绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全方案范文,希望它们能为您的写作提供参考和启发。
1、前言
网络安全安全方案涉及的内容比较多、比较广、比较专业和实际。网络安全方案就像一张施工的图纸,图纸的好坏直接影响工程的质量高低。下面讨论一下网络安全设计的注意点和质量。
2、 网络安全方案设计的注意点
对于网络安全人员来说,网络有一个整体性、动态的安全。也就是在整个项目有一种总体的把握能力,不能只关注自己熟悉的某个领域,而要对其他的领域不关心,不理解,那么就写不出一份好的安全方案。写出来的方案要针对用户所遇到的问题,运用技术和产品来解决问题。设计人员就只有对安全技术了解得很深,对产品了解得很深,设计出的方案才能接近用户的要求。
好的安全方案应该考虑技术、策略和管理,技术是关键,策略是核心,管理是保证。在方案中始终要休现出这三个方面的关系。在网络安全设计时,一定要了解用户实际网络系统环境,对可能遇到的安全风险和威胁进行量化和评估,这样写出的解决方案才客观。设计网络安全方案时,动态安全很重要,随着环境的变化和时间的推移,系统的安全性也会发生变化,所有在设计时不仅要考虑现在的情况,还要考虑将来的情况,用一种动态的方式来考虑,做到项目实施既考虑到现在的情况,也能很好的适应以后网络系统的升级,留一个较好的升级接口。
网络没有绝对安全,只有相对安全,在网络安全方案设计时,必须清楚这点,客观的来写方案,不夸大也不缩小,写得实实在在,让人信服接受。由于时间和空间不断发生作用,安全是没有不变的,不管在设计还是在实施的时候,无论是想得多完善,做得多严密,都不能达到绝对的安全。所以安全方案中应该告诉用户只能做到避免风险,清除风险的根源,降低风险所带来的损失,而不能做到消除风险。
3、 评价网络安全方案的质量
我们怎样才能写出高质量、高水平的的网络安全方案呢?我们只有抓住重点,理解安全理念和安全过程,那么就基本可以做到了。一份好的安全方案我们需要从下面几个方面来把握。
对安全技术和安全风险有一个综合的把握和理解,包括现在的和将来可能出现的情况。
体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准。实际中,每一个特定网络都是唯一的,需要根据实际情况处理。
对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一合适、中肯的评估。
对症下药,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。
在设计方案时,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。
方案出来后,要不断与用户进行沟通,能够及时得到他们对网络系统在安全方面的要求、期望和所遇到的问题。
方案中要体现出对用户的服务支持,这是很重要的一部分。产品和技术,都将会体现在服务中,服务用来保证质量、提高质量。
方案中所涉及到和产品和技术,都要经得起验证、推敲、实施,要有理论根据,要有实际基础。
4、安全风险分析
主要实际安全风险一般从网络的风险和威胁分析、系统风险和威胁分析、应用的风险和威胁分析、对网络、系统和应用的风险及威胁的具体实际的详细的分析。
网络的风险和威胁分析:详细分析用户当前的的网络结构,找出带来安全问题的关键,并形成图形化,指出风险和威胁所带来的危害,对那些如果不消除风险和威胁,会起引什么样的后果,要有一个中肯、详细的分析和解决办法。系统的风险和威胁分析:对用户所有的系统都要进行一次详细地评估,分析存在哪些风险和威胁,并根据与业务的关系,指出其中的厉害关系。要运用当前流行系统所面临的安全风险和威胁,结合用户的实际系统,给出一个中肯、客观和实际的分析。应用的分析和威胁分析:应用的安全是企业的关键,也是安全方案中最终说服要保护的对象。同时由于应用的复杂性和关联性,分析时要比较综合。对网络、系统和应用的风险及威胁的具体实际的详细分析:帮助用户找出其网络系统中要保护的对象,帮助用户分析网络系统,帮助他们发现其网络系统中存在的问题,以及采用哪些产品和技术来解决。
5、安全产品
常用的安全产品有:防火墙、防病毒、身份认证、传输加密和入侵检测。结合用户的网络、系统和应用的实际情况,对安全产品和安全技术作比较和分析,分析要客观、结果要中肯,帮助用户选择最能解决他们所遇到问题的产品,不要求新、求好和求大。
防火墙:对包过滤技术、技术和状态检测技术的防火墙,都做一个概括和比较,结合用户网络系统的特点,帮助用户选择一种安全产品,对于选择的产品,一定要从中立的角度来说明。
防病毒:针对用户的系统和应用的特点,对桌面防病毒、服务器防病毒和网关防病毒做一个概括和比较,详细指出用户必须如何做,否则就会带来什么样的安全威胁,一定要中肯、合适,不要夸大和缩小。
身份认证:从用户的系统和用户的认证的情况进行详细的分析,指出网络和应用本身的认证方法会出现哪些风险,结合相关的产品和技术,通过部署这些产品和采用相关的安全技术,能够帮助用户解决哪些用系统和应用的传统认证方式所带来的风险和威胁。
传输加密:要用加密技术来分析,指出明文传输的巨大危害,通过结合相关的加密产品和技术,能够指出用户的现有情况存在哪些危害和风险。
入侵检测:对入侵检测技术要有一个详细的解释,指出在用户的网络和系统部署了相关的产品之后,对现有的安全情况会产生一个怎样的影响要有一个详细的分析。结合相关的产品和技术,指出对用户的系统和网络会带来哪些好处,指出为什么必须要这样做,不这样做会怎么样,会带来什么样的后果。
