引論:我們?yōu)槟砹?3篇網(wǎng)絡(luò)安全方案范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入、干擾、破壞、竊用及其他意外事故所采取的各種必要措施,以確保信息完整、可用、無泄露,保持網(wǎng)絡(luò)穩(wěn)定、安全地運(yùn)行。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題
企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行,但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認(rèn)識不足,缺乏網(wǎng)絡(luò)安全規(guī)劃,沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]。(2)網(wǎng)絡(luò)安全意識不足。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患。(3)網(wǎng)絡(luò)安全設(shè)施不健全。無論大型企業(yè),還是中小企業(yè),都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題,以致設(shè)施陳舊、不完整,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失、泄露、竊用等現(xiàn)象。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點[4],缺乏系統(tǒng)性、協(xié)同性、靈活性,面對萬物互聯(lián)和更高級的威脅,傳統(tǒng)防護(hù)手段捉襟見肘、防不勝防[5]。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的,內(nèi)外都不會一成不變,所以企業(yè)網(wǎng)絡(luò)安全需求是一個動態(tài)過程,具有時效性。基于此,要準(zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求,必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡(luò)安全策略需求。安全策略的有效性、完整性和實用性是企業(yè)網(wǎng)絡(luò)安全的一個重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單,而且沒有形成完整的體系,對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu),負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運(yùn)行管理等。(3)網(wǎng)絡(luò)安全運(yùn)行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運(yùn)行管理體系,采用實用的運(yùn)行管理方法,對服務(wù)器安全、網(wǎng)絡(luò)訪問可控性、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計原則
網(wǎng)絡(luò)安全方案的設(shè)計原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計網(wǎng)絡(luò)安全方案,避免失于偏頗和“詞不達(dá)意”,設(shè)計原則可以有很多,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多。(2)簡單適用原則。過于復(fù)雜的方案漏洞多,本身就不安全。(3)系統(tǒng)性原則。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的,只專注于一點無法保障網(wǎng)絡(luò)安全。(4)需求、風(fēng)險與代價平衡原則。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價,所以要學(xué)會取舍,平衡風(fēng)險與代價。(5)可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊,要做到能隨時調(diào)整、升級、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則。在改善安全技術(shù)的同時也要加強(qiáng)管理,減少管理漏洞,對于復(fù)雜的安全形勢,要多做預(yù)案,提前防范突發(fā)事件。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實安全域的防護(hù)策略、制定訪問控制策略、檢查網(wǎng)絡(luò)邊界、分級防護(hù)等。從企業(yè)網(wǎng)絡(luò)安全需求及特點出發(fā),將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域、服務(wù)區(qū)域、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域,如圖1所示。互聯(lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù),服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi),便于各個安全子域內(nèi)部署相應(yīng)等級的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障,以保護(hù)內(nèi)網(wǎng)安全。安全網(wǎng)關(guān)不是單一的防火墻,而是綜合了防病毒、入侵檢測和防火墻的一體化安全設(shè)備。該設(shè)備運(yùn)用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺上,按需開啟多種功能,其由硬件、軟件、網(wǎng)絡(luò)技術(shù)組成。UTM在硬件上可以采用X86、ASIC、NP架構(gòu)中的一種,X86架構(gòu)適于百兆網(wǎng)絡(luò),若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級、維護(hù)及開發(fā)周期方面,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢。UTM軟件上可以集成防病毒、入侵檢測、內(nèi)容過濾、防垃圾郵件、流量管理等多種功能,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想,包含集中管理與單機(jī)管理的雙重管理機(jī)制,實現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫,用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進(jìn)行隔離,先于攻擊達(dá)成實現(xiàn)防護(hù),與防火墻功能上互補(bǔ),并支持串行接入模式,采用基于策略的防護(hù)方式,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示),可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程,發(fā)現(xiàn)入侵行為即報警、阻斷,同時還能精確阻擊SQL注入攻擊。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫,能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實時監(jiān)視,發(fā)現(xiàn)可疑報警或采取其他主動反應(yīng)措施,屬于監(jiān)聽設(shè)備,其安全策略包括異常入侵檢測、誤用入侵檢測兩種方式,可部署在核心交換機(jī)上,對進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測,如圖1所示。
篇2
我國關(guān)于網(wǎng)絡(luò)方面的基礎(chǔ)設(shè)施建設(shè)已經(jīng)初步成型,而網(wǎng)上進(jìn)行的各種業(yè)務(wù)也越來越多,保證網(wǎng)絡(luò)環(huán)境的安全,正常應(yīng)用網(wǎng)絡(luò)已成為各企業(yè)正常開展業(yè)務(wù)基礎(chǔ)工作。各企業(yè)只有建立起安全的網(wǎng)絡(luò)安全方案就要了解計算機(jī)用戶安全環(huán)境、現(xiàn)狀與威脅,才能按照用戶需求,進(jìn)行網(wǎng)絡(luò)安全方案的設(shè)計。網(wǎng)絡(luò)安全問題十分復(fù)雜,包括加密、防火墻及防病毒等網(wǎng)絡(luò)安全方案。
1網(wǎng)絡(luò)用戶的安全需求
1.1網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)環(huán)境包括計算機(jī)系統(tǒng)內(nèi)部與行業(yè)間互聯(lián)網(wǎng)。
1.2網(wǎng)絡(luò)安全現(xiàn)狀
(1)計算機(jī)系統(tǒng)在企業(yè)內(nèi)部通信、行業(yè)間通信,都缺少安全防護(hù)的措施,僅有部分單位對路由器設(shè)計了 過濾防火墻。
(2)計算機(jī)操作系統(tǒng)一般為UNIX和Windows NT,而桌面的操作系統(tǒng)都是Windows XP或者Win7,都沒有設(shè)置安全保護(hù)的措施。
(3)計算機(jī)系統(tǒng)訪問的控制能力不強(qiáng),只能對現(xiàn)有操作、數(shù)據(jù)庫、電子郵件及應(yīng)用方面的系統(tǒng)進(jìn)行簡單的利用。
(4)計算機(jī)的應(yīng)用環(huán)境沒有防病毒的能力,尤其在病毒數(shù)據(jù)庫更新上滯后。
(5)對病毒的內(nèi)部或者外部的攻擊,沒有基本監(jiān)控和保護(hù)的手段。
1.3網(wǎng)絡(luò)安全的威脅
對計算機(jī)網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)進(jìn)行分析,可以發(fā)現(xiàn),計算機(jī)網(wǎng)絡(luò)安全的威脅主要有以下幾個方面:
(1)UNIX和WindowsNT等類別的操作系統(tǒng)有網(wǎng)絡(luò)安全上的漏洞。
(2)企業(yè)內(nèi)部網(wǎng)的用戶帶來的安全威脅。
(3)企業(yè)外部的用戶帶來的安全威脅。
(4)應(yīng)用了TCP/IP協(xié)議軟件,不具備安全性。
(5)缺少對應(yīng)用服務(wù)的訪問控制,就要解決網(wǎng)絡(luò)中的安全隱患,才能保障網(wǎng)絡(luò)和信息安全。
2網(wǎng)絡(luò)方案的設(shè)計思想和原則
2.1網(wǎng)絡(luò)方案的設(shè)計思想
網(wǎng)絡(luò)安全是十分復(fù)雜的問題,一定要考慮到安全的層次和技術(shù)的難度,充分考慮費(fèi)用的支出,所以,進(jìn)行方案的設(shè)計時一定要遵循一定的設(shè)計思想,主要有幾下幾點:
(1)提高計算機(jī)系統(tǒng)安全性與保密性。
(2)保證網(wǎng)絡(luò)性能特點,也就是保證網(wǎng)絡(luò)協(xié)議與傳輸?shù)耐该餍浴?/p>
(3)網(wǎng)絡(luò)安全設(shè)計要易操作,易維護(hù),要易于開展自動化的管理,不能過多過少增加一些附加的操作。
(4)在不影響網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)時,擴(kuò)展計算機(jī)系統(tǒng)的結(jié)構(gòu)和功能。
(5)設(shè)計要做到一次投資,長期使用。
2.2網(wǎng)絡(luò)方案的設(shè)計原則
(1)遵循需求、風(fēng)險和代價平衡原則,對網(wǎng)絡(luò)進(jìn)行研究,對風(fēng)險進(jìn)行承擔(dān),經(jīng)過分析和研究,制定規(guī)范與措施。
(2)遵循綜合與整體的原則,將網(wǎng)絡(luò)安全模塊與設(shè)備引進(jìn)系統(tǒng)的運(yùn)行與管理中,提高系統(tǒng)安全性和各部分間邏輯的關(guān)聯(lián)性,保證協(xié)調(diào)一致運(yùn)行。
(3)遵循可用性和無縫接入的原則。所有安全措施都要靠人來完成,如果設(shè)計太復(fù)雜,就會對人有過高要求。安全設(shè)備在安裝和運(yùn)行中,不能改變網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu),要保持對網(wǎng)絡(luò)內(nèi)用戶的透明性。
(4)遵循設(shè)備先進(jìn)和成熟,可管理和擴(kuò)展。在安全設(shè)備選擇上,要先考慮到先進(jìn)性,研究成熟性,選擇技術(shù)與性能優(yōu)越的設(shè)備,可靠和適用的設(shè)備。保持網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理和控制,實現(xiàn)網(wǎng)上對設(shè)備運(yùn)行的監(jiān)控。
3計算機(jī)網(wǎng)絡(luò)安全方案
根據(jù)以上設(shè)備思想和原則,進(jìn)行計算機(jī)網(wǎng)絡(luò)安全方案的研究,方案使用的技術(shù)和設(shè)備、措施主要有以下幾點:
3.1 VLAN的技術(shù)
要保證企業(yè)局域網(wǎng)安全,就要選擇VLAN能力交換機(jī)的設(shè)備,通過用戶群組與系統(tǒng)資源完成訪問權(quán)限的劃分。可以控制各VLAN間信息的流向,方便各群組對相關(guān)信息的訪問。
3.2加密的技術(shù)
可以使用公共網(wǎng)進(jìn)行數(shù)據(jù)的傳輸。廣域網(wǎng)進(jìn)行信息傳輸很容易被黑客截取與利用,所以,要保證信息傳輸安全,就要在內(nèi)聯(lián)網(wǎng)系統(tǒng)中使用鏈路加密機(jī),進(jìn)行傳輸信息的加密處理,對運(yùn)行在互聯(lián)網(wǎng)上關(guān)鍵的業(yè)務(wù)也要進(jìn)行加密的算法進(jìn)行數(shù)據(jù)加密。
3.3防火墻
從網(wǎng)絡(luò)系統(tǒng)安全考慮,可以在內(nèi)聯(lián)網(wǎng)和同行業(yè)進(jìn)行網(wǎng)絡(luò)互聯(lián),在網(wǎng)上布置防火墻,而防火墻的網(wǎng)絡(luò)入口點也要檢查好網(wǎng)絡(luò)通訊情況,對非法入侵要屏蔽處理。
3.4對入侵的檢測系統(tǒng)
通過防火墻技術(shù),對內(nèi)外網(wǎng)進(jìn)行網(wǎng)絡(luò)保護(hù),減少網(wǎng)絡(luò)的安全風(fēng)險。可是,入侵會尋找防火墻的后門。近年來,推出了入侵的檢測系統(tǒng),這是一種新型的網(wǎng)絡(luò)安全技術(shù),可以實時進(jìn)行入侵的檢測,應(yīng)用防護(hù)的手段,對待入侵,可以快速斷開網(wǎng)絡(luò)的連接。
3.5安全掃描系統(tǒng)
安全掃描系統(tǒng)在階段已經(jīng)是最先進(jìn)的安全系統(tǒng),可以測試與評價系統(tǒng)是否安全,及時發(fā)現(xiàn)安全漏洞。可以掃描設(shè)定網(wǎng)絡(luò)服務(wù)器和路由器等,設(shè)定模擬的攻擊,測試系統(tǒng)防御的能力。
3.6提高操作系統(tǒng)安全性
