时间:2023-09-20 18:19:26
导语:在安全网络建设的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:智慧城市;智慧徐州;网络安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。
徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。
网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。
1 网络安全建设
由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:
1.1 安全的网络结构
安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。
1.2 访问控制安全
当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。
在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。
1.3 审计安全
安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。
网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。
1.4 检查边界的完整性
为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。
实现边界完整性检查的相关技术:
1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;
2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。
1.5 入侵防范
网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。
1.6 恶意代码防范
在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。
1.7 网络设备的安全防护
网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。
网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。
对于网络设备,应进行相应的安全加固:
1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。
2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。
3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。
4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。
5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。
2 网络安全防护
边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。
区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。
节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。
3 网络高可用
在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。
4 数据安全
4.1 数据安全建设
数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。
对于资源共享平台系统的数据安全及备份恢复要求如下:
1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;
2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;
3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。
4.2 数据安全加密传输(VPN)
针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。
4.3 数据交换过程的安全保障
平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。
4.4 数据交换接口安全设计
平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。
5 安全管理体系建设
在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。
完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。
5.1 安全策略
安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。
安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。
在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。
5.2 安全组织
由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
5.3 安全制度
智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。
参考文献:
[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.
[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.
[3] 赵军.信息安全体系下的东营智慧城市建设研究[J].中国安防,2014(9):84-89.
【关键词】 新技术 烟草 网络安全 建设 管理
