網絡安全解決方案大全11篇
時間:2022-12-13 20:55:38緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡安全解決方案范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
中圖分類號:C913.3文獻標識碼:A文章編號:1005-5312(2010)12-0088-01
一、網絡安全概述
(一)網絡安全的基本概念
網絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現。
(二)網絡面臨的主要攻擊
⑴ 緩沖區溢出。
⑵ 遠程攻擊。
⑶ 口令破解。
⑷ 超級權限。
⑸ 拒絕服務(DDOS)。
二、安全需求
通過對網絡系統的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據。
機密性: 信息不暴露給未授權實體或進程。
完整性: 保證數據不被未授權修改。
可控性: 控制授權范圍內的信息流向及操作方式。
可審查性:對出現的安全問題提供依據與手段。
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
三、網絡安全防護策略
個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。
第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。
第二個層次,是通過路由器后進入網站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內的實際安全狀態,部署網絡入侵檢測系統(IDS)。入侵檢測系統可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業務平臺的攻擊行為和內部網絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊。
第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統,防范網頁被非法篡改。
此外,還部署網絡漏洞掃描系統,定期或不定期的對接服務器區進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。
第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性。
(二)多種防護手段
我們設計的高強度安全防護措施,包括多種防護手段,即有靜態的防護手段,如防火墻,又有動態的防護手段,如網絡IDS、網絡防病毒系統。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角。
(三)防火墻系統
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
防火墻可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在此次的網絡系統安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制。防火墻可將網絡分成若干個區域,Trust(可信任區,連接內部局域網),Untrust(不信任區,連接Internet ),DMZ(中立區,連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區域。
(四)網絡入侵檢測系統的作用
通過使用網絡入侵檢測系統,我們可以做到:發現誰在攻擊網絡:解決網絡防護的問題(網絡出入口、DMZ、關鍵網段)。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統免受二次攻擊。
處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據。實現安全事件來源追查。 DDOS攻擊防范:通過實時監控網絡流量,及時發現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷。
四、安全服務
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料。
五、總結
毫無疑問,安全是一個動態的問題。在做未來的計劃時,既要考慮用戶環境的發展,也要考慮風險的發展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網絡安全的解決方案從人員安全、物理層安全、邊界安全、網絡安全、主機安全、應用程序和數據安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網絡系統:
進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡。
拿不走: 使用屏蔽、防下載機制,實現對用戶的權限控制。
讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序。
改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。
走不脫: 使用日志、安全審計、監控技術使得攻擊者不能抵賴自己的行為。
參考文獻:
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.
篇(2)
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網絡技術的飛速發展,自由的、開放的、國際化的Internet給政府機構、企事業單位帶來了前所未有的變革,使得企事業單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網絡安全問題也隨著網絡技術的發展而真多,凡是有網絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經濟論壇上,與會者首次觸及了互聯網安全問題,表明網絡安全已經成為影響互聯網發展的重要問題。由于因特網所具有的開放性、國際性和自由性在增加應用自由度的同時,網絡安全隱患也越來越大,如何針對企業的具體網絡結構設計出先進的安全方案并選配合理的網絡安全產品,以及搭建有效的企業網絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業網絡安全隱患分析 企事業單位可以通過Internet獲取重要數據,同時又要面對Internet開放性帶來的數據安全問題。公安部網絡安全狀況調查結果顯示:2009年,被調查的企業有49%發生過網絡信息安全事件。在發生過安全事件的企業中,83%的企業感染了計算機病毒、蠕蟲和木馬程序,36%的企業受到垃圾電子郵件干擾和影響。59%的企業發生網絡端口掃描,拒絕服務攻擊和網頁篡改等安全危機。如何保護企業的機密信息不受黑客和工業間諜的攻擊,已成為政府機構、企事業單位信息化健康發展所要解決的一項重要工作。隨著信息技術的發展,網絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現在: 1.網絡安全所面臨的是一個國際化的挑戰,網絡的攻擊不僅僅來自本地網絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網絡導致網絡所面臨的破壞和攻擊往往是多方面的,例如:對網絡通信協議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網絡服務器,因為網絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業網絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協議、沒有TCP/IP連接,沒有應用連接、沒有包轉發,只有文件“擺渡”,對固態介質只有讀和寫兩個命令。其結果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網絡信息安全隔離網閘。
