網(wǎng)絡(luò)安全防范辦法范文

時(shí)間:2024-02-27 17:50:49

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全防范辦法,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網(wǎng)絡(luò)安全防范辦法

篇1

傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全防范主要都是對網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、入侵檢測等方面加以設(shè)置,安全措施和相關(guān)配置通常都在網(wǎng)絡(luò)與外部進(jìn)行連接的端口處加以實(shí)施,采取這樣的網(wǎng)絡(luò)安全防范雖然能夠降低外部網(wǎng)絡(luò)帶來的安全威脅,但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)潛在的安全問題。

目前,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題的嚴(yán)重程度已經(jīng)遠(yuǎn)遠(yuǎn)超過了外部網(wǎng)絡(luò)帶來的安全威脅,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅成為了企業(yè)信息安全面臨的重大難題。但是,由于企業(yè)管理人員的網(wǎng)絡(luò)安全防范意識不強(qiáng),對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全問題不夠重視,甚至沒有對企業(yè)內(nèi)部網(wǎng)絡(luò)采取任何安全防范措施,因此導(dǎo)致了企業(yè)內(nèi)部網(wǎng)絡(luò)安全事故不斷增加,給企業(yè)帶來了重大經(jīng)濟(jì)損失和社會負(fù)面影響,怎樣能夠保證企業(yè)內(nèi)部網(wǎng)絡(luò)不受到任何威脅和侵害,已經(jīng)成為了企業(yè)在信息化發(fā)展建設(shè)過程中亟待解決的問題。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)的安全威脅

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)是其信息化建設(shè)過程中必不可少的一部分。而且,網(wǎng)絡(luò)應(yīng)用程序的不斷增多也使得企業(yè)網(wǎng)絡(luò)正在面臨著各種各樣的安全威脅。

2.1內(nèi)部網(wǎng)絡(luò)脆弱

企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊通常是利用企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范的漏洞實(shí)現(xiàn)的,而且,由于部分網(wǎng)絡(luò)管理人員對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范不夠重視,使得大部分的計(jì)算機(jī)終端都面臨著嚴(yán)重的系統(tǒng)漏洞問題,隨著內(nèi)部網(wǎng)絡(luò)中應(yīng)用程序數(shù)量的日益增加,也給計(jì)算機(jī)終端帶來了更多的系統(tǒng)漏洞問題。

2.2用戶權(quán)限不同

企業(yè)內(nèi)部網(wǎng)絡(luò)的每個(gè)用戶都擁有不同的使用權(quán)限,因此,對用戶權(quán)限的統(tǒng)一控制和管理非常難以實(shí)現(xiàn),不同的應(yīng)用程序都會遭到用戶密碼的破譯和非法越權(quán)操作。部分企業(yè)的信息安全部門對于內(nèi)部網(wǎng)絡(luò)的服務(wù)器管理不到位,更容易給網(wǎng)絡(luò)黑客留下可乘之機(jī)。

2.3涉密信息分散

由于部分企業(yè)內(nèi)部網(wǎng)絡(luò)的涉密數(shù)據(jù)存儲分布在不同的計(jì)算機(jī)終端中,沒有將這些涉密信息統(tǒng)一存儲到服務(wù)器中,又缺乏嚴(yán)格有效的監(jiān)督控制管理辦法。甚至為了方便日常辦公,對于涉密數(shù)據(jù)往往不加密就在內(nèi)部網(wǎng)絡(luò)中隨意傳輸,這就給竊取涉密信息的人員制造了大量的攻擊機(jī)會。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案

3.1網(wǎng)絡(luò)安全防范總體設(shè)計(jì)

即使企業(yè)內(nèi)部網(wǎng)絡(luò)綜合使用了入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等防護(hù)手段,也很難保證企業(yè)內(nèi)部網(wǎng)絡(luò)之間數(shù)據(jù)通信的絕對安全。因此,在本文設(shè)計(jì)的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范方案中,部署了硬件加密機(jī)的應(yīng)用,能夠保證對企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)通信進(jìn)行加密處理,從而加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。

3.2網(wǎng)絡(luò)安全體系模型構(gòu)建

企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系屬于水平與垂直分層實(shí)現(xiàn)的,水平層面上包括了安全管理、安全技術(shù)、安全策略和安全產(chǎn)品,它們之間是通過支配和被支配的模式實(shí)現(xiàn)使用的;垂直層面上的安全制度是負(fù)責(zé)對水平層面上的行為進(jìn)行安全規(guī)范。一個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)安全體系如果想保持一致性,必須包括用戶授權(quán)管理、用戶身份認(rèn)證、數(shù)據(jù)信息保密和實(shí)時(shí)監(jiān)控審計(jì)這四個(gè)方面。這四個(gè)方面的管理功能是共同作用于同一個(gè)平臺之上的,從而構(gòu)建成一個(gè)安全可靠、實(shí)時(shí)可控的企業(yè)內(nèi)部網(wǎng)絡(luò)。

1)用戶身份認(rèn)證

用戶身份認(rèn)證是保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的基礎(chǔ),企業(yè)內(nèi)部網(wǎng)絡(luò)中的用戶身份認(rèn)證包括了服務(wù)器用戶、網(wǎng)絡(luò)設(shè)備用戶、網(wǎng)絡(luò)資源用戶、客戶端用戶等等,而且,由于網(wǎng)絡(luò)客戶端用戶數(shù)量龐大,存在著更多的不安全、不確定性,因此,對于網(wǎng)絡(luò)客戶端用戶的身份認(rèn)證至關(guān)重要。

2)用戶授權(quán)管理

用戶授權(quán)管理是以用戶身份認(rèn)證作為基礎(chǔ)的,主要是對用戶使用企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)資源時(shí)進(jìn)行授權(quán),每個(gè)用戶都對應(yīng)著不用的權(quán)限,權(quán)限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)中的某些資源進(jìn)行訪問和使用,包括服務(wù)器數(shù)據(jù)資源的使用權(quán)限、網(wǎng)絡(luò)數(shù)據(jù)資源使用權(quán)限和網(wǎng)絡(luò)存儲設(shè)備資源使用權(quán)限等等。

3)數(shù)據(jù)信息保密

數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡(luò)中信息安全的核心部分,需要對企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通信的所有數(shù)據(jù)進(jìn)行安全管理,保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡(luò)中處于一個(gè)安全環(huán)境下進(jìn)行,從而保證對企業(yè)內(nèi)部網(wǎng)絡(luò)涉密信息和知識產(chǎn)權(quán)信息的有效保護(hù)。

4)實(shí)時(shí)監(jiān)控審計(jì)

實(shí)時(shí)監(jiān)控審計(jì)作為企業(yè)內(nèi)部網(wǎng)絡(luò)中必不可少的部分,主要實(shí)現(xiàn)的是對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全的實(shí)時(shí)監(jiān)控,定期生成企業(yè)內(nèi)部網(wǎng)絡(luò)安全評估報(bào)告,一旦企業(yè)內(nèi)部網(wǎng)絡(luò)出現(xiàn)安全問題時(shí),能夠及時(shí)匯總數(shù)據(jù),為安全事故的分析判斷提供有效依據(jù)。

4結(jié)論

目前,關(guān)于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防范問題一直是網(wǎng)絡(luò)信息安全領(lǐng)域研究的熱點(diǎn)問題,越來越多的企業(yè)將辦公系統(tǒng)應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中,但是由于企業(yè)工作人員的安全防范意識不強(qiáng),或者網(wǎng)絡(luò)操作不規(guī)范,都給企業(yè)內(nèi)部網(wǎng)絡(luò)帶來了更多的安全威脅。本文提出的企業(yè)內(nèi)部網(wǎng)絡(luò)安全防范設(shè)計(jì)方案,能夠有效解決多種內(nèi)部網(wǎng)絡(luò)的安全問題,具有一定的實(shí)踐應(yīng)用價(jià)值。

參考文獻(xiàn)

篇2

關(guān)鍵詞信息安全;PKI;CA;VPN

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術(shù)的飛速發(fā)展,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時(shí)刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進(jìn)行說明。

2信息系統(tǒng)現(xiàn)狀2.1信息化整體狀況

1)計(jì)算機(jī)網(wǎng)絡(luò)

某公司現(xiàn)有計(jì)算機(jī)500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中,各計(jì)算機(jī)在同一網(wǎng)段,通過交換機(jī)連接。

圖1

2)應(yīng)用系統(tǒng)

經(jīng)過多年的積累,某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個(gè)環(huán)節(jié),包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善,計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。

2.2信息安全現(xiàn)狀

為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目,基于當(dāng)時(shí)對信息安全的認(rèn)識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品,極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。

3風(fēng)險(xiǎn)與需求分析3.1風(fēng)險(xiǎn)分析

通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:

(1)經(jīng)營管理對計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng),計(jì)算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對網(wǎng)絡(luò)安全提出了更高的要求。

(2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證,加強(qiáng)對數(shù)據(jù)的備份,并運(yùn)用技術(shù)手段,提高數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:

(1)系統(tǒng)性不強(qiáng),安全防護(hù)僅限于網(wǎng)絡(luò)安全,系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。

目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識進(jìn)行的,主要工作集中于網(wǎng)絡(luò)安全,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證,對服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。

當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。

針對外部網(wǎng)絡(luò)安全,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。

美國聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn):超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。

(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢,存在一定的網(wǎng)絡(luò)安全隱患,產(chǎn)品亟待升級。

已購買的網(wǎng)絡(luò)安全產(chǎn)品中,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。

網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上,這是信息化建設(shè)的內(nèi)在要求,系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作。只有在建設(shè)的初期,在規(guī)劃的過程中,就運(yùn)用風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理的手段,用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。

3.2需求分析

如前所述,某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn),信息安全的需求主要體現(xiàn)在如下幾點(diǎn):

(1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò),也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此,要加強(qiáng)安全防護(hù)的整體布局,擴(kuò)大安全防護(hù)的覆蓋面,增加新的安全防護(hù)手段。

(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進(jìn)行升級或重新部署。

(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè),使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。

(4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù),做好事前、事中和事后的各項(xiàng)防范工作,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。

4設(shè)計(jì)原則

安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行,避免重復(fù)投入、重復(fù)建設(shè),充分考慮整體和局部的利益。

4.1標(biāo)準(zhǔn)化原則

本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)。

4.2系統(tǒng)化原則

信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮,既注重技術(shù)的實(shí)現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3規(guī)避風(fēng)險(xiǎn)原則

安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面,任何改造、添加甚至移動(dòng),都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí),優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā),設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。

4.4保護(hù)投資原則

由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應(yīng)的設(shè)施。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí),對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5多重保護(hù)原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。

4.6分步實(shí)施原則

由于某公司應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對安全體系的特性,尋求安全、風(fēng)險(xiǎn)、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費(fèi)用開支。

5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署

信息安全防范應(yīng)做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備,安全管理應(yīng)貫穿安全防范活動(dòng)的始終,如圖2所示。

圖2網(wǎng)絡(luò)與信息安全防范體系模型

信息安全又是相對的,需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計(jì)算機(jī)專業(yè)公司接觸,初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施,基本建成較完整的信息安全防范體系。

5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺,都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺,能夠通過這個(gè)安全平臺實(shí)現(xiàn)以下目標(biāo):

身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認(rèn)對方的身份。

數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。

數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?,通過哈希函數(shù)和數(shù)字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。

5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離

VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。

集中的安全策略管理可以對整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn),電子郵件存在著很大的安全隱患。

目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。首先,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級的組織和個(gè)人的證書由上一級的組織負(fù)責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個(gè)信任關(guān)系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。

