引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全防護(hù)手段范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一,網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了。第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化。第三,隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此,建立有中國(guó)特色的網(wǎng)絡(luò)安全體系,需要國(guó)家政策和法規(guī)的支持及安全產(chǎn)品生產(chǎn)集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題,我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。
1 網(wǎng)絡(luò)安全現(xiàn)狀
由于政務(wù)網(wǎng)、商務(wù)網(wǎng)所有業(yè)務(wù)應(yīng)用系統(tǒng)都基于一個(gè)企業(yè)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn),因此,應(yīng)用與應(yīng)用之間難以有效地隔離;同時(shí),用戶情況復(fù)雜,有的用戶屬于重要應(yīng)用崗位,有的屬于一般崗位。雖然這些用戶對(duì)應(yīng)用的安全服務(wù)要求不同,但他們均混雜在一個(gè)局域網(wǎng)絡(luò),因此對(duì)用戶較難以分別控制。此外,政務(wù)網(wǎng)、商務(wù)網(wǎng)應(yīng)用是基于開放的平臺(tái)實(shí)現(xiàn)的,開放系統(tǒng)平臺(tái)和開放的通訊協(xié)議存在安全缺陷及漏洞,同時(shí)也造成了這些應(yīng)用存在著安全上的隱患。總之,各種應(yīng)用之間可能存在信息非法訪問(wèn)、存取的機(jī)會(huì),這都給政務(wù)網(wǎng)、商務(wù)網(wǎng)的信息應(yīng)用的安全運(yùn)行帶來(lái)巨大的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括用戶對(duì)信息的誤用、濫用、盜用以及破壞。對(duì)于政務(wù)網(wǎng)、商務(wù)網(wǎng)等信息應(yīng)用系統(tǒng)來(lái)說(shuō),面臨的攻擊、威脅的主要手段有:病毒、破壞硬件設(shè)備、冒充、篡改、竊取等。在網(wǎng)絡(luò)系統(tǒng)中,無(wú)論任何調(diào)用指令,還是任何反饋均是通過(guò)網(wǎng)絡(luò)傳輸實(shí)現(xiàn)的,所以網(wǎng)絡(luò)信息傳輸上的安全就顯得特別重要。信息的傳輸安全主要是指信息在動(dòng)態(tài)傳輸過(guò)程中的安全。為確保政務(wù)網(wǎng)、商務(wù)網(wǎng)網(wǎng)絡(luò)信息的傳輸安全,主要應(yīng)注意對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽。對(duì)網(wǎng)上傳輸?shù)男畔ⅲ粽咧恍柙诰W(wǎng)絡(luò)的傳輸鏈路上通過(guò)物理或邏輯的手段,就能對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,進(jìn)而獲得用戶或服務(wù)方的敏感信息。計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨以下四種威脅:截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。中斷——有意中斷他人在網(wǎng)絡(luò)上的通信。篡改——故意篡改網(wǎng)絡(luò)上傳送的報(bào)文。偽造——偽造信息在網(wǎng)絡(luò)上傳送。
2 網(wǎng)絡(luò)安全管理監(jiān)控
信息系統(tǒng)安全性起于好的管理。這包括檢查所有重要文件和目錄的所有者和許可權(quán)限,監(jiān)視特權(quán)賬戶的使用,檢查信息的使用及占有情況等。在一個(gè)信息系統(tǒng)運(yùn)行中,影響系統(tǒng)安全的因素很多,但其中50%與管理因素有關(guān)。政務(wù)網(wǎng)、商務(wù)網(wǎng)信息系統(tǒng)較為復(fù)雜,一旦信息處理的某個(gè)節(jié)點(diǎn)或環(huán)節(jié)出現(xiàn)問(wèn)題,很可能導(dǎo)致信息系統(tǒng)降低效率或癱瘓。而信息系統(tǒng)單純依靠人工管理存在較大困難和諸多安全隱患,因此,需要一種手段和技術(shù)來(lái)保證信息系統(tǒng)的可管理性,并減少信息系統(tǒng)維護(hù)的費(fèi)用。在政務(wù)網(wǎng)、商務(wù)網(wǎng)等信息系統(tǒng)中,分布式結(jié)構(gòu)和網(wǎng)絡(luò)計(jì)算占了重要地位。隨著信息系統(tǒng)規(guī)模的擴(kuò)大,我們會(huì)發(fā)現(xiàn)一個(gè)問(wèn)題,就是策略的統(tǒng)一性、連續(xù)性。我們知道,對(duì)于政務(wù)網(wǎng)、商務(wù)網(wǎng)而言,整個(gè)信息系統(tǒng)是一個(gè)整體,想保證整體系統(tǒng)的可靠性、可用性和安全性,那么必須保持每一個(gè)局部的網(wǎng)絡(luò)或者主機(jī)的安全性和可靠性。現(xiàn)在很多安全方面的隱患是由于整體信息系統(tǒng)的策略實(shí)施的不統(tǒng)一造成的。因此,當(dāng)政務(wù)網(wǎng)、商務(wù)網(wǎng)制訂了企業(yè)的整體安全策略時(shí),除了通過(guò)規(guī)章制度把這些想法傳達(dá)下去,還要具備相應(yīng)的技術(shù)手段來(lái)保證這一點(diǎn)。
對(duì)于政務(wù)網(wǎng)、商務(wù)網(wǎng)這樣的用戶必須建立一個(gè)集中式管理的概念,就是數(shù)據(jù)和處理能力可以是分散的,但對(duì)于管理而言,應(yīng)該是集中的。而所管理的內(nèi)容應(yīng)該包括企業(yè)網(wǎng)絡(luò)中一些重要的信息,如:系統(tǒng)的集中管理、網(wǎng)絡(luò)的集中管理、應(yīng)用的集中管理、防火墻系統(tǒng)的集中管理、網(wǎng)絡(luò)用戶的集中管理,以及和這些相關(guān)的管理信息的復(fù)制、更新和同步。
3 防火墻技術(shù)及其發(fā)展趨勢(shì)
防火墻是由軟件、硬件構(gòu)成的系統(tǒng),是一種特殊編程的路由器,用來(lái)在兩個(gè)網(wǎng)絡(luò)之間實(shí)施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的,為的是可以最適合本單位的需要。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。此外,還有多種防火墻產(chǎn)品正在朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。
防火墻必須在基于芯片加速的深度內(nèi)容過(guò)濾技術(shù)上實(shí)現(xiàn)真正的突破,并推出實(shí)用化的產(chǎn)品以解決當(dāng)前的網(wǎng)絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展,防火墻會(huì)更多地參與應(yīng)用層分析、芯片解決計(jì)算加速技術(shù),防火墻必將以軟硬兼施的方案為用戶的應(yīng)用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作,形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。防火墻下一步的發(fā)展與中國(guó)下一代網(wǎng)絡(luò)的建設(shè)緊密相關(guān),如IPv6網(wǎng)絡(luò)、P2P應(yīng)用、3G、4G網(wǎng)絡(luò)等等。這里特別強(qiáng)調(diào)的是防火墻與IPv6。由于IPv6網(wǎng)絡(luò)的新特性,如端到端的連接、移動(dòng)IP的處理、內(nèi)嵌IPSec、路徑MTU探測(cè)等,給防火墻帶來(lái)新的安全挑戰(zhàn)。防火墻不僅要及時(shí)適應(yīng)IPv6網(wǎng)絡(luò)的發(fā)展,并解決IPv6引入后帶來(lái)的新問(wèn)題,同時(shí),由于IPv6與IPv4網(wǎng)絡(luò),網(wǎng)絡(luò)必然會(huì)同時(shí)存在IPv4的安全問(wèn)題與IPv6的安全問(wèn)題,或由此造成新的安全問(wèn)題。下一步要考慮的,不僅僅是更適應(yīng)于網(wǎng)絡(luò)發(fā)展的防火墻模型,可能還會(huì)包括網(wǎng)絡(luò)安全防范與評(píng)估方法等。在Internet無(wú)所不在的理念下,防火墻等網(wǎng)絡(luò)安全產(chǎn)品也必將站在可信賴應(yīng)用與計(jì)算環(huán)境為基礎(chǔ)的角度上設(shè)計(jì)并解決安全問(wèn)題。當(dāng)前基于不同架構(gòu)設(shè)計(jì)實(shí)現(xiàn)的防火墻都將面臨巨大的挑戰(zhàn),為此付出的代價(jià)也將是不同的。防火墻技術(shù)和產(chǎn)品已經(jīng)相對(duì)成熟,但還存在一定的技術(shù)局限性,防火墻仍不能完全滿足用戶的需求。網(wǎng)絡(luò)攻防是一對(duì)矛盾,用戶需求激發(fā)技術(shù)創(chuàng)新,網(wǎng)絡(luò)與應(yīng)用也在日新月異,在關(guān)鍵處理技術(shù)上實(shí)現(xiàn)創(chuàng)新,并對(duì)防火墻在各種網(wǎng)絡(luò)環(huán)境中的實(shí)際應(yīng)用、穩(wěn)定性與易用性,以及整體網(wǎng)絡(luò)安全解決方案進(jìn)行研究,一直會(huì)是防火墻技術(shù)的重要內(nèi)容。因此,防火墻技術(shù)將持續(xù)快速發(fā)展,技術(shù)突破將必然帶來(lái)新的天地。
4 結(jié)論
篇2
0 引言
隨著數(shù)據(jù)業(yè)務(wù)快速發(fā)展,信息化程度不斷提高,國(guó)民經(jīng)濟(jì)對(duì)信息系統(tǒng)的依賴不斷增強(qiáng),迫切需要數(shù)據(jù)業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)層面建立清晰的組網(wǎng)結(jié)構(gòu)。同時(shí),根據(jù)國(guó)家安全等級(jí)保護(hù)的要求,需要不斷細(xì)化各業(yè)務(wù)系統(tǒng)的安全防護(hù)要求,落實(shí)更多的數(shù)據(jù)業(yè)務(wù)等級(jí)保護(hù)問(wèn)題。針對(duì)數(shù)據(jù)業(yè)務(wù)系統(tǒng)規(guī)模龐大、組網(wǎng)復(fù)雜的現(xiàn)狀,以及向云計(jì)算演進(jìn)的特點(diǎn),按照等級(jí)保護(hù)和集中化的要求,需要對(duì)運(yùn)營(yíng)商數(shù)據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行安全域的劃分和邊界整合,明確數(shù)據(jù)業(yè)務(wù)系統(tǒng)組網(wǎng)結(jié)構(gòu)。在此基礎(chǔ)上,進(jìn)一步提出了數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略,促進(jìn)數(shù)據(jù)業(yè)務(wù)系統(tǒng)防護(hù)水平和安全維護(hù)專業(yè)化水平的整體提高。
1 數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅
隨著全球信息化和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)峻,黑客攻擊日益猖獗,尤其是以下幾個(gè)方面的問(wèn)題引起了人們的廣泛關(guān)注,給電信信息化安全帶來(lái)了新的挑戰(zhàn)。
(1)黑客攻擊是竊取網(wǎng)站集中存儲(chǔ)信息的重要手段,通過(guò)獲取用戶口令,尋找出網(wǎng)絡(luò)缺陷漏洞,從而獲取用戶權(quán)限,達(dá)到控制主機(jī)系統(tǒng)的目的,導(dǎo)致用戶重要信息被竊取。
(2)隨著移動(dòng)互聯(lián)網(wǎng)智能終端的快速發(fā)展,3G和wifi網(wǎng)絡(luò)的大量普及,惡意程序成為黑客攻擊智能終端的一個(gè)重要手段,針對(duì)智能終端的攻擊不斷增加,最終將導(dǎo)致重要資源和財(cái)產(chǎn)的嚴(yán)重?fù)p失。
(3)隨著電子商務(wù)的普及,人們現(xiàn)已逐步習(xí)慣通過(guò)支付寶、網(wǎng)上銀行或者第三方交易平臺(tái)進(jìn)行交易,黑客將對(duì)金融機(jī)構(gòu)中的信息實(shí)施更加專業(yè)化和復(fù)雜化的惡意攻擊。
(4)自韓國(guó)爆發(fā)大規(guī)模黑客入侵事件以來(lái),APT(Advanced Persistent Threat)攻擊更加盛行,主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等,由于APT攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性,同時(shí)網(wǎng)絡(luò)風(fēng)險(xiǎn)與日劇增,傳統(tǒng)的安全防護(hù)系統(tǒng)很難抵御黑客的入侵,這就需要企業(yè)和運(yùn)營(yíng)商全方位提升防護(hù)能力。
(5)隨著云計(jì)算大規(guī)模的應(yīng)用,作為一種新型的計(jì)算模式,對(duì)系統(tǒng)中的安全運(yùn)營(yíng)體系和管理提出了新的挑戰(zhàn),虛擬化軟件存在的安全漏洞需要更加全面地進(jìn)行安全加固,建立一套完整的安全體制。
2 數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統(tǒng)內(nèi)根據(jù)業(yè)務(wù)性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來(lái)劃分的網(wǎng)絡(luò)邏輯區(qū)域,同一區(qū)域有相同的安全保護(hù)需求、安全訪問(wèn)控制和邊界控制策略,網(wǎng)絡(luò)內(nèi)部有較高的互信關(guān)系。