(二)網絡系統安全解決方案。網絡應用服務器的操作系統選擇是一個很重要的部分,網絡操作系統的穩定性和安全性能決定了服務器的性能。網絡操作系統的系統軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現有的企業網絡安全防護體系中,大部分企業都部署了防火墻對企業進行保護。但是傳統防火墻設備有其自身的缺點。如果操作系統由于自身的漏洞也有可能帶來較大的安全風險。根據企業網絡的實際應用情況,對網絡環境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監控和防護。在這一區域部署入侵檢測系統,這樣可以充分發揮IDS的優勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優勢,則可以大大提升動態防護的效果。
(四)安全管理解決方案。信息系統安全管理機構是負責信息安全日常事務工作的,應按照國家信息系統安全的有關法律、法規、制度、規范建立和健全有關的安全策略和安全目標,結合自身信息系統的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(即內網)系統安全管理機構主要實現以下職能:
1.建立和健全本系統的系統安全操作規程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
篇(3)
關鍵詞:
社交網絡;安全問題;解決方案;分析
0引言
社交網絡的出現給人們彼此之間的交流提供了前所未有的便利。利用社交網絡不僅可與親朋好友交流感情,而且還可結識一些新朋友擴大交際圈。因此,人們不可避免的在社交網絡上留下一些重要信息,如何確保社交網絡安全問題,引起越來越多人的關注。
1社交網絡安全問題分析
社交網絡已成為人們生活中的重要組成部分,尤其在科技飛速發展推動下,社交網站及軟件逐漸向服務的多元化方向發展,其功能越來越強大,不僅僅局限在溝通交流方面。這一發展無疑給社交網絡安全提出更高要求。因此,對社交網絡出現的安全問題進行匯總,為提出針對性解決方案提供指導,對促進社交網站及軟件的長遠發展意義重大。
1.1網絡安全問題
網絡安全是社交軟件或社交網站面臨的重要問題,而且每年都會發生一些網絡安全事件,給企業及用戶帶來嚴重不良影響。分析發現,導致社交網絡安全問題出現的因素非常之多,有些是無意的,如通信光纖被挖斷,有些則是有預謀的。例如,部分不法分子攻擊社交網絡,以獲得一些重要信息從中牟利,不僅影響社交網絡工作穩定性,而且引起用戶重要信息的泄露。另外,一些不法分子竊聽社交網絡,竊取用戶重要的聊天信息,尤其針對一些企業社交賬戶,一旦因網絡攻擊而泄漏重要信息,導致企業機密的泄漏,給企業造成嚴重經濟損失。
1.2信息安全問題
一些不法分分子攻擊社交網站或軟件的數據庫,竊取用戶的賬戶信息,能夠輕而易舉的登錄社交網站及軟件,竊取用戶的個人信息、瀏覽用戶的聊天記錄等,導致用戶隱私泄漏。另外,社交網站開發過程中因考慮不周存在bug,這些bug一旦受到蠕蟲及黑客攻擊,會惡意添加一些下載文件的鏈接或植入不良代碼,當用戶點擊后會下載一些病毒,或將重要信息發送給黑客,如此黑客便輕而易舉的竊取用戶相關賬戶信息,從事某些非法活動,嚴重損害用戶利益。
1.3網絡犯罪問題
一些不法分子通過攻擊、監聽等手段獲得用戶信息后會從事一些網絡犯罪活動。例如,當獲得用戶的賬戶信息后,在用戶空間一些不良信息,引誘用戶好友點擊,以達到傳播目的。同時,一些用戶為便于好友識別,常常將個人信息填寫在社交網站或軟件上,當不法分析運用相關手段獲得用戶的個人信息后,常常冒充用戶好友、企業老板等,給用戶好友或企業財務人員發信息,以達到騙取錢財的目的。另外,部分不法分子竊取用戶的賬戶信息后,一些虛假信息,威脅國家安全,甚至引發社會恐慌等。
2社交網絡安全問解決方案
社交網絡極大的方便了人們的溝通與交流,拉近了人們之間的距離,使人們充分享受到了信息時代的樂趣。但人們在享受這一新的交流方式時,不能忽略安全方面的考慮,應積極提出有效的解決方案,以解決社交網絡面臨的安全問題。
2.1加強社交網絡管理
在網絡技術發展推動下,我國社交網絡發展迅速,出現了一大批社交網站及軟件,如豆瓣、人人網、新浪微博等,尤其以騰訊的QQ、微信為代表,其擁有龐大的用戶群。這些社交網站及軟件一旦出現安全問題,后果不堪設想。因此,為避免社交網絡出現安全問題,無論企業內部還是國家職能部門應加強社交網絡管理。一方面,企業內部應將社交網絡管理當做重要工作加以落實,尤其注重對網絡的監控,及時發現網絡攻擊行為。同時,與網絡運營商建立良好的合作伙伴關系,針對出現的網絡安全問題及時與運營商溝通,共同解決網絡安全問題。另一方面,國家職能部門應充分認識到當前社交網絡擁有的龐大用戶群,無論從我國信息化發展角度,還是從輿論引導角度,均應重視對社交網絡的管理。因此,國家職能部門應做好社交網絡立法工作,加大對破壞網絡安全行為的處罰力度,營造安全、健康的社交網絡氛圍,尤其針對利用社交網絡坑蒙拐騙的行為,應督促企業鎖定賬戶,情節嚴重的給予封號處理,或追究刑事責任。
2.2采取安全防護策略
社交網站及軟件運營企業應從用戶的利益出發,切實維護用戶權益,采取針對性防護策略,避免用戶信息的泄漏。一方面,立足企業內部,充分分析社交網站及軟件特點,從安全角度分析社交網站及軟件存在的bug,定期向外界,供用戶下載,及時修補存在的bug,不給不法分子留下機會。另一方面,做好數據庫的安全管理。眾多周知,對社交網站及軟件而言,數據庫存儲大量的用戶資料、用戶聊天信息,保護用戶資料安全是企業的職責,一定程度上關系著企業的長遠發展。因此,企業可采取硬件與軟件相結合的方式提高數據庫安全性。在硬件方面,應設計出合理的硬件架構,以屏蔽大量的安全隱患。同時,與實力強的服務器提供商合作。企業應根據用戶數量及自身業務狀況,與綜合實力較強的服務器提供商合作。原因在于綜合實力較強的服務器提供商,不僅能保證服務器工作穩定性,而且在機房管理方面更為嚴格,避免機房原因引起服務器故障的產生。在軟件方面,社交網站及軟件運營企業,同樣需進行軟件架構的合理設計,良好的軟件架構可明顯提升服務器運行安全性,防止數據庫出現不良問題。同時,還應使用數據庫安全策略,最大限度的提高服務器的防攻擊性能。
2.3不斷更新安全技術
眾多周知,網絡技術發展迅速,更新周期比較短,一些新的安全技術不斷涌現。為此,社交網站及軟件運營企業應不斷更新安全技術,提高社交網站及軟件整個系統的安全性。首先,企業應綜合分析當前運用的安全技術存在的不足,尋找其與新安全技術的契合點,有針對性的應用新安全技術。其次,企業應加強與國際間安全技術企業的交流與合作,把握安全技術發展動向,引進新的網絡安全思路與方法,做好用戶聊天信息的保護。最后,在社交網絡及軟件改版時,將安全問題當做重要內容加以考慮,最大限度的提高社交網站及軟件安全性,避免安全漏洞的出現,讓不法分子有機可乘。另外,考慮到社交網絡安全性,參與的角色很多如,社交網站及軟件運營企業、網絡運營商、服務器提供商等,除運營企業更新安全技術外,網絡運營商及服務器提供商同樣應注重安全技術的更新。尤其對于網絡運營商而言,提高網絡安全性是其重要職責,為此,網絡運營商應增加在網絡安全方面的投入,及時更新網絡設備,及安全管理系統,加強對網絡運營的監控,尤其應結合大數據思想分析出不法分子的活動規律,及時鎖定異常流量,洞察發生的網絡安全問題。另外,服務器提供商應定期更新管理技術,不斷提高服務器安全技術水平,將攻擊服務器的發生機率降到最低。
3總結
社交網絡已經融入到人們的生產生活中,拉近了人與人之間的距離,使得人與人之間的交流更為方便。但隨之而來的社交網絡安全問題,給用戶及社交網站及軟件運營企業帶來諸多意想不到的麻煩。因此如何確保社交網絡安全也引起了人們的高度重視。為確保社交網絡安全性,企業及國家職能部門應結合當前我國社交網絡安全實際,積極尋找有效的解決方案,不斷提高我國社交網絡安全水平,為人們安全的使用社交網絡及軟件保駕護航。
作者:李永亮 單位:山東交通職業學院
引用:
[1]劉建偉,李為宇,孫鈺.社交網絡安全問題及其解決方案[J].中國科學技術大學學報,2011.
[2]吳振強.社交網絡安全問題及其對策[J].網絡安全技術與應用,2014.
