时间:2023-06-08 10:57:31
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全防护手段,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
安全域划分方式
1安全域划分模型。根据安徽中烟网络和业务现状,安徽中烟提出了如下安全域划分模型,将整个网络划分为互联网接口区、内部网络接口区,核心交换区,核心生产区四部分:核心生产区本区域仅和该业务系统其它安全子域直接互联,不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域,如服务器群、数据库以及重要存储设备,外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络,包括与国家局,商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接,主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。
2安全域边界整合。1)整合原则。边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想,这自然不必多说,同类安全域合并原则在落实时应以一下思想为指导:集中化:在具备条件的情况下,同一业务系统应归并为一个大的安全域;次之,在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合:不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合,以减小边界和进行防护。最小化:应将与外部、内部互联的接口数量最小化,以便于集中、重点防护。2)整合方法。为了指导边界整合,安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合,侧重于数据业务系统与互联网、外部系统间的接口的整合。(1)单一传输出口的边界整合此种整个方法适用于:具备传输条件和网络容灾能力,将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。(2)多个传输出口的边界整合此种整个方法适用于:数据业务系统和互联网之间有多个物理位置不同的接口,并且尚不具备传输条件整合各接口。
安全防护策略
1安全防护原则
集中防护。通过安全域划分及边界整合后,可以形成所谓的“大院”,减少了边界,进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段,集中部署基础安全服务设施,对不同业务系统、不同的安全子域进行防护,共享其提供的安全服务。分等级防护。根据烟草行业信息安全等级保护要求,对不同的数据业务系统、不同的安全子域,按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护。从外部网络到核心生产域,以及沿用户(或其他系统)访问(或入侵)系统的数据流形成纵深的安全防护体系,对关键的信息资产进行有效保护。
2系统安全防护
为适应安全防护需求,统一、规范和提升网络和业务的安全防护水平,安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中,安全域划分和边界整合是防护体系架构的基础。
1)设备自身安全功能和配置。一旦确定了设备所在的安全域,就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置,安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。
2)基础安全技术防护手段。业务系统的安全防护应以安全域划分和边界整合为基础,通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上,还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段,如网页防篡改、垃圾邮件过滤手段等。防火墙部署防火墙要部署在各种互联边界之处:在互联网接口区和互联网的边界必须部署防火墙;在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界;在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低,内部互联接口区防火墙可复用核心交换区部署的防火墙。另外,对于同一安全域内的不同安全子域,可采用路由或交换设备进行隔离和部署访问控制策略,或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头,并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下,也可在核心交换区部署入侵检测探头,实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端,并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时,为了提高可用性和便于防护,可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备,防范和过滤来自互联网的各类异常流量。网络安全管控平台网络安全管控平台应部署在网管网侧,但为了简化边界和便于防护,建议:在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。在内部互联接口区必须部署日志采集设备,采集业务系统各设备的操作日志。
1医院网络面临的内网威胁
医院之中所谓的内网安全威胁的主要存在于对医院内网进行使用的人以及相关管理人员自身的安全意识上面,以及他们自身的安全操作使用规范上面。从基础设施上面来说,医院首先要建立一个具有广泛影响力、能够切合实际、规范严密的更加人性化的信息化网络安全管理体系,这样能够强化医院之中的管理人员以及使用内部网络的医护人员的网络安全管理观念以及网络安全防范意识,同时也应当扩大对医院内部的网络安全管理的技术投人,加强管理人员的对于网络完全的管理力度,同时制定出完善、细致的奖惩措施、同时制定出细致的安全操作规程,组建专业的网络安全维护团队或者设置专门的防御网络攻击安全机构,最终为在医院的制度管理和操作规程方面为内部网络的安全管理提供良好的安全体制建设。在以上医院的安全制度的建立的情况下,在医院的工作人员方面,还应当对其安全意识进行提升,使他们能够养成良好的网络完全操作习惯。比如说不去访问或者浏览一些安全级别比较低的与无关自身工作的网站,经常对计算机进行杀毒、修复系统漏洞、打开系统防火墙、经常进行常规应用软件的升级、养成对重要数据及时备份的习惯。与此同时也要提升医院工作人员的网络安全防范的防护意识,尽量不安装来历不明或者盗版的软件,不随意外联网站;也要对医院内部工作人员使用个人的移动存储设备的方式进行规范,要求其不能随便插到系统内部网络计算机上使用。同时在内部计算机上也要利用设置密码,记录系统操作日志或者安装正版的网络安全防护软件等方法来实时的控制接入内部网络的计算机的使用过程。通过安全软件的安装和使用,比如说常用的安全防护软件360安全卫士,坚持每天进行对电脑安全扫描,修复需要修复的系统漏洞。在进行网络监测过程中,如果在某一时刻系统存在安全隐患的情况下,立刻采取措施,比如说杀毒、备份等来实现对医疗数据的实施保护。
2网络安全防控措施
在医院网络环境在面临着黑客攻击、病毒入侵等众多的网络安全攻击手段的安全隐患下,应该首先坚持以不变应万变处理原则,首先加强医院在网络方面的安全管理,制定完善的网络完全防护制度,对每一个参与对医院网络访问的工作人员或者管理人员分配响应的安全责任,加强安全意识的培养,最终实现对网络安全环境的有效监控。同时在日常安全防护管理过程中,如有发现问题,应当立即采取措施予以解决,并总结经验教训,保证以后在出现同样状况时能够快速正确的解决问题。同时对工作人员安全意识方面,还需要设立专门的网络安全防护部门,一方面用于对医院网络的安全防护进行管理,另外一方面用于对医院相关工作人员做网络安全操作培训。在基础设计防护方面,可以再软件上面和硬件方面做出不同的安全防护手段,比如说安装防火墙、使用杀毒软件等方式来确保医院网络系统不会受到网络攻击。