安全域劃分的目的是清晰網(wǎng)絡(luò)層次及邊界,對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)、分等級(jí)防護(hù),根據(jù)縱深防護(hù)原則,構(gòu)建整體網(wǎng)絡(luò)的防護(hù)體系,抵御網(wǎng)絡(luò)威脅,保證系統(tǒng)的順暢運(yùn)行及業(yè)務(wù)安全。通過(guò)安全域的劃分,可以有利于如下四方面:
(1)降低網(wǎng)絡(luò)風(fēng)險(xiǎn):根據(jù)安全域的劃分及邊界整合,明確各安全域邊界的災(zāi)難抑制點(diǎn),實(shí)施縱深防護(hù)策略,控制網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),保護(hù)網(wǎng)絡(luò)安全。
(2)更易部署新業(yè)務(wù):通過(guò)安全域劃分,明確網(wǎng)絡(luò)組網(wǎng)層次,對(duì)網(wǎng)絡(luò)的安全規(guī)劃、設(shè)計(jì)、入網(wǎng)和驗(yàn)收總做進(jìn)行指導(dǎo)。需要擴(kuò)展新的業(yè)務(wù)時(shí),根據(jù)新業(yè)務(wù)的屬性及安全防護(hù)要求,部署在相應(yīng)的安全域內(nèi)。
(3)IT內(nèi)控的實(shí)效性增強(qiáng):通過(guò)安全域的劃分,明確各安全域面臨的威脅,確定其防護(hù)等級(jí)和防護(hù)策略。另外,安全域劃分可以指導(dǎo)安全策略的制定和實(shí)施,由于同一安全域的防護(hù)要求相同,更有利于提高安全設(shè)備的利用率,避免重復(fù)投資。
(4)有利于安全檢查和評(píng)估:通過(guò)安全域劃分,在每個(gè)安全域部署各自的防護(hù)策略,構(gòu)建整體防護(hù)策略體系,方便運(yùn)維階段進(jìn)行全局風(fēng)險(xiǎn)監(jiān)控,提供檢查審核依據(jù)。
2.2 安全域劃分
根據(jù)安全域的定義,分析數(shù)據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅,確定威脅的類型及不同業(yè)務(wù)的安全保護(hù)等級(jí),通常將數(shù)據(jù)業(yè)務(wù)系統(tǒng)劃分為四類主要的安全域:核心生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)。
(1)核心生產(chǎn)區(qū):本區(qū)域由各業(yè)務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)及存儲(chǔ)設(shè)備組成,與數(shù)據(jù)業(yè)務(wù)系統(tǒng)核心交換區(qū)直接互聯(lián),外部網(wǎng)絡(luò)不能與該區(qū)域直接互聯(lián),也不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)核心生產(chǎn)區(qū)的設(shè)備。
(2)內(nèi)部互聯(lián)接口區(qū):本區(qū)域由連接內(nèi)部系統(tǒng)的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成,主要放置企業(yè)內(nèi)部網(wǎng)絡(luò),如IP專網(wǎng)等連接,及相關(guān)網(wǎng)絡(luò)設(shè)備,具體包括與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備,如網(wǎng)管采集設(shè)備。
(3)核心交換區(qū):負(fù)責(zé)連接核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)接口區(qū)和內(nèi)部互聯(lián)接口區(qū)等安全域。
(4)互聯(lián)網(wǎng)接口區(qū):和互聯(lián)網(wǎng)直接連接,具有實(shí)現(xiàn)互聯(lián)網(wǎng)與安全域內(nèi)部區(qū)域數(shù)據(jù)的轉(zhuǎn)接作用,主要放置互聯(lián)網(wǎng)直接訪問(wèn)的設(shè)備(業(yè)務(wù)系統(tǒng)門戶)。
2.3 邊界整合
目前,對(duì)于以省為單位,數(shù)據(jù)業(yè)務(wù)機(jī)房一般是集中建設(shè)的,通常建設(shè)一個(gè)到兩個(gè)數(shù)據(jù)業(yè)務(wù)機(jī)房。進(jìn)行數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合前,首先要確定邊界整合的范圍:至少以相同物理位置的數(shù)據(jù)業(yè)務(wù)系統(tǒng)為基本單位設(shè)置集中防護(hù)節(jié)點(diǎn),對(duì)節(jié)點(diǎn)內(nèi)系統(tǒng)進(jìn)行整體安全域劃分和邊界整合。若物理位置不同,但具備傳輸條件的情況下,可以進(jìn)一步整合不同集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口。
對(duì)節(jié)點(diǎn)內(nèi)系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域,集中設(shè)置和防護(hù)互聯(lián)網(wǎng)出口和內(nèi)部互聯(lián)出口,集中部署各系統(tǒng)共享的安全防護(hù)手段,并通過(guò)縱深防護(hù)的部署方式,提高數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)水平,實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全工作“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”。
通常數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合有兩種方式:集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合和跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口。
(1)集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合
根據(jù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合的基本原則,物理位置相同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)通常設(shè)置一個(gè)集中防護(hù)節(jié)點(diǎn)。在集中防護(hù)節(jié)點(diǎn)內(nèi)部,根據(jù)安全域最大化原則,通過(guò)部署核心交換設(shè)備連接不同系統(tǒng)的相同類型子安全域,整合形成大的安全域,集中設(shè)置內(nèi)部互聯(lián)出口和互聯(lián)網(wǎng)出口。整合后的外部網(wǎng)絡(luò)、各安全域及其內(nèi)部的安全子域之間滿足域間互聯(lián)安全要求,整個(gè)節(jié)點(diǎn)共享入侵檢測(cè)、防火墻等安全防護(hù)手段,實(shí)現(xiàn)集中防護(hù)。
(2)跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口
在具備傳輸條件的前提下,將現(xiàn)有集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口整合至互備的一個(gè)或幾個(gè)接口,多個(gè)集中防護(hù)節(jié)點(diǎn)共享一個(gè)互聯(lián)網(wǎng)傳輸出口。通過(guò)核心路由器連接位置不同的集中防護(hù)節(jié)點(diǎn),并將網(wǎng)絡(luò)中的流量路由到整合后的接口。各節(jié)點(diǎn)可以保留自己的互聯(lián)網(wǎng)接口區(qū),或者進(jìn)一步將互聯(lián)網(wǎng)接口區(qū)集中到整合后的接口位置。
在安全域劃分及邊界整合中,根據(jù)安全域最大化原則,多個(gè)安全子域會(huì)被整合在一個(gè)大的安全域內(nèi)。同時(shí),根據(jù)域間互聯(lián)安全要求和最小化策略,這些安全子域之間不能隨意互聯(lián),必須在邊界實(shí)施訪問(wèn)控制策略。
3 數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)策略
3.1 安全域邊界的保護(hù)原則
(1)集中防護(hù)原則:以安全域劃分和邊界整合為基礎(chǔ),集中部署防火墻、入侵檢測(cè)、異常流量檢測(cè)和過(guò)濾等基礎(chǔ)安全技術(shù)防護(hù)手段,多個(gè)安全域或子域共享手段提供的防護(hù);
(2)分等級(jí)防護(hù)原則:根據(jù)《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》和《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》的指導(dǎo),確定數(shù)據(jù)業(yè)務(wù)業(yè)務(wù)系統(tǒng)邊界的安全等級(jí),并部署相對(duì)應(yīng)的安全技術(shù)手段。對(duì)于各安全域邊界的安全防護(hù)應(yīng)按照最高安全等級(jí)進(jìn)行防護(hù);
(3)縱深防護(hù)原則:通過(guò)安全域劃分,在外部網(wǎng)絡(luò)和核心生產(chǎn)區(qū)之間存在多層安全防護(hù)邊界。由于安全域的不同,其面臨的安全風(fēng)險(xiǎn)也不同,為了實(shí)現(xiàn)對(duì)關(guān)鍵設(shè)備或系統(tǒng)更高等級(jí)防護(hù),這就需要根據(jù)各邊界面臨的安全風(fēng)險(xiǎn)部署不同的安全技術(shù)及策略。
3.2 安全技術(shù)防護(hù)部署
對(duì)于數(shù)據(jù)網(wǎng)絡(luò),一般安全防護(hù)手段有防火墻、防病毒系統(tǒng)、入侵檢測(cè)、異常流量檢測(cè)和過(guò)濾、網(wǎng)絡(luò)安全管控平臺(tái)(包含綜合維護(hù)接入、賬號(hào)口令管理和日志審計(jì)模塊)等5類通用的基礎(chǔ)安全技術(shù)。下面以數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分和邊界整合為基礎(chǔ),進(jìn)行安全技術(shù)手段的部署。
(1)防火墻部署:防火墻是可以防止網(wǎng)絡(luò)中病毒蔓延到局域網(wǎng)的一種防護(hù)安全機(jī)制,但只限制于外部網(wǎng)絡(luò),因此防火墻必須部署在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界。同時(shí),對(duì)于重要系統(tǒng)的核心生產(chǎn)區(qū)要構(gòu)成雙重防火墻防護(hù),需要在核心交換區(qū)部署防火墻設(shè)備。由于安全域內(nèi)部互聯(lián)風(fēng)險(xiǎn)較低,可以復(fù)用核心交換區(qū)的防火墻對(duì)內(nèi)部互聯(lián)接口區(qū)進(jìn)行防護(hù),減少防火墻數(shù)量,提高集中防護(hù)程度。
(2)入侵檢測(cè)設(shè)備的部署:入侵檢測(cè)主要通過(guò)入侵檢測(cè)探頭發(fā)現(xiàn)網(wǎng)絡(luò)的入侵行為,能夠及時(shí)對(duì)入侵行為采取相應(yīng)的措施。入侵檢測(cè)系統(tǒng)中央服務(wù)器集中部署在網(wǎng)管網(wǎng)中,并控制部署在內(nèi)部互聯(lián)接口區(qū)和互聯(lián)網(wǎng)接口區(qū)之間的入侵檢測(cè)探頭,及時(shí)發(fā)現(xiàn)入侵事件。同時(shí)安全防護(hù)要求較高的情況下,將入侵檢測(cè)探頭部署在核心交換區(qū),通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包的分析和判斷,實(shí)現(xiàn)各安全子域間的訪問(wèn)控制。
(3)防病毒系統(tǒng)的部署:防病毒系統(tǒng)采用分級(jí)部署,對(duì)安全域內(nèi)各運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端,在內(nèi)部互聯(lián)接口子域的內(nèi)部安全服務(wù)區(qū)中部署二級(jí)防病毒控制服務(wù)器,負(fù)責(zé)節(jié)點(diǎn)內(nèi)的防病毒客戶端。二級(jí)服務(wù)器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略實(shí)施集中統(tǒng)一管理。
(4)異常流量的檢測(cè)和過(guò)濾:為了防御互聯(lián)網(wǎng)病毒、網(wǎng)絡(luò)攻擊等引起網(wǎng)絡(luò)流量異常,將異常流量檢測(cè)和過(guò)濾設(shè)備部署在節(jié)點(diǎn)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側(cè),便于安全管理人員排查網(wǎng)絡(luò)異常、維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)、保證網(wǎng)絡(luò)安全。
(5)網(wǎng)絡(luò)安全管控平臺(tái):網(wǎng)絡(luò)安全管控平臺(tái)前置機(jī)接受部署在數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)管網(wǎng)內(nèi)的安全管控平臺(tái)核心服務(wù)器控制,部署在各集中防護(hù)節(jié)點(diǎn)的內(nèi)部互聯(lián)接口區(qū)的安全服務(wù)子域中,實(shí)現(xiàn)統(tǒng)一運(yùn)維接入控制,實(shí)現(xiàn)集中認(rèn)證、授權(quán)、單點(diǎn)登錄及安全審計(jì)。
(6)運(yùn)行管理維護(hù):安全工作向來(lái)三分技術(shù)、七分管理,除了在安全域邊界部署相應(yīng)的安全技術(shù)手段和策略外,日常維護(hù)人員還要注重安全管理工作。一方面,對(duì)安全域邊界提高維護(hù)質(zhì)量,加強(qiáng)邊界監(jiān)控和系統(tǒng)評(píng)估;另一方面,要從系統(tǒng)、人員進(jìn)行管理,加強(qiáng)補(bǔ)丁的管理和人員安全培訓(xùn)工作,提高安全意識(shí),同時(shí)對(duì)系統(tǒng)及服務(wù)器賬號(hào)嚴(yán)格管理,統(tǒng)一分配。
4 結(jié)語(yǔ)
