序論:在您撰寫安全網(wǎng)絡(luò)策略時(shí)�����,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文��,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
【關(guān)鍵詞】網(wǎng)絡(luò)安全�����;威脅風(fēng)險(xiǎn)����;安全漏洞;防范策略
引言
經(jīng)濟(jì)多元化發(fā)展的今天��,人們的生活越來越離不開信息網(wǎng)絡(luò)世界����,對(duì)網(wǎng)絡(luò)空間的安全也提出了更高的要求。網(wǎng)絡(luò)安全問題可以造成的嚴(yán)重危害有目共睹��,僅以2016年為例��,就有OpenSSL新型安全漏洞“水牢”威脅我國十余萬家網(wǎng)站���、315晚會(huì)上曝光不法分子利用公共WIFI漏洞盜取他人銀行賬戶資產(chǎn)�、俄羅斯黑客盜取2.7億郵箱賬號(hào)密碼并在黑市交易�����、山東臨沂準(zhǔn)大一新生徐玉玉因電信詐騙死亡、國家電網(wǎng)掌上電力及電e寶等App泄露大量用戶數(shù)據(jù)等重大網(wǎng)絡(luò)安全事件發(fā)生���。因此���,提高全民的網(wǎng)絡(luò)安全意識(shí)、普及網(wǎng)絡(luò)安全威脅防范知識(shí)已成為當(dāng)務(wù)之急�����。只有在全民做好防范應(yīng)對(duì)的前提下��,才真正能夠抵御來自于互聯(lián)網(wǎng)的絕大部分威脅和風(fēng)險(xiǎn)���,營造一個(gè)健康和諧、更好地為人類生活服務(wù)的網(wǎng)絡(luò)社會(huì)����。
1網(wǎng)絡(luò)安全三類威脅
根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)網(wǎng)絡(luò)安全信息與動(dòng)態(tài)監(jiān)測結(jié)果,2016年12月12日至12月18日�����,我國境內(nèi)被篡改網(wǎng)站數(shù)量達(dá)3438個(gè)(其中政府網(wǎng)站79個(gè))�;境內(nèi)被植入后門的網(wǎng)站數(shù)量達(dá)1614個(gè)(其中政府網(wǎng)站33個(gè))����;針對(duì)境內(nèi)網(wǎng)站的仿冒頁面數(shù)量達(dá)2486個(gè)��。境內(nèi)感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量達(dá)94.8萬����,其中包括被木馬或被僵尸程序控制主機(jī)72.8萬,感染飛客(conficker)蠕蟲主機(jī)22萬���;新增信息安全漏洞274個(gè)��,其中高危漏洞98個(gè)��。與前一周相比���,被篡改網(wǎng)站、仿冒頁面���、感染病毒主機(jī)����、新增信息安全漏洞等數(shù)量都在增加[1]����??梢?���,互聯(lián)網(wǎng)安全威脅普遍、大量存在���,而且有不斷增加的趨勢����。這些威脅依據(jù)安全三要素“人����、機(jī)�、環(huán)境”可分類為:人為威脅、計(jì)算機(jī)威脅和網(wǎng)絡(luò)威脅�。1.1人為威脅人為威脅[2]即由用戶非正常操作引起的威脅,包括:(1)無意識(shí)的操作失誤�����,如系統(tǒng)管理員安全配置不當(dāng)�、系統(tǒng)登錄口令強(qiáng)度太弱�、長時(shí)間離開未鎖定計(jì)算機(jī)�、重要賬號(hào)隨意轉(zhuǎn)借他人、下載運(yùn)行存在安全風(fēng)險(xiǎn)的軟件程序等����;(2)有意識(shí)的主動(dòng)攻擊,如通過釣魚郵件��、社會(huì)工程學(xué)等方法竊取重要數(shù)據(jù)信息����,或者利用病毒木馬傳播、惡意代碼植入���、拒絕服務(wù)攻擊等方式對(duì)系統(tǒng)和數(shù)據(jù)進(jìn)行篡改甚至破壞�。
1.2計(jì)算機(jī)威脅
計(jì)算機(jī)威脅主要是由計(jì)算機(jī)自身部署的軟硬件產(chǎn)生的威脅��,包括:(1)因操作系統(tǒng)����、數(shù)據(jù)庫或其他應(yīng)用系統(tǒng)未及時(shí)升級(jí)至最新版本導(dǎo)致存在可被利用的漏洞或者“后門”[3];(2)因需要提供某些特定服務(wù)而開啟相應(yīng)端口����,這些服務(wù)和端口同時(shí)也可能被攻擊者利用����;(3)因接入外部設(shè)備(如U盤��、攝像頭����、打印機(jī)等)導(dǎo)致敏感信息泄露或計(jì)算機(jī)被感染等問題。
1.3網(wǎng)絡(luò)威脅
網(wǎng)絡(luò)威脅是三類威脅中存在最廣泛���、危害性最強(qiáng)的���。互聯(lián)網(wǎng)上充斥著各種各樣�、不計(jì)其數(shù)的病毒、木馬和惡意代碼�,未作任何防護(hù)措施的計(jì)算機(jī)直接接入網(wǎng)絡(luò)中的危險(xiǎn)不言而喻�;網(wǎng)絡(luò)通信協(xié)議使得具有不同硬件架構(gòu)和操作系統(tǒng)的計(jì)算機(jī)能夠互聯(lián)互通,但許多早期協(xié)議在設(shè)計(jì)之初并未考慮網(wǎng)絡(luò)安全問題���,不可避免會(huì)存在安全隱患�����;除此之外��,互聯(lián)網(wǎng)中還遍布各種具有攻擊能力的網(wǎng)絡(luò)工具�,攻擊者可以操縱這些工具并結(jié)合一些攻擊命令實(shí)現(xiàn)各種攻擊目的,輕則竊取重要文件或造成目標(biāo)計(jì)算機(jī)運(yùn)行異常�����,重則完全控制目標(biāo)計(jì)算機(jī)甚至造成物理性嚴(yán)重破壞���。
2常用網(wǎng)絡(luò)安全防范策略
為有效防范上述網(wǎng)絡(luò)安全威脅��,結(jié)合生活生產(chǎn)實(shí)際����,常用且有效的一些應(yīng)對(duì)策略和措施包括以下方面�。
2.1完善用戶賬戶口令安全
包括操作系統(tǒng)(如Windows、Linux/Unix)��、數(shù)據(jù)庫(如SQLServer��、Oracle���、MySQL)����、中間件(如Tomcat、Weblogic�����、JBoss)����、遠(yuǎn)程連接和文件共享服務(wù)(如Ftp、Telnet�����、SSH)����、網(wǎng)絡(luò)設(shè)備(如網(wǎng)關(guān)、交換機(jī)���、路由器、攝像頭���、打印機(jī))等重要軟硬件資源的管理員口令都應(yīng)設(shè)置為大小寫字母�、數(shù)字及特殊字符的強(qiáng)組合,且應(yīng)達(dá)到一定長度并定期更換(如8位以上��、每3月更換)���。研究表明,暴力破解8位強(qiáng)組合口令的時(shí)間是8位純數(shù)字口令的7.2*107倍�,是6位強(qiáng)組合口令的9.2*103倍���,長度越長�、組合越復(fù)雜的口令被破解成功的概率將以指數(shù)級(jí)減小���。對(duì)于Windows操作系統(tǒng),應(yīng)特別注意禁用Guest來賓賬戶��,有為數(shù)不少的成功入侵案例就是利用這個(gè)賬號(hào)存在的漏洞來達(dá)到入侵目的��。為進(jìn)一步加強(qiáng)反入侵效果,還可以將系統(tǒng)默認(rèn)的管理員用戶名administrator修改為其他名稱���,同時(shí)再創(chuàng)建一個(gè)具有極小權(quán)限的administrator賬戶�,從而對(duì)攻擊者造成干擾和迷惑���,爭取時(shí)間組織有效防御。
2.2禁用不常用的端口
操作系統(tǒng)一般會(huì)默認(rèn)開放一些網(wǎng)絡(luò)服務(wù)��,如果確認(rèn)不會(huì)用到這些服務(wù)����,就應(yīng)該禁用服務(wù)對(duì)應(yīng)的端口�����,減少計(jì)算機(jī)暴露在網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)����。對(duì)于個(gè)人終端計(jì)算機(jī)�,可以禁用的常見端口包括:21(Ftp服務(wù))、23(Telnet服務(wù))��、80/8080(Http服務(wù))����、139/445(網(wǎng)絡(luò)共享服務(wù))、443(Https服務(wù))���、3389(遠(yuǎn)程連接服務(wù))等,這樣可以阻止相當(dāng)一部分網(wǎng)絡(luò)攻擊��。對(duì)于部署了數(shù)據(jù)庫和中間件的服務(wù)器計(jì)算機(jī)�,應(yīng)該更改以下默認(rèn)端口:1433(SQLServer)��、1521(Oracle)����、3306(MySQL)�����、7001(Weblogic)��、8080(Tomcat/JBoss)等��,達(dá)到在網(wǎng)絡(luò)中隱藏自身的目的�����。
2.3及時(shí)更新最新升級(jí)補(bǔ)丁
任何軟件系統(tǒng)都不可能是絕對(duì)安全的�����,總會(huì)被有意者發(fā)現(xiàn)新的安全問題,因此開發(fā)商需要不斷升級(jí)補(bǔ)丁和重大版本更新來修復(fù)和封堵漏洞�����,保持系統(tǒng)的安全性和穩(wěn)定性����。如果不及時(shí)更新至最新的版本����,就很容易被攻擊者利用已知漏洞獲得系統(tǒng)控制權(quán)限或致使系統(tǒng)癱瘓。因此��,應(yīng)定期檢要的軟件系統(tǒng)如操作系統(tǒng)�����、數(shù)據(jù)庫、中間件�、辦公軟件��、開發(fā)環(huán)境(如Java�、PHP)等是否存在重要升級(jí)補(bǔ)丁或重大版本更新�����,及時(shí)選擇合適的時(shí)機(jī)完成升級(jí)更新���,封堵來自于軟件本身的威脅����。
2.4部署安裝必要的安全軟、硬件
要保證計(jì)算機(jī)安全接入互聯(lián)網(wǎng)�����,以下安全軟件和硬件是必須部署安裝的:(1)防火墻/安全網(wǎng)關(guān)�����,用于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問控制�,過濾不安全的流量數(shù)據(jù)包���,禁用指定端口的通信和來自特定ip地址的訪問等[4];(2)防病毒軟件���,用于防范、攔截����、查殺、隔離計(jì)算機(jī)病毒�、木馬和惡意代碼��;(3)加密U盤��,用于防止他人在未通過身份鑒別的情況下直接獲取U盤中的文件數(shù)據(jù)����。企業(yè)級(jí)用戶還應(yīng)部署如下系統(tǒng)以達(dá)到更高的安全防護(hù)級(jí)別:(1)入侵檢測系統(tǒng)/入侵防御系統(tǒng)���,用于自動(dòng)檢測和防御來自外部網(wǎng)絡(luò)的可能的攻擊行為,并為網(wǎng)絡(luò)安全管理人員提供日志審計(jì)以追溯攻擊來源�����、識(shí)別較隱蔽的攻擊行為等��;(2)漏洞掃描系統(tǒng),通過掃描等方式檢測本地或遠(yuǎn)程計(jì)算機(jī)系統(tǒng)存在的安全脆弱性�,發(fā)現(xiàn)可被利用的安全漏洞隱患并提供相應(yīng)的修復(fù)和加固建議���;(3)災(zāi)備系統(tǒng)�����,用于對(duì)信息系統(tǒng)進(jìn)行數(shù)據(jù)、軟件和硬件備份����,使得在災(zāi)難發(fā)生導(dǎo)致系統(tǒng)損毀時(shí),能夠迅速�����、可靠地恢復(fù)到正常運(yùn)行狀態(tài)���。