在计算机和互联网的帮助下,烟草企业内部的订单交易、货款支付等均变得更为方便,然而在实际网络建设以及管理工作当中经常发现,企业内部的网络存在安全问题,严重影响了企业的生产运营安全。因此本文将在以物联网为基础,简要分析新技术发展环境下的烟草网络安全建设与管理。
一、影响烟草网络安全建设和管理的原因
1、自然原因。所谓的自然原因指的是在烟草企业内部网络设备例如路由器、电子计算机等因质量问题或操作不当等原因出现故障,或是因为停电、火灾等自然原因导致数据损毁、丢失。除此之外,网络中节点多元异构性和多样性,电池在网络节点中的实际续航能力,以及网络设备耐高温、抗寒冷能力等也会对烟草网络安全建设与管理造成一定的影响,而由于自然原因很难进行提前预估和判断,因此管理和建设安全网络中的困难和阻碍也比较多[1]。
2、信息传输。在传输网络数据的过程当中,数据很有可能未得到有效的加密保护,在无线模式或是广播等方式下,信息在传输过程中可能会遭受黑客的非法入侵,通过非法破解网络秘钥,强行入侵企业内部网络;除此之外还有可能信息数据在中途遭到拦截阻断,路由协议等遭到私自篡改,某些黑客或企业竞争对手为窃取烟草企业内部数据、非法获取重要信息,还有可能会采取伪造虚假路由信息等方式,这同样严重影响了企业网络安全。
3、隐私泄露。在物联网下,烟草网络系统中使用大量的电子标签与无人值守设备,而设备一旦遭到劫持将直接导致企业内部隐私信息和机密文件大量泄漏,还有可能不法分子在用户登录的界面当中安装追踪软件,对用户的登录信息和浏览记录等隐私信息进行恶意追踪,从而进行非法勾当。物联网只有具备极强的安全性和可靠性才能够有效保护内部隐私信息的安全[2]。
4、自身缺陷。企业内部的网络建设本身存在一定的安全漏洞,即使是在新技术不断发展进步的当下,仍然没有设计出一款绝对安全的网络系统,任何一种网络当中或多或少会存在一定安全漏洞,特别是在遭受黑客的非法入侵、木马病毒等恶意攻击下,网络系统中的重要信息可能遭到损毁和破坏,甚至有可能导致整个系统崩盘。因此物联网自身若缺乏安全稳定性将为黑客等不法分子以及木马病毒的入侵提供了可乘之机。
二、物联网下的烟草网络安全建设与管理
1、安全路由协议。物联网平台下的烟草企业网络安全建设与管理工作中,各网络节点中均有属于自己的路由协议与算法,因此需要以具体的路由算法为基础对安全协议进行划分,譬如说根据位置信息建立地理路由或根据数据信息建立层次式路由等等,尽量弥补路由的安全漏洞,以免发生丢失或损毁而导致企业蒙受损失。2、隐私信息处理。在物联网技术的应用下,烟草网络系统在采集和传输隐私信息的过程当中必须注重保障其安全性,防治隐私信息被中断拦截或遭到恶意篡改与窃取。因此可以在网络系统中增添基本的定位功能,利用电子地图、卫星信号或手机移动信号等进行位置确定,采用位置伪装技术如将IP地址进行隐藏或时空匿名等方式对查询、阅览隐私信息进行全方位安全保护。3、访问认证控制。在物联网下,用户在登录烟草网络系统时需要交换会话密钥用以确认申请者的真实身份,防止网络系统遭受不法分子的恶意攻击[3]。另外,还需要在网络系统当中加入信息认证功能,只有通过对对方真实身份信息进行确认之后才能够同意其访问申请,利用随机密钥预分布技术、公钥认证技术等物联网的认证机制,合法认证用户,确保网络系统的安全性[3]。4、采用密钥系统。烟草企业内部的财政报告、数据报表、发展规划等重要信息数据需要进行加密,从而有效确保信息数据的安全。在传输数据报告之前需要对其进行加密处理,在接收数据只有进行解密才可进行阅览和使用。在物联网技术下,可以采用VPN即虚拟专网保护远程节点,也就是说各网络节点中的通信节点在具体的网络结构当中使用密钥协商进行管理;也可以通过互联网密钥分配中心对密钥系统进行管理与分配,尽量使用复杂的密钥算法,提高其完全程度,并且将密钥的周期压缩至最低,即使已经截获部分密钥并进行破解,也无法生成新的密钥。
结论:总而言之,在新技术发展的环境之下,烟草企业的发展与互联网和电子计算机系统之间的关系越来越紧密,而在顺应社会和时代潮流,不断建设网络的过程中,烟草公司需要重点注意其安全性问题,通过定期对内部网络进行病毒查杀以及加密重要数据等,切实做好网络管理工作,有效保障企业内部生产运营安全。
参 考 文 献
[1]马强. 试谈烟草企业网络安全建设与管理方法[J]. 电脑编程技巧与维护,2016,08:93-94.
计算机安全的定义:
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
1.校园网目前存在的安全问题
1.1系统自身的安全隐患
任何系统都都可能存在缺陷,操作系统和网络软件也是有漏洞的,中职院校校园网中服务器操作系统基本上使用的是Windows 2003 Server。数据库服务器软件基本上使用的是Sql Server。客户端使用的是Windows XP,这些都是微软提供的软件,它们的漏洞几乎每隔几天都有新的被发现,如果我们的使用者不及时下载更新补丁,入侵者就可以根据扫描的结果进行攻击。
1.2计算机病毒的威胁
当今社会,计算机病毒和黑客攻击的威胁时刻影响着互联网,病毒制造者不断制造更隐蔽、破坏性更强的病毒。当校园网接入Internet后,受病毒感染的机会成倍增加。当校园网中任意一台机器感染上病毒,如果措施不当,极有可能会造成严重后果,轻则系统被破坏,重则大量资料被毁,甚至造成硬件的损坏。还有可能会在局域网内扩散,破坏网络资源,使整个网络的效率和作用急剧下降,直至造成校园网络系统的瘫痪。
1.3校园网安全管理有缺陷。
随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。
2.造成这些现状的原因
2.1网络安全维护的投入不足。
网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。
2.2盗版资源泛滥。
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。系统自动更新引起的电脑黑屏事件,就是因为Microsoft公司对盗版的XP、Win 7操作系统的更新作了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
2.3网络管理员责任心不强。
很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。
3.对策措施
为了提高校园网络的安全性,提出以下几点安全策略:
3.1安装系统补丁
现在校园网使用的操作系统基本上采用的是微软的产品,很多网络病毒都是利用微软的系统漏洞入侵个人电脑,进而在网络里进行传播。如果不及时更新系统补丁,病毒就可以利用这些漏洞进行入侵。但在目前,由于学校电脑大部分是处于公用状态,用户使用的时候不会太在意漏洞的修补,从而给了病毒和木马以可乘之机。建议学校网管人员安装补丁服务软件,如我校在校园网络中心部署的Windows Software Auto Update Services服务器,可以让用户直接从学校服务器上下载补丁进行安装,而不必从微软网站上更新,从而可以更快速、更安全的进行系统更新。
3.2安装全网杀毒软件
现在病毒传播速度很快,如果只装单机版的杀毒件,杀毒就比较棘手,需要一台一台的查杀。为了防止病毒在局域网内的感染,最好的办法是在校园网内安装网络杀毒软件,在学校网络中心配置网络版杀毒软件系统中心,负责管理校园网内所有主机节点的计算机。在各计算机节点分别安装杀毒软件的客户端。由管理员控制台负责对网络中所有客户端进行定时杀毒,及时升级杀毒软件的病毒库。并能定期的将杀毒软件的升级文件分发到各个客户端去,这样就能极大的减小病毒在网络内的传染。
3.3数据备份和恢复。
对于计算机而言,最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区,避免因重装系统造成数据丢失。重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取异地备份、光盘备份等多种方式。
3.4制定切实可行的网络安全管理制度。
为了确保整个网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理。主要包括以下几方面的内容:
(1)建立一个权威的信息安全管理机构,制定统管全局的网络信息安全规定;
(2)制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;
(3)对网络管理员进行专业知识和技能的培训,培养一支具有安全管理意识的网管队伍,使他们从技术上提高应对各种攻击破坏的能力;
(4)把网络信息安全的基本知识纳入学校各专业教育之中;
(5)对学校教师和其他人员进行信息安全知识普及教育;
主要功能模块划分
对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。
1设备管理
对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。
2事件分析
作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。
3策略管理
安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。
4级别评估
最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。
平台中的通信方法
要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。
1资源信息标准化
在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。
2格式标准化
对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。
3通信处理机制
对于通信接口而言,由不同厂家所提供的同类型设备之间的差异也比较大。所以,对于设备的运行状态信息,主要采用两种途径来获取:(1)通过标准的SNMP、WMI方式获得;(2)通过专用的Socket接口调用特定函数来获得。而对于网络运行中的安全事件,其获得途径也有两种:(1)通过专用Socket接口来获得;(2)将安全事件通过推送的方式发送到指定的安全管理设备。通过综合分析,本文平台主要采用独立的通信程序和集中设置调用的方法来获得安全资源信息,这样就可(1)以实现对安全设备管理的最有效支持。本文所采用方式的实现机制为:平台通过标准接口获取网络的安全资源信息,再通过通信程序的调用设置功能,对程序调用的时间间隔及其语法规范进行定义。
【 关键词 】 校园网;信息安全;网络技术,技术应用
On the Construction of Campus Network and Network Information Security
Luo Qiong
(Sichuan College of Chemical Technology SichuanLuzhou 646005)
【 Abstract 】 campus network is a local area network, LAN is one or several buildings in the computer, terminal, with a mass storage peripheral device, controller, display, as well as for connections to other network and use network connectors connected with each other, with a high speed for the purpose of the network ". With the development of computer technology and network technology, Internet has penetrated into all aspects of the school, the school has established a campus network, campus network construction to help students access to information, to help teachers in the teaching and research activities, helps improve teaching environment, conducive to the school to establish a good image, attract students, improve level of management and management efficiency.