结束语
一份好的网络安全方案要求的是技术面要广、要综合,不仅只是技术好。总之,经过不断的学习和经验积
当前网络技术的快速发展,大部分高校已经建立了学校校园网络,为学校师生提供了更好的工作及学习环境,有效实现了资源共享,加快了信息的处理,提高了工作效率【1】。然而校园网网络在使用过程中还存在着安全问题,极易导致学校的网络系统出现问题,因此,要想保证校园网的安全性,首先要对校园网网络安全问题深入了解,并提出有效的网络安全方案设计,合理构建网络安全体系。本文就对校园网网络安全方案设计与工程实践深入探讨。
1.校园网网络安全问题分析
1.1操作系统的漏洞
当前大多数学校的校园网都是采用windows操作系统,这就加大了安全的漏洞,服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移,会导致这些漏洞被人发现并利用,极大的破坏了网络系统的运行,给校园网络的安全带来不利的影响。
1.2网络病毒的破坏
网络病毒是校园网络安全中最为常见的问题,其能够使校园网网络的性能变得较为低下,减慢了上网的速度,使计算机软件出现安全隐患,对其中的重要数据带来破坏,严重的情况下还会造成计算机的网络系统瘫痪。
1.3来自外部网络的入侵和攻击等恶意破坏行为
校园网只有连接到互联网上,才能实现与外界的联系,使校园网发挥出重要的作用。但是,校园网在使用过程中,会遭到外部黑客的入侵和攻击的危险,给校园互联网内部的服务器以及数据库带来不利的影响,使一些重要的数据遭到破坏,给电脑系统造成极大的危害。
1.4来自校园网内部的攻击和破坏
由于大多数高校都开设了计算机专业,一些学生在进行实验操作的时候,由于缺乏专业知识,出于对网络的兴趣,不经意间会使用一些网络攻击工具进行测试,这就给校园网络系统带来一定的安全威胁。
2.校园网网络安全的设计思路
2.1根据安全需求划分相关区域
当前高校校园网都没有重视到安全的问题,一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域,并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。
2.2用防火墙隔离各安全区域
通过防火墙设备对各安全区域进行隔离,同时防火墙作为不同网络或网络安全区域之间信息的出入口,配置不同的安全策略监督和控制出入网络的数据流,防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域,分别为受信任的区域和不被信任的区域,其中对信任的区域将对其进行安全策略的保护,设置有效的安全保护措施,防火墙在接入的网络间实现接入访问控制。
3.校园网网络安全方案设计
3.1主干网设计主干网可采用三层网络构架,将原本较为复杂的网络设计分为三个层次,分别为接入层、汇聚层、核心层。每个层次注重特有的功能,这样就将大问题简化成多个小问题。
3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础,将其应用于校园网络当中,能够有效的实现虚拟网的划分,形成一个逻辑网络。使用这些技术,能够优化校园网网络的设计、管理以及维护。
3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能,而且还有交换机支持的访问控制列表功能。应用于校园网络当中,能够合理的限制网络非法流量,从而实现访问控制。
3.3防火墙的使用防火墙是建立在两个不同网络的基础之间,首先对其设置安全规则,决定网络中传输的数据包是否允许通过,并对网络运行状态进行监视,使得内部的结构与运行状况都对外屏蔽,从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面:一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离,从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内,并对其进行安全防护,以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限,有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制,一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录,有助于完善审计体系。
4.结语
总而言之,校园网络的安全是各大院校所关注的问题,当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性,在校园网网络安全的设计方面,应当根据安全需求划分相关区域,用防火墙隔离各安全区域。设计一个安全的校园网络方案,将重点放在主干网设计、安全技术的应用以及防火墙的使用上,不断更新与改进校园网络安全技术,从而提升校园网的安全性。
作者:金茂 单位:杭州技师学院
参考文献:
[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139
具体来说,P1提供了WAN和LAN 2个网络接口,在使用时,我们要做的就是分别将它们连接到所住酒店的宽带网络接口和笔记本电脑有线网口上,然后打开电源。多数情况下,酒店宽带都是基于端口的认证服务。这时,P1默认可以从当地网络中自动获得一个IP地址和与之配套的网关、DNS信息,并自动根据P1内置的VPN参数进行企业VPN管道连接。一旦连接成功,你会看到P1的VPN指示灯变绿。整个过程,完全无需用户任何干预,像在公司内部一样。
