时间:2023-01-22 15:15:30
导语:在网络安全方案的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating System)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获Host Sensor Program用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP, UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
参考文献:
[1]吴若松:新的网络威胁无处不在[J].信息安全与通信保密,2005年12期
[2]唐朝京张权张森强:有组织的网络攻击行为结果的建模[J].信息与电子工程,2003年2期
关键词:企业网络;信息安全;安全方案构建
1 企业计算机网络安全方案的构建意义
目前,我国大中型企业信息化建设中的关键部分就是信息安全建设,解决信息安全问题有利于企业信息化建设工作的全面推进。企业信息安全建设的最终目的是要真正做到“防患于未然”,信息安全的有效性建设能够控制企业信息化建设的总体成本,为企业节约大量资金,实现资源优化配置。企业计算机网络安全建设工作要始终坚持等级保护理念,才能促进企业信息安全建设工作的稳步实施,保证企业信息管理系统的建设符合行业标准和政策规定,全面提升企业在激烈的市场竞争中的竞争力。
2 企业计算机网络安全的弱点和威胁
2.1 信息安全弱点
信息安全弱点与企业信息资源密切相关,信息安全弱点的暴露很有可能导致企业资产的严重损失。但是,信息安全弱点本身并不会为企业带来损失,只是在特定的环境下被非法者利用后才会造成企业资产损失,例如,企业信息系统开发过程中的脆弱性问题,管理员的管理措施问题等,这些信息安全弱点都为非法攻击者提供了非法入侵的可能。
2.2 信息安全威胁
信息安全威胁指的是对企业资产构成潜在性的破坏因素,信息安全威胁的产生包括人为因素和自然环境因素。信息安全威胁可能是偶然发生的事件,也有可能是人为蓄意制造的时间,包括信息泄露、信息篡改等,这些事件都会导致企业信息的可用性、完整性和保密性遭到破坏,属于对企业信息的恶意攻击。
2.3 网络安全事件
由于网络特有的开放性特点,造成了非法攻击、黑客入侵、病毒传播等海量安全事件发生,信息安全领域对于网络安全的研究也日益重视。根据大量网络安全事件分析来看,企业信息管理系统的应用设计存在着诸多缺陷和弊端,给情报机构的非法入侵提供了极大的可能性。由此,内容分级制度、脆弱性检测技术、智能分析技术已经广泛应用于企业信息系统开发过程中。
3 企业计算机网络安全存在的主要问题
⑴企业分部采用宽带拨号上网的方式与企业总部实现通信传输,这种落后的网络通信方式难以保证数据传输的安全性。企业信息安全级别较高的部门通过互联网实现数据传输的过程中,没有采取任何数据加密措施,非常容易造成数据信息的泄露和篡改,同时,企业信息管理系统的操作应用没有设置明确的管理人员,导致其他非法用户也可以入侵到企业内部网络中,对服务器数据进行窃取和篡改。以上两种网络安全问题都容易造成企业重要数据的泄露,甚至给企业带来不看估计的损失。
⑵随着企业网络规模的日益扩大,在网络边界如果仍然采用路由器连接企业内部网络和外部网络,已经无法适应飞速发展的网络互连技术。企业虽然可以在网络边界的路由器中设置访问控制策略,但是仍然存在来自互联网的各种非法攻击、IP地址攻击、ARP协议欺骗等问题,这表明了企业需要一善可靠的防火墙设备,来对企业网络的数据传输提供有效控制和保护。
⑶由于互联网技术的飞速发展,为企业提供了丰富的信息资源,除了企业日常运营需要使用网络资源,其他工作人员也有可能通过网络获取信息资源,例如使用迅雷、BT等软件下载视音频信息等,网络下载会占用企业大部分带宽资源,严重的会导致系统管理员无法对网络终端的访问情况进行有效管理,或者某一个计算机终端因下载感染病毒而引发ARP欺骗。
⑷随着互联网应用的日益普及,木马病毒的广泛传播,企业员工计算机使用水平参差不齐,不能保证对网络中的有害信息进行有效识别,由此导致了木马病毒在企业内部网络的感染和传播。因此,需要定期对企业数据传输的原始数据流进行病毒查杀和威胁分析,以此起到有害信息过滤的作用,使流入企业内部网络的数据信息能够安全可靠,真正降低企业信息安全风险。同时,企业可以采用网关防病毒产品,在企业内部网络与外部网络处进行隔离保护,当木马病毒出现时可以被拦截在企业内部网络之外,为企业提供可靠的安全边界保护。
4 企业计算机网络安全方案的构建实施
企业总部需要与企业分部,以及其他合作企业之间实现数据传输与交换,企业派往外地出差的员工也需要通过远程网络访问企业总部内网的信息管理系统,因此,不同用户企业总部内部网络的访问有着不同需求,企业必须具有安全可靠、性能较高、成本较低的网络接入方式。由于企业分部大部分与企业总部不在一个城市,在企业总部与企业分部之间铺设光缆线路是极为不现实的;如果租用专用光纤网络通信线路,高额的租赁费用会严重增加企业运营发展的经济负担;如果将企业总部内部网络的应用服务器映射在网关位置,虽然能够方面用户远程访问企业内部信息管理系统,但会给企业网络带来巨大的安全隐患。本文基于以上分析,本文选择利用VPN技术(虚拟局域网)在企业内部网络出口处,虚拟设置一条网络专线,以此将企业总部与企业分部网络进行有效连接,形成一个规模较大的局域网,真正实现了用户远程访问和接入。VPN技术不仅能够满足异地用户对企业总部网络信息管理系统的访问需求,而且充分保证了用户访问的安全性,避免了单点登录技术对企业整个网络构成的安全威胁。
企业在部署上网行为管理设备(SINFOR M5X00-AC)时,应该开启VPN功能,在企业总部内部网络的边界防火墙设备中进行端口映射,同时在企业分部网络中安装上网行为管理设备,并且与企业总部的上网行为管理设备共同利用VPN技术建立虚拟专用网络,在对数据信息进行加密后在互联网上传输。企业在构建虚拟专用网络时,只要在任何一端的连接管理设置中输入对方网络地址,VPN设备就可以自动进行虚拟局域网组建,网络中的任何计算机终端都可以通过虚拟专用网实现数据传输与共享。如果还有其他分部需要加入到虚拟局域网中,则可以通过输入加密的访问WAN扣地址实现。需要注意的是,已将连通的虚拟局域网的内网网段不能完全相同。
企业在部署上网行为管理设备时,由于访问控制策略是信息安全策略的核心部分,也是对网络中数据传输的关键保护措施,由此,需要对接入企业总部网络的用户进行身份认证,根据不同用户的身份授予不同权限,再利用配置逻辑隔离服务器实现不同用户身份对不同应用服务器的接入,从而对企业内部网络中的业务信息管理系统进行访问和使用。同时,安全级别为五级的QoS安全机制能够为企业不同信息系统提供相应的安全服务保障,并且可以按照业务类别划分优先级别,重要的数据信息将会获得优先传输的权限。对用户访问权限的细致划分可以限制非法用户对网络资源的访问和使用,防止非法用户入侵企业内部网络进行破坏性操作,直接对接入企业内部网络的各项访问应用进行管控,真正提高了企业网络系统的安全性。
在企业内部网络部署应用安全产品过程中,需要综合考虑如何完成安全产品的部署策略,才能使安全产品的性能充分发挥,同时,企业内部网络还可以将不同的安全产品集成应用,使其发挥最大功能,充分提高企业信息管理系统的安全性和可靠性。
本文基于信息安全等级指导思想下,对企业内部网络存在的问题进行了分析,并提出了良好的解决方案,包括防火墙的部署、入侵检测设备的部署、上网行为管理设备的部署、防毒墙的部署、企业版杀毒软件的部署等。
5 结论
综上所述,本文在网络信息安全等级保护理念下,将企业内部网络的安全防护的有效性作为最终目标,对企业网络信息安全存在的风险进行深入分析,结合企业实际情况,提出了企业计算机网络安全设计方案,保障了企业总部内部网络与分部网络之间数据传输通信的安全性和可靠性。
[参考文献]
[1]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013,09:25-27.
[2]王迅.电信企业计算机网络安全构建策略分析[J].科技传播,2013,07:217+209.
[3]陈玮.企业无线网络移动办公的安全接入问题分析[J].信息通信,2013,03:239.
接连不断的蠕虫病毒使当前安全技术和措施的有效性再次受到质疑。尽管安全是世界上所有机构的头等大事之一,安全攻击事件的数量仍然是逐年攀升,造成的危害一次比一次大。在最近的数年中,大量的投资被用于阻击安全事件的发生,但只有少数公司确保了它们网络的安全。
特别值得一提的是,为了满足用户和业务的需求,时刻保持竞争优势,企业不得不持续扩张网络体系。然而,很多人可能不知道,网络的每一次扩张,即便是一台新计算机、一台新服务器以及软件应用平台,都将给病毒、蠕虫、黑客留下可乘之机,为企业网络带来额外的安全风险。同时,纯病毒时代已经一去不复返,几年前占据着新闻头条的计算机病毒事件在今天看来已经不是什么新闻,取而代之的是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒,这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力,能够快速寻找和发现整个企业网络内存在的安全漏洞,并进行进一步的破坏,如拒绝服务攻击,拖垮服务器,攻击计算机或系统的薄弱环节。在这种混合型病毒时代,单一的依靠软件安全防护已开始不能满足客户的需求。
网络安全不只是软件厂商的事
今年上半年,网络安全软件及服务厂商——趋势科技与网络业界领导厂商——思科系统公司在北京共同宣布签署了为企业提供综合性病毒和蠕虫爆发防御解决方案的合作协议。该协议进一步扩展了双方此前针对思科网络准入控制(NAC)计划建立的合作关系,并将实现思科网络基础设施及安全解决方案与趋势科技防病毒技术、漏洞评估和病毒爆发防御能力的结合。
根据合作协议,思科首先将在思科IOS路由器、思科Catalyst交换机和思科安全设备中采用的思科入侵检测系统(IDS)软件中添加趋势科技的网络蠕虫和病毒识别码技术。此举将为用户提供高级的网络病毒智能识别功能和附加的实时威胁防御层,以抵御各种已知和未知的网络蠕虫的攻击。
“在抵御网络蠕虫、防止再感染、漏洞和系统破坏的过程中,用户不断遭受业务中断的损失,这导致了对更成熟的威胁防御方案需求的增长。”趋势科技创始人兼首席执行官张明正评论说,“传统的方法已无法满足双方客户的需求。”
“现在的网络安全已不是单一的软件防护,而是扩充到整个网络的防治。”思科全球副总裁杜家滨在接受记者采访时表示:“路由器和交换机应该是保护整个网络安全的,如果它不安全,那它就不是路由器。从PC集成上来看,网络设备应该能自我保护,甚至实现对整个网络安全的保护。”
业界专家指出,防病毒与网络基础设施结合,甚至融入到网络基础架构中,这是网络安全的发展潮流,趋势科技和思科此次合作引领了这一变革,迈出了安全发展史上里程碑式的重要一步。
“软”+“硬”=一步好棋
如果细细品味这次合作的话,我们不难发现这是双方的一步好棋,两家公司都需要此次合作。
作为网络领域的全球领导者,思科一直致力于推动网络安全的发展并独具优势。自防御网络(Self-DefendingNetwork,SDN)计划是思科于今年3月推出的全新的安全计划,它能大大提高网络发现、预防和对抗安全威胁的能力。思科网络准入控制(NAC)计划则是SDN计划的重要组成部分,它和思科的其他安全技术一起构成了SDN的全部内涵。
SDN是一个比较全面、系统的计划,但是它缺乏有效的病毒防护功能。随着网络病毒的日见猖獗,该计划防毒功能的欠缺日益凸显。趋势科技领先的防毒安全解决方案正是思科安全体系所亟需的。
趋势科技作为网络安全软件及服务厂商,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流。趋势科技的主动防御的解决方案是防毒领域的一大创新,其核心是企业安全防护战略(EPS)。EPS一反过去被动地以防毒软件守护的方式,将主动预防和灾后重建的两大阶段纳入整个防卫计划当中,并将企业安全防护策略延伸至网络的各个层次。
“如果此次与思科合作的不是趋势科技,我们恐怕连觉都睡不好。”张明正的戏言无不透露出趋势科技对此次合作的迫切性和重要性。
更让张明正高兴的是,通过此次合作,趋势科技大大扩充了渠道。“我们的渠道重叠性很小。”张明正表示。而此次“1+1<2”的低成本产品集成将使这次合作发挥更大的空间。
网络安全路在何方?
如今,虽然业界有形形的安全解决方案,网络安全的形势却不断恶化。究其原因,主要是由于现在的网络威胁形式越来越多,攻击手段越来越复杂,呈现出综合的多元化的特征。
关键词:关键词:防火墙;新一代;网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:
0 序言
近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。同样,随着企业信息化的迅速发展,基于网络的应用越来越广泛,特别是企业内部专网系统信息化的发展日新月异—如:网络规模在不断扩大、信息的内容和信息量在不断增长,网络应用和规模的快速发展同时带来了更大程度的安全问题,这些安全威胁以不同的技术形式同步地在迅速更新, 并且以简单的传播方式泛滥,使得网络维护者不得不对潜在的威胁进行防御及网络安全系统建设,多种威胁技术的变化发展及威胁对企业专网系统的IT安全建设提出了更高的要求。
1.安全风险背景
随着计算机技术、通信技术和网络技术的发展,接入专网的应用系统越来越多。特别是随着信息化的普及需要和总部的数据交换也越来越多。对整个系统和专网的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web2.0和终端PC的应用也日益普及,但同时病毒和黑客也日益猖獗, 系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
2.网络安全方案
防火墙是最具策略性的网络安全基础结构组件,可以检测所有通信流。因此,防火墙是企业网络安全控制的中心,通过部署防火墙来强化网络的安全性,是实施安全策略的最有效位置。不过,传统的防火墙是依靠端口和通信协议来区分通信流内容,这样导致精心设计的应用程序和技术内行的用户可以轻松地绕过它们;例如,可以利用跳端口技术、使用 SSL、利用 80 端口秘密侵入或者使用非标准端口来绕过这些防火墙。
由此带来的可视化和控制丧失会使管理员处于不利地位,失去应用控制的结果会让企业暴露在商业风险之下,并使企业面临网络中断、违反规定、运营维护成本增加和可能丢失数据等风险。用于恢复可视化和控制的传统方法要求在防火墙的后面或通过采用插接件集成的组合方式,单独部署其他的“辅助防火墙”。上述两种方法由于存在通信流可视化受限、管理繁琐和多重延迟(将引发扫描进程)的不足,均无法解决可视化和控制问题。现在需要一种完全颠覆式的方法来恢复可视化和控制。而新一代防火墙也必须具备如下要素:
(1)识别应用程序而非端口:准确识别应用程序身份,检测所有端口,而且不论应用程序使用何种协议、SSL、加密技术或规避策略。应用程序的身份构成所有安全策略的基础。(识别七层或七层以上应用)
(2)识别用户,而不仅仅识别 IP 地址。利用企业目录中存储的信息来执行可视化、策略创建、报告和取证调查等操作。
(3)实时检查内容。帮助网络防御在应用程序通信流中嵌入的攻击行为和恶意软件,并且实现低延迟和高吞吐速度。
(4)简化策略管理。通过易用的图形化工具和策略编辑器(来恢复可视化和控制
(5)提供数千兆位或万兆位的数据吞吐量。在一个专门构建的平台上结合高性能硬件和软件来实现低延迟和数千兆位的数据吞吐量性能
2.1 产品与部署方式
本文就Palo Alto Networks 新一代安全防护网关部署方案进行探讨,该产品采用全新设计的软/硬件架构,可在不影响任何服务的前提下,以旁路模式、透明模式等接入现有网络架构中,协助网管人员进行环境状态分析,并将分析过程中各类信息进行整理后生成报表,从而进一步发现潜在安全风险,作为安全策略调整的判断依据。
2.2 解决方案功能
本方案产品突破了传统的防火墙和UTM的缺陷,从硬件设计和软件设计上进一步强化了网络及应用的安全性和可视性的同时保持应用层线速的特性。主要功能如下:
(1)应用程序、用户和内容的可视化
管理员可使用一组功能强大的可视化工具来快速查看穿越网络的应用程序、这些应用程序的使用者以及可能造成的安全影响,从而使管理员能够制定更多与业务相关的安全策略。
(2)应用程序命令中心:这是一项无需执行任何配置工作的标准功能,以图形方式显示有关当前网络活动(包括应用程序、URL 类别、威胁和数据)的大量信息,为管理员提供所需的数据,供其做出更为合理的安全策略决定。
(3)管理:管理员可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多种方式来控制防火墙。可基于角色的管理,将不同的管理职能委派给合适的个人。
(4)日志记录和报告:可完全自定义和安排的预定义报告提供有关网络上的应用程序、用户和威胁的详细视图。
2.3 解决方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三种独特的识别技术,以统一策略方式对使用者(群组)、应用程序及内容提供访问控制、安全管理及带宽控制解决方案,此创新的技术建构于 “单通道平行处理 (SP3)”先进的硬件+软件系统架构下,实现低延迟及高效率的特性,解决传统FW+IPS+UTM对应用处理效能不佳的现况。
(2)实现了对应用程序和内容的前所未有的可视化和控制(按用户而不仅仅是按 IP 地址),并且速度可以高达 10Gbps,精确地识别应用程序使用的端口、协议、规避策略或 SSL 加密算法,扫描内容来阻止威胁和防止数据泄露。
