时间:2023-03-14 14:51:25
引言:寻求写作上的突破?我们特意为您精选了12篇网络安全解决方案范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
中图分类号:P231 文献标识码:A 文章编号:1671-7597(2012)0610171-02
0 引言
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1 网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务——安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2 网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1 SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFR NID和NFR HID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是Secure Computing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3 结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
参考文献:
[1]陈丹丹,网络钓鱼与网络安全初探,消费电子,2012年,第5期.
[2]王志刚,浅谈计算机网络安全现状及对策,今日财富(金融发展与监管),2012年,第4期.
二、中小企业网络安全解决方案
这种典型的网络规模较小的企业平均不到50台计算机,企业处理的信息量不是很大。
2.1 访问控制解决方案
网络的拓扑结构是否合理是决定网络安全的重要环节,不同的目的子网的要求,有不同的网络设计。把具有相同安全目的的主机划分在同一子网之内,区别不同的安全水平。只有更好地考虑这些因素,将网络结构存在的安全隐患将至最低。
(1)安全物理隔离。内网与互联网直接连接是不安全的。只要是内网与互联网直接链接,无论通过什么样的手段,肯定存在着被黑客攻击的可能。
因此,从安全角度来考虑,应该对企业计算机内网与企业计算机网络外网之间架设一道物理屏蔽,对内部网络中需要上因特网的用户机器安装物理隔离卡,从而保证内部信息不被泄露。
(2)配备防火墙。网络安全最经济,安全最有效措施就是防火墙。防火墙通过制定严格的安全策略来实施内部和外部网络区域之间的隔离和访问控制,单向或双向控制的实现是通过各种信任的网络和防火墙,可根据时间、流量的访问控制,过滤一些不安全服务。
2.2 网络系统解决方案
(1)网络操作系统安全。使用更高版本的网络操作系统,使一些不常用,不安全的应用程序和端口处于关闭状态。对于一些保存了用户信息和使用密钥的文件严格限制,加强密码的水平,并及时对系统漏洞补丁,不对外公开系统内部的使用情况。
(2)应用系统安全。应用服务器尽量不要打开一些不经常使用的协议和协定窗口。作为档案服务和E―mail服务器的应用系统等,可关闭HTYP、FTP、远程登录服务等不常用协议。还有就是加强登录时的密码强度。管理者限制登陆者操作权限,限制在最小的范围内。
2.3 入侵检测解决方案
功能强大的反病毒反入侵的手段是入侵检测手段,是在特定网络环境中未经授权或恶意攻击和入侵被识别和反应的过程。它主要有搜集资料,并分析这些信息,计算机系统是否有被违反安全策略的行为和遭到攻击的迹象。具有监测分析用户和系统的能力,评测系统完整的数据,对统计异常的行为进行识别,并自动收集和相关系统的修补程序,使用服务器记录黑客的功能。入侵检测是在不影响网络性能的情况下的监控,是一种积极的安全保护技术,为内部和外部的攻击提供实时保护。
但是入侵检测设备虽然很实用,价格却普遍偏高,如果中小企业资金允许,人员齐备的话,建议加装入侵检测设备,这样可以做到防患于未然。
2.4 网络防病毒解决方案
衡量反病毒技术是基于计算机病毒功能来判断技术来确定病毒的类型。计算机防病毒技术在分析病毒代码的基础上,制定了删除病毒程序并恢复原始文件的软件。反病毒的具体实现方法包括网络服务器、文件、E-mail等工作站技术进行频繁扫描和监测。一旦发现和病毒代码库匹配病毒代码,反病毒程序将采取相应措施,防止病毒进入网络相互传播。防病毒系统可以防止病毒侵权使用。但是,新的病毒会随着时间的推移不断出现。这就需要及时通过互联网或防病毒系统更新等手段安全管理员或用户升级。一般中小型企业大都采用windows服务器的操作系统根据国内外各种网上的反病毒软件的综合比较,所以本文建议采用Symantec公司Symantec系列或是微软公司的ForeFront系列等产品。
2.5 数据备份和恢复安全解决方案
备份和恢复系统存在的目的,是尽快分发给计算机系统整体必要的数据和系统信息。备份不仅在网络系统硬件故障或人为错误时起到保护,在黑客的网络攻击时起到保护作用,也同时作为一个系统崩溃恢复的先决条件。
一、网络安全技术
网络安全是指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。其具有以下基本特征:1、机密性;2、完整性;3、可用性。
网络安全技术主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。我们可以用虚拟网技术,防火墙技术等以实现。
虚拟网技术主要基于近年发展的局域网交换技术,交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。拟网技术的好处是显而易见的:信息只到达应该到达的地点,防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
二、网络安全解决方案
网络安全是一项动态、整体的系统工程,从技术上来说,网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息、加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。
(一)防火墙技术
防火墙是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,它其实就是指局域网或城域网隔开的屏障。
1.防火墙的技术实现
防火墙的实现从层次上大体上可以分两种:包过滤和应用层网关。
包过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、协议类型、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。
2.防火墙的特性
网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的,对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全,一方面却使内部网络与外部网络的信息系统交流受到阻碍,因此必须在防火墙上附加各种信息服务的软件来内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且减慢了信息传递速率。针对这个问题,其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理,使防火墙的性能大大提高。
(二)数据加密技术
1.数据加密技术的含义
所谓数据加密技术,是指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙还原成明文。加密技术是网络安全技术的基石。
2.常用的数据加密技术
目前最常用的加密技术有对称加密技术,非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
(三)访问控制
访问控制是为了达到控制不同的用户对信息资源的访问权限的目的,实质上是针对越权使用资源的一种防御措施。
访问控制的功能主要有以下:1、防止非法的主体进入受保护的网络资源;2、允许合法用户访问受保护的网络资源;3、 防止合法的用户对受保护的网络资源进行非授权的访问。访问控制实现的策略:1、入网访问控制;2、网络服务器安全控制3、网络监测和锁定控制;4、网络端口和节点的安全控制;5、防火墙控制
1.访问控制的类型
访问控制的类型:1、自主访问控制;2、强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限
强制访问控制,是指由系统对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。
2.访问控制的方式
可以用一下方式实现访问控制:1、身份验证;2、存取控制;3、入侵检测技术
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
入侵检测技术是指对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。除此外,还有其它方式可以实现访问控制。
为了计算机网络的安全还应加强网络安全管理,立法,道德教育,在这里不加以论述。
总之,计算机技术和网络技术已深入到各个领域,人类活动对计算机网络的依赖程度已经越来越大。增强社会安全意识,提高安全技术水平,安全现状,越发重要。
参考文献:
1、胡谷雨.《现代通信网和计算机网管理》. 北京: 出版社
1引言
无线网络的完善发展,对医院医疗信息管理工作而言不但是一次发展良机,也是一次重要挑战。移动医疗网络信息受安全风险的威胁,容易遭受不法分子的恶意攻击,受诸多因素的影响,所以需要合理利用现代化网络技术手段与方便便捷的软件系统,形成完善的数据库,能够提出科学高效的移动终端信息技术的操控手段。只有如此,才能提高医院医疗信息网络的安全性、可靠性,并对外部影响因素供给起到良好的保障作用,促进我国医疗事业长足稳定发展。
2移动医疗系统网络安全的实际情况概括
移动医疗系统的网络一般可分成移动终端、移动APP、工作站、接入访问节点、交换机、防火墙、服务器等部分[1],而典型网络拓扑见图1。
2.1移动医疗的接入主要形式
移动医疗网接入有着显著的开放性、隐匿性特点,无法基于物理层面发现其问题缺陷,而无线接入的基本形式见图2。医院本地局域网从成本、维护便利度等方面入手,一般以无线局域网接入为主。医院本地区域之内的移动医生终端、移动护理终端等仪器经过分布在楼道或者病房的无线接入访问节点直接与医院网络相连接。接入访问节点经过百兆局域网连接至楼层交换机,楼层交换机通过光纤,直接与汇聚交换机相继连接,再通过核心交换机、防火墙等装置,接入到中心机房。在接入环节中,无线接入访问节点的接入形式有着显著的开放性、隐匿性[2],所有一个移动终端都能接入,但是无法基于物理层面直观发现企业缺陷,而这是移动网络的显著特征,也是引发网络非法接入与网络恶意攻击的主要环节。
2.2移动医疗网络的安全风险
