时间:2023-09-15 17:32:32
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇基于某企业的网络安全策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】安全体系结构;网络;设计原则;实现方案
伴随当前计算机网络的发展与广泛的应用,网路安全体系结构的设计极为重要。由于计算机网络拥有多样性的联结形式,而网络自身拥有一定的互联性与开放性,在其终端分布方面存在着不均匀性等特征。这便导致计算机网络在应用期间,极易遭受到黑客的攻击,甚至被一些恶意软件入侵等,这会给使用者带来较大的损失。为此,构建网络安全体系结构已经成为当务之急。
1网络安全体系结构相关概述
在网络安全体系结构设计方面主要分为:定义网络安全策略、分析网络安全需求、网络安全设计以及网络安全实现这四个步骤。这便需要将高级阿全策略与控制作为依据,对安全规范实施形式化的处理,以此来更好的设计与实现系统中执行机制目标。(1)定义网络安全策略。定义网络安全策略主要指:对网络安全策略进行详细的描述,其目的在于为网络安全提供支持与管理[1]。与此同时,还需要与其他领域相结合对网络安全系统进行全面的考虑,如社会机制、通信安全以及操作安全等,将向导手册ISO/IEC作为相关依据,对企业可能存在的风险展开全面的分析,之后通过自然语言来描述所产生的网络安全与控制文档,这便是高级安全策略所在。(2)对网络安全需求进行分析。对网络安全需求的分析,主要是对高级安全策略所实施的形式描述,以此来得到更高形式的安全策略。该种做法有一定的优点存在,如通过对策略之间的冲突检查,消除自然语言对中高级策略较为模糊的描述。
2网络安全体系结构的设计研究
在网络安全体系结构设计期间主要包含以下几点,即:(1)在网络安全体系结构设计期间,需要有针对性的构建相应的安全结构体系,并且对于网络系统安全实施相应的保障[2]。对网络安全体系结构进行设计的目的在于,全面的建立网络安全系统,这需要通过某种技术全面的建立网络安全系统。在体系结构中的各层对安全逻辑进行分析的过程中,需对安全需求进行全面的考虑,同时也需要对OSI参考模型中的层级之间的依赖性给予全面的考虑。(2)设计和实现网络安全策略。在设计网络安全体系结构期间,网络安全策略的设计和实现极为重要。设计和实现网络安全策略的主要目的在于,确保能够定义出一套设计级的安全策略,并将其作为一种框架底层的抽象策略。该种网络安全策略设计和实现与技术执行之间较为接近,计算机网络配置期间,部门与组织之间常常会产生一定的变化,这便对计算机网络提出了不同的安全需求。为此,网络安全拥有一定的动态性特征,相关人员需将调整组织的安全策略作为依据,适当的设计网络安全体系结构,同时执行安全策略。这不仅是一个过程的体现,同时也是现存文档的形式所在。在需求服务于基础组织方面,能够将企业的升级情况、实现与执行过程充分的体现出来[3]。这与张冀晛,吴中川在《网络安全技术在城市级供电系统数据网中的应用》一文中的观点极为相似。策略管理功能主要包括三个方面,即策略实现点、策略决定点以及策略仓库。策略仓库中存在着一切网络目录中的策略信息,它能够全面的描述服务、计算机以及网络用户,同时在专用的数据库上执行相应操作。策略服务器或者策略决定点,主要对网络策略实施抽象操作,确保其能够成为一定的策略控制信息,并且逐渐的向策略执行点传递。策略实现点则需要接受PAPs中的策略,将其作为安全或者相应的网络设备,使其作用能够得到充分的发挥。一切安全组件领域都需要确保能够在安全管理范围内,确保能够构建出更加合理的、安全的网络应用模型。(3)达到网络安全目标。要实现网络安全目标,便需要依靠实现机制来实现。通过安全体系结构中工作站以及服务器上锁运行的网络安全管理,通过使用网络辅助级和网络级的安全,使得应用级的安全能够得以实现。在此期间,需要有特殊的用户作为相应的网络操作者,这些主体拥有较为严格的授权程序与认证,同时还拥有较为全面的功能[4]。为此,必须确保特殊用户的行为以及访问安全,以此才能够提升网络的存活能力,提升网络性能等。网络管理系统越是集中,那么企业在网络安全方面所提出的安全要求就越高。
3总结
如今,网络已经成为人们生活中不可缺少的一部分,网络安全体系结构的设计和实现,与网络用户的使用安全之间存在着密切关联,同时在计算机网络健康发展方面也有着极为重要的影响。为此,构建网络安全体系,为相关用户提供更加安全的网络应用环境,确保网络安全环境能够达到使用者的相关要求。另外,不断的推动网络安全体系构建,构建安全的网络环境,已经成为计算机网络发展的必然要求所在。
参考文献
[1]李春艳,郭轶尊,杨永田,等.基于IP安全体系结构的虚拟专用网[J].哈尔滨工程大学学报,2001,22(6):68~70.
[2]陈晓.电力企业信息安全体系结构的研究[D].华中科技大学,2004(12):34~56.
[3]张冀晛,吴中川.网络安全技术在城市级供电系统数据网中的应用[J].信息与电子工程,2011,09(2):238~243.
关键词:OA;办公系统;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
OA Office Network Security Analysis
Qiao Yongmei
(Yancheng Finance Bureau Information Center,Yancheng 224000,China)
Abstract:The current OA office system based on the existence of network security issues,requirements analysis through the development of an effective and efficient office automation system network security policy,automated office systems to enhance the level of the network,creating a safe environment to run a positive and effective service facilitating role.