5.4桌面安全防護(hù)

對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡(luò)安全事件,是來自于企業(yè)內(nèi)部。同時(shí),由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等,因此,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起,形成一個(gè)整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī),只需拔出智能密碼鑰匙,即可鎖定計(jì)算機(jī)。

3)文件加密系統(tǒng)

文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。

5.5身份認(rèn)證

身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設(shè)備,它內(nèi)置單片機(jī)或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證。

基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。

6方案的組織與實(shí)施方式

網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程,也為本方案的實(shí)施提供了借鑒。

圖3

因此在本方案的組織和實(shí)施中,除了工程的實(shí)施外,還應(yīng)重視以下各項(xiàng)工作:

(1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上,方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評估,明確需求所在,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報(bào)。

(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分,必要時(shí)可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據(jù)實(shí)際情況,可采取分地區(qū)、分階段實(shí)施的方式。

(4)在方案實(shí)施的同時(shí),加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè),使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。

7結(jié)論

本文以某公司為例,分析了網(wǎng)絡(luò)安全現(xiàn)狀,指出目前存在的風(fēng)險(xiǎn),隨后提出了一整套完整的解決方案,涵蓋了各個(gè)方面,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。

也希望通過本方案的實(shí)施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風(fēng)險(xiǎn)降到最低水平。

篇3

【關(guān)鍵詞】無線網(wǎng)絡(luò)安全;防范策略

無線網(wǎng)絡(luò)信息時(shí)代的不斷發(fā)展,無線網(wǎng)絡(luò)技術(shù)在社會各個(gè)領(lǐng)域都有著廣泛的應(yīng)用,由于無線網(wǎng)絡(luò)有著組網(wǎng)靈活、快捷高效的優(yōu)點(diǎn),使得無線網(wǎng)絡(luò)技術(shù)容易被大眾接受。對比傳統(tǒng)的有線網(wǎng)絡(luò)技術(shù),無線局域網(wǎng)結(jié)合無線通信技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)優(yōu)點(diǎn),在此基礎(chǔ)上建立的無線多IP通信網(wǎng)絡(luò)模式,使得通信模式從傳統(tǒng)固定化轉(zhuǎn)變?yōu)橐苿?dòng)化、個(gè)性化媒體信息方式,由于無線網(wǎng)絡(luò)能夠像傳統(tǒng)有線局域網(wǎng)一樣能夠建立以太網(wǎng)與令牌網(wǎng)絡(luò)。因此,無線網(wǎng)絡(luò)在流量發(fā)送與接收過程中存在許多不安全因素。

1無線網(wǎng)絡(luò)安全問題

1.1網(wǎng)絡(luò)公開性過強(qiáng)

無線網(wǎng)絡(luò)傳輸?shù)谋举|(zhì)是有線射頻技術(shù)將網(wǎng)絡(luò)信號通過介質(zhì)進(jìn)行傳播,是在無線電波傳播的基礎(chǔ)上,建立的一種開放式物理系統(tǒng)。由于無線電波傳遞的局限性,使得無線局域網(wǎng)都存在著信息接收范圍。在這個(gè)范圍內(nèi),用戶可以通過無線網(wǎng)絡(luò)接收器獲得射頻信號,但是如果范圍過大,超出家庭或企業(yè)的范圍之外,那么網(wǎng)絡(luò)攻擊者就能夠通過連入無線局域網(wǎng),對無線網(wǎng)所有者造成威脅。

1.2用戶防范意識不強(qiáng)

我國目前大部分無線網(wǎng)絡(luò)都沒有采取合理有效的安全保護(hù)措施,根據(jù)不完全統(tǒng)計(jì),社會上大概有50%左右無線網(wǎng)絡(luò)都沒有使用加密措施。沒有設(shè)置加密功能,可能會使得用戶使用的體驗(yàn)上升,但是不排除不法分子對網(wǎng)絡(luò)進(jìn)行攻擊,由于無線網(wǎng)絡(luò)的開放性較強(qiáng),無線局域網(wǎng)所有者瀏覽信息以及個(gè)人數(shù)據(jù)都能夠通過無線網(wǎng)絡(luò)攻擊方式竊取,對無線網(wǎng)所有者隱私權(quán)造成嚴(yán)重的威脅。

1.3攔截、竊聽網(wǎng)絡(luò)資源

目前,無線網(wǎng)絡(luò)攻擊者主要攻擊對象是未使用加密措施的公共無線網(wǎng)絡(luò),攻擊者主要攻擊方式是通過將其主機(jī)為802.11的無線網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)設(shè)定,將公共模式調(diào)節(jié)成監(jiān)聽模式,再使用相關(guān)竊聽軟件,對監(jiān)聽數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)終端分析,最后直接獲得需要的數(shù)據(jù),這類監(jiān)聽方式對未加密網(wǎng)絡(luò)的攻擊性極高,能夠獲取全部用戶網(wǎng)絡(luò)信息。除此之外,攻擊者還能夠使用一些特殊終端分析軟件來對通信進(jìn)行監(jiān)聽,目前社會上已知的主要攻擊設(shè)備是TCPDumpl、Ethrea。通過這類終端分析軟件獲取WEP密鑰,為攻擊者網(wǎng)絡(luò)資源的獲取打開通道。

1.4防止服務(wù)攻擊

目前,大部分無線網(wǎng)絡(luò)都是基于無線網(wǎng)絡(luò)協(xié)議802.11上建立的,由于無線網(wǎng)絡(luò)的特殊性,在無線網(wǎng)絡(luò)協(xié)議中存在一個(gè)巨大的安全漏洞,這個(gè)漏洞就是網(wǎng)絡(luò)協(xié)議可以被其他設(shè)備干擾并更改。網(wǎng)絡(luò)攻擊者可以在此漏洞基礎(chǔ)上更改無線網(wǎng)絡(luò)安全協(xié)議,讓網(wǎng)絡(luò)主機(jī)無法判斷外來者身份,使得網(wǎng)絡(luò)出現(xiàn)崩潰的情況,資源與信息的傳遞受到阻礙。由于攻擊設(shè)備頻率的可更改性,能夠讓網(wǎng)線局域網(wǎng)的無線頻譜出現(xiàn)紊亂,將大量網(wǎng)絡(luò)信號大規(guī)模輸送到集體無線網(wǎng)中,導(dǎo)致整個(gè)網(wǎng)絡(luò)環(huán)境的崩潰。

2無線網(wǎng)絡(luò)安全的防范策略

2.1合理安裝無線設(shè)備

由于無線局域網(wǎng)傳播介質(zhì)主要是依靠空氣進(jìn)行傳播,在無線局域網(wǎng)覆蓋的范圍內(nèi),所有的無線終端設(shè)備在此范圍內(nèi)都能夠連接到無線網(wǎng)絡(luò)。因此,用戶在安裝無線網(wǎng)絡(luò)設(shè)備過程中,需要考慮到自己實(shí)際需求,選擇合適的位置進(jìn)行安裝,確保使用范圍能夠被局域網(wǎng)覆蓋,限制外來用戶的訪問。

2.2應(yīng)用網(wǎng)絡(luò)加密技術(shù),建立用戶認(rèn)證連接模式

用戶安裝無線網(wǎng)絡(luò)的過程中,需要修改原定的用戶密碼,而且需要不定期進(jìn)行密碼的修改,防止惡意無線終端連接到無線局域網(wǎng),對用戶的個(gè)人隱私數(shù)據(jù)進(jìn)行竊取。目前,通用的無線網(wǎng)絡(luò)機(jī)密措施主要是通過DSSS技術(shù)進(jìn)行加密,DSSS技術(shù)能夠通過高頻率的無線電波,防止不被認(rèn)證用戶的干擾。除此之外,用戶也可以通過WEP以及WPA加密模式對無線網(wǎng)絡(luò)進(jìn)行多重保障,避免攻擊者的入侵,其中WEP加密是以40bit密鑰進(jìn)行編碼的加密措施,由于其加密的特殊性,使其與其它加密措施有著很大的不同,但是由于其算法強(qiáng)度低、變換率較差,導(dǎo)致WEP加密模式較易被破解,但是WPA加密模式相比于WPA加密模式更加嚴(yán)謹(jǐn)。目前,國家上無線網(wǎng)絡(luò)普遍使用的加密模式就是WPA,這種加密模式算法嚴(yán)謹(jǐn),可變性強(qiáng),使得不被授權(quán)終端設(shè)備很難連接到無線網(wǎng)絡(luò)。

3結(jié)語

隨著社會互聯(lián)信息化的程度不斷加深,無線網(wǎng)絡(luò)逐漸取代有線網(wǎng)絡(luò),而無線網(wǎng)絡(luò)安全問題也越來越得到人們重視。由于無線局域網(wǎng)傳輸介質(zhì)特殊性,使得無線網(wǎng)絡(luò)安全性難以得到保障。企業(yè)與個(gè)人無線網(wǎng)絡(luò)設(shè)定需要考慮多方面因素,不僅要對無線網(wǎng)絡(luò)進(jìn)行加密處理,更重要的是選擇合理的安裝位置,綜合實(shí)際使用范圍進(jìn)行考慮??偠灾?,無線網(wǎng)絡(luò)不存在絕對安全性,只有相對的安全性,只有用戶增強(qiáng)網(wǎng)絡(luò)安全防范意識,通過完善安全防范措施,根據(jù)實(shí)際情況進(jìn)行全方位考慮,改進(jìn)技術(shù)管理辦法,建構(gòu)真正意義上的安全無線網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]楊天化.淺談無線網(wǎng)絡(luò)安全及防范策略[J].浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報(bào),2010,02:67~70.

[2]陳亨坦.淺談無線網(wǎng)絡(luò)安全防范措施在高校網(wǎng)絡(luò)中的應(yīng)用[J].中國科技信息,2008,17:90+94.

[3]朱學(xué)兵,李爽.淺談無線網(wǎng)絡(luò)安全防范策略[J].中國新技術(shù)新產(chǎn)品,2009,16:23.

