引論:我們為您整理了13篇網絡安全方案范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
網絡安全是指為防范網絡攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網絡穩定、安全地運行。其主要特征是保證網絡信息的完整性、可用性和機密性[2]。
1.2企業網絡安全面臨的主要問題
企業網絡安全面臨的問題歸納如下:(1)網絡安全目標不明確。雖然《網絡安全法》已于2017年6月1日起施行,但企業對網絡安全的重要性依然認識不足,缺乏網絡安全規劃,沒有明確的網絡安全目標[3]。(2)網絡安全意識不足。從企業的決策者到普通員工并沒有充分意識到網絡安全的重要性,企業網絡安全存在很大隱患。(3)網絡安全設施不健全。無論大型企業,還是中小企業,都存在網絡安全基礎設施投入不足的問題,以致設施陳舊、不完整,面對外部攻擊和各種漏洞很容易發生信息丟失、泄露、竊用等現象。(4)缺乏完整的網絡安全解決方案。企業網絡安全防護呈現碎片化、分散化等特點[4],缺乏系統性、協同性、靈活性,面對萬物互聯和更高級的威脅,傳統防護手段捉襟見肘、防不勝防[5]。
1.3企業網絡安全需求
企業因網絡安全需要而產生的要求即為企業網絡安全需求,這是由企業內部網絡因素與外部網絡形勢共同決定的,內外都不會一成不變,所以企業網絡安全需求是一個動態過程,具有時效性。基于此,要準確把握企業網絡安全需求,必須對企業網絡安全現狀進行調查分析,一般而言,企業網絡安全主要包括內網安全、邊界安全及文件傳輸安全等方面[6],具體體現在以下幾個方面:(1)網絡安全策略需求。安全策略的有效性、完整性和實用性是企業網絡安全的一個重要需求。目前的企業網絡安全策略文檔過于簡單,而且沒有形成完整的體系,對企業網絡安全的指導性不足。(2)網絡安全組織需求。企業應建立結構完整、職能清晰的網絡安全組織機構,負責企業網絡安全策略制定、網絡安全培訓、網絡安全運行管理等。(3)網絡安全運行管理需求。企業應建立科學高效的運行管理體系,采用實用的運行管理方法,對服務器安全、網絡訪問可控性、網絡監控等進行管理。
2企業網絡安全解決方案
2.1企業網絡安全方案設計原則
網絡安全方案的設計原則旨在指導企業科學合理地設計網絡安全方案,避免失于偏頗和“詞不達意”,設計原則可以有很多,筆者認為最重要的原則如下:(1)多重防護原則。突破單一防護機制要比突破多重防護機制容易得多。(2)簡單適用原則。過于復雜的方案漏洞多,本身就不安全。(3)系統性原則。企業網絡安全面對的威脅是多方面的,只專注于一點無法保障網絡安全。(4)需求、風險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學會取舍,平衡風險與代價。(5)可維護性原則。沒有任何系統可以做到無懈可擊,要做到能隨時調整、升級、擴充。(6)技術與管理相結合原則。在改善安全技術的同時也要加強管理,減少管理漏洞,對于復雜的安全形勢,要多做預案,提前防范突發事件。
2.2企業網絡安全解決方案
2.2.1網絡分域防護方案網絡分域防護的原則是落實安全域的防護策略、制定訪問控制策略、檢查網絡邊界、分級防護等。從企業網絡安全需求及特點出發,將網絡組織架構從邏輯上分為互聯網域、服務區域、外聯域和內網核心區域,如圖1所示。互聯網域接入互聯網服務,服務區域即企業服務器放置區域,外聯域接入分公司區域,內網核心區域是指企業內部網絡互聯的核心設備區域。如此劃分的目的是保證具有相同防護需求的網絡及系統處于同一安全子域內,便于各個安全子域內部署相應等級的防護策略。2.2.2部署安全網關方案在外網與內網之間設置安全網關(如圖1所示),作為企業網絡系統的物理屏障,以保護內網安全。安全網關不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設備。該設備運用統一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護策略整合到統一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網絡技術組成。UTM在硬件上可以采用X86、ASIC、NP架構中的一種,X86架構適于百兆網絡,若是千兆網絡應采用ASIC架構或NP架構。在升級、維護及開發周期方面,NP架構比ASIC架構更有優勢。UTM軟件上可以集成防病毒、入侵檢測、內容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現特征庫統一和效率提升。UTM管理結構基于管理分層、功能分級思想,包含集中管理與單機管理的雙重管理機制,實現功能設置管理和數據分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(intrusionpreventionsystem)的英文縮寫,用于監視網絡或網絡設備上的數據傳輸,發現異常數據可以即時中斷傳輸或進行隔離,先于攻擊達成實現防護,與防火墻功能上互補,并支持串行接入模式,采用基于策略的防護方式,用戶可以選擇最適合策略達到最佳防護效果。IPS部署在服務區域與內網核心區域之間,或核心交換機與內部服務器之間(如圖1所示),可實時監測外部數據向內部服務器的傳輸過程,發現入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(intrusiondetectionsystem)的英文縮寫,能對網絡數據傳輸實時監視,發現可疑報警或采取其他主動反應措施,屬于監聽設備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機上,對進出內網與內部服務器的數據進行監測,如圖1所示。
篇2
我國關于網絡方面的基礎設施建設已經初步成型,而網上進行的各種業務也越來越多,保證網絡環境的安全,正常應用網絡已成為各企業正常開展業務基礎工作。各企業只有建立起安全的網絡安全方案就要了解計算機用戶安全環境、現狀與威脅,才能按照用戶需求,進行網絡安全方案的設計。網絡安全問題十分復雜,包括加密、防火墻及防病毒等網絡安全方案。
1網絡用戶的安全需求
1.1網絡環境
網絡環境包括計算機系統內部與行業間互聯網。
1.2網絡安全現狀
(1)計算機系統在企業內部通信、行業間通信,都缺少安全防護的措施,僅有部分單位對路由器設計了 過濾防火墻。
(2)計算機操作系統一般為UNIX和Windows NT,而桌面的操作系統都是Windows XP或者Win7,都沒有設置安全保護的措施。
(3)計算機系統訪問的控制能力不強,只能對現有操作、數據庫、電子郵件及應用方面的系統進行簡單的利用。
(4)計算機的應用環境沒有防病毒的能力,尤其在病毒數據庫更新上滯后。
(5)對病毒的內部或者外部的攻擊,沒有基本監控和保護的手段。
1.3網絡安全的威脅
對計算機網絡的系統結構進行分析,可以發現,計算機網絡安全的威脅主要有以下幾個方面:
(1)UNIX和WindowsNT等類別的操作系統有網絡安全上的漏洞。
(2)企業內部網的用戶帶來的安全威脅。
(3)企業外部的用戶帶來的安全威脅。
(4)應用了TCP/IP協議軟件,不具備安全性。
(5)缺少對應用服務的訪問控制,就要解決網絡中的安全隱患,才能保障網絡和信息安全。
2網絡方案的設計思想和原則
2.1網絡方案的設計思想
網絡安全是十分復雜的問題,一定要考慮到安全的層次和技術的難度,充分考慮費用的支出,所以,進行方案的設計時一定要遵循一定的設計思想,主要有幾下幾點:
(1)提高計算機系統安全性與保密性。
(2)保證網絡性能特點,也就是保證網絡協議與傳輸的透明性。
(3)網絡安全設計要易操作,易維護,要易于開展自動化的管理,不能過多過少增加一些附加的操作。
(4)在不影響網絡的拓撲結構時,擴展計算機系統的結構和功能。
(5)設計要做到一次投資,長期使用。
2.2網絡方案的設計原則
(1)遵循需求、風險和代價平衡原則,對網絡進行研究,對風險進行承擔,經過分析和研究,制定規范與措施。
(2)遵循綜合與整體的原則,將網絡安全模塊與設備引進系統的運行與管理中,提高系統安全性和各部分間邏輯的關聯性,保證協調一致運行。