Keywords:OA;Office system;Network security
一、OA办公系统面临的网络安全问题
随着网络系统、计算机技术的迅猛发展其应用服务于各行各业体现了优势效能,令社会生产、经营各项事业创设了现代化、网络化高效办公管理模式,同时各类计算机设备、网络管理系统的广泛引入令基于其开展的办公事业面临着愈演愈烈的病毒侵袭,令互联网络、自动化办公系统饱受信息数据不良窃取、内部瘫痪等安全威胁,较易造成不可挽回的经济损失。同时各项办公自动化系统程序一旦感染病毒还会迅速传播至整个互联网络,影响其他程序的正常运行,甚至令服务器系统崩溃。为便捷化办公,许多办公自动化系统主体网络技术均设置同互联网络连接的相关协议接口,这样一来互联网黑客只需截取OA办公网络之中的任何一个节点便可窃取该以太网之上发生的全体数据信息,通过进一步分解达到非法获取重要资料数据目标。借助相关互联网络系统技术构建的OA自动化办公系统中包含较多可以令信息数据被窃取的不良因素,例如黑客恶意入侵对系统数据进行破坏,通过侵入服务器展开对硬盘引导区各类原始数据的恶意篡改删除,令应用程序不良损害。另一类因素为病毒传播破坏,其可以侵入自动化办公系统的数据辖区,例如系统扇区、硬板主引导区、文件目录、FAT表等,同时还可侵入系统数据文件辖区,令各项重要数据被删除、篡改、替换,或令部分信息资料、应用程序不良丢失。另外各类灾难性损害也不容忽视,突发的天灾、人为误操作、强震、强磁力干扰均会令办公自动化系统数据库受到强烈的影响并引发损害现象,造成重要数据的丢失,令办公单位蒙受巨额物力、人力与财力的经济损失。
二、基于科学需求分析构建OA办公系统网络安全策略
(一)自动化办公系统安全需求分析
OA办公系统网络安全目标的树立应以防御外部与内部攻击、侵袭为主体,杜绝非法入侵访问、抑制各类篡改、冒充行为,确保重要信息不被破坏或泄露。因此在构建自动化网络办公系统阶段中我们应充分契合用户丰富需求,集成各项安全技术,确保安全管理有效措施的整合,合理利用行之有效的网络防火墙技术构建强有力的安全保障。同时我们还应完善考虑办公OA系统中心同它类机构展开传递公文、交流信息阶段,其信息数据会通过网络进行传输,一些集团企业、跨国单位需要通过网络展开办公OA系统访问,也就是说各类大规模网络办公自动化系统需要借助互联网络展开交流,而非仅仅在某一局域网中进行有限的交流。因此倘若黑客基于互联网络对信息展开窃听则较易造成严重后果,我们可通过构建专用虚拟网络VPN科学解决公网信息传递综合安全性问题。
(二)专用虚拟网络安全策略
虚拟专用网络安全策略VPN主体通过隧道私有、于不同网络地点构建公共网络设施基础等技术构建了专线专用的办公平台,其仅同属性相当的网络进行信息通信共享,因此可实现私有化的数据专用安全传输。实践管理中我们可科学应用VPN安全策略构建自动化OA办公系统,营造安全有序的数据专线传输环境,令员工即使在远程也可放心通过外部网络进行办公自动化系统的安全访问。同时我们还可借助VPN供应商相应服务转变以往办公系统采用的长途服务专线与拨号模式,提升远程办公效率,确保安全、快捷与可靠的专线网络传输。该安全策略模式下用户可基于本地ISP实现与互联网络连接,在通过网络办公服务器VPN认证后构建一条基于互联网络的安全连接。另外我们应对VPN网络资源展开科学有效管理,从分配客户机网络地址、展开用户身份认证、存储用户信息账号、记录VPN相关活动等层面实施完善管理,对传输于专用隧道之中的数据实施加密,验证双方通信身份,进而确保数据信息传输的科学完整。
(三)防火墙网络安全策略
防火墙是科学设置于办公自动化系统局域网络与服务器VPN之间安全有效的一道屏障,可全面预防潜在、不可预测入侵破坏网络行为。遵循办公自动化OA系统网络安全应用需求我们应科学采用防火墙双层防护方案,分解网络结构为办公OA系统与互联网络网域两部分,令办公OA系统需要同外部互联网络进行连接的较安全级别服务器设置于首层防火墙停火区内,同时令办公OA系统无需进行外部网络连接、对安全级别要求较高的各类服务器放置于二层内网防火墙区域,进而完善提升办公自动化系统服务运行效能,满足首层低安全级别服务器频率较高、连接数量大等需求,同时确保二层高安全级别服务器综合安全运行目标实现。
(四)强化办公自动化系统恢复数据功能
倘若办公自动化系统遭到内部构架的不良破坏,我们可采用计算机数据备份策略激发其恢复数据功能。依据办公自动化系统综合安全性能需求我们可采用内部、外部自动化大容量、高效率数据存储、恢复、备份机制,有效防范互联网硬件技术故障、不良人为操作失误引发的数据丢失现象,同时起到对各类非授权性黑客访问造成的网络攻击与数据完整性破坏进行科学防护。
三、结语
总之,OA办公系统网络安全问题日益严峻,为有效创设自动化办公系统安全、高效、远程、网络化优质运行环境,我们只有依据其面临的安全问题展开安全科学需求分析、制定行之有效的安全防范策略,强化系统恢复数据功能,才能真正提升办公系统效率,令其在自动化、可靠性、科学化服务管理中创设丰富的经济效益与社会效益。
参考文献:
关键词:计算机网络;安全;VLAN
中图分类号:TP393.08