由于移动医疗网络自身具有开放性[3],这也给信息破译带来可乘之机,容易使接入受安全风险的影响。移动APP在IOS系统、安卓系统运作过程中,经过Internet与医院外网防火墙相连。外网防火墙能过滤不良IP地址,避免存在安全隐患的服务协议通过,例如常见的网络信息服务系统、网络文件系统等。但是,也面临终端外部攻击的安全威胁,如若不法分子进行医疗医院信息防火墙的访问,就容易出现内部文件失窃的现象。现如今,接入访问节点在运用较为普遍的是无线传输协议802.11b/a/g/n系统[4]。其中,此系列协议由于其运用简单方便,可为网络部署规划提供便利。另外,又因其开放性促使服务集标识符可视、密码过于简单、无线路由器WEP破解等安全风险。具体体现在以下几点:(1)服务集标识符可视。主要针对无线Wi-Fi的服务集标识符广播处于开启状态,能够在任何医疗医院中的移动终端搜索,这也在一定程度上为不法分子提供找出网络入口的有效途径。(2)密码设定过于简单。主要针对网络管理工作者设定Wi-Fi密码过程中,习惯应用规则比较简单、长度比较短的数字与字幕、常用词汇作为医疗医院的信息网络密码。因Wi-Fi连接能够实时接入,所以容易发出警报或者用字典攻击破解。(3)无线APP接入一般会选取有线等效保密算法安全手段加以认证与加密。有线等效保密算法会经过认证请示、挑战冲击、积极影响、确认成功的4个过程展开用户认证。但是由于有线等效保护算法面临完整性校验值容易被更改、RC4算法有一定缺陷、密钥管理制度不完善、用户密钥比较短等风险影响因素。因这些风险因素,已经形成诸多软件工具,能够对等效保护密码进行破解。
2.3移动医疗网络和连接安全风险
移动医疗医院信息网络常常受到免费Wi-Fi系统影响,使其面临接入安全风险,面临局域网计算机上非法装置免费Wi-Fi软件系统或者随身WISI可提供非法无线接入。没有经过授权允许的终端仪器经过非法接入,能够访问内部保密数据导致数据泄露或者用户利用手机、平板电脑访问视频网站、下载数据信息[5],因占用可用宽带比较多,对网络系统常规工作带来不利影响。此种行为会对移动医疗医院信息网络管理带来影响,使其面临风险隐患的威胁。
3强化移动医疗系统的网络安全方法
3.1网络设施安全方法
针对服务集标识符的可视性、密码过于简便等特征,能够经过仪器设备的合理调节,将此风险危机消除,且通过医疗医院信息网络,能合理部署设置纳入针对性的操作标准[6],进一步消除平日安全风险控制工作的风险。在医疗医院信息化网络安全管理中,明确要求接入访问节点仪器需将服务集标识符广播仪器规划要求关闭、密码设定复杂,同时设置分层负责例行检查机制,交由分管仪器安全维护工作者负责,做好相应的设定检查工作,以便针对不符合规范标准的情况进行风险排查处理。有线等效保密密码因风险性比较高,可选取更高安全性的加密算法,例如WPA、WPA2加密算法等[7]。此种加密算法有着较高的安全性,所以在AP层面上,尽可能选用WPA或者WPA2加密算法。
3.2定期进行检测软件的更新与整理
针对非法接入仪器可经过装置检测软件方式展开探测分析。此种软件能够对报文IP头特点、运用层数据内容特点展开分析,从而判断是否存在私自接入随身Wi-Fi或者无线路由器的行为。因无线路由器与随身Wi-Fi仪器持续更新,所以也要定期进行检测软件的更新与整理,从而降低系统风险。外网防火墙上可装置新型Web防火墙系统,此系统运用于超文本传输协议层与更高协议层[8],经过增强验证、超文本传输协议层状态管控、增强超文本传输协议层防护手段,能够将假冒终端有效识别,使攻击风险降低。
3.3强化移动医疗医院信息网络的安全解决方案
医疗服务器在Windows操作系统支持下,同无线终端统一装置防病毒、防木马等软件系统,交由管理工作者定期进行最新系统补丁、病毒数据库的升级处理,从而使软件系统的风险降低。利用Oracle数据库,使移动医疗医院信息网络数据库的平稳性、可靠性进一步提升,数据信息的稳定对于保护移动医疗医院信息网络大有益处。只有保障数据信息的稳定,才能提高医疗服务器的安全水平。Oracle数据库能够对各类杂乱无章的数据信息展开保护处理[9],这对于移动医疗医院信息而言意义重大。数据库服务系统的装置,可通过双机热备、磁盘容错等方式作为指标配置,使数据信息的可用性得到良好保证。所以,在条件允许情况下,可对数据库实施备份处理,保证数据信息的完整性、有效性,使数据信息保持同步状态,备份相关内容,将数据丢失造成的风险隐患降到最低。针对无线终端应用需形成健全的应用管理机制,而对于医院中无线网络应用的医务工作者也需要定期开展安全培训活动,使其业务技能水平提高,避免在应用过程中存在意外现象,使移动医疗医院信息网络面临风险威胁。同时,还要严格认证无线终端应用者的账户密码,并要求其定期修改密码。甚至通过运用多重密码进行解锁,或者使用声音锁、指纹锁、容貌缩等加以确认[10],不但能使移动医疗医院信息网络的风险性降低,还能提高其应用效果,有效保护网络安全。另外,既要保障网络信息服务的安全性,还要管控无线终端,每日对移动医疗医院信息网络设备展开发放与回收登记,定期做好各项网络系统的排查工作,扼杀任何网络风险,保障移动医疗医院信息网络系统的安全性。严格保证无线终端不被用于其他用途,例如网络聊天、游戏等,尤其是不正规的网络游戏,容易造成病毒入侵,给医院带来不可预估的后果影响。在终端工作站当中装置双重查杀病毒系统,做好系统的升级工作,也可装置第三方软件,把MAC地址与IP地址实施捆绑,提高信息的可靠性与安全性。尽可能应用苹果系统、安卓系统下的移动平板仪器,使手持工作站对于不同软件的兼容性提高。避免非正常权限以下的运作技术、自定义键盘、避免窥探等风险行为,强化用户端,提高移动医疗医院信息网络的安全加密效果。
4结语
综上所述,通过形成完整的移动医疗医院信息网络安全管理规范流程,能够减轻由于人为因素造成的安全风险,应用高强度加密算法,使移动医疗医院信息网络系统更加安全、可靠。随着无线网络的完善发展,新型攻击技术推陈出新,需要移动医疗医院信息网络系统维护工作者对其网络软件、硬件展开改进与完善,才能使移动医疗医院网络运作更加顺畅无阻。
【参考文献】
[1]宋杰,孙国强,马琏,等.医院移动医疗安全挑战及思路探索[J].中国数字医学,2019,14(1):89-91.
[2]帕哈提江·尼加提,阿不都外力·买买提.移动医疗医院网络信息安全问题及对策分析[J].健康大视野,2020,4(18):294.
[3]姜丛吾.移动医疗医院信息网络安全和对策探索[J].科技创新导报,2020,17(9):140-142.
[4]徐涌.移动医疗医院信息网络安全分析及措施[J].中国保健营养,2019,29(2):378-379.
[5]孙央.移动医疗在医院信息化建设中的应用探讨[J].信息记录材料,2020,21(1):223-224.
[6]贾楠.移动医疗在医院信息化建设中的实践探究[J].数字化用户,2019,25(31):96.
[7]何钟鸣.基于云平台的医院信息系统建设与应用研究[J].网络安全技术与应用,2020,2(4):132-133.
[8]杨洋.浅析“互联网+医疗”建设与应用模式[J].科学与信息化,2019,3(12):131.
1大型企业网络安全的设计
(1)大型企业网络安全的主要需求。企业网络安全的主要需求是根据具体业务的发展而确定的。以国家电网的电力企业为例,在网络安全上,需要建立具有Web和Mail等服务器和办公区客户机,企业的各个部门之间能够进行相互的联系,同样,也要进行必要的隔离。大型企业网络安全的设计中,主要的需求就是对网络设备进行组网规划,对网络系统的可用性进行保护,对网络系统的服务设施连续性设计,防止网络资源的非法访问,防止入侵者的恶意破坏,保护企业信息的机密性和完整性,防范病毒的侵害,对网络进行安全管理。以电力企业为例,对网络安全的需要主要是对业务的办理和系统的改造,要求企业的网络具有稳定性,能够保证各种信息的安全,防止图纸或者文档的丢失。
(2)大型企业网络设计的功能。在企业的发展建设中,应用计算机网络进行运营控制,提高了企业的经营和管理效力,但是,因为技术性的原因,也给网络安全带来的隐患。企业对于网络设计的功能主要可以体现在企业要求最资源进行共享。也就是说在网络内部企业的各个部门都能够共享数据库,共享打印机,形成办公自动化的良好秩序。对于大型企业而言,业务繁多,办公自动化非常重要,通过办公自动化能够形象高效率的工作方式。在通信服务方面,通过广域网能够随时接发邮件,实现Web应用,同时,接入互联网实现网络的访问,这样可以使企业能够随时在网络上进行查询,能够保证最新鲜资讯有明确的了解。
(3)大型企业网络设计的原则。大型企业的网络设计原则主要是以企业的运行为基础,以提高企业的运行效率为根本。在设计原则上需要掌握:第一,应用的便捷性。网络系统要以应用为前提,在实用性和经济方面具有绝对性优势,通过建立企业的网络系统,能够把企业统一到一个资源共享的平台。在资源利用上,保持好良好的状态。第二,技术的成熟性。网络系统设计需要进行不断的更新,以先进的技术和方法,引领网络发展。企业的运行中,涉及的部门多,业务种类多,这就要求网络系统对设备和工具十分熟悉,在网络的支撑下,能够完成各个部门的具体化工作。第三,系统的稳定性。大型企业依靠网络进行的工作很多,这就网络系统一定要具有超高的稳定性,在技术措施上,系统管理中,厂商技术中,维修能力方面都要能够随时确保系统的运行可靠性。如果网络系统运行不稳定,就会给整体企业的运营带来时时的危险性。例如大型电力企业中,如果网络不稳定,就会造成数据采集不稳定,就会给整体信息收集带来不良后果。
(4)具体应用技术的实施。在技术应用上,需要从网络安全的内部和外部进行综合控制。在位置选择上,需要选择具有防震、防风和防雨功能的建筑物,机房承重要求要满足设计要求,避免强磁场,强噪声的环境,避免重度污染的环境,避免容易发生火灾的环境。电力供应方面要选择稳定的电压,设置电压防护设备,能够提供短期备用电的地方。在电磁防护方面,采用接地方式防止外界干扰,电线和通信线路要进行必要的隔离,防止二者之间相互干扰。在访问权限上实施控制策略,企业的决策层,财务层,市场运营管理和生产层,都要进行分级别的VPN设计,各个VPN层级要有明确的区分。
2大型企业网络安全解决方案的实现
(1)确保网络企业的物理安全。网络安全的前提和基础性条件就是物理条件,在物理安全上,要重视环境设置。在机房环境安全上,要将信息系统的计算机硬件,网络设施等进行统一的管理。防止自然灾害,物理性损坏和设备故障,电磁辐射,痕迹泄漏,操作失误,意外疏漏等。在传输介质的选择上,要配有支持屏功能的连接器件,介质要具有良好的接地功能,能够对干扰严重的区域使用屏蔽线,增强抗干扰能力。在传输介质上,光纤具有明显的优势。
(2)形成网络防火墙的优化配置。网络防护墙对于网络安全是一项重要的技术类型,网络防火墙在配置过程中要掌握好,防火墙选择的数码类型,或者防火墙和VPN功能的结合,在防火墙的设计上,确定好源域,源地址对象,目的域,目的地址对象。防火墙要设置全局访问策略,在域内或者域间进行访问,内部网络为信任区域,外部网络为不信任区域。防火墙允许外部网络访问,但是不能进行内部访问,中间位置的访问需要进行权限设置。网络防火墙的优化配置,是形成网络防护的重要方式,网络防火墙的设计对于网络安全是重要的技术措施。
(3)实现网络VPN的准确对接。在网络技术不断进步的过程中,对网络安全解决的方案也逐渐进行完善。网络安全需要建立多重防御体系,同时在商业及技术机密上,要做好多种防范措施。大型企业是国家经济建设的重要组成部分,是创造经济效益和社会效益的集合体。网络的VPN功能主要是通过防火墙实现,在设计中主要是通过PPTP协议来是网络VPN,因此,首要的任务就是增加PPTP地址池,在PPTP设置中,选择Chap加密认证。
(4)构建网络防病毒多重体系。网络安全解决方案中防病毒体系的构建至关重要。通过防病毒体系的构建,可以针对企业网络安全的现状进行设计,通过建立多种防病毒方案,确保在简单或者复杂的网络环境下,都能够设计出适应大型企业运行情况的计算机病毒防护系统,这种系统可以适应多台机器,可以适用于多个服务器,在不同的超大型网络中,能够具有先进的系统结构,超强的杀毒能力,有效的远程控制力,可以方便进行分级和分组管理。
3结语
现代化的企业采用的方式也是现代化的,现代化的技术具有明显的优势,同时,也存在一定的弊端。网络信息资源的共享,为企业发展提供了智力支持,但也给企业带来了很多不安全的因素。对于大型企业的网络安全而言,要从技术上和管理上进行控制,通过有效的管理手段和升级化的技术,突出技术与管理的融合,实现网络安全的有效控制。
参考文献
[1]彭长艳.空间网络安全关键技术研究[J].国防科学技术大学,2010.