由于通信技術(shù)的快速發(fā)展, 新業(yè)務(wù)和新應(yīng)用系統(tǒng)越來(lái)越多,主機(jī)設(shè)備數(shù)量巨大,網(wǎng)絡(luò)日益復(fù)雜,服務(wù)質(zhì)量要求也越來(lái)越高。通過(guò)安全域的劃分,構(gòu)建一個(gè)有效可靠的縱深防護(hù)體系,同時(shí)優(yōu)化了數(shù)據(jù)業(yè)務(wù)系統(tǒng),提高網(wǎng)絡(luò)運(yùn)維效率,提高IT網(wǎng)絡(luò)安全防護(hù)等級(jí),保證系統(tǒng)的順暢運(yùn)行。
參考文獻(xiàn)
篇3
信息技術(shù)的發(fā)展給人們的生活帶來(lái)了天翻地覆的變化,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)融入了人們的日常生活中,改變著也同時(shí)方便了生活和工作。在人們對(duì)信息網(wǎng)絡(luò)的需求和依賴程度與日俱增的今天,網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出。因此,全面的分析影響網(wǎng)絡(luò)安全的主要原因,有針對(duì)性的提出進(jìn)行網(wǎng)絡(luò)安全保護(hù)的相關(guān)對(duì)策具有十分重要的意義。Internet的的兩個(gè)重要特點(diǎn)就是開放性和共享性,這也是導(dǎo)致開放的網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)系統(tǒng)安全隱患產(chǎn)生的原因。隨著對(duì)網(wǎng)絡(luò)安全問(wèn)題研究的不斷深入,逐漸產(chǎn)生了不同的安全機(jī)制、安全策略和網(wǎng)絡(luò)安全工具,保障網(wǎng)絡(luò)安全。
計(jì)算機(jī)網(wǎng)絡(luò)安全事實(shí)上是一門涉及多學(xué)科理論知識(shí)的綜合性學(xué)科,主要包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)、通信技術(shù)、數(shù)論、信息安全技術(shù)和信息論等多種不同學(xué)科。網(wǎng)絡(luò)安全防護(hù)是從硬件和軟件兩方面保護(hù)系統(tǒng)中的數(shù)據(jù),使其免受惡意的入侵、數(shù)據(jù)更改和泄露、系統(tǒng)破壞,以保證系統(tǒng)能夠正常的連續(xù)運(yùn)行,網(wǎng)絡(luò)不被中斷。
2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅
網(wǎng)絡(luò)面臨的安全威脅也是各種各樣,自然災(zāi)害、網(wǎng)絡(luò)系統(tǒng)自身的脆弱性、誤操作、人為的攻擊和破壞等都是網(wǎng)絡(luò)面臨的威脅。
2.1 自然災(zāi)害
計(jì)算機(jī)網(wǎng)絡(luò)也是由各種硬件搭建而成,因此也是很容易受到外界因素的影響。很多計(jì)算機(jī)安放空間都缺乏防水、防火、防震、防雷、防電磁泄露等相關(guān)措施,因此,一旦發(fā)生自然災(zāi)害,或者外界環(huán)境,包括溫度、濕度等,發(fā)生劇烈變化時(shí)都會(huì)破化計(jì)算機(jī)系統(tǒng)的物理結(jié)構(gòu)。
2.2 網(wǎng)絡(luò)自身脆弱性
(1)計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施就是操作系統(tǒng),是所有軟件運(yùn)行的基礎(chǔ)和保證。然而,操作系統(tǒng)盡管功能強(qiáng)大,具有很強(qiáng)的管理功能,但也有許多不安全因素,這些為網(wǎng)絡(luò)安全埋下了隱患。操作系統(tǒng)的安全漏洞容易被忽視,但卻危害嚴(yán)重。除操作系統(tǒng)外,其他軟件也會(huì)存在缺陷和漏洞,使計(jì)算機(jī)面臨危險(xiǎn),在網(wǎng)絡(luò)連接時(shí)容易出現(xiàn)速度較慢或死機(jī)現(xiàn)象,影響計(jì)算機(jī)的正常使用。
(2)計(jì)算機(jī)網(wǎng)絡(luò)的開放性和自由性,也為攻擊帶來(lái)了可能。開放的網(wǎng)絡(luò)技術(shù),使得物理傳輸線路以及網(wǎng)絡(luò)通信協(xié)議也成為網(wǎng)絡(luò)攻擊的新目標(biāo),這會(huì)使軟件、硬件出現(xiàn)較多的漏洞,進(jìn)而對(duì)漏洞進(jìn)行攻擊,嚴(yán)重的還會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)嚴(yán)重癱瘓。
(3)計(jì)算機(jī)的安全配置也容易出現(xiàn)問(wèn)題,例如防火墻等,一旦配置出現(xiàn)錯(cuò)誤,就無(wú)法起到保護(hù)網(wǎng)絡(luò)安全的作用,很容易產(chǎn)生一些安全缺口,影響計(jì)算機(jī)安全。加之現(xiàn)有的網(wǎng)絡(luò)環(huán)境并沒(méi)有對(duì)用戶進(jìn)行技術(shù)上的限制,任何用戶可以自由的共享各類信息,這也在一定程度上加大了網(wǎng)絡(luò)的安全防護(hù)難度。
很多網(wǎng)民并不具有很強(qiáng)的安全防范意識(shí),網(wǎng)絡(luò)上的賬戶密碼設(shè)置簡(jiǎn)單,并且不注意保護(hù),甚至很多重要賬戶的密碼都比較簡(jiǎn)單,很容易被竊取,威脅賬戶安全。
2.3 人為攻擊
人為的攻擊是網(wǎng)絡(luò)面臨的最大的安全威脅。人為的惡意攻擊分為兩種:主動(dòng)攻擊和被動(dòng)攻擊。前者是指采取有效手段破壞制定目標(biāo)信息;后者主要是為了獲取或阻礙重要機(jī)密信息的傳遞,在不影響網(wǎng)絡(luò)正常的工作情況下,進(jìn)行信息的截獲、竊取、破譯。這兩種攻擊都會(huì)導(dǎo)致重要數(shù)據(jù)的泄露,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成很大的危害。黑客們會(huì)利用系統(tǒng)或網(wǎng)絡(luò)中的缺陷和漏洞,采用非法入侵的手段,進(jìn)入系統(tǒng),竊聽重要信息,或者通過(guò)修改、破壞信息網(wǎng)絡(luò)的方式,造成系統(tǒng)癱瘓或使數(shù)據(jù)丟失,往往會(huì)帶來(lái)嚴(yán)重不良影響和重大經(jīng)濟(jì)損失。
計(jì)算機(jī)病毒是一種人為開發(fā)的可執(zhí)行程序,具有潛伏性、傳染性、可觸發(fā)性和嚴(yán)重破壞性的特點(diǎn)。一般可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中,不會(huì)被輕易發(fā)現(xiàn),也就使計(jì)算機(jī)病毒的擴(kuò)散十分迅速和難以防范,在文件的復(fù)制、文件和程序運(yùn)行過(guò)程中都會(huì)傳播。觸發(fā)病毒后可以迅速的破壞系統(tǒng),輕則降低系統(tǒng)工作效率,重則破壞、刪除、改寫文件,使數(shù)據(jù)丟失,甚至?xí)茐南到y(tǒng)硬盤。平時(shí)在軟盤、硬盤、光盤和網(wǎng)絡(luò)的使用中都會(huì)傳播病毒。近年來(lái)也出現(xiàn)了的很多惡性病毒,例如“熊貓燒香病毒”等,在網(wǎng)絡(luò)上迅速傳播,產(chǎn)生了十分嚴(yán)重的不良后果。
除病毒之外,垃圾郵件和間諜軟件等也會(huì)威脅用戶的隱私和計(jì)算機(jī)安全。
3 網(wǎng)絡(luò)安全防護(hù)措施
3.1 提高安全防護(hù)技術(shù)手段
計(jì)算機(jī)安全防護(hù)手段主要包括防火墻技術(shù)、加密技術(shù)、訪問(wèn)控制和病毒防范等。總的來(lái)說(shuō),提高防護(hù)手段,主要是從計(jì)算機(jī)系統(tǒng)管理和物理安全兩方面著手。
計(jì)算機(jī)網(wǎng)絡(luò)安全,首先要從管理著手,一是對(duì)于使用者要進(jìn)行網(wǎng)絡(luò)安全教育,提高自我防范意識(shí)。二是要依靠完整的網(wǎng)絡(luò)安全管理制度,嚴(yán)格網(wǎng)絡(luò)執(zhí)法,打擊不法分子的網(wǎng)絡(luò)犯罪。另外,要加強(qiáng)網(wǎng)絡(luò)用戶的法律法規(guī)意識(shí)和道德觀念,減少惡意攻擊,同時(shí)傳播網(wǎng)絡(luò)防范基本技能,使用戶能夠利用計(jì)算機(jī)知識(shí)同黑客和計(jì)算機(jī)病毒等相抗衡。
物理安全是提高網(wǎng)絡(luò)安全性和可靠性的基礎(chǔ)。物理安全主要是網(wǎng)絡(luò)的物理環(huán)境和硬件安全。首先,要保證計(jì)算機(jī)系統(tǒng)的實(shí)體在安全的物理環(huán)境中。網(wǎng)絡(luò)的機(jī)房和相關(guān)的設(shè)施,都有嚴(yán)格的標(biāo)準(zhǔn)和要求要遵循。還要控制物理訪問(wèn)權(quán)限,防止未經(jīng)授權(quán)的個(gè)人,有目的的破壞或篡改網(wǎng)絡(luò)設(shè)施。
3.2 完善漏洞掃描設(shè)施
漏洞掃描是一種采取自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全的技術(shù),通過(guò)掃描主要的服務(wù)端口,記錄目標(biāo)主機(jī)的響應(yīng),來(lái)收集一些特定的有用信息。漏洞掃描主要就是實(shí)現(xiàn)安全掃描的程序,可以在比較短的時(shí)間內(nèi)查出系統(tǒng)的安全脆弱點(diǎn),從而為系統(tǒng)的程序開發(fā)者提供有用的參考。這也能及時(shí)的發(fā)現(xiàn)問(wèn)題,從而盡快的找到解決問(wèn)題的方法。
4 結(jié)束語(yǔ)
經(jīng)過(guò)本文的分析,在通訊技術(shù)高速發(fā)展的今天,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也不斷的更新和發(fā)展,我們?cè)谑褂镁W(wǎng)絡(luò)的同時(shí),也要不斷加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)。新的應(yīng)用會(huì)不斷產(chǎn)生,網(wǎng)絡(luò)安全的研究也必定會(huì)不斷深入,以最大限度地提高計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù),降低網(wǎng)絡(luò)使用的安全風(fēng)險(xiǎn),實(shí)現(xiàn)信息平臺(tái)交流的安全性和持續(xù)性。
參考文獻(xiàn)
[1]趙真.淺析計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題及防護(hù)策略[J].上海工程技術(shù)學(xué)院教育研究,2010,(03):65-66.
篇4
1.2入侵審計(jì)和防御體系不完善
隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)攻擊、計(jì)算機(jī)病毒不斷變化,其破壞力強(qiáng)、速度快、形式多樣、難以防范,嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。當(dāng)前,很多企業(yè)缺乏完善的入侵審計(jì)和防御體系,企業(yè)網(wǎng)絡(luò)的主動(dòng)防御和智能分析能力明顯不足,檢查監(jiān)控效率低,缺乏一致性的安全防護(hù)規(guī)范,安全策略落實(shí)不到位。
2.構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系
2.1企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建目標(biāo)
結(jié)合企業(yè)網(wǎng)絡(luò)的安全目標(biāo)、使用主體、性質(zhì)等因素,合理劃分企業(yè)邏輯子網(wǎng),對(duì)不同的邏輯子網(wǎng)設(shè)置不同的安全防護(hù)體系,加強(qiáng)網(wǎng)絡(luò)邊界控制和安全訪問(wèn)控制,保持區(qū)域之間的信任關(guān)系,構(gòu)建企業(yè)網(wǎng)絡(luò)安全防護(hù)體系,實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo):第一,將大型的、復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問(wèn)題轉(zhuǎn)化為小區(qū)域的、簡(jiǎn)單的安全防護(hù)問(wèn)題,有效控制企業(yè)網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn),提高網(wǎng)絡(luò)安全;第二,合理劃分企業(yè)網(wǎng)絡(luò)安全域,優(yōu)化網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃和入網(wǎng);第三,明確企業(yè)網(wǎng)絡(luò)各個(gè)區(qū)域的安全防護(hù)難點(diǎn)和重點(diǎn),加大安全設(shè)備投入量,提高企業(yè)網(wǎng)絡(luò)安全設(shè)備的利用率;第四,加強(qiáng)企業(yè)網(wǎng)絡(luò)運(yùn)行維護(hù),合理部署企業(yè)網(wǎng)絡(luò)的審計(jì)設(shè)備,提供全面的網(wǎng)絡(luò)審核和檢查依據(jù),為企業(yè)構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系提供重要參考。
2.2合理劃分安全域