3结束语
实现医院的现代化建设过程中,做好医院网络安全的日常维护工作是医院现代化网络建设过程中应当重视的一个重要部分。首先应该把网络完全管理的可控、调配、规范作为安全防护的基本原则,充分实现对医院内外网的安全掌控,从根源上防控外网的攻击,通过采取各种防护措施最终保证医院内部事务信息化管理、医疗工作的网络化的实现过程中保持安全稳定的环境,促使医院现代化工作更加快速的发展。
作者:曹磊 单位:常熟市第五人民医院
[关键词]烟草企业;网络安全防护;体系建设
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)24-00-02
随着信息化的逐步发展,国内烟草企业也愈加重视利用网络提高生产管理销售水平,打造信息化时代下的现代烟草企业。但享受网络带来便捷的同时,也正遭受到诸如病毒、木马等网络威胁给企业信息安全方面带来的影响。因此,越来越多的烟草企业对如何强化网络安全防护体系建设给予了高度关注。
1 威胁烟草企业网络信息体系安全的因素
受各种因素影响,烟草企业网络信息体系正遭受到各种各样的威胁。
1.1 人为因素
人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,他是在不影响网络正常工作的情况下,进行截获、窃取与破译等行为获得重要机密信息。
1.2 软硬件因素
网络安全设备投资方面,行业在防火墙、网管设备、入侵检测防御等网络安全设备配置方面处于领先地位,但各类应用系统、数据库、软件存在漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,如Telnet漏洞、Web软件、E-mail漏洞、匿名FTP等,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过黑客攻入网络内部的事件,其大部分是因为安全措施不完善所招致的苦果。软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦被破解,其造成的后果将不堪设想。另外,各种新型病毒发展迅速,超出防火墙屏蔽能力等,都使企业安全防护网络遭受严重威胁。
1.3 结构性因素
烟草企业现有的网络安全防护体系结构,多数采用的是混合型结构,星形和总线型结构重叠并存,相互之间极易产生干扰。利用系统存在的漏洞和“后门”,黑客就可以利用病毒等入侵开展攻击,或者,网络使用者因系统过于复杂而导致错误操作,都可能造成网络安全问题。
2 烟草企业网络安全防护体系建设现状
烟草企业网络安全防护体系建设,仍然存在着很多不容忽视的问题,亟待引起高度关注。
2.1 业务应用集成整合不足
不少烟草企业防护系统在建设上过于单一化、条线化,影响了其纵向管控上的集成性和横向供应链上的协同性,安全防护信息没有实现跨部门、跨单位、跨层级上的交流,相互之间不健全的信息共享机制,滞后的信息资源服务决策,影响了信息化建设的整体效率。缺乏对网络安全防护体系建设的顶层设计,致使信息化建设未能形成整体合力。
2.2 信息化建设特征不够明显
网络安全防护体系建设是现代烟草企业的重要标志,但如基础平台的集成性、基础设施的集约化、标准规范体系化等方面的建设工作都较为滞后。主营烟草业务没有同信息化建设高度契合,对影响企业发展的管理制度、业务需求、核心数据和工作流程等关键性指标,缺乏宏观角度上的沟通协调,致使在信息化建设中,业务、管理、技术“三位一体”的要求并未落到实处,影响了网络安全防护的效果。
2.3 安全运维保障能力不足
缺乏对运维保障工作的正确认识,其尚未完全融入企业信息化建设的各个环节,加上企业信息化治理模式构建不成熟等原因,制约了企业安全综合防范能力与运维保障体系建设的整体效能,导致在网络威胁的防护上较为被动,未能做到主动化、智能化分析,导致遭受病毒、木马、钓鱼网站等反复侵袭。
3 加强烟草企业网络安全防护体系建设的策略
烟草企业应以实现一体化数字烟草作为建设目标,秉承科学顶层设计、合理统筹规划、力争整体推进的原则,始终坚持两级主体、协同建设和项目带动的模式,按照统一架构、安全同步、统一平台的技术规范,才能持续推动产业发展同信息化建设和谐共生。
3.1 遵循网络防护基本原则
烟草企业在建设安全防护网络时,应明白建设安全防护网络的目标与原则,清楚网络使用的性质、主要使用人员等基本情况。并在逻辑上对安全防护网络进行合理划分,不同区域的防御体系应具有针对性,相互之间逻辑清楚、调用清晰,从而使网络边界更为明确,相互之间更为信任。要对已出现的安全问题进行认真分析,并归类统计,大的问题尽量拆解细分,类似的问题归类统一,从而将复杂问题具体化,降低网络防护工作的难度。对企业内部网络来说,应以功能为界限来划分,以划分区域为安全防护区域。同时,要不断地完善安全防护体系建设标准,打破不同企业之间网络安全防护体系的壁垒,实现信息资源更大程度上的互联互通,从而有效地提升自身对网络威胁的抵御力。
3.2 合理确定网络安全区域
烟草企业在使用网络过程中,不同的区域所担负的角色是不同的。为此,内部网络,在设计之初,应以安全防护体系、业务操作标准、网络使用行为等为标准对区域进行划分。同时,对生产、监管、流通、销售等各个环节,要根据其业务特点强化对应的网络使用管理制度,既能实现网络安全更好防护,也能帮助企业实现更为科学的管控与人性化的操作。在对烟草企业网络安全区域进行划分时,不能以偏概全、一蹴而就,应本着实事求是的态度,根据企业实际情况,以现有的网络安全防护为基础,有针对性地进行合理的划分,才能取得更好的防护效果。
3.3 大力推行动态防护措施
根据网络入侵事件可知,较为突出的问题有病毒更新换代快、入侵手段与形式日趋多样、病毒防护效果滞后等。为此,烟草企业在构建网络安全防护体系时,应根据不同的威胁形式确定相应的防护技术,且系统要能够随时升级换代,从而提升总体防护力。同时,要定期对烟草企业所遭受的网络威胁进行分析,确定系统存在哪些漏洞、留有什么隐患,实现入侵实时监测和系统动态防护。系统还需建立备份还原模块和网络应急机制,在系统遭受重大网络威胁而瘫痪时,确保在最短的时间内恢复系统的基本功能,为后期确定问题原因与及时恢复系统留下时间,并且确保企业业务的开展不被中断,不会为企业带来很大的经济损失。另外,还应大力提倡烟草企业同专业信息防护企业合作,构建病毒防护战略联盟,为更好地实现烟草企业网络防护效果提供坚实的技术支撑。
3.4 构建专业防护人才队伍
人才是网络安全防护体系的首要资源,缺少专业性人才的支撑,再好的信息安全防护体系也形同虚设。烟草企业网络安全防护的工作专业性很强,既要熟知信息安全防护技术,也要对烟草企业生产全过程了然于胸,并熟知国家政策法规等制度。因此,烟草企业要大力构建专业的网络信息安全防护人才队伍,要采取定期选送、校企联训、岗位培训等方式,充分挖掘内部人力资源,提升企业现有信息安全防护人员的能力素质,也要积极同病毒防护企业、专业院校和科研院所合作,引进高素质专业技术人才,从而为企业更好地实现信息安全防护效果打下坚实的人才基础。
3.5 提升员工安全防护意识
技术防护手段效果再好,员工信息安全防护意识不佳,系统也不能取得好的效果。烟草企业要设立专门的信息管理培训中心,统一对企业网络安全防护系统进行管理培训,各部门、各环节也要设立相应岗位,负责本岗位的网络使用情况。账号使用、信息、权限确定等,都要置于信息管理培训中心的制约监督下,都要在网络使用制度的规则框架中,杜绝违规使用网络、肆意泄露信息等现象的发生。对全体员工开展网络安全教育,提升其网络安全防护意识,使其认识到安全防护体系的重要性,从而使每个人都能依法依规地使用信息网络。
4 结 语
烟草企业管理者必须清醒认识到,利用信息网络加快企业升级换代、建设一流现代化烟草企业是行业所向、大势所趋,绝不能因为网络存在安全威胁而固步自封、拒绝进步。但也要关注信息化时代下网络安全带来的挑战,以实事求是的态度,大力依托信息网络安全技术,构建更为安全的防护体系,为企业做大做强奠定坚实的基础。
主要参考文献
[1]杨波.基于安全域的烟草工业公司网络安全防护体系研究[J].计算机与信息技术,2012(5).
