導語:在網(wǎng)絡安全方案的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文�����,愿這些內容能夠啟發(fā)您的創(chuàng)作靈感,引領您探索更多的創(chuàng)作可能�。
第1篇
[關鍵詞] 網(wǎng)絡安全方案設計實現(xiàn)
一�、計算機網(wǎng)絡安全方案設計與實現(xiàn)概述
影響網(wǎng)絡安全的因素很多,保護網(wǎng)絡安全的技術�、手段也很多。一般來說����,保護網(wǎng)絡安全的主要技術有防火墻技術、入侵檢測技術���、安全評估技術�、防病毒技術�、加密技術、身份認證技術��,等等����。為了保護網(wǎng)絡系統(tǒng)的安全,必須結合網(wǎng)絡的具體需求�����,將多種安全措施進行整合,建立一個完整的���、立體的����、多層次的網(wǎng)絡安全防御體系�����,這樣一個全面的網(wǎng)絡安全解決方案��,可以防止安全風險的各個方面的問題��。
二���、計算機網(wǎng)絡安全方案設計并實現(xiàn)
1.桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲在磁盤上�����,使用戶可以方便地存取�����、修改�、分發(fā)。這樣可以提高辦公的效率��,但同時也造成用戶的信息易受到攻擊�����,造成泄密�����。特別是對于移動辦公的情況更是如此�。因此��,需要對移動用戶的文件及文件夾進行本地安全管理��,防止文件泄密等安全隱患�����。
本設計方案采用清華紫光公司出品的紫光S鎖產(chǎn)品��,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統(tǒng)”的商品名稱�����。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協(xié)處理器(CAU)����、只讀存儲器(ROM),隨機存儲器(RAM)�����、電可擦除可編程只讀存儲器(E2PROM)等���,以及固化在ROM內部的芯片操作系統(tǒng)COS(Chip Operating System)���、硬件ID號、各種密鑰和加密算法等��。紫光S鎖采用了通過中國人民銀行認證的SmartCOS��,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改���,防止非法軟件對S鎖進行操作�����。
2.病毒防護系統(tǒng)
基于單位目前網(wǎng)絡的現(xiàn)狀�����,在網(wǎng)絡中添加一臺服務器���,用于安裝IMSS�����。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes���。該產(chǎn)品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數(shù)據(jù)庫中���,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒�。可通過任何Notes工作站或Web界面遠程控管防毒管理工作���,并提供實時監(jiān)控病毒流量的活動記錄報告���。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務器防毒。采用趨勢科技的ServerProtect���。該產(chǎn)品的最大特點是內含集中管理的概念��,防毒模塊和管理模塊可分開安裝���。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署�����,管理和更新���。
(3)客戶端防毒�����。采用趨勢科技的OfficeScan��。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng)���,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新�����。其最大特點是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束��,除支持SMS���,登錄域腳本���,共享安裝以外,還支持純Web的部署方式�����。
(4)集中控管TVCS���。管理員可以通過此工具在整個企業(yè)范圍內進行配置、監(jiān)視和維護趨勢科技的防病毒軟件��,支持跨域和跨網(wǎng)段的管理��,并能顯示基于服務器的防病毒產(chǎn)品狀態(tài)�。無論運行于何種平臺和位置,TVCS在整個網(wǎng)絡中總起一個單一管理控制臺作用�����。簡便的安裝和分發(fā)部署,網(wǎng)絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報����,給管理帶來極大的便利。
3.動態(tài)口令身份認證系統(tǒng)
動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上���,結合生成動態(tài)口令的特點����,加以精心修改�,通過十次以上的非線性迭代運算,完成時間參數(shù)與密鑰充分的混合擴散����。在此基礎上,采用先進的身份認證及加解密流程���、先進的密鑰管理方式��,從整體上保證了系統(tǒng)的安全性��。
4.訪問控制“防火墻”
單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構成�����,在控制不可信連接�、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷���,從而構成了對網(wǎng)絡安全的重要隱患�。本設計方案選用四臺網(wǎng)御防火墻�,分別配置在高性能服務器和三個重要部門的局域網(wǎng)出入口����,實現(xiàn)這些重要部門的訪問控制�。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻���,通過防火墻將網(wǎng)絡內部不同部門的網(wǎng)絡或關鍵服務器劃分為不同的網(wǎng)段��,彼此隔離�����。這樣不僅保護了單位網(wǎng)絡服務器�����,使其不受來自內部的攻擊���,也保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自單位網(wǎng)內部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一個部門��,或者如果病毒開始蔓延�,網(wǎng)段能夠限制造成的損壞進一步擴大。
5.信息加密�、信息完整性校驗
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨立的安全通道��,通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性���、真實性和私有性����。
SJW-22網(wǎng)絡密碼機系統(tǒng)組成
網(wǎng)絡密碼機(硬件):是一個基于專用內核,具有自主版權的高級通信保護控制系統(tǒng)���。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡或串口方式的網(wǎng)絡密碼機本地管理系統(tǒng)軟件�。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網(wǎng)的密碼機設備進行統(tǒng)一管理的系統(tǒng)軟件����。
6.安全審計系統(tǒng)
根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設可采取“加密”����、“外防”、“內審”相結合的方法�,“內審”是對系統(tǒng)內部進行監(jiān)視、審查���,識別系統(tǒng)是否正在受到攻擊以及內部機密信息是否泄密�,以解決內層安全�����。
安全審計系統(tǒng)能幫助用戶對安全網(wǎng)的安全進行實時監(jiān)控�����,及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)�����,發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為���,忠實記錄網(wǎng)絡上發(fā)生的一切,提供取證手段��。作為網(wǎng)絡安全十分重要的一種手段�,安全審計系統(tǒng)包括識別���、記錄、存儲�、分析與安全相關行為有關的信息�����。
在安全網(wǎng)中使用的安全審計系統(tǒng)應實現(xiàn)如下功能:安全審計自動響應����、安全審計數(shù)據(jù)生成、安全審計分析�、安全審計瀏覽、安全審計事件存儲�、安全審計事件選擇等���。
本設計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具����。
漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡發(fā)展現(xiàn)狀及存在的安全問題�,面向企事業(yè)的網(wǎng)絡管理人員而設計的一套網(wǎng)絡安全產(chǎn)品�����,是一個分布在整個安全網(wǎng)范圍內的網(wǎng)絡安全監(jiān)視監(jiān)測�����、控制系統(tǒng)。
(1)安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構成�����。主機傳感器安裝在要監(jiān)視的目標主機上,其監(jiān)視目標主機的人機界面操作���、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡連接情況及共享資源的使用情況�。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡管理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則���,同時獲得監(jiān)控結果、報警信息以及日志的審計���。主要功能有文件保護審計和主機信息審計。
①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規(guī)則設置,包括禁止讀、禁止寫、禁止刪除�、禁止修改屬性、禁止重命名、記錄日志�、提供報警等功能�。以及對文件保護進行用戶管理����。
②主機信息審計:對網(wǎng)絡內公共資源中����,所有主機進行審計,可以審計到主機的機器名����、當前用戶、操作系統(tǒng)類型���、IP地址信息���。
(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內�����,系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束�����。
②監(jiān)視鍵盤:在用戶指定的時間段內,截獲Host Sensor Program用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結束。
③監(jiān)測監(jiān)控RAS連接:在用戶指定的時間段內,記錄所有的RAS連接信息����。用戶實時控制ass連接信息截獲的開始和結束�。當gas連接非法時��,系統(tǒng)將自動進行報警或掛斷連接的操作���。
④監(jiān)測監(jiān)控網(wǎng)絡連接:在用戶指定的時間段內��,記錄所有的網(wǎng)絡連接信息(包括:TCP, UDP,NetBios)���。用戶實時控制網(wǎng)絡連接信息截獲的開始和結束���。由用戶指定非法的網(wǎng)絡連接列表�����,當出現(xiàn)非法連接時�����,系統(tǒng)將自動進行報警或掛斷連接的操作����。
