序論:在您撰寫(xiě)網(wǎng)絡(luò)安全加固建設(shè)時(shí)����,參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度�����。
第1篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全�;校園網(wǎng);防火墻
前言
東北財(cái)經(jīng)大學(xué)經(jīng)過(guò)不斷發(fā)展���、完善的信息化歷程��,完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬升級(jí)����。同時(shí)學(xué)校數(shù)據(jù)服務(wù)區(qū)運(yùn)行著包括門(mén)戶(hù)網(wǎng)站�、電子郵箱、數(shù)字校園��、移動(dòng)辦公等重要業(yè)務(wù)系統(tǒng)����,隨著各類(lèi)應(yīng)用系統(tǒng)的不斷上線,逐步構(gòu)成了一個(gè)服務(wù)于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺(tái)����。但另一方面�����,承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)安全防護(hù)與檢測(cè)的技術(shù)手段卻仍然相對(duì)落后�。在當(dāng)前復(fù)雜多變的信息安全形勢(shì)下����,無(wú)論是外部黑客入侵、內(nèi)部惡意使用����,還是大多數(shù)情況下內(nèi)部用戶(hù)無(wú)意造成的安全隱患����,都給學(xué)校的網(wǎng)絡(luò)安全管理工作帶來(lái)較大壓力。而同時(shí)�,勒索病毒爆發(fā)、信息泄露���、上級(jí)部門(mén)要求�、法律法規(guī)監(jiān)管等�����,都在無(wú)形中讓學(xué)校的信息安全管理壓力越來(lái)越大。筆者根據(jù)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的要求���,在現(xiàn)有的架構(gòu)下對(duì)東北財(cái)經(jīng)大學(xué)校園網(wǎng)絡(luò)進(jìn)行了安全加固設(shè)計(jì)��,提升了校園網(wǎng)主動(dòng)防御�、動(dòng)態(tài)防御�����、整體防控和精準(zhǔn)防護(hù)的能力����。
1現(xiàn)狀及問(wèn)題
在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下,學(xué)校各類(lèi)業(yè)務(wù)系統(tǒng)在開(kāi)發(fā)時(shí)難免遺留一些安全漏洞����,目前學(xué)校安全防護(hù)僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的安全網(wǎng)關(guān)設(shè)備,傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對(duì)層出不窮的應(yīng)用層安全威脅日漸乏力�����。黑客利用各種各樣的漏洞發(fā)動(dòng)緩沖區(qū)溢出���,SQL注入���、XSS���、CSRF等應(yīng)用層攻擊,并獲得系統(tǒng)管理員權(quán)限��,從而進(jìn)行數(shù)據(jù)竊取和破壞�,對(duì)學(xué)校核心業(yè)務(wù)數(shù)據(jù)的安全造成了嚴(yán)重的威脅。數(shù)據(jù)的重要性不言而喻����,尤其對(duì)學(xué)校的各類(lèi)學(xué)生信息、一卡通等財(cái)務(wù)數(shù)據(jù)信息更是安全防護(hù)的重中之重�,如有閃失�����,在損害學(xué)校師生利益的同時(shí)也造成很大的不良影響和法律追責(zé)問(wèn)題����。東北財(cái)經(jīng)大學(xué)出口7Gbps帶寬,由電信����、聯(lián)通���、移動(dòng)、教育網(wǎng)等多家運(yùn)營(yíng)商組成����。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴(kuò)大以及提速降費(fèi)的背景,互聯(lián)網(wǎng)出口將會(huì)達(dá)到15Gbps帶寬以上�����,原有的帶寬出口網(wǎng)關(guān)弊端顯露:具體包括網(wǎng)關(guān)性能不足���,無(wú)法支持大帶寬�,老舊設(shè)備無(wú)法勝任大流量的轉(zhuǎn)發(fā)工作�;IPv6網(wǎng)絡(luò)不兼容,無(wú)法平滑升級(jí)�,后續(xù)無(wú)法滿足國(guó)家政策進(jìn)行IPv6改造的規(guī)劃;上網(wǎng)審計(jì)和流量控制功能不完善�����,原有網(wǎng)關(guān)未集成上網(wǎng)行為審計(jì)功能����,未能完全滿足網(wǎng)絡(luò)安全法�����,保障合規(guī)上網(wǎng)��;不支持基于應(yīng)用的流量控制��,帶寬出口的流量控制效果不佳�;對(duì)上網(wǎng)行為缺乏有效管理和分析手段����,針對(duì)學(xué)生上網(wǎng)行為沒(méi)有好的管理手段和分析方法。同時(shí)等級(jí)保護(hù)2.0也對(duì)云安全和虛擬化環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題作了要求��。東北財(cái)經(jīng)大學(xué)信息化建設(shè)起步較早�,目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實(shí)現(xiàn)了虛擬化,主要業(yè)務(wù)系統(tǒng)均在虛擬機(jī)上運(yùn)行����,虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性���,但現(xiàn)有的120余臺(tái)虛擬機(jī)的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設(shè)的新問(wèn)題��。為了響應(yīng)《網(wǎng)絡(luò)安全法》以及國(guó)家新頒發(fā)的網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)要求�,提高東北財(cái)經(jīng)大學(xué)數(shù)據(jù)中心的整體安全防護(hù)與檢測(cè)能力,需要在以下幾個(gè)方面進(jìn)行安全建設(shè):(1)構(gòu)建安全有效的網(wǎng)絡(luò)邊界��。主要通過(guò)增加學(xué)校數(shù)據(jù)中心的邊界隔離防護(hù)�����、入侵防護(hù)���、Web應(yīng)用防護(hù)�����、惡意代碼檢測(cè)�����、網(wǎng)頁(yè)防篡改等安全防護(hù)能力�,減少威脅的攻擊面和漏洞暴露時(shí)間����。(2)加強(qiáng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別與威脅檢測(cè)。針對(duì)突破或繞過(guò)邊界防御的威脅�����,需要增強(qiáng)內(nèi)網(wǎng)的持續(xù)檢測(cè)和外部的安全風(fēng)險(xiǎn)監(jiān)測(cè)能力,主要技術(shù)手段包括:網(wǎng)絡(luò)流量威脅檢測(cè)�����、僵尸主機(jī)檢測(cè)����、安全事件感知、橫向攻擊檢測(cè)�、終端檢測(cè)響應(yīng)、異常行為感知等�����。(3)形成全網(wǎng)流量與行為可視的能力�����。優(yōu)化帶寬分配�,提升師生上網(wǎng)體驗(yàn);過(guò)濾不良網(wǎng)站和違法言論���,保障學(xué)生健康上網(wǎng)和安全上網(wǎng)����;全面審計(jì)所有網(wǎng)絡(luò)行為����,滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求;在網(wǎng)絡(luò)行為可視可控的基礎(chǔ)之上��,需要進(jìn)一步形成校園網(wǎng)絡(luò)全局態(tài)勢(shì)可視的能力�����。
2網(wǎng)絡(luò)安全加固技術(shù)方案
按原有拓?fù)?,將東北財(cái)經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡(luò)區(qū)域���、數(shù)據(jù)業(yè)務(wù)區(qū)域����、運(yùn)維管理區(qū)域���、校園網(wǎng)接入?yún)^(qū)五個(gè)安全區(qū)域�,并疊加云端的安全服務(wù)�。各個(gè)區(qū)域通過(guò)核心網(wǎng)絡(luò)區(qū)域的匯聚交換與核心交換機(jī)相互連接�����;校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入�,合計(jì)帶寬7Gb����,為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問(wèn)服務(wù);數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群����,承載了學(xué)校門(mén)戶(hù)網(wǎng)站、電子郵件����、數(shù)字化校園、DNS等各類(lèi)業(yè)務(wù)系統(tǒng)��;運(yùn)維管理區(qū)域主要負(fù)責(zé)對(duì)整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理和日志收集����;校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓���、圖書(shū)館���、宿舍樓等子網(wǎng),存在大量PC終端供學(xué)校師生使用���;另外學(xué)校的教學(xué)樓�����、辦公樓均已實(shí)現(xiàn)了無(wú)線網(wǎng)絡(luò)的覆蓋��。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺(tái)萬(wàn)兆高性能下一代防火墻����,開(kāi)啟IPS����、WAF、僵尸網(wǎng)絡(luò)檢測(cè)等安全防護(hù)模塊���,構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)融合安全邊界����。通過(guò)部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問(wèn)控制能力��,能夠?qū)崿F(xiàn)基于IP地址、源/目的端口����、應(yīng)用/服務(wù)、用戶(hù)���、區(qū)域/地域��、時(shí)間等元素進(jìn)行精細(xì)化的訪問(wèn)控制規(guī)則設(shè)置����;提供專(zhuān)業(yè)的漏洞攻擊檢測(cè)與防護(hù)能力�,支持對(duì)服務(wù)器、口令暴力破解����、惡意軟件等漏洞攻擊防護(hù),同時(shí)IPS模塊可結(jié)合最新威脅情報(bào)對(duì)高危漏洞進(jìn)行預(yù)警和自動(dòng)檢測(cè)�;提供專(zhuān)業(yè)的Web應(yīng)用防護(hù)能力,針對(duì)SQL注入�、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進(jìn)行有效防護(hù)����,同時(shí)提供網(wǎng)頁(yè)防篡改��、黑鏈檢測(cè)以及惡意掃描防護(hù)能力��,全面保障Web業(yè)務(wù)安全�;提供內(nèi)網(wǎng)僵尸主機(jī)檢測(cè)能力�,通過(guò)雙向流量檢測(cè)和熱門(mén)威脅特征庫(kù)結(jié)合�����,實(shí)現(xiàn)對(duì)木馬遠(yuǎn)控�����、惡意腳本�����、勒索病毒��、僵尸網(wǎng)絡(luò)��、挖礦病毒等威脅進(jìn)行有效識(shí)別�,快速定位感染主機(jī)真實(shí)IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理,對(duì)校園網(wǎng)出口流量進(jìn)行全面管控���,上網(wǎng)行為管理設(shè)備部署在核心交換機(jī)和出口路由器之間��,所有流量都通過(guò)上網(wǎng)行為管理處理��,實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶(hù)上網(wǎng)行為的流量管理���、行為控制、日志審計(jì)等功能�,設(shè)備提供IPv4/IPv6雙棧協(xié)議兼容,有效滿足IPv6建設(shè)趨勢(shì)下網(wǎng)絡(luò)的平滑改造����。為了有效管控和審計(jì),設(shè)備選型必須能夠全面識(shí)別各種應(yīng)用:(1)支持千萬(wàn)級(jí)URL庫(kù)�、支持基于關(guān)鍵字管控、網(wǎng)頁(yè)智能分析系統(tǒng)IWAS從容應(yīng)對(duì)互聯(lián)網(wǎng)上數(shù)以萬(wàn)億的網(wǎng)頁(yè)�、SSL內(nèi)容識(shí)別技術(shù);(2)擁有強(qiáng)大的應(yīng)用識(shí)別庫(kù)���;(3)識(shí)別并過(guò)濾HTTP�����、FTP��、mail方式上傳下載的文件�;(4)深度內(nèi)容檢測(cè):IM聊天、網(wǎng)絡(luò)游戲����、在線流媒體、P2P應(yīng)用���、Email�����、常用TCP/IP協(xié)議等;(5)通過(guò)P2P智能識(shí)別技術(shù)�����,識(shí)別出不常見(jiàn)�����、未來(lái)可能出現(xiàn)的P2P行為�����,進(jìn)而封堵、流控和審計(jì)�����。