序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁����,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)安全樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā)����,請盡情閱讀�����。
第1篇
1企業(yè)網(wǎng)絡(luò)安全需求分析
1.1網(wǎng)絡(luò)安全概念及特征
網(wǎng)絡(luò)安全是指為防范網(wǎng)絡(luò)攻擊、侵入�����、干擾�����、破壞、竊用及其他意外事故所采取的各種必要措施���,以確保信息完整、可用�����、無泄露�����,保持網(wǎng)絡(luò)穩(wěn)定�����、安全地運行��。其主要特征是保證網(wǎng)絡(luò)信息的完整性、可用性和機(jī)密性[2]�。
1.2企業(yè)網(wǎng)絡(luò)安全面臨的主要問題
企業(yè)網(wǎng)絡(luò)安全面臨的問題歸納如下:(1)網(wǎng)絡(luò)安全目標(biāo)不明確�。雖然《網(wǎng)絡(luò)安全法》已于2017年6月1日起施行���,但企業(yè)對網(wǎng)絡(luò)安全的重要性依然認(rèn)識不足,缺乏網(wǎng)絡(luò)安全規(guī)劃�,沒有明確的網(wǎng)絡(luò)安全目標(biāo)[3]��。(2)網(wǎng)絡(luò)安全意識不足�����。從企業(yè)的決策者到普通員工并沒有充分意識到網(wǎng)絡(luò)安全的重要性,企業(yè)網(wǎng)絡(luò)安全存在很大隱患����。(3)網(wǎng)絡(luò)安全設(shè)施不健全���。無論大型企業(yè),還是中小企業(yè)���,都存在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入不足的問題,以致設(shè)施陳舊��、不完整���,面對外部攻擊和各種漏洞很容易發(fā)生信息丟失��、泄露、竊用等現(xiàn)象��。(4)缺乏完整的網(wǎng)絡(luò)安全解決方案�����。企業(yè)網(wǎng)絡(luò)安全防護(hù)呈現(xiàn)碎片化、分散化等特點[4]����,缺乏系統(tǒng)性�、協(xié)同性���、靈活性,面對萬物互聯(lián)和更高級的威脅����,傳統(tǒng)防護(hù)手段捉襟見肘����、防不勝防[5]��。
1.3企業(yè)網(wǎng)絡(luò)安全需求
企業(yè)因網(wǎng)絡(luò)安全需要而產(chǎn)生的要求即為企業(yè)網(wǎng)絡(luò)安全需求,這是由企業(yè)內(nèi)部網(wǎng)絡(luò)因素與外部網(wǎng)絡(luò)形勢共同決定的�,內(nèi)外都不會一成不變���,所以企業(yè)網(wǎng)絡(luò)安全需求是一個動態(tài)過程���,具有時效性�����?����;诖耍獪?zhǔn)確把握企業(yè)網(wǎng)絡(luò)安全需求��,必須對企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行調(diào)查分析,一般而言�,企業(yè)網(wǎng)絡(luò)安全主要包括內(nèi)網(wǎng)安全���、邊界安全及文件傳輸安全等方面[6],具體體現(xiàn)在以下幾個方面:(1)網(wǎng)絡(luò)安全策略需求。安全策略的有效性����、完整性和實用性是企業(yè)網(wǎng)絡(luò)安全的一個重要需求。目前的企業(yè)網(wǎng)絡(luò)安全策略文檔過于簡單���,而且沒有形成完整的體系,對企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)性不足��。(2)網(wǎng)絡(luò)安全組織需求。企業(yè)應(yīng)建立結(jié)構(gòu)完整�����、職能清晰的網(wǎng)絡(luò)安全組織機(jī)構(gòu)����,負(fù)責(zé)企業(yè)網(wǎng)絡(luò)安全策略制定���、網(wǎng)絡(luò)安全培訓(xùn)、網(wǎng)絡(luò)安全運行管理等�����。(3)網(wǎng)絡(luò)安全運行管理需求。企業(yè)應(yīng)建立科學(xué)高效的運行管理體系����,采用實用的運行管理方法���,對服務(wù)器安全、網(wǎng)絡(luò)訪問可控性��、網(wǎng)絡(luò)監(jiān)控等進(jìn)行管理���。
2企業(yè)網(wǎng)絡(luò)安全解決方案
2.1企業(yè)網(wǎng)絡(luò)安全方案設(shè)計原則
網(wǎng)絡(luò)安全方案的設(shè)計原則旨在指導(dǎo)企業(yè)科學(xué)合理地設(shè)計網(wǎng)絡(luò)安全方案���,避免失于偏頗和“詞不達(dá)意”�����,設(shè)計原則可以有很多����,筆者認(rèn)為最重要的原則如下:(1)多重防護(hù)原則���。突破單一防護(hù)機(jī)制要比突破多重防護(hù)機(jī)制容易得多�。(2)簡單適用原則�����。過于復(fù)雜的方案漏洞多�,本身就不安全�����。(3)系統(tǒng)性原則��。企業(yè)網(wǎng)絡(luò)安全面對的威脅是多方面的,只專注于一點無法保障網(wǎng)絡(luò)安全����。(4)需求����、風(fēng)險與代價平衡原則���。沒有任何方案可以做到絕對安全,追求過高的安全性要付出巨大代價���,所以要學(xué)會取舍,平衡風(fēng)險與代價�����。(5)可維護(hù)性原則。沒有任何系統(tǒng)可以做到無懈可擊����,要做到能隨時調(diào)整、升級���、擴(kuò)充。(6)技術(shù)與管理相結(jié)合原則�。在改善安全技術(shù)的同時也要加強(qiáng)管理�,減少管理漏洞�����,對于復(fù)雜的安全形勢�����,要多做預(yù)案���,提前防范突發(fā)事件���。
2.2企業(yè)網(wǎng)絡(luò)安全解決方案
2.2.1網(wǎng)絡(luò)分域防護(hù)方案網(wǎng)絡(luò)分域防護(hù)的原則是落實安全域的防護(hù)策略�、制定訪問控制策略���、檢查網(wǎng)絡(luò)邊界��、分級防護(hù)等���。從企業(yè)網(wǎng)絡(luò)安全需求及特點出發(fā)���,將網(wǎng)絡(luò)組織架構(gòu)從邏輯上分為互聯(lián)網(wǎng)域�����、服務(wù)區(qū)域����、外聯(lián)域和內(nèi)網(wǎng)核心區(qū)域�,如圖1所示�����?����;ヂ?lián)網(wǎng)域接入互聯(lián)網(wǎng)服務(wù)��,服務(wù)區(qū)域即企業(yè)服務(wù)器放置區(qū)域,外聯(lián)域接入分公司區(qū)域�,內(nèi)網(wǎng)核心區(qū)域是指企業(yè)內(nèi)部網(wǎng)絡(luò)互聯(lián)的核心設(shè)備區(qū)域�。如此劃分的目的是保證具有相同防護(hù)需求的網(wǎng)絡(luò)及系統(tǒng)處于同一安全子域內(nèi)�����,便于各個安全子域內(nèi)部署相應(yīng)等級的防護(hù)策略。2.2.2部署安全網(wǎng)關(guān)方案在外網(wǎng)與內(nèi)網(wǎng)之間設(shè)置安全網(wǎng)關(guān)(如圖1所示)�,作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理屏障��,以保護(hù)內(nèi)網(wǎng)安全�。安全網(wǎng)關(guān)不是單一的防火墻����,而是綜合了防病毒����、入侵檢測和防火墻的一體化安全設(shè)備��。該設(shè)備運用統(tǒng)一威脅管理(unifiedthreatmanagement,UTM)概念,將多種安全特性的防護(hù)策略整合到統(tǒng)一的管理平臺上�,按需開啟多種功能����,其由硬件�����、軟件�����、網(wǎng)絡(luò)技術(shù)組成���。UTM在硬件上可以采用X86���、ASIC、NP架構(gòu)中的一種�,X86架構(gòu)適于百兆網(wǎng)絡(luò)�����,若是千兆網(wǎng)絡(luò)應(yīng)采用ASIC架構(gòu)或NP架構(gòu)。在升級��、維護(hù)及開發(fā)周期方面�����,NP架構(gòu)比ASIC架構(gòu)更有優(yōu)勢��。UTM軟件上可以集成防病毒����、入侵檢測�����、內(nèi)容過濾、防垃圾郵件�、流量管理等多種功能��,通過模式匹配實現(xiàn)特征庫統(tǒng)一和效率提升��。UTM管理結(jié)構(gòu)基于管理分層、功能分級思想�����,包含集中管理與單機(jī)管理的雙重管理機(jī)制���,實現(xiàn)功能設(shè)置管理和數(shù)據(jù)分析能力����。
2.2.3部署IPS與IDS方案IPS是入侵防御系統(tǒng)(intrusionpreventionsystem)的英文縮寫���,用于監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的數(shù)據(jù)傳輸,發(fā)現(xiàn)異常數(shù)據(jù)可以即時中斷傳輸或進(jìn)行隔離���,先于攻擊達(dá)成實現(xiàn)防護(hù),與防火墻功能上互補(bǔ)���,并支持串行接入模式�����,采用基于策略的防護(hù)方式����,用戶可以選擇最適合策略達(dá)到最佳防護(hù)效果��。IPS部署在服務(wù)區(qū)域與內(nèi)網(wǎng)核心區(qū)域之間,或核心交換機(jī)與內(nèi)部服務(wù)器之間(如圖1所示)���,可實時監(jiān)測外部數(shù)據(jù)向內(nèi)部服務(wù)器的傳輸過程,發(fā)現(xiàn)入侵行為即報警�����、阻斷,同時還能精確阻擊SQL注入攻擊����。IDS是入侵檢測系統(tǒng)(intrusiondetectionsystem)的英文縮寫����,能對網(wǎng)絡(luò)數(shù)據(jù)傳輸實時監(jiān)視��,發(fā)現(xiàn)可疑報警或采取其他主動反應(yīng)措施,屬于監(jiān)聽設(shè)備,其安全策略包括異常入侵檢測����、誤用入侵檢測兩種方式����,可部署在核心交換機(jī)上�,對進(jìn)出內(nèi)網(wǎng)與內(nèi)部服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)測�,如圖1所示�。
2.2.4部署漏洞掃描系統(tǒng)方案漏洞掃描是基于漏洞數(shù)據(jù)庫�,通過掃描檢測遠(yuǎn)程系統(tǒng)或本地系統(tǒng)漏洞行為���,與防火墻��、IDS配合以提高網(wǎng)絡(luò)安全性����,掃描對象包括網(wǎng)絡(luò)��、主機(jī)和數(shù)據(jù)庫����。漏洞掃描運用的技術(shù)有主機(jī)在線掃描、端口掃描�����、操作系統(tǒng)識別、漏洞監(jiān)測數(shù)據(jù)采集��、智能端口識別����、多重服務(wù)檢測、系統(tǒng)滲透掃描等����。漏洞掃描系統(tǒng)部署方式包括獨立式部署和分布式部署�����。前者適于比較簡單的網(wǎng)絡(luò)結(jié)構(gòu)��,例如電子商務(wù)、中小企業(yè)等����;后者適于復(fù)雜�����、分布點多、數(shù)據(jù)相對分散的網(wǎng)絡(luò)結(jié)構(gòu)���,例如政府、電力行業(yè)����、金融行業(yè)�、電信運營商等���。圖1為采用獨立式部署的漏洞掃描系統(tǒng)方案。
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全����;企業(yè)網(wǎng)絡(luò)系統(tǒng)�����;黑客攻擊;病毒攻擊���;采取措施
1當(dāng)前網(wǎng)絡(luò)存在的主要安全威脅因素
1.1安全漏洞�����。只要有漏洞�����,應(yīng)該就存在漏洞�����,幾乎每天都有新的漏洞被發(fā)現(xiàn),程序設(shè)計員在修補(bǔ)已知漏洞時�����,又可能產(chǎn)生新的漏洞。現(xiàn)在各類的操作系統(tǒng)和應(yīng)用軟件都會有不同程度的漏洞存在�����,雖然操作系統(tǒng)的無口令入口為系統(tǒng)開發(fā)人員帶來了便捷�����,但是它也成為黑客進(jìn)入的通道。并且操作系統(tǒng)可能還存在一些隱蔽通道�����,給黑客以可乘之機(jī)��。同時,這些操作系統(tǒng)中都包括了各種通用的服務(wù)供應(yīng)戶使用��,而它具有一定的專屬性��,假如安裝時沒有關(guān)閉一些不相關(guān)的服務(wù),就可能成為黑客進(jìn)入的渠道���。對于一些不懷好意的人����,他們都有可能利用這些漏洞向企業(yè)網(wǎng)絡(luò)發(fā)起攻擊��,從而使某個甚至整個網(wǎng)絡(luò)喪失功能,威脅到企業(yè)的網(wǎng)絡(luò)安全�����。1.2病毒感染��。計算機(jī)病毒就像人體感冒發(fā)燒,也會出現(xiàn)相應(yīng)的身體排斥的現(xiàn)象����。在當(dāng)代社會中�,人們通過下載帶有病毒的軟件���,讓自己的電腦在無形中感染病毒,或者在沒有查殺病毒的前提下通過U盤實行資源共享��,同樣也會造成病毒感染�??梢哉f�����,有計算機(jī)的地方��,就有出現(xiàn)計算機(jī)病毒的可能性���。它隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展,現(xiàn)在的計算機(jī)病毒更具有隱蔽性���,其破壞性更大���,傳播速度更快。當(dāng)然����,病毒的“毒性”不同��,所產(chǎn)生的負(fù)面影響也就不同。輕者只會出現(xiàn)警告信息����,重者則會破壞或危及個人計算機(jī)乃至整個企業(yè)網(wǎng)絡(luò)的安全�。按其種類可分為一下幾種:木馬病毒���,蠕蟲病毒,腳本病毒�,間諜病毒��。病毒往往在計算機(jī)的后臺強(qiáng)制運行,讓人防不勝防����。1.3黑客攻擊����。網(wǎng)絡(luò)作為一個開放式的資源共享平臺��,一些重要的企業(yè)機(jī)密和很高商業(yè)價值的文件成為黑客的攻擊對象�,它往往決定著一些企業(yè)的生存命脈��,競爭對手往往會盯住了這部分商機(jī),通過黑客的力量進(jìn)行網(wǎng)絡(luò)攻擊得到資源���。非法入侵企業(yè)網(wǎng)絡(luò)系統(tǒng),不管動機(jī)是什么�����,對企業(yè)的網(wǎng)絡(luò)安全危害都是非常大的。黑客故意篡改網(wǎng)絡(luò)信息����,利用企業(yè)機(jī)密文件進(jìn)行不法交易和冒充,干擾破壞數(shù)據(jù)加密過程中的信息互通���,這些行為嚴(yán)重影響網(wǎng)絡(luò)安全的行為�,成為企業(yè)信息化���、網(wǎng)絡(luò)化發(fā)展的最大阻礙。1.4內(nèi)部竊取和破壞����。內(nèi)部人員對網(wǎng)絡(luò)系統(tǒng)可能會造成以下威脅:內(nèi)部人員有意或無意泄密��,更改信息記錄����;內(nèi)部非授權(quán)人員有意或無意偷盜機(jī)密文件���,更改網(wǎng)絡(luò)配置和記錄信息���;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。1.5其他威脅���。對網(wǎng)絡(luò)系統(tǒng)的的威脅還包括電磁泄漏、設(shè)備失效��、線路阻斷�、停電����、操作失誤�����。
2計算機(jī)網(wǎng)絡(luò)安全的措施
2.1安裝防火墻。防火墻作為計算機(jī)網(wǎng)絡(luò)安全技術(shù)��,已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中�����。防火墻技術(shù)可以從根本上防范和控制計算機(jī)病毒。現(xiàn)階段��,防火墻可分為兩種形式:應(yīng)用級防火墻和包過濾防火墻。應(yīng)用性防火墻可以保護(hù)服務(wù)器的安全�,通過掃描服務(wù)器終端的數(shù)據(jù)���,發(fā)現(xiàn)異常數(shù)據(jù)對計算機(jī)的攻擊后�����,及時斷開企業(yè)網(wǎng)與服務(wù)器的聯(lián)系��,來保護(hù)企業(yè)網(wǎng)不受病毒的侵害。包過濾防火墻通過及時過濾路由器傳輸給計算機(jī)的數(shù)據(jù)��,阻擋病毒進(jìn)入計算機(jī)����,并通知計算機(jī)用戶對病毒進(jìn)行攔截��,保護(hù)企業(yè)網(wǎng)的安全。2.2數(shù)據(jù)加密�����。數(shù)據(jù)加密技術(shù)是保證企業(yè)網(wǎng)絡(luò)安全的另一計算機(jī)安全技術(shù)�。該項技術(shù)可以對企業(yè)網(wǎng)內(nèi)的數(shù)據(jù)信息進(jìn)行加密�����,在數(shù)據(jù)傳輸和接收時必須要輸入正確的密碼,從技術(shù)上提高了企業(yè)數(shù)據(jù)信息的安全�。所以�,企業(yè)如果想要保證和提高其數(shù)據(jù)信息的安全,必須在企業(yè)網(wǎng)中加強(qiáng)對數(shù)據(jù)加密技術(shù)的使用�,數(shù)據(jù)加密通常會用到以下兩種算法���,一是對稱加密算法,即保持加密方法和解密方法的一致����;二是非對稱加密算法����,即加密方法和解密方法的不一致性����,以上兩種加密方法已經(jīng)廣泛應(yīng)用到企業(yè)當(dāng)中2.3病毒查殺�����。及時進(jìn)行病毒查殺也是提高企業(yè)網(wǎng)的網(wǎng)絡(luò)安全的另一方法。計算機(jī)病毒對計算及終端設(shè)備和計算機(jī)網(wǎng)絡(luò)的危害極大���,可能會造成網(wǎng)頁腳本病毒����、計算機(jī)數(shù)據(jù)信息被盜或丟失��、計算機(jī)系統(tǒng)癱瘓等����,使用病毒查殺軟件可以及時檢測和更新計算機(jī)的操作系統(tǒng)�����,修補(bǔ)系統(tǒng)漏洞����、對網(wǎng)頁病毒進(jìn)行攔截����,更新病毒數(shù)據(jù)庫信息���,對下載的文件等進(jìn)行病毒查殺后在進(jìn)行查看和使用��,以防止計算機(jī)病毒對計算及終端設(shè)備的損害2.4入侵檢測�����。入侵檢測對企業(yè)網(wǎng)的安全有非常重要的意義,它會在不影響企業(yè)網(wǎng)絡(luò)正常運行的情況下��,對網(wǎng)絡(luò)運行的情況進(jìn)行檢測�����,入侵檢測不僅可以收集計算機(jī)相關(guān)的數(shù)據(jù)信息�,而且還可以對計算機(jī)內(nèi)可能存在的侵害進(jìn)行自動尋找��,在計算機(jī)受到侵害時����,它會對計算機(jī)用戶發(fā)出警報��,并切斷入侵的途徑,對其進(jìn)行攔截�,所以��,入侵檢測技術(shù)可以加強(qiáng)計算機(jī)的抗攻擊性��。入侵檢測技術(shù)包括誤用檢測和異常檢測���。誤用檢測誤報率低���,響應(yīng)快�,而異常檢測的誤報率高�,檢測時需要全盤掃描計算機(jī)���,兩種入侵檢測均需要較長的檢測時間。2.5企業(yè)內(nèi)部加強(qiáng)網(wǎng)絡(luò)信息安全的規(guī)章制度的建立��。企業(yè)根據(jù)其實際情況,遵照相關(guān)的規(guī)定�����,制定出符合本公司的全面規(guī)范�,切實可行的安全管理制度��。例如:計算機(jī)日常使用規(guī)范、崗位責(zé)任制度�����、責(zé)任追究制度�、崗位責(zé)任制度等��,管理制度中應(yīng)明確描述出所有信息技術(shù)人員以及信息系統(tǒng)使用人員的網(wǎng)絡(luò)信息安全職責(zé)和信息系統(tǒng)的使用規(guī)范,規(guī)范網(wǎng)絡(luò)信息系統(tǒng)規(guī)范流程����,減少人為操作失誤�����。通過規(guī)章制度的建設(shè)����,以制度管人����,靠制度管事,為企業(yè)網(wǎng)絡(luò)安全建立強(qiáng)有力的依據(jù)和有效的保障���。2.6加強(qiáng)網(wǎng)絡(luò)安全考核力度。企業(yè)不僅建立網(wǎng)絡(luò)信息安全的規(guī)章制度��,還應(yīng)實行網(wǎng)絡(luò)信息安全考核制度�,采取適合企業(yè)自身的考核方式�����,使規(guī)章制度的制定落到實處��,而不是形同虛設(shè)���。把網(wǎng)絡(luò)信息安全作為企業(yè)員工年終考核的重要指標(biāo)之一����。在檢查到有違反其相關(guān)制度或網(wǎng)絡(luò)安全事件發(fā)生后,負(fù)責(zé)網(wǎng)絡(luò)信息安全的監(jiān)督部門應(yīng)對相關(guān)事件的發(fā)生原因�����,嚴(yán)重程度��,損失�����,性質(zhì)等進(jìn)行調(diào)查確認(rèn),形成分析評價資料���,對其責(zé)任人進(jìn)行相應(yīng)的處罰2.7環(huán)境、設(shè)備及介質(zhì)安全�����。檢測機(jī)房及相關(guān)設(shè)備是否安全;觀察環(huán)境與人員是否安全����,預(yù)防自然災(zāi)害���。考慮計算機(jī)的防盜�����、防毀��、防電磁泄漏發(fā)射、抗電磁干擾及電源保護(hù)等��。防止媒體自身的防盜���、防毀�、防霉�,以及數(shù)據(jù)的盜取����、破壞或非法使用�。
3結(jié)語
企業(yè)信息化建設(shè)已經(jīng)成為這個時代不可或缺的產(chǎn)物����,為各個企業(yè)帶來了極大的便利��,它是企業(yè)發(fā)展的必要條件���,也是企業(yè)發(fā)展的必要前提����。所以在市場經(jīng)濟(jì)發(fā)展的今天�����,企業(yè)想要在激烈的市場競爭中取得優(yōu)勢�����,就必須大力發(fā)展其網(wǎng)絡(luò)文化,當(dāng)然在發(fā)展企業(yè)網(wǎng)絡(luò)的同時�����,還應(yīng)加強(qiáng)對網(wǎng)絡(luò)安全的管理,提高企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性�����,以提高企業(yè)的效益��。
參考文獻(xiàn)
[1]韓加軍.企事業(yè)及政府機(jī)關(guān)單位網(wǎng)絡(luò)安全解決方案[J].科技風(fēng)�,2013
[2]李長英.企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃設(shè)計與實現(xiàn)[D].吉林大學(xué)���,2013
[3]楊瑋紅.計算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)維護(hù)中的應(yīng)用初探[J].神州,2013(31):17
第3篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò)安全�;VNP�;網(wǎng)絡(luò)防火墻����;網(wǎng)絡(luò)攻擊
引言
由于Internet的迅速發(fā)展和普及�����,接入Internet的組織����、企業(yè)和機(jī)構(gòu)等的不斷增加�����,這也增加了來自互聯(lián)網(wǎng)的不安全因素�����。網(wǎng)絡(luò)是一個虛擬的社會,在很多方面與真實的世界有驚人的相似�。在虛擬社會中���,也存在有各種各樣的沖突和矛盾��,同樣網(wǎng)絡(luò)也面臨著如病毒、垃圾郵件和不良Web內(nèi)容等。對網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在:非授權(quán)訪問�,冒充合法用戶�,破壞數(shù)據(jù)完整性�,干擾系統(tǒng)正常運行�,利用網(wǎng)絡(luò)傳播病毒�,線路竊聽等方面�。據(jù)國際計算機(jī)安全協(xié)會(簡稱ICSA)調(diào)查���,在全球有99%以上的病毒是通過POP3��、SMTP和HTTP協(xié)議傳播的���。面對如今Internet網(wǎng)上眾多的不安全因素,傳統(tǒng)的功能單一網(wǎng)絡(luò)安全產(chǎn)品已經(jīng)不能滿足企業(yè)的安全需求了�,企業(yè)需要一個整體式的網(wǎng)絡(luò)方案��。
1 網(wǎng)絡(luò)不安全因素分析
網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)����、網(wǎng)絡(luò)技術(shù)�����、通信技術(shù)、密碼技術(shù)�、信息安全技術(shù)���、應(yīng)用數(shù)學(xué)、數(shù)論���、信息論等多種學(xué)科的綜合性學(xué)科。在網(wǎng)絡(luò)攻擊類型中看到����,攻擊者的攻擊對象有兩類�����,一類傳輸中的網(wǎng)絡(luò)數(shù)據(jù)�����;另一類是系統(tǒng)�。針對系統(tǒng)的攻擊又可以進(jìn)一步分為兩種:一種以獲取或者更改系統(tǒng)的數(shù)據(jù)為目的���,另一種是DoS(Denial of Service)攻擊����,也就是讓網(wǎng)絡(luò)中的重要系統(tǒng)停止服務(wù)��。針對不同的攻擊應(yīng)該采用相應(yīng)的網(wǎng)絡(luò)技術(shù)來予以防范。
攻擊傳輸中的數(shù)據(jù)有多個目的�,其一為獲得數(shù)據(jù)內(nèi)容�����;其二為更改數(shù)據(jù)���,破壞數(shù)據(jù)的完整性�����;其三為分析數(shù)據(jù)流���。保護(hù)傳輸中數(shù)據(jù)的機(jī)密性和完整性的方法有多種��,可以在應(yīng)用層(或者會話層傳輸層)上實現(xiàn)�����,也可以在網(wǎng)絡(luò)層上實現(xiàn)或者物理(數(shù)據(jù))鏈路層上實現(xiàn)�。下面是一個示意圖:
圖1 網(wǎng)絡(luò)傳輸中的攻擊路線
2 企業(yè)網(wǎng)絡(luò)的基本應(yīng)用
企業(yè)不斷發(fā)展的同時其網(wǎng)絡(luò)規(guī)模也在不斷的擴(kuò)大,由于其自身業(yè)務(wù)的需要�����,在不同的地區(qū)建有分公司或分支機(jī)構(gòu)����,本地龐大的Intranet和分布在全國各地的Internet之間互相連接形成一個更加龐大的網(wǎng)絡(luò)����。這種網(wǎng)絡(luò)應(yīng)用系統(tǒng)�����,主要包含WEB�、E-mail����、OA��、MIS�、財務(wù)系統(tǒng)����、人事系統(tǒng)等����。而且隨著企業(yè)的發(fā)展�����,網(wǎng)絡(luò)體系結(jié)構(gòu)也會變得越來越復(fù)雜,應(yīng)用系統(tǒng)也會越來越多����。從整個網(wǎng)絡(luò)系統(tǒng)的管理上來看���,既有內(nèi)部用戶,也有外部用戶���。怎么處理總部與分支機(jī)構(gòu)、移動辦公人員的信息共享安全��,既要保證信息的及時共享,又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題�����。
3 VNP的設(shè)置與應(yīng)用
3.1 VNP的應(yīng)用
由于大部分企業(yè)中心內(nèi)部網(wǎng)絡(luò)都是這種情況:存在兩套網(wǎng)絡(luò)系統(tǒng),其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)�,為本行業(yè)��、本系統(tǒng)的內(nèi)部辦公自動化和業(yè)務(wù)處理系統(tǒng)服務(wù)�;另一套是與INTERNET相連�,通過ADSL接入,并與企業(yè)系統(tǒng)內(nèi)部的上���、下級機(jī)構(gòu)網(wǎng)絡(luò)相連。那么如何在這種模式下進(jìn)行VPN的設(shè)置是網(wǎng)絡(luò)安全保障首先要解決的問題�。這種模式下INTERNET缺乏有效的安全保護(hù)���,如果不采取相應(yīng)的安全措施,易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改�,產(chǎn)生嚴(yán)重的后果�����。可在每級管理域內(nèi)設(shè)置一套VPN設(shè)備�����,由VPN設(shè)備實現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Wo(hù)。每一級的設(shè)置及管理方法相同。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證服務(wù)器(VPN-CA)���,在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備���,由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。
3.2 ISA Sever及其與VNP的集成
圖 2 VPN與ISA Server集成
ISA Server的企業(yè)策略是在一個組織的總部級別進(jìn)行配置的����,而且可以應(yīng)用到所有陣列或任一陣列中�����。陣列策略是在分支級別進(jìn)行配置,而且可以繼承企業(yè)策略���。對任何給定的陣列來說�����,ISA Server允許應(yīng)用企業(yè)策略���、陣列策略或者同時應(yīng)用兩者���。在這里可以通過集成ISA Server和VPN來實現(xiàn)對企業(yè)網(wǎng)絡(luò)的安全保障。本地網(wǎng)絡(luò)上的計算機(jī)要和遠(yuǎn)程網(wǎng)絡(luò)上的計算機(jī)通過ISA Server計算機(jī)進(jìn)行通信時��,數(shù)據(jù)封裝好后�,通過一個VPN信道進(jìn)行發(fā)送����。計算機(jī)使用PPTP或者L2TP來管理隧道和封裝專用數(shù)據(jù)�。通過隧道傳送的數(shù)據(jù)也必須加密后才能使用VPN連接����。
4 建立病毒防護(hù)體系
對于一個網(wǎng)絡(luò)系統(tǒng)而言,絕不能簡單的使用單機(jī)版的病毒防治軟件��,必須有針對性地選擇性能優(yōu)秀的專業(yè)級網(wǎng)絡(luò)殺毒軟件����,以建立實時的�、全網(wǎng)段的病毒防護(hù)體系���,是網(wǎng)絡(luò)系統(tǒng)免遭病毒侵?jǐn)_的重要保證���,用戶可以根據(jù)本網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來選擇合適的產(chǎn)品,及時升級殺毒軟件的病毒庫���,并在相關(guān)的病毒防治網(wǎng)站上及時下載特定的防殺病毒工具查殺頑固性病毒�,這樣才能有較好病毒防范能力��。
基本的技術(shù)包括網(wǎng)絡(luò)安全技術(shù)��,比如身份驗證�、訪問控制�����、安全協(xié)議括:行為監(jiān)視����、變化檢測和掃描等等�。需要對計算機(jī)進(jìn)行好防毒的工作�����,應(yīng)用瑞星��、卡巴等殺毒軟件來實時地監(jiān)控����。此外��,一臺接入網(wǎng)絡(luò)的計算機(jī)之所以能夠被蠕蟲病毒侵入���,是因為操作系統(tǒng)或者應(yīng)用軟件存在漏洞�。這些漏洞就像是墻上的一個個大洞�,盡管大門緊鎖�����,但是小偷還是可以輕而易舉地從這些大洞爬進(jìn)房間�����。所以我們需要將這些漏洞補(bǔ)上“補(bǔ)丁”。
防火墻是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備�����。選擇一款功能強(qiáng)大的防火墻對我們的企業(yè)網(wǎng)絡(luò)安全保障有著重要意義。比如瑞星可以根據(jù)用戶的不同需要��,具備針對HTTP��、FTP����、SMTP和POP3協(xié)議內(nèi)容檢查��、清除病毒的能力����,同時通過實施安全策略可以在網(wǎng)絡(luò)環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強(qiáng)大的防火墻體系���,不但可以保護(hù)內(nèi)部資源不受外部網(wǎng)絡(luò)的侵犯�����,同時可以阻止內(nèi)部用戶對外部不良資源的濫用���。
參考文獻(xiàn):
[1]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社����,2004;
第4篇
關(guān)鍵詞信息安全�����;PKI����;CA�;VPN
1引言
隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡(luò)的計算機(jī)應(yīng)用也在迅速增加����,基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟(jì)效益��,但隨之而來的安全問題也在困擾著用戶,在2003年后�,木馬�����、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化����。這都對企業(yè)信息安全提出了更高的要求��。
隨著信息化技術(shù)的飛速發(fā)展�,許多有遠(yuǎn)見的企業(yè)都認(rèn)識到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運營平臺將極大地提升企業(yè)的核心競爭力�����,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場�,企業(yè)就面臨著如何提高自身核心競爭力的問題���,而其內(nèi)部的管理問題、效率問題�����、考核問題����、信息傳遞問題����、信息安全問題等��,又時刻在制約著自己�,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競爭力的重要手段��。
在下面的描述中�����,以某公司為例進(jìn)行說明����。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機(jī)網(wǎng)絡(luò)
某公司現(xiàn)有計算機(jī)500余臺�����,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃�,通過防火墻與外網(wǎng)互聯(lián)�����。在內(nèi)部網(wǎng)絡(luò)中,各計算機(jī)在同一網(wǎng)段��,通過交換機(jī)連接。
圖1
2)應(yīng)用系統(tǒng)
經(jīng)過多年的積累�,某公司的計算機(jī)應(yīng)用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié)��,包括各種應(yīng)用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善����,計算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式��。
2.2信息安全現(xiàn)狀
為保障計算機(jī)網(wǎng)絡(luò)的安全����,某公司實施了計算機(jī)網(wǎng)絡(luò)安全項目��,基于當(dāng)時對信息安全的認(rèn)識和安全產(chǎn)品的狀況���,信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全,部署了防火墻���、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品�����,極大地提升了公司計算機(jī)網(wǎng)絡(luò)的安全性���,這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用��。
3風(fēng)險與需求分析
3.1風(fēng)險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)�����,計算機(jī)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的依賴性增強(qiáng)。計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�,網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜��。計算機(jī)網(wǎng)絡(luò)和計算機(jī)應(yīng)用系統(tǒng)的正常運行對網(wǎng)絡(luò)安全提出了更高的要求���。
(2)計算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)�����,這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強(qiáng)各計算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證���,加強(qiáng)對數(shù)據(jù)的備份,并運用技術(shù)手段����,提高數(shù)據(jù)的機(jī)密性�、完整性和可用性��。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機(jī)技術(shù)的發(fā)展�����、安全威脅種類的增加����,某公司的信息安全無論在總體構(gòu)成���、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷����,具體表現(xiàn)在:
(1)系統(tǒng)性不強(qiáng)����,安全防護(hù)僅限于網(wǎng)絡(luò)安全���,系統(tǒng)���、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險。
目前實施的安全方案是基于當(dāng)時的認(rèn)識進(jìn)行的�,主要工作集中于網(wǎng)絡(luò)安全�,對于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段�����。如缺乏有效的身份認(rèn)證,對服務(wù)器�、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認(rèn)證階段�,很容易被冒充����;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范�����,容易造成重要數(shù)據(jù)的丟失和泄露。
當(dāng)時的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念���,是基于這樣一種信任模型的����,即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的���。在這種信任模型下����,假設(shè)所有可能的對信息安全造成威脅的攻擊者都來自于組織外部�,并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。
針對外部網(wǎng)絡(luò)安全���,人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的�。在這種信任模型中����,假設(shè)所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅��,比如內(nèi)部人員可以直接對重要的服務(wù)器進(jìn)行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器���,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實的狀況�����。
美國聯(lián)邦調(diào)查局(FBI)和計算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部�����,這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞�����。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關(guān)的規(guī)章制度�、技術(shù)規(guī)范��,也沒有選用有關(guān)的安全服務(wù)�。不能充分發(fā)揮安全產(chǎn)品的效能��。
(2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢�����,存在一定的網(wǎng)絡(luò)安全隱患���,產(chǎn)品亟待升級�����。
已購買的網(wǎng)絡(luò)安全產(chǎn)品中��,有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求���。如為進(jìn)一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制���,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸���。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求�����,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險評估的基礎(chǔ)上��,這是信息化建設(shè)的內(nèi)在要求��,系統(tǒng)主管部門和運營�����、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險評估工作�����。只有在建設(shè)的初期,在規(guī)劃的過程中����,就運用風(fēng)險評估���、風(fēng)險管理的手段����,用戶才可以避免重復(fù)建設(shè)和投資的浪費。
3.2需求分析
如前所述�,某公司信息系統(tǒng)存在較大的風(fēng)險����,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機(jī)網(wǎng)絡(luò)��,也需要做好系統(tǒng)、應(yīng)用���、數(shù)據(jù)各方面的安全防護(hù)����。為此����,要加強(qiáng)安全防護(hù)的整體布局��,擴(kuò)大安全防護(hù)的覆蓋面����,增加新的安全防護(hù)手段�����。
(2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加,以及新的攻擊手段的不斷出現(xiàn)���,使某公司計算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)����,原有的產(chǎn)品進(jìn)行升級或重新部署��。
(3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對安全管理提出了更高的要求�,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)��,使安全防范的各項工作都能夠有序�����、規(guī)范地進(jìn)行�。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務(wù)����,做好事前���、事中和事后的各項防范工作����,應(yīng)對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題�。
4設(shè)計原則
安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃�、統(tǒng)籌安排����、統(tǒng)一標(biāo)準(zhǔn)、分步實施”的原則進(jìn)行�����,避免重復(fù)投入、重復(fù)建設(shè)�����,充分考慮整體和局部的利益����。
4.1標(biāo)準(zhǔn)化原則
本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定,使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化����、規(guī)范化的要求���,為拓展、升級和集中統(tǒng)一打好基礎(chǔ)�。
4.2系統(tǒng)化原則
信息安全是一個復(fù)雜的系統(tǒng)工程�,從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮��,既注重技術(shù)的實現(xiàn),又要加大管理的力度��,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風(fēng)險原則
安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)�、系統(tǒng)��、應(yīng)用等方方面面,任何改造�、添加甚至移動����,都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)����、穩(wěn)定運行,這是安全技術(shù)體系建設(shè)必須面對的最大風(fēng)險���。本規(guī)劃特別考慮規(guī)避運行風(fēng)險問題�����,在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時�����,優(yōu)先保證透明化,從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)����,設(shè)計并實現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。
4.4保護(hù)投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力����,某公司分期�����、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)��,配置了相應(yīng)的設(shè)施�。因此,本方案依據(jù)保護(hù)信息安全投資效益的基本原則����,在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時��,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法��,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能��,而不是排斥或拋棄�。
4.5多重保護(hù)原則
任何安全措施都不是絕對安全的����,都可能被攻破��。但是建立一個多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充����,當(dāng)一層保護(hù)被攻破時��,其它層保護(hù)仍可保護(hù)信息的安全。
4.6分步實施原則
由于某公司應(yīng)用擴(kuò)展范圍廣闊���,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,系統(tǒng)脆弱性也會不斷增加����。一勞永逸地解決安全問題是不現(xiàn)實的����。針對安全體系的特性����,尋求安全、風(fēng)險��、開銷的平衡�,采取“統(tǒng)一規(guī)劃�、分步實施”的原則�����。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支����。
5設(shè)計思路及安全產(chǎn)品的選擇和部署
信息安全防范應(yīng)做整體的考慮���,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡(luò)����、系統(tǒng)����、應(yīng)用�����、數(shù)據(jù)做全面的防范�����。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程���,事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備����,安全管理應(yīng)貫穿安全防范活動的始終,如圖2所示���。
圖2網(wǎng)絡(luò)與信息安全防范體系模型
信息安全又是相對的��,需要在風(fēng)險�����、安全和投入之間做出平衡�,通過對某公司信息化和信息安全現(xiàn)狀的分析���,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機(jī)專業(yè)公司接觸��,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施��,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺����,都必須建立在一個安全可信的網(wǎng)絡(luò)之上���。目前���,解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure�,公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系�����,它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題�,為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障����,向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)��。通過建設(shè)證書認(rèn)證中心系統(tǒng),建立一個完善的網(wǎng)絡(luò)安全認(rèn)證平臺���,能夠通過這個安全平臺實現(xiàn)以下目標(biāo):
身份認(rèn)證(Authentication):確認(rèn)通信雙方的身份����,要求通信雙方的身份不能被假冒或偽裝�,在此體系中通過數(shù)字證書來確認(rèn)對方的身份����。
數(shù)據(jù)的機(jī)密性(Confidentiality):對敏感信息進(jìn)行加密,確保信息不被泄露����,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改)��,通過哈希函數(shù)和數(shù)字簽名來完成��。
不可抵賴性(Non-Repudiation):防止通信對方否認(rèn)自己的行為����,確保通信方對自己的行為承認(rèn)和負(fù)責(zé),通過數(shù)字簽名來完成�,數(shù)字簽名可作為法律證據(jù)��。
5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)����,是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)����。和傳統(tǒng)的物理方式相比��,具有降低成本及維護(hù)費用��、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng)����,可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案��。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w,通過加密��、認(rèn)證�����、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道����,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)�����,用以代替專線方式,實現(xiàn)移動用戶���、遠(yuǎn)程LAN的安全連接����。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù)�����,可以對多種網(wǎng)絡(luò)對象進(jìn)行有效地訪問監(jiān)控,為網(wǎng)絡(luò)提供高效��、穩(wěn)定地安全保護(hù)��。
集中的安全策略管理可以對整個VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展���,電子郵件的使用日益廣泛��,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡(luò)上傳播�。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點��,電子郵件存在著很大的安全隱患。
目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)����,它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的����。首先�,它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)�,所有下一級的組織和個人的證書由上一級的組織負(fù)責(zé)認(rèn)證�,而最上一級的組織(根證書)之間相互認(rèn)證�����,整個信任關(guān)系基本是樹狀的��。其次�,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送����。保證了信件內(nèi)容的安全性。
5.4桌面安全防護(hù)
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部�,大量的安全威脅來自企業(yè)內(nèi)部�����。很早之前安全界就有數(shù)據(jù)顯示���,近80%的網(wǎng)絡(luò)安全事件��,是來自于企業(yè)內(nèi)部���。同時��,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確���,如針對企業(yè)機(jī)密和專利信息的竊取�����、財務(wù)欺騙等,因此���,對于企業(yè)的威脅更為嚴(yán)重。對于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段�。
桌面安全系統(tǒng)把電子簽章���、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起����,形成一個整體�����,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性�����。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng)�,用戶可以在編輯文檔后對文檔進(jìn)行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者����。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后�,只有具有指定智能密碼鑰匙的人才可以登錄計算機(jī)和網(wǎng)絡(luò)�����。用戶如果需要離開計算機(jī)���,只需拔出智能密碼鑰匙�,即可鎖定計算機(jī)��。
3)文件加密系統(tǒng)
文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲���。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法�,從而保證了存儲數(shù)據(jù)的安全性�。
5.5身份認(rèn)證
身份認(rèn)證是指計算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程���?��;赑KI的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便����、安全的身份認(rèn)證技術(shù)����。它采用軟硬件相結(jié)合���、一次一密的強(qiáng)雙因子認(rèn)證模式���,很好地解決了安全性與易用性之間的矛盾����。USBKey是一種USB接口的硬件設(shè)備�����,它內(nèi)置單片機(jī)或智能卡芯片��,可以存儲用戶的密鑰或數(shù)字證書�,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證����。
基于PKI的USBKey的解決方案不僅可以提供身份認(rèn)證的功能���,還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)���、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系����,從而實現(xiàn)上述身份認(rèn)證���、授權(quán)與訪問控制、安全審計��、數(shù)據(jù)的機(jī)密性、完整性�、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成:攻擊前的防范����、攻擊過程中的防范和攻擊后的應(yīng)對����。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程����,也為本方案的實施提供了借鑒��。
圖3
因此在本方案的組織和實施中��,除了工程的實施外�,還應(yīng)重視以下各項工作:
(1)在初步進(jìn)行風(fēng)險分析基礎(chǔ)上,方案實施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險評估����,明確需求所在�����,務(wù)求有的放矢,確保技術(shù)方案的針對性和投資的回報���。
(2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分��,必要時可借助專業(yè)公司的安全服務(wù),提高應(yīng)對重大安全事件的能力���。
(3)該方案投資大,覆蓋范圍廣��,根據(jù)實際情況�,可采取分地區(qū)�、分階段實施的方式���。
(4)在方案實施的同時,加強(qiáng)規(guī)章制度���、技術(shù)規(guī)范的建設(shè)�,使信息安全的日常工作進(jìn)一步制度化����、規(guī)范化��。
7結(jié)論
本文以某公司為例����,分析了網(wǎng)絡(luò)安全現(xiàn)狀����,指出目前存在的風(fēng)險����,隨后提出了一整套完整的解決方案�����,涵蓋了各個方面�,從技術(shù)手段的改進(jìn),到規(guī)章制度的完善����;從單機(jī)系統(tǒng)的安全加固,到整體網(wǎng)絡(luò)的安全管理���。本方案從技術(shù)手段上����、從可操作性上都易于實現(xiàn)、易于部署���,為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。
也希望通過本方案的實施���,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅����,把風(fēng)險降到最低水平。
第5篇
關(guān)鍵詞:油田企業(yè)���;網(wǎng)絡(luò)安全����;防火墻技術(shù);應(yīng)用
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 15-0000-01
Application of Oilfield Enterprise Network Security and Firewall Technology
Hou Haidong
(Qinghai Oilfield Company Huatugou Community managemen Center,Haixi816400,China)
Abstract:With the computer technology in various enterprise wide applications,network security issues have been increasingly valued by everyone.Firewall to ensurenetwork security barrier,is an integral part of the secure network.Of oil companies innetwork security,analysis of some problems which have to focus on coping strategies,to explore oil fields in the enterprise network firewall technology to ensurethe security of oil enterprise network,corporate network security to prevent oil fieldaccident.Discuss specific network security solutions,integrated network securitymeasures,improve enterprise network security field.
Keywords:Oilfield enterprise;Network security;Firewall technology;Application
計算機(jī)從出現(xiàn)到發(fā)展�����,短短幾十年間��,無論從生活�、學(xué)習(xí),還是工作中都帶來了巨大的影響���,使我們的生活�����、學(xué)習(xí)和工作都起了翻天覆地的變化�。在各個企業(yè)里面�,現(xiàn)代化的建設(shè)都是建立在計算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用之上的,計算機(jī)技術(shù)覆蓋了企業(yè)生產(chǎn)的各個大小環(huán)節(jié)��。保證企業(yè)中網(wǎng)絡(luò)的安全性�����,使企業(yè)生產(chǎn)順利進(jìn)行����,這是企業(yè)中網(wǎng)絡(luò)運行的基本保障����。筆者仔細(xì)分析了青海油田企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀����,針對青海油田企業(yè)的網(wǎng)絡(luò)安全問題,提出相應(yīng)的解決策略����,結(jié)合防火墻技術(shù)的應(yīng)用,提高油田企業(yè)網(wǎng)絡(luò)安全性�,保證企業(yè)生產(chǎn)的順利進(jìn)行。
一���、青海油田企業(yè)網(wǎng)絡(luò)工作概況
青海油田是一家大型企業(yè)�,其二級單位網(wǎng)絡(luò)中目前包含華為���、港灣、華為3COM���、Cisco等廠商設(shè)備��,屬于多廠商互聯(lián)網(wǎng)絡(luò)��。青海油田企業(yè)的整個網(wǎng)絡(luò)主體建設(shè)于1999年�,逐年累建至今。目前網(wǎng)絡(luò)集中問題有多個方面����,網(wǎng)絡(luò)缺乏管理性;多廠商設(shè)備����,難以統(tǒng)一管理;大部分設(shè)備陳舊�,匯聚層性能、帶寬不足�;冗余可靠性差。由于這些原因�����,導(dǎo)致匯聚層設(shè)備擴(kuò)展性不夠����,一些單位層層級連網(wǎng),影響網(wǎng)絡(luò)的穩(wěn)定性和可靠性���,使得網(wǎng)絡(luò)安全問題成為極大的難題�����。
二�、網(wǎng)絡(luò)安全風(fēng)險
網(wǎng)絡(luò)安全風(fēng)險根據(jù)不同的方面,有許多的風(fēng)險因素����,比如網(wǎng)絡(luò)外部的環(huán)境是否安全,包括了電源故障��、設(shè)備被盜�、認(rèn)為操作失誤、線路截獲����、高可用性的硬件、機(jī)房環(huán)境�����、雙機(jī)多冗余的設(shè)計、安全意識、報警系統(tǒng)等��。再比如系統(tǒng)完全,包括了整個局域網(wǎng)的網(wǎng)絡(luò)硬件平臺�����、網(wǎng)絡(luò)操作系統(tǒng)等�����。每一個網(wǎng)絡(luò)操作系統(tǒng)都有其后門��,不可能有絕對安全的操作系統(tǒng)�。還有網(wǎng)絡(luò)平臺的安全風(fēng)險,作為企業(yè)信息的公開平臺����,要是受到了攻擊或者在運行中間出現(xiàn)了問題,對企業(yè)的聲譽是極大的影響����。同時,作為公開的服務(wù)器��,本身隨時都面臨著黑客的攻擊��,安全風(fēng)險比其他的原本就要高上許多。另外�,應(yīng)用系統(tǒng)安全也是風(fēng)險因素中的一個,在不斷發(fā)展和增加過程中����,其安全漏洞也在日益增加,并且漏洞隱藏得只會越來越深�����。此外還有管理的安全����,管理混亂、責(zé)權(quán)不分�����、安全管理制度不健全等都是管理安全的風(fēng)險因素��。
三�����、油田企業(yè)網(wǎng)絡(luò)安全管理工作
隨著油田企業(yè)中網(wǎng)絡(luò)用戶的逐漸增多����,網(wǎng)絡(luò)安全問題也越來越突出�、越來越被網(wǎng)絡(luò)管理工作人員所重視�����。在實際工作中�����,通過增強(qiáng)單位用戶對網(wǎng)絡(luò)安全重要性的緊迫性的認(rèn)識�����、強(qiáng)化和規(guī)范用戶防病毒意識等手段��,全面采用網(wǎng)絡(luò)版防病毒系統(tǒng)�����,部署防病毒服務(wù)器和補(bǔ)丁分發(fā)服務(wù)器���。在網(wǎng)絡(luò)管理過程中,技術(shù)人員定期檢查��、預(yù)防、控制和及時更新防病毒系統(tǒng)病毒定義碼��,按時向總部上報極度防病毒巡檢表����。網(wǎng)絡(luò)管理技術(shù)人員還積極做好入侵保護(hù)系統(tǒng)IPS策略的日常管理和日志審計工作,使有限的網(wǎng)絡(luò)資源能用于重點保障業(yè)務(wù)工作的正常進(jìn)行�。
四、油田企業(yè)網(wǎng)絡(luò)安全防范舉措與防火墻技術(shù)應(yīng)用
在油田企業(yè)網(wǎng)絡(luò)運行過程中���,安全威脅主要有非授權(quán)訪問�����、信息泄露或丟失�、拒絕服務(wù)攻擊���、破壞數(shù)據(jù)完整性�����、利用網(wǎng)絡(luò)傳播病毒等方面�����。要防范油田企業(yè)網(wǎng)絡(luò)安全���,主要的防御體系是由漏洞掃描����、入侵檢測和防火墻組成的��。油田企業(yè)的局域網(wǎng)主要又外部網(wǎng)絡(luò)�、內(nèi)部職工網(wǎng)絡(luò)��、內(nèi)部單位辦公網(wǎng)絡(luò)和公開服務(wù)器區(qū)域組成�����。在每一個出口通過安裝硬件防火墻設(shè)備����,用防火墻來實現(xiàn)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及公開服務(wù)器網(wǎng)的區(qū)分�����。防火墻對外部的安全威脅起到了抵御的作用�,但是從內(nèi)部發(fā)動的安全攻擊卻無能為力�。這個時候就需要動態(tài)監(jiān)測網(wǎng)絡(luò)內(nèi)部活動以及及時做出響應(yīng)��,將網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)接入到防火墻和交換機(jī)上的IDS端口����,一旦發(fā)現(xiàn)入侵或者可疑行為之后,立即報告防火墻動態(tài)調(diào)整安全策略����,采取相應(yīng)的防御措施。另外��,網(wǎng)絡(luò)安全還需要被動的防御體系��,它是由VPN路由和防火墻組成��,被動防御體系主要實現(xiàn)了外網(wǎng)的安全接入���。外網(wǎng)在于企業(yè)網(wǎng)絡(luò)之間實現(xiàn)數(shù)據(jù)傳輸?shù)臅r候�����,經(jīng)過防火墻高強(qiáng)度的加密認(rèn)證��,保證外網(wǎng)接入的安全性��。在油田企業(yè)網(wǎng)絡(luò)安全與防火墻技術(shù)應(yīng)用中����,還需要加對病毒的防范、數(shù)據(jù)安全的保護(hù)和數(shù)據(jù)備份與恢復(fù)的建設(shè)����。在服務(wù)器上安裝服務(wù)器端殺毒軟件,在每一臺網(wǎng)絡(luò)用戶電腦上安裝客戶端殺毒軟件��,通過及時更新病毒代碼�,防范病毒的入侵。采用自動化備份�����、安裝磁帶機(jī)等外部存貯設(shè)備等方法��,保證數(shù)據(jù)的安全���。
五、總結(jié)
油田企業(yè)網(wǎng)絡(luò)安全不僅關(guān)系著企業(yè)的整體發(fā)展�,還關(guān)系著油田企業(yè)中廣大職工的網(wǎng)絡(luò)使用安全,積極采取防火墻技術(shù)應(yīng)用到網(wǎng)絡(luò)安全防范之中�����,以提高青海油田企業(yè)網(wǎng)絡(luò)的安全性,保證企業(yè)的正常工作����、企業(yè)職工的正常生活。
參考文獻(xiàn):
[1]何黎明,方風(fēng)波,王波濤.油田網(wǎng)絡(luò)安全風(fēng)險評估與策略研究[J].石油天然氣學(xué)報,2008,3:279-280
[2]陳崗.大型企業(yè)信息網(wǎng)絡(luò)安全問題解決方案[J].岳陽師范學(xué)院學(xué)報(自然科學(xué)版),2006,2:168-169
第6篇
一��、企業(yè)網(wǎng)絡(luò)系統(tǒng)存在的安全隱患
企業(yè)網(wǎng)絡(luò)安全系統(tǒng)就是企業(yè)借助計算機(jī)�����、通信設(shè)施等現(xiàn)代設(shè)備���,構(gòu)建相應(yīng)的滿足企業(yè)日常經(jīng)營和管理需求的系統(tǒng)模式����。隨著信息技術(shù)的快速發(fā)展�,企業(yè)網(wǎng)絡(luò)建設(shè)更加成熟和完善。整個網(wǎng)絡(luò)系統(tǒng)能夠跨越多個地區(qū)��、覆蓋千家企業(yè)和大量用戶��,網(wǎng)絡(luò)比較龐大且復(fù)雜�,不管網(wǎng)絡(luò)構(gòu)架多么的復(fù)雜���,其應(yīng)用系統(tǒng)種類更加繁多,各系統(tǒng)間關(guān)聯(lián)性更強(qiáng)[1]��。目前�����,企業(yè)網(wǎng)絡(luò)安全系統(tǒng)主要面臨以下威脅:(1)物理層安全威脅會導(dǎo)致設(shè)備損壞���,系統(tǒng)或網(wǎng)絡(luò)不可用��,數(shù)據(jù)損壞����、丟失等���。(2)因企業(yè)管理人員水平不高,引發(fā)企業(yè)內(nèi)部信息泄露的威脅�。同時,在整個網(wǎng)絡(luò)中����,內(nèi)部員工對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)��、應(yīng)用比較熟悉���,自己攻擊或泄露內(nèi)部信息,也會導(dǎo)致系統(tǒng)遭受致命的安全威脅���。(3)計算機(jī)病毒是一種可以將自身附加值目標(biāo)機(jī)系統(tǒng)的文件程序����,其對系統(tǒng)的破壞性非常嚴(yán)重�,會導(dǎo)致服務(wù)拒絕、破壞數(shù)據(jù)或?qū)е抡麄€系統(tǒng)面臨癱瘓����。當(dāng)病毒釋放至網(wǎng)絡(luò)環(huán)境內(nèi),其無法預(yù)測其產(chǎn)生的危害�。
二、企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計
1身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)
身份認(rèn)證作為網(wǎng)絡(luò)安全的重要組成部分����,企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計基于RSA的認(rèn)證系統(tǒng),該系統(tǒng)為三方身份認(rèn)證協(xié)議��。
(1)申請認(rèn)證模塊的設(shè)計與實現(xiàn)
CA設(shè)置在企業(yè)主服務(wù)器上,本系統(tǒng)主要包含申請認(rèn)證���、身份認(rèn)證���、通信模塊。其中��,申請認(rèn)證完成與申請認(rèn)證相關(guān)的操作�,該模塊實現(xiàn)流程如下:用鼠標(biāo)點擊菜單項中的“申請證書”,彈出相應(yīng)的認(rèn)證界面���。在申請書界面內(nèi)���,輸入用戶的姓名及密碼,傳遞至CA認(rèn)證���。
CA接收到認(rèn)證方所發(fā)出的名稱和明碼后��,并將認(rèn)證結(jié)果發(fā)送至申請證書方��,當(dāng)通過用戶驗證將公鑰傳給CA。
CA接收申請證書一方傳來的公鑰���,把其制作為證書發(fā)送給申請方�����,完成CA各項功能��。申請方接收CA傳來的證書后����,保存至初始化文件.ini內(nèi)。在申請方.ini文件內(nèi)可以看見用戶設(shè)置的公鑰��。
(2)身份認(rèn)證模塊
實施身份認(rèn)證的雙方���,依次點擊菜單項中的身份認(rèn)證項��,打開相應(yīng)的身份認(rèn)證對話框�����,提出驗證方的請求連接�����,以此為雙方創(chuàng)建連接[2]����。
實際認(rèn)證過程中,采用產(chǎn)生的隨機(jī)數(shù)字N1��、N2來抵抗攻擊��。B驗證A證書有效后�����,獲取自己的證書����,產(chǎn)生隨機(jī)數(shù)N1對其實施簽名。隨之把證書����、簽名的N1兩條信息一起傳遞至A。A接收B發(fā)出的信息后��,將其劃分為兩個部分���,并驗證B的身份同時獲取B公鑰�。A驗證B證書屬于有效后�����,取出N傳出的隨機(jī)數(shù)N1���,并產(chǎn)生隨機(jī)數(shù)字N2��,把密鑰采用B公鑰加密��,最終把加密后的密鑰采用A傳送至B���。B接受A發(fā)出的信息后,對A簽名數(shù)據(jù)串進(jìn)行解簽�,對傳輸?shù)臄?shù)據(jù)進(jìn)行驗證。如果驗證失敗�����,必須重新實施認(rèn)證�。實現(xiàn)代碼如下:
UCHARdata[1024]={0}://解密后的私鑰文件UINT4datalen=10224//解密后私鑰文件長度if(RTN_OK!=CryptionProe(ATTRIB_SDBI_KEY�,Dec_keylen,DNCRYPT����,kk->length�,data���,&datalen)){m_List.AddMSg(解密私鑰失敗”��,M_ERROR):deletekk�;retllrn�;}e1se.
2安全防護(hù)系統(tǒng)的設(shè)計及實現(xiàn)
設(shè)計安全防護(hù)系統(tǒng)旨在保護(hù)企業(yè)內(nèi)部信息的安全,實現(xiàn)對各個協(xié)議和端口過濾操作�,并實時監(jiān)測網(wǎng)絡(luò)的安全性。
(1)Windos網(wǎng)絡(luò)接口標(biāo)準(zhǔn)
安全防護(hù)系統(tǒng)總設(shè)計方案是基于Windows內(nèi)核內(nèi)截取所有IP包����。在Windows操作系統(tǒng)內(nèi),NDIS發(fā)揮著重要的作用�,其是網(wǎng)絡(luò)協(xié)議與NIC之間的橋梁,Windows網(wǎng)絡(luò)接口見圖1��。其中�,NDIS設(shè)置在MinpORT驅(qū)動程序上,Miniport相當(dāng)于數(shù)據(jù)鏈路層的介質(zhì)訪問控制子層��。
(2)數(shù)據(jù)包過濾系統(tǒng)
數(shù)據(jù)包過濾系統(tǒng)主要過濾IP數(shù)據(jù)包��、UDP數(shù)據(jù)包�����、傳輸層TCP、應(yīng)用層HTTP等�。包過濾技術(shù)遵循“允許或不允許”部分?jǐn)?shù)據(jù)包通過防火墻,數(shù)據(jù)包過濾流程見圖2���。包過濾裝置對數(shù)據(jù)包進(jìn)行有選擇的通過,采用檢查數(shù)據(jù)量中各數(shù)據(jù)包后���,依據(jù)數(shù)據(jù)包源地址��、TCP鏈路狀態(tài)等明確數(shù)據(jù)包是否通過[3]��。
綜上所述��,現(xiàn)階段���,我國多數(shù)企業(yè)設(shè)置的安全防護(hù)系統(tǒng)主要預(yù)防外部人員的非法入侵和供給,對企業(yè)內(nèi)部人員發(fā)出的網(wǎng)絡(luò)攻擊��、信息竊取無法起到防護(hù)的效果����。文中對網(wǎng)絡(luò)系統(tǒng)安全存在的安全風(fēng)險展開分析���,提出企業(yè)網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)和安全防護(hù)系統(tǒng)設(shè)計與實現(xiàn)步驟,以此提升企業(yè)網(wǎng)絡(luò)信息的安全性��,為企業(yè)更好地發(fā)展提供安全支持���。
參考文獻(xiàn):
[1]徐哲明.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全修補(bǔ)程序構(gòu)架的設(shè)計[J].計算機(jī)安全��,2013���,17(8):47-50.
[2]勞偉強(qiáng).企業(yè)數(shù)據(jù)網(wǎng)安全防護(hù)體系的研究與實現(xiàn)[J].電子世界,2013�����,35(22):154-154.
[3]付寧.企業(yè)網(wǎng)絡(luò)安全防護(hù)體系及企業(yè)郵箱的建立[J].科技傳播����,2013,12(2):214-215.
第7篇
關(guān)鍵詞:電力企業(yè)�����;網(wǎng)絡(luò)安全���;安全策略
引言
隨著我國Internet和電力信息化產(chǎn)業(yè)的飛速發(fā)展��,計算機(jī)網(wǎng)絡(luò)在電力企業(yè)的各個方面得到了廣泛的應(yīng)用����,電力企業(yè)信息網(wǎng)絡(luò)已經(jīng)成為電力系統(tǒng)的重要基礎(chǔ)設(shè)施,它的安全運行與否關(guān)系到電力系統(tǒng)的安全���、穩(wěn)定、有效運行����。網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用,電力信息網(wǎng)絡(luò)的不斷延伸和擴(kuò)大�����,特別是電力企業(yè)網(wǎng)和Internet的互聯(lián)都對電力信息網(wǎng)絡(luò)的安全提出了更高的要求���。因此�����,深入研究電力企業(yè)信息網(wǎng)絡(luò)安全的特點和存在的問題����,對電力企業(yè)信息網(wǎng)絡(luò)的安全運行有一定的指導(dǎo)意義。
電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示��。
圖1電力企業(yè)信息網(wǎng)絡(luò)結(jié)構(gòu)
1網(wǎng)絡(luò)安全
所謂網(wǎng)絡(luò)安全是指在分布網(wǎng)絡(luò)環(huán)境中����,對信息載體(處理載體、存儲載體��、傳輸載體)和信息的處理��、傳輸�、存儲、訪問提供安全保護(hù)��,以防止數(shù)據(jù)�����、信息內(nèi)容或能力拒絕服務(wù)或非授權(quán)使用和篡改�����。網(wǎng)絡(luò)安全具有機(jī)密性、可用性和完整性這三個基本屬性���。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題����,也有管理方面的問題�����,兩方面相互補(bǔ)充�����,缺一不可����。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊����,管理方面則側(cè)重于內(nèi)部人為因素的管理。
威脅網(wǎng)絡(luò)安全的因素主要有黑客入侵�、信息泄漏、拒絕服務(wù)攻擊和病毒等幾類����。
(1)黑客入侵
由于網(wǎng)絡(luò)邊界上的系統(tǒng)安全漏洞或管理方面的缺陷(如弱口令)�����,容易導(dǎo)致黑客的成功入侵�����。黑客可以通過入侵計算機(jī)或網(wǎng)絡(luò),使用被入侵的計算機(jī)或網(wǎng)絡(luò)的信息資源��,來竊取�、破壞或修改數(shù)據(jù)�����,從而威脅電力企業(yè)信息網(wǎng)絡(luò)安全���。
(2)信息泄漏
相對于黑客入侵這種來自網(wǎng)絡(luò)外部的威脅而言,信息泄漏的主要原因則在于企業(yè)內(nèi)部管理不善,如信息分級不合理�����、信息審查不嚴(yán)和不當(dāng)授權(quán)等,都容易導(dǎo)致信息外泄�。
(3)拒絕服務(wù)攻擊
信息網(wǎng)絡(luò)上提供的FTP�、WEB和DNS等服務(wù)都有可能遭受拒絕服務(wù)攻擊�����。拒絕服務(wù)的主要攻擊方法是通過消耗用戶的資源,來增加CPU的負(fù)荷����,當(dāng)系統(tǒng)資源消耗超出CPU的負(fù)荷能力時��,此時網(wǎng)絡(luò)的正常服務(wù)失效���。
(4)病毒
通過計算機(jī)網(wǎng)絡(luò)���,病毒的傳播速度和傳播范圍程度驚人,它可以在數(shù)小時之間使得全球成千上萬的網(wǎng)絡(luò)計算機(jī)系統(tǒng)癱瘓��,嚴(yán)重威脅網(wǎng)絡(luò)安全��。病毒的危害性涉及面廣,它不僅可以修改刪除文件�,還可以竊取企業(yè)內(nèi)部文件和泄露用戶個人隱私信息等�。
2安全策略
2.1網(wǎng)絡(luò)隔離
由于不同的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該采用不同的安全對策,因此我們?yōu)榱颂岣哒麄€網(wǎng)絡(luò)的安全性考慮���,可以根據(jù)保密程度�、保護(hù)功能和安全水平等差異,把整個網(wǎng)絡(luò)進(jìn)行分段隔離���。這樣可以實現(xiàn)更為細(xì)化的安全控制體系���,將攻擊和入侵造成的威脅分別限制在較小的范圍內(nèi)。所謂網(wǎng)絡(luò)隔離(Network Isolation)是指把兩個或兩個以上可路由的網(wǎng)絡(luò)(如TCP/IP)完全斷開或通過不可路由的形式(如不可路由的專用協(xié)議�����、專用數(shù)據(jù)交換硬件等)進(jìn)行連接,從而達(dá)到隔離網(wǎng)絡(luò)攻擊和防范網(wǎng)絡(luò)風(fēng)險的目的���。
電力企業(yè)內(nèi)外網(wǎng)之間是通過物理隔離的��,所謂物理隔離是通過網(wǎng)絡(luò)與計算機(jī)設(shè)備的空間(主要包括網(wǎng)線��、路由器���、交換機(jī)、主機(jī)和終端等)分離來實現(xiàn)的網(wǎng)絡(luò)隔離���。物理隔離強(qiáng)調(diào)的是設(shè)備在物理形態(tài)上的分離�����,從而來實現(xiàn)數(shù)據(jù)的分離�����。完整意義上的物理隔離應(yīng)該是指兩個網(wǎng)絡(luò)完全斷開��,網(wǎng)絡(luò)之間不存在數(shù)據(jù)交換�。然而實際上,由于網(wǎng)絡(luò)的開放性和資源共享性等特點需要內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換�。因此,我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的��、相對的物理隔離技術(shù)�。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內(nèi)部網(wǎng)和外部網(wǎng)兩個系統(tǒng)�����。如果兩個系統(tǒng)在空間上物理隔離�,在不同的時間運行,那么就可以得到兩個完全物理隔離的系統(tǒng)����。
2.2防火墻
防火墻實際上是由應(yīng)用層網(wǎng)關(guān)����、包過濾路由器和電路層網(wǎng)關(guān)等組成的一套系統(tǒng)����,它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間���,可以提供網(wǎng)絡(luò)通信���,從而保證內(nèi)部網(wǎng)的正常安全運行。防火墻是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的��,防火墻的基本結(jié)構(gòu)如圖2所示���。
圖2 防火墻結(jié)構(gòu)
工作原理:當(dāng)防火墻被安置完成以后���,所有內(nèi)部通向外部和外部通向內(nèi)部的數(shù)據(jù)流都要通過防火墻。它通過包過濾技術(shù)�,利用應(yīng)用層或應(yīng)用層數(shù)據(jù)共享的方式來實現(xiàn)不同網(wǎng)絡(luò)之間的通信,通過堡壘主機(jī)(屏蔽主機(jī)防火墻)連接系統(tǒng)外部與內(nèi)部�����。此外�,它還利用基于支持網(wǎng)絡(luò)層和應(yīng)用層安全功能等技術(shù)來有效的隔離了內(nèi)部和外部的網(wǎng)絡(luò)�,從而建筑起了一道屏障來抵御非法的侵入��,更好的保護(hù)了電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運行����。
我們要特別注意的是,即使網(wǎng)絡(luò)安裝了防火墻也還要考慮防火墻產(chǎn)品自身是否安全�、防火墻用戶權(quán)限體系管理和防火墻的安全認(rèn)證等特性。防火墻一般經(jīng)常采用密碼認(rèn)證的方式��,由于該方法安全性較差�,所以一旦密碼泄漏,別人就很容易控制防火墻����,從而對網(wǎng)絡(luò)的安全運行造成隱患。因此我們需要要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解����,從而更好的保護(hù)網(wǎng)絡(luò)的安全運行。
2.3防病毒
電力企業(yè)網(wǎng)絡(luò)面臨的病毒威脅主要有電子郵件傳播�����、文件交叉感染和瀏覽網(wǎng)頁及文件下載感染這三種傳播途徑。在電力企業(yè)網(wǎng)絡(luò)環(huán)境下�,網(wǎng)絡(luò)病毒除了具有破壞性、可傳播性����、可執(zhí)行性和可觸發(fā)性等計算機(jī)病毒的共性外��,還具有感染速度快����、傳播形式復(fù)雜、破壞性大�����、難于徹底清除和擴(kuò)散面廣等新的特點���。
易于管理和全面防毒功能是防病毒軟件的關(guān)鍵?,F(xiàn)在的防病毒軟件已不單單是檢測病毒和清除病毒����,而且還應(yīng)加強(qiáng)對病毒的防護(hù)工作。我們可以通過安裝遠(yuǎn)程防病毒軟件來保證電力企業(yè)的網(wǎng)絡(luò)安全運行���。因此����,集中管理、遠(yuǎn)程安裝����、統(tǒng)一防病毒策略成為了企業(yè)級防病毒產(chǎn)品的重要功能。我們在選擇殺毒軟件時�,要選擇在市場上有較高知名度企業(yè)研發(fā)的殺毒軟件產(chǎn)品,這樣不僅可以保證產(chǎn)品質(zhì)量�����,而且產(chǎn)品的售后服務(wù)也能得到保證��。由于計算機(jī)病毒的傳播途徑多樣化�,電力企業(yè)需要建立多層次、立體式病毒防護(hù)體系����、完善的管理系統(tǒng)和病毒防護(hù)策略來保證網(wǎng)絡(luò)的安全運行。
這里所謂的多層次���、立體式病毒防護(hù)體 系是指在電力企業(yè)的每臺臺式機(jī)上安裝基于臺式機(jī)的反病毒軟件���,在Internet網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件�,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件���,于此同時對電腦的操作系統(tǒng)進(jìn)行安全加固���,這樣就可以從工作站到服務(wù)器再到網(wǎng)關(guān)進(jìn)行全面保護(hù)�,從而保證整個電力企業(yè)網(wǎng)絡(luò)的安全運行,使其不受計算機(jī)病毒的侵害��。
3入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS)是一種主動防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)�����,由于它在功能上彌補(bǔ)了防火墻的缺陷����,完善了整個安全防御體系,因此在電力企業(yè)的網(wǎng)絡(luò)安全中有著重要的作用�。
入侵檢測系統(tǒng)是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的,其分布式布置3所示��。由圖可知��,我們在進(jìn)行安裝入侵檢測系統(tǒng)(IDS)的關(guān)鍵步驟是部署監(jiān)測器與控制臺。具體安裝如下:首先�����,可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測器��,以監(jiān)測異常的入侵企圖,在防火墻與MIS之間部署監(jiān)測器��,以監(jiān)視和分析管理信息系統(tǒng)與外部網(wǎng)絡(luò)的通信流����。然后,分別在監(jiān)控信息系統(tǒng)(SIS)和管理信息系統(tǒng)(MIS)中部署一臺監(jiān)測器���,監(jiān)視各子網(wǎng)的內(nèi)部情況����,其中控制臺設(shè)置在管理信息系統(tǒng)中�����。最后�����,根據(jù)實際情況為個別需重點保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測軟件�����,保護(hù)重要設(shè)備���。
圖3入侵檢測系統(tǒng)分布式布置
結(jié)束語
綜上所述�,隨著我國經(jīng)濟(jì)和社會的飛速發(fā)展�,電力企業(yè)在我國國民經(jīng)濟(jì)中的比重日益提高,電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全�����、穩(wěn)定����、有效運行對整個國民經(jīng)濟(jì)的穩(wěn)定運行起著十分重要的作用�����。針對電力企業(yè)網(wǎng)絡(luò)所面臨的各種不同的威脅�,我們只有采用與之相應(yīng)的安全措施,才能保證電力企業(yè)局域網(wǎng)的安全���、正常和穩(wěn)定運行�。
參考文獻(xiàn):
[1]趙小林.網(wǎng)絡(luò)安全技術(shù)教程[M].北京:國防工業(yè)出版社,2006
[2]彭新光,吳興興.計算機(jī)網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:科學(xué)出版社, 2005
[3]胡炎,韓英鐸.電力工業(yè)信息安全的思考[J].電力系統(tǒng)自動化, 2002(4):27
第8篇
隨著企業(yè)網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展和廣泛應(yīng)用,社會信息化進(jìn)程不斷加快�,生產(chǎn)制造、物流網(wǎng)絡(luò)�、自動化辦公系統(tǒng)對信息系統(tǒng)的依賴程度越來越大,因此���,保證信息系統(tǒng)的安全穩(wěn)定運行也越來越重要�����。如何保證企業(yè)網(wǎng)絡(luò)信息化安全�����、穩(wěn)定運行就需要網(wǎng)絡(luò)規(guī)劃設(shè)計師在設(shè)計初始周全的考慮到網(wǎng)絡(luò)安全所需達(dá)到的條件(包括硬件��、OSI/RM各層�、各種系統(tǒng)操作和應(yīng)用)�����。
1網(wǎng)絡(luò)安全��、信息安全標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)是指為了規(guī)范網(wǎng)絡(luò)行為,凈化網(wǎng)絡(luò)環(huán)境而制定的強(qiáng)制性或指導(dǎo)性的規(guī)定���。目前���,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主要有針對系統(tǒng)安全等級、系統(tǒng)安全等級評定方法��、系統(tǒng)安全使用和操作規(guī)范等方面的標(biāo)準(zhǔn)��。世界各國紛紛頒布了計算機(jī)網(wǎng)絡(luò)的安全管理條例����,我國也頒布了《計算機(jī)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全管理方法》等多個國家標(biāo)準(zhǔn),用來制止網(wǎng)絡(luò)污染�����,規(guī)范網(wǎng)絡(luò)行為�,同時各種網(wǎng)絡(luò)技術(shù)在不斷的改進(jìn)和完善�����。1999年9月13日�,中國頒布了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859:1999)���,定義了計算機(jī)信息系統(tǒng)安全保護(hù)能力的5個等級,分別如下:(1)第一級:用戶自主保護(hù)級�����。它的安全保護(hù)機(jī)制使用戶具備自主安全保護(hù)的能力���,保護(hù)用戶的信息免受非法的讀寫破壞�����。(2)第二級:系統(tǒng)審計保護(hù)級�。除繼承前一個級別的安全功能外��,還要求創(chuàng)建和維護(hù)訪問的審計蹤記錄����,使所有的用戶對自己行為的合法性負(fù)責(zé)。(3)第三級:安全標(biāo)記保護(hù)級��。除繼承前一個級別的安全功能外���,還要求以訪問對象標(biāo)記的安全級別限制訪問者的訪問權(quán)限���,實現(xiàn)對訪問對象的強(qiáng)制訪問��。(4)第四級:結(jié)構(gòu)化保護(hù)級��。除繼承前一個級別的安全功能外���,將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分,對關(guān)鍵部分直接控制訪問者對訪問對象的存取�����,從而加強(qiáng)系統(tǒng)的抗?jié)B透能力���。(5)第五級:訪問驗證保護(hù)級��。除繼承前一個級別的安全功能外��,還特別增設(shè)了訪問驗證功能�,負(fù)責(zé)仲裁訪問者對訪問對象的所有訪問活動�����。
2企業(yè)網(wǎng)絡(luò)主要安全隱患
企業(yè)網(wǎng)絡(luò)主要分為內(nèi)網(wǎng)和外網(wǎng)���,網(wǎng)絡(luò)安全體系防范的不僅是病毒感染��,還有基于網(wǎng)絡(luò)的非法入侵����、攻擊和訪問����,但這些非法入侵、攻擊��、訪問的途徑非常多�����,涉及到整個網(wǎng)絡(luò)通信過程的每個細(xì)節(jié)���。從以往的網(wǎng)絡(luò)入侵���、攻擊等可以總結(jié)出,內(nèi)部網(wǎng)絡(luò)的安全威脅要多于外部網(wǎng)絡(luò)�����,因為內(nèi)網(wǎng)受到的入侵和攻擊更加容易,所以做為網(wǎng)絡(luò)安全體系設(shè)計人員要全面地考慮���,注重內(nèi)部網(wǎng)絡(luò)中存在的安全隱患��。
3企業(yè)網(wǎng)絡(luò)安全防護(hù)策略
設(shè)計一個更加安全的網(wǎng)絡(luò)安全系統(tǒng)包括網(wǎng)絡(luò)通信過程中對OSI/RM的全部層次的安全保護(hù)和系統(tǒng)的安全保護(hù)�����。七層網(wǎng)絡(luò)各個層次的安全防護(hù)是為了預(yù)防非法入侵�、非法訪問�����、病毒感染和黑客攻擊��,而非計算機(jī)通信過程中的安全保護(hù)是為了預(yù)防網(wǎng)絡(luò)的物理癱瘓和網(wǎng)絡(luò)數(shù)據(jù)損壞的�����。OSI/RM各層采取的安全保護(hù)措施及系統(tǒng)層的安全防護(hù)如圖1所示�����。
4OSI/RM各層主要安全方案
4.1物理層安全
通信線路的屏蔽主要體現(xiàn)在兩個方面:一方面是采用屏蔽性能好的傳輸介質(zhì)�,另一方面是把傳輸介質(zhì)、網(wǎng)絡(luò)設(shè)備�、機(jī)房等整個通信線路安裝在屏蔽的環(huán)境中。(1)屏蔽雙絞線屏蔽與非屏蔽的普通五類����、超五類雙絞線的主要區(qū)別是屏蔽類雙絞線中8條(4對)芯線外集中包裹了一屏蔽層。而六類屏蔽雙絞和七類雙絞線除了五類�、超五類屏蔽雙絞線的這一層統(tǒng)一屏蔽層外,還有這些屏蔽層就是用來進(jìn)行電磁屏蔽的���,一方面防止外部環(huán)境干擾網(wǎng)線中的數(shù)據(jù)傳輸����,另一方防止傳輸途中的電磁泄漏而被一些別有用心的人偵聽到�����。(2)屏蔽機(jī)房和機(jī)柜機(jī)房屏蔽的方法是在機(jī)房外部以接地良好的金屬膜�����、金屬網(wǎng)或者金屬板材(主要是鋼板)包圍��,其中包括六面板體和一面屏蔽門。根據(jù)機(jī)房屏蔽性能的不同��,可以將屏蔽機(jī)房分為A��、B����、C三個級別,最高級為C級�����。機(jī)柜的屏蔽是用采用冷扎鋼板圍閉而成���,這些機(jī)柜的結(jié)構(gòu)與普通的機(jī)柜是一樣的���,都是標(biāo)準(zhǔn)尺寸的。(3)WLAN的物理層安全保護(hù)對于無線網(wǎng)絡(luò)�,因為采用的傳輸介質(zhì)是大氣,大氣是非固定有形線路�����,安全風(fēng)險比有線網(wǎng)絡(luò)更高�,所以在無線網(wǎng)絡(luò)中的物理層安全保護(hù)就顯得更加重要了����。如果將機(jī)房等整個屏蔽起來�,成本太高����,現(xiàn)在主要采用其他方式如多位數(shù)共享密鑰、WPA/WPA2動態(tài)密鑰����、IEEE802.1X身份驗證等。現(xiàn)在最新的無線寬帶接入技術(shù)——WiMAX對于來自物理層的攻擊�����,如網(wǎng)絡(luò)阻塞���、干擾���,顯得很脆弱,以后將提高發(fā)射信號功率���、增加信號帶寬和使用包括跳頻�、直接序列等擴(kuò)頻技術(shù)。
4.2數(shù)據(jù)鏈路層安全
在數(shù)據(jù)鏈路層可以采用的安全保護(hù)方案主要包括:數(shù)據(jù)鏈路加密���、MAC地址綁定(防止MAC地址欺騙)�、VLAN網(wǎng)段劃分���、網(wǎng)絡(luò)嗅探預(yù)防�����、交換機(jī)保護(hù)���。VLAN隔離技術(shù)是現(xiàn)代企業(yè)網(wǎng)絡(luò)建設(shè)中用的最多的技術(shù),該技術(shù)可分為基于端口的VLAN�����、基于MAC地址的VLAN�、基于第三層的VLAN和基于策略的VLAN。
4.3網(wǎng)絡(luò)層安全
在網(wǎng)絡(luò)層首先是身份的認(rèn)證�����,最簡單的身份認(rèn)證方式是密碼認(rèn)證����,它是基于windows服務(wù)器系統(tǒng)的身份認(rèn)證可針對網(wǎng)絡(luò)資源的訪問啟用“單點登錄”�����,采用單點登錄后����,用戶可以使用一個密碼或智能卡一次登錄到windows域��,然后向域中的任何計算機(jī)驗證身份�����。網(wǎng)絡(luò)上各種服務(wù)器提供的認(rèn)證服務(wù)�,使得口令不再是以明文方式在網(wǎng)絡(luò)上傳輸�,連接之間的通信是加密的。加密認(rèn)證分為PKI公鑰機(jī)制(非對稱加密機(jī)制)���,Kerberos基于私鑰機(jī)制(對稱加密機(jī)制)�����。IPSec是針對IP網(wǎng)絡(luò)所提出的安全性協(xié)議����,用途就是保護(hù)IP網(wǎng)絡(luò)通信安全。它支持網(wǎng)絡(luò)數(shù)據(jù)完整性檢查���、數(shù)據(jù)機(jī)密保護(hù)�、數(shù)據(jù)源身份認(rèn)證和重發(fā)保護(hù)����,可為絕大部分TCP/IP族協(xié)議提供安全服務(wù)。IPSec提供了兩種使用模式:傳輸模式(TransportMode)和隧道模式(TUNNELMode)�����。
4.4傳輸層安全
傳輸層的主要作用是保證數(shù)據(jù)安全�、可靠的從一端傳到另一端。TLS/SSL協(xié)議是工作在傳輸層的安全協(xié)議����,它不僅可以為網(wǎng)絡(luò)通信中的數(shù)據(jù)提供強(qiáng)健的安全加密保護(hù),還可以結(jié)合證書服務(wù)��,提供強(qiáng)大的身份誰����、數(shù)據(jù)簽名和隱私保護(hù)�����。TLS/SSL協(xié)議廣泛應(yīng)用于Web瀏覽器和Web服務(wù)器之間基于HTTPS協(xié)議的互聯(lián)網(wǎng)安全傳輸���。
4.5防火墻
因防火墻技術(shù)在OSI/RM各層均有體現(xiàn),在這里簡單分析一下防火墻����,防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻,網(wǎng)絡(luò)層防火墻可視為一種IP封包過濾器�,運作在底層的TCP/IP協(xié)議堆棧上。應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作����,應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包�����。目前70%的攻擊是發(fā)生在應(yīng)用層����,而不是網(wǎng)絡(luò)層。對于這類攻擊�����,傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果,并不太理想�����。
5結(jié)語
以上對于實現(xiàn)企業(yè)網(wǎng)絡(luò)建設(shè)安全技術(shù)及信息安全的簡單論述���,是基于網(wǎng)絡(luò)OSI/RM各層相應(yīng)的安全防護(hù)分析����,重點分析了物理層所必須做好的各項工作����,其余各層簡單分析了應(yīng)加強(qiáng)的主要技術(shù)。因網(wǎng)絡(luò)技術(shù)日新月益���,很多新的網(wǎng)絡(luò)技術(shù)在本文中未有體現(xiàn)���,實則由于本人時間、水平有限�,請各位讀者給予見解。文章中部分內(nèi)容借簽于參考文獻(xiàn),在此非常感謝各位作者的好書籍。
作者:單位:西山煤電(集團(tuán))有限公司物資供應(yīng)分公司
引用:
[1]李磊.網(wǎng)絡(luò)工程師考試輔導(dǎo).北京:清華大學(xué)出版社�,2009.
[2]王達(dá),闞京茂.網(wǎng)絡(luò)工程方案規(guī)劃與設(shè)計.北京:中國水利水電出版社����,2010.
