时间:2023-06-07 09:38:32
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全主动防护,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络安全;动态防护体系;设计;实现
在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。
1 动态安全防护机理分析
要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。
2 设计与实现
2.1 安全主动防御模型设计
网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:
1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。
2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。
3)技术层主要包括监测、预警、保护、检测、响应。
监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。
这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。
网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。
安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。
2.2 动态策略联动响应设计
(1)数据流分类
网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。
(2)深度特征匹配
数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。
为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。
(3)策略联动响应
检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。
3 应用验证
通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。
该应用验证环境在设计上的主要特点在于:
1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。
2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。
3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。
4 结论
为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。
参考文献:
目前,医院计算机网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1)医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,病毒传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。
(2)医院计算机网络应用程序漏洞。现今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3)医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理,才能确保网络安全。但是大部分的企业在管理方面都做得不够好,根本不重视网络信息的安全保护,也没有投入一定的物力、人力以及财力来加强网络安全的防护,导致管理上存在漏洞。
2构建计算机安全主动防御体系
2.1网络管理医院计算机网络安全主动防御模型中,网络管理具有重要的作用,其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术,尤其是对网络技术的管理,需要采取各种网络管理策略将网络安全防范技术集成在一起,成为一个有机的防御系统,提高网络的整体防御能力;对用户的管理可以与管理制度相互结合,制定网络安全管理制度,提高人们的网络安全意识,培训正确的网络安全操作。增强网络安全人员的法律意识,提高网络使用警觉性,确保网络运行于一个正常的状态。
2.2防御策略医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低,采取不同的网络安全策略,其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略,分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等,确保网络安全达到最优化。
2.3防御技术目前,医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术,其同时能够合理地运用传统的防病毒、防黑客技术,并其有机地结合起来,相互补充,在此基础上,使用入侵预测技术和入侵响应技术,主动式地发现网络存在的漏洞,防患于未然。
3网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略,其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面,本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面,纵深型的防御体系架构能够将这几种技术融合起来,形成一个多层的纵深保护体系。
(1)网络预警。医院计算机网络预警可以根据经验知识,预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞,预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为,分析其特征,预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击,判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息,判断是否可能发生网络攻击。
(2)网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网(VPN)、防病毒体系构建网络安全保护体系,以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3)网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义,网络检测可以有效地发现网络攻击,检测网络中是否存在非法的信息流,检测本地网络是否存在漏洞,以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4)网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应,及时保护系统,将安全事故对系统造成的危害降到最低,因此,网络检测到攻击之后,需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去,同时要定位网络攻击源位置,搜集网络攻击的行为数据或者特点,便于后期防止类似事件发生。比如检测到网络攻击之后,可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5)恢复。及时地恢复医院计算机网络系统,能够为用户提供正常的服务,也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统,必须做好系统备份工作,常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6)反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击,迫使其停止攻击,攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为,网络反击必须是在遵循国家的法律法规,不违反道德的范围内。
4结束语
关键词:通信网络;安全隐患;管理体系;安全与防护
中图分类号:TN918.91文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
计算机网络包括两个部分:计算机和通信网络,计算机是信源或者终端,通信网络则是进行数据传输和交换,它最终实现计算机网络的资源共享。随着信息技术的不断更新,我国通信网络产业也在快速发展。目前,国内的通信网络系统覆盖地域广阔,设备复杂多样,针对各种特定类型的通信设备,很多的网管系统基本实现了使用专用的接口协议。
信息技术的快速发展,自然而然就带动了通信网络的快速发展,随着国民经济信息化进程的加快,使得信息技术得到普及,而各行业通信网络的依赖程度越来越高。通常,机遇与挑战是并存的,一方面给通信网络带来了发展机遇;另一方面又不可避免的给通信网络的安全造成一定的挑战。当前,通信网络安全问题日渐凸显,如病毒,黑客等等窃取信息的方式也不计其数,所以如何应对这些通信网络出现的安全问题,也就是保证网络通信的安全性是目前通信工程需要急需解决的难题。
为了维护网络通信的信息系统的正常工作,预防网络安全事故以保证通信网络的安全,防范猖狂的网络犯罪。需要制定相关的网络通信信息系统的安全防护策略。
二、通信网络安全防护工作现状
通信网络安全防护包括:网络安全的等级保护、网络安全的风险评估和网络安全的灾难备份等,这些都以事前防护和准备为主的,最终通过技术和管理落实和改进通信网络安全的维护和管理,并且与网络安全的重要性及潜在的威胁相适应,以提高通信网络的安全水平,降低重大网络安全事件的发生概率,以“积极防御、综合防范”为指导方针,以“预防为主”的原则,关键是进行事前预防保护。
通信网络安全是根据网络特性,通过相应的安全技术和措施以防止通信网络中泄露、破坏或更改了操作系统、软件、硬件和数据等资源,预防非法用户窃取服务,以确保通信网络的正常运行;网络通信安全包括设备安全、用户识别安全以及数据传输安全等内容。