【 Keywords 】 campus network; information security; network technology, technology application
0 前言
现代化信息社会里,要想建一流的学校,要想实现学校的科学高效管理,就必须将网络技术应用到日常教学管理中。校园网的主要应用范围大概分为几种情况:①从教师角度来说,帮助教师从网络中获取知识、帮助教师备课、丰富课堂教学内容;②从学生角度来说,校园网是学生学习的工具,是学生之间交流的工具,有利于学生学习文化知识和培养学生良好的人际沟通能力;③从学校后勤管理工作来说,校园网能够很好地服务于教学管理工作,无论是财务管理、行政管理还是人事管理等都离不开计算机,离不开网络技术;④从学校整体来说,校园网是一个媒介,是学校与外面沟通的窗口,是一个信息平台,在这个平台上既可以从校外获取各种信息,也可以向外各种信息。
1 校园网建设关键技术分析
校园网建设是一个系统工程,需要大量的软件和硬件,主要分为几方面。
网络协议技术:在校园局域网上用到的协议主要有ICP/IP协议、IPX/SPX协议等,协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送。
OSI网络体系结构:主要由应用层、表示层、会话层、运输层、网络层、数据链路层和物理层组成,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。
HTTP、FTP、Telnet协议。HTTP是用于分布式协作超文本信息系统的、通用的、面向对象的应用层协议。FTP是客户/服务器方式服务的各种规则所组成的集合,主要用来支持Internet文件传输。Telnet是采用客户/服务器模式的应用层协议,提供终端设备与面向进程接口的标准方法,Telnet应用广泛,功能强大,尤其适用于用户登录远端主机和允许用户执行远端主机命令这两方面,可以在有限的网络空间下获取无限的网络资源。
常用网络硬件设备:一般来说,网络设备有网卡、集线器、交换机等,这些设备按照一定的组合方式连接起来,在整个网络中分别发挥着自己的功能又同时存在着密切的联系。网卡是实现网络通讯的重要设备之一,它是计算机与网络的接口,选用网卡时要注意,网卡有很多种,不同类型的网络需要使用不同种类的网卡,如从校园网建设的实际应用情况来看,工作站网卡选择PCI总线的10M /100Mbit/s自适应网卡最适合。路由器主要分为软路由和硬路由,有静态的和动态的,路由器是校园网中不可缺少的设备,它的功能比较强大,主要用来将不同的网络物理分支和不同的通信媒介连接在一起及过滤和隔离网络数据流、控制和管理复杂的路径、在网络分支之间提供安全屏障层等功能,当数据流到达路由器后,路由器根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。服务器,校园网中的服务器有数据库服务器和服务器,学校里计算机数量众多而且集中,服务器的选择应该针对校园网特点,选择具有较大容量、较高处理速度和稳定性的大型服务器。
2 校园网建设思路
校园是一个特殊的网络环境,校园网的建设应该结合学校实际情况,进行详细规划。校园网的建设要体现分布式、开放式、安全可靠,维护简单等原则,重点是应用局域网技术以及多媒体技术为主的各种网络应用技术。
校园网建设的目的是为日常教学和后勤行政管理提供服务,不断提高教学管理水平,拓宽教师和学生的知识面,利用现代信息技术可以推动和改变传统的教学模式,加速教学方式的改革,改变传统的灌输式教育,改变以往老师讲、学生听,死记硬背的传统教学方式,实施以学生为主的教育教学方式。
校园网建设过程中,应该校园网的功能与作用,结合学校应注重硬件设备、软件跟上、“智件”超前、“潜件”保障,即“四件”平衡。其中“智件”是主题,是指富有文化知识的教师,“潜件”主要指服务于教学的各种保障措施。
校园网建设过程注重高效、避免重复浪费,校园网是一个复杂的系统工程,在建设之初就应该做好整体规划,使工程形成良性循环,保证各个环节成本最低,尤其是避免重复投资和不合理利用资源现象的发生,校园网建设过程中要尽量使用成熟技术,因为成熟技术既可以减少风险,又能做到性能稳定、实施快、见效快,维护更新更有保障。
3 校园网的信息安全现状及解决对策
3.1 校园网的信息安全现状
校园网本身存在“重技术、轻安全、轻管理”的倾向,在各种论坛、聊天室出现的不良言论无法用人工审核监督的方式有效解决,作为教育信息化基石和院校形象保障的校园信息安全问题不容乐观。加上院校各类应用系统的不断增加和扩充,网络中心等管理单位所维护并管理的服务器逐渐增多,特别是诸多的Linux服务器占据着许多重要应用,比如网站服务器、邮件服务器、解析服务器等,不同于Windows的界面化操作,Linux系统在提供稳定服务的同时对维护人员和维护工作都有较高的要求,从而导致必须为Linux服务器配备较多的技术人员和工作强度。
