基于網(wǎng)絡(luò)安全的網(wǎng)絡(luò)信息論文范文
本站小編為你精心準(zhǔn)備了基于網(wǎng)絡(luò)安全的網(wǎng)絡(luò)信息論文參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。
隨著系統(tǒng)的實(shí)施,黑龍江省“金保工程”業(yè)務(wù)處理對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度將逐步增大,安全問(wèn)題不容忽視。針對(duì)信息系統(tǒng)網(wǎng)絡(luò)方面可能面臨的各種風(fēng)險(xiǎn)和安全威脅,建立了多層次、立體交叉的網(wǎng)絡(luò)安全屏障,以確保系統(tǒng)安全、穩(wěn)定運(yùn)行。主要體現(xiàn)在以下幾個(gè)層面。
1物理層面
物理層面的風(fēng)險(xiǎn)主要是指由于計(jì)算機(jī)硬件設(shè)備損壞而影響系統(tǒng)正常運(yùn)行,物理層面是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的第一道防線。在物理層面的安全屏障主要有:(1)建立災(zāi)備中心。中心平臺(tái)包括數(shù)據(jù)中心、災(zāi)備中心和監(jiān)控中心。數(shù)據(jù)中心是整個(gè)系統(tǒng)的核心,與數(shù)據(jù)中心不同物理地址的災(zāi)備中心是數(shù)據(jù)中心的備份。目前,通過(guò)遠(yuǎn)程磁帶備份系統(tǒng),每天將數(shù)據(jù)中心內(nèi)的數(shù)據(jù)備份到災(zāi)備中心磁帶庫(kù),并將磁帶轉(zhuǎn)移到其它地點(diǎn)。最大限度在24小時(shí)之內(nèi)恢復(fù)受損數(shù)據(jù)。二期建設(shè)將在災(zāi)備中心建立與數(shù)據(jù)中心相同的網(wǎng)絡(luò)平臺(tái),實(shí)現(xiàn)數(shù)據(jù)中心的應(yīng)用級(jí)災(zāi)備。(2)設(shè)備和線路冗余配置。為了防止數(shù)據(jù)中心所有設(shè)備和網(wǎng)絡(luò)的單點(diǎn)故障導(dǎo)致服務(wù)中斷,在平臺(tái)和網(wǎng)絡(luò)的設(shè)計(jì)上采用完全冗余的配置。一是中心平臺(tái)所有的核心設(shè)備均采用兩臺(tái)或多臺(tái)雙機(jī)冗余熱備和負(fù)載均衡機(jī)制。二是在線路上,采用一主一備網(wǎng)絡(luò)連接,“省-市地”主干網(wǎng)以覆蓋全省各市地的電子政務(wù)網(wǎng)為主,以基于互聯(lián)網(wǎng)的10M光纖為備份,所有連接節(jié)點(diǎn)均有兩個(gè)以上的路由連接數(shù)據(jù)中心。(3)完善機(jī)房環(huán)境。中心平臺(tái)和各市地的中心節(jié)點(diǎn)機(jī)房建設(shè)均按國(guó)家A級(jí)機(jī)房標(biāo)準(zhǔn)規(guī)劃,基本設(shè)施包括:多路互投供電和不間斷電源UPS,六面體屏蔽,防雷、防靜電、防盜、防火、防水、防塵等系統(tǒng),溫度和濕度控制系統(tǒng)。同時(shí)建立嚴(yán)格的機(jī)房管理制度,有利地保障了系統(tǒng)的穩(wěn)定運(yùn)行。
