时间:2023-09-12 17:11:08
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全终端管理,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】计算机网络安全;CPK终端软件;安装CPK终端软件认证;CPK终端系统需求
为使互联网行业能够稳步快速、安全发展,国家相继起草并实行了一系列互联网安全管理草案,确保计算机用户可以安全放心地使用网络。要想互联网行业长久不衰、坚持走科学发展的长远道路,那么互联网行业除了安全综合政治管理以外,还要进行内外兼治,这样就不得不以科学的发展眼光引进CPK网络终端软件管理系统。它建立了交易信任和数据安全基础,然而CPK终端软件的核心是建立合理的管理机制,有效数据管理扼杀了木马病毒入侵计算机网络的摇篮之梦。
一、CPK终端软件管理系统的描述与分析
1.CPK终端软件管理系统
在网络广泛运行的今天,家庭及企事业单位等大型办公场所局域网可以随意自主安装,随意使用盗版软件、黑客软件及与工作业务无关的聊天、游戏等不良娱乐软件,这些网络终端软件的滥用威胁着系统的安全,影响网络的运行性能及速度,严重的影响整个网络的发展进程。所以合理化地管理网络管理终端软件已经迫在眉睫。CPK终端软件管理系统能够及时的拦截病毒的攻击。CPK终端软件管理系于1999年由南湘浩教授提案,2003年在《网络安全技术概论》中公布了基于椭圆形曲线ECC构造了基于标识的组合公钥。此密钥是离散对数难题型的基于标识的密钥生成与管理体制。依据对数据原理构建公开密钥与私有密钥的矩阵,采用杂凑函数与密码变换将实体的标识映射为矩阵的行作坐标与数列坐标序列中,用来对矩阵元素进行选取与组合,生成数量非常大的由公开密钥与私有密钥组成的公钥、私钥对,以此来实现基于标识的超达规模的密钥生成与分发。CPK密钥管理从体制上是依据数学原理离散对数问题的构建,也可以用椭圆形离散对数问题进行构建。
2.CPK终端软件管理系统的认证
网络安全问题伴随着互联网的成长逐步成为我们生活中不可避免的困扰。所以认证技术直接的建立安全可靠的基础设施平台,在网络交易事物的鉴别性证明和负责性证明提供了可信性的证明。从而为电子商务的有序发展提供了良好的环境。CPK身份认证无疑就是通过各种认证技术对用户的身份进行鉴别,是我们网络安全管理的重要基础,集防了互联网数据不被盗取与侵犯。合理的签名机制是核心问题,同时,签名机制要想顺利的实现,必须有好的密钥管理技术,互联网认证体系的密钥管理需要解决两个问题,就是有密钥管理规模化和基于密钥标识的分发。解决这两大问题的认证系统有基于PKI技术构建和CPK技术构建的认证系统的生成。
3.CPK终端软件管理系统的分析
网络安全问题不容忽视,网络安全中的认证技术是深入解决这一问题的核心技术,它具有规范化,机密性和完整性等特点。CPK认证体系具有抗抵赖性的安全服务,目前来说公钥基础设施、基于标识的加密系统和组合公钥系统得到大众的一致认可。在标识机制中,计算机用户可以设置自己的公钥证书要求,进一步提升了人们对于计算机认证体系的可信度。
二、CPK终端软件管理系统的需求分析
1.对于CPK终端软件管理系统感官认识
对于软件保护一般采用加密的方式进行数据保护,软件加密分为软加密和硬加密两种方式。软件加密一般的就是采取软件方法不依靠特殊硬件来配套加密,而硬加密就是将全部信息固定在硬件上,提供的数据是一个硬件实体,如CD指纹等一类电子产品。但是在互联网终端网络管理上通常一般通过360杀毒软件、补丁、网络行为管理和管理软件等方式进行计算机管理。网络行为管理是指通过过滤关键字、关闭特殊定的端口来管理终端软件的使用。软件实名认证则运用了公约密码数字签名技术,对于计算机软件进行身份认证和保护。同时对于计算机网的病毒损害提供了科学依据。
2.整合管理服务的体系结构
采用服务器的证书管理器和客户端的终端软件安全管理器,其中服务器端负责终端的注册和证书的发放工作,它的工作内容主要包括密钥因子生产、终端注册管理、密钥生成和资料库管理。那么客户端主要负责安装的软件注册、签名等认证工作的完成。终端系统利用其CPK标识认证实现身份认证,终端安装的软件进行注册管路。以此达到终端网络安全管理的理想模式。
三、终端软件系统的开发及市场分析
1.终端软件管理系统市场发展方向
网络安全产业不仅具有高度的前瞻性,同时也具有较高的技术含量、高附加值的特点,已经跨步成为众多发达国家保持经济持续性发展的重要产业结构。作为信息产业中最活跃、最智力密集也是发展最快的软件产业,更是各国人民政府关注的焦点,其发展关系到互联网行业的稳定性和长久可靠性,并可能成为未来最大产业规模和最具开拓前景的新型产业。作为大众青睐的新兴支柱产业,同时也是互联网行业发展的后盾力量,不仅大众对它关注有佳,作为经济支点部分的政府也是撑腰在即,竭尽全力的发展此行业。
随着互联网《网络安全管理草案》的顺利颁布,作为国家经济和社会发展的战略性基础,软件的价值及其所附加的巨大辐射性和带动性作用将得到社会各界人士的高度重视。终端网络管理软件市场的进一步完善将成为必然,此环节的全面创新将共同推动未来软件市场的可持续发展。
关键词:煤炭企业;网络信息安全;问题;对策
引言:当前煤炭企业对网络安全威胁很难开展有效的监测,无法实现主动防御,只能处于一种被动防护状态,这无疑将会给煤炭企业引入极大的网络安全风险。煤炭企业上到领导下到普通职员,均对网络信息安全问题抱有侥幸的心理,觉得一般不会出大的问题,从而缺少积极的防范措施,使得煤炭企业当前在应对实际的网络安全威胁时不能有效的进行监测和防护。
一、关于煤炭企业当前面临的网络信息安全问题的分析
(1)煤炭企业员工的网络信息安全意识比较淡薄
当前很多煤炭企业对自身所处的网络信息安全现状依然缺少正确、完整的认识,他们企业管理者觉得煤炭企业信息化的水平不高,接入互联网的终端和用户比较少,因此企业的网络信息安全问题并不会给煤炭企业造成一定的威胁。另外,煤炭企业的管理层缺少对企业网络信息安全的有效支持,使得实际投入到企业网络和信息安全建设中的资金远远达不到应有的要求。
(2)煤炭企业内部网络信息系统的防护能力比较薄弱
从目前看来,依然存在一些煤炭企业缺少复杂的网络信息系统部署结构,已有的设备性能和配置也比较落后。在实际的网络系统部署中缺少有效的安全防护技术和手段,不能有效监测到网络安全的威胁,只能一直处于被动防护的状态。由于煤炭企业内部大多使用的还是比较老旧的操作系统,这些旧的终端设备本身就存在着大量的系统漏洞,很容易遭到黑客的攻击。当各个系统或软件厂商在网上修补漏洞的补丁时,很多煤炭企业员工和用户由于对这些网络安全问题缺少正确的认识,无法意识到这些系统和软件漏洞会给煤炭企业本身带来的安全威胁,使得企业内部网络终端设备很难全部完成漏洞的修补。
(3)煤炭企业缺乏有效的网络安全防范体系
调查发现,当前很多煤炭企业的网络信息安全管理较为混乱,没有形成一套科学完整的网络安全防范体系和机制。煤炭企业虽然制定了一些有关于网络信息安全的管理制度和工作方法,但是依然缺乏有效的网络安全威胁监测和应对方法,对于已有的网络安全管理办法也很难严格的去执行,不能达到预期的网络安全防护效果。另外,对于煤炭企业员工本身缺少有效的约束管理办法,大多数时候只能依靠員工本身的自律能力,没能从企业网络安全管理制度和办法上建立起一种行之有效的防范措施。
二、煤炭企业防范网络信息安全的对策
(1)加强企业内部网络信息安全管理
煤炭企业要想提高企业本身的网络安全防护能力,首先必须改变企业当前固有的网络安全管理方法,各个部门都需要制定出适合自己部门业务系统的网络安全防护管理机制和体系。煤炭企业必须加强企业内部自身的管理,为企业制定一套完整的网络安全审计体系,能够及时的发现潜在的安全威胁,并有效的追踪到问题责任人。煤炭企业的网络安全防护能力的强弱还需要根据企业员工网络安全意识的强弱来判断,因此在煤炭企业实际的运营当中,必须加大对企业网络安全技术培训和教育的投入。在煤炭企业中,网络信息安全相关知识的培训、教育以及宣传非常重要,尤其要加强企业员工对网络安全意识的培养,认识到网络安全对企业发展的重要性。要想让煤炭企业能够具备足够的网络安全知识和应急响应能力,就必须对企业员工开展定期的网络安全知识培训,从而不断维持煤炭企业较高的网络信息安全水平。
