前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全规划与设计范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
1.1网络存储技术安全
对于一个企业来说,网络存储数据的安全性是极其重要的一个工作内容,一旦重要的数据被损坏或者丢失,便会对企业日常生产、运作造成重大的影响,甚至是会产生无法估计和难以弥补的损失,故计算机系统不是永远可靠的,单单依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经远远解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。目前的存储模式有直接连接存储模式(DirectAttachedStorage,DAS)、网络存储模式(NetworkAttachedStorage,NAS)、存储区域网络(StorageAreaNetwork,SAN)。
在网络规划、设计及实施方面侧重于网络安全性的方案选取,包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密等等方面,充分发挥网络安全性的原则。
2网络安全管理策略
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
2.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
2.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
2.3网络安全策略的设计与实施步骤
(1)确定网络安全需求,确定网络安全需求的范围,评估面临的网络风险;
(2)制订可实现的网络安全策略目标;
(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容;
(4)制订网络安全系统的日常维护计划。
3网络安全防御与改善措施
3.1网络安全防范管理
做好网络安全防范计划于与策略,对网络安全进行防范控制盒管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:
(1)国家信息安全漏洞共享平台;
(2)反网络病毒联盟组织。
3.2建立良好的网络安全机制
目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。在此,我们重点介绍数据加密、入侵检测系统和防火墙技术。
(1)数据加密:该技术更好的实现了信息的保密性,确保了信息在传输及存储过程中不会被其他人获取,它是一种十分有效的网络安全技术措施。因此,为了保障数据的存储和传输安全,需要对一些重要数据进行加密。
(2)入侵检测系统:在系统检测或者可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的行为。入侵检测系统是一种主动保护网络免受攻击的安全技术,从而简化网络管理员的工作,保护网络安全的运行。
(3)防火墙技术:建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,外部网络(通常是Internet,互联网)被认为是不安全和不可信赖的。防火墙技术是一种被动网络安全技术,是目前应用最多的一种网络安全技术,但是,防火墙技术有它的局限性,它假设了网络边界和服务,导致对内部的非法访问难以有效的进行控制。
3.3引入网络安全审计系统
一、学校网络与信息安全工作情况
本次检查内容主要包含网络与信息系统安全的管理机构、规章制度、设施设备、网站和信息运行情况、人技防护、队伍建设等5个方面,同时从物理安全差距、网络安全差距、主机安全差距、应用安全差距、数据安全及恢复差距等5个方面对主机房和14个信息系统、1个网站进行等级保护安全技术差距分析,通过差距分析,明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
