学文网网络安全解决方案第1篇
关键词:信息安全;网络;***
中***分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Enterprise Network Security Solution
Lu Wenshuo
(National Computer Network Emergency Response Technical Team Coordination Centre,Guangdong Sub-center,Guangzhou510665,China)
Abstract:With the rapid development of information technology,management of the computer application system dependent enhancement,computer applications increased dependence on the puter networks and computer application systems running on a higher network security requirements.Information security should be done to prevent the overall consideration of a comprehensive information system covering all levels,for the network,system,application,data do comprehensive prevention.
Keywords:Information security;Network;***
一、引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
二、设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
(一)标准化原则。本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
(二)系统化原则。信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
(三)分步实施原则。由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
三、设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
(一)网络安全基础设施。证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:身份认证(Authentication)、数据的机密性(Confidentiality)、数据的完整性(Integrity)、不可抵赖性(Non-Repudiation)。
(二)边界防护和网络的隔离。***(Virtual Private Network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署***系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。集中的安全策略管理可以对整个***网络的安全策略进行集中管理和配置。
(三)桌面安全防护。对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
四、方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如***所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
网络安全解决方案第2篇
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;*** 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
***1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,***重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如***2所示。 ***2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供***身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 ***(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署***系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个***网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如***3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 ***3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子***务总体设计与技术实现》
网络安全解决方案第3篇
关键词:网络安全威胁;安全需求;防火墙;IDS;网络安全
中***分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如***3-1所示:
(一)层层布防
从上***中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,***TP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企***。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企***、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全***策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防***机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