2.5應(yīng)用加密技術(shù)存儲(chǔ)、傳輸文件
對(duì)于具有密級(jí)級(jí)別的文件資料����,如國家�、商業(yè)、企業(yè)的絕密���、機(jī)密和秘密文件,應(yīng)當(dāng)進(jìn)行加密存儲(chǔ)����,防止攻擊者在成功入侵獲得文件后輕易解讀�����。目前的加密存儲(chǔ)方式可分為硬件加密、軟件加密和智能加密三類���,其中使用最廣泛、最便捷的是軟件加密方式��,常見如壓縮軟件WinRAR提供的加密壓縮包功能�,以及一些專業(yè)加密軟件如“超級(jí)加密3000”�、“文件夾超級(jí)加密大師”、“隱身俠”等����。密級(jí)很高的文件不建議使用軟件加密�����,應(yīng)選擇安全性更高的硬件和智能加密方式。重要文件和信息在網(wǎng)絡(luò)中的傳輸也應(yīng)該進(jìn)行加密����。一些早期的網(wǎng)絡(luò)傳輸協(xié)議如ftp、telnet等均以明文方式傳輸信息�����,只要傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包被截獲�,所有信息都將徹底暴露��,毫無安全性可言�,也正因如此��,ftp和telnet服務(wù)已經(jīng)逐漸被相對(duì)安全得多的ssh服務(wù)所代替����。除了信息傳輸方式應(yīng)設(shè)置為密文外���,被傳輸?shù)奈募旧硪矐?yīng)當(dāng)加密�����,以防傳輸通道被劫持或中間節(jié)點(diǎn)服務(wù)器被控制導(dǎo)致文件被他人獲得后可無限制訪問。
3結(jié)語
第2篇
1.影響網(wǎng)絡(luò)信息安全的主要因素
1.1 導(dǎo)致互聯(lián)網(wǎng)脆弱性的原因��。
(1)網(wǎng)絡(luò)的開放性�,網(wǎng)絡(luò)的技術(shù)是全開放的�����,使得網(wǎng)絡(luò)所面臨的攻擊來自多方面����?����;蚴莵碜晕锢韨鬏斁€路的攻擊,或是來自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊�����,以及對(duì)計(jì)算機(jī)軟件�����、硬件的漏洞實(shí)施攻擊。
(2)網(wǎng)絡(luò)的自由性���,大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒有技術(shù)上的約束�,用戶可以自由的上網(wǎng)�,和獲取各類信息�。
1.2 安全管理困難性。
雖然安全事件通常是不分國界的�,但是安全管理卻受國家等多種因素的限制����。安全管理也非常復(fù)雜,經(jīng)常出現(xiàn)人力投入不足����、安全政策不明等現(xiàn)象���。擴(kuò)大到不同國家之間����,跨國界的安全事件的追蹤就非常困難�����。
2.網(wǎng)絡(luò)安全的主要技術(shù)
2.1 防火墻技術(shù)��。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成���、在內(nèi)部網(wǎng)和外部網(wǎng)之間�����、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障�。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合�����,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)��,從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入����。
2.1.1 網(wǎng)絡(luò)安全的屏障。
防火墻可通過過濾不安全的服務(wù)而減低風(fēng)險(xiǎn)��,極大地提高內(nèi)部網(wǎng)絡(luò)的安全性����。由于只有經(jīng)過選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過防火墻���,所以網(wǎng)絡(luò)環(huán)境變得更安全�����。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò),使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)����。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊��,如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑�����。防火墻能夠拒絕所有以上類型攻擊的報(bào)文,并將情況及時(shí)通知防火墻管理員���。
2.1.2 強(qiáng)化網(wǎng)絡(luò)安全策略���。通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令�、加密���、身份認(rèn)證等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比��,防火墻的集中安全管理更經(jīng)濟(jì)�����。例如����,在網(wǎng)絡(luò)訪問時(shí)��,一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上而集中在防火墻。
2.2 數(shù)據(jù)加密技術(shù)�。
2.2.1 常用的數(shù)據(jù)加密技術(shù)�。
目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。
2.2.2 數(shù)據(jù)加密技術(shù)的含義�����。
所謂數(shù)據(jù)加密(Data Encryption)技術(shù)是指將一個(gè)信息(或稱明文��,plain text)經(jīng)過加密鑰匙(Encryption key)及加密函數(shù)轉(zhuǎn)換,變成無意義的密文(cipher text)����,而接收方則將此密文經(jīng)過解密函數(shù)�、解密鑰匙(Decryption key)還原成明文���。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石��。
3.網(wǎng)絡(luò)安全具有的功能
3.1 身份識(shí)別。
身份識(shí)別是安全系統(tǒng)應(yīng)具備的基本功能��,身份識(shí)別主要是通過標(biāo)識(shí)和鑒別用戶的身份�����,防止攻擊者假冒合法用戶獲取訪問權(quán)限��。對(duì)于一般的計(jì)算機(jī)網(wǎng)絡(luò)而言��,主要考慮主機(jī)和節(jié)點(diǎn)的身份認(rèn)證,至于用戶的身份認(rèn)證可以由應(yīng)用系統(tǒng)來實(shí)現(xiàn)���。
3.2 存取控制。
存取控制規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)力�����。存取控制是網(wǎng)絡(luò)安全理論的重要方面�����,主要包括人員限制�、數(shù)據(jù)標(biāo)識(shí)��、權(quán)限控制��、類型控制和風(fēng)險(xiǎn)分析�。存取控制也是最早采用的安全技術(shù)之一�����,它一般與身份驗(yàn)證技術(shù)一起使用����,賦予不同身份的用戶以不同的操作權(quán)限,以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理��。
4.常見網(wǎng)絡(luò)攻擊方法
4.1 網(wǎng)絡(luò)中的安全漏洞無處不在�。即便舊的安全漏洞補(bǔ)上了�����,新的安全漏洞又將不斷涌現(xiàn)���。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊����。
第一:搜索
第二:掃描
第三:獲得權(quán)限
第四:保持連接
第五:消除痕跡
4.2 網(wǎng)絡(luò)攻擊的常見方法����。
(1)口令入侵
(2)電子郵件攻擊
(3)木馬程序
(4)漏洞攻擊
5.網(wǎng)絡(luò)安全應(yīng)對(duì)策略
(1)使用防火墻軟件
(2)提高網(wǎng)絡(luò)安全意識(shí)
(3)隱藏自己的IP地址
(4)備份資料
(5)提高警惕
我國面對(duì)網(wǎng)絡(luò)威脅采取的主要策略:
5.1 完善管理機(jī)制�����。
一個(gè)完善的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全方案至少應(yīng)該包括以下幾個(gè)方面:訪問控制、檢查安全漏洞����、攻擊監(jiān)控��、加密���、備份和恢復(fù)��、多層防御�����、建立必要的管理機(jī)制�����。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展�,計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)����、農(nóng)業(yè)和國防等方面的重要信息交換手段��,滲透到社會(huì)生活的各個(gè)領(lǐng)域����。因此���,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅���,采取強(qiáng)有力的安全策略,對(duì)于保障網(wǎng)絡(luò)的安全性顯得十分重要��。同時(shí)��,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段�����,新技術(shù)層出不窮����,其中也不可避免地存在一些漏洞�����,因此,進(jìn)行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況�����,及時(shí)升級(jí)���、完善自身的防御措施。
5.2 逐步消除網(wǎng)絡(luò)安全隱患���。
(1)每個(gè)人必須對(duì)其網(wǎng)絡(luò)行為承擔(dān)法律和道德責(zé)任是規(guī)范網(wǎng)絡(luò)秩序的一個(gè)重要準(zhǔn)則。
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)拓?fù)?�;防火墻��;路由器���;交換機(jī)�����;LAN���;網(wǎng)絡(luò)安全策略
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)24-5855-03
On the Hospital Network Security Policy
HUANG Shao-e
(Information Department of Songgang Hospital, Shenzhen 518105, China)
Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.