(2)引入先进的安全防护技术
除了刚刚提到的煤炭企业要加强企业内部网络信息安全管理之外,最为重要的就是煤炭企业必须要引入先进的网络安全防护技术。如果企业没有这些先进的安全防护技术,那么煤炭企业的网络信息安全管理做的再好也没有用,因为攻击者将能够直接不费吹之力拿下企业的整个网络系统,令企业面临巨大的经济或声誉损失。当前随着攻击者的攻击手段不断提高,网络安全防护技术也在不断地取得发展,因此煤炭企业必须要选择先进的安全防护技术来保护企业系统免受侵害。
首先,煤炭企业必须要给企业内部所有的办公终端安装网络版的防病毒软件,如此一来煤炭企业便可以实现对企业办公终端的集中式管理,使得企业的系统管理员能够及时的了解到当前网络环境中每个节点的网络安全状态,从而可以实现对企业办公终端的有效监管。此外,煤炭企业必须要在系统网络之间部署防火墙,避免攻击者通过非法的技术手段访问企业内部网络,从而有效保护企业内部网络的安全。防火墙技术能够实现煤炭企业内部网络和外部网络的有效隔离,所有来自煤炭企业外部网络的访问都需要经过防火墙的检查,从而提高企业内部网络的安全性。除此之外,煤炭企业还必须引入数据加密技术,来有效提高企业内部系统和数据的保密性,避免企业内部的机密数据被攻击者窃取或遭内部员工的泄露。机密数据在发送之前会被发送者使用密钥进行加密处理得到密文,然后密文会通过传输介质传送给接收者,接收者在拿到密文之后,需要利用密钥对密文进行解密处理得到原始的机密数据。这样一来便保证了数据信息的机密性,从而避免机密数据被黑客窃取给煤炭企业带来经济损失。
关键词:气象信息;网络安全;对策;隐患
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Yunnan Weather Information Network Security Analysis and Preventive Measures
Huang Jinran
(Yunnan Province Meteorological Information Center,Kunming 650034,China)
Abstract:With the computer network in the weather business applications,information security has become a network of Yunnan Meteorological important part of information security.By analyzing the status of Yunnan Meteorological Information Network,found that unauthorized access to meteorological information,network operating system or terminal application software vulnerabilities,malicious weather information network is currently facing three major security risk.This must be from a technical level,management level and user level,comprehensive prevention,Yunnan weather information network to ensure safe and efficient operation.
Keywords:Weather information;Network security;Responses;Risk
一、引言
随着现代气象事业的飞速发展,计算机网络在云南省气象业务中的应用越来越普及,在气象事业中的地位也越来越重要。在天气预报业务中,各种数值预报的结果需要计算机网络进行分析和分发,而预报结果的上传和下发更是离不开现代信息网络。在气象灾害的防灾减灾中,预警信号和灾情调查等也离不开信息网络的应用。在公共气象服务领域、云南省气象局的办公自动化等业务中,气象信息网络扮演的角色也越来越重要。本文以将云南现有的气象信息网络安全为分析样本,探讨了现阶段信息网络所面临的安全隐患等特征,并提出相关的气象信息网络安全防范方案,以期为气象信息安全提供参考依据。
二、云南气象信息网络安全隐患分析
随着云南省各类气象探测业务的飞速发展,气象信息网络承载的数据量越来越大,需要存储和传输的大量数据,保障和防范气象信息的安全成了云南省气象信息安全的重要任务。另外,由于云南省各类电脑终端的品种繁多,杀毒软件和品牌多种多样,面对来自网络的各类攻击,云南省的气象信息网络呈现较大的脆弱性和易损性。总的来说,云南气象信息网主要有气象信息的越权存取、网络操作系统或终端应用软件安全漏洞、恶意攻击气象信息网络等几类主要的安全隐患。
(一)气象信息的越权存取。目前云南省气象信息网络需要传输和存储海量的气象信息。在此过程中,气象信息网络必须既保证传输的迅捷和方便,又必须要有安全保障。为此,云南省气象信息网络根据不同等级的客户,设置的不同读写权限。由于各类用户往往对权限理解不清,因此经常出现错误的操作和违规操作。不仅普通的终端客户易于出现误操作给气象信息网络带来安全威胁,有时甚至网管也会因为一些越权处理给气象信息网络带来很大的安全隐患。当气象信息网络管理员在服务器系统进行更新和维护时,假如出现应用软件安装不适当、网络设备误操作、防火墙系统参数设置错误以及服务器端口开放不正确,都会对气象信息网络造成较大的威胁。因此在气象信息网络应用中,无论是普通用户还是高级网管,都应明了自己的操作权限,按照相关规定进行数据下载、分发和处理等,切不可随意越权,更不能将自己的个人信息和账号等借给他人使用。(二)网络操作系统或终端应用软件安全漏洞。通常操作系统是构成网络的主要软件系统,据统计差不多75%的网络攻击从操作系统这一层面展开。目前云南省气象信息网络上的各类终端操作系统呈多样化趋势,而网络操作系统也不可避免的存在一些漏洞。另外,各类终端的应用软件也存在许多安全漏洞。虽然在气象信息网络的维护周期中,信息中心安排有专人进行安全维护和质量控制,也采用各种方式对操作系统的安全性进行前期和后期测试,故操作系统和应用软件的安全漏洞对气象信息网络的危害不可低估。因此如何及时地发现信息网络中类似的安全这洞,并采取安全补丁等方法进行防范,成为目前气象信息网络安全的当务之急。(三)恶意攻击气象信息网络。恶意攻击通常是指某些怀有恶意企图的人或者集团,企图通过恶意攻击网络系统,来窃取、下载、篡改或者删除某些信息的操作。恶意攻击常常以两种方式进行。一种是主动显性攻击,即通过破坏性和明显性的操作来破坏信息的完整性和正确性;另一种是在被动隐性攻击,即在不影响信息网络正常运行的情况下,采用截获、窃取、破译等方式来获取信息。通常第一种攻击破坏性大,但更容易发现,而第二种恶意攻击则更为隐蔽。由于目前的气象还属于公益性行业,商业化程度不够,因此面对的恶意攻击相对较少。但正因为商业化程度不够,目前大量的气象信息未采用加密措施,数据以明文形式在网络上传输,因此黑客更方便辨识、截获和窃取信息。一旦黑客掌握气象信息的格式和编报规律,篡改气象信息时也更加隐蔽和容易。因此面对气象信息网络的恶意攻击,我们网络管理人员切切不可掉以轻心。
三、云南省气象信息网络安全威胁的防范对策
面对复杂多变的网络威胁,云南省气象信息网络安全必须持续不断进行安全性测试和检测,并不断革新技术,并制定各种防范对策和应急措施。总的说来,可以从技术层面、管理层面以及用户层面三个方面进行防范。在技术层面,气象信息网络安全管理人员需要提高自己的计算机技术,日常安全运营维护过程中,从网络安全架构、安全风险评估、终端安全控制等方面弥补网络安全漏洞。在管理层面,必须建立云南省气象信息网络的安全防护墙以及各类网络安全的应急备用体系,以“三分技术,七分管理”为座右铭,积极管理和防范各类安全隐患。在用户层面,必须提高网络安全和计算机终端安全意识,不仅要更注重使用的方便性,而且更应该注重气象信息网络的安全性。只有解决以上三方面的问题,才能云南省气象信息网络安全高效地运行。
