基于網絡安全的網絡信息論文范文
本站小編為你精心準備了基于網絡安全的網絡信息論文參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
隨著系統的實施,黑龍江省“金保工程”業務處理對計算機網絡的依賴程度將逐步增大,安全問題不容忽視。針對信息系統網絡方面可能面臨的各種風險和安全威脅,建立了多層次、立體交叉的網絡安全屏障,以確保系統安全、穩定運行。主要體現在以下幾個層面。
1物理層面
物理層面的風險主要是指由于計算機硬件設備損壞而影響系統正常運行,物理層面是整個網絡系統安全的第一道防線。在物理層面的安全屏障主要有:(1)建立災備中心。中心平臺包括數據中心、災備中心和監控中心。數據中心是整個系統的核心,與數據中心不同物理地址的災備中心是數據中心的備份。目前,通過遠程磁帶備份系統,每天將數據中心內的數據備份到災備中心磁帶庫,并將磁帶轉移到其它地點。最大限度在24小時之內恢復受損數據。二期建設將在災備中心建立與數據中心相同的網絡平臺,實現數據中心的應用級災備。(2)設備和線路冗余配置。為了防止數據中心所有設備和網絡的單點故障導致服務中斷,在平臺和網絡的設計上采用完全冗余的配置。一是中心平臺所有的核心設備均采用兩臺或多臺雙機冗余熱備和負載均衡機制。二是在線路上,采用一主一備網絡連接,“省-市地”主干網以覆蓋全省各市地的電子政務網為主,以基于互聯網的10M光纖為備份,所有連接節點均有兩個以上的路由連接數據中心。(3)完善機房環境。中心平臺和各市地的中心節點機房建設均按國家A級機房標準規劃,基本設施包括:多路互投供電和不間斷電源UPS,六面體屏蔽,防雷、防靜電、防盜、防火、防水、防塵等系統,溫度和濕度控制系統。同時建立嚴格的機房管理制度,有利地保障了系統的穩定運行。
2網絡層面
計算機網絡互聯在大大擴展信息資源共享空間的同時,也將其自身暴露在更多危險攻擊之下。信息系統也同樣承擔著非法接入、非法訪問、病毒傳播等風險。網絡層面的安全屏障主要有:(1)路由策略。由于信息系統的網絡大部線路是基于公網的VPN通道,因此在出口處的VPN設備必然要與公網連接,為防止來自公網的非法訪問,內網用戶的IP地址使用了RFC1918所定義的私有網絡地址,這種地址外部用戶不能夠直接訪問,同時連接外網的VPN設備也不把到公網的路由廣播到內部網絡。這樣可以保證內網用戶和外網用戶雙方都無法直接互相訪問。(2)防火墻訪問控制。在中心平臺和每個地市中心節點都安裝了一臺做訪問控制的防火墻,這臺防火墻只允許內部數據通過,任何內外之間的直接訪問都會被防火墻所隔離,有效的防止了外部非法訪問。(3)多層面用戶身份認證。在網絡上用戶的合法性和該用戶擁有的合法權限均通過多個層面的身份認證系統來確認,這些認證包括VPN密鑰認證、Radius身份認證、終端設備和數字密鑰身份認證、業務系統登錄認證等。如果黑客想要冒充合法用戶進入時,由于沒有密鑰口令,連接請求將會被拒絕。網絡最終要做到每個用戶在信息中心登記后分配給其單獨的用戶名和口令,并定期更新口令。為了加強對用戶的身份認證,還在應用層上對用戶所持有的數字密鑰進行驗證,只有各方面信息完全吻合的用戶才能被認定為合法用戶,授予登錄訪問權限。而且因采用分層管理,合法用戶也無法訪問到與其無關的服務內容。(4)使用訪問列表控制非法連接。訪問控制列表是應用在路由器接口的指令列表,這些指令列表可以控制路由器的數據接收。通過靈活地增加訪問控制列表,可以過濾流入和流出路由器接口的數據包。(5)設置網絡防病毒系統。在系統中部署了網絡防病毒軟件,在省數據中心設置了一臺防病毒根服務器,在各地市中心設置防病毒分支服務器。網絡管理員只要定期升級根服務器,全省的防病毒軟件客戶端就可以通過分支的防病毒服務器隨時自動進行升級。(6)通過訪問控制隔斷病毒傳播途徑。多數病毒的傳播途徑都是有規律可循的。當某種病毒流傳時,根據其網絡傳播特點,在網絡路由轉發設備上制定相應的訪問控制列表,就可將病毒控制在最小范圍內來處理,而不會大面積傳播。
3應用層面和數據層面
應用和數據兩個層面的風險主要有:非法用戶(入侵者)對網絡進行探測掃描、通過攻擊程序對應用層主機的漏洞進行攻擊、使服務器超負荷工作以至拒絕服務甚至系統癱瘓。由于系統采用的是基于公網的VPN技術,信息需要通過公網傳輸,在公網上,信息有可能會被人截獲,造成信息泄漏或數據被修改后再發送,從而造成數據破壞。用于數據層面的屏障主要有:(1)在通過公網建立VPN連接時,所有傳輸數據都經過加密,以防止在傳輸過程中被竊聽或篡改。(2)防止非法用戶進入并攻擊系統。首先是防止非法用戶連接到內部網絡,具體措施已在前面網絡層面論述。而對已經連接到內部網絡中的非法用戶,要防止其對服務器進行攻擊。解決此問題的措施主要有:①對關鍵服務器采用負載均衡交換機進行端口映射。負載均衡交換機對訪問沒有進行映射端口的數據包直接丟棄,使針對服務器的端口掃描和漏洞攻擊無效,使非法用戶無法遠程對服務器進行直接訪問,也就不能發起直接攻擊;②入侵檢測系統隨時對入侵行為進行報警和記錄。在數據中心和各地市中心都配置了入侵檢測系統,隨時監控著網絡上的數據流量,檢測到攻擊特征的數據后立即告警,以便迅速采取進一步的措施,同時也為事后審核及追查攻擊源頭提供參考;③使用漏洞掃描系統進行主動的安全防護。信息中心配備了便攜式的漏洞掃描系統,由管理員根據需要不定期的掃描系統內服務器和網絡設備的漏洞,通過自身的主動監測,發現系統漏洞并及時彌補,對網絡入侵做到防范于未然,同時建立系統安全報告,對整個系統的安全狀況提供客觀的評估標準。
4結束語
黑龍江省“金保工程”信息系統在網絡系統方面的安全機制是整體的、動態的。不僅包括物理安全、系統安全、網絡安全、應用安全等多層面的內容,并且配置了負載均衡交換機、防火墻、IDS、VPN、漏洞掃描、防病毒、身份認證等多種安全設備和安全技術手段,同時還建立完善的安全管理體制,有效地實現整體安全,建筑一道可靠的網絡安全屏障,確保信息系統穩定運行。
作者:陳帥單位:黑龍江省人力資源和社會保障信息中心