網(wǎng)絡安全解決方案大全11篇
時間:2022-12-13 20:55:38緒論:寫作既是個人情感的抒發(fā),也是對學術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡安全解決方案范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
中圖分類號:C913.3文獻標識碼:A文章編號:1005-5312(2010)12-0088-01
一、網(wǎng)絡安全概述
(一)網(wǎng)絡安全的基本概念
網(wǎng)絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現(xiàn)。
(二)網(wǎng)絡面臨的主要攻擊
⑴ 緩沖區(qū)溢出。
⑵ 遠程攻擊。
⑶ 口令破解。
⑷ 超級權(quán)限。
⑸ 拒絕服務(DDOS)。
二、安全需求
通過對網(wǎng)絡系統(tǒng)的風險分析,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權(quán)實體有權(quán)訪問數(shù)據(jù)。
機密性: 信息不暴露給未授權(quán)實體或進程。
完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。
可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。
訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離,對與外部網(wǎng)絡交換數(shù)據(jù)的內(nèi)部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣,對內(nèi)部網(wǎng)絡,由于不同的應用業(yè)務以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離,并實現(xiàn)相互的訪問控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡各種違規(guī)操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內(nèi)容的審計,可以防止內(nèi)部機密或敏感信息的非法泄漏
三、網(wǎng)絡安全防護策略
個人建議采用如下的安全拓撲架構(gòu)來確保網(wǎng)站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。
第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。
第二個層次,是通過路由器后進入網(wǎng)站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內(nèi)的實際安全狀態(tài),部署網(wǎng)絡入侵檢測系統(tǒng)(IDS)。入侵檢測系統(tǒng)可以檢測出外部穿過防火墻之后的和網(wǎng)絡內(nèi)部經(jīng)過交換機對外的所有數(shù)據(jù)流中,有無非法的訪問內(nèi)網(wǎng)的企圖、對WWW服務器和郵件服務器等關(guān)鍵業(yè)務平臺的攻擊行為和內(nèi)部網(wǎng)絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯(lián)動及時阻斷,網(wǎng)絡遭受DDOS攻擊。
第三個層次,是一個中心網(wǎng)絡的核心層,部署了網(wǎng)絡處置中心的所有重要的服務器。在該層次中,部署了網(wǎng)站保護系統(tǒng),防范網(wǎng)頁被非法篡改。
此外,還部署網(wǎng)絡漏洞掃描系統(tǒng),定期或不定期的對接服務器區(qū)進行漏洞掃描,幫助網(wǎng)管人員及時了解和修補網(wǎng)絡中的安全漏洞。這種掃描服務可以由網(wǎng)絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術(shù)人員完成。
第四個層次,是網(wǎng)絡安全中心網(wǎng)絡的數(shù)據(jù)存儲中心,放置了數(shù)據(jù)庫服務器和數(shù)據(jù)庫備份服務器。在該層次中,部署了防火墻,對數(shù)據(jù)庫的訪問通過防火墻進行過濾,保證數(shù)據(jù)的安全性。
(二)多種防護手段
我們設(shè)計的高強度安全防護措施,包括多種防護手段,即有靜態(tài)的防護手段,如防火墻,又有動態(tài)的防護手段,如網(wǎng)絡IDS、網(wǎng)絡防病毒系統(tǒng)。同時,也考慮到了恢復和響應技術(shù),如網(wǎng)站保護和恢復系統(tǒng)。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網(wǎng)絡防護過程中不留安全死角。
(三)防火墻系統(tǒng)
防火墻是設(shè)置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎(chǔ)設(shè)施。
防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護。在此次的網(wǎng)絡系統(tǒng)安全建設(shè)完成后,防火墻將承擔起對合法地址用戶的路由和對私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(NAT),同時,將根據(jù)需要對進出訪問進行控制。防火墻可將網(wǎng)絡分成若干個區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。
(四)網(wǎng)絡入侵檢測系統(tǒng)的作用
通過使用網(wǎng)絡入侵檢測系統(tǒng),我們可以做到:發(fā)現(xiàn)誰在攻擊網(wǎng)絡:解決網(wǎng)絡防護的問題(網(wǎng)絡出入口、DMZ、關(guān)鍵網(wǎng)段)。了解接網(wǎng)絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網(wǎng)絡系統(tǒng)免受二次攻擊。
處置中心網(wǎng)絡的內(nèi)部危險:放置在網(wǎng)絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網(wǎng)絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產(chǎn)品進行全面防護。事后取證:從相關(guān)的事件和活動的多個角度提供具有標準格式的獨特數(shù)據(jù)。實現(xiàn)安全事件來源追查。 DDOS攻擊防范:通過實時監(jiān)控網(wǎng)絡流量,及時發(fā)現(xiàn)異常流量并報警,通過和防火墻聯(lián)動,對DDOS攻擊進行阻斷。
四、安全服務
網(wǎng)絡是個動態(tài)的系統(tǒng),它的變化包括網(wǎng)絡設(shè)備的調(diào)整,網(wǎng)絡配置的變化,各種操作系統(tǒng)、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡結(jié)構(gòu)和應用的不斷變化,安全策略可能失效,必須及時進行相應的調(diào)整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料。
五、總結(jié)
毫無疑問,安全是一個動態(tài)的問題。在做未來的計劃時,既要考慮用戶環(huán)境的發(fā)展,也要考慮風險的發(fā)展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網(wǎng)絡安全的解決方案從人員安全、物理層安全、邊界安全、網(wǎng)絡安全、主機安全、應用程序和數(shù)據(jù)安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網(wǎng)絡系統(tǒng):
進不來: 通過物理隔離等手段,阻止非授權(quán)用戶進入網(wǎng)絡。
拿不走: 使用屏蔽、防下載機制,實現(xiàn)對用戶的權(quán)限控制。
讀不懂: 通過認證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序。
改不了: 使用數(shù)據(jù)完整性鑒別機制,保證只有允許的人才能修改數(shù)據(jù)。
走不脫: 使用日志、安全審計、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為。
參考文獻:
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術(shù)出版社.2002年版.
篇(2)
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展,自由的、開放的、國際化的Internet給政府機構(gòu)、企事業(yè)單位帶來了前所未有的變革,使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網(wǎng)絡安全問題也隨著網(wǎng)絡技術(shù)的發(fā)展而真多,凡是有網(wǎng)絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經(jīng)濟論壇上,與會者首次觸及了互聯(lián)網(wǎng)安全問題,表明網(wǎng)絡安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應用自由度的同時,網(wǎng)絡安全隱患也越來越大,如何針對企業(yè)的具體網(wǎng)絡結(jié)構(gòu)設(shè)計出先進的安全方案并選配合理的網(wǎng)絡安全產(chǎn)品,以及搭建有效的企業(yè)網(wǎng)絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業(yè)網(wǎng)絡安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù),同時又要面對Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡安全狀況調(diào)查結(jié)果顯示:2009年,被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡信息安全事件。在發(fā)生過安全事件的企業(yè)中,83%的企業(yè)感染了計算機病毒、蠕蟲和木馬程序,36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡端口掃描,拒絕服務攻擊和網(wǎng)頁篡改等安全危機。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的攻擊,已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項重要工作。隨著信息技術(shù)的發(fā)展,網(wǎng)絡病毒和黑客工具軟件具有技術(shù)先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現(xiàn)在: 1.網(wǎng)絡安全所面臨的是一個國際化的挑戰(zhàn),網(wǎng)絡的攻擊不僅僅來自本地網(wǎng)絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網(wǎng)絡技術(shù)是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網(wǎng)絡導致網(wǎng)絡所面臨的破壞和攻擊往往是多方面的,例如:對網(wǎng)絡通信協(xié)議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網(wǎng)絡服務器,因為網(wǎng)絡最初對用戶的使用并沒有提供任何的技術(shù)約束。
