網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全內(nèi)網(wǎng)管理文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關(guān)鍵詞:互聯(lián)網(wǎng)+;網(wǎng)絡(luò)安全;防火墻
1內(nèi)部網(wǎng)絡(luò)安全現(xiàn)狀
隨著當(dāng)今信息技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)對人類生活方式的影響顯著增強(qiáng),網(wǎng)絡(luò)技術(shù)在社會的各個領(lǐng)域迅速普及,計算機(jī)網(wǎng)絡(luò)安全問題已成為亟待解決的問題。人們普遍對網(wǎng)絡(luò)安全有一個錯誤的認(rèn)識,也就是說,我們所使用的內(nèi)部網(wǎng)絡(luò)是安全的、沒有威脅的,外部網(wǎng)絡(luò)是有危險、不安全的,也是主要的網(wǎng)絡(luò)威脅來源,所以計算機(jī)網(wǎng)絡(luò)內(nèi)部的威脅,往往被人們所忽視,因此,一般都會研究如何防止外部網(wǎng)絡(luò)從外面攻擊內(nèi)部的網(wǎng)絡(luò),而忽視了單位內(nèi)部網(wǎng)絡(luò)的安全威脅。大多數(shù)人并不認(rèn)為他們會成為網(wǎng)絡(luò)攻擊的目標(biāo)或者自己本身成為網(wǎng)絡(luò)威脅的來源,可是當(dāng)危險發(fā)生,往往會因?yàn)橐郧皼]有予以重視而手忙腳亂,造成不應(yīng)發(fā)生的損失。但隨著內(nèi)部網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)日益成為人們生活和學(xué)習(xí)的重要組成部分。內(nèi)部網(wǎng)絡(luò)的安全性也凸顯出來,網(wǎng)絡(luò)安全難以得到很好的保障,單位的利益受到了不同程度的損害。面對上述情況,營造一個安全的內(nèi)部網(wǎng)絡(luò)環(huán)境,形成一個穩(wěn)定、便捷、高效的內(nèi)部網(wǎng)是各級各類單位網(wǎng)絡(luò)管理工作者需要面對和解決的問題。然而,大多數(shù)單位網(wǎng)絡(luò)都處于建設(shè)的初級階段,往往更注重硬件的采購和系統(tǒng)的建設(shè),很少關(guān)注單位內(nèi)部網(wǎng)絡(luò)的安全和威脅處理。面對內(nèi)部網(wǎng)絡(luò)安全威脅時,往往缺乏有效的應(yīng)對策略和解決方案,因此,如何利用網(wǎng)絡(luò)安全理論與相關(guān)技術(shù),在建設(shè)單位網(wǎng)絡(luò)的同時,形成網(wǎng)絡(luò)安全屏障,保證網(wǎng)絡(luò)的正常運(yùn)行是單位網(wǎng)絡(luò)管理者需要解決的重要問題。內(nèi)部網(wǎng)絡(luò)的安全防范,是一個系統(tǒng)工程,是一個人員、設(shè)備、技術(shù)及意識的綜合問題。現(xiàn)在,越來越多的政府機(jī)構(gòu)、企事業(yè)單位的各種業(yè)務(wù)和服務(wù)依托內(nèi)部網(wǎng)絡(luò)環(huán)境,但是單位內(nèi)部職員卻對現(xiàn)今的網(wǎng)絡(luò)威脅普遍存在一個認(rèn)識誤區(qū),導(dǎo)致內(nèi)部網(wǎng)絡(luò)的安全得不到保障。“互聯(lián)網(wǎng)+”時代,有大量的信息流和數(shù)據(jù)流充斥著整個網(wǎng)絡(luò),這些信息包含了非常豐富的內(nèi)容,因?yàn)榛ヂ?lián)網(wǎng)的環(huán)境是自由開放的,而網(wǎng)絡(luò)安全系統(tǒng)以及數(shù)據(jù)安全性低,通常情況下潛在數(shù)據(jù)安全問題表現(xiàn)為通過非法、有意的竊取、截取、病毒攻擊等途徑造成信息泄露、損壞,導(dǎo)致數(shù)據(jù)的完整性、可靠性及可用性受到一定程度的影響,對當(dāng)今互聯(lián)網(wǎng)社會造成了一定的威脅。
2內(nèi)部網(wǎng)絡(luò)安全管理措施
針對以上問題,筆者提出了以下幾個內(nèi)部網(wǎng)絡(luò)防范的要點(diǎn),以最大限度防范內(nèi)部網(wǎng)絡(luò)受到外部或內(nèi)部的網(wǎng)絡(luò)威脅,最大限度防止信息泄漏,充分發(fā)揮“互聯(lián)網(wǎng)+”的優(yōu)越性,從而為人們的工作帶來便利。
2.1保證內(nèi)網(wǎng)操作系統(tǒng)的安全
終端用戶程序、服務(wù)器中的應(yīng)用程序等都在計算機(jī)操作系統(tǒng)上運(yùn)行,因此,維護(hù)整個單位內(nèi)部網(wǎng)絡(luò)安全的根本就是要確保每個計算機(jī)操作系統(tǒng)(不管是服務(wù)器還是客戶端)的安全。除了修補(bǔ)操作系統(tǒng)的補(bǔ)丁外,還需要設(shè)立一個針對單位內(nèi)部網(wǎng)絡(luò)中操作系統(tǒng)的監(jiān)控系統(tǒng),設(shè)置有效的用戶訪問控制操作和訪問口令。
2.2隔離資源,部署防火墻
內(nèi)部網(wǎng)絡(luò)中的路由器和交換機(jī)是傳輸任何信息的基礎(chǔ)和必須具備的設(shè)備,如果沒有在路由器和交換機(jī)上配置一些安全策略,則網(wǎng)絡(luò)中的數(shù)據(jù)就會使用廣播技術(shù),而采取廣播技術(shù)就會導(dǎo)致網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包很容易被監(jiān)聽和非法截取,所以必須要擁有一個安全可靠的網(wǎng)絡(luò)設(shè)備及采取可靠的安全訪問策略。通過使用交換機(jī)和路由器進(jìn)行劃分組網(wǎng),通過劃分虛擬的網(wǎng)絡(luò)對設(shè)備進(jìn)行物理或邏輯上的劃分,從而實(shí)現(xiàn)對網(wǎng)絡(luò)資源的隔離,提高了內(nèi)網(wǎng)的安全性。防火墻技術(shù)是內(nèi)部網(wǎng)安全防護(hù)中最常用的保護(hù)措施,可以對訪問的客戶端進(jìn)行過濾和訪問限制,從而對單位內(nèi)部網(wǎng)的安全控制起到很好的防護(hù)效果。可以根據(jù)對內(nèi)部網(wǎng)絡(luò)安全控制的需求,利用防火墻來設(shè)置一定的策略,既可以過濾數(shù)據(jù)包,保障內(nèi)部網(wǎng)絡(luò)不受網(wǎng)絡(luò)攻擊,又不影響內(nèi)部網(wǎng)絡(luò)對Internet的訪問和FTP等下載服務(wù)。
2.3通過模擬攻擊方式來檢測內(nèi)部網(wǎng)絡(luò)防火墻
一般來說,拒絕服務(wù)攻擊(如DDOS)威脅在內(nèi)部網(wǎng)絡(luò)安全威脅中占了很大一部分。可以通過合理配置防火墻,并且選擇使用功能強(qiáng)大的防火墻,從而實(shí)現(xiàn)充分監(jiān)控網(wǎng)絡(luò)情況,達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)安全的效果。通過分析數(shù)據(jù)包執(zhí)行攔截行動,發(fā)現(xiàn)攻擊者入侵時出現(xiàn)的異常情況,可以馬上停止服務(wù),從而有效保護(hù)單位的機(jī)密信息和敏感數(shù)據(jù),達(dá)到保護(hù)信息的目的。通過防火墻的訪問控制功能可以限制非法用戶訪問單位內(nèi)部網(wǎng)絡(luò),規(guī)定必須是內(nèi)部網(wǎng)絡(luò)的工作站才能訪問內(nèi)部服務(wù)器和內(nèi)部的網(wǎng)絡(luò)設(shè)備,這樣就可以防止外來的客戶端非法配置內(nèi)部網(wǎng)絡(luò)設(shè)備,達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。
2.4設(shè)立檢測入侵系統(tǒng)
雖然有防火墻保護(hù)內(nèi)部網(wǎng)絡(luò),但是往往有些來自內(nèi)部的安全威脅,從而導(dǎo)致有意或無意的網(wǎng)絡(luò)入侵事故發(fā)生,這就很難保證內(nèi)網(wǎng)的安全性。所以,可以把防火墻和入侵檢測系統(tǒng)結(jié)合起來運(yùn)用,相互彌補(bǔ)各自的不足。可以及時預(yù)警和防范網(wǎng)絡(luò)中的病毒、異常訪問、非法登錄、系統(tǒng)漏洞等安全威脅,從而使內(nèi)部網(wǎng)絡(luò)的安全性得到有效的加強(qiáng),有效保障政府機(jī)關(guān)和企業(yè)各項(xiàng)重要業(yè)務(wù)的正常運(yùn)行。
2.5VLAN虛擬局域網(wǎng)
虛擬局域網(wǎng)(VLAN)技術(shù)是一種人為劃分管理網(wǎng)絡(luò)的技術(shù),它根據(jù)人們管理的需求將一個大的網(wǎng)絡(luò)劃分為不同的邏輯子網(wǎng),網(wǎng)絡(luò)中的站點(diǎn)可以與物理位置無關(guān),從而實(shí)現(xiàn)安全管理的目的。VLAN技術(shù)可以把一個通過交換機(jī)相連的物理網(wǎng)絡(luò)根據(jù)管理的需要人為劃分為多個邏輯子網(wǎng)。劃分完成后,網(wǎng)絡(luò)里如果有廣播包發(fā)送,只會發(fā)送到Vlan相同的網(wǎng)絡(luò)中,從而實(shí)現(xiàn)了廣播包在一定的小規(guī)模范圍內(nèi)傳播,避免了廣播包的大面積傳播。交換機(jī)不向其他LAN端口發(fā)送消息。
2.6應(yīng)用防病毒技術(shù)
可以采用結(jié)合基于會話流的高性能智能搜索算法和卡巴斯基的SafeStream病毒庫,并采用多核操作系統(tǒng)分流技術(shù)來檢測和清除網(wǎng)絡(luò)中的病毒,克服了傳統(tǒng)殺毒網(wǎng)關(guān)缺乏抗病毒性能的弊端,為內(nèi)部網(wǎng)絡(luò)安全提供了一種全新的安全解決方案。防病毒技術(shù)在內(nèi)部網(wǎng)入口進(jìn)行病毒檢測,真正抵御網(wǎng)絡(luò)病毒,為內(nèi)部網(wǎng)提供了強(qiáng)有力的保護(hù)層。
2.7ACL訪問控制列表
ACL技術(shù)通過在訪問控制列表中添加訪問規(guī)則,可以對計算機(jī)用戶需要通過網(wǎng)絡(luò)層訪問的資源進(jìn)行有效的控制,它可以在網(wǎng)絡(luò)應(yīng)用程序的兩個網(wǎng)絡(luò)之間的設(shè)備進(jìn)行訪問控制,為網(wǎng)絡(luò)應(yīng)用提供了一個安全和有效的手段。2.8加強(qiáng)網(wǎng)絡(luò)安全防衛(wèi)意識宣傳除了單位內(nèi)部的網(wǎng)絡(luò)管理員和安全員認(rèn)識到網(wǎng)絡(luò)的安全重要性,大多數(shù)人缺乏足夠的網(wǎng)絡(luò)安全意識性,他們普遍認(rèn)為,網(wǎng)絡(luò)維護(hù)與管理人員有關(guān),與自己無關(guān),從而導(dǎo)致網(wǎng)絡(luò)存在安全隱患,所以必須在單位內(nèi)部加強(qiáng)網(wǎng)絡(luò)安全防衛(wèi)意識宣傳。
3結(jié)語
第2篇
本文詳細(xì)講述了深信服行為管理設(shè)備在一家上市制藥公司,通過多種認(rèn)證方式:用戶名/密碼、LADP、RADIUS、訪問控制組,實(shí)施內(nèi)部網(wǎng)絡(luò)行為管理系統(tǒng)。有效的形成內(nèi)部人員上網(wǎng)規(guī)范、降低木馬入侵對計算機(jī)系統(tǒng)的破壞概率,很大程度上提高了員工的工作效率。2009年1月以來僅拒絕訪問違規(guī)站點(diǎn)達(dá)到140萬余次;HTTP應(yīng)用攔截達(dá)70余萬次;P2P多媒體攔截達(dá)50余萬次;文件下載達(dá)30余萬次。
【關(guān)鍵詞】行為管理 準(zhǔn)入規(guī)則 內(nèi)部安全
1 背景
1.1 據(jù) IDC 調(diào)查結(jié)果顯示
在全球損失金額在5萬美元以上的攻擊中,70%都涉及網(wǎng)絡(luò)內(nèi)部攻擊者。2002年,F(xiàn)BI和CSI對全球484家公司的信息系統(tǒng)進(jìn)行調(diào)查結(jié)果發(fā)現(xiàn):
(1)有超過85%的安全威脅來自企業(yè)內(nèi)部。
(2)有16%來自內(nèi)部未授權(quán)的存取。
(3)有14%來自專利信息被竊取。
(4)有12%來自內(nèi)部人員的財務(wù)欺騙。
(5)而只有5%是來自黑客的攻擊。
員工30% ~40% 的互聯(lián)網(wǎng)使用花費(fèi)在新聞、娛樂、購物、無意義的閑聊(QQ、MSN)等于工作無關(guān)的活動上。
1.2 濫用互聯(lián)網(wǎng)對企業(yè)產(chǎn)生的負(fù)面影響
現(xiàn)代管理者必須思考的幾個問題;針對這些亮點(diǎn):
(1)如何對企業(yè)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計、分析和評估?
(2)如何限制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為(如)?
(3)如何監(jiān)控、控制和引導(dǎo)員工正確使用網(wǎng)絡(luò)?
(4)怎樣杜絕員工通過電子郵件、MSN等途徑泄漏企業(yè)內(nèi)部機(jī)密資料?
最后,在不幸發(fā)生問題時,如何有一個證據(jù)或依據(jù)?
作者所在公司決定采用深信服行為控制解決方案對企業(yè)內(nèi)部員工上網(wǎng)環(huán)境進(jìn)行有效管控。
2 具體方案
一般用戶的PC機(jī)上都安裝有防病毒、個人防火墻等程序來保證安全,但有些用戶在上網(wǎng)時忘記開啟這些功能或沒有及時升級病毒庫,給用戶帶來安全隱患。
通過內(nèi)部上網(wǎng)行為權(quán)限分組和網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則的混合管理,為企業(yè)管理者解決了以前一直對企業(yè)內(nèi)部員工上網(wǎng)控制所帶來的困擾問題。此方案不僅能給企業(yè)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計、分析和評估同時也能夠有效的監(jiān)控到一些非工作上網(wǎng)行為和非正常上網(wǎng)行為。規(guī)范員工上網(wǎng)行為(比如禁止員工上班時間聊天、打游戲)、提高企業(yè)上網(wǎng)效率;在對企業(yè)內(nèi)部員工日常工作中的需要保密的文檔在一定的程度上也可以高效能的實(shí)施監(jiān)控、確保內(nèi)網(wǎng)安全,保護(hù)內(nèi)部數(shù)據(jù)安全、防止機(jī)密信息泄漏,通過流量控制、帶寬管理,提升帶寬利用率控制和引導(dǎo)員工正確使用網(wǎng)絡(luò);杜絕員工通過電子郵件、MSN等途徑泄漏企業(yè)內(nèi)部機(jī)密資料。通過深度內(nèi)容檢測技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù), SINFOR AC上網(wǎng)行為管理系統(tǒng)可以檢測出數(shù)據(jù)包的報文中相對應(yīng)的數(shù)據(jù)類型,對目前所有的P2P軟件如:QQ、MSN等IM即時通訊軟件以及BT、電驢等軟件,根據(jù)預(yù)置策略進(jìn)行及時封堵。最后,在不幸發(fā)生問題時,通過深信服日志可提供一個證據(jù)或依據(jù),降低企業(yè)的法律責(zé)任。
另外獨(dú)特的WEB認(rèn)證技術(shù)讓內(nèi)網(wǎng)無線用戶在訪問網(wǎng)絡(luò)之前,上網(wǎng)行為管理系統(tǒng)除了對客戶端的本地身份(如:用戶名密碼認(rèn)證、LDAP、RADIUS等認(rèn)證)進(jìn)行常規(guī)性認(rèn)證以外,還將啟用Web認(rèn)證。SINFOR AC網(wǎng)關(guān)會要求用戶輸入用戶名和密碼進(jìn)行認(rèn)證。只有當(dāng)用戶輸入了正確的帳號,該用戶才能夠訪問Internet,如圖1。
3 實(shí)施效果
實(shí)施上述方案后,基本上能為作者所在企業(yè)的領(lǐng)導(dǎo)以及信息部網(wǎng)管能夠隨時監(jiān)控到環(huán)境,主要表現(xiàn)在以下方面:
(1)基本杜絕了大規(guī)模的病毒爆發(fā);
(2)PC專注業(yè)務(wù)性和管控性加強(qiáng)。
(3)很容易查找和定位帶病毒運(yùn)行的計算機(jī),避免帶病機(jī)器繼續(xù)運(yùn)行和擴(kuò)大影響;
(4)公司領(lǐng)導(dǎo)可以通過后臺詳細(xì)了解到企業(yè)內(nèi)部的網(wǎng)絡(luò)活動情況。具體表現(xiàn)如圖2。
(1)總覽企業(yè)的網(wǎng)絡(luò)活動情況;
(2)看看上網(wǎng)用戶中誰訪問流量最高;
(3)深入分析:看看他們都在做一些什么;
(4)看看到底聊天內(nèi)容是否與工作相關(guān);
(5)這么多的郵件中,有沒有泄漏公司機(jī)密?
4 結(jié)束語
深信服行為控制解決方案獨(dú)具的員工連接互聯(lián)網(wǎng)準(zhǔn)入管理優(yōu)勢――網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。管理員在SINFOR AC上網(wǎng)行為管理系統(tǒng)的準(zhǔn)入規(guī)則中預(yù)先定制好內(nèi)網(wǎng)計算機(jī)的安全策略,準(zhǔn)入規(guī)則會在用戶請求連接Internet之前檢查用戶計算機(jī)上網(wǎng)終端,是否達(dá)到安全要求,只有符合相應(yīng)的安全策略的內(nèi)網(wǎng)計算機(jī)才允許訪問外部網(wǎng)絡(luò),從而從根本上提高了企業(yè)內(nèi)網(wǎng)計算機(jī)的安全性。
第3篇
關(guān)鍵詞:內(nèi)部網(wǎng)系統(tǒng)網(wǎng)絡(luò)信息安全安全管理
中圖分類號:TU714文獻(xiàn)標(biāo)識碼: A 文章編號:
大企業(yè)集團(tuán)的內(nèi)部網(wǎng)絡(luò)往往結(jié)構(gòu)復(fù)雜、覆蓋面大、節(jié)點(diǎn)眾多,怎樣才能做好系統(tǒng)的網(wǎng)絡(luò)信息安全工作也就成為了各數(shù)據(jù)中心急需解決的問題。本文以某網(wǎng)絡(luò)信息安全為例,簡要論述了Internet 快速發(fā)展下內(nèi)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全管理。
一、內(nèi)部網(wǎng)系統(tǒng)計算機(jī)網(wǎng)絡(luò)信息面臨的安全威脅
1、網(wǎng)絡(luò)邊界的安全威脅
計算機(jī)網(wǎng)絡(luò)邊界包括:遠(yuǎn)程用戶 VPN 隧道、Internet 鏈路、專用WAN鏈路、PSTN 撥號、電子商務(wù)網(wǎng)絡(luò)、外部網(wǎng)連接。如果內(nèi)部系統(tǒng)在此類區(qū)域沒用一定安全防護(hù),那么其網(wǎng)絡(luò)系統(tǒng)就很可能會受到入侵者的攻擊。比如通過 Sniffer 等嗅探程序探測掃描網(wǎng)絡(luò)及操作系統(tǒng)安全漏洞,如應(yīng)用操作系統(tǒng)類型、網(wǎng)絡(luò) IP 地址、開放哪些TCP端口號、系統(tǒng)保存的用戶名和口令等安全信息文件,并針對不同的漏洞采取相應(yīng)的攻擊程序進(jìn)行網(wǎng)絡(luò)攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等獲得內(nèi)部網(wǎng)用戶用戶名、口令等假冒內(nèi)部合法身份非法登錄,竊取內(nèi)網(wǎng)重要信息。又比如說惡意攻擊,入侵者發(fā)送大量 PING 包對內(nèi)網(wǎng)服務(wù)器進(jìn)行攻擊,造成服務(wù)器超負(fù)荷工作甚至是拒絕服務(wù)造成系統(tǒng)癱瘓。
2、內(nèi)部網(wǎng)安全威脅
內(nèi)網(wǎng)設(shè)備較為分散,而其中的用戶水平也是參差不齊,不同的承載業(yè)務(wù),迥異的安全需求,這些都造成了內(nèi)網(wǎng)安全建設(shè)的多元化和復(fù)雜性;移動辦公用戶、遠(yuǎn)程撥號用戶、VPN 用戶、合作伙伴、分支機(jī)構(gòu)、供應(yīng)商、無線局域網(wǎng)等擴(kuò)展了網(wǎng)絡(luò)邊界,這讓邊界保護(hù)更為困難;蠕蟲病毒大肆泛濫、新病毒不斷涌現(xiàn),這些讓內(nèi)網(wǎng)用戶受到損失,同時,網(wǎng)絡(luò)在病毒、蠕蟲攻擊后,不能及時隔離、阻斷;內(nèi)網(wǎng)安全防范較為脆弱,抵御不了內(nèi)外部的入侵和攻擊,安全策略無法及時分發(fā)執(zhí)行,造成安全策略形同虛設(shè);內(nèi)部網(wǎng)通過 Modem、非法主機(jī)接入、無線網(wǎng)卡非法外聯(lián)等安全防范不到位,安全風(fēng)險引入;缺乏內(nèi)網(wǎng)用戶行為監(jiān)控,造成隱私和組織機(jī)密信息泄漏。
二、內(nèi)部網(wǎng)系統(tǒng)網(wǎng)絡(luò)信息安全管理的策略
1、密碼技術(shù)
密碼技術(shù)是通過信息的變換或編碼,將機(jī)密的敏感消息變換成黑客難以讀懂的亂碼型文字,以此達(dá)到不讓黑客截獲任何有意義的信息且黑客不能偽造信息的目的。采用密碼方法可以隱蔽和保護(hù)機(jī)要消息,使未授權(quán)者不能提取信息。目前對網(wǎng)絡(luò)加密主要有三種方式:鏈路加密方式、節(jié)點(diǎn)對節(jié)點(diǎn)加密方式和端對端加密方式。一般網(wǎng)絡(luò)安全系統(tǒng)主要采取第一種方式,即鏈路加密方式。
2、防火墻技術(shù)
防火墻是一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)型措施,它可以是軟件,也可以是硬件,或兩者結(jié)合。它在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略系統(tǒng),目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。通常,防火墻位于內(nèi)部網(wǎng)或不安全的網(wǎng)絡(luò)(Internet)之間,它就像一道門檻,通過對內(nèi)部網(wǎng)和外部網(wǎng)之間的數(shù)據(jù)流量進(jìn)行分析、檢測、篩選和過濾,控制進(jìn)出兩個方向的通信,以達(dá)到保護(hù)網(wǎng)絡(luò)的目的,實(shí)質(zhì)上是一種隔離控制的技術(shù)。通常,在單位內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間設(shè)置一個防火墻是防止非法入侵,確保單位內(nèi)部網(wǎng)絡(luò)安全有效的防范措施之一。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。
3、網(wǎng)絡(luò)病毒防范技術(shù)
威脅計算機(jī)網(wǎng)絡(luò)的病毒多種多樣,既有單機(jī)上常見的計算機(jī)病毒,也有專門攻擊計算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒。計算機(jī)網(wǎng)絡(luò)一旦染上病毒,其影響要遠(yuǎn)比單機(jī)染毒更大,破壞性也更大。目前,在網(wǎng)絡(luò)環(huán)境下,較為有效的防病毒方法是 Station Lock 方法。通常,防毒概念是建立在“病毒必須執(zhí)行有限數(shù)量的程序后,才會產(chǎn)生感染”的基礎(chǔ)之上。Station Lock 方法正是根據(jù)這一特點(diǎn),辨別可能的病毒攻擊意圖,并在病毒未造成任何破壞之前進(jìn)行攔截。對付網(wǎng)絡(luò)病毒應(yīng)該重點(diǎn)立足于服務(wù)器的防毒,其防毒表現(xiàn)形式為集中式掃毒,它能實(shí)現(xiàn)實(shí)時掃描,而且軟件升級也方便。選用可靠的網(wǎng)絡(luò)防病毒軟件也是網(wǎng)絡(luò)防毒的關(guān)鍵。
三、某內(nèi)部網(wǎng)絡(luò)信息安全管理設(shè)計和實(shí)現(xiàn)
根據(jù)以上對網(wǎng)絡(luò)信息管理及安全策略研究,設(shè)計基于 Web 網(wǎng)絡(luò)信息管理安全構(gòu)架,此構(gòu)架兼顧訪問控制和安全監(jiān)測兩方面。為有效管理此類信息,利用 LDAP 目錄服務(wù)來解決網(wǎng)絡(luò)信息管理中冗余問題以滿足查詢需求。該系統(tǒng)主要由管理服務(wù)器、目錄服務(wù)器、證書服務(wù)器和應(yīng)用服務(wù)器 ( 可以多個 )組成。系統(tǒng)設(shè)計中遵循 PKI 規(guī)定,通過簽發(fā)各種身份證書、角色證書和權(quán)限證書,實(shí)現(xiàn)層次化安全訪問控制。管理服務(wù)器是一臺支持 SSL 的 Web 服務(wù)器,它提供管理界面和證書申請表格,承擔(dān)了訪問控制的任務(wù)。用戶通過管理服務(wù)器注冊基本信息,管理服務(wù)器從目錄服務(wù)器中查詢訪問控制策略 (ACP) 信息,把用戶信息和相應(yīng)的訪問控制策略送到證書服務(wù)器,證書服務(wù)器根據(jù)這些信息頒發(fā)給用戶相應(yīng)角色的證書。管理服務(wù)器和證書服務(wù)器通過 LDAP 來訪問目錄服務(wù)器。系統(tǒng)采用基于角色的訪問控制來實(shí)現(xiàn)安全訪問控制。任何人的訪問行為都要遞交相應(yīng)的證書,管理服務(wù)器驗(yàn)證用戶的身份以及確定用戶的訪問權(quán)限,只有合法的用戶才可以訪問并進(jìn)行相應(yīng)的操作。
管理服務(wù)器同時承擔(dān)著安全監(jiān)測任務(wù),它驅(qū)動相應(yīng)的功能模塊對關(guān)鍵數(shù)據(jù)文件生成 MD5 摘要,并定時進(jìn)行摘要監(jiān)測和比較。如發(fā)現(xiàn)應(yīng)用服務(wù)器被攻擊,先報警,并通知管理員將被攻擊的應(yīng)用服務(wù)器從網(wǎng)上隔離開,以防止入侵者進(jìn)行更深入地破壞。如果是服務(wù)被破壞,則重新啟動服務(wù);如果是關(guān)鍵數(shù)據(jù)被破壞,則進(jìn)行錯誤定位,并用備份數(shù)據(jù)恢復(fù)被破壞的文件。所有的處理過程和結(jié)果都要生成報告通知管理人員。網(wǎng)絡(luò)信息管理系統(tǒng)的關(guān)鍵數(shù)據(jù)主要有:系統(tǒng)文件(口令文件、網(wǎng)絡(luò)啟動文件等)、網(wǎng)絡(luò)信息服務(wù)的配置文件、關(guān)鍵業(yè)務(wù)信息等。
在構(gòu)建網(wǎng)絡(luò)安全實(shí)際技術(shù)中我們堅持:保護(hù)網(wǎng)絡(luò)系統(tǒng)可靠性;保護(hù)網(wǎng)絡(luò)資源合法使用性;防范入侵者惡意攻擊與破壞;保護(hù)信息通過網(wǎng)上傳輸機(jī)密性、完整性及不可抵賴性;防范病毒侵害;實(shí)現(xiàn)網(wǎng)絡(luò)安全管理。建立在對信息系統(tǒng)安全需求與環(huán)境客觀分析、評估基礎(chǔ)上,在系統(tǒng)應(yīng)用性能及價格和安全保障需求之間確定“最佳平衡點(diǎn)”,讓網(wǎng)絡(luò)安全保障引入開銷與它帶來相當(dāng)效益。在外部網(wǎng)絡(luò)攻擊主要來源地,即第一層網(wǎng)絡(luò)出口處部署硬件防火墻,保證外部訪問只到 Web、應(yīng)用服務(wù)器層。第二層網(wǎng)絡(luò)出口處部署 VPN、硬件防火墻來,利用 VPN 加密技術(shù)及安全認(rèn)證機(jī)制,實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)傳輸真實(shí)性、機(jī)密性、完整性及可靠性,保證只有授權(quán)用戶才可訪問內(nèi)部網(wǎng)絡(luò)。此外,對來自第二、三、四層內(nèi)部網(wǎng)絡(luò)攻擊,通過網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)作防火墻補(bǔ)充,動態(tài)監(jiān)視網(wǎng)絡(luò)流過所有數(shù)據(jù)包,識別來自本網(wǎng)段內(nèi)、其他網(wǎng)段及外部網(wǎng)絡(luò)全部攻擊,解決來自防火墻內(nèi)由于用戶誤操作或內(nèi)部人員惡意攻擊所帶來的安全威脅。為減少由于安全事故造成的損失,在系統(tǒng)設(shè)備及相關(guān)鏈路等物理安全保護(hù)方面采取必要數(shù)據(jù)庫服務(wù)器冗余與備份、線路冗余備份、異地容災(zāi)等措施。
四、結(jié)論
信息安全是個綜合性課題,涉及技術(shù)、立法、管理、使用等多方面,對網(wǎng)絡(luò)信息安全保護(hù)有更高要求,也讓網(wǎng)絡(luò)信息安全學(xué)科地位更重要,網(wǎng)絡(luò)信息安全在將來必然會隨著網(wǎng)絡(luò)應(yīng)用不斷發(fā)展。
參考文獻(xiàn):
