時間:2023-09-15 17:32:32
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇基于某企業(yè)的網(wǎng)絡(luò)安全策略,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關(guān)鍵詞】安全體系結(jié)構(gòu);網(wǎng)絡(luò);設(shè)計原則;實現(xiàn)方案
伴隨當前計算機網(wǎng)絡(luò)的發(fā)展與廣泛的應用,網(wǎng)路安全體系結(jié)構(gòu)的設(shè)計極為重要。由于計算機網(wǎng)絡(luò)擁有多樣性的聯(lián)結(jié)形式,而網(wǎng)絡(luò)自身擁有一定的互聯(lián)性與開放性,在其終端分布方面存在著不均勻性等特征。這便導致計算機網(wǎng)絡(luò)在應用期間,極易遭受到黑客的攻擊,甚至被一些惡意軟件入侵等,這會給使用者帶來較大的損失。為此,構(gòu)建網(wǎng)絡(luò)安全體系結(jié)構(gòu)已經(jīng)成為當務之急。
1網(wǎng)絡(luò)安全體系結(jié)構(gòu)相關(guān)概述
在網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計方面主要分為:定義網(wǎng)絡(luò)安全策略、分析網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)安全設(shè)計以及網(wǎng)絡(luò)安全實現(xiàn)這四個步驟。這便需要將高級阿全策略與控制作為依據(jù),對安全規(guī)范實施形式化的處理,以此來更好的設(shè)計與實現(xiàn)系統(tǒng)中執(zhí)行機制目標。(1)定義網(wǎng)絡(luò)安全策略。定義網(wǎng)絡(luò)安全策略主要指:對網(wǎng)絡(luò)安全策略進行詳細的描述,其目的在于為網(wǎng)絡(luò)安全提供支持與管理[1]。與此同時,還需要與其他領(lǐng)域相結(jié)合對網(wǎng)絡(luò)安全系統(tǒng)進行全面的考慮,如社會機制、通信安全以及操作安全等,將向?qū)謨訧SO/IEC作為相關(guān)依據(jù),對企業(yè)可能存在的風險展開全面的分析,之后通過自然語言來描述所產(chǎn)生的網(wǎng)絡(luò)安全與控制文檔,這便是高級安全策略所在。(2)對網(wǎng)絡(luò)安全需求進行分析。對網(wǎng)絡(luò)安全需求的分析,主要是對高級安全策略所實施的形式描述,以此來得到更高形式的安全策略。該種做法有一定的優(yōu)點存在,如通過對策略之間的沖突檢查,消除自然語言對中高級策略較為模糊的描述。
2網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計研究
在網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計期間主要包含以下幾點,即:(1)在網(wǎng)絡(luò)安全體系結(jié)構(gòu)設(shè)計期間,需要有針對性的構(gòu)建相應的安全結(jié)構(gòu)體系,并且對于網(wǎng)絡(luò)系統(tǒng)安全實施相應的保障[2]。對網(wǎng)絡(luò)安全體系結(jié)構(gòu)進行設(shè)計的目的在于,全面的建立網(wǎng)絡(luò)安全系統(tǒng),這需要通過某種技術(shù)全面的建立網(wǎng)絡(luò)安全系統(tǒng)。在體系結(jié)構(gòu)中的各層對安全邏輯進行分析的過程中,需對安全需求進行全面的考慮,同時也需要對OSI參考模型中的層級之間的依賴性給予全面的考慮。(2)設(shè)計和實現(xiàn)網(wǎng)絡(luò)安全策略。在設(shè)計網(wǎng)絡(luò)安全體系結(jié)構(gòu)期間,網(wǎng)絡(luò)安全策略的設(shè)計和實現(xiàn)極為重要。設(shè)計和實現(xiàn)網(wǎng)絡(luò)安全策略的主要目的在于,確保能夠定義出一套設(shè)計級的安全策略,并將其作為一種框架底層的抽象策略。該種網(wǎng)絡(luò)安全策略設(shè)計和實現(xiàn)與技術(shù)執(zhí)行之間較為接近,計算機網(wǎng)絡(luò)配置期間,部門與組織之間常常會產(chǎn)生一定的變化,這便對計算機網(wǎng)絡(luò)提出了不同的安全需求。為此,網(wǎng)絡(luò)安全擁有一定的動態(tài)性特征,相關(guān)人員需將調(diào)整組織的安全策略作為依據(jù),適當?shù)脑O(shè)計網(wǎng)絡(luò)安全體系結(jié)構(gòu),同時執(zhí)行安全策略。這不僅是一個過程的體現(xiàn),同時也是現(xiàn)存文檔的形式所在。在需求服務于基礎(chǔ)組織方面,能夠?qū)⑵髽I(yè)的升級情況、實現(xiàn)與執(zhí)行過程充分的體現(xiàn)出來[3]。這與張冀晛,吳中川在《網(wǎng)絡(luò)安全技術(shù)在城市級供電系統(tǒng)數(shù)據(jù)網(wǎng)中的應用》一文中的觀點極為相似。策略管理功能主要包括三個方面,即策略實現(xiàn)點、策略決定點以及策略倉庫。策略倉庫中存在著一切網(wǎng)絡(luò)目錄中的策略信息,它能夠全面的描述服務、計算機以及網(wǎng)絡(luò)用戶,同時在專用的數(shù)據(jù)庫上執(zhí)行相應操作。策略服務器或者策略決定點,主要對網(wǎng)絡(luò)策略實施抽象操作,確保其能夠成為一定的策略控制信息,并且逐漸的向策略執(zhí)行點傳遞。策略實現(xiàn)點則需要接受PAPs中的策略,將其作為安全或者相應的網(wǎng)絡(luò)設(shè)備,使其作用能夠得到充分的發(fā)揮。一切安全組件領(lǐng)域都需要確保能夠在安全管理范圍內(nèi),確保能夠構(gòu)建出更加合理的、安全的網(wǎng)絡(luò)應用模型。(3)達到網(wǎng)絡(luò)安全目標。要實現(xiàn)網(wǎng)絡(luò)安全目標,便需要依靠實現(xiàn)機制來實現(xiàn)。通過安全體系結(jié)構(gòu)中工作站以及服務器上鎖運行的網(wǎng)絡(luò)安全管理,通過使用網(wǎng)絡(luò)輔助級和網(wǎng)絡(luò)級的安全,使得應用級的安全能夠得以實現(xiàn)。在此期間,需要有特殊的用戶作為相應的網(wǎng)絡(luò)操作者,這些主體擁有較為嚴格的授權(quán)程序與認證,同時還擁有較為全面的功能[4]。為此,必須確保特殊用戶的行為以及訪問安全,以此才能夠提升網(wǎng)絡(luò)的存活能力,提升網(wǎng)絡(luò)性能等。網(wǎng)絡(luò)管理系統(tǒng)越是集中,那么企業(yè)在網(wǎng)絡(luò)安全方面所提出的安全要求就越高。
3總結(jié)
如今,網(wǎng)絡(luò)已經(jīng)成為人們生活中不可缺少的一部分,網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計和實現(xiàn),與網(wǎng)絡(luò)用戶的使用安全之間存在著密切關(guān)聯(lián),同時在計算機網(wǎng)絡(luò)健康發(fā)展方面也有著極為重要的影響。為此,構(gòu)建網(wǎng)絡(luò)安全體系,為相關(guān)用戶提供更加安全的網(wǎng)絡(luò)應用環(huán)境,確保網(wǎng)絡(luò)安全環(huán)境能夠達到使用者的相關(guān)要求。另外,不斷的推動網(wǎng)絡(luò)安全體系構(gòu)建,構(gòu)建安全的網(wǎng)絡(luò)環(huán)境,已經(jīng)成為計算機網(wǎng)絡(luò)發(fā)展的必然要求所在。
參考文獻
[1]李春艷,郭軼尊,楊永田,等.基于IP安全體系結(jié)構(gòu)的虛擬專用網(wǎng)[J].哈爾濱工程大學學報,2001,22(6):68~70.
[2]陳曉.電力企業(yè)信息安全體系結(jié)構(gòu)的研究[D].華中科技大學,2004(12):34~56.
[3]張冀晛,吳中川.網(wǎng)絡(luò)安全技術(shù)在城市級供電系統(tǒng)數(shù)據(jù)網(wǎng)中的應用[J].信息與電子工程,2011,09(2):238~243.
關(guān)鍵詞:OA;辦公系統(tǒng);網(wǎng)絡(luò)安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2011) 21-0000-01
OA Office Network Security Analysis
Qiao Yongmei
(Yancheng Finance Bureau Information Center,Yancheng 224000,China)
Abstract:The current OA office system based on the existence of network security issues,requirements analysis through the development of an effective and efficient office automation system network security policy,automated office systems to enhance the level of the network,creating a safe environment to run a positive and effective service facilitating role.