伴随着我国网络普及率的不断提高,网络安全问题已经成为当前社会议论的热点。计算机网络安全已经不再是关乎到企业经营利益,更重要的是关乎到国家未来发展的安全与稳定。所以现代社会网络安全问题将是未来最重要的安全性问题,必须要整个社会共同努力,全面提高安全防护措施。
1 网络安全现状与常见威胁分析
(1)企业网络安全现状分析。就目前形势来看,国内企业数据信息安全很多乐观,特别是在信息网络安全方面、网络安全技术人才方面、企业内部员工网络安全防护意识方面均存在着较大问题。更有甚者,一些企业领导认为像防火墙此类的安全防护软件可有可无。殊不知,网络安全体系的构建是一项长期的工作,只有在关键时刻才能够显示其最大的价值。
(2)企业网络面临的安全威胁。第一,自然威胁与无意失误。所谓自然威胁即是指因自然灾害所导致的企业数据丢失,这种网络威胁是不可避免的。无意失误顾名思义就是指由于企业内部安全管理人员的误操作所导致的企业机密信息丢失或者泄露。企业网络管理员在进行网络安全配置时,由于网络安全设置不当,导致用户口令较为容易破解。第二,非授权访问。所谓非授权访问是指通过编写各种木马病毒或者通过调整计算机程序入侵其他用户的网络,或者以非法未授权的方式访问其他用户系统文件。有些黑客会通过一些非法手段,肆意扩大访问权限或者以虚假身份进入他人计算机网络进行各种数据信息的读取。第三,木马程序及后门。这种威胁主要是指利用远程控制手段,对他人计算机程序进行非常隐蔽或者未授权方式的读取。如果企业的某台计算机被非法安装了木马程序或者后门,那么该计算机上的各种机密信息就极有可能被黑客窃取。譬如该计算机上输入的各种密码,相互交换的各种数据信息,均会通过非法程序向黑客直接发送。现阶段这种远程控制方式非常普遍,也是黑客窃取他人信息的主要手段之一。第四,计算机病毒。这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能,窃取计算机数据而安装的。计算机病毒的出现肯定会对该计算机系统的运行产生一定的影响,它既能够自我复制计算机指令来控制计算机,同时也能够在该系统中寄生更多的病毒。一般情况下,计算机一旦被病毒感染之后,均会出现蓝屏、自动重启、卡机等问题,而且会在非常短的时间之内致使整个计算机系统瘫痪,给企业带来非常惨重的损失。
2 网络安全体系研究
关于网络安全体系的实施过程,其实施前提是系统已经部署了较为完善的安全产品,如计算机防入侵检测系统、网络防火墙系统、计算机防病毒软件、VPN以及相关的安全认证等。对于各种类型的安全产品集成的有机体系与系统动态的安全策略是一致性的,其维护是对网络安全体系进行构架的关键因素。系统安全的策略拓展的时效性,则是为了实现系统安全目标的必要条件。
(1)互操作性。对于各个服务都必须遵循的基本安全策略工作时,就是为了解决系统互操作性的关键要素。也就是说系统安全策略必须保证其各个服务都遵循一致。此外,对于某些服务的活动范围其依据并不是直接来源于系统安全策略,而是出于服务间的联动规则。所以说针对此类系统控制中心必须能够及时的实现这种联动规则。
(2)可管理性。对于一个设计良好的可靠地信息安全集成管理平台来说,其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现,进而促使对安全需求方面能够更加全面准确地得到满足。这即包括了确定必需的安全服务也包含了对安全机制与技术管理方面的要求,从而实现网络安全体系在系统中的合理部署与配置。
(3)可扩展性。关于网络安全体系集成可扩展性的要求是:对于每种新投入的安全服务或安全设备,或者新型的网络安全技术的使用,系统可接纳其无缝集成运行到系统中无需对操作本身作修改,或只作较少配置改动。
3 网络安全设计结构
依据网络安全的相关法律法规,安全防御策略应是全方位和动态纵深的,对网络实行分层、分级以及实时防护,对于网络中的特定的安全漏洞能够及时评估和发现,对于各种网络的侵入行为实时监测并能依据监测结果预警,甚至是遭受攻击时,自发地发出报警信号、处理措施;这样就使得在恶意入侵某一层安全防御措施后,能被后续的应急措施阻拦,确保系统的最大程度安全。
(1)VLAN的网络分割。在以太网发展的过程中,出现了广播相关的技术问题以及安全性问题,为了解决这个问题,人们提出了VLAN协议。这个协议的原理是,在传统以太网帧上增加了VLAN头,通过这样的VLAN ID将网络上的计算机分为相对独立的工作组,而不同组之间的计算机不能进行直接互相访问,每个VLAN就是一个虚拟局域网,这样使得技能限制广播的范围,并能够组成虚拟的工作组,VLAN之间的互相访问则需要有协议中的授权进行信息交换。为了防止敏感资源的泄露以及广播信息的泛滥,在0层交换机的集中式网络环境中,将网络中的所有客户计算机和服务器分别分配到不同的VLAN中,而在相对独立的VLAN中,用户通过设置IP来进行与服务器之间的互相ping是被禁止的,同样也需要禁止用户计算机对服务器相关数据资源的写入,只允许相关数据的读出,通过这样的协议机制,能够更好地保护主机资源和服务器中的敏感信息。而在实际应用中,企业的部门位置有些分散,有些交叉重叠、不易分离,我们通过三层交换机网络,经过VLAN的相关划分,实现部门都有各自独有的VLAN,既方便了互相访问,有保证了信息的安全。