国内外对通信网络安全的研究一直在进行,国外很早就进行信息网络安全研究,研究全面而广泛。上个世纪70年代美国在网络安全技术基础理论研究成果“计算机保密模型”的基础上,制定了“可信计算机系统安全评估准则”(TCSEC),之后又制定了网络系统数据库方面和系列安全解释,形成了安全信息体系结构的准则[3]。安全协议对信息安全而言是必不可少的,包括基于状态机、代数工具和模态逻辑三种分析方法。而今密码学成为网络信息安全的重要技术,近年来各个国家和地区相继举办信息学及安全密码学术会议。当前研究的热点是密钥密码,而电子商务的安全性也受到极大关注,目前处于研究和发展的阶段,加快了密钥管理及论证理论的研究步伐。国内的信息网络安全研究经历了两个阶段:通信保密和数据保护。目前主要从安全体系结构、现代密码结论、安全协议、信息分析和监控等方面提出的系统完整和协同的通信网络安全与防护的方案。2009年开始,国家的信息化部及工业计划每年对通信网络进行安全等级保护、通信风险评估,网络通信的灾难备份等相关防护工作。
三、探讨通信网络中的安全隐患
随着通信网络的一体化和互联互通,以及共享资源步伐的加快,通信的安全和保密问题就显得非常重要。
(一)关于安全管理体系建设
首先,网络安全机构不够健全,网络安全维护队伍还不充实。目前,非传统安全问题不断增加,而企业在进行人员素质培养、人员的配备及机构的设置未能很好地适应管理工作。其次,未能很好的统筹网络安全管理工作,整体性不足。虽然在业务发展中,各运营企业相继建设了不少的网络和系统,但没有统筹谋划和监督管理,缺乏统一标准,运营企业各自管理网络和系统的安全,因此,必然存在安全隐患。再者,由于缺乏安全技术手段。网络的应急处置、预警监控、安全防护和审计等技术水平不高。最后,网络安全制度未完善,未能涉及每个环节。安全管理主要集中在运行维护环节而忽略其他环节,最近几年企业建设了不少IT系统,但上线前未对设备和系统进行彻底的安全检测,同样带来安全隐患。
(二)关于适应形势的发展
运营企业未能深入认识到通信网络的基础性以及全局性作用,随着通信网络移动化、IP化、智能化的发展,网络安全观念相对滞后,传统的网络通信安全意识仍停在设备可靠性等物理安全层面上,而对网络攻击、非法远程控制和病毒传播等威胁意识仍然不够,对通信网络安全防护的投入很少,对网络安全存在侥幸心理。
(三)关于规范第三方服务的管理
运营企业在信息和网络系统的安全的保障、规划的设计、建设集成和网络的运行维护等环节基本都依赖第三方服务。但是由于缺乏规程规范和制度,运营企业对第三方服务的管控力度不够,致使服务过程存在较大风险。
(四)防护措施落实不到位
目前,网络通信防护内容主要是防病毒、防攻击、防入侵。但是,防护措施落实不够,未能防范和抵御网络系统的内外部安全风险,DDOS攻击堵塞城域网和IDC的事件时有发生;未能及时升级软件,漏洞管理不及时,被保护主机或系统会因为漏洞遭到黑客的攻击;如果没做好不同安全域之间和内外网隔离及其访问控制工作,就可能导致不同系统间的非授权访问;服务器或者系统开放不必要的服务和端口就会给黑客有机可乘,通过远程攻击和入侵;没有启用安全日志或者没做好日志审计工作就会对故障的排查及处理,安全事件的还原工作带来困难。
(五)关于网络的安全意识
目前,运营企业的网络和系统本身安全性不足,存在很多安全漏洞,而运营企业本身的内部网络防范措施不足,太过依赖边界安全,因此存在严重的安全隐患。
(六)关于远程维护管控措施
有的远程维护管理网络平台本身就有漏洞,而远程维护管理控制的审批的管理、平台的管理、日志的审计以及实时的监控等措施也不足,因此业务系统同时存在内外部的安全隐患。
(七)灾难备份工作不够完善
随着网络的集中管控程度的提高,在部分网络单元中,还存在同管道、单节点、单路由等问题。
四、关于网络安全的防护
(一)关于网络安全维护的新情况和新问题
监管部门应该加强管理及随时研究新技术带来的安全问题,为提高工作的有效性和主动性,应及时提出相关的措施。
(二)关于安全防护的检查力度
在传统的安全防护检查的基础上,需要制订和完善安全防护标准以针对非传统安全的薄弱环节和突出问题,深入开展风险和安全评测。
(三)贯彻落实各项制度标准
电信监管部门应该积极组织开展《互联网网络安全应急预案》、《通信网络安全防护管理办法》等制度的学习宣传和贯彻,落实安全防护工作。
(四)对应急事件的处理
随着网络技术的发展,网络安全事件发生频率将越来越高,电信监管部门应及时通报网络安全信息,重视重大的网络安全事件。
(五)关于主机、操作系统、数据库配置方案
基于Intranet体系结构的运营企业的网络系统,同时兼备广域网和局域网的特性,是一个范围覆盖广且充分利用了Intranet技术的分布式的计算机网络,面临的安全隐患很多,应安装核心防护产品在需要保护的核心服务器上,部署中央管理控制台在中央安全管理平台上,以对全部的核心防护产品进行统一管理。
(六)关于网络的安全技术水平
监管部门在网络安全工作中应重视技术手段建设,随时关注通信网络的发展趋势,加强技术研发,提高运营企业的抗击能力。一直以来,运营企业的安身立命需要保证通信网络的安全稳定运行。随着信息通信技术的飞速发展,通信网络所涉及的各种业务已经渗透到国家社会、政治及生活的各个方面,其地位和作用日趋重要。在新的发展形势下,网络的安全稳定已经成为通信运营企业所担负的社会责任。
五、结语
当今是信息时代,掌握了信息就掌握了主动权,不管是经济的发展还是战争的对抗,信息就是决定一切的先决条件。整个社会都在努力追赶信息时代的步伐,为的就是及时追随时代的步伐,走在信息时代的最前沿才能掌握发言权。
参考文献:
[1]杨朝军.关于计算机通信网络安全与防护策略的几点思考[J].应用科学
[2]丁全文.浅谈通信网络的安全与防护[J].信息与电脑,2011,5
[3]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001,1:8-13
[4]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006,12,22
【关键词】网络工程;安全技术;应用
近年来,伴随着网络信息市场规模的迅猛发展,各种针对网络的违法犯罪活动的可能性也在不断增加,而一段时间以来曝光的各类网络诈骗、信息泄露以及网络攻击事件也在提醒着人们必须告诉重视网络实践中各种潜在的风险,切实利用好各种网络安全技术,最大限度地有效规避信息时代中的各种网络风险。
1网络工程实践中的一般安全技术分析
网络工程实践中的安全技术伴随着网络工程的发展而不断完善,目前总结来看网络工程实践中的安全技术主要分为以下几大类:
1.1攻击
所谓攻击,是指应用各种杀毒软件工具对可能影响计算机网络正常工作的各类病毒进行反攻击和查杀,从而达到保护计算机并保证计算机正常工作的目的。一般来说,由于该技术应用较为普遍且一般仅能满足小众型用户的网络安全需要,因而只是一种最基本的网络安全技术手段。
1.2预防
所谓预防,主要是指利用相应的网络技术手段来防止计算机内部信息的泄露及数据信息破坏。目前来看,计算机内部信息的泄露途径主要有黑客恶意访问、恶意软件等等,因此为有效计算机网络内部信息的泄露及破坏,一般主要采用网络信息密码技术和防火墙技术,其中密码技术是当前网络安全尤其是网络信息安全的重要技术之一,采用加密技术后的加密网络,不仅可以有效阻止非授权用户的搭线窃听及非法访问行为,同时也是有效应对各类恶意软件的可靠途径,目前,通常情况下的加密行为可以在通信的三个层次来实现,即分别是链路加密、节点加密和端到端加密三种;防火墙技术则是专门在公网和专网、外网和内网之间搭设的一个技术性的保护措施,其可以有效拦截来自外部网络的各种网络攻击,包括内网的网络安全,随着防火墙技术的快速发展,目前的防火墙技术已经相当成熟和完善,其中主流的防火墙技术主要有包过滤技术、应用技术和状态监测技术三种。
1.3监测
这里的监测主要是指对网络工程内外部环境进行实时监测,以确保计算机网络能够正常工作,目前网络工程中进行监测使用较多的主要是IDS即计算机网络入侵检测系统,以旁路为主,对计算机网络进行实时监控,一旦发生可疑情况及时报告或者采取有效措施来进行应对,同时还可以对来自网络内部的各种攻击进行积极主动的观测,这是相比较于防火墙技术IDS的独特优势所在。
1.4控制和管理
控制和管理也是网络工程中常用的安全技术,所谓控制是通过运用本地监测软件等对网络工程运行情况进行定期和不定期的扫描,以及时发现并处理各种漏洞及风险,而管理则是通过虚拟网、VPN技术等对计算机网络的运行进行安全管理和维护,防止各类安全问题的出现。
2网络工程实践中安全技术的应用分析
随着网络工程实践的不断延伸,网络工程实践中的安全问题也逐渐受到人们的高度重视,尤其是在当前越来越趋于复杂的网络安全发展态势下,要想真正确保网络工程的安全使用,笔者以为,必须要建立起一个立体化的网络安全防护体系,这一体系应该涵盖计算机网络工程的软件、硬件乃至管理等诸多方面,彼此之间相互配合协调,真正实现网络工程的安全使用。根据当前网络工程风险的来源的不同层次,笔者主要从网络工程的网络层安全、应用层安全及管理层安全三个角度来论述网络工程实践中安全技术的应用。
2.1网络工程的网络层安全防护
网络层安全是网络工程中安全防护的重要区域,例如来自网络上的计算机病毒以及来自局域外的恶意攻击等等,都会对网络工程的安全使用造成巨大威胁,因此对于网络层的安全防护,除了必须采用相应的防火墙技术以外,还应积极主动地安装相应的IDS系统和IPS系统,及时发现并积极处理各种来自网络层的安全风险,确保计算机网络工程网络层方面的安全。
2.2网络工程的应用层安全防护
除了网络层方面的风险以外,应用层安全也是网络工程日常维护中需要重点加强安全防护的区域之一,常见的应用层网络风险主要由于人为应用而产生的一些漏洞,这些漏洞一旦被非法利用则有可能对网络工程的安全带来风险,例如有的计算机编程人员为省时方便而在软件中存留有一定的漏洞,这些漏洞的存在就极有可能被其他人员获取,因而会成为黑客等不法分子的首要攻击目标,因此必须在日常维护中利用交换技术、虚拟网及VPN等技术来对网络工程中的各种软件进行定期和不定期的扫描,一旦发现潜在漏洞及时填补。
2.3网络工程的安全管理防护
网络工程实践中安全技术的使用主要靠工作人员来完成,因此管理者在网络工程的安全防护方面发挥着不可替代的关键作用,在日常工作过程中,工作人员要积极主动地强化对各类网络安全技术的熟悉,能够及时发现网络工程实践中存在的各种现实和潜在的风险,有针对性地进行安全维护,同时还必须不断提高自身的网络安全意识,切实做好网络安全管理工作。
3总结
总之,在当前日趋复杂的网络工程安全领域,仅仅依靠简单的被动式防御已经不能很好地适应今后的网络工程安全防护工作需要,加快构建包括网络工程的网络层、应用层以及安全管理在内的立体式、动态化以及智能化的网络工程防护体系,当是未来网络工程安全防御的大趋势,也是当下网络工程安全防护工作者所应该认真思考、积极实践的现实性问题。
参考文献
[1]杨雅颂.网络工程实践中安全技术的应用[J].电子技术与软件工程,2016(19):235-236.
