網絡安全解決方案范文

前言：我們精心挑選了數篇優質網絡安全解決方案文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

【關鍵詞】網絡；安全；技術防范；對策

【中圖分類號】TP393.08 【文獻標識碼】B 【文章編號】1672-5158（2013）01―0445―02

引言

近年來，隨著經濟社會的快速發展，互聯網得到快速增長，互聯網的應用領域不斷擴張，已經從傳統領域拓展到非傳統領域，而且影響力越來越大。據中國互聯網絡信息中心（CNNIC）近期的《中國互聯網絡發展狀況統計報告》顯示：截至2012年12月底，手機網民數量為4.2億，中國網民數達到5.64億，全年新增網民5090萬人，普及率為42.1%；微博用戶規模為3.09億，較2011年底增長了5873萬。域名總數為1341萬個，其中“.CN”域名總數為751萬，“.中國”域名總數為28萬。中國網站總數（即網站的域名注冊者在中國境內的網站數）回升至268萬個（去年底只有183萬）。網絡安全從大的方面講，關系國家安全、社會穩定；從小的方面講，網絡安全涉及個人信息安全、財產安全，因此，積極研究探討適應新形勢發展要求的網絡安全方案，對確保網絡安全，提升網絡服務質量具有十分重要的現實意義。

1 加強網絡安全的現實意義

隨著信息化技術的不斷發展，網絡已經成為一種聯通各地、各個領域的重要基礎設施，計算機網絡的發展為人們的生產、生活、工作帶來了極大便利，拉近了全球的距離。但在看到網絡給人們帶來便捷的同時，還要清醒地認識到網絡作為一個面向公眾的開放系統，如果網絡安全意識不強、網絡安全防范措施不力，就會產生網絡安全隱患。特別是隨著信息網絡技術的飛速發展，網絡得到廣泛普及和應用，應用層次不斷深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展，已經被行政部門、金融機構、企業廣泛應用，網絡在這些領域的廣泛應用，也進―步加大了網絡安全的風險。如何保持網絡的穩定安全，防止諸如黑客攻擊、非正常入侵等安全問題的發生，是一項重要任務。

由于網絡系統結構復雜、涉及終端眾多、系統開放，網絡系統面臨的威脅和風險比較多，歸納起來主要來自外部的人為影響和自然環境的影響，這些威脅有的是對網絡設備的安全運行存在威脅，有的是對網絡中的信息安全存在威脅。這些威脅的集中起來主要有：非法授權訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統正常運行，修改或刪除數據等。這些威脅一旦成為現實，將對網絡系統產生致命的影響，嚴重的可能會導致系統癱瘓，傳輸信息被非法獲取和傳播，會給相關機構和網絡用戶造成不可挽回的損失。

在網絡快速發展的新形勢下，全面加強網絡安全建設，提升網絡安全等級，對確保和維護網絡用戶利益，維護單位整體形象都具有十分重要我。特別是在當前，終端用戶往往會在終端中存儲大量的信息資料，工作手段也越來越依賴于網絡，一旦網絡安全方面出現問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補的巨大損失，因此，積極研究探索與網絡發展同步的網絡安全解決方案，全面加強網絡安全建設，是各級網絡管理部門及用戶的重要職責，必須要高度重視，扎實推進。

2 信息系統安全威脅與風險分析

認真分析信鼠系統安全威脅與存在的風險，是進行風險管理、制定網絡安全方案的前提和基礎。通過進行有效的系統安全威脅與風險分析，可以幫助相關機構和用戶選擇合作的控制措施來降低風險。

2.1 物理安全風險分析

網絡物理安全是整個網絡系統安全的前提，相關的物理安全風險主要有：地震、水災、火災等環境事故造成整個系統毀滅；電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失；設備被盜、被毀造成數據丟失或信息泄漏；電磁輻射可能造成數據信息被竊取或偷閱；報警系統的設計不足可能造成原本可以防止但實際發生了的事故。

2.2 鏈路傳輸風險分析

網絡安全不僅是入侵者到企業內部網上進行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網上傳輸的重要數據，再通過一些技術讀出數據信息，造成泄密或者做一些篡改來破壞數據的完整性；以上種種不安全因素都對網絡構成嚴重的安全危脅。

2.3 網絡結構的安全風險分析

來自與公網互聯的安全危脅，基于Internet公網的開放性、國際性與自由性，內部網絡將面臨更加嚴重的安全危脅。一些黑客會制造病毒透過網絡進行傳播，還會影響到與本系統網絡有連接的外單位網絡；影響所及，還可能涉及法律、金融等安全敏感領域。

內部網絡與系統外部網互聯安全威脅。如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施，內部網絡容易造到來自外網一些不懷好意的入侵者的攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網重要信息。惡意攻擊，入侵者通過發送大量PING包對內部網重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。

內部局域網的安全威脅。據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構；安全管理員有意透露其用戶名及口令；內部不懷好意員工編些破壞程序在內部網上傳播或者內部人員通過各種方式盜取他人信息傳播出去。這些都將對網絡安全構成嚴重威脅。

2.4 系統的安全風險分析

系統的安全往往歸結于操作系統的安全性，決定于網絡操作系統、應用系統的安全性。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，系統本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應用上，系統的安全程度跟對其進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。因此，必須要高度重視系統的安全風險，科學進行系統安全配置，從而有效降低系統風險。

2.5 應用的安全風險分析

應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。比如由于資源共享、使用電子郵件系統、受病毒侵害、數據信息被非法竊取，篡改等，這些都是應用層面應當防范的安全風險。

2.6 管理的安全風險分析

內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。機房存在惡意的入侵者，內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑，甚至破壞。一些網絡系統管理由于責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

3 網絡安全解決方案

可以通過配置諸如：標識、密鑰管理、安全管理、系統保護、鑒別、授權、訪問控制、抗抵賴、受保護通信、入侵檢測與抑制、完整性證明、恢復安全狀態、病毒檢測與根除等技術類安全控制來有效防止給定類型的風險與威脅；通過建立相關的安全管理機制，實現管理在的安全控制；通過建立一整套嚴謹的控制指南，實現操作類的安全控制，從而實現信息系統安全控制。

3.1 做好物理防護

保證計算機信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。要嚴格按照相關標準建設網絡，防止人為降低建設標準。確保設備安全，采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

3.2 確保系統安全

要認真判斷網絡拓撲結構是否合理；線路是否有冗余；路由是否冗余，防止單點失敗等。工行網絡在設計時，比較好的考慮了這些因素，可以說網絡結構是比較合理的、比較安全的。對于操作系統要盡可能采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件，對使用權限進行嚴格限制；加強口令字的使用，增加口令復雜程度、不要使用與用戶身份有關的、容易猜測的信息作為口令，并及時給系統打補丁、系統內部的相互調用不對外公開。通過配備操作系統安全掃描系統對操作系統進行安全性掃描，發現其中存在的安全漏洞，并有針對性地進行對網絡設備重新配置或升級。在應用系統安全上，應用服務器盡量不要開放一些沒有經常用的協議及協議端口號。充分利用操作系統和應用系統本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。

3.3 突出網絡安全

網絡安全是整個安全解決方案的重中之重，要從訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒等方面，采取切實可行的對策措施，確保網絡安全。要嚴格落實《用戶授權實施細則》、《口令字及帳戶管理規范》、《權限管理制度》、《安全責任制度》等安全管理制度。設置虛擬子網，各子網間不能實現互訪，實現初級訪問控制。設置高等級防火墻，通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制。利用防火墻并經過嚴格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風險。但是，網絡安全不可能完全依靠防火墻單一產品來實現，網絡安全是個整體的，必須配相應的安全產品，作為防火墻的必要補充。入侵檢測系統就是最好的安全產品，入侵檢測系統是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄，并按制定的策略實行響應（阻斷、報警、發送E-mail）。建立網絡掃描系統，對網絡系統中的所有操作系統進行安全性掃描，檢測操作系統存在的安全漏洞，并產生報表，并自動進行相關修復。通過預防病毒技術、檢測病毒技術、殺毒技術，實施反病毒措施，防止病毒進入網絡進行傳播擴散。

3.4 確保應用安全

應用是信息系統安全應當關注的重要內容，要通過規范用戶的行為，來實現應用安全。要嚴格控制內部員工對網絡共享資源的使用，尤其要限制共享資源的濫用，在內部子網中一般不隨意開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。適當配置資源控制，要精心設置訪問權限，并拒絕未經授權人員的登錄，減少有意或無意的案例漏洞。對數據庫服務器中的數據庫必須做安全備份，通過網絡備份系統，可以對數據庫進行遠程備份存儲。

第2篇

摘  要  隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。     關鍵詞  信息安全；pki；ca；vpn   1  引言     隨著計算機網絡的出現和互聯網的飛速發展，企業基于網絡的計算機應用也在迅速增加，基于網絡信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。     隨著信息化技術的飛速發展，許多有遠見的企業都認識到依托先進的it技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力，使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場，企業就面臨著如何提高自身核心競爭力的問題，而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時刻在制約著自己，企業采用pki技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。     在下面的描述中，以某公司為例進行說明。 2  信息系統現狀 2.1  信息化整體狀況     1)計算機網絡     某公司現有計算機500余臺，通過內部網相互連接，根據公司統一規劃，通過防火墻與外網互聯。在內部網絡中，各計算機在同一網段，通過交換機連接。

圖1      2)應用系統     經過多年的積累，某公司的計算機應用已基本覆蓋了經營管理的各個環節，包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善，計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。 2.2  信息安全現狀     為保障計算機網絡的安全，某公司實施了計算機網絡安全項目，基于當時對信息安全的認識和安全產品的狀況，信息安全的主要內容是網絡安全，部署了防火墻、防病毒服務器等網絡安全產品，極大地提升了公司計算機網絡的安全性，這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。 3  風險與需求分析 3.1  風險分析     通過對我們信息系統現狀的分析，可得出如下結論：     (1)經營管理對計算機應用系統的依賴性增強，計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大，網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。     (2)計算機應用系統涉及越來越多的企業關鍵數據，這些數據大多集中在公司總部數據中心，因此有必要加強各計算機應用系統的用戶管理和身份的認證，加強對數據的備份，并運用技術手段，提高數據的機密性、完整性和可用性。     通過對現有的信息安全體系的分析，也可以看出：隨著計算機技術的發展、安全威脅種類的增加，某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷，具體表現在：     (1)系統性不強，安全防護僅限于網絡安全，系統、應用和數據的安全存在較大的風險。 目前實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。     當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。     針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。     美國聯邦調查局(fbi)和計算機安全機構(csi)等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。 信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。     (2)原有的網絡安全產品在功能和性能上都不能適應新的形勢，存在一定的網絡安全隱患，產品亟待升級。     已購買的網絡安全產品中，有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性，擬對系統的互聯網出口進行嚴格限制，原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求，現有的防火墻不具備這些功能。     網絡信息系統的安全建設建立在風險評估的基礎上，這是信息化建設的內在要求，系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期，在規劃的過程中，就運用風險評估、風險管理的手段，用戶才可以避免重復建設和投資的浪費。 3.2  需求分析     如前所述，某公司信息系統存在較大的風險，信息安全的需求主要體現在如下幾點：     (1)某公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。     (2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使某公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。     (3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規章制度和技術規范的建設，使安全防范的各項工作都能夠有序、規范地進行。     (4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是某公司面臨的重要課題。 4  設計原則     安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。 4.1  標準化原則     本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定，使安全技術體系的建設達到標準化、規范化的要求，為拓展、升級和集中統一打好基礎。 4.2  系統化原則     信息安全是一個復雜的系統工程，從信息系統的各層次、安全防范的各階段全面地進行考慮，既注重技術的實現，又要加大管理的力度，以形成系統化的解決方案。 4.3  規避風險原則     安全技術體系的建設涉及網絡、系統、應用等方方面面，任何改造、添加甚至移動，都可能影響現有網絡的暢通或在用系統的連續、穩定運行，這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題，在規劃與應用系統銜接的基礎安全措施時，優先保證透明化，從提供通用安全基礎服務的要求出發，設計并實現安全系統與應用系統的平滑連接。 4.4  保護投資原則     由于信息安全理論與技術發展的歷史原因和自身的資金能力，某公司分期、分批建設了一些整體的或區域的安全技術系統，配置了相應的設施。因此，本方案依據保護信息安全投資效益的基本原則，在合理規劃、建設新的安全子系統或投入新的安全設施的同時，對現有安全系統采取了完善、整合的辦法，以使其納入總體安全技術體系，發揮更好的效能，而不是排斥或拋棄。 4.5  多重保護原則     任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 4.6  分步實施原則     由于某公司應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性，尋求安全、風險、開銷的平衡，采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求，亦可節省費用開支。

5  設計思路及安全產品的選擇和部署     信息安全防范應做整體的考慮，全面覆蓋信息系統的各層次，針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終，如圖2所示。 圖2  網絡與信息安全防范體系模型     信息安全又是相對的，需要在風險、安全和投入之間做出平衡，通過對某公司信息化和信息安全現狀的分析，對現有的信息安全產品和解決方案的調查，通過與計算機專業公司接觸，初步確定了本次安全項目的內容。通過本次安全項目的實施，基本建成較完整的信息安全防范體系。 5.1 網絡安全基礎設施     證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺，都必須建立在一個安全可信的網絡之上。目前，解決這些安全問題的最佳方案當數應用pki/ca數字認證服務。pki(public key infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題，為網絡應用提供可靠的安全保障，向用戶提供完整的pki/ca數字認證服務。通過建設證書認證中心系統，建立一個完善的網絡安全認證平臺，能夠通過這個安全平臺實現以下目標：     身份認證(authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數字證書來確認對方的身份。     數據的機密性(confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數字證書加密來完成。     數據的完整性(integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數和數字簽名來完成。     不可抵賴性(non-repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數字簽名來完成，數字簽名可作為法律證據。 5.2  邊界防護和網絡的隔離     vpn(virtual private network)虛擬專用網，是將物理分布在不同地點的網絡通過公用骨干網(如internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比，具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。     通過安裝部署vpn系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程lan的安全連接。     集成的防火墻功能模塊采用了狀態檢測的包過濾技術，可以對多種網絡對象進行有效地訪問監控，為網絡提供高效、穩定地安全保護。     集中的安全策略管理可以對整個vpn網絡的安全策略進行集中管理和配置。 5.3  安全電子郵件     電子郵件是internet上出現最早的應用之一。隨著網絡的快速發展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點，電子郵件存在著很大的安全隱患。     目前廣泛應用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions )，它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標準 ) 發展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織 ( 根證書 ) 之間相互認證，整個信任關系基本是樹狀的。其次， s/mime 將信件內容加密簽名后作為特殊的附件傳送。 保證了信件內容的安全性。 5.4  桌面安全防護     對企業信息安全的威脅不僅來自企業網絡外部，大量的安全威脅來自企業內部。很早之前安全界就有數據顯示，近80%的網絡安全事件，是來自于企業內部。同時，由于是內部人員所為，這樣的安全犯罪往往目的明確，如針對企業機密和專利信息的竊取、財務欺騙等，因此，對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。     桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。     1)電子簽章系統     利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入office系統，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。     2) 安全登錄系統     安全登錄系統提供了對系統和網絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。     3)文件加密系統     文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數據的安全性。 5.5  身份認證     身份認證是指計算機及網絡系統確認操作者身份的過程。基于pki的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數字證書，利用usb key內置的密碼算法實現對用戶身份的認證。     基于pki的usb key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系，從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。 6  方案的組織與實施方式     網絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程，也為本方案的實施提供了借鑒。 圖3     因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：     (1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。     (2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業公司的安全服務，提高應對重大安全事件的能力。     (3)該方案投資大，覆蓋范圍廣，根據實際情況，可采取分地區、分階段實施的方式。     (4)在方案實施的同時，加強規章制度、技術規范的建設，使信息安全的日常工作進一步制度化、規范化。 7  結論     本文以某公司為例，分析了網絡安全現狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規章制度的完善；從單機系統的安全加固，到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署，為眾多行業提供了網絡安全解決手段。     也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統來自各方面的攻擊和威脅，把風險降到最低水平。 參考文獻     [1] 國家信息安全基礎設施研究中心、國家信息安全工程技術研究中心.《電子政務總體設計與技術實現》

第3篇

關鍵詞:網絡安全威脅;安全需求;防火墻;IDS;網絡安全

中圖分類號:C913.3文獻標識碼:A文章編號:1005-5312(2010)12-0088-01

一、網絡安全概述

(一)網絡安全的基本概念

網絡安全包括物理安全和邏輯安全。對于物理安全,需要加強計算機房管理,如門衛、出入者身份檢查、下班鎖門以及各種硬件安全手段等預防措施;而對于后者,則需要用口令、文件許可和查帳等方法來實現。

(二)網絡面臨的主要攻擊

⑴ 緩沖區溢出。

⑵ 遠程攻擊。

⑶ 口令破解。

⑷ 超級權限。

⑸ 拒絕服務(DDOS)。

二、安全需求

通過對網絡系統的風險分析,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,

可用性: 授權實體有權訪問數據。

機密性: 信息不暴露給未授權實體或進程。

完整性: 保證數據不被未授權修改。

可控性: 控制授權范圍內的信息流向及操作方式。

可審查性:對出現的安全問題提供依據與手段。

訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。

數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏

三、網絡安全防護策略

個人建議采用如下的安全拓撲架構來確保網站的安全性,其中我們主要采用以下五項高強度的安全防護措施:如圖3-1所示:

(一)層層布防

從上圖中,我們可以看到,我們將安全層次劃分為四個層次,不同的層次采用不同的策略進行有效的安全防護。

第一個層次,是外部Internet,是不能有效確定其安全風險的層次,我們的安全策略就是要重點防護來自于第一個層次的攻擊。

第二個層次,是通過路由器后進入網站的第一個安全屏障。該層主要由防火墻進行防護和訪問控制,防火墻在安全規則上,只開放WWW,POP3,SMTP等少數端口和服務,完全封閉其他不必要的服務端口,阻擋來自于外部的攻擊企圖。同時,為了反映防火墻之內的實際安全狀態,部署網絡入侵檢測系統(IDS)。入侵檢測系統可以檢測出外部穿過防火墻之后的和網絡內部經過交換機對外的所有數據流中,有無非法的訪問內網的企圖、對WWW服務器和郵件服務器等關鍵業務平臺的攻擊行為和內部網絡中的非法行為。對DDOS攻擊行為及時報警,并通過與防火墻的聯動及時阻斷,網絡遭受DDOS攻擊。

第三個層次,是一個中心網絡的核心層,部署了網絡處置中心的所有重要的服務器。在該層次中,部署了網站保護系統,防范網頁被非法篡改。

此外,還部署網絡漏洞掃描系統,定期或不定期的對接服務器區進行漏洞掃描,幫助網管人員及時了解和修補網絡中的安全漏洞。這種掃描服務可以由網絡安全管理人員完成,或者由安全服務的安全廠商及其高級防黑客技術人員完成。

第四個層次,是網絡安全中心網絡的數據存儲中心,放置了數據庫服務器和數據庫備份服務器。在該層次中,部署了防火墻,對數據庫的訪問通過防火墻進行過濾,保證數據的安全性。

(二)多種防護手段

我們設計的高強度安全防護措施,包括多種防護手段,即有靜態的防護手段,如防火墻,又有動態的防護手段,如網絡IDS、網絡防病毒系統。同時,也考慮到了恢復和響應技術,如網站保護和恢復系統。不同的防護手段針對不同的安全需求,解決不同的安全問題,使得網絡防護過程中不留安全死角。

(三)防火墻系統

防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。

防火墻可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。在此次的網絡系統安全建設完成后,防火墻將承擔起對合法地址用戶的路由和對私網地址用戶的地址轉換任務(NAT),同時,將根據需要對進出訪問進行控制。防火墻可將網絡分成若干個區域,Trust(可信任區,連接內部局域網),Untrust(不信任區,連接Internet ),DMZ(中立區,連接對外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區域。

(四)網絡入侵檢測系統的作用

通過使用網絡入侵檢測系統,我們可以做到:發現誰在攻擊網絡:解決網絡防護的問題(網絡出入口、DMZ、關鍵網段)。了解接網絡如何被攻擊:例如,如果有人非法訪問服務器,需要知道他們是怎么做的,這樣可以防止再次發生同樣的情況。IDS可以提供攻擊特征描述,還可以進行逐條的記錄回放,使網絡系統免受二次攻擊。

處置中心網絡的內部危險:放置在網絡中的IDS會識別不同的安全事件。減輕潛在威脅:可以安裝在特定的網絡中,確定依具體情況而定的或是所懷疑的威脅,通過策略阻斷和其它安全產品進行全面防護。事后取證:從相關的事件和活動的多個角度提供具有標準格式的獨特數據。實現安全事件來源追查。 DDOS攻擊防范:通過實時監控網絡流量,及時發現異常流量并報警,通過和防火墻聯動,對DDOS攻擊進行阻斷。

四、安全服務

網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。由于這方面相對比較復雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關資料。

五、總結

毫無疑問,安全是一個動態的問題。在做未來的計劃時,既要考慮用戶環境的發展,也要考慮風險的發展,這樣才能讓安全在操作進程中占有一席之地。最謹慎、最安全的人會將他們的信息放在屋子里鎖好,妥善地保護起來。歸納起來,對網絡安全的解決方案從人員安全、物理層安全、邊界安全、網絡安全、主機安全、應用程序和數據安全這幾方面入手即可。上述幾個方面做好之后,我們就可以讓一個網絡系統:

進不來: 通過物理隔離等手段,阻止非授權用戶進入網絡。

拿不走: 使用屏蔽、防下載機制,實現對用戶的權限控制。

讀不懂: 通過認證和加密技術,確信信息不暴露給未經授權的人或程序。

改不了: 使用數據完整性鑒別機制,保證只有允許的人才能修改數據。

走不脫: 使用日志、安全審計、監控技術使得攻擊者不能抵賴自己的行為。

參考文獻:

[1]沈昌祥.信息安全縱論[M].武漢:湖北科學技術出版社.2002年版.

[2]杜宇峰.網絡安全與防護[J].電腦知識與技術.2007(18).