(3)遵循可用性和無縫接入的原則。所有安全措施都要靠人來完成,如果設計太復雜,就會對人有過高要求。安全設備在安裝和運行中,不能改變網絡拓撲的結構,要保持對網絡內用戶的透明性。
(4)遵循設備先進和成熟,可管理和擴展。在安全設備選擇上,要先考慮到先進性,研究成熟性,選擇技術與性能優越的設備,可靠和適用的設備。保持網絡安全設備的統一管理和控制,實現網上對設備運行的監控。
3計算機網絡安全方案
根據以上設備思想和原則,進行計算機網絡安全方案的研究,方案使用的技術和設備、措施主要有以下幾點:
3.1 VLAN的技術
要保證企業局域網安全,就要選擇VLAN能力交換機的設備,通過用戶群組與系統資源完成訪問權限的劃分。可以控制各VLAN間信息的流向,方便各群組對相關信息的訪問。
3.2加密的技術
可以使用公共網進行數據的傳輸。廣域網進行信息傳輸很容易被黑客截取與利用,所以,要保證信息傳輸安全,就要在內聯網系統中使用鏈路加密機,進行傳輸信息的加密處理,對運行在互聯網上關鍵的業務也要進行加密的算法進行數據加密。
3.3防火墻
從網絡系統安全考慮,可以在內聯網和同行業進行網絡互聯,在網上布置防火墻,而防火墻的網絡入口點也要檢查好網絡通訊情況,對非法入侵要屏蔽處理。
3.4對入侵的檢測系統
通過防火墻技術,對內外網進行網絡保護,減少網絡的安全風險。可是,入侵會尋找防火墻的后門。近年來,推出了入侵的檢測系統,這是一種新型的網絡安全技術,可以實時進行入侵的檢測,應用防護的手段,對待入侵,可以快速斷開網絡的連接。
3.5安全掃描系統
安全掃描系統在階段已經是最先進的安全系統,可以測試與評價系統是否安全,及時發現安全漏洞。可以掃描設定網絡服務器和路由器等,設定模擬的攻擊,測試系統防御的能力。
3.6提高操作系統安全性
操作系統會存在安全漏洞,越是流行操作系統就存在越多的問題,可以進行安全增強與合理配置,具體增強與配置的內容有以下幾點:
(1)可以跟蹤系統的應用動態,增加安全補丁。
(2)可以檢查系統的設置,對數據存放的方式和訪問的控制及口令的選擇都要及時更新。
篇3
1.校園網網絡安全問題分析
1.1操作系統的漏洞
當前大多數學校的校園網都是采用windows操作系統,這就加大了安全的漏洞,服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導致這些漏洞被人發現并利用,極大的破壞了網絡系統的運行,給校園網絡的安全帶來不利的影響。
1.2網絡病毒的破壞
網絡病毒是校園網絡安全中最為常見的問題,其能夠使校園網網絡的性能變得較為低下,減慢了上網的速度,使計算機軟件出現安全隱患,對其中的重要數據帶來破壞,嚴重的情況下還會造成計算機的網絡系統癱瘓。
1.3來自外部網絡的入侵和攻擊等惡意破壞行為
校園網只有連接到互聯網上,才能實現與外界的聯系,使校園網發揮出重要的作用。但是,校園網在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯網內部的服務器以及數據庫帶來不利的影響,使一些重要的數據遭到破壞,給電腦系統造成極大的危害。
1.4來自校園網內部的攻擊和破壞
由于大多數高校都開設了計算機專業,一些學生在進行實驗操作的時候,由于缺乏專業知識,出于對網絡的興趣,不經意間會使用一些網絡攻擊工具進行測試,這就給校園網絡系統帶來一定的安全威脅。
2.校園網網絡安全的設計思路
2.1根據安全需求劃分相關區域
當前高校校園網都沒有重視到安全的問題,一般都是根據網絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現校園網的安全性。將校園網絡分為不同的安全區域,并對各個區域進行安全設置。其中可以對高校校園網網絡安全的互聯網服務區、廣域網分區、遠程接入區、數據中心區等進行不同的安全區域。
2.2用防火墻隔離各安全區域
通過防火墻設備對各安全區域進行隔離,同時防火墻作為不同網絡或網絡安全區域之間信息的出入口,配置不同的安全策略監督和控制出入網絡的數據流,防火墻本身具有一定的抗攻擊能力。防火墻把網絡隔離成兩個區域,分別為受信任的區域和不被信任的區域,其中對信任的區域將對其進行安全策略的保護,設置有效的安全保護措施,防火墻在接入的網絡間實現接入訪問控制。
3.校園網網絡安全方案設計
3.1主干網設計主干網可采用三層網絡構架,將原本較為復雜的網絡設計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。
3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網是一項廣泛使用的基礎,將其應用于校園網絡當中,能夠有效的實現虛擬網的劃分,形成一個邏輯網絡。使用這些技術,能夠優化校園網網絡的設計、管理以及維護。
3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能,而且還有交換機支持的訪問控制列表功能。應用于校園網絡當中,能夠合理的限制網絡非法流量,從而實現訪問控制。
3.3防火墻的使用防火墻是建立在兩個不同網絡的基礎之間,首先對其設置安全規則,決定網絡中傳輸的數據包是否允許通過,并對網絡運行狀態進行監視,使得內部的結構與運行狀況都對外屏蔽,從而達到內部網絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內、外網絡、對外服務器網絡實行分區域隔離,從而達到與外網相互隔離。二是防火墻能夠將對外服務器、網絡上的主機隔離在一個區域內,并對其進行安全防護,以此提升網絡系統的安全性。三是防火墻能夠限制用戶的訪問權限,有效杜絕非法用戶的訪問。四是防火墻能夠實現對訪問服務器的請求控制,一旦發現不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄,有助于完善審計體系。
4.結語
總而言之,校園網絡的安全是各大院校所關注的問題,當前校園網網絡安全的主要問題有操作系統的漏洞、網絡病毒的破壞、來自外部網絡的入侵和攻擊等惡意破壞行為、來自校園網內部的攻擊和破壞等【4】。要想保障校園網網絡的安全性,在校園網網絡安全的設計方面,應當根據安全需求劃分相關區域,用防火墻隔離各安全區域。設計一個安全的校園網絡方案,將重點放在主干網設計、安全技術的應用以及防火墻的使用上,不斷更新與改進校園網絡安全技術,從而提升校園網的安全性。
作者:金茂 單位:杭州技師學院
參考文獻:
[1]余思東,黃欣.校園網網絡安全方案設計[J]軟件導刊,2012,06:138-139
篇4
信息網絡技術以其方便快捷,資源共享以及工作效率高受到人們的青睞,日益深入人們的生活,為人們的生活帶來了的巨大的改變。任何事物的發展有其有利的一面就有其不利的一面,信息化的不斷發展使得網絡安全問題逐漸進入到人們的視野。網絡病毒,網絡黑客等隨時都會出現在某一臺電腦中竊取重要信息或損毀重要文件。
1 計算機網絡安全的問題及建設意義
1.1計算機網絡安全的問題
一是網絡病毒的肆虐,一些組織或個人因為某種目的,而在網絡上散播病毒,企圖竊取他人重要信息或損毀重要文件,對他人的財產安全造成威脅。網絡病毒也在不斷的升級中,讓人們防不勝防,成為保證網絡安全的一大阻力;二是網絡黑客的威脅,網絡信息的開放性,自由性和國際化為網絡黑客的侵入提供了方便,讓人們對信息化帶來的方便感到高興時也為其脆弱性感到擔憂。網絡安全系統存在較多漏洞,對于漏洞的發現與修補不及時便會給黑客以可乘之機;三是信息安全保障工作較為薄弱,在對病毒的安全檢測中,由于受到技術水平的限制,對很多病毒無法檢測,而使得人們在以為安全的情況下受到病毒的危害。提高應對網絡病毒與黑客入侵的技術,建立更強的安全保護屏障顯得尤為重要。
1.2計算機網絡安全的建設意義
網絡安全是保護計算機硬件、軟件和數據的保密性,完整性和可用性,避免被惡意損壞造成不必要的損失。但由于計算機網絡的多變性、復雜性以及信息資源的脆弱性,使得在保護網絡安全時更為困難。網絡安全一般由四部分組成,一是運行系統的安全,即保證系統的正常運行,避免因為系統自身問題造成信息輸入、存儲或傳輸出現問題;二是系統信息的安全,對信息進行各種安全防護,加密保護,訪問權限設置等以確保不被泄露;三是信息傳播的安全,對某些攜帶病毒的信息進行刪除過濾,在信息傳輸時加強對信息安全的保護,避免被惡意軟件捆綁,攜帶病毒;四是信息內容的安全,以保護信息的保密性,真實性和完整性為主,避免被入侵著竊取或損毀。
