網(wǎng)絡安全技術(shù)解決方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全技術(shù)解決方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網(wǎng)絡安全技術(shù)解決方案范文
隨著信息時代的到來,計算機網(wǎng)絡技術(shù)取得了巨大的發(fā)展與進步,目前已被廣泛的應用到了社會生活的各個領域中,在促進人類社會快速發(fā)展的同時也帶來了許多的網(wǎng)絡安全問題。并且隨著對計算機網(wǎng)絡技術(shù)應用程度的不斷加深,其所面臨的危險性也越來越大。本文對計算機網(wǎng)絡安全技術(shù)進行了簡要的介紹,就導致計算機網(wǎng)絡出現(xiàn)安全問題的主要因素展開了深入的研究工作,結(jié)合本次研究就提出了一些針對性的應對措施。
【關鍵詞】計算機 網(wǎng)絡 安全技術(shù) 問題 措施
隨著計算機網(wǎng)絡在人們?nèi)粘I町斨械膽糜l(fā)普遍,網(wǎng)絡安全問題也變得越來越嚴重。鑒于計算機網(wǎng)絡系統(tǒng)所具備的共享性、開放性、復雜性等特點均會引發(fā)網(wǎng)絡安全問題的出現(xiàn),致使網(wǎng)絡系統(tǒng)極易遭受攻擊、破壞,屆時數(shù)據(jù)信息安全也將面臨著巨大的威脅挑戰(zhàn)。因此就針對計算機網(wǎng)絡安全技術(shù)所存在著問題展開具體分析有著一定的現(xiàn)實意義,應當引起人們的重視與思考,據(jù)此,下文提出了一些提高計算機網(wǎng)絡安全的應對策略,希望能夠?qū)︻A防計算機網(wǎng)絡安全發(fā)揮一定的作用。
1 概述
由內(nèi)容方面來分析,計算機網(wǎng)絡安全問題主要包括了硬件和軟件兩個方面。但若要具體分析起來,便較為復雜。計算機設備在不接入網(wǎng)絡環(huán)境的情況下,通常僅會發(fā)生部分較為簡單的程序故障亦或是系統(tǒng)設置方面的問題,這些問題解決起來均較為簡便。但是,一旦將計算機設備連入到了互聯(lián)網(wǎng)后,因為互聯(lián)網(wǎng)本身所具備的共享性、開放性等特點致使計算機設備所能夠獲取到的信息咨詢以幾何倍數(shù)增加,其隨時都有可能會遭受到病毒攻擊。同時,在接入到網(wǎng)絡資源當中的打印機、存儲器、系統(tǒng)程序、各類文件、軟件系統(tǒng)、硬件設備等均存在著發(fā)生安全問題的可能性。由定義上來分析,計算機網(wǎng)絡安全則重點是指針對數(shù)據(jù)所展開的管理及保護工作所采用的技術(shù)手段。
2 引發(fā)計算機網(wǎng)絡安全威脅的主要因素
2.1 TCP/IP協(xié)議較為脆弱
互聯(lián)網(wǎng)的基礎即為TCP/IP協(xié)議,這一協(xié)議在建立之初并未充分考慮到網(wǎng)絡系統(tǒng)的安全性,同時因為TCP/IP協(xié)議是面向公眾完全公開的,因此任何人都可完全了解其具體內(nèi)容,因此掌握了其系統(tǒng)架構(gòu)特點便可通過其自身內(nèi)部便存在的安全缺陷來開展網(wǎng)絡攻擊行為,因而這一方面因素是導致計算機網(wǎng)絡面臨安全威脅的一項根本原因。
2.2 軟件系統(tǒng)存在漏洞
無論是哪一種計算機操作系統(tǒng)亦或是網(wǎng)絡軟件均不能夠確保完全沒有任何漏洞隱患,因此基于這一特點也就導致計算機設備隨時都面臨著被攻擊的風險,因此這也就致使計算機設備無時無刻都處在十分危險的環(huán)境當中,一旦連入到互聯(lián)網(wǎng)中,便將會直接成為被攻擊的目標。
2.3 網(wǎng)絡結(jié)構(gòu)不安全性
互聯(lián)網(wǎng)是一種網(wǎng)間網(wǎng)的技術(shù)形式,網(wǎng)絡體系龐大。在人們利用一臺計算機設備與另一局域網(wǎng)當中的主機障礙通信聯(lián)系之時,往往其互相間的數(shù)據(jù)傳輸要經(jīng)過多個機器設備的多重轉(zhuǎn)發(fā),若攻擊者采用了一臺在用戶數(shù)據(jù)流傳輸路徑上的主機,它便能夠獲取到用戶的數(shù)據(jù)信息。
2.4 計算機病毒
計算機病毒本身是一種程序系統(tǒng),它利用在各個極端及設備間的傳播擴散來破壞網(wǎng)絡安全,計算機病毒傳播的方式是利用對病毒程序的復制,來使之存在于計算機系統(tǒng)的某文件系統(tǒng)當中來實現(xiàn)病毒傳播的。計算機病毒的特點主要就包括了以下幾點:極強的感染性、特定的觸發(fā)形式、巨大的破壞性與一定的潛伏性。
3 提高計算機網(wǎng)絡安全的具體措施
3.1 設置防火墻
在安全防護工作中,計算機網(wǎng)絡安全方面普遍采取的是防火墻措施,也就是利用各網(wǎng)絡系統(tǒng)之間的訪問限制,來避免外部用戶采用非法手段對計算機網(wǎng)絡采取網(wǎng)絡攻擊。具體的防火墻構(gòu)建流程為:
(1)修改Linux內(nèi)核,使其可具備有路由記錄功能;
(2)在Linux系統(tǒng)中安裝雙項網(wǎng)卡,同時合理設置路由。為避免Linux系統(tǒng)出現(xiàn)自行檢測功能缺失現(xiàn)象,可在加載程序文件/etc/lilo.conf文件之中設置:append=“ether=irq0,io-port0,eth0 ether=irql,io-portl,ethl”;
(3)在路由記錄基礎上建立包過濾防火墻軟件;
(4)編譯Linux內(nèi)核程序,并作出如下命令設置:
cd/usr/src/linux
make config
make dep
make clean
make zlilo
最終引導系統(tǒng),促使系統(tǒng)可建立起新的內(nèi)核程序。
3.2 采取身份認證與加密
通常來說,在各種安全防護方面均會采用一定的加密技術(shù)手段,然而一般所較常采用的單純數(shù)字加密方式較易被破解,因此應當采用數(shù)字與字母所互相組合的方式來進行加密處理,以提高密碼破解難度,確保系統(tǒng)的安全性;另外,在密碼保護當中也應當具備有著清醒的認識,可應用目前較為先進的指紋識別、圖像掃描甚至是虹膜識別技術(shù),來對系統(tǒng)進行多重安全防護。
3.3 搭建虛擬專用網(wǎng)絡
虛擬專用網(wǎng)絡技術(shù)即為在公共網(wǎng)絡當中構(gòu)建出一個專用網(wǎng)絡系統(tǒng)。這一網(wǎng)絡系統(tǒng)并非是完全獨立存在的網(wǎng)絡系統(tǒng),其僅是在邏輯層面上的一個專用網(wǎng)絡,仍是公網(wǎng)的一個構(gòu)成部分,是基于一定的通信協(xié)議基礎上,借助于互聯(lián)網(wǎng)在遠程客戶機與企業(yè)內(nèi)網(wǎng)間搭建起一條多協(xié)議的專用虛擬線路,其虛擬性主要體現(xiàn)在采用互聯(lián)網(wǎng)IP協(xié)議,可構(gòu)建起基于IP協(xié)議的虛擬專用網(wǎng)絡,能夠?qū)崿F(xiàn)對遠程客戶機和企業(yè)內(nèi)聯(lián)網(wǎng)間利用專用網(wǎng)絡系統(tǒng)來展開秘密通信操作。
3.4 應用病毒防控技術(shù)
對于網(wǎng)絡系統(tǒng)的設計病毒防控是必須要面對的一項問題。病毒在網(wǎng)絡環(huán)境當中不僅傳播速度快,而且危害程度巨大。同時在多任務、多線程的網(wǎng)絡系統(tǒng)當中病毒傳播還存在著高度的不確定性,進而便會導致網(wǎng)絡病毒防控難度大大提高。當前在應對這一問題時最為有效的措施即為購買商業(yè)化的病毒防御一體化解決方案,加強技術(shù)與管理兩方面的改進,要確保整體網(wǎng)絡實現(xiàn)對病毒防范的集中式、統(tǒng)一化管理,病毒預防軟件要能夠定期自動更新并安裝到相應的計算機設備當中。
4 結(jié)束語
總而言之,針對系統(tǒng)的安全性展開相關的設計工作是一項牽涉全局的工作內(nèi)容,在開展具體的設計工作之時必須要將其中的核心內(nèi)容與關鍵環(huán)節(jié)予以重點考慮。在加強計算機網(wǎng)絡安全技術(shù)的過程中,便應當針對有可能導致計算機網(wǎng)絡安全的各方面因素展開深入的分析與探究工作,進而來提出一些具有實踐可操作性的解決措施,以促使計算機網(wǎng)絡的安全級別能夠得以不斷提升。
參考文獻
[1]馬道京.淺析計算機網(wǎng)絡安全存在問題及其防范措施[J].無線互聯(lián)科技,2016(08).
[2]R利,梁紅杰.計算機網(wǎng)絡安全中的防火墻技術(shù)應用研究[J].電腦知識與技術(shù),2014(16).
第2篇:網(wǎng)絡安全技術(shù)解決方案范文
“一項調(diào)查顯示,70%的用戶對于云計算、移動應用的安全性心存疑慮。”亞信安全公司安全中心副總經(jīng)理軒曉荷在主題為《云與大數(shù)據(jù)時代的信息安全挑戰(zhàn)與對策》的演講中提到,“惡意軟件的大量增加與行業(yè)安全標準、監(jiān)管措施的缺失,使得企業(yè)在安全方面面臨更嚴峻的挑戰(zhàn)。在國外,越來越多的用戶習慣于購買安全運維服務,而中國90%的用戶還在采購安全產(chǎn)品。這就是差距所在。”
那么,如何才能縮小差距,不斷增強中國企業(yè)在云計算、大數(shù)據(jù)、移動應用方面的安全性呢?軒曉荷提出了四大策略:第一,準確識別云計算和大數(shù)據(jù)環(huán)境中的安全威脅,做到知己知彼;第二,有效平衡開放技術(shù)和安全防護的需求;第三,循序漸進提升企業(yè)的安全能力,從產(chǎn)品到服務逐步完善;第四,建立企業(yè)整體的安全體系,不斷完善安全機制。
由被動防御到主動防御
在新型安全攻擊層出不窮的時代,云中的大數(shù)據(jù)成了網(wǎng)絡犯罪集中攻擊的目標。今年8月,國務院常務會議通過《關于促進大數(shù)據(jù)發(fā)展的行動綱要》,其中明確指出了推動政府大數(shù)據(jù)開放、共享,并保證其安全的重要性。各地方政府也在逐步落實數(shù)據(jù)公開和數(shù)據(jù)資產(chǎn)化。保證大數(shù)據(jù)的安全已刻不容緩。
國家信息中心網(wǎng)絡安全部副主任李新友表示,保證大數(shù)據(jù)的安全需要做好以下幾方面工作:第一,政府部門要加強相關的立法工作,制定數(shù)據(jù)公開和交易的原則;第二,個人要增強隱私和信息保護意識;第三,廠商要在大數(shù)據(jù)安全產(chǎn)品和解決方案的創(chuàng)新方面下更多功夫。
隨著云計算應用、移動智能終端的普及,企業(yè)需要在原有的網(wǎng)絡環(huán)境中增加對移動設備的安全管理,同時還要小心應對數(shù)據(jù)中心逐步向虛擬化環(huán)境、云中遷移時帶來的安全管理挑戰(zhàn)。在這種情況下,企業(yè)必須建立立體化的防護體系,對企業(yè)基礎架構(gòu)與云計算、大數(shù)據(jù)、移動應用實行一體化的防護,采用統(tǒng)一的標準化的安全模式。以前,企業(yè)針對不同的應用可以采用單一功能的安全產(chǎn)品進行保護。現(xiàn)在,隨著應用和數(shù)據(jù)的集中,企業(yè)必須采用統(tǒng)一的身份認證和防護解決方案,以滿足合規(guī)的要求。
“企業(yè)需要防護的范圍在逐步擴大,除了物理設備、數(shù)據(jù)庫需要保護以外,就連虛擬資源池也要進行保護。”軒曉荷補充說,“企業(yè)需要保護的內(nèi)容越來越豐富,有必要時還要針對大數(shù)據(jù)提供特別的安全解決方案,此外還要考慮安全威脅治理等。”
最讓互聯(lián)網(wǎng)企業(yè)和云服務商感到頭痛的是防不勝防的DDoS攻擊。在一些競爭比較激烈的行業(yè)或領域,企業(yè)非常擔心自己的IT系統(tǒng)受到來自不明方的攻擊。雖然很多廠商可以提供防DDoS攻擊的設備,但是隨著云計算、大數(shù)據(jù)的出現(xiàn),單純依靠一個設備或單一的解決方案已經(jīng)不能有效抵御DDoS攻擊。”一些互聯(lián)網(wǎng)公司的作法是,在DDoS攻擊比較猛烈時,系統(tǒng)可以動態(tài)地快速增加服務帶寬,比如將過去服務100個客戶所需的帶寬瞬間提升至可以支持5萬甚至10萬客戶的帶寬水平,這樣一來,DDoS攻擊就會立刻失效。”亞信安全業(yè)務發(fā)展總監(jiān)童寧舉例說,“但是現(xiàn)在又出現(xiàn)了一種新型的更廉價的攻擊方法――CS攻擊,基于內(nèi)容安全的漏洞來實施攻擊。這種攻擊更具針對性,主要是消耗服務器的CPU資源。企業(yè)更應小心應對。”
以前,企業(yè)通常采用的是被動防御的策略,亡羊補牢。所以給人一種印象,企業(yè)和安全廠商總是被黑客牽著鼻子走。“其實,這是一種假象。安全廠商的許多技術(shù)創(chuàng)新工作都走在了黑客前面。在今年全球發(fā)生的16個零日攻擊中,趨勢科技預先發(fā)現(xiàn)了其中的8個。”童寧介紹說,“我們現(xiàn)在要變被動防御為主動防御,并將被動防御與主動防御的技術(shù)相結(jié)合,這樣才能讓黑客無處遁形。”
企業(yè)轉(zhuǎn)型的堅強后盾
今年9月1日,亞信科技宣布收購趨勢科技在中國的全部業(yè)務,包括核心技術(shù)和知識產(chǎn)權(quán)100多項,同時建立獨立的安全技術(shù)公司――亞信安全。此舉不僅在安全領域引起了強烈震動,而且對于亞信集團的轉(zhuǎn)型來說也是一個推動。2014年7月,亞信集團對原有業(yè)務進行了調(diào)整,分成了四大事業(yè)群,安全業(yè)務就是其中之一。借收購趨勢科技中國業(yè)務之機,亞信安全將原有的通信安全技術(shù)與趨勢科技的云安全、大數(shù)據(jù)安全技術(shù)相結(jié)合,成了網(wǎng)絡云安全領域新的領頭羊,VMware、微軟Auzure和亞馬遜AWS等全球領先的云服務商都是亞信安全的客戶。
收購完成后,亞信安全具備了提業(yè)互聯(lián)網(wǎng)整體安全軟件的能力,也將業(yè)務進一步擴展至金融、教育、制造、醫(yī)療等更多領域。亞信安全董事長何政表示:“亞信收購趨勢科技中國業(yè)務之后,擁有了國際領先的云安全關鍵核心技術(shù)和產(chǎn)品,將使中國在世界云安全產(chǎn)業(yè)版圖中占據(jù)重要位置,同時對于保障國家網(wǎng)絡安全與云產(chǎn)業(yè)安全,實施自主可控戰(zhàn)略也具有重要和深遠的意義。亞信安全作為一家中國本土公司,將充分發(fā)揮在網(wǎng)絡安全方面的技術(shù)優(yōu)勢,并與國家信息中心齊力合作,進一步加強自主研發(fā)、業(yè)務創(chuàng)新,保障國家網(wǎng)絡安全,共同推動國家信息安全體系的建設和發(fā)展。
亞信安全作為中國領先的云與大數(shù)據(jù)安全技術(shù)、產(chǎn)品、方案和服務供應商,將以“護航產(chǎn)業(yè)互聯(lián)網(wǎng)”為使命,堅持“產(chǎn)品、服務、運營三位一體”的經(jīng)營模式,助力客戶構(gòu)建“立體化主動防御體系”,推動企業(yè)實施自主可控的安全戰(zhàn)略。
亞信安全在北京和南京設有獨立研發(fā)中心,擁有超過2000人的專業(yè)安全團隊,在網(wǎng)絡安全、云和虛擬化安全、終端和移動安全、APT治理和安全服務等多個安全領域擁有具有自主知識產(chǎn)權(quán)的安全軟件和解決方案。“通過與趨勢科技分布在全球的15個惡意軟件實驗室合作,亞信安全可以響應和應對來自世界各地的威脅。”童寧介紹說。
亞信科技原來的安全部門主要為運營商提供服務,而趨勢科技中國服務的對象主要是政企客戶。亞信科技收購趨勢科技中國業(yè)務后,對雙方的安全業(yè)務進行了重新梳理和定位:對于雙方原來的優(yōu)勢領域,亞信安全將繼續(xù)深耕細作,不斷鞏固既有優(yōu)勢;對于雙方原來都不擅長的領域,亞信安全會整合現(xiàn)有的產(chǎn)品,繼續(xù)拓展新的業(yè)務領域;對于一些潛在的市場,比如中小企業(yè)安全市場、針對運營商的云安全服務等,亞信安全會全力出擊,以新的解決方案和服務覆蓋這些市場。“針對運營商,我們?nèi)詴捎弥变N的手段,還會為大型客戶提供定制化的產(chǎn)品和解決方案。對于商業(yè)市場,我們會充分借助2000家合作伙伴的力量加強渠道銷售。”軒曉荷表示。
亞信集團的新定位是“領航產(chǎn)業(yè)互聯(lián)網(wǎng)”。在亞信集團轉(zhuǎn)型的過程中,安全業(yè)務是不可或缺的一環(huán)。亞信安全將成為產(chǎn)業(yè)互聯(lián)網(wǎng)堅定的擁護者和堅強的安全后盾。
助力自主可控
沒有網(wǎng)絡安全就沒有國家安全。在世界各主要大國間的網(wǎng)絡空間安全爭奪戰(zhàn)愈演愈烈的情況下,我國已了網(wǎng)絡空間安全戰(zhàn)略和《網(wǎng)絡安全法(草案)》,以便更好地推動我國網(wǎng)絡信息安全的穩(wěn)步發(fā)展。
第3篇:網(wǎng)絡安全技術(shù)解決方案范文
電視臺給予網(wǎng)絡安全相當高的重視程度,是因為電視節(jié)目播出的安全性和信息的保密性是電視臺的追求和目標。電視臺的網(wǎng)絡信息極其關鍵,它掌控電視臺的存亡。要使電視節(jié)目安全播出,電視臺網(wǎng)絡安全不容忽視。廣播電視臺在傳播信息時,信息傳輸速度和質(zhì)量的提高往往會依靠計算機技術(shù),然而,計算機技術(shù)的網(wǎng)絡風險極大,信息容易外泄或遭受竊取。隨著時代的發(fā)展,電視臺網(wǎng)絡安全遇到了極大的挑戰(zhàn)和機遇,提高網(wǎng)絡的安全性義不容緩,網(wǎng)絡安全建設是一個龐大的建設。
2電視臺網(wǎng)絡安全的重要性以及網(wǎng)絡安全的問題
2.1電視臺網(wǎng)絡安全的重要性。在廣播電視臺的發(fā)展中,互聯(lián)網(wǎng)與信息技術(shù)是必不可少的。然而,互聯(lián)網(wǎng)的快速發(fā)展以及信息技術(shù)的迅速提升使之出現(xiàn)了網(wǎng)絡安全問題,隨之也成為廣播電視臺極其重視的問題。對于廣播電視臺來說,網(wǎng)絡安全是極為重要的,對其能否正常運行有著重大的意義。相應的工作人員都應給予網(wǎng)絡安全高度重視,了解其重要性。第一,電視臺網(wǎng)絡安全是數(shù)據(jù)信息傳輸時的保障,是處理信息時的安全保障,保障信息不外泄或被竊取。第二,提高電視臺處理信息的速度和提升其能力,都以網(wǎng)絡安全為基礎,提高互聯(lián)網(wǎng)應用能力也以網(wǎng)絡安全為保障。第三,網(wǎng)絡安全的穩(wěn)定,電視臺的信息與數(shù)據(jù)才能得到保護并有效地處理。因此,為了保護電視臺信息不被竊取等外部攻擊,管理者必須采取相應措施來加強建設網(wǎng)絡安全,推動電視臺與廣播的發(fā)展。2.2電視臺網(wǎng)絡安全的問題。電視臺網(wǎng)絡安全的問題不容忽視,更是亟待解決的一大問題。首先,在網(wǎng)絡硬件系統(tǒng)中占有重要地位的信息系統(tǒng)硬件在保護網(wǎng)絡安全和信息安全的過程中起到了主要的作用。然而,現(xiàn)如今大多數(shù)信息系統(tǒng)硬件的安全系數(shù)較低,存在著極大的安全隱患。一些只為了追求網(wǎng)絡信息的數(shù)量,而忽略了信息建設是否安全,導致許多地方的網(wǎng)絡技術(shù)沒有人監(jiān)管,而給病毒有了可乘之機,使得病毒在網(wǎng)絡上瘋狂繁殖。病毒可以控制電腦、破壞電腦,以及攻擊特定的服務器,導致局域網(wǎng)的總臺遭受癱瘓。無孔不入的病毒帶來的毀滅性是強大的,網(wǎng)絡安全受到嚴峻的挑戰(zhàn)。其次,物理運行環(huán)境的好壞也影響著網(wǎng)絡安全的問題。如果計算機在惡劣的物理環(huán)境下運行,比如在發(fā)生雷電、火災的情況下,計算機就不能正常運行,設備也會受到損壞而發(fā)生故障。
3電視臺網(wǎng)絡安全解決對策
3.1加強網(wǎng)絡安全技術(shù)。第一,設置防火墻。防火墻是保障網(wǎng)絡安全的重要渠道,它能防止黑客以及一些不良信息入侵電視臺的網(wǎng)絡,能提高電視臺網(wǎng)絡防御能力,確保電視臺信息數(shù)據(jù)得到安全的保障。第二,使用防毒軟件。使用防毒、殺毒軟件也是保障網(wǎng)絡安全的重要手段之一。防毒軟件能有效地阻擋病毒的入侵,具有較強的防毒功能。根據(jù)當?shù)仉娨暸_的實際情況安裝相適應的防毒軟件,能有效地加強網(wǎng)絡的安全性,防止病毒入侵摧毀網(wǎng)絡系統(tǒng)設備。第三,使用密碼技術(shù)。在如今信息傳輸和數(shù)據(jù)通信的時代下,密碼技術(shù)是不可缺少的。密碼技術(shù)能有效地防御信息外泄,保護網(wǎng)絡的安全。密碼技術(shù)對數(shù)據(jù)信息進行加密,運用信息解密和加密數(shù)據(jù)的方法來保障數(shù)據(jù)信息的安全。因此,廣播電視臺應對密碼技術(shù)重視起來,引進密碼技術(shù)并靈活地使用密碼技術(shù)于處理電視臺信息數(shù)據(jù)的過程中。3.2進行網(wǎng)絡安全檢測。在發(fā)送網(wǎng)絡信息之前,需對其進行檢測和檢查工作,并提前對信息進行監(jiān)察以保障網(wǎng)絡系統(tǒng)的安全性,這就是安全檢測。廣播電視臺的信息之所以很復雜,是因為其數(shù)據(jù)來源范圍大,而這就會導致電視臺網(wǎng)絡安全受到威脅。為了數(shù)據(jù)信息能安全存放,這就需要引進安全檢測,防御信息處于危險的環(huán)境中,加強電視臺的網(wǎng)絡安全。3.3建立虛擬專有網(wǎng)絡。擁有優(yōu)越的技術(shù),促進虛擬專有網(wǎng)絡的發(fā)展。虛擬專有網(wǎng)絡在電視臺網(wǎng)絡安全發(fā)展中起到了一個重要的作用。現(xiàn)實網(wǎng)絡在虛擬專有網(wǎng)絡的掩護和保護之下,能夠有效地提高電視臺網(wǎng)絡的安全性,減少網(wǎng)絡攻擊電視臺的頻率。因此,廣播電視臺應把虛擬專有網(wǎng)絡投入應用當中。3.4加強安全管理,提高管理水平。電視臺網(wǎng)絡安全的管理工作非常重要,強大的安全管理能極大提高網(wǎng)絡的安全性。物理層面的安全管理是物理層面的網(wǎng)絡安全問題的必經(jīng)之路,是因為物理層面既是獨特的,又是獨立的,而信息處理和交換的層面即指物理層。因此,廣播電視臺應高度重視物理層面的安全管理,根據(jù)不同的情況建立不同的物理層面,做好物理層面的隔離工作,符合網(wǎng)絡安全需求,使電視臺網(wǎng)絡安全得到提升。管理水平的高低也給廣播電視臺網(wǎng)絡安全帶來不同的影響。因此,建立一支高素質(zhì)、懂技術(shù)、善于管理的員工隊伍是極其重要的。對外引進人才,對內(nèi)加強崗位、員工培訓,適當激勵員工發(fā)展,這樣才能壯大隊伍,才能變得強大。擁有一支強大的員工隊伍,我們才能為新時代的電視臺提供更有效的網(wǎng)絡安全建設服務。3.5政策上的積極有力的支持。建設電視臺網(wǎng)絡安全不僅僅只是為了宣傳系統(tǒng),還為造福百姓而努力著。但改造有線電視網(wǎng)絡安全以及整體轉(zhuǎn)換數(shù)字電視需要很多的財力、精力,需要政府部門的配合與支持。只有政府部門給予積極的支持,才能營造出一個良好的環(huán)境。轉(zhuǎn)換數(shù)字電視這項偉大的工程建設需要政府部門給予資金上的大力支持和理解,政府在政策和經(jīng)濟上一并支持,才能有利于電視臺網(wǎng)絡安全的發(fā)展。
4總結(jié)
總而言之,新時代電視臺的網(wǎng)絡安全不容忽視。由于網(wǎng)絡信息數(shù)量增長迅速和快速的信息傳播速度,電視臺網(wǎng)絡安全受到威脅是不可避免的。電視臺的節(jié)目信息會遭到外泄,甚至被竊取,導致于電視臺無法進行正常運作。當信息傳輸渠道被破壞時,傳輸時間會增長,那么電視播放質(zhì)量就會下降。而一些黑客還會篡改或者摧毀信息,使得電視臺網(wǎng)絡安全遭受嚴重的危害。因此,相關工作人員一定要認識到網(wǎng)絡安全的重要性和嚴峻性,加強網(wǎng)絡安全技術(shù),采取相關的網(wǎng)絡安全解決對策,推動新時代電視臺網(wǎng)絡安全的發(fā)展。
作者:圖亞 單位:新疆博爾塔拉蒙古自治州精河縣電視臺
參考文獻:
[1]何雄彪.電視臺網(wǎng)絡安全解決方案的分析[J].決策與信息旬刊,2015(5):106.
[2]劉海蕓.廣播電視臺業(yè)務網(wǎng)絡網(wǎng)間安全方案設計[J].聲屏世界,2016(s1):45-47.
[3]楊璞.智能手機泄密風險分析及安全保密技術(shù)解決方案研究[J].網(wǎng)絡安全技術(shù)與應用,2015(4):138-139.
[4]程琦.計算機網(wǎng)絡信息安全影響因素與防范解析[J].網(wǎng)絡安全技術(shù)與應用,2016(2):6.
第4篇:網(wǎng)絡安全技術(shù)解決方案范文
病毒和黑客攻擊是糖廠局域網(wǎng)面臨的兩大威脅,現(xiàn)實中糖廠局域網(wǎng)經(jīng)常遭到黑客或病毒的攻擊,黑客入侵網(wǎng)絡系統(tǒng)對信息進行刪除、修改、竊取,計算機病毒也對網(wǎng)絡造成干擾和破壞。這些安全問題存在的主要原因,一是糖廠局域網(wǎng)的網(wǎng)絡防護體系不嚴密,用戶的網(wǎng)絡安全意識不強。二是網(wǎng)絡系統(tǒng)本身的脆弱性以及網(wǎng)絡安全技術(shù)的缺陷。三是網(wǎng)絡安全管理制度不健全。
局域網(wǎng)使用的TCP/IP協(xié)議在設計之初并沒有考慮安全問題,存在許多的安全缺陷,主要表現(xiàn)在IP欺騙、路由選擇欺騙、TCP序列號欺騙、TCP序列號轟炸攻擊這幾方面。黑客入侵糖廠局域網(wǎng)的方式可以分為被動式和主動式兩類,被動式進攻是入侵者僅僅竊聽信息,并不修改網(wǎng)絡的信息。主動式進攻是入侵者與目標系統(tǒng)交互,一般會修改網(wǎng)絡中的數(shù)據(jù),具體的攻擊技術(shù)主要有:Sniffer探測、端口掃描、特洛伊木馬、拒絕服務攻擊等。
糖廠網(wǎng)絡安全的威脅還可能來自內(nèi)部,主要表現(xiàn)在兩方面,一是企業(yè)員工人為的失誤,包括密碼不設口令或者口令過于簡單、沒有及時對系統(tǒng)進行升級或打補丁、保留缺省賬號等。二是企業(yè)員工的蓄意破壞,比如在計算機中植入木馬以獲得非法訪問權(quán)。這些都會給糖廠的正常生產(chǎn)和經(jīng)營帶來嚴重的破壞。
2糖廠局域網(wǎng)絡的結(jié)構(gòu)模型
糖廠屬于流程型企業(yè),甘蔗是主要的原材料,生產(chǎn)具有季節(jié)性,制糖企業(yè)的興旺與當?shù)胤N植業(yè)有著密切的聯(lián)系,使其管理上與其他類型企業(yè)有明顯不同。制糖企業(yè)制造成本只占到制糖全部成本的30,而原料、運輸、銷售等方面的成本占了比較大的比重,糖廠必須從甘蔗原料的種植、運輸、生產(chǎn)到成品糖銷售等環(huán)節(jié)全面地進行成本管理,在信息管理系統(tǒng)中要集成各種農(nóng)務軟件。另外,糖廠廣泛應用著多種信息化技術(shù),主要有智能優(yōu)化控制技術(shù)、傳感檢測技術(shù)、數(shù)控技術(shù)、DCS技術(shù)、PLC技術(shù)、嵌入式控制器等,這些技術(shù)都需要計算機網(wǎng)絡來進行集成,糖廠的局域網(wǎng)絡必須適應上述的特點。
糖廠局域網(wǎng)一般有Web、FTP、電子郵件、DNS等服務器以及十幾至幾百臺的工作站,比較先進的制糖企業(yè)還把嵌入式控制系統(tǒng)集成在網(wǎng)絡中。下圖是糖廠目前采用比較普遍的一種局域網(wǎng)結(jié)構(gòu)模型。
3解決糖廠網(wǎng)絡安全問題的對策
網(wǎng)絡安全不僅是一個技術(shù)問題,還是一個社會問題和管理問題,這里只是從技術(shù)的層面上探討解決糖廠網(wǎng)絡安全問題的一些對策。
3.1實行嚴格的網(wǎng)絡訪問控制
網(wǎng)絡訪問控制是保證網(wǎng)絡安全的核心策略,它主要是保證網(wǎng)絡資源不被非法訪問。訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等,各種安全策略必須相互配合才能真正起到保護作用。
對于糖廠的網(wǎng)絡系統(tǒng)而言,其訪問控制可分為對內(nèi)訪問控制和對外訪問控制。對外訪問控制指外部用戶必須經(jīng)過防火墻才能訪問內(nèi)部網(wǎng)絡資源,防火墻一般由過濾路由器、服務器或堡壘主機組成,過濾路由器根據(jù)TCP/IP報頭來過濾信息,然后把信息轉(zhuǎn)發(fā)到堡壘主機,堡壘主機再根據(jù)不同的應用協(xié)議轉(zhuǎn)發(fā)信息流。這種體系結(jié)構(gòu)下的防火墻提供了多層安全保護,因此是比較安全的。因為很多安全問題都來自內(nèi)部,因此必須對網(wǎng)絡內(nèi)部用戶的訪問采取適當?shù)目刂拼胧聢D是網(wǎng)絡內(nèi)部用戶對網(wǎng)絡資源的訪問控制模型。
3.2把較新的網(wǎng)絡安全技術(shù)應用在網(wǎng)絡系統(tǒng)中
在糖廠局域網(wǎng)的建設與管理中,要逐步融入一些網(wǎng)絡安全新技術(shù),使網(wǎng)絡系統(tǒng)更加安全可靠。目前常用的網(wǎng)絡安全技術(shù)主要有數(shù)據(jù)加密、身份驗證,存取控制、虛擬網(wǎng)絡、防火墻技術(shù)等,此外還有入侵檢測技術(shù)、蜜罐技術(shù)、取證技術(shù)、物理隔離技術(shù)等幾種新的網(wǎng)絡安全技術(shù)。入侵檢測系統(tǒng)(IDS)是主動保護系統(tǒng)免受攻擊的一種網(wǎng)絡安全技術(shù),當前已經(jīng)出現(xiàn)了不少實用的入侵檢測系統(tǒng)。蜜罐(HoneyPot)是誘騙攻擊者的一種有效方法,它可以查找并發(fā)現(xiàn)新型的攻擊工具,解決了IDS無法對新型攻擊快速作出反應的缺點。蜜網(wǎng)(Honeynet)作為一種研究型蜜罐,是目前獲取攻擊者信息的主要來源之一。同時,基于IDS和蜜罐的計算機取證技術(shù)也得到了發(fā)展,開發(fā)了很多計算機取證的工具,如Encase、SafeBack等。物理隔離技術(shù)是近幾年出現(xiàn)的一個
全新的安全防御手段,正逐步成為網(wǎng)絡安全體系中不可缺少的環(huán)節(jié),新一代的物理隔離產(chǎn)品能實現(xiàn)動態(tài)的隔斷,并能對信息進行篩選。
3.3一種實用的網(wǎng)絡安全解決方案
網(wǎng)絡安全解決方案主要包括兩方面,一是風險評估,二是安全策略。安全策略是網(wǎng)絡安全體系的核心,它包括需求分析、安全管理制度、技術(shù)防護、緊急響應等幾個方面。從技術(shù)的角度看,目前網(wǎng)絡安全技術(shù)及其產(chǎn)品的種類很多,從底層到應用都有相應的網(wǎng)絡安全產(chǎn)品可以選用,比如瑞星公司、Nod32公司的系列安全產(chǎn)品都能提供比較好的安全保障。
保證網(wǎng)絡設備的正常運行,特別是保證關鍵業(yè)務系統(tǒng)的安全,是糖廠網(wǎng)絡系統(tǒng)安全需求的核心,主要包括:訪問控制,確保網(wǎng)絡系統(tǒng)不被非法訪問;數(shù)據(jù)安全,保證數(shù)據(jù)庫系統(tǒng)的安全性和可靠性;入侵檢測,對于破壞網(wǎng)絡系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤;完善的防病毒措施等。
下面介紹一個對于糖廠比較完善和實用的網(wǎng)絡安全解決方案,這個方案能比較徹底地解決糖廠局域網(wǎng)的安全問題,其安全網(wǎng)絡拓撲結(jié)構(gòu)如圖3所示。以下具體介紹這個方案的基本策略。
3.3.1設置防火墻在Internet與糖廠局域網(wǎng)之間部署一臺防火墻,其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區(qū),使內(nèi)、外網(wǎng)相互隔離。局域網(wǎng)通過路由器與Internet連接,外網(wǎng)的用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS),這樣既保護內(nèi)網(wǎng)資源不被非法訪問或破壞,也阻止了內(nèi)部用戶對外部不良資源的使用,并能夠?qū)Πl(fā)生的安全事件進行跟蹤和審計。防火墻技術(shù)有多種,這里最好選用狀態(tài)檢測型防火墻,它能在不同層中對數(shù)據(jù)進行檢測,從而提高了效率,簡化了規(guī)則。
3.3.2設置入侵檢測系統(tǒng)將入侵檢測引擎接入核心交換機,對網(wǎng)絡系統(tǒng)進行實時檢測。入侵檢測是防火墻之后的第二道安全閘門,在發(fā)現(xiàn)入侵行為后,會及時作出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等,擴展了系統(tǒng)管理員的安全管理能力。
3.3.3安裝殺毒軟件殺毒軟件不僅要部署在應用服務器上,網(wǎng)絡內(nèi)部各個環(huán)節(jié)也要安裝殺毒軟件,并且要及時更新病毒代碼庫。在選擇殺毒軟件時要考慮病毒查殺能力、病毒代碼更新能力、實時監(jiān)控能力、占用系統(tǒng)資源情況等因素,國內(nèi)的產(chǎn)品如瑞星、江民等都是不錯的選擇。
3.3.4設置漏洞掃描器在局域網(wǎng)內(nèi)設置一個漏洞掃描器,它能幫助管理員發(fā)現(xiàn)網(wǎng)絡中存在的安全隱患和漏洞,并生成報告和安全建議。掃描器的放置位置一般分為兩種:網(wǎng)絡內(nèi)部或網(wǎng)絡外部,本方案將掃描器軟件放置在網(wǎng)絡內(nèi)部,這樣可以檢測網(wǎng)絡中存在的所有安全隱患。
3.3.5設置專用的備份服務器在局域網(wǎng)中設置一個專用的備份服務器,連接大容量的存儲設備(磁帶庫、光盤庫等),利用第三方存儲備份軟件系統(tǒng),可以實現(xiàn)自動備份、數(shù)據(jù)分級存儲以及災難恢復,是保障數(shù)據(jù)安全的有效措施。
4小結(jié)
糖廠網(wǎng)絡系統(tǒng)的安全隱患隱藏在各個角落,網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程,從技術(shù)上來說,網(wǎng)絡安全由安全的操作系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,把這些安全組件進行適當?shù)嘏渲茫湍苡行У乇U咸菑S網(wǎng)絡系統(tǒng)的安全。
參考文獻
[1]王亞原.企業(yè)網(wǎng)絡安全問題及對策.太原師范學院學報(自然科學版),2005,4(1).
[2]田茂熙.構(gòu)建企業(yè)網(wǎng)絡安全體系.貴州化工,2005,30(1).
第5篇:網(wǎng)絡安全技術(shù)解決方案范文
關鍵詞:局域網(wǎng);安全技術(shù);病毒防護
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2007)17-31302-02
The Safety Technique and Viral Protection of LAN
WANG Yan-ping1, LI Li-rong2
(1.China Heliconpter Research and Development Institute, Jingdezhen 333001, China; 2.College of Automation Engineering, Nanjing University of Aeronautics & Astronautics, Nanjing 210003, China)
Abstract: The globalization economy tide causes the enterprise and the enterprise interior need establishes one kind of highly effective relation. Local Area Network and internet has met this kind of need and develop quite rapidly, simultaneously enterprise's information security and the viral protection also appeared very important. Through to the network security technology analysis and proposed the Local Area Network safe protection solution, This article has certain significance to theLocal Area Network widespread application and enterprise's information security.
Key words: ocal Area Network; safety technique; viral protection
1 引言
隨著計算機網(wǎng)絡信息的快速發(fā)展,人們對計算機網(wǎng)絡的依賴愈來愈大。局域網(wǎng)在企業(yè)內(nèi)部已經(jīng)相當普遍,已成為新經(jīng)濟時代的基礎設施。企業(yè)內(nèi)部借助局域網(wǎng)實現(xiàn)信息的交換和共享,但企業(yè)局域網(wǎng)不是一個自我封閉的網(wǎng)絡系統(tǒng),也需要通過Internet網(wǎng)絡系統(tǒng)與他人實現(xiàn)信息傳遞、營銷、交流、娛樂等。隨著網(wǎng)絡應用越來越深入各行各業(yè),各種目的的網(wǎng)絡攻擊和入侵也越來越頻繁,網(wǎng)絡安全日益成為與國家、政府、企業(yè)和個人利益息息相關的大事。
Internet的美妙之處在于你能和每個人都能互相連接,Internet的可怕之處也在于每個人都能和你互相連接。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、信息安全技術(shù)等多種學科的綜合性學科。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護, 不受偶然的或惡意的原因而遭受更改、破壞、泄密, 系統(tǒng)連續(xù)可靠正常地運行, 網(wǎng)絡服務不中斷。它有四個基本特征: 保密性、完整性、可用性、可控性。影響網(wǎng)絡安全的因素主要有然環(huán)境引起的不安全因素,人為因素和作系統(tǒng)及軟件本身的因素。
計算機病毒是一種常見的威脅局域網(wǎng)安全方式,受到越來越多的關注。當前,計算機病毒正呈現(xiàn)出傳播方式、傳播途徑以及破壞方式更加多樣化趨勢。目前計算機病毒的網(wǎng)絡化趨勢更加明顯,病毒的入侵主要來自蠕蟲病毒,同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計算機病毒表現(xiàn)出以下特點:傳播方式和途徑多樣化;病毒的欺騙性日益增強;病毒的傳播速度極快;病毒的制作成本降低;病毒變種增多;病毒難以控制和根治;病毒傳播更具有不確定性和跳躍性;病毒版本自動在線升級和自我保護能力;病毒編制采用了集成方式等。如何加強局域網(wǎng)病毒防護是保障網(wǎng)絡信息安全的關鍵。
知己知彼,百戰(zhàn)不殆。了解和掌握各種網(wǎng)絡攻擊手段和病毒知識才能有針對性的提高保障局域網(wǎng)安全的能力。構(gòu)建適合自身企業(yè)局域網(wǎng)信息安全的網(wǎng)絡。
2 網(wǎng)絡攻擊方式
目前網(wǎng)絡中常見的攻擊手段主要分為三個階段:偵察、竊聽和攻擊。在偵察階段主要是端口掃描,經(jīng)典的掃描命令有ping、tracert、rusers和finger。通過使用掃描可以不留痕跡的發(fā)現(xiàn)遠程服務器的各種TCP端口的分配及提供的服務和他們的軟件版本,可以使攻擊者間接或直觀了解到遠程主機所存在的安全問題。“嗅探器”可以很形象的比喻成打入敵人內(nèi)部的特工,源源不斷的將敵人的情報送出來。在網(wǎng)絡上Sniffer是一種常用的收集有用數(shù)據(jù)的方法。這種數(shù)據(jù)可以是用戶的帳戶和密碼,也可以是一些商用的機密數(shù)據(jù)等等。在完成偵察和竊聽后,常用的侵入手段有IP欺騙、特洛伊木馬、緩沖區(qū)溢出和病毒等。隨著網(wǎng)絡的不斷發(fā)展,這些網(wǎng)絡攻擊手段更加多樣化,其基本特征是一致的。
3 網(wǎng)絡病毒
網(wǎng)絡病毒的傳播速度快,傳播范圍廣,危害也大。網(wǎng)絡病毒還特別難以清除,只要有一臺工作站的病毒未被徹底清除,整個網(wǎng)絡就有可能重新感染。
當計算機感染上病毒出現(xiàn)異常時,人們首先想到的是用殺毒軟件來清除病毒。但令人擔擾的是殺毒工具軟件被廣泛使用的今天,病毒的種類和數(shù)量以及所造成的損失不是逐年減少,反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具,已顯露出重大缺陷― 對病毒的防范始終滯后于病毒的出現(xiàn)。
隨著網(wǎng)絡的迅速發(fā)展,網(wǎng)絡技術(shù)的日漸更新,網(wǎng)絡時代的計算機信息安全越來越重要,針對網(wǎng)絡系統(tǒng)的安全如何研制開發(fā)出由過去被動防御為主動防御計算機病毒的新型產(chǎn)品顯得尤為重要。特別值得一提的是能開發(fā)出通用的能對計算機網(wǎng)絡各種病毒都有免疫作用的技術(shù)已是全球反病毒機制所面臨的巨大挑戰(zhàn),它具有現(xiàn)實的網(wǎng)絡信息安全的急迫性。
4 局域網(wǎng)安全技術(shù)
計算機網(wǎng)絡安全從技術(shù)上來講主要由防火墻、防病毒、入侵檢測、網(wǎng)絡監(jiān)控、信息審計和網(wǎng)絡加密等。網(wǎng)絡安全體系及協(xié)議包括網(wǎng)絡應用實體結(jié)構(gòu)、ISO/OSI安全參考模型、TCP/IP安全參考模型、IPSec協(xié)議SSL協(xié)議和SOCKS協(xié)議等。要保證局域網(wǎng)的安全應該建立全面的安全防護體系,實現(xiàn)阻止入侵、檢測入侵、抵抗入侵和自動恢復的功能。
5 局域網(wǎng)安全防護解決方案
對于局域網(wǎng)內(nèi),網(wǎng)絡安全防范措施主要有防火墻、加密傳輸、VPN和入侵檢測。
圖1 Internet中安全控制過程
防火墻是設置在用戶網(wǎng)絡和外界之間的一道屏障,防止不可預料的、潛在的破壞侵入用戶網(wǎng)絡。防火墻在開放和封閉的界面上構(gòu)造一個保護層,屬于內(nèi)部范圍的業(yè)務,依照協(xié)議在授權(quán)許可下進行;外部對內(nèi)部網(wǎng)絡的訪問受到防火墻的限制。防火墻的目的是過濾進出網(wǎng)絡的數(shù)據(jù)包。管理進出網(wǎng)絡的訪問行為。封堵某些禁止的訪問行為。記錄通過防火墻的信息內(nèi)容和活動。對網(wǎng)絡攻擊進行檢測和告警。傳統(tǒng)防火墻的優(yōu)點是通過邊界網(wǎng)關防止非法用戶進入內(nèi)部網(wǎng)絡、保護網(wǎng)絡中脆弱的服務、可監(jiān)視網(wǎng)絡的安全性,并產(chǎn)生報警信息審計和記錄網(wǎng)絡流量。它也有過份依賴網(wǎng)絡拓撲結(jié)構(gòu)、無法防止內(nèi)部發(fā)生的攻擊行為、防火墻負擔過重、對防火墻的依賴性太強等缺點。最明顯的是有繞過防火墻的非法訪問。
圖2 繞過防火墻的訪問
網(wǎng)絡數(shù)據(jù)加密主要有兩種方式,即在網(wǎng)絡上層(應用層)加密和在物理協(xié)議層(IP棧中)加密。前者網(wǎng)管人員可對數(shù)據(jù)有選擇地加密,而后者則是對給定鏈路上的所有數(shù)據(jù)都加密。這兩種加密方式各有優(yōu)劣,在應用層加密,網(wǎng)管員對加密對象有選擇權(quán)。由于其加密數(shù)據(jù)相對少故而對網(wǎng)絡性能影響較小,但它對每個應用軟件都必須設置加密參數(shù),比較麻煩且網(wǎng)管人員必須經(jīng)過培訓。而在IP棧中加密由于采用的是強制加密,因此能較好地防止竊聽者基于通信量進行分析等手段,保密性較好,但這種極端做法對網(wǎng)絡性能影響較大,使網(wǎng)絡處理能力降低不少。
VPN作為一種網(wǎng)絡信息安全技術(shù)包含三種種方式:內(nèi)部網(wǎng)VPN是在公司總部和它的分支機構(gòu)之間建立VPN;遠程訪問VPN在公司總部和遠地雇員之間建立VPN;外連網(wǎng)VPN在公司與商業(yè)伙伴、顧客、供應商、投資者之間建立VPN。它具有以下優(yōu)點:能夠驗證用戶身份并嚴格控制只有授權(quán)用戶才能訪問VPN。提供審計和記費功能,顯示何人在何時訪問了何種信息;為用戶分配專用網(wǎng)絡上的地址并確保地址的安全性;對通過公共互聯(lián)網(wǎng)絡傳遞的數(shù)據(jù)必須經(jīng)過加密,確保網(wǎng)絡其他未授權(quán)的用戶無法讀取該信息;能夠生成并更新客戶端和服務器的加密密鑰;支持公共互聯(lián)網(wǎng)絡上普遍使用的協(xié)議,包括IP,IPX等。
圖3 內(nèi)部網(wǎng)VPN
任何一種局域網(wǎng)安全技術(shù)都有其自身的優(yōu)缺點,并不是百分百的可靠。因而針對于不同的局域網(wǎng)應該制定不同的安全策略,實施不同的局域網(wǎng)安全防護解決方案。整體解決方案思路是是防止來自外部和內(nèi)部的各種入侵和攻擊,防止非授權(quán)的訪問,防止各種冒充、篡改和抵賴等行為,防止信息泄密和被破壞。因此,在建立系統(tǒng)時,必須磨合用戶各種需求,綜合各種安全技術(shù),整合各種安全管理措施,采取“統(tǒng)一規(guī)劃,分布實施”的總體戰(zhàn)略,實現(xiàn)對系統(tǒng)的總體安全防護。
圖4 整體解決方案
6 結(jié)束語
網(wǎng)絡安全技術(shù)和病毒防護是一個涉及多方面的系統(tǒng)工程,既需要采取必要的安全技術(shù)來抵御各種攻擊,又需要規(guī)范和創(chuàng)建必要的安全管理模式、規(guī)章制度來約束人們的行為。因此, 局域網(wǎng)信息安全不是一個單純的技術(shù)問題,它涉及整個網(wǎng)絡安全系統(tǒng),包括防范技術(shù)、規(guī)范管理等多方面因素。只要我們正視網(wǎng)絡的脆弱性和潛在威脅,不斷健全網(wǎng)絡的相關法規(guī),提高網(wǎng)絡安全防范的技求是否被授權(quán),從而阻止對信息資源的非法用戶使用網(wǎng)絡系統(tǒng)時所進行的所有活動的水平,才能有力地保障網(wǎng)絡安全。
參考文獻:
[1]方勇, 等. 信息系統(tǒng)安全導論[M]. 電子工業(yè)出版社,2003.
[2]羅國慶,陳良萍. 網(wǎng)站建設案例精粹[M]. 電子工業(yè)出版社,2004.
[3]奠石鎂,何蓉. 計算機網(wǎng)絡安全技術(shù)研究[J]. IT技術(shù),2006(30).
[4]馮登國. 計算機通信網(wǎng)絡安全[M]. 清華大學出版社,2001.
第6篇:網(wǎng)絡安全技術(shù)解決方案范文
關鍵詞:電子商務安全,計算機網(wǎng)絡安全,商務安全交易
計算機網(wǎng)絡技術(shù)的發(fā)展,引發(fā)了人類歷史上的第三次信息革命。隨著互聯(lián)網(wǎng)經(jīng)濟的快速發(fā)展,電子商務作為一種新的商業(yè)模式,正受到越來越多的商家和消費者的青睞。以淘寶為代表的O2O、C2C、B2B以及B2C等新型電商經(jīng)營模式由于其具有方便、快捷、并且不受時間和空間限制的優(yōu)點,從而對傳統(tǒng)商業(yè)模式形成了巨大的挑戰(zhàn)。然而,沒有時空限制的網(wǎng)上購物在給人帶來快捷、方便和高效的同時,也帶來了商業(yè)誠信、交易安全和物流配送等多方面的困擾。由于互聯(lián)網(wǎng)的開放性和匿名性,不可避免的存在許多安全隱患。
一、電子商務安全從整體上可分為兩大部分:計算機網(wǎng)絡安全和商務交易安全。
對于計算機網(wǎng)絡而言,存在以下潛在的隱患:
1、缺少嚴格的網(wǎng)絡安全管理制度。
2、采用缺省安裝。部分來路不明的軟件可能會自動安裝一些有安全隱患的組件,導致系統(tǒng)在安裝后存在安全漏洞。
3、系統(tǒng)補丁安裝不及時不全面。由于操作系統(tǒng)的漏洞而導致主機處于不安全的狀態(tài),容易被黑客入侵植入木馬等程序。
4、安全產(chǎn)品使用不當。雖然采用了一些網(wǎng)絡安全設備,但由于安全產(chǎn)品本身的問題或使用問題,這些產(chǎn)品并沒有起到應有的作用。
二、近年來,針對電子商務安全的要求,推出了不少有效的安全策略。
(一)計算機網(wǎng)絡安全策略
充分利用各種先進的技術(shù),在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加惡意攻擊的難度。實施網(wǎng)絡安全的防范措施如下:
1、規(guī)范內(nèi)部管理,建立和實施嚴密的計算機網(wǎng)絡安全制度。
2、加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞。
3、刪除多余的不需要的網(wǎng)絡協(xié)議,只保留如TCP/IP等必要的網(wǎng)絡通訊協(xié)議。并且關閉不必要的帶有安全隱患的服務。
4、用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡系統(tǒng)進行掃描分析,找出可能存在的安全隱患,并及時加以修補。
5、從主干路由器到用戶各級均建立起完善的訪問控制措施,安裝防火墻,加強授權(quán)管理和認證。
6、加強數(shù)據(jù)備份和恢復措施。
(二)商務安全交易策略
電子商務的信息安全在很大程度上依賴于技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪問控制技術(shù)、信息流控制技術(shù)、數(shù)據(jù)保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內(nèi)容分類識別和過濾技術(shù)、網(wǎng)絡隱患掃描技術(shù)、系統(tǒng)安全監(jiān)測報警與審計技術(shù)等。
1、防火墻技術(shù)。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術(shù),它的主要功能是加強網(wǎng)絡之間的訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡(被保護網(wǎng)絡)。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略對其進行檢查,來決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。簡單防火墻技術(shù)可以在路由器上實現(xiàn),而專用防火墻提供更加可靠的網(wǎng)絡安全控制方法。
2、加密技術(shù)。數(shù)據(jù)加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。加密技術(shù)實際上是一個技術(shù)的系統(tǒng),是由明文、密文、密碼方案和密鑰構(gòu)成的。
3、數(shù)字簽名技術(shù)。數(shù)字簽名(DigitalSignature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數(shù)字簽名的實現(xiàn)有很多的方法,其中最為常用的就是非對稱加密技術(shù)和Hash算法相結(jié)合的方式。基于公鑰密碼加密體制和私鑰密碼體制都可以采用數(shù)字簽名技術(shù)。目前應用最廣泛的數(shù)字簽名的算法有三種,分別是RSA數(shù)字簽名、DSS數(shù)字簽名和基于ECC密碼體制的ECDSA數(shù)字簽名。在電子商務安全保密系統(tǒng)中,數(shù)字簽名技術(shù)有著特別重要的地位,在電子商務安全服務中的源鑒別、完整、不可否認服務中都要用到數(shù)字簽名技術(shù)。
4、數(shù)字時間戳技術(shù)。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內(nèi)容。在簽名時加上一個時間標記,即有數(shù)字時間戳(DigitaTimestamp)的數(shù)字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
5、虛擬專用網(wǎng)。虛擬專用網(wǎng)是用于因特網(wǎng)交易的一種專用網(wǎng)絡,它可以在兩個系統(tǒng)之間建立安全的信道,用于電子數(shù)據(jù)交換。在虛擬專用網(wǎng)中,雙方的數(shù)據(jù)通信量要大得多,而且通信的雙方彼此都很熟悉。
6、證書管理機制。證書管理機構(gòu)是大型用戶群體所信賴的第三方,負責證書的頒發(fā)和管理。證書管理機構(gòu)包括兩大部分,即SET認證體系和PKI體系。
電子商務尚是一個機遇和風險共存的新領域,對網(wǎng)絡及應用系統(tǒng)提出了許多安全要求,只有建立起科學、合理的安全體系結(jié)構(gòu)和控制機制才能保證電子商務交易的安全性。它不僅僅是技術(shù)問題,也是一個管理問題,包括管理機構(gòu)、法律、技術(shù)、經(jīng)濟等方面。網(wǎng)絡安全技術(shù)只是實現(xiàn)電子商務安全的工具。因此要解決電子商務安全問題,還必須要加強網(wǎng)絡管理。因此,綜合網(wǎng)絡安全技術(shù)和加強網(wǎng)絡安全管理,形成網(wǎng)絡總體解決方案,是電子商務保證其IT基礎平臺可靠高效運行的關鍵所在。
參考文獻:
[1]、(美)Kenneth C.Laudon,Carol Guercio Traver.子商務商業(yè)、技術(shù)和社會[M].高等教育出版社,2004年
[2]、吳應良,徐學軍,孫東川.電子商務的安全機制與體系結(jié)構(gòu)模型[J].信息網(wǎng)絡安全,2001
第7篇:網(wǎng)絡安全技術(shù)解決方案范文
紐約期貨交易所最重要的業(yè)務活動就是交易,因此業(yè)務連續(xù)性非常重要。2001年,911發(fā)生之時,紐約期貨交易所是四個世界易中心之一,也是當時世界上惟一具有備份交易場所的交易所。如今,紐約期貨交易所也是世界上惟一具有三角IT運營的交易所,其三個站點彼此相連,并互為備份。
2002年春天,財務審核員建議紐約期貨交易所設立一個新的職務――首席信息安全官(CISO),其工作職責是標準化和加速各種信息安全的保護措施。這表明各種網(wǎng)絡攻擊及其他信息技術(shù)的泛濫已經(jīng)威脅到了紐約期貨交易所的運營連續(xù)性。紐約期貨交易所于2002年6月任命Jim DiDominicus為第一任CISO。他的任務是快速評估數(shù)字安全的狀況,并實施最小化交易中斷風險的控制措施。
DiDominicus很快啟動了每周一次的對紐約期貨交易所外部網(wǎng)絡的安全性評審。這讓他能夠有規(guī)律并且始終如一地監(jiān)控起紐約期貨交易所的網(wǎng)絡安全,強化路由器設置,并對其他基礎架構(gòu)設備采取保護性措施。他做這些工作的時候,并沒有建立一套攻擊管理基礎架構(gòu),也沒有雇用額外的負責信息安全的工作人員。
紐約期貨交易所要做安全性審核和改進項目,傳統(tǒng)的做法是雇用一個高級安全運維人員來手把手地應用開源解決方案實施內(nèi)部審核;另一種做法是,將這樣的安全審核工作外包,要么給做傳統(tǒng)滲透測試的咨詢公司,要么給提供網(wǎng)上自動化解決方案的服務公司。
“我以前曾經(jīng)使用過像Nessus這樣的開源解決方案,但這需要異常小心,”他說,“而我們所需要的是,基礎的、集中的并且能夠快速運行的安全功能。”DiDominicus更傾向于由一家第三方提供商提供全面的解決方案,因為這樣能夠減輕其他地方的運營負擔,并為紐約期貨交易所提供外部支持,保證其網(wǎng)絡安全,保護所有的交易運維操作。
紐約期貨交易所選擇的網(wǎng)絡安全服務是QualysGuard。不需要添加任何特別的軟件或者硬件設備,只要使用一個標準的網(wǎng)絡瀏覽器就可以實施這個網(wǎng)絡服務的控制了。這個網(wǎng)絡服務還包括每日更新包含3200多個攻擊的數(shù)據(jù)庫,并能夠獲得整個公司范圍內(nèi)的網(wǎng)絡安全視圖。
紐約期貨交易所的做法是每周對整個網(wǎng)絡進行一次掃描。“Qualys公司的網(wǎng)絡服務讓我們可以專注于內(nèi)部業(yè)務活動,對網(wǎng)絡的外部情況完全放心。如果出現(xiàn)問題,那么需要做的只是打個電話,不到一個小時就能排除故障,正常運行。”DiDominicus對Qualys公司的服務頗為滿意。
“我們通過網(wǎng)絡服務提供的報告來評估網(wǎng)絡安全的狀態(tài),”DiDominicus說,“而且報告的格式也比我以往所見到的其他報告更加清晰。”他認為這樣的結(jié)果很方便與維護系統(tǒng)的相關責任方共享信息,方便地解決問題。對一般IT人員而言,網(wǎng)絡攻擊的問題有些太過專業(yè),他們往往認為,只要有防火墻,及時升級補丁并且不使用最高權(quán)限的管理員賬號就足夠應付了。
紐約期貨交易所使用了安全審核網(wǎng)絡服務,讓網(wǎng)絡和IT職員發(fā)揮出了更大的作用。網(wǎng)絡服務提供的數(shù)據(jù)能夠讓職員專注于最重要問題的處理,而不是被一些常規(guī)的監(jiān)視告警迷惑而不知所措。DiDominicus說:“這就相當于在我的團隊中加入了一群專門負責安全問題的專家。”
第8篇:網(wǎng)絡安全技術(shù)解決方案范文
關鍵詞 計算機 安全技術(shù) 間諜軟件
計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術(shù)措施,保證在一個網(wǎng)絡環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護。從技術(shù)上來說, 計算機網(wǎng)絡安全主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等。
一、計算機網(wǎng)絡安全技術(shù)
(一)防火墻技術(shù)
防火墻是指一個由軟件或硬件設備組合而成,處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權(quán)限。防火墻是網(wǎng)絡安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。當一個網(wǎng)絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。
(二)數(shù)據(jù)加密技術(shù)
與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密。
(三)PKI技術(shù)
PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎設施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務的關鍵和基礎技術(shù)。由于通過網(wǎng)絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術(shù)作為一種相對安全的技術(shù),恰恰成為了電子商務、電子政務、電子事務的密碼技術(shù)的首要選擇,在實際的操作過程中他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全。
(四)秘密侵入的間諜軟件
真正的危險來自那些秘密侵入到你計算機里的間諜軟件,因為你不知道他究竟想做什么。所有間諜軟件的安裝都利用了兩種弱點。一種是PC機的應用軟件,另一種是你自己。
由于現(xiàn)代計算機軟件是極端復雜的,現(xiàn)有的很多應用軟件和操作系統(tǒng)都存在各種各樣的漏洞。間諜軟件可以利用這些漏洞侵入到你的計算機。理論上你不可能防止這種侵入,當你沖浪網(wǎng)頁,一張小圖片可能給你帶來可怕的間諜軟件。除給你的操作系統(tǒng)打上必要的補丁,盡可能不去不安全或不熟悉的站點是減少這種侵入的有效方法。很顯然,這種利用應用軟件漏洞的侵入方式需要較高的技術(shù)水平。而絕大多數(shù)間諜軟件的侵入是采用簡單的欺詐方式。例如,他們免費給你提供一個可以清除間諜軟件的軟件,而他們真正的目的是將你計算機里原有的間諜軟件去除,用他們的取而代之。
二、計算機網(wǎng)絡安全存在的問題
(一)互聯(lián)網(wǎng)絡的不安全性
1.網(wǎng)絡的開放性,由于現(xiàn)代網(wǎng)絡技術(shù)是全開放的,所以在一定程度上導致了網(wǎng)絡面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網(wǎng)絡通信協(xié)議的攻擊,也包括來自于本地網(wǎng)絡的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客等等。
2.網(wǎng)絡的自由性,大多數(shù)的網(wǎng)絡對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。 這也為了影響網(wǎng)絡安全的一個主要因素。
(二)操作系統(tǒng)存在的安全問題
操作系統(tǒng)作為一個支撐軟件,使得你的程序或別的運用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設計的不周而留下的破綻,都給網(wǎng)絡安全留下隱患。
(三)防火墻的局限性
防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.它是一種計算機硬件和軟件的結(jié)合,使內(nèi)部網(wǎng)與外部網(wǎng)之間建立起一個安全網(wǎng)關(Security Gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。
三、結(jié)束語
計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程,涉及技術(shù)、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網(wǎng)絡安全解決方案是綜合各種計算機網(wǎng)絡信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡安全防護體系。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強計算機立法和執(zhí)法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術(shù)是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻:
[1]趙克寶 計算機網(wǎng)絡安全對策分析《劍南文學:下半月》2011年 第8期
第9篇:網(wǎng)絡安全技術(shù)解決方案范文
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網(wǎng)絡的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展,企業(yè)基于網(wǎng)絡的計算機應用也在迅速增加,基于網(wǎng)絡信息系統(tǒng)給企業(yè)的經(jīng)營管理帶來了更大的經(jīng)濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。
隨著信息化技術(shù)的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術(shù)來解決這些問題已經(jīng)成為當前眾多企業(yè)提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統(tǒng)現(xiàn)狀
2.1信息化整體狀況
1)計算機網(wǎng)絡
某公司現(xiàn)有計算機500余臺,通過內(nèi)部網(wǎng)相互連接,根據(jù)公司統(tǒng)一規(guī)劃,通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡中,各計算機在同一網(wǎng)段,通過交換機連接。
圖1
2)應用系統(tǒng)
經(jīng)過多年的積累,某公司的計算機應用已基本覆蓋了經(jīng)營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網(wǎng)絡的進一步完善,計算機應用也由數(shù)據(jù)分散的應用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。
2.2信息安全現(xiàn)狀
為保障計算機網(wǎng)絡的安全,某公司實施了計算機網(wǎng)絡安全項目,基于當時對信息安全的認識和安全產(chǎn)品的狀況,信息安全的主要內(nèi)容是網(wǎng)絡安全,部署了防火墻、防病毒服務器等網(wǎng)絡安全產(chǎn)品,極大地提升了公司計算機網(wǎng)絡的安全性,這些產(chǎn)品在此后防范網(wǎng)絡攻擊事件、沖擊波等網(wǎng)絡病毒攻擊以及網(wǎng)絡和桌面日常保障等方面發(fā)揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統(tǒng)現(xiàn)狀的分析,可得出如下結(jié)論:
(1)經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大,網(wǎng)絡結(jié)構(gòu)日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。
(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù),這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數(shù)據(jù)的備份,并運用技術(shù)手段,提高數(shù)據(jù)的機密性、完整性和可用性。
通過對現(xiàn)有的信息安全體系的分析,也可以看出:隨著計算機技術(shù)的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷,具體表現(xiàn)在:
(1)系統(tǒng)性不強,安全防護僅限于網(wǎng)絡安全,系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網(wǎng)絡安全,對于系統(tǒng)和應用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認證,對服務器、網(wǎng)絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范,容易造成重要數(shù)據(jù)的丟失和泄露。
當時的網(wǎng)絡安全的基本是一種外部網(wǎng)絡安全的概念,是基于這樣一種信任模型的,即網(wǎng)絡內(nèi)部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網(wǎng)絡從外部使用各種攻擊手段進入內(nèi)部網(wǎng)絡信息系統(tǒng)的。
針對外部網(wǎng)絡安全,人們提出了內(nèi)部網(wǎng)絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內(nèi)部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內(nèi)部網(wǎng)絡訪問服務器,下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡安全的這種信任模型更符合現(xiàn)實的狀況。
美國聯(lián)邦調(diào)查局(FBI)和計算機安全機構(gòu)(CSI)等權(quán)威機構(gòu)的研究也證明了這一點:超過80%的信息安全隱患是來自組織內(nèi)部,這些隱患直接導致了信息被內(nèi)部人員所竊取和破壞。
信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術(shù)規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產(chǎn)品的效能。
(2)原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢,存在一定的網(wǎng)絡安全隱患,產(chǎn)品亟待升級。
已購買的網(wǎng)絡安全產(chǎn)品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網(wǎng)的安全性,擬對系統(tǒng)的互聯(lián)網(wǎng)出口進行嚴格限制,原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現(xiàn)有的防火墻不具備這些功能。
網(wǎng)絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內(nèi)在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現(xiàn)在如下幾點:
(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡,也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網(wǎng)絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現(xiàn),使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn),原有的產(chǎn)品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術(shù)規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。
(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現(xiàn)的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規(guī)與標準和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標準及規(guī)定,使安全技術(shù)體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。
4.2系統(tǒng)化原則
信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術(shù)的實現(xiàn),又要加大管理的力度,以形成系統(tǒng)化的解決方案。
4.3規(guī)避風險原則
安全技術(shù)體系的建設涉及網(wǎng)絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現(xiàn)有網(wǎng)絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術(shù)體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現(xiàn)安全系統(tǒng)與應用系統(tǒng)的平滑連接。
4.4保護投資原則
由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術(shù)系統(tǒng),配置了相應的設施。因此,本方案依據(jù)保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術(shù)體系,發(fā)揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現(xiàn)實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。
5設計思路及安全產(chǎn)品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術(shù)手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網(wǎng)絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現(xiàn)狀的分析,對現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內(nèi)容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網(wǎng)絡安全基礎設施
證書認證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺,都必須建立在一個安全可信的網(wǎng)絡之上。目前,解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認證的安全體系,它從技術(shù)上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題,為網(wǎng)絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網(wǎng)絡安全認證平臺,能夠通過這個安全平臺實現(xiàn)以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數(shù)字證書來確認對方的身份。
數(shù)據(jù)的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數(shù)字證書加密來完成。
數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數(shù)和數(shù)字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數(shù)字簽名來完成,數(shù)字簽名可作為法律證據(jù)。
5.2邊界防護和網(wǎng)絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網(wǎng),是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>
通過安裝部署VPN系統(tǒng),可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w,通過加密、認證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù),用以代替專線方式,實現(xiàn)移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術(shù),可以對多種網(wǎng)絡對象進行有效地訪問監(jiān)控,為網(wǎng)絡提供高效、穩(wěn)定地安全保護。
集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu),所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。
5.4桌面安全防護
對企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡外部,大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示,近80%的網(wǎng)絡安全事件,是來自于企業(yè)內(nèi)部。同時,由于是內(nèi)部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。
桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統(tǒng)
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù),可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統(tǒng)
安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統(tǒng)
文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構(gòu)指定安全算法,從而保證了存儲數(shù)據(jù)的安全性。
5.5身份認證
身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程。基于PKI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內(nèi)置單片機或智能卡芯片,可以存儲用戶的密鑰或數(shù)字證書,利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構(gòu)建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系,從而實現(xiàn)上述身份認證、授權(quán)與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網(wǎng)絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網(wǎng)絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術(shù)方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術(shù)方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據(jù)實際情況,可采取分地區(qū)、分階段實施的方式。
(4)在方案實施的同時,加強規(guī)章制度、技術(shù)規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。
7結(jié)論
本文以某公司為例,分析了網(wǎng)絡安全現(xiàn)狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術(shù)手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網(wǎng)絡的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實現(xiàn)、易于部署,為眾多行業(yè)提供了網(wǎng)絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。