篇4

關(guān)鍵詞:安全系統(tǒng);計(jì)算機(jī)防火墻;資料信息安全

目前計(jì)算機(jī)防火墻作為一種安全屏障能夠又想降低網(wǎng)絡(luò)的基本犯罪率,較好的維護(hù)計(jì)算機(jī)的基本網(wǎng)絡(luò)信息安全。而想要加強(qiáng)計(jì)算機(jī)防火墻的安全屏障的建設(shè),同時(shí)提升目前網(wǎng)絡(luò)防范關(guān)鍵的技術(shù)手段,就需要從多個(gè)方面找尋其內(nèi)在聯(lián)系,并且在明確其重要內(nèi)涵的基礎(chǔ)之上,進(jìn)行創(chuàng)新,從而提出保護(hù)目前計(jì)算及網(wǎng)絡(luò)信息安全的新科技與新技術(shù),這也是計(jì)算機(jī)防火墻安全屏障與網(wǎng)絡(luò)防范技術(shù)在計(jì)算機(jī)安全網(wǎng)絡(luò)保護(hù)上未來的發(fā)展方向。

一、計(jì)算機(jī)防火墻安全屏障及網(wǎng)絡(luò)安全防范技術(shù)發(fā)展現(xiàn)狀

在計(jì)算機(jī)的基礎(chǔ)信息安全方面,大致可分為多種安全層面,其中不僅僅是計(jì)算機(jī)基礎(chǔ)硬件設(shè)備的安全保障、網(wǎng)絡(luò)信息安全保護(hù)系統(tǒng)等一系列軟件安全同時(shí)還有計(jì)算機(jī)之間發(fā)揮信息共享等多種作用的信息交流安全。所以計(jì)算機(jī)防火墻安全屏障對目前網(wǎng)絡(luò)系統(tǒng)而言是極為重要的[1],但是目前計(jì)算機(jī)網(wǎng)絡(luò)在防火墻技術(shù)這一方面仍存在著很多的不足,使得目前計(jì)算機(jī)防火墻安全屏障以及網(wǎng)絡(luò)安全防范技術(shù)不能夠滿足目前計(jì)算機(jī)信息網(wǎng)絡(luò)的安全發(fā)展需求,并且急需要進(jìn)行相應(yīng)的轉(zhuǎn)變。而通常防火墻崩潰或遭到攻擊的相關(guān)技術(shù)手段大致也可以分為多個(gè)部分,最為常見的就是攻擊技術(shù)中實(shí)際利用了防火墻中所允許的子網(wǎng)進(jìn)行掩護(hù)與偽裝從而對防火墻進(jìn)行相應(yīng)的攻擊、多種惡意攻擊同時(shí)還包括以附加信息以及服務(wù)器為載體的惡意攻擊等。想要針對這些攻擊技術(shù)進(jìn)行攻克,我們就需要在明確計(jì)算機(jī)防火墻技術(shù)的重要意義的同時(shí),進(jìn)一步提升現(xiàn)有的網(wǎng)絡(luò)安全防范技術(shù),從而來阻擋對于防火墻的非法攻擊、惡意攻擊。

二、加強(qiáng)計(jì)算機(jī)安全屏障建設(shè)并且提升網(wǎng)絡(luò)安全防范技術(shù)的具體措施

(一)將硬件防火墻與軟件防火墻有機(jī)結(jié)合起來。加強(qiáng)計(jì)算機(jī)安全屏障建設(shè)并且提升安全防范技術(shù)的最好的辦法就是硬件防火墻與軟件防火墻有機(jī)結(jié)合起來,將軟件防火墻合理進(jìn)行內(nèi)置,從綜合提升目前防火墻運(yùn)營水平。硬件防火墻的普遍成本較高,但是其安全系數(shù)較高,整個(gè)硬件防火墻以及內(nèi)置的軟件防火墻在某一程度而言都能夠較好的提供相應(yīng)的售后服務(wù)。實(shí)際防火墻用戶可以針對自身的基本情況去選擇如何合理配置防火墻資源保護(hù)。中小型企業(yè)應(yīng)該在安全信息管理方面給予更多的重視,所以應(yīng)該更加偏向于使用硬件防火墻,從而達(dá)到其提企業(yè)安全信息的目的。

(二)使用計(jì)算機(jī)防火墻安全保護(hù)新技術(shù)以適應(yīng)目前的安

全防護(hù)需求。目前防火墻對于基本信息網(wǎng)絡(luò)資料的保護(hù)能力越來越強(qiáng),歸根到底是日益發(fā)展的防火墻新技術(shù)的作用。我們可以更多傾向與針對原有的計(jì)算機(jī)防火墻技術(shù)進(jìn)行相應(yīng)的創(chuàng)新,并且使用新技術(shù)從而滿足目前的安全防護(hù)需求,提升安全防護(hù)能力。通常在進(jìn)行防火墻工作的過程之中都需要進(jìn)行相應(yīng)的IP地址的翻譯工作,所以我們可以針對這個(gè)方向進(jìn)行著手,從而更新地質(zhì)翻譯的實(shí)際設(shè)置方式。同時(shí)還有靜態(tài)網(wǎng)絡(luò)地址翻譯以及端口地址翻譯等多種翻譯方式。除此之外也可以通過防火墻基本類型進(jìn)行技術(shù)上的提升與使用,大致可以分為包過濾性防火墻、型防火墻以及監(jiān)測型防火墻等多種防火墻形式,可以在掌握不同類型防火墻的基本特點(diǎn)的情況之下,針對不同的基本防火墻管理需求,使用不同的防火墻管理技術(shù)手段及方式。例如使用服務(wù)器的過程之中,就是利用服務(wù)器第三方交流的特質(zhì),而通過避免了內(nèi)部系統(tǒng)與外部系統(tǒng)信息的直接接觸與交流,從而提升安全能力,提升防火墻的基本安全性能,但是對于所使用的技術(shù)手段及管理水平要求較高,因?yàn)樾枰獙τ诳蛻魴C(jī)之中可能存在的各種情況以及全部的應(yīng)用類型進(jìn)行全部設(shè)置,也會在某一層面上增加相應(yīng)的管理成本。

結(jié)語:目前的計(jì)算機(jī)網(wǎng)絡(luò)仍然有其弊端存在所以需要防火墻等安全防護(hù)技術(shù)對計(jì)算機(jī)信息網(wǎng)絡(luò)安全進(jìn)行相應(yīng)的保護(hù)。雖然目前的計(jì)算機(jī)防火墻技術(shù)還不能夠完全滿足目前計(jì)算機(jī)信息安全網(wǎng)絡(luò)的基本發(fā)展要求,但是我們通過將硬件防火墻與軟件防火墻有機(jī)結(jié)合起來、使用計(jì)算機(jī)防火墻安全保護(hù)新技術(shù)等多種手段,以適應(yīng)目前的安全防護(hù)需求并且提升相應(yīng)防火墻安全保護(hù)技術(shù)手段。我們需要在認(rèn)識到防火墻安全技術(shù)對于網(wǎng)絡(luò)信息安全發(fā)展的重要意義的基礎(chǔ)之上,具體明確目前防火墻安全技術(shù)的基本結(jié)構(gòu)與發(fā)展現(xiàn)狀,從而針對各個(gè)用戶的實(shí)際網(wǎng)絡(luò)安全需要進(jìn)行相應(yīng)的選擇,在滿足需求的同時(shí),也能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定與安全起到一定的促進(jìn)作用。

篇5

計(jì)算機(jī)網(wǎng)絡(luò)安全問題主要是指通過采取相關(guān)措施來保障計(jì)算機(jī)以及計(jì)算機(jī)信息資源和網(wǎng)絡(luò)資源不受自然和人為等其他有害因素的威脅、影響以及危害,其中主要涉及計(jì)算機(jī)軟硬件以及系統(tǒng)中所存放的資料數(shù)據(jù)的安全性,保證不受偶然因素以及惡意破壞的影響。與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全的定義也不是固定不變的,隨著計(jì)算機(jī)使用者角度的不斷變化,計(jì)算機(jī)網(wǎng)絡(luò)安全的定義也隨之變化。計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題不僅不利于計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)步與發(fā)展,同時(shí)也為我國計(jì)算機(jī)網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。通常情況下,計(jì)算機(jī)網(wǎng)絡(luò)信息的公開性以及計(jì)算網(wǎng)絡(luò)信息安全之間是存在很大矛盾的,兩者很難共處。網(wǎng)絡(luò)信息的公開性拓寬了信息的共享渠道,給眾多網(wǎng)民帶來了更豐富的娛樂以及生活方式,但同時(shí)也給網(wǎng)絡(luò)信息安全問題帶來更大的壓力,很多的網(wǎng)絡(luò)安全問題是無法避免的。通常情況下,導(dǎo)致信息網(wǎng)絡(luò)安全的因素既包括客觀因素也包括主觀認(rèn)識不足的因素。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身存在的缺陷、漏洞以及計(jì)算機(jī)使用者技術(shù)等問題都有可能引起計(jì)算機(jī)網(wǎng)絡(luò)安全問題。

1.1計(jì)算機(jī)自身存在的病毒問題

在計(jì)算機(jī)編程以及程序中,所插入的能夠破壞計(jì)算機(jī)功能和數(shù)據(jù)的計(jì)算機(jī)指令或者是程序代碼,它主要是影響計(jì)算機(jī)正常使用并且具有自我復(fù)制功能。計(jì)算機(jī)病毒一般都具有破壞力大、傳播性強(qiáng)以及潛伏期長的特點(diǎn)。一旦計(jì)算機(jī)遭受了病毒的侵害,就會帶來難以彌補(bǔ)的損失。蠕蟲病毒以及宏病毒是目前較為常見的計(jì)算機(jī)病毒。

1.2計(jì)算機(jī)黑客的非法攻擊

在計(jì)算機(jī)網(wǎng)絡(luò)信息訪問中,往往會存在一些計(jì)算機(jī)黑客利用計(jì)算機(jī)系統(tǒng)中存在的不足以及自身所具備的一些計(jì)算機(jī)技巧對計(jì)算機(jī)信息進(jìn)行一些非授權(quán)的網(wǎng)絡(luò)訪問。這種互聯(lián)網(wǎng)入侵通常情況下主要是為了獲取一些數(shù)據(jù)庫資料以及對資源信息進(jìn)行篡改。除此之外計(jì)算機(jī)黑客也可以通過破壞計(jì)算機(jī)的系統(tǒng)平臺來破壞系統(tǒng)所具備的功能。

1.3計(jì)算機(jī)自然威脅

隨著使用時(shí)間的增長,計(jì)算機(jī)的某些功能也會出現(xiàn)一定的損壞,這就會阻礙一些正常的計(jì)算機(jī)網(wǎng)絡(luò)瀏覽。除此之外計(jì)算機(jī)網(wǎng)絡(luò)也會受到計(jì)算機(jī)所處環(huán)境、光纖老化以及自然災(zāi)害等客觀上存在的威脅,如果達(dá)到一定程度這些問題也有可能會誘發(fā)安全事故。

1.4計(jì)算機(jī)使用者非主觀威脅

計(jì)算機(jī)使用過程中,由于使用者的不當(dāng)操作也會給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來一定的威脅。有些網(wǎng)民因?yàn)閷τ诰W(wǎng)絡(luò)安全防范意識的缺乏,無法采取正確的網(wǎng)絡(luò)安全防范措施,就會在計(jì)算機(jī)指令輸入時(shí)出現(xiàn)偏差。

2計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

2.1計(jì)算機(jī)自身管理使用

2.1.1計(jì)算機(jī)中安裝網(wǎng)絡(luò)防護(hù)軟件

為了從源頭上進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全的防范,需要在計(jì)算機(jī)中進(jìn)行網(wǎng)絡(luò)防護(hù)軟件的安裝,只有這樣才能夠有效的實(shí)現(xiàn)計(jì)算機(jī)的安全防護(hù)。在計(jì)算機(jī)中安裝優(yōu)質(zhì)的網(wǎng)絡(luò)防護(hù)軟件,不僅能夠隨時(shí)的將一些不經(jīng)常使用的信息端口關(guān)閉,同時(shí)對于木馬病毒的侵入以及網(wǎng)絡(luò)黑客的攻擊起到一定的防范作用。

2.1.2計(jì)算機(jī)使用過程中及時(shí)進(jìn)行補(bǔ)丁下載

在計(jì)算機(jī)使用過程中,需要及時(shí)的進(jìn)行相應(yīng)的補(bǔ)丁下載。如果在網(wǎng)絡(luò)使用中,不及時(shí)的下載一些相應(yīng)的補(bǔ)丁,就會大大的提高系統(tǒng)的被入侵的可能性。通過對計(jì)算機(jī)網(wǎng)絡(luò)相應(yīng)補(bǔ)丁的及時(shí)下載,不僅能夠有效的彌補(bǔ)計(jì)算機(jī)網(wǎng)絡(luò)使用系統(tǒng)中存在的不足,也能夠有效的規(guī)避網(wǎng)絡(luò)安全隱患。在計(jì)算機(jī)使用中可以安裝一些專門的漏洞掃描器,例如tiger、COPS等軟件,同時(shí)也可以應(yīng)用一些計(jì)算機(jī)防護(hù)軟件,以便能夠及時(shí)的進(jìn)行計(jì)算機(jī)軟件掃描以及漏洞補(bǔ)丁的下載。

