序論:在您撰寫網(wǎng)絡(luò)安全防護(hù)手段時��,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)安全��;防火墻�����;技術(shù)特征
21世紀(jì)全世界的計算機(jī)都通過Internet聯(lián)到一起���,信息安全的內(nèi)涵也就發(fā)生了根本的變化��。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范�����,而且還從一種專門的領(lǐng)域變成了無處不在�。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候��,我國應(yīng)建立起一套完整的網(wǎng)絡(luò)安全體系�,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系��。一個國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策�����,以及技術(shù)與市場的發(fā)展平臺�。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品��,我國要想真正解決網(wǎng)絡(luò)安全問題����,最終的辦法是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高�����。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一��,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化���,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了�����。第二�,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化。第三�����,隨著網(wǎng)絡(luò)在社會各個方面的延伸�����,進(jìn)入網(wǎng)絡(luò)的手段也越來越多�����,因此���,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程���。為此,建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及安全產(chǎn)品生產(chǎn)集團(tuán)聯(lián)合研究開發(fā)�。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升��,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)�。信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題���,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上�、產(chǎn)業(yè)上、政策上來發(fā)展它���。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分���,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分����,甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用�����。
1 網(wǎng)絡(luò)安全現(xiàn)狀
由于政務(wù)網(wǎng)、商務(wù)網(wǎng)所有業(yè)務(wù)應(yīng)用系統(tǒng)都基于一個企業(yè)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)�,因此,應(yīng)用與應(yīng)用之間難以有效地隔離��;同時����,用戶情況復(fù)雜,有的用戶屬于重要應(yīng)用崗位��,有的屬于一般崗位�����。雖然這些用戶對應(yīng)用的安全服務(wù)要求不同�����,但他們均混雜在一個局域網(wǎng)絡(luò)����,因此對用戶較難以分別控制。此外����,政務(wù)網(wǎng)�、商務(wù)網(wǎng)應(yīng)用是基于開放的平臺實(shí)現(xiàn)的��,開放系統(tǒng)平臺和開放的通訊協(xié)議存在安全缺陷及漏洞�,同時也造成了這些應(yīng)用存在著安全上的隱患??傊鞣N應(yīng)用之間可能存在信息非法訪問�、存取的機(jī)會,這都給政務(wù)網(wǎng)�����、商務(wù)網(wǎng)的信息應(yīng)用的安全運(yùn)行帶來巨大的風(fēng)險�。這些風(fēng)險包括用戶對信息的誤用���、濫用�����、盜用以及破壞���。對于政務(wù)網(wǎng)、商務(wù)網(wǎng)等信息應(yīng)用系統(tǒng)來說�,面臨的攻擊����、威脅的主要手段有:病毒��、破壞硬件設(shè)備���、冒充�、篡改��、竊取等�。在網(wǎng)絡(luò)系統(tǒng)中,無論任何調(diào)用指令�����,還是任何反饋均是通過網(wǎng)絡(luò)傳輸實(shí)現(xiàn)的���,所以網(wǎng)絡(luò)信息傳輸上的安全就顯得特別重要��。信息的傳輸安全主要是指信息在動態(tài)傳輸過程中的安全���。為確保政務(wù)網(wǎng)、商務(wù)網(wǎng)網(wǎng)絡(luò)信息的傳輸安全��,主要應(yīng)注意對網(wǎng)絡(luò)上信息的監(jiān)聽。對網(wǎng)上傳輸?shù)男畔?�,攻擊者只需在網(wǎng)絡(luò)的傳輸鏈路上通過物理或邏輯的手段��,就能對數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽�����,進(jìn)而獲得用戶或服務(wù)方的敏感信息���。計算機(jī)網(wǎng)絡(luò)上的通信面臨以下四種威脅:截獲——從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容�����。中斷——有意中斷他人在網(wǎng)絡(luò)上的通信����。篡改——故意篡改網(wǎng)絡(luò)上傳送的報文��。偽造——偽造信息在網(wǎng)絡(luò)上傳送����。
2 網(wǎng)絡(luò)安全管理監(jiān)控
信息系統(tǒng)安全性起于好的管理�。這包括檢查所有重要文件和目錄的所有者和許可權(quán)限���,監(jiān)視特權(quán)賬戶的使用,檢查信息的使用及占有情況等����。在一個信息系統(tǒng)運(yùn)行中,影響系統(tǒng)安全的因素很多��,但其中50%與管理因素有關(guān)����。政務(wù)網(wǎng)、商務(wù)網(wǎng)信息系統(tǒng)較為復(fù)雜�����,一旦信息處理的某個節(jié)點(diǎn)或環(huán)節(jié)出現(xiàn)問題�,很可能導(dǎo)致信息系統(tǒng)降低效率或癱瘓。而信息系統(tǒng)單純依靠人工管理存在較大困難和諸多安全隱患����,因此,需要一種手段和技術(shù)來保證信息系統(tǒng)的可管理性����,并減少信息系統(tǒng)維護(hù)的費(fèi)用�。在政務(wù)網(wǎng)�����、商務(wù)網(wǎng)等信息系統(tǒng)中���,分布式結(jié)構(gòu)和網(wǎng)絡(luò)計算占了重要地位�。隨著信息系統(tǒng)規(guī)模的擴(kuò)大�,我們會發(fā)現(xiàn)一個問題,就是策略的統(tǒng)一性����、連續(xù)性。我們知道��,對于政務(wù)網(wǎng)���、商務(wù)網(wǎng)而言����,整個信息系統(tǒng)是一個整體�,想保證整體系統(tǒng)的可靠性�、可用性和安全性��,那么必須保持每一個局部的網(wǎng)絡(luò)或者主機(jī)的安全性和可靠性?��,F(xiàn)在很多安全方面的隱患是由于整體信息系統(tǒng)的策略實(shí)施的不統(tǒng)一造成的。因此�,當(dāng)政務(wù)網(wǎng)、商務(wù)網(wǎng)制訂了企業(yè)的整體安全策略時�,除了通過規(guī)章制度把這些想法傳達(dá)下去,還要具備相應(yīng)的技術(shù)手段來保證這一點(diǎn)�。
對于政務(wù)網(wǎng)、商務(wù)網(wǎng)這樣的用戶必須建立一個集中式管理的概念�����,就是數(shù)據(jù)和處理能力可以是分散的����,但對于管理而言,應(yīng)該是集中的���。而所管理的內(nèi)容應(yīng)該包括企業(yè)網(wǎng)絡(luò)中一些重要的信息�,如:系統(tǒng)的集中管理����、網(wǎng)絡(luò)的集中管理����、應(yīng)用的集中管理����、防火墻系統(tǒng)的集中管理、網(wǎng)絡(luò)用戶的集中管理�,以及和這些相關(guān)的管理信息的復(fù)制、更新和同步�����。
3 防火墻技術(shù)及其發(fā)展趨勢
防火墻是由軟件���、硬件構(gòu)成的系統(tǒng)���,是一種特殊編程的路由器,用來在兩個網(wǎng)絡(luò)之間實(shí)施接入控制策略���。接入控制策略是由使用防火墻的單位自行制訂的�,為的是可以最適合本單位的需要�。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)��。目前的防火墻產(chǎn)品主要有堡壘主機(jī)����、包過濾路由器���、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)��、屏蔽主機(jī)防火墻����、雙宿主機(jī)等類型��。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段��,但也有明顯不足:無法防范通過防火墻以外的其他途徑的攻擊����,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件���,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊�����。防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層�����,屬于網(wǎng)絡(luò)層安全技術(shù)范疇�����。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障��,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一���。雖然從理論上看���,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸�,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次��,不僅要完成傳統(tǒng)防火墻的過濾任務(wù)���,同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)���。此外���,還有多種防火墻產(chǎn)品正在朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展�����。