計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)在大大擴(kuò)展信息資源共享空間的同時(shí),也將其自身暴露在更多危險(xiǎn)攻擊之下。信息系統(tǒng)也同樣承擔(dān)著非法接入、非法訪問(wèn)、病毒傳播等風(fēng)險(xiǎn)。網(wǎng)絡(luò)層面的安全屏障主要有:(1)路由策略。由于信息系統(tǒng)的網(wǎng)絡(luò)大部線路是基于公網(wǎng)的VPN通道,因此在出口處的VPN設(shè)備必然要與公網(wǎng)連接,為防止來(lái)自公網(wǎng)的非法訪問(wèn),內(nèi)網(wǎng)用戶的IP地址使用了RFC1918所定義的私有網(wǎng)絡(luò)地址,這種地址外部用戶不能夠直接訪問(wèn),同時(shí)連接外網(wǎng)的VPN設(shè)備也不把到公網(wǎng)的路由廣播到內(nèi)部網(wǎng)絡(luò)。這樣可以保證內(nèi)網(wǎng)用戶和外網(wǎng)用戶雙方都無(wú)法直接互相訪問(wèn)。(2)防火墻訪問(wèn)控制。在中心平臺(tái)和每個(gè)地市中心節(jié)點(diǎn)都安裝了一臺(tái)做訪問(wèn)控制的防火墻,這臺(tái)防火墻只允許內(nèi)部數(shù)據(jù)通過(guò),任何內(nèi)外之間的直接訪問(wèn)都會(huì)被防火墻所隔離,有效的防止了外部非法訪問(wèn)。(3)多層面用戶身份認(rèn)證。在網(wǎng)絡(luò)上用戶的合法性和該用戶擁有的合法權(quán)限均通過(guò)多個(gè)層面的身份認(rèn)證系統(tǒng)來(lái)確認(rèn),這些認(rèn)證包括VPN密鑰認(rèn)證、Radius身份認(rèn)證、終端設(shè)備和數(shù)字密鑰身份認(rèn)證、業(yè)務(wù)系統(tǒng)登錄認(rèn)證等。如果黑客想要冒充合法用戶進(jìn)入時(shí),由于沒(méi)有密鑰口令,連接請(qǐng)求將會(huì)被拒絕。網(wǎng)絡(luò)最終要做到每個(gè)用戶在信息中心登記后分配給其單獨(dú)的用戶名和口令,并定期更新口令。為了加強(qiáng)對(duì)用戶的身份認(rèn)證,還在應(yīng)用層上對(duì)用戶所持有的數(shù)字密鑰進(jìn)行驗(yàn)證,只有各方面信息完全吻合的用戶才能被認(rèn)定為合法用戶,授予登錄訪問(wèn)權(quán)限。而且因采用分層管理,合法用戶也無(wú)法訪問(wèn)到與其無(wú)關(guān)的服務(wù)內(nèi)容。(4)使用訪問(wèn)列表控制非法連接。訪問(wèn)控制列表是應(yīng)用在路由器接口的指令列表,這些指令列表可以控制路由器的數(shù)據(jù)接收。通過(guò)靈活地增加訪問(wèn)控制列表,可以過(guò)濾流入和流出路由器接口的數(shù)據(jù)包。(5)設(shè)置網(wǎng)絡(luò)防病毒系統(tǒng)。在系統(tǒng)中部署了網(wǎng)絡(luò)防病毒軟件,在省數(shù)據(jù)中心設(shè)置了一臺(tái)防病毒根服務(wù)器,在各地市中心設(shè)置防病毒分支服務(wù)器。網(wǎng)絡(luò)管理員只要定期升級(jí)根服務(wù)器,全省的防病毒軟件客戶端就可以通過(guò)分支的防病毒服務(wù)器隨時(shí)自動(dòng)進(jìn)行升級(jí)。(6)通過(guò)訪問(wèn)控制隔斷病毒傳播途徑。多數(shù)病毒的傳播途徑都是有規(guī)律可循的。當(dāng)某種病毒流傳時(shí),根據(jù)其網(wǎng)絡(luò)傳播特點(diǎn),在網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)設(shè)備上制定相應(yīng)的訪問(wèn)控制列表,就可將病毒控制在最小范圍內(nèi)來(lái)處理,而不會(huì)大面積傳播。
3應(yīng)用層面和數(shù)據(jù)層面
