时间:2023-01-28 19:43:04
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络安全解决方案范例。如需获取更多原创内容,可随时联系我们的客服老师。
【关键词】网络;安全;技术防范;对策
【中图分类号】TP393.08 【文献标识码】B 【文章编号】1672-5158(2013)01―0445―02
引言
近年来,随着经济社会的快速发展,互联网得到快速增长,互联网的应用领域不断扩张,已经从传统领域拓展到非传统领域,而且影响力越来越大。据中国互联网络信息中心(CNNIC)近期的《中国互联网络发展状况统计报告》显示:截至2012年12月底,手机网民数量为4.2亿,中国网民数达到5.64亿,全年新增网民5090万人,普及率为42.1%;微博用户规模为3.09亿,较2011年底增长了5873万。域名总数为1341万个,其中“.CN”域名总数为751万,“.中国”域名总数为28万。中国网站总数(即网站的域名注册者在中国境内的网站数)回升至268万个(去年底只有183万)。网络安全从大的方面讲,关系国家安全、社会稳定;从小的方面讲,网络安全涉及个人信息安全、财产安全,因此,积极研究探讨适应新形势发展要求的网络安全方案,对确保网络安全,提升网络服务质量具有十分重要的现实意义。
1 加强网络安全的现实意义
随着信息化技术的不断发展,网络已经成为一种联通各地、各个领域的重要基础设施,计算机网络的发展为人们的生产、生活、工作带来了极大便利,拉近了全球的距离。但在看到网络给人们带来便捷的同时,还要清醒地认识到网络作为一个面向公众的开放系统,如果网络安全意识不强、网络安全防范措施不力,就会产生网络安全隐患。特别是随着信息网络技术的飞速发展,网络得到广泛普及和应用,应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,已经被行政部门、金融机构、企业广泛应用,网络在这些领域的广泛应用,也进―步加大了网络安全的风险。如何保持网络的稳定安全,防止诸如黑客攻击、非正常入侵等安全问题的发生,是一项重要任务。
由于网络系统结构复杂、涉及终端众多、系统开放,网络系统面临的威胁和风险比较多,归纳起来主要来自外部的人为影响和自然环境的影响,这些威胁有的是对网络设备的安全运行存在威胁,有的是对网络中的信息安全存在威胁。这些威胁的集中起来主要有:非法授权访问,假冒合法用户,病毒破坏,线路窃听,黑客入侵,干扰系统正常运行,修改或删除数据等。这些威胁一旦成为现实,将对网络系统产生致命的影响,严重的可能会导致系统瘫痪,传输信息被非法获取和传播,会给相关机构和网络用户造成不可挽回的损失。
在网络快速发展的新形势下,全面加强网络安全建设,提升网络安全等级,对确保和维护网络用户利益,维护单位整体形象都具有十分重要我。特别是在当前,终端用户往往会在终端中存储大量的信息资料,工作手段也越来越依赖于网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,因此,积极研究探索与网络发展同步的网络安全解决方案,全面加强网络安全建设,是各级网络管理部门及用户的重要职责,必须要高度重视,扎实推进。
2 信息系统安全威胁与风险分析
认真分析信鼠系统安全威胁与存在的风险,是进行风险管理、制定网络安全方案的前提和基础。通过进行有效的系统安全威胁与风险分析,可以帮助相关机构和用户选择合作的控制措施来降低风险。
2.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提,相关的物理安全风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2 链路传输风险分析
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。
2.3 网络结构的安全风险分析
来自与公网互联的安全危胁,基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。一些黑客会制造病毒透过网络进行传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。
内部网络与系统外部网互联安全威胁。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击,入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部局域网的安全威胁。据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人信息传播出去。这些都将对网络安全构成严重威胁。
2.4 系统的安全风险分析
系统的安全往往归结于操作系统的安全性,决定于网络操作系统、应用系统的安全性。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。因此,必须要高度重视系统的安全风险,科学进行系统安全配置,从而有效降低系统风险。
2.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。比如由于资源共享、使用电子邮件系统、受病毒侵害、数据信息被非法窃取,篡改等,这些都是应用层面应当防范的安全风险。
2.6 管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房存在恶意的入侵者,内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。一些网络系统管理由于责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
3 网络安全解决方案
可以通过配置诸如:标识、密钥管理、安全管理、系统保护、鉴别、授权、访问控制、抗抵赖、受保护通信、入侵检测与抑制、完整性证明、恢复安全状态、病毒检测与根除等技术类安全控制来有效防止给定类型的风险与威胁;通过建立相关的安全管理机制,实现管理在的安全控制;通过建立一整套严谨的控制指南,实现操作类的安全控制,从而实现信息系统安全控制。
3.1 做好物理防护
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。要严格按照相关标准建设网络,防止人为降低建设标准。确保设备安全,采取有力措施搞好防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
3.2 确保系统安全