篇(4)
中圖分類號:TP3
呂城初級中學是丹陽市農村中學的重點學校,作為典型的基礎教育學校,該校校園網建設同樣面臨著網絡安全的問題。為此,作者從實際需求的角度出發,以保障校園安全教學原則為準則,設計了校園網絡安全的防護體系。針對我校的具體情況,將該校園網分為三級結構:以位于行政樓內的校園網控制中心為核心;與校園內各建筑(行政樓、教學樓、學生公寓樓、教職工宿舍樓)互連形成園區主干;各建筑物內再擴展面向用戶的局域網。園區主干連接為1000Mbps,建筑物內部的用戶局域網提供到桌面的100Mbps網絡帶寬。
我校采用思科公司的千兆交換產品Catalyst 2970G T(24口10/100/1000M)作為校園中心交換機;各建筑物主交換機選擇iSpirit3524F(24口10/100M,添加了一個千兆光纖接口模塊),中心的2970G T與各建筑物的3524F作千兆光纖連接,為此網控中心所在的行政樓外,其它三棟建筑采用了三條千兆連接成網絡主干;此外,中心2970G T其它端口可為多臺應用服務器提供高速網絡連接。
建筑物內各樓層交換機采用D-link1024R,與本樓主交換機3524F連接,再以100M連接到用戶桌面,必要時還可再下聯低端交換機擴展用戶數。考慮到各交換機都有多個100M端口,級聯時可采用Fast Etherchannel(快速以太網通道)技術,將兩交換機的2-4對100M或10/100M端口并行連接起來,使級聯帶寬成倍增加,同時提供線路冗余,其中任一條鏈路的斷線不會妨礙其它鏈路繼續傳輸數據,從而保障運行的可靠性。自從網絡建成后有些問題是管理員必須去面對的:外網設備telnet本網絡設備;每臺電腦無法分配一個IP地址;師生任意登陸網絡設備;師生之間的數據可任意訪問等。網絡管理員針對以上的問題,可以選擇防火墻技術來達到我們的要求。
1 防火墻的基本設置
在網絡安全中,除了采用網絡技術措施之外,加強網絡的安全管理也非常的重要,制定相關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
校園網進入校園已經很多年了,由于受到上級部門的保護,所面臨的威脅要稍微小一些,盡管如此,作為網管員也應該提高安全的意識,從理論、技術、規章制度方面杜絕本校的網絡不受侵犯。
參考文獻:
[1]劉東華.網絡與通信安全[M].北京:人民郵電出版社,2002.
[2]劉淵.因特網防火墻技術[M].北京:機械工業出版社,2001.
篇(5)
當前,網絡安全問題主要來源于兩個方面:一方面來源于Internet,Internet給企事業網絡帶來成熟的應用技術的同時,也把固有的安全問題帶給了企事業網絡;另一方面來源于企事業內部,因為是內部網絡,主要針對企事業內部的人員和企事業內部的信息資源,因此,企事業網絡同時又面臨自身所特有的安全問題。網絡的開放性和共享性在方便了人們使用的同時,也使得網絡很容易遭受到攻擊,而攻擊的后果是嚴重的,諸如重要數據被人竊取、服務器不能提供服務等等。要想解決網絡的安全問題,我們就要從網絡的設計和使用兩方面著手進行分析處理。
1 中小企事業單位網絡設計原則
由于所處行業不同,各企事業單位的網絡結構也存在著一定的差異。但總的來說,網絡的設計原則是一致的。
(1)實用性和經濟性,根據中小企事業單位的特點,網絡系統建設應始終貫徹面向應用、注重實效的方針,堅持實用、經濟的原則,建設企事業單位的網絡系統。
(2)先進性和成熟性。網絡系統設計既要采用先進的概念、技術和方法,又要注意結構、設備、工具的相對成熟,不但能反映當今的先進水平,而且具有發展潛力,能保證在未來若干年內網絡仍占領先地位。
(3)可靠性和穩定性。在考慮技術先進性和開放性的同時,還應從系統結構、技術措施、設備性能、系統管理、廠商技術支持及維修能力等方面著手,確保系統運行的可靠和穩定,達到最大的平均無故障時間。
(4)安全性和保密性。在網絡系統設計中,既要考慮信息資源的充分共享,更要注意信息的保護和隔離,因此系統應分別針對不同的應用和不同的網絡通信環境,采取不同的安全措施,包括系統安全機制、數據存取的權限控制等。
(5)可擴展性和易維護性。為了適應系統變化的要求,必須充分考慮以最簡便的方法、最低的投資,實現系統的擴展和維護,采用可網管產品,降低了人力資源的費用,提高網絡的易用性。
2 網絡設計階段安全解決方案
網絡安全問題貫穿于網絡設計和使用階段。在網絡設計階段可采取的網絡安全措施主要有以下幾種:
(1)物理措施。加強對網絡關鍵設備(如交換機、路由器等)的保護,制定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源(UPS)等措施,確保網絡關鍵設備的正常運行。
(2)網絡分段。目前,大多數中小企事業單位網絡采用以廣播為基礎的以太網,任何兩個節點之間的通信數據包,可以被處在同一以太網上的任何一個節點的網卡所截取。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息。網絡分段就是將非法用戶與網絡資源相互隔離,從而達到限制用戶非法訪問的目的。
(3)硬件防火墻技術。防火墻在網絡安全的實現當中扮演著重要的角色。防火墻通常位于企事業網絡的邊緣,這使得內部網絡與Internet之間或者與其他外部網絡互相隔離,并限制網絡互訪從而保護企業內部網絡。設置防火墻的目的都是為了在內部網與外部網之間設立唯一的通道,簡化網絡的安全管理。
(4)VLAN技術。選擇VLAN技術可較好地從鏈路層實施網絡安全保障。VLAN指通過交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡,它依靠用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網,劃分的依據可以是設備所連端口、用戶節點的MAC地址等。該技術能有效地控制網絡流量、防止廣播風暴,還可利用MAC層的數據包過濾技術,對安全性要求高的VLAN端口實施MAC幀過濾。而且,即使黑客攻破某一虛擬子網,也無法得到整個網絡的信息。
(5)硬件隔離設置。對于安全性能要求較高的終端,可采用硬件隔離技術,物理上徹底隔斷兩個網絡環境,針對不同安全級別網絡的需求,可采用終端級隔離、信道級隔離和網絡級隔離三種方案,確保信息的安全。
3 影響網絡安全的幾種錯誤使用習慣
盡管在網絡設計階段我們采取了種種安全措施,但在使用過程中仍不可避免受到安全問題的困擾,這要從網絡具體使用人員的錯誤使用習慣說起。
(1)不恰當的密碼使用。密碼是最簡單的安全形式,如果密碼為空或者是過于簡單(如“123456”或者是“admin”),未經授權的使用者可以很容易去瀏覽敏感數據。如果密碼中既包含字母也包含數字,并且既有大寫也有小寫,那么密碼就會更安全。還有一點值得注意的就是密碼要經常更換。
(2)忽視安全補丁。在你的操作系統中,大多數會存在著安全漏洞。沒有任何一種軟件是完美的,一旦一個缺陷或是漏洞被發現,經常就會在很短的一段時間內被黑客和惡意程序利用,對用戶產生巨大的危害。因此,盡快安裝安全補丁是必要的,也是必須的。
(3)不安裝殺毒軟件。沒有安裝殺毒軟件的計算機直接連在網絡上是不安全的。你的個人信息隨時都可能被黑客或者惡意程序所監控。因此,在使用網絡或是無線網卡聯網之前,要先裝上殺毒軟件。理論上來說,這種軟件應該包含病毒防護、間諜軟件掃描以及防止惡意軟件在后臺安裝程序等功能。安裝后及時升級病毒庫是很關鍵的。這樣能確保殺毒軟件監測到最新的病毒和惡意軟件,保證用戶的電腦可以更加安全地運行。
(4)不使用加密技術。儲存和傳遞未加密的數據等于是把這些數據公之于眾。在銀行業和信用卡中,加密技術尤為重要。
4 網絡使用階段安全防范措施