[2]毕文霞.试析网络工程实践中安全技术的应用[J].黑龙江科学,2016(14):34-35.
[3]杨猛.网络工程实践中安全技术的应用探讨[J].河南科技,2015(22):11-12.
【关键词】局域网;计算机网络安全防护技术;应用
对于我国当下的经济发展和科技进步历程来说,其中最备受关注的就是计算机网络信息技术,随着科技的不断进步,经济的快速发展,其计算机网络信息技术的应用程度就越加深刻,发展至今,人类社会已经无法离开计算机网络信息技术以及相关各类型设备了。因此,为了保障其互联网环境的安全,就需要对于当下的互联网环境进行仔细分析,相应的应用一些计算机网络安全防护技术,从根本上来提高其互联网的安全抵抗能力,确保计算机在互联网的信息安全性和稳定性。
1.计算机网络安全防护技术阐述
当下我们身处一个及其复杂的互联网环境,并且我们日常生活与其息息相关,对此,为了保障我们各项工作及其科技技术正常运转,就需要保障网络安全。网络安全主要指的是网络系统当中的各类型储存容器比如说硬件、软件、系统等中的数据是受到一定措施或者技术保护的。但是,如果当这些数据储存容器遭受到一些网络不法分子的攻击,就会相应的使其内部的数据或者是程式受到一定的破坏、泄露、更改等,也正是由于互联网技术的发达,使得人们有了共享空间,因此,其网络安全问题屡见不鲜。
2.计算机网络安全防护技术类型
对于上述的一些互联网安全问题来说,其危害是极其严重,对此,一些计算机网络安全防护计算就应势而生,比如说虚拟网技术、防火墙技术、病毒防护技术、入侵监测技术等。虚拟网技术主要是当下所流行的ATM和以太网交换技术,也就是将局域网技术改变为面向连接技术,其中我们最能直接了解的生活案例就是网吧的网管系统。防火墙技术则是我们当下应用于局域网安全问题当中最主要的计算机网络安全防护技术之一,这种技术主要是通过加强网络间的访问控制力,强力抵制外界用户利用外部网络和一些非法程序来访问受保护的计算机网络,这种技术可以有效的保护网络资源和网络操作环境,一般来说,这种技术在当下可以实现多个网络间的传输数据包安全检查工作以及网络运行监视工作,从而自动判断两者间的网络通信允许是否问题,当防火墙程序判别该网络属于非法网络入侵时,就会自动拒绝该网络的访问,因此,这种技术是一种极其有效的计算机网络安全防护技术。目前,我国当下所使用的防护墙产品主要又包过滤路由器、服务器、电路层网关、堡垒主机、电路层网关、屏蔽主机防火墙、双宿主机等。病毒防护技术同上述防火墙技术大致相同,同为我国当下所主要使用的计算机网络安全防护技术之一。病毒是整个互联网安全问题当中最为主要的问题之一,由于当下互联网信息技术的快速发展,共享网络的泛滥,使得其病毒的类型、传播途径、速度、危害程度日渐加强,对此,就需要相应的应用一些病毒防护技术。比如说隔断病毒的传播途径,即在系统中安装病毒监控软件,主观性的过滤掉病毒程序;或者是使用病毒软件进行系统内部的病毒检查和查杀;同时还有相应的病毒数据库;最后就是在系统上安装控制扫描程序,从根本上禁止用户未许可的软件下载和安装操作,直接杜绝一切有危害的软件入侵。入侵监测技术则是以防火墙技术为基础,进行的一系列加强防护措施,通过在系统内外网进行更强的网络保护措施,从而有效的加强网络安全性,目前主要有基于主机的入侵监测系统和基于网络的入侵监测系统。
3.加强计算机网络安全防护技术在互联网环境中的应用措施
通过上述一定篇幅中,我们充分了解到了其当下互联网的安全问题和计算机网络安全防护技术的相关知识以及概念,因此,就需要针对其实际的计算机网络安全防护技术应用情况进行仔细分析,并相应的实施一些加强其网络安全技术在互联网应用的措施。
3.1加强用户的互联网安全意识
据不完全统计,其实大多数互联网安全问题都是计算机用户不经意之间所导致的,比如说,用户主动的允许一些不法问题访问计算机,或者是浏览一些不规范的网站、亦或者是下载一下不清楚的软件等,都会导致计算机遭受互联网安全问题。对此,就需要加强用户的互联网安全意识,只有从根源上加强用户对于互联网危害的认知,才能有效的抵制不法网络分子的入侵,保障我国互联网环境的安全和稳定。
3.2进一步完善计算机网络安全防护技术
除了要加强用户的互联网安全意识之外,还需要进一步完善我国的计算机网络安全防护技术,这主要是因为在互联网当中存在一些攻击性很强的不法网络分子,对于这些安全隐患来说,需要不断的完善计算机网络安全防护技术,杜绝这些不法网络分子的互联网访问,从而加强其我国互联网防护体系的完整性。
《中国金融电脑杂志》2015年第一期
一、主动式网络安全联动机制
传统的网络防护技术及产品在保障网络安全时发挥着各自的作用,但网络安全不是孤立问题,依靠任何一款单一的产品无法实现,只有将不同厂商、不同功能的产品统一管理,使它们联动运转、协同工作,才能充分发挥整体最佳性能,全方位保障网络安全。
1.联动概念联动指在一个系统的各个成员之间建立一种关联和互动机制,通过这种机制,各个成员自由交换各种信息,相互作用和影响。在主动式网络安全防御体系中,联动是一种新型的网络防护策略。通过联动策略,防火墙、入侵检测系统、反病毒系统、日志处理系统等安全技术和产品在“强强组合,互补互益”的基础上,充分发挥单一产品的优势,构建最强的防御系统。
2.传统联动模型网络安全联动机制中较为完善的安全联动模型有TopSEC模型、入侵检测产品、防火墙联动模型和基于策略的智能联动模型,下面主要介绍基于策略的智能联动模型(如图1所示)。该模型中防火墙、VPN、IDS等安全部件,通过智能进行整合,经过部件关联、智能推理传送给联动策略引擎,再根据事先设定好的策略进行联动,并将最终的策略应用到防火墙、VPN、IDS等安全部件中。
