緒論：在尋找寫作靈感嗎？愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全方案，愿這些內(nèi)容能夠啟迪您的思維，激發(fā)您的創(chuàng)作熱情，歡迎您的閱讀與分享！

篇1

關(guān)鍵詞 計算機 網(wǎng)絡(luò)安全 方案

中圖分類號：TP3 文獻標(biāo)識碼：A

我國關(guān)于網(wǎng)絡(luò)方面的基礎(chǔ)設(shè)施建設(shè)已經(jīng)初步成型，而網(wǎng)上進行的各種業(yè)務(wù)也越來越多，保證網(wǎng)絡(luò)環(huán)境的安全，正常應(yīng)用網(wǎng)絡(luò)已成為各企業(yè)正常開展業(yè)務(wù)基礎(chǔ)工作。各企業(yè)只有建立起安全的網(wǎng)絡(luò)安全方案就要了解計算機用戶安全環(huán)境、現(xiàn)狀與威脅，才能按照用戶需求，進行網(wǎng)絡(luò)安全方案的設(shè)計。網(wǎng)絡(luò)安全問題十分復(fù)雜，包括加密、防火墻及防病毒等網(wǎng)絡(luò)安全方案。

1網(wǎng)絡(luò)用戶的安全需求

1.1網(wǎng)絡(luò)環(huán)境

網(wǎng)絡(luò)環(huán)境包括計算機系統(tǒng)內(nèi)部與行業(yè)間互聯(lián)網(wǎng)。

1.2網(wǎng)絡(luò)安全現(xiàn)狀

（1）計算機系統(tǒng)在企業(yè)內(nèi)部通信、行業(yè)間通信，都缺少安全防護的措施，僅有部分單位對路由器設(shè)計了 過濾防火墻。

（2）計算機操作系統(tǒng)一般為UNIX和Windows NT，而桌面的操作系統(tǒng)都是Windows XP或者Win7，都沒有設(shè)置安全保護的措施。

（3）計算機系統(tǒng)訪問的控制能力不強，只能對現(xiàn)有操作、數(shù)據(jù)庫、電子郵件及應(yīng)用方面的系統(tǒng)進行簡單的利用。

（4）計算機的應(yīng)用環(huán)境沒有防病毒的能力，尤其在病毒數(shù)據(jù)庫更新上滯后。

（5）對病毒的內(nèi)部或者外部的攻擊，沒有基本監(jiān)控和保護的手段。

1.3網(wǎng)絡(luò)安全的威脅

對計算機網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)進行分析，可以發(fā)現(xiàn)，計算機網(wǎng)絡(luò)安全的威脅主要有以下幾個方面：

（1）UNIX和WindowsNT等類別的操作系統(tǒng)有網(wǎng)絡(luò)安全上的漏洞。

（2）企業(yè)內(nèi)部網(wǎng)的用戶帶來的安全威脅。

（3）企業(yè)外部的用戶帶來的安全威脅。

（4）應(yīng)用了TCP/IP協(xié)議軟件，不具備安全性。

（5）缺少對應(yīng)用服務(wù)的訪問控制，就要解決網(wǎng)絡(luò)中的安全隱患，才能保障網(wǎng)絡(luò)和信息安全。

2網(wǎng)絡(luò)方案的設(shè)計思想和原則

2.1網(wǎng)絡(luò)方案的設(shè)計思想

網(wǎng)絡(luò)安全是十分復(fù)雜的問題，一定要考慮到安全的層次和技術(shù)的難度，充分考慮費用的支出，所以，進行方案的設(shè)計時一定要遵循一定的設(shè)計思想，主要有幾下幾點：

（1）提高計算機系統(tǒng)安全性與保密性。

（2）保證網(wǎng)絡(luò)性能特點，也就是保證網(wǎng)絡(luò)協(xié)議與傳輸?shù)耐该餍浴?/p>

（3）網(wǎng)絡(luò)安全設(shè)計要易操作，易維護，要易于開展自動化的管理，不能過多過少增加一些附加的操作。

（4）在不影響網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)時，擴展計算機系統(tǒng)的結(jié)構(gòu)和功能。

（5）設(shè)計要做到一次投資，長期使用。

2.2網(wǎng)絡(luò)方案的設(shè)計原則

（1）遵循需求、風(fēng)險和代價平衡原則，對網(wǎng)絡(luò)進行研究，對風(fēng)險進行承擔(dān)，經(jīng)過分析和研究，制定規(guī)范與措施。

（2）遵循綜合與整體的原則，將網(wǎng)絡(luò)安全模塊與設(shè)備引進系統(tǒng)的運行與管理中，提高系統(tǒng)安全性和各部分間邏輯的關(guān)聯(lián)性，保證協(xié)調(diào)一致運行。

（3）遵循可用性和無縫接入的原則。所有安全措施都要靠人來完成，如果設(shè)計太復(fù)雜，就會對人有過高要求。安全設(shè)備在安裝和運行中，不能改變網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)，要保持對網(wǎng)絡(luò)內(nèi)用戶的透明性。

（4）遵循設(shè)備先進和成熟，可管理和擴展。在安全設(shè)備選擇上，要先考慮到先進性，研究成熟性，選擇技術(shù)與性能優(yōu)越的設(shè)備，可靠和適用的設(shè)備。保持網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理和控制，實現(xiàn)網(wǎng)上對設(shè)備運行的監(jiān)控。

3計算機網(wǎng)絡(luò)安全方案

根據(jù)以上設(shè)備思想和原則，進行計算機網(wǎng)絡(luò)安全方案的研究，方案使用的技術(shù)和設(shè)備、措施主要有以下幾點：

3.1 VLAN的技術(shù)

要保證企業(yè)局域網(wǎng)安全，就要選擇VLAN能力交換機的設(shè)備，通過用戶群組與系統(tǒng)資源完成訪問權(quán)限的劃分。可以控制各VLAN間信息的流向，方便各群組對相關(guān)信息的訪問。

3.2加密的技術(shù)

