引论:我们为您整理了13篇网络安全方案范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
网络安全是指为防范网络攻击、侵入、干扰、破坏、窃用及其他意外事故所采取的各种必要措施,以确保信息完整、可用、无泄露,保持网络稳定、安全地运行。其主要特征是保证网络信息的完整性、可用性和机密性[2]。
1.2企业网络安全面临的主要问题
企业网络安全面临的问题归纳如下:(1)网络安全目标不明确。虽然《网络安全法》已于2017年6月1日起施行,但企业对网络安全的重要性依然认识不足,缺乏网络安全规划,没有明确的网络安全目标[3]。(2)网络安全意识不足。从企业的决策者到普通员工并没有充分意识到网络安全的重要性,企业网络安全存在很大隐患。(3)网络安全设施不健全。无论大型企业,还是中小企业,都存在网络安全基础设施投入不足的问题,以致设施陈旧、不完整,面对外部攻击和各种漏洞很容易发生信息丢失、泄露、窃用等现象。(4)缺乏完整的网络安全解决方案。企业网络安全防护呈现碎片化、分散化等特点[4],缺乏系统性、协同性、灵活性,面对万物互联和更高级的威胁,传统防护手段捉襟见肘、防不胜防[5]。
1.3企业网络安全需求
企业因网络安全需要而产生的要求即为企业网络安全需求,这是由企业内部网络因素与外部网络形势共同决定的,内外都不会一成不变,所以企业网络安全需求是一个动态过程,具有时效性。基于此,要准确把握企业网络安全需求,必须对企业网络安全现状进行调查分析,一般而言,企业网络安全主要包括内网安全、边界安全及文件传输安全等方面[6],具体体现在以下几个方面:(1)网络安全策略需求。安全策略的有效性、完整性和实用性是企业网络安全的一个重要需求。目前的企业网络安全策略文档过于简单,而且没有形成完整的体系,对企业网络安全的指导性不足。(2)网络安全组织需求。企业应建立结构完整、职能清晰的网络安全组织机构,负责企业网络安全策略制定、网络安全培训、网络安全运行管理等。(3)网络安全运行管理需求。企业应建立科学高效的运行管理体系,采用实用的运行管理方法,对服务器安全、网络访问可控性、网络监控等进行管理。
2企业网络安全解决方案
2.1企业网络安全方案设计原则
网络安全方案的设计原则旨在指导企业科学合理地设计网络安全方案,避免失于偏颇和“词不达意”,设计原则可以有很多,笔者认为最重要的原则如下:(1)多重防护原则。突破单一防护机制要比突破多重防护机制容易得多。(2)简单适用原则。过于复杂的方案漏洞多,本身就不安全。(3)系统性原则。企业网络安全面对的威胁是多方面的,只专注于一点无法保障网络安全。(4)需求、风险与代价平衡原则。没有任何方案可以做到绝对安全,追求过高的安全性要付出巨大代价,所以要学会取舍,平衡风险与代价。(5)可维护性原则。没有任何系统可以做到无懈可击,要做到能随时调整、升级、扩充。(6)技术与管理相结合原则。在改善安全技术的同时也要加强管理,减少管理漏洞,对于复杂的安全形势,要多做预案,提前防范突发事件。
2.2企业网络安全解决方案
2.2.1网络分域防护方案网络分域防护的原则是落实安全域的防护策略、制定访问控制策略、检查网络边界、分级防护等。从企业网络安全需求及特点出发,将网络组织架构从逻辑上分为互联网域、服务区域、外联域和内网核心区域,如图1所示。互联网域接入互联网服务,服务区域即企业服务器放置区域,外联域接入分公司区域,内网核心区域是指企业内部网络互联的核心设备区域。如此划分的目的是保证具有相同防护需求的网络及系统处于同一安全子域内,便于各个安全子域内部署相应等级的防护策略。2.2.2部署安全网关方案在外网与内网之间设置安全网关(如图1所示),作为企业网络系统的物理屏障,以保护内网安全。安全网关不是单一的防火墙,而是综合了防病毒、入侵检测和防火墙的一体化安全设备。该设备运用统一威胁管理(unifiedthreatmanagement,UTM)概念,将多种安全特性的防护策略整合到统一的管理平台上,按需开启多种功能,其由硬件、软件、网络技术组成。UTM在硬件上可以采用X86、ASIC、NP架构中的一种,X86架构适于百兆网络,若是千兆网络应采用ASIC架构或NP架构。在升级、维护及开发周期方面,NP架构比ASIC架构更有优势。UTM软件上可以集成防病毒、入侵检测、内容过滤、防垃圾邮件、流量管理等多种功能,通过模式匹配实现特征库统一和效率提升。UTM管理结构基于管理分层、功能分级思想,包含集中管理与单机管理的双重管理机制,实现功能设置管理和数据分析能力。
2.2.3部署IPS与IDS方案IPS是入侵防御系统(intrusionpreventionsystem)的英文缩写,用于监视网络或网络设备上的数据传输,发现异常数据可以即时中断传输或进行隔离,先于攻击达成实现防护,与防火墙功能上互补,并支持串行接入模式,采用基于策略的防护方式,用户可以选择最适合策略达到最佳防护效果。IPS部署在服务区域与内网核心区域之间,或核心交换机与内部服务器之间(如图1所示),可实时监测外部数据向内部服务器的传输过程,发现入侵行为即报警、阻断,同时还能精确阻击SQL注入攻击。IDS是入侵检测系统(intrusiondetectionsystem)的英文缩写,能对网络数据传输实时监视,发现可疑报警或采取其他主动反应措施,属于监听设备,其安全策略包括异常入侵检测、误用入侵检测两种方式,可部署在核心交换机上,对进出内网与内部服务器的数据进行监测,如图1所示。
篇2
我国关于网络方面的基础设施建设已经初步成型,而网上进行的各种业务也越来越多,保证网络环境的安全,正常应用网络已成为各企业正常开展业务基础工作。各企业只有建立起安全的网络安全方案就要了解计算机用户安全环境、现状与威胁,才能按照用户需求,进行网络安全方案的设计。网络安全问题十分复杂,包括加密、防火墙及防病毒等网络安全方案。
1网络用户的安全需求
1.1网络环境
网络环境包括计算机系统内部与行业间互联网。
1.2网络安全现状
(1)计算机系统在企业内部通信、行业间通信,都缺少安全防护的措施,仅有部分单位对路由器设计了 过滤防火墙。
(2)计算机操作系统一般为UNIX和Windows NT,而桌面的操作系统都是Windows XP或者Win7,都没有设置安全保护的措施。
(3)计算机系统访问的控制能力不强,只能对现有操作、数据库、电子邮件及应用方面的系统进行简单的利用。
(4)计算机的应用环境没有防病毒的能力,尤其在病毒数据库更新上滞后。
(5)对病毒的内部或者外部的攻击,没有基本监控和保护的手段。
1.3网络安全的威胁
