時間:2023-06-07 09:38:32
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全主動防護,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡安全;動態防護體系;設計;實現
在信息高速發展的今天,全球化的網絡結構已經打破了傳統的地域限制,世界各地應用網絡越來越廣泛。但是隨著通過對網絡內部數據訪問的不斷增加,其不穩定因素也隨之增加,為了保障網絡環境的動態安全,應采用基于動態監測的策略聯動響應技術,實現在復雜網絡環境下的網絡交換設備的實時主動防御。
1 動態安全防護機理分析
要實現網絡交換設備的動態安全防護,必須能夠在保證設備本身安全的前提下對進入設備的數據流進行即時檢測和行為分析,根據分析結果匹配相應的響應策略,并實時將策略應用于網絡交換設備訪問控制硬件,達到阻斷后續攻擊、保護網絡交換設備正常業務運行的目的。
2 設計與實現
2.1 安全主動防御模型設計
網絡安全主動防御通過采用積極主動的網絡安全防御手段,和傳統的靜態安全防御手段結合,構筑安全的防御體系模型。網絡安全主動防御模型是一個可擴展的模型,由管理、策略和技術三個層次組成:
1)管理層是整個安全模型的核心,通過合理的組織體系、規章制度和措施,把具有信息安全防御功能的軟硬件設施和使用信息的人整合在一起,確保整個系統達到預定程度的信息安全。
2)策略層是整個網絡安全防御的基礎,通過安全策略來融合各種安全技術達到網絡安全最大化。
3)技術層主要包括監測、預警、保護、檢測、響應。
監測是通過一定的手段和方法發現系統或網絡潛在的隱患,防患于未然。預警是對可能發生的網絡攻擊給出預先的警告,主要是通過收集和分析從開放信息資源搜集而獲得的數據來判斷是否有入侵傾向和潛在的威脅。保護是指根據數據流的行為分析結果所提前采取的技術防護手段。檢測是指對系統當前運行狀態或網絡資源進行實時檢測,及時發現威脅系統安全的入侵者。響應是對危及網絡交換設備安全的事件和行為做出反應,根據檢測結果分別采用不同的響應策略。
這幾個部分相輔相成,相互依托,共同構建集主動、被動防御于一體的網絡交換設備安全立體防護模型。
網絡安全預警模塊通過網絡主動掃描與探測技術,實現網絡信息的主動獲取,建立起相對于攻擊者的信息優勢。網絡安全預警模塊根據數據流行為分析的具體結果,針對有安全風險的設備采用通用的網絡交換設備掃描與探測技術進行實時監控,隨時掌握這些設備的當前狀態信息,并根據其狀態的變化實時更新網絡安全防護系統的相關表項,使網絡安全防護系統進行模式匹配時所使用的規則符合當前網絡中的實際情況,有效地提升系統的安全防護能力和效率。
安全管理平臺主要由安全策略表、日志報警管理和用戶操作管理組成。其中,安全策略表是網絡數據流處理的依據,數據流訪問控制模塊和行為安全分析模塊根據安全策略表中定義的規則對匹配的數據流進行相應的控制和處理。日志報警管理通過查詢數據流行為安全分析、網絡安全預警等模塊產生的工作日志,對其內容進行動態監視,根據預設報警級別和報警方式產生相應的報警信息并通知系統維護人員進行相應處理。用戶操作管理實時接收用戶輸入命令,完成命令解釋,實現對安全防護系統的相關查詢和配置管理。
2.2 動態策略聯動響應設計
(1)數據流分類
網絡數據流進入時,首先根據訪問控制規則對數據流進行過濾,過濾通過的報文在向上遞交的同時被鏡像到數據流識別及分類處理模塊,該模塊首先通過源IP、目的IP、源端口、目的端口、協議類型五元組對數據流進行分類,然后根據流識別數據庫的預設規則確定數據流的分類結果。在分類處理過程中,為提高處理效率,首先將五維分類查找問題分解降維為二維問題,利用成熟的二維IP分類算法進行初步分類。由于協議類型僅限于幾個值,所以可以壓縮所有分類規則中協議類型字段,將其由8位壓縮為3位,節省數據庫空間。由于規則實際所用到的端口號為0-65535中極少一部分,協議值和端口值不同情況的組合數目遠遠小于最大理論值。
(2)深度特征匹配
數據流在進行分類識別后,送入并行檢測器進行深度特征匹配,匹配結果送入行為安全分析模塊進行綜合分析和判斷,并根據具體分析結果進行相應的策略響應。檢測器通過預設在數據庫中的攻擊流檢測規則對應用報文中的多個相關字段進行特征檢查和匹配,最終確定該數據流的屬性。
為了保證檢測器處理入侵信息的完整性,每個檢測器只負責某一類(或幾類)具體應用網絡流量的檢測,檢測器之間采用基于應用的負載均衡算法,該算法根據各檢測器的當前負載情況和可用性狀況來動態調節各檢測器負載,具體原則為:同一類型應用報文分配到同一類檢測器,同類型應用報文基于負載最小優先原則進行檢測器分配。
(3)策略聯動響應
檢測到網絡攻擊時,數據流行為安全分析模塊根據攻擊的危險等級采取相應的攻擊響應機制,對普通危險等級的攻擊只報告和記錄攻擊事件,對高危險的攻擊使用主動實時響應機制。主動響應機制能有效提高系統的防御能力,為了避免產生誤聯動,主要是為一些關鍵的敏感業務流提供更高等級的保護。主動響應機制將與安全策略直接聯動,阻止信息流穿越網絡邊界,切斷惡意的網絡連接操作。
3 應用驗證
通過設計一臺基于動態策略聯動響應的網絡安全防護技術的安全網絡交換設備來驗證該技術在實際網絡應用環境中的安全防護能力。安全網絡交換設備的硬件邏輯由數據處理模塊,安全監測模塊和管理控制模塊組成。
該應用驗證環境在設計上的主要特點在于:
1)該系統以可自主控制的高性能網絡交換芯片為硬件核心,并針對網絡攻擊特點對網絡交換設備系統軟件進行修改和完善,從根本上保證了網絡交換設備本身的安全性。
2)安全監測模塊與網絡交換設備系統軟件相對獨立,保證了網絡交換設備在遭受攻擊時安全監測和處理任務不受影響。
3)安全監測模塊可根據實時網絡數據行為分析結果對網絡交換設備硬件進行實時安全防護設置,實現動態策略聯動應對。
4 結論
為了解決網絡交換設備的動態安全問題,采用基于動態監測的策略聯動響應技術,可實現在復雜網絡環境下的網絡交換設備的實時主動防御。通過Snort等常用攻擊軟件對安全網絡交換設備進行測試,結果表明,該安全網絡交換設備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務攻擊等多種網絡攻擊形式,保證網絡交換設備的正常業務不受影響,同時能夠正確產生安全日志和相應的報警信息。并且基于該技術實現的網絡交換設備已應形成產品,實際使用情況良好。
參考文獻:
目前,醫院計算機網絡安全管理是網絡研究者的一項重要課題,通常是指網絡通信的安全、傳輸數據的安全兩部分組成。醫院計算機網絡安全面臨的威脅概括為幾個方面。
(1)醫院計算機網絡病毒威脅。計算機病毒始終是計算機系統安全的一個無法根除的威脅,破壞操作系統和應用軟件。尤其是在網絡環境下,病毒傳播速度快,輻射范圍廣,更加難以徹底根除,一旦病毒侵入計算機網絡系統,就會導致網絡利用率大幅下降,系統資源遭到嚴重破壞,也可能造成網絡系統整個癱瘓。
(2)醫院計算機網絡應用程序漏洞。現今,網絡上使用的應用軟件或者是系統軟件總是存在各種各樣的技術漏洞,并不是非常完美和安全。這些漏洞正是“黑客”等利用各種技術進行攻擊的薄弱部位。
(3)醫院計算機網絡管理漏洞。只有對網絡上存儲、傳輸的數據信息進行嚴格管理,才能確保網絡安全。但是大部分的企業在管理方面都做得不夠好,根本不重視網絡信息的安全保護,也沒有投入一定的物力、人力以及財力來加強網絡安全的防護,導致管理上存在漏洞。
2構建計算機安全主動防御體系
2.1網絡管理醫院計算機網絡安全主動防御模型中,網絡管理具有重要的作用,其位于主動防御的核心層面。網絡安全管理的對象是安全管理制度、用戶和網絡安全技術,尤其是對網絡技術的管理,需要采取各種網絡管理策略將網絡安全防范技術集成在一起,成為一個有機的防御系統,提高網絡的整體防御能力;對用戶的管理可以與管理制度相互結合,制定網絡安全管理制度,提高人們的網絡安全意識,培訓正確的網絡安全操作。增強網絡安全人員的法律意識,提高網絡使用警覺性,確保網絡運行于一個正常的狀態。
