时间:2023-06-28 16:51:53
序论:在您撰写安全网络策略时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
【关键词】网络安全;威胁风险;安全漏洞;防范策略
引言
经济多元化发展的今天,人们的生活越来越离不开信息网络世界,对网络空间的安全也提出了更高的要求。网络安全问题可以造成的严重危害有目共睹,仅以2016年为例,就有OpenSSL新型安全漏洞“水牢”威胁我国十余万家网站、315晚会上曝光不法分子利用公共WIFI漏洞盗取他人银行账户资产、俄罗斯黑客盗取2.7亿邮箱账号密码并在黑市交易、山东临沂准大一新生徐玉玉因电信诈骗死亡、国家电网掌上电力及电e宝等App泄露大量用户数据等重大网络安全事件发生。因此,提高全民的网络安全意识、普及网络安全威胁防范知识已成为当务之急。只有在全民做好防范应对的前提下,才真正能够抵御来自于互联网的绝大部分威胁和风险,营造一个健康和谐、更好地为人类生活服务的网络社会。
1网络安全三类威胁
根据国家互联网应急中心(CNCERT)网络安全信息与动态监测结果,2016年12月12日至12月18日,我国境内被篡改网站数量达3438个(其中政府网站79个);境内被植入后门的网站数量达1614个(其中政府网站33个);针对境内网站的仿冒页面数量达2486个。境内感染网络病毒的主机数量达94.8万,其中包括被木马或被僵尸程序控制主机72.8万,感染飞客(conficker)蠕虫主机22万;新增信息安全漏洞274个,其中高危漏洞98个。与前一周相比,被篡改网站、仿冒页面、感染病毒主机、新增信息安全漏洞等数量都在增加[1]。可见,互联网安全威胁普遍、大量存在,而且有不断增加的趋势。这些威胁依据安全三要素“人、机、环境”可分类为:人为威胁、计算机威胁和网络威胁。1.1人为威胁人为威胁[2]即由用户非正常操作引起的威胁,包括:(1)无意识的操作失误,如系统管理员安全配置不当、系统登录口令强度太弱、长时间离开未锁定计算机、重要账号随意转借他人、下载运行存在安全风险的软件程序等;(2)有意识的主动攻击,如通过钓鱼邮件、社会工程学等方法窃取重要数据信息,或者利用病毒木马传播、恶意代码植入、拒绝服务攻击等方式对系统和数据进行篡改甚至破坏。
1.2计算机威胁
计算机威胁主要是由计算机自身部署的软硬件产生的威胁,包括:(1)因操作系统、数据库或其他应用系统未及时升级至最新版本导致存在可被利用的漏洞或者“后门”[3];(2)因需要提供某些特定服务而开启相应端口,这些服务和端口同时也可能被攻击者利用;(3)因接入外部设备(如U盘、摄像头、打印机等)导致敏感信息泄露或计算机被感染等问题。
1.3网络威胁
网络威胁是三类威胁中存在最广泛、危害性最强的。互联网上充斥着各种各样、不计其数的病毒、木马和恶意代码,未作任何防护措施的计算机直接接入网络中的危险不言而喻;网络通信协议使得具有不同硬件架构和操作系统的计算机能够互联互通,但许多早期协议在设计之初并未考虑网络安全问题,不可避免会存在安全隐患;除此之外,互联网中还遍布各种具有攻击能力的网络工具,攻击者可以操纵这些工具并结合一些攻击命令实现各种攻击目的,轻则窃取重要文件或造成目标计算机运行异常,重则完全控制目标计算机甚至造成物理性严重破坏。
2常用网络安全防范策略
为有效防范上述网络安全威胁,结合生活生产实际,常用且有效的一些应对策略和措施包括以下方面。
2.1完善用户账户口令安全
包括操作系统(如Windows、Linux/Unix)、数据库(如SQLServer、Oracle、MySQL)、中间件(如Tomcat、Weblogic、JBoss)、远程连接和文件共享服务(如Ftp、Telnet、SSH)、网络设备(如网关、交换机、路由器、摄像头、打印机)等重要软硬件资源的管理员口令都应设置为大小写字母、数字及特殊字符的强组合,且应达到一定长度并定期更换(如8位以上、每3月更换)。研究表明,暴力破解8位强组合口令的时间是8位纯数字口令的7.2*107倍,是6位强组合口令的9.2*103倍,长度越长、组合越复杂的口令被破解成功的概率将以指数级减小。对于Windows操作系统,应特别注意禁用Guest来宾账户,有为数不少的成功入侵案例就是利用这个账号存在的漏洞来达到入侵目的。为进一步加强反入侵效果,还可以将系统默认的管理员用户名administrator修改为其他名称,同时再创建一个具有极小权限的administrator账户,从而对攻击者造成干扰和迷惑,争取时间组织有效防御。
2.2禁用不常用的端口
操作系统一般会默认开放一些网络服务,如果确认不会用到这些服务,就应该禁用服务对应的端口,减少计算机暴露在网络中的安全风险。对于个人终端计算机,可以禁用的常见端口包括:21(Ftp服务)、23(Telnet服务)、80/8080(Http服务)、139/445(网络共享服务)、443(Https服务)、3389(远程连接服务)等,这样可以阻止相当一部分网络攻击。对于部署了数据库和中间件的服务器计算机,应该更改以下默认端口:1433(SQLServer)、1521(Oracle)、3306(MySQL)、7001(Weblogic)、8080(Tomcat/JBoss)等,达到在网络中隐藏自身的目的。
2.3及时更新最新升级补丁
任何软件系统都不可能是绝对安全的,总会被有意者发现新的安全问题,因此开发商需要不断升级补丁和重大版本更新来修复和封堵漏洞,保持系统的安全性和稳定性。如果不及时更新至最新的版本,就很容易被攻击者利用已知漏洞获得系统控制权限或致使系统瘫痪。因此,应定期检要的软件系统如操作系统、数据库、中间件、办公软件、开发环境(如Java、PHP)等是否存在重要升级补丁或重大版本更新,及时选择合适的时机完成升级更新,封堵来自于软件本身的威胁。
2.4部署安装必要的安全软、硬件
要保证计算机安全接入互联网,以下安全软件和硬件是必须部署安装的:(1)防火墙/安全网关,用于实现对网络的访问控制,过滤不安全的流量数据包,禁用指定端口的通信和来自特定ip地址的访问等[4];(2)防病毒软件,用于防范、拦截、查杀、隔离计算机病毒、木马和恶意代码;(3)加密U盘,用于防止他人在未通过身份鉴别的情况下直接获取U盘中的文件数据。企业级用户还应部署如下系统以达到更高的安全防护级别:(1)入侵检测系统/入侵防御系统,用于自动检测和防御来自外部网络的可能的攻击行为,并为网络安全管理人员提供日志审计以追溯攻击来源、识别较隐蔽的攻击行为等;(2)漏洞扫描系统,通过扫描等方式检测本地或远程计算机系统存在的安全脆弱性,发现可被利用的安全漏洞隐患并提供相应的修复和加固建议;(3)灾备系统,用于对信息系统进行数据、软件和硬件备份,使得在灾难发生导致系统损毁时,能够迅速、可靠地恢复到正常运行状态。
2.5应用加密技术存储、传输文件
对于具有密级级别的文件资料,如国家、商业、企业的绝密、机密和秘密文件,应当进行加密存储,防止攻击者在成功入侵获得文件后轻易解读。目前的加密存储方式可分为硬件加密、软件加密和智能加密三类,其中使用最广泛、最便捷的是软件加密方式,常见如压缩软件WinRAR提供的加密压缩包功能,以及一些专业加密软件如“超级加密3000”、“文件夹超级加密大师”、“隐身侠”等。密级很高的文件不建议使用软件加密,应选择安全性更高的硬件和智能加密方式。重要文件和信息在网络中的传输也应该进行加密。一些早期的网络传输协议如ftp、telnet等均以明文方式传输信息,只要传输的网络数据包被截获,所有信息都将彻底暴露,毫无安全性可言,也正因如此,ftp和telnet服务已经逐渐被相对安全得多的ssh服务所代替。除了信息传输方式应设置为密文外,被传输的文件本身也应当加密,以防传输通道被劫持或中间节点服务器被控制导致文件被他人获得后可无限制访问。
3结语
1.影响网络信息安全的主要因素
1.1 导致互联网脆弱性的原因。
(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
1.2 安全管理困难性。
虽然安全事件通常是不分国界的,但是安全管理却受国家等多种因素的限制。安全管理也非常复杂,经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间,跨国界的安全事件的追踪就非常困难。
2.网络安全的主要技术
2.1 防火墙技术。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
2.1.1 网络安全的屏障。
防火墙可通过过滤不安全的服务而减低风险,极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络,使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文,并将情况及时通知防火墙管理员。
2.1.2 强化网络安全策略。通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。
2.2 数据加密技术。
2.2.1 常用的数据加密技术。
目前最常用的加密技术有对称加密技术和非对称加密技术。
2.2.2 数据加密技术的含义。
所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。
3.网络安全具有的功能
3.1 身份识别。
身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。
3.2 存取控制。
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
4.常见网络攻击方法
4.1 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。
第一:搜索
第二:扫描
第三:获得权限
第四:保持连接
第五:消除痕迹
4.2 网络攻击的常见方法。
(1)口令入侵
(2)电子邮件攻击
(3)木马程序
(4)漏洞攻击
5.网络安全应对策略
(1)使用防火墙软件
(2)提高网络安全意识
(3)隐藏自己的IP地址
(4)备份资料
(5)提高警惕
我国面对网络威胁采取的主要策略:
5.1 完善管理机制。
一个完善的计算机网络信息系统安全方案至少应该包括以下几个方面:访问控制、检查安全漏洞、攻击监控、加密、备份和恢复、多层防御、建立必要的管理机制。随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性显得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免地存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。
5.2 逐步消除网络安全隐患。
(1)每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。
关键词:网络拓扑;防火墙;路由器;交换机;LAN;网络安全策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)24-5855-03
On the Hospital Network Security Policy
HUANG Shao-e
(Information Department of Songgang Hospital, Shenzhen 518105, China)
Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.
Key words: network topology; firewal; router; switch; VLAN; network security policy
随着医院业务的不断发展,其网络系统[1]也经历了多年的不断建设。在业务水平、网络规模不断提升的同时,网络也变得越来越复杂,而这种复杂对其安全性的挑战也是越来越严峻。OA业务系统对信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。医院计算机管理人员充分认识到了安全保证对于业务系统的重要性,采取了相应的安全措施,部署了一些安全设备发挥了积极的作用。但是安全的动态性、系统性的属性决定了安全是一个逐步完善的整体性系统工程,需要管理、组织和技术各方面的配合。安全源于未雨绸缪,随着安全信息建设的逐步深入,医院立足于当前系统环境,考虑到未来业务发展的趋势决定对系统进行安全体系建设。在2009年初计划投入建设我院信息安全保障体系[1-2],以增强我院的外网信息安全风险防范能力。
下面就我院网络改造前后安全问题进行浅谈。
1 我院网络未改造前现状系统安全风险分析
未改造前我院外部网络所面临的主要问题:所面临的主要问题可以细化为:① 员工有少数人上网进行BT下载,严重占用带宽,影响其他人的正常的互联网访问。② 内网机器感染了病毒,没有有效监控措施快速找到感染病毒的机器。③ 内网网络没有做安全隔离,服务器和客户端没有有效的隔离。④ 服务器区没有任何的安全防护措施,容易受到攻击。⑤ OA院内办公系统、数字多媒体图书馆等系统直接暴露于互联网,没有任何安全防护措施,很容易造成隐私信息的泄漏。
未改造前的网络状况拓扑结构如图1所示。
本单位办公楼层分布:十层楼门诊部(门诊办公+行政办公)、十层楼住院部、小楼层其他业务科室办公楼;
2 我院改造后的网络系统安全策略[2-3]
通过以VLAN(Virtual Local Area Network)方式的配置管理技术,在交换式以太网中,利用VLAN技术将由交换机连接成的物理网络划分成多个VLAN逻辑子网,实现不同网段逻辑隔离,按照楼层与科室类别和安全等级对计算机网络段实现分类管理,有利于网络的管理[4]和提高网络利用率。
2.1 硬件改造架设
在文中重点解说USG防火墙防御能力[5]的网络安全策略。此次改造增加的设备有:H3C S1526交换机、Cisco2800路由器和USG-600C防火墙。
2.1.1 USG防火墙的冗余措施
USG-600C防火墙作为网络接入的冗余措施[6],对数据流进行精细的控制。USG安全网关具有如下特点:1)完善的访问控制手段:IP地址过滤、MAC地址过滤、IP+MAC绑定、用户认证、流量整形、连接数控制等;2)IPS-坚固的防御体系;3)完善的攻击特征库:包括50多类,超过1800项的入侵攻击特征;4)漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;5)应用还原重组技术:抑制间谍软件、灰色软件、网络钓鱼的泛滥;6)网络异常分析技术:全面防止拒绝服务攻击;7)业界领先的网络防病毒技术:文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件;8)实用的流量监控系统NetFlow:历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP流量排名等;9)多种手段全面清除垃圾邮件:黑名单、白名单、可追查性检查、病毒扫描、附件类型和附件大小过滤、关键字过滤等;10)精确的抗DoS攻击能力:采用特征控制和异常控制相结合的手段,有效保障抗拒绝服务攻击的准确性和全面性,阻断绝大多数的DoS攻击行为;11)完善的P2P、IM、流媒体、网络游戏和股票软件控制能力;12)强大的日志报表功能:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录。
USG-600C防火墙支持IP与MAC地址绑定功能并提供了多种绑定手段[7],包括手动绑定,自动单主机绑定以及自动多主机绑定能力。其IP与MAC地址绑定功能值得一提,因ARP欺骗可以造成内部网络的混乱,让某些被欺骗的计算机无法正常访问外网,让网关无法和客户端正常通信。分析其原理如下:假设这样一个网络,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。
A的地址为:IP:192.168.1.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.1.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.1.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下在A计算机上运行ARP -A查询ARP缓存表应该出现如下信息。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。
B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。
欺骗完毕我们在A计算机上运行ARP -A来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface: 192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
从上面的介绍我们可以清楚的明白原来网络中传输数据包最后都是要根据MAC地址信息的,也就是说虽然我们日常通讯都是通过IP地址,但是最后还是需要通过ARP协议进行地址转换,将IP地址变为MAC地址。而上面例子中在计算机A上的关于计算机C的MAC地址已经错误了,所以即使以后从A计算机访问C计算机这个192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。
解决ARP欺骗的办法就是进行IP与MAC地址绑定,由于每块网卡的MAC地址都是固定的,经过地址绑定后,IP地址就与计算机或用户(若每台计算机的用户固定)的对应关系就固定了。也就是说,只有特定的主机才能使用特定的IP地址,这就可以保证IP地址不被盗用,同时也加强了内部网络IP不被随便人为修改的计算机管理。
2.1.2 网络主干设置
核心H3C S1526交换机为网络的主负载,楼层中心交换机为辅,利用H3C S1526交换机来进行VLAN端口划分,划分了三个网络区间。这三个区间分别为VLAN 1、VLAN 2和两个VLAN的和集。第一区间为VLAN 1,连接DDN专线出口, 包含门诊部和住院部及其它楼层的独立网络段;第二个为VLAN 2,连接ADSL出口,该区间包含9楼行政办公的独立网段;第三个区间是前两个区间的和集,包含两个网络段,再细划分两个共享端口作为OA服务器端口。
下面来看一下C1526交换机上VLAN的三大网段划分如图2所示。
2.1.3 Cisco2800路由器设置
利用Console端口进行配置,其 Cisco2800路由器端口设置如下:
Building configuration...
Current configuration : 2355 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Router
boot-start-marker
boot-end-marker
logging buffered 51200 warnings
enable password ********
username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
ip cef
ip domain name
no ftp-server write-enable
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
duplex auto
speed auto
interface Serial0/1/0
ip address 102.105.101.102 255.255.255.240
ip nat outside
encapsulation ppp
ip classless
ip route 0.0.0.0 0.0.0.0 102.105.101.101
ip http server
ip http authentication local
ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240
ip nat inside source list 1 pool NATOUT overload
ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable
access-list 1 permit 192.168.0.0 0.0.255.255
control-plane
banner login ^C
以上端口设置主要是完成OA服务器端口映射的功能,到此步就完成了整个网络硬件布置。下面就改造后的网络安全体系进行图解。
2.2 新规划改造后的网络安全体系拓扑
新规则的网络拓扑图如图3所示。
3 结束语
综上,网络安全是必须关注的问题,但如何在网络建设中对投入设备的选购是需要慎重考虑的。网络扩展包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展以及网络规划的扩展能力,非专业防火墙是万万不能选购,路由器和交换机也是要考虑其品牌和使用功能,作为一个规模经营医疗单位的信息管理员更是不能在选购硬件上少花功夫,既要保证最大的安全性,也要让网络在有限的条件下实施,从而做到资源上不浪费,技术上也不落后。
参考文献:
[1] 刘旭旭.医院计算机系统与网络的设备部署[J].现代计算机(专业版),2011,(Z1):106-108.
[2] 王颖,刘书恩.新医改下医院信息网络的建设[J].医学信息(中旬刊),2010(6):1581.
[3] 苗秋瑾.数字化医院的网络安全隐患与防[J].数字技术与应用,2009 (9):158-159.
[4] 朱彦斌.医院信息化网络建设与维护[J].医疗设备,2008(2):87-88.
[5] 沈永新.关于防火墙技术的研究与探讨[J].福建电脑,2011,(1).
[6] 孙兴文.个人防火墙系统架构设计与实现[J].电脑知识与技术,2009,(33).
【关键词】网络信息安全;设计;管理策略
企业在发展的过程中,必然存在各种信息,有些信息可以对外公开公布,社会公众可以透过这些信息了解到企业的经营状况;有些信息则属于企业的机密,只有授权范围之内的少数人才能够了解,因为它关系着企业的生死存亡。随着计算机技术、网络技术、通讯技术的飞速发展,使信息的处理与传递以前所未有的速度进行。企业想要在利用计算机网络化提高自身管理水平的同时,保证信息安全,就必须对企业的网络信息安全系统进行设计与规划,科学构建安全访问系统,以此来提高网络信息安全。
一、威胁网络信息安全的因素
随着计算机网络技术的不断提高,非法访问、密码窃取以及恶意攻击等安全威胁的手段也在不断升级。这也在客观上需要企业提高网络信息安全设计水平,VPN、杀毒软件、数据加密、身份认证以及防火墙技术在企业中得到推广使用,在网络信息安全系统构建上起到了一定的效果,但是这些产品的功能相对分散,相互的关联性并不高,整体效益并不是十分理想。
(一)计算机病毒
计算机病毒是指编程人员在计算程序中插入一些能够破坏计算机功能的数据,它能够使计算机无法进行正常使用,并且能够进行自我复制的计算程序代码或者计算机指令。计算机病毒不能够独立存在,它只能够寄生于其他程序里面,具有传染性、隐蔽性、破坏性的特点。随着计算机网络技术的飞速发展,病毒种类在不断升级。当今世界上的计算机活体病毒的各类,已经达到了14万之多,传播途径主要有硬盘、电子邮件以及依附于各种下载软件之中。携带病毒的计算机只要运行时,满足了病毒制造者预设的条件,那么计算病毒就会爆发,轻者文件丢失、运行速度减慢,重者则导致系统瘫痪、硬件损坏。比如图一,为CIH病毒发作时的情况。
(二)黑客攻击
提起黑客,我们都不陌生,他们是一些热衷于研究、编写程序的专才。其中有些人利用掌握的知识推动计算机网络技术的发展,但是也有一些人则利用这些技术罪犯,获取不正当利益,比如进入2002年,网络犯罪分子开始采用DDOS的手法对服务系统进行攻击,干扰在线商务。在宽带网络环境下,常见的攻击方式主要有以下两种:一是黑客发动的,针对网络设备与网络服务的DDOS攻击;二是利用蠕虫病毒进行攻击,从而造成网络流量迅速增加,最终导致计算机网络设备彻底崩溃。DDOS的攻击对象主要有域名服务器、网页服务器以及邮件服务器,一旦受到DDOS的攻击,服务器则会被来自四面八方的海量信息所淹没。网络黑客的目的就是用大量的垃圾信息来阻碍服务器的正常对信息的处理,然后借机切断攻击目标的对外连线。黑客经常把网络与“僵尸电脑”相连,然后将大量的查询要求传送到开放的DNS服务器中,这些查询信息则会伪装成被海量信息攻击的目标传出,所以DNS服务器会把回应信息传到相应的网址上去。传统的身份认证,外来攻击者只是凭借获取有关用户身份凭证,就能够以任何一台设备而进入网络。就算是最严密的认证系统也很难对网络信息安全进行保护。除此以外,企事业单位的员工能够通过任意一台没有经过确认设备,以有效身份凭证进入网络系统,导致木马程序、间谍软件等恶意程序入侵系统,对网络信息安全系统产生了严重威胁。
(三)协议设计上存在着缺陷
互联网是建立在TCP/IP协议上的,这一协议在设计之初更偏重于效率,而忽略了安全因素,因此TCP/IP在设计之初,就存在一定的缺陷。
1.安全策略不严谨。很多站点在防火墙的配置上增加了访问的权限,没有考虑到这些权限可能被人利用,比如内部员工滥用权限,无意中为黑客留下了线索,一旦黑客入侵,网络维护人员往往毫无察觉。
2.信息容易被人窃取。多数企业互联网上的流量都是没有经过加密的,这就使文件在传送的过程中很容易被人窃取。而且基于TCP/IP协议的很多应用服务都不同程度的存在一些安全问题,很容易被人利用。
3.配置过于复杂。访问控制的配置通常是十分复杂的,这就非常容易造成配置上的错误,而形成了安全隐患。目前,银行之间在数据传输的过程中,所采用的协议均是保密的,这就提高了安全性,防止网络黑客的入侵。当然,现阶段我们还不能将TCP/IP与其实现代码进行保密处理,因为这将不利于TCP/IP网络的发展,但是银行的这种处理方式可以为我们网络信息安全系统的设计拓宽一些思路。
二、网络信息安全设计及管理策略
(一)网络与系统安全的设计
网络与系统安全的设计可以采用NetScreen-208防火墙设备,这种设备是当前国内市场上功能较为齐全的防火墙产品,它包括了8个自适应10/100M以太网端口,这些端口能够把网络划分成为多个区域,从而把需要保护的区域与潜在的相分离,在与网络设备进行连接时,这个设备的端口1与内部网的主交换机相连接,而端口2则与DMZ区相连接,端口3与因特网的路由器相连接。
杀毒软件可以采用瑞星网络版软件,这一软件具有网络管理功能,它主要是通过一个控制中心在整个网络的内部实现远程报警、智能升级以及远程管理等功能,有效的监管病毒入口如图二。
(二)服务系统的设计
企业的内部网站与数据库服务系统,依据信息的秘密等级,主要分成应用与非应用两种,同样它们所依赖的服务器也可发分成与非两类。正如笔者描述的,服务器主要处理的是信息,而非服务器主要处理的是非信息。从安全等级考虑,服务系统应该是企业的重点保护对象。因此,我们可以在服务器前配置相应的安全网关,其设计如图三。
用户在访问频密信息时,主要是基于HTTP协议,用户在通过安全网关认证之后,依据使用权限的不同,访问的内容也有所区别。用户在访问非信息时,同样是基于HTTP协议,但是能够直接进入非服务器而获取信息。
安全网关是服务器的关口,同时也是用户网络身份认证的中心,用户和服务器之间并没有直接的相连,这就有效避免了黑客对服务器的进攻,保证了信息的安全。
(三)访问权限管理
在网络信息安全系统中设置用户角色、用户等级、用户权限等字段,加强访问权限的管理与控制,并将数据信息根据企业的实际需要,划分为不同的等级阶段;根据实际用户的岗位设置划分为不同的角色,网络信息管理人员授予不同操作权限,划分到不同的虚拟局域网之内,形成不同的安全区域。
用户则通过网络查询系统的有关信息,使用HTTP协议与安全网关相连接,经过身份认证之后,再与服务器相连接,最后进行应用系统。用户在获取信息时,由应用系统依据用户的角色、权限进行相应的限制。
(四)对传递的数据进行加密
企业使用安全网关以后,与SSL建立通道,在这一安全通道上对用户与服务器之间传输的数据信息进行加密,保证机密信息不会被泄露。加密的算法可以由用户自己进行选择,这就增加了系统的灵活性,可以满足不同权限等级用户的需要。
三、总结
综上所述,随着我国市场经济的快速发展以及计算机网络技术的普及,信息充斥着社会的每一个角落,不但真假难辨,其中还隐藏着某种威胁。现阶段,影响我国网络信息安全的因素有很多,比如计算机病毒;黑客攻击;协议设计上存在着缺陷等等,而实现信息安全的设计也有很多,企业需要根据自身的发展的现状,选择相应的信息安全设计方案,相信通过我们的共同努力,网络信息安全的管理与设计必将会翻开崭新的一页。
参考文献
[1]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].计算机与信息技术,2006(05).
[2]戴启艳.影响信息系统安全的主要因素及主要防范技术[J].中国科技信息,2010(06).
[3]林柏钢.网络与信息安全现状分析与策略控制[J].信息安全与通信保密,2005(07).
[4]南溯.浅议计算机网络维修和管理[J].电脑编程技巧与维护,2010(04).
[5]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,2011(02).
[6]朱燕.虚拟机技术在计算机网络安全教学中的应用[J].电脑知识与技术(学术交流),
【关键词】计算机网络;信息安全;控制技术;防护策略
随着互联网的诞生以及计算机技术的逐渐成熟,信息网络已经成为社会发展的重要保证。信息网络涉及国家的政治、军事以及文教等各个领域,传输、处理和存储着许多重要信息,难免吸引各国各地各种的人为攻击,所以,计算机系统的网络信息安全就显得尤为重要。
一、网络信息安全概述
网络信息安全分为两个层面,即网络安全和信息安全。其中,网络安全包括诸如硬件平台、操作系统及应用软件的系统安全以及运行服务安全,即保证服务的连续性以及高效性。信息安全主要是指数据方面的安全,包括数据加密、备份、程序等。网络信息安全具体包含如下:
首先保证硬件安全,是指网络硬件和存储媒体的安全。要保护硬件设施不受损害,能够正常工作。其次是软件安全,是指计算机及其网络中的各类软件不被篡改和破坏,不被非法操作或者误操作,功能不会失效,不被非法复制。第三是运行服务安全,是指保证信息处理和传输系统的安全。即网络中的各个信息系统能够正常运行并能够正常的通过网络交流信息。通过对网络系统中的各种设备的运行状况监测,发现不安全的因素能够及时报警,保持网络系统正常运行。最后是存储以及流通数据的安全,即数据安全。要保护网络中的数据不被篡改,不允许进行非法增删、解密、显示、使用复制等操作。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网络上大量自由传输的信息失控。
二、网络信息安全控制技术
第一,生物识别技术。人的指纹、声音、容貌、视网膜、掌纹等等,这些都是人的生物特征,是很难进行复制操作的。尤其是指纹的唯一性、稳定性和再生性都让人们对用其来作为信息安全的验证方式有着极大的兴趣。现在,人们对于视网膜等生物特征在信息安全方面的技术也有了很大的进步。生物识别技术相比原先传统的身份验证方法再可复制性方面有了很大程度的提高。
第二,防火墙技术。所谓防火墙就是运用综合的网络技术来在被保护的网络和外网之间形成一道技术上的屏障,将私人的网络和外部的网络分开了,以保护私人信息的不被窃取,对于预防难以预测的、具有潜在破坏性的不轨信息入侵有着极好的防护作用。
第三,数据加密技术。所谓数据加密技术就是按照已经确定好的密码进行运算,将不希望被别人知道的数据信息转变成为不知道密码的人难以识别的密文再进行传输,而收到信息的人也只有知道密码算法的人才能够将密文再一次的转变成为明文从而得知该数据中所包含的信息。
第四,入侵检测技术。入侵检测技术的出现就是为了能够保证计算机系统中信息的安全,能够及时的发现并且报告使用者计算机系统中出现的一些未授权或者异常的现象的一种信息技术,是用来检测互联网中是否出现了违反信息安全的行为的一种技术。
第五,安全漏洞扫描技术。对系统漏洞的检测和系统安全方面的风险评估技术,因为它能够预先知道系统中可能存在风险的地方和这些地方继续存在下去会对系统可能造成的危害这一特殊的功能而为几乎所有的计算机用户所青睐。
第六,安全审计技术。安全审计技术就是使用一种或者集中不同的安全检测工具,也就是扫描器,预先扫描出系统中存在漏洞的地方,对系统存在安全漏洞的地方进行检查,将系统的薄弱环节给出报告,并且提供相对应的解决方法来增强计算机系统的安全方面的措施。
三、网络信息安全的防护策略
第一,物理安全策略。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。对于计算机操作系统、数据库以及服务系统也要进行相应的查缺补漏,然后再对这些系统进行进一步的安全加固,尤其是对有着关键业务的服务器更加应该要建立起严格的、有效的审核机制,最大限度的保证相关部分的信息安全。如果对计算机中的操作系统、服务系统、数据库系统、网络协议等部分存在的漏洞不及时的发现并且补救,所带来的安全问题则会是像黑客入侵、系统缺陷、非法访问、病毒等等一系列的安全方面的隐患。
第二,访问控制策略。访问控制是网络安全防范和保护的主要策略。它首要的任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
第三,加密防御策略。对于互联网中所可能存在的不良操作的入侵的检测系统是包含在信息安全系统中的,其中防火墙就相当于是计算机系统入口的保安,能够按照我们预先的设定进行有效的判断,将合乎规则的操作指令给予放行,而那些恶意的、带有病毒等等的危害性数据或操作阻挡在计算机系统之外,保护计算机的信息安全。
第四,网络安全管理策略。网络安全管理策略包括:制定有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施;确定安全管理等级和安全管理范围等。利用身份认证和用户权限划分手段作为单位安全网内网计算机信息系统安全保密管理的技术支撑平台,结合单位安全网内网系统对其中所涉及的各类用户的实际权限划分,以及对网络系统的系统管理设计规划,在技术支撑平台的基础上来分析单位安全网内网系统对网络基础、安全信息的安全管理需求,制定完善的安全保密管理制度和管理策略信息系统的安全管理部门应根据管理
总之,计算机网络中的信息安全问题对于国计民生都是十分重要的一个部分,这就需要我们在了解了互联网的信息安全安全的控制技术和特征的基础上,加强计算机网络安全设施建设,提高网络安全技术等防护措施,最大限度的保证互联网的信息安全。
参考文献:
[1]梁毅,莫彬,李云祥,韦燕萍.网络环境下农业科技信息安全与对策研究[J].农业网络信息,2008,(12)
关键词:安全策略;企业网络;访问控制
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-00
Enterprise Network Design Based on Security Policy
Yang Haojun
(CNPC International(Sudan)Khartoum Refinery Co.Lts.,Beijing100101,China)
Abstract:The security and the function are pair of contradictory relations,security threat from the network is the actual existence,the network security is the question which must first solve.This article discuss enterprise network design method of security policy angle,by time well distributed security and opening relations,thus realizes“safely as far as possible”enterprise network.
Keywords:Security policy;Enterprise network;Access control
一、企业安全网络体系
企业安全网络体系应包含:
(1)访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控,通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动。
(4)加密通讯,主动的加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证,良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复,良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)隐藏内部信息,使攻击者不能了解系统内的基本情况。
(9)设立安全监控中心,为信息系统提供安全体系管理、监控,维护及紧急情况服务。
二、企业安全网络设计
(一)链路层安全设计
链路的安全通过网络加密机实现,保证数据在链路上安全传输。加密机为易受攻击的公共和私有网络连接提供数据私密性和访问控制的硬件设备。它使用国际认可的DES或3DES算法,可以灵活地选择接口模块部署在各网络中。加密机进行集中控制和管理,加密机在运行时对安全环境中的网络和终端用户来说是完全透明的,使用加密机后,加密的用户数据和任何其他未加密的数据一样在网络中传输。
(二)网络层安全设计
(1)防火墙安全设计
考虑到防火墙对带宽的影响,采用较为先进的流过滤防火墙,能够减少带宽的损失。流过滤防火墙顾名思义检测的是一个信息流,针对的是二层的对象。在检测过程中就减少一层拆包的时间,这样就减少了带宽的占用率。防火墙的安全保护是通过对端口实施安全策略,使得网络安全得到安全保护。
(2)安全域设计
根据国家等级保护的区域划分要求,企业网络系统根据业务特性和安全要求划分成不同的区域,并确定安全保护等级。如:
外部互联域:为实现与政府机关、业务合作伙伴进行安全有效的信息交换,连接政府机关网、业务合作伙伴网的出口路由设备所在区域。
系统管理域:包括网络管理子域和安全管理子域。网络管理子域为保护网络设备的安全运行而提供的集中的安全服务。安全管理子域为整个信息系统提供集中的安全服务。
系统维护域:包括第三方现场维护子域、本地维护子域和第三方隔离服务子域。第三方现场维护子域用于第三方维护单位的现场维护而设置的特定接入区域。
(3)IPS安全设计
IPS作为一种积极主动安全的防护技术,它试图发现入侵者或识别出对计算机的非法访问行为,并对其进行隔离。IPS提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
(4)服务器设计
随着企业信息化的进展,员工越来越多的访问互联网,也会带来一些安全隐患。这些问题会对企业网造成一定影响,降低工作效率,引发严重的安全事故。建议采用在每个区域网络中心部署服务器,来提高互联网访问速度和解决安全控制问题。
(三)物理层安全设计
物理层的安全既包括对设备的保护,比如防雷击,防潮等,也包括防止人为的无意或恶意的破坏。因此,在硬件上要有符合应对各种自然灾害的标准的专业机房,在软件上要有高可靠的门禁系统等安全措施来进行认证,在制度上要制定详细的安全章程,提高相关人员的安全意识,责任落实到人,这三者相辅相成,环环相扣,缺一不可。
(四)路由器级安全控制
在保证数据信息的安全性的同时,必须考虑到路由器自身的安全性。如果路由器本身失去安全保护,那么前面所做的一切都是徒劳的,安全措施如下:
(1)修补操作系统自身的漏洞。同PC机的操作系统一样,网络设备的操作系统也存在着各种漏洞,成为潜在的威胁,需要及时对其升级。
(2)符合安全规则的密码。进行口令保护,用户登录路由器必须经过口令的认证;其次,利用口令授权,将不同的权限等级与不同的口令进行关联,对用户进行等级的划分,通过减少超级用户来减少不安定因素;再次,对口令进行加密,以避免口令在网上以明码的方式进行传输,同时避免配置文件以明码的方式显示口令。
(3)系统缺省服务的威胁。网络设备的操作系统也存在着为不少的缺省服务,这些服务存在着潜在的威胁,应根据企业需要,关闭不必要的服务,将安全风险尽可能降低。
(4)审计功能的缺乏。良好的系统日志和审计功能是安全中重要的一环,通过日志可以了解入侵的手段等宝贵资料,对于运维与安全防范来讲是必不可少的。
三、结束语
基于安全策略的网络设计是安全设计和网络设计的有机结合,是安全、管理、技术和产品的相互支撑,只有设计好安全策略才会有良好的企业网络。但安全与开放是一对矛盾,如何协调矛盾则需要深入研究企业特点和网络技术的发展。
参考文献:
[1]武骏,程秀权.网络安全防范体系及设计原则.中国电信网,2008
关键词:计算机;网络安全;安全策略
中图分类号:G632 文献标识码:B 文章编号:1002-7661(2014)11-335-01
一、计算机网络面临的风险
算机网络风险,这些威胁可以归结为3大类,一是对网络设备的威胁,二是在网络中对业务处理过程的威胁,三是对网络中数据的威胁。因为计算机网络与人们的现实经济生活关系日益密切,影响计算机网络的因素也很多,有些因素可能是有意的,也可能是无意的;可能是人为的,可能是非人为的,这些威胁,或早或晚、或大或小,都会转化为对人们现实经济生活的威胁。
二、常用的网络安全技术防护措施
L、防火墙技术
防火墙技术构建安全网络体系的基本组件,通过计算机硬件和软件的组合来建立起一个安全网关,实现了被保护对象和外部系统之间的逻辑隔离,从而保护内部网络免受非法用户的入侵。防火墙的组成可以表示为:防火墙=过滤器+安全策略+网关,它是一种非常有效的网络安全技术之一。在. Internet上,通过它来隔离风险区域与安全区域的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
2、网络加密技术
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式
3、身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时问、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
4、网络监控技术
网络管理员对计算机网络实施监控,服务器记录用户对网络资源的访问,对非法的网络访问,服务器以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如非法访问的次数达到设定数值,那该帐户将被自动锁定。
5、网络病毒防治技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
三、网络安全管理策略
在计算机网络安全中,除了上述物理安策略和网络技术安全防护措施外,加强计算机网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行也是至关重要的。
计算机网络安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
参考文献:
[1] 田园.网络安全教程[M].北京:人民邮电出版社,2009.