現(xiàn)代化企業(yè)網(wǎng)絡(luò)可以按照系統(tǒng)行為、安全防護(hù)等級(jí)和業(yè)務(wù)系統(tǒng)這三種方式來(lái)劃分安全域。由于企業(yè)網(wǎng)絡(luò)在不同區(qū)域和不同層次關(guān)注的內(nèi)容不同,因此在劃分企業(yè)網(wǎng)絡(luò)安全域時(shí),應(yīng)結(jié)合業(yè)務(wù)屬性和網(wǎng)絡(luò)管理,不僅要確保企業(yè)正常的生產(chǎn)運(yùn)營(yíng),還應(yīng)考慮網(wǎng)絡(luò)安全域劃分是否合理。針對(duì)這個(gè)問(wèn)題,企業(yè)網(wǎng)絡(luò)安全域劃分不能僅應(yīng)用一種劃分方式,應(yīng)綜合應(yīng)用多種方式,充分發(fā)揮不同方式的優(yōu)勢(shì),結(jié)合企業(yè)網(wǎng)絡(luò)管理要求和網(wǎng)絡(luò)業(yè)務(wù)需求,有針對(duì)性地進(jìn)行企業(yè)網(wǎng)絡(luò)安全域劃分。首先,根據(jù)業(yè)務(wù)需求,可以將企業(yè)網(wǎng)絡(luò)分為兩部分:外網(wǎng)和內(nèi)網(wǎng)。由于互聯(lián)網(wǎng)出口全部位于外網(wǎng),企業(yè)網(wǎng)絡(luò)可以在外網(wǎng)用戶端和內(nèi)網(wǎng)之間設(shè)置隔離,使外網(wǎng)服務(wù)和內(nèi)網(wǎng)服務(wù)分離,隔離各種安全威脅,確保企業(yè)內(nèi)網(wǎng)業(yè)務(wù)的安全性。其次,按照企業(yè)業(yè)務(wù)系統(tǒng)方式,分別劃分外網(wǎng)和內(nèi)網(wǎng)安全域,企業(yè)外網(wǎng)可以分為員工公寓網(wǎng)絡(luò)、項(xiàng)目網(wǎng)絡(luò)、對(duì)外服務(wù)網(wǎng)絡(luò)等子網(wǎng),內(nèi)網(wǎng)可以分為辦公網(wǎng)、生產(chǎn)網(wǎng),其中再細(xì)分出材料采購(gòu)網(wǎng)、保管網(wǎng)、辦公管理網(wǎng)等子網(wǎng),通過(guò)合理劃分安全域,確定明確的網(wǎng)絡(luò)邊界,明確安全防護(hù)范圍和對(duì)象目標(biāo)。最后,按照網(wǎng)絡(luò)安全防護(hù)等級(jí)和系統(tǒng)行為,細(xì)分各個(gè)子網(wǎng)的安全域,劃分出基礎(chǔ)保障域、服務(wù)集中域和邊界接入域。基礎(chǔ)保障域主要用來(lái)防護(hù)網(wǎng)絡(luò)系統(tǒng)管理控制中心、軟件和各種安全設(shè)備,服務(wù)集中域主要用于防護(hù)企業(yè)網(wǎng)絡(luò)的信息系統(tǒng),包括信息系統(tǒng)內(nèi)部和系統(tǒng)之間的數(shù)據(jù)防護(hù),并且按照不同的等級(jí)保護(hù)要求,可以采用分級(jí)防護(hù)措施,邊界接入域主要設(shè)置在企業(yè)網(wǎng)絡(luò)信息系統(tǒng)和其他系統(tǒng)之間的邊界上。
2.3基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)
隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,企業(yè)網(wǎng)絡(luò)面臨的安全威脅也不斷發(fā)生變化,網(wǎng)絡(luò)攻擊手段日益多樣化,新病毒不斷涌現(xiàn),因此企業(yè)網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建應(yīng)適應(yīng)網(wǎng)絡(luò)發(fā)展和變化,綜合考慮工作人員、防護(hù)策略、防護(hù)技術(shù)等多方面的因素,實(shí)現(xiàn)基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)。基于入侵檢測(cè)的動(dòng)態(tài)防護(hù)主要包括備份恢復(fù)、風(fēng)險(xiǎn)分析、應(yīng)急機(jī)制、入侵檢測(cè)和安全防護(hù),以入侵檢測(cè)為基礎(chǔ),一旦檢測(cè)到企業(yè)網(wǎng)絡(luò)的入侵威脅,網(wǎng)絡(luò)系統(tǒng)立即啟動(dòng)應(yīng)急機(jī)制,如果檢測(cè)到企業(yè)網(wǎng)絡(luò)系統(tǒng)已經(jīng)受到損壞,可利用備份恢復(fù)機(jī)制,及時(shí)恢復(fù)企業(yè)網(wǎng)絡(luò)設(shè)置,確保企業(yè)網(wǎng)絡(luò)的安全運(yùn)行。通過(guò)動(dòng)態(tài)安全防護(hù)策略,利用動(dòng)態(tài)反饋機(jī)制,提高企業(yè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估分析能力和主動(dòng)防御能力。
2.4分層縱深安全防護(hù)策略
企業(yè)網(wǎng)絡(luò)安全防護(hù)最常見的是設(shè)置防火墻,但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能存在于企業(yè)網(wǎng)絡(luò)的各個(gè)層次,防火墻的安全防護(hù)作用比較有限。企業(yè)網(wǎng)絡(luò)可采用分層縱深安全防護(hù)策略,保障網(wǎng)絡(luò)安全防護(hù)的深度和廣度,構(gòu)建高效、綜合、全面的安全防護(hù)體系,對(duì)于企業(yè)網(wǎng)絡(luò)中的應(yīng)用層、數(shù)據(jù)層、系統(tǒng)層、網(wǎng)絡(luò)層和物理層分別采用信息保護(hù)、應(yīng)用系統(tǒng)安全防護(hù)、數(shù)據(jù)庫(kù)安全防護(hù)、操作系統(tǒng)安全防護(hù)、網(wǎng)絡(luò)保護(hù)、物理安全保護(hù)等防護(hù)手段,根據(jù)不同網(wǎng)絡(luò)系統(tǒng)的特點(diǎn),有針對(duì)性地進(jìn)行安全防護(hù),例如,在網(wǎng)絡(luò)層可利用資源控制模塊和訪問(wèn)控制模塊,加強(qiáng)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的訪問(wèn)控制,在企業(yè)網(wǎng)絡(luò)的應(yīng)用層和數(shù)據(jù)層設(shè)置身份授權(quán)和認(rèn)證系統(tǒng),避免用戶的違規(guī)操作和越權(quán)操作。又例如,由于網(wǎng)絡(luò)環(huán)境比較復(fù)雜,可在企業(yè)網(wǎng)絡(luò)的應(yīng)用層、數(shù)據(jù)層和系統(tǒng)層,設(shè)置網(wǎng)絡(luò)監(jiān)控和檢測(cè)模塊,保護(hù)企業(yè)網(wǎng)絡(luò)的服務(wù)器,防止權(quán)限濫用和誤操作。
篇5
網(wǎng)絡(luò)信息安全與計(jì)算機(jī)安全防護(hù)系統(tǒng)的開發(fā)與發(fā)展。隨著我國(guó)改革開發(fā)程度的不斷加深,網(wǎng)絡(luò)信息技術(shù)已經(jīng)全面融入到人們的生活中了,并且在網(wǎng)絡(luò)技術(shù)進(jìn)步的同時(shí),計(jì)算機(jī)各種程序的開發(fā)運(yùn)用隨之進(jìn)步,嵌入式的計(jì)算機(jī)程序與軟件在網(wǎng)絡(luò)用戶中廣泛傳播,通過(guò)編程與計(jì)算將網(wǎng)絡(luò)運(yùn)營(yíng)商的計(jì)算機(jī)軟件系統(tǒng)應(yīng)用于個(gè)人計(jì)算機(jī)中,大大方便了網(wǎng)絡(luò)用戶的使用,減少了在搜索以及緩沖上所浪費(fèi)的時(shí)間,是網(wǎng)絡(luò)發(fā)展的一個(gè)里程碑。但是隨著時(shí)間的流失,這種計(jì)算機(jī)軟件編程中存在的問(wèn)題暴露出來(lái),嚴(yán)重影響了計(jì)算機(jī)網(wǎng)絡(luò)信息安全,需要人們進(jìn)行反思與思考。
2、分析影響我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的問(wèn)題與現(xiàn)象
2.1互聯(lián)網(wǎng)本身存在著威脅,影響計(jì)算機(jī)安全防護(hù)功能。互聯(lián)網(wǎng)本身作為一個(gè)用戶交流體驗(yàn)平臺(tái),是開放式的交流系統(tǒng),本身的安全維護(hù)系統(tǒng)很薄弱,對(duì)現(xiàn)有的互聯(lián)網(wǎng)威脅很難起到根本性的作用,使得網(wǎng)絡(luò)危險(xiǎn)威脅到了網(wǎng)絡(luò)用戶的計(jì)算機(jī)。互聯(lián)網(wǎng)的網(wǎng)絡(luò)協(xié)議在設(shè)計(jì)時(shí)的目的只是為了進(jìn)行更方便的用戶體驗(yàn),而對(duì)互聯(lián)網(wǎng)本身方面考慮不全。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)協(xié)議的漏洞也隨之顯現(xiàn)出來(lái),互聯(lián)網(wǎng)的用戶急劇增加,導(dǎo)致網(wǎng)絡(luò)用戶信息膨脹,不良信息與病毒流入到用戶的計(jì)算機(jī)中,嚴(yán)重威脅到了計(jì)算機(jī)網(wǎng)絡(luò)信息安全。
2.2網(wǎng)絡(luò)用戶不注意對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的日常使用與維護(hù),影響了計(jì)算機(jī)安全防護(hù)系統(tǒng)的正常使用。網(wǎng)絡(luò)與計(jì)算機(jī)安全防護(hù)系統(tǒng)的主體是廣大網(wǎng)絡(luò)用戶們,因?yàn)橛脩舻牟煌睦砼c需求,使得用戶在計(jì)算機(jī)安全防護(hù)系統(tǒng)界面中的操作行為也是各種各樣的,部分用戶的行為就會(huì)造成對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的嚴(yán)重傷害。而且用戶的行為是難以預(yù)測(cè)的,在計(jì)算機(jī)安全防護(hù)系統(tǒng)系統(tǒng)的使用過(guò)程中,總會(huì)有難以預(yù)測(cè)的情況發(fā)生,導(dǎo)致計(jì)算機(jī)安全防護(hù)系統(tǒng)的部分功能喪失,直接造成計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅。
3、探究應(yīng)對(duì)網(wǎng)絡(luò)信息安全問(wèn)題的防護(hù)對(duì)策
3.1完善計(jì)算機(jī)安全防護(hù)系統(tǒng)的技術(shù)手段。個(gè)人計(jì)算機(jī)安全防護(hù)系統(tǒng)的技術(shù)系統(tǒng),包括網(wǎng)絡(luò)用戶的訪問(wèn)控制程序,網(wǎng)絡(luò)用戶個(gè)人信息的加密程序,防毒防火墻技術(shù)程序,以及掃描漏洞的防漏程序。通過(guò)這幾項(xiàng)技術(shù)能夠很好的管理與保護(hù)用戶的計(jì)算機(jī)網(wǎng)絡(luò)信息安全。
用戶訪問(wèn)控制程序,是計(jì)算機(jī)安全防護(hù)系統(tǒng)進(jìn)行安全維護(hù)的第一項(xiàng)功能,它能夠辨別用戶是否有資格使用該計(jì)算機(jī)安全防護(hù)系統(tǒng),通過(guò)對(duì)網(wǎng)絡(luò)用戶身份的驗(yàn)證,確定是否是正常使用,對(duì)保護(hù)用戶的個(gè)人使用功能起到了很好的作用,并且從源頭很好的實(shí)現(xiàn)了對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的管理與控制,從根本上保證了計(jì)算機(jī)網(wǎng)絡(luò)信息安全。
計(jì)算機(jī)安全防護(hù)系統(tǒng)的信息加密技術(shù),這是應(yīng)對(duì)網(wǎng)絡(luò)黑客對(duì)個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)信息進(jìn)行盜竊的一種安全手段,通過(guò)在計(jì)算機(jī)安全防護(hù)系統(tǒng)中實(shí)施加密技術(shù),可以防止計(jì)算機(jī)中用戶的實(shí)用信息遺漏,保護(hù)了用戶體驗(yàn)的私密性,防止不法分子對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的破壞,保護(hù)了用戶的計(jì)算機(jī),是非常穩(wěn)固與常用計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)手段。
反毒防火墻技術(shù),這是在網(wǎng)絡(luò)安全與計(jì)算機(jī)安全防護(hù)系統(tǒng)衛(wèi)士中最常用的管理手段,是真正將計(jì)算機(jī)安全防護(hù)系統(tǒng)的使用與外部互聯(lián)網(wǎng)分割的網(wǎng)關(guān),是保護(hù)計(jì)算機(jī)安全防護(hù)系統(tǒng)使用正常的重要手段,能夠時(shí)刻監(jiān)控越過(guò)防火墻的病毒與不良信息,保護(hù)計(jì)算機(jī)安全防護(hù)系統(tǒng)免受病毒的侵害,可以說(shuō)反毒與防火墻技術(shù)是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要技術(shù),讓計(jì)算機(jī)安全防護(hù)系統(tǒng)做到獨(dú)立存在。最后是計(jì)算機(jī)安全防護(hù)系統(tǒng)自帶的漏洞防護(hù)掃描的技術(shù),在計(jì)算機(jī)安全防護(hù)系統(tǒng)運(yùn)轉(zhuǎn)到一定的程度與時(shí)間時(shí),計(jì)算機(jī)安全防護(hù)系統(tǒng)的自身會(huì)受到一些損壞,出現(xiàn)管理bug,這時(shí)要進(jìn)行計(jì)算機(jī)安全防護(hù)系統(tǒng)的漏洞掃描,并對(duì)出現(xiàn)的bug進(jìn)行修復(fù),保護(hù)計(jì)算機(jī)安全防護(hù)系統(tǒng)的核心完整,提高網(wǎng)絡(luò)用戶的信息安全程度。
3.2加強(qiáng)對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的周期性檢查與維護(hù)管理。計(jì)算機(jī)安全防護(hù)系統(tǒng)在運(yùn)行過(guò)程中進(jìn)行不斷地運(yùn)算與運(yùn)行,在經(jīng)過(guò)一段時(shí)間后,自身的系統(tǒng)會(huì)出現(xiàn)bug與錯(cuò)誤,影響計(jì)算機(jī)安全防護(hù)系統(tǒng)的使用,所以要通過(guò)對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的周期性管理與更新,來(lái)達(dá)到有效管理計(jì)算機(jī)安全防護(hù)系統(tǒng)的目的。網(wǎng)絡(luò)用戶在使用計(jì)算機(jī)安全防護(hù)系統(tǒng)的過(guò)程中要認(rèn)識(shí)到,周期性的維護(hù)會(huì)完善計(jì)算機(jī)安全防護(hù)系統(tǒng)的使用,滿足網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)需求,所以日常使用計(jì)算機(jī)安全防護(hù)系統(tǒng)的過(guò)程中,定時(shí)清理垃圾與緩存,是很好的維護(hù)手段,是保證計(jì)算機(jī)安全防護(hù)系統(tǒng)正常使用的重要手段,也是保障計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要渠道。
4、結(jié)束語(yǔ)