[2]阿莱.计算机网络安全问题及解决策略初探[J].信息与电脑(理论版),2012.
[3]卜祥飞.大型企业网络信息安全问题与解决方案[J].全国冶金自动化信息网2012年年会论文集,2012.
一、政府计算机网络中的安全影响因素
在当代社会,计算机网络已经是人们生产生活所必须的信息载体,它不仅在生产、交易、教育、流通等各个领域得到广泛的应用,而且,它也成为了各地政府部门进行管理的一种新型手段。但是,政府网络复杂的系统和设备以及多个平台的应用,就导致了政府计算机网络的安全性要比个人用户的安全性差。
1.突发事件带来的安全隐患。这里的突发事件主要是指一些不可抗力所造成的信息丢失,这是一种能预测,无法避免的问题,如地震、火灾、泥石流等原因,这种情况下的网络系统所遭受的破坏一般都是无法修复的,是毁灭性的破坏。
2.物理方面的安全隐患。政府的计算机网络都是用来进行数据通信的,它是通过无线电、物理线路等网络设备进行运行的,但是,这些网线、光纤、电缆等连接设备会遭到自然或者认为的破坏,这样就会导致数据丢失,给政府工作带来极大的不便。
3.网络病毒带来的安全隐患。虽然计算机技术在不断的发展,但是,病毒的威力和品种也在不断的上升,病毒对计算机的攻击会导致计算机瘫痪,或者政府政务网络平台上的信息被破坏、被泄露等现象,在众多的影响因素中,网络病毒的攻击和入侵是比较难处理的现象,因为,它具有再生和在发展的能力,会出现不断的攻击和来自不同病毒的攻击。
二、政府计算机网络中存在的安全隐患
当前,电子政务系统已经成为了我国各地政府部门行政的一种方式,它主要包括了政府的机密、领导的管理系统、重要事件的分析和解决等系统,那么,他们的安全都是靠计算机网络的安全来保证的。但是,现在我国政府计算机网络的安全还是存在着以下一些隐患的:
1.非法访问现象的存在。当前,还是存在着政府政府系统未经允许就擅自非法闯入的现象,这也不排除政府工作人员擅自授权、越权访问等的存在,他们对政府计算机网络的信息资源以及网络的连接进行滥用,导致政府信息被频繁的泄漏。
2.被攻击现象的存在。政府计算机网络总是存在被攻击的现象,这种现象的存在主要是两种原因所导致的,一种是有人通过程序进行攻击,主要有口令攻击、邮件炸弹、扫描等程序和工具进行对政务系统进行干扰,打乱正常的网络工作流程,使服务器工作量过大导致瘫痪。
另一种就是通过计算机网络病毒进行攻击,干扰政府政务系统的运行。通过含有病毒的邮件进行病毒传播,在工作人员打开邮件的同时就把病毒栽种在了整个计算机系统中了,或者政府工作人员在不知情情况下使用了有病毒的光盘,这样都会导致病毒的入侵。
3.政府政务信息丢失的现象。这部分强调的是具有保密性质的信息丢失或者被毁损。这种情况一般都是发生在地方政府中,因为地方政府在网络安全的管理上不够重视,工作人员工作散漫,在他们的工作电脑上往往都存着设计到机密的信息,在疏忽管理的情况下就会导致信息被有意无意的丢失。
还有一部分是政府工作系统内部的资源共享部分的安全受到冲击,工作人员对共享部分的资源不是很重视,导致工作人员为了节省时间直接把所有的信息都放在了共享中,导致了很多重要的信息被长期共享,为不法人员提供了窃取的机会。
三、政府计算机网络安全问题的解决方案
面对着政府计算机网络安全存在的安全隐患,为了保证政府信息安全,必须采取措施解决这些问题。我们要尽量采取对人力、物力、财力投入最少的方式,这样才能够实现在解决问题的过程中还能减轻政府的压力。
1.加强对基本设备的保护,减小物理威胁。计算机要想正常的工作,必须有基本的工作设备,因此,我们要对计算机的基本工作设备如网线、光纤、交换机、服务器等硬件设施和网络连接设施进行保护,避免自然现象和人为原因对其造成破坏。同时,要从内部管理制度上进行着手,建立一个完善的机房管理体制,确保网络网络设备有一个良好的存放和工作环境,对机房的水、电等存在安全隐患的因素要加强监管,防止物理安全隐患的出现。
2.加强系统维护和反毒程序的运行。首先,就要对计算机网络系统的程序进行安全扫描,在扫描的过程中可能会出现很多的漏洞和危机,这时,我们要及时地通过安全扫描这样一个安全防御措施来进行修复和调整。通过对工作站、路由器、服务站、数据库等进行扫描,把扫描结果和相关的数据分析向该系统的管理人员报告,并提出可行性的分析防止报告,这样就可以为网络系统的安全水平提供执行依据。
其次,面对越来越严重的病毒入侵,我们必须对政府计算机网络系统采取反病毒措施。伴随着新技术的不断发展,病毒的原有概念已经发生了很大的改变,不再是单纯的对系统性文件进行感染,而是发展到了自动传播的程度,并且,其存在空间也在逐渐的扩大。就近几年的中毒情况来说,很多都是网络型的,这样的传播速度是非常高的,反病毒技术已经随着病毒的发展而发展到了实时防护阶段。所以,政府要加大对病毒防护的通入,不要把眼光只放到程序的维护。
3.强化政府计算机网络技术,防止非法入侵。我们针对计算机网络的安全问题要正确面对现实,科学分析计算机网络的安全需要,针对存在的问题建立计算机网络安全运行技术结构,根据不同用户的性质实行相应的网络准入制度,根据不同用户的访问权限,设定不同的访问空间,同时,对于共享平台上的信息要进行仔细的筛选,根据国家对信息的安全规定,对设计国家秘密的信息进行严格的过滤,尤其要求工作人员对于高级别的网址和秘钥不能私自公开或转授。
针对外来人员非法入侵的情况,我们要加强网络系统的安全管理,特别是密码管理。加密是我们对信息的一种最基本的管理方式,那么,在对信息进行加密的过程中,我们可以选择对信息发送、传输和存储等三个大方面进行加密处理。加密就是把原来能看得懂的东西转化成为看不懂的东西,可以通过把传输的信息变成一堆乱码。这样,使得在传输过程中即使被盗也不会对该信息的安全性产生很大的影响。
四、总结
随着计算机技术的不断发展,计算机的安全问题会逐渐被解决,但同时,更多的危险因素也会随之增加。因此,我们要加强对政府计算机网络安全的研究,做好监督和预防工作,尽量减少网络安全给政府日常工作带来的不良影响。
参考文献:
(保密的学位论文在解密后适用本授权书)
论文作者签名: 导师签名:
签字日期: 年 月 日 签字日期: 年 月 日
内 容 摘 要
本文针对浙江广播电视集团网络,以及集团网络安全的建设、改造提出了相应的解决方案,并且从网络和网络安全两个主要方面进行了相关的阐述。首先,对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后,对集团中的计算机网络、以及网络安全的现状进行调查研究。其次,针对浙江广播电视集团的网络现状进行了详细的需求分析。最后,提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后,有助于提高其计算机网络系统的可靠性、以及网络的安全性。
关键词:网络系统,数据安全,网络安全,局域网
ABSTRACT
The thesis brings forward the relevant solution of the network and the Internet security of Zhejiang Radio & Television Group giving elaboration on the two aspects. First of all, it explains and analyzes the related technique of the network and the Internet security will possibly be used in this project. Then, it studies and researches the computer network and security used in group. Thirdly, on the basis of ZRTG network it sets out the concrete demanding analysis. At the end of the thesis, it states the detailed design project on Internet and the facts of Internet security of ZRTG. The project is helpful to improve the reliability of network and the safety of Internet.