1引言
随着我国各大高校数字校园的发展建设,网络信息安全问题已经成为了校园信息化建设中不可忽视的重点问题。为了解决校园网络信息安全问题,越来越多的现代信息安全技术被广泛应用于数字校园建设中,防火墙技术在网络安全防护建设中应用得最为普遍。但是,传统的边界防火墙技术存在性能较差和单点失效等明显弊端,更需要基于网络拓扑结构来实现防火墙安全策略。因此,分布式防火墙技术在这种背景下应运而生,分布式防火墙技术通过在某些受保护的主机上进行部署,以解决传统防火墙技术的瓶颈问题。本文主要对分布式防火墙在数字校园中的部署进行了方案设计。
2传统防火墙中存在的问题
(1)内部安全问题。传统的防火墙技术无法对内部数据进行安全监控,更无法实现出现在网络内部攻击的安全防护。(2)性能瓶颈问题。传统防火墙技术的性能较差,数据处理速度较慢,防护恶意攻击的安全功能不够完善。(3)单点失效问题。整个网络的安全防护全部依赖防火墙技术,一旦恶意攻击者翻越防火墙,或者防火墙配置出现问题,内部网络将完全暴露于攻击人员面前。(4)授权访问问题。由于网络环境非常复杂,很容易造成恶意攻击人员绕过防火墙设置直接与内部网络进行连接,给网络安全防护带来极大威胁。(5)端对端加密威胁。当基于新型网络协议进行数据加密时,传统防火墙技术经常会由于没有密钥而无法识别合计检查通过的数据包内容。(6)安全模式简单。传统防火墙技术的安全防护策略主要针对的是内部网络,内部网络中部署的主机全部采用相同的安全模式,很容易造成信息安全威胁。
3分布式防火墙的部署设计
3.1体系结构设计
本文主要基于Linux系统环境下,通过服务器部署防火墙策略,在防火墙基础上进行安全策略协商,以确保各个防火墙可以协同工作,对整个网络系统进行安全防护,构建分布式防火墙系统的原型。分布式防火墙系统结构如图1所示,采用对话控制方式的协调机制,具有典型分散型防火墙系统的部署结构。
3.2控制中心结构设计
控制中心主要负责实现资料收集、相互对话、日志管理和证书签发功能。控制中心的各个节点处都配置了防火墙的安全策略库、数字密钥库和数字证书等内容。控制中心的本质是CA认证中心,CA认证中心是分布式防火墙系统唯一授权和承认的数字证书签发机构。控制中心结构主要包括策略模块、日志模块、策略分析模块和策略协商模块。
3.3防火墙结构设计
防火墙的设计主要采用了分布式结构,以分担网络数据流量的方法减少每个网络节点承担的数据处理量。分布式防火墙的部署能够有效避免某个网络节点感染木马病毒而导致整个网络受到严重的安全威胁,每个网络节点必须针对需要经过的数据进行识别和检查。防火墙系统的体系结构包括通用层接口、IP过滤模块、服务程序、联动接口、冲突检测、网络解析、策略协商和日志管理等。接口层主要为用户使用管理进行支持,IP过滤模块负责对生成的日志信息进行保存,以记录网络访问地址。冲突检测模块负责检查各个数据输入接口与防火墙连接的位置是否存在异常情况。安全解析模块负责解析安全版图,将其转换成为系统可以识别和执行的形式。策略协商模块负责利用控制中心实现其他防火墙的安全防护策略的协同运行。
4结语
综上所述,由于各大高校校园网络建设规模非常庞大,网络结构也十分复杂,本文提出了防火墙的部署方案,主要利用控制中心对安全防护策略进行协商,但这也可能会造成系统性能降低等问题,在下一步的设计研究中应该增加多个控制中心,由每个控制中心负责承担部分防火墙安全策略的协商任务,再通过完善的数据通信机制使各个控制中心之间实现协商策略的交换。同时,还可以将控制中心的各项功能与防火墙功能结合,防止由于过于依赖策略中心给系统安全漏洞和威胁。
关键词:网络工程;安全防护;防护技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)21- 4790-02
随着我国社会经济的发展,信息化建设也发展较快,现代通信技术日新月异。通信网络的推广和普及使人们改变了信息交流的方式,逐渐成为人们日常生活信息获取和交流的主要途径。近年来,我国互联网行业的飞速发展带来了两个方面的影响,一方面方便了人们的工作和生活,另一方面由于计算机网络的开放性、互联性以及分散性等特点,使得网络工程中还不同程度地存在着一些安全隐患,威胁着网络工程的通信网络环境。网络安全防护是一种网络安全技术,加强网络工程中安全防护技术,有利于保障通信网络安全畅通。因此,研究网络工程中的安全防护技术具有十分重要的现实意义。鉴于此,笔者对网络工程中的安全防护技术进行了初步探讨。
1 网络工程安全存在的问题分析
当前,网络工程安全现状不容乐观,还存在着诸多亟待解决的问题,这些问题主要表现在黑客的威胁攻击、计算机病毒入侵、IP地址被盗用、垃圾邮件的泛滥和计算机系统风险五个方面,其具体内容如下:
1.1 黑客的威胁攻击
黑客的威胁攻击是网络工程安全中存在的问题之一。黑客最早源自英文hacker,从黑客的定义上来看,黑客是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。一般来说,黑客在对网络工程进行攻击时,按黑客攻击的方式分类主要有两种攻击方式,即非破坏性攻击和破坏性攻击。非破坏性攻击通常为了扰乱系统的运行,将阻碍系统正常运行作为目的, 并不盗窃系统资料,用拒绝服务和信息炸弹对系统进行攻击;破坏性攻击以侵入电脑系统、盗窃系统保密信息为目的,黑客会破坏电脑系统。
1.2 计算机病毒入侵
计算机病毒入侵在一定程度上制约着网络工程安全的发展。计算机病毒具有破坏性,复制性和传染性等特点,计算机病毒不是天然存在的,是编制者将指令、程序代码植入到计算机系统中。所谓的病毒是人为造成的,通过影响计算机系统的正常运行,造成对其他用户的危害。计算机病毒破坏力强、传播迅速且不易被察觉,尤其是像木马、震网、火焰这些通过网络作为途径传播的病毒,一旦感染其他程序,将会对计算机资源进行破坏。不难看出,提高系统的安全性是确保网络工程安全的过程中迫切需要解决的问题。