对计算机网络的系统结构进行分析,可以发现,计算机网络安全的威胁主要有以下几个方面:
(1)UNIX和WindowsNT等类别的操作系统有网络安全上的漏洞。
(2)企业内部网的用户带来的安全威胁。
(3)企业外部的用户带来的安全威胁。
(4)应用了TCP/IP协议软件,不具备安全性。
(5)缺少对应用服务的访问控制,就要解决网络中的安全隐患,才能保障网络和信息安全。
2网络方案的设计思想和原则
2.1网络方案的设计思想
网络安全是十分复杂的问题,一定要考虑到安全的层次和技术的难度,充分考虑费用的支出,所以,进行方案的设计时一定要遵循一定的设计思想,主要有几下几点:
(1)提高计算机系统安全性与保密性。
(2)保证网络性能特点,也就是保证网络协议与传输的透明性。
(3)网络安全设计要易操作,易维护,要易于开展自动化的管理,不能过多过少增加一些附加的操作。
(4)在不影响网络的拓扑结构时,扩展计算机系统的结构和功能。
(5)设计要做到一次投资,长期使用。
2.2网络方案的设计原则
(1)遵循需求、风险和代价平衡原则,对网络进行研究,对风险进行承担,经过分析和研究,制定规范与措施。
(2)遵循综合与整体的原则,将网络安全模块与设备引进系统的运行与管理中,提高系统安全性和各部分间逻辑的关联性,保证协调一致运行。
(3)遵循可用性和无缝接入的原则。所有安全措施都要靠人来完成,如果设计太复杂,就会对人有过高要求。安全设备在安装和运行中,不能改变网络拓扑的结构,要保持对网络内用户的透明性。
(4)遵循设备先进和成熟,可管理和扩展。在安全设备选择上,要先考虑到先进性,研究成熟性,选择技术与性能优越的设备,可靠和适用的设备。保持网络安全设备的统一管理和控制,实现网上对设备运行的监控。
3计算机网络安全方案
根据以上设备思想和原则,进行计算机网络安全方案的研究,方案使用的技术和设备、措施主要有以下几点:
3.1 VLAN的技术
要保证企业局域网安全,就要选择VLAN能力交换机的设备,通过用户群组与系统资源完成访问权限的划分。可以控制各VLAN间信息的流向,方便各群组对相关信息的访问。
3.2加密的技术
可以使用公共网进行数据的传输。广域网进行信息传输很容易被黑客截取与利用,所以,要保证信息传输安全,就要在内联网系统中使用链路加密机,进行传输信息的加密处理,对运行在互联网上关键的业务也要进行加密的算法进行数据加密。
3.3防火墙
从网络系统安全考虑,可以在内联网和同行业进行网络互联,在网上布置防火墙,而防火墙的网络入口点也要检查好网络通讯情况,对非法入侵要屏蔽处理。
3.4对入侵的检测系统
通过防火墙技术,对内外网进行网络保护,减少网络的安全风险。可是,入侵会寻找防火墙的后门。近年来,推出了入侵的检测系统,这是一种新型的网络安全技术,可以实时进行入侵的检测,应用防护的手段,对待入侵,可以快速断开网络的连接。
3.5安全扫描系统
安全扫描系统在阶段已经是最先进的安全系统,可以测试与评价系统是否安全,及时发现安全漏洞。可以扫描设定网络服务器和路由器等,设定模拟的攻击,测试系统防御的能力。
3.6提高操作系统安全性
操作系统会存在安全漏洞,越是流行操作系统就存在越多的问题,可以进行安全增强与合理配置,具体增强与配置的内容有以下几点:
(1)可以跟踪系统的应用动态,增加安全补丁。
(2)可以检查系统的设置,对数据存放的方式和访问的控制及口令的选择都要及时更新。
篇3
1.校园网网络安全问题分析
1.1操作系统的漏洞
当前大多数学校的校园网都是采用windows操作系统,这就加大了安全的漏洞,服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移,会导致这些漏洞被人发现并利用,极大的破坏了网络系统的运行,给校园网络的安全带来不利的影响。
1.2网络病毒的破坏
网络病毒是校园网络安全中最为常见的问题,其能够使校园网网络的性能变得较为低下,减慢了上网的速度,使计算机软件出现安全隐患,对其中的重要数据带来破坏,严重的情况下还会造成计算机的网络系统瘫痪。
1.3来自外部网络的入侵和攻击等恶意破坏行为
校园网只有连接到互联网上,才能实现与外界的联系,使校园网发挥出重要的作用。但是,校园网在使用过程中,会遭到外部黑客的入侵和攻击的危险,给校园互联网内部的服务器以及数据库带来不利的影响,使一些重要的数据遭到破坏,给电脑系统造成极大的危害。
1.4来自校园网内部的攻击和破坏
由于大多数高校都开设了计算机专业,一些学生在进行实验操作的时候,由于缺乏专业知识,出于对网络的兴趣,不经意间会使用一些网络攻击工具进行测试,这就给校园网络系统带来一定的安全威胁。
2.校园网网络安全的设计思路
2.1根据安全需求划分相关区域
当前高校校园网都没有重视到安全的问题,一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域,并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。
2.2用防火墙隔离各安全区域
通过防火墙设备对各安全区域进行隔离,同时防火墙作为不同网络或网络安全区域之间信息的出入口,配置不同的安全策略监督和控制出入网络的数据流,防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域,分别为受信任的区域和不被信任的区域,其中对信任的区域将对其进行安全策略的保护,设置有效的安全保护措施,防火墙在接入的网络间实现接入访问控制。
3.校园网网络安全方案设计
3.1主干网设计主干网可采用三层网络构架,将原本较为复杂的网络设计分为三个层次,分别为接入层、汇聚层、核心层。每个层次注重特有的功能,这样就将大问题简化成多个小问题。
3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础,将其应用于校园网络当中,能够有效的实现虚拟网的划分,形成一个逻辑网络。使用这些技术,能够优化校园网网络的设计、管理以及维护。
3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能,而且还有交换机支持的访问控制列表功能。应用于校园网络当中,能够合理的限制网络非法流量,从而实现访问控制。