二、企業(yè)網(wǎng)絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網(wǎng)絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接,沒有應用連接、沒有包轉(zhuǎn)發(fā),只有文件“擺渡”,對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡信息安全隔離網(wǎng)閘。
(二)網(wǎng)絡系統(tǒng)安全解決方案。網(wǎng)絡應用服務器的操作系統(tǒng)選擇是一個很重要的部分,網(wǎng)絡操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務器的性能。網(wǎng)絡操作系統(tǒng)的系統(tǒng)軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設(shè)置保障其基本安全
1.關(guān)閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權(quán)限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡安全防護體系中,大部分企業(yè)都部署了防火墻對企業(yè)進行保護。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風險。根據(jù)企業(yè)網(wǎng)絡的實際應用情況,對網(wǎng)絡環(huán)境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監(jiān)控和防護。在這一區(qū)域部署入侵檢測系統(tǒng),這樣可以充分發(fā)揮IDS的優(yōu)勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優(yōu)勢,則可以大大提升動態(tài)防護的效果。
(四)安全管理解決方案。信息系統(tǒng)安全管理機構(gòu)是負責信息安全日常事務工作的,應按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標,結(jié)合自身信息系統(tǒng)的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(wǎng)(即內(nèi)網(wǎng))系統(tǒng)安全管理機構(gòu)主要實現(xiàn)以下職能:
1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。
2.確定信息安全各崗位人員的職責和權(quán)限,實行相互授權(quán)、相互牽連,建立崗位責任制。
篇(3)
關(guān)鍵詞:
社交網(wǎng)絡;安全問題;解決方案;分析
0引言
社交網(wǎng)絡的出現(xiàn)給人們彼此之間的交流提供了前所未有的便利。利用社交網(wǎng)絡不僅可與親朋好友交流感情,而且還可結(jié)識一些新朋友擴大交際圈。因此,人們不可避免的在社交網(wǎng)絡上留下一些重要信息,如何確保社交網(wǎng)絡安全問題,引起越來越多人的關(guān)注。
1社交網(wǎng)絡安全問題分析
社交網(wǎng)絡已成為人們生活中的重要組成部分,尤其在科技飛速發(fā)展推動下,社交網(wǎng)站及軟件逐漸向服務的多元化方向發(fā)展,其功能越來越強大,不僅僅局限在溝通交流方面。這一發(fā)展無疑給社交網(wǎng)絡安全提出更高要求。因此,對社交網(wǎng)絡出現(xiàn)的安全問題進行匯總,為提出針對性解決方案提供指導,對促進社交網(wǎng)站及軟件的長遠發(fā)展意義重大。
1.1網(wǎng)絡安全問題
網(wǎng)絡安全是社交軟件或社交網(wǎng)站面臨的重要問題,而且每年都會發(fā)生一些網(wǎng)絡安全事件,給企業(yè)及用戶帶來嚴重不良影響。分析發(fā)現(xiàn),導致社交網(wǎng)絡安全問題出現(xiàn)的因素非常之多,有些是無意的,如通信光纖被挖斷,有些則是有預謀的。例如,部分不法分子攻擊社交網(wǎng)絡,以獲得一些重要信息從中牟利,不僅影響社交網(wǎng)絡工作穩(wěn)定性,而且引起用戶重要信息的泄露。另外,一些不法分子竊聽社交網(wǎng)絡,竊取用戶重要的聊天信息,尤其針對一些企業(yè)社交賬戶,一旦因網(wǎng)絡攻擊而泄漏重要信息,導致企業(yè)機密的泄漏,給企業(yè)造成嚴重經(jīng)濟損失。
1.2信息安全問題
一些不法分分子攻擊社交網(wǎng)站或軟件的數(shù)據(jù)庫,竊取用戶的賬戶信息,能夠輕而易舉的登錄社交網(wǎng)站及軟件,竊取用戶的個人信息、瀏覽用戶的聊天記錄等,導致用戶隱私泄漏。另外,社交網(wǎng)站開發(fā)過程中因考慮不周存在bug,這些bug一旦受到蠕蟲及黑客攻擊,會惡意添加一些下載文件的鏈接或植入不良代碼,當用戶點擊后會下載一些病毒,或?qū)⒅匾畔l(fā)送給黑客,如此黑客便輕而易舉的竊取用戶相關(guān)賬戶信息,從事某些非法活動,嚴重損害用戶利益。
1.3網(wǎng)絡犯罪問題
一些不法分子通過攻擊、監(jiān)聽等手段獲得用戶信息后會從事一些網(wǎng)絡犯罪活動。例如,當獲得用戶的賬戶信息后,在用戶空間一些不良信息,引誘用戶好友點擊,以達到傳播目的。同時,一些用戶為便于好友識別,常常將個人信息填寫在社交網(wǎng)站或軟件上,當不法分析運用相關(guān)手段獲得用戶的個人信息后,常常冒充用戶好友、企業(yè)老板等,給用戶好友或企業(yè)財務人員發(fā)信息,以達到騙取錢財?shù)哪康摹A硗猓糠植环ǚ肿痈`取用戶的賬戶信息后,一些虛假信息,威脅國家安全,甚至引發(fā)社會恐慌等。
2社交網(wǎng)絡安全問解決方案
社交網(wǎng)絡極大的方便了人們的溝通與交流,拉近了人們之間的距離,使人們充分享受到了信息時代的樂趣。但人們在享受這一新的交流方式時,不能忽略安全方面的考慮,應積極提出有效的解決方案,以解決社交網(wǎng)絡面臨的安全問題。
2.1加強社交網(wǎng)絡管理
在網(wǎng)絡技術(shù)發(fā)展推動下,我國社交網(wǎng)絡發(fā)展迅速,出現(xiàn)了一大批社交網(wǎng)站及軟件,如豆瓣、人人網(wǎng)、新浪微博等,尤其以騰訊的QQ、微信為代表,其擁有龐大的用戶群。這些社交網(wǎng)站及軟件一旦出現(xiàn)安全問題,后果不堪設(shè)想。因此,為避免社交網(wǎng)絡出現(xiàn)安全問題,無論企業(yè)內(nèi)部還是國家職能部門應加強社交網(wǎng)絡管理。一方面,企業(yè)內(nèi)部應將社交網(wǎng)絡管理當做重要工作加以落實,尤其注重對網(wǎng)絡的監(jiān)控,及時發(fā)現(xiàn)網(wǎng)絡攻擊行為。同時,與網(wǎng)絡運營商建立良好的合作伙伴關(guān)系,針對出現(xiàn)的網(wǎng)絡安全問題及時與運營商溝通,共同解決網(wǎng)絡安全問題。另一方面,國家職能部門應充分認識到當前社交網(wǎng)絡擁有的龐大用戶群,無論從我國信息化發(fā)展角度,還是從輿論引導角度,均應重視對社交網(wǎng)絡的管理。因此,國家職能部門應做好社交網(wǎng)絡立法工作,加大對破壞網(wǎng)絡安全行為的處罰力度,營造安全、健康的社交網(wǎng)絡氛圍,尤其針對利用社交網(wǎng)絡坑蒙拐騙的行為,應督促企業(yè)鎖定賬戶,情節(jié)嚴重的給予封號處理,或追究刑事責任。
2.2采取安全防護策略
社交網(wǎng)站及軟件運營企業(yè)應從用戶的利益出發(fā),切實維護用戶權(quán)益,采取針對性防護策略,避免用戶信息的泄漏。一方面,立足企業(yè)內(nèi)部,充分分析社交網(wǎng)站及軟件特點,從安全角度分析社交網(wǎng)站及軟件存在的bug,定期向外界,供用戶下載,及時修補存在的bug,不給不法分子留下機會。另一方面,做好數(shù)據(jù)庫的安全管理。眾多周知,對社交網(wǎng)站及軟件而言,數(shù)據(jù)庫存儲大量的用戶資料、用戶聊天信息,保護用戶資料安全是企業(yè)的職責,一定程度上關(guān)系著企業(yè)的長遠發(fā)展。因此,企業(yè)可采取硬件與軟件相結(jié)合的方式提高數(shù)據(jù)庫安全性。在硬件方面,應設(shè)計出合理的硬件架構(gòu),以屏蔽大量的安全隱患。同時,與實力強的服務器提供商合作。企業(yè)應根據(jù)用戶數(shù)量及自身業(yè)務狀況,與綜合實力較強的服務器提供商合作。原因在于綜合實力較強的服務器提供商,不僅能保證服務器工作穩(wěn)定性,而且在機房管理方面更為嚴格,避免機房原因引起服務器故障的產(chǎn)生。在軟件方面,社交網(wǎng)站及軟件運營企業(yè),同樣需進行軟件架構(gòu)的合理設(shè)計,良好的軟件架構(gòu)可明顯提升服務器運行安全性,防止數(shù)據(jù)庫出現(xiàn)不良問題。同時,還應使用數(shù)據(jù)庫安全策略,最大限度的提高服務器的防攻擊性能。
2.3不斷更新安全技術(shù)
眾多周知,網(wǎng)絡技術(shù)發(fā)展迅速,更新周期比較短,一些新的安全技術(shù)不斷涌現(xiàn)。為此,社交網(wǎng)站及軟件運營企業(yè)應不斷更新安全技術(shù),提高社交網(wǎng)站及軟件整個系統(tǒng)的安全性。首先,企業(yè)應綜合分析當前運用的安全技術(shù)存在的不足,尋找其與新安全技術(shù)的契合點,有針對性的應用新安全技術(shù)。其次,企業(yè)應加強與國際間安全技術(shù)企業(yè)的交流與合作,把握安全技術(shù)發(fā)展動向,引進新的網(wǎng)絡安全思路與方法,做好用戶聊天信息的保護。最后,在社交網(wǎng)絡及軟件改版時,將安全問題當做重要內(nèi)容加以考慮,最大限度的提高社交網(wǎng)站及軟件安全性,避免安全漏洞的出現(xiàn),讓不法分子有機可乘。另外,考慮到社交網(wǎng)絡安全性,參與的角色很多如,社交網(wǎng)站及軟件運營企業(yè)、網(wǎng)絡運營商、服務器提供商等,除運營企業(yè)更新安全技術(shù)外,網(wǎng)絡運營商及服務器提供商同樣應注重安全技術(shù)的更新。尤其對于網(wǎng)絡運營商而言,提高網(wǎng)絡安全性是其重要職責,為此,網(wǎng)絡運營商應增加在網(wǎng)絡安全方面的投入,及時更新網(wǎng)絡設(shè)備,及安全管理系統(tǒng),加強對網(wǎng)絡運營的監(jiān)控,尤其應結(jié)合大數(shù)據(jù)思想分析出不法分子的活動規(guī)律,及時鎖定異常流量,洞察發(fā)生的網(wǎng)絡安全問題。另外,服務器提供商應定期更新管理技術(shù),不斷提高服務器安全技術(shù)水平,將攻擊服務器的發(fā)生機率降到最低。
3總結(jié)
社交網(wǎng)絡已經(jīng)融入到人們的生產(chǎn)生活中,拉近了人與人之間的距離,使得人與人之間的交流更為方便。但隨之而來的社交網(wǎng)絡安全問題,給用戶及社交網(wǎng)站及軟件運營企業(yè)帶來諸多意想不到的麻煩。因此如何確保社交網(wǎng)絡安全也引起了人們的高度重視。為確保社交網(wǎng)絡安全性,企業(yè)及國家職能部門應結(jié)合當前我國社交網(wǎng)絡安全實際,積極尋找有效的解決方案,不斷提高我國社交網(wǎng)絡安全水平,為人們安全的使用社交網(wǎng)絡及軟件保駕護航。
作者:李永亮 單位:山東交通職業(yè)學院
引用:
[1]劉建偉,李為宇,孫鈺.社交網(wǎng)絡安全問題及其解決方案[J].中國科學技術(shù)大學學報,2011.
[2]吳振強.社交網(wǎng)絡安全問題及其對策[J].網(wǎng)絡安全技術(shù)與應用,2014.