Key words: network topology; firewal; router; switch; VLAN; network security policy
隨著醫(yī)院業(yè)務(wù)的不斷發(fā)展���,其網(wǎng)絡(luò)系統(tǒng)[1]也經(jīng)歷了多年的不斷建設(shè)。在業(yè)務(wù)水平�、網(wǎng)絡(luò)規(guī)模不斷提升的同時(shí)��,網(wǎng)絡(luò)也變得越來越復(fù)雜����,而這種復(fù)雜對(duì)其安全性的挑戰(zhàn)也是越來越嚴(yán)峻���。OA業(yè)務(wù)系統(tǒng)對(duì)信息系統(tǒng)的依賴程度也越來越高����,信息安全的問題也越來越突出�。醫(yī)院計(jì)算機(jī)管理人員充分認(rèn)識(shí)到了安全保證對(duì)于業(yè)務(wù)系統(tǒng)的重要性��,采取了相應(yīng)的安全措施���,部署了一些安全設(shè)備發(fā)揮了積極的作用��。但是安全的動(dòng)態(tài)性�����、系統(tǒng)性的屬性決定了安全是一個(gè)逐步完善的整體性系統(tǒng)工程,需要管理��、組織和技術(shù)各方面的配合���。安全源于未雨綢繆����,隨著安全信息建設(shè)的逐步深入��,醫(yī)院立足于當(dāng)前系統(tǒng)環(huán)境,考慮到未來業(yè)務(wù)發(fā)展的趨勢決定對(duì)系統(tǒng)進(jìn)行安全體系建設(shè)����。在2009年初計(jì)劃投入建設(shè)我院信息安全保障體系[1-2],以增強(qiáng)我院的外網(wǎng)信息安全風(fēng)險(xiǎn)防范能力��。
下面就我院網(wǎng)絡(luò)改造前后安全問題進(jìn)行淺談����。
1 我院網(wǎng)絡(luò)未改造前現(xiàn)狀系統(tǒng)安全風(fēng)險(xiǎn)分析
未改造前我院外部網(wǎng)絡(luò)所面臨的主要問題:所面臨的主要問題可以細(xì)化為:① 員工有少數(shù)人上網(wǎng)進(jìn)行BT下載���,嚴(yán)重占用帶寬�,影響其他人的正常的互聯(lián)網(wǎng)訪問。② 內(nèi)網(wǎng)機(jī)器感染了病毒�����,沒有有效監(jiān)控措施快速找到感染病毒的機(jī)器���。③ 內(nèi)網(wǎng)網(wǎng)絡(luò)沒有做安全隔離�,服務(wù)器和客戶端沒有有效的隔離。④ 服務(wù)器區(qū)沒有任何的安全防護(hù)措施���,容易受到攻擊。⑤ OA院內(nèi)辦公系統(tǒng)��、數(shù)字多媒體圖書館等系統(tǒng)直接暴露于互聯(lián)網(wǎng)��,沒有任何安全防護(hù)措施����,很容易造成隱私信息的泄漏�����。
未改造前的網(wǎng)絡(luò)狀況拓?fù)浣Y(jié)構(gòu)如圖1所示�。
本單位辦公樓層分布:十層樓門診部(門診辦公+行政辦公)����、十層樓住院部�����、小樓層其他業(yè)務(wù)科室辦公樓���;
2 我院改造后的網(wǎng)絡(luò)系統(tǒng)安全策略[2-3]
通過以VLAN(Virtual Local Area Network)方式的配置管理技術(shù)����,在交換式以太網(wǎng)中�����,利用VLAN技術(shù)將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)VLAN邏輯子網(wǎng),實(shí)現(xiàn)不同網(wǎng)段邏輯隔離��,按照樓層與科室類別和安全等級(jí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)段實(shí)現(xiàn)分類管理��,有利于網(wǎng)絡(luò)的管理[4]和提高網(wǎng)絡(luò)利用率。
2.1 硬件改造架設(shè)
在文中重點(diǎn)解說USG防火墻防御能力[5]的網(wǎng)絡(luò)安全策略�。此次改造增加的設(shè)備有:H3C S1526交換機(jī)���、Cisco2800路由器和USG-600C防火墻。
2.1.1 USG防火墻的冗余措施
USG-600C防火墻作為網(wǎng)絡(luò)接入的冗余措施[6]�����,對(duì)數(shù)據(jù)流進(jìn)行精細(xì)的控制�。USG安全網(wǎng)關(guān)具有如下特點(diǎn):1)完善的訪問控制手段:IP地址過濾�����、MAC地址過濾�����、IP+MAC綁定��、用戶認(rèn)證����、流量整形�����、連接數(shù)控制等;2)IPS-堅(jiān)固的防御體系����;3)完善的攻擊特征庫:包括50多類�����,超過1800項(xiàng)的入侵攻擊特征�����;4)漏洞機(jī)理分析技術(shù),精確抵御黑客攻擊���、蠕蟲�、木馬�����、后門�����;5)應(yīng)用還原重組技術(shù):抑制間諜軟件����、灰色軟件����、網(wǎng)絡(luò)釣魚的泛濫���;6)網(wǎng)絡(luò)異常分析技術(shù):全面防止拒絕服務(wù)攻擊;7)業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù):文件感染病毒��、宏病毒�����、腳本病毒��、蠕蟲、木馬����、惡意軟件���、灰色軟件;8)實(shí)用的流量監(jiān)控系統(tǒng)NetFlow:歷史帶寬使用趨勢分析��、帶寬應(yīng)用分布���、帶寬使用實(shí)時(shí)統(tǒng)計(jì)����、IP流量排名等���;9)多種手段全面清除垃圾郵件:黑名單、白名單�����、可追查性檢查���、病毒掃描�、附件類型和附件大小過濾��、關(guān)鍵字過濾等���;10)精確的抗DoS攻擊能力:采用特征控制和異?��?刂葡嘟Y(jié)合的手段���,有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性�,阻斷絕大多數(shù)的DoS攻擊行為����;11)完善的P2P��、IM����、流媒體、網(wǎng)絡(luò)游戲和股票軟件控制能力�;12)強(qiáng)大的日志報(bào)表功能:可對(duì)防火墻日志��、攻擊日志�����、病毒日志、帶寬使用日志��、Web訪問日志�����、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志�、用戶登錄日志等進(jìn)行記錄�。
USG-600C防火墻支持IP與MAC地址綁定功能并提供了多種綁定手段[7]�,包括手動(dòng)綁定,自動(dòng)單主機(jī)綁定以及自動(dòng)多主機(jī)綁定能力。其IP與MAC地址綁定功能值得一提�,因ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂����,讓某些被欺騙的計(jì)算機(jī)無法正常訪問外網(wǎng)�����,讓網(wǎng)關(guān)無法和客戶端正常通信����。分析其原理如下:假設(shè)這樣一個(gè)網(wǎng)絡(luò)��,一個(gè)Hub或交換機(jī)連接了3臺(tái)機(jī)器�����,依次是計(jì)算機(jī)A,B��,C���。
A的地址為:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址為:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址為:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息��。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序����,來發(fā)送ARP欺騙包�。
B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答�,而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC�����,這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答���,就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。而且A不知道其實(shí)是從B發(fā)送過來的�����,A這里只有192.168.10.3(C的IP地址)和無效的DD-DD-DD-DD-DD-DD mac地址�。
欺騙完畢我們在A計(jì)算機(jī)上運(yùn)行ARP -A來查詢ARP緩存信息�。你會(huì)發(fā)現(xiàn)原來正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
從上面的介紹我們可以清楚的明白原來網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的���,也就是說雖然我們?nèi)粘Mㄓ嵍际峭ㄟ^IP地址,但是最后還是需要通過ARP協(xié)議進(jìn)行地址轉(zhuǎn)換���,將IP地址變?yōu)镸AC地址�。而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了�����,所以即使以后從A計(jì)算機(jī)訪問C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。
解決ARP欺騙的辦法就是進(jìn)行IP與MAC地址綁定����,由于每塊網(wǎng)卡的MAC地址都是固定的�����,經(jīng)過地址綁定后��,IP地址就與計(jì)算機(jī)或用戶(若每臺(tái)計(jì)算機(jī)的用戶固定)的對(duì)應(yīng)關(guān)系就固定了。也就是說�����,只有特定的主機(jī)才能使用特定的IP地址��,這就可以保證IP地址不被盜用��,同時(shí)也加強(qiáng)了內(nèi)部網(wǎng)絡(luò)IP不被隨便人為修改的計(jì)算機(jī)管理。
2.1.2 網(wǎng)絡(luò)主干設(shè)置
核心H3C S1526交換機(jī)為網(wǎng)絡(luò)的主負(fù)載�,樓層中心交換機(jī)為輔��,利用H3C S1526交換機(jī)來進(jìn)行VLAN端口劃分�,劃分了三個(gè)網(wǎng)絡(luò)區(qū)間�。這三個(gè)區(qū)間分別為VLAN 1��、VLAN 2和兩個(gè)VLAN的和集�。第一區(qū)間為VLAN 1,連接DDN專線出口, 包含門診部和住院部及其它樓層的獨(dú)立網(wǎng)絡(luò)段��;第二個(gè)為VLAN 2,連接ADSL出口��,該區(qū)間包含9樓行政辦公的獨(dú)立網(wǎng)段;第三個(gè)區(qū)間是前兩個(gè)區(qū)間的和集�,包含兩個(gè)網(wǎng)絡(luò)段�����,再細(xì)劃分兩個(gè)共享端口作為OA服務(wù)器端口���。
下面來看一下C1526交換機(jī)上VLAN的三大網(wǎng)段劃分如圖2所示���。
2.1.3 Cisco2800路由器設(shè)置
利用Console端口進(jìn)行配置,其 Cisco2800路由器端口設(shè)置如下:
Building configuration...
Current configuration : 2355 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Router
boot-start-marker
boot-end-marker
logging buffered 51200 warnings
enable password ********
username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
ip domain name
no ftp-server write-enable
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
interface Serial0/1/0
ip address 102.105.101.102 255.255.255.240
ip nat outside
encapsulation ppp
ip classless
ip route 0.0.0.0 0.0.0.0 102.105.101.101
ip http server
ip http authentication local
ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240
ip nat inside source list 1 pool NATOUT overload
ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable
access-list 1 permit 192.168.0.0 0.0.255.255
control-plane
banner login ^C
以上端口設(shè)置主要是完成OA服務(wù)器端口映射的功能�,到此步就完成了整個(gè)網(wǎng)絡(luò)硬件布置�����。下面就改造后的網(wǎng)絡(luò)安全體系進(jìn)行圖解。
2.2 新規(guī)劃改造后的網(wǎng)絡(luò)安全體系拓?fù)?/p>
新規(guī)則的網(wǎng)絡(luò)拓?fù)鋱D如圖3所示��。
3 結(jié)束語
綜上���,網(wǎng)絡(luò)安全是必須關(guān)注的問題���,但如何在網(wǎng)絡(luò)建設(shè)中對(duì)投入設(shè)備的選購是需要慎重考慮的�����。網(wǎng)絡(luò)擴(kuò)展包括設(shè)備交換容量的擴(kuò)展能力�����、端口密度的擴(kuò)展能力、主干帶寬的擴(kuò)展以及網(wǎng)絡(luò)規(guī)劃的擴(kuò)展能力�����,非專業(yè)防火墻是萬萬不能選購���,路由器和交換機(jī)也是要考慮其品牌和使用功能����,作為一個(gè)規(guī)模經(jīng)營醫(yī)療單位的信息管理員更是不能在選購硬件上少花功夫���,既要保證最大的安全性���,也要讓網(wǎng)絡(luò)在有限的條件下實(shí)施�����,從而做到資源上不浪費(fèi)�,技術(shù)上也不落后����。
參考文獻(xiàn):
[1] 劉旭旭.醫(yī)院計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)的設(shè)備部署[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2011,(Z1):106-108.
[2] 王穎,劉書恩.新醫(yī)改下醫(yī)院信息網(wǎng)絡(luò)的建設(shè)[J].醫(yī)學(xué)信息(中旬刊),2010(6):1581.
[3] 苗秋瑾.數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全隱患與防[J].數(shù)字技術(shù)與應(yīng)用,2009 (9):158-159.
[4] 朱彥斌.醫(yī)院信息化網(wǎng)絡(luò)建設(shè)與維護(hù)[J].醫(yī)療設(shè)備,2008(2):87-88.
[5] 沈永新.關(guān)于防火墻技術(shù)的研究與探討[J].福建電腦,2011,(1).
[6] 孫興文.個(gè)人防火墻系統(tǒng)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2009,(33).