現(xiàn)如今的計(jì)算機(jī)技術(shù)與多媒體信息技術(shù)飛速發(fā)展,人們對(duì)于計(jì)算機(jī)安全防護(hù)系統(tǒng)的了解與認(rèn)識(shí)也得到了大幅度的提高,但是網(wǎng)絡(luò)管理與維護(hù)問(wèn)題是影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的一大障礙。近年來(lái)這類問(wèn)題愈發(fā)嚴(yán)重,我們必須要做好對(duì)計(jì)算機(jī)安全防護(hù)系統(tǒng)的各種安全措施與維護(hù)手段,保證計(jì)算機(jī)安全防護(hù)系統(tǒng)的正常使用。
【參考文獻(xiàn)】
篇6
1.2網(wǎng)絡(luò)管理制度缺位
就管理制度而言,現(xiàn)階段網(wǎng)絡(luò)管理缺少一套整體適用的系統(tǒng)方案,在標(biāo)準(zhǔn)方面往往各自為政,大多數(shù)情況下都是根據(jù)各自需要選擇相應(yīng)的安全手段,從而形成一個(gè)配合并不密切的整體。這樣如同臨時(shí)七拼八湊起來(lái)的結(jié)構(gòu),自然無(wú)法面對(duì)無(wú)處不在無(wú)從預(yù)防的網(wǎng)絡(luò)侵襲。雖然部分企業(yè)從全局出發(fā)進(jìn)行安全技術(shù)設(shè)計(jì),但是軟件和硬件本身的隔離,以及國(guó)家在系統(tǒng)軟件方面的力不從心,導(dǎo)致其自身的努力并不能完全實(shí)現(xiàn)。要完全改變現(xiàn)狀,就要從整體上重新設(shè)計(jì)架構(gòu),盡量明確管理,確定責(zé)任,并完善自身的防御功能,以緩解危機(jī)。
1.3網(wǎng)絡(luò)對(duì)應(yīng)安全策略缺乏
現(xiàn)階段已正式建立了計(jì)算機(jī)網(wǎng)絡(luò)安全體系,但其應(yīng)變不及時(shí),在安全體系遭到破壞之后,恢復(fù)和修復(fù)工作不甚理想。而事先預(yù)防的難度又太大,難以完全做到防患未然。因此,企圖依靠預(yù)防來(lái)進(jìn)行完全控制并不現(xiàn)實(shí),而完全依靠恢復(fù)和補(bǔ)救的方式又比較被動(dòng)。應(yīng)急性的方案并不多,可以操作的臨時(shí)安全系統(tǒng)也缺乏實(shí)用性。“第二道防線”的建立,還需要付出更多的努力。對(duì)應(yīng)的安全策略缺乏,還體現(xiàn)在面對(duì)各類不同的網(wǎng)絡(luò)侵襲行為時(shí),由于相關(guān)的安全防護(hù)手段有其特定的安全防護(hù)范圍,不得不依靠多種安全技術(shù)互相堆疊,而這些技術(shù)可能會(huì)互相沖突,或者導(dǎo)致其中一部分失效,從而影響安全技術(shù)的整體應(yīng)用和各個(gè)部分的有效發(fā)揮。
1.4局域網(wǎng)的開放性漏洞
局域網(wǎng)是建立在資源共享的基礎(chǔ)上的,因此其安全防護(hù)并沒(méi)有互聯(lián)網(wǎng)那樣嚴(yán)密,但是由于準(zhǔn)入機(jī)制過(guò)于疏松,導(dǎo)致內(nèi)部數(shù)據(jù)很容易被混進(jìn)來(lái)的操作混亂和遺失。如局域網(wǎng)很容易被網(wǎng)絡(luò)釣魚者接入,然后竊取和篡改其資料,造成巨大的損失。總體來(lái)說(shuō),要在建設(shè)局域網(wǎng)的時(shí)候加強(qiáng)其端口的準(zhǔn)入設(shè)計(jì),對(duì)于連接外網(wǎng)的情況,要有足夠的審核方式來(lái)進(jìn)行篩選和控制。
2網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景
當(dāng)前網(wǎng)絡(luò)技術(shù)存在的缺陷是“道高一尺魔高一丈”的狀況的體現(xiàn),被動(dòng)的安全技術(shù)對(duì)主動(dòng)的破解技術(shù)而言是處于劣勢(shì)狀態(tài)的。但這并不會(huì)影響到網(wǎng)絡(luò)安全技術(shù)的發(fā)展前景,正因?yàn)槊媾R著更多安全威脅,才會(huì)刺激網(wǎng)絡(luò)安全技術(shù)的進(jìn)一步發(fā)展,從而實(shí)現(xiàn)更高的飛躍。
2.1安全防護(hù)模式進(jìn)入智能控制階段
網(wǎng)絡(luò)安全技術(shù)的發(fā)展是在收集數(shù)據(jù)、分析防御方式、尋找問(wèn)題的過(guò)程中逐步發(fā)展起來(lái)的,現(xiàn)階段由于僅限于歸納已有的問(wèn)題,而陷入被動(dòng)的窘境之中。隨著網(wǎng)絡(luò)的進(jìn)一步優(yōu)化,相信計(jì)算機(jī)的智能化會(huì)帶動(dòng)安全技術(shù)的智能化,從而自動(dòng)的進(jìn)行最優(yōu)選擇。而隨著未來(lái)完善的NGN網(wǎng)絡(luò)的建立,相信這樣的控制并非虛妄之言。
篇7
1醫(yī)院信息化建設(shè)中的常見安全隱患
1.1技術(shù)因素
醫(yī)院信息化建設(shè)中,會(huì)廣泛的涉及到服務(wù)器、客戶端、鏈路、軟件系統(tǒng)、存儲(chǔ)與網(wǎng)絡(luò)設(shè)備等多種構(gòu)成元素。醫(yī)院信息化建設(shè)有效的提升了整體的診療水平,提高工作效率與便捷性,但是網(wǎng)絡(luò)安全問(wèn)題也日益突出,相關(guān)信息資源的泄露或者系統(tǒng)攻擊都極大的威脅了信息化建設(shè)的有序開展。在安全管理中,物理性環(huán)境安全、操作系統(tǒng)安全、數(shù)據(jù)備份安全等都是網(wǎng)絡(luò)系統(tǒng)建設(shè)的常見安全問(wèn)題。而常規(guī)性的運(yùn)用防火墻以及其他防病毒操作都無(wú)法有效的保證信息化平臺(tái)的安全性,容易引發(fā)數(shù)據(jù)泄露、損壞與丟失,進(jìn)而干擾了醫(yī)院正常工作運(yùn)轉(zhuǎn),甚至也對(duì)患者個(gè)人信息構(gòu)成泄露,急需要通過(guò)更強(qiáng)的防護(hù)技術(shù)來(lái)做保障。對(duì)于部分醫(yī)院而言,會(huì)簡(jiǎn)單的認(rèn)為設(shè)置一定安全防火墻就可以保障系統(tǒng)的安全性,甚至認(rèn)為不需要其他安全防護(hù)來(lái)做安全保障,這主要是安全防護(hù)工作中缺乏與時(shí)俱進(jìn)的先進(jìn)意識(shí),認(rèn)識(shí)誤區(qū)較為明顯。而防火墻只是防護(hù)手段中的一種,能夠防御性的安全問(wèn)題較為局限,對(duì)網(wǎng)絡(luò)內(nèi)部與旁路攻擊都無(wú)法達(dá)到理想的防護(hù)效果,同時(shí)針對(duì)內(nèi)容攻擊的問(wèn)題也無(wú)法處理。部分設(shè)備中只是對(duì)攻擊行為進(jìn)行警告,但是并不具備攻擊行為的防控能力。在數(shù)據(jù)庫(kù)升級(jí)中,可以到數(shù)據(jù)庫(kù)做用戶操作登錄記錄,可以達(dá)到操作源IP地址的定位,但是缺乏無(wú)法阻止其做惡性操作,例如對(duì)數(shù)據(jù)信息做惡意的竊取與篡改,甚至無(wú)法認(rèn)定操作人員最終責(zé)任,因?yàn)橘~戶登錄只需要賬戶與密碼就可以進(jìn)行,但是這種登錄操作任何掌握信息的人都可以進(jìn)行,無(wú)法達(dá)到全面的管控。此外,安全防護(hù)措施工作量大,操作復(fù)雜。在做IP與MAC地址綁定中,需要管理人員針對(duì)每臺(tái)交換機(jī)做操作,對(duì)綁定信息做逐條的輸入,工作負(fù)荷相對(duì)更大,操作缺乏高效便捷性。其次,如果有人懂得相關(guān)網(wǎng)絡(luò)基礎(chǔ)技術(shù),可以輕易的做到IP與MAC地址的變更,從而引發(fā)綁定操作失效。此外,醫(yī)院主機(jī)裝備了殺毒軟件,然而由于數(shù)量較多,不能有效的對(duì)每個(gè)主機(jī)做殺毒軟件的統(tǒng)一性管控,對(duì)于病毒庫(kù)的更新以及軟件的開啟等情況都無(wú)法做有效確定,相應(yīng)的系統(tǒng)補(bǔ)丁也不能及時(shí)有效更新,進(jìn)而導(dǎo)致安全防護(hù)效果不能確定。雖然醫(yī)院投入大量的財(cái)力與人力做好安全防護(hù)措施處理,但是實(shí)際上缺乏可執(zhí)行性,同時(shí)由于各設(shè)備間缺乏關(guān)聯(lián)性,從而對(duì)于實(shí)際效果無(wú)法做有效評(píng)估與管控,安全防護(hù)措施與手段的運(yùn)用則流于形式。
1.2人為因素
醫(yī)院信息化建設(shè)更多的操作需要人為進(jìn)行,因此人為因素是網(wǎng)絡(luò)安全管理的重要因素。醫(yī)院沒(méi)有將網(wǎng)絡(luò)安全明確到人,缺乏責(zé)任制管理,無(wú)論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識(shí)。沒(méi)有形成規(guī)范合理的信息系統(tǒng)建設(shè)制度規(guī)范,導(dǎo)致實(shí)際操作無(wú)章可循。沒(méi)有強(qiáng)效的安全檢查與監(jiān)督機(jī)制,同時(shí)也沒(méi)有專業(yè)的第三方機(jī)構(gòu)做安全性介入管理。相關(guān)工作人員缺乏專業(yè)資質(zhì)認(rèn)定,對(duì)于網(wǎng)絡(luò)安全沒(méi)有展開合宜的宣傳教育,同時(shí)也缺乏對(duì)應(yīng)工作與行為考核,導(dǎo)致工作人員缺乏應(yīng)有的安全責(zé)任觀念。因?yàn)楣ぷ魅藛T缺乏安全意識(shí)與專業(yè)的安全能力,會(huì)出現(xiàn)將個(gè)人電腦接入醫(yī)院內(nèi)部網(wǎng)絡(luò),從而導(dǎo)致病毒攜帶入網(wǎng),導(dǎo)致相關(guān)信息化系統(tǒng)運(yùn)行故障。或則將醫(yī)療業(yè)務(wù)網(wǎng)絡(luò)電腦與互聯(lián)網(wǎng)、外網(wǎng)連通,導(dǎo)致相關(guān)網(wǎng)絡(luò)中的病毒、木馬程序進(jìn)入到醫(yī)院的內(nèi)部網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)病毒蔓延。工作人員會(huì)因?yàn)橛新殑?wù)的便利性,會(huì)訪問(wèn)醫(yī)院有關(guān)數(shù)據(jù)庫(kù),從而得到數(shù)據(jù)資料的竊取與篡改,進(jìn)而導(dǎo)致相關(guān)經(jīng)濟(jì)損失。同時(shí)黑客會(huì)通過(guò)技術(shù)手段接入到醫(yī)院內(nèi)部網(wǎng)絡(luò)中,進(jìn)行直接性的網(wǎng)絡(luò)攻擊,醫(yī)院與醫(yī)保網(wǎng)絡(luò)系統(tǒng)處于連通數(shù)據(jù)驗(yàn)證操作所需,如果被攻擊則容易導(dǎo)致嚴(yán)重后果。
2醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全防護(hù)
2.1完善管理制度
醫(yī)院網(wǎng)絡(luò)運(yùn)行保持安全性效果的基礎(chǔ)在于完善健全的制度管理,可以通過(guò)對(duì)醫(yī)院實(shí)際情況的了解,設(shè)置針對(duì)性安全管理操作制度、監(jiān)督制度、用人制度、激勵(lì)制度等多種內(nèi)容。確保所有有關(guān)工作的開展有章可循,提升操作的標(biāo)準(zhǔn)性、可執(zhí)行性。要不斷的強(qiáng)化制度的權(quán)威性,讓工作人員對(duì)此保持謹(jǐn)慎態(tài)度,避免安全疏忽。
2.2安全管理細(xì)節(jié)措施
醫(yī)院網(wǎng)絡(luò)管理需要多方面的細(xì)節(jié)措施來(lái)保證。例如為了保證服務(wù)器能夠可靠穩(wěn)定的持續(xù)工作,需要運(yùn)用雙機(jī)容錯(cuò)與雙機(jī)熱備對(duì)應(yīng)方案,對(duì)于關(guān)鍵性設(shè)備需要運(yùn)用UPS來(lái)達(dá)到對(duì)主備機(jī)系統(tǒng)的有效供電,確保供電電壓持續(xù)穩(wěn)定供應(yīng),同時(shí)避免突發(fā)事件。網(wǎng)絡(luò)架構(gòu)方面,需要將主干網(wǎng)絡(luò)鏈路采用冗余模式,這樣如果出現(xiàn)部分線路故障,其余的冗余線路可以有效繼續(xù)支持整個(gè)網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)。需要運(yùn)用物理隔離處理來(lái)對(duì)相關(guān)信息數(shù)據(jù)傳輸設(shè)備保持一定的安全防護(hù),避免其他非專業(yè)人員或者惡意破壞人員對(duì)設(shè)備進(jìn)行破壞,需要做好業(yè)務(wù)內(nèi)網(wǎng)與外網(wǎng)連通的隔離,避免網(wǎng)絡(luò)混合后導(dǎo)致的攻擊影響或者信息泄露。對(duì)于醫(yī)院內(nèi)部的信息內(nèi)容,需要做好數(shù)據(jù)與系統(tǒng)信息的備份容災(zāi)體系構(gòu)建,這樣可以有效的在機(jī)房失火或者系統(tǒng)運(yùn)行受到破壞時(shí)快速的恢復(fù)系統(tǒng)運(yùn)行。要展開網(wǎng)絡(luò)系統(tǒng)的權(quán)限設(shè)置,避免違規(guī)越權(quán)操作導(dǎo)致系統(tǒng)信息數(shù)據(jù)的修改有著竊取,要做好數(shù)據(jù)庫(kù)審計(jì)日志,對(duì)于相關(guān)數(shù)據(jù)做動(dòng)態(tài)性的跟蹤觀察與預(yù)警。
2.3技術(shù)手段升級(jí)
在網(wǎng)絡(luò)安全防護(hù)措施上需要保持多樣化與多層次的防護(hù)管理,積極主動(dòng)的尋找管理漏洞,有效及時(shí)的修補(bǔ)管理不足。對(duì)網(wǎng)絡(luò)設(shè)備做好殺毒軟件的有效管控,建立內(nèi)外網(wǎng)間的防火墻,限制網(wǎng)絡(luò)訪問(wèn)權(quán)限,做好網(wǎng)絡(luò)攻擊預(yù)警與防護(hù)處理。對(duì)于網(wǎng)絡(luò)系統(tǒng)各操作做有效記錄跟蹤,最安全漏洞做到及時(shí)發(fā)現(xiàn)并修復(fù)。要投入足夠人力與財(cái)力,優(yōu)化工作人員技術(shù)水平,從而有效的保證技術(shù)手段的專業(yè)完善性。
結(jié)束語(yǔ)
醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全需要醫(yī)院所有人員的配合,提升安全意識(shí),規(guī)范安全管理制度與行為,確保網(wǎng)絡(luò)安全的有序進(jìn)行。
參考文獻(xiàn)
[1]李騫.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全與防護(hù)措施探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(9):43,45.
