網絡安全解決方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全解決方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全解決方案范文第1篇
關鍵詞:網絡安全;醫院網絡;防火墻
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7364-02
Hospital-based Network Security Solutions
SUN Ping-bo
(Department of Information, Changhai Hospital, Shanghai 200433, China)
Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.
Key words: network security; the hospital network; firewall
隨著科學技術的發展和信息時代的來臨,幾乎所有的醫院都建立了信息網絡,實現了信息資源的網絡共享。但在具體建設這個醫院網絡平臺時中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫院網絡平臺建設過程中信息安全的建設,包括如何保障醫療業務的正常進行、患者及醫生信息的合法訪問,如何使醫院網絡平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經成為急需解決的問題。
1 醫院網絡安全解決方案的設計
1.1網絡方案的模型
本文研究的醫院網絡安全解決方案是采用基于主動策略的醫院網絡安全系統,它的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)。
安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導下,運用防護工具(防火墻、操作系統身份認證、加密等)對網絡進行安全防護;利用檢測工具(如漏洞掃描、入侵檢測系統等等)了解和評估系統的安全狀態,檢測針對系統的攻擊行為;通過適當的反應機制將系統的安全狀態提升到最優狀態。這個過程是一個動態的、不斷循環的過程,檢測到的威脅將作為響應和加強防護的依據,防護加強后,將繼續進行檢測過程,依次循環下去,從而達到網絡安全性不斷增強的目的[1]。
根據對網絡安全的技術分析和設計目標,醫院網絡安全解決方案要解決7個實現的技術問題,分別是:數據檢測,入侵行為控制,行為分析,行為記錄,服務模擬,行為捕獲和數據融合。醫院網絡安全解決方案以P2DR模型為基礎,合理利用主動防御技術和被動防御技術來構建動態安全防御體系,根據現有安全措施和工具,在安全策略的基礎上,提出基于主動策略的醫院網絡安全方案模型,如圖1所示。
醫院網絡安全解決方案模型入侵檢測監視網絡的異常情況,當發現有可疑行為或者入侵行為時,將監測結果通知入侵行為控制,并將可疑行為數據傳給服務模擬;服務模擬在入侵行為控制的監控下向可疑行為提供服務,并調用行為捕獲對系統所有活動作嚴格和詳細的記錄;數據融合定期地從行為記錄的不同數據源提取數據,按照統一數據格式整理、融合、提煉后,一發給行為分析,對可疑行為及入侵行為作進一步分析,同時通知入侵行為控制對入侵行為進行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進行更新,將新的模式添加進去。
1.2 防火墻隔離的設計
防火墻技術是醫院網絡安全系統中使用最廣泛的一項網絡安全技術。它的作用是防止不希望的、未經授權的通信進入被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。在醫院網絡中,既有允許被內部網絡和外部網絡同時訪問的一些應用服務器(如醫療費用查詢系統、專家號預約系統、病情在線咨詢系統等),也有只允許醫院網絡內部之間進行通信,不可以外部網絡訪問的內部網絡[2]。因此,對應用服務器和內部網絡應該采用不同的安全策略。
本文研究的醫院網絡安全解決方案采用的是屏蔽子網結構的防火墻配置。將應用服務器放置在屏蔽子網機構中的DMZ區域內,由外部防火墻保護,內部網絡和外部網絡的用戶都可以訪問該區域。內部網絡除了外部防火墻的保護外。還采用堡壘主機(服務器)對內部網絡進行更加深一些層的保護。通過核心交換機的路由功能將想要進入內部網絡的數據包路由到服務器中,由包過濾原則。過濾一些內部網絡不應看到的網站信息等。內部路由器將所有內部用戶到因特網的訪問均路由到服務囂,服務器進行地址翻譯。為這些用戶提供服務.以此屏蔽內部網絡。這種結構使得應用服務器與內部網絡采用不同級別的安全策略,既實現醫院網絡的需求,也保護醫院網絡的安全。防火墻系統結構設計如圖2所示。
雖然防火墻系統能夠為醫院的網絡提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫院的網絡安全系統還采取了其他的網絡安全技術和手段來確保醫院網絡的安全。
1.3 醫療業務數據的捕獲
如果本文研究的醫院網絡安全系統不能捕獲到任何數據,那它將是一堆廢物。只有捕獲到數據,我們才能利用這些數據研究攻擊者的技術、工具和動機。本文設計的醫院安全系統實現了三層數據捕獲,即防火墻日志、嗅探器捕獲的網絡數據包、管理主機系統日志。
其中,嗅探器記錄各種進出醫院內管理網的數據包內容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數據以Tcpdump日志的格式進行存儲,這些數據不僅以后可用通過Tcpreplay進行回放,也可以在無法分析數據時,發送給別的研究人員進行分析。
防火墻和嗅探器捕獲的是網絡數據,還需要捕獲發生有管理主機上的所有系統和用戶活動。對于windows系統,可以借助第三方應用程序來記錄系統日志信息。現在大多數的攻擊者都會使用加密來與被黑系統進行通信。要捕獲擊鍵行為,需要從管理主機中獲得,如可以通過修改系統庫或者開發內核模塊來修改內核從而記錄下攻擊者的行為。
2 醫院網絡安全解決方案的實現
2.1 防火墻系統的布置
本文研究的醫院防火墻系統采用的是屏蔽子網結構,在該結構中,采用Quidway SecPath 1000F硬件防火墻與外部網絡直接相連,通過核心交換機Quidway S6506R將屏蔽子網結構中的DMZ區域和內部網絡連接起來,DMZ區域中的各種應用的服務器都采用的是IBM xSeries 346,其中一臺作為堡壘主機使用。這臺堡壘主機起到的就是服務器的作用。防火墻根據管理員設定的安全規則保護內部網絡,提供完善的安全設置,通過高性能的醫院網絡核心進行訪問控制。
2.2 醫療業務數據捕獲的實現
本文研究的數據捕獲主要從三層進行數據捕獲。我們在網橋下運行如下命令進行捕獲:
TCPDUMP -c 10 Ci eth1 -s 0 Cw /log
為了不讓攻擊者知道我們在監視他在主機上的活動,我們采用Sebek來實現我們的目標。Sebek是個隱藏的記錄攻擊者行為的內核補丁。一旦在主機上安裝了Sebek的客戶端,它就在系統的內核級別運行,記錄的數據并不是記錄在本地硬盤上,而是通過UDP數據包發送到遠程服務器上,入侵者很難發現它的存在。
醫院的網絡安全系統數據捕獲是由內核模塊來完成的,本文研究使用這個模塊獲得主機內核空間的訪問,從而捕獲所有read()的數據。Sebek替換系統調用表的read()函數來實現這個功能,這個替換的新函數只是簡單的調用老read()函數,并且把內容拷貝到一個數據包緩存,然后加上一個頭,再把這個數據包發送到服務端。替換原來的函數就是改變系統調用表的函數指針。
本文通過配置參數決定了Sebek收集什么樣的信息,發送信息的目的地。以下就是一個linux配置文件的實例:
INTERFACE="eth0" //設定接口
DESTINATION_IP="172.17.1.2" //設定遠程服務器IP
DESTINATION_MAC="00:0C:29:I5:96:6E" //設定遠程服務器MAC
SOURCE_PORT=1101 //設定源地址UDP端口
DESTINATION_PORT=1101 //設定目標地址UDP端口
MAGIC_VALUE=XXXXX //如果同一網段有多個客戶端,則設定相同的數值
KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄
3 結束語
該文對醫院網絡安全的解決方案進行了較深入的研究,但該系統采用的技術也不能說是完善的,一方面因為它們也在不斷發展中,另一方面是因為設計者的水平有局限。比如醫院網絡的數據捕獲技術,它本身就是一個十分復雜的技術問題,解決的手段也是多樣的。
參考文獻:
網絡安全解決方案范文第2篇
關鍵詞:無線網絡;網絡安全;解決方案
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 13-0000-02
一、無線網絡概述
無線網絡(Wireless Local Area Network,WLAN)是以無線電波作為傳輸媒介的無線局域網,具有移動性、開放性、不穩定性等特點。與無線網絡相比,它利用無線電技術代替網線,具有以下獨特的優勢:網絡的擴展性好,可迅速便捷地擴展網絡;網絡建設簡單方便;用戶使用性好,網絡可移動、兼容性好,不受固定的連接限制等。
(一)無線網絡的加密方式
無線網絡安全與其相關加密方式密切相關,無線網絡的加密方式有:
1.WEP(Wired Equivalent Privacy)加密
該方式通過RC4算法在收發兩端將數據加解密,且具有校驗過程以確保數據完整安全,然而這種方式只要補集足夠多的數據包,就可以推斷出密碼,安全問題逐漸顯現。
2.WPA(Wi-Fi Protected Access)加密
該方式充分研究了WEP的不足,使用了比其更長的IV和密鑰機制,具有較高的安全性。
3.WPA2加密
該方式使用AES算法,能克服以往的問題,也是當前的最高安全標準,但其對硬件要求過高。
(二)無線網絡的安全特點
另一方面,無線網絡的安全特點也有別與有線網絡,它主要有以下幾個特點:
1.易受干擾攻擊
無線網絡具有開放性,它不像有線網絡具有固定的網絡連接,更容易受到各種惡意攻擊。
2.安全管理難度大
無線網絡的移動性,使其網絡終端可在大范圍移動,這就意味著移動節點缺乏一定的物理保護,倘若從無線網絡已入侵的節點開始攻擊,造成的破壞將更大。
3.安全方案實施困難
無線網絡具有動態變化的拓撲結構,這讓安全技術更復雜,并且許多方案均是分散的,實施起來依賴所有節點。
4.魯棒性問題
無線網絡信道往往隨著用戶而變化,常常會受到干擾、衰弱等多分影響,造成網絡信號不穩定,質量波動大。
二、無線網絡面臨的安全威脅
無線網絡面臨的安全威脅主要是針對無線網絡信號的空間擴散特性進行的網絡攻擊。無線網絡攻擊方式主要有以下幾種:
(1)War Driving。這是最常見的攻擊方式,攻擊者利用黑客軟件檢測出周圍的無線網絡,并且詳細獲知每個訪問接入點的詳細信息,同時借助GPS繪制出其對應的地理位置。
(2)拒絕服務攻擊。這種攻擊是通過耗盡網絡、操作系統或應用程序的有限資源,使得計算機無法獲得相應的服務。
(3)中間人攻擊,例如包捕獲、包修改、包植入和連接劫持等。
(4)欺騙攻擊,即是通過偽造來自某個受信任地址的數據包,讓該計算機認證另一臺計算機,包括隱蔽式與非隱蔽式欺騙攻擊,例如為IP欺騙、ARP欺騙、DNS欺騙等。
(5)暴力攻擊,即是使用數字、字符和字母等的任意組合,猜測用戶名及其口令,反復地進行試探性訪問。
上述的這些攻擊會威脅信息的完整性、機密性和可用性,這些安全威脅主要有四類:信息泄露、完整性破壞、拒絕服務和非法使用,具體來說主要有竊聽、無授權訪問、篡改、偽裝、重放、重路由、錯誤路由、刪除消息、網絡泛洪等。這些從而導致竊取信息、非授權使用資源、竊取服務和拒絕服務等問題。其具體的網絡安全問題主要表現為:
(1)未授權的非法訪問服務。攻擊者偽裝成合法用戶,未經授權訪問網絡資源,非法占用無線信道和網絡帶寬資源,嚴重影響了合法用戶的服務質量。;
(2)合法用戶的隱私信息外泄。惡意用戶通過竊聽、截取數據包,盜取用戶的關鍵數據信息,例如無線鏈路上傳輸的未被加密的數據被攻擊者截獲等。另一方面不適當的數據同步導致數據不完整,手持設備的丟失也會泄露敏感信息,設備的不恰當配置也可能泄露數據。
(3)惡意用戶可能通過無線網絡主動攻擊網絡設備,獲得對網絡的管理控制權限,并篡改相關的網絡配置,降低了網絡的防護能力,將造成了惡劣的影響,嚴重時將使整個網絡癱瘓。
(4)病毒主機直接接入無線網絡,嚴重影響信息系統的安全可靠性。
三、無線網絡安全的解決方案
針對上述的網絡安全問題,無線網絡安全的解決方案往往有以下幾個方面:
(一)訪問控制
即是按照用戶身份及其所歸屬的某項定義組來限制用戶訪問某些信息項,或限制其使用某些控制功能。一般來說,訪問控制有利用MAC地址和服務區域認證ID技術兩種方式來控制無線設備的非法入侵。啟用MAC地址過濾的策略就是無線路由器只允許部分MAC地址的網絡設備進行通訊。由于MAC地址在每個無線工作站的網卡出廠時就已設定,所以用戶可以利用其唯一性設置訪問點,實現物理地址過濾。然而,這個方案存在MAC地址欺騙的缺陷,即是MAC地址可以進行偽造,而且也無法實現機器在不同AP間的漫游。這種方式是較低級的授權認證,但它是阻止惡意用戶訪問無線網絡的一種理想方式,一定程度上可以保護網絡安全。服務區域認證ID技術(SSID)是根據每一個AP內設置的對應服務區域認證ID,當無線終端設備需連接AP時,AP就會檢查其SSID是否與自己的ID保持一致,AP才接受相應的訪問并給予網絡服務。該技術的缺陷同樣也是容易被竊取,網絡安全性較為一般。
網絡安全解決方案范文第3篇
關鍵詞:企業信息化;網絡安全;系統安全;安全解決方案
中圖分類號:TP393
1 項目來源
重鋼集團公司按照國家“管住增量、調整存量、上大壓小、扶優汰劣”的原則,將重慶市淘汰落后產能、節能減排與重鋼環保搬遷改造工程結合起來。隨著重慶市經濟和城市化快速發展,重慶鋼鐵(集團)有限責任公司擬退出主城區,進行環保搬遷。重鋼環保搬遷新廠區位于長壽區江南鎮,主要生產設施包括碼頭、原料場、焦化、燒結、高爐、煉鋼、連鑄、寬厚板軋機、熱連軋機和各工藝配套設施以及全廠的公輔設施等,生產規模為630萬噸。
2 系統目標
重鋼股份公司在搬遷的長壽區建立了全新的信息化機房,結合自身實際,決定部署一套符合自身需要的信息化平臺。整個平臺包含:財務系統、人力資源管理系統、門戶.OA系統、各產線的MES系統、以及企業的原料,物流系統等。
3 系統實現
重鋼信息系統全由公司自主研發,服務器端采用:中間服務器操作系統win2003server+Oracle Developer6i Runtimes,數據庫服務器:Unix Ware+ORACLE 10g。開發端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根據業務需求,公司統一按國家標準部署了裝修一個中心機房,選擇了核心數據庫服務器小型機、其他小型機服務器、FC-SAN存儲柜、SAN交換機,磁帶庫、PC服務器、網絡安全管理設備,機柜、應用服務器軟件、數據備份管理軟件、UPS電源。等硬件基礎設施對此系統項目進行集成。在信息化建設實施過程中,本人主要參與了整個系統項目集成方案設計和實施。
4 項目特點
4.1 網絡設計
中心機房通過防火墻等網絡設備提供網絡互聯、網絡監測、流量控制、帶寬保證、防入侵檢測等技術,抗擊各種非法攻擊和干擾,保證網絡安全可靠。同時網絡建設選擇了骨干線路采用16芯單模光纖,接入層線路采用8芯單模光纖,桌面線路采用六類非屏蔽網絡線;光纖骨干線部分采用萬兆+千兆光纖雙鏈路連接,接入層光纖采用千兆鏈路接口至桌面。整個網絡體系滿足千兆以上數據傳輸及交換要求。
4.2 系統設計
本系統采用業界流行的三層架構,客戶端,應用服務器層,后臺數據庫層。
4.2.1 應用層設計特點
在應用層選擇上,重鋼選擇了citrix軟件來實現企業的虛擬化云平臺,原先安裝在客戶端的應用程序客戶端程序安裝在Citrix服務器上,客戶端不再需要安裝原有的Client端軟件,Client端設備只需通過IE就可以進行訪問。這樣就把原先的C/S的應用立刻轉化為B/S的訪問形式,而且無需進行任何的開發和修改源代碼的工作。同時使用Citrix的“Data Collector”負載均衡調度服務器負責收集每一臺服務器里面的一些動態信息,并與之進行交流;當有應用請求時,自動將請求轉到負載最輕的服務器上運行。Citrix是通過自己的專利技術,把軟件的計算邏輯和顯示邏輯分開,這樣客戶端只需上傳一些鼠標、鍵盤的命令,服務器接到命令之后進行計算,將計算完的結果傳送給客戶端,注意:Citrix所傳送的不是數據流,而是將圖像的變化部分經過壓縮傳給客戶端,只有在客戶端和服務器端才可以看到真實的數據,而中間層傳輸的只是代碼,并且Citrix還對這些代碼進行了加密。對于網絡的需求,只需要10K~20K的帶寬就可以滿足需要,尤其是在ERP中收發郵件,經常遇到較大郵件,通常在窄帶、無線網絡條件下基本無法訪問,但通過Citrix就可以很快打開郵件,進行文件的及時處理。
4.2.2 數據庫層技術特點
在數據庫層的選擇上,重鋼選擇了oracle軟件。利用oracle軟件本身的技術特點,我們設計系統采用ORACLE RAC+DATAGUARD的部署方式。RAC技術是通過CPU共享和存儲設備共享來實現多節點之間的無縫集群,用戶提交的每一項任務被自動分配給集群中的多臺機器執行,用戶不必通過冗余的硬件來滿足高可靠性要求。
RAC的優勢在于:在Cluster、MPP體系結構中,實現一個共享數據庫,支持并行處理,均分負載,保證故障時數據庫的不間斷運行;支持Shared Disk和Shared Nothing類型的體系結構;多個節點同時工作;節點均分負載。當RAC群組的一個A節點失效時,所有的用戶會被重新鏈接到B節點,這一切對來說用戶是完全透明的,從而實現數據庫的高可用性。
Data Guard是Oracle公司提出的數據庫容災技術,它提供了一種管理、監測和自動運行的體系結構,用于創建和維護一個或多個備份數據庫。與遠程磁盤鏡像技術的根本區別在于,Data Guard是在邏輯級,通過傳輸和運行數據庫日志文件,來保持生產和備份數據庫的數據一致性。一旦數據庫因某種情況而不可用時,備份數據庫將正常切換或故障切換為新的生產數據庫,以達到無數據損失或最小化數據損失的目的,為業務系統提供持續的數據服務能力。
4.2.3 數據備份保護特點
備份軟件采用HP Data Protector軟件。HP Data Protector軟件能夠實現自動化的高性能備份與恢復,支持通過磁盤和磁帶進行備份和恢復,并且沒有距離限制,從而可實現24x7全天候業務連續性,并提高IT資源利用率。Data Protector軟件的采購和部署成本比競爭對手低30-70%,能夠幫助客戶降低IT成本,提升運營效率。許可模式簡單易懂,有助于降低復雜性。廣泛的可擴展性和各種特性可以實現連續的備份和恢復,使您憑借一款產品即可支持業務增長。此外,該軟件還能夠與領先的HP StorageWorks磁盤和磁帶產品系列以及其它異構存儲基礎設施完美集成。作為增長迅猛的惠普軟件產品組合(包括存儲資源管理、歸檔、復制和設備管理軟件)的重要組成部分,Data Protector軟件還能與HP BTO管理解決方案全面集成,使客戶能夠將數據保護作為整個IT服務的重要環節進行管理。該解決方案將軟硬件和屢獲殊榮的支持服務集于一身,借助快速安裝、日常任務自動化以及易于使用等特性,Data Protector軟件能夠大大簡化復雜的備份和恢復流程。借助集中的多站點管理,可以輕松實施多站點變更,實時適應不斷變化的業務需求。
5 結束語
企業信息化平臺系統集成不是簡單的機器設備堆疊,需要根據企業自身使用軟件特點,企業使用方式,選擇合適的操作系統,應用軟件作為企業生產軟件部署的基礎,另外要合理利用各軟件提供的技術方式,對系統的穩定性,安全性,冗余性進行部署,從而達到高可用和可擴展的整體系統平臺。
參考文獻:
[1]肖建國.《信息化規劃方法論》.
[2]雷萬云.信息化與信息管理實踐之道[M].北京:清華大學出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金銀.《企業架構》.
網絡安全解決方案范文第4篇
關鍵詞:網絡安全;網絡管理;防護;防火墻
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2011)14-3302-02
隨著企業信息化進程的不斷發展,網絡已成為提高企業生產效率和企業競爭力的有力手段。目前,石化企業網絡各類系統諸如ERP系統、原油管理信息系統 、電子郵件系統 以及OA協同辦公系統等都相繼上線運行,信息化的發展極大地改變了企業傳統的管理模式,實現了企業內的資源共享。與此同時,網絡安全問題日益突出,各種針對網絡協議和應用程序漏洞的新型攻擊層出不窮,病毒威脅無處不在。
因此,了解網絡安全,做好防范措施,保證系統安全可靠地運行已成為企業網絡系統的基本職能,也是企業本質安全的重要一環。
1 石化企業網絡安全現狀
石化企業局域網一般包含Web、Mail等服務器和辦公區客戶機,通過內部網相互連接,經防火墻與外網互聯。在內部網絡中,各計算機處在同一網段或通過Vlan(虛擬網絡)技術把企業不同業務部門相互隔離。
2 企業網絡安全概述
企業網絡安全隱患的來源有內、外網之分,網絡安全系統所要防范的不僅是病毒感染,更多的是基于網絡的非法入侵、攻擊和訪問。企業網絡安全隱患主要如下:
1) 操作系統本身存在的安全問題
2) 病毒、木馬和惡意軟件的入侵
3) 網絡黑客的攻擊
4) 管理及操作人員安全知識缺乏
5) 備份數據和存儲媒體的損壞
針對上述安全隱患,可采取安裝專業的網絡版病毒防護系統,同時加強內部網絡的安全管理;配置好防火墻過濾策略,及時安裝系統安全補丁;在內、外網之間安裝網絡掃描檢測、入侵檢測系統,配置網絡安全隔離系統等。
3 網絡安全解決方案
一個網絡系統的安全建設通常包含許多方面,主要為物理安全、數據安全、網絡安全、系統安全等。
3.1 物理安全
物理安全主要指環境、場地和設備的安全及物理訪問控制和應急處置計劃等,包括機房環境安全、通信線路安全、設備安全、電源安全。
主要考慮:自然災害、物理損壞和設備故障;選用合適的傳輸介質;供電安全可靠及網絡防雷等。
3.2 網絡安全
石化企業內部網絡,主要運行的是內部辦公、業務系統等,并與企業系統內部的上、下級機構網絡及Internet互連。
3.2.1 VLAN技術
VLAN即虛擬局域網。是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術。
借助VLAN技術,可將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境 ,就像使用本地LAN一樣方便。一般分為:基于端口的VLAN、基于MAC地址的VLAN、基于第3層的VLAN、基于策略的VLAN。
3.2.2 防火墻技術
1) 防火墻體系結構
① 雙重宿主主機體系結構
防火墻的雙重宿主主機體系結構是指一臺雙重宿主主機作為防火墻系統的主體,執行分離外部網絡和內部網絡的任務。
② 被屏蔽主機體系結構
被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻,強迫所有的外部主機與一個堡壘主機相連,而不讓其與內部主機相連。
③ 被屏蔽子網體系結構
被屏蔽子網體系結構的最簡單的形式為使用兩個屏蔽路由器,位于堡壘主機的兩端,一端連接內網,一端連接外網。為了入侵這種類型的體系結構,入侵者必須穿透兩個屏蔽路由器。
2) 企業防火墻應用
① 企業網絡體系中的三個區域
邊界網絡。此網絡通過路由器直接面向Internet,通過防火墻將數據轉發到網絡。
網絡。即DMZ,將用戶連接到Web服務器或其他服務器,Web服務器通過內部防火墻連接到內部網絡。
內部網絡。連接各個內部服務器(如企業OA服務器,ERP服務器等)和內部用戶。
② 防火墻及其功能
在企業網絡中,常常有兩個不同的防火墻:防火墻和內部防火墻。雖然任務相似,但側重點不同,防火墻主要提供對不受信任的外部用戶的限制,而內部防火墻主要防止外部用戶訪問內部網絡并且限制內部用戶非授權的操作。
在以上3個區域中,雖然內部網絡和DMZ都屬于企業內部網絡的一部分,但他們的安全級別不同,對于要保護的大部分內部網絡,一般禁止所有來自Internet用戶的訪問;而企業DMZ區,限制則沒有那么嚴格。
3.2.3 VPN技術
VPN(Virtual Private Network)虛擬專用網絡,一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。位于不同地方的兩個或多個企業內部網之間就好像架設了一條專線,但它并不需要真正地去鋪設光纜之類的物理線路。
企業用戶采用VPN技術來構建其跨越公共網絡的內聯網系統,與Internet進行隔離,控制內網與Internet的相互訪問。VPN設備放置于內部網絡與路由器之間,將對外服務器放置于VPN設備的DMZ口與內部網絡進行隔離,禁止外網直接訪問內網,控制內網的對外訪問。
3.3 應用系統安全
企業應用系統安全包括兩方面。一方面涉及用戶進入系統的身份鑒別與控制,對安全相關操作進行審核等。另一方面涉及各種數據庫系統、Web、FTP服務、E-MAIL等
病毒防護是企業應用系統安全的重要組成部分,企業在構建網絡防病毒系統時,應全方位地布置企業防毒產品。
在網絡骨干接入處,安裝防毒墻,對主要網絡協議(SMTP、FTP、HTTP)進行殺毒處理;在服務器上安裝單獨的服務器殺毒產品,各用戶安裝網絡版殺毒軟件客戶端;對郵件系統,可采取安裝專用郵件殺毒產品。
4 結束語
該文從網絡安全及其建設原則進行了論述,對企業網絡安全建設的解決方案進行了探討和總結。石化企業日新月異,網絡安全管理任重道遠,網絡安全已成為企業安全的重要組成部分、甚而成為企業的本質安全。加強網絡安全建設,確保網絡安全運行勢在必行。
參考文獻:
[1] 王達. 路由器配置與管理完全手冊――H3C篇[M]. 武漢:華中科技大學出版社,2010.
[2] 王文壽. 網管員必備寶典――網絡安全[M]. 北京:清華大學出版社,2007.
網絡安全解決方案范文第5篇
由于計算機硬件、軟件、以及網絡的迅速發展,信息系統在學校公共事務管理的過程中承擔著越來越多的功能,在校園網絡中根據學校自身的需求和應用,一般主要有以下一些信息管理服務系統。
1.1Web信息服務高職學校需要對外宣傳自己的單位形象,學院新聞、招生政策以及各類需要的公告信息,在校園網中,Web服務器是網上信息瀏覽的服務器,是不可缺少的信息系統服務項目,也是許多校園管理系統的集成的接口,其他的信息系統可以通過Web服務的主頁進行集成。
1.2網上辦公系統(OA)網上辦公系統可以實現校園內部各處、系、部之間信息交流和共享,公共資源的統一安排,以及和外部相關部門之間進行信息的傳播、收集處理、資源的共享存儲、實現科學化決策信息管理系統。各部門之間通過辦公系統的使用使得信息的溝通更加的順暢,資源的利用更加充分,并且能夠節約時間和成本。
1.3教務管理系統學校的主要功能是教育、管理服務的對象是學生,如何最大化實現對各種教學資源的充分利用,提供高效的管理功能,這就需要使用教務管理把各種資源高效利用,通過使用教務管理系統,實現對學生、教師、課程、教室等教學資源的科學管理,提高上述資源的利用效,減輕教務管理人員工作的難度。
1.4文件服務器在日常的管理中,有許多文件或信息是需要大家相互交流共享,譬如一些公共表格,或者教師的備課材料和視頻等。學生可以隨時隨地通過視頻服務器找到自己課程的視頻來進行學習,教師也可以上傳自己授課的視頻提供給學生在課后學習或對該門課程感興趣的學生自學。此外在校園網絡中還有精品課程系統、財務系統等,這些信息系統的存在,增加了網絡管理的難度。同時也增加了受到威脅、攻擊的概率。
2校園網絡面臨的主要威脅
通過對校園網絡安全威脅現狀及發展趨勢進行分析,這對研究網絡安全技術的必要性和重要性有很高的現實意義,找出相應的解決方案措施。通過對畢節職業技術學院校園網絡一年來的記錄和觀察,校園網絡面臨的主要安全威脅來自于以下兩個方面:來自外部的主要威脅是黑客的攻擊,校園網絡一般沒有特別機密的文件,但校園網絡的用戶眾多,難免一部份用戶會對網絡進行攻擊,在校園內部,一般都搭建有Web服務器和教務系統服務以及辦公OA系統,黑客主要對Web服務器和教務系統感興趣,他們主要目的就是在Web網頁上面掛馬或攻擊教務服務器,獲取訪問用戶的賬戶和密碼、權限等。以下是常見的黑客攻擊的技術:
2.1端口掃描端口掃描是利用端口掃描程序對服務器的TCP端口進行掃描,并記錄反饋信息,通過對反饋信息進行分析,檢查目標主機在哪些端口可以建立連接,如果能夠建立連接,則說明主機在那個端口被監聽。常用的掃描工具有Superscan端口掃描工具、Satan網絡分析工具。常用的掃描方法有
(1)TCPConnect掃描使用這種方法可以檢測到目標主機上開放了哪些端口,但這種掃描也容易被目標系統檢測到。
(2)TCPSYN掃描這種掃描也稱為“半”掃描,因為它不必和目標主機通過三次握手建立TCP連接。
(3)TCPFIN一些防火墻和包過濾程序能監測到SYN分組訪問未經許可的端口,TCPSYN掃描的原理是向目標端口發送一個FIN分組,所有關閉著的端口會返回一個RST端口,而打開的端口會忽略這些請求,從而獲知哪些端口是打開的。
2.2網絡網絡監聽主要是利用網絡監聽工具對計算機網絡接口截獲其他計算機的數據報文的一種工具,通過監聽,可能捕獲到用戶用明文傳送的賬戶和密碼。
2.3密碼破解通過一些專用的密碼破解工具來猜測和獲取用戶的帳戶和密碼,從而獲取用戶的權限對網絡或資源進行破壞,常用的方法有密碼字典等。
2.4特洛伊木馬特洛伊木馬指隱藏在計算機正常程序代碼中的一段具有特殊功能程序的惡意代碼,具有破壞、刪除文件、發送賬戶密碼和記錄鍵盤和攻擊功能的后門程序。通常情況偽裝成實用工具或游戲程序,引誘用戶點擊將其安裝在用戶計算機上,實現黑客遠程控制用戶計算機的手段。
2.5緩沖區溢出緩沖區溢出攻擊是指黑客利用操作系統或軟件的漏洞,通過程序往緩沖區中寫入超過其長度的程序指令,造成緩沖區溢出,從而改變程序正常執行的順序改變為攻擊者安排的另一種順序,以達到黑客攻擊的目的。
2.6拒絕服務攻擊拒絕服務攻擊指黑客利用Internet網絡中的服務器不停的向目標主機發送請求和信息,強迫目標主機不停回復這些無用的請求和信息,消耗目標主機的網絡帶寬和系統硬件資源,最終導致網絡系統癱瘓而停止服務的網絡攻擊方式。另外其他的攻擊有網絡釣魚、電子郵件攻擊、即時通信的攻擊等。內部的網絡安全主要是計算機病毒和木馬感染,根據《中華人民共和國計算機信息系統安全保護條例》定義,計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據、影響計算機使用并且能夠自我復制的一組計算機指令或都程序代碼。校園網絡由于大量公共計算機的存在,公共機房的計算機用戶不固定,學生使用U盤或網上下載軟件,容易使電腦感染病毒和木馬,只要有一臺計算機感染,很快會擴散到其他的計算機,因此,防治計算機病毒是校園機房管理的一個難點。當然,除了上述兩個重要的安全因素以外,設備老化、設計缺陷、自然災害、人為的破壞也是網絡安全威脅因素,那么,怎樣才能減少校園網絡安全威脅呢?構建一個安全的校園網絡體系結構,最大限度減少網絡受到攻擊。
3網絡安全體系結構的構建
世界上絕對安全的技術是不存在的,任何安全技術的所謂“安全”都是相對的,因此,在構建校園網絡安全體系結構的時候,除了技術以外,重要的是日常網絡的管理與維護,人們常說“三分技術,七分管理”,再完美的安全技術,只要管理不當,也會出現漏洞。那么如何構建安全的校園網絡體系結構呢?
3.1網絡安全體系結構的構建方法
(1)制定安全管理規章制度,嚴格按照規定操作,避免出現人為的失誤,責任到人。嚴格按照安全技術評估標準對校園網絡進行評估,找出漏洞,及時封堵。
(2)安裝防火干墻,在校園網絡與Internet的接口安裝硬件防火墻或網關,防范來自外部網絡的攻擊。
(3)在連接外網的路由器上做訪問控制列表,控制對關鍵信息和區域的訪問。
(4)在核交換機上劃分VLAN,避免發生網絡廣播風暴和減少不同網絡網段之間的互訪,增加網絡的安全性。
(5)安裝網絡版殺毒軟件,及時對內部網絡中的計算機進行病毒掃描,清出計算機中殘留的病毒,對于公共使用的計算機安全立即還原軟件,減少被交叉感染的機會。
(6)安裝入侵檢測系統,入侵檢測系統能夠檢測闖入、冒充其他用戶或合法用戶對系統進行破壞或惡意使用的安全行為。
3.2針對網絡面臨的威脅,我校制定以下安全措施;
(1)提高安全防范意識,按照安全防范要求不要隨便從網上下載文件、不要打開運行來歷不明的軟件、不要打開來歷不明的郵件,預防病毒感染。
(2)設置口令時嚴格按照復雜口令來設置,要有字母、數字和控制符號,長度一定足夠長,對于具有管理權限的賬戶,要經常變換更改密碼。
(3)及時更新操作系統或軟件,封堵系統中的安全漏洞。
(4)定期分析系統日志,分析系統是否遭到黑客攻擊,一般黑客在攻擊之前都會對目標主機進行掃描,系統日志會記錄對主機的操作記錄,做好對應準備,從而預防黑客攻擊。
(5)進行動態監控,建立完善的訪問控制制度,及時發現網絡遭到攻擊的情況并加以防范,減少網絡攻擊的損失
(6)安全檢測,運用專業的攻擊檢測軟件對系統進
行掃描,及時發現系統中的安全漏洞并預防。
(7)數據備份,數據備份是網絡管理中重要的一環,當系統遭到攻擊或者是各種自然災難時,有了完整的數據備份,可以盡快的恢復數據系統。
(8)安裝硬件防火墻或網關,防火墻實現內外網的隔離的技術,它根據訪問控制策略來控制內外網的數據通信,最大限度地阻止網絡中黑客的入侵。
(9)安裝網絡殺毒軟件,校園網絡中,感染病毒是最常見的,一般感染以后就是能及時處理,不要讓病毒進行擴散。我們一般在公共機房安裝殺毒軟件,學生上機使用的U盤在使用時都會對其進行掃描,避免病毒交叉感染,另外我們在電腦上安裝還原系統,只要電腦重新啟動以后,所有的數據進行恢復。避免病毒存留在計算機上,最大限度減少電腦和用戶U盤上的病毒進行擴散。
4總結