2.1.3及時(shí)進(jìn)行計(jì)算機(jī)數(shù)據(jù)資料備份

計(jì)算機(jī)使用過程中,對于計(jì)算機(jī)中的數(shù)據(jù)信息及時(shí)的進(jìn)行備份在一定程度上也能夠降低計(jì)算機(jī)網(wǎng)絡(luò)安全問題所造成的損失。在計(jì)算機(jī)使用過程中,及時(shí)的將一些重要信息進(jìn)行復(fù)制或者是有效的數(shù)據(jù)轉(zhuǎn)移則被稱為計(jì)算機(jī)數(shù)據(jù)庫備份。通過數(shù)據(jù)庫的備份,當(dāng)數(shù)據(jù)出現(xiàn)損壞時(shí),用戶可以通過數(shù)據(jù)內(nèi)容的拷貝來重新獲得數(shù)據(jù)信息。數(shù)據(jù)備份不僅是一種簡單的規(guī)避風(fēng)險(xiǎn)的措施,同時(shí)也是有效解決計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的措施。

2.1.4應(yīng)用計(jì)算機(jī)加密技術(shù)

通過較為專業(yè)的計(jì)算機(jī)手段對一些重要的文件進(jìn)行加密便是通常所說的加密技術(shù)。計(jì)算機(jī)加密技術(shù)主要包括文件加密技術(shù)以及簽名加密技術(shù)。采用計(jì)算機(jī)加密技術(shù)是有效進(jìn)行規(guī)避計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的重要舉措。用戶簽名加密技術(shù)以及文件加密技術(shù)按照加密技術(shù)功能的不同可以劃分為數(shù)據(jù)傳輸、存儲以及完整性的三種鑒別。在整個(gè)加密文件中用戶簽名技術(shù)是非常關(guān)鍵的,在使用中用戶可以通過簽名技術(shù)來進(jìn)行電子文檔的驗(yàn)證以及辨認(rèn),同時(shí)通過此技術(shù)的應(yīng)用能夠有效保證文件的不可侵犯性以及完整性。

2.2計(jì)算機(jī)個(gè)人管理

通過對計(jì)算機(jī)個(gè)人管理來實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)主要是是指:通過計(jì)算機(jī)使用者進(jìn)行自我約束將有效降低計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅;另外是指通過對他人進(jìn)行有效的約束來降低計(jì)算機(jī)網(wǎng)路完全的威脅。計(jì)算機(jī)網(wǎng)絡(luò)信息安全與整個(gè)社會的安全與進(jìn)步是有很大關(guān)聯(lián)的,保證了計(jì)算機(jī)網(wǎng)絡(luò)信息安全也意味著實(shí)現(xiàn)整個(gè)社會的安全防護(hù)。

2.2.1加大教育投入,培養(yǎng)計(jì)算機(jī)網(wǎng)絡(luò)人才

加大教育投入,培養(yǎng)計(jì)算機(jī)網(wǎng)絡(luò)人才是非常有必要的。人才以及技術(shù)是計(jì)算機(jī)使用的關(guān)鍵,通過計(jì)算機(jī)專業(yè)人才的培養(yǎng)不僅能夠保障和諧的網(wǎng)絡(luò)環(huán)境,同時(shí)也能夠?qū)σ恍┎环ǖ挠?jì)算機(jī)信息盜用者起到一種震懾作用。

2.2.2強(qiáng)化計(jì)算機(jī)使用者的安全防護(hù)意識,加強(qiáng)內(nèi)部管理

計(jì)算機(jī)網(wǎng)絡(luò)安全防范中七分靠管理三分靠技術(shù),提高網(wǎng)絡(luò)技術(shù)管理能有效的降低網(wǎng)絡(luò)安全問題隱患,是非常有必要的。在計(jì)算機(jī)使用過程中首先使用者應(yīng)該對于網(wǎng)絡(luò)安全有正確的認(rèn)識,只有網(wǎng)絡(luò)安全防護(hù)意識提高了才能夠在使用進(jìn)行網(wǎng)絡(luò)使用中多加注意。除此之外在計(jì)算機(jī)使用中應(yīng)該進(jìn)行密碼的設(shè)置,計(jì)算機(jī)所有的相連設(shè)備以及主機(jī)都應(yīng)該設(shè)置密碼,同時(shí)密碼也應(yīng)該夠長,不容易被破解,密碼也需要進(jìn)行定期的更換。因此在計(jì)算機(jī)使用中需要采取有效的計(jì)算機(jī)人員管理辦法,只有不斷增強(qiáng)計(jì)算機(jī)人員的安全防護(hù)意識,才能有效降低網(wǎng)絡(luò)安全事故的發(fā)生。

3結(jié)語

篇6

從安全技術(shù)架構(gòu)來說,網(wǎng)站群的安全問題主要在于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全。高職院校一般都具備獨(dú)立的數(shù)據(jù)中心。以浙江醫(yī)藥高等專科學(xué)校為例,目前已建有MIS+S(基本信息安全保障)系統(tǒng)架構(gòu),隨著硬件驅(qū)動(dòng)已轉(zhuǎn)變?yōu)閼?yīng)用驅(qū)動(dòng),網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施和服務(wù)都有了大幅度的提升,能夠從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全四個(gè)環(huán)節(jié),打造網(wǎng)站群安全防范技術(shù)體系,實(shí)現(xiàn)動(dòng)態(tài)防御、主機(jī)安全、備份和恢復(fù)、安全審計(jì)、安全測試配置、安全監(jiān)控,應(yīng)用分析等目標(biāo)。

1.1動(dòng)態(tài)防御

網(wǎng)站群安全防范技術(shù)體系以往,我們通常利用防火墻、雙核心網(wǎng)絡(luò)設(shè)備以及DMZ區(qū)來實(shí)現(xiàn)應(yīng)用防護(hù),防范惡意攻擊和病毒入侵的能力有限。在網(wǎng)絡(luò)安全問題日趨嚴(yán)重和復(fù)雜的情況下,需要加固原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),增加應(yīng)用防護(hù)系統(tǒng)、統(tǒng)一防惡意代碼軟件、網(wǎng)絡(luò)管理系統(tǒng),與防火墻一起建立動(dòng)態(tài)防御體系。只有為網(wǎng)站群和服務(wù)建立訪問控制體系,才能將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo),最終提升網(wǎng)站群系統(tǒng)的物理安全、網(wǎng)絡(luò)安全和應(yīng)用安全。我們將網(wǎng)站群系統(tǒng)所在區(qū)域從原DMZ區(qū)劃分出來,與其他Web應(yīng)用一起規(guī)劃為安全級別較高的WebServer服務(wù)區(qū)域。同時(shí),在該區(qū)域部署統(tǒng)一惡意代碼防范管理系統(tǒng),建立安全的病毒防護(hù)措施。在核心交換和WebServer服務(wù)區(qū)域間,通過串聯(lián)部署方式,增加一臺WAF(應(yīng)用防護(hù)系統(tǒng)),起到防護(hù)Web應(yīng)用、漏洞檢測作用,確保網(wǎng)站群在內(nèi)的Web應(yīng)用完整性。同時(shí),開啟硬件防火墻上的網(wǎng)站防篡改、IPS功能、日志功能,建立攻擊監(jiān)控體系,實(shí)時(shí)檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源,等)。網(wǎng)站群系統(tǒng)管理員在統(tǒng)一惡意代碼防范管理平臺上,對網(wǎng)站群主機(jī)進(jìn)行遠(yuǎn)程控制。包括:遠(yuǎn)程啟動(dòng)或停止實(shí)時(shí)監(jiān)控、手動(dòng)掃描、實(shí)時(shí)更新、功能組件配置、設(shè)定分組任務(wù)或策略,等,以有效阻隔外來病毒入侵及內(nèi)部病毒清除,有效保障系統(tǒng)安全。眾所周知,網(wǎng)絡(luò)攻擊也可以來自于局域網(wǎng)內(nèi)部,如內(nèi)網(wǎng)DoS攻擊、ARP等病毒攻擊。對于內(nèi)網(wǎng)攻擊的防范,通常采取的應(yīng)對方法有:為內(nèi)網(wǎng)終端安裝病毒防護(hù)軟件、加強(qiáng)用戶病毒查殺意識,在網(wǎng)絡(luò)設(shè)備上劃分VLAN進(jìn)行邏輯隔離、設(shè)置ACL訪問控制。現(xiàn)階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內(nèi)網(wǎng)防護(hù)、病毒防御策略等功能來加強(qiáng)防范。同時(shí),利用上網(wǎng)行為管理設(shè)備,對內(nèi)網(wǎng)終端實(shí)施安全檢查、網(wǎng)絡(luò)準(zhǔn)入控制、行為審計(jì)、危險(xiǎn)流量封堵、木馬病毒查殺等安全防護(hù)措施,針對內(nèi)網(wǎng)攻擊事件查看分析用戶行為記錄并定位,并且依據(jù)學(xué)校相關(guān)規(guī)章制度進(jìn)行處置處理(如《校園網(wǎng)用戶守則》、《校園網(wǎng)聯(lián)網(wǎng)安全保護(hù)管理辦法》、《校園網(wǎng)系統(tǒng)安全管理制度》,等),提高局域網(wǎng)內(nèi)部的綜合防范能力,減少內(nèi)網(wǎng)攻擊事件的發(fā)生。

1.2主機(jī)安全

主機(jī)安全是網(wǎng)站群系統(tǒng)安全的保障??梢圆捎秒p機(jī)熱備的方式來解決主機(jī)冗余問題。但是,由于網(wǎng)站群系統(tǒng)應(yīng)用的重要性和網(wǎng)絡(luò)安全的復(fù)雜性,為提高主機(jī)安全能力,還需要構(gòu)建主機(jī)集群環(huán)境,以保障網(wǎng)站群系統(tǒng)的持續(xù)運(yùn)行。目前,高職院校為提高數(shù)據(jù)中心的利用率和采購運(yùn)行成本,通常會采用服務(wù)器虛擬化軟件規(guī)劃虛擬數(shù)據(jù)中心。在該環(huán)境中,統(tǒng)一存儲設(shè)備部署在后端,為物理服務(wù)器(虛擬主機(jī))提供空間資源,并為前端虛擬機(jī)提供數(shù)據(jù)存儲資源;數(shù)臺高性能服務(wù)器作為虛擬主機(jī),隨時(shí)劃分前端虛擬機(jī),并提供虛擬機(jī)所需的CPU、內(nèi)存資源、存儲器訪問權(quán)和網(wǎng)絡(luò)連接能力,滿足各項(xiàng)應(yīng)用的服務(wù)器需求。采用虛擬機(jī)(VM)部署網(wǎng)站群雙機(jī)熱備,在降低采購成本的同時(shí),提高了網(wǎng)站群主機(jī)的靈活性、冗余保障和容災(zāi)遷移能力,保障網(wǎng)站群主機(jī)操作系統(tǒng)的安全需求。為了減少網(wǎng)站群所在虛擬主機(jī)(物理服務(wù)器)的單點(diǎn)故障,實(shí)現(xiàn)網(wǎng)站群系統(tǒng)的不間斷運(yùn)行,我們利用vSphere集群功能,在虛擬數(shù)據(jù)中心內(nèi),配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個(gè)集群中在資源許可的情況下,將一臺出現(xiàn)故障的虛擬主機(jī)上面的網(wǎng)站群虛擬機(jī)切換到集群中另一臺虛擬主機(jī)上運(yùn)行(如192.168.0.116和192.168.0.118)。應(yīng)用業(yè)務(wù)時(shí)間間斷由VM系統(tǒng)啟動(dòng)時(shí)間、應(yīng)用啟動(dòng)時(shí)間、心跳檢測時(shí)間構(gòu)成。