KEYWORDS:network system,data security, network security,LAN
目 录
第一章 引言 1
第一节 选题背景与意义 1
第二节 集团网络安全发展与现状 1
第三节 网络安全相关技术介绍 2
第二章 集团网络安全系统概况及风险分析 4
第一节 集团网络机房环境 4
第二节 网络应用数据备份 4
第三节 网络安全弱点分析 5
第四节 网络安全风险分析 6
第三章 集团网络安全需求与安全目标 7
第一节 网络安全需求分析 7
第二节 网络安全目标 7
第四章 集团网络安全解决方案设计 9
第一节 网络监控管理系统 9
第二节 电子邮件安全解决方案 9
第三节 远程数据传输的加密 10
第四节 服务器的安全防护 11
第五节 计算机病毒防护的加强 14
第六节 网络攻击及防护演示效果图 15
第五章 结束语 17
参考文献 18
致 谢 19
第一章 引言
第一节 选题背景与意义
随着互联网的普及度越来越高,全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁,使得网络安全问题日益突出,信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷,如何防止网络攻击,保障各项业务的顺利进行,为广大用户提供一个安全的网络环境变得尤为重要。
本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后,有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁,计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础之上,再采用先进的技术和产品,构造全方位的防御机制,使系统在最理想的状态下运行。
第二节 集团网络安全发展与现状
图1-1网络拓扑图
浙江广播电视集团作为省级广电传媒集团,现有计算机网络于2002年10月建成,在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展,网络应用的不断深入,应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络,远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输,整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出,安全日益成为影响网络效能的重要问题,而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时,对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施,但因为网络复杂性的逐步提高,网络中存在隐患的可能性以及由此产生的危害性也大大提高,因此在网络系统的进一步建设过程中,及时查清网络隐患的必要性就体现了出来。
第三节 网络安全相关技术介绍
要保证计算机网络系统的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
一、防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可已被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流,确认其来源及去处, 检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:数据包过滤、监测型、服务器等几大类型。
二、数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之 一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
三、认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接收者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
四、虚拟专用网络(VPN)技术
虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
五、计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
(一)较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、 UNIX和Netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查毒、杀毒范围广、能力强的特点。
(二)完善的升级服务。与其它软件相比,防病毒软件更需要不断地更新升级,以查杀层出不穷的计算机病毒。
第二章 集团网络安全系统概况及风险分析
第一节 集团网络机房环境
目前,浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的,只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解,目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑,主要有如下方面:
一、网络机房都作了可靠的防雷措施,建设有防雷接地网,其接地电阻小于1欧姆;大楼顶部建设有避雷针。
二、所有从网络机房大楼外接入网络机房的数据信号,全部采用光纤接入。
三、网络机房内大多配备UPS电源系统。
四、机房内铺设防静电地板、吊顶,对墙面进行了无尘处理。
五、安装机房防盗监控系统。
六、配备机房消防系统和应急照明系统。
七、所有楼层交换机的供电都是由机房内 UPS 通过专用的线路直接供电,与楼层内的其它电源系统没有任何连接。
第二节 网络应用数据备份
在广电集团的计算机网络中大多己经有功能数据备份与恢复系统,它是一套基于磁带介质的备份与恢复系统,有2套文件备份的License和1套Oracle数据库备份的License,进行服务器的文件备份和Oracle数据库的实时备份和恢复。
浙江广电集团网络中已经有了以下几个网络安全方面的考虑:
一、病毒防护
网络中使用了诺顿病毒防护系统,该病毒防御系统是基于网络的病毒防护系统,在网络内能够远程的安装网络客户端的病毒防护软件,进行病毒特征库的自动更新,集中控制和管理。但是,网络中的病毒防护系统没有集中控制和管理的控制台,不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。
二、外网接入安全防护
网络目前大多没有单独的外网接入点,没有自己的外网接入安全防护,使用统一的出口和安全策略。
三、入侵检测系统
在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1
图2-1 广电集团入侵检测系统示意图
第三节 网络安全弱点分析
浙江广电集团网络系统安全弱点主要包括:
一、硬件弱点: 硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中,一旦发生硬件的安全问题,将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。
二、操作系统弱点: 由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台,一旦操作系统被渗透,就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题,动态连接给厂商提供开发空间的同时为黑客开启了方便之门。
三、数据库系统弱点: 由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。
四、网络系统弱点: TCP/IP协议本身的开放性导致网络存在安全隐患。如:TCP/IP 数据通信协议集本身就存在着安全缺点,如:大多数底层协议采用广播方式,网上任何设备均可能窃听到情报; 协议规程中缺乏可靠的对通信双方身份认证手段,无法确定信息包地址真伪导致身份“假冒”可能;由于TCP 连接建立时服务器初始序号的可推测性,使得黑客可以由“后门”进入系统漏洞。
五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。
六、业务系统弱点: 节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。
七、安全设计的弱点: 安全设计不周全可能构成系统防护的弱点,由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制,安全体系设计要求具有良好的可扩展性和动态自适应性。
八、管理弱点: 工具不多,技术水平不高,意识淡薄,人员不到位。
第四节 网络安全风险分析
网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点,增加了广电集团网络系统的安全风险。
由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性,主要有:
一、人为因素:
未经授权访问重要信息
恶意破坏重要数据
数据窃取、数据篡改
利用网络设计和协议漏洞进行网络攻击
假冒、伪造、欺骗、敲诈、勒索
内部人员恶意泄露重要的信息
管理员失职
二、自然因素:
设备的老化
火灾、水灾 (包括供水故障)
爆炸、烟雾、灰尘
通风
供电中断
电磁辐射、静电
以上都可能引起设备的失效、损坏,造成线路拥塞和系统瘫痪等。
第三章 集团网络安全需求与安全目标
第一节 网络安全需求分析
为了确保广电集团网络系统的安全,其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。
从安全管理要求来分析,要考虑政策、法规、制度、管理权限和级别划分、安全培训等,特别要考虑基层人员计算机水平不高,系统设计和培训等方面要周密考虑,制定切实有效的管理制度和运行维护机制。
从物理安全要求来分析,要根据浙江广电集团实际情况,确定各物理实体的安全级别,建立相应的安全防护机制。
从系统安全需求来分析,需要解决操作系统安全、数据库系统安全、TCP/IP 等协议的安全、系统缺陷、病毒防范等问题。
从网络安全需求来分析,要考虑系统扫描、入侵检测、设备监控和安全审计等,要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性,拨号线路的保密性和身份鉴别。
从应用安全和信息安全需求来分析,要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备 (各种计算机、笔记本电脑、无线WAP终端及其它终端设备) 以及其中运行的操作系统的安全可靠。
因此,广电集团网络系统安全要重点做好以下几方面的工作,同时也是本安全方案的设计需要解决的问题:
一、解决内部外部系统间的入侵检测、信息过滤 (防止有害信息的传播)、网络隔离问题;
二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改 等所带来的问题;
三、解决重要信息的备份和系统的病毒防范等问题;
四、建立系统安全运行所匹配的管理制度和各种规范条例;
五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题;
六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。
第二节 网络安全目标
计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内,存在着传输系统的地域分布问题。这些传输通信系统可以是有线的,也可以是无线的。这类传输可以在中途被截获,存在着“中间攻击”的问题。从攻击的手段来看,攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难,网络安全要特别重视防截获,防泄露和信息加密的实施。
目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。
网络防护的基本服务: 网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。
网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全,概括为确保信息的完整性、保密性、可用性和不可抵赖性。
信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看;
信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变;
信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务;
信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。
为了更加完整的执行上述网络信息安全的思想,防止来自集团内部局域网上的攻击,又由于浙江广电集团网络连接关系复杂、网络设备多,使用租用的国内的通信线路,存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求:
1) 防止计算机病毒的蔓延
集团网络众多的用户,可能由于内部管理上疏忽,装入未经杀毒处理的软
件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等,这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播,将造成网络软硬件设备的损害以至于整个网络系统瘫痪。
2) 加强网络安全的动态防护
网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中,使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此,安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段,及时发现网络安全漏洞和各种恶意的攻击手段,及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。
3) 保障集团内部业务系统的安全稳定
由于涉及省台与各地方台的视频传输,不可避免的会遇上各种各样的问题,因此,在网络层对业务的安全要保障得力,并且要确认信息传输的安全稳定。
第四章 集团网络安全解决方案设计
第一节 网络监控管理系统
由于浙江广电集团的网络建设已有很多年的时间了,其很多网络设备都自带了监控及管理软件或工具,但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题,并且在员工抱怨之前解决问题。
这里对推荐的美国 CA 公司的网络监控管理系统 (Unicenter Network & System Management)所能够达到的功能简单地说明一下:通过 TCP/IP 协议,不需要专门的培训,用户就可以配置该网络监控管理系统,启动网络监视管理功能后,能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时,首先可以通过该软件的网络探查功能,能够全面查看用户网络的底层构件,确认整个网络的体系结构,并以一种可描述可管理的模式定位所有的网络设备,并将这些设备存储起来,迅速绘出网络结构图,同时启动设备的监控,而这些过程都是自动生成的,非常简单易用,可操作性强,这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。
在这个过程中,首先通过该网络监控管理系统 24X7 的全时设备轮询网络监视功能,迅速识别网络元件的任何问题,当监测到问题时,可以不同的颜色显示出来,并以通过手机、e-mail、声音警报通知管理人员,同时根据各网络元件相互之间的依赖关系,自动关闭与 有问题网络元件之后的所有网络元件的连接,减少冗余数据数量,避免冗余通知。此外,还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。