操作系統(tǒng)會存在安全漏洞,越是流行操作系統(tǒng)就存在越多的問題,可以進(jìn)行安全增強(qiáng)與合理配置,具體增強(qiáng)與配置的內(nèi)容有以下幾點:
(1)可以跟蹤系統(tǒng)的應(yīng)用動態(tài),增加安全補(bǔ)丁。
(2)可以檢查系統(tǒng)的設(shè)置,對數(shù)據(jù)存放的方式和訪問的控制及口令的選擇都要及時更新。
篇3
1.校園網(wǎng)網(wǎng)絡(luò)安全問題分析
1.1操作系統(tǒng)的漏洞
當(dāng)前大多數(shù)學(xué)校的校園網(wǎng)都是采用windows操作系統(tǒng),這就加大了安全的漏洞,服務(wù)器以及個人PC內(nèi)部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導(dǎo)致這些漏洞被人發(fā)現(xiàn)并利用,極大的破壞了網(wǎng)絡(luò)系統(tǒng)的運(yùn)行,給校園網(wǎng)絡(luò)的安全帶來不利的影響。
1.2網(wǎng)絡(luò)病毒的破壞
網(wǎng)絡(luò)病毒是校園網(wǎng)絡(luò)安全中最為常見的問題,其能夠使校園網(wǎng)網(wǎng)絡(luò)的性能變得較為低下,減慢了上網(wǎng)的速度,使計算機(jī)軟件出現(xiàn)安全隱患,對其中的重要數(shù)據(jù)帶來破壞,嚴(yán)重的情況下還會造成計算機(jī)的網(wǎng)絡(luò)系統(tǒng)癱瘓。
1.3來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為
校園網(wǎng)只有連接到互聯(lián)網(wǎng)上,才能實現(xiàn)與外界的聯(lián)系,使校園網(wǎng)發(fā)揮出重要的作用。但是,校園網(wǎng)在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯(lián)網(wǎng)內(nèi)部的服務(wù)器以及數(shù)據(jù)庫帶來不利的影響,使一些重要的數(shù)據(jù)遭到破壞,給電腦系統(tǒng)造成極大的危害。
1.4來自校園網(wǎng)內(nèi)部的攻擊和破壞
由于大多數(shù)高校都開設(shè)了計算機(jī)專業(yè),一些學(xué)生在進(jìn)行實驗操作的時候,由于缺乏專業(yè)知識,出于對網(wǎng)絡(luò)的興趣,不經(jīng)意間會使用一些網(wǎng)絡(luò)攻擊工具進(jìn)行測試,這就給校園網(wǎng)絡(luò)系統(tǒng)帶來一定的安全威脅。
2.校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計思路
2.1根據(jù)安全需求劃分相關(guān)區(qū)域
當(dāng)前高校校園網(wǎng)都沒有重視到安全的問題,一般都是根據(jù)網(wǎng)絡(luò)互通需要為中心進(jìn)行設(shè)計的。以安全為中心的設(shè)計思路能夠更好的實現(xiàn)校園網(wǎng)的安全性。將校園網(wǎng)絡(luò)分為不同的安全區(qū)域,并對各個區(qū)域進(jìn)行安全設(shè)置。其中可以對高校校園網(wǎng)網(wǎng)絡(luò)安全的互聯(lián)網(wǎng)服務(wù)區(qū)、廣域網(wǎng)分區(qū)、遠(yuǎn)程接入?yún)^(qū)、數(shù)據(jù)中心區(qū)等進(jìn)行不同的安全區(qū)域。
2.2用防火墻隔離各安全區(qū)域
通過防火墻設(shè)備對各安全區(qū)域進(jìn)行隔離,同時防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全區(qū)域之間信息的出入口,配置不同的安全策略監(jiān)督和控制出入網(wǎng)絡(luò)的數(shù)據(jù)流,防火墻本身具有一定的抗攻擊能力。防火墻把網(wǎng)絡(luò)隔離成兩個區(qū)域,分別為受信任的區(qū)域和不被信任的區(qū)域,其中對信任的區(qū)域?qū)ζ溥M(jìn)行安全策略的保護(hù),設(shè)置有效的安全保護(hù)措施,防火墻在接入的網(wǎng)絡(luò)間實現(xiàn)接入訪問控制。
3.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計
3.1主干網(wǎng)設(shè)計主干網(wǎng)可采用三層網(wǎng)絡(luò)構(gòu)架,將原本較為復(fù)雜的網(wǎng)絡(luò)設(shè)計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。
3.2安全技術(shù)的應(yīng)用3.2.1VLAN技術(shù)的應(yīng)用。虛擬網(wǎng)是一項廣泛使用的基礎(chǔ),將其應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中,能夠有效的實現(xiàn)虛擬網(wǎng)的劃分,形成一個邏輯網(wǎng)絡(luò)。使用這些技術(shù),能夠優(yōu)化校園網(wǎng)網(wǎng)絡(luò)的設(shè)計、管理以及維護(hù)。
3.2.2ACL技術(shù)的應(yīng)用。這項技術(shù)不僅具有合理配置的功能,而且還有交換機(jī)支持的訪問控制列表功能。應(yīng)用于校園網(wǎng)絡(luò)當(dāng)中,能夠合理的限制網(wǎng)絡(luò)非法流量,從而實現(xiàn)訪問控制。
3.3防火墻的使用防火墻是建立在兩個不同網(wǎng)絡(luò)的基礎(chǔ)之間,首先對其設(shè)置安全規(guī)則,決定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否允許通過,并對網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)視,使得內(nèi)部的結(jié)構(gòu)與運(yùn)行狀況都對外屏蔽,從而達(dá)到內(nèi)部網(wǎng)絡(luò)的安全防護(hù)【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內(nèi)、外網(wǎng)絡(luò)、對外服務(wù)器網(wǎng)絡(luò)實行分區(qū)域隔離,從而達(dá)到與外網(wǎng)相互隔離。二是防火墻能夠?qū)ν夥?wù)器、網(wǎng)絡(luò)上的主機(jī)隔離在一個區(qū)域內(nèi),并對其進(jìn)行安全防護(hù),以此提升網(wǎng)絡(luò)系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權(quán)限,有效杜絕非法用戶的訪問。四是防火墻能夠?qū)崿F(xiàn)對訪問服務(wù)器的請求控制,一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務(wù)器上具有審計記錄,有助于完善審計體系。
4.結(jié)語
總而言之,校園網(wǎng)絡(luò)的安全是各大院校所關(guān)注的問題,當(dāng)前校園網(wǎng)網(wǎng)絡(luò)安全的主要問題有操作系統(tǒng)的漏洞、網(wǎng)絡(luò)病毒的破壞、來自外部網(wǎng)絡(luò)的入侵和攻擊等惡意破壞行為、來自校園網(wǎng)內(nèi)部的攻擊和破壞等【4】。要想保障校園網(wǎng)網(wǎng)絡(luò)的安全性,在校園網(wǎng)網(wǎng)絡(luò)安全的設(shè)計方面,應(yīng)當(dāng)根據(jù)安全需求劃分相關(guān)區(qū)域,用防火墻隔離各安全區(qū)域。設(shè)計一個安全的校園網(wǎng)絡(luò)方案,將重點放在主干網(wǎng)設(shè)計、安全技術(shù)的應(yīng)用以及防火墻的使用上,不斷更新與改進(jìn)校園網(wǎng)絡(luò)安全技術(shù),從而提升校園網(wǎng)的安全性。
作者:金茂 單位:杭州技師學(xué)院
參考文獻(xiàn):
[1]余思東,黃欣.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計[J]軟件導(dǎo)刊,2012,06:138-139
篇4
信息網(wǎng)絡(luò)技術(shù)以其方便快捷,資源共享以及工作效率高受到人們的青睞,日益深入人們的生活,為人們的生活帶來了的巨大的改變。任何事物的發(fā)展有其有利的一面就有其不利的一面,信息化的不斷發(fā)展使得網(wǎng)絡(luò)安全問題逐漸進(jìn)入到人們的視野。網(wǎng)絡(luò)病毒,網(wǎng)絡(luò)黑客等隨時都會出現(xiàn)在某一臺電腦中竊取重要信息或損毀重要文件。
1 計算機(jī)網(wǎng)絡(luò)安全的問題及建設(shè)意義
1.1計算機(jī)網(wǎng)絡(luò)安全的問題
一是網(wǎng)絡(luò)病毒的肆虐,一些組織或個人因為某種目的,而在網(wǎng)絡(luò)上散播病毒,企圖竊取他人重要信息或損毀重要文件,對他人的財產(chǎn)安全造成威脅。網(wǎng)絡(luò)病毒也在不斷的升級中,讓人們防不勝防,成為保證網(wǎng)絡(luò)安全的一大阻力;二是網(wǎng)絡(luò)黑客的威脅,網(wǎng)絡(luò)信息的開放性,自由性和國際化為網(wǎng)絡(luò)黑客的侵入提供了方便,讓人們對信息化帶來的方便感到高興時也為其脆弱性感到擔(dān)憂。網(wǎng)絡(luò)安全系統(tǒng)存在較多漏洞,對于漏洞的發(fā)現(xiàn)與修補(bǔ)不及時便會給黑客以可乘之機(jī);三是信息安全保障工作較為薄弱,在對病毒的安全檢測中,由于受到技術(shù)水平的限制,對很多病毒無法檢測,而使得人們在以為安全的情況下受到病毒的危害。提高應(yīng)對網(wǎng)絡(luò)病毒與黑客入侵的技術(shù),建立更強(qiáng)的安全保護(hù)屏障顯得尤為重要。
1.2計算機(jī)網(wǎng)絡(luò)安全的建設(shè)意義
網(wǎng)絡(luò)安全是保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)的保密性,完整性和可用性,避免被惡意損壞造成不必要的損失。但由于計算機(jī)網(wǎng)絡(luò)的多變性、復(fù)雜性以及信息資源的脆弱性,使得在保護(hù)網(wǎng)絡(luò)安全時更為困難。網(wǎng)絡(luò)安全一般由四部分組成,一是運(yùn)行系統(tǒng)的安全,即保證系統(tǒng)的正常運(yùn)行,避免因為系統(tǒng)自身問題造成信息輸入、存儲或傳輸出現(xiàn)問題;二是系統(tǒng)信息的安全,對信息進(jìn)行各種安全防護(hù),加密保護(hù),訪問權(quán)限設(shè)置等以確保不被泄露;三是信息傳播的安全,對某些攜帶病毒的信息進(jìn)行刪除過濾,在信息傳輸時加強(qiáng)對信息安全的保護(hù),避免被惡意軟件捆綁,攜帶病毒;四是信息內(nèi)容的安全,以保護(hù)信息的保密性,真實性和完整性為主,避免被入侵著竊取或損毀。
只有解決網(wǎng)絡(luò)信息安全問題才能促進(jìn)信息化的進(jìn)一步發(fā)展,推動人類社會的巨大進(jìn)步。因此,提高網(wǎng)絡(luò)安全建設(shè)為社會發(fā)展進(jìn)步提供便利。
2 計算機(jī)網(wǎng)絡(luò)安全方案
2.1病毒防護(hù)及身份鑒別
隨著計算機(jī)技術(shù)的不斷發(fā)展進(jìn)步,病毒技術(shù)跟隨時代的步伐也在不斷發(fā)展壯大。必須進(jìn)行全方位的病毒查殺,提高殺毒軟件的辨識能力,阻斷病毒侵入電腦的一切可能,阻斷病毒進(jìn)入電腦的途徑便可大大降低病毒帶來的危害。在科技快速發(fā)展的帶領(lǐng)下,病毒的更新升級也在快速提高,因此防病毒系統(tǒng)的更新周期也應(yīng)該較短。提高人們對病毒的防護(hù)意識,對一些來路不明的郵件,信息等及時刪除,在下載文件時選擇有安全保障的網(wǎng)站進(jìn)行下載,讓病毒無法進(jìn)入電腦,降低病毒對電腦的危害。對于機(jī)密性要求較高的信息,從其接收到傳輸都要有每一個人的身份驗證,只有有授權(quán)的人才可以接觸和看到這些信息,才不會被其他人從中竊取泄露機(jī)密。
2.2入侵檢測系統(tǒng)及防火墻升級
對于入侵檢測系統(tǒng)及防火墻都是人們根據(jù)病毒及黑客的入侵方式進(jìn)行編程設(shè)計出來的軟件,這些軟件只能根據(jù)編程設(shè)計運(yùn)行,很容易被黑客找到漏洞入侵,不斷加強(qiáng)對入侵檢測系統(tǒng)及防火墻的升級,對自身漏洞的修補(bǔ),在諸多防護(hù)軟件的配合下,實現(xiàn)多重防護(hù),構(gòu)建一個安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。開發(fā)新型防護(hù)軟件,加強(qiáng)對病毒及黑客的追蹤,一旦發(fā)現(xiàn)散播病毒之人加以嚴(yán)懲,從根源上減少病毒散播。
2.3提高安全管理制度
計算機(jī)網(wǎng)絡(luò)發(fā)展較為迅速,以前的管理體制早已不再適用,只有根據(jù)現(xiàn)代實際情況制定新的管理制度,應(yīng)用新的管理技術(shù),才能保障網(wǎng)絡(luò)安全。完善相關(guān)法律制度,加大對黑客及散播網(wǎng)絡(luò)病毒的人的懲罰力度。不斷加強(qiáng)對追蹤軟件的開發(fā)升級,加大對散播病毒人的追蹤,減少散播病毒的人數(shù),也是保障網(wǎng)絡(luò)安全的重要環(huán)節(jié)。制定一些個人安全防護(hù)措施,在網(wǎng)絡(luò)中加以宣傳,加強(qiáng)人們在日常應(yīng)用中的防護(hù)水平,在遇到不同情況時可以有很好的應(yīng)對措施,減少不必要的損失。
2.4實體安全防護(hù)
在實際生活中,網(wǎng)絡(luò)危害對電腦的威脅最大,但損壞電腦、網(wǎng)絡(luò)設(shè)施及其他多媒體資料的事故,例如,地震、水災(zāi)以及火災(zāi)等災(zāi)害也會造成數(shù)據(jù)的丟失和損壞,造成無法挽回的損失。現(xiàn)代人們都在使用電腦,但對于如何正確使用與保護(hù)電腦卻知之甚少,加強(qiáng)人們對正確使用電腦的意識,宣傳正確使用電腦的方法,可提高電腦的使用壽命,同時也可避免因錯誤使用造成的數(shù)據(jù)丟失等情況。因此,加強(qiáng)對這些基礎(chǔ)設(shè)施的保護(hù),增強(qiáng)正確使用電腦的常識,是對網(wǎng)絡(luò)正常運(yùn)行的基本保障。
3 總結(jié)
在科技迅猛發(fā)展的現(xiàn)代,人們對信息安全也越來越重視,國家與企業(yè)對信息安全有了更高的要求。如何更好的保護(hù)信息與網(wǎng)絡(luò)的安全,成為人們努力的目標(biāo)。但計算機(jī)網(wǎng)絡(luò)安全是一段漫長而艱難的路,并不是用用檢測及殺毒軟件就可以做到的,它需要每個人的共同努力,設(shè)計完善一個網(wǎng)絡(luò)防護(hù)措施,全方位的保護(hù)網(wǎng)絡(luò)安全,才能為大家提供一個安全綠色的網(wǎng)絡(luò)環(huán)境。提高人們的個人修養(yǎng)及正確的價值觀,從根源上減少散播病毒及黑客人數(shù)。
參考文獻(xiàn)
篇5
Computer Network Security Solutions to Achieve the Path Analysis
Zhao Xin1,Lu Yihong2
(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)
Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.