3.主动式网络安全联动模型通过部署诱骗系统,吸引攻击者,记录攻击行为,进而分析新型攻击的特点。同时,通过联动机制,使模型中的各安全部件协同工作,最终发挥主动性联动优点,构建一个自适应、动态的主动式防御系统。其中,蜜罐技术是防御体系内各安全部件实现主动式联动的核心技术。(1)蜜罐技术蜜罐是一种安全概念,美国Project Honeypot研究组的Lance Spitaner将其定义一种安全资源,它的价值就在于被扫描、攻击和摧毁。蜜罐可以是仿效的操作系统或应用程序,也可以是真实的系统或程序。通过蜜罐技术建立一个诱骗环境,吸引攻击者或入侵者,观察和记录攻击行为并形成日志,分析日志后追踪、识别入侵者的身份,进而学习新的入侵规则,主动分析新型攻击特点,不断加固自身防御能力。(2)蜜罐技术实现方式如图2所示,简单的实现方式是将蜜罐置于防火墙内部,通过防火墙与外部网络进行连接。蜜罐内部主要由网络服务、数据收集和日志记录模块组成。网络服务模块将蜜罐伪装成正常服务,吸引入侵者对其进行攻击;数据收集模块主要捕获入侵者行为信息,用于分析攻击者所使用的工具、策略以及攻击目的等;日志记录模块将捕获到的信息按照一定的格式生成日志文件,并记录到日志服务器。(3)基于蜜罐技术的主动式安全联动模型将蜜罐技术融合到传统安全联动模型,改进后形成的新模型,让蜜罐技术处于整个系统的核心地位,使整个安全联动模型由被动状态转变为主动状态,利用蜜罐技术在整个系统中的自学习、自进化的特点,克服传统安全联动模型无法主动捕获网络攻击行为、对未知攻击防御能力不足的问题。基于蜜罐技术的主动式安全联动模型(如图3所示)由防火墙、蜜罐系统、防病毒系统、IDS、策略库和联动系统控制中心组成。该模型通过蜜罐诱骗系统不断学习新的攻击手段,将处理后形成的新规则及策略上传至模型策略库,通过联动系统控制中心实现防火墙、IDS、反病毒等安全部件协同联动,及时更新防火墙、防病毒策略和IDS的检查规则。该模型较好地整合了各种安全防御产品的优点,借助于蜜罐技术“主动诱捕”的特点,提高了安全防御系统对于未知攻击的捕捉能力。
二、网络安全防御技术在数据中心的应用与展望
目前,国内大型银行数据中心普遍使用的网络安全防御技术是基于网络监控参数基线的阈值预警方法和入侵检测系统(Intrusion Detection Systems ,IDS)。阈值预警方法是在基线数值基础上给予一定的冗余,计算出该监控参数的阈值数值,形成阈值线。当实际运行的数值超出阈值线,说明该监控参数运行异常,可以在事件发生之前提前干预,阻止事件发生,保障网络服务连续性。这种防御技术支持动态改进,但出现误报的几率比较高。IDS主要通过监控网络系统的状态、行为以及使用情况,检测系统用户越权使用、系统外部入侵等情况。IDS具有一定的智能识别和攻击功能,在检测到入侵后能够及时采取相应措施,是一项相对成熟的防御技术。但IDS主要通过特征库判断,面对新型攻击无法识别,且攻击识别只能在事中或事后阶段进行,本质上仍然是被动防护。在入侵技术越来越成熟的形势下,采用单一的网络安全部件如IDS、防火墙、扫描器、病毒查杀、认证等已经满足不了网络安全防护的要求,将各种安全部件的功能和优点进行融合、实现联动互补,进而发挥最大效力将成为必然趋势。
与上述两种现有防御技术相比,基于蜜罐的主动式网络防御技术优势明显。基于蜜罐的主动式网络联动系统定义简单,实力却很强大,使用简单设备和较少资源即可实现;能够收集到小数据高价值信息,使得分析信息更容易,从中获取的价值更大;能够监控检测、捕获攻击,降低传统安全防御设备的误报率和漏报率;适应能力强,可以在多种环境下使用。大型商业银行数据中心网络覆盖范围广,若能将主动式网络防御技术应用于实践,实现由点及面、全方位检测病毒动向,主动发现病毒威胁并自动采取应对方案,将有效解决本地和网络入侵、外部非法接入等隐患,网络安全防范将取得显著成效。虽然目前还存在一些尚未解决的难点问题,但随着新技术、新概念的引入和应用,主动式网络安全防御将逐步走向实用化,在数据中心网络安全防护中得到广泛应用,成为应对网络威胁的有力武器。
作者:李国金陈佳莺单位:中国农业银行股份有限公司数据中心
关键词:企业网络 安全 防范措施
网络是任何信息化建设的基础。随着网络信息技术的发展,企业计算机网络的安全将面临更多的威胁。企业在信息化建设过程中,必须进一步提高计算机网络安全意识,采取有效措施切实维护企业网络的安全与稳定。企业计算机网络安全的威胁主要来自内网和外网。内网的威胁主要是由于使用未授权盗版软件、员工操作不当、内部网络攻击等方面造成。企业内网造成的危害是很大的,很多时候比外网造成的危害严重的多。外网是直接与互联网相连的,威胁主要来自外面的恶意攻击等。企业网络自身的安全缺陷主要表现在以下问题。
1.企业内网安全隐患
(1)选用未授权盗版软件
部分的中小企业出于节约成本,会选择使用未授权盗版软件。据Insight CN执行中国市场调查结果显示:使用未授权盗版软件不仅不能明显降低企业在IT方面的投入,而且会使企业遭受系统故障、敏感数据丢失等等风险。
(2)企业内部人为因素
人为原因有多方面,比如说企业员工对业务的不熟悉,对一些数据的修改出现错误,或者误删了一些重要的数据,容易导致整个系统出现问题,甚至破坏网络设备,也出现过一些员工因为不满现在的工作状态,故意破坏企业内的一些重要数据。
(3)移动存储介质的不规范使用
在企业信息网络安全方面,移动存储介质的使用也是一个重要的安全隐患点。容易导致未授权打印、未授权拷贝等问题,也会出现计算机网络感染移动存储介质病毒的问题。
(4)内网网络攻击
部分网络管理员工由于非常熟悉企业内部网络架构,利用管理上的一些漏洞入侵他人计算机,非法获取企业内部讯息或者破坏信息。这种网络攻击方式可归纳为三类:一是非法外联,即没有经过上级管理部门的同意,就将企业内的计算机连入外网中;二是非法入侵,即在没有授权的情况下,擅自处理信息,导致系统遭受破坏;三是非法接入,即没有通过网络管理部门的意见,就直接将计算机接入企业内网。
2.企业外网的安全威胁
企业出于对外业务的需要通常都会要求企业的计算机网络接入互联网,面对复杂的互联网,企业网络在接入时,将会面临病毒侵袭、黑客非法闯入、电子商务攻击、恶意扫描等等风险。企业网络一旦被被感染,不仅会影响正常办公,严重的甚至会导致整个网络瘫痪。
病毒、木马的入侵是威胁企业网络安全的首要因素。计算机病毒通常隐藏在文件或程序代码内,有的员工在不知情的情况下下载了感染病毒的软件或者是电子邮件,导致了病毒的传播。有些计算机病毒只会开玩笑似的在受害人机器上显示警告信息,重则可能破坏或危机整个企业网络的安全。例如前几年出现的“熊猫烧香”的病毒,对不少个人用户以及企业用户造成了极大危害。这些病毒会从一台计算机迅速传播到另一台,令企业防不胜防。
3.企业内网的安全防范措施
网络安全重在防范,为了确保企业内网的安全运行,必须要重视管理制度、将管理、监测和控制三者结合在一起,重视对员工网络安全知识的培训,提高所有员工的安全意识,特别是涉及到商业机密或者政治机密的企事业单位,尤为重要。同时采用安装防火墙等网络安全防范手段和安全检测手段相结合,主动防御;建立起规范化的网络安全日志和审查制度。
(1)提高和加强员工网络安全知识,各企事业单位可酌情根据自身状况合理安排,邀请有经验的网络安全专家到公司来授课。
