網絡安全建設意義范文
前言:我們精心挑選了數篇優質網絡安全建設意義文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
論文摘要:隨著計算機技術和通信技術的發展,計算機網絡正變得日益重要,已經滲透到各行業的生產管理、經營管理等各個領域。因此,認清網絡的脆弱性和存在的潛在威脅,并采取強有力的防范措施,對于保障計算機網絡的安全、可靠、正常運行具有十分重要的意義。本文分析了對網絡安全建設造成威脅的諸多原因,并在技術及管理方面提出了相應的防范對策。
隨著計算機網絡的不斷發展,信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點,致使網絡易受攻擊。具體的攻擊是多方面的,有來自黑客的攻擊,也有其他諸如計算機病毒等形式的攻擊。因此,網絡的安全措施就顯得尤為重要,只有針對各種不同的威脅或攻擊采取必要的措施,才能確保網絡信息的保密性、安全性和可靠性。
1威脅計算機網絡安全的因素
計算機網絡安全所面臨的威脅是多方面的,一般認為,目前網絡存在的威脅主要表現在:
1.1非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。
1.2信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。
1.3破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加、修改數據,以干擾用戶的正常使用。
1.4拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。
1.5利用網絡傳播病毒
通過網絡傳播計算機病毒,其破壞性大大高于單機系統,而且用戶很難防范。
2網絡安全建設方法與技術
網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略,并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全,需要從多個方面采取對策。攻擊隨時可能發生,系統隨時可能被攻破,對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。
2.1計算機病毒防治
大多數計算機都裝有殺毒軟件,如果該軟件被及時更新并正確維護,它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時,對于病毒庫中已知的病毒或可疑程序、可疑代碼,殺毒軟件可以及時地發現,并向系統發出警報,準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有,對于不明來歷的軟件、程序及陌生郵件,不要輕易打開或執行。感染病毒后要及時修補系統漏洞,并進行病毒檢測和清除。
2.2防火墻技術
防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合,能在內部網絡與外部網絡之間構造起一個"保護層",網絡內外的所有通信都必須經過此保護層進行檢查與連接,只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問,也可以控制內部對外部特殊站點的訪問,提供監視Internet安全和預警的方便端點。當然,防火墻并不是萬能的,即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻,盡量少開端口,采用過濾嚴格的WEB程序以及加密的HTTP協議,管理好內部網絡用戶,經常升級,這樣可以更好地利用防火墻保護網絡的安全。
2.3入侵檢測
攻擊者進行網絡攻擊和入侵的原因,在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,比如操作系統、網絡服務、TCP/IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制,那么即使攻擊者已經侵入到內部網絡,侵入到關鍵的主機,并從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。
基于網絡的IDS,即入侵檢測系統,可以提供全天候的網絡監控,幫助網絡系統快速發現網絡攻擊事件,提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流,當檢測到未經授權的活動時,IDS可以向管理控制臺發送警告,其中含有詳細的活動信息,還可以要求其他系統(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門,它能在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
2.4安全漏洞掃描技術
安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點,讓網絡管理人員能在入侵者發現安全漏洞之前,找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描,網絡漏洞掃描,以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新,操作系統的漏洞隨時都在,只有及時更新才能完全的掃描出系統的漏洞,阻止黑客的入侵。
2.5數據加密技術
數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。
2.6安全隔離技術
面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求,全新安全防護理念"安全隔離技術"應運而生。它的目標是,在確保把有害攻擊隔離在可信網絡之外,并保證可信網絡內部信息不外泄的前提下,完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。
2.7黑客誘騙技術
黑客誘騙技術是近期發展起來的一種網絡安全技術,通過一個由網絡安全專家精心設置的特殊系統來引誘黑客,并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐(Honeypot)系統,其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄,網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后,仍不知曉自己所有的行為已處于系統的監視之中。為了吸引黑客,網絡安全專家通常還在蜜罐系統上故意留下一些安全后門來吸引黑客上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假信息。這樣,當黑客正為攻入目標系統而沾沾自喜的時候,他在目標系統中的所有行為,包括輸入的字符、執行的操作都已經為蜜罐系統所記錄。有些蜜罐系統甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統管理人員通過研究和分析這些記錄,可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平,通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標,根據這些信息,管理人員可以提前對系統進行保護。同時在蜜罐系統中記錄下的信息還可以作為對黑客進行起訴的證據。
2.8網絡安全管理防范措施
對于安全領域存在的問題,應采取多種技術手段和措施進行防范。在多種技術手段并用的同時,管理工作同樣不容忽視。規劃網絡的安全策略、確定網絡安全工作的目標和對象、控制用戶的訪問權限、制定書面或口頭規定、落實網絡管理人員的職責、加強網絡的安全管理、制定有關規章制度等等,對于確保網絡的安全、可靠運行將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等級和安全管理范圍;指定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
參考文獻
[1]張琳,黃仙姣.淺談網絡安全技術[J].電腦知識與技術,2006(11)
[2]盧云燕.網絡安全及其防范措施[J],科技情報開發與經濟,2006(10)
第2篇
主要功能模塊劃分
對于文中平臺主要功能的實現,則主要通過業務邏輯層來完成,概括起來主要包含四個方面的功能。
1設備管理
對于設備管理模塊來說,可以作為其他功能模塊的基礎,是其他模塊有機結合的基礎模塊,主要包括幾個子功能:(1)設備信息管理;(2)設備狀態監控;(3)設備拓撲管理等。這些子功能的實現,可以在網絡拓撲和手動的基礎上,通過統一通信接口來對設備的狀態和性能進行實施的監控和管理,必要的情況下,還可以通過圖形化的方式來表示,方便平臺和系統管理員對設備運行狀態的及時掌握和定位,減輕管理員的工作量。
2事件分析
作為安全設備管理平臺的核心模塊,安全事件分析模塊的目的就是對大量的網絡事件進行分析和處理、篩選,減輕管理員的工作壓力,所以,該功能模塊的主要子功能有安全時間分類統計、關聯分析和處理等。同樣,該功能模塊也能夠通過統一通信接口來對各個安全設備所生成的時間報告進行收集、統計,在統計分析的過程中,可以根據不同的標準進行分類,如時間、事件源、事件目的和事件類型等,通過科學統計和分析,還可以利用圖表的方式進行結果顯示,從而實現對安全事件內容關系及其危害程度進行準確分析的目的,并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。
3策略管理
安全設備管理平臺中的策略管理模塊包含多個功能,即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上,就可以統一對設備的策略定義進行管理和修改,對當前所采用的策略進行網絡安全事件沖突檢測,及時發現可能存在的網絡設置沖突和異常,確保網絡策略配置的正確性和合理性。通過對網絡環境中安全事件的深入分析,在跟當前所采用安全策略相比較的基礎上,就能夠為設備的安全設置提供合理化建議,從而實現對網絡安全設備設置的決策輔助和支持。
4級別評估
最后一個功能模塊就是安全級別評估模塊,該模塊的主要任務就是對網絡商業設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網絡安全事件的深入分析,在結合安全策略設置的基礎上,實現對網絡安全水平的準確評估,從而為網絡安全管理的實施和水平的提高提供有價值的數據參考。
平臺中的通信方法
要實現網絡中異構安全設備的統一管理,就需要通過統一的通信接口來實現,該接口的主要功能就是通過對網絡中異構設備運行狀態、安全事件等信息的定時獲取,從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題,實現網絡安全信息的標準化和格式的標準化。
1資源信息標準化
在網絡安全管理中,所涉及到的安全資源信息主要包括安全設備的運行狀態、設備配置策略信息和安全事件信息等。其中,安全設備的運行狀態信息主要通過數據交換層中的通信程序通過跟安全設備的定時通信來得到,可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲,但是采用數據庫存儲的則比較少,這主要是由于:(1)RRD文件適合某個時間點具有特定值且具有循環特性的數據存儲;(2)如果對多臺安全設備的運行狀態進行監控的情況下,就應該建立跟數據庫的多個連接,給后臺數據庫的通信造成影響。對于上面提到的安全設備的運行狀態信息和安全事件信息,通過對各種安全設備信息表述格式的充分考慮,本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述,不僅實現了相應的功能,還能夠為平臺提供調用轉換。而對于安全策略類的信息,則是先通過管理員以手動的方式將安全策略添加到平臺,然后再在平臺中進行修改,之后就可以在通過平臺的檢測沖突,由平臺自動生成設備需要的策略信息,然后再通過管理員對策略進行手動的修改。
2格式標準化
對于安全事件和策略的格式標準化問題,可以通過格式的差異描述文件來實現彼此之間的轉換,這里提到的差異描述文件則采用XML格式來表述,而格式的自動轉換則通過JavaBean的內置缺省功能來實現。
3通信處理機制
對于通信接口而言,由不同廠家所提供的同類型設備之間的差異也比較大。所以,對于設備的運行狀態信息,主要采用兩種途徑來獲取:(1)通過標準的SNMP、WMI方式獲得;(2)通過專用的Socket接口調用特定函數來獲得。而對于網絡運行中的安全事件,其獲得途徑也有兩種:(1)通過專用Socket接口來獲得;(2)將安全事件通過推送的方式發送到指定的安全管理設備。通過綜合分析,本文平臺主要采用獨立的通信程序和集中設置調用的方法來獲得安全資源信息,這樣就可(1)以實現對安全設備管理的最有效支持。本文所采用方式的實現機制為:平臺通過標準接口獲取網絡的安全資源信息,再通過通信程序的調用設置功能,對程序調用的時間間隔及其語法規范進行定義。
第3篇
一、 基本網絡的搭建。
由于校園網網絡特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:
1. 網絡拓撲結構選擇:網絡采用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的局域網拓撲結構。節點具有高度的獨立性,并且適合在中央位置放置網絡診斷設備。
2.組網技術選擇:目前,常用的主干網的組網技術有快速以太網(100Mbps)、FDDI、千兆以太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網絡平臺,但它的網絡帶寬的實際利用率很低;目前千兆以太網已成為一種成熟的組網技術,造價低于ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦采用千兆以太網為骨干,快速以太網交換到桌面組建計算機播控網絡。
二、網絡安全設計。
1.物理安全設計 為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.網絡共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網絡物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其它VLAN中,即使是兩臺計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的,它在以太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。從目前來看,根據端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員,被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。
但是,這種劃分模式將虛擬網絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們采用防病毒技術,防火墻技術和入侵檢測技術來解決相關的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,并且借助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護服務器和網絡中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下需要應用基于網絡的防病毒技術。這些技術包括:基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。例如,我們準備在主機上統一安裝網絡防病毒產品套間,并在計算機信息網絡中設置防病毒中央控制臺,從控制臺給所有的網絡用戶進行防病毒軟件的分發,從而達到統一升級和統一管理的目的。安裝了基于網絡的防病毒軟件后,不但可以做到主機防范病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網絡信息安全。形成的整體拓撲圖。
第二,防火墻技術。企業防火墻一般是軟硬件一體的網絡安全專用設備,專門用于TCP/IP體系的網絡層提供鑒別,訪問控制,安全審計,網絡地址轉換(NAT),IDS,VPN,應用等功能,保護內部局域網安全接入INTERNET或者公共網絡,解決內部計算機信息網絡出入口的安全問題。
