首页 > 文章中心 > 网络安全方案

网络安全方案

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

网络安全方案

网络安全方案范文第1篇

关键词 计算机 网络安全 方案

中图分类号:TP3 文献标识码:A

我国关于网络方面的基础设施建设已经初步成型,而网上进行的各种业务也越来越多,保证网络环境的安全,正常应用网络已成为各企业正常开展业务基础工作。各企业只有建立起安全的网络安全方案就要了解计算机用户安全环境、现状与威胁,才能按照用户需求,进行网络安全方案的设计。网络安全问题十分复杂,包括加密、防火墙及防病毒等网络安全方案。

1网络用户的安全需求

1.1网络环境

网络环境包括计算机系统内部与行业间互联网。

1.2网络安全现状

(1)计算机系统在企业内部通信、行业间通信,都缺少安全防护的措施,仅有部分单位对路由器设计了 过滤防火墙。

(2)计算机操作系统一般为UNIX和Windows NT,而桌面的操作系统都是Windows XP或者Win7,都没有设置安全保护的措施。

(3)计算机系统访问的控制能力不强,只能对现有操作、数据库、电子邮件及应用方面的系统进行简单的利用。

(4)计算机的应用环境没有防病毒的能力,尤其在病毒数据库更新上滞后。

(5)对病毒的内部或者外部的攻击,没有基本监控和保护的手段。

1.3网络安全的威胁

对计算机网络的系统结构进行分析,可以发现,计算机网络安全的威胁主要有以下几个方面:

(1)UNIX和WindowsNT等类别的操作系统有网络安全上的漏洞。

(2)企业内部网的用户带来的安全威胁。

(3)企业外部的用户带来的安全威胁。

(4)应用了TCP/IP协议软件,不具备安全性。

(5)缺少对应用服务的访问控制,就要解决网络中的安全隐患,才能保障网络和信息安全。

2网络方案的设计思想和原则

2.1网络方案的设计思想

网络安全是十分复杂的问题,一定要考虑到安全的层次和技术的难度,充分考虑费用的支出,所以,进行方案的设计时一定要遵循一定的设计思想,主要有几下几点:

(1)提高计算机系统安全性与保密性。

(2)保证网络性能特点,也就是保证网络协议与传输的透明性。

(3)网络安全设计要易操作,易维护,要易于开展自动化的管理,不能过多过少增加一些附加的操作。

(4)在不影响网络的拓扑结构时,扩展计算机系统的结构和功能。

(5)设计要做到一次投资,长期使用。

2.2网络方案的设计原则

(1)遵循需求、风险和代价平衡原则,对网络进行研究,对风险进行承担,经过分析和研究,制定规范与措施。

(2)遵循综合与整体的原则,将网络安全模块与设备引进系统的运行与管理中,提高系统安全性和各部分间逻辑的关联性,保证协调一致运行。

(3)遵循可用性和无缝接入的原则。所有安全措施都要靠人来完成,如果设计太复杂,就会对人有过高要求。安全设备在安装和运行中,不能改变网络拓扑的结构,要保持对网络内用户的透明性。

(4)遵循设备先进和成熟,可管理和扩展。在安全设备选择上,要先考虑到先进性,研究成熟性,选择技术与性能优越的设备,可靠和适用的设备。保持网络安全设备的统一管理和控制,实现网上对设备运行的监控。

3计算机网络安全方案

根据以上设备思想和原则,进行计算机网络安全方案的研究,方案使用的技术和设备、措施主要有以下几点:

3.1 VLAN的技术

要保证企业局域网安全,就要选择VLAN能力交换机的设备,通过用户群组与系统资源完成访问权限的划分。可以控制各VLAN间信息的流向,方便各群组对相关信息的访问。

3.2加密的技术

可以使用公共网进行数据的传输。广域网进行信息传输很容易被黑客截取与利用,所以,要保证信息传输安全,就要在内联网系统中使用链路加密机,进行传输信息的加密处理,对运行在互联网上关键的业务也要进行加密的算法进行数据加密。

3.3防火墙

从网络系统安全考虑,可以在内联网和同行业进行网络互联,在网上布置防火墙,而防火墙的网络入口点也要检查好网络通讯情况,对非法入侵要屏蔽处理。

3.4对入侵的检测系统

通过防火墙技术,对内外网进行网络保护,减少网络的安全风险。可是,入侵会寻找防火墙的后门。近年来,推出了入侵的检测系统,这是一种新型的网络安全技术,可以实时进行入侵的检测,应用防护的手段,对待入侵,可以快速断开网络的连接。

3.5安全扫描系统

安全扫描系统在阶段已经是最先进的安全系统,可以测试与评价系统是否安全,及时发现安全漏洞。可以扫描设定网络服务器和路由器等,设定模拟的攻击,测试系统防御的能力。

3.6提高操作系统安全性

操作系统会存在安全漏洞,越是流行操作系统就存在越多的问题,可以进行安全增强与合理配置,具体增强与配置的内容有以下几点:

(1)可以跟踪系统的应用动态,增加安全补丁。

(2)可以检查系统的设置,对数据存放的方式和访问的控制及口令的选择都要及时更新。

(3)可以把系统安全级别设置到最高级。

网络安全方案范文第2篇

关键词:计算机;网络;安全措施

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01

Computer Network Security Solutions to Achieve the Path Analysis

Zhao Xin1,Lu Yihong2

(1.Daqing Oilfield Culture Group Information Center,Daqing163453,China;2.Daqing Oilfield Culture Group,Oilfield Library Comprehensive Office,Daqing163453,China)

Abstract:With the development and social progress,the computer network has been rapid development of computer technology has also been a rapid increase.People communicate through computer networks and exchanges through the network and understanding of the outside world to understand and master the knowledge and skills in various industries.But the computer network is double-edged sword,it contribute to the development of society also brings a lot of network security issues.In this paper,the meaning of computer networks,development status and implementation of network security solutions conducted a superficial analysis and summary,I hope to give the use of networks of enterprises,organizations and even individuals to bring useful advice and inspiration.

