網絡安全解決方案范文

序論：在您撰寫網絡安全解決方案時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

關鍵詞： 網絡安全；解決方案；建議

中圖分類號：P231 文獻標識碼：A 文章編號：1671－7597（2012）0610171－02

0 引言

隨著科學技術的發展，信息技術已經成為人們工作生活中必不可少的一個部分，而這種必要性使得計算機網絡更呈現突飛猛進的發展趨勢。而網絡的發展以及其伴隨而來的網絡安全問題越來越受到人們的關注，由于網絡安全所造成的嚴重損失已經有目共睹，所以如何在推廣網絡應用的同時提高網絡的安全性打造安全網絡成為廣大計算機網絡用戶關心的話題，這不但關系著網絡應用領域是否會受限，同時也關系著網絡是否能夠保持正常速度發展，以及是否能夠在現代化建設中發揮應有的作用。

1 網絡安全威脅概述

1）安全威脅的產生

主要是由于因特網的全球性、開放性、無縫連通性、共享性、動態性發展，使得網絡安全威脅從網絡誕生就一直伴隨著成長起來，而且隨著網絡發展速度不斷加快，網絡安全威脅問題也日益嚴重。而且隨著互聯網的應用領域日益廣泛，如金融、政府部門以及電子商務的盛行，使得網絡數據的安全重要性日益突出，如果網絡安全無法保障，則互聯網應用推廣必將遇到致命的瓶頸問題。如果從安全威脅的來源來看，可以將安全威脅主要分為自然威脅和人為威脅，自然威脅如天氣、環境、設備等；人為威脅如人為攻擊，通過尋找系統的弱點，以便破壞、欺騙、竊取數據等。

2）網絡安全面臨的威脅

網絡安全面臨的主要威脅可分為四個方面：即中斷、竊聽、篡改和偽造。中斷是對系統的可用性進行攻擊，如破壞計算機硬件、線路和文件管理系統等；竊聽是對系統的保密性進行攻擊，如搭線竊聽、對文件或程序的非法拷貝，包括獲取消息的內容，進行業務流分析，獲得消息的格式、通信雙方的位置和身份、通信的次數和消息的長度等；篡改是對系統的完整性進行攻擊，如修改數據文件中的數據，替換某一程序使其執行不同的功能、修改網絡中傳送的消息內容等，通常包括假冒合法實體通過防線、截獲合法數據后進行拷貝或重新發送、通信數據在傳輸過程中被改變、刪除或替代、業務拒絕即對通信設備的使用和管理被無條件的拒絕；偽造是對系統的真實性進行攻擊，如在網絡中插入偽造的消息或在文件中插入偽造的記錄等。以上所劃分的網絡安全威脅的四個方面，其實可以從一個更加通俗地角度來說明，中斷就是故意破壞對方之間的通信，而自己不需要獲取這些信息，其目的就是讓第三方也無法正確獲得這些信息；而竊聽就是不影響對方接收信息，但是希望獲知對方的通信內容，所以對于竊聽而言要講究隱蔽性，即最好的情況就是第三方之間的通信絲毫沒有覺察到他們之間的通信內容被己方所接收；篡改則更進一步，不但要竊聽到對方的通信內容，而且需要將這些信息根據己方利益最大化的原則進行修改。

3）安全業務——安全防護措施

保密業務：保護數據以防被動攻擊，保密業務流；加密機制，按照密鑰的類型不同，對稱密鑰算法和非對稱密鑰算法兩種，按照密碼體制的不同，分為序列密碼算法和分組密碼算法兩種；認證業務：保證通信的真實性，確保發送方或接收方的身份；完整性業務：防止對消息（流）的篡改和業務拒絕；不可否認業務：防止通信某一方對傳輸的否認；訪問控制：防止對網絡資源的非授權訪問，使用認證。

2 網絡安全解決方案建議

1）整體安全體系構建的幾個方面

網絡本身就是一個體系，是一個系統性的概念，在網絡通信中也涉及到多個實體或者協議，所以網絡安全涉及到多個方面，為了打造安全的網絡，就需要構建網絡安全的整體保護體系，只有這樣才能夠有效保護網絡的安全性。一般來說，網絡安全體系的構建可以從如下幾個方面加以考慮，也就是保護、檢測、響應、恢復，這四者構成了一個完整的體系，如果每一部分都能夠做好，則打造一個安全的計算機網絡不再是一句空話。保護是通過使用加解密技術、訪問控制技術、數字簽名技術，以及可驗證的信息交換過程等到方面對數據及其網上操作加以保護，保護也可以理解為對故意中斷網絡或者破壞數據的一種防護措施。檢測是對信息傳輸的內容的可控性的檢測，對信息平臺訪問過程的甄別檢測，對違規與惡意攻擊的檢測，對系統與網絡弱點與漏洞的檢測等等，如果有對網絡通信的惡意竊聽發生也需要及時檢測到。及時響應是網絡的一個重要指標，響應是在復雜的信息環境中，保證在任何時候信息平臺能高效正常運行，要求安全體系提供強有力的響應機制。無論防護措施多么嚴密，網絡安全技術如何卓越，我們都無法承諾網絡永遠不會受到破壞，所以此時有效的恢復就顯得尤為重要，恢復是指災難恢復，在系統受到攻擊的時候，評估系統受到的危害與損失，按緊急響應預案進行數據與系統恢復，啟動備份系統恢復工作等。