从检查情况看,我校网络与信息安全总体运维情况良好,未出现任何一起重大网络安全与信息安全事件(事故)。近几年,学校领导重视学校网络信息安全工作,始终把网络信息安全作为信息化工作的重点内容;网络信息安全工作机构健全、责任明确,日常管理维护工作比较规范;管理制度较为完善,技术防护措施得当,信息安全风险得到有效降低;比较重视信息系统(网站)系统管理员和网络安全技术人员培训,应急预案与应急处置技术队伍有落实;加强对学生网络宣传引导教育,日常重视微信、微博、QQ群的管理,提倡争当“绿色网民”;工作经费有一定保障,网络安全工作经费纳入年度预算,在最近一年学校信息化经费投入中,网络建设与设备购置费用约占56、5%,数字资源与平台开发费用约占40、6%,培训费用约占0、6%,运行与维护费用约占1、04%,研究及其他费用约占1、23%,总计投入占学校同期教育总经费支出的比例约1、57%,基本保证了校园网信息系统(网站)持续安全稳定运行。
1、网络信息安全组织管理
20xx年学校成立网络与信息安全工作领导小组,校主要领导担任组长,网络与信息安全工作办公室设在党委工作部,领导小组全面负责学校网络信息安全工作,教育技术与信息中心作为校园网运维部门承担信息系统安全技术防护与技术保障工作,对全校网络信息安全工作进行安全管理和监督责任。各部门承担本单位信息系统和网站信息内容的直接安全责任。20xx年,由于人动,及时调整网络安全和信息安全领导小组成员名单,依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,明确各部门负责人为部门网站的具体负责人,建立学校网络信息员队伍,同时,还组建网络文明志愿者队伍,对网络出现的热点问题,及时跟踪、跟帖、汇报。
2、信息系统(含网站)日常安全管理
学校建有“校园网络系统安全管理(暂行)条例”、“学生上网管理办法“、“校园网络安全保密管理条例(试行)”、“校园网管理制度”、“网络与信息安全处理预案”、“网上信息监控制度”等系列规章制度。各系统(网站)使用单位基本能按要求,落实责任人,较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常监控对象包括主要网络设备、安全设备、应用服务器等,其中网络中的边界防火墙、网络核心交换机和路由器、学校站服务器均纳入重点监控。日常维护操作较规范,多数单位做到了杜绝弱口令并定期更改,严密防护个人电脑,定期备份数据,定期查看安全日志等,随时掌握系统(网站)状态,保证正常运行。
3、信息系统(网站)技术防护
学校网络信息安全前期的防控主要是基于山石防火墙、深信服防火墙及行为管理软件,20xx年为加强校园网络安全管理,购置了“网页防篡改、教师行为管理、负载均衡”等相关安全设备,20xx年二月中旬完成校园信息系统(含网站)等级保护的定级和备案,并上报xxx市网安支队。同时,按二级等保要求,约投资110万元,完成“网络入侵防御系统、网络安全审计系统、运维审计-堡垒机系统、服务及测评及机房改造(物理安全)”等网络安全设备的采购工作,目前,方案已经通过专家论证。
20xx年4月-6月及20xx年3月对网站系统进行安全测评,特别对系统层和应用层漏洞扫描,发现(教务管理系统、教学资源库)出现漏洞,及时整改,并将结果上报省教育厅、省网安大队、xxx市网安支队。同时,对各防火墙软件7个库进行升级,对服务器操作系统存在的漏洞及时补丁和修复,做好网站的备份工作等。
4、网络信息安全应急管理
20xx年学校制定了《xxx职业技术学校网络与信息安全处理预案》、《xxx职业技术学校网络安全和学生校内聚集事件应急处置预案》。教育技术与信息中心为应急技术支持单位,在重大节日及敏感时期,采用24小时值班制度,对网络安全问题即知即改,确保网络安全事件快速有效处置。
二、检查发现的主要问题
对照《通知》中的具体检查项目,我校在网络与信息安全技术和安全管理建设上还存在一定的问题:
1、由于学校信息化建设尚处于起步阶段,学院数据中心建设相对薄弱,未建成完善的数据中心共享体系,各应用系统的数据资源安全及灾备均由相关使用部门独自管理。同时,网络安全保障平台(校园网络安全及信息安全等级保护)尚在建设中。
