前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全方案主題范文,僅供參考,歡迎閱讀并收藏。
網(wǎng)絡系統(tǒng)嚴格遵循層次化、模塊化、扁平化的設計思想,整體采用核心、接入的二層交換架構(gòu),支持IPv6,大大提高網(wǎng)絡通訊的效率和整體網(wǎng)絡的數(shù)據(jù)交換性能。網(wǎng)絡主體分為4個部分,分別為:(1)網(wǎng)絡核心部分:高速數(shù)據(jù)交換、高可靠、靈活網(wǎng)絡互連能力,數(shù)據(jù)交換無瓶頸。(2)網(wǎng)絡內(nèi)網(wǎng)接入部分:提供用戶快速的網(wǎng)絡訪問能力。(3)服務器部分:為服務器提供高速連接、快速訪問、負載均衡等高級應用能力。(4)外網(wǎng)區(qū)域部分:提供高速的、安全的外網(wǎng)(intnet)接入能力,為外網(wǎng)提供網(wǎng)絡服務。(5)網(wǎng)絡安全部分:提供全方位網(wǎng)絡安全,保證網(wǎng)絡的安全性。(6)網(wǎng)絡管理部分:通過方便化、直觀化、統(tǒng)一化的網(wǎng)絡設備管理方式。
2.網(wǎng)絡防火墻系統(tǒng)設計方案
網(wǎng)絡安全是按照網(wǎng)絡協(xié)議(TCP/IP協(xié)議)的2-7層來進行劃分的,要想保證網(wǎng)絡的安全,就一定保證網(wǎng)絡協(xié)議的2至7層每一層的安全。而防火墻負責的是網(wǎng)絡協(xié)議2至4層的網(wǎng)絡安全。以下為防火墻可以實現(xiàn)的功能:第一,網(wǎng)絡隔離。將網(wǎng)絡分割為不同的網(wǎng)絡區(qū)域,進而控制不同區(qū)域之間的數(shù)據(jù)交流,作用于網(wǎng)絡協(xié)議的2-4層,把可能出現(xiàn)的安全風險分別局限于相對獨立的網(wǎng)絡區(qū)域內(nèi),使風險不至于大規(guī)模擴散。第二,網(wǎng)絡協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端,沒有考慮到足夠的安全特性,因此,給網(wǎng)絡用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患,而防火墻可以彌補TCP/IP協(xié)議本身的漏洞,能夠有效地檢測和防范對2至4層的攻擊行為。第三,流量管理。首先為了保證關鍵用戶和關鍵應用的網(wǎng)絡帶寬,防火墻可以提供靈活的流量管理能力,同時要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外,還可以對4至7層的常見網(wǎng)絡協(xié)議提供某些控制和過濾的能力,例如,可以支持EMAIL的過濾能力。第四,用戶管理。學校檔案系統(tǒng)內(nèi)部用戶接入外網(wǎng)Internet,在不影響正常業(yè)務需要的情況下,控制用戶對外網(wǎng)的應用行為。例如,控制上網(wǎng)時間,不可訪問網(wǎng)站,禁用一些軟件的網(wǎng)絡端口等等。
3.網(wǎng)絡入侵防御系統(tǒng)設計方案
防火墻只針對網(wǎng)絡安全2至4層,難以防御對網(wǎng)絡協(xié)議4至7層的網(wǎng)絡威脅,不可能識別出偽裝成正常業(yè)務的蠕蟲、攻擊、間諜軟件等的非法數(shù)據(jù)流,缺乏對經(jīng)過自身的數(shù)據(jù)流進行全面、深度監(jiān)測的能力。入侵防御系統(tǒng)(IPS)就是專門針對網(wǎng)絡協(xié)議的4至7層對數(shù)據(jù)流進行分析并實時采用防御措施的系統(tǒng),與防火墻進行安全層次的互補,豐富了網(wǎng)絡傳輸過程中的安全層次,對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡中部署防火墻+IPS,可使網(wǎng)絡更加安全、健壯,更好地抵御來自外部網(wǎng)絡的威脅。
4.外網(wǎng)主網(wǎng)絡設計
為了保證檔案系統(tǒng)網(wǎng)絡數(shù)據(jù)安全,需要通過網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進行“網(wǎng)絡隔離”,并進行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù),互聯(lián)網(wǎng)用戶及高校外網(wǎng)用戶訪問內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù),對數(shù)據(jù)區(qū)形成了嚴重的威脅,通過部署網(wǎng)閘,在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實現(xiàn)業(yè)務的正常訪問,并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來自于《遼寧醫(yī)學院學報(社會科學版)》雜志。遼寧醫(yī)學院學報(社會科學版)雜志簡介詳見
5.系統(tǒng)數(shù)據(jù)的安全管理
關鍵詞 網(wǎng)絡威脅;網(wǎng)絡防御;網(wǎng)絡安全;防火墻
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01
1 企業(yè)內(nèi)部網(wǎng)絡安全面臨的主要威脅
一般來說,計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自以下幾個方面:
1)計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡,對網(wǎng)絡資源進行破壞,使網(wǎng)絡不能正常工作,甚至造成整個網(wǎng)絡的癱瘓;
2)黑客侵襲。黑客非法進入網(wǎng)絡使用網(wǎng)絡資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;
3)拒絕服務攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機,網(wǎng)絡癱瘓;
4)通用網(wǎng)關接口(CGI)漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務;
5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。
2 企業(yè)網(wǎng)絡安全目標
1)建立一套完整可行的網(wǎng)絡安全與管理策略,將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度,全面監(jiān)視對公開服務器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網(wǎng)絡、公開服務器的訪問行為,形成完整的系統(tǒng)日志備份與災難恢復;6)提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術。
3 安全方案設計原則
對企業(yè)局域網(wǎng)網(wǎng)絡安全方案設計、規(guī)劃時,應遵循以下原則:
1)綜合性、整體性原則:應用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全措施。即計算機網(wǎng)絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。
2)需求、風險、代價平衡的原則:對任一網(wǎng)絡,絕對安全難以達到,也不一定必要。對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法。
3)一致性原則:網(wǎng)絡安全問題貫穿整個網(wǎng)絡的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。在網(wǎng)絡建設開始就考慮網(wǎng)絡安全對策,比在網(wǎng)絡建設好后再考慮安全措施,要有效得多。
4)易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。
5)分步實施原則:由于網(wǎng)絡規(guī)模的擴展及應用的增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的,費用支出也較大。因此可以分步實施,即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。
6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全。
4 主要防范措施
1)依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡安全教育和培訓。
2)網(wǎng)絡病毒的防范。作為企業(yè)應用網(wǎng)絡,同時需要基于服務器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡免受病毒的侵襲。