1.3備份和恢復(fù)

數(shù)據(jù)資料是整個(gè)網(wǎng)站群系統(tǒng)運(yùn)作的核心,建立良好的備份和恢復(fù)機(jī)制,可以在應(yīng)用系統(tǒng)遭受攻擊時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。以往,為降低備份容災(zāi)成本,會采用純軟件模式,通過編輯腳本文件,連接兩臺熱備服務(wù)器,將數(shù)據(jù)實(shí)時(shí)復(fù)制到另一臺服務(wù)器上,如果一臺服務(wù)器出現(xiàn)故障,可以及時(shí)切換到另一臺服務(wù)器,避免了磁盤陣列的單點(diǎn)故障。在網(wǎng)絡(luò)安全的新形勢下,為實(shí)現(xiàn)應(yīng)用數(shù)據(jù)及業(yè)務(wù)存儲系統(tǒng)的完整性和可靠性,我們在網(wǎng)絡(luò)拓樸的DMZ區(qū)域,接入存儲備份一體機(jī)(浙江醫(yī)藥高等??茖W(xué)校采用SymantecBE3600),構(gòu)建高可用性的存儲備份環(huán)境。利用其存儲空間及備份管理系統(tǒng),實(shí)現(xiàn)有效的異地備份,為網(wǎng)站群的容災(zāi)備份提供了進(jìn)一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時(shí)恢復(fù)失敗的網(wǎng)站群虛擬機(jī),快速恢復(fù)丟失的應(yīng)用程序服務(wù),全面提升網(wǎng)站群的數(shù)據(jù)安全及備份恢復(fù)能力,避免在各種極端情況下造成的重大損失和惡劣影響。

1.4安全審計(jì)

網(wǎng)站群要達(dá)到可控性與可審查性,就必須對站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄。安全審計(jì)是網(wǎng)站群主機(jī)安全和應(yīng)用安全中的重要環(huán)節(jié),審計(jì)范圍要覆蓋到主機(jī)上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶,審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關(guān)事件,及時(shí)發(fā)現(xiàn)非法入侵行為。以旁路方式部署了一臺審計(jì)設(shè)備,并接入核心交換。審計(jì)設(shè)備通過對交換機(jī)的鏡像口進(jìn)行旁路監(jiān)聽。網(wǎng)站群系統(tǒng)管理員可通過B/S方式使用日志管理綜合審計(jì)系統(tǒng),從網(wǎng)絡(luò)運(yùn)行維護(hù)、數(shù)據(jù)庫安全及系統(tǒng)安全審計(jì)等方面,采集所有網(wǎng)站群的數(shù)據(jù)庫訪問行為記錄,收集客觀、實(shí)時(shí)的分析數(shù)據(jù)。一旦發(fā)生網(wǎng)站群網(wǎng)絡(luò)信息安全事件,系統(tǒng)管理員可根據(jù)網(wǎng)站群用戶對數(shù)據(jù)庫系統(tǒng)的所有操作信息,進(jìn)行準(zhǔn)確快速定位,并排除安全隱患。此外,為確保安全審計(jì),還應(yīng)要求網(wǎng)站群開發(fā)人員去除或隱藏程序中的刪除日志功能。

1.5安全測試與配置

由于網(wǎng)絡(luò)安全不是絕對的,因此,在建立技術(shù)防范體系后,我們按照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中的第二級基本要求,對網(wǎng)站群的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)進(jìn)行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數(shù)據(jù)完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構(gòu)建網(wǎng)站群的操作系統(tǒng)和數(shù)據(jù)庫環(huán)境,相關(guān)配置如下:

1.5.1身份鑒別良好的身份認(rèn)證體系可防止攻擊者假冒合法用戶。為此,須對登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站群的用戶進(jìn)行身份標(biāo)識和鑒別,操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易冒用的特點(diǎn),并確保用戶名具有惟一性。因此,我們做了相關(guān)配置:編輯操作系統(tǒng)文件etc/login.defs文件,應(yīng)達(dá)到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN6#最小密碼長度6編輯操作系統(tǒng)文件/etc/pam.d/system-auth文件,應(yīng)達(dá)到密碼復(fù)雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數(shù)字、至少包含2個(gè)特殊字符數(shù)編輯操作系統(tǒng)文件etc/pam.d/system-auth文件,采取結(jié)束會話、限制非法登錄次數(shù)和自動(dòng)退出等措施,實(shí)現(xiàn)登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設(shè)置密碼連續(xù)錯(cuò)誤6次鎖定,鎖定時(shí)間300s。對于數(shù)據(jù)庫的身份鑒別,我們通過配置Oracle公司提供的驗(yàn)證密碼復(fù)雜度的函數(shù)來實(shí)現(xiàn)。對于網(wǎng)站群系統(tǒng),后臺管理用戶密碼復(fù)雜度設(shè)置高級別,對密碼的長度、大小寫、特殊字符都方面都要做要求,同時(shí)設(shè)置口令有效期。

1.5.2訪問控制訪問控制更側(cè)重于管理層面,要求操作系統(tǒng)和數(shù)據(jù)庫管理帳號和實(shí)際操作都必須為不同人員。我們制定相關(guān)崗位職責(zé)文件,實(shí)現(xiàn)權(quán)限分離,責(zé)任分離。如:依據(jù)安全策略控制用戶對資源的訪問;實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權(quán)限期的分離;限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改帳戶的默認(rèn)口令;應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對網(wǎng)站群的角色權(quán)限進(jìn)行細(xì)分,做到權(quán)限相互制約。如超級管理員具有所有功能的操作權(quán)限,二級網(wǎng)站管理員只能具有自己站點(diǎn)的操作權(quán)限,審計(jì)員只能查看安全日志。

1.5.3入侵防范做好入侵防范措施。在操作系統(tǒng)方面,我們遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,使得端口和服務(wù)實(shí)現(xiàn)最小化;通過對安全漏洞的周期檢查,設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新,從而使絕大多數(shù)攻擊無效。

1.5.4資源控制系統(tǒng)資源控制主要指終端接入的方式、IP地址范圍及登錄次數(shù)限制。我們做了相關(guān)配置。

2網(wǎng)站群安全防范措施

單純期望某一個(gè)安全技術(shù)或體系架構(gòu)就能夠全面消除或解決網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)的想法是不現(xiàn)實(shí)的。高職院校網(wǎng)站安全問題突出,還歸結(jié)于學(xué)校對網(wǎng)站安全不重視,網(wǎng)站信息保護(hù)意識差,網(wǎng)站日常維護(hù)缺失,等。我們只能通過大量實(shí)踐,在網(wǎng)絡(luò)安全實(shí)戰(zhàn)對抗中不斷完善,明確責(zé)任和義務(wù),建立管理制度和安全制度。管理是網(wǎng)絡(luò)安全的重要部分,在對網(wǎng)站群部署進(jìn)行有效的安全風(fēng)險(xiǎn)(安全威脅)識別和評估后,我們還圍繞技術(shù)層面、組織層面、管理層面、服務(wù)層面,完善網(wǎng)站群安全防范措施。建立學(xué)校、部門兩級運(yùn)行維護(hù)的組織體系,按集中建站、分級管理、制度約束、服務(wù)保障的原則,通過統(tǒng)一策劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一資源、統(tǒng)一平臺來實(shí)現(xiàn)集中建站。按照國家有關(guān)規(guī)章制度和安全辦法(策略),形成制度約束機(jī)制,確保網(wǎng)站群在高效、安全、有序的體系下運(yùn)作。理順管理體制與職責(zé),構(gòu)建主站和子站間的垂直管理體系,制定網(wǎng)站群管理辦法、建立網(wǎng)站群管理和信息員制度、制定安全規(guī)范及操作手冊、建立內(nèi)容管理與審核制度、明確各網(wǎng)站內(nèi)容管理與運(yùn)行管理崗位職責(zé)、規(guī)范工作流程、完善信息等環(huán)節(jié),全面做好網(wǎng)站群安全管理工作。通過提升服務(wù)管理水平,構(gòu)建健全的網(wǎng)站群服務(wù)體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規(guī)劃(P)、實(shí)施(D)、檢查(C)、改進(jìn)(A)四個(gè)方面著手,根據(jù)學(xué)校技術(shù)、政策和資源等實(shí)際環(huán)境,加強(qiáng)安全服務(wù)管理,確保網(wǎng)站群服務(wù)水平。并參考信息安全服務(wù)體系,從安全評估服務(wù)、安全修復(fù)服務(wù)、安全保障服務(wù)、安全信息服務(wù)、安全培訓(xùn)服務(wù)、數(shù)據(jù)恢復(fù)服務(wù)、產(chǎn)品集成服務(wù)八個(gè)方面,加強(qiáng)安全服務(wù)。

3網(wǎng)站群保障體系構(gòu)建效果

篇7

1、網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會的一場革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給我們的生活帶來了很大的便利,而且正在創(chuàng)造著巨大的財(cái)富,以Internet為代表的全球性信息化浪潮日益深刻,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛,應(yīng)用層次不斷深入,應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。

與此同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長,網(wǎng)頁被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子郵件、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、電子商務(wù)入侵和盜竊等,都造成了各種危害,包括機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)站頁面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息安全問題日益突出,已經(jīng)成為影響國家安全、社會穩(wěn)定和人民生活的大事,發(fā)展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對應(yīng)的網(wǎng)絡(luò)安全技術(shù),保障網(wǎng)絡(luò)安全、有序和有效的運(yùn)行,是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。

2、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識別的網(wǎng)絡(luò)協(xié)議基礎(chǔ)之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合,協(xié)議本身和應(yīng)用都有可能存在問題,網(wǎng)絡(luò)安全問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題,也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題,當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)安全問題,下表示意說明了這些方面的網(wǎng)絡(luò)安全問題。

問題類型問題點(diǎn)問題描述

協(xié)議設(shè)計(jì)安全問題被忽視制定協(xié)議之時(shí),通常首先強(qiáng)調(diào)功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎(chǔ)協(xié)議問題架構(gòu)在其他不穏固基礎(chǔ)協(xié)議之上的協(xié)議,即使本身再完善也會有很多問題。

流程問題設(shè)計(jì)協(xié)議時(shí),對各種可能出現(xiàn)的流程問題考慮不夠周全,導(dǎo)致發(fā)生狀況時(shí),系統(tǒng)處理方式不當(dāng)。

設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤,導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確,但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤,或設(shè)計(jì)人員對協(xié)議的認(rèn)知錯(cuò)誤,導(dǎo)致各種安全漏洞。

程序錯(cuò)誤程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞,包含常見的未檢查資料長度內(nèi)容、輸入資料容錯(cuò)能力不足、未檢測可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測資源不足等。

人員操作操作失誤操作規(guī)范嚴(yán)格且完善,但是操作人員未受過良好訓(xùn)練、或未按手冊操作,導(dǎo)致各種安全漏洞和安全隱患。

系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué),導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。

內(nèi)部安全問題對由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng),成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