(2)企业要建立起计算机网络用户的信息数据库,对于一些重要数据的客户,对他们的登录时间、访问地点都需要重要监测;要建立起内部网络主机的登录日志,对于所有在内部网络登录的用户信息,时间都要有详细的记录,发现可疑操作的时候要采取必要的安全措施。对于未经授权的接入、外联、存取都要生成日志记录,通过必要的技术手段进行检测和判断是否对网络安全构成威胁。企业还有对网络设备不断更新,从技术层面上提高设备的预防能力,比如说防火墙软件的及时更新,处理数据的计算机更新等。一旦出现网络安全问题,能及时的对日志进行审查,分析引起网络安全问题的原因,从而解决相关的问题。
(3)在企业内网与外网物理隔离的前提下,可将防火墙技术、漏洞扫描技术、入侵检测技术与安全监测、安全控制和安全管理进行集成与融合,从而有效地实现对内网的安全防范。
4.企业外网的安全防范措施
(1)病毒防护技术
病毒防护技术在企业计算机网络安全防御体系中也是一项非常重要的技术。企业应购置正版授权杀毒软件,并为每个用户安装客户端,以此来应对越来越复杂和高级的病毒和木马程序。
(2)防火墙技术
防火墙包括硬件和软件两个部分,随着人们对完全意识的增强,每台电脑上面都会安装不同的防火墙,企业里面一般都会安装专业的企业版防火墙,能有效的实现网络安全最基本、最有效、最经济的安全防护,能主动抵御外网的各种攻击,企业还可以利用防火墙,阻止对一些网页的访问,从而降低遭受外网攻击的概率。
(3)入侵监测技术
在企业网络安全中,要建立起防火墙之后的第二道安全闸门——入侵检测技术,构建一套完整的主动防御体系,在不少的金融企业和银行都采用了此项技术,并且收到了良好的效果,此项技术能在不影响网络性能的情况下实现主动监测,可以识别一些防火墙不能识别的内部攻击,对于一些合法用户的错误操作,能有效的捕捉这些信息,从而实现实时安全保护。
企业计算机网络安全涉及了许多领域,要想建立起一个安全稳定的网络环境,需要企业做好网络的各种防护措施。企业网络安全性能得到了有效保障,企业才能顺利开展各项业务。
参考文献:
【关键词】构建;计算机;网络安全;环境
随着社会科技的快速发展,计算机网络技术的应用范围愈加广泛。社会多个领域均在应用计算机网络,人们与计算机网络的联系也越来越紧密。但是,在实际应用过程中,计算机网络环境的安全问题比较严重,且受到越来越多的关注。本文现对关于如何构建计算机网络安全环境进行探讨,为计算机网络建设提供参考建议。
一、计算机网络环境的不安全因素
目前,计算机网络环境安全问题包括计算机网络设备和信息安全方面的问题。计算机网络不安全的因素较多,部分因素是人们故意为之或无意为之,可能是主观因素或客观因素引起的,也可能是黑客非法入侵网络以获取资源。总之,影响计算机网络安全的主要因素有以下几个方面:首先,人们应用计算机网络技术时,无意识操作失误造成网络安全漏洞。例如,人们配置计算机的时,安全维护意思不强,没有重视安全问题,随意选择口令,将自己的网络账号随意借给他人使用,或与他人共享网络账号。这些情况均有可能造成安全漏洞,进而引发安全问题。其次,随着社会知识水平的提高,计算机网络犯罪率逐渐提高,部分人故意攻击计算机网络,而恶意攻击计算机网络是网络环境中最大的安全问题。低手攻击与网络犯罪均属于恶意攻击,而目前主要有两种攻击方式,分别是被动攻击和主动攻击。其中,被动攻击是攻击者在计算机网络背后进行相关操作而不影响计算机网络的正常运行,该类攻击主要是为了窃取相关重要信息,而主动攻击则是攻击者采取不择手段的方式来破坏网络信息。无论是哪种攻击方式,均极大地影响了计算机网络环境的安全,影响到了网络信息的安全。最后,部分黑客利用存在漏洞的软件对计算机网络进行攻击。几乎所有的软件均存在一定的漏洞,而黑客可以利用这些漏洞来侵入网络系统中,进而获取信息或破坏信息。
二、构建计算机网络安全环境的对策
1、物理安全。
物理安全防范措施主要对打印机、计算机系统、网络服务器等计算机硬件设备、设施进行保护。对此,可通过验证用户身份和使用权限来避免用户越权。除此之外,可建立健全的安全管理制度,严格限制人们进入计算机核心控制室,避免人们采用非法方式进入计算机控制室,进而盗取相关信息。
2、安全监控服务器。
服务器在网络环境中可执行一系列的操作,而计算机用户可通过计算机控制台安装或卸载软件。对此,计算机用户可直接设置U令来锁定服务台,避免非法破坏或删除相关数据。且计算机用户可设定服务器登录时限,检测关闭时间段中非法访问的情况,进而达到安全监控的目的。
3、防护访问控制。
访问控制是保护网络安全的重要手段,其主要任务使保证网络资源不会被非法窃取或访问。防护控制主要以保护网络体系和信息安全为目的,需要科学联用多种安全措施,且各种防护措施必须相互配合,而访问控制是其中的重要防护措施。
4、检测和控制锁定网络。
计算机网络服务器能够记录访问的网络资源,而出现非法网络时,服务器会自动报警,对此,计算机用户应重视网络监控。计算机网络服务器能够记录非法入侵网络行为的次数,如果非法入侵次数达到一定值,服务器会自动锁定该非法用户,进而阻止其访问。
5、加密防护信息。
加密信息是保护计算机网络内的相关数据信息的重要措施。计算机网络加密手段主要有端点加密、链路加密、节点加密。其中,端点加密主要是对源端用户到目的端用户的数据信息进行保护,链路加密主要是保护计算机网络节点之间链路的安全,节点加密主要是对节点之间的传输线路进行保护,计算机网络用户应根据实际情况合理选用加密方式。密码技术是保护网络安全的重要技术,计算机用户应用密码技术来保护网络时,可以防止恶意软件一定程度的入侵和非授权用户搭线入网、窃听。
6、防火墙控制。
防火墙是应用范围较广的计算机网络安全保护措施。防火墙能够阻止网络黑客的入侵,可对于网络的进出进行控制。计算机用户利用防火墙来保护网络安全时,可在网络边界建立监控系统以防止黑客的侵入。
结束语:
构建计算机网络安全环境需要应用多种技术,主要有恢复、监控、防护技术。计算机网络安全体系的构建可抵抗各种恶意攻击或非法入侵,进而保护计算机相关数据信息的安全。信息安全保障对国家、社会以及人们的生活均具有重要影响,相关部门应加强计算机网络安全环境的构建,积极研发构建网络安全环境的技术,进而防止计算机重要信息的流失。
参考文献
[1]马大勇,李思慧.计算机网络安全漏洞检测与攻击图构建的研究[J].科技致富向导,2015,08(02):250-251.
[2]林新华.如何构建计算机网络信息的安全和防护体系[J].电脑知识与技术,2015,13(20):29-30.
