时间:2023-09-18 17:32:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇如何制定网络安全策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:企业网络;网络安全;安全体系
前言
由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。
1 企业网络的威胁及其风险管理
企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:
1 未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。
2 假冒。指由于伪造的凭证假冒其他人进行活动。
3 拒绝服务。指服务中断。
2 企业信息化的网络安全策略体系[2]
网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。
2.1 安全策略的文档结构
a) 最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
b) 技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。
c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。
d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。
e) 用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。
2.2 建立策略体系
目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。
建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。
2.3 策略的与执行
企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。
3 企业信息化网络安全技术的总体方案
3.1 引入防火墙系统[5]
通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。
3.2 引入网络防病毒的子系统
防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。
3.3 引入漏洞扫描的子系统
漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。
3.4 引入数据加密的子系统
对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。
4 结语
通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。
参考文献
[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.
[2]丁国华,丁国强. 企业网络安全体系研究[J].福建电脑,2007,2:66~67.
[3]陆耀宾. 企业网络安全体系结构[J].电子工程师,2004,4:55~56.
[关键词] 安全管理 监控 审计 安全构架
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、VPN、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网WEB服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候 ,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
3.黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。
一、企业有关的安全策略
(一)制定安全策略的原则
1.适应性原则:制定的安全策略必须是和网络的实际应用环境是相结合的。2.动态性原则:安全策略是在一定时期采取的安全措施。由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,所以制定的安全措施必须不断适应网络发展和环境的变化。3.简单性原则:网络用户越多,网络管理人员越众,网络拓扑越复杂,采用网络设备种类和软件种类繁多,网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性相对就越大,出现安全问题后及时找出问题原因和责任者的难度就越大量。安全的网络是相对简单的网络。网络中帐号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。4.系统性原则:网络的安全管理是一个系统化的工作,必须考虑到整个网络的方方面面。也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、各种情况,有计划也有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低甚至崩溃。
(二)网络规划时的安全策略
网络的安全性最好在网络规划阶段就要考虑进去,安全策略在网络规划时就要实施。
1.首先根据企业的特点确认网络的物理和逻辑拓扑、相互间的业务依赖信任关系以及之间应采取的隔离手段,明确业务所要求达到的安全要求。2.明确网络安全责任人和安全策略实施者。3.对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)。最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。4.网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障,并且可以很快从故障中恢复。网络的主备份系统应位于中心机房。5.如果网络与Internet之间有固定连接,最好在网络和Internet之间安装防火墙。防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。6.网络使用服务器访问Internet。不仅可以降低访问成本,而且隐藏网络规模和特性,加强了网络的安全性。7.在人员配置上,应该对用户进行分类,划分不同的用户等级。规定不同的用户权限。给不同的用户或用户组分配不同的帐号,口令、密码。并且规定口令、密码的有效期,对其进行动态的分配监控和修改,保证密码的有效性。8.配合路由器和防火墙的使用,对一些IP地址进行过滤,可以在很大程度上防止非法用户通过TCP/IP访问服务器。9.及时更新防火墙知识库和相应的配置,使防火墙能够防御各种最新的攻击类型。10.定期对服务器和网络设备进行安全扫描工作。
基本防护体系(包过滤防火墙+NAT+应用级防火墙);隔离内部不同网段;建立VLAN根据IP地址、协议类型、端口进行过滤。内外网络采用两套IP地址,需要网络地址转换NAT功能支持安全服务器网络SSN、通过IP地址与MAC地址对应防止IP欺骗防火墙运行在安全操作系统之上网关级防火墙为独立硬件服务器级防火墙主要用来过滤病毒用户端安装防病毒软件
(三)网络用户的安全策略
网络的安全不仅仅是网络管理员的职责,网络上的每一个用户都有责任。网络用户应该了解下列安全策略:1.严格遵循本企业的计算机管理制度;2.口令一定要保密;3.清楚自己工作数据存储的位置,知道如何备份和恢复;4.安装启动时病毒扫描软件。虽然绝大多数病毒对服务器不构成威胁,但会通过NT网在客户端很快传播开来;5.访问Internet有可能将机器至于不安全的环境下,不要下载和安装未经安全认证的软件和插件;6.用户在局域网和远程登录分别使用不同的用户账号和口令。因有些方式的远程登录账号和口令没有加密,有可能被截获。以上所有的策略总结起来主要是两条:一是保护服务器:二是保护口令。总之,安全性是一个涉及到各方面相互关联的问题,在越来越普及的以NT为操作系统的今天,安全性的问题日益突出。
二、结束语
认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。作为一个新兴的研究领域,网络安全正孕育着无限的机遇和挑战。在正确看待网络信息安全问题的同时,有几个观念值得注意:1.安全是一个系统的概念。安全问题不仅仅是个技术性的问题,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式紧密地联系在一起。2.安全是相对的。不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。3.安全是有成本和代价的。一定要考虑到安全的代价和成本的问题。作为一个管理者,应该综合考虑各种因素。
参考文献:
[1]张红旗.信息网络安全[M].清华大学出版社,2004
[2]王宇,卢昱.信息网络安全脆弱性分析[J].计算机研究与发展,2006,43(z2)
[作者简介]
【 关键词 】 网络安全;策略;技术
Some Thoughts on the Computer Network Security Tactics
& Security Technology at the level of Municipal Environmental Protection Agencies
Xu Shu-cai
(Lian Yun Gang Environmental Information Center, Lian Yun Gang City JiangsuLianyungang 222001)
【 Abstract 】 with the development of computer technology and communications technology, computer network will permeate all areas of social life. Meanwhile,It’ll become very important for us to recognize network vulnerabilities & potential threats so as to take strong measures on security tactics for safeguarding the network security. According to the practical situations in daily work, this paper analyzes the network security to be posed a threat at the level of municipal environmental protection agencies and propose some common network security technology.
【 Keywords 】 network security;tactics;technology
0 引言
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其它的安全服务和安全机制策略。影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素的危害最大。
1 计算机网络的安全策略
1.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
1.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
1.3 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
1.4 网络安全管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括确定安全管理等级和安全管理范围、制订有关网络操作使用规程和人员出入机房管理制度、制定网络系统的维护制度和应急措施等。
2 常用的网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。
2.1 网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。
2.2 防火墙技术
防火墙(Firewall)是用一个或一组网络设备( 计算 机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对 企业 构成威胁的数据进入的任务。
2.3 网络地址转换技术(NAT)
网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。
2.4 操作系统安全内核技术
除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括采用安全性较高的操作系统、对操作系统的安全配置、利用安全扫描系统检查操作系统的漏洞等。美国国防部(DOD)技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2级(例如Unix、Windows NT),其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
2.5 身份验证技术
身份验证(Identification)是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称之为身份验证(或身份鉴别)。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户,如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
2.6 网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的工作着手,通过网络环境管理网络上的所有机器,如利用网络唤醒功能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
参考文献
[1] 李绍中.计算机网络的安全策略.湖南电力,2002rh ,卷22.
[2] 龚海虹.金融计算机网络系统的安全问题及安全策略.现代计算机.2000年5月.