参考文献:
[1]邱奕炜,邓肖任,詹利群.气象部门网络安全威胁与对策探讨[J].气象研究与应用,2009,S1
[2]王会品,张涛.无线网络技术在气象信息服务中的应用[J].气象与环境学报,2009,2
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
关键词:网络安全,网络管理,多级安全
1 引言网络技术,特别是Internet的兴起,正在从根本上改变传统的信息技术(IT)产业,随着网络技术和Internet的普及,信息交流变得更加快捷和便利,然而这也给信息保密和安全提出了更高的要求。近年来,研究人员在信息加密,如公开密钥、对称加密算法,网络访问控制,如防火墙,以及计算机系统安全管理、网络安全管理等方面做了许多研究工作,并取得了很多究成果。
本论文主要针对网络安全,从实现网络信息安全的技术角度展开探讨,以期找到能够实现网络信息安全的构建方案或者技术应用,并和广大同行分享。
2 网络安全风险分析影响局域网网络安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,主要有六个方面构成对网络的威胁:
(1) 人为失误:一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等,都会对网络系统造成极大的破坏。
(2) 病毒感染:从“蠕虫”病毒开始到CIH、爱虫病毒,病毒一直是计算机系统安全最直接的威胁,网络更是为病毒提供了迅速传播的途径,病毒很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击,造成很大的损失。
(3) 来自网络外部的攻击:这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(4) 来自网络内部的攻击:在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后,查看机密信息,修改信息内容及破坏应用系统的运行。
(5) 系统的漏洞及“后门”:操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。科技论文。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。
3 网络安全技术管理探讨3.1 传统网络安全技术目前国内外维护网络安全的机制主要有以下几类:
Ø访问控制机制;
Ø身份鉴别;
Ø加密机制;
Ø病毒防护。
针对以上机制的网络安全技术措施主要有:
(1) 防火墙技术
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它用来控制内部网和外部网的访问。
(2) 基于主机的安全措施
通常利用主机操作系统提供的访问权限,对主机资源进行保护,这种安全措施往往只局限于主机本身的安全,而不能对整个网络提供安全保证。
(3) 加密技术
面向网络的加密技术是指通信协议加密,它是在通信过程中对包中的数据进行加密,包括完整性检测、数字签名等,这些安全协议大多采用了诸如RAS公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能,用于防止黑客对信息进行伪造、冒充和篡改,从而保证网络的连通性和可用性不受损害。
(4) 其它安全措施
包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动,记录用户对敏感的数据资源的访问,以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。
3.2 构建多级网络安全管理多级安全作为一项计算机安全技术,在军事和商业上有广泛的需求。科技论文。“多级”包括数据、进程和人员的安全等级和分类,在用户访问数据时依据这些等级和分类进行不同的处理。人员和信息的安全标识一般由两部分组成,一部分是用“密级”表示数据分类具有等级性,例如绝密、秘密、机密和无密级;另一部分是用“类别”表示信息类别的不同,“类别”并不需要等级关系。在具体的网络安全实现上,可以从以下几个方面来构建多级网络安全管理:
(1) 可信终端
可信终端是指经过系统软硬件认证通过、被系统允许接入到系统的终端设备。网络安全架构中的终端具有一个最高安全等级和一个当前安全等级,最高安全等级表示可以使用该终端的用户的最高安全等级,当前安全等级表示当前使用该终端用户的安全等级。
(2) 多级安全服务器
多级安全服务器上需要部署具有强制访问控制能力的操作系统,该操作系统能够为不同安全等级的用户提供访问控制功能。该操作系统必须具备很高的可信性,一般而言要具备TCSEC标准下B1以上的评级。
(3) 单安全等级服务器和访问控制网关
单安全等级服务器本身并不能为多个安全等级的用户提供访问,但结合访问控制网关就可以为多安全等级用户提供访问服务。对于本网的用户,访问控制网关旁路许可访问,而对于外网的用户则必须经过访问控制网关的裁决。访问控制网关的作用主要是识别用户安全等级,控制用户和服务器之间的信息流。科技论文。如果用户的安全等级高于单级服务器安全等级,则只允许信息从服务器流向用户;如果用户的安全等级等于服务器安全等级,则允许用户和服务器间信息的双向流动;如果用户的安全等级低于服务器安全等级,则只允许信息从用户流向服务器。
(4) VPN网关
VPN网关主要用来保护跨网传输数据的保密安全,用来抵御来自外部的攻击。VPN网关还被用来扩展网络。应用外接硬件加密设备连接网络的方式,如果有n个网络相互连接,那么就必须使用n×(n-1)个硬件加密设备,而每增加一个网络,就需要增加2n个设备,这对于网络的扩展很不利。引入VPN网关后,n个网络只需要n个VPN网关,每增加一个网络,也只需要增加一个VPN网关。
4 结语在网络技术十分发达的今天,任何一台计算机都不可能孤立于网络之外,因此对于网络中的信息的安全防范就显得十分重要。针对现在网络规模越来越大的今天,网络由于信息传输应用范围的不断扩大,其信息安全性日益凸显,本论文正是在这样的背景下,重点对网络的信息安全管理系统展开了分析讨论,相信通过不断发展的网络硬件安全技术和软件加密技术,再加上政府对信息安全的重视,计算机网络的信息安全是完全可以实现的。
参考文献:
[1] 胡道元,闵京华.网络安全[M].北京:清华大学出版社,2004.
[2] 黄国言.WEB方式下基于SNMP的网络管理软件的设计和实现[J].计算机应用与软件,2003,20(9):92-94.
[3] 李木金,王光兴.一种被用于网络管理的性能分析模型和实现[J].软件学报,2000,22(12): 251-255.
网络安全面临着攻击渠道多、潜伏周期长、防御规则配置复杂等问题,论文提出一种基于J2EE的网络安全防御系统.该系统采用原型化方法导出了系统逻辑业务功能,采用J2EE框架实现了一种界面式的网络安全防御系统,提高了网络安全管理的便捷性和交互性,保护网络安全性能.
关键词:
网络安全;J2EE;JavaBean;主动防御
随着云计算、大数据技术、网络通信技术的发展,计算机网络为电子商务、电子政务、金融银行、机械生产等提供通信传输服务.在为人们提供工作、生活和学习便利的同时,也带来了潜在的威胁[1].计算机网络已经成为黑客、木马和病毒攻击的主要对象.威胁随着计算机技术的提升,这些攻击能力更强,隐藏时间长、破坏范围广.为了保证网络安全运行,需要构建主动网络安全防御系统,动态配置网络安全防御策略.基于J2EE技术、J2EE、Tomcat服务器、MySQL数据库和Java程序设计技术实现了一个功能完善的网络安全防御系统,提高了网络安全管理策略配置的便捷性,进一步提升网络安全管理能力,保证信息化运营环境的安全性.