第4篇
【關(guān)鍵詞】網(wǎng)絡(luò)信息安全�����;設(shè)計(jì);管理策略
企業(yè)在發(fā)展的過程中���,必然存在各種信息,有些信息可以對(duì)外公開公布����,社會(huì)公眾可以透過這些信息了解到企業(yè)的經(jīng)營狀況;有些信息則屬于企業(yè)的機(jī)密����,只有授權(quán)范圍之內(nèi)的少數(shù)人才能夠了解��,因?yàn)樗P(guān)系著企業(yè)的生死存亡�����。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)���、通訊技術(shù)的飛速發(fā)展,使信息的處理與傳遞以前所未有的速度進(jìn)行�����。企業(yè)想要在利用計(jì)算機(jī)網(wǎng)絡(luò)化提高自身管理水平的同時(shí)��,保證信息安全�,就必須對(duì)企業(yè)的網(wǎng)絡(luò)信息安全系統(tǒng)進(jìn)行設(shè)計(jì)與規(guī)劃���,科學(xué)構(gòu)建安全訪問系統(tǒng),以此來提高網(wǎng)絡(luò)信息安全��。
一、威脅網(wǎng)絡(luò)信息安全的因素
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷提高�����,非法訪問����、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級(jí)���。這也在客觀上需要企業(yè)提高網(wǎng)絡(luò)信息安全設(shè)計(jì)水平�,VPN、殺毒軟件���、數(shù)據(jù)加密、身份認(rèn)證以及防火墻技術(shù)在企業(yè)中得到推廣使用,在網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建上起到了一定的效果���,但是這些產(chǎn)品的功能相對(duì)分散���,相互的關(guān)聯(lián)性并不高�,整體效益并不是十分理想���。
(一)計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是指編程人員在計(jì)算程序中插入一些能夠破壞計(jì)算機(jī)功能的數(shù)據(jù)��,它能夠使計(jì)算機(jī)無法進(jìn)行正常使用����,并且能夠進(jìn)行自我復(fù)制的計(jì)算程序代碼或者計(jì)算機(jī)指令��。計(jì)算機(jī)病毒不能夠獨(dú)立存在�����,它只能夠寄生于其他程序里面�����,具有傳染性、隱蔽性�、破壞性的特點(diǎn)����。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,病毒種類在不斷升級(jí)���。當(dāng)今世界上的計(jì)算機(jī)活體病毒的各類,已經(jīng)達(dá)到了14萬之多�,傳播途徑主要有硬盤���、電子郵件以及依附于各種下載軟件之中。攜帶病毒的計(jì)算機(jī)只要運(yùn)行時(shí)�,滿足了病毒制造者預(yù)設(shè)的條件����,那么計(jì)算病毒就會(huì)爆發(fā),輕者文件丟失���、運(yùn)行速度減慢,重者則導(dǎo)致系統(tǒng)癱瘓�����、硬件損壞�。比如圖一�����,為CIH病毒發(fā)作時(shí)的情況��。
(二)黑客攻擊
提起黑客,我們都不陌生�,他們是一些熱衷于研究����、編寫程序的專才。其中有些人利用掌握的知識(shí)推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展�,但是也有一些人則利用這些技術(shù)罪犯��,獲取不正當(dāng)利益�����,比如進(jìn)入2002年���,網(wǎng)絡(luò)犯罪分子開始采用DDOS的手法對(duì)服務(wù)系統(tǒng)進(jìn)行攻擊,干擾在線商務(wù)����。在寬帶網(wǎng)絡(luò)環(huán)境下�,常見的攻擊方式主要有以下兩種:一是黑客發(fā)動(dòng)的�����,針對(duì)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)服務(wù)的DDOS攻擊;二是利用蠕蟲病毒進(jìn)行攻擊����,從而造成網(wǎng)絡(luò)流量迅速增加,最終導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備徹底崩潰�����。DDOS的攻擊對(duì)象主要有域名服務(wù)器��、網(wǎng)頁服務(wù)器以及郵件服務(wù)器,一旦受到DDOS的攻擊���,服務(wù)器則會(huì)被來自四面八方的海量信息所淹沒。網(wǎng)絡(luò)黑客的目的就是用大量的垃圾信息來阻礙服務(wù)器的正常對(duì)信息的處理�,然后借機(jī)切斷攻擊目標(biāo)的對(duì)外連線��。黑客經(jīng)常把網(wǎng)絡(luò)與“僵尸電腦”相連�����,然后將大量的查詢要求傳送到開放的DNS服務(wù)器中�,這些查詢信息則會(huì)偽裝成被海量信息攻擊的目標(biāo)傳出�,所以DNS服務(wù)器會(huì)把回應(yīng)信息傳到相應(yīng)的網(wǎng)址上去。傳統(tǒng)的身份認(rèn)證�����,外來攻擊者只是憑借獲取有關(guān)用戶身份憑證��,就能夠以任何一臺(tái)設(shè)備而進(jìn)入網(wǎng)絡(luò)。就算是最嚴(yán)密的認(rèn)證系統(tǒng)也很難對(duì)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)����。除此以外��,企事業(yè)單位的員工能夠通過任意一臺(tái)沒有經(jīng)過確認(rèn)設(shè)備����,以有效身份憑證進(jìn)入網(wǎng)絡(luò)系統(tǒng)���,導(dǎo)致木馬程序����、間諜軟件等惡意程序入侵系統(tǒng),對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)產(chǎn)生了嚴(yán)重威脅��。
(三)協(xié)議設(shè)計(jì)上存在著缺陷
互聯(lián)網(wǎng)是建立在TCP/IP協(xié)議上的����,這一協(xié)議在設(shè)計(jì)之初更偏重于效率����,而忽略了安全因素��,因此TCP/IP在設(shè)計(jì)之初����,就存在一定的缺陷�����。
1.安全策略不嚴(yán)謹(jǐn)。很多站點(diǎn)在防火墻的配置上增加了訪問的權(quán)限��,沒有考慮到這些權(quán)限可能被人利用�����,比如內(nèi)部員工濫用權(quán)限���,無意中為黑客留下了線索,一旦黑客入侵�,網(wǎng)絡(luò)維護(hù)人員往往毫無察覺��。