針對上表所示的各種網(wǎng)絡(luò)安全問題,全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來防范這些問題,這些技術(shù)包括訪問控制技術(shù)、識別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和抗抵賴協(xié)議等,相繼陸續(xù)推出了包括防火墻、入侵檢測(IDS)、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件,這些技術(shù)和安全系統(tǒng)(軟件)對網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范,一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。

3、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的,它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題,無法防范和解決其他的問題,更不可能提供對整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題,但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題,而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對網(wǎng)絡(luò)和系統(tǒng)的危害,但卻無法識別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中,防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過濾防火墻,狀態(tài)檢測包過濾防火墻和應(yīng)用層防火墻,但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí),防火墻還存在著一些弱點(diǎn):

一、不能防御來自內(nèi)部的攻擊:來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī),監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的通信,而對內(nèi)部網(wǎng)上的情況不作檢查,因而對內(nèi)部的攻擊無能為力;

二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動(dòng)的防御手段,只能守株待兔式地對通過它的數(shù)據(jù)報(bào)進(jìn)行檢查,如果該數(shù)據(jù)由于某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;

三、不能防御完全新的威脅:防火墻只能防御已知的威脅,但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法,可信賴的服務(wù)就變成不可信賴的了;

四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協(xié)議內(nèi)容的,而非數(shù)據(jù)細(xì)節(jié)。這樣一來,基于數(shù)據(jù)驅(qū)動(dòng)的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。

入侵檢測技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重,它不能稱之為一個(gè)可以信賴的安全工具,而只是一個(gè)參考工具。

在沒有更為有效的安全防范產(chǎn)品之前,更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來保障自己的網(wǎng)絡(luò)安全,然而相對應(yīng)的是,新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮,攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來越多,因此,開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng),已經(jīng)成為各網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。

4發(fā)展趨勢:

中國的網(wǎng)絡(luò)安全技術(shù)在近幾年得到快速的發(fā)展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出,網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù),不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品,進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

從技術(shù)層面來看,目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是:以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題,而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題,安全防護(hù)已經(jīng)從底層或簡單數(shù)據(jù)層面上升到了應(yīng)用層面,這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇,越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

4.1、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù),就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶,在剛剛開始面對安全問題的時(shí)候,考慮的往往就是這“老三樣”??梢哉f,這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用,但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。首先,從用戶角度來看,雖然系統(tǒng)中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次,未經(jīng)大規(guī)模部署的入侵檢測單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。

再次,雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品,但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題,還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說,雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功,且仍然發(fā)揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網(wǎng)絡(luò)安全的整體技術(shù)框架來看,網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題,“老三樣”基本上還是針對數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全,需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

4.2、技術(shù)發(fā)展趨勢分析

.防火墻技術(shù)發(fā)展趨勢

在混合攻擊肆虐的時(shí)代,單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要,而具備多種安全功能,基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測、高可靠高性能平臺和統(tǒng)一組件化管理的技術(shù),優(yōu)勢將得到越來越多的體現(xiàn),UTM(UnifiedThreatManagement,統(tǒng)一威脅管理)技術(shù)應(yīng)運(yùn)而生。

從概念的定義上看,UTM既提出了具體產(chǎn)品的形態(tài),又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念;而從后半部分來看,UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后,信息安全行業(yè)對安全管理的深刻理解以及對安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。

UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備,因此UTM設(shè)備本身必須具備良好的性能和高可靠性,同時(shí),UTM在統(tǒng)一的產(chǎn)品管理平臺下,集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,實(shí)現(xiàn)了多種防御功能,因此,向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢。UTM設(shè)備應(yīng)具備以下特點(diǎn)。

(1)網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡單的第二到第四層的防護(hù),主要針對像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制,但是真正的安全不能只停留在底層,我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻,除了傳統(tǒng)的訪問控制之外,還需要對垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實(shí)現(xiàn)七層協(xié)議的保護(hù),而不僅限于第二到第四層。

(2)通過分類檢測技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高,將會對用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測技術(shù)可以大幅度降低誤報(bào)率,針對不同的攻擊,采取不同的檢測技術(shù),比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等,從而顯著降低誤報(bào)率。

(3)有高可靠性、高性能的硬件平臺支撐。

(4)一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身,因此,它必須具有能夠統(tǒng)一控制和管理的平臺,使用戶能夠有效地管理。這樣,設(shè)備平臺可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一的平臺上進(jìn)行組件管理,同時(shí),一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島,從而在應(yīng)對各種各樣攻擊威脅的時(shí)候,能夠更好地保障用戶的網(wǎng)絡(luò)安全。

二網(wǎng)絡(luò)安全面臨的主要問題

1.網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識,從而就不可能采取主動(dòng)的安全措施加以防范,完全處于被動(dòng)挨打的位置。

2.組織和部門的有關(guān)人員對網(wǎng)絡(luò)的安全現(xiàn)狀不明確,不知道或不清楚網(wǎng)絡(luò)存在的安全隱患,從而失去了防御攻擊的先機(jī)。

3.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu),其缺陷給攻擊者以可乘之機(jī)。

4.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系,從而導(dǎo)致安全體系和安全控制措施不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機(jī)會。

5.網(wǎng)絡(luò)安全管理人員和技術(shù)有員缺乏必要的專業(yè)安全知識,不能安全地配置和管理網(wǎng)絡(luò),不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題,對突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)。

三網(wǎng)絡(luò)安全的解決辦法

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過程是復(fù)雜的。這個(gè)復(fù)雜的過程需要嚴(yán)格有效的管理才能保證整個(gè)過程的有效性,才能保證安全控制措施有效地發(fā)揮其效能,從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此,建立組織的安全管理體系是網(wǎng)絡(luò)安全的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的安全體系結(jié)構(gòu),把組織和部門的所有安全措施和過程通過管理的手段融合為一個(gè)有機(jī)的整體。安全體系結(jié)構(gòu)由許多靜態(tài)的安全控制措施和動(dòng)態(tài)的安全分析過程組成。

1.安全需求分析"知已知彼,百戰(zhàn)不殆"。只有明了自己的安全需求才能有針對性地構(gòu)建適合于自己的安全體系結(jié)構(gòu),從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

2.安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理是對安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評估,以組織和部門可以接受的投資,實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.制定安全策略根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評估的結(jié)論,制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

4.定期安全審核安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次,由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程,組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化,因此組織和部門對安全的需求也會發(fā)生變化,組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí),安全策略和控制措施能夠及時(shí)反映這種變化,必須進(jìn)行定期安全審核。

5.外部支持計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過專業(yè)的安全服務(wù)機(jī)構(gòu)的支持,將使網(wǎng)絡(luò)安全體系更加完善,并可以得到更新的安全資訊,為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

6.計(jì)算機(jī)網(wǎng)絡(luò)安全管理安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié),也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當(dāng)?shù)墓芾砘顒?dòng),規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng),使網(wǎng)絡(luò)有序地進(jìn)行,是獲取安全的重要條件。

篇8

關(guān)鍵詞:數(shù)據(jù)庫;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)加密

中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)17-21382-02

隨著計(jì)算機(jī)技術(shù)應(yīng)用的深入以及機(jī)構(gòu)對信息系統(tǒng)依賴程度的增加,越來越多的機(jī)構(gòu)將數(shù)據(jù)庫系統(tǒng)作為日常操作和決策的數(shù)據(jù)管理技術(shù),加上目前基于web應(yīng)用的普及,對數(shù)據(jù)庫系統(tǒng)信息泄露的威脅也越來越大,因此數(shù)據(jù)安全性和隱私性問題也越來越受到關(guān)注。數(shù)據(jù)庫技術(shù)作為數(shù)據(jù)信息的存儲方式, 在網(wǎng)絡(luò)服務(wù)中發(fā)揮了巨大的作用,但病毒攻擊,黑客入侵,人為安全等隨之而來產(chǎn)生了數(shù)據(jù)的安全問題。應(yīng)用安全與網(wǎng)絡(luò)和主機(jī)安全之間雖存在很大區(qū)別,應(yīng)用也千差萬別,但攻擊目標(biāo)是相同的,即入侵?jǐn)?shù)據(jù)庫。

對數(shù)據(jù)庫系統(tǒng)的安全,人們往往只關(guān)注產(chǎn)品或技術(shù)上的解決辦法,經(jīng)統(tǒng)計(jì)顯示,引起數(shù)據(jù)庫系統(tǒng)不安全因素的70%是由于內(nèi)部制度或管理的不完善所造成。本文通過對數(shù)據(jù)庫運(yùn)行環(huán)境的系統(tǒng)分析,總結(jié)了數(shù)據(jù)庫系統(tǒng)運(yùn)行所涉及到的各種不安全因素,并提出了相應(yīng)的防范策略,旨在使讀者對數(shù)據(jù)庫系統(tǒng)安全有一個(gè)較為全面的了解。

1 數(shù)據(jù)庫的不安全因素

1.1 運(yùn)行環(huán)境

數(shù)據(jù)庫應(yīng)用一般采用客戶機(jī)/服務(wù)器(Client/Server)模式,即多臺客戶機(jī)共享一個(gè)數(shù)據(jù)庫服務(wù)器。在客戶機(jī)服務(wù)器結(jié)構(gòu)中,客戶機(jī)向服務(wù)器發(fā)出請求,服務(wù)器為客戶機(jī)提供完成這個(gè)請求的服務(wù)。例如,當(dāng)用戶查詢信息時(shí),客戶機(jī)將用戶的要求轉(zhuǎn)換成一個(gè)或多個(gè)標(biāo)準(zhǔn)的信息查詢請求,通過計(jì)算機(jī)網(wǎng)絡(luò)發(fā)送給服務(wù)器,服務(wù)器接到客戶機(jī)的查詢請求后,完成相應(yīng)操作,并將查出的結(jié)果通過網(wǎng)絡(luò)回送給客戶機(jī)。數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

1.2 不安全因素分析

由數(shù)據(jù)庫系統(tǒng)的運(yùn)行環(huán)境分析,數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行包括由硬件組成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);由軟件進(jìn)行對數(shù)據(jù)庫系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)流的管理;以及日常工作中制度制定和人員的管理。它的安全性問題相應(yīng)包含了三個(gè)方面的內(nèi)容:

(1)運(yùn)行數(shù)據(jù)庫系統(tǒng)的硬件安全性。即物理安全,包括服務(wù)器、交換機(jī)、電源等設(shè)備故障, 合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),電磁輻射造成的信息泄漏,水災(zāi)、火災(zāi)等環(huán)境事故,有時(shí)攻擊者通過在傳輸線路上安裝專用設(shè)備進(jìn)行竊聽或惡意攻擊。

(2)運(yùn)行數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)安全性。主要指數(shù)據(jù)庫系統(tǒng)自身安全性以及數(shù)據(jù)庫所處的網(wǎng)絡(luò)環(huán)境面臨的安全風(fēng)險(xiǎn)。如病毒入侵和黑客攻擊、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全, 表現(xiàn)在開發(fā)商的Back-Door(后門)以及系統(tǒng)本身的漏洞上。

(3)運(yùn)行數(shù)據(jù)庫系統(tǒng)的管理安全性。主要包括因管理不善,培訓(xùn)不到位,制度不健全引起內(nèi)部人員泄密、有意或無意破壞,造成日常管理中出現(xiàn)安全風(fēng)險(xiǎn)。因此除了技術(shù)以外日常管理也是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要因素。