以上幾種錯誤使用習慣經常出現的根本原因就是用戶缺少安全意識。未受網絡安全培訓的電腦使用者經常成為病毒、間諜軟件和網絡釣魚的受害者,是與他們缺少安全意識分不開的。對員工進行安全意識教育和網絡安全策略的培訓至關重要。大量的調查研究已經證實,內部的人員已經成為網絡安全的最大潛在威脅,因為他們擁有最大的訪問權限。除了這一點外,網管人員還應根據單位的實際情況,做好如下安全防范措施:
(1)IP地址與MAC綁定。加大網絡監管力度,嚴格控制本單位IP地址的分配,做好IP地址使用備案,做好IP地址與MAC地址的綁定,避免發生因個別計算機遭到ARP攻擊而造成整個網絡癱瘓的問題。
(2)訪問控制,對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如:進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的權限,控制網絡設備配置的權限,等等。
(3)補丁管理。不但要對操作系統打補丁,還要為應用程序打補丁。為所有的系統和第三方的應用程序制定慎密的安全計劃。管理員要清醒地知道,哪些計算機和軟件需要更新和升級。
(4)數據加密。加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。
(5)安裝網絡防病毒系統。及時升級病毒庫,定期對計算機進行查殺,防止病毒對系統安全造成破壞。
篇(6)
關鍵詞:電力;網絡;安全;方案
Key words: power;network;security;plan
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0165-01
1電力行業的特點
電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到電網調度自動化,繼電保護及安全裝置、廠、站自動化,配電網自動化,電力負荷控制分析、電力市場交易、電力營銷、信息網絡系統等,發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。
2網絡安全分析
一般說來,在電力網絡系統中的安全防護主要包括三個方面:一是網絡拓撲的結構防護,即在后期當網絡的結構調整時,要注意增刪節點的合理性;二是硬件方面的防護,即組成網絡系統中的各類設備;三是軟件方面的防護,即網絡系統中存儲和傳輸的信息數據。
3網絡安全的防范技術
①配備安全評估系統,定期對電力網絡系統進行掃描,主動發現安全漏洞,及時修補。②采用全網統一的網絡防病毒系統,保護網絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統的可用性。③作為防火墻的補充,須在內部關鍵業務網段配備入侵檢測系統和防御系統,以防備來自內部的攻擊及外部通過防火墻的攻擊。④對關鍵業務信息跨地區的傳輸,采用VPN產品進行加密,保證傳輸過程中的信息安全。⑤對于網絡設備、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統。⑥配備災難恢復系統及冗余,防備意外的發生。⑦建立完善的網絡安全管理制度,防止出現人為的安全隱患。
4安全解決方案
4.1 總體設計思路和原則。在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術手段。使用防火墻產品劃分網絡區域,對需要保護的區域進行網絡層的訪問控制。正確使用系統中已有的安全機制,各系統通常包含了基本的安全機制,如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統可被利用的漏洞。采用專用產品強化系統中對安全構成威脅的薄弱環節(包括防病毒)。用必要和有效的監控和審查機制保證安全機制的有效性,安全策略的正確性;定期審查。持續監控,部署必要的技術和產品在安全機制失效和災難的情況下采取正確、及時、有效的措施。及時報警,以爭取管理和技術人員的及時介入。在入侵正在進行時自動或通過人員干預終止威脅系統安全的行動。系統遭到破壞是在盡可能短的時間內回復系統的運行。
4.2 網絡安全產品的部署
①防火墻的配置:作為保護電力系統內部網免遭外部攻擊,最有效的措施就是分別在電力系統各級內部網與外部廣域網之間放置防火墻,通過設置有效的安全策略,做到對電力系統內部網的訪問控制。不改變原來網絡拓撲結構,且保證通訊速度不受較大影響,可以配置使用基于狀態檢測包過濾技術上的流過濾技術的防火墻――硬件防火墻系統。
②入侵監測系統的配置:為了防范來自電力系統內部網絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統內部網各重要網段配備入侵檢測系統,通過對網絡行為的監視,來識別網絡的入侵的行為。實時監視網絡上正在進行通信的數據流,分析網絡通訊會話軌跡,反映出內外網的聯接狀態;通過內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊的情況,查詢網絡事件,進行相應的響應;能根據所發生的網絡安全事件,啟用配置好的報警方式,比如Email、聲音報警等;提供網絡數據流量統計功能,能夠記錄網絡通信的所有數據包,對統計結果提供數表與圖形兩種顯示結果,為事后分析提供依據;默認預設了很多的網絡安全事件,保障客戶基本的安全需要;提供全面的內容恢復,支持多種常用協議;支持分布式結構,安裝于大型網絡的各個物理子網中,一臺管理器可管理多臺服務器,達到分布安裝,全網監控,集中管理。
③信息傳輸加密產品的配置:為了保護數據信息從發起端到接收端傳輸過程的安全性,在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機,由于網絡層加密設備可以實現網關到網關的加密與解密,因此,在每個有重要傳輸數據的網點只需配備一臺網絡層加密機。利用加密技術以及安全認證機制,保護信息在網絡上傳輸的機密性、真實性、完整性及可靠性。高加密強度的安全隧道,認證通信雙方的身份,實現基于應用的訪問控制。有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄。提供穿越防火墻的VPN應用模式,可以用直連的方式把通過認證的數據直接傳送到主機的應用程序;可以與第三方認證產品集成,提供更強的身份認證和訪問控制功能。
④防病毒系統部署。總之電力企業網絡的安全保障可從以下幾方面考慮:a.在電力企業網絡各節點處構筑防御(如防火墻),防止外網影響內網。b.建立一個統一、完善的安全防護體系,該體系不僅包括防火墻、網關、防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。c.在互聯網日益廣泛應用的今天,為保障電力企業網絡的安全,必需樹立全程安全的觀念。
參考文獻:
篇(7)
關鍵詞: 網絡安全技術;電力企業網絡安全;解決方案
Key words: network security technology;electric power enterprise network security;solutions
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)30-0175-02
0 引言
隨著社會科技的不斷發展,計算機網絡領域也在飛速發展,信息化社會時代即將到來。盡管網絡具有多層次、高效率、范圍廣等種種特點,但仍然存在著一些嚴重的問題,首當其沖的是網絡信息安全問題,本文也集中注意力來討論如何解決網絡信息安全問題。目前,計算機網絡的多聯性造成了信息能夠被多渠道的客戶端所接收,再加上一些企業在傳送信息時缺乏信息安全的防護意識,這也造成了網絡信息容易遭受一些非法黑客以及計算機病毒的侵害,因此,計算機網絡信息的安全性和保密性是目前所需要攻克的一大重要難題。計算機網絡的開放性造就了網絡信息安全隱患的存在,同時,我們在面對危機重重的計算機網絡,如何將信息安全、秘密地傳輸是擺在目前計算機網絡安全研究者們眼前的問題。據此,我們應針對企業的網絡結構體系來設計出一套適合的、先進的網絡安全防護方案,并搭配合適的網絡防護軟件,為電力企業營造一個安全的網絡空間。