Keywords:Computer;Network;Security measures
一、計算機(jī)網(wǎng)絡(luò)安全的定義
計算機(jī)網(wǎng)絡(luò)安全指的是網(wǎng)絡(luò)系統(tǒng)中的硬件與軟件及其數(shù)據(jù)受到保護(hù),而不會出現(xiàn)數(shù)據(jù)與信息的泄露、破壞或更改。簡單來講,計算機(jī)網(wǎng)絡(luò)安全就是信息安全。信息安全包括信息的可靠性、保密性、真實性、完整性以及可用性。
互聯(lián)網(wǎng)自從20世紀(jì)60年代開始運(yùn)用后,計算機(jī)網(wǎng)絡(luò)開始迅速發(fā)展起來。隨著網(wǎng)絡(luò)上信息量的增長,網(wǎng)絡(luò)信息安全問題也頻繁出現(xiàn)。這些問題不僅危害著個人的生活,甚至?xí)绊懙焦镜倪\(yùn)營進(jìn)程。所以維護(hù)計算機(jī)網(wǎng)絡(luò)安全至關(guān)重要。
二、計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀
第一,網(wǎng)絡(luò)安全問題的出現(xiàn)與計算機(jī)操作者本身是密不可分的。雖然目前很多計算機(jī)安全工具的出現(xiàn)預(yù)防了一些安全問題的發(fā)生。但是網(wǎng)絡(luò)安全問題的最終結(jié)果在很大程度上取決于計算機(jī)的操作者。如果操作者運(yùn)用了不正當(dāng)?shù)氖侄芜M(jìn)行網(wǎng)絡(luò)操作,或者進(jìn)入了不健康網(wǎng)站瀏覽了不健康內(nèi)容,就會導(dǎo)致個人信息的泄露,產(chǎn)生和增加網(wǎng)絡(luò)不安全因素。第二,網(wǎng)絡(luò)程序的設(shè)計往往會有漏洞,沒有一個沒有漏洞的程序。所以網(wǎng)絡(luò)黑客就會抓住機(jī)會,利用程序中出現(xiàn)的漏洞,對其他正常程序進(jìn)行攻擊。最重要的是這種黑客采用的程序漏洞一般都不留痕跡,無法查證安全威脅發(fā)生的原因。第三,網(wǎng)絡(luò)安全工具的更新速度遠(yuǎn)遠(yuǎn)跟不上黑客攻擊正常程序的手段的發(fā)明和使用。通常只有在人為的參與下,才能發(fā)現(xiàn)和檢測出病毒的存在。在沒有檢查和檢測的前提下,這種病毒就不會被察覺出來,隱藏于電腦的程序中。但是往往一些病毒在發(fā)現(xiàn)之時就已經(jīng)出現(xiàn)了計算機(jī)網(wǎng)絡(luò)安全問題。在這段計算機(jī)的“遲鈍期”內(nèi),黑客就很容易有機(jī)可乘,進(jìn)而能夠使用最先進(jìn)的、最新的手段對正常的程序進(jìn)行攻擊。第四,防火墻功能的局限性也會導(dǎo)致網(wǎng)絡(luò)安全威脅的出現(xiàn)。因為防火墻可以通過限制外部的網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問,隱蔽內(nèi)部結(jié)構(gòu),從而達(dá)到保護(hù)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的目的。但是防火墻卻無法阻止計算機(jī)網(wǎng)絡(luò)內(nèi)部之間的攻擊和破壞。而且防火墻很難預(yù)防那些從網(wǎng)絡(luò)系統(tǒng)的后門進(jìn)入的病毒。技術(shù)上的缺陷,使得網(wǎng)絡(luò)安全問題不斷出現(xiàn)新的、更高級的安全、隱患問題。
三、計算機(jī)網(wǎng)絡(luò)安全保障方案的制定與實施
(一)從國家和政府的角度去制定相關(guān)的政策法規(guī),用法律的強(qiáng)制力去保證計算機(jī)網(wǎng)絡(luò)的安全。加大對網(wǎng)絡(luò)安全危害行為的懲罰力度,制定相應(yīng)的具體的處罰措施。嚴(yán)厲懲治危害網(wǎng)絡(luò)安全,盜取別人信息的違法行為,減少網(wǎng)絡(luò)安全危害行為的發(fā)生。發(fā)揮政府的監(jiān)督作用和強(qiáng)制作用,將維護(hù)計算機(jī)網(wǎng)絡(luò)安全提上日常日程。建立和完善相關(guān)的法律法規(guī)之后就對網(wǎng)絡(luò)安全危害行為造成一定的威懾力,將危害網(wǎng)絡(luò)安全的行為扼殺在搖籃中。(二)加大網(wǎng)絡(luò)安全危害行為的宣傳力度,增強(qiáng)每個網(wǎng)民的網(wǎng)絡(luò)安全意識。通過報紙、電視、網(wǎng)絡(luò)以及廣報等各種形式的宣傳,讓廣大網(wǎng)民意識到網(wǎng)絡(luò)安全問題的重要性。同時學(xué)習(xí)安全上網(wǎng)和文明上網(wǎng),保證網(wǎng)絡(luò)信息的安全。加強(qiáng)網(wǎng)絡(luò)安全維護(hù)意識,有利于保護(hù)網(wǎng)民的隱私。當(dāng)網(wǎng)絡(luò)信息安全意識深入到每個網(wǎng)民的內(nèi)心,維護(hù)網(wǎng)絡(luò)安全的行為就會在潛意識里面發(fā)生。每個人都加強(qiáng)了安全防范意識,同時進(jìn)行文明上網(wǎng)、健康上網(wǎng)。(三)從計算機(jī)的操作技術(shù)上進(jìn)行防范網(wǎng)絡(luò)安全威脅的發(fā)生。對計算機(jī)的系統(tǒng)軟件、應(yīng)用軟件以及硬件進(jìn)行及時的更新和升級,增強(qiáng)系統(tǒng)對病毒的抵抗力。計算機(jī)用戶要進(jìn)行正確的開機(jī)、關(guān)機(jī)以及上網(wǎng)行為,注意保護(hù)電腦上的軟件以及硬件設(shè)施。(四)提高防火墻技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、加密技術(shù)和入侵檢測技術(shù),加強(qiáng)訪問控制,將病毒拒絕于門外。不斷進(jìn)行專業(yè)的研究和分析,更新和升級各項技術(shù),減少病毒的入侵幾率。定期運(yùn)用這些技術(shù)隊電腦進(jìn)行掃描和檢測,對個人電腦設(shè)置加密技術(shù),只有制定的用戶和指導(dǎo)密碼的用戶才可以進(jìn)行解密進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)。(五)要注意IP地址的正確使用,避免被黑客鉆漏洞。
四、結(jié)語
在網(wǎng)絡(luò)安全問題日益得到重視的今天,網(wǎng)絡(luò)安全技術(shù)隨著國家以及專業(yè)人士的重視也得到了快速的發(fā)展和進(jìn)步。但是,由于我國的信息安全產(chǎn)品制作方面缺少核心技術(shù),真正能夠解決深層次的網(wǎng)絡(luò)安全問題的技術(shù)卻很少。所以,國家首先要重視發(fā)展網(wǎng)絡(luò)信息安全產(chǎn)業(yè),在政策上給予支持。最重要的還是每位網(wǎng)民,因為接觸計算機(jī)、運(yùn)用各種軟件以及系統(tǒng)的人的上網(wǎng)行為往往是病毒的準(zhǔn)入證。只要每個網(wǎng)民都進(jìn)行健康上網(wǎng)、文明上網(wǎng),網(wǎng)絡(luò)安全就能實現(xiàn)。
參考文獻(xiàn):
[1]彭秀芬,徐寧.計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,12
篇6
電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在電力系統(tǒng)的運(yùn)行中起到不可忽視的重要作用,良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)環(huán)境有效保證電網(wǎng)經(jīng)濟(jì)、安全、可靠、穩(wěn)定的運(yùn)行,為電力系統(tǒng)中的電力生產(chǎn)、燃料調(diào)度、水庫調(diào)度以及電網(wǎng)調(diào)度自動化、繼電保護(hù)等提供了便捷的通信條件,它為電力企業(yè)的生產(chǎn)與管理提供了良好保障。為了滿足基于虛擬專用網(wǎng)的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性需求,相關(guān)技術(shù)人員要不斷在實際工作中總結(jié)經(jīng)驗,設(shè)計出合理、科學(xué)的安全方案,以保證電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)更好地服務(wù)于企業(yè),為企業(yè)帶來更多的經(jīng)濟(jì)效益。
1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)的必要性
隨著經(jīng)濟(jì)社會的快速發(fā)展,各種現(xiàn)代化管理方式應(yīng)運(yùn)而生,電網(wǎng)管理方式的創(chuàng)新與管理水平的提高,帶動了電力調(diào)度業(yè)務(wù)的發(fā)展,良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)能夠有效保障電網(wǎng)系統(tǒng)的安全性與經(jīng)濟(jì)性,確保電網(wǎng)運(yùn)行的穩(wěn)定性。目前我國電力調(diào)度數(shù)據(jù)業(yè)務(wù)還局限在傳統(tǒng)模式上,運(yùn)用的是傳統(tǒng)的數(shù)字專線模式,這種傳統(tǒng)電力調(diào)度數(shù)據(jù)模式使信息共享受到阻礙,造成了通信資源的浪費(fèi),隨著各種高科技產(chǎn)品的生產(chǎn),各種電力調(diào)度業(yè)務(wù)不斷上線,對電網(wǎng)通道資源與數(shù)據(jù)共享的需求也逐漸增高。只有建設(shè)良好的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),才能保證電力系統(tǒng)的經(jīng)濟(jì)性與安全性。
1.1電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是自動化系統(tǒng)發(fā)展的需要
人們在經(jīng)營各種生產(chǎn)生活等的活動中,都離不開電網(wǎng)的支持,為了更好地適應(yīng)電網(wǎng)的發(fā)展需求,調(diào)度自動化系統(tǒng)在其功能上得到不斷的改進(jìn)和完善,除了安全自動裝置、繼電保護(hù)以及傳統(tǒng)的調(diào)度自動化系統(tǒng)之外,一些現(xiàn)代化的系統(tǒng)諸如配網(wǎng)自動化系統(tǒng)、電能量計量系統(tǒng)、無人值班變電站監(jiān)控設(shè)備等逐漸應(yīng)用到電網(wǎng)系統(tǒng)中,這些新型系統(tǒng)設(shè)備的有效運(yùn)用,使得信息傳輸容量得到了很大的提高。由于信息傳輸容量的增加,各個調(diào)度系統(tǒng)之間要進(jìn)行更多的信息共享與數(shù)據(jù)轉(zhuǎn)換,這就對通信網(wǎng)絡(luò)的要求越來越高,傳統(tǒng)的通信網(wǎng)絡(luò)在傳統(tǒng)實時數(shù)據(jù)時其數(shù)量和質(zhì)量都受到了很大的局限,不能夠再適應(yīng)現(xiàn)代電網(wǎng)自動化應(yīng)用系統(tǒng)的需求。建立安全的基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),在一些地區(qū)已經(jīng)得到運(yùn)用,其運(yùn)行情況很好,對信息數(shù)據(jù)的傳輸速率與質(zhì)量都有了明顯的提高,有效保證了自動化應(yīng)用系統(tǒng)的發(fā)展需求。建立一個基于VPN的電力調(diào)度數(shù)據(jù)安全網(wǎng)絡(luò),能夠有效提高電網(wǎng)運(yùn)行的信息共享程度、傳輸速率,滿足電網(wǎng)自動化系統(tǒng)發(fā)展的需求。
1.2電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)是提高實時數(shù)據(jù)傳輸可靠性的需要
目前我國一些電力系統(tǒng)變電站的實時監(jiān)控信息采用的是模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)相結(jié)合的通信方式,每臺終端設(shè)備和地調(diào)之間要獨(dú)自單用一條或者是兩條專用的數(shù)據(jù)通道。這種采用模擬和數(shù)字專線通道與地調(diào)調(diào)度自動化系統(tǒng)進(jìn)行通信的模式在通信傳輸時速率普遍較低,傳輸?shù)男盘枙艿酵ǖ垒^大的干擾,傳輸?shù)臄?shù)據(jù)不穩(wěn)定,也沒有網(wǎng)絡(luò)層間的保護(hù)系統(tǒng),如果數(shù)據(jù)通道出現(xiàn)故障,那么數(shù)據(jù)信息就會立即丟失并且不能夠進(jìn)行數(shù)據(jù)的恢復(fù),這種點對點的傳輸方式需要在主站端設(shè)置較多的接口設(shè)備,由于操作配置的復(fù)雜性,使其在后期維護(hù)時工作量增大。建立電力調(diào)度數(shù)據(jù)網(wǎng),能夠?qū)崿F(xiàn)調(diào)度生產(chǎn)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)性模式,通過直接上網(wǎng)的方式來進(jìn)行數(shù)據(jù)交換,有效的提高了信息傳輸?shù)目煽啃浴;赩PN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的建設(shè),能夠保證信息數(shù)據(jù)傳輸?shù)目煽啃裕粫驗橥ǖ莱霈F(xiàn)故障而導(dǎo)致數(shù)據(jù)丟失的情況,主站端不必要設(shè)置大量的終端設(shè)備,方便了工作人員進(jìn)行設(shè)備維護(hù)。
2基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案
基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案在設(shè)計時要遵循經(jīng)濟(jì)性、流量優(yōu)化、擴(kuò)展性、節(jié)點可靠性以及拓?fù)淇煽啃缘鹊脑瓌t。設(shè)計電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案時,在充分確保電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的暢通性和可靠性的前提下,最大限度的減少網(wǎng)絡(luò)電路的數(shù)量、網(wǎng)絡(luò)電路的總里程以及寬帶,以此來盡量減小網(wǎng)絡(luò)的運(yùn)行費(fèi)用,為企業(yè)帶來更多的經(jīng)濟(jì)效益。根據(jù)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的流量以及流向,在設(shè)置電路和寬帶時要保證其合理性配置,均勻的將網(wǎng)絡(luò)流量分布開來,保證各個電路寬帶均能充分的利用網(wǎng)絡(luò)流量,避免使網(wǎng)絡(luò)帶寬達(dá)到瓶頸,影響電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全性。進(jìn)行主干網(wǎng)絡(luò)的拓?fù)湓O(shè)計時,要充分遵循N-1的設(shè)備可靠性和電路可靠性原則,增加、修改或者減少網(wǎng)絡(luò)電路和節(jié)點時,要保證網(wǎng)絡(luò)的總體拓?fù)洳皇艿接绊憽T谠O(shè)置網(wǎng)絡(luò)中各個骨干、核心的節(jié)點時,要采用雙設(shè)備配置,根據(jù)實際情況需求,進(jìn)行設(shè)備的風(fēng)扇、引擎以及電源燈冗余設(shè)計,注意電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的熱插撥等特性。