1.3 IP地址被盗用
IP地址被盗用也是网络工程安全的瓶颈。对计算机网络而言,被盗用IP地址的计算机不能正常使用网络,致使用户无法进行正常的网络连接。区域网络中常有lP被盗的情况,这种情况下用户被告知lP地址已被占用,致使用户无法进行正常的网络连接。这些lP地址权限通常较高,窃取lP者一般会以不知名的身份来扰乱用户的正常网络使用,这会给用户带来很大的影响,使用户的自身权益受到侵犯,也严重威胁网络的安全性。
1.4 垃圾邮件的泛滥
垃圾邮件的泛滥,使得网络工程安全陷入困境。垃圾邮件是指那些并非用户自愿却无法阻止收取的邮件。长期以来,垃圾邮件损害了邮件使用者的利益, 垃圾邮件的的日益严重让网络重负逐渐加大,对效率和安全性造成严重的威胁,一方面大量消耗网络资源,减缓了系统运行效率;另一方面,数量繁多的垃圾邮件还侵害整个网络工程的安全。
1.5 计算机系统风险
计算机系统风险也影响着网络工程安全。在计算机网络工程中,管理机构的体制不健全,各岗位分工不明确,对密码及权限的管理不够,这些因素使网络安全日益受到外来的破坏且用户自身安全防卫意识薄弱,无法有效地规避信息系统带来的风险, 导致计算机系统的风险逐步严重,计算机系统不能正常工作,最终威胁到计算机网络的安全。因此,加强网络工程中安全防护技术势在必行。
2 加强网络工程中安全防护技术的策略
2.1 设置防火墙过滤信息
最直接的黑客防治办法是运用防火墙技术,设置防火墙过滤信息是加强网络工程中安全防护技术的关键。网络工程中最有效的防护手段就是在外部网络和局域网之间架设防火墙,网络防火墙作为一个位于计算机和它所连接的网络之间的软件,可以将局域网与外部网的地址分割开,计算机流入流出的所有网络通信均要经过此防火墙,经过防火墙的过滤,能够过滤掉一些攻击,以免其在目标计算机上被执行,增加内部网络的安全性。另外,防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
2.2 加强病毒的防护措施
加强病毒的防护措施也是加强网络工程中安全防护技术的重要组成部分。病毒防护是计算机系统日常维护与安全管理的重要内容,当前计算机病毒在形式上越来越难以辨别,计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。常见的杀毒软件有:360安全卫士,卡巴斯基,金山毒霸等。网络工程在加强病毒的防护措施方面,对计算机网络工程人员而言,相关人员都应该掌握使用杀毒软件、防病毒卡等措施,一般情况下,要定期对计算进行病毒检测与查杀,一旦发现病毒时应询问后再处理,不仅如此,对计算机系统的重要文件还要进行备份,防止由于病毒对系统造成的破坏导致数据的丢失。
2.3 入侵检测技术的植入
入侵检测系统作为一种主动的安全防护技术,对于加强网络工程中安全防护至关重要。对网络工程而言,入侵检测技术对计算机网络资源及信息中隐藏或包含的恶意攻击行为有效的识别,在网络系统受到危害之前拦截和响应入侵。提供了对内部攻击、外部攻击和误操作的实时保护,可以利用网络安全入侵检测采取相应的网络安全防护措施。入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务,从而有效的降低了来自网络的威胁和破坏,必将进一步受到人们的高度重视。
2.4 拒绝垃圾邮件的收取
凡是未经用户许可就强行发送到用户的邮箱中的电子邮件,都被成为垃圾邮件。垃圾邮件一般具有批量发送的特征。垃圾邮件现在慢慢发展成为计算机网络安全的又一公害。拒绝垃圾邮件的收取也是加强网络工程中安全防护技术的重要环节,拒绝垃圾邮件的收取,要从保护自己的邮件地址做起,不要随意的使用邮箱地址作为登记信息,避免垃圾邮件的扰乱。还可以使用outlookExPress和Faxmail中的邮件管理,将垃圾文件过滤处理,拒绝垃圾文件的收取。
2.5 加强网络风险的防范
加强网络风险的防范对于加强网络工程安全也不容忽视。在网络工程风险防范的过程中,利用数据加密技术是行之有效的途径。数据加密技术是加密技术是最常用的安全保密手段,也是有效防范网络与信息安全风险最直接,最为有效的方式。数据加密是一种限制对网络上传输数据的访问权的技术,具体说来,它是通过引导用户对网络传输中出现的、比较重要的数据进行设置密码的过程。从网络工程中数据加密的方式上来看,数据加密技术主要包括线路加密、端与端加密等等,各种方法都有各自的有点,线路加密主要是针对需要保密的信息进行的,在加密时使用加密密钥来对信息进行保护。端与端加密主要是针对网络信息的发出方,当网络信息数据到达tcp/ip之后就利用数据包进行回封操作,以此对重要数据进行安全保护。
3 结束语
总之,网络工程中的安全防护是一项综合的系统工程,具有长期性和复杂性。网络工程中安全防护技术,应设置防火墙过滤信息、加强病毒的防护措施、入侵检测技术的植入、拒绝垃圾邮件的收取、加强网络风险的防范,不断探索加强网络工程中安全防护技术的策略,只有这样,才能不断提高网络工程的安全管理水平,进而确保计算机网络的安全。
参考文献:
[1] 李巍巍.计算机网络安全的数据备份和容灾系统[J].黑龙江科技信息,2010(33).
[2] 王薪凯,姚衡,王亨,常晶晶,喻星晨.计算机网络信息安全与防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大热点预测[J].信息安全与通信保密,2011(3).
[4] 赵章界,李晨旸,刘海峰.信息安全策略开发的关键问题研究[J].信息网络安全,2011(3).
[5] 陆文红,蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技(下旬刊),2010(10).
[6] 余斌.论计算机互联网与通信网络建设的安全性[J].科技经济市场,2010(5).
