
二�����、企業(yè)安全網(wǎng)絡設(shè)計
(一)鏈路層安全設(shè)計
鏈路的安全通過網(wǎng)絡加密機實現(xiàn),保證數(shù)據(jù)在鏈路上安全傳輸����。加密機為易受攻擊的公共和私有網(wǎng)絡連接提供數(shù)據(jù)私密性和訪問控制的硬件設(shè)備。它使用國際認可的DES或3DES算法,可以靈活地選擇接口模塊部署在各網(wǎng)絡中���。加密機進行集中控制和管理,加密機在運行時對安全環(huán)境中的網(wǎng)絡和終端用戶來說是完全透明的,使用加密機后,加密的用戶數(shù)據(jù)和任何其他未加密的數(shù)據(jù)一樣在網(wǎng)絡中傳輸���。
(二)網(wǎng)絡層安全設(shè)計
(1)防火墻安全設(shè)計
考慮到防火墻對帶寬的影響,采用較為先進的流過濾防火墻,能夠減少帶寬的損失。流過濾防火墻顧名思義檢測的是一個信息流,針對的是二層的對象�����。在檢測過程中就減少一層拆包的時間,這樣就減少了帶寬的占用率�����。防火墻的安全保護是通過對端口實施安全策略,使得網(wǎng)絡安全得到安全保護。
(2)安全域設(shè)計
根據(jù)國家等級保護的區(qū)域劃分要求,企業(yè)網(wǎng)絡系統(tǒng)根據(jù)業(yè)務特性和安全要求劃分成不同的區(qū)域,并確定安全保護等級����。如:
外部互聯(lián)域:為實現(xiàn)與政府機關(guān)���、業(yè)務合作伙伴進行安全有效的信息交換,連接政府機關(guān)網(wǎng)�、業(yè)務合作伙伴網(wǎng)的出口路由設(shè)備所在區(qū)域�����。
系統(tǒng)管理域:包括網(wǎng)絡管理子域和安全管理子域�����。網(wǎng)絡管理子域為保護網(wǎng)絡設(shè)備的安全運行而提供的集中的安全服務����。安全管理子域為整個信息系統(tǒng)提供集中的安全服務。
系統(tǒng)維護域:包括第三方現(xiàn)場維護子域��、本地維護子域和第三方隔離服務子域���。第三方現(xiàn)場維護子域用于第三方維護單位的現(xiàn)場維護而設(shè)置的特定接入?yún)^(qū)域���。
(3)IPS安全設(shè)計
IPS作為一種積極主動安全的防護技術(shù),它試圖發(fā)現(xiàn)入侵者或識別出對計算機的非法訪問行為,并對其進行隔離�。IPS提供了對內(nèi)部攻擊��、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵����。
(4)服務器設(shè)計
隨著企業(yè)信息化的進展,員工越來越多的訪問互聯(lián)網(wǎng),也會帶來一些安全隱患。這些問題會對企業(yè)網(wǎng)造成一定影響,降低工作效率,引發(fā)嚴重的安全事故���。建議采用在每個區(qū)域網(wǎng)絡中心部署服務器,來提高互聯(lián)網(wǎng)訪問速度和解決安全控制問題�。
(三)物理層安全設(shè)計
物理層的安全既包括對設(shè)備的保護,比如防雷擊,防潮等,也包括防止人為的無意或惡意的破壞�����。因此,在硬件上要有符合應對各種自然災害的標準的專業(yè)機房,在軟件上要有高可靠的門禁系統(tǒng)等安全措施來進行認證,在制度上要制定詳細的安全章程,提高相關(guān)人員的安全意識,責任落實到人,這三者相輔相成,環(huán)環(huán)相扣,缺一不可�。
(四)路由器級安全控制
在保證數(shù)據(jù)信息的安全性的同時,必須考慮到路由器自身的安全性。如果路由器本身失去安全保護,那么前面所做的一切都是徒勞的,安全措施如下:
(1)修補操作系統(tǒng)自身的漏洞���。同PC機的操作系統(tǒng)一樣,網(wǎng)絡設(shè)備的操作系統(tǒng)也存在著各種漏洞,成為潛在的威脅,需要及時對其升級����。
(2)符合安全規(guī)則的密碼����。進行口令保護,用戶登錄路由器必須經(jīng)過口令的認證;其次,利用口令授權(quán),將不同的權(quán)限等級與不同的口令進行關(guān)聯(lián),對用戶進行等級的劃分,通過減少超級用戶來減少不安定因素;再次,對口令進行加密,以避免口令在網(wǎng)上以明碼的方式進行傳輸,同時避免配置文件以明碼的方式顯示口令��。
(3)系統(tǒng)缺省服務的威脅���。網(wǎng)絡設(shè)備的操作系統(tǒng)也存在著為不少的缺省服務,這些服務存在著潛在的威脅,應根據(jù)企業(yè)需要,關(guān)閉不必要的服務,將安全風險盡可能降低���。