1计算机网络安全的现状
计算机网络的安全问题从计算机网络产生伊始,就已经成为信息技术领域中一个让人头疼的问题,其主要原因是因为计算机网络的公开性和自身的脆弱性以及各领域对计算机的使用和计算机网络的依赖性日趋严重,一旦发生较大的网络安全破坏事件,将造成不可估量的损失。与此同时,威胁网络安全的手段日益多样和先进,尤其是最近愈演愈烈的计算机病毒,包括不断升级的黑客攻击手段不断威胁着计算机网络的安全。特别是全球联网的今天,如果一次恶意的黑客攻击成功实现,将会对整个系统网络造成巨大的破坏,严重时还会造成整个网络的中断以致于系统的最终瘫痪,这方面的报道可以说层出不穷。从计算机网络安全的目前发展来看,其态势依然不容乐观,可谓任重而道远,尤其是,威胁计算机网络安全的黑客在攻击技术水平层面越来越高级,具有了更强的攻击性和破坏性和自我防御性,其攻击目标也向网络的核心层过渡和转移,这些都是网络安全面临的急需解决的问题,如何有效应对这些网络安全威胁,制定有效的计算机网络安全策略也是计算机网络安全领域研究的重点课题。
2计算机网络安全面临的主要问题
根据计算机网络安全调查显示,目前计算机网络安全主要面临以下几个主要威胁:首先是,在计算机软件设计上存在的漏洞和缺陷,为非法入侵者提供了可乘之机,特别是程序设计过程中留有后门,一旦相关信息因保护不当而泄漏,任何人都可以使用浏览器从网络上进行各类系统信息的收集和整理,借助对源码的篡改,进而对系统进行攻击。我们知道由于技术条件等方面的原因,每一个软件在设计时,难免会存在一些漏洞或缺陷,这些设计上的缺陷目前已经成为威胁网络安全的隐患,即使通过后期的改造升级,但由于其自身存在的周期性和被动性,使得其依然是被攻击的目标之一。其次,大量网络用户对网络安全防护意识淡薄。以中国为例,作为一个计算机网络大国,我们拥有着庞大的计算机网络使用人群。虽然目前,我们在计算机网络的应用方面,例如网上办公以及电子商务等领域已经取得了初步的成就,但由于相关技术设施和经验的缺乏,以及网络安全教育的不足甚至缺失,大多数计算机网络用户的观念还仍然停留在对计算机病毒的普通防范方面,对整体网络安全的防护意识以及网络安全受到破坏所带来的问题的严重性还没有得到足够的重视。再次,计算机网络物理配置的不足或不当。现在互联网的便利性满足了用户在生产、生活方面的各种需求,可关于其安全性能的配置,尤其是与计算机网络安全息息相关的一系列的网络物理配置,出现缺失或滞后的现象,其抵御各类非法入侵包括病毒破坏和黑客攻击等方面的能力不足,这些为计算机网络安全的维护埋下了严重的隐患。最后,计算机网络安全人才的缺乏和科研创新的相对落后。从目前来看,我国计算机网络安全建设已经取得了较大成就,但是与欧美等发达国家之间还有很大的差距。其主要制约因素有两方面。一方面是人才的缺乏。尽管我国是一个人口大国,但参与计算机网络安全领域的研究人数较少,特别是缺乏一批具有创新、开拓精神的高质量的尖端人才,我们知道,二十一世纪的竞争从本质上讲是人才的竞争,所以培养和引进计算机网络安全领域的高科技人才显得尤为重要。另一方面是我国在计算机网络安全领域的关键技术等方面还面临很大挑战。很长一段时间以来,我国在计算机网络安全领域的关键技术方面一直是“模仿有余,但创新不足”这一点我们和欧美等发达国家之间有着至少十余年的差距。创新是一个民族进步的灵魂,只有大力加大对关键技术、关键领域的研发力度,鼓励改革创新才能在未来的计算机网络安全领域的全球合作中,拥有更多的话语权和主动权。
3计算机网络安全策略
一般来说策略是描述的一般性的规范,这种描述一般侧重于事情或事物本身的重点,它强调了问题的重点,并没有明确说明实现这些重点问题的具体路径[1]和方法,但是从宏观上进行科学的把握,可以说针对计算机网络安全制定安全策略是对其最高级别的表达。安全策略是针对有关敏感或信息的、保护和管理而制定的一系列的法律法规和实施准则。从计算机网络安全的概念可以看出,制定其安全策略应该从计算机本身的物理配置以及信息的访问权限和加密传输等方面来制定。首先,保障计算机网络安全的物理配置。具体来说一方面要避免不利的自然的环境对计算机硬件和通信数据线路的影响和破坏,也就是保障系统服务器,打印机等物理设备的正常工作,减少各种自然或人为因素对其进行的破坏和影响[2]。另一方面,要为计算机网络的正常运营提供相对安全的物理环境,这种环境可以有效降低和避免各类电磁信号对计算机系统正常运营的电磁干扰。其次,对计算机网络安全的访问权限进行控制。从目前来看,这种策略可以有效的维护计算机网络的安全,该策略主要是通过对入网访问资格的设定,入网访问内容的设定以及对入网访问进行检测等方面来实现的。具体来说,对入网访问资格进行审查和设定,可以实现对入网访问的控制,这种设定对用户的访问资格进行初步的审查,并对其访问时间和入网的工作站类型进行一定的控制,可以避免不明身份入网者的非法登录。对入网访问内容的设定主要是对访问目录进行一定的级别控制,这种权限的设定对入网者的访问数据以及其它网络资源的使用和操作进行了权限控制[3]。对入网访问的过程进行实时检测是通过对服务器的控制来避免非法访问者对各类数据的篡改和破坏,这种检测可通过报警的方式来完成,并对这一用户的访问权限进行限制和锁定从而避免其对网络安全的破坏,现在已经执行的实名制上网可以更有利于这种检测的顺利实施。需要额外补充的是在上述访问权限控制策略中,有一种防火墙技术已经被大力推广并取得了较好的效果。这种技术对计算机网络与外界之间建立了一个较为安全的网络保护屏障。具体来说,这种保护屏障是一系列计算机物理配置与各类软件的组合。它可以有效的设定外界与内部访问者及管理人员对网络的访问权限,通过设定不同的权限和分区隔离等措施来实现对网络全局安全的保障。与此同时,这种防火墙技术通过以其为中心所建立的安全保障可以有效抵挡和过滤各种计算机病毒,从而保障系统运营的安全性与稳定性。与此同时,该技术将各种安全配置进行综合集成,包括对访问人员访问权限和内容的实时检测和记录,具有较强的预警性。最后,对网络信息的加密设计。网络信息的加密设计是密码学在计算机技术领域中的应用。作为计算机技术与数学的交叉学科,密码学已经随着网络的普及应用而越来越被人所关注,在欧美某些国家,这种技术已经成为计算机安全领域中的重要研究课题。从使用方式上来说,用户可根据自己需求的不同来选择不同的加密方式,来实现对网络数据和网上传输的有效保护。针对加密的方法目前可以说五花八门,但总结来说,按照密钥的一致性与否可以分为常规密码和公钥密码。所谓常规密码是指在网络信息传递过程中,信息传递双方所使用的密钥是一致的,也就是他们加密或者解密的方法是一致的,这种加密方法保密性较强,但对密钥的安全传递具有较高的要求。相比较而言,公钥密码使用双方所使用的是不同的密钥,这种加密方法适用于开放的网络环境,具有很好的密钥管理优势,但是较常规密码加密而言其加密的速率较低,但从应用上来看,在未来,随着密码技术的不断发展也会有着更广阔的发展前景。事实上,越来越多的网络使用者,趋于两种加密方法的结合,从而更好地来实现网络信息的安全。在制定计算机网络安全策略过程中,我们一方面要重视各种先进的计算机技术的应用,还不应忽视各种相关计算机网络安全的法律、法规的制定,只有不断加强管理,按章执行,计算机网络安全的保障才能更为可靠地完善。
4结语
计算机的广泛普及可以说是科技进步的结果,而计算机网络的广泛普及为我们的生产、生活带来巨大便利的同时,也让计算机网络安全的维护成为全球研究的重点。从上文我们会看到,无论是防火墙的保护还是加密技术在网络信息传递过程中的使用,其目的都是为了维护和保障,计算机网络的安全运营,而各种计算机病毒,黑客层出不穷的出现,让我们思考影响计算机网络安全的终极敌人到底是谁。我们除了要制定一系列的网络安全的法律、法规,并积极开展国际合作完善网络安全技术的同时,开展一系列的网络安全的宣传与教育活动,提高广大网络使用者自觉维护网络安全,抵制各种不良的危害网络安全的行为,对维护计算机网络安全,净化网络安全使用环境,还是会有很大的推动作用。
作者:朱磊 单位:渤海大学
关键词:网络安全、安全隐患、安全策略设计
中图分类号:G642 文献标识码:A
1引言
继中国科技大学、清华大学、北京大学等第一批铺设数字化校园网的高校之后,全国各地的大中专院校都掀起了轰轰烈烈的数字化校园浪潮。在结合该院自身实际条件下,各大高校都以建立一个以校园网为基础的集教学管理、消费、身份认证等服务为一体的新型数字化的工作、学习、生活环境为奋斗目标。在数字化校园规划与建设过程中,有一个非常关键而棘手的问题,那就是网络安全问题。在当今网络开放式互联的环境下,各种病毒蔓延和黑客攻击令人叫苦不迭,网络安全问题已成为数字化校园建设的一个重要问题。
2数字化校园及其网络安全
数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制;把学校建设成面向校园内,也面向社会的一个超越时间、超越空间的虚拟学校。
针对数字化校园网络化和信息化的特点,其安全问题成为当今亟待解决的重要问题。网络安全包括物理安全和逻辑安全两方面:
系统的物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;系统的逻辑安全包括数字化校园的整合网络系统和承担各个业务流程的功能子系统的安全。逻辑安全包括信息的完整性、保密性和可用性三个要素。保密性是指信息不会泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
随着现代计算机系统功能的日渐复杂,网络体系日渐强大,正在对社会产生巨大而深远的影响,但同时由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。校园的网络系统是整合数字化校园的基础,它连接了各个功能子系统,各个系部,还有大量的个人电脑(如校园内学生、教师的PC等),所以它的安全是至关重要的。因此,要提高计算机网络的防御能力,加强网络的安全措施,以保证其正常运行。众所周知,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性进行预防,这样才能确保网络信息的保密性、完整性和可用性。俗话说“知己知彼,百战百胜”,要保证校园网络安全,首先必须深入了解威胁校园网络安全的“敌人”,即必须了解校园网络安全的隐患。
3数字化校园网络安全隐患
校园网络是借助主干通信网,将各地的分部门和总部联接,同时与Internet互联,这就势必会出现如下的安全隐患问题:
(1) 总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间以及广域网干线上信息传输的安全保密问题。
(2) 总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏等。
(3) 来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
现实存在的网络安全问题涉及面很广,但不安全因素主要集中在网络传播介质及网络协议的缺陷、主机操作系统的缺陷以及安全管理不善等因素上。由此可见,根据存在的安全隐患进行科学的安全策略设计,构筑必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
4校园数字化网络安全策略设计
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略设计包括了建立安全环境的三个重要组成部分,即:
先进的技术。先进和安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制然后集成先进的安全技术,这样才能保证对安全问题的彻底解决。先进的安全技术主要包括访问控制、防火墙、加密、鉴别、数字签名、审计监控、入侵防范、防病毒、网络安全检测等技术。
严格的管理。网络安全问题在很大程度上是非技术因素,安全管理漏洞和疏忽是最大的安全隐患。只有把安全管理制度与安全技术手段结合起来,这个网络的安全性才有保障。所以应严格执行相关的安全管理制度,握手操作规程、维护制度等,加强内部管理,建立审计和跟踪体系,提高整体安全意识。安全管理的原则一般有以下三个原则:(1) 多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场,例如访问控制使用证件的发放与回收;信息处理系统使用媒介的发放与回收;处理保密信息;硬件和软件的维护等等。(2)任期有限原则。一般地讲任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的,为了遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使得任期有限制度切实可行。(3)职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,如有必要了解则需经系统主管领导批准。例如在计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制等情况下应当尽量让工作人员分开。
威严的法律和规章制度。安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律的威严,不敢轻举妄动。网络系统安全方面的法律和规章制度分两部分,一是国家及主管部门在信息安全方面的法律、法规与规定;另一部分是数字化校园自身的制度和规定,它应该与系统所采取的各种安全机制相辅相成,互为补充。既然安全策略的设计涉及到了这么多网络安全的措施,那怎样对一个数字化校园网络进行安全管理呢?现拟某学院数字化网络为例,拟定一个校园网的安全策略。具体工作是:
(1) 根据工作的重要程度,确定该系统的安全等级。
(2) 根据确定的安全等级,确定安全管理范围。
(3) 制订相应的机房出入管理制度。
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与已无关的区域,出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身分卡等手段,对人员进行识别、登记管理。
(4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
(5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等,维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(6) 制订应急措施。要制订系统在特殊情况下,如何恢复的应急措施,使损失减至最小。
5数字化校园网络安全案例
以某技术职业学院校园网络安全策略为例,介绍安全策略的设计。该学院是一所面向全国招生,以培养专科层次的应用型高等职业技术人才的全日制普通高等院校。该校数字化网络一期工程为全校教育和科研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过与Internet互联,实现了与信息世界的多元化、直接流,其服务对象主要是校内的教学、学生实验机房、行政管理单位等。下图为该院校园网络拓扑结构图:
对该院校园网中的安全现状进行分析,隐患大致来自以下五个方面:
(1) 校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(2) 目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。目前校园网的网络服务器安装的操作系统是WindowsNT/Windows2000,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞(RIP路由转移等)、服务安全漏洞等等,这些都对原有网络安全构成威胁。
(3) 校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
(4) 随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
(5) 限于该院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,网络安全性完全依赖主系统的安全性,在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的和失误越来越普遍,入侵就很难避免。曾经尝试过在服务器上(机)安装防火墙软件进行安全隔离,即建立应用级防火墙。但在实际使用中,用户在受信任的网络上通过服务器访问Internet时,经常会发现存在延迟并且必须进行多次访问才能访问Internet的情况。这是因为该软件必须分析网络数据包并做出访问控制决定,从而影响了网络的性能。一般来说,如果计划选用应用级防火墙,最好选用较高性能的计算机运行服务器。但由于涉及到带宽、经费等多方面的限制,该院用作服务器的计算机性能并不是很理想,导致网络速度较慢,网络服务质量还有待提高。因此这必须在校园数字化网络中必须采用一定的安全策略,就这一问题,结合当前实际的前提下作者进行了广泛的调研和悉心比较,最后决定融合思科公司和瑞星设计的校园网络安全系统方案再整合其它相关先进的管理技术以拓展安全管理范围和增强安全管理的效果。提出了两种方案可供选择:
方案一:智能防火墙型。即用一台智能防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等对外服务器连接在防火墙的DMZ区,与内外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。现在比较流行的智能型防火墙有CISCOPIX系列防火墙、ONTECHNOLOGY软件公司生产的ONGUARD和CHECKPOINT软件公司生产的FIREWALL-1防火墙等。这一方案的优点是:在实际应用中,对用户的“透明度”较高,便于管理和控制。而缺点就是价格昂贵,不易被一般用户所接受。
方案二:网络层防火墙+服务器。即把网络层防火墙和应用层防火墙综合在一起。因为网络层防火墙具有速度快、费用低、对用户透明等优点,但是它对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力,特别是对于应用层上的黑客行为无能为力。而应用层防火墙(主要为服务器)有较好的访问控制,目前存在HTTP、TELNET、FTP、POP3和GOPHER等服务器,并且这些服务只需要一个服务器就可以实现。这一方案的优点是:费用低,性价比较高。而缺点则是“透明底”较低,需要由经验相对丰富的管理人员人进行管理,即对管理人员的要求较高。
由此看来,两种方案各有千秋,应用中可以根据自身实际进行选择,在此,从性价比和实际情况的角度考虑,选择方案二,见图2。注意,图中为了方便表示把网络层防火墙和服务器两个防火墙只用一个防火墙记号标示。
选择好了防火墙,还应对其进行正确配置才能充分发挥其安全防护的性能,在防火墙设置上按照以下配置原则来提高网络安全性:
(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
6检测系统的部署
数字化校园网中包含了几个系统的部署,其中有入侵检测系统部署、网络安全系统检测系统部署和杀毒产品部署等。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,因为防火墙的策略都是事先设置好的,无法动态设置,缺少针对攻击的必要性和灵活性,不能更好的保护网络的安全,所以部署IDS并使IDS与防火墙联动的目的就是为了更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据该院网络的特点,采取思科公司的网络IDS和主机并用的措施,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲就是将思科IDS入系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据,如果情况严重,思科IDS还会发出实时报警,使得学校管理员及时采取应对措施。