1网络安全管理面临的现状
网络运行过程中,由于许多网络用户非计算机专业人员,因此在操作管理系统、使用计算机时不规范.如果一台终端或服务器感染了计算机病毒、木马,在很短的时间内将扩散到其他终端和服务器中,感染其他终端系统,导致系统服务器无法正常使用[2].目前,网络安全管理面临着多样化、智能化的现状.随着网络黑客技术的快速普及,网络攻击和威胁不仅仅来源于黑客、病毒和木马,传播渠道不仅仅局限于计算机,随着移动互联网、光纤网络的兴起和应用,网络安全威胁通过Ipad、iPhone、三星S6、华为Mate7等智能终端进行传播,传播渠道更加多样化[3].随着移动计算、云计算和分布式计算技术的快速发展,网络黑客制作的木马和病毒隐藏周期更长,破坏的范围更加广泛,安全威胁日趋智能化,给政企单位信息化系统带来的安全威胁更加严重,非常容易导致网络安全数据资料丢失[4].
2网络安全防御系统功能分析
为了能够更好地导出系统逻辑业务功能,系统需求分析过程中详细地对网络安全管理的管理员、用户和防御人员进行调研和分析.使用原型化方法和结构化需求分析技术导出系统的逻辑业务功能,分别是系统配置管理功能、用户管理功能、安全策略管理功能、网络状态监控管理功能、网络运行日志管理功能、网络运行报表管理功能等六个部分.(1)网络安全管理系统配置管理功能分析通过对网络安全管理系统操作人员进行调研和分析,导出了系统配置管理功能的业务功能.系统配置管理功能主要包括七个关键功能:系统用户信息配置管理功能、网络模式配置、网络管理参数配置、网络管理对象配置、辅助工具配置、备份与恢复配置和系统注册与升级等.(2)用户管理功能分析用户管理功能主要包括人员、组织、机器等分析.主要功能包括三个方面:组织管理、自动分组和认证配置.组织管理功能可以对网络中的设备进行组织和管理,按照账号管理、机器管理等进行操作;自动分组可以根据用户搜索的设备的具体情况改善机器的搜索范围,添加到机器列表中,并且可以对其进行重新分组管理;认证配置可以根据终端机器的登录模式进行认证管理.(3)安全策略管理功能分析网络安全管理策略是网络安全防御的关键内容,需要根据网络安全防御的关键内容设置网络访问的黑白名单、应用封堵、流量封堵、行为审计、内容审计、策略分配等功能.(4)网络状态监控管理功能分析网络运行管理过程中,需要时刻的监控网络的运行管理状态,具体的网络运行管理的状态主要包括三个方面:系统运行状态、网络活动状态、流量监控状态.(5)网络运行日志管理功能分析网络运行管理过程中,网络运行日志管理可以分析网络运行操作的主要信息,日志管理主要包括以下几个方面:内容日志管理、报警日志管理、封堵日志管理、系统操作日志管理.(6)网络运行报表管理功能分析网络运行过程中,为了能够实现网络安全管理的统计分析,可以采用网络安全报表管理模式,以便能够统计分析接入到网络中的各种软硬件设备和系统的运行情况,网络运行报表管理主要包括两个方面的功能:统计报表和报表订阅.
3网络安全防御系统设计
3.1系统服务器设计网络安全防御系统部署与运行过程中,其采用B/S体系架构,是一个功能较为完善的分布式管理系统.因此,结合系统采用的架构,本文对系统服务器进行了设计,以便能够更好地部署相关的网络软硬件环境[5].网络拓扑结构部署的内容主要包括动态内容和静态内容两种模式,系统软硬件平台部署策略也分为两种,分别是静态系统部署和动态系统部署,如图2所示.
3.2系统架构设计网络安全防御系统采用B/S架构.该架构包括三个层次:分布式表示层、业务功能处理层和数据功能处理层.其适应现代互联网的发展需求,用户仅仅需要在浏览器上安装一些插件或使用简单的浏览器就可以登录管理系统,并且向管理系统发出各种通信管理实时数据监控逻辑业务请求,以便能够进行及时的处理,完成互联网安全监控需求[6].(1)表示层:在基于B/S系统架构的网络安全防御系统中,表示层位于第一层,能够与用户进行直接接触,可以把用户的逻辑业务请求输入到系统中.表示层将用户的业务请求发送到业务功能处理层,之后再把业务功能处理层和数据功能处理层处理的结果反馈给用户,将信息显示在用户终端上,呈现予用户进行浏览.表示层是处于用户端,使用方能利用IE浏览页面来发送请求,而且能够接受到处理的结果.(2)业务功能处理层:业务功能处理层位于Web服务器上,主要功能是接收表示层所传送来的应用请求进行处理.并在业务逻辑的处理过程中,可以实时的检测到用户的逻辑业务请求,发现系统中存在的逻辑业务处理功能,实现系统的数据处理.比如可以解析出来系统相关的SQL处理语言,并且对系统的程序进行操作,反馈给表示层,并把请求处理的结果返回到客户端表示层.(3)数据功能处理层:数据库功能处理层位于数据库管理系统中.在B/S架构里,数据功能处理层主要是对逻辑层传送来的应用数据请求进行处理.数据库的操作引擎实现了此层数据处理的过程,具备庞大的数据操作的性能,可以对数据库进行查询、更新等操作.并且把数据操作的结果返回于系统逻辑层,进而返回给客户端的表示层,把操作的结果提供给用户浏览.
4网络安全防御系统实现
4.1J2EE框架实现本文采用B/S体系架构,使用Java程序设计技术,开发了一个功能完善的安全防御系统.J2EE框架实现如图3所示.J2EE框架主要包括三个层次:客户端表现层、业务逻辑层、数据库持久层.每一层采用关键类实现[7].数据库持久层主要包括四个关键类:UserDAO、BaseDAO、DraftDao和DepartmentDao等内容.BaseDAO主要是DAO接口的设计工作,DAO接口设计内容主要包括保存实体、删除实体、更新实体等关键内容,介入相关的用户ID查询功能,查询相关的所有的数据内容,并且实现数据显示的分页管理等操作.逻辑业务处理层由Spring和Struts框架进行实现.利用Struts控制系统的主要逻辑业务功能,使用Spring框架中固有的控制反转功能使代码最大化,并且保证接口的有效性.最为代表的就是Department类的功能实现,其采用Struts.xml进行具体的拦截配置.客户端表现层的功能就是展现给用户相关的界面.用户在一个系统中输入相关的逻辑业务请求,数据相关的数据,并且为用户提供一种交互式的操作界面,具体的数据库表现层主要由多个界面共同组成,用户登录界面执行交互式操作,在程序运行实现过程中,表现层的功能由JSP功能的form表单进行实现.
4.2网络安全防御系统功能实现网络安全防御系统主要包括六个功能,核心功能为黑白名单管理、应用封堵管理、策略分配管理等功能.黑白名单功能可以根据用户的需要在网络安全策略管理中添加目标IP用户、Mac用户或账号用户,使其可以无条件允许、禁止访问网络等活动,黑白名单功能运行截图如图4所示.应用封堵功能可以根据用户需求,设置网络安全应用封堵条件,运行截图如图5所示.策略分配管理功能可以根据用户的需求,对网络中增加的相关策略进行分配,并且在网络策略分配和使用之前均是无效的,策略分配管理运行截图如图6所示.
5结束语
网络安全防御系统采用三层B/S体系架构、J2EE框架实现,开发一个界面式的主动防御策略配置界面,提高了网络安全管理策略设置便捷性,并且能够实时地查询网络攻击威胁状况,及时地调整主动防御策略,保证网络正常可靠运行,具有重要的作用和意义.