可以使用公共網(wǎng)進行數(shù)據(jù)的傳輸。廣域網(wǎng)進行信息傳輸很容易被黑客截取與利用，所以，要保證信息傳輸安全，就要在內(nèi)聯(lián)網(wǎng)系統(tǒng)中使用鏈路加密機，進行傳輸信息的加密處理，對運行在互聯(lián)網(wǎng)上關(guān)鍵的業(yè)務(wù)也要進行加密的算法進行數(shù)據(jù)加密。

3.3防火墻

從網(wǎng)絡(luò)系統(tǒng)安全考慮，可以在內(nèi)聯(lián)網(wǎng)和同行業(yè)進行網(wǎng)絡(luò)互聯(lián)，在網(wǎng)上布置防火墻，而防火墻的網(wǎng)絡(luò)入口點也要檢查好網(wǎng)絡(luò)通訊情況，對非法入侵要屏蔽處理。

3.4對入侵的檢測系統(tǒng)

通過防火墻技術(shù)，對內(nèi)外網(wǎng)進行網(wǎng)絡(luò)保護，減少網(wǎng)絡(luò)的安全風(fēng)險?？墒?，入侵會尋找防火墻的后門。近年來，推出了入侵的檢測系統(tǒng)，這是一種新型的網(wǎng)絡(luò)安全技術(shù)，可以實時進行入侵的檢測，應(yīng)用防護的手段，對待入侵，可以快速斷開網(wǎng)絡(luò)的連接。

3.5安全掃描系統(tǒng)

安全掃描系統(tǒng)在階段已經(jīng)是最先進的安全系統(tǒng)，可以測試與評價系統(tǒng)是否安全，及時發(fā)現(xiàn)安全漏洞。可以掃描設(shè)定網(wǎng)絡(luò)服務(wù)器和路由器等，設(shè)定模擬的攻擊，測試系統(tǒng)防御的能力。

3.6提高操作系統(tǒng)安全性

操作系統(tǒng)會存在安全漏洞，越是流行操作系統(tǒng)就存在越多的問題，可以進行安全增強與合理配置，具體增強與配置的內(nèi)容有以下幾點：

（1）可以跟蹤系統(tǒng)的應(yīng)用動態(tài)，增加安全補丁。

（2）可以檢查系統(tǒng)的設(shè)置，對數(shù)據(jù)存放的方式和訪問的控制及口令的選擇都要及時更新。

（3）可以把系統(tǒng)安全級別設(shè)置到最高級。

篇2

關(guān)鍵詞：NGN；網(wǎng)絡(luò)；安全

中圖分類號：TN915.08 文獻標(biāo)識碼：A 文章編號：1007-9599 (2011) 18-0000-01

Analysis of NGN Network Security Solutions

Xu Wentian

(China Tietong,Guangxi Branch,Nanning 530003,China)

Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.

Keywords:NGN;Network;Security

一、引言

正如Internet一樣，NGN網(wǎng)絡(luò)所依托的數(shù)據(jù)網(wǎng)的開放性和公用性，不可避免地會受到黑客或病毒程序的攻擊或干擾，因此NGN也面臨著安全問題，如用戶仿冒、盜打、破壞服務(wù)、搶占資源等。為此NGN網(wǎng)絡(luò)必須從接入層保證用戶的隔離、可管理等基本措施，防范常見的攻擊手段，如地址仿冒、搶占資源。

二、NGN網(wǎng)絡(luò)安全方案概述

NGN網(wǎng)絡(luò)是一個可運營、可管理的網(wǎng)絡(luò)，必然需要解決網(wǎng)絡(luò)安全問題才可以保證網(wǎng)絡(luò)的可靠運營。要解決網(wǎng)絡(luò)的安全問題，最好先考察一下目前存在網(wǎng)絡(luò)安全問題的根源，從消除這些完全問題的根源入手來達到徹底解決安全問題的目的。從目前的Internet網(wǎng)絡(luò)安全的分析，我們知道Internet是一個不安全的網(wǎng)絡(luò)，Internet的自由開放是造成Internet安全問題的重要因素。因此要保證所構(gòu)建的NGN是安全的，就必須改變這種自由、開放的管理模式加強對用戶接入的管理。通過對現(xiàn)有網(wǎng)絡(luò)安全的研究，我們也可以發(fā)現(xiàn)在網(wǎng)絡(luò)接入方面的自由開放是造成網(wǎng)絡(luò)安全隱患的重要根源，同樣是分組技術(shù)，Internet網(wǎng)絡(luò)就存在重大的安全隱患，而X.25等網(wǎng)絡(luò)就能夠提供比較高的安全性，因此有必要在NGN接入層對用戶接入和業(yè)務(wù)使用進行嚴(yán)格的控制，用戶必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證才可以接入NGN網(wǎng)絡(luò)，用戶的業(yè)務(wù)使用也必須經(jīng)過嚴(yán)格的鑒權(quán)和認(rèn)證，網(wǎng)絡(luò)可以根據(jù)用戶的業(yè)務(wù)權(quán)限控制用戶的接入帶寬。當(dāng)NGN網(wǎng)絡(luò)的接入用戶受控之后，在用戶側(cè)就可以基本消除安全的隱患，這時NGN網(wǎng)絡(luò)可能存在的安全隱患主要來自NGN網(wǎng)絡(luò)內(nèi)部，一方面在運營商內(nèi)部發(fā)生網(wǎng)絡(luò)安全問題的可能性比較小，另一方面這時可以通過實施通用網(wǎng)絡(luò)安全技術(shù)，如在網(wǎng)絡(luò)設(shè)備前置防火墻、攻擊檢測等防護設(shè)備，對網(wǎng)絡(luò)設(shè)備訪問權(quán)限進行控制和做好操作安全日志等手段解決可能發(fā)生的安全隱患。

（一）對NGN用戶接入和業(yè)務(wù)接入的控制

因為NGN網(wǎng)絡(luò)用戶是NGN網(wǎng)絡(luò)安全隱患的重要源頭，在NGN接入網(wǎng)絡(luò)側(cè)對NGN用戶接入和業(yè)務(wù)接入實施嚴(yán)格的控制是保證NGN網(wǎng)絡(luò)安全的重要一環(huán)。在NGN接入網(wǎng)主要采用用戶身份驗證、業(yè)務(wù)鑒權(quán)和訪問控制等手段來實現(xiàn)對用戶接入和業(yè)務(wù)接入的控制。