篇8
煙草企業(yè);網(wǎng)絡(luò)安全防護(hù);體系建設(shè)
隨著信息化的逐步發(fā)展,國(guó)內(nèi)煙草企業(yè)也愈加重視利用網(wǎng)絡(luò)提高生產(chǎn)管理銷售水平,打造信息化時(shí)代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡(luò)帶來(lái)便捷的同時(shí),也正遭受到諸如病毒、木馬等網(wǎng)絡(luò)威脅給企業(yè)信息安全方面帶來(lái)的影響。因此,越來(lái)越多的煙草企業(yè)對(duì)如何強(qiáng)化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)給予了高度關(guān)注。
1威脅煙草企業(yè)網(wǎng)絡(luò)信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡(luò)信息體系正遭受到各種各樣的威脅。
1.1人為因素
人為的無(wú)意失誤,如操作員安全配置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng),用戶口令選擇不慎,用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。人為的惡意攻擊,這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動(dòng)攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動(dòng)攻擊,他是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取與破譯等行為獲得重要機(jī)密信息。
1.2軟硬件因素
網(wǎng)絡(luò)安全設(shè)備投資方面,行業(yè)在防火墻、網(wǎng)管設(shè)備、入侵檢測(cè)防御等網(wǎng)絡(luò)安全設(shè)備配置方面處于領(lǐng)先地位,但各類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、軟件存在漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)過(guò)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,其大部分是因?yàn)榘踩胧┎煌晟扑兄碌目喙\浖摹昂箝T”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設(shè)想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護(hù)網(wǎng)絡(luò)遭受嚴(yán)重威脅。
1.3結(jié)構(gòu)性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu),多數(shù)采用的是混合型結(jié)構(gòu),星形和總線型結(jié)構(gòu)重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡(luò)使用者因系統(tǒng)過(guò)于復(fù)雜而導(dǎo)致錯(cuò)誤操作,都可能造成網(wǎng)絡(luò)安全問(wèn)題。
2煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)現(xiàn)狀
煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè),仍然存在著很多不容忽視的問(wèn)題,亟待引起高度關(guān)注。
2.1業(yè)務(wù)應(yīng)用集成整合不足
不少煙草企業(yè)防護(hù)系統(tǒng)在建設(shè)上過(guò)于單一化、條線化,影響了其縱向管控上的集成性和橫向供應(yīng)鏈上的協(xié)同性,安全防護(hù)信息沒(méi)有實(shí)現(xiàn)跨部門、跨單位、跨層級(jí)上的交流,相互之間不健全的信息共享機(jī)制,滯后的信息資源服務(wù)決策,影響了信息化建設(shè)的整體效率。缺乏對(duì)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的頂層設(shè)計(jì),致使信息化建設(shè)未能形成整體合力。
2.2信息化建設(shè)特征不夠明顯
網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是現(xiàn)代煙草企業(yè)的重要標(biāo)志,但如基礎(chǔ)平臺(tái)的集成性、基礎(chǔ)設(shè)施的集約化、標(biāo)準(zhǔn)規(guī)范體系化等方面的建設(shè)工作都較為滯后。主營(yíng)煙草業(yè)務(wù)沒(méi)有同信息化建設(shè)高度契合,對(duì)影響企業(yè)發(fā)展的管理制度、業(yè)務(wù)需求、核心數(shù)據(jù)和工作流程等關(guān)鍵性指標(biāo),缺乏宏觀角度上的溝通協(xié)調(diào),致使在信息化建設(shè)中,業(yè)務(wù)、管理、技術(shù)“三位一體”的要求并未落到實(shí)處,影響了網(wǎng)絡(luò)安全防護(hù)的效果。
2.3安全運(yùn)維保障能力不足
缺乏對(duì)運(yùn)維保障工作的正確認(rèn)識(shí),其尚未完全融入企業(yè)信息化建設(shè)的各個(gè)環(huán)節(jié),加上企業(yè)信息化治理模式構(gòu)建不成熟等原因,制約了企業(yè)安全綜合防范能力與運(yùn)維保障體系建設(shè)的整體效能,導(dǎo)致在網(wǎng)絡(luò)威脅的防護(hù)上較為被動(dòng),未能做到主動(dòng)化、智能化分析,導(dǎo)致遭受病毒、木馬、釣魚網(wǎng)站等反復(fù)侵襲。
3加強(qiáng)煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的策略
煙草企業(yè)應(yīng)以實(shí)現(xiàn)一體化數(shù)字煙草作為建設(shè)目標(biāo),秉承科學(xué)頂層設(shè)計(jì)、合理統(tǒng)籌規(guī)劃、力爭(zhēng)整體推進(jìn)的原則,始終堅(jiān)持兩級(jí)主體、協(xié)同建設(shè)和項(xiàng)目帶動(dòng)的模式,按照統(tǒng)一架構(gòu)、安全同步、統(tǒng)一平臺(tái)的技術(shù)規(guī)范,才能持續(xù)推動(dòng)產(chǎn)業(yè)發(fā)展同信息化建設(shè)和諧共生。
3.1遵循網(wǎng)絡(luò)防護(hù)基本原則
煙草企業(yè)在建設(shè)安全防護(hù)網(wǎng)絡(luò)時(shí),應(yīng)明白建設(shè)安全防護(hù)網(wǎng)絡(luò)的目標(biāo)與原則,清楚網(wǎng)絡(luò)使用的性質(zhì)、主要使用人員等基本情況。并在邏輯上對(duì)安全防護(hù)網(wǎng)絡(luò)進(jìn)行合理劃分,不同區(qū)域的防御體系應(yīng)具有針對(duì)性,相互之間邏輯清楚、調(diào)用清晰,從而使網(wǎng)絡(luò)邊界更為明確,相互之間更為信任。要對(duì)已出現(xiàn)的安全問(wèn)題進(jìn)行認(rèn)真分析,并歸類統(tǒng)計(jì),大的問(wèn)題盡量拆解細(xì)分,類似的問(wèn)題歸類統(tǒng)一,從而將復(fù)雜問(wèn)題具體化,降低網(wǎng)絡(luò)防護(hù)工作的難度。對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō),應(yīng)以功能為界限來(lái)劃分,以劃分區(qū)域?yàn)榘踩雷o(hù)區(qū)域。同時(shí),要不斷地完善安全防護(hù)體系建設(shè)標(biāo)準(zhǔn),打破不同企業(yè)之間網(wǎng)絡(luò)安全防護(hù)體系的壁壘,實(shí)現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對(duì)網(wǎng)絡(luò)威脅的抵御力。
3.2合理確定網(wǎng)絡(luò)安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡(luò)過(guò)程中,不同的區(qū)域所擔(dān)負(fù)的角色是不同的。為此,內(nèi)部網(wǎng)絡(luò),在設(shè)計(jì)之初,應(yīng)以安全防護(hù)體系、業(yè)務(wù)操作標(biāo)準(zhǔn)、網(wǎng)絡(luò)使用行為等為標(biāo)準(zhǔn)對(duì)區(qū)域進(jìn)行劃分。同時(shí),對(duì)生產(chǎn)、監(jiān)管、流通、銷售等各個(gè)環(huán)節(jié),要根據(jù)其業(yè)務(wù)特點(diǎn)強(qiáng)化對(duì)應(yīng)的網(wǎng)絡(luò)使用管理制度,既能實(shí)現(xiàn)網(wǎng)絡(luò)安全更好防護(hù),也能幫助企業(yè)實(shí)現(xiàn)更為科學(xué)的管控與人性化的操作。在對(duì)煙草企業(yè)網(wǎng)絡(luò)安全區(qū)域進(jìn)行劃分時(shí),不能以偏概全、一蹴而就,應(yīng)本著實(shí)事求是的態(tài)度,根據(jù)企業(yè)實(shí)際情況,以現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)為基礎(chǔ),有針對(duì)性地進(jìn)行合理的劃分,才能取得更好的防護(hù)效果。
3.3大力推行動(dòng)態(tài)防護(hù)措施
根據(jù)網(wǎng)絡(luò)入侵事件可知,較為突出的問(wèn)題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護(hù)效果滯后等。為此,煙草企業(yè)在構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系時(shí),應(yīng)根據(jù)不同的威脅形式確定相應(yīng)的防護(hù)技術(shù),且系統(tǒng)要能夠隨時(shí)升級(jí)換代,從而提升總體防護(hù)力。同時(shí),要定期對(duì)煙草企業(yè)所遭受的網(wǎng)絡(luò)威脅進(jìn)行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實(shí)現(xiàn)入侵實(shí)時(shí)監(jiān)測(cè)和系統(tǒng)動(dòng)態(tài)防護(hù)。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡(luò)應(yīng)急機(jī)制,在系統(tǒng)遭受重大網(wǎng)絡(luò)威脅而癱瘓時(shí),確保在最短的時(shí)間內(nèi)恢復(fù)系統(tǒng)的基本功能,為后期確定問(wèn)題原因與及時(shí)恢復(fù)系統(tǒng)留下時(shí)間,并且確保企業(yè)業(yè)務(wù)的開展不被中斷,不會(huì)為企業(yè)帶來(lái)很大的經(jīng)濟(jì)損失。另外,還應(yīng)大力提倡煙草企業(yè)同專業(yè)信息防護(hù)企業(yè)合作,構(gòu)建病毒防護(hù)戰(zhàn)略聯(lián)盟,為更好地實(shí)現(xiàn)煙草企業(yè)網(wǎng)絡(luò)防護(hù)效果提供堅(jiān)實(shí)的技術(shù)支撐。
3.4構(gòu)建專業(yè)防護(hù)人才隊(duì)伍
人才是網(wǎng)絡(luò)安全防護(hù)體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護(hù)體系也形同虛設(shè)。煙草企業(yè)網(wǎng)絡(luò)安全防護(hù)的工作專業(yè)性很強(qiáng),既要熟知信息安全防護(hù)技術(shù),也要對(duì)煙草企業(yè)生產(chǎn)全過(guò)程了然于胸,并熟知國(guó)家政策法規(guī)等制度。因此,煙草企業(yè)要大力構(gòu)建專業(yè)的網(wǎng)絡(luò)信息安全防護(hù)人才隊(duì)伍,要采取定期選送、校企聯(lián)訓(xùn)、崗位培訓(xùn)等方式,充分挖掘內(nèi)部人力資源,提升企業(yè)現(xiàn)有信息安全防護(hù)人員的能力素質(zhì),也要積極同病毒防護(hù)企業(yè)、專業(yè)院校和科研院所合作,引進(jìn)高素質(zhì)專業(yè)技術(shù)人才,從而為企業(yè)更好地實(shí)現(xiàn)信息安全防護(hù)效果打下堅(jiān)實(shí)的人才基礎(chǔ)。
3.5提升員工安全防護(hù)意識(shí)
技術(shù)防護(hù)手段效果再好,員工信息安全防護(hù)意識(shí)不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設(shè)立專門的信息管理培訓(xùn)中心,統(tǒng)一對(duì)企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行管理培訓(xùn),各部門、各環(huán)節(jié)也要設(shè)立相應(yīng)崗位,負(fù)責(zé)本崗位的網(wǎng)絡(luò)使用情況。賬號(hào)使用、信息、權(quán)限確定等,都要置于信息管理培訓(xùn)中心的制約監(jiān)督下,都要在網(wǎng)絡(luò)使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡(luò)、肆意泄露信息等現(xiàn)象的發(fā)生。對(duì)全體員工開展網(wǎng)絡(luò)安全教育,提升其網(wǎng)絡(luò)安全防護(hù)意識(shí),使其認(rèn)識(shí)到安全防護(hù)體系的重要性,從而使每個(gè)人都能依法依規(guī)地使用信息網(wǎng)絡(luò)。
4結(jié)語(yǔ)
煙草企業(yè)管理者必須清醒認(rèn)識(shí)到,利用信息網(wǎng)絡(luò)加快企業(yè)升級(jí)換代、建設(shè)一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢(shì)所趨,絕不能因?yàn)榫W(wǎng)絡(luò)存在安全威脅而固步自封、拒絕進(jìn)步。但也要關(guān)注信息化時(shí)代下網(wǎng)絡(luò)安全帶來(lái)的挑戰(zhàn),以實(shí)事求是的態(tài)度,大力依托信息網(wǎng)絡(luò)安全技術(shù),構(gòu)建更為安全的防護(hù)體系,為企業(yè)做大做強(qiáng)奠定堅(jiān)實(shí)的基礎(chǔ)。
參考文獻(xiàn):
[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)與信息技術(shù),2012(5).
篇9
1、網(wǎng)絡(luò)安全的概念。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的各個(gè)部件、軟件以及數(shù)據(jù)的安全,它是通過(guò)對(duì)網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用的過(guò)程實(shí)現(xiàn),包含兩個(gè)方面,一是物理安全,即保障網(wǎng)絡(luò)設(shè)備的安全,使其能夠正常穩(wěn)定地提供網(wǎng)絡(luò)服務(wù);二是邏輯安全,即保證在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)男畔⒌陌踩浴?、影響網(wǎng)絡(luò)安全的因素。網(wǎng)絡(luò)安全在現(xiàn)實(shí)生活會(huì)受到很多因素的影響,其中有人為的和自然的因素,包括系統(tǒng)配置不當(dāng),計(jì)算機(jī)病毒木馬,軟件漏洞等,均會(huì)對(duì)網(wǎng)絡(luò)安全造成極大的危害。
二、網(wǎng)絡(luò)安全防護(hù)
網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技術(shù),該技術(shù)致力于解決有效進(jìn)行介入控制,保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),及其它的安全服務(wù)和安全機(jī)制策略。
針對(duì)網(wǎng)絡(luò)上各種安全問(wèn)題和隱患,為了最大程度的減小損失,可以采用如下技術(shù)進(jìn)行網(wǎng)絡(luò)安全防護(hù)。
1、防火墻技術(shù)。防火墻是一種由軟件和硬件結(jié)合構(gòu)成的將內(nèi)部網(wǎng)絡(luò)與公用網(wǎng)絡(luò)分隔開的隔離系統(tǒng),用來(lái)在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行接入控制,從而可以防止非法用戶訪問(wèn)和修改內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),可以有效的將網(wǎng)絡(luò)分隔開,確保內(nèi)部網(wǎng)絡(luò)安全。
2、數(shù)據(jù)加密技術(shù)。為了提高網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)和信息的安全性,可以采用數(shù)據(jù)加密技術(shù)對(duì)重要的數(shù)據(jù)進(jìn)行加密,防止機(jī)密信息被竊取泄露,其中常采用對(duì)稱加密和非對(duì)稱加密對(duì)信息進(jìn)行加密算法,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)信息的加密保護(hù)。
3、入侵檢測(cè)技術(shù)。通過(guò)入侵檢測(cè)技術(shù),可以對(duì)網(wǎng)絡(luò)系統(tǒng)中的幾個(gè)節(jié)點(diǎn)進(jìn)行檢測(cè),通過(guò)分析采集的數(shù)據(jù)信息,判斷網(wǎng)絡(luò)中是否有不安全操作行為及是否遭到攻擊。入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)不會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行,它能實(shí)時(shí)地對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)從而及時(shí)采取防護(hù)手段保護(hù)網(wǎng)絡(luò)安全。
4、網(wǎng)絡(luò)掃描技術(shù)。通過(guò)網(wǎng)絡(luò)掃描技術(shù),可以對(duì)復(fù)雜網(wǎng)絡(luò)進(jìn)行掃描從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,并及時(shí)對(duì)發(fā)現(xiàn)的漏洞進(jìn)行相應(yīng)的處理,采取必要的措施。網(wǎng)絡(luò)掃描技術(shù)可以強(qiáng)化網(wǎng)絡(luò)系統(tǒng),是一種主動(dòng)的防御策略,通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的強(qiáng)化來(lái)防止網(wǎng)絡(luò)安全受到侵害。
5、虛擬專用網(wǎng)。虛擬專用網(wǎng)(VPN)是一種在一定網(wǎng)絡(luò)協(xié)議基礎(chǔ)上,公網(wǎng)中邏輯上獨(dú)立的專用網(wǎng),通過(guò)虛擬專用網(wǎng),用戶可以通過(guò)公網(wǎng)中的虛擬專線實(shí)現(xiàn)數(shù)據(jù)的傳輸,從而保障了傳輸數(shù)據(jù)的安全性。