Keywords:OA;Office system;Network security
一、OA辦公系統(tǒng)面臨的網(wǎng)絡(luò)安全問題
隨著網(wǎng)絡(luò)系統(tǒng)、計算機技術(shù)的迅猛發(fā)展其應用服務于各行各業(yè)體現(xiàn)了優(yōu)勢效能,令社會生產(chǎn)、經(jīng)營各項事業(yè)創(chuàng)設(shè)了現(xiàn)代化、網(wǎng)絡(luò)化高效辦公管理模式,同時各類計算機設(shè)備、網(wǎng)絡(luò)管理系統(tǒng)的廣泛引入令基于其開展的辦公事業(yè)面臨著愈演愈烈的病毒侵襲,令互聯(lián)網(wǎng)絡(luò)、自動化辦公系統(tǒng)飽受信息數(shù)據(jù)不良竊取、內(nèi)部癱瘓等安全威脅,較易造成不可挽回的經(jīng)濟損失。同時各項辦公自動化系統(tǒng)程序一旦感染病毒還會迅速傳播至整個互聯(lián)網(wǎng)絡(luò),影響其他程序的正常運行,甚至令服務器系統(tǒng)崩潰。為便捷化辦公,許多辦公自動化系統(tǒng)主體網(wǎng)絡(luò)技術(shù)均設(shè)置同互聯(lián)網(wǎng)絡(luò)連接的相關(guān)協(xié)議接口,這樣一來互聯(lián)網(wǎng)黑客只需截取OA辦公網(wǎng)絡(luò)之中的任何一個節(jié)點便可竊取該以太網(wǎng)之上發(fā)生的全體數(shù)據(jù)信息,通過進一步分解達到非法獲取重要資料數(shù)據(jù)目標。借助相關(guān)互聯(lián)網(wǎng)絡(luò)系統(tǒng)技術(shù)構(gòu)建的OA自動化辦公系統(tǒng)中包含較多可以令信息數(shù)據(jù)被竊取的不良因素,例如黑客惡意入侵對系統(tǒng)數(shù)據(jù)進行破壞,通過侵入服務器展開對硬盤引導區(qū)各類原始數(shù)據(jù)的惡意篡改刪除,令應用程序不良損害。另一類因素為病毒傳播破壞,其可以侵入自動化辦公系統(tǒng)的數(shù)據(jù)轄區(qū),例如系統(tǒng)扇區(qū)、硬板主引導區(qū)、文件目錄、FAT表等,同時還可侵入系統(tǒng)數(shù)據(jù)文件轄區(qū),令各項重要數(shù)據(jù)被刪除、篡改、替換,或令部分信息資料、應用程序不良丟失。另外各類災難性損害也不容忽視,突發(fā)的天災、人為誤操作、強震、強磁力干擾均會令辦公自動化系統(tǒng)數(shù)據(jù)庫受到強烈的影響并引發(fā)損害現(xiàn)象,造成重要數(shù)據(jù)的丟失,令辦公單位蒙受巨額物力、人力與財力的經(jīng)濟損失。
二、基于科學需求分析構(gòu)建OA辦公系統(tǒng)網(wǎng)絡(luò)安全策略
(一)自動化辦公系統(tǒng)安全需求分析
OA辦公系統(tǒng)網(wǎng)絡(luò)安全目標的樹立應以防御外部與內(nèi)部攻擊、侵襲為主體,杜絕非法入侵訪問、抑制各類篡改、冒充行為,確保重要信息不被破壞或泄露。因此在構(gòu)建自動化網(wǎng)絡(luò)辦公系統(tǒng)階段中我們應充分契合用戶豐富需求,集成各項安全技術(shù),確保安全管理有效措施的整合,合理利用行之有效的網(wǎng)絡(luò)防火墻技術(shù)構(gòu)建強有力的安全保障。同時我們還應完善考慮辦公OA系統(tǒng)中心同它類機構(gòu)展開傳遞公文、交流信息階段,其信息數(shù)據(jù)會通過網(wǎng)絡(luò)進行傳輸,一些集團企業(yè)、跨國單位需要通過網(wǎng)絡(luò)展開辦公OA系統(tǒng)訪問,也就是說各類大規(guī)模網(wǎng)絡(luò)辦公自動化系統(tǒng)需要借助互聯(lián)網(wǎng)絡(luò)展開交流,而非僅僅在某一局域網(wǎng)中進行有限的交流。因此倘若黑客基于互聯(lián)網(wǎng)絡(luò)對信息展開竊聽則較易造成嚴重后果,我們可通過構(gòu)建專用虛擬網(wǎng)絡(luò)VPN科學解決公網(wǎng)信息傳遞綜合安全性問題。
(二)專用虛擬網(wǎng)絡(luò)安全策略
虛擬專用網(wǎng)絡(luò)安全策略VPN主體通過隧道私有、于不同網(wǎng)絡(luò)地點構(gòu)建公共網(wǎng)絡(luò)設(shè)施基礎(chǔ)等技術(shù)構(gòu)建了專線專用的辦公平臺,其僅同屬性相當?shù)木W(wǎng)絡(luò)進行信息通信共享,因此可實現(xiàn)私有化的數(shù)據(jù)專用安全傳輸。實踐管理中我們可科學應用VPN安全策略構(gòu)建自動化OA辦公系統(tǒng),營造安全有序的數(shù)據(jù)專線傳輸環(huán)境,令員工即使在遠程也可放心通過外部網(wǎng)絡(luò)進行辦公自動化系統(tǒng)的安全訪問。同時我們還可借助VPN供應商相應服務轉(zhuǎn)變以往辦公系統(tǒng)采用的長途服務專線與撥號模式,提升遠程辦公效率,確保安全、快捷與可靠的專線網(wǎng)絡(luò)傳輸。該安全策略模式下用戶可基于本地ISP實現(xiàn)與互聯(lián)網(wǎng)絡(luò)連接,在通過網(wǎng)絡(luò)辦公服務器VPN認證后構(gòu)建一條基于互聯(lián)網(wǎng)絡(luò)的安全連接。另外我們應對VPN網(wǎng)絡(luò)資源展開科學有效管理,從分配客戶機網(wǎng)絡(luò)地址、展開用戶身份認證、存儲用戶信息賬號、記錄VPN相關(guān)活動等層面實施完善管理,對傳輸于專用隧道之中的數(shù)據(jù)實施加密,驗證雙方通信身份,進而確保數(shù)據(jù)信息傳輸?shù)目茖W完整。
(三)防火墻網(wǎng)絡(luò)安全策略
防火墻是科學設(shè)置于辦公自動化系統(tǒng)局域網(wǎng)絡(luò)與服務器VPN之間安全有效的一道屏障,可全面預防潛在、不可預測入侵破壞網(wǎng)絡(luò)行為。遵循辦公自動化OA系統(tǒng)網(wǎng)絡(luò)安全應用需求我們應科學采用防火墻雙層防護方案,分解網(wǎng)絡(luò)結(jié)構(gòu)為辦公OA系統(tǒng)與互聯(lián)網(wǎng)絡(luò)網(wǎng)域兩部分,令辦公OA系統(tǒng)需要同外部互聯(lián)網(wǎng)絡(luò)進行連接的較安全級別服務器設(shè)置于首層防火墻停火區(qū)內(nèi),同時令辦公OA系統(tǒng)無需進行外部網(wǎng)絡(luò)連接、對安全級別要求較高的各類服務器放置于二層內(nèi)網(wǎng)防火墻區(qū)域,進而完善提升辦公自動化系統(tǒng)服務運行效能,滿足首層低安全級別服務器頻率較高、連接數(shù)量大等需求,同時確保二層高安全級別服務器綜合安全運行目標實現(xiàn)。
(四)強化辦公自動化系統(tǒng)恢復數(shù)據(jù)功能
倘若辦公自動化系統(tǒng)遭到內(nèi)部構(gòu)架的不良破壞,我們可采用計算機數(shù)據(jù)備份策略激發(fā)其恢復數(shù)據(jù)功能。依據(jù)辦公自動化系統(tǒng)綜合安全性能需求我們可采用內(nèi)部、外部自動化大容量、高效率數(shù)據(jù)存儲、恢復、備份機制,有效防范互聯(lián)網(wǎng)硬件技術(shù)故障、不良人為操作失誤引發(fā)的數(shù)據(jù)丟失現(xiàn)象,同時起到對各類非授權(quán)性黑客訪問造成的網(wǎng)絡(luò)攻擊與數(shù)據(jù)完整性破壞進行科學防護。
三、結(jié)語
總之,OA辦公系統(tǒng)網(wǎng)絡(luò)安全問題日益嚴峻,為有效創(chuàng)設(shè)自動化辦公系統(tǒng)安全、高效、遠程、網(wǎng)絡(luò)化優(yōu)質(zhì)運行環(huán)境,我們只有依據(jù)其面臨的安全問題展開安全科學需求分析、制定行之有效的安全防范策略,強化系統(tǒng)恢復數(shù)據(jù)功能,才能真正提升辦公系統(tǒng)效率,令其在自動化、可靠性、科學化服務管理中創(chuàng)設(shè)豐富的經(jīng)濟效益與社會效益。
參考文獻:
關(guān)鍵詞:計算機網(wǎng)絡(luò);安全;VLAN
中圖分類號:TP393.08
伴隨著我國網(wǎng)絡(luò)普及率的不斷提高,網(wǎng)絡(luò)安全問題已經(jīng)成為當前社會議論的熱點。計算機網(wǎng)絡(luò)安全已經(jīng)不再是關(guān)乎到企業(yè)經(jīng)營利益,更重要的是關(guān)乎到國家未來發(fā)展的安全與穩(wěn)定。所以現(xiàn)代社會網(wǎng)絡(luò)安全問題將是未來最重要的安全性問題,必須要整個社會共同努力,全面提高安全防護措施。
1 網(wǎng)絡(luò)安全現(xiàn)狀與常見威脅分析
(1)企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析。就目前形勢來看,國內(nèi)企業(yè)數(shù)據(jù)信息安全很多樂觀,特別是在信息網(wǎng)絡(luò)安全方面、網(wǎng)絡(luò)安全技術(shù)人才方面、企業(yè)內(nèi)部員工網(wǎng)絡(luò)安全防護意識方面均存在著較大問題。更有甚者,一些企業(yè)領(lǐng)導認為像防火墻此類的安全防護軟件可有可無。殊不知,網(wǎng)絡(luò)安全體系的構(gòu)建是一項長期的工作,只有在關(guān)鍵時刻才能夠顯示其最大的價值。
(2)企業(yè)網(wǎng)絡(luò)面臨的安全威脅。第一,自然威脅與無意失誤。所謂自然威脅即是指因自然災害所導致的企業(yè)數(shù)據(jù)丟失,這種網(wǎng)絡(luò)威脅是不可避免的。無意失誤顧名思義就是指由于企業(yè)內(nèi)部安全管理人員的誤操作所導致的企業(yè)機密信息丟失或者泄露。企業(yè)網(wǎng)絡(luò)管理員在進行網(wǎng)絡(luò)安全配置時,由于網(wǎng)絡(luò)安全設(shè)置不當,導致用戶口令較為容易破解。第二,非授權(quán)訪問。所謂非授權(quán)訪問是指通過編寫各種木馬病毒或者通過調(diào)整計算機程序入侵其他用戶的網(wǎng)絡(luò),或者以非法未授權(quán)的方式訪問其他用戶系統(tǒng)文件。有些黑客會通過一些非法手段,肆意擴大訪問權(quán)限或者以虛假身份進入他人計算機網(wǎng)絡(luò)進行各種數(shù)據(jù)信息的讀取。第三,木馬程序及后門。這種威脅主要是指利用遠程控制手段,對他人計算機程序進行非常隱蔽或者未授權(quán)方式的讀取。如果企業(yè)的某臺計算機被非法安裝了木馬程序或者后門,那么該計算機上的各種機密信息就極有可能被黑客竊取。譬如該計算機上輸入的各種密碼,相互交換的各種數(shù)據(jù)信息,均會通過非法程序向黑客直接發(fā)送。現(xiàn)階段這種遠程控制方式非常普遍,也是黑客竊取他人信息的主要手段之一。第四,計算機病毒。這種網(wǎng)絡(luò)威脅方式通常情況下均是由不法分子直接在計算機程序中安裝破壞計算機功能,竊取計算機數(shù)據(jù)而安裝的。計算機病毒的出現(xiàn)肯定會對該計算機系統(tǒng)的運行產(chǎn)生一定的影響,它既能夠自我復制計算機指令來控制計算機,同時也能夠在該系統(tǒng)中寄生更多的病毒。一般情況下,計算機一旦被病毒感染之后,均會出現(xiàn)藍屏、自動重啟、卡機等問題,而且會在非常短的時間之內(nèi)致使整個計算機系統(tǒng)癱瘓,給企業(yè)帶來非常慘重的損失。
2 網(wǎng)絡(luò)安全體系研究