對用戶接入和業(yè)務(wù)接入的控制主要涉及到NGN網(wǎng)絡(luò)系統(tǒng)中的三類網(wǎng)絡(luò)實體：寬帶接入服務(wù)器和寬帶接入路由器作為用戶訪問NGN的PoP點，負(fù)責(zé)對用戶進行接入認(rèn)證、訪問控制、接入帶寬控制和業(yè)務(wù)報文的過濾，是NGN實施對用戶接入控制的關(guān)口點；軟交換和應(yīng)用服務(wù)器和網(wǎng)關(guān)等是NGN網(wǎng)絡(luò)業(yè)務(wù)提供設(shè)備，他們負(fù)責(zé)向用戶進行業(yè)務(wù)權(quán)限鑒權(quán)和提供各種業(yè)務(wù)；策略服務(wù)器負(fù)責(zé)用戶的安全、QoS與業(yè)務(wù)方面的策略控制，它還是業(yè)務(wù)層面與承載層面的橋梁，把來自業(yè)務(wù)層面的控制策略下發(fā)到承載層接入PoP點，如寬帶接入服務(wù)器來實施策略控制。

1.用戶身份驗證。對用戶身份進行認(rèn)證的目的，一方面是避免非法用戶訪問NGN網(wǎng)絡(luò)，另一方面是確認(rèn)用戶的身份，對用戶的訪問進行日志記錄，即使出現(xiàn)網(wǎng)絡(luò)安全問題也可以進行事后的審計和追蹤，使網(wǎng)絡(luò)破壞者無處可逃。

2.業(yè)務(wù)鑒權(quán)。用戶接入NGN網(wǎng)絡(luò)之后在使用業(yè)務(wù)之前必須經(jīng)過業(yè)務(wù)認(rèn)證，這樣可以保證NGN上提供的業(yè)務(wù)不會被非法使用，運營商也可以根據(jù)用戶使用的具體業(yè)務(wù)分別進行計費和為用戶設(shè)定不同的訪問權(quán)限和帶寬需求。

3.訪問控制。寬帶接入服務(wù)器和寬帶路由器是NGN接入的POP點，這個點是實施QoS與安全策略控制的關(guān)口，在這個關(guān)口上完成對用戶的帶寬限定、ACL訪問權(quán)限設(shè)置、業(yè)務(wù)流量的報文過濾等功能。訪問控制的實現(xiàn)采用動態(tài)QoS與安全策略控制技術(shù)，動態(tài)地根據(jù)用戶當(dāng)前的業(yè)務(wù)權(quán)限進行相應(yīng)的QoS與安全控制，避免了用戶對NGN網(wǎng)絡(luò)的非法訪問。

（二）構(gòu)建與其它網(wǎng)絡(luò)隔離的虛擬NGN業(yè)務(wù)網(wǎng)

1.城域網(wǎng)。對于建立IP城域網(wǎng)的運營商，可以通過FTTB+LAN、ADSL、專線（DDN）、HFC來接入用戶的多種業(yè)務(wù)（語音、視頻、數(shù)據(jù)），可以采用物理或邏輯接口（VLAN/PVC/DLCI）來隔離NGN業(yè)務(wù)和原有的數(shù)據(jù)業(yè)務(wù)，由城域網(wǎng)骨干/匯聚層將接入層不同的業(yè)務(wù)通過PE映射到骨干層中的MPLS VPN中或者通過策略路由器將不同的業(yè)務(wù)分流到對應(yīng)業(yè)務(wù)網(wǎng)的路由器。

2.NGN用戶接入網(wǎng)。NGN用戶可以通過多種不同的接入方式接入到NGN網(wǎng)絡(luò)，如通過AMG利用雙絞線接入NGN，智能終端和IAD可以通過以太網(wǎng)、ADSL、HFC、專線等方式接入NGN。在NGN用戶接入網(wǎng)絡(luò)側(cè)可以根據(jù)實際的網(wǎng)絡(luò)接入方式和網(wǎng)絡(luò)的實際情況采用某種接入網(wǎng)隔離技術(shù)把NGN業(yè)務(wù)與其它業(yè)務(wù)在接入網(wǎng)側(cè)進行隔離。

（三）NGN網(wǎng)絡(luò)內(nèi)部的安全措施

通過對NGN虛擬業(yè)務(wù)網(wǎng)的隔離以及接入層對用戶接入和業(yè)務(wù)使用的控制，可以基本消除來自其它網(wǎng)絡(luò)和NGN用戶方面的安全隱患，這時的安全隱患主要在NGN網(wǎng)絡(luò)內(nèi)部，雖然NGN網(wǎng)絡(luò)內(nèi)部屬于運營商內(nèi)部網(wǎng)絡(luò)相對來說發(fā)生安全問題的可能性比較小，但還是有必要采取安全手段來保證NGN內(nèi)部網(wǎng)絡(luò)的安全。

軟交換、網(wǎng)關(guān)、服務(wù)器等NGN核心網(wǎng)絡(luò)設(shè)備在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機設(shè)備，因此要求軟交換、網(wǎng)關(guān)、服務(wù)器等核心網(wǎng)絡(luò)設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機設(shè)備所具有的安全規(guī)格，可以應(yīng)用防火墻、入侵檢測、流量控制、安全日志與審計等技術(shù)實現(xiàn)對NGN核心網(wǎng)絡(luò)設(shè)備的安全防護。對于一些對安全級別要求較高的用戶還可以采用加密技術(shù)對信令和數(shù)據(jù)進行加密保護。