6、病毒防護(hù)技術(shù)。隨著網(wǎng)絡(luò)的發(fā)展,病毒的傳播也變得更加迅速,對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)具有巨大危害。
三、思科網(wǎng)絡(luò)安防系統(tǒng)
思科作為一家世界500強(qiáng)企業(yè),作為一個(gè)在互聯(lián)網(wǎng)解決方案提供領(lǐng)域的佼佼者,十分重視網(wǎng)絡(luò)安全及防護(hù),其用戶遍及世界各地各大企業(yè),領(lǐng)域涉及各個(gè)行業(yè),可見其網(wǎng)絡(luò)安防系統(tǒng)的安全可靠性。
1、思科的網(wǎng)絡(luò)安全設(shè)計(jì)架構(gòu)。安全域要在五個(gè)層次上隔離,即物理上隔離、邏輯上隔離、策略上隔離、應(yīng)用上隔離、準(zhǔn)入上隔離。而對(duì)網(wǎng)絡(luò)安全域的劃分需要對(duì)網(wǎng)絡(luò)系統(tǒng)中各個(gè)設(shè)備進(jìn)行集成化、模塊化并實(shí)現(xiàn)階梯式安全。
2、思科自防御網(wǎng)絡(luò)。思科自防御網(wǎng)絡(luò)是針對(duì)網(wǎng)絡(luò)中的攻擊和威脅進(jìn)行識(shí)別、主動(dòng)防御和應(yīng)對(duì)的新型網(wǎng)絡(luò)戰(zhàn)略,通過(guò)三個(gè)階段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全防護(hù)。(1)集成化的安全系統(tǒng)。(2)協(xié)作化的安全系統(tǒng)。(3)智能化的自適應(yīng)安全系統(tǒng)。
3、思科SMB級(jí)安全網(wǎng)絡(luò)平臺(tái)。采用了思科自防御網(wǎng)絡(luò)安全的組件,思科的SMB級(jí)安全網(wǎng)絡(luò)平臺(tái)還具備成本較低的優(yōu)勢(shì),非常適合一些中小企業(yè)使用,這一經(jīng)濟(jì)有效的方案保證了連通性、簡(jiǎn)潔性、安全性以及可擴(kuò)展性,能夠幫助企業(yè)優(yōu)化其運(yùn)營(yíng),提升企業(yè)競(jìng)爭(zhēng)力。
四、結(jié)語(yǔ)
計(jì)算機(jī)和網(wǎng)絡(luò)的擴(kuò)大與普及已成為不可逆轉(zhuǎn)的趨勢(shì),而網(wǎng)絡(luò)中影響網(wǎng)絡(luò)安全和穩(wěn)定的因素也必將隨之不斷增加,人們?cè)絹?lái)越開始重視網(wǎng)絡(luò)中數(shù)據(jù)信息的安全可靠性,因此網(wǎng)絡(luò)安全防護(hù)的重要地位將得到進(jìn)一步顯現(xiàn)。
參考文獻(xiàn)
篇10
篇11
目前,國(guó)內(nèi)對(duì)電子圖書館的使用還處于較低層次,人們?cè)谑褂秒娮訄D書館的過(guò)程中,過(guò)于注重電子圖書館的便利性和實(shí)用性,對(duì)相關(guān)安全防護(hù)工作不夠重視,導(dǎo)致一些圖書館的信息處于開放狀態(tài),相關(guān)網(wǎng)絡(luò)病毒很容易進(jìn)入,嚴(yán)重時(shí)會(huì)導(dǎo)致整個(gè)管理系統(tǒng)癱瘓。因此,采取合理有效的措施對(duì)電子圖書館進(jìn)行防護(hù)是很有必要的。
1.數(shù)字圖書館計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù)的基本概念
所謂數(shù)字圖書館計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù),就是采取相應(yīng)的預(yù)防手段確保數(shù)字圖書館內(nèi)部的組成部分不受病毒等有害物質(zhì)損壞,從而確保各個(gè)程序有效運(yùn)行,且在相關(guān)數(shù)據(jù)信息傳播過(guò)程中,數(shù)據(jù)信息不被盜取或者阻礙等。
數(shù)字圖書館計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù)具有以下幾方面特點(diǎn):(1)保密性,所有相關(guān)信息在儲(chǔ)存、傳輸及瀏覽過(guò)程中,不被外界因素侵害;(2)完整性,確保信息數(shù)據(jù)在傳輸過(guò)程中不被非法途徑損壞;(3)實(shí)用性,電子圖書館主要作用就是給人們提供快捷服務(wù),因此,要確保相關(guān)數(shù)據(jù)信息具有很強(qiáng)的實(shí)用性。
2.數(shù)字圖書館計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問(wèn)題
2.1病毒傳播帶來(lái)的安全問(wèn)題
網(wǎng)絡(luò)病毒作為計(jì)算機(jī)系統(tǒng)最大的危害因素之一,一旦系統(tǒng)被病毒入侵就會(huì)導(dǎo)致相關(guān)數(shù)據(jù)損壞或者丟失。此外,網(wǎng)絡(luò)病毒還可以入侵電子圖書館的硬盤,并且可以盜取或者破壞硬盤內(nèi)儲(chǔ)存的相關(guān)數(shù)據(jù)信息,從而阻礙計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)作。病毒的入侵還會(huì)導(dǎo)致信息數(shù)據(jù)傳輸異常,從而影響人們的正常工作。
2.2非法破壞電子圖書館系統(tǒng)
一些不法分子利用不正當(dāng)?shù)氖侄螌?duì)電子圖書館系統(tǒng)進(jìn)行破壞,對(duì)硬盤內(nèi)儲(chǔ)存的信息進(jìn)行修改和盜取,嚴(yán)重時(shí)會(huì)對(duì)相關(guān)系統(tǒng)進(jìn)行破壞,因此采用相應(yīng)的預(yù)防措施是很有必要的。
3.數(shù)字圖書館安全防護(hù)措施
3.1采用預(yù)防病毒的安全防護(hù)技術(shù)
現(xiàn)階段對(duì)數(shù)字圖書館危害最嚴(yán)重的就是網(wǎng)絡(luò)病毒,因此,使用一些殺毒軟件或者防火墻,是進(jìn)行電子圖書館網(wǎng)絡(luò)保護(hù)的主要手段。此外,還可以安裝反病毒裝置,從而提升電子圖書館的安全性能,并且對(duì)相關(guān)數(shù)據(jù)信息進(jìn)行二次儲(chǔ)備,避免不安全情況發(fā)生。
3.2數(shù)字圖書館數(shù)據(jù)信息安全防護(hù)措施
數(shù)字圖書館數(shù)據(jù)信息安全防護(hù)措施主要可以從以下幾方面進(jìn)行:
(1)使用安全加密算法,把重要相關(guān)數(shù)據(jù)信息轉(zhuǎn)換為密碼文本,這樣即使數(shù)據(jù)信息在傳遞過(guò)程中被攔截,也很難進(jìn)行破譯,確保數(shù)據(jù)傳遞的安全性。加密算法又被簡(jiǎn)單地分為相應(yīng)密匙加密算法和顯示密匙加密算法,相應(yīng)密匙加密算法較為簡(jiǎn)單,指加密和解密采用相同的算法,一般使用在對(duì)數(shù)據(jù)信息要求不高的行業(yè);顯示密匙加密算法比較復(fù)雜,加密和解密使用不同算法,因此,被廣泛使用在大型企業(yè)中。電子圖書館一般使用相應(yīng)密匙加密算法。
(2)隨著信息計(jì)算不斷發(fā)展,國(guó)內(nèi)已經(jīng)研究出信息偽裝安全防護(hù)技術(shù),對(duì)不法分子可以進(jìn)行攻擊,還可以避免電子圖書館信息數(shù)據(jù)被破壞,簡(jiǎn)單來(lái)說(shuō)就是將相關(guān)文本、圖片等相關(guān)信息進(jìn)行隱藏,從而達(dá)到預(yù)防保護(hù)的目的。
(3)水印安全防護(hù)技術(shù),在信息數(shù)據(jù)傳輸過(guò)程中,可以將相關(guān)信息數(shù)據(jù)隱藏在水印中,從而起到保護(hù)作用。
3.3數(shù)字圖書館網(wǎng)絡(luò)安全防護(hù)技術(shù)
現(xiàn)階段最流行的就是網(wǎng)絡(luò)防火墻,可以對(duì)電子圖書館的網(wǎng)頁(yè)進(jìn)行監(jiān)督和管理。網(wǎng)絡(luò)防火墻具有監(jiān)督管理電子圖書館信息不受侵害,并且可以在非法手段干擾數(shù)據(jù)傳輸時(shí),對(duì)傳輸?shù)男畔⒘髁窟M(jìn)行控制,盡可能控制在預(yù)期傳輸軌道上。網(wǎng)絡(luò)安全防火墻能夠阻止外來(lái)危險(xiǎn)源的攻擊,不管是在系統(tǒng)內(nèi)部,還是外部都可以起到監(jiān)管作用,對(duì)電子圖書館的持續(xù)穩(wěn)定運(yùn)行有很大幫助。
3.4用戶安全防護(hù)措施
圖書館的主要作用就是為人服務(wù),確保用戶準(zhǔn)確及時(shí)地獲得相關(guān)網(wǎng)絡(luò)數(shù)據(jù)信息。用戶的安全防護(hù)措施有以下兩個(gè)方面:
(1)對(duì)用戶的身份進(jìn)行注冊(cè)和鑒別,避免非法手段危害用戶的合法權(quán)益。
(2)對(duì)用戶進(jìn)行安全危害等級(jí)劃分,簡(jiǎn)單來(lái)說(shuō)就是根據(jù)用戶的威脅等級(jí)進(jìn)行劃分。現(xiàn)階段使用的用戶安全認(rèn)證手段較為簡(jiǎn)單,很容易被非法手段入侵,因此,提升用戶認(rèn)證標(biāo)準(zhǔn)是很重要的。
結(jié)語(yǔ)
現(xiàn)階段影響數(shù)字圖書館的安全因素較多。因此,為了確保數(shù)字圖書館能夠安全有效地為人們服務(wù),對(duì)數(shù)字圖書館計(jì)算機(jī)網(wǎng)絡(luò)采取相應(yīng)安全防護(hù)手段很有必要。
參考文獻(xiàn):
篇12
一、網(wǎng)絡(luò)安全概述
(一)網(wǎng)絡(luò)安全的基本概念
網(wǎng)絡(luò)安全包括物理安全和邏輯安全。對(duì)于物理安全,需要加強(qiáng)計(jì)算機(jī)房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預(yù)防措施;而對(duì)于后者,則需要用口令、文件許可和查帳等方法來(lái)實(shí)現(xiàn)。
(二)網(wǎng)絡(luò)面臨的主要攻擊
⑴ 緩沖區(qū)溢出。
⑵ 遠(yuǎn)程攻擊。
⑶ 口令破解。
⑷ 超級(jí)權(quán)限。
⑸ 拒絕服務(wù)(DDOS)。
二、安全需求
通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析,我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)。
機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程。
完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。
可審查性:對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段。
訪問(wèn)控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問(wèn)控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。
安全審計(jì): 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏
三、網(wǎng)絡(luò)安全防護(hù)策略
個(gè)人建議采用如下的安全拓?fù)浼軜?gòu)來(lái)確保網(wǎng)站的安全性,其中我們主要采用以下五項(xiàng)高強(qiáng)度的安全防護(hù)措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個(gè)層次,不同的層次采用不同的策略進(jìn)行有效的安全防護(hù)。
第一個(gè)層次,是外部Internet,是不能有效確定其安全風(fēng)險(xiǎn)的層次,我們的安全策略就是要重點(diǎn)防護(hù)來(lái)自于第一個(gè)層次的攻擊。
第二個(gè)層次,是通過(guò)路由器后進(jìn)入網(wǎng)站的第一個(gè)安全屏障。該層主要由防火墻進(jìn)行防護(hù)和訪問(wèn)控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務(wù),完全封閉其他不必要的服務(wù)端口,阻擋來(lái)自于外部的攻擊企圖。同時(shí),為了反映防火墻之內(nèi)的實(shí)際安全狀態(tài),部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)。入侵檢測(cè)系統(tǒng)可以檢測(cè)出外部穿過(guò)防火墻之后的和網(wǎng)絡(luò)內(nèi)部經(jīng)過(guò)交換機(jī)對(duì)外的所有數(shù)據(jù)流中,有無(wú)非法的訪問(wèn)內(nèi)網(wǎng)的企圖、對(duì)WWW服務(wù)器和郵件服務(wù)器等關(guān)鍵業(yè)務(wù)平臺(tái)的攻擊行為和內(nèi)部網(wǎng)絡(luò)中的非法行為。對(duì)DDOS攻擊行為及時(shí)報(bào)警,并通過(guò)與防火墻的聯(lián)動(dòng)及時(shí)阻斷,網(wǎng)絡(luò)遭受DDOS攻擊。
第三個(gè)層次,是一個(gè)中心網(wǎng)絡(luò)的核心層,部署了網(wǎng)絡(luò)處置中心的所有重要的服務(wù)器。在該層次中,部署了網(wǎng)站保護(hù)系統(tǒng),防范網(wǎng)頁(yè)被非法篡改。
此外,還部署網(wǎng)絡(luò)漏洞掃描系統(tǒng),定期或不定期的對(duì)接服務(wù)器區(qū)進(jìn)行漏洞掃描,幫助網(wǎng)管人員及時(shí)了解和修補(bǔ)網(wǎng)絡(luò)中的安全漏洞。這種掃描服務(wù)可以由網(wǎng)絡(luò)安全管理人員完成,或者由安全服務(wù)的安全廠商及其高級(jí)防黑客技術(shù)人員完成。
第四個(gè)層次,是網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)中心,放置了數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)備份服務(wù)器。在該層次中,部署了防火墻,對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)通過(guò)防火墻進(jìn)行過(guò)濾,保證數(shù)據(jù)的安全性。
(二)多種防護(hù)手段
我們?cè)O(shè)計(jì)的高強(qiáng)度安全防護(hù)措施,包括多種防護(hù)手段,即有靜態(tài)的防護(hù)手段,如防火墻,又有動(dòng)態(tài)的防護(hù)手段,如網(wǎng)絡(luò)IDS、網(wǎng)絡(luò)防病毒系統(tǒng)。同時(shí),也考慮到了恢復(fù)和響應(yīng)技術(shù),如網(wǎng)站保護(hù)和恢復(fù)系統(tǒng)。不同的防護(hù)手段針對(duì)不同的安全需求,解決不同的安全問(wèn)題,使得網(wǎng)絡(luò)防護(hù)過(guò)程中不留安全死角。
(三)防火墻系統(tǒng)
防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在此次的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)完成后,防火墻將承擔(dān)起對(duì)合法地址用戶的路由和對(duì)私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(wù)(NAT),同時(shí),將根據(jù)需要對(duì)進(jìn)出訪問(wèn)進(jìn)行控制。防火墻可將網(wǎng)絡(luò)分成若干個(gè)區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對(duì)外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。
(四)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的作用
通過(guò)使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),我們可以做到:發(fā)現(xiàn)誰(shuí)在攻擊網(wǎng)絡(luò):解決網(wǎng)絡(luò)防護(hù)的問(wèn)題(網(wǎng)絡(luò)出入口、DMZ、關(guān)鍵網(wǎng)段)。了解接網(wǎng)絡(luò)如何被攻擊:例如,如果有人非法訪問(wèn)服務(wù)器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進(jìn)行逐條的記錄回放,使網(wǎng)絡(luò)系統(tǒng)免受二次攻擊。
處置中心網(wǎng)絡(luò)的內(nèi)部危險(xiǎn):放置在網(wǎng)絡(luò)中的IDS會(huì)識(shí)別不同的安全事件。減輕潛在威脅:可以安裝在特定的網(wǎng)絡(luò)中,確定依具體情況而定的或是所懷疑的威脅,通過(guò)策略阻斷和其它安全產(chǎn)品進(jìn)行全面防護(hù)。事后取證:從相關(guān)的事件和活動(dòng)的多個(gè)角度提供具有標(biāo)準(zhǔn)格式的獨(dú)特?cái)?shù)據(jù)。實(shí)現(xiàn)安全事件來(lái)源追查。 DDOS攻擊防范:通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量,及時(shí)發(fā)現(xiàn)異常流量并報(bào)警,通過(guò)和防火墻聯(lián)動(dòng),對(duì)DDOS攻擊進(jìn)行阻斷。
四、安全服務(wù)
網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。由于這方面相對(duì)比較復(fù)雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料。
五、總結(jié)
毫無(wú)疑問(wèn),安全是一個(gè)動(dòng)態(tài)的問(wèn)題。在做未來(lái)的計(jì)劃時(shí),既要考慮用戶環(huán)境的發(fā)展,也要考慮風(fēng)險(xiǎn)的發(fā)展,這樣才能讓安全在操作進(jìn)程中占有一席之地。最謹(jǐn)慎、最安全的人會(huì)將他們的信息放在屋子里鎖好,妥善地保護(hù)起來(lái)。歸納起來(lái),對(duì)網(wǎng)絡(luò)安全的解決方案從人員安全、物理層安全、邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用程序和數(shù)據(jù)安全這幾方面入手即可。上述幾個(gè)方面做好之后,我們就可以讓一個(gè)網(wǎng)絡(luò)系統(tǒng):
進(jìn)不來(lái): 通過(guò)物理隔離等手段,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。
拿不走: 使用屏蔽、防下載機(jī)制,實(shí)現(xiàn)對(duì)用戶的權(quán)限控制。
讀不懂: 通過(guò)認(rèn)證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序。
改不了: 使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有允許的人才能修改數(shù)據(jù)。
走不脫: 使用日志、安全審計(jì)、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為。
參考文獻(xiàn):
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學(xué)技術(shù)出版社.2002年版.