防火墻必須在基于芯片加速的深度內(nèi)容過濾技術(shù)上實(shí)現(xiàn)真正的突破���,并推出實(shí)用化的產(chǎn)品以解決當(dāng)前的網(wǎng)絡(luò)安全難題。隨著算法和芯片技術(shù)的發(fā)展����,防火墻會更多地參與應(yīng)用層分析、芯片解決計算加速技術(shù)����,防火墻必將以軟硬兼施的方案為用戶的應(yīng)用提供更安全的保障。而VPN���、IDS/IPS��、防病毒等功能可能以各類加速芯片的形式與防火墻協(xié)同工作�,形成以芯片技術(shù)為主導(dǎo)的全系列硬件型安全網(wǎng)關(guān)。防火墻下一步的發(fā)展與中國下一代網(wǎng)絡(luò)的建設(shè)緊密相關(guān)����,如IPv6網(wǎng)絡(luò)、P2P應(yīng)用���、3G�����、4G網(wǎng)絡(luò)等等���。這里特別強(qiáng)調(diào)的是防火墻與IPv6。由于IPv6網(wǎng)絡(luò)的新特性��,如端到端的連接�、移動IP的處理、內(nèi)嵌IPSec��、路徑MTU探測等��,給防火墻帶來新的安全挑戰(zhàn)����。防火墻不僅要及時適應(yīng)IPv6網(wǎng)絡(luò)的發(fā)展����,并解決IPv6引入后帶來的新問題����,同時,由于IPv6與IPv4網(wǎng)絡(luò)���,網(wǎng)絡(luò)必然會同時存在IPv4的安全問題與IPv6的安全問題,或由此造成新的安全問題����。下一步要考慮的,不僅僅是更適應(yīng)于網(wǎng)絡(luò)發(fā)展的防火墻模型����,可能還會包括網(wǎng)絡(luò)安全防范與評估方法等。在Internet無所不在的理念下��,防火墻等網(wǎng)絡(luò)安全產(chǎn)品也必將站在可信賴應(yīng)用與計算環(huán)境為基礎(chǔ)的角度上設(shè)計并解決安全問題�����。當(dāng)前基于不同架構(gòu)設(shè)計實(shí)現(xiàn)的防火墻都將面臨巨大的挑戰(zhàn)����,為此付出的代價也將是不同的���。防火墻技術(shù)和產(chǎn)品已經(jīng)相對成熟,但還存在一定的技術(shù)局限性�����,防火墻仍不能完全滿足用戶的需求����。網(wǎng)絡(luò)攻防是一對矛盾,用戶需求激發(fā)技術(shù)創(chuàng)新��,網(wǎng)絡(luò)與應(yīng)用也在日新月異�����,在關(guān)鍵處理技術(shù)上實(shí)現(xiàn)創(chuàng)新�����,并對防火墻在各種網(wǎng)絡(luò)環(huán)境中的實(shí)際應(yīng)用�、穩(wěn)定性與易用性,以及整體網(wǎng)絡(luò)安全解決方案進(jìn)行研究��,一直會是防火墻技術(shù)的重要內(nèi)容。因此�,防火墻技術(shù)將持續(xù)快速發(fā)展,技術(shù)突破將必然帶來新的天地����。
4 結(jié)論
計算機(jī)網(wǎng)絡(luò)安全是在攻擊和防御的技術(shù)和力量此消彼長中的一個動態(tài)過程。根據(jù)前面的分析���,當(dāng)前的網(wǎng)絡(luò)安全具有很多新的特點(diǎn)�,整體的狀況不容樂觀�����。網(wǎng)絡(luò)安全企業(yè)和專家應(yīng)該從這些特點(diǎn)出發(fā)����,尋找更好的解決之道��。
第2篇
無論是教學(xué)目標(biāo)的要求�����,還是社會的發(fā)展需要�,網(wǎng)絡(luò)工程的教學(xué)工作都要將學(xué)生動手能力以及實(shí)際操作能力作為根本的培養(yǎng)目標(biāo)���,不僅要革新教學(xué)理念,更要不斷的引進(jìn)先進(jìn)的教學(xué)方法�,讓學(xué)生在虛擬的條件下切實(shí)的感受到網(wǎng)絡(luò)命令的作用,從而提高教學(xué)效果�����。仿真的網(wǎng)絡(luò)環(huán)境�,具有較低的經(jīng)濟(jì)投入,不僅可以對計算機(jī)網(wǎng)絡(luò)的參數(shù)進(jìn)行配置�,還可以為學(xué)生提供一個操作簡單的實(shí)踐環(huán)境,通過仿真器的網(wǎng)絡(luò)搭建�����,造就了完美的仿真軟件��,提供了生動的仿真平臺�����,使得計算機(jī)網(wǎng)絡(luò)中的各種算法�。協(xié)議以及數(shù)據(jù)交換的過程能夠更加真實(shí)生動的展示在學(xué)生面前,使得抽象難懂的模擬協(xié)議變得通俗易懂,增強(qiáng)了學(xué)生的理解能力�����,獲得更好的應(yīng)用體驗(yàn)效果�����。
2Ping命令
2.1參數(shù)功能
網(wǎng)絡(luò)的安全性是整個計算機(jī)系統(tǒng)的重要環(huán)節(jié)��,對網(wǎng)絡(luò)環(huán)境的穩(wěn)定性有著關(guān)鍵的影響�,目前常見的網(wǎng)絡(luò)系統(tǒng)配備的都是Ping命令,這種命令使用的正確與否關(guān)系著軟件資源能否被正確識別��、關(guān)系著軟件的不足能否得到及時的彌補(bǔ)以及能否及時的排除系統(tǒng)的故障����,保證系統(tǒng)的正常運(yùn)行。在計算機(jī)的網(wǎng)絡(luò)系統(tǒng)中����,Ping命令主要用來發(fā)出或者對接收進(jìn)來的DOS命令做出響應(yīng)�����,可以是應(yīng)發(fā)出者的要求發(fā)送出同等大小的數(shù)據(jù)包,也可以根據(jù)數(shù)據(jù)的傳遞與使用判斷主機(jī)的位置��,進(jìn)而對操作系統(tǒng)做出判斷��,其基本的參數(shù)功能便是能夠根據(jù)主機(jī)與路由器的提示進(jìn)行網(wǎng)絡(luò)運(yùn)行狀態(tài)的檢測�、網(wǎng)絡(luò)通達(dá)性的測試以及系統(tǒng)的故障檢測與報告,正是這些參數(shù)功能的存在�,保證了其完成任務(wù)效率與質(zhì)量,對計算機(jī)網(wǎng)絡(luò)的構(gòu)建與發(fā)展做出了巨大貢獻(xiàn)����。
2.2功能分析
由于ping命令多功能性,所以其常常被用來替代專業(yè)的網(wǎng)路測試�,進(jìn)而實(shí)現(xiàn)對于系統(tǒng)的監(jiān)控。在進(jìn)行網(wǎng)絡(luò)測試的過程中�����,ping命令會通過一級ARP命令查看系統(tǒng)的IP�����,如果能夠順利的拼出系統(tǒng)的地址信息��,則表示適配器工作正常���,反之則表示網(wǎng)絡(luò)出現(xiàn)了故障���,同時在網(wǎng)絡(luò)故障的條件下����,保證本機(jī)主卡的運(yùn)行狀態(tài)�;其次,則是查看本地循環(huán)的IP地址�,如果不能夠順利進(jìn)行,則表示本地的網(wǎng)絡(luò)出現(xiàn)了故障���,本地的IP沒有處于正常的工作狀態(tài)���;最后,便是對DNS進(jìn)行測試�,如果在檢測的時候不能夠順利的連接到這臺主機(jī),則表示網(wǎng)絡(luò)檢測工程可能存在著故障�。在對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測的過程中,可能會出現(xiàn)因?yàn)榫W(wǎng)絡(luò)環(huán)境的差異性診斷工具無法生效的情況�����,這就需要從ping命令著手��,對故障進(jìn)行檢測與排查����。其需要首先保障主機(jī)的正常運(yùn)行,在確定沒有安全設(shè)置的限制條件下�����,便可以開始使用ping命令進(jìn)行特殊故障的排查了�����,當(dāng)然首先便是使得ping命令能夠ping通�����,如果不能夠ping通�,則表示網(wǎng)卡已經(jīng)損壞了;此時便可以通過設(shè)備管理器打開網(wǎng)卡��,通過鼠標(biāo)右鍵的方式查看網(wǎng)卡的運(yùn)行狀態(tài)��;在網(wǎng)卡正常工作的條件下�����,則表示工作站的程序受到了破壞,以此來對故障進(jìn)行定位與推斷���。
3其他的網(wǎng)絡(luò)命令
在網(wǎng)絡(luò)系統(tǒng)的創(chuàng)建使用過程中����,除卻Ping命令還有較常見的Tracert命令����、ARP命令、Netstat命令以及SOCKE命令�����。Tracert或者說跟蹤路由命令是比較實(shí)用的跟蹤追蹤程序��,是對IP數(shù)據(jù)進(jìn)行訪問的實(shí)用方法���;Netstat命令的主要功能便是對路由表�����、網(wǎng)絡(luò)連接狀態(tài)以及網(wǎng)絡(luò)接口等基本的信息進(jìn)行顯示�,并保障早信息傳遞的過程中用戶能夠正常的使用網(wǎng)絡(luò)���;ARP命令多用于確定物理地址��,看到本機(jī)或者其他計算機(jī)的緩沖內(nèi)容���。Socke編程或者開發(fā)命令,能夠通過Socket技術(shù)實(shí)現(xiàn)對于計算機(jī)的高水平管理����,作為應(yīng)用層與通信協(xié)議之間相互聯(lián)系的中間軟件,其利用一連串的接口來工作��,并通過將設(shè)計模式隱藏在接口的后面來適應(yīng)協(xié)議的要求���,并通過C/S模式來進(jìn)行初始化�,在監(jiān)聽的同時保障客戶端的連接��,從而實(shí)現(xiàn)網(wǎng)絡(luò)在故障檢測的過程中的正常使用����。
4結(jié)語
第3篇
在大型的企業(yè)網(wǎng)絡(luò)中不同的子網(wǎng)各有特點(diǎn),對于網(wǎng)絡(luò)安全防護(hù)有不同的等級要求和側(cè)重點(diǎn)�����。因此,網(wǎng)絡(luò)安全域的“同構(gòu)性簡化”思路就顯得非常適合安徽中煙網(wǎng)絡(luò)安全防護(hù)的需求��,下面將具體介紹安徽中煙基于安全域的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)思路���。
網(wǎng)絡(luò)安全域是使網(wǎng)絡(luò)滿足等級保護(hù)要求的關(guān)鍵技術(shù)�����,每一個邏輯區(qū)域有相同的安全保護(hù)需求�����,具有相同的安全訪問控制和邊界控制策略����,區(qū)域間具有相互信任關(guān)系���,而且相同的網(wǎng)絡(luò)安全域共享同樣的安全防護(hù)手段���。通過建設(shè)基于安全域的網(wǎng)絡(luò)安全防護(hù)體系,我們可以實(shí)現(xiàn)以下的目標(biāo):通過對系統(tǒng)進(jìn)行分區(qū)域劃分和防護(hù)��,構(gòu)建起有效的縱深防護(hù)體系����;明確各區(qū)域的防護(hù)重點(diǎn)����,有效抵御潛在威脅����,降低風(fēng)險�����;保證系統(tǒng)的順暢運(yùn)行���,保證業(yè)務(wù)服務(wù)的持續(xù)����、有效提供��。