关键词:信息网络安全 网络防御特征 主机防御特征 应用防御特征 数据防御特征
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2014)07(c)-0045-02
随着计算机和网络技术的不断发展,计算机信息网络已在国家机关、企事业单位、国防军事等多个领域广泛应用,逐渐渗入到人们的生活中并成为相互沟通的重要手段。然而计算机信息网络存在网络环境开放性、网络操作系统漏洞、网络资源共享性、网络系统设计缺陷、黑客恶意攻击等安全隐患,计算机信息网络安全防御问题重要性变得尤为重要[1-2]。本文基于用户网络活动划分防御层,建立起信息网络安全防御的体系模型,并系统分析各层次的网络防御特征,为建立网络安全防护体系提供了理论支撑。
1 信息网络安全防御体系设计
构建信息网络安全防御体系,其目标就是要维护用户网络活动的安全性[4]。根据用户网络活动的层次,可以将网络防御划分为网络防御层、主机防御层、应用防御层和数据防御层等四个方面,在每个防御层模型中,又包括防御功能和防御技术两类划分方法,防御功能分布按照不同防御层特点,采用根据层次、软件功能等类别进行划分,如图1所示。
1.1 网络防御层
网络防御层主要针对信息网络安全防御体系中的网络边界进行防护,按照防护层面的不同,又可分为应用层、传输层和网络层的分层防御功能。防御技术则包括协议分析、模式匹配和包过滤等基本技术。
1.2 主机防御层
主机防御层的防护功能,主要通过主机入侵防御、病毒查杀和防火墙防护等三个层面,并通过各自对应软件实现。主要的防护技术则包括入侵检测、安全审计、访问控制、主动行为防御、特征码查杀和软件防火墙保护等。
1.3 应用防御层
应用防御层的功能主要防范恶意程序植入和篡改应用软件,为此,技术上可通过漏洞利用防护技术和数字签名验证技术来实现。
1.4 数据防御层
数据防御层的防护功能归结到一点为防范非授权用户的非法访问,包括对磁盘分区中文件的访问,以及对数据库文件的访问。防御技术主要包括加密技术、完整性校验技术和备份恢复技术等。
2 网络安全防御特征
2.1 网络防御特征
网络层面可以对通过网络传输的数据包,按照分层的原则进行防御,具体包括网络层、传输层、应用层的分层防御。具体的防御技术包括:包过滤技术、模式匹配技术、协议分析技术等。
网络安全层面从本质上来讲就是网络上的信息安全,其不断发展旨在采取有效的安全措施保护网络信息不被破坏、更改和泄露,保护联网计算机系统免受侵扰[5]。网络上的信息传播方式的多样性、广泛性和难追溯性,使得网络遭受攻击的可能性很大,因此,必须采取一定的安全措施来防止这些恶意攻击。同时,因为网络信息的安全会在很大程度上影响受保护主机和应用系统的安全,故网络安全是信息网络安全防御体系中最重要的组成部分,只有网络安全得到很好的建设,主机和应用安全的建设才能在良好的环境中实施。
2.2 主机防御特征
主机层面主要针对操作系统平台进行安全防御,在操作系统平台上通过防火墙软件、杀毒软件、主动防御软件等实现防御策略。采用的主机防护技术包括:软件防火墙防护、病毒特征码查杀、主动行为防御、访问控制、安全审计等。
主机(包括终端和服务器)是信息系统的重要组成部分,承担着信息的存储和处理工作[6]。由于主机是信息泄露的源头,也是各类攻击的最终目标,因此,主机的安全关系到整个信息系统中信息的安全,主机安全建设是信息系统安全建设的重要内容。
主机层面安全主要涉及操作系统安全和数据库安全,通常是由操作系统自身安全配置、相关安全软件和第三方安全设备来实现的。目前,运行在主机上的主流操作系统有Windows、Linux、Sun Solaris、IBM AIX和HP-UX等。随着网络技术的不断发展和网上应用的不断增多,这些主机上的问题也逐渐暴露出来,一些网络病毒和木马等也随之出现,破坏主机上的数据信息。一般单位中如果将安装这些系统的主机作为服务器的话,上面可能会保存一些单位或部门的关键信息,这就对主机层面安全提出了要求。
2.3 应用防御特征
应用层面主要防范功能用于防御应用程序被恶意程序篡改,及利用应用软件漏洞进行恶意程序的植入。应用层面的安全防御技术可通过数字签名验证技术、漏洞利用防范技术来实现。
应用层面是信息系统最终得以使用的工具,只有通过应用系统用户才能对数据和信息进行各种各样的操作,继网络和主机系统的安全防护之后,应用安全成为信息系统整体防御的又一道防线。应用安全是指信息在应用过程中的安全,也就是信息的使用安全。应用层面的安全目的是要保证信息用户的真实性,信息数据的机密性、完整性、可用性,以及信息用户和信息数据的可审性,以对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。这就需要对不同的应用安全漏洞进行检测,采取相应的安全措施降低应用的安全风险。对信息系统进行应用安全方面的设计,从总体上来说,是为了确保在软件大规模使用、数量和复杂度增长的前提下,能够及时的发现和修正系统中潜在的安全漏洞,并且能够应对和解决这些漏洞,以降低应用系统的安全风险。应用层面侧重于设计开发出来的系统是否安全。虽然这些安全目标多数都类似于网络安全和主机安全中的内容,但是实现目标的方式有很大不同,应用系统更强调在开发出来的系统中解决这些问题。
2.4 数据防御特征
数据层面的防范主要是防止非授权用户对数据的非法访问。主要的防御措施是通过加密和访问控制实现,控制对数据的访问用户和访问权限,并且在数据存储过程中使用加密技术来保护数据的安全。主要的措施包括三个方面:数据完整性、数据保密性与数据的备份和恢复。
数据层面的安全是计算机信息安全系统的最终目的和核心目标[7]。围绕着计算机系统所采取的许多安全保护措施最终都是为了保证系统中数据在应用、存储、传输和处理等过程中的安全性,以实现数据的机密性、完整性、可控性和不可否认性,并可以进行数据备份和恢复。
3 结语
随着计算机信息网络的不断发展,新的网络安全隐患会不断涌现。建立相应的信息网络安全防御体系模型,研究各层次的网络防御特征,能够从本质上明确安全防御体系建设的目的和目标,为科学制定计算机信息网络防御策略、发展针对性安全防护技术提供理论支撑。
参考文献
[1] 张昱.对计算机网络技术安全与网络防御的分析[J].广东科技,2011(5):51-52.
[2] 杨育红.浅议网络信息安全防御体系建设[J].计算机安全,2011(10):73-75.
[3] 王琪.计算机网络安全技术现状研究[J].计算机安全,2013(7):44-49.
[4] 汪澎萌,张硕,汪兆银.计算机网络安全体系研究[J].信息安全,2012(2):38-40.
[5] 杜芸.网络安全体系及其构建研究[J]. 软件导刊,2013,12(5):137-139.
医院信息化建设中网络安全存在技术因素与人为因素的干扰,需要针对各医院实际情况做管理制度的完善健全,提升技术手段,规范管理细节措施,提升全体人员对网络安全维护的意识与能力,从而有效的保证医院信息化建设的高效化、安全化,有序化。
关键词:
医院;信息化建设;网络安全;防护
医院信息化建设不断加快与成熟,促使整体的医疗诊治水平提升,保证了诊疗工作的准确与效率。但是随着信息化的普遍性,相关网络管理工作也日益复杂,尤其是我国恶意软件与不良网络攻击情况严重,导致医院网络安全管理存在较大的威胁。网络安全是医院信息化建设中的重要工作,是保证信息化工作开展的基本保障。
1医院信息化建设中的常见安全隐患
1.1技术因素
医院信息化建设中,会广泛的涉及到服务器、客户端、链路、软件系统、存储与网络设备等多种构成元素。医院信息化建设有效的提升了整体的诊疗水平,提高工作效率与便捷性,但是网络安全问题也日益突出,相关信息资源的泄露或者系统攻击都极大的威胁了信息化建设的有序开展。在安全管理中,物理性环境安全、操作系统安全、数据备份安全等都是网络系统建设的常见安全问题。而常规性的运用防火墙以及其他防病毒操作都无法有效的保证信息化平台的安全性,容易引发数据泄露、损坏与丢失,进而干扰了医院正常工作运转,甚至也对患者个人信息构成泄露,急需要通过更强的防护技术来做保障。对于部分医院而言,会简单的认为设置一定安全防火墙就可以保障系统的安全性,甚至认为不需要其他安全防护来做安全保障,这主要是安全防护工作中缺乏与时俱进的先进意识,认识误区较为明显。而防火墙只是防护手段中的一种,能够防御性的安全问题较为局限,对网络内部与旁路攻击都无法达到理想的防护效果,同时针对内容攻击的问题也无法处理。部分设备中只是对攻击行为进行警告,但是并不具备攻击行为的防控能力。在数据库升级中,可以到数据库做用户操作登录记录,可以达到操作源IP地址的定位,但是缺乏无法阻止其做恶性操作,例如对数据信息做恶意的窃取与篡改,甚至无法认定操作人员最终责任,因为账户登录只需要账户与密码就可以进行,但是这种登录操作任何掌握信息的人都可以进行,无法达到全面的管控。此外,安全防护措施工作量大,操作复杂。在做IP与MAC地址绑定中,需要管理人员针对每台交换机做操作,对绑定信息做逐条的输入,工作负荷相对更大,操作缺乏高效便捷性。其次,如果有人懂得相关网络基础技术,可以轻易的做到IP与MAC地址的变更,从而引发绑定操作失效。此外,医院主机装备了杀毒软件,然而由于数量较多,不能有效的对每个主机做杀毒软件的统一性管控,对于病毒库的更新以及软件的开启等情况都无法做有效确定,相应的系统补丁也不能及时有效更新,进而导致安全防护效果不能确定。虽然医院投入大量的财力与人力做好安全防护措施处理,但是实际上缺乏可执行性,同时由于各设备间缺乏关联性,从而对于实际效果无法做有效评估与管控,安全防护措施与手段的运用则流于形式。