(2)MAC地址绑定。这样的绑定是通过0层交换机,在其安全控制列表中,使得计算机的MAC地址和交换机上的端口进行捆绑,由于MAC地址是网络适配卡的网络身份标识,通过这样的绑定,可以有效防止未注册的非法计算机访问网络,这也就是物理层面的安全防御。同样,我们也可以使用内部网络的安全管理系统,统筹分配网络中的硬件资源。
(3)防火墙配置。上述我们讲述了VLAN将网络划分为独立的VLAN网络,而在这些网络之间,需要我们使用特定的软件或硬件系统,来保证外部网络与内部网络的相对隔离防护,也即防火墙的配置。本文则是采用硬件防火墙方式,是通过控制特定的数据通讯的是否与许出入来实现的,这是通过访问控制策略来决定一个数据的出入是否被允许的。
对于一个网络,在保证安全性的同时,也要考虑信息通信的运行速度以及经济性等问题,因此在防火墙配置的软硬件选型中,要选用符合相关保密要求的国产防火墙,从而有效防止外部用户的非法访问,而为了充分的保证网络安全,可以配置1套备份防火墙,在其中一台出现问题时,另一台迅速启动,以达到无缝保护网络安全。而当今的防火墙访问控制策略有如下几种所示:所有往复数据均需经过防火墙的过滤与监测;符合安全策略的数据包才能经防火墙过滤而通过;服务器访问互联网不能直接通行;防火墙本身作为一个系统,也要有抵御非法访问以及攻击的功能;在没经设置的情况下,默认禁止各种网络服务,除非是客户计算机等发起的或者必须服务,而需要网络开放特殊端口的特定服务要经过系统管理员的允许。
(4)入侵检测系统的部署。传统的网络安全防御方法还不足以满足当今的网络安全要求,新的防御技术应运而生,入侵检测技术就是其中一种,它能够很好的弥补防火墙的不足,有效地结合其他网络安全产品的性能,对网络安全能够进行全方位的保护,并且具有了传统网络安全技术所不具备的主动性,在提供实时监测的同时,并根据特定的网络安全情况来采取相应的手段。相对于防火墙的部署位置,入侵监测是部署在网络的旁路中,不必像防火墙那样对所有出入网络的信息进行访问控制,不会影响整个网络的整体性能;在对全部网络的内容进行入侵检测和判断,并对分析历史进行记录,以利于事故追忆和系统恢复,并断开特定的网络链接等。
(5)身份认证。网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换,而身份认证正是基于对通信双方进行身份的确认,保证每次通信双方的信息安全。当前比较常用的通信身份认证技术有:静态密码、智能卡、USB Key和动态口令等,得到普遍应用的是用户名和静态密码的方式;本文中我们使用USB Key方法,这种方法是基于软硬件认证技术,在保证安全性的同时,也保证了易用性。这种该设备内部有微机芯片,存放有用户特定的密钥或者数字证书,通过其内置的密码算法来达到用户的身份认证的目的,这样的身份认证系统有两种认证方法:一是基于冲击响应的模式,二是基于PKI体系的认证模式。
(6)内网安全管理。传统的安全防御理念,重点集中在常规的漏洞扫描、入网检测等方面,重要的安全设备虽然集中在机房中,处在层层的保卫中,来自网络外部的安全威胁大大的缩小了,来自网络内部的安全威胁却相对比较突出,这也是由于内网频频出现的违规安装软件,私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现,危及网络的安全,网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发,来有效地解决出现的问题。
(7)数据备份与恢复。为了防止数据丢失,造成重要数据的无法挽回,网络系统需要经常性的进行数据备份,把特定的数据转存到目的介质中。这样,即使整个网络系统崩溃,数据部分或全部丢失,数据也能恢复到备份时的状态。
本文中的网络体系的构建,在集中式网络管理工具对系统数据进行备份,通过内部网路管理系统对其进行统一管理,用专门管理备份数据的服务器监控相应的备份作业,这样使得系统的备份数据能够统一集中的备份到统一磁盘阵列上。而对于网络数据的备份,实现的方式主要有以下几种:采用自动增量备份,使得系统管理员的工作量得到相应的降低;制定数据备份日程,按照计划进行备份;全面地备份存储介质的物理管理,一定程度上避免读写时的误操作;对备份后的数据所在的存储介质,通过合理的分类存放,使得保存科学可靠;在备份服务器为核心的备份系统中,对各种备份数据统筹管理,合理分配资源,实时监控,实现分布式存放,集中式管理,既提高了存储的可靠性,又保证了存取的快速性。
4 结束语
企业计算机网络安全系统的构建是一个非常复杂的系统工程,它涉及到多个学科的内容,同时也需要企业各个部门的相互协调配合。只有企业自身重视数据信息保护,制定相对完善的数据信息安全保护制度,才能够从根本上实现企业机密信息的绝对安全。在今后的工作中,笔者将继续致力于该领域的研究工作,以期能够获得更多有价值的研究成果。
参考文献:
[1]魏昱.如何解决计算机网络系统的安全问题[J].电子制作,2013(07):134-135.
[2]赵健.浅析计算机网络系统的安全[J].青春岁月,2011(12):362.
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.
