序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁�,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全論文樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�,請(qǐng)盡情閱讀。
第1篇
作為應(yīng)用于網(wǎng)絡(luò)安全中的配置技術(shù)�,VLAN技術(shù)自身的系統(tǒng)具有很大程度上的先進(jìn)性和前衛(wèi)性��。此外針對(duì)網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性特點(diǎn)的原因����,這種系統(tǒng)還具備著可靠性的優(yōu)勢(shì)�����,使之在針對(duì)網(wǎng)絡(luò)安全的維系過程中起到堅(jiān)實(shí)的保障作用�。一經(jīng)移植進(jìn)了網(wǎng)絡(luò)技術(shù)中���,就會(huì)自主地����、邏輯化地將網(wǎng)絡(luò)分成多個(gè)規(guī)模更小的子網(wǎng)�����,而虛擬局域網(wǎng)的系統(tǒng)由此便可直接轉(zhuǎn)化為邏輯廣播域的另類功效�,較之傳統(tǒng)的局域網(wǎng)具有著縮小廣播范圍、降低寬帶損耗的新增功能,并且可以有效控制廣播風(fēng)暴的隨時(shí)產(chǎn)生�,既提供了必要的網(wǎng)絡(luò)安全�����,又提高了網(wǎng)絡(luò)速度���。此外采用VLAN技術(shù)可以對(duì)整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)集中管理�����,即便網(wǎng)絡(luò)的物理結(jié)構(gòu)沒有任何改變����,依然可以進(jìn)行用戶主機(jī)與子網(wǎng)之間的物理移動(dòng)�,也起到了減輕網(wǎng)絡(luò)系統(tǒng)保護(hù)工作的負(fù)擔(dān)。因此��,VLAN系統(tǒng)設(shè)計(jì)在安全性的基礎(chǔ)上,兼具高效性和減負(fù)性的優(yōu)點(diǎn)�。面臨著當(dāng)今網(wǎng)絡(luò)安全技術(shù)的相對(duì)滯后與體系上的不完善,能起到很好的彌補(bǔ)作用���。
2VLAN技術(shù)在網(wǎng)絡(luò)安全中的廣泛應(yīng)用
2.1校園網(wǎng)絡(luò)安全
因特網(wǎng)技術(shù)的飛度發(fā)展和在市場(chǎng)上的廣泛普及����,使得當(dāng)今社會(huì)中的用戶數(shù)量驟然狂增����,也使得各種信息資源急劇膨脹與無限制增長���。學(xué)校較之其他企事業(yè)單位無疑需要更安全的網(wǎng)絡(luò)設(shè)施�,然而伴隨著這股網(wǎng)絡(luò)熱的興起����,傳統(tǒng)的客戶與服務(wù)器之間的網(wǎng)絡(luò)服務(wù)器由于自身的性能瓶頸或單點(diǎn)失效等問題的陸續(xù)出現(xiàn),已經(jīng)無法滿足客戶在安全方面所需的追求�,在校園中的網(wǎng)絡(luò)安全尤為如此。所以校園網(wǎng)絡(luò)中已經(jīng)廣泛推廣進(jìn)了VLAN技術(shù)�����,并在高等院校中����,校方已經(jīng)將其視為院校正規(guī)化建設(shè)的重要任務(wù)之一[2]���。如今很多的高端院校在VLAN技術(shù)的推廣方面業(yè)已初具規(guī)模并在網(wǎng)絡(luò)安全體系中得到進(jìn)一步的拓展和探究��,更有一些重點(diǎn)大學(xué)和高中和中職將這種技術(shù)的普及列入了現(xiàn)代化教學(xué)工程的重要環(huán)節(jié)���。在現(xiàn)今主要的院校和高等學(xué)府中�,資源�、管理以及服務(wù)等要素的布局��,數(shù)字化���、科研管理環(huán)境的構(gòu)建乃至于加強(qiáng)學(xué)校內(nèi)部管理與提供學(xué)生各種基礎(chǔ)平臺(tái)等各種任務(wù)��,大多需要網(wǎng)絡(luò)設(shè)施的功能齊全完善來進(jìn)行現(xiàn)實(shí)中的運(yùn)作[3]�����。
2.2企業(yè)網(wǎng)絡(luò)安全
企業(yè)以盈利為主要目的,而既然是盈利�����,就意味著一些商業(yè)機(jī)密和企業(yè)規(guī)則務(wù)必需要保守秘密或以內(nèi)部宣傳的形式傳達(dá)給各個(gè)員工����。而這依然離不開網(wǎng)絡(luò)安全系統(tǒng)的全面構(gòu)建��,引進(jìn)VLAN技術(shù)在企業(yè)網(wǎng)絡(luò)格局中仍然具有龐大的市場(chǎng)���。企業(yè)網(wǎng)絡(luò)中的VLAN技術(shù)按照所基于的基礎(chǔ)對(duì)象的不同,大致可分為兩大類:即按端口劃分的網(wǎng)絡(luò)安全體系以及基于業(yè)務(wù)需要而劃分的網(wǎng)絡(luò)安全體系[4]�����。但是相同的一點(diǎn)是����,兩類網(wǎng)絡(luò)安全體系都介入了VLAN技術(shù)安全配置���,均依據(jù)VLAN子網(wǎng)系統(tǒng)的各異�,來區(qū)分領(lǐng)導(dǎo)、員工��、客戶以及非法接入等不同身份。
3VLAN技術(shù)在未來網(wǎng)絡(luò)應(yīng)用中的發(fā)展趨勢(shì)
目前實(shí)現(xiàn)于寬帶網(wǎng)絡(luò)中的VLAN技術(shù)�,雖然在基本上已經(jīng)能夠滿足廣大網(wǎng)絡(luò)用戶的起碼需求�����,但是究其網(wǎng)絡(luò)性能����、網(wǎng)絡(luò)通信優(yōu)先級(jí)控制以及網(wǎng)絡(luò)流量控制等環(huán)節(jié)還有待于進(jìn)一步的強(qiáng)化�����。技術(shù)系統(tǒng)中含有的一些如VTP技術(shù)、STP技術(shù)以及基于三層交換的VLAN技術(shù)等在VLAN使用中存在著的關(guān)于網(wǎng)絡(luò)效率的一些瓶頸問題�����,究其原因主要是IEEE802.1Q����、IEEE802.1D協(xié)議的不完善所致[5]��。但這不必過于悲觀�,IEEE正在制定和完善IEEE802.1S和IEEE802.1W來改善VLAN的性能����。采用IEEE802.3z和IEEE802.3ab協(xié)議��,并結(jié)合使用RISC處理器或者網(wǎng)絡(luò)處理器而研制的吉位VLAN交換機(jī)在網(wǎng)絡(luò)流量等方面采取了相應(yīng)的措施����,能夠使得VLAN網(wǎng)絡(luò)的性能大大提高。IEEE802.1P協(xié)議提出了COS標(biāo)準(zhǔn)����,也足以有利于優(yōu)化和完善網(wǎng)絡(luò)通信優(yōu)先級(jí)控制機(jī)制���。
4結(jié)論
第2篇
1.1需精確地評(píng)估防火墻的失效狀況
任何軟件都有一定的生命周期���,防火墻也有一定的生命周期����,我們要正確的評(píng)估防火墻的使用效能,一旦防火墻失效�,對(duì)網(wǎng)絡(luò)安全造成的后果無法想象����。防火墻使用具有一定的級(jí)別,在被外界病毒等侵入時(shí)候具有一定的防御�,我們?cè)谠O(shè)置防火墻的功能時(shí)候要具有一定的科學(xué)性�����,當(dāng)防火墻受到攻擊時(shí)候,能自動(dòng)啟動(dòng)防御功能,因此����,我們?cè)谠O(shè)置防火墻功能時(shí)候,要正確檢測(cè)防火墻是否失效功能要開啟�,達(dá)到防火墻失效狀態(tài)正常評(píng)估����。
1.2正確選擇���、科學(xué)配置防火墻
防火墻功能的科學(xué)配置����,是對(duì)網(wǎng)絡(luò)安全防御的重要保障��,防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)基于防火墻網(wǎng)絡(luò)安全技術(shù)的探究文/羅鵬 周哲韞進(jìn)入新世紀(jì)以后,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展迅速,尤其Internet的發(fā)展應(yīng)用�����,計(jì)算機(jī)網(wǎng)絡(luò)安全越來越重要,尤其一些政府部門網(wǎng)絡(luò)���,科研等機(jī)構(gòu)網(wǎng)絡(luò)如被黑客或病毒侵入,后果是非常嚴(yán)重的�����,在許多網(wǎng)絡(luò)安全技術(shù)應(yīng)用中�,防火墻技術(shù)室比較成熟的�,本論文是從不同層面闡述防火墻網(wǎng)絡(luò)安全技術(shù)的應(yīng)用�����。摘要中關(guān)鍵技術(shù)之一�����,在配置防火墻時(shí)候,要正確選擇�,科學(xué)配置���。防火墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)人才需要專門的培訓(xùn)與學(xué)習(xí)�����,才能進(jìn)行科學(xué)的配置���,在配置防火時(shí)候具有一定的技巧���,在不同環(huán)境,不同時(shí)期具有一定的應(yīng)用��,因此正確科學(xué)的配置防火墻沒有通式�����,必須在根據(jù)環(huán)境狀態(tài)下進(jìn)行科學(xué)合理的配置��,這樣才能使防火墻技術(shù)成為網(wǎng)絡(luò)安全技術(shù)中最后一道保障。
1.3有賴于動(dòng)態(tài)維護(hù)
防火墻技術(shù)在網(wǎng)絡(luò)中應(yīng)用�����,不是把防火墻軟件在計(jì)算機(jī)中安裝以后,進(jìn)行一些配置以后就完事,管理員要對(duì)防火墻實(shí)時(shí)進(jìn)行監(jiān)控�,看防火墻是否出現(xiàn)一些異常狀況�����,管理員還要與廠商經(jīng)常保持密切聯(lián)系����,是否有更新���,任何在完美事物都有兩面性��,要及時(shí)更新�����,彌補(bǔ)防火墻漏洞��,防止計(jì)算機(jī)網(wǎng)絡(luò)被更新�����,因此防火墻技術(shù)是一種動(dòng)態(tài)實(shí)時(shí)更新技術(shù)��。
1.4搞好規(guī)則集的檢測(cè)審計(jì)工作
網(wǎng)絡(luò)安全技術(shù)最大的危險(xiǎn)是自己���,網(wǎng)絡(luò)管理員不能出現(xiàn)一點(diǎn)大意��,在防火墻技術(shù)的應(yīng)用過程中����,要適時(shí)進(jìn)行更新,彌補(bǔ)漏洞�����,還要定期進(jìn)行一定的檢測(cè)和審計(jì)工作�,用來評(píng)估網(wǎng)絡(luò)現(xiàn)在的安全性����,以及在未來一段時(shí)間網(wǎng)絡(luò)的安全性����,做好正確的評(píng)審工作�����,是網(wǎng)絡(luò)能長時(shí)間保持穩(wěn)定的重要條件,實(shí)時(shí)檢測(cè)����,實(shí)時(shí)維護(hù)是網(wǎng)絡(luò)安全的基本法則����。
2防火墻網(wǎng)絡(luò)安全技術(shù)的實(shí)現(xiàn)方案
2.1設(shè)置內(nèi)部防火墻���,編制可靠的安全方案
在網(wǎng)絡(luò)安全防范的過程中�����,內(nèi)部局域網(wǎng)一定要重視,當(dāng)局域網(wǎng)中一臺(tái)機(jī)器出現(xiàn)病毒狀況,可能瞬間整個(gè)網(wǎng)絡(luò)出現(xiàn)癱瘓狀態(tài)��,因此利用防火墻技術(shù)作為網(wǎng)絡(luò)安全的檢測(cè)����,內(nèi)部局域網(wǎng)防火墻要進(jìn)行科學(xué)合理的設(shè)置����,制定一個(gè)可行的安全方案,對(duì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)進(jìn)行一定的保障���。內(nèi)部防火墻進(jìn)行一定的分段,每個(gè)主機(jī)要有標(biāo)準(zhǔn),但有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),標(biāo)準(zhǔn)時(shí)同樣的��,這樣對(duì)網(wǎng)絡(luò)的檢測(cè)等有一定的依據(jù)����,增強(qiáng)了網(wǎng)絡(luò)的安全性��。
2.2合理設(shè)定外部防火墻����,防范外網(wǎng)攻擊
經(jīng)外部防火墻的設(shè)定�,把內(nèi)網(wǎng)同外網(wǎng)相分開��,可防范外網(wǎng)攻擊行為�����。外部防火墻通過編制訪問策略��,僅已被授權(quán)的主機(jī)方能訪問內(nèi)網(wǎng)IP�����,使外網(wǎng)僅能訪問內(nèi)網(wǎng)中同業(yè)務(wù)相關(guān)的所需資源。外部防火墻會(huì)變換地址�����,使外網(wǎng)無法掌握內(nèi)網(wǎng)結(jié)構(gòu)��,阻斷了黑客攻擊的目標(biāo)���。外部防火墻的精確設(shè)定范圍要在內(nèi)網(wǎng)和外網(wǎng)之間,防火墻對(duì)獲取的數(shù)據(jù)包加以剖析�����,把其中合法請(qǐng)求傳導(dǎo)到對(duì)應(yīng)服務(wù)主機(jī)���,拒絕非法訪問����。
3防火墻技術(shù)的未來發(fā)展趨勢(shì)及前景
防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)發(fā)展的必然產(chǎn)物,為不安全的網(wǎng)絡(luò)搭建一個(gè)安全的網(wǎng)絡(luò)平臺(tái)�,網(wǎng)絡(luò)安全是不可預(yù)測(cè)的��,防火墻技術(shù)也在日新月異的進(jìn)行發(fā)展��,防火墻技術(shù)的未來發(fā)展是廣泛的�����,能為網(wǎng)絡(luò)安全作出一定的貢獻(xiàn),下面闡述一下防火墻技術(shù)的未來發(fā)展趨勢(shì)��,引領(lǐng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展�����。
3.1智能化
現(xiàn)在計(jì)算機(jī)的未來發(fā)展是網(wǎng)絡(luò)化����、智能化����,網(wǎng)絡(luò)安全問題的發(fā)展也比較快,對(duì)網(wǎng)絡(luò)安全的軟件要求也是越來越高����,網(wǎng)絡(luò)上的病毒具有不可預(yù)見性���,對(duì)防御病毒的軟件提出一個(gè)嶄新的要求,必須具有一定的智能化�����,就是防火墻自身具有很強(qiáng)的防御功能,不是人為的進(jìn)行控制����,智能化是網(wǎng)絡(luò)安全專家對(duì)防火墻技術(shù)的期盼���,也是防火墻技術(shù)自身發(fā)展的需要�����,但防火墻技術(shù)實(shí)現(xiàn)智能化需要一定的時(shí)間�����,需要網(wǎng)絡(luò)安全專家不停努力的結(jié)果�����。
3.2擴(kuò)展性能更佳
計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展,點(diǎn)到點(diǎn)客戶的快速發(fā)展��,現(xiàn)在3G網(wǎng)絡(luò)已經(jīng)向4G網(wǎng)絡(luò)發(fā)展,對(duì)防火墻的擴(kuò)展型提出更好的要求�����,軟件技術(shù)的發(fā)展必須為未來的發(fā)展提出更好的要求�,其擴(kuò)展性具有一定發(fā)展,使防火墻技術(shù)能更好的為網(wǎng)絡(luò)安全服務(wù)����,提高網(wǎng)絡(luò)安全服務(wù)的本領(lǐng),減少病毒的入侵����,提高網(wǎng)絡(luò)安全。
第3篇
其他安全防范措施內(nèi)網(wǎng)的網(wǎng)絡(luò)安全直接關(guān)系到醫(yī)院業(yè)務(wù)能否正常進(jìn)轉(zhuǎn)����,所以我院的內(nèi)網(wǎng)計(jì)算機(jī)是不允許接外部設(shè)備的�����,比如易于感染病毒的U盤�����,網(wǎng)管人員會(huì)在BIOS里把除了鍵盤鼠標(biāo)等正常使用的設(shè)備以外的U口封掉并設(shè)置密碼,確保病毒不會(huì)從外界侵入���。同時(shí)�����,內(nèi)網(wǎng)設(shè)置了詳細(xì)的分級(jí)權(quán)限,不同的用戶看到的和使用的功能不同�����,不同的醫(yī)師用藥和開處方的權(quán)限也不同�。程序的進(jìn)入每個(gè)用戶可以設(shè)置自己的密碼�,保證信息不泄露�。隨著程序的不斷升級(jí)�����,以后可以應(yīng)用電子簽名�����。電子簽名就是通過密碼技術(shù)對(duì)電子文檔的電子形式的簽名,并非是書面簽名的數(shù)字圖像化,它類似于手寫簽名或印章����,也可以說它就是電子印章����。每個(gè)醫(yī)生一個(gè)電子簽名卡���,進(jìn)入系統(tǒng)程序不僅需要密碼而且要刷卡,開處方和寫病歷后自動(dòng)寫上醫(yī)生的電子簽名,確保數(shù)據(jù)不被篡改�����。
天津醫(yī)院外網(wǎng)安全建設(shè)分析
1硬件防火墻外網(wǎng)是要鏈接到Internet上的�����,所以網(wǎng)絡(luò)安全尤為重要�����,硬件防火墻是必不可少的�。通過硬件防火墻的設(shè)置��,可以進(jìn)行包括過濾和狀態(tài)檢測(cè)�,過濾掉一些IP地址和有威脅的程序不進(jìn)入辦公網(wǎng)絡(luò)����。硬件防火墻針對(duì)病毒入侵的原理�,可以做出相應(yīng)的策略�,從源頭上確保網(wǎng)絡(luò)安全�����。
2網(wǎng)絡(luò)管理軟件網(wǎng)絡(luò)管理軟件提供網(wǎng)絡(luò)系統(tǒng)的配置���、故障���、性能及網(wǎng)絡(luò)用戶分布方面的基本管理��,也就是說�����,網(wǎng)絡(luò)管理的各種功能最終會(huì)體現(xiàn)在網(wǎng)絡(luò)管理軟件的各種功能的實(shí)現(xiàn)上��,軟件是網(wǎng)絡(luò)管理的“靈魂”�,也是網(wǎng)絡(luò)管理系統(tǒng)的核心�����。
通過網(wǎng)絡(luò)管理軟件網(wǎng)管人員可以控制流量��,設(shè)置不同用戶訪問的網(wǎng)址和使用的應(yīng)用程序�����,設(shè)置不同時(shí)間可以訪問的網(wǎng)址�����,以及屏蔽掉一些游戲�、股票等非工作需要的程序?���?梢詫?shí)時(shí)監(jiān)控客戶端的網(wǎng)絡(luò)行為���,查看是否有非工作內(nèi)容的操作���。定期備份日志�,保證辦公網(wǎng)正常有序的工作�����。
管理制度
要制定嚴(yán)格的計(jì)算機(jī)管理制度�����,業(yè)務(wù)科室屏蔽光驅(qū)�����、USB接口等輸入輸出設(shè)備,行政后勤科室使用輸入輸出設(shè)備時(shí)必須先殺毒再使用����。全院每臺(tái)機(jī)器使用固定IP和MAC地址綁定���,防止外人使用移動(dòng)電腦連接內(nèi)部網(wǎng)絡(luò)�����。優(yōu)化電腦性能�,屏蔽一些重要的操作系統(tǒng)功能和系統(tǒng)文件,防止操作人員誤操作致使系統(tǒng)崩潰,帶來不必要的麻煩���。所有服務(wù)器�����、客戶端都必須更新最新的系統(tǒng)補(bǔ)丁,防止病毒��、黑客�、灰色軟件的侵襲��。
第4篇
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因�,比如將原有的單機(jī)互聯(lián)����,使用原有的網(wǎng)絡(luò)設(shè)施�����;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機(jī)房設(shè)計(jì)不合理����,溫度、濕度不適應(yīng)以及無抗靜電���、抗磁干擾等設(shè)施����;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足���,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài)����,沒有有效的安全預(yù)警手段和防范措施��。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄�����、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少�,安全意識(shí)淡薄,U盤�、移動(dòng)硬盤��、手機(jī)等存貯介質(zhì)隨意使用�;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí)�,不能安全地配置和管理網(wǎng)絡(luò)���;學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房�����;學(xué)校師生上網(wǎng)身份無法唯一識(shí)別����,不能有效的規(guī)范和約束師生的非法訪問行為�����;缺乏統(tǒng)一的網(wǎng)絡(luò)出口�、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)�,使學(xué)校的網(wǎng)絡(luò)管理混亂���;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計(jì)算機(jī)安裝還原卡或使用還原軟件��,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)��,這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞���。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的���。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品���,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作��,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素�����。
(四)計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫����,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性����,傳播到網(wǎng)絡(luò)服務(wù)器���,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染�,危害極大����。感染計(jì)算機(jī)病毒�����、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況���,遭到端口掃描���、黑客攻擊����、網(wǎng)頁篡改或垃圾郵件次之����。校園網(wǎng)中教師和學(xué)生對(duì)文件下載����、電子郵件��、QQ聊天的廣泛使用����,使得校園網(wǎng)內(nèi)病毒泛濫��。計(jì)算機(jī)病毒是一種人為編制的程序�����,它具有傳染性���、隱蔽性����、激發(fā)性、復(fù)制性�����、破壞性等特點(diǎn)�����。它的破壞性是巨大的����,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒���,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)����,只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口���,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓����?����!秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論��,列出了下個(gè)世紀(jì)的國際恐怖活動(dòng)將采用五種新式武器和手段�,計(jì)算機(jī)病毒名列第二��,這給未來的信息系統(tǒng)投上了一層陰影�。從近期的“熊貓燒香”�、“灰鴿子”���、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出�����,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻���。
綜上所述���,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻�,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行�,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公�����、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題�����,文章提出以下校園網(wǎng)絡(luò)安全防范措施�����。
二��、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器����,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介����,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序�,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置����。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器�,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶����。這樣�����,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞����,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用��,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的�,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性��。(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品�����,是一種使用較早的��、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一��。它是軟件或硬件設(shè)備的組合�����,通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)�����。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理��,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān)���,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕)�����,控制數(shù)據(jù)包的進(jìn)出�,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理����,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析�,通過日志分析��,獲取時(shí)間����、地址�、協(xié)議和流量��,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊)�,對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等,最大限度地防止惡意或非法訪問存取��,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作��。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系�,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度�,定期對(duì)各工作站進(jìn)行維護(hù)�,對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染�����、傳播和發(fā)作����,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室��、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)���,定時(shí)升級(jí)文件并查毒殺毒�,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力����。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證�,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理��。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器���、交換機(jī)��、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù)�����,賦予用戶一定的訪問存取權(quán)限�、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進(jìn)行操作�����,合理設(shè)置網(wǎng)絡(luò)共享文件�����,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含��、只讀等加密措施�����,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)����,建立詳細(xì)的用戶信息數(shù)據(jù)庫����、網(wǎng)絡(luò)主機(jī)登錄日志�����、交換機(jī)及路由器日志��、網(wǎng)絡(luò)服務(wù)器日志����、內(nèi)部用戶非法活動(dòng)日志等���,定時(shí)對(duì)其進(jìn)行審查分析,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故����,有效地保護(hù)網(wǎng)絡(luò)安全�����。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù)����,是指在交換局域網(wǎng)的基礎(chǔ)上��,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)���。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中�����,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)����。將用戶限制在其所在的VLAN里����,防止各用戶之間隨意訪問資源�����。各個(gè)子網(wǎng)間通過路由器、交換機(jī)��、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接��,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò)���,通過設(shè)置命令��,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理��,根據(jù)特定需要隔離故障��,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒�����、木馬程序���,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下����,計(jì)算機(jī)能安全運(yùn)行��。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段�����,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難�,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)��、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作����,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案���,對(duì)網(wǎng)上各工作站的資源分配情況�����、故障情況�、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上���。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段����。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem���,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng)����,是對(duì)防火墻有益的補(bǔ)充�����。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)��,IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警�����,通知網(wǎng)絡(luò)采取措施響應(yīng)�����。即使被入侵攻擊����,IDS收集入侵攻擊的相關(guān)信息�����,記錄事件�,自動(dòng)阻斷通信連接�����,重置路由器�、防火墻�����,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案����,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)��,增強(qiáng)系統(tǒng)的防范能力��,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)��,提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性�。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)�、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育��,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)�����。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程��、人員出入機(jī)房管理制度����、工作人員操作規(guī)程和保密制度等)��。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作���,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性�����,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)�。
三���、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程����,長期以來����,從病毒��、黑客與防范措施的發(fā)展來看�����,總是“道高一尺�����,魔高一丈”,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)�,只有通過綜合運(yùn)用多項(xiàng)措施����,加強(qiáng)管理��,建立一套真正適合校園網(wǎng)絡(luò)的安全體系�,提高校園網(wǎng)絡(luò)的安全防范能力��。
摘要:隨著“校校通”工程的深入實(shí)施�����,校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施��,擔(dān)負(fù)著學(xué)校教學(xué)、教研����、管理和對(duì)外交流等許多重要任務(wù)����。校園網(wǎng)的安全問題�����,直接影響著學(xué)校的教學(xué)活動(dòng)。文章結(jié)合十幾年來校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗(yàn)��,對(duì)如何加強(qiáng)校園網(wǎng)絡(luò)安全作了分析和探討���。
關(guān)鍵詞:校園網(wǎng)��;網(wǎng)絡(luò)安全;防范措施��;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備��、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件���,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起�,用于教學(xué)、科研�、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件�����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不因偶然和惡意等因素而遭到破壞���、更改����、泄密��,保障校園網(wǎng)的正常運(yùn)行�����。隨著“校校通”工程的深入實(shí)施��,學(xué)校教育信息化����、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向�����。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患��,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題���。
參考文獻(xiàn):
1����、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2��、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3�����、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5�、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等?��?茖W(xué)校學(xué)報(bào),2002(8).
6���、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
第5篇
一、常見的幾種網(wǎng)絡(luò)入侵方法
由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享���、分散控制�、分組交換����,這決定了互聯(lián)網(wǎng)具有大跨度���、分布式�����、無邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)��,并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)�,計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性:無法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份�����;由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼,即數(shù)字化的形式存在�,所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞����,從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮�,這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)����,黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法:
1.通過偽裝發(fā)動(dòng)攻擊
利用軟件偽造IP包,把自己偽裝成被信任主機(jī)的地址�,與目標(biāo)主機(jī)進(jìn)行會(huì)話,一旦攻擊者冒充成功�����,就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵�����;或者�,通過偽造IP地址��、路由條目�、DNS解析地址,使受攻擊服務(wù)器無法辨別這些請(qǐng)求或無法正常響應(yīng)這些請(qǐng)求�����,從而造成緩沖區(qū)阻塞或死機(jī)��;或者��,通過將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址�����,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓�。
2.利用開放端口漏洞發(fā)動(dòng)攻擊
利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊����。這主要是由于軟件中邊界條件��、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制�����,因而造成地址空間錯(cuò)誤的一種漏洞��。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理,導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常����,從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。
3.通過木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊
木馬是一種基于遠(yuǎn)程控制的黑客工具�,具有隱蔽性和非授權(quán)性的特點(diǎn)�,一旦被成功植入到目標(biāo)主機(jī)中,計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)���,黑客成了超級(jí)用戶����。木馬程序可以被用來收集系統(tǒng)中的重要信息,如口令���、賬號(hào)���、密碼等�。此外,黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊���,如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后�,同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包����。
4.嗅探器和掃描攻擊
嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)���。網(wǎng)絡(luò)嗅探器通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名�、口令等重要信息�,它對(duì)網(wǎng)絡(luò)安全的威脅來自其被動(dòng)性和非干擾性�,使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性�,往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)��。掃描��,是指針對(duì)系統(tǒng)漏洞,對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為�。由于漏洞普遍存在���,掃描手段往往會(huì)被惡意使用和隱蔽使用�����,探測(cè)他人主機(jī)的有用信息�����,作為實(shí)施下一步攻擊的前奏。
為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段�����,網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括:防火墻�����、VPN�����、防毒墻��、入侵檢測(cè)���、入侵防御��、漏洞掃描�。其中防病毒��、防火墻和VPN屬早期的被動(dòng)防護(hù)技術(shù)�����,入侵檢測(cè)���、入侵防
御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)�,這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。
二、網(wǎng)絡(luò)的安全策略分析
早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界�,然后通過在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查,只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界����,從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊�����、入侵的目的�����。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括:
1.防火墻
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略�,對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制���,常用的防火墻技術(shù)有包過濾技術(shù)��、狀態(tài)檢測(cè)技術(shù)�����、應(yīng)用網(wǎng)關(guān)技術(shù)�。包過濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過��,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯��,檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址���、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過�;狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待���,構(gòu)成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合����,對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別���,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比�,它具有更好的靈活性和安全性�����;應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn),它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)����,其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)���,保護(hù)其中的主機(jī)及其數(shù)據(jù)��。
2.VPN
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò)����,它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)���。它可以幫助異地用戶、公司分支機(jī)構(gòu)���、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸��。為了保障信息的安全,VPN技術(shù)采用了鑒別���、訪問控制、保密性和完整性等措施���,以防止信息被泄露、篡改和復(fù)制�����。VPN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn),如在應(yīng)用層有SSL協(xié)議,它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序����,提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密;在會(huì)話層有Socks協(xié)議����,在該協(xié)議中�����,客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接��,建立到Socks服務(wù)器的VPN隧道����;在網(wǎng)絡(luò)層有IPSec協(xié)議�,它是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制����,對(duì)IP包進(jìn)行的IPSec處理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)兩種方式���。
3.防毒墻
防毒墻是指位于網(wǎng)絡(luò)入口處,用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備�。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析,但它對(duì)從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的�,因?yàn)樗鼰o法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況���;防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備���。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作�����,阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散��。此外�����,管理人員能夠定義分組的安全策略��,以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸���、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址���,以及TCP/UDP端口和協(xié)議。
三���、網(wǎng)絡(luò)檢測(cè)技術(shù)分析
人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊,于是以檢測(cè)為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生����。這類技術(shù)的基本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)��,或者更廣泛意義上的信息系統(tǒng)的非法攻擊�。包括檢測(cè)外界非法入侵者的惡意攻擊或試探����,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有:
1.入侵檢測(cè)
入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性�、完整性或可用的一種網(wǎng)絡(luò)安全技術(shù)��。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)��,包括檢測(cè)外界非法入侵者的惡意攻擊或試探,以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)��。作為防火墻的有效補(bǔ)充�����,入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視����、攻擊識(shí)別和響應(yīng))��,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性��。
2.入侵防御
入侵防御系統(tǒng)(IntrusionPreventionSystem,IPS)則是一種主動(dòng)的�、積極的入侵防范�����、阻止系統(tǒng)��。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)��,IPS的檢測(cè)功能類似于IDS��,防御功能類似于防火墻�。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備,它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊���,它的阻斷攻擊能力非常有限���;而IPS部署在網(wǎng)絡(luò)的進(jìn)出口處�,當(dāng)它檢測(cè)到攻擊企圖后��,會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷���?����?梢哉J(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng),但并不是說IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)�。防火墻是粒度比較粗的訪問控制產(chǎn)品,它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色��,同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換����、服務(wù)�����、流量統(tǒng)計(jì)�、VPN等功能�����。
3.漏洞掃描
漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)�,它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞:在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配�,查看是否有滿足匹配條件的漏洞存在�����;通過模擬黑客的攻擊手法���,對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描��,如測(cè)試弱勢(shì)口令等���,若模擬攻擊成功��,則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞��。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)�,它是故意讓人攻擊的目標(biāo)�,引誘黑客前來攻擊���。通過對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析�����,來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞��。
四���、結(jié)語
盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用��,但在一個(gè)巨大����、開放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性��。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫���,系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞����,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前����。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒,防火墻只能對(duì)非法訪問通信進(jìn)行過濾�,而入侵檢測(cè)系統(tǒng)只能被用來識(shí)別特定的惡意攻擊行為�����。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中,安全問題的炸彈隨時(shí)都有爆炸的可能����。用戶必須針對(duì)每種安全威脅部署相應(yīng)的防御手段,這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降��。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題�,網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品�����。
參考文獻(xiàn):
[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18~19
[2]潘號(hào)良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊,2008,(3):74~75
[3]劉愛國李志梅談:電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場(chǎng)現(xiàn)代化,2007,(499):76~77
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全�;病毒防范�����;防火墻
0引言
如何保證合法網(wǎng)絡(luò)用戶對(duì)資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊���,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容�����。
1網(wǎng)絡(luò)安全威脅
1.1網(wǎng)絡(luò)中物理的安全威脅例如空氣溫度��、濕度�����、塵土等環(huán)境故障�����、以及設(shè)備故障����、電源故障����、電磁干擾、線路截獲等�����。
1.2網(wǎng)絡(luò)中信息的安全威脅①蠕蟲和病毒���。計(jì)算機(jī)蠕蟲和病毒是最常見的一類安全威脅����。蠕蟲和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性����。隨著病毒變得更智能����、更具破壞性�,其傳播速度也更快��,甚至能在片刻間使信息處理處于癱瘓狀態(tài),而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)一間也更長��。②黑客攻擊�?���!昂诳汀币辉~由英語Hacker英譯而來����,原意是指專門研究����、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者?����,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人��。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽���、密文破解和拒絕服務(wù)(DtS)攻擊等���。
2網(wǎng)絡(luò)安全技術(shù)
為了消除上述安全威脅���,企業(yè)��、部門或個(gè)人需要建立一系列的防御體系�����。目前主要有以下幾種安全技術(shù):
2.1密碼技術(shù)在信息傳輸過程中�,發(fā)送方先用加密密鑰���,通過加密設(shè)備或算法�����,將信息加密后發(fā)送出去�����,接收方在收到密文后�����,用解密密鑰將密文解密���,恢復(fù)為明文。如果傳輸中有人竊取����,也只能得到無法理解的密文���,從而對(duì)信息起到保密作用。
2.2身份認(rèn)證技術(shù)通過建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán)��,防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)環(huán)境中����,信息傳至接收方后�����,接收方首先要確認(rèn)信息發(fā)送方的合法身份�����,然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名��、身份驗(yàn)證和數(shù)字證明�。
2.3病毒防范技術(shù)計(jì)算機(jī)病毒實(shí)際上是一種惡意程序��,防病毒技術(shù)就是識(shí)別出這種程序并消除其影響的一種技術(shù)����。從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來講�����,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)和病毒清除技術(shù)�。
①病毒預(yù)防技術(shù)�����。計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理��,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒��。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)�����、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測(cè)技術(shù)��。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式�����、文件長度的變化��,在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù);另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)����,即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)�����,若出現(xiàn)差異���,即表示該文件或數(shù)據(jù)段完整性己遭到破壞����,感染上了病毒,從而檢測(cè)到病毒的存在���。③病毒清除技術(shù)�����。計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果���,是計(jì)算機(jī)病毒傳染程序的一個(gè)逆過程��。目前���,清除病毒大都是在某種病毒出現(xiàn)后�����,通過對(duì)其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件�。這類軟件技術(shù)發(fā)展往往是被動(dòng)的,帶有滯后性�。而且由于計(jì)算機(jī)軟件所要求的精確性���,殺毒軟件有其局限性���,對(duì)有些變種病毒的清除無能為力���。
2.4入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)�����,也是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。
①特征檢測(cè)的假設(shè)是入侵者活動(dòng)可以用一種模式來表示���,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式���。它可以將己有的入侵方法檢查出來�����,但對(duì)新的入侵方法無能為力�����。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。②異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)��。根據(jù)這一理念建立主體正?��;顒?dòng)的“活動(dòng)簡(jiǎn)檔”��,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較��,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為���。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法���,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為�。
2.5漏洞掃描技術(shù)漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)����、文件等進(jìn)行檢查��,發(fā)現(xiàn)其中可被黑客所利用的漏洞���。漏洞檢測(cè)技術(shù)就是通過對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查����,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患���,換言之�,漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)�、文件等進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞�����。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷����,預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求��。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評(píng)估報(bào)告,它指出了哪些攻擊是可能的���,因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分�����。
漏洞掃描技術(shù)主要分為被動(dòng)式和主動(dòng)式兩種:
①被動(dòng)式是基于主機(jī)的檢測(cè)�����,對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對(duì)象進(jìn)行檢查����。②主動(dòng)式則是基于對(duì)網(wǎng)絡(luò)的主動(dòng)檢測(cè)��,通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊���,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。
2.6慝�。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性����,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻��,所以網(wǎng)絡(luò)環(huán)境變得更安全����。
第7篇
網(wǎng)絡(luò)安全分為七層服務(wù):第一層為實(shí)體安全。實(shí)體安全是基礎(chǔ)���,主要分為機(jī)房安全�����,場(chǎng)地安全��,機(jī)房的溫度濕度����,設(shè)施可靠等各個(gè)實(shí)體都按照國家相關(guān)標(biāo)準(zhǔn)��。第二層是平臺(tái)安全。平臺(tái)安全實(shí)施內(nèi)容包括檢測(cè)修復(fù)漏洞����,網(wǎng)絡(luò)協(xié)議以及基礎(chǔ)設(shè)施��;檢測(cè)修復(fù)路由器���。第三層數(shù)據(jù)安全。為防止數(shù)據(jù)丟失或是非法訪問����,以用戶需求和數(shù)據(jù)安全作為安全威脅的依據(jù)�。其主要方式是介質(zhì)和載體安全保護(hù),數(shù)據(jù)訪問控制���,鑒別數(shù)據(jù)完整性����,數(shù)據(jù)可用性等內(nèi)容���。第四層為通信安全,為避免系統(tǒng)的安全脆弱性威脅以及保障系統(tǒng)之間通信有安裝網(wǎng)絡(luò)加密設(shè)施�����,設(shè)置通信加密軟件�,設(shè)置身份鑒別機(jī)制等措施�。第五層為應(yīng)用安全��,可使得計(jì)算機(jī)系統(tǒng)上安全運(yùn)行任務(wù),為應(yīng)用安全提供的評(píng)估措施包括業(yè)務(wù)實(shí)體的身份鑒別檢測(cè)���,業(yè)務(wù)數(shù)據(jù)的保密性測(cè)試�����,業(yè)務(wù)系統(tǒng)的可靠性測(cè)試等�。第六層為運(yùn)行安全����。運(yùn)行安全可保障系統(tǒng)保持穩(wěn)定���,將網(wǎng)絡(luò)系統(tǒng)的安全控制在一定范圍內(nèi),包括應(yīng)急配置機(jī)制和配套服務(wù)��,監(jiān)測(cè)網(wǎng)絡(luò)系統(tǒng)安全性,監(jiān)測(cè)網(wǎng)絡(luò)安全產(chǎn)品�,定期檢查和評(píng)估��,升級(jí)系統(tǒng)���,跟蹤最新安全漏洞等內(nèi)容��。第七層為管理安全�����。針對(duì)網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)���,重點(diǎn)關(guān)注實(shí)際條件以及管理需要�����,利用各種安全管理機(jī)制降低用戶綜合控制風(fēng)險(xiǎn)��。
2網(wǎng)絡(luò)安全等級(jí)劃分
用戶自主保護(hù)級(jí)是指計(jì)算機(jī)信息系統(tǒng)通過隔離用戶與數(shù)據(jù)使得用戶具備自主安全保護(hù)的能力���?�?梢允褂枚喾N形式對(duì)用戶進(jìn)行訪問控制,為用戶獲得信息提供依據(jù)�,避免其他用戶對(duì)數(shù)據(jù)的非法讀寫與破壞�����。系統(tǒng)審計(jì)保護(hù)級(jí),該級(jí)別的網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了更加細(xì)粒度的自主訪問控制�����,通過審計(jì)安全等相關(guān)事件對(duì)自己行為負(fù)責(zé)。安全標(biāo)記保護(hù)級(jí)主要包括自主訪問控制���,強(qiáng)制訪問控制�����,身份鑒別以及數(shù)據(jù)完整性幾個(gè)方面�����。該級(jí)別的網(wǎng)絡(luò)安全還額外提供安全策略模型等�����,并通過測(cè)試來消除發(fā)現(xiàn)的錯(cuò)誤�����。結(jié)構(gòu)化保護(hù)級(jí),該級(jí)別需要一個(gè)明確的模型���,要求將其自主和強(qiáng)制訪問控制擴(kuò)展到所有主客體���。結(jié)構(gòu)化保護(hù)級(jí)別需要明確定義接口以及關(guān)鍵和非關(guān)鍵保護(hù)元素,使得其設(shè)計(jì)可以通過充分的檢測(cè)與更加完整的審核制度��。訪問驗(yàn)證保護(hù)級(jí),該級(jí)別可以滿足訪問監(jiān)控器的要求,訪問控制器要求本身具有抗篡改性質(zhì)����,因此盡量小有助于分析和測(cè)試���。為了滿足這些要求����,需要?jiǎng)h除不要的代碼,在具體設(shè)計(jì)實(shí)現(xiàn)時(shí)盡量將其復(fù)雜性降到最低�。
3網(wǎng)絡(luò)安全評(píng)測(cè)
結(jié)構(gòu)安全評(píng)測(cè)需要保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的處理能力��,保證接入網(wǎng)絡(luò)的帶寬以及繪制符合運(yùn)行情況的網(wǎng)絡(luò)拓?fù)鋱D。訪問控制評(píng)測(cè)需要在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備從而啟動(dòng)訪問控制功能,按用戶和系統(tǒng)的允許訪問的規(guī)則來決定哪些用戶可以進(jìn)行資源訪問��。一般如果評(píng)測(cè)邊界網(wǎng)絡(luò)設(shè)備滿足要求�����,則符合訪問控制����。安全審計(jì)評(píng)測(cè)則是對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況等進(jìn)行記錄��,對(duì)每個(gè)事件的時(shí)間��,類型等進(jìn)行審計(jì)。如果以上評(píng)測(cè)為肯定���,則信息系統(tǒng)符合安全審計(jì)要求。邊界完整性評(píng)測(cè)則需要能夠?qū)?nèi)部網(wǎng)絡(luò)中的用戶未通過允許私自連接到外部網(wǎng)絡(luò)進(jìn)行評(píng)測(cè)是否滿足評(píng)測(cè)要求����。入侵防范評(píng)測(cè)則需要通過網(wǎng)絡(luò)監(jiān)控其端口掃描��,強(qiáng)力攻擊����,拒絕服務(wù)攻擊等評(píng)測(cè)指標(biāo)�。網(wǎng)絡(luò)設(shè)備防護(hù)則是評(píng)測(cè)用戶標(biāo)識(shí)是否唯一���,身份鑒別信息應(yīng)不易被冒用的特點(diǎn),以及登錄失敗處理功能��,以及對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)是否采取措施防止鑒別信息在網(wǎng)絡(luò)上被竊聽。
4網(wǎng)絡(luò)安全優(yōu)化
4.1物理安全層
優(yōu)化物流安全層�����,主要是對(duì)去硬件設(shè)施進(jìn)行優(yōu)化�。在物理層網(wǎng)絡(luò)安全威脅方面�,為了保障信息資源的安全�����,需要保障機(jī)房安全。機(jī)房的建設(shè)要遵守國家建設(shè)的標(biāo)準(zhǔn)��,選擇好的機(jī)房進(jìn)行工作�,選擇光照比較少的房間或者選擇安裝窗簾來遮蔽陽光�。做好消防工作����,安裝設(shè)備調(diào)整機(jī)房的溫度等各個(gè)物理方法。
4.2技術(shù)層
第8篇
關(guān)鍵詞互聯(lián)網(wǎng)+醫(yī)療網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全防護(hù)案例
0引言
互聯(lián)網(wǎng)+醫(yī)療健康模式下要求醫(yī)院的信息系統(tǒng)功能向外擴(kuò)展�,實(shí)現(xiàn)在線預(yù)約、掛號(hào)���、繳費(fèi)和診療服務(wù)����。為了實(shí)現(xiàn)在線服務(wù)的功能�����,勢(shì)必要將醫(yī)院局域網(wǎng)與互聯(lián)網(wǎng)打通�,來進(jìn)行數(shù)據(jù)交互�����,但只有在網(wǎng)絡(luò)與安全的建設(shè)達(dá)標(biāo)的情況下���,才能開展相關(guān)業(yè)務(wù)�����。同國內(nèi)一些大型企業(yè)比較�����,醫(yī)院的網(wǎng)絡(luò)安全建設(shè)相對(duì)薄弱,這與醫(yī)院信息系統(tǒng)的特殊性和信息化的發(fā)展歷程有關(guān)��。最初的網(wǎng)絡(luò)建設(shè)是為局域網(wǎng)系統(tǒng)提供服務(wù)��,沒有與外部系統(tǒng)互聯(lián)的需求�����。如今面對(duì)越來越開放的服務(wù)需求��,信息網(wǎng)絡(luò)的安全性面臨著極大的挑戰(zhàn)�。網(wǎng)絡(luò)安全作為信息化建設(shè)的基石�����,如何在現(xiàn)有醫(yī)院網(wǎng)絡(luò)基礎(chǔ)上實(shí)施安全防護(hù)�����,為互聯(lián)網(wǎng)醫(yī)院需要開展的業(yè)務(wù)提供高速、可靠的網(wǎng)絡(luò)環(huán)境,是管理者面臨的又一挑戰(zhàn)�����。
1醫(yī)院網(wǎng)絡(luò)安全發(fā)展歷程
醫(yī)院信息系統(tǒng)發(fā)展[1]的不同時(shí)期,對(duì)網(wǎng)絡(luò)安全建設(shè)要求不同�����。
1.1最初的內(nèi)外網(wǎng)隔離時(shí)期
醫(yī)院在建設(shè)信息系統(tǒng)初期��,多數(shù)選擇內(nèi)外網(wǎng)隔離的網(wǎng)絡(luò)方案�,內(nèi)網(wǎng)負(fù)責(zé)承載醫(yī)療業(yè)務(wù)��,外網(wǎng)負(fù)責(zé)承載辦公業(yè)務(wù)����。內(nèi)網(wǎng)常見有數(shù)據(jù)庫服務(wù)器���、文件服務(wù)器���,外網(wǎng)有郵件服務(wù)器和網(wǎng)站服務(wù)器等。當(dāng)時(shí)的信息系統(tǒng)多為客戶端/服務(wù)器(C/S)架構(gòu)����,信息系統(tǒng)功能局限在局域網(wǎng)內(nèi)��,數(shù)據(jù)不用穿越防火墻��,信息系統(tǒng)架構(gòu)簡(jiǎn)潔��,實(shí)施與維護(hù)方便�。網(wǎng)絡(luò)上通常采用二層樹狀架構(gòu)���,結(jié)構(gòu)簡(jiǎn)單、部署迅速��。內(nèi)外網(wǎng)隔離的方式,可以阻斷全部來自外網(wǎng)的攻擊�����,將防護(hù)重點(diǎn)集中在內(nèi)網(wǎng)終端上�����。采用的方法是在服務(wù)器與客戶端安裝殺毒軟件���。雖然,在這個(gè)時(shí)期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)低���,但是面對(duì)一波又一波的網(wǎng)絡(luò)病毒�����,如藍(lán)色代碼�、熊貓燒香、沖擊波���、震蕩波等病毒,還是暴露了醫(yī)院終端防護(hù)水平低、安全建設(shè)滯后的問題�����。
1.2接入專線網(wǎng)絡(luò)外聯(lián)
醫(yī)院的信息系統(tǒng)發(fā)展很快,為了方便患者就醫(yī)�����,優(yōu)化就醫(yī)流程,新的應(yīng)用����、功能需求層出不窮。其中��,包括醫(yī)保實(shí)時(shí)結(jié)算�、銀醫(yī)結(jié)算與醫(yī)療數(shù)據(jù)共享等應(yīng)用。由于早期完全隔離的網(wǎng)絡(luò)使得系統(tǒng)無法與外界交互�����,這就需要在獨(dú)立封閉的網(wǎng)絡(luò)中“開孔出氣”。網(wǎng)絡(luò)的基礎(chǔ)上���,與外界系統(tǒng)交互只通過專線的方式�,邊界清晰、業(yè)務(wù)明確��。在這個(gè)時(shí)期的應(yīng)用中,院方系統(tǒng)作為請(qǐng)求發(fā)起方即客戶端,院內(nèi)系統(tǒng)不需要對(duì)外部系統(tǒng)開放接口或者服務(wù)��,并且與內(nèi)網(wǎng)系統(tǒng)聯(lián)通的專線網(wǎng)絡(luò)屬于“可信”環(huán)境���。在此基礎(chǔ)上,只需要在前置服務(wù)器外聯(lián)邊界設(shè)置防火墻�,阻斷由外向內(nèi)的所有連接�,允許由內(nèi)向外的請(qǐng)求�。
1.3劃分虛擬專網(wǎng)方式接入
隨著醫(yī)院信息系統(tǒng)的進(jìn)一步發(fā)展,醫(yī)生遠(yuǎn)程辦公�����、分院業(yè)務(wù)系統(tǒng)交互���,以及患者自助查詢、繳費(fèi)等新需求應(yīng)運(yùn)而生���,簡(jiǎn)單的外聯(lián)已經(jīng)不能滿足新業(yè)務(wù)開展的要求。此時(shí)��,就需要進(jìn)一步對(duì)網(wǎng)絡(luò)進(jìn)行開放。遠(yuǎn)程辦公可以使用互聯(lián)網(wǎng)虛擬專用網(wǎng)絡(luò)(VPN)接入�,患者檢查結(jié)果查詢方式為互聯(lián)網(wǎng)接入�����。與以往不同��,這些應(yīng)用的開展���,都是以內(nèi)網(wǎng)信息系統(tǒng)的數(shù)據(jù)為最終請(qǐng)求目標(biāo)。不管數(shù)據(jù)包如何跳轉(zhuǎn)���,最終需要到達(dá)內(nèi)網(wǎng)服務(wù)端�����。這一時(shí)期的服務(wù)從面向醫(yī)務(wù)工作者,擴(kuò)展到了面向部分就診患者�,請(qǐng)求量有所提升���。但最根本的轉(zhuǎn)變?cè)谟趦?nèi)網(wǎng)系統(tǒng)面向部分外網(wǎng)客戶端�,提供多樣化的服務(wù)�����。雖然����,服務(wù)對(duì)象是特定人群,但是面向互聯(lián)網(wǎng)開放了“窗口”�����,見圖2����。不管是通過前置機(jī)中轉(zhuǎn)����,還是地址變換�����、隱藏等手段提供服務(wù)����,都不能回避互聯(lián)網(wǎng)上存在的掃描���、攻擊等潛在風(fēng)險(xiǎn)�。這類應(yīng)用一般為非必要醫(yī)療業(yè)務(wù)環(huán)節(jié)�����,面對(duì)互聯(lián)網(wǎng)上的威脅���、風(fēng)險(xiǎn),還可以忍受一定程度上的服務(wù)中斷����。通過接入物理專線的方式���,將醫(yī)保中心�、銀行及相關(guān)衛(wèi)生主管部門聯(lián)通���。在相關(guān)業(yè)務(wù)系統(tǒng)外圍增加前置服務(wù)器��,作為院方與互聯(lián)單位的數(shù)據(jù)中轉(zhuǎn)站,并負(fù)責(zé)將相關(guān)數(shù)據(jù)�����、表格保持同步��,將上報(bào)數(shù)據(jù)�、業(yè)務(wù)請(qǐng)求發(fā)送至外網(wǎng)服務(wù)端�����。這個(gè)時(shí)期的網(wǎng)絡(luò)防護(hù)也較為輕松。因?yàn)樵谠蟹忾]但在網(wǎng)絡(luò)安全方面�����,是不能允許存在任何非授權(quán)訪問和入侵破壞的�����。
1.4互聯(lián)網(wǎng)+醫(yī)療背景下的網(wǎng)絡(luò)融合
在互聯(lián)網(wǎng)+醫(yī)療時(shí)代背景下,醫(yī)院信息系統(tǒng)將達(dá)到前所未有的開放程度��。醫(yī)院將從醫(yī)療�����、公共衛(wèi)生、家庭醫(yī)生簽約���、藥品供應(yīng)保障����、醫(yī)保結(jié)算��、醫(yī)學(xué)教育和科普等方面推動(dòng)互聯(lián)網(wǎng)與醫(yī)療健康服務(wù)相融合,涵蓋醫(yī)療�����、醫(yī)藥、醫(yī)?��!叭t(yī)聯(lián)動(dòng)”諸多方面[2]�。醫(yī)院還將制訂�、完善相關(guān)配套政策,加快實(shí)現(xiàn)醫(yī)療健康信息互通互享����,提高醫(yī)院管理和便民服務(wù)水平[3]。這就需要醫(yī)院要將網(wǎng)絡(luò)大門打開�����,將網(wǎng)絡(luò)進(jìn)行融合設(shè)計(jì)���,讓患者可以通過互聯(lián)網(wǎng)上的多種方式享受就醫(yī)服務(wù)����。在醫(yī)療業(yè)務(wù)不斷向互聯(lián)網(wǎng)開放后����,對(duì)于系統(tǒng)中斷服務(wù)的容忍度基本為零��。醫(yī)院既要保障服務(wù)的敏捷性和持續(xù)性�����,又要保障數(shù)據(jù)的安全性和保密性�����,還要防止原有系統(tǒng)被入侵和攻擊行為所破壞��。同時(shí),需要從多角度�����、多層次對(duì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)防護(hù)����。
2網(wǎng)絡(luò)安全措施
在已有醫(yī)院信息系統(tǒng)(HIS)等系統(tǒng)的情況下,醫(yī)院如何進(jìn)行“開放系統(tǒng)”的防護(hù)工作�����。保護(hù)的指導(dǎo)方針是根據(jù)國家信息安全等級(jí)保護(hù)要求,按等保要求系統(tǒng)應(yīng)具備抗分布式拒絕服務(wù)(distributeddenialofservice,DDOS)攻擊�����、入侵�、病毒的防御能力和控制端口、行為等控制能力[4].
2.1流量清洗
在互聯(lián)網(wǎng)上眾多的網(wǎng)絡(luò)請(qǐng)求中���,充斥著大量的無用請(qǐng)求、惡意訪問[5]��。如果不對(duì)互聯(lián)網(wǎng)中的流量進(jìn)行清洗����,將對(duì)系統(tǒng)的可用性構(gòu)成極大威脅�����。該部分清洗主要是針對(duì)DDOS攻擊流量����。常見DDOS攻擊類型有SYNfloods、Land-Base���、PINGofdeath�����、Teardrop、Smurf等�。應(yīng)根據(jù)自身情況選擇專用設(shè)備或運(yùn)營商服務(wù)進(jìn)行DDOS攻擊流量清洗����。
2.2入侵防御
清洗完的流量中還存在著掃描����、嗅探�����、惡意代碼等威脅����,它們通過系統(tǒng)漏洞,繞過防護(hù)�,對(duì)系統(tǒng)實(shí)施入侵行為�����,達(dá)到控制主機(jī)的目的。一旦入侵成功�,造成的后果和損失是巨大的��。通過部署入侵防御系統(tǒng)(intrusionpreventionsystem��,IPS)對(duì)那些被明確判斷為攻擊行為�,會(huì)對(duì)網(wǎng)絡(luò)����、主機(jī)造成危害的惡意行為進(jìn)行檢測(cè)和防御�。深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部,查找它所認(rèn)識(shí)的攻擊代碼特征��,過濾有害數(shù)據(jù)流�,丟棄有害數(shù)據(jù)包[6]�����。基于特征的入侵防御系統(tǒng)無法對(duì)高級(jí)持續(xù)性威脅(advancedpersistentthreat,APT)攻擊進(jìn)行防護(hù)���,因此在建設(shè)入侵防御系統(tǒng)時(shí)��,要特別注意該類型的攻擊防護(hù)���??稍黾討B(tài)勢(shì)感知系統(tǒng)輔助IPS���,將全網(wǎng)流量威脅可視化,進(jìn)一步消除0day漏洞隱患����。
2.3防病毒
根據(jù)國際著名病毒研究機(jī)構(gòu)國際計(jì)算機(jī)安全聯(lián)盟(internationalcomputersecurityassociation���,ICSA)的統(tǒng)計(jì),目前通過磁盤傳播的病毒僅占7%�����,剩下93%的病毒來自網(wǎng)絡(luò)。其中,包括Email�����、網(wǎng)頁�、QQ和MSN等傳播渠道�。計(jì)算機(jī)病毒網(wǎng)絡(luò)化的趨勢(shì)愈加明顯,需要企業(yè)部署防毒墻/防病毒網(wǎng)關(guān)��,以進(jìn)一步保障網(wǎng)絡(luò)的安全。防毒墻/防毒網(wǎng)關(guān)能夠檢測(cè)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)���,對(duì)HTTP、FTP����、SMTP、IMAP等協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描�,一旦發(fā)現(xiàn)病毒就會(huì)采取相應(yīng)的手段進(jìn)行隔離或查殺,在防護(hù)病毒方面可起到非常大的作用.
2.4訪問控制
在經(jīng)過流量清洗�����、入侵防御����、防病毒3道工序處理后����,訪問控制系統(tǒng)是主機(jī)最“貼身”的一道防線����。它是幫助保護(hù)服務(wù)器���,按照個(gè)體情況來制定防護(hù)策略�,精細(xì)防護(hù)到開幾扇門��,允許什么人����、什么時(shí)間���、什么方式訪問主機(jī)��。通常用硬件防火墻來進(jìn)行訪問控制[7]����。常見防火墻類型有網(wǎng)絡(luò)層防火墻�����、應(yīng)用層防火墻以及數(shù)據(jù)庫防火墻,可實(shí)現(xiàn)針對(duì)來源IP地址�、來源端口號(hào)�、目的IP地址���、目的端口號(hào)、數(shù)據(jù)庫語句�����、應(yīng)用層指令�����、速率等屬性進(jìn)行控制�����。還有一種特殊的訪問控制系統(tǒng)——“安全隔離與信息交換系統(tǒng)”即網(wǎng)閘[8]。主要功能有安全隔離�����、協(xié)議轉(zhuǎn)換、內(nèi)核防護(hù)功能���。由于網(wǎng)閘在所連接的兩個(gè)獨(dú)立系統(tǒng)之間,不存在通信的物理連接�����、邏輯連接�、信息傳輸命令���、信息傳輸協(xié)議�����;不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”��,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令��。網(wǎng)閘設(shè)備通常由3部分組成:外部處理單元��、內(nèi)部處理單元�、隔離安全數(shù)據(jù)交換單元����。安全數(shù)據(jù)交換單元不同時(shí)與內(nèi)���、外部處理單元連接��,從而創(chuàng)建一個(gè)內(nèi)����、外網(wǎng)物理斷開的環(huán)境,從物理上隔離�、阻斷了具有潛在攻擊可能的連接����,使“黑客”無法入侵�����、無法攻擊、無法破壞�����。
2.5負(fù)載均衡
在面對(duì)互聯(lián)網(wǎng)中大量的網(wǎng)絡(luò)請(qǐng)求時(shí),必須要增加負(fù)載均衡設(shè)備,擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬���、吞吐量、數(shù)據(jù)處理能力�����,從而提高網(wǎng)絡(luò)的靈活性和可用性[9]。負(fù)載均衡有多種算法���,可以實(shí)現(xiàn)基于輪詢、連接數(shù)����、源IP和端口�、響應(yīng)時(shí)間的算法。負(fù)載均衡設(shè)備增加了應(yīng)用系統(tǒng)處理能力����,不法分子想要攻癱系統(tǒng)的難度將成倍增加�。
2.6日志審計(jì)與事后分析
日志審計(jì)與事后分析非常重要[10],必須將攔截和放行的網(wǎng)絡(luò)請(qǐng)求記錄下來����。一方面���,統(tǒng)計(jì)攻擊日志,分析網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)�����;另一方面���,記錄放行的流量�����,對(duì)各個(gè)防護(hù)環(huán)節(jié)進(jìn)行查漏�、補(bǔ)缺,優(yōu)化防護(hù)策略�����。日志審計(jì)越全面��,對(duì)優(yōu)化網(wǎng)絡(luò)��、提升系統(tǒng)服務(wù)水平的幫助越大�。日志審計(jì)的范圍包括:應(yīng)用系統(tǒng)日志����、數(shù)據(jù)庫日志����、操作系統(tǒng)日志����、網(wǎng)絡(luò)安全防護(hù)日志等���。還可將日志系統(tǒng)與網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)相結(jié)合,使分析結(jié)果更全面�����、更準(zhǔn)確����。日志存儲(chǔ)時(shí)間應(yīng)大于6個(gè)月。
3具體實(shí)例
根據(jù)以上的防護(hù)要求��,本文給出了一個(gè)內(nèi)外網(wǎng)融合并進(jìn)行防護(hù)的具體案例�。按照重要程度與功能將網(wǎng)絡(luò)劃分為多個(gè)區(qū)域�����,總體原則:首先是按照應(yīng)用系統(tǒng)劃分區(qū)域�����;其次是實(shí)施嚴(yán)格的邊界訪問控制�;最后是完善監(jiān)控�、審計(jì)等輔助能力建設(shè)。由此��,形成了包括三級(jí)域�、二級(jí)域���、安全管理域���、專線接入域、數(shù)據(jù)交換域�、互聯(lián)網(wǎng)服務(wù)接入域在內(nèi)的6個(gè)主要區(qū)域�����。將醫(yī)院最重要的HIS系統(tǒng)、集成平臺(tái)、數(shù)據(jù)倉庫等系統(tǒng)接入在三級(jí)域�,進(jìn)行最嚴(yán)格的保護(hù)�����;其他業(yè)務(wù)應(yīng)用系統(tǒng)放在二級(jí)域����,網(wǎng)站���、VPN�、線上業(yè)務(wù)等放在互聯(lián)網(wǎng)服務(wù)接入域����。邊界分別部署下一代防火墻���、Web應(yīng)用防火墻(webapplicationfirewal��,WAF)����。防火墻開啟入侵防御、防病毒等防護(hù)模塊�����,只放行應(yīng)用系統(tǒng)對(duì)外提供服務(wù)的端口流量��,對(duì)每個(gè)源IP的新建連接數(shù)、并發(fā)連接數(shù)�、半開連接數(shù)進(jìn)行限制�����。WAF針對(duì)應(yīng)用實(shí)際情況��,開啟對(duì)數(shù)據(jù)庫、中間件����、開發(fā)語言的防護(hù)規(guī)則。由于三級(jí)域系統(tǒng)業(yè)務(wù)量大��,采用多臺(tái)應(yīng)用服務(wù)器并行架構(gòu)����,通過旁掛負(fù)載均衡器實(shí)現(xiàn)應(yīng)用引流、負(fù)載分擔(dān)�����,保障應(yīng)用系統(tǒng)處理能力。將應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器用數(shù)據(jù)庫防火墻進(jìn)行隔離�、控制��,從SQL語句��、角色權(quán)限等角度對(duì)數(shù)據(jù)進(jìn)行保護(hù)��。數(shù)據(jù)交換域的主要功能為數(shù)據(jù)中轉(zhuǎn)與應(yīng)用����,邊界同樣部署下一代防火墻�����,開啟入侵防御���、防病毒等防護(hù)模塊����,對(duì)出入流量進(jìn)行嚴(yán)格管控。當(dāng)互聯(lián)網(wǎng)服務(wù)或線上醫(yī)療業(yè)務(wù)需要與HIS等核心系統(tǒng)產(chǎn)生數(shù)據(jù)請(qǐng)求時(shí)����,需要通過中轉(zhuǎn)服務(wù)器完成數(shù)據(jù)中轉(zhuǎn)功能���;當(dāng)來自低安全級(jí)別系統(tǒng)向HIS等核心系統(tǒng)請(qǐng)求服務(wù)時(shí),需要通過中轉(zhuǎn)服務(wù)器完成應(yīng)用功能�����。這樣,在保證系統(tǒng)互聯(lián)互通的同時(shí)���,解決了不同系統(tǒng)間的信任問題。安全管理區(qū)中放置防病毒軟件���、堡壘主機(jī)、日志審計(jì)�、態(tài)勢(shì)感知平臺(tái)�、認(rèn)證系統(tǒng)和監(jiān)控平臺(tái)等用于網(wǎng)絡(luò)管理的服務(wù)器,與業(yè)務(wù)系統(tǒng)隔離�,在邊界嚴(yán)格控制此區(qū)域系統(tǒng)進(jìn)出流量����。在互聯(lián)網(wǎng)出口處�����,設(shè)置有抗DDOS設(shè)備��、IPS���、防毒墻�����、下一代防火墻、負(fù)載均衡器�����,全方位對(duì)互聯(lián)網(wǎng)實(shí)時(shí)流量進(jìn)行過濾。國家衛(wèi)生健康委員會(huì)�、醫(yī)保中心、銀行等業(yè)務(wù)通過物理專線接入至專線接入域,通過前置機(jī)與防火墻對(duì)這類業(yè)務(wù)進(jìn)行訪問控制����?��?傊ㄟ^多種設(shè)備和全面的管理�����,形成一個(gè)邊界清晰��、管控嚴(yán)格��、監(jiān)控全面�����、審計(jì)詳實(shí)�����、可感知態(tài)勢(shì)的網(wǎng)絡(luò)系統(tǒng)。這樣�����,在快速開展互聯(lián)網(wǎng)線上業(yè)務(wù)的同時(shí),還能夠最大限度地進(jìn)行網(wǎng)絡(luò)防護(hù)���。