1安全域劃分
由于安徽中煙網(wǎng)絡(luò)在網(wǎng)絡(luò)的不同層次和區(qū)域所關(guān)注的角度不同�����,因此進(jìn)行安全域劃分時�����,必須兼顧網(wǎng)絡(luò)的管理和業(yè)務(wù)屬性,既保證現(xiàn)有業(yè)務(wù)的正常運(yùn)行�����,又要考慮劃分方案是否可行���。在這樣的情況下����,獨(dú)立應(yīng)用任何一種安全域劃分方式都不能實(shí)現(xiàn)網(wǎng)絡(luò)安全域的合理劃分��,需要多種方式綜合應(yīng)用�����,互相取長補(bǔ)短��,根據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)和企業(yè)的管理需求��,有針對性地選擇合理的安全域劃分方式�����。
1.1安全域劃分原則
業(yè)務(wù)保障原則安全域劃分應(yīng)結(jié)合煙草業(yè)務(wù)系統(tǒng)的現(xiàn)狀,建立持續(xù)保障機(jī)制���,能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)����。在保證安全的同時����,還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率�����。結(jié)構(gòu)化原則安全域劃分的粒度可以從系統(tǒng)���、設(shè)備到服務(wù)���、進(jìn)程、會話等不斷細(xì)化�,在進(jìn)行安全域劃分時應(yīng)合理把握劃分粒度,只要利于使用���、利于防護(hù)����、利于管理即可,不可過繁或過簡����。等級保護(hù)原則屬于同一安全域內(nèi)的系統(tǒng)應(yīng)互相信任,即保護(hù)需求相同��。建立評估與監(jiān)控機(jī)制���,設(shè)計防護(hù)機(jī)制的強(qiáng)度和保護(hù)等級�。要做到每個安全域的信息資產(chǎn)價值相近��,具有相同或相近的安全等級�、安全環(huán)境、安全策略等���。生命周期原則安全域的劃分不應(yīng)只考慮到靜態(tài)設(shè)計�����,還要考慮因需求����、環(huán)境不斷變化而產(chǎn)生的安全域的變化,所以需考慮到工程化管理�����。
1.2安全域劃分方式
1.2.1安全域劃分模型根據(jù)安徽中煙網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀�,安徽中煙提出了如下安全域劃分模型,將整個網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)接口區(qū)���、內(nèi)部網(wǎng)絡(luò)接口區(qū)�����,核心交換區(qū)��,核心生產(chǎn)區(qū)四部分:核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián),不與任何外部網(wǎng)絡(luò)直接互聯(lián)�。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價值最高的設(shè)備位于本區(qū)域,如服務(wù)器群�����、數(shù)據(jù)庫以及重要存儲設(shè)備���,外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備��。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò)����,包括與國家局,商煙以及分支煙草連接的網(wǎng)絡(luò)�����?��;ヂ?lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接����,主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備����。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)負(fù)責(zé)連接核心生產(chǎn)區(qū)���、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域�����。
1.2.2安全域邊界整合1)整合原則邊界整合原則是主要依據(jù)分等級保護(hù)的原則和同類安全域合并���。分等級防護(hù)是安全域方法的基本思想�,這自然不必多說����,同類安全域合并原則在落實(shí)時應(yīng)以一下思想為指導(dǎo):集中化:在具備條件的情況下,同一業(yè)務(wù)系統(tǒng)應(yīng)歸并為一個大的安全域�����;次之�����,在每個機(jī)房的屬于同一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的節(jié)點(diǎn)應(yīng)歸并為一個大的安全域���?��?缦到y(tǒng)整合:不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)之間的同類安全域應(yīng)在保證域間互聯(lián)安全要求的情況下進(jìn)行整合�,以減小邊界和進(jìn)行防護(hù)。最小化:應(yīng)將與外部�����、內(nèi)部互聯(lián)的接口數(shù)量最小化,以便于集中����、重點(diǎn)防護(hù)。2)整合方法為了指導(dǎo)邊界整合��,安徽中煙提出了兩種邊界整合方法�����、適用場景��。這些邊界整合方法都側(cè)重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點(diǎn)間的邊界整合�����,側(cè)重于數(shù)據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)��、外部系統(tǒng)間的接口的整合�����。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網(wǎng)絡(luò)容災(zāi)能力��,將現(xiàn)有數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)之間有多個物理位置不同的接口����,并且尚不具備傳輸條件整合各接口。
2安全防護(hù)策略
2.1安全防護(hù)原則
集中防護(hù)通過安全域劃分及邊界整合后�,可以形成所謂的“大院”,減少了邊界��,進(jìn)而可以在安全域的邊界和內(nèi)部部署防火墻����、入侵檢測系統(tǒng)的網(wǎng)絡(luò)探頭、異常流量檢測和過濾設(shè)備�、網(wǎng)絡(luò)安全管控平臺的采集設(shè)備、防病毒系統(tǒng)的客戶端等基礎(chǔ)安全技術(shù)防護(hù)手段�,集中部署基礎(chǔ)安全服務(wù)設(shè)施,對不同業(yè)務(wù)系統(tǒng)�����、不同的安全子域進(jìn)行防護(hù)��,共享其提供的安全服務(wù)����。分等級防護(hù)根據(jù)煙草行業(yè)信息安全等級保護(hù)要求,對不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)����、不同的安全子域,按照其保護(hù)等級進(jìn)行相應(yīng)的防護(hù)�。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進(jìn)行防護(hù)?���?v深防護(hù)從外部網(wǎng)絡(luò)到核心生產(chǎn)域,以及沿用戶(或其他系統(tǒng))訪問(或入侵)系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護(hù)體系�����,對關(guān)鍵的信息資產(chǎn)進(jìn)行有效保護(hù)���。
2.2系統(tǒng)安全防護(hù)
為適應(yīng)安全防護(hù)需求����,統(tǒng)一�、規(guī)范和提升網(wǎng)絡(luò)和業(yè)務(wù)的安全防護(hù)水平,安徽中煙制定了由安全域劃分和邊界整合�、設(shè)備自身安全、基礎(chǔ)安全技術(shù)防護(hù)手段����、安全運(yùn)行管理平臺四層構(gòu)成的安全技術(shù)防護(hù)體系架構(gòu)�。其中��,安全域劃分和邊界整合是防護(hù)體系架構(gòu)的基礎(chǔ)�。
2.2.1設(shè)備自身安全功能和配置一旦確定了設(shè)備所在的安全域,就可以根據(jù)其落入的安全域防護(hù)策略對設(shè)備進(jìn)行安全功能設(shè)置和策略部署��。針對設(shè)備的安全配置���,安徽中煙后期會制定《安徽中煙設(shè)備安全功能和配置系列規(guī)范》提供指導(dǎo)�����。
2.2.2基礎(chǔ)安全技術(shù)防護(hù)手段業(yè)務(wù)系統(tǒng)的安全防護(hù)應(yīng)以安全域劃分和邊界整合為基礎(chǔ)���,通過部署防火墻、入侵檢測�����、防病毒�、異常流量檢測和過濾、網(wǎng)絡(luò)安全管控平臺等5類通用的基礎(chǔ)安全技術(shù)防護(hù)手段進(jìn)行防護(hù)。在通用手段的基礎(chǔ)上��,還可根據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅種類和特點(diǎn)部署專用的基礎(chǔ)安全技術(shù)防護(hù)手段�,如網(wǎng)頁防篡改�����、垃圾郵件過濾手段等��。
防火墻部署防火墻要部署在各種互聯(lián)邊界之處:
–在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻�;
–在核心交換區(qū)部署防火墻防護(hù)互聯(lián)網(wǎng)接口區(qū)、內(nèi)部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界���;