2.信息容易被人竊取����。多數(shù)企業(yè)互聯(lián)網(wǎng)上的流量都是沒有經(jīng)過加密的��,這就使文件在傳送的過程中很容易被人竊取。而且基于TCP/IP協(xié)議的很多應(yīng)用服務(wù)都不同程度的存在一些安全問題���,很容易被人利用。
3.配置過于復(fù)雜�。訪問控制的配置通常是十分復(fù)雜的�,這就非常容易造成配置上的錯(cuò)誤����,而形成了安全隱患。目前�,銀行之間在數(shù)據(jù)傳輸?shù)倪^程中�����,所采用的協(xié)議均是保密的����,這就提高了安全性��,防止網(wǎng)絡(luò)黑客的入侵����。當(dāng)然��,現(xiàn)階段我們還不能將TCP/IP與其實(shí)現(xiàn)代碼進(jìn)行保密處理����,因?yàn)檫@將不利于TCP/IP網(wǎng)絡(luò)的發(fā)展�����,但是銀行的這種處理方式可以為我們網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)拓寬一些思路����。
二�、網(wǎng)絡(luò)信息安全設(shè)計(jì)及管理策略
(一)網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)
網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)可以采用NetScreen-208防火墻設(shè)備��,這種設(shè)備是當(dāng)前國內(nèi)市場上功能較為齊全的防火墻產(chǎn)品�,它包括了8個(gè)自適應(yīng)10/100M以太網(wǎng)端口���,這些端口能夠把網(wǎng)絡(luò)劃分成為多個(gè)區(qū)域,從而把需要保護(hù)的區(qū)域與潛在的相分離�,在與網(wǎng)絡(luò)設(shè)備進(jìn)行連接時(shí)�����,這個(gè)設(shè)備的端口1與內(nèi)部網(wǎng)的主交換機(jī)相連接����,而端口2則與DMZ區(qū)相連接,端口3與因特網(wǎng)的路由器相連接��。
殺毒軟件可以采用瑞星網(wǎng)絡(luò)版軟件�����,這一軟件具有網(wǎng)絡(luò)管理功能�����,它主要是通過一個(gè)控制中心在整個(gè)網(wǎng)絡(luò)的內(nèi)部實(shí)現(xiàn)遠(yuǎn)程報(bào)警、智能升級(jí)以及遠(yuǎn)程管理等功能����,有效的監(jiān)管病毒入口如圖二�����。
(二)服務(wù)系統(tǒng)的設(shè)計(jì)
企業(yè)的內(nèi)部網(wǎng)站與數(shù)據(jù)庫服務(wù)系統(tǒng)�,依據(jù)信息的秘密等級(jí)�,主要分成應(yīng)用與非應(yīng)用兩種,同樣它們所依賴的服務(wù)器也可發(fā)分成與非兩類���。正如筆者描述的,服務(wù)器主要處理的是信息����,而非服務(wù)器主要處理的是非信息��。從安全等級(jí)考慮���,服務(wù)系統(tǒng)應(yīng)該是企業(yè)的重點(diǎn)保護(hù)對(duì)象�。因此����,我們可以在服務(wù)器前配置相應(yīng)的安全網(wǎng)關(guān)�����,其設(shè)計(jì)如圖三����。
用戶在訪問頻密信息時(shí)��,主要是基于HTTP協(xié)議�����,用戶在通過安全網(wǎng)關(guān)認(rèn)證之后,依據(jù)使用權(quán)限的不同�����,訪問的內(nèi)容也有所區(qū)別。用戶在訪問非信息時(shí)�,同樣是基于HTTP協(xié)議���,但是能夠直接進(jìn)入非服務(wù)器而獲取信息。
安全網(wǎng)關(guān)是服務(wù)器的關(guān)口���,同時(shí)也是用戶網(wǎng)絡(luò)身份認(rèn)證的中心���,用戶和服務(wù)器之間并沒有直接的相連���,這就有效避免了黑客對(duì)服務(wù)器的進(jìn)攻,保證了信息的安全�。
(三)訪問權(quán)限管理
在網(wǎng)絡(luò)信息安全系統(tǒng)中設(shè)置用戶角色�、用戶等級(jí)���、用戶權(quán)限等字段,加強(qiáng)訪問權(quán)限的管理與控制�����,并將數(shù)據(jù)信息根據(jù)企業(yè)的實(shí)際需要�����,劃分為不同的等級(jí)階段;根據(jù)實(shí)際用戶的崗位設(shè)置劃分為不同的角色�,網(wǎng)絡(luò)信息管理人員授予不同操作權(quán)限,劃分到不同的虛擬局域網(wǎng)之內(nèi)�,形成不同的安全區(qū)域����。
用戶則通過網(wǎng)絡(luò)查詢系統(tǒng)的有關(guān)信息�,使用HTTP協(xié)議與安全網(wǎng)關(guān)相連接�,經(jīng)過身份認(rèn)證之后���,再與服務(wù)器相連接���,最后進(jìn)行應(yīng)用系統(tǒng)。用戶在獲取信息時(shí)���,由應(yīng)用系統(tǒng)依據(jù)用戶的角色、權(quán)限進(jìn)行相應(yīng)的限制���。
(四)對(duì)傳遞的數(shù)據(jù)進(jìn)行加密
企業(yè)使用安全網(wǎng)關(guān)以后,與SSL建立通道�����,在這一安全通道上對(duì)用戶與服務(wù)器之間傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密�����,保證機(jī)密信息不會(huì)被泄露。加密的算法可以由用戶自己進(jìn)行選擇�����,這就增加了系統(tǒng)的靈活性����,可以滿足不同權(quán)限等級(jí)用戶的需要�。
三���、總結(jié)
綜上所述,隨著我國市場經(jīng)濟(jì)的快速發(fā)展以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及���,信息充斥著社會(huì)的每一個(gè)角落,不但真假難辨���,其中還隱藏著某種威脅。現(xiàn)階段����,影響我國網(wǎng)絡(luò)信息安全的因素有很多����,比如計(jì)算機(jī)病毒����;黑客攻擊�����;協(xié)議設(shè)計(jì)上存在著缺陷等等,而實(shí)現(xiàn)信息安全的設(shè)計(jì)也有很多,企業(yè)需要根據(jù)自身的發(fā)展的現(xiàn)狀�����,選擇相應(yīng)的信息安全設(shè)計(jì)方案��,相信通過我們的共同努力,網(wǎng)絡(luò)信息安全的管理與設(shè)計(jì)必將會(huì)翻開嶄新的一頁�。
參考文獻(xiàn)
[1]蘇玉召,趙妍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J].計(jì)算機(jī)與信息技術(shù),2006(05).