關(guān)于網(wǎng)絡(luò)安全體系的實施過程,其實施前提是系統(tǒng)已經(jīng)部署了較為完善的安全產(chǎn)品,如計算機防入侵檢測系統(tǒng)、網(wǎng)絡(luò)防火墻系統(tǒng)、計算機防病毒軟件、VPN以及相關(guān)的安全認證等。對于各種類型的安全產(chǎn)品集成的有機體系與系統(tǒng)動態(tài)的安全策略是一致性的,其維護是對網(wǎng)絡(luò)安全體系進行構(gòu)架的關(guān)鍵因素。系統(tǒng)安全的策略拓展的時效性,則是為了實現(xiàn)系統(tǒng)安全目標的必要條件。
(1)互操作性。對于各個服務都必須遵循的基本安全策略工作時,就是為了解決系統(tǒng)互操作性的關(guān)鍵要素。也就是說系統(tǒng)安全策略必須保證其各個服務都遵循一致。此外,對于某些服務的活動范圍其依據(jù)并不是直接來源于系統(tǒng)安全策略,而是出于服務間的聯(lián)動規(guī)則。所以說針對此類系統(tǒng)控制中心必須能夠及時的實現(xiàn)這種聯(lián)動規(guī)則。
(2)可管理性。對于一個設(shè)計良好的可靠地信息安全集成管理平臺來說,其應該能夠從管理技術(shù)和管理策略上保證系統(tǒng)的安全策略能夠得到更好更整準確地實現(xiàn),進而促使對安全需求方面能夠更加全面準確地得到滿足。這即包括了確定必需的安全服務也包含了對安全機制與技術(shù)管理方面的要求,從而實現(xiàn)網(wǎng)絡(luò)安全體系在系統(tǒng)中的合理部署與配置。
(3)可擴展性。關(guān)于網(wǎng)絡(luò)安全體系集成可擴展性的要求是:對于每種新投入的安全服務或安全設(shè)備,或者新型的網(wǎng)絡(luò)安全技術(shù)的使用,系統(tǒng)可接納其無縫集成運行到系統(tǒng)中無需對操作本身作修改,或只作較少配置改動。
3 網(wǎng)絡(luò)安全設(shè)計結(jié)構(gòu)
依據(jù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī),安全防御策略應是全方位和動態(tài)縱深的,對網(wǎng)絡(luò)實行分層、分級以及實時防護,對于網(wǎng)絡(luò)中的特定的安全漏洞能夠及時評估和發(fā)現(xiàn),對于各種網(wǎng)絡(luò)的侵入行為實時監(jiān)測并能依據(jù)監(jiān)測結(jié)果預警,甚至是遭受攻擊時,自發(fā)地發(fā)出報警信號、處理措施;這樣就使得在惡意入侵某一層安全防御措施后,能被后續(xù)的應急措施阻攔,確保系統(tǒng)的最大程度安全。
(1)VLAN的網(wǎng)絡(luò)分割。在以太網(wǎng)發(fā)展的過程中,出現(xiàn)了廣播相關(guān)的技術(shù)問題以及安全性問題,為了解決這個問題,人們提出了VLAN協(xié)議。這個協(xié)議的原理是,在傳統(tǒng)以太網(wǎng)幀上增加了VLAN頭,通過這樣的VLAN ID將網(wǎng)絡(luò)上的計算機分為相對獨立的工作組,而不同組之間的計算機不能進行直接互相訪問,每個VLAN就是一個虛擬局域網(wǎng),這樣使得技能限制廣播的范圍,并能夠組成虛擬的工作組,VLAN之間的互相訪問則需要有協(xié)議中的授權(quán)進行信息交換。為了防止敏感資源的泄露以及廣播信息的泛濫,在0層交換機的集中式網(wǎng)絡(luò)環(huán)境中,將網(wǎng)絡(luò)中的所有客戶計算機和服務器分別分配到不同的VLAN中,而在相對獨立的VLAN中,用戶通過設(shè)置IP來進行與服務器之間的互相ping是被禁止的,同樣也需要禁止用戶計算機對服務器相關(guān)數(shù)據(jù)資源的寫入,只允許相關(guān)數(shù)據(jù)的讀出,通過這樣的協(xié)議機制,能夠更好地保護主機資源和服務器中的敏感信息。而在實際應用中,企業(yè)的部門位置有些分散,有些交叉重疊、不易分離,我們通過三層交換機網(wǎng)絡(luò),經(jīng)過VLAN的相關(guān)劃分,實現(xiàn)部門都有各自獨有的VLAN,既方便了互相訪問,有保證了信息的安全。
(2)MAC地址綁定。這樣的綁定是通過0層交換機,在其安全控制列表中,使得計算機的MAC地址和交換機上的端口進行捆綁,由于MAC地址是網(wǎng)絡(luò)適配卡的網(wǎng)絡(luò)身份標識,通過這樣的綁定,可以有效防止未注冊的非法計算機訪問網(wǎng)絡(luò),這也就是物理層面的安全防御。同樣,我們也可以使用內(nèi)部網(wǎng)絡(luò)的安全管理系統(tǒng),統(tǒng)籌分配網(wǎng)絡(luò)中的硬件資源。
(3)防火墻配置。上述我們講述了VLAN將網(wǎng)絡(luò)劃分為獨立的VLAN網(wǎng)絡(luò),而在這些網(wǎng)絡(luò)之間,需要我們使用特定的軟件或硬件系統(tǒng),來保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的相對隔離防護,也即防火墻的配置。本文則是采用硬件防火墻方式,是通過控制特定的數(shù)據(jù)通訊的是否與許出入來實現(xiàn)的,這是通過訪問控制策略來決定一個數(shù)據(jù)的出入是否被允許的。
對于一個網(wǎng)絡(luò),在保證安全性的同時,也要考慮信息通信的運行速度以及經(jīng)濟性等問題,因此在防火墻配置的軟硬件選型中,要選用符合相關(guān)保密要求的國產(chǎn)防火墻,從而有效防止外部用戶的非法訪問,而為了充分的保證網(wǎng)絡(luò)安全,可以配置1套備份防火墻,在其中一臺出現(xiàn)問題時,另一臺迅速啟動,以達到無縫保護網(wǎng)絡(luò)安全。而當今的防火墻訪問控制策略有如下幾種所示:所有往復數(shù)據(jù)均需經(jīng)過防火墻的過濾與監(jiān)測;符合安全策略的數(shù)據(jù)包才能經(jīng)防火墻過濾而通過;服務器訪問互聯(lián)網(wǎng)不能直接通行;防火墻本身作為一個系統(tǒng),也要有抵御非法訪問以及攻擊的功能;在沒經(jīng)設(shè)置的情況下,默認禁止各種網(wǎng)絡(luò)服務,除非是客戶計算機等發(fā)起的或者必須服務,而需要網(wǎng)絡(luò)開放特殊端口的特定服務要經(jīng)過系統(tǒng)管理員的允許。
(4)入侵檢測系統(tǒng)的部署。傳統(tǒng)的網(wǎng)絡(luò)安全防御方法還不足以滿足當今的網(wǎng)絡(luò)安全要求,新的防御技術(shù)應運而生,入侵檢測技術(shù)就是其中一種,它能夠很好的彌補防火墻的不足,有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,對網(wǎng)絡(luò)安全能夠進行全方位的保護,并且具有了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)所不具備的主動性,在提供實時監(jiān)測的同時,并根據(jù)特定的網(wǎng)絡(luò)安全情況來采取相應的手段。相對于防火墻的部署位置,入侵監(jiān)測是部署在網(wǎng)絡(luò)的旁路中,不必像防火墻那樣對所有出入網(wǎng)絡(luò)的信息進行訪問控制,不會影響整個網(wǎng)絡(luò)的整體性能;在對全部網(wǎng)絡(luò)的內(nèi)容進行入侵檢測和判斷,并對分析歷史進行記錄,以利于事故追憶和系統(tǒng)恢復,并斷開特定的網(wǎng)絡(luò)鏈接等。
(5)身份認證。網(wǎng)絡(luò)通信的最終目的是為了提供網(wǎng)絡(luò)上計算機之間的數(shù)據(jù)通信和數(shù)據(jù)交換,而身份認證正是基于對通信雙方進行身份的確認,保證每次通信雙方的信息安全。當前比較常用的通信身份認證技術(shù)有:靜態(tài)密碼、智能卡、USB Key和動態(tài)口令等,得到普遍應用的是用戶名和靜態(tài)密碼的方式;本文中我們使用USB Key方法,這種方法是基于軟硬件認證技術(shù),在保證安全性的同時,也保證了易用性。這種該設(shè)備內(nèi)部有微機芯片,存放有用戶特定的密鑰或者數(shù)字證書,通過其內(nèi)置的密碼算法來達到用戶的身份認證的目的,這樣的身份認證系統(tǒng)有兩種認證方法:一是基于沖擊響應的模式,二是基于PKI體系的認證模式。
(6)內(nèi)網(wǎng)安全管理。傳統(tǒng)的安全防御理念,重點集中在常規(guī)的漏洞掃描、入網(wǎng)檢測等方面,重要的安全設(shè)備雖然集中在機房中,處在層層的保衛(wèi)中,來自網(wǎng)絡(luò)外部的安全威脅大大的縮小了,來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻相對比較突出,這也是由于內(nèi)網(wǎng)頻頻出現(xiàn)的違規(guī)安裝軟件,私自撥號上網(wǎng)以及私自接入其他非法計算機等情況使得內(nèi)網(wǎng)網(wǎng)絡(luò)問題頻頻出現(xiàn),危及網(wǎng)絡(luò)的安全,網(wǎng)絡(luò)管理員相應的需要從準入控制管理以及信息訪問控制等六大功能體系出發(fā),來有效地解決出現(xiàn)的問題。
(7)數(shù)據(jù)備份與恢復。為了防止數(shù)據(jù)丟失,造成重要數(shù)據(jù)的無法挽回,網(wǎng)絡(luò)系統(tǒng)需要經(jīng)常性的進行數(shù)據(jù)備份,把特定的數(shù)據(jù)轉(zhuǎn)存到目的介質(zhì)中。這樣,即使整個網(wǎng)絡(luò)系統(tǒng)崩潰,數(shù)據(jù)部分或全部丟失,數(shù)據(jù)也能恢復到備份時的狀態(tài)。
本文中的網(wǎng)絡(luò)體系的構(gòu)建,在集中式網(wǎng)絡(luò)管理工具對系統(tǒng)數(shù)據(jù)進行備份,通過內(nèi)部網(wǎng)路管理系統(tǒng)對其進行統(tǒng)一管理,用專門管理備份數(shù)據(jù)的服務器監(jiān)控相應的備份作業(yè),這樣使得系統(tǒng)的備份數(shù)據(jù)能夠統(tǒng)一集中的備份到統(tǒng)一磁盤陣列上。而對于網(wǎng)絡(luò)數(shù)據(jù)的備份,實現(xiàn)的方式主要有以下幾種:采用自動增量備份,使得系統(tǒng)管理員的工作量得到相應的降低;制定數(shù)據(jù)備份日程,按照計劃進行備份;全面地備份存儲介質(zhì)的物理管理,一定程度上避免讀寫時的誤操作;對備份后的數(shù)據(jù)所在的存儲介質(zhì),通過合理的分類存放,使得保存科學可靠;在備份服務器為核心的備份系統(tǒng)中,對各種備份數(shù)據(jù)統(tǒng)籌管理,合理分配資源,實時監(jiān)控,實現(xiàn)分布式存放,集中式管理,既提高了存儲的可靠性,又保證了存取的快速性。
4 結(jié)束語
企業(yè)計算機網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個非常復雜的系統(tǒng)工程,它涉及到多個學科的內(nèi)容,同時也需要企業(yè)各個部門的相互協(xié)調(diào)配合。只有企業(yè)自身重視數(shù)據(jù)信息保護,制定相對完善的數(shù)據(jù)信息安全保護制度,才能夠從根本上實現(xiàn)企業(yè)機密信息的絕對安全。在今后的工作中,筆者將繼續(xù)致力于該領(lǐng)域的研究工作,以期能夠獲得更多有價值的研究成果。
參考文獻:
[1]魏昱.如何解決計算機網(wǎng)絡(luò)系統(tǒng)的安全問題[J].電子制作,2013(07):134-135.
[2]趙健.淺析計算機網(wǎng)絡(luò)系統(tǒng)的安全[J].青春歲月,2011(12):362.