只有解決網絡信息安全問題才能促進信息化的進一步發展,推動人類社會的巨大進步。因此,提高網絡安全建設為社會發展進步提供便利。
2 計算機網絡安全方案
2.1病毒防護及身份鑒別
隨著計算機技術的不斷發展進步,病毒技術跟隨時代的步伐也在不斷發展壯大。必須進行全方位的病毒查殺,提高殺毒軟件的辨識能力,阻斷病毒侵入電腦的一切可能,阻斷病毒進入電腦的途徑便可大大降低病毒帶來的危害。在科技快速發展的帶領下,病毒的更新升級也在快速提高,因此防病毒系統的更新周期也應該較短。提高人們對病毒的防護意識,對一些來路不明的郵件,信息等及時刪除,在下載文件時選擇有安全保障的網站進行下載,讓病毒無法進入電腦,降低病毒對電腦的危害。對于機密性要求較高的信息,從其接收到傳輸都要有每一個人的身份驗證,只有有授權的人才可以接觸和看到這些信息,才不會被其他人從中竊取泄露機密。
2.2入侵檢測系統及防火墻升級
對于入侵檢測系統及防火墻都是人們根據病毒及黑客的入侵方式進行編程設計出來的軟件,這些軟件只能根據編程設計運行,很容易被黑客找到漏洞入侵,不斷加強對入侵檢測系統及防火墻的升級,對自身漏洞的修補,在諸多防護軟件的配合下,實現多重防護,構建一個安全穩定的網絡環境。開發新型防護軟件,加強對病毒及黑客的追蹤,一旦發現散播病毒之人加以嚴懲,從根源上減少病毒散播。
2.3提高安全管理制度
計算機網絡發展較為迅速,以前的管理體制早已不再適用,只有根據現代實際情況制定新的管理制度,應用新的管理技術,才能保障網絡安全。完善相關法律制度,加大對黑客及散播網絡病毒的人的懲罰力度。不斷加強對追蹤軟件的開發升級,加大對散播病毒人的追蹤,減少散播病毒的人數,也是保障網絡安全的重要環節。制定一些個人安全防護措施,在網絡中加以宣傳,加強人們在日常應用中的防護水平,在遇到不同情況時可以有很好的應對措施,減少不必要的損失。
2.4實體安全防護
在實際生活中,網絡危害對電腦的威脅最大,但損壞電腦、網絡設施及其他多媒體資料的事故,例如,地震、水災以及火災等災害也會造成數據的丟失和損壞,造成無法挽回的損失。現代人們都在使用電腦,但對于如何正確使用與保護電腦卻知之甚少,加強人們對正確使用電腦的意識,宣傳正確使用電腦的方法,可提高電腦的使用壽命,同時也可避免因錯誤使用造成的數據丟失等情況。因此,加強對這些基礎設施的保護,增強正確使用電腦的常識,是對網絡正常運行的基本保障。
3 總結
在科技迅猛發展的現代,人們對信息安全也越來越重視,國家與企業對信息安全有了更高的要求。如何更好的保護信息與網絡的安全,成為人們努力的目標。但計算機網絡安全是一段漫長而艱難的路,并不是用用檢測及殺毒軟件就可以做到的,它需要每個人的共同努力,設計完善一個網絡防護措施,全方位的保護網絡安全,才能為大家提供一個安全綠色的網絡環境。提高人們的個人修養及正確的價值觀,從根源上減少散播病毒及黑客人數。
參考文獻
篇5
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、計算機網絡安全的定義
計算機網絡安全指的是網絡系統中的硬件與軟件及其數據受到保護,而不會出現數據與信息的泄露、破壞或更改。簡單來講,計算機網絡安全就是信息安全。信息安全包括信息的可靠性、保密性、真實性、完整性以及可用性。
互聯網自從20世紀60年代開始運用后,計算機網絡開始迅速發展起來。隨著網絡上信息量的增長,網絡信息安全問題也頻繁出現。這些問題不僅危害著個人的生活,甚至會影響到公司的運營進程。所以維護計算機網絡安全至關重要。
二、計算機網絡安全現狀
第一,網絡安全問題的出現與計算機操作者本身是密不可分的。雖然目前很多計算機安全工具的出現預防了一些安全問題的發生。但是網絡安全問題的最終結果在很大程度上取決于計算機的操作者。如果操作者運用了不正當的手段進行網絡操作,或者進入了不健康網站瀏覽了不健康內容,就會導致個人信息的泄露,產生和增加網絡不安全因素。第二,網絡程序的設計往往會有漏洞,沒有一個沒有漏洞的程序。所以網絡黑客就會抓住機會,利用程序中出現的漏洞,對其他正常程序進行攻擊。最重要的是這種黑客采用的程序漏洞一般都不留痕跡,無法查證安全威脅發生的原因。第三,網絡安全工具的更新速度遠遠跟不上黑客攻擊正常程序的手段的發明和使用。通常只有在人為的參與下,才能發現和檢測出病毒的存在。在沒有檢查和檢測的前提下,這種病毒就不會被察覺出來,隱藏于電腦的程序中。但是往往一些病毒在發現之時就已經出現了計算機網絡安全問題。在這段計算機的“遲鈍期”內,黑客就很容易有機可乘,進而能夠使用最先進的、最新的手段對正常的程序進行攻擊。第四,防火墻功能的局限性也會導致網絡安全威脅的出現。因為防火墻可以通過限制外部的網絡對內部網絡的訪問,隱蔽內部結構,從而達到保護網絡內部結構的目的。但是防火墻卻無法阻止計算機網絡內部之間的攻擊和破壞。而且防火墻很難預防那些從網絡系統的后門進入的病毒。技術上的缺陷,使得網絡安全問題不斷出現新的、更高級的安全、隱患問題。
三、計算機網絡安全保障方案的制定與實施
(一)從國家和政府的角度去制定相關的政策法規,用法律的強制力去保證計算機網絡的安全。加大對網絡安全危害行為的懲罰力度,制定相應的具體的處罰措施。嚴厲懲治危害網絡安全,盜取別人信息的違法行為,減少網絡安全危害行為的發生。發揮政府的監督作用和強制作用,將維護計算機網絡安全提上日常日程。建立和完善相關的法律法規之后就對網絡安全危害行為造成一定的威懾力,將危害網絡安全的行為扼殺在搖籃中。(二)加大網絡安全危害行為的宣傳力度,增強每個網民的網絡安全意識。通過報紙、電視、網絡以及廣報等各種形式的宣傳,讓廣大網民意識到網絡安全問題的重要性。同時學習安全上網和文明上網,保證網絡信息的安全。加強網絡安全維護意識,有利于保護網民的隱私。當網絡信息安全意識深入到每個網民的內心,維護網絡安全的行為就會在潛意識里面發生。每個人都加強了安全防范意識,同時進行文明上網、健康上網。(三)從計算機的操作技術上進行防范網絡安全威脅的發生。對計算機的系統軟件、應用軟件以及硬件進行及時的更新和升級,增強系統對病毒的抵抗力。計算機用戶要進行正確的開機、關機以及上網行為,注意保護電腦上的軟件以及硬件設施。(四)提高防火墻技術、網絡防病毒技術、加密技術和入侵檢測技術,加強訪問控制,將病毒拒絕于門外。不斷進行專業的研究和分析,更新和升級各項技術,減少病毒的入侵幾率。定期運用這些技術隊電腦進行掃描和檢測,對個人電腦設置加密技術,只有制定的用戶和指導密碼的用戶才可以進行解密進入計算機網絡系統。(五)要注意IP地址的正確使用,避免被黑客鉆漏洞。
四、結語
在網絡安全問題日益得到重視的今天,網絡安全技術隨著國家以及專業人士的重視也得到了快速的發展和進步。但是,由于我國的信息安全產品制作方面缺少核心技術,真正能夠解決深層次的網絡安全問題的技術卻很少。所以,國家首先要重視發展網絡信息安全產業,在政策上給予支持。最重要的還是每位網民,因為接觸計算機、運用各種軟件以及系統的人的上網行為往往是病毒的準入證。只要每個網民都進行健康上網、文明上網,網絡安全就能實現。
參考文獻:
[1]彭秀芬,徐寧.計算機網絡信息系統安全防護分析[J].網絡安全技術與應用,2006,12
篇6
電力調度數據網絡在電力系統的運行中起到不可忽視的重要作用,良好的電力調度數據網絡環境有效保證電網經濟、安全、可靠、穩定的運行,為電力系統中的電力生產、燃料調度、水庫調度以及電網調度自動化、繼電保護等提供了便捷的通信條件,它為電力企業的生產與管理提供了良好保障。為了滿足基于虛擬專用網的電力調度數據網絡的安全性需求,相關技術人員要不斷在實際工作中總結經驗,設計出合理、科學的安全方案,以保證電力調度數據網絡更好地服務于企業,為企業帶來更多的經濟效益。
1電力調度數據網絡建設的必要性
隨著經濟社會的快速發展,各種現代化管理方式應運而生,電網管理方式的創新與管理水平的提高,帶動了電力調度業務的發展,良好的電力調度數據網絡能夠有效保障電網系統的安全性與經濟性,確保電網運行的穩定性。目前我國電力調度數據業務還局限在傳統模式上,運用的是傳統的數字專線模式,這種傳統電力調度數據模式使信息共享受到阻礙,造成了通信資源的浪費,隨著各種高科技產品的生產,各種電力調度業務不斷上線,對電網通道資源與數據共享的需求也逐漸增高。只有建設良好的電力調度數據網絡,才能保證電力系統的經濟性與安全性。