2 數(shù)據(jù)庫系統(tǒng)的安全防范策略

通過分析數(shù)據(jù)庫系統(tǒng)的不安全因素后,針對不同因素,給出數(shù)據(jù)庫系統(tǒng)安全的主要防范技術(shù)和措施。它們是相輔相承的,各層次的防范重點(diǎn)和所采取的技術(shù)手段也不盡相同,一個(gè)好的安全系統(tǒng)必須綜合考慮核運(yùn)用這些技術(shù),以保證數(shù)據(jù)的安全。

2.1 物理安全防護(hù)策略

物理安全保證重要數(shù)據(jù)免受破壞或受到災(zāi)難性破壞時(shí)及時(shí)得到恢復(fù),防止系統(tǒng)信息在空間的擴(kuò)散。在物理安全方面應(yīng)主要采取如下措施:

(1)網(wǎng)絡(luò)安全設(shè)計(jì)方案符合中華人民共和國有關(guān)網(wǎng)絡(luò)安全方面的規(guī)定。安全設(shè)計(jì)應(yīng)根據(jù)不同網(wǎng)絡(luò)、系統(tǒng)和信息要求分別采用不同的安全防護(hù)措施;

(2)建立良好的電磁兼容環(huán)境,安裝防電磁輻射產(chǎn)品,如輻射干擾機(jī);

(3)產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施;

(4)對重要設(shè)備和系統(tǒng)設(shè)置備份系統(tǒng);

(5)數(shù)據(jù)庫系統(tǒng)運(yùn)行的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全防范,主要包括防水、防火、防靜電等。

2.2 網(wǎng)絡(luò)安全防護(hù)策略

從廣義上講,數(shù)據(jù)庫的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)??梢哉f網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫應(yīng)用的外部環(huán)境和基礎(chǔ),數(shù)據(jù)庫系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開網(wǎng)絡(luò)系統(tǒng)的支持,數(shù)據(jù)庫系統(tǒng)的用戶如異地用戶、分布式用戶也要通過網(wǎng)絡(luò)才能訪問數(shù)據(jù)庫的數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫安全的第一道屏障,外部入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開始的。

(1)數(shù)據(jù)庫系統(tǒng)的安全防護(hù)策略。主要表現(xiàn)在對數(shù)據(jù)的存取控制上,對不同用戶設(shè)置不同權(quán)限,限制一些用戶對數(shù)據(jù)庫的訪問和操作,避免數(shù)據(jù)丟失或泄露。用戶口令是用戶入網(wǎng)的關(guān)鍵所在,必須經(jīng)過加密,以防止信息在網(wǎng)上傳輸時(shí)被截獲而造成密碼泄露,并給密碼加上時(shí)效性即給用戶定期更新密碼, 防止密碼泄露。數(shù)據(jù)庫使用連接緩沖機(jī)制,把本系統(tǒng)的用戶和數(shù)據(jù)庫用戶進(jìn)行隔離,即使有了一個(gè)系統(tǒng)用戶的密碼,也不能跳躍數(shù)據(jù)庫管理系統(tǒng)直接對重要數(shù)據(jù)庫進(jìn)行訪問使用防火墻技術(shù),提高系統(tǒng)的安全性,本系統(tǒng)只允許通過特定端口來訪問,這樣可以使用防火墻技術(shù),進(jìn)行包的過濾,在系統(tǒng)設(shè)計(jì)中,充分利用不同數(shù)據(jù)庫系統(tǒng)提供的先進(jìn)與完備的安全管理措施,建立備份服務(wù)器。其中,安全服務(wù)器支持自由訪問控制和托管訪問控制等強(qiáng)制安全措施,設(shè)置數(shù)據(jù)庫監(jiān)聽服務(wù)器,它是可實(shí)現(xiàn)登錄安全和多層次的審計(jì)控制,并支持用戶有效性驗(yàn)證和與場地有關(guān)的加密算法。

(2)防火墻技術(shù)。防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng),包括硬件和軟件。防火墻的主要功能是攔截來自外部的非法訪問并阻止內(nèi)部信息的外泄,由軟件和硬件組成的防火墻應(yīng)具備:a)所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻;b)所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán);c)理論上說,防火墻是穿不透的。但它無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作。防火墻技術(shù)主要有三種;數(shù)據(jù)包過濾器(packet filter)、(proxy)和狀態(tài)分析(stateful inspection)?,F(xiàn)代防火墻產(chǎn)品通?;旌鲜褂眠@幾種技術(shù)。事實(shí)上,在Internet上的網(wǎng)站中,超過三分之一的網(wǎng)站都是由某種形式的防火墻加以保護(hù),這是對黑客防范最嚴(yán),安全性較強(qiáng)的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。市場上的防火墻有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的,也有以固件形式設(shè)計(jì)在路由器之中的。防火墻技術(shù)應(yīng)用于網(wǎng)絡(luò)拓?fù)渲腥鐖D2所示。

(3)網(wǎng)絡(luò)防病毒技術(shù)。對于復(fù)雜的系統(tǒng),其錯(cuò)誤和漏洞是難以避免的,病毒就是利用系統(tǒng)中的漏洞,進(jìn)行網(wǎng)絡(luò)攻擊或信息竊取,構(gòu)成對網(wǎng)絡(luò)安全的巨大威脅。因此,我們必須嚴(yán)防計(jì)算機(jī)病毒對網(wǎng)絡(luò)的侵襲。管理上加強(qiáng)對工作站和服務(wù)器操作的要求,防止病毒從工作站侵入技術(shù)上可以采取無盤工作站、帶防病毒芯片的網(wǎng)卡、網(wǎng)絡(luò)防病毒軟件,設(shè)立網(wǎng)絡(luò)防毒系統(tǒng)和配備專用病毒免疫程序來進(jìn)行預(yù)防,采用多重技術(shù),互為補(bǔ)充。

(4)入侵檢測(Intrusion Detection System)。入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測是近年來發(fā)展起來的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法,對各種事件進(jìn)行分析,從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。作為計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分。在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動(dòng)防御體系。

(5)網(wǎng)絡(luò)加密技術(shù)。采用網(wǎng)絡(luò)加密技術(shù),可實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。實(shí)現(xiàn)對傳輸中的數(shù)據(jù)流加密,預(yù)防在存儲環(huán)節(jié)上的數(shù)據(jù)失密,并對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證,防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。

2.3 管理安全防護(hù)策略

網(wǎng)絡(luò)的使用與維護(hù),數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行,歸根結(jié)底都離不開人,所以要時(shí)刻加強(qiáng)對操作人員的管理與培訓(xùn)。根據(jù)國家、行業(yè)等相關(guān)標(biāo)準(zhǔn),結(jié)合實(shí)際機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問題,制定切實(shí)可行的規(guī)章制度對操作人員進(jìn)行培訓(xùn),提高技術(shù)水平,對系統(tǒng)進(jìn)行及時(shí)的升級并利用最新的軟件工具制定、分配、實(shí)施和審核安全策略加強(qiáng)內(nèi)部管理, 建立審計(jì)和跟蹤體系,提高整體信息安全意識進(jìn)行安全宣傳教育。對操作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問題進(jìn)行安全教育,嚴(yán)格執(zhí)行操作規(guī)章,提高操作人員責(zé)任心。

3 結(jié)論

保障數(shù)據(jù)庫系統(tǒng)安全,不僅涉及應(yīng)用技術(shù),還包括管理等層面上的問題,是各個(gè)防范措施綜合應(yīng)用的結(jié)果,是物理安全、網(wǎng)絡(luò)安全、管理安全等方面的防范策略有效的結(jié)合。在具體實(shí)施時(shí),應(yīng)根據(jù)具體情況、環(huán)境和需求,因地制宜進(jìn)行分析,采取相應(yīng)有效措施保護(hù)數(shù)據(jù)庫系統(tǒng)乃至整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

隨著數(shù)據(jù)庫系統(tǒng)的發(fā)展,對數(shù)據(jù)庫系統(tǒng)的攻擊方式也在不斷改變,數(shù)據(jù)庫系統(tǒng)的安全和維護(hù)工作,也應(yīng)該根據(jù)自身需求,跟隨技術(shù)和管理的發(fā)展而合理升級、更新。因此,針對數(shù)據(jù)庫系統(tǒng)運(yùn)行中不安全因素,應(yīng)該時(shí)刻關(guān)注安全技術(shù)的發(fā)展,對安全防范系統(tǒng)進(jìn)行必要升級,保障數(shù)據(jù)庫系統(tǒng)運(yùn)行安全。

參考文獻(xiàn):

[1] 王珊,薩師煊.數(shù)據(jù)庫系統(tǒng)概論[M].4版.北京:高等教育出版社,2006.

[2] 周學(xué)廣,劉藝.信息安全學(xué)[M].北京:機(jī)械工業(yè)出版社,2003.

[3] 楊方燕.數(shù)據(jù)庫系統(tǒng)安全保密技術(shù)探討[J].計(jì)算機(jī)科學(xué)與技術(shù),2006,24(6):51-53.

篇9

基于PKT技術(shù)和PGP協(xié)議的油田NGN下一代網(wǎng)絡(luò)是以分組網(wǎng)絡(luò)為基礎(chǔ)的融合網(wǎng)絡(luò)系統(tǒng),該系統(tǒng)受到IP分組網(wǎng)絡(luò)的主要安全因素的影響,例如會受到相關(guān)油田黑客DOS攻擊、電話盜聽、信息騷擾、信息盜取、病毒蠕蟲木馬的入侵、地址欺騙和非法掃描等安全威脅。

(1)基于IP進(jìn)行油田NGN網(wǎng)絡(luò)通信而繼承的安全問題。由于油田NGN下一代網(wǎng)絡(luò)是基于IP技術(shù)而實(shí)現(xiàn)通信的,因而NGN下一代網(wǎng)絡(luò)也繼承了IP系統(tǒng)安全問題。根據(jù)不同層次的IP協(xié)議對NGN的安全威脅進(jìn)行分層,可以分為來自高層協(xié)議的油田安全攻擊和來自底層協(xié)議的油田安全攻擊兩大類。來自高層協(xié)議的油田網(wǎng)絡(luò)安全攻擊主要是針對油田NGN網(wǎng)絡(luò)協(xié)議進(jìn)行的安全攻擊,主要對象為MEGACO、SIP、COPS和H.323等一些協(xié)議。來自高層協(xié)議的安全攻擊一般都是具有特定攻擊協(xié)議的,因此防止攻擊的方法也必須是針對特定的協(xié)議。而來自底層協(xié)議的安全攻擊主要是指對從第一層到第四層網(wǎng)絡(luò)的安全攻擊。

(2)油田NGN網(wǎng)絡(luò)系統(tǒng)中其他常見的安全攻擊種類。當(dāng)然,油田NGN網(wǎng)絡(luò)系統(tǒng)除了受到IP技術(shù)影響的安全威脅之外,還會遭受到其他一些種類的安全攻擊。第一,油田的服務(wù)會遭受拒絕,這也是安全攻擊的一種。所謂油田服務(wù)遭受到拒絕也就是說油田系統(tǒng)的指令或者命令沒有得到執(zhí)行,遭受到拒絕,這樣的安全攻擊會導(dǎo)致整個(gè)油田系統(tǒng)的網(wǎng)絡(luò)處于癱瘓,導(dǎo)致某一些網(wǎng)絡(luò)服務(wù)沒辦法正常運(yùn)行和使用。其次,是偽裝安全攻擊,也就是網(wǎng)絡(luò)黑客或者其他網(wǎng)絡(luò)的一些侵入黑客利用一些非法獲取的網(wǎng)絡(luò)信息或者油田信息和資源等,對信息進(jìn)行改造或偽裝,從而把這些非法的信息和命令進(jìn)行組合或者重新建設(shè),建設(shè)成看似合法其實(shí)是非法的網(wǎng)絡(luò)命令和網(wǎng)絡(luò)請求。例如,一些入侵網(wǎng)絡(luò)的黑客會進(jìn)入到油田的系統(tǒng)內(nèi)部,竊聽該油田系統(tǒng)的有關(guān)信息,盜取一些如密碼和用戶名之類的重要秘密信息。還有一些入侵者則是通過這些用戶名和密碼對油田系統(tǒng)的信息進(jìn)行非法的訪問。

