网络安全分析篇1
传统社会也有很多问题,但任何国家都没有一部《传统社会安全法》来作为解决问题的灵丹妙药。因此,恐怕首先要分析清楚我们面临哪些网络安全问题,哪些是需要也可以通过立法来解决的?更为重要的是,这部法律靠什么来确保网络安全?
我国现在面临哪些网络安全问题
我国面临的网络安全主要有三个方面:
首先是核心技术与网络规则不掌握,也就是技不如人的问题。
互联网的基础设施包括软件、硬件和游戏规则全都仰人鼻息。芯片等高端制造业落后,没有成熟商业化的操作系统等基础软件,万一出现极端情况,会不会发生被“掐脖子”,以及有没有人利用底层技术便利已经收集了我国的个人信息等各种信息,窃听和备份我们的电子邮件等网络通信内容?恐怕很难说。这是我国网络安全最大的隐忧。但这些问题主要得靠发展来追赶,以及随着国家和产业实力的增强,可以增强互联网规则的话语权。立法可以通过设立网络产品和服务的安全审查制度,一定程度上达成预防在先,但立法解决不了科技从无到有的问题。虽然存在绝对的网络安全,但也只有网络核心技术实力旗鼓相当,网络安全才具有平等对话的基础。
其次是与所有国家一样,我国的信息网络存在被黑客、恶意软件等攻击,以及由于灾难、事故等各种原因导致的断网、停电、影响国计民生的公用事业和服务等。存在于太空的卫星通信网络,也随着互联网发展存在安全隐患。
这是网络安全法所应当关注和预防解决的重点问题,也是各国都重点关注的网络安全问题,立法予以规制无可厚非,关键是要多听取相关专家的意见并将技术需求进行法律“翻译”,以确定究竟怎么做才更科学、更有效。
目前征求意见稿对于交通、能源、军政网络等安全方面的规定,已经体现出了较为深刻的认识,但从具体业务层面探讨,似乎仍不乏可以提高的空间,比如网络安全等级保护虽然的确是我国行之有效的网络安全保障制度,但并不是唯一的,也不能排除随着情况变化可能出现新的更好的做法。所以,肯定等级保护制度是对的,但也要为其他网络安全保障措施预留法律空间。
第三是跨国网络攻击行为的司法管辖与规制,这是网络无边界与国家主权之间的冲突带来的问题。如果其他国家、地区和组织对中国公民和企业采取非正常法律行动的,我国可以采取对等措施吗?这在目前的网络安全法征求意见稿中没有看到,是否有必要和可行?希望立法部门予以研究。
即使是的确事关网络安全的长远战略问题,是放在网络安全法立法里面规定,还是放在国务院部门的战略规划文件中规定?这也值得深入研究与探讨。
作为一名一线法律实务工作者,与无数法官、检察官等法律人一样,笔者常常在遇到具体业务问题时,为某些宣言式立法的条文粗疏而头痛不已。网络安全产业战略规划是国家行为,而“法律”是调整人与人之间社会关系的行为规范,网络安全战略问题的确重要,但战略问题需要随着情况变化而经常调整,法律却必须尽量作前瞻性规定以确保稳定性和可预见性,因此是否由国务院或相关部委更为合理?立法也是一种资源,我们需要腾出时间精力研究出一些更得力的措施,来提高我们网络安全法的实践针对性与可操作性。
靠什么确保网络安全
最后,最为关键的问题是,我们靠什么来确保网络安全呢?笔者认为要靠设立适当的规则引导企业自身做合规,确保网络安全,而不能靠禁止行为的列举,来杜绝威胁网络的行为。
因为列举总是难免挂一漏万,何况网络发展日新月异,今天的列举前瞻性再强,恐怕过不了多久又会成为明日黄花,难堪大用。
网络安全分析篇2
关键词:网络;安全;方案
中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2012)17-0000-02
1网络安全评估分析系统
1.1网络安全评估分析系统的必要性
面对用户网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合用户网络应用的安全策略显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。
检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
目前大多数的病毒都已经不是简单的复制和占据资源的概念,其已经演变为通过利用系统漏洞和脆弱性,破坏和盗取信息为目的软件。所以,通过安全评估分析系统,在网络受到感染以前,及时地修补系统漏洞,从而更有效的保护局域网。
1.2网络安全评估分析系统选型
安全评估系统(扫描对象包括网络设备、主机、数据库系统)使用户有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况做出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。
在用户网络系统中,部署一台百兆硬件网络安全评估分析系统,它通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。能同时对网络中的网络设备(如路由器、交换机、防火墙等)、小型机、pCSeRVeR和pC机操作系统(如windows)和应用程序(如iiS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),将风险分为高,中,低三个等级并且生成大范围的有意义的报表,从以管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
(1)全面的产品资质认定
网络安全评估系统具有如下的产品资质认证,为用户提供满意的产品:
公安部《计算机信息系统安全专用产品销售许可证》
国家保密局《科学技术成果鉴定证书》
国家信息安全测评认证中心《国家信息安全产品认证产品型号证书》
(2)易用性
网络安全评估分析系统应该充分考虑了中国人的使用习惯,具有良好的易用性。安装和使用界面全中文化,操作使用符合标准的winDowS风格,用户大部分只要通过电击鼠标就可以达到目的。管理工作更加方便,其输出也更加有价值。
(3)产品扩展性
网络安全评估分析系统的测试方法库采用插件方式,升级极为容易,添加新的插件就可以使软件增加新的功能,扫描更多漏洞。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
1.3网络安全评估分析系统部署
网络安全评估分析系统可以定期连入管理中心网络的网管交换机或者中心交换机上,对网络设备进行网络安全评估,比如小型机、pCSeRVeR、网络设备(交换机、路由器等)、安全设备(如防火墙)及内网各工作站系统,进行周期性的安全评估,得出安全评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。
1.4网络安全评估分析系统部署后作用
(1)安全评估是本系统的主要功能,也称为“脆弱性分析”或者“网络安全扫描”,通过本网络安全评估分析系统的部署,可以对网络内计算机系统或者网络设备进行安全测试与评估,获得相关安全信息,找出安全隐患和可被黑客利用的漏洞。
(2)设备可以结合CVSS(通用脆弱性评级体系)和等级保护方法的理论,科学的给出相应的安全分析和可操作的修补处理建议,为网络管理人员提供修补漏洞的方法,使得管理可以及时修补网络隐患,做到防患于未然。
(3)自评估部分还可以协助管理员对设备进行问题的自动修补。
2应用防护
2.1web应用防护系统的必要性
随着越来越多的应用系统以weB的方式被部署,这些系统的敏感数据如用户信息等被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击,很多都是利用了weB应用漏洞。实施这些攻击的人,既有来自外部的黑客,也有来自内部的不怀好意的用户。
因为基于weB的应用系统可以通过任意浏览器进行访问,用户往往更容易访问到这些系统,从而在一定程度上可以通过这些系统绕过内部的安全控制。
对大多数公司来说,weB应用系统已经成为安全的边界。使用weB安全网关是确保这些系统安全的唯一途径。然而,考虑到weB应用的多样性,weB安全网关往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的weB安全网关往往会阻断合法用户对系统的正常访问,甚至没能起到应有的左右而让黑客长驱直入。
weB安全网关是一种新型的可以保护weB系统免遭攻击的网络及应用安全设备。它通过执行非常细粒度的安全策略来保证weB应用系统自身以及系统数据免遭各种攻击。得益于weB安全网关所使用的突破性技术,这些安全策略能够非常容易地适应各种weB应用系统,从而满足所有的安全需要。
weB安全网关为weB应用提供了全面的应用层保护,它不但能抵御目前已知的攻击及其变种,还能抵御未知的攻击。
需要特别指出的是,weB安全网关通过自己独特的weB对象混淆技术,大大提高了攻击者的技术门槛,甚至能使大部分的普通攻击者无从下手;独创的安全令牌技术则能彻底防止weB应用对象被篡改和伪造。由于攻击者无法篡改和伪造weB请求数据,攻击便无法实施。此外,通过与weB应用紧密相连的安全策略的配合,weB安全网关能严格限制合法用户的行为,避免了对系统受限资源非法的访问。
融合可靠的应用层过滤技术和先进的数据加密技术,weB安全网关完全能为企业级的weB应用提供完整的安全解决方案。
2.2web安全网关的选型
根据用户网络的应用需求,推荐使用web安全网关产品可以满足了网络需求,很好的解决了对web服务器的防护和管理功能。
具体功能如下:
2.2.1基于黑名单的攻击过滤器能阻断目前大部分的常见攻击
(1)SQL注入
(2)跨站脚本攻击
(3)已知的蠕虫和系统漏洞
(4)对敏感资源和数据的非法访问
(5)其他系统溢出攻击
2.2.2基于白名单的防御引擎能阻断任何非法的攻击
(1)伪造用户输入数据
(2)非法的应用访问流程
(3)Cookie滥用
(4)Http请求劫持
2.2.3完备的网络层安全和服务提供整体防御
(1)状态检测防火墙
(2)ip/端口过滤
(3)应用层DDoS防护
(4)SSL加速
2.2.4灵活多变的伪装技术使系统逃避探测和攻击
(1)防止对服务器操作系统和weB服务器的指纹探测
(2)自定义错误页面防止敏感信息泄露
(3)删除网页开发工具信息以及代码注释,使黑客无法获取重要的信息
(4)防止服务器端代码泄露
2.2.5丰富的日志提供强大的报表和审计功能
(1)详细的系统日志和访问控制日志
(2)丰富的weB资源访问统计报表
(3)详细的攻击统计报表
(4)支持标准的syslog日志服务器
(5)基于XmL的日志数据便于与外部系统集成
2.3web安全网关的部署
weB安全网关能根据用户的需要采用多种部署方式。标准的设备部署在web服务器前面,配置过程可以在几个小时内完成,weB安全网关可以抵抗绝大部分常见的攻击。通过在标准部署基础上进行高级的安全策略调整,可以根据需要提供最高级别的安全,彻底杜绝攻击发生的可能。
2.4web安全网关的作用
2.4.1最大可能地减少针对weB的攻击
随着越来越多的基于weB的应用系统投入使用,越来越多的敏感数据被暴露在当前的系统无法解决的安全威胁之下。一旦攻击得逞,损失便大的无法接受。使用weB安全网关能最大可能地减少针对weB应用的攻击。
2.4.2避免敏感信息被盗,符合行业安全规范
当今很多行业如银行和电子商务等行业都有自己的安全规范,符合这些安全规范是业务正常开展的基础。目前weB应用系统是黑客们为了获取诸如客户信息等敏感数据而寻找的最主要的攻击目标,每年因为针对应用层的攻击而导致的损失都高达己亿美元。weB安全网关是解决敏感数据经由weB系统被盗窃这一棘手的安全问题的最重要也是最有效的途径。
2.4.3无须安全补丁,保护已有投资
因为知道应用系统容易遭受各种攻击,it部门需要不间断地监控各站点并且安装各种最新的补丁。因为如前所述,weB安全网关能阻止各种针对weB应用和weB服务器的攻击,从而大大降低了系统对补丁的依赖性。此外,对于存在安全漏洞但是因为其他原因无法进行升级的旧有系统,weB安全网关也能保证系统能安全地运行,从而保护了客户的投资。
2.4.4安全便捷,使用简单
weB防火墙部署非常容易,通过向导可以很快地完成设备的初次安装。因为weB安全网关是网络层的设备,因此可以和任何weB服务器配合使用,并且对weB应用是透明的。
网络安全分析篇3
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLan(虚拟局域网)技术
VLan(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLan中,将校园网络划分成几个子网。将用户限制在其所在的VLan里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLan技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(intrusionDetectionSystem,iDS)
iDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过internet进入网络甚至计算机系统时,iDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,iDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLan技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[m].清华大学出版社,2006.
2、张公忠.现代网络技术教程[m].清华大学出版社,2004.
3、刘清山.网络安全措施[m].电子工业出版社,2000.
4、谢希仁.计算机网络[m].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[m].清华大学出版社,2004.
网络安全分析篇4
关键词:网络;安全
中图分类号:tp393.08
四川台现有广播业务网络于2011年建成,涉及广播的所有关键业务,在广播节目制作和管理中发挥着重要的作用。近年来随着广播与新媒体融合,网上应用和移动应用不断融入节目制作播出和信息业务中,网络应用的服务范围较以前传统的、小型的局域网系统逐渐向大型、互联互通方向扩展。随着网络规模的不断扩大、接入点数量增多、内部网络结构复杂化,对自身网络的安全性提出了更高的要求,因此梳理网络系统架构,才能及时查清网络安全状况。
1网络安全技术分析
在网络的使用中,既需要互联互通,又需要系统安全。网络安全技术不断更新发展,网络安全产品很多,如何合理取舍,在网络中配置安全设备,确保网络业务安全?如果为了安全而过多的配置安全产品,必然拖慢网速,造成网络的不良体验,甚至造成网络业务阻塞。网络安全的关键点在于连通,网络安全产品是对连通业务的安全防护,主要采用的相关技术有以下几种。
1.1防火墙技术
防火墙就是在内网和外网之间设置一道屏障,来保证内部网络安全,防止外部网对内网的非法入侵。它是一个或一组系统,配置在两个或三个网络的连接处,通过实施侦测,可监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。通过参数配置,可以设定哪些内部服务可已被外界访问,以及哪些外部服务可以被内部人员访问,主要采用数据包过滤、监测型、服务器等技术类型。
1.2虚拟专用网络(Vpn)技术
虚拟专用网(Vpn)是实现内部网在因特网等公共网络上的延伸,通过加密在公共网络等外部网上创建一个安全的私有连接,采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。Vpn技术主要提供在公网上的安全的双向通讯,可使分布在不同地方的专用网络通过不可信任的公共网络,实现安全通信,将远程用户、分支机构等与内部业务网连接起来,构成一个扩展延伸的内部网络,仿佛公共网络是内部网络的一部分,所有的使用都处于内部网络之中。
1.3计算机病毒的防范
当前全球计算机网络上流行的计算机网络病毒有4万多种,在各种操作系统中包括windows、UniX和netware系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件有较强的查毒、杀毒能力。能够查杀多种系统环境下的病毒,完善的升级服务,以查杀不断出现的新的网络病毒。
1.4内外网安全隔离技术
内外网络隔离技术种类很多,大致分类为:网桥、网闸等。
网桥是将两个相似的网络连接起来,并对网络数据的流通进行管理,网桥隔离信息,将同一个网络划分成多个网段,隔离出安全网段,防止其他网段内的用户非法访问。网桥工作于数据链路层,能扩展网络的距离或范围,可提高网络的性能、可靠性和安全性。由于网络的分段,各网段相对独立,一个网段的故障不会影响到另一个网段的运行。
安全隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。安全隔离网闸的硬件由三部分组成:外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机),各单元之间采用了隔离安全数据交换单元。
2广播业务网络架构的安全分析
广播业务网络分为主干交换和楼层交换两个层次。主干网采用光纤千兆网,两台核心交换机,交换机采用模块化,双电源和双交换引擎进行热备份。播出服务器和楼层交换机通过光纤同时联接到两台核心交换机,任何一台核心交换机的故障都不影响播出。楼层交换部分(水平布线)采用10/100/1000Base-t的网络,使用5类或超5类双绞线进行联接。
服务器采用双电源配置,两块硬盘镜像作为系统盘,服务器之间两两主备,当其中一台出项故障的时候,另外一台可以很快的接管整个工作。确保任何一块硬盘和电源出现故障的时候,服务器能正常工作。
2.1存储安全
整个存储系统根据业务需要,组成一个逻辑阵列,由机头和阵列构成。机头采用负载均衡的冗余备份方式,同时对外提供存储服务,当其中一个机头失效后,其它个机头接替失效机头的功能,担负起对外提供服务的任务,同时升级冷备机头接替失效机头继续工作。
存储阵列配置相同,形成冗余备份,每个阵列做成RaiD,除了用于构建RaiD的磁盘外,还配热备盘,当某块RaiD盘失效时,能自动启动热备盘重建程序,替代失效的盘。
2.2防火墙等审核日志记录
配置安全系统防火墙和上网行为管理,并且所有的服务器都开启管理员审核日志记录功能,来记录系统执行的操作,对每一个操作产生记录。通过对需要审核的网络动作进行配置,可以控制网络操作,限制非法的网络操作。事后通过对日志查询,可以追踪网络中所有的操作,进而修正网络破坏。
2.3网桥防护
广播业务网是一个相对独立的网络,这样可以有效防止病毒的传染和黑客的入侵。但是考虑到广播制播网和综合业务网之间需要进行数据交换,因此在广播业务网与外网之间建立安全连接网桥,通过安全连接网桥来传递允许通过的数据,从而保证广播业务网的安全。安全连接网桥建立在非通用协议基础上的,并且只能允许音频文件等被授权的数据,具备文件格式检测,能够识别伪装成音频文件的可执行文件等,防止木马程序进入系统内部。
3适应业务网络架构的安全运维
在网络安全设备运转的基础上,加强技术维护,进行网络防护操作,通过封应用端口协议,来实现防护堵漏洞,防止外来的攻击,防止内部链接危险站点。对于相关操作系统打系统补丁,定期更新防火墙、上网行为管理等系统的补丁,定期检查路由器和交换机的更新及设置,保证安全设备运行效果。
配置网管软件记录收集网络日志,将服务器、交换机、防火墙、主机等的各项指标信息收集集中,以报表形式呈现,通过技术巡查,及早发现问题。
4结束语
广播业务网络采用网络设备冗余,防火墙等内外网隔离连通技术,确保内部网络业务安全畅通,实现对网络操作审核日志记录,可追溯网络操作。这样通过网络安全设备合理配置,以及技术运维管理,达到确保网络安全畅通。
参考文献:
[1]龚敏斌,潘理,钱宏.网络系统策略完整性安全机制[J].信息安全与通信保密,2013(08):73-75.
[2]王宇,陆松年.web应用防火墙的设计与实现[J].信息安全与通信保密,2011(05):104-106.
网络安全分析篇5
关键词:安全策略,边界安全,防火墙,安全管理中心
网络安全的概念
包括物理安全和逻辑安全
物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指系统能够防止非法防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
网络计算机中安全威胁主要有:身份窃取,身份假冒、数据窃取、数据篡改,操作否认、非授权访问、病毒等。
校园网络都是借助主干通信网,将各地的分部门和总部连接,同时与internet互联。这就存在着以下几方面的网络安全问题:
总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。
总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏。
来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
2.解决方案的分类
解决网络安全问题涉及的范围广泛;不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上,因此在安全策略方面重点考虑:
2.1基础结构安全
主要包括:操作系统选择和问题规避;帐号设置、口令强度、网络参数、文件监测保护在现实运作中,密码系统已经非常完善,标准的DeS、RSa和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上,仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类Unix操作系统是在internet中非常普遍的操作系统,主要用于网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix,操作系统,使它更适合网络相关的服务要求。
由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。
2.2 管理安全
安全管理是网络必须考虑的,主要包括:权限管理,单点登录,安全管理中心等。
管理的技术手段很多,通过采用加强身份确认的方法获得网上资源控制权如智能iC身份卡,提供安全的远程接入手段;采用虚拟专网技术如网络保密机解决数据在公网传输的安全性;安全邮件和安全web服务器也是一类重要的安全产品。然而,对一个具体的网络系统,我们在安全风险评估确定合适的安全需求后,从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素,安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来,这个网络信息系统的安全性才有保障。因此,采用集中统一的管理策略,以技术手段实现非技术的安全管理,主要由安全管理中心实现。
2.3边界安全
校园网络与外界的边界划分是否科学?it系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件,来加强边界安全,实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用,对此我们进行主要讨论
2.3.1防火墙的概念
当一个网络,接入internet以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。
防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。
实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过,另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便,高速、逻辑漏洞少等特点。
2.3.2防火墙在网络中的位置
为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间。
防火墙位于局域网和广域网之间,如图。
intranetFinterant;
在这种情况之下,防火墙的主要作用是允许局域网内的用户访问internet,如浏览www网站,收发e-mail,并且禁止来自于internet上的未知用户闯入局网进行破坏或窃取机密信息。
防火墙在局网与局域网之间,如图:
intranetFintranet
在这种情况下,防火墙的作用是允许公用信息在两个网络中传输,保证每个网段的私有信息不被对方访问。
可以看出无论哪一种形式,防火墙都是数据报文进出网络的必经之路,这样才能保证防火墙对网络的监视保护作用。
2.3.3防火墙的分类
2.3.3.1按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。
过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。因为它具有路由的功能,所以它的安全性较差。
堡垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用,这种防火墙在网络中的具体位置如图。
intranet<------>F<------>边界路由器<------>internet
2.3.3.2按照iSo所定义的网络层次,防火墙可分为网络层防火墙和应用层防火墙。
包过滤型防火墙是网络层防火墙,它以用户定义的过滤规则对每一个通过它的数据报文进行过滤,一般是检查一个ip报文的五个基本元素:源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过,报文就可以通过防火墙,反之则不能。包过滤不检查连接请求的会话状态,也不会对传输数据进行检查。
型防火墙,属于应用层防火墙,的功能是对来自局域网内用户的会话求进行会话请求转发。在转发过程中对会话进行过滤。因为在应用层,它可以对会话的状态和传输的数据进行检查和过滤。从安全上讲,的安全性要比包过滤功能更强,因为一个ip报文到了层,它的寿命就已经截止了,也就是说真正地阻断了网络的传输。
目前应用于网络安全的防火墙系统基本上属于上面所讲到的两种防火墙系统。但在实际应用中的防火墙经常是这两种方法的合体,即包过滤加行防火墙。
同时,为了防范黑客的各种各样攻击行为,通常的防火墙产品还要加上其他许多功能。
2.3.4.防火墙集中的主要功能
2.3.4.1.支持透明连接
透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙,第一不必改变网络的拓扑结构,不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于ip协议的各种信息的传输。
2.3.4.2.带有DmZ区的连接
DmZ原意为停火区,在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段,其中一个物理网段为正常的受保护网段,另一个物理网段为DmZ,用来连接要对外开放的主机,防火墙对DmZ区只作少量的保护或不做保护。
2.3.4.3.包过滤功能
包过滤功能防火墙最主要的功能之一,是防火墙必备的功能模块。
包过滤指的是对ip数据包的过滤。对防火墙需要转发的数据包,先获取包头信息,包括ip层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定规则进行比较,根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事,不作关于内容的决定。有了数据过滤包,可以不让任何人从外界使用telent登录,或者让每个人经Smtp向我们发送电子邮件,或者是某个机器经由nntp把新闻发给我,而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做,因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件,因为“文件”也不是数据包过滤系统所能辨认的。
防火墙包过滤功能应具有的特点:支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符;支持端口范围的控制;支持iCmp报文类型的控制。
使用包过滤模块会对网络传输速率有影响,但速率的降低不能超过25%
2.3.4.4.应用层过滤
应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议(如Ftp)的协议命令的过滤和报文内容的过滤。通过应用层过滤,可以禁止非法站点的连接(这些站点通常是含有反动、黄色信息)达到对非法信息的过滤。
2.3.4.5.透明与控制功能
的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲,这样做有以下几个用处:
完全阻断了网络的传输通道。
可以进行访问控制。
隐藏内部网络结构,因为最终请求是由防火墙发出的,外面的主机并不知道与哪个用户通信。
解决ip地址紧缺的问题。使用服务器只需防火墙有一个公网的ip地址。
服务器优点在于:支持多种tCp上层协议,完全的透明性,对防火墙以外任何设备以及主机无需作任何修改。服务器不仅仅是为了接通网络,更重要的一点是为了保证网络的安全。层访问控制模块使服务器模块具有完整的安全手段。
2.3.4.6防止ip地址欺骗。
黑客的一种惯用手段是修改报文,使报文的源地址成为他要攻击的主机的同网段的地址。利用这种办法欺骗目标主机并取得目标主机的信任,达到为所欲为的目的。防火墙应能智能地判断数据报文的真正来源,对假冒报文予以,使黑客无法进入内部网络,做到防止外部用户盗用内部网段空闲的ip地址。
2.3.4.6.地址绑定功能
地址绑定即固定主机ip地址和网络适配器的maC地址的一一对应关系。地址绑定的主要作用是防止非法用户盗用合法用户的ip地址,由于每块网卡的maC地址都是固定的,经过地址绑定后,地址就与计算机或用户(若每台计算机的用户固定)的对应关系就固定了。也就是说,只有特定的主机才能使特定的ip地址,这就可以保证ip地址不盗用。
地址绑定加快了网络的速度,因为绑定之后,防火墙就不用定时地动态查询局域网内部主机的maC地址,这就减少了网络资源的浪费,加快了网络的速度。
2.3.4.7.地址转换功能
防火墙通过地址转换技术,将所有从内部发出的通过防火墙报文的源地址修改成为防火墙本身的ip地址,使得外部网络无法了解内部网络的结构使用地址转换技术,要求所有的网络连接只能从内部发起,这样更是极大的提高了网络安全性。另外除了安全性,地址转换,还有一个好处,解决ip地址缺乏的问题,如果一个园区只有少数的公网地址,利用地址转换技术,可以使所有连接到防火墙上的主机都可以与internet相连。局域网的用户认为在与internet之间通信,而internet上的主机以为是与防火墙通信。这样就因隐藏了网段的网络结构,因为只能见到防火墙的一个地址。
2.3.4.8.Vpn功能
Vpn是指虚拟专用网络。实际上是在公共网上建立内部网络。其重点就是保证在公众网上传播的内部信息不被外人获取。一般有专用的网络保密机与防火墙在此功能上有交叉 。
2.3.4.9.规则设施功能
网络安全管理人员想知道一个确定的包进入入防火墙后会发生什么事情,这时可以利用规则测试的功能。安全管理员可以设计一些虚拟的报文,利用规则测试功能来验证设计的规则是否正确,是否符合设计的目标。这样可以增加工作效率并保证规则设置的正确性。
2.3.4.10.支持远程在线状态管理、配置管理、审记管理
通过安全管理中心和其他管理软件可以对防火墙进行远程在线管理。既可以在远程非常直观的观察到防火墙的运行情况,也可以远程启动关闭防火墙和重新启动防火墙。
防火墙系统中运行的守护进程,通过守护进程管理程序,可以在远端对防火设备的各个功能模块进行设置和维护,以便于安全管理人员对防火墙的管理。
日志能记录完整的网络信息,包括建立的连接时间,双方地址,以及传输信息量。
支持远程审记日志是保障安全的重要手段,由于网络设备的审记信息通常大得惊人,观察分析审记日志是让管理人员非常头痛的是工作。好的防火墙应支持远程审记管理,使得管理人员能够在远端的GUi界面下轻松地观察和分析审记信息,使得审记的分析更加直观。从安全的角度讲,日志主要是起到抗抵赖的作用的,即防火墙记录了用户的网络使用情况,如果有人对网络进行了攻击或是有窃密的行为,事后使我们有据可查,对这样的人进行法律上的制裁或者防止他下一次的攻击。
2.3.1.11.支持安全管理中心集中统一管理
防火墙的管理守护进程为安全管理中心留有接口程序,能够实现安全管理中心对防火墙的安全管理。使用安全管理中心,好处在于它的安全性和集中统一管理能力。
其一、安全管理中心通过安全通道与网络安全设备通信来保证对防火墙设备设置和维护管理信息的安全。
其二、安全管理中心能够做到远程的统一管理,一台安全管理中心机可以管理多台防火墙以及其它网络安全设备。
3.安全方案实施的生命周期
安全管理的方案的实施需要正确的方法和次序,全面的网络信息安全方案需要在正确的企业安全策略的指导下按部就班地进行实施。网络安全方案实施生命周期如下所示
风险评估――>方案设计―――>方案实施―――>人员培训―――>安全监控―――>信息反馈――>重新评估
安全管理方案的核心是制定的安全策略。任何安全产品和方案都必须服从此安全策略。应由安全管理专家与领导者一同制定系统的安全管理策略。
在安全方案实施的第一步,是实施方案的风险评估。即对目前网络环境进行综合考察,发现安全隐患,分析可能面临的不安全因素,从而为将来的安全方案提供总体策略。从信息安全的角度来为校园it环境进行进行合理划分,找出边界因素,对症下药,并对指定的安全策略进行方案设计和具体实施。在实施的过程中或实施之后,必须重视人的因素。要对用户和相关人员进行有效的培训。为网络信息安全培养安全管理人员是安全方案中非常重要的一个方面。实施企业安全方案,对安全性进行总体监控是网络安全生命周期中的执行阶段,如果发生不安全事件,检查是否能够实施企业安全策略,能否进行正确的反应:安全防范的强度是否足够;是否有未能防止的入侵事件。定时或随时进行园区网络安全策略的检查,及时反馈安全信息,针对漏洞重新进行安全评估,网络安全方案周期重新开始。
参考资料:
1.《通信网的安全----理论与技术》王育民刘建伟西安电子科技大学出版社
网络安全分析篇6
【关键词】计算机网络安全性防火墙
随着信息技术的飞速发展,网络及网络信息安全技术已经影响到社会的政治、经济、文化和军事等各个领域。以网络方式获取和传播信息已成为现代信息社会的重要特征之一。网络技术的成熟使得网络连接更加容易,人们在享受网络带来的便利的同时,网络的安全也日益受到威胁。安全的需求不断向社会的各个领域扩展,人们需要保护信息,使其在存储、处理或传输过程中不被非法访问或删改,以确保自己的利益不受损害。因此,网络安全必须有足够强的安全保护措施,确保网络信息的安全,完整和可用。
一、网络安全概述
1.网络安全的定义
网络安全从本质上来讲,就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
2.影响网络安全的因素
影响网络安全的主要因素:一是信息泄密。主要表现为网络上的信息被窃听。二是信息被篡改,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。三是传输非法信息流。用户可能允许自己同其他用户进行某类型的通信,但禁止其它类型的通信。四是网络资源的错误使用。如果不合理地资源访问控制,一些资源有可能被偶然或故意破坏。五是非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。六是环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。七是软件漏洞。包括操作系统、数据库及应用软件、tCp/ip协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。八是人为安全因素。如果管理人员不按规定正确的使用,甚至人为泄露系统的关键信息,则其造成的安全后果是难以估量的。
二、计算机网络安全研究的内容
既然存在诸多危害计算机网络安全的因素,自然就为人们提出了一些有待研究的课题。现将主要研究内容介绍如下:
1.主机和终端数据安全性
众所周知,构成一个计算机网络,必须是由若干台主机与终端机相应的电缆连接,在网络软件管理下,才能实现。而一个正在运行的网络,其大量的数据、信息均存放在主机或终端机内、外存中,如何防止非法用户的访问是至关重要的的。在这方面,研究的方法有四种:设置难以被人推断的口令、设置磁卡或密钥识别、设置指纹或声音识别、设置用户特征识别系统。
2.通信途中数据安全性
计算机通信的范围在不断扩大,已远远超出局域网络的管辖区。因此,在传输途中的数据易受到攻击,传统的对策有:一是将通信数据加密使合法收信人以外的人看不懂;二是在通信网上采用分组交换,通过调换分组顺序及变更传送路由防止数据被盗;三是将通信线路与设备放置在外人难以接近的地方,并采用不易被截取的传输方法。
3.整个网络的数据保护
在整个数据通信网络上,必须采取的数据保护措施包括确认通信本身的合法性和保证通信数据的合法性两个方面。依据不同需求有三种保护方法。一是网络管理中心集中管理;二是各主计算机分散管理;三是网络内的交换机分散管理。
但是,用加密钥方式进行通信的数据通信网中,加密用的密钥由各主机进行分散管理是很难的,往往采用在网络内集中管理密钥的方法。此外,在利用加密签名等手段来验证信息时,还需要有各部门来证明该信息是否是发信人发的。因此,要采用集中管理方式,在管理中心将各用户的签名(实际是加密用的密钥)登记。
三、计算机网络安全保护技术
计算机网络安全从技术上讲,目前广泛运用比较成熟的网络安全技术主要是:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
1.防火墙技术
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并并监视网络运行状态。
2.数据加密技术
数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失。数据传输加密技术的目的是对传输中的数据流加密,常用的有线路加密和端口加密。数据完整性鉴别目的是对介入信息的传送,存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对向输入的特征值是否符合预先设定的参数,实现对数据的安全保护。数据加密在许多场合集中表现为密钥的应用,密钥管理技术包括密钥的产生,分配保存,更换于销毁等个环节上的保密措施。
3.入侵检测技术
入侵检测技术是为保证计算机系统的安全设计与配置的一种及时发现并报告系统中被受权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
4.防病毒技术
病毒方法中不便使用的是防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件。单机防病毒软件一般安装在单机上,对本地和工作站连接的远程资源采用分析扫描的方式检测,消除病毒,网络防病毒软件则是主要注重网络防病毒,一旦病毒入侵网络或者从网
络向其他的资源传播,网络病毒软件会立即检测到并加以删除。
四、结语
计算机网络在全球范围内得到了迅速发展,其应用几乎包括了人类生活工作的全部领域,它在带给我们前所未有的方便的同时,也给我们制造了大量的难题。计算机网络的安全是一个综合性的课题,涉及到技术、管理、使用和维护等多方面。为保证计算机网络系统的安全,应混合使用多种安全防护策略,同时也会发展出越来越多的安全解决技术,从而使得网络安全防范及管理水平不断提高。
参考文献
[1]朱明.计算机网络安全[J].中国科技信息,2005,(20).
网络安全分析篇7
关键词:无线网络技术;标准;无线网络安全;威胁和保护
中图分类号:tp393文献标识码:a文章编号:1009-3044(2011)17-4068-02
随着计算机硬件的不断发展、新技术和新产品不断涌现,譬如以前让人遥不可及的无线网络技术如今已经唾手可得。现在的无线网络已经是一个非常成熟的产业。从基础设施的建设,到软硬件的流行和繁荣。无线生活已经不再是一个梦想。随处可见无线网络的影子,譬如说经常在街头或者车上看到使用iphone、ipad或者笔记本在上QQ和微博这样的例子。
所谓的无线网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为补充和扩展。
无线网络范围很广,主要包括有以下两种:无线局域网(wirelessLocalareanetwork)和无线互联网(wirelessinternet)。科技和产品的发展趋势是融合之态,你中有我,我中有你,界限也不分明了。很明显的两个例子:手机既能打电话,也能拍照。wirelessFidelity即wiFi技术即应用于无线互联网方面,也应用于无线局域网。无线局域网一般应用于蓝牙耳机、手机蓝牙功能、无线鼠标和键盘,无线耳机和音箱等等。主要使用Bluetooth蓝牙标准、HomeRadioFrequency射频技术、(infraredDataassociation)红外线数据组织等标准。无线互联网方面,iphone、ipad和笔记本可以实现无线上网,pDa甚至智能mp4也具有无线上网功能。主要使用ieee802.11无线技术。ieee802.16宽带无线技术,tD-SCDma、CDma2000和wCDma等标准。而ieee802.11标准里面又细分以下几种,
ieee802.11a:使用5GHz频段,传输速度54mbps,与802.11b标准不兼容;
ieee802.11b:使用2.4GHz频段,传输速度11mbps;
ieee802.11g:使用2.4GHz频段,传输速度主要有54mbps、108mbps,可向下兼容802.11b;
ieee802.11n草案:使用2.4GHz频段,传输速度可达300mbps,目前标准尚为草案,但产品已经层出不穷。
但是随着无线网络的不断发展,安全问题也变得日益严峻。有线网络尚且存在安全隐患,并且病毒、木马和蠕虫层出不穷。传统有线网络的攻击、系统入侵等事件时有听闻,而无线通信的本性,使得在空中传播的数据天生就是不安全的。更何况无线标准、安全机制和安全漏洞方面存在着先天的不足。因此无线网络相对传统有线网络更加不安全。
无线网络ieee802.11标准提供了一种保护机制,这种保护称为“有线对等加密协议”(wiredequivalencyprivacy),目的是使无线数据在空中电波传输时,能获得最起码的安全保护。而无线网络ieee802.11标准的wiredequivalencyprivacy之所以天生就不安全,是因为它创建了初始向量(initializationVector),黑客只要收集100万至500万个数据包,就能提取出密码。此外还有诸如数据泄密、传输过程中被劫持或者密钥泄露等,也使无线网络安全面临诸多不安全因素。
无线网络安全并不是一个新的问题,早在有线网络蓬勃发展时期,网络安全就是一个很重要的议题。新的安全漏洞不断地被人们发现,新的病毒、木马和蠕虫不断涌现。这些内容不是我们这一课题所讨论。现在我们详细地说说无线网络所独有的威胁,这包括:
1)插入攻击:插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查,对接入点进行配置,要求客户端接入时输入密码。如果不设置密码,又或者使用设备的默认用户名和默认密码。入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。这是相当危险的。
2)漫游攻击者:攻击者没有必要在物理上位于被攻击者的建筑物内部,他们可以使用网络嗅探器,如netstumbler、Kismet等工具,再使用加密解密工具,如airSnort等对目标进行攻击。在移动的交通工具上用笔记本电脑或者其它移动设备嗅探出无线网络,这种行为称为战争驾驶“warDrive”。
3)欺诈性接入点:所谓欺诈性接入点是指在未获得无线网络所有者的许可或者知晓的情况下,就设置存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开公司已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
4)双面恶魔攻击:这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐蔽起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
5)窃取网络资源:有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接来连接到互联网,进行非法下载行为或进行违法事件。
6)对无线通信的劫持和监视:和有线网络一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕捉无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和密码。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,而集线器现在趋于淘汰,所以很少见。
当然,还有其它一些威胁,如客户端对客户端的攻击(包括拒绝服务攻击)、缓冲区溢出、干扰、攻击web表单、DnS欺骗、错误的配置等,这些都属于无线网络风险的因素。
因此我们采取分层保护的措施,即设防的第一步是使用防火墙。第二步是使用高达128位的wiredequivalencyprivacy,一般的wiredequivalencyprivacy只有40位,安全性能相对较弱。第三步使用安全套接字层(SecureSocketsLayer)。第四步是要更改网络接入的用户名和密码,切忌使用默认的用户名和密码。因为攻击者发现你使用多重保护,尽管可以花多点时间也能破解,但是他宁愿选择更容易下手的目标,除非他摆明就是针对我们这一个网络。
除此之外,我们做防护时也可以从攻击者的角度来思考,即攻击者入侵的步骤是:确定目标,调查和发现,制订攻击计划,执行攻击和打扫。而我们进行网络保护,采取的具体措施有:安装ethereal和netstumbler等嗅探工具,进行反嗅探,能从其他嗅探器所捕捉的文件进行反嗅探。从而得出是否有入侵者,进而采取进一步的行动。
参考文献:
[1]雷渭侣,王兰波.计算机网络安全技术与应用[m].北京:清华大学出版社,2010.
网络安全分析篇8
关键词:网络安全阀作用特点
2010年,中国的网民数量达到4.2亿,互联网迅速的浸入了人们的工作和生活。同时,由网络引起的社会问题开始涌现出来:网络谩骂、网殴、剽窃、色情、等等。有人期望通过道德规范来实现网络的健康和有序发展,也有人认为对网络的管理应该实行实名制。
对网络进行规范和引导,是网络发展的必然过程,只有如此才能保证网络世界的健康和有序。但在规范和引导网络的发展时,我们应当尽量保护好网络的一些积极功能,让网络在社会发展中发挥更大的作用。目前对于一个规范措施能否实行,大多是从这个规范措施的实行是否会伤害网络的精神实质、是否会影响中国网络的发展以及是否能有效地约束网络的负面影响等方面进行判断的。在对网络其他社会功能缺乏挖掘和研究的情况下,一种不恰当的规范措施有可能伤害到网络积极功能的发挥。我认为网络具有明显的社会安全阀功能,在规范和引导网络发展的同时,我们一定要保护好、利用好网络的这个积极功能。
安全阀机制是有社会学家科塞提出的,即社会的一种机制,它通过潜在的社会冲突来维持一个群体。社会在不断地运动,其间会产生并积聚各种各样的矛盾与冲突。而对矛盾宜化解而不宜蓄积,对不满情绪宜疏导而不宜堵截。安全阀是人们为防止容器爆炸而设置的,社会学家将安全阀原理引入社会学说,就是希望为社会设置一个经常化、制度化的通道,以实现不同社会主体之间正常沟通和发泄不满情绪。它将保障社会运行安全,为堵塞的河流开凿了一个河道,及时排泄累积的不满情绪,以避免灾难性冲突的发生,网络就具有这种安全阀的功能。
网络为人们提供了一个情绪发泄的场所。社会是由个体组成的,个人的心理和行为对整个社会的运行具有相当的影响力,尤其是当个体的心理行为趋向与社会倡导的价值取向发生冲突甚至背道而驰时,就会形成一股强大的心理压力。它所导致的社会行为更多地基于压抑的情绪,往往产生负社会效益。当一个人具有良好的心理平衡机制时,这种情绪就不会变成危害社会的行为;当一个人无法摆脱压抑情绪的控制时,就需要外界为其创造一定的排解宣泄的环境和条件。在这时,网络就可以充当人们情绪发泄的“排气孔”。当人们及时、适当地让不满情绪和不同意见在自己的网络上进行宣泄,就防止了矛盾和冲突的过度压抑和聚集,进而也防止了矛盾和冲突的总爆发,保证现代化所需要的社会稳定。
网络为人们提供了利益表达和沟通的渠道。网络的平民化特征,使得社会各个群体都有平等的机会表达自己的利益诉求。这样,许多新问题、新矛盾通过网络就能及时反映出来,容易在它们处于萌芽状态时给予化解、疏导。同时,网络的开放性和互动性可以使不同利益群体看到其他利益群体的需要,也可以在互动中实现相互间的理解。政府需要及时、客观地了解社会上存在的矛盾和不满情绪,从而能及时、有效地制定矛盾应对和缓冲的对策。如果政府对社会上存在的矛盾不了解,矛盾就会越积越多,社会不满情绪也会不断增长。同时,各个利益群体之间也需要在思想、信息、感情等方面进行交流,这样有助于避免或减少彼此的误会,增加各个利益群体相互间的信任感,进而可以实现社会的稳定。
网络为人们进行社会求助提供了一条途径。在社会生活中,一个人的力量往往过于弱小,在个人遇到单凭自己的力量难以克服的困难时,可以通过网络来发出求助信息。网络具有传播性和开放性,一个人在网络尽情表达时,他的言论就将在全球互联网内传播。个人的遭遇可能在民众的帮助下,或者在社会舆论的支援下得到比较顺利地解决,这样,个人就不至于因求助无门而对社会采取比较极端的手段。
网络社会安全阀具有低门槛的特点。?网络从出现以来,以其低投入、低门槛的优势的到迅速的普及,可以说是只要认识字的人都可以成为网络的使用者。它可以节省现实社会利益表达的环节和约束,保证了不同经济状况的人在利益诉求上平等权利。正是网络的的这种条件,使得在与其他社会安全阀,比如,,相比时,就具有一定的比较优势。既保证了人们在进入网络以及发言上的平等权利,能最大程度体现民主化,而且,它也保证了沟通渠道的畅通无阻。
网络社会安全阀运行的负作用。?科塞认为,冲突提供敌对情绪的替代目标以及发泄的手段,通过这些安全阀,敌意不至于指向原初的目标。“在对替代目标进行攻击时,尽管可以通过沟通引开攻击的通道而使原初的关系得到保护,但一场新的与替代目标的冲突将会发生。”这种替代也要由社会系统和个人付出代价。网络作为社会安全阀在运行时也是有副作用的。网络为人们提供了一个发泄情绪的场所时,可以让人们及时、适当地把不满情绪和不同意见在网络上进行渲泄,使得这些情绪可能不会直接指向原初敌对目标。但是这种情绪的宣泄就有可能对社会系统和个人造成伤害,甚至产生新的矛盾。比如,我们现在经常看到的,网络上对他人隐私的泄露、漫骂、人身攻击、甚至网殴等现象对个人以及网络世界的道德环境都造成了伤害;而且,当网络作者在网络上某个社会的不公正时,经常会引起读者的“共鸣”,使得人们对社会现状更加不满,进而可能威胁到社会的稳定。
网络社会安全阀安全阀可以发泄敌对情绪,转移目标,但不能解决矛盾。科塞认为,“安全阀制度的使用会导致对行动者目标的替代:他不再需要将目标放在解决令人不满意的状况上,而仅仅是要求释放由此所产生的敌意。在这种情况下,令人不满意的状况仍保持不变或变得更加严重。”就是说,社会安全阀机制可以发泄敌对情绪,转移目标,但它不能解决问题,只能缓和矛盾,不能解决矛盾。矛盾的最终的解决还需要其他方面的配合。?网络在发挥社会安全网功能时,通常也是不能完全把矛盾消除在网络上。比如,有个利益群体在网络上发出自己的正当利益诉求以求得自身状况的改善,除了在网络上得到舆论支持之外,这个群体更需要现实中改善他们的境遇。而要改善他们的境遇,可能就需要许多部门的通力合作,甚至需要相关体制的转变等等。
当今时代,网络已经成为广大群众表达心声、沟通交流、争取自身利益的重要工具,已改变了我国社会舆论的生态环境,并形成了崭新的网络舆论环境。同时,网络也是民众在相对封闭的舆论环境下发表言论、以及表达观点乃至发泄的场所。网络往往是敏感话题的集中地,管理网络应重在疏导而不是封堵,使网络充分扮演好安全阀的角色。
参考文献:
[1]肖唐镖.《研究》.上海学林出版社,2011.7.
[2]丁俊杰.《网络舆情及突发公共事件危及管理经典案例》.中共中央党校出版社,2010.12.
[3]李一.《网络行为失范》.社会科学文献出版社,2007.
网络安全分析篇9
在遮天蔽日的病毒以及黑客的袭击中,网络安全市场容量患上到大幅度晋升。二00一年是网络安全市场竞争格局突变的1年,安全产品供应商的范围已经经从一九九九年不到一0家、二000年三00余家以后,猛增到了近千家。
二00一年全世界的网络安全市场销售额是一七九亿美金,占整个it销售额的一.七九%。而网络安全服务在网络安全市场中占了至关大的比重,到达了四六.一%。从二00一年到二00六年的网络安全软件(含防火墙硬件)市场发展预测来看,二00一年的销售额是七四亿美元,而预测二00六年会到达一九四亿美元。二00一年网络安全软件市场增长是二二.六%,而总体的it市场的增长仅仅是一.一%。网络安全服务市场二00一年的市场范围是八三亿美元,二00二年整个安全服务的增长率为二六.三%,到二00五年,市场范围将到达二一0亿美元,整个安全服务市场会以平均二六.三%的增长率发展,高于总体的网络安全市场。
从二00一年我国的网络安全产品市场范围来看,防火墙硬件盘踞三八.九%,防病毒产品占二五.六%,安全产品占二三.六%,其次是防火墙软件以及加密软件产品。依据我国用户的使用习气以及心理,硬件将维持很高的增长率。而对于于中国网络安全软件市场,赛迪参谋的调查结果表明:二00一年中国网络安全软件市场销售额为一二.三亿元,比二000年增长了六一.八%,创历史新高,而且也远远高于软件市场二三.九%的增长率。二00二年国内的网络安全软件市场仍维持了高速的增长势头。由此可以看出,网络安全是整个计算机市场中最为活跃的1个增长点。
据分析,我国网络安全服务市场有二一七0万美元的市场范围,有着无比高的市场增长潜力,预计到二00六年能到达二.六五亿美元,平均增长率达六五%,高出整个网络安全产品市场的平均数。更多的厂商以及用户开始注重网络安全服务,1些成熟的如金融、电信等行业在使用网络安全产品时,也意想到要为网络安全服务付费。截止到二00一年底,中国信息安全相干的注册就有一五00多家,而有成熟产品的厂商只有近八0家。整个市场八0%的利润,只来源于二0%的厂商,因而可知,我国的众多安全产品厂商寸步难行。2、市场竞争日益剧烈
对于于国内来讲,网络安全产品市场尚属早期成长阶段,安全产品以防火墙以及杀病毒产品为主。国外厂商看准了我国网络安全潜伏庞大市场,抓紧攻城掠地。微软于二00二年三月初推出专为内地企业设计的“中国安全服务规划”,以匡助泛博企业用户提高网络管理水平、确保网络安全。三月中旬,诺基亚公司在上海举办的网络安全产品巡展上表示了进军内地网络安全市场的坚定决心。而早在二00一年就已经全面进军内地的以色列Checkpoint公司则前后为中国交通银行、工商银行等金融机构和与中国挪动等it领域客户提供网络安全服务。二00二年四月一一日,全世界第1个针对于宽带用户设计的全能型宽带网关安全装备防毒墙宽带版X二00GateLock由趋势科技公司在中国上市。来自国际数据公司iDC的调查显示,思科、网屏、美国网络同盟、安氏、冠群等著名外资网络安全厂商等均已经进入中国市场。
面对于国外公司环伺紧逼的态势,剧烈的市场竞争,国内信息安全厂商踊跃应答,1方面新品迭出,另外一方面则以更快的速度进行产品的更新换代。国内老牌杀毒软件厂商瑞星在二00二年初将网络版杀毒软件进级到二00二版,江民于二00二年四月初推出“杀毒王KV三000六.0”,金山毒霸单机版则提出了嵌入式技术。国内知名软件厂商东软随即了neteye防火墙三.一、SJw二0网络密码机及iDS二.0等系列安全产品。冠群金辰公司则通过与全世界高速网络安全解决方案的供应商topLayer网络公司合作,加强了入侵监测领域的技术以及市场地位。与此同时,国内it企业亦不断有后来者加入网络安全阵营。二00二年四月一二日著名电脑厂商方正科技团体公司与世界4大杀病毒软件公司之1的西班牙熊猫软件签署了方正科技入资熊猫中国的协定。二00二年四月初才入股上海交大的交大铭泰即与交大在信息安全软件方面进行了深刻合作。
据软件连锁组织统计,目前在我国单机版杀毒软件市场中,瑞星、江民以及金山3家包揽了九0%以上的份额,但总体信息安全市场国外企业依然盘踞主流。在网络版反病毒市场中,国际厂商维持了必定优势,目前国内厂商瑞星已经打入这1市场。在防火墙产品方面,东软、天融信在二00一年中国防火墙市场销售排名中位居民族品牌前茅,但与国外品牌相比尚处劣势。而冠群、美国网络同盟、安氏则盘踞了入侵检测市场的大部份份额。长时间以来,国内软件企业没法在技术实力、产品结构以及市场竞争力上与国外同行同场竞技,乃至在良多软件领域主流品牌中根本看不到国产软件的身影,这类情况信息安全领域比较凸起,特别是在信息安全企业级利用的高端市场上。要想很快追逐上在此领域精耕细作多年的企业如果没有多年的技术累积是不行的。3、向市场营销转型
我国的网络信息安全存在着很大的缺点,大多数的企业对于此认识不足,没有具体的网络安全防范措施以及防范意识。
有统计数字显示:在防病毒市场,国内购买杀毒软件的用户中,只有1半的人进行了注册并按期进级。这就象征着半数以上的杀毒软件没能到达效用。在反黑客市场上,用户系统的安全状态一样不容乐观。专家认为,在国内网络安全市场上,能否有效地维护信息安全、公道地选择及使用网络安全产品、制订安全管理机制、解决遇到的问题,将直接瓜葛到网络安全企业能否切实为用户提供安全的系统保障。
网络安全分析篇10
关键词五层次;全方位;网络安全;防护
中图分类号:tp393文献标识码:a文章编号:1671-7597(2013)23-0105-01
internet起源于美国,最初应用于美国国防部高级研究计划管理局aRpa,用于美国军方信息通信,后来逐渐转为民用。
在信息技术的推动和牵引下,人类社会已由工业时代迈进信息时代。计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的,它的高速发展和全方位渗透,推动了整个社会的信息化进程。网络的机遇与挑战并存,影响网络安全的因素也日益显露。
1网络安全的需求
影响网络安全的因素有很多,从宏观角度来分析,影响网络安全的方面有:物理层安全、网络层安全、系统层安全、应用层安全及管理层安全,这也与网络架构中的开放系统互连模型oSi七层结构异曲同工。
1.1物理层网络安全及需求
网络的物理安全是影响网络安全的基础,可谓是网络安全的第一道防线,它可细分为环境安全、设备安全、存储介质安全和防电磁泄漏等。其中环境安全是最重要的,而防电磁泄漏是最容易被忽视的,这两点在物理安全中应当重点考虑。
1.2网络层安全及需求
网络层安全总体目标可归纳为“进不来”、“出不去”、“拿不走”、“读不懂”、“跑不掉”。具体要求是利用计算机及通信技术,防范未经授权的人员非法访问网络资源。
非法访问网络的手段有:针对ip地址欺骗的aRp攻击、消耗大量网络资源的拒绝服务攻击、针对数据库堆栈溢出、web应用的网站篡改等。
1.3系统层安全及需求
系统安全可分为服务器系统安全和用户主机系统安全。影响安全的因素主要来自系统漏洞补丁、系统的端口及服务、主机密码、系统病毒等。
1.4应用层安全及需求
应用层安全包括应用软件安全和数据安全。应用软件安全的需求包括及时安装补丁程序,对应用程序设置的身份认证和授权访问控制机制。应用系统要具有数据备份和恢复手段,以防止系统故障而导致数据丢失。
1.5管理层安全及需求
俗话说“三分技术、七分管理”,网络安全仅用技术手段是做不到全方位的防护的,必须从管理的角度让使用网络的人懂得怎样使用网络。
2五层全方位网络防护策略
2.1物理安全防护策略
网络设计与规划之初,要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内,并与非可控区域间隔300米外,在现实条件无法满足的情况下,对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高,避免在楼顶。
在单位,重要的政府机关、机要及军政、部队网络要与互联网物理隔离,不同等级的网络之间采用最小耦合。
在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调,将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命,减少故障的发生机率。
机房的消防一定要采用气体联动消防,切勿使用水或传统的干粉,这些方法虽然可以灭火,但对设备的影响,却是不可逆的,它的影响远大于灭火本身。
2.2网络层安全防护策略
网络层安全防护应从网络拓扑结构进行分析,防护的方法是:在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据,发现违规操作后告警并阻断,形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统,利用安全审计系统对全网行为、数据库进行实时审计,通过网络分析系统抓取数据包,准确、及时定位故障,还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域,保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的aCL管理控制策略配合使用形成用户的不同域安全防护。
2.3系统层安全防护策略
对操作系统和数据库系统配置高强度用户名及密码,启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令,禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置,管理员分级分权限控制,对重要信息(文件、数据库等)进行标记,设定访问控制策略进行访问控制,开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口,利用系统组策略关闭不必要的服务。
2.4应用层安全防护策略
对重要的应用层系统及软件如www、DnS系统进行备份,可制作双机备份系统,一主一备,一旦一个系统出现故障,另一个系统自动启动,实现应用层的无缝实时切换。
数据是网络的核心,因此保护数据也是应用层安全防护的要点。最好的方法是建立异地容灾备份中心,可简称为两地三中心。本地有数据中心及备份中心,异地有容灾中心。数据备份采用光纤San网络架构,iSCSi协议与tCp/ip协议不同,两网之间不进行网络通信,保证网络的安全。
2.5管理层安全
安全的最高境界不是产品,也不是服务,而是管理。没有好的管理思想、严格的管理制度、负责的管理人员和实施到位管理程序,就没有真正的信息安全。对人员的管理和安全制度的制订是否有效,直接影响这一层的安全问题。
管理层安全包括管理制度、管理技术。管理制度须制订一系列的安全管理制度,普及安全教育,包括:用户守则的制订。管理技术包括安全理论知识的培训、对安全产品使用培训、建立安全信息分发系统、及时通报最新安全事件、建立安全论坛、交流安全技术等。
3结束语
网络安全影响因素万变不离物理层安全、网络层安全、系统层安全、应用层安全、及管理层安全这五类。物理安全是网络安全的基础,网络层安全是网络安全的关键,系统层安全是网络安全的个体体现,应用层安全是网络安全的重点,管理层安全是网络安全长治久安成效的重要保障。总之,网络安全不能脱离这五个方面的任何一个层次而谈,忽略了任何一个方面,网络安全都将会存在短板,“木桶效应”将展现。
参考文献
[1]顾昕.某内部网络安全防护系统的设计与实现[D].四川大学,2006.
[2]曾金繁.局域网网络安全防护工作剖析[J].网络安全技术与应用,2012(02).