1.1電力調度數據網絡建設是自動化系統發展的需要
人們在經營各種生產生活等的活動中,都離不開電網的支持,為了更好地適應電網的發展需求,調度自動化系統在其功能上得到不斷的改進和完善,除了安全自動裝置、繼電保護以及傳統的調度自動化系統之外,一些現代化的系統諸如配網自動化系統、電能量計量系統、無人值班變電站監控設備等逐漸應用到電網系統中,這些新型系統設備的有效運用,使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加,各個調度系統之間要進行更多的信息共享與數據轉換,這就對通信網絡的要求越來越高,傳統的通信網絡在傳統實時數據時其數量和質量都受到了很大的局限,不能夠再適應現代電網自動化應用系統的需求。建立安全的基于VPN的電力調度數據網絡,在一些地區已經得到運用,其運行情況很好,對信息數據的傳輸速率與質量都有了明顯的提高,有效保證了自動化應用系統的發展需求。建立一個基于VPN的電力調度數據安全網絡,能夠有效提高電網運行的信息共享程度、傳輸速率,滿足電網自動化系統發展的需求。
1.2電力調度數據網絡建設是提高實時數據傳輸可靠性的需要
目前我國一些電力系統變電站的實時監控信息采用的是模擬和數字專線通道與地調調度自動化系統相結合的通信方式,每臺終端設備和地調之間要獨自單用一條或者是兩條專用的數據通道。這種采用模擬和數字專線通道與地調調度自動化系統進行通信的模式在通信傳輸時速率普遍較低,傳輸的信號會受到通道較大的干擾,傳輸的數據不穩定,也沒有網絡層間的保護系統,如果數據通道出現故障,那么數據信息就會立即丟失并且不能夠進行數據的恢復,這種點對點的傳輸方式需要在主站端設置較多的接口設備,由于操作配置的復雜性,使其在后期維護時工作量增大。建立電力調度數據網,能夠實現調度生產應用系統的網絡性模式,通過直接上網的方式來進行數據交換,有效的提高了信息傳輸的可靠性。基于VPN的電力調度數據網絡的建設,能夠保證信息數據傳輸的可靠性,不會因為通道出現故障而導致數據丟失的情況,主站端不必要設置大量的終端設備,方便了工作人員進行設備維護。
2基于VPN的電力調度數據網絡安全方案
基于VPN的電力調度數據網絡安全方案在設計時要遵循經濟性、流量優化、擴展性、節點可靠性以及拓撲可靠性等的原則。設計電力調度數據網絡安全方案時,在充分確保電力調度數據網絡的暢通性和可靠性的前提下,最大限度的減少網絡電路的數量、網絡電路的總里程以及寬帶,以此來盡量減小網絡的運行費用,為企業帶來更多的經濟效益。根據電力調度數據網絡的流量以及流向,在設置電路和寬帶時要保證其合理性配置,均勻的將網絡流量分布開來,保證各個電路寬帶均能充分的利用網絡流量,避免使網絡帶寬達到瓶頸,影響電力調度數據網絡的安全性。進行主干網絡的拓撲設計時,要充分遵循N-1的設備可靠性和電路可靠性原則,增加、修改或者減少網絡電路和節點時,要保證網絡的總體拓撲不受到影響。在設置網絡中各個骨干、核心的節點時,要采用雙設備配置,根據實際情況需求,進行設備的風扇、引擎以及電源燈冗余設計,注意電力調度數據網絡節點的熱插撥等特性。
在網絡設計中包括電力調度數據網絡的核心層、匯聚層以及接入層三層的設計。在核心層中進行核心路由器和核心層交換機的聯通性時,要注意保證核心層交換機的業務服務器在傳輸數據時具有不間斷性,順暢地發送到核心層路由器,再由核心層路由器再次轉發數據。核心層交換機要具備全局的地址,能夠保證網管服務器的正常訪問。核心層與匯聚層進行具體網絡的聯通時,要注意核心層交換機下聯的網絡管理服務器可以正常的對匯聚層的設備進行訪問,下聯的業務服務器能夠順利的連接匯聚層的業務地址并進行正常訪問。即使發生部分線路中斷的情況,匯聚層的各個業務地址仍然可以在冗余的網絡拓撲結構中進行數據的傳輸,或者是通過高可靠性的路由協議來完成數據的上傳,保證業務或者網管服務器正常接收數據。此外還應當注意匯聚層的不同站點業務地址不需要進行互通。電力調度數據網的核心層和骨干層的數據處理能力較強,因此在設計方案中將仿真分析集中于接入層。對于電力調度數據網絡安全方案的接入層設計,應當保證接入層中的業務流量可以進行不間斷的數據發送,接入層中的業務終端可以與核心層的業務服務器進行正常互通,接入層的網絡設備可以與核心層的網絡管理服務器進行正常的互通,只有同時達到這三個要求,才能保證接入層的網絡連通性。接入層采用的是低端網絡的嵌入式遠動監控設備,在安全方案設計中將基于IPSec的VPN內核進一步裁剪,在裁剪后的VPN安全框架中融入新的身份認證和密鑰協商算法,這樣能夠有利于新設計安全方案的實現,同時可以大幅度降低接入層設備在安全數據處理中的費用,減少電力調度數據網絡安全方案的設計投入。
3結語
總而言之,在電力系統的生產管理工作中,電力調度數據網絡起到對其的直接控制作用,電力調度數據網的重要性不容忽視。電力企業一定要重視電力調度數據網的安全性和實時性,不斷借鑒國外先進的技術,在實際運行工作中,注意總結和歸納,設計出一種合理的基于VPN的身份認證與密鑰協商相互融合的安全方案,消除電力調度數據網絡中實時性與安全性兩者之間的矛盾,使其為企業帶來更多的應用價值。
篇7
1 研究背景
近年來,全球的數據網絡正以令人驚奇的速度發展,為信息的交流和經濟的發展提供了高效的工具和便利的平臺。隨著電力建設的飛速發展,電力自動化數據網絡也迅速擴大,正在向全面覆蓋所有的電力企業邁進,電力系統數字化已是大勢所趨。電力調度自動化系統、配電自動化系統、電量計費系統、電力市場技術支持系統及交易系統、電力客戶服務中心系統、變電站自動化系統、發電廠監控系統、MIS 系統等,無一不是以高速的數據傳輸與交換為基本手段而建設的。電力自動化數據通信網絡利用因特網、無線網等的工具和平臺,在提高數據傳輸效率、減少開發維護工作量的同時,也帶來了新的問題,這就是內部機密信息在網絡上的泄密、以及被攻擊破壞等。
隨著計算機運算性能的提高,通信技術的不斷發展,電力通信協議也在不斷的改進,以適應通信數據類別、流量和實時性的要求。IEC60870規約系列規定了電力遠動、繼電保護數據、電能計費等多個方面的通信協議,甚至出現了104網絡通信規約,以適應網絡RTU在電力系統中的應用。各項信息安全技術也開始得到廣泛的應用,但是仍然是以以下觀點為基礎開展的,電力數據網絡的信息安全研究應該有所突破:
(1)電力通信網絡的兩個隔離。物理隔離作為國家的明文規定是建立在網絡條件不如人意,網絡威脅依然嚴重的情況下的,需要看到電力信息系統的開放性將是主流方向,基礎研究應該突破這個框架開展一些前瞻性的工作。(2)重點防護監控系統,對通信數據網絡的信息安全重視不足。雖然通信網絡的安全威脅相比而言較小,但是由于電力通信對實時性和可靠性的要求,使得通信數據網絡與電力監控系統的信息安全同等重要。(3)認為電力自動化通信沒有安全問題,或者認為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求,因此自動化通信的信息安全研究開展不多,還需要進行大量的研究。
2 電力系統無線通信對于信息安全的需求
電力自動化管理系統無線網絡中傳輸的數據非常混雜,從加密的技術角度來區分,可分為實時數據和非實時數據兩類。
2.1 實時數據的數據特點
無線網絡中傳輸的實時數據,其通信規約對時間的要求很嚴格,不允許較大的傳輸延遲;另一方面,實時數據的數據量相對較小,且數據流量比較穩定。主要包括:
(1)下行數據。包括遙控、遙調和保護裝置及其他自動裝置的整定值信息等。這類數據與設備狀態相關,直接影響到電網的安全運行。安全要求和實時要求都很高。(2)上行數據。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這類數據是電網穩定運行的判據,也是調度決策的依據,實時性要求很高。管理數據。如負荷管理、停電計劃等管理信息系統(MIS)的重要管理數據。這類數據對保密性有一定要求。實時數據其數據流量穩定且時效性快,但是要求實時性高、可靠性高,其保密性和數據完整性的要求也高,因此對實時數據加密必須慎之又慎。
2.2 非實時數據的數據特點
無線網絡中傳輸的非實時數據,其數據量一般較大,但時效性不高,可以允許一定的傳輸延遲。它主要包括電力設備的維護日志、電力用戶的電能質量信息等。非實時數據實時性要求不高,但是對數據完整性和保密性有一定的要求,在數據加密中要注意選擇合適的算法。
3 電力自動化系統的安全漏洞及解決方案
電力自動化應用系統,不論是電力負荷管理系統、電能量管理系統或是其它的應用系統,它的網絡結構框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應用系統都有一個中心站,它包括前置機、服務器等硬件設備及配套的管理軟件,它負責接收各個子站上傳的數據并通過管理軟件對數據進行分析、歸納和管理;另一方面,它也維護各個子站正常運行,并以下發命令的方式對子站進行操作管理;而且中心站還是本應用系統與其它的電力自動化應用系統進行數據共享和管理的一個數據接口。一般來說,中心站和子站之間以及中心站和其它應用系統之間的數據傳輸都是通過有線傳輸(如光纖)進行的。
中心站既是內部通信子站數據集中的一個節點,也是應用系統與外部進行數據收發的一個接口。只要攻擊者侵入了該節點,整個系統的數據就相當于暴露在了入侵者的面前。而且一旦中心站出現了故障,即使其它的通信子站均運行正常,整個系統也無法正常工作了。正由于它的重要性和脆弱性,因此對于中心站就更是要進行重點防護。防火墻就是一種有效的網絡安全保護措施,它可以按照用戶事先規定好的方案控制信息的流入和流出,監督和控制使用者的操作。防火墻大量的應用于企業中,它可以作為不同網絡或網絡安全域之間的信息的出入口,能根據企業的安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它能有效地監控內部網和 Internet之間的任何活動,保證內部網絡的安全。
防火墻的目的是在內部、外部兩個網絡之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火墻的數據流,實現對進、出內部網絡的服務和訪問的審計和控制。一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全提供方便。由于防火墻假設了網絡邊界和服務,因此更適合于相對獨立的網絡,例如Intranet 等種類相對集中的網絡。防火墻正在成為控制對網絡系統訪問的非常流行的方法。事實上,在Internet上的Web網站中,超過三分之一的Web網站都是由某種形式的防火墻加以保護,這是對黑客防范最嚴,安全性較強的一種方式,任何關鍵性的服務器,都建議放在防火墻之后。可見,防火墻處于可信網絡和不可信網絡邊界的位置,是可信網絡和不可信網絡數據交換的“門戶”,用來防止未經授權的通信進出被保護的內部網絡,通過邊界控制強化內部網絡的安全策略,其性能、可用性、可靠性、安全性等指標在很大程度上決定了網絡的傳輸效率和傳輸安全。防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理,從總體上來看,防火墻的基本功能有兩個:一是隔離,使內部網絡不與外部網絡進行物理直接連接;二是訪問控制,是進出內部網絡的數據包按照安全策略有選擇地轉發。圍繞這兩個基本功能,大量與安全有關的網絡技術和安全技術被綜合進防火墻設備中,使防火墻地功能不斷擴展,性能不斷提高。概括地說,功能較完善的防火墻采用了以下安全技術:
3.1.1 多級的過濾控制技術
一般采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。
3.1.2 網絡地址轉換技術(NAT)
利用NAT技術能透明地對所有內部地址作轉換,使外部網絡無法了解內部網絡的拓撲信息,同時允許內部網絡使用自己編的IP地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少,防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段,并實現了對郵件的加密。
3.1.4 審計和告警
對網絡事件進行審計,如果發現入侵行為將以發出郵件、聲響等多種方式報警。為了加強自動化應用系統的安全水平,需要在系統與其它網絡的接口之間設置一套防火墻設備。這樣既能防止外來的訪問者攻擊系統,竊取或者篡改系統數據;同時也能防止內部數據未經允許流向外部網絡。如圖1所示,在公網通信中,除了自動化系統與其它應用系統的接口外,子站采集自終端的數據要發送到中心站,也要通過 Internet網絡進行傳輸,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設備,來保證系統的安全運行。在專網通信中,由于整個通信網絡是一個相對獨立的網絡,因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無線終端的安全防護手段
無論是哪種無線網絡,都有若干數量的無線終端,它們是通信系統的最基本的組成結構,通過通信子站與中心站進行通信。因為無線終端的數據眾多,也使它們往往成為系統安全漏洞所在。對于應用系統而言,保護系統信息安全與保護系統業務正常是同等重要的。保護系統信息安全首先必須保證信息訪問的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認證技術來給信息的訪問加上一把鎖,二是要通過適當的訪問控制模型顯式地準許或限制訪問能力及范圍。這就引出了兩種信息安全技術:身份認證技術及訪問控制技術。通過這兩種技術手段,就能有效的解決以上的兩個安全問題。對于自動化應用系統來說,系統內的終端用戶只是采集電力用戶數據并上傳給服務器,并不存在越權訪問系統信息的問題。因此采用身份認證技術就足以解決無線終端的信息保護問題了。
身份認證是指被認證對象向系統出示自己身份證明的過程,通常是獲得系統服務所必須的第一道關卡。身份認證需要證實的是實體本身,而不是象消息認證那樣證實其合法性、完整性。身份認證的過程一般會涉及到兩方面的內容識別和驗證。識別,就是要對系統中的每個合法注冊的用戶具有識別能力,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標識符。驗證是指訪問者聲明自己的身份后,系統還必須對它聲稱的身份進行驗證。標識符可以是非秘密的,而驗證信息必須是秘密的。
身份認證系統有兩方認證和三方認證兩種形式兩方認證系統由被認證對象和認證方組成,被認證對象出示證件,提出操作要求,認證方檢驗被認證對象所提供證件的合法性和有效性三方認證系統除了被認證對象和認證方外,還有一個仲裁者,由雙方都信任的人充當仲裁和調節。建立一個身份認證系統的應滿足的是:1)可識別率最大化:認證方正確識別合法被認證對象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認證對象欺騙認證方的成功率最小化;3)不可傳遞性:認證方不可以用被認證對象提供的信息來偽裝被認證對象;4)計算有效性:實現身份認證所需的計算量要小;5)安全存儲:實現身份認證所需的參數能夠安全的存儲;6)第三方可信賴性:在三方認證的系統中,第三方必須是雙方都信任的人或組織或可信安全性身份認證系統所使用的算法的安全性是可證明和可信任的。
電力自動化系統內部使用身份認證技術,在每一個無線終端的實體上增加了一道安全防護,如圖2 所示。在進行數據傳輸之前,驗證對方是否是系統內的合法用戶。可以防止入侵者偽裝成內部用戶,獲取系統數據。
3.3 保護系統信息安全的常用方案-算法加密
除了以上的信息安全技術之外,算法加密技術是一種被普遍應用的安全技術。它在發送方將要發送的數據根據一定的算法進行加密,變成不可識別的密文;而在接收方通過對應的解密算法再將密文轉化為明文。從而保證數據在傳輸過程中的保密性。
4 結論
該文研究了電力自動化無線通信系統中的信息安全問題。隨著電力自動化無線通信技術的快速發展,對網絡信息安全的要求也不斷提高。無線通信技術有著其自身的特點,要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬,又要有效地提高系統的安全防護強度。
參考文獻
[1] 孫毅,唐良瑞,杜丹.配電自動化中的通信網解決方案[J].燕山大學學報,2004,5(28):423-426.