关键词:网络 安全策略 数据 访问
0 引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
1 目前企业内部网络的安全现状
1.1 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
1.2 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
1.3 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA等。
1.4 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
1.5 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
1.6 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
1.7 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
1.8 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
2 企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
2.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.2 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
2.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
2.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
2.5 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
2.6 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等
2.7 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
(河北省承德市双滦区人力资源和社会保障局,承德 067101)
(Shuangluan District Human Resources and Social Security Bureau of Chengde,Hebei Province,Chengde 067101,China)
摘要: 随着计算技术的发展,网络技术的普遍应用,保护商业机密、个人隐私、敏感数据等越显重要。尤其是中小企事业单位由于资金有限,资源不多,各种信息数据时时受到内部的以及外部的威胁。数据信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。本文将对中小企事业单位的数据信息安全问题进行分析,提出相应的安全策略和技术防范措施。
Abstract: With the development of computing technology and widespread application of network technology, the protection of commercial secrets, personal privacy and sensitive data and so on becomes more important. Especially for small and medium-sized enterprises, due to the limited funding and resources, the information data is constantly threatened by internal and external factors. The essence of the data information security is to protect information systems or information in the network information resources from various types of threats, interference and damage, namely guarantee information security. This article analyzes the data information security problems of small and medium-sized enterprises and institutions, and puts forward the corresponding security strategy and technical measures.
关键词 : 数据信息;安全策略;企事业单位
Key words: data information;security policy;enterprises and institutions
中图分类号:TP311.5文献标识码:A文章编号:1006-4311(2015)25-0055-02
作者简介:李晓宾(1979-),男,河北承德人,科员,助理工程师,研究方向为电子信息。
0 引言
Internet为人类社会创造了一个全新的信息空间,随着计算机网络技术的日益成熟,计算机网络在社会上的应用也急剧增多,中小企事业单位越来越多的采用计算机网络技术来进行办公。但是在此过程中,由于中小企事业单位对网络安全问题不够重视以及工作人员的操作不规范等问题,使中小企事业单位的网络安全受到极大的威胁。随着数字化经济的到来,网络系统的不断扩大,信息的快速获取,数据的安全性、可用性变得越来越重要。
1 计算机网络数据安全问题概述
随着网络技术的迅猛发展,各行各业逐步跨入信息时代大平台,这一方面为信息储存、行业推广提供了极大便利,而另一方面也催化了网络信息安全隐患的不断滋长,频频爆出网络用户信息泄漏事件。目前网络已成为中小企事业单位重要的工作手段之一,网络信息泄密使企业面临严重的安全威胁,并且已经有企业为此承担了巨大的经济损失。加强网络信息安全管理已刻不容缓。
2 企事业单位计算机数据安全面临的威胁
①中小企事业单位由于网络管理上的缺失,没有形成统一的网络安全管理制度或者责任分工不明确,不能及时发现计算机网络系统中出现的安全漏洞,造成数据损毁丢失或被黑客篡改。
②U盘、移动硬盘等外来数据与中小企事业单位内部的计算机端口进行非法的连接,造成网络系统感染病毒或者直接瘫痪,对中小企事业单位的内部信息安全够成威胁。
③中小企事业单位对计算机网络终端缺乏有效的监控,当计算机系统出现安全威胁时,无法通过监控系统及时锁定故障点,也无法统一管理计算机网络所配置的应用软件。
④由于单位员工的计算机网络技术水平存在较大差异,大部分员工不能熟练掌握计算机网络的应用技术,经常出现由于工作人员的操作不当,造成数据的删除或者损坏。因没有设置或及时更改计算机网络的使用权限,增加了网络入侵的危险。
3 计算机网络数据信息安全策略与技术防范措施
基于上述安全隐患,而计算机网络在中小企事业单位中的应用又势在必行的现实趋势,中小企事业单位应该针对计算机网络信息制定配套的安全管理策略,切实加强信息安全管理,并且针对安全威胁采取相应的技术防范措施,见表1。
RAID 0追求速度,至少需要2块硬盘,总容量相当于多块硬盘加起来,不过这种方案安全性欠缺,一块硬盘出现问题,数据全毁。RAID 1追求安全,磁盘2是磁盘1的备份,缺点是容量损失,速度与单块硬盘相同。RAID 0+1或RAID 1+0兼顾速度与安全,应用较多。RAID 5相对来说速度较快,安全性较高,应用也比较普遍。
4 典型案例分析
2010年,张建在杭州某电商企业中负责品牌运营和推广工作。在工作中结识了前支付宝员工李明,双方产生了“生意”上的来往。在一次合作中,李明用3万条目标消费者信息来抵付欠张建的500元人民币酬劳。这3万条目标消费者信息中包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,张建通过这些定位精准的用户信息进一步筛选出精准的目标消费群体。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。李明下载用户信息后,伙同两位系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。
此案暴露了支付宝公司信息安全管理上的漏洞,如果内部监管得力,及时发现问题,就可制止犯罪行为。如果权限设置得当,他没有相应的权限,就接触不到或者不会轻易得到如此多的隐私数据,就不会发生这类事件了。
5 数据信息安全的目标及要达到的效果
信息安全通常强调CIA三元组的目标,即保密性、完整性和可用性。CIA 的概念阐述源自信息技术安全评估标准(ITSEC,即 Information Technology Security Evaluation Criteria),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
中小企事业单位的目标是在有限的投入中,获得尽可能最大的安全性。防火墙是必须的,既要防病毒又要防黑客;物理隔离网络是必要的,只有这样才能保护专网的数据信息安全;建立完整的备份策略是必然的,防患于未然;内部的监管也是非常重要的,消灭一切威胁到数据信息安全的行为。
6 结论
随着计算机网络技术的发展,中小企事业单位对于计算机网络的应用将越来越广泛,建立健全各种安全制度,增强网络数据信息的安全性刻不容缓。在产业融合的态势下,应该尽量保证数据信息的准确性,完整性,保密性,避免由于网络数据信息丢失、损毁、泄密等给中小企事业单位带来的损失。同时,政府也应该遵循互联网发展的规律,秉承开放、包容、创新、分享的理念,加快建立完善和互联网工作发展相适应的监管制度,修订完善法律法规,不断优化监管思路,创新监管手段,规范市场秩序,着力打造党政部门、互联网企业、科研机构、行业组织,以至普通的网民广泛参与合作等多元监管格局,为互联网潜能的充分释放营造公平、公正、合法、合规的外部环境。
参考文献:
[1]潘柱廷.高端信息安全与大数据[J].信息安全与通信保密,2012(12).