–在內(nèi)部互聯(lián)接口區(qū)和內(nèi)部網(wǎng)絡(luò)的邊界也需部署防火墻��?��?紤]到內(nèi)部互聯(lián)風(fēng)險較互聯(lián)網(wǎng)低,內(nèi)部互聯(lián)接口區(qū)防火墻可復(fù)用核心交換區(qū)部署的防火墻�����。另外��,對于同一安全域內(nèi)的不同安全子域,可采用路由或交換設(shè)備進(jìn)行隔離和部署訪問控制策略�,或者采用防火墻進(jìn)行隔離并設(shè)置訪問控制策略。入侵檢測設(shè)備的部署應(yīng)在互聯(lián)網(wǎng)接口區(qū)���、內(nèi)部互聯(lián)接口區(qū)必須部署入侵檢測探頭�,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測中央服務(wù)器的控制�。在經(jīng)濟(jì)許可或相應(yīng)合理要求下,也可在核心交換區(qū)部署入侵檢測探頭���,實(shí)現(xiàn)對系統(tǒng)間互訪的監(jiān)控�。防病毒系統(tǒng)的部署運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端���,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務(wù)器的統(tǒng)一管理�。同時�����,為了提高可用性和便于防護(hù)����,可在內(nèi)部互聯(lián)接口區(qū)部署二級防病毒服務(wù)器。異常流量檢測和過濾可在數(shù)據(jù)業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側(cè)部署異常流量檢測和過濾設(shè)備��,防范和過濾來自互聯(lián)網(wǎng)的各類異常流量。
網(wǎng)絡(luò)安全管控平臺網(wǎng)絡(luò)安全管控平臺應(yīng)部署在網(wǎng)管網(wǎng)側(cè)����,但為了簡化邊界和便于防護(hù),建議:
–在內(nèi)部互聯(lián)接口區(qū)部署帳號口令采集設(shè)備以實(shí)現(xiàn)帳號同步等功能�。
–在內(nèi)部互聯(lián)接口區(qū)必須部署日志采集設(shè)備,采集業(yè)務(wù)系統(tǒng)各設(shè)備的操作日志�����。
2.2.3應(yīng)用層安全防護(hù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)用安全防護(hù)主要是防范因業(yè)務(wù)流程�、協(xié)議在設(shè)計或?qū)崿F(xiàn)方面存在的漏洞而發(fā)生安全事件��。其安全防護(hù)與系統(tǒng)架構(gòu)��、業(yè)務(wù)邏輯及其實(shí)現(xiàn)等系統(tǒng)自身的特點(diǎn)密切相關(guān)����。安徽中煙通過參考IAARC模型,提出鑒別和認(rèn)證����、授權(quán)與訪問控制、內(nèi)容安全����、審計����、代碼安全五個防護(hù)方面����。
2.2.4安全域的管理除了實(shí)施必要的安全保障措施控制外,加強(qiáng)安全管理也是不可缺少的一個重要環(huán)節(jié)��。安全域管理主要包括:從安全域邊界的角度考慮�����,應(yīng)提高維護(hù)��、加強(qiáng)對邊界的監(jiān)控���,對業(yè)務(wù)系統(tǒng)進(jìn)行定期或不定期的風(fēng)險評估及實(shí)施安全加固�����;從系統(tǒng)的角度考慮����,應(yīng)規(guī)范帳號口令的分配,對服務(wù)器應(yīng)嚴(yán)格帳號口令管理�����,加強(qiáng)補(bǔ)丁的管理等��;人員安全培訓(xùn)�。
第4篇
隨著信息安全技術(shù)的不斷發(fā)展深化,單純的層次化方法已經(jīng)不能適應(yīng)新的安全形勢��,必須以體系化思想重新定義縱深防御��,形成一個縱深的��、動態(tài)的安全保障框架��,亦即縱深防御體系���。縱深防御體系是一種信息安全防護(hù)系統(tǒng)設(shè)計方法論����,其基本思想是綜合治理,它以信息安全為中心�����,以多層面安全手段為基礎(chǔ),以流程化管控為抓手�����,以貫穿信息系統(tǒng)的生命周期為管理范疇��,采用等級化的思想�,最終形成手段縱深、級別縱深��、流程縱深的防御與保障體系�,以等級化為原則等級保護(hù)作為國家信息安全的一項(xiàng)制度,為關(guān)系到國計民生的各類重大信息系統(tǒng)的安全防護(hù)提供了指導(dǎo)思路�����。等級保護(hù)的主體思想在于等級化和差異化�����,即為不同等級的保護(hù)對象提供合理的防護(hù)措施�����。縱深防御體系的建設(shè)����,不能是防護(hù)設(shè)施和防護(hù)手段的一味堆砌,而是要以等級化為指導(dǎo)思想��,充分考慮防護(hù)目標(biāo)的等級特征����,在防控框架、控制流程�、生命周期管理等各個方面,都需要劃分相應(yīng)的等級�����,以等級特征為基礎(chǔ)�����,提供合理的防護(hù)�。沒有等級標(biāo)的的防護(hù)是盲目的����,不僅浪費(fèi)大量的人力物力��,而且還會導(dǎo)致安全措施���、手段脫離需求,造成防護(hù)手段不到位��。以信息安全為中心信息是業(yè)務(wù)系統(tǒng)的產(chǎn)物�����,是各項(xiàng)業(yè)務(wù)的最終承載者�。諸多單位、人員����、系統(tǒng)進(jìn)行的各項(xiàng)工作,其價值都體現(xiàn)在信息上���,可以說信息是業(yè)務(wù)系統(tǒng)的核心所在���。因此信息的安全是縱深防御體系的中心,保障信息安全也是縱深防御體系實(shí)施的最終目的����?����?v深防御體系建設(shè)必須圍繞信息安全保障展開�。以多層次安全手段為基礎(chǔ)為實(shí)現(xiàn)信息安全�,必須從4個層面加以控制防護(hù):法律、規(guī)范��、標(biāo)準(zhǔn)���、制度����,安全管理�,物理安全,網(wǎng)絡(luò)安全�,系統(tǒng)安全,應(yīng)用安全以及信息安全��。信息安全包括了保護(hù)信息的保密性���、完整性、可用性、不可否認(rèn)性等安全屬性的各類防護(hù)措施;應(yīng)用安全包括計算機(jī)硬件��、軟件��、數(shù)據(jù)庫���、操作系統(tǒng)安全等�����,以提供安全可靠的計算機(jī)系統(tǒng)作為保障����。網(wǎng)絡(luò)安全包括身份認(rèn)證����、訪問控制、防病毒��、數(shù)據(jù)傳輸?shù)募咏饷艿鹊?��,以提供安全的網(wǎng)絡(luò)環(huán)境�����。物理安全是各類邏輯防護(hù)手段的基礎(chǔ)���,物理環(huán)境不安全����,其他邏輯防護(hù)的安全性也無從談起�����。這一系列的防護(hù)手段����,都需要進(jìn)行統(tǒng)一的管理,才能協(xié)調(diào)一致���,才能保證防護(hù)的有效性�。而管理的實(shí)施和技術(shù)方法手段的管理�、部署以及運(yùn)行管理都需要政策、規(guī)程�����、操作和組織架構(gòu)等方面構(gòu)成的政策框架來支撐和維護(hù)�。這七個層面形成的控制框架是縱深防御體系的基礎(chǔ)����。
以流程化管控為抓手安全防護(hù)與管理一定是動態(tài)過程����,再穩(wěn)固的靜態(tài)防護(hù)措施�����,最終都會在新型漏洞和威脅下土崩瓦解�����。因此�,縱深防御體系的實(shí)施必須要實(shí)施流程化管控,其中包括四個階段:防護(hù)��、感知�����、決策和響應(yīng)����,并不斷循環(huán)往復(fù)����。防護(hù)是指對網(wǎng)絡(luò)設(shè)備��、業(yè)務(wù)系統(tǒng)�、信息等采取的各類防護(hù)手段,即按照控制框架實(shí)施的防護(hù)措施�����。感知主要完成對網(wǎng)絡(luò)中各類安全事件的監(jiān)控����,包括對網(wǎng)絡(luò)空間的網(wǎng)絡(luò)行為、網(wǎng)絡(luò)資源狀態(tài)���、用戶行為����、網(wǎng)絡(luò)流量�����、設(shè)備狀態(tài)和系統(tǒng)脆弱的感知等�����。決策為安全事件的處理提供評判依據(jù),包括了對防護(hù)對象和防護(hù)措施的等級劃分和管理����、安全事件的關(guān)聯(lián)分析��、安全風(fēng)險評估���、安全事件預(yù)警等����。響應(yīng)則完成對安全事件的處理過程��,包括應(yīng)急措施�����、災(zāi)難恢復(fù)���、網(wǎng)絡(luò)阻斷���、病毒刪除�、系統(tǒng)加固等措施���。通過流程化管控的不斷循環(huán)重復(fù)���,及時調(diào)整安全防護(hù)策略,保證了安全防護(hù)系統(tǒng)防護(hù)效能的不斷提升�。以信息系統(tǒng)的生命周期為管理范疇信息系統(tǒng)的生命周期包括設(shè)計、建設(shè)��、運(yùn)行以及終止四個階段���。之所以出現(xiàn)信息系統(tǒng)建設(shè)和安全防護(hù)系統(tǒng)建設(shè)“兩張皮”的情況�,主要原因是在信息系統(tǒng)設(shè)計過程中���,沒有充分考慮安全防護(hù)需求�,導(dǎo)致后期的安全防護(hù)手段只能在信息系統(tǒng)的修修補(bǔ)補(bǔ)��,不能起到合理的防護(hù)作用�����。另外����,由于日常防護(hù)管理只注重系統(tǒng)運(yùn)行時的管理���,而在系統(tǒng)終止后疏于監(jiān)管,由此導(dǎo)致的信息丟失現(xiàn)象也日益嚴(yán)重���。因此�����,為避免信息失控,縱深防御體系必須涵蓋信息系統(tǒng)的生命周期全過程����。在設(shè)計過程中,充分進(jìn)行風(fēng)險分析����,緊密貼合安全防護(hù)需求,設(shè)計信息安全防護(hù)系統(tǒng)��。在建設(shè)階段��,信息系統(tǒng)與安全防護(hù)系統(tǒng)同步建設(shè)����,避免安全防護(hù)系統(tǒng)與信息系統(tǒng)的整體業(yè)務(wù)需求脫節(jié)�。在運(yùn)行階段����,實(shí)施安全防護(hù),并依據(jù)信息系統(tǒng)的新變化���,及時調(diào)整安全策略和安全配置���。在信息系統(tǒng)終止階段,應(yīng)該具有完善的系統(tǒng)注銷制度和管理規(guī)范���,保證在系統(tǒng)中殘留的有用信息不外泄�,進(jìn)而從信息系統(tǒng)的整個生命周期保證信息安全�����??傊v深防御體系并不是傳統(tǒng)意義上的防護(hù)位置的縱深�����,也不是網(wǎng)絡(luò)協(xié)議層次的縱深,而是深人貫徹等級化保護(hù)的思想��,在信息系統(tǒng)的整個生命周期���,采用合理化的防護(hù)和管理控制框架���,實(shí)施不斷循環(huán)的流程化管控,進(jìn)而形成一體化的�、動態(tài)的防護(hù)與保障框架,提供合理����、有效的信息安全保護(hù)��?�?v深防御體系需要強(qiáng)調(diào)人的管理通常情況下���,信息安全系統(tǒng)的實(shí)施具有三個層次���。最低層次是技術(shù)手段建設(shè)。在這個階段,主要以防護(hù)手段建設(shè)為主��,部署防火墻��,采用加密傳輸�,實(shí)施身份認(rèn)證、授權(quán)等等���,這些技術(shù)手段都以消除某種特定威脅為主要目標(biāo)�����,具有很強(qiáng)的局限性�。第二層次為安全管理�����。經(jīng)過第一階段的手段建設(shè)�����,使每一種風(fēng)險都有相應(yīng)的措施應(yīng)對���,但是過多的手段帶來的就是管理上的問題��。