通過(guò)強(qiáng)大的應(yīng)用識(shí)別技術(shù)�����,無(wú)論網(wǎng)頁(yè)訪問(wèn)行為��、文件傳輸行為�����、郵件行為��、應(yīng)用行為等都能有效實(shí)現(xiàn)對(duì)上網(wǎng)行為的封堵�����、流控�、審計(jì)等管理。同時(shí)�����,也要提供網(wǎng)絡(luò)流量可視化方案,管理員可以查看出口流量曲線圖�、當(dāng)前流量應(yīng)用、用戶(hù)流量排名���、當(dāng)前網(wǎng)絡(luò)異常狀況(包括DOS攻擊��、ARP欺騙等)等信息���,直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況。對(duì)內(nèi)網(wǎng)用戶(hù)的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄��、審計(jì)��,借助圖形化報(bào)表直觀顯示統(tǒng)計(jì)結(jié)果等���,幫助管理員了解流量用戶(hù)排名、應(yīng)用排名等�����,并自動(dòng)形成報(bào)表文檔���,全面掌控用戶(hù)網(wǎng)絡(luò)行為分布和帶寬資源使用等情況����,了解流控策略效果,為帶寬管理的決策提供準(zhǔn)確依據(jù)����。同時(shí)支持多線路復(fù)用和智能選路功能,通過(guò)多線路復(fù)用及帶寬疊加技術(shù)��,復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口�,提升整體帶寬水平。再結(jié)合多線路智能選路專(zhuān)利技術(shù)����,將網(wǎng)流量自動(dòng)匹配最佳出口。具備全面的合規(guī)審計(jì)及管控功能�����,支持對(duì)內(nèi)網(wǎng)用戶(hù)的所有上網(wǎng)行為進(jìn)行審計(jì)記錄���,滿足《網(wǎng)絡(luò)安全法》的要求����,能有效防范學(xué)生網(wǎng)上不良言論、訪問(wèn)非法網(wǎng)站等高風(fēng)險(xiǎn)行為����,規(guī)避法律風(fēng)險(xiǎn)。在數(shù)據(jù)業(yè)務(wù)區(qū)物理服務(wù)和3個(gè)虛擬化服務(wù)器集群上每臺(tái)虛擬機(jī)安裝EDR客戶(hù)端�����,針對(duì)終端維度提供惡意代碼防護(hù)�����、安全基線核查����、微隔離、攻擊檢測(cè)等安全能力�����,打通物理服務(wù)器��、Vmware集群和超云集群�����,進(jìn)行統(tǒng)一的主機(jī)/虛擬機(jī)邏輯安全域劃分�,同時(shí)實(shí)現(xiàn)云內(nèi)流量可視、可控��,滿足等保2.0云計(jì)算擴(kuò)展項(xiàng)要求�����。通過(guò)部署EDR構(gòu)建立體可視的端點(diǎn)安全能力��,實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)可視�����,展示全網(wǎng)終端狀態(tài)分布����,顯示當(dāng)前安全事件總覽及安全時(shí)間分布全網(wǎng)終端安全概覽,支持針對(duì)主機(jī)參照等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行安全基線核查����,快速發(fā)現(xiàn)不合規(guī)項(xiàng)。部署于每臺(tái)VM上的端點(diǎn)agent���,能夠?qū)υ苾?nèi)不同VM����、不同業(yè)務(wù)系統(tǒng)之間的訪問(wèn)關(guān)系、訪問(wèn)路徑����、橫向威脅進(jìn)行檢測(cè)與響應(yīng),EDR與虛擬化底層平臺(tái)解耦合���,解決多虛擬化環(huán)境下的兼容性問(wèn)題�,構(gòu)建動(dòng)態(tài)安全邊界�����。構(gòu)建多維度漏斗型檢測(cè)框架�,EDR平臺(tái)內(nèi)置文件信譽(yù)檢測(cè)引擎、基因特征檢測(cè)引擎���、人工智能檢測(cè)引擎���、行為分析檢測(cè)引擎、安全云檢測(cè)引擎���,從多維度全面發(fā)現(xiàn)各類(lèi)終端威脅�。
3結(jié)語(yǔ)
通過(guò)該方案�����,提升了威脅防護(hù)����、風(fēng)險(xiǎn)應(yīng)對(duì)能力。能夠從容應(yīng)應(yīng)對(duì)勒索病毒�、0Day攻擊、APT攻擊�、社會(huì)工程學(xué)、釣魚(yú)等新型威脅手段�。通過(guò)全面的安全可視能力,簡(jiǎn)化運(yùn)維壓力�����,可以極大降低運(yùn)維的復(fù)雜度��,提升安全治理水平�����,達(dá)到了設(shè)計(jì)要求。
參考文獻(xiàn)
[1]李鍇淞.對(duì)于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討[J].?dāng)?shù)字通信世界息���,2019(8).
[2]李鍇淞�����,鄒鵬.高校校園網(wǎng)合作運(yùn)營(yíng)探索[J].網(wǎng)絡(luò)安全和信息化��,2019(9).
[3]臧齊圣.淺談校園網(wǎng)絡(luò)安全防控[J].計(jì)算機(jī)產(chǎn)品與流通�����,2019(9).
[4]王巖紅.高校校園網(wǎng)安全現(xiàn)狀及優(yōu)化探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用���,2019(8).
第2篇
關(guān)鍵詞:校園網(wǎng)絡(luò);安全運(yùn)維�;網(wǎng)絡(luò)安全
隨著高校信息化建設(shè)的全面深入和快速推進(jìn),基礎(chǔ)網(wǎng)絡(luò)設(shè)施和信息應(yīng)用系統(tǒng)日趨完備�����,形成了規(guī)模大��、結(jié)構(gòu)復(fù)雜�����、系統(tǒng)多、應(yīng)用全面的網(wǎng)絡(luò)與信息系統(tǒng)架構(gòu)���。信息化建設(shè)項(xiàng)目多、任務(wù)重�����,在高效率�、高質(zhì)量完成建設(shè)任務(wù)的同時(shí),需要保證網(wǎng)絡(luò)運(yùn)維和信息安全運(yùn)維的效果和效率�����,為師生提供良好的用戶(hù)體驗(yàn)��,這就對(duì)網(wǎng)絡(luò)運(yùn)維提出了更高的要求和標(biāo)準(zhǔn)���。網(wǎng)絡(luò)業(yè)務(wù)日益繁多�、復(fù)雜多變�,各種網(wǎng)絡(luò)問(wèn)題層出不窮,如黑客攻擊�、計(jì)算機(jī)病毒泛濫�,高校園網(wǎng)絡(luò)運(yùn)維體系面臨新的問(wèn)題���,能否適應(yīng)新變化就顯得非常重要�。建立校園網(wǎng)運(yùn)維體系��、解決校園網(wǎng)面臨的問(wèn)題對(duì)保證高校正常的教學(xué)��、科研�����、管理等工作有著重要意義�。
1校園網(wǎng)絡(luò)安全運(yùn)維體系架構(gòu)
隨著信息化在高校的發(fā)展,硬件平臺(tái)�����、應(yīng)用軟件����、操作系統(tǒng)越來(lái)越復(fù)雜,難以集中管理��,加之師生對(duì)網(wǎng)絡(luò)的高度依賴(lài)性��,使得保障網(wǎng)絡(luò)的可靠性和安全性成為重中之重。具備故障管理��、配置管理���、變更管理��、性能管理�����、安全管理等功能的網(wǎng)絡(luò)管理技術(shù)為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中的關(guān)鍵技術(shù)。高校校園網(wǎng)絡(luò)中網(wǎng)絡(luò)安全設(shè)備����、業(yè)務(wù)系統(tǒng)數(shù)量眾多、結(jié)構(gòu)復(fù)雜��,且管理控制平臺(tái)多樣�,網(wǎng)絡(luò)管理員需要掌握不同平臺(tái)的管理及使用方法,去管理網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)��,復(fù)雜度高����;網(wǎng)絡(luò)管理員對(duì)應(yīng)用系統(tǒng)的使用權(quán)限不同���,難以在不同的業(yè)務(wù)應(yīng)用系統(tǒng)中保持控制策略和用戶(hù)權(quán)限的全局一致性,管理網(wǎng)絡(luò)安全事件日趨復(fù)雜化�。只有對(duì)所有安全設(shè)備、業(yè)務(wù)系統(tǒng)發(fā)生的安全事件及其運(yùn)行狀態(tài)信息進(jìn)行關(guān)聯(lián)分析�,才能有效發(fā)現(xiàn)新的、更深層次的安全隱患�。安全管理技術(shù)主要包括安全事件采集、安全事件管理�����、安全設(shè)備監(jiān)控三大模塊�。安全事件釆集,用于采集網(wǎng)絡(luò)中所有安全設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)等的安全日志及運(yùn)行狀態(tài)����,這些信息將為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)源,是安全管理的基礎(chǔ)�����。安全事件管理將采集得到的數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析���、風(fēng)險(xiǎn)評(píng)估等處理���,通過(guò)分析可能的安全威脅��,提交安全對(duì)象的安全報(bào)告�。安全設(shè)備監(jiān)控�����,是通過(guò)監(jiān)控各關(guān)鍵網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)信息�����,及時(shí)發(fā)現(xiàn)安全問(wèn)題并第一時(shí)間進(jìn)行處理���。
2校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)的組成
校園網(wǎng)絡(luò)安全運(yùn)維平臺(tái)由監(jiān)控中心、安全分析中心���、運(yùn)維中心組成���,為保證高校校園網(wǎng)絡(luò)的安全提供了科學(xué)合理的方法,有效保障了校園網(wǎng)絡(luò)的安全和穩(wěn)定�����。監(jiān)控中心,通過(guò)事件采集器收集監(jiān)控對(duì)象日志信息及安全事件�,經(jīng)過(guò)標(biāo)準(zhǔn)化、信息過(guò)濾和關(guān)聯(lián)分析后����,標(biāo)記安全事件級(jí)別同時(shí)存入數(shù)據(jù)庫(kù)。安全分析中心�,通過(guò)資產(chǎn)識(shí)別、威脅識(shí)別�、脆弱性識(shí)別、評(píng)價(jià)風(fēng)險(xiǎn)�����、風(fēng)險(xiǎn)計(jì)算等過(guò)程�����,評(píng)估校園網(wǎng)絡(luò)綜合資產(chǎn)的重要性����、脆弱性以及面臨的威脅,為管理員進(jìn)行決策提供依據(jù)����;采用事件關(guān)聯(lián)分析算法��,尋找海量事件相互關(guān)聯(lián)事件����,提取出真正有價(jià)值的少量安全事件威脅�,包括業(yè)務(wù)連續(xù)性威脅、數(shù)據(jù)安全威脅���、攻擊威脅����。運(yùn)維中心��,通過(guò)安全預(yù)警管理接收業(yè)務(wù)系統(tǒng)防護(hù)平臺(tái)產(chǎn)生的自動(dòng)安全預(yù)警信息或人工預(yù)警信息���,再進(jìn)行分級(jí)處理,并按規(guī)定的通知模板將預(yù)警信息傳達(dá)給相關(guān)人員��,并運(yùn)用系統(tǒng)安全策略進(jìn)行準(zhǔn)確的預(yù)警����,其中系統(tǒng)安全策略由告警的觸發(fā)條件、分析規(guī)則、風(fēng)險(xiǎn)策略����、設(shè)施管策略、存儲(chǔ)策略等組成���。
3安全運(yùn)維的內(nèi)容
3.1安全巡檢
定期對(duì)校園網(wǎng)絡(luò)安全設(shè)備的日志進(jìn)行深入分析和審計(jì)����,包括對(duì)防火墻���、IDS���、防病毒系統(tǒng)、動(dòng)態(tài)口令認(rèn)證����、日志分析系統(tǒng)等的運(yùn)行狀態(tài)、運(yùn)行事件���、日志和關(guān)鍵配置文件進(jìn)行收集����、分析,并形成相應(yīng)的安全建議����。安全巡檢內(nèi)容如下:(1)制訂安全設(shè)備巡檢計(jì)劃和巡檢規(guī)范;(2)定期對(duì)網(wǎng)絡(luò)安全設(shè)備進(jìn)行巡檢����;(3)分析和解決在巡檢中發(fā)現(xiàn)的問(wèn)題;(4)提交巡檢報(bào)告����。