關(guān)鍵詞:信息安全;信息安全防護;安全管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)22-5346-02
隨著網(wǎng)絡(luò)信息系統(tǒng)在各行各業(yè)得到廣泛應用,企業(yè)單位辦公自動化程度越來越高,許多企業(yè)開始利用信息化手段來提升自身管理水平,增加競爭力。企業(yè)內(nèi)部用戶之間實現(xiàn)了“互聯(lián)互通 ,資源共享”,極大地提高了企業(yè)單位的辦事效率和工作效率。但部分企業(yè)卻忽視了整個系統(tǒng)的安全和保密工作,使得系統(tǒng)處于危險之中,而一旦網(wǎng)絡(luò)被人攻破,企業(yè)機密的數(shù)據(jù)、資料可能會被盜取、網(wǎng)絡(luò)可能會被破壞,給企業(yè)帶來難以預測的損失。因此,企業(yè)網(wǎng)絡(luò)安全的建設(shè)必須提上日程,并加以有效防范。
1 企業(yè)信息安全防護策略
企業(yè)網(wǎng)絡(luò)所面臨的安全威脅既可能來自企業(yè)網(wǎng)內(nèi)部,又可能來自企業(yè)網(wǎng)外部。所有的入侵攻擊都是從用戶終端上發(fā)起的,往往利用被攻擊系統(tǒng)的漏洞肆意進行破壞。企業(yè)網(wǎng)絡(luò)面臨的威脅主要有系統(tǒng)漏洞或后門、計算機病毒感染、惡意攻擊和非法入侵、管理失誤等。
企業(yè)信息安全從本質(zhì)上講就是企業(yè)網(wǎng)絡(luò)信息安全,必須充分了解系統(tǒng)的安全隱患所在,構(gòu)建科學信息安全防護系統(tǒng)架構(gòu),同時提高管理人員的技術(shù)水平,落實嚴格的管理制度 ,使得網(wǎng)絡(luò)信息能夠安全運行,企業(yè)信息安全防護策略如圖1所示。
2 硬件安全
企業(yè)網(wǎng)硬件實體是指實施信息收集、傳輸、存儲和分發(fā)的計算機及其外部設(shè)備和網(wǎng)絡(luò)部件。對硬件安全我們應采取以下相應措施:1)盡可能購買國產(chǎn)網(wǎng)絡(luò)設(shè)備,從根源上防止由于后門造成的威脅;2)使用低輻射計算機設(shè)備、屏蔽雙絞線或光纖等傳輸介質(zhì),把設(shè)備的信息輻射抑制到最低限度,這是防止計算機輻射泄密的根本措施;3)加強對網(wǎng)絡(luò)記錄媒體的保護和管理。如對關(guān)鍵的記錄媒體要有防拷貝和信息加密措施,對廢棄的光盤、硬盤和存儲介質(zhì)要有專人銷毀等,廢棄紙質(zhì)就地銷毀等;4)定期對實體進行安全檢測和監(jiān)控監(jiān)測。特別是對文件服務器、光纜(或電纜)、收發(fā)器、終端及其它外設(shè)進行保密檢查,防止非法侵入。
3 信息安全技術(shù)
企業(yè)信息的安全必須有安全技術(shù)做保障。目前可以采用的安全技術(shù)主要有:
3.1 安全隔離技術(shù)
安全隔離與信息交換系統(tǒng)(網(wǎng)閘)由內(nèi)、外網(wǎng)處理單元和安全數(shù)據(jù)交換單元組成。安全數(shù)據(jù)交換單元在內(nèi)外網(wǎng)主機間按照指定的周期進行安全數(shù)據(jù)的擺渡。從而在保證內(nèi)外網(wǎng)隔離的情況下,實現(xiàn)可靠、高效的安全數(shù)據(jù)交換,而所有這些復雜的操作均由隔離系統(tǒng)自動完成,用戶只需依據(jù)自身業(yè)務特點定制合適的安全策略既可實現(xiàn)內(nèi)外網(wǎng)絡(luò)進行安全數(shù)據(jù)通信,在保障用戶信息系統(tǒng)安全性的同時,最大限度保證客戶應用的方便性。
3.2 防火墻技術(shù)
防火墻通過過濾不安全的服務,可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險;它可以提供對系統(tǒng)的訪問控制,如允許從外部訪問某些主機,同時禁止訪問另外的主機;阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Finger和DNS;防火墻可以記錄和統(tǒng)計通過它的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù),根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測;防火墻提供制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段,它可對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理,它定義的安全規(guī)則可運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng),而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。
3.3 入侵檢測技術(shù)
入侵檢測技術(shù)作為一種主動防護技術(shù),可以在攻擊發(fā)生時記錄攻擊者的行為,發(fā)出報警,必要時還可以追蹤攻擊者。它既可以獨立運行,也可以與防火墻等安全技術(shù)協(xié)同工作,更好地保護網(wǎng)絡(luò),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,被認為是防火墻之后的第二道安全閘門,它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,最大幅度地保障系統(tǒng)安全。它在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用,是安全防御體系的一個重要組成部分。
3.4 終端準入防御技術(shù)
終端準入防御(EAD,Endpoint Admission Defense)解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過安全客戶端、安全策略服務器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略,嚴格控制終端用戶的網(wǎng)絡(luò)使用行為,有效地加強了用戶終端的主動防御能力,為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。
3.5 災難恢復策略
災難恢復作為一個重要的企業(yè)信息安全管理體系中的一個重要補救措施,在整個企業(yè)信息安全管理體系中有著舉足輕重的作用。業(yè)界廣泛的經(jīng)驗和教訓說明,災難恢復的成功在于企業(yè)中經(jīng)過良好訓練和預演的人在自己的角色上實施預先計劃的策略,即災難恢復計劃。只有制定快速有效地進行數(shù)據(jù)恢復的策略,才能應對每一種可能出現(xiàn)的數(shù)據(jù)損壞事故。
3.6 其他信息安全技術(shù)
當然,信息安全技術(shù)還有很多,如防御病毒技術(shù)、數(shù)字簽名技術(shù)、加密和解密技術(shù)、VLAN技術(shù)、訪問控制技術(shù)等,這些都可以在一定程序上增加網(wǎng)絡(luò)的安全性。
4 安全管理
網(wǎng)絡(luò)安全管理是企業(yè)管理中一個難點,很多信息化企業(yè)并不十分看重網(wǎng)絡(luò)安全,直到重要數(shù)據(jù)丟失產(chǎn)生重大損失才追悔莫及,因此首先在思想上充分重視信息安全,不能抱有一絲僥幸心理。對于安全管理采取的措施主要有:確定每個管理者對用戶授予的權(quán)限、制訂機房管理制度、建立系統(tǒng)維護制度、實行多人負責制度、實行有限任期制度、建立人員雇用和解聘制度、實行職責分離制度、建立事件及風險管理中心等。
這些要通過對公司全體員工進行教育培訓,強化規(guī)范操作,重要數(shù)據(jù)作好及時備份 ,從系統(tǒng)的角度促進全體團隊認真執(zhí)行 ,以達到網(wǎng)絡(luò)的保障。
5 人員安全意識
企業(yè)信息安全隊伍建設(shè)要以領(lǐng)導干部和人員為重點,積極開展面向企業(yè)各層面的保密教育,不斷提高全體員工的信息安全素質(zhì)。采取的措施主要有:開展領(lǐng)導干部信息安全教育、開展人員保密教育、開展全員保密宣傳教育、推進員工分層次信息安全培訓等。
6 小結(jié)
針對目前企業(yè)信息安全面臨的諸多問題,提出基于硬件安全、信息安全技術(shù)、安全管理和人員培訓的企業(yè)信息安全整體防護策略。企業(yè)信息安全防護是一個系統(tǒng)工程,必須全方位、科學地合理安排和落實,才能有效地保護企業(yè)的信息安全。
參考文獻:
[1] 曹國飛.企業(yè)網(wǎng)信息化建設(shè)保密技術(shù)研究[J].科技傳播,2010(9):229.
[2] 王梅,劉永濤.企業(yè)信息安全(保密)培訓的幾點思考[J].中國市場,2010,35(9):117-118.
[3] 趙曉.企業(yè)信息安全防護體系建設(shè)[J].科技創(chuàng)新導報,2010,34:255.
關(guān)鍵詞:網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問
0 引言
隨著我國經(jīng)濟與科技的不斷發(fā)展,企業(yè)數(shù)字化管理作為為網(wǎng)絡(luò)時代的產(chǎn)物,已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,企業(yè)內(nèi)部網(wǎng)安全問題已經(jīng)成為當前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。
1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
1.1 操作系統(tǒng)的安全問題 目前,被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等,這些操作系統(tǒng)都存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染。如不對操作系統(tǒng)進行及時更新,彌補各種漏洞,計算機即使安裝了防毒軟件也會反復感染。
1.2 病毒的破壞 計算機病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。
1.3 黑客 在《中華人民共和國公共安全行業(yè)標準》中,黑客的定義是:“對計算機系統(tǒng)進行非授權(quán)訪問的人員”,這也是目前大多數(shù)人對黑客的理解。大多數(shù)黑客不會自己分析操作系統(tǒng)或應用軟件的源代碼、找出漏洞、編寫工具,他們只是能夠靈活運用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有:端口監(jiān)聽、端口掃描、口令入侵、JAVA等。
1.4 口令入侵 為管理方便,一般來說,企業(yè)為每個上網(wǎng)的領(lǐng)導和工人分配一個賬號,并根據(jù)其應用范圍,分配相應的權(quán)限。某些人員為了訪問不屬于自己應該訪問的內(nèi)容,用不正常的手段竊取別人的口令,造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。
1.5 非正常途徑訪問或內(nèi)部破壞 在企業(yè)中,有人為了報復而銷毀或篡改人事檔案記錄;有人改變程序設(shè)置,引起系統(tǒng)混亂;有人越權(quán)處理公務,為了個人私利竊取機密數(shù)據(jù)。這些安全隱患都嚴重地破壞了學校的管理秩序。
1.6 設(shè)備受損 設(shè)備破壞主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個企業(yè)內(nèi),管理起來非常困難,任何安置在不能上鎖的地方的設(shè)施,都有可能被人有意或無意地損壞,這樣會造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴重后果。
1.7 敏感服務器使用的受限 由于財務等敏感服務器上存有大量重要數(shù)據(jù)庫和文件,因擔心安全性問題,不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離,使得應用軟件不能發(fā)揮真正的作用。
1.8 技術(shù)之外的問題 企業(yè)內(nèi)部網(wǎng)是一個比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴大,目前,大多數(shù)企業(yè)基本實現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點的擴大,使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于企業(yè)中部分員工對網(wǎng)絡(luò)知識很感興趣,而且具有相當高的專業(yè)知識水平,有的員工上學時所學的專業(yè)甚至就是網(wǎng)絡(luò)安全,攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華,甚至是泄私憤的首選。其次,許多領(lǐng)導和員工的計算機網(wǎng)絡(luò)安全意識薄弱、安全知識缺乏。企業(yè)的規(guī)章制度還不夠完善,還不能夠有效的規(guī)范和約束領(lǐng)導和員工的上網(wǎng)行為。
2 企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略
安全策略是指一個特定環(huán)境中,為保證提供一定級別的安全保護所必須遵守的規(guī)則。安全策略包括嚴格的管理、先進的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么,制定恰當?shù)臐M足需求的策略方案,然后才考慮技術(shù)上如何實施。
2.1 物理安全策略 保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。其目的是保護計算機系統(tǒng)、web 服務器、打印機等硬件實體和通信鏈路層網(wǎng)絡(luò)設(shè)備免受自然災害、人為破壞和搭線攻擊等。它主要包括兩個方面:①環(huán)境安全。對系統(tǒng)所在環(huán)境的安全保護, 確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境。②設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。
2.2 訪問控制策略 訪問控制的主要任務是保證網(wǎng)絡(luò)資源不被非法使用和訪問, 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。主要有以下七種方式:①入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制, 它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡(luò)資源;控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。②網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。③目錄級安全控制。網(wǎng)絡(luò)應允許控制用戶對目錄、文件、設(shè)備的訪問。④屬性安全控制。當用文件、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員應給文件、目錄等指定訪問屬性。⑤網(wǎng)絡(luò)服務器安全控制。網(wǎng)絡(luò)允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制。網(wǎng)絡(luò)管理員應對網(wǎng)絡(luò)實施監(jiān)控,服務器應記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問,服務器應以圖形或文字或聲音等形式報警,以引起網(wǎng)絡(luò)管理員的注意。⑦網(wǎng)絡(luò)端口和節(jié)點的安全控制。端口是虛擬的“門戶”,信息通過它進入和駐留于計算機中,網(wǎng)絡(luò)中服務器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。
2.3 防火墻控制策略 防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用),用來限制外部非法(未經(jīng)許可)用戶訪問內(nèi)部網(wǎng)絡(luò)資源,通過建立起來的相應網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入,防止偷竊或起破壞作用的惡意攻擊。
2.4 信息加密策略 信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。信息加密過程是由各種加密算法來具體實施。多數(shù)情況下,信息加密是保證信息機密性的唯一方法。
2.5 備份和鏡像技術(shù) 用備份和鏡像技術(shù)提高完整性。備份技術(shù)指對需要保護的數(shù)據(jù)在另一個地方制作一個備份,一旦失去原件還能使用數(shù)據(jù)備份。鏡像技術(shù)是指兩個設(shè)備執(zhí)行完全相同的工作,若其中一個出現(xiàn)故障,另一個仍可以繼續(xù)工作。
2.6 網(wǎng)絡(luò)安全管理規(guī)范 網(wǎng)絡(luò)安全技術(shù)的解決方案必須依賴安全管理規(guī)范的支持,在網(wǎng)絡(luò)安全中,除采用技術(shù)措施之外,加強網(wǎng)絡(luò)的安全管理,制定有關(guān)的規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運行將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入辦公室管理制度; 制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應急措施等
2.7 網(wǎng)絡(luò)入侵檢測技術(shù) 試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網(wǎng)絡(luò)活動,都稱為網(wǎng)絡(luò)入侵。入侵檢測(IntrusionDeteetion)的定義為:識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為,并對此做出反應的過程。它不僅檢測來自外部的入侵行為,同時也檢測來自內(nèi)部用戶的未授權(quán)活動。入侵檢測應用了以攻為守的策略,它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責任的有效證據(jù)。
(河北省承德市雙灤區(qū)人力資源和社會保障局,承德 067101)
(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)
摘要: 隨著計算技術(shù)的發(fā)展,網(wǎng)絡(luò)技術(shù)的普遍應用,保護商業(yè)機密、個人隱私、敏感數(shù)據(jù)等越顯重要。尤其是中小企事業(yè)單位由于資金有限,資源不多,各種信息數(shù)據(jù)時時受到內(nèi)部的以及外部的威脅。數(shù)據(jù)信息安全的實質(zhì)就是要保護信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。本文將對中小企事業(yè)單位的數(shù)據(jù)信息安全問題進行分析,提出相應的安全策略和技術(shù)防范措施。
Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.