諸多防護(hù)系統(tǒng)的升級�、維護(hù)和管理,成為維護(hù)人員的噩夢�����。各個防護(hù)措施間的協(xié)調(diào)配置也給維護(hù)人員提出了很高的挑戰(zhàn)�����。保護(hù)對象是否安全已不是防護(hù)措施是否得當(dāng)?shù)暮唵螁栴}�,維護(hù)人員的負(fù)責(zé)程度、能力高低成為決定防護(hù)措施是否成功的關(guān)鍵��,而這些因素是極不穩(wěn)定的���,迫切需要統(tǒng)一的安全管理規(guī)范�、流程��、措施來規(guī)范系統(tǒng)維護(hù)人員的操作����,并建立管理系統(tǒng)來協(xié)助維護(hù)人員完成各項(xiàng)工作�����,確保實(shí)現(xiàn)穩(wěn)定、有效的安全防護(hù)��。第三層次為人的管理�����。技術(shù)上的問題一定是可以解決的�����,但人的問題是一個復(fù)雜問題���,人是信息安全領(lǐng)域最不安全的因素��。即便是制定了嚴(yán)格的規(guī)章制度�����,建立了全面���、穩(wěn)定的安全防護(hù)體系,如果人不遵守這些制度����,違規(guī)操作或者無意行為�,都可能繞過防護(hù)體系���。在這種情況下�����,整個安全防護(hù)系統(tǒng)就像是馬其諾防線一樣形同虛設(shè)��。因此���,要實(shí)現(xiàn)縱深防御,必須強(qiáng)調(diào)對人員的管理�。規(guī)范員工的安全操作行為,加強(qiáng)員工的安全意識培訓(xùn)�,提升員工對安全的認(rèn)識高度,從意識形態(tài)領(lǐng)域提高信息安全防護(hù)的強(qiáng)度��。這不僅要求單位個體的努力����,還需要全社會的共同努力���,為我們的網(wǎng)絡(luò)安全提供一個良好的人文環(huán)境���。
作者:安輝耀 張鵬
第5篇
關(guān)鍵詞:安全域 邊界整合 數(shù)據(jù)業(yè)務(wù)系統(tǒng) 安全防護(hù)
中圖分類號:TP309.2 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2013)08-0180-02
0 引言
隨著數(shù)據(jù)業(yè)務(wù)快速發(fā)展����,信息化程度不斷提高���,國民經(jīng)濟(jì)對信息系統(tǒng)的依賴不斷增強(qiáng)����,迫切需要數(shù)據(jù)業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)層面建立清晰的組網(wǎng)結(jié)構(gòu)���。同時�,根據(jù)國家安全等級保護(hù)的要求��,需要不斷細(xì)化各業(yè)務(wù)系統(tǒng)的安全防護(hù)要求����,落實(shí)更多的數(shù)據(jù)業(yè)務(wù)等級保護(hù)問題。針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)規(guī)模龐大����、組網(wǎng)復(fù)雜的現(xiàn)狀�,以及向云計算演進(jìn)的特點(diǎn)�,按照等級保護(hù)和集中化的要求,需要對運(yùn)營商數(shù)據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行安全域的劃分和邊界整合����,明確數(shù)據(jù)業(yè)務(wù)系統(tǒng)組網(wǎng)結(jié)構(gòu)。在此基礎(chǔ)上����,進(jìn)一步提出了數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全防護(hù)策略,促進(jìn)數(shù)據(jù)業(yè)務(wù)系統(tǒng)防護(hù)水平和安全維護(hù)專業(yè)化水平的整體提高����。
1 數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅
隨著全球信息化和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題日益嚴(yán)峻��,黑客攻擊日益猖獗�,尤其是以下幾個方面的問題引起了人們的廣泛關(guān)注,給電信信息化安全帶來了新的挑戰(zhàn)����。
(1)黑客攻擊是竊取網(wǎng)站集中存儲信息的重要手段,通過獲取用戶口令��,尋找出網(wǎng)絡(luò)缺陷漏洞,從而獲取用戶權(quán)限����,達(dá)到控制主機(jī)系統(tǒng)的目的�����,導(dǎo)致用戶重要信息被竊取��。
(2)隨著移動互聯(lián)網(wǎng)智能終端的快速發(fā)展��,3G和wifi網(wǎng)絡(luò)的大量普及����,惡意程序成為黑客攻擊智能終端的一個重要手段,針對智能終端的攻擊不斷增加����,最終將導(dǎo)致重要資源和財產(chǎn)的嚴(yán)重?fù)p失。
(3)隨著電子商務(wù)的普及��,人們現(xiàn)已逐步習(xí)慣通過支付寶����、網(wǎng)上銀行或者第三方交易平臺進(jìn)行交易,黑客將對金融機(jī)構(gòu)中的信息實(shí)施更加專業(yè)化和復(fù)雜化的惡意攻擊����。
(4)自韓國爆發(fā)大規(guī)模黑客入侵事件以來��,APT(Advanced Persistent Threat)攻擊更加盛行���,主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等�����,由于APT攻擊具有極強(qiáng)的隱蔽能力和針對性�����,同時網(wǎng)絡(luò)風(fēng)險與日劇增���,傳統(tǒng)的安全防護(hù)系統(tǒng)很難抵御黑客的入侵��,這就需要企業(yè)和運(yùn)營商全方位提升防護(hù)能力�����。
(5)隨著云計算大規(guī)模的應(yīng)用���,作為一種新型的計算模式�,對系統(tǒng)中的安全運(yùn)營體系和管理提出了新的挑戰(zhàn)�,虛擬化軟件存在的安全漏洞需要更加全面地進(jìn)行安全加固,建立一套完整的安全體制�����。
2 數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統(tǒng)內(nèi)根據(jù)業(yè)務(wù)性質(zhì)��、使用主體���、安全目標(biāo)和策略等元素的不同來劃分的網(wǎng)絡(luò)邏輯區(qū)域,同一區(qū)域有相同的安全保護(hù)需求����、安全訪問控制和邊界控制策略,網(wǎng)絡(luò)內(nèi)部有較高的互信關(guān)系���。
安全域劃分的目的是清晰網(wǎng)絡(luò)層次及邊界���,對網(wǎng)絡(luò)進(jìn)行分區(qū)、分等級防護(hù)��,根據(jù)縱深防護(hù)原則,構(gòu)建整體網(wǎng)絡(luò)的防護(hù)體系�,抵御網(wǎng)絡(luò)威脅,保證系統(tǒng)的順暢運(yùn)行及業(yè)務(wù)安全����。通過安全域的劃分,可以有利于如下四方面:
(1)降低網(wǎng)絡(luò)風(fēng)險:根據(jù)安全域的劃分及邊界整合����,明確各安全域邊界的災(zāi)難抑制點(diǎn),實(shí)施縱深防護(hù)策略���,控制網(wǎng)絡(luò)的安全風(fēng)險�,保護(hù)網(wǎng)絡(luò)安全�����。
(2)更易部署新業(yè)務(wù):通過安全域劃分�,明確網(wǎng)絡(luò)組網(wǎng)層次��,對網(wǎng)絡(luò)的安全規(guī)劃���、設(shè)計����、入網(wǎng)和驗(yàn)收總做進(jìn)行指導(dǎo)。需要擴(kuò)展新的業(yè)務(wù)時�,根據(jù)新業(yè)務(wù)的屬性及安全防護(hù)要求,部署在相應(yīng)的安全域內(nèi)����。
(3)IT內(nèi)控的實(shí)效性增強(qiáng):通過安全域的劃分,明確各安全域面臨的威脅�,確定其防護(hù)等級和防護(hù)策略。另外��,安全域劃分可以指導(dǎo)安全策略的制定和實(shí)施��,由于同一安全域的防護(hù)要求相同�����,更有利于提高安全設(shè)備的利用率��,避免重復(fù)投資��。
(4)有利于安全檢查和評估:通過安全域劃分����,在每個安全域部署各自的防護(hù)策略,構(gòu)建整體防護(hù)策略體系�,方便運(yùn)維階段進(jìn)行全局風(fēng)險監(jiān)控,提供檢查審核依據(jù)�。
2.2 安全域劃分
根據(jù)安全域的定義,分析數(shù)據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅����,確定威脅的類型及不同業(yè)務(wù)的安全保護(hù)等級,通常將數(shù)據(jù)業(yè)務(wù)系統(tǒng)劃分為四類主要的安全域:核心生產(chǎn)區(qū)�、內(nèi)部互聯(lián)接口區(qū)、互聯(lián)網(wǎng)接口區(qū)和核心交換區(qū)��。
(1)核心生產(chǎn)區(qū):本區(qū)域由各業(yè)務(wù)的應(yīng)用服務(wù)器�����、數(shù)據(jù)庫及存儲設(shè)備組成�,與數(shù)據(jù)業(yè)務(wù)系統(tǒng)核心交換區(qū)直接互聯(lián),外部網(wǎng)絡(luò)不能與該區(qū)域直接互聯(lián)����,也不能通過互聯(lián)網(wǎng)直接訪問核心生產(chǎn)區(qū)的設(shè)備。
(2)內(nèi)部互聯(lián)接口區(qū):本區(qū)域由連接內(nèi)部系統(tǒng)的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成��,主要放置企業(yè)內(nèi)部網(wǎng)絡(luò)����,如IP專網(wǎng)等連接����,及相關(guān)網(wǎng)絡(luò)設(shè)備����,具體包括與支撐系統(tǒng)、其它業(yè)務(wù)系統(tǒng)或可信任的第三方互聯(lián)的設(shè)備��,如網(wǎng)管采集設(shè)備�。
(3)核心交換區(qū):負(fù)責(zé)連接核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)接口區(qū)和內(nèi)部互聯(lián)接口區(qū)等安全域�����。
(4)互聯(lián)網(wǎng)接口區(qū):和互聯(lián)網(wǎng)直接連接�����,具有實(shí)現(xiàn)互聯(lián)網(wǎng)與安全域內(nèi)部區(qū)域數(shù)據(jù)的轉(zhuǎn)接作用���,主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備(業(yè)務(wù)系統(tǒng)門戶)。