要认真判断网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。对于操作系统要尽可能采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件,对使用权限进行严格限制;加强口令字的使用,增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令,并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.3 突出网络安全
网络安全是整个安全解决方案的重中之重,要从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面,采取切实可行的对策措施,确保网络安全。要严格落实《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等安全管理制度。设置虚拟子网,各子网间不能实现互访,实现初级访问控制。设置高等级防火墙,通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。建立网络扫描系统,对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,并自动进行相关修复。通过预防病毒技术、检测病毒技术、杀毒技术,实施反病毒措施,防止病毒进入网络进行传播扩散。
3.4 确保应用安全
应用是信息系统安全应当关注的重要内容,要通过规范用户的行为,来实现应用安全。要严格控制内部员工对网络共享资源的使用,尤其要限制共享资源的滥用,在内部子网中一般不随意开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。适当配置资源控制,要精心设置访问权限,并拒绝未经授权人员的登录,减少有意或无意的案例漏洞。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库进行远程备份存储。
随着信息高度共享,信息化程度不断提高,给企业带来了诸多便利的同时,网络安全问题日趋严重,由外网迅速延伸至内网。从近来病毒发作的情况来看,病毒的攻击目标没有特定性,而且越来越隐蔽,如不提前防范,一旦被袭,网络阻塞、系统瘫痪、信息传输中断、数据丢失等等,无疑将给企业业务带来巨大的经济损失。
二、中小企业网络安全解决方案
这种典型的网络规模较小的企业平均不到50台计算机,企业处理的信息量不是很大。
2.1 访问控制解决方案
网络的拓扑结构是否合理是决定网络安全的重要环节,不同的目的子网的要求,有不同的网络设计。把具有相同安全目的的主机划分在同一子网之内,区别不同的安全水平。只有更好地考虑这些因素,将网络结构存在的安全隐患将至最低。
(1)安全物理隔离。内网与互联网直接连接是不安全的。只要是内网与互联网直接链接,无论通过什么样的手段,肯定存在着被黑客攻击的可能。
因此,从安全角度来考虑,应该对企业计算机内网与企业计算机网络外网之间架设一道物理屏蔽,对内部网络中需要上因特网的用户机器安装物理隔离卡,从而保证内部信息不被泄露。
(2)配备防火墙。网络安全最经济,安全最有效措施就是防火墙。防火墙通过制定严格的安全策略来实施内部和外部网络区域之间的隔离和访问控制,单向或双向控制的实现是通过各种信任的网络和防火墙,可根据时间、流量的访问控制,过滤一些不安全服务。
2.2 网络系统解决方案
(1)网络操作系统安全。使用更高版本的网络操作系统,使一些不常用,不安全的应用程序和端口处于关闭状态。对于一些保存了用户信息和使用密钥的文件严格限制,加强密码的水平,并及时对系统漏洞补丁,不对外公开系统内部的使用情况。
(2)应用系统安全。应用服务器尽量不要打开一些不经常使用的协议和协定窗口。作为档案服务和E―mail服务器的应用系统等,可关闭HTYP、FTP、远程登录服务等不常用协议。还有就是加强登录时的密码强度。管理者限制登陆者操作权限,限制在最小的范围内。
2.3 入侵检测解决方案
功能强大的反病毒反入侵的手段是入侵检测手段,是在特定网络环境中未经授权或恶意攻击和入侵被识别和反应的过程。它主要有搜集资料,并分析这些信息,计算机系统是否有被违反安全策略的行为和遭到攻击的迹象。具有监测分析用户和系统的能力,评测系统完整的数据,对统计异常的行为进行识别,并自动收集和相关系统的修补程序,使用服务器记录黑客的功能。入侵检测是在不影响网络性能的情况下的监控,是一种积极的安全保护技术,为内部和外部的攻击提供实时保护。
但是入侵检测设备虽然很实用,价格却普遍偏高,如果中小企业资金允许,人员齐备的话,建议加装入侵检测设备,这样可以做到防患于未然。
2.4 网络防病毒解决方案
衡量反病毒技术是基于计算机病毒功能来判断技术来确定病毒的类型。计算机防病毒技术在分析病毒代码的基础上,制定了删除病毒程序并恢复原始文件的软件。反病毒的具体实现方法包括网络服务器、文件、E-mail等工作站技术进行频繁扫描和监测。一旦发现和病毒代码库匹配病毒代码,反病毒程序将采取相应措施,防止病毒进入网络相互传播。防病毒系统可以防止病毒侵权使用。但是,新的病毒会随着时间的推移不断出现。这就需要及时通过互联网或防病毒系统更新等手段安全管理员或用户升级。一般中小型企业大都采用windows服务器的操作系统根据国内外各种网上的反病毒软件的综合比较,所以本文建议采用Symantec公司Symantec系列或是微软公司的ForeFront系列等产品。
2.5 数据备份和恢复安全解决方案
备份和恢复系统存在的目的,是尽快分发给计算机系统整体必要的数据和系统信息。备份不仅在网络系统硬件故障或人为错误时起到保护,在黑客的网络攻击时起到保护作用,也同时作为一个系统崩溃恢复的先决条件。
这个解决方案我们使用Symantec Ghost,Ghost备份和恢复系统具有以下功能:备份数据的完整性,并要备份介质的管理技巧。支持多个备份,定期自动备份,还可以设置备份自动启动和停止为多个文件的格式备份,支持多种日期标定方法,以保证备份的正确性,提供在线数据备份功能;支持RAID的容错技术和图像备份功能。由于Ghost操作简便快捷,功能强大,所以本方案推荐使用。
随着网络技术的不断发展,社交网络逐渐融入到人们的生活中,一定程度上改变人们的交流方式。人们在利用社交网络过程中常常会涉及一些重要信息,甚至是用户的隐私。怎样提高社交网络安全性,营造良好的社交网络环境,是业内值得深思的重要问题。本文对社交网络安全问题进行分析,提出相关的解决方案,为营造安全的社交网络环境提供参考。
关键词:
社交网络;安全问题;解决方案;分析
0引言