(4)審計功能的缺乏�����。良好的系統(tǒng)日志和審計功能是安全中重要的一環(huán),通過日志可以了解入侵的手段等寶貴資料,對于運維與安全防范來講是必不可少的����。
三����、結(jié)束語
基于安全策略的網(wǎng)絡設(shè)計是安全設(shè)計和網(wǎng)絡設(shè)計的有機結(jié)合,是安全、管理�����、技術(shù)和產(chǎn)品的相互支撐,只有設(shè)計好安全策略才會有良好的企業(yè)網(wǎng)絡�����。但安全與開放是一對矛盾,如何協(xié)調(diào)矛盾則需要深入研究企業(yè)特點和網(wǎng)絡技術(shù)的發(fā)展。
參考文獻:
[1]武駿,程秀權(quán).網(wǎng)絡安全防范體系及設(shè)計原則.中國電信網(wǎng),2008
第7篇
關(guān)鍵詞:計算機��;網(wǎng)絡安全�;安全策略
中圖分類號:G632 文獻標識碼:B 文章編號:1002-7661(2014)11-335-01
一、計算機網(wǎng)絡面臨的風險
算機網(wǎng)絡風險����,這些威脅可以歸結(jié)為3大類,一是對網(wǎng)絡設(shè)備的威脅����,二是在網(wǎng)絡中對業(yè)務處理過程的威脅,三是對網(wǎng)絡中數(shù)據(jù)的威脅�。因為計算機網(wǎng)絡與人們的現(xiàn)實經(jīng)濟生活關(guān)系日益密切,影響計算機網(wǎng)絡的因素也很多�,有些因素可能是有意的,也可能是無意的�����;可能是人為的�,可能是非人為的,這些威脅���,或早或晚�����、或大或小�����,都會轉(zhuǎn)化為對人們現(xiàn)實經(jīng)濟生活的威脅��。
二���、常用的網(wǎng)絡安全技術(shù)防護措施
L、防火墻技術(shù)
防火墻技術(shù)構(gòu)建安全網(wǎng)絡體系的基本組件�����,通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關(guān)����,實現(xiàn)了被保護對象和外部系統(tǒng)之間的邏輯隔離,從而保護內(nèi)部網(wǎng)絡免受非法用戶的入侵�����。防火墻的組成可以表示為:防火墻=過濾器+安全策略+網(wǎng)關(guān),它是一種非常有效的網(wǎng)絡安全技術(shù)之一����。在. Internet上,通過它來隔離風險區(qū)域與安全區(qū)域的連接��,但不防礙人們對風險區(qū)域的訪問��。防火墻可以監(jiān)控進出網(wǎng)絡的通信數(shù)據(jù)��,從而完成僅讓安全��、核準的信息進入����,同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入的任務。
2�����、網(wǎng)絡加密技術(shù)
網(wǎng)絡加密技術(shù)是網(wǎng)絡安全最有效的技術(shù)之一���。一個加密網(wǎng)絡�����,不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)���,而且也是對付惡意軟件的有效方法之一��。網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)����、文件��、口令和控制信息���,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密��,端點加密和節(jié)點加密三種�。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護����;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡情況選擇上述三種加密方式
3�����、身份驗證技術(shù)身份驗證技術(shù)
身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線�。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法��。如果驗證合法�����,才繼續(xù)驗證用戶輸入的口令��,否則�����,用戶將被拒之網(wǎng)絡之外��。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在��。為保證口令的安全性�����,用戶口令不能顯示在顯示屏上����,口令長度應不少于6個字符�,口令字符最好是數(shù)字���、字母和其他字符的混合�����,用戶口令必須經(jīng)過加密�,加密的方法很多��,其中最常見的方法有:基于單向函數(shù)的口令加密��,基于測試模式的口令加密��,基于公鑰加密方案的口令加密���,基于平方剩余的口令加密,基于多項式共享的口令加密�,基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令����,即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份����。
網(wǎng)絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡的時間����、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式��。用戶帳號應只有系統(tǒng)管理員才能建立���。用戶口令應是每用戶訪問網(wǎng)絡所必須提交的“證件”�����、用戶可以修改自己的口令���,但系統(tǒng)管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔��、口令的唯一性����、口令過期失效后允許入網(wǎng)的寬限次數(shù)�����。
用戶名和口令驗證有效之后�,再進一步履行用戶帳號的缺省限制檢查��。網(wǎng)絡應能控制用戶登錄入網(wǎng)的站點�、限制用戶入網(wǎng)的時問、限制用戶入網(wǎng)的工作站數(shù)量����。當用戶對交費網(wǎng)絡的訪問“資費”用盡時,網(wǎng)絡還應能對用戶的帳號加以限制�����,用戶此時應無法進入網(wǎng)絡訪問網(wǎng)絡資源��。網(wǎng)絡應對所有用戶的訪問進行審計��。如果多次輸入口令不正確��,則認為是非法用戶的入侵����,應給出報警信息。
4�、網(wǎng)絡監(jiān)控技術(shù)
網(wǎng)絡管理員對計算機網(wǎng)絡實施監(jiān)控,服務器記錄用戶對網(wǎng)絡資源的訪問�,對非法的網(wǎng)絡訪問,服務器以圖形或文字或聲音等形式報警�,以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡�����,網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)����,如非法訪問的次數(shù)達到設(shè)定數(shù)值,那該帳戶將被自動鎖定�����。
5��、網(wǎng)絡病毒防治技術(shù)
在網(wǎng)絡環(huán)境下��,計算機病毒具有不可估量的威脅性和破壞力���。CIH病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡防病毒���,那可能給社會造成災難性的后果�,因此計算機病毒的防范也是網(wǎng)絡安全技術(shù)中重要的一環(huán)����。網(wǎng)絡防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡目錄及文件設(shè)置訪問權(quán)限等����。防病毒必須從網(wǎng)絡整體考慮,從方便管理人員的能���,在夜間對全網(wǎng)的客戶機進行掃描����,檢查病毒情況�;利用在線報警功能,網(wǎng)絡上每一臺機器出現(xiàn)故障���、病毒侵入時��,網(wǎng)絡管理人員都能及時知道����,從而從管理中心處予以解決。
三���、網(wǎng)絡安全管理策略
在計算機網(wǎng)絡安全中,除了上述物理安策略和網(wǎng)絡技術(shù)安全防護措施外�,加強計算機網(wǎng)絡的安全管理,制定有關(guān)規(guī)章制度���,對于確保網(wǎng)絡的安全���、可靠地運行也是至關(guān)重要的。
計算機網(wǎng)絡安全管理策略包括:確定安全管理等級和安全管理范圍�;制訂有關(guān)網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等�����。
參考文獻:
[1] 田園.網(wǎng)絡安全教程[M].北京:人民郵電出版社�,2009.