2、部分系统(网站)日常管理维护不够规范,仍存在管理员弱口令、数据备份重视不够、信息保密意识较差等问题;学校子网页网管员为兼职,投入精力难以保证,而且未取得相应资格证书;由于经费问题,个别应用系统未能及时升级,容易发生安全事故。
3、目前尚未开展网络安全预案演练,还未真正组建一支校内外联合的网络安全专家队伍,未与社会企业签订应急支持协议和完成应急队伍建设规划。
三、整改措施
针对存在的问题,学校网络与信息安全工作领导小组专门进行了研究部署。
1、全面开展信息系统等级保护工作。按照相关《通知》要求,20xx年8月底全面完成网络安全保障平台建设,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方案,形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障信息系统整体的安全。
2、完善网络安全管理制度。根据等级保护要求,进行信息安全策略总纲设计、信息安全各项管理制度设计、信息安全技术规范设计等,保障信息系统整体安全。
高校在建设的时候,网络规划、网络安全设计等都是根据当时的实际情况再预计未来一段时间的扩展性来设计,许多网络系统、设备等到目前为止已经开始落后。网络数据的井喷与网络应用的飞速发展,更是进一步考验高校现有网络的安全性、可靠性和稳定性。虽然,许多高校随着时代的不断发展,也在不断地更新换代新的设备,但是更换新一代的设备只是性能上的进一步提升,对于数据处理、转发是跟得上时代的发展,不过对于网络安全来说却远远不足。
关键词:
网络安全;校园网;策略
1校园网络基础网络架构
早期大部分高等院校校园建设的时候,信息化规划跟不上学校教育的扩展,许多高等院校的基础网络架构都是简单的层次化网络结构(见图1):接入层、汇聚层、核心层级联,再通过防火墙出口外部网络,同时保证外部网络对内部网络的威胁被阻止,相对高级一些的设计还可能包括IDS(入侵检测系统),随着学校的不断发展,一步步在原有的基础网络上添加新设备来丰富网络组成,并提供更多的网络服务。
2传统网络攻击过程
在从前,主要的网络安全威胁来自基于各种漏洞而进行的网络攻击和下载带病毒的软件包而导致的系统病毒感染。而这些传统的网络攻击手段之后,才是在被攻破的系统中留下木马、后门,或者破坏、窃取数据。这些传统的攻击手段是层层递进式的(见图2),从攻击的开始到结束以递进的形式进行,如果前面的步骤无法实现,则整个网络攻击过程将会中断。这些传统的网络攻击包括诸如DoS攻击、DDoS攻击、系统入侵、网络渗透等。不断重复这样的一个网络攻击过程,当累积到一定的量后所组成的网络僵尸大军将对整个网络造成非常严重的影响。
3传统校园网络安全防范体系
根据传统的网络攻击过程,在许多的院校的基础网络中都会加入相应的网络安全防范措施,这些网络安全防范措施就构成了常见的校园网络安全防范体系。而在传统的高校校园网络安全防范体系中,将网络安全防御定义为外部网络、内部网络和用户3个层次,而每个层次中有针对该层次的网络安全设备和措施。对于外部网络这一个层面,直接面对的是防火墙,很多的院校网络都采用防火墙作网络出口,承担着网关与防火墙的双重功能。采用防火墙作为外部网络与内部网络的边界,可以有效地阻止大部分来自于外部网络的恶意攻击,保证内部网络的稳定。在防火墙之后部署一台入侵防御系统,可以进一步检测可能避过防火墙的安全检测而进入网络的恶意流量。在内部网络这个层面,传统的网络安全体系中一般没有什么网络安全设备,在这个层次主要采用的是基于策略的网络安全措施,也就是所谓的软设备。通过网络设备中进行软件层面的安全策略设计,保证内部网络流量的正常稳定的转发。例如,采用访问控制列表来对网络进行一些控制,不允许学生访问教师网络资源;使用QoS功能保证数据的高效转发,设置安全端口,MAC与IP地址的绑定,甚至更高级的基于802.1x的认证。到了用户层面,主要确保的是操作系统的安全,因为很多恶意的攻击软件、病毒、木马或入侵软件都是基于操作系统漏洞进行渗透破坏的,所以在用户这个层面,针对操作系统要打好操作系统的补丁、安装功能强大的杀毒软件,开启操作系统自带的软件防火墙或者杀毒软件的防火墙,进一步,加强用户层面的安全性。即使用有瞒过防火墙,混过入侵防护系统的漏网之鱼,也可以在用户层面进行补救。采用这种传统的网络安全体系进行网络安全的设计部署,在以前的网络时代还是有很好的效果的,但是,现今进入了网络时代2.0,新的技术、新的威胁层出不穷,此时旧的网络安全体系在网络安全防护上表现得就有些捉襟见肘了。校园网络需要推陈出新,结合现在的校园网络及互联网络的发展趋势,设计更合适更合理的网络安全解决方案。