在網(wǎng)絡(luò)設(shè)計中包括電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的核心層、匯聚層以及接入層三層的設(shè)計。在核心層中進(jìn)行核心路由器和核心層交換機(jī)的聯(lián)通性時,要注意保證核心層交換機(jī)的業(yè)務(wù)服務(wù)器在傳輸數(shù)據(jù)時具有不間斷性,順暢地發(fā)送到核心層路由器,再由核心層路由器再次轉(zhuǎn)發(fā)數(shù)據(jù)。核心層交換機(jī)要具備全局的地址,能夠保證網(wǎng)管服務(wù)器的正常訪問。核心層與匯聚層進(jìn)行具體網(wǎng)絡(luò)的聯(lián)通時,要注意核心層交換機(jī)下聯(lián)的網(wǎng)絡(luò)管理服務(wù)器可以正常的對匯聚層的設(shè)備進(jìn)行訪問,下聯(lián)的業(yè)務(wù)服務(wù)器能夠順利的連接匯聚層的業(yè)務(wù)地址并進(jìn)行正常訪問。即使發(fā)生部分線路中斷的情況,匯聚層的各個業(yè)務(wù)地址仍然可以在冗余的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中進(jìn)行數(shù)據(jù)的傳輸,或者是通過高可靠性的路由協(xié)議來完成數(shù)據(jù)的上傳,保證業(yè)務(wù)或者網(wǎng)管服務(wù)器正常接收數(shù)據(jù)。此外還應(yīng)當(dāng)注意匯聚層的不同站點業(yè)務(wù)地址不需要進(jìn)行互通。電力調(diào)度數(shù)據(jù)網(wǎng)的核心層和骨干層的數(shù)據(jù)處理能力較強(qiáng),因此在設(shè)計方案中將仿真分析集中于接入層。對于電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的接入層設(shè)計,應(yīng)當(dāng)保證接入層中的業(yè)務(wù)流量可以進(jìn)行不間斷的數(shù)據(jù)發(fā)送,接入層中的業(yè)務(wù)終端可以與核心層的業(yè)務(wù)服務(wù)器進(jìn)行正常互通,接入層的網(wǎng)絡(luò)設(shè)備可以與核心層的網(wǎng)絡(luò)管理服務(wù)器進(jìn)行正常的互通,只有同時達(dá)到這三個要求,才能保證接入層的網(wǎng)絡(luò)連通性。接入層采用的是低端網(wǎng)絡(luò)的嵌入式遠(yuǎn)動監(jiān)控設(shè)備,在安全方案設(shè)計中將基于IPSec的VPN內(nèi)核進(jìn)一步裁剪,在裁剪后的VPN安全框架中融入新的身份認(rèn)證和密鑰協(xié)商算法,這樣能夠有利于新設(shè)計安全方案的實現(xiàn),同時可以大幅度降低接入層設(shè)備在安全數(shù)據(jù)處理中的費(fèi)用,減少電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案的設(shè)計投入。
3結(jié)語
總而言之,在電力系統(tǒng)的生產(chǎn)管理工作中,電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)起到對其的直接控制作用,電力調(diào)度數(shù)據(jù)網(wǎng)的重要性不容忽視。電力企業(yè)一定要重視電力調(diào)度數(shù)據(jù)網(wǎng)的安全性和實時性,不斷借鑒國外先進(jìn)的技術(shù),在實際運(yùn)行工作中,注意總結(jié)和歸納,設(shè)計出一種合理的基于VPN的身份認(rèn)證與密鑰協(xié)商相互融合的安全方案,消除電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中實時性與安全性兩者之間的矛盾,使其為企業(yè)帶來更多的應(yīng)用價值。
篇7
1 研究背景
近年來,全球的數(shù)據(jù)網(wǎng)絡(luò)正以令人驚奇的速度發(fā)展,為信息的交流和經(jīng)濟(jì)的發(fā)展提供了高效的工具和便利的平臺。隨著電力建設(shè)的飛速發(fā)展,電力自動化數(shù)據(jù)網(wǎng)絡(luò)也迅速擴(kuò)大,正在向全面覆蓋所有的電力企業(yè)邁進(jìn),電力系統(tǒng)數(shù)字化已是大勢所趨。電力調(diào)度自動化系統(tǒng)、配電自動化系統(tǒng)、電量計費(fèi)系統(tǒng)、電力市場技術(shù)支持系統(tǒng)及交易系統(tǒng)、電力客戶服務(wù)中心系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠監(jiān)控系統(tǒng)、MIS 系統(tǒng)等,無一不是以高速的數(shù)據(jù)傳輸與交換為基本手段而建設(shè)的。電力自動化數(shù)據(jù)通信網(wǎng)絡(luò)利用因特網(wǎng)、無線網(wǎng)等的工具和平臺,在提高數(shù)據(jù)傳輸效率、減少開發(fā)維護(hù)工作量的同時,也帶來了新的問題,這就是內(nèi)部機(jī)密信息在網(wǎng)絡(luò)上的泄密、以及被攻擊破壞等。
隨著計算機(jī)運(yùn)算性能的提高,通信技術(shù)的不斷發(fā)展,電力通信協(xié)議也在不斷的改進(jìn),以適應(yīng)通信數(shù)據(jù)類別、流量和實時性的要求。IEC60870規(guī)約系列規(guī)定了電力遠(yuǎn)動、繼電保護(hù)數(shù)據(jù)、電能計費(fèi)等多個方面的通信協(xié)議,甚至出現(xiàn)了104網(wǎng)絡(luò)通信規(guī)約,以適應(yīng)網(wǎng)絡(luò)RTU在電力系統(tǒng)中的應(yīng)用。各項信息安全技術(shù)也開始得到廣泛的應(yīng)用,但是仍然是以以下觀點為基礎(chǔ)開展的,電力數(shù)據(jù)網(wǎng)絡(luò)的信息安全研究應(yīng)該有所突破:
(1)電力通信網(wǎng)絡(luò)的兩個隔離。物理隔離作為國家的明文規(guī)定是建立在網(wǎng)絡(luò)條件不如人意,網(wǎng)絡(luò)威脅依然嚴(yán)重的情況下的,需要看到電力信息系統(tǒng)的開放性將是主流方向,基礎(chǔ)研究應(yīng)該突破這個框架開展一些前瞻性的工作。(2)重點防護(hù)監(jiān)控系統(tǒng),對通信數(shù)據(jù)網(wǎng)絡(luò)的信息安全重視不足。雖然通信網(wǎng)絡(luò)的安全威脅相比而言較小,但是由于電力通信對實時性和可靠性的要求,使得通信數(shù)據(jù)網(wǎng)絡(luò)與電力監(jiān)控系統(tǒng)的信息安全同等重要。(3)認(rèn)為電力自動化通信沒有安全問題,或者認(rèn)為還不值得深入研究,電力信息使得任何安全研究都不能不重視其實時性的要求,因此自動化通信的信息安全研究開展不多,還需要進(jìn)行大量的研究。
2 電力系統(tǒng)無線通信對于信息安全的需求
電力自動化管理系統(tǒng)無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)非常混雜,從加密的技術(shù)角度來區(qū)分,可分為實時數(shù)據(jù)和非實時數(shù)據(jù)兩類。
2.1 實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)膶崟r數(shù)據(jù),其通信規(guī)約對時間的要求很嚴(yán)格,不允許較大的傳輸延遲;另一方面,實時數(shù)據(jù)的數(shù)據(jù)量相對較小,且數(shù)據(jù)流量比較穩(wěn)定。主要包括:
(1)下行數(shù)據(jù)。包括遙控、遙調(diào)和保護(hù)裝置及其他自動裝置的整定值信息等。這類數(shù)據(jù)與設(shè)備狀態(tài)相關(guān),直接影響到電網(wǎng)的安全運(yùn)行。安全要求和實時要求都很高。(2)上行數(shù)據(jù)。包括遙信、重要遙測、事件順序記錄(SOE)信息等。這類數(shù)據(jù)是電網(wǎng)穩(wěn)定運(yùn)行的判據(jù),也是調(diào)度決策的依據(jù),實時性要求很高。管理數(shù)據(jù)。如負(fù)荷管理、停電計劃等管理信息系統(tǒng)(MIS)的重要管理數(shù)據(jù)。這類數(shù)據(jù)對保密性有一定要求。實時數(shù)據(jù)其數(shù)據(jù)流量穩(wěn)定且時效性快,但是要求實時性高、可靠性高,其保密性和數(shù)據(jù)完整性的要求也高,因此對實時數(shù)據(jù)加密必須慎之又慎。
2.2 非實時數(shù)據(jù)的數(shù)據(jù)特點
無線網(wǎng)絡(luò)中傳輸?shù)姆菍崟r數(shù)據(jù),其數(shù)據(jù)量一般較大,但時效性不高,可以允許一定的傳輸延遲。它主要包括電力設(shè)備的維護(hù)日志、電力用戶的電能質(zhì)量信息等。非實時數(shù)據(jù)實時性要求不高,但是對數(shù)據(jù)完整性和保密性有一定的要求,在數(shù)據(jù)加密中要注意選擇合適的算法。
3 電力自動化系統(tǒng)的安全漏洞及解決方案
電力自動化應(yīng)用系統(tǒng),不論是電力負(fù)荷管理系統(tǒng)、電能量管理系統(tǒng)或是其它的應(yīng)用系統(tǒng),它的網(wǎng)絡(luò)結(jié)構(gòu)框圖都可以歸納成圖1所示。
3.1 中心站的安全隱患及解決方法
應(yīng)用系統(tǒng)都有一個中心站,它包括前置機(jī)、服務(wù)器等硬件設(shè)備及配套的管理軟件,它負(fù)責(zé)接收各個子站上傳的數(shù)據(jù)并通過管理軟件對數(shù)據(jù)進(jìn)行分析、歸納和管理;另一方面,它也維護(hù)各個子站正常運(yùn)行,并以下發(fā)命令的方式對子站進(jìn)行操作管理;而且中心站還是本應(yīng)用系統(tǒng)與其它的電力自動化應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)共享和管理的一個數(shù)據(jù)接口。一般來說,中心站和子站之間以及中心站和其它應(yīng)用系統(tǒng)之間的數(shù)據(jù)傳輸都是通過有線傳輸(如光纖)進(jìn)行的。
中心站既是內(nèi)部通信子站數(shù)據(jù)集中的一個節(jié)點,也是應(yīng)用系統(tǒng)與外部進(jìn)行數(shù)據(jù)收發(fā)的一個接口。只要攻擊者侵入了該節(jié)點,整個系統(tǒng)的數(shù)據(jù)就相當(dāng)于暴露在了入侵者的面前。而且一旦中心站出現(xiàn)了故障,即使其它的通信子站均運(yùn)行正常,整個系統(tǒng)也無法正常工作了。正由于它的重要性和脆弱性,因此對于中心站就更是要進(jìn)行重點防護(hù)。防火墻就是一種有效的網(wǎng)絡(luò)安全保護(hù)措施,它可以按照用戶事先規(guī)定好的方案控制信息的流入和流出,監(jiān)督和控制使用者的操作。防火墻大量的應(yīng)用于企業(yè)中,它可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它能有效地監(jiān)控內(nèi)部網(wǎng)和 Internet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。
防火墻的目的是在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制。一般的防火墻都可以達(dá)到以下目的:一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;二是防止入侵者接近你的防御設(shè)施;三是限定用戶訪問特殊站點;四是為監(jiān)視Internet安全提供方便。由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù),因此更適合于相對獨(dú)立的網(wǎng)絡(luò),例如Intranet 等種類相對集中的網(wǎng)絡(luò)。防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。事實上,在Internet上的Web網(wǎng)站中,超過三分之一的Web網(wǎng)站都是由某種形式的防火墻加以保護(hù),這是對黑客防范最嚴(yán),安全性較強(qiáng)的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。可見,防火墻處于可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)邊界的位置,是可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)數(shù)據(jù)交換的“門戶”,用來防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略,其性能、可用性、可靠性、安全性等指標(biāo)在很大程度上決定了網(wǎng)絡(luò)的傳輸效率和傳輸安全。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,從總體上來看,防火墻的基本功能有兩個:一是隔離,使內(nèi)部網(wǎng)絡(luò)不與外部網(wǎng)絡(luò)進(jìn)行物理直接連接;二是訪問控制,是進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包按照安全策略有選擇地轉(zhuǎn)發(fā)。圍繞這兩個基本功能,大量與安全有關(guān)的網(wǎng)絡(luò)技術(shù)和安全技術(shù)被綜合進(jìn)防火墻設(shè)備中,使防火墻地功能不斷擴(kuò)展,性能不斷提高。概括地說,功能較完善的防火墻采用了以下安全技術(shù):
3.1.1 多級的過濾控制技術(shù)
一般采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒的IP源地址;在應(yīng)用級網(wǎng)關(guān)一級,能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級,實現(xiàn)內(nèi)部主機(jī)與外部站點的透明連接,并對服務(wù)的通行實行嚴(yán)格控制。
3.1.2 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)
利用NAT技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的拓?fù)湫畔ⅲ瑫r允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個主機(jī)的通信,確保每個分組送往正確的地址。
3.1.3 用戶鑒別與加密
為了降低防火墻產(chǎn)品在Telnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險,鑒別功能必不可少,防火墻采用一次性使用的口令字系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。