2）保障物理安全

物理安全是最基本的，如果硬件發生故障或者被破壞，其他一切網絡安全保護措施都成為無源之水，所以網絡的物理安全保障是整個網絡安全保障體系的基石。物理安全是用來保護計算機硬件和存儲介質的裝置和工作程序，物理安全防護包括防盜、防火、防靜電、防雷擊和防電磁泄漏等內容。屏蔽是防電磁泄漏的有效措施，屏蔽主要有電屏蔽、磁屏蔽和電磁蔽三種類型。

3）整體部署

網絡安全解決方案涉及安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術、認證和數字簽名技術、VPN技術等多方面的安全技術。在整個體系中的每一個部分，都是具有特定的功能需求，都是針對某一種安全需要而采取的安全措施。下面以一個實際的安全解決方案為例，建立網絡安全防護體系。

在網關位置配置多接口防火墻，根據功能作用不同，將整個網絡劃分為外部網絡、內部網絡、DMZ區等多個安全區域，由于工作主機在整個網絡中處于核心地位，而且主機如果發生安全問題將產生重要影響，所以將工作主機放置于內部網絡區域可以更有效地保護主機的安全，將Web服務器、數據庫服務器等服務器放置在DMZ區域，其他區域對服務器區的訪問必須經過防火墻模塊的檢查，這就相當于在服務器區提供了加固的安全作用。在中心交換機上配置基于網絡的IDS系統，監控整個網絡內的網絡流量，這是由于網絡流量的異常也是網絡是否安全是否受到攻擊的一個重要特征。在DMZ區內的重要服務器上安裝基于主機的IDS系統，對所有對上述服務器的訪問進行監控，并對相應的操作進行記錄和審計，這可以對故障診斷提供有效的輔助。

4）具體部署

下面對上一步中整個網絡安全體系中各個部分的具體配置進行介紹。防火墻設備，防火墻是用來連接兩個網絡并控制兩個網絡之間相互訪問的系統。包括用于網絡連接的軟件和硬件以及控制訪問的方案。這類防范措施可以只用路由器實現，可以用主機、子網、專用硬件來實現。所有在內部網絡和外部網絡之間傳輸的數據必須通過防火墻；只有被授權的合法數據即防火墻系統中安全策略允許的數據可以通過防火墻；防火墻本身不受各種攻擊的影響。在本方案中選用的防火墻設備是CheckPoint FireWall-1防火墻。FireWall-1功能特點有對應用程序的廣泛支持；集中管理下的分布式客戶機/服務器結構；遠程網絡訪問的安全保障（FireWall-1 SecuRemote）。

防病毒設備。在本方案中防病毒設備選用的是趨勢科技的整體防病毒產品和解決方案，包括中央管理控制、服務器防病毒和客戶機防病毒三部分，這對于抵擋當前已知的絕大部分病毒已經非常有效，而且由于防病毒產品的更新服務，所以只要在實際應用中時刻保持病毒庫版本為最新就可以保證系統的安全。

入侵監測設備就是為了當有入侵行為發生時系統可以及時獲悉，在本方案中入侵監測設備采用的是NFR入侵監測設備，包括NFR NID和NFR HID。NFR把基于網絡的入侵檢測技術NID和基于主機的入侵檢測技術HID完美地結合起來，構成了一個完整的，一致的實時入侵監控體系。

SAP身份認證設備對于任何系統的安全都是必不可少的，也是保障系統安全的基本措施。本方案采用的身份認證設備是Secure Computing的SafeWord。SafeWord具備分散式運作及無限制的可擴充特性。

3 結論

網絡安全是一個常說常新的話題，隨著攻防不斷升級，網絡攻擊入侵手段和網絡安全保護技術手段都更加先進，所以網絡的安全防護是一場沒有終點的戰役，只有時刻保持對網絡安全的高度重視，采用先進的網絡安全防護技術才有可能打造一個安全的網絡，本文對于網絡安全保障的一些措施希望能夠為網絡安全防護提供一些借鑒。

參考文獻：

[1]陳丹丹，網絡釣魚與網絡安全初探，消費電子，2012年，第5期.

[2]王志剛，淺談計算機網絡安全現狀及對策，今日財富（金融發展與監管），2012年，第4期.

[3]王麗云，初中校園網絡安全分析和策略，今日財富（金融發展與監管），2012年，第3期.

第2篇

【關鍵詞】網絡；安全；技術防范；對策

【中圖分類號】TP393.08 【文獻標識碼】B 【文章編號】1672-5158（2013）01―0445―02

引言

近年來，隨著經濟社會的快速發展，互聯網得到快速增長，互聯網的應用領域不斷擴張，已經從傳統領域拓展到非傳統領域，而且影響力越來越大。據中國互聯網絡信息中心（CNNIC）近期的《中國互聯網絡發展狀況統計報告》顯示：截至2012年12月底，手機網民數量為4.2億，中國網民數達到5.64億，全年新增網民5090萬人，普及率為42.1%；微博用戶規模為3.09億，較2011年底增長了5873萬。域名總數為1341萬個，其中“.CN”域名總數為751萬，“.中國”域名總數為28萬。中國網站總數（即網站的域名注冊者在中國境內的網站數）回升至268萬個（去年底只有183萬）。網絡安全從大的方面講，關系國家安全、社會穩定；從小的方面講，網絡安全涉及個人信息安全、財產安全，因此，積極研究探討適應新形勢發展要求的網絡安全方案，對確保網絡安全，提升網絡服務質量具有十分重要的現實意義。

1 加強網絡安全的現實意義

隨著信息化技術的不斷發展，網絡已經成為一種聯通各地、各個領域的重要基礎設施，計算機網絡的發展為人們的生產、生活、工作帶來了極大便利，拉近了全球的距離。但在看到網絡給人們帶來便捷的同時，還要清醒地認識到網絡作為一個面向公眾的開放系統，如果網絡安全意識不強、網絡安全防范措施不力，就會產生網絡安全隱患。特別是隨著信息網絡技術的飛速發展，網絡得到廣泛普及和應用，應用層次不斷深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，已經被行政部門、金融機構、企業廣泛應用，網絡在這些領域的廣泛應用，也進―步加大了網絡安全的風險。如何保持網絡的穩定安全，防止諸如黑客攻擊、非正常入侵等安全問題的發生，是一項重要任務。

由于網絡系統結構復雜、涉及終端眾多、系統開放，網絡系統面臨的威脅和風險比較多，歸納起來主要來自外部的人為影響和自然環境的影響，這些威脅有的是對網絡設備的安全運行存在威脅，有的是對網絡中的信息安全存在威脅。這些威脅的集中起來主要有：非法授權訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統正常運行，修改或刪除數據等。這些威脅一旦成為現實，將對網絡系統產生致命的影響，嚴重的可能會導致系統癱瘓，傳輸信息被非法獲取和傳播，會給相關機構和網絡用戶造成不可挽回的損失。

在網絡快速發展的新形勢下，全面加強網絡安全建設，提升網絡安全等級，對確保和維護網絡用戶利益，維護單位整體形象都具有十分重要我。特別是在當前，終端用戶往往會在終端中存儲大量的信息資料，工作手段也越來越依賴于網絡，一旦網絡安全方面出現問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補的巨大損失，因此，積極研究探索與網絡發展同步的網絡安全解決方案，全面加強網絡安全建設，是各級網絡管理部門及用戶的重要職責，必須要高度重視，扎實推進。

2 信息系統安全威脅與風險分析

認真分析信鼠系統安全威脅與存在的風險，是進行風險管理、制定網絡安全方案的前提和基礎。通過進行有效的系統安全威脅與風險分析，可以幫助相關機構和用戶選擇合作的控制措施來降低風險。

2.1 物理安全風險分析

網絡物理安全是整個網絡系統安全的前提，相關的物理安全風險主要有：地震、水災、火災等環境事故造成整個系統毀滅；電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失；設備被盜、被毀造成數據丟失或信息泄漏；電磁輻射可能造成數據信息被竊取或偷閱；報警系統的設計不足可能造成原本可以防止但實際發生了的事故。

2.2 鏈路傳輸風險分析

網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網上傳輸的重要數據，再通過一些技術讀出數據信息，造成泄密或者做一些篡改來破壞數據的完整性；以上種種不安全因素都對網絡構成嚴重的安全危脅。

2.3 網絡結構的安全風險分析

來自與公網互聯的安全危脅，基于Internet公網的開放性、國際性與自由性，內部網絡將面臨更加嚴重的安全危脅。一些黑客會制造病毒透過網絡進行傳播，還會影響到與本系統網絡有連接的外單位網絡；影響所及，還可能涉及法律、金融等安全敏感領域。

內部網絡與系統外部網互聯安全威脅。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。惡意攻擊，入侵者通過發送大量PING包對內部網重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

內部局域網的安全威脅。據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構；安全管理員有意透露其用戶名及口令；內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。這些都將對網絡安全構成嚴重威脅。

2.4 系統的安全風險分析

系統的安全往往歸結于操作系統的安全性，決定于網絡操作系統、應用系統的安全性。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，系統本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。因此，必須要高度重視系統的安全風險，科學進行系統安全配置，從而有效降低系統風險。

2.5 應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。比如由于資源共享、使用電子郵件系統、受病毒侵害、數據信息被非法竊取，篡改等，這些都是應用層面應當防范的安全風險。

2.6 管理的安全風險分析

內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。機房存在惡意的入侵者，內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑，甚至破壞。一些網絡系統管理由于責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

3 網絡安全解決方案

可以通過配置諸如：標識、密鑰管理、安全管理、系統保護、鑒別、授權、訪問控制、抗抵賴、受保護通信、入侵檢測與抑制、完整性證明、恢復安全狀態、病毒檢測與根除等技術類安全控制來有效防止給定類型的風險與威脅；通過建立相關的安全管理機制，實現管理在的安全控制；通過建立一整套嚴謹的控制指南，實現操作類的安全控制，從而實現信息系統安全控制。

3.1 做好物理防護

保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。要嚴格按照相關標準建設網絡，防止人為降低建設標準。確保設備安全，采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

3.2 確保系統安全

要認真判斷網絡拓撲結構是否合理；線路是否有冗余；路由是否冗余，防止單點失敗等。工行網絡在設計時，比較好的考慮了這些因素，可以說網絡結構是比較合理的、比較安全的。對于操作系統要盡可能采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件，對使用權限進行嚴格限制；加強口令字的使用，增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令，并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描，發現其中存在的安全漏洞，并有針對性地進行對網絡設備重新配置或升級。在應用系統安全上，應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。充分利用操作系統和應用系統本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。

3.3 突出網絡安全

網絡安全是整個安全解決方案的重中之重，要從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒等方面，采取切實可行的對策措施，確保網絡安全。要嚴格落實《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》、《安全責任制度》等安全管理制度。設置虛擬子網，各子網間不能實現互訪，實現初級訪問控制。設置高等級防火墻，通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。利用防火墻并經過嚴格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風險。但是，網絡安全不可能完全依靠防火墻單一產品來實現，網絡安全是個整體的，必須配相應的安全產品，作為防火墻的必要補充。入侵檢測系統就是最好的安全產品，入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄，并按制定的策略實行響應（阻斷、報警、發送E-mail）。建立網絡掃描系統，對網絡系統中的所有操作系統進行安全性掃描，檢測操作系統存在的安全漏洞，并產生報表，并自動進行相關修復。通過預防病毒技術、檢測病毒技術、殺毒技術，實施反病毒措施，防止病毒進入網絡進行傳播擴散。

3.4 確保應用安全

應用是信息系統安全應當關注的重要內容，要通過規范用戶的行為，來實現應用安全。要嚴格控制內部員工對網絡共享資源的使用，尤其要限制共享資源的濫用，在內部子網中一般不隨意開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。適當配置資源控制，要精心設置訪問權限，并拒絕未經授權人員的登錄，減少有意或無意的案例漏洞。對數據庫服務器中的數據庫必須做安全備份，通過網絡備份系統，可以對數據庫進行遠程備份存儲。

第3篇

摘  要  隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。     關鍵詞  信息安全；pki；ca；vpn   1  引言     隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。     隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。     在下面的描述中，以某公司為例進行說明。 2  信息系統現狀 2.1  信息化整體狀況     1)計算機網絡     某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

圖1      2)應用系統     經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2  信息安全現狀     為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3  風險與需求分析 3.1  風險分析     通過對我們信息系統現狀的分析，可得出如下結論：     (1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。     (2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。     通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：     (1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。     當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。     針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。     美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。     (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。     已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。     網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。 3.2  需求分析     如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：     (1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。     (2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。     (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。     (4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。 4  設計原則     安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。 4.1  標準化原則     本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。 4.2  系統化原則     信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。 4.3  規避風險原則     安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。 4.4  保護投資原則     由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。 4.5  多重保護原則     任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 4.6  分步實施原則     由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5  設計思路及安全產品的選擇和部署     信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。 圖2  網絡與信息安全防范體系模型     信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施     證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：     身份認證(authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。     數據的機密性(confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。     數據的完整性(integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。     不可抵賴性(non-repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。 5.2  邊界防護和網絡的隔離     vpn(virtual private network)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。     通過安裝部署vpn系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程lan的安全連接。     集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。     集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3  安全電子郵件     電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。     目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions )，它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織 ( 根證書 ) 之間相互認證，整個信任關系基本是樹狀的。其次， s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4  桌面安全防護     對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。     桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。     1)電子簽章系統     利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入office系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。     2) 安全登錄系統     安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。     3)文件加密系統     文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。 5.5  身份認證     身份認證是指計算機及網絡系統確認操作者身份的過程?；趐ki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用usb key內置的密碼算法實現對用戶身份的認證。     基于pki的usb key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6  方案的組織與實施方式     網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。 圖3     因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：     (1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。     (2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。     (3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。     (4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。 7  結論     本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。     也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。 參考文獻     [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》

第4篇

關鍵詞:網絡安全威脅;安全需求;防火墻;IDS;網絡安全

中圖分類號:C913.3文獻標識碼:A文章編號:1005-5312(2010)12-0088-01

一、網絡安全概述

(一)網絡安全的基本概念

網絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現。

(二)網絡面臨的主要攻擊

⑴ 緩沖區溢出。

⑵ 遠程攻擊。

⑶ 口令破解。

⑷ 超級權限。

⑸ 拒絕服務(DDOS)。

二、安全需求

通過對網絡系統的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,

可用性: 授權實體有權訪問數據。

機密性: 信息不暴露給未授權實體或進程。

完整性: 保證數據不被未授權修改。

可控性: 控制授權范圍內的信息流向及操作方式。

可審查性:對出現的安全問題提供依據與手段。

訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。

數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏

三、網絡安全防護策略

個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:

(一)層層布防

從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。

第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。

第二個層次,是通過路由器后進入網站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內的實際安全狀態,部署網絡入侵檢測系統(IDS)。入侵檢測系統可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業務平臺的攻擊行為和內部網絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊。

第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統,防范網頁被非法篡改。

此外,還部署網絡漏洞掃描系統,定期或不定期的對接服務器區進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。

第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性。

(二)多種防護手段

我們設計的高強度安全防護措施,包括多種防護手段,即有靜態的防護手段,如防火墻,又有動態的防護手段,如網絡IDS、網絡防病毒系統。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角。

(三)防火墻系統

防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。

防火墻可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在此次的網絡系統安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制。防火墻可將網絡分成若干個區域,Trust(可信任區,連接內部局域網),Untrust(不信任區,連接Internet ),DMZ(中立區,連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區域。

(四)網絡入侵檢測系統的作用

通過使用網絡入侵檢測系統,我們可以做到:發現誰在攻擊網絡:解決網絡防護的問題(網絡出入口、DMZ、關鍵網段)。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統免受二次攻擊。

處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據。實現安全事件來源追查。 DDOS攻擊防范:通過實時監控網絡流量,及時發現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷。

四、安全服務

網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料。

五、總結

毫無疑問,安全是一個動態的問題。在做未來的計劃時,既要考慮用戶環境的發展,也要考慮風險的發展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網絡安全的解決方案從人員安全、物理層安全、邊界安全、網絡安全、主機安全、應用程序和數據安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網絡系統:

進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡。

拿不走: 使用屏蔽、防下載機制,實現對用戶的權限控制。

讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序。

改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。

走不脫: 使用日志、安全審計、監控技術使得攻擊者不能抵賴自己的行為。

參考文獻:

[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.

[2]杜宇峰.網絡安全與防護[J].電腦知識與技術.2007(18).

第5篇

關鍵詞:網絡安全;醫院網絡;防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學技術的發展和信息時代的來臨,幾乎所有的醫院都建立了信息網絡,實現了信息資源的網絡共享。但在具體建設這個醫院網絡平臺時中,往往都只重視怎樣迅速把平臺搭建起來和能夠馬上投入使用,而忽視了在醫院網絡平臺建設過程中信息安全的建設,包括如何保障醫療業務的正常進行、患者及醫生信息的合法訪問,如何使醫院網絡平臺免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經成為急需解決的問題。

1 醫院網絡安全解決方案的設計

1.1網絡方案的模型

本文研究的醫院網絡安全解決方案是采用基于主動策略的醫院網絡安全系統,它的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導下,運用防護工具(防火墻、操作系統身份認證、加密等)對網絡進行安全防護;利用檢測工具(如漏洞掃描、入侵檢測系統等等)了解和評估系統的安全狀態,檢測針對系統的攻擊行為;通過適當的反應機制將系統的安全狀態提升到最優狀態。這個過程是一個動態的、不斷循環的過程,檢測到的威脅將作為響應和加強防護的依據,防護加強后,將繼續進行檢測過程,依次循環下去,從而達到網絡安全性不斷增強的目的[1]。

根據對網絡安全的技術分析和設計目標,醫院網絡安全解決方案要解決7個實現的技術問題,分別是:數據檢測,入侵行為控制,行為分析,行為記錄,服務模擬,行為捕獲和數據融合。醫院網絡安全解決方案以P2DR模型為基礎,合理利用主動防御技術和被動防御技術來構建動態安全防御體系,根據現有安全措施和工具,在安全策略的基礎上,提出基于主動策略的醫院網絡安全方案模型,如圖1所示。

醫院網絡安全解決方案模型入侵檢測監視網絡的異常情況,當發現有可疑行為或者入侵行為時,將監測結果通知入侵行為控制,并將可疑行為數據傳給服務模擬;服務模擬在入侵行為控制的監控下向可疑行為提供服務,并調用行為捕獲對系統所有活動作嚴格和詳細的記錄;數據融合定期地從行為記錄的不同數據源提取數據,按照統一數據格式整理、融合、提煉后,一發給行為分析,對可疑行為及入侵行為作進一步分析,同時通知入侵行為控制對入侵行為進行控制,并提取未知攻擊特征通過入侵行為控制對入侵檢測知識庫進行更新,將新的模式添加進去。

1.2 防火墻隔離的設計

防火墻技術是醫院網絡安全系統中使用最廣泛的一項網絡安全技術。它的作用是防止不希望的、未經授權的通信進入被保護的內部網絡,通過邊界控制強化內部網絡的安全策略。在醫院網絡中,既有允許被內部網絡和外部網絡同時訪問的一些應用服務器(如醫療費用查詢系統、專家號預約系統、病情在線咨詢系統等),也有只允許醫院網絡內部之間進行通信,不可以外部網絡訪問的內部網絡[2]。因此,對應用服務器和內部網絡應該采用不同的安全策略。

本文研究的醫院網絡安全解決方案采用的是屏蔽子網結構的防火墻配置。將應用服務器放置在屏蔽子網機構中的DMZ區域內,由外部防火墻保護,內部網絡和外部網絡的用戶都可以訪問該區域。內部網絡除了外部防火墻的保護外。還采用堡壘主機(服務器)對內部網絡進行更加深一些層的保護。通過核心交換機的路由功能將想要進入內部網絡的數據包路由到服務器中,由包過濾原則。過濾一些內部網絡不應看到的網站信息等。內部路由器將所有內部用戶到因特網的訪問均路由到服務囂,服務器進行地址翻譯。為這些用戶提供服務.以此屏蔽內部網絡。這種結構使得應用服務器與內部網絡采用不同級別的安全策略,既實現醫院網絡的需求,也保護醫院網絡的安全。防火墻系統結構設計如圖2所示。

雖然防火墻系統能夠為醫院的網絡提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫院的網絡安全系統還采取了其他的網絡安全技術和手段來確保醫院網絡的安全。

1.3 醫療業務數據的捕獲

如果本文研究的醫院網絡安全系統不能捕獲到任何數據,那它將是一堆廢物。只有捕獲到數據,我們才能利用這些數據研究攻擊者的技術、工具和動機。本文設計的醫院安全系統實現了三層數據捕獲,即防火墻日志、嗅探器捕獲的網絡數據包、管理主機系統日志。

其中,嗅探器記錄各種進出醫院內管理網的數據包內容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數據以Tcpdump日志的格式進行存儲,這些數據不僅以后可用通過Tcpreplay進行回放,也可以在無法分析數據時,發送給別的研究人員進行分析。

防火墻和嗅探器捕獲的是網絡數據,還需要捕獲發生有管理主機上的所有系統和用戶活動。對于windows系統,可以借助第三方應用程序來記錄系統日志信息?，F在大多數的攻擊者都會使用加密來與被黑系統進行通信。要捕獲擊鍵行為,需要從管理主機中獲得,如可以通過修改系統庫或者開發內核模塊來修改內核從而記錄下攻擊者的行為。

2 醫院網絡安全解決方案的實現

2.1 防火墻系統的布置

本文研究的醫院防火墻系統采用的是屏蔽子網結構,在該結構中,采用Quidway SecPath 1000F硬件防火墻與外部網絡直接相連,通過核心交換機Quidway S6506R將屏蔽子網結構中的DMZ區域和內部網絡連接起來,DMZ區域中的各種應用的服務器都采用的是IBM xSeries 346,其中一臺作為堡壘主機使用。這臺堡壘主機起到的就是服務器的作用。防火墻根據管理員設定的安全規則保護內部網絡,提供完善的安全設置,通過高性能的醫院網絡核心進行訪問控制。

2.2 醫療業務數據捕獲的實現

本文研究的數據捕獲主要從三層進行數據捕獲。我們在網橋下運行如下命令進行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們在監視他在主機上的活動,我們采用Sebek來實現我們的目標。Sebek是個隱藏的記錄攻擊者行為的內核補丁。一旦在主機上安裝了Sebek的客戶端,它就在系統的內核級別運行,記錄的數據并不是記錄在本地硬盤上,而是通過UDP數據包發送到遠程服務器上,入侵者很難發現它的存在。

醫院的網絡安全系統數據捕獲是由內核模塊來完成的,本文研究使用這個模塊獲得主機內核空間的訪問,從而捕獲所有read()的數據。Sebek替換系統調用表的read()函數來實現這個功能,這個替換的新函數只是簡單的調用老read()函數,并且把內容拷貝到一個數據包緩存,然后加上一個頭,再把這個數據包發送到服務端。替換原來的函數就是改變系統調用表的函數指針。

本文通過配置參數決定了Sebek收集什么樣的信息,發送信息的目的地。以下就是一個linux配置文件的實例:

INTERFACE="eth0" //設定接口

DESTINATION_IP="172.17.1.2" //設定遠程服務器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設定遠程服務器MAC

SOURCE_PORT=1101 //設定源地址UDP端口

DESTINATION_PORT=1101 //設定目標地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網段有多個客戶端,則設定相同的數值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結束語

該文對醫院網絡安全的解決方案進行了較深入的研究,但該系統采用的技術也不能說是完善的,一方面因為它們也在不斷發展中,另一方面是因為設計者的水平有局限。比如醫院網絡的數據捕獲技術,它本身就是一個十分復雜的技術問題,解決的手段也是多樣的。

參考文獻:

第6篇

隨著信息高度共享，信息化程度不斷提高，給企業帶來了諸多便利的同時，網絡安全問題日趨嚴重，由外網迅速延伸至內網。從近來病毒發作的情況來看，病毒的攻擊目標沒有特定性，而且越來越隱蔽，如不提前防范，一旦被襲，網絡阻塞、系統癱瘓、信息傳輸中斷、數據丟失等等，無疑將給企業業務帶來巨大的經濟損失。

二、中小企業網絡安全解決方案

這種典型的網絡規模較小的企業平均不到50臺計算機，企業處理的信息量不是很大。

2.1 訪問控制解決方案

網絡的拓撲結構是否合理是決定網絡安全的重要環節，不同的目的子網的要求，有不同的網絡設計。把具有相同安全目的的主機劃分在同一子網之內，區別不同的安全水平。只有更好地考慮這些因素，將網絡結構存在的安全隱患將至最低。

（1）安全物理隔離。內網與互聯網直接連接是不安全的。只要是內網與互聯網直接鏈接，無論通過什么樣的手段，肯定存在著被黑客攻擊的可能。

因此，從安全角度來考慮，應該對企業計算機內網與企業計算機網絡外網之間架設一道物理屏蔽，對內部網絡中需要上因特網的用戶機器安裝物理隔離卡，從而保證內部信息不被泄露。

（2）配備防火墻。網絡安全最經濟，安全最有效措施就是防火墻。防火墻通過制定嚴格的安全策略來實施內部和外部網絡區域之間的隔離和訪問控制，單向或雙向控制的實現是通過各種信任的網絡和防火墻，可根據時間、流量的訪問控制，過濾一些不安全服務。

2.2 網絡系統解決方案

（1）網絡操作系統安全。使用更高版本的網絡操作系統，使一些不常用，不安全的應用程序和端口處于關閉狀態。對于一些保存了用戶信息和使用密鑰的文件嚴格限制，加強密碼的水平，并及時對系統漏洞補丁，不對外公開系統內部的使用情況。

（2）應用系統安全。應用服務器盡量不要打開一些不經常使用的協議和協定窗口。作為檔案服務和E―mail服務器的應用系統等，可關閉HTYP、FTP、遠程登錄服務等不常用協議。還有就是加強登錄時的密碼強度。管理者限制登陸者操作權限，限制在最小的范圍內。

2.3 入侵檢測解決方案

功能強大的反病毒反入侵的手段是入侵檢測手段，是在特定網絡環境中未經授權或惡意攻擊和入侵被識別和反應的過程。它主要有搜集資料，并分析這些信息，計算機系統是否有被違反安全策略的行為和遭到攻擊的跡象。具有監測分析用戶和系統的能力，評測系統完整的數據，對統計異常的行為進行識別，并自動收集和相關系統的修補程序，使用服務器記錄黑客的功能。入侵檢測是在不影響網絡性能的情況下的監控，是一種積極的安全保護技術，為內部和外部的攻擊提供實時保護。

但是入侵檢測設備雖然很實用，價格卻普遍偏高，如果中小企業資金允許，人員齊備的話，建議加裝入侵檢測設備，這樣可以做到防患于未然。

2.4 網絡防病毒解決方案

衡量反病毒技術是基于計算機病毒功能來判斷技術來確定病毒的類型。計算機防病毒技術在分析病毒代碼的基礎上，制定了刪除病毒程序并恢復原始文件的軟件。反病毒的具體實現方法包括網絡服務器、文件、E-mail等工作站技術進行頻繁掃描和監測。一旦發現和病毒代碼庫匹配病毒代碼，反病毒程序將采取相應措施，防止病毒進入網絡相互傳播。防病毒系統可以防止病毒侵權使用。但是，新的病毒會隨著時間的推移不斷出現。這就需要及時通過互聯網或防病毒系統更新等手段安全管理員或用戶升級。一般中小型企業大都采用windows服務器的操作系統根據國內外各種網上的反病毒軟件的綜合比較，所以本文建議采用Symantec公司Symantec系列或是微軟公司的ForeFront系列等產品。

2.5 數據備份和恢復安全解決方案

備份和恢復系統存在的目的，是盡快分發給計算機系統整體必要的數據和系統信息。備份不僅在網絡系統硬件故障或人為錯誤時起到保護，在黑客的網絡攻擊時起到保護作用，也同時作為一個系統崩潰恢復的先決條件。

這個解決方案我們使用Symantec Ghost，Ghost備份和恢復系統具有以下功能：備份數據的完整性，并要備份介質的管理技巧。支持多個備份，定期自動備份，還可以設置備份自動啟動和停止為多個文件的格式備份，支持多種日期標定方法，以保證備份的正確性，提供在線數據備份功能；支持RAID的容錯技術和圖像備份功能。由于Ghost操作簡便快捷，功能強大，所以本方案推薦使用。

第7篇

關鍵詞 網絡安全；物理隔離；地形圖保密

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）09-0179-01

1 勘察設計企業網絡現狀

勘察設計企業在設計工作中經常會用到或產生一些文件，尤其是地形圖等密級較高的文件資料。我國2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條規定：“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息網絡相連接，必須實行物理隔離”。為保護國家秘密不外泄，同時滿足信息化辦公的生產需求，目前國內勘察類企業主要采用兩種網絡架構方式。一種是設置內部辦公網絡和外部網絡，員工各自配置兩臺分別連接內外網絡的計算機，兩者完全物理隔離。這種方式建設和維護成本大，員工操控靈活度低。內部辦公網絡實現公司信息化辦公和資源內部共享等需求，外部網絡實現互聯網資料查詢和外部交流，同時嚴禁內部網絡信息向外部網絡流通。另一種設立指定的互聯網訪問區，專門人員或機構采集互聯網信息復制到內部網絡，或者設立專門的可訪問互聯網的設備或區域，這種方式實時性不好。

2 網絡隔離技術趨勢

物理隔離是網絡隔離的一種重要形式，它是通過網絡與計算機設備的空間分離來實現的網絡隔離[1]。與物理隔離不同的另一種網絡隔離方式是采用密碼技術的VPN隔離。虛擬專用網（VPN）是通過使用密碼和隧道技術、在公共網絡設施上構建的、具有專用網絡安全特性的邏輯網絡[2]。VPN隔離追求的是數據的分離或不可讀，而物理隔離強調的是設備的分離。盡管VPN的實現成本較低，但是在網絡的邊界點，隔離設備容易被攻擊，特別是來自公共網絡的拒絕服務攻擊[2]。

物理隔離網閘的思路決定了它是一種比VPN更高級的安全隔離形式，因為它是在保證必須安全的前提下，盡可能互聯互通，如果不能保證安全則完全斷開。然而，這種技術成熟的產品還是無法擺脫“擺渡”病毒的攻擊。因此，國家保密局信息系統安全保密測評中心頒發的網閘類產品檢測證書中明確注明“該產品不可用于互聯網和網絡之間的信息交換”。

3 雙網物理隔離解決方案架構

除去地形圖等國家秘密文件外，勘察設計企業商業秘密的保護也是極為迫切的要求。將操作地形圖資料的計算機與內部工作網絡和外部互聯網隔離，內外兩條網絡之間通過有效的隔離設備和網絡安全措施建立可信連接，既能滿足國家保密局對于國家秘密的保護要求，又能滿足公司內部與互聯網之間的資源共享需要。

利用物理隔離網閘安裝在工作內網核心交換機和外網核心交換機之間，對于公司內部業務使用的計算機和服務器等設備直接或通過級聯設備連接到核心交換機，公司對外交流所用計算機或外網服務器直接或通過級聯連接到外網核心交換機。內外網絡間數據訪問必須經過網閘的“擺渡”。這樣，通過內外網之間的網閘不僅實現了兩個網絡間的物理隔離，還能滿足內外網之間實時、適度、可控的內外網絡數據交換和應用服務。比如：文件交換、數據庫的數據交換與同步、HTTP/HTTPS標準訪問、FTP服務、郵件服務等。

圖1 基于網閘隔離的網絡拓撲結構

通過安全隔離網閘可以對辦公網絡到外部網之間的傳輸數據和文件嚴格執行格式和內容檢查，檢查的內容可以包括內容檢測、防惡意代碼、防泄密、文件類型控制等?？梢詫g覽器中輸入的各種關鍵詞和敏感字符串進行限制，預防內網用戶因訪問外網網站時，在瀏覽器的訪問請求中出現有意或無意泄密的可能。

在公司網絡建設中對于地形圖等高密級資料的使用必須采取單獨網絡或單機運行模式，同時出臺相應的規章制度，對地形圖資料的復制、傳遞進行嚴格的規范，并出臺相應的懲罰措施，從公司制度層面對網絡安全保密行為進行約束。

4 性能分析

物理隔離網閘通過雙主機之間的物理斷開來達到數據隔離的目的。內外主機間信息交換只能借助拷貝、鏡像、反射等非網絡方式來完成。另外，根據內外網間數據交換的具體情況還可以選擇不同流向的單向或雙向隔離網閘，實現更高級別的數據保密要求。市場上部分物理隔離網閘支持基于文件特征庫的文件類型過濾和用戶自定義關鍵字的文件內容篩查，可有效防止商業信息的無意泄漏。

應用物理隔離網閘的雙網隔離解決方案具備如下優點。

1）屏蔽了內部的網絡拓撲結構，屏蔽了內部主機的操作系統漏洞，消除了來自互聯網上對網的攻擊。

2）內部服務器不對外部網絡提供任何端口，不允許來自任何互聯網主機的主動請求，降低了自身風險。

3）通過嚴格的內容過濾和檢查機制嚴防泄密。

4）可根據需要選擇單項或雙向數據流動方向，靈活性強。

但是，采用物理隔離網閘對內部工作網絡和外部網絡進行隔離較采用VPN隔離在費用方面不占優勢，同時，涉及地形圖的計算機部分仍需單獨劃分網絡。

參考文獻

[1]網絡隔離的技術分析與安全模型應用[J].數據通信，2002（3）：23-25.