時間:2023-01-28 19:43:04
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇網絡安全解決方案范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
【關鍵詞】網絡;安全;技術防范;對策
【中圖分類號】TP393.08 【文獻標識碼】B 【文章編號】1672-5158(2013)01―0445―02
引言
近年來,隨著經濟社會的快速發展,互聯網得到快速增長,互聯網的應用領域不斷擴張,已經從傳統領域拓展到非傳統領域,而且影響力越來越大。據中國互聯網絡信息中心(CNNIC)近期的《中國互聯網絡發展狀況統計報告》顯示:截至2012年12月底,手機網民數量為4.2億,中國網民數達到5.64億,全年新增網民5090萬人,普及率為42.1%;微博用戶規模為3.09億,較2011年底增長了5873萬。域名總數為1341萬個,其中“.CN”域名總數為751萬,“.中國”域名總數為28萬。中國網站總數(即網站的域名注冊者在中國境內的網站數)回升至268萬個(去年底只有183萬)。網絡安全從大的方面講,關系國家安全、社會穩定;從小的方面講,網絡安全涉及個人信息安全、財產安全,因此,積極研究探討適應新形勢發展要求的網絡安全方案,對確保網絡安全,提升網絡服務質量具有十分重要的現實意義。
1 加強網絡安全的現實意義
隨著信息化技術的不斷發展,網絡已經成為一種聯通各地、各個領域的重要基礎設施,計算機網絡的發展為人們的生產、生活、工作帶來了極大便利,拉近了全球的距離。但在看到網絡給人們帶來便捷的同時,還要清醒地認識到網絡作為一個面向公眾的開放系統,如果網絡安全意識不強、網絡安全防范措施不力,就會產生網絡安全隱患。特別是隨著信息網絡技術的飛速發展,網絡得到廣泛普及和應用,應用層次不斷深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,已經被行政部門、金融機構、企業廣泛應用,網絡在這些領域的廣泛應用,也進―步加大了網絡安全的風險。如何保持網絡的穩定安全,防止諸如黑客攻擊、非正常入侵等安全問題的發生,是一項重要任務。
由于網絡系統結構復雜、涉及終端眾多、系統開放,網絡系統面臨的威脅和風險比較多,歸納起來主要來自外部的人為影響和自然環境的影響,這些威脅有的是對網絡設備的安全運行存在威脅,有的是對網絡中的信息安全存在威脅。這些威脅的集中起來主要有:非法授權訪問,假冒合法用戶,病毒破壞,線路竊聽,黑客入侵,干擾系統正常運行,修改或刪除數據等。這些威脅一旦成為現實,將對網絡系統產生致命的影響,嚴重的可能會導致系統癱瘓,傳輸信息被非法獲取和傳播,會給相關機構和網絡用戶造成不可挽回的損失。
在網絡快速發展的新形勢下,全面加強網絡安全建設,提升網絡安全等級,對確保和維護網絡用戶利益,維護單位整體形象都具有十分重要我。特別是在當前,終端用戶往往會在終端中存儲大量的信息資料,工作手段也越來越依賴于網絡,一旦網絡安全方面出現問題,造成信息的丟失或不能及時流通,或者被篡改、增刪、破壞或竊用,都將帶來難以彌補的巨大損失,因此,積極研究探索與網絡發展同步的網絡安全解決方案,全面加強網絡安全建設,是各級網絡管理部門及用戶的重要職責,必須要高度重視,扎實推進。
2 信息系統安全威脅與風險分析
認真分析信鼠系統安全威脅與存在的風險,是進行風險管理、制定網絡安全方案的前提和基礎。通過進行有效的系統安全威脅與風險分析,可以幫助相關機構和用戶選擇合作的控制措施來降低風險。
2.1 物理安全風險分析
網絡物理安全是整個網絡系統安全的前提,相關的物理安全風險主要有:地震、水災、火災等環境事故造成整個系統毀滅;電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失;設備被盜、被毀造成數據丟失或信息泄漏;電磁輻射可能造成數據信息被竊取或偷閱;報警系統的設計不足可能造成原本可以防止但實際發生了的事故。
2.2 鏈路傳輸風險分析
網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全危脅。
2.3 網絡結構的安全風險分析
來自與公網互聯的安全危脅,基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全危脅。一些黑客會制造病毒透過網絡進行傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。
內部網絡與系統外部網互聯安全威脅。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。惡意攻擊,入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
內部局域網的安全威脅。據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。這些都將對網絡安全構成嚴重威脅。
2.4 系統的安全風險分析
系統的安全往往歸結于操作系統的安全性,決定于網絡操作系統、應用系統的安全性。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,系統本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。因此,必須要高度重視系統的安全風險,科學進行系統安全配置,從而有效降低系統風險。
2.5 應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。比如由于資源共享、使用電子郵件系統、受病毒侵害、數據信息被非法竊取,篡改等,這些都是應用層面應當防范的安全風險。
2.6 管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。機房存在惡意的入侵者,內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞。一些網絡系統管理由于責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
3 網絡安全解決方案
可以通過配置諸如:標識、密鑰管理、安全管理、系統保護、鑒別、授權、訪問控制、抗抵賴、受保護通信、入侵檢測與抑制、完整性證明、恢復安全狀態、病毒檢測與根除等技術類安全控制來有效防止給定類型的風險與威脅;通過建立相關的安全管理機制,實現管理在的安全控制;通過建立一整套嚴謹的控制指南,實現操作類的安全控制,從而實現信息系統安全控制。
3.1 做好物理防護
保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。要嚴格按照相關標準建設網絡,防止人為降低建設標準。確保設備安全,采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
3.2 確保系統安全
要認真判斷網絡拓撲結構是否合理;線路是否有冗余;路由是否冗余,防止單點失敗等。工行網絡在設計時,比較好的考慮了這些因素,可以說網絡結構是比較合理的、比較安全的。對于操作系統要盡可能采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件,對使用權限進行嚴格限制;加強口令字的使用,增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令,并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描,發現其中存在的安全漏洞,并有針對性地進行對網絡設備重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
3.3 突出網絡安全
網絡安全是整個安全解決方案的重中之重,要從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒等方面,采取切實可行的對策措施,確保網絡安全。要嚴格落實《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》、《安全責任制度》等安全管理制度。設置虛擬子網,各子網間不能實現互訪,實現初級訪問控制。設置高等級防火墻,通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。利用防火墻并經過嚴格配置,可以阻止各種不安全訪問通過防火墻,從而降低安全風險。但是,網絡安全不可能完全依靠防火墻單一產品來實現,網絡安全是個整體的,必須配相應的安全產品,作為防火墻的必要補充。入侵檢測系統就是最好的安全產品,入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail)。建立網絡掃描系統,對網絡系統中的所有操作系統進行安全性掃描,檢測操作系統存在的安全漏洞,并產生報表,并自動進行相關修復。通過預防病毒技術、檢測病毒技術、殺毒技術,實施反病毒措施,防止病毒進入網絡進行傳播擴散。
3.4 確保應用安全
應用是信息系統安全應當關注的重要內容,要通過規范用戶的行為,來實現應用安全。要嚴格控制內部員工對網絡共享資源的使用,尤其要限制共享資源的濫用,在內部子網中一般不隨意開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設得復雜些,也得花費相當長的時間。適當配置資源控制,要精心設置訪問權限,并拒絕未經授權人員的登錄,減少有意或無意的案例漏洞。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
隨著信息高度共享,信息化程度不斷提高,給企業帶來了諸多便利的同時,網絡安全問題日趨嚴重,由外網迅速延伸至內網。從近來病毒發作的情況來看,病毒的攻擊目標沒有特定性,而且越來越隱蔽,如不提前防范,一旦被襲,網絡阻塞、系統癱瘓、信息傳輸中斷、數據丟失等等,無疑將給企業業務帶來巨大的經濟損失。
二、中小企業網絡安全解決方案
這種典型的網絡規模較小的企業平均不到50臺計算機,企業處理的信息量不是很大。
2.1 訪問控制解決方案
網絡的拓撲結構是否合理是決定網絡安全的重要環節,不同的目的子網的要求,有不同的網絡設計。把具有相同安全目的的主機劃分在同一子網之內,區別不同的安全水平。只有更好地考慮這些因素,將網絡結構存在的安全隱患將至最低。
(1)安全物理隔離。內網與互聯網直接連接是不安全的。只要是內網與互聯網直接鏈接,無論通過什么樣的手段,肯定存在著被黑客攻擊的可能。
因此,從安全角度來考慮,應該對企業計算機內網與企業計算機網絡外網之間架設一道物理屏蔽,對內部網絡中需要上因特網的用戶機器安裝物理隔離卡,從而保證內部信息不被泄露。
(2)配備防火墻。網絡安全最經濟,安全最有效措施就是防火墻。防火墻通過制定嚴格的安全策略來實施內部和外部網絡區域之間的隔離和訪問控制,單向或雙向控制的實現是通過各種信任的網絡和防火墻,可根據時間、流量的訪問控制,過濾一些不安全服務。
2.2 網絡系統解決方案
(1)網絡操作系統安全。使用更高版本的網絡操作系統,使一些不常用,不安全的應用程序和端口處于關閉狀態。對于一些保存了用戶信息和使用密鑰的文件嚴格限制,加強密碼的水平,并及時對系統漏洞補丁,不對外公開系統內部的使用情況。
(2)應用系統安全。應用服務器盡量不要打開一些不經常使用的協議和協定窗口。作為檔案服務和E―mail服務器的應用系統等,可關閉HTYP、FTP、遠程登錄服務等不常用協議。還有就是加強登錄時的密碼強度。管理者限制登陸者操作權限,限制在最小的范圍內。
2.3 入侵檢測解決方案
功能強大的反病毒反入侵的手段是入侵檢測手段,是在特定網絡環境中未經授權或惡意攻擊和入侵被識別和反應的過程。它主要有搜集資料,并分析這些信息,計算機系統是否有被違反安全策略的行為和遭到攻擊的跡象。具有監測分析用戶和系統的能力,評測系統完整的數據,對統計異常的行為進行識別,并自動收集和相關系統的修補程序,使用服務器記錄黑客的功能。入侵檢測是在不影響網絡性能的情況下的監控,是一種積極的安全保護技術,為內部和外部的攻擊提供實時保護。
但是入侵檢測設備雖然很實用,價格卻普遍偏高,如果中小企業資金允許,人員齊備的話,建議加裝入侵檢測設備,這樣可以做到防患于未然。
2.4 網絡防病毒解決方案
衡量反病毒技術是基于計算機病毒功能來判斷技術來確定病毒的類型。計算機防病毒技術在分析病毒代碼的基礎上,制定了刪除病毒程序并恢復原始文件的軟件。反病毒的具體實現方法包括網絡服務器、文件、E-mail等工作站技術進行頻繁掃描和監測。一旦發現和病毒代碼庫匹配病毒代碼,反病毒程序將采取相應措施,防止病毒進入網絡相互傳播。防病毒系統可以防止病毒侵權使用。但是,新的病毒會隨著時間的推移不斷出現。這就需要及時通過互聯網或防病毒系統更新等手段安全管理員或用戶升級。一般中小型企業大都采用windows服務器的操作系統根據國內外各種網上的反病毒軟件的綜合比較,所以本文建議采用Symantec公司Symantec系列或是微軟公司的ForeFront系列等產品。
2.5 數據備份和恢復安全解決方案
備份和恢復系統存在的目的,是盡快分發給計算機系統整體必要的數據和系統信息。備份不僅在網絡系統硬件故障或人為錯誤時起到保護,在黑客的網絡攻擊時起到保護作用,也同時作為一個系統崩潰恢復的先決條件。
這個解決方案我們使用Symantec Ghost,Ghost備份和恢復系統具有以下功能:備份數據的完整性,并要備份介質的管理技巧。支持多個備份,定期自動備份,還可以設置備份自動啟動和停止為多個文件的格式備份,支持多種日期標定方法,以保證備份的正確性,提供在線數據備份功能;支持RAID的容錯技術和圖像備份功能。由于Ghost操作簡便快捷,功能強大,所以本方案推薦使用。
隨著網絡技術的不斷發展,社交網絡逐漸融入到人們的生活中,一定程度上改變人們的交流方式。人們在利用社交網絡過程中常常會涉及一些重要信息,甚至是用戶的隱私。怎樣提高社交網絡安全性,營造良好的社交網絡環境,是業內值得深思的重要問題。本文對社交網絡安全問題進行分析,提出相關的解決方案,為營造安全的社交網絡環境提供參考。
關鍵詞:
社交網絡;安全問題;解決方案;分析
0引言
社交網絡的出現給人們彼此之間的交流提供了前所未有的便利。利用社交網絡不僅可與親朋好友交流感情,而且還可結識一些新朋友擴大交際圈。因此,人們不可避免的在社交網絡上留下一些重要信息,如何確保社交網絡安全問題,引起越來越多人的關注。
1社交網絡安全問題分析
社交網絡已成為人們生活中的重要組成部分,尤其在科技飛速發展推動下,社交網站及軟件逐漸向服務的多元化方向發展,其功能越來越強大,不僅僅局限在溝通交流方面。這一發展無疑給社交網絡安全提出更高要求。因此,對社交網絡出現的安全問題進行匯總,為提出針對性解決方案提供指導,對促進社交網站及軟件的長遠發展意義重大。
1.1網絡安全問題
網絡安全是社交軟件或社交網站面臨的重要問題,而且每年都會發生一些網絡安全事件,給企業及用戶帶來嚴重不良影響。分析發現,導致社交網絡安全問題出現的因素非常之多,有些是無意的,如通信光纖被挖斷,有些則是有預謀的。例如,部分不法分子攻擊社交網絡,以獲得一些重要信息從中牟利,不僅影響社交網絡工作穩定性,而且引起用戶重要信息的泄露。另外,一些不法分子竊聽社交網絡,竊取用戶重要的聊天信息,尤其針對一些企業社交賬戶,一旦因網絡攻擊而泄漏重要信息,導致企業機密的泄漏,給企業造成嚴重經濟損失。
1.2信息安全問題
一些不法分分子攻擊社交網站或軟件的數據庫,竊取用戶的賬戶信息,能夠輕而易舉的登錄社交網站及軟件,竊取用戶的個人信息、瀏覽用戶的聊天記錄等,導致用戶隱私泄漏。另外,社交網站開發過程中因考慮不周存在bug,這些bug一旦受到蠕蟲及黑客攻擊,會惡意添加一些下載文件的鏈接或植入不良代碼,當用戶點擊后會下載一些病毒,或將重要信息發送給黑客,如此黑客便輕而易舉的竊取用戶相關賬戶信息,從事某些非法活動,嚴重損害用戶利益。
1.3網絡犯罪問題
一些不法分子通過攻擊、監聽等手段獲得用戶信息后會從事一些網絡犯罪活動。例如,當獲得用戶的賬戶信息后,在用戶空間一些不良信息,引誘用戶好友點擊,以達到傳播目的。同時,一些用戶為便于好友識別,常常將個人信息填寫在社交網站或軟件上,當不法分析運用相關手段獲得用戶的個人信息后,常常冒充用戶好友、企業老板等,給用戶好友或企業財務人員發信息,以達到騙取錢財的目的。另外,部分不法分子竊取用戶的賬戶信息后,一些虛假信息,威脅國家安全,甚至引發社會恐慌等。
2社交網絡安全問解決方案
社交網絡極大的方便了人們的溝通與交流,拉近了人們之間的距離,使人們充分享受到了信息時代的樂趣。但人們在享受這一新的交流方式時,不能忽略安全方面的考慮,應積極提出有效的解決方案,以解決社交網絡面臨的安全問題。
2.1加強社交網絡管理
在網絡技術發展推動下,我國社交網絡發展迅速,出現了一大批社交網站及軟件,如豆瓣、人人網、新浪微博等,尤其以騰訊的QQ、微信為代表,其擁有龐大的用戶群。這些社交網站及軟件一旦出現安全問題,后果不堪設想。因此,為避免社交網絡出現安全問題,無論企業內部還是國家職能部門應加強社交網絡管理。一方面,企業內部應將社交網絡管理當做重要工作加以落實,尤其注重對網絡的監控,及時發現網絡攻擊行為。同時,與網絡運營商建立良好的合作伙伴關系,針對出現的網絡安全問題及時與運營商溝通,共同解決網絡安全問題。另一方面,國家職能部門應充分認識到當前社交網絡擁有的龐大用戶群,無論從我國信息化發展角度,還是從輿論引導角度,均應重視對社交網絡的管理。因此,國家職能部門應做好社交網絡立法工作,加大對破壞網絡安全行為的處罰力度,營造安全、健康的社交網絡氛圍,尤其針對利用社交網絡坑蒙拐騙的行為,應督促企業鎖定賬戶,情節嚴重的給予封號處理,或追究刑事責任。
2.2采取安全防護策略
社交網站及軟件運營企業應從用戶的利益出發,切實維護用戶權益,采取針對性防護策略,避免用戶信息的泄漏。一方面,立足企業內部,充分分析社交網站及軟件特點,從安全角度分析社交網站及軟件存在的bug,定期向外界,供用戶下載,及時修補存在的bug,不給不法分子留下機會。另一方面,做好數據庫的安全管理。眾多周知,對社交網站及軟件而言,數據庫存儲大量的用戶資料、用戶聊天信息,保護用戶資料安全是企業的職責,一定程度上關系著企業的長遠發展。因此,企業可采取硬件與軟件相結合的方式提高數據庫安全性。在硬件方面,應設計出合理的硬件架構,以屏蔽大量的安全隱患。同時,與實力強的服務器提供商合作。企業應根據用戶數量及自身業務狀況,與綜合實力較強的服務器提供商合作。原因在于綜合實力較強的服務器提供商,不僅能保證服務器工作穩定性,而且在機房管理方面更為嚴格,避免機房原因引起服務器故障的產生。在軟件方面,社交網站及軟件運營企業,同樣需進行軟件架構的合理設計,良好的軟件架構可明顯提升服務器運行安全性,防止數據庫出現不良問題。同時,還應使用數據庫安全策略,最大限度的提高服務器的防攻擊性能。
2.3不斷更新安全技術
眾多周知,網絡技術發展迅速,更新周期比較短,一些新的安全技術不斷涌現。為此,社交網站及軟件運營企業應不斷更新安全技術,提高社交網站及軟件整個系統的安全性。首先,企業應綜合分析當前運用的安全技術存在的不足,尋找其與新安全技術的契合點,有針對性的應用新安全技術。其次,企業應加強與國際間安全技術企業的交流與合作,把握安全技術發展動向,引進新的網絡安全思路與方法,做好用戶聊天信息的保護。最后,在社交網絡及軟件改版時,將安全問題當做重要內容加以考慮,最大限度的提高社交網站及軟件安全性,避免安全漏洞的出現,讓不法分子有機可乘。另外,考慮到社交網絡安全性,參與的角色很多如,社交網站及軟件運營企業、網絡運營商、服務器提供商等,除運營企業更新安全技術外,網絡運營商及服務器提供商同樣應注重安全技術的更新。尤其對于網絡運營商而言,提高網絡安全性是其重要職責,為此,網絡運營商應增加在網絡安全方面的投入,及時更新網絡設備,及安全管理系統,加強對網絡運營的監控,尤其應結合大數據思想分析出不法分子的活動規律,及時鎖定異常流量,洞察發生的網絡安全問題。另外,服務器提供商應定期更新管理技術,不斷提高服務器安全技術水平,將攻擊服務器的發生機率降到最低。
3總結
社交網絡已經融入到人們的生產生活中,拉近了人與人之間的距離,使得人與人之間的交流更為方便。但隨之而來的社交網絡安全問題,給用戶及社交網站及軟件運營企業帶來諸多意想不到的麻煩。因此如何確保社交網絡安全也引起了人們的高度重視。為確保社交網絡安全性,企業及國家職能部門應結合當前我國社交網絡安全實際,積極尋找有效的解決方案,不斷提高我國社交網絡安全水平,為人們安全的使用社交網絡及軟件保駕護航。
作者:李永亮 單位:山東交通職業學院
引用:
[1]劉建偉,李為宇,孫鈺.社交網絡安全問題及其解決方案[J].中國科學技術大學學報,2011.
[2]吳振強.社交網絡安全問題及其對策[J].網絡安全技術與應用,2014.
[3]周禹江.淺談社交網絡安全問題與解決方案[J].技術與市場,2015.
關鍵詞:移動云計算;網絡安全;解決思路
移動云計算領域是云計算和互聯網相互融合而產生的,通過移動網絡獲取資源的一種交付模式。網絡的發展也會帶來些許問題。接下來筆者通過對移動云計算的內容進行詳細介紹,分析當前面臨的一系列網絡安全問題,并提出探討出適合各個安全問題的解決方法。
一、移動云計算
想要更好的找到解決網絡安全的方法,就要先了解移動云計算的詳細內容,接下來通過對內容的梳理使得讀者可以更好地了解。服務模式。服務模式可能涉及到使用信息技術和軟件,互聯網或其他服務。云計算的主要思想是,為了將與網絡有關的大量計算機資源綜合起來,創建一個計算機資源庫,為用戶提供所需服務。提供資源的網絡被稱為“云”。云資源豐富,用戶方便獲取,可根據需要使用。
二、移動云計算領域的網絡安全
現如今的科技發達,網絡普及快速,網絡安全也因此更加嚴峻。在移動云計算環境之下,很多軟件,硬件應用在內,而且移動云是完全公開的,所以解決起來也需要全方面的考慮。
(一)網絡安全網絡安全包括保護硬件、軟件和數據不受惡意或意外干擾、破壞和泄漏的影響。整個環境保持穩定,網絡通暢。移動云計算環境下的網絡安全必須是創新的,并與傳統的網絡相結合。傳統的網絡系統在流動云層系統方面發生了重大變化:傳統的企業網絡系統相對關閉,其主要應用程序在企業內部。只有web服務器,郵件服務器和其他幾個面向外部世界的節點是通過移動云計算的。因此,只有在外部接口安裝防火墻,才能滿足基本的安全需要。但是,移動云具有面向人群、部署更加復雜靈活等特點。計算云層的方法是分布式計算、網格計算、功能計算、虛擬化、負載均衡、移動互聯網等多種技術綜合作用的結果,因此,與計算云相關的網絡安全問題日益嚴重。
(二)移動終端設備安全問題首先,它的保護重點是控制權和移動設備的系統權利。為了使終端能夠成功地訪問移動云環境,必須制定一項安全戰略,其中包括強制性身份證和合法獲取身份資料的機會,非法保護和定期更新密碼有效防止未經授權的帳戶使用同時,移動云服務供應商也必須提供安全的移動應用程序。限制某些不安全的用戶操作,實時防止某些危險行為,及時控制終端安全。移動式云層安全軟件還應有助于發現所有移動客戶的行為異常,并與此相結合。第三,移動云安全軟件還應多方技術手段,支持對其所有移動客戶端中的應用軟件行為進行異常檢測,獲得最新的特洛伊木馬數據,向所有移動客戶分發安全解決方案;確保有效的終端安全。
(三)移動云計算管道安全移動云環境中的管道是計算云計算整個結構的中間環節,或者可以說是云移動的安全地點。移動終端的種類和訪問范圍廣泛。因此,移動設備的使用必須統一。應用程序服務接口。我們也需要通過一個外勤安全戰略。在建立一個單一的服務接口,需要建立一個狹窄的通信渠道,這樣,作為防火墻,安全網關等,迫使攻擊者使用這個狹窄的通道進行監測和監視。同時,可以在一個狹窄的通道中部署一個數據內容過濾裝置,以找到和篩選敏感信息,這允許您過濾各種網絡協議的內容。此外,在數據傳輸過程中,必須保證數據包通過管道加密。同時,當數據包通過管道時,管道可以用數據包封給每個用戶一次,每個包都會生成隨機密鑰,破解密鑰的方式只能為云服務商知道,采用若干密碼機制,防止主動和被動攻擊,如攔截、中斷、偽造、偽造等。確保傳輸管道的安全和通暢。
網絡安全威脅的主要來源。網絡安全的威脅是現代企業管理中經常會遇到的安全性問題,網絡安全的來源具有不同的渠道和類型。在傳統的理解中,網絡安全威脅主要是病毒感染,但是,網絡技術不斷升級的情況下,網絡安全更多的是對網絡的非法入侵,對網絡的攻擊和訪問。在大型企業中,網絡安全的來源既有內網的威脅,也有外網的威脅,而內網的威脅遠比外網的威脅要大得多,如果內網遭到攻擊,那么,對大型企業的危害則是深入的。網絡的安全隱患主要包括病毒、木馬或者惡意軟件的侵襲,網絡黑客的攻擊,文件或者郵件被非法竊聽與訪問,重要部門的信息被訪問同時造成泄漏,外網的非法入侵,備份數據和存儲媒體的損壞和丟失。針對于企業網絡安全的認知誤區。對網絡安全的認知過程,是網絡安全進行威脅處理的重要思想基礎。在很多人都意識中,網絡安全不是特別重要的事情,甚至認為只要是安裝了防火墻,或者安裝了防病毒的工具,使用了加密技術或者對數據進行了必要的保存,就不會遭到網絡攻擊,而實際上網絡安全威脅遠比意識中的要嚴重和復雜的多。例如防火墻的主要作用是用來控制兩個網絡之間的訪問,它主要是限制互聯網之間的來往,防火墻是隔離技術,在不同的網絡之間控制安全域信息的出入。防火墻的主要工作就是控制存取和過濾封包,對針對于工作性的措施進行防范。但是,在網絡安全威脅中,如果攻擊行為越過防火墻,防火墻就沒有多大的用處了。防火墻用于防止外部入侵,而無法防止內部入侵。還有人認為殺毒軟件很有作用,殺毒軟件是防止病毒的入侵,對系統中的病毒進行查殺,但是,在實際應用中可以發展,很多殺毒軟件的功能都落后于病毒的更新,而且每一臺機器的殺毒軟件,都是把重心集中在網絡防毒的系統管理上。如果沒有網絡作為依托,殺毒軟件就會失去單擊操作的能力。
1大型企業網絡安全的設計
(1)大型企業網絡安全的主要需求。企業網絡安全的主要需求是根據具體業務的發展而確定的。以國家電網的電力企業為例,在網絡安全上,需要建立具有Web和Mail等服務器和辦公區客戶機,企業的各個部門之間能夠進行相互的聯系,同樣,也要進行必要的隔離。大型企業網絡安全的設計中,主要的需求就是對網絡設備進行組網規劃,對網絡系統的可用性進行保護,對網絡系統的服務設施連續性設計,防止網絡資源的非法訪問,防止入侵者的惡意破壞,保護企業信息的機密性和完整性,防范病毒的侵害,對網絡進行安全管理。以電力企業為例,對網絡安全的需要主要是對業務的辦理和系統的改造,要求企業的網絡具有穩定性,能夠保證各種信息的安全,防止圖紙或者文檔的丟失。
(2)大型企業網絡設計的功能。在企業的發展建設中,應用計算機網絡進行運營控制,提高了企業的經營和管理效力,但是,因為技術性的原因,也給網絡安全帶來的隱患。企業對于網絡設計的功能主要可以體現在企業要求最資源進行共享。也就是說在網絡內部企業的各個部門都能夠共享數據庫,共享打印機,形成辦公自動化的良好秩序。對于大型企業而言,業務繁多,辦公自動化非常重要,通過辦公自動化能夠形象高效率的工作方式。在通信服務方面,通過廣域網能夠隨時接發郵件,實現Web應用,同時,接入互聯網實現網絡的訪問,這樣可以使企業能夠隨時在網絡上進行查詢,能夠保證最新鮮資訊有明確的了解。
(3)大型企業網絡設計的原則。大型企業的網絡設計原則主要是以企業的運行為基礎,以提高企業的運行效率為根本。在設計原則上需要掌握:第一,應用的便捷性。網絡系統要以應用為前提,在實用性和經濟方面具有絕對性優勢,通過建立企業的網絡系統,能夠把企業統一到一個資源共享的平臺。在資源利用上,保持好良好的狀態。第二,技術的成熟性。網絡系統設計需要進行不斷的更新,以先進的技術和方法,引領網絡發展。企業的運行中,涉及的部門多,業務種類多,這就要求網絡系統對設備和工具十分熟悉,在網絡的支撐下,能夠完成各個部門的具體化工作。第三,系統的穩定性。大型企業依靠網絡進行的工作很多,這就網絡系統一定要具有超高的穩定性,在技術措施上,系統管理中,廠商技術中,維修能力方面都要能夠隨時確保系統的運行可靠性。如果網絡系統運行不穩定,就會給整體企業的運營帶來時時的危險性。例如大型電力企業中,如果網絡不穩定,就會造成數據采集不穩定,就會給整體信息收集帶來不良后果。
(4)具體應用技術的實施。在技術應用上,需要從網絡安全的內部和外部進行綜合控制。在位置選擇上,需要選擇具有防震、防風和防雨功能的建筑物,機房承重要求要滿足設計要求,避免強磁場,強噪聲的環境,避免重度污染的環境,避免容易發生火災的環境。電力供應方面要選擇穩定的電壓,設置電壓防護設備,能夠提供短期備用電的地方。在電磁防護方面,采用接地方式防止外界干擾,電線和通信線路要進行必要的隔離,防止二者之間相互干擾。在訪問權限上實施控制策略,企業的決策層,財務層,市場運營管理和生產層,都要進行分級別的VPN設計,各個VPN層級要有明確的區分。
2大型企業網絡安全解決方案的實現
(1)確保網絡企業的物理安全。網絡安全的前提和基礎性條件就是物理條件,在物理安全上,要重視環境設置。在機房環境安全上,要將信息系統的計算機硬件,網絡設施等進行統一的管理。防止自然災害,物理性損壞和設備故障,電磁輻射,痕跡泄漏,操作失誤,意外疏漏等。在傳輸介質的選擇上,要配有支持屏功能的連接器件,介質要具有良好的接地功能,能夠對干擾嚴重的區域使用屏蔽線,增強抗干擾能力。在傳輸介質上,光纖具有明顯的優勢。
(2)形成網絡防火墻的優化配置。網絡防護墻對于網絡安全是一項重要的技術類型,網絡防火墻在配置過程中要掌握好,防火墻選擇的數碼類型,或者防火墻和VPN功能的結合,在防火墻的設計上,確定好源域,源地址對象,目的域,目的地址對象。防火墻要設置全局訪問策略,在域內或者域間進行訪問,內部網絡為信任區域,外部網絡為不信任區域。防火墻允許外部網絡訪問,但是不能進行內部訪問,中間位置的訪問需要進行權限設置。網絡防火墻的優化配置,是形成網絡防護的重要方式,網絡防火墻的設計對于網絡安全是重要的技術措施。
(3)實現網絡VPN的準確對接。在網絡技術不斷進步的過程中,對網絡安全解決的方案也逐漸進行完善。網絡安全需要建立多重防御體系,同時在商業及技術機密上,要做好多種防范措施。大型企業是國家經濟建設的重要組成部分,是創造經濟效益和社會效益的集合體。網絡的VPN功能主要是通過防火墻實現,在設計中主要是通過PPTP協議來是網絡VPN,因此,首要的任務就是增加PPTP地址池,在PPTP設置中,選擇Chap加密認證。
(4)構建網絡防病毒多重體系。網絡安全解決方案中防病毒體系的構建至關重要。通過防病毒體系的構建,可以針對企業網絡安全的現狀進行設計,通過建立多種防病毒方案,確保在簡單或者復雜的網絡環境下,都能夠設計出適應大型企業運行情況的計算機病毒防護系統,這種系統可以適應多臺機器,可以適用于多個服務器,在不同的超大型網絡中,能夠具有先進的系統結構,超強的殺毒能力,有效的遠程控制力,可以方便進行分級和分組管理。
3結語
現代化的企業采用的方式也是現代化的,現代化的技術具有明顯的優勢,同時,也存在一定的弊端。網絡信息資源的共享,為企業發展提供了智力支持,但也給企業帶來了很多不安全的因素。對于大型企業的網絡安全而言,要從技術上和管理上進行控制,通過有效的管理手段和升級化的技術,突出技術與管理的融合,實現網絡安全的有效控制。
參考文獻
[1]彭長艷.空間網絡安全關鍵技術研究[J].國防科學技術大學,2010.
[2]阿萊.計算機網絡安全問題及解決策略初探[J].信息與電腦(理論版),2012.
[3]卜祥飛.大型企業網絡信息安全問題與解決方案[J].全國冶金自動化信息網2012年年會論文集,2012.
[4]周未,張宏,李千目,郭萍.計算機與信息技術[J],2011.
Abstract: Information and network technology plays an important role in manufacturing and operations of power enterprise, especially as the internet develops rapidly, informatization and digital technology have been extensively applied in power industry .Power companies have established a large and complex scheduling data networks and integrated information network, computer network, information systems have become an increasingly important and necessary technical support system, which result the risk that faced with information, network security may also penetrate into all aspects of power production and operation. Current information and network security has become a big issue that impacting on electricity safety.
關鍵詞:電力;網絡;安全;方案
Key words: power;network;security;plan
中圖分類號:TP39 文獻標識碼:A文章編號:1006-4311(2010)27-0165-01
1電力行業的特點
電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到電網調度自動化,繼電保護及安全裝置、廠、站自動化,配電網自動化,電力負荷控制分析、電力市場交易、電力營銷、信息網絡系統等,發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。
2網絡安全分析
一般說來,在電力網絡系統中的安全防護主要包括三個方面:一是網絡拓撲的結構防護,即在后期當網絡的結構調整時,要注意增刪節點的合理性;二是硬件方面的防護,即組成網絡系統中的各類設備;三是軟件方面的防護,即網絡系統中存儲和傳輸的信息數據。
3網絡安全的防范技術
①配備安全評估系統,定期對電力網絡系統進行掃描,主動發現安全漏洞,及時修補。②采用全網統一的網絡防病毒系統,保護網絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統的可用性。③作為防火墻的補充,須在內部關鍵業務網段配備入侵檢測系統和防御系統,以防備來自內部的攻擊及外部通過防火墻的攻擊。④對關鍵業務信息跨地區的傳輸,采用VPN產品進行加密,保證傳輸過程中的信息安全。⑤對于網絡設備、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統。⑥配備災難恢復系統及冗余,防備意外的發生。⑦建立完善的網絡安全管理制度,防止出現人為的安全隱患。
4安全解決方案
4.1 總體設計思路和原則。在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術手段。使用防火墻產品劃分網絡區域,對需要保護的區域進行網絡層的訪問控制。正確使用系統中已有的安全機制,各系統通常包含了基本的安全機制,如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統可被利用的漏洞。采用專用產品強化系統中對安全構成威脅的薄弱環節(包括防病毒)。用必要和有效的監控和審查機制保證安全機制的有效性,安全策略的正確性;定期審查。持續監控,部署必要的技術和產品在安全機制失效和災難的情況下采取正確、及時、有效的措施。及時報警,以爭取管理和技術人員的及時介入。在入侵正在進行時自動或通過人員干預終止威脅系統安全的行動。系統遭到破壞是在盡可能短的時間內回復系統的運行。
4.2 網絡安全產品的部署
①防火墻的配置:作為保護電力系統內部網免遭外部攻擊,最有效的措施就是分別在電力系統各級內部網與外部廣域網之間放置防火墻,通過設置有效的安全策略,做到對電力系統內部網的訪問控制。不改變原來網絡拓撲結構,且保證通訊速度不受較大影響,可以配置使用基于狀態檢測包過濾技術上的流過濾技術的防火墻――硬件防火墻系統。
②入侵監測系統的配置:為了防范來自電力系統內部網絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統內部網各重要網段配備入侵檢測系統,通過對網絡行為的監視,來識別網絡的入侵的行為。實時監視網絡上正在進行通信的數據流,分析網絡通訊會話軌跡,反映出內外網的聯接狀態;通過內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊的情況,查詢網絡事件,進行相應的響應;能根據所發生的網絡安全事件,啟用配置好的報警方式,比如Email、聲音報警等;提供網絡數據流量統計功能,能夠記錄網絡通信的所有數據包,對統計結果提供數表與圖形兩種顯示結果,為事后分析提供依據;默認預設了很多的網絡安全事件,保障客戶基本的安全需要;提供全面的內容恢復,支持多種常用協議;支持分布式結構,安裝于大型網絡的各個物理子網中,一臺管理器可管理多臺服務器,達到分布安裝,全網監控,集中管理。
③信息傳輸加密產品的配置:為了保護數據信息從發起端到接收端傳輸過程的安全性,在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機,由于網絡層加密設備可以實現網關到網關的加密與解密,因此,在每個有重要傳輸數據的網點只需配備一臺網絡層加密機。利用加密技術以及安全認證機制,保護信息在網絡上傳輸的機密性、真實性、完整性及可靠性。高加密強度的安全隧道,認證通信雙方的身份,實現基于應用的訪問控制。有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄。提供穿越防火墻的VPN應用模式,可以用直連的方式把通過認證的數據直接傳送到主機的應用程序;可以與第三方認證產品集成,提供更強的身份認證和訪問控制功能。
④防病毒系統部署。總之電力企業網絡的安全保障可從以下幾方面考慮:a.在電力企業網絡各節點處構筑防御(如防火墻),防止外網影響內網。b.建立一個統一、完善的安全防護體系,該體系不僅包括防火墻、網關、防病毒及殺毒軟件等產品,還有對運營商安全保障的各種綜合措施,通過對網絡的管理和監控,可以在第一時間發現問題,解決問題,防患于未然。c.在互聯網日益廣泛應用的今天,為保障電力企業網絡的安全,必需樹立全程安全的觀念。
參考文獻:
[1]CCNA DISCOVERY企業中的路由、交換技術[C]//思科網絡技術學院教程.
[關鍵詞]網絡安全;加密;授權
doi:10.3969/j.issn.1673 - 0194.2015.22.117
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2015)22-0-01
通信技術和網絡技術正以前所未有的速度發展,互聯網的用戶數量也達到了一個新的數量級,企業開展了很多依賴于網絡的業務,如電子支付、大數據等。這些業務都要求網絡的各個角度都能保證網絡用戶的數據和信息安全。隨著醫療水平的發展,醫院也開始大量使用信息化技術來開展日常的診治工作,在醫院中形成了醫生看診、拿藥、檢查、醫治等一系列的網絡服務。如果醫院的網絡不能保證是安全的,這些環節中的任何一個環節出錯,都會給醫院和患者帶來經濟損失,甚至會因為被篡改的數據危及患者的生命健康。因此,本文研究并設計了一個醫院網絡的綜合性解決方案,從網絡安全的不同角度分析如何保障醫院網絡的安全性。
1 網絡防病毒方案
醫院的信息管理需要在網絡的環境下運行,而網絡中現在計算機病毒較為猖獗,醫院的網絡必須具備較強的防病毒能力。在醫院網絡中需要設置專門的病毒防治系統,能有效防止病毒的入侵。防病毒系統主要部署在服務器、PC終端和電子郵件系統中。
服務器是整個醫院網絡中最為核心的硬件。如果服務器感染了病毒,會對整個醫院網絡造成非常大的威脅,病毒就很有可能通過服務器對醫院信息管理中的重要用戶信息和診治信息進行竊取或破壞。
醫院網絡的PC終端是很多的,不同的終端用戶的安全意識水平不同,技術能力也有很大差別,這樣就會使得PC終端成為病毒最容易感染的設備。如果PC終端發生病毒感染,終端的病毒就會利用網絡向醫院網絡發送病毒植入程序,然后通過植入的病毒程序將系統的重要文件進行破獲或盜取。,醫院網絡的所有的PC終端都需要安裝防病毒軟件。
另外,需要設置防病毒軟件的是醫院中的郵件系統。系統的郵件系統主要由兩種:第一種是系統的專網使用的公務郵件系統,在這種郵件系統中需要設置專門的垃圾郵件處理系統和病毒掃描的引擎。另一種是系統的終端用戶自己使用的郵件收發系統,這些郵件系統的收發方式可能是POP 3或SMTP。,需要在系統的終端設置防病毒軟件來防止郵件被竊取或惡意篡改。
2 終端安全方案
醫院網絡中的終端數量眾多,終端的安全直接關系到系統的安全性。它直接關系系統是否能正常運轉,一個設計良好的終端安全方案不僅能保證終端的安全,還能提高整個系統的安全保障能力。
終端安全方案包括很多內容,主要包括終端安全防護、終端審計和終端應用監管等。終端安全防護主要是在終端安裝防火墻和設置文件保護上,控制可能影響終端安全的威脅。終端審計是通過審計手段來分析是否在系統中設置了安全策略和其他安全保障手段,是否得到了有效執行。終端審計在終端安全方案中的作用非常大,它可保證系統的所有的終端始終在系統的有效監管下。終端審計工作是由專人負責的,如果發現終端的安全性不符合安全策略的規定,要對其立即糾正。終端應用監管是對終端用戶的行為進行監控,例如,終端用戶需要進行身份信息的驗證才能登錄系統,將終端的很多可濫用網絡應用的端口進行封閉管理等。
3 數據加密方案
醫院網絡的安全性還體現在數據的機密性上,其具體體現在兩個方面。
一是信息源的加密。系統中的信息源主要有文字、聲音、圖像等,這些信息源的存儲是通過文件或數據庫的形式實現的,而系統可選擇加密這些文件或數據庫信息,進一步提高系統的數據再存儲方面的安全性。
二是信息傳輸通道的加密。在系統中,可設置一個專門用于加密傳輸通道的安全子系統,該系統的作用就是可根據信息傳輸的情況分別的不同的網絡層進行加密,然后專門再對傳輸通道加密,加密的方式可直接加密,也可調用其他的加密API來實現加密。
醫院網絡中采用的加密體制包含了對稱密鑰的體制,也包含了基于公鑰的體制,這樣做的主要目的是為了在不同的系統應用中來使用不同的手段來進行加密,這樣以來,不僅能最大限度的保證系統的安全,也在很大程度上提高系統的效率。
4 系統授權和訪問機制
醫院的信息一般都是采取集中式管理的,系統就相應的需要采用集中的授權訪問控制模式。該模式下的授權訪問可對用戶的屬性集中管理,然后通過屬性值為用戶發生授權證書。授權中心的業務管理人員具體管理用戶的授權屬性的信息,各個應用系統對用戶的授權和身份證書同時進行驗證,這樣才能確定用戶具備什么權限,從而為具體的用戶進行授權的訪問控制。授權證書中包括用戶的多種屬性信息,這些信息能確定用戶的權限。例如,基于用戶角色、用戶標識、用戶資源級別等訪問控制,而對訪問控制的粒度而言,也是可靈活變化的,從基于IP的控制到對數據庫字段的控制,訪問控制粒度從粗到細,可根據不同的應用系統進行靈活選擇。
5 結 語
醫院管理系統中的信息直接關系到患者的就診情況和醫院的日常管理。醫院需要一個綜合性的網絡安全解決方案來保障醫院網絡系統的安全。本文從網絡防病毒、終端數據安全、數據加密、系統授權和訪問機制等方面綜合論述了醫院網絡安全解決方案。
主要參考文獻
本文針對TCP/IP雙層即傳統網絡層和新型應用層的網絡安全問題,通過IDC在設計、實施和運行中的網絡安全問題進行研究分析,設計基于TCP/IP雙層的IDC網絡安全解決方案,該系統的設計,旨在對IDC系統提供有效的安全管理和安全防范措施,實現對WEB應用、內部網絡和核心服務器的安全保障,真正全面地實現IDC網絡安全,對IDC的建設和推廣具有較強的價值。
【關鍵詞】網絡安全;網絡層;應用層
1 引言
隨著互聯網的重要性和對信息傳遞的影響也越來越大,Internet不但為企業和網絡用戶信息、檢索信息以及資源共享提供了方便,也為個人使用網絡資源提供了最大的平臺,特別體現在大多數企業和用戶的重要和關鍵的數據業務都是通過WEB瀏覽器得以呈現和交互,而3G業務的飛速推廣和三網融合的快速啟動,使通信網絡逐漸進入全面多媒體化和智能化的時代。由于全球互聯網環境的不斷變化以及網絡業務的不斷復雜化將會造成大量互聯網數據業務的集中,使整個網絡的安全風險也越來越大,一些新的互聯網安全隱患不斷出現,給互聯網用戶在使用網絡進行業務往來時帶來了巨大的安全威脅。
而且,隨著業務量的增大,IDC經常出現因非法網絡用戶入侵和蓄意攻擊而造成較長時間的網絡中斷現象,象包括某些電信級IDC在內的很多其它IDC一樣,IDC在提供網絡服務的過程中存在著信息安全性、數據隱私性以及信息合法性等方面的比較嚴重的網絡安全問題,因此,IDC是否能保證網絡信息的安全成為了各大企業、用戶以及政府關注的焦點。因此,受企業和政府重托的IDC面臨著非常嚴峻的安全考驗,IDC主要定位于Internet網絡服務,對政府或企業客戶提供個性化的服務。事實上,IDC的網絡功能非常的豐富,應用范圍包括網站托管、電子商務、服務器租用或托管等,比如企業用戶的信息交換、數據存儲,安全服務以及各種新型的增值業務。IDC能夠創建全新統一的信息交換平臺,能充分整合信息資源,實現網絡資源低成本的信息共享,也是實現城市管理現代化的重要環節之一,如果提供網絡服務的同時不能最大程度的保證網絡安全,其個性化的服務就根本無從談起。只有在基礎平臺設施完善和系統功能強大的基礎上進一步使網絡安全問題得到充分保障,才能夠充分保證IDC為企業提供真正個性化的服務。因此,基于TCP/IP網絡層和應用層的IDC網絡安全的設計與實現顯得至關重要。
2 IDC的發展過程
早期IDC投入運行并開始為企業提供較小規模的各類服務。從2007年開始,IDC向客戶提供較大規模、較高質量的主機托管、虛擬主機、整機租用、機架出租等服務。隨著投資規模不斷擴大,IDC系統的影響也逐漸擴大。2009年開始,IDC承擔的業務類型逐漸由原來的服務器托管、網站托管等較基礎業務開始向網絡加速、負載均衡和虛擬專用網等增值業務延伸,規模也在不斷擴大,其在業務收入方面也不斷提高。
國內IDC的發展也受到了歐洲國家的IDC發展形勢的影響。近年來,歐洲的IDC外包發展較為迅速,而國內IDC也在開始向外包業務方面發展。在3G大規模商用背景下以及視頻、網游、SNS社交網站等新型業務的巨大推動作用下,IDC的市場需求繼續增大,另一方面,當前的國際經濟危機形勢對于一部分小型企業來說,面臨著嚴酷的變革,造成部分企業兩極分化的情況加劇,因此,國內IDC的整體業務量還將進一步的提高。
IT業務是IDC大部份業務中最關鍵的一個方面,很多企業依靠信息系統進行各項業務的運作,如果系統經常不可用,整個企業的全盤運作可能無法進行,因此,IDC系統的安全逐漸成為各大企業最關注的焦點。
3 IDC安全解決方案設計思想
基于網絡層和應用層的IDC安全解決方案設計思想主要為以下幾個方面:
(1)在IDC的出口處部署網絡防火墻并進行負載分擔,實現對Internet網絡出口安全的加固,以及對用戶訪問Internet的內容進行過濾;
(2)在IDC的數據管理中心NOC和IDC的核心層等部位采用多點的方式部署入侵檢測系統IDS,實現有效的監測網絡層臨界部位的數據信息交換情況和監視IDC內部用戶及內部各類系統的運行情況,防止黑客侵入到IDC數據區而對IDC服務器的數據信息進行蓄意破壞和惡意篡改,并能及時查找是否有內部的用戶進行某些違規非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的計算機上安裝一套漏洞掃描軟件,并定期對IDC系統進行漏洞掃描和安全評估;
(4)在IDC中建立防病毒系統,采用中央控管系統實現跨廣域網的管理,通過TCP/IP協議實現跨廣域網的遠程調用、管理、遠程監控等功能,使其它的分支病毒防護系統的管理及其維護更加簡便、有效,實現從單一客戶端集中管理整個IDC網絡的防病毒的任務;
(5)在發生網絡攻擊或者蠕蟲爆發的情況下能夠及時發現并采取應急措施進行安全防范;
(6)在IDC的服務器群的出口處多點部署應用層防火墻,需要對新型應用層的攻擊威脅進行有效防范,如網頁木馬威脅、Cookie注入攻擊威脅等。
4 IDC安全解決方案設計方法
4.1基于網絡層的IDC安全系統設計
基于網絡層的IDC安全系統設計將分別從網絡層防火墻子系統設計、入侵檢測IDS系統設計、漏洞掃描子系統設計、網絡防病毒子系統設計等方面進行基于網絡層的IDC安全系統的設計和實現。
本次對IDC的網絡層防火墻設計部署時將H3C的超萬兆防火墻產品在IDC中的位置進行提升,直接與核心交換機連接,再通過萬兆高速接口與IDC出口處的核心路由器相連,兩臺防火墻共同部署實現雙機熱備份,并且實現對IDC用戶網絡流量的負載均衡,使整個美地亞IDC內部網絡得到防火墻的安全防護,有效避免了網絡的單點故障和網絡瓶頸問題。同時,在防火墻上開啟虛擬設備的功能,把IDC內部的不同系統資源按一定的配置分配到每個獨立的虛擬防火墻中,一旦在IDC中發生攻擊,防火墻中的不同虛擬防火墻將抵御各自面臨的攻擊,假設其中一個虛擬防火墻的系統資源被網絡攻擊全部耗盡,也不會影響其它服務的正常運行。在入侵檢測IDS系統總署時,采用多層分級管理體系,實現把單點發生的的重要事件自動預警到其它管理區域,使得各級管理員對于可能發生的重要安全事件具有提前的預警提示;采用引擎高速捕包技術保證滿負荷的報文捕獲;采用的高速樹型匹配技術實現了一次匹配多個規則的模式,檢測效率得以成倍的量級提高;采用IP碎片重組、TCP流重組以及特殊應用編碼解析等多種方式,應對躲避IDS檢測的手法,如:WHISKER、FRAGROUTE等攻擊方式;采用預制漏洞機理分析方法定義特征,對未知攻擊方式和變種攻擊也能及時報警;采用行為關聯分析技術,發現基于組合行為的復雜攻擊。為了降低誤報的概率,采用基于狀態的協議分析和協議規則樹,保證特征匹配的位置準確性;采用基于攻擊過程的分析方法定義特征,可以識別攻擊的狀態,提供不同級別的事件報警信息。為了限制濫報的概率,采用狀態檢測機制,有效地避免了事件風暴的產生;采用多種統計合并技術對同一事件采用合并上報,減少報警量。漏洞掃描子系統的設計,分布式管理并集中分析,在IDC中部署天鏡漏洞掃描系統時采用分布式部署的形式,使各掃描引擎按照不同的漏洞掃描策略同時進行多網絡系統的漏洞檢測,同時將檢測結果進行集中顯示和集中分析,采用多級管理的方式,對于擁有不同地域、大規模網絡的用戶,各個地域的網絡安全管理員管理著本地域的網絡安全狀況,其上層的安全管理員可以上傳檢測結果、下達檢測策略、統一管理、統一分析、統一升級;實現大規模網絡環境下的全局風險控制、降低管理成本。
4.2基于應用層IDC安全系統的設計
為了使WAF在IDC安全系統中能夠盡可能的提供最佳的安全性能,本次設計應用層防火墻WAF時采用最佳的模式,在此模式中,WAF中的所有數據端口都會處于開啟狀態,其中WAN端口負責外部的數據處理,此WAN端口是直接面向因特網的端口。而把WAF中的管理端口劃分到另外一個不同的網段,因為在部署設計WAF時最好將管理數據和實際的網絡流量進行分離,避免IDC中的實際網絡流量和WAF的相關管理數據之間出現互相沖突的現象。具體可以通過以下方法進行網絡實現:將WAF的前端端口和后端端口分配到不同的網段,讓所有的外部用戶與WAF的應用虛擬IP地址進行連接,而將此虛擬IP地址和WAF的前端端口進行互相綁定。當用戶訪問時,用戶的連接將會在網絡設備上立即終止,WAF馬上對流經的數據包進行安全檢查和過濾,而合法的數據流量將與WAF的WAN口重新建立起新的網絡連接到負載均衡設備,通過負載均衡進行網絡流量的負載。WAF可以進行實時策略的生成及執行,根據IDC中不同的應用程序自定義相應的防火墻保護策略,可以無縫的砌合各用戶的應用程序,且不會造成任何應用失真。
參考文獻:
[1]段勇,朱源.IDC基礎設施云的安全策略研究[J].電信科學,2010.5
【 關鍵詞 】 網絡安全;安全隱患;解決方案
Research on Network Security Technology and Solution
He Mao-hui
(Wuhan Bioengineering Institute HubeiWuhan 430415)
【 Abstract 】 With the rapid development of computer technology and network security, security, integrity, availability, controllability and can be reviewed and other features make the network security increasingly become the focus of public attention. In this paper, the importance of network security is discussed, and the main forms of network security risks are analyzed, and the solution of network security is put forward.
【 Keywords 】 network security; hidden danger; solution
1 引言
隨著網絡時代的發展,網絡安全問題成了當今社會不得不注意的重要問題,防范網絡安全隱患應該從每個細節抓起,提高網絡安全技術水平,加強網絡信息管理,從根本上塑造一個和諧的網絡環境。
2 網絡安全的重要性
2.1 網絡安全隱患的危害
(1)泄露私人信息。在信息化時代里,由于電腦等網絡工具不斷普及,網絡也滲透到各行業以及私人生活中。人們利用網絡進行資料的收集、上傳、保存,在共享的資源模式中,形成了信息的一體化。同時,網絡中也儲存著大量的私人信息,一旦信息泄密,就會飛速流傳于互聯網中,帶來網絡輿論,惡劣情況下還會造成網絡人身攻擊。
(2)危及財產安全。隨著網絡一卡化的運用,人們不用麻煩的隨身攜帶大量財物,只需要幾張卡片就能進行各類消費,在一卡化模式的運作下,網絡也最大化地便利了人們。如今,由網絡芯卡衍生出了更高端的消費方式,常見的微信轉賬、微信紅包、支付寶等支付手段,只需在手機網絡中就能實現網絡消費,為網絡數字時展撐起了一片天。而在這樣的環境背后,網絡消費卻潛藏著巨大的財產安全隱患。密碼是數字時代的重要組成部分,網絡中的眾多信息都牽涉著密碼,但是密碼并非不可破譯的,一旦被危險的木馬軟件抓到漏洞,無疑等于是鑿開了保險柜的大門。在以牟取利益為宗旨的經濟犯罪中,網絡經濟犯罪占據著極大的比例,無論個人還是企業,其經濟財產安全都受到網絡安全隱患嚴重的威脅。
2.2 提高網絡安全技術水平的必要性
首先,提高網絡安全技術水平有利于塑造一個干凈的網絡氛圍,可以使各行業在安全的網絡環境中和諧發展。其次,提高網絡安全技術水平有利于打擊網絡違法犯罪,保護公民隱私權、財產權,維護社會安定。最后,提高網絡安全技術水平就是保障國家經濟不受損害,保證國家國防安全,是國家科學技術水平的綜合體現。
3 對網絡安全隱患主要形式的分析
3.1 操作系統的漏洞
任何計算機操作系統都有著自身的脆弱性,因此其被稱之為操作系統的漏洞。操作系統自身的脆弱性一旦被放大,就會導致計算機病毒通過系統漏洞直接入侵。不僅如此,操作系統的漏洞具有推移性,會根據時間的推移,在不斷解決問題的過程中不斷衍生,從解決了的舊漏洞中又產生新的漏洞,周而復始,長期存在于計算機系統之中。不法者通過系統漏洞可以利用木馬、病毒等方式控制電腦,從而竊取電腦中重要的信息和資料,是當今網絡安全隱患存在的主要形式之一。
3.2 惡意代碼的攻擊
惡意代碼的概念并不單指病毒,而是一種更大的概念。病毒只是惡意代碼所包含的一種,網絡木馬、網絡蠕蟲、惡意廣告也從屬于惡意代碼。惡意代碼的定義是不必要的、危險的代碼,也就是說任何沒有意義的軟件都可能與某個安全策略組織產生沖突,惡意代碼包含了一切的此類軟件。通常情況下,黑客就是惡意代碼的撰寫者,一般黑客受人雇傭,旨在通過非法的侵入盜取機密信息,或者通過破壞企業計算機系統,非法獲取經濟利益,形成行業惡性競爭。現在的網絡環境中,惡意代碼是最常見的網絡安全隱患,常隱藏在正常的軟件或網站之中,并且不易被發現,滲透性和傳播性都非常強,具有極大的威脅性。
4 網絡安全的解決方案
4.1 設置防火墻
防火墻是一種集安全策略和控制機制為一體的有效防入侵技術,是指通過網絡邊界所建立的安全檢測系統來分隔外部和內部網絡,并明確限制內部服務與外部服務的權限,可以實際阻擋相關攻擊性網絡入侵。防火墻的基本類型有六種,分別是復合型、過濾型、電路層網關、應用層網關、服務及自適應技術。在目前的大多數企業中,都運用到了防火墻技術。
4.2 對訪問進行監控
訪問監控是在對網絡線路的監視和控制中,檢查服務器中的關鍵訪問,從而保護網絡服務器重要數據的一種防護技術。訪問監控技術通過主機本身的訪問控制,與防火墻、安全防護軟件等形成聯動,對所有通過網路的訪問進行嚴密監視和審核,以達到對計算機網絡安全的保護。
4.3 采用多重加密
網絡安全的威脅途徑主要來源于數據的內部傳送、中轉過程以及線路竊聽,采用多重加密技術,可以有效地提高信息數據及系統的保密性和安全性。多重加密技術主要分為幾個過程:首先是傳輸數據的加密,這是保證傳輸過程的嚴密,主要有端口加密和線路加密兩種方式;其次是數據儲存的加密,目的是為了防范數據在儲存中失密,主要方式是儲存密碼控制;最后是數據的鑒別和驗證,這包括了對信息傳輸、儲存、提取等多過程的鑒別,是一種以密鑰、口令為鑒別方式的綜合數據驗證。日常的網絡生活中,加密技術也常能看見,比如在微信、微博、游戲賬號、郵箱等各大社交軟件中,都設有個人密碼,這是多重加密技術的第一層屏障,隨著高級別威脅的出現,第一層的密碼保護無法滿足數據安全的需要。因此,在社交軟件中就出現了動態碼、驗證碼、密保信息等更高級的數據保護措施,在多元的數據保護手段下就形成了多重加密的安全技術。
4.4 實名身份認證
網絡作為一種虛幻的構成,并沒有形成良好的秩序,要防范網絡安全隱患,就要加強現實生活對網絡信息的干預。采用實名身份認證能夠從實際生活中規范網絡言行,從另一個角度說,這是一種法律意義上的監控。在實名身份制的網絡認證下,便于法律的約束和治理,可以有效控制網絡犯罪,從根本上促進網絡世界的安全化與和諧化。
5 結束語
安全是一種概率性的詞,沒有絕對的安全,只有相對的安全。網絡世界也是一樣,絕對安全的網絡環境是不存在的,就好比只要有利益,就會有犯罪,網絡犯罪是會不斷滋生的。但是,網絡安全的隱患是可以防范的,正確的運用信息技術,加強網絡安全的管理,在網絡法律的有效制約中,就能拒各種“網絡毒瘤”于網絡的大門之外,共同塑造一個干凈安全的新信息時代。
參考文獻
[1] 李春曉.校園網網絡安全技術及解決方案分析[J].電子測試,2013,18:100-101.
[2] 關勇.網絡安全技術與企業網絡安全解決方案研究[J].電子技術與軟件工程,2015,05:227.
[3] 任戎.網絡安全技術與校園網絡安全解決方案芻探[J].四川文理學院學報,2008,05:43-45.