2.3 邊界整合
目前�,對于以省為單位�,數(shù)據(jù)業(yè)務(wù)機(jī)房一般是集中建設(shè)的��,通常建設(shè)一個到兩個數(shù)據(jù)業(yè)務(wù)機(jī)房���。進(jìn)行數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合前�,首先要確定邊界整合的范圍:至少以相同物理位置的數(shù)據(jù)業(yè)務(wù)系統(tǒng)為基本單位設(shè)置集中防護(hù)節(jié)點(diǎn)��,對節(jié)點(diǎn)內(nèi)系統(tǒng)進(jìn)行整體安全域劃分和邊界整合�����。若物理位置不同��,但具備傳輸條件的情況下����,可以進(jìn)一步整合不同集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口。
對節(jié)點(diǎn)內(nèi)系統(tǒng)邊界整合的基本方法是將各系統(tǒng)的相同類型安全域整合形成大的安全域���,集中設(shè)置和防護(hù)互聯(lián)網(wǎng)出口和內(nèi)部互聯(lián)出口��,集中部署各系統(tǒng)共享的安全防護(hù)手段����,并通過縱深防護(hù)的部署方式,提高數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)水平���,實(shí)現(xiàn)網(wǎng)絡(luò)與信息安全工作“同步規(guī)劃���、同步建設(shè)、同步運(yùn)行”���。
通常數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合有兩種方式:集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合和跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口�。
(1)集中防護(hù)節(jié)點(diǎn)內(nèi)部的邊界整合
根據(jù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)邊界整合的基本原則��,物理位置相同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)通常設(shè)置一個集中防護(hù)節(jié)點(diǎn)��。在集中防護(hù)節(jié)點(diǎn)內(nèi)部�,根據(jù)安全域最大化原則,通過部署核心交換設(shè)備連接不同系統(tǒng)的相同類型子安全域����,整合形成大的安全域�,集中設(shè)置內(nèi)部互聯(lián)出口和互聯(lián)網(wǎng)出口。整合后的外部網(wǎng)絡(luò)��、各安全域及其內(nèi)部的安全子域之間滿足域間互聯(lián)安全要求�,整個節(jié)點(diǎn)共享入侵檢測��、防火墻等安全防護(hù)手段�����,實(shí)現(xiàn)集中防護(hù)���。
(2)跨節(jié)點(diǎn)整合互聯(lián)網(wǎng)傳輸接口
在具備傳輸條件的前提下,將現(xiàn)有集中防護(hù)節(jié)點(diǎn)的互聯(lián)網(wǎng)出口整合至互備的一個或幾個接口�,多個集中防護(hù)節(jié)點(diǎn)共享一個互聯(lián)網(wǎng)傳輸出口。通過核心路由器連接位置不同的集中防護(hù)節(jié)點(diǎn)��,并將網(wǎng)絡(luò)中的流量路由到整合后的接口�。各節(jié)點(diǎn)可以保留自己的互聯(lián)網(wǎng)接口區(qū),或者進(jìn)一步將互聯(lián)網(wǎng)接口區(qū)集中到整合后的接口位置���。
在安全域劃分及邊界整合中�,根據(jù)安全域最大化原則����,多個安全子域會被整合在一個大的安全域內(nèi)。同時���,根據(jù)域間互聯(lián)安全要求和最小化策略�,這些安全子域之間不能隨意互聯(lián),必須在邊界實(shí)施訪問控制策略���。
3 數(shù)據(jù)業(yè)務(wù)系統(tǒng)的安全防護(hù)策略
3.1 安全域邊界的保護(hù)原則
(1)集中防護(hù)原則:以安全域劃分和邊界整合為基礎(chǔ)�����,集中部署防火墻����、入侵檢測���、異常流量檢測和過濾等基礎(chǔ)安全技術(shù)防護(hù)手段����,多個安全域或子域共享手段提供的防護(hù)���;
(2)分等級防護(hù)原則:根據(jù)《信息系統(tǒng)安全保護(hù)等級定級指南》和《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》的指導(dǎo)����,確定數(shù)據(jù)業(yè)務(wù)業(yè)務(wù)系統(tǒng)邊界的安全等級��,并部署相對應(yīng)的安全技術(shù)手段����。對于各安全域邊界的安全防護(hù)應(yīng)按照最高安全等級進(jìn)行防護(hù);
(3)縱深防護(hù)原則:通過安全域劃分�,在外部網(wǎng)絡(luò)和核心生產(chǎn)區(qū)之間存在多層安全防護(hù)邊界。由于安全域的不同����,其面臨的安全風(fēng)險也不同,為了實(shí)現(xiàn)對關(guān)鍵設(shè)備或系統(tǒng)更高等級防護(hù)�����,這就需要根據(jù)各邊界面臨的安全風(fēng)險部署不同的安全技術(shù)及策略���。
3.2 安全技術(shù)防護(hù)部署
對于數(shù)據(jù)網(wǎng)絡(luò)��,一般安全防護(hù)手段有防火墻���、防病毒系統(tǒng)、入侵檢測�、異常流量檢測和過濾、網(wǎng)絡(luò)安全管控平臺(包含綜合維護(hù)接入��、賬號口令管理和日志審計模塊)等5類通用的基礎(chǔ)安全技術(shù)。下面以數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全域劃分和邊界整合為基礎(chǔ)���,進(jìn)行安全技術(shù)手段的部署���。
(1)防火墻部署:防火墻是可以防止網(wǎng)絡(luò)中病毒蔓延到局域網(wǎng)的一種防護(hù)安全機(jī)制,但只限制于外部網(wǎng)絡(luò)����,因此防火墻必須部署在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界。同時��,對于重要系統(tǒng)的核心生產(chǎn)區(qū)要構(gòu)成雙重防火墻防護(hù)�����,需要在核心交換區(qū)部署防火墻設(shè)備�����。由于安全域內(nèi)部互聯(lián)風(fēng)險較低�,可以復(fù)用核心交換區(qū)的防火墻對內(nèi)部互聯(lián)接口區(qū)進(jìn)行防護(hù),減少防火墻數(shù)量��,提高集中防護(hù)程度��。
(2)入侵檢測設(shè)備的部署:入侵檢測主要通過入侵檢測探頭發(fā)現(xiàn)網(wǎng)絡(luò)的入侵行為,能夠及時對入侵行為采取相應(yīng)的措施���。入侵檢測系統(tǒng)中央服務(wù)器集中部署在網(wǎng)管網(wǎng)中,并控制部署在內(nèi)部互聯(lián)接口區(qū)和互聯(lián)網(wǎng)接口區(qū)之間的入侵檢測探頭����,及時發(fā)現(xiàn)入侵事件。同時安全防護(hù)要求較高的情況下���,將入侵檢測探頭部署在核心交換區(qū)�����,通過網(wǎng)絡(luò)數(shù)據(jù)包的分析和判斷��,實(shí)現(xiàn)各安全子域間的訪問控制��。
(3)防病毒系統(tǒng)的部署:防病毒系統(tǒng)采用分級部署���,對安全域內(nèi)各運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端,在內(nèi)部互聯(lián)接口子域的內(nèi)部安全服務(wù)區(qū)中部署二級防病毒控制服務(wù)器���,負(fù)責(zé)節(jié)點(diǎn)內(nèi)的防病毒客戶端�����。二級服務(wù)器由部署在網(wǎng)管網(wǎng)中的防病毒管理中心基于策略實(shí)施集中統(tǒng)一管理���。
(4)異常流量的檢測和過濾:為了防御互聯(lián)網(wǎng)病毒��、網(wǎng)絡(luò)攻擊等引起網(wǎng)絡(luò)流量異常����,將異常流量檢測和過濾設(shè)備部署在節(jié)點(diǎn)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻的外側(cè)��,便于安全管理人員排查網(wǎng)絡(luò)異常����、維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)、保證網(wǎng)絡(luò)安全����。
(5)網(wǎng)絡(luò)安全管控平臺:網(wǎng)絡(luò)安全管控平臺前置機(jī)接受部署在數(shù)據(jù)業(yè)務(wù)系統(tǒng)網(wǎng)管網(wǎng)內(nèi)的安全管控平臺核心服務(wù)器控制,部署在各集中防護(hù)節(jié)點(diǎn)的內(nèi)部互聯(lián)接口區(qū)的安全服務(wù)子域中�����,實(shí)現(xiàn)統(tǒng)一運(yùn)維接入控制�����,實(shí)現(xiàn)集中認(rèn)證、授權(quán)�、單點(diǎn)登錄及安全審計。
(6)運(yùn)行管理維護(hù):安全工作向來三分技術(shù)��、七分管理�,除了在安全域邊界部署相應(yīng)的安全技術(shù)手段和策略外����,日常維護(hù)人員還要注重安全管理工作。一方面���,對安全域邊界提高維護(hù)質(zhì)量����,加強(qiáng)邊界監(jiān)控和系統(tǒng)評估���;另一方面��,要從系統(tǒng)�����、人員進(jìn)行管理����,加強(qiáng)補(bǔ)丁的管理和人員安全培訓(xùn)工作,提高安全意識�����,同時對系統(tǒng)及服務(wù)器賬號嚴(yán)格管理�,統(tǒng)一分配。
4 結(jié)語
由于通信技術(shù)的快速發(fā)展�����, 新業(yè)務(wù)和新應(yīng)用系統(tǒng)越來越多�����,主機(jī)設(shè)備數(shù)量巨大��,網(wǎng)絡(luò)日益復(fù)雜��,服務(wù)質(zhì)量要求也越來越高���。通過安全域的劃分�,構(gòu)建一個有效可靠的縱深防護(hù)體系,同時優(yōu)化了數(shù)據(jù)業(yè)務(wù)系統(tǒng)��,提高網(wǎng)絡(luò)運(yùn)維效率��,提高IT網(wǎng)絡(luò)安全防護(hù)等級��,保證系統(tǒng)的順暢運(yùn)行�。
參考文獻(xiàn)
[1]魏亮.電信網(wǎng)絡(luò)安全威脅及其需求[J].信息網(wǎng)絡(luò)安全,2007.1.