3.2漏洞掃描
通過(guò)漏洞掃描可以全面、準(zhǔn)確發(fā)現(xiàn)校園網(wǎng)絡(luò)中各系統(tǒng)存在的安全隱患及可能被攻擊的方式����,掌握信息系統(tǒng)的安全現(xiàn)狀,為進(jìn)一步保證建設(shè)校園網(wǎng)絡(luò)的安全提供了數(shù)據(jù)參考和實(shí)際的依據(jù)�����,具有指導(dǎo)校園網(wǎng)絡(luò)安全建設(shè)的作用���。對(duì)信息系統(tǒng)進(jìn)行標(biāo)準(zhǔn)的安全探測(cè)是漏洞掃描采用的主要技術(shù)手段,通過(guò)安全探測(cè)可以發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)潛在的安全隱患和薄弱環(huán)節(jié)����。通過(guò)漏洞掃描設(shè)備����、安全評(píng)估工具以掃描的方式對(duì)整個(gè)校園網(wǎng)中的信息系統(tǒng)��、網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行安全掃描�,從校園內(nèi)網(wǎng)和校園外網(wǎng)絡(luò)兩個(gè)不同的網(wǎng)絡(luò)環(huán)境來(lái)探測(cè)校園網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備部署����、服務(wù)器主機(jī)配置、數(shù)據(jù)庫(kù)管理員賬號(hào)/口令等校園網(wǎng)絡(luò)對(duì)象目標(biāo)存在的漏洞�����、安全風(fēng)險(xiǎn)和潛在的威脅����。漏洞掃描有利于發(fā)現(xiàn)系統(tǒng)層、網(wǎng)絡(luò)層�����、應(yīng)用層的安全問(wèn)題�����。(1)系統(tǒng)層安全。各網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備���、服務(wù)器的操作系統(tǒng)��,主要存在操作系統(tǒng)自身的漏洞��、風(fēng)險(xiǎn)和威脅�,主要包括用戶(hù)名�����、密碼管理���、訪問(wèn)權(quán)限分配和控制�、系統(tǒng)漏洞等���,以及操作系統(tǒng)的安全配置不夠完善��,存在被攻擊的可能�����。(2)網(wǎng)絡(luò)層安全����。網(wǎng)絡(luò)信息是網(wǎng)絡(luò)層的主要安全問(wèn)題���,包括身份認(rèn)證�����,控制不同身份對(duì)網(wǎng)絡(luò)資源的訪問(wèn)�����、傳輸過(guò)程中的信息數(shù)據(jù)保密性與完整性���、校外網(wǎng)絡(luò)遠(yuǎn)程接入、入侵檢測(cè)的發(fā)現(xiàn)及處理手段等�。(3)應(yīng)用層安全。應(yīng)用軟件和數(shù)據(jù)的安全性是應(yīng)用層安全考慮的主要方面����,主要有:學(xué)工系統(tǒng)���、門(mén)戶(hù)網(wǎng)站、教務(wù)系統(tǒng)�、數(shù)據(jù)庫(kù)系統(tǒng)、Web應(yīng)用服務(wù)����、電子郵件系統(tǒng)、防火墻及WAF系統(tǒng)及其他網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)等���。掃描流程如圖1所示:
3.3安全加固
針對(duì)巡檢���、漏洞掃描、安全評(píng)估過(guò)程中發(fā)現(xiàn)的各種安全隱患�、系統(tǒng)漏洞,通過(guò)補(bǔ)丁升級(jí)��、漏洞修復(fù)���、進(jìn)行更加嚴(yán)格的安全配置��、校園網(wǎng)絡(luò)系統(tǒng)架構(gòu)優(yōu)化與調(diào)整�、安全策略升級(jí)與完善等方式及時(shí)對(duì)系統(tǒng)進(jìn)行安全加固,范圍可覆蓋資產(chǎn)梳理���、終端檢查�、物理檢查�、管理體系優(yōu)化�����、人工檢查����、漏洞掃描結(jié)果加固、滲透測(cè)試結(jié)果加固(涉及數(shù)據(jù)庫(kù)加固)�����,提高校園網(wǎng)絡(luò)的安全性�����、抗攻擊和防病毒入侵能力���,降低網(wǎng)絡(luò)安全事件發(fā)生的可能性�。采用基本安全配置定期檢測(cè)和優(yōu)化,提高各系統(tǒng)��、設(shè)備的密碼復(fù)雜度及修改密碼����,系統(tǒng)漏洞檢測(cè)、修復(fù)處理�����,訪問(wèn)控制策略完善配置�,安全的遠(yuǎn)程接入方式,開(kāi)啟文件系統(tǒng)的審計(jì)策略�,開(kāi)啟系統(tǒng)日志記錄并定期進(jìn)行分析,定期升級(jí)操作系統(tǒng)及更新安裝補(bǔ)丁等手段對(duì)校園網(wǎng)絡(luò)進(jìn)行安全加固�。加固完成后,定期對(duì)校園網(wǎng)絡(luò)的安全性進(jìn)行評(píng)估�����,確保校園網(wǎng)絡(luò)中各業(yè)務(wù)系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、安全設(shè)備具有較高的安全性和抗攻擊能力。加固流程如圖2所示:
4結(jié)語(yǔ)
科學(xué)合理成體系的校園網(wǎng)絡(luò)安全運(yùn)維能有效緩解校園網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)問(wèn)題����,將網(wǎng)絡(luò)安全事件從傳統(tǒng)的事后處理逐漸轉(zhuǎn)變?yōu)槭虑胺婪叮軜O大提高網(wǎng)絡(luò)運(yùn)維和安全管理水平����,增強(qiáng)校園網(wǎng)絡(luò)的安全性,提供更好的用戶(hù)體驗(yàn)����,從而實(shí)現(xiàn)安全����、穩(wěn)定、抗風(fēng)險(xiǎn)能力強(qiáng)的校園網(wǎng)絡(luò)環(huán)境��。
參考文獻(xiàn)
[1]莊天天.安全運(yùn)維平臺(tái)關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2013.
[2]吳京偉.大學(xué)校園網(wǎng)絡(luò)運(yùn)維體系研究[D].合肥:合肥工業(yè)大學(xué),2009.
[3]張先哲.信息系統(tǒng)安全運(yùn)維管理平臺(tái)建設(shè)研究[J].軟件工程師,2015(5):38-39.
第3篇
《美軍2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目的預(yù)算需求》中闡述了國(guó)防部信息環(huán)境����、聯(lián)合信息環(huán)境、加固網(wǎng)絡(luò)����、數(shù)據(jù)中心的建設(shè)、購(gòu)買(mǎi)設(shè)備、企業(yè)級(jí)服務(wù)與信息技術(shù)管理���、網(wǎng)絡(luò)安全�、信息技術(shù)投資計(jì)劃��、人力建設(shè)���、電磁頻譜等十個(gè)方面的建設(shè)需求����,其中的五個(gè)方面則是重中之重����。
美國(guó)國(guó)防部2013財(cái)年的信息技術(shù)預(yù)算需求大約為370億美元,比2012財(cái)年的預(yù)算略微減少�。這些資金被投資到6000多個(gè)遍布全球的軍事基地,支持3個(gè)部���、40多個(gè)局以及戰(zhàn)場(chǎng)上的獨(dú)特需求與任務(wù)�。下面詳細(xì)介紹美軍2013財(cái)年信息技術(shù)和網(wǎng)絡(luò)安全建設(shè)的五大發(fā)展重點(diǎn)�����。
五大發(fā)展重點(diǎn)
從《美軍2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目的預(yù)算需求》可以發(fā)現(xiàn),美軍2013財(cái)年信息技術(shù)和網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)放在聯(lián)合信息環(huán)境�、數(shù)據(jù)中心、企業(yè)化服務(wù)�����、網(wǎng)絡(luò)安全和加固網(wǎng)絡(luò)等五個(gè)方面����。
聯(lián)合信息環(huán)境
聯(lián)合信息環(huán)境是一個(gè)單一、安全�、可靠、高效和靈活的指揮��、控制��、通信和計(jì)算機(jī)計(jì)劃����,可被聯(lián)合部隊(duì)的任務(wù)合作伙伴在幾乎所有軍事行動(dòng)����、梯隊(duì)和環(huán)境中廣泛使用。美軍2013財(cái)年聯(lián)合信息環(huán)境建設(shè)的目標(biāo)主要有兩個(gè):一是使國(guó)防部更有效���、更安全���、更好地彌補(bǔ)弱點(diǎn)�,更好地應(yīng)對(duì)網(wǎng)絡(luò)威脅����;二是簡(jiǎn)化、集成信息系統(tǒng)�����,實(shí)現(xiàn)信息系統(tǒng)的標(biāo)準(zhǔn)化�����、自動(dòng)化��,減少?lài)?guó)防部信息技術(shù)基礎(chǔ)設(shè)施的相關(guān)費(fèi)用��。
國(guó)防部的信息主管正在指揮著聯(lián)合信息環(huán)境相關(guān)計(jì)劃的實(shí)施���,也同聯(lián)合參謀部�、各軍種及國(guó)防部其他部門(mén)互相合作���,以更快速地全面實(shí)現(xiàn)國(guó)防部信息技術(shù)現(xiàn)代化�。國(guó)防部正在使用情報(bào)委員會(huì)的信息技術(shù)現(xiàn)代化手段來(lái)輔助聯(lián)合信息環(huán)境計(jì)劃。一個(gè)由來(lái)自國(guó)防部專(zhuān)家組成的小組正在構(gòu)思實(shí)現(xiàn)途徑�����,制定實(shí)現(xiàn)計(jì)劃與項(xiàng)目時(shí)間表���,并進(jìn)行經(jīng)費(fèi)預(yù)算����。在2013財(cái)年����,美軍強(qiáng)調(diào)項(xiàng)目必須集成網(wǎng)絡(luò)安全,從操作系統(tǒng)的配置到系統(tǒng)進(jìn)入控制�����,到全方位防御系統(tǒng)�����,到網(wǎng)絡(luò)入侵探測(cè)與診斷����。
美軍將繼續(xù)通過(guò)國(guó)防信息系統(tǒng)局的Forge.mil與RACE軟件開(kāi)發(fā)環(huán)境,以及通過(guò)與研發(fā)平臺(tái)匹配的集成測(cè)試與安全評(píng)估能力�����,加速平臺(tái)的研發(fā)��、質(zhì)量控制�����、網(wǎng)絡(luò)安全評(píng)估�����。
數(shù)據(jù)中心
美軍非常重視信息技術(shù)標(biāo)準(zhǔn)建設(shè)���,目前國(guó)防部的信息主管在軍種與國(guó)防信息局的配合下為數(shù)據(jù)中心建立設(shè)計(jì)的標(biāo)準(zhǔn)����,堅(jiān)持非保密網(wǎng)絡(luò)����、保密網(wǎng)絡(luò)���、物理隔絕網(wǎng)絡(luò)、加密隔絕網(wǎng)絡(luò)都執(zhí)行同樣標(biāo)準(zhǔn)���。這種標(biāo)準(zhǔn)網(wǎng)絡(luò)建設(shè)�,再加之更多的信息服務(wù)���,使國(guó)防部數(shù)據(jù)中心的數(shù)量相應(yīng)減少�。
美軍2013財(cái)年重點(diǎn)將現(xiàn)有數(shù)據(jù)中心合并為三類(lèi)數(shù)據(jù)中心:第一類(lèi)為核心數(shù)據(jù)中心�����,用于國(guó)防部各部門(mén)都可以使用的信息服務(wù)與應(yīng)用����,以及用于國(guó)防部與工業(yè)部門(mén)、公眾交互的對(duì)外服務(wù)與應(yīng)用����;第二類(lèi)為地區(qū)性數(shù)據(jù)中心,主要用于滿足終端用戶(hù)的信息服務(wù)與應(yīng)用需求�����;第三類(lèi)為部署在戰(zhàn)場(chǎng)前方的前方數(shù)據(jù)中心����,此類(lèi)數(shù)據(jù)中心很靈活,可以存放地區(qū)性與全局性的服務(wù)與信息�,適合各種任務(wù)情況,速度更快���,網(wǎng)絡(luò)可靠性更好�����。
這些數(shù)據(jù)中心的服務(wù)器將普遍高度虛擬化����,這樣可以更靈活地加入新的信息服務(wù)�����,提供最大的使用效率�����。
企業(yè)化服務(wù)
目前,國(guó)防部的信息主管正在同五角大樓的高層領(lǐng)導(dǎo)一起合作��,以確保對(duì)信息技術(shù)投資進(jìn)行企業(yè)化管理����,使一些信息中心靈活地交付信息能力與解決方案。
此外�����,在實(shí)施企業(yè)化方案的過(guò)程中����,美軍也在不斷解決有時(shí)出現(xiàn)的框架結(jié)構(gòu)等方面的問(wèn)題。例如��,國(guó)防信息主管辦公室為國(guó)防部起草了“云計(jì)算”戰(zhàn)略����,并將與軍事部門(mén)、國(guó)防信息系統(tǒng)局以及其他部門(mén)與生產(chǎn)廠家一起合作來(lái)實(shí)施該戰(zhàn)略��,以更好地優(yōu)化未來(lái)的信息基礎(chǔ)設(shè)施與應(yīng)用��。