關(guān)鍵詞 : 數(shù)據(jù)信息;安全策略;企事業(yè)單位
Key words: data information;security policy;enterprises and institutions
中圖分類號:TP311.5文獻標識碼:A文章編號:1006-4311(2015)25-0055-02
作者簡介:李曉賓(1979-),男,河北承德人,科員,助理工程師,研究方向為電子信息。
0 引言
Internet為人類社會創(chuàng)造了一個全新的信息空間,隨著計算機網(wǎng)絡(luò)技術(shù)的日益成熟,計算機網(wǎng)絡(luò)在社會上的應用也急劇增多,中小企事業(yè)單位越來越多的采用計算機網(wǎng)絡(luò)技術(shù)來進行辦公。但是在此過程中,由于中小企事業(yè)單位對網(wǎng)絡(luò)安全問題不夠重視以及工作人員的操作不規(guī)范等問題,使中小企事業(yè)單位的網(wǎng)絡(luò)安全受到極大的威脅。隨著數(shù)字化經(jīng)濟的到來,網(wǎng)絡(luò)系統(tǒng)的不斷擴大,信息的快速獲取,數(shù)據(jù)的安全性、可用性變得越來越重要。
1 計算機網(wǎng)絡(luò)數(shù)據(jù)安全問題概述
隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,各行各業(yè)逐步跨入信息時代大平臺,這一方面為信息儲存、行業(yè)推廣提供了極大便利,而另一方面也催化了網(wǎng)絡(luò)信息安全隱患的不斷滋長,頻頻爆出網(wǎng)絡(luò)用戶信息泄漏事件。目前網(wǎng)絡(luò)已成為中小企事業(yè)單位重要的工作手段之一,網(wǎng)絡(luò)信息泄密使企業(yè)面臨嚴重的安全威脅,并且已經(jīng)有企業(yè)為此承擔了巨大的經(jīng)濟損失。加強網(wǎng)絡(luò)信息安全管理已刻不容緩。
2 企事業(yè)單位計算機數(shù)據(jù)安全面臨的威脅
①中小企事業(yè)單位由于網(wǎng)絡(luò)管理上的缺失,沒有形成統(tǒng)一的網(wǎng)絡(luò)安全管理制度或者責任分工不明確,不能及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的安全漏洞,造成數(shù)據(jù)損毀丟失或被黑客篡改。
②U盤、移動硬盤等外來數(shù)據(jù)與中小企事業(yè)單位內(nèi)部的計算機端口進行非法的連接,造成網(wǎng)絡(luò)系統(tǒng)感染病毒或者直接癱瘓,對中小企事業(yè)單位的內(nèi)部信息安全夠成威脅。
③中小企事業(yè)單位對計算機網(wǎng)絡(luò)終端缺乏有效的監(jiān)控,當計算機系統(tǒng)出現(xiàn)安全威脅時,無法通過監(jiān)控系統(tǒng)及時鎖定故障點,也無法統(tǒng)一管理計算機網(wǎng)絡(luò)所配置的應用軟件。
④由于單位員工的計算機網(wǎng)絡(luò)技術(shù)水平存在較大差異,大部分員工不能熟練掌握計算機網(wǎng)絡(luò)的應用技術(shù),經(jīng)常出現(xiàn)由于工作人員的操作不當,造成數(shù)據(jù)的刪除或者損壞。因沒有設(shè)置或及時更改計算機網(wǎng)絡(luò)的使用權(quán)限,增加了網(wǎng)絡(luò)入侵的危險。
3 計算機網(wǎng)絡(luò)數(shù)據(jù)信息安全策略與技術(shù)防范措施
基于上述安全隱患,而計算機網(wǎng)絡(luò)在中小企事業(yè)單位中的應用又勢在必行的現(xiàn)實趨勢,中小企事業(yè)單位應該針對計算機網(wǎng)絡(luò)信息制定配套的安全管理策略,切實加強信息安全管理,并且針對安全威脅采取相應的技術(shù)防范措施,見表1。
RAID 0追求速度,至少需要2塊硬盤,總?cè)萘肯喈斢诙鄩K硬盤加起來,不過這種方案安全性欠缺,一塊硬盤出現(xiàn)問題,數(shù)據(jù)全毀。RAID 1追求安全,磁盤2是磁盤1的備份,缺點是容量損失,速度與單塊硬盤相同。RAID 0+1或RAID 1+0兼顧速度與安全,應用較多。RAID 5相對來說速度較快,安全性較高,應用也比較普遍。
4 典型案例分析
2010年,張建在杭州某電商企業(yè)中負責品牌運營和推廣工作。在工作中結(jié)識了前支付寶員工李明,雙方產(chǎn)生了“生意”上的來往。在一次合作中,李明用3萬條目標消費者信息來抵付欠張建的500元人民幣酬勞。這3萬條目標消費者信息中包括公民個人的實名、手機、電子郵箱、家庭住址、消費記錄等,張建通過這些定位精準的用戶信息進一步篩選出精準的目標消費群體。李明時任支付寶技術(shù)員工,其利用工作之便,多次從支付寶后臺下載用戶信息。據(jù)其對警方的供述,其下載的信息的大小容量在20G以上。李明下載用戶信息后,伙同兩位系統(tǒng)外的IT業(yè)者,共同將用戶數(shù)據(jù)加以分析、提煉,并兜售給目標客戶。
此案暴露了支付寶公司信息安全管理上的漏洞,如果內(nèi)部監(jiān)管得力,及時發(fā)現(xiàn)問題,就可制止犯罪行為。如果權(quán)限設(shè)置得當,他沒有相應的權(quán)限,就接觸不到或者不會輕易得到如此多的隱私數(shù)據(jù),就不會發(fā)生這類事件了。
5 數(shù)據(jù)信息安全的目標及要達到的效果
信息安全通常強調(diào)CIA三元組的目標,即保密性、完整性和可用性。CIA 的概念闡述源自信息技術(shù)安全評估標準(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建設(shè)所應遵循的基本原則。
中小企事業(yè)單位的目標是在有限的投入中,獲得盡可能最大的安全性。防火墻是必須的,既要防病毒又要防黑客;物理隔離網(wǎng)絡(luò)是必要的,只有這樣才能保護專網(wǎng)的數(shù)據(jù)信息安全;建立完整的備份策略是必然的,防患于未然;內(nèi)部的監(jiān)管也是非常重要的,消滅一切威脅到數(shù)據(jù)信息安全的行為。
6 結(jié)論
隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,中小企事業(yè)單位對于計算機網(wǎng)絡(luò)的應用將越來越廣泛,建立健全各種安全制度,增強網(wǎng)絡(luò)數(shù)據(jù)信息的安全性刻不容緩。在產(chǎn)業(yè)融合的態(tài)勢下,應該盡量保證數(shù)據(jù)信息的準確性,完整性,保密性,避免由于網(wǎng)絡(luò)數(shù)據(jù)信息丟失、損毀、泄密等給中小企事業(yè)單位帶來的損失。同時,政府也應該遵循互聯(lián)網(wǎng)發(fā)展的規(guī)律,秉承開放、包容、創(chuàng)新、分享的理念,加快建立完善和互聯(lián)網(wǎng)工作發(fā)展相適應的監(jiān)管制度,修訂完善法律法規(guī),不斷優(yōu)化監(jiān)管思路,創(chuàng)新監(jiān)管手段,規(guī)范市場秩序,著力打造黨政部門、互聯(lián)網(wǎng)企業(yè)、科研機構(gòu)、行業(yè)組織,以至普通的網(wǎng)民廣泛參與合作等多元監(jiān)管格局,為互聯(lián)網(wǎng)潛能的充分釋放營造公平、公正、合法、合規(guī)的外部環(huán)境。
參考文獻:
[1]潘柱廷.高端信息安全與大數(shù)據(jù)[J].信息安全與通信保密,2012(12).
[2]維克托·邁爾·舍恩伯格,周濤.大數(shù)據(jù)時代:生活、工作與思維的大變革[J].人力資源管理,2013(03).
[3]劉慶宇.淺析計算機網(wǎng)絡(luò)的安全策略與技術(shù)防范對策[J].數(shù)字技術(shù)與應用,2013(10):207.
[4]關(guān)啟明.計算機網(wǎng)絡(luò)安全與保密[J].河北理工學院學報,2003(2):84-89.
[論文關(guān)鍵詞】電力信息安全策略
[論文摘要]通過對電力系統(tǒng)計算機網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問廈的分析,提出相應的安全對策,并介紹應用于電力系統(tǒng)計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
在全球信息化的推動下,計算機信息網(wǎng)絡(luò)作用不斷擴大的同時,信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復雜的大型系統(tǒng)工程。應結(jié)合電力工業(yè)特點,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運行,提高電力企業(yè)社會效益和經(jīng)濟效益,更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務。
研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略是當前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應該實行分層保護措施,有以下五個方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應用層面安全,辦公系統(tǒng)安全,業(yè)務系統(tǒng)安全,服務系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應充分考慮安全問題。將一些重要的設(shè)備,如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設(shè)備,如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進行嚴格管理。
(一)安全技術(shù)策略
為了達到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點,強制實糟相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災難恢復技術(shù),對關(guān)鍵業(yè)務的數(shù)據(jù)與應用系統(tǒng)進行備份,制定詳盡的應用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案,并進行定期預演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善,應該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認、物流控制、財務結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中,電子商務逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機構(gòu),對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證,對系統(tǒng)中關(guān)鍵業(yè)務進行安全審計,并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認證的技術(shù)研究及試點工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學的組織管理配合,都會形同虛設(shè)。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業(yè)職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統(tǒng)一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應實行“統(tǒng)一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構(gòu),全面負責企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負責某一個或某幾個安全事務的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。
【關(guān)鍵詞】:計算機;網(wǎng)絡(luò)系統(tǒng);安全集成;
【 abstract 】 : along with the rapid development of the network, the network security problem increasingly, in recent years, the spy network virus, hackers, often by exposure, relevant national authorities have also repeatedly requirements, a better job in network security construction and management. This paper mainly discusses the computer network security construction implementation of related basic facilities and the measures taken.
【 key words 】 : computer; Network system; Security integration
中圖分類號:TN711文獻標識碼:A 文章編號:
引言
國務院1994年頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》指出:計算機信息系統(tǒng)的安全保護.應當保障計算機及其相關(guān)的和配套的設(shè)備的安全,運行環(huán)境的安全,保障信息的安全.保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全運行。也就是說。我們應在計算機硬件、軟件及運行環(huán)境等網(wǎng)絡(luò)的各個環(huán)節(jié)上,考慮來自網(wǎng)絡(luò)系統(tǒng)內(nèi)部和外部兩方面的因素.從管理和技術(shù)上著手,制訂比較完善的網(wǎng)絡(luò)系統(tǒng)安全保護策略。
一、企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀
據(jù)統(tǒng)計,我國現(xiàn)有企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀是不容樂觀的,其主要表現(xiàn)在以下幾個方面: 信息和網(wǎng)絡(luò)的安全防護能力差; 網(wǎng)絡(luò)安全人才缺乏; 企業(yè)員工對網(wǎng)絡(luò)的安全保密意識淡薄,企業(yè)領(lǐng)導對網(wǎng)絡(luò)安全方面不夠重視等。一部分企業(yè)認為添加了各種安全產(chǎn)品之后,該網(wǎng)絡(luò)就已經(jīng)安全了,企業(yè)領(lǐng)導基本上就是只注重直接的經(jīng)濟利益回報的投資項目,對網(wǎng)絡(luò)安全這個看不見實際回饋的資金投入大部分都采取不積極的態(tài)度,其中起主導作用的因素還有就是企業(yè)缺少專門的技術(shù)人員和專業(yè)指導,導致我國目前企業(yè)的網(wǎng)絡(luò)安全建設(shè)普遍處于不容樂觀的狀況。
二、網(wǎng)絡(luò)安全常見威脅
1、計算機病毒
計算機病毒指在計算機程序中插入的破壞計算機功能和數(shù)據(jù)、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經(jīng)常表現(xiàn)為:藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等,并且在短時間內(nèi)傳播從而導致大量的計算機系統(tǒng)癱瘓,對企業(yè)或者個人造成重大的經(jīng)濟損失。
2、非授權(quán)訪問
指利用編寫和調(diào)試計算機程序侵入到他方內(nèi)部網(wǎng)或?qū)S镁W(wǎng),獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問的行為。如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。
3、木馬程序和后門
木馬程序和后門是一種可以通過遠程控制別人計算機的程序,具有隱蔽性和非授權(quán)性的特點。企業(yè)的某臺計算機被安裝了木馬程序或后門后,該程序可能會竊取用戶信息,包括用戶輸入的各種密碼,并將這些信息發(fā)送出去,或者使得黑客可以通過網(wǎng)絡(luò)遠程操控這臺計算機,竊取計算機中的用戶信息和文件,更為嚴重的是通過該臺計算機操控整個企業(yè)的網(wǎng)絡(luò)系統(tǒng),使整個網(wǎng)絡(luò)系統(tǒng)都暴露在黑客間諜的眼前。
三、網(wǎng)絡(luò)的安全策略
1、更改系統(tǒng)管理員的賬戶名
應將系統(tǒng)管理員的賬戶名由原先的Administrator改為一個無意義的字符串.這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中并沒有設(shè)置.用它的User-*-Rename菜單選項就可以實現(xiàn)這一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯(lián)機系統(tǒng)管理員賬號.這種封鎖僅僅對由網(wǎng)絡(luò)過來的非法疊錄起作用.
2、關(guān)閉不必要的向內(nèi)TCP/IP端口
非法用戶進入系統(tǒng)并得到管理員權(quán)限之后.首先要做的,必定設(shè)法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器.這種情況下,只須保留兩條路由器到服務器的向內(nèi)路徑:端日80的H1vrP和端日2l的FTP.
3、防火墻配置
防火墻是在2個網(wǎng)絡(luò)間實現(xiàn)訪問控制的1個或1組軟件或硬件系統(tǒng),它是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的第1道安全屏障。本建設(shè)方案主要采用硬件防火墻,其主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊,而這個功能的實現(xiàn)又主要是依靠一套訪問控制策略,由訪問控制策略來決定通訊的合法性,該控制策略的具體內(nèi)容由企業(yè)的安全管理員和系統(tǒng)管理員共同來制定。
制定的防火墻安全策略主要有: 所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻; 只有被安全策略允許的數(shù)據(jù)包才能通過防火墻; 服務器本身不能直接訪問互聯(lián)網(wǎng); 防火墻本身要有預防入侵的功能; 默認禁止所有服務,除非是必須的服務才允許。而其他一些應用系統(tǒng)需要開放特殊的端口由系統(tǒng)管理員來執(zhí)行。
4、VLAN 的劃分
VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議。它在以太網(wǎng)的基礎(chǔ)上增加了VLAN 頭,用VLAN ID 把用戶劃分為更小的工作組,限制不同VLAN 之間的用戶不能直接互訪,每個VLAN 就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)管理網(wǎng)絡(luò)。VLAN 之間的訪問需要通過應用系統(tǒng)的授權(quán)來進行數(shù)據(jù)交互。為保護敏感資源和控制廣播風暴,在3 層路由交換機的集中式網(wǎng)絡(luò)環(huán)境下,將網(wǎng)絡(luò)中的所有客戶主機和服務器系統(tǒng)分別集中到不同的VLAN 里,在每個VLAN 里不允許任何用戶設(shè)置IP、用戶主機和服務器之間相互PING,不允許用戶主機對服務器的數(shù)據(jù)進行編輯,只允許數(shù)據(jù)訪問,從而較好地保護敏感的主機資源和服務器系統(tǒng)的數(shù)據(jù)。采用3 層交換機,通過VLAN 劃分,來實現(xiàn)同一部門在同一個VLAN 中,這樣既方便同部門的數(shù)據(jù)交換,又限制了不同部門之間用戶的直接訪問。
5、身份認證
身份認證是提高網(wǎng)絡(luò)安全的主要措施之一。其主要目的是證實被認證對象是否屬實,常被用于通信雙方相互確認身份,以保證通信的安全。常用的網(wǎng)絡(luò)身份認證技術(shù)有: 靜態(tài)密碼、USB Key 和動態(tài)口令、智能卡牌等。其中,最常見的使用是用戶名加靜態(tài)密碼的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份認證方式采用軟硬件相結(jié)合,很好地解決了安全性與易用性之間的矛盾,利用USB Key 內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。USB Key 身份認證系統(tǒng)主要有2 種應用模式: 一是基于沖擊、響應的認證模式; 二是基于PKI 體系的認證模式。
6、制訂網(wǎng)絡(luò)系統(tǒng)的應急計劃
為了將由意外事故引起的網(wǎng)絡(luò)系統(tǒng)損害降低到最小程度,企業(yè)應制訂應急計劃.以防意外事故使網(wǎng)絡(luò)系統(tǒng)遭受破壞.該應急計劃應包括緊急行動方案及軟、硬件系統(tǒng)恢復方案等.絕對的安全是沒有的,安全標準的追求是以資金和方便為代價的.我們應隨時根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行環(huán)境而采用相應的安全保護策略.通過對計算機網(wǎng)絡(luò)系統(tǒng)安全問題的充分認識.以及行政、技術(shù)和物質(zhì)手段的保證。網(wǎng)絡(luò)系統(tǒng)就能夠有足夠的安全性來對付各種不安全問題.
結(jié)語
如何確保計算機網(wǎng)絡(luò)信息的安全是每一個網(wǎng)絡(luò)系統(tǒng)的設(shè)計者和管理者都極為關(guān)心的熱點,當然,也是企業(yè)關(guān)心的重點。一個全方位的安全方案是非常難以實現(xiàn)的,只有在企業(yè)領(lǐng)導的支持下,在技術(shù)人員和管理人員的努力下,結(jié)合企業(yè)的實際情況,制定出相應的解決措施,才是符合本企業(yè)的安全方案。本文主要討論了計算機網(wǎng)絡(luò)的安全的幾種不同的威脅,給出了相應安全策略以及相應的安全產(chǎn)品,提出了計算機網(wǎng)絡(luò)系統(tǒng)實施建設(shè)的基本方案。
參考文獻
[1] 殷偉.計算機安全與病毒防治[M].合肥:安徽科學技術(shù)出版社。2004.
[2] 陳豪然.計算機網(wǎng)絡(luò)安全與防范技術(shù)研究[J],科技風,2009(22):35—36.
提起網(wǎng)絡(luò)信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業(yè)因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據(jù)權(quán)威機構(gòu)調(diào)查:三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業(yè)等社會組織在網(wǎng)絡(luò)安全防護建設(shè)中,普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護技術(shù),即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認證、入侵檢測系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護技術(shù),對網(wǎng)絡(luò)入侵進行監(jiān)控和防護,抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失,保證組織業(yè)務流程的有效進行。
這種解決策略是針對外部入侵的防范,對于來自網(wǎng)絡(luò)內(nèi)部的對企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對于那些需要經(jīng)常移動的終端設(shè)備在安全防護薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障,企業(yè)基于網(wǎng)絡(luò)邊界的安全防護技術(shù)就更是鞭長莫及了,由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面,企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機或無線網(wǎng)卡等方式上網(wǎng),而這些機器通常又置于企業(yè)內(nèi)網(wǎng)中,這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò),發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務器宕機以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。
二、內(nèi)網(wǎng)安全風險分析
現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中,顧名思義,開放的環(huán)境既為信息時代的企業(yè)提供與外界進行交互的窗口,同時也為企業(yè)外部提供了進入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑,使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風險:病毒、蠕蟲對系統(tǒng)的破壞;系統(tǒng)軟件、應用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識、安全知識、安全技能的匱乏,導致企業(yè)安全策略不能真正的得到很好的落實,開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟件、入侵檢測技術(shù)也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術(shù)總要相對落后于新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò),除了利用企業(yè)網(wǎng)絡(luò)安全防護措施的漏洞外,最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險應用:不安裝殺毒軟件;安裝殺毒軟件但不及時升級;網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后,未采取任何有效防護措施就連接到危險的網(wǎng)絡(luò)環(huán)境中,特別是Internet;移動用戶計算機連接到各種情況不明網(wǎng)絡(luò)環(huán)境,在沒有采取任何防護措施的情況下又連入企業(yè)網(wǎng)絡(luò);桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中,給企業(yè)信息基礎(chǔ)設(shè)施,企業(yè)業(yè)務帶來無法估量的損失。
2.軟件漏洞隱患
企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成,有系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應用軟件等等,尤其是存在于廣大終端用戶辦公桌面上的各種應用軟件不勝繁雜,每一個軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用,都會給企業(yè)帶來危害,輕者危及個別設(shè)備,重者成為攻擊整個企業(yè)網(wǎng)絡(luò)媒介,危及整個企業(yè)網(wǎng)絡(luò)安全。
3.系統(tǒng)安全配置薄弱
企業(yè)網(wǎng)絡(luò)建設(shè)中應用的各種軟件系統(tǒng)都有各自默認的安全策略增強的安全配置設(shè)置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統(tǒng)自身的安全防護的增強具有重要作用,但在實際的企業(yè)網(wǎng)絡(luò)環(huán)境中,這些安全配置卻被忽視,尤其是那些網(wǎng)絡(luò)的終端用戶,導致軟件系統(tǒng)的安全配置成為“軟肋”、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強制攻擊”就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網(wǎng)絡(luò)應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網(wǎng)絡(luò)接入安全防護
傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進行的,或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進行且在網(wǎng)絡(luò)訪問用戶的身份被確認后,用戶即可以對企業(yè)內(nèi)網(wǎng)進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞,例如,企業(yè)網(wǎng)絡(luò)的合法移動用戶在安全防護較差的外網(wǎng)環(huán)境中使用VPN連接、遠程撥號、無線AP,以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式,在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個安全通道。