在网络安全检测系统上考虑采用网络安全检测工具如SATAN等定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性报告,为提高网络安全整体水平产生重要依据。
杀毒产品部署上采用了瑞星网络版的杀毒产品,为了达到要在整个局域网内病毒感染、传播和发作这一目的,在整个网络内可能传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能,提出以下建议:
(1) 在学校网络中心配置一台高效的WINDOWS2000服务器,负责管理多个主机网点的计算机。
(2) 在各行政、教学单位等多个分支机构分别安装杀毒软件。
(3) 管理员在安装完杀毒软件以后,要由网络中心的系统定期地、自动地到网站上获取最新的升级文件,然后自动将更新的升级文件分发到其它各个主机网点的客户端与服务器端,并且对杀毒软件进行更新。
常言说:“三分技术,七分管理”,安全的处理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建议以下一套校园网络安全管理的模式:
第一:网络规划阶段的一些安全策略。
(1) 明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体,对于校园网络来说网络管理员可以是网络安全责任人。
(2) 对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度),对校园的局域网要将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。
(3) 进行容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障,网络应允许出现一些故障,并且可以很快从灾难中恢复,网络的主备份应位于中心机房。
(4) 因为网络与Internet有固定联接(静态的IP地址),要在网络和INTERNET之间安装防火墙。
(5) 网络使用服务器访问Internet,不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
第二:对网络管理员的一些安全策略建议。
对校园网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最主要的是保证服务器的安全和分配好各类用户的权限。
(1) 网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人在使用,属于哪些人,丢失或泄密会造成怎样的损失,这些重要数据集中位于中心服务器上,置于有安全经验的专人管理之下。
(2) 定期对和各类用户进行安全培训。
(3) 一般不直接给用户赋权,而通过用户组分配用户权限。
(4) 新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成的口令不低于6个字符,杜绝安全漏洞。
(5) 至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。
(6) 文件服务器不与Internet直接连接,专用服务器,不允许客户机通过MODEM连到INTERNET,形成在防火墙内的连接。
(7) 可以利用“TCP/IP安全”对话框,关闭INTERNET上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。
(8) 可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。
(9) 对只提供内部访问的服务器和客户机可以采用非TCP/IP实现连接,这样可以隔离Internet访问。
(10) 利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
第三:对校园网络用户的一些安全策略建议。
数字化校园网络的安全不仅仅是网络管理员的事,校园网络上的每一个用户都有责任,网络用户也可以了解一下以下的网络安全知识:
(1) 用一个长且难猜的口令,不要将自己的口令告诉任何人。
(2) 清楚自己私有数据存储的位置,知道如何备份和恢复。
(3) 定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(4) 尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全,最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。
(5) 通过“系统策略编辑器/注册表编辑器”控制在Windows 9x工作站上的“不显示最后一次登录的用户名”和“禁止使用口令缓存”,防止口令从缓存中被获取和最后一次登录的用户被利用。
(6) 设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。
(7) 当你较长时间离开机器时一定要退出网络。
(8) 安装启动时病毒扫描软件。
结束语:可以预见,随着计算机技术和通信技术的发展,计算机网络不会仅局限于数字化校园,还将日益成为信息交换的重要手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在的隐患,采取强而有力的安全策略,对于保障网络的安全性将变得越来越重要。
参考文献:
[1] 王育民,刘建伟. 通信网的安全-理念与技术[M]. 西安电子科技大学出版社,1999.
[2] 张小斌,严望佳. 网络安全与黑客防范[M]. 北京;清华大学出版社,1999.
[3] 21世纪计算机网络工程丛书编委会. 网络技术基础[M]. 北京希望电子出版社,2000.
[4] 钟小平,张金石. 网络服务器的配置与应用[M].北京:人民邮电出版社,2002.
关键词 安全策略;业务流安全模型;最大隔离准则;HoneyPot
1 引言
专用网(Private Network)指某个部门为满足本单位特殊业务工作的需要而建造的网络。伴随着计算机网络与信息技术的飞速发展,社会的信息化程度越来越高,军队、银行、铁路、电力等部门均建立了本系统的专用网。近几年不断出现的安全事件表明,网络攻击行为已经由因特网蔓延到了专用网,而且专用网上的安全事件造成的危害及损失更大,特别是经由军事网络造成的失泄密后果尤其严重。本文在深入分析专用网安全现状及安全需求的基础上,提出了相应的安全策略,并引入了相应的安全技术。
2 专用网安全需求分析
专用网与因特网均采用了互联网技术,但专用网的安全需求及安全现状与因特网有很大的区别。
(1)因特网的开放性使任何人都可能成为攻击者或被攻击者,网络安全难以控制;而专用网接入人员及接入地点受限,且与公用网物理隔离,安全策略的部署与实施相对简单。
(2)因特网主要目的是实现开放性的互联及多样性的服务,为满足以上需求引入网络设备或安全设备以及相应技术;而专用网网络拓扑相对固定、业务专一,引入网络设备或安全设备以及相应技术时应该在满足业务需要的同时兼顾安全需求。
(3)因特网上最大的安全威胁来自于窃取主机控制权;而专用网上最大的安全威胁来自于越权访问及信息泄露。
除了上述区别之外,解决专用网安全问题还需要考虑专用网自身的建设与发展过程。以军用网络为例,在建设之初,由于网络安全问题并不突出,安全需求也未明确,主要是解决互联互通问题,安全设计上比较薄弱。随着近年来网络安全问题日益严峻,逐渐加大了安全上的投入,配置了如防火墙、入侵检测系统、漏洞扫描等多种安全设备,但由于缺乏顶层规划,各种网络设备及安全设备的部署还没有发挥出最佳效能。因此,从总体上考虑专用网安全问题,制定有效的专用网安全策略用于指导各种设备的部署与配置,引入先进的安全技术,增强专用网安全性能是十分必要和迫切的。
3 专用网安全策略
安全策略是一套文档化的规则,用来限制由一组或多组元素组成的一组或多组与安全相关的行为。对一个确定的信息系统而言,若能设计一种提供恰当的、符合安全需求的整体思路将会使安全问题简单化。因此在国内外很多安全组织提出的P2DR、PDRR、PASME等诸多安全模型中都将安全策略制订列为最重要的环节。通过安全需求的分析与安全策略的制定将日益复杂的信息系统与日益严峻的安全威胁集中到最高决策层来关注与实施,从而明确如何达到预期的安全效果。可以说建立安全策略是安全最重要的工作,也是实现安全管理规范化的第一步。
在制定详细、具体的专用网安全策略时,可以遵循以下三条基本安全策略:
1)建立基于业务流的安全模型
专用网的特点决定了专用网上的业务关系即为专用网上的信息流动关系。为了增强专用网安全,可将专用网上不同业务机关之间存在的横向(平级业务机关、同一个网内)的信息流及纵向(上下级业务机关、跨网络)的信息流进行细致的区分,并且根据不同业务机关不同的安全需求(高、中、低),制定各信息流的安全策略,建立基于业务流的安全模型。同时,严格控制除业务关系之外出现的信息流动。按这一基本策略来制定具体的设备部署与配置策略。
2)基于最大隔离准则的设备配置方案
在建立了基于业务流的安全模型的基础上,为了防范专用网上的越权访问、网络监听等引起的信息泄露,在部署与配置专用网网络设备及安全设备时,采用基于最大隔离准则的设备配置方案。最大隔离准则,目的是实现专用网中信息节点逻辑上尽量隔离,尽量避免不必要的网络联通。具体的技术方案有以下三点:
(1)局域网内横向划分VLAN(虚拟局域网),隔离不同业务流,防范恶意嗅探。