关键词:计算机网络,防护技术,研究
随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。
一、计算机网络防护技术构成
(一)被动防护技术
其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。
( 1 )信息保密技术
密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。
( 2 ) 信息认证技术
认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全
其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。
( 3 ) 访问控制技术
访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。
其主要方式有:自主访问控制、强行访问控制和信息流控制。
( 4 ) 防火墙技术
防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。
其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。
防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。
(二)主动防护技术
主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。
( 1 )入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。
入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。
入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。
( 2 ) 网络陷阱技术
网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。
其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
( 3 ) 入侵检测技术
入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。
其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。
入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。
( 4 ) 自动恢复技术
任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。
其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。
自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。
二、计算机网络防护过程模型
针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。
图1 P2DR模型体系结构图
其过程如下所述:
1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。
2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。
3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。
4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。
随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。
关键词: 桌面终端;安全防护体系;安全要求
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2012)0220131-01
0 前言
随着互联网络和企业网络的发展,信息传播范围和获取手段发生着日新月异的变化。桌面终端在企业员工日常工作中已被广泛使用,成为基本工具。桌面终端需要频繁地访问与企业生产运行密切相关的各种各样的信息系统,大量敏感或信息存储在桌面或移动存储介质中。同时,来自于企业计算机网络外部或内部的攻击活动有增无减,变化无常,加之企业内部桌面非法接入的情况较为普遍,以及桌面安全的管理规章制度没有切实有效的管理手段。目前企业信息安全面临严峻的挑战,如何保证桌面终端的安全,从而保证企业整体信息安全,成为日益突出的问题。同时强有力和切实可行的桌面安全管理手段,也将成为企业信息安全得以保证的基础。
1 桌面终端的安全要求
随着企业信息化建设的迅速发展,终端计算机数量的逐步增加,企业正常、稳定的生产及运行越加依附于企业网络。桌面终端是企业网络的最基本组成部分,也是管理的最薄弱环节,涉及大量敏感或数据,管理较为为复杂,往往成为信息外泄的源头。
企业应根据自身的网络环境,结合基本情况,统一部署防病毒系统和补丁分发系统,并定期对病毒定义文件进行升级和播发安全补丁。同时为了确保终端用户合规接入网络,应建立以端点准入控制系统为基础的安全防护体系,并执行企业制定的安全策略,阻止不符合安全策略的终端用户接入企业网络。终端用户的桌面安全环境需要由完善的桌面管理系统提供保障,除了利用防病毒和补丁系统,来防范和控制木马、恶意软件及内网的攻击行为,还要对企业终端用户的桌面制定相应的安全机制,确保每个接入网络的终端用户都符合企业安全策略,规范终端桌面的安全行为,使桌面终端工作在一个安全的防护体系中,保证企业网络在一个安全、稳定、有较的环境中运行。
2 桌面终端安全防护体系建设
随着信息技术应用的不断深入,企业信息系统集中程度的不断提高,业务对信息系统依赖程度不断加大。现有的安全防护系统仍不能完全预防来自企业内部或外部网络的入侵和攻击,所以需要完善安全防护体系建设,统一建立以防病毒系统、补丁分发系统和端点准入控制系统为基础的桌面安全防护系统,才能使主要依靠信息化应用系统的安全性得到有效保证。
2.1 防病毒系统。防病毒系统体系由总部服务器获取最新病毒定义文件下推到各级单位,实现病毒定义文件的逐级升级。防病毒体系的统一部署,有效地防止了病毒和恶意软件的大面积爆发,为桌面终端安全提供了强有力的保障。
2.2 补丁分发系统。补丁分发系统采用总部服务器过滤最新系统安全补丁并下发到地区公司服务器,地区公司服务器自动下发到终端用户的总体架构方式。补丁管理系统可以帮助企业对网络内各种软件和应用系统进行维护和控制。克服安全漏洞并保持生产环境的稳定性。
2.3 端点准入系统。端点准入安全防护体系由总部服务器下发企业总体安全策略,地区公司接收总部策略后根据本地实际情况制定个性化策略,管理个人计算机。端点准入控制系统需要提供全面的端点保护功能,实现多层次的安全防护策略,有效应对病毒、木马、蠕虫等混合安全威胁,有效应对来自于互联网和内部网络的恶意扫描、恶意入侵等安全威胁。
2.4 桌面安全流量监控体系。通过桌面安全流量监控系统,将桌面安全事件和桌面安全技术支持团队有机联系在一起,建立“发现-定位-处理”循环往复的工作模式,以安全管理团队自上而下的监督、支持和协同作战,推动各级安全管理团队的工作,提升管理水平,保证信息安全在桌面端少出问题,从而增强我们整体的信息安全水平。
2.5 数据文件电子加密。网络中最有价值的是数据,而敏感或数据的安全性越来越重要。网络安全产品大部分都集中在这些数据的,并没有针对数据本身的安全保障提出有效的解决方案。所以建立电子文档加密系统,可以为员工提供方便易用的文件加密工具,切实增强信息安全水平和意识,有效防止敏感信息泄漏。这对提高整体的信息安全也是切实可行的。电子文档加密系统是为桌面用户提供文件加密工具。加密后的文件可有效防范丢失、失窃或在网络上传输时被非法常截获等情况下的信息外泄。