另一個傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部,尤其對于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端,使用的網(wǎng)絡(luò)應用層出不窮,目前對于企業(yè)網(wǎng)管很難準確的控制企業(yè)網(wǎng)絡(luò)的應用,這樣的現(xiàn)實導致安全隱患的產(chǎn)生:員工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應用,如郵件服務器收發(fā)郵件,這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒;企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件,從而感染內(nèi)部網(wǎng)絡(luò),進而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。 5.企業(yè)網(wǎng)絡(luò)入侵
現(xiàn)階段黑客攻擊技術(shù)細分下來共有8類,分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。
對于采取各種傳統(tǒng)安全防護措施的企業(yè)內(nèi)網(wǎng)來說,都沒有萬無一失的把握;對于從企業(yè)內(nèi)網(wǎng)走出到安全防護薄弱的外網(wǎng)環(huán)境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業(yè)內(nèi)網(wǎng),就會將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。
6.終端用戶計算機安全完整性缺失
隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展,越來越多的員工會在企業(yè)專網(wǎng)以外使用計算機辦公,同時這些移動員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動用戶處于專網(wǎng)的保護之外,很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時,企業(yè)現(xiàn)有的安全投資(如:防病毒軟件、各種補丁程序、安全配置等)若處于不正常運行狀態(tài),終端員工沒有及時更新病毒特征庫,或私自卸載安全軟件等,將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。
三、內(nèi)網(wǎng)安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟件,病毒庫未及時升級等等,也有技術(shù)上的原因,殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對新類型、新變異的病毒、蠕蟲的防護往往要落后一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業(yè)的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術(shù)是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應用軟件的安全漏洞,使整個企業(yè)網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害,完全必要在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。
用戶可通過管理控制臺集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補丁升級、系統(tǒng)配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統(tǒng)安全配置策略下發(fā)給運行于各終端設(shè)備上的安全,安全執(zhí)行這些策略,以保證終端系統(tǒng)補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風險,提高企業(yè)網(wǎng)絡(luò)整體的補丁升級、安全配置管理效率和效用,使企業(yè)網(wǎng)絡(luò)的補丁及安全配置管理策略得到有效的落實。
3.全面的網(wǎng)絡(luò)準入控制
為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患,以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題,除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題,同時對傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護措施,而采用邊界準入控制、接入層準入控制等技術(shù)進行全面的實現(xiàn)準入控制。當外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時,檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略,對于符合的外網(wǎng)訪問則放行。一個全面的網(wǎng)絡(luò)準入檢測系統(tǒng)。
[論文摘要]通過對電力系統(tǒng)計算機網(wǎng)絡(luò)存在的網(wǎng)絡(luò)安全問廈的分析,提出相應的安全對策,并介紹應用于電力系統(tǒng)計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)。
[論文關(guān)鍵詞】電力信息安全策略
在全球信息化的推動下,計算機信息網(wǎng)絡(luò)作用不斷擴大的同時,信息網(wǎng)絡(luò)的安全也變得日益重要,一旦遭受破壞,其影響或損失也十分巨大,電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障,是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng)自動化、電力負荷控制、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復雜的大型系統(tǒng)工程。應結(jié)合電力工業(yè)特點,深入分析電力系統(tǒng)信息安全存在的問題,探討建立電力系統(tǒng)信息安全體系,保證電網(wǎng)安全穩(wěn)定運行,提高電力企業(yè)社會效益和經(jīng)濟效益,更好地為國民經(jīng)濟高速發(fā)展和滿足人民生活需要服務。
研究電力系統(tǒng)信息安全問題、制定電力系統(tǒng)信息遭受內(nèi)部外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略是當前信息化工作的重要內(nèi)容。
一、電力系統(tǒng)的信息安全體系
信息安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。包括保密性、完雅性、可用性、真實性、可靠性、責任性等幾個方面。
信息安全涉及的因素有,物理安全、信息安全、網(wǎng)絡(luò)安全、文化安全。
作為全方位的、整體的信息安全體系是分層次的,不同層次反映了不同的安全問題。
信息安全應該實行分層保護措施,有以下五個方面,
①物理層面安全,環(huán)境安全、設(shè)備安全、介質(zhì)安全,②網(wǎng)絡(luò)層面安全,網(wǎng)絡(luò)運行安全,網(wǎng)絡(luò)傳輸安全,網(wǎng)絡(luò)邊界安全,③系統(tǒng)層面安全,操作系統(tǒng)安全,數(shù)據(jù)庫管理系統(tǒng)安全,④應用層面安全,辦公系統(tǒng)安全,業(yè)務系統(tǒng)安全,服務系統(tǒng)安全,⑤管理層面安全,安全管理制度,部門與人員的組織規(guī)則。
二、電力系統(tǒng)的信息安全策略
電力系統(tǒng)的信息安全具有訪問方式多樣,用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高等特點。信息安全問題需從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮,并在實際運行中嚴格管理。為了保障信息安全,采取的策略如下:
(一)設(shè)備安全策略
這是在企業(yè)網(wǎng)規(guī)劃設(shè)計階段就應充分考慮安全問題。將一些重要的設(shè)備,如各種服務器、主干交換機、路由器等盡量實行集中管理。各種通信線路盡量實行深埋、穿線或架空,并有明顯標記,防止意外損壞。對于終端設(shè)備,如工作站、小型交挾機、集線器和其它轉(zhuǎn)接設(shè)備要落實到人,進行嚴格管理。
(一)安全技術(shù)策略
為了達到保障信息安全的目的,要采取各種安全技術(shù),其不可缺少的技術(shù)層措施如下:
1.防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù),它通過單一集中的安全檢查點,強制實糟相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。
2.病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺Pc機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的防病毒軟件。必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理,建立較完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虛擬局域網(wǎng)技術(shù)(VLAN技術(shù))。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含1組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空間里,既這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風暴、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
4.數(shù)據(jù)與系統(tǒng)備份技術(shù)。電力企業(yè)的數(shù)據(jù)庫必須定期進行備份,按其重要程度確定數(shù)據(jù)備份等級。配置數(shù)據(jù)備份策略,建立企業(yè)數(shù)據(jù)備份中心,采用先進災難恢復技術(shù),對關(guān)鍵業(yè)務的數(shù)據(jù)與應用系統(tǒng)進行備份,制定詳盡的應用數(shù)據(jù)備份和數(shù)據(jù)庫故障恢復預案,并進行定期預演。確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下能快速恢復數(shù)據(jù)與系統(tǒng),從而保證信息系統(tǒng)的可用性和可靠性。
5.安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設(shè)施的完善,應該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設(shè)施運行日志等進行統(tǒng)一安全審計,及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。
6.建立信息安全身份認證體系。CA是CertificateAuthority的縮寫,即證書授權(quán)。在電子商務系統(tǒng)中,所有實體的證書都是由證書授權(quán)中心(CA中心)分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。電力市場交易系統(tǒng)就其實質(zhì)來說,是一個典型的電子商務系統(tǒng),它必須保證交易數(shù)據(jù)安全。在電力市場技術(shù)支持系統(tǒng)中,作為市場成員交易各方的身份確認、物流控制、財務結(jié)算、實時數(shù)據(jù)交換系統(tǒng)中,均需要權(quán)威、安全的身份認證系統(tǒng)。在電力系統(tǒng)中,電子商務逐步擴展到電力營銷系統(tǒng)、電力物質(zhì)采購系統(tǒng)、電力燃料供應系統(tǒng)等許多方面。因此,建立全國和網(wǎng)、省公司的cA機構(gòu),對企業(yè)員工上網(wǎng)用戶統(tǒng)一身份認證和數(shù)字簽名等安全認證,對系統(tǒng)中關(guān)鍵業(yè)務進行安全審計,并開展與銀行之間、上下級CA機構(gòu)之間、其他需要CA機構(gòu)之間的交叉認證的技術(shù)研究及試點工作。
(三)組織管理策略
信息安全是技術(shù)措施和組織管理措施的統(tǒng)一,“三分技術(shù)、七分管理”。據(jù)統(tǒng)計,在所有的計算機安全事件中,屬于管理方面的原因比重高達70%以上。沒有管理,就沒有安全。再好的第三方安全技術(shù)和產(chǎn)品,如果沒有科學的組織管理配合,都會形同虛設(shè)。
1.安全意識與安全技能。通過普及安全知識的培訓,可以提高電力企業(yè)職員安全知識和安全意識,使他們具備一些基本的安全防護意識和發(fā)現(xiàn)解決某些常見安全問題的能力。通過專業(yè)安全培訓提高操作維護者的安全操作技能,然后再配合第三方安全技術(shù)和產(chǎn)品,將使信息安全保障工作得到提升。
2.安全策略與制度。電力企業(yè)應該從企業(yè)發(fā)展角度對整體的信息安全工作提供方針性指導,制定一套指導性的、統(tǒng)一的安全策略和制度。沒有標準,無法衡量信息的安全,沒有法規(guī),無從遵循信息安全的制度,沒有策略,無法形成安全防護體系。安全策略和制度管理是法律管理的形式化、具體化,是法規(guī)與管理的接口和信息安全得以實現(xiàn)的重要保證。
3.安全組織與崗位。電力企業(yè)的組織體系應實行“統(tǒng)一組織、分散管理”的方式,建立一個有效、獨立的信息安全部門作為企業(yè)的信息安全管理機構(gòu),全面負責企業(yè)范圍內(nèi)的信息安全管理和維護工作。安全崗位是信息系統(tǒng)安全管理機構(gòu),根據(jù)系統(tǒng)安全需要設(shè)定的負責某一個或某幾個安全事務的職位,崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導關(guān)系的若干層次的一個序列。這樣在全企業(yè)范圍內(nèi)形成信息安全管理的專一工作,使各級信息技術(shù)部門也因此會很好配合信息安全推行工作。
關(guān)鍵詞:計算機網(wǎng)絡(luò);ARP攻擊;安全
中圖分類號:TP393.08
目前,計算機網(wǎng)絡(luò)安全越來越重要,主要體現(xiàn)在信息技術(shù)的信息的共享性和信息的保密性兩個方面。正由于計算機網(wǎng)絡(luò)的資源共享與交流已成為當今社會發(fā)展必然的趨勢,因此同時意味著網(wǎng)絡(luò)存在很多潛在的安全風險。在運用計算機網(wǎng)絡(luò)的時候,經(jīng)常會遭遇ARP攻擊的安全威脅。譬如被盜用IP地址,ARP攻擊不但會影響網(wǎng)絡(luò)的正常使用,而且還會給某些企業(yè)單位帶來巨大的經(jīng)濟損失。所以,如何保護計算機網(wǎng)絡(luò)以免遭受ARP攻擊,已成為網(wǎng)絡(luò)安全管理必須研究的問題。
1 ARP攻擊基本原理與特征
1.1 ARP攻擊基本原理
ARP協(xié)議其實指的是地址解析協(xié)議,是指在計算機發(fā)送數(shù)據(jù)幀之前,把目標計算機所分配的IP地址解析成目標的MAC地址的一個轉(zhuǎn)換過程。數(shù)據(jù)在計算機網(wǎng)絡(luò)中的傳輸,其實是采用“幀”的方式來進行傳輸?shù)模瑤Y(jié)構(gòu)除了包括數(shù)據(jù)本身、數(shù)據(jù)相關(guān)的開始與結(jié)束的標志以及數(shù)據(jù)的控制信息,還包括目標MAC地址等等信息。計算機網(wǎng)絡(luò)傳輸?shù)倪^程中,要想讓某臺計算機與其他計算機能直接進行通信,就得首先知道目標計算機的MAC地址,但目標計算機的MAC地址必須通過地址解析協(xié)議才能獲取。ARP協(xié)議最根本的功能就是能利用目標計算機的IP地址來查詢到目標的MAC地址,從而確保計算機網(wǎng)絡(luò)之間能正常進行通信。
正因為ARP協(xié)議有這個原理,因此ARP攻擊能把IP地址轉(zhuǎn)變?yōu)榈诙拥腗AC地址,再通過偽造MAC地址以及IP地址來從事ARP欺騙,從而在網(wǎng)絡(luò)中會產(chǎn)生大量的ARP通信流量,對網(wǎng)絡(luò)造成堵塞。通過盜用IP地址來攻擊目標的MAC地址,讓網(wǎng)絡(luò)中產(chǎn)生多個MAC地址和IP地址,用此來攻擊網(wǎng)絡(luò)。如圖1:
圖1
(1)要發(fā)送網(wǎng)絡(luò)包給192.168.1.1,但不知MAC地址?
(2)在局域網(wǎng)發(fā)出廣播包“192.168.1.1的MAC地址是什么?”