二、提高油田NGN網(wǎng)絡(luò)安全的措施

(1)加強(qiáng)對NGN網(wǎng)絡(luò)中不斷變化的各種安全威脅的跟蹤。為了提高油田NGN下一代網(wǎng)絡(luò)的安全,防止受到安全攻擊和威脅,必須加強(qiáng)對NGN網(wǎng)絡(luò)中處于不斷變化之中的各種安全威脅的跟蹤。在設(shè)備方面,啟用嚴(yán)格的NGN網(wǎng)絡(luò)安全機(jī)制,并且確保所有一切不使用的網(wǎng)絡(luò)服務(wù)都關(guān)閉,這樣能夠有效地防止非法用戶對油田設(shè)備進(jìn)行非法入侵。此外,油田系統(tǒng)要充分發(fā)揮用戶認(rèn)證、病毒隔離、信息過濾、信息監(jiān)測和加密等各種防止網(wǎng)絡(luò)安全威脅措施的作用,最大限度地降低遭受安全攻擊的可能性。

(2)科學(xué)合理地制定NGN網(wǎng)絡(luò)安全規(guī)范和標(biāo)準(zhǔn)。目前而言,我國各個(gè)廠家在油田NGN網(wǎng)絡(luò)安全防范方面還沒有采取統(tǒng)一的措施與方法,沒有形成規(guī)范的標(biāo)準(zhǔn)的油田NGN網(wǎng)絡(luò)安全方法手段,因此迫切需要有關(guān)部門加強(qiáng)協(xié)調(diào),制定切實(shí)可行的統(tǒng)一的油田NGN網(wǎng)絡(luò)安全方法規(guī)范和標(biāo)準(zhǔn)。通過制定科學(xué)合理的網(wǎng)絡(luò)安全規(guī)范和準(zhǔn)則,能夠保證NGN網(wǎng)絡(luò)系統(tǒng)在油田NGN信令層面、終端層面、IP承載層面等各個(gè)環(huán)節(jié)的相互聯(lián)系和相互溝通,從而實(shí)現(xiàn)NGN網(wǎng)絡(luò)業(yè)務(wù)的安全。

(3)深入研究關(guān)于NGN網(wǎng)絡(luò)的安全協(xié)議,有針對性地采取方法措施。關(guān)于油田的NGN網(wǎng)絡(luò)系統(tǒng)由很多的網(wǎng)絡(luò)協(xié)議,主要有BICC、H.323、H.248/Megaco、SIP和SIGTRAN等。加強(qiáng)對油田NGN網(wǎng)絡(luò)安全協(xié)議的研究,并且制定具有針對協(xié)議安全的防范措施,能夠有效地防患于未然。

(4)加強(qiáng)對NGN網(wǎng)絡(luò)終端接入管理,防止安全威脅。就目前而言,油田NGN核心網(wǎng)絡(luò)系統(tǒng)綜合采取了多種措施進(jìn)行安全防范。油田NGN網(wǎng)絡(luò)會受到各種安全威脅,從而給整個(gè)油田網(wǎng)絡(luò)系統(tǒng)帶來了嚴(yán)重的安全隱患,加強(qiáng)對NGN網(wǎng)絡(luò)終端接入的管理,防止安全威脅勢在必行。

首先,從油田NGN網(wǎng)絡(luò)部署方面而言,可以充分采用防護(hù)墻等網(wǎng)絡(luò)安全設(shè)備,防止非法的用戶以非法的手段進(jìn)入油田的網(wǎng)絡(luò)。其次,在油田網(wǎng)絡(luò)傳輸機(jī)制方面而言,網(wǎng)絡(luò)安全主要是指油田通信的數(shù)據(jù)以及各種信息的安全性和完整性,安全性也就是不被非法偷聽,完整性就是信息和數(shù)據(jù)不被修改和刪除。要保證這些數(shù)據(jù)的安全,要求油田工作人員將控制信息和媒體信息都經(jīng)過邊緣接入控制器,這樣就可以保證一切的油田NGN通信都成為NGN網(wǎng)絡(luò)中的設(shè)備,能夠有效地實(shí)現(xiàn)接入端的安全。另外,加強(qiáng)油田NGN網(wǎng)絡(luò)安全,還可以通過采用一些安全機(jī)制來實(shí)現(xiàn),例如虛擬通道的方式能夠把開發(fā)的IP網(wǎng)絡(luò)賦予與TDM類似的安全性質(zhì)。

三、結(jié)語

篇10

1計(jì)算機(jī)網(wǎng)絡(luò)的概述計(jì)

算機(jī)網(wǎng)絡(luò),是指將地理位置不同的具有獨(dú)立功能的多臺計(jì)算機(jī)及其外部設(shè)備,通過通信線路連接起來,在網(wǎng)絡(luò)操作系統(tǒng),網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下,實(shí)現(xiàn)資源共享和信息傳遞的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。最龐大的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)就是因特網(wǎng),它由非常多的計(jì)算機(jī)網(wǎng)絡(luò)通過許多路由器互聯(lián)而成,因此因特網(wǎng)也稱為“國際互聯(lián)網(wǎng)”。計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)用非常廣泛,運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)可以實(shí)現(xiàn)資源信息的共享,如利用計(jì)算機(jī)網(wǎng)絡(luò)可以使不擁有大型計(jì)算機(jī)的用戶通過網(wǎng)絡(luò)使用大型機(jī)的打印機(jī)、掃描儀、繪圖儀等資源;通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可將分散在各地的計(jì)算機(jī)中的數(shù)據(jù)信息收集起來,進(jìn)行綜合分析處理,并把分析結(jié)果反饋給相關(guān)的各個(gè)計(jì)算機(jī)中,使數(shù)據(jù)信息得到充分共享。利用計(jì)算機(jī)網(wǎng)絡(luò)還可以實(shí)現(xiàn)數(shù)據(jù)通信。通過網(wǎng)絡(luò)上的文件服務(wù)器交換信息和報(bào)文、收發(fā)電子郵件、相互協(xié)同工作等。

2計(jì)算機(jī)網(wǎng)絡(luò)信息安全的概述

計(jì)算機(jī)網(wǎng)絡(luò)信息安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)信息的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)信息安全包括兩個(gè)方面,即物理層安全和邏輯層安全。物理層安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù),免于破壞、丟失等。邏輯層的安全包括信息的完整性、保密性和可用性。計(jì)算機(jī)網(wǎng)絡(luò)信息安全就是網(wǎng)絡(luò)上的信息數(shù)據(jù)安全。從廣義上說,凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。一般認(rèn)為,網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。從安全屬性來看,網(wǎng)絡(luò)安全包括5個(gè)基本要素:a.保密性。指信息不泄露給非授權(quán)的用戶、實(shí)體或過程,或供其利用的特性。b.完整性。指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。c.可用性。是指可被授權(quán)實(shí)體訪問,并按需求使用的特性,即當(dāng)需要時(shí)應(yīng)能存取所需的信息。d.可控性。指對信息的傳播及內(nèi)容具有控制能力,保障系統(tǒng)依據(jù)授權(quán)提供服務(wù),使系統(tǒng)任何時(shí)候不被非授權(quán)人使用,對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等采取防范措施。

3影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的主要因素

3.1缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)和軟件核心技術(shù)。我國信息化建設(shè)過程中缺乏自主技術(shù)支撐。計(jì)算機(jī)安全存在三大黑洞:CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進(jìn)口。我國計(jì)算機(jī)網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上是舶來品,這些因素使我國計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性能大大降低,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)信息處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)信息安全處于極脆弱的狀態(tài)。

3.2缺乏完整的安全評估系統(tǒng)。完整準(zhǔn)確的安全評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個(gè)網(wǎng)絡(luò)信息的安全防范能做出科學(xué)、準(zhǔn)確的分析評估,并保障將要實(shí)施的安全策略技術(shù)上的可實(shí)現(xiàn)性、經(jīng)濟(jì)上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)信息安全評估分析就是對網(wǎng)絡(luò)進(jìn)行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)安全狀況進(jìn)行評估、分析,并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)信息系統(tǒng)安全性能的過程。

3.3缺乏制度化的防范機(jī)制。不少企事業(yè)單位沒有從管理制度上建立相應(yīng)的安全防范機(jī)制,在整個(gè)運(yùn)行過程中,缺乏行之有效的安全檢查和應(yīng)對保護(hù)制度。不完善的制度滋長了網(wǎng)絡(luò)管理者和內(nèi)部人士自身的違法行為。許多網(wǎng)絡(luò)犯罪行為(尤其是非法操作)都是因?yàn)閮?nèi)部聯(lián)網(wǎng)電腦和系統(tǒng)管理制度疏于管理而得逞的。同時(shí),政策法規(guī)難以適應(yīng)網(wǎng)絡(luò)發(fā)展的需要,信息立法還存在相當(dāng)多的空白。個(gè)人隱私保護(hù)法、數(shù)據(jù)庫保護(hù)法、數(shù)字媒體法、數(shù)字簽名認(rèn)證法、計(jì)算機(jī)犯罪法以及計(jì)算機(jī)安全監(jiān)管法等信息空間正常運(yùn)作所需的配套法規(guī)尚不健全。由于網(wǎng)絡(luò)作案手段新、時(shí)間短、不留痕跡等特點(diǎn),給偵破和審理網(wǎng)上犯罪案件帶來極大困難。

3.4缺乏安全意識。日常人們利用網(wǎng)絡(luò)主要用于學(xué)習(xí)、工作和娛樂,對網(wǎng)絡(luò)信息的安全的認(rèn)識不夠。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但是這些保護(hù)措施在很大程度上形同虛設(shè)。與此同時(shí),網(wǎng)絡(luò)經(jīng)營者和機(jī)構(gòu)用戶注重的是網(wǎng)絡(luò)效應(yīng),對安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求。

4計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防范對策

4.1加強(qiáng)對計(jì)算機(jī)網(wǎng)絡(luò)信息安全的管理。計(jì)算機(jī)安全管理包括對計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念,提高計(jì)算機(jī)用戶的安全意識,對防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾,是十分重要的措施。

4.2安裝和配置防火墻。安裝和配置防火墻是當(dāng)前一種有效地保護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)的好辦法。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。

4.3經(jīng)常更新軟件。為了保護(hù)計(jì)算機(jī)免受來自Internet的侵襲。對計(jì)算機(jī)中的殺毒軟件要經(jīng)常進(jìn)行更新。另外,更新Windows操作系統(tǒng)本身也是很有必要,讓計(jì)算機(jī)軟件處于最新版本對于計(jì)算機(jī)安全大有裨益。

4.4增強(qiáng)網(wǎng)絡(luò)信息安全意識。要增強(qiáng)網(wǎng)絡(luò)信息安全意識,培養(yǎng)良好的使用習(xí)慣,不要輕易下載、使用不了解和存在安全隱患的軟件;或?yàn)g覽一些缺乏可信度的網(wǎng)站(網(wǎng)頁),以免個(gè)人計(jì)算機(jī)受到木馬病毒的侵入而帶來安全隱患。