篇(4)
中圖分類號:TP3
呂城初級中學是丹陽市農(nóng)村中學的重點學校,作為典型的基礎(chǔ)教育學校,該校校園網(wǎng)建設(shè)同樣面臨著網(wǎng)絡安全的問題。為此,作者從實際需求的角度出發(fā),以保障校園安全教學原則為準則,設(shè)計了校園網(wǎng)絡安全的防護體系。針對我校的具體情況,將該校園網(wǎng)分為三級結(jié)構(gòu):以位于行政樓內(nèi)的校園網(wǎng)控制中心為核心;與校園內(nèi)各建筑(行政樓、教學樓、學生公寓樓、教職工宿舍樓)互連形成園區(qū)主干;各建筑物內(nèi)再擴展面向用戶的局域網(wǎng)。園區(qū)主干連接為1000Mbps,建筑物內(nèi)部的用戶局域網(wǎng)提供到桌面的100Mbps網(wǎng)絡帶寬。
我校采用思科公司的千兆交換產(chǎn)品Catalyst 2970G T(24口10/100/1000M)作為校園中心交換機;各建筑物主交換機選擇iSpirit3524F(24口10/100M,添加了一個千兆光纖接口模塊),中心的2970G T與各建筑物的3524F作千兆光纖連接,為此網(wǎng)控中心所在的行政樓外,其它三棟建筑采用了三條千兆連接成網(wǎng)絡主干;此外,中心2970G T其它端口可為多臺應用服務器提供高速網(wǎng)絡連接。
建筑物內(nèi)各樓層交換機采用D-link1024R,與本樓主交換機3524F連接,再以100M連接到用戶桌面,必要時還可再下聯(lián)低端交換機擴展用戶數(shù)。考慮到各交換機都有多個100M端口,級聯(lián)時可采用Fast Etherchannel(快速以太網(wǎng)通道)技術(shù),將兩交換機的2-4對100M或10/100M端口并行連接起來,使級聯(lián)帶寬成倍增加,同時提供線路冗余,其中任一條鏈路的斷線不會妨礙其它鏈路繼續(xù)傳輸數(shù)據(jù),從而保障運行的可靠性。自從網(wǎng)絡建成后有些問題是管理員必須去面對的:外網(wǎng)設(shè)備telnet本網(wǎng)絡設(shè)備;每臺電腦無法分配一個IP地址;師生任意登陸網(wǎng)絡設(shè)備;師生之間的數(shù)據(jù)可任意訪問等。網(wǎng)絡管理員針對以上的問題,可以選擇防火墻技術(shù)來達到我們的要求。
1 防火墻的基本設(shè)置
在網(wǎng)絡安全中,除了采用網(wǎng)絡技術(shù)措施之外,加強網(wǎng)絡的安全管理也非常的重要,制定相關(guān)規(guī)章制度,對于確保網(wǎng)絡的安全、可靠地運行,將起到十分有效的作用。
校園網(wǎng)進入校園已經(jīng)很多年了,由于受到上級部門的保護,所面臨的威脅要稍微小一些,盡管如此,作為網(wǎng)管員也應該提高安全的意識,從理論、技術(shù)、規(guī)章制度方面杜絕本校的網(wǎng)絡不受侵犯。
參考文獻:
[1]劉東華.網(wǎng)絡與通信安全[M].北京:人民郵電出版社,2002.
[2]劉淵.因特網(wǎng)防火墻技術(shù)[M].北京:機械工業(yè)出版社,2001.
篇(5)
當前,網(wǎng)絡安全問題主要來源于兩個方面:一方面來源于Internet,Internet給企事業(yè)網(wǎng)絡帶來成熟的應用技術(shù)的同時,也把固有的安全問題帶給了企事業(yè)網(wǎng)絡;另一方面來源于企事業(yè)內(nèi)部,因為是內(nèi)部網(wǎng)絡,主要針對企事業(yè)內(nèi)部的人員和企事業(yè)內(nèi)部的信息資源,因此,企事業(yè)網(wǎng)絡同時又面臨自身所特有的安全問題。網(wǎng)絡的開放性和共享性在方便了人們使用的同時,也使得網(wǎng)絡很容易遭受到攻擊,而攻擊的后果是嚴重的,諸如重要數(shù)據(jù)被人竊取、服務器不能提供服務等等。要想解決網(wǎng)絡的安全問題,我們就要從網(wǎng)絡的設(shè)計和使用兩方面著手進行分析處理。
1 中小企事業(yè)單位網(wǎng)絡設(shè)計原則
由于所處行業(yè)不同,各企事業(yè)單位的網(wǎng)絡結(jié)構(gòu)也存在著一定的差異。但總的來說,網(wǎng)絡的設(shè)計原則是一致的。
(1)實用性和經(jīng)濟性,根據(jù)中小企事業(yè)單位的特點,網(wǎng)絡系統(tǒng)建設(shè)應始終貫徹面向應用、注重實效的方針,堅持實用、經(jīng)濟的原則,建設(shè)企事業(yè)單位的網(wǎng)絡系統(tǒng)。
(2)先進性和成熟性。網(wǎng)絡系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法,又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟,不但能反映當今的先進水平,而且具有發(fā)展?jié)摿Γ鼙WC在未來若干年內(nèi)網(wǎng)絡仍占領(lǐng)先地位。
(3)可靠性和穩(wěn)定性。在考慮技術(shù)先進性和開放性的同時,還應從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手,確保系統(tǒng)運行的可靠和穩(wěn)定,達到最大的平均無故障時間。
(4)安全性和保密性。在網(wǎng)絡系統(tǒng)設(shè)計中,既要考慮信息資源的充分共享,更要注意信息的保護和隔離,因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境,采取不同的安全措施,包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等。
(5)可擴展性和易維護性。為了適應系統(tǒng)變化的要求,必須充分考慮以最簡便的方法、最低的投資,實現(xiàn)系統(tǒng)的擴展和維護,采用可網(wǎng)管產(chǎn)品,降低了人力資源的費用,提高網(wǎng)絡的易用性。
2 網(wǎng)絡設(shè)計階段安全解決方案
網(wǎng)絡安全問題貫穿于網(wǎng)絡設(shè)計和使用階段。在網(wǎng)絡設(shè)計階段可采取的網(wǎng)絡安全措施主要有以下幾種:
(1)物理措施。加強對網(wǎng)絡關(guān)鍵設(shè)備(如交換機、路由器等)的保護,制定嚴格的網(wǎng)絡安全規(guī)章制度,采取防輻射、防火以及安裝不間斷電源(UPS)等措施,確保網(wǎng)絡關(guān)鍵設(shè)備的正常運行。
(2)網(wǎng)絡分段。目前,大多數(shù)中小企事業(yè)單位網(wǎng)絡采用以廣播為基礎(chǔ)的以太網(wǎng),任何兩個節(jié)點之間的通信數(shù)據(jù)包,可以被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此,黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽,就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包,對其進行解包分析,從而竊取關(guān)鍵信息。網(wǎng)絡分段就是將非法用戶與網(wǎng)絡資源相互隔離,從而達到限制用戶非法訪問的目的。
(3)硬件防火墻技術(shù)。防火墻在網(wǎng)絡安全的實現(xiàn)當中扮演著重要的角色。防火墻通常位于企事業(yè)網(wǎng)絡的邊緣,這使得內(nèi)部網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離,并限制網(wǎng)絡互訪從而保護企業(yè)內(nèi)部網(wǎng)絡。設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立唯一的通道,簡化網(wǎng)絡的安全管理。
(4)VLAN技術(shù)。選擇VLAN技術(shù)可較好地從鏈路層實施網(wǎng)絡安全保障。VLAN指通過交換設(shè)備在網(wǎng)絡的物理拓撲結(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡,它依靠用戶的邏輯設(shè)定將原來物理上互連的一個局域網(wǎng)劃分為多個虛擬子網(wǎng),劃分的依據(jù)可以是設(shè)備所連端口、用戶節(jié)點的MAC地址等。該技術(shù)能有效地控制網(wǎng)絡流量、防止廣播風暴,還可利用MAC層的數(shù)據(jù)包過濾技術(shù),對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網(wǎng),也無法得到整個網(wǎng)絡的信息。
(5)硬件隔離設(shè)置。對于安全性能要求較高的終端,可采用硬件隔離技術(shù),物理上徹底隔斷兩個網(wǎng)絡環(huán)境,針對不同安全級別網(wǎng)絡的需求,可采用終端級隔離、信道級隔離和網(wǎng)絡級隔離三種方案,確保信息的安全。
3 影響網(wǎng)絡安全的幾種錯誤使用習慣
盡管在網(wǎng)絡設(shè)計階段我們采取了種種安全措施,但在使用過程中仍不可避免受到安全問題的困擾,這要從網(wǎng)絡具體使用人員的錯誤使用習慣說起。
(1)不恰當?shù)拿艽a使用。密碼是最簡單的安全形式,如果密碼為空或者是過于簡單(如“123456”或者是“admin”),未經(jīng)授權(quán)的使用者可以很容易去瀏覽敏感數(shù)據(jù)。如果密碼中既包含字母也包含數(shù)字,并且既有大寫也有小寫,那么密碼就會更安全。還有一點值得注意的就是密碼要經(jīng)常更換。
(2)忽視安全補丁。在你的操作系統(tǒng)中,大多數(shù)會存在著安全漏洞。沒有任何一種軟件是完美的,一旦一個缺陷或是漏洞被發(fā)現(xiàn),經(jīng)常就會在很短的一段時間內(nèi)被黑客和惡意程序利用,對用戶產(chǎn)生巨大的危害。因此,盡快安裝安全補丁是必要的,也是必須的。
(3)不安裝殺毒軟件。沒有安裝殺毒軟件的計算機直接連在網(wǎng)絡上是不安全的。你的個人信息隨時都可能被黑客或者惡意程序所監(jiān)控。因此,在使用網(wǎng)絡或是無線網(wǎng)卡聯(lián)網(wǎng)之前,要先裝上殺毒軟件。理論上來說,這種軟件應該包含病毒防護、間諜軟件掃描以及防止惡意軟件在后臺安裝程序等功能。安裝后及時升級病毒庫是很關(guān)鍵的。這樣能確保殺毒軟件監(jiān)測到最新的病毒和惡意軟件,保證用戶的電腦可以更加安全地運行。