[2]戴啟艷.影響信息系統(tǒng)安全的主要因素及主要防范技術(shù)[J].中國科技信息,2010(06).
[3]林柏鋼.網(wǎng)絡(luò)與信息安全現(xiàn)狀分析與策略控制[J].信息安全與通信保密,2005(07).
[4]南溯.淺議計(jì)算機(jī)網(wǎng)絡(luò)維修和管理[J].電腦編程技巧與維護(hù),2010(04).
[5]張東生.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略探析[J].電腦編程技巧與維護(hù),2011(02).
[6]朱燕.虛擬機(jī)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),
第5篇
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)�;信息安全�����;控制技術(shù);防護(hù)策略
隨著互聯(lián)網(wǎng)的誕生以及計(jì)算機(jī)技術(shù)的逐漸成熟�����,信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證�����。信息網(wǎng)絡(luò)涉及國家的政治����、軍事以及文教等各個(gè)領(lǐng)域����,傳輸�����、處理和存儲(chǔ)著許多重要信息,難免吸引各國各地各種的人為攻擊�,所以����,計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)信息安全就顯得尤為重要��。
一���、網(wǎng)絡(luò)信息安全概述
網(wǎng)絡(luò)信息安全分為兩個(gè)層面,即網(wǎng)絡(luò)安全和信息安全。其中���,網(wǎng)絡(luò)安全包括諸如硬件平臺(tái)�����、操作系統(tǒng)及應(yīng)用軟件的系統(tǒng)安全以及運(yùn)行服務(wù)安全�����,即保證服務(wù)的連續(xù)性以及高效性�。信息安全主要是指數(shù)據(jù)方面的安全���,包括數(shù)據(jù)加密�����、備份���、程序等。網(wǎng)絡(luò)信息安全具體包含如下:
首先保證硬件安全�����,是指網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)硬件設(shè)施不受損害�,能夠正常工作。其次是軟件安全���,是指計(jì)算機(jī)及其網(wǎng)絡(luò)中的各類軟件不被篡改和破壞��,不被非法操作或者誤操作,功能不會(huì)失效�,不被非法復(fù)制����。第三是運(yùn)行服務(wù)安全�����,是指保證信息處理和傳輸系統(tǒng)的安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能夠正常的通過網(wǎng)絡(luò)交流信息���。通過對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備的運(yùn)行狀況監(jiān)測�,發(fā)現(xiàn)不安全的因素能夠及時(shí)報(bào)警��,保持網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行��。最后是存儲(chǔ)以及流通數(shù)據(jù)的安全,即數(shù)據(jù)安全����。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改��,不允許進(jìn)行非法增刪����、解密��、顯示、使用復(fù)制等操作�。它側(cè)重于防止和控制非法�����、有害的信息進(jìn)行傳播后的后果����。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э亍?/p>
二��、網(wǎng)絡(luò)信息安全控制技術(shù)
第一,生物識(shí)別技術(shù)�。人的指紋��、聲音、容貌�、視網(wǎng)膜、掌紋等等�����,這些都是人的生物特征�����,是很難進(jìn)行復(fù)制操作的��。尤其是指紋的唯一性、穩(wěn)定性和再生性都讓人們對(duì)用其來作為信息安全的驗(yàn)證方式有著極大的興趣?����,F(xiàn)在����,人們對(duì)于視網(wǎng)膜等生物特征在信息安全方面的技術(shù)也有了很大的進(jìn)步�����。生物識(shí)別技術(shù)相比原先傳統(tǒng)的身份驗(yàn)證方法再可復(fù)制性方面有了很大程度的提高����。
第二,防火墻技術(shù)�。所謂防火墻就是運(yùn)用綜合的網(wǎng)絡(luò)技術(shù)來在被保護(hù)的網(wǎng)絡(luò)和外網(wǎng)之間形成一道技術(shù)上的屏障,將私人的網(wǎng)絡(luò)和外部的網(wǎng)絡(luò)分開了����,以保護(hù)私人信息的不被竊取,對(duì)于預(yù)防難以預(yù)測的�����、具有潛在破壞性的不軌信息入侵有著極好的防護(hù)作用����。
第三���,數(shù)據(jù)加密技術(shù)。所謂數(shù)據(jù)加密技術(shù)就是按照已經(jīng)確定好的密碼進(jìn)行運(yùn)算��,將不希望被別人知道的數(shù)據(jù)信息轉(zhuǎn)變成為不知道密碼的人難以識(shí)別的密文再進(jìn)行傳輸����,而收到信息的人也只有知道密碼算法的人才能夠?qū)⒚芪脑僖淮蔚霓D(zhuǎn)變成為明文從而得知該數(shù)據(jù)中所包含的信息。
第四�����,入侵檢測技術(shù)�。入侵檢測技術(shù)的出現(xiàn)就是為了能夠保證計(jì)算機(jī)系統(tǒng)中信息的安全,能夠及時(shí)的發(fā)現(xiàn)并且報(bào)告使用者計(jì)算機(jī)系統(tǒng)中出現(xiàn)的一些未授權(quán)或者異常的現(xiàn)象的一種信息技術(shù)���,是用來檢測互聯(lián)網(wǎng)中是否出現(xiàn)了違反信息安全的行為的一種技術(shù)�。
第五,安全漏洞掃描技術(shù)���。對(duì)系統(tǒng)漏洞的檢測和系統(tǒng)安全方面的風(fēng)險(xiǎn)評(píng)估技術(shù),因?yàn)樗軌蝾A(yù)先知道系統(tǒng)中可能存在風(fēng)險(xiǎn)的地方和這些地方繼續(xù)存在下去會(huì)對(duì)系統(tǒng)可能造成的危害這一特殊的功能而為幾乎所有的計(jì)算機(jī)用戶所青睞��。
第六���,安全審計(jì)技術(shù)。安全審計(jì)技術(shù)就是使用一種或者集中不同的安全檢測工具,也就是掃描器�,預(yù)先掃描出系統(tǒng)中存在漏洞的地方,對(duì)系統(tǒng)存在安全漏洞的地方進(jìn)行檢查����,將系統(tǒng)的薄弱環(huán)節(jié)給出報(bào)告���,并且提供相對(duì)應(yīng)的解決方法來增強(qiáng)計(jì)算機(jī)系統(tǒng)的安全方面的措施。
三�、網(wǎng)絡(luò)信息安全的防護(hù)策略
第一����,物理安全策略。物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)����、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害���、人為破壞和搭線攻擊。對(duì)于計(jì)算機(jī)操作系統(tǒng)��、數(shù)據(jù)庫以及服務(wù)系統(tǒng)也要進(jìn)行相應(yīng)的查缺補(bǔ)漏,然后再對(duì)這些系統(tǒng)進(jìn)行進(jìn)一步的安全加固���,尤其是對(duì)有著關(guān)鍵業(yè)務(wù)的服務(wù)器更加應(yīng)該要建立起嚴(yán)格的��、有效的審核機(jī)制����,最大限度的保證相關(guān)部分的信息安全��。如果對(duì)計(jì)算機(jī)中的操作系統(tǒng)、服務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)�����、網(wǎng)絡(luò)協(xié)議等部分存在的漏洞不及時(shí)的發(fā)現(xiàn)并且補(bǔ)救�����,所帶來的安全問題則會(huì)是像黑客入侵���、系統(tǒng)缺陷、非法訪問��、病毒等等一系列的安全方面的隱患。
第二���,訪問控制策略�。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略�。它首要的任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全��、保護(hù)網(wǎng)絡(luò)資源的重要手段���。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用,但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一�。
第三���,加密防御策略。對(duì)于互聯(lián)網(wǎng)中所可能存在的不良操作的入侵的檢測系統(tǒng)是包含在信息安全系統(tǒng)中的��,其中防火墻就相當(dāng)于是計(jì)算機(jī)系統(tǒng)入口的保安�����,能夠按照我們預(yù)先的設(shè)定進(jìn)行有效的判斷�,將合乎規(guī)則的操作指令給予放行,而那些惡意的�、帶有病毒等等的危害性數(shù)據(jù)或操作阻擋在計(jì)算機(jī)系統(tǒng)之外,保護(hù)計(jì)算機(jī)的信息安全���。
第四�,網(wǎng)絡(luò)安全管理策略��。網(wǎng)絡(luò)安全管理策略包括:制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度���,制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施���;確定安全管理等級(jí)和安全管理范圍等。利用身份認(rèn)證和用戶權(quán)限劃分手段作為單位安全網(wǎng)內(nèi)網(wǎng)計(jì)算機(jī)信息系統(tǒng)安全保密管理的技術(shù)支撐平臺(tái)�����,結(jié)合單位安全網(wǎng)內(nèi)網(wǎng)系統(tǒng)對(duì)其中所涉及的各類用戶的實(shí)際權(quán)限劃分,以及對(duì)網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)管理設(shè)計(jì)規(guī)劃����,在技術(shù)支撐平臺(tái)的基礎(chǔ)上來分析單位安全網(wǎng)內(nèi)網(wǎng)系統(tǒng)對(duì)網(wǎng)絡(luò)基礎(chǔ)、安全信息的安全管理需求�,制定完善的安全保密管理制度和管理策略信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理