1 電力企業網絡安全隱患分析
電力企業既可以從因特網中獲取重要信息,同時也能夠向因特網中發送信息,但由于因特網的開放性,信息的安全問題得不到保證,而根據公安部門的網絡調查來說,有將近半數的企業受到過網絡安全的侵害,而受到侵害的企業大部分都受到過病毒和黑客的攻擊,且受到了一定的損失。
根據上面的信息可以很明確的得出網絡安全防護的重要性,而影響計算機網絡安全的因素有很多種,其主要可以大致分成三種:一是人為無意中的失誤而導致出現安全危機;二是人為方面的惡意攻擊,也就是黑客襲擊;三是網絡軟件的漏洞。這三個方面的因素可以基本涵蓋網絡安全所受到的威脅行為并將之歸納如下:
1.1 病毒 病毒對于計算機來說就如同老鼠對于人類來說。“老鼠過街,人人喊打”,而病毒過街,人人避而趨之,它會破壞電腦中的數據以及計算機功能,且它對于硬件的傷害是十分大的,而且它還能夠進行自我復制,這也讓病毒的生存能力大大加強,由此可以得出其破壞性可見一斑。
1.2 人為防護意識 網絡入侵的目的是為了取得訪問的權限和儲存、讀寫的權限,以便其隨意的讀取修改計算機內的信息,并惡意地破壞整個系統,使其喪失服務的能力。而有一些程序被惡意捆綁了流氓軟件,當程序啟動時,與其捆綁的軟件也會被啟動,與此同時,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網絡的難度。除非用戶能夠禁止該程序的運行或者將相關軟件進行正確配置,否則安全問題永遠也解決不了。
1.3 應用系統與軟件的漏洞 網絡服務器和瀏覽器的編程原理都是應用了CGI程序,很多人在對CGI程序進行編程時只是對其進行適當的修改,并沒有徹底的修改,因此這也造成了一個問題,CGI程序的安全漏洞方面都大同小異,因此,每個操作系統以及網絡軟件都不可能十全十美的出現,其網絡安全仍然不能得到完全解決,一旦與網絡進行連接,就有可能會受到來自各方面的攻擊。
1.4 后門與木馬程序 后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
1.5 安全配置的正確設置 一些軟件需要人為進行調試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大,其中可能存在的隱患會被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設計人員,因此他們對于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現,黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多。
2 常用的網絡安全技術
2.1 殺毒軟件 殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件,利用殺毒軟件來對網絡進行安全保護是最為普通常見的技術方案,它的安裝簡單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來殺毒的,功能方面比較局限,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網絡的發展,殺毒技術也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用。
2.2 防火墻 防火墻是與網絡連接間進行一種預定義的安全策略,對于內外網通信施行訪問控制的一種安全防護措施。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻,軟件防火墻是利用軟件來在內部形成一個防火墻,價格較為低廉,其功能比較少,僅僅是依靠自定的規則來限制非法用戶進行訪問;第二種是硬件防火墻,硬件防火墻通過硬件和軟件的結合來講內外部網絡進行隔離,其效果較好,但價格較高,難以普及。但防火墻并沒有想象中的那樣難以破解,擁有先進的技術仍然能夠破解或者繞過防火墻對內部數據進行訪問,因此想要保證網絡信息安全還必須采取其他的措施來避免信息被竊取或篡改,如:數據加密、入侵檢測和安全掃描等等措施。值得一提的是防火墻只能夠防護住來自外部的侵襲,而內部網絡的安全則無法保護,因此想要對電力企業內部網絡安全進行保護還需要對內部網絡的控制和保護來實現。
2.3 數據加密 數據加密技術可以與防火墻相互配合,它的出現意味著信息系統的保密性和安全性進一步得到提高,秘密數據被盜竊,偵聽和破壞的可能性大大降低。數據加密技術還衍生出文件加密和數字簽名技術。這兩種技術可以分為四種不同的作用,為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。數據傳輸加密主要針對數據在傳輸中的加密作用,主要可以分成線路加密和端口加密這兩種基本方法;數據儲存加密技術是在數據儲存時對其進行加密行為,使數據在儲存時不被竊取;數據完整性判別技術是在數據的傳輸、存取時所表現出來的一切行為的驗證,是否達到保密要求,通過對比所輸入的特征值是否與預先設定好的參數相符來實現數據的安全防護;數據加密在外所表現出來的應用主要為密鑰,密鑰管理技術是為了保證數據的使用效率。
數據加密技術是將在網絡中傳輸的數據進行加密從而保證其在網絡傳輸中的安全性,能夠在一定程度上防止機密信息的泄漏。同時,數據加密技術所應用的地方很廣泛,有信息鑒別、數字簽名和文件加密等技術,它能夠有效的阻止任何對信息安全能夠造成危害的行為。
2.4 入侵檢測技術 網絡入侵檢測技術是一種對網絡進行實時監控的技術,它能夠通過軟、硬件來對網絡中的數據進行實時地檢測,并將之與入侵數據庫進行比較,一旦其被判定為入侵行為,它能夠立即根據用戶所設定的參數來進行防護,如切斷網絡連接、過濾入侵數據包等等。因此,我們可以將入侵檢測技術當做是防火墻的堅強后盾,它能夠在不影響網絡性能的情況下對齊進行監聽,并對網絡提供實時保護,使得網絡的安全性能大大提升。
2.5 網絡安全掃描技術 網絡安全掃描技術是檢測網絡安全脆弱性的一項安全技術,它通過對網絡的掃描能夠及時的將網絡中的安全漏洞反映給網絡管理員,并客觀的評估網絡風險。利用網絡完全掃描技術能夠對局域網、互聯網、操作系統以及安全漏洞等進行服務,并且可以檢測出操作系統中存在的安全漏洞,同時還能夠檢測出計算機中是否被安裝了竊聽程序,以及防火墻可能存在的安全漏洞。
3 單利企業網絡安全解決方案
3.1 物理隔離 物理隔離指的是從物理上將網絡上的潛在威脅隔離掉。其主要表現為沒有連接、沒有包轉發等等。
3.2 網絡系統安全解決方案 網絡服務器的操作系統是一個比較重要的部分,網絡操作系統最重視的性能是穩定性和安全性。而網絡操作系統管理著計算機軟硬件資源,其充當著計算機與用戶間的橋梁作用。因此,我們一般可以采用以下設置來對網絡系統安全進行保障:
①將不必要的服務關閉。②為之制定一個嚴格的賬戶系統。③將賬戶權限科學分配,不能濫放權利。④對網絡系統進行嚴謹科學的安全配置。
3.3 入侵檢測方案 目前,電力企業網絡防護體系中,僅僅是配置了傳統的防火墻進行防護。但由于傳統防火墻的功能并不強大,再加上操作系統中可能存在的安全漏洞,這兩點為網絡信息安全帶來了很大的風險。根據對電力企業的詳細網絡應用分析,電力企業對外應用的服務器應當受到重點關注。并在這個區域置放入侵檢測系統,這樣可以與防火墻形成交叉防護,相得益彰。
3.4 安全管理解決方案 信息系統安全主要是針對日常防護工作,應當根據國家法律來建立健全日常安全措施和安全目標,并根據電力企業的實際安全要求來部署安全措施,并嚴格的實施貫徹下去。
