時間:2023-09-18 17:32:30
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇如何制定網絡安全策略,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:企業網絡;網絡安全;安全體系
前言
由于計算機與通信技術的快速發展,人們的工作方式以及生活方式都因為網絡而逐步的發生改變。網絡的共享性、開放性以及互聯性程度逐漸擴大,對社會的影響也日益增大,網絡也成為企業發展的主題。隨著企業的信息化、辦公的全球化以及網絡貿易等業務的出現,網絡安全也變得日益重要。為了保證企業網絡自身的安全性,必須采取有效的手段面對網絡中的各種威脅[1]。
1 企業網絡的威脅及其風險管理
企業網絡的信息是自由傳輸的,盡管有各種各樣的方式威脅著企業網絡的安全,但終究都是由于信息的泄露以及信息資源的破壞。所以應從下列幾點解決對企業網絡構成的威脅,并根據這些威脅所導致的企業風險進行有效管理。首先,企業一定要確定哪些關鍵的內容或資產需要被保護。明確什么設備需要被保護,針對設備可以提供什么樣的訪問和怎么協調這樣的工作。其次,評估需要進行網絡安全保護的資源和財產。最后,分析所有對企業網絡安全的可能威脅,并評估每個威脅的可能攻擊性。威脅是指可能對網絡和其中信息資源造成損失,它可以是偶然的,也可以是刻意的。威脅有很多方式,一般可以簡單歸納為以下三種基本的類型:
1 未經授權的訪問。指未經過授權的人員卻可以訪問網絡資產,而且也存在對網絡資產進行篡改的可能。
2 假冒。指由于偽造的憑證假冒其他人進行活動。
3 拒絕服務。指服務中斷。
2 企業信息化的網絡安全策略體系[2]
網絡的安全策略是對網絡的安全進行管理指導與支持。企業應該為網絡安全制定一套安全方針,而且在內部網絡的安全策略以及身份證明,從而為網絡安全提供支持和認證。
2.1 安全策略的文檔結構
a) 最高方針。是安全策略的主文檔,屬于綱領性的。陳述安全策略的適用范圍、支持目標、對網絡安全管理的意圖、目的以及其它指導原則,網絡安全各個方面所應遵守的原則方法和指導性策略。
b) 技術的規范與標準。其內容包含:各個主機的操作系統、網絡設備以及主要應用程序等應該遵守的管理技術的標準、安全配置以及規范。
c) 管理的制度與規定.其中包含各種管理辦法、管理規定或是暫行規定。從最高方針中引出一些具體的管理規定、實施辦法以及管理辦法。得到的規定或辦法不但可操作,還能有效的推廣及實行,是由最高方針引申而來,對用戶協議具有規范作用。而用戶協議對其不能違背。
d) 組織機構以及人員的職責。負責安全管理的組織機構以及人員職責,包含負責安全管理的機構的組織形式以及運作方式,還有機構與人員的具體責任或是連帶責任。是機構及員工工作時的依照標準。具有可操作性,需得到有效推廣及實行。
e) 用戶的協議。與用戶所簽署的文檔及協議,包含安全管理的網絡、人員以及系統管理員的保密協議、安全使用承諾、安全責任書等等。作為用戶及員工在日常工作中承諾遵守規定,并在違反安全規定時的處罰依據[3]。
2.2 建立策略體系
目前,大部分企業都缺少完整的策略體系。也沒有使其成為可操作的、成文的、正式的策略以及規定來體現出機關或是企業高層對于網絡安全性的重視。企業應該建立好網絡安全的策略體系,制定出安全策略的系列文檔。
建議企業按照上文描述的安全策略的文檔結構進行文檔體系的建立。企業的安全策略的編制原則是一個一體式的企業安全的策略體系,其內容可以覆蓋到企業中的全部人員、部門、網絡、地點以及分支機構。目前,由于企業中機構間的網絡現狀與業務情況的差別較大,所以在基本的策略體系和框架下,可以讓各個機構以自身情況為基礎,對策略和體系中的組織、用戶協議、操作流程、管理制度以及人員的職責逐步地細化。但細化后的策略所要求的安全程度不允許下降。
2.3 策略的與執行
企業網絡安全的策略系列文檔在制定完成后,必須得到以及有效執行。與執行的過程除了需要得到高層領導的支持與推動外,而且還要有可行的、合適的以及正確的推動手段。同時在策略與執行前,還需要對每個員工進行相關的培訓,以確保每個員工都掌握與內容中其相關的部分。而且還要明白這是一個艱苦的、長期的工作,需要經過艱苦努力。況且由于牽涉到企業內眾多部門與大部分員工,工作的方式與流程可能還需要改變,所以其推行難度相當大;同時,安全策略的本身還可能存在這樣那樣的缺陷,例如太過復雜及繁瑣、不切實際以及規定有所缺欠等,都會影響到整體策略的落實[4]。
3 企業信息化網絡安全技術的總體方案
3.1 引入防火墻系統[5]
通過引入防火墻系統,可以利用防火墻功能中的“訪問控制+邊界隔離”,從而實現控制企業網進出的訪問。尤其是對一些內部服務器進行資源訪問的,可以重點進行監控,以提高企業網絡層面的安全。防火墻的子系統還能夠與入侵檢測的子系統聯動,當入侵檢測的系統對數據包進行檢測,發現異常并告知防火墻時,防火墻可以生成相應的安全策略,并將訪問源拒絕于防火墻之外。
3.2 引入網絡防病毒的子系統
防病毒的子系統是用來對網絡病毒進行實時查殺的,從而保證企業免遭病毒的危害。企業需要在內部部署郵件級、服務器級、個人主機級和網關級的病毒防護。在整體范圍內提高系統的防御能力,提高企業網絡層面安全性。
3.3 引入漏洞掃描的子系統
漏洞掃描的子系統可以定期分析安全隱患,并在其萌牙狀態時就把安全隱患消滅。由于企業網絡中包含眾多類型的數據庫系統和操作系統,還運行著人力資源系統、產品管理系統、客戶的信息系統、財務系統等諸多重要系統,如何確保眾多信息的安全以及各類系統的穩定應用,便成為需要高度關注的重點。對漏洞掃描的子系統進行定期掃描,并在定期掃描后提交漏洞和弱點分析報告,可使企業網的整體系統的安全性得以提高。
3.4 引入數據加密的子系統
對企業網重要的數據進行加密,以確保數據以密文的形式在網絡中被傳遞。能夠有效防范竊取企業重要的數據,可以使企業網絡的整體安全性得以提高。
4 結語
通過以上對企業網絡的安全和隱患進行的著重分析,提出了保護企業信息安全的解決方法。由于網絡技術的快速發展和應用的廣泛,所以對于企業網絡安全的建設,需要遵循一個穩定的體系框架,同時還要不斷更新技術。這樣才能有效地降低企業網絡安全隱患的系數,進一步保證企業信息化在網絡時代能夠更安全、更健康的發展。
參考文獻
[1] 顧晟. 企業信息化網絡的安全隱患及解決策略[J].計算機時代,2010,3:19~22.
[2]丁國華,丁國強. 企業網絡安全體系研究[J].福建電腦,2007,2:66~67.
[3]陸耀賓. 企業網絡安全體系結構[J].電子工程師,2004,4:55~56.
[關鍵詞] 安全管理 監控 審計 安全構架
電子商務是通過電子方式處理和傳遞數據,包括文本、聲音和圖像,它涉及許多方面的活動,包括貨物電子貿易和服務、在線數據傳遞、電子資金劃撥、電子證券交易、電子貨運單證、商品拍賣、合作設計和工程、在線資料、公共產品獲得等內容。電子商務的發展勢頭非常驚人,但它的產值在全球生產總值中卻只占極小的一部分,原因就在于電子商務的安全問題,美國密執安大學的一個調查機構通過對23000名因特網用戶的調查顯示:超過60%的人由于擔心電子商務的安全問題而不愿意進行網上購物。因此,從傳統的基于紙張的貿易方式向電子化的貿易方式轉變過程中,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為影響到電子商務健康發展的關鍵性課題。
一、與網絡安全相關的因素
網絡安全從本質上講就是網絡上信息的安全,包括靜態信息的存儲安全和信息的傳輸安全。從廣義上講,凡是涉及網絡上信息的保密性、完整心、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。因此為保證網絡的安全,必須保證一下四個方面的安全:
1.運行系統的安全;
2.網絡上系統信息的安全;
3.網絡上信息傳播安全;
4.網絡上信息內容的安全。
為了保證這些方面的安全,大家通常會使用一些網絡安全產品,如防火墻、VPN、數字簽名等,這些安全產品和技術的使用樂意從一定程度上滿足網絡安全需求,但不能滿足整體的安全需求,因為它們只能保護特定的某一方面的,而對于網絡系統來講,它需要的是一個整體的安全策略,這個策略不僅包括安全保護,它還應該包括安全管理、實時監控、響應和恢復措施,因為目前沒有絕對的安全,無論你的網絡系統布署的如何周密,你的系統總會有被攻擊和攻破的可能,而這時你會怎么半呢?采用一些恢復措施,幫助你在最短的時間使網絡系統恢復正常工作恐怕是最主要的了。因此在構筑你的網絡安全解決方案中一定要注重一個整體的策略,下面我們將介紹一種整體的安全構架。
二、電子商務安全的整體構架
我們介紹的電子商務構架概括為“一個中心,四個基本點”。一個中心就是以安全管理為中心,四個基本點是保護、監控、響應和恢復。這樣一種構架機制囊括了從保護到在線監控,到響應和恢復的各個方面,是一種層層防御的機制,因此這種構架可以為用戶構筑一個整體的安全方案。
1.安全管理。安全管理就是通過一些管理手段來達到保護網絡安全的目的。它所包含的內容有安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,以及對人員的安全意識的培訓、教育等。
2.保護。保護就是采用一些網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護可以稱作靜態保護,它通常是指一些基本防護,不具有實時性,因此我們就可以在防火墻的規則中加入一條,禁止所有從外部網用戶到內部網WEB服務器的連接請求,這樣一旦這條規則生效,它就會持續有效,除非我們改變了這條規則。這樣的保護可以預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
3.監控/審計。監控就是實時監控網絡上正在發生的事情,這是任何一個網絡管理員都想知道的,審計一直被認為是經典安全模型的一個重要組成部分。審計是通過記錄下通過網絡的所有數據包,然后分析這些數據包,幫助你查找已知的攻擊手段,可疑的破壞行為,來達到保護網絡的目的。
監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,因此網絡安全不是一層不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。有些人可能會認為這樣就不需要基本的安全保護,這種想法是錯誤的,因為安全保護是基本,監控和審計是其有效的補充,只有這兩者有效結合,才能夠滿足動態安全的需要。
4.響應。響應就是當攻擊正在發生時,能夠及時做出響應,職向管理員報告,或者自動阻斷連接等,防止攻擊進一步的發生。響應是整個安全架構中的重要組成部分,為什么呢?因為即使你的網絡構筑的相當安全,攻擊或非法事件也是不可避免的要發生的,所以當攻擊或非法事件發生的時候,應該有一種機制對此做出反應,以便讓管理員及時了解到什么時候網絡遭到了攻擊,攻擊的行為是什么樣的,攻擊結果如何,應該采取什么樣的措施來修補安全策略,彌補這次攻擊的損失,以及防止此類攻擊再次發生。
5.恢復。當入侵發生后,對系統贊成了一定有破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制來及時恢復系統正常工作,因此恢復電子商務安全的整體架構中也是不可少的一個組成部分。恢復是歸終措施,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。
三、安全架構的工作機制
在這處安全架構中,五個方面是如何協調工作的呢?下面將以一個例子一介紹。假設有一個黑客欲攻擊一內部網,這個內部網整體安全架構就如前面介紹的一樣,那么現在讓我們來看看這個安全架構是如何工作來抵制黑客的。
1.當這處黑客開始缶內部網發起攻擊的時候 ,在內部網的最外面有一個保護屏障,如果保護屏障可以制止黑客進入內部網,那么內部網就不可能受到黑客的破壞,別的機制不用起作用,這時網絡的安全得以保證。
2.黑客通過繼續努力,可能獲得了進入內部網的權力,也就是說他可能欺騙了保護機制而進入內部網,這時監控/審計機制開始起作用,監控/審計機制能夠在線看到發生在網絡上的事情,它們能夠識別出這種攻擊,如發現可疑人員進入網絡,這樣它們就會給響應機制一些信息,響應機制根據監控/審計結果來采取一些措施,職立刻斷開斷開這條連接、取消服務、查找黑客通過何種手段進入網絡等等,來達到保護網絡的目的。
3.黑客通過種種努力,終于進入了內部網,如果一旦黑客對系統進行了破壞,這時及時恢復系統可用將是最主要的事情了,這樣恢復機制就是必須的了,當系統恢復完畢后,又是新一輪的安全保護開始了。
一、企業有關的安全策略
(一)制定安全策略的原則
1.適應性原則:制定的安全策略必須是和網絡的實際應用環境是相結合的。2.動態性原則:安全策略是在一定時期采取的安全措施。由于用戶在不斷增加,網絡規模在不斷擴大,網絡技術本身的發展變化也很快,所以制定的安全措施必須不斷適應網絡發展和環境的變化。3.簡單性原則:網絡用戶越多,網絡管理人員越眾,網絡拓撲越復雜,采用網絡設備種類和軟件種類繁多,網絡提供的服務和捆綁的協議越多,出現安全漏洞的可能性相對就越大,出現安全問題后及時找出問題原因和責任者的難度就越大量。安全的網絡是相對簡單的網絡。網絡中帳號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。4.系統性原則:網絡的安全管理是一個系統化的工作,必須考慮到整個網絡的方方面面。也就是在制定安全策略時,應全面考慮網絡上各類用戶、各種設備、各種情況,有計劃也有準備地采取相應的策略。任何一點疏漏都會造成整個網絡安全性的降低甚至崩潰。
(二)網絡規劃時的安全策略
網絡的安全性最好在網絡規劃階段就要考慮進去,安全策略在網絡規劃時就要實施。
1.首先根據企業的特點確認網絡的物理和邏輯拓撲、相互間的業務依賴信任關系以及之間應采取的隔離手段,明確業務所要求達到的安全要求。2.明確網絡安全責任人和安全策略實施者。3.對網絡上所有的服務器和網絡設備,設置物理上的安全措施(防火、防盜)和環境上的安全措施(供電、溫度)。最好將網絡上的公用服務器和主交換設備安置在一間中心機房內集中放置。4.網絡規劃應考慮容錯和備份。安全策略不可能保證網絡絕對安全和硬件不出故障。我們的網絡應允許網絡出現的一些故障,并且可以很快從故障中恢復。網絡的主備份系統應位于中心機房。5.如果網絡與Internet之間有固定連接,最好在網絡和Internet之間安裝防火墻。防火墻技術是為了保證網絡路由安全性而在內部網和外部網之間的界面上構造一個保護層。防火墻的安全意義是雙向的,一方面可以限制外部網對內部網的訪問,另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。6.網絡使用服務器訪問Internet。不僅可以降低訪問成本,而且隱藏網絡規模和特性,加強了網絡的安全性。7.在人員配置上,應該對用戶進行分類,劃分不同的用戶等級。規定不同的用戶權限。給不同的用戶或用戶組分配不同的帳號,口令、密碼。并且規定口令、密碼的有效期,對其進行動態的分配監控和修改,保證密碼的有效性。8.配合路由器和防火墻的使用,對一些IP地址進行過濾,可以在很大程度上防止非法用戶通過TCP/IP訪問服務器。9.及時更新防火墻知識庫和相應的配置,使防火墻能夠防御各種最新的攻擊類型。10.定期對服務器和網絡設備進行安全掃描工作。
基本防護體系(包過濾防火墻+NAT+應用級防火墻);隔離內部不同網段;建立VLAN根據IP地址、協議類型、端口進行過濾。內外網絡采用兩套IP地址,需要網絡地址轉換NAT功能支持安全服務器網絡SSN、通過IP地址與MAC地址對應防止IP欺騙防火墻運行在安全操作系統之上網關級防火墻為獨立硬件服務器級防火墻主要用來過濾病毒用戶端安裝防病毒軟件
(三)網絡用戶的安全策略
網絡的安全不僅僅是網絡管理員的職責,網絡上的每一個用戶都有責任。網絡用戶應該了解下列安全策略:1.嚴格遵循本企業的計算機管理制度;2.口令一定要保密;3.清楚自己工作數據存儲的位置,知道如何備份和恢復;4.安裝啟動時病毒掃描軟件。雖然絕大多數病毒對服務器不構成威脅,但會通過NT網在客戶端很快傳播開來;5.訪問Internet有可能將機器至于不安全的環境下,不要下載和安裝未經安全認證的軟件和插件;6.用戶在局域網和遠程登錄分別使用不同的用戶賬號和口令。因有些方式的遠程登錄賬號和口令沒有加密,有可能被截獲。以上所有的策略總結起來主要是兩條:一是保護服務器:二是保護口令。總之,安全性是一個涉及到各方面相互關聯的問題,在越來越普及的以NT為操作系統的今天,安全性的問題日益突出。
二、結束語
認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。作為一個新興的研究領域,網絡安全正孕育著無限的機遇和挑戰。在正確看待網絡信息安全問題的同時,有幾個觀念值得注意:1.安全是一個系統的概念。安全問題不僅僅是個技術性的問題,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式緊密地聯系在一起。2.安全是相對的。不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。3.安全是有成本和代價的。一定要考慮到安全的代價和成本的問題。作為一個管理者,應該綜合考慮各種因素。
參考文獻:
[1]張紅旗.信息網絡安全[M].清華大學出版社,2004
[2]王宇,盧昱.信息網絡安全脆弱性分析[J].計算機研究與發展,2006,43(z2)
[作者簡介]
【 關鍵詞 】 網絡安全;策略;技術
Some Thoughts on the Computer Network Security Tactics
& Security Technology at the level of Municipal Environmental Protection Agencies
Xu Shu-cai
(Lian Yun Gang Environmental Information Center, Lian Yun Gang City JiangsuLianyungang 222001)
【 Abstract 】 with the development of computer technology and communications technology, computer network will permeate all areas of social life. Meanwhile,It’ll become very important for us to recognize network vulnerabilities & potential threats so as to take strong measures on security tactics for safeguarding the network security. According to the practical situations in daily work, this paper analyzes the network security to be posed a threat at the level of municipal environmental protection agencies and propose some common network security technology.
【 Keywords 】 network security;tactics;technology
0 引言
網絡安全技術指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術、網絡結構安全分析技術、系統安全分析技術、管理安全分析技術及其它的安全服務和安全機制策略。影響計算機網絡安全的因素很多,有人為因素,也有自然因素,其中人為因素的危害最大。
1 計算機網絡的安全策略
1.1 物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
1.2 訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
1.3 信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
1.4 網絡安全管理策略
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括確定安全管理等級和安全管理范圍、制訂有關網絡操作使用規程和人員出入機房管理制度、制定網絡系統的維護制度和應急措施等。
2 常用的網絡安全技術
由于網絡所帶來的諸多不安全因素,使得網絡使用者必須采取相應的網絡安全技術來堵塞安全漏洞和提供安全的通信服務。如今,快速發展的網絡安全技術能從不同角度來保證網絡信息不受侵犯,網絡安全的基本技術主要包括網絡加密技術、防火墻技術、網絡地址轉換技術、操作系統安全內核技術、身份驗證技術、網絡防病毒技術。
2.1 網絡加密技術
網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
信息加密過程是由形形的加密算法來具體實施的,它以很小的代價提供很牢靠的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特而后者則先將信息序列分組,每次處理一個組。
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件(或病毒)的有效方法之一。
2.2 防火墻技術
防火墻(Firewall)是用一個或一組網絡設備( 計算 機系統或路由器等),在兩個或多個網絡間加強訪問控制,以保護一個網絡不受來自另一個網絡攻擊的安全技術。防火墻的組成可以表示為:防火墻=過濾器+安全策略(+網關),它是一種非常有效的網絡安全技術。在Internet上,通過它來隔離風險區域(即Internet或有一定風險的網絡)與安全區域(內部網,如Intranet)的連接,但不防礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據,從而完成僅讓安全、核準的信息進入,同時又抵制對 企業 構成威脅的數據進入的任務。
2.3 網絡地址轉換技術(NAT)
網絡地址轉換器也稱為地址共享器(Address Sharer)或地址映射器,設計它的初衷是為了解決IP地址不足,現多用于網絡安全。內部主機向外部主機連接時,使用同一個IP地址;相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網絡看不到內部網絡,從而隱藏內部網絡,達到保密作用,使系統的安全性提高,并且節約從ISP得到的外部IP地址。
2.4 操作系統安全內核技術
除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括采用安全性較高的操作系統、對操作系統的安全配置、利用安全掃描系統檢查操作系統的漏洞等。美國國防部(DOD)技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2級(例如Unix、Windows NT),其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
2.5 身份驗證技術
身份驗證(Identification)是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱之為身份驗證(或身份鑒別)。
它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶,如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
2.6 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。
網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的工作著手,通過網絡環境管理網絡上的所有機器,如利用網絡喚醒功能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
參考文獻
[1] 李紹中.計算機網絡的安全策略.湖南電力,2002rh ,卷22.
[2] 龔海虹.金融計算機網絡系統的安全問題及安全策略.現代計算機.2000年5月.
1計算機網絡安全的現狀
計算機網絡的安全問題從計算機網絡產生伊始,就已經成為信息技術領域中一個讓人頭疼的問題,其主要原因是因為計算機網絡的公開性和自身的脆弱性以及各領域對計算機的使用和計算機網絡的依賴性日趨嚴重,一旦發生較大的網絡安全破壞事件,將造成不可估量的損失。與此同時,威脅網絡安全的手段日益多樣和先進,尤其是最近愈演愈烈的計算機病毒,包括不斷升級的黑客攻擊手段不斷威脅著計算機網絡的安全。特別是全球聯網的今天,如果一次惡意的黑客攻擊成功實現,將會對整個系統網絡造成巨大的破壞,嚴重時還會造成整個網絡的中斷以致于系統的最終癱瘓,這方面的報道可以說層出不窮。從計算機網絡安全的目前發展來看,其態勢依然不容樂觀,可謂任重而道遠,尤其是,威脅計算機網絡安全的黑客在攻擊技術水平層面越來越高級,具有了更強的攻擊性和破壞性和自我防御性,其攻擊目標也向網絡的核心層過渡和轉移,這些都是網絡安全面臨的急需解決的問題,如何有效應對這些網絡安全威脅,制定有效的計算機網絡安全策略也是計算機網絡安全領域研究的重點課題。
2計算機網絡安全面臨的主要問題
根據計算機網絡安全調查顯示,目前計算機網絡安全主要面臨以下幾個主要威脅:首先是,在計算機軟件設計上存在的漏洞和缺陷,為非法入侵者提供了可乘之機,特別是程序設計過程中留有后門,一旦相關信息因保護不當而泄漏,任何人都可以使用瀏覽器從網絡上進行各類系統信息的收集和整理,借助對源碼的篡改,進而對系統進行攻擊。我們知道由于技術條件等方面的原因,每一個軟件在設計時,難免會存在一些漏洞或缺陷,這些設計上的缺陷目前已經成為威脅網絡安全的隱患,即使通過后期的改造升級,但由于其自身存在的周期性和被動性,使得其依然是被攻擊的目標之一。其次,大量網絡用戶對網絡安全防護意識淡薄。以中國為例,作為一個計算機網絡大國,我們擁有著龐大的計算機網絡使用人群。雖然目前,我們在計算機網絡的應用方面,例如網上辦公以及電子商務等領域已經取得了初步的成就,但由于相關技術設施和經驗的缺乏,以及網絡安全教育的不足甚至缺失,大多數計算機網絡用戶的觀念還仍然停留在對計算機病毒的普通防范方面,對整體網絡安全的防護意識以及網絡安全受到破壞所帶來的問題的嚴重性還沒有得到足夠的重視。再次,計算機網絡物理配置的不足或不當。現在互聯網的便利性滿足了用戶在生產、生活方面的各種需求,可關于其安全性能的配置,尤其是與計算機網絡安全息息相關的一系列的網絡物理配置,出現缺失或滯后的現象,其抵御各類非法入侵包括病毒破壞和黑客攻擊等方面的能力不足,這些為計算機網絡安全的維護埋下了嚴重的隱患。最后,計算機網絡安全人才的缺乏和科研創新的相對落后。從目前來看,我國計算機網絡安全建設已經取得了較大成就,但是與歐美等發達國家之間還有很大的差距。其主要制約因素有兩方面。一方面是人才的缺乏。盡管我國是一個人口大國,但參與計算機網絡安全領域的研究人數較少,特別是缺乏一批具有創新、開拓精神的高質量的尖端人才,我們知道,二十一世紀的競爭從本質上講是人才的競爭,所以培養和引進計算機網絡安全領域的高科技人才顯得尤為重要。另一方面是我國在計算機網絡安全領域的關鍵技術等方面還面臨很大挑戰。很長一段時間以來,我國在計算機網絡安全領域的關鍵技術方面一直是“模仿有余,但創新不足”這一點我們和歐美等發達國家之間有著至少十余年的差距。創新是一個民族進步的靈魂,只有大力加大對關鍵技術、關鍵領域的研發力度,鼓勵改革創新才能在未來的計算機網絡安全領域的全球合作中,擁有更多的話語權和主動權。
3計算機網絡安全策略
一般來說策略是描述的一般性的規范,這種描述一般側重于事情或事物本身的重點,它強調了問題的重點,并沒有明確說明實現這些重點問題的具體路徑[1]和方法,但是從宏觀上進行科學的把握,可以說針對計算機網絡安全制定安全策略是對其最高級別的表達。安全策略是針對有關敏感或信息的、保護和管理而制定的一系列的法律法規和實施準則。從計算機網絡安全的概念可以看出,制定其安全策略應該從計算機本身的物理配置以及信息的訪問權限和加密傳輸等方面來制定。首先,保障計算機網絡安全的物理配置。具體來說一方面要避免不利的自然的環境對計算機硬件和通信數據線路的影響和破壞,也就是保障系統服務器,打印機等物理設備的正常工作,減少各種自然或人為因素對其進行的破壞和影響[2]。另一方面,要為計算機網絡的正常運營提供相對安全的物理環境,這種環境可以有效降低和避免各類電磁信號對計算機系統正常運營的電磁干擾。其次,對計算機網絡安全的訪問權限進行控制。從目前來看,這種策略可以有效的維護計算機網絡的安全,該策略主要是通過對入網訪問資格的設定,入網訪問內容的設定以及對入網訪問進行檢測等方面來實現的。具體來說,對入網訪問資格進行審查和設定,可以實現對入網訪問的控制,這種設定對用戶的訪問資格進行初步的審查,并對其訪問時間和入網的工作站類型進行一定的控制,可以避免不明身份入網者的非法登錄。對入網訪問內容的設定主要是對訪問目錄進行一定的級別控制,這種權限的設定對入網者的訪問數據以及其它網絡資源的使用和操作進行了權限控制[3]。對入網訪問的過程進行實時檢測是通過對服務器的控制來避免非法訪問者對各類數據的篡改和破壞,這種檢測可通過報警的方式來完成,并對這一用戶的訪問權限進行限制和鎖定從而避免其對網絡安全的破壞,現在已經執行的實名制上網可以更有利于這種檢測的順利實施。需要額外補充的是在上述訪問權限控制策略中,有一種防火墻技術已經被大力推廣并取得了較好的效果。這種技術對計算機網絡與外界之間建立了一個較為安全的網絡保護屏障。具體來說,這種保護屏障是一系列計算機物理配置與各類軟件的組合。它可以有效的設定外界與內部訪問者及管理人員對網絡的訪問權限,通過設定不同的權限和分區隔離等措施來實現對網絡全局安全的保障。與此同時,這種防火墻技術通過以其為中心所建立的安全保障可以有效抵擋和過濾各種計算機病毒,從而保障系統運營的安全性與穩定性。與此同時,該技術將各種安全配置進行綜合集成,包括對訪問人員訪問權限和內容的實時檢測和記錄,具有較強的預警性。最后,對網絡信息的加密設計。網絡信息的加密設計是密碼學在計算機技術領域中的應用。作為計算機技術與數學的交叉學科,密碼學已經隨著網絡的普及應用而越來越被人所關注,在歐美某些國家,這種技術已經成為計算機安全領域中的重要研究課題。從使用方式上來說,用戶可根據自己需求的不同來選擇不同的加密方式,來實現對網絡數據和網上傳輸的有效保護。針對加密的方法目前可以說五花八門,但總結來說,按照密鑰的一致性與否可以分為常規密碼和公鑰密碼。所謂常規密碼是指在網絡信息傳遞過程中,信息傳遞雙方所使用的密鑰是一致的,也就是他們加密或者解密的方法是一致的,這種加密方法保密性較強,但對密鑰的安全傳遞具有較高的要求。相比較而言,公鑰密碼使用雙方所使用的是不同的密鑰,這種加密方法適用于開放的網絡環境,具有很好的密鑰管理優勢,但是較常規密碼加密而言其加密的速率較低,但從應用上來看,在未來,隨著密碼技術的不斷發展也會有著更廣闊的發展前景。事實上,越來越多的網絡使用者,趨于兩種加密方法的結合,從而更好地來實現網絡信息的安全。在制定計算機網絡安全策略過程中,我們一方面要重視各種先進的計算機技術的應用,還不應忽視各種相關計算機網絡安全的法律、法規的制定,只有不斷加強管理,按章執行,計算機網絡安全的保障才能更為可靠地完善。
4結語
計算機的廣泛普及可以說是科技進步的結果,而計算機網絡的廣泛普及為我們的生產、生活帶來巨大便利的同時,也讓計算機網絡安全的維護成為全球研究的重點。從上文我們會看到,無論是防火墻的保護還是加密技術在網絡信息傳遞過程中的使用,其目的都是為了維護和保障,計算機網絡的安全運營,而各種計算機病毒,黑客層出不窮的出現,讓我們思考影響計算機網絡安全的終極敵人到底是誰。我們除了要制定一系列的網絡安全的法律、法規,并積極開展國際合作完善網絡安全技術的同時,開展一系列的網絡安全的宣傳與教育活動,提高廣大網絡使用者自覺維護網絡安全,抵制各種不良的危害網絡安全的行為,對維護計算機網絡安全,凈化網絡安全使用環境,還是會有很大的推動作用。
作者:朱磊 單位:渤海大學
關鍵詞:網絡安全、安全隱患、安全策略設計
中圖分類號:G642 文獻標識碼:A
1引言
繼中國科技大學、清華大學、北京大學等第一批鋪設數字化校園網的高校之后,全國各地的大中專院校都掀起了轟轟烈烈的數字化校園浪潮。在結合該院自身實際條件下,各大高校都以建立一個以校園網為基礎的集教學管理、消費、身份認證等服務為一體的新型數字化的工作、學習、生活環境為奮斗目標。在數字化校園規劃與建設過程中,有一個非常關鍵而棘手的問題,那就是網絡安全問題。在當今網絡開放式互聯的環境下,各種病毒蔓延和黑客攻擊令人叫苦不迭,網絡安全問題已成為數字化校園建設的一個重要問題。
2數字化校園及其網絡安全
數字化校園是利用計算機技術、網絡技術、通訊技術對學校與教學、科研、管理和生活服務有關的所有信息資源進行全面的數字化;并用科學規范的管理對這些信息資源進行整合和集成,以構成統一的用戶管理、統一的資源管理和統一的權限控制;把學校建設成面向校園內,也面向社會的一個超越時間、超越空間的虛擬學校。
針對數字化校園網絡化和信息化的特點,其安全問題成為當今亟待解決的重要問題。網絡安全包括物理安全和邏輯安全兩方面:
系統的物理安全指網絡系統中各通信計算機設備以及相關設備的物理保護,免予破壞、丟失等;系統的邏輯安全包括數字化校園的整合網絡系統和承擔各個業務流程的功能子系統的安全。邏輯安全包括信息的完整性、保密性和可用性三個要素。保密性是指信息不會泄漏給未經授權的人,完整性是指計算機系統能夠防止非法修改和刪除數據和程序,可用性是指能夠防止非法獨占計算機資源和數據,合法用戶的正常請求能及時、正確、安全的得到服務或回應。
隨著現代計算機系統功能的日漸復雜,網絡體系日漸強大,正在對社會產生巨大而深遠的影響,但同時由于計算機網絡具有聯接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡易受黑客、惡意軟件和其他不軌的攻擊,所以使得安全問題越來越突出。校園的網絡系統是整合數字化校園的基礎,它連接了各個功能子系統,各個系部,還有大量的個人電腦(如校園內學生、教師的PC等),所以它的安全是至關重要的。因此,要提高計算機網絡的防御能力,加強網絡的安全措施,以保證其正常運行。眾所周知,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,故此,網絡的防御措施應是能全方位地針對各種不同的威脅和脆弱性進行預防,這樣才能確保網絡信息的保密性、完整性和可用性。俗話說“知己知彼,百戰百勝”,要保證校園網絡安全,首先必須深入了解威脅校園網絡安全的“敵人”,即必須了解校園網絡安全的隱患。
3數字化校園網絡安全隱患
校園網絡是借助主干通信網,將各地的分部門和總部聯接,同時與Internet互聯,這就勢必會出現如下的安全隱患問題:
(1) 總部局域網和各分、子部門局域網之間,分、子部門與下屬機構局域網之間以及廣域網干線上信息傳輸的安全保密問題。
(2) 總部局域網及各分、子部門局域網自身的安全,要確保這些局域網不受網內用戶非法授權訪問和破壞等。
(3) 來自外部的非授權用戶非法攻擊和破壞,以及內部用戶對外部非法站點的訪問。
現實存在的網絡安全問題涉及面很廣,但不安全因素主要集中在網絡傳播介質及網絡協議的缺陷、主機操作系統的缺陷以及安全管理不善等因素上。由此可見,根據存在的安全隱患進行科學的安全策略設計,構筑必要的信息安全防護體系,建立一套有效的網絡安全機制顯得尤其重要。
4校園數字化網絡安全策略設計
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略設計包括了建立安全環境的三個重要組成部分,即:
先進的技術。先進和安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制然后集成先進的安全技術,這樣才能保證對安全問題的徹底解決。先進的安全技術主要包括訪問控制、防火墻、加密、鑒別、數字簽名、審計監控、入侵防范、防病毒、網絡安全檢測等技術。
嚴格的管理。網絡安全問題在很大程度上是非技術因素,安全管理漏洞和疏忽是最大的安全隱患。只有把安全管理制度與安全技術手段結合起來,這個網絡的安全性才有保障。所以應嚴格執行相關的安全管理制度,握手操作規程、維護制度等,加強內部管理,建立審計和跟蹤體系,提高整體安全意識。安全管理的原則一般有以下三個原則:(1) 多人負責原則。每一項與安全有關的活動,都必須有兩人或多人在場,例如訪問控制使用證件的發放與回收;信息處理系統使用媒介的發放與回收;處理保密信息;硬件和軟件的維護等等。(2)任期有限原則。一般地講任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的,為了遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使得任期有限制度切實可行。(3)職責分離原則。在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,如有必要了解則需經系統主管領導批準。例如在計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統管理;應用程序和系統程序的編制等情況下應當盡量讓工作人員分開。
威嚴的法律和規章制度。安全的基石是社會法律、法規與手段,這部分用于建立一套安全管理標準和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾于法律的威嚴,不敢輕舉妄動。網絡系統安全方面的法律和規章制度分兩部分,一是國家及主管部門在信息安全方面的法律、法規與規定;另一部分是數字化校園自身的制度和規定,它應該與系統所采取的各種安全機制相輔相成,互為補充。既然安全策略的設計涉及到了這么多網絡安全的措施,那怎樣對一個數字化校園網絡進行安全管理呢?現擬某學院數字化網絡為例,擬定一個校園網的安全策略。具體工作是:
(1) 根據工作的重要程度,確定該系統的安全等級。
(2) 根據確定的安全等級,確定安全管理范圍。
(3) 制訂相應的機房出入管理制度。
對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與已無關的區域,出入管理可采用證件識別或安裝自動識別登記系統,采用磁卡、身分卡等手段,對人員進行識別、登記管理。
(4) 制訂嚴格的操作規程。操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。
(5) 制訂完備的系統維護制度。對系統進行維護時,應采取數據保護措施,如數據備份等,維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。
(6) 制訂應急措施。要制訂系統在特殊情況下,如何恢復的應急措施,使損失減至最小。
5數字化校園網絡安全案例
以某技術職業學院校園網絡安全策略為例,介紹安全策略的設計。該學院是一所面向全國招生,以培養專科層次的應用型高等職業技術人才的全日制普通高等院校。該校數字化網絡一期工程為全校教育和科研建立了計算機信息網絡,實現了校園內計算機聯網,信息資源共享并通過與Internet互聯,實現了與信息世界的多元化、直接流,其服務對象主要是校內的教學、學生實驗機房、行政管理單位等。下圖為該院校園網絡拓撲結構圖:
對該院校園網中的安全現狀進行分析,隱患大致來自以下五個方面:
(1) 校園網通過與Internet相聯,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(2) 目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。目前校園網的網絡服務器安裝的操作系統是WindowsNT/Windows2000,這些系統安全風險級別不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系統:本身系統的漏洞、瀏覽器的漏洞(RIP路由轉移等)、服務安全漏洞等等,這些都對原有網絡安全構成威脅。
(3) 校園網內部也存在很大的安全隱患,由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現在,黑客攻擊工具在網上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
(4) 隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。
(5) 限于該院數字化的進程,目前的網絡防護體系中還缺少硬件級防火墻這一防護環節,即沒有對內部網和外部網進行有效的隔離,網絡安全性完全依賴主系統的安全性,在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的和失誤越來越普遍,入侵就很難避免。曾經嘗試過在服務器上(機)安裝防火墻軟件進行安全隔離,即建立應用級防火墻。但在實際使用中,用戶在受信任的網絡上通過服務器訪問Internet時,經常會發現存在延遲并且必須進行多次訪問才能訪問Internet的情況。這是因為該軟件必須分析網絡數據包并做出訪問控制決定,從而影響了網絡的性能。一般來說,如果計劃選用應用級防火墻,最好選用較高性能的計算機運行服務器。但由于涉及到帶寬、經費等多方面的限制,該院用作服務器的計算機性能并不是很理想,導致網絡速度較慢,網絡服務質量還有待提高。因此這必須在校園數字化網絡中必須采用一定的安全策略,就這一問題,結合當前實際的前提下作者進行了廣泛的調研和悉心比較,最后決定融合思科公司和瑞星設計的校園網絡安全系統方案再整合其它相關先進的管理技術以拓展安全管理范圍和增強安全管理的效果。提出了兩種方案可供選擇:
方案一:智能防火墻型。即用一臺智能防火墻,成為內外網之間一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等對外服務器連接在防火墻的DMZ區,與內外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與Internet連接。那么,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,并能夠對發生在網絡中的安全事件進行跟蹤和審計。現在比較流行的智能型防火墻有CISCOPIX系列防火墻、ONTECHNOLOGY軟件公司生產的ONGUARD和CHECKPOINT軟件公司生產的FIREWALL-1防火墻等。這一方案的優點是:在實際應用中,對用戶的“透明度”較高,便于管理和控制。而缺點就是價格昂貴,不易被一般用戶所接受。
方案二:網絡層防火墻+服務器。即把網絡層防火墻和應用層防火墻綜合在一起。因為網絡層防火墻具有速度快、費用低、對用戶透明等優點,但是它對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力,特別是對于應用層上的黑客行為無能為力。而應用層防火墻(主要為服務器)有較好的訪問控制,目前存在HTTP、TELNET、FTP、POP3和GOPHER等服務器,并且這些服務只需要一個服務器就可以實現。這一方案的優點是:費用低,性價比較高。而缺點則是“透明底”較低,需要由經驗相對豐富的管理人員人進行管理,即對管理人員的要求較高。
由此看來,兩種方案各有千秋,應用中可以根據自身實際進行選擇,在此,從性價比和實際情況的角度考慮,選擇方案二,見圖2。注意,圖中為了方便表示把網絡層防火墻和服務器兩個防火墻只用一個防火墻記號標示。
選擇好了防火墻,還應對其進行正確配置才能充分發揮其安全防護的性能,在防火墻設置上按照以下配置原則來提高網絡安全性:
(1) 根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
(2) 將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊,過濾掉以非法IP地址離開內部網絡的IP包,防止內部網絡發起的對外攻擊。
(3) 在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
(4) 定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄。
(5) 允許通過配置網卡對防火墻設置,提高防火墻管理安全性。
6檢測系統的部署
數字化校園網中包含了幾個系統的部署,其中有入侵檢測系統部署、網絡安全系統檢測系統部署和殺毒產品部署等。
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,因為防火墻的策略都是事先設置好的,無法動態設置,缺少針對攻擊的必要性和靈活性,不能更好的保護網絡的安全,所以部署IDS并使IDS與防火墻聯動的目的就是為了更有效地阻斷所發生的攻擊事件,從而使網絡隱患降至較低限度,強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。根據該院網絡的特點,采取思科公司的網絡IDS和主機并用的措施,對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講就是將思科IDS入系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據,如果情況嚴重,思科IDS還會發出實時報警,使得學校管理員及時采取應對措施。
在網絡安全檢測系統上考慮采用網絡安全檢測工具如SATAN等定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性報告,為提高網絡安全整體水平產生重要依據。
殺毒產品部署上采用了瑞星網絡版的殺毒產品,為了達到要在整個局域網內病毒感染、傳播和發作這一目的,在整個網絡內可能傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能,提出以下建議:
(1) 在學校網絡中心配置一臺高效的WINDOWS2000服務器,負責管理多個主機網點的計算機。
(2) 在各行政、教學單位等多個分支機構分別安裝殺毒軟件。
(3) 管理員在安裝完殺毒軟件以后,要由網絡中心的系統定期地、自動地到網站上獲取最新的升級文件,然后自動將更新的升級文件分發到其它各個主機網點的客戶端與服務器端,并且對殺毒軟件進行更新。
常言說:“三分技術,七分管理”,安全的處理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施。建議以下一套校園網絡安全管理的模式:
第一:網絡規劃階段的一些安全策略。
(1) 明確網絡安全的責任人和安全策略的實施者。人是制定和執行網絡安全策略的主體,對于校園網絡來說網絡管理員可以是網絡安全責任人。
(2) 對網絡上所有的服務器和網絡設備,設置物理上的安全措施(防火、防盜)和環境上的安全措施(供電、溫度),對校園的局域網要將網絡上的公用服務器和主交換設備安置在一間中心機房內集中放置。
(3) 進行容錯和備份。安全策略不可能保證網絡絕對安全和硬件不出故障,網絡應允許出現一些故障,并且可以很快從災難中恢復,網絡的主備份應位于中心機房。
(4) 因為網絡與Internet有固定聯接(靜態的IP地址),要在網絡和INTERNET之間安裝防火墻。
(5) 網絡使用服務器訪問Internet,不僅可以降低訪問成本,而且隱藏了網絡規模和特性,加強了網絡的安全性。
第二:對網絡管理員的一些安全策略建議。
對校園網絡來說網絡管理員一般承擔安全管理員的角色。網絡管理員采取的安全策略,最主要的是保證服務器的安全和分配好各類用戶的權限。
(1) 網絡管理員必須了解整個網絡中的重要公共數據(限制寫)和機密數據(限制讀)分別是哪些,它在哪兒,哪些人在使用,屬于哪些人,丟失或泄密會造成怎樣的損失,這些重要數據集中位于中心服務器上,置于有安全經驗的專人管理之下。
(2) 定期對和各類用戶進行安全培訓。
(3) 一般不直接給用戶賦權,而通過用戶組分配用戶權限。
(4) 新增用戶時分配一個口令,并控制用戶“首次登錄必須更改口令”,最好進一步設置成的口令不低于6個字符,杜絕安全漏洞。
(5) 至少對用戶“登錄和注銷”網絡、“重新啟動、關機及系統”、“安全規則更改”活動進行審計,但不要忘了過多的審計將影響系統性能。
(6) 文件服務器不與Internet直接連接,專用服務器,不允許客戶機通過MODEM連到INTERNET,形成在防火墻內的連接。
(7) 可以利用“TCP/IP安全”對話框,關閉INTERNET上機器不用的TCP/UDP端口,過濾流入服務器的請求,特別是限制使用TCP/UDP的137、138、139端口。
(8) 可以考慮將對外的Web服務器放在防火墻之外,隔離外界對內的訪問以保護內部的敏感數據。
(9) 對只提供內部訪問的服務器和客戶機可以采用非TCP/IP實現連接,這樣可以隔離Internet訪問。
(10) 利用端口掃描工具,定期在防火墻外對網絡內所有的服務器和客戶進行端口掃描。
第三:對校園網絡用戶的一些安全策略建議。
數字化校園網絡的安全不僅僅是網絡管理員的事,校園網絡上的每一個用戶都有責任,網絡用戶也可以了解一下以下的網絡安全知識:
(1) 用一個長且難猜的口令,不要將自己的口令告訴任何人。
(2) 清楚自己私有數據存儲的位置,知道如何備份和恢復。
(3) 定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。
(4) 盡量不要在本地硬盤上共享文件,因為這樣做將影響自己的機器安全,最好將共享文件存放在服務器上,既安全又方便了他人隨時使用文件。
(5) 通過“系統策略編輯器/注冊表編輯器”控制在Windows 9x工作站上的“不顯示最后一次登錄的用戶名”和“禁止使用口令緩存”,防止口令從緩存中被獲取和最后一次登錄的用戶被利用。
(6) 設置有顯示的(即非黑屏,防止誤認為關機)屏幕保護,并且加上口令保護。
(7) 當你較長時間離開機器時一定要退出網絡。
(8) 安裝啟動時病毒掃描軟件。
結束語:可以預見,隨著計算機技術和通信技術的發展,計算機網絡不會僅局限于數字化校園,還將日益成為信息交換的重要手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在的隱患,采取強而有力的安全策略,對于保障網絡的安全性將變得越來越重要。
參考文獻:
[1] 王育民,劉建偉. 通信網的安全-理念與技術[M]. 西安電子科技大學出版社,1999.
[2] 張小斌,嚴望佳. 網絡安全與黑客防范[M]. 北京;清華大學出版社,1999.
[3] 21世紀計算機網絡工程叢書編委會. 網絡技術基礎[M]. 北京希望電子出版社,2000.
[4] 鐘小平,張金石. 網絡服務器的配置與應用[M].北京:人民郵電出版社,2002.
關鍵詞 安全策略;業務流安全模型;最大隔離準則;HoneyPot
1 引言
專用網(Private Network)指某個部門為滿足本單位特殊業務工作的需要而建造的網絡。伴隨著計算機網絡與信息技術的飛速發展,社會的信息化程度越來越高,軍隊、銀行、鐵路、電力等部門均建立了本系統的專用網。近幾年不斷出現的安全事件表明,網絡攻擊行為已經由因特網蔓延到了專用網,而且專用網上的安全事件造成的危害及損失更大,特別是經由軍事網絡造成的失泄密后果尤其嚴重。本文在深入分析專用網安全現狀及安全需求的基礎上,提出了相應的安全策略,并引入了相應的安全技術。
2 專用網安全需求分析
專用網與因特網均采用了互聯網技術,但專用網的安全需求及安全現狀與因特網有很大的區別。
(1)因特網的開放性使任何人都可能成為攻擊者或被攻擊者,網絡安全難以控制;而專用網接入人員及接入地點受限,且與公用網物理隔離,安全策略的部署與實施相對簡單。
(2)因特網主要目的是實現開放性的互聯及多樣性的服務,為滿足以上需求引入網絡設備或安全設備以及相應技術;而專用網網絡拓撲相對固定、業務專一,引入網絡設備或安全設備以及相應技術時應該在滿足業務需要的同時兼顧安全需求。
(3)因特網上最大的安全威脅來自于竊取主機控制權;而專用網上最大的安全威脅來自于越權訪問及信息泄露。
除了上述區別之外,解決專用網安全問題還需要考慮專用網自身的建設與發展過程。以軍用網絡為例,在建設之初,由于網絡安全問題并不突出,安全需求也未明確,主要是解決互聯互通問題,安全設計上比較薄弱。隨著近年來網絡安全問題日益嚴峻,逐漸加大了安全上的投入,配置了如防火墻、入侵檢測系統、漏洞掃描等多種安全設備,但由于缺乏頂層規劃,各種網絡設備及安全設備的部署還沒有發揮出最佳效能。因此,從總體上考慮專用網安全問題,制定有效的專用網安全策略用于指導各種設備的部署與配置,引入先進的安全技術,增強專用網安全性能是十分必要和迫切的。
3 專用網安全策略
安全策略是一套文檔化的規則,用來限制由一組或多組元素組成的一組或多組與安全相關的行為。對一個確定的信息系統而言,若能設計一種提供恰當的、符合安全需求的整體思路將會使安全問題簡單化。因此在國內外很多安全組織提出的P2DR、PDRR、PASME等諸多安全模型中都將安全策略制訂列為最重要的環節。通過安全需求的分析與安全策略的制定將日益復雜的信息系統與日益嚴峻的安全威脅集中到最高決策層來關注與實施,從而明確如何達到預期的安全效果。可以說建立安全策略是安全最重要的工作,也是實現安全管理規范化的第一步。
在制定詳細、具體的專用網安全策略時,可以遵循以下三條基本安全策略:
1)建立基于業務流的安全模型
專用網的特點決定了專用網上的業務關系即為專用網上的信息流動關系。為了增強專用網安全,可將專用網上不同業務機關之間存在的橫向(平級業務機關、同一個網內)的信息流及縱向(上下級業務機關、跨網絡)的信息流進行細致的區分,并且根據不同業務機關不同的安全需求(高、中、低),制定各信息流的安全策略,建立基于業務流的安全模型。同時,嚴格控制除業務關系之外出現的信息流動。按這一基本策略來制定具體的設備部署與配置策略。
2)基于最大隔離準則的設備配置方案
在建立了基于業務流的安全模型的基礎上,為了防范專用網上的越權訪問、網絡監聽等引起的信息泄露,在部署與配置專用網網絡設備及安全設備時,采用基于最大隔離準則的設備配置方案。最大隔離準則,目的是實現專用網中信息節點邏輯上盡量隔離,盡量避免不必要的網絡聯通。具體的技術方案有以下三點:
(1)局域網內橫向劃分VLAN(虛擬局域網),隔離不同業務流,防范惡意嗅探。
(2)互聯時縱向組建VPN(虛擬專用網),連通必要的業務流動,保證業務流信息安全。
(3)強化防火墻安全規則,只允許VPN通道通過,拒絕其余網絡連接。
3)建立應急響應體系及安全管理制度
為了快速、有效地解決專用網發生的惡意攻擊、網絡病毒發作、網絡蠕蟲傳播等安全事件,在制定專用網安全策略時,還必須制定嚴格的安全管理制
度,建立應急響應體系。通過安全管理制度及應急響應體系,可以提高專用網內人員的安全意識,增強協同處理專用網內緊急安全事件的能力,從而快速發現、快速抑制、快速解除網絡入侵,并使其造成危害降至最低。
4 專用網應引入的安全技術
在以上安全策略的指導下,為了增強專用網安全性,在實施過程中,必須引入以下安全技術。
1)VLAN技術
VLAN[1](Virtual Local Area Network),又稱為虛擬局域網,1999年IEEE頒布了用以標準化VLAN實現方案的IEEE 802.1Q協議標準草案。它是一種不拘泥于站點的物理位置,根據功能、應用等因素將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現功能相對獨立的虛擬工作組的技術。
劃分了VLAN后,由于各個VLAN之間不能直接進行數據通信,必須通過路由器來轉發VLAN之間的數據,因此,如果VLAN之間沒有路由器,那么VLAN就是與外界其他設備相隔離的,相當于一個獨立的局域網,安全性可以得到較大程度的提高。
VLAN技術需要網絡設備的支持,配置了三層交換機的專用網可以按照基于業務流的安全模型對本級局域網進行VLAN劃分,從而保證不同的業務流相互隔離,防范網絡監聽手段的入侵。
2)VPN技術
VPN[2](Virtual Private Network),又稱為虛擬專用網,是對通過共享公用網絡(如Internet)并使用封裝、加密和身份認證等技術進行連接的內部網絡的擴展。之所以提出該技術的是為了方便在公用網絡基礎設施之上建立專用網絡。
在專用網中對路由器、防火墻等設備進行配置,采用VPN技術將不同節點間有業務關系的計算機連通,可以實現專用網中的虛擬網。由于VPN提供了對VPN兩端的身份認證和訪問控制及對傳輸數據的信息加密和信息認證,因此能夠有效防范截斷攻擊和竊聽攻擊。而且良好的VPN應用可在不同層次實現不同的VPN隧道協議對數據進行保護。
3)HoneyPot和HoneyNet
近年來,一種新的主動防御型安全技術——蜜罐技術成為研究的熱點方向,它可以有效地欺騙網絡攻擊者從而達到保護網絡的目的。蜜罐技術最初提出時,國外計算機專家將其命名為Honeypot[3]。其準確的定義是:“蜜罐是一種安全資源,它的價值就是被探測,被攻擊或攻陷”。后來又出現了Honeynet(蜜網),它將單個的蜜罐連成網絡,是具有高交互性能的蜜罐。
采用應用型蜜罐并將其放置在在專用網中,與其它安全設備及安全技術共同保護專用網,可以有效增強專用網的安全性,蜜罐所起的作用是其它安全設備或安全技術所無法替代的,其它安全設備或安全技術用來被動防御攻擊者的入侵,而蜜罐是欺騙攻擊者將攻擊方向轉向自己,從而拖延或使攻擊者放棄對真實網絡環境的攻擊。
5 結束語
面向業務處理的專用網與公用網絡相比,網絡的安全性更為關鍵。積極有效制定安全策略可以指導專用網的建設及安全規劃以達到預期的安全效果。本文提出的基于業務流的安全模型、基于最大隔離準則的設備配置、應急響應體系及安全管理制度可以對專用網詳細安全策略的制定起到積極的作用。應用本文提出的專用網安全策略,并引入新型的安全技術,可以提高專用網的安全性。
參考文獻
[1] 李頻,唐家益,陳丹偉等. 虛擬專用網分類和比較研究[J]. 計算機工程,2006(11),32(22):133-135
關鍵詞:計算機;網絡安全;現狀;分析;策略;趨勢
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2010) 15-0000-01
The Status and Trends of Computer Network Security Policy
Sun Liying
(Jixi Property Department of Real Estate Board,Jixi158100,China)
Abstract:With the development of computer and communication technology,computer has become a global information infrastructure a major component.It is for people to exchange information and promote science,technology,culture,education,development of production brought a profound impact.Meanwhile,the network information security and confidentiality has become a critical and urgent problem.People for the security of transmission,safe storage,safe handling increasingly demanding,it is extremely urgent and important.
Keywords:Computer;Network security;The status;Analysis;Strategy;Trend
一、計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同,例如從普通使用者的角度來說,可能僅僅希望個人穩私或信息在網絡上傳輸時,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及出現異常時如何恢復通信,保持網絡通信的連續性。
二、計算機網絡中的安全缺陷及產生的原因
(一)TCP/IP的脆弱性。因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(二)網絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人人產用一臺主機和另一局域網的主機進行通信時,它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
三、計算機網絡安全的現狀分析
Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可歸納為以下幾點:
(一)網絡系統在穩定性和可擴充性方面存在問題。由于設計的系統不規范、不合理以及缺乏安全性考慮,因而使其受到影響。
(二)網絡硬件的配置不協調。一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。
四、物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保計計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(一)入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶不便進入該網絡。
(二)網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。
(三)目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。
(四)屬性安全控制。當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的金屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步安全性。
(五)網絡服務器安全控制。網絡允許在服務器控制臺上執行一系統操作。用戶使用控制臺可以裝載和卸載模塊可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
(六)信息加密策略。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網中密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目是對源節點到目的的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
(七)網絡安全管理策略。在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
五、網絡安全技術的發展趨勢
防火墻技術將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。過濾深度不斷加強,從目前的地址及服務過濾發展到URL,過濾、內容過濾,并具備病毒清除功能。利用防火墻能建立虛擬專用網。防火墻將從目前被動防護狀態變為智能地、動態地保護的能力。防火墻將和安全操作系統結合起來。防火墻還應具有防止拒絕服務攻擊的能力。防火墻將和安全操作系統結合起來,從根本上堵住系統級的漏洞。
對網絡攻擊的監測和告警及黑客跟蹤技術將成為新的熱點。黑客的攻擊的花樣越來越多,而現在還缺乏有效的手段跟蹤黑客行為。目前還只能根據已知的一些異常來判斷是否是黑客入侵,對黑客的跳躍往往采用設置陷阱來記錄黑客的地址和身份。
六、結束語
隨著計算機技術和通信技術的發展,計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各信領域。因此,認清網絡脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。
參考文獻:
[1]王培雷,張宇.淺談計算機網絡安全及防護手段
關鍵詞:計算機;網絡安全;防范措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2014) 12-0000-01
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。其涉及到國家的政府、軍事、文教等諸多領域。網絡受到的攻擊主要有以下幾個方面:竊取、篡改、信息刪除等,計算機用戶在享受網絡帶來種種便捷的同時,也正受到日益嚴重的來自網絡的安全威脅,計算機網絡安全問題已成為信息時代人類共同面臨的挑戰。如何更有效地保護計算機網絡安全已經成為所有計算機用戶必須面對和亟待解決的一個重要問題。
一、計算機網絡安全的定義
通過相應的安全技術和保護措施,對計算機網絡的硬件、操作系統、應用軟件和數據信息等加以保護,防止因人為因素或非人為因素遭到破壞或竊取,確保計算機網絡信息保密、完整和可用。
二、計算機網絡不安全的因素
造成計算機網絡不安全因素很多,主要有自然因素和人為因素,現就集中常見的威脅網絡安全因素簡介如下:
(一)計算機病毒。計算機病毒實際上是一種特殊的程序或普通程序中的一段特殊代碼,它的功能是破壞計算機的正常運行或竊取用戶計算機上的隱私。計算機感染上病毒后,輕則使系統效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。有了互聯網后,病毒的傳播速度更快,涉及范圍更廣,危害性更大。
(二)操作系統和應用軟件自身的設計缺陷給網絡帶來不安全的因素。操作系統作為許多計算機運行的支撐平臺,其管理著系統中的軟件資源和硬件資源。操作系統和應用軟件的安全與否直接關系到網絡的安全,由于目前操作系統及應用軟件在設計時不可避免地存在許多不完善或未發現的漏洞,或是出于某種目的而有意留下的“后門”,這恰恰給非法用戶竊取、破壞信息提供了可乘之機。
(三)黑客入侵。黑客攻擊計算機網絡的主要方法有:病毒、木馬、發送郵件攻擊、IP地址欺騙、口令攻擊等。黑客通過尋找并利用網絡系統的薄弱環節和軟件系統的漏洞,采用竊取計算機口令、身份標識碼等方式非法進入計算機網絡或數據庫系統。
(四)管理隱患。網絡管理制度不健全,網絡管理人員或計算機用戶缺乏足夠的安全意識,日常操作存在操作口令泄漏、或者是硬件或軟件故障,人為破壞、臨時文件未及時刪除等不規范行為,使網絡安全機制形同虛設。
三、計算機網絡安全的防范措施
(一)安裝最新版的殺毒軟件。防病毒軟件是一種計算機程序,可進行檢測、防護,并采取行動來解除或刪除惡意軟件程序就會立刻檢測到并加以刪除,用戶除要安裝正版殺毒軟件和防火墻外,還要隨時升級為最新版本,并養成每周還要對電腦硬盤進行一次全面的掃描、殺毒,以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時,應立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描,清除一切可以查殺的病毒。
(二)加快國產操作系統完善,提高對網絡入侵檢測能。目前,國產化計算機操作系統還未真正普及,加快研發具有自主知識產權的操作系統,掌握核心技術,這需要從政府支持、標準制定、市場推廣方面加快進度,確保關鍵信息掌握在自己手中;同時,積極升級操作系統補丁,提高操作系統的安全性,此外,防火墻作為網絡的第一道閘門,并非是完全可靠的,其不能提供實時的入侵檢測能力,所以,通過引入網絡的入侵系統檢測分析網絡行為、安全日志、審計數據、來分析網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。一旦發現,及時攔擊和阻止,以加強對網絡的安全偵測能力。
(三)適當利用加密技術,設置網絡訪問控制。網路安全威脅并非全部來自外部,也有一些來自網絡內部,根據服務器的用途和相關人員的職責權限制定相應的安全策略,嚴格控制無關人員對關鍵服務器的透明操作,同時對關鍵信息實行密碼、簽名認證和密鑰管理三大技術。訪問控制是網絡安全防范和保護的主要策略。實行入網訪問控制、權限控制、目錄級安全控制、屬性安全控制等安全策略控制能阻止未經授權的用戶獲取資源。
(四)加強網絡用戶及有關人員安全意識、職業道德和事業責任心的培養教育及相關培訓,通過完善計算機網絡安全的法律條文、來約束人的行為,將兩者結合起來,計算機網絡安全才能更加安全有效。
(五)加強管理存儲介質的管控。管理存儲介質就是對硬盤加密。建議移動存儲介質安全管理平臺實現信息的保密和訪問控制,它遵循進不去、拿不走、讀不出、改不了、和走不脫的原則。進不去指的是外部移動存儲介質在內部的計算機設備中無法使用;拿不走是指內部的存儲介質在外部無法讀取;讀不出是指只有授權的人才能打開移動存儲設備中文件,即使介質丟掉也不會出現泄密的危險;改不了是指存儲介質中的信息文件只有授權的人才可以進行相應的修改,并保留修改記錄;而走不脫是指系統具備事后的審計功能,可以跟蹤審計違反了相關的策略行為或者事件。
目前,互聯網已經深入到千家萬戶,它在給我們帶來諸多便利的同時,也給我們帶來諸如泄密、數據丟失等諸多麻煩,如何能將計算機網絡安全做的銅墻鐵壁,是今后在網絡安全領域實現的首要目標,為此,需要統籌各方面,從指定合理目標,技術方案,有關配套法規等各個方面去不斷完善,確保計算機網絡安全不斷提高。
參考文獻:
[1]白斌.防火墻在網絡安全中的應用[J].科技創新導報,2007(35).
[2]彭,高.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011(01).
關鍵詞:網絡管理;網絡安全;網絡安全規劃;網絡病毒;防治技術
中圖分類號:TP393.07 文獻標識碼:A 文章編號:1673-8500(2013)02-0090-01
一、網絡管理的概念
網絡管理:簡單的說就是為了保證網絡系統能夠持續、穩定、安全、可靠和高效地運行、不受外界干擾,對網絡系統設施的一系列方法和措施。為此,網絡管理的任務就是收集、監控網絡中各種設備和設施的工作參數、工作狀態信息,顯示給管理員并接受處理,從而控制網絡中的設備、設施,工作參數和工作狀態,以實現對網絡的管理。
二、網絡安全的定義
1.從本質上來講,網絡安全就是網絡上的信息安全。網絡安全是指保護網絡系統中的軟件、硬件及信息資源,使之免受偶然或惡意的破壞篡改和泄露,保證網絡系統的正常運行、網絡服務不中斷。
2.從廣義上說,網絡安全包括網絡硬件資源和信息資源的安全性。硬件資源包括通信線路、通信設備(交換機、路由器等)、主機等,要實現信息快速、安全地交換,一個可靠的物理網絡是必不可少的。信息資源包括維持網絡服務運行的系統軟件和應用軟件,以及在網絡中存儲和傳輸的用戶信息數據等。
三、網絡安全規劃與設計基本原則
1.網絡系統安全規劃設計的基本原則
網絡安全的實質就是安全立法、安全管理和安全技術的綜合實施。這三個層次體現了安全策略的限制、監視和保障職能。根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM(系統安全工程能力成熟模型)和ISO17799(信息安全管理標準)等國際標準,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面,在網絡安全方案整體規劃、設計過程中應遵循下列十大原則。
(1)整體性原則;(2)均衡性原則;(3)有效性與實用性原則;(4)等級性原則;(5)易操作性原則;(6)技術與管理相結合原則;(7)統籌規劃,分步實施原則;(8)動態化原則;(9)可評價性原則;(10)多重保護原則。
總之,在進行計算機網絡工程系統安全規劃與設計時,重點是網絡安全策略的制定,保證系統的安全性和可用性,同時要考慮系統的擴展和升級能力,并兼顧系統的可管理性等。
2.如何進行網絡工程安全規劃
網絡安全規劃與設計是一項非常復雜的系統工程,不單純是技術性工作,必須統一步驟,精心規劃和設計。安全和反安全就像矛盾的兩個方面,總是不斷攀升,所以網絡安全也會隨著新技術的產生而不斷發展,是未來全世界電子化、信息化所共同面臨的問題。一般來說,網絡的安全規劃設計與實施應考慮下面4個方面的問題。一是確定面臨的各種攻擊和風險并分析安全需求。二是明確網絡系統安全策略。三是建立網絡安全模型。四選擇并實施安全策略。
四、網絡病毒的防治技術
1.網絡計算機病毒的特點
網絡病毒是利用網絡平臺作為傳播方式的,由此可見,在網絡環境下,網絡病毒除了具有可傳播性、可執行性、破壞性等計算機病毒的共性外,還具有一些新的特點。主要表現如下:
第一,主動通過網絡和郵件系統傳播。第二,傳播速度極快。第三,危害性極大。第四,變種多。第五,難于控制。第六,清除難度大。第七,具有病毒、蠕蟲和后門(黑客)程序的功能。
2.網絡計算機病毒的破壞行為
網絡計算機病毒破壞性極強,常見的破壞性表現如下:
(1)劫持IE瀏覽器,首頁被更改,一些默認項目被修改(例如默認搜索)。
(2)修改Host文件,導致用戶不能訪問某些網站,或者被引導到“釣魚網站”上。
(3)添加驅動保護,使用戶無法刪除某些軟件。
(4)修改系統啟動項目,使某些惡意軟件可以隨著系統啟動,常被流氓軟件和病毒采用。
(5)在用戶計算機上開置后門,黑客可以通過此后門遠程控制中毒機器,組成僵尸網絡,通過對外發動攻擊、發送垃圾郵件、點擊網絡廣告等牟利。
(6)采用映像劫持技術,使多種殺毒軟件和安全工具無法使用。
(7)記錄用戶的鍵盤、鼠標操作,從而可以竊取銀行卡、網游密碼等各種信息。
(8)記錄用戶的攝像頭操作,可以從遠程窺探隱私。
(9)使用戶的機器運行變慢,大量消耗系統資源。
3.基于工作站的防治策略
工作站就像是計算機網絡的大門,只有把好這道大門,才能有效防止病毒的入侵。基于工作站防治病毒的方法有三種:
(1)軟件防治。即定期或不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需要人為地經常去啟動防病毒軟件,因而不僅給工作人員增加了負擔,而且很有可能在病毒發作后才能檢測到。
(2)在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際應用的效果看,對工作站的運行速度有一定的影響。
(3)在網絡接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網絡的傳輸速度也會產生一定的影響。
參考文獻:
[1]董偉.計算機病毒分析及防治策略[J].信息與電腦: 理論版.2009,(07):14-15.
[2]商娟葉.淺談計算機網絡病毒的防治措施[J].新西部: 下半月.2008,(10):225.
關鍵詞:計算機網絡;信息安全;網絡入侵
近年來,互聯網技術在全球迅猛發展,信息化技術在給人們帶來種種物質和文化生活享受的同時,我們也正受到日益嚴重的來自網絡的安全威脅,諸如網絡的數據竊賊、黑客的侵襲、病毒者,甚至系統內部的泄密者。盡管我們正在廣泛地使用各種復雜的軟件技術,如防火墻、服務器、侵襲探測器、通道控制機制等,但是無論在發達國家還是在發展中國家,網絡安全都對社會造成了嚴重的危害。如何消除安全隱患,確保網絡信息的安全,已成為一個重要問題。
一、網絡存在的安全威脅分析
1、計算機病毒。有些計算機網絡病毒破壞性很大,如“CIHH病毒”、“熊貓燒香病毒”,可謂是人人談之而色變,它給網絡帶來了很嚴重的損失。
2、內部、外部泄密。內網中根據IP地址很容易找到服務器網段,這樣就很容易運用ARP欺騙等手段攻擊。
3、邏輯炸彈。邏輯炸彈是在滿足特定的邏輯條件時按某種不同的方式運行,對目標系統實施破壞的計算機程序。
4、黑客攻擊。這類攻擊又分為兩種:一種是網絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一種是網絡偵察,它是在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。
5、系統漏洞的威脅。網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。
二、計算機網絡系統安全策略
1、網絡物理安全策略。計算機網絡系統物理安全策略的目的是保護計算機系統、網絡服務器、網絡用戶終端機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機網絡系統有一個良好的工作環境;建立完備的安全管理制度,防止非法進入計算機網絡系統控制室和網絡黑客的各種破壞活動。
2、網絡訪問控制策略。訪問控制策略的主要任務是保證網絡資源不被非法使用和非常規訪問,主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點安全控制、網絡防火墻控制等方式。
3、網絡信息加密策略。信息加密策略主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密策略通常包括網絡鏈路加密方法、網絡端點加密方法和網絡節點加密方法。
4、網絡安全管理策略。在計算機網絡系統安全策略中,不僅需要采取網絡技術措施保護網絡安全,還必須加強網絡的行政安全管理,制定有關網絡使用的規章制度,對于確保計算機網絡系統的安全、可靠運行,將會起到十分有效的作用。
三、計算機網絡系統安全發展方向
1、網絡規范化方面。由于互聯網沒有國家界限,這使得各國政府如果不在網絡上截斷Internet與本國的聯系就不可能控制人們的所見所聞。這將使針對網絡通訊量或交易量收稅的工作產生不可預期的效應。國家數據政策的不確定性將反映在不斷改變、混亂且無意義的條例中,就像近期未付諸實施的通信傳播合法化運動一樣。
2、網絡系統管理和安全管理方面。隨著計算機網絡系統在規模和重要性方面的不斷增長,系統和網絡管理技術的發展將繼續深入。由于現行的很多網絡管理工具缺乏最基本的安全性,使整個網絡系統將可能被網絡黑客攻擊和完全破壞,達到其法定所有者甚至無法再重新控制它們的程度。
3、計算機網絡系統法律、法規方面。在目前社會中,利用計算機網絡信息系統的犯罪活動相當猖獗,其主要原因之一就是各國的計算機網絡信息系統安全立法尚不健全。計算機網絡系統的法律、法規是規范人們一般社會行為的準則,它阻止任何違反規定要求的法令或禁令,明確計算機網絡系統工作人員和最終用戶的權利和義務。
4、計算機網絡軟件系統方面。隨著計算機網絡信息系統法律法規越來越健全,計算機軟件和網絡安全現權法的時代也將到來。計算機軟件生產廠商也應對生產出由于安全方面存在漏洞而使其使用者蒙受財產損失的軟件產品負責。
關鍵詞:防火墻;堡壘主機;包過濾;應用網關;防火墻的應用
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 21-0000-02
Firewall Technology Research and Application
Li Bing
(Changsha Nanfang Professional College,Changsha 410208,China)
Abstract:The rapid development of the Internet,how to synchronize to ensure network security,is a very important issue,and firewall technology is based on this research problem,firewall technology,the core idea is in an insecure environment of the Internet to construct a relatively secure subnet environment.In this paper,the basic firewall features to start,the main analysis of the firewall architecture and its implementation techniques,the final choice of a firewall,configuration,application principles.
Keywords:Firewall;Bastion host;Packet filtering;Application gateway;Firewall applications
隨著Internet的廣泛應用,網絡安全成為人們熱衷的話題之一。而網絡安全問題主要是由于網絡的開放性、無邊界性、自由性等其他因素造成的。出于對上述問題的考慮,我們應該把被保護的網絡從開放的、無邊界的網絡環境中獨立出來,成為可管理、控制、安全的內部網絡。而實現它的最基本的分隔手段就是防火墻。為了確保信息的安全及網絡系統的可用性,防火墻技術及其應用是網絡安全系統中的一項重要舉措。本文結合實際的工作經驗,探討防火墻的體系結構及防火墻的技術實現,最后給出防火墻的選擇依據和使用建議。
一、防火墻
從狹義上說防火墻是指安裝了防火墻軟件的主機或路由器系統;從廣義上說防火墻還包括整個網絡的安全策略和安全行為。AT&T的兩位工程師William Cheswich和Steven Bellovin給出了防火墻的明確定義:所有的從外部到內部或從內部到外部的通信都必須經過它;只有內部訪問策略授權的通信才能被允許通過;系統本身有很強的高可靠性。所以防火墻在網絡之間執行訪問控制策略,是內部網絡和外部網絡之間的安全防范系統。從邏輯上講,防火墻是分離器、限制器和分析器,有效地監視了內部網絡和外部網絡之間的任何活動,保證了內部網絡的安全;在物理實現上,防火墻是位于網絡特殊位置的一組硬件設備――路由器、計算機或者其他特制的硬件設備。
(一)防火墻的功能
防火墻作為網絡安全的重要屏障,它主要有以下功能:(1)是一個安全策略的檢查站,對網絡攻擊進行檢查和報警;(2)強化安全策略,過濾不安全的服務和非法用戶;(3)有效記錄網絡活動,管理進出網絡的訪問行為;(4)屏蔽內部網絡的拓撲結構,使內部網絡結構對外不可知。
雖然防火墻能對網絡威脅起到很好的防范作用,但它不是安全解決方案的全部,防火墻也有局限性,主要體現在以下幾點:(1)不能防御已經授權的訪問,以及存在于網絡內部之間的系統攻擊;(2)不能防御合法用戶惡意的攻擊,以及各種非預期的威脅;(3)不能修復脆弱的管理措施和存在問題的安全策略;(4)不能防御一些不經過防火墻的攻擊和威脅。
總之,只有清楚防火墻的優勢和缺陷,才有利于我們更好地應用防火墻;下面,我們從防火墻的體系結構入手來探討防火墻防范理論,從中明確各類防火墻的優勢和缺陷。
(二)防火墻的體系結構
1.屏蔽路由器。這是防火墻最基本的構件。它可以由廠家專門生產的路由器實現,也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道,對所接受的每個數據包作允許或拒絕的決定。采用這種結構的防火墻優點在于速度快、費用低、實現方便但安全性差,而且它還有路由功能,內部網絡的結構并沒有被隱藏,一旦被攻陷后很難發現,不能識別不同的用戶。
2.雙穴主機。這種配置是用一臺裝有兩塊網卡的堡壘主機做防火墻,位于內外網絡之間,并分別與內外網絡相連,通過禁止堡壘主機的IP轉發功能來實現在物理上將內外網絡隔開。外部網絡(通常是Internet)能夠與堡壘主機通信,內部網絡也能夠與堡壘主機通信,但外部網絡與內部網絡不能直接通信,它們之間的通信必須通過堡壘主機的過濾和控制。內外網絡之間進出的信息都需要堡壘主機來實現,所以它負載較大,容易成為系統瓶頸。雙穴主機優于屏蔽路由器的是:堡壘主機的系統軟件可用于維護系統日志。這對于日后的檢查很有用。雙穴主機的一個致命弱點是:一旦入侵者侵入堡壘主機并使其具有路由功能,則外部網上用戶就可以隨便訪問內部網。
3.被屏蔽主機。被屏蔽主機體系結構防火墻使用一個路由器把內部網絡與外部網絡隔開,在這種體系結構中,主要的安全由數據包過濾提供,數據包過濾用于防止人們繞過服務器直接相連。這種體系結構涉及到堡壘主機,堡壘主機是因特網上能夠唯一連接到內部網絡上的主機。任何外部網絡要訪問內部網絡的服務都必須連接到堡壘主機,因此堡壘主機要保持更高等級的安全。如果攻擊者設法登錄到堡壘主機上,內網中的其余主機就會受到很大威脅。這與雙穴主機結構受攻擊時的情形差不多。
4.被屏蔽子網。被屏蔽子網體系結構通過添加周邊網絡更進一步的把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單的形式為兩個屏蔽路由器,每一個都連接到周邊網,一個位于周邊網與內部網絡之間,另一個位于周邊網與外部網絡之間,這樣就在內部與外部網絡之間形成一個隔離帶,通常我們稱它為“DMZ”非軍事區。要侵入用這種體系結構構筑的內部網絡,侵襲者必須通過兩個路由器,即使侵襲者侵入堡壘主機,仍然必須通過內部路由器。總之,被屏蔽子網結構是一種比較完整的防火墻體系結構。
綜上所述,我們在布置防火墻時,一般很少采用單一的結構,通常是多種解決不同問題的結構組合。這種組合主要取決于網管中心向用戶提供什么樣的服務,以及網管中心能接受什么樣的等級風險。
二、防火墻的技術實現
(一)包過濾技術。包過濾技術是最早使用的一種防火墻技術,包過濾技術實現的包過濾防火墻,它根據定義好的規則審查每個數據包并確定數據包是否與過濾規則匹配,從而決定數據包是否能夠通過,與應用層無關,包過濾器的應用非常廣泛,因為CPU用來處理包過濾的時間可以忽略不計。而且這種防護措施對用戶透明,合法用戶在進出網絡時,根本感覺不到它的存在,使用起來很方便。因此系統就具有很好的傳輸性能,易擴展。但是這種防火墻不太安全,因為系統不理解通信的內容,不能在用戶級別上進行過濾,即不能識別不同的用戶和防止IP地址的盜用。
(二)應用網關技術。應用網關技術是建立在應用層上的協議過濾,它能針對特別的網絡應用服務協議制定數據過濾邏輯,是基于軟件的,并且能夠對數據包分析并形成相關的報告,提供比較成熟的日志功能,但是速度比較慢。
(三)服務。服務來阻斷內部網絡和外部網絡之間的通信,達到隱藏內部網絡的目的,不允許內部網絡和外部網絡之間直接通信,具有很高的安全性。但這是以犧牲速度為代價的,并且對用戶不透明,要求用戶了解通信細節。
(四)狀態檢測技術。動態包過濾防火墻,具有很高的效率,通過狀態檢測技術動態記錄、維護各個連接的協議狀態,根據過去通信信息和其他應用程序獲得的狀態信息來動態生成過濾規則。根據新生成的規則過濾新的通信。當新的通信結束后,生成的新規則自動被刪除。它引入了動態規則的概念,對網絡端口可以動態地打開和關閉,減少網絡攻擊的可能性,使網絡安全得到提高。
(五)自適應技術。自適應技術根據用戶的安全策略,動態適應傳輸中的分組流量。它整合了動態包過濾技術和應用技術。通過應用層驗證新的連接,如果新的連接是合法的,它可以被重新定向到網絡層,它同時具有技術的安全性和狀態檢測技術的高效率。
從上述分析可獲得:
1.工作層次是決定防火墻效率及安全的主要因素;一般來說,工作層次越低,則工作效率越高,安全性越低;反之,工作層次越高,工作效率越低,安全性越高。
2.防火墻采用的機制,若采用過濾機制,效率高但安全性低;采用機制,安全性高,效率低。
3.不同技術實現的防火墻,有不同的功能,不同的工作方式和原理,也有不同的優勢和缺陷,但只有對不同防火墻技術進行研究與分析比較,才會有更好的防火墻產品,對防火墻技術的發展會起到促進作用。為此,建議防火墻采用以下技術實現:(1)綜合技術和包過濾技術;(2)從數據鏈鏈路層一直到應用層施加全方位的控制;(3)提供透明模式,減輕客戶端的配置工作;(4)提供身份驗證功能,并在各種驗證機制中選擇使用;(5)網絡地址翻譯,一方面緩解IP地址不足,同時對外隱藏內部信息,實現內容安全,可自動進行病毒掃描;(6)流量分析,了解各種服務所占通信流量,或某一服務具體使用情況;(7)提供加密通信隧道來防止黑客截取信息,實現VPN;(8)攻擊檢測以便實時檢查各種網絡攻擊痕跡,并采取相應的對策;(9)增加防止基于協議攻擊的手段,例如:防止IP欺騙,TCPSYN攻擊等;(10)服務器負載均衡。
三、防火墻的應用
(一)防火墻的選擇原則。防火墻是一類防范措施的總稱,簡單的防火墻只用路由器實現,復雜的要用一臺主機甚至一個子網來實現,它可以在IP層設置規則,也可以用應用層軟件來阻止外來攻擊,所以我們要根據實際需要,對防火墻進行選擇應用,我們通過對防火墻的評價和分析來決定采用什么樣的防火墻。如何評估防火墻是個很復雜的問題,因為用戶在這方面有不同的需求,很難給出統一的標準,一般說來,選擇防火墻應把握以下原則:1.防火墻自身的安全性。大多數人在選擇防火墻時都將注意力放在防火墻如何控制連接以及防火墻提供多少網絡服務,往往忽略一點,防火墻也是網絡上的主機,自身也存在安全問題,如若不能確保自身安全,則防火墻的控制功能再強,也終究不能保護內部網絡。2.防火墻的管理難易度。防火墻的管理難易度是選擇防火墻時考慮的因素之一。若防火墻的管理過于繁瑣,則可能會造成配置上的錯誤,影響其功能。一般企業之所以很少以已有的網絡設備直接當作防火墻,是因為除了先前提到的包過濾并不能達到完全的控制之外,配置工作困難、必須具備完整的知識以及不易排錯等管理問題更是一般企業不愿意使用的主要原因。正因如此,當前很多防火墻都支持圖形化界面配置,配置簡單高效。3.能否向使用者提供完善的售后服務。由于有新的產品出現,就有人會研究新的破解方法,所以一個好的防火墻供應商必須有一個龐大的組織作為使用者的安全后盾,為其提供升級與維修服務。4.應該考慮企業的特殊需求。企業安全政策中往往有些特殊需求不是每一個防火墻都會提供的,這方面常常成為選擇防火墻的考慮因素之一,常見的需求如下:IP地址轉換;雙重DNS;流量分析;掃毒功能;負載均衡、特殊控制需求等。
最后,費用問題是我們用戶一直關心的問題。在市場上,防火墻的售價極為懸殊,從幾萬元到數十萬元,甚至到百萬元。因為各企業用戶使用的安全程度不盡相同,因此廠商所推出的產品也有所區分,甚至有些公司還推出類似模塊化的功能產品,以符合各種不同企業的安全要求。安全性越高,實現越復雜,費用也相應的越高,反之費用較低。這就需要對網絡中要保護的信息和數據進行詳細的經濟性評估。所以在選擇防火墻時,費用與安全性的折衷是不可避免的,這也就決定了“絕對安全”的防火墻是不存在的。但是可以在現有經濟條件下盡可能選擇滿足企業組織需求,并有一定擴展能力的防火墻。
(二)防火墻的管理與配置。當用戶選擇、安裝合適的防火墻后,需要對防火墻進行配置和管理,需要制定安全策略來進行合理有效的配置,必須經過復核已配置的防火墻,看是否滿足了最初的安全需求。
首先必須把握如下配置原則:(1)應該明確單位的需求,想要如何操作這個系統,允許或拒絕哪些業務流量;(2)想要達到什么級別的監測和控制。根據網絡用戶的實際需要,建立相應的風險級別,隨之便可形成一個需要監測、允許、禁止的清單。再根據清單的要求來設置防火墻的各項功能。
其次,管理和維護防火墻有以下幾個要求:(1)必須經過一定的專業培訓,對所處的網絡有一個清楚的了解和認識;(2)定期進行掃描和檢測,以便及時發現問題,及時堵上漏洞;(3)保證系統監控及防火墻通信線路通暢,根據不同時期和不同時間進行網絡安全監控;(4)與廠家保持聯系,以便及時獲得有關升級、維護信息。
最后,在實際使用中要把握以下原則:(1)由內到外,由外到內的業務流量都要經過防火墻;(2)只允許本地安全策略認可的業務流通過防火墻,實行默認拒絕原則;(3)嚴格限制外部網絡的用戶進入內部網絡;(4)具有透明性,方便內部網絡用戶,保證正常的信息通過。
四、結束語
本文著重探討了防火墻的體系結構、技術實現及防火墻的應用。防火墻作為一種網絡安全機制,不可否認具有很多優點,但目前防火墻在安全性、效率和功能上的矛盾還是比較突出,未來的防火墻目標就是要求高安全性和高性能并存。從當前防火墻的產品和功能上,我們可以看到一些動向和趨勢:過濾深度在不斷加強,逐漸有病毒掃描功能;算法不斷優化,降低對網絡流量的影響、對網絡攻擊檢測的能力不斷提高、與硬件進一步結合,安全協議的開發使用等。
參考文獻:
[1]劉建偉,王育民.網絡安全――技術與實踐[M].清華大學出版社,2005