社交网络的出现给人们彼此之间的交流提供了前所未有的便利。利用社交网络不仅可与亲朋好友交流感情,而且还可结识一些新朋友扩大交际圈。因此,人们不可避免的在社交网络上留下一些重要信息,如何确保社交网络安全问题,引起越来越多人的关注。
1社交网络安全问题分析
社交网络已成为人们生活中的重要组成部分,尤其在科技飞速发展推动下,社交网站及软件逐渐向服务的多元化方向发展,其功能越来越强大,不仅仅局限在沟通交流方面。这一发展无疑给社交网络安全提出更高要求。因此,对社交网络出现的安全问题进行汇总,为提出针对性解决方案提供指导,对促进社交网站及软件的长远发展意义重大。
1.1网络安全问题
网络安全是社交软件或社交网站面临的重要问题,而且每年都会发生一些网络安全事件,给企业及用户带来严重不良影响。分析发现,导致社交网络安全问题出现的因素非常之多,有些是无意的,如通信光纤被挖断,有些则是有预谋的。例如,部分不法分子攻击社交网络,以获得一些重要信息从中牟利,不仅影响社交网络工作稳定性,而且引起用户重要信息的泄露。另外,一些不法分子窃听社交网络,窃取用户重要的聊天信息,尤其针对一些企业社交账户,一旦因网络攻击而泄漏重要信息,导致企业机密的泄漏,给企业造成严重经济损失。
1.2信息安全问题
一些不法分分子攻击社交网站或软件的数据库,窃取用户的账户信息,能够轻而易举的登录社交网站及软件,窃取用户的个人信息、浏览用户的聊天记录等,导致用户隐私泄漏。另外,社交网站开发过程中因考虑不周存在bug,这些bug一旦受到蠕虫及黑客攻击,会恶意添加一些下载文件的链接或植入不良代码,当用户点击后会下载一些病毒,或将重要信息发送给黑客,如此黑客便轻而易举的窃取用户相关账户信息,从事某些非法活动,严重损害用户利益。
1.3网络犯罪问题
一些不法分子通过攻击、监听等手段获得用户信息后会从事一些网络犯罪活动。例如,当获得用户的账户信息后,在用户空间一些不良信息,引诱用户好友点击,以达到传播目的。同时,一些用户为便于好友识别,常常将个人信息填写在社交网站或软件上,当不法分析运用相关手段获得用户的个人信息后,常常冒充用户好友、企业老板等,给用户好友或企业财务人员发信息,以达到骗取钱财的目的。另外,部分不法分子窃取用户的账户信息后,一些虚假信息,威胁国家安全,甚至引发社会恐慌等。
2社交网络安全问解决方案
社交网络极大的方便了人们的沟通与交流,拉近了人们之间的距离,使人们充分享受到了信息时代的乐趣。但人们在享受这一新的交流方式时,不能忽略安全方面的考虑,应积极提出有效的解决方案,以解决社交网络面临的安全问题。
2.1加强社交网络管理
在网络技术发展推动下,我国社交网络发展迅速,出现了一大批社交网站及软件,如豆瓣、人人网、新浪微博等,尤其以腾讯的QQ、微信为代表,其拥有庞大的用户群。这些社交网站及软件一旦出现安全问题,后果不堪设想。因此,为避免社交网络出现安全问题,无论企业内部还是国家职能部门应加强社交网络管理。一方面,企业内部应将社交网络管理当做重要工作加以落实,尤其注重对网络的监控,及时发现网络攻击行为。同时,与网络运营商建立良好的合作伙伴关系,针对出现的网络安全问题及时与运营商沟通,共同解决网络安全问题。另一方面,国家职能部门应充分认识到当前社交网络拥有的庞大用户群,无论从我国信息化发展角度,还是从舆论引导角度,均应重视对社交网络的管理。因此,国家职能部门应做好社交网络立法工作,加大对破坏网络安全行为的处罚力度,营造安全、健康的社交网络氛围,尤其针对利用社交网络坑蒙拐骗的行为,应督促企业锁定账户,情节严重的给予封号处理,或追究刑事责任。
2.2采取安全防护策略
社交网站及软件运营企业应从用户的利益出发,切实维护用户权益,采取针对性防护策略,避免用户信息的泄漏。一方面,立足企业内部,充分分析社交网站及软件特点,从安全角度分析社交网站及软件存在的bug,定期向外界,供用户下载,及时修补存在的bug,不给不法分子留下机会。另一方面,做好数据库的安全管理。众多周知,对社交网站及软件而言,数据库存储大量的用户资料、用户聊天信息,保护用户资料安全是企业的职责,一定程度上关系着企业的长远发展。因此,企业可采取硬件与软件相结合的方式提高数据库安全性。在硬件方面,应设计出合理的硬件架构,以屏蔽大量的安全隐患。同时,与实力强的服务器提供商合作。企业应根据用户数量及自身业务状况,与综合实力较强的服务器提供商合作。原因在于综合实力较强的服务器提供商,不仅能保证服务器工作稳定性,而且在机房管理方面更为严格,避免机房原因引起服务器故障的产生。在软件方面,社交网站及软件运营企业,同样需进行软件架构的合理设计,良好的软件架构可明显提升服务器运行安全性,防止数据库出现不良问题。同时,还应使用数据库安全策略,最大限度的提高服务器的防攻击性能。
2.3不断更新安全技术
众多周知,网络技术发展迅速,更新周期比较短,一些新的安全技术不断涌现。为此,社交网站及软件运营企业应不断更新安全技术,提高社交网站及软件整个系统的安全性。首先,企业应综合分析当前运用的安全技术存在的不足,寻找其与新安全技术的契合点,有针对性的应用新安全技术。其次,企业应加强与国际间安全技术企业的交流与合作,把握安全技术发展动向,引进新的网络安全思路与方法,做好用户聊天信息的保护。最后,在社交网络及软件改版时,将安全问题当做重要内容加以考虑,最大限度的提高社交网站及软件安全性,避免安全漏洞的出现,让不法分子有机可乘。另外,考虑到社交网络安全性,参与的角色很多如,社交网站及软件运营企业、网络运营商、服务器提供商等,除运营企业更新安全技术外,网络运营商及服务器提供商同样应注重安全技术的更新。尤其对于网络运营商而言,提高网络安全性是其重要职责,为此,网络运营商应增加在网络安全方面的投入,及时更新网络设备,及安全管理系统,加强对网络运营的监控,尤其应结合大数据思想分析出不法分子的活动规律,及时锁定异常流量,洞察发生的网络安全问题。另外,服务器提供商应定期更新管理技术,不断提高服务器安全技术水平,将攻击服务器的发生机率降到最低。
3总结
社交网络已经融入到人们的生产生活中,拉近了人与人之间的距离,使得人与人之间的交流更为方便。但随之而来的社交网络安全问题,给用户及社交网站及软件运营企业带来诸多意想不到的麻烦。因此如何确保社交网络安全也引起了人们的高度重视。为确保社交网络安全性,企业及国家职能部门应结合当前我国社交网络安全实际,积极寻找有效的解决方案,不断提高我国社交网络安全水平,为人们安全的使用社交网络及软件保驾护航。
作者:李永亮 单位:山东交通职业学院
引用:
[1]刘建伟,李为宇,孙钰.社交网络安全问题及其解决方案[J].中国科学技术大学学报,2011.
[2]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014.
[3]周禹江.浅谈社交网络安全问题与解决方案[J].技术与市场,2015.