網(wǎng)絡(luò)安全
2013財(cái)年信息技術(shù)與網(wǎng)絡(luò)安全項(xiàng)目預(yù)算中�����,大約34億美元用于國(guó)防網(wǎng)絡(luò)安全,與2012財(cái)年基本相當(dāng)���,主要用以消除信息、信息系統(tǒng)與網(wǎng)絡(luò)已知的脆弱性�����,使國(guó)防部與國(guó)家更好地應(yīng)對(duì)網(wǎng)絡(luò)威脅�����。
美軍2013財(cái)年制定了網(wǎng)絡(luò)安全工作的五個(gè)重要目標(biāo):第一個(gè)目標(biāo)是當(dāng)面對(duì)強(qiáng)敵發(fā)起網(wǎng)絡(luò)戰(zhàn)的時(shí)候�����,國(guó)防部信息基礎(chǔ)設(shè)施用戶(hù)��,包括國(guó)防部的合作伙伴����,擁有可靠的關(guān)鍵信息與信息基礎(chǔ)設(shè)施;第二個(gè)目標(biāo)是確保與任務(wù)需要的任何伙伴之間實(shí)現(xiàn)快速�、安全的信息共享,而且信息足夠豐富,對(duì)于執(zhí)行任務(wù)是有效的���;第三個(gè)目標(biāo)是保護(hù)美軍重要�����、保密的信息����;第四個(gè)目標(biāo)是確保任務(wù)指揮官可以隨時(shí)進(jìn)入網(wǎng)絡(luò)空間�����;第五個(gè)目標(biāo)是確保國(guó)防部采用的技術(shù)具有靈活性�����。
重構(gòu)國(guó)防部的網(wǎng)絡(luò)是聯(lián)合信息環(huán)境的核心支柱之一���,以使國(guó)防部擁有一個(gè)統(tǒng)一的����、滿足不同安全需求的聯(lián)合網(wǎng)絡(luò)體系�。目前�,美軍正在制定這種聯(lián)合信息環(huán)境要素的工程技術(shù)細(xì)節(jié)與體系結(jié)構(gòu)細(xì)節(jié)�。這將提供更加統(tǒng)一的網(wǎng)絡(luò)防御,并將使網(wǎng)絡(luò)司令部可以通過(guò)計(jì)算機(jī)掌握全局���,防止黑客入侵在網(wǎng)絡(luò)中蔓延�����,提高聯(lián)合作戰(zhàn)的互操作性與相互依賴(lài)性。
加固網(wǎng)絡(luò)
加固網(wǎng)絡(luò)主要有以下內(nèi)容�����。
可靠的兼容性評(píng)估解決方案美軍在2012年購(gòu)買(mǎi)了一種名為“可靠的兼容性評(píng)估解決方案”的商業(yè)工具�����,使用這種工具可以掃描計(jì)算機(jī)的漏洞��,然后做出報(bào)告并進(jìn)行修復(fù)�����。這種工具正在進(jìn)行最終測(cè)試���,將于2013年夏天部署�����,預(yù)計(jì)各部門(mén)將在未來(lái)18個(gè)月部署與應(yīng)用���。
基于主機(jī)的安全系統(tǒng)
目前��,美軍國(guó)防部在每一臺(tái)與非保密網(wǎng)絡(luò)�、保密網(wǎng)絡(luò)連接的電腦上安裝“基于主機(jī)的安全系統(tǒng)”工具�����。這種工具可以發(fā)現(xiàn)并報(bào)告漏洞���,防止某些類(lèi)型的網(wǎng)絡(luò)入侵��,探測(cè)到其他入侵并作出反應(yīng)����,提高了國(guó)防部網(wǎng)絡(luò)加固�、態(tài)勢(shì)感知、網(wǎng)絡(luò)入侵探測(cè)����、診斷與反應(yīng)能力�。2013財(cái)年申請(qǐng)的網(wǎng)絡(luò)安全資金繼續(xù)用于部署與保障新的“基于主機(jī)的安全系統(tǒng)”��,以更好地加固計(jì)算機(jī)���,提供持續(xù)自動(dòng)監(jiān)督計(jì)算機(jī)配置的能力��,更好地改善國(guó)防部人員與設(shè)備身份管理能力�����。
公鑰基礎(chǔ)設(shè)施身份識(shí)別
美軍網(wǎng)絡(luò)加固工作的另一個(gè)關(guān)鍵部分是去除網(wǎng)絡(luò)匿名。美軍計(jì)劃在國(guó)防部非保密網(wǎng)絡(luò)中使用公鑰基礎(chǔ)設(shè)施身份識(shí)別�����,2012年美軍完成向50萬(wàn)人公鑰基礎(chǔ)設(shè)施身份識(shí)別����,2013年3月份美軍將使用這些身份證。這不僅可以幫助美軍改善信息使用責(zé)任制��,也可以與政府各部門(mén)合作����,使跨部門(mén)共享更加安全信息����。
值得信任國(guó)防系統(tǒng)/供應(yīng)鏈風(fēng)險(xiǎn)管理 美軍認(rèn)識(shí)到盡管先進(jìn)的商業(yè)技術(shù)可以為國(guó)防部帶來(lái)眾多好處����,但是也為國(guó)外惡意分子通過(guò)插入惡意程序來(lái)獲取、改變數(shù)據(jù)����,截取、阻止通信并危及供應(yīng)鏈安全提供了機(jī)會(huì)����。為了應(yīng)對(duì)這些風(fēng)險(xiǎn),國(guó)防部正在使值得信任國(guó)防系統(tǒng)/供應(yīng)鏈風(fēng)險(xiǎn)管理制度化�����,同時(shí)國(guó)防部也正在與其他部門(mén)合作研究管理關(guān)鍵基礎(chǔ)設(shè)施中防范供應(yīng)鏈風(fēng)險(xiǎn)的方法���。
國(guó)防工業(yè)基地網(wǎng)絡(luò)安全與信息確保項(xiàng)目 由國(guó)防部信息主管監(jiān)督的國(guó)防工業(yè)基地網(wǎng)絡(luò)安全與信息確保項(xiàng)目是國(guó)防部另一個(gè)重要成果�����。該項(xiàng)目為政府一工業(yè)部門(mén)的合作伙伴關(guān)系提供網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)����,也為網(wǎng)絡(luò)安全提供一種系統(tǒng)方法,包括政府間保密威脅信息的共享����、工業(yè)部門(mén)數(shù)據(jù)的共享、搶救與修復(fù)策略的共享���、網(wǎng)絡(luò)入侵損害評(píng)估�����。盡管不能徹底消除威脅�,但是這一項(xiàng)目增強(qiáng)了每個(gè)國(guó)防工業(yè)基地參與者消除風(fēng)險(xiǎn)的能力���,進(jìn)一步保護(hù)了在國(guó)防工業(yè)基地保密網(wǎng)絡(luò)上存儲(chǔ)或傳輸信息的安全。
美軍在項(xiàng)目進(jìn)程中積累的經(jīng)驗(yàn)
信息技術(shù)采辦的標(biāo)準(zhǔn)化為美軍節(jié)約大量經(jīng)費(fèi)
為了解決由于國(guó)防部“煙囪式”信息體系(“煙囪式”信息體系是指數(shù)據(jù)直接從各個(gè)數(shù)據(jù)源被直接抓取到目的地����,中間不留任何縫隙)而產(chǎn)生的問(wèn)題,美軍重點(diǎn)改革國(guó)防部3個(gè)核心過(guò)程:提需求�����、預(yù)算與采辦。
國(guó)防部信息主管辦公室與主管軍官的辦公室緊密合作制定一種靈活�����、快捷的采辦程序�,美軍通過(guò)企業(yè)化軟件計(jì)劃,10年期間總共節(jié)省了30億美元�。美軍的信息體系戰(zhàn)略與路線圖強(qiáng)調(diào)了將購(gòu)買(mǎi)硬件、軟件與服務(wù)作為提高效率的主要手段��。通過(guò)共享國(guó)防部中各個(gè)組織的購(gòu)買(mǎi)協(xié)議����,美軍大大減少了中介的數(shù)量,進(jìn)一步優(yōu)化����、理順了信息技術(shù)采購(gòu)過(guò)程?��?梢哉f(shuō)���,正是由于美軍注重信息技術(shù)與設(shè)備從需求����、預(yù)算到采辦的全程合作與規(guī)范�,才大大縮減了經(jīng)費(fèi)開(kāi)支。
智能網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)將提高美軍的網(wǎng)絡(luò)防御能力
美軍明確提出要通過(guò)“可靠的兼容性評(píng)估解決方案”�、“基于主機(jī)的安全系統(tǒng)”等5項(xiàng)工作來(lái)提高其加固網(wǎng)絡(luò)、態(tài)勢(shì)感知�����、網(wǎng)絡(luò)入侵探測(cè)�、診斷與反應(yīng)能力。美軍計(jì)劃未來(lái)幾年逐步從“可靠的兼容性評(píng)估解決方案”與“基于主機(jī)的安全系統(tǒng)”來(lái)收集關(guān)于國(guó)防部每臺(tái)計(jì)算機(jī)的配置信息�,并使用這些信息自動(dòng)生成可供各級(jí)指揮官使用的任務(wù)風(fēng)險(xiǎn)數(shù)值。指揮官可以使用這些信息與風(fēng)險(xiǎn)數(shù)值來(lái)修復(fù)漏洞���,更好地了解到底哪些任務(wù)存在漏洞���。這些智能入侵監(jiān)測(cè)系統(tǒng)的應(yīng)用將會(huì)大大縮短美軍監(jiān)測(cè)網(wǎng)絡(luò)入侵的時(shí)間�,提高美軍應(yīng)對(duì)網(wǎng)絡(luò)入侵的反應(yīng)效率。
聯(lián)合信息環(huán)境將為美軍提供一體化平臺(tái)
第4篇
商城縣公安局網(wǎng)監(jiān)大隊(duì):
我院在接到貴單位發(fā)來(lái)的《信息系統(tǒng)安全等保限期整改通知書(shū)》后����,院領(lǐng)導(dǎo)高度重視����,責(zé)成信息科按照要求進(jìn)行整改�����,現(xiàn)在整改情況報(bào)告如下���。
一���、我院網(wǎng)絡(luò)安全等級(jí)保護(hù)工作概況
根據(jù)上級(jí)主管部門(mén)和行業(yè)主管部門(mén)要求,我院高度重視并開(kāi)展了網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)工作�,工作內(nèi)容主要包含信息系統(tǒng)梳理、定級(jí)���、備案�、等級(jí)保護(hù)測(cè)評(píng)�、安全建設(shè)整改等。我院目前運(yùn)行的主要信息系統(tǒng)有:綜合業(yè)務(wù)信息系統(tǒng)����。綜合業(yè)務(wù)信息系統(tǒng)是商城縣人民醫(yī)院核心醫(yī)療業(yè)務(wù)信息系統(tǒng)的集合,系統(tǒng)功能模塊主要包括醫(yī)院信息系統(tǒng)(HIS)、檢驗(yàn)信息系統(tǒng)(LIS)�����、電子病歷系統(tǒng)(EMRS)��、醫(yī)學(xué)影像信息系統(tǒng)(PACS)�����,其中醫(yī)院信息系統(tǒng)(HIS)����、檢驗(yàn)信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMRS)由福建弘揚(yáng)軟件股份有限公司開(kāi)發(fā)建設(shè)并提供技術(shù)支持�,醫(yī)學(xué)影像信息系統(tǒng)(PACS)由深圳中航信息科技產(chǎn)業(yè)股份有限公司開(kāi)發(fā)建設(shè)并提供技術(shù)支持。
我院已于2018年11月完成了綜合業(yè)務(wù)信息系統(tǒng)的定級(jí)��、備案��、等級(jí)保護(hù)測(cè)評(píng)���、專(zhuān)家評(píng)審等工作�����,系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)(S2A2G2)�,等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)為河南天祺信息安全技術(shù)有限公司�,等級(jí)保護(hù)測(cè)評(píng)結(jié)論為基本符合,綜合得分為76.02分����。在測(cè)評(píng)過(guò)程中,信息科已根據(jù)測(cè)評(píng)人員建議對(duì)能夠立即整改的安全問(wèn)題進(jìn)行了整改���,如:服務(wù)器安全加固����、訪問(wèn)控制策略調(diào)整����、安裝防病毒軟件、增加安全產(chǎn)品等���。目前我院正在進(jìn)行門(mén)戶(hù)網(wǎng)站的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作����。
二�����、安全問(wèn)題整改情況
此次整改報(bào)告中涉及到的信息系統(tǒng)安全問(wèn)題是我院于2018年11月委托河南天祺公司對(duì)醫(yī)院信息系統(tǒng)進(jìn)行測(cè)評(píng)反饋的內(nèi)容,主要包括應(yīng)用服務(wù)器�、數(shù)據(jù)庫(kù)服務(wù)器操作系統(tǒng)漏洞和Oracle漏洞等。針對(duì)應(yīng)用服務(wù)器系統(tǒng)漏洞�����,我院及時(shí)與安全公司進(jìn)行溝通��,溝通后通過(guò)關(guān)閉部分系統(tǒng)服務(wù)和端口��,更新必要的系統(tǒng)升級(jí)包等措施進(jìn)行了及時(shí)的處理���。針對(duì)Oracle數(shù)據(jù)庫(kù)存在的安全漏洞問(wèn)題��,我們與安全公司和軟件廠商進(jìn)行了溝通��,我院HIS系統(tǒng)于2012年底投入使用�,數(shù)據(jù)庫(kù)版本為Oracle 11g�����,投入運(yùn)行時(shí)間較早����,且部署于內(nèi)網(wǎng)環(huán)境中未及時(shí)進(jìn)行漏洞修復(fù)����。