第6篇
安全域劃分方式
1安全域劃分模型�����。根據(jù)安徽中煙網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀��,安徽中煙提出了如下安全域劃分模型���,將整個網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)接口區(qū)、內(nèi)部網(wǎng)絡(luò)接口區(qū)����,核心交換區(qū),核心生產(chǎn)區(qū)四部分:核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域直接互聯(lián)�����,不與任何外部網(wǎng)絡(luò)直接互聯(lián)。該業(yè)務(wù)系統(tǒng)中資產(chǎn)價值最高的設(shè)備位于本區(qū)域��,如服務(wù)器群���、數(shù)據(jù)庫以及重要存儲設(shè)備����,外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內(nèi)設(shè)備����。內(nèi)部互聯(lián)接口區(qū)本區(qū)域放置的設(shè)備和公司內(nèi)部網(wǎng)絡(luò),包括與國家局����,商煙以及分支煙草連接的網(wǎng)絡(luò)?���;ヂ?lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接,主要放置互聯(lián)網(wǎng)直接訪問的設(shè)備�����。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部核心生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用。核心交換區(qū)負(fù)責(zé)連接核心生產(chǎn)區(qū)���、內(nèi)部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域���。
2安全域邊界整合。1)整合原則�����。邊界整合原則是主要依據(jù)分等級保護(hù)的原則和同類安全域合并����。分等級防護(hù)是安全域方法的基本思想,這自然不必多說�����,同類安全域合并原則在落實(shí)時應(yīng)以一下思想為指導(dǎo):集中化:在具備條件的情況下��,同一業(yè)務(wù)系統(tǒng)應(yīng)歸并為一個大的安全域�����;次之�����,在每個機(jī)房的屬于同一數(shù)據(jù)業(yè)務(wù)系統(tǒng)的節(jié)點(diǎn)應(yīng)歸并為一個大的安全域�����?����?缦到y(tǒng)整合:不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)之間的同類安全域應(yīng)在保證域間互聯(lián)安全要求的情況下進(jìn)行整合�����,以減小邊界和進(jìn)行防護(hù)����。最小化:應(yīng)將與外部、內(nèi)部互聯(lián)的接口數(shù)量最小化�,以便于集中、重點(diǎn)防護(hù)�。2)整合方法。為了指導(dǎo)邊界整合���,安徽中煙提出了兩種邊界整合方法�、適用場景。這些邊界整合方法都側(cè)重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點(diǎn)間的邊界整合��,側(cè)重于數(shù)據(jù)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)�、外部系統(tǒng)間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網(wǎng)絡(luò)容災(zāi)能力����,將現(xiàn)有數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數(shù)據(jù)業(yè)務(wù)系統(tǒng)和互聯(lián)網(wǎng)之間有多個物理位置不同的接口��,并且尚不具備傳輸條件整合各接口���。
安全防護(hù)策略
1安全防護(hù)原則
集中防護(hù)���。通過安全域劃分及邊界整合后,可以形成所謂的“大院”�,減少了邊界,進(jìn)而可以在安全域的邊界和內(nèi)部部署防火墻��、入侵檢測系統(tǒng)的網(wǎng)絡(luò)探頭�、異常流量檢測和過濾設(shè)備、網(wǎng)絡(luò)安全管控平臺的采集設(shè)備�����、防病毒系統(tǒng)的客戶端等基礎(chǔ)安全技術(shù)防護(hù)手段��,集中部署基礎(chǔ)安全服務(wù)設(shè)施����,對不同業(yè)務(wù)系統(tǒng)、不同的安全子域進(jìn)行防護(hù)���,共享其提供的安全服務(wù)����。分等級防護(hù)�����。根據(jù)煙草行業(yè)信息安全等級保護(hù)要求��,對不同的數(shù)據(jù)業(yè)務(wù)系統(tǒng)����、不同的安全子域,按照其保護(hù)等級進(jìn)行相應(yīng)的防護(hù)���。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進(jìn)行防護(hù)��?��?v深防護(hù)����。從外部網(wǎng)絡(luò)到核心生產(chǎn)域���,以及沿用戶(或其他系統(tǒng))訪問(或入侵)系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護(hù)體系���,對關(guān)鍵的信息資產(chǎn)進(jìn)行有效保護(hù)。
2系統(tǒng)安全防護(hù)
為適應(yīng)安全防護(hù)需求����,統(tǒng)一、規(guī)范和提升網(wǎng)絡(luò)和業(yè)務(wù)的安全防護(hù)水平����,安徽中煙制定了由安全域劃分和邊界整合、設(shè)備自身安全�、基礎(chǔ)安全技術(shù)防護(hù)手段、安全運(yùn)行管理平臺四層構(gòu)成的安全技術(shù)防護(hù)體系架構(gòu)�����。其中����,安全域劃分和邊界整合是防護(hù)體系架構(gòu)的基礎(chǔ)。
1)設(shè)備自身安全功能和配置����。一旦確定了設(shè)備所在的安全域,就可以根據(jù)其落入的安全域防護(hù)策略對設(shè)備進(jìn)行安全功能設(shè)置和策略部署��。針對設(shè)備的安全配置�����,安徽中煙后期會制定《安徽中煙設(shè)備安全功能和配置系列規(guī)范》提供指導(dǎo)�����。
2)基礎(chǔ)安全技術(shù)防護(hù)手段�。業(yè)務(wù)系統(tǒng)的安全防護(hù)應(yīng)以安全域劃分和邊界整合為基礎(chǔ),通過部署防火墻�、入侵檢測、防病毒�����、異常流量檢測和過濾、網(wǎng)絡(luò)安全管控平臺等5類通用的基礎(chǔ)安全技術(shù)防護(hù)手段進(jìn)行防護(hù)���。在通用手段的基礎(chǔ)上��,還可根據(jù)業(yè)務(wù)系統(tǒng)面臨的威脅種類和特點(diǎn)部署專用的基礎(chǔ)安全技術(shù)防護(hù)手段��,如網(wǎng)頁防篡改����、垃圾郵件過濾手段等�。防火墻部署防火墻要部署在各種互聯(lián)邊界之處:在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻;在核心交換區(qū)部署防火墻防護(hù)互聯(lián)網(wǎng)接口區(qū)�����、內(nèi)部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界����;在內(nèi)部互聯(lián)接口區(qū)和內(nèi)部網(wǎng)絡(luò)的邊界也需部署防火墻?���?紤]到內(nèi)部互聯(lián)風(fēng)險較互聯(lián)網(wǎng)低,內(nèi)部互聯(lián)接口區(qū)防火墻可復(fù)用核心交換區(qū)部署的防火墻�。另外�����,對于同一安全域內(nèi)的不同安全子域�����,可采用路由或交換設(shè)備進(jìn)行隔離和部署訪問控制策略,或者采用防火墻進(jìn)行隔離并設(shè)置訪問控制策略�����。入侵檢測設(shè)備的部署應(yīng)在互聯(lián)網(wǎng)接口區(qū)��、內(nèi)部互聯(lián)接口區(qū)必須部署入侵檢測探頭�,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測中央服務(wù)器的控制。在經(jīng)濟(jì)許可或相應(yīng)合理要求下�,也可在核心交換區(qū)部署入侵檢測探頭,實(shí)現(xiàn)對系統(tǒng)間互訪的監(jiān)控�。防病毒系統(tǒng)的部署運(yùn)行Windows操作系統(tǒng)的設(shè)備必須安裝防病毒客戶端,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務(wù)器的統(tǒng)一管理��。同時����,為了提高可用性和便于防護(hù)��,可在內(nèi)部互聯(lián)接口區(qū)部署二級防病毒服務(wù)器�����。異常流量檢測和過濾可在數(shù)據(jù)業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側(cè)部署異常流量檢測和過濾設(shè)備����,防范和過濾來自互聯(lián)網(wǎng)的各類異常流量���。網(wǎng)絡(luò)安全管控平臺網(wǎng)絡(luò)安全管控平臺應(yīng)部署在網(wǎng)管網(wǎng)側(cè)�����,但為了簡化邊界和便于防護(hù)�����,建議:在內(nèi)部互聯(lián)接口區(qū)部署帳號口令采集設(shè)備以實(shí)現(xiàn)帳號同步等功能����。在內(nèi)部互聯(lián)接口區(qū)必須部署日志采集設(shè)備��,采集業(yè)務(wù)系統(tǒng)各設(shè)備的操作日志。