关键词:移动云计算;网络安全;解决思路
移动云计算领域是云计算和互联网相互融合而产生的,通过移动网络获取资源的一种交付模式。网络的发展也会带来些许问题。接下来笔者通过对移动云计算的内容进行详细介绍,分析当前面临的一系列网络安全问题,并提出探讨出适合各个安全问题的解决方法。
一、移动云计算
想要更好的找到解决网络安全的方法,就要先了解移动云计算的详细内容,接下来通过对内容的梳理使得读者可以更好地了解。服务模式。服务模式可能涉及到使用信息技术和软件,互联网或其他服务。云计算的主要思想是,为了将与网络有关的大量计算机资源综合起来,创建一个计算机资源库,为用户提供所需服务。提供资源的网络被称为“云”。云资源丰富,用户方便获取,可根据需要使用。
二、移动云计算领域的网络安全
现如今的科技发达,网络普及快速,网络安全也因此更加严峻。在移动云计算环境之下,很多软件,硬件应用在内,而且移动云是完全公开的,所以解决起来也需要全方面的考虑。
(一)网络安全网络安全包括保护硬件、软件和数据不受恶意或意外干扰、破坏和泄漏的影响。整个环境保持稳定,网络通畅。移动云计算环境下的网络安全必须是创新的,并与传统的网络相结合。传统的网络系统在流动云层系统方面发生了重大变化:传统的企业网络系统相对关闭,其主要应用程序在企业内部。只有web服务器,邮件服务器和其他几个面向外部世界的节点是通过移动云计算的。因此,只有在外部接口安装防火墙,才能满足基本的安全需要。但是,移动云具有面向人群、部署更加复杂灵活等特点。计算云层的方法是分布式计算、网格计算、功能计算、虚拟化、负载均衡、移动互联网等多种技术综合作用的结果,因此,与计算云相关的网络安全问题日益严重。
(二)移动终端设备安全问题首先,它的保护重点是控制权和移动设备的系统权利。为了使终端能够成功地访问移动云环境,必须制定一项安全战略,其中包括强制性身份证和合法获取身份资料的机会,非法保护和定期更新密码有效防止未经授权的帐户使用同时,移动云服务供应商也必须提供安全的移动应用程序。限制某些不安全的用户操作,实时防止某些危险行为,及时控制终端安全。移动式云层安全软件还应有助于发现所有移动客户的行为异常,并与此相结合。第三,移动云安全软件还应多方技术手段,支持对其所有移动客户端中的应用软件行为进行异常检测,获得最新的特洛伊木马数据,向所有移动客户分发安全解决方案;确保有效的终端安全。
(三)移动云计算管道安全移动云环境中的管道是计算云计算整个结构的中间环节,或者可以说是云移动的安全地点。移动终端的种类和访问范围广泛。因此,移动设备的使用必须统一。应用程序服务接口。我们也需要通过一个外勤安全战略。在建立一个单一的服务接口,需要建立一个狭窄的通信渠道,这样,作为防火墙,安全网关等,迫使攻击者使用这个狭窄的通道进行监测和监视。同时,可以在一个狭窄的通道中部署一个数据内容过滤装置,以找到和筛选敏感信息,这允许您过滤各种网络协议的内容。此外,在数据传输过程中,必须保证数据包通过管道加密。同时,当数据包通过管道时,管道可以用数据包封给每个用户一次,每个包都会生成随机密钥,破解密钥的方式只能为云服务商知道,采用若干密码机制,防止主动和被动攻击,如拦截、中断、伪造、伪造等。确保传输管道的安全和通畅。
网络安全威胁的主要来源。网络安全的威胁是现代企业管理中经常会遇到的安全性问题,网络安全的来源具有不同的渠道和类型。在传统的理解中,网络安全威胁主要是病毒感染,但是,网络技术不断升级的情况下,网络安全更多的是对网络的非法入侵,对网络的攻击和访问。在大型企业中,网络安全的来源既有内网的威胁,也有外网的威胁,而内网的威胁远比外网的威胁要大得多,如果内网遭到攻击,那么,对大型企业的危害则是深入的。网络的安全隐患主要包括病毒、木马或者恶意软件的侵袭,网络黑客的攻击,文件或者邮件被非法窃听与访问,重要部门的信息被访问同时造成泄漏,外网的非法入侵,备份数据和存储媒体的损坏和丢失。针对于企业网络安全的认知误区。对网络安全的认知过程,是网络安全进行威胁处理的重要思想基础。在很多人都意识中,网络安全不是特别重要的事情,甚至认为只要是安装了防火墙,或者安装了防病毒的工具,使用了加密技术或者对数据进行了必要的保存,就不会遭到网络攻击,而实际上网络安全威胁远比意识中的要严重和复杂的多。例如防火墙的主要作用是用来控制两个网络之间的访问,它主要是限制互联网之间的来往,防火墙是隔离技术,在不同的网络之间控制安全域信息的出入。防火墙的主要工作就是控制存取和过滤封包,对针对于工作性的措施进行防范。但是,在网络安全威胁中,如果攻击行为越过防火墙,防火墙就没有多大的用处了。防火墙用于防止外部入侵,而无法防止内部入侵。还有人认为杀毒软件很有作用,杀毒软件是防止病毒的入侵,对系统中的病毒进行查杀,但是,在实际应用中可以发展,很多杀毒软件的功能都落后于病毒的更新,而且每一台机器的杀毒软件,都是把重心集中在网络防毒的系统管理上。如果没有网络作为依托,杀毒软件就会失去单击操作的能力。
1大型企业网络安全的设计
(1)大型企业网络安全的主要需求。企业网络安全的主要需求是根据具体业务的发展而确定的。以国家电网的电力企业为例,在网络安全上,需要建立具有Web和Mail等服务器和办公区客户机,企业的各个部门之间能够进行相互的联系,同样,也要进行必要的隔离。大型企业网络安全的设计中,主要的需求就是对网络设备进行组网规划,对网络系统的可用性进行保护,对网络系统的服务设施连续性设计,防止网络资源的非法访问,防止入侵者的恶意破坏,保护企业信息的机密性和完整性,防范病毒的侵害,对网络进行安全管理。以电力企业为例,对网络安全的需要主要是对业务的办理和系统的改造,要求企业的网络具有稳定性,能够保证各种信息的安全,防止图纸或者文档的丢失。
(2)大型企业网络设计的功能。在企业的发展建设中,应用计算机网络进行运营控制,提高了企业的经营和管理效力,但是,因为技术性的原因,也给网络安全带来的隐患。企业对于网络设计的功能主要可以体现在企业要求最资源进行共享。也就是说在网络内部企业的各个部门都能够共享数据库,共享打印机,形成办公自动化的良好秩序。对于大型企业而言,业务繁多,办公自动化非常重要,通过办公自动化能够形象高效率的工作方式。在通信服务方面,通过广域网能够随时接发邮件,实现Web应用,同时,接入互联网实现网络的访问,这样可以使企业能够随时在网络上进行查询,能够保证最新鲜资讯有明确的了解。