4传统网络安全策略应用分析
传统校园网络安全解决方案使用的网络安全策略应用是基于不同层面进行区分的,针对不同层面分别部署相对应的网络安全设备或网络安全策略。这种网络安全策略应用主要是针对从外部网络进入内部网络的流量进行检测控制,正如防火墙功能一样,定义了外部非安全区域、内部安全区域和DMZ区域,然后给这些区域定义安全等级和默认策略。这种安全体系的设计对于以前的网络攻击过程(见图4)来说是可以满足校园网络安全的需求的。在以前的网络环境中,攻击主要来自外部,内部的安全等级是可信的,所以外部的攻击流量经过防火墙后,基本上已经抵御了,再经过IPS或IDS设备后,到达用户层面时还要经过操作系统或杀毒软件防火墙后,可以成功攻击目标的恶意行为已经降到了可接受层面范围。所以,从前的校园网络安全情况比现在相对要好一些。如图4的攻击过程示意所示,基于原有的网络安全策略应用对于起源自外部网络的攻击可以做到有效防范,但是正如前文提到的,现在越来越多的现象是,内部用户通过其他途径感染了自动下载代码或木马端等恶意源后,从内部发起攻击或者自动下载各式各样病毒木马直接破坏用户操作系统,并以此为跳板,从内部网络感染、攻击其他用户主机、学校服务器等设备,导致学校网络受到严重影响进一步影响学校的正常教学秩序。原有的校园网络安全策略应用基于单向防护、由3个独立层面以递进的方式构建的校园网络防御系统,其性能已经无法适应现时复杂多样化的校园网络环境。因此,针对这个旧的网络安全策略应用的不足,需要一个更合适更优秀的校园网络安全策略。
5传统网络安全策略架构分析
在院校用的旧的校园网络解决方案中,采用的基础架构简单实用,在从前的网络时代,无论是外部网络还是内部网络的数据流量都不并是很大,而且那时候无论是师生的日常生活还是教学活动中,对网络的依赖程度也不高。不过,随着人们对网络的依赖性的不断加强,以及信息化教学的广泛推广,校园网络中产生了越来越多的数据,并且日常教学也有绝大部分是基于网络的。这个时候,传统的网络架构就存在不足,主要体现在网络单点故障现象导致的网络中断而影响师生的生活学习和学校的教学秩序。现在新规划的校园网络中,校园网络基础架构相对复杂,但是性能和安全性都有所提升。现有校园网络基本上都是基于双网络核心热备以提高网络的安全性和可靠性的设计,根据学校的需求,可以选择在关键节点部署双机热备提供安全可靠性,避免了原有基础网络架构的不足。
6网络安全策略应用技术分析
经过调查了解,现在校园网络中采用的技术有很多都不符合标准,例如密码的复杂性,这个最基本的一条都做不到。另外,学校管理中使用的技术不足,如管理网络设备使用telnet协议而不是采用ssh,对管理流量与数据流量没有区分控制,无线网络的加密算法采用容易破解的算法等等。这些技术细节上的不足,也会导致校园网络安全受到威胁。因此,在新的网络安全策略应用中,应该注意相关网络安全技术的使用是否符合安全等级的要求。
7传统高校校园网络安全策略应用的优点
对于传统的高校校园网络安全解决办法来说,好处就是学校的信息化建设方案相对简单,管理相对便捷,在数据量以及网络依赖性不高的院校,或资金不足的院校具有一定的参考作用。
8传统高校校园网络安全策略应用的缺点
对于传统的高校校园网络安全解决办法来说,弊端就是学校校园网络安全受到严重威胁,来自校园网络外部、内部、系统自身产生的安全威胁汇集起来使用整个校园网络的复杂性、不稳定性大大增加,最后导致网络安全性大大降低。
作者:周怡燕 单位:南华工商学院
[参考文献]
[1]邹县芳,孙道德.高校校园网络安全问题及策略研究[J].阜阳师范学院学报:自然科学版,2010(27):87-90.
[2]杜芸.高校校园网网络安全隐患与解决策略探析[J].信息安全与技术,2015(6):13-15.
[3]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(7):160-161.