總之,計(jì)算機(jī)網(wǎng)絡(luò)中的信息安全問題對(duì)于國計(jì)民生都是十分重要的一個(gè)部分���,這就需要我們在了解了互聯(lián)網(wǎng)的信息安全安全的控制技術(shù)和特征的基礎(chǔ)上�,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)施建設(shè)����,提高網(wǎng)絡(luò)安全技術(shù)等防護(hù)措施,最大限度的保證互聯(lián)網(wǎng)的信息安全��。
參考文獻(xiàn):
[1]梁毅����,莫彬,李云祥��,韋燕萍.網(wǎng)絡(luò)環(huán)境下農(nóng)業(yè)科技信息安全與對(duì)策研究[J].農(nóng)業(yè)網(wǎng)絡(luò)信息��,2008���,(12)
第6篇
關(guān)鍵詞:安全策略;企業(yè)網(wǎng)絡(luò);訪問控制
中圖分類號(hào):TN915.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 06-0000-00
Enterprise Network Design Based on Security Policy
Yang Haojun
(CNPC International(Sudan)Khartoum Refinery Co.Lts.,Beijing100101,China)
Abstract:The security and the function are pair of contradictory relations,security threat from the network is the actual existence,the network security is the question which must first solve.This article discuss enterprise network design method of security policy angle,by time well distributed security and opening relations,thus realizes“safely as far as possible”enterprise network.
Keywords:Security policy;Enterprise network;Access control
一�����、企業(yè)安全網(wǎng)絡(luò)體系
企業(yè)安全網(wǎng)絡(luò)體系應(yīng)包含:
(1)訪問控制,通過對(duì)特定網(wǎng)段�、服務(wù)建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。
(2)檢查安全漏洞,通過對(duì)安全漏洞的周期檢查,即使攻擊可到達(dá)攻擊目標(biāo),也可使絕大多數(shù)攻擊無效。
(3)攻擊監(jiān)控,通過對(duì)特定網(wǎng)段��、服務(wù)建立的攻擊監(jiān)控體系,可實(shí)時(shí)檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)。
(4)加密通訊,主動(dòng)的加密通訊,可使攻擊者不能了解、修改敏感信息�。
(5)認(rèn)證,良好的認(rèn)證體系可防止攻擊者假冒合法用戶�����。
(6)備份和恢復(fù),良好的備份和恢復(fù)機(jī)制,可在攻擊造成損失時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)����。
(7)多層防御,攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo)�����。
(8)隱藏內(nèi)部信息,使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。
(9)設(shè)立安全監(jiān)控中心,為信息系統(tǒng)提供安全體系管理����、監(jiān)控,維護(hù)及緊急情況服務(wù)�。
二、企業(yè)安全網(wǎng)絡(luò)設(shè)計(jì)
(一)鏈路層安全設(shè)計(jì)
鏈路的安全通過網(wǎng)絡(luò)加密機(jī)實(shí)現(xiàn),保證數(shù)據(jù)在鏈路上安全傳輸。加密機(jī)為易受攻擊的公共和私有網(wǎng)絡(luò)連接提供數(shù)據(jù)私密性和訪問控制的硬件設(shè)備����。它使用國際認(rèn)可的DES或3DES算法,可以靈活地選擇接口模塊部署在各網(wǎng)絡(luò)中��。加密機(jī)進(jìn)行集中控制和管理,加密機(jī)在運(yùn)行時(shí)對(duì)安全環(huán)境中的網(wǎng)絡(luò)和終端用戶來說是完全透明的,使用加密機(jī)后,加密的用戶數(shù)據(jù)和任何其他未加密的數(shù)據(jù)一樣在網(wǎng)絡(luò)中傳輸。
(二)網(wǎng)絡(luò)層安全設(shè)計(jì)
(1)防火墻安全設(shè)計(jì)
考慮到防火墻對(duì)帶寬的影響,采用較為先進(jìn)的流過濾防火墻,能夠減少帶寬的損失�。流過濾防火墻顧名思義檢測的是一個(gè)信息流,針對(duì)的是二層的對(duì)象。在檢測過程中就減少一層拆包的時(shí)間,這樣就減少了帶寬的占用率。防火墻的安全保護(hù)是通過對(duì)端口實(shí)施安全策略,使得網(wǎng)絡(luò)安全得到安全保護(hù)�����。
(2)安全域設(shè)計(jì)
根據(jù)國家等級(jí)保護(hù)的區(qū)域劃分要求,企業(yè)網(wǎng)絡(luò)系統(tǒng)根據(jù)業(yè)務(wù)特性和安全要求劃分成不同的區(qū)域,并確定安全保護(hù)等級(jí)。如:
外部互聯(lián)域:為實(shí)現(xiàn)與政府機(jī)關(guān)、業(yè)務(wù)合作伙伴進(jìn)行安全有效的信息交換,連接政府機(jī)關(guān)網(wǎng)�、業(yè)務(wù)合作伙伴網(wǎng)的出口路由設(shè)備所在區(qū)域。
系統(tǒng)管理域:包括網(wǎng)絡(luò)管理子域和安全管理子域��。網(wǎng)絡(luò)管理子域?yàn)楸Wo(hù)網(wǎng)絡(luò)設(shè)備的安全運(yùn)行而提供的集中的安全服務(wù)。安全管理子域?yàn)檎麄€(gè)信息系統(tǒng)提供集中的安全服務(wù)����。
系統(tǒng)維護(hù)域:包括第三方現(xiàn)場維護(hù)子域���、本地維護(hù)子域和第三方隔離服務(wù)子域。第三方現(xiàn)場維護(hù)子域用于第三方維護(hù)單位的現(xiàn)場維護(hù)而設(shè)置的特定接入?yún)^(qū)域����。
(3)IPS安全設(shè)計(jì)
IPS作為一種積極主動(dòng)安全的防護(hù)技術(shù),它試圖發(fā)現(xiàn)入侵者或識(shí)別出對(duì)計(jì)算機(jī)的非法訪問行為,并對(duì)其進(jìn)行隔離��。IPS提供了對(duì)內(nèi)部攻擊��、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
(4)服務(wù)器設(shè)計(jì)
隨著企業(yè)信息化的進(jìn)展,員工越來越多的訪問互聯(lián)網(wǎng),也會(huì)帶來一些安全隱患�。這些問題會(huì)對(duì)企業(yè)網(wǎng)造成一定影響,降低工作效率,引發(fā)嚴(yán)重的安全事故��。建議采用在每個(gè)區(qū)域網(wǎng)絡(luò)中心部署服務(wù)器,來提高互聯(lián)網(wǎng)訪問速度和解決安全控制問題�。
(三)物理層安全設(shè)計(jì)
物理層的安全既包括對(duì)設(shè)備的保護(hù),比如防雷擊,防潮等,也包括防止人為的無意或惡意的破壞。因此,在硬件上要有符合應(yīng)對(duì)各種自然災(zāi)害的標(biāo)準(zhǔn)的專業(yè)機(jī)房,在軟件上要有高可靠的門禁系統(tǒng)等安全措施來進(jìn)行認(rèn)證,在制度上要制定詳細(xì)的安全章程,提高相關(guān)人員的安全意識(shí),責(zé)任落實(shí)到人,這三者相輔相成,環(huán)環(huán)相扣,缺一不可���。
(四)路由器級(jí)安全控制
在保證數(shù)據(jù)信息的安全性的同時(shí),必須考慮到路由器自身的安全性。如果路由器本身失去安全保護(hù),那么前面所做的一切都是徒勞的,安全措施如下:
(1)修補(bǔ)操作系統(tǒng)自身的漏洞�����。同PC機(jī)的操作系統(tǒng)一樣,網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)也存在著各種漏洞,成為潛在的威脅,需要及時(shí)對(duì)其升級(jí)���。
(2)符合安全規(guī)則的密碼����。進(jìn)行口令保護(hù),用戶登錄路由器必須經(jīng)過口令的認(rèn)證;其次,利用口令授權(quán),將不同的權(quán)限等級(jí)與不同的口令進(jìn)行關(guān)聯(lián),對(duì)用戶進(jìn)行等級(jí)的劃分,通過減少超級(jí)用戶來減少不安定因素;再次,對(duì)口令進(jìn)行加密,以避免口令在網(wǎng)上以明碼的方式進(jìn)行傳輸,同時(shí)避免配置文件以明碼的方式顯示口令���。
(3)系統(tǒng)缺省服務(wù)的威脅����。網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)也存在著為不少的缺省服務(wù),這些服務(wù)存在著潛在的威脅,應(yīng)根據(jù)企業(yè)需要,關(guān)閉不必要的服務(wù),將安全風(fēng)險(xiǎn)盡可能降低���。
(4)審計(jì)功能的缺乏���。良好的系統(tǒng)日志和審計(jì)功能是安全中重要的一環(huán),通過日志可以了解入侵的手段等寶貴資料,對(duì)于運(yùn)維與安全防范來講是必不可少的�����。
三����、結(jié)束語
基于安全策略的網(wǎng)絡(luò)設(shè)計(jì)是安全設(shè)計(jì)和網(wǎng)絡(luò)設(shè)計(jì)的有機(jī)結(jié)合,是安全、管理�、技術(shù)和產(chǎn)品的相互支撐,只有設(shè)計(jì)好安全策略才會(huì)有良好的企業(yè)網(wǎng)絡(luò)。但安全與開放是一對(duì)矛盾,如何協(xié)調(diào)矛盾則需要深入研究企業(yè)特點(diǎn)和網(wǎng)絡(luò)技術(shù)的發(fā)展�����。
參考文獻(xiàn):