(3)大型企业网络设计的原则。大型企业的网络设计原则主要是以企业的运行为基础,以提高企业的运行效率为根本。在设计原则上需要掌握:第一,应用的便捷性。网络系统要以应用为前提,在实用性和经济方面具有绝对性优势,通过建立企业的网络系统,能够把企业统一到一个资源共享的平台。在资源利用上,保持好良好的状态。第二,技术的成熟性。网络系统设计需要进行不断的更新,以先进的技术和方法,引领网络发展。企业的运行中,涉及的部门多,业务种类多,这就要求网络系统对设备和工具十分熟悉,在网络的支撑下,能够完成各个部门的具体化工作。第三,系统的稳定性。大型企业依靠网络进行的工作很多,这就网络系统一定要具有超高的稳定性,在技术措施上,系统管理中,厂商技术中,维修能力方面都要能够随时确保系统的运行可靠性。如果网络系统运行不稳定,就会给整体企业的运营带来时时的危险性。例如大型电力企业中,如果网络不稳定,就会造成数据采集不稳定,就会给整体信息收集带来不良后果。
(4)具体应用技术的实施。在技术应用上,需要从网络安全的内部和外部进行综合控制。在位置选择上,需要选择具有防震、防风和防雨功能的建筑物,机房承重要求要满足设计要求,避免强磁场,强噪声的环境,避免重度污染的环境,避免容易发生火灾的环境。电力供应方面要选择稳定的电压,设置电压防护设备,能够提供短期备用电的地方。在电磁防护方面,采用接地方式防止外界干扰,电线和通信线路要进行必要的隔离,防止二者之间相互干扰。在访问权限上实施控制策略,企业的决策层,财务层,市场运营管理和生产层,都要进行分级别的VPN设计,各个VPN层级要有明确的区分。
2大型企业网络安全解决方案的实现
(1)确保网络企业的物理安全。网络安全的前提和基础性条件就是物理条件,在物理安全上,要重视环境设置。在机房环境安全上,要将信息系统的计算机硬件,网络设施等进行统一的管理。防止自然灾害,物理性损坏和设备故障,电磁辐射,痕迹泄漏,操作失误,意外疏漏等。在传输介质的选择上,要配有支持屏功能的连接器件,介质要具有良好的接地功能,能够对干扰严重的区域使用屏蔽线,增强抗干扰能力。在传输介质上,光纤具有明显的优势。
(2)形成网络防火墙的优化配置。网络防护墙对于网络安全是一项重要的技术类型,网络防火墙在配置过程中要掌握好,防火墙选择的数码类型,或者防火墙和VPN功能的结合,在防火墙的设计上,确定好源域,源地址对象,目的域,目的地址对象。防火墙要设置全局访问策略,在域内或者域间进行访问,内部网络为信任区域,外部网络为不信任区域。防火墙允许外部网络访问,但是不能进行内部访问,中间位置的访问需要进行权限设置。网络防火墙的优化配置,是形成网络防护的重要方式,网络防火墙的设计对于网络安全是重要的技术措施。
(3)实现网络VPN的准确对接。在网络技术不断进步的过程中,对网络安全解决的方案也逐渐进行完善。网络安全需要建立多重防御体系,同时在商业及技术机密上,要做好多种防范措施。大型企业是国家经济建设的重要组成部分,是创造经济效益和社会效益的集合体。网络的VPN功能主要是通过防火墙实现,在设计中主要是通过PPTP协议来是网络VPN,因此,首要的任务就是增加PPTP地址池,在PPTP设置中,选择Chap加密认证。
(4)构建网络防病毒多重体系。网络安全解决方案中防病毒体系的构建至关重要。通过防病毒体系的构建,可以针对企业网络安全的现状进行设计,通过建立多种防病毒方案,确保在简单或者复杂的网络环境下,都能够设计出适应大型企业运行情况的计算机病毒防护系统,这种系统可以适应多台机器,可以适用于多个服务器,在不同的超大型网络中,能够具有先进的系统结构,超强的杀毒能力,有效的远程控制力,可以方便进行分级和分组管理。
3结语
现代化的企业采用的方式也是现代化的,现代化的技术具有明显的优势,同时,也存在一定的弊端。网络信息资源的共享,为企业发展提供了智力支持,但也给企业带来了很多不安全的因素。对于大型企业的网络安全而言,要从技术上和管理上进行控制,通过有效的管理手段和升级化的技术,突出技术与管理的融合,实现网络安全的有效控制。
参考文献
[1]彭长艳.空间网络安全关键技术研究[J].国防科学技术大学,2010.
[2]阿莱.计算机网络安全问题及解决策略初探[J].信息与电脑(理论版),2012.
[3]卜祥飞.大型企业网络信息安全问题与解决方案[J].全国冶金自动化信息网2012年年会论文集,2012.
[4]周未,张宏,李千目,郭萍.计算机与信息技术[J],2011.
Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.
关键词:电力;网络;安全;方案
Key words: power;network;security;plan
中图分类号:TP39 文献标识码:A文章编号:1006-4311(2010)27-0165-01
1电力行业的特点
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到电网调度自动化,继电保护及安全装置、厂、站自动化,配电网自动化,电力负荷控制分析、电力市场交易、电力营销、信息网络系统等,发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。
2网络安全分析
一般说来,在电力网络系统中的安全防护主要包括三个方面:一是网络拓扑的结构防护,即在后期当网络的结构调整时,要注意增删节点的合理性;二是硬件方面的防护,即组成网络系统中的各类设备;三是软件方面的防护,即网络系统中存储和传输的信息数据。
3网络安全的防范技术
①配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。②采用全网统一的网络防病毒系统,保护网络中的各类服务器、工作站等不受病毒的干扰和对其上文件的破坏,以保证系统的可用性。③作为防火墙的补充,须在内部关键业务网段配备入侵检测系统和防御系统,以防备来自内部的攻击及外部通过防火墙的攻击。④对关键业务信息跨地区的传输,采用VPN产品进行加密,保证传输过程中的信息安全。⑤对于网络设备、服务器等管理员的身份认证,采用诸如令牌口令的增强身份认证系统。⑥配备灾难恢复系统及冗余,防备意外的发生。⑦建立完善的网络安全管理制度,防止出现人为的安全隐患。
4安全解决方案
4.1 总体设计思路和原则。在基本的访问控制,身份鉴别和安全审计方面采用合理的技术手段。使用防火墙产品划分网络区域,对需要保护的区域进行网络层的访问控制。正确使用系统中已有的安全机制,各系统通常包含了基本的安全机制,如身份认证、访问控制和审计功能。正确的使用这些安全功能可以减少系统可被利用的漏洞。采用专用产品强化系统中对安全构成威胁的薄弱环节(包括防病毒)。用必要和有效的监控和审查机制保证安全机制的有效性,安全策略的正确性;定期审查。持续监控,部署必要的技术和产品在安全机制失效和灾难的情况下采取正确、及时、有效的措施。及时报警,以争取管理和技术人员的及时介入。在入侵正在进行时自动或通过人员干预终止威胁系统安全的行动。系统遭到破坏是在尽可能短的时间内回复系统的运行。
4.2 网络安全产品的部署