[2]维克托·迈尔·舍恩伯格,周涛.大数据时代:生活、工作与思维的大变革[J].人力资源管理,2013(03).
[3]刘庆宇.浅析计算机网络的安全策略与技术防范对策[J].数字技术与应用,2013(10):207.
[4]关启明.计算机网络安全与保密[J].河北理工学院学报,2003(2):84-89.
[论文关键词】电力信息安全策略
[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析,提出相应的安全对策,并介绍应用于电力系统计算机网络的网络安全技术。
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。
信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。
作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。
信息安全应该实行分层保护措施,有以下五个方面,
①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。
(一)安全技术策略
为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:
1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。
5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
6.建立信息安全身份认证体系。CA是CertificateAuthority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。
(三)组织管理策略
信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
2.安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
3.安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式,建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。
【关键词】:计算机;网络系统;安全集成;
【 abstract 】 : along with the rapid development of the network, the network security problem increasingly, in recent years, the spy network virus, hackers, often by exposure, relevant national authorities have also repeatedly requirements, a better job in network security construction and management. This paper mainly discusses the computer network security construction implementation of related basic facilities and the measures taken.
【 key words 】 : computer; Network system; Security integration
中图分类号:TN711文献标识码:A 文章编号:
引言
国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》指出:计算机信息系统的安全保护.应当保障计算机及其相关的和配套的设备的安全,运行环境的安全,保障信息的安全.保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。也就是说。我们应在计算机硬件、软件及运行环境等网络的各个环节上,考虑来自网络系统内部和外部两方面的因素.从管理和技术上着手,制订比较完善的网络系统安全保护策略。
一、企业的网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面: 信息和网络的安全防护能力差; 网络安全人才缺乏; 企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
1、计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
2、非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3、木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
1、更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用.
2、关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后.首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订.管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器.这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP.
3、防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有: 所有从内到外和从外到内的数据包都必须经过防火墙; 只有被安全策略允许的数据包才能通过防火墙; 服务器本身不能直接访问互联网; 防火墙本身要有预防入侵的功能; 默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
4、VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。它在以太网的基础上增加了VLAN 头,用VLAN ID 把用户划分为更小的工作组,限制不同VLAN 之间的用户不能直接互访,每个VLAN 就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编辑,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
5、身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有: 静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 身份认证系统主要有2 种应用模式: 一是基于冲击、响应的认证模式; 二是基于PKI 体系的认证模式。
6、制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划.以防意外事故使网络系统遭受破坏.该应急计划应包括紧急行动方案及软、硬件系统恢复方案等.绝对的安全是没有的,安全标准的追求是以资金和方便为代价的.我们应随时根据网络系统的运行环境而采用相应的安全保护策略.通过对计算机网络系统安全问题的充分认识.以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题.
结语
如何确保计算机网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然,也是企业关心的重点。一个全方位的安全方案是非常难以实现的,只有在企业领导的支持下,在技术人员和管理人员的努力下,结合企业的实际情况,制定出相应的解决措施,才是符合本企业的安全方案。本文主要讨论了计算机网络的安全的几种不同的威胁,给出了相应安全策略以及相应的安全产品,提出了计算机网络系统实施建设的基本方案。
参考文献
[1] 殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社。2004.
[2] 陈豪然.计算机网络安全与防范技术研究[J],科技风,2009(22):35—36.