(4)不使用加密技術(shù)。儲存和傳遞未加密的數(shù)據(jù)等于是把這些數(shù)據(jù)公之于眾。在銀行業(yè)和信用卡中,加密技術(shù)尤為重要。
4 網(wǎng)絡使用階段安全防范措施
以上幾種錯誤使用習慣經(jīng)常出現(xiàn)的根本原因就是用戶缺少安全意識。未受網(wǎng)絡安全培訓的電腦使用者經(jīng)常成為病毒、間諜軟件和網(wǎng)絡釣魚的受害者,是與他們?nèi)鄙侔踩庾R分不開的。對員工進行安全意識教育和網(wǎng)絡安全策略的培訓至關(guān)重要。大量的調(diào)查研究已經(jīng)證實,內(nèi)部的人員已經(jīng)成為網(wǎng)絡安全的最大潛在威脅,因為他們擁有最大的訪問權(quán)限。除了這一點外,網(wǎng)管人員還應根據(jù)單位的實際情況,做好如下安全防范措施:
(1)IP地址與MAC綁定。加大網(wǎng)絡監(jiān)管力度,嚴格控制本單位IP地址的分配,做好IP地址使用備案,做好IP地址與MAC地址的綁定,避免發(fā)生因個別計算機遭到ARP攻擊而造成整個網(wǎng)絡癱瘓的問題。
(2)訪問控制,對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。例如:進行用戶身份認證,對口令加密、更新和鑒別,設(shè)置用戶訪問目錄和文件的權(quán)限,控制網(wǎng)絡設(shè)備配置的權(quán)限,等等。
(3)補丁管理。不但要對操作系統(tǒng)打補丁,還要為應用程序打補丁。為所有的系統(tǒng)和第三方的應用程序制定慎密的安全計劃。管理員要清醒地知道,哪些計算機和軟件需要更新和升級。
(4)數(shù)據(jù)加密。加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。
(5)安裝網(wǎng)絡防病毒系統(tǒng)。及時升級病毒庫,定期對計算機進行查殺,防止病毒對系統(tǒng)安全造成破壞。
篇(6)
關(guān)鍵詞:電力;網(wǎng)絡;安全;方案
Key words: power;network;security;plan
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0165-01
1電力行業(yè)的特點
電力行業(yè)與其他行業(yè)相比具有分散控制、統(tǒng)一聯(lián)合運行的特點。系統(tǒng)的運行涉及到電網(wǎng)調(diào)度自動化,繼電保護及安全裝置、廠、站自動化,配電網(wǎng)自動化,電力負荷控制分析、電力市場交易、電力營銷、信息網(wǎng)絡系統(tǒng)等,發(fā)、輸、配電系統(tǒng)一體化,系統(tǒng)中包括了各種獨立系統(tǒng)和聯(lián)合電網(wǎng)的控制保護技術(shù)、通信技術(shù)、運行管理技術(shù)等。隨著電力行業(yè)的不斷發(fā)展,電力的關(guān)鍵業(yè)務不斷增長,因此信息化應用也不斷增強,網(wǎng)絡系統(tǒng)中的應用越來越多。
2網(wǎng)絡安全分析
一般說來,在電力網(wǎng)絡系統(tǒng)中的安全防護主要包括三個方面:一是網(wǎng)絡拓撲的結(jié)構(gòu)防護,即在后期當網(wǎng)絡的結(jié)構(gòu)調(diào)整時,要注意增刪節(jié)點的合理性;二是硬件方面的防護,即組成網(wǎng)絡系統(tǒng)中的各類設(shè)備;三是軟件方面的防護,即網(wǎng)絡系統(tǒng)中存儲和傳輸?shù)男畔?shù)據(jù)。
3網(wǎng)絡安全的防范技術(shù)
①配備安全評估系統(tǒng),定期對電力網(wǎng)絡系統(tǒng)進行掃描,主動發(fā)現(xiàn)安全漏洞,及時修補。②采用全網(wǎng)統(tǒng)一的網(wǎng)絡防病毒系統(tǒng),保護網(wǎng)絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統(tǒng)的可用性。③作為防火墻的補充,須在內(nèi)部關(guān)鍵業(yè)務網(wǎng)段配備入侵檢測系統(tǒng)和防御系統(tǒng),以防備來自內(nèi)部的攻擊及外部通過防火墻的攻擊。④對關(guān)鍵業(yè)務信息跨地區(qū)的傳輸,采用VPN產(chǎn)品進行加密,保證傳輸過程中的信息安全。⑤對于網(wǎng)絡設(shè)備、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統(tǒng)。⑥配備災難恢復系統(tǒng)及冗余,防備意外的發(fā)生。⑦建立完善的網(wǎng)絡安全管理制度,防止出現(xiàn)人為的安全隱患。
4安全解決方案
4.1 總體設(shè)計思路和原則。在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術(shù)手段。使用防火墻產(chǎn)品劃分網(wǎng)絡區(qū)域,對需要保護的區(qū)域進行網(wǎng)絡層的訪問控制。正確使用系統(tǒng)中已有的安全機制,各系統(tǒng)通常包含了基本的安全機制,如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統(tǒng)可被利用的漏洞。采用專用產(chǎn)品強化系統(tǒng)中對安全構(gòu)成威脅的薄弱環(huán)節(jié)(包括防病毒)。用必要和有效的監(jiān)控和審查機制保證安全機制的有效性,安全策略的正確性;定期審查。持續(xù)監(jiān)控,部署必要的技術(shù)和產(chǎn)品在安全機制失效和災難的情況下采取正確、及時、有效的措施。及時報警,以爭取管理和技術(shù)人員的及時介入。在入侵正在進行時自動或通過人員干預終止威脅系統(tǒng)安全的行動。系統(tǒng)遭到破壞是在盡可能短的時間內(nèi)回復系統(tǒng)的運行。
4.2 網(wǎng)絡安全產(chǎn)品的部署
①防火墻的配置:作為保護電力系統(tǒng)內(nèi)部網(wǎng)免遭外部攻擊,最有效的措施就是分別在電力系統(tǒng)各級內(nèi)部網(wǎng)與外部廣域網(wǎng)之間放置防火墻,通過設(shè)置有效的安全策略,做到對電力系統(tǒng)內(nèi)部網(wǎng)的訪問控制。不改變原來網(wǎng)絡拓撲結(jié)構(gòu),且保證通訊速度不受較大影響,可以配置使用基于狀態(tài)檢測包過濾技術(shù)上的流過濾技術(shù)的防火墻――硬件防火墻系統(tǒng)。
②入侵監(jiān)測系統(tǒng)的配置:為了防范來自電力系統(tǒng)內(nèi)部網(wǎng)絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統(tǒng)內(nèi)部網(wǎng)各重要網(wǎng)段配備入侵檢測系統(tǒng),通過對網(wǎng)絡行為的監(jiān)視,來識別網(wǎng)絡的入侵的行為。實時監(jiān)視網(wǎng)絡上正在進行通信的數(shù)據(jù)流,分析網(wǎng)絡通訊會話軌跡,反映出內(nèi)外網(wǎng)的聯(lián)接狀態(tài);通過內(nèi)置已知網(wǎng)絡攻擊模式數(shù)據(jù)庫,能夠根據(jù)網(wǎng)絡數(shù)據(jù)流和網(wǎng)絡通訊的情況,查詢網(wǎng)絡事件,進行相應的響應;能根據(jù)所發(fā)生的網(wǎng)絡安全事件,啟用配置好的報警方式,比如Email、聲音報警等;提供網(wǎng)絡數(shù)據(jù)流量統(tǒng)計功能,能夠記錄網(wǎng)絡通信的所有數(shù)據(jù)包,對統(tǒng)計結(jié)果提供數(shù)表與圖形兩種顯示結(jié)果,為事后分析提供依據(jù);默認預設(shè)了很多的網(wǎng)絡安全事件,保障客戶基本的安全需要;提供全面的內(nèi)容恢復,支持多種常用協(xié)議;支持分布式結(jié)構(gòu),安裝于大型網(wǎng)絡的各個物理子網(wǎng)中,一臺管理器可管理多臺服務器,達到分布安裝,全網(wǎng)監(jiān)控,集中管理。
③信息傳輸加密產(chǎn)品的配置:為了保護數(shù)據(jù)信息從發(fā)起端到接收端傳輸過程的安全性,在每一級網(wǎng)絡配備的防火墻系統(tǒng)與邊界路由器之間配備網(wǎng)絡層加密機,由于網(wǎng)絡層加密設(shè)備可以實現(xiàn)網(wǎng)關(guān)到網(wǎng)關(guān)的加密與解密,因此,在每個有重要傳輸數(shù)據(jù)的網(wǎng)點只需配備一臺網(wǎng)絡層加密機。利用加密技術(shù)以及安全認證機制,保護信息在網(wǎng)絡上傳輸?shù)臋C密性、真實性、完整性及可靠性。高加密強度的安全隧道,認證通信雙方的身份,實現(xiàn)基于應用的訪問控制。有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄。提供穿越防火墻的VPN應用模式,可以用直連的方式把通過認證的數(shù)據(jù)直接傳送到主機的應用程序;可以與第三方認證產(chǎn)品集成,提供更強的身份認證和訪問控制功能。
④防病毒系統(tǒng)部署。總之電力企業(yè)網(wǎng)絡的安全保障可從以下幾方面考慮:a.在電力企業(yè)網(wǎng)絡各節(jié)點處構(gòu)筑防御(如防火墻),防止外網(wǎng)影響內(nèi)網(wǎng)。b.建立一個統(tǒng)一、完善的安全防護體系,該體系不僅包括防火墻、網(wǎng)關(guān)、防病毒及殺毒軟件等產(chǎn)品,還有對運營商安全保障的各種綜合措施,通過對網(wǎng)絡的管理和監(jiān)控,可以在第一時間發(fā)現(xiàn)問題,解決問題,防患于未然。c.在互聯(lián)網(wǎng)日益廣泛應用的今天,為保障電力企業(yè)網(wǎng)絡的安全,必需樹立全程安全的觀念。
參考文獻:
篇(7)
關(guān)鍵詞: 網(wǎng)絡安全技術(shù);電力企業(yè)網(wǎng)絡安全;解決方案
Key words: network security technology;electric power enterprise network security;solutions
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)30-0175-02