①防火墙的配置:作为保护电力系统内部网免遭外部攻击,最有效的措施就是分别在电力系统各级内部网与外部广域网之间放置防火墙,通过设置有效的安全策略,做到对电力系统内部网的访问控制。不改变原来网络拓扑结构,且保证通讯速度不受较大影响,可以配置使用基于状态检测包过滤技术上的流过滤技术的防火墙――硬件防火墙系统。
②入侵监测系统的配置:为了防范来自电力系统内部网络的攻击,及来自外部透过防火墙的攻击,作为防火墙的补充,须在电力系统内部网各重要网段配备入侵检测系统,通过对网络行为的监视,来识别网络的入侵的行为。实时监视网络上正在进行通信的数据流,分析网络通讯会话轨迹,反映出内外网的联接状态;通过内置已知网络攻击模式数据库,能够根据网络数据流和网络通讯的情况,查询网络事件,进行相应的响应;能根据所发生的网络安全事件,启用配置好的报警方式,比如Email、声音报警等;提供网络数据流量统计功能,能够记录网络通信的所有数据包,对统计结果提供数表与图形两种显示结果,为事后分析提供依据;默认预设了很多的网络安全事件,保障客户基本的安全需要;提供全面的内容恢复,支持多种常用协议;支持分布式结构,安装于大型网络的各个物理子网中,一台管理器可管理多台服务器,达到分布安装,全网监控,集中管理。
③信息传输加密产品的配置:为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。高加密强度的安全隧道,认证通信双方的身份,实现基于应用的访问控制。有详细的日志和审计记录,对所处理的每一次通信或服务都可以进行详细的记录。提供穿越防火墙的VPN应用模式,可以用直连的方式把通过认证的数据直接传送到主机的应用程序;可以与第三方认证产品集成,提供更强的身份认证和访问控制功能。
④防病毒系统部署。总之电力企业网络的安全保障可从以下几方面考虑:a.在电力企业网络各节点处构筑防御(如防火墙),防止外网影响内网。b.建立一个统一、完善的安全防护体系,该体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还有对运营商安全保障的各种综合措施,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。c.在互联网日益广泛应用的今天,为保障电力企业网络的安全,必需树立全程安全的观念。
参考文献:
[1]CCNA DISCOVERY企业中的路由、交换技术[C]//思科网络技术学院教程.
[关键词]网络安全;加密;授权
doi:10.3969/j.issn.1673 - 0194.2015.22.117
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)22-0-01
通信技术和网络技术正以前所未有的速度发展,互联网的用户数量也达到了一个新的数量级,企业开展了很多依赖于网络的业务,如电子支付、大数据等。这些业务都要求网络的各个角度都能保证网络用户的数据和信息安全。随着医疗水平的发展,医院也开始大量使用信息化技术来开展日常的诊治工作,在医院中形成了医生看诊、拿药、检查、医治等一系列的网络服务。如果医院的网络不能保证是安全的,这些环节中的任何一个环节出错,都会给医院和患者带来经济损失,甚至会因为被篡改的数据危及患者的生命健康。因此,本文研究并设计了一个医院网络的综合性解决方案,从网络安全的不同角度分析如何保障医院网络的安全性。
1 网络防病毒方案
医院的信息管理需要在网络的环境下运行,而网络中现在计算机病毒较为猖獗,医院的网络必须具备较强的防病毒能力。在医院网络中需要设置专门的病毒防治系统,能有效防止病毒的入侵。防病毒系统主要部署在服务器、PC终端和电子邮件系统中。
服务器是整个医院网络中最为核心的硬件。如果服务器感染了病毒,会对整个医院网络造成非常大的威胁,病毒就很有可能通过服务器对医院信息管理中的重要用户信息和诊治信息进行窃取或破坏。
医院网络的PC终端是很多的,不同的终端用户的安全意识水平不同,技术能力也有很大差别,这样就会使得PC终端成为病毒最容易感染的设备。如果PC终端发生病毒感染,终端的病毒就会利用网络向医院网络发送病毒植入程序,然后通过植入的病毒程序将系统的重要文件进行破获或盗取。,医院网络的所有的PC终端都需要安装防病毒软件。
另外,需要设置防病毒软件的是医院中的邮件系统。系统的邮件系统主要由两种:第一种是系统的专网使用的公务邮件系统,在这种邮件系统中需要设置专门的垃圾邮件处理系统和病毒扫描的引擎。另一种是系统的终端用户自己使用的邮件收发系统,这些邮件系统的收发方式可能是POP 3或SMTP。,需要在系统的终端设置防病毒软件来防止邮件被窃取或恶意篡改。
2 终端安全方案
医院网络中的终端数量众多,终端的安全直接关系到系统的安全性。它直接关系系统是否能正常运转,一个设计良好的终端安全方案不仅能保证终端的安全,还能提高整个系统的安全保障能力。
终端安全方案包括很多内容,主要包括终端安全防护、终端审计和终端应用监管等。终端安全防护主要是在终端安装防火墙和设置文件保护上,控制可能影响终端安全的威胁。终端审计是通过审计手段来分析是否在系统中设置了安全策略和其他安全保障手段,是否得到了有效执行。终端审计在终端安全方案中的作用非常大,它可保证系统的所有的终端始终在系统的有效监管下。终端审计工作是由专人负责的,如果发现终端的安全性不符合安全策略的规定,要对其立即纠正。终端应用监管是对终端用户的行为进行监控,例如,终端用户需要进行身份信息的验证才能登录系统,将终端的很多可滥用网络应用的端口进行封闭管理等。
3 数据加密方案
医院网络的安全性还体现在数据的机密性上,其具体体现在两个方面。
一是信息源的加密。系统中的信息源主要有文字、声音、图像等,这些信息源的存储是通过文件或数据库的形式实现的,而系统可选择加密这些文件或数据库信息,进一步提高系统的数据再存储方面的安全性。
二是信息传输通道的加密。在系统中,可设置一个专门用于加密传输通道的安全子系统,该系统的作用就是可根据信息传输的情况分别的不同的网络层进行加密,然后专门再对传输通道加密,加密的方式可直接加密,也可调用其他的加密API来实现加密。
医院网络中采用的加密体制包含了对称密钥的体制,也包含了基于公钥的体制,这样做的主要目的是为了在不同的系统应用中来使用不同的手段来进行加密,这样以来,不仅能最大限度的保证系统的安全,也在很大程度上提高系统的效率。
4 系统授权和访问机制
医院的信息一般都是采取集中式管理的,系统就相应的需要采用集中的授权访问控制模式。该模式下的授权访问可对用户的属性集中管理,然后通过属性值为用户发生授权证书。授权中心的业务管理人员具体管理用户的授权属性的信息,各个应用系统对用户的授权和身份证书同时进行验证,这样才能确定用户具备什么权限,从而为具体的用户进行授权的访问控制。授权证书中包括用户的多种属性信息,这些信息能确定用户的权限。例如,基于用户角色、用户标识、用户资源级别等访问控制,而对访问控制的粒度而言,也是可灵活变化的,从基于IP的控制到对数据库字段的控制,访问控制粒度从粗到细,可根据不同的应用系统进行灵活选择。