應(yīng)用和數(shù)據(jù)兩個(gè)層面的風(fēng)險(xiǎn)主要有:非法用戶(入侵者)對(duì)網(wǎng)絡(luò)進(jìn)行探測(cè)掃描、通過(guò)攻擊程序?qū)?yīng)用層主機(jī)的漏洞進(jìn)行攻擊、使服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。由于系統(tǒng)采用的是基于公網(wǎng)的VPN技術(shù),信息需要通過(guò)公網(wǎng)傳輸,在公網(wǎng)上,信息有可能會(huì)被人截獲,造成信息泄漏或數(shù)據(jù)被修改后再發(fā)送,從而造成數(shù)據(jù)破壞。用于數(shù)據(jù)層面的屏障主要有:(1)在通過(guò)公網(wǎng)建立VPN連接時(shí),所有傳輸數(shù)據(jù)都經(jīng)過(guò)加密,以防止在傳輸過(guò)程中被竊聽(tīng)或篡改。(2)防止非法用戶進(jìn)入并攻擊系統(tǒng)。首先是防止非法用戶連接到內(nèi)部網(wǎng)絡(luò),具體措施已在前面網(wǎng)絡(luò)層面論述。而對(duì)已經(jīng)連接到內(nèi)部網(wǎng)絡(luò)中的非法用戶,要防止其對(duì)服務(wù)器進(jìn)行攻擊。解決此問(wèn)題的措施主要有:①對(duì)關(guān)鍵服務(wù)器采用負(fù)載均衡交換機(jī)進(jìn)行端口映射。負(fù)載均衡交換機(jī)對(duì)訪問(wèn)沒(méi)有進(jìn)行映射端口的數(shù)據(jù)包直接丟棄,使針對(duì)服務(wù)器的端口掃描和漏洞攻擊無(wú)效,使非法用戶無(wú)法遠(yuǎn)程對(duì)服務(wù)器進(jìn)行直接訪問(wèn),也就不能發(fā)起直接攻擊;②入侵檢測(cè)系統(tǒng)隨時(shí)對(duì)入侵行為進(jìn)行報(bào)警和記錄。在數(shù)據(jù)中心和各地市中心都配置了入侵檢測(cè)系統(tǒng),隨時(shí)監(jiān)控著網(wǎng)絡(luò)上的數(shù)據(jù)流量,檢測(cè)到攻擊特征的數(shù)據(jù)后立即告警,以便迅速采取進(jìn)一步的措施,同時(shí)也為事后審核及追查攻擊源頭提供參考;③使用漏洞掃描系統(tǒng)進(jìn)行主動(dòng)的安全防護(hù)。信息中心配備了便攜式的漏洞掃描系統(tǒng),由管理員根據(jù)需要不定期的掃描系統(tǒng)內(nèi)服務(wù)器和網(wǎng)絡(luò)設(shè)備的漏洞,通過(guò)自身的主動(dòng)監(jiān)測(cè),發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)彌補(bǔ),對(duì)網(wǎng)絡(luò)入侵做到防范于未然,同時(shí)建立系統(tǒng)安全報(bào)告,對(duì)整個(gè)系統(tǒng)的安全狀況提供客觀的評(píng)估標(biāo)準(zhǔn)。
4結(jié)束語(yǔ)
黑龍江省“金保工程”信息系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)方面的安全機(jī)制是整體的、動(dòng)態(tài)的。不僅包括物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多層面的內(nèi)容,并且配置了負(fù)載均衡交換機(jī)、防火墻、IDS、VPN、漏洞掃描、防病毒、身份認(rèn)證等多種安全設(shè)備和安全技術(shù)手段,同時(shí)還建立完善的安全管理體制,有效地實(shí)現(xiàn)整體安全,建筑一道可靠的網(wǎng)絡(luò)安全屏障,確保信息系統(tǒng)穩(wěn)定運(yùn)行。
作者:陳帥單位:黑龍江省人力資源和社會(huì)保障信息中心