3.3防火墙的使用防火墙是建立在两个不同网络的基础之间,首先对其设置安全规则,决定网络中传输的数据包是否允许通过,并对网络运行状态进行监视,使得内部的结构与运行状况都对外屏蔽,从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面:一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离,从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内,并对其进行安全防护,以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限,有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制,一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录,有助于完善审计体系。
4.结语
总而言之,校园网络的安全是各大院校所关注的问题,当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性,在校园网网络安全的设计方面,应当根据安全需求划分相关区域,用防火墙隔离各安全区域。设计一个安全的校园网络方案,将重点放在主干网设计、安全技术的应用以及防火墙的使用上,不断更新与改进校园网络安全技术,从而提升校园网的安全性。
作者:金茂 单位:杭州技师学院
参考文献:
[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139
篇4
信息网络技术以其方便快捷,资源共享以及工作效率高受到人们的青睐,日益深入人们的生活,为人们的生活带来了的巨大的改变。任何事物的发展有其有利的一面就有其不利的一面,信息化的不断发展使得网络安全问题逐渐进入到人们的视野。网络病毒,网络黑客等随时都会出现在某一台电脑中窃取重要信息或损毁重要文件。
1 计算机网络安全的问题及建设意义
1.1计算机网络安全的问题
一是网络病毒的肆虐,一些组织或个人因为某种目的,而在网络上散播病毒,企图窃取他人重要信息或损毁重要文件,对他人的财产安全造成威胁。网络病毒也在不断的升级中,让人们防不胜防,成为保证网络安全的一大阻力;二是网络黑客的威胁,网络信息的开放性,自由性和国际化为网络黑客的侵入提供了方便,让人们对信息化带来的方便感到高兴时也为其脆弱性感到担忧。网络安全系统存在较多漏洞,对于漏洞的发现与修补不及时便会给黑客以可乘之机;三是信息安全保障工作较为薄弱,在对病毒的安全检测中,由于受到技术水平的限制,对很多病毒无法检测,而使得人们在以为安全的情况下受到病毒的危害。提高应对网络病毒与黑客入侵的技术,建立更强的安全保护屏障显得尤为重要。
1.2计算机网络安全的建设意义
网络安全是保护计算机硬件、软件和数据的保密性,完整性和可用性,避免被恶意损坏造成不必要的损失。但由于计算机网络的多变性、复杂性以及信息资源的脆弱性,使得在保护网络安全时更为困难。网络安全一般由四部分组成,一是运行系统的安全,即保证系统的正常运行,避免因为系统自身问题造成信息输入、存储或传输出现问题;二是系统信息的安全,对信息进行各种安全防护,加密保护,访问权限设置等以确保不被泄露;三是信息传播的安全,对某些携带病毒的信息进行删除过滤,在信息传输时加强对信息安全的保护,避免被恶意软件捆绑,携带病毒;四是信息内容的安全,以保护信息的保密性,真实性和完整性为主,避免被入侵着窃取或损毁。
只有解决网络信息安全问题才能促进信息化的进一步发展,推动人类社会的巨大进步。因此,提高网络安全建设为社会发展进步提供便利。
2 计算机网络安全方案
2.1病毒防护及身份鉴别
随着计算机技术的不断发展进步,病毒技术跟随时代的步伐也在不断发展壮大。必须进行全方位的病毒查杀,提高杀毒软件的辨识能力,阻断病毒侵入电脑的一切可能,阻断病毒进入电脑的途径便可大大降低病毒带来的危害。在科技快速发展的带领下,病毒的更新升级也在快速提高,因此防病毒系统的更新周期也应该较短。提高人们对病毒的防护意识,对一些来路不明的邮件,信息等及时删除,在下载文件时选择有安全保障的网站进行下载,让病毒无法进入电脑,降低病毒对电脑的危害。对于机密性要求较高的信息,从其接收到传输都要有每一个人的身份验证,只有有授权的人才可以接触和看到这些信息,才不会被其他人从中窃取泄露机密。
2.2入侵检测系统及防火墙升级
对于入侵检测系统及防火墙都是人们根据病毒及黑客的入侵方式进行编程设计出来的软件,这些软件只能根据编程设计运行,很容易被黑客找到漏洞入侵,不断加强对入侵检测系统及防火墙的升级,对自身漏洞的修补,在诸多防护软件的配合下,实现多重防护,构建一个安全稳定的网络环境。开发新型防护软件,加强对病毒及黑客的追踪,一旦发现散播病毒之人加以严惩,从根源上减少病毒散播。
2.3提高安全管理制度
计算机网络发展较为迅速,以前的管理体制早已不再适用,只有根据现代实际情况制定新的管理制度,应用新的管理技术,才能保障网络安全。完善相关法律制度,加大对黑客及散播网络病毒的人的惩罚力度。不断加强对追踪软件的开发升级,加大对散播病毒人的追踪,减少散播病毒的人数,也是保障网络安全的重要环节。制定一些个人安全防护措施,在网络中加以宣传,加强人们在日常应用中的防护水平,在遇到不同情况时可以有很好的应对措施,减少不必要的损失。
2.4实体安全防护
在实际生活中,网络危害对电脑的威胁最大,但损坏电脑、网络设施及其他多媒体资料的事故,例如,地震、水灾以及火灾等灾害也会造成数据的丢失和损坏,造成无法挽回的损失。现代人们都在使用电脑,但对于如何正确使用与保护电脑却知之甚少,加强人们对正确使用电脑的意识,宣传正确使用电脑的方法,可提高电脑的使用寿命,同时也可避免因错误使用造成的数据丢失等情况。因此,加强对这些基础设施的保护,增强正确使用电脑的常识,是对网络正常运行的基本保障。
3 总结
在科技迅猛发展的现代,人们对信息安全也越来越重视,国家与企业对信息安全有了更高的要求。如何更好的保护信息与网络的安全,成为人们努力的目标。但计算机网络安全是一段漫长而艰难的路,并不是用用检测及杀毒软件就可以做到的,它需要每个人的共同努力,设计完善一个网络防护措施,全方位的保护网络安全,才能为大家提供一个安全绿色的网络环境。提高人们的个人修养及正确的价值观,从根源上减少散播病毒及黑客人数。
参考文献
篇5
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、计算机网络安全的定义
计算机网络安全指的是网络系统中的硬件与软件及其数据受到保护,而不会出现数据与信息的泄露、破坏或更改。简单来讲,计算机网络安全就是信息安全。信息安全包括信息的可靠性、保密性、真实性、完整性以及可用性。
互联网自从20世纪60年代开始运用后,计算机网络开始迅速发展起来。随着网络上信息量的增长,网络信息安全问题也频繁出现。这些问题不仅危害着个人的生活,甚至会影响到公司的运营进程。所以维护计算机网络安全至关重要。