3)配置防火墻。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡,同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。
4)采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?,F(xiàn)象的技術,用于檢測計算機網(wǎng)絡中違反安全策略行為。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。最好采用混合入侵檢測,同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整立體的主動防御體系。
5)漏洞掃描系統(tǒng)。解決網(wǎng)絡安全問題,要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
7)利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序,長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。
1電信網(wǎng)絡安全及其現(xiàn)狀
狹義的電信網(wǎng)絡安全是指電信網(wǎng)絡本身的安全性,按照網(wǎng)絡對象的不同包括了PSTN網(wǎng)絡的安全、IP/Internet網(wǎng)絡安全、傳輸網(wǎng)絡安全、電信運營商內(nèi)部網(wǎng)絡安全等幾個方面;廣義的網(wǎng)絡安全是包括了網(wǎng)絡本身安全這個基本層面,在這個基礎上還有信息安全和業(yè)務安全的層面,幾個層面結(jié)合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網(wǎng)絡安全的建設,針對網(wǎng)絡特點、業(yè)務特點建立了系統(tǒng)的網(wǎng)絡安全保障體系。我國電信的網(wǎng)絡安全保障體系建設起步較早。2000年,原中國電信意識到網(wǎng)絡安全的重要性,并專門成立了相關的網(wǎng)絡安全管理部門,著力建立中國電信自己的網(wǎng)絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據(jù)組織保障策略引導、保障機制支撐的原則。隨著網(wǎng)絡規(guī)模的不斷擴大和業(yè)務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網(wǎng)絡安全方面的工作。為此,建立了網(wǎng)絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯(lián)網(wǎng)的安全保障工作。這個系統(tǒng)通過幾個模塊協(xié)同工作,來完成對網(wǎng)絡安全事件的監(jiān)控,完成對網(wǎng)絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統(tǒng)。
然而,網(wǎng)絡安全是相對的。網(wǎng)絡開放互聯(lián)、設備引進、新技術引入、自然災害和突發(fā)事件的存在等,造成了網(wǎng)絡的脆弱性。當電信網(wǎng)絡由封閉的、基于電路交換的系統(tǒng)向基于開放、IP數(shù)據(jù)業(yè)務轉(zhuǎn)型中,安全問題更加暴露。從狹義的網(wǎng)絡安全層面看,隨著攻擊技術的發(fā)展,網(wǎng)絡攻擊工具的獲得越來越容易,對網(wǎng)絡發(fā)起攻擊變得容易;而運營商網(wǎng)絡分布越來越廣泛,這種分布式的網(wǎng)絡從管理上也容易產(chǎn)生漏洞,容易被攻擊。從廣義的網(wǎng)絡安全層面看,業(yè)務欺詐、垃圾郵件、違法違規(guī)的SP行為等,也是威脅網(wǎng)絡安全的因素。
2電信網(wǎng)絡安全面臨的形勢及問題
2.1互聯(lián)網(wǎng)與電信網(wǎng)的融合,給電信網(wǎng)帶來新的安全威脅
傳統(tǒng)電信網(wǎng)的業(yè)務網(wǎng)和支撐網(wǎng)是分離的。用戶信息僅在業(yè)務網(wǎng)中傳送,信令網(wǎng)、網(wǎng)管網(wǎng)等支撐網(wǎng)與業(yè)務網(wǎng)隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網(wǎng)絡控制系統(tǒng),保障了網(wǎng)絡安全。IP電話引入后,需要與傳統(tǒng)電信網(wǎng)互聯(lián)互通,電信網(wǎng)的信令網(wǎng)不再獨立于業(yè)務網(wǎng)。IP電話的實現(xiàn)建立在TCP/IP協(xié)議基礎上,TCP/IP協(xié)議面臨的所有安全問題都有可能引入傳統(tǒng)電信網(wǎng)。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現(xiàn)不法行為,無論是運營商還是執(zhí)法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2新技術、新業(yè)務的引入,給電信網(wǎng)的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網(wǎng)根據(jù)不同業(yè)務網(wǎng)分別建設、分別管理的傳統(tǒng)思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網(wǎng)絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網(wǎng)絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業(yè)務的引入,都有可能給電信網(wǎng)的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網(wǎng)絡側(cè)發(fā)送信息的能力大大增強,每一個用戶都有能力對網(wǎng)絡發(fā)起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網(wǎng)絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3運營商之間網(wǎng)絡規(guī)劃、建設缺乏協(xié)調(diào)配合,網(wǎng)絡出現(xiàn)重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監(jiān)管措施還不配套,給電信網(wǎng)絡安全帶來了新的威脅。如在網(wǎng)絡規(guī)劃建設方面,原來由行業(yè)主管部門對電信網(wǎng)絡進行統(tǒng)一規(guī)劃、統(tǒng)一建設,現(xiàn)在由各運營企業(yè)承擔各自網(wǎng)絡的規(guī)劃、建設,行業(yè)主管部門在這方面的監(jiān)管力度明顯弱化。一旦出現(xiàn)大面積的網(wǎng)絡癱瘓問題,不同運營商之間的網(wǎng)絡能否互相支援配合就存在問題。
2.4相關法規(guī)尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網(wǎng)絡安全相關的法律法規(guī)還不完備,且缺乏操作性。在規(guī)范電信運營企業(yè)安全保障建設方面,也缺乏法律依據(jù)。運營企業(yè)為了在競爭中占據(jù)有利地位,更多地關注網(wǎng)絡建設、業(yè)務開發(fā)、市場份額和投資回報,把經(jīng)濟效益放在首位,網(wǎng)絡安全相關的建設、運行維護管理等相對滯后。
3電信網(wǎng)絡安全防護的對策思考
強化電信網(wǎng)絡安全,應做到主動防護與被動監(jiān)控、全面防護與重點防護相結(jié)合,著重考慮以下幾方面。
3.1發(fā)散性的技術方案設計思路
在采用電信行業(yè)安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發(fā)散性的思路進行安全分析和保護,并將方案的目的確定為電信網(wǎng)絡系統(tǒng)建立一個統(tǒng)一規(guī)范的安全系統(tǒng),使其具有統(tǒng)一的業(yè)務處理和管理流程、統(tǒng)一的接口、統(tǒng)一的協(xié)議以及統(tǒng)一的數(shù)據(jù)格式的規(guī)范。
3.2網(wǎng)絡層安全解決方案