單位內網(wǎng)中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全計算機�,所以應在安全計算機安裝主機傳感器,保證探頭能夠采集進出網(wǎng)絡的所有數(shù)據(jù)�。安全監(jiān)控中心安裝在信息中心的一臺主機上�,負責為主機傳感器設定監(jiān)控規(guī)則�,同時獲得監(jiān)控結果、報警信息以及日志的審計�����。單位內網(wǎng)中的安全計算機為600臺���,需要安裝600個傳感器。
7.入侵檢測系統(tǒng)IDS
入侵檢測作為一種積極主動的安全防護技術�,提供了對內部攻擊���、外部攻擊和誤操作的實時保護���,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全的立體縱深��、多層次防御的角度出發(fā)���,入侵檢測理應受到人們的高度重視,這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出��。
根據(jù)網(wǎng)絡流量和保護數(shù)據(jù)的重要程度����,選擇IDS探測器(百兆)配置在內部關鍵子網(wǎng)的交換機處放置�����,核心交換機放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護���,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。
在單位安全內網(wǎng)中���,入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其他部門子網(wǎng)之間,通過實時截取網(wǎng)絡上的是數(shù)據(jù)流�,分析網(wǎng)絡通訊會話軌跡�,尋找網(wǎng)絡攻擊模式和其他網(wǎng)絡違規(guī)活動�����。
8.漏洞掃描系統(tǒng)
本內網(wǎng)網(wǎng)絡的安全性決定了整個系統(tǒng)的安全性���。在內網(wǎng)高性能服務器處配置一臺網(wǎng)絡隱患掃描I型聯(lián)動型產(chǎn)品����。I型聯(lián)動型產(chǎn)品適用于該內網(wǎng)這樣的高端用戶�����,I型聯(lián)動型產(chǎn)品由手持式掃描儀和機架型掃描服務器結合一體����,網(wǎng)管人員就可以很方便的實現(xiàn)了集中管理的功能���。網(wǎng)絡人員使用I型聯(lián)動型產(chǎn)品,就可以很方便的對200信息點以上的多個網(wǎng)絡進行多線程較高的掃描速度的掃描���,可以實現(xiàn)和IDS、防火墻聯(lián)動����,尤其適合于制定全網(wǎng)統(tǒng)一的安全策略�����。同時移動式掃描儀可以跨越網(wǎng)段�、穿透防火墻����,實現(xiàn)分布式掃描�����,服務器和掃描儀都支持定時和多IP地址的自動掃描,網(wǎng)管人員可以很輕松的就可以進行整個網(wǎng)絡的掃描��,根據(jù)系統(tǒng)提供的掃描報告�,配合我們提供的三級服務體系���,大大的減輕了工作負擔�����,極大的提高了工作效率���。
聯(lián)動掃描系統(tǒng)支持多線程掃描�����,有較高的掃描速度����,支持定時和多IP地址的自動掃描�,網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡進行掃描和漏洞的彌補�����。同時提供了Web方式的遠程管理�����,網(wǎng)管不需要改變如何的網(wǎng)絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網(wǎng)絡的安全性。另外對于信息點少����、網(wǎng)絡環(huán)境變化大的內網(wǎng)配置網(wǎng)絡隱患掃描II型移動式掃描儀���。移動式掃描儀使用靈活��,可以跨越網(wǎng)段����、穿透防火墻�,對重點的服務器和網(wǎng)絡設備直接掃描防護�����,這樣保證了網(wǎng)絡安全隱患掃描儀和其他網(wǎng)絡安全產(chǎn)品的合作和協(xié)調性�����,最大可能地消除安全隱患。
在防火墻處部署聯(lián)動掃描系統(tǒng)��,在部門交換機處部署移動式掃描儀��,實現(xiàn)放火墻��、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動��,保證了網(wǎng)絡安全隱患掃描儀和其他網(wǎng)絡安全產(chǎn)品的合作和協(xié)調性,最大可能的消除安全隱患����,盡可能早地發(fā)現(xiàn)安全漏洞并進行修補���,優(yōu)化資源�,提高網(wǎng)絡的運行效率和安全性。
三�、結束語
隨著網(wǎng)絡應用的深入普及��,網(wǎng)絡安全越來越重要,國家和企業(yè)都對建立一個安全的網(wǎng)絡有了更高的要求���。一個特定系統(tǒng)的網(wǎng)絡安全方案,應建立在對網(wǎng)絡風險分析的基礎上���,結合系統(tǒng)的實際應用而做。由于各個系統(tǒng)的應用不同���,不能簡單地把信息系統(tǒng)的網(wǎng)絡安全方案固化為一個模式���,用這個模子去套所有的信息系統(tǒng)。
本文根據(jù)網(wǎng)絡安全系統(tǒng)設計的總體規(guī)劃,從桌面系統(tǒng)安全�����、病毒防護、身份鑒別�、訪問控制����、信息加密、信息完整性校驗��、抗抵賴、安全審計�、入侵檢測�����、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案��,目的是建立一個完整的、立體的����、多層次的網(wǎng)絡安全防御體系�����。
參考文獻:
[1]吳若松:新的網(wǎng)絡威脅無處不在[J].信息安全與通信保密,2005年12期
[2]唐朝京張權張森強:有組織的網(wǎng)絡攻擊行為結果的建模[J].信息與電子工程,2003年2期
第2篇
關鍵詞:企業(yè)網(wǎng)絡��;信息安全����;安全方案構建
1 企業(yè)計算機網(wǎng)絡安全方案的構建意義
目前���,我國大中型企業(yè)信息化建設中的關鍵部分就是信息安全建設,解決信息安全問題有利于企業(yè)信息化建設工作的全面推進�。企業(yè)信息安全建設的最終目的是要真正做到“防患于未然”����,信息安全的有效性建設能夠控制企業(yè)信息化建設的總體成本,為企業(yè)節(jié)約大量資金�,實現(xiàn)資源優(yōu)化配置���。企業(yè)計算機網(wǎng)絡安全建設工作要始終堅持等級保護理念���,才能促進企業(yè)信息安全建設工作的穩(wěn)步實施�����,保證企業(yè)信息管理系統(tǒng)的建設符合行業(yè)標準和政策規(guī)定��,全面提升企業(yè)在激烈的市場競爭中的競爭力���。
2 企業(yè)計算機網(wǎng)絡安全的弱點和威脅
2.1 信息安全弱點
信息安全弱點與企業(yè)信息資源密切相關�,信息安全弱點的暴露很有可能導致企業(yè)資產(chǎn)的嚴重損失����。但是���,信息安全弱點本身并不會為企業(yè)帶來損失�,只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失�����,例如�����,企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題,管理員的管理措施問題等��,這些信息安全弱點都為非法攻擊者提供了非法入侵的可能���。
2.2 信息安全威脅
信息安全威脅指的是對企業(yè)資產(chǎn)構成潛在性的破壞因素���,信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素���。信息安全威脅可能是偶然發(fā)生的事件,也有可能是人為蓄意制造的時間���,包括信息泄露、信息篡改等�,這些事件都會導致企業(yè)信息的可用性���、完整性和保密性遭到破壞,屬于對企業(yè)信息的惡意攻擊�。
2.3 網(wǎng)絡安全事件
由于網(wǎng)絡特有的開放性特點���,造成了非法攻擊���、黑客入侵、病毒傳播等海量安全事件發(fā)生����,信息安全領域對于網(wǎng)絡安全的研究也日益重視�����。根據(jù)大量網(wǎng)絡安全事件分析來看�,企業(yè)信息管理系統(tǒng)的應用設計存在著諸多缺陷和弊端,給情報機構的非法入侵提供了極大的可能性���。由此,內容分級制度����、脆弱性檢測技術���、智能分析技術已經(jīng)廣泛應用于企業(yè)信息系統(tǒng)開發(fā)過程中。
3 企業(yè)計算機網(wǎng)絡安全存在的主要問題
⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實現(xiàn)通信傳輸����,這種落后的網(wǎng)絡通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?����。企業(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中�����,沒有采取任何數(shù)據(jù)加密措施,非常容易造成數(shù)據(jù)信息的泄露和篡改,同時,企業(yè)信息管理系統(tǒng)的操作應用沒有設置明確的管理人員���,導致其他非法用戶也可以入侵到企業(yè)內部網(wǎng)絡中,對服務器數(shù)據(jù)進行竊取和篡改。以上兩種網(wǎng)絡安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露���,甚至給企業(yè)帶來不看估計的損失����。
⑵隨著企業(yè)網(wǎng)絡規(guī)模的日益擴大����,在網(wǎng)絡邊界如果仍然采用路由器連接企業(yè)內部網(wǎng)絡和外部網(wǎng)絡,已經(jīng)無法適應飛速發(fā)展的網(wǎng)絡互連技術。企業(yè)雖然可以在網(wǎng)絡邊界的路由器中設置訪問控制策略,但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊、IP地址攻擊、ARP協(xié)議欺騙等問題,這表明了企業(yè)需要一善可靠的防火墻設備�,來對企業(yè)網(wǎng)絡的數(shù)據(jù)傳輸提供有效控制和保護����。
⑶由于互聯(lián)網(wǎng)技術的飛速發(fā)展�,為企業(yè)提供了豐富的信息資源,除了企業(yè)日常運營需要使用網(wǎng)絡資源�,其他工作人員也有可能通過網(wǎng)絡獲取信息資源�,例如使用迅雷�����、BT等軟件下載視音頻信息等,網(wǎng)絡下載會占用企業(yè)大部分帶寬資源�,嚴重的會導致系統(tǒng)管理員無法對網(wǎng)絡終端的訪問情況進行有效管理,或者某一個計算機終端因下載感染病毒而引發(fā)ARP欺騙���。
⑷隨著互聯(lián)網(wǎng)應用的日益普及�,木馬病毒的廣泛傳播�,企業(yè)員工計算機使用水平參差不齊����,不能保證對網(wǎng)絡中的有害信息進行有效識別�����,由此導致了木馬病毒在企業(yè)內部網(wǎng)絡的感染和傳播。因此,需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進行病毒查殺和威脅分析�����,以此起到有害信息過濾的作用,使流入企業(yè)內部網(wǎng)絡的數(shù)據(jù)信息能夠安全可靠,真正降低企業(yè)信息安全風險����。同時�����,企業(yè)可以采用網(wǎng)關防病毒產(chǎn)品�����,在企業(yè)內部網(wǎng)絡與外部網(wǎng)絡處進行隔離保護�����,當木馬病毒出現(xiàn)時可以被攔截在企業(yè)內部網(wǎng)絡之外�����,為企業(yè)提供可靠的安全邊界保護。
4 企業(yè)計算機網(wǎng)絡安全方案的構建實施
企業(yè)總部需要與企業(yè)分部�����,以及其他合作企業(yè)之間實現(xiàn)數(shù)據(jù)傳輸與交換���,企業(yè)派往外地出差的員工也需要通過遠程網(wǎng)絡訪問企業(yè)總部內網(wǎng)的信息管理系統(tǒng)�,因此,不同用戶企業(yè)總部內部網(wǎng)絡的訪問有著不同需求,企業(yè)必須具有安全可靠、性能較高�����、成本較低的網(wǎng)絡接入方式�����。由于企業(yè)分部大部分與企業(yè)總部不在一個城市�,在企業(yè)總部與企業(yè)分部之間鋪設光纜線路是極為不現(xiàn)實的;如果租用專用光纖網(wǎng)絡通信線路����,高額的租賃費用會嚴重增加企業(yè)運營發(fā)展的經(jīng)濟負擔;如果將企業(yè)總部內部網(wǎng)絡的應用服務器映射在網(wǎng)關位置�,雖然能夠方面用戶遠程訪問企業(yè)內部信息管理系統(tǒng),但會給企業(yè)網(wǎng)絡帶來巨大的安全隱患���。本文基于以上分析,本文選擇利用VPN技術(虛擬局域網(wǎng))在企業(yè)內部網(wǎng)絡出口處����,虛擬設置一條網(wǎng)絡專線,以此將企業(yè)總部與企業(yè)分部網(wǎng)絡進行有效連接����,形成一個規(guī)模較大的局域網(wǎng)�,真正實現(xiàn)了用戶遠程訪問和接入�����。VPN技術不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡信息管理系統(tǒng)的訪問需求�����,而且充分保證了用戶訪問的安全性����,避免了單點登錄技術對企業(yè)整個網(wǎng)絡構成的安全威脅。
企業(yè)在部署上網(wǎng)行為管理設備(SINFOR M5X00-AC)時���,應該開啟VPN功能�����,在企業(yè)總部內部網(wǎng)絡的邊界防火墻設備中進行端口映射,同時在企業(yè)分部網(wǎng)絡中安裝上網(wǎng)行為管理設備���,并且與企業(yè)總部的上網(wǎng)行為管理設備共同利用VPN技術建立虛擬專用網(wǎng)絡�����,在對數(shù)據(jù)信息進行加密后在互聯(lián)網(wǎng)上傳輸。企業(yè)在構建虛擬專用網(wǎng)絡時����,只要在任何一端的連接管理設置中輸入對方網(wǎng)絡地址,VPN設備就可以自動進行虛擬局域網(wǎng)組建�,網(wǎng)絡中的任何計算機終端都可以通過虛擬專用網(wǎng)實現(xiàn)數(shù)據(jù)傳輸與共享。如果還有其他分部需要加入到虛擬局域網(wǎng)中����,則可以通過輸入加密的訪問WAN扣地址實現(xiàn)�。需要注意的是�,已將連通的虛擬局域網(wǎng)的內網(wǎng)網(wǎng)段不能完全相同�����。
企業(yè)在部署上網(wǎng)行為管理設備時�,由于訪問控制策略是信息安全策略的核心部分�����,也是對網(wǎng)絡中數(shù)據(jù)傳輸?shù)年P鍵保護措施���,由此,需要對接入企業(yè)總部網(wǎng)絡的用戶進行身份認證�,根據(jù)不同用戶的身份授予不同權限,再利用配置邏輯隔離服務器實現(xiàn)不同用戶身份對不同應用服務器的接入��,從而對企業(yè)內部網(wǎng)絡中的業(yè)務信息管理系統(tǒng)進行訪問和使用���。同時�,安全級別為五級的QoS安全機制能夠為企業(yè)不同信息系統(tǒng)提供相應的安全服務保障����,并且可以按照業(yè)務類別劃分優(yōu)先級別,重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋嘞?��。對用戶訪問權限的細致劃分可以限制非法用戶對網(wǎng)絡資源的訪問和使用����,防止非法用戶入侵企業(yè)內部網(wǎng)絡進行破壞性操作,直接對接入企業(yè)內部網(wǎng)絡的各項訪問應用進行管控���,真正提高了企業(yè)網(wǎng)絡系統(tǒng)的安全性。
在企業(yè)內部網(wǎng)絡部署應用安全產(chǎn)品過程中�,需要綜合考慮如何完成安全產(chǎn)品的部署策略,才能使安全產(chǎn)品的性能充分發(fā)揮���,同時�,企業(yè)內部網(wǎng)絡還可以將不同的安全產(chǎn)品集成應用����,使其發(fā)揮最大功能,充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性�。
本文基于信息安全等級指導思想下,對企業(yè)內部網(wǎng)絡存在的問題進行了分析���,并提出了良好的解決方案�����,包括防火墻的部署�、入侵檢測設備的部署、上網(wǎng)行為管理設備的部署�����、防毒墻的部署�、企業(yè)版殺毒軟件的部署等。
5 結論
綜上所述�,本文在網(wǎng)絡信息安全等級保護理念下,將企業(yè)內部網(wǎng)絡的安全防護的有效性作為最終目標�����,對企業(yè)網(wǎng)絡信息安全存在的風險進行深入分析����,結合企業(yè)實際情況,提出了企業(yè)計算機網(wǎng)絡安全設計方案�,保障了企業(yè)總部內部網(wǎng)絡與分部網(wǎng)絡之間數(shù)據(jù)傳輸通信的安全性和可靠性。
[參考文獻]
[1]李正忠.電力企業(yè)信息安全網(wǎng)絡建設原則與實踐[J].中國新通信�,2013,09:25-27.
[2]王迅.電信企業(yè)計算機網(wǎng)絡安全構建策略分析[J].科技傳播�����,2013�����,07:217+209.
[3]陳瑋.企業(yè)無線網(wǎng)絡移動辦公的安全接入問題分析[J].信息通信,2013���,03:239.
第3篇
接連不斷的蠕蟲病毒使當前安全技術和措施的有效性再次受到質疑���。盡管安全是世界上所有機構的頭等大事之一���,安全攻擊事件的數(shù)量仍然是逐年攀升���,造成的危害一次比一次大。在最近的數(shù)年中�����,大量的投資被用于阻擊安全事件的發(fā)生�,但只有少數(shù)公司確保了它們網(wǎng)絡的安全。
特別值得一提的是��,為了滿足用戶和業(yè)務的需求��,時刻保持競爭優(yōu)勢�,企業(yè)不得不持續(xù)擴張網(wǎng)絡體系�����。然而�,很多人可能不知道�����,網(wǎng)絡的每一次擴張�����,即便是一臺新計算機��、一臺新服務器以及軟件應用平臺���,都將給病毒�、蠕蟲���、黑客留下可乘之機�����,為企業(yè)網(wǎng)絡帶來額外的安全風險���。同時�,純病毒時代已經(jīng)一去不復返����,幾年前占據(jù)著新聞頭條的計算機病毒事件在今天看來已經(jīng)不是什么新聞,取而代之的是破壞程度呈幾何增長的新型病毒�����。這種新型病毒被稱為混合型病毒���,這種新病毒結合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡的能力,能夠快速尋找和發(fā)現(xiàn)整個企業(yè)網(wǎng)絡內存在的安全漏洞����,并進行進一步的破壞,如拒絕服務攻擊�,拖垮服務器,攻擊計算機或系統(tǒng)的薄弱環(huán)節(jié)�。在這種混合型病毒時代,單一的依靠軟件安全防護已開始不能滿足客戶的需求���。
網(wǎng)絡安全不只是軟件廠商的事
今年上半年�����,網(wǎng)絡安全軟件及服務廠商——趨勢科技與網(wǎng)絡業(yè)界領導廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議����。該協(xié)議進一步擴展了雙方此前針對思科網(wǎng)絡準入控制(NAC)計劃建立的合作關系,并將實現(xiàn)思科網(wǎng)絡基礎設施及安全解決方案與趨勢科技防病毒技術����、漏洞評估和病毒爆發(fā)防御能力的結合。
根據(jù)合作協(xié)議���,思科首先將在思科IOS路由器����、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(tǒng)(IDS)軟件中添加趨勢科技的網(wǎng)絡蠕蟲和病毒識別碼技術��。此舉將為用戶提供高級的網(wǎng)絡病毒智能識別功能和附加的實時威脅防御層���,以抵御各種已知和未知的網(wǎng)絡蠕蟲的攻擊�����。
“在抵御網(wǎng)絡蠕蟲���、防止再感染�、漏洞和系統(tǒng)破壞的過程中�����,用戶不斷遭受業(yè)務中斷的損失��,這導致了對更成熟的威脅防御方案需求的增長����。”趨勢科技創(chuàng)始人兼首席執(zhí)行官張明正評論說�,“傳統(tǒng)的方法已無法滿足雙方客戶的需求?���!?/p>
“現(xiàn)在的網(wǎng)絡安全已不是單一的軟件防護����,而是擴充到整個網(wǎng)絡的防治?����!彼伎迫蚋笨偛枚偶覟I在接受記者采訪時表示:“路由器和交換機應該是保護整個網(wǎng)絡安全的,如果它不安全����,那它就不是路由器。從PC集成上來看��,網(wǎng)絡設備應該能自我保護��,甚至實現(xiàn)對整個網(wǎng)絡安全的保護�。”
業(yè)界專家指出�����,防病毒與網(wǎng)絡基礎設施結合�,甚至融入到網(wǎng)絡基礎架構中,這是網(wǎng)絡安全的發(fā)展潮流����,趨勢科技和思科此次合作引領了這一變革,邁出了安全發(fā)展史上里程碑式的重要一步�。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋��,兩家公司都需要此次合作。
作為網(wǎng)絡領域的全球領導者��,思科一直致力于推動網(wǎng)絡安全的發(fā)展并獨具優(yōu)勢�。自防御網(wǎng)絡(Self-DefendingNetwork,SDN)計劃是思科于今年3月推出的全新的安全計劃����,它能大大提高網(wǎng)絡發(fā)現(xiàn)、預防和對抗安全威脅的能力�。思科網(wǎng)絡準入控制(NAC)計劃則是SDN計劃的重要組成部分,它和思科的其他安全技術一起構成了SDN的全部內涵����。
SDN是一個比較全面、系統(tǒng)的計劃����,但是它缺乏有效的病毒防護功能。隨著網(wǎng)絡病毒的日見猖獗���,該計劃防毒功能的欠缺日益凸顯�����。趨勢科技領先的防毒安全解決方案正是思科安全體系所亟需的�。
趨勢科技作為網(wǎng)絡安全軟件及服務廠商����,以卓越的前瞻和技術革新能力引領了從桌面防毒到網(wǎng)絡服務器和網(wǎng)關防毒的潮流。趨勢科技的主動防御的解決方案是防毒領域的一大創(chuàng)新����,其核心是企業(yè)安全防護戰(zhàn)略(EPS)。EPS一反過去被動地以防毒軟件守護的方式�����,將主動預防和災后重建的兩大階段納入整個防衛(wèi)計劃當中���,并將企業(yè)安全防護策略延伸至網(wǎng)絡的各個層次��。
“如果此次與思科合作的不是趨勢科技�����,我們恐怕連覺都睡不好��?����!睆埫髡膽蜓詿o不透露出趨勢科技對此次合作的迫切性和重要性��。
更讓張明正高興的是�,通過此次合作,趨勢科技大大擴充了渠道���?�!拔覀兊那乐丿B性很小����?��!睆埫髡硎?����。而此次“1+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間�����。
網(wǎng)絡安全路在何方���?
如今,雖然業(yè)界有形形的安全解決方案�����,網(wǎng)絡安全的形勢卻不斷惡化���。究其原因���,主要是由于現(xiàn)在的網(wǎng)絡威脅形式越來越多,攻擊手段越來越復雜����,呈現(xiàn)出綜合的多元化的特征。
第4篇
關鍵詞:關鍵詞:防火墻;新一代;網(wǎng)絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
0 序言
近年來,隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應用的快速普及,互聯(lián)網(wǎng)已成為人們日常工作生活中不可或缺的信息承載工具���。同樣,隨著企業(yè)信息化的迅速發(fā)展,基于網(wǎng)絡的應用越來越廣泛,特別是企業(yè)內部專網(wǎng)系統(tǒng)信息化的發(fā)展日新月異—如:網(wǎng)絡規(guī)模在不斷擴大����、信息的內容和信息量在不斷增長,網(wǎng)絡應用和規(guī)模的快速發(fā)展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網(wǎng)絡維護者不得不對潛在的威脅進行防御及網(wǎng)絡安全系統(tǒng)建設,多種威脅技術的變化發(fā)展及威脅對企業(yè)專網(wǎng)系統(tǒng)的IT安全建設提出了更高的要求�����。
1.安全風險背景
隨著計算機技術����、通信技術和網(wǎng)絡技術的發(fā)展,接入專網(wǎng)的應用系統(tǒng)越來越多�����。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多�。對整個系統(tǒng)和專網(wǎng)的安全性���、可靠性��、實時性提出了新的嚴峻挑戰(zhàn)�。而另一方面,Internet技術已得到廣泛使用,E-mail�����、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統(tǒng)和數(shù)據(jù)網(wǎng)絡系統(tǒng)的安全性和可靠性已成為一個非常緊迫的問題��。
2.網(wǎng)絡安全方案
防火墻是最具策略性的網(wǎng)絡安全基礎結構組件,可以檢測所有通信流�����。因此,防火墻是企業(yè)網(wǎng)絡安全控制的中心,通過部署防火墻來強化網(wǎng)絡的安全性,是實施安全策略的最有效位置�����。不過,傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL��、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻��。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業(yè)暴露在商業(yè)風險之下,并使企業(yè)面臨網(wǎng)絡中斷���、違反規(guī)定、運營維護成本增加和可能丟失數(shù)據(jù)等風險��。用于恢復可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”�。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發(fā)掃描進程)的不足,均無法解決可視化和控制問題?����,F(xiàn)在需要一種完全顛覆式的方法來恢復可視化和控制���。而新一代防火墻也必須具備如下要素:
(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協(xié)議����、SSL���、加密技術或規(guī)避策略����。應用程序的身份構成所有安全策略的基礎。(識別七層或七層以上應用)
(2)識別用戶,而不僅僅識別 IP 地址��。利用企業(yè)目錄中存儲的信息來執(zhí)行可視化�、策略創(chuàng)建、報告和取證調查等操作���。
(3)實時檢查內容�����。幫助網(wǎng)絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現(xiàn)低延遲和高吞吐速度���。
(4)簡化策略管理。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制
(5)提供數(shù)千兆位或萬兆位的數(shù)據(jù)吞吐量����。在一個專門構建的平臺上結合高性能硬件和軟件來實現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能
2.1 產(chǎn)品與部署方式
本文就Palo Alto Networks 新一代安全防護網(wǎng)關部署方案進行探討,該產(chǎn)品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現(xiàn)有網(wǎng)絡架構中,協(xié)助網(wǎng)管人員進行環(huán)境狀態(tài)分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發(fā)現(xiàn)潛在安全風險,作為安全策略調整的判斷依據(jù)��。
2.2 解決方案功能
本方案產(chǎn)品突破了傳統(tǒng)的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網(wǎng)絡及應用的安全性和可視性的同時保持應用層線速的特性�����。主要功能如下:
(1)應用程序、用戶和內容的可視化
管理員可使用一組功能強大的可視化工具來快速查看穿越網(wǎng)絡的應用程序�����、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業(yè)務相關的安全策略�。
(2)應用程序命令中心:這是一項無需執(zhí)行任何配置工作的標準功能,以圖形方式顯示有關當前網(wǎng)絡活動(包括應用程序、URL 類別����、威脅和數(shù)據(jù))的大量信息,為管理員提供所需的數(shù)據(jù),供其做出更為合理的安全策略決定�����。
(3)管理:管理員可以使用基于 Web 的界面�、完全的命令行界面或集中式管理等多種方式來控制防火墻?����?苫诮巧墓芾?將不同的管理職能委派給合適的個人���。
(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網(wǎng)絡上的應用程序��、用戶和威脅的詳細視圖�。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨特的識別技術,以統(tǒng)一策略方式對使用者(群組)��、應用程序及內容提供訪問控制���、安全管理及帶寬控制解決方案,此創(chuàng)新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統(tǒng)架構下,實現(xiàn)低延遲及高效率的特性,解決傳統(tǒng)FW+IPS+UTM對應用處理效能不佳的現(xiàn)況�。
(2)實現(xiàn)了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口����、協(xié)議、規(guī)避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數(shù)據(jù)泄露�。
(3)對網(wǎng)絡中傳輸?shù)膽贸绦蚝陀脩暨M行深度識別并進行內容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉址功能:傳統(tǒng)NAT服務,僅能利用單一或少數(shù)外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數(shù)量過少,當內部有不當使用行為發(fā)生,致使該IP地址被全球ISP服務業(yè)者列為黑名單后,將造成內部網(wǎng)絡用戶無法存取因特網(wǎng)資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng),再次提升網(wǎng)絡服務質量�����。
(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網(wǎng)絡用戶納入集中的控制管理,可對無線網(wǎng)絡使用情況,提供最為詳細豐富的用戶使用數(shù)據(jù)�。
(6)流量地圖功能:流量地圖清楚呈現(xiàn)資料流向并能連結集中化的事件分析界面。
3.總結
新一代防火墻解決了網(wǎng)絡應用的可視性問題,有效杜絕利用跳端口技術��、使用SSL�、80端口或非標準端口繞過傳統(tǒng)防火墻攻擊企業(yè)網(wǎng)絡行為,從根本上解決傳統(tǒng)防火墻集成多個安全系統(tǒng),卻無法真正有效協(xié)同工作的缺陷,大大提高數(shù)據(jù)實時轉發(fā)效率,有效解決企業(yè)信息安全存在的問題。
參考文獻:
[1] 孫嘉葦;對計算機網(wǎng)絡安全防護技術的探討 [J];《計算機光盤軟件與應用》 2012年02期�����。
第5篇
關鍵詞:IP專用網(wǎng)絡;網(wǎng)絡安全���;系統(tǒng)
1 概述
近年來IP網(wǎng)絡不斷發(fā)展���,資源共享給軍事、政治和經(jīng)濟等領域帶來了不盡的方便與快捷�。在網(wǎng)上可以隨時索取所需資料,可以傳送電子郵件��,還可以網(wǎng)上購物等等�。然而當計算機遭受“黑客” 圖謀不軌的惡意攻擊時���,你會發(fā)現(xiàn)部分數(shù)據(jù)已被竊取���、修改和破壞,IP網(wǎng)絡背后存在的安全隱患也就將暴露無疑���。隨著IP網(wǎng)絡系統(tǒng)和數(shù)據(jù)等安全問題的出現(xiàn)���,引起計算機領域�����、通信領域以及相關領域的重視�����。
2 IP專用網(wǎng)絡系統(tǒng)安全需求分析
2.1 IP專用網(wǎng)絡系統(tǒng)應用特點
根據(jù)IP專用網(wǎng)絡的使用實際�,主要網(wǎng)絡應用有實時數(shù)據(jù)傳輸�����、語音信息傳輸處理�����、視頻信息傳輸處理�����、多媒體信息傳輸處理和由數(shù)據(jù)庫作后臺支持的MIS應用系統(tǒng)等���。盡管各種網(wǎng)絡應用千差萬變�,但應用主體在網(wǎng)絡中扮演的角色是一致的���。網(wǎng)絡應用中有兩種重要的角色:客戶與服務器�����。而網(wǎng)絡的信息流向不外乎以下三種方式:客戶與客戶之間��;客戶與服務器之間���;服務器與服務器之間���。IP專用網(wǎng)絡系統(tǒng)應用形式是第二、三種結合�。
2.2 IP專用網(wǎng)絡系統(tǒng)安全需求
無論信息傳遞的收、發(fā)方是誰�,網(wǎng)絡安全包括:在網(wǎng)絡正常運行時,受到外來攻擊��,能夠保證網(wǎng)絡系統(tǒng)繼續(xù)運行���。網(wǎng)絡管理系統(tǒng)設置等重要資料不被破壞。數(shù)據(jù)安全保證數(shù)據(jù)不被竊取�����、修改和破壞。具有先進的入侵防范體系�,對于圖謀不軌的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤���。訪問控制和身份認證機制��,確保應用系統(tǒng)不被非法訪問�。保障合法用戶的正常請求得到安全服務�����,防范來自網(wǎng)絡內部其它系統(tǒng)的破壞所造成的安全隱患��。系統(tǒng)和數(shù)據(jù)在遭到破壞時能夠及時恢復����。
2.3 IP專用網(wǎng)絡系統(tǒng)安全的功能
建立IP專用網(wǎng)絡系統(tǒng)安全體系應具備加密通訊、簽名/認證����、備份/恢復、多層防御����、內部信息加密�、安全審計等功能����。
3 IP專用網(wǎng)絡系統(tǒng)安全方案設計
3.1 安全系統(tǒng)總體結構
從提供網(wǎng)絡有效信息服務的角度來看,網(wǎng)絡系統(tǒng)安全包括:硬件配置及基礎設施應確保支持系統(tǒng)的不間斷運行���;軟硬件運行環(huán)境應確保系統(tǒng)正確���、可靠運行。從網(wǎng)絡系統(tǒng)組成的角度來看�����,系統(tǒng)安全可分為五個層次:物理層的硬件平臺安全��、系統(tǒng)層的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)安全�、網(wǎng)絡層的網(wǎng)絡系統(tǒng)安全、應用層的應用系統(tǒng)安全和管理層的系統(tǒng)安全管理���。
3.2 物理層安全
硬件平臺的安全主要是支持軟件系統(tǒng)正確���、可靠運行�����,同時又要防止物理上可能造成的信息泄露。無線信道必須采取加密手段�;外網(wǎng)連接必須采用硬件防火墻設備;選用符合電磁兼容性等要求的IP專用網(wǎng)絡設備�����;機房建設應符合電磁兼容性要求�����。
3.3 系統(tǒng)層安全
網(wǎng)絡操作系統(tǒng)安全是防止系統(tǒng)在正常運行狀態(tài)下遭受破壞����;數(shù)據(jù)庫系統(tǒng)安全主要保護以庫結構形式存放的數(shù)據(jù),防止非授權用戶以各種非法途徑獲取�����,并確保數(shù)據(jù)庫系統(tǒng)運行正常����。
建立用戶權限認證體系,健全系統(tǒng)訪問日志,提供有效的監(jiān)督機制。用戶權限認證屬于網(wǎng)絡層的安全策略。系統(tǒng)管理員負責監(jiān)督管理所有系統(tǒng)資源的分配�����、控制���,分配不同級別的用戶權限��,進行數(shù)據(jù)庫的備份與恢復����;系統(tǒng)工程師負責操作系統(tǒng)中的所有設置和網(wǎng)絡參數(shù)�����;系統(tǒng)操作員負責操作系統(tǒng)中的部分設置和網(wǎng)絡參數(shù)�����;只讀用戶只能監(jiān)視系統(tǒng)中的設備狀態(tài)�����。
系統(tǒng)內部安全防范也可采用先進的具有中國版權的指紋識別系統(tǒng)����,指紋識別系統(tǒng)采用活體指紋實行密碼登錄�,確保系統(tǒng)安全�����,它與口令雙重加密���,更無懈可擊。
3.4 網(wǎng)絡層安全
網(wǎng)絡隱患掃描是在非法入侵之前�,幫助系統(tǒng)管理員主動對網(wǎng)絡上的設備進行安全測試。外部掃描是模擬黑客攻擊的過程在網(wǎng)絡上進行掃描�����,并分析掃描信息���,結合不斷更新的漏洞庫來發(fā)現(xiàn)網(wǎng)絡存在的隱患�����;內部掃描是模擬系統(tǒng)管理員從主機內部掃描�,檢查一切和網(wǎng)絡安全有關的配置是否正確���,從而從內部清除隱患�。入侵檢測系統(tǒng)用來檢查一個局域網(wǎng)段上的通信,可以和防火墻設備配合來監(jiān)測來自外部的通信��;可以監(jiān)測內部網(wǎng)絡用戶對于敏感數(shù)據(jù)或應用系統(tǒng)的使用情況�����。當發(fā)現(xiàn)可疑行為時����,網(wǎng)絡監(jiān)測預警系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應,實時報警����、事件登錄、自動阻斷通信連接或執(zhí)行其它有效安全策略���。
3.5 應用層安全
應用層安全策略可采用防止病毒侵害手段�,建立完整的防病毒體系�����。如在網(wǎng)絡管理系統(tǒng)環(huán)境���,購買并安裝Norton Antivirus或其他國產(chǎn)網(wǎng)絡防殺病毒軟件�。為保護主機端數(shù)據(jù)的完整性,也采用有效的數(shù)據(jù)備份及恢復系統(tǒng)�����。
3.6 管理層安全
制定相應的管理制度和操作規(guī)范:制定機房管理制度����、系統(tǒng)管理員職責��、機房值班員守則���、數(shù)據(jù)庫管理規(guī)定及網(wǎng)絡安全管理規(guī)范等���;制定嚴格的操作規(guī)程,明確各級人員職責和權限����,各負其責,不允許超越自己的管轄范圍�;制定完備的系統(tǒng)運行維護制度;強化各類人員的安全意識�,嚴格按照有關規(guī)定辦事�����。
4 結束語
IP專用網(wǎng)絡安全的需求分析必須切合實際�����,網(wǎng)絡安全設計的目標和原則要合理可行�,IP專用網(wǎng)絡安全方案的設計方法適合其它類型網(wǎng)絡的安全設計�����。全面的安全策略需要投入大量的軟�����、硬件設備�,付出可觀的資金。根據(jù)IP專用網(wǎng)的實際需求和經(jīng)費支持情況����,可以適當采用方案中的部分安全策略,達到理想的安全防范目的�����。
參考文獻
第6篇
網(wǎng)絡外部的黑客。這是計算機網(wǎng)絡當前面臨的最大也是最嚴重的威脅���,它也是我們需要重點防范的對象�。一般來說��,如果黑客非法入侵了政治�����、經(jīng)濟�、科學等領域計算機網(wǎng)絡中����,則會對其中存儲及傳輸?shù)臄?shù)據(jù)進行大量盜用、暴露以及篡改�����,往往造成難以估計的損失�����。
當前計算機網(wǎng)絡安全問題的對策
網(wǎng)絡系統(tǒng)健壯性和網(wǎng)絡安全威脅有著極大的關系��,基于此,我們要想真正確保計算機網(wǎng)絡的安全�,則要由其安全體系結構出發(fā),對其進行深入的分析����,采取一些合理有效的措施來保證計算機網(wǎng)絡的安全。
1管理的安全對策�。管理問題屬于網(wǎng)絡安全問題中最為核心的一個問題,這主要是因為在實現(xiàn)網(wǎng)絡安全的過程中�����,人是主體�,假如缺乏一個有效的管理機制,那么無論網(wǎng)絡安全方案的實施多么到位都沒有任何意義����。因此,我們在工作中首先要加強網(wǎng)絡安全方面的培訓工作�,并制定出系統(tǒng)維護以及網(wǎng)絡維護的規(guī)程,建立一套有效的應急預案�,并通過一些技術手段來實現(xiàn)計算機網(wǎng)絡安全管理的規(guī)范化、制度化�。
2物理安全對策。要想實現(xiàn)計算機網(wǎng)絡安全結構���,那么確保計算機實體的安全則是一項基礎工作�。在我們的工作中要盡量防止計算機的硬件以及通信線路受到人為破壞以及自然災害的影響。具體來說��,我們要先對其物理性狀進行分析��,得出隱患及有可能出現(xiàn)的威脅����,并以此為基礎使用電磁屏蔽技術對電磁泄漏進行控制、采取避雷措施避免雷電干擾�����、利用防火���、防塵�����、防震����、防水以及防靜電措施確保計算機場地的安全標準��,最終實現(xiàn)一個多角度�����、全方位的保障���。
3計算機系統(tǒng)安全。當前系統(tǒng)安全中主要面臨的問題是黑客的侵入以及病毒的威脅�。近年來,隨著網(wǎng)絡的飛速發(fā)展�����,病毒的傳播途徑出現(xiàn)了很大的額變化�,由以往通過光盤、軟盤傳播變?yōu)楫斍暗木W(wǎng)絡傳播�,這種傳播方式破壞性更大、波及范圍更廣����。針對這一背景,我們要提升防范病毒的觀念�,加強日常的檢測及殺毒工作,一旦發(fā)現(xiàn)病毒要及時的消滅,避免其擴散��。至于黑客���,其主要目標是對系統(tǒng)進行篡改以及竊取數(shù)據(jù)���,因此我們要加強漏洞的掃描以及做好入侵檢測工作。此外�,在系統(tǒng)安全方面,針對一些突發(fā)性��、不可預知的問題��,可以通過系統(tǒng)的備份來應對�����,起到“有備無患”的效果��。
4網(wǎng)絡層安全���。對于網(wǎng)絡層的安全性來說,其核心是是否能夠對IP地址來源進行控制�����。當前在網(wǎng)絡層安全面應用較多的技術是防火墻技術,它的原理是將Internet網(wǎng)和內部網(wǎng)分開�,然后在網(wǎng)絡邊界上建立一個網(wǎng)絡通信監(jiān)控系統(tǒng),當兩個網(wǎng)絡通訊的時候則會執(zhí)行訪問控制尺度���,以此對IP來源安全性進行判斷��,進而對未經(jīng)授權或者危險的IP起到監(jiān)測����、限制的作用�����,最終確保系統(tǒng)的安全性和保密性�。實際原理上來看的話,防火墻的技術主要包括了網(wǎng)絡級防火墻�����、電路級網(wǎng)關��、應用級網(wǎng)關以及規(guī)則檢查防火墻這四大類�����。彼此之間各有優(yōu)缺點,在應用的過程中�,可以根據(jù)需要來確定使用哪一種或者對其進行混合使用。
5用戶層安全對策���。用戶層的安全的保證途徑主要是合理確定使用系統(tǒng)資源以及數(shù)據(jù)的用戶類別���。具體來說,這主要是通過用戶分組管理���,依據(jù)不同安全級別對用戶進行劃分��,使其分為將若干等級��,對每一等級用戶所能夠訪問的系統(tǒng)資源及數(shù)據(jù)進行限定�����。此外����,還有一個重要的對策是對用戶身份認證進行加強��,確保和網(wǎng)絡進行連接用戶的身份合法性�����,這也可以提升用戶層安全性系數(shù)���。
6數(shù)據(jù)安全對策�����。為了提升系統(tǒng)及數(shù)據(jù)的保密性和安全性���,數(shù)據(jù)加密技術獲得了廣泛得應用,它是我們確保數(shù)據(jù)不受外部破壞的有效�、靈活手段。一般來說�,數(shù)據(jù)加密又可以分為鏈路加密、端對端加密以及節(jié)點加密這三種����。
其中,最常用的加密技術為鏈路加密�����;而節(jié)點加密則是在對鏈路加密進行改進之后得到的;至于端對端加這一中加密技術則主要面向網(wǎng)絡中高層主體���,多通過軟件來實現(xiàn)�。
具體來說�,數(shù)據(jù)加密技術的加密過程是使用各種加密算法來完成的,主要從密鑰管理�、數(shù)據(jù)傳輸、數(shù)據(jù)完整性���、數(shù)據(jù)存貯這幾個方面保對數(shù)據(jù)信息進行保護����,實現(xiàn)了即使數(shù)據(jù)被失竊�,攻擊方也不能夠輕易的識別數(shù)據(jù)內容。相對于以上對策而言�����,這類對策比較被動����,但是其效果和作用卻是不容忽視的。整體來說���,這6個層面上的對策是環(huán)環(huán)相扣���、緊密相連的,它們之間互為補充��,我們只有在每個環(huán)節(jié)上都做好才能最大限度確保網(wǎng)絡的安全���。
結語
第7篇
筆者從眾多開設網(wǎng)絡工程專業(yè)的高校中選取部分211或985學校作為研究對象,對多所學校的網(wǎng)絡安全方向課程的設置進行了對比分析,見表1�。網(wǎng)絡安全在某些高校是作為網(wǎng)絡工程專業(yè)的一個方向開設,如吉林大學就是在網(wǎng)絡工程專業(yè)下設網(wǎng)絡安全方向,開設網(wǎng)絡攻防技術�、無線網(wǎng)絡技術等課程;而在有些院校網(wǎng)絡工程中沒有網(wǎng)絡安全方向,而以單獨的信息安全專業(yè)存在,如電子科技大學和北京郵電大學都是單獨設有信息安全專業(yè),該專業(yè)開設的安全方向課程更全面,如信息安全數(shù)學基礎、密碼學基礎�����、網(wǎng)絡安全協(xié)議等;還有一些高校既沒有信息安全專業(yè),在網(wǎng)絡工程專業(yè)中也沒有安全方向,只是在課程中設置了少量的安全類課程,如大連理工大學開設網(wǎng)絡安全��、Matlab課程,中山大學開設了密碼學與網(wǎng)絡安全課程��。
2擴展課程設置探討
下面針對濟南大學的網(wǎng)絡工程專業(yè)安全方向開設的課程進行改革探討���。濟南大學網(wǎng)絡工程專業(yè)目前正在使用的培養(yǎng)方案中與安全相關的課程設置情況見表2����。其中,一部分是計算機類學科基礎課,一部分是網(wǎng)絡工程專業(yè)基礎選修課和專業(yè)方向課。濟南大學網(wǎng)絡工程專業(yè)中設有網(wǎng)絡安全方向���。結合山東省名校工程的契機,筆者在調研多個名校的培養(yǎng)方案并結合本校實際情況的前提下,對網(wǎng)絡安全方向課程的設置提出下面幾個調整意見�。
2.1增設信息安全數(shù)學基礎和網(wǎng)絡仿真課程
雖然原有培養(yǎng)方案中高等數(shù)學����、線性代數(shù)、概率論與數(shù)理統(tǒng)計�����、離散數(shù)學4門數(shù)學課程都占據(jù)了大量學時,但是對于網(wǎng)絡安全方向的學生而言,后期用到的相關數(shù)學知識并不多�。但是學生對網(wǎng)絡安全真正用到的初等數(shù)論和群環(huán)域知識卻一點都沒有接觸。因此,修改培養(yǎng)方案時應增設信息安全數(shù)學基礎課程,學時不用太多,可以為24學時,授課內容要涉及網(wǎng)絡安全中用到的模運算�����、同余理論���、數(shù)論函數(shù)和群環(huán)域等知識�。目前,網(wǎng)絡安全方向用到的數(shù)學知識均是在應用密碼學課程中講解的�。大部分有關密碼學的教材都會在講解分組密碼和公鑰密碼時,介紹一些與之密切相關的數(shù)學知識(如群環(huán)域),如由清華大學出版社出版,楊波編寫的《現(xiàn)代密碼學》(第二版)[3]中的“密碼學中一些常用的數(shù)學知識”部分。這種做法一方面占了密碼學課程的部分學時,勢必會減少學生學到的密碼學知識;另一方面,臨時講一些數(shù)學知識并不能讓學生系統(tǒng)地理解。因此,筆者非常贊成清華大學馮克勤教授提出的增設初等數(shù)論課程的想法[4]�����。雖然馮教授是針對清華大學數(shù)學科學系本科生提出的,但對于網(wǎng)絡安全方向的學生而言,不學習初等數(shù)論和群環(huán)域知識,很難理解和掌握后續(xù)的與安全相關的課程內容,這點在應用密碼學課程中尤其明顯��。例如,學習離散對數(shù)算法后,學生只知道在已知一些參數(shù)的情況下如何利用指數(shù)進行加密解密,但不能理解如何選擇參數(shù),不知道什么是本原元,如何確定一個循環(huán)群的本原元以及如何利用模運算降低計算量,如何快速的編程實現(xiàn)��。筆者采用不同于上述馮教授提出的在大學第1學期開設初等數(shù)論課程的方式,而是在第3學期開設��。因為濟南大學在第1����、2學期,學生必修高等數(shù)學和線性代數(shù)課程,這已經(jīng)使學生無暇顧及更多的數(shù)學知識��。第3學期開設信息安全數(shù)學基礎可以很好地和第4學期開設的應用密碼學課程銜接�。另外,在信息安全數(shù)學基礎課程中,安排一定的實驗學時,讓學生在經(jīng)過第1、2學期的程序設計課程之后,通過學過的編程語言實現(xiàn)數(shù)論和群環(huán)域中的一些算法,理論聯(lián)系實際,從而更好地掌握數(shù)學知識,為后續(xù)密碼學算法的研究奠定基礎�。
2.2增加網(wǎng)絡仿真課程
現(xiàn)代網(wǎng)絡技術的研究離不開仿真軟件,因為我們不可能實際搭建網(wǎng)絡,如果不合適,再拆了重新搭建,這不僅費時而且費力。現(xiàn)在所有與網(wǎng)絡相關的研究都在仿真基礎上進行;而如果不開設仿真課程,學生僅學習理論知識,會與實際應用脫離��。濟南大學的信息安全教學團隊由5位博士組成,其中3人是數(shù)學專業(yè)背景,主要研究網(wǎng)絡安全,2人是計算機學科出身,主要研究無線網(wǎng)絡,而且5人中有2人具有工程背景�����。信息安全教學團隊負責網(wǎng)絡工程專業(yè)的所有安全類課程的教學,包含無線網(wǎng)絡和網(wǎng)絡協(xié)議等課程,這些課程都需要仿真軟件的配合才能使學生真正掌握所學知識�。因此,增加網(wǎng)絡仿真課程是必須的���。至于仿真課程的內容,可以選擇NS2或NS3,也可以與大連理工大學相似,采用Matlab。
2.3合并網(wǎng)絡協(xié)議和網(wǎng)絡安全協(xié)議課程,調整其他相關課程的學分和學時
網(wǎng)絡協(xié)議課程主要講TCP/IP協(xié)議,內容與吉林大學的TCP/IP協(xié)議族相似,重點在網(wǎng)絡的分層協(xié)議,如網(wǎng)絡層協(xié)議�、傳輸層協(xié)議等。涉及部分安全協(xié)議,如IPsec�����、SSL�����、SNMP等,這與網(wǎng)絡安全協(xié)議課程中再次對這些內容的講解重復,而且安全協(xié)議本身也是網(wǎng)絡協(xié)議的一種,因此可以考慮將安全協(xié)議和網(wǎng)絡協(xié)議兩個課程整合或一門全新的網(wǎng)絡協(xié)議課程,去掉重復內容,增加部分學分和學時,從原有的2.5學分增加到3學分,同時學時從原有的48增加到64��。網(wǎng)絡工程專業(yè)修改培養(yǎng)方案后的安全方向課程設置見表3�����。從表3可以看出培養(yǎng)方案修正前后的總學分保持不變,這是因為在增加新課的同時,調整了部分課程所占學分和學時,如減少無線網(wǎng)絡原理與技術的學分,從原有的4學分減到3.5學分�。這樣一方面增加了新課,另一方面整合了重復內容的課程。
第8篇
關鍵詞:計算網(wǎng)絡�;數(shù)據(jù)庫安全性;存在問題����;總結優(yōu)化���;探討
1關于網(wǎng)絡數(shù)據(jù)庫的具體分析
(1)目前計算機網(wǎng)絡工作模塊中,必須單獨設立一個模塊進行信息數(shù)據(jù)的儲存����、管理,這是計算機網(wǎng)絡工作的核心點�����、必要點��,這就需要結合網(wǎng)絡數(shù)據(jù)庫技術�����。從實際應用上分析�����,網(wǎng)絡數(shù)據(jù)庫本質上是在網(wǎng)絡后臺建立的數(shù)據(jù)庫�,通過計算機軟件控制數(shù)據(jù)庫對數(shù)據(jù)的存儲�����、查詢等,實現(xiàn)多終端訪問��、控制�����、查詢���。為了順應計算機網(wǎng)絡技術的工作需要��,進行網(wǎng)絡數(shù)據(jù)庫的安全性體系的健全是必要的���,這樣可以保證計算機網(wǎng)絡的整體安全性。這離不開相關工作模塊的控制�,這需要進行計算機網(wǎng)絡數(shù)據(jù)庫安全理論的分析,順應計算機網(wǎng)絡技術的工作需要����。近年來,計算機行業(yè)的數(shù)據(jù)庫安全性已經(jīng)引起國際的重視����。也有很多的刊物進行了計算機網(wǎng)絡安全性的報道����。從這些刊物上可以更好的進行網(wǎng)絡數(shù)據(jù)庫安全性理論的分析及其汲取經(jīng)驗�����,順應計算機時代的網(wǎng)絡技術的工作需要��,保證計算機網(wǎng)絡安全領域體系的健全�。這涉及到一些比較著名的計算機網(wǎng)絡安全性理論刊物?!峨娔X知識與技術》是一本面向計算機全行業(yè)的綜合性的計算機網(wǎng)絡論文學術刊物。稿源來自全國各高等院校���,相關專業(yè)研究機構以及國內大型信息通訊���、軟件研發(fā)企業(yè)設置的專業(yè)研究所���。目前網(wǎng)絡數(shù)據(jù)庫工作模塊中�����,其需要進行大量數(shù)據(jù)信息的儲存�,它是一種功能非常強大的載體,為了更好的提升數(shù)據(jù)庫的安全性����,進行完整性及其統(tǒng)一性的控制是必要的,這需要應用到一系列的計算機模式�,滿足網(wǎng)絡數(shù)據(jù)庫的工作需要,進行不同形式的工作模塊的優(yōu)化�,保證其整體的簡單性及其方便性。又如比較常見的瀏覽器就是比較自治����、高度自由的環(huán)境,其具備高度自由性及其高度的復雜性����。所以網(wǎng)絡數(shù)據(jù)庫面臨了諸多安全問題,例如在使用過程中發(fā)生數(shù)據(jù)丟失�����、被非法侵入等��,數(shù)據(jù)庫的數(shù)據(jù)因此丟失���、篡改��。另外網(wǎng)絡數(shù)據(jù)庫的用戶較多����,且訪問量較大,因而要求其具有可靠性��,能夠進行數(shù)據(jù)的實時更新以及大文件的存取等�,并且針對敏感數(shù)據(jù)資源數(shù)據(jù)庫也能夠進行存放。所以����,網(wǎng)絡數(shù)據(jù)庫目前面臨了諸多安全隱患,在這樣的環(huán)境下���,如何提高網(wǎng)絡數(shù)據(jù)庫的安全性���,保障數(shù)據(jù)庫中的數(shù)據(jù)安全是目前計算機網(wǎng)絡技術發(fā)展的首要任務。
(2)目前網(wǎng)絡數(shù)據(jù)庫的優(yōu)化過程中���,進行網(wǎng)絡系統(tǒng)安全性的控制是必要的,從而保證網(wǎng)絡數(shù)據(jù)庫安全體系的健全����,更好地進行網(wǎng)絡數(shù)據(jù)庫的安全性的控制����,這需要進行網(wǎng)絡系統(tǒng)的整體安全性的提升��,進行相關的控制安全方案的落實�。我們將網(wǎng)絡數(shù)據(jù)庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網(wǎng)絡數(shù)據(jù)庫數(shù)據(jù)錯誤(;2)非法訪問非權限范圍內的數(shù)據(jù)信息:(3)攻擊數(shù)據(jù)庫的正常訪問(;4)非法竊取或篡改連接中數(shù)據(jù)庫內的數(shù)據(jù)資源信息。
2網(wǎng)絡數(shù)據(jù)庫安全技術體系的健全
(1)目前網(wǎng)絡數(shù)據(jù)庫安全技術控制模塊中��,進行開發(fā)性的網(wǎng)絡環(huán)境的優(yōu)化是必要的��,從而進行各種網(wǎng)絡數(shù)據(jù)庫安全威脅的控制�,保證各種有效性的技術方案的操作,保證網(wǎng)絡數(shù)據(jù)庫的自身安全性的提升���。以保證數(shù)據(jù)的完整性和一致性�。一般來說���,網(wǎng)絡數(shù)據(jù)庫的安全問題可歸結為保證數(shù)據(jù)庫中各種對象存取權的合法性和數(shù)據(jù)庫內容本身的安全兩個方面��,具體安全技術方案有如下幾方面��。目前工作模塊中���,計算機網(wǎng)絡環(huán)境是比較復雜的��,其具備高開發(fā)性�。每一個進行資源訪問的用戶就需要進行身份認證���,這是為了更好的進行網(wǎng)絡數(shù)據(jù)庫的有效訪問的控制���,保證網(wǎng)絡數(shù)據(jù)庫的整體安全性的控制,從而提升其應用性能���,滿足當下網(wǎng)絡數(shù)據(jù)庫的工作需要����,保證計算機網(wǎng)絡運作環(huán)境的安全性的提升����,保證用戶身份認證模塊的優(yōu)化。是通過采用系統(tǒng)登錄�、數(shù)據(jù)庫連接和數(shù)據(jù)庫對象使用三級機制來實現(xiàn)身份認證功能。其中����,系統(tǒng)登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數(shù)據(jù)庫連接是要求數(shù)據(jù)庫管理系統(tǒng)驗證用戶身份;數(shù)據(jù)庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數(shù)據(jù)庫對象權限來保障數(shù)據(jù)庫內數(shù)據(jù)的安全性。
(2)目前工作模塊中,進行數(shù)據(jù)庫加密模塊的優(yōu)化是必要的�����,需要進行加密設置的應用���,提升數(shù)據(jù)庫數(shù)據(jù)的安全性,這需要進行某些特殊加密方法的應用�����,這離不開特殊算法的應用����,保證數(shù)據(jù)信息的改變。這需要進行授權的用戶的加密信息權限的控制�,這離不開解密方法的權限控制,更好的進行信息數(shù)據(jù)庫的原始信息的加密及其控制��。在數(shù)據(jù)庫加密控制過程中����,必須提高加密、解密水平�,從而完成數(shù)據(jù)庫信息轉化的同時,確保數(shù)據(jù)內容的真實性、完整性�,優(yōu)化可變信息。在網(wǎng)絡數(shù)據(jù)庫的應用過程中�����,數(shù)據(jù)備份�、恢復是確保數(shù)據(jù)庫安全、數(shù)據(jù)完整的有效機制���,通過數(shù)據(jù)備份和數(shù)據(jù)恢復能夠保證數(shù)據(jù)完整一致����,這是目前我國計算機網(wǎng)絡數(shù)據(jù)庫安全措施中應用最為廣泛的機制之一�����。在這樣的條件下�,若網(wǎng)絡數(shù)據(jù)庫出現(xiàn)故障,由于事先進行了數(shù)據(jù)備份��,那么當故障發(fā)生后��,管理人員可以依照備份文件對現(xiàn)場數(shù)據(jù)進行恢復���,不但保障了數(shù)據(jù)的完整性���,同時還縮短了網(wǎng)絡數(shù)據(jù)庫的修復時間���,盡快恢復網(wǎng)絡運行��,令其恢復到原有狀態(tài)���。當前依照備份方式的不同�����,網(wǎng)絡數(shù)據(jù)庫備份機制主要有邏輯備份��、動態(tài)備份以及靜態(tài)備份三種�����。而最常見的數(shù)據(jù)恢復技術主要包括備份文件以及磁盤鏡像兩種��。
(3)目前工作模塊中���,進行審計追蹤模塊的優(yōu)化是必要的,這需要進行網(wǎng)絡數(shù)據(jù)庫操作模塊的優(yōu)化,保證用戶的操作的及時跟蹤�����,這需要進行操作內容的分析����,定期監(jiān)控審計日志,保證其完整性��、準確性���。管理員必須嚴于律己���,做好本職工作,控制可能發(fā)生的所有狀況�。如此一來一旦網(wǎng)絡數(shù)據(jù)庫出現(xiàn)問題,管理員可以在最快時間內找出問題根源��,解決問題�。例如若數(shù)據(jù)庫受到非法存取數(shù)據(jù),管理員通過審計日志可以快速找出責任人�����,并予以嚴懲。但是審計追蹤以及攻擊檢測也存在諸多問題亟待解決�,還需要進一步予以完善。為確保網(wǎng)絡數(shù)據(jù)庫阿全�,安全性控制措施的應用極為必要,只有網(wǎng)絡安全控制技術不斷與時俱進�����、得到更新�,在應對當下網(wǎng)絡數(shù)據(jù)庫問題中才可以游刃有余�,最大程度保障數(shù)據(jù)安全。
3結束語
計算機網(wǎng)絡技術是當前人類社會信息傳遞���、發(fā)展的基礎�����,自新世紀以來���,人類社會便進入了信息化時代。但計算機技術的成熟���、網(wǎng)絡技術的成熟使得現(xiàn)代社會所需要的信息量越來越多�。而面對龐大的訪問量以及數(shù)據(jù)來源、數(shù)據(jù)量���,網(wǎng)絡數(shù)據(jù)庫技術應時而生�����,并發(fā)揮了巨大的作用���。但隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡安全問題則成為了技術研發(fā)重點���。只有保證網(wǎng)絡數(shù)據(jù)庫安全���,才能確保數(shù)據(jù)真實可靠,才能更好地發(fā)揮計算機網(wǎng)絡技術作用����。
參考文獻
[1]王靜.網(wǎng)絡環(huán)境下的數(shù)據(jù)庫安全綜述[J].合作經(jīng)濟與科技,2009(5).
[2]周世忠.淺談網(wǎng)絡數(shù)據(jù)庫安全研究與應用[J].電腦知識與技術�,2010(5).
第9篇
[關鍵詞]計算機網(wǎng)絡 數(shù)據(jù)庫安全 安全技術方案
中圖分類號:G250.74 文獻標識碼:A 文章編號:1009-914X(2014)21-0226-01
計算機網(wǎng)絡環(huán)境中的信息存儲和管理都是由網(wǎng)絡數(shù)據(jù)庫來實現(xiàn)的,而隨著計算機網(wǎng)絡技術的廣泛普及和快速發(fā)展�,網(wǎng)絡數(shù)據(jù)庫的安全性已經(jīng)成為整個計算機網(wǎng)絡安全領域中的一個極為重要的問題。網(wǎng)絡數(shù)據(jù)庫是一種開放環(huán)境下的信息倉庫��,存儲著大量非常重要的數(shù)據(jù)信息,一旦遭受各個方面的不可預測的安全攻擊����,就將給用戶帶來不可估量的損失,如此大的安全隱患不得不讓我們納入考慮范疇并加以防范�。
1、網(wǎng)絡數(shù)據(jù)庫簡介
所謂網(wǎng)絡數(shù)據(jù)庫是指在普通后臺建立起來的數(shù)據(jù)庫基礎之上��,利用瀏覽器等各種軟件實現(xiàn)數(shù)據(jù)存儲��、查詢等操作���。其主要特征是能夠作為儲存大量數(shù)據(jù)信息的載體�,同時可以保障數(shù)據(jù)的完整性和一致性��。此外����,瀏覽器/服務器(B/C)和客戶機/服務器模式是當前網(wǎng)絡數(shù)據(jù)庫部署情況下最常見的兩種形式����,簡單方便。
2�、網(wǎng)絡數(shù)據(jù)庫安全威脅
由于Internet是一個高度自治��、自由開放�、復雜多樣的網(wǎng)絡環(huán)境����,因此網(wǎng)絡數(shù)據(jù)庫不可避免地會存在數(shù)據(jù)丟失、數(shù)據(jù)庫非法入侵����、數(shù)據(jù)被篡改等安全性問題。此外�����,網(wǎng)絡數(shù)據(jù)庫具有多用戶�����、高可靠性�、頻繁地更新和大文件存儲等基本特性,同時還存放有大量重要的敏感數(shù)據(jù)資源信息����。因而,在如此安全性存在極大威脅的背景下���,如何采取措施保障網(wǎng)絡數(shù)據(jù)庫免受安全威脅變得非常重要�。
網(wǎng)絡上的非法用戶通常都是直接通過網(wǎng)絡系統(tǒng)來實現(xiàn)入侵網(wǎng)絡數(shù)據(jù)庫,以此來達到攻擊網(wǎng)絡數(shù)據(jù)庫的目的�����,所以網(wǎng)絡數(shù)據(jù)庫的安全性基本決定于網(wǎng)絡系統(tǒng)的安全情況��。一般情況下�,我們將網(wǎng)絡數(shù)據(jù)庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網(wǎng)絡數(shù)據(jù)庫數(shù)據(jù)錯誤;(2)非法訪問非權限范圍內的數(shù)據(jù)信息:(3)攻擊數(shù)據(jù)庫的正常訪問���;(4)非法竊取或篡改連接中數(shù)據(jù)庫內的數(shù)據(jù)資源信息��。
3�����、網(wǎng)絡數(shù)據(jù)庫安全技術方案探討
在開放的網(wǎng)絡環(huán)境中,網(wǎng)絡數(shù)據(jù)庫是非常容易遭受到各種安全威脅的���,所以我們必須要采取實際有效的技術方案來不斷提高網(wǎng)絡數(shù)據(jù)庫自身的安全性���,以保證數(shù)據(jù)的完整性和一致性���。一般來說,網(wǎng)絡數(shù)據(jù)庫的安全問題可歸結為保證數(shù)據(jù)庫中各種對象存取權的合法性和數(shù)據(jù)庫內容本身的安全兩個方面��,具體安全技術方案有如下幾方面:
3.1 用戶身份認證
由于計算機網(wǎng)絡環(huán)境是一個面向多用戶的開放式環(huán)境����,所以對每一個網(wǎng)絡數(shù)據(jù)庫訪問用戶都必須要進行統(tǒng)一的身份認證,這也是防止網(wǎng)絡數(shù)據(jù)庫被用戶非法訪問的一個最有效的手段�����。因而�����,用戶身份認證功能在當前網(wǎng)絡數(shù)據(jù)庫都是必須具備的功能�����,是通過采用系統(tǒng)登錄�、數(shù)據(jù)庫連接和數(shù)據(jù)庫對象使用三級機制來實現(xiàn)身份認證功能。其中�,系統(tǒng)登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數(shù)據(jù)庫連接是要求數(shù)據(jù)庫管理系統(tǒng)驗證用戶身份;數(shù)據(jù)庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數(shù)據(jù)庫對象權限來保障數(shù)據(jù)庫內數(shù)據(jù)的安全性��。
3.2 數(shù)據(jù)庫加密
數(shù)據(jù)庫加密是指通過對數(shù)據(jù)庫的加密設置來保證數(shù)據(jù)庫內數(shù)據(jù)的安全性���。所謂加密是以某種特殊的算法改變原有的數(shù)據(jù)信息���,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法�����,則仍然無法了解獲取的信息數(shù)據(jù)的原始內容��。因此��,數(shù)據(jù)庫加密系統(tǒng)是加密和解密兩個過程的統(tǒng)一�,包括可辨數(shù)據(jù)信息轉換成非可變信息、算法���、利用密鑰解密讀取數(shù)據(jù)等三方面內容����。
3.3 數(shù)據(jù)備份與恢復
數(shù)據(jù)備份與恢復是網(wǎng)絡數(shù)據(jù)庫保障數(shù)據(jù)完整性和一致性的一種有效機制����,也是最常見的一種技術方案。在此機制下�����,一旦網(wǎng)絡數(shù)據(jù)庫系統(tǒng)發(fā)生故障����,管理人員可以根據(jù)先前的數(shù)據(jù)備份文件,在最短的時間內實現(xiàn)恢復數(shù)據(jù)����,進而讓網(wǎng)絡數(shù)據(jù)庫回到故障發(fā)生之前的數(shù)據(jù)狀態(tài)。目前��,網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)備份機制有靜態(tài)備份���、動態(tài)備份和邏輯備份等幾種技術方案���,而數(shù)據(jù)恢復技術有磁盤鏡像、備份文件�����,以及在線日志等幾種方式。
3.4 審計追蹤和攻擊檢測
審計追蹤是指當用戶在操作網(wǎng)絡數(shù)據(jù)庫時�,可以自動跟蹤用戶做的所有操作,并將其操作的內容都記錄在相應的審計日志文件中�����,以供管理員查閱并提供相關參考依據(jù)���。根據(jù)審計日志文件����,管理員可以非常清楚地重現(xiàn)網(wǎng)絡數(shù)據(jù)庫中出現(xiàn)的任何狀況���,一旦出現(xiàn)安全問題��,管理員可以十分快速地找出存在非法存取數(shù)據(jù)的操作人員���,進而追查相關人的責任。此外�����,通過利用審計追蹤和攻擊檢測技術對發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)庫安全方面的弱點和漏洞也有十分明顯的效果�����。
4��、結語
綜上所述���,如何構建有效地網(wǎng)絡數(shù)據(jù)庫安全技術方案是保障計算機網(wǎng)絡健康發(fā)展的核心內容��,同時隨著安全威脅因素日益增多且越來越復雜����,網(wǎng)絡數(shù)據(jù)庫安全技術也要不斷更新�、改進。以應對不斷出現(xiàn)的新情況�、新問題,只有這樣才能在最大程度上保障網(wǎng)絡數(shù)據(jù)庫的完整性和一致性���。
參考文獻