3.1.4 審計和告警
對網(wǎng)絡(luò)事件進(jìn)行審計,如果發(fā)現(xiàn)入侵行為將以發(fā)出郵件、聲響等多種方式報警。為了加強(qiáng)自動化應(yīng)用系統(tǒng)的安全水平,需要在系統(tǒng)與其它網(wǎng)絡(luò)的接口之間設(shè)置一套防火墻設(shè)備。這樣既能防止外來的訪問者攻擊系統(tǒng),竊取或者篡改系統(tǒng)數(shù)據(jù);同時也能防止內(nèi)部數(shù)據(jù)未經(jīng)允許流向外部網(wǎng)絡(luò)。如圖1所示,在公網(wǎng)通信中,除了自動化系統(tǒng)與其它應(yīng)用系統(tǒng)的接口外,子站采集自終端的數(shù)據(jù)要發(fā)送到中心站,也要通過 Internet網(wǎng)絡(luò)進(jìn)行傳輸,這就給攻擊者提供了一個侵入的端口。因此要在這兩處均安裝防火墻設(shè)備,來保證系統(tǒng)的安全運(yùn)行。在專網(wǎng)通信中,由于整個通信網(wǎng)絡(luò)是一個相對獨(dú)立的網(wǎng)絡(luò),因此中心站了通信子站之間就不必加裝防火墻了。
3.2 無線終端的安全防護(hù)手段
無論是哪種無線網(wǎng)絡(luò),都有若干數(shù)量的無線終端,它們是通信系統(tǒng)的最基本的組成結(jié)構(gòu),通過通信子站與中心站進(jìn)行通信。因為無線終端的數(shù)據(jù)眾多,也使它們往往成為系統(tǒng)安全漏洞所在。對于應(yīng)用系統(tǒng)而言,保護(hù)系統(tǒng)信息安全與保護(hù)系統(tǒng)業(yè)務(wù)正常是同等重要的。保護(hù)系統(tǒng)信息安全首先必須保證信息訪問的安全性,要讓不該看到信息的人不能看到,不該操作信息的人不能操作。這方面,一是要依靠身份認(rèn)證技術(shù)來給信息的訪問加上一把鎖,二是要通過適當(dāng)?shù)脑L問控制模型顯式地準(zhǔn)許或限制訪問能力及范圍。這就引出了兩種信息安全技術(shù):身份認(rèn)證技術(shù)及訪問控制技術(shù)。通過這兩種技術(shù)手段,就能有效的解決以上的兩個安全問題。對于自動化應(yīng)用系統(tǒng)來說,系統(tǒng)內(nèi)的終端用戶只是采集電力用戶數(shù)據(jù)并上傳給服務(wù)器,并不存在越權(quán)訪問系統(tǒng)信息的問題。因此采用身份認(rèn)證技術(shù)就足以解決無線終端的信息保護(hù)問題了。
身份認(rèn)證是指被認(rèn)證對象向系統(tǒng)出示自己身份證明的過程,通常是獲得系統(tǒng)服務(wù)所必須的第一道關(guān)卡。身份認(rèn)證需要證實的是實體本身,而不是象消息認(rèn)證那樣證實其合法性、完整性。身份認(rèn)證的過程一般會涉及到兩方面的內(nèi)容識別和驗證。識別,就是要對系統(tǒng)中的每個合法注冊的用戶具有識別能力,要保證識別的有效性,必須保證任意兩個不同的用戶都不能具有相同的標(biāo)識符。驗證是指訪問者聲明自己的身份后,系統(tǒng)還必須對它聲稱的身份進(jìn)行驗證。標(biāo)識符可以是非秘密的,而驗證信息必須是秘密的。
身份認(rèn)證系統(tǒng)有兩方認(rèn)證和三方認(rèn)證兩種形式兩方認(rèn)證系統(tǒng)由被認(rèn)證對象和認(rèn)證方組成,被認(rèn)證對象出示證件,提出操作要求,認(rèn)證方檢驗被認(rèn)證對象所提供證件的合法性和有效性三方認(rèn)證系統(tǒng)除了被認(rèn)證對象和認(rèn)證方外,還有一個仲裁者,由雙方都信任的人充當(dāng)仲裁和調(diào)節(jié)。建立一個身份認(rèn)證系統(tǒng)的應(yīng)滿足的是:1)可識別率最大化:認(rèn)證方正確識別合法被認(rèn)證對象身份的概率最大化;2)可欺騙率最小化:攻擊者偽裝被認(rèn)證對象欺騙認(rèn)證方的成功率最小化;3)不可傳遞性:認(rèn)證方不可以用被認(rèn)證對象提供的信息來偽裝被認(rèn)證對象;4)計算有效性:實現(xiàn)身份認(rèn)證所需的計算量要小;5)安全存儲:實現(xiàn)身份認(rèn)證所需的參數(shù)能夠安全的存儲;6)第三方可信賴性:在三方認(rèn)證的系統(tǒng)中,第三方必須是雙方都信任的人或組織或可信安全性身份認(rèn)證系統(tǒng)所使用的算法的安全性是可證明和可信任的。
電力自動化系統(tǒng)內(nèi)部使用身份認(rèn)證技術(shù),在每一個無線終端的實體上增加了一道安全防護(hù),如圖2 所示。在進(jìn)行數(shù)據(jù)傳輸之前,驗證對方是否是系統(tǒng)內(nèi)的合法用戶。可以防止入侵者偽裝成內(nèi)部用戶,獲取系統(tǒng)數(shù)據(jù)。
3.3 保護(hù)系統(tǒng)信息安全的常用方案-算法加密
除了以上的信息安全技術(shù)之外,算法加密技術(shù)是一種被普遍應(yīng)用的安全技術(shù)。它在發(fā)送方將要發(fā)送的數(shù)據(jù)根據(jù)一定的算法進(jìn)行加密,變成不可識別的密文;而在接收方通過對應(yīng)的解密算法再將密文轉(zhuǎn)化為明文。從而保證數(shù)據(jù)在傳輸過程中的保密性。
4 結(jié)論
該文研究了電力自動化無線通信系統(tǒng)中的信息安全問題。隨著電力自動化無線通信技術(shù)的快速發(fā)展,對網(wǎng)絡(luò)信息安全的要求也不斷提高。無線通信技術(shù)有著其自身的特點,要求的安全解決方案也與其他不同。需要既保證無線信道的帶寬,又要有效地提高系統(tǒng)的安全防護(hù)強(qiáng)度。
參考文獻(xiàn)
[1] 孫毅,唐良瑞,杜丹.配電自動化中的通信網(wǎng)解決方案[J].燕山大學(xué)學(xué)報,2004,5(28):423-426.
篇8
一、網(wǎng)絡(luò)安全概述
(一)網(wǎng)絡(luò)安全的基本概念
網(wǎng)絡(luò)安全包括物理安全和邏輯安全。對于物理安全,需要加強(qiáng)計算機(jī)房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預(yù)防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現(xiàn)。
(二)網(wǎng)絡(luò)面臨的主要攻擊
⑴ 緩沖區(qū)溢出。
⑵ 遠(yuǎn)程攻擊。
⑶ 口令破解。
⑷ 超級權(quán)限。
⑸ 拒絕服務(wù)(DDOS)。
二、安全需求
通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即,
可用性: 授權(quán)實體有權(quán)訪問數(shù)據(jù)。
機(jī)密性: 信息不暴露給未授權(quán)實體或進(jìn)程。
完整性: 保證數(shù)據(jù)不被未授權(quán)修改。
可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。
可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。
訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣,對內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實現(xiàn)相互的訪問控制。
數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時響應(yīng)(如報警)并進(jìn)行阻斷;二是對信息內(nèi)容的審計,可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏
三、網(wǎng)絡(luò)安全防護(hù)策略
個人建議采用如下的安全拓?fù)浼軜?gòu)來確保網(wǎng)站的安全性,其中我們主要采用以下五項高強(qiáng)度的安全防護(hù)措施:如圖3-1所示:
(一)層層布防
從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進(jìn)行有效的安全防護(hù)。
第一個層次,是外部Internet,是不能有效確定其安全風(fēng)險的層次,我們的安全策略就是要重點防護(hù)來自于第一個層次的攻擊。
第二個層次,是通過路由器后進(jìn)入網(wǎng)站的第一個安全屏障。該層主要由防火墻進(jìn)行防護(hù)和訪問控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務(wù),完全封閉其他不必要的服務(wù)端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內(nèi)的實際安全狀態(tài),部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)。入侵檢測系統(tǒng)可以檢測出外部穿過防火墻之后的和網(wǎng)絡(luò)內(nèi)部經(jīng)過交換機(jī)對外的所有數(shù)據(jù)流中,有無非法的訪問內(nèi)網(wǎng)的企圖、對WWW服務(wù)器和郵件服務(wù)器等關(guān)鍵業(yè)務(wù)平臺的攻擊行為和內(nèi)部網(wǎng)絡(luò)中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯(lián)動及時阻斷,網(wǎng)絡(luò)遭受DDOS攻擊。
第三個層次,是一個中心網(wǎng)絡(luò)的核心層,部署了網(wǎng)絡(luò)處置中心的所有重要的服務(wù)器。在該層次中,部署了網(wǎng)站保護(hù)系統(tǒng),防范網(wǎng)頁被非法篡改。
此外,還部署網(wǎng)絡(luò)漏洞掃描系統(tǒng),定期或不定期的對接服務(wù)器區(qū)進(jìn)行漏洞掃描,幫助網(wǎng)管人員及時了解和修補(bǔ)網(wǎng)絡(luò)中的安全漏洞。這種掃描服務(wù)可以由網(wǎng)絡(luò)安全管理人員完成,或者由安全服務(wù)的安全廠商及其高級防黑客技術(shù)人員完成。
第四個層次,是網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)的數(shù)據(jù)存儲中心,放置了數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫備份服務(wù)器。在該層次中,部署了防火墻,對數(shù)據(jù)庫的訪問通過防火墻進(jìn)行過濾,保證數(shù)據(jù)的安全性。
(二)多種防護(hù)手段
我們設(shè)計的高強(qiáng)度安全防護(hù)措施,包括多種防護(hù)手段,即有靜態(tài)的防護(hù)手段,如防火墻,又有動態(tài)的防護(hù)手段,如網(wǎng)絡(luò)IDS、網(wǎng)絡(luò)防病毒系統(tǒng)。同時,也考慮到了恢復(fù)和響應(yīng)技術(shù),如網(wǎng)站保護(hù)和恢復(fù)系統(tǒng)。不同的防護(hù)手段針對不同的安全需求,解決不同的安全問題,使得網(wǎng)絡(luò)防護(hù)過程中不留安全死角。
(三)防火墻系統(tǒng)
防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在此次的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)完成后,防火墻將承擔(dān)起對合法地址用戶的路由和對私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(wù)(NAT),同時,將根據(jù)需要對進(jìn)出訪問進(jìn)行控制。防火墻可將網(wǎng)絡(luò)分成若干個區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。
(四)網(wǎng)絡(luò)入侵檢測系統(tǒng)的作用
通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng),我們可以做到:發(fā)現(xiàn)誰在攻擊網(wǎng)絡(luò):解決網(wǎng)絡(luò)防護(hù)的問題(網(wǎng)絡(luò)出入口、DMZ、關(guān)鍵網(wǎng)段)。了解接網(wǎng)絡(luò)如何被攻擊:例如,如果有人非法訪問服務(wù)器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進(jìn)行逐條的記錄回放,使網(wǎng)絡(luò)系統(tǒng)免受二次攻擊。
處置中心網(wǎng)絡(luò)的內(nèi)部危險:放置在網(wǎng)絡(luò)中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網(wǎng)絡(luò)中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產(chǎn)品進(jìn)行全面防護(hù)。事后取證:從相關(guān)的事件和活動的多個角度提供具有標(biāo)準(zhǔn)格式的獨(dú)特數(shù)據(jù)。實現(xiàn)安全事件來源追查。 DDOS攻擊防范:通過實時監(jiān)控網(wǎng)絡(luò)流量,及時發(fā)現(xiàn)異常流量并報警,通過和防火墻聯(lián)動,對DDOS攻擊進(jìn)行阻斷。
四、安全服務(wù)
網(wǎng)絡(luò)是個動態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時進(jìn)行相應(yīng)的調(diào)整。由于這方面相對比較復(fù)雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料。
五、總結(jié)
毫無疑問,安全是一個動態(tài)的問題。在做未來的計劃時,既要考慮用戶環(huán)境的發(fā)展,也要考慮風(fēng)險的發(fā)展,這樣才能讓安全在操作進(jìn)程中占有一席之地。最謹(jǐn)慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護(hù)起來。歸納起來,對網(wǎng)絡(luò)安全的解決方案從人員安全、物理層安全、邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用程序和數(shù)據(jù)安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網(wǎng)絡(luò)系統(tǒng):
進(jìn)不來: 通過物理隔離等手段,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。
拿不走: 使用屏蔽、防下載機(jī)制,實現(xiàn)對用戶的權(quán)限控制。
讀不懂: 通過認(rèn)證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序。
改不了: 使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有允許的人才能修改數(shù)據(jù)。
走不脫: 使用日志、安全審計、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為。
參考文獻(xiàn):
[1]沈昌祥.信息安全縱論[M].武漢:湖北科學(xué)技術(shù)出版社.2002年版.