篇8
一、網絡安全概述
(一)網絡安全的基本概念
網絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現。
(二)網絡面臨的主要攻擊
⑴ 緩沖區溢出。
⑵ 遠程攻擊。
⑶ 口令破解。
⑷ 超級權限。
⑸ 拒絕服務(DDOS)。
二、安全需求
通過對網絡系統的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權實體有權訪問數據。
機密性: 信息不暴露給未授權實體或進程。
完整性: 保證數據不被未授權修改。
可控性: 控制授權范圍內的信息流向及操作方式。
可審查性:對出現的安全問題提供依據與手段。
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
三、網絡安全防護策略
個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。
第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。
第二個層次,是通過路由器后進入網站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內的實際安全狀態,部署網絡入侵檢測系統(IDS)。入侵檢測系統可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業務平臺的攻擊行為和內部網絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊。
第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統,防范網頁被非法篡改。
此外,還部署網絡漏洞掃描系統,定期或不定期的對接服務器區進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。
第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性。
(二)多種防護手段
我們設計的高強度安全防護措施,包括多種防護手段,即有靜態的防護手段,如防火墻,又有動態的防護手段,如網絡IDS、網絡防病毒系統。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角。
(三)防火墻系統
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
防火墻可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在此次的網絡系統安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制。防火墻可將網絡分成若干個區域,Trust(可信任區,連接內部局域網),Untrust(不信任區,連接Internet ),DMZ(中立區,連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區域。
(四)網絡入侵檢測系統的作用
通過使用網絡入侵檢測系統,我們可以做到:發現誰在攻擊網絡:解決網絡防護的問題(網絡出入口、DMZ、關鍵網段)。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統免受二次攻擊。
處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據。實現安全事件來源追查。 DDOS攻擊防范:通過實時監控網絡流量,及時發現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷。
四、安全服務
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料。
五、總結
毫無疑問,安全是一個動態的問題。在做未來的計劃時,既要考慮用戶環境的發展,也要考慮風險的發展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網絡安全的解決方案從人員安全、物理層安全、邊界安全、網絡安全、主機安全、應用程序和數據安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網絡系統:
進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡。
拿不走: 使用屏蔽、防下載機制,實現對用戶的權限控制。
讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序。
改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。
走不脫: 使用日志、安全審計、監控技術使得攻擊者不能抵賴自己的行為。
參考文獻:
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.
篇9
1 電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2 電信網絡安全面臨的形勢及問題
2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4 相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3 電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1 發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2 網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3 網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4 主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5 系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
篇10
據了解,從1997年底至今,我國的政府部門、證券公司、銀行、ISP、1CP等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網絡基礎設施和網絡應當攻擊者B對圖像Iwl2進行解釋攻擊時,有兩種情況:偽造原始圖像Ib=Iwl2-Wb,偽造水印Wb進行攻擊。當發生版權糾紛,A向仲裁者J提供lwl和,攻擊者提供lb和水印Wb,仲裁者得出如下結論:①對A來說,用Iwl和Iwl2檢測U得知其上嵌有W&,對U檢測得嵌有Wla(無需原圖檢測),對lb檢測,其上嵌有水印Wh-Wb和②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有Wb,對lb檢測用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,間時一些負責M絡安全的工程技術人員對許多潛在風險認識不足,缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。可見,加強計算機網絡安全意識和相關的技術是非常必要的。
網絡安全隱患網絡具有互連性,導致網絡分布的廣域性、網絡體系結構的開放性、信息資源的共享性和通信信道的通用性,使得計算機網絡存在很多的隱患。它們是網絡安全的致命之處。這些隱患有人為的因素,也有其他的因素,有有意的,也有無意的。有來自網絡內部的,也有來自外部的影響。這些隱患對網絡安全產生直接或間接威脅。
計算機網絡安全隱患主要來自Web服務器的漏洞,其次是計算機病毒傳播,究其原因主要表現在以下方面:得kwwb-Wh和偸Wwla,蚣iwliin上嵌Wwla,沒¥Wb,所以lb是偽造的,B不是原作者,解釋攻擊失敗。攻擊者B偽造原始圖像Ib=IwI2-Whl,偽造水印Wbl,再對lb偽造魯棒性水印進行攻擊。當發生版權糾紛,A向仲裁者J提供。和雙18,攻擊者提供lb和水印,仲裁者得出如下結論:①對A來說,用Iwl和Iwl2檢測Iwl2得知其上嵌有W&,對Iwl檢測得嵌有Wia(無需原圖檢測),對lb檢測,其上嵌有水印和Wa;②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有WIb,對lb檢測得嵌有和嵌有Wla,對IW|檢測上嵌有Wla,沒有,所以lb是偽造的,B不是原作者,解釋攻擊失敗。
從上述分析可見,雙水印技術能有效地抵抗解釋攻擊。因為當攻擊者B多次偽造圖像,并多次插人偽造水印,勢必造成圖像在一定程度上的失真,令圖像數據不能被非法利用。通過研究攻擊方法可以找出現有水印方案中的大量不足之處。應該指出的是,對于一個水印系統,核心問題是如何檢測水印而不是如何嵌入水印。同時,攻擊往往形式多樣,并不局限于對水印算法本身,常常一些簡單的攻擊就可以使水印系統失敗。了解這些攻擊以及可能還會有的新的攻擊方法將幫助我們設計出更好的水印方案。
Web服務器存在的主要漏洞包括:物理路徑泄露、CGI源代碼泄露、S錄遍歷、執行任意命令、緩沖IX:溢出、拒絕服務、條件競爭和跨站腳本執行漏洞等,網絡病毒傳播:隨著計算機技術的不斷發展,病毒也變得越來越復雜和高級。新一代的計算機病毒充分利用某些常用操作系統與應用軟件的低防護性的弱點不斷肆虐,通過網絡傳播,將含病毒文件附加在郵件中的情況不斷增多,使得病毒的擴散速度也急劇提高,受感染的范圍越來越廣,這種病毒,我們稱為網絡病毒。原先常見的計算機病毒的破壞性無非就是格式化硬盤,刪除系統與用戶文件、破壞數據庫等等,而傳播途徑也無非是通過遭病毒感染的軟件的互相拷貝,攜帶病毒的盜版光盤的使用等,如感染磁盤系統區的引導型病毒和感染可執行文件的文件型病毒,而網絡病毒除了具有普通病毒的這些特性外,還具有遠端竊取用戶數據、遠端控制對方計算機等破壞特性,比如特洛伊木馬病毒和消耗網絡計算機的運行資源,拖垮網絡服務器的蠕蟲病毒。
網絡安全的防御面對各種網絡威脅,不能坐以待斃,要采取積極的應對措施,措施得當,損失就能減到最小。計算機網絡安全技術分析計算機網絡安全從技術上來說,主要由防病毒、防火墻、人侵檢測、網絡監控、信息審計、通信加密等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、人侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
防火墻。防火墻的主要功能。首先防火墻是網絡安全的屏障。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段前,數據加密主要使用的有對稱密鑰加密和非對稱密鑰(也稱公幵密鑰)加密兩種技術數據加密的功能:首先通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。其次廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