校园网连接的除了各级行政单位网络,还连接校内学生机,因此存在许多安全隐患,主要表现有校园网与 Internet 相连,存在着外网攻击的风险;来自校园网内部的安全威胁;接入校园网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。
3.2 针对校园网的信息安全所采取的解决对策
随着网络的高速发展,信息交流和共享的速度逐渐加快,网络不断出现新病毒,校园网存在很大安全隐患,如何更好地对计算机进行防护,如何保护校园网络的安全是计算机专业人员重点考虑的问题,与此同时,学校对网络信息安全问题越来越重视,纷纷建立了一套有效的网络安全机制,重点防范网络病毒、黑客攻击。通过瑞星防毒墙、瑞星网络安全预警系统、网络版杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求。
1)防毒墙的部署
在Internet与校园网内网之间部署了一台瑞星防毒墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。这样,通过 Internet 进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
2)瑞星网络安全预警系统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星网络安全预警系统,接入 Cisco 中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
3)瑞星网络版杀毒软件的部署
为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。
4)整体实现的主要功能
通过对大学校园网络的安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障大学校内部网络安全;实现对整个校园网病毒防范和查杀,有效防止病毒在校园网内的传播;保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险;控制内部和外部用户对校内各种应用系统的访问,有效保护内部各种应用服务器,例如防火墙允许外部访问特定的Mail Server和Web Server;提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指定统一的安全策略;提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。
4 结束语
校园网的发展对教育事业的发展起到了催化剂的作用,教育依托信息技术实现了教学与管理的信息化和现代化,校园网的建设提高了教师的教学水平,提高了学生的学习兴趣,提升了教育科研水平,大大增强了学校的综合实力。虽然,校园网络技术发展过程中遇到了很多网络安全考验和硬件维护等困难,但是只要采取合理的措施,杀毒软件及时更新,防火墙时时监护等,就一定能在最大程度上保证校园网的信息安全。
参考文献
[1] 官金安,傅德荣.“基于Internet/Intranet的学校CBE系统的建设”,电化教育研究,2000(2).
[2] 刘庆瑜.校园网中的网络安全问题浅谈[J].宁波大红鹰职业技术学院学报;2006年01期.
[3] 纪楠楠.浅析校园网络安全[J].商业经济,2007年09期.
[4] 厉晓华.高校网络安全管理模式的探索与实践[J].科技创新导报,2009年04期.
一、指导思想
以科学发展观为统领,以创新虚拟社会综合管控机制为目标,以国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和公安部《互联网安全保护技术措施规定》等有关法律、法规为依据,进一步加强我县互联网专线接入单位落实安全保护技术措施工作,夯实互联网基础管理,防范和减少各类违法犯罪活动,维护我县虚拟社会稳定和经济发展。
二、工作步骤
(一)自查排摸阶段(2011年8月10日-8月31日)。各互联网专线用户单位要依法落实互联网用户备案工作。未向公安机关备案联网使用情况的单位,确定专人向县公安局网络警察大队报备本单位联网使用情况(见附件一);已备案单位的网络情况如有变更,需及时向公安机关报备更新信息。各互联网专线用户单位要积极开展信息安全保护措施自查工作。仔细对照《方案》要求迅速开展自查和整改工作,认真填写自查回执(见附件二),于8月15日前将自查回执书面材料加盖单位公章后反馈至县公安局网络警察大队。
(二)组织实施阶段(2011年9月1日-2011年10月31日)。全县各互联网专线用户(含政府、企事业联网单位、社区、学校、宾馆酒店、休闲会所、餐厅、电子阅览室、图书馆)要于今年10月底前落实安全保护技术措施各项工作:1、建立安全管理组织,落实专门人员负责网络安全管理工作;2、建立和落实各项安全保护管理制度,建立完善网络安全事故应急处置和责任追究机制、涉网违法事件和网络安全事故通报机制;3、安装安全保护技术措施设备。各专线用户应在本单位网络与互联网的出入口加装前端监测系统并必须符合《互联网安全保护技术措施规定》的要求:(1)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的安全审计技术措施;(2)记录并留存用户注册信息并向报警处置中心上传数据;(3)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(4)具有至少60天的记录备份功能。按统一平台、统一标准、统一接口的要求,各非经营性互联网上网服务单位必须选择安装经省公安厅认证通过的网络安全产品(杭州迪普科技有限公司的UMC管理平台、上海新网程信息技术有限公司的网络警察V7.5、上海汉景信息科技有限公司的网路盔甲V7.5)。全县政府部门、事业单位的安全建设由县政府统一进行技术谈判,确定安全技术产品后供各建设单位选购安装。其他互联网专线用户单位要按本方案要求,落实专项建设资金,自主采购相关产品,确保按时、按要求完成建设任务。
(三)检查验收阶段(2011年11月1日-11月30日)。领导小组办公室对各镇(街道)、各部门工作进展情况进行检查验收,按完成的百分比进行排名并通报,并对安全责任和安全保护技术措施不落实的单位,要及时提出整改意见,限期整改。
三、工作要求
(一)加强领导。落实安全技术措施是防范网上有害信息传播,净化境内互联网环境的一项重要的基础工作,是加强互联网管理的一项重要任务。为加强组织领导,成立县互联网专线用户安全保护措施建设工作领导小组,由县委常委、常务副县长陈建良担任组长,县府办、县纪委、县委宣传部、县委政法委、县公安局、县财政局、县信息办为成员单位,领导小组下设办公室,地点设在县公安局。各级各部门要统一认识,高度重视,按照县政府的统一部署,结合工作实际,制定具体的实施方案,成立由主要负责人担任组长的领导小组和相关组织机构,切实加强组织领导和协调配合,认真开展安全保护技术措施建设工作。
(二)强化协作。各单位要迅速组织开展本单位落实安全保护技术措施情况的调查摸底和专项整改工作,依法履行安全保护职责,加强与县领导小组、县各电信运营商协调,研究本单位建设模式。同时要参照“谁主管、谁负责,谁使用、谁负责”的原则,根据方案要求,建立安全管理审计制度,建立完善安全保护技术措施。
通过下一代防火墙、态势感知检测响应、安全云端、安全运营平台,初步构建“网-端-云-平台”一体化框架进行风险控制闭环。框架中,下一代防火墙、态势感知检测响应等网络和端点安全设备持续采集网络和端点侧流量日志,安全云端和本地安全运营平台通过发现和关联流量日志中各类攻击威胁失陷标志,找出入侵攻击链,进一步在网络和端点侧进行控制处置,切断攻击链。
3.2建立初步的信任评估和控制机制
以上网行为管理和SSLVPN设备组件为基础,对接各类型终端,入网前基于设备状态和身份信息进行信任等级判定。并建立内部应用访问身份认证机制。下一阶段工作通过零信任技术建立更全面的访问前信息采集和持续评估能力,进一步打通网络、应用、数据访问的身份和信任判决及控制。
3.3建立本地化安全运营能力
基于安全运营平台,将全网终端威胁、网络攻击及业务系统安全通过大屏可视化的方式呈现,结合外部安全服务专家专属服务化的方式,实现了网络安全的闭环响应与处置,同时为内部人员提供信息安全知识与技能,沉淀本地知识经验库;基于安全运营平台分析结果进行决策,指导各部门开展网络安全工作;通过网络安全运营平台指导安全建设,提供安全策略优化指导,全面提升系统安全运营能力。
3.4构建针对未知威胁防控的人机共智能力
基于本地安全运营平台、下一代防火墙、态势感知检测响应等设备组件中人工智能算法,借助安全云端的全球威胁情报和安全大数据分析辅助,初步构建针对已知和未知Web攻击、僵尸网络、各类型病毒、漏洞利用、部分APT攻击和异常业务行为的检测识别能力。通过演练成果应用,实现了满足等级保护2.0合规要求,具备在实战化攻防对抗中抵御攻击、快速恢复能力,同时日常服务运维过程中对各类型业务和数据提供常态化安全防护。
4创新性与价值
信息系统安全建设基于自身信息化业务需求和网络安全监管法规要求,以“体系合规,面向实战,常态保护”为目标,“统筹风险,精益安全,持续推进,人机共智”为安全能力构建方向,逐步推进建设落地。规划建设过程,体现了以下几方面特色和优势:(1)体系化统筹,从高层要求、监管法规等业务和内外部需求出发,从风险、安全、推进、智能四方面,体系化地规划安全能力和落地过程[5]。(2)全面保障,整个建设理念和框架覆盖的保护对象从物理环境,到网络、主机、边界等各层面,并对各类型业务和场景具有普适性。(3)面向未来,利用人机共智的三位一体能力,以及阶段性演进的成熟度坐标,规划面向未来的能力演进体系。(4)有效落地,创新网络安全微服务架构,提升自动化管理效率,利用专家服务和辅助决策降低人员门槛,进一步通过可视化指标体系呈现安全建设绩效。
一、以账户为核心进行管理
1.一个用户、一个账户(One userOne account),全校一卡通。
2.账户灵活分组,赋予适当权限。
建教师组和学生组。将账户加入其中,分别赋予适当权限。
有时也面对临时目标设立虚拟工作组。
二、保证主干畅通,全网冗余设计,负载均衡
核心层采用高性能双并列主干交换机结构,一个链路失效后,快速将负载转移到集束的其他链路上,使网络正常运行。
采用HSRP,一个路由器不工作时,另一个可迅速接管,不至整个网络瘫痪,在第三层上实现路由容错、负载均衡、对用户通明。
三、合理设置和分配IP地址
1.静、动结合
重要的服务器、网关等少数设备为静态IP;其他机器通过DHCP服务器动态分配。
2.划分VLAN
为隔绝广播风暴,方便组内共享和教学,合理划分VLAN。
每个机房设一个VLAN,可用于教学广播系统授课、分发素材和控制。
每个教研组设一个VLAN,可访问组内共享的教案、课件等材料。
设置一管理VLAN,连在核心三层交换机上,配置ACL,只许管理VLAN和特定主机直接访问每一台机器,其他均过滤。在管理VLAN中设一无线接入端口,通过WPA-PSK(TKIP)加密链路,但出于安全考虑平时不开通。
四、设置VPN
1.LANtoLAN方式VPN
VPN网关上配输入输出过滤器,将VPN隧道数据流转发给VPN服务器,其他数据流按类型转发给相应的服务器,隧道使用IPSec提供安全保障。
2.客户到LAN方式VPN
采用SSL隧道安全协议。设置教师和学生公用VPN账号密码和并发数,Web登录后,仍要进行个人账户验证,才可访问。
开通专用管理员VPN账号,在进行证书认证后,可远程登录维护。
五、数据库的安全策略
1.采用分布式数据库
为减少校际间带宽的占用、便于管理,采用分布式,使数据库的存储和使用尽量在本校区内完成。
2.站点间相互信任、数据一致性维护、加密和备份
站点间通过Kerberos基于对称密码体制的双向身份验证协议来进行信任验证。
当多用户并发访问数据时,会产生丢失更新、读过时数据、读脏数据等问题,采用两段封锁协议可使并发调度策略串行化,避免带来的问题:如死锁,则强行撤销引起死锁的事务,数据库回滚。
分片设计上,遵循完备性、重构和不相交条件。
对敏感字段进行库内加密,常用于索引的字段明文存放。
数据库定期冷热备份,多用增量备份,建立日志和检查点,以便发生事务、系统或介质故障和病毒破坏时进行数据恢复。
六、防火墙配置
用ACL允许教师账户访问Inter―net,在规定时间以外拒绝学生账户访问Internet;对外过滤非法IP地址和协议,通过账户名口令登录。才能访问内部资源。
用服务器,分担部分用户认证,缓存设计大大分减了出校流量、冗余,使安全性和性能得以提高。
管理人员每天检查日志,及时发现异常进行处理。
七、防毒措施
用卡巴斯基的网络版进行实时监控定期查杀;每台PC上安装杀毒软件,定时升级,实时监控和查杀。
学生机房克隆前,母盘要保证无毒;中毒后可一键还原。
以上就是我校网络建设中安全策略和机制的设计实施情况,在实际运行和使用中不断改进取得了好的效果。
参考文献:
[关键词]IDC 网络安全 网络攻击 安全防御
[中图分类号]TP393[文献标识码]A[文章编号]1007-9416(2010)03-0000-00
1 绪论
互联网数据中心(Internet Data Center,下称IDC)是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的互联网新型业务。IDC不仅是一个服务概念,还是一个网络概念,它构成了网络基础资源的一部分,提供了一种高端的数据传输服务和高速接入服务,是以Internet技术体系作为基础,主要的特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。
IDC不仅要提供服务器硬件等设备的托管和快速的网络接入,还要提供对服务器的监管服务、有关网络的管理及服务品质保证,而且更重要的是要有高度安全可靠的机房网络环境。目前,网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争,成为一个没有硝烟的战场,这就要求我们对与Internet互连所带来的网络与信息安全性问题予以足够的关注,在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞,此外,我们还应该根据IDC的客户需求提供不同的安全服务。