2.2防御策略醫院計算機網絡安全防御策略可以根據網絡安全的需求、網絡規模的大小、網絡應用設備配置的高低,采取不同的網絡安全策略,其是一個網絡的行為準則。本文的網絡安全防御策略是一個融合各種網絡安全防御技術的縱深策略,分別集成了網絡預警、網絡保護、網絡檢測、網絡響應、網絡阻止、網絡恢復和網絡反擊等,確保網絡安全達到最優化。
2.3防御技術目前,醫院計算機網絡主動防御體系采用的防御技術不僅僅是一種技術,其同時能夠合理地運用傳統的防病毒、防黑客技術,并其有機地結合起來,相互補充,在此基礎上,使用入侵預測技術和入侵響應技術,主動式地發現網絡存在的漏洞,防患于未然。
3網絡安全主動防御體系架構
醫院計算機網絡安全主動防御體系架構是一種縱深的網絡安全防御策略,其涵蓋了網絡安全管理、網絡預防策略和網絡預防技術三個層面,本文將從技術層面詳細地闡述網絡安全防御體系。本文將醫院計算機網絡安全主動防御體系分為預警、保護、檢測、響應、恢復和反擊六個層面,縱深型的防御體系架構能夠將這幾種技術融合起來,形成一個多層的縱深保護體系。
(1)網絡預警。醫院計算機網絡預警可以根據經驗知識,預測網絡發生的攻擊事件。漏洞預警可以根據操作系統廠商研究發現的系統存在的漏洞,預知網絡可能發生的攻擊行為;行為預警可以通過抓取網絡黑客發生的各種網絡攻擊行為,分析其特征,預知網絡攻擊;攻擊預警可以分析正在發生或者已經發生的攻擊,判斷網絡可能存在的攻擊行為;情報收集分析預警可以通過從網絡獲取的各種數據信息,判斷是否可能發生網絡攻擊。
(2)網絡保護。醫院計算機網絡保護是指可以采用增強操作系統安全性能、防火墻、虛擬專用網(VPN)、防病毒體系構建網絡安全保護體系,以便能夠保證網絡數據傳輸的完整性、機密性、可用性、認證性等。
(3)網絡檢測。醫院計算機網絡檢測在主動防御系統中具有非常重要的意義,網絡檢測可以有效地發現網絡攻擊,檢測網絡中是否存在非法的信息流,檢測本地網絡是否存在漏洞,以便有效地應對網絡攻擊。目前網絡檢測過程中采用的技術包括實時監控技術、網絡入侵檢測技術和網絡安全掃描技術等。
(4)網絡響應。醫院計算機網絡響應可以對網絡安全事件或者攻擊行為做出反應,及時保護系統,將安全事故對系統造成的危害降到最低,因此,網絡檢測到攻擊之后,需要及時地將攻擊阻斷或者將攻擊引誘到一個無用的主機上去,同時要定位網絡攻擊源位置,搜集網絡攻擊的行為數據或者特點,便于后期防止類似事件發生。比如檢測到網絡攻擊之后,可以用網絡監控系統或防火墻阻斷網絡攻擊;可以使用網絡僚機技術和網絡攻擊誘騙技術引誘網絡攻擊到其他位置。
(5)恢復。及時地恢復醫院計算機網絡系統,能夠為用戶提供正常的服務,也是降低網絡攻擊所造成的損失的有效方法之一。為了能夠充分地保證網絡受到攻擊之后恢復系統,必須做好系統備份工作,常用的系統備份方法包括現場外備份、冷熱備份和現場內備份。
(6)反擊。醫院計算機網絡反擊可以使用各種網絡技術對攻擊者進行攻擊,迫使其停止攻擊,攻擊手段包括阻塞類攻擊、探測類攻擊、漏洞類攻擊、控制類攻擊、病毒類攻擊和欺騙類攻擊等行為,網絡反擊必須是在遵循國家的法律法規,不違反道德的范圍內。
4結束語
關鍵詞:通信網絡;安全隱患;管理體系;安全與防護
中圖分類號:TN918.91文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
計算機網絡包括兩個部分:計算機和通信網絡,計算機是信源或者終端,通信網絡則是進行數據傳輸和交換,它最終實現計算機網絡的資源共享。隨著信息技術的不斷更新,我國通信網絡產業也在快速發展。目前,國內的通信網絡系統覆蓋地域廣闊,設備復雜多樣,針對各種特定類型的通信設備,很多的網管系統基本實現了使用專用的接口協議。
信息技術的快速發展,自然而然就帶動了通信網絡的快速發展,隨著國民經濟信息化進程的加快,使得信息技術得到普及,而各行業通信網絡的依賴程度越來越高。通常,機遇與挑戰是并存的,一方面給通信網絡帶來了發展機遇;另一方面又不可避免的給通信網絡的安全造成一定的挑戰。當前,通信網絡安全問題日漸凸顯,如病毒,黑客等等竊取信息的方式也不計其數,所以如何應對這些通信網絡出現的安全問題,也就是保證網絡通信的安全性是目前通信工程需要急需解決的難題。
為了維護網絡通信的信息系統的正常工作,預防網絡安全事故以保證通信網絡的安全,防范猖狂的網絡犯罪。需要制定相關的網絡通信信息系統的安全防護策略。
二、通信網絡安全防護工作現狀
通信網絡安全防護包括:網絡安全的等級保護、網絡安全的風險評估和網絡安全的災難備份等,這些都以事前防護和準備為主的,最終通過技術和管理落實和改進通信網絡安全的維護和管理,并且與網絡安全的重要性及潛在的威脅相適應,以提高通信網絡的安全水平,降低重大網絡安全事件的發生概率,以“積極防御、綜合防范”為指導方針,以“預防為主”的原則,關鍵是進行事前預防保護。
通信網絡安全是根據網絡特性,通過相應的安全技術和措施以防止通信網絡中泄露、破壞或更改了操作系統、軟件、硬件和數據等資源,預防非法用戶竊取服務,以確保通信網絡的正常運行;網絡通信安全包括設備安全、用戶識別安全以及數據傳輸安全等內容。
國內外對通信網絡安全的研究一直在進行,國外很早就進行信息網絡安全研究,研究全面而廣泛。上個世紀70年代美國在網絡安全技術基礎理論研究成果“計算機保密模型”的基礎上,制定了“可信計算機系統安全評估準則”(TCSEC),之后又制定了網絡系統數據庫方面和系列安全解釋,形成了安全信息體系結構的準則[3]。安全協議對信息安全而言是必不可少的,包括基于狀態機、代數工具和模態邏輯三種分析方法。而今密碼學成為網絡信息安全的重要技術,近年來各個國家和地區相繼舉辦信息學及安全密碼學術會議。當前研究的熱點是密鑰密碼,而電子商務的安全性也受到極大關注,目前處于研究和發展的階段,加快了密鑰管理及論證理論的研究步伐。國內的信息網絡安全研究經歷了兩個階段:通信保密和數據保護。目前主要從安全體系結構、現代密碼結論、安全協議、信息分析和監控等方面提出的系統完整和協同的通信網絡安全與防護的方案。2009年開始,國家的信息化部及工業計劃每年對通信網絡進行安全等級保護、通信風險評估,網絡通信的災難備份等相關防護工作。
三、探討通信網絡中的安全隱患
隨著通信網絡的一體化和互聯互通,以及共享資源步伐的加快,通信的安全和保密問題就顯得非常重要。
(一)關于安全管理體系建設
首先,網絡安全機構不夠健全,網絡安全維護隊伍還不充實。目前,非傳統安全問題不斷增加,而企業在進行人員素質培養、人員的配備及機構的設置未能很好地適應管理工作。其次,未能很好的統籌網絡安全管理工作,整體性不足。雖然在業務發展中,各運營企業相繼建設了不少的網絡和系統,但沒有統籌謀劃和監督管理,缺乏統一標準,運營企業各自管理網絡和系統的安全,因此,必然存在安全隱患。再者,由于缺乏安全技術手段。網絡的應急處置、預警監控、安全防護和審計等技術水平不高。最后,網絡安全制度未完善,未能涉及每個環節。安全管理主要集中在運行維護環節而忽略其他環節,最近幾年企業建設了不少IT系統,但上線前未對設備和系統進行徹底的安全檢測,同樣帶來安全隱患。
(二)關于適應形勢的發展
運營企業未能深入認識到通信網絡的基礎性以及全局性作用,隨著通信網絡移動化、IP化、智能化的發展,網絡安全觀念相對滯后,傳統的網絡通信安全意識仍停在設備可靠性等物理安全層面上,而對網絡攻擊、非法遠程控制和病毒傳播等威脅意識仍然不夠,對通信網絡安全防護的投入很少,對網絡安全存在僥幸心理。
(三)關于規范第三方服務的管理
運營企業在信息和網絡系統的安全的保障、規劃的設計、建設集成和網絡的運行維護等環節基本都依賴第三方服務。但是由于缺乏規程規范和制度,運營企業對第三方服務的管控力度不夠,致使服務過程存在較大風險。
(四)防護措施落實不到位
目前,網絡通信防護內容主要是防病毒、防攻擊、防入侵。但是,防護措施落實不夠,未能防范和抵御網絡系統的內外部安全風險,DDOS攻擊堵塞城域網和IDC的事件時有發生;未能及時升級軟件,漏洞管理不及時,被保護主機或系統會因為漏洞遭到黑客的攻擊;如果沒做好不同安全域之間和內外網隔離及其訪問控制工作,就可能導致不同系統間的非授權訪問;服務器或者系統開放不必要的服務和端口就會給黑客有機可乘,通過遠程攻擊和入侵;沒有啟用安全日志或者沒做好日志審計工作就會對故障的排查及處理,安全事件的還原工作帶來困難。
(五)關于網絡的安全意識
目前,運營企業的網絡和系統本身安全性不足,存在很多安全漏洞,而運營企業本身的內部網絡防范措施不足,太過依賴邊界安全,因此存在嚴重的安全隱患。
(六)關于遠程維護管控措施
有的遠程維護管理網絡平臺本身就有漏洞,而遠程維護管理控制的審批的管理、平臺的管理、日志的審計以及實時的監控等措施也不足,因此業務系統同時存在內外部的安全隱患。
(七)災難備份工作不夠完善
隨著網絡的集中管控程度的提高,在部分網絡單元中,還存在同管道、單節點、單路由等問題。
四、關于網絡安全的防護
(一)關于網絡安全維護的新情況和新問題
監管部門應該加強管理及隨時研究新技術帶來的安全問題,為提高工作的有效性和主動性,應及時提出相關的措施。
(二)關于安全防護的檢查力度
在傳統的安全防護檢查的基礎上,需要制訂和完善安全防護標準以針對非傳統安全的薄弱環節和突出問題,深入開展風險和安全評測。
(三)貫徹落實各項制度標準
電信監管部門應該積極組織開展《互聯網網絡安全應急預案》、《通信網絡安全防護管理辦法》等制度的學習宣傳和貫徹,落實安全防護工作。
(四)對應急事件的處理
隨著網絡技術的發展,網絡安全事件發生頻率將越來越高,電信監管部門應及時通報網絡安全信息,重視重大的網絡安全事件。
(五)關于主機、操作系統、數據庫配置方案
基于Intranet體系結構的運營企業的網絡系統,同時兼備廣域網和局域網的特性,是一個范圍覆蓋廣且充分利用了Intranet技術的分布式的計算機網絡,面臨的安全隱患很多,應安裝核心防護產品在需要保護的核心服務器上,部署中央管理控制臺在中央安全管理平臺上,以對全部的核心防護產品進行統一管理。
(六)關于網絡的安全技術水平
監管部門在網絡安全工作中應重視技術手段建設,隨時關注通信網絡的發展趨勢,加強技術研發,提高運營企業的抗擊能力。一直以來,運營企業的安身立命需要保證通信網絡的安全穩定運行。隨著信息通信技術的飛速發展,通信網絡所涉及的各種業務已經滲透到國家社會、政治及生活的各個方面,其地位和作用日趨重要。在新的發展形勢下,網絡的安全穩定已經成為通信運營企業所擔負的社會責任。
五、結語
當今是信息時代,掌握了信息就掌握了主動權,不管是經濟的發展還是戰爭的對抗,信息就是決定一切的先決條件。整個社會都在努力追趕信息時代的步伐,為的就是及時追隨時代的步伐,走在信息時代的最前沿才能掌握發言權。
參考文獻:
[1]楊朝軍.關于計算機通信網絡安全與防護策略的幾點思考[J].應用科學
[2]丁全文.淺談通信網絡的安全與防護[J].信息與電腦,2011,5
[3]馮登國.國內外信息安全研究現狀及其發展趨勢[J].網絡安全技術與應用,2001,1:8-13
[4]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006,12,22
【關鍵詞】網絡工程;安全技術;應用
近年來,伴隨著網絡信息市場規模的迅猛發展,各種針對網絡的違法犯罪活動的可能性也在不斷增加,而一段時間以來曝光的各類網絡詐騙、信息泄露以及網絡攻擊事件也在提醒著人們必須告訴重視網絡實踐中各種潛在的風險,切實利用好各種網絡安全技術,最大限度地有效規避信息時代中的各種網絡風險。
1網絡工程實踐中的一般安全技術分析
網絡工程實踐中的安全技術伴隨著網絡工程的發展而不斷完善,目前總結來看網絡工程實踐中的安全技術主要分為以下幾大類:
1.1攻擊
所謂攻擊,是指應用各種殺毒軟件工具對可能影響計算機網絡正常工作的各類病毒進行反攻擊和查殺,從而達到保護計算機并保證計算機正常工作的目的。一般來說,由于該技術應用較為普遍且一般僅能滿足小眾型用戶的網絡安全需要,因而只是一種最基本的網絡安全技術手段。
1.2預防
所謂預防,主要是指利用相應的網絡技術手段來防止計算機內部信息的泄露及數據信息破壞。目前來看,計算機內部信息的泄露途徑主要有黑客惡意訪問、惡意軟件等等,因此為有效計算機網絡內部信息的泄露及破壞,一般主要采用網絡信息密碼技術和防火墻技術,其中密碼技術是當前網絡安全尤其是網絡信息安全的重要技術之一,采用加密技術后的加密網絡,不僅可以有效阻止非授權用戶的搭線竊聽及非法訪問行為,同時也是有效應對各類惡意軟件的可靠途徑,目前,通常情況下的加密行為可以在通信的三個層次來實現,即分別是鏈路加密、節點加密和端到端加密三種;防火墻技術則是專門在公網和專網、外網和內網之間搭設的一個技術性的保護措施,其可以有效攔截來自外部網絡的各種網絡攻擊,包括內網的網絡安全,隨著防火墻技術的快速發展,目前的防火墻技術已經相當成熟和完善,其中主流的防火墻技術主要有包過濾技術、應用技術和狀態監測技術三種。
1.3監測
這里的監測主要是指對網絡工程內外部環境進行實時監測,以確保計算機網絡能夠正常工作,目前網絡工程中進行監測使用較多的主要是IDS即計算機網絡入侵檢測系統,以旁路為主,對計算機網絡進行實時監控,一旦發生可疑情況及時報告或者采取有效措施來進行應對,同時還可以對來自網絡內部的各種攻擊進行積極主動的觀測,這是相比較于防火墻技術IDS的獨特優勢所在。
1.4控制和管理
控制和管理也是網絡工程中常用的安全技術,所謂控制是通過運用本地監測軟件等對網絡工程運行情況進行定期和不定期的掃描,以及時發現并處理各種漏洞及風險,而管理則是通過虛擬網、VPN技術等對計算機網絡的運行進行安全管理和維護,防止各類安全問題的出現。
2網絡工程實踐中安全技術的應用分析
隨著網絡工程實踐的不斷延伸,網絡工程實踐中的安全問題也逐漸受到人們的高度重視,尤其是在當前越來越趨于復雜的網絡安全發展態勢下,要想真正確保網絡工程的安全使用,筆者以為,必須要建立起一個立體化的網絡安全防護體系,這一體系應該涵蓋計算機網絡工程的軟件、硬件乃至管理等諸多方面,彼此之間相互配合協調,真正實現網絡工程的安全使用。根據當前網絡工程風險的來源的不同層次,筆者主要從網絡工程的網絡層安全、應用層安全及管理層安全三個角度來論述網絡工程實踐中安全技術的應用。
2.1網絡工程的網絡層安全防護
網絡層安全是網絡工程中安全防護的重要區域,例如來自網絡上的計算機病毒以及來自局域外的惡意攻擊等等,都會對網絡工程的安全使用造成巨大威脅,因此對于網絡層的安全防護,除了必須采用相應的防火墻技術以外,還應積極主動地安裝相應的IDS系統和IPS系統,及時發現并積極處理各種來自網絡層的安全風險,確保計算機網絡工程網絡層方面的安全。
2.2網絡工程的應用層安全防護
除了網絡層方面的風險以外,應用層安全也是網絡工程日常維護中需要重點加強安全防護的區域之一,常見的應用層網絡風險主要由于人為應用而產生的一些漏洞,這些漏洞一旦被非法利用則有可能對網絡工程的安全帶來風險,例如有的計算機編程人員為省時方便而在軟件中存留有一定的漏洞,這些漏洞的存在就極有可能被其他人員獲取,因而會成為黑客等不法分子的首要攻擊目標,因此必須在日常維護中利用交換技術、虛擬網及VPN等技術來對網絡工程中的各種軟件進行定期和不定期的掃描,一旦發現潛在漏洞及時填補。
2.3網絡工程的安全管理防護
網絡工程實踐中安全技術的使用主要靠工作人員來完成,因此管理者在網絡工程的安全防護方面發揮著不可替代的關鍵作用,在日常工作過程中,工作人員要積極主動地強化對各類網絡安全技術的熟悉,能夠及時發現網絡工程實踐中存在的各種現實和潛在的風險,有針對性地進行安全維護,同時還必須不斷提高自身的網絡安全意識,切實做好網絡安全管理工作。
3總結
總之,在當前日趨復雜的網絡工程安全領域,僅僅依靠簡單的被動式防御已經不能很好地適應今后的網絡工程安全防護工作需要,加快構建包括網絡工程的網絡層、應用層以及安全管理在內的立體式、動態化以及智能化的網絡工程防護體系,當是未來網絡工程安全防御的大趨勢,也是當下網絡工程安全防護工作者所應該認真思考、積極實踐的現實性問題。
參考文獻
[1]楊雅頌.網絡工程實踐中安全技術的應用[J].電子技術與軟件工程,2016(19):235-236.
[2]畢文霞.試析網絡工程實踐中安全技術的應用[J].黑龍江科學,2016(14):34-35.
[3]楊猛.網絡工程實踐中安全技術的應用探討[J].河南科技,2015(22):11-12.
【關鍵詞】局域網;計算機網絡安全防護技術;應用
對于我國當下的經濟發展和科技進步歷程來說,其中最備受關注的就是計算機網絡信息技術,隨著科技的不斷進步,經濟的快速發展,其計算機網絡信息技術的應用程度就越加深刻,發展至今,人類社會已經無法離開計算機網絡信息技術以及相關各類型設備了。因此,為了保障其互聯網環境的安全,就需要對于當下的互聯網環境進行仔細分析,相應的應用一些計算機網絡安全防護技術,從根本上來提高其互聯網的安全抵抗能力,確保計算機在互聯網的信息安全性和穩定性。
1.計算機網絡安全防護技術闡述
當下我們身處一個及其復雜的互聯網環境,并且我們日常生活與其息息相關,對此,為了保障我們各項工作及其科技技術正常運轉,就需要保障網絡安全。網絡安全主要指的是網絡系統當中的各類型儲存容器比如說硬件、軟件、系統等中的數據是受到一定措施或者技術保護的。但是,如果當這些數據儲存容器遭受到一些網絡不法分子的攻擊,就會相應的使其內部的數據或者是程式受到一定的破壞、泄露、更改等,也正是由于互聯網技術的發達,使得人們有了共享空間,因此,其網絡安全問題屢見不鮮。
2.計算機網絡安全防護技術類型
對于上述的一些互聯網安全問題來說,其危害是極其嚴重,對此,一些計算機網絡安全防護計算就應勢而生,比如說虛擬網技術、防火墻技術、病毒防護技術、入侵監測技術等。虛擬網技術主要是當下所流行的ATM和以太網交換技術,也就是將局域網技術改變為面向連接技術,其中我們最能直接了解的生活案例就是網吧的網管系統。防火墻技術則是我們當下應用于局域網安全問題當中最主要的計算機網絡安全防護技術之一,這種技術主要是通過加強網絡間的訪問控制力,強力抵制外界用戶利用外部網絡和一些非法程序來訪問受保護的計算機網絡,這種技術可以有效的保護網絡資源和網絡操作環境,一般來說,這種技術在當下可以實現多個網絡間的傳輸數據包安全檢查工作以及網絡運行監視工作,從而自動判斷兩者間的網絡通信允許是否問題,當防火墻程序判別該網絡屬于非法網絡入侵時,就會自動拒絕該網絡的訪問,因此,這種技術是一種極其有效的計算機網絡安全防護技術。目前,我國當下所使用的防護墻產品主要又包過濾路由器、服務器、電路層網關、堡壘主機、電路層網關、屏蔽主機防火墻、雙宿主機等。病毒防護技術同上述防火墻技術大致相同,同為我國當下所主要使用的計算機網絡安全防護技術之一。病毒是整個互聯網安全問題當中最為主要的問題之一,由于當下互聯網信息技術的快速發展,共享網絡的泛濫,使得其病毒的類型、傳播途徑、速度、危害程度日漸加強,對此,就需要相應的應用一些病毒防護技術。比如說隔斷病毒的傳播途徑,即在系統中安裝病毒監控軟件,主觀性的過濾掉病毒程序;或者是使用病毒軟件進行系統內部的病毒檢查和查殺;同時還有相應的病毒數據庫;最后就是在系統上安裝控制掃描程序,從根本上禁止用戶未許可的軟件下載和安裝操作,直接杜絕一切有危害的軟件入侵。入侵監測技術則是以防火墻技術為基礎,進行的一系列加強防護措施,通過在系統內外網進行更強的網絡保護措施,從而有效的加強網絡安全性,目前主要有基于主機的入侵監測系統和基于網絡的入侵監測系統。
3.加強計算機網絡安全防護技術在互聯網環境中的應用措施
通過上述一定篇幅中,我們充分了解到了其當下互聯網的安全問題和計算機網絡安全防護技術的相關知識以及概念,因此,就需要針對其實際的計算機網絡安全防護技術應用情況進行仔細分析,并相應的實施一些加強其網絡安全技術在互聯網應用的措施。
3.1加強用戶的互聯網安全意識
據不完全統計,其實大多數互聯網安全問題都是計算機用戶不經意之間所導致的,比如說,用戶主動的允許一些不法問題訪問計算機,或者是瀏覽一些不規范的網站、亦或者是下載一下不清楚的軟件等,都會導致計算機遭受互聯網安全問題。對此,就需要加強用戶的互聯網安全意識,只有從根源上加強用戶對于互聯網危害的認知,才能有效的抵制不法網絡分子的入侵,保障我國互聯網環境的安全和穩定。
3.2進一步完善計算機網絡安全防護技術
除了要加強用戶的互聯網安全意識之外,還需要進一步完善我國的計算機網絡安全防護技術,這主要是因為在互聯網當中存在一些攻擊性很強的不法網絡分子,對于這些安全隱患來說,需要不斷的完善計算機網絡安全防護技術,杜絕這些不法網絡分子的互聯網訪問,從而加強其我國互聯網防護體系的完整性。
《中國金融電腦雜志》2015年第一期
一、主動式網絡安全聯動機制
傳統的網絡防護技術及產品在保障網絡安全時發揮著各自的作用,但網絡安全不是孤立問題,依靠任何一款單一的產品無法實現,只有將不同廠商、不同功能的產品統一管理,使它們聯動運轉、協同工作,才能充分發揮整體最佳性能,全方位保障網絡安全。
1.聯動概念聯動指在一個系統的各個成員之間建立一種關聯和互動機制,通過這種機制,各個成員自由交換各種信息,相互作用和影響。在主動式網絡安全防御體系中,聯動是一種新型的網絡防護策略。通過聯動策略,防火墻、入侵檢測系統、反病毒系統、日志處理系統等安全技術和產品在“強強組合,互補互益”的基礎上,充分發揮單一產品的優勢,構建最強的防御系統。
2.傳統聯動模型網絡安全聯動機制中較為完善的安全聯動模型有TopSEC模型、入侵檢測產品、防火墻聯動模型和基于策略的智能聯動模型,下面主要介紹基于策略的智能聯動模型(如圖1所示)。該模型中防火墻、VPN、IDS等安全部件,通過智能進行整合,經過部件關聯、智能推理傳送給聯動策略引擎,再根據事先設定好的策略進行聯動,并將最終的策略應用到防火墻、VPN、IDS等安全部件中。
3.主動式網絡安全聯動模型通過部署誘騙系統,吸引攻擊者,記錄攻擊行為,進而分析新型攻擊的特點。同時,通過聯動機制,使模型中的各安全部件協同工作,最終發揮主動性聯動優點,構建一個自適應、動態的主動式防御系統。其中,蜜罐技術是防御體系內各安全部件實現主動式聯動的核心技術。(1)蜜罐技術蜜罐是一種安全概念,美國Project Honeypot研究組的Lance Spitaner將其定義一種安全資源,它的價值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統或應用程序,也可以是真實的系統或程序。通過蜜罐技術建立一個誘騙環境,吸引攻擊者或入侵者,觀察和記錄攻擊行為并形成日志,分析日志后追蹤、識別入侵者的身份,進而學習新的入侵規則,主動分析新型攻擊特點,不斷加固自身防御能力。(2)蜜罐技術實現方式如圖2所示,簡單的實現方式是將蜜罐置于防火墻內部,通過防火墻與外部網絡進行連接。蜜罐內部主要由網絡服務、數據收集和日志記錄模塊組成。網絡服務模塊將蜜罐偽裝成正常服務,吸引入侵者對其進行攻擊;數據收集模塊主要捕獲入侵者行為信息,用于分析攻擊者所使用的工具、策略以及攻擊目的等;日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件,并記錄到日志服務器。(3)基于蜜罐技術的主動式安全聯動模型將蜜罐技術融合到傳統安全聯動模型,改進后形成的新模型,讓蜜罐技術處于整個系統的核心地位,使整個安全聯動模型由被動狀態轉變為主動狀態,利用蜜罐技術在整個系統中的自學習、自進化的特點,克服傳統安全聯動模型無法主動捕獲網絡攻擊行為、對未知攻擊防御能力不足的問題。基于蜜罐技術的主動式安全聯動模型(如圖3所示)由防火墻、蜜罐系統、防病毒系統、IDS、策略庫和聯動系統控制中心組成。該模型通過蜜罐誘騙系統不斷學習新的攻擊手段,將處理后形成的新規則及策略上傳至模型策略庫,通過聯動系統控制中心實現防火墻、IDS、反病毒等安全部件協同聯動,及時更新防火墻、防病毒策略和IDS的檢查規則。該模型較好地整合了各種安全防御產品的優點,借助于蜜罐技術“主動誘捕”的特點,提高了安全防御系統對于未知攻擊的捕捉能力。
二、網絡安全防御技術在數據中心的應用與展望
目前,國內大型銀行數據中心普遍使用的網絡安全防御技術是基于網絡監控參數基線的閾值預警方法和入侵檢測系統(Intrusion Detection Systems ,IDS)。閾值預警方法是在基線數值基礎上給予一定的冗余,計算出該監控參數的閾值數值,形成閾值線。當實際運行的數值超出閾值線,說明該監控參數運行異常,可以在事件發生之前提前干預,阻止事件發生,保障網絡服務連續性。這種防御技術支持動態改進,但出現誤報的幾率比較高。IDS主要通過監控網絡系統的狀態、行為以及使用情況,檢測系統用戶越權使用、系統外部入侵等情況。IDS具有一定的智能識別和攻擊功能,在檢測到入侵后能夠及時采取相應措施,是一項相對成熟的防御技術。但IDS主要通過特征庫判斷,面對新型攻擊無法識別,且攻擊識別只能在事中或事后階段進行,本質上仍然是被動防護。在入侵技術越來越成熟的形勢下,采用單一的網絡安全部件如IDS、防火墻、掃描器、病毒查殺、認證等已經滿足不了網絡安全防護的要求,將各種安全部件的功能和優點進行融合、實現聯動互補,進而發揮最大效力將成為必然趨勢。
與上述兩種現有防御技術相比,基于蜜罐的主動式網絡防御技術優勢明顯。基于蜜罐的主動式網絡聯動系統定義簡單,實力卻很強大,使用簡單設備和較少資源即可實現;能夠收集到小數據高價值信息,使得分析信息更容易,從中獲取的價值更大;能夠監控檢測、捕獲攻擊,降低傳統安全防御設備的誤報率和漏報率;適應能力強,可以在多種環境下使用。大型商業銀行數據中心網絡覆蓋范圍廣,若能將主動式網絡防御技術應用于實踐,實現由點及面、全方位檢測病毒動向,主動發現病毒威脅并自動采取應對方案,將有效解決本地和網絡入侵、外部非法接入等隱患,網絡安全防范將取得顯著成效。雖然目前還存在一些尚未解決的難點問題,但隨著新技術、新概念的引入和應用,主動式網絡安全防御將逐步走向實用化,在數據中心網絡安全防護中得到廣泛應用,成為應對網絡威脅的有力武器。
作者:李國金陳佳鶯單位:中國農業銀行股份有限公司數據中心
關鍵詞:企業網絡 安全 防范措施
網絡是任何信息化建設的基礎。隨著網絡信息技術的發展,企業計算機網絡的安全將面臨更多的威脅。企業在信息化建設過程中,必須進一步提高計算機網絡安全意識,采取有效措施切實維護企業網絡的安全與穩定。企業計算機網絡安全的威脅主要來自內網和外網。內網的威脅主要是由于使用未授權盜版軟件、員工操作不當、內部網絡攻擊等方面造成。企業內網造成的危害是很大的,很多時候比外網造成的危害嚴重的多。外網是直接與互聯網相連的,威脅主要來自外面的惡意攻擊等。企業網絡自身的安全缺陷主要表現在以下問題。
1.企業內網安全隱患
(1)選用未授權盜版軟件
部分的中小企業出于節約成本,會選擇使用未授權盜版軟件。據Insight CN執行中國市場調查結果顯示:使用未授權盜版軟件不僅不能明顯降低企業在IT方面的投入,而且會使企業遭受系統故障、敏感數據丟失等等風險。
(2)企業內部人為因素
人為原因有多方面,比如說企業員工對業務的不熟悉,對一些數據的修改出現錯誤,或者誤刪了一些重要的數據,容易導致整個系統出現問題,甚至破壞網絡設備,也出現過一些員工因為不滿現在的工作狀態,故意破壞企業內的一些重要數據。
(3)移動存儲介質的不規范使用
在企業信息網絡安全方面,移動存儲介質的使用也是一個重要的安全隱患點。容易導致未授權打印、未授權拷貝等問題,也會出現計算機網絡感染移動存儲介質病毒的問題。
(4)內網網絡攻擊
部分網絡管理員工由于非常熟悉企業內部網絡架構,利用管理上的一些漏洞入侵他人計算機,非法獲取企業內部訊息或者破壞信息。這種網絡攻擊方式可歸納為三類:一是非法外聯,即沒有經過上級管理部門的同意,就將企業內的計算機連入外網中;二是非法入侵,即在沒有授權的情況下,擅自處理信息,導致系統遭受破壞;三是非法接入,即沒有通過網絡管理部門的意見,就直接將計算機接入企業內網。
2.企業外網的安全威脅
企業出于對外業務的需要通常都會要求企業的計算機網絡接入互聯網,面對復雜的互聯網,企業網絡在接入時,將會面臨病毒侵襲、黑客非法闖入、電子商務攻擊、惡意掃描等等風險。企業網絡一旦被被感染,不僅會影響正常辦公,嚴重的甚至會導致整個網絡癱瘓。
病毒、木馬的入侵是威脅企業網絡安全的首要因素。計算機病毒通常隱藏在文件或程序代碼內,有的員工在不知情的情況下下載了感染病毒的軟件或者是電子郵件,導致了病毒的傳播。有些計算機病毒只會開玩笑似的在受害人機器上顯示警告信息,重則可能破壞或危機整個企業網絡的安全。例如前幾年出現的“熊貓燒香”的病毒,對不少個人用戶以及企業用戶造成了極大危害。這些病毒會從一臺計算機迅速傳播到另一臺,令企業防不勝防。
3.企業內網的安全防范措施
網絡安全重在防范,為了確保企業內網的安全運行,必須要重視管理制度、將管理、監測和控制三者結合在一起,重視對員工網絡安全知識的培訓,提高所有員工的安全意識,特別是涉及到商業機密或者政治機密的企事業單位,尤為重要。同時采用安裝防火墻等網絡安全防范手段和安全檢測手段相結合,主動防御;建立起規范化的網絡安全日志和審查制度。
(1)提高和加強員工網絡安全知識,各企事業單位可酌情根據自身狀況合理安排,邀請有經驗的網絡安全專家到公司來授課。
(2)企業要建立起計算機網絡用戶的信息數據庫,對于一些重要數據的客戶,對他們的登錄時間、訪問地點都需要重要監測;要建立起內部網絡主機的登錄日志,對于所有在內部網絡登錄的用戶信息,時間都要有詳細的記錄,發現可疑操作的時候要采取必要的安全措施。對于未經授權的接入、外聯、存取都要生成日志記錄,通過必要的技術手段進行檢測和判斷是否對網絡安全構成威脅。企業還有對網絡設備不斷更新,從技術層面上提高設備的預防能力,比如說防火墻軟件的及時更新,處理數據的計算機更新等。一旦出現網絡安全問題,能及時的對日志進行審查,分析引起網絡安全問題的原因,從而解決相關的問題。
(3)在企業內網與外網物理隔離的前提下,可將防火墻技術、漏洞掃描技術、入侵檢測技術與安全監測、安全控制和安全管理進行集成與融合,從而有效地實現對內網的安全防范。
4.企業外網的安全防范措施
(1)病毒防護技術
病毒防護技術在企業計算機網絡安全防御體系中也是一項非常重要的技術。企業應購置正版授權殺毒軟件,并為每個用戶安裝客戶端,以此來應對越來越復雜和高級的病毒和木馬程序。
(2)防火墻技術
防火墻包括硬件和軟件兩個部分,隨著人們對完全意識的增強,每臺電腦上面都會安裝不同的防火墻,企業里面一般都會安裝專業的企業版防火墻,能有效的實現網絡安全最基本、最有效、最經濟的安全防護,能主動抵御外網的各種攻擊,企業還可以利用防火墻,阻止對一些網頁的訪問,從而降低遭受外網攻擊的概率。
(3)入侵監測技術
在企業網絡安全中,要建立起防火墻之后的第二道安全閘門——入侵檢測技術,構建一套完整的主動防御體系,在不少的金融企業和銀行都采用了此項技術,并且收到了良好的效果,此項技術能在不影響網絡性能的情況下實現主動監測,可以識別一些防火墻不能識別的內部攻擊,對于一些合法用戶的錯誤操作,能有效的捕捉這些信息,從而實現實時安全保護。
企業計算機網絡安全涉及了許多領域,要想建立起一個安全穩定的網絡環境,需要企業做好網絡的各種防護措施。企業網絡安全性能得到了有效保障,企業才能順利開展各項業務。
參考文獻:
【關鍵詞】構建;計算機;網絡安全;環境
隨著社會科技的快速發展,計算機網絡技術的應用范圍愈加廣泛。社會多個領域均在應用計算機網絡,人們與計算機網絡的聯系也越來越緊密。但是,在實際應用過程中,計算機網絡環境的安全問題比較嚴重,且受到越來越多的關注。本文現對關于如何構建計算機網絡安全環境進行探討,為計算機網絡建設提供參考建議。
一、計算機網絡環境的不安全因素
目前,計算機網絡環境安全問題包括計算機網絡設備和信息安全方面的問題。計算機網絡不安全的因素較多,部分因素是人們故意為之或無意為之,可能是主觀因素或客觀因素引起的,也可能是黑客非法入侵網絡以獲取資源。總之,影響計算機網絡安全的主要因素有以下幾個方面:首先,人們應用計算機網絡技術時,無意識操作失誤造成網絡安全漏洞。例如,人們配置計算機的時,安全維護意思不強,沒有重視安全問題,隨意選擇口令,將自己的網絡賬號隨意借給他人使用,或與他人共享網絡賬號。這些情況均有可能造成安全漏洞,進而引發安全問題。其次,隨著社會知識水平的提高,計算機網絡犯罪率逐漸提高,部分人故意攻擊計算機網絡,而惡意攻擊計算機網絡是網絡環境中最大的安全問題。低手攻擊與網絡犯罪均屬于惡意攻擊,而目前主要有兩種攻擊方式,分別是被動攻擊和主動攻擊。其中,被動攻擊是攻擊者在計算機網絡背后進行相關操作而不影響計算機網絡的正常運行,該類攻擊主要是為了竊取相關重要信息,而主動攻擊則是攻擊者采取不擇手段的方式來破壞網絡信息。無論是哪種攻擊方式,均極大地影響了計算機網絡環境的安全,影響到了網絡信息的安全。最后,部分黑客利用存在漏洞的軟件對計算機網絡進行攻擊。幾乎所有的軟件均存在一定的漏洞,而黑客可以利用這些漏洞來侵入網絡系統中,進而獲取信息或破壞信息。
二、構建計算機網絡安全環境的對策
1、物理安全。
物理安全防范措施主要對打印機、計算機系統、網絡服務器等計算機硬件設備、設施進行保護。對此,可通過驗證用戶身份和使用權限來避免用戶越權。除此之外,可建立健全的安全管理制度,嚴格限制人們進入計算機核心控制室,避免人們采用非法方式進入計算機控制室,進而盜取相關信息。
2、安全監控服務器。
服務器在網絡環境中可執行一系列的操作,而計算機用戶可通過計算機控制臺安裝或卸載軟件。對此,計算機用戶可直接設置U令來鎖定服務臺,避免非法破壞或刪除相關數據。且計算機用戶可設定服務器登錄時限,檢測關閉時間段中非法訪問的情況,進而達到安全監控的目的。
3、防護訪問控制。
訪問控制是保護網絡安全的重要手段,其主要任務使保證網絡資源不會被非法竊取或訪問。防護控制主要以保護網絡體系和信息安全為目的,需要科學聯用多種安全措施,且各種防護措施必須相互配合,而訪問控制是其中的重要防護措施。
4、檢測和控制鎖定網絡。
計算機網絡服務器能夠記錄訪問的網絡資源,而出現非法網絡時,服務器會自動報警,對此,計算機用戶應重視網絡監控。計算機網絡服務器能夠記錄非法入侵網絡行為的次數,如果非法入侵次數達到一定值,服務器會自動鎖定該非法用戶,進而阻止其訪問。
5、加密防護信息。
加密信息是保護計算機網絡內的相關數據信息的重要措施。計算機網絡加密手段主要有端點加密、鏈路加密、節點加密。其中,端點加密主要是對源端用戶到目的端用戶的數據信息進行保護,鏈路加密主要是保護計算機網絡節點之間鏈路的安全,節點加密主要是對節點之間的傳輸線路進行保護,計算機網絡用戶應根據實際情況合理選用加密方式。密碼技術是保護網絡安全的重要技術,計算機用戶應用密碼技術來保護網絡時,可以防止惡意軟件一定程度的入侵和非授權用戶搭線入網、竊聽。
6、防火墻控制。
防火墻是應用范圍較廣的計算機網絡安全保護措施。防火墻能夠阻止網絡黑客的入侵,可對于網絡的進出進行控制。計算機用戶利用防火墻來保護網絡安全時,可在網絡邊界建立監控系統以防止黑客的侵入。
結束語:
構建計算機網絡安全環境需要應用多種技術,主要有恢復、監控、防護技術。計算機網絡安全體系的構建可抵抗各種惡意攻擊或非法入侵,進而保護計算機相關數據信息的安全。信息安全保障對國家、社會以及人們的生活均具有重要影響,相關部門應加強計算機網絡安全環境的構建,積極研發構建網絡安全環境的技術,進而防止計算機重要信息的流失。
參考文獻
[1]馬大勇,李思慧.計算機網絡安全漏洞檢測與攻擊圖構建的研究[J].科技致富向導,2015,08(02):250-251.
[2]林新華.如何構建計算機網絡信息的安全和防護體系[J].電腦知識與技術,2015,13(20):29-30.
關鍵詞:信息網絡安全 網絡防御特征 主機防御特征 應用防御特征 數據防御特征
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-098X(2014)07(c)-0045-02
隨著計算機和網絡技術的不斷發展,計算機信息網絡已在國家機關、企事業單位、國防軍事等多個領域廣泛應用,逐漸滲入到人們的生活中并成為相互溝通的重要手段。然而計算機信息網絡存在網絡環境開放性、網絡操作系統漏洞、網絡資源共享性、網絡系統設計缺陷、黑客惡意攻擊等安全隱患,計算機信息網絡安全防御問題重要性變得尤為重要[1-2]。本文基于用戶網絡活動劃分防御層,建立起信息網絡安全防御的體系模型,并系統分析各層次的網絡防御特征,為建立網絡安全防護體系提供了理論支撐。
1 信息網絡安全防御體系設計
構建信息網絡安全防御體系,其目標就是要維護用戶網絡活動的安全性[4]。根據用戶網絡活動的層次,可以將網絡防御劃分為網絡防御層、主機防御層、應用防御層和數據防御層等四個方面,在每個防御層模型中,又包括防御功能和防御技術兩類劃分方法,防御功能分布按照不同防御層特點,采用根據層次、軟件功能等類別進行劃分,如圖1所示。
1.1 網絡防御層
網絡防御層主要針對信息網絡安全防御體系中的網絡邊界進行防護,按照防護層面的不同,又可分為應用層、傳輸層和網絡層的分層防御功能。防御技術則包括協議分析、模式匹配和包過濾等基本技術。
1.2 主機防御層
主機防御層的防護功能,主要通過主機入侵防御、病毒查殺和防火墻防護等三個層面,并通過各自對應軟件實現。主要的防護技術則包括入侵檢測、安全審計、訪問控制、主動行為防御、特征碼查殺和軟件防火墻保護等。
1.3 應用防御層
應用防御層的功能主要防范惡意程序植入和篡改應用軟件,為此,技術上可通過漏洞利用防護技術和數字簽名驗證技術來實現。
1.4 數據防御層
數據防御層的防護功能歸結到一點為防范非授權用戶的非法訪問,包括對磁盤分區中文件的訪問,以及對數據庫文件的訪問。防御技術主要包括加密技術、完整性校驗技術和備份恢復技術等。
2 網絡安全防御特征
2.1 網絡防御特征
網絡層面可以對通過網絡傳輸的數據包,按照分層的原則進行防御,具體包括網絡層、傳輸層、應用層的分層防御。具體的防御技術包括:包過濾技術、模式匹配技術、協議分析技術等。
網絡安全層面從本質上來講就是網絡上的信息安全,其不斷發展旨在采取有效的安全措施保護網絡信息不被破壞、更改和泄露,保護聯網計算機系統免受侵擾[5]。網絡上的信息傳播方式的多樣性、廣泛性和難追溯性,使得網絡遭受攻擊的可能性很大,因此,必須采取一定的安全措施來防止這些惡意攻擊。同時,因為網絡信息的安全會在很大程度上影響受保護主機和應用系統的安全,故網絡安全是信息網絡安全防御體系中最重要的組成部分,只有網絡安全得到很好的建設,主機和應用安全的建設才能在良好的環境中實施。
2.2 主機防御特征
主機層面主要針對操作系統平臺進行安全防御,在操作系統平臺上通過防火墻軟件、殺毒軟件、主動防御軟件等實現防御策略。采用的主機防護技術包括:軟件防火墻防護、病毒特征碼查殺、主動行為防御、訪問控制、安全審計等。
主機(包括終端和服務器)是信息系統的重要組成部分,承擔著信息的存儲和處理工作[6]。由于主機是信息泄露的源頭,也是各類攻擊的最終目標,因此,主機的安全關系到整個信息系統中信息的安全,主機安全建設是信息系統安全建設的重要內容。
主機層面安全主要涉及操作系統安全和數據庫安全,通常是由操作系統自身安全配置、相關安全軟件和第三方安全設備來實現的。目前,運行在主機上的主流操作系統有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。隨著網絡技術的不斷發展和網上應用的不斷增多,這些主機上的問題也逐漸暴露出來,一些網絡病毒和木馬等也隨之出現,破壞主機上的數據信息。一般單位中如果將安裝這些系統的主機作為服務器的話,上面可能會保存一些單位或部門的關鍵信息,這就對主機層面安全提出了要求。
2.3 應用防御特征
應用層面主要防范功能用于防御應用程序被惡意程序篡改,及利用應用軟件漏洞進行惡意程序的植入。應用層面的安全防御技術可通過數字簽名驗證技術、漏洞利用防范技術來實現。
應用層面是信息系統最終得以使用的工具,只有通過應用系統用戶才能對數據和信息進行各種各樣的操作,繼網絡和主機系統的安全防護之后,應用安全成為信息系統整體防御的又一道防線。應用安全是指信息在應用過程中的安全,也就是信息的使用安全。應用層面的安全目的是要保證信息用戶的真實性,信息數據的機密性、完整性、可用性,以及信息用戶和信息數據的可審性,以對抗身份假冒、信息竊取、數據篡改、越權訪問和事后否認等安全威脅。這就需要對不同的應用安全漏洞進行檢測,采取相應的安全措施降低應用的安全風險。對信息系統進行應用安全方面的設計,從總體上來說,是為了確保在軟件大規模使用、數量和復雜度增長的前提下,能夠及時的發現和修正系統中潛在的安全漏洞,并且能夠應對和解決這些漏洞,以降低應用系統的安全風險。應用層面側重于設計開發出來的系統是否安全。雖然這些安全目標多數都類似于網絡安全和主機安全中的內容,但是實現目標的方式有很大不同,應用系統更強調在開發出來的系統中解決這些問題。
2.4 數據防御特征
數據層面的防范主要是防止非授權用戶對數據的非法訪問。主要的防御措施是通過加密和訪問控制實現,控制對數據的訪問用戶和訪問權限,并且在數據存儲過程中使用加密技術來保護數據的安全。主要的措施包括三個方面:數據完整性、數據保密性與數據的備份和恢復。
數據層面的安全是計算機信息安全系統的最終目的和核心目標[7]。圍繞著計算機系統所采取的許多安全保護措施最終都是為了保證系統中數據在應用、存儲、傳輸和處理等過程中的安全性,以實現數據的機密性、完整性、可控性和不可否認性,并可以進行數據備份和恢復。
3 結語
隨著計算機信息網絡的不斷發展,新的網絡安全隱患會不斷涌現。建立相應的信息網絡安全防御體系模型,研究各層次的網絡防御特征,能夠從本質上明確安全防御體系建設的目的和目標,為科學制定計算機信息網絡防御策略、發展針對性安全防護技術提供理論支撐。
參考文獻
[1] 張昱.對計算機網絡技術安全與網絡防御的分析[J].廣東科技,2011(5):51-52.
[2] 楊育紅.淺議網絡信息安全防御體系建設[J].計算機安全,2011(10):73-75.
[3] 王琪.計算機網絡安全技術現狀研究[J].計算機安全,2013(7):44-49.
[4] 汪澎萌,張碩,汪兆銀.計算機網絡安全體系研究[J].信息安全,2012(2):38-40.
[5] 杜蕓.網絡安全體系及其構建研究[J]. 軟件導刊,2013,12(5):137-139.
醫院信息化建設中網絡安全存在技術因素與人為因素的干擾,需要針對各醫院實際情況做管理制度的完善健全,提升技術手段,規范管理細節措施,提升全體人員對網絡安全維護的意識與能力,從而有效的保證醫院信息化建設的高效化、安全化,有序化。
關鍵詞:
醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
作者:梁子 單位:廣州市番禺區中心醫院
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
關鍵詞 鐵路信號;微機監測系統;網絡安全
中圖分類號 TP 文獻標識碼 A 文章編號 1673-9671-(2012)012-0120-01
隨著網絡技術的發展,很多行業領域都已經采用了微機技術,不但彌補了傳統的技術的落后現狀,同樣也促進了相關行業的迅速發展。我國的鐵路信號系統同樣采用了微機系統進行管理。但是隨之而來的病毒入侵等網絡不安全因素,對鐵路信號的微機管理系統所造成的潛在威脅同樣非常的大。本文就此問題進一步論述,以此對我國現階段鐵路信號微機系統的安全等問題進一步明確,促進我國鐵路信號微機系統的發展。
1 微機監測系統網絡安全防護現狀
目前的微機監測系統一般都是三層次的網絡結構,既由車站、領工區(車間)、電務段三級構成的計算機網絡,電務段和領工區的管理人員可以通過微機監測網直接看到所轄各站信號設備和戰場運作狀況。目前網絡遭受病毒侵襲的主要途徑有:生產已經網絡化,網絡上任何一點感染病毒后,如不及時處理,容易全網蔓延;隨著移動存儲設備越來越廣泛的使用,病毒通過移動設備感染的機率大大增加。一機多用,如某臺終端機既用于調看生產監控,又兼作辦公機;其他遭受惡意攻擊等非正常感染病毒。
現階段微機監測系統采取的網絡安全防護措施包括以下幾個方面。
1)要求把站機、終端機上的I/0接口,如光驅、歟驅、USB插口等用標簽加封,并在主板BIOS里修改相應項屏蔽設備端口,杜絕在站機、終端機上進行與業務無關的作業。
2)微機檢測安全服務器,站機、終端機,安裝有MCAFEE網絡版防毒軟件或瑞星單機版殺毒軟件,但沒有建立專用的防病毒服務器,病毒庫的更新不及時,單機版的軟件只有維護人員到站上才能更新。
3)清理非法接入局域網的計算機,查清有無一機多用甚至多網的可能,并對非法接人的計算機進行屏蔽。
2 現有系統存在的安全問題及改進的主要參考原則
設計新的網絡安全防護系統,應確保運行數據的完整性、可用性、可控性、可審查性。安全系統的改進可參考以下幾個原則。
1)體系化設計原則。通過分析網絡系統的層次關系.提出科學的安全體系和安全構架,從中分析出存在的各種安全風險,充分利用現有投資,并合理運用當今主流的安全防護技術和手段,最大限度地解決網絡中可能存在的安全問題。
2)全局性、均衡性、綜合性設計原則。從網絡整體建設角度出發,提供一個具有相當高度,可擴展性強的安全防護解決方案,應均衡考慮各種安全措施的效果,提供具有最優性價比的網絡安全防護解決方案。
3)可行性、可靠性、可審查性原則。可行性是設計網絡安全防護方案的根本,它將直接影響到網絡通信平臺的暢通,可靠性是安全系統和網絡通信平臺正常運行的保證,可審查性是對出現的安全問題提供依據與手段。
4)分步實施原則。分級管理,分步實施。
3 系統改進可采取的的主要措施
維護管理方面我們可以做好以下幾點改進。
1)微機監測增設防病毒服務器,定期升級服務器病毒庫,將病毒入侵機率降至最低。安裝防火墻,對連接網絡中的計算機進行統一管理,確保網絡安全。
2)科學處理補丁和病毒之間的矛盾。安裝補丁時,應經過慎重的論證測試,可行在開發系統上進行測試,確保安全的前提下,再進行補丁安裝,因為有些補丁可能與現行的操作系統發生沖突,進而影響整個系統的穩定性。
3)在生產網上組建VPN,創建一個安全的私有鏈接。
同時,為保證系統的安全管理 ,避免人為的安全威脅,應根據運行工作的重要程度劃分系統的安全等級,根據確定的安全等級確定該系統的管理范圍和安全措施。對機房實行安全分區控制,根據工作人員權限限定其工作區域。機房的出入管理可以采取先進的證件識別或安裝自動識別登記系統,采用磁卡,身份證等手段對工作人員進行識別、登記、管理。根據職責分離和多人負責的原則,確定工作系統人員的操作范圍和管理,制定嚴格的操作規程。針對工作調動或離職人員要及時調整相應授權。
4 可采用的網絡安全新技術
建立完善的微機監測系統網絡安全防護系統,需要現有網絡安全防護系統的基礎上,充分考慮防火墻、入侵檢測/防護、漏洞掃描、防病毒系統等安全機制。由于網絡技術的不斷飛速發展,傳統的防護技術已經不能適應復雜多變的新型網絡環境,必須采用安全有效的網絡安全新技術才能防患于未然,提高整個微機監測網絡的安全性。可采用的新型網絡安全技術包括以下幾種。
1)鏈路負載均衡技術。鏈路負載均衡技術是建立在多鏈路網絡結構上的一種網絡流量管理技術。它針對不同鏈路的網絡流量,通信質量以及訪問路徑的長短等諸多因素,對訪問產生的徑路流量所使用的鏈路進行調度和選擇。可最大限度的擴展和利用鏈路的帶寬,當某一鏈路發生故障中斷時,可以自動將其訪問流量分配給其它尚在工作的鏈路,避免IPS鏈路上的單點故障。
2)IPS入侵防御系統。網絡入侵防御系統作為一種在線部署的產品,提供主動的,實時的防護,其設計目的旨在準確檢測網絡異常流量,自動應對各類攻擊性的流量,不將攻擊流量放進內部網絡。
3)上網行為管理系統。上網行為管理系統能夠提供全面的互聯網控制管理,并能實現基于用戶和各種網絡協議的帶寬控制管理。實時監控整個網絡使用情況。
4)網絡帶寬管理系統。對整個網絡狀況進行細致管理,提高網絡使用效率,實現對關鍵人員使用網絡的保障,對關鍵應用性能的保護,對非關鍵應用性能的控制。可根據業務需求和應用自身需求進行帶寬分配。
5)防毒墻。傳統的計算機病毒防范是在需要保護的計算機內部建立反病毒系統,隨著網絡病毒的日益嚴重和各種網絡威脅的侵害,需要將病毒在通過服務器后企業內部網關之前予以過濾,防毒墻就滿足了這一需求。防毒墻是集成了強大的網絡殺毒機制,網絡層狀態包過濾,敏感信息的加密傳輸,和詳盡靈活的日志審計等多種安全技術于一身的硬件平臺。在毀滅性病毒和蠕蟲病毒進入網絡前進行全面掃描,適用于各種復雜的網絡拓撲環境。
5 總結
通過本文的分析,可以看出,我國鐵路信號微機監測系統的應用得到了初步的效果,但是隨著我國鐵路系統的繼續發展,網絡安全是我們不得不考慮的問題,而且隨著網絡安全問題的越來越多,對我國鐵路信號微機監測系統的安全性要求就越高,因此,在未來的發展過程中,我們需要進一步提升鐵路信號微機監測系統的安全等級,只有這樣才能促進我國鐵路信號系統的安全,提升我國鐵路信號系統的繼續發展。
參考文獻
[1]劉琦.鐵路信號安全維護及監控系統設計思路及應用[J].安防科技,2007,03.
關鍵詞:醫院網絡;防火墻;入侵檢測系統
隨著計算機技術在現代生活工作當中的廣泛應用,醫院當中的信息化建設也在不斷進行當中,信息化管理在醫院管理當中的應用有效提升了醫院的管理效率,也使得醫院網絡的安全問題成為醫院管理當中的重點問題。
1網絡安全技術概述
從當前的網絡安全技術來看主要可以分為兩種類型,一種是靜態安全技術,一種是動態安全技術,其中靜態安全技術主要是指防火墻技術,是保護網絡不受外部攻擊的安全技術,在實施和維護上主要是需要借助于人力來完成,不能對入侵者進行主動跟蹤。而動態安全技術主要是指入侵檢測技術,這一種安全技術主要是能夠實現主動的檢測功能,也是目前比較新型的網絡安全技術,在現代的網絡安全防護當中也是逐漸得到廣泛應用。
2防火墻和入侵檢測系統
防火墻是網絡安全當中的常見保護系統,主要是在外部和內部網絡之間進行訪問控制,從而有效保護內網的資源,以防受到外部非法入侵,也是網絡安全建設當中的基礎,每個客戶端上必須具備的安全基礎工程,多是安裝在內外部網絡的連接點上,以便將外部網絡和內部網絡有效隔離開,在拓撲結構當中,防火墻則主要是位于網絡出口位置上,或者是安全等級分界的區域。防火墻雖然具備基礎的安全防護功能,能夠有效保護內部網絡的安全性,但同時防火墻也是具有一定缺陷的,也就是防火墻能夠抵御外部的攻擊,但對于來自內部的攻擊是無法防范的,這就使得網絡在受到內部攻擊時單單依靠防火墻已經不能起到有效的保護作用,需要有相應的內部防范技術來抵御內部攻擊,這樣內外結合才能夠真正起到保護網絡安全的作用。
入侵檢測系統是現代網絡安全系統當中的新型防御工具,與防火墻不同,入侵檢測系統的核心是監聽設備,不需要和其他的鏈路進行連接,也不用網絡流量來支持工作,只要將所有需要關注的鏈路都掛接到入侵檢測系統當中,那么就能夠對所有的鏈路進行監聽,從而有效檢測內部網絡當中存在的安全問題,因而在安置位置上一般是選擇在受保護對象附近或者是安置在攻擊源附近,這樣能夠有效保護相應的資源,及時規避來自內部的安全攻擊。
3防火墻和入侵檢測系統的聯合應用
從上面的分析可以看出,防火墻作為一種安全基礎工程,其只能夠對外部攻擊進行防御,而不能對內部網絡進行監控,而且在防御措施上屬于被動防御類型,不能夠根據正在進行的攻擊具體情況來自動進行防御策略調整,因而在防護存在于其他防護檢測系統進行結合應用的需求。而入侵檢測系統作為一種內部的監聽系統,能夠對醫院內部網絡的數據通訊信息進行實時的監控分析,對其中存在入侵威脅的信息進行分辨,從而能夠在網絡系統受到有害信息入侵之前對其采取防御措施,有效保護網絡系統運行的安全性。但是入侵檢測系統本身只具有檢測功能,只能夠及時發現來自內外部的攻擊行為和有害信息,而無法及時對此進行處理和攔截,因而也存在與具備攔截功能的系統進行結合的需求,所以在現代醫院網絡安全設置當中將防火墻和入侵檢測系統結合起來進行應用,已經成為保障現代醫院網絡安全的關鍵所在,兩者結合之后既能夠及時發現內外部攻擊行為,又能夠及時對其進行處理,從而有效提升了整個醫院網絡的防護性能,是目前醫院網絡安全防護中比較理想的設置組合。
在具體的防護系統設計上,可以在現有的防火墻系統基礎上建立入侵檢測系統來進行輔助,從而能夠實現將入侵檢測系統功能和防火墻功能相互結合的目的。在入侵檢測系統的程序設計上,可以參考Snort開放源代碼來進行設計,通過這個簡單的檢測系統能夠利用軟件包中的監聽功能來獲取醫院網絡當中的數據包,然后在其中增加檢測分析功能,就能夠對監聽收集到的數據進行分析,從而判斷其中的有害信息。具體的方法是通過建立具體特征庫來對數據進行分析,然后通過數據內容進行匹配,從而能夠對相應的數據進行分析檢測。在安裝位置上可以將入侵檢測系統放置在防火墻的內部或外部均可,一般來說可以將其放置在內部,防火墻本身能夠對大部分的簡單攻擊進行阻止,這樣能夠將檢測系統的檢測能力都集中在重點的攻擊上。在具體的防護流程上,當外來攻擊到來時,一部分的攻擊會被防火墻隔離在外,而其中另一部分則會騙過防火墻,進入到內部網絡當中,這時入侵檢測系統就會發揮作用,對這部分攻擊進行識別,將數據包進行分檢之后將其送到系統當中相關模塊中進行檢查匹配之后,就會發現這些數據和已經設置好的規則庫當中的攻擊特征相匹配,這時就會發出切斷訪問的要求,這時就通知防火墻進行攔截,從而起到保護網絡安全的目的。在具體互動連接實現上,可以先由檢測系統向防火墻發起連接,完成兩者之間的正常連接之后,檢測系統就可以通過連接將約定格式的數據包發送給防火墻,從而實現防火墻和檢測系統之間的信息傳遞功能。而防火墻在受到檢測系統發來的信息之后就可以實施相應的動作,并且將結果通過連接反饋給檢測系統。
4結論
信息化管理在醫院當中的建設是當前時代不斷向前發展對醫院管理的要求,信息化技術的推廣應用不僅能夠有效提升醫院在人事、藥品、財務等各方面的管理效率,因而醫院的網絡安全就顯得十分重要,而防火墻和入侵檢測系統的應用則能夠有效提升醫院網絡的安全性,從而更好地提升醫院網絡管理的效率。
參考文獻:
[1]荊村.醫院網絡安全管理的技術性問題[J].企業導報,2015,(13):139-139.
[2]趙凱.醫院網絡安全存在的問題及解決對策研究[J].信息與電腦:理論版,2011,09(9):92.
[3]Faisal,Sultan,Muhammad Tahir,et al.Development of an in-house hospital information system in a hospital in Pakistan[J].International journal of medical informatics,2014,83(3):180-188.