参考文献:
[1]于妍,吕欣.网络安全防御系统的设计的问题和策略研究[J].网络安全技术与应用,2015(1):128-128.
[2]王峰.校园网网络安全防御系统分析与设计[J].信息安全与技术,2015(6):87-87.
[3]劳晓杰.网格环境下的校园网络安全防御系统设计与实现[J].网络安全技术与应用,2014(3):115-116.
[4]石旭.浅析网络监控安全管理系统的设计与实现[J].计算机光盘软件与应用,2013(10):144-145.
[5]王喜昌.计算机网络管理系统及其安全技术分析[J].计算机光盘软件与应用,2014(14):215-216.
[6]陶平.网络安全监控综合业务管理系统设计与实现[J].重庆理工大学学报(自然科学版),2013,27(5):82-85.
根据吉林省xx局《关于开展重要信息系统及重点网站安全检查工作的通知》精神,xx局xx调查队成立了网络信息安全工作领导小组,xx林队长任组长,制定计划,落实责任,落实人员。同时,对前郭队网络与信息安全进行了一次全面的清查。对在清查中发现的问题及时进行了整改,消灭隐患,确保了网络系统保持良好的运行态势,为前郭调查队数据安全业务工作发展提供一个强有力的信息支持平台。
一、组织安排。xx队组织成立自查工作小组,组长为队长xxx担任,由兼职信息系统责任、运行维护和信息安全管理科室的办公室人员组成自查工作小组工作人员,按照自查任务要求,制定具体自查方案,明确本地检查对象和具体要求,落实各项保障措施,开展自查工作,撰写自查报告,并填写相应自查表。
二、制度检查。自查工作小组根据《关于开展重要信息系统及重点网站安全检查工作的通知》,对前郭队的网络安全工作的基本情况以及网站的安全保护情况的相关制度进行了检查,现有制度有:网络与信息安全管理制度、内网计算机与互联网连接制度、终端计算机安全管理制度、桌面安全管理系统制度及其他网络安全管理手段及措施制度。及时发现了问题,要求建立健全信息安全年度预算制度、信息安全发展规划。
三、完备设施。自建互联网局域网网络安全防护措施:xx队接入互联网出口数量只有一个;终端计算机已安装有效的防病毒软件;终端计算机已设置管理员口令;有专门封网计算机可处理涉密信息;机房安全中防盗、消防、供电相关设施完备。
四、网络安全。重点检查了xx调查队网络安全工作的基本情况和网站的安全保护情况。机房服务器已设置防火墙、入侵防御、防病毒网关等措施;服务器中不必要的端口和服务已关闭;网站等重要系统数据备份完备;服务器、终端计算机已设置管理员登陆密码,密码强度符合要求。
五、人员管理。自查过程中发现的各项问题和漏洞提出整改意见,限期进行整改。建立落实网络安全责任追究制度,要求提高人员网络安全思想意识,积极开展数据保护、应急演练等重点工作。
当前,无线网络技术正在被广泛的应用到校园信息化建设之中,具有高灵活性、可移动性、开放性等特点。但是,由于无线网络本身所具有的这些特点,造成用户量大、密度不均、应用多样和环境复杂等问题,无线网络的安全性也备受关注。本文着重分析无线网络的安全隐患以及隐患的来源,对校园无线网络安全建设实践进行了分析与探究。
关键词:
无线网络;安全;防范
高效无线网络校园是现在很多高校建设的目标,因此,高校在为用户提供基本的互联网上网服务外,还需要为用户提供安全可靠的网络服务,用户可以在校内或者校外访问相应的资源。网络安全设计实现对内外接入时避免面临网络安全的问题,保证网络资源及网络设备的安全是校园无线网络建设所面临的一个严峻问题。
1无线网络安全面临的主要问题
1.1访问权限的控制
学校一般拥有大量的外网地址,但是对外提供服务的只是其中的一部分或者少数几个地址,因此需要在出口设备上严格限制外网对内的访问权限,只有允许的地址或者允许地址的特定端口才是可以被访问的,其它地址一律禁止外网发起的主动访问。
1.2攻击主机的主动识别和防护
动态监测外网主机对资源平台的访问,当外部主机发起非法攻击或者大量合法请求时,网关设备会主动将非法主机进行隔离,从而保证资源平台的安全性;
2无线网络安全主要的设计内容
基于“接入安全”的理念,将学院园区无线网络认证过程设置到离学生客户端最近的网络边界处,通过启用Web认证模式,无线控制器和学校目前采用的AAA认证系统的协同工作,当学生在接入无线网络的时候,网络无线控制器和ZZ-OS认证网关进行对接,通过portal的方式将认证页面推送到客户端,然后将学生认证所需要的用户名和密码上传到无线控制器,无线控制器通过与ZZ-OS认证系统的对接,获取学生相关的认证信息,如果认证通过,则无线控制器将通知无线AP接入点,允许该学生访问相关的资源,学生使用浏览器即可完成认证过程,不仅保证了接入学生的学生合法性,而且学生能快捷便利的使用无线网络,极大的提高了学生的体验感。
2.1学生数据加密安全
无线AP通过WEP、TKIP和AES加密技术,为接入学生提供完整的数据安全保障机制,确保无线网络的数据传输安全。
2.2虚拟无线分组技术
通过虚拟无线接入点(VirtualAP)技术,整机可最大提供16个ESSID,支持16个802.1QVLAN,网管人员可以对使用相同SSID的子网或VLAN单独实施加密和隔离,并可针对每个SSID配置单独的认证方式、加密机制等。
2.3标准CAPWAP加密隧道确保传输安全无线
AP接入点与网络无线控制器以国际标准的CAPWAP加密隧道模式通信,确保了数据传输过程中的内容安全。
3安全准入设计
无线网络为开放式的网络环境,基于端口的有线网络管理方式已经无法满足无线用户接入管理的需求。为了解决接入用户管理的问题一般高校都会部署AAA服务器,通过AAA服务器实现无线用户身份认证。通过引入AAA服务器虽然解决了“谁”可以连接无线网络的问题,但是如何进行用户身份的认证呢?无线网络部署的初期一般采用SU的方式。SU方式需要无线用户在无线终端设备上安装特定的客户端,通过该客户端完成用户身份的校验。但是随着智能终端的出现,接入无线网络的终端不仅仅是笔记本电脑,平板电脑、手机等智能终端也需要接入无线网络,而SU模式并不适合安装在智能终端上。为了解决智能终端接入无线网络的问题很多设备厂商推出了Web认证,智能终端不再需要安装客户端,只需要通过浏览器就可完成身份认证。针对智能终端Web似乎是一种比较完美的身份认证方式。随着互联网应用的迅速崛起,用户希望在物理位置移动的同时可以使用微信、微博等互联网应用。如果依然采用Web方式进行身份认证,用户将会感觉很麻烦,影响用户对无线网络的体验,为了解决认证方式繁琐的问题,无感知认证应用而生,无感知身份认证只需要用户首次进行终端相关用户信息配设置后续终端接入无需用户干预自动完成。
4安全审计设计
无线网络为了给用户提供良好的上网体验,一般终端接入网络时采用动态地址分配方式,同时公有地址不足是所有国内高校面临的一个问题,为了解决地址不足的问题一般校内采用私有地址,出口网络设备进行NAT转化。在私有地址环境中采用动态地址分配方式,管理员将会面临一个问题:当发生安全事件时,网监部门只能为管理提供一个具体的外网地址和访问的时间点,仅有的信息中要准确定位问题的具体负责人。传统的日志审计平台只记录了出口设备的NAT日志,可以通过公网地址和具体的时间找到对应的私网地址,但是由于地址采用动态分配的方式,能难确定该时间段对应的地址是哪个用户在使用或者说需要查询多个系统才能确认最终的用户,如果多个系统中有一个系统时钟不一致,可能造成最终信息的错误。为了加强出口行为管理和日志记录,解决安全审计方面的问题,安全方案采用elog应用日志及流量管理系统。elog配合出口网关可有效记录NAT日志、流日志、URL日志、会话日志等,并可存储3个月以上,满足公安部82号令相关要求,学校也可对相关安全事件有效溯源。日志对于网络安全的分析和安全设备的管理非常重要,网关设备采用统一格式记录各种网络攻击和安全威胁,支持本地查看的同时,还能够通过统一的输出接口将日志发送到日志服务器,为用户事后分析、审计提供重要信息。NAT日志查询(如图1所示)。在充分考虑校园无线网络安全设计的前提下,对网络自身的数据加密、信息泄露以及网络攻击进行严密防控的同时,提升用户信息安全意识,从用户自身入手防止出现简单密码、默认密码和用户主机杀毒等问题。做到“防范为主、有据可查、追本溯源”,才能更好的应对网络安全问题,提高校园信息的安全性,为师生提供安全可靠的无线网络服务。
参考文献
[1]吴林刚.无线网络的安全隐患及防护对策[J].科技信息,2011(25).