5 结 语
医院管理系统中的信息直接关系到患者的就诊情况和医院的日常管理。医院需要一个综合性的网络安全解决方案来保障医院网络系统的安全。本文从网络防病毒、终端数据安全、数据加密、系统授权和访问机制等方面综合论述了医院网络安全解决方案。
主要参考文献
本文针对TCP/IP双层即传统网络层和新型应用层的网络安全问题,通过IDC在设计、实施和运行中的网络安全问题进行研究分析,设计基于TCP/IP双层的IDC网络安全解决方案,该系统的设计,旨在对IDC系统提供有效的安全管理和安全防范措施,实现对WEB应用、内部网络和核心服务器的安全保障,真正全面地实现IDC网络安全,对IDC的建设和推广具有较强的价值。
【关键词】网络安全;网络层;应用层
1 引言
随着互联网的重要性和对信息传递的影响也越来越大,Internet不但为企业和网络用户信息、检索信息以及资源共享提供了方便,也为个人使用网络资源提供了最大的平台,特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互,而3G业务的飞速推广和三网融合的快速启动,使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中,使整个网络的安全风险也越来越大,一些新的互联网安全隐患不断出现,给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。
而且,随着业务量的增大,IDC经常出现因非法网络用户入侵和蓄意攻击而造成较长时间的网络中断现象,象包括某些电信级IDC在内的很多其它IDC一样,IDC在提供网络服务的过程中存在着信息安全性、数据隐私性以及信息合法性等方面的比较严重的网络安全问题,因此,IDC是否能保证网络信息的安全成为了各大企业、用户以及政府关注的焦点。因此,受企业和政府重托的IDC面临着非常严峻的安全考验,IDC主要定位于Internet网络服务,对政府或企业客户提供个性化的服务。事实上,IDC的网络功能非常的丰富,应用范围包括网站托管、电子商务、服务器租用或托管等,比如企业用户的信息交换、数据存储,安全服务以及各种新型的增值业务。IDC能够创建全新统一的信息交换平台,能充分整合信息资源,实现网络资源低成本的信息共享,也是实现城市管理现代化的重要环节之一,如果提供网络服务的同时不能最大程度的保证网络安全,其个性化的服务就根本无从谈起。只有在基础平台设施完善和系统功能强大的基础上进一步使网络安全问题得到充分保障,才能够充分保证IDC为企业提供真正个性化的服务。因此,基于TCP/IP网络层和应用层的IDC网络安全的设计与实现显得至关重要。
2 IDC的发展过程
早期IDC投入运行并开始为企业提供较小规模的各类服务。从2007年开始,IDC向客户提供较大规模、较高质量的主机托管、虚拟主机、整机租用、机架出租等服务。随着投资规模不断扩大,IDC系统的影响也逐渐扩大。2009年开始,IDC承担的业务类型逐渐由原来的服务器托管、网站托管等较基础业务开始向网络加速、负载均衡和虚拟专用网等增值业务延伸,规模也在不断扩大,其在业务收入方面也不断提高。
国内IDC的发展也受到了欧洲国家的IDC发展形势的影响。近年来,欧洲的IDC外包发展较为迅速,而国内IDC也在开始向外包业务方面发展。在3G大规模商用背景下以及视频、网游、SNS社交网站等新型业务的巨大推动作用下,IDC的市场需求继续增大,另一方面,当前的国际经济危机形势对于一部分小型企业来说,面临着严酷的变革,造成部分企业两极分化的情况加剧,因此,国内IDC的整体业务量还将进一步的提高。
IT业务是IDC大部份业务中最关键的一个方面,很多企业依靠信息系统进行各项业务的运作,如果系统经常不可用,整个企业的全盘运作可能无法进行,因此,IDC系统的安全逐渐成为各大企业最关注的焦点。
3 IDC安全解决方案设计思想
基于网络层和应用层的IDC安全解决方案设计思想主要为以下几个方面:
(1)在IDC的出口处部署网络防火墙并进行负载分担,实现对Internet网络出口安全的加固,以及对用户访问Internet的内容进行过滤;
(2)在IDC的数据管理中心NOC和IDC的核心层等部位采用多点的方式部署入侵检测系统IDS,实现有效的监测网络层临界部位的数据信息交换情况和监视IDC内部用户及内部各类系统的运行情况,防止黑客侵入到IDC数据区而对IDC服务器的数据信息进行蓄意破坏和恶意篡改,并能及时查找是否有内部的用户进行某些违规非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的计算机上安装一套漏洞扫描软件,并定期对IDC系统进行漏洞扫描和安全评估;
(4)在IDC中建立防病毒系统,采用中央控管系统实现跨广域网的管理,通过TCP/IP协议实现跨广域网的远程调用、管理、远程监控等功能,使其它的分支病毒防护系统的管理及其维护更加简便、有效,实现从单一客户端集中管理整个IDC网络的防病毒的任务;
(5)在发生网络攻击或者蠕虫爆发的情况下能够及时发现并采取应急措施进行安全防范;
(6)在IDC的服务器群的出口处多点部署应用层防火墙,需要对新型应用层的攻击威胁进行有效防范,如网页木马威胁、Cookie注入攻击威胁等。
4 IDC安全解决方案设计方法
4.1基于网络层的IDC安全系统设计
基于网络层的IDC安全系统设计将分别从网络层防火墙子系统设计、入侵检测IDS系统设计、漏洞扫描子系统设计、网络防病毒子系统设计等方面进行基于网络层的IDC安全系统的设计和实现。
本次对IDC的网络层防火墙设计部署时将H3C的超万兆防火墙产品在IDC中的位置进行提升,直接与核心交换机连接,再通过万兆高速接口与IDC出口处的核心路由器相连,两台防火墙共同部署实现双机热备份,并且实现对IDC用户网络流量的负载均衡,使整个美地亚IDC内部网络得到防火墙的安全防护,有效避免了网络的单点故障和网络瓶颈问题。同时,在防火墙上开启虚拟设备的功能,把IDC内部的不同系统资源按一定的配置分配到每个独立的虚拟防火墙中,一旦在IDC中发生攻击,防火墙中的不同虚拟防火墙将抵御各自面临的攻击,假设其中一个虚拟防火墙的系统资源被网络攻击全部耗尽,也不会影响其它服务的正常运行。在入侵检测IDS系统总署时,采用多层分级管理体系,实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示;采用引擎高速捕包技术保证满负荷的报文捕获;采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;采用IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;采用行为关联分析技术,发现基于组合行为的复杂攻击。为了降低误报的概率,采用基于状态的协议分析和协议规则树,保证特征匹配的位置准确性;采用基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息。为了限制滥报的概率,采用状态检测机制,有效地避免了事件风暴的产生;采用多种统计合并技术对同一事件采用合并上报,减少报警量。漏洞扫描子系统的设计,分布式管理并集中分析,在IDC中部署天镜漏洞扫描系统时采用分布式部署的形式,使各扫描引擎按照不同的漏洞扫描策略同时进行多网络系统的漏洞检测,同时将检测结果进行集中显示和集中分析,采用多级管理的方式,对于拥有不同地域、大规模网络的用户,各个地域的网络安全管理员管理着本地域的网络安全状况,其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级;实现大规模网络环境下的全局风险控制、降低管理成本。
