网络安全解决方案大全11篇
时间:2022-12-13 20:55:38绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全解决方案范文,希望它们能为您的写作提供参考和启发。
篇(1)
中图分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
篇(2)
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
篇(3)
关键词:
社交网络;安全问题;解决方案;分析
0引言
社交网络的出现给人们彼此之间的交流提供了前所未有的便利。利用社交网络不仅可与亲朋好友交流感情,而且还可结识一些新朋友扩大交际圈。因此,人们不可避免的在社交网络上留下一些重要信息,如何确保社交网络安全问题,引起越来越多人的关注。
1社交网络安全问题分析
社交网络已成为人们生活中的重要组成部分,尤其在科技飞速发展推动下,社交网站及软件逐渐向服务的多元化方向发展,其功能越来越强大,不仅仅局限在沟通交流方面。这一发展无疑给社交网络安全提出更高要求。因此,对社交网络出现的安全问题进行汇总,为提出针对性解决方案提供指导,对促进社交网站及软件的长远发展意义重大。
1.1网络安全问题
网络安全是社交软件或社交网站面临的重要问题,而且每年都会发生一些网络安全事件,给企业及用户带来严重不良影响。分析发现,导致社交网络安全问题出现的因素非常之多,有些是无意的,如通信光纤被挖断,有些则是有预谋的。例如,部分不法分子攻击社交网络,以获得一些重要信息从中牟利,不仅影响社交网络工作稳定性,而且引起用户重要信息的泄露。另外,一些不法分子窃听社交网络,窃取用户重要的聊天信息,尤其针对一些企业社交账户,一旦因网络攻击而泄漏重要信息,导致企业机密的泄漏,给企业造成严重经济损失。
1.2信息安全问题
一些不法分分子攻击社交网站或软件的数据库,窃取用户的账户信息,能够轻而易举的登录社交网站及软件,窃取用户的个人信息、浏览用户的聊天记录等,导致用户隐私泄漏。另外,社交网站开发过程中因考虑不周存在bug,这些bug一旦受到蠕虫及黑客攻击,会恶意添加一些下载文件的链接或植入不良代码,当用户点击后会下载一些病毒,或将重要信息发送给黑客,如此黑客便轻而易举的窃取用户相关账户信息,从事某些非法活动,严重损害用户利益。
1.3网络犯罪问题
一些不法分子通过攻击、监听等手段获得用户信息后会从事一些网络犯罪活动。例如,当获得用户的账户信息后,在用户空间一些不良信息,引诱用户好友点击,以达到传播目的。同时,一些用户为便于好友识别,常常将个人信息填写在社交网站或软件上,当不法分析运用相关手段获得用户的个人信息后,常常冒充用户好友、企业老板等,给用户好友或企业财务人员发信息,以达到骗取钱财的目的。另外,部分不法分子窃取用户的账户信息后,一些虚假信息,威胁国家安全,甚至引发社会恐慌等。
2社交网络安全问解决方案
社交网络极大的方便了人们的沟通与交流,拉近了人们之间的距离,使人们充分享受到了信息时代的乐趣。但人们在享受这一新的交流方式时,不能忽略安全方面的考虑,应积极提出有效的解决方案,以解决社交网络面临的安全问题。
2.1加强社交网络管理
在网络技术发展推动下,我国社交网络发展迅速,出现了一大批社交网站及软件,如豆瓣、人人网、新浪微博等,尤其以腾讯的QQ、微信为代表,其拥有庞大的用户群。这些社交网站及软件一旦出现安全问题,后果不堪设想。因此,为避免社交网络出现安全问题,无论企业内部还是国家职能部门应加强社交网络管理。一方面,企业内部应将社交网络管理当做重要工作加以落实,尤其注重对网络的监控,及时发现网络攻击行为。同时,与网络运营商建立良好的合作伙伴关系,针对出现的网络安全问题及时与运营商沟通,共同解决网络安全问题。另一方面,国家职能部门应充分认识到当前社交网络拥有的庞大用户群,无论从我国信息化发展角度,还是从舆论引导角度,均应重视对社交网络的管理。因此,国家职能部门应做好社交网络立法工作,加大对破坏网络安全行为的处罚力度,营造安全、健康的社交网络氛围,尤其针对利用社交网络坑蒙拐骗的行为,应督促企业锁定账户,情节严重的给予封号处理,或追究刑事责任。
2.2采取安全防护策略
社交网站及软件运营企业应从用户的利益出发,切实维护用户权益,采取针对性防护策略,避免用户信息的泄漏。一方面,立足企业内部,充分分析社交网站及软件特点,从安全角度分析社交网站及软件存在的bug,定期向外界,供用户下载,及时修补存在的bug,不给不法分子留下机会。另一方面,做好数据库的安全管理。众多周知,对社交网站及软件而言,数据库存储大量的用户资料、用户聊天信息,保护用户资料安全是企业的职责,一定程度上关系着企业的长远发展。因此,企业可采取硬件与软件相结合的方式提高数据库安全性。在硬件方面,应设计出合理的硬件架构,以屏蔽大量的安全隐患。同时,与实力强的服务器提供商合作。企业应根据用户数量及自身业务状况,与综合实力较强的服务器提供商合作。原因在于综合实力较强的服务器提供商,不仅能保证服务器工作稳定性,而且在机房管理方面更为严格,避免机房原因引起服务器故障的产生。在软件方面,社交网站及软件运营企业,同样需进行软件架构的合理设计,良好的软件架构可明显提升服务器运行安全性,防止数据库出现不良问题。同时,还应使用数据库安全策略,最大限度的提高服务器的防攻击性能。
2.3不断更新安全技术
众多周知,网络技术发展迅速,更新周期比较短,一些新的安全技术不断涌现。为此,社交网站及软件运营企业应不断更新安全技术,提高社交网站及软件整个系统的安全性。首先,企业应综合分析当前运用的安全技术存在的不足,寻找其与新安全技术的契合点,有针对性的应用新安全技术。其次,企业应加强与国际间安全技术企业的交流与合作,把握安全技术发展动向,引进新的网络安全思路与方法,做好用户聊天信息的保护。最后,在社交网络及软件改版时,将安全问题当做重要内容加以考虑,最大限度的提高社交网站及软件安全性,避免安全漏洞的出现,让不法分子有机可乘。另外,考虑到社交网络安全性,参与的角色很多如,社交网站及软件运营企业、网络运营商、服务器提供商等,除运营企业更新安全技术外,网络运营商及服务器提供商同样应注重安全技术的更新。尤其对于网络运营商而言,提高网络安全性是其重要职责,为此,网络运营商应增加在网络安全方面的投入,及时更新网络设备,及安全管理系统,加强对网络运营的监控,尤其应结合大数据思想分析出不法分子的活动规律,及时锁定异常流量,洞察发生的网络安全问题。另外,服务器提供商应定期更新管理技术,不断提高服务器安全技术水平,将攻击服务器的发生机率降到最低。
3总结
社交网络已经融入到人们的生产生活中,拉近了人与人之间的距离,使得人与人之间的交流更为方便。但随之而来的社交网络安全问题,给用户及社交网站及软件运营企业带来诸多意想不到的麻烦。因此如何确保社交网络安全也引起了人们的高度重视。为确保社交网络安全性,企业及国家职能部门应结合当前我国社交网络安全实际,积极寻找有效的解决方案,不断提高我国社交网络安全水平,为人们安全的使用社交网络及软件保驾护航。
作者:李永亮 单位:山东交通职业学院
引用:
[1]刘建伟,李为宇,孙钰.社交网络安全问题及其解决方案[J].中国科学技术大学学报,2011.
[2]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014.
篇(4)
中图分类号:TP3
吕城初级中学是丹阳市农村中学的重点学校,作为典型的基础教育学校,该校校园网建设同样面临着网络安全的问题。为此,作者从实际需求的角度出发,以保障校园安全教学原则为准则,设计了校园网络安全的防护体系。针对我校的具体情况,将该校园网分为三级结构:以位于行政楼内的校园网控制中心为核心;与校园内各建筑(行政楼、教学楼、学生公寓楼、教职工宿舍楼)互连形成园区主干;各建筑物内再扩展面向用户的局域网。园区主干连接为1000Mbps,建筑物内部的用户局域网提供到桌面的100Mbps网络带宽。
我校采用思科公司的千兆交换产品Catalyst 2970G T(24口10/100/1000M)作为校园中心交换机;各建筑物主交换机选择iSpirit3524F(24口10/100M,添加了一个千兆光纤接口模块),中心的2970G T与各建筑物的3524F作千兆光纤连接,为此网控中心所在的行政楼外,其它三栋建筑采用了三条千兆连接成网络主干;此外,中心2970G T其它端口可为多台应用服务器提供高速网络连接。
建筑物内各楼层交换机采用D-link1024R,与本楼主交换机3524F连接,再以100M连接到用户桌面,必要时还可再下联低端交换机扩展用户数。考虑到各交换机都有多个100M端口,级联时可采用Fast Etherchannel(快速以太网通道)技术,将两交换机的2-4对100M或10/100M端口并行连接起来,使级联带宽成倍增加,同时提供线路冗余,其中任一条链路的断线不会妨碍其它链路继续传输数据,从而保障运行的可靠性。自从网络建成后有些问题是管理员必须去面对的:外网设备telnet本网络设备;每台电脑无法分配一个IP地址;师生任意登陆网络设备;师生之间的数据可任意访问等。网络管理员针对以上的问题,可以选择防火墙技术来达到我们的要求。
1 防火墙的基本设置
在网络安全中,除了采用网络技术措施之外,加强网络的安全管理也非常的重要,制定相关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
校园网进入校园已经很多年了,由于受到上级部门的保护,所面临的威胁要稍微小一些,尽管如此,作为网管员也应该提高安全的意识,从理论、技术、规章制度方面杜绝本校的网络不受侵犯。
参考文献:
[1]刘东华.网络与通信安全[M].北京:人民邮电出版社,2002.
[2]刘渊.因特网防火墙技术[M].北京:机械工业出版社,2001.
篇(5)
当前,网络安全问题主要来源于两个方面:一方面来源于Internet,Internet给企事业网络带来成熟的应用技术的同时,也把固有的安全问题带给了企事业网络;另一方面来源于企事业内部,因为是内部网络,主要针对企事业内部的人员和企事业内部的信息资源,因此,企事业网络同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如重要数据被人窃取、服务器不能提供服务等等。要想解决网络的安全问题,我们就要从网络的设计和使用两方面着手进行分析处理。
1 中小企事业单位网络设计原则
由于所处行业不同,各企事业单位的网络结构也存在着一定的差异。但总的来说,网络的设计原则是一致的。
(1)实用性和经济性,根据中小企事业单位的特点,网络系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则,建设企事业单位的网络系统。
(2)先进性和成熟性。网络系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟,不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内网络仍占领先地位。
(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠和稳定,达到最大的平均无故障时间。
(4)安全性和保密性。在网络系统设计中,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的安全措施,包括系统安全机制、数据存取的权限控制等。
(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
2 网络设计阶段安全解决方案
网络安全问题贯穿于网络设计和使用阶段。在网络设计阶段可采取的网络安全措施主要有以下几种:
(1)物理措施。加强对网络关键设备(如交换机、路由器等)的保护,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保网络关键设备的正常运行。
(2)网络分段。目前,大多数中小企事业单位网络采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
(3)硬件防火墙技术。防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企事业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
(4)VLAN技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
(5)硬件隔离设置。对于安全性能要求较高的终端,可采用硬件隔离技术,物理上彻底隔断两个网络环境,针对不同安全级别网络的需求,可采用终端级隔离、信道级隔离和网络级隔离三种方案,确保信息的安全。
3 影响网络安全的几种错误使用习惯
尽管在网络设计阶段我们采取了种种安全措施,但在使用过程中仍不可避免受到安全问题的困扰,这要从网络具体使用人员的错误使用习惯说起。
(1)不恰当的密码使用。密码是最简单的安全形式,如果密码为空或者是过于简单(如“123456”或者是“admin”),未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字,并且既有大写也有小写,那么密码就会更安全。还有一点值得注意的就是密码要经常更换。
(2)忽视安全补丁。在你的操作系统中,大多数会存在着安全漏洞。没有任何一种软件是完美的,一旦一个缺陷或是漏洞被发现,经常就会在很短的一段时间内被黑客和恶意程序利用,对用户产生巨大的危害。因此,尽快安装安全补丁是必要的,也是必须的。
(3)不安装杀毒软件。没有安装杀毒软件的计算机直接连在网络上是不安全的。你的个人信息随时都可能被黑客或者恶意程序所监控。因此,在使用网络或是无线网卡联网之前,要先装上杀毒软件。理论上来说,这种软件应该包含病毒防护、间谍软件扫描以及防止恶意软件在后台安装程序等功能。安装后及时升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全地运行。
(4)不使用加密技术。储存和传递未加密的数据等于是把这些数据公之于众。在银行业和信用卡中,加密技术尤为重要。
4 网络使用阶段安全防范措施
以上几种错误使用习惯经常出现的根本原因就是用户缺少安全意识。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者,是与他们缺少安全意识分不开的。对员工进行安全意识教育和网络安全策略的培训至关重要。大量的调查研究已经证实,内部的人员已经成为网络安全的最大潜在威胁,因为他们拥有最大的访问权限。除了这一点外,网管人员还应根据单位的实际情况,做好如下安全防范措施:
(1)IP地址与MAC绑定。加大网络监管力度,严格控制本单位IP地址的分配,做好IP地址使用备案,做好IP地址与MAC地址的绑定,避免发生因个别计算机遭到ARP攻击而造成整个网络瘫痪的问题。
(2)访问控制,对用户访问网络资源的权限进行严格的认证和控制。例如:进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
(3)补丁管理。不但要对操作系统打补丁,还要为应用程序打补丁。为所有的系统和第三方的应用程序制定慎密的安全计划。管理员要清醒地知道,哪些计算机和软件需要更新和升级。
(4)数据加密。加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
(5)安装网络防病毒系统。及时升级病毒库,定期对计算机进行查杀,防止病毒对系统安全造成破坏。
篇(6)
关键词:电力;网络;安全;方案
Key words: power;network;security;plan
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0165-01
1电力行业的特点
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到电网调度自动化,继电保护及安全装置、厂、站自动化,配电网自动化,电力负荷控制分析、电力市场交易、电力营销、信息网络系统等,发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。
2网络安全分析
一般说来,在电力网络系统中的安全防护主要包括三个方面:一是网络拓扑的结构防护,即在后期当网络的结构调整时,要注意增删节点的合理性;二是硬件方面的防护,即组成网络系统中的各类设备;三是软件方面的防护,即网络系统中存储和传输的信息数据。
3网络安全的防范技术
①配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。②采用全网统一的网络防病毒系统,保护网络中的各类服务器、工作站等不受病毒的干扰和对其上文件的破坏,以保证系统的可用性。③作为防火墙的补充,须在内部关键业务网段配备入侵检测系统和防御系统,以防备来自内部的攻击及外部通过防火墙的攻击。④对关键业务信息跨地区的传输,采用VPN产品进行加密,保证传输过程中的信息安全。⑤对于网络设备、服务器等管理员的身份认证,采用诸如令牌口令的增强身份认证系统。⑥配备灾难恢复系统及冗余,防备意外的发生。⑦建立完善的网络安全管理制度,防止出现人为的安全隐患。
4安全解决方案
4.1 总体设计思路和原则。在基本的访问控制,身份鉴别和安全审计方面采用合理的技术手段。使用防火墙产品划分网络区域,对需要保护的区域进行网络层的访问控制。正确使用系统中已有的安全机制,各系统通常包含了基本的安全机制,如身份认证、访问控制和审计功能。正确的使用这些安全功能可以减少系统可被利用的漏洞。采用专用产品强化系统中对安全构成威胁的薄弱环节(包括防病毒)。用必要和有效的监控和审查机制保证安全机制的有效性,安全策略的正确性;定期审查。持续监控,部署必要的技术和产品在安全机制失效和灾难的情况下采取正确、及时、有效的措施。及时报警,以争取管理和技术人员的及时介入。在入侵正在进行时自动或通过人员干预终止威胁系统安全的行动。系统遭到破坏是在尽可能短的时间内回复系统的运行。
4.2 网络安全产品的部署
①防火墙的配置:作为保护电力系统内部网免遭外部攻击,最有效的措施就是分别在电力系统各级内部网与外部广域网之间放置防火墙,通过设置有效的安全策略,做到对电力系统内部网的访问控制。不改变原来网络拓扑结构,且保证通讯速度不受较大影响,可以配置使用基于状态检测包过滤技术上的流过滤技术的防火墙――硬件防火墙系统。
②入侵监测系统的配置:为了防范来自电力系统内部网络的攻击,及来自外部透过防火墙的攻击,作为防火墙的补充,须在电力系统内部网各重要网段配备入侵检测系统,通过对网络行为的监视,来识别网络的入侵的行为。实时监视网络上正在进行通信的数据流,分析网络通讯会话轨迹,反映出内外网的联接状态;通过内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯的情况,查询网络事件,进行相应的响应;能根据所发生的网络安全事件,启用配置好的报警方式,比如Email、声音报警等;提供网络数据流量统计功能,能够记录网络通信的所有数据包,对统计结果提供数表与图形两种显示结果,为事后分析提供依据;默认预设了很多的网络安全事件,保障客户基本的安全需要;提供全面的内容恢复,支持多种常用协议;支持分布式结构,安装于大型网络的各个物理子网中,一台管理器可管理多台服务器,达到分布安装,全网监控,集中管理。
③信息传输加密产品的配置:为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。提供穿越防火墙的VPN应用模式,可以用直连的方式把通过认证的数据直接传送到主机的应用程序;可以与第三方认证产品集成,提供更强的身份认证和访问控制功能。
④防病毒系统部署。总之电力企业网络的安全保障可从以下几方面考虑:a.在电力企业网络各节点处构筑防御(如防火墙),防止外网影响内网。b.建立一个统一、完善的安全防护体系,该体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。c.在互联网日益广泛应用的今天,为保障电力企业网络的安全,必需树立全程安全的观念。
参考文献:
篇(7)
关键词: 网络安全技术;电力企业网络安全;解决方案
Key words: network security technology;electric power enterprise network security;solutions
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)30-0175-02
0 引言
随着社会科技的不断发展,计算机网络领域也在飞速发展,信息化社会时代即将到来。尽管网络具有多层次、高效率、范围广等种种特点,但仍然存在着一些严重的问题,首当其冲的是网络信息安全问题,本文也集中注意力来讨论如何解决网络信息安全问题。目前,计算机网络的多联性造成了信息能够被多渠道的客户端所接收,再加上一些企业在传送信息时缺乏信息安全的防护意识,这也造成了网络信息容易遭受一些非法黑客以及计算机病毒的侵害,因此,计算机网络信息的安全性和保密性是目前所需要攻克的一大重要难题。计算机网络的开放性造就了网络信息安全隐患的存在,同时,我们在面对危机重重的计算机网络,如何将信息安全、秘密地传输是摆在目前计算机网络安全研究者们眼前的问题。据此,我们应针对企业的网络结构体系来设计出一套适合的、先进的网络安全防护方案,并搭配合适的网络防护软件,为电力企业营造一个安全的网络空间。
1 电力企业网络安全隐患分析
电力企业既可以从因特网中获取重要信息,同时也能够向因特网中发送信息,但由于因特网的开放性,信息的安全问题得不到保证,而根据公安部门的网络调查来说,有将近半数的企业受到过网络安全的侵害,而受到侵害的企业大部分都受到过病毒和黑客的攻击,且受到了一定的损失。
根据上面的信息可以很明确的得出网络安全防护的重要性,而影响计算机网络安全的因素有很多种,其主要可以大致分成三种:一是人为无意中的失误而导致出现安全危机;二是人为方面的恶意攻击,也就是黑客袭击;三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳如下:
1.1 病毒 病毒对于计算机来说就如同老鼠对于人类来说。“老鼠过街,人人喊打”,而病毒过街,人人避而趋之,它会破坏电脑中的数据以及计算机功能,且它对于硬件的伤害是十分大的,而且它还能够进行自我复制,这也让病毒的生存能力大大加强,由此可以得出其破坏性可见一斑。
1.2 人为防护意识 网络入侵的目的是为了取得访问的权限和储存、读写的权限,以便其随意的读取修改计算机内的信息,并恶意地破坏整个系统,使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件,当程序启动时,与其捆绑的软件也会被启动,与此同时,许多安全缺口被捆绑软件所打开,这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置,否则安全问题永远也解决不了。
1.3 应用系统与软件的漏洞 网络服务器和浏览器的编程原理都是应用了CGI程序,很多人在对CGI程序进行编程时只是对其进行适当的修改,并没有彻底的修改,因此这也造成了一个问题,CGI程序的安全漏洞方面都大同小异,因此,每个操作系统以及网络软件都不可能十全十美的出现,其网络安全仍然不能得到完全解决,一旦与网络进行连接,就有可能会受到来自各方面的攻击。
1.4 后门与木马程序 后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。
1.5 安全配置的正确设置 一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。
2 常用的网络安全技术
2.1 杀毒软件 杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。
2.2 防火墙 防火墙是与网络连接间进行一种预定义的安全策略,对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种,一种是软件防火墙,软件防火墙是利用软件来在内部形成一个防火墙,价格较为低廉,其功能比较少,仅仅是依靠自定的规则来限制非法用户进行访问;第二种是硬件防火墙,硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离,其效果较好,但价格较高,难以普及。但防火墙并没有想象中的那样难以破解,拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问,因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改,如:数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭,而内部网络的安全则无法保护,因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。
2.3 数据加密 数据加密技术可以与防火墙相互配合,它的出现意味着信息系统的保密性和安全性进一步得到提高,秘密数据被盗窃,侦听和破坏的可能性大大降低。数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用,为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用,主要可以分成线路加密和端口加密这两种基本方法;数据储存加密技术是在数据储存时对其进行加密行为,使数据在储存时不被窃取;数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证,是否达到保密要求,通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护;数据加密在外所表现出来的应用主要为密钥,密钥管理技术是为了保证数据的使用效率。
数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性,能够在一定程度上防止机密信息的泄漏。同时,数据加密技术所应用的地方很广泛,有信息鉴别、数字签名和文件加密等技术,它能够有效的阻止任何对信息安全能够造成危害的行为。
2.4 入侵检测技术 网络入侵检测技术是一种对网络进行实时监控的技术,它能够通过软、硬件来对网络中的数据进行实时地检测,并将之与入侵数据库进行比较,一旦其被判定为入侵行为,它能够立即根据用户所设定的参数来进行防护,如切断网络连接、过滤入侵数据包等等。因此,我们可以将入侵检测技术当做是防火墙的坚强后盾,它能够在不影响网络性能的情况下对齐进行监听,并对网络提供实时保护,使得网络的安全性能大大提升。
2.5 网络安全扫描技术 网络安全扫描技术是检测网络安全脆弱性的一项安全技术,它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员,并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务,并且可以检测出操作系统中存在的安全漏洞,同时还能够检测出计算机中是否被安装了窃听程序,以及防火墙可能存在的安全漏洞。
3 单利企业网络安全解决方案
3.1 物理隔离 物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。
3.2 网络系统安全解决方案 网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障:
①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配,不能滥放权利。④对网络系统进行严谨科学的安全配置。
3.3 入侵检测方案 目前,电力企业网络防护体系中,仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大,再加上操作系统中可能存在的安全漏洞,这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析,电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统,这样可以与防火墙形成交叉防护,相得益彰。
3.4 安全管理解决方案 信息系统安全主要是针对日常防护工作,应当根据国家法律来建立健全日常安全措施和安全目标,并根据电力企业的实际安全要求来部署安全措施,并严格的实施贯彻下去。
4 结束语
“魔高一尺,道高一丈”。不管攻击方式多么新奇,总有相应的安全措施的出现。而网络安全是一个综合的、交叉的科学领域,其对多学科的应用可以说是十分苛刻的,它更强调自主性和创新性。因此,网络安全体系建设是一个长期的、艰苦的工程,且任何一个网络安全方案都不可能解决所有的安全问题。电力企业的网络安全问题要从技术实践上、理论上、管理实践上不断地深化、加强。
参考文献:
篇(8)
1. VMware和虚拟蜜网概述
1.1 VMware
VMware是目前虚拟技术的主流产品,同时也是VMware技术首次在真正意义上实现了虚拟化技术向PC服务器的移植。基于VMware技术的虚拟机允许同一个PC服务器支持数个操作系统,更加可贵的是,每一个Guest OS(子操作系统)均拥有一个独立的VM(Virtual Machine,虚拟机),即相当于拥有一个独立的PC机,每一个VM均能够与其他的VM进行通讯和对话。
1.2 虚拟蜜网
了解虚拟蜜网之前必须要了解蜜罐和蜜网。首先,蜜罐主要是指故意吸引攻击者进行攻击,而后对其攻击行为进行计算,简单来说,蜜罐就是诱惑攻击的计算机,进而通过信息的收集和分析,查看系统是否存在漏洞以及恶意攻击的最新形势。其次,蜜网则是交互水平非常高的蜜罐,通过水平非常高的交互作用,我们则能够非常清晰的了解攻击者入侵系统的方式、手段,尤其是原理和交互作用的发生形式。最后,虚拟蜜网则是利用一台而非多台电脑实现蜜网作用的解决方案。因为利用虚拟技术可以让一个真实的物理平台同时支持多个独立的操作系统,利用VMware技术可以实现在同一个主机系统上运行多个不同的相互独立的虚拟系统,并构成虚拟的蜜网。
2. 虚拟蜜网的建设方案分析
2.1 安装VMware
利用VMware,可以在相同的时间内同时导入多个操作系统,这些操作系统相互独立运行。首先,依照常规程序安装"Host OS"(即基础操作系统);其次,"Host OS"安装完毕之后,在其上安装VMware;最后,安装相应的Guest OS(子操作系统),使这些Guest OS(子操作系统)能够在虚拟环境之下运行。
2.2 配置VMware
篇(9)
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2 网络安全的重要性
2.1 网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
(2)危及财产安全。随着网络一卡化的运用,人们不用麻烦的随身携带大量财物,只需要几张卡片就能进行各类消费,在一卡化模式的运作下,网络也最大化地便利了人们。如今,由网络芯卡衍生出了更高端的消费方式,常见的微信转账、微信红包、支付宝等支付手段,只需在手机网络中就能实现网络消费,为网络数字时展撑起了一片天。而在这样的环境背后,网络消费却潜藏着巨大的财产安全隐患。密码是数字时代的重要组成部分,网络中的众多信息都牵涉着密码,但是密码并非不可破译的,一旦被危险的木马软件抓到漏洞,无疑等于是凿开了保险柜的大门。在以牟取利益为宗旨的经济犯罪中,网络经济犯罪占据着极大的比例,无论个人还是企业,其经济财产安全都受到网络安全隐患严重的威胁。
2.2 提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3 对网络安全隐患主要形式的分析
3.1 操作系统的漏洞
任何计算机操作系统都有着自身的脆弱性,因此其被称之为操作系统的漏洞。操作系统自身的脆弱性一旦被放大,就会导致计算机病毒通过系统漏洞直接入侵。不仅如此,操作系统的漏洞具有推移性,会根据时间的推移,在不断解决问题的过程中不断衍生,从解决了的旧漏洞中又产生新的漏洞,周而复始,长期存在于计算机系统之中。不法者通过系统漏洞可以利用木马、病毒等方式控制电脑,从而窃取电脑中重要的信息和资料,是当今网络安全隐患存在的主要形式之一。
3.2 恶意代码的攻击
恶意代码的概念并不单指病毒,而是一种更大的概念。病毒只是恶意代码所包含的一种,网络木马、网络蠕虫、恶意广告也从属于恶意代码。恶意代码的定义是不必要的、危险的代码,也就是说任何没有意义的软件都可能与某个安全策略组织产生冲突,恶意代码包含了一切的此类软件。通常情况下,黑客就是恶意代码的撰写者,一般黑客受人雇佣,旨在通过非法的侵入盗取机密信息,或者通过破坏企业计算机系统,非法获取经济利益,形成行业恶性竞争。现在的网络环境中,恶意代码是最常见的网络安全隐患,常隐藏在正常的软件或网站之中,并且不易被发现,渗透性和传播性都非常强,具有极大的威胁性。
4 网络安全的解决方案
4.1 设置防火墙
防火墙是一种集安全策略和控制机制为一体的有效防入侵技术,是指通过网络边界所建立的安全检测系统来分隔外部和内部网络,并明确限制内部服务与外部服务的权限,可以实际阻挡相关攻击性网络入侵。防火墙的基本类型有六种,分别是复合型、过滤型、电路层网关、应用层网关、服务及自适应技术。在目前的大多数企业中,都运用到了防火墙技术。
4.2 对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3 采用多重加密
网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程:首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式;其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制;最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见,比如在微信、微博、游戏账号、邮箱等各大社交软件中,都设有个人密码,这是多重加密技术的第一层屏障,随着高级别威胁的出现,第一层的密码保护无法满足数据安全的需要。因此,在社交软件中就出现了动态码、验证码、密保信息等更高级的数据保护措施,在多元的数据保护手段下就形成了多重加密的安全技术。
4.4 实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5 结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1] 李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2] 关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
篇(10)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校园网络安全概述
1.1 网络病毒
(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。
(2)病毒入侵渠道:来自Internet 或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是Internet,主要的传染方式是群件系统。
(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。
(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源。
1.2 网络攻击
(1)校园网与Internet 相连,面临着遭遇攻击的风险。
(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
(4)存在“重技术、轻安全、轻管理”的倾向。
(5)服务器与系统一般都没有经过细密的安全配置。
2 校园网络安全分析
2.1 物理安全分析
网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。
2.2 网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。
2.3 系统的安全分析
系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。
2.4 应用系统的安全分析
应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。
2.5 管理的安全风险分析
安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。
3 校园网络安全解决方案
3.1 校园内部网络安全方案
3.1.1 内网病毒防范
在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。
3.1.2 单机病毒防范
教师机安装NT 内核的操作系统,使用NTFS 格式的分区;服务器可以使用Windows Server甚至UNIX或类UNIX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用NTFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。
3.1.3 内部网络安全监控
采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。
3.1.4 防毒邮件网关系统
校园网网关病毒防火墙安装在Internet 服务器或网关上,在电脑病毒通过Internet 入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。
3.1.5 文件服务器的病毒防护
服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。
3.1.6 中央控制管理中心防病毒系统
建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。
3.2 校园外部网络安全方案
3.2.1 校园网分层次的拓扑防护措施
层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。
3.2.2 校园网安全防护要点
(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的IP包和以非法IP地址离开内部网络的IP包;三是在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。
(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,其中WWW、E-mail、FTP、DNS 服务器连接在防火墙的DMZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与Internet 连接。
(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
3.2.3 校园网防护体系
构造校园网“包过滤防火墙+NAT+计费++VPN+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;通过IP地址与MAC地址对应防止IP欺骗;基于用户和IP地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和VPN 及其管理;网络监控与入侵检测。
4 校园网络运营安全
4.1 认证的方式
网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。
(2)基于流的认证方式。指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。
4.3 账户管理
学生是好奇心强的群体,假冒DHCP SERVER和IP、MAC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCP SERVER,立即封掉该账户。
5 校园网络的访问控制策略
5.1 建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
5.2 身份验证
对用户访问网络资源的权限进行严格的认证和控制。
5.3 病毒防护
主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
6 校园网络安全监测
校园网络安全监测可采用以下系统或措施:入侵检测系统;Web、E-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑IP和MAC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
7 校园网络系统配置安全
7.1 设置禁用
禁用Guest账号;为Administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。
7.2 设置IIS
通过设置,弥补校园网服务器的IIS 漏洞。
7.3 运用VLAN 技术来加强内部网络管理VLAN 技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
7.4 遵循“最小授权”原则
指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
7.5 采用“信息加密”技术
包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。
8 校园网络安全管理措施
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
9 结束语
校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
参考文献:
[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).
[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).
篇(11)
从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。
网络安全根据其本质的界定,应具有以下基本特征:(1)机密性。是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的各个层次上都有不同的机密性及相应的防范措施。(2)完整性。是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性;(3)可用性。是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资料。
二、网络安全现状分析
随着计算机和通信技术的发展,网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的。
网络安全是研究与计算机 科学 相关的安全问题,具体地说,网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。
每个计算机离不开人,网络安全不仅依赖于技术上的措施,也离不开组织和 法律 上的措施。客户/服务器计算模式下的网络安全研究领域,一是OSI安全结构定义的安全服务:鉴别服务、数据机密、数据完整、访问控制服务等;二是OSI安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。
三、网络安全解决方案
网络安全是一项动态、整体的系统工程。网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。(1)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的 企业 防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略;(2)防火墙技术。防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提高内部网络的安全。
(3)入侵检测技术。入侵检测系统是近年出现的新型 网络 安全技术,目的是提供实时的入侵检测及采取相应的防护手段。实时入侵检测能力之所以重要,是因为它能够同时对付来自内外网络的攻击;
(4)安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。如果说放火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然;(5)网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的 发展 而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
四、网络安全管理