[2]冯博琴,陈主编,吕军,程向前,李波编.计算机网络简明教程[M].北京:高等教育出版2009.
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、IDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。IDC业务区主要是各业务应用服务器设备所在区域,如企业门户、OA系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/PDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的IP地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得IP地址才能上局域网,并通过PKI系统对用户访问企业门户、OA系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLAN),并使其在局域网内隔离,限制其他VLAN成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(VPN)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台VPN设备,并设置访问条件和身份认证授权策略,如通过PKI系统进行身份认证和访问授权后才能访问电厂企业门户系统、OA系统等。使用虚拟专网(VPN)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语
[关键词] 计算机网络;安全;外网;防范措施
[Abstract] With the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. This paper focuses on the campus network information network construction program, and made a number of external network security measures.
[Keywords] Computer network; security; external network; precautions
中图分类号:TN711 文献标识码:A 文章编号:
1校园网外网现状
1.1 网络架构
目前我校每个办公室都铺设了信息外网结点,信息结点由楼层接入交换机连接到核心交换机。然后再通过外网边界处部署的防火墙,通过VPN通道统一出口访问互联网。
1.2 网络设备型号
核心交换机:H3C3600
防火墙:FW4120
校园网接入路由器:H3C5060
楼层交换机:cisco 2950
1.3 现有网络安全配置
为了做好我校信息外网安全工作,我校统一安装部署了卡巴斯基杀毒软件并定期更新、扫描,同时在信息外网的边界处部署了防火墙、由学校统一加强互联网出口、病毒木马、网络行为分析与流量监控来抵御来自外部网络的安全威胁,在这些设备、软件的严密监控下,来自网络外部的安全威胁大大减小,而对来自网络内部的计算机客户端的安全威胁所作的安全管理措施不够,安全威胁较大。而且来自信息外网的威胁,也可能通过U盘等传播到信息内网,使信息内网同样面临安全威胁。为了抵御内部威胁防止未授权计算机的接入,最初我们只是在H3C3600核心交换机上做了IP、MAC地址绑定,这种配置方式虽然在一定程度上可以减少非法接入和ARP欺骗攻击但仍存在一定的缺陷,因为MAC地址可以伪造,非法用户可以利用绑定列表中的IP并虚拟与该IP绑定的MAC地址,通过任意一个办公室的信息结点连接外网。因此,最初所做的绑定策略是较低级别的授权认证。
2校园网信息外网安全防范措施
为了解决单纯在核心交换机上进行IP、MAC地址绑定存在的缺陷,严格限制非法设备接入,同时做好外网信息安全工作,制定以下防范措施:
2.1 核心交换机上执行端口+IP+MAC地址绑定策略
在核心交换机上,对在用的每一个端口进行端口+IP+MAC地址的绑定,实现在固定端口只允许固定IP和MAC地址的访问,对于未使用的端口全部关闭。由于对每个在用的端口进行绑定并有严格限制,而未使用的端口全部关闭,所以在一个端口绑定的PC使用该IP地址和MAC地址也不可以在其他端口上网。
在核心交换机上对端口、IP、MAC地址进行绑定,可以严格控制非法网络接入,但是由于只是在核心交换机上进行限制,而终端计算机不是直接接入核心交换而是通过接入交换机进行接入,该方法虽然可以限制网络访问,但同一接入交换机直接相连的终端或不同接入交换机相连的终端仍然可以通信,且会产生不必要的网络流量,对网络仍产生一定的威胁,所以我们可以采用基于核心、接入交换的两级绑定管理。
2.2 基于核心、接入交换机的两级绑定管理
我们保留最初在核心交换机上做的IP、MAC地址绑定,同时在接入层交换机上对每个端口绑定固定的一个MAC地址,且每个端口只允许一个MAC地址通过。这样,在接入层交换机上可以实现对终端计算机的一级MAC地址过滤管理,严格控制网络接入设备,同时减少非法接入设备产生的不必要的流量;在核心交换机上实现对终端设备的二级IP管理,每个MAC地址只能使用特定的IP,防止终端私自更改IP,做好IP地址管理工作。通过此配置,可以实现基于核心、接入交换机的两级绑定管理,即从源头上,通过接入层一级管理严格控制终端计算机非法接入,同时对核心交换层进行二级管理防止私自更改IP,做好IP地址维护管理工作。
2.3 基于CAMS的身份认证机制
针对目前越来越复杂的网络环境,CAMS身份认证服务机制从企业用户的网络接入控制入手,可以统一管理网络中用户的身份、权限信息,通过严格的身份认证、安全状态评估和终端准入控制功能,解决企业网用户接入控制的问题,可以大幅度提升企业网络的安全性和可管理性。CAMS服务器与H3C系列路由器和交换机的协同配合,可以稳定、高效地完成对网路接入用户的安全认证、授权和管理,满足企业的高安全和可管理的需求。
2.3.1 基于CAMS身份认证的组网结构
此结构需要通过配置路由器实现Radius 服务器对登录路由器的用户进行认证。Radius 服务器可使用H3C的CAMS服务器,CAMS与核心交换机相互配合,以保证安全性。CAMS配置需要以系统管理员admin的权限登录CAMS配置台,以界面的形式进行接入设备信息和策略的配置,实现设备用户管理功能,这里只需在CAMS配置管理平台进行简单配置即可。
2.3.2 可以实现的功能
(1)用户信息统一管理:利用CAMS强大的身份认证对设备管理用户信息(用户名,密码,设备服务类型和访问权限等)进行统一认证管理,提高网络的可维护性。
(2)增加了绑定技术:可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码,还需认证其IP或MAC,甚至是VLAN和端口号。当用户数量很多时这时只需启动自动绑定功能,CAMS可以自动学习用户第一次上网时的IP和MAC并做相应绑定。这样一来不仅完善了对用户合法身份识别的方法,更提高了网络的安全性。
(3)在线用户控制:CAMS提供具体的用户在线信息,如帐号、IP、MAC、端口、时间、流量等,并可实施强制下线,减少非法用户和中毒计算机对网络的危害。
2.4 加强病毒防范
为了能有效地预防并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。我校目前安装的主要安全软件有网络版卡巴斯基和360安全卫士。
2.5 加强工作人员的网络安全培训,培养用户的信息安全意识
要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理,加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。
参考文献
[1] 吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用〔J〕真空电子技术,2004.34-36
【 关键词 】 防火墙;网络安全;主动性
【 Abstract 】 Firewalls and other types of antivirus software are good security products. But a certain initiative of the highest level to make the whole network system of the hospital safe should be established . Every day we will pay more attention to all kinds of hacker attacks, viruses and worms, etc. But when we saw these news, maybe the system has already been attacked. In this article,we are trying to introduce a proactive network security model. In this model, even if we should find a new virus, we would not worry about the whole network system security of thehospital.