網(wǎng)絡層安全要基于以下幾點考慮:控制不同的訪問者對網(wǎng)絡和設備的訪問;劃分并隔離不同安全域;防止內(nèi)部訪問者對無權訪問區(qū)域的訪問和誤操作。可以按照網(wǎng)絡區(qū)域安全級別把網(wǎng)絡劃分成兩大安全區(qū)域,即關鍵服務器區(qū)域和外部接入網(wǎng)絡區(qū)域,在這兩大區(qū)域之間需要進行安全隔離。同時,應結(jié)合網(wǎng)絡系統(tǒng)的安全防護和監(jiān)控需要,與實際應用環(huán)境、工作業(yè)務流程以及機構(gòu)組織形式進行密切結(jié)合,在系統(tǒng)中建立一個完善的安全體系,包括企業(yè)級的網(wǎng)絡實時監(jiān)控、入侵檢測和防御,系統(tǒng)訪問控制,網(wǎng)絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統(tǒng)的總體可控性。
3.3網(wǎng)絡層方案配置
在電信網(wǎng)絡系統(tǒng)核心網(wǎng)段應該利用一臺專用的安全工作站安裝入侵檢測產(chǎn)品,將工作站直接連接到主干交換機的監(jiān)控端口(SPANPort),用以監(jiān)控局域網(wǎng)內(nèi)各網(wǎng)段間的數(shù)據(jù)包,并可在關鍵網(wǎng)段內(nèi)配置含多個網(wǎng)卡并分別連接到多個子網(wǎng)的入侵檢測工作站進行相應的監(jiān)測。
3.4主機、操作系統(tǒng)、數(shù)據(jù)庫配置方案
由于電信行業(yè)的網(wǎng)絡系統(tǒng)基于Intranet體系結(jié)構(gòu),兼呈局域網(wǎng)和廣域網(wǎng)的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網(wǎng)絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產(chǎn)品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產(chǎn)品進行中央管理。
關鍵詞:網(wǎng)絡安全技術 企業(yè)網(wǎng)絡 解決方案
中圖分類號:TN711文獻標識碼: A 文章編號:
隨著計算機網(wǎng)絡技術的飛速發(fā)展,自由的、開放的、國際化的Internet給政府機構(gòu)、企事業(yè)單位帶來了前所未有的變革,使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應能力,進而提高競爭力。另外,網(wǎng)絡安全問題也隨著網(wǎng)絡技術的發(fā)展而真多,凡是有網(wǎng)絡的地方就存在著安全隱患。在2007年1月舉行的達沃斯世界經(jīng)濟論壇上,與會者首次觸及了互聯(lián)網(wǎng)安全問題,表明網(wǎng)絡安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應用自由度的同時,網(wǎng)絡安全隱患也越來越大,如何針對企業(yè)的具體網(wǎng)絡結(jié)構(gòu)設計出先進的安全方案并選配合理的網(wǎng)絡安全產(chǎn)品,以及搭建有效的企業(yè)網(wǎng)絡安全防護體系是擺在計算機工作者面前的巨大課題。
一、企業(yè)網(wǎng)絡安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù),同時又要面對Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡安全狀況調(diào)查結(jié)果顯示:2009年,被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡信息安全事件。在發(fā)生過安全事件的企業(yè)中,83%的企業(yè)感染了計算機病毒、蠕蟲和木馬程序,36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡端口掃描,拒絕服務攻擊和網(wǎng)頁篡改等安全危機。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的攻擊,已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項重要工作。隨著信息技術的發(fā)展,網(wǎng)絡病毒和黑客工具軟件具有技術先進、隱蔽性強、傳播速度快、破壞力強等特點。這主要表現(xiàn)在: 1.網(wǎng)絡安全所面臨的是一個國際化的挑戰(zhàn),網(wǎng)絡的攻擊不僅僅來自本地網(wǎng)絡的用戶,而是可以來自Internet上的任何一個終端機器。2.由于網(wǎng)絡技術是全開放的,任何一個團體組織或者個人都可能獲得,開放性的網(wǎng)絡導致網(wǎng)絡所面臨的破壞和攻擊往往是多方面的,例如:對網(wǎng)絡通信協(xié)議的攻擊,對物理傳輸線路的攻擊,對硬件的攻擊,也可以是對軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息,自由地訪問網(wǎng)絡服務器,因為網(wǎng)絡最初對用戶的使用并沒有提供任何的技術約束。
二、企業(yè)網(wǎng)絡安全解決方案
(一)物理隔離方案。其基本原理為:從物理上來隔離阻斷網(wǎng)絡上潛在的攻擊連接。其中包括一系列阻斷的特征,如:沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接,沒有應用連接、沒有包轉(zhuǎn)發(fā),只有文件“擺渡”,對固態(tài)介質(zhì)只有讀和寫兩個命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡信息安全隔離網(wǎng)閘。
(二)網(wǎng)絡系統(tǒng)安全解決方案。網(wǎng)絡應用服務器的操作系統(tǒng)選擇是一個很重要的部分,網(wǎng)絡操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務器的性能。網(wǎng)絡操作系統(tǒng)的系統(tǒng)軟件,管理并控制著計算機軟硬件資源,并在用戶與計算之間擔任著重要的橋梁作用。一般對其采用下列設置保障其基本安全
1.關閉不必要的服務。2.制定嚴格的賬戶策略。3.科學的分配用戶賬戶權限。4.科學的安全配置和分析。 (三)入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡安全防護體系中,大部分企業(yè)都部署了防火墻對企業(yè)進行保護。但是傳統(tǒng)防火墻設備有其自身的缺點。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風險。根據(jù)企業(yè)網(wǎng)絡的實際應用情況,對網(wǎng)絡環(huán)境安全狀況進行詳細的分析研究認為,對外提供應用服務的服務器應該受到重點的監(jiān)控和防護。在這一區(qū)域部署入侵檢測系統(tǒng),這樣可以充分發(fā)揮IDS的優(yōu)勢,形成防火墻后的第二道防線,如果充分利用IDS與防火墻的互動功能優(yōu)勢,則可以大大提升動態(tài)防護的效果。
(四)安全管理解決方案。信息系統(tǒng)安全管理機構(gòu)是負責信息安全日常事務工作的,應按照國家信息系統(tǒng)安全的有關法律、法規(guī)、制度、規(guī)范建立和健全有關的安全策略和安全目標,結(jié)合自身信息系統(tǒng)的安全需求建立安全實施細則,并負責貫徹實施。 單位安全網(wǎng)(即內(nèi)網(wǎng))系統(tǒng)安全管理機構(gòu)主要實現(xiàn)以下職能:
1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。
2.確定信息安全各崗位人員的職責和權限,實行相互授權、相互牽連,建立崗位責任制。
3.審議并通過安全規(guī)劃,年度安全報告,有關安全的宣傳、教育、培訓計劃。
【關鍵詞】:調(diào)度數(shù)據(jù)網(wǎng);網(wǎng)絡安全;分析
中圖分類號: TN919.25 文獻標識碼: A 文章編號:
國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng),簡稱為調(diào)度數(shù)據(jù)網(wǎng),是我國電力調(diào)度專用的數(shù)據(jù)網(wǎng)絡,是實現(xiàn)各級調(diào)度中心和調(diào)度中心和電廠與電站之間進行生產(chǎn)數(shù)據(jù)傳輸和交換的重要的服務系統(tǒng),是國家電網(wǎng)公司實行統(tǒng)一電網(wǎng)調(diào)度的重要基礎。
一、國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡組織分析