入侵檢測技術。入侵檢測是指“通過對行為、安全日志、審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖人或闖人的企圖”。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻志預測和起訴支持。人侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。
人侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作。檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式:,
防病毒技術。隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機網絡系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本丁作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒人侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。當然,網絡防病毒軟件本身必然需要增加額外的服務器系統資源消耗,此類軟件對網絡性能的影響還是較為明顯的,因此在使用過程中必須慎重選擇。
篇11
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網絡安全概述
1.1 網絡病毒
(1)計算機感染病毒的途徑:校園內部網感染和校園外部網感染。
(2)病毒入侵渠道:來自Internet 或外網的病毒入侵、網絡郵件/群件系統、文件服務器和最終用戶。主要的病毒入口是Internet,主要的傳染方式是群件系統。
(3)計算機病毒發展趨勢:病毒與黑客程序相結合,病毒破壞性更大,制作病毒的方法更簡單,病毒傳播速度更快,傳播渠道更多,病毒的實時檢測更困難。
(4)切斷病毒源的途徑:要防止計算機病毒在網絡上傳播、擴散,需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源。
1.2 網絡攻擊
(1)校園網與Internet 相連,面臨著遭遇攻擊的風險。
(2)校園網內部用戶對網絡的結構和應用模式都比較了解,存在的安全隱患更大一些。
(3)目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。
(4)存在“重技術、輕安全、輕管理”的傾向。
(5)服務器與系統一般都沒有經過細密的安全配置。
2 校園網絡安全分析
2.1 物理安全分析
網絡的物理安全風險主要有環境事故(如地震、水災、火災、雷電等)、電源故障、人為操作失誤或錯誤、設備被盜或被毀、電磁干擾、線路截獲等。
2.2 網絡結構的安全分析
網絡拓撲結構設計也直接影響到網絡系統的安全性。從結構上講,校園網可以分成核心、匯聚和接入三個層次;從網絡類型上講,可以劃分為教學子網、辦公子網、宿舍子網等。其特點是接入方式多,包括撥號上網、寬帶接入、無線上網等各種形式,接入的用戶類型也非常復雜。
2.3 系統的安全分析
系統安全是指整個網絡的操作系統和網絡硬件平臺是否可靠且值得信賴,其層次分為鏈路安全、網絡安全、信息安全。目前,沒有完全安全的操作系統。
2.4 應用系統的安全分析
應用系統的安全是動態的、不斷變化的,涉及到信息、數據的安全性。
2.5 管理的安全風險分析
安全管理制度不健全、責權不明確及缺乏可操作性等,都可能引起管理安全的風險。
3 校園網絡安全解決方案
3.1 校園內部網絡安全方案
3.1.1 內網病毒防范
在網絡的匯聚三層交換機上實施不同的病毒安全策略。網絡通過在交換機上設置相應的病毒策略,配合網絡的認證客戶端軟件,能偵測到具體的計算機上是否有病毒。
3.1.2 單機病毒防范
教師機安裝NT 內核的操作系統,使用NTFS 格式的分區;服務器可以使用Windows Server甚至UNIX或類UNIX系統。學生機安裝硬盤還原卡、保護卡或者還原精靈,充分利用NTFS分區的“安全”特性,設置好各個分區、目錄、文件的訪問權限。安裝簡單的包過濾防火墻。
3.1.3 內部網絡安全監控
采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機,能把網絡訪問安全控制前移到用戶的接入點。利用三層交換機的網絡監控軟件,對網絡進行即時監控。
3.1.4 防毒郵件網關系統
校園網網關病毒防火墻安裝在Internet 服務器或網關上,在電腦病毒通過Internet 入侵校園內部網絡的第一個入口處設置一道防毒屏障,使得電腦病毒在進入網絡之前即被阻截。
3.1.5 文件服務器的病毒防護
服務器上安裝防病毒系統,可以提供系統的實時病毒防護功能、實時病毒監控功能、遠程安裝和遠程調用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。
3.1.6 中央控制管理中心防病毒系統
建立中央控制管理中心系統,能有效地將跨平臺、跨路由、跨產品的所有防毒產品的管理綜合起來,使管理人員能在單點實現對全網的管理。
3.2 校園外部網絡安全方案
3.2.1 校園網分層次的拓撲防護措施
層次一是中心級網絡,主要實現內外網隔離、內外網用戶的訪問控制、內部網的監控、內部網傳輸數據的備份與稽查;層次二是部門級,主要實現內部網與外部網用戶的訪問控制、同級部門間的訪問控制、部門網內部的安全審計;層次三是終端/個人用戶級,主要實現部門網內部主機的訪問控制、數據庫及終端信息資源的安全保護。
3.2.2 校園網安全防護要點
(1)防火墻技術。目前,防火墻分為三類,包過濾型防火墻、應用型防火墻和復合型防火墻(由包過濾與應用型防火墻結合而成)。利用防火墻,可以實現內部網與外部網絡之間或是內部網不同網絡安全域的隔離與訪問控制,保證網絡系統及網絡服務的可用性。
(2)防火墻設置原則。一是根據校園網安全策略和安全目標,遵從“不被允許的服務就是被禁止”的原則;二是過濾掉以內部網絡地址進入路由器的IP包和以非法IP地址離開內部網絡的IP包;三是在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用;四是定期查看防火墻訪問日志,及時發現攻擊行為和不良的上網記錄;五是允許通過配置網卡對防火墻進行設置,提高防火墻管理的安全性。
(3)校園網部署防火墻。系統中使用防火墻,在內部網絡和外界Internet之間隔離出一個受屏蔽的子網,其中WWW、E-mail、FTP、DNS 服務器連接在防火墻的DMZ區,對內、外網進行隔離。內網口連接校園網內網交換機,外網口通過路由器與Internet 連接。
(4)入侵檢測系統的部署。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,可以彌補防火墻相對靜態防御的不足。根據校園網絡的特點,將入侵檢測引擎接入中心交換機上,對來自外部網和校園網內部的各種行為進行實時檢測。
(5)漏洞掃描系統。采用先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供周密、可靠的安全性分析報告。
3.2.3 校園網防護體系
構造校園網“包過濾防火墻+NAT+計費++VPN+網絡安全檢測+監控”防護體系,具體解決的問題是:內外網絡邊界安全,防止外部攻擊,保護內部網絡;隔離內部不同網段,建立VLAN;根據IP地址、協議類型、端口進行過濾;內外網絡采用兩套IP地址,需要網絡地址轉換NAT功能;通過IP地址與MAC地址對應防止IP欺騙;基于用戶和IP地址計費和流量統計與控制;提供應用服務,隔離內外網絡;用戶身份鑒別、權限控制;支持透明接入和VPN 及其管理;網絡監控與入侵檢測。
4 校園網絡運營安全
4.1 認證的方式
網絡運營是對網絡用戶的管理,通過“認證的方式”使用網絡。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二層交換機上實現,需要接入的所有交換機都支持802.1x協議,實現整網的認證。
(2)基于流的認證方式。指交換機可以用基于用戶設備的MAC地址、VLAN、IP等實現認證和控制,能解決傳統802.1x無法解決但對于運營是十分重要的一些問題,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客戶端機器上安裝服務器軟件實現多人共用一個賬號上網的現象非常普遍,給學校的運營帶來很大的損失。使用三層交換機上的802.1x擴展功能和802.1x客戶端,防止非認證的用戶借助軟件從已認證的端口使用服務或訪問網絡資源,做到學校提供一個網絡端口只能一個用戶上網。
4.3 賬戶管理
學生是好奇心強的群體,假冒DHCP SERVER和IP、MAC給學校的運營管理帶來很大的麻煩。通過匯聚三層交換機和客戶端軟件配合,發現有假冒的DHCP SERVER,立即封掉該賬戶。
5 校園網絡的訪問控制策略
5.1 建立并嚴格執行規章制度
規章制度作為一項核心內容,應始終貫穿于系統的安全生命周期。
5.2 身份驗證
對用戶訪問網絡資源的權限進行嚴格的認證和控制。
5.3 病毒防護
主要包括預防計算機病毒侵入、檢測侵入系統的計算機病毒、定位已侵入系統的計算機病毒、防止病毒在系統中的傳染、清除系統中已發現的病毒和調查病毒來源。
6 校園網絡安全監測
校園網絡安全監測可采用以下系統或措施:入侵檢測系統;Web、E-mail、BBS的安全監測系統;漏洞掃描系統;網絡監聽系統;在路由器上捆綁IP和MAC地址。這些系統或措施在不影響網絡性能的情況下能對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
7 校園網絡系統配置安全
7.1 設置禁用
禁用Guest賬號;為Administrator設置一個安全的密碼;將各驅動器的共享設為不共享;關閉不需要的服務,運用掃描程序堵住安全漏洞,封鎖端口。
7.2 設置IIS
通過設置,彌補校園網服務器的IIS 漏洞。
7.3 運用VLAN 技術來加強內部網絡管理VLAN 技術的核心是網絡分段,網絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中,通常采用二者相結合的方法。
7.4 遵循“最小授權”原則
指網絡中的賬號設置、服務配置、主機間信任關系配置等都應為網絡正常運行所需的最小限度,這可以將系統的危險性大大降低。
7.5 采用“信息加密”技術
包括算法、協議、管理在內的龐大體系。加密算法是基礎,密碼協議是關鍵,密鑰管理是保障。
8 校園網絡安全管理措施
安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。
9 結束語
校園網安全是一個動態的發展過程,應該是檢測、監視、安全響應的循環過程。確定安全技術、安全策略和安全管理只是一個良好的開端,只能解決60%~90%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等,這些都是對信息系統安全的挑戰。
參考文獻:
[1]孫念龍.后門防范技巧[J].網管員世界,2005(6).
[2]段新海.校園網安全問題分析與對策[J].中國教育網絡,2005(3).
篇12
Keywordscomputer;network security;precautionary measure
一、網絡安全的定義及內涵
1、定義。網絡安全從其本質上來講就是計算機網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全措施是指為保護網絡免受侵害而采取的措施的總和。
2、內涵。網絡安全根據其本質的界定,應具有以下三個方面的特征:①保密性:是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網絡系統的每一個層次都存在著不同的保密性,因此也需要有相應的網絡安全防范措施。在物理層,要保護系統實體的信息不外露,在運行層面,保證能夠為授權使用者正常的使用,并對非授權的人禁止使用,并有防范黑客,病毒等的惡性攻擊能力。②完整性:是指信息未經授權不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統在惡劣環境下的工作能力。在運行層面,要保證系統時刻能為授權人提供服務,保證系統的可用性,使得者無法否認所的信息內容,接受者無法否認所接收的信息內容。
二、網絡自身特性及網絡安全發展現狀
網絡信息自身具有很多不利于網絡安全的特性,例如網絡的互聯性,共享性,開放性,網絡操作系統的漏洞及自身設計缺陷等,網絡目前的發展已經與當初設計網絡的初衷大相徑庭,安全問題已經擺在了非常重要的位置上,安全問題如果不能解決,會嚴重地影響到網絡的應用。現在越來越多的惡性攻擊事件的發生說明當前網絡安全形勢嚴峻,不法分子的手段越來越先進,因此網絡安全的防范措施要能夠應付不同的威脅,保障網絡信息的保密性、完整性和可用性。目前我國的網絡系統和協議還存在很多問題,還不夠健全不夠完善不夠安全。計算機和網絡技術具有的復雜性和多樣性,使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。
三、網絡安全解決方案及實例分析
要解決網絡安全,首先要明確我們的網絡需要實現的目標,一般需要達到以下目標:①身份真實性:對通信實體身份的真實性進行識別。②信息保密性:保證密級信息不會泄露給非授權的人或實體。③信息完整性:保證數據的一致性,防止非授權用戶或實體對數據進行任何破壞。④服務可用性:防止合法用戶對信息和資源的使用被不當的拒絕。⑤不可否認性:建立有效的責任機制,防止實體否認其行為。⑥系統可控性:能夠控制使用資源的人或實體的使用方式。⑦系統易用性:在滿足安全要求的條件下,系統應該操作簡單、維護方便。⑧可審查性:對出現問題的網絡安全問題提供調查的依據和手段。
為了最大程度的保證網絡安全,目前的方法有:安全的操作系統及應用系統、防火墻、防病毒、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件往往是無法確保信息網絡的安全的。圖1是某一網絡實例的安防拓撲簡圖,日常常見的安防技術在里面都得到了運用:
1、防火墻技術。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻,一般設置在不同網絡或網絡安全域之間,它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻是目前保護網絡免遭黑客襲擊的有效手段,市場上的防火墻種類繁多,它們大都可通過IE瀏覽器控制,可視化好,易于操作,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,無法防范數據驅動型的攻擊。
2、防病毒技術。病毒因網絡而猖獗,對計算機系統安全威脅也最大,做好防護至關重要。應采取全方位的企業防病毒產品,實施層層設防、集中控制、以防為主、防殺結合的策略。一般公司內部大都采用網絡版殺毒軟件,病毒庫聯網升級,管理員可通過系統中心制定統一的防病毒策略并應用至下級系統中心及本級系統中心的各臺終端,可實施實時監控,主動防御,定時殺毒等功能。但實踐證明,僅依靠一款殺毒軟件,一種策略,并不能完整的清除所有病毒,有時需要制訂不同的安全策略或與另外一款殺毒軟件同時使用方可,此時需要具體情況具體分析。
3、入侵檢測技術。入侵檢測幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力,提高信息安全基礎結構的完整性。它在不影響網絡性能的情況下對網絡進行監控,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。具體的任務是監視、分析用戶及系統活動;系統構造和弱點審計;識別反映已進攻的活動規模并報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性;操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
4、安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統三者相互配合,對網絡安全的提高非常有效。通過對系統以及網絡的掃描,能夠對自身系統和網絡環境有一個整體的評價,并得出網絡安全風險級別,還能夠及時的發現系統內的安全漏洞,并自動修補。如果說防火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然。
5、網絡主機的操作系統安全和物理安全措施。操作系統種類繁多,而Windows因其諸多優點被普遍采用,但Windows存在諸多漏洞,易于被攻擊,因此需要定期進行更新。北信源補丁分發系統通過定時探測各終端的補丁數,自動給各終端打上補丁,較大程度的避免了因系統漏洞導致的信息安全問題。安全系數要求高的網絡,有必要對其進行物理隔絕,采用專用軟件控制各終端的外設,對各終端操作人員進行身份驗證等等。
6、安全加密技術。分為對稱加密技術和不對稱加密技術。前者是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰;不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密,其中硬件加密又有信道機密和主機終端加密等。
7、網絡安全應急響應體系。網絡安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生變化。應該隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略,并及時組建網絡安全應急響應體系,專人負責,防范安全事件的突然發生。
總之,網絡的第一道防線防火墻并不能完全保護內部網絡,必須結合其它措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施,按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線,主要防范部分突破防火墻以及從內部發起的攻擊。在防火墻和主機安全措施之后,是全局性的由系統安全審計、入侵檢測和應急處理機制構成的整體安全檢查和反應措施。
四、小結
網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,單一的技術是不能解決網絡的安全防護問題的。隨著信息技術的不斷發展,各行各業信息化建設的腳步也越來越快,計算機技術和網絡技術已深入應用到人們生產生活的各個領域,各種活動對計算機網絡的依賴程度也越來越高。增強人這一主體的安全意識,普及計算機網絡安全教育,提高計算機網絡安全技術水平,改善其安全現狀,才是最有效的防范措施。
參考文獻
[1]胡道元,閔京華.網絡安全(2版).北京:清華大學出版社. 2008(10)
[2]黃怡強等.淺談軟件開發需求分析階段的主要任務.中山大學學報論叢,2002(01)
[3]胡道元.計算機局域網[M].北京:清華大學出版社,2001
篇13
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