2.6 系统安全审计。建立系统安全审计应为安全部门或管理员提供及时有效的一组管理数据进行分析,以发现在何处发生了违反安全方案的事件。利用安全审计结果,可调整安全政策,堵住出现的漏洞,为此,系统安全审计应该具备以下功能:
1)记录关键事件:由安全相关部门统一定义违犯安全的事件,并决定将什么信息记入审计日志。
2)提供可集中处理审计日志的数据形式:以标准的、可使用的格式输出安全审计信息,使安全官员能够直接利用软件工具处理这些事件。
3)实时安全报警:扩展现有管理工作的能力并将它们与数据链路驱动程序和安全审计能力结合起来,当发生与安全有关的事件时,安全系统就报警通知相应的部门。
2.7 加强桌面安全管理。建立严格遵守规章制度,依据国家法律法规根据企业本身的实际情况制定相关规章制度,让终端用户遵守相关制度,可以有效的减少终端安全桌面的事故发生。培养终端用户良好的安全意识,安全意识低的必然结果就是导致信息安全实践水平较差,所以培养终端用户的安全意识可以防止利用终端入侵企业网络。加强桌面用户安全培训,经常组织安全培训可以提高终端用户的安全防护知识,提升终端桌面的防御能力。
3 结语
桌面终端是企业网络运行的基础,也是企业信息安全最脆弱的部位,目前企业的安全防护手段不能完全的对桌面终端做到有效的安全管理,所以应该根据需求建立相应的安全体系,不仅能增加桌面终端的安全防护能力,同时也减少企业网络面临的安全威胁,同时应提高终端用户的安全意识,加强安全管理。
参考文献:
【关键词】医院;信息化;计算机网络;安全
doi:10.3969j.issn.1004-7484(x.2013.10.706文章编号:1004-7484(2013-10-6153-01
随着医院信息系统业务的逐步扩展应用及网络恶意软件等技术的发展,医院信息系统面临着一定的潜在威胁,如何保障系统中网络安全,确保系统正常运行,是当前医院信息化过程中需要考虑的重要事情。现本文对关于提升网络安全的相关措施进行探讨。
1医院信息系统中网络安全的重要性
随着社会信息化进程的推进,医院信息系统是保证医院高效运行的基础,与整个医疗服务、后勤管理、信息管理都有重大影响。医院信息系统需要与银行、保险及其它各行业部门和医院内部不同科室相互连通,在相互交流的过程中网络的安全性就直接关系到系统的正常运行。一旦网络发生故障就可能导致系统瘫痪,给医院及患者造成重大损失[1]。因此,在医院信息化过程中构建完善的网络安全防护体系具有重大意义。
2医院信息系统面临的安全威胁
首先是硬件风险,设备老化、新旧设备存在兼容性问题、系统扩展性问题、设备场地、运行环境较差等。其次是技术风险,如操作系统不完善、设置问题、系统漏洞。此外是人为风险,主要因人为操作失误或故意攻击引起,如黑客攻击、病毒入侵及其它人为因素导致的设备故障等。最后是管理风险,如缺乏完善的管理制度、责任权利分配不明、控制不当等。以上都会对系统网络安全构成威胁,为此,应建立具有针对性的网络安全防护措施,确保系统的安全运行。
3强化医院信息系统中网络安全的具体措施
3.1物理层安全的维护物理层的安全可直接关系到设备的损坏和数据的丢失,因此应首选注重对物理层的保护。在基建阶段要建立符合国家标准规定的设备运行环境,配备完善的防灾、防水、防火、防雷等设施,积极与电力、电信等有关部门协调,保证良好的供电环境及畅通快速的网络环境。制定突发网络安全事故应急预案,定期进行设备的维护、检修工作。重要设备如机房服务器、主干网络路由器、交换机等指定专人专管,确保发生故障及时修复[2]。及时更新老化、落后的设备,采购新设备时应注意与原有设备的兼容性问题。网络布线应注意避开电源,注意对电磁、静电的屏蔽处理,以免影响网络的运行速率。
3.2制定网络安全防护策略网络安全策略是从整个医院网络安全角度定位编写的管理性项目文件。伴随着网络攻防及网络应用的发展,应不断完善法规标准,改进技术防护手段,合理调整医院部门机构的职责和分工,确保网络安全防护体系的可持续健康发展。严格做好医院内、外网的隔离,作为承载医院内部重要数据如财务账目、患者医疗信息的主服务器,应与外部互联网进行物理隔离。在综合布线时铺设内、外两套线路,一套用于医院内部信息网络连接,一套用于外部互联网连接,用户可通过转换网线接口来进行内外网的访问。特别是对于涉及安全保密工作的部门,严禁连通外网访问[3]。
3.3完善技术防范体系首先,及时更新操作系统补丁,充分利用网络安全性评估分析工具对网络系统进行扫描分析,及时发现系统弱点或网络安全漏洞并采取补救措施。在防火墙的基础上应用入侵检测系统,对在网络中的某些可疑通信数据进行分析判断,并按时提出全面的网络安全审计报告,以便在出现故障时查阅减少排查时间。同时在客户端主机上进行实时监控,让网管人员了解用户终端上的异常行为,以便实施具有针对性的安全防护措施,同时也提高了工作效率。其次,注重对网络病毒的防御,在选择网络防病毒产品时要求厂商能够提供即时的、完整的反病毒咨询,建立网络访问限制、网站过滤机制,从源头上预防网络病毒的侵害[4]。此外,账户密码管理,密码不得选用电话号码、生日等容易猜测和破译的数字,应尽量复杂。网络系统主服务器及其它重要设备的密码口令只能由负责网络管理的相关人员掌握。并设定密码自动过期,强制到期更换密码。最后,定期进行数据备份,对于重要信息还应选择磁带备份或光盘备份。
3.4加强组织管理网络安全有“三分技术,七分管理”的说法,医院信息系统的网络安全不仅仅是技术上的问题,更多的时候风险存在管理上。因此,应加强对网络安全的管理,如严禁医务人员在客户端上使用游戏、娱乐等非工作相关的软件。明确各个部门和操作人员的职责和权限,对于故意破坏系统,超权访问拷贝保密文件的,要进行严肃处理。只有管理到位,才能充分保障各项技术措施的效用,确保系统的安全、平稳运行。
4小结
在推行医院信息化进程当中,要以“以病人为中心,方便病人”为目的构建医院信息系统,大力推进医院信息系统中的网络安全建设,通过各项安全防护措施及完善的管理模式,及时更新维护医院信息系统,减少因网络安全导致的安全事故的产生,保证医院服务质量。
参考文献
[1]邓羽,李向波,钱崇强.医院信息化过程中的风险管理[J].医疗卫生装备,2010,31(8:92-93.
[2]范玉林.浅析医院计算机系统的网络安全[J].信息安全与技术,2012,3(8:36-38.
关键词: 校园网络;安全防范;设计方案
0 引言
目前,校园网计算机技术已经在学校教学中起到十分重要的作用。但其安全隐患却无处不在,人为方面的因素主要体现为管理制度上的缺失,操作上的不合理等。为了解决这一问题,文章提出了具体的校园网安全防护措施如下。
1 校园网安全威胁因素
校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。
2 校园网络安全防范设计方案
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1 利用备份链路优化校园网的容错能力 备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2 计算机防火墙的合理应用 计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3 VPN的构建 VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。
2.4 网络层其他安全技术 网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3 校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1 应用VLAN技术提升网络安全性能 VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2 利用网络存储技术,确保网络数据信息安全 校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。