第7篇
【關(guān)鍵詞】圖書館;計算機(jī)網(wǎng)絡(luò);安全防護(hù)
圖書館計算機(jī)網(wǎng)絡(luò)安全主要就是其網(wǎng)絡(luò)系統(tǒng)中包含的硬件���、軟件與相關(guān)數(shù)據(jù)等能夠得到有效的保護(hù)���,避免在偶然發(fā)生或者惡意的原因?qū)τ嬎銠C(jī)網(wǎng)絡(luò)產(chǎn)生破壞、更改等問題��,使得網(wǎng)絡(luò)系統(tǒng)能夠保持正常的運(yùn)行狀態(tài)����,保持網(wǎng)絡(luò)服務(wù)的暢通�����,不斷提升圖書館計算機(jī)網(wǎng)絡(luò)安全等級�����,達(dá)到網(wǎng)絡(luò)信息的最大化的共享�,為讀者提供更好的服務(wù)。
一�、高校圖書館計算機(jī)網(wǎng)絡(luò)實(shí)體安全防護(hù)
1、圖書館計算機(jī)網(wǎng)絡(luò)機(jī)房物理環(huán)境的安全防護(hù)�。
實(shí)體安全主要考慮場地、設(shè)備的安全,對實(shí)體訪問進(jìn)行控制����,圖書館計算機(jī)網(wǎng)絡(luò)實(shí)體安全主要指對計算機(jī)系統(tǒng)環(huán)境、場地���、設(shè)備����、載體��、人員等采取安全措施�。首先是圖書館的場地安全,指的是中心機(jī)房�����,它是圖書館運(yùn)行的關(guān)鍵組成部分�,對進(jìn)入機(jī)房的工作人員應(yīng)該實(shí)行嚴(yán)格的管理,應(yīng)該對那些非工作人員進(jìn)行限制�。在具體的中心機(jī)房運(yùn)行中,要制定相關(guān)的工作規(guī)范���,最大程度的減少非工作人員進(jìn)入的機(jī)會���,應(yīng)該與圖書館的其他功能區(qū)域分隔開來��,輔助區(qū)應(yīng)該設(shè)置在機(jī)房的外面��,形成一道進(jìn)入機(jī)房的關(guān)卡���。而且在位置的選擇上也應(yīng)避免將其建設(shè)在潮濕的底層,頂層因?yàn)槿菀浊秩胍膊皇鞘走x��。如果一個樓層辦公室數(shù)量較多��,機(jī)房應(yīng)設(shè)置在一個邊角位置����,在防護(hù)與撤離方面會比較方便����。另外,機(jī)房內(nèi)設(shè)置的空調(diào)設(shè)備能夠?qū)ζ淇臻g內(nèi)的濕度����、溫度等進(jìn)行有效的調(diào)控,確保計算機(jī)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)�����,通常機(jī)房內(nèi)溫度應(yīng)保持在20攝氏度左右,相對濕度則應(yīng)保持在50%左右��,同時還要對機(jī)房進(jìn)行防塵與除塵��,增加防靜電地板的鋪設(shè)可以使計算機(jī)網(wǎng)絡(luò)工作不受到靜電的影響��。
2���、圖書館計算機(jī)網(wǎng)絡(luò)電源接地與防盜防火的安全防護(hù)��。
計算機(jī)網(wǎng)絡(luò)的運(yùn)行離不開電源��,圖書館內(nèi)的計算機(jī)需要使用具有保護(hù)裝置的不間斷電源工具�,這樣能夠有效的避免出現(xiàn)電源中斷或者電壓瞬變��、沖擊等問題�����,在計算機(jī)的接地系統(tǒng)中電位的設(shè)置應(yīng)該將參考點(diǎn)定為大地�����,接地是零電位,這樣能夠讓計算機(jī)的數(shù)字電路擁有較為穩(wěn)定的低電位����,為計算機(jī)硬件、數(shù)據(jù)以及人身的安全提供保障��。另外��,在計算機(jī)網(wǎng)絡(luò)的安全防護(hù)中還應(yīng)該注意防盜與防火的問題���,機(jī)房應(yīng)該嚴(yán)格設(shè)置防盜系統(tǒng)�����,對機(jī)房所有的門窗進(jìn)行加固處理�,然后通過全場監(jiān)控系統(tǒng)對機(jī)房進(jìn)行實(shí)時的監(jiān)視�����,提高機(jī)房的防盜等級��。對機(jī)房設(shè)備維護(hù)管理的相關(guān)制度規(guī)范嚴(yán)格的遵守與實(shí)施�,對容易出現(xiàn)火災(zāi)的隱患部位進(jìn)行更加細(xì)致的檢查�,完善防火應(yīng)急方案��,對相關(guān)的工作人員的應(yīng)急能力進(jìn)行培訓(xùn)與提升�。
二����、高校圖書館計算機(jī)網(wǎng)絡(luò)安全的硬件與軟件防護(hù)措施
硬件與軟件共同組成了計算機(jī)網(wǎng)絡(luò)系統(tǒng),實(shí)現(xiàn)圖書館計算機(jī)網(wǎng)絡(luò)安全的一個重要方法就是進(jìn)行計算機(jī)網(wǎng)絡(luò)的硬件與軟件防護(hù)�����。硬件防護(hù)顧名思義就是對計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件設(shè)施實(shí)施的一系列的安全防護(hù)手段����,比如CPU、設(shè)備���、緩存等硬件��,也可以通過硬件的增加提升計算機(jī)的安全防護(hù)能力�。硬件防護(hù)相比軟件防護(hù)來說更加的穩(wěn)定�����、可靠����,也是圖書館計算機(jī)防護(hù)技術(shù)實(shí)施中重要的一個環(huán)節(jié)���,尤其是對于其中那些重要的數(shù)據(jù)與系統(tǒng)來說,需要結(jié)合硬件與軟件防護(hù)兩種手段�,確保其運(yùn)行環(huán)境的絕對安全,主要的硬件防護(hù)手段包括輸入輸出通道管理��、儲存器保護(hù)以及虛擬內(nèi)存保護(hù)等等��。
三�、高校圖書館計算機(jī)網(wǎng)絡(luò)的互聯(lián)網(wǎng)安全防護(hù)措施
現(xiàn)代圖書館的運(yùn)行與互聯(lián)網(wǎng)之間存在的密切的關(guān)系,比如會使用互聯(lián)網(wǎng)進(jìn)行信息的檢索��、信息的接收發(fā)送等�,人們也更加習(xí)慣使用互聯(lián)網(wǎng)進(jìn)行信息的查詢,但是互聯(lián)網(wǎng)中存在的不安全因素非常多���,因此在使用中應(yīng)該更加注意對其進(jìn)行安全防護(hù)��。設(shè)置防火墻就是比較有效的安全防護(hù)措施之一�����,它是由硬件與軟件設(shè)備共同組合形成的安全系統(tǒng)���,會存在于內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間,外界的用戶如果沒有經(jīng)過授權(quán)那么就會被防火墻阻止進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問�����,起到一個安全屏障的作用�����。防火墻的設(shè)置應(yīng)該具有數(shù)據(jù)包過濾����、服務(wù)以及網(wǎng)絡(luò)地址變換等功能,一旦出現(xiàn)可疑的情況能夠報警并顯示詳細(xì)的信息����,提高了安全防護(hù)的效果。
四���、高校圖書館計算機(jī)網(wǎng)絡(luò)的病毒防護(hù)措施
在防止計算機(jī)病毒造成網(wǎng)絡(luò)安全危害上����,除了用戶有積極的防病毒意識外��,比較有效的方法是安裝殺毒軟件,防病毒軟件可以查殺多種系統(tǒng)環(huán)境下的病毒��,有查毒�����、殺毒范圍廣��、能力強(qiáng)的優(yōu)勢�。防病毒軟件在運(yùn)行中還需要進(jìn)行及時的更新升級,對不斷出現(xiàn)的不同類型的病毒進(jìn)行有效的查殺��,并且它還具備實(shí)時的監(jiān)控功能���,計算機(jī)網(wǎng)絡(luò)在啟動�����、運(yùn)行的整個過程中就都可以得到安全的保護(hù)了���。在實(shí)際的安全防護(hù)工作中,可以將防病毒軟件的使用與防火墻的設(shè)置相結(jié)合使用���,可以將殺毒軟件的功能附加到防火墻之中���,使其增加防病毒的作用,實(shí)現(xiàn)病毒與圖書館內(nèi)部網(wǎng)絡(luò)的有效隔離�。綜上所述,圖書館計算網(wǎng)絡(luò)安全防護(hù)中包含安全培訓(xùn)���、電磁防護(hù)等多種措施���,實(shí)際的安全工作屬于一項(xiàng)復(fù)雜又需要不斷變化的系統(tǒng)工程,計算機(jī)網(wǎng)絡(luò)安全防護(hù)涉及到圖書館網(wǎng)絡(luò)建設(shè)以及發(fā)展的整個過程�,是一項(xiàng)需要長期堅持的工作,應(yīng)該始終對其安全防護(hù)進(jìn)行重視���,進(jìn)行技術(shù)更新�����,確保技術(shù)�����、設(shè)備等的投入充足����,提升圖書館計算機(jī)網(wǎng)絡(luò)安全防護(hù)的質(zhì)量,為圖書館各項(xiàng)工作的順利開展提供支持����。
【參考文獻(xiàn)】
[1]林志軍.圖書館計算機(jī)網(wǎng)絡(luò)安全與防護(hù)措施[J].現(xiàn)代圖書情報技術(shù),2004(S1)
[2]秦久英.?dāng)?shù)字圖書館計算機(jī)網(wǎng)絡(luò)的安全防護(hù)技術(shù)研究[J].考試周刊�,2015(77)