(3)对网络中传输的应用程序和用户进行深度识别并进行内容的分析,提供完整的可视度和控制能力。
(4)提供多样化NAT转址功能:传统NAT服务,仅能利用单一或少数外部IP地址,提供内部使用者做为IP地址转换之用,其瓶颈在于能做为NAT转换的外部IP地址数量过少,当内部有不当使用行为发生,致使该IP地址被全球ISP服务业者列为黑名单后,将造成内部网络用户无法存取因特网资源;本方案提供具有多对多特性的地址转换服务功能,让IT人员可以利用较多的外部IP地址做为地址转换,避免因少数外部IP被封锁而造成无法上网,再次提升网络服务质量。
(5)用户行为控制:不仅具备广泛应用程序识别能力,还将无线网络用户纳入集中的控制管理,可对无线网络使用情况,提供最为详细丰富的用户使用数据。
(6)流量地图功能:流量地图清楚呈现资料流向并能连结集中化的事件分析界面。
3.总结
新一代防火墙解决了网络应用的可视性问题,有效杜绝利用跳端口技术、使用SSL、80端口或非标准端口绕过传统防火墙攻击企业网络行为,从根本上解决传统防火墙集成多个安全系统,却无法真正有效协同工作的缺陷,大大提高数据实时转发效率,有效解决企业信息安全存在的问题。
参考文献:
[1] 孙嘉苇;对计算机网络安全防护技术的探讨 [J];《计算机光盘软件与应用》 2012年02期。
关键词:IP专用网络;网络安全;系统
1 概述
近年来IP网络不断发展,资源共享给军事、政治和经济等领域带来了不尽的方便与快捷。在网上可以随时索取所需资料,可以传送电子邮件,还可以网上购物等等。然而当计算机遭受“黑客” 图谋不轨的恶意攻击时,你会发现部分数据已被窃取、修改和破坏,IP网络背后存在的安全隐患也就将暴露无疑。随着IP网络系统和数据等安全问题的出现,引起计算机领域、通信领域以及相关领域的重视。
2 IP专用网络系统安全需求分析
2.1 IP专用网络系统应用特点
根据IP专用网络的使用实际,主要网络应用有实时数据传输、语音信息传输处理、视频信息传输处理、多媒体信息传输处理和由数据库作后台支持的MIS应用系统等。尽管各种网络应用千差万变,但应用主体在网络中扮演的角色是一致的。网络应用中有两种重要的角色:客户与服务器。而网络的信息流向不外乎以下三种方式:客户与客户之间;客户与服务器之间;服务器与服务器之间。IP专用网络系统应用形式是第二、三种结合。
2.2 IP专用网络系统安全需求
无论信息传递的收、发方是谁,网络安全包括:在网络正常运行时,受到外来攻击,能够保证网络系统继续运行。网络管理系统设置等重要资料不被破坏。数据安全保证数据不被窃取、修改和破坏。具有先进的入侵防范体系,对于图谋不轨的恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制,确保应用系统不被非法访问。保障合法用户的正常请求得到安全服务,防范来自网络内部其它系统的破坏所造成的安全隐患。系统和数据在遭到破坏时能够及时恢复。
2.3 IP专用网络系统安全的功能
建立IP专用网络系统安全体系应具备加密通讯、签名/认证、备份/恢复、多层防御、内部信息加密、安全审计等功能。
3 IP专用网络系统安全方案设计
3.1 安全系统总体结构
从提供网络有效信息服务的角度来看,网络系统安全包括:硬件配置及基础设施应确保支持系统的不间断运行;软硬件运行环境应确保系统正确、可靠运行。从网络系统组成的角度来看,系统安全可分为五个层次:物理层的硬件平台安全、系统层的操作系统和数据库系统安全、网络层的网络系统安全、应用层的应用系统安全和管理层的系统安全管理。
3.2 物理层安全
硬件平台的安全主要是支持软件系统正确、可靠运行,同时又要防止物理上可能造成的信息泄露。无线信道必须采取加密手段;外网连接必须采用硬件防火墙设备;选用符合电磁兼容性等要求的IP专用网络设备;机房建设应符合电磁兼容性要求。
3.3 系统层安全
网络操作系统安全是防止系统在正常运行状态下遭受破坏;数据库系统安全主要保护以库结构形式存放的数据,防止非授权用户以各种非法途径获取,并确保数据库系统运行正常。
建立用户权限认证体系,健全系统访问日志,提供有效的监督机制。用户权限认证属于网络层的安全策略。系统管理员负责监督管理所有系统资源的分配、控制,分配不同级别的用户权限,进行数据库的备份与恢复;系统工程师负责操作系统中的所有设置和网络参数;系统操作员负责操作系统中的部分设置和网络参数;只读用户只能监视系统中的设备状态。
系统内部安全防范也可采用先进的具有中国版权的指纹识别系统,指纹识别系统采用活体指纹实行密码登录,确保系统安全,它与口令双重加密,更无懈可击。
3.4 网络层安全
网络隐患扫描是在非法入侵之前,帮助系统管理员主动对网络上的设备进行安全测试。外部扫描是模拟黑客攻击的过程在网络上进行扫描,并分析扫描信息,结合不断更新的漏洞库来发现网络存在的隐患;内部扫描是模拟系统管理员从主机内部扫描,检查一切和网络安全有关的配置是否正确,从而从内部清除隐患。入侵检测系统用来检查一个局域网段上的通信,可以和防火墙设备配合来监测来自外部的通信;可以监测内部网络用户对于敏感数据或应用系统的使用情况。当发现可疑行为时,网络监测预警系统能够根据系统安全策略做出反应,实时报警、事件登录、自动阻断通信连接或执行其它有效安全策略。
3.5 应用层安全
应用层安全策略可采用防止病毒侵害手段,建立完整的防病毒体系。如在网络管理系统环境,购买并安装Norton Antivirus或其他国产网络防杀病毒软件。为保护主机端数据的完整性,也采用有效的数据备份及恢复系统。
3.6 管理层安全
制定相应的管理制度和操作规范:制定机房管理制度、系统管理员职责、机房值班员守则、数据库管理规定及网络安全管理规范等;制定严格的操作规程,明确各级人员职责和权限,各负其责,不允许超越自己的管辖范围;制定完备的系统运行维护制度;强化各类人员的安全意识,严格按照有关规定办事。
4 结束语
IP专用网络安全的需求分析必须切合实际,网络安全设计的目标和原则要合理可行,IP专用网络安全方案的设计方法适合其它类型网络的安全设计。全面的安全策略需要投入大量的软、硬件设备,付出可观的资金。根据IP专用网的实际需求和经费支持情况,可以适当采用方案中的部分安全策略,达到理想的安全防范目的。
参考文献
网络外部的黑客。这是计算机网络当前面临的最大也是最严重的威胁,它也是我们需要重点防范的对象。一般来说,如果黑客非法入侵了政治、经济、科学等领域计算机网络中,则会对其中存储及传输的数据进行大量盗用、暴露以及篡改,往往造成难以估计的损失。
当前计算机网络安全问题的对策
网络系统健壮性和网络安全威胁有着极大的关系,基于此,我们要想真正确保计算机网络的安全,则要由其安全体系结构出发,对其进行深入的分析,采取一些合理有效的措施来保证计算机网络的安全。
1管理的安全对策。管理问题属于网络安全问题中最为核心的一个问题,这主要是因为在实现网络安全的过程中,人是主体,假如缺乏一个有效的管理机制,那么无论网络安全方案的实施多么到位都没有任何意义。因此,我们在工作中首先要加强网络安全方面的培训工作,并制定出系统维护以及网络维护的规程,建立一套有效的应急预案,并通过一些技术手段来实现计算机网络安全管理的规范化、制度化。
2物理安全对策。要想实现计算机网络安全结构,那么确保计算机实体的安全则是一项基础工作。在我们的工作中要尽量防止计算机的硬件以及通信线路受到人为破坏以及自然灾害的影响。具体来说,我们要先对其物理性状进行分析,得出隐患及有可能出现的威胁,并以此为基础使用电磁屏蔽技术对电磁泄漏进行控制、采取避雷措施避免雷电干扰、利用防火、防尘、防震、防水以及防静电措施确保计算机场地的安全标准,最终实现一个多角度、全方位的保障。
3计算机系统安全。当前系统安全中主要面临的问题是黑客的侵入以及病毒的威胁。近年来,随着网络的飞速发展,病毒的传播途径出现了很大的额变化,由以往通过光盘、软盘传播变为当前的网络传播,这种传播方式破坏性更大、波及范围更广。针对这一背景,我们要提升防范病毒的观念,加强日常的检测及杀毒工作,一旦发现病毒要及时的消灭,避免其扩散。至于黑客,其主要目标是对系统进行篡改以及窃取数据,因此我们要加强漏洞的扫描以及做好入侵检测工作。此外,在系统安全方面,针对一些突发性、不可预知的问题,可以通过系统的备份来应对,起到“有备无患”的效果。
4网络层安全。对于网络层的安全性来说,其核心是是否能够对IP地址来源进行控制。当前在网络层安全面应用较多的技术是防火墙技术,它的原理是将Internet网和内部网分开,然后在网络边界上建立一个网络通信监控系统,当两个网络通讯的时候则会执行访问控制尺度,以此对IP来源安全性进行判断,进而对未经授权或者危险的IP起到监测、限制的作用,最终确保系统的安全性和保密性。实际原理上来看的话,防火墙的技术主要包括了网络级防火墙、电路级网关、应用级网关以及规则检查防火墙这四大类。彼此之间各有优缺点,在应用的过程中,可以根据需要来确定使用哪一种或者对其进行混合使用。
5用户层安全对策。用户层的安全的保证途径主要是合理确定使用系统资源以及数据的用户类别。具体来说,这主要是通过用户分组管理,依据不同安全级别对用户进行划分,使其分为将若干等级,对每一等级用户所能够访问的系统资源及数据进行限定。此外,还有一个重要的对策是对用户身份认证进行加强,确保和网络进行连接用户的身份合法性,这也可以提升用户层安全性系数。
6数据安全对策。为了提升系统及数据的保密性和安全性,数据加密技术获得了广泛得应用,它是我们确保数据不受外部破坏的有效、灵活手段。一般来说,数据加密又可以分为链路加密、端对端加密以及节点加密这三种。
其中,最常用的加密技术为链路加密;而节点加密则是在对链路加密进行改进之后得到的;至于端对端加这一中加密技术则主要面向网络中高层主体,多通过软件来实现。
具体来说,数据加密技术的加密过程是使用各种加密算法来完成的,主要从密钥管理、数据传输、数据完整性、数据存贮这几个方面保对数据信息进行保护,实现了即使数据被失窃,攻击方也不能够轻易的识别数据内容。相对于以上对策而言,这类对策比较被动,但是其效果和作用却是不容忽视的。整体来说,这6个层面上的对策是环环相扣、紧密相连的,它们之间互为补充,我们只有在每个环节上都做好才能最大限度确保网络的安全。
结语
笔者从众多开设网络工程专业的高校中选取部分211或985学校作为研究对象,对多所学校的网络安全方向课程的设置进行了对比分析,见表1。网络安全在某些高校是作为网络工程专业的一个方向开设,如吉林大学就是在网络工程专业下设网络安全方向,开设网络攻防技术、无线网络技术等课程;而在有些院校网络工程中没有网络安全方向,而以单独的信息安全专业存在,如电子科技大学和北京邮电大学都是单独设有信息安全专业,该专业开设的安全方向课程更全面,如信息安全数学基础、密码学基础、网络安全协议等;还有一些高校既没有信息安全专业,在网络工程专业中也没有安全方向,只是在课程中设置了少量的安全类课程,如大连理工大学开设网络安全、Matlab课程,中山大学开设了密码学与网络安全课程。
2扩展课程设置探讨
下面针对济南大学的网络工程专业安全方向开设的课程进行改革探讨。济南大学网络工程专业目前正在使用的培养方案中与安全相关的课程设置情况见表2。其中,一部分是计算机类学科基础课,一部分是网络工程专业基础选修课和专业方向课。济南大学网络工程专业中设有网络安全方向。结合山东省名校工程的契机,笔者在调研多个名校的培养方案并结合本校实际情况的前提下,对网络安全方向课程的设置提出下面几个调整意见。
2.1增设信息安全数学基础和网络仿真课程
虽然原有培养方案中高等数学、线性代数、概率论与数理统计、离散数学4门数学课程都占据了大量学时,但是对于网络安全方向的学生而言,后期用到的相关数学知识并不多。但是学生对网络安全真正用到的初等数论和群环域知识却一点都没有接触。因此,修改培养方案时应增设信息安全数学基础课程,学时不用太多,可以为24学时,授课内容要涉及网络安全中用到的模运算、同余理论、数论函数和群环域等知识。目前,网络安全方向用到的数学知识均是在应用密码学课程中讲解的。大部分有关密码学的教材都会在讲解分组密码和公钥密码时,介绍一些与之密切相关的数学知识(如群环域),如由清华大学出版社出版,杨波编写的《现代密码学》(第二版)[3]中的“密码学中一些常用的数学知识”部分。这种做法一方面占了密码学课程的部分学时,势必会减少学生学到的密码学知识;另一方面,临时讲一些数学知识并不能让学生系统地理解。因此,笔者非常赞成清华大学冯克勤教授提出的增设初等数论课程的想法[4]。虽然冯教授是针对清华大学数学科学系本科生提出的,但对于网络安全方向的学生而言,不学习初等数论和群环域知识,很难理解和掌握后续的与安全相关的课程内容,这点在应用密码学课程中尤其明显。例如,学习离散对数算法后,学生只知道在已知一些参数的情况下如何利用指数进行加密解密,但不能理解如何选择参数,不知道什么是本原元,如何确定一个循环群的本原元以及如何利用模运算降低计算量,如何快速的编程实现。笔者采用不同于上述冯教授提出的在大学第1学期开设初等数论课程的方式,而是在第3学期开设。因为济南大学在第1、2学期,学生必修高等数学和线性代数课程,这已经使学生无暇顾及更多的数学知识。第3学期开设信息安全数学基础可以很好地和第4学期开设的应用密码学课程衔接。另外,在信息安全数学基础课程中,安排一定的实验学时,让学生在经过第1、2学期的程序设计课程之后,通过学过的编程语言实现数论和群环域中的一些算法,理论联系实际,从而更好地掌握数学知识,为后续密码学算法的研究奠定基础。
2.2增加网络仿真课程
现代网络技术的研究离不开仿真软件,因为我们不可能实际搭建网络,如果不合适,再拆了重新搭建,这不仅费时而且费力。现在所有与网络相关的研究都在仿真基础上进行;而如果不开设仿真课程,学生仅学习理论知识,会与实际应用脱离。济南大学的信息安全教学团队由5位博士组成,其中3人是数学专业背景,主要研究网络安全,2人是计算机学科出身,主要研究无线网络,而且5人中有2人具有工程背景。信息安全教学团队负责网络工程专业的所有安全类课程的教学,包含无线网络和网络协议等课程,这些课程都需要仿真软件的配合才能使学生真正掌握所学知识。因此,增加网络仿真课程是必须的。至于仿真课程的内容,可以选择NS2或NS3,也可以与大连理工大学相似,采用Matlab。
2.3合并网络协议和网络安全协议课程,调整其他相关课程的学分和学时
网络协议课程主要讲TCP/IP协议,内容与吉林大学的TCP/IP协议族相似,重点在网络的分层协议,如网络层协议、传输层协议等。涉及部分安全协议,如IPsec、SSL、SNMP等,这与网络安全协议课程中再次对这些内容的讲解重复,而且安全协议本身也是网络协议的一种,因此可以考虑将安全协议和网络协议两个课程整合或一门全新的网络协议课程,去掉重复内容,增加部分学分和学时,从原有的2.5学分增加到3学分,同时学时从原有的48增加到64。网络工程专业修改培养方案后的安全方向课程设置见表3。从表3可以看出培养方案修正前后的总学分保持不变,这是因为在增加新课的同时,调整了部分课程所占学分和学时,如减少无线网络原理与技术的学分,从原有的4学分减到3.5学分。这样一方面增加了新课,另一方面整合了重复内容的课程。
关键词:计算网络;数据库安全性;存在问题;总结优化;探讨
1关于网络数据库的具体分析
(1)目前计算机网络工作模块中,必须单独设立一个模块进行信息数据的储存、管理,这是计算机网络工作的核心点、必要点,这就需要结合网络数据库技术。从实际应用上分析,网络数据库本质上是在网络后台建立的数据库,通过计算机软件控制数据库对数据的存储、查询等,实现多终端访问、控制、查询。为了顺应计算机网络技术的工作需要,进行网络数据库的安全性体系的健全是必要的,这样可以保证计算机网络的整体安全性。这离不开相关工作模块的控制,这需要进行计算机网络数据库安全理论的分析,顺应计算机网络技术的工作需要。近年来,计算机行业的数据库安全性已经引起国际的重视。也有很多的刊物进行了计算机网络安全性的报道。从这些刊物上可以更好的进行网络数据库安全性理论的分析及其汲取经验,顺应计算机时代的网络技术的工作需要,保证计算机网络安全领域体系的健全。这涉及到一些比较著名的计算机网络安全性理论刊物。《电脑知识与技术》是一本面向计算机全行业的综合性的计算机网络论文学术刊物。稿源来自全国各高等院校,相关专业研究机构以及国内大型信息通讯、软件研发企业设置的专业研究所。目前网络数据库工作模块中,其需要进行大量数据信息的储存,它是一种功能非常强大的载体,为了更好的提升数据库的安全性,进行完整性及其统一性的控制是必要的,这需要应用到一系列的计算机模式,满足网络数据库的工作需要,进行不同形式的工作模块的优化,保证其整体的简单性及其方便性。又如比较常见的浏览器就是比较自治、高度自由的环境,其具备高度自由性及其高度的复杂性。所以网络数据库面临了诸多安全问题,例如在使用过程中发生数据丢失、被非法侵入等,数据库的数据因此丢失、篡改。另外网络数据库的用户较多,且访问量较大,因而要求其具有可靠性,能够进行数据的实时更新以及大文件的存取等,并且针对敏感数据资源数据库也能够进行存放。所以,网络数据库目前面临了诸多安全隐患,在这样的环境下,如何提高网络数据库的安全性,保障数据库中的数据安全是目前计算机网络技术发展的首要任务。
(2)目前网络数据库的优化过程中,进行网络系统安全性的控制是必要的,从而保证网络数据库安全体系的健全,更好地进行网络数据库的安全性的控制,这需要进行网络系统的整体安全性的提升,进行相关的控制安全方案的落实。我们将网络数据库面临的安全威胁归纳为以下几个方面:(1)因用户操作不当而导致的网络数据库数据错误(;2)非法访问非权限范围内的数据信息:(3)攻击数据库的正常访问(;4)非法窃取或篡改连接中数据库内的数据资源信息。
2网络数据库安全技术体系的健全
(1)目前网络数据库安全技术控制模块中,进行开发性的网络环境的优化是必要的,从而进行各种网络数据库安全威胁的控制,保证各种有效性的技术方案的操作,保证网络数据库的自身安全性的提升。以保证数据的完整性和一致性。一般来说,网络数据库的安全问题可归结为保证数据库中各种对象存取权的合法性和数据库内容本身的安全两个方面,具体安全技术方案有如下几方面。目前工作模块中,计算机网络环境是比较复杂的,其具备高开发性。每一个进行资源访问的用户就需要进行身份认证,这是为了更好的进行网络数据库的有效访问的控制,保证网络数据库的整体安全性的控制,从而提升其应用性能,满足当下网络数据库的工作需要,保证计算机网络运作环境的安全性的提升,保证用户身份认证模块的优化。是通过采用系统登录、数据库连接和数据库对象使用三级机制来实现身份认证功能。其中,系统登录是验证访问用户输入的用户名和密码正确与否;而数据库连接是要求数据库管理系统验证用户身份;数据库对象是采用分配不同的权限机制来为不同使用用户设置相应的数据库对象权限来保障数据库内数据的安全性。
(2)目前工作模块中,进行数据库加密模块的优化是必要的,需要进行加密设置的应用,提升数据库数据的安全性,这需要进行某些特殊加密方法的应用,这离不开特殊算法的应用,保证数据信息的改变。这需要进行授权的用户的加密信息权限的控制,这离不开解密方法的权限控制,更好的进行信息数据库的原始信息的加密及其控制。在数据库加密控制过程中,必须提高加密、解密水平,从而完成数据库信息转化的同时,确保数据内容的真实性、完整性,优化可变信息。在网络数据库的应用过程中,数据备份、恢复是确保数据库安全、数据完整的有效机制,通过数据备份和数据恢复能够保证数据完整一致,这是目前我国计算机网络数据库安全措施中应用最为广泛的机制之一。在这样的条件下,若网络数据库出现故障,由于事先进行了数据备份,那么当故障发生后,管理人员可以依照备份文件对现场数据进行恢复,不但保障了数据的完整性,同时还缩短了网络数据库的修复时间,尽快恢复网络运行,令其恢复到原有状态。当前依照备份方式的不同,网络数据库备份机制主要有逻辑备份、动态备份以及静态备份三种。而最常见的数据恢复技术主要包括备份文件以及磁盘镜像两种。
(3)目前工作模块中,进行审计追踪模块的优化是必要的,这需要进行网络数据库操作模块的优化,保证用户的操作的及时跟踪,这需要进行操作内容的分析,定期监控审计日志,保证其完整性、准确性。管理员必须严于律己,做好本职工作,控制可能发生的所有状况。如此一来一旦网络数据库出现问题,管理员可以在最快时间内找出问题根源,解决问题。例如若数据库受到非法存取数据,管理员通过审计日志可以快速找出责任人,并予以严惩。但是审计追踪以及攻击检测也存在诸多问题亟待解决,还需要进一步予以完善。为确保网络数据库阿全,安全性控制措施的应用极为必要,只有网络安全控制技术不断与时俱进、得到更新,在应对当下网络数据库问题中才可以游刃有余,最大程度保障数据安全。
3结束语
计算机网络技术是当前人类社会信息传递、发展的基础,自新世纪以来,人类社会便进入了信息化时代。但计算机技术的成熟、网络技术的成熟使得现代社会所需要的信息量越来越多。而面对庞大的访问量以及数据来源、数据量,网络数据库技术应时而生,并发挥了巨大的作用。但随着网络技术的发展,网络安全问题则成为了技术研发重点。只有保证网络数据库安全,才能确保数据真实可靠,才能更好地发挥计算机网络技术作用。
参考文献
[1]王静.网络环境下的数据库安全综述[J].合作经济与科技,2009(5).
[2]周世忠.浅谈网络数据库安全研究与应用[J].电脑知识与技术,2010(5).
[关键词]计算机网络 数据库安全 安全技术方案
中图分类号:G250.74 文献标识码:A 文章编号:1009-914X(2014)21-0226-01
计算机网络环境中的信息存储和管理都是由网络数据库来实现的,而随着计算机网络技术的广泛普及和快速发展,网络数据库的安全性已经成为整个计算机网络安全领域中的一个极为重要的问题。网络数据库是一种开放环境下的信息仓库,存储着大量非常重要的数据信息,一旦遭受各个方面的不可预测的安全攻击,就将给用户带来不可估量的损失,如此大的安全隐患不得不让我们纳入考虑范畴并加以防范。
1、网络数据库简介
所谓网络数据库是指在普通后台建立起来的数据库基础之上,利用浏览器等各种软件实现数据存储、查询等操作。其主要特征是能够作为储存大量数据信息的载体,同时可以保障数据的完整性和一致性。此外,浏览器/服务器(B/C)和客户机/服务器模式是当前网络数据库部署情况下最常见的两种形式,简单方便。
2、网络数据库安全威胁
由于Internet是一个高度自治、自由开放、复杂多样的网络环境,因此网络数据库不可避免地会存在数据丢失、数据库非法入侵、数据被篡改等安全性问题。此外,网络数据库具有多用户、高可靠性、频繁地更新和大文件存储等基本特性,同时还存放有大量重要的敏感数据资源信息。因而,在如此安全性存在极大威胁的背景下,如何采取措施保障网络数据库免受安全威胁变得非常重要。
网络上的非法用户通常都是直接通过网络系统来实现入侵网络数据库,以此来达到攻击网络数据库的目的,所以网络数据库的安全性基本决定于网络系统的安全情况。一般情况下,我们将网络数据库面临的安全威胁归纳为以下几个方面:(1)因用户操作不当而导致的网络数据库数据错误;(2)非法访问非权限范围内的数据信息:(3)攻击数据库的正常访问;(4)非法窃取或篡改连接中数据库内的数据资源信息。
3、网络数据库安全技术方案探讨
在开放的网络环境中,网络数据库是非常容易遭受到各种安全威胁的,所以我们必须要采取实际有效的技术方案来不断提高网络数据库自身的安全性,以保证数据的完整性和一致性。一般来说,网络数据库的安全问题可归结为保证数据库中各种对象存取权的合法性和数据库内容本身的安全两个方面,具体安全技术方案有如下几方面:
3.1 用户身份认证
由于计算机网络环境是一个面向多用户的开放式环境,所以对每一个网络数据库访问用户都必须要进行统一的身份认证,这也是防止网络数据库被用户非法访问的一个最有效的手段。因而,用户身份认证功能在当前网络数据库都是必须具备的功能,是通过采用系统登录、数据库连接和数据库对象使用三级机制来实现身份认证功能。其中,系统登录是验证访问用户输入的用户名和密码正确与否;而数据库连接是要求数据库管理系统验证用户身份;数据库对象是采用分配不同的权限机制来为不同使用用户设置相应的数据库对象权限来保障数据库内数据的安全性。
3.2 数据库加密
数据库加密是指通过对数据库的加密设置来保证数据库内数据的安全性。所谓加密是以某种特殊的算法改变原有的数据信息,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,则仍然无法了解获取的信息数据的原始内容。因此,数据库加密系统是加密和解密两个过程的统一,包括可辨数据信息转换成非可变信息、算法、利用密钥解密读取数据等三方面内容。
3.3 数据备份与恢复
数据备份与恢复是网络数据库保障数据完整性和一致性的一种有效机制,也是最常见的一种技术方案。在此机制下,一旦网络数据库系统发生故障,管理人员可以根据先前的数据备份文件,在最短的时间内实现恢复数据,进而让网络数据库回到故障发生之前的数据状态。目前,网络数据库中的数据备份机制有静态备份、动态备份和逻辑备份等几种技术方案,而数据恢复技术有磁盘镜像、备份文件,以及在线日志等几种方式。
3.4 审计追踪和攻击检测
审计追踪是指当用户在操作网络数据库时,可以自动跟踪用户做的所有操作,并将其操作的内容都记录在相应的审计日志文件中,以供管理员查阅并提供相关参考依据。根据审计日志文件,管理员可以非常清楚地重现网络数据库中出现的任何状况,一旦出现安全问题,管理员可以十分快速地找出存在非法存取数据的操作人员,进而追查相关人的责任。此外,通过利用审计追踪和攻击检测技术对发现网络数据库安全方面的弱点和漏洞也有十分明显的效果。
4、结语
综上所述,如何构建有效地网络数据库安全技术方案是保障计算机网络健康发展的核心内容,同时随着安全威胁因素日益增多且越来越复杂,网络数据库安全技术也要不断更新、改进。以应对不断出现的新情况、新问题,只有这样才能在最大程度上保障网络数据库的完整性和一致性。
参考文献