[2]杜宇峰.网络安全与防护[J].电脑知识与技术.2007(18).
网络安全解决方案第4篇
【关键词】网络安全;数据安全
1网络安全解决方案
伴随着互联网的不断发展,互联网当中存在的危险系数也在不断的提升,原来的防御系统不能够有效的抵御现有危险,网络完全防护迫切需要升级改版。一个全面、完善的智能防护系统能够为用户提供更加便捷、安全的保障。信息安全建设的理念也需要不断更新。在新理念中,网络安全产品发生了很大的变化。与实际情况相结合来说,在新理念的引领下网络安全解决方案正向着以下几个方面去发展:
1.1网络安全
网络安全需求驱使企业采用软件定义网络,软件定义网络(SDN)近年来发展势头很好,凭借着优秀的平台创造力与灵活的改造性,它为应用部署和云安全提供了巨大的价值点。对于虚拟化技术而言,网络安全的界定十分模糊,这给***设备的配置带来了问题。针对这一点,SDN建立了虚拟化网络,重新定义了网络安全的边界,并作为在配置安全防护层中必要的业务链贡献良多。这些因素都使得各个企业追求更高的网络安全,而不单单是仅限于目前的网络安全配置。
1.2云端技术
云端技术将定义新的网络安全导向,随着企业纷纷逐步将业务移入云端,他们对于应用和数据安全的需求也随之增高。为了解决云安全问题,网络安全厂商积极研发新技术。一些已经趋于成熟的解决方案比市场上的现有技术更具安全性、弹性及容错性,也能为企业提供更为优化的按需部署。许多企业在产品中采用了分布式处理及数据挖掘科技。放眼未来,市场及用户将会重点关注应对虚机间安全问题的解决方案(东西向流量防护)。1.3可视化工具可视化工具将有效应对数据中心面临的威胁,监控与管理是数据中心运作的重要组成部分,而如今随着可视化技术的深入发展已经成为网络安全的关键一环,在数据中心的作用日益凸显。可视化工具能有效洞察每台虚机的***行动及虚机间互动,并利用虚机间流量监控及现有技术(如应用识别及用户识别),来为用户提供数据支持。通过数据分析,可视化工具能帮助用户鉴别在这些互动中是否存在攻击和非正常行为。
1.4容器技术
容器技术助力虚拟化进程。容器技术作为最热门的新兴技术之一,能为用户提供更高性价比的可扩展性、更快的加载速度,同时可以有效缩短发展与部署周期。然而,容器技术同样也为网络安全带来了新的挑战——由于其基本的配套平台与虚拟化不同,因而难以保障其安全。目前看来,采用容器技术的公司虽然巩固了技术实力,但也不得不将安全隐患搁置一旁。即便如此,从长远的发展来看,该技术正逐渐获得更广的接受度,安全问题必然也会受到进一步关注。相信在不久的将来,一套完整的解决方案将会应运而生,来应对这一系列的挑战。网络安全产品的虚拟化,例如防火墙,传统的防火墙,在不同的网络边界均需要部署时可能需要购买多台,而如果选择使用可以虚拟化的防火墙产品,在规划合理的情况下可以减少相当一部分预算。例如飞塔防火墙的VirtualDomain功能;云应用、私有云等的应用也需要在云环境的内部进行网络安全建设,因此网络安全设备的的虚拟化,如虚拟防火墙、虚拟waf、IPS等也会逐渐的产生市场需求。WAF云端化。传统网络产品下一代化,各种下一代防火墙。防ddos产品云端化,各种网站防护号称集成防DDOS和防CC攻击。
1.5主动防御
主动防御的理念已经在社会上存在很长时间了,目前的发展趋势呈现出了一些波折,其主要是在实际应用过程中出现了各种困难。主动防御所指的是通过分析和扫描对电脑的程序进行定期扫描,根据其预先设定的各种标准,对可能存在的危险或者病毒进行隔离,能够对电脑起到很好的保护作用。但是,主动防御理念在实际操作中最重要的问题就是不能够真正的实现智能化运行。这主要是由于计算机的运行要严格按照相关程序规则。在主动防御系统开设之后所有的检测都要按照预先设定的流程去进行。这也成为了目前主动防御理念之中存在的最大问题。但是主动防御也有其存在的科学性和合理性,其能够有效的提高企业的网络安全性,对企业各类资料和文档的安全性解决了后顾之忧。因此,即使这样的理念还不是很完善也受到了各个企业的使用。随着社会的不断进步和发展,越来越多的高新技术开始出现,对于网络安全的监控也有了更多选择,例如:程序自动监控、程序自动分析、程序自动诊断等等,主动防御型产品也有了更多的扩展。特别是随着网络安全问题的不断变化,对于病毒、蠕虫、木马等新型的攻击行为也有了更多的对应***策。总的来说,主动防御技术的发展面临着更加辉煌的前景。伴随着网络环境的日益复杂,越来越多的人受到互联网病毒的危害,个人信息的泄露会带给他们特别多的困扰。单一的防护产品很显然已经不适应现代社会的发展了,快速进步的社会需要的是更加全面、安全的防护体系。安全整体解决方案所需要的是更严格的检测方式,实现智能化、集成化。在未来的发展过程中,网络安全问题将会被人们提升到更加重要的位置。网络的安全能够影响企业的数据安全,更好的促进企业发展和进步。面对发展势头越来越旺的网络,依靠传统的网络安全设备去保障网络环境的安全是仅仅不够的。在实际应用当中,将终端接入互联网之中,通过对进入系统的控制,从源头上促进网络用户的安全性。我们的相关人员应当更好的促进网络安全工作的建设,更好的促进网络整体安全体系的完善和健全。
2总结
网络监听、网络攻击、网络诈骗、网络恐怖主义等违法犯罪活动,不同程度充斥在网络空间,随时都可能给国家安全、国防安全和个人安全带来威胁、造成损失。2017年3月1日,中国《网络空间国际合作战略》,用四项原则、六大目标、九大行动计划,向世界清晰描绘了中国面向全球网络空间的宏伟蓝***,为“构建网络空间命运共同体”提出中国主张。作为拥有近7亿网民、400多万家网站的网络大国,如何发展并治理好这片历史的***域,如何维护好网络空间的、安全,成了确保国家安全,建设网络强国不可回避的一个问题。
参考文献
[1]徐雷.浅析计算机网络安全威胁及防范措施[J].电脑知识与技术,2011.
网络安全解决方案第5篇
随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.
网络安全解决方案第6篇
关键词:广播电视网;媒体;传输;网络安全
在广播电视系统中所传输的信息种类很多,以媒体的种类来区分可分为视频、音频、***片、数据等介质;从视频网站中的各类应用来看,有电视节目直播、视频点播、多媒体信息查询、节目回看、大数据查询以及其他媒体形式的专题等;从传输手段看有网络、无线发射、有线电视、微波传输、卫星传输等,形成“天地一体,星网结合”的立体传输网络,打通了传输方式全覆盖,实现信息、介质传输的多渠道输出,为用户多渠道获取媒资信息提供了方便。广播电视网络具有高带宽、高速率,多用途,终端传输不对称等良好特性,而广播电视信息中的大视频,多语言等媒体信息在传输中需要较高质量的传输媒介。目前,安徽广电视频网站在传输媒资信息时,直播还无法做到所有频道的全覆盖,点播所有栏目、所有期数无法全留存,遇到节假日或者特别直播时,网络出现卡顿、无法打开等现象,视频网站受到攻击风险激增,用户人数、业务在增加,所以需要对安徽广播电视台视频网站网络安全面临的风险进行评估并逐步解决。
1安徽广播电视台视频网站网络安全面临的系统安全风险
从整体来看,安徽广播电视台视频网站网络系统高安全风险主要出现在以下三个层面:
1.1网络层面
由于网络系统访问控制策略设计的不合理或缺乏一些严格的网络安全产品(如防火墙、IDS、防病毒、业务监控网关等),导致外部互联网上的黑客或病毒可以趁隙入侵或破坏,影响整个广电服务的资讯提供质量。视频网站网络安全影响广播电视媒体正常传播,所以,在网络层面必须制定策略确保网络安全,网络安全威胁一直威胁着安徽台视频网络的安全传输,一旦发生网络病毒大肆攻击,威胁着网络安全,影响千家万户对广播电视媒体的正常使用。确保网络层面安全关系重大,把控好网络层安全,保证视频网站的正常传输。
1.2系统层面
由于网络设备和服务器操作系统的安全漏洞频繁出现,利用这些漏洞的入侵工具和病毒(蠕虫)等攻击手段也随之产生,导致安徽广播电视台视频网站存在随时被黑客入侵或蠕虫爆发的可能。系统层面的威胁可能是存在于系统根上,也有可能存在于外界的入侵。对于系统根上的基因自带的漏洞需要及时弥补漏洞,补丁,短板需要及时堵住;对于来自外界的入侵需要做到严加防范与系统监管。
1.3管理层面
安全事件发生的主要原因往往是安全管理问题,缺乏有效的安全管理制度、安全制度执行与监督不力、没有统一的安全策略、没有严格的机房管理制度等,一系列不严格措施均可能导致内部人员工作松懈,为外部黑客的攻击创造了条件,甚至内部人员恶意的窃听、破坏、偷窃信息等。管理层面的疏忽成为现如今发生网络安全威胁的重要原因。安全管理制度的制定与有效的执行是防范安全事件发生的有效办法。做到日查、登记备案、应急演习都能够有效防范安全事件的发生。制定有效的安全管理制度、有效的执行、良好的机房管理环境、强大的维保队伍需要在管理层面下功夫,做到管理层面的不疏忽、不懈怠,及时高效保障网络安全。针对安全风险出现的三个层面的剖析,经过前期对广电整体网络拓扑的分析,目前安徽台视频网站的网络安全风险主要存在于如下几方面:(1)网络出口现有安全设备的抗攻击性能难以满足安全需求,一旦发生大规模的网络攻击(如各种DDOS攻击等)时容易出现流量拥塞甚至瘫痪,导致业务不可用;(2)安徽省广电IP承载网互联网出口缺乏针对应用层攻击的检测及防御能力,此类攻击的典型特点是以小搏大,即使很小流量的攻击,也会造成业务不可用;(3)视频网站接入互联网,需要超强的辨别识别能力,必须时刻了解跑在网络上的各种业务带宽的使用情况以及流量情况,只有这样才能传输大量数据内容,特别是媒体信息,才能保证老百姓网络环境正常,保证各种业务的正常开展以及良好的用户体验;(4)因为无限制的P2P、***视频等新兴业务对广电网络带来的电信业务收入、带宽利用等威胁,所以,视频网站网络必须对使用的业务所需的网络环境进行控制和管理,只用做到良好监管,有序分布使用,才能确保广播电视网络的服务质量。根据对安徽省广电系统信息安全风险分析和需求分析,在国家对信息安全各种***策的要求下,保证现有各类业务信息正常运行的前提下,以现代信息安全保障体系为理论基础,运用最新的安全保护技术、国家标准、网络安全技术规范为架构,为保障广播电视网网络安全提出以下解决方案。
2整体安全解决方案
根据安徽广电系统高可靠性和高安全性要求,对广电互联网出口进行综合安全防护,需要部署六套系统:
2.1部署一套DDOS防护系统
拒绝服务攻击DOS是当前Internet最流行的攻击手段,拒绝服务攻击是通过制造大量非法流量,占用大量系统服务资源以达到耗尽带宽为目的,使正常网络业务无法正常开展的一种攻击手段。拒绝服务攻击具有攻击方式简单粗暴,迅速达到目的,而且很难防范与源头追踪等特点。所以,在现如今的在网络上开展的如电子商务、电子***务、电子银行等一系列网络服务,都有可能通过这种攻击方式使业务无法正常开展,给国家、公司、人民造成巨大损失,耗费大量人力、物力、财力。所以,需要严加防范这种网络攻击。DDOS即分布式拒绝服务[1],攻击指借助客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DOS攻击,从而成倍地提高拒绝服务攻击的威力。所以,需要在现有广电网络与互联网连接的边界处部署一套可支持多种类DDOS攻击的准确识别和控制系统,不仅可以做到对攻击的准确识别,还可以提高对蠕虫病毒流量的识别能力,从而提高系统的安全防范能力。该DDOS防御系统包括三部分,监测及分析中心,控制及清洗中心和安全管理中心,三个中心互联互动,可实现自动检测,识别攻击自动或手动引流清洗,统计分析报表定期生成。
2.2部署一套业务监控系统通过DPI技术[2]对网络流量进行深入协议分析,把控好网络流量对于业务区分以及业务所需要的网络流量的质量控制。并且,通过对业务流量统计数据进行深入挖掘,更深入地了解网络使用情况,如用户使用宽带的习惯、方式等。业务监控系统的部署对于业务流量的分配调动起到了及时的监视作用,有了一套业务监控系统可以为现有的网络环境提供优化改造意见,也可以为开辟新业务以及增值业务提供指导意见。所以,需要部署一套业务监看系统。
2.3部署一套互联网缓存系统
对于广电网络传输的视频、***片、音频等大数据量内容,保证用户使用的流畅度与所有业务的质量,使网络“不卡”业务“不顿”,特别是缓存系统中的调度子系统运用了负载均衡、热点内容搜索管理调度以及缓存记录搜索等技术,能够引导请求用户和已经缓存过的数据设备发生数据交换,增加已缓存数据设备使用率。另外,无限制的P2P、***视频等新兴业务对当前带宽超负荷使用等威胁。所以,需要一个高速、优质的网络服务。做到网络的优质、高速需要部署一套互联网缓存系统,采用分析定向、自动缓存、精确调度和速度搜索等技术,将占用总出口带宽60%~80%的P2P流量、***视频以及大文件***流量本地化,进而达到节省出口带宽、降低网间结算费用、提高网络利用效率、降低网络运营成本,最终实现广电网优质高速,提升用户使用的流畅度以及所有业务的高质量开展。
2.4部署一套日志管理系统
在信息管理系统中,日志是指对计算机设备运行中重要活动或事件的完整记录和描述,它能够记录信息系统内发生的动作和行为,向外界展示信息系统运作的完整轨迹和本质。帮助网管实现日志统一管理,系统能够采集、过滤、归并、分析、存储、监控并上报成专业的防火墙会话日志,并支持发送告警和输出报表。形成完整的上报日志对系统内发生任何行为做到有迹可查、有迹可循、有事可报,这对于解决系统问题以及业务起到非常重要的作用。并且,以报表的形式可以做到问题的溯源以及备案,为后续问题的查证与追责提供重要依据。本次部署的日志管理系统可以针对网络出口处的防火墙和服务器防火墙进行统一的日志分析,以检测当前网络中的最新攻击类型。
2.5部署一套安全管理平台
随着广电信息化深入,网络规模逐渐扩大,所使用的网络及安全设备逐渐增多,如何更好更方便地对网络及安全设备进行管理,是每个使用者优先考虑的问题。然而,网络设备的管理又存在设备类型复杂、管理信息多样性等问题,如何更好地解决这些问题,网络管理就显得尤为重要。统一安全网管系统[3]要支持全系列安全设备和主流网络设备的网络拓扑管理、故障排查管理、网元管理、设备性能管理、集中策略配置管理、***管理等一系列功能。安全管理平台需要能够直观展现网络架构,帮助管理员快速定位网络故障,提升管理能力,提高工作效率,降低维护成本,为用户提供一个对全网设备高效管理的平台。
2.6在网络出口位置部署一套功能强大的防火墙
现网络出口位置的网络防火墙暂时能够满足当前用户数的安全需求,但随着用户数量的不断增加,现有的网络防火墙性能逐渐达不到需求,所以,需要考虑布置新型防火墙。布置新型防护墙的性能需求有强大的入侵防御功能、反病毒功能、强大的GTP保护功能、IDS联动等主要功能。(1)强大的入侵防御功能需求:传统的IPS策略[4]是通过分析现有系统的漏洞以及对已有攻击方式引发的攻击事件进行特征提取,进而制定防御规则。比如:防范有针对性的操作系统漏洞攻击、针对邮箱服务器漏洞攻击、文件服务器攻击、浏览器漏洞攻击等。对当下大多数的木马、蠕虫、间谍软件等能够进行很好的防御与检测。针对现有的防火墙功能缺陷需要IPS能够识别运行于非知名端口的常用数据流类型以及对于特定介质流量减少误报。(2)反病毒功能:反病毒功能指支持邮件传输协议***TP、POP3,网页协议HTTP的传输数据扫描中做到病毒的删除操作或者向用户发送通过。但现防火墙对10种以上、多层压缩文件、对病毒进行加壳操作的压缩文件进行扫描时发现病毒能力较弱。所以,需要部署新防火墙具有对病毒具有脱壳操作能力,并且对文件类别具有智能识别功能。(3)强大的GTP保护功能[5]:部署在Gn、Gp和Gi接口进行GTP安全防范功能需要有支持R97GTP、R99GTP、GTP协议、报文分析控制能力以及按照规则对报文进行过滤的能力;在路由模式和透明模式两种工作模式下工作;能够解决GTP隧道的限制、能够检测GTP隧道信息、GTP隧道双机热备功能;支持分片缓存功能等。(4)IDS联动[6]是指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为,通过下发指令的方式通知统一安全网关,由统一安全网关对攻击报文进行丢弃或其他处理。运用IDS联动的方式来防范恶意攻击,是将恶意攻击分为入侵检测和攻击处理两个过程分量后进行处理,充分发挥各设备的优势,改善系统性能。通过和IDS设备联动,统一安全网关可以提供一种高可靠的主动防御模型和安全解决方案。用户优先配置好静态的安全性能配置信息,通过IDS设备可以动态发现安全隐患,通过统一安全网关设备修改安全策略,起到实时、动态的修改防御策略,保证整网的安全。要有灵活的联动接口协议,可以和很多IDS设备互通,方便支持各种IDS设备和统一安全网关联合工作。
3结语
为应对众多网络不安全因素,本文提出的解决方案包含外网出口、入侵检测和日志审计,同时提供了统一的安全管理中心各模块,可以有效解决当前视频网站面临的问题。在广电行业产业化改造的历史机遇面前,建立一个高起点、高技术含量、多功能、智能化并具有良好扩展性的综合信息平台至关重要。让安徽电视台视频网络信息高速、优质地通往千家万户,让广电网络能够高效传递信息,成为百姓获取信息咨询、丰富文化知识的良好载体,成为国家信息基础建设以及现代化信息服务的重要组成部分。
参考文献:
[1]于跃.基于安全路由联盟DD0S攻击防御机制[D].保定:河北大学,2018.
[2]李婷婷.DPI技术在广电IP化检测系统中的应用[J].广播与电视技术,2019(9):124-127.
[3]翟纲.基于SNMPv3的安全网管技术研究[D].成都:西南交通大学,2003.
[4]谭菲菲.入侵防御系统(IPS)专利技术分析[J].网络安全技术与应用,2018(8):121-122.
[5]李俊凤.基于ENP-2611的GTP防火墙的设计与实现[J].湖南邮电职业技术学院学报,2016(3):42-44,75.
网络安全解决方案第7篇
【 关键词 】 网络安全;保密方案;虚拟计算技术;安全控制技术
1 引言
随着网络应用的普及,网络安全问题成为了当下人们所关注的重点。在网络应用中,由于软件及硬件存在一定的漏洞,被不法分子利用造成数据的丢失或者是系统的破坏,因此,为计算机网络进行安全保密势在必行。本文所提出的基于云计算技术的计算机网络安全保密解决方案和基于安全控制技术的计算机网络安全保密解决方案,在特定环境下都能够对计算机网络提供一定的保密措施,但是由于两种方案自身也存在一定的漏洞,所以在不同环境下选择不同的解决方案,对于计算机网络安全保密具有非常重要的现实作用。
2 计算机网络泄密风险
目前计算机网络应用中可能存在的泄密渠道主要包括互联网、局域网、无线设备、移动存储设备、打印传真设备等。其泄密方式如***1所示。
在计算机网络应用过程中,存在的泄密行为与泄密风险如表1所示。
3 基于云计算技术的计算机网络安全保密解决方案
随着大数据、云计算的兴起,传统的计算机安全保密方式从多终端向集中存储安全管理方式转变,利用云计算将客户端的数据集中管理,解决的不同终端安全管理难的问题,同时又降低了客户端的数据存储压力,实现资源高效利用、统一管理,为计算机网络安全管理提供了便利。
基于云计算技术的计算机网络安全保密解决方案实施流程如***2所示。
云计算技术为用户构建了虚拟桌面,提供远程数据访问和软件应用。在服务器端,不仅能够为用户提供数据的存储服务和应用软件的使用,同时云端服务器还对所有用户的操作进行监控,对资源的利用进行管理,并将用户权限等级进行设定,根据用户使用权限为其提供相应的服务器资源利用。
基于云计算技术的计算机网络安全保密解决方案实现了数据的集中统一管理,采用统一安装应用软件、统一建立防火墙和杀毒软件,并及时对软硬件进行升级,可降低用户端设备泄密的几率。在云端服务器中储存的数据可根据重要等级进行管理,对级别高的数据可实行定期备份,有效的防止了数据的丢失,提高了数据资源利用的可靠性。
4 基于安全控制技术的计算机网络安全保密解决方案
基于安全控制技术的计算机网络安全保密解决方案是利用安全控制技术对技术网络设备进行安全保护,其中包括对设备的通信接口、用户认证等。基于安全控制技术的计算机网络安全保密解决方案实施流程如***3所示。
可信终端设备和安全控制系统可经由交换机访问服务器,在交换机中安装内容审计系统,该系统能够对网络数据进行实时监测,监测用户网络应用的行为。用户通过监测审查后可访问具有安全控制系统的服务器,该服务器属于初级服务器,可为用户提供并不私密的数据。如果用户想访问受保护的服务器,则需要通过安全控制系统安全网关,在该网关中安装入侵检测系统,其可以对加密级数据提供入侵检测功能,实现对核心加密数据的安全保护。用户通过层层检测后,可经过交换机访问到受保护服务器中的重要数据。
基于安全控制技术的计算机网络安全保密解决方案在用户与服务器之间进行通信时需要提供用户身份认证,获得通信端口加密口令后,可登陆服务器调用服务器数据资源,也可以通过USB令牌或者口令卡进行通信加密,确保用户身份与服务器登记身份相吻合,这种方案常用于网上银行用户身份安全认证。
5 两种计算机网络安全保密解决方案比较分析
对基于云计算技术的计算机网络安全保密解决方案和基于安全控制技术的计算机网络安全保密解决方案进行比较,建立对比如表2所示。
基于云计算技术的计算机网络安全保密解决方案适用于用户集中区域的管理,譬如大厦办公楼、***府机关、企事业单位等。基于云计算技术的计算机网络安全保密解决方案具有降低终端设备维护压力和运行压力、集中网络安全保密,防止由终端泄密的问题。随着大数据集中管理和云计算技术的日益成熟,基于云计算技术的计算机网络安全保密解决方案将具有更加广阔的发展空间。但是,在进行高性能计算时,对于服务器产生的压力巨大,所以其不适用于专业性计算机网络安全应用,同时由于小规模计算机网络建立云计算成本较大,因此,云计算技术适用于规模较大的用户群体,具有广泛应用性,而不具备尖端应用性。
基于安全控制技术的计算机网络安全保密解决方案对计算机的配置要求较高,通常应用与科学研发、课题攻坚、指挥控制等方面,其可满足较高性能的计算,更加适用于安全要求级别高的网络应用。
6 结束语
本文对计算机网络安全保密解决方案进行分析,提出基于云计算技术的计算机网络安全保密和基于安全控制技术的计算机网络安全保密两种解决方案,并对两种解决方案的架构和工作方式进行研究,分析两种解决方案的执行原理,对二者进行了比较分析,提出在不同环境下可选择不同的计算机网络安全保密解决方案,做到有的放矢,更好的发挥出彼此的优势,对完善计算机网络安全具一定的借鉴意义。
参考文献
[1] 鲁林鑫.企业计算机网络安全防护措施和对策研究[J].科技创新导报,2010(04).
[2] 克依兰・吐尔逊别克.计算机网络安全分析研究[J].网络安全技术与应用,2014(01).
[3] 宋国云,赵威,董平,张元龙.有效改善计算机网络安全问题及其防范措施[J].电脑知识与技术,2014(01).
[4] ******,杨同庆.信息系统安全技术探究[J].技术与创新管理,2014(03).
[5] 俞迪.基于计算机网络安全保密解决方案的分析[J].中国新通信,2014(02).