篇9
1 電信網(wǎng)絡(luò)安全及其現(xiàn)狀
狹義的電信網(wǎng)絡(luò)安全是指電信網(wǎng)絡(luò)本身的安全性,按照網(wǎng)絡(luò)對象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、傳輸網(wǎng)絡(luò)安全、電信運(yùn)營商內(nèi)部網(wǎng)絡(luò)安全等幾個方面;廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全這個基本層面,在這個基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面,幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。
電信運(yùn)營商都比較重視網(wǎng)絡(luò)安全的建設(shè),針對網(wǎng)絡(luò)特點、業(yè)務(wù)特點建立了系統(tǒng)的網(wǎng)絡(luò)安全保障體系。我國電信的網(wǎng)絡(luò)安全保障體系建設(shè)起步較早。2000年,原中國電信意識到網(wǎng)絡(luò)安全的重要性,并專門成立了相關(guān)的網(wǎng)絡(luò)安全管理部門,著力建立中國電信自己的網(wǎng)絡(luò)安全保障體系。安全保障體系分為管理體系和技術(shù)體系。在管理體系中,包括組織體系、策略體系和保障的機(jī)制,依據(jù)組織保障策略引導(dǎo)、保障機(jī)制支撐的原則。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)的突飛猛進(jìn),單靠純粹的管理和應(yīng)急相應(yīng)很難完成有關(guān)網(wǎng)絡(luò)安全方面的工作。為此,建立了網(wǎng)絡(luò)安全基礎(chǔ)支撐的平臺,也就是SOC平臺,形成了手段保障、技術(shù)保障和完備的技術(shù)管理體系,以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作,來完成對網(wǎng)絡(luò)安全事件的監(jiān)控,完成對網(wǎng)絡(luò)安全工作處理過程中的支撐,還包括垃圾郵件獨(dú)立處理的支持系統(tǒng)。
然而,網(wǎng)絡(luò)安全是相對的。網(wǎng)絡(luò)開放互聯(lián)、設(shè)備引進(jìn)、新技術(shù)引入、自然災(zāi)害和突發(fā)事件的存在等,造成了網(wǎng)絡(luò)的脆弱性。當(dāng)電信網(wǎng)絡(luò)由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)型中,安全問題更加暴露。從狹義的網(wǎng)絡(luò)安全層面看,隨著攻擊技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊工具的獲得越來越容易,對網(wǎng)絡(luò)發(fā)起攻擊變得容易;而運(yùn)營商網(wǎng)絡(luò)分布越來越廣泛,這種分布式的網(wǎng)絡(luò)從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡(luò)安全層面看,業(yè)務(wù)欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡(luò)安全的因素。
2 電信網(wǎng)絡(luò)安全面臨的形勢及問題
2.1 互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務(wù)網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務(wù)網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務(wù)網(wǎng)隔離,完全由運(yùn)營商控制,電信用戶無法進(jìn)入。這種機(jī)制有效地避免了電信用戶非法進(jìn)入網(wǎng)絡(luò)控制系統(tǒng),保障了網(wǎng)絡(luò)安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨(dú)立于業(yè)務(wù)網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎(chǔ)上,TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現(xiàn)不法行為,無論是運(yùn)營商還是執(zhí)法機(jī)關(guān),確認(rèn)這些用戶的身份需要費(fèi)一番周折,加大了打擊難度。
2.2 新技術(shù)、新業(yè)務(wù)的引入,給電信網(wǎng)的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務(wù)網(wǎng)分別建設(shè)、分別管理的傳統(tǒng)思路。NGN的引入給運(yùn)營商帶來的好處是顯而易見的,但從網(wǎng)絡(luò)安全方面看,如果采取的措施不當(dāng),NGN的引入可能會增加網(wǎng)絡(luò)的復(fù)雜性和不可控性。此外,3G、WMiAX、IPTV等新技術(shù)、新業(yè)務(wù)的引入,都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡(luò)側(cè)發(fā)送信息的能力大大增強(qiáng),每一個用戶都有能力對網(wǎng)絡(luò)發(fā)起威力較大的拒絕服務(wù)等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡(luò)群,其拒絕服務(wù)攻擊的破壞力將可能十分巨大。
2.3 運(yùn)營商之間網(wǎng)絡(luò)規(guī)劃、建設(shè)缺乏協(xié)調(diào)配合,網(wǎng)絡(luò)出現(xiàn)重大事故時難以迅速恢復(fù)
目前,我國電信領(lǐng)域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運(yùn)營商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡(luò)安全帶來了新的威脅。如在網(wǎng)絡(luò)規(guī)劃建設(shè)方面,原來由行業(yè)主管部門對電信網(wǎng)絡(luò)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一建設(shè),現(xiàn)在由各運(yùn)營企業(yè)承擔(dān)各自網(wǎng)絡(luò)的規(guī)劃、建設(shè),行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡(luò)癱瘓問題,不同運(yùn)營商之間的網(wǎng)絡(luò)能否互相支援配合就存在問題。
2.4 相關(guān)法規(guī)尚不完善,落實保障措施缺乏力度
當(dāng)前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運(yùn)營企業(yè)安全保障建設(shè)方面,也缺乏法律依據(jù)。運(yùn)營企業(yè)為了在競爭中占據(jù)有利地位,更多地關(guān)注網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)開發(fā)、市場份額和投資回報,把經(jīng)濟(jì)效益放在首位,網(wǎng)絡(luò)安全相關(guān)的建設(shè)、運(yùn)行維護(hù)管理等相對滯后。
3 電信網(wǎng)絡(luò)安全防護(hù)的對策思考
強(qiáng)化電信網(wǎng)絡(luò)安全,應(yīng)做到主動防護(hù)與被動監(jiān)控、全面防護(hù)與重點防護(hù)相結(jié)合,著重考慮以下幾方面。
3.1 發(fā)散性的技術(shù)方案設(shè)計思路
在采用電信行業(yè)安全解決方案時,首先需要對關(guān)鍵資源進(jìn)行定位,然后以關(guān)鍵資源為基點,按照發(fā)散性的思路進(jìn)行安全分析和保護(hù),并將方案的目的確定為電信網(wǎng)絡(luò)系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務(wù)處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
3.2 網(wǎng)絡(luò)層安全解決方案
網(wǎng)絡(luò)層安全要基于以下幾點考慮:控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問;劃分并隔離不同安全域;防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域,即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域,在這兩大區(qū)域之間需要進(jìn)行安全隔離。同時,應(yīng)結(jié)合網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)和監(jiān)控需要,與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程以及機(jī)構(gòu)組織形式進(jìn)行密切結(jié)合,在系統(tǒng)中建立一個完善的安全體系,包括企業(yè)級的網(wǎng)絡(luò)實時監(jiān)控、入侵檢測和防御,系統(tǒng)訪問控制,網(wǎng)絡(luò)入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強(qiáng)系統(tǒng)的總體可控性。
3.3 網(wǎng)絡(luò)層方案配置
在電信網(wǎng)絡(luò)系統(tǒng)核心網(wǎng)段應(yīng)該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品,將工作站直接連接到主干交換機(jī)的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關(guān)鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進(jìn)行相應(yīng)的監(jiān)測。
3.4 主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫配置方案
由于電信行業(yè)的網(wǎng)絡(luò)系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個充分利用了Intranet技術(shù)、范圍覆蓋廣的分布式計算機(jī)網(wǎng)絡(luò),它面臨的安全性威脅來自于方方面面。每一個需要保護(hù)的關(guān)鍵服務(wù)器上都應(yīng)部署核心防護(hù)產(chǎn)品進(jìn)行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護(hù)產(chǎn)品進(jìn)行中央管理。
3.5 系統(tǒng)、數(shù)據(jù)庫漏洞掃描
系統(tǒng)和數(shù)據(jù)庫的漏洞掃描對電信行業(yè)這樣的大型網(wǎng)絡(luò)而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統(tǒng)/數(shù)據(jù)庫漏洞掃描工具。
篇10
據(jù)了解,從1997年底至今,我國的政府部門、證券公司、銀行、ISP、1CP等機(jī)構(gòu)的計算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)當(dāng)攻擊者B對圖像Iwl2進(jìn)行解釋攻擊時,有兩種情況:偽造原始圖像Ib=Iwl2-Wb,偽造水印Wb進(jìn)行攻擊。當(dāng)發(fā)生版權(quán)糾紛,A向仲裁者J提供lwl和,攻擊者提供lb和水印Wb,仲裁者得出如下結(jié)論:①對A來說,用Iwl和Iwl2檢測U得知其上嵌有W&,對U檢測得嵌有Wla(無需原圖檢測),對lb檢測,其上嵌有水印Wh-Wb和②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有Wb,對lb檢測用依賴于外國的產(chǎn)品和技術(shù),在電子政務(wù)、電子商務(wù)和各行業(yè)的計算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段,以上這些領(lǐng)域的大型計算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量,間時一些負(fù)責(zé)M絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險認(rèn)識不足,缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗,面對形勢日益嚴(yán)峻的現(xiàn)狀,很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制,很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段,對網(wǎng)絡(luò)安全缺乏整體意識。可見,加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全意識和相關(guān)的技術(shù)是非常必要的。
網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)具有互連性,導(dǎo)致網(wǎng)絡(luò)分布的廣域性、網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性、信息資源的共享性和通信信道的通用性,使得計算機(jī)網(wǎng)絡(luò)存在很多的隱患。它們是網(wǎng)絡(luò)安全的致命之處。這些隱患有人為的因素,也有其他的因素,有有意的,也有無意的。有來自網(wǎng)絡(luò)內(nèi)部的,也有來自外部的影響。這些隱患對網(wǎng)絡(luò)安全產(chǎn)生直接或間接威脅。
計算機(jī)網(wǎng)絡(luò)安全隱患主要來自Web服務(wù)器的漏洞,其次是計算機(jī)病毒傳播,究其原因主要表現(xiàn)在以下方面:得kwwb-Wh和偸Wwla,蚣iwliin上嵌Wwla,沒¥Wb,所以lb是偽造的,B不是原作者,解釋攻擊失敗。攻擊者B偽造原始圖像Ib=IwI2-Whl,偽造水印Wbl,再對lb偽造魯棒性水印進(jìn)行攻擊。當(dāng)發(fā)生版權(quán)糾紛,A向仲裁者J提供。和雙18,攻擊者提供lb和水印,仲裁者得出如下結(jié)論:①對A來說,用Iwl和Iwl2檢測Iwl2得知其上嵌有W&,對Iwl檢測得嵌有Wia(無需原圖檢測),對lb檢測,其上嵌有水印和Wa;②對B來說,用lb和Iwl2檢測Iwl2得知其上嵌有WIb,對lb檢測得嵌有和嵌有Wla,對IW|檢測上嵌有Wla,沒有,所以lb是偽造的,B不是原作者,解釋攻擊失敗。
從上述分析可見,雙水印技術(shù)能有效地抵抗解釋攻擊。因為當(dāng)攻擊者B多次偽造圖像,并多次插人偽造水印,勢必造成圖像在一定程度上的失真,令圖像數(shù)據(jù)不能被非法利用。通過研究攻擊方法可以找出現(xiàn)有水印方案中的大量不足之處。應(yīng)該指出的是,對于一個水印系統(tǒng),核心問題是如何檢測水印而不是如何嵌入水印。同時,攻擊往往形式多樣,并不局限于對水印算法本身,常常一些簡單的攻擊就可以使水印系統(tǒng)失敗。了解這些攻擊以及可能還會有的新的攻擊方法將幫助我們設(shè)計出更好的水印方案。
Web服務(wù)器存在的主要漏洞包括:物理路徑泄露、CGI源代碼泄露、S錄遍歷、執(zhí)行任意命令、緩沖IX:溢出、拒絕服務(wù)、條件競爭和跨站腳本執(zhí)行漏洞等,網(wǎng)絡(luò)病毒傳播:隨著計算機(jī)技術(shù)的不斷發(fā)展,病毒也變得越來越復(fù)雜和高級。新一代的計算機(jī)病毒充分利用某些常用操作系統(tǒng)與應(yīng)用軟件的低防護(hù)性的弱點不斷肆虐,通過網(wǎng)絡(luò)傳播,將含病毒文件附加在郵件中的情況不斷增多,使得病毒的擴(kuò)散速度也急劇提高,受感染的范圍越來越廣,這種病毒,我們稱為網(wǎng)絡(luò)病毒。原先常見的計算機(jī)病毒的破壞性無非就是格式化硬盤,刪除系統(tǒng)與用戶文件、破壞數(shù)據(jù)庫等等,而傳播途徑也無非是通過遭病毒感染的軟件的互相拷貝,攜帶病毒的盜版光盤的使用等,如感染磁盤系統(tǒng)區(qū)的引導(dǎo)型病毒和感染可執(zhí)行文件的文件型病毒,而網(wǎng)絡(luò)病毒除了具有普通病毒的這些特性外,還具有遠(yuǎn)端竊取用戶數(shù)據(jù)、遠(yuǎn)端控制對方計算機(jī)等破壞特性,比如特洛伊木馬病毒和消耗網(wǎng)絡(luò)計算機(jī)的運(yùn)行資源,拖垮網(wǎng)絡(luò)服務(wù)器的蠕蟲病毒。
網(wǎng)絡(luò)安全的防御面對各種網(wǎng)絡(luò)威脅,不能坐以待斃,要采取積極的應(yīng)對措施,措施得當(dāng),損失就能減到最小。計算機(jī)網(wǎng)絡(luò)安全技術(shù)分析計算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、人侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密等多個安全組件組成,一個單獨(dú)的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、人侵檢測技術(shù)、防病毒技術(shù)等,以下就此幾項技術(shù)分別進(jìn)行分析。
防火墻。防火墻的主要功能。首先防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手段前,數(shù)據(jù)加密主要使用的有對稱密鑰加密和非對稱密鑰(也稱公幵密鑰)加密兩種技術(shù)數(shù)據(jù)加密的功能:首先通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性,能夠有效地防止機(jī)密信息的泄漏。其次廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中,用來防止電子欺騙,這對信息處理系統(tǒng)的安全起到極其重要的作用。
入侵檢測技術(shù)。入侵檢測是指“通過對行為、安全日志、審計數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測到對系統(tǒng)的闖人或闖人的企圖”。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻志預(yù)測和起訴支持。人侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
人侵檢測技術(shù)的功能主要體現(xiàn)在以下方面:監(jiān)視分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權(quán)操作。檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞;識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;對異常行為模式的統(tǒng)計分析;能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng);評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;可以發(fā)現(xiàn)新的攻擊模式:,
防病毒技術(shù)。隨著計算機(jī)技術(shù)的不斷發(fā)展,計算機(jī)病毒變得越來越復(fù)雜和高級,對計算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺PC上,即對本地和本丁作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒人侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。當(dāng)然,網(wǎng)絡(luò)防病毒軟件本身必然需要增加額外的服務(wù)器系統(tǒng)資源消耗,此類軟件對網(wǎng)絡(luò)性能的影響還是較為明顯的,因此在使用過程中必須慎重選擇。
篇11
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校園網(wǎng)絡(luò)安全概述
1.1 網(wǎng)絡(luò)病毒
(1)計算機(jī)感染病毒的途徑:校園內(nèi)部網(wǎng)感染和校園外部網(wǎng)感染。
(2)病毒入侵渠道:來自Internet 或外網(wǎng)的病毒入侵、網(wǎng)絡(luò)郵件/群件系統(tǒng)、文件服務(wù)器和最終用戶。主要的病毒入口是Internet,主要的傳染方式是群件系統(tǒng)。
(3)計算機(jī)病毒發(fā)展趨勢:病毒與黑客程序相結(jié)合,病毒破壞性更大,制作病毒的方法更簡單,病毒傳播速度更快,傳播渠道更多,病毒的實時檢測更困難。
(4)切斷病毒源的途徑:要防止計算機(jī)病毒在網(wǎng)絡(luò)上傳播、擴(kuò)散,需要從Internet、郵件、文件服務(wù)器和用戶終端四個方面來切斷病毒源。
1.2 網(wǎng)絡(luò)攻擊
(1)校園網(wǎng)與Internet 相連,面臨著遭遇攻擊的風(fēng)險。
(2)校園網(wǎng)內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,存在的安全隱患更大一些。
(3)目前使用的操作系統(tǒng)存在安全漏洞,對網(wǎng)絡(luò)安全構(gòu)成了威脅。
(4)存在“重技術(shù)、輕安全、輕管理”的傾向。
(5)服務(wù)器與系統(tǒng)一般都沒有經(jīng)過細(xì)密的安全配置。
2 校園網(wǎng)絡(luò)安全分析
2.1 物理安全分析
網(wǎng)絡(luò)的物理安全風(fēng)險主要有環(huán)境事故(如地震、水災(zāi)、火災(zāi)、雷電等)、電源故障、人為操作失誤或錯誤、設(shè)備被盜或被毀、電磁干擾、線路截獲等。
2.2 網(wǎng)絡(luò)結(jié)構(gòu)的安全分析
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。從結(jié)構(gòu)上講,校園網(wǎng)可以分成核心、匯聚和接入三個層次;從網(wǎng)絡(luò)類型上講,可以劃分為教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點是接入方式多,包括撥號上網(wǎng)、寬帶接入、無線上網(wǎng)等各種形式,接入的用戶類型也非常復(fù)雜。
2.3 系統(tǒng)的安全分析
系統(tǒng)安全是指整個網(wǎng)絡(luò)的操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信賴,其層次分為鏈路安全、網(wǎng)絡(luò)安全、信息安全。目前,沒有完全安全的操作系統(tǒng)。
2.4 應(yīng)用系統(tǒng)的安全分析
應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的,涉及到信息、數(shù)據(jù)的安全性。
2.5 管理的安全風(fēng)險分析
安全管理制度不健全、責(zé)權(quán)不明確及缺乏可操作性等,都可能引起管理安全的風(fēng)險。
3 校園網(wǎng)絡(luò)安全解決方案
3.1 校園內(nèi)部網(wǎng)絡(luò)安全方案
3.1.1 內(nèi)網(wǎng)病毒防范
在網(wǎng)絡(luò)的匯聚三層交換機(jī)上實施不同的病毒安全策略。網(wǎng)絡(luò)通過在交換機(jī)上設(shè)置相應(yīng)的病毒策略,配合網(wǎng)絡(luò)的認(rèn)證客戶端軟件,能偵測到具體的計算機(jī)上是否有病毒。
3.1.2 單機(jī)病毒防范
教師機(jī)安裝NT 內(nèi)核的操作系統(tǒng),使用NTFS 格式的分區(qū);服務(wù)器可以使用Windows Server甚至UNIX或類UNIX系統(tǒng)。學(xué)生機(jī)安裝硬盤還原卡、保護(hù)卡或者還原精靈,充分利用NTFS分區(qū)的“安全”特性,設(shè)置好各個分區(qū)、目錄、文件的訪問權(quán)限。安裝簡單的包過濾防火墻。
3.1.3 內(nèi)部網(wǎng)絡(luò)安全監(jiān)控
采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機(jī),能把網(wǎng)絡(luò)訪問安全控制前移到用戶的接入點。利用三層交換機(jī)的網(wǎng)絡(luò)監(jiān)控軟件,對網(wǎng)絡(luò)進(jìn)行即時監(jiān)控。
3.1.4 防毒郵件網(wǎng)關(guān)系統(tǒng)
校園網(wǎng)網(wǎng)關(guān)病毒防火墻安裝在Internet 服務(wù)器或網(wǎng)關(guān)上,在電腦病毒通過Internet 入侵校園內(nèi)部網(wǎng)絡(luò)的第一個入口處設(shè)置一道防毒屏障,使得電腦病毒在進(jìn)入網(wǎng)絡(luò)之前即被阻截。
3.1.5 文件服務(wù)器的病毒防護(hù)
服務(wù)器上安裝防病毒系統(tǒng),可以提供系統(tǒng)的實時病毒防護(hù)功能、實時病毒監(jiān)控功能、遠(yuǎn)程安裝和遠(yuǎn)程調(diào)用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。
3.1.6 中央控制管理中心防病毒系統(tǒng)
建立中央控制管理中心系統(tǒng),能有效地將跨平臺、跨路由、跨產(chǎn)品的所有防毒產(chǎn)品的管理綜合起來,使管理人員能在單點實現(xiàn)對全網(wǎng)的管理。
3.2 校園外部網(wǎng)絡(luò)安全方案
3.2.1 校園網(wǎng)分層次的拓?fù)浞雷o(hù)措施
層次一是中心級網(wǎng)絡(luò),主要實現(xiàn)內(nèi)外網(wǎng)隔離、內(nèi)外網(wǎng)用戶的訪問控制、內(nèi)部網(wǎng)的監(jiān)控、內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查;層次二是部門級,主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制、同級部門間的訪問控制、部門網(wǎng)內(nèi)部的安全審計;層次三是終端/個人用戶級,主要實現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制、數(shù)據(jù)庫及終端信息資源的安全保護(hù)。
3.2.2 校園網(wǎng)安全防護(hù)要點
(1)防火墻技術(shù)。目前,防火墻分為三類,包過濾型防火墻、應(yīng)用型防火墻和復(fù)合型防火墻(由包過濾與應(yīng)用型防火墻結(jié)合而成)。利用防火墻,可以實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡(luò)之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。
(2)防火墻設(shè)置原則。一是根據(jù)校園網(wǎng)安全策略和安全目標(biāo),遵從“不被允許的服務(wù)就是被禁止”的原則;二是過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包和以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包;三是在防火墻上建立內(nèi)網(wǎng)計算機(jī)的IP地址和MAC地址的對應(yīng)表,防止IP地址被盜用;四是定期查看防火墻訪問日志,及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄;五是允許通過配置網(wǎng)卡對防火墻進(jìn)行設(shè)置,提高防火墻管理的安全性。
(3)校園網(wǎng)部署防火墻。系統(tǒng)中使用防火墻,在內(nèi)部網(wǎng)絡(luò)和外界Internet之間隔離出一個受屏蔽的子網(wǎng),其中WWW、E-mail、FTP、DNS 服務(wù)器連接在防火墻的DMZ區(qū),對內(nèi)、外網(wǎng)進(jìn)行隔離。內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口通過路由器與Internet 連接。
(4)入侵檢測系統(tǒng)的部署。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡(luò)的特點,將入侵檢測引擎接入中心交換機(jī)上,對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實時檢測。
(5)漏洞掃描系統(tǒng)。采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。
3.2.3 校園網(wǎng)防護(hù)體系
構(gòu)造校園網(wǎng)“包過濾防火墻+NAT+計費(fèi)++VPN+網(wǎng)絡(luò)安全檢測+監(jiān)控”防護(hù)體系,具體解決的問題是:內(nèi)外網(wǎng)絡(luò)邊界安全,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò);隔離內(nèi)部不同網(wǎng)段,建立VLAN;根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾;內(nèi)外網(wǎng)絡(luò)采用兩套IP地址,需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能;通過IP地址與MAC地址對應(yīng)防止IP欺騙;基于用戶和IP地址計費(fèi)和流量統(tǒng)計與控制;提供應(yīng)用服務(wù),隔離內(nèi)外網(wǎng)絡(luò);用戶身份鑒別、權(quán)限控制;支持透明接入和VPN 及其管理;網(wǎng)絡(luò)監(jiān)控與入侵檢測。
4 校園網(wǎng)絡(luò)運(yùn)營安全
4.1 認(rèn)證的方式
網(wǎng)絡(luò)運(yùn)營是對網(wǎng)絡(luò)用戶的管理,通過“認(rèn)證的方式”使用網(wǎng)絡(luò)。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二層交換機(jī)上實現(xiàn),需要接入的所有交換機(jī)都支持802.1x協(xié)議,實現(xiàn)整網(wǎng)的認(rèn)證。
(2)基于流的認(rèn)證方式。指交換機(jī)可以用基于用戶設(shè)備的MAC地址、VLAN、IP等實現(xiàn)認(rèn)證和控制,能解決傳統(tǒng)802.1x無法解決但對于運(yùn)營是十分重要的一些問題,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客戶端機(jī)器上安裝服務(wù)器軟件實現(xiàn)多人共用一個賬號上網(wǎng)的現(xiàn)象非常普遍,給學(xué)校的運(yùn)營帶來很大的損失。使用三層交換機(jī)上的802.1x擴(kuò)展功能和802.1x客戶端,防止非認(rèn)證的用戶借助軟件從已認(rèn)證的端口使用服務(wù)或訪問網(wǎng)絡(luò)資源,做到學(xué)校提供一個網(wǎng)絡(luò)端口只能一個用戶上網(wǎng)。
4.3 賬戶管理
學(xué)生是好奇心強(qiáng)的群體,假冒DHCP SERVER和IP、MAC給學(xué)校的運(yùn)營管理帶來很大的麻煩。通過匯聚三層交換機(jī)和客戶端軟件配合,發(fā)現(xiàn)有假冒的DHCP SERVER,立即封掉該賬戶。
5 校園網(wǎng)絡(luò)的訪問控制策略
5.1 建立并嚴(yán)格執(zhí)行規(guī)章制度
規(guī)章制度作為一項核心內(nèi)容,應(yīng)始終貫穿于系統(tǒng)的安全生命周期。
5.2 身份驗證
對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。
5.3 病毒防護(hù)
主要包括預(yù)防計算機(jī)病毒侵入、檢測侵入系統(tǒng)的計算機(jī)病毒、定位已侵入系統(tǒng)的計算機(jī)病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。
6 校園網(wǎng)絡(luò)安全監(jiān)測
校園網(wǎng)絡(luò)安全監(jiān)測可采用以下系統(tǒng)或措施:入侵檢測系統(tǒng);Web、E-mail、BBS的安全監(jiān)測系統(tǒng);漏洞掃描系統(tǒng);網(wǎng)絡(luò)監(jiān)聽系統(tǒng);在路由器上捆綁IP和MAC地址。這些系統(tǒng)或措施在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行檢測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。
7 校園網(wǎng)絡(luò)系統(tǒng)配置安全
7.1 設(shè)置禁用
禁用Guest賬號;為Administrator設(shè)置一個安全的密碼;將各驅(qū)動器的共享設(shè)為不共享;關(guān)閉不需要的服務(wù),運(yùn)用掃描程序堵住安全漏洞,封鎖端口。
7.2 設(shè)置IIS
通過設(shè)置,彌補(bǔ)校園網(wǎng)服務(wù)器的IIS 漏洞。
7.3 運(yùn)用VLAN 技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段,網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。在實際應(yīng)用過程中,通常采用二者相結(jié)合的方法。
7.4 遵循“最小授權(quán)”原則
指網(wǎng)絡(luò)中的賬號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等都應(yīng)為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度,這可以將系統(tǒng)的危險性大大降低。
7.5 采用“信息加密”技術(shù)
包括算法、協(xié)議、管理在內(nèi)的龐大體系。加密算法是基礎(chǔ),密碼協(xié)議是關(guān)鍵,密鑰管理是保障。
8 校園網(wǎng)絡(luò)安全管理措施
安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。
9 結(jié)束語
校園網(wǎng)安全是一個動態(tài)的發(fā)展過程,應(yīng)該是檢測、監(jiān)視、安全響應(yīng)的循環(huán)過程。確定安全技術(shù)、安全策略和安全管理只是一個良好的開端,只能解決60%~90%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯誤、對安全風(fēng)險的感知程度低、動態(tài)變化的應(yīng)用環(huán)境充滿弱點等,這些都是對信息系統(tǒng)安全的挑戰(zhàn)。
參考文獻(xiàn):
[1]孫念龍.后門防范技巧[J].網(wǎng)管員世界,2005(6).
[2]段新海.校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡(luò),2005(3).
篇12
Keywordscomputer;network security;precautionary measure
一、網(wǎng)絡(luò)安全的定義及內(nèi)涵
1、定義。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是計算機(jī)網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全措施是指為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和。
2、內(nèi)涵。網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定,應(yīng)具有以下三個方面的特征:①保密性:是指信息不泄露給非授權(quán)的個人、實體和過程,或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個層次都存在著不同的保密性,因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層,要保護(hù)系統(tǒng)實體的信息不外露,在運(yùn)行層面,保證能夠為授權(quán)使用者正常的使用,并對非授權(quán)的人禁止使用,并有防范黑客,病毒等的惡性攻擊能力。②完整性:是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權(quán)的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權(quán)使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運(yùn)行層面,要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù),保證系統(tǒng)的可用性,使得者無法否認(rèn)所的信息內(nèi)容,接受者無法否認(rèn)所接收的信息內(nèi)容。
二、網(wǎng)絡(luò)自身特性及網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀
網(wǎng)絡(luò)信息自身具有很多不利于網(wǎng)絡(luò)安全的特性,例如網(wǎng)絡(luò)的互聯(lián)性,共享性,開放性,網(wǎng)絡(luò)操作系統(tǒng)的漏洞及自身設(shè)計缺陷等,網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計網(wǎng)絡(luò)的初衷大相徑庭,安全問題已經(jīng)擺在了非常重要的位置上,安全問題如果不能解決,會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用。現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻,不法分子的手段越來越先進(jìn),因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅,保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前我國的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問題,還不夠健全不夠完善不夠安全。計算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性,使得計算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機(jī)病毒的種類,而且許多攻擊都是致命的。
三、網(wǎng)絡(luò)安全解決方案及實例分析
要解決網(wǎng)絡(luò)安全,首先要明確我們的網(wǎng)絡(luò)需要實現(xiàn)的目標(biāo),一般需要達(dá)到以下目標(biāo):①身份真實性:對通信實體身份的真實性進(jìn)行識別。②信息保密性:保證密級信息不會泄露給非授權(quán)的人或?qū)嶓w。③信息完整性:保證數(shù)據(jù)的一致性,防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性:防止合法用戶對信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性:建立有效的責(zé)任機(jī)制,防止實體否認(rèn)其行為。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應(yīng)該操作簡單、維護(hù)方便。⑧可審查性:對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。
為了最大程度的保證網(wǎng)絡(luò)安全,目前的方法有:安全的操作系統(tǒng)及應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成,一個單獨(dú)的組件往往是無法確保信息網(wǎng)絡(luò)的安全的。圖1是某一網(wǎng)絡(luò)實例的安防拓?fù)浜唸D,日常常見的安防技術(shù)在里面都得到了運(yùn)用:
1、防火墻技術(shù)。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻,一般設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,市場上的防火墻種類繁多,它們大都可通過IE瀏覽器控制,可視化好,易于操作,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,無法防范數(shù)據(jù)驅(qū)動型的攻擊。
2、防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗,對計算機(jī)系統(tǒng)安全威脅也最大,做好防護(hù)至關(guān)重要。應(yīng)采取全方位的企業(yè)防病毒產(chǎn)品,實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。一般公司內(nèi)部大都采用網(wǎng)絡(luò)版殺毒軟件,病毒庫聯(lián)網(wǎng)升級,管理員可通過系統(tǒng)中心制定統(tǒng)一的防病毒策略并應(yīng)用至下級系統(tǒng)中心及本級系統(tǒng)中心的各臺終端,可實施實時監(jiān)控,主動防御,定時殺毒等功能。但實踐證明,僅依靠一款殺毒軟件,一種策略,并不能完整的清除所有病毒,有時需要制訂不同的安全策略或與另外一款殺毒軟件同時使用方可,此時需要具體情況具體分析。
3、入侵檢測技術(shù)。入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)控,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點審計;識別反映已進(jìn)攻的活動規(guī)模并報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。
4、安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)三者相互配合,對網(wǎng)絡(luò)安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡(luò)的掃描,能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個整體的評價,并得出網(wǎng)絡(luò)安全風(fēng)險級別,還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞,并自動修補(bǔ)。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然。
5、網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。操作系統(tǒng)種類繁多,而Windows因其諸多優(yōu)點被普遍采用,但Windows存在諸多漏洞,易于被攻擊,因此需要定期進(jìn)行更新。北信源補(bǔ)丁分發(fā)系統(tǒng)通過定時探測各終端的補(bǔ)丁數(shù),自動給各終端打上補(bǔ)丁,較大程度的避免了因系統(tǒng)漏洞導(dǎo)致的信息安全問題。安全系數(shù)要求高的網(wǎng)絡(luò),有必要對其進(jìn)行物理隔絕,采用專用軟件控制各終端的外設(shè),對各終端操作人員進(jìn)行身份驗證等等。
6、安全加密技術(shù)。分為對稱加密技術(shù)和不對稱加密技術(shù)。前者是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰;不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密,其中硬件加密又有信道機(jī)密和主機(jī)終端加密等。
7、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生變化。應(yīng)該隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系,專人負(fù)責(zé),防范安全事件的突然發(fā)生。
總之,網(wǎng)絡(luò)的第一道防線防火墻并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò),必須結(jié)合其它措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施,按照級別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機(jī)制構(gòu)成的整體安全檢查和反應(yīng)措施。
四、小結(jié)
網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,單一的技術(shù)是不能解決網(wǎng)絡(luò)的安全防護(hù)問題的。隨著信息技術(shù)的不斷發(fā)展,各行各業(yè)信息化建設(shè)的腳步也越來越快,計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入應(yīng)用到人們生產(chǎn)生活的各個領(lǐng)域,各種活動對計算機(jī)網(wǎng)絡(luò)的依賴程度也越來越高。增強(qiáng)人這一主體的安全意識,普及計算機(jī)網(wǎng)絡(luò)安全教育,提高計算機(jī)網(wǎng)絡(luò)安全技術(shù)水平,改善其安全現(xiàn)狀,才是最有效的防范措施。
參考文獻(xiàn)
[1]胡道元,閔京華.網(wǎng)絡(luò)安全(2版).北京:清華大學(xué)出版社. 2008(10)
[2]黃怡強(qiáng)等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢,2002(01)
[3]胡道元.計算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001
篇13
一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時,由于意識薄弱與經(jīng)費(fèi)投入不足等方面的原因,比如將原有的單機(jī)互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機(jī)房設(shè)計不合理,溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善
學(xué)校師生對網(wǎng)絡(luò)安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機(jī)等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識,不能安全地配置和管理網(wǎng)絡(luò);學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房;學(xué)校師生上網(wǎng)身份無法唯一識別,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計算機(jī)安裝還原卡或使用還原軟件,關(guān)機(jī)后啟動即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作,在網(wǎng)絡(luò)上運(yùn)行時,這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性,傳播到網(wǎng)絡(luò)服務(wù)器,進(jìn)而在整個網(wǎng)絡(luò)上感染,危害極大。感染計算機(jī)病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫。計算機(jī)病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺電腦中毒,就會堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀(jì)的國際恐怖活動將采用五種新式武器和手段,計算機(jī)病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢非常嚴(yán)峻,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行,同時又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時配置一臺服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器,服務(wù)器會檢查用戶的訪問請求是否符合規(guī)定,才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計算機(jī)信息,整個校園網(wǎng)絡(luò)只有服務(wù)器是可見的,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性。
(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合,通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān),對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕),控制數(shù)據(jù)包的進(jìn)出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實時/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動情況的監(jiān)控分析,通過日志分析,獲取時間、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對網(wǎng)絡(luò)攻擊行為進(jìn)行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。
(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度,定期對各工作站進(jìn)行維護(hù),對操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對病毒進(jìn)行定時的掃描檢測及漏洞修復(fù),定時升級文件并查毒殺毒,使整個校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對校園師生用戶設(shè)置用戶名和口令加密驗證,加強(qiáng)對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù),賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進(jìn)行操作,合理設(shè)置網(wǎng)絡(luò)共享文件,對各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等,定時對其進(jìn)行審查分析,及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,網(wǎng)絡(luò)管理員借助VLAN技術(shù)管理整個網(wǎng)絡(luò),通過設(shè)置命令,對每個子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個網(wǎng)絡(luò)環(huán)境下,計算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段,但仍會有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難,對網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對防火墻有益的補(bǔ)充。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計算機(jī)系統(tǒng)時,IDS能檢測和發(fā)現(xiàn)入侵行為并報警,通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實際情況,對師生進(jìn)行網(wǎng)絡(luò)安全防范意識教育,使他們具備基本的網(wǎng)絡(luò)安全知識。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作,對學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性,并安排專業(yè)技術(shù)人員定期對校園網(wǎng)進(jìn)行維護(hù)。
三、結(jié)論
校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程,長期以來,從病毒、黑客與防范措施的發(fā)展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運(yùn)用多項措施,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
參考文獻(xiàn):
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等專科學(xué)校學(xué)報,2002(8).