3.3 配置交换机端口控制非法网络接入 交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4 总结
校园网在为教学提供方便的同时,其安全也值得重视。基于校园网安全防护的复杂性和科技的快速发展,其安全防范技术也逐渐增强。本文提出了校园网网络安全防范方案其中主要研究了计算机系统的防病毒处理。取得了一定的效果,但具有一定的问题需要解决。其中包括检测与防护之间的联动如何实现,防护策略如何更新等。校园网的安全防护对于计算机网络的整体安全具有十分重要的作用,实现这一系统安全是教学中的主要任务。虽然很多学校开始重视互联网的安全防护,构建了较为完善的防护制度,出台了具体的防护措施。但计算机黑客攻击时刻存在,并且病毒对计算机造成的毁坏越来越大,如何构建一套积极可行的校园网安全防护手段是学校计算机管理人员的主要任务。
参考文献:
[1]陈显亭,贾晓飞.网络出口转换技术研究[J].电子科技,2010,23(12):77-79.
关键词:计算机;通信网络;安全;防护措施
计算机的网络通信在技术上的发展逐渐走向成熟,因此也得到了广泛的应用。随着国民经济的不断增长,推动了信息化的发展。当然,各行各业也增加了对计算机通信的依赖度,同时,也关注了它的安全性。为了从本质上提升计算机的通信网络安全性,就需要制定相关的安全防护措施,确保计算机能够安全运行。
1计算机通信网络安全与防护的意义
计算机的通信网络能够在互联网的系统中存储大容量的信息,通信网络的存在是对信息的提取、传输以及处理等而为计算机提供的一种传递信息的通道。互联网所存储的大容量信息主要是用户的资料以及个人保密的信息,还有一些网络运营商提供的服务。它的安全、防护等技术旨意在维护计算机通信系统及网络在存储信息、传递信息过程中的安全。因此,计算机的通信网络在安全方面采取的防护措施,能够确保该系统在网络环境下得以正常、安全的运行。对于计算机系统而言,系统在运行过程中必然会存在漏洞的缺陷,而这些漏洞恰巧能够威胁计算机的安全,会引发一系列的安全问题。虽然存在着漏洞,但是能够及时发现和处理。因此,对计算机通信实施安全和防护的措施,是为了使通信信息具有完整性与安全性。
2计算机通信网络安全存在的问题
2.1人为因素
由于人为因素导致的计算机通信安全问题,是构成计算机安全问题的重要因素之一。人为因素主要体现为:管理人员不具备较高的专业技术以及安全意识;或是利用真实的身份信息侵害网络,并修改计算机的数据信息;此外还包括一些黑客的人为行为阻碍计算机的通信网络实现安全的发展。
2.2安全隐患
计算机对通信信息进行传输的过程中,由于系统在设计上不具备完善性,对于存在的安全问题无法防护,进而对计算机的安全构成了较大的威胁。另外,计算机业具有很强的辐射与破坏性,如果内有一定的防护对策,就容易使信息被盗,并造成很大的安全影响。
2.3计算机通信网络自身问题
由于计算机的通信网络具有一定的开放性特点,所以对数据的传递很难加强其保密性。同时,对自身网络的布线、通信质量都会造成极大的影响,从而导致安全的问题;由于通信软件在系统上存在的不完善性,很容易引发安全问题与漏洞的出现。在加上不具有防护的措施,很难保证数据不被丢失;另外,就是自身服务器的问题,由于它的运行与工作的效率较低、以及IP协议的安全局限,都会使通信网络遭到安全的威胁。
3计算机通信网络安全与防护措施
3.1改善计算机通信系统的基本性能
由于计算机的通信网络在设计方面采用了比较简单的方式,也就产生了不安全的致因。所以为了保证计算机的通信网络安全性,有必要通过改善和提升计算机具有的基础性能。譬如:对计算机病毒的检测与防护、恢复瘫痪的网络、对安全作出应急的处理、对信息实施加密的管理工作等,不断开发出具有安全性的新技术,提升系统的安全性能与防护性能,并减少漏洞的出现。另外,还可通过设计增加防护对策,制定有关安全的管理制度,实施检查与监督,避免由于漏洞的存在导致系统降低安全性,全面提升计算机的安全性能。
3.2积极宣传网络安全教育
要想解决计算机的安全问题,就需要提高人类对网络安全性的重视。通过积极宣传有关网络安全的教育工作,以此加强计算机的通信在技术方面的沟通与交流。因此,要求利用一定的安全技术去提升通信网络的安全性。此外,计算机的管理者直接管理到网络通信的安全,此管理者应具有安全的意识,并采用有效的防护手段,进而保证计算机信息不被丢失或盗取。
3.3制定网络安全防护
对计算机制定相关的安全防护内容包括:制定访问网络的权限,限制网络用户对加密信息的访问,体现安全防护的措施。在用户访问计算机信息时,通过控制的功能模块阻止用户对计算机部分信息的访问。即使要访问也要有身份的验证,才能允许用户实施访问的行为。对于非法的用户在访问时,网络就会实施拦截,阻止其对信息的访问;制定使用网络的权限,为了避免计算机通过通信网络的传输而泄露具有价值的信息,应该对用户制定使用网络的权限,以此控制对部分资源的查询,进而有效提升通信网络的安全;对信息制定加密的保护,对信息实施加密的方法主要是为实现对数据以及信息的保护,不但防止不法分子偷窃计算机的数据信息,还提升了通信网络的安全性,达到了防护的目的。
4结语
对计算机的通信网络实施安全的防护措施,实际上是一项较为复杂的工作。为了提升计算机通信的安全性与防御性,需要掌握影响或威胁计算机安全的因素,进而才能实施有效的措施实现防护。通过改善通信网络的基础性能,并积极宣传有关通信网络的安全教育、以及制定安全的防护措施,及时、有效提升通信系统的安全性,保护数据的安全与完整。利用这样的防护措施,提升管理者对家算计安全的意识,真正从根源上确保计算机能够安全、有序的在网络环境下运行。
作者:马卫纲 单位:大学
参考文献
[1]冯冬.计算机通信网络安全与防护策略探讨[J].信息通信,2015,7(9):175-176.
[2]黎辉.计算机通信网络安全与防护措施[J].信息安全,2015,8(3):220.
计算机网络防御策略模型是一个立体的、三维的概念,用数学模型来解释就是:防御模型是由x、z、y三个轴组成的,x轴为计算机计算机网络防御策略模型文/刘喜洋随着计算机技术和网络应用技术的发展,这两者与人们的生活已经紧密相联,无论是在工作还是生活方面,人们都越来越依赖计算机网络,许多不法分子针对这一现象,经常运用计算机的安全漏洞来牟取非法利益。因此,为了保护个人或集体的信息资源,我们不得不更加注重计算机的信息安全问题。摘要安全特性;y轴分为物理层、数据链路层、网络层、传输层、应用层等层面;z轴为计算机的物理环境,其包含计算机的安全管理、信息网络和信息处理。综合这三个要素建立的模型,才是一个行之有效的网络安全防御模型。由此可见,在建立计算机网络防御策略模型的时候,我们要从多个方面着手。一方面合理的运用相关技术提高计算机本身的安全特性和物理环境,另一方面着力于提高网络方面的防护措施。笔者在下文中将详细介绍具体的构建设想。
1.1计算机网络防御安全体系的设计
1.1.1前瞻性
一方面,在构建防御模型时,我们要始终考虑到网络的安全问题做到居安而思危,虽然前期的安全防护措施会相应的增加成本,但这与信息安全事故后的亡羊补牢相比只是九牛一毛而已。另一方面,网络病毒不仅多种多样且更新速度也较为迅速,因此防御模型的建立还要充分考虑到网络在未来可能的变化情况,做到未雨绸缪。
1.1.2实用性
首先,网络防御模型建立的目的是为了保护信息,减少事故后的损失,所以在设计模型的时候我们要考虑到资料的实际价值,不能用远高于资料价值的经费去进行网络维护,这样一来就顾此失彼了。然后,我们还要充分考虑网络防御模型的防御对象,根据有可能产生问题的情况进行针对性的防护。计算机的网络防御措施就如同城墙一样,覆盖的范围越大其产生漏洞的可能性也越高,对于一般的环境来说,具有针对性的防护手段则显得更加安全和实用。最后,对于使用者来说,防御模型的使用方法不能过于复杂。这既方便了管理人员的操作,也更便于防御手段的定期检测工作。
1.2计算机网络的安全防御策略
