時間:2023-06-07 15:57:26
序論:在您撰寫網絡安全加固建設時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
[關鍵詞]網絡安全;校園網;防火墻
前言
東北財經大學經過不斷發展、完善的信息化歷程,完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統,隨著各類應用系統的不斷上線,逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面,承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下,無論是外部黑客入侵、內部惡意使用,還是大多數情況下內部用戶無意造成的安全隱患,都給學校的網絡安全管理工作帶來較大壓力。而同時,勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等,都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2.0標準的要求,在現有的架構下對東北財經大學校園網絡進行了安全加固設計,提升了校園網主動防御、動態防御、整體防控和精準防護的能力。
1現狀及問題
在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下,學校各類業務系統在開發時難免遺留一些安全漏洞,目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備,傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出,SQL注入、XSS、CSRF等應用層攻擊,并獲得系統管理員權限,從而進行數據竊取和破壞,對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻,尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重,如有閃失,在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬,由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景,互聯網出口將會達到15Gbps帶寬以上,原有的帶寬出口網關弊端顯露:具體包括網關性能不足,無法支持大帶寬,老舊設備無法勝任大流量的轉發工作;IPv6網絡不兼容,無法平滑升級,后續無法滿足國家政策進行IPv6改造的規劃;上網審計和流量控制功能不完善,原有網關未集成上網行為審計功能,未能完全滿足網絡安全法,保障合規上網;不支持基于應用的流量控制,帶寬出口的流量控制效果不佳;對上網行為缺乏有效管理和分析手段,針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2.0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早,目前校內數據中心的絕大部分已經實現了虛擬化,主要業務系統均在虛擬機上運行,虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性,但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2.0的相關要求,提高東北財經大學數據中心的整體安全防護與檢測能力,需要在以下幾個方面進行安全建設:(1)構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力,減少威脅的攻擊面和漏洞暴露時間。(2)加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅,需要增強內網的持續檢測和外部的安全風險監測能力,主要技術手段包括:網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。(3)形成全網流量與行為可視的能力。優化帶寬分配,提升師生上網體驗;過濾不良網站和違法言論,保障學生健康上網和安全上網;全面審計所有網絡行為,滿足《網絡安全法》等法律法規要求;在網絡行為可視可控的基礎之上,需要進一步形成校園網絡全局態勢可視的能力。
2網絡安全加固技術方案
按原有拓撲,將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域,并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接;校園網出口區域有多條外網線路接入,合計帶寬7Gb,為校園網提供互聯網及教育網資源訪問服務;數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群,承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統;運維管理區域主要負責對整體網絡進行統一安全管理和日志收集;校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網,存在大量PC終端供學校師生使用;另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻,開啟IPS、WAF、僵尸網絡檢測等安全防護模塊,構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力,能夠實現基于IP地址、源/目的端口、應用/服務、用戶、區域/地域、時間等元素進行精細化的訪問控制規則設置;提供專業的漏洞攻擊檢測與防護能力,支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護,同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測;提供專業的Web應用防護能力,針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護,同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力,全面保障Web業務安全;提供內網僵尸主機檢測能力,通過雙向流量檢測和熱門威脅特征庫結合,實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別,快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理,對校園網出口流量進行全面管控,上網行為管理設備部署在核心交換機和出口路由器之間,所有流量都通過上網行為管理處理,實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能,設備提供IPv4/IPv6雙棧協議兼容,有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計,設備選型必須能夠全面識別各種應用:(1)支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術;(2)擁有強大的應用識別庫;(3)識別并過濾HTTP、FTP、mail方式上傳下載的文件;(4)深度內容檢測:IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等;(5)通過P2P智能識別技術,識別出不常見、未來可能出現的P2P行為,進而封堵、流控和審計。通過強大的應用識別技術,無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時,也要提供網絡流量可視化方案,管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況(包括DOS攻擊、ARP欺騙等)等信息,直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計,借助圖形化報表直觀顯示統計結果等,幫助管理員了解流量用戶排名、應用排名等,并自動形成報表文檔,全面掌控用戶網絡行為分布和帶寬資源使用等情況,了解流控策略效果,為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能,通過多線路復用及帶寬疊加技術,復用多條鏈路形成一條互聯網總出口,提升整體帶寬水平。再結合多線路智能選路專利技術,將網流量自動匹配最佳出口。具備全面的合規審計及管控功能,支持對內網用戶的所有上網行為進行審計記錄,滿足《網絡安全法》的要求,能有效防范學生網上不良言論、訪問非法網站等高風險行為,規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端,針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力,打通物理服務器、Vmware集群和超云集群,進行統一的主機/虛擬機邏輯安全域劃分,同時實現云內流量可視、可控,滿足等保2.0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力,實現全網風險可視,展示全網終端狀態分布,顯示當前安全事件總覽及安全時間分布全網終端安全概覽,支持針對主機參照等級保護標準進行安全基線核查,快速發現不合規項。部署于每臺VM上的端點agent,能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應,EDR與虛擬化底層平臺解耦合,解決多虛擬化環境下的兼容性問題,構建動態安全邊界。構建多維度漏斗型檢測框架,EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎,從多維度全面發現各類終端威脅。
3結語
通過該方案,提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力,簡化運維壓力,可以極大降低運維的復雜度,提升安全治理水平,達到了設計要求。
參考文獻
[1]李鍇淞.對于校園網絡建設及網絡安全的探討[J].數字通信世界息,2019(8).
[2]李鍇淞,鄒鵬.高校校園網合作運營探索[J].網絡安全和信息化,2019(9).
[3]臧齊圣.淺談校園網絡安全防控[J].計算機產品與流通,2019(9).
[4]王巖紅.高校校園網安全現狀及優化探討[J].網絡安全技術與應用,2019(8).
關鍵詞:校園網絡;安全運維;網絡安全
隨著高校信息化建設的全面深入和快速推進,基礎網絡設施和信息應用系統日趨完備,形成了規模大、結構復雜、系統多、應用全面的網絡與信息系統架構。信息化建設項目多、任務重,在高效率、高質量完成建設任務的同時,需要保證網絡運維和信息安全運維的效果和效率,為師生提供良好的用戶體驗,這就對網絡運維提出了更高的要求和標準。網絡業務日益繁多、復雜多變,各種網絡問題層出不窮,如黑客攻擊、計算機病毒泛濫,高校園網絡運維體系面臨新的問題,能否適應新變化就顯得非常重要。建立校園網運維體系、解決校園網面臨的問題對保證高校正常的教學、科研、管理等工作有著重要意義。
1校園網絡安全運維體系架構
隨著信息化在高校的發展,硬件平臺、應用軟件、操作系統越來越復雜,難以集中管理,加之師生對網絡的高度依賴性,使得保障網絡的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網絡管理技術為當前網絡安全技術中的關鍵技術。高校校園網絡中網絡安全設備、業務系統數量眾多、結構復雜,且管理控制平臺多樣,網絡管理員需要掌握不同平臺的管理及使用方法,去管理網絡中的各種設備和系統,復雜度高;網絡管理員對應用系統的使用權限不同,難以在不同的業務應用系統中保持控制策略和用戶權限的全局一致性,管理網絡安全事件日趨復雜化。只有對所有安全設備、業務系統發生的安全事件及其運行狀態信息進行關聯分析,才能有效發現新的、更深層次的安全隱患。安全管理技術主要包括安全事件采集、安全事件管理、安全設備監控三大模塊。安全事件釆集,用于采集網絡中所有安全設備及業務應用系統等的安全日志及運行狀態,這些信息將為后續的關聯分析提供數據源,是安全管理的基礎。安全事件管理將采集得到的數據源進行關聯分析、風險評估等處理,通過分析可能的安全威脅,提交安全對象的安全報告。安全設備監控,是通過監控各關鍵網絡設備的運行狀態信息,及時發現安全問題并第一時間進行處理。
2校園網絡安全運維平臺的組成
校園網絡安全運維平臺由監控中心、安全分析中心、運維中心組成,為保證高校校園網絡的安全提供了科學合理的方法,有效保障了校園網絡的安全和穩定。監控中心,通過事件采集器收集監控對象日志信息及安全事件,經過標準化、信息過濾和關聯分析后,標記安全事件級別同時存入數據庫。安全分析中心,通過資產識別、威脅識別、脆弱性識別、評價風險、風險計算等過程,評估校園網絡綜合資產的重要性、脆弱性以及面臨的威脅,為管理員進行決策提供依據;采用事件關聯分析算法,尋找海量事件相互關聯事件,提取出真正有價值的少量安全事件威脅,包括業務連續性威脅、數據安全威脅、攻擊威脅。運維中心,通過安全預警管理接收業務系統防護平臺產生的自動安全預警信息或人工預警信息,再進行分級處理,并按規定的通知模板將預警信息傳達給相關人員,并運用系統安全策略進行準確的預警,其中系統安全策略由告警的觸發條件、分析規則、風險策略、設施管策略、存儲策略等組成。
3安全運維的內容
3.1安全巡檢
定期對校園網絡安全設備的日志進行深入分析和審計,包括對防火墻、IDS、防病毒系統、動態口令認證、日志分析系統等的運行狀態、運行事件、日志和關鍵配置文件進行收集、分析,并形成相應的安全建議。安全巡檢內容如下:(1)制訂安全設備巡檢計劃和巡檢規范;(2)定期對網絡安全設備進行巡檢;(3)分析和解決在巡檢中發現的問題;(4)提交巡檢報告。
3.2漏洞掃描
通過漏洞掃描可以全面、準確發現校園網絡中各系統存在的安全隱患及可能被攻擊的方式,掌握信息系統的安全現狀,為進一步保證建設校園網絡的安全提供了數據參考和實際的依據,具有指導校園網絡安全建設的作用。對信息系統進行標準的安全探測是漏洞掃描采用的主要技術手段,通過安全探測可以發現網絡和系統潛在的安全隱患和薄弱環節。通過漏洞掃描設備、安全評估工具以掃描的方式對整個校園網中的信息系統、網絡設備和安全設備進行安全掃描,從校園內網和校園外網絡兩個不同的網絡環境來探測校園網絡結構、網絡設備部署、服務器主機配置、數據庫管理員賬號/口令等校園網絡對象目標存在的漏洞、安全風險和潛在的威脅。漏洞掃描有利于發現系統層、網絡層、應用層的安全問題。(1)系統層安全。各網絡設備、安全設備、服務器的操作系統,主要存在操作系統自身的漏洞、風險和威脅,主要包括用戶名、密碼管理、訪問權限分配和控制、系統漏洞等,以及操作系統的安全配置不夠完善,存在被攻擊的可能。(2)網絡層安全。網絡信息是網絡層的主要安全問題,包括身份認證,控制不同身份對網絡資源的訪問、傳輸過程中的信息數據保密性與完整性、校外網絡遠程接入、入侵檢測的發現及處理手段等。(3)應用層安全。應用軟件和數據的安全性是應用層安全考慮的主要方面,主要有:學工系統、門戶網站、教務系統、數據庫系統、Web應用服務、電子郵件系統、防火墻及WAF系統及其他網絡應用服務系統等。掃描流程如圖1所示:
3.3安全加固
針對巡檢、漏洞掃描、安全評估過程中發現的各種安全隱患、系統漏洞,通過補丁升級、漏洞修復、進行更加嚴格的安全配置、校園網絡系統架構優化與調整、安全策略升級與完善等方式及時對系統進行安全加固,范圍可覆蓋資產梳理、終端檢查、物理檢查、管理體系優化、人工檢查、漏洞掃描結果加固、滲透測試結果加固(涉及數據庫加固),提高校園網絡的安全性、抗攻擊和防病毒入侵能力,降低網絡安全事件發生的可能性。采用基本安全配置定期檢測和優化,提高各系統、設備的密碼復雜度及修改密碼,系統漏洞檢測、修復處理,訪問控制策略完善配置,安全的遠程接入方式,開啟文件系統的審計策略,開啟系統日志記錄并定期進行分析,定期升級操作系統及更新安裝補丁等手段對校園網絡進行安全加固。加固完成后,定期對校園網絡的安全性進行評估,確保校園網絡中各業務系統、網絡設備、安全設備具有較高的安全性和抗攻擊能力。加固流程如圖2所示:
4結語
科學合理成體系的校園網絡安全運維能有效緩解校園網絡面臨的風險問題,將網絡安全事件從傳統的事后處理逐漸轉變為事前防范,能極大提高網絡運維和安全管理水平,增強校園網絡的安全性,提供更好的用戶體驗,從而實現安全、穩定、抗風險能力強的校園網絡環境。
參考文獻
[1]莊天天.安全運維平臺關鍵技術的研究與實現[D].北京:北京郵電大學,2013.
[2]吳京偉.大學校園網絡運維體系研究[D].合肥:合肥工業大學,2009.
[3]張先哲.信息系統安全運維管理平臺建設研究[J].軟件工程師,2015(5):38-39.
《美軍2013財年信息技術與網絡安全項目的預算需求》中闡述了國防部信息環境、聯合信息環境、加固網絡、數據中心的建設、購買設備、企業級服務與信息技術管理、網絡安全、信息技術投資計劃、人力建設、電磁頻譜等十個方面的建設需求,其中的五個方面則是重中之重。
美國國防部2013財年的信息技術預算需求大約為370億美元,比2012財年的預算略微減少。這些資金被投資到6000多個遍布全球的軍事基地,支持3個部、40多個局以及戰場上的獨特需求與任務。下面詳細介紹美軍2013財年信息技術和網絡安全建設的五大發展重點。
五大發展重點
從《美軍2013財年信息技術與網絡安全項目的預算需求》可以發現,美軍2013財年信息技術和網絡安全建設的重點放在聯合信息環境、數據中心、企業化服務、網絡安全和加固網絡等五個方面。
聯合信息環境
聯合信息環境是一個單一、安全、可靠、高效和靈活的指揮、控制、通信和計算機計劃,可被聯合部隊的任務合作伙伴在幾乎所有軍事行動、梯隊和環境中廣泛使用。美軍2013財年聯合信息環境建設的目標主要有兩個:一是使國防部更有效、更安全、更好地彌補弱點,更好地應對網絡威脅;二是簡化、集成信息系統,實現信息系統的標準化、自動化,減少國防部信息技術基礎設施的相關費用。
國防部的信息主管正在指揮著聯合信息環境相關計劃的實施,也同聯合參謀部、各軍種及國防部其他部門互相合作,以更快速地全面實現國防部信息技術現代化。國防部正在使用情報委員會的信息技術現代化手段來輔助聯合信息環境計劃。一個由來自國防部專家組成的小組正在構思實現途徑,制定實現計劃與項目時間表,并進行經費預算。在2013財年,美軍強調項目必須集成網絡安全,從操作系統的配置到系統進入控制,到全方位防御系統,到網絡入侵探測與診斷。
美軍將繼續通過國防信息系統局的Forge.mil與RACE軟件開發環境,以及通過與研發平臺匹配的集成測試與安全評估能力,加速平臺的研發、質量控制、網絡安全評估。
數據中心
美軍非常重視信息技術標準建設,目前國防部的信息主管在軍種與國防信息局的配合下為數據中心建立設計的標準,堅持非保密網絡、保密網絡、物理隔絕網絡、加密隔絕網絡都執行同樣標準。這種標準網絡建設,再加之更多的信息服務,使國防部數據中心的數量相應減少。
美軍2013財年重點將現有數據中心合并為三類數據中心:第一類為核心數據中心,用于國防部各部門都可以使用的信息服務與應用,以及用于國防部與工業部門、公眾交互的對外服務與應用;第二類為地區性數據中心,主要用于滿足終端用戶的信息服務與應用需求;第三類為部署在戰場前方的前方數據中心,此類數據中心很靈活,可以存放地區性與全局性的服務與信息,適合各種任務情況,速度更快,網絡可靠性更好。
這些數據中心的服務器將普遍高度虛擬化,這樣可以更靈活地加入新的信息服務,提供最大的使用效率。
企業化服務
目前,國防部的信息主管正在同五角大樓的高層領導一起合作,以確保對信息技術投資進行企業化管理,使一些信息中心靈活地交付信息能力與解決方案。
此外,在實施企業化方案的過程中,美軍也在不斷解決有時出現的框架結構等方面的問題。例如,國防信息主管辦公室為國防部起草了“云計算”戰略,并將與軍事部門、國防信息系統局以及其他部門與生產廠家一起合作來實施該戰略,以更好地優化未來的信息基礎設施與應用。
網絡安全
2013財年信息技術與網絡安全項目預算中,大約34億美元用于國防網絡安全,與2012財年基本相當,主要用以消除信息、信息系統與網絡已知的脆弱性,使國防部與國家更好地應對網絡威脅。
美軍2013財年制定了網絡安全工作的五個重要目標:第一個目標是當面對強敵發起網絡戰的時候,國防部信息基礎設施用戶,包括國防部的合作伙伴,擁有可靠的關鍵信息與信息基礎設施;第二個目標是確保與任務需要的任何伙伴之間實現快速、安全的信息共享,而且信息足夠豐富,對于執行任務是有效的;第三個目標是保護美軍重要、保密的信息;第四個目標是確保任務指揮官可以隨時進入網絡空間;第五個目標是確保國防部采用的技術具有靈活性。
重構國防部的網絡是聯合信息環境的核心支柱之一,以使國防部擁有一個統一的、滿足不同安全需求的聯合網絡體系。目前,美軍正在制定這種聯合信息環境要素的工程技術細節與體系結構細節。這將提供更加統一的網絡防御,并將使網絡司令部可以通過計算機掌握全局,防止黑客入侵在網絡中蔓延,提高聯合作戰的互操作性與相互依賴性。
加固網絡
加固網絡主要有以下內容。
可靠的兼容性評估解決方案美軍在2012年購買了一種名為“可靠的兼容性評估解決方案”的商業工具,使用這種工具可以掃描計算機的漏洞,然后做出報告并進行修復。這種工具正在進行最終測試,將于2013年夏天部署,預計各部門將在未來18個月部署與應用。
基于主機的安全系統
目前,美軍國防部在每一臺與非保密網絡、保密網絡連接的電腦上安裝“基于主機的安全系統”工具。這種工具可以發現并報告漏洞,防止某些類型的網絡入侵,探測到其他入侵并作出反應,提高了國防部網絡加固、態勢感知、網絡入侵探測、診斷與反應能力。2013財年申請的網絡安全資金繼續用于部署與保障新的“基于主機的安全系統”,以更好地加固計算機,提供持續自動監督計算機配置的能力,更好地改善國防部人員與設備身份管理能力。
公鑰基礎設施身份識別
美軍網絡加固工作的另一個關鍵部分是去除網絡匿名。美軍計劃在國防部非保密網絡中使用公鑰基礎設施身份識別,2012年美軍完成向50萬人公鑰基礎設施身份識別,2013年3月份美軍將使用這些身份證。這不僅可以幫助美軍改善信息使用責任制,也可以與政府各部門合作,使跨部門共享更加安全信息。
值得信任國防系統/供應鏈風險管理 美軍認識到盡管先進的商業技術可以為國防部帶來眾多好處,但是也為國外惡意分子通過插入惡意程序來獲取、改變數據,截取、阻止通信并危及供應鏈安全提供了機會。為了應對這些風險,國防部正在使值得信任國防系統/供應鏈風險管理制度化,同時國防部也正在與其他部門合作研究管理關鍵基礎設施中防范供應鏈風險的方法。
國防工業基地網絡安全與信息確保項目 由國防部信息主管監督的國防工業基地網絡安全與信息確保項目是國防部另一個重要成果。該項目為政府一工業部門的合作伙伴關系提供網絡安全方面的標準,也為網絡安全提供一種系統方法,包括政府間保密威脅信息的共享、工業部門數據的共享、搶救與修復策略的共享、網絡入侵損害評估。盡管不能徹底消除威脅,但是這一項目增強了每個國防工業基地參與者消除風險的能力,進一步保護了在國防工業基地保密網絡上存儲或傳輸信息的安全。
美軍在項目進程中積累的經驗
信息技術采辦的標準化為美軍節約大量經費
為了解決由于國防部“煙囪式”信息體系(“煙囪式”信息體系是指數據直接從各個數據源被直接抓取到目的地,中間不留任何縫隙)而產生的問題,美軍重點改革國防部3個核心過程:提需求、預算與采辦。
國防部信息主管辦公室與主管軍官的辦公室緊密合作制定一種靈活、快捷的采辦程序,美軍通過企業化軟件計劃,10年期間總共節省了30億美元。美軍的信息體系戰略與路線圖強調了將購買硬件、軟件與服務作為提高效率的主要手段。通過共享國防部中各個組織的購買協議,美軍大大減少了中介的數量,進一步優化、理順了信息技術采購過程??梢哉f,正是由于美軍注重信息技術與設備從需求、預算到采辦的全程合作與規范,才大大縮減了經費開支。
智能網絡入侵監測系統將提高美軍的網絡防御能力
美軍明確提出要通過“可靠的兼容性評估解決方案”、“基于主機的安全系統”等5項工作來提高其加固網絡、態勢感知、網絡入侵探測、診斷與反應能力。美軍計劃未來幾年逐步從“可靠的兼容性評估解決方案”與“基于主機的安全系統”來收集關于國防部每臺計算機的配置信息,并使用這些信息自動生成可供各級指揮官使用的任務風險數值。指揮官可以使用這些信息與風險數值來修復漏洞,更好地了解到底哪些任務存在漏洞。這些智能入侵監測系統的應用將會大大縮短美軍監測網絡入侵的時間,提高美軍應對網絡入侵的反應效率。
聯合信息環境將為美軍提供一體化平臺
商城縣公安局網監大隊:
我院在接到貴單位發來的《信息系統安全等保限期整改通知書》后,院領導高度重視,責成信息科按照要求進行整改,現在整改情況報告如下。
一、我院網絡安全等級保護工作概況
根據上級主管部門和行業主管部門要求,我院高度重視并開展了網絡安全等級保護相關工作,工作內容主要包含信息系統梳理、定級、備案、等級保護測評、安全建設整改等。我院目前運行的主要信息系統有:綜合業務信息系統。綜合業務信息系統是商城縣人民醫院核心醫療業務信息系統的集合,系統功能模塊主要包括醫院信息系統(HIS)、檢驗信息系統(LIS)、電子病歷系統(EMRS)、醫學影像信息系統(PACS),其中醫院信息系統(HIS)、檢驗信息系統(LIS)、電子病歷系統(EMRS)由福建弘揚軟件股份有限公司開發建設并提供技術支持,醫學影像信息系統(PACS)由深圳中航信息科技產業股份有限公司開發建設并提供技術支持。
我院已于2018年11月完成了綜合業務信息系統的定級、備案、等級保護測評、專家評審等工作,系統安全保護等級為第二級(S2A2G2),等級保護測評機構為河南天祺信息安全技術有限公司,等級保護測評結論為基本符合,綜合得分為76.02分。在測評過程中,信息科已根據測評人員建議對能夠立即整改的安全問題進行了整改,如:服務器安全加固、訪問控制策略調整、安裝防病毒軟件、增加安全產品等。目前我院正在進行門戶網站的網絡安全等級保護測評工作。
二、安全問題整改情況
此次整改報告中涉及到的信息系統安全問題是我院于2018年11月委托河南天祺公司對醫院信息系統進行測評反饋的內容,主要包括應用服務器、數據庫服務器操作系統漏洞和Oracle漏洞等。針對應用服務器系統漏洞,我院及時與安全公司進行溝通,溝通后通過關閉部分系統服務和端口,更新必要的系統升級包等措施進行了及時的處理。針對Oracle數據庫存在的安全漏洞問題,我們與安全公司和軟件廠商進行了溝通,我院HIS系統于2012年底投入使用,數據庫版本為Oracle 11g,投入運行時間較早,且部署于內網環境中未及時進行漏洞修復。
經過軟件開發廠商測試發現修復Oracle數據庫漏洞會影響HIS系統正常運行,并存在未知風險,為了既保證信息系統安全穩定運行又降低信息系統面臨的安全隱患,我們主要采取控制數據庫訪問權限,切斷與服務器不必要的連接、限制數據庫管理人員權限等措施來降低數據庫安全漏洞造成的風險。具體措施為:第一由不同技術人員分別掌握數據庫服務器和數據庫的管理權限;第二數據庫服務器僅允許有業務需求的應用服務器連接,日常管理數據庫采用本地管理方式,數據庫不對外提供遠程訪問;第三對數據庫進行了安全加固,設置了強密碼、開啟了日志審計功能、禁用了數據庫默認用戶等。
我院高度重視網絡安全工作,醫院網絡中先后配備了防火墻、防毒墻、入侵防御、網絡版殺毒軟件、桌面終端管理等安全產品,并正在采購網閘、堡壘機、日志審計等安全產品,同時組建了醫院網絡安全小組,由三名技術人員負責網絡安全管理工作,使我院網絡安全管理水平大幅提升。
“沒有網絡安全,就沒有國家安全”。作為全縣醫療救治中心,醫院始終把信息網絡安全和醫療安全放在首位,不斷緊跟醫院發展和形勢需要,科學有效的推進網絡安全建設工作,并接受各級主管部門的監督和管理。
關鍵詞:等級保護;網絡安全;信息安全;安全防范
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)19-4433-03
隨著我國國際地位的不斷提高和經濟的持續發展,我國的網絡信息和重要信息系統面臨越來越多的威脅,網絡違法犯罪持續大幅上升,計算機病毒傳播和網絡非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木馬間諜程序、網絡釣魚技術、黑客病毒技術等技術進行網絡詐騙、網絡盜竊、網絡賭博等違法犯罪,給用戶造成嚴重損失,因此,維護網絡信息安全的任務非常艱巨、繁重,加強網絡信息安全等級保護建設刻不容緩。
1 網絡信息安全等級保護
信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。網絡信息安全等級保護體系包括技術和管理兩大部分,如圖1所示,其中技術要求分為數據安全、應用安全、網絡安全、主機安全、物理安全五個方面進行建設。
圖1 等級保護基本安全要求
1) 物理安全
物理安全主要涉及的方面包括環境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等方面。
2) 主機安全
主機系統安全是計算機設備(包括服務器、終端/工作站等)在操作系統及數據庫系統層面的安全;通過部署終端安全管理系統(TSM),準入認證網關(SACG),以及專業主機安全加固服務,可以實現等級保護對主機安全防護要求。
3) 網絡安全
網絡是保障信息系統互聯互通基礎,網絡安全防護重點是確保網絡之間合法訪問,檢測,阻止內部,外部惡意攻擊;通過部署統一威脅管理網關USG系列,入侵檢測/防御系統NIP,Anti-DDoS等網絡安全產品,為合法的用戶提供合法網絡訪問,及時發現網絡內部惡意攻擊安全威脅。
4) 應用安全
應用安全就是保護系統的各種應用程序安全運行,包括各種基本應用,如:消息發送、web瀏覽等;業務應用,如:電子商務、電子政務等;部署的文檔安全管理系統(DSM),數據庫審計UMA-DB,防病毒網關AVE等產品。并且通過安全網關USG實現數據鏈路傳輸IPSec VPN加密,數據災備實現企業信息系統數據防護,降低數據因意外事故,或者丟失給造成危害。
5) 數據安全
數據安全主要是保護用戶數據、系統數據、業務數據的保護;通過對所有信息系統,網絡設備,安全設備,服務器,終端機的安全事件日志統一采集,分析,輸出各類法規要求安全事件審計報告,制定標準安全事件應急響應工單流程。
2 應用實例
近年來衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,某醫院的核心系統按照等級保護三級標準建設信息系統安全體系,全面保護醫院內網系統與外網系統的信息安全。
醫院網絡的安全建設核心內容是將網絡進行全方位的安全防護,不是對整個系統進行同一等級的保護,而是針對系統內部的不同業務區域進行不同等級的保護;通過安全域劃分,實現對不同系統的差異防護,并防止安全問題擴散。業務應用以及基礎網絡服務、日常辦公終端之間都存在一定差異,各自可能具有不同的安全防護需求,因此需要將不同特性的系統進行歸類劃分安全域,并明確各域邊界,分別考慮防護措施。經過梳理后的醫院網絡信息系統安全區域劃分如圖2所示,外網是一個星型的快速以太交換網,核心為一臺高性能三層交換機,下聯內網核心交換機,上聯外網服務器區域交換機和DMZ隔離區,外聯互聯網出口路由器,內網交換機向下連接信息點(終端計算機),外網核心交換機與內網核心交換機之間采用千兆光纖鏈路,內網交換機采用百兆雙絞線鏈路下聯終端計算機,外網的網絡安全設計至關重要,直接影響到等級保護系統的安全性能。
圖 2 醫院網絡信息系統安全區域劃分圖
2.1外網網絡安全要求
系統定級為3級,且等級保護要求選擇為S3A2G3,查找《信息系統安全等級保護基本要求》得到該系統的具體技術要求選擇,外網網絡安全要求必須滿足如下要求:邊界完整性檢查(S3) 、入侵防范(G3) 、結構安全(G3) 、訪問控制(G3) 、安全審計(G3) 、惡意代碼防范(G3) 和網絡設備防護(G3) 。
2.2網絡安全策略
根據對醫院外網機房區域安全保護等級達到安全等級保護3級的基本要求,制定相應的網絡安全策略
1) 網絡拓撲結構策略
要合理劃分網段,利用網絡中間設備的安全機制控制各網絡間的訪問。要采取一定的技術措施,監控網絡中存在的安全隱患、脆弱點。并利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
2) 訪問控制策略
訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠連入內部網絡,那些用戶能夠通過哪種方式登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
3) 網絡入侵檢測策略
系統中應該設置入侵檢測策略,動態地監測網絡內部活動并做出及時的響應。
4) 網絡安全審計策略
系統中應該設置安全審計策略,收集并分析網絡中的訪問數據,從而發現違反安全策略的行為。
5) 運行安全策略
運行安全策略包括:建立全網的運行安全評估流程,定期評估和加固網絡設備及安全設備。
2.3網絡安全設計
根據對醫院外網安全保護等級達到安全等級保護3級的基本要求,外網的網絡安全設計包括網絡訪問控制,網絡入侵防護,網絡安全審計和其他安全設計。
1) 網絡訪問控制
實現以上等級保護的最有效方法就是在外網中關鍵網絡位置部署防火墻類網關設備,采用一臺天融信網絡衛士獵豹防火墻、一臺CISCO公司的PIX515和一臺網絡衛士入侵防御系統TopIDP。
①外網互聯網邊界防火墻:在局域網與互聯網邊界之間部署CISCO公司的PIX515百兆防火墻,該防火墻通過雙絞線連接核心交換區域和互聯網接入區域,對外網的互聯網接入提供邊界防護和訪問控制。
②對外服務區域邊界防火墻:對外服務區域與安全管理區域邊界部署一臺千兆防火墻(天融信NGFW4000-UF),該防火墻通過光纖連接核心交換機和對外服務區域交換機,通過雙絞線連接區域內服務器,對其他區域向對外服務區域及安全管理區域的訪問行為進行控制,同時控制兩個區域內部各服務器之間的訪問行為。
③網絡入侵防御系統:在托管機房區域邊界部署一臺網絡入侵防御系統,該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機,為托管機房區域提供邊界防護和訪問控制。
2) 網絡入侵防護
外網局域網的對外服務區域,防護級別為S2A2G2,重點要實現區域邊界處入侵和攻擊行為的檢測,因此在局域網的內部區域邊界部署網絡入侵檢測系統(天融信網絡入侵防御系統TopIDP);對于外網托管機房的網站系統,防護級別為S3A2G3,由于其直接與互聯網相連,不僅要實現區域邊界處入侵和攻擊行為的檢測,還要能夠有效防護互聯網進來的攻擊行為,因此在托管機房區域邊界部署網絡入侵防御系統(啟明星辰天闐NS2200)。
①網絡入侵防御系統:在托管機房區域邊界部署一臺采用通明模式的網絡入侵防御系統,該入侵防御系統通過雙絞線連接互聯網出口設備和區域匯聚交換機,其主要用來防御來自互聯網的攻擊流量。
②網絡入侵檢測系統:在外網的核心交換機上部署一臺千兆IDS系統,IDS監聽端口類型需要和核心交換機對端的端口類型保持一致;在核心交換機上操作進行一對一監聽端口鏡像操作,將對外服務區域與核心交換區域之間鏈路,以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量,鏡像至IDS監聽端口;IDS用于對訪問對外服務區域的數據流量,訪問安全管理區域的數據流量,以及訪問互聯網的數據流量進行檢測。
3) 網絡安全審計
信息安全審計管理應該管理最重要的核心網絡邊界,在外網被審計對象不僅僅包括對外服務區域中的應用服務器和安全管理區域的服務器等的訪問流量,還要對終端的互聯網訪問行為進行審計;此外重要網絡設備和安全設備也需要列為審計和保護的對象。
由于終端的業務訪問和互聯網訪問都需要在網絡設備產生訪問流量,因此在外網的核心交換機上部署網絡行為審計系統(天融信網絡行為審計TopAudit),交換機必需映射一個多對一抓包端口,網絡審計引擎通過抓取網絡中的數據包,并對抓到的包進行分析、匹配、統計,從而實現網絡安全審計功能。
①在外網的核心交換機上部署一臺千兆網絡安全審計系統,監聽端口類型需要和核心交換機對端的端口類型保持一致,使用光纖接口;
②在核心交換機上操作進行一對一監聽端口鏡像操作,將對外服務區域與核心交換區域之間鏈路,以及互聯網接入區域與核心交換區域之間鏈路進出雙方向的數據流量,鏡像至網絡安全審計系統的監聽端口;
③網絡安全審計系統用于對訪問對外服務區域的數據流量,訪問安全管理區域的數據流量,以及訪問互聯網的數據流量進行安全審計;
④開啟各區域服務器系統、網絡設備和安全設備的日志審計功能。
4) 其他網絡安全設計
其他網絡安全設計包括邊界完整性檢查,惡意代碼防范,網絡設備防護,邊界完整性檢查等。
①邊界完整性檢查:在托管機房的網絡設備上為托管區域服務器劃分獨立VLAN,并制定嚴格的策略,禁止其他VLAN的訪問,只允許來自網絡入侵防御系統外部接口的訪問行為;對服務器系統進行安全加固,提升系統自身的安全訪問控制能力;
②惡意代碼防范:通過互聯網邊界的入侵防御系統對木馬類、拒絕服務類、系統漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除;部署服務器防病毒系統,定期進行病毒庫升級和全面殺毒,確保服務器具有良好的防病毒能力。
③網絡設備防護:網絡設備為托管機房單位提供,由其提供網絡設備安全加固服務,應進行以下的安全加固:開啟樓層接入交換機的接口安全特性,并作MAC綁定; 關閉不必要的服務(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服務等), 登錄要求和帳號管理, 其它安全要求(如:禁止從網絡啟動和自動從網絡下載初始配置文件,禁止未使用或空閑的端口等)。
3 結束語
信息安全等級保護是實施國家信息安全戰略的重大舉措,也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據,在實行安全防護系統建設的過程中,應當按照等級保護的思想和基本要求進行建設,根據分級、分域、分系統進行安全建設的思路,針對一個特定的信息系統(醫院信息管理系統)為例,提出全面的等級保護技術建設方案,希望能夠為用戶的等級保護建設提出參考。
參考文獻:
[1] 徐寶海.市縣級國土資源系統信息網絡安全體系建設探討[J].中國管理信息化,2014(4).
[2] 李光輝.全臺網信息安全保障體系初探[J].電腦知識與技術,2013(33).
關鍵詞:網絡安全;風險評估;安全措施
中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2008)06-11012-01
A Survey of Network Security Risk Assessment
CHEN Jun-wei
(Dept. of Computer, Nanjing University of Posts and Telecommunications, Nanjing 210003,China)
Abstract:To assess the security condition of a network system, is one of the most important technologies in security area. In this paper, we will point out the shortcomings of the present security guard, in the discussion of the standards and measures of existing risk assessment, and propose methods and directions which are beneficial in perfecting the assessment systems.
Key words:Network security; risk assessment; security measures
1 引言
頻頻發生的信息安全事件正在日益引起全球的關注,列舉的近年來的網絡突發事件,不難發現,強化提升網絡安全風險評估意識、強化信息安全保障為當務之急。所謂風險評估,是指網絡安全防御中的一項重要技術,它的原理是,根據已知的安全漏洞知識庫,對目標可能存在的安全隱患進行逐項檢查。然后根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平提供重要依據。完成一個信息安全系統的設計與實施并不足以代表該信息安全事務的完結。隨著新技術、新應用的不斷出現,以及所導致的信息技術環境的轉變,信息安全工作人員要不斷地評估當前的安全威脅,并不斷對當前系統中的安全性產生認知。
2 網絡安全風險評估的現狀
2.1 風險評估的必要性
有人說安全產品就是保障網絡安全的基礎,但有了安全產品,不等于用戶可以高枕無憂地應用網絡。產品是沒有生命的,需要人來管理與維護,這樣才能最大程度地發揮其效能。病毒和黑客可謂無孔不入,時時伺機進攻。這就更要求對安全產品及時升級,不斷完善,實時檢測,不斷補漏。網絡安全并不是僅僅依靠網絡安全產品就能解決的,它需要合適的安全體系和合理的安全產品組合,需要根據網絡及網絡用戶的情況和需求規劃、設計和實施一定的安全策略。通常,在一個企業中,對安全技術了如指掌的人員不多,大多技術人員停留在對安全產品的一般使用上,如果安全系統出現故障或者黑客攻擊引發網絡癱瘓,他們將束手無策。這時他們需要的是安全服務。而安全評估,便是安全服務的重要前期工作。網絡信息安全,需要不斷評估方可安全威脅。
2.2 安全評估的目標、原則及內容
安全評估的目標通常包括:確定可能對資產造成危害的威脅;通過對歷史資料和專家的經驗確定威脅實施的可能性;對可能受到威脅影響的資產確定其價值、敏感性和嚴重性,以及相應的級別,確定哪些資產是最重要的;準確了解企業網的網絡和系統安全現狀;明晰企業網的安全需求;制定網絡和系統的安全策略;制定網絡和系統的安全解決方案;指導企業網未來的建設和投入;通過項目實施和培訓,培養用戶自己的安全隊伍。而在安全評估中必須遵循以下原則:標準性原則、可控性原則、整體性原則、最小影響原則、保密性原則。
安全評估的內容包括專業安全評估服務和主機系統加固服務。專業安全評估服務對目標系統通過工具掃描和人工檢查,進行專業安全的技術評定,并根據評估結果提供評估報告。
目標系統主要是主流UNIX及NT系統,主流數據庫系統,以及主流的網絡設備。使用掃描工具對目標系統進行掃描,提供原始評估報告或由專業安全工程師提供人工分析報告?;蚴侨斯z查安全配置檢查、安全機制檢查、入侵追查及事后取證等內容。而主機系統加固服務是根據專業安全評估結果,制定相應的系統加固方案,針對不同目標系統,通過打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強。
系統加固報告服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出加固報告。系統加固報告增強服務選擇使用該服務包,必須以選擇ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶。系統加固實施服務選擇使用該服務包,必須以選擇 ISMR/SSMR/HME服務包為前提,針對評估分析報告,提出系統加固報告,并將系統加固報告、加固步驟、所需補丁程序以光盤形式提交客戶,并由專業安全工程師實施加固工作。
3 網絡安全風險評估系統
討論安全評定的前提在于企業已經具有了較為完備的安全策略,這項工作主要檢測當前的安全策略是否被良好的執行,從而發現系統中的不安全因素。當前計算機世界應用的主流網絡協議是TCP/IP,而該協議族并沒有內置任何安全機制。這意味著基于網絡的應用程序必須被非常好的保護,網絡安全評定的主要目標就是為修補全部的安全問題提供指導。
評定網絡安全性的首要工作是了解網絡拓撲結構,拓撲描述文檔并不總能反映最新的網絡狀態,進行一些實際的檢測是非常必要的。最簡單的,可以通過Trackroute工具進行網絡拓撲發現,但是一些網絡節點可能會禁止Trackroute流量的通過。在了解了網絡拓撲之后,應該獲知所有計算機的網絡地址和機器名。對于可以訪問的計算機,還應該了解其正在運行的端口,這可以通過很多流行的端口發現工具實現。當對整個網絡的架構獲得了足夠的認知以后,就可以針對所運行的網絡協議和正在使用的端口發現網絡層面的安全脆弱點了。通常使用的方法是對協議和端口所存在的安全漏洞逐項進行測試。
安全領域的很多專家都提出邊界防御已經無法滿足今天的要求,為了提高安全防御的質量,除了在網絡邊界防范外部攻擊之外,還應該在網絡內部對各種訪問進行監控和管理。企業組織每天都會從信息應用環境中獲得大量的數據,包括系統日志、防火墻日志、入侵檢測報警等。是否能夠從這些信息中有效的識別出安全風險,是風險管理中重要一環。目前的技術手段主要被應用于信息的收集、識別和分析,也有很多廠商開發出了整合式的安全信息管理平臺,可以實現所有系統模塊的信息整合與聯動。
數據作為信息系統的核心價值,被直接攻擊和盜取數據將對用戶產生極大的危害。正因為如此,數據系統極易受到攻擊。對數據庫平臺來說,應該驗證是否能夠從遠程進行訪問,是否存在默認用戶名密碼,密碼的強度是否達到策略要求等。而除了數據庫平臺之外,數據管理機制也應該被仔細評估。不同級別的備份措施乃至完整的災難備份機制都應該進行有效的驗證,不但要檢驗其是否存在安全問題,還要確認其有效性。大部分數據管理產品都附帶了足夠的功能進行安全設定和數據驗證,利用這些功能可以很好的完成安全評定工作并有效的與安全策略管理相集成。攻擊者的一個非常重要目的在于無需授權訪問某些應用,而這往往是獲得系統權限和數據的跳板。事實上大部分的安全漏洞都來自于應用層面,這使得應用程序的安全評定成為整個工作體系中相當重要的一個部分。與更加規程化的面向體系底層的安全評定相比,應用安全評定需要工作人員具有豐富的安全知識和堅實的技術技能。
4 結束語
目前我國信息系統安全風險評估工作,在測試數據采集和處理方面缺乏實用的技術和工具的支持,已經成為制約我國風險評估水平的重要因素。需要研究用于評價信息安全評估效用的理論和方法,總結出一套適用于我國國情的信息安全效用評價體系,以保證信息安全風險評估結果準確可靠,可以為風險管理活動提供有價值的參考;加強我國信息安全風險評估隊伍建設,促使我國信息安全評估水平得到持續改進。
參考文獻:
[1] 陳曉蘇,朱國勝,肖道舉.TCP/IP協議族的安全架構[N].華中科技大學學報,2001,32-34.
[2] 賈穎禾.國務院信息化工作辦公室網絡與信息安全組.信息安全風險評估[J].網絡安全技術與應用,2004(7),21-24.
[3] 劉恒,信息安全風險評估挑戰[R],信息安全風險評估與信息安全保障體系建設研討會,2004.10.12.
[4] [美]Thomas A Wadlow.網絡安全實施方法.瀟湘工作室譯.北京:人民郵電出版社,2000.
[5] 張衛清,王以群.網絡安全與網絡安全文化[J].情報雜志,2006(1),40-45
[6] 趙戰生,信息安全風險評估[R],第全國計算機學術交流會,2004.7.3.
【關鍵詞】數據通信;網絡維護;網絡安全;問題分析
服務器虛擬化的互感器加密等級越高,其信息平臺防擴散效果越好。采用位串描述檢測器對計算機網絡系統的模式匹配進行檢測,從而提高網絡安全的防護等級。強化對于技術人員計算機網絡通信網絡安全管理意識的培養,操作人員應該運用計算機多進制的通信加密方式,對繁雜的信息大數據進行傳輸和有效處理,實現網絡信息系統的遠程操縱,保證服務器虛擬加密過程不受外界的攻擊。
1數據通信網絡維護分析
由于網絡中由于高速運行的過程中,往往會產生一些漏洞,這些漏洞一般是由病毒攻擊導致的。如果出現無人照看的安全漏洞系統進一步發展,就會造成整個服務器癱瘓的嚴重問題。提升數據通信網絡系統的安全性,技術人員應該定期對計算機病毒進行查殺,防止非自體的不良數據信息入侵網絡系統。建立更加安全的計算機網絡免疫系統,對非自串進行準確識別。在網站服務器搭建的過程中,針對互聯網環境分配的情況不同,使用不同的IP段地址來保證信息傳播的安全,或者使用劃分VLAN的形式,對網站信息碼流開展有效的邏輯隔離。
2數據通信網絡維護分析及網絡安全問題探討
2.1運用新的防護墻技術,開展網絡安全科學架構建設
由于計算機網絡接入層中涉及到許多的硬件設備,硬件條件的穩定可靠決定了計算機網絡的可靠程度的高低??蓪⑾噜彽膬蓚€介入交換機進行堆砌,同時將終端的服務器設備整體介入到連接線路中,再使用捆綁的形勢將諸多的設備形成一條效率更高、性能更穩定的虛擬鏈接。開展數據通信網絡狀態分析,網絡工程技術人員應該運用新的防護墻技術,開展網絡安全科學架構建設。運用轉入性防火墻技術規則結構,開展網絡訪問界面的信息過濾探索。并且,每一次登錄后臺系統,必須要采用輸入安全密鑰的方式,才能夠順利進入。采用此種登錄方式,重點在于防止閑雜人員進入系統的后臺,對網絡信息的系統安全造成破壞。運用新的防火墻技術對系統安全進行防護,網絡工程技術人員必須要使用安全操作允許的數據交換方式,進行網絡后臺系統的層層加固。在轉入性防火墻的技術保護規則之下,用戶訪問的時候需要提供本身的端口協議,采用這種信息過濾技術,能夠將不符合要求的信息進行過濾。并且,將帶有安全隱患的信息端口自動轉到其他的web控制臺進行處理。開展網絡安全系統加固操作,技術人員需要根據信息反饋進行技術規則優化。根據驗證用戶提供的端口協議進行分析,并且建立更加符合操作要求的規則協議模塊。為了更好的維護計算機安全,必須要向廣大的人民群眾普及計算機故障排除和預防方法。從社會宣傳和預防的角度來說,首先要制定強有力的計算機內部系統的法律法規,加強大眾計算機常識性教育,通過多層網絡結構有效地隔離各種故障,簡化網絡運行性,切實提高鏈接線路的使用效率和網卡介入水平。推行網絡文明和信息安全,運用新的防護墻技術,技術人員應該對網絡信息安全操作允許的系統記錄和接口進行加密,安全操作的訪問權限應該限制在網絡內部人員中使用。
2.2加強網絡環境信道測試,及時修復通信漏洞
采用信道測試的方式,對當前的網絡環境進行安全測試,能夠及時地發現安全系統中的漏洞,根據網絡系統中的安全隱患進行修復,從而顯著增強內部網絡的安全性。在網絡性能測試活動中,技術人員應該采用數據電路測試的方式,在DTE的兩端接口處,進行信道測試。使用調制解調器進行規程測試,能夠顯著提升信道測試的有效性,從而有效排除數據電路測試中的信號干擾因素。內部系統盤盡量不要與外部信息端口隨意接入,在網絡運營中必須要進行科學的網絡系統管理,如果確實需要進行外部端口接入時,一定要對其進行信息保障化處理。從網絡安全防護體系建設出發,顯著提升網絡系統的安全性。對ACL訪問方式進行控制,采用信息過濾的方式,對于不信任的訪問進行攔截,從而有效防范DOS攻擊。使用IPSEC-VPN組網方式,對數據通訊系統的安全性進行加固,從而提升數據通訊系統的數據處理能力。將NAT地址進行隱藏,從而減少黑客攻擊的命中率。采用一系列的軟件升級新技術,對網絡環境安全進行深度保障性建設。
2.3重點防范木馬攻擊,建立嚴格的網路安全檢查制度
為了提升數據通信的工作效率,維護網絡整體安全,技術人員應該對WEB安全進行防護,重點防范可能存在的木馬攻擊。對于不明來歷的儲存卡和USB設備,應該禁止將其接入到內部網絡中,防止出現數據系統感染問題。加強對于WEB系統的安全防范,經常性地檢查內部窗口是否處于正常的運轉狀態,防止網頁被惡意篡改。通常多層網絡結構中包括計算機的接入層、操作室的核心層和內部信息的分布層,從計算機網絡系統的管理方面來看,為了提高網絡的可靠性,必須要對終端接入的可靠性進行穩定。加強設備自身安全性建設,對系統進行定期的檢查,對于網絡系統的脆弱部分進行定期的優化與升級處理。建立能夠抵抗DOS和DDOS攻擊的數據通信網絡系統。核心設備的訪問方面,應該采用管理員SSL加密登錄的方式,實現業務與管理界面分離。并且登錄密碼應該采用防破解設計方式,采用固定密碼配合動態密碼的方式,提升密碼系統的安全性。
3結束語
為了適應經濟社會發展和辦公環境的需要,必須要采取合理有效的措施提高計算機網絡的可靠性.可以通過提高計算機網絡的可靠性,注重計算機系統軟件升級,運用新的安全防護方式,實現網絡通信模式的升級。
參考文獻
[1]郭建英.數據通信網絡維護與網絡安全問題的探討[J].科技資訊,2011(26):9-9,11.
[2]石加歆.對通信網絡維護以及網絡的安全之我見[J].城市建設理論研究(電子版),2012(02).
[3]畢麗紅.基于LonWorks智能建筑實驗系統網絡研究與設計[D].保定:華北電力大學,2006.