二、计算机网络安全现状
第一,网络安全问题的出现与计算机操作者本身是密不可分的。虽然目前很多计算机安全工具的出现预防了一些安全问题的发生。但是网络安全问题的最终结果在很大程度上取决于计算机的操作者。如果操作者运用了不正当的手段进行网络操作,或者进入了不健康网站浏览了不健康内容,就会导致个人信息的泄露,产生和增加网络不安全因素。第二,网络程序的设计往往会有漏洞,没有一个没有漏洞的程序。所以网络黑客就会抓住机会,利用程序中出现的漏洞,对其他正常程序进行攻击。最重要的是这种黑客采用的程序漏洞一般都不留痕迹,无法查证安全威胁发生的原因。第三,网络安全工具的更新速度远远跟不上黑客攻击正常程序的手段的发明和使用。通常只有在人为的参与下,才能发现和检测出病毒的存在。在没有检查和检测的前提下,这种病毒就不会被察觉出来,隐藏于电脑的程序中。但是往往一些病毒在发现之时就已经出现了计算机网络安全问题。在这段计算机的“迟钝期”内,黑客就很容易有机可乘,进而能够使用最先进的、最新的手段对正常的程序进行攻击。第四,防火墙功能的局限性也会导致网络安全威胁的出现。因为防火墙可以通过限制外部的网络对内部网络的访问,隐蔽内部结构,从而达到保护网络内部结构的目的。但是防火墙却无法阻止计算机网络内部之间的攻击和破坏。而且防火墙很难预防那些从网络系统的后门进入的病毒。技术上的缺陷,使得网络安全问题不断出现新的、更高级的安全、隐患问题。
三、计算机网络安全保障方案的制定与实施
(一)从国家和政府的角度去制定相关的政策法规,用法律的强制力去保证计算机网络的安全。加大对网络安全危害行为的惩罚力度,制定相应的具体的处罚措施。严厉惩治危害网络安全,盗取别人信息的违法行为,减少网络安全危害行为的发生。发挥政府的监督作用和强制作用,将维护计算机网络安全提上日常日程。建立和完善相关的法律法规之后就对网络安全危害行为造成一定的威慑力,将危害网络安全的行为扼杀在摇篮中。(二)加大网络安全危害行为的宣传力度,增强每个网民的网络安全意识。通过报纸、电视、网络以及广报等各种形式的宣传,让广大网民意识到网络安全问题的重要性。同时学习安全上网和文明上网,保证网络信息的安全。加强网络安全维护意识,有利于保护网民的隐私。当网络信息安全意识深入到每个网民的内心,维护网络安全的行为就会在潜意识里面发生。每个人都加强了安全防范意识,同时进行文明上网、健康上网。(三)从计算机的操作技术上进行防范网络安全威胁的发生。对计算机的系统软件、应用软件以及硬件进行及时的更新和升级,增强系统对病毒的抵抗力。计算机用户要进行正确的开机、关机以及上网行为,注意保护电脑上的软件以及硬件设施。(四)提高防火墙技术、网络防病毒技术、加密技术和入侵检测技术,加强访问控制,将病毒拒绝于门外。不断进行专业的研究和分析,更新和升级各项技术,减少病毒的入侵几率。定期运用这些技术队电脑进行扫描和检测,对个人电脑设置加密技术,只有制定的用户和指导密码的用户才可以进行解密进入计算机网络系统。(五)要注意IP地址的正确使用,避免被黑客钻漏洞。
四、结语
在网络安全问题日益得到重视的今天,网络安全技术随着国家以及专业人士的重视也得到了快速的发展和进步。但是,由于我国的信息安全产品制作方面缺少核心技术,真正能够解决深层次的网络安全问题的技术却很少。所以,国家首先要重视发展网络信息安全产业,在政策上给予支持。最重要的还是每位网民,因为接触计算机、运用各种软件以及系统的人的上网行为往往是病毒的准入证。只要每个网民都进行健康上网、文明上网,网络安全就能实现。
参考文献:
[1]彭秀芬,徐宁.计算机网络信息系统安全防护分析[J].网络安全技术与应用,2006,12
篇6
电力调度数据网络在电力系统的运行中起到不可忽视的重要作用,良好的电力调度数据网络环境有效保证电网经济、安全、可靠、稳定的运行,为电力系统中的电力生产、燃料调度、水库调度以及电网调度自动化、继电保护等提供了便捷的通信条件,它为电力企业的生产与管理提供了良好保障。为了满足基于虚拟专用网的电力调度数据网络的安全性需求,相关技术人员要不断在实际工作中总结经验,设计出合理、科学的安全方案,以保证电力调度数据网络更好地服务于企业,为企业带来更多的经济效益。
1电力调度数据网络建设的必要性
随着经济社会的快速发展,各种现代化管理方式应运而生,电网管理方式的创新与管理水平的提高,带动了电力调度业务的发展,良好的电力调度数据网络能够有效保障电网系统的安全性与经济性,确保电网运行的稳定性。目前我国电力调度数据业务还局限在传统模式上,运用的是传统的数字专线模式,这种传统电力调度数据模式使信息共享受到阻碍,造成了通信资源的浪费,随着各种高科技产品的生产,各种电力调度业务不断上线,对电网通道资源与数据共享的需求也逐渐增高。只有建设良好的电力调度数据网络,才能保证电力系统的经济性与安全性。
1.1电力调度数据网络建设是自动化系统发展的需要
人们在经营各种生产生活等的活动中,都离不开电网的支持,为了更好地适应电网的发展需求,调度自动化系统在其功能上得到不断的改进和完善,除了安全自动装置、继电保护以及传统的调度自动化系统之外,一些现代化的系统诸如配网自动化系统、电能量计量系统、无人值班变电站监控设备等逐渐应用到电网系统中,这些新型系统设备的有效运用,使得信息传输容量得到了很大的提高。由于信息传输容量的增加,各个调度系统之间要进行更多的信息共享与数据转换,这就对通信网络的要求越来越高,传统的通信网络在传统实时数据时其数量和质量都受到了很大的局限,不能够再适应现代电网自动化应用系统的需求。建立安全的基于VPN的电力调度数据网络,在一些地区已经得到运用,其运行情况很好,对信息数据的传输速率与质量都有了明显的提高,有效保证了自动化应用系统的发展需求。建立一个基于VPN的电力调度数据安全网络,能够有效提高电网运行的信息共享程度、传输速率,满足电网自动化系统发展的需求。
1.2电力调度数据网络建设是提高实时数据传输可靠性的需要
目前我国一些电力系统变电站的实时监控信息采用的是模拟和数字专线通道与地调调度自动化系统相结合的通信方式,每台终端设备和地调之间要独自单用一条或者是两条专用的数据通道。这种采用模拟和数字专线通道与地调调度自动化系统进行通信的模式在通信传输时速率普遍较低,传输的信号会受到通道较大的干扰,传输的数据不稳定,也没有网络层间的保护系统,如果数据通道出现故障,那么数据信息就会立即丢失并且不能够进行数据的恢复,这种点对点的传输方式需要在主站端设置较多的接口设备,由于操作配置的复杂性,使其在后期维护时工作量增大。建立电力调度数据网,能够实现调度生产应用系统的网络性模式,通过直接上网的方式来进行数据交换,有效的提高了信息传输的可靠性。基于VPN的电力调度数据网络的建设,能够保证信息数据传输的可靠性,不会因为通道出现故障而导致数据丢失的情况,主站端不必要设置大量的终端设备,方便了工作人员进行设备维护。