篇3

網(wǎng)絡(luò)系統(tǒng)嚴(yán)格遵循層次化、模塊化、扁平化的設(shè)計思想，整體采用核心、接入的二層交換架構(gòu)，支持IPv6，大大提高網(wǎng)絡(luò)通訊的效率和整體網(wǎng)絡(luò)的數(shù)據(jù)交換性能。網(wǎng)絡(luò)主體分為4個部分，分別為:(1)網(wǎng)絡(luò)核心部分:高速數(shù)據(jù)交換、高可靠、靈活網(wǎng)絡(luò)互連能力，數(shù)據(jù)交換無瓶頸。(2)網(wǎng)絡(luò)內(nèi)網(wǎng)接入部分:提供用戶快速的網(wǎng)絡(luò)訪問能力。(3)服務(wù)器部分:為服務(wù)器提供高速連接、快速訪問、負(fù)載均衡等高級應(yīng)用能力。(4)外網(wǎng)區(qū)域部分:提供高速的、安全的外網(wǎng)(intnet)接入能力，為外網(wǎng)提供網(wǎng)絡(luò)服務(wù)。(5)網(wǎng)絡(luò)安全部分:提供全方位網(wǎng)絡(luò)安全，保證網(wǎng)絡(luò)的安全性。(6)網(wǎng)絡(luò)管理部分:通過方便化、直觀化、統(tǒng)一化的網(wǎng)絡(luò)設(shè)備管理方式。

2.網(wǎng)絡(luò)防火墻系統(tǒng)設(shè)計方案

網(wǎng)絡(luò)安全是按照網(wǎng)絡(luò)協(xié)議(TCP/IP協(xié)議)的2－7層來進行劃分的，要想保證網(wǎng)絡(luò)的安全，就一定保證網(wǎng)絡(luò)協(xié)議的2至7層每一層的安全。而防火墻負(fù)責(zé)的是網(wǎng)絡(luò)協(xié)議2至4層的網(wǎng)絡(luò)安全。以下為防火墻可以實現(xiàn)的功能:第一，網(wǎng)絡(luò)隔離。將網(wǎng)絡(luò)分割為不同的網(wǎng)絡(luò)區(qū)域，進而控制不同區(qū)域之間的數(shù)據(jù)交流，作用于網(wǎng)絡(luò)協(xié)議的2－4層，把可能出現(xiàn)的安全風(fēng)險分別局限于相對獨立的網(wǎng)絡(luò)區(qū)域內(nèi)，使風(fēng)險不至于大規(guī)模擴散。第二，網(wǎng)絡(luò)協(xié)議2至4層防范攻擊的能力。TCP/IP協(xié)議本身存在弊端，沒有考慮到足夠的安全特性，因此，給網(wǎng)絡(luò)用戶帶來了諸如IP地址竊取、IP地址假冒等非常大的安全隱患，而防火墻可以彌補TCP/IP協(xié)議本身的漏洞，能夠有效地檢測和防范對2至4層的攻擊行為。第三，流量管理。首先為了保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，防火墻可以提供靈活的流量管理能力，同時要保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，還可以對4至7層的常見網(wǎng)絡(luò)協(xié)議提供某些控制和過濾的能力，例如，可以支持EMAIL的過濾能力。第四，用戶管理。學(xué)校檔案系統(tǒng)內(nèi)部用戶接入外網(wǎng)Internet，在不影響正常業(yè)務(wù)需要的情況下，控制用戶對外網(wǎng)的應(yīng)用行為。例如，控制上網(wǎng)時間，不可訪問網(wǎng)站，禁用一些軟件的網(wǎng)絡(luò)端口等等。

3.網(wǎng)絡(luò)入侵防御系統(tǒng)設(shè)計方案

防火墻只針對網(wǎng)絡(luò)安全2至4層，難以防御對網(wǎng)絡(luò)協(xié)議4至7層的網(wǎng)絡(luò)威脅，不可能識別出偽裝成正常業(yè)務(wù)的蠕蟲、攻擊、間諜軟件等的非法數(shù)據(jù)流，缺乏對經(jīng)過自身的數(shù)據(jù)流進行全面、深度監(jiān)測的能力。入侵防御系統(tǒng)(IPS)就是專門針對網(wǎng)絡(luò)協(xié)議的4至7層對數(shù)據(jù)流進行分析并實時采用防御措施的系統(tǒng)，與防火墻進行安全層次的互補，豐富了網(wǎng)絡(luò)傳輸過程中的安全層次，對于在阻止蠕蟲病毒的傳播、黑客攻擊等方面起到重要的作用。在網(wǎng)絡(luò)中部署防火墻+IPS，可使網(wǎng)絡(luò)更加安全、健壯，更好地抵御來自外部網(wǎng)絡(luò)的威脅。

4.外網(wǎng)主網(wǎng)絡(luò)設(shè)計

為了保證檔案系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全，需要通過網(wǎng)閘使內(nèi)網(wǎng)、外網(wǎng)進行“網(wǎng)絡(luò)隔離”，并進行安全的數(shù)據(jù)交換。檔案數(shù)字化管理系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)區(qū)含有大量的敏感數(shù)據(jù)及數(shù)據(jù)，互聯(lián)網(wǎng)用戶及高校外網(wǎng)用戶訪問內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)，對數(shù)據(jù)區(qū)形成了嚴(yán)重的威脅，通過部署網(wǎng)閘，在保證內(nèi)網(wǎng)數(shù)據(jù)區(qū)數(shù)據(jù)安全的前提下實現(xiàn)業(yè)務(wù)的正常訪問，并使內(nèi)網(wǎng)數(shù)據(jù)免遭竊取與破壞。本文來自于《遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)》雜志。遼寧醫(yī)學(xué)院學(xué)報(社會科學(xué)版)雜志簡介詳見

5.系統(tǒng)數(shù)據(jù)的安全管理

篇4

關(guān)鍵詞：計算機；網(wǎng)絡(luò)；安全措施

中圖分類號：TP393 文獻標(biāo)識碼：A文章編號：1007-9599 (2011) 15-0000-01

Computer Network Security Solutions to Achieve the Path Analysis

Zhao Xin1,Lu Yihong2

(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)

Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.

Keywords:Computer;Network;Security measures

一、計算機網(wǎng)絡(luò)安全的定義

計算機網(wǎng)絡(luò)安全指的是網(wǎng)絡(luò)系統(tǒng)中的硬件與軟件及其數(shù)據(jù)受到保護，而不會出現(xiàn)數(shù)據(jù)與信息的泄露、破壞或更改。簡單來講，計算機網(wǎng)絡(luò)安全就是信息安全。信息安全包括信息的可靠性、保密性、真實性、完整性以及可用性。

互聯(lián)網(wǎng)自從20世紀(jì)60年代開始運用后，計算機網(wǎng)絡(luò)開始迅速發(fā)展起來。隨著網(wǎng)絡(luò)上信息量的增長，網(wǎng)絡(luò)信息安全問題也頻繁出現(xiàn)。這些問題不僅危害著個人的生活，甚至?xí)绊懙焦镜倪\營進程。所以維護計算機網(wǎng)絡(luò)安全至關(guān)重要。

二、計算機網(wǎng)絡(luò)安全現(xiàn)狀

第一，網(wǎng)絡(luò)安全問題的出現(xiàn)與計算機操作者本身是密不可分的。雖然目前很多計算機安全工具的出現(xiàn)預(yù)防了一些安全問題的發(fā)生。但是網(wǎng)絡(luò)安全問題的最終結(jié)果在很大程度上取決于計算機的操作者。如果操作者運用了不正當(dāng)?shù)氖侄芜M行網(wǎng)絡(luò)操作，或者進入了不健康網(wǎng)站瀏覽了不健康內(nèi)容，就會導(dǎo)致個人信息的泄露，產(chǎn)生和增加網(wǎng)絡(luò)不安全因素。第二，網(wǎng)絡(luò)程序的設(shè)計往往會有漏洞，沒有一個沒有漏洞的程序。所以網(wǎng)絡(luò)黑客就會抓住機會，利用程序中出現(xiàn)的漏洞，對其他正常程序進行攻擊。最重要的是這種黑客采用的程序漏洞一般都不留痕跡，無法查證安全威脅發(fā)生的原因。第三，網(wǎng)絡(luò)安全工具的更新速度遠(yuǎn)遠(yuǎn)跟不上黑客攻擊正常程序的手段的發(fā)明和使用。通常只有在人為的參與下，才能發(fā)現(xiàn)和檢測出病毒的存在。在沒有檢查和檢測的前提下，這種病毒就不會被察覺出來，隱藏于電腦的程序中。但是往往一些病毒在發(fā)現(xiàn)之時就已經(jīng)出現(xiàn)了計算機網(wǎng)絡(luò)安全問題。在這段計算機的“遲鈍期”內(nèi)，黑客就很容易有機可乘，進而能夠使用最先進的、最新的手段對正常的程序進行攻擊。第四，防火墻功能的局限性也會導(dǎo)致網(wǎng)絡(luò)安全威脅的出現(xiàn)。因為防火墻可以通過限制外部的網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，隱蔽內(nèi)部結(jié)構(gòu)，從而達到保護網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)的目的。但是防火墻卻無法阻止計算機網(wǎng)絡(luò)內(nèi)部之間的攻擊和破壞。而且防火墻很難預(yù)防那些從網(wǎng)絡(luò)系統(tǒng)的后門進入的病毒。技術(shù)上的缺陷，使得網(wǎng)絡(luò)安全問題不斷出現(xiàn)新的、更高級的安全、隱患問題。

三、計算機網(wǎng)絡(luò)安全保障方案的制定與實施

（一）從國家和政府的角度去制定相關(guān)的政策法規(guī)，用法律的強制力去保證計算機網(wǎng)絡(luò)的安全。加大對網(wǎng)絡(luò)安全危害行為的懲罰力度，制定相應(yīng)的具體的處罰措施。嚴(yán)厲懲治危害網(wǎng)絡(luò)安全，盜取別人信息的違法行為，減少網(wǎng)絡(luò)安全危害行為的發(fā)生。發(fā)揮政府的監(jiān)督作用和強制作用，將維護計算機網(wǎng)絡(luò)安全提上日常日程。建立和完善相關(guān)的法律法規(guī)之后就對網(wǎng)絡(luò)安全危害行為造成一定的威懾力，將危害網(wǎng)絡(luò)安全的行為扼殺在搖籃中。（二）加大網(wǎng)絡(luò)安全危害行為的宣傳力度，增強每個網(wǎng)民的網(wǎng)絡(luò)安全意識。通過報紙、電視、網(wǎng)絡(luò)以及廣報等各種形式的宣傳，讓廣大網(wǎng)民意識到網(wǎng)絡(luò)安全問題的重要性。同時學(xué)習(xí)安全上網(wǎng)和文明上網(wǎng)，保證網(wǎng)絡(luò)信息的安全。加強網(wǎng)絡(luò)安全維護意識，有利于保護網(wǎng)民的隱私。當(dāng)網(wǎng)絡(luò)信息安全意識深入到每個網(wǎng)民的內(nèi)心，維護網(wǎng)絡(luò)安全的行為就會在潛意識里面發(fā)生。每個人都加強了安全防范意識，同時進行文明上網(wǎng)、健康上網(wǎng)。（三）從計算機的操作技術(shù)上進行防范網(wǎng)絡(luò)安全威脅的發(fā)生。對計算機的系統(tǒng)軟件、應(yīng)用軟件以及硬件進行及時的更新和升級，增強系統(tǒng)對病毒的抵抗力。計算機用戶要進行正確的開機、關(guān)機以及上網(wǎng)行為，注意保護電腦上的軟件以及硬件設(shè)施。（四）提高防火墻技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、加密技術(shù)和入侵檢測技術(shù)，加強訪問控制，將病毒拒絕于門外。不斷進行專業(yè)的研究和分析，更新和升級各項技術(shù)，減少病毒的入侵幾率。定期運用這些技術(shù)隊電腦進行掃描和檢測，對個人電腦設(shè)置加密技術(shù)，只有制定的用戶和指導(dǎo)密碼的用戶才可以進行解密進入計算機網(wǎng)絡(luò)系統(tǒng)。（五）要注意IP地址的正確使用，避免被黑客鉆漏洞。

四、結(jié)語

在網(wǎng)絡(luò)安全問題日益得到重視的今天，網(wǎng)絡(luò)安全技術(shù)隨著國家以及專業(yè)人士的重視也得到了快速的發(fā)展和進步。但是，由于我國的信息安全產(chǎn)品制作方面缺少核心技術(shù)，真正能夠解決深層次的網(wǎng)絡(luò)安全問題的技術(shù)卻很少。所以，國家首先要重視發(fā)展網(wǎng)絡(luò)信息安全產(chǎn)業(yè)，在政策上給予支持。最重要的還是每位網(wǎng)民，因為接觸計算機、運用各種軟件以及系統(tǒng)的人的上網(wǎng)行為往往是病毒的準(zhǔn)入證。只要每個網(wǎng)民都進行健康上網(wǎng)、文明上網(wǎng)，網(wǎng)絡(luò)安全就能實現(xiàn)。

參考文獻：

[1]彭秀芬,徐寧.計算機網(wǎng)絡(luò)信息系統(tǒng)安全防護分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,12

[2]簡明.計算機網(wǎng)絡(luò)信息安全及其防護策略的研究[J].科技資訊,2006,28

篇5

北京科能騰達信息技術(shù)股份有限公司（以下簡稱科能騰達）是一家成立于2000年的網(wǎng)絡(luò)安全公司，一直致立于網(wǎng)絡(luò)安全行業(yè)的技術(shù)研究與市場擴展，成立15年來穩(wěn)步發(fā)展，產(chǎn)品應(yīng)用范圍已經(jīng)涉及能源、電力、銀行、證券、民航、互聯(lián)網(wǎng)、連銷經(jīng)營諸多行業(yè)和知名大型企業(yè)，目前已經(jīng)和多家行業(yè)機構(gòu)，科研機構(gòu)保持密切聯(lián)系與深入合作，從起初的銷售型企業(yè)逐步發(fā)展為創(chuàng)新型技術(shù)研發(fā)+市場經(jīng)營銷售和綜合性安全服務(wù)商，2012年企業(yè)獲得資本市場許可，成功登陸新三板（簡稱：科能騰達 代碼：430148），2014年企業(yè)又完成了新一輪融資，總股本增至2000萬，市值近3億元，發(fā)展勢頭迅猛。

在2015年第十六屆中國信息安全大會上，北京科能騰達信息技術(shù)股份有限公司榮譽產(chǎn)品CNGate-USG 綜合安全網(wǎng)關(guān)獲得了與會人員的高度認(rèn)可。這款設(shè)備的市場定位主要在于解決中小企業(yè)網(wǎng)絡(luò)安全，其特點為，應(yīng)用范圍廣泛，功能全面，操作簡易，CNGate-USG集成了防火墻、IPSec 和 SSL VPN、入侵防御、防病毒、防惡意軟件、防垃圾郵件、 P2P 安全及 Web 安全過濾，可識別多種安全威脅，同時，它的高密度接口也使得它可以做為企業(yè)內(nèi)網(wǎng)安全交換機使用，方便對內(nèi)網(wǎng)資源集中安全管控，堪稱在中小型企業(yè)和分支辦公室環(huán)境下極為完美的網(wǎng)絡(luò)安全解決方案。

本次中國信息安全大會上，北京科能騰達信息技術(shù)股份有限公司旗下產(chǎn)品CNGate-USG 綜合安全網(wǎng)關(guān)一舉獲得了“2015年度中國信息安全優(yōu)秀產(chǎn)品”殊榮，科能騰達獲得了“2015年度中國信息安全極具影響力企業(yè)”。安全實用的產(chǎn)品，良好的企業(yè)信譽讓這家歷經(jīng)十五年的企業(yè)再次贏得了市場和同行業(yè)人員的一致好評。

CNGate-USG 綜合安全網(wǎng)關(guān)的明顯優(yōu)勢在于，這款產(chǎn)品的市場設(shè)計定位和高度聚合化的功能；綜觀現(xiàn)在紛繁復(fù)雜的安全市場，大多數(shù)安全產(chǎn)品的設(shè)計還處于一種很專業(yè)化、定向化的氛圍中，即一個產(chǎn)品解決一個專業(yè)定向的問題，企業(yè)出了這種問題，就找這種設(shè)備去防護、檢測等，企業(yè)是在一種相對被動的防護環(huán)境做出的選擇，而且隨著問題的越來越多越來越復(fù)雜，企業(yè)要去做的防護也會相應(yīng)的多起來，隨之而來的就是企業(yè)網(wǎng)絡(luò)拓?fù)湓絹碓綇?fù)雜，可維護性降低與維護成本不斷提高，對于所有應(yīng)用網(wǎng)絡(luò)的企業(yè)來說，這或許企業(yè)發(fā)展壯大中的一個不可避免的問題。

但對于中小企業(yè)來說，面對如頻繁復(fù)雜的網(wǎng)絡(luò)局面，又要做到保證足夠的信息安全防護級別，那將是一件很麻煩的事，復(fù)雜的網(wǎng)絡(luò)部署，加之不斷增長的安全設(shè)備成本與維護成本，愈發(fā)讓這些中小企業(yè)感到無奈，因為時下的企業(yè)管理者大都認(rèn)為，用戶已不同以前像個單點，而是遍布網(wǎng)絡(luò)各處，企業(yè)信息安全問題早已經(jīng)深入到了企業(yè)日常管理中，越來越普遍的安全威脅已經(jīng)涉及他們迫切需要一個即能通盤解決時下主流信息安全威脅的設(shè)備，又能在維護上做到盡可能的簡單易用，不致辭于投入過多的安全維護成本?？颇茯v達正是看到了眾多企業(yè)問題，應(yīng)合市場需求，設(shè)計了這款 CNGate-USG 綜合安全網(wǎng)關(guān)，為這些中小企業(yè)打造了功能集中方便管理維護的網(wǎng)絡(luò)安全設(shè)備，可以滿足中小企業(yè)對安全的基本應(yīng)用，在有限的企業(yè)網(wǎng)絡(luò)中，為企業(yè)日后網(wǎng)絡(luò)發(fā)展預(yù)留了相當(dāng)大的網(wǎng)絡(luò)擴展空間，稱得上是一款市場所需、企業(yè)所想、投入產(chǎn)出比較高的安全產(chǎn)品。

篇6

關(guān)鍵詞 網(wǎng)絡(luò)威脅;網(wǎng)絡(luò)防御;網(wǎng)絡(luò)安全;防火墻

中圖分類號TP393 文獻標(biāo)識碼A 文章編號 1674-6708(2010)31-0211-01

1 企業(yè)內(nèi)部網(wǎng)絡(luò)安全面臨的主要威脅

一般來說,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個方面:

1)計算機病毒的侵襲。計算機病毒侵入網(wǎng)絡(luò),對網(wǎng)絡(luò)資源進行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個網(wǎng)絡(luò)的癱瘓;

2)黑客侵襲。黑客非法進入網(wǎng)絡(luò)使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù)等;

3)拒絕服務(wù)攻擊。例如“郵件炸彈”,使用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機,網(wǎng)絡(luò)癱瘓;

4)通用網(wǎng)關(guān)接口(CGI)漏洞。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的,黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù);

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業(yè)網(wǎng)絡(luò)安全目標(biāo)

1)建立一套完整可行的網(wǎng)絡(luò)安全與管理策略,將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離;2)建立網(wǎng)站各主機和服務(wù)器的安全保護措施,保證系統(tǒng)安全;3)對網(wǎng)上服務(wù)請求內(nèi)容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認(rèn)證,同時將用戶的訪問權(quán)限控制在最低限度,全面監(jiān)視對公開服務(wù)器的訪問,及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為,形成完整的系統(tǒng)日志備份與災(zāi)難恢復(fù);6)提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。

3 安全方案設(shè)計原則

對企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計、規(guī)劃時,應(yīng)遵循以下原則:

1)綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡(luò)的安全措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

2)需求、風(fēng)險、代價平衡的原則:對任一網(wǎng)絡(luò),絕對安全難以達到,也不一定必要。對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略,是比較經(jīng)濟的方法。

3)一致性原則:網(wǎng)絡(luò)安全問題貫穿整個網(wǎng)絡(luò)的生命周期,因此制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過于復(fù)雜,對人的要求過高,本身就降低了安全性。

5)分步實施原則:由于網(wǎng)絡(luò)規(guī)模的擴展及應(yīng)用的增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的,費用支出也較大。因此可以分步實施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。

6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統(tǒng),各層保護相互補充,當(dāng)一層保護被攻破時,其它保護仍可保護信息安全。

4 主要防范措施

1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網(wǎng)絡(luò)安全教育和培訓(xùn)。

2)網(wǎng)絡(luò)病毒的防范。作為企業(yè)應(yīng)用網(wǎng)絡(luò),同時需要基于服務(wù)器操作系統(tǒng)平臺、桌面操作系統(tǒng)、網(wǎng)關(guān)和郵件服務(wù)器平臺的防病毒軟件。所以最好使用全方位的防病毒產(chǎn)品,通過全方位、多層次的防病毒系統(tǒng)的配置,使網(wǎng)絡(luò)免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制。利用防火墻執(zhí)行一種訪問控制尺度,將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),同時防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。

4)采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù),用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為。利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。最好采用混合入侵檢測,同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng),構(gòu)架成一套完整立體的主動防御體系。

5)漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)安全問題,要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估顯然是不現(xiàn)實的。能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具是較好的解決方案,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

7)利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下,可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序,長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務(wù)器的審計文件提供備份。

篇7

關(guān)鍵詞:網(wǎng)絡(luò)安全威脅;安全需求;防火墻;IDS;網(wǎng)絡(luò)安全

中圖分類號:C913.3文獻標(biāo)識碼:A文章編號:1005-5312(2010)12-0088-01

一、網(wǎng)絡(luò)安全概述

(一)網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預(yù)防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現(xiàn)。

(二)網(wǎng)絡(luò)面臨的主要攻擊

⑴ 緩沖區(qū)溢出。

⑵ 遠(yuǎn)程攻擊。

⑶ 口令破解。

⑷ 超級權(quán)限。

⑸ 拒絕服務(wù)(DDOS)。

二、安全需求

通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析,我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即,

可用性: 授權(quán)實體有權(quán)訪問數(shù)據(jù)。

機密性: 信息不暴露給未授權(quán)實體或進程。

完整性: 保證數(shù)據(jù)不被未授權(quán)修改。

可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。

可審查性:對出現(xiàn)的安全問題提供依據(jù)與手段。

訪問控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機、所交換的數(shù)據(jù)進行嚴(yán)格的訪問控制。同樣,對內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離,并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計: 是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時響應(yīng)(如報警)并進行阻斷;二是對信息內(nèi)容的審計,可以防止內(nèi)部機密或敏感信息的非法泄漏

三、網(wǎng)絡(luò)安全防護策略

個人建議采用如下的安全拓?fù)浼軜?gòu)來確保網(wǎng)站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:

(一)層層布防

從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。

第一個層次,是外部Internet,是不能有效確定其安全風(fēng)險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。

第二個層次,是通過路由器后進入網(wǎng)站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務(wù),完全封閉其他不必要的服務(wù)端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內(nèi)的實際安全狀態(tài),部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)。入侵檢測系統(tǒng)可以檢測出外部穿過防火墻之后的和網(wǎng)絡(luò)內(nèi)部經(jīng)過交換機對外的所有數(shù)據(jù)流中,有無非法的訪問內(nèi)網(wǎng)的企圖、對WWW服務(wù)器和郵件服務(wù)器等關(guān)鍵業(yè)務(wù)平臺的攻擊行為和內(nèi)部網(wǎng)絡(luò)中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯(lián)動及時阻斷,網(wǎng)絡(luò)遭受DDOS攻擊。

第三個層次,是一個中心網(wǎng)絡(luò)的核心層,部署了網(wǎng)絡(luò)處置中心的所有重要的服務(wù)器。在該層次中,部署了網(wǎng)站保護系統(tǒng),防范網(wǎng)頁被非法篡改。

此外,還部署網(wǎng)絡(luò)漏洞掃描系統(tǒng),定期或不定期的對接服務(wù)器區(qū)進行漏洞掃描,幫助網(wǎng)管人員及時了解和修補網(wǎng)絡(luò)中的安全漏洞。這種掃描服務(wù)可以由網(wǎng)絡(luò)安全管理人員完成,或者由安全服務(wù)的安全廠商及其高級防黑客技術(shù)人員完成。

第四個層次,是網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)的數(shù)據(jù)存儲中心,放置了數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫備份服務(wù)器。在該層次中,部署了防火墻,對數(shù)據(jù)庫的訪問通過防火墻進行過濾,保證數(shù)據(jù)的安全性。

(二)多種防護手段

我們設(shè)計的高強度安全防護措施,包括多種防護手段,即有靜態(tài)的防護手段,如防火墻,又有動態(tài)的防護手段,如網(wǎng)絡(luò)IDS、網(wǎng)絡(luò)防病毒系統(tǒng)。同時,也考慮到了恢復(fù)和響應(yīng)技術(shù),如網(wǎng)站保護和恢復(fù)系統(tǒng)。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網(wǎng)絡(luò)防護過程中不留安全死角。

(三)防火墻系統(tǒng)

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。在此次的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)完成后,防火墻將承擔(dān)起對合法地址用戶的路由和對私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(wù)(NAT),同時,將根據(jù)需要對進出訪問進行控制。防火墻可將網(wǎng)絡(luò)分成若干個區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。

(四)網(wǎng)絡(luò)入侵檢測系統(tǒng)的作用

通過使用網(wǎng)絡(luò)入侵檢測系統(tǒng),我們可以做到:發(fā)現(xiàn)誰在攻擊網(wǎng)絡(luò):解決網(wǎng)絡(luò)防護的問題(網(wǎng)絡(luò)出入口、DMZ、關(guān)鍵網(wǎng)段)。了解接網(wǎng)絡(luò)如何被攻擊:例如,如果有人非法訪問服務(wù)器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網(wǎng)絡(luò)系統(tǒng)免受二次攻擊。

處置中心網(wǎng)絡(luò)的內(nèi)部危險:放置在網(wǎng)絡(luò)中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網(wǎng)絡(luò)中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產(chǎn)品進行全面防護。事后取證:從相關(guān)的事件和活動的多個角度提供具有標(biāo)準(zhǔn)格式的獨特數(shù)據(jù)。實現(xiàn)安全事件來源追查。 DDOS攻擊防范:通過實時監(jiān)控網(wǎng)絡(luò)流量,及時發(fā)現(xiàn)異常流量并報警,通過和防火墻聯(lián)動,對DDOS攻擊進行阻斷。

四、安全服務(wù)

網(wǎng)絡(luò)是個動態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時進行相應(yīng)的調(diào)整。由于這方面相對比較復(fù)雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料。

五、總結(jié)

毫無疑問,安全是一個動態(tài)的問題。在做未來的計劃時,既要考慮用戶環(huán)境的發(fā)展,也要考慮風(fēng)險的發(fā)展,這樣才能讓安全在操作進程中占有一席之地。最謹(jǐn)慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網(wǎng)絡(luò)安全的解決方案從人員安全、物理層安全、邊界安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用程序和數(shù)據(jù)安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網(wǎng)絡(luò)系統(tǒng):

進不來: 通過物理隔離等手段,阻止非授權(quán)用戶進入網(wǎng)絡(luò)。

拿不走: 使用屏蔽、防下載機制,實現(xiàn)對用戶的權(quán)限控制。

讀不懂: 通過認(rèn)證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序。

改不了: 使用數(shù)據(jù)完整性鑒別機制,保證只有允許的人才能修改數(shù)據(jù)。

走不脫: 使用日志、安全審計、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為。

參考文獻:

[1]沈昌祥.信息安全縱論[M].武漢:湖北科學(xué)技術(shù)出版社.2002年版.

[2]杜宇峰.網(wǎng)絡(luò)安全與防護[J].電腦知識與技術(shù).2007(18).

篇8

關(guān)鍵詞:網(wǎng)絡(luò)安全；風(fēng)險評估；方法

1網(wǎng)絡(luò)安全風(fēng)險概述

1.1網(wǎng)絡(luò)安全風(fēng)險

網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能,網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看,無線網(wǎng)絡(luò)安全主要是保證使用者進行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題,由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性,其在安全方面面臨著較大的風(fēng)險,如何對這些風(fēng)險進行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進行全面正確的評估,單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結(jié)合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò),影響其安全風(fēng)險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天,如何對網(wǎng)絡(luò)進行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案,而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率,盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險,從而保證網(wǎng)絡(luò)的合理安全運行。1.3風(fēng)險評估指標(biāo)在本論文的分析過程之中,主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo),即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系,在各個指標(biāo)體系之中,又分別包含了若干個指標(biāo)要素,最終形成了一個完整的風(fēng)險評估指標(biāo)體系,進而避免了資源的不必要浪費,最終達到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。

2網(wǎng)絡(luò)安全風(fēng)險評估的方法

如何對網(wǎng)絡(luò)風(fēng)險進行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進行了全面的分析,結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題,最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法,最終能夠保證網(wǎng)絡(luò)信息安全。

2.1網(wǎng)絡(luò)風(fēng)險分析

作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié),網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進行分析,不單單要涉及指標(biāo)性因素,還有將許多不穩(wěn)定的因素考慮在內(nèi),全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內(nèi)外部因素全部考慮在內(nèi),對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷,并借此展開深層次的分析和研究。

2.2風(fēng)險評估

在網(wǎng)絡(luò)安全風(fēng)險評估之中,可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高,這便進一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進行風(fēng)險評估的過程之中,我們主要通過對風(fēng)險誘導(dǎo)因素進行定量和定性分析,在此分析的基礎(chǔ)上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風(fēng)險評估工作的效率以及安全性。在進行風(fēng)險評估的過程之中,要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結(jié)合,最終完成整個風(fēng)險評估工作。

2.3安全風(fēng)險決策與監(jiān)測

在進行安全風(fēng)險決策的過程之中,對信息安全依法進行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進行的風(fēng)險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定,從而最終保證風(fēng)險評估得以平穩(wěn)進行。而對于安全監(jiān)測,網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性,在系統(tǒng)更新?lián)Q代中,倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題,那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用,這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況,倘若產(chǎn)生了突發(fā)狀況,相關(guān)決策部門能夠第一時間的進行策略調(diào)整。因此,網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。

3結(jié)語

網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程,其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風(fēng)險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發(fā)狀況都能夠及時的反映和對付,最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。

參考文獻

[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué),2008.

[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué),2010.

[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué),2012.

[4]劉剛.網(wǎng)絡(luò)安全風(fēng)險評估、控制和預(yù)測技術(shù)研究[D].南京理工大學(xué),2014.