篇13
計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境為確保計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房安全穩(wěn)定運(yùn)行而提供的適宜的環(huán)境稱之為計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行環(huán)境。其中涉及到很多方面,如機(jī)房的空氣純凈度以及溫濕度等,并且能夠確保供電可靠性,能有效避免因突然斷電而導(dǎo)致的網(wǎng)絡(luò)設(shè)備損壞,如果其中任意一項(xiàng)出現(xiàn)問(wèn)題的話,就很容易對(duì)整個(gè)網(wǎng)絡(luò)的安全運(yùn)行產(chǎn)生影響[3]。建立健全機(jī)房安全保衛(wèi)機(jī)制對(duì)確保計(jì)算機(jī)機(jī)房安全穩(wěn)定運(yùn)行有著重要意義,從實(shí)際情況來(lái)看,未能夠嚴(yán)格落實(shí)機(jī)房管理規(guī)定很容易導(dǎo)致計(jì)算機(jī)機(jī)房出現(xiàn)安全問(wèn)題,比如由于某些用戶誤碰機(jī)房硬件設(shè)備而造成的設(shè)備連通性問(wèn)題;或者因網(wǎng)絡(luò)設(shè)置被人為更改而造成網(wǎng)絡(luò)安全程度有所下降。此外,網(wǎng)絡(luò)設(shè)備和電纜被盜而造成的機(jī)房癱瘓事件也不容忽視,基于此,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)硬件運(yùn)行環(huán)境進(jìn)行必要的維護(hù)是確保計(jì)算機(jī)安全運(yùn)行的重要舉措。
計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備通常情況下,路由器、集線器、服務(wù)器中的硬盤陣列以及交換機(jī)等硬件設(shè)備共同構(gòu)建了局域網(wǎng)。因此上述各部件能否正常運(yùn)行直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)能否安全運(yùn)行。第一,必須確保計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)科學(xué)合理,這樣就能夠采取優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)措施使計(jì)算機(jī)網(wǎng)絡(luò)健壯性進(jìn)一步增強(qiáng),同時(shí)還能夠?qū)粨Q機(jī)和集線器等硬件設(shè)備進(jìn)行科學(xué)合理的設(shè)置,以便實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行。第二,目前最為常見的網(wǎng)絡(luò)電纜非雙絞線莫屬,因此雙絞線水晶頭制作質(zhì)量的高低對(duì)計(jì)算機(jī)網(wǎng)絡(luò)能否正常運(yùn)行有直接影響[4]。第三,電磁干擾也會(huì)影響到計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全,所以在布控網(wǎng)線過(guò)程中,應(yīng)確保同強(qiáng)電線路間保持足夠的安全距離。第四,作為局域網(wǎng)中最為重要的硬件設(shè)備之一,服務(wù)器上磁盤安全性的高低也會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行安全產(chǎn)生直接影響。另外,機(jī)房設(shè)備是否可靠接地對(duì)其能否正常運(yùn)行也起著不可忽視的作用。
計(jì)算機(jī)軟件存在的安全問(wèn)題計(jì)算機(jī)軟件主要有兩部分組成,一部分是計(jì)算機(jī)操作系統(tǒng),另一部分為應(yīng)用軟件。windows、linux和unix是當(dāng)下常用的三種計(jì)算機(jī)操作系統(tǒng),但無(wú)論哪種操作系統(tǒng)都存在不同程度的安全漏洞,正是由于這些安全漏洞的存在才為木馬和病毒等形式的非法入侵提供了機(jī)會(huì),如果未針對(duì)這些漏洞及時(shí)采取相應(yīng)的安保措施,很容易對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行安全帶來(lái)致命打擊[5]。windows的PRC漏洞、溢出漏洞等是目前較為常見的幾種漏洞,一些惡意攻擊者經(jīng)常會(huì)利用這些漏洞攻擊計(jì)算機(jī)操作系統(tǒng),進(jìn)而使操作系統(tǒng)出現(xiàn)故障。同時(shí),操作系統(tǒng)體系結(jié)構(gòu)所存在的缺陷也是影響網(wǎng)絡(luò)安全的主要因素,操作系統(tǒng)內(nèi)部由各個(gè)功能不同的模塊所組成,如果其中任意一個(gè)模塊出現(xiàn)問(wèn)題都會(huì)導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓。此外,應(yīng)用軟件以及數(shù)據(jù)庫(kù)等方面存在的安全漏洞也會(huì)成為非法攻擊者破壞計(jì)算機(jī)網(wǎng)絡(luò)安全的主要途徑,所以加強(qiáng)應(yīng)用軟件以及數(shù)據(jù)庫(kù)的安全維護(hù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全可靠運(yùn)行有重要意義。
計(jì)算機(jī)網(wǎng)絡(luò)病毒所謂計(jì)算機(jī)網(wǎng)絡(luò)病毒指的是惡意攻擊者在計(jì)算機(jī)程序中植入或編制的能夠?qū)τ?jì)算機(jī)數(shù)據(jù)和功能產(chǎn)生破壞作用,從而對(duì)計(jì)算機(jī)的正常使用功能產(chǎn)生影響,并具備自我復(fù)制功能的一組程序代碼或計(jì)算機(jī)指令。傳染性、破壞性和復(fù)制性是計(jì)算機(jī)網(wǎng)絡(luò)病毒的主要特點(diǎn)。以傳播途徑為依據(jù)可以將計(jì)算機(jī)網(wǎng)絡(luò)病毒分為兩大類,分別為郵件型病毒和漏洞型病毒。網(wǎng)絡(luò)電子郵件是郵件類病毒的主要傳播途徑,這類病毒會(huì)偽裝成用戶容易點(diǎn)擊的虛假信息隱藏在附件內(nèi),一旦用戶點(diǎn)擊隱藏病毒的附件,就會(huì)使這類病毒趁虛而入。微軟windows操作系統(tǒng)存在的安全漏洞是漏洞型病毒的主要傳播途徑。如果用戶未及時(shí)對(duì)發(fā)現(xiàn)的windows系統(tǒng)漏洞進(jìn)行修補(bǔ),漏洞型病毒很可能會(huì)趁此機(jī)會(huì)非法入侵該用戶的計(jì)算機(jī)。
計(jì)算機(jī)網(wǎng)絡(luò)安全的防范對(duì)策
網(wǎng)絡(luò)安全與網(wǎng)絡(luò)系統(tǒng)息息相關(guān),要想確保計(jì)算機(jī)網(wǎng)絡(luò)能夠安全穩(wěn)定運(yùn)行,應(yīng)從以下幾方面著手。
管理安全對(duì)策作為計(jì)算機(jī)安全運(yùn)行的重中之重,管理問(wèn)題尤為重要。人是操作計(jì)算機(jī)系統(tǒng)的主體,因此人為操作失誤也是影響網(wǎng)絡(luò)安全運(yùn)行的主要因素之一。基于此,必須建立健全網(wǎng)絡(luò)管理機(jī)制,只有實(shí)現(xiàn)人為操作規(guī)范化管理,才能夠有效避免人為操作失誤安全隱患。此外,還應(yīng)采取有效措施提高計(jì)算機(jī)管理人員的安全防護(hù)意識(shí),并制定一套行之有效的網(wǎng)絡(luò)安全應(yīng)急防護(hù)方案。
計(jì)算機(jī)系統(tǒng)的安全對(duì)策隨著網(wǎng)絡(luò)時(shí)代的到來(lái),計(jì)算機(jī)信息技術(shù)也得到了飛速發(fā)展,不過(guò)隨之而來(lái)的是計(jì)算機(jī)病毒的傳播也呈現(xiàn)出多樣化趨勢(shì),要想確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全可靠性,不僅僅要進(jìn)一步提升廣大計(jì)算機(jī)用戶的安全防護(hù)意識(shí),更為重要的是加大對(duì)計(jì)算機(jī)病毒的防護(hù)力度。常見的計(jì)算機(jī)系統(tǒng)安全防護(hù)手段主要有以下幾方面:計(jì)算機(jī)用戶不要隨意打開或進(jìn)入具有欺騙性的郵件或網(wǎng)站;加強(qiáng)對(duì)計(jì)算機(jī)病毒防護(hù)知識(shí)的學(xué)習(xí),及時(shí)發(fā)現(xiàn)并解決計(jì)算機(jī)異常問(wèn)題,以便有效預(yù)防計(jì)算機(jī)病毒攻擊,確保計(jì)算機(jī)系統(tǒng)安全穩(wěn)定運(yùn)行。另外,對(duì)于一旦遭受病毒攻擊就會(huì)造成巨大經(jīng)濟(jì)損失或其它損失的網(wǎng)絡(luò)用戶而言,應(yīng)及時(shí)做好系統(tǒng)備份工作。
計(jì)算機(jī)實(shí)體的物理防護(hù)對(duì)策計(jì)算機(jī)物理安全很容易被人們所忽視,事實(shí)上,包括計(jì)算機(jī)硬件以及通信線路等在內(nèi)的一些實(shí)體設(shè)備的安全防護(hù)也會(huì)對(duì)計(jì)算機(jī)系統(tǒng)安全運(yùn)行產(chǎn)生直接影響,如果這些實(shí)體設(shè)備出現(xiàn)不同程度的故障,很可能會(huì)導(dǎo)致網(wǎng)絡(luò)安全隱患。為有效預(yù)防雷電和強(qiáng)電對(duì)網(wǎng)絡(luò)系統(tǒng)的干擾,技術(shù)人員往往通過(guò)增設(shè)避雷設(shè)備解決該問(wèn)題,并利用電磁屏蔽技術(shù)有效避免電磁泄漏現(xiàn)象的出現(xiàn),與此同時(shí),還應(yīng)做好對(duì)計(jì)算機(jī)設(shè)備的日常維護(hù)工作,確保防火、防震、防靜電以及防塵等措施全部落實(shí)到位,為計(jì)算機(jī)系統(tǒng)安全可靠運(yùn)行提供有力保障。
網(wǎng)絡(luò)控制對(duì)策加強(qiáng)對(duì)網(wǎng)絡(luò)的有效控制是確保網(wǎng)絡(luò)安全的主要手段。(1)對(duì)網(wǎng)絡(luò)設(shè)置訪問(wèn)權(quán)限。為有效解決因人為非法操作所造成的網(wǎng)絡(luò)安全隱患問(wèn)題,應(yīng)對(duì)網(wǎng)絡(luò)設(shè)置訪問(wèn)權(quán)限。加強(qiáng)入網(wǎng)控制是目前較為常見的網(wǎng)絡(luò)控制手段,例如用戶實(shí)名制登錄、身份驗(yàn)證、口令驗(yàn)證等等。另外,還應(yīng)對(duì)用戶以及用戶組的訪問(wèn)權(quán)限進(jìn)行合理設(shè)置。(2)加強(qiáng)網(wǎng)絡(luò)防火墻的控制。防火墻技術(shù)是保障網(wǎng)絡(luò)安全的重要技術(shù)手段。該技術(shù)主要是通過(guò)對(duì)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效隔離,并對(duì)這兩個(gè)網(wǎng)絡(luò)通信時(shí)的訪問(wèn)尺度進(jìn)行有效控制來(lái)確保網(wǎng)絡(luò)安全。過(guò)濾防火墻和防火墻是當(dāng)前常見的防火墻技術(shù):①過(guò)濾防火墻:利用路由器來(lái)阻擋外網(wǎng)對(duì)內(nèi)網(wǎng)的非法入侵是過(guò)濾防火墻的主要作用。②防火墻:服務(wù)器技術(shù)是防火墻的最核心技術(shù),服務(wù)器會(huì)對(duì)外部網(wǎng)絡(luò)向內(nèi)網(wǎng)發(fā)送的數(shù)據(jù)和請(qǐng)求進(jìn)行過(guò)濾,只有符合過(guò)濾規(guī)則的數(shù)據(jù)才會(huì)被傳遞至真實(shí)的服務(wù)器,這樣能夠有效預(yù)防非法數(shù)據(jù)的傳輸。雖然防火墻技術(shù)能夠進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全可靠性,但該技術(shù)也無(wú)法確保網(wǎng)絡(luò)的絕對(duì)安全,其自身也會(huì)面臨被計(jì)算機(jī)病毒入侵的安全隱患,基于此,我們應(yīng)將防火墻技術(shù)與其它安全防護(hù)技術(shù)有機(jī)結(jié)合在一起,從而使計(jì)算機(jī)網(wǎng)絡(luò)安全得到進(jìn)一步提升。