首先,信息安全的防护不能只依赖于计算机这一点,人为建立的制度终究有其局限性。因此,一个完善的安全防护模型还必须要有管理人员的参与。其次,信息和资料的泄露主要来自三个方面:计算机本身的数据库保护机制被破解、数据传输过程中的漏洞、认为因素。由此可见,一方面,我们要在局域网内部和信息的传输过程中导入先进的防护技术,提高资料储存和传输的可靠性,并树立操作人员的安全意识;另一方面,还要积极运用法律手段保护自身的权益,这即是减少时候损失的一种方法,也是对不法分子的一种威慑。最后,定期对用户和网络环境进行检查,即一方面慎重的对用户进行认证和授权,另一方面定期扫描计算机,对病毒进行控制和清除。
1.3CNDPM模型
传统的计算机网络防御策略模型主要为基于PPDR模型思想的Or-BAC模型,这种模型的兼容性较窄,策略层次也不够清晰。显然,这种模型以及不能达到当代网络安全保护的要求。CNDPM模型(ComputerNetworkDefensePolicymodel)是Or-BAC模型的一种扩展,它的策略层次更为清晰,其可以具体到防火墙的ACL列表、网络IDS检测等细节,能够对网络的保护、网络环境的检测、问题的响应进行统一建模,是一种更为完善的防御手段。以下为CNDPM模型图。从该图中我们可以很清楚的发现CNDPM模型内,各部分之间都是紧密相联的,其中任何一方面出现问题,其它部分也会相应的有所反应。这就意味着无论多么细小的问题都无法逃过该模式的检测,安全防护水平将有着巨大的提升。
2结束语
关键词:网络安全;防火墙;实际应用
中图分类号:TP393
随着网络在人们学习以及生活中的应用越来越广泛,数据信息的安全性开始受到人们的关注。病毒以及黑客攻击带来的数据丢失、程序破坏,给用户带来经济损失的同时,也限制了计算机技术的进一步发展。为此,做好网络安全技术的研究,对社会的发展具有重要的意义。
1 计算机网络安全技术介绍与研究
1.1 网络安全的介绍
从广义上讲,凡是影响计算机正常运行或者计算机用户正常操作的都是网络安全需要贯彻的领域。从狭义上讲,网络安全是指信息和数据完整性不被破坏。目前,网络安全使用的定义,大多是狭义方面的。
1.2 影响网络安全的表现
(1)物理方面的表现。网络安全的承载体如果受到破坏,那么就有可能造成信息的丢失,计算机的硬件、软件,甚至是路由器、ADSL的漏洞都会给用户的信息留下严重的安全隐患。另外,地震、雷电等不可抗力的因素、停电等社会因素、电磁干扰等人为因素都会造成信息系统的不安全性[1]。
(2)技术方面的表现。信息在传送过程中容易被非法人员侦听,信息的泄露可能造成用户的经济损失;某些黑客对信息的盗取和攻击只是为了寻求精神上的刺激,所以在进入到计算机系统之后,针对性的对数据或者程序进行破坏;对用户传送的数据类型进行限制,或者只允许用户对某些类型的数据进行传送而禁止其他类型的数据传送,专业术语上被称为非法信息流;在对网站进行访问时,可能会被黑客、病毒或者一些流氓软件绑架;不法人员通过非法程序对某些限制性资源进行访问,可能会使资源的消耗过快,资源浪现象严重;在进行文件传送或者网络文件下载时,可能会被某些非法程序劫持,造成数据的丢失和破坏;编程人员在从事软件设计时,为了方便程序的编写,可能会在软件程序中打开一个后门,当软件在正式应用时,这个后门很可能会成为软件的漏洞,一旦被黑客利用,就会成为进入用户内部程序的入口[2];某些企业员工在受到经济利益的影响时,可能会实行直接性的数据盗窃,口令的简单或者泄露、上岗制度的宽松为不法人员提供了很好的便利条件。
1.3 应对网络安全的策略
(1)物理方面的应对策略。针对停电造成的数据丢失,只能通过备用电源的技术研究去解决。目前,备用电池在笔记本电脑的应用中已经实现,如果能够在台式电脑中得到应用,就可以从根本上解决这种情况;针对可预测性数据损害,例如雷电、电磁等,可以通过技术研究得到解决,但由于计算机的组成元件以及工作原理受限,用户自身的防护才是有效的解决手段;针对不可预测性的损害,例如地震、海啸等,这些自然灾害是很难通过人力方面去抵制的,如果对存储技术进行深入研究,保证用户在计算机操作中能够做到数据的实时存储,即便是遭受了非人力性自然灾害,也可以将损失降到最小。
(2)技术方面的应对策略。网络防火墙以及杀毒软件的研发是保证数据不受损害的重要手段,对于这类软件的选用存在着很大的选择性,目前杀毒软件领域,例如360、卡巴斯基、金山等在查杀病毒上都有着广泛的影响力,由于防护手段的研发是基于病毒和其他攻击手段的基础之上。所以,无论是防毒还是杀毒都处在一个比较局限的区域,用户应保证软件的更新速度,并对系统存在的漏洞进行定期的扫描[3]。
数据加密技术也是网络防护的重要手段,通过对数据进行加密,可以有效的避免他人对数据的查看。数据加密的技术主要分为以下几种:
链路加密技术是一种线性的传送技术,通过两个节点之间的连接,能够搭建起一座密码传送的桥梁,无论是对起点还是对终点进行密码创建,都能够很好的对密码深度进行加强。
端端加密有着很好的可靠性,通过对源节点与目标节点控制,使数据始终能够以一种密文的形式存在着,这种方法不仅有着安全性,更重要的是设计方式较为简单。
混合加密模式是对上述两种加密方式进行了组合,两者的加密优势在一种加密形式中得到了共同的体现,使加密的安全性更高。
当然,除了上述几种网络安全防护模式之外,身份认证、数据备份也是很好的防护手段,在这里,笔者就不做过多的介绍了。
2 防火墙技术的应用研究
2.1 防火墙技术的介绍
从防火墙的字面意义上不难看出,防火墙主要是将外在环境与内在环境隔离开来达到网络防护的目的。从应用原理上也可以将它看成一堵渗透性的墙,因为它对数据的处理是有选择性的。
2.2 防火墙的选择
防火墙的选择要遵循经济性的原则,经济性的原则是针对数据的价值而言的,如果防火墙的引进成本高于数据丢失造成的最高成本,那无疑会造成资源的浪费;如果防火墙的引进成本低于数据的最大损失,就会为数据埋下安全隐患。
作为信息安全的保护者,其安全性是用户最为关心的方面,如何对防火墙技术的安全性进行判定呢?第一、品牌性原则。如果防火墙的设计厂家在这一方面比较权威,并且售后反馈较好,那么其安全性就有一定的保障。第二、操作技术。通常情况下,防火墙引进之后都需要进行自我的设定,如果在设定时操作不当,就会使防火墙系统出现很多的漏洞。
渐适性原则。网络系统在构建之初一般不会遭受重大的安全事故,因此,购买昂贵的防火墙系统是不必要的。随着企业的进一步发展,网络系统会渐渐完善,届时,可以对防火墙系统进行完善或者更换,配备专门网络防护系的专业人员对系统进行专业的维护。
2.3 防火墙技术的分析
目前,市场上的防火墙技术按类型的不同主要分为四种,下面笔者就对四种常见防火墙进行介绍:
(1)包过滤性网络防火墙。这类防火墙一般都包括网络和传输两个层面,系统管理员通过对防火墙的地址、端口设置相应的数据参数,然后对来往的数据进行匹配,如果数据能够符合相应的设置参数,那么数据就能够被放行。如果不能够被通过,那么,数据就会被丢弃。
(2)NAT。这种技术主要通过IP地址的转换实现对网络安全的防护,在进行网络安全防护之前首先需要设置一个外源地址,这个地址必须是已经注册过的。当用户使用内部网络对外部网络进行访问时,NAT能够自动对网络的IP地址进行切换,通过一个伪装的IP地址实现对真实地址的掩藏[3]。当外部的网络环境想要对内部环境进行攻击时,会因找不到有效IP地址而变得困难。
(3)型防火墙。型防火墙的是一种较为极端的阻隔技术,他通过对网络通信的阻隔,实现了对数据的检测和控制。它在OSI模型中处于最高的层次,也被称为应用层。
(4)状态监测。这类防火墙对数据的检测是根据连接状态实现的,首先对所有的连接进行提取,检测出所有的连接状态,针对整理出来的连接进行分类,找出同一连接数据包作为一个整体,最终通过内部系统的配合,对连接的状态进行诊断。
3 结束语
综上所述,网络安全防护与防火墙技术的应用,在很大程度上保证了用户对数据安全性的需要。因此,加快防火墙技术和其他安全防护技术的研究,无论是对数据保护还是计算机领域的未来发展,都有着重要的意义。
参考文献:
[1]张瑞.计算机网络安全及防火墙技术分析[J].内蒙古边防总队兴安盟边防之队,2012(24).
[2]肖玉梅.浅析当前计算机网络安全中的防火墙技术[J].重庆电子工程职业学院,2011(05).
[3]赵佳.略谈计算机网络安全与防火墙技术[J].辽宁广播电视大学,2012(08).