随着科学技术的迅速发展,网络的应用也逐渐普及,移动传输网络也在不断地更新与改善。本文首先分析了移动传输网络的发展阶段,然后归纳了移动传输网络安全的现状及影响因素,最后详细阐述了移动传输网络安全性能的提升对策。
【关键词】移动传输网络 安全 光缆路由 传输组网 设备
1 移动传输网络的发展阶段
1.1 模拟蜂窝通讯技术阶段
模拟蜂窝通信技术是最早的移动传输网络技术,该项技术借助于网络终端具有的移动特性,采用无线组网的方式将网络设备和网络终端连接起来,这样便实现了移动体之间及移动体与固定体之间的通信传输。但是,该种技术尤其不可忽视的弊端,即通信传输网络的安全性较差,直接导致的后果就是通话内容易被窃听。
1.2 GSM 通信技术阶段
GSM 通信技术即大家所熟知的2G 移动通信技术,GSM 通信技术主要分为以下两种:
(1)900/188MHZ GSM 第二代模拟蜂窝通信系统。这种通信传输系统是利用GSM 网络来进行消息的发起和接收,该系统功能多样,具有了移动数据、呼叫转移以及手机来电显示等多功能,与此同时还具有了智能网络的一些业务,提供数据漫游和预付费的功能。但该系统仍具有一定的局限性,即经营业务上的局限性。
(2)800MHZ CDMA 第二代模拟蜂窝通信系统。该系统即CDMA网络系统,与前一种系统不同,这种系统是利用CDMA网络进行信息数据的发起和接收,系统同样具有移动数据、呼叫转移以及手机来电显示等多功能,并提供智能网络业务,提供数据漫游和预付费的功能。与第一种网络的区别就在于工作的频段不同,网络的种类不同。
1.3 GPRS 移动通信技术阶段
GPRS移动通信技术被认为是2G 移动通信技术向3G移动通信技术的过渡,由此又被称为2.5G 移动通信技术。该通信技术进行信息数据传输利用的是无线分组交换技术,该技术在 GSM 的基础上,在高速 IP 和 X.25 数据接入上有了更进一步的提高和改进。GPRS移动通信技术在通信技术的历史发展中具有里程碑的意义。是人类在移动通信中迈出的重要一步。
2 移动传输网络安全的现状及影响因素
2.1 移动传输网络安全的现状
移动传输网络在我国已有了较长的发展历史,各个地市的传输网络也形成了相当的规模。我国的移动传输网络业务都是采用中心局落地,想四周辐射的方式。另外,本地移动传输网络的骨干环路大多是采用2.5G或10G光传输设备组成,汇聚环则是由2.5G传输设备组成。
我国的本地传输网络客观上存在着网络结构复杂、路由不合理、网管数据杂乱、设备型号繁多等多种问题,这样对移动传输网络的安全性产生了巨大的威胁。
2.2 移动传输网络安全的影响因素
从我国当前移动传输网络安全的现状中可以看出,影响移动传输网络安全的因素是多种多样的,具体体现在以下几方面:
(1)线路路由不合理。从这个方面考虑,影响传输网络安全性的因素有:传输汇聚节点出入局同缆、环内存在同缆组环、长分支链路。
(2)传输设备选型不合理。主要表现在重要机盘无热备份、同一局向业务无分流或分担、不同厂家设备或同厂家不通版本设备对接、大量微波或PDH设备的应用、设备无过压保护功能等。
(3)组网不合理。主要表现在重要节点没有失效保护机制、同区业务集中、网络中较长链路、同一节点存在大量分支节点、网络时钟成环等。
(4)其他因素。基站电池容量不足或电池劣化、设备工作电压不稳定以及设备空开与耗电量不匹配、传输设备工作环境差、网管交叉数据杂乱等。
3 移动通信传输网络安全性能的提升对策
3.1 加强对光缆路由的管理
光缆路由的不合理是影响移动传输网络安全的重要因素,因此在规划建设移动通信传输网络的初始阶段就应该加强对路由铺设和传输节点的合理规划,合理的规划能够有效的避免出入局同缆的情况,但要注意规划一定是要以工程的实际情况为出发点的。另外,若是无法避免出入局同缆的情况,那么应积极采用其他方法解决,一般可采用重新建网和租用其他路由的方式。除此之外,需要在光缆的架构设计中引起注意,应极力避免星型和长链型结构的情况的出现,因此需要对网络结构进行必要的可行性分析。
3.2 加强传输组网的管理
传输组网不合理也是影响移动传输网络安全的重要因素。与路由管理不同的是,传输组网的的合理设计工作应该集中在移动通信传输网络建设的中期,后期则要进行移动传输网络的进一步优化。在这个阶段要应采取 SDH 的方式保护传输线路的环路,并且要采取网状网的方式对其中一些重要的传输线路进行保护。
3.3 加强对传输设备的管理
加强对传输设备的管理对于提升移动通信传输网络的安全性能具有重要的意义。针对重要传输线路上的传输节点,最好要设置一对一的保护措施,另外要注意线路的调整,可通过业务分流或负荷分流的方式。传输设备的选取要注意设备的过压保护功能,这样的设备能保证良好的运行性能。
3.4 加强对传输用电的管理
传输用电的稳定性会直接影响到传输设备的运行和通信传输网络的安全性能。因此要从以下几方面加强对传输用电的管理。
(1)针对交流电压不稳定的情况,可通过加设交流电压稳压器来进行解决。
(2)应将过压保护功能作为选取传输设备的重要指标,具有过压保护功能的设备能够有效避免电流浪涌的现象。
(3)应选用具有多次下电功能并且能够自动设置下电电压范围的配电柜。
(4)要加大对传输设备使用操作流程的规范力度。
3.5 加强传输设备工作环境的管理
传输设备的工作环境也会对移动传输网络的安全性产生影响。传输设备的工作环境一般包括温、湿度和环境卫生等方面。要对节点机房的温湿度进行严格的控制,保证其处于最佳的温湿度状态。另外,需要引起注意的是,通信机房应采用严格密封的方式来保持室内环境卫生的洁净。
参考文献
[1]郭凯.移动通信传输网络安全性探讨[J].黑龙江科技信息,2012(25).
[2]周志宏.关于提高移动通信传输网络安全性的探讨[J].硅谷,2011(01).
[3]张忠丽.浅谈无线移动通信网络体系结构与安全机制[J].黑龙江科技信息,2010(01).
作者单位
关键词:网络安全;信息安全;控制策略
计算机网络作为现代社会的基础设施,越来越多地出现在人们的工作、学习、生活中,其作用越来越重要,并且不可替代。但由于人们的安全意识与资金方面的原因,在信息网络的安全方面往往没有太多的投入与设置。在信息网络形成的初期,由于信息资源和用户数量不多,信息网络的安全问题显得还不突出。随着应用的深入及用户数量的不断增加,各种各样的安全问题开始困扰网络管理人员,信息资源数据的丢失、系统运行效率下降、系统瘫痪的事情时有发生。因此,如何建立一个安全、稳定、高效的计算机信息网络系统,就显得十分迫切并成为重要的问题。
1计算机网络安全的内涵
计算机网络安全包涵“网络安全”和“信息安全”2部分。
“网络安全”(NetworkSecurity)和“信息安全”(In-formationSecurity)是指确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用。网络安全涉及的内容众多、范围广泛,如合理的安全策略和安全机制。网络安全技术包括访问控制和口令、加密、数字签名、认证、内容过滤、包过滤、防(杀)毒软件以及防火墙等。网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性、可控性、不可否认性以及保密性。信息安全的内涵也已发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。网络安全防范的内容也不再仅仅局限于硬件安全,具体说主要包含了物理安全、链路安全、网络安全、系统安全、应用安全及管理安全6个方面。
网络物理安全是整个网络系统安全的前提;链
路传输安全主要保障数据在网络上传输的真实性、
可靠性、机密性、完整性;网络结构的安全则体现在
内部网络与外部网络互联时来自外部网络的安全威
胁及来自内部网络自身的安全威胁二个方面;系统
安全指的是网络操作系统、应用系统的安全;应用的
安全不是一成不变的,要随时针对不同的应用检测
安全漏洞,采取相应的安全措施,降低应用的安全风
险;管理安全指的是通过安全管理制度的制定、责权
的制定、管理工作的执行来降低安全的风险。
2计算机网络安全的表现形式
2·1不良信息的传播