2 网络及信息安全趋势
IDC中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等,不过,这些传统的网络安全措施有着很大的局限性,另外,蠕虫、病毒、DoS/DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度不断加快,留给人们响应的时间越来越短,用户来不及对入侵做出响应,已造成IDC内的服务器瘫痪。例如,某IDC用户因为长期被ARP蠕虫困扰,导致大量IDC用户的通信线路中断;某IDC用户托管在IDC机房的主机受到大规模的DDoS攻击而使业务长期严重受损;某IDC的电子商务用户因为其机器被黑客入侵导致大量业务数据流失。综合上述案例,并透过对国内多个地区的IDC(包括机房与用户)的安全调研,发现IDC用户存在的安全问题主要概括如下: ARP欺骗攻击、拒绝服务攻击、黑客攻击与后门/木马、蠕虫等。总体来看,网络攻击的动机从技术炫耀型转向利益驱动型,网络攻击的趋利性和组织性在继续加强,从而导致直接获得经济利益的恶意代码和攻击行为日益增加,大范围传播的恶意代码逐渐不再占据主流。
目前,随着各种网络恶意代码及网络攻击威胁的趋利性,应在互联网安全应急预案框架下,加强具体的处理流程规范制定,明确应急组织、网络运营商、用户、网络服务提供商 (ISP/ICP/IDC/域名注册商等)在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务,为事件处理提供必要的政策依据,并形成快速、有效的安全事件响应机制,是遏止各种网络事件继续增加的重要方面。
3 网络安全设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急 ,考虑到技术难度及经费等因素,我们采取以下安全策略 :
(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
(2)采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
(3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力 。
(4)建立分层管理和各级安全管理中心。
4 网络安全解决方案
DDoS(分布式拒绝服务)攻击由于易于实施、难于防御、难于追查等特点,已成为当前网络中流行的攻击方式,威胁与造成的损失日益增大。DDoS攻击不仅局限于单一目标,网络本身也逐渐成为DDoS攻击的牺牲品,网络链路、路由交换设备、运营商的DNS服务系统都不同程度的遭受了DDoS攻击的侵害。
对入侵行为的防御,防火墙是企业级安全保障体系的第一道防线,目前已经得到了非常广泛的应用,但是各式各样的攻击行为还是存在,这表明有某些攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。
想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。
入侵防御系统(IPS)实行在线部署,相对于入侵检测系统(IDS)旁路部署,实现了从IDS的被动防御到IPS主动防御的质变。入侵防御系统(IPS)可以保护防火墙等网络基础设施,对Internet出口带宽进行精细控制,防止带宽滥用;可以抵御来自Internet的针对DMZ(demilitarized zone,隔离区)区服务器的应用层攻击和来自Internet的DDoS攻击;可以抵御来自内网攻击,保护核心服务器和核心数据,提供虚拟软件补丁服务,保证服务器最大正常运行时间。入侵防御系统以透明串联方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决实际应用上的难题,进一步优化网络的风险控制环境。
未来,IDC市场的竞争将更加激烈。因此,如何在激烈的市场竞争中占据主动位置,已经成为IDC运营商们考虑的重点。显然,加强IDC中心网络安全,不仅使其IDC的管理和服务上升到了一个新的层次,走在了整个行业的前面,同时,也促进了整体信息社会的和谐发展。
[参考文献]
[1] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社.
[2] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社.
[作者简介]
购物车(0)