目前我國的國家電網(wǎng)公司的調(diào)度數(shù)據(jù)網(wǎng)是一種單一的平面組織,從發(fā)電廠或者電站到調(diào)度端的信息傳輸通道為數(shù)據(jù)網(wǎng)通道和專線通道。隨著一些地區(qū)的特高壓電網(wǎng)的架設,以及智能電網(wǎng)建設的發(fā)展,傳統(tǒng)的調(diào)度數(shù)據(jù)網(wǎng)已經(jīng)不能夠滿足使用的需要,不能保證電網(wǎng)調(diào)度系統(tǒng)的安全運行。電力調(diào)度數(shù)據(jù)網(wǎng)絡在運行過程中具有可靠性高、實時性強的技術要求,所以在安全方面的要求比較高,直接關系到了電網(wǎng)的正常運行[1]。因此需要進一步的完善調(diào)度數(shù)據(jù)網(wǎng)的建設,對現(xiàn)有的網(wǎng)絡資料實行不斷的升級優(yōu)化,建設可靠、安全的智能電網(wǎng)調(diào)度系統(tǒng)。
1.調(diào)度數(shù)據(jù)網(wǎng)的傳輸現(xiàn)狀。目前我國的電力系統(tǒng)方面的傳輸方式主要有光纖、載波、微波三種方式,其中光纖通信的使用頻率遠遠的高于其它兩種通信方式,光纖通信具有傳輸容量大、損耗低、抗干擾能力強等非常優(yōu)良的特點,成為我國電力系統(tǒng)主要的通信方式。我國的電力系統(tǒng)通信網(wǎng)絡中已經(jīng)建設成為光纖通信為主,其它兩種通信方式為輔的格局。國家電網(wǎng)和其它的省分公司建成了密集型波分復用系統(tǒng)和SDH光傳輸雙系統(tǒng)的結(jié)構(gòu),省級電網(wǎng)公司和其它地區(qū)基本建成了SDH光環(huán)網(wǎng)絡,基本上能夠滿足調(diào)度數(shù)據(jù)網(wǎng)的使用要求[2]。
2.調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡組織。已經(jīng)建成的單一平面調(diào)度數(shù)據(jù)網(wǎng)絡在網(wǎng)絡升級改造的過程中,對于電網(wǎng)的正常運行有比較大的影響,而且選擇的調(diào)度通信網(wǎng)絡的專線傳輸方式可靠性不夠高。在的省級調(diào)度數(shù)據(jù)網(wǎng)絡中220kv變電站內(nèi)基本上只安裝了一臺路由器,在電力的調(diào)度過程中容易發(fā)生數(shù)據(jù)丟失的現(xiàn)象,影響了電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡的安全性和可靠性。在傳輸設備上以前的設備對于網(wǎng)絡的安全維護帶來了極大的困難,而且其專線方式也不能夠滿足日益增長的業(yè)務需求,和對數(shù)據(jù)傳輸?shù)膶崟r性、安全的要求。從2009開始,國家電網(wǎng)公司開始對原來的電網(wǎng)數(shù)據(jù)網(wǎng)絡進行升級,以實現(xiàn)對網(wǎng)絡組織的雙平面擴充,通過對網(wǎng)絡組織結(jié)構(gòu)的調(diào)整,進一步的提高調(diào)度數(shù)據(jù)網(wǎng)絡運行的安全性和可靠性。國家電網(wǎng)的調(diào)度數(shù)據(jù)網(wǎng)具有網(wǎng)絡規(guī)模大、網(wǎng)絡節(jié)點多的特點,所以一般采用多層、多級的結(jié)構(gòu)。我國現(xiàn)行的調(diào)度數(shù)據(jù)網(wǎng)為單一平面結(jié)構(gòu),網(wǎng)絡包含了國家電網(wǎng)調(diào)度中心、網(wǎng)絡調(diào)度中心、省級調(diào)度中心、地區(qū)調(diào)度中心、220kv變電站和發(fā)電廠,采用了分層、分級的設計方案。我國的調(diào)度數(shù)據(jù)網(wǎng)主要分為骨干網(wǎng)和省級網(wǎng)兩個級別,其中骨干網(wǎng)有國家調(diào)度中心負責網(wǎng)絡的運行和管理工作,其工作范圍包含國家電網(wǎng)公司和所有的省級調(diào)度中心、直調(diào)廠站等;省級網(wǎng)主要有各個省調(diào)度中心負責運行管理,包含了其管轄地區(qū)的調(diào)度中心和220kv及以上的廠站。
二、電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡的安全防護
智能電網(wǎng)具有技術新、交互廣、網(wǎng)絡多等一系列的特點,使它在運行方面具有特殊的安全風險。同時,電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡中包含了各種通信網(wǎng)絡和網(wǎng)絡協(xié)議,使電力調(diào)度數(shù)據(jù)網(wǎng)絡變的更加的復雜,信息是傳輸過程中容易發(fā)生丟失、竊聽、篡改等安全問題。
1.電力的發(fā)展使調(diào)度數(shù)據(jù)網(wǎng)絡的安全防護變的困難。由于人民生活水平的不斷提高,各種家用電器的廣泛使用,使得網(wǎng)絡中的業(yè)務服務系統(tǒng)之間,業(yè)務服務系統(tǒng)和用戶之間的交流和溝通更加的頻繁。在這種交互的過程中自然而然的產(chǎn)生了海量的數(shù)據(jù)信息,容易造成網(wǎng)絡的擁堵和波動,業(yè)務過載的現(xiàn)象,同時也增加了用戶的個人信息存在篡改、泄露和丟失的安全風險。
2.不斷的加強網(wǎng)絡的安全建設。電力調(diào)度數(shù)據(jù)網(wǎng)絡是我國智能電網(wǎng)中重要的信息傳輸系統(tǒng),它涵蓋了應急、電量統(tǒng)計、調(diào)度指令等重要的信息,如果被黑客入侵,將會對電網(wǎng)的正常運行產(chǎn)生巨大的安全威脅,影響了電網(wǎng)的正常運行。因此需要不斷的加強調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡安全建設工作,提高網(wǎng)絡的安全防護性能,杜絕網(wǎng)絡被滲透或者入侵,保證電力系統(tǒng)的運行安全和數(shù)據(jù)安全。調(diào)度數(shù)據(jù)網(wǎng)絡和一般的通信網(wǎng)絡在結(jié)構(gòu)和系統(tǒng)上具有非常強的相似性,所以在安全方案的選擇和使用上也具有共同的特點,其中主要應用安全防護方案有物理隔離、數(shù)據(jù)加密和驗證、防火墻、訪問控制、信息過濾、數(shù)據(jù)備份、入侵檢測、查殺木馬和病毒等,一般企業(yè)在網(wǎng)絡安全方案的選擇上比較有效的方案有防火墻、安全路由器、web安全和郵件安全。在調(diào)度數(shù)據(jù)網(wǎng)中主要使用防火墻技術和縱向加密的技術來實現(xiàn)安全防護,一般在調(diào)度中心端和廠站端實行縱向加密認證措施,對網(wǎng)絡實現(xiàn)端對端的保護;在實時業(yè)務和路由器之間也進行縱向加密認證措施,在非實時業(yè)務和路由器之間可以選擇硬件防火墻或者縱向加密認證措施。通過對傳輸?shù)臄?shù)據(jù)進行加密認證,防止數(shù)據(jù)在網(wǎng)絡的傳輸過程中出現(xiàn)破壞和篡改的現(xiàn)象,保證數(shù)據(jù)的安全性[4]。限制其它用戶對電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的訪問權限,保證信息的安全性。同時,對于電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡的安全防護上,還應當加強內(nèi)部的信息安全防護,在內(nèi)部的數(shù)據(jù)交換中常常容易發(fā)生信息安全問題。
三、結(jié)束語
隨著我國電網(wǎng)結(jié)構(gòu)的升級和電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡的不斷完善優(yōu)化,將使國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡系統(tǒng)發(fā)生質(zhì)的變化,將進一步的提高電網(wǎng)運行的安全性和可靠性,我國的現(xiàn)代化建設提供能源保障。同時,電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)和一般的通信網(wǎng)絡在運行結(jié)構(gòu)上具有相似性,所以加強和維護電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡的安全性也是電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設中的重要問題,需要認真的對待。
【參考文獻】:
[1]高夏生,程俊,張先亮等.安徽電力調(diào)度數(shù)據(jù)網(wǎng)優(yōu)化設計[J].人類工效學,2012,18(3):66-70.
[2]劉麗榕,王玉東,肖智宏等.國家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設方案研究[J].電力系統(tǒng)通信,2011,32(2):18-21.
[3]吳強.貴州電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)業(yè)務接入安全防護方案設計[J].廣東輸電與變電技術,2010,12(3):65-66,70.
關鍵詞:網(wǎng)絡安全;網(wǎng)絡管理;防護;防火墻
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2011)14-3302-02
隨著企業(yè)信息化進程的不斷發(fā)展,網(wǎng)絡已成為提高企業(yè)生產(chǎn)效率和企業(yè)競爭力的有力手段。目前,石化企業(yè)網(wǎng)絡各類系統(tǒng)諸如ERP系統(tǒng)、原油管理信息系統(tǒng) 、電子郵件系統(tǒng) 以及OA協(xié)同辦公系統(tǒng)等都相繼上線運行,信息化的發(fā)展極大地改變了企業(yè)傳統(tǒng)的管理模式,實現(xiàn)了企業(yè)內(nèi)的資源共享。與此同時,網(wǎng)絡安全問題日益突出,各種針對網(wǎng)絡協(xié)議和應用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。
因此,了解網(wǎng)絡安全,做好防范措施,保證系統(tǒng)安全可靠地運行已成為企業(yè)網(wǎng)絡系統(tǒng)的基本職能,也是企業(yè)本質(zhì)安全的重要一環(huán)。
1 石化企業(yè)網(wǎng)絡安全現(xiàn)狀
石化企業(yè)局域網(wǎng)一般包含Web、Mail等服務器和辦公區(qū)客戶機,通過內(nèi)部網(wǎng)相互連接,經(jīng)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中,各計算機處在同一網(wǎng)段或通過Vlan(虛擬網(wǎng)絡)技術把企業(yè)不同業(yè)務部門相互隔離。
2 企業(yè)網(wǎng)絡安全概述
企業(yè)網(wǎng)絡安全隱患的來源有內(nèi)、外網(wǎng)之分,網(wǎng)絡安全系統(tǒng)所要防范的不僅是病毒感染,更多的是基于網(wǎng)絡的非法入侵、攻擊和訪問。企業(yè)網(wǎng)絡安全隱患主要如下:
1) 操作系統(tǒng)本身存在的安全問題
2) 病毒、木馬和惡意軟件的入侵
3) 網(wǎng)絡黑客的攻擊
4) 管理及操作人員安全知識缺乏
5) 備份數(shù)據(jù)和存儲媒體的損壞
針對上述安全隱患,可采取安裝專業(yè)的網(wǎng)絡版病毒防護系統(tǒng),同時加強內(nèi)部網(wǎng)絡的安全管理;配置好防火墻過濾策略,及時安裝系統(tǒng)安全補??;在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡掃描檢測、入侵檢測系統(tǒng),配置網(wǎng)絡安全隔離系統(tǒng)等。
3 網(wǎng)絡安全解決方案
一個網(wǎng)絡系統(tǒng)的安全建設通常包含許多方面,主要為物理安全、數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全等。
3.1 物理安全
物理安全主要指環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等,包括機房環(huán)境安全、通信線路安全、設備安全、電源安全。
主要考慮:自然災害、物理損壞和設備故障;選用合適的傳輸介質(zhì);供電安全可靠及網(wǎng)絡防雷等。
3.2 網(wǎng)絡安全
石化企業(yè)內(nèi)部網(wǎng)絡,主要運行的是內(nèi)部辦公、業(yè)務系統(tǒng)等,并與企業(yè)系統(tǒng)內(nèi)部的上、下級機構(gòu)網(wǎng)絡及Internet互連。
3.2.1 VLAN技術
VLAN即虛擬局域網(wǎng)。是通過將局域網(wǎng)內(nèi)的設備邏輯地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術。
借助VLAN技術,可將不同地點、不同網(wǎng)絡、不同用戶組合在一起,形成一個虛擬的網(wǎng)絡環(huán)境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。
3.2.2 防火墻技術
1) 防火墻體系結(jié)構(gòu)
① 雙重宿主主機體系結(jié)構(gòu)
防火墻的雙重宿主主機體系結(jié)構(gòu)是指一臺雙重宿主主機作為防火墻系統(tǒng)的主體,執(zhí)行分離外部網(wǎng)絡和內(nèi)部網(wǎng)絡的任務。
② 被屏蔽主機體系結(jié)構(gòu)
被屏蔽主機體系結(jié)構(gòu)是指通過一個單獨的路由器和內(nèi)部網(wǎng)絡上的堡壘主機共同構(gòu)成防火墻,強迫所有的外部主機與一個堡壘主機相連,而不讓其與內(nèi)部主機相連。
③ 被屏蔽子網(wǎng)體系結(jié)構(gòu)
被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內(nèi)網(wǎng),一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu),入侵者必須穿透兩個屏蔽路由器。
2) 企業(yè)防火墻應用
① 企業(yè)網(wǎng)絡體系中的三個區(qū)域
邊界網(wǎng)絡。此網(wǎng)絡通過路由器直接面向Internet,通過防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡。
網(wǎng)絡。即DMZ,將用戶連接到Web服務器或其他服務器,Web服務器通過內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡。
內(nèi)部網(wǎng)絡。連接各個內(nèi)部服務器(如企業(yè)OA服務器,ERP服務器等)和內(nèi)部用戶。
② 防火墻及其功能
在企業(yè)網(wǎng)絡中,常常有兩個不同的防火墻:防火墻和內(nèi)部防火墻。雖然任務相似,但側(cè)重點不同,防火墻主要提供對不受信任的外部用戶的限制,而內(nèi)部防火墻主要防止外部用戶訪問內(nèi)部網(wǎng)絡并且限制內(nèi)部用戶非授權的操作。
在以上3個區(qū)域中,雖然內(nèi)部網(wǎng)絡和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡的一部分,但他們的安全級別不同,對于要保護的大部分內(nèi)部網(wǎng)絡,一般禁止所有來自Internet用戶的訪問;而企業(yè)DMZ區(qū),限制則沒有那么嚴格。
3.2.3 VPN技術
VPN(Virtual Private Network)虛擬專用網(wǎng)絡,一種通過公用網(wǎng)絡安全地對企業(yè)內(nèi)部專用網(wǎng)絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間就好像架設了一條專線,但它并不需要真正地去鋪設光纜之類的物理線路。
企業(yè)用戶采用VPN技術來構(gòu)建其跨越公共網(wǎng)絡的內(nèi)聯(lián)網(wǎng)系統(tǒng),與Internet進行隔離,控制內(nèi)網(wǎng)與Internet的相互訪問。VPN設備放置于內(nèi)部網(wǎng)絡與路由器之間,將對外服務器放置于VPN設備的DMZ口與內(nèi)部網(wǎng)絡進行隔離,禁止外網(wǎng)直接訪問內(nèi)網(wǎng),控制內(nèi)網(wǎng)的對外訪問。
3.3 應用系統(tǒng)安全
企業(yè)應用系統(tǒng)安全包括兩方面。一方面涉及用戶進入系統(tǒng)的身份鑒別與控制,對安全相關操作進行審核等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、Web、FTP服務、E-MAIL等
病毒防護是企業(yè)應用系統(tǒng)安全的重要組成部分,企業(yè)在構(gòu)建網(wǎng)絡防病毒系統(tǒng)時,應全方位地布置企業(yè)防毒產(chǎn)品。
在網(wǎng)絡骨干接入處,安裝防毒墻,對主要網(wǎng)絡協(xié)議(SMTP、FTP、HTTP)進行殺毒處理;在服務器上安裝單獨的服務器殺毒產(chǎn)品,各用戶安裝網(wǎng)絡版殺毒軟件客戶端;對郵件系統(tǒng),可采取安裝專用郵件殺毒產(chǎn)品。
4 結(jié)束語
該文從網(wǎng)絡安全及其建設原則進行了論述,對企業(yè)網(wǎng)絡安全建設的解決方案進行了探討和總結(jié)。石化企業(yè)日新月異,網(wǎng)絡安全管理任重道遠,網(wǎng)絡安全已成為企業(yè)安全的重要組成部分、甚而成為企業(yè)的本質(zhì)安全。加強網(wǎng)絡安全建設,確保網(wǎng)絡安全運行勢在必行。
參考文獻:
[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010.
[2] 王文壽. 網(wǎng)管員必備寶典――網(wǎng)絡安全[M]. 北京:清華大學出版社,2007.
隨著計算機信息技術的高速發(fā)展,人們工作、生活越來越離不開網(wǎng)絡,網(wǎng)絡是企業(yè)辦公的重要信息載體和傳輸渠道。網(wǎng)絡的普及不但提高了人們的工作效率,微信等通訊工具使人們通訊和交流變得越來越簡單,各種云端存儲使海量信息儲存成為現(xiàn)實。
2石油行業(yè)信息網(wǎng)絡安全管理存在的安全隱患
無論是反病毒還是反入侵,或者對其他安全威脅的防范,其目的主要都是保護數(shù)據(jù)的安全———避免公司內(nèi)部重要數(shù)據(jù)的被盜或丟失、無意識泄密、違反制度的泄密、主動泄密等行為。
2.1外部非法接入。
包括客戶、訪客、合作商、合作伙伴等在不經(jīng)過部門信息中心允許情況下與油田公司網(wǎng)絡的連接,而這些電腦在很多時候是游離于企業(yè)安全體系的有效管理之外的。
2.2局域網(wǎng)病毒、惡意軟件的泛濫。
公司內(nèi)部員工對電腦的了解甚少,沒有良好的防范意識,造成病毒、惡意軟件在局域網(wǎng)內(nèi)廣泛傳播以至于影響到網(wǎng)絡系統(tǒng)的正常運行。
2.3資產(chǎn)管理失控。
網(wǎng)絡用戶存在不確定性,每個資產(chǎn)硬件配件(cpu、硬盤、內(nèi)存等)隨意拆卸組裝,隨意更換計算機系統(tǒng),應用軟件安裝混亂,外設(U盤、移動硬盤等)無節(jié)制使用。
2.4網(wǎng)絡資源濫用。
IP未經(jīng)允許被占用,違規(guī)使用,瘋狂下載電影占用網(wǎng)絡帶寬和流量,上班時間聊天、游戲等行為,影響網(wǎng)絡的穩(wěn)定,降低了運行效率。
3常用技術防范措施與應用缺陷
3.1防火墻技術。
目前,防火墻技術已經(jīng)成為網(wǎng)絡中必不可少的環(huán)節(jié),通過防火墻技術,實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離,使用有效的安全設置一定程度上保障了企業(yè)局域網(wǎng)的安全。
3.2計算機病毒防護技術。
即通過建立SYMANTEC網(wǎng)絡防病毒軟件系統(tǒng),為企業(yè)內(nèi)部員工提供有效的桌面安全防護技術手段,提高了計算機終端防病毒與查殺病毒的能力。
3.3入侵檢測系統(tǒng)。
入侵檢測幫助辦公計算機系統(tǒng)應對網(wǎng)絡攻擊,提高了系統(tǒng)安全管理員的管理能力,保持了信息安全基礎結(jié)構(gòu)的完整性。從網(wǎng)絡中的各個關鍵點收集和分析信息,確認網(wǎng)絡中是否存在違反安全策略的行為和遭到網(wǎng)絡攻擊的可疑跡象。
3.4應用網(wǎng)絡分析器檢測網(wǎng)絡運行狀況。
部署如Sniffer等掃描工具,通過其對網(wǎng)絡中某臺主機或整個網(wǎng)絡的數(shù)據(jù)進行檢測、分析、診斷、將網(wǎng)絡中的故障、安全、性能問題形象地展現(xiàn)出來。為監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況等提供了有效的管理手段。
3.5交換機安全管理配置策略。
綜合評估石油企業(yè)網(wǎng)絡,在節(jié)點設備部署上以可控設備為主,通常的可控設備都具備遵循標準協(xié)議的網(wǎng)絡安全方案。較為常用的安全策略包括IP與MAC綁定、ACL訪問控制、QOS等。通過一系列的安全策略,有效提高了對企業(yè)網(wǎng)絡的管理。
3.6部署內(nèi)網(wǎng)安全管理系統(tǒng)。
目前,企業(yè)局域網(wǎng)的安全威脅70%來自于內(nèi)部員工的計算機。針對計算機終端桌面存在的問題,目前出現(xiàn)的主流產(chǎn)品是內(nèi)網(wǎng)安全管理系統(tǒng)。其采取C/S架構(gòu),實現(xiàn)對網(wǎng)絡終端的強制性管理方法。后臺管理中心采取B/S結(jié)構(gòu),實現(xiàn)與管理終端交互式管控。
4多種技術措施聯(lián)動,保障網(wǎng)絡與信息安全
4.1網(wǎng)絡邊界管理
①防火墻。通過包過濾技術來實現(xiàn)允許或阻隔訪問與被訪問的對象,對通過內(nèi)容進行過濾以保護用戶有效合法獲取網(wǎng)絡信息;通過防火墻上的NAT技術實現(xiàn)內(nèi)外地址動態(tài)轉(zhuǎn)換,使需要保護的內(nèi)部網(wǎng)絡主機地址映射成防火墻上的為數(shù)不多的互聯(lián)網(wǎng)IP地址。②入侵檢測系統(tǒng)。入侵檢測作為防火墻的合理補充,幫助辦公計算機系統(tǒng)應對網(wǎng)絡攻擊,提高了系統(tǒng)安全管理員的管理能力,保持了信息安全基礎結(jié)構(gòu)的完整性。③防病毒系統(tǒng)。應用防病毒技術,建立全面的網(wǎng)絡防病毒體系;在網(wǎng)絡中心或匯聚中心選擇部署諸如Symantec等防病毒服務器,按照分級方式,實行服務器到終端機強制管理方式,實現(xiàn)逐級升級病毒定義文件,制定定期病毒庫升級與掃描策略,提高計算機終端防病毒與查殺病毒的能力。
4.2安全桌面管理。
桌面安全管理產(chǎn)品能夠解決網(wǎng)絡安全管理工作中遇到的常見問題。在網(wǎng)絡安全管理中提高了對計算機終端的控制能力,企業(yè)桌面安全管理系統(tǒng)包括區(qū)域配置管理、安全策略、補丁分發(fā)、數(shù)據(jù)查詢、終端管理、運維監(jiān)控、報表管理、報警管理、級聯(lián)總控、系統(tǒng)維護等。
4.3網(wǎng)絡信息管理。
對于網(wǎng)絡信息要按等級采取相應必要的隔離手段:①建立專網(wǎng),達到專網(wǎng)專用;②信息通過技術手段進行加密管理;③信息與互聯(lián)網(wǎng)隔離。
4.4網(wǎng)絡安全管理防范體系。
根據(jù)防范網(wǎng)絡安全攻擊的需求、對應安全機制需要的安全服務等因素以及需要達到的安全目標,參照“系統(tǒng)安全工程能力成熟模型”和信息安全管理標準等國際標準。
5結(jié)束語
關鍵詞:全局安全;校園網(wǎng);安全體系
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校園網(wǎng)作為高校信息化的重要基礎,承擔著學校教學、科研、管理和社會服務等重要角色,給教師和學生的工作、學習、生活帶來了很多便利。但當今校園網(wǎng)面臨著嚴峻的威脅網(wǎng)絡安全問題,目前面對威脅,應對問題的主要技術有身份認證技術、入侵檢測技術、防火墻技術、防病毒技術等。這些技術都只是針對局部威脅的安全措施,無法保障校園網(wǎng)的整體安全。因此,新的校園網(wǎng)安全思路,注重從“局部防御”到“整體防范”的轉(zhuǎn)變,將安全理念融合到網(wǎng)絡基礎架構(gòu)中,依靠多種安全組件聯(lián)動,實現(xiàn)整體網(wǎng)絡的安全,即全局安全解決方案。
1 農(nóng)職院網(wǎng)絡安全現(xiàn)狀
廣西農(nóng)業(yè)職業(yè)技術學院校園網(wǎng)始建于2002年,通過100M鏈路CERNET、30M電信鏈路接入Internet,己形成覆蓋教學、科研、辦公、宿舍等區(qū)域的所有建筑物,“千兆主干、百兆到桌面”的網(wǎng)絡帶寬格局。計算機網(wǎng)絡自身的開放性、互聯(lián)性和共享性,使之不可避免地會受到病毒、黑客、木馬等安全威脅和攻擊,校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡癱瘓的情形常有發(fā)生。其原因主要如下:
① 缺乏有效的身份管理系統(tǒng)
校園網(wǎng)缺少用戶身份認證機制,外來用戶、非法用戶隨意接入;缺少可控的身份集中認證系統(tǒng),對用戶進行管理難度大;用戶賬號存在被盜用的風險,安全審計無法有效進行,在實際發(fā)生問題后不能夠迅速定位及取證分析。
② 無法保證用戶終端合法性
Windows系列系統(tǒng)存在致命漏洞,系統(tǒng)補丁沒有及時更新;沒有按要求安裝殺毒軟件,安裝后從來不升級或者從來不主動查殺;隨意下載違禁軟件,不規(guī)范使用網(wǎng)絡;上述問題造成了病毒和攻擊在校園網(wǎng)內(nèi)泛濫,嚴重影響正常應用。
③ 網(wǎng)絡安全無法有效控制
校園網(wǎng)內(nèi)部分用戶出于對網(wǎng)絡的好奇,經(jīng)常會用學習到的各種方法,非法攻擊校園網(wǎng)絡核心設備及應用系統(tǒng),嚴重影響校園網(wǎng)絡的安全穩(wěn)定運行和校園管理秩序。目前互聯(lián)網(wǎng)上相關的黑客工具種類繁多、功能豐富、設置簡單、使用方便、破壞力大,給這類學生提供了攻擊的便利。
2 全局安全校園網(wǎng)絡的設計
校園網(wǎng)全局安全理念,由銳捷網(wǎng)絡公司于2005年提出,即GSN( Global Security Network),由安全交換機、安全管理平臺、安全計費管理系統(tǒng)、網(wǎng)絡入侵檢測系統(tǒng)、安全修復系統(tǒng)等多重網(wǎng)絡元素聯(lián)合組成,能實現(xiàn)同一網(wǎng)絡環(huán)境下的全局聯(lián)動,使每個設備都發(fā)揮安全防護作用的新型網(wǎng)絡安全模式。具體構(gòu)架如圖1所示,其由三個層面、五個部分組成。
hx01.tif
圖1 全局安全網(wǎng)絡
校園網(wǎng)全局安全方案通過將校園網(wǎng)用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡帶寬分配、嵌入式安全機制集成起來,從而對網(wǎng)絡安全威脅的自動防御,網(wǎng)絡受損系統(tǒng)的自動修復,同時可針對網(wǎng)絡環(huán)境的變化和新的網(wǎng)絡行為自動學習,達到對未知網(wǎng)絡安全事件防范目的。其工作原理如下:
1) 用戶使用網(wǎng)絡之前,首先由接入的交換機+SAM對其進行身份認證。
2) SAM檢查用戶身份,批準或拒絕用戶的接入請求。
3) SAM學習用戶的身份、主機環(huán)境等信息,并將制定好的策略發(fā)送多SU客戶端。
4) SU對用戶主機進行健康性檢查,并將檢查結(jié)果反饋回SMP服務器。
5) IDS對網(wǎng)絡安全事件進行檢測收集,將安全事件報告給SEP(安全事件解析器),并由SEP反饋至SMP。
6) SMP對IDS反饋的安全事件進行統(tǒng)一管理,將安全事件關聯(lián)至用戶。
7) SMP對每個用戶的健康性檢測結(jié)果和安全事件進行處理,生成相應的策略,并下發(fā)至交換機執(zhí)行。
3 全局安全網(wǎng)絡在我院的部署
根據(jù)校園網(wǎng)全局安全設計方案,可把服務器部署在校園網(wǎng)的服務器群中,而IDS的傳感器則可根據(jù)需要部署在核心或者匯聚層上,越靠近邊緣則效果越好,而安全智能交換機則要部署在接入層,保障客戶的安全。構(gòu)建好的廣西農(nóng)職院部署的典型拓撲如圖2所示。
hx02.tif
圖2 典型的全局安全校園網(wǎng)部署拓撲圖
3.1 身份認證系統(tǒng)的部署
作為全局安全的身份基礎平臺,SAM系統(tǒng)實現(xiàn)了廣西農(nóng)業(yè)職業(yè)技術學院全體學生宿舍、教師宿舍、辦公和公共機房身份認證。該系統(tǒng)基于802.lx技術,實現(xiàn)了對用戶的身份和IP、MAC、交換機端口、交換機IP等信息嚴格綁定。 SAM系統(tǒng)提供的完善的計費運營功能,為校園網(wǎng)運營提供了足夠的數(shù)據(jù)支撐。通過該系統(tǒng)的部署,有效的防止了IP地址盜用,極大的減輕了校園網(wǎng)管理的運營負擔,并為全局網(wǎng)絡安全提供了基礎身份平臺。如圖3。
其次,SAM提供了完善的自助服務系統(tǒng),包括快捷注冊,個人信息、密碼進行修改,上網(wǎng)明細、交費記錄、余額查詢,在線充值、注銷用戶等功能。不但方便了終端用戶繳費,同時也極大地減輕管理者的管理和收費工作負擔,有效緩解學生繳費和學校收費的矛盾。而入網(wǎng)身份驗證的多元素綁定,也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生,用戶漫游功能,實現(xiàn)了用戶在不同地區(qū)認證上網(wǎng)的需求。
hx03.tif
圖3 身份認證
3.2 安全管理平臺的部署
關鍵詞:跨區(qū)IP專用網(wǎng)絡;網(wǎng)絡安全防范;網(wǎng)絡安全防范方案
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 09-0000-01
Cross-IP Specific Network Security System
Zheng Haoyu
(School of Computer,Electronic and Information,Guangxi University,Nanning530004,China)
Abstract:The Internet's open communications protocol with security holes,combined with data storage and access of its distribution and processing characteristics of the network environment,the network is vulnerable to security attacks,the attacker only attacks that may result in network transmission of data information disclosure or destruction.
Shows that a single network security products or security technology and a variety of security products sufficient to ensure network security.
And build cross-IP private network security system,network system will be able to find out all the unsafe part of security vulnerabilities,and take corresponding measures to control,effectively ensure the security of network information and the system running.
Keywords:Cross-IP private network;Network security;Network security program
跨區(qū)IP專用網(wǎng)絡是內(nèi)部管理及對外交流的重要平臺。但在進行信息資源共享的同時,跨區(qū)IP專用網(wǎng)絡系統(tǒng)卻也處于被病毒攻擊侵害的威脅,隨時都可能出現(xiàn)信息丟失、數(shù)據(jù)損壞、系統(tǒng)癱瘓的局面。所以,我們要對跨區(qū)IP專用網(wǎng)絡的安全的框架體系、安全防范的層次結(jié)構(gòu)進行細致的分析研究,合理的設計設置,提高跨區(qū)網(wǎng)絡安全防范水平,減少系統(tǒng)與數(shù)據(jù)的安全風險。
一、跨區(qū)IP專用網(wǎng)絡安全存在的問題
(一)網(wǎng)絡缺陷
IP專用網(wǎng)絡不可或缺的TCP/IP協(xié)議,沒有相應的安全保障機制,而且最初設計因特網(wǎng)時考慮的是局部故障不會影響信息的傳輸,幾乎沒有意識到安全問題。因此,在安全可靠性及服務質(zhì)量等方面它存在不適應性。
(二)系統(tǒng)漏洞
網(wǎng)絡系統(tǒng)安全性取決于網(wǎng)絡各主機系統(tǒng)的安全性,而各主機系統(tǒng)的安全性又是由操作系統(tǒng)的安全性所決定的。這也是網(wǎng)絡容易被人為破壞的不安全因素。
(三)病毒傳播
大多數(shù)病毒具有傳播快,擴散廣,難以防范,難于清除徹底等特點。令人防不勝防。
(四)黑客入侵
黑客借助挖掘邏輯漏洞,采用欺騙手段進行信息搜集,尋找薄弱環(huán)節(jié)和介入機會,迅速竊取到網(wǎng)絡用戶的身份信息,進而實施對整個網(wǎng)絡的入侵和攻擊,致使內(nèi)部信息被盜,甚至機密泄露。
二、跨區(qū)IP專用網(wǎng)絡安全防范體系設計思路
安全服務、系統(tǒng)單元、結(jié)構(gòu)層次的分項交叉的三維立體的框架結(jié)構(gòu)設計,能使網(wǎng)絡安全防范體系更具備科學性和可行性。
(一)體系框架設計思路
框架結(jié)構(gòu)中每個系統(tǒng)單元都要與某個協(xié)議層次相對應,并采取多種安全服務以保證其系統(tǒng)單元的安全性;網(wǎng)絡平臺要有網(wǎng)絡節(jié)點之間的認證和訪問控制;應用平臺要有針對用戶的認證和訪問控制;數(shù)據(jù)傳輸要保證完整性和保密性;應用系統(tǒng)要保證可用性和可靠性;要有抗抵賴及審計功能。這樣一個在各個系統(tǒng)單元都有對應的安全措施滿足其安全需求的信息網(wǎng)絡系統(tǒng),應該是安全的。
(二)體系層次設計思路
作為整體的、全方位的網(wǎng)絡安全防范體系,不僅要對橫向系統(tǒng)單元進行防范設計,還需對其縱向進行分層次考量。針對不同層次所反映的不同安全問題,根據(jù)網(wǎng)絡應用現(xiàn)狀情況及網(wǎng)絡結(jié)構(gòu),可將安全防范體系的層次劃分為物理環(huán)境的安全性、操作系統(tǒng)的安全性、網(wǎng)絡的安全性、應用的安全性、管理的安全性等。
三、構(gòu)建跨區(qū)IP專用網(wǎng)絡安全防范體系方案
(一)安全組件
1.路由器:通過在路由器上安裝必要的過濾,濾掉被屏蔽的IP地址與服務協(xié)議,并屏蔽存在安全隱患的協(xié)議。
2.入侵監(jiān)測系統(tǒng):監(jiān)測網(wǎng)絡上的所有包,捕捉有惡意或危險的目標,及時發(fā)出警告。
3.防火墻:可以防止“黑客”入侵網(wǎng)絡防御體系,限制外部用戶進入內(nèi)部網(wǎng),并過濾掉可能危及網(wǎng)絡的不安全服務,拒絕非法用戶進入。
4.物理隔離與信息交換系統(tǒng):具有比防火墻和入侵檢測技術更強的安全性能。對內(nèi)部網(wǎng)絡和不可信網(wǎng)絡實行物理隔斷,阻止各種已知與未知網(wǎng)絡層及操作系統(tǒng)層的攻擊。
5.交換機:利用訪問控制列表,實現(xiàn)用戶以不同要求進行的對數(shù)據(jù)包源和目的地址和協(xié)議以及源和目的端口各項的篩選與過濾。
6.應用系統(tǒng)的認證和授權支持:實行在輸入級、對話路徑級與事務處理三級無漏洞。使集成的系統(tǒng)具有良好恢復能力,避免系統(tǒng)因受攻擊而癱瘓、數(shù)據(jù)被破壞或丟失。
(二)安全設計
可有效利用和發(fā)揮系統(tǒng)平臺自身的安全環(huán)節(jié),保證系統(tǒng)及數(shù)據(jù)庫的使用安全。
1.身份標識和鑒別:計算機初始時,系統(tǒng)首先會對用戶標識的身份及提供的證明依據(jù)進行鑒別。
2.訪問控制:分“自主訪問控制”與“強制訪問控制”兩種?!白灾髟L問控制”Unix及Windows NT操作系統(tǒng)都使用DAC?!皬娭圃L問控制”能防范特洛伊木馬,阻止用戶濫用權限,具備更高的安全性。
3.審計:安全系統(tǒng)使用審計把包括主題與對象標識、日期和時間、訪問權限請求、參考請求結(jié)果等活動信息記錄下來。
(三)安全機制
采用有針對性的技術,提高系統(tǒng)的安全可控性,以建立高度安全的信息系統(tǒng)。
1.安全審核:通過完善系統(tǒng)基本安全設計,包括安全機制的實現(xiàn)和使用,增強了系統(tǒng)安全性,如設置網(wǎng)絡掃描器,對系統(tǒng)運行周期性安全問題進行統(tǒng)計分析,研判針對性方案節(jié)省防護投入提高使用功效。
2.信息加密:增設可信系統(tǒng)內(nèi)部加密存儲、跨越不可信系統(tǒng)在可信系統(tǒng)間傳輸受控信息等機制。考慮建設環(huán)境和經(jīng)費預算控制,結(jié)合使用自建CA與第三方CA對專用網(wǎng)絡通道進行加密認證,常應用信息加密技術和基于加密與通道技術上的VPN系統(tǒng)。
3.災難恢復:對重要數(shù)據(jù)定期進行備份,保證重要數(shù)據(jù)在系統(tǒng)出現(xiàn)故障時仍能準確無誤。
四、結(jié)束語
保證跨區(qū)IP專用網(wǎng)絡安全,需要在采用相應的技術措施的基礎上,加強網(wǎng)絡安全管理;制定相關的規(guī)章制度、使用規(guī)程以及應急措施,在提高工作人員的業(yè)務能力的同時,增強網(wǎng)絡安全防范意識、保密觀念與責任心,使網(wǎng)絡安全防范體系有效發(fā)揮作用;引入安全風險評估體系,定期進行風險評估和檢查,對內(nèi)外部環(huán)境變化產(chǎn)生的新安全問題進行快速評估以改進完善安全設計方案,建立專用網(wǎng)絡安全的長效機制。
參考文獻:
[1]賈金嶺.構(gòu)建跨區(qū)IP專用網(wǎng)絡安全防范體系的探討[J].網(wǎng)絡與信息.2010,5
[2]徐濤.網(wǎng)絡安全防范體系及設計原則分析[J].電腦知識與技術,2009,9