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。 5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全,安全执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
[论文摘要]通过对电力系统计算机网络存在的网络安全问厦的分析,提出相应的安全对策,并介绍应用于电力系统计算机网络的网络安全技术。
[论文关键词】电力信息安全策略
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。应结合电力工业特点,深入分析电力系统信息安全存在的问题,探讨建立电力系统信息安全体系,保证电网安全稳定运行,提高电力企业社会效益和经济效益,更好地为国民经济高速发展和满足人民生活需要服务。
研究电力系统信息安全问题、制定电力系统信息遭受内部外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。
一、电力系统的信息安全体系
信息安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。包括保密性、完雅性、可用性、真实性、可靠性、责任性等几个方面。
信息安全涉及的因素有,物理安全、信息安全、网络安全、文化安全。
作为全方位的、整体的信息安全体系是分层次的,不同层次反映了不同的安全问题。
信息安全应该实行分层保护措施,有以下五个方面,
①物理层面安全,环境安全、设备安全、介质安全,②网络层面安全,网络运行安全,网络传输安全,网络边界安全,③系统层面安全,操作系统安全,数据库管理系统安全,④应用层面安全,办公系统安全,业务系统安全,服务系统安全,⑤管理层面安全,安全管理制度,部门与人员的组织规则。
二、电力系统的信息安全策略
电力系统的信息安全具有访问方式多样,用户群庞大、网络行为突发性较高等特点。信息安全问题需从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为了保障信息安全,采取的策略如下:
(一)设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止意外损坏。对于终端设备,如工作站、小型交挟机、集线器和其它转接设备要落实到人,进行严格管理。
(一)安全技术策略
为了达到保障信息安全的目的,要采取各种安全技术,其不可缺少的技术层措施如下:
1.防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术,它通过单一集中的安全检查点,强制实糟相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
2.病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.虚拟局域网技术(VLAN技术)。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含1组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空间里,既这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4.数据与系统备份技术。电力企业的数据库必须定期进行备份,按其重要程度确定数据备份等级。配置数据备份策略,建立企业数据备份中心,采用先进灾难恢复技术,对关键业务的数据与应用系统进行备份,制定详尽的应用数据备份和数据库故障恢复预案,并进行定期预演。确保在数据损坏或系统崩溃的情况下能快速恢复数据与系统,从而保证信息系统的可用性和可靠性。
5.安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计,及时自动分析系统安全事件,实现系统安全运行管理。
6.建立信息安全身份认证体系。CA是CertificateAuthority的缩写,即证书授权。在电子商务系统中,所有实体的证书都是由证书授权中心(CA中心)分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。电力市场交易系统就其实质来说,是一个典型的电子商务系统,它必须保证交易数据安全。在电力市场技术支持系统中,作为市场成员交易各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。在电力系统中,电子商务逐步扩展到电力营销系统、电力物质采购系统、电力燃料供应系统等许多方面。因此,建立全国和网、省公司的cA机构,对企业员工上网用户统一身份认证和数字签名等安全认证,对系统中关键业务进行安全审计,并开展与银行之间、上下级CA机构之间、其他需要CA机构之间的交叉认证的技术研究及试点工作。
(三)组织管理策略
信息安全是技术措施和组织管理措施的统一,“三分技术、七分管理”。据统计,在所有的计算机安全事件中,属于管理方面的原因比重高达70%以上。没有管理,就没有安全。再好的第三方安全技术和产品,如果没有科学的组织管理配合,都会形同虚设。
1.安全意识与安全技能。通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识,使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技术和产品,将使信息安全保障工作得到提升。
2.安全策略与制度。电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全,没有法规,无从遵循信息安全的制度,没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
3.安全组织与岗位。电力企业的组织体系应实行“统一组织、分散管理”的方式,建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。安全岗位是信息系统安全管理机构,根据系统安全需要设定的负责某一个或某几个安全事务的职位,岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列。这样在全企业范围内形成信息安全管理的专一工作,使各级信息技术部门也因此会很好配合信息安全推行工作。
关键词:计算机网络;ARP攻击;安全
中图分类号:TP393.08
目前,计算机网络安全越来越重要,主要体现在信息技术的信息的共享性和信息的保密性两个方面。正由于计算机网络的资源共享与交流已成为当今社会发展必然的趋势,因此同时意味着网络存在很多潜在的安全风险。在运用计算机网络的时候,经常会遭遇ARP攻击的安全威胁。譬如被盗用IP地址,ARP攻击不但会影响网络的正常使用,而且还会给某些企业单位带来巨大的经济损失。所以,如何保护计算机网络以免遭受ARP攻击,已成为网络安全管理必须研究的问题。
1 ARP攻击基本原理与特征
1.1 ARP攻击基本原理
ARP协议其实指的是地址解析协议,是指在计算机发送数据帧之前,把目标计算机所分配的IP地址解析成目标的MAC地址的一个转换过程。数据在计算机网络中的传输,其实是采用“帧”的方式来进行传输的,帧结构除了包括数据本身、数据相关的开始与结束的标志以及数据的控制信息,还包括目标MAC地址等等信息。计算机网络传输的过程中,要想让某台计算机与其他计算机能直接进行通信,就得首先知道目标计算机的MAC地址,但目标计算机的MAC地址必须通过地址解析协议才能获取。ARP协议最根本的功能就是能利用目标计算机的IP地址来查询到目标的MAC地址,从而确保计算机网络之间能正常进行通信。
正因为ARP协议有这个原理,因此ARP攻击能把IP地址转变为第二层的MAC地址,再通过伪造MAC地址以及IP地址来从事ARP欺骗,从而在网络中会产生大量的ARP通信流量,对网络造成堵塞。通过盗用IP地址来攻击目标的MAC地址,让网络中产生多个MAC地址和IP地址,用此来攻击网络。如图1:
图1
(1)要发送网络包给192.168.1.1,但不知MAC地址?
(2)在局域网发出广播包“192.168.1.1的MAC地址是什么?”