(3)其他機器不回應,只有192.168.1.1回應“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
從上面可以看出,ARP協(xié)議的基礎(chǔ)就是信任局域網(wǎng)內(nèi)所有的人,那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。更何況ARP協(xié)議是工作在更低于IP協(xié)議的協(xié)議層,因此它的危害就更加隱蔽。
1.2 ARP攻擊的特征
ARP攻擊具有如下幾個特點:第一,具有隱蔽性。通常要避免IP地址之間發(fā)生的沖突有很多方法,但對于ARP攻擊來說,計算機系統(tǒng)不會判斷ARP緩存正確與否,從而也不會出現(xiàn)類似IP地址之間的沖突那樣的提示信息。因此對計算機網(wǎng)絡(luò)的用戶ARP攻擊具有隱蔽性。第二,很難消除。網(wǎng)絡(luò)中發(fā)生ARP攻擊很難被消除,因此,增加網(wǎng)絡(luò)管理員維護和管理計算機網(wǎng)絡(luò)安全工作的難度。第三,對網(wǎng)絡(luò)造成堵塞。ARP攻擊是通過偽造MAC地址和IP地址進行的,從而讓計算機網(wǎng)絡(luò)產(chǎn)生大量的ARP通信流量,對網(wǎng)絡(luò)造成堵塞,直接影響計算機網(wǎng)絡(luò)之間的通訊能力。
2 ARP攻擊對網(wǎng)絡(luò)的危害
ARP攻擊對計算機網(wǎng)絡(luò)的危害較大,不但會導致計算機之間無法進行網(wǎng)絡(luò)連接,而且還會讓計算機里存儲的密碼和重要數(shù)據(jù)等被盜竊。具體來講有網(wǎng)絡(luò)接入速度不穩(wěn),時而快時而慢,從而無法保證網(wǎng)絡(luò)通訊質(zhì)量的穩(wěn)定性;還有會偶爾發(fā)生IP沖突,從而導致計算機無法進行通訊;還有ARP攻擊會造成計算機網(wǎng)絡(luò)的用戶賬號數(shù)據(jù)信息被盜竊,從而進行一些非法的網(wǎng)絡(luò)活動,會給網(wǎng)絡(luò)用戶帶來一定的經(jīng)濟損失;最后使用ARP攻擊形式還會導致IP地址發(fā)生沖突的級別高出計算機的屏保,從而威脅計算機的安全。
3 防ARP攻擊具體的安全策略
3.1 防御ARP攻擊最基本的方法
防御ARP攻擊最基本的方法:(1)重啟計算機,致使ARP攻擊丟失攻擊環(huán)境;(2)禁止使用計算機網(wǎng)卡,讓目標MAC地址變得不可達,從而讓APP攻擊失去攻擊目標,防止攻擊的發(fā)生;(3)對網(wǎng)絡(luò)設(shè)備采取復位,讓設(shè)備恢復出廠設(shè)置。以上這些防御方法對于用戶的計算機水平和知識的要求很低,可以暫且有效地保護計算機網(wǎng)絡(luò)的安全。但是其保護效果不太長久,還會給用戶的工作帶來一些不便,僅適合被計算機水平不高的用戶所使用。
3.2 采取雙向地址綁定
防御ARP攻擊最常用的安全策略是雙向地址綁定,它利用雙向綁定MAC地址以及IP地址來防止攻擊。因為ARP攻擊采用的手段是偽造MAC地址與IP地址進行的,所以計算機網(wǎng)絡(luò)的安全不可只建立在MAC地址或是IP地址的基礎(chǔ)上,而是必須建立在雙重地址的基礎(chǔ)之上,實現(xiàn)雙向綁定。雙向地址綁定采用的具體方法是實現(xiàn)IP地址與MAC地址之間一對一映射,確保ARP表不可被更改,因而就能防御APP欺騙行為。
3.3 使用SOCKET開發(fā)防御系統(tǒng)
通過使用SOCKET編程來開發(fā)ARP攻擊的防御系統(tǒng),能夠防止ARP攻擊。但是這個方法比較考驗網(wǎng)絡(luò)管理員的技術(shù),需要管理員能深入地了解SOCKET編程技術(shù)以及ARP攻擊原理。此方法不僅要求SOCKET系統(tǒng)能預防ARP攻擊,而且要求它在遭遇ARP攻擊之時能具有報警功能,還要求顯示遭受攻擊的主機信息,以便網(wǎng)絡(luò)管理員能及時針對主機問題采取修復措施。
3.4 使用ARP防火墻
所謂ARP防火墻技術(shù)便是根據(jù)ARP攻擊所開發(fā)的,它的主要功能是能確保網(wǎng)關(guān)所獲取的MAC地址與計算機所獲取的MAC地址的合法性,也就是確保計算機網(wǎng)絡(luò)所有活動都能獲取合法的MAC地址,確保網(wǎng)關(guān)與計算機能不受假ARP數(shù)據(jù)包的干擾。
4 小結(jié)
計算機網(wǎng)絡(luò)安全已經(jīng)成為計算機技術(shù)工程的一個重要課題,ARP攻擊是計算機網(wǎng)絡(luò)所面臨的一個重大的安全隱患。以上通過分析研究當前計算機網(wǎng)絡(luò)ARP攻擊的特征和原理,提出了基于計算機網(wǎng)絡(luò)安全的有效可行的防御ARP攻擊一些的安全策略,可供計算機的網(wǎng)絡(luò)管理員在維護計算機網(wǎng)絡(luò)安全時作參考。
參考文獻:
[1]馬蓉平.計算機網(wǎng)絡(luò)安全與ARP攻擊的解決方案[J].遼寧教育行政學院學報,2009(02).
[2]李靜媛.ARP攻擊對網(wǎng)絡(luò)安全的危害及對策研究[J].中國新技術(shù)新產(chǎn)品,2009(17).
[3]郝玲麗,許志飛.基于網(wǎng)絡(luò)結(jié)點的ARP攻擊的分析與防范[J].電腦知識與技術(shù),2009(10).
[4]田維珍,竇為偉,龐雄昌.ARP欺騙攻擊防控方法研究[J].計算機與信息技術(shù),2010(Z2).
[5]張黃勵.針對ARP攻擊的主動防范策略研究與實現(xiàn)[D].重慶大學,2010.
1 傳統(tǒng)防火墻的不足
傳統(tǒng)防火墻是現(xiàn)代網(wǎng)絡(luò)安全防范的主要支柱,但在安全要求較高的大型網(wǎng)絡(luò)中存在一些不足,主要表現(xiàn)如下:
(1) 結(jié)構(gòu)性限制。傳統(tǒng)防火墻的工作原理依賴于網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu),如今,越來越多的跨地區(qū)企業(yè)利用Internet來架構(gòu)自己的網(wǎng)絡(luò),致使企業(yè)內(nèi)部網(wǎng)絡(luò)已基本上成為一個邏輯概念,因此,用傳統(tǒng)的方式來區(qū)別內(nèi)外網(wǎng)絡(luò)十分困難。
(2) 防外不防內(nèi)。雖然有些傳統(tǒng)防火墻可以防止內(nèi)部用戶的惡意破壞,但在大多數(shù)情況下,用戶使用和配置防火墻主要還是防止來自外部網(wǎng)絡(luò)的入侵。
(3) 效率問題。傳統(tǒng)防火墻把檢查機制集中在網(wǎng)絡(luò)邊界處的單一接點上,因此,防火墻容易形成網(wǎng)絡(luò)的瓶頸。
(4) 故障問題。傳統(tǒng)防火墻本身存在著單點故障問題。一旦處于安全節(jié)點上的防火墻出現(xiàn)故障或被入侵,整個內(nèi)部網(wǎng)絡(luò)將完全暴露在外部攻擊者的前面。
2 分布式防火墻的概念
為了解決傳統(tǒng)防火墻面臨的問題,美國AT&T實驗室研究員Steven M.Bellovin于1999年在他的論文“分布式防火墻”中首次提出了分布式防火墻的定義,其系統(tǒng)由以下三部分組成:
(1) 網(wǎng)絡(luò)防火墻。網(wǎng)絡(luò)防火墻承擔著傳統(tǒng)防火墻相同的職能,負責內(nèi)外網(wǎng)絡(luò)之間不同安全域的劃分;同時,用于對內(nèi)部網(wǎng)絡(luò)中各子網(wǎng)之間的防護。
(2) 主機防火墻。為了擴大防火墻的應用范圍,在分布式防火墻系統(tǒng)中設(shè)置了主機防火墻。主機防火墻駐留在主機中,并根據(jù)響應的安全策略對網(wǎng)絡(luò)中的服務器及客戶端計算機進行安全保護。
(3) 中心管理服務器。中心管理服務器是整個分布式防火墻的管理核心,主要負責安全策略的制定、分發(fā)及日志收集和分析等操作。
3 分布式防火墻的工作模式
分布式防火墻的工作模式:由中心策略服務器統(tǒng)一制定安全策略,然后將這些制定好的策略分發(fā)到各個相關(guān)節(jié)點。而安全策略的執(zhí)行則由相關(guān)主機節(jié)點獨立實施,再由各主機產(chǎn)生的安全日志集中保存在中心管理服務器上,其工作模式如圖所示。
分布式防火墻工作模式結(jié)構(gòu)
從圖中可以看出,分布式防火墻不再完全依賴于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)來定義不同的安全域,可信賴的內(nèi)部網(wǎng)絡(luò)發(fā)生了概念上的變化,它已經(jīng)成為一個邏輯上的網(wǎng)絡(luò),從而打破了傳統(tǒng)防火墻對網(wǎng)絡(luò)拓撲的依賴。但是,各主機節(jié)點在處理數(shù)據(jù)時,必須根據(jù)中心策略服務器所分發(fā)的安全策略來決定是否允許某一節(jié)點通過防火墻。
4 分布式防火墻的構(gòu)建
分布式防火墻的構(gòu)建主要有如下四個步驟:
(1) 策略的制定和分發(fā)。在分布式防火墻系統(tǒng)中,策略是針對主機制定的。在制定策略之后通過策略管理中心“推送”和主機“索取”兩種機制分發(fā)到主機。
(2) 日志的收集。在分布式防火墻中,日志可以通過管理中心“定期采集”、主機“定期傳送”、主機“定量傳送”由主機傳送到管理中心。
(3) 策略實施。策略在管理中心統(tǒng)一制定,通過分發(fā)機制傳送到終端的主機防火墻,主機防火墻根據(jù)策略的配置在受保護主機上進行策略的實施。主機防火墻策略實施的有效性是分布式防火墻系統(tǒng)運行的基礎(chǔ)。
(4) 認證。在分布式防火墻系統(tǒng)中通常采用基于主機的認證方式,即根據(jù)IP地址進行認證。為了避免IP地址欺騙,可以采用一些強認證方法,例如Kerberos、X.509、IP Sec等。
5 分布式防火墻的主要優(yōu)勢
在新的安全體系結(jié)構(gòu)下,分布式防火墻代表新一代防火墻技術(shù)的潮流,它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏障,從而形成了一個多層次、多協(xié)議,內(nèi)外皆防的全方位安全體系。主要優(yōu)勢如下:
(1) 分布式防火墻增加了針對主機的入侵檢測和防護功能,加強了對來自內(nèi)部攻擊的防范,可以實施全方位的安全策略。
(2) 分布式防火墻消除了結(jié)構(gòu)性瓶頸問題,提高了系統(tǒng)性能。
(3) 分布式防火墻隨系統(tǒng)擴充提供了安全防護無限擴充的能力。
6 結(jié)論
總之,在企事業(yè)單位的計算機網(wǎng)絡(luò)安全防護中,分布式防火墻技術(shù)不僅克服了傳統(tǒng)邊界式防火墻的不足,而且把防火墻的安全防護系統(tǒng)延伸到網(wǎng)絡(luò)中的各臺主機。它在整個企事業(yè)網(wǎng)絡(luò)或服務器中,具有無限制的擴展能力。隨著網(wǎng)絡(luò)的增長,它們的處理負荷也會在網(wǎng)絡(luò)中進一步分布,從而持續(xù)地保持高性能,最終給網(wǎng)絡(luò)提供全面的安全防護。
參考文獻
[1],李臻,彭紀奎.基于入侵檢測的分布式防火墻的應用研究[J].微電子學與計算機,2011(6).