【 Keywords 】 firewall; network security; initiative
1 引言
类似于防火墙或者反病毒类软件,都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,还需要建立一种具有主动性的网络安全模式,防护任何未知的攻击,保护医院的网络安全。
2 实现主动性网络安全防护体系的四项安全措施
在实现一个具有主动性的网络安全架构前,需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对医院信息化来说至关重要,但是实际上,一个医院也许花费了上百万购买和建立防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。这就更加需要一种具有主动性的网络安全模式来综合管理这四项基本安全措施。
3 四项安全措施的综合管理具体实施的步骤
3.1 实现主动性的网络安全模式
作为医院的信息化技术人员,要保护医院的网络首先需要开发一套安全策略,并要求所有科室人员遵守这一规则。同时,需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为无线路由器打好补丁并确保防火墙可以正常工作是非常重要的,之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取医院的资料和导致网络瘫痪。
3.2 开发一个安全策略
良好的网络环境总是以一个能够起到作用的安全策略为开始实现的,大家都必须按照这个策略来执行。基本的规则包括从指导操作员如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如应该有针对医院收费项目和患者费用信息的备份策略;又如一个镜象系统,以便在灾难发生后可以迅速恢复数据。执行一个共同的安全策略也就意味着向具有主动性安全网络迈出了第一步。
3.3 减少对安全策略的破坏
不论是有线网络,还是无线网络,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及聊天软件。
3.4 封锁移动设备
对于医院的网络来说,最大的威胁可能就是来自那些随处移动的笔记本电脑或其它移动终端,它们具有网络的接入权限,可以随时接入医院的网络,具有最大的安全隐患。
据Forrester Research调查,到2005年,世界总共将有3500万移动设备用户,而到2010年,这个数字将增加到150亿。这些数字让我们了解这将是医院网络安全所面临的巨大考验。通过安全策略,可以让网络针对无线终端具有更多的审核,比如快速检测到无线终端的接入,然后验证这些终端是否符合安全策略,是否是经过认证的用户,是否有明显的系统漏洞等。
3.5 设置防火墙
虽然防火墙并没有特别强的安全主动性,但是它可以很好地完成自己该做的那份工作。防火墙要设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口,因此需要为防火墙建立规则,屏蔽所有系统上的1045端口。另外,当笔记本电脑或其它无线设备连接到网络中时,防火墙也应该具有动态的规则来屏蔽这些移动终端的危险端口。
3.6 下载安装商业级的安全工具
目前与安全有关的商业软件相当丰富,可以从网上下载相应的产品来帮助保护医院网络。这类产品从安全策略模板到反病毒、反垃圾邮件程序等,应有尽有。微软也针对系统的漏洞不断给出升级补丁。所有这些工具都可以有效地提升网络的安全等级,因此应该充分利用它们。
3.7 禁止潜在的可被黑客利用的对象
“浏览器助手(BHO)”是最常见的可被黑客利用的对象。它一般用来监测用户的页面导航情况以及监控文件下载。BHO一般是在用户不知情的情况下被安装在系统中的,由于它可以将外界的信息存入你的系统,因此对网络安全来说是一个威胁。BHO是通过ADODB流对象在IE中运行的,通过禁止ADODB流对象,就可以防止BHO写入文件、运行程序以及在系统上进行其它一些动作。
3.8 留意最新的威胁
据计算机安全协会 (CSI)表示,2002 CSI/FBI计算机犯罪和安全调查显示,“计算机犯罪和信息安全的威胁仍然不衰退,并且趋向于金融领域”。因此,需要时刻留意网络上的最新安全信息,以便保护医院网络。
3.9 弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”(CVE),它是由MITRE组织汇编整理的漏洞信息。通过打补丁或其它措施,可以将网络中所有系统的CVE漏洞弥补好。
4 结束语
虽然安全性永远都不是百分之百的,但是搭建好具有主动性的网络安全模式就可以使医院的网络安全处于优势地位。
参考文献
[1] 邓素平.构建网络安全防护体系[J].山东通信技术,2001,2:17-19.
[2] 刘晓莹等.网络安全防护体系中网络管理技术的研究与应用[J].应用与开发,2001,2001,3:30-31.
[3] 江振宇.建立防火墙的主动性网络安全防护体系[J].计算机与信息技术,2007,23:56.
关键词:园区网;安全;立体防护
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9599 (2012) 16-0000-02
随着计算机网络规模的不断发展,基于网络的各类应用呈几何级数增长,人们在日常的工作学习生活中越来越依赖于网络的存在。但是在不法利益的驱使下,越来越多的具备隐蔽性、破坏性、窥私性的非法行为现身于网络世界,在给用户带来无法估量的损失的同时,也使网络管理人员的工作面临巨大的压力。作为主要基于数据链路层协议转发数据的园区网,其在各个层面上都给非法的网络攻击破坏行为提供了较为宽松的活动空间,而且使得非法行为更加难以防范,如何构建一个安全稳定的园区网,成为园区网网络管理者急需解决的一个难题。
虽然影响网络安全的因素种类繁多,诸如计算机病毒、木马、恶意插件、网络攻击等,但只要能够多角度地分析网络安全隐患,正确制定部署园区网网络安全策略,充分发挥已有的网络及安全设备的作用,形成立体式的网络安全防护体系,就可以阻断来自园区网之外的威胁,控制内网的各种不安全行为。
园区网立体安全防护体系的构建主要由园区网节点的安全性控制、逻辑线的安全性设计、应用面的安全性防护及园区网各组成要素间的联动机制四个方面组成,下面将针对园区网立体安全防护体系组成的各个要素做详细的阐述。
1 节点的安全性控制
在园区网的整体结构中,无论是用户终端还是网络设备,任何一个节点的安全等级的下降或者不满足要求都将对整个网络的安全性产生或多或少的影响。因此,安全的园区网,首先要求每个节点自身是安全的,在面对网络威胁时,可以有效地进行防御阻止,即使由于技术手段的原因,无法抵御威胁,仍要具备将网络威胁的影响范围控制在最小的范围的能力。
作为末端节点的用户使用终端,其安全性主要涉及以下几个方面。首先,具备强壮的个人密码系统,确保终端自身使用和他人授权使用的安全可靠。其次,具备安全的操作系统设置,关闭存在安全隐患且不需要的各类应用服务和用户账号。第三,具备应有的安全防护软件,安装必要的防病毒、防木马、防恶意行为的安全软件及防火墙,并定期升级特征库、定期检查系统可能存在的安全隐患。第四,具备良好的网络使用习惯和网络威胁识别能力,作为终端的使用者,应当具备基本的网络安全知识,从而正确地使用网络并能识别网络各类应用中潜在的威胁因素。终端节点只要具备了以上各个要素,其安全性将得到有效地控制,成为园区网中稳定的一个点结构。