[1]武駿,程秀權(quán).網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原則.中國電信網(wǎng),2008
第7篇
關(guān)鍵詞:計(jì)算機(jī)�����;網(wǎng)絡(luò)安全;安全策略
中圖分類號(hào):G632 文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1002-7661(2014)11-335-01
一��、計(jì)算機(jī)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)
算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)����,這些威脅可以歸結(jié)為3大類,一是對(duì)網(wǎng)絡(luò)設(shè)備的威脅��,二是在網(wǎng)絡(luò)中對(duì)業(yè)務(wù)處理過程的威脅���,三是對(duì)網(wǎng)絡(luò)中數(shù)據(jù)的威脅��。因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與人們的現(xiàn)實(shí)經(jīng)濟(jì)生活關(guān)系日益密切���,影響計(jì)算機(jī)網(wǎng)絡(luò)的因素也很多�����,有些因素可能是有意的���,也可能是無意的��;可能是人為的�,可能是非人為的,這些威脅��,或早或晚�����、或大或小����,都會(huì)轉(zhuǎn)化為對(duì)人們現(xiàn)實(shí)經(jīng)濟(jì)生活的威脅。
二�、常用的網(wǎng)絡(luò)安全技術(shù)防護(hù)措施
L、防火墻技術(shù)
防火墻技術(shù)構(gòu)建安全網(wǎng)絡(luò)體系的基本組件�����,通過計(jì)算機(jī)硬件和軟件的組合來建立起一個(gè)安全網(wǎng)關(guān)���,實(shí)現(xiàn)了被保護(hù)對(duì)象和外部系統(tǒng)之間的邏輯隔離��,從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵�����。防火墻的組成可以表示為:防火墻=過濾器+安全策略+網(wǎng)關(guān)���,它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)之一��。在. Internet上��,通過它來隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接�,但不防礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問�����。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)���,從而完成僅讓安全�����、核準(zhǔn)的信息進(jìn)入�,同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)進(jìn)入的任務(wù)���。
2、網(wǎng)絡(luò)加密技術(shù)
網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一�����。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)���,而且也是對(duì)付惡意軟件的有效方法之一�����。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)��、文件�、口令和控制信息����,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密���,端點(diǎn)加密和節(jié)點(diǎn)加密三種�����。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全��;端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)���;節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)����。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式
3���、身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)
身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程����。用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線�����。用戶注冊時(shí)首先輸入用戶名和口令�,服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法���,才繼續(xù)驗(yàn)證用戶輸入的口令���,否則,用戶將被拒之網(wǎng)絡(luò)之外���。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上���,口令長度應(yīng)不少于6個(gè)字符��,口令字符最好是數(shù)字���、字母和其他字符的混合,用戶口令必須經(jīng)過加密�,加密的方法很多,其中最常見的方法有:基于單向函數(shù)的口令加密�����,基于測試模式的口令加密�,基于公鑰加密方案的口令加密,基于平方剩余的口令加密���,基于多項(xiàng)式共享的口令加密�,基于數(shù)字簽名方案的口令加密等�����。經(jīng)過上述方法加密的口令���,即使是系統(tǒng)管理員也難以得到它����。用戶還可采用一次性用戶口令,也可用便攜式驗(yàn)證器(如智能卡)來驗(yàn)證用戶的身份�。
網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號(hào)使用、訪問網(wǎng)絡(luò)的時(shí)間���、方式�。用戶名或用戶帳號(hào)是所有計(jì)算機(jī)系統(tǒng)中最基本的安全形式����。用戶帳號(hào)應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”���、用戶可以修改自己的口令����,但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個(gè)方面的限制:最小口令長度����、強(qiáng)制修改口令的時(shí)間間隔、口令的唯一性�、口令過期失效后允許入網(wǎng)的寬限次數(shù)��。
用戶名和口令驗(yàn)證有效之后����,再進(jìn)一步履行用戶帳號(hào)的缺省限制檢查��。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點(diǎn)�、限制用戶入網(wǎng)的時(shí)問�、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對(duì)交費(fèi)網(wǎng)絡(luò)的訪問“資費(fèi)”用盡時(shí)��,網(wǎng)絡(luò)還應(yīng)能對(duì)用戶的帳號(hào)加以限制���,用戶此時(shí)應(yīng)無法進(jìn)入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源���。網(wǎng)絡(luò)應(yīng)對(duì)所有用戶的訪問進(jìn)行審計(jì)。如果多次輸入口令不正確�,則認(rèn)為是非法用戶的入侵,應(yīng)給出報(bào)警信息�。
4、網(wǎng)絡(luò)監(jiān)控技術(shù)
網(wǎng)絡(luò)管理員對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施監(jiān)控��,服務(wù)器記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問�,對(duì)非法的網(wǎng)絡(luò)訪問�,服務(wù)器以圖形或文字或聲音等形式報(bào)警��,以引起網(wǎng)絡(luò)管理員的注意���。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)����,網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)�,如非法訪問的次數(shù)達(dá)到設(shè)定數(shù)值,那該帳戶將被自動(dòng)鎖定���。
5���、網(wǎng)絡(luò)病毒防治技術(shù)
在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力����。CIH病毒及愛蟲病毒就足以證明如果不重視計(jì)算機(jī)網(wǎng)絡(luò)防病毒,那可能給社會(huì)造成災(zāi)難性的后果���,因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)�����。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測����,工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮����,從方便管理人員的能�,在夜間對(duì)全網(wǎng)的客戶機(jī)進(jìn)行掃描,檢查病毒情況�����;利用在線報(bào)警功能�,網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí)���,網(wǎng)絡(luò)管理人員都能及時(shí)知道����,從而從管理中心處予以解決�����。
三、網(wǎng)絡(luò)安全管理策略
在計(jì)算機(jī)網(wǎng)絡(luò)安全中�����,除了上述物理安策略和網(wǎng)絡(luò)技術(shù)安全防護(hù)措施外���,加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全管理���,制定有關(guān)規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)的安全�����、可靠地運(yùn)行也是至關(guān)重要的�����。
計(jì)算機(jī)網(wǎng)絡(luò)安全管理策略包括:確定安全管理等級(jí)和安全管理范圍��;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度��;制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等��。
參考文獻(xiàn):
[1] 田園.網(wǎng)絡(luò)安全教程[M].北京:人民郵電出版社,2009.