2基于VPN的电力调度数据网络安全方案
基于VPN的电力调度数据网络安全方案在设计时要遵循经济性、流量优化、扩展性、节点可靠性以及拓扑可靠性等的原则。设计电力调度数据网络安全方案时,在充分确保电力调度数据网络的畅通性和可靠性的前提下,最大限度的减少网络电路的数量、网络电路的总里程以及宽带,以此来尽量减小网络的运行费用,为企业带来更多的经济效益。根据电力调度数据网络的流量以及流向,在设置电路和宽带时要保证其合理性配置,均匀的将网络流量分布开来,保证各个电路宽带均能充分的利用网络流量,避免使网络带宽达到瓶颈,影响电力调度数据网络的安全性。进行主干网络的拓扑设计时,要充分遵循N-1的设备可靠性和电路可靠性原则,增加、修改或者减少网络电路和节点时,要保证网络的总体拓扑不受到影响。在设置网络中各个骨干、核心的节点时,要采用双设备配置,根据实际情况需求,进行设备的风扇、引擎以及电源灯冗余设计,注意电力调度数据网络节点的热插拨等特性。
在网络设计中包括电力调度数据网络的核心层、汇聚层以及接入层三层的设计。在核心层中进行核心路由器和核心层交换机的联通性时,要注意保证核心层交换机的业务服务器在传输数据时具有不间断性,顺畅地发送到核心层路由器,再由核心层路由器再次转发数据。核心层交换机要具备全局的地址,能够保证网管服务器的正常访问。核心层与汇聚层进行具体网络的联通时,要注意核心层交换机下联的网络管理服务器可以正常的对汇聚层的设备进行访问,下联的业务服务器能够顺利的连接汇聚层的业务地址并进行正常访问。即使发生部分线路中断的情况,汇聚层的各个业务地址仍然可以在冗余的网络拓扑结构中进行数据的传输,或者是通过高可靠性的路由协议来完成数据的上传,保证业务或者网管服务器正常接收数据。此外还应当注意汇聚层的不同站点业务地址不需要进行互通。电力调度数据网的核心层和骨干层的数据处理能力较强,因此在设计方案中将仿真分析集中于接入层。对于电力调度数据网络安全方案的接入层设计,应当保证接入层中的业务流量可以进行不间断的数据发送,接入层中的业务终端可以与核心层的业务服务器进行正常互通,接入层的网络设备可以与核心层的网络管理服务器进行正常的互通,只有同时达到这三个要求,才能保证接入层的网络连通性。接入层采用的是低端网络的嵌入式远动监控设备,在安全方案设计中将基于IPSec的VPN内核进一步裁剪,在裁剪后的VPN安全框架中融入新的身份认证和密钥协商算法,这样能够有利于新设计安全方案的实现,同时可以大幅度降低接入层设备在安全数据处理中的费用,减少电力调度数据网络安全方案的设计投入。
3结语
总而言之,在电力系统的生产管理工作中,电力调度数据网络起到对其的直接控制作用,电力调度数据网的重要性不容忽视。电力企业一定要重视电力调度数据网的安全性和实时性,不断借鉴国外先进的技术,在实际运行工作中,注意总结和归纳,设计出一种合理的基于VPN的身份认证与密钥协商相互融合的安全方案,消除电力调度数据网络中实时性与安全性两者之间的矛盾,使其为企业带来更多的应用价值。
篇7
1 研究背景
近年来,全球的数据网络正以令人惊奇的速度发展,为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展,电力自动化数据网络也迅速扩大,正在向全面覆盖所有的电力企业迈进,电力系统数字化已是大势所趋。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS 系统等,无一不是以高速的数据传输与交换为基本手段而建设的。电力自动化数据通信网络利用因特网、无线网等的工具和平台,在提高数据传输效率、减少开发维护工作量的同时,也带来了新的问题,这就是内部机密信息在网络上的泄密、以及被攻击破坏等。
随着计算机运算性能的提高,通信技术的不断发展,电力通信协议也在不断的改进,以适应通信数据类别、流量和实时性的要求。IEC60870规约系列规定了电力远动、继电保护数据、电能计费等多个方面的通信协议,甚至出现了104网络通信规约,以适应网络RTU在电力系统中的应用。各项信息安全技术也开始得到广泛的应用,但是仍然是以以下观点为基础开展的,电力数据网络的信息安全研究应该有所突破:
(1)电力通信网络的两个隔离。物理隔离作为国家的明文规定是建立在网络条件不如人意,网络威胁依然严重的情况下的,需要看到电力信息系统的开放性将是主流方向,基础研究应该突破这个框架开展一些前瞻性的工作。(2)重点防护监控系统,对通信数据网络的信息安全重视不足。虽然通信网络的安全威胁相比而言较小,但是由于电力通信对实时性和可靠性的要求,使得通信数据网络与电力监控系统的信息安全同等重要。(3)认为电力自动化通信没有安全问题,或者认为还不值得深入研究,电力信息使得任何安全研究都不能不重视其实时性的要求,因此自动化通信的信息安全研究开展不多,还需要进行大量的研究。
2 电力系统无线通信对于信息安全的需求
电力自动化管理系统无线网络中传输的数据非常混杂,从加密的技术角度来区分,可分为实时数据和非实时数据两类。
2.1 实时数据的数据特点
无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许较大的传输延迟;另一方面,实时数据的数据量相对较小,且数据流量比较稳定。主要包括:
(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。实时数据其数据流量稳定且时效性快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。
2.2 非实时数据的数据特点
无线网络中传输的非实时数据,其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据实时性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。
3 电力自动化系统的安全漏洞及解决方案
电力自动化应用系统,不论是电力负荷管理系统、电能量管理系统或是其它的应用系统,它的网络结构框图都可以归纳成图1所示。
3.1 中心站的安全隐患及解决方法