(3)其他机器不回应,只有192.168.1.1回应“192.168.1.1的MAC地址是00-aa-00-62-c6-09”
从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。更何况ARP协议是工作在更低于IP协议的协议层,因此它的危害就更加隐蔽。
1.2 ARP攻击的特征
ARP攻击具有如下几个特点:第一,具有隐蔽性。通常要避免IP地址之间发生的冲突有很多方法,但对于ARP攻击来说,计算机系统不会判断ARP缓存正确与否,从而也不会出现类似IP地址之间的冲突那样的提示信息。因此对计算机网络的用户ARP攻击具有隐蔽性。第二,很难消除。网络中发生ARP攻击很难被消除,因此,增加网络管理员维护和管理计算机网络安全工作的难度。第三,对网络造成堵塞。ARP攻击是通过伪造MAC地址和IP地址进行的,从而让计算机网络产生大量的ARP通信流量,对网络造成堵塞,直接影响计算机网络之间的通讯能力。
2 ARP攻击对网络的危害
ARP攻击对计算机网络的危害较大,不但会导致计算机之间无法进行网络连接,而且还会让计算机里存储的密码和重要数据等被盗窃。具体来讲有网络接入速度不稳,时而快时而慢,从而无法保证网络通讯质量的稳定性;还有会偶尔发生IP冲突,从而导致计算机无法进行通讯;还有ARP攻击会造成计算机网络的用户账号数据信息被盗窃,从而进行一些非法的网络活动,会给网络用户带来一定的经济损失;最后使用ARP攻击形式还会导致IP地址发生冲突的级别高出计算机的屏保,从而威胁计算机的安全。
3 防ARP攻击具体的安全策略
3.1 防御ARP攻击最基本的方法
防御ARP攻击最基本的方法:(1)重启计算机,致使ARP攻击丢失攻击环境;(2)禁止使用计算机网卡,让目标MAC地址变得不可达,从而让APP攻击失去攻击目标,防止攻击的发生;(3)对网络设备采取复位,让设备恢复出厂设置。以上这些防御方法对于用户的计算机水平和知识的要求很低,可以暂且有效地保护计算机网络的安全。但是其保护效果不太长久,还会给用户的工作带来一些不便,仅适合被计算机水平不高的用户所使用。
3.2 采取双向地址绑定
防御ARP攻击最常用的安全策略是双向地址绑定,它利用双向绑定MAC地址以及IP地址来防止攻击。因为ARP攻击采用的手段是伪造MAC地址与IP地址进行的,所以计算机网络的安全不可只建立在MAC地址或是IP地址的基础上,而是必须建立在双重地址的基础之上,实现双向绑定。双向地址绑定采用的具体方法是实现IP地址与MAC地址之间一对一映射,确保ARP表不可被更改,因而就能防御APP欺骗行为。
3.3 使用SOCKET开发防御系统
通过使用SOCKET编程来开发ARP攻击的防御系统,能够防止ARP攻击。但是这个方法比较考验网络管理员的技术,需要管理员能深入地了解SOCKET编程技术以及ARP攻击原理。此方法不仅要求SOCKET系统能预防ARP攻击,而且要求它在遭遇ARP攻击之时能具有报警功能,还要求显示遭受攻击的主机信息,以便网络管理员能及时针对主机问题采取修复措施。
3.4 使用ARP防火墙
所谓ARP防火墙技术便是根据ARP攻击所开发的,它的主要功能是能确保网关所获取的MAC地址与计算机所获取的MAC地址的合法性,也就是确保计算机网络所有活动都能获取合法的MAC地址,确保网关与计算机能不受假ARP数据包的干扰。
4 小结
计算机网络安全已经成为计算机技术工程的一个重要课题,ARP攻击是计算机网络所面临的一个重大的安全隐患。以上通过分析研究当前计算机网络ARP攻击的特征和原理,提出了基于计算机网络安全的有效可行的防御ARP攻击一些的安全策略,可供计算机的网络管理员在维护计算机网络安全时作参考。
参考文献:
[1]马蓉平.计算机网络安全与ARP攻击的解决方案[J].辽宁教育行政学院学报,2009(02).
[2]李静媛.ARP攻击对网络安全的危害及对策研究[J].中国新技术新产品,2009(17).
[3]郝玲丽,许志飞.基于网络结点的ARP攻击的分析与防范[J].电脑知识与技术,2009(10).
[4]田维珍,窦为伟,庞雄昌.ARP欺骗攻击防控方法研究[J].计算机与信息技术,2010(Z2).
[5]张黄励.针对ARP攻击的主动防范策略研究与实现[D].重庆大学,2010.
1 传统防火墙的不足
传统防火墙是现代网络安全防范的主要支柱,但在安全要求较高的大型网络中存在一些不足,主要表现如下:
(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构,如今,越来越多的跨地区企业利用Internet来架构自己的网络,致使企业内部网络已基本上成为一个逻辑概念,因此,用传统的方式来区别内外网络十分困难。
(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏,但在大多数情况下,用户使用和配置防火墙主要还是防止来自外部网络的入侵。
(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上,因此,防火墙容易形成网络的瓶颈。
(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵,整个内部网络将完全暴露在外部攻击者的前面。
2 分布式防火墙的概念
为了解决传统防火墙面临的问题,美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义,其系统由以下三部分组成:
(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能,负责内外网络之间不同安全域的划分;同时,用于对内部网络中各子网之间的防护。
(2) 主机防火墙。为了扩大防火墙的应用范围,在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中,并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。
(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心,主要负责安全策略的制定、分发及日志收集和分析等操作。
3 分布式防火墙的工作模式
分布式防火墙的工作模式:由中心策略服务器统一制定安全策略,然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施,再由各主机产生的安全日志集中保存在中心管理服务器上,其工作模式如图所示。
分布式防火墙工作模式结构
从图中可以看出,分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域,可信赖的内部网络发生了概念上的变化,它已经成为一个逻辑上的网络,从而打破了传统防火墙对网络拓扑的依赖。但是,各主机节点在处理数据时,必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。
4 分布式防火墙的构建
分布式防火墙的构建主要有如下四个步骤:
(1) 策略的制定和分发。在分布式防火墙系统中,策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。
(2) 日志的收集。在分布式防火墙中,日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。
(3) 策略实施。策略在管理中心统一制定,通过分发机制传送到终端的主机防火墙,主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。
(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式,即根据IP地址进行认证。为了避免IP地址欺骗,可以采用一些强认证方法,例如Kerberos、X.509、IP Sec等。
5 分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1) 分布式防火墙增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击的防范,可以实施全方位的安全策略。
(2) 分布式防火墙消除了结构性瓶颈问题,提高了系统性能。
(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
6 结论
总之,在企事业单位的计算机网络安全防护中,分布式防火墙技术不仅克服了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中,具有无限制的扩展能力。随着网络的增长,它们的处理负荷也会在网络中进一步分布,从而持续地保持高性能,最终给网络提供全面的安全防护。
参考文献
[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).