經(jīng)過(guò)軟件開(kāi)發(fā)廠商測(cè)試發(fā)現(xiàn)修復(fù)Oracle數(shù)據(jù)庫(kù)漏洞會(huì)影響HIS系統(tǒng)正常運(yùn)行����,并存在未知風(fēng)險(xiǎn)�����,為了既保證信息系統(tǒng)安全穩(wěn)定運(yùn)行又降低信息系統(tǒng)面臨的安全隱患��,我們主要采取控制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限�,切斷與服務(wù)器不必要的連接、限制數(shù)據(jù)庫(kù)管理人員權(quán)限等措施來(lái)降低數(shù)據(jù)庫(kù)安全漏洞造成的風(fēng)險(xiǎn)��。具體措施為:第一由不同技術(shù)人員分別掌握數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)的管理權(quán)限����;第二數(shù)據(jù)庫(kù)服務(wù)器僅允許有業(yè)務(wù)需求的應(yīng)用服務(wù)器連接,日常管理數(shù)據(jù)庫(kù)采用本地管理方式�����,數(shù)據(jù)庫(kù)不對(duì)外提供遠(yuǎn)程訪問(wèn);第三對(duì)數(shù)據(jù)庫(kù)進(jìn)行了安全加固�����,設(shè)置了強(qiáng)密碼��、開(kāi)啟了日志審計(jì)功能�、禁用了數(shù)據(jù)庫(kù)默認(rèn)用戶(hù)等。
我院高度重視網(wǎng)絡(luò)安全工作�,醫(yī)院網(wǎng)絡(luò)中先后配備了防火墻、防毒墻���、入侵防御��、網(wǎng)絡(luò)版殺毒軟件���、桌面終端管理等安全產(chǎn)品,并正在采購(gòu)網(wǎng)閘��、堡壘機(jī)�����、日志審計(jì)等安全產(chǎn)品�,同時(shí)組建了醫(yī)院網(wǎng)絡(luò)安全小組��,由三名技術(shù)人員負(fù)責(zé)網(wǎng)絡(luò)安全管理工作�����,使我院網(wǎng)絡(luò)安全管理水平大幅提升��。
“沒(méi)有網(wǎng)絡(luò)安全��,就沒(méi)有國(guó)家安全”。作為全縣醫(yī)療救治中心���,醫(yī)院始終把信息網(wǎng)絡(luò)安全和醫(yī)療安全放在首位���,不斷緊跟醫(yī)院發(fā)展和形勢(shì)需要,科學(xué)有效的推進(jìn)網(wǎng)絡(luò)安全建設(shè)工作�����,并接受各級(jí)主管部門(mén)的監(jiān)督和管理����。
第5篇
關(guān)鍵詞:等級(jí)保護(hù);網(wǎng)絡(luò)安全��;信息安全;安全防范
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)19-4433-03
隨著我國(guó)國(guó)際地位的不斷提高和經(jīng)濟(jì)的持續(xù)發(fā)展�����,我國(guó)的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來(lái)越多的威脅���,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升�����,計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗��,犯罪分子利用一些安全漏洞����,使用木馬間諜程序�����、網(wǎng)絡(luò)釣魚(yú)技術(shù)��、黑客病毒技術(shù)等技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙��、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪���,給用戶(hù)造成嚴(yán)重?fù)p失����,因此����,維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重��,加強(qiáng)網(wǎng)絡(luò)信息安全等級(jí)保護(hù)建設(shè)刻不容緩��。
1 網(wǎng)絡(luò)信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息����、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)�����、傳輸�、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理�,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級(jí)保護(hù)體系包括技術(shù)和管理兩大部分��,如圖1所示�,其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全�、網(wǎng)絡(luò)安全、主機(jī)安全�、物理安全五個(gè)方面進(jìn)行建設(shè)。
圖1 等級(jí)保護(hù)基本安全要求
1) 物理安全
物理安全主要涉及的方面包括環(huán)境安全(防火�、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方面����。
2) 主機(jī)安全
主機(jī)系統(tǒng)安全是計(jì)算機(jī)設(shè)備(包括服務(wù)器、終端/工作站等)在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全���;通過(guò)部署終端安全管理系統(tǒng)(TSM)����,準(zhǔn)入認(rèn)證網(wǎng)關(guān)(SACG)����,以及專(zhuān)業(yè)主機(jī)安全加固服務(wù),可以實(shí)現(xiàn)等級(jí)保護(hù)對(duì)主機(jī)安全防護(hù)要求����。
3) 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)���,網(wǎng)絡(luò)安全防護(hù)重點(diǎn)是確保網(wǎng)絡(luò)之間合法訪問(wèn),檢測(cè)��,阻止內(nèi)部��,外部惡意攻擊�;通過(guò)部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列,入侵檢測(cè)/防御系統(tǒng)NIP�����,Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品����,為合法的用戶(hù)提供合法網(wǎng)絡(luò)訪問(wèn),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅��。
4) 應(yīng)用安全
應(yīng)用安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運(yùn)行�����,包括各種基本應(yīng)用�����,如:消息發(fā)送�、web瀏覽等;業(yè)務(wù)應(yīng)用���,如:電子商務(wù)���、電子政務(wù)等;部署的文檔安全管理系統(tǒng)(DSM)���,數(shù)據(jù)庫(kù)審計(jì)UMA-DB�,防病毒網(wǎng)關(guān)AVE等產(chǎn)品�。并且通過(guò)安全網(wǎng)關(guān)USG實(shí)現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密,數(shù)據(jù)災(zāi)備實(shí)現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護(hù)����,降低數(shù)據(jù)因意外事故,或者丟失給造成危害��。
5) 數(shù)據(jù)安全
數(shù)據(jù)安全主要是保護(hù)用戶(hù)數(shù)據(jù)��、系統(tǒng)數(shù)據(jù)�、業(yè)務(wù)數(shù)據(jù)的保護(hù)���;通過(guò)對(duì)所有信息系統(tǒng),網(wǎng)絡(luò)設(shè)備��,安全設(shè)備����,服務(wù)器,終端機(jī)的安全事件日志統(tǒng)一采集���,分析��,輸出各類(lèi)法規(guī)要求安全事件審計(jì)報(bào)告��,制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程��。
2 應(yīng)用實(shí)例
近年來(lái)衛(wèi)生行業(yè)全面開(kāi)展信息安全等級(jí)保護(hù)定級(jí)備案�����、建設(shè)整改和等級(jí)測(cè)評(píng)等工作���,某醫(yī)院的核心系統(tǒng)按照等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系�����,全面保護(hù)醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。
醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)��,不是對(duì)整個(gè)系統(tǒng)進(jìn)行同一等級(jí)的保護(hù)�����,而是針對(duì)系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級(jí)的保護(hù)�;通過(guò)安全域劃分,實(shí)現(xiàn)對(duì)不同系統(tǒng)的差異防護(hù)����,并防止安全問(wèn)題擴(kuò)散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)�����、日常辦公終端之間都存在一定差異�,各自可能具有不同的安全防護(hù)需求,因此需要將不同特性的系統(tǒng)進(jìn)行歸類(lèi)劃分安全域�����,并明確各域邊界����,分別考慮防護(hù)措施�。經(jīng)過(guò)梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示����,外網(wǎng)是一個(gè)星型的快速以太交換網(wǎng),核心為一臺(tái)高性能三層交換機(jī)��,下聯(lián)內(nèi)網(wǎng)核心交換機(jī)����,上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機(jī)和DMZ隔離區(qū),外聯(lián)互聯(lián)網(wǎng)出口路由器����,內(nèi)網(wǎng)交換機(jī)向下連接信息點(diǎn)(終端計(jì)算機(jī)),外網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)核心交換機(jī)之間采用千兆光纖鏈路�,內(nèi)網(wǎng)交換機(jī)采用百兆雙絞線鏈路下聯(lián)終端計(jì)算機(jī),外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)至關(guān)重要��,直接影響到等級(jí)保護(hù)系統(tǒng)的安全性能���。
圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖
2.1外網(wǎng)網(wǎng)絡(luò)安全要求
系統(tǒng)定級(jí)為3級(jí)�����,且等級(jí)保護(hù)要求選擇為S3A2G3���,查找《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇,外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求:邊界完整性檢查(S3) �、入侵防范(G3) 、結(jié)構(gòu)安全(G3) �����、訪問(wèn)控制(G3) ���、安全審計(jì)(G3) �����、惡意代碼防范(G3) 和網(wǎng)絡(luò)設(shè)備防護(hù)(G3) �����。
2.2網(wǎng)絡(luò)安全策略
根據(jù)對(duì)醫(yī)院外網(wǎng)機(jī)房區(qū)域安全保護(hù)等級(jí)達(dá)到安全等級(jí)保護(hù)3級(jí)的基本要求��,制定相應(yīng)的網(wǎng)絡(luò)安全策略
1) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略
要合理劃分網(wǎng)段���,利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制控制各網(wǎng)絡(luò)間的訪問(wèn)����。要采取一定的技術(shù)措施��,監(jiān)控網(wǎng)絡(luò)中存在的安全隱患���、脆弱點(diǎn)���。并利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。
2) 訪問(wèn)控制策略
訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制��,它控制哪些用戶(hù)能夠連入內(nèi)部網(wǎng)絡(luò)�,那些用戶(hù)能夠通過(guò)哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)����。
3) 網(wǎng)絡(luò)入侵檢測(cè)策略
系統(tǒng)中應(yīng)該設(shè)置入侵檢測(cè)策略,動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)����。
4) 網(wǎng)絡(luò)安全審計(jì)策略
系統(tǒng)中應(yīng)該設(shè)置安全審計(jì)策略,收集并分析網(wǎng)絡(luò)中的訪問(wèn)數(shù)據(jù)��,從而發(fā)現(xiàn)違反安全策略的行為。
5) 運(yùn)行安全策略
運(yùn)行安全策略包括:建立全網(wǎng)的運(yùn)行安全評(píng)估流程�����,定期評(píng)估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備���。
2.3網(wǎng)絡(luò)安全設(shè)計(jì)
根據(jù)對(duì)醫(yī)院外網(wǎng)安全保護(hù)等級(jí)達(dá)到安全等級(jí)保護(hù)3級(jí)的基本要求,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)包括網(wǎng)絡(luò)訪問(wèn)控制��,網(wǎng)絡(luò)入侵防護(hù)���,網(wǎng)絡(luò)安全審計(jì)和其他安全設(shè)計(jì)���。
1) 網(wǎng)絡(luò)訪問(wèn)控制
實(shí)現(xiàn)以上等級(jí)保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類(lèi)網(wǎng)關(guān)設(shè)備,采用一臺(tái)天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻�����、一臺(tái)CISCO公司的PIX515和一臺(tái)網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP��。
①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻:在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻��,該防火墻通過(guò)雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域����,對(duì)外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問(wèn)控制����。
②對(duì)外服務(wù)區(qū)域邊界防火墻:對(duì)外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺(tái)千兆防火墻(天融信NGFW4000-UF)�,該防火墻通過(guò)光纖連接核心交換機(jī)和對(duì)外服務(wù)區(qū)域交換機(jī),通過(guò)雙絞線連接區(qū)域內(nèi)服務(wù)器�����,對(duì)其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問(wèn)行為進(jìn)行控制�����,同時(shí)控制兩個(gè)區(qū)域內(nèi)部各服務(wù)器之間的訪問(wèn)行為����。
③網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機(jī)房區(qū)域邊界部署一臺(tái)網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過(guò)雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)��,為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問(wèn)控制���。
2) 網(wǎng)絡(luò)入侵防護(hù)
外網(wǎng)局域網(wǎng)的對(duì)外服務(wù)區(qū)域��,防護(hù)級(jí)別為S2A2G2�,重點(diǎn)要實(shí)現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測(cè),因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP)��;對(duì)于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)�����,防護(hù)級(jí)別為S3A2G3����,由于其直接與互聯(lián)網(wǎng)相連,不僅要實(shí)現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測(cè)���,還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來(lái)的攻擊行為,因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)(啟明星辰天闐NS2200)����。
①網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機(jī)房區(qū)域邊界部署一臺(tái)采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過(guò)雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)�����,其主要用來(lái)防御來(lái)自互聯(lián)網(wǎng)的攻擊流量����。
②網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng):在外網(wǎng)的核心交換機(jī)上部署一臺(tái)千兆IDS系統(tǒng)�,IDS監(jiān)聽(tīng)端口類(lèi)型需要和核心交換機(jī)對(duì)端的端口類(lèi)型保持一致�;在核心交換機(jī)上操作進(jìn)行一對(duì)一監(jiān)聽(tīng)端口鏡像操作,將對(duì)外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路����,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量,鏡像至IDS監(jiān)聽(tīng)端口���;IDS用于對(duì)訪問(wèn)對(duì)外服務(wù)區(qū)域的數(shù)據(jù)流量�,訪問(wèn)安全管理區(qū)域的數(shù)據(jù)流量�����,以及訪問(wèn)互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測(cè)�。
3) 網(wǎng)絡(luò)安全審計(jì)
信息安全審計(jì)管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界,在外網(wǎng)被審計(jì)對(duì)象不僅僅包括對(duì)外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問(wèn)流量��,還要對(duì)終端的互聯(lián)網(wǎng)訪問(wèn)行為進(jìn)行審計(jì)�;此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計(jì)和保護(hù)的對(duì)象。
由于終端的業(yè)務(wù)訪問(wèn)和互聯(lián)網(wǎng)訪問(wèn)都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問(wèn)流量��,因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計(jì)系統(tǒng)(天融信網(wǎng)絡(luò)行為審計(jì)TopAudit)����,交換機(jī)必需映射一個(gè)多對(duì)一抓包端口�,網(wǎng)絡(luò)審計(jì)引擎通過(guò)抓取網(wǎng)絡(luò)中的數(shù)據(jù)包��,并對(duì)抓到的包進(jìn)行分析��、匹配����、統(tǒng)計(jì),從而實(shí)現(xiàn)網(wǎng)絡(luò)安全審計(jì)功能��。
①在外網(wǎng)的核心交換機(jī)上部署一臺(tái)千兆網(wǎng)絡(luò)安全審計(jì)系統(tǒng)��,監(jiān)聽(tīng)端口類(lèi)型需要和核心交換機(jī)對(duì)端的端口類(lèi)型保持一致����,使用光纖接口�����;
②在核心交換機(jī)上操作進(jìn)行一對(duì)一監(jiān)聽(tīng)端口鏡像操作�����,將對(duì)外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路�,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量���,鏡像至網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的監(jiān)聽(tīng)端口;
③網(wǎng)絡(luò)安全審計(jì)系統(tǒng)用于對(duì)訪問(wèn)對(duì)外服務(wù)區(qū)域的數(shù)據(jù)流量���,訪問(wèn)安全管理區(qū)域的數(shù)據(jù)流量�,以及訪問(wèn)互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計(jì)�;
④開(kāi)啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計(jì)功能��。
4) 其他網(wǎng)絡(luò)安全設(shè)計(jì)
其他網(wǎng)絡(luò)安全設(shè)計(jì)包括邊界完整性檢查�����,惡意代碼防范�����,網(wǎng)絡(luò)設(shè)備防護(hù)�����,邊界完整性檢查等����。
①邊界完整性檢查:在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨(dú)立VLAN�,并制定嚴(yán)格的策略�,禁止其他VLAN的訪問(wèn),只允許來(lái)自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問(wèn)行為���;對(duì)服務(wù)器系統(tǒng)進(jìn)行安全加固����,提升系統(tǒng)自身的安全訪問(wèn)控制能力����;
②惡意代碼防范:通過(guò)互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對(duì)木馬類(lèi)、拒絕服務(wù)類(lèi)����、系統(tǒng)漏洞類(lèi)、webcgi類(lèi)�����、蠕蟲(chóng)類(lèi)等惡意代碼進(jìn)行檢測(cè)和清除����;部署服務(wù)器防病毒系統(tǒng)���,定期進(jìn)行病毒庫(kù)升級(jí)和全面殺毒�,確保服務(wù)器具有良好的防病毒能力。
③網(wǎng)絡(luò)設(shè)備防護(hù):網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供�����,由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)����,應(yīng)進(jìn)行以下的安全加固:開(kāi)啟樓層接入交換機(jī)的接口安全特性,并作MAC綁定��; 關(guān)閉不必要的服務(wù)(如:禁止CDP(Cisco Discovery Protocol)���,禁止TCP�����、UDP Small服務(wù)等)�, 登錄要求和帳號(hào)管理�����, 其它安全要求(如:禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件,禁止未使用或空閑的端口等)���。
3 結(jié)束語(yǔ)
信息安全等級(jí)保護(hù)是實(shí)施國(guó)家信息安全戰(zhàn)略的重大舉措�����,也是我國(guó)建立信息安全保障體系的基本制度����。作為國(guó)家信息安全保障體系建設(shè)的重要依據(jù)�����,在實(shí)行安全防護(hù)系統(tǒng)建設(shè)的過(guò)程中�����,應(yīng)當(dāng)按照等級(jí)保護(hù)的思想和基本要求進(jìn)行建設(shè)�,根據(jù)分級(jí)、分域�、分系統(tǒng)進(jìn)行安全建設(shè)的思路,針對(duì)一個(gè)特定的信息系統(tǒng)(醫(yī)院信息管理系統(tǒng))為例�,提出全面的等級(jí)保護(hù)技術(shù)建設(shè)方案,希望能夠?yàn)橛脩?hù)的等級(jí)保護(hù)建設(shè)提出參考��。
參考文獻(xiàn):
[1] 徐寶海.市縣級(jí)國(guó)土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國(guó)管理信息化��,2014(4).
[2] 李光輝.全臺(tái)網(wǎng)信息安全保障體系初探[J].電腦知識(shí)與技術(shù)�,2013(33).
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估�;安全措施
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發(fā)生的信息安全事件正在日益引起全球的關(guān)注,列舉的近年來(lái)的網(wǎng)絡(luò)突發(fā)事件�����,不難發(fā)現(xiàn)����,強(qiáng)化提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估意識(shí)、強(qiáng)化信息安全保障為當(dāng)務(wù)之急����。所謂風(fēng)險(xiǎn)評(píng)估,是指網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)�,它的原理是,根據(jù)已知的安全漏洞知識(shí)庫(kù)���,對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查�。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告���,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)�。完成一個(gè)信息安全系統(tǒng)的設(shè)計(jì)與實(shí)施并不足以代表該信息安全事務(wù)的完結(jié)。隨著新技術(shù)���、新應(yīng)用的不斷出現(xiàn)��,以及所導(dǎo)致的信息技術(shù)環(huán)境的轉(zhuǎn)變���,信息安全工作人員要不斷地評(píng)估當(dāng)前的安全威脅,并不斷對(duì)當(dāng)前系統(tǒng)中的安全性產(chǎn)生認(rèn)知���。
2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀
2.1 風(fēng)險(xiǎn)評(píng)估的必要性
有人說(shuō)安全產(chǎn)品就是保障網(wǎng)絡(luò)安全的基礎(chǔ)��,但有了安全產(chǎn)品��,不等于用戶(hù)可以高枕無(wú)憂地應(yīng)用網(wǎng)絡(luò)�。產(chǎn)品是沒(méi)有生命的�����,需要人來(lái)管理與維護(hù)����,這樣才能最大程度地發(fā)揮其效能���。病毒和黑客可謂無(wú)孔不入,時(shí)時(shí)伺機(jī)進(jìn)攻��。這就更要求對(duì)安全產(chǎn)品及時(shí)升級(jí)����,不斷完善��,實(shí)時(shí)檢測(cè)��,不斷補(bǔ)漏��。網(wǎng)絡(luò)安全并不是僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品就能解決的���,它需要合適的安全體系和合理的安全產(chǎn)品組合��,需要根據(jù)網(wǎng)絡(luò)及網(wǎng)絡(luò)用戶(hù)的情況和需求規(guī)劃����、設(shè)計(jì)和實(shí)施一定的安全策略�����。通常,在一個(gè)企業(yè)中�,對(duì)安全技術(shù)了如指掌的人員不多,大多技術(shù)人員停留在對(duì)安全產(chǎn)品的一般使用上����,如果安全系統(tǒng)出現(xiàn)故障或者黑客攻擊引發(fā)網(wǎng)絡(luò)癱瘓,他們將束手無(wú)策���。這時(shí)他們需要的是安全服務(wù)���。而安全評(píng)估,便是安全服務(wù)的重要前期工作����。網(wǎng)絡(luò)信息安全,需要不斷評(píng)估方可安全威脅��。
2.2 安全評(píng)估的目標(biāo)���、原則及內(nèi)容
安全評(píng)估的目標(biāo)通常包括:確定可能對(duì)資產(chǎn)造成危害的威脅�;通過(guò)對(duì)歷史資料和專(zhuān)家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性�����;對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性�����,以及相應(yīng)的級(jí)別��,確定哪些資產(chǎn)是最重要的����;準(zhǔn)確了解企業(yè)網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀�����;明晰企業(yè)網(wǎng)的安全需求��;制定網(wǎng)絡(luò)和系統(tǒng)的安全策略�;制定網(wǎng)絡(luò)和系統(tǒng)的安全解決方案;指導(dǎo)企業(yè)網(wǎng)未來(lái)的建設(shè)和投入��;通過(guò)項(xiàng)目實(shí)施和培訓(xùn)�,培養(yǎng)用戶(hù)自己的安全隊(duì)伍。而在安全評(píng)估中必須遵循以下原則:標(biāo)準(zhǔn)性原則�、可控性原則、整體性原則��、最小影響原則、保密性原則���。
安全評(píng)估的內(nèi)容包括專(zhuān)業(yè)安全評(píng)估服務(wù)和主機(jī)系統(tǒng)加固服務(wù)�����。專(zhuān)業(yè)安全評(píng)估服務(wù)對(duì)目標(biāo)系統(tǒng)通過(guò)工具掃描和人工檢查�,進(jìn)行專(zhuān)業(yè)安全的技術(shù)評(píng)定���,并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告���。
目標(biāo)系統(tǒng)主要是主流UNIX及NT系統(tǒng),主流數(shù)據(jù)庫(kù)系統(tǒng)���,以及主流的網(wǎng)絡(luò)設(shè)備��。使用掃描工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描����,提供原始評(píng)估報(bào)告或由專(zhuān)業(yè)安全工程師提供人工分析報(bào)告�。或是人工檢查安全配置檢查����、安全機(jī)制檢查�、入侵追查及事后取證等內(nèi)容��。而主機(jī)系統(tǒng)加固服務(wù)是根據(jù)專(zhuān)業(yè)安全評(píng)估結(jié)果�,制定相應(yīng)的系統(tǒng)加固方案,針對(duì)不同目標(biāo)系統(tǒng)�����,通過(guò)打補(bǔ)丁��、修改安全配置�����、增加安全機(jī)制等方法���,合理進(jìn)行安全性加強(qiáng)。
系統(tǒng)加固報(bào)告服務(wù)選擇使用該服務(wù)包�����,必須以選擇ISMR/SSMR/HME服務(wù)包為前提��,針對(duì)評(píng)估分析報(bào)告,提出加固報(bào)告��。系統(tǒng)加固報(bào)告增強(qiáng)服務(wù)選擇使用該服務(wù)包��,必須以選擇ISMR/SSMR/HME服務(wù)包為前提���,針對(duì)評(píng)估分析報(bào)告���,提出系統(tǒng)加固報(bào)告,并將系統(tǒng)加固報(bào)告����、加固步驟、所需補(bǔ)丁程序以光盤(pán)形式提交客戶(hù)�。系統(tǒng)加固實(shí)施服務(wù)選擇使用該服務(wù)包,必須以選擇 ISMR/SSMR/HME服務(wù)包為前提�����,針對(duì)評(píng)估分析報(bào)告����,提出系統(tǒng)加固報(bào)告,并將系統(tǒng)加固報(bào)告、加固步驟�、所需補(bǔ)丁程序以光盤(pán)形式提交客戶(hù),并由專(zhuān)業(yè)安全工程師實(shí)施加固工作�。
3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)
討論安全評(píng)定的前提在于企業(yè)已經(jīng)具有了較為完備的安全策略,這項(xiàng)工作主要檢測(cè)當(dāng)前的安全策略是否被良好的執(zhí)行���,從而發(fā)現(xiàn)系統(tǒng)中的不安全因素����。當(dāng)前計(jì)算機(jī)世界應(yīng)用的主流網(wǎng)絡(luò)協(xié)議是TCP/IP����,而該協(xié)議族并沒(méi)有內(nèi)置任何安全機(jī)制。這意味著基于網(wǎng)絡(luò)的應(yīng)用程序必須被非常好的保護(hù)�����,網(wǎng)絡(luò)安全評(píng)定的主要目標(biāo)就是為修補(bǔ)全部的安全問(wèn)題提供指導(dǎo)��。
評(píng)定網(wǎng)絡(luò)安全性的首要工作是了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,拓?fù)涿枋鑫臋n并不總能反映最新的網(wǎng)絡(luò)狀態(tài)����,進(jìn)行一些實(shí)際的檢測(cè)是非常必要的。最簡(jiǎn)單的,可以通過(guò)Trackroute工具進(jìn)行網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)�����,但是一些網(wǎng)絡(luò)節(jié)點(diǎn)可能會(huì)禁止Trackroute流量的通過(guò)����。在了解了網(wǎng)絡(luò)拓?fù)渲螅瑧?yīng)該獲知所有計(jì)算機(jī)的網(wǎng)絡(luò)地址和機(jī)器名��。對(duì)于可以訪問(wèn)的計(jì)算機(jī)�����,還應(yīng)該了解其正在運(yùn)行的端口����,這可以通過(guò)很多流行的端口發(fā)現(xiàn)工具實(shí)現(xiàn)。當(dāng)對(duì)整個(gè)網(wǎng)絡(luò)的架構(gòu)獲得了足夠的認(rèn)知以后����,就可以針對(duì)所運(yùn)行的網(wǎng)絡(luò)協(xié)議和正在使用的端口發(fā)現(xiàn)網(wǎng)絡(luò)層面的安全脆弱點(diǎn)了。通常使用的方法是對(duì)協(xié)議和端口所存在的安全漏洞逐項(xiàng)進(jìn)行測(cè)試��。
安全領(lǐng)域的很多專(zhuān)家都提出邊界防御已經(jīng)無(wú)法滿足今天的要求�����,為了提高安全防御的質(zhì)量,除了在網(wǎng)絡(luò)邊界防范外部攻擊之外�,還應(yīng)該在網(wǎng)絡(luò)內(nèi)部對(duì)各種訪問(wèn)進(jìn)行監(jiān)控和管理。企業(yè)組織每天都會(huì)從信息應(yīng)用環(huán)境中獲得大量的數(shù)據(jù)����,包括系統(tǒng)日志、防火墻日志�����、入侵檢測(cè)報(bào)警等�����。是否能夠從這些信息中有效的識(shí)別出安全風(fēng)險(xiǎn)�,是風(fēng)險(xiǎn)管理中重要一環(huán)。目前的技術(shù)手段主要被應(yīng)用于信息的收集�����、識(shí)別和分析��,也有很多廠商開(kāi)發(fā)出了整合式的安全信息管理平臺(tái)����,可以實(shí)現(xiàn)所有系統(tǒng)模塊的信息整合與聯(lián)動(dòng)。
數(shù)據(jù)作為信息系統(tǒng)的核心價(jià)值��,被直接攻擊和盜取數(shù)據(jù)將對(duì)用戶(hù)產(chǎn)生極大的危害����。正因?yàn)槿绱耍瑪?shù)據(jù)系統(tǒng)極易受到攻擊�����。對(duì)數(shù)據(jù)庫(kù)平臺(tái)來(lái)說(shuō)�����,應(yīng)該驗(yàn)證是否能夠從遠(yuǎn)程進(jìn)行訪問(wèn)�,是否存在默認(rèn)用戶(hù)名密碼,密碼的強(qiáng)度是否達(dá)到策略要求等�。而除了數(shù)據(jù)庫(kù)平臺(tái)之外,數(shù)據(jù)管理機(jī)制也應(yīng)該被仔細(xì)評(píng)估��。不同級(jí)別的備份措施乃至完整的災(zāi)難備份機(jī)制都應(yīng)該進(jìn)行有效的驗(yàn)證��,不但要檢驗(yàn)其是否存在安全問(wèn)題�����,還要確認(rèn)其有效性。大部分?jǐn)?shù)據(jù)管理產(chǎn)品都附帶了足夠的功能進(jìn)行安全設(shè)定和數(shù)據(jù)驗(yàn)證��,利用這些功能可以很好的完成安全評(píng)定工作并有效的與安全策略管理相集成�����。攻擊者的一個(gè)非常重要目的在于無(wú)需授權(quán)訪問(wèn)某些應(yīng)用���,而這往往是獲得系統(tǒng)權(quán)限和數(shù)據(jù)的跳板����。事實(shí)上大部分的安全漏洞都來(lái)自于應(yīng)用層面��,這使得應(yīng)用程序的安全評(píng)定成為整個(gè)工作體系中相當(dāng)重要的一個(gè)部分�����。與更加規(guī)程化的面向體系底層的安全評(píng)定相比��,應(yīng)用安全評(píng)定需要工作人員具有豐富的安全知識(shí)和堅(jiān)實(shí)的技術(shù)技能���。
4 結(jié)束語(yǔ)
目前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作�,在測(cè)試數(shù)據(jù)采集和處理方面缺乏實(shí)用的技術(shù)和工具的支持��,已經(jīng)成為制約我國(guó)風(fēng)險(xiǎn)評(píng)估水平的重要因素�����。需要研究用于評(píng)價(jià)信息安全評(píng)估效用的理論和方法�����,總結(jié)出一套適用于我國(guó)國(guó)情的信息安全效用評(píng)價(jià)體系���,以保證信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確可靠��,可以為風(fēng)險(xiǎn)管理活動(dòng)提供有價(jià)值的參考����;加強(qiáng)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估隊(duì)伍建設(shè)���,促使我國(guó)信息安全評(píng)估水平得到持續(xù)改進(jìn)�����。
參考文獻(xiàn):
[1] 陳曉蘇����,朱國(guó)勝,肖道舉.TCP/IP協(xié)議族的安全架構(gòu)[N].華中科技大學(xué)學(xué)報(bào),2001���,32-34.
[2] 賈穎禾.國(guó)務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組.信息安全風(fēng)險(xiǎn)評(píng)估[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用��,2004(7)��,21-24.
[3] 劉恒,信息安全風(fēng)險(xiǎn)評(píng)估挑戰(zhàn)[R],信息安全風(fēng)險(xiǎn)評(píng)估與信息安全保障體系建設(shè)研討會(huì),2004.10.12.
[4] [美]Thomas A Wadlow.網(wǎng)絡(luò)安全實(shí)施方法.瀟湘工作室譯.北京:人民郵電出版社��,2000.
[5] 張衛(wèi)清,王以群.網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[J].情報(bào)雜志,2006(1)����,40-45
[6] 趙戰(zhàn)生,信息安全風(fēng)險(xiǎn)評(píng)估[R],第全國(guó)計(jì)算機(jī)學(xué)術(shù)交流會(huì),2004.7.3.
第7篇
【關(guān)鍵詞】數(shù)據(jù)通信���;網(wǎng)絡(luò)維護(hù)����;網(wǎng)絡(luò)安全�;問(wèn)題分析
服務(wù)器虛擬化的互感器加密等級(jí)越高,其信息平臺(tái)防擴(kuò)散效果越好�����。采用位串描述檢測(cè)器對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的模式匹配進(jìn)行檢測(cè),從而提高網(wǎng)絡(luò)安全的防護(hù)等級(jí)����。強(qiáng)化對(duì)于技術(shù)人員計(jì)算機(jī)網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全管理意識(shí)的培養(yǎng)�,操作人員應(yīng)該運(yùn)用計(jì)算機(jī)多進(jìn)制的通信加密方式,對(duì)繁雜的信息大數(shù)據(jù)進(jìn)行傳輸和有效處理�����,實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)的遠(yuǎn)程操縱�,保證服務(wù)器虛擬加密過(guò)程不受外界的攻擊。
1數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析
由于網(wǎng)絡(luò)中由于高速運(yùn)行的過(guò)程中����,往往會(huì)產(chǎn)生一些漏洞,這些漏洞一般是由病毒攻擊導(dǎo)致的��。如果出現(xiàn)無(wú)人照看的安全漏洞系統(tǒng)進(jìn)一步發(fā)展����,就會(huì)造成整個(gè)服務(wù)器癱瘓的嚴(yán)重問(wèn)題。提升數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)的安全性�,技術(shù)人員應(yīng)該定期對(duì)計(jì)算機(jī)病毒進(jìn)行查殺,防止非自體的不良數(shù)據(jù)信息入侵網(wǎng)絡(luò)系統(tǒng)����。建立更加安全的計(jì)算機(jī)網(wǎng)絡(luò)免疫系統(tǒng)����,對(duì)非自串進(jìn)行準(zhǔn)確識(shí)別��。在網(wǎng)站服務(wù)器搭建的過(guò)程中�,針對(duì)互聯(lián)網(wǎng)環(huán)境分配的情況不同,使用不同的IP段地址來(lái)保證信息傳播的安全�,或者使用劃分VLAN的形式,對(duì)網(wǎng)站信息碼流開(kāi)展有效的邏輯隔離���。
2數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)分析及網(wǎng)絡(luò)安全問(wèn)題探討
2.1運(yùn)用新的防護(hù)墻技術(shù)�,開(kāi)展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)
由于計(jì)算機(jī)網(wǎng)絡(luò)接入層中涉及到許多的硬件設(shè)備����,硬件條件的穩(wěn)定可靠決定了計(jì)算機(jī)網(wǎng)絡(luò)的可靠程度的高低?��?蓪⑾噜彽膬蓚€(gè)介入交換機(jī)進(jìn)行堆砌�,同時(shí)將終端的服務(wù)器設(shè)備整體介入到連接線路中���,再使用捆綁的形勢(shì)將諸多的設(shè)備形成一條效率更高���、性能更穩(wěn)定的虛擬鏈接�����。開(kāi)展數(shù)據(jù)通信網(wǎng)絡(luò)狀態(tài)分析���,網(wǎng)絡(luò)工程技術(shù)人員應(yīng)該運(yùn)用新的防護(hù)墻技術(shù)��,開(kāi)展網(wǎng)絡(luò)安全科學(xué)架構(gòu)建設(shè)����。運(yùn)用轉(zhuǎn)入性防火墻技術(shù)規(guī)則結(jié)構(gòu),開(kāi)展網(wǎng)絡(luò)訪問(wèn)界面的信息過(guò)濾探索���。并且�����,每一次登錄后臺(tái)系統(tǒng)���,必須要采用輸入安全密鑰的方式,才能夠順利進(jìn)入。采用此種登錄方式��,重點(diǎn)在于防止閑雜人員進(jìn)入系統(tǒng)的后臺(tái)�����,對(duì)網(wǎng)絡(luò)信息的系統(tǒng)安全造成破壞��。運(yùn)用新的防火墻技術(shù)對(duì)系統(tǒng)安全進(jìn)行防護(hù)����,網(wǎng)絡(luò)工程技術(shù)人員必須要使用安全操作允許的數(shù)據(jù)交換方式,進(jìn)行網(wǎng)絡(luò)后臺(tái)系統(tǒng)的層層加固�����。在轉(zhuǎn)入性防火墻的技術(shù)保護(hù)規(guī)則之下�����,用戶(hù)訪問(wèn)的時(shí)候需要提供本身的端口協(xié)議���,采用這種信息過(guò)濾技術(shù)�����,能夠?qū)⒉环弦蟮男畔⑦M(jìn)行過(guò)濾�。并且,將帶有安全隱患的信息端口自動(dòng)轉(zhuǎn)到其他的web控制臺(tái)進(jìn)行處理��。開(kāi)展網(wǎng)絡(luò)安全系統(tǒng)加固操作���,技術(shù)人員需要根據(jù)信息反饋進(jìn)行技術(shù)規(guī)則優(yōu)化�����。根據(jù)驗(yàn)證用戶(hù)提供的端口協(xié)議進(jìn)行分析����,并且建立更加符合操作要求的規(guī)則協(xié)議模塊�。為了更好的維護(hù)計(jì)算機(jī)安全��,必須要向廣大的人民群眾普及計(jì)算機(jī)故障排除和預(yù)防方法�����。從社會(huì)宣傳和預(yù)防的角度來(lái)說(shuō)����,首先要制定強(qiáng)有力的計(jì)算機(jī)內(nèi)部系統(tǒng)的法律法規(guī)���,加強(qiáng)大眾計(jì)算機(jī)常識(shí)性教育,通過(guò)多層網(wǎng)絡(luò)結(jié)構(gòu)有效地隔離各種故障����,簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行性,切實(shí)提高鏈接線路的使用效率和網(wǎng)卡介入水平�����。推行網(wǎng)絡(luò)文明和信息安全�����,運(yùn)用新的防護(hù)墻技術(shù)�,技術(shù)人員應(yīng)該對(duì)網(wǎng)絡(luò)信息安全操作允許的系統(tǒng)記錄和接口進(jìn)行加密,安全操作的訪問(wèn)權(quán)限應(yīng)該限制在網(wǎng)絡(luò)內(nèi)部人員中使用�。
2.2加強(qiáng)網(wǎng)絡(luò)環(huán)境信道測(cè)試,及時(shí)修復(fù)通信漏洞
采用信道測(cè)試的方式���,對(duì)當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行安全測(cè)試��,能夠及時(shí)地發(fā)現(xiàn)安全系統(tǒng)中的漏洞���,根據(jù)網(wǎng)絡(luò)系統(tǒng)中的安全隱患進(jìn)行修復(fù)��,從而顯著增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性���。在網(wǎng)絡(luò)性能測(cè)試活動(dòng)中,技術(shù)人員應(yīng)該采用數(shù)據(jù)電路測(cè)試的方式�,在DTE的兩端接口處,進(jìn)行信道測(cè)試�����。使用調(diào)制解調(diào)器進(jìn)行規(guī)程測(cè)試�,能夠顯著提升信道測(cè)試的有效性,從而有效排除數(shù)據(jù)電路測(cè)試中的信號(hào)干擾因素�。內(nèi)部系統(tǒng)盤(pán)盡量不要與外部信息端口隨意接入,在網(wǎng)絡(luò)運(yùn)營(yíng)中必須要進(jìn)行科學(xué)的網(wǎng)絡(luò)系統(tǒng)管理����,如果確實(shí)需要進(jìn)行外部端口接入時(shí),一定要對(duì)其進(jìn)行信息保障化處理���。從網(wǎng)絡(luò)安全防護(hù)體系建設(shè)出發(fā),顯著提升網(wǎng)絡(luò)系統(tǒng)的安全性�。對(duì)ACL訪問(wèn)方式進(jìn)行控制,采用信息過(guò)濾的方式�,對(duì)于不信任的訪問(wèn)進(jìn)行攔截�����,從而有效防范DOS攻擊���。使用IPSEC-VPN組網(wǎng)方式,對(duì)數(shù)據(jù)通訊系統(tǒng)的安全性進(jìn)行加固�,從而提升數(shù)據(jù)通訊系統(tǒng)的數(shù)據(jù)處理能力。將NAT地址進(jìn)行隱藏����,從而減少黑客攻擊的命中率。采用一系列的軟件升級(jí)新技術(shù)�����,對(duì)網(wǎng)絡(luò)環(huán)境安全進(jìn)行深度保障性建設(shè)����。
2.3重點(diǎn)防范木馬攻擊,建立嚴(yán)格的網(wǎng)路安全檢查制度
為了提升數(shù)據(jù)通信的工作效率����,維護(hù)網(wǎng)絡(luò)整體安全,技術(shù)人員應(yīng)該對(duì)WEB安全進(jìn)行防護(hù)�,重點(diǎn)防范可能存在的木馬攻擊�����。對(duì)于不明來(lái)歷的儲(chǔ)存卡和USB設(shè)備��,應(yīng)該禁止將其接入到內(nèi)部網(wǎng)絡(luò)中�����,防止出現(xiàn)數(shù)據(jù)系統(tǒng)感染問(wèn)題���。加強(qiáng)對(duì)于WEB系統(tǒng)的安全防范,經(jīng)常性地檢查內(nèi)部窗口是否處于正常的運(yùn)轉(zhuǎn)狀態(tài)�����,防止網(wǎng)頁(yè)被惡意篡改�����。通常多層網(wǎng)絡(luò)結(jié)構(gòu)中包括計(jì)算機(jī)的接入層��、操作室的核心層和內(nèi)部信息的分布層�����,從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理方面來(lái)看��,為了提高網(wǎng)絡(luò)的可靠性��,必須要對(duì)終端接入的可靠性進(jìn)行穩(wěn)定���。加強(qiáng)設(shè)備自身安全性建設(shè)�����,對(duì)系統(tǒng)進(jìn)行定期的檢查���,對(duì)于網(wǎng)絡(luò)系統(tǒng)的脆弱部分進(jìn)行定期的優(yōu)化與升級(jí)處理。建立能夠抵抗DOS和DDOS攻擊的數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)�。核心設(shè)備的訪問(wèn)方面,應(yīng)該采用管理員SSL加密登錄的方式����,實(shí)現(xiàn)業(yè)務(wù)與管理界面分離。并且登錄密碼應(yīng)該采用防破解設(shè)計(jì)方式��,采用固定密碼配合動(dòng)態(tài)密碼的方式�,提升密碼系統(tǒng)的安全性。
3結(jié)束語(yǔ)
為了適應(yīng)經(jīng)濟(jì)社會(huì)發(fā)展和辦公環(huán)境的需要,必須要采取合理有效的措施提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性.可以通過(guò)提高計(jì)算機(jī)網(wǎng)絡(luò)的可靠性�,注重計(jì)算機(jī)系統(tǒng)軟件升級(jí),運(yùn)用新的安全防護(hù)方式�����,實(shí)現(xiàn)網(wǎng)絡(luò)通信模式的升級(jí)��。
參考文獻(xiàn)
[1]郭建英.數(shù)據(jù)通信網(wǎng)絡(luò)維護(hù)與網(wǎng)絡(luò)安全問(wèn)題的探討[J].科技資訊,2011(26):9-9,11.
[2]石加歆.對(duì)通信網(wǎng)絡(luò)維護(hù)以及網(wǎng)絡(luò)的安全之我見(jiàn)[J].城市建設(shè)理論研究(電子版),2012(02).
[3]畢麗紅.基于LonWorks智能建筑實(shí)驗(yàn)系統(tǒng)網(wǎng)絡(luò)研究與設(shè)計(jì)[D].保定:華北電力大學(xué),2006.