(2)互联时纵向组建VPN(虚拟专用网),连通必要的业务流动,保证业务流信息安全。
(3)强化防火墙安全规则,只允许VPN通道通过,拒绝其余网络连接。
3)建立应急响应体系及安全管理制度
为了快速、有效地解决专用网发生的恶意攻击、网络病毒发作、网络蠕虫传播等安全事件,在制定专用网安全策略时,还必须制定严格的安全管理制
度,建立应急响应体系。通过安全管理制度及应急响应体系,可以提高专用网内人员的安全意识,增强协同处理专用网内紧急安全事件的能力,从而快速发现、快速抑制、快速解除网络入侵,并使其造成危害降至最低。
4 专用网应引入的安全技术
在以上安全策略的指导下,为了增强专用网安全性,在实施过程中,必须引入以下安全技术。
1)VLAN技术
VLAN[1](Virtual Local Area Network),又称为虚拟局域网,1999年IEEE颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。它是一种不拘泥于站点的物理位置,根据功能、应用等因素将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现功能相对独立的虚拟工作组的技术。
划分了VLAN后,由于各个VLAN之间不能直接进行数据通信,必须通过路由器来转发VLAN之间的数据,因此,如果VLAN之间没有路由器,那么VLAN就是与外界其他设备相隔离的,相当于一个独立的局域网,安全性可以得到较大程度的提高。
VLAN技术需要网络设备的支持,配置了三层交换机的专用网可以按照基于业务流的安全模型对本级局域网进行VLAN划分,从而保证不同的业务流相互隔离,防范网络监听手段的入侵。
2)VPN技术
VPN[2](Virtual Private Network),又称为虚拟专用网,是对通过共享公用网络(如Internet)并使用封装、加密和身份认证等技术进行连接的内部网络的扩展。之所以提出该技术的是为了方便在公用网络基础设施之上建立专用网络。
在专用网中对路由器、防火墙等设备进行配置,采用VPN技术将不同节点间有业务关系的计算机连通,可以实现专用网中的虚拟网。由于VPN提供了对VPN两端的身份认证和访问控制及对传输数据的信息加密和信息认证,因此能够有效防范截断攻击和窃听攻击。而且良好的VPN应用可在不同层次实现不同的VPN隧道协议对数据进行保护。
3)HoneyPot和HoneyNet
近年来,一种新的主动防御型安全技术——蜜罐技术成为研究的热点方向,它可以有效地欺骗网络攻击者从而达到保护网络的目的。蜜罐技术最初提出时,国外计算机专家将其命名为Honeypot[3]。其准确的定义是:“蜜罐是一种安全资源,它的价值就是被探测,被攻击或攻陷”。后来又出现了Honeynet(蜜网),它将单个的蜜罐连成网络,是具有高交互性能的蜜罐。
采用应用型蜜罐并将其放置在在专用网中,与其它安全设备及安全技术共同保护专用网,可以有效增强专用网的安全性,蜜罐所起的作用是其它安全设备或安全技术所无法替代的,其它安全设备或安全技术用来被动防御攻击者的入侵,而蜜罐是欺骗攻击者将攻击方向转向自己,从而拖延或使攻击者放弃对真实网络环境的攻击。
5 结束语
面向业务处理的专用网与公用网络相比,网络的安全性更为关键。积极有效制定安全策略可以指导专用网的建设及安全规划以达到预期的安全效果。本文提出的基于业务流的安全模型、基于最大隔离准则的设备配置、应急响应体系及安全管理制度可以对专用网详细安全策略的制定起到积极的作用。应用本文提出的专用网安全策略,并引入新型的安全技术,可以提高专用网的安全性。
参考文献
[1] 李频,唐家益,陈丹伟等. 虚拟专用网分类和比较研究[J]. 计算机工程,2006(11),32(22):133-135
关键词:计算机;网络安全;现状;分析;策略;趋势
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 15-0000-01
The Status and Trends of Computer Network Security Policy
Sun Liying
(Jixi Property Department of Real Estate Board,Jixi158100,China)
Abstract:With the development of computer and communication technology,computer has become a global information infrastructure a major component.It is for people to exchange information and promote science,technology,culture,education,development of production brought a profound impact.Meanwhile,the network information security and confidentiality has become a critical and urgent problem.People for the security of transmission,safe storage,safe handling increasingly demanding,it is extremely urgent and important.
Keywords:Computer;Network security;The status;Analysis;Strategy;Trend
一、计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同,例如从普通使用者的角度来说,可能仅仅希望个人稳私或信息在网络上传输时,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及出现异常时如何恢复通信,保持网络通信的连续性。
二、计算机网络中的安全缺陷及产生的原因
(一)TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
(二)网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人人产用一台主机和另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
三、计算机网络安全的现状分析
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可归纳为以下几点:
(一)网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(二)网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
四、物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
(一)入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户不便进入该网络。
(二)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。
(三)目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
(四)属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的金属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步安全性。
(五)网络服务器安全控制。网络允许在服务器控制台上执行一系统操作。用户使用控制台可以装载和卸载模块可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(六)信息加密策略。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网中密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目是对源节点到目的的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
(七)网络安全管理策略。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
五、网络安全技术的发展趋势
防火墙技术将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。过滤深度不断加强,从目前的地址及服务过滤发展到URL,过滤、内容过滤,并具备病毒清除功能。利用防火墙能建立虚拟专用网。防火墙将从目前被动防护状态变为智能地、动态地保护的能力。防火墙将和安全操作系统结合起来。防火墙还应具有防止拒绝服务攻击的能力。防火墙将和安全操作系统结合起来,从根本上堵住系统级的漏洞。
对网络攻击的监测和告警及黑客跟踪技术将成为新的热点。黑客的攻击的花样越来越多,而现在还缺乏有效的手段跟踪黑客行为。目前还只能根据已知的一些异常来判断是否是黑客入侵,对黑客的跳跃往往采用设置陷阱来记录黑客的地址和身份。
六、结束语
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各信领域。因此,认清网络脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。
参考文献:
[1]王培雷,张宇.浅谈计算机网络安全及防护手段
关键词:计算机;网络安全;防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 12-0000-01