随着网络范围的不断扩大,应用水平的不断加深,越来越多的人进入到了Internet这个大家庭。目前,Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的年轻人来说危害非常大。如果不采取安全措施,会导致这些信息在网络上传播,侵蚀年轻人的心灵。
2·2病毒的危害
计算机病毒是一种人为制造的,寄生于计算机应用程序或操作系统中的可执行部分,并且能够自我复制、传播的程序。通过网络传播的病毒在传播速度、破坏性和传播范围等方面都远远超过单机病毒。网络中的计算机在运行、下载程序和电子邮件时都有可能感染病毒,一旦感染病毒,就有可能造成主机系统的瘫痪或者崩溃。
2·3遭受非法入侵及恶意破坏
一些人因为好奇心、功力心或者恶意心的驱使,利用网络设备、网络协议和操作系统的安全漏洞以及管理上的疏漏,使用各种非法手段访问资源、删改数据、破坏系统。对这些行为如不及时加以控制,也有可能造成主机系统的瘫痪或者崩溃,给用户带来严重的不良后果及损失。
2·4设备、线路损坏
主要是指对网络硬件设备的稳定性。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等。线路包括光纤线路、电缆线路、卫星线路等。它们分布在整个网络内,管理起来非常困难。由于人为或者不可抗力(如天气、自然灾害等原因)的因素,设备、线路会发生损坏或故障,这样会造成网络全部或部分瘫痪。
3计算机网络安全规划原则
在对计算机网络安全进行设计时,既安全、可靠又不加大投资,是我们应该坚持的总的原则。此外,在进行网络安全方面的规划时应当考虑的原则还包括:
3·1需求、风险、代价平衡分析的原则
对一个计算机网络系统所面临的威胁、安全需求、所承担的风险和所要付出的代价一定要进行定性和定量统一的分析,确保系统的安全策略、保护成本以及所要保护内容的价值必须平衡。
3·2综合性、整体性原则
对计算机网络的安全性设计一定要将系统内的设备资源、软件资源、信息资源和人力资源整体规划、综合考虑。只有从整体的角度综合地考虑问题,才有可能获得行之有效的解决措施,最大限度地保护用户的投资效益。
3·3一致性原则
主要是指网络安全问题应该与整个网络的运行周期并存,制定的安全体系结构,必须与网络的安全需求相一致。
3·4易操作性原则
目前,计算机网络系统任何的安全措施的最后实施者都是人,如果过程过于烦琐,本身就降低了系统的安全性。其次,所采取的安全措施不能影响整个计算机网络系统的正常运行。
3·5适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应容易修改。
3·6多层保护原则
对任意一个网络来说,绝对的安全难以达到,任何的措施都不是绝对安全的,都可能被攻破。但是如果建立的是一个多层保护系统,各层之间相互补充,整个系统的安全系数也可以随之增大。4计算机网络安全管理的策略
4·1物理安全
在计算机网络当中,保证各种设备的物理安全是保障整个网络安全的前提。所谓的物理安全就是保护计算机网络设备、设施等免遭人为、自然灾害或各种计算机犯罪行为的破坏。具体可以包括以下几个方面:
4·1.1环境安全
主要是指计算机网络系统所在环境的安全保护。在对网络系统进行规划、设计、施工时一定要按照国家规范和标准进行。
4·1.2设备安全
设备安全主要是指应将一些重要的网络设备,如各种服务器、核心交换机、路由器等尽量实行集中管理。对集中管理的设备要做好防火、防盗、防毁措施,保证设备所处房间的正常温度、湿度。各种室外通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。对于终端设备,如工作站、小型交换机、集线器和其它转接设备基本建设投资落实到人,进行严格管理。如果有条件,楼宇内的网络线路应在基础建设时就进行合理设计,综合布线。同时,在进行网络布线施工时一定要有详细的线路图纸,以备检查维修时使用。
4·2系统安全
4·2.1网络结构安全
网络结构安全主要是指网络拓扑结构是否合理、线路是否有冗余等。主要通过合理设计网络结构来达到提高网络安全的目的。
4·2.2操作系统安全
操作系统安全主要是指计算机网络系统中可网管交换机、路由器、服务器等采取的安全配置、权限限制、补丁程序安装等。
4·2.3应用系统安全
在计算机网络系统中使用的服务器种类繁多,各服务器应关闭掉一些不常用的协议或协议端口号。同时,应加强网络系统内用户的身份认证,确定网内用户的合法性。
4·3网络安全
网络安全是整个计算机网络安全解决方案的关键,主要有访问控制、入侵检测、网络安全扫描系统和防病毒系统等4个方面。
4·3.1访问控制
通过对计算机网络内各种可网管的交换机、路由器、服务器、内容过滤器、防火墙等设备进行严密的访问规则的制定和划分虚拟局域网(VLAN)的方式来进行细致的访问控制。
(1)运用交换机、路由器的访问控制技术
可在计算机网络内的可网管交换机及路由器上可使用访问控制列表(ACL)技术对网络内的用户来进行讯问控制。如:允许哪能些用户进行访问?允许用户访问哪些资源?是否允许管理人员以Tel-net、Web等方式进行远程管理?以及可进行远程管理的IP地址限制等。
(2)运用内容过滤器和防火墙
由于上网人员的种类繁杂,有些人的法律意识不强,对网络中的一些非法内容鉴别力不高,因此有必要在互联网的接口处使用内容过滤器。内容过滤器的主要用途是对一些不良网站或非法网站的内容进行过滤,从而达到净化网络目的信息资源的目的,保证网络信息安全。
配置防火墙则是实现网络安全最基本、最经济、最有效的安全措施之一。
使用防火墙的目的就是阻止来自不安全网络的未经授权的信息或不安全的信息进入专用网络,同时也可阻止专用网络内的不安全信息进入其它网络。
(3)运用VLAN技术
目前的局域网主要采用的都是以太网技术,而以太网技术是以CSMA/CD(载波侦听多路访问/冲突检测)的形式为技术基础的。任何二个主机之间的通信同时也可被同一网络上的其它主机所截获而用于非法目的。
为了克服以太网的广播问题,可以运用VLAN技术,减小网络广播的范围,防止大部分基于网络侦听的入侵。同时也可以防止病毒的大范围扩散。
4·3.2入侵检测
目前的入侵检测系统是根据已有的、最新的攻击手段的信息特征代码对进出网段的所有操作行为进行实时监控和记录,并按管理人员业已制定的检测策略实时响应(切断会话、报警等),从而防止针对网络的攻击与非法行为。
4·3.3扫描系统
通过使用各种扫描系统对网络中的服务器、路由器等设备进行攻击性扫描、分析和评估,发现并报告系统存在的漏洞和弱点,评估安全风险,建议补救措施。
4·3.4病毒防护
在网络环境下,计算机病毒有不可估量的威胁性和破坏力。目前,最好的病毒防护办法就是安装防(杀)毒软件并及时更新。同时及时更新、安装操作系统的补丁程序。
4·4应用安全
为了保证应用的安全,应严格控制内部人员开放本机的共享资源,不要轻易开放共享目录。例如,为了达到控制目的,可在三层交换机或路由器上对常用的135、136、138、139等端口的使用进行限制。对数据库服务器中的数据必须经常进行安全备份。
4·5安全管理
制定健全的安全管理体制是计算机网络安全的重要保证。但除了建立起一套严格的安全管理体制外,还必须培养一支具有高度的安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式有效地保证系统的安全。
网络内使用的IP地址做为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。
在计算机网络系统中,绝对的安全是不存在的。只能通过网络使用人员与管理人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,全面强化使用人员和管理人员的安全防范意识。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
参考文献
[1]谢希仁·计算机网络[M]·大连:大连理工大学出版社,2003·
[2]赵晖·计算机网络安全与防护[J]·通信技术,2004,(3):25—26·