如果你所住的酒店使用IE窗口认证模式,则你还需要在VPN连接成功前先开启IE窗口,随便输入一个网址,系统会自动弹出相应的酒店宽带网络登录窗口,你也只要按照酒店上网说明,输入你房间的宽带口令,即可激活Internet服务。接下来,P1仍然会自动配置好网管事先设定好的VPN连接,将你接入公司的网络安全体系中。
其实,P1这样的个人硬件安防解决方案最大的好处还是在于企业安全的统一管理和部署。
在完全没有用户干预的情况下,网管能通过ZyXEL的Vantage CNM中央网管系统远程强制分发统一的企业安防策略。确保身处异地的员工电脑一样可以在远程连入企业网络前,都确实执行最新的企业网络安全规范,既。节省了网管逐一为大家升级防火墙的麻烦,也避免了百密一疏的危险。真正做到贴身的安防服务。
三心二意玩电脑
随着电脑更新速度的日益提升,谁家还没有个把淘汰下来的旧电脑,或者被笔记本电脑替换下来的台式机。这些电脑大都已成食之无味、弃之可惜的鸡肋。怎样利用这些电脑,帮你做更多的事情呢?这里,我们给你再支一招:用多电脑切换器(KVM Switch)实现多机并用互不干扰。
这里我们拿Aten(宏正自动科技)的双机USB切换器CS-173ZA为例给大家做一示范。它具备2套主机接口,包括VGA、音频(MIC、音箱)和USB总共4个接口,可以满足2台主机共享同一套显示器、键鼠以及USB打印机等外设。这样,你就可以将家中空闲的主机也架起来完成一些简单的后台工作,比如进行BT下载。或者更方便地将笔记本电脑连到家里台式机的大屏幕液晶显示器和高保真音箱上,用标准键鼠更舒适地进行操控,而不必受制于笔记本电脑的配置。
多电脑切换器的连接也很简单,你只要将随机附带的2条主数据线,分别连接到电脑主机和KVM后的CPU1/2接口上(注意连接方向:数据线包括VGA、音频和USB接头的一端接在主机对应接口上,数据线的另一端接到KVM上),然后将显示器、USB键鼠(PS/2键鼠可以通过附带USB-2-PS/2转接线转换连接)和音响系统的MIc/音箱接入到KVM对应端口上,一切就算ok了!KVM的使用也非常容易。在开机2台电脑后,你可以直接通过KVM正面的1、2主机对应按钮,进行双机操控、显示、声音系统的快速切换。即要显示、操控1号机的信息,就按下1号机切换键,然后就跟原来一样,直接使用1号电脑。待需要使用2号主机时,就简单地按下2号机切换键,显示屏和键鼠就都连接到2号电脑上,你即可以开始操作2号电脑。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
计算机及其网络技术的应用已深入各行各业,特别是企事业单位的日常管理工作更是紧密依赖网络资源。基于此,保证网络的正常运行就显得尤为重要。目前,广泛采用的安全措施是在企业局域网里布设网络防火墙、病毒防火墙、入侵检测系统,同时在局域网内设置服务器备份与数据备份系统等方案。而这些安全网络防火墙、入侵检测系统真能有效地保证系统的安全吗?做到了这一切系统管理员就能高枕无忧了吗?
1 问题的提出
图1为现实中常用的二层网络拓扑结构图。从图中可以看出,网络防火墙与入侵检测系统(IDS)均部署在网络入口处,即防火墙与入侵检测系统所阻挡是外网用户对系统的入侵,但是对于内网用户来说,内部网络是公开的,所有的安全依赖于操作系统本身的安全保障措施提供。对一般的用户来讲,内网通常是安全的,即是说这种设计的对于内网的用户应该是可信赖的。然而对于诸如校园网的网络系统,由于操作者基本上都是充满强烈好奇心而又具探索精神的学生,同时还要面对那些极少数有逆反心理、强烈报复心的学生,这种只有操作系统安全性作为唯一一道防线的网络系统的可信赖程度将大打折扣。
另一方面,有经验的网络管理员都知道,网络中设置了防火墙与入侵检测系统并不能从根本上解决网络的安全问题(最安全的方法只能是把网络的网线拨了),只能对网络攻击者形成一定的阻碍并延长其侵入时间。操作者只要有足够的耐心并掌握一定的攻击技术,这些安全设施终有倒塌的可能。
所以,如何最大可能地延长入侵者攻击网络的时间?如何在入侵虽已发生但尚未造成损失时及时发现入侵?避开现有入侵检测系统可以侦测的入侵方式而采用新的入侵方式进行入侵时,管理者又如何发现?如何保留入侵者的证据并将其提交有关部门?这些问题都是网络管理者在安全方面需要经常思考的问题。正是因为上述原因,蜜罐技术应运而生。
2 蜜罐技术简介
蜜罐技术的研究起源于上世纪九十年代初。蜜罐技术专家L.Spitzner对蜜罐是这样定义的:蜜罐是一个安全系统,其价值在于被扫描、攻击或者攻陷。即意味着蜜罐是一个包含漏洞的诱骗系统。它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人设计的。它通过模拟一个或多个有漏洞的易受攻击的主机,给攻击者提供十分容易受攻击的目标。
如图2所示,蜜罐与正常的服务器一样接入核心交换机,并安装相应的操作系统和数据库管理系统,配置相应的网络服务,故意存放“有用的”但已过时的或可以公开的数据。甚至可以将蜜罐服务器配置成接入网络即组成一台真正能提供应用的服务器,只是注意将蜜罐操作系统的安全性配置成低于正常的应用服务器的安全性,或者故意留出一个或几个最新发现的漏洞,以便达到“诱骗”的目的。
正常配置的蜜罐技术一旦使用,便可发挥其特殊功能。