4 結束語
“魔高一尺,道高一丈”。不管攻擊方式多么新奇,總有相應的安全措施的出現。而網絡安全是一個綜合的、交叉的科學領域,其對多學科的應用可以說是十分苛刻的,它更強調自主性和創新性。因此,網絡安全體系建設是一個長期的、艱苦的工程,且任何一個網絡安全方案都不可能解決所有的安全問題。電力企業的網絡安全問題要從技術實踐上、理論上、管理實踐上不斷地深化、加強。
參考文獻:
篇(8)
1. VMware和虛擬蜜網概述
1.1 VMware
VMware是目前虛擬技術的主流產品,同時也是VMware技術首次在真正意義上實現了虛擬化技術向PC服務器的移植。基于VMware技術的虛擬機允許同一個PC服務器支持數個操作系統,更加可貴的是,每一個Guest OS(子操作系統)均擁有一個獨立的VM(Virtual Machine,虛擬機),即相當于擁有一個獨立的PC機,每一個VM均能夠與其他的VM進行通訊和對話。
1.2 虛擬蜜網
了解虛擬蜜網之前必須要了解蜜罐和蜜網。首先,蜜罐主要是指故意吸引攻擊者進行攻擊,而后對其攻擊行為進行計算,簡單來說,蜜罐就是誘惑攻擊的計算機,進而通過信息的收集和分析,查看系統是否存在漏洞以及惡意攻擊的最新形勢。其次,蜜網則是交互水平非常高的蜜罐,通過水平非常高的交互作用,我們則能夠非常清晰的了解攻擊者入侵系統的方式、手段,尤其是原理和交互作用的發生形式。最后,虛擬蜜網則是利用一臺而非多臺電腦實現蜜網作用的解決方案。因為利用虛擬技術可以讓一個真實的物理平臺同時支持多個獨立的操作系統,利用VMware技術可以實現在同一個主機系統上運行多個不同的相互獨立的虛擬系統,并構成虛擬的蜜網。
2. 虛擬蜜網的建設方案分析
2.1 安裝VMware
利用VMware,可以在相同的時間內同時導入多個操作系統,這些操作系統相互獨立運行。首先,依照常規程序安裝"Host OS"(即基礎操作系統);其次,"Host OS"安裝完畢之后,在其上安裝VMware;最后,安裝相應的Guest OS(子操作系統),使這些Guest OS(子操作系統)能夠在虛擬環境之下運行。
2.2 配置VMware
篇(9)
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
隨著網絡時代的發展,網絡安全問題成了當今社會不得不注意的重要問題,防范網絡安全隱患應該從每個細節抓起,提高網絡安全技術水平,加強網絡信息管理,從根本上塑造一個和諧的網絡環境。
2 網絡安全的重要性
2.1 網絡安全隱患的危害
(1)泄露私人信息。在信息化時代里,由于電腦等網絡工具不斷普及,網絡也滲透到各行業以及私人生活中。人們利用網絡進行資料的收集、上傳、保存,在共享的資源模式中,形成了信息的一體化。同時,網絡中也儲存著大量的私人信息,一旦信息泄密,就會飛速流傳于互聯網中,帶來網絡輿論,惡劣情況下還會造成網絡人身攻擊。
(2)危及財產安全。隨著網絡一卡化的運用,人們不用麻煩的隨身攜帶大量財物,只需要幾張卡片就能進行各類消費,在一卡化模式的運作下,網絡也最大化地便利了人們。如今,由網絡芯卡衍生出了更高端的消費方式,常見的微信轉賬、微信紅包、支付寶等支付手段,只需在手機網絡中就能實現網絡消費,為網絡數字時展撐起了一片天。而在這樣的環境背后,網絡消費卻潛藏著巨大的財產安全隱患。密碼是數字時代的重要組成部分,網絡中的眾多信息都牽涉著密碼,但是密碼并非不可破譯的,一旦被危險的木馬軟件抓到漏洞,無疑等于是鑿開了保險柜的大門。在以牟取利益為宗旨的經濟犯罪中,網絡經濟犯罪占據著極大的比例,無論個人還是企業,其經濟財產安全都受到網絡安全隱患嚴重的威脅。
2.2 提高網絡安全技術水平的必要性
首先,提高網絡安全技術水平有利于塑造一個干凈的網絡氛圍,可以使各行業在安全的網絡環境中和諧發展。其次,提高網絡安全技術水平有利于打擊網絡違法犯罪,保護公民隱私權、財產權,維護社會安定。最后,提高網絡安全技術水平就是保障國家經濟不受損害,保證國家國防安全,是國家科學技術水平的綜合體現。
3 對網絡安全隱患主要形式的分析
3.1 操作系統的漏洞
任何計算機操作系統都有著自身的脆弱性,因此其被稱之為操作系統的漏洞。操作系統自身的脆弱性一旦被放大,就會導致計算機病毒通過系統漏洞直接入侵。不僅如此,操作系統的漏洞具有推移性,會根據時間的推移,在不斷解決問題的過程中不斷衍生,從解決了的舊漏洞中又產生新的漏洞,周而復始,長期存在于計算機系統之中。不法者通過系統漏洞可以利用木馬、病毒等方式控制電腦,從而竊取電腦中重要的信息和資料,是當今網絡安全隱患存在的主要形式之一。
3.2 惡意代碼的攻擊
惡意代碼的概念并不單指病毒,而是一種更大的概念。病毒只是惡意代碼所包含的一種,網絡木馬、網絡蠕蟲、惡意廣告也從屬于惡意代碼。惡意代碼的定義是不必要的、危險的代碼,也就是說任何沒有意義的軟件都可能與某個安全策略組織產生沖突,惡意代碼包含了一切的此類軟件。通常情況下,黑客就是惡意代碼的撰寫者,一般黑客受人雇傭,旨在通過非法的侵入盜取機密信息,或者通過破壞企業計算機系統,非法獲取經濟利益,形成行業惡性競爭。現在的網絡環境中,惡意代碼是最常見的網絡安全隱患,常隱藏在正常的軟件或網站之中,并且不易被發現,滲透性和傳播性都非常強,具有極大的威脅性。
4 網絡安全的解決方案
4.1 設置防火墻
防火墻是一種集安全策略和控制機制為一體的有效防入侵技術,是指通過網絡邊界所建立的安全檢測系統來分隔外部和內部網絡,并明確限制內部服務與外部服務的權限,可以實際阻擋相關攻擊性網絡入侵。防火墻的基本類型有六種,分別是復合型、過濾型、電路層網關、應用層網關、服務及自適應技術。在目前的大多數企業中,都運用到了防火墻技術。
4.2 對訪問進行監控
訪問監控是在對網絡線路的監視和控制中,檢查服務器中的關鍵訪問,從而保護網絡服務器重要數據的一種防護技術。訪問監控技術通過主機本身的訪問控制,與防火墻、安全防護軟件等形成聯動,對所有通過網路的訪問進行嚴密監視和審核,以達到對計算機網絡安全的保護。
4.3 采用多重加密
網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程:首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式;其次是數據儲存的加密,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制;最后是數據的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中,加密技術也常能看見,比如在微信、微博、游戲賬號、郵箱等各大社交軟件中,都設有個人密碼,這是多重加密技術的第一層屏障,隨著高級別威脅的出現,第一層的密碼保護無法滿足數據安全的需要。因此,在社交軟件中就出現了動態碼、驗證碼、密保信息等更高級的數據保護措施,在多元的數據保護手段下就形成了多重加密的安全技術。
4.4 實名身份認證
網絡作為一種虛幻的構成,并沒有形成良好的秩序,要防范網絡安全隱患,就要加強現實生活對網絡信息的干預。采用實名身份認證能夠從實際生活中規范網絡言行,從另一個角度說,這是一種法律意義上的監控。在實名身份制的網絡認證下,便于法律的約束和治理,可以有效控制網絡犯罪,從根本上促進網絡世界的安全化與和諧化。
5 結束語
安全是一種概率性的詞,沒有絕對的安全,只有相對的安全。網絡世界也是一樣,絕對安全的網絡環境是不存在的,就好比只要有利益,就會有犯罪,網絡犯罪是會不斷滋生的。但是,網絡安全的隱患是可以防范的,正確的運用信息技術,加強網絡安全的管理,在網絡法律的有效制約中,就能拒各種“網絡毒瘤”于網絡的大門之外,共同塑造一個干凈安全的新信息時代。
參考文獻
[1] 李春曉.校園網網絡安全技術及解決方案分析[J].電子測試,2013,18:100-101.
[2] 關勇.網絡安全技術與企業網絡安全解決方案研究[J].電子技術與軟件工程,2015,05:227.
篇(10)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網絡安全概述
1.1 網絡病毒
(1)計算機感染病毒的途徑:校園內部網感染和校園外部網感染。
(2)病毒入侵渠道:來自Internet 或外網的病毒入侵、網絡郵件/群件系統、文件服務器和最終用戶。主要的病毒入口是Internet,主要的傳染方式是群件系統。
(3)計算機病毒發展趨勢:病毒與黑客程序相結合,病毒破壞性更大,制作病毒的方法更簡單,病毒傳播速度更快,傳播渠道更多,病毒的實時檢測更困難。
(4)切斷病毒源的途徑:要防止計算機病毒在網絡上傳播、擴散,需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源。
1.2 網絡攻擊
(1)校園網與Internet 相連,面臨著遭遇攻擊的風險。
(2)校園網內部用戶對網絡的結構和應用模式都比較了解,存在的安全隱患更大一些。
(3)目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。
(4)存在“重技術、輕安全、輕管理”的傾向。
(5)服務器與系統一般都沒有經過細密的安全配置。
2 校園網絡安全分析
2.1 物理安全分析
網絡的物理安全風險主要有環境事故(如地震、水災、火災、雷電等)、電源故障、人為操作失誤或錯誤、設備被盜或被毀、電磁干擾、線路截獲等。
2.2 網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡系統的安全性。從結構上講,校園網可以分成核心、匯聚和接入三個層次;從網絡類型上講,可以劃分為教學子網、辦公子網、宿舍子網等。其特點是接入方式多,包括撥號上網、寬帶接入、無線上網等各種形式,接入的用戶類型也非常復雜。
2.3 系統的安全分析
系統安全是指整個網絡的操作系統和網絡硬件平臺是否可靠且值得信賴,其層次分為鏈路安全、網絡安全、信息安全。目前,沒有完全安全的操作系統。
2.4 應用系統的安全分析
應用系統的安全是動態的、不斷變化的,涉及到信息、數據的安全性。
2.5 管理的安全風險分析
安全管理制度不健全、責權不明確及缺乏可操作性等,都可能引起管理安全的風險。
3 校園網絡安全解決方案
3.1 校園內部網絡安全方案
3.1.1 內網病毒防范
在網絡的匯聚三層交換機上實施不同的病毒安全策略。網絡通過在交換機上設置相應的病毒策略,配合網絡的認證客戶端軟件,能偵測到具體的計算機上是否有病毒。
3.1.2 單機病毒防范
教師機安裝NT 內核的操作系統,使用NTFS 格式的分區;服務器可以使用Windows Server甚至UNIX或類UNIX系統。學生機安裝硬盤還原卡、保護卡或者還原精靈,充分利用NTFS分區的“安全”特性,設置好各個分區、目錄、文件的訪問權限。安裝簡單的包過濾防火墻。
3.1.3 內部網絡安全監控
采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機,能把網絡訪問安全控制前移到用戶的接入點。利用三層交換機的網絡監控軟件,對網絡進行即時監控。
3.1.4 防毒郵件網關系統
校園網網關病毒防火墻安裝在Internet 服務器或網關上,在電腦病毒通過Internet 入侵校園內部網絡的第一個入口處設置一道防毒屏障,使得電腦病毒在進入網絡之前即被阻截。
3.1.5 文件服務器的病毒防護
服務器上安裝防病毒系統,可以提供系統的實時病毒防護功能、實時病毒監控功能、遠程安裝和遠程調用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。
3.1.6 中央控制管理中心防病毒系統
建立中央控制管理中心系統,能有效地將跨平臺、跨路由、跨產品的所有防毒產品的管理綜合起來,使管理人員能在單點實現對全網的管理。
3.2 校園外部網絡安全方案
3.2.1 校園網分層次的拓撲防護措施
層次一是中心級網絡,主要實現內外網隔離、內外網用戶的訪問控制、內部網的監控、內部網傳輸數據的備份與稽查;層次二是部門級,主要實現內部網與外部網用戶的訪問控制、同級部門間的訪問控制、部門網內部的安全審計;層次三是終端/個人用戶級,主要實現部門網內部主機的訪問控制、數據庫及終端信息資源的安全保護。
3.2.2 校園網安全防護要點
(1)防火墻技術。目前,防火墻分為三類,包過濾型防火墻、應用型防火墻和復合型防火墻(由包過濾與應用型防火墻結合而成)。利用防火墻,可以實現內部網與外部網絡之間或是內部網不同網絡安全域的隔離與訪問控制,保證網絡系統及網絡服務的可用性。
(2)防火墻設置原則。一是根據校園網安全策略和安全目標,遵從“不被允許的服務就是被禁止”的原則;二是過濾掉以內部網絡地址進入路由器的IP包和以非法IP地址離開內部網絡的IP包;三是在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用;四是定期查看防火墻訪問日志,及時發現攻擊行為和不良的上網記錄;五是允許通過配置網卡對防火墻進行設置,提高防火墻管理的安全性。
(3)校園網部署防火墻。系統中使用防火墻,在內部網絡和外界Internet之間隔離出一個受屏蔽的子網,其中WWW、E-mail、FTP、DNS 服務器連接在防火墻的DMZ區,對內、外網進行隔離。內網口連接校園網內網交換機,外網口通過路由器與Internet 連接。
(4)入侵檢測系統的部署。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,可以彌補防火墻相對靜態防御的不足。根據校園網絡的特點,將入侵檢測引擎接入中心交換機上,對來自外部網和校園網內部的各種行為進行實時檢測。
(5)漏洞掃描系統。采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告。
3.2.3 校園網防護體系
構造校園網“包過濾防火墻+NAT+計費++VPN+網絡安全檢測+監控”防護體系,具體解決的問題是:內外網絡邊界安全,防止外部攻擊,保護內部網絡;隔離內部不同網段,建立VLAN;根據IP地址、協議類型、端口進行過濾;內外網絡采用兩套IP地址,需要網絡地址轉換NAT功能;通過IP地址與MAC地址對應防止IP欺騙;基于用戶和IP地址計費和流量統計與控制;提供應用服務,隔離內外網絡;用戶身份鑒別、權限控制;支持透明接入和VPN 及其管理;網絡監控與入侵檢測。
4 校園網絡運營安全
4.1 認證的方式
網絡運營是對網絡用戶的管理,通過“認證的方式”使用網絡。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二層交換機上實現,需要接入的所有交換機都支持802.1x協議,實現整網的認證。
(2)基于流的認證方式。指交換機可以用基于用戶設備的MAC地址、VLAN、IP等實現認證和控制,能解決傳統802.1x無法解決但對于運營是十分重要的一些問題,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客戶端機器上安裝服務器軟件實現多人共用一個賬號上網的現象非常普遍,給學校的運營帶來很大的損失。使用三層交換機上的802.1x擴展功能和802.1x客戶端,防止非認證的用戶借助軟件從已認證的端口使用服務或訪問網絡資源,做到學校提供一個網絡端口只能一個用戶上網。
4.3 賬戶管理
學生是好奇心強的群體,假冒DHCP SERVER和IP、MAC給學校的運營管理帶來很大的麻煩。通過匯聚三層交換機和客戶端軟件配合,發現有假冒的DHCP SERVER,立即封掉該賬戶。
5 校園網絡的訪問控制策略
5.1 建立并嚴格執行規章制度
規章制度作為一項核心內容,應始終貫穿于系統的安全生命周期。
5.2 身份驗證
對用戶訪問網絡資源的權限進行嚴格的認證和控制。
5.3 病毒防護
主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。
6 校園網絡安全監測
校園網絡安全監測可采用以下系統或措施:入侵檢測系統;Web、E-mail、BBS的安全監測系統;漏洞掃描系統;網絡監聽系統;在路由器上捆綁IP和MAC地址。這些系統或措施在不影響網絡性能的情況下能對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
7 校園網絡系統配置安全
7.1 設置禁用
禁用Guest賬號;為Administrator設置一個安全的密碼;將各驅動器的共享設為不共享;關閉不需要的服務,運用掃描程序堵住安全漏洞,封鎖端口。
7.2 設置IIS
通過設置,彌補校園網服務器的IIS 漏洞。
7.3 運用VLAN 技術來加強內部網絡管理VLAN 技術的核心是網絡分段,網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中,通常采用二者相結合的方法。
7.4 遵循“最小授權”原則
指網絡中的賬號設置、服務配置、主機間信任關系配置等都應為網絡正常運行所需的最小限度,這可以將系統的危險性大大降低。
7.5 采用“信息加密”技術
包括算法、協議、管理在內的龐大體系。加密算法是基礎,密碼協議是關鍵,密鑰管理是保障。
8 校園網絡安全管理措施
安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。
9 結束語
校園網安全是一個動態的發展過程,應該是檢測、監視、安全響應的循環過程。確定安全技術、安全策略和安全管理只是一個良好的開端,只能解決60%~90%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等,這些都是對信息系統安全的挑戰。
參考文獻:
[1]孫念龍.后門防范技巧[J].網管員世界,2005(6).
[2]段新海.校園網安全問題分析與對策[J].中國教育網絡,2005(3).
篇(11)
從用戶的角度,他們希望涉及到個人和商業的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網絡運營商和管理者的角度來說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅,制止和防御網絡“黑客”的攻擊。
網絡安全根據其本質的界定,應具有以下基本特征:(1)機密性。是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網絡系統的各個層次上都有不同的機密性及相應的防范措施。(2)完整性。是指信息未經授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性;(3)可用性。是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息及相關資料。
二、網絡安全現狀分析
隨著計算機和通信技術的發展,網絡信息的安全和保密已成為一個至關重要且急需解決的問題。計算機網絡所具有的開放性、互連性和共享性等特征使網上信息安全存在著先天不足,再加上系統軟件中的安全漏洞以及所欠缺的嚴格管理,致使網絡易受攻擊,因此網絡安全所采取的措施應能全方位地針對各種不同的威脅,保障網絡信息的保密性、完整性和可用性。現有網絡系統和協議還是不健全、不完善、不安全的。
網絡安全是研究與計算機 科學 相關的安全問題,具體地說,網絡安全研究了安全的存儲、處理或傳輸信息資源的技術、體制和服務的發展、實現和應用。
每個計算機離不開人,網絡安全不僅依賴于技術上的措施,也離不開組織和 法律 上的措施。客戶/服務器計算模式下的網絡安全研究領域,一是OSI安全結構定義的安全服務:鑒別服務、數據機密、數據完整、訪問控制服務等;二是OSI安全結構定義的安全機制:加密、數字簽名、訪問控制、數據完整性、鑒別交換、通信填充等機制以及事件檢測、安全審查跟蹤、安全恢復;三是訪問控制服務:訪問控制服務中的安全技術有靜態分組過濾、動態分組過濾、鏈路層網關、應用層網關;四是通信安全服務:OSI結構通信安全服務包括鑒別、數據機密性和完整性和不可抵賴服務;五是網絡存活性:目前對Internet存活性的研究目的是開發一種能保護網絡和分布式系統免遭拒絕服務攻擊的技術和機制。
三、網絡安全解決方案
網絡安全是一項動態、整體的系統工程。網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網絡的安全性。(1)防病毒技術。網絡中的系統可能會受到多種病毒威脅,對于此可以采用多層的病毒防衛體系。即在每臺計算機,每臺服務器以及網關上安裝相關的防病毒軟件。由于病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣,故相應地在構建網絡防病毒系統時,應用全方位的 企業 防毒產品,實施層層設防、集中控制、以防為主、防殺結合的策略;(2)防火墻技術。防火墻技術是近年發展起來的重要網絡安全技術,其主要作用是在網絡入口處檢查網絡通信,根據用戶設定的安全規則,在保護內部網絡安全的前提下,保障內外網絡通信,提高內部網絡的安全。
(3)入侵檢測技術。入侵檢測系統是近年出現的新型 網絡 安全技術,目的是提供實時的入侵檢測及采取相應的防護手段。實時入侵檢測能力之所以重要,是因為它能夠同時對付來自內外網絡的攻擊;
(4)安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過對網絡的掃描,可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。如果說放火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然;(5)網絡安全緊急響應體系。網絡安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生變化。隨著時間和網絡環境的變化或技術的 發展 而不斷調整自身的安全策略,并及時組建網絡安全緊急響應體系,專人負責,防范安全突發事件。
四、網絡安全管理