4.2基于应用层IDC安全系统的设计
为了使WAF在IDC安全系统中能够尽可能的提供最佳的安全性能,本次设计应用层防火墙WAF时采用最佳的模式,在此模式中,WAF中的所有数据端口都会处于开启状态,其中WAN端口负责外部的数据处理,此WAN端口是直接面向因特网的端口。而把WAF中的管理端口划分到另外一个不同的网段,因为在部署设计WAF时最好将管理数据和实际的网络流量进行分离,避免IDC中的实际网络流量和WAF的相关管理数据之间出现互相冲突的现象。具体可以通过以下方法进行网络实现:将WAF的前端端口和后端端口分配到不同的网段,让所有的外部用户与WAF的应用虚拟IP地址进行连接,而将此虚拟IP地址和WAF的前端端口进行互相绑定。当用户访问时,用户的连接将会在网络设备上立即终止,WAF马上对流经的数据包进行安全检查和过滤,而合法的数据流量将与WAF的WAN口重新建立起新的网络连接到负载均衡设备,通过负载均衡进行网络流量的负载。WAF可以进行实时策略的生成及执行,根据IDC中不同的应用程序自定义相应的防火墙保护策略,可以无缝的砌合各用户的应用程序,且不会造成任何应用失真。
参考文献:
[1]段勇,朱源.IDC基础设施云的安全策略研究[J].电信科学,2010.5
【 关键词 】 网络安全;安全隐患;解决方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2 网络安全的重要性
2.1 网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
(2)危及财产安全。随着网络一卡化的运用,人们不用麻烦的随身携带大量财物,只需要几张卡片就能进行各类消费,在一卡化模式的运作下,网络也最大化地便利了人们。如今,由网络芯卡衍生出了更高端的消费方式,常见的微信转账、微信红包、支付宝等支付手段,只需在手机网络中就能实现网络消费,为网络数字时展撑起了一片天。而在这样的环境背后,网络消费却潜藏着巨大的财产安全隐患。密码是数字时代的重要组成部分,网络中的众多信息都牵涉着密码,但是密码并非不可破译的,一旦被危险的木马软件抓到漏洞,无疑等于是凿开了保险柜的大门。在以牟取利益为宗旨的经济犯罪中,网络经济犯罪占据着极大的比例,无论个人还是企业,其经济财产安全都受到网络安全隐患严重的威胁。
2.2 提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3 对网络安全隐患主要形式的分析
3.1 操作系统的漏洞
任何计算机操作系统都有着自身的脆弱性,因此其被称之为操作系统的漏洞。操作系统自身的脆弱性一旦被放大,就会导致计算机病毒通过系统漏洞直接入侵。不仅如此,操作系统的漏洞具有推移性,会根据时间的推移,在不断解决问题的过程中不断衍生,从解决了的旧漏洞中又产生新的漏洞,周而复始,长期存在于计算机系统之中。不法者通过系统漏洞可以利用木马、病毒等方式控制电脑,从而窃取电脑中重要的信息和资料,是当今网络安全隐患存在的主要形式之一。
3.2 恶意代码的攻击
恶意代码的概念并不单指病毒,而是一种更大的概念。病毒只是恶意代码所包含的一种,网络木马、网络蠕虫、恶意广告也从属于恶意代码。恶意代码的定义是不必要的、危险的代码,也就是说任何没有意义的软件都可能与某个安全策略组织产生冲突,恶意代码包含了一切的此类软件。通常情况下,黑客就是恶意代码的撰写者,一般黑客受人雇佣,旨在通过非法的侵入盗取机密信息,或者通过破坏企业计算机系统,非法获取经济利益,形成行业恶性竞争。现在的网络环境中,恶意代码是最常见的网络安全隐患,常隐藏在正常的软件或网站之中,并且不易被发现,渗透性和传播性都非常强,具有极大的威胁性。
4 网络安全的解决方案
4.1 设置防火墙
防火墙是一种集安全策略和控制机制为一体的有效防入侵技术,是指通过网络边界所建立的安全检测系统来分隔外部和内部网络,并明确限制内部服务与外部服务的权限,可以实际阻挡相关攻击性网络入侵。防火墙的基本类型有六种,分别是复合型、过滤型、电路层网关、应用层网关、服务及自适应技术。在目前的大多数企业中,都运用到了防火墙技术。
4.2 对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3 采用多重加密
网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程:首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式;其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制;最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见,比如在微信、微博、游戏账号、邮箱等各大社交软件中,都设有个人密码,这是多重加密技术的第一层屏障,随着高级别威胁的出现,第一层的密码保护无法满足数据安全的需要。因此,在社交软件中就出现了动态码、验证码、密保信息等更高级的数据保护措施,在多元的数据保护手段下就形成了多重加密的安全技术。
4.4 实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5 结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1] 李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2] 关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
[3] 任戎.网络安全技术与校园网络安全解决方案刍探[J].四川文理学院学报,2008,05:43-45.