​淺談計算機網絡安全及建設
摘 要 : 本文簡要介紹了計算機網絡安全的體系結構,分析了網絡安全的設計原則,討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計,最后提出了網絡安全產品的選型原則。關鍵詞 : 計算機 ;
摘 要 : 本文簡要介紹了計算機網絡安全的體系結構,分析了網絡安全的設計原則,討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計,最后提出了網絡安全產品的選型原則。
關鍵詞 : 計算機 ; 網絡 ; 安全; 建設
信息是當今社會發展的重要資源,整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性,但競爭已迫使各機構打破原有的界限,在企業內部或企業之間共享更多的信息,只有這樣才能縮短處理問題的時間,并在相互協作的環境中孕育出更多的革新和創造。然而,在群件系統中共享的信息卻必須保證其安全性,以防止有意無意的破壞,因此,網絡安全成為一個重要的問題。
1、網絡安全體系結構
通過對網絡應用的全面了解,按照安全風險、需求分析結果、安全策略以及網絡的安全目標,具體的安全控制系統可以可以分為:物理安全、系統安全、網絡安全、應用安全、管理安全等幾個方面。
1.1. 物理安全 保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面:環境安全、設備安全、媒體安全。 正常的防范措施主要在三個方面: 對主機房及重要信息存儲、收發部門進行屏蔽處理,防止信號外泄; 對本地網、局域網傳輸線路傳導輻射的抑制; 對終端設備輻射的防范。
1.2 系統安全 分為網絡結構安全、操作系統安全、應用系統安全。網絡結構的安全主要指網絡拓撲結構是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。 對于操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制、加強口令字的使用,并及時給系統打補丁、系統內部的相互調用不對外公開等; 通過配備安全掃描系統對操作系統進行安全性掃描,及時發現安全漏洞,并有效地對其進行重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號、加強登錄身份認證,確保用戶使用的合法性、并嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
1.3 網絡安全 網絡安全是整個安全解決方案的關鍵,通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別進行。 隔離與訪問控制可通過嚴格的管理制度 、劃分虛擬子網(VLAN)、配備防火墻來進行。內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網(VLAN),在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問。防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制;并且可以實現單向或雙向控制,對一些高層協議實現較細粒的訪問控制。 通信保密是使得在網上傳送的數據是密文形式,而不是明文。可以選擇鏈路層加密和網絡層加密等方式。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此,入侵檢測系統的應用不會對網絡系統性能造成多大影響。網絡掃描系統可以對網絡中所有部件(Web站點,防火墻,路由器,TCP/IP及相關協議服務)進行攻擊性掃描、分析和評估,發現并報告系統存在的弱點和漏洞,評估安全風險,建議補救措施。病毒防護也是網絡安全建設中應該考濾的重要的環節之一,反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。
1.4 應用安全 表現在內部OA系統中資源共享和信息存儲等方面。嚴格控制內部員工對網絡共享資源的使用,在內部子網中一般不要輕易開放共享目錄,對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
1.5 構建CA(Certification Authority)體系 針對信息的安全性、完整性、正確性和不可否認性等問題,目前國際上先進的方法是采用信息加密技術、數字簽名技術。具體實現的辦法是使用數字證書,通過數字證書,把證書持有者的公開密鑰(Public Key)與用戶的身份信息緊密安全地結合起來,以實現身份確認和不可否認性。根據機構本身的特點,可以考濾先構建一個本系統內部的CA系統,即所有的證書只能限定在本系統內部使用有效。隨著需求的發展,可以對CA系統進行擴充,與國家級CA系統互聯,實現不同企業間的交叉認證。
1.6 安全管理 通過制定健全的安全管理體制、構建安全管理平臺、增強人員的安全防范意識來進行。制定健全的安全管理體制是網絡安全得以實現的重要保證;各部門應經常對員工進行網絡安全防范意識的培訓,全面提高員工的整體網絡安全防范意識。構建安全管理平臺將會降彽很多因為無意的人為因素而造成的風險,組建安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件,通過安全管理平臺實現全網的安全管理。
關鍵詞 : 計算機 ; 網絡 ; 安全; 建設
信息是當今社會發展的重要資源,整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性,但競爭已迫使各機構打破原有的界限,在企業內部或企業之間共享更多的信息,只有這樣才能縮短處理問題的時間,并在相互協作的環境中孕育出更多的革新和創造。然而,在群件系統中共享的信息卻必須保證其安全性,以防止有意無意的破壞,因此,網絡安全成為一個重要的問題。
1、網絡安全體系結構
通過對網絡應用的全面了解,按照安全風險、需求分析結果、安全策略以及網絡的安全目標,具體的安全控制系統可以可以分為:物理安全、系統安全、網絡安全、應用安全、管理安全等幾個方面。
1.1. 物理安全 保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面:環境安全、設備安全、媒體安全。 正常的防范措施主要在三個方面: 對主機房及重要信息存儲、收發部門進行屏蔽處理,防止信號外泄; 對本地網、局域網傳輸線路傳導輻射的抑制; 對終端設備輻射的防范。
1.2 系統安全 分為網絡結構安全、操作系統安全、應用系統安全。網絡結構的安全主要指網絡拓撲結構是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。 對于操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制、加強口令字的使用,并及時給系統打補丁、系統內部的相互調用不對外公開等; 通過配備安全掃描系統對操作系統進行安全性掃描,及時發現安全漏洞,并有效地對其進行重新配置或升級。在應用系統安全上,應用服務器盡量不要開放一些沒有經常用的協議及協議端口號、加強登錄身份認證,確保用戶使用的合法性、并嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
1.3 網絡安全 網絡安全是整個安全解決方案的關鍵,通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別進行。 隔離與訪問控制可通過嚴格的管理制度 、劃分虛擬子網(VLAN)、配備防火墻來進行。內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網(VLAN),在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問。防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制;并且可以實現單向或雙向控制,對一些高層協議實現較細粒的訪問控制。 通信保密是使得在網上傳送的數據是密文形式,而不是明文。可以選擇鏈路層加密和網絡層加密等方式。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄,并按制定的策略實行響應(阻斷、報警、發送E-mail),從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器(網絡引擎)。控制臺用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為,根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包,因此,入侵檢測系統的應用不會對網絡系統性能造成多大影響。網絡掃描系統可以對網絡中所有部件(Web站點,防火墻,路由器,TCP/IP及相關協議服務)進行攻擊性掃描、分析和評估,發現并報告系統存在的弱點和漏洞,評估安全風險,建議補救措施。病毒防護也是網絡安全建設中應該考濾的重要的環節之一,反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。
1.4 應用安全 表現在內部OA系統中資源共享和信息存儲等方面。嚴格控制內部員工對網絡共享資源的使用,在內部子網中一般不要輕易開放共享目錄,對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份,通過網絡備份系統,可以對數據庫進行遠程備份存儲。
1.5 構建CA(Certification Authority)體系 針對信息的安全性、完整性、正確性和不可否認性等問題,目前國際上先進的方法是采用信息加密技術、數字簽名技術。具體實現的辦法是使用數字證書,通過數字證書,把證書持有者的公開密鑰(Public Key)與用戶的身份信息緊密安全地結合起來,以實現身份確認和不可否認性。根據機構本身的特點,可以考濾先構建一個本系統內部的CA系統,即所有的證書只能限定在本系統內部使用有效。隨著需求的發展,可以對CA系統進行擴充,與國家級CA系統互聯,實現不同企業間的交叉認證。
1.6 安全管理 通過制定健全的安全管理體制、構建安全管理平臺、增強人員的安全防范意識來進行。制定健全的安全管理體制是網絡安全得以實現的重要保證;各部門應經常對員工進行網絡安全防范意識的培訓,全面提高員工的整體網絡安全防范意識。構建安全管理平臺將會降彽很多因為無意的人為因素而造成的風險,組建安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統一管理軟件,通過安全管理平臺實現全網的安全管理。
責任編輯:和碩涵
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務有哪些解決方案?
2020-10-09綜合能源服務,清潔供熱,多能互補 -
深度文章 | “十三五”以來電力消費增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價問題
-
貴州職稱論文發表選擇泛亞,論文發表有保障
2019-02-20貴州職稱論文發表 -
《電力設備管理》雜志首屆全國電力工業 特約專家征文
2019-01-05電力設備管理雜志 -
國內首座蜂窩型集束煤倉管理創新與實踐
-
人力資源和社會保障部:電線電纜制造工國家職業技能標準
-
人力資源和社會保障部:變壓器互感器制造工國家職業技能標準
-
《低壓微電網并網一體化裝置技術規范》T/CEC 150
2019-01-02低壓微電網技術規范
-
現貨模式下谷電用戶價值再評估
2020-10-10電力現貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價全景圖
2020-09-16電價,全景圖,電力 -
一張圖讀懂我國銷售電價附加
2020-03-05銷售電價附加
-
電氣工程學科排行榜發布!華北電力大學排名第二
-
國家電網61家單位招聘畢業生
2019-03-12國家電網招聘畢業生 -
《電力設備管理》雜志讀者俱樂部會員招募
2018-10-16電力設備管理雜志