当网络监控管理系统识别网络失效时,在向相关人员发送警报及通知时,该软件还可启动一个程序来定位网络失效。因此,当状况被隔离之后,一个特定的应用程序或者脚本程序就会被执行,或许是重启这个服务或许是重启计算机。这个进程是自动的,因此当相关人员收到设备失效的通知时,相应的措施已经采取了,管理人员不用回到办公室,因为当管理人员在收到通知时已经知道问题己经解决了。
在这一系列监控与管理过程中,网络监控管理系统都能自动生成监控及管理日志,并对系统的使用情况与趋势形成报告,以便用户形成较为完善的系统化管理,提升工作效率。
第二节 电子邮件安全解决方案
解决电子邮件安全问题,我们需要从三个方面来考虑如何应对:
1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵;
2) 对进出邮件系统的所有邮件进行备份,用于监控和备查;
3) 对敏感的邮件内容进行加密传输,防备在传递路径上的恶意窥伺。
对集团来讲,现实的方法是结合现有的成熟技术,组合出一个在经济上和技术上合理的解决方案,同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分:
1、电子邮件安全网关技术方案
通过邮件安全网关的部署,在病毒程序、垃圾邮件等不良信息进入集团邮件系统之前,便对其进行遏制、阻截,从而保证集团电子邮件系统的安全稳定运行,节省邮件系统存储空间,避免机密的泄漏。
在邮件网关硬件系统上整合邮件反病毒引擎,对进入集团邮件系统的电子邮件进行病毒检测,采取邮件隔离、删除以及清除病毒等操作,减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势,定时升级邮件网关病毒库。
2、邮件备份系统技术方案
在集团现有邮件系统的基础上,实现对指定时间内(如最近一年)所有收发邮件的备份,并且管理员根据邮件信息摘要(例如:发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。
3、邮件加密系统技术方案
保护重要电子邮件不被泄密,防止内部人员未经许可将重要电子文档以邮件的方式泄密,防止电子邮件被截取而引起的泄密。保证工作效率,在尽量不改变使用者收发邮件操作习惯的基础上,保证电子邮件正常畅通使用。
考虑到文件安全扩展的需求,除电子邮件之外,信息泄密还有多种途径。在保护邮件安全的基础上,要考虑到日后系统的扩展性。
邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。
第三节 远程数据传输的加密
建立基于SSL VPN技术加密访问系统,使得从Internet到内部网络的访问使用SSL VPN数据加密通道,保证数据在传输过程中保密性。
目前能够提供 SSL VPN 加密产品的厂家很多,但是本文认为在SSL VPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面,Juniper的Netscreen SA 1000具有相对的优势,是其它厂家无法比的。
Juniper 网络公司SSL VPN产品家族的Netscreen-SA 1000系列,使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准 Web浏览器接入企业网络和应用。NetScreen-SA 1000系列使用SSL作为安全接入传输机制,SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需进行成本高昂的长期维护。NetScreen-SA 1000产品提供先进的合作伙伴喀户外联网特性,以控制用户或用户组的网络访问,无需更改基础设施、无需部署DMZ 、也无需软件。这项功能还允许公司安全接入企业内联网,使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。
NetScreen-SA 1000系列解决方案的主要特性与优势如下:
一、端到端分层安全性
端点客户端、设备、数据和服务器的分层安全性控制,Juniper网络公司 Endpoint Defense Initiative(端点防御计划),用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有成本。不需要部署客户端软件或更改服务器,几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入,无需构建 DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化
二、可管理性
(一)集中管理选项提供统一管理
(二)用户自助服务功能,可降低技术支持服务窗口的支持成本
(三)细粒度的审计和日志记录
(四)3 种不同的接入方法,允许管理员根据具体目的来设置接入权限
(五)基于角色分配管理任务
三、高可用性
群集对部署选项,可为整个LAN和WAN提供高可用性。
第四节 服务器的安全防护
一、业务服务器的安全防护
(一)防火墙的安装
这里将在Catalyst 4506交换机与服务器群的交换机之间安装一台高性能的防火墙,并根据服务器群中的每台服务器的应用系统的情况,在该防火墙上进行一对一的安全策略配置的工作。
(二)入侵检测系统的安装
这里将在服务器群的交换机上配置一个侦听端口,将流经该交换机所有端口的数据包都复制一份传送到侦听端口上;再把入侵检测系统连接到该侦听端口,接收该端口输出的所有数据包,并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。
二、涉及到的设备选择
(一)防火墙的选择
防火墙的类型主要有:数据包过滤、监测型、服务器等几大类型。
1)包过滤型
包过滤型防火墙是防火墙的较初级产品,其技术基于网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:
图4-1包过滤型防火 墙的工作原理
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2)型
型防火墙也能够被称为服务器,它的安全性要高过包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示
图4-2型防火墙的工作原理
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
本文将选用业界性能较好的、可靠性较高的Juniper 的NetScreen 5200防火墙,该防火墙的技术参数如表4-1
表 4-1 NetScreen 5200 防火墙技术参数表
物性/功能 NetScreen-5200
接口数 2个XFE 1OGigE,或8个Mini-GBIC, 或2个Mini-GBIC+24 10/100
最大吞吐量 1OG 防火墙
5G 3DES/AFS VPN
最多会话数 1,000,000
最多VPN 隧道数 30,000
最多策略数 4000,000
最多虚拟系统数 5
最多虚拟LAN 数 4000
最多安全区域数 默认设置为16个,最多增加1000个
最多虚拟路由器数 默认设置为3个,最多增加500个
支持的高可用性模式 主用/备用
支持的路由协议 OSPF, BGP, RIRV1/V2
深层检测 是
集成/重新定向,Web过滤 是/否
(二)入侵检测系统的选择
这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2
表4-2 NGIDS-UF 入侵检测系统技术指标表
型号 NGIDS-UF
类别 千兆IDS
规格 2U 机架式
网络接口 1个10/100Base-TX: 2个千兆光纤
2wh 10/100/1000Base-TX
串口 1个RS-232C
第五节 计算机病毒防护的加强
一、在原有的病毒防护系统增加集中管理控制台
新增一台服务器,在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。
二、增加网络病毒防火墙
在每个楼层交换机的上联端接入一台网络病毒防火墙,对局域网内的病毒进行区域控制:在二级单位广域网入口处安装一台网络病毒防火墙,保障二级单位的广域网线路不会受到病毒数据包的影响。
涉及到的设备选择:
(一)诺顿的防病毒集中管理控制台
只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。
(二)网络病毒防火墙
目前有趋势相关的硬件产品出售,并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:
1.执行免的安全策略
网络病毒墙对非兼容设备进行隔离修正,以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免的安全策略可减少管理负荷,并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。
2.漏洞隔离
网络病毒墙根据Trend Micro的漏洞评估功能,隔离网络蠕虫可利用的潜在环节,使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施,避免病毒的爆发。网络病毒墙提供漏洞评估服务,并将该功能作为一个可选项。
3.灵活的、集中式管理
网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台,它根据主机安装永久的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。
4.网络扫描及侦测
网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用,并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外,网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控,并提供威胁的早期预警。
5.网络病毒爆发监控
网络病毒墙通过实时监控网络流量或可疑活动来提供早期的威胁预警。并在中心控制台上发出病毒爆发通知,立即提示管理者蠕虫攻击目标、受感染的主机、或具体的受攻击的漏洞。
6.网络病毒爆发防御
网络病毒墙部署了Trend Micro病毒爆发防御服务,通过阻绝任何蠕虫传播组合,包括8地址或地址范围、端口及协议、即时通讯渠道、文件类型扩展名、及文件传递。
7.自动清除损害
网络病毒墙通过隔离感染的网络段、主机、或客户,进行清除及修正,阻止了再次感染。凭借自动、免清除蠕虫(木马)痕迹、及系统文件配置(system.ini)修复功能,Trend Micro的清除损害服务可以防止再次感染,降低清除成本。
第六节 网络攻击及防护演示效果图
图4-3网络攻击及防护演示效果图
针对浙江广电集团的网络结构,当出现如下各类情况时解决方案如图4-3所示:
1、 漏洞扫描-识别攻击行为
2、 上传病毒/木马-修复系统漏洞
3、 启用后台服务监听-防病毒软件
4、 远程控制服务器-防火墙入侵检测
5、 攻击业务系统-防火墙、双机容错
6、 破坏系统数据-备份、灾难恢复
7、 客户端中毒-防病毒软件
第五章 结束语
计算机网络的可靠性和安全性是在不断地变化的,不同的时期或者阶段对网络的可靠性和安全性方面的要求是不一样的。在网络的建设之初,集团网络关心最多的是网络的连通性,只需要网络能够传送数据即可,对于网络数据的延迟lunwen .1 kejian .com 一以及网络短时间的中断都没有过多的要求:当网络中存在着涉及到集团的关键性应用系统时,就对网络数据的延迟时间、以及网络的中断时间上就有了很高的要求,在一般情况下,为了保障集团应用系统的连续运行,集团网络系统是不允许发生网络中断的。因此,本文在方案的设计中就已经考虑到要符合目前的、以 及将来的网络应用系统的需要,同时本文设计的网络系统的可靠性和安全性可以根据集团网络业务系统的需要进行相关的调整,满足变化之后的网络业务系统的要求。
本方案是一个针对浙江广电集团目前计算机网络现状的网络、及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于集团网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。同时,本方案在设计、以及设备的选型上,己经做了今后扩展的考虑。
本方案并没有解决浙江广电集团计算机网络、以及网络安全方面的所有问题,随着计算机网络、及网络安全的技术不断地发展,以及集团网络应用系统不断地新增,集团业务系统也会对集团的计算机网络系统的结构和网络安全方面提出更高的要求,实现后满足集团实际的需要。
【参考文献】
[1] 张国清.CCNP BSCI详解.北京:电子工业出版社,2006.
[2] 拉斯特.网络安全基础[M].北京:中国邮电出版社,2006.
[3] 常晓波.CISCO网络安全.北京:清华大学出版社,2004.
[4] 王达.网管员必读——网络安全.电子工业出版社. 2007.
[5] 《非常掌上宝系列》编委会.数据备份恢复与系统重装一条龙.北京:科学出版社,2005.
[6] 张公忠.现代网络技术教程北京:电子工业出版社,2004.
[7] 飞科研发中心.电脑防毒防黑急救.北京:电子工业出版社,2002
[8] 黄志晖.计算机网络管理与维护全攻略.西安:西安电子科技大学出版社,2004.
[9] 欧阳江林.计算机网络实训教程,北京:电子工业出版社,2004.
[10] 金纯.IEEE802.11无线局域网北京:电子工业出版社,2004
[11] 施裕琴.网络安全的入侵检测系统及发展研究.集团经济研究2006,(27):25-26.
[12] 董凯虹.网络监控管理系统的功能.计算机世界周刊.2006.(4):50-51
[13] 胡越明.Internet技术及其实现.北京:高等教育出版社,2005.
[14] 陈雪著.Windows XP的完善.上海理工大学出版社,2005.8
[15] 麦肯兰勃.网络安全评估.北京:中国电力出版社,2006.
[16] C Kaufman, R Perlman, M Speciner , Network security: private communication in a public world.
[17] W Stallings , Cryptography And Network Security: Principles and Practice, 2006.
[18] Allan liska ,《The Practice of Network Security : Deployment Strategies for Production Environments》,Prentice Hall PTR,2004.
[19] Gert De Laet,《Network Security Fundamentals》,Cisco Press,2004.
致 谢
在论文完成之际,谨向所有给予我指导、关心、支持和帮助的老师、领导、同学和亲人致以崇高的敬意和深深的感谢!
首先感谢导师顾忠伟老师一直以来对我的学习、工作和生活所给予的无私关心、悉心指导和严格要求。尤其在论文的完成阶段,得到顾老师的耐心指导和严格把关。顾老师严谨的治学态度、求实的工作作风、平易近人的处世风范都深深影响了我。在此谨向顾老师表示最衷心的感谢和最诚挚的敬意!
感谢浙江广电集团科技管理部计算机科的同事,他们结合自己多年的计算机系统与网络安全的相关经验,给我提出了很多宝贵的建lunwen .1 kejian .com 一和对我实习中的帮助。在论文完成之际,在此特向各位同事表示深深的谢意!
在论文的材料收集期间,得到了负责集团网络工作的蒋老师的大力支持,他根据自己多年实际工作的经验,为我的论文写作、改进工作提出了许多有价值的宝贵建议,在此对蒋老师表示感谢!
感谢经济管理学院的各位老师、同学在学习工作等诸方面的支持和帮助,这一切使我在学习期间深受教益。
最后,深深地感谢我的家人旦他们在生活和学业上给了我无私的关怀,为了支持我的学业,付出了莫大牺牲。惟乞此文能够回报这些无比的关心和厚爱!
【关键词】网络安全;网络层;应用层
1 引言
随着互联网的重要性和对信息传递的影响也越来越大,Internet不但为企业和网络用户信息、检索信息以及资源共享提供了方便,也为个人使用网络资源提供了最大的平台,特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互,而3G业务的飞速推广和三网融合的快速启动,使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中,使整个网络的安全风险也越来越大,一些新的互联网安全隐患不断出现,给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。
而且,随着业务量的增大,IDC经常出现因非法网络用户入侵和蓄意攻击而造成较长时间的网络中断现象,象包括某些电信级IDC在内的很多其它IDC一样,IDC在提供网络服务的过程中存在着信息安全性、数据隐私性以及信息合法性等方面的比较严重的网络安全问题,因此,IDC是否能保证网络信息的安全成为了各大企业、用户以及政府关注的焦点。因此,受企业和政府重托的IDC面临着非常严峻的安全考验,IDC主要定位于Internet网络服务,对政府或企业客户提供个性化的服务。事实上,IDC的网络功能非常的丰富,应用范围包括网站托管、电子商务、服务器租用或托管等,比如企业用户的信息交换、数据存储,安全服务以及各种新型的增值业务。IDC能够创建全新统一的信息交换平台,能充分整合信息资源,实现网络资源低成本的信息共享,也是实现城市管理现代化的重要环节之一,如果提供网络服务的同时不能最大程度的保证网络安全,其个性化的服务就根本无从谈起。只有在基础平台设施完善和系统功能强大的基础上进一步使网络安全问题得到充分保障,才能够充分保证IDC为企业提供真正个性化的服务。因此,基于TCP/IP网络层和应用层的IDC网络安全的设计与实现显得至关重要。
2 IDC的发展过程
早期IDC投入运行并开始为企业提供较小规模的各类服务。从2007年开始,IDC向客户提供较大规模、较高质量的主机托管、虚拟主机、整机租用、机架出租等服务。随着投资规模不断扩大,IDC系统的影响也逐渐扩大。2009年开始,IDC承担的业务类型逐渐由原来的服务器托管、网站托管等较基础业务开始向网络加速、负载均衡和虚拟专用网等增值业务延伸,规模也在不断扩大,其在业务收入方面也不断提高。
国内IDC的发展也受到了欧洲国家的IDC发展形势的影响。近年来,欧洲的IDC外包发展较为迅速,而国内IDC也在开始向外包业务方面发展。在3G大规模商用背景下以及视频、网游、SNS社交网站等新型业务的巨大推动作用下,IDC的市场需求继续增大,另一方面,当前的国际经济危机形势对于一部分小型企业来说,面临着严酷的变革,造成部分企业两极分化的情况加剧,因此,国内IDC的整体业务量还将进一步的提高。
IT业务是IDC大部份业务中最关键的一个方面,很多企业依靠信息系统进行各项业务的运作,如果系统经常不可用,整个企业的全盘运作可能无法进行,因此,IDC系统的安全逐渐成为各大企业最关注的焦点。
3 IDC安全解决方案设计思想
基于网络层和应用层的IDC安全解决方案设计思想主要为以下几个方面:
(1)在IDC的出口处部署网络防火墙并进行负载分担,实现对Internet网络出口安全的加固,以及对用户访问Internet的内容进行过滤;
(2)在IDC的数据管理中心NOC和IDC的核心层等部位采用多点的方式部署入侵检测系统IDS,实现有效的监测网络层临界部位的数据信息交换情况和监视IDC内部用户及内部各类系统的运行情况,防止黑客侵入到IDC数据区而对IDC服务器的数据信息进行蓄意破坏和恶意篡改,并能及时查找是否有内部的用户进行某些违规非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的计算机上安装一套漏洞扫描软件,并定期对IDC系统进行漏洞扫描和安全评估;
(4)在IDC中建立防病毒系统,采用中央控管系统实现跨广域网的管理,通过TCP/IP协议实现跨广域网的远程调用、管理、远程监控等功能,使其它的分支病毒防护系统的管理及其维护更加简便、有效,实现从单一客户端集中管理整个IDC网络的防病毒的任务;
(5)在发生网络攻击或者蠕虫爆发的情况下能够及时发现并采取应急措施进行安全防范;
(6)在IDC的服务器群的出口处多点部署应用层防火墙,需要对新型应用层的攻击威胁进行有效防范,如网页木马威胁、Cookie注入攻击威胁等。
4 IDC安全解决方案设计方法
4.1基于网络层的IDC安全系统设计
基于网络层的IDC安全系统设计将分别从网络层防火墙子系统设计、入侵检测IDS系统设计、漏洞扫描子系统设计、网络防病毒子系统设计等方面进行基于网络层的IDC安全系统的设计和实现。
本次对IDC的网络层防火墙设计部署时将H3C的超万兆防火墙产品在IDC中的位置进行提升,直接与核心交换机连接,再通过万兆高速接口与IDC出口处的核心路由器相连,两台防火墙共同部署实现双机热备份,并且实现对IDC用户网络流量的负载均衡,使整个美地亚IDC内部网络得到防火墙的安全防护,有效避免了网络的单点故障和网络瓶颈问题。同时,在防火墙上开启虚拟设备的功能,把IDC内部的不同系统资源按一定的配置分配到每个独立的虚拟防火墙中,一旦在IDC中发生攻击,防火墙中的不同虚拟防火墙将抵御各自面临的攻击,假设其中一个虚拟防火墙的系统资源被网络攻击全部耗尽,也不会影响其它服务的正常运行。在入侵检测IDS系统总署时,采用多层分级管理体系,实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示;采用引擎高速捕包技术保证满负荷的报文捕获;采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;采用IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;采用行为关联分析技术,发现基于组合行为的复杂攻击。为了降低误报的概率,采用基于状态的协议分析和协议规则树,保证特征匹配的位置准确性;采用基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息。为了限制滥报的概率,采用状态检测机制,有效地避免了事件风暴的产生;采用多种统计合并技术对同一事件采用合并上报,减少报警量。漏洞扫描子系统的设计,分布式管理并集中分析,在IDC中部署天镜漏洞扫描系统时采用分布式部署的形式,使各扫描引擎按照不同的漏洞扫描策略同时进行多网络系统的漏洞检测,同时将检测结果进行集中显示和集中分析,采用多级管理的方式,对于拥有不同地域、大规模网络的用户,各个地域的网络安全管理员管理着本地域的网络安全状况,其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级;实现大规模网络环境下的全局风险控制、降低管理成本。
4.2基于应用层IDC安全系统的设计
为了使WAF在IDC安全系统中能够尽可能的提供最佳的安全性能,本次设计应用层防火墙WAF时采用最佳的模式,在此模式中,WAF中的所有数据端口都会处于开启状态,其中WAN端口负责外部的数据处理,此WAN端口是直接面向因特网的端口。而把WAF中的管理端口划分到另外一个不同的网段,因为在部署设计WAF时最好将管理数据和实际的网络流量进行分离,避免IDC中的实际网络流量和WAF的相关管理数据之间出现互相冲突的现象。具体可以通过以下方法进行网络实现:将WAF的前端端口和后端端口分配到不同的网段,让所有的外部用户与WAF的应用虚拟IP地址进行连接,而将此虚拟IP地址和WAF的前端端口进行互相绑定。当用户访问时,用户的连接将会在网络设备上立即终止,WAF马上对流经的数据包进行安全检查和过滤,而合法的数据流量将与WAF的WAN口重新建立起新的网络连接到负载均衡设备,通过负载均衡进行网络流量的负载。WAF可以进行实时策略的生成及执行,根据IDC中不同的应用程序自定义相应的防火墙保护策略,可以无缝的砌合各用户的应用程序,且不会造成任何应用失真。
参考文献:
关键词:计算机技术;网络系统;信息及安全管理
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
随着民用机场服务功能的日益完善,和国际化服务水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。
一、某机场网络系统的安全风险分析
机场航站区网络系统在现有网络结构及应用模式下,可能存在的主要安全风险有:外部连接网络边界安全攻击的风险机场信息系统有多个外部网络连接,必须能够对这些连接的数据流进行深度的检测和严格的控制,进行精细化管理,才能真正保证这些连接不会引入安全攻击风险,而且也保证单个内部网络风险不会扩散到相连接的其他信息系统网络中。
(一)机场内部数据中心遭受攻击的风险
机场网络承载多种复杂应用信息系统,机场各业务强烈依赖这些应用系统,必须有效地保证这些应用系统核心的安全,如应用系统数据的保密性、可靠性、可用性,应用系统访问控制等多个方面。
(二)机场多个分支机构安全连接的风险
根据分析,机场网络系统涉及非常多的分支机构的网络连接需求,主要包括未来新建航站楼、各个应用系统网络、移动以及外出人员等,这些分支机构需要一种简单而且方便的网络接入方式,而且必须保证这些接入的安全性。
(三)用户接入内部网络安全控制的风险
机场网络接入用户复杂、数量大,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理。
二、信息安全方案遵循准则
信息安全方案遵循安全PDCA原则。信息安全管理的本质可看作动态地对信息安全风险的管理,即实现对信息和信息系统的风险进行有效管理和控制。信息安全作为一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
三、某机场安全解决方案详细部署
解决以上风险需要端到端信息安全解决方案,是指信息在应用系统计算生成、通信、存储过程中都保证安全性,则该信息系统是端到端安全的。本文主要分析信息系统计算、通信过程的安全,而计算、通信过程安全又大体可以划分为网络边缘7层安全防护及内部终端安全防护两大部分。
(一)防病毒软件安全防护解决方案
整个反病毒网络选用经过多年来的不断开发、完善,屡次在国际专业认证中获得多项殊荣的“卡巴斯基反病毒软件”系列产品,为该机场提供最安全的网络反病毒解决方案。
1.卡巴斯基安全解决方案
针对机场网络系统的规模及拓朴环境,该方案采用三层防护体系:
第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。
第2层是服务器层,部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。
第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。
2.安全解决方案的部署
(1)管理服务器实施部署配置。根据机场网络系统的设计,通过信息中心的FTP服务器,用户访问点击安装链接,安装卡巴斯基桌面反病毒软件。
(2)总服务器。在中心选择一台基于NT架构的服务器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT服务器上部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。
3.反病毒软件服务器端、客户端的部署
(1)产品的安装:服务器防护终端和客户端防护终端的安装基本一致,通过光盘、WEB方式、脚本、远程、网上邻居等多种安装方式进行安装。
(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、服务器端或客户端装有防火墙程序,则必须修改规则开放相关端口。
在广播电视系统中所传输的信息种类很多,以媒体的种类来区分可分为视频、音频、图片、数据等介质;从视频网站中的各类应用来看,有电视节目直播、视频点播、多媒体信息查询、节目回看、大数据查询以及其他媒体形式的专题等;从传输手段看有网络、无线发射、有线电视、微波传输、卫星传输等,形成“天地一体,星网结合”的立体传输网络,打通了传输方式全覆盖,实现信息、介质传输的多渠道输出,为用户多渠道获取媒资信息提供了方便。广播电视网络具有高带宽、高速率,多用途,终端传输不对称等良好特性,而广播电视信息中的大视频,多语言等媒体信息在传输中需要较高质量的传输媒介。目前,安徽广电视频网站在传输媒资信息时,直播还无法做到所有频道的全覆盖,点播所有栏目、所有期数无法全留存,遇到节假日或者特别直播时,网络出现卡顿、无法打开等现象,视频网站受到攻击风险激增,用户人数、业务在增加,所以需要对安徽广播电视台视频网站网络安全面临的风险进行评估并逐步解决。
1安徽广播电视台视频网站网络安全面临的系统安全风险
从整体来看,安徽广播电视台视频网站网络系统高安全风险主要出现在以下三个层面:
1.1网络层面
由于网络系统访问控制策略设计的不合理或缺乏一些严格的网络安全产品(如防火墙、IDS、防病毒、业务监控网关等),导致外部互联网上的黑客或病毒可以趁隙入侵或破坏,影响整个广电服务的资讯提供质量。视频网站网络安全影响广播电视媒体正常传播,所以,在网络层面必须制定策略确保网络安全,网络安全威胁一直威胁着安徽台视频网络的安全传输,一旦发生网络病毒大肆攻击,威胁着网络安全,影响千家万户对广播电视媒体的正常使用。确保网络层面安全关系重大,把控好网络层安全,保证视频网站的正常传输。
1.2系统层面
由于网络设备和服务器操作系统的安全漏洞频繁出现,利用这些漏洞的入侵工具和病毒(蠕虫)等攻击手段也随之产生,导致安徽广播电视台视频网站存在随时被黑客入侵或蠕虫爆发的可能。系统层面的威胁可能是存在于系统根上,也有可能存在于外界的入侵。对于系统根上的基因自带的漏洞需要及时弥补漏洞,补丁,短板需要及时堵住;对于来自外界的入侵需要做到严加防范与系统监管。
1.3管理层面
安全事件发生的主要原因往往是安全管理问题,缺乏有效的安全管理制度、安全制度执行与监督不力、没有统一的安全策略、没有严格的机房管理制度等,一系列不严格措施均可能导致内部人员工作松懈,为外部黑客的攻击创造了条件,甚至内部人员恶意的窃听、破坏、偷窃信息等。管理层面的疏忽成为现如今发生网络安全威胁的重要原因。安全管理制度的制定与有效的执行是防范安全事件发生的有效办法。做到日查、登记备案、应急演习都能够有效防范安全事件的发生。制定有效的安全管理制度、有效的执行、良好的机房管理环境、强大的维保队伍需要在管理层面下功夫,做到管理层面的不疏忽、不懈怠,及时高效保障网络安全。针对安全风险出现的三个层面的剖析,经过前期对广电整体网络拓扑的分析,目前安徽台视频网站的网络安全风险主要存在于如下几方面:(1)网络出口现有安全设备的抗攻击性能难以满足安全需求,一旦发生大规模的网络攻击(如各种DDOS攻击等)时容易出现流量拥塞甚至瘫痪,导致业务不可用;(2)安徽省广电IP承载网互联网出口缺乏针对应用层攻击的检测及防御能力,此类攻击的典型特点是以小搏大,即使很小流量的攻击,也会造成业务不可用;(3)视频网站接入互联网,需要超强的辨别识别能力,必须时刻了解跑在网络上的各种业务带宽的使用情况以及流量情况,只有这样才能传输大量数据内容,特别是媒体信息,才能保证老百姓网络环境正常,保证各种业务的正常开展以及良好的用户体验;(4)因为无限制的P2P、在线视频等新兴业务对广电网络带来的电信业务收入、带宽利用等威胁,所以,视频网站网络必须对使用的业务所需的网络环境进行控制和管理,只用做到良好监管,有序分布使用,才能确保广播电视网络的服务质量。根据对安徽省广电系统信息安全风险分析和需求分析,在国家对信息安全各种政策的要求下,保证现有各类业务信息正常运行的前提下,以现代信息安全保障体系为理论基础,运用最新的安全保护技术、国家标准、网络安全技术规范为架构,为保障广播电视网网络安全提出以下解决方案。
2整体安全解决方案
根据安徽广电系统高可靠性和高安全性要求,对广电互联网出口进行综合安全防护,需要部署六套系统:
2.1部署一套DDOS防护系统
拒绝服务攻击DOS是当前Internet最流行的攻击手段,拒绝服务攻击是通过制造大量非法流量,占用大量系统服务资源以达到耗尽带宽为目的,使正常网络业务无法正常开展的一种攻击手段。拒绝服务攻击具有攻击方式简单粗暴,迅速达到目的,而且很难防范与源头追踪等特点。所以,在现如今的在网络上开展的如电子商务、电子政务、电子银行等一系列网络服务,都有可能通过这种攻击方式使业务无法正常开展,给国家、公司、人民造成巨大损失,耗费大量人力、物力、财力。所以,需要严加防范这种网络攻击。DDOS即分布式拒绝服务[1],攻击指借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DOS攻击,从而成倍地提高拒绝服务攻击的威力。所以,需要在现有广电网络与互联网连接的边界处部署一套可支持多种类DDOS攻击的准确识别和控制系统,不仅可以做到对攻击的准确识别,还可以提高对蠕虫病毒流量的识别能力,从而提高系统的安全防范能力。该DDOS防御系统包括三部分,监测及分析中心,控制及清洗中心和安全管理中心,三个中心互联互动,可实现自动检测,识别攻击自动或手动引流清洗,统计分析报表定期生成。
2.2部署一套业务监控系统通过DPI技术[2]对网络流量进行深入协议分析,把控好网络流量对于业务区分以及业务所需要的网络流量的质量控制。并且,通过对业务流量统计数据进行深入挖掘,更深入地了解网络使用情况,如用户使用宽带的习惯、方式等。业务监控系统的部署对于业务流量的分配调动起到了及时的监视作用,有了一套业务监控系统可以为现有的网络环境提供优化改造意见,也可以为开辟新业务以及增值业务提供指导意见。所以,需要部署一套业务监看系统。
2.3部署一套互联网缓存系统
对于广电网络传输的视频、图片、音频等大数据量内容,保证用户使用的流畅度与所有业务的质量,使网络“不卡”业务“不顿”,特别是缓存系统中的调度子系统运用了负载均衡、热点内容搜索管理调度以及缓存记录搜索等技术,能够引导请求用户和已经缓存过的数据设备发生数据交换,增加已缓存数据设备使用率。另外,无限制的P2P、在线视频等新兴业务对当前带宽超负荷使用等威胁。所以,需要一个高速、优质的网络服务。做到网络的优质、高速需要部署一套互联网缓存系统,采用分析定向、自动缓存、精确调度和速度搜索等技术,将占用总出口带宽60%~80%的P2P流量、在线视频以及大文件下载流量本地化,进而达到节省出口带宽、降低网间结算费用、提高网络利用效率、降低网络运营成本,最终实现广电网优质高速,提升用户使用的流畅度以及所有业务的高质量开展。
2.4部署一套日志管理系统
在信息管理系统中,日志是指对计算机设备运行中重要活动或事件的完整记录和描述,它能够记录信息系统内发生的动作和行为,向外界展示信息系统运作的完整轨迹和本质。帮助网管实现日志统一管理,系统能够采集、过滤、归并、分析、存储、监控并上报成专业的防火墙会话日志,并支持发送告警和输出报表。形成完整的上报日志对系统内发生任何行为做到有迹可查、有迹可循、有事可报,这对于解决系统问题以及业务起到非常重要的作用。并且,以报表的形式可以做到问题的溯源以及备案,为后续问题的查证与追责提供重要依据。本次部署的日志管理系统可以针对网络出口处的防火墙和服务器防火墙进行统一的日志分析,以检测当前网络中的最新攻击类型。
2.5部署一套安全管理平台
随着广电信息化深入,网络规模逐渐扩大,所使用的网络及安全设备逐渐增多,如何更好更方便地对网络及安全设备进行管理,是每个使用者优先考虑的问题。然而,网络设备的管理又存在设备类型复杂、管理信息多样性等问题,如何更好地解决这些问题,网络管理就显得尤为重要。统一安全网管系统[3]要支持全系列安全设备和主流网络设备的网络拓扑管理、故障排查管理、网元管理、设备性能管理、集中策略配置管理、VPN管理等一系列功能。安全管理平台需要能够直观展现网络架构,帮助管理员快速定位网络故障,提升管理能力,提高工作效率,降低维护成本,为用户提供一个对全网设备高效管理的平台。
2.6在网络出口位置部署一套功能强大的防火墙
现网络出口位置的网络防火墙暂时能够满足当前用户数的安全需求,但随着用户数量的不断增加,现有的网络防火墙性能逐渐达不到需求,所以,需要考虑布置新型防火墙。布置新型防护墙的性能需求有强大的入侵防御功能、反病毒功能、强大的GTP保护功能、IDS联动等主要功能。(1)强大的入侵防御功能需求:传统的IPS策略[4]是通过分析现有系统的漏洞以及对已有攻击方式引发的攻击事件进行特征提取,进而制定防御规则。比如:防范有针对性的操作系统漏洞攻击、针对邮箱服务器漏洞攻击、文件服务器攻击、浏览器漏洞攻击等。对当下大多数的木马、蠕虫、间谍软件等能够进行很好的防御与检测。针对现有的防火墙功能缺陷需要IPS能够识别运行于非知名端口的常用数据流类型以及对于特定介质流量减少误报。(2)反病毒功能:反病毒功能指支持邮件传输协议SMTP、POP3,网页协议HTTP的传输数据扫描中做到病毒的删除操作或者向用户发送通过。但现防火墙对10种以上、多层压缩文件、对病毒进行加壳操作的压缩文件进行扫描时发现病毒能力较弱。所以,需要部署新防火墙具有对病毒具有脱壳操作能力,并且对文件类别具有智能识别功能。(3)强大的GTP保护功能[5]:部署在Gn、Gp和Gi接口进行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP协议、报文分析控制能力以及按照规则对报文进行过滤的能力;在路由模式和透明模式两种工作模式下工作;能够解决GTP隧道的限制、能够检测GTP隧道信息、GTP隧道双机热备功能;支持分片缓存功能等。(4)IDS联动[6]是指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为,通过下发指令的方式通知统一安全网关,由统一安全网关对攻击报文进行丢弃或其他处理。运用IDS联动的方式来防范恶意攻击,是将恶意攻击分为入侵检测和攻击处理两个过程分量后进行处理,充分发挥各设备的优势,改善系统性能。通过和IDS设备联动,统一安全网关可以提供一种高可靠的主动防御模型和安全解决方案。用户优先配置好静态的安全性能配置信息,通过IDS设备可以动态发现安全隐患,通过统一安全网关设备修改安全策略,起到实时、动态的修改防御策略,保证整网的安全。要有灵活的联动接口协议,可以和很多IDS设备互通,方便支持各种IDS设备和统一安全网关联合工作。
3结语
为应对众多网络不安全因素,本文提出的解决方案包含外网出口、入侵检测和日志审计,同时提供了统一的安全管理中心各模块,可以有效解决当前视频网站面临的问题。在广电行业产业化改造的历史机遇面前,建立一个高起点、高技术含量、多功能、智能化并具有良好扩展性的综合信息平台至关重要。让安徽电视台视频网络信息高速、优质地通往千家万户,让广电网络能够高效传递信息,成为百姓获取信息咨询、丰富文化知识的良好载体,成为国家信息基础建设以及现代化信息服务的重要组成部分。
参考文献:
[1]于跃.基于安全路由联盟DD0S攻击防御机制[D].保定:河北大学,2018.
[2]李婷婷.DPI技术在广电IP化检测系统中的应用[J].广播与电视技术,2019(9):124-127.
[3]翟纲.基于SNMPv3的安全网管技术研究[D].成都:西南交通大学,2003.
[4]谭菲菲.入侵防御系统(IPS)专利技术分析[J].网络安全技术与应用,2018(8):121-122.