1) 由于蜜罐并没有向外界提供真正有价值的服务,正常情况下蜜罐系统不被访问,因此所有对其链接的尝试都将被视为可疑的,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于对入侵的检测。
2) 蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。如图二, 正常提供服务的服务器有4个,加入4个蜜罐,在攻击者看来,服务器有8个,其扫描与攻击的对象也增加为8个,所以大大减少了正常服务器受攻击的可能性。同时,由于蜜罐的漏洞多于正常服务器,必将更加容易吸引攻击者注意,让其首先将时间花在攻击蜜罐服务器上。蜜罐服务器灵敏的检测并及时报警,这样可以使网络管理员及时发现有攻击者入侵并及时采取措施,从而使最初可能受攻击的目标得到了保护,真正有价值的内容没有受到侵犯。
3) 由于蜜罐服务器上安装了入侵检测系统,因此它可以及时记录攻击者对服务器的访问,从而能准确地为追踪攻击者提供有用的线索,为攻击者搜集有效的证据。从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
经过多年的发展,蜜罐技术已成为保护网络安全的切实有效的手段之一。对企事关单位业务数据处理,均可以通过部署蜜罐来达到提高其安全性的目的。
3 蜜罐与蜜网技术
蜜罐最初应用是真正的主机与易受攻击的系统,以获取黑客入侵证据、方便管理员提前采取措施与研究黑客入侵手段。1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开放性源代码工具,如Fred Cohen所开发的DTK(欺骗工具包)、Niels Provos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低、较容易被黑客识别等问题。从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中.使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜网技术的模型如图3所示。由图中可以看出,蜜网与蜜罐最大的差别在于系统中多布置了一个蜜网网关(honeywall)与日志服务器。其中蜜网网关仅仅作为两个网络的连接设备,因此没有MAC地址,也不对任何的数据包进行路由及对TTL计数递减。蜜网网关的这种行为使得攻击者几乎不可能能觉察到它的存在。任何发送到蜜网内的机器的数据包都会经由Honeywall网关,从而确保管理员能捕捉和控制网络活动。而日志服务器则记录了攻击者在蜜罐机上的所有的行为以便于对攻击者的行为进行分析,并对蜜罐机上的日志进行备份以保留证据。这样攻击者并不会意识到网络管理员正在监视着他,捕获的行为也使管理员掌握了攻击者使用的工具、策略和动机。
4 蜜罐部署
由前述内容可以看出,蜜罐服务器布置得越多,应用服务器被扫描与攻击的风险则越小,但同时系统成本将大幅度提高,管理难度也加大。正因为如此,实际中蜜罐的部署是通过虚拟计算系统来完成的。
当前在Windows平台上流行的虚拟计算机系统主要有微软的Virtual Pc与Vmware。以Vmware为例,物理主机配置两个网卡,采用Windows2000或Windows XP操作系统,并安装VMwar。建立一台虚拟机作为蜜网网关,此虚拟机设置三个虚拟网卡(其虚拟网卡类型见图4),分别连接系统工作网、虚拟服务器网与监控服务器。虚拟服务器网根据物理主机内存及磁盘空间大小可虚拟多个服务器并安装相应的操作系统及应用软件,以此诱惑黑客攻击。蜜网服务器用于收集黑客攻击信息并保留证据。系统拓扑结构如图4所示。
系统部署基本过程如下:
4.1 主机硬件需求
CPU:Pentium 4 以上CPU,双核更佳。
硬盘:80G以上,视虚拟操作系统数量而定。
内存:1G以上,其中蜜网软件Honeywall至少需要256M以上。其它视虚拟操作系统数量而定。(下转第346页)
(上接第341页)
网卡:两个,其中一个作为主网络接入,另一个作为监控使用。
其它设备:视需要而定
4.2 所需软件
操作系统安装光盘:Windows 2000或Windows 2003;
虚拟机软件:VMware Workstation for Win32;
蜜网网关软件:Roo Honeywall CDROM v1.2,可从蜜网项目组网站(一个非赢利国际组织,研究蜜网技术,网址为)下载安装光盘。
4.3 安装过程
1)安装主机操作系统。
2) 安装虚拟机软件。
3) 构建虚拟网络系统。其中蜜网网关虚拟类型为Linux,内存分配为256M以上,最好为512M,硬盘空间为4G以上,最好为10G。网卡三个,分别设为VMnet0、VMnet1和VMnet2,如图4所示。
4) 在蜜网网关机上安装honeywall,配置IP信息、管理信息等。
5) 在蜜网网关机上配置Sebek服务器端,以利用蜜网网关收集信息。
6) 安装虚拟服务器组,并布设相应的应用系统。注意虚拟服务器组均配置为VMnet1,以使其接入蜜网网关机后。
7) 在虚拟服务器组上安装并配置sebek客户端。
8) 通过监控机的浏览器测试蜜网网关数据。
总之,虚拟蜜网系统旨在利用蜜网网关的数据控制、数据捕获和数据分析等功能,通过对蜜网防火墙的日志记录、eth1上的嗅探器记录的网络流和Sebek 捕获的系统活动,达到分析网络入侵手段与方法的目的,以利于延缓网络攻击、改进网络安全性的目的。
参考文献:
[1] 王连忠.蜜罐技术原理探究[J].中国科技信息,2005(5):28.
[2] 牛少彰,张 玮. 蜜罐与蜜网技术[J].通信市场,2006(12):64-65.
[3] 殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.
前言
电力调度数据网络在电力系统的运行中起到不可忽视的重要作用,良好的电力调度数据网络环境有效保证电网经济、安全、可靠、稳定的运行,为电力系统中的电力生产、燃料调度、水库调度以及电网调度自动化、继电保护等提供了便捷的通信条件,它为电力企业的生产与管理提供了良好保障。为了满足基于虚拟专用网的电力调度数据网络的安全性需求,相关技术人员要不断在实际工作中总结经验,设计出合理、科学的安全方案,以保证电力调度数据网络更好地服务于企业,为企业带来更多的经济效益。
1电力调度数据网络建设的必要性
随着经济社会的快速发展,各种现代化管理方式应运而生,电网管理方式的创新与管理水平的提高,带动了电力调度业务的发展,良好的电力调度数据网络能够有效保障电网系统的安全性与经济性,确保电网运行的稳定性。目前我国电力调度数据业务还局限在传统模式上,运用的是传统的数字专线模式,这种传统电力调度数据模式使信息共享受到阻碍,造成了通信资源的浪费,随着各种高科技产品的生产,各种电力调度业务不断上线,对电网通道资源与数据共享的需求也逐渐增高。只有建设良好的电力调度数据网络,才能保证电力系统的经济性与安全性。
1.1电力调度数据网络建设是自动化系统发展的需要
人们在经营各种生产生活等的活动中,都离不开电网的支持,为了更好地适应电网的发展需求,调度自动化系统在其功能上得到不断的改进和完善,除了安全自动装置、继电保护以及传统的调度自动化系统之外,一些现代化的系统诸如配网自动化系统、电能量计量系统、无人值班变电站监控设备等逐渐应用到电网系统中,这些新型系统设备的有效运用,使得信息传输容量得到了很大的提高。由于信息传输容量的增加,各个调度系统之间要进行更多的信息共享与数据转换,这就对通信网络的要求越来越高,传统的通信网络在传统实时数据时其数量和质量都受到了很大的局限,不能够再适应现代电网自动化应用系统的需求。建立安全的基于VPN的电力调度数据网络,在一些地区已经得到运用,其运行情况很好,对信息数据的传输速率与质量都有了明显的提高,有效保证了自动化应用系统的发展需求。建立一个基于VPN的电力调度数据安全网络,能够有效提高电网运行的信息共享程度、传输速率,满足电网自动化系统发展的需求。
1.2电力调度数据网络建设是提高实时数据传输可靠性的需要
目前我国一些电力系统变电站的实时监控信息采用的是模拟和数字专线通道与地调调度自动化系统相结合的通信方式,每台终端设备和地调之间要独自单用一条或者是两条专用的数据通道。这种采用模拟和数字专线通道与地调调度自动化系统进行通信的模式在通信传输时速率普遍较低,传输的信号会受到通道较大的干扰,传输的数据不稳定,也没有网络层间的保护系统,如果数据通道出现故障,那么数据信息就会立即丢失并且不能够进行数据的恢复,这种点对点的传输方式需要在主站端设置较多的接口设备,由于操作配置的复杂性,使其在后期维护时工作量增大。建立电力调度数据网,能够实现调度生产应用系统的网络性模式,通过直接上网的方式来进行数据交换,有效的提高了信息传输的可靠性。基于VPN的电力调度数据网络的建设,能够保证信息数据传输的可靠性,不会因为通道出现故障而导致数据丢失的情况,主站端不必要设置大量的终端设备,方便了工作人员进行设备维护。
2基于VPN的电力调度数据网络安全方案
基于VPN的电力调度数据网络安全方案在设计时要遵循经济性、流量优化、扩展性、节点可靠性以及拓扑可靠性等的原则。设计电力调度数据网络安全方案时,在充分确保电力调度数据网络的畅通性和可靠性的前提下,最大限度的减少网络电路的数量、网络电路的总里程以及宽带,以此来尽量减小网络的运行费用,为企业带来更多的经济效益。根据电力调度数据网络的流量以及流向,在设置电路和宽带时要保证其合理性配置,均匀的将网络流量分布开来,保证各个电路宽带均能充分的利用网络流量,避免使网络带宽达到瓶颈,影响电力调度数据网络的安全性。进行主干网络的拓扑设计时,要充分遵循N-1的设备可靠性和电路可靠性原则,增加、修改或者减少网络电路和节点时,要保证网络的总体拓扑不受到影响。在设置网络中各个骨干、核心的节点时,要采用双设备配置,根据实际情况需求,进行设备的风扇、引擎以及电源灯冗余设计,注意电力调度数据网络节点的热插拨等特性。
在网络设计中包括电力调度数据网络的核心层、汇聚层以及接入层三层的设计。在核心层中进行核心路由器和核心层交换机的联通性时,要注意保证核心层交换机的业务服务器在传输数据时具有不间断性,顺畅地发送到核心层路由器,再由核心层路由器再次转发数据。核心层交换机要具备全局的地址,能够保证网管服务器的正常访问。核心层与汇聚层进行具体网络的联通时,要注意核心层交换机下联的网络管理服务器可以正常的对汇聚层的设备进行访问,下联的业务服务器能够顺利的连接汇聚层的业务地址并进行正常访问。即使发生部分线路中断的情况,汇聚层的各个业务地址仍然可以在冗余的网络拓扑结构中进行数据的传输,或者是通过高可靠性的路由协议来完成数据的上传,保证业务或者网管服务器正常接收数据。此外还应当注意汇聚层的不同站点业务地址不需要进行互通。电力调度数据网的核心层和骨干层的数据处理能力较强,因此在设计方案中将仿真分析集中于接入层。对于电力调度数据网络安全方案的接入层设计,应当保证接入层中的业务流量可以进行不间断的数据发送,接入层中的业务终端可以与核心层的业务服务器进行正常互通,接入层的网络设备可以与核心层的网络管理服务器进行正常的互通,只有同时达到这三个要求,才能保证接入层的网络连通性。接入层采用的是低端网络的嵌入式远动监控设备,在安全方案设计中将基于IPSec的VPN内核进一步裁剪,在裁剪后的VPN安全框架中融入新的身份认证和密钥协商算法,这样能够有利于新设计安全方案的实现,同时可以大幅度降低接入层设备在安全数据处理中的费用,减少电力调度数据网络安全方案的设计投入。
3结语
总而言之,在电力系统的生产管理工作中,电力调度数据网络起到对其的直接控制作用,电力调度数据网的重要性不容忽视。电力企业一定要重视电力调度数据网的安全性和实时性,不断借鉴国外先进的技术,在实际运行工作中,注意总结和归纳,设计出一种合理的基于VPN的身份认证与密钥协商相互融合的安全方案,消除电力调度数据网络中实时性与安全性两者之间的矛盾,使其为企业带来更多的应用价值。
中图分类号 G271 文献标识码 A 文章编号 1673-9671-(2012)111-0142-01
计算机网络的安全运行,是关系到一个企业发展的重要问题,如何能使得企业网络更为安全,如今已经成为了一个热议的话题。影响网络安全的因素有很多种,保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全,我们必须要结合网络的具体需求,把多种安全措施进行总结,建立一个立体的、全面的、多层次网络安全防御系统。
1 影响网络安全的因素
网络信息的安全问题日益严重,这不仅会使企业遭受到巨大的经济损失,也影响到国家的安全。
如何避免网络安全问题的产生,我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面:
1.1 人为失误
人为失去指的是在在无意识的情况下造成的失误,进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等,这些都会对企业网络系统造成很大的破坏,引发网络安全问题。
1.2 病毒感染
病毒一直以来,都是能够对计算机安全够成直接威胁的因素,而网络更能够为病毒提供迅速快捷的传播途径,病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络,然后对计算机网络进行攻击、破坏,进而会造成很大的经济损失。
1.3 来自企业网络外部的攻击
企业网络外部的攻击主要是企业局域网外部的恶意攻击,比如:伪装合法用户进入企业网络,并占用修改资源;有选择的来破坏企业网络信息的完整性和有效性;修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件;利用中间网线来读取或者拦截企业绝密信息等。
1.4 来自网络内部的攻击
在企业局域网内部,一些非法人员冒用合法的口令,登陆企业计算机网络,产看企业机密信息,修改企业信息内容,破坏企业网络系统的正常运行。
1.5 企业网络系统漏洞
企业的网络系统不可能是毫无破绽的,而企业网络中的漏洞,总是设计者预先留下的,为网络黑客和工业间谍提供最薄弱的攻击部位。
2 企业计算机网络安全方案的设计与实现
影响计算机网络完全因素很多,而相应的保护手段也很多。
2.1 动态口令身份认证的设计与实现
动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点,跟传统静态口令相比,增加了计算机网络的安全性。传统的静态口令进行身份验证的时候,很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点,又采用了先进的身份认证以及解密流程,而每一个动态口令只能使用一次,并且对认证的结果进行记录,防止同一个口令多次登录。
2.2 企业日志管理与备份的设计与实现
企业要想保证计算机网络的安全,对于计算机网络进行日志管理和备份是不可缺少的内容,日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障,而计算机中的数据和资料的一个企业的血液,如果数据和资料丢失,会给企业今后的发展带来巨大的不便,为了避免数据资料的丢失,我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。
2.3 病毒防护设计与实现
计算机病毒每年都在呈上涨的趋势,我国每年遭受计算机入侵的网络,占到了相当高的比例。计算机病毒会使计算机运行缓慢,对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展,让病毒在网上出现之后,会很快的通过网络进行传播。对于企业计算机网络,应当时刻进行监控以及判断系统中是否有病毒的存在,要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统,可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全,要建立起一个完善的防病毒系统,制定相应的措施和病毒入侵时的紧急应急措施,同时也要加大工作人员的安全意识。
病毒会随着时间的推移变的随时都有可能出现,所以企业中计算机网络安全人员,要随时加强对于防毒系统的升级、更新、漏洞修复,找出多种不同的防毒方法,提高企业计算机网络防病毒的能力。
2.4 防火墙技术设计与实现
Internet使用过程中,要通过内网。外网的连接来实现访问,这些就给网络黑客们提供了良好的空间与环境。目前,企业计算机网络系统,采用防火墙技术,能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵,这种方法也是维护企业计算机网络最有效、最经济的方法,因为防火墙系统是企业计算机网络安全的最前面屏障,能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处,在内网与外网之间。
防火墙最大的特点是所有的信息传递都要经过它,这样就能有效的避免企业网络遭到非法入侵,防火本身的具有很高的可靠性,它可以加强对企业网络的监督,防止外部入侵和黑客攻击造成的信息泄露,
2.5 网络安全设计的实现
在企业网络运行中,与用户和各个系统之间,存在着信息交换的过程,这些信息包括信息代码、电子文稿、文档等,所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性,就要去严格的限制登录者的操作权限,增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整,以避免带来的不便。
3 总结
现今网络在现代生活中发展迅速,然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性,使自身能够更快更好的发展,面对着网络入侵的行为要进行如何的防御,已经是一个越来越迫切的问题。我们只有从实际出发,去构建一个完整的安全的网络防御系统,才能保证企业网络的安全。
参考文献
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
随着广播电视数字化、网络化的迅速发展,广播电视监测工作由过去靠人工的传统落后手段转变为网络化、自动化的方式,监测网的建成使监测工作发生了飞跃式的变化,提高了信息反馈速度,丰富了监测信息内容,拓展了监测业务类型,扩大了监测地理范围,大大提高了广播电视监测的综合监测能力。但是,随着网络规模的扩大,监测网的复杂性和风险性也在不断增加。业务的发展对网络性能的要求也在不断提高,如何运用先进技术方案保障监测网络安全而高效地运转已经成为我们面临的重要工作。
1 监测网网络结构特点
网络规模大、系统复杂、专业性强,通常由一个或多个局域网系统及数个地理位置分散的远程无人值守遥控站点组成分布式广域网系统。
多种通信方式并存,监测网系统的通信建立倚赖于当地的通信条件,造成系统具有多种接入方式。
软件开发基于J2EE平台,软件体系多采用C/S架构。
2 风险性分析
目前,广播电视监测网主要面临以下问题:
2.1缺乏完整的安全体系
广播电视监测网建设是根据总体规划,分步实施的,系统往往边运行边扩展规模。这种情况造成监测网系统建设之初,对系统安全很难进行全面规划。随着网络规模的扩大及应用范围的扩展,网络的脆弱性不断增加,同时,系统配置的更改,软件的升级也造成系统的安全需求不断变化,现有的安全手段将很难胜任。
2.2系统分布方式带来安全的复杂性
监测网系统具有节点分布广,地理位置分散等特点,使得对网络安全状况的集中控制变得困难,带来数据安全的复杂性。不同的环节将需要不同手段的安全方案。
2.3网络本身的安全漏洞
监测系统是一个基于IP的网络系统,采用TCP/IP协议软件,本身在应用、传输时存在较多不安全因素。
3 安全技术方案
鉴于对以上几种风险性因素的分析,根据系统的实际情况,结合考虑需求、风险、成本等因素,在总体规划的基础上制订了既可满足网络系统及信息安全的基本需求,又不造成浪费的解决方案。
3.1网络资源总体规划
实践证明,合理、统一的网络规划对网络维护及安全运行都有极大的好处,有利于保障监测网系统在不断扩展中的可持续性,因此,在监测网建立之初统一进行网络资源的设计,制定合理的IP规划、网络拓扑规划,对各种资源进行统一编码是保障网络安全的第一步。
3.2设备安全配置
对于重要安全设备如交换机、路由器等,需要制定良好的配置管理方案,关闭不必要的设备服务,设置口令、密码,加强设备访问的认证与授权,升级BIOS,限制访问、限制数据包类型等。
3.3操作系统安全方案
操作系统大部分的安全问题归根结底是由于系统管理不善所导致的。解决方案是正确更新使用密码设置、权限设置,正确进行服务器配置。建立健全操作系统安全升级制度,及时下载并安装补丁。
3.4备份方案
为保证监测网的安全稳定运行,对于监测网的核心局域网系统硬件可采用双机热备方案,磁盘阵列、交换机、防火墙等硬件采用双机并行,负载均衡的方式运行,应用服务器、数据库服务器还可互为备份,从而保证不会因某一点出现故障而影响整个系统的正常使用。
3.5病毒防护
监测网系统覆盖的点多面广,防毒系统应采用集中控制多层防护的方案,在监测系统各个网络都分级部署防病毒软件,中心网络对下一级系统进行实时集中病毒监测,定时升级。制定和采用统一的防病毒策略,使得网络中的所有服务器和客户端都能得到相同的防病毒保护。
3.6防火墙系统
监测网系统由于其分布特性往往由多个安全域组成,应加装防火墙,以实现系统内各级网络之间的隔离和访问控制;实现对服务器的安全保护及对远程用户的安全认证与访问权限控制,并实现对专线资源的流量管理控制和防攻击。
3.7应用安全
可采用多种手段保障应用层安全。如:系统日志审核、服务器账户管理、用户登录权限管理、数据定期备份等。
3.8数据传输安全
监测网作为一个广域网主要利用广电光缆或电信线路进行通信,为保证安全性,数据的传输须采取加密措施。具体方案可针对不同通信方式及数据安全级别制定。
4 结束语
网络是一个多样、复杂、动态的系统,单一的安全产品和技术不能够满足网络安全的所有要求,只有各个安全部件相互关联、各种安全措施相互补充,网络安全才能得到保障。同时,任何一个网络的安全目标都不是仅依靠技术手段就能实现的,还应采取措施加强操作人员素质管理,提高值班员责任心。做到管理规范,才能确保监测网安全、高效运行。
Abstract : The paper mainly discusses the network information security.
1.网络安全的含义
1.1含义 网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。
它具有三方面内容:①保密性:指网络能够阻止未经授权的用户读取保密信息。②完整性:包括资料的完整性和软件的完整性。资料的完整性指在未经许可的情况下确保资料不被删除或修改。软件的完整性是确保软件程序不会被错误、被怀有而已的用户或病毒修改。③可用性:指网络在遭受攻击时可以确保合法拥护对系统的授权访问正常进行。
1.2特征 网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。
2.网络安全现状
网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。
3.网络安全解决方案
要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
4.如何保障网络信息安全
网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术:
4.1防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
4.2防火墙技术。通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
4.3入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4.4安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
4.5网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
4.6安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.
Keywordscomputer;network security;precautionary measure
一、网络安全的定义及内涵
1、定义。网络安全从其本质上来讲就是计算机网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全措施是指为保护网络免受侵害而采取的措施的总和。
2、内涵。网络安全根据其本质的界定,应具有以下三个方面的特征:①保密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的保密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息不外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶性攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容,接受者无法否认所接收的信息内容。
二、网络自身特性及网络安全发展现状
网络信息自身具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性,网络操作系统的漏洞及自身设计缺陷等,网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。现在越来越多的恶性攻击事件的发生说明当前网络安全形势严峻,不法分子的手段越来越先进,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
三、网络安全解决方案及实例分析
要解决网络安全,首先要明确我们的网络需要实现的目标,一般需要达到以下目标:①身份真实性:对通信实体身份的真实性进行识别。②信息保密性:保证密级信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机制,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
为了最大程度的保证网络安全,目前的方法有:安全的操作系统及应用系统、防火墙、防病毒、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件往往是无法确保信息网络的安全的。图1是某一网络实例的安防拓扑简图,日常常见的安防技术在里面都得到了运用:
1、防火墙技术。包括硬件防火墙和软件防火墙。图中的是硬件防火墙,一般设置在不同网络或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,市场上的防火墙种类繁多,它们大都可通过IE浏览器控制,可视化好,易于操作,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击。
2、防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防病毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。一般公司内部大都采用网络版杀毒软件,病毒库联网升级,管理员可通过系统中心制定统一的防病毒策略并应用至下级系统中心及本级系统中心的各台终端,可实施实时监控,主动防御,定时杀毒等功能。但实践证明,仅依靠一款杀毒软件,一种策略,并不能完整的清除所有病毒,有时需要制订不同的安全策略或与另外一款杀毒软件同时使用方可,此时需要具体情况具体分析。
3、入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
5、网络主机的操作系统安全和物理安全措施。操作系统种类繁多,而Windows因其诸多优点被普遍采用,但Windows存在诸多漏洞,易于被攻击,因此需要定期进行更新。北信源补丁分发系统通过定时探测各终端的补丁数,自动给各终端打上补丁,较大程度的避免了因系统漏洞导致的信息安全问题。安全系数要求高的网络,有必要对其进行物理隔绝,采用专用软件控制各终端的外设,对各终端操作人员进行身份验证等等。
6、安全加密技术。分为对称加密技术和不对称加密技术。前者是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥;不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。加密方式有硬件加密及软件加密,其中硬件加密又有信道机密和主机终端加密等。
7、网络安全应急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。应该随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全应急响应体系,专人负责,防范安全事件的突然发生。
总之,网络的第一道防线防火墙并不能完全保护内部网络,必须结合其它措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施,按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机制构成的整体安全检查和反应措施。
四、小结
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,单一的技术是不能解决网络的安全防护问题的。随着信息技术的不断发展,各行各业信息化建设的脚步也越来越快,计算机技术和网络技术已深入应用到人们生产生活的各个领域,各种活动对计算机网络的依赖程度也越来越高。增强人这一主体的安全意识,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,才是最有效的防范措施。
参考文献
[1]胡道元,闵京华.网络安全(2版).北京:清华大学出版社. 2008(10)
[2]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01)
[3]胡道元.计算机局域网[M].北京:清华大学出版社,2001