应用系统都有一个中心站,它包括前置机、服务器等硬件设备及配套的管理软件,它负责接收各个子站上传的数据并通过管理软件对数据进行分析、归纳和管理;另一方面,它也维护各个子站正常运行,并以下发命令的方式对子站进行操作管理;而且中心站还是本应用系统与其它的电力自动化应用系统进行数据共享和管理的一个数据接口。一般来说,中心站和子站之间以及中心站和其它应用系统之间的数据传输都是通过有线传输(如光纤)进行的。
中心站既是内部通信子站数据集中的一个节点,也是应用系统与外部进行数据收发的一个接口。只要攻击者侵入了该节点,整个系统的数据就相当于暴露在了入侵者的面前。而且一旦中心站出现了故障,即使其它的通信子站均运行正常,整个系统也无法正常工作了。正由于它的重要性和脆弱性,因此对于中心站就更是要进行重点防护。防火墙就是一种有效的网络安全保护措施,它可以按照用户事先规定好的方案控制信息的流入和流出,监督和控制使用者的操作。防火墙大量的应用于企业中,它可以作为不同网络或网络安全域之间的信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它能有效地监控内部网和 Internet之间的任何活动,保证内部网络的安全。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。可见,防火墙处于可信网络和不可信网络边界的位置,是可信网络和不可信网络数据交换的“门户”,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略,其性能、可用性、可靠性、安全性等指标在很大程度上决定了网络的传输效率和传输安全。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,从总体上来看,防火墙的基本功能有两个:一是隔离,使内部网络不与外部网络进行物理直接连接;二是访问控制,是进出内部网络的数据包按照安全策略有选择地转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙设备中,使防火墙地功能不断扩展,性能不断提高。概括地说,功能较完善的防火墙采用了以下安全技术:
3.1.1 多级的过滤控制技术
一般采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
3.1.2 网络地址转换技术(NAT)
利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的拓扑信息,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
3.1.3 用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
3.1.4 审计和告警
对网络事件进行审计,如果发现入侵行为将以发出邮件、声响等多种方式报警。为了加强自动化应用系统的安全水平,需要在系统与其它网络的接口之间设置一套防火墙设备。这样既能防止外来的访问者攻击系统,窃取或者篡改系统数据;同时也能防止内部数据未经允许流向外部网络。如图1所示,在公网通信中,除了自动化系统与其它应用系统的接口外,子站采集自终端的数据要发送到中心站,也要通过 Internet网络进行传输,这就给攻击者提供了一个侵入的端口。因此要在这两处均安装防火墙设备,来保证系统的安全运行。在专网通信中,由于整个通信网络是一个相对独立的网络,因此中心站了通信子站之间就不必加装防火墙了。
3.2 无线终端的安全防护手段
无论是哪种无线网络,都有若干数量的无线终端,它们是通信系统的最基本的组成结构,通过通信子站与中心站进行通信。因为无线终端的数据众多,也使它们往往成为系统安全漏洞所在。对于应用系统而言,保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性,要让不该看到信息的人不能看到,不该操作信息的人不能操作。这方面,一是要依靠身份认证技术来给信息的访问加上一把锁,二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术:身份认证技术及访问控制技术。通过这两种技术手段,就能有效的解决以上的两个安全问题。对于自动化应用系统来说,系统内的终端用户只是采集电力用户数据并上传给服务器,并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。
身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是象消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。
身份认证系统有两方认证和三方认证两种形式两方认证系统由被认证对象和认证方组成,被认证对象出示证件,提出操作要求,认证方检验被认证对象所提供证件的合法性和有效性三方认证系统除了被认证对象和认证方外,还有一个仲裁者,由双方都信任的人充当仲裁和调节。建立一个身份认证系统的应满足的是:1)可识别率最大化:认证方正确识别合法被认证对象身份的概率最大化;2)可欺骗率最小化:攻击者伪装被认证对象欺骗认证方的成功率最小化;3)不可传递性:认证方不可以用被认证对象提供的信息来伪装被认证对象;4)计算有效性:实现身份认证所需的计算量要小;5)安全存储:实现身份认证所需的参数能够安全的存储;6)第三方可信赖性:在三方认证的系统中,第三方必须是双方都信任的人或组织或可信安全性身份认证系统所使用的算法的安全性是可证明和可信任的。
电力自动化系统内部使用身份认证技术,在每一个无线终端的实体上增加了一道安全防护,如图2 所示。在进行数据传输之前,验证对方是否是系统内的合法用户。可以防止入侵者伪装成内部用户,获取系统数据。
3.3 保护系统信息安全的常用方案-算法加密
除了以上的信息安全技术之外,算法加密技术是一种被普遍应用的安全技术。它在发送方将要发送的数据根据一定的算法进行加密,变成不可识别的密文;而在接收方通过对应的解密算法再将密文转化为明文。从而保证数据在传输过程中的保密性。
4 结论
该文研究了电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展,对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点,要求的安全解决方案也与其他不同。需要既保证无线信道的带宽,又要有效地提高系统的安全防护强度。
参考文献
[1] 孙毅,唐良瑞,杜丹.配电自动化中的通信网解决方案[J].燕山大学学报,2004,5(28):423-426.
篇8
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
篇9
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
篇10
据了解,从1997年底至今,我国的政府部门、证券公司、银行、ISP、1CP等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应当攻击者B对图像Iwl2进行解释攻击时,有两种情况:伪造原始图像Ib=Iwl2-Wb,伪造水印Wb进行攻击。当发生版权纠纷,A向仲裁者J提供lwl和,攻击者提供lb和水印Wb,仲裁者得出如下结论:①对A来说,用Iwl和Iwl2检测U得知其上嵌有W&,对U检测得嵌有Wla(无需原图检测),对lb检测,其上嵌有水印Wh-Wb和②对B来说,用lb和Iwl2检测Iwl2得知其上嵌有Wb,对lb检测用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,间时一些负责M络安全的工程技术人员对许多潜在风险认识不足,缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。可见,加强计算机网络安全意识和相关的技术是非常必要的。
网络安全隐患网络具有互连性,导致网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的通用性,使得计算机网络存在很多的隐患。它们是网络安全的致命之处。这些隐患有人为的因素,也有其他的因素,有有意的,也有无意的。有来自网络内部的,也有来自外部的影响。这些隐患对网络安全产生直接或间接威胁。
计算机网络安全隐患主要来自Web服务器的漏洞,其次是计算机病毒传播,究其原因主要表现在以下方面:得kwwb-Wh和偸Wwla,蚣iwliin上嵌Wwla,没¥Wb,所以lb是伪造的,B不是原作者,解释攻击失败。攻击者B伪造原始图像Ib=IwI2-Whl,伪造水印Wbl,再对lb伪造鲁棒性水印进行攻击。当发生版权纠纷,A向仲裁者J提供。和双18,攻击者提供lb和水印,仲裁者得出如下结论:①对A来说,用Iwl和Iwl2检测Iwl2得知其上嵌有W&,对Iwl检测得嵌有Wia(无需原图检测),对lb检测,其上嵌有水印和Wa;②对B来说,用lb和Iwl2检测Iwl2得知其上嵌有WIb,对lb检测得嵌有和嵌有Wla,对IW|检测上嵌有Wla,没有,所以lb是伪造的,B不是原作者,解释攻击失败。
从上述分析可见,双水印技术能有效地抵抗解释攻击。因为当攻击者B多次伪造图像,并多次插人伪造水印,势必造成图像在一定程度上的失真,令图像数据不能被非法利用。通过研究攻击方法可以找出现有水印方案中的大量不足之处。应该指出的是,对于一个水印系统,核心问题是如何检测水印而不是如何嵌入水印。同时,攻击往往形式多样,并不局限于对水印算法本身,常常一些简单的攻击就可以使水印系统失败。了解这些攻击以及可能还会有的新的攻击方法将帮助我们设计出更好的水印方案。
Web服务器存在的主要漏洞包括:物理路径泄露、CGI源代码泄露、S录遍历、执行任意命令、缓冲IX:溢出、拒绝服务、条件竞争和跨站脚本执行漏洞等,网络病毒传播:随着计算机技术的不断发展,病毒也变得越来越复杂和高级。新一代的计算机病毒充分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐,通过网络传播,将含病毒文件附加在邮件中的情况不断增多,使得病毒的扩散速度也急剧提高,受感染的范围越来越广,这种病毒,我们称为网络病毒。原先常见的计算机病毒的破坏性无非就是格式化硬盘,删除系统与用户文件、破坏数据库等等,而传播途径也无非是通过遭病毒感染的软件的互相拷贝,携带病毒的盗版光盘的使用等,如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒,而网络病毒除了具有普通病毒的这些特性外,还具有远端窃取用户数据、远端控制对方计算机等破坏特性,比如特洛伊木马病毒和消耗网络计算机的运行资源,拖垮网络服务器的蠕虫病毒。
网络安全的防御面对各种网络威胁,不能坐以待毙,要采取积极的应对措施,措施得当,损失就能减到最小。计算机网络安全技术分析计算机网络安全从技术上来说,主要由防病毒、防火墙、人侵检测、网络监控、信息审计、通信加密等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、人侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
防火墙。防火墙的主要功能。首先防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段前,数据加密主要使用的有对称密钥加密和非对称密钥(也称公幵密钥)加密两种技术数据加密的功能:首先通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄漏。其次广泛地被应用于信息鉴别、数字签名等技术中,用来防止电子欺骗,这对信息处理系统的安全起到极其重要的作用。
入侵检测技术。入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯人或闯人的企图”。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻志预测和起诉支持。人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
人侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式:,
防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本丁作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒人侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。当然,网络防病毒软件本身必然需要增加额外的服务器系统资源消耗,此类软件对网络性能的影响还是较为明显的,因此在使用过程中必须慎重选择。
篇11
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校园网络安全概述
1.1 网络病毒
(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。
(2)病毒入侵渠道:来自Internet 或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是Internet,主要的传染方式是群件系统。
(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。
(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源。
1.2 网络攻击
(1)校园网与Internet 相连,面临着遭遇攻击的风险。
(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
(4)存在“重技术、轻安全、轻管理”的倾向。
(5)服务器与系统一般都没有经过细密的安全配置。
2 校园网络安全分析
2.1 物理安全分析
网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。
2.2 网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。
2.3 系统的安全分析
系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。
2.4 应用系统的安全分析
应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。
2.5 管理的安全风险分析
安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。
3 校园网络安全解决方案
3.1 校园内部网络安全方案
3.1.1 内网病毒防范
在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。
3.1.2 单机病毒防范
教师机安装NT 内核的操作系统,使用NTFS 格式的分区;服务器可以使用Windows Server甚至UNIX或类UNIX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用NTFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。
3.1.3 内部网络安全监控
采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。
3.1.4 防毒邮件网关系统
校园网网关病毒防火墙安装在Internet 服务器或网关上,在电脑病毒通过Internet 入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。
3.1.5 文件服务器的病毒防护
服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。
3.1.6 中央控制管理中心防病毒系统
建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。
3.2 校园外部网络安全方案
3.2.1 校园网分层次的拓扑防护措施
层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。
3.2.2 校园网安全防护要点
(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的IP包和以非法IP地址离开内部网络的IP包;三是在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。
(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,其中WWW、E-mail、FTP、DNS 服务器连接在防火墙的DMZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与Internet 连接。
(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
3.2.3 校园网防护体系
构造校园网“包过滤防火墙+NAT+计费++VPN+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;通过IP地址与MAC地址对应防止IP欺骗;基于用户和IP地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和VPN 及其管理;网络监控与入侵检测。
4 校园网络运营安全
4.1 认证的方式
网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。
(2)基于流的认证方式。指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。
4.3 账户管理
学生是好奇心强的群体,假冒DHCP SERVER和IP、MAC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCP SERVER,立即封掉该账户。
5 校园网络的访问控制策略
5.1 建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
5.2 身份验证
对用户访问网络资源的权限进行严格的认证和控制。
5.3 病毒防护
主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
6 校园网络安全监测
校园网络安全监测可采用以下系统或措施:入侵检测系统;Web、E-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑IP和MAC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
7 校园网络系统配置安全
7.1 设置禁用
禁用Guest账号;为Administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。
7.2 设置IIS
通过设置,弥补校园网服务器的IIS 漏洞。
7.3 运用VLAN 技术来加强内部网络管理VLAN 技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
7.4 遵循“最小授权”原则
指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
7.5 采用“信息加密”技术
包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。
8 校园网络安全管理措施
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
9 结束语
校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
参考文献:
[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).
[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).
篇12
Keywordscomputer;network security;precautionary measure
一、网络安全的定义及内涵
1、定义。网络安全从其本质上来讲就是计算机网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全措施是指为保护网络免受侵害而采取的措施的总和。
2、内涵。网络安全根据其本质的界定,应具有以下三个方面的特征:①保密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的保密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息不外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶性攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容,接受者无法否认所接收的信息内容。
二、网络自身特性及网络安全发展现状
网络信息自身具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性,网络操作系统的漏洞及自身设计缺陷等,网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。现在越来越多的恶性攻击事件的发生说明当前网络安全形势严峻,不法分子的手段越来越先进,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
三、网络安全解决方案及实例分析
要解决网络安全,首先要明确我们的网络需要实现的目标,一般需要达到以下目标:①身份真实性:对通信实体身份的真实性进行识别。②信息保密性:保证密级信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机制,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
为了最大程度的保证网络安全,目前的方法有:安全的操作系统及应用系统、防火墙、防病毒、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件往往是无法确保信息网络的安全的。图1是某一网络实例的安防拓扑简图,日常常见的安防技术在里面都得到了运用:
1、防火墙技术。包括硬件防火墙和软件防火墙。图中的是硬件防火墙,一般设置在不同网络或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,市场上的防火墙种类繁多,它们大都可通过IE浏览器控制,可视化好,易于操作,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击。
2、防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防病毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。一般公司内部大都采用网络版杀毒软件,病毒库联网升级,管理员可通过系统中心制定统一的防病毒策略并应用至下级系统中心及本级系统中心的各台终端,可实施实时监控,主动防御,定时杀毒等功能。但实践证明,仅依靠一款杀毒软件,一种策略,并不能完整的清除所有病毒,有时需要制订不同的安全策略或与另外一款杀毒软件同时使用方可,此时需要具体情况具体分析。
3、入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
5、网络主机的操作系统安全和物理安全措施。操作系统种类繁多,而Windows因其诸多优点被普遍采用,但Windows存在诸多漏洞,易于被攻击,因此需要定期进行更新。北信源补丁分发系统通过定时探测各终端的补丁数,自动给各终端打上补丁,较大程度的避免了因系统漏洞导致的信息安全问题。安全系数要求高的网络,有必要对其进行物理隔绝,采用专用软件控制各终端的外设,对各终端操作人员进行身份验证等等。
6、安全加密技术。分为对称加密技术和不对称加密技术。前者是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥;不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。加密方式有硬件加密及软件加密,其中硬件加密又有信道机密和主机终端加密等。
7、网络安全应急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。应该随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全应急响应体系,专人负责,防范安全事件的突然发生。
总之,网络的第一道防线防火墙并不能完全保护内部网络,必须结合其它措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施,按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机制构成的整体安全检查和反应措施。
四、小结
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,单一的技术是不能解决网络的安全防护问题的。随着信息技术的不断发展,各行各业信息化建设的脚步也越来越快,计算机技术和网络技术已深入应用到人们生产生活的各个领域,各种活动对计算机网络的依赖程度也越来越高。增强人这一主体的安全意识,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,才是最有效的防范措施。
参考文献
[1]胡道元,闵京华.网络安全(2版).北京:清华大学出版社. 2008(10)
[2]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01)
[3]胡道元.计算机局域网[M].北京:清华大学出版社,2001
篇13
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