园区网中的骨干节点是各类型的网络设备,此类节点的安全与否对园区网整体的安全性将产生直接的影响,甚至会破坏整个园区网的稳定运行。而由于网络设备在园区网运行中所担负的功能多样,存在的安全隐患也相应的增加,需要考虑以下几个因素。首先,网络设备节点的管理者是网络管理人员,所以任何非网络管理人员在没有得到授权的情况下不允许直接接触或者使用其他数字终端直接连接网络设备,这就要求网络设备要有独立放置的空间,非相关人员是无法进入的,并且要做好网络设备的底层日志的收集,定期查看,确保网络设备的物理安全。其次,关闭网络设备的各类不必要或者有安全隐患的服务,如WEB管理、远程访问等。确实需要进行远程访问管理的设备,要使用安全的网络协议,如SSH、HTTPS等。如果不支持此类安全协议,则要做好对访问源的设置,确保任何非指定节点无法访问网络设备,最佳的实践方法是每一台网络设备都指定固定的可管理终端。第三,设置各类访问连接方式的认证信息,并对各类密码进行加密存储传输,加强密码的日常管理。第四,正确分配设备管理权限,充分发挥网络设备自身的安全特性,不给非授权访问者任何可趁之机,同时对合法的访问者进行有效地权限限制。做好网络设备的安全性控制,可以有效地提高园区网整体的安全防护等级,同时网络设备的自身安全特性可以得到稳定的发挥,从而对终端节点进行更好地安全保护,对终端节点的安全威胁可以做到有效地控制。
2 逻辑线的安全性设计
在解决园区网中各个节点的自身安全性问题后,需要关注的是组成园区网网状结构中的两条关键的线形结构:园区网出口至核心设备之间、核心交换设备至园区网各类应用设备群之间。这两条线形结构上的安全性也将直接影响园区网整体的稳定和安全性。
在园区网出口至核心设备之间连接的通常由防火墙、IPS、安全网关、防病毒设备等组成,这些设备除了需要按照网络节点的要求做好自身的安全防护工作外,还需要考虑下面几个因素:第一,设备间不存在同质的重复性安全配置,由于串行链路上的设备将对符合自身策略定义的数据包进行拆包再封装的过程,以确保数据流量的安全性,但同时也给一些延迟敏感的数据增大了延迟度,从而影响用户正常的网络应用体验,所以应当仔细设计此条逻辑线上各个设备的策略,避免重复性的安全配置;第二,应当严格控制数据的流向,由于外部网络应用的安全性无法得到保证,且各类应用的安全性参差不齐,为防止外部网络中的各类不安全因素进入园区网内部,从而在园区网内部扩散,应对外部数据的进入做源控制,限制精度应达到协议和端口级。第三,要密切关注该线上设备的状态和日志,及时分析发现可能出现的威胁,将网络安全威胁控制在园区网的边界上,并对潜在的安全隐患做出有针对性的策略调整,同时要做好攻击破坏事件的留证工作。
园区网安全最大的威胁往往不是来自外部网络,而是来自网络内部的不安全因素。这些非法行为的目标往往是存储了大量应用或者用户数据的服务器群,因此,从核心交换设备到园区网服务器群之间的线形结构的安全性就显得至关重要。这个线形结构中的设备通常有防火墙、IPS、IDS、审计系统、身份认证系统、终端管理系统等,这些设备部分是旁路设备,但是在部分功能上可以起到干路设备的作用,要确保这条链路所连接的服务器群的安全,需要做好以下三个工作:第一,对各个设备所扮演的角色、具备的功能做充分的了解,合理地确定各个设备的逻辑位置,第二,做好防火墙的策略配置,将数据流量按照安全需求依次转发,例如任何流向服务器群的数据首先需要通过身份认证,然后再通过终端管理系统,最后再经过IPS进入服务器群,同时镜像至审计系统,第三,做好各类统计设备的日志分析,定期分析数据报表,根据实际流量的变化寻找可能存在的安全隐患,并及时调整策略部署。
3 应用面的安全性防护
网络最终呈现给用户的是各种应用,而这些应用自身的安全与否将直接影响到用户的应用体验,甚至可能造成各种损失,所以应加强各类网络应用的安全性防护。除了终端节点应做好的安全工作外,还要重点关注以下几个方面的问题:
第一,应用的运行环境是否稳定。运行的环境或者平台自身是否足够强壮,是否存在大的安全漏洞,这就要求在搭建各类应用平台时,要选择成熟的、可靠的、有广泛普及应用的运行环境,既不要为“尝鲜”而选择那些较新的运行环境,因为没有经过大范围的应用测试,其安全性没有得到有效的检验,也不要为了稳定而使用过于陈旧的运行环境,由于相关的技术支持已经停止,一旦出现安全漏洞,将无法及时进行修补。
第二,应用自身的开发建设是否安全。有些应用自身存在安全隐患,无法通过运行环境的安全防护来解决,因为应用在开发过程中可能没有完全按照开发规范来实施,或者选择了一些本身存在问题的开发平台或语言,在测试阶段没有建立足够全面的测试样本,从而导致应用的先天性不足。所以在选择网络应用时,既要考虑自身需求,又要兼顾应用自身的健壮性。
第三,做好网络应用的访问控制。对于包含敏感或者密级的网络应用,应严格控制用户的访问,做好各类访问账号的分级工作。而对于用户需要上传数据的网络应用,也要做好用户权限的设置,防止危险数据进入应用平台并扩散。
4 园区网各组成要素间的联动机制
在做好节点、逻辑线、应用面的安全防护后,园区网的安全性得到了基本保证,但仍然欠缺面对安全威胁时的自我修复能力和影响范围的控制能力,因此,需要建立园区网各组成要素间的联动机制,使各个组成要素在面对网络安全威胁时,形成有机的整体,更加地灵活、健壮,不但可以有效地防范拦截各类非法行为、控制影响范围,而且还可以在较短的时间内消除安全威胁。有效地联动机制要求园区网的各组成要素要具备以下两个条件:
第一,对安全威胁评估判断标准的一致性。园区网中各个组成要素都具备一定的安全防护特性,在配置生效后,将依据自身的配置参数来对网络数据和行为进行评估判断,以确定流量的正常或者异常,如果网络设备对数据行为的评估判断标准不一致,就会出现把正常流量当作恶意流量拦截的“误判”现象,也会出现把恶意流量当作正常流量放行的“漏判”现象。要统一各组成要素的评估判断标准,同时要科学设定阀阈值,做好标准统一严格,评估判断准确一致。
第二,对安全威胁的处理决策果决无差异化。一旦判定网络中出现安全威胁,则各个组成要素对威胁的处理要及时,且没有逻辑上的差异。要做到这一点,需要精心设计数据流量的流向,同时对具备处理威胁权限的设备中的相关配置进行精细化处理。处理决策的不一致,也将会出现安全威胁被抓住后又逃脱甚至合法化的情况,例如用户终端感染病毒木马,终端管理系统的处理方式是将终端自动跳转到隔离网段进行后续处理,而身份认证系统则会认为用户非法改变自己网段,将会冻结其账号,而交换设备会再逻辑上关闭其接入端口。这样的处理决策没有形成一致性,虽然可能暂时隔离威胁,但威胁不能得到及时有效地处理。如果处理决策一致,则终端管理系统将用户终端跳转到隔离网段,同时身份认证系统解绑其相关数据,使其可以以隔离网段的身份访问数据,而防火墙对隔离网段进行访问范围的限制,比如只允许其访问防病毒服务器,在查杀病毒木马后,终端管理系统将其跳转为正常网段,同时身份认证系统恢复其正常角色。在隔离威胁的同时解决了安全威胁。
园区网立体安全防护体系的构建,需要以上四个条件作为支撑,而立体式的安全防护体系给园区网带来的不仅仅是安全稳定,同时减轻了网络管理人员的压力,大大减少了由安全威胁带来的各种损失。随着网络规模和应用以及网络硬件设备的不断发展,园区网将不断面临新的安全威胁的挑战,但是只要坚持建设立体化的园区网安全防护体系,不断将网络设备的新特性充实进安全防护体系,园区网将始终保持安全的状态为用户提供多样化的应用服务。
参考文献: