学文网网络安全解决方案篇1
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;*** 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
***1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,***重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如***2所示。 ***2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供***身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 ***(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署***系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个***网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如***3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 ***3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子***务总体设计与技术实现》
网络安全解决方案篇2
民用机场作为国家航空运输重要组成部分,机场信息化的水平与应用、信息管理和网络的安全,制约着公共服务功能、旅客服务水平和机场各业务流程,直接关联航班配置平衡、航班数据安全甚至严重影响航空安全。面对日益严峻的航空安全问题,民用机场的网络安全便成为迫切急需解决的问题。本文即是从此目的出发,通过对某机场网络系统安全解决方案的分析与思考,进一步加强机场网络系统的安全。
关键词:计算机技术;网络系统;信息及安全管理
中***分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
随着民用机场服务功能的日益完善,和国际化服务水平的日益提高,机场业务愈加复杂、庞大,特别是计算机技术和网络系统在机场的普及和广泛应用,软件规模、数据处理空前膨胀,网络系统安全这一复杂的综合问题严重影响机场运输生产和航空安全。
一、某机场网络系统的安全风险分析
机场航站区网络系统在现有网络结构及应用模式下,可能存在的主要安全风险有:外部连接网络边界安全攻击的风险机场信息系统有多个外部网络连接,必须能够对这些连接的数据流进行深度的检测和严格的控制,进行精细化管理,才能真正保证这些连接不会引入安全攻击风险,而且也保证单个内部网络风险不会扩散到相连接的其他信息系统网络中。
(一)机场内部数据中心遭受攻击的风险
机场网络承载多种复杂应用信息系统,机场各业务强烈依赖这些应用系统,必须有效地保证这些应用系统核心的安全,如应用系统数据的保密性、可靠性、可用性,应用系统访问控制等多个方面。
(二)机场多个分支机构安全连接的风险
根据分析,机场网络系统涉及非常多的分支机构的网络连接需求,主要包括未来新建航站楼、各个应用系统网络、移动以及外出人员等,这些分支机构需要一种简单而且方便的网络接入方式,而且必须保证这些接入的安全性。
(三)用户接入内部网络安全控制的风险
机场网络接入用户复杂、数量大,需要对这些用户的网络访问行为进行多层次的控制,以保证应用系统的有效运行,这些层次包括:网络接入控制、网络层的访问控制能力、网络应用的监控、用户主机安全状态的监控等,以实现对用户的安全管理。
二、信息安全方案遵循准则
信息安全方案遵循安全PDCA原则。信息安全管理的本质可看作动态地对信息安全风险的管理,即实现对信息和信息系统的风险进行有效管理和控制。信息安全作为一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
三、某机场安全解决方案详细部署
解决以上风险需要端到端信息安全解决方案,是指信息在应用系统计算生成、通信、存储过程中都保证安全性,则该信息系统是端到端安全的。本文主要分析信息系统计算、通信过程的安全,而计算、通信过程安全又大体可以划分为网络边缘7层安全防护及内部终端安全防护两大部分。
(一)防病毒软件安全防护解决方案
整个反病毒网络选用经过多年来的不断开发、完善,屡次在国际专业认证中获得多项殊荣的“卡巴斯基反病毒软件”系列产品,为该机场提供最安全的网络反病毒解决方案。
1.卡巴斯基安全解决方案
针对机场网络系统的规模及拓朴环境,该方案采用三层防护体系:
第1层集中控管层,在网络控制中心安装集中控管软件卡巴斯基管理工具,负责监控所属网络中的反病毒产品。同时利用此工具,提供统一且自动的内部镜像站点,集中对卡巴斯基的反病毒数据库和程序组件进行自动更新(或采用后续架设Web站点方升级病毒数据库或程序升级)。
第2层是服务器层,部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理。
第3层即客户端,在每个客户端上安装卡巴斯基反病毒Windows工作站产品,通过卡巴斯基管理工具进行Windows平台反病毒软件集中管理,包括统一配置、管理和更新。
2.安全解决方案的部署
(1)管理服务器实施部署配置。根据机场网络系统的设计,通过信息中心的FTP服务器,用户访问点击安装链接,安装卡巴斯基桌面反病毒软件。
(2)总服务器。在中心选择一台基于NT架构的服务器上安装集中控管软件卡巴斯基管理工具,负责监控所属网中的反病毒产品。在总部NT服务器上部署卡巴斯基反病毒Windows服务器产品,通过卡巴斯基管理工具进行集中管理。这样部署便于管理员及时处理染毒工作站,在最短时间内控制病毒在网络中的扩散。
3.反病毒软件服务器端、客户端的部署
(1)产品的安装:服务器防护终端和客户端防护终端的安装基本一致,通过光盘、WEB方式、脚本、远程、网上邻居等多种安装方式进行安装。
(2)注意事项:在安装反病毒软件前,须完全卸载其他反病毒软件和防火墙;如网络中有硬件防火墙设备、服务器端或客户端装有防火墙程序,则必须修改规则开放相关端口。
(3)产品的管理:通过总部的管理工具管理所有安装完毕的反病毒系统,可以远程实时监控其状态或修改设置,可以远程直接执行远程客机上的反病毒相关操作;可以集中观测统一日志、统一分发策略、统一定制升级和其他计划等。
网络安全解决方案篇3
伴随着全球化和互联网时代的到来,网络安全问题已经成为现实生活中的一个极为严重的问题。网络安全包括很多方面的内容,涉及面也很广。如果没有解决好很可能会造成网络犯罪现象的发生。网络安全要保证不相关人员不能读取信息,也不能修改相关信息,这是网络安全当中最为简单的一种形式。在这当中,网络安全问题最担心的是那些想要得到远程服务的人,这是其中的一个方面。它还包括信息的截取和重播的问题,以及发送人发送消息的问题。
一般来说,网络安全问题的发生是由于一些偶然的或者恶意的原因造成的。而关于网络安全的定义没有一个准确的说法。它会随着角色的变化而发生变化。从用户的角度上看,他们希望可以保护自己的隐私或者有关商业利益方面的信息,从而确保信息的保密性。在企业的角度上,他们所希望的就和用户不同,即他们希望自己的内部信息可以加密保护。
从现实生活中发生的各种安全性问题可以知道,它们是由恶意的人为了实现自己的某种目的而导致的。所以,从某种程度上讲,保证网络安全不只是让它在编程方面不出现错误,还有要防止那些专业的、不怀好意的人。然而,解决那些破坏网络安全问题的办法得到的效果并不显着。
此外,网络安全有保密、鉴别、反拒认和完整性控制这四个部分。这些部分是相互交织在一起的。首先,保密是网络安全最容易想到的内容,它主要是保护隐私;其次,鉴别是要确认别人的身份;再次,反拒认与签名联系在一起;最后,完整性的实现需要邮件和文件锁。
二、网络安全现状
有关网络安全存在的威胁是多种多样的。像非授权访问、冒充合法用户、破坏数据的完整性、干扰系统的正常运行、病毒与恶意攻击、Internet非法内容,等等。其中,非授权访问是对信息资源的一种非正常的使用,或者是对信息资源的越权使用。冒充合法用户是原本自己是不合法的,但是利用合法用户的权限来实现自己的目的,这样的方式是通过欺骗、假冒来达到目的的。另外,破坏数据的完整性是利用不合法的方式来实现的,为的是影响用户的正常使用。干扰系统正常运行是减慢系统的响应时间以改变其运行状态。病毒与恶意攻击就是利用网络来传播病毒。此外,Internet非法内容也应该包括在其中。从目前的统计数据来看,有40%的Internet访问是和工作没有关系的,经常访问到的是一些不良站点。这样的话,Internet网络资源没有得到有效的利用容易造成网络资源的严重浪费。在如今这样的社会,必须对它引起足够的重视才行。特别的是在教育网中,面对各种各样的网络资源,如果没有识别和筛选的能力,不仅会导致很多非法内容占用流量资源,而且会导致流量堵塞等问题。另外,那些不良的网站青少年看了会对他们的身心健康带来严重的负面影响。更为严重的是,危害整个社会乃至国家。
三、网络安全存在的威胁
2015年,我国在网络安全问题方面出现的事件数不胜数。特别是勒索软件更为盛行。所以,网络安全公司了2016年的网络安全威胁方面的报告。这个报告详细讲述了面临的网络安全威胁。主要包括硬件攻击、勒索软件、网络漏洞、云服务领域、可穿戴设备、联网汽车、暗网、黑客主义行动等八个方面。从硬件攻击来看,它属于网络攻击,只不过它是以硬件作为中心。2015年频繁出现了硬件攻击,如在2015年发生了网络攻击组织通过USB闪存驱动蠕虫来实施对目标的监控。并且在这样的情况下还是维持着一种安装的状态。这样的网络攻击也许是会继续地对硬件进行渗透的,还会加强对它的攻击性。除非我们可以很快的识破它,否则它所带来的危害是不可估量的。从勒索软件来看,它可以说是一种最为致命的手段。现在有许多的勒索软件,像CryptoL CryptoWall、ocker、CoinVault和Bitcryptor等等。虽然这些勒索软件所带来的危害性不是那么的大,但是我们不能忽视它。因为将会有更为复杂的勒索软件出现,所以要在它到来之前去解决。否则的话,后果不堪设想。从网络漏洞来看,一直以来安全补丁和更新的修复都是由微软来主导的。2016年Flash的新功能会让漏洞发现的可能性降低,而且版本升级的速度极为缓慢。另外,微软的操作系统Windows10出现以后,促使黑客的攻击目标转向它。从云服务领域来看,使用云技术可以让企业通过降低成本来提高效率,从而能够更好地使用数据。但是,要有一个认识,那就是它的安全性也会跟着提高。一旦安全漏洞出现了,网络罪犯可以盗取一些有价值性的数据,以得到巨大的经济收益。从可穿戴设备来看,它也是网络攻击者的重点。现在,越来越多的西方国家从智能手机和平板电脑向可穿戴设备转移,如智能手表、追踪器等。而且他们通过可穿戴设备的漏洞或者恶意代码就可以直接植入进去。可想而知,面临的是多大的威胁。预测未来这些将会为钓鱼式攻击提供有利的数据。从联网汽车来看,联网汽车里面具有先进的技术,如后置摄像头、内置GPS等等。而这些技术也可以在移动设备上实现,但是它不等同于安全性,如由于黑客问题造成的吉普车被召回的事件。这个事件说明了汽车制造商不是单纯的生产出汽车就行了,它还要保护汽车里面的内置计算机系统。因为联网汽车没有安全原则,所以在2016年,有关联网汽车方面的网络攻击呈现出增长的态势。要认识到,安全性不高的汽车容易导致人丧命。从暗网来看,同样也不能忽视暗网。在暗网当中有许多的被盗信息,这样的话就会降低信息的价格。对于黑客来说,他们可以快速地进入企业内部网络,未成年人容易发生网络犯罪,因为法律不会惩罚未成年人。所以,你无法相信的是数据不会百分之百的安全。从黑客主义行动来看,目前出现了很多黑客主义行动。它们往往带有某种***治目的,黑客可能会发起大规模攻击来破坏系统。在大多数的情况下,黑客主义行动具有***治色彩,所以从某种程度上来说,解决这方面的攻击将会比以往困难得多。
四、解决网络安全问题的方案
目前,网络安全问题频繁出现,为了维护网络安全,本文在此提出以下相关的解决方案:
(一)加大宣传力度。防范网络风险最重要的方面就是安全意识。据了解,2016年中央相关部门公布了《国家网络安全宣传周活动方案》。方案明确提出,从2016年起网络安全宣传周将会每年在9月份举办。希望通过这个活动,以提高全民的网络安全意识。要知道,只靠网络宣传周这样的活动来进行网络安全方面的宣传是往往不够的。也应该对有关的网络安全案件进行详细的讲解,这样做的目的是为了吸取教训,更好地实现网络安全方面的教育工作。
(二)以发展推动网络安全建设。重点指出,安全和发展是相互依存的关系。二者相互制约、相互影响。要想发展就必须先实现安全,也就是说发展的基础是安全,而发展又是实现安全的重要保证。发展和安全需要同步进行。以发展推动网络安全建设,它是通过不断完善网络安全方面的技术来解决网络安全问题,如漏洞和不安全因素。像网络安全博览会就是展示网络安全方面新产品的一种平台,这样的活动可以说是以发展推动网络安全建设的一个方面。可以知道,在这个活动上,有95家企业参加了活动,并且各自展示了自己的产品。像蚂蚁金服推出了刷脸购物的新技能,消费者能够体验这个功能带来的便利。这样的新技术将会越来越普及,它可以提高网络支付的便捷性和安全性。可以说,“刷脸”购物,支付只要真心,安全就在身边。
网络安全解决方案篇4
关键词 网络安全;物理隔离;地形***保密
中***分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)09-0179-01
1 勘察设计企业网络现状
勘察设计企业在设计工作中经常会用到或产生一些文件,尤其是地形***等密级较高的文件资料。我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。为保护国家秘密不外泄,同时满足信息化办公的生产需求,目前国内勘察类企业主要采用两种网络架构方式。一种是设置内部办公网络和外部网络,员工各自配置两台分别连接内外网络的计算机,两者完全物理隔离。这种方式建设和维护成本大,员工操控灵活度低。内部办公网络实现公司信息化办公和资源内部共享等需求,外部网络实现互联网资料查询和外部交流,同时严禁内部网络信息向外部网络流通。另一种设立指定的互联网访问区,专门人员或机构采集互联网信息复制到内部网络,或者设立专门的可访问互联网的设备或区域,这种方式实时性不好。
2 网络隔离技术趋势
物理隔离是网络隔离的一种重要形式,它是通过网络与计算机设备的空间分离来实现的网络隔离[1]。与物理隔离不同的另一种网络隔离方式是采用密码技术的***隔离。虚拟专用网(***)是通过使用密码和隧道技术、在公共网络设施上构建的、具有专用网络安全特性的逻辑网络[2]。***隔离追求的是数据的分离或不可读,而物理隔离强调的是设备的分离。尽管***的实现成本较低,但是在网络的边界点,隔离设备容易被攻击,特别是来自公共网络的拒绝服务攻击[2]。
物理隔离网闸的思路决定了它是一种比***更高级的安全隔离形式,因为它是在保证必须安全的前提下,尽可能互联互通,如果不能保证安全则完全断开。然而,这种技术成熟的产品还是无法摆脱“摆渡”病毒的攻击。因此,国家保密局信息系统安全保密测评中心颁发的网闸类产品检测证书中明确注明“该产品不可用于互联网和网络之间的信息交换”。
3 双网物理隔离解决方案架构
除去地形***等国家秘密文件外,勘察设计企业商业秘密的保护也是极为迫切的要求。将操作地形***资料的计算机与内部工作网络和外部互联网隔离,内外两条网络之间通过有效的隔离设备和网络安全措施建立可信连接,既能满足国家保密局对于国家秘密的保护要求,又能满足公司内部与互联网之间的资源共享需要。
利用物理隔离网闸安装在工作内网核心交换机和外网核心交换机之间,对于公司内部业务使用的计算机和服务器等设备直接或通过级联设备连接到核心交换机,公司对外交流所用计算机或外网服务器直接或通过级联连接到外网核心交换机。内外网络间数据访问必须经过网闸的“摆渡”。这样,通过内外网之间的网闸不仅实现了两个网络间的物理隔离,还能满足内外网之间实时、适度、可控的内外网络数据交换和应用服务。比如:文件交换、数据库的数据交换与同步、HTTP/HTTPS标准访问、FTP服务、邮件服务等。
***1 基于网闸隔离的网络拓扑结构
通过安全隔离网闸可以对办公网络到外部网之间的传输数据和文件严格执行格式和内容检查,检查的内容可以包括内容检测、防恶意代码、防泄密、文件类型控制等。可以对浏览器中输入的各种关键词和敏感字符串进行限制,预防内网用户因访问外网网站时,在浏览器的访问请求中出现有意或无意泄密的可能。
在公司网络建设中对于地形***等高密级资料的使用必须采取单独网络或单机运行模式,同时出台相应的规章制度,对地形***资料的复制、传递进行严格的规范,并出台相应的惩罚措施,从公司制度层面对网络安全保密行为进行约束。
4 性能分析
物理隔离网闸通过双主机之间的物理断开来达到数据隔离的目的。内外主机间信息交换只能借助拷贝、镜像、反射等非网络方式来完成。另外,根据内外网间数据交换的具体情况还可以选择不同流向的单向或双向隔离网闸,实现更高级别的数据保密要求。市场上部分物理隔离网闸支持基于文件特征库的文件类型过滤和用户自定义关键字的文件内容筛查,可有效防止商业信息的无意泄漏。
应用物理隔离网闸的双网隔离解决方案具备如下优点。
1)屏蔽了内部的网络拓扑结构,屏蔽了内部主机的操作系统漏洞,消除了来自互联网上对网的攻击。
2)内部服务器不对外部网络提供任何端口,不允许来自任何互联网主机的主动请求,降低了自身风险。
3)通过严格的内容过滤和检查机制严防泄密。
4)可根据需要选择单项或双向数据流动方向,灵活性强。
但是,采用物理隔离网闸对内部工作网络和外部网络进行隔离较采用***隔离在费用方面不占优势,同时,涉及地形***的计算机部分仍需单独划分网络。
参考文献
[1]网络隔离的技术分析与安全模型应用[J].数据通信,2002(3):23-25.
网络安全解决方案篇5
今天几乎所有公司都具有 Internet 连接,以便访问合作伙伴和客户站点的 Web 服务器中存放的信息,以及从分支机构位置访问总公司的 Web 内容。尽管 Internet 和分支机构网络让员工能够快速共享和操作信息,但它们也潜藏着共享和传播来自黑客的漏洞和攻击以及恶意移动代码的危险。今天的企业必须提供一种方式来保护企业网络外部的用户对于企业 Web 服务器的访问。同时,这个解决方案还必须能够防止公司网络中的用户将危险信息***到员工、公司以及公司的信息系统中。
Microsoft Internet Security and Acceleration (ISA) Server 2006解决了当今企业面临的这些问题。ISA Server 可以在远程访问企业 Web 服务器中的信息时提供保护。ISA Server 可以帮助保护和控制企业网络内部员工的 Internet 访问。部署 ISA Server 2006 Web 服务器可以降低网络操作的总体成本,使用 ISA Server 2006 Web 缓存则可以改进员工的工作效率。
ISA Server 2006 Web 提高安全性和性能的一些示例包括:
• 在允许访问企业 Web 服务器之前预先验证用户身份。
• 在允许访问公司数据资源之前预先授权用户。
• 检查 HTTP Web 连接中潜藏的攻击代码。
• 防止访问敏感的企业信息。
• 缓存 Web 内容以改进最终用户体验。
• 控制企业用户可以通过 Internet 连接的内容类型。
企业总是在不断寻找利用现有商业智能的方式以便在竞争中取得优势。为获得竞争优势,各公司不断寻找定位现有数据资产的方式,以便让公司员工能够从世界上任何地方访问这些信息。
这种任意位置访问通过远程访问企业网络中承载的信息提高了业务灵敏性,但这些信息在员工离开公司设备时可能无法访问。远程访问指的是即使用户及其计算机物理上不在企业网络中也可以访问企业服务器中承载的信息。
远程访问提供了多种定位员工的选项,同时仍然让这些员工能够访问企业信息。一些示例包括:
• 远程办公人员
随着可用性的提高以及高速 Internet 连接的普及,在家工作成为一种选择。通过完全或部分时间远程办公,公司可以获得基础结构成本降低的好处。
• 销售人员和经理
销售人员需要访问企业服务器中的信息。移动工作者需要访问 Microsoft Office Word 文档、Microsoft PowerPoint? 演示文稿、数据库信息和更多内容。经理在拜访客户和合作伙伴时也需要实时访问信息。
• 企业合作伙伴
公司要想与其他企业建立战略合作伙伴关系也需要一种安全和可靠的方法以共享专有信息。共享部件列表、报价单、订单信息和其他数据可以让企业迅速抓住稍纵即逝的机会。
安全远程访问企业应用程序和数据是能否在今天的企业环境中取得成功的主要因素。为利用安全远程访问,您需要重新考虑企业网络的定义。企业网络通常被视为***的实体,它与 Internet 是物理上分开的,而 Internet 是不安全的,其中充斥着黑客、恶意用户以及其他潜在入侵者。然而,随着远程访问连接的引入,现在的企业网络边界显然已扩展到整个 Internet。
要想充分利用远程访问企业数据带来的好处,首先必须解决四个主要问题:
• 向安全性和符合性管理者保证远程访问连接是安全的。
• 解决远程工作者连接导致的性能问题。
• 简化应用程序安全性和加速解决方案的部署
• 降低远程连接的相关网络操作成本。
保证远程访问连接安全
尽管远程访问连接可以给企业带来战略优势,但它也会增加信息泄露和数据失窃的风险。很多企业担心远程访问连接会带来安全性和符合性问题,因为攻击者有可能使用与员工相同的机制合法地访问企业信息。
ISA Server 2006 为安全性和符合性管理者解决了下列问题:
• 防止来自黑客和入侵者的危险连接到达企业网站
Internet 上的黑客可以通过与员工相同的渠道访问企业信息。您需要在入侵者到达您的网站之前阻止潜在的攻击。ISA Server 2006 Web 能够检查所有指向企业网站的连接,并在 ISA Server 计算机处阻止具有潜在危险的连接。这样就让员工能够访问所需的企业数据,同时阻止攻击,避免它们抵达 Web 服务器。
• 防止匿名连接企业 Web 服务器
很多公司都通过配置企业防火墙允许 Internet 用户访问承载 Microsoft Exchange Server 和Microsoft Office SharePoint Portal Server 的企业 Web 服务器,从而允许连接这些服务器。这种做法可能会让公司的数据处于危险之中,因为防火墙在允许连接之前无法识别用户。同时这也让匿名攻击者能够对 Web 服务器进行密码、拒绝服务和类似攻击。使用 ISA Server 2006 作为 Web 以保护企业网站时,用户首先必须证明自己的身份,然后才能连接到企业服务器。而且,就算用户成功证明了自己的身份,也只有那些被授予信息资源访问权限的用户才能连接企业服务器。SharePoint Portal Server 就是受益于这种保护的 Web 服务器的一个例子。
• 防止由于远程用户活动给符合性带来的负面影响
企业符合性管理者需要知道有关谁曾连接过公司数据、他们什么时候访问过公司数据以及他们通过远程访问连接进入公司网络后做了什么的信息。ISA Server 2006 Web 记录了用户通过连接企业 Web 服务器的所有行为的大量信息,从而帮助解决了符合性问题。这些日志数据可以用于创建有关远程用户活动的综合报告。您可以查询 ISA Server 2006 Web 日志,以了解有关资源使用情况和用户活动的详细信息。
全面支持应用程序层检查增强功能
与只能进行静态数据包检查的传统防火墙不同,ISA Server 2006 Web 可以通过应用程序层检查进行更加复杂的决策,而不仅是允许或拒绝访问。应用程序层检查是 ISA Server 2006 的一项功能,它让 Web 可以评估通过 ISA Server Web 传输的 Web 通信的有效性和安全性。ISA Server 2006 Web 应用程序层检查功能的一个示例就是本文前面介绍过的 HTTP 过滤器。
ISA Server 2006 提供了强大的应用程序层检查机制。ISA Server 2006 同时也是一个灵活和可扩展的解决方案,从而让您能够极大地增强应用程序层检查功能。使用第三方 ISA Server 2006 Web 加载项过滤器,您可以:
• 检查 Web 流量中的病毒。
• 防止恶意应用程序通过正常的 Web 连接隧道进入。
• 让 ISA Server 2006 能够检查 XML 流量。
• 执行其他安全任务。
公司通常允许员工访问 Internet 站点而不加限制。这其实不是一个很好的办法,因为员工可能会无意中***病毒、蠕虫、远程访问特洛伊木马、rootkit 和其他形式的恶意软件。员工可能会有意访问不合适的内容(、盗版软件或歌曲),从而让公司陷入法律纠纷,甚至刑事案件中。对于 Internet 访问不加限制可能会带来难以承受的安全风险,同时极大地增加了公司违反行业原则的可能性。
员工处在越来越大的压力下,他们需要尽快和有效地完成工作。大多数公司依靠快速和可靠的 Internet 访问实现这一目标。如果信息访问受到损害,公司可能要承受每小时数千美元的效率损失成本。
部署 ISA Server 2006 Web 服务器有助于减轻恶意代码和不合适内容带来的安全风险,从而提高员工的工作效率。
保护员工的 Internet 访问
在一份 2004 年的报告中,技术市场智能服务商 IDC 认为以下企业网络风险是由不加控制的 Internet 访问造成的:
• 越来越多的 Web 病毒和混合威胁,例如 NIMDA、红色代码和冲击波。
• 使用点对点 (P2P) 文件共享应用程序的情况增多,这种应用程序可以用于***受版权保护的资料、传输受感染的文件以及与世界上的任何人共享专有的企业信息。
间谍软件越来越流行,这种软件可以捕获诸如用户名和密码等用户信息,甚至包括可以记录受感染计算机的每次键击的按键记录软件。
• 网钓攻击的数量增加,这种攻击利用用户的无知收集用户输入网站表单中的隐私信息,然后使用这些信息进行身份盗窃或其他诈骗活动。
• 越来越多的用户***和安装来自不可信来源的软件,这种***可能包含恶意软件,从而导致用户计算机失控,或是由于使用未经授权的软件而导致公司面临罚款。
• 员工工作效率下降的问题增多,因为***游戏、新闻、社会性网络以及其他不关业务的站点增多。
所有这些漏洞都可以使用 HTTP、HTTPS 或 FTP 协议通过 Web 连接加以利用。Web 设备可以通过以下方法防止这些漏洞:
• 通过设置 Web ,使其不允许访问可执行文件,并阻止连接已知存在恶意代码的网站,从而对 Web 病毒和其他漏洞代码(例如特洛伊木马和 rootkit)的***进行控制。
• 通过配置 Web 以阻止访问一些要求使用 P2P 应用程序的主要登录站点,以及通过检查 HTTP 通信的特点来识别 P2P 应用程序,从而阻止访问 P2P 应用程序。
网络安全解决方案篇6
随着计算机信息技术的高速发展,人们工作、生活越来越离不开网络,网络是企业办公的重要信息载体和传输渠道。网络的普及不但提高了人们的工作效率,微信等通讯工具使人们通讯和交流变得越来越简单,各种云端存储使海量信息储存成为现实。
2石油行业信息网络安全管理存在的安全隐患
无论是反病毒还是反入侵,或者对其他安全威胁的防范,其目的主要都是保护数据的安全———避免公司内部重要数据的被盗或丢失、无意识泄密、违反制度的泄密、主动泄密等行为。
2.1外部非法接入。
包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与油田公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。
2.2局域网病毒、恶意软件的泛滥。
公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到网络系统的正常运行。
2.3资产管理失控。
网络用户存在不确定性,每个资产硬件配件(cpu、硬盘、内存等)随意拆卸组装,随意更换计算机系统,应用软件安装混乱,外设(U盘、移动硬盘等)无节制使用。
2.4网络资源滥用。
IP未经允许被占用,违规使用,疯狂***电影占用网络带宽和流量,上班时间聊天、游戏等行为,影响网络的稳定,降低了运行效率。
3常用技术防范措施与应用缺陷
3.1防火墙技术。
目前,防火墙技术已经成为网络中必不可少的环节,通过防火墙技术,实现局域网与互联网的逻辑隔离,使用有效的安全设置一定程度上保障了企业局域网的安全。
3.2计算机病毒防护技术。
即通过建立SYMANTEC网络防病毒软件系统,为企业内部员工提供有效的桌面安全防护技术手段,提高了计算机终端防病毒与查杀病毒的能力。
3.3入侵检测系统。
入侵检测帮助办公计算机系统应对网络攻击,提高了系统安全管理员的管理能力,保持了信息安全基础结构的完整性。从网络中的各个关键点收集和分析信息,确认网络中是否存在违反安全策略的行为和遭到网络攻击的可疑迹象。
3.4应用网络分析器检测网络运行状况。
部署如Sniffer等扫描工具,通过其对网络中某台主机或整个网络的数据进行检测、分析、诊断、将网络中的故障、安全、性能问题形象地展现出来。为监视网络的状态、数据流动情况等提供了有效的管理手段。
3.5交换机安全管理配置策略。
综合评估石油企业网络,在节点设备部署上以可控设备为主,通常的可控设备都具备遵循标准协议的网络安全方案。较为常用的安全策略包括IP与MAC绑定、ACL访问控制、QOS等。通过一系列的安全策略,有效提高了对企业网络的管理。
3.6部署内网安全管理系统。
目前,企业局域网的安全威胁70%来自于内部员工的计算机。针对计算机终端桌面存在的问题,目前出现的主流产品是内网安全管理系统。其采取C/S架构,实现对网络终端的强制性管理方法。后台管理中心采取B/S结构,实现与管理终端交互式管控。
4多种技术措施联动,保障网络与信息安全
4.1网络边界管理
①防火墙。通过包过滤技术来实现允许或阻隔访问与被访问的对象,对通过内容进行过滤以保护用户有效合法获取网络信息;通过防火墙上的NAT技术实现内外地址动态转换,使需要保护的内部网络主机地址映射成防火墙上的为数不多的互联网IP地址。②入侵检测系统。入侵检测作为防火墙的合理补充,帮助办公计算机系统应对网络攻击,提高了系统安全管理员的管理能力,保持了信息安全基础结构的完整性。③防病毒系统。应用防病毒技术,建立全面的网络防病毒体系;在网络中心或汇聚中心选择部署诸如Symantec等防病毒服务器,按照分级方式,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,提高计算机终端防病毒与查杀病毒的能力。
4.2安全桌面管理。
桌面安全管理产品能够解决网络安全管理工作中遇到的常见问题。在网络安全管理中提高了对计算机终端的控制能力,企业桌面安全管理系统包括区域配置管理、安全策略、补丁分发、数据查询、终端管理、运维监控、报表管理、报警管理、级联总控、系统维护等。
4.3网络信息管理。
对于网络信息要按等级采取相应必要的隔离手段:①建立专网,达到专网专用;②信息通过技术手段进行加密管理;③信息与互联网隔离。
4.4网络安全管理防范体系。
根据防范网络安全攻击的需求、对应安全机制需要的安全服务等因素以及需要达到的安全目标,参照“系统安全工程能力成熟模型”和信息安全管理标准等国际标准。
5结束语
网络安全解决方案篇7
关键词:高校***书馆;网络安全;病毒防护;解决方案
【分类号】TP393.08
随着计算机技术与网络技术的飞速发展,网上信息查询和网络资源共享已经成为现代***书馆工作的主要方式,但是,也正是因为开放性的资源共享,使得***书馆的计算机网络频频出现安全问题。高校***书馆如何确保网络信息安全成为迫在眉睫的任务。本文结合笔者自身的工作经验,详细的分析了影响高校***书馆网络安全的相关因素,同时,从技术和管理的角度出发,提出关于***书馆系统网络安全的问题的解决措施。
1.高校***书馆网络信息安全
***书馆网络信息安全指的是网络系统的硬件、软件以及系统的数据收到保护,使其不受偶然因素和恶意的破坏、更改、泄密,从而使***书馆的工作能够维持正常运行状态,保证网络服务不中断。网络安全涉及到计算机网络、操作系统、数据库以及应用系统等信息技术硬件设施,它包括了网络信息内容的安全、网络系统传播安全以及系统运行安全等,随着互联网的普及与发展,***书馆的信息资源也走向了数字化与网络互,给广大用户带来更大的方便和更广阔的学习空间。***书馆的信息系统是一个开放服务、资源共享的系统,只有保证***书馆网络化进程中的网络设备与系统的安全,才能确保***书馆的各项工作正常开展[1]。
2.影响高校***书馆网络信息安全的因素
2.1病毒传播根据计算机病毒应急处理中心的数据表明,自2003年起,计算机病毒出现异常活跃的迹象,2007年计算机病毒的感染率已经高达91.47%。对于高校***书馆的网络而言,病毒的危害极大,首先,病毒会破坏计算磁盘上原有的文件分配表,自行修改、删除或生成文件,甚至将磁盘格式化,导致数据丢失或无法访问。其次,病毒对计算机内存中的常驻程序的运行有一定影响,使得系统无法响应,严重时还会造成整个网络瘫痪,例如,蠕虫病毒会不停的进行自我复制,大量消耗内存,直至死机。最后,病毒还会造成计算机硬件借口异常,破坏硬件本身的功能,使得系统瘫痪。例如CIH病毒会入侵计算机主板的BIOS。[2]
2.2黑客攻击黑客对网络攻击大多是以漏洞作为突破口,通过操作系统或通信协议的安全漏洞攻击网络,常见的的有拒绝服务攻击、预攻击探测、非授权访问尝试等。而对于***书馆而言,黑客的对网络的主要有恶意破坏和数据丢失两方面。黑客出于特殊的目的,对***书馆的网络设备进行恶意攻击,会造成服务中断,也可能会入侵WEB或其他的文件服务器,进行篡改或删除数据,造成系统瘫痪或崩溃。黑客通过控制***书馆的网络新系统,能够无限制免费的使用计算中的资源及网络连接服务资源,由于***书馆会建立特色的数字馆藏,花费巨额的资金购买数据库,而这些有偿的数字服务都会成为黑客窃取的目标[3]。
2.3管理缺陷高校***书馆的网络系统是一项复杂的网络工程,如果没有完善的管理制度,对网络系统的危害是难以想象的。而目前的***书馆管理工作中仍然存在很多问题,第一,网络安全管理人员缺乏专业的安全知识,无法及时的发现和应对随时出现的安全问题,对突发事件不能妥善处理。第二,网络系统没有建立科学的安全管理制度,使得网络安全体系与控制措施无法充分的发挥其功能。四散,系统管理人员或使用人员的安全意识淡薄,系统管理人员的安全意识淡薄,使用脆弱的口令或密码,易被人轻易破解,而使用系统的人员轻易地泄露账号,或未经安全审查随意安装软件。第四,缺少对学生的安全管理教育,没有建立健全的制度严格规范学生文明的使用***书馆网络资源[4]。
3.***书馆网络信息安全问题的解决方案
3.1采用先进的安全技术①防火墙技术:提供网络用户访问控制及数据过滤功能,同时添加认证服务。②防病毒技术:病毒的防治应该从单机防毒杀毒专项为网络防毒杀毒,对杀毒软件及时进行更新换代,增加特征代码检测、静态广谱扫描、行为判断、启发式扫描等先进的反病毒技术,保证网络系统的安全。③加密技术与认证技术:采用公共的密码及数字签名对数据进行加密处理,避免被破解或盗用,通过注册口令、用户分组口令以及设置文件访问权限等方式进控制访问权限,进而增加数据丽娜姐的安全性。④数据备份技术:使用双机热备和服务器RAID技术进对数据进行备份,提高稻荽⒋娴陌踩性。⑤漏斗检测技术:定对数据库、操作系统继续拧扫描,关闭非必须开放的端口,进行日志审核,对路由器和防火墙的配置定期检测[5]。
3.2加强***书馆网络信息安全专门人才的培养
***书馆网络信息安全的专业人才十分匮乏,根本无法满足现有的网络信息安全需求,因此,应加大力度培养***书馆网络信息安全的专业人才,使其具有掌握***书馆网络信息安全技能。
3.3建立完善的***书馆网络信息安全制度
建立完善的***书馆网络信息法律法规、管理机构以及制度,在国家规定的法律基础上,建立管理***书馆信息安全的专门机构,负责制定***书馆的网络信息安全***策,对***书馆的信息安全管理进行规划设计,使***书馆在面对突发网络信息安全问题时,能够快速的做出反应与对策,提出***书馆网络信息安全规划,审核重点工作的信息安全技术路线与方法,制定和审核***书馆网络设备硬件和团建的采购计划,组织制定网络新消息安全的密码算法。各级的***书馆还需要根据自身发展建立管理制度。
参考文献:
[1]谭世芬.高校***书馆网络信息安全体系构建--以河北医科大学***书馆为例[J].产业与科技论坛,2014,(8):229-230.
[2]杨钰曼.高校***书馆网络信息安全浅论[J].无线互联科技,2014,(12):196-196.
[3]谭辉***.浅谈高校***书馆的网络信息安全建设[J].中小企业管理与科技,2016,(5):251-252.
[4]曾红燕.高校***书馆的网络信息安全建设[J].中国现代教育装备,2015,(19):97-98.
[5]冷玉林.网络环境下***书馆网络信息安全问题探究[J].科技视界,2012,(23):313-314.
作者简介:
姓名:李茜丹,出生年月:1989.06,籍贯:湖南长沙,汉族
主要研究方向:***书情报与档案管理
网络安全解决方案篇8
关键词:无线局域网;漏洞;安全技术;解决方案
中***分类号:TN925.93 文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
一、引言
无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频技术,以无线信道作为传输介质,取代旧式碍手碍脚的双绞铜线所构成的局域网络。它是计算机网络与无线通信技术相结合的产物,具有安装便捷、节约成本、灵活性强、易于扩展、覆盖面大等优点。由于无线网络所特有的开放性,在一个无线局域网接入点的服务区域内,其传输的信号很容易被第三方截获,造成信息非法窃听、篡改等。安全隐患主要表现在以下几个方面:①未授权用户非法入侵②非法截获篡改数据③窃取未授权服务④地址欺骗⑤流量攻击。因此安全问题已成为影响无线局域网进一步扩充市场的主要障碍,其安全问题一直是业界研究的重点。
二、无线安全方式现状
(一)身份认证
用户认证主要包括MAC认证和WEB认证、基于802.1x认证。MAC认证通过未无线局域网手工创建一组允许访问或拒绝访问该网络的MAC地址列表,以实现地址过滤。这种认证方式要求地址列表及时更新,而且可扩展性差, 通过伪造MAC可以进入公司网络。WEB认证是三层认证方式,用户通过浏览器登陆认证系统,认证通过后进入公司网络。这种方式不需要安装客户端,易于实现。但是存在账号共用、容易仿冒等缺点。802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。802.1x体系结构包括三个主要的组件:请求方、认证方、认证服务器。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x认证优点在于:①802.1x协议专注受控端口的打开与关闭;②客户端IP数据包在二层普通MAC帧上传送;③采用Radius协议进行认证,可以方便与其他认证平台进行对接;
(二)用户安全
用户安全技术主要包括服务集标识符匹配(SSID)和有线对等保密协议(WEP)。SSID是一种网络标识方案,可以对多个无线接入点设置不同的SSID。系统根据无线工作站出示的SSID与AP进行匹配。WEP是IEEE802.11b协议中最基本的无线安全加密措施。其目的一是为访问控制:阻止那些没有正确WEP 密钥并且未经授权的用户访问网络。二是保密:仅仅允许具备正确WEP 密钥的用户通过加密来保护WLAN 数据流。WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于:①全部报文数据采用校验和加密;②通过加密来维护一定的保密性,如果没有破解密钥,就难把报文解密;③WEP操作简单,容易实现;④WEP为WLAN应用程序提供了非常基本的保护。
(三)系统安全
通过安装无线入侵检测防御设备(WIDS)及时发现WLAN网络中的有意或无意的攻击,通过记录信息或日志方式通知网络管理员。现在WIDS主要包含以下功能:①非法设备扫描②恶意入侵扫描检测③无线用户接入管理。H3C WX3024系列WIDS支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测;同时支持多种认证方式;支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式。支持Portal认证,一些企业外部的客户希望使用无线网络,来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时,Portal认证提供了很好的认证方式。
(四)安全机制
WLAN在安全机制方面主要包括WEP、TKIP、802.1X三种方式。WEP在数据链路层采用串流加密技术达到机密性,并使用 CRC-32 验和达到资料正确性。WEP加密方式可以分别和Open system、Shared key链路认证方式使用。WEP适用于无线范围不大,终端数量不多的企业环境。WEP通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制,WEP加密还是存在比较大的安全隐患。TKIP也使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护。TKIP用于增强pre-RSN硬件上的WEP协议的加密的安全性,其加密的安全性远远高于WEP。TKIP主要的缺点在于,尽管IV(Initial Vector,初始向量)改变但在所有的帧中使用相同的密钥,而且缺少密钥管理系统,不可靠。802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
三、企业无线网络安全策略安全分析
H3C公司的WX3024和WA2220-AG系列配合使用,为中小企业客户提供周到、简捷、方便的一体化接入方案。企业无线网络控制器采用具备千兆以太网交换机功能的WX3024一体化交换机作为无线数据控制和转发中心,放在企业的中心机房或者布线间,Fit AP则放到企业的各层天花板内,或者挂墙,甚至安装在室外。WX3024支持PoE+供电,因此无论是802.11a/b/g系列的传统AP,还是802.11n系列的AP,大多数情况下WX3024都能与这些Fit AP直接相连。Fit AP和WX3024交换机之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道。其网络拓扑结构如***所示。
(一)基于FIT AP解决方案
FIT AP和WX3024启用DHCP client功能,做到设备启动后自动获取ip地址,减少维护人员的配置,FIT AP必须能够支持自动获取IP地址,目前业界标准的做法是采用。AP启动以后会在其上行接口上通过DHCP client模块发起获取IP地址的过程。通过DHCP的协议交互FIT AP可以从DHCP server获取到以下信息:自身使用的IP地址、DNS server的IP地址、网关IP地址、域名、可接入的无线控制器的IP地址列表。此方案可以并满足企业对无线话音、视频等增值业务的需要,而且配置简单、维护方便、安全可控、更易扩展。
(二)无线入侵检测/防御
H3C WX3024系列多业务无线控制器可以自动监测WLAN网络中的非法设备,并实时上报网管中心最大程度地保护无线网络。WX3024可以实现防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁,又要防范内部威胁,既要防范来自用户端的威胁,又要防范网络端的威胁。对未授权的AP可以通过部署无线入侵检测来实现,通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测,检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,最大程度地保护无线网络。对用户通过认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性,防止未授权用户进入网络。WX3024通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文,从而有效防御ARP欺骗。
(三)企业无线网络应用安全解决方案
由于企业各部门对网络需求不同,比如视频监控中心将公司各个视频监控数据通过wx3024传送到视频服务器,不需要连接互联网。而财务部则需要链接对银联服务器进行账务处理、票据打印等。这就对无线控制器提出了一系列不同级别的安全技术策略。
企业在认证方式上采用radius认证方式,可以大大提高无线网络的安全机制。这种认证方式需要架设一台radius服务器,所有的用户数据储存在数据库中。通过对网络访问用户的身份进行验证是否具有登录权限。但企业在规划无线网络时首先考虑信息高速、安全、可扩展性已实现信息共享,传递,提高工作效率,同时建立出口通道实现与internet互联。因此在信息安全建设方面可以通过以下方式实现:①启用MAC地址过滤,可以阻止未经授权的无线客户端访问AP及进入内网。②禁用或修改SNMP设置,避免黑客利用SNMP获取关于用户网络的重要信息。③隐藏SSID,在无线路由器的设置当中,选择“隐藏SSID”或“禁止SSID广播”,这样就不容易被入侵者搜到。④采用IEEE 802.11i数据加密方式,这种数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准。⑤架设一套H3C imc智能网络管理软件,实时监测分析无线数据流,根据需要阻止和断开客户端。⑥在WLAN的安全防护方面还需要通过及时修复系统补丁、安装杀毒软件、个人防火墙、及时备份重要数据等方式保障网络信息安全。⑦安装部署一套内外网防御系统。
四、小结
无线局域网的不断发展要求提出更新更可靠的安全措施。本文中提出WLAN在企业应用中的安全机制及存在的安全风险、安全漏洞及临时解决方案。企业在构架无线网络时必须根据企业自身需要,建立多层安全保护机制,采用适当的安全保密产品,设定安全级别。从接入、认证、加密等方面充分考虑,最大限度减少无线网络带来的风险。
参考文献:
[1]任洁.浅谈无线局域网安全解决方案[J].电脑知识与技术,2011
[2]曾华强.企业无线局域网的构建及其安全研究,2009
[3]张宗福.无线局域网安全问题及解决方案[J].计算机安全,2011
[4]谭娟.浅谈校园无线局域网安全性分析与解决方案[J].中国信息技术教育,2011
网络安全解决方案篇9
关键词:网络;防火墙;访问控制列表
中***分类号:TP3
吕城初级中学是丹阳市农村中学的重点学校,作为典型的基础教育学校,该校校园网建设同样面临着网络安全的问题。为此,作者从实际需求的角度出发,以保障校园安全教学原则为准则,设计了校园网络安全的防护体系。针对我校的具体情况,将该校园网分为三级结构:以位于行***楼内的校园网控制中心为核心;与校园内各建筑(行***楼、教学楼、学生公寓楼、教职工宿舍楼)互连形成园区主干;各建筑物内再扩展面向用户的局域网。园区主干连接为1000Mbps,建筑物内部的用户局域网提供到桌面的100Mbps网络带宽。
我校采用思科公司的千兆交换产品Catalyst 2970G T(24口10/100/1000M)作为校园中心交换机;各建筑物主交换机选择iSpirit3524F(24口10/100M,添加了一个千兆光纤接口模块),中心的2970G T与各建筑物的3524F作千兆光纤连接,为此网控中心所在的行***楼外,其它三栋建筑采用了三条千兆连接成网络主干;此外,中心2970G T其它端口可为多台应用服务器提供高速网络连接。
建筑物内各楼层交换机采用D-link1024R,与本楼主交换机3524F连接,再以100M连接到用户桌面,必要时还可再下联低端交换机扩展用户数。考虑到各交换机都有多个100M端口,级联时可采用Fast Etherchannel(快速以太网通道)技术,将两交换机的2-4对100M或10/100M端口并行连接起来,使级联带宽成倍增加,同时提供线路冗余,其中任一条链路的断线不会妨碍其它链路继续传输数据,从而保障运行的可靠性。自从网络建成后有些问题是管理员必须去面对的:外网设备telnet本网络设备;每台电脑无法分配一个IP地址;师生任意登陆网络设备;师生之间的数据可任意访问等。网络管理员针对以上的问题,可以选择防火墙技术来达到我们的要求。
1 防火墙的基本设置
在网络安全中,除了采用网络技术措施之外,加强网络的安全管理也非常的重要,制定相关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
校园网进入校园已经很多年了,由于受到上级部门的保护,所面临的威胁要稍微小一些,尽管如此,作为网管员也应该提高安全的意识,从理论、技术、规章制度方面杜绝本校的网络不受侵犯。
参考文献:
[1]刘东华.网络与通信安全[M].北京:人民邮电出版社,2002.
[2]刘渊.因特网防火墙技术[M].北京:机械工业出版社,2001.
[3]Cisco IOS Security Configuration Guide,Part 3: Traffic Filtering and Firewalls[M].
网络安全解决方案篇10
【关键词】企业信息化 网络管理 网络安全 解决措施
1 网络管理的基本知识
1.1 网络管理的基本概念
所谓的企业网络管理指的是利用资源的调度和协调整个企业网络系统设计和规划、运行监控、管理控制和故障诊断,从而保护企业网络系统和稳定运行,优化网络环境,网络安全,以保证正常的企业工作安全、稳定、有效运行。
1.2 网络管理的基本对象
企业网络管理主要包括网络设备、网络性能、网络系统和其他方面的管理。
2 中小企业网络管理现状及解决办法
2.1 网络管理在中小企业的现状
中小企业特是指一种员工相对较少,业务的规模也较小的企业。 同时网络布局和管理在中小企业更加灵活,但由于没有雄厚的资金投入、及有限的技术人员等原因,以至于一些企业至今一直未能实施合理有效的网络管理。即使一些企业已有了一定程度网络管理,但是对于网络管理重视程度不够,关键技术细节理解不完整,造成网络管理还存在许多不足。
2.2 中小型企业形势分析
经过对90%以上的中小型企业网络管理的数据分析,中小型企业网络问题的根源主要集中在以下几个方面:
2.2.1企业网络管理的安全意识薄弱
企业高层管理人员对于发展生产技术和扩大企业经营规模的兴趣,远远大于对于网络管理的学习和安全方面的重视,安全意识薄弱。对于企业网络安全的投资较少、有关管理领域较为宽松,无法满足现代网络信息安全的基本要求。另外中小企业对网络的稳定性和网络安全存在侥幸心理,对于网络安全没有充分积极的认识,一旦出现问题,更不会积极应对,这就导致一旦出现安全问题不但不会去解决,更会任由问题扩大。
2.2.2网络管理措施不足
中小企业由于专项资金不足,这也成为网络管理经验技术力量薄弱的的主要原因。路由器、交换机、服务器等网络设备、及软件系统在中小企业一般没有相关的管理策略。对于由其生产商或集成商发出的用来修补或升级软件系统信息没有有效的处理方式。对于服务器和其他重要数据不配备备份或数据加密,冗余措施。这些无法更新的系统和缺乏配置的硬件设备让恶意人员有机可乘,对病毒、木马或恶意程序的更是毫无抵抗,企业网络的可能性,存在着严重的安全隐患。通信设计与应用。
2.2.3全面解决方案的缺乏
在大多数中小型企业缺乏网络管理解决方案情况下,他们的安全意识大都建立在防火墙、防病毒软件及加密技术升级上,进而让自己的心理更加依赖。大家都知道,对于企业网络管理,简单的解决方案并不能完全保证企业网络安全性,随着信息技术的发展,网络的更新换代极快,网络安全这个问题远远不是单一的杀毒软件和防火墙就可以解决的,也不是很多标准的安全产品可以处理的。这些问题需要一个综合且全面的技术解决方案,而这个方案很大程度依赖专业的网络管理。
2.3 中小型企业网络管理存在问题的解决方案
2.3.1 加强企业网络管理实践,提高安全意识
企业想获得健康,稳定,快速的发展,规范网络管理经营行为,提高员工的网络安全意识势在必行。详细的解决方案措施:
(1)可分为虚拟VLAN网络段,应用数据控制和管理控制,将公司的主营业务和非主营业务分开有效管理或者将公司各个部门、小组按照业务不同分开管理。
(2)对于企业员工应用固定IP设置或者使用DCHP动态分配IP地址,与此同时进行MAC地址绑定,启动防网络风暴管理制度,强化互联网的网络安全。这样操作一方面便于监视与维护,另一方面减少了网络中毒,网络瘫痪等问题出现的可能性。
2.3.2 采取切实可行的网络安全管理措施
对于企业来说,最典型的网络安全问题是数据的丢失、损坏与泄漏,数据的安全问题,以及网络安全协议的问题。提高整体网络安全意识,重要数据定期备份是网络管理中对信息进行有效处理的必要手段。
(1)为了解决数据安全的问题,需要进行业务关键数据进行远程备份,以防止数据因为木马、病毒、及人为原因导致数据安全问题。
(2)对于服务器、路由器、交换机等突然损坏的硬件问题,重要的是要进行设备冗余设置。网络的关键设备设置一用一备的组网方式。
(3)对于软件系统的问题,则需要检查系统的编码,严格编码标准,从而消除系统本身的问题。
(4)基于网络的安全协议问题,需要专用网络执行加密操作,以防止恶意黑客攻击。
2.3.3 制定切实完备的网络技术应对方案
在当前的网络信息如此开放的大环境中,任何网络都不是百分之百保证安全的,所以一套完整有效的网络技术应对方案对于网络管理尤为重要。网络技术应对方案一方面是指应对网络安全方面的技术方案,一方面是应对网络故障方面的技术方案。因此,企业需要结合自己本身的实际情况,制定完善的应对措施及方案。
(1)制定一个完整的防火墙和防护软件的升级规则,及时更新系统补丁,避免网络安全漏洞。
(2)进行网络故障实战演练,提供网络管理人员的技术业务水平。
(3)对于发生的故障及安全事故要及时备案,分析,避免类似的情况再次发生。
3 结论
随着网络信息技术的迅猛发展,信息容量在这个开放的环境中不断增长,网络规模也将随之增加,越来越多的企业的管理者们开始认识到网络管理的重要性,并且在企业资金的投入上有了一定的倾斜。信息化程度的高低已经成为衡量一个企业是否是现代化企业的重要标准。从在整个国民经济中有着非常重要地位的中小企业来看,一个高效、稳定、安全的网络是确保其健康发展的命脉之一。网络管理在中小企业的原材料采购、产品营销、客户关系等等方面也起着底层建筑的基础。目前很多企业在网络管理方面还有很大的完善空间,还有很多工作需要踏踏实实的去完成。
转载请注明出处学文网 » 网络安全解决方案10篇