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。其涉及到国家的政府、军事、文教等诸多领域。网络受到的攻击主要有以下几个方面:窃取、篡改、信息删除等,计算机用户在享受网络带来种种便捷的同时,也正受到日益严重的来自网络的安全威胁,计算机网络安全问题已成为信息时代人类共同面临的挑战。如何更有效地保护计算机网络安全已经成为所有计算机用户必须面对和亟待解决的一个重要问题。
一、计算机网络安全的定义
通过相应的安全技术和保护措施,对计算机网络的硬件、操作系统、应用软件和数据信息等加以保护,防止因人为因素或非人为因素遭到破坏或窃取,确保计算机网络信息保密、完整和可用。
二、计算机网络不安全的因素
造成计算机网络不安全因素很多,主要有自然因素和人为因素,现就集中常见的威胁网络安全因素简介如下:
(一)计算机病毒。计算机病毒实际上是一种特殊的程序或普通程序中的一段特殊代码,它的功能是破坏计算机的正常运行或窃取用户计算机上的隐私。计算机感染上病毒后,轻则使系统效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。有了互联网后,病毒的传播速度更快,涉及范围更广,危害性更大。
(二)操作系统和应用软件自身的设计缺陷给网络带来不安全的因素。操作系统作为许多计算机运行的支撑平台,其管理着系统中的软件资源和硬件资源。操作系统和应用软件的安全与否直接关系到网络的安全,由于目前操作系统及应用软件在设计时不可避免地存在许多不完善或未发现的漏洞,或是出于某种目的而有意留下的“后门”,这恰恰给非法用户窃取、破坏信息提供了可乘之机。
(三)黑客入侵。黑客攻击计算机网络的主要方法有:病毒、木马、发送邮件攻击、IP地址欺骗、口令攻击等。黑客通过寻找并利用网络系统的薄弱环节和软件系统的漏洞,采用窃取计算机口令、身份标识码等方式非法进入计算机网络或数据库系统。
(四)管理隐患。网络管理制度不健全,网络管理人员或计算机用户缺乏足够的安全意识,日常操作存在操作口令泄漏、或者是硬件或软件故障,人为破坏、临时文件未及时删除等不规范行为,使网络安全机制形同虚设。
三、计算机网络安全的防范措施
(一)安装最新版的杀毒软件。防病毒软件是一种计算机程序,可进行检测、防护,并采取行动来解除或删除恶意软件程序就会立刻检测到并加以删除,用户除要安装正版杀毒软件和防火墙外,还要随时升级为最新版本,并养成每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。
(二)加快国产操作系统完善,提高对网络入侵检测能。目前,国产化计算机操作系统还未真正普及,加快研发具有自主知识产权的操作系统,掌握核心技术,这需要从政府支持、标准制定、市场推广方面加快进度,确保关键信息掌握在自己手中;同时,积极升级操作系统补丁,提高操作系统的安全性,此外,防火墙作为网络的第一道闸门,并非是完全可靠的,其不能提供实时的入侵检测能力,所以,通过引入网络的入侵系统检测分析网络行为、安全日志、审计数据、来分析网络或系统中是否存在违反安全策略的行为和被攻击的迹象。一旦发现,及时拦击和阻止,以加强对网络的安全侦测能力。
(三)适当利用加密技术,设置网络访问控制。网路安全威胁并非全部来自外部,也有一些来自网络内部,根据服务器的用途和相关人员的职责权限制定相应的安全策略,严格控制无关人员对关键服务器的透明操作,同时对关键信息实行密码、签名认证和密钥管理三大技术。访问控制是网络安全防范和保护的主要策略。实行入网访问控制、权限控制、目录级安全控制、属性安全控制等安全策略控制能阻止未经授权的用户获取资源。
(四)加强网络用户及有关人员安全意识、职业道德和事业责任心的培养教育及相关培训,通过完善计算机网络安全的法律条文、来约束人的行为,将两者结合起来,计算机网络安全才能更加安全有效。
(五)加强管理存储介质的管控。管理存储介质就是对硬盘加密。建议移动存储介质安全管理平台实现信息的保密和访问控制,它遵循进不去、拿不走、读不出、改不了、和走不脱的原则。进不去指的是外部移动存储介质在内部的计算机设备中无法使用;拿不走是指内部的存储介质在外部无法读取;读不出是指只有授权的人才能打开移动存储设备中文件,即使介质丢掉也不会出现泄密的危险;改不了是指存储介质中的信息文件只有授权的人才可以进行相应的修改,并保留修改记录;而走不脱是指系统具备事后的审计功能,可以跟踪审计违反了相关的策略行为或者事件。
目前,互联网已经深入到千家万户,它在给我们带来诸多便利的同时,也给我们带来诸如泄密、数据丢失等诸多麻烦,如何能将计算机网络安全做的铜墙铁壁,是今后在网络安全领域实现的首要目标,为此,需要统筹各方面,从指定合理目标,技术方案,有关配套法规等各个方面去不断完善,确保计算机网络安全不断提高。
参考文献:
[1]白斌.防火墙在网络安全中的应用[J].科技创新导报,2007(35).
[2]彭,高.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(01).
关键词:网络管理;网络安全;网络安全规划;网络病毒;防治技术
中图分类号:TP393.07 文献标识码:A 文章编号:1673-8500(2013)02-0090-01
一、网络管理的概念
网络管理:简单的说就是为了保证网络系统能够持续、稳定、安全、可靠和高效地运行、不受外界干扰,对网络系统设施的一系列方法和措施。为此,网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,显示给管理员并接受处理,从而控制网络中的设备、设施,工作参数和工作状态,以实现对网络的管理。
二、网络安全的定义
1.从本质上来讲,网络安全就是网络上的信息安全。网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。
2.从广义上说,网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速、安全地交换,一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。
三、网络安全规划与设计基本原则
1.网络系统安全规划设计的基本原则
网络安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,在网络安全方案整体规划、设计过程中应遵循下列十大原则。
(1)整体性原则;(2)均衡性原则;(3)有效性与实用性原则;(4)等级性原则;(5)易操作性原则;(6)技术与管理相结合原则;(7)统筹规划,分步实施原则;(8)动态化原则;(9)可评价性原则;(10)多重保护原则。
总之,在进行计算机网络工程系统安全规划与设计时,重点是网络安全策略的制定,保证系统的安全性和可用性,同时要考虑系统的扩展和升级能力,并兼顾系统的可管理性等。
2.如何进行网络工程安全规划
网络安全规划与设计是一项非常复杂的系统工程,不单纯是技术性工作,必须统一步骤,精心规划和设计。安全和反安全就像矛盾的两个方面,总是不断攀升,所以网络安全也会随着新技术的产生而不断发展,是未来全世界电子化、信息化所共同面临的问题。一般来说,网络的安全规划设计与实施应考虑下面4个方面的问题。一是确定面临的各种攻击和风险并分析安全需求。二是明确网络系统安全策略。三是建立网络安全模型。四选择并实施安全策略。
四、网络病毒的防治技术
1.网络计算机病毒的特点
网络病毒是利用网络平台作为传播方式的,由此可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外,还具有一些新的特点。主要表现如下:
第一,主动通过网络和邮件系统传播。第二,传播速度极快。第三,危害性极大。第四,变种多。第五,难于控制。第六,清除难度大。第七,具有病毒、蠕虫和后门(黑客)程序的功能。
2.网络计算机病毒的破坏行为
网络计算机病毒破坏性极强,常见的破坏性表现如下:
(1)劫持IE浏览器,首页被更改,一些默认项目被修改(例如默认搜索)。
(2)修改Host文件,导致用户不能访问某些网站,或者被引导到“钓鱼网站”上。
(3)添加驱动保护,使用户无法删除某些软件。
(4)修改系统启动项目,使某些恶意软件可以随着系统启动,常被流氓软件和病毒采用。
(5)在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,组成僵尸网络,通过对外发动攻击、发送垃圾邮件、点击网络广告等牟利。
(6)采用映像劫持技术,使多种杀毒软件和安全工具无法使用。
(7)记录用户的键盘、鼠标操作,从而可以窃取银行卡、网游密码等各种信息。
(8)记录用户的摄像头操作,可以从远程窥探隐私。
(9)使用户的机器运行变慢,大量消耗系统资源。
3.基于工作站的防治策略
工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的入侵。基于工作站防治病毒的方法有三种:
(1)软件防治。即定期或不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需要人为地经常去启动防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。
(2)在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。
(3)在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。
参考文献:
[1]董伟.计算机病毒分析及防治策略[J].信息与电脑: 理论版.2009,(07):14-15.
[2]商娟叶.浅谈计算机网络病毒的防治措施[J].新西部: 下半月.2008,(10):225.
关键词:计算机网络;信息安全;网络入侵
近年来,互联网技术在全球迅猛发展,信息化技术在给人们带来种种物质和文化生活享受的同时,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒者,甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、服务器、侵袭探测器、通道控制机制等,但是无论在发达国家还是在发展中国家,网络安全都对社会造成了严重的危害。如何消除安全隐患,确保网络信息的安全,已成为一个重要问题。
一、网络存在的安全威胁分析
1、计算机病毒。有些计算机网络病毒破坏性很大,如“CIHH病毒”、“熊猫烧香病毒”,可谓是人人谈之而色变,它给网络带来了很严重的损失。
2、内部、外部泄密。内网中根据IP地址很容易找到服务器网段,这样就很容易运用ARP欺骗等手段攻击。
3、逻辑炸弹。逻辑炸弹是在满足特定的逻辑条件时按某种不同的方式运行,对目标系统实施破坏的计算机程序。
4、黑客攻击。这类攻击又分为两种:一种是网络攻击。即以各种方式有选择地破坏对方信息的有效性和完整性;另一种是网络侦察,它是在不影响网络正常工作的情况下,进行截取、窃取、破译以获得对方重要的机密信息。
5、系统漏洞的威胁。网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
二、计算机网络系统安全策略
1、网络物理安全策略。计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机网络系统有一个良好的工作环境;建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。
2、网络访问控制策略。访问控制策略的主要任务是保证网络资源不被非法使用和非常规访问,主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制、网络防火墙控制等方式。
3、网络信息加密策略。信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密策略通常包括网络链路加密方法、网络端点加密方法和网络节点加密方法。
4、网络安全管理策略。在计算机网络系统安全策略中,不仅需要采取网络技术措施保护网络安全,还必须加强网络的行政安全管理,制定有关网络使用的规章制度,对于确保计算机网络系统的安全、可靠运行,将会起到十分有效的作用。
三、计算机网络系统安全发展方向
1、网络规范化方面。由于互联网没有国家界限,这使得各国政府如果不在网络上截断Internet与本国的联系就不可能控制人们的所见所闻。这将使针对网络通讯量或交易量收税的工作产生不可预期的效应。国家数据政策的不确定性将反映在不断改变、混乱且无意义的条例中,就像近期未付诸实施的通信传播合法化运动一样。
2、网络系统管理和安全管理方面。随着计算机网络系统在规模和重要性方面的不断增长,系统和网络管理技术的发展将继续深入。由于现行的很多网络管理工具缺乏最基本的安全性,使整个网络系统将可能被网络黑客攻击和完全破坏,达到其法定所有者甚至无法再重新控制它们的程度。
3、计算机网络系统法律、法规方面。在目前社会中,利用计算机网络信息系统的犯罪活动相当猖獗,其主要原因之一就是各国的计算机网络信息系统安全立法尚不健全。计算机网络系统的法律、法规是规范人们一般社会行为的准则,它阻止任何违反规定要求的法令或禁令,明确计算机网络系统工作人员和最终用户的权利和义务。
4、计算机网络软件系统方面。随着计算机网络信息系统法律法规越来越健全,计算机软件和网络安全现权法的时代也将到来。计算机软件生产厂商也应对生产出由于安全方面存在漏洞而使其使用者蒙受财产损失的软件产品负责。
关键词:防火墙;堡垒主机;包过滤;应用网关;防火墙的应用
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-02
Firewall Technology Research and Application
Li Bing
(Changsha Nanfang Professional College,Changsha 410208,China)
Abstract:The rapid development of the Internet,how to synchronize to ensure network security,is a very important issue,and firewall technology is based on this research problem,firewall technology,the core idea is in an insecure environment of the Internet to construct a relatively secure subnet environment.In this paper,the basic firewall features to start,the main analysis of the firewall architecture and its implementation techniques,the final choice of a firewall,configuration,application principles.
Keywords:Firewall;Bastion host;Packet filtering;Application gateway;Firewall applications
随着Internet的广泛应用,网络安全成为人们热衷的话题之一。而网络安全问题主要是由于网络的开放性、无边界性、自由性等其他因素造成的。出于对上述问题的考虑,我们应该把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、控制、安全的内部网络。而实现它的最基本的分隔手段就是防火墙。为了确保信息的安全及网络系统的可用性,防火墙技术及其应用是网络安全系统中的一项重要举措。本文结合实际的工作经验,探讨防火墙的体系结构及防火墙的技术实现,最后给出防火墙的选择依据和使用建议。
一、防火墙
从狭义上说防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说防火墙还包括整个网络的安全策略和安全行为。AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:所有的从外部到内部或从内部到外部的通信都必须经过它;只有内部访问策略授权的通信才能被允许通过;系统本身有很强的高可靠性。所以防火墙在网络之间执行访问控制策略,是内部网络和外部网络之间的安全防范系统。从逻辑上讲,防火墙是分离器、限制器和分析器,有效地监视了内部网络和外部网络之间的任何活动,保证了内部网络的安全;在物理实现上,防火墙是位于网络特殊位置的一组硬件设备――路由器、计算机或者其他特制的硬件设备。
(一)防火墙的功能
防火墙作为网络安全的重要屏障,它主要有以下功能:(1)是一个安全策略的检查站,对网络攻击进行检查和报警;(2)强化安全策略,过滤不安全的服务和非法用户;(3)有效记录网络活动,管理进出网络的访问行为;(4)屏蔽内部网络的拓扑结构,使内部网络结构对外不可知。
虽然防火墙能对网络威胁起到很好的防范作用,但它不是安全解决方案的全部,防火墙也有局限性,主要体现在以下几点:(1)不能防御已经授权的访问,以及存在于网络内部之间的系统攻击;(2)不能防御合法用户恶意的攻击,以及各种非预期的威胁;(3)不能修复脆弱的管理措施和存在问题的安全策略;(4)不能防御一些不经过防火墙的攻击和威胁。
总之,只有清楚防火墙的优势和缺陷,才有利于我们更好地应用防火墙;下面,我们从防火墙的体系结构入手来探讨防火墙防范理论,从中明确各类防火墙的优势和缺陷。
(二)防火墙的体系结构
1.屏蔽路由器。这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现,也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道,对所接受的每个数据包作允许或拒绝的决定。采用这种结构的防火墙优点在于速度快、费用低、实现方便但安全性差,而且它还有路由功能,内部网络的结构并没有被隐藏,一旦被攻陷后很难发现,不能识别不同的用户。
2.双穴主机。这种配置是用一台装有两块网卡的堡垒主机做防火墙,位于内外网络之间,并分别与内外网络相连,通过禁止堡垒主机的IP转发功能来实现在物理上将内外网络隔开。外部网络(通常是Internet)能够与堡垒主机通信,内部网络也能够与堡垒主机通信,但外部网络与内部网络不能直接通信,它们之间的通信必须通过堡垒主机的过滤和控制。内外网络之间进出的信息都需要堡垒主机来实现,所以它负载较大,容易成为系统瓶颈。双穴主机优于屏蔽路由器的是:堡垒主机的系统软件可用于维护系统日志。这对于日后的检查很有用。双穴主机的一个致命弱点是:一旦入侵者侵入堡垒主机并使其具有路由功能,则外部网上用户就可以随便访问内部网。
3.被屏蔽主机。被屏蔽主机体系结构防火墙使用一个路由器把内部网络与外部网络隔开,在这种体系结构中,主要的安全由数据包过滤提供,数据包过滤用于防止人们绕过服务器直接相连。这种体系结构涉及到堡垒主机,堡垒主机是因特网上能够唯一连接到内部网络上的主机。任何外部网络要访问内部网络的服务都必须连接到堡垒主机,因此堡垒主机要保持更高等级的安全。如果攻击者设法登录到堡垒主机上,内网中的其余主机就会受到很大威胁。这与双穴主机结构受攻击时的情形差不多。
4.被屏蔽子网。被屏蔽子网体系结构通过添加周边网络更进一步的把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为两个屏蔽路由器,每一个都连接到周边网,一个位于周边网与内部网络之间,另一个位于周边网与外部网络之间,这样就在内部与外部网络之间形成一个隔离带,通常我们称它为“DMZ”非军事区。要侵入用这种体系结构构筑的内部网络,侵袭者必须通过两个路由器,即使侵袭者侵入堡垒主机,仍然必须通过内部路由器。总之,被屏蔽子网结构是一种比较完整的防火墙体系结构。
综上所述,我们在布置防火墙时,一般很少采用单一的结构,通常是多种解决不同问题的结构组合。这种组合主要取决于网管中心向用户提供什么样的服务,以及网管中心能接受什么样的等级风险。
二、防火墙的技术实现
(一)包过滤技术。包过滤技术是最早使用的一种防火墙技术,包过滤技术实现的包过滤防火墙,它根据定义好的规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包是否能够通过,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。因此系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。
(二)应用网关技术。应用网关技术是建立在应用层上的协议过滤,它能针对特别的网络应用服务协议制定数据过滤逻辑,是基于软件的,并且能够对数据包分析并形成相关的报告,提供比较成熟的日志功能,但是速度比较慢。
(三)服务。服务来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的,不允许内部网络和外部网络之间直接通信,具有很高的安全性。但这是以牺牲速度为代价的,并且对用户不透明,要求用户了解通信细节。
(四)状态检测技术。动态包过滤防火墙,具有很高的效率,通过状态检测技术动态记录、维护各个连接的协议状态,根据过去通信信息和其他应用程序获得的状态信息来动态生成过滤规则。根据新生成的规则过滤新的通信。当新的通信结束后,生成的新规则自动被删除。它引入了动态规则的概念,对网络端口可以动态地打开和关闭,减少网络攻击的可能性,使网络安全得到提高。
(五)自适应技术。自适应技术根据用户的安全策略,动态适应传输中的分组流量。它整合了动态包过滤技术和应用技术。通过应用层验证新的连接,如果新的连接是合法的,它可以被重新定向到网络层,它同时具有技术的安全性和状态检测技术的高效率。
从上述分析可获得:
1.工作层次是决定防火墙效率及安全的主要因素;一般来说,工作层次越低,则工作效率越高,安全性越低;反之,工作层次越高,工作效率越低,安全性越高。
2.防火墙采用的机制,若采用过滤机制,效率高但安全性低;采用机制,安全性高,效率低。
3.不同技术实现的防火墙,有不同的功能,不同的工作方式和原理,也有不同的优势和缺陷,但只有对不同防火墙技术进行研究与分析比较,才会有更好的防火墙产品,对防火墙技术的发展会起到促进作用。为此,建议防火墙采用以下技术实现:(1)综合技术和包过滤技术;(2)从数据链链路层一直到应用层施加全方位的控制;(3)提供透明模式,减轻客户端的配置工作;(4)提供身份验证功能,并在各种验证机制中选择使用;(5)网络地址翻译,一方面缓解IP地址不足,同时对外隐藏内部信息,实现内容安全,可自动进行病毒扫描;(6)流量分析,了解各种服务所占通信流量,或某一服务具体使用情况;(7)提供加密通信隧道来防止黑客截取信息,实现VPN;(8)攻击检测以便实时检查各种网络攻击痕迹,并采取相应的对策;(9)增加防止基于协议攻击的手段,例如:防止IP欺骗,TCPSYN攻击等;(10)服务器负载均衡。
三、防火墙的应用
(一)防火墙的选择原则。防火墙是一类防范措施的总称,简单的防火墙只用路由器实现,复杂的要用一台主机甚至一个子网来实现,它可以在IP层设置规则,也可以用应用层软件来阻止外来攻击,所以我们要根据实际需要,对防火墙进行选择应用,我们通过对防火墙的评价和分析来决定采用什么样的防火墙。如何评估防火墙是个很复杂的问题,因为用户在这方面有不同的需求,很难给出统一的标准,一般说来,选择防火墙应把握以下原则:1.防火墙自身的安全性。大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙提供多少网络服务,往往忽略一点,防火墙也是网络上的主机,自身也存在安全问题,如若不能确保自身安全,则防火墙的控制功能再强,也终究不能保护内部网络。2.防火墙的管理难易度。防火墙的管理难易度是选择防火墙时考虑的因素之一。若防火墙的管理过于繁琐,则可能会造成配置上的错误,影响其功能。一般企业之所以很少以已有的网络设备直接当作防火墙,是因为除了先前提到的包过滤并不能达到完全的控制之外,配置工作困难、必须具备完整的知识以及不易排错等管理问题更是一般企业不愿意使用的主要原因。正因如此,当前很多防火墙都支持图形化界面配置,配置简单高效。3.能否向使用者提供完善的售后服务。由于有新的产品出现,就有人会研究新的破解方法,所以一个好的防火墙供应商必须有一个庞大的组织作为使用者的安全后盾,为其提供升级与维修服务。4.应该考虑企业的特殊需求。企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的,这方面常常成为选择防火墙的考虑因素之一,常见的需求如下:IP地址转换;双重DNS;流量分析;扫毒功能;负载均衡、特殊控制需求等。
最后,费用问题是我们用户一直关心的问题。在市场上,防火墙的售价极为悬殊,从几万元到数十万元,甚至到百万元。因为各企业用户使用的安全程度不尽相同,因此厂商所推出的产品也有所区分,甚至有些公司还推出类似模块化的功能产品,以符合各种不同企业的安全要求。安全性越高,实现越复杂,费用也相应的越高,反之费用较低。这就需要对网络中要保护的信息和数据进行详细的经济性评估。所以在选择防火墙时,费用与安全性的折衷是不可避免的,这也就决定了“绝对安全”的防火墙是不存在的。但是可以在现有经济条件下尽可能选择满足企业组织需求,并有一定扩展能力的防火墙。
(二)防火墙的管理与配置。当用户选择、安装合适的防火墙后,需要对防火墙进行配置和管理,需要制定安全策略来进行合理有效的配置,必须经过复核已配置的防火墙,看是否满足了最初的安全需求。
首先必须把握如下配置原则:(1)应该明确单位的需求,想要如何操作这个系统,允许或拒绝哪些业务流量;(2)想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单。再根据清单的要求来设置防火墙的各项功能。
其次,管理和维护防火墙有以下几个要求:(1)必须经过一定的专业培训,对所处的网络有一个清楚的了解和认识;(2)定期进行扫描和检测,以便及时发现问题,及时堵上漏洞;(3)保证系统监控及防火墙通信线路通畅,根据不同时期和不同时间进行网络安全监控;(4)与厂家保持联系,以便及时获得有关升级、维护信息。
最后,在实际使用中要把握以下原则:(1)由内到外,由外到内的业务流量都要经过防火墙;(2)只允许本地安全策略认可的业务流通过防火墙,实行默认拒绝原则;(3)严格限制外部网络的用户进入内部网络;(4)具有透明性,方便内部网络用户,保证正常的信息通过。
四、结束语
本文着重探讨了防火墙的体系结构、技术实现及防火墙的应用。防火墙作为一种网络安全机制,不可否认具有很多优点,但目前防火墙在安全性、效率和功能上的矛盾还是比较突出,未来的防火墙目标就是要求高安全性和高性能并存。从当前防火墙的产品和功能上,我们可以看到一些动向和趋势:过滤深度在不断加强,逐渐有病毒扫描功能;算法不断优化,降低对网络流量的影响、对网络攻击检测的能力不断提高、与硬件进一步结合,安全协议的开发使用等。
参考文献:
[1]刘建伟,王育民.网络安全――技术与实践[M].清华大学出版社,2005