1.2人为因素
医院信息化建设更多的操作需要人为进行,因此人为因素是网络安全管理的重要因素。医院没有将网络安全明确到人,缺乏责任制管理,无论是安全管理人员还是普通工作人员,缺乏足够的安全管理意识。没有形成规范合理的信息系统建设制度规范,导致实际操作无章可循。没有强效的安全检查与监督机制,同时也没有专业的第三方机构做安全性介入管理。相关工作人员缺乏专业资质认定,对于网络安全没有展开合宜的宣传教育,同时也缺乏对应工作与行为考核,导致工作人员缺乏应有的安全责任观念。因为工作人员缺乏安全意识与专业的安全能力,会出现将个人电脑接入医院内部网络,从而导致病毒携带入网,导致相关信息化系统运行故障。或则将医疗业务网络电脑与互联网、外网连通,导致相关网络中的病毒、木马程序进入到医院的内部网络,导致网络病毒蔓延。工作人员会因为有职务的便利性,会访问医院有关数据库,从而得到数据资料的窃取与篡改,进而导致相关经济损失。同时黑客会通过技术手段接入到医院内部网络中,进行直接性的网络攻击,医院与医保网络系统处于连通数据验证操作所需,如果被攻击则容易导致严重后果。
2医院信息化建设中的网络安全防护
2.1完善管理制度
医院网络运行保持安全性效果的基础在于完善健全的制度管理,可以通过对医院实际情况的了解,设置针对性安全管理操作制度、监督制度、用人制度、激励制度等多种内容。确保所有有关工作的开展有章可循,提升操作的标准性、可执行性。要不断的强化制度的权威性,让工作人员对此保持谨慎态度,避免安全疏忽。
2.2安全管理细节措施
医院网络管理需要多方面的细节措施来保证。例如为了保证服务器能够可靠稳定的持续工作,需要运用双机容错与双机热备对应方案,对于关键性设备需要运用UPS来达到对主备机系统的有效供电,确保供电电压持续稳定供应,同时避免突发事件。网络架构方面,需要将主干网络链路采用冗余模式,这样如果出现部分线路故障,其余的冗余线路可以有效继续支持整个网络的运转。需要运用物理隔离处理来对相关信息数据传输设备保持一定的安全防护,避免其他非专业人员或者恶意破坏人员对设备进行破坏,需要做好业务内网与外网连通的隔离,避免网络混合后导致的攻击影响或者信息泄露。对于医院内部的信息内容,需要做好数据与系统信息的备份容灾体系构建,这样可以有效的在机房失火或者系统运行受到破坏时快速的恢复系统运行。要展开网络系统的权限设置,避免违规越权操作导致系统信息数据的修改有着窃取,要做好数据库审计日志,对于相关数据做动态性的跟踪观察与预警。
2.3技术手段升级
在网络安全防护措施上需要保持多样化与多层次的防护管理,积极主动的寻找管理漏洞,有效及时的修补管理不足。对网络设备做好杀毒软件的有效管控,建立内外网间的防火墙,限制网络访问权限,做好网络攻击预警与防护处理。对于网络系统各操作做有效记录跟踪,最安全漏洞做到及时发现并修复。要投入足够人力与财力,优化工作人员技术水平,从而有效的保证技术手段的专业完善性。
结束语
医院信息化建设中网络安全需要医院所有人员的配合,提升安全意识,规范安全管理制度与行为,确保网络安全的有序进行。
作者:梁子 单位:广州市番禺区中心医院
参考文献
[1]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(9):43,45.
关键词 铁路信号;微机监测系统;网络安全
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)012-0120-01
随着网络技术的发展,很多行业领域都已经采用了微机技术,不但弥补了传统的技术的落后现状,同样也促进了相关行业的迅速发展。我国的铁路信号系统同样采用了微机系统进行管理。但是随之而来的病毒入侵等网络不安全因素,对铁路信号的微机管理系统所造成的潜在威胁同样非常的大。本文就此问题进一步论述,以此对我国现阶段铁路信号微机系统的安全等问题进一步明确,促进我国铁路信号微机系统的发展。
1 微机监测系统网络安全防护现状
目前的微机监测系统一般都是三层次的网络结构,既由车站、领工区(车间)、电务段三级构成的计算机网络,电务段和领工区的管理人员可以通过微机监测网直接看到所辖各站信号设备和战场运作状况。目前网络遭受病毒侵袭的主要途径有:生产已经网络化,网络上任何一点感染病毒后,如不及时处理,容易全网蔓延;随着移动存储设备越来越广泛的使用,病毒通过移动设备感染的机率大大增加。一机多用,如某台终端机既用于调看生产监控,又兼作办公机;其他遭受恶意攻击等非正常感染病毒。
现阶段微机监测系统采取的网络安全防护措施包括以下几个方面。
1)要求把站机、终端机上的I/0接口,如光驱、欤驱、USB插口等用标签加封,并在主板BIOS里修改相应项屏蔽设备端口,杜绝在站机、终端机上进行与业务无关的作业。
2)微机检测安全服务器,站机、终端机,安装有MCAFEE网络版防毒软件或瑞星单机版杀毒软件,但没有建立专用的防病毒服务器,病毒库的更新不及时,单机版的软件只有维护人员到站上才能更新。
3)清理非法接入局域网的计算机,查清有无一机多用甚至多网的可能,并对非法接人的计算机进行屏蔽。
2 现有系统存在的安全问题及改进的主要参考原则
设计新的网络安全防护系统,应确保运行数据的完整性、可用性、可控性、可审查性。安全系统的改进可参考以下几个原则。
1)体系化设计原则。通过分析网络系统的层次关系.提出科学的安全体系和安全构架,从中分析出存在的各种安全风险,充分利用现有投资,并合理运用当今主流的安全防护技术和手段,最大限度地解决网络中可能存在的安全问题。
2)全局性、均衡性、综合性设计原则。从网络整体建设角度出发,提供一个具有相当高度,可扩展性强的安全防护解决方案,应均衡考虑各种安全措施的效果,提供具有最优性价比的网络安全防护解决方案。
3)可行性、可靠性、可审查性原则。可行性是设计网络安全防护方案的根本,它将直接影响到网络通信平台的畅通,可靠性是安全系统和网络通信平台正常运行的保证,可审查性是对出现的安全问题提供依据与手段。
4)分步实施原则。分级管理,分步实施。
3 系统改进可采取的的主要措施
维护管理方面我们可以做好以下几点改进。
1)微机监测增设防病毒服务器,定期升级服务器病毒库,将病毒入侵机率降至最低。安装防火墙,对连接网络中的计算机进行统一管理,确保网络安全。
2)科学处理补丁和病毒之间的矛盾。安装补丁时,应经过慎重的论证测试,可行在开发系统上进行测试,确保安全的前提下,再进行补丁安装,因为有些补丁可能与现行的操作系统发生冲突,进而影响整个系统的稳定性。
3)在生产网上组建VPN,创建一个安全的私有链接。
同时,为保证系统的安全管理 ,避免人为的安全威胁,应根据运行工作的重要程度划分系统的安全等级,根据确定的安全等级确定该系统的管理范围和安全措施。对机房实行安全分区控制,根据工作人员权限限定其工作区域。机房的出入管理可以采取先进的证件识别或安装自动识别登记系统,采用磁卡,身份证等手段对工作人员进行识别、登记、管理。根据职责分离和多人负责的原则,确定工作系统人员的操作范围和管理,制定严格的操作规程。针对工作调动或离职人员要及时调整相应授权。
4 可采用的网络安全新技术
建立完善的微机监测系统网络安全防护系统,需要现有网络安全防护系统的基础上,充分考虑防火墙、入侵检测/防护、漏洞扫描、防病毒系统等安全机制。由于网络技术的不断飞速发展,传统的防护技术已经不能适应复杂多变的新型网络环境,必须采用安全有效的网络安全新技术才能防患于未然,提高整个微机监测网络的安全性。可采用的新型网络安全技术包括以下几种。
1)链路负载均衡技术。链路负载均衡技术是建立在多链路网络结构上的一种网络流量管理技术。它针对不同链路的网络流量,通信质量以及访问路径的长短等诸多因素,对访问产生的径路流量所使用的链路进行调度和选择。可最大限度的扩展和利用链路的带宽,当某一链路发生故障中断时,可以自动将其访问流量分配给其它尚在工作的链路,避免IPS链路上的单点故障。
2)IPS入侵防御系统。网络入侵防御系统作为一种在线部署的产品,提供主动的,实时的防护,其设计目的旨在准确检测网络异常流量,自动应对各类攻击性的流量,不将攻击流量放进内部网络。
3)上网行为管理系统。上网行为管理系统能够提供全面的互联网控制管理,并能实现基于用户和各种网络协议的带宽控制管理。实时监控整个网络使用情况。
4)网络带宽管理系统。对整个网络状况进行细致管理,提高网络使用效率,实现对关键人员使用网络的保障,对关键应用性能的保护,对非关键应用性能的控制。可根据业务需求和应用自身需求进行带宽分配。
5)防毒墙。传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,需要将病毒在通过服务器后企业内部网关之前予以过滤,防毒墙就满足了这一需求。防毒墙是集成了强大的网络杀毒机制,网络层状态包过滤,敏感信息的加密传输,和详尽灵活的日志审计等多种安全技术于一身的硬件平台。在毁灭性病毒和蠕虫病毒进入网络前进行全面扫描,适用于各种复杂的网络拓扑环境。
5 总结
通过本文的分析,可以看出,我国铁路信号微机监测系统的应用得到了初步的效果,但是随着我国铁路系统的继续发展,网络安全是我们不得不考虑的问题,而且随着网络安全问题的越来越多,对我国铁路信号微机监测系统的安全性要求就越高,因此,在未来的发展过程中,我们需要进一步提升铁路信号微机监测系统的安全等级,只有这样才能促进我国铁路信号系统的安全,提升我国铁路信号系统的继续发展。
参考文献
[1]刘琦.铁路信号安全维护及监控系统设计思路及应用[J].安防科技,2007,03.
关键词:医院网络;防火墙;入侵检测系统
随着计算机技术在现代生活工作当中的广泛应用,医院当中的信息化建设也在不断进行当中,信息化管理在医院管理当中的应用有效提升了医院的管理效率,也使得医院网络的安全问题成为医院管理当中的重点问题。
1网络安全技术概述
从当前的网络安全技术来看主要可以分为两种类型,一种是静态安全技术,一种是动态安全技术,其中静态安全技术主要是指防火墙技术,是保护网络不受外部攻击的安全技术,在实施和维护上主要是需要借助于人力来完成,不能对入侵者进行主动跟踪。而动态安全技术主要是指入侵检测技术,这一种安全技术主要是能够实现主动的检测功能,也是目前比较新型的网络安全技术,在现代的网络安全防护当中也是逐渐得到广泛应用。
2防火墙和入侵检测系统
防火墙是网络安全当中的常见保护系统,主要是在外部和内部网络之间进行访问控制,从而有效保护内网的资源,以防受到外部非法入侵,也是网络安全建设当中的基础,每个客户端上必须具备的安全基础工程,多是安装在内外部网络的连接点上,以便将外部网络和内部网络有效隔离开,在拓扑结构当中,防火墙则主要是位于网络出口位置上,或者是安全等级分界的区域。防火墙虽然具备基础的安全防护功能,能够有效保护内部网络的安全性,但同时防火墙也是具有一定缺陷的,也就是防火墙能够抵御外部的攻击,但对于来自内部的攻击是无法防范的,这就使得网络在受到内部攻击时单单依靠防火墙已经不能起到有效的保护作用,需要有相应的内部防范技术来抵御内部攻击,这样内外结合才能够真正起到保护网络安全的作用。
入侵检测系统是现代网络安全系统当中的新型防御工具,与防火墙不同,入侵检测系统的核心是监听设备,不需要和其他的链路进行连接,也不用网络流量来支持工作,只要将所有需要关注的链路都挂接到入侵检测系统当中,那么就能够对所有的链路进行监听,从而有效检测内部网络当中存在的安全问题,因而在安置位置上一般是选择在受保护对象附近或者是安置在攻击源附近,这样能够有效保护相应的资源,及时规避来自内部的安全攻击。
3防火墙和入侵检测系统的联合应用
从上面的分析可以看出,防火墙作为一种安全基础工程,其只能够对外部攻击进行防御,而不能对内部网络进行监控,而且在防御措施上属于被动防御类型,不能够根据正在进行的攻击具体情况来自动进行防御策略调整,因而在防护存在于其他防护检测系统进行结合应用的需求。而入侵检测系统作为一种内部的监听系统,能够对医院内部网络的数据通讯信息进行实时的监控分析,对其中存在入侵威胁的信息进行分辨,从而能够在网络系统受到有害信息入侵之前对其采取防御措施,有效保护网络系统运行的安全性。但是入侵检测系统本身只具有检测功能,只能够及时发现来自内外部的攻击行为和有害信息,而无法及时对此进行处理和拦截,因而也存在与具备拦截功能的系统进行结合的需求,所以在现代医院网络安全设置当中将防火墙和入侵检测系统结合起来进行应用,已经成为保障现代医院网络安全的关键所在,两者结合之后既能够及时发现内外部攻击行为,又能够及时对其进行处理,从而有效提升了整个医院网络的防护性能,是目前医院网络安全防护中比较理想的设置组合。
在具体的防护系统设计上,可以在现有的防火墙系统基础上建立入侵检测系统来进行辅助,从而能够实现将入侵检测系统功能和防火墙功能相互结合的目的。在入侵检测系统的程序设计上,可以参考Snort开放源代码来进行设计,通过这个简单的检测系统能够利用软件包中的监听功能来获取医院网络当中的数据包,然后在其中增加检测分析功能,就能够对监听收集到的数据进行分析,从而判断其中的有害信息。具体的方法是通过建立具体特征库来对数据进行分析,然后通过数据内容进行匹配,从而能够对相应的数据进行分析检测。在安装位置上可以将入侵检测系统放置在防火墙的内部或外部均可,一般来说可以将其放置在内部,防火墙本身能够对大部分的简单攻击进行阻止,这样能够将检测系统的检测能力都集中在重点的攻击上。在具体的防护流程上,当外来攻击到来时,一部分的攻击会被防火墙隔离在外,而其中另一部分则会骗过防火墙,进入到内部网络当中,这时入侵检测系统就会发挥作用,对这部分攻击进行识别,将数据包进行分检之后将其送到系统当中相关模块中进行检查匹配之后,就会发现这些数据和已经设置好的规则库当中的攻击特征相匹配,这时就会发出切断访问的要求,这时就通知防火墙进行拦截,从而起到保护网络安全的目的。在具体互动连接实现上,可以先由检测系统向防火墙发起连接,完成两者之间的正常连接之后,检测系统就可以通过连接将约定格式的数据包发送给防火墙,从而实现防火墙和检测系统之间的信息传递功能。而防火墙在受到检测系统发来的信息之后就可以实施相应的动作,并且将结果通过连接反馈给检测系统。
4结论
信息化管理在医院当中的建设是当前时代不断向前发展对医院管理的要求,信息化技术的推广应用不仅能够有效提升医院在人事、药品、财务等各方面的管理效率,因而医院的网络安全就显得十分重要,而防火墙和入侵检测系统的应用则能够有效提升医院网络的安全性,从而更好地提升医院网络管理的效率。
参考文献:
[1]荆村.医院网络安全管理的技术性问题[J].企业导报,2015,(13):139-139.
[2]赵凯.医院网络安全存在的问题及解决对策研究[J].信息与电脑:理论版,2011,09(9):92.
[3]Faisal,Sultan,Muhammad Tahir,et al.Development of an in-house hospital information system in a hospital in Pakistan[J].International journal of medical informatics,2014,83(3):180-188.