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2013)07-0166-01
无线网络与有线网络的最大区别是开放式和易于接入性,这是无线网络最大优点也是缺点。正因为开放式和易于接入的特点,这就造成了任何符合无线网络接入规则的物理设备都可以轻易入侵无线网络。
在经过无线网络的数次攻击后,无线网络的安全问题一一暴露。有攻击就有防守,在无线网络被攻击后,专家学者会对攻击行为进行不断分析,制订安全解决方案,这也为无线局域网的保密与验证机制提供了保障。
本文以“无线网络的安全问题及解决方案”为话题来对此进行阐述,谈一谈我在这方面的认识。
1 “无线网络”的含义
所谓无线网络,就是利用无线电波作为信息传输的媒介构成的无线局域网(WLAN),与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。
2 “无线网络”的安全问题
随着无线网络应用的日益广泛,无线网络的安全问题也越来越多,并具有各种各样的特点,虽然各类安全问题花样繁多,但在本质上是相似的。笔者根据日常工作和生活中对无线网络的理解和认识,总结了主要的安全问题。
据笔者分析, 无线网络主要存在以下三类安全问题:
(1)非授权用户接入问题:对于无线网络设置了很低安全防护或是没有设置安全防护的用户,非授权用户利用攻击工具能很容易的搜索并入侵这类用户的无线网络,从而造成很严重的后果。非授权用户的入侵会造成很大损失,由于带宽是一定的,他人的非法入侵会造成网络流量被占用,降低自己的网络流量,导致网络速度大大变慢,降低网络带宽利用率。更有甚者,某些非授权用户会对安全级别设置低的无线网络进行非法篡改,导致该无线网络内的合法用户无法正常登陆,造成不必要的损失。(2)链路易泄密问题:无线AP的非法接入及黑客钓鱼导致用户的重要信息被泄露,例如网银账户、邮箱账户、炒股账户、淘宝等购物账户等涉及自身利益的账户信息遭到别人窃取,给个人造成很大的经济损失,另外个人信息被泄露后,不法分子也会通过各种手段进行不正当操作,给无线网络用户造成其他方面损失。(3)数据安全问题:无线网络具有使用方便,配置简单的特点,并且无线网络的信号是以开放的方式在空间中传送的。非法用户或是恶意攻击者会通过破解用户的无线网络的安全设置,冒充合法设别的身份进入无线网络进行非法操作,例如通过WEP加密、MAC过滤等技术手段就可以进行以上操作。另外,不法分子或黑客会通过一些网络工具对无线网络传输的明文信息进行窃听和截取,从而达到不法操作或破坏信息的目的。
3 “无线网络”安全问题解决方案
无线网络使用方便、配置简单,有其自身无法替代的优势,但凡事都有两面,相较于有线网络,无线网络的开放式接入的特点也为其安全管理埋下了重大的安全隐患。无线网络的传输介质是电磁波,电磁波具有穿透大多数物体的特点,在无线网络所服务的区域内,任何符合无线网络基本接入规则的终端都可以接入或窃听该无线网络内的信息。基于此无线网络的安全管理解决方案便成了一个挑战性的问题。
针对以上总结的无线网络存在的安全问题,笔者总结了以下安全解决方案:
(1)做好接入控制:保证无线接入点安全的关键是禁止非授权用户访问网络。制定严格的接入用户身份验证机制,对授权接入用户限定可访问的资源,拒绝未经授权的用户访问任何资源。(2)保密、维护链路安全:积极使用对无线网络上信息加密的标准--无线加密协议。防止未经授权的用户读取、引入或更改在网络上传输的数据,确保链路的保密与完好。由于无线网络与有线网络的另一区别是可移动性,做好移动切换的随时接入、断开的安全防护就尤为重要,需要针对无线链路进行优化。对于链路上的非授权接入点进行实时监测,及时对非授权接入点进行禁用、清除操作。另外,无线网络发射装置的放置位置对链路的安全性也起着至关重要的作用,其位置应该在无线网络服务区域的中心,应尽可能的满足无线网络服务区中的每一个用户并要防止无线信号尽可能没有泄露到服务区之外,保证无线网络服务区内的信号量。(3)数据安全防范:禁用无线网络的动态主机配置协议,对于无线网络设备必须进行TCP/IP参数,如网关、子网掩码、IP地址等必需参数的破解,这就为无线网络的安全防护增加了又一道防线。通过无线网络的无线接入点设置无线网络内各个用户的访问列表,定期更新并下载访问列表,保持访问列表信息的实时更新,防止非授权用户对无线网络内数据的破坏。在无线网络中,服务集标识符(SSID)是无线接入的身份标识符,为接入无线网络的无线接入点设置一个唯一并且非常复杂的SSID可以阻断非授权用户对无线网络的非法入侵。在无线网络传输过程中,改变服务集标识符并且禁止SSID广播,这样能保证无线网络中各个接入点与无线网络发送设备的独立性。
综上所述,无线网络在使用过程中存在诸如非授权用户接入、链路易泄密、数据安全等方面的问题,随着安全问题的日益凸显,针对无线网络的安全问题,无线网络的安全防护技术也在日渐完善,不过,完全控制无线网络的安全是几乎不可能的,本文总结的是本人在工作和生活中在无线网络安全方面的主要问题及解决方案,当然无线网络的安全还需要人们采取其它一些措施来保证网络的安全。无线网络的安全防护也是随着安全问题的暴露所逐渐改善、优化的,需要无线网络专家和技术人员的不断努力。
参考文献
一、引言
计算机网络安全的本质含义就是确保计算机用户在互联网上的行为信息与利益的安全。从狭义的观念上来说,就是运用网络进行技术和管理控制,保证在相应的网络环境中,数据的完整性、可使用性及保密性,使组成计算机网络安全系统的软、硬件设备与软件设施及其中的数据得到保护,防止恶意的或者偶然的原因而遭受到泄漏、破坏、更改等。计算机网络的组成包括组建网络的硬件、控制管理网络的软件以及共同享有的资源等的多种数据。计算机网络安全涉及多方面,不仅仅包括网络系统自身,同时它也含有信息安全技术。造成计算机网络不安全的因素多种多样,概括为偶发因素、人为因素、自然因素。计算机网络安全有逻辑安全和物理安全这两个方面,其中逻辑安全又包括信息的保密性、完整性以及可用性;而物理安全则指与系统相关的设备、设施得到物理方面的保护,免于被损坏、丢失等。
二、当前存在的网络安全问题
(一)网络硬件设备缺陷
网络硬件设备在互联网中占有重要地位,是不可或缺的一部分,其自身就存在着安全方面的隐患。计算机网络存在的一个巨大威胁是硬件设备的泄漏,也是网络安全中主要的隐患问题,并且也增加了计算机网络泄密、窃密、失密的危险性,与此同时,其处理文件与同步过程中系统程序也会有安全隐患。另外网络安全隐患问题在通信方面的脆弱性上也有体现,表现在它可能有一个机会,在处理程序与数据和信息交换的过程中强加上外部的影响,从而影响网络安全。影响程序正常运行的主要有光缆、专线、电话线、微波这四种线路,其中专线、电话线、微波这三种线路较光缆上的信息相对容易窃取,另外对计算机信息安全构成威胁的还有操作失误、规章制度不健全、管理水平较低、渎职等多个方面。
(二)操作系统缺陷
操作系统对本地计算机以及网络系统的安全起到至关重要的决定性作用,它是一个支撑软件,为相应的程序或其它的运用系统提供一个正常运行的环境。计算机中的操作系统建立起上层软件、计算机硬件以及用户连接三方面的联系,确保操作系统在复杂的网络环境中更好的工作。很多常用的程序及操作系统中的核心部分都会发生一定漏洞,出现安全隐患问题,其中操作系统主要的安全方面的隐患是后门与系统漏洞。显而易见,操作系统软件出现的安全方面漏洞的本质是在不能够完全满足软件安全的条件下引起的网络系统中的主要缺陷。针对操作系统的安全性来说,就是要确保操作系统的正确有效以及安全可靠,即保证操作系统的完整性与安全性。
(三)计算机软件的安全问题
操作系统软件本身存在的不安全性,系统开发与设计的不完善而遗留的破绽,都会对计算机网络造成安全隐患。操作系统软件在网络中起到重要的文件传输作用,软件缺陷是应用软件本身具有的特征之一,比如FTP,这类安装程序常常会带一些由人为编写的可执行文件,一旦出现一点漏洞,那么可能导致系统崩溃。同时,入侵者通过某些漏洞会非常容易地进入到计算机系统内部,破坏计算机相应程序,窃取客户隐私以及一些重要的商业秘密,无论是以上的传输文件,还是安装的程序、加载的程序以及执行文件,都在一定程度上会给操作系统造成安全隐患问题,更严重的会把计算机中保密系统的资料、文件提供给外人,这将对计算机网络的安全构成严重威胁。
三、计算机网络安全的解决方案
(一)管理的安全解决方案
管理问题在网络的安全问题中是最为重要、最核心的一个方面,主要原因是因为在一系保网络安全的实施过程中,不可否认的主体是人,做一个假设,比如缺少一个有效、有序的管理机制,那么即使网络安全方面的方案实施得非常到位也都失去了意义。因此,在我们的工作中,首先要对网络安全知识加强培训工作,并且制定有关网络维护、系统维护方面的规程,建立相应的确实有效的应对预案,同时,运用一些技术层面的手段管理计算机网络安全问题,实现其制度化与规范化。
(二)计算机系统安全解决方案
最近几年,伴随着网络世界的快速发展,病毒的传播路径发生了很大改变,由以前的通过软盘、光盘传播转变为现在波及范围更广、破坏性更大的网络传播方式。在这种背景下,我们要做的首先是提升对病毒的防范观念,加强日常的杀毒与检测工作,一旦发现有病毒要及时、快速的消灭,尽量避免其进一步扩散。针对黑客,窃取数据以及对系统进行篡改是其主要目标,因此做好入侵检测与漏洞扫描是我们要加强的工作。此外,一些不可预知的、突发性的问题在系统安全方面也时有发生,针对这些我们可以采取对系统进行备份来应对,做到“有备无患”。
四、结束语
随着计算机技术的飞速发展,互联网络的使用越来越普及,关于计算机网络安全方面的问题已经影响到我们生活中的方方面面,网络在给人们的生活带来极大便利的同时也存在严重的隐患问题。不可否认的是计算机网络安全使各个行业得到安全保障,从而也使工作效率得到进一步提高,但同时产生的很多问题也给我们的生活带来困扰,因此,如何解决好网络安全问题是至关重要的。在维护计算机网络安全的过程中,我们应该运用网络安全技术与工具,这是网络安全的基础,并且制定相对应的安全标准,给计算机网络提供一个安全而洁净的生存环境。
参考文献: