前言:中文期刊網精心挑選了網絡安全防護手段范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
網絡安全防護手段范文1
安全域劃分方式
1安全域劃分模型。根據安徽中煙網絡和業務現狀,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區、內部網絡接口區,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域,如服務器群、數據庫以及重要存儲設備,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
2安全域邊界整合。1)整合原則。邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域;次之,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯的接口數量最小化,以便于集中、重點防護。2)整合方法。為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
安全防護策略
1安全防護原則
集中防護。通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統、不同的安全子域進行防護,共享其提供的安全服務。分等級防護。根據煙草行業信息安全等級保護要求,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護。縱深防護。從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系,對關鍵的信息資產進行有效保護。
2系統安全防護
為適應安全防護需求,統一、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
1)設備自身安全功能和配置。一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。
2)基礎安全技術防護手段。業務系統的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等。防火墻部署防火墻要部署在各種互聯邊界之處:在互聯網接口區和互聯網的邊界必須部署防火墻;在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界;在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。在內部互聯接口區必須部署日志采集設備,采集業務系統各設備的操作日志。
網絡安全防護手段范文2
醫院之中所謂的內網安全威脅的主要存在于對醫院內網進行使用的人以及相關管理人員自身的安全意識上面,以及他們自身的安全操作使用規范上面。從基礎設施上面來說,醫院首先要建立一個具有廣泛影響力、能夠切合實際、規范嚴密的更加人性化的信息化網絡安全管理體系,這樣能夠強化醫院之中的管理人員以及使用內部網絡的醫護人員的網絡安全管理觀念以及網絡安全防范意識,同時也應當擴大對醫院內部的網絡安全管理的技術投人,加強管理人員的對于網絡完全的管理力度,同時制定出完善、細致的獎懲措施、同時制定出細致的安全操作規程,組建專業的網絡安全維護團隊或者設置專門的防御網絡攻擊安全機構,最終為在醫院的制度管理和操作規程方面為內部網絡的安全管理提供良好的安全體制建設。在以上醫院的安全制度的建立的情況下,在醫院的工作人員方面,還應當對其安全意識進行提升,使他們能夠養成良好的網絡完全操作習慣。比如說不去訪問或者瀏覽一些安全級別比較低的與無關自身工作的網站,經常對計算機進行殺毒、修復系統漏洞、打開系統防火墻、經常進行常規應用軟件的升級、養成對重要數據及時備份的習慣。與此同時也要提升醫院工作人員的網絡安全防范的防護意識,盡量不安裝來歷不明或者盜版的軟件,不隨意外聯網站;也要對醫院內部工作人員使用個人的移動存儲設備的方式進行規范,要求其不能隨便插到系統內部網絡計算機上使用。同時在內部計算機上也要利用設置密碼,記錄系統操作日志或者安裝正版的網絡安全防護軟件等方法來實時的控制接入內部網絡的計算機的使用過程。通過安全軟件的安裝和使用,比如說常用的安全防護軟件360安全衛士,堅持每天進行對電腦安全掃描,修復需要修復的系統漏洞。在進行網絡監測過程中,如果在某一時刻系統存在安全隱患的情況下,立刻采取措施,比如說殺毒、備份等來實現對醫療數據的實施保護。
2網絡安全防控措施
在醫院網絡環境在面臨著黑客攻擊、病毒入侵等眾多的網絡安全攻擊手段的安全隱患下,應該首先堅持以不變應萬變處理原則,首先加強醫院在網絡方面的安全管理,制定完善的網絡完全防護制度,對每一個參與對醫院網絡訪問的工作人員或者管理人員分配響應的安全責任,加強安全意識的培養,最終實現對網絡安全環境的有效監控。同時在日常安全防護管理過程中,如有發現問題,應當立即采取措施予以解決,并總結經驗教訓,保證以后在出現同樣狀況時能夠快速正確的解決問題。同時對工作人員安全意識方面,還需要設立專門的網絡安全防護部門,一方面用于對醫院網絡的安全防護進行管理,另外一方面用于對醫院相關工作人員做網絡安全操作培訓。在基礎設計防護方面,可以再軟件上面和硬件方面做出不同的安全防護手段,比如說安裝防火墻、使用殺毒軟件等方式來確保醫院網絡系統不會受到網絡攻擊。
3結束語
網絡安全防護手段范文3
[關鍵詞]煙草企業;網絡安全防護;體系建設
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發展,國內煙草企業也愈加重視利用網絡提高生產管理銷售水平,打造信息化時代下的現代煙草企業。但享受網絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網絡威脅給企業信息安全方面帶來的影響。因此,越來越多的煙草企業對如何強化網絡安全防護體系建設給予了高度關注。
1 威脅煙草企業網絡信息體系安全的因素
受各種因素影響,煙草企業網絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。人為的惡意攻擊,這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網絡安全設備投資方面,行業在防火墻、網管設備、入侵檢測防御等網絡安全設備配置方面處于領先地位,但各類應用系統、數據庫、軟件存在漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過黑客攻入網絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發展迅速,超出防火墻屏蔽能力等,都使企業安全防護網絡遭受嚴重威脅。
1.3 結構性因素
煙草企業現有的網絡安全防護體系結構,多數采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產生干擾。利用系統存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網絡使用者因系統過于復雜而導致錯誤操作,都可能造成網絡安全問題。
2 煙草企業網絡安全防護體系建設現狀
煙草企業網絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業務應用集成整合不足
不少煙草企業防護系統在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協同性,安全防護信息沒有實現跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2 信息化建設特征不夠明顯
網絡安全防護體系建設是現代煙草企業的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規范體系化等方面的建設工作都較為滯后。主營煙草業務沒有同信息化建設高度契合,對影響企業發展的管理制度、業務需求、核心數據和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協調,致使在信息化建設中,業務、管理、技術“三位一體”的要求并未落到實處,影響了網絡安全防護的效果。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業信息化建設的各個環節,加上企業信息化治理模式構建不成熟等原因,制約了企業安全綜合防范能力與運維保障體系建設的整體效能,導致在網絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網站等反復侵襲。
3 加強煙草企業網絡安全防護體系建設的策略
煙草企業應以實現一體化數字煙草作為建設目標,秉承科學頂層設計、合理統籌規劃、力爭整體推進的原則,始終堅持兩級主體、協同建設和項目帶動的模式,按照統一架構、安全同步、統一平臺的技術規范,才能持續推動產業發展同信息化建設和諧共生。
3.1 遵循網絡防護基本原則
煙草企業在建設安全防護網絡時,應明白建設安全防護網絡的目標與原則,清楚網絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網絡進行合理劃分,不同區域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網絡邊界更為明確,相互之間更為信任。要對已出現的安全問題進行認真分析,并歸類統計,大的問題盡量拆解細分,類似的問題歸類統一,從而將復雜問題具體化,降低網絡防護工作的難度。對企業內部網絡來說,應以功能為界限來劃分,以劃分區域為安全防護區域。同時,要不斷地完善安全防護體系建設標準,打破不同企業之間網絡安全防護體系的壁壘,實現信息資源更大程度上的互聯互通,從而有效地提升自身對網絡威脅的抵御力。
3.2 合理確定網絡安全區域
煙草企業在使用網絡過程中,不同的區域所擔負的角色是不同的。為此,內部網絡,在設計之初,應以安全防護體系、業務操作標準、網絡使用行為等為標準對區域進行劃分。同時,對生產、監管、流通、銷售等各個環節,要根據其業務特點強化對應的網絡使用管理制度,既能實現網絡安全更好防護,也能幫助企業實現更為科學的管控與人性化的操作。在對煙草企業網絡安全區域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態度,根據企業實際情況,以現有的網絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3 大力推行動態防護措施
根據網絡入侵事件可知,較為突出的問題有病毒更新換代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業在構建網絡安全防護體系時,應根據不同的威脅形式確定相應的防護技術,且系統要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業所遭受的網絡威脅進行分析,確定系統存在哪些漏洞、留有什么隱患,實現入侵實時監測和系統動態防護。系統還需建立備份還原模塊和網絡應急機制,在系統遭受重大網絡威脅而癱瘓時,確保在最短的時間內恢復系統的基本功能,為后期確定問題原因與及時恢復系統留下時間,并且確保企業業務的開展不被中斷,不會為企業帶來很大的經濟損失。另外,還應大力提倡煙草企業同專業信息防護企業合作,構建病毒防護戰略聯盟,為更好地實現煙草企業網絡防護效果提供堅實的技術支撐。
3.4 構建專業防護人才隊伍
人才是網絡安全防護體系的首要資源,缺少專業性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業網絡安全防護的工作專業性很強,既要熟知信息安全防護技術,也要對煙草企業生產全過程了然于胸,并熟知國家政策法規等制度。因此,煙草企業要大力構建專業的網絡信息安全防護人才隊伍,要采取定期選送、校企聯訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業現有信息安全防護人員的能力素質,也要積極同病毒防護企業、專業院校和科研院所合作,引進高素質專業技術人才,從而為企業更好地實現信息安全防護效果打下堅實的人才基礎。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統也不能取得好的效果。煙草企業要設立專門的信息管理培訓中心,統一對企業網絡安全防護系統進行管理培訓,各部門、各環節也要設立相應崗位,負責本崗位的網絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監督下,都要在網絡使用制度的規則框架中,杜絕違規使用網絡、肆意泄露信息等現象的發生。對全體員工開展網絡安全教育,提升其網絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規地使用信息網絡。
4 結 語
煙草企業管理者必須清醒認識到,利用信息網絡加快企業升級換代、建設一流現代化煙草企業是行業所向、大勢所趨,絕不能因為網絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網絡安全帶來的挑戰,以實事求是的態度,大力依托信息網絡安全技術,構建更為安全的防護體系,為企業做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業公司網絡安全防護體系研究[J].計算機與信息技術,2012(5).
網絡安全防護手段范文4
1引言
隨著我國各大高校數字校園的發展建設,網絡信息安全問題已經成為了校園信息化建設中不可忽視的重點問題。為了解決校園網絡信息安全問題,越來越多的現代信息安全技術被廣泛應用于數字校園建設中,防火墻技術在網絡安全防護建設中應用得最為普遍。但是,傳統的邊界防火墻技術存在性能較差和單點失效等明顯弊端,更需要基于網絡拓撲結構來實現防火墻安全策略。因此,分布式防火墻技術在這種背景下應運而生,分布式防火墻技術通過在某些受保護的主機上進行部署,以解決傳統防火墻技術的瓶頸問題。本文主要對分布式防火墻在數字校園中的部署進行了方案設計。
2傳統防火墻中存在的問題
(1)內部安全問題。傳統的防火墻技術無法對內部數據進行安全監控,更無法實現出現在網絡內部攻擊的安全防護。(2)性能瓶頸問題。傳統防火墻技術的性能較差,數據處理速度較慢,防護惡意攻擊的安全功能不夠完善。(3)單點失效問題。整個網絡的安全防護全部依賴防火墻技術,一旦惡意攻擊者翻越防火墻,或者防火墻配置出現問題,內部網絡將完全暴露于攻擊人員面前。(4)授權訪問問題。由于網絡環境非常復雜,很容易造成惡意攻擊人員繞過防火墻設置直接與內部網絡進行連接,給網絡安全防護帶來極大威脅。(5)端對端加密威脅。當基于新型網絡協議進行數據加密時,傳統防火墻技術經常會由于沒有密鑰而無法識別合計檢查通過的數據包內容。(6)安全模式簡單。傳統防火墻技術的安全防護策略主要針對的是內部網絡,內部網絡中部署的主機全部采用相同的安全模式,很容易造成信息安全威脅。
3分布式防火墻的部署設計
3.1體系結構設計
本文主要基于Linux系統環境下,通過服務器部署防火墻策略,在防火墻基礎上進行安全策略協商,以確保各個防火墻可以協同工作,對整個網絡系統進行安全防護,構建分布式防火墻系統的原型。分布式防火墻系統結構如圖1所示,采用對話控制方式的協調機制,具有典型分散型防火墻系統的部署結構。
3.2控制中心結構設計
控制中心主要負責實現資料收集、相互對話、日志管理和證書簽發功能。控制中心的各個節點處都配置了防火墻的安全策略庫、數字密鑰庫和數字證書等內容。控制中心的本質是CA認證中心,CA認證中心是分布式防火墻系統唯一授權和承認的數字證書簽發機構。控制中心結構主要包括策略模塊、日志模塊、策略分析模塊和策略協商模塊。
3.3防火墻結構設計
防火墻的設計主要采用了分布式結構,以分擔網絡數據流量的方法減少每個網絡節點承擔的數據處理量。分布式防火墻的部署能夠有效避免某個網絡節點感染木馬病毒而導致整個網絡受到嚴重的安全威脅,每個網絡節點必須針對需要經過的數據進行識別和檢查。防火墻系統的體系結構包括通用層接口、IP過濾模塊、服務程序、聯動接口、沖突檢測、網絡解析、策略協商和日志管理等。接口層主要為用戶使用管理進行支持,IP過濾模塊負責對生成的日志信息進行保存,以記錄網絡訪問地址。沖突檢測模塊負責檢查各個數據輸入接口與防火墻連接的位置是否存在異常情況。安全解析模塊負責解析安全版圖,將其轉換成為系統可以識別和執行的形式。策略協商模塊負責利用控制中心實現其他防火墻的安全防護策略的協同運行。
4結語
綜上所述,由于各大高校校園網絡建設規模非常龐大,網絡結構也十分復雜,本文提出了防火墻的部署方案,主要利用控制中心對安全防護策略進行協商,但這也可能會造成系統性能降低等問題,在下一步的設計研究中應該增加多個控制中心,由每個控制中心負責承擔部分防火墻安全策略的協商任務,再通過完善的數據通信機制使各個控制中心之間實現協商策略的交換。同時,還可以將控制中心的各項功能與防火墻功能結合,防止由于過于依賴策略中心給系統安全漏洞和威脅。
網絡安全防護手段范文5
關鍵詞:網絡工程;安全防護;防護技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)21- 4790-02
隨著我國社會經濟的發展,信息化建設也發展較快,現代通信技術日新月異。通信網絡的推廣和普及使人們改變了信息交流的方式,逐漸成為人們日常生活信息獲取和交流的主要途徑。近年來,我國互聯網行業的飛速發展帶來了兩個方面的影響,一方面方便了人們的工作和生活,另一方面由于計算機網絡的開放性、互聯性以及分散性等特點,使得網絡工程中還不同程度地存在著一些安全隱患,威脅著網絡工程的通信網絡環境。網絡安全防護是一種網絡安全技術,加強網絡工程中安全防護技術,有利于保障通信網絡安全暢通。因此,研究網絡工程中的安全防護技術具有十分重要的現實意義。鑒于此,筆者對網絡工程中的安全防護技術進行了初步探討。
1 網絡工程安全存在的問題分析
當前,網絡工程安全現狀不容樂觀,還存在著諸多亟待解決的問題,這些問題主要表現在黑客的威脅攻擊、計算機病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計算機系統風險五個方面,其具體內容如下:
1.1 黑客的威脅攻擊
黑客的威脅攻擊是網絡工程安全中存在的問題之一。黑客最早源自英文hacker,從黑客的定義上來看,黑客是指利用系統安全漏洞對網絡進行攻擊破壞或竊取資料的人。一般來說,黑客在對網絡工程進行攻擊時,按黑客攻擊的方式分類主要有兩種攻擊方式,即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統的運行,將阻礙系統正常運行作為目的, 并不盜竊系統資料,用拒絕服務和信息炸彈對系統進行攻擊;破壞性攻擊以侵入電腦系統、盜竊系統保密信息為目的,黑客會破壞電腦系統。
1.2 計算機病毒入侵
計算機病毒入侵在一定程度上制約著網絡工程安全的發展。計算機病毒具有破壞性,復制性和傳染性等特點,計算機病毒不是天然存在的,是編制者將指令、程序代碼植入到計算機系統中。所謂的病毒是人為造成的,通過影響計算機系統的正常運行,造成對其他用戶的危害。計算機病毒破壞力強、傳播迅速且不易被察覺,尤其是像木馬、震網、火焰這些通過網絡作為途徑傳播的病毒,一旦感染其他程序,將會對計算機資源進行破壞。不難看出,提高系統的安全性是確保網絡工程安全的過程中迫切需要解決的問題。
1.3 IP地址被盜用
IP地址被盜用也是網絡工程安全的瓶頸。對計算機網絡而言,被盜用IP地址的計算機不能正常使用網絡,致使用戶無法進行正常的網絡連接。區域網絡中常有lP被盜的情況,這種情況下用戶被告知lP地址已被占用,致使用戶無法進行正常的網絡連接。這些lP地址權限通常較高,竊取lP者一般會以不知名的身份來擾亂用戶的正常網絡使用,這會給用戶帶來很大的影響,使用戶的自身權益受到侵犯,也嚴重威脅網絡的安全性。
1.4 垃圾郵件的泛濫
垃圾郵件的泛濫,使得網絡工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來,垃圾郵件損害了郵件使用者的利益, 垃圾郵件的的日益嚴重讓網絡重負逐漸加大,對效率和安全性造成嚴重的威脅,一方面大量消耗網絡資源,減緩了系統運行效率;另一方面,數量繁多的垃圾郵件還侵害整個網絡工程的安全。
1.5 計算機系統風險
計算機系統風險也影響著網絡工程安全。在計算機網絡工程中,管理機構的體制不健全,各崗位分工不明確,對密碼及權限的管理不夠,這些因素使網絡安全日益受到外來的破壞且用戶自身安全防衛意識薄弱,無法有效地規避信息系統帶來的風險, 導致計算機系統的風險逐步嚴重,計算機系統不能正常工作,最終威脅到計算機網絡的安全。因此,加強網絡工程中安全防護技術勢在必行。
2 加強網絡工程中安全防護技術的策略
2.1 設置防火墻過濾信息
最直接的黑客防治辦法是運用防火墻技術,設置防火墻過濾信息是加強網絡工程中安全防護技術的關鍵。網絡工程中最有效的防護手段就是在外部網絡和局域網之間架設防火墻,網絡防火墻作為一個位于計算機和它所連接的網絡之間的軟件,可以將局域網與外部網的地址分割開,計算機流入流出的所有網絡通信均要經過此防火墻,經過防火墻的過濾,能夠過濾掉一些攻擊,以免其在目標計算機上被執行,增加內部網絡的安全性。另外,防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
2.2 加強病毒的防護措施
加強病毒的防護措施也是加強網絡工程中安全防護技術的重要組成部分。病毒防護是計算機系統日常維護與安全管理的重要內容,當前計算機病毒在形式上越來越難以辨別,計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。常見的殺毒軟件有:360安全衛士,卡巴斯基,金山毒霸等。網絡工程在加強病毒的防護措施方面,對計算機網絡工程人員而言,相關人員都應該掌握使用殺毒軟件、防病毒卡等措施,一般情況下,要定期對計算進行病毒檢測與查殺,一旦發現病毒時應詢問后再處理,不僅如此,對計算機系統的重要文件還要進行備份,防止由于病毒對系統造成的破壞導致數據的丟失。
2.3 入侵檢測技術的植入
入侵檢測系統作為一種主動的安全防護技術,對于加強網絡工程中安全防護至關重要。對網絡工程而言,入侵檢測技術對計算機網絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別,在網絡系統受到危害之前攔截和響應入侵。提供了對內部攻擊、外部攻擊和誤操作的實時保護,可以利用網絡安全入侵檢測采取相應的網絡安全防護措施。入侵檢測系統能夠從網絡安全的立體縱深、多層次防御的角度出發提供安全服務,從而有效的降低了來自網絡的威脅和破壞,必將進一步受到人們的高度重視。
2.4 拒絕垃圾郵件的收取
凡是未經用戶許可就強行發送到用戶的郵箱中的電子郵件,都被成為垃圾郵件。垃圾郵件一般具有批量發送的特征。垃圾郵件現在慢慢發展成為計算機網絡安全的又一公害。拒絕垃圾郵件的收取也是加強網絡工程中安全防護技術的重要環節,拒絕垃圾郵件的收取,要從保護自己的郵件地址做起,不要隨意的使用郵箱地址作為登記信息,避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理,將垃圾文件過濾處理,拒絕垃圾文件的收取。
2.5 加強網絡風險的防范
加強網絡風險的防范對于加強網絡工程安全也不容忽視。在網絡工程風險防范的過程中,利用數據加密技術是行之有效的途徑。數據加密技術是加密技術是最常用的安全保密手段,也是有效防范網絡與信息安全風險最直接,最為有效的方式。數據加密是一種限制對網絡上傳輸數據的訪問權的技術,具體說來,它是通過引導用戶對網絡傳輸中出現的、比較重要的數據進行設置密碼的過程。從網絡工程中數據加密的方式上來看,數據加密技術主要包括線路加密、端與端加密等等,各種方法都有各自的有點,線路加密主要是針對需要保密的信息進行的,在加密時使用加密密鑰來對信息進行保護。端與端加密主要是針對網絡信息的發出方,當網絡信息數據到達tcp/ip之后就利用數據包進行回封操作,以此對重要數據進行安全保護。
3 結束語
總之,網絡工程中的安全防護是一項綜合的系統工程,具有長期性和復雜性。網絡工程中安全防護技術,應設置防火墻過濾信息、加強病毒的防護措施、入侵檢測技術的植入、拒絕垃圾郵件的收取、加強網絡風險的防范,不斷探索加強網絡工程中安全防護技術的策略,只有這樣,才能不斷提高網絡工程的安全管理水平,進而確保計算機網絡的安全。
參考文獻:
[1] 李巍巍.計算機網絡安全的數據備份和容災系統[J].黑龍江科技信息,2010(33).
[2] 王薪凱,姚衡,王亨,常晶晶,喻星晨.計算機網絡信息安全與防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大熱點預測[J].信息安全與通信保密,2011(3).
[4] 趙章界,李晨旸,劉海峰.信息安全策略開發的關鍵問題研究[J].信息網絡安全,2011(3).
[5] 陸文紅,蒙勁.小議通信網絡安全問題分析及維護措施[J].中小企業管理與科技(下旬刊),2010(10).
[6] 余斌.論計算機互聯網與通信網絡建設的安全性[J].科技經濟市場,2010(5).
網絡安全防護手段范文6
關鍵詞:計算機網絡,防護技術,研究
隨著高新技術的不斷發展,計算機網絡已經成為我們生活中所不可缺少的概念,然而隨之而來的問題----網絡安全也毫無保留地呈現在我們的面前,不論是在軍事中還是在日常的生活中,網絡的安全問題都是我們所不得不考慮的,只有有了對網絡攻防技術的深入了解,采用有效的網絡防護技術,才能保證網絡的安全、暢通,保護網絡信息在存儲和傳輸的過程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網絡而不致盲從,真正發揮出網絡的作用。
一、計算機網絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統自身進行加固和防護,不讓非法用戶進入網絡內部,從而達到保護網絡信息安全的目的。這些措施一般是在網絡建設和使用的過程中進行規劃設置,并逐步完善。因其只能保護網絡的入口,無法動態實時地檢測發生在網絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。
網絡加密常用的方法有:鏈路加密、端點加密和節點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網。
( 2 ) 信息認證技術
認證技術是網絡安全的一個重要方面,屬于網絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發送者,以及該信息是否被篡改過,計算機系統是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統,保護系統和數據的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數據,其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統的用戶,決定用戶對系統資源的訪問權限,并記錄系統資源被訪問的時間和訪問者信息。其主要目的是保證網絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網絡之間的訪問控制機制,它的主要目的是保護內部網絡免受來自外部網絡非授權訪問,保護內部網絡的安全。
其主要機制是在受保護的內部網和不被信任的外部網絡之間設立一個安全屏障,通過監測、限制、更改、抑制通過防火墻的數據流,盡可能地對外部網絡屏蔽內部網絡的信息和結構,防止外部網絡的未授權訪問,實現內部網與外部網的可控性隔離,保護內部網絡的安全。
防火墻的分類主要有:數據包過濾型防火墻、應用層網關型防火墻和狀態檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網絡陷阱、入侵檢測、自動恢復等,能及時地發現網絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網絡陷阱、切斷網絡連接或恢復系統正常工作。實現實時動態地監視網絡狀態,并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規范的方式,對計算機網絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數字證據的過程。
入侵取證的主要目的是對網絡或系統中發生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據的要求),據此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網絡入侵取證技術(網絡入侵證據的識別、獲取、保存、安全傳輸及分析和提交技術等)、現場取證技術(內存快照、現場保存、數據快速拷貝與分析技術等)、磁盤恢復取證技術、數據還原取證技術(對網上傳輸的信息內容,尤其是那些加密數據的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網絡陷阱技術
網絡陷阱技術是一種欺騙技術,網絡安全防御者根據網絡系統中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網絡系統中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現有的安全措施,例如防火墻規則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網。靈活的使用網絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網絡陷阱技術主要包括:偽裝技術(系統偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現跳轉攻擊)、數據捕獲技術(用于獲取并記錄相關攻擊信息)及數據統計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統和網絡資源中采集信息(系統運行狀態、網絡流經的信息等),對這些信息進行分析和判斷,及時發現入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發現機制,能夠彌補防火墻和其他安全產品的不足,為網絡安全提供實時的監控及對入侵采取相應的防護手段,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統已經被認為是維護網絡安全的第二道閘門。
其主要目的是動態地檢測網絡系統中發生的攻擊行為或異常行為,及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數據收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網絡安全防護系統都無法確保萬無一失,所以,在網絡系統被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發現文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統和數據受到攻擊的時候,能夠在極短的時間內恢復系統和數據,保障系統的正常運行和數據的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網絡防護過程模型
針對日益嚴重的網絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網絡安全防護不是一個靜態過程,而是一個包含多個環節的動態過程,并相應地提出了反映網絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統安全需求和安全風險分析,確定系統的安全目標,設計相應的安全策略。
2.應根據確定的安全策略,采用相應的網絡安全技術如身份認證技術、訪問控制、網絡技術,選擇符合安全標準和通過安全認證的安全技術和產品,構建系統的安全防線,把好系統的入口。
3.應建立一套網絡案例實時檢測系統,主動、及時地檢測網絡系統的安全漏洞、用戶行為和網絡狀態;當網絡出現漏洞、發現用戶行為或網絡狀態異常時及時報警。
4.當出現報警時應及時分析原因,采取應急響應和處理,如斷開網絡連接,修復漏洞或被破壞的系統。
隨著網絡技術的不斷發展,我們的生活中越來越離不開網絡,然而網絡安全問題也日趨嚴重,做好網絡防護已經是我們所不得不做的事情,只有采取合理有效的網絡防護手段才能保證我們網絡的安全、保證信息的安全,使我們真正能夠用好網絡,使網絡為我們的生活添光添彩。