0 引言
隨著社會科技的不斷發(fā)展,計算機網(wǎng)絡領(lǐng)域也在飛速發(fā)展,信息化社會時代即將到來。盡管網(wǎng)絡具有多層次、高效率、范圍廣等種種特點,但仍然存在著一些嚴重的問題,首當其沖的是網(wǎng)絡信息安全問題,本文也集中注意力來討論如何解決網(wǎng)絡信息安全問題。目前,計算機網(wǎng)絡的多聯(lián)性造成了信息能夠被多渠道的客戶端所接收,再加上一些企業(yè)在傳送信息時缺乏信息安全的防護意識,這也造成了網(wǎng)絡信息容易遭受一些非法黑客以及計算機病毒的侵害,因此,計算機網(wǎng)絡信息的安全性和保密性是目前所需要攻克的一大重要難題。計算機網(wǎng)絡的開放性造就了網(wǎng)絡信息安全隱患的存在,同時,我們在面對危機重重的計算機網(wǎng)絡,如何將信息安全、秘密地傳輸是擺在目前計算機網(wǎng)絡安全研究者們眼前的問題。據(jù)此,我們應針對企業(yè)的網(wǎng)絡結(jié)構(gòu)體系來設(shè)計出一套適合的、先進的網(wǎng)絡安全防護方案,并搭配合適的網(wǎng)絡防護軟件,為電力企業(yè)營造一個安全的網(wǎng)絡空間。
1 電力企業(yè)網(wǎng)絡安全隱患分析
電力企業(yè)既可以從因特網(wǎng)中獲取重要信息,同時也能夠向因特網(wǎng)中發(fā)送信息,但由于因特網(wǎng)的開放性,信息的安全問題得不到保證,而根據(jù)公安部門的網(wǎng)絡調(diào)查來說,有將近半數(shù)的企業(yè)受到過網(wǎng)絡安全的侵害,而受到侵害的企業(yè)大部分都受到過病毒和黑客的攻擊,且受到了一定的損失。
根據(jù)上面的信息可以很明確的得出網(wǎng)絡安全防護的重要性,而影響計算機網(wǎng)絡安全的因素有很多種,其主要可以大致分成三種:一是人為無意中的失誤而導致出現(xiàn)安全危機;二是人為方面的惡意攻擊,也就是黑客襲擊;三是網(wǎng)絡軟件的漏洞。這三個方面的因素可以基本涵蓋網(wǎng)絡安全所受到的威脅行為并將之歸納如下:
1.1 病毒 病毒對于計算機來說就如同老鼠對于人類來說。“老鼠過街,人人喊打”,而病毒過街,人人避而趨之,它會破壞電腦中的數(shù)據(jù)以及計算機功能,且它對于硬件的傷害是十分大的,而且它還能夠進行自我復制,這也讓病毒的生存能力大大加強,由此可以得出其破壞性可見一斑。
1.2 人為防護意識 網(wǎng)絡入侵的目的是為了取得訪問的權(quán)限和儲存、讀寫的權(quán)限,以便其隨意的讀取修改計算機內(nèi)的信息,并惡意地破壞整個系統(tǒng),使其喪失服務的能力。而有一些程序被惡意捆綁了流氓軟件,當程序啟動時,與其捆綁的軟件也會被啟動,與此同時,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網(wǎng)絡的難度。除非用戶能夠禁止該程序的運行或者將相關(guān)軟件進行正確配置,否則安全問題永遠也解決不了。
1.3 應用系統(tǒng)與軟件的漏洞 網(wǎng)絡服務器和瀏覽器的編程原理都是應用了CGI程序,很多人在對CGI程序進行編程時只是對其進行適當?shù)男薷模]有徹底的修改,因此這也造成了一個問題,CGI程序的安全漏洞方面都大同小異,因此,每個操作系統(tǒng)以及網(wǎng)絡軟件都不可能十全十美的出現(xiàn),其網(wǎng)絡安全仍然不能得到完全解決,一旦與網(wǎng)絡進行連接,就有可能會受到來自各方面的攻擊。
1.4 后門與木馬程序 后門是指軟件在出廠時為了以后修改方便而設(shè)置的一個非授權(quán)的訪問口令。后門的存在也使得計算機系統(tǒng)的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
1.5 安全配置的正確設(shè)置 一些軟件需要人為進行調(diào)試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設(shè)。有很多站點在防火墻的配置上將訪問權(quán)限設(shè)置的過大,其中可能存在的隱患會被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設(shè)計人員,因此他們對于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現(xiàn),黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多。
2 常用的網(wǎng)絡安全技術(shù)
2.1 殺毒軟件 殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件,利用殺毒軟件來對網(wǎng)絡進行安全保護是最為普通常見的技術(shù)方案,它的安裝簡單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來殺毒的,功能方面比較局限,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網(wǎng)絡的發(fā)展,殺毒技術(shù)也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用。
2.2 防火墻 防火墻是與網(wǎng)絡連接間進行一種預定義的安全策略,對于內(nèi)外網(wǎng)通信施行訪問控制的一種安全防護措施。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻,軟件防火墻是利用軟件來在內(nèi)部形成一個防火墻,價格較為低廉,其功能比較少,僅僅是依靠自定的規(guī)則來限制非法用戶進行訪問;第二種是硬件防火墻,硬件防火墻通過硬件和軟件的結(jié)合來講內(nèi)外部網(wǎng)絡進行隔離,其效果較好,但價格較高,難以普及。但防火墻并沒有想象中的那樣難以破解,擁有先進的技術(shù)仍然能夠破解或者繞過防火墻對內(nèi)部數(shù)據(jù)進行訪問,因此想要保證網(wǎng)絡信息安全還必須采取其他的措施來避免信息被竊取或篡改,如:數(shù)據(jù)加密、入侵檢測和安全掃描等等措施。值得一提的是防火墻只能夠防護住來自外部的侵襲,而內(nèi)部網(wǎng)絡的安全則無法保護,因此想要對電力企業(yè)內(nèi)部網(wǎng)絡安全進行保護還需要對內(nèi)部網(wǎng)絡的控制和保護來實現(xiàn)。
2.3 數(shù)據(jù)加密 數(shù)據(jù)加密技術(shù)可以與防火墻相互配合,它的出現(xiàn)意味著信息系統(tǒng)的保密性和安全性進一步得到提高,秘密數(shù)據(jù)被盜竊,偵聽和破壞的可能性大大降低。數(shù)據(jù)加密技術(shù)還衍生出文件加密和數(shù)字簽名技術(shù)。這兩種技術(shù)可以分為四種不同的作用,為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。數(shù)據(jù)傳輸加密主要針對數(shù)據(jù)在傳輸中的加密作用,主要可以分成線路加密和端口加密這兩種基本方法;數(shù)據(jù)儲存加密技術(shù)是在數(shù)據(jù)儲存時對其進行加密行為,使數(shù)據(jù)在儲存時不被竊取;數(shù)據(jù)完整性判別技術(shù)是在數(shù)據(jù)的傳輸、存取時所表現(xiàn)出來的一切行為的驗證,是否達到保密要求,通過對比所輸入的特征值是否與預先設(shè)定好的參數(shù)相符來實現(xiàn)數(shù)據(jù)的安全防護;數(shù)據(jù)加密在外所表現(xiàn)出來的應用主要為密鑰,密鑰管理技術(shù)是為了保證數(shù)據(jù)的使用效率。
數(shù)據(jù)加密技術(shù)是將在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密從而保證其在網(wǎng)絡傳輸中的安全性,能夠在一定程度上防止機密信息的泄漏。同時,數(shù)據(jù)加密技術(shù)所應用的地方很廣泛,有信息鑒別、數(shù)字簽名和文件加密等技術(shù),它能夠有效的阻止任何對信息安全能夠造成危害的行為。
2.4 入侵檢測技術(shù) 網(wǎng)絡入侵檢測技術(shù)是一種對網(wǎng)絡進行實時監(jiān)控的技術(shù),它能夠通過軟、硬件來對網(wǎng)絡中的數(shù)據(jù)進行實時地檢測,并將之與入侵數(shù)據(jù)庫進行比較,一旦其被判定為入侵行為,它能夠立即根據(jù)用戶所設(shè)定的參數(shù)來進行防護,如切斷網(wǎng)絡連接、過濾入侵數(shù)據(jù)包等等。因此,我們可以將入侵檢測技術(shù)當做是防火墻的堅強后盾,它能夠在不影響網(wǎng)絡性能的情況下對齊進行監(jiān)聽,并對網(wǎng)絡提供實時保護,使得網(wǎng)絡的安全性能大大提升。
2.5 網(wǎng)絡安全掃描技術(shù) 網(wǎng)絡安全掃描技術(shù)是檢測網(wǎng)絡安全脆弱性的一項安全技術(shù),它通過對網(wǎng)絡的掃描能夠及時的將網(wǎng)絡中的安全漏洞反映給網(wǎng)絡管理員,并客觀的評估網(wǎng)絡風險。利用網(wǎng)絡完全掃描技術(shù)能夠?qū)钟蚓W(wǎng)、互聯(lián)網(wǎng)、操作系統(tǒng)以及安全漏洞等進行服務,并且可以檢測出操作系統(tǒng)中存在的安全漏洞,同時還能夠檢測出計算機中是否被安裝了竊聽程序,以及防火墻可能存在的安全漏洞。
3 單利企業(yè)網(wǎng)絡安全解決方案
3.1 物理隔離 物理隔離指的是從物理上將網(wǎng)絡上的潛在威脅隔離掉。其主要表現(xiàn)為沒有連接、沒有包轉(zhuǎn)發(fā)等等。
3.2 網(wǎng)絡系統(tǒng)安全解決方案 網(wǎng)絡服務器的操作系統(tǒng)是一個比較重要的部分,網(wǎng)絡操作系統(tǒng)最重視的性能是穩(wěn)定性和安全性。而網(wǎng)絡操作系統(tǒng)管理著計算機軟硬件資源,其充當著計算機與用戶間的橋梁作用。因此,我們一般可以采用以下設(shè)置來對網(wǎng)絡系統(tǒng)安全進行保障:
①將不必要的服務關(guān)閉。②為之制定一個嚴格的賬戶系統(tǒng)。③將賬戶權(quán)限科學分配,不能濫放權(quán)利。④對網(wǎng)絡系統(tǒng)進行嚴謹科學的安全配置。
3.3 入侵檢測方案 目前,電力企業(yè)網(wǎng)絡防護體系中,僅僅是配置了傳統(tǒng)的防火墻進行防護。但由于傳統(tǒng)防火墻的功能并不強大,再加上操作系統(tǒng)中可能存在的安全漏洞,這兩點為網(wǎng)絡信息安全帶來了很大的風險。根據(jù)對電力企業(yè)的詳細網(wǎng)絡應用分析,電力企業(yè)對外應用的服務器應當受到重點關(guān)注。并在這個區(qū)域置放入侵檢測系統(tǒng),這樣可以與防火墻形成交叉防護,相得益彰。
3.4 安全管理解決方案 信息系統(tǒng)安全主要是針對日常防護工作,應當根據(jù)國家法律來建立健全日常安全措施和安全目標,并根據(jù)電力企業(yè)的實際安全要求來部署安全措施,并嚴格的實施貫徹下去。
4 結(jié)束語
“魔高一尺,道高一丈”。不管攻擊方式多么新奇,總有相應的安全措施的出現(xiàn)。而網(wǎng)絡安全是一個綜合的、交叉的科學領(lǐng)域,其對多學科的應用可以說是十分苛刻的,它更強調(diào)自主性和創(chuàng)新性。因此,網(wǎng)絡安全體系建設(shè)是一個長期的、艱苦的工程,且任何一個網(wǎng)絡安全方案都不可能解決所有的安全問題。電力企業(yè)的網(wǎng)絡安全問題要從技術(shù)實踐上、理論上、管理實踐上不斷地深化、加強。
參考文獻:
篇(8)
1. VMware和虛擬蜜網(wǎng)概述
1.1 VMware
VMware是目前虛擬技術(shù)的主流產(chǎn)品,同時也是VMware技術(shù)首次在真正意義上實現(xiàn)了虛擬化技術(shù)向PC服務器的移植。基于VMware技術(shù)的虛擬機允許同一個PC服務器支持數(shù)個操作系統(tǒng),更加可貴的是,每一個Guest OS(子操作系統(tǒng))均擁有一個獨立的VM(Virtual Machine,虛擬機),即相當于擁有一個獨立的PC機,每一個VM均能夠與其他的VM進行通訊和對話。
1.2 虛擬蜜網(wǎng)
了解虛擬蜜網(wǎng)之前必須要了解蜜罐和蜜網(wǎng)。首先,蜜罐主要是指故意吸引攻擊者進行攻擊,而后對其攻擊行為進行計算,簡單來說,蜜罐就是誘惑攻擊的計算機,進而通過信息的收集和分析,查看系統(tǒng)是否存在漏洞以及惡意攻擊的最新形勢。其次,蜜網(wǎng)則是交互水平非常高的蜜罐,通過水平非常高的交互作用,我們則能夠非常清晰的了解攻擊者入侵系統(tǒng)的方式、手段,尤其是原理和交互作用的發(fā)生形式。最后,虛擬蜜網(wǎng)則是利用一臺而非多臺電腦實現(xiàn)蜜網(wǎng)作用的解決方案。因為利用虛擬技術(shù)可以讓一個真實的物理平臺同時支持多個獨立的操作系統(tǒng),利用VMware技術(shù)可以實現(xiàn)在同一個主機系統(tǒng)上運行多個不同的相互獨立的虛擬系統(tǒng),并構(gòu)成虛擬的蜜網(wǎng)。
2. 虛擬蜜網(wǎng)的建設(shè)方案分析
2.1 安裝VMware
利用VMware,可以在相同的時間內(nèi)同時導入多個操作系統(tǒng),這些操作系統(tǒng)相互獨立運行。首先,依照常規(guī)程序安裝"Host OS"(即基礎(chǔ)操作系統(tǒng));其次,"Host OS"安裝完畢之后,在其上安裝VMware;最后,安裝相應的Guest OS(子操作系統(tǒng)),使這些Guest OS(子操作系統(tǒng))能夠在虛擬環(huán)境之下運行。
2.2 配置VMware
篇(9)
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
隨著網(wǎng)絡時代的發(fā)展,網(wǎng)絡安全問題成了當今社會不得不注意的重要問題,防范網(wǎng)絡安全隱患應該從每個細節(jié)抓起,提高網(wǎng)絡安全技術(shù)水平,加強網(wǎng)絡信息管理,從根本上塑造一個和諧的網(wǎng)絡環(huán)境。
2 網(wǎng)絡安全的重要性
2.1 網(wǎng)絡安全隱患的危害
(1)泄露私人信息。在信息化時代里,由于電腦等網(wǎng)絡工具不斷普及,網(wǎng)絡也滲透到各行業(yè)以及私人生活中。人們利用網(wǎng)絡進行資料的收集、上傳、保存,在共享的資源模式中,形成了信息的一體化。同時,網(wǎng)絡中也儲存著大量的私人信息,一旦信息泄密,就會飛速流傳于互聯(lián)網(wǎng)中,帶來網(wǎng)絡輿論,惡劣情況下還會造成網(wǎng)絡人身攻擊。
(2)危及財產(chǎn)安全。隨著網(wǎng)絡一卡化的運用,人們不用麻煩的隨身攜帶大量財物,只需要幾張卡片就能進行各類消費,在一卡化模式的運作下,網(wǎng)絡也最大化地便利了人們。如今,由網(wǎng)絡芯卡衍生出了更高端的消費方式,常見的微信轉(zhuǎn)賬、微信紅包、支付寶等支付手段,只需在手機網(wǎng)絡中就能實現(xiàn)網(wǎng)絡消費,為網(wǎng)絡數(shù)字時展撐起了一片天。而在這樣的環(huán)境背后,網(wǎng)絡消費卻潛藏著巨大的財產(chǎn)安全隱患。密碼是數(shù)字時代的重要組成部分,網(wǎng)絡中的眾多信息都牽涉著密碼,但是密碼并非不可破譯的,一旦被危險的木馬軟件抓到漏洞,無疑等于是鑿開了保險柜的大門。在以牟取利益為宗旨的經(jīng)濟犯罪中,網(wǎng)絡經(jīng)濟犯罪占據(jù)著極大的比例,無論個人還是企業(yè),其經(jīng)濟財產(chǎn)安全都受到網(wǎng)絡安全隱患嚴重的威脅。
2.2 提高網(wǎng)絡安全技術(shù)水平的必要性
首先,提高網(wǎng)絡安全技術(shù)水平有利于塑造一個干凈的網(wǎng)絡氛圍,可以使各行業(yè)在安全的網(wǎng)絡環(huán)境中和諧發(fā)展。其次,提高網(wǎng)絡安全技術(shù)水平有利于打擊網(wǎng)絡違法犯罪,保護公民隱私權(quán)、財產(chǎn)權(quán),維護社會安定。最后,提高網(wǎng)絡安全技術(shù)水平就是保障國家經(jīng)濟不受損害,保證國家國防安全,是國家科學技術(shù)水平的綜合體現(xiàn)。
3 對網(wǎng)絡安全隱患主要形式的分析
3.1 操作系統(tǒng)的漏洞
任何計算機操作系統(tǒng)都有著自身的脆弱性,因此其被稱之為操作系統(tǒng)的漏洞。操作系統(tǒng)自身的脆弱性一旦被放大,就會導致計算機病毒通過系統(tǒng)漏洞直接入侵。不僅如此,操作系統(tǒng)的漏洞具有推移性,會根據(jù)時間的推移,在不斷解決問題的過程中不斷衍生,從解決了的舊漏洞中又產(chǎn)生新的漏洞,周而復始,長期存在于計算機系統(tǒng)之中。不法者通過系統(tǒng)漏洞可以利用木馬、病毒等方式控制電腦,從而竊取電腦中重要的信息和資料,是當今網(wǎng)絡安全隱患存在的主要形式之一。
3.2 惡意代碼的攻擊
惡意代碼的概念并不單指病毒,而是一種更大的概念。病毒只是惡意代碼所包含的一種,網(wǎng)絡木馬、網(wǎng)絡蠕蟲、惡意廣告也從屬于惡意代碼。惡意代碼的定義是不必要的、危險的代碼,也就是說任何沒有意義的軟件都可能與某個安全策略組織產(chǎn)生沖突,惡意代碼包含了一切的此類軟件。通常情況下,黑客就是惡意代碼的撰寫者,一般黑客受人雇傭,旨在通過非法的侵入盜取機密信息,或者通過破壞企業(yè)計算機系統(tǒng),非法獲取經(jīng)濟利益,形成行業(yè)惡性競爭。現(xiàn)在的網(wǎng)絡環(huán)境中,惡意代碼是最常見的網(wǎng)絡安全隱患,常隱藏在正常的軟件或網(wǎng)站之中,并且不易被發(fā)現(xiàn),滲透性和傳播性都非常強,具有極大的威脅性。
4 網(wǎng)絡安全的解決方案
4.1 設(shè)置防火墻
防火墻是一種集安全策略和控制機制為一體的有效防入侵技術(shù),是指通過網(wǎng)絡邊界所建立的安全檢測系統(tǒng)來分隔外部和內(nèi)部網(wǎng)絡,并明確限制內(nèi)部服務與外部服務的權(quán)限,可以實際阻擋相關(guān)攻擊性網(wǎng)絡入侵。防火墻的基本類型有六種,分別是復合型、過濾型、電路層網(wǎng)關(guān)、應用層網(wǎng)關(guān)、服務及自適應技術(shù)。在目前的大多數(shù)企業(yè)中,都運用到了防火墻技術(shù)。
4.2 對訪問進行監(jiān)控
訪問監(jiān)控是在對網(wǎng)絡線路的監(jiān)視和控制中,檢查服務器中的關(guān)鍵訪問,從而保護網(wǎng)絡服務器重要數(shù)據(jù)的一種防護技術(shù)。訪問監(jiān)控技術(shù)通過主機本身的訪問控制,與防火墻、安全防護軟件等形成聯(lián)動,對所有通過網(wǎng)路的訪問進行嚴密監(jiān)視和審核,以達到對計算機網(wǎng)絡安全的保護。
4.3 采用多重加密
網(wǎng)絡安全的威脅途徑主要來源于數(shù)據(jù)的內(nèi)部傳送、中轉(zhuǎn)過程以及線路竊聽,采用多重加密技術(shù),可以有效地提高信息數(shù)據(jù)及系統(tǒng)的保密性和安全性。多重加密技術(shù)主要分為幾個過程:首先是傳輸數(shù)據(jù)的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式;其次是數(shù)據(jù)儲存的加密,目的是為了防范數(shù)據(jù)在儲存中失密,主要方式是儲存密碼控制;最后是數(shù)據(jù)的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數(shù)據(jù)驗證。日常的網(wǎng)絡生活中,加密技術(shù)也常能看見,比如在微信、微博、游戲賬號、郵箱等各大社交軟件中,都設(shè)有個人密碼,這是多重加密技術(shù)的第一層屏障,隨著高級別威脅的出現(xiàn),第一層的密碼保護無法滿足數(shù)據(jù)安全的需要。因此,在社交軟件中就出現(xiàn)了動態(tài)碼、驗證碼、密保信息等更高級的數(shù)據(jù)保護措施,在多元的數(shù)據(jù)保護手段下就形成了多重加密的安全技術(shù)。
4.4 實名身份認證
網(wǎng)絡作為一種虛幻的構(gòu)成,并沒有形成良好的秩序,要防范網(wǎng)絡安全隱患,就要加強現(xiàn)實生活對網(wǎng)絡信息的干預。采用實名身份認證能夠從實際生活中規(guī)范網(wǎng)絡言行,從另一個角度說,這是一種法律意義上的監(jiān)控。在實名身份制的網(wǎng)絡認證下,便于法律的約束和治理,可以有效控制網(wǎng)絡犯罪,從根本上促進網(wǎng)絡世界的安全化與和諧化。
5 結(jié)束語
安全是一種概率性的詞,沒有絕對的安全,只有相對的安全。網(wǎng)絡世界也是一樣,絕對安全的網(wǎng)絡環(huán)境是不存在的,就好比只要有利益,就會有犯罪,網(wǎng)絡犯罪是會不斷滋生的。但是,網(wǎng)絡安全的隱患是可以防范的,正確的運用信息技術(shù),加強網(wǎng)絡安全的管理,在網(wǎng)絡法律的有效制約中,就能拒各種“網(wǎng)絡毒瘤”于網(wǎng)絡的大門之外,共同塑造一個干凈安全的新信息時代。
參考文獻
[1] 李春曉.校園網(wǎng)網(wǎng)絡安全技術(shù)及解決方案分析[J].電子測試,2013,18:100-101.
[2] 關(guān)勇.網(wǎng)絡安全技術(shù)與企業(yè)網(wǎng)絡安全解決方案研究[J].電子技術(shù)與軟件工程,2015,05:227.
篇(10)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網(wǎng)絡安全概述
1.1 網(wǎng)絡病毒
(1)計算機感染病毒的途徑:校園內(nèi)部網(wǎng)感染和校園外部網(wǎng)感染。
(2)病毒入侵渠道:來自Internet 或外網(wǎng)的病毒入侵、網(wǎng)絡郵件/群件系統(tǒng)、文件服務器和最終用戶。主要的病毒入口是Internet,主要的傳染方式是群件系統(tǒng)。
(3)計算機病毒發(fā)展趨勢:病毒與黑客程序相結(jié)合,病毒破壞性更大,制作病毒的方法更簡單,病毒傳播速度更快,傳播渠道更多,病毒的實時檢測更困難。
(4)切斷病毒源的途徑:要防止計算機病毒在網(wǎng)絡上傳播、擴散,需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源。
1.2 網(wǎng)絡攻擊
(1)校園網(wǎng)與Internet 相連,面臨著遭遇攻擊的風險。
(2)校園網(wǎng)內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解,存在的安全隱患更大一些。
(3)目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡安全構(gòu)成了威脅。
(4)存在“重技術(shù)、輕安全、輕管理”的傾向。
(5)服務器與系統(tǒng)一般都沒有經(jīng)過細密的安全配置。
2 校園網(wǎng)絡安全分析
2.1 物理安全分析
網(wǎng)絡的物理安全風險主要有環(huán)境事故(如地震、水災、火災、雷電等)、電源故障、人為操作失誤或錯誤、設(shè)備被盜或被毀、電磁干擾、線路截獲等。
2.2 網(wǎng)絡結(jié)構(gòu)的安全分析
網(wǎng)絡拓撲結(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡系統(tǒng)的安全性。從結(jié)構(gòu)上講,校園網(wǎng)可以分成核心、匯聚和接入三個層次;從網(wǎng)絡類型上講,可以劃分為教學子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點是接入方式多,包括撥號上網(wǎng)、寬帶接入、無線上網(wǎng)等各種形式,接入的用戶類型也非常復雜。
2.3 系統(tǒng)的安全分析
系統(tǒng)安全是指整個網(wǎng)絡的操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信賴,其層次分為鏈路安全、網(wǎng)絡安全、信息安全。目前,沒有完全安全的操作系統(tǒng)。
2.4 應用系統(tǒng)的安全分析
應用系統(tǒng)的安全是動態(tài)的、不斷變化的,涉及到信息、數(shù)據(jù)的安全性。
2.5 管理的安全風險分析
安全管理制度不健全、責權(quán)不明確及缺乏可操作性等,都可能引起管理安全的風險。
3 校園網(wǎng)絡安全解決方案
3.1 校園內(nèi)部網(wǎng)絡安全方案
3.1.1 內(nèi)網(wǎng)病毒防范
在網(wǎng)絡的匯聚三層交換機上實施不同的病毒安全策略。網(wǎng)絡通過在交換機上設(shè)置相應的病毒策略,配合網(wǎng)絡的認證客戶端軟件,能偵測到具體的計算機上是否有病毒。
3.1.2 單機病毒防范
教師機安裝NT 內(nèi)核的操作系統(tǒng),使用NTFS 格式的分區(qū);服務器可以使用Windows Server甚至UNIX或類UNIX系統(tǒng)。學生機安裝硬盤還原卡、保護卡或者還原精靈,充分利用NTFS分區(qū)的“安全”特性,設(shè)置好各個分區(qū)、目錄、文件的訪問權(quán)限。安裝簡單的包過濾防火墻。
3.1.3 內(nèi)部網(wǎng)絡安全監(jiān)控
采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機,能把網(wǎng)絡訪問安全控制前移到用戶的接入點。利用三層交換機的網(wǎng)絡監(jiān)控軟件,對網(wǎng)絡進行即時監(jiān)控。
3.1.4 防毒郵件網(wǎng)關(guān)系統(tǒng)
校園網(wǎng)網(wǎng)關(guān)病毒防火墻安裝在Internet 服務器或網(wǎng)關(guān)上,在電腦病毒通過Internet 入侵校園內(nèi)部網(wǎng)絡的第一個入口處設(shè)置一道防毒屏障,使得電腦病毒在進入網(wǎng)絡之前即被阻截。
3.1.5 文件服務器的病毒防護
服務器上安裝防病毒系統(tǒng),可以提供系統(tǒng)的實時病毒防護功能、實時病毒監(jiān)控功能、遠程安裝和遠程調(diào)用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。
3.1.6 中央控制管理中心防病毒系統(tǒng)
建立中央控制管理中心系統(tǒng),能有效地將跨平臺、跨路由、跨產(chǎn)品的所有防毒產(chǎn)品的管理綜合起來,使管理人員能在單點實現(xiàn)對全網(wǎng)的管理。
3.2 校園外部網(wǎng)絡安全方案
3.2.1 校園網(wǎng)分層次的拓撲防護措施
層次一是中心級網(wǎng)絡,主要實現(xiàn)內(nèi)外網(wǎng)隔離、內(nèi)外網(wǎng)用戶的訪問控制、內(nèi)部網(wǎng)的監(jiān)控、內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查;層次二是部門級,主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制、同級部門間的訪問控制、部門網(wǎng)內(nèi)部的安全審計;層次三是終端/個人用戶級,主要實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制、數(shù)據(jù)庫及終端信息資源的安全保護。
3.2.2 校園網(wǎng)安全防護要點
(1)防火墻技術(shù)。目前,防火墻分為三類,包過濾型防火墻、應用型防火墻和復合型防火墻(由包過濾與應用型防火墻結(jié)合而成)。利用防火墻,可以實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制,保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。
(2)防火墻設(shè)置原則。一是根據(jù)校園網(wǎng)安全策略和安全目標,遵從“不被允許的服務就是被禁止”的原則;二是過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包和以非法IP地址離開內(nèi)部網(wǎng)絡的IP包;三是在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表,防止IP地址被盜用;四是定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄;五是允許通過配置網(wǎng)卡對防火墻進行設(shè)置,提高防火墻管理的安全性。
(3)校園網(wǎng)部署防火墻。系統(tǒng)中使用防火墻,在內(nèi)部網(wǎng)絡和外界Internet之間隔離出一個受屏蔽的子網(wǎng),其中WWW、E-mail、FTP、DNS 服務器連接在防火墻的DMZ區(qū),對內(nèi)、外網(wǎng)進行隔離。內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機,外網(wǎng)口通過路由器與Internet 連接。
(4)入侵檢測系統(tǒng)的部署。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身,可以彌補防火墻相對靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡的特點,將入侵檢測引擎接入中心交換機上,對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。
(5)漏洞掃描系統(tǒng)。采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。
3.2.3 校園網(wǎng)防護體系
構(gòu)造校園網(wǎng)“包過濾防火墻+NAT+計費++VPN+網(wǎng)絡安全檢測+監(jiān)控”防護體系,具體解決的問題是:內(nèi)外網(wǎng)絡邊界安全,防止外部攻擊,保護內(nèi)部網(wǎng)絡;隔離內(nèi)部不同網(wǎng)段,建立VLAN;根據(jù)IP地址、協(xié)議類型、端口進行過濾;內(nèi)外網(wǎng)絡采用兩套IP地址,需要網(wǎng)絡地址轉(zhuǎn)換NAT功能;通過IP地址與MAC地址對應防止IP欺騙;基于用戶和IP地址計費和流量統(tǒng)計與控制;提供應用服務,隔離內(nèi)外網(wǎng)絡;用戶身份鑒別、權(quán)限控制;支持透明接入和VPN 及其管理;網(wǎng)絡監(jiān)控與入侵檢測。
4 校園網(wǎng)絡運營安全
4.1 認證的方式
網(wǎng)絡運營是對網(wǎng)絡用戶的管理,通過“認證的方式”使用網(wǎng)絡。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二層交換機上實現(xiàn),需要接入的所有交換機都支持802.1x協(xié)議,實現(xiàn)整網(wǎng)的認證。
(2)基于流的認證方式。指交換機可以用基于用戶設(shè)備的MAC地址、VLAN、IP等實現(xiàn)認證和控制,能解決傳統(tǒng)802.1x無法解決但對于運營是十分重要的一些問題,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客戶端機器上安裝服務器軟件實現(xiàn)多人共用一個賬號上網(wǎng)的現(xiàn)象非常普遍,給學校的運營帶來很大的損失。使用三層交換機上的802.1x擴展功能和802.1x客戶端,防止非認證的用戶借助軟件從已認證的端口使用服務或訪問網(wǎng)絡資源,做到學校提供一個網(wǎng)絡端口只能一個用戶上網(wǎng)。
4.3 賬戶管理
學生是好奇心強的群體,假冒DHCP SERVER和IP、MAC給學校的運營管理帶來很大的麻煩。通過匯聚三層交換機和客戶端軟件配合,發(fā)現(xiàn)有假冒的DHCP SERVER,立即封掉該賬戶。
5 校園網(wǎng)絡的訪問控制策略
5.1 建立并嚴格執(zhí)行規(guī)章制度
規(guī)章制度作為一項核心內(nèi)容,應始終貫穿于系統(tǒng)的安全生命周期。
5.2 身份驗證
對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。
5.3 病毒防護
主要包括預防計算機病毒侵入、檢測侵入系統(tǒng)的計算機病毒、定位已侵入系統(tǒng)的計算機病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。
6 校園網(wǎng)絡安全監(jiān)測
校園網(wǎng)絡安全監(jiān)測可采用以下系統(tǒng)或措施:入侵檢測系統(tǒng);Web、E-mail、BBS的安全監(jiān)測系統(tǒng);漏洞掃描系統(tǒng);網(wǎng)絡監(jiān)聽系統(tǒng);在路由器上捆綁IP和MAC地址。這些系統(tǒng)或措施在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行檢測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。
7 校園網(wǎng)絡系統(tǒng)配置安全
7.1 設(shè)置禁用
禁用Guest賬號;為Administrator設(shè)置一個安全的密碼;將各驅(qū)動器的共享設(shè)為不共享;關(guān)閉不需要的服務,運用掃描程序堵住安全漏洞,封鎖端口。
7.2 設(shè)置IIS
通過設(shè)置,彌補校園網(wǎng)服務器的IIS 漏洞。
7.3 運用VLAN 技術(shù)來加強內(nèi)部網(wǎng)絡管理VLAN 技術(shù)的核心是網(wǎng)絡分段,網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中,通常采用二者相結(jié)合的方法。
7.4 遵循“最小授權(quán)”原則
指網(wǎng)絡中的賬號設(shè)置、服務配置、主機間信任關(guān)系配置等都應為網(wǎng)絡正常運行所需的最小限度,這可以將系統(tǒng)的危險性大大降低。
7.5 采用“信息加密”技術(shù)
包括算法、協(xié)議、管理在內(nèi)的龐大體系。加密算法是基礎(chǔ),密碼協(xié)議是關(guān)鍵,密鑰管理是保障。
8 校園網(wǎng)絡安全管理措施
安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。
9 結(jié)束語
校園網(wǎng)安全是一個動態(tài)的發(fā)展過程,應該是檢測、監(jiān)視、安全響應的循環(huán)過程。確定安全技術(shù)、安全策略和安全管理只是一個良好的開端,只能解決60%~90%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等,這些都是對信息系統(tǒng)安全的挑戰(zhàn)。
參考文獻:
[1]孫念龍.后門防范技巧[J].網(wǎng)管員世界,2005(6).
[2]段新海.校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡,2005(3).
篇(11)
從用戶的角度,他們希望涉及到個人和商業(yè)的信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網(wǎng)絡運營商和管理者的角度來說,他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作受到保護和控制,避免出現(xiàn)病毒、非法存取、拒絕服務和網(wǎng)絡資源的非法占用和非法控制等威脅,制止和防御網(wǎng)絡“黑客”的攻擊。
網(wǎng)絡安全根據(jù)其本質(zhì)的界定,應具有以下基本特征:(1)機密性。是指信息不泄露給非授權(quán)的個人、實體和過程,或供其使用的特性。在網(wǎng)絡系統(tǒng)的各個層次上都有不同的機密性及相應的防范措施。(2)完整性。是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性;(3)可用性。是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息及相關(guān)資料。
二、網(wǎng)絡安全現(xiàn)狀分析
隨著計算機和通信技術(shù)的發(fā)展,網(wǎng)絡信息的安全和保密已成為一個至關(guān)重要且急需解決的問題。計算機網(wǎng)絡所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足,再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴格管理,致使網(wǎng)絡易受攻擊,因此網(wǎng)絡安全所采取的措施應能全方位地針對各種不同的威脅,保障網(wǎng)絡信息的保密性、完整性和可用性。現(xiàn)有網(wǎng)絡系統(tǒng)和協(xié)議還是不健全、不完善、不安全的。
網(wǎng)絡安全是研究與計算機 科學 相關(guān)的安全問題,具體地說,網(wǎng)絡安全研究了安全的存儲、處理或傳輸信息資源的技術(shù)、體制和服務的發(fā)展、實現(xiàn)和應用。
每個計算機離不開人,網(wǎng)絡安全不僅依賴于技術(shù)上的措施,也離不開組織和 法律 上的措施。客戶/服務器計算模式下的網(wǎng)絡安全研究領(lǐng)域,一是OSI安全結(jié)構(gòu)定義的安全服務:鑒別服務、數(shù)據(jù)機密、數(shù)據(jù)完整、訪問控制服務等;二是OSI安全結(jié)構(gòu)定義的安全機制:加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、通信填充等機制以及事件檢測、安全審查跟蹤、安全恢復;三是訪問控制服務:訪問控制服務中的安全技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、鏈路層網(wǎng)關(guān)、應用層網(wǎng)關(guān);四是通信安全服務:OSI結(jié)構(gòu)通信安全服務包括鑒別、數(shù)據(jù)機密性和完整性和不可抵賴服務;五是網(wǎng)絡存活性:目前對Internet存活性的研究目的是開發(fā)一種能保護網(wǎng)絡和分布式系統(tǒng)免遭拒絕服務攻擊的技術(shù)和機制。
三、網(wǎng)絡安全解決方案
網(wǎng)絡安全是一項動態(tài)、整體的系統(tǒng)工程。網(wǎng)絡安全有安全的操作系統(tǒng)、應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網(wǎng)絡的安全性。(1)防病毒技術(shù)。網(wǎng)絡中的系統(tǒng)可能會受到多種病毒威脅,對于此可以采用多層的病毒防衛(wèi)體系。即在每臺計算機,每臺服務器以及網(wǎng)關(guān)上安裝相關(guān)的防病毒軟件。由于病毒在網(wǎng)絡中存儲、傳播、感染的方式各異且途徑多種多樣,故相應地在構(gòu)建網(wǎng)絡防病毒系統(tǒng)時,應用全方位的 企業(yè) 防毒產(chǎn)品,實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略;(2)防火墻技術(shù)。防火墻技術(shù)是近年發(fā)展起來的重要網(wǎng)絡安全技術(shù),其主要作用是在網(wǎng)絡入口處檢查網(wǎng)絡通信,根據(jù)用戶設(shè)定的安全規(guī)則,在保護內(nèi)部網(wǎng)絡安全的前提下,保障內(nèi)外網(wǎng)絡通信,提高內(nèi)部網(wǎng)絡的安全。
(3)入侵檢測技術(shù)。入侵檢測系統(tǒng)是近年出現(xiàn)的新型 網(wǎng)絡 安全技術(shù),目的是提供實時的入侵檢測及采取相應的防護手段。實時入侵檢測能力之所以重要,是因為它能夠同時對付來自內(nèi)外網(wǎng)絡的攻擊;
(4)安全掃描技術(shù)。這是又一類重要的網(wǎng)絡安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高網(wǎng)絡的安全性。通過對網(wǎng)絡的掃描,可以了解網(wǎng)絡的安全配置和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡風險等級。如果說放火墻和網(wǎng)絡監(jiān)控系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然;(5)網(wǎng)絡安全緊急響應體系。網(wǎng)絡安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生變化。隨著時間和網(wǎng)絡環(huán)境的變化或技術(shù)的 發(fā)展 而不斷調(diào)整自身的安全策略,并及時組建網(wǎng)絡安全緊急響應體系,專人負責,防范安全突發(fā)事件。
四、網(wǎng)絡安全管理