Keywords:Computer;Network;Security measures

一、计算机网络安全的定义

计算机网络安全指的是网络系统中的硬件与软件及其数据受到保护,而不会出现数据与信息的泄露、破坏或更改。简单来讲,计算机网络安全就是信息安全。信息安全包括信息的可靠性、保密性、真实性、完整性以及可用性。

互联网自从20世纪60年代开始运用后,计算机网络开始迅速发展起来。随着网络上信息量的增长,网络信息安全问题也频繁出现。这些问题不仅危害着个人的生活,甚至会影响到公司的运营进程。所以维护计算机网络安全至关重要。

二、计算机网络安全现状

第一,网络安全问题的出现与计算机操作者本身是密不可分的。虽然目前很多计算机安全工具的出现预防了一些安全问题的发生。但是网络安全问题的最终结果在很大程度上取决于计算机的操作者。如果操作者运用了不正当的手段进行网络操作,或者进入了不健康网站浏览了不健康内容,就会导致个人信息的泄露,产生和增加网络不安全因素。第二,网络程序的设计往往会有漏洞,没有一个没有漏洞的程序。所以网络黑客就会抓住机会,利用程序中出现的漏洞,对其他正常程序进行攻击。最重要的是这种黑客采用的程序漏洞一般都不留痕迹,无法查证安全威胁发生的原因。第三,网络安全工具的更新速度远远跟不上黑客攻击正常程序的手段的发明和使用。通常只有在人为的参与下,才能发现和检测出病毒的存在。在没有检查和检测的前提下,这种病毒就不会被察觉出来,隐藏于电脑的程序中。但是往往一些病毒在发现之时就已经出现了计算机网络安全问题。在这段计算机的“迟钝期”内,黑客就很容易有机可乘,进而能够使用最先进的、最新的手段对正常的程序进行攻击。第四,防火墙功能的局限性也会导致网络安全威胁的出现。因为防火墙可以通过限制外部的网络对内部网络的访问,隐蔽内部结构,从而达到保护网络内部结构的目的。但是防火墙却无法阻止计算机网络内部之间的攻击和破坏。而且防火墙很难预防那些从网络系统的后门进入的病毒。技术上的缺陷,使得网络安全问题不断出现新的、更高级的安全、隐患问题。

三、计算机网络安全保障方案的制定与实施

(一)从国家和政府的角度去制定相关的政策法规,用法律的强制力去保证计算机网络的安全。加大对网络安全危害行为的惩罚力度,制定相应的具体的处罚措施。严厉惩治危害网络安全,盗取别人信息的违法行为,减少网络安全危害行为的发生。发挥政府的监督作用和强制作用,将维护计算机网络安全提上日常日程。建立和完善相关的法律法规之后就对网络安全危害行为造成一定的威慑力,将危害网络安全的行为扼杀在摇篮中。(二)加大网络安全危害行为的宣传力度,增强每个网民的网络安全意识。通过报纸、电视、网络以及广报等各种形式的宣传,让广大网民意识到网络安全问题的重要性。同时学习安全上网和文明上网,保证网络信息的安全。加强网络安全维护意识,有利于保护网民的隐私。当网络信息安全意识深入到每个网民的内心,维护网络安全的行为就会在潜意识里面发生。每个人都加强了安全防范意识,同时进行文明上网、健康上网。(三)从计算机的操作技术上进行防范网络安全威胁的发生。对计算机的系统软件、应用软件以及硬件进行及时的更新和升级,增强系统对病毒的抵抗力。计算机用户要进行正确的开机、关机以及上网行为,注意保护电脑上的软件以及硬件设施。(四)提高防火墙技术、网络防病毒技术、加密技术和入侵检测技术,加强访问控制,将病毒拒绝于门外。不断进行专业的研究和分析,更新和升级各项技术,减少病毒的入侵几率。定期运用这些技术队电脑进行扫描和检测,对个人电脑设置加密技术,只有制定的用户和指导密码的用户才可以进行解密进入计算机网络系统。(五)要注意IP地址的正确使用,避免被黑客钻漏洞。

四、结语

在网络安全问题日益得到重视的今天,网络安全技术随着国家以及专业人士的重视也得到了快速的发展和进步。但是,由于我国的信息安全产品制作方面缺少核心技术,真正能够解决深层次的网络安全问题的技术却很少。所以,国家首先要重视发展网络信息安全产业,在政策上给予支持。最重要的还是每位网民,因为接触计算机、运用各种软件以及系统的人的上网行为往往是病毒的准入证。只要每个网民都进行健康上网、文明上网,网络安全就能实现。

参考文献:

[1]彭秀芬,徐宁.计算机网络信息系统安全防护分析[J].网络安全技术与应用,2006,12

[2]简明.计算机网络信息安全及其防护策略的研究[J].科技资讯,2006,28

网络安全方案范文第3篇

关键词:网络安全威胁;安全需求;防火墙;IDS;网络安全

中图分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01

一、网络安全概述

(一)网络安全的基本概念

网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。

(二)网络面临的主要攻击

⑴ 缓冲区溢出。

⑵ 远程攻击。

⑶ 口令破解。

⑷ 超级权限。

⑸ 拒绝服务(DDOS)。

二、安全需求

通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,

可用性: 授权实体有权访问数据。

机密性: 信息不暴露给未授权实体或进程。

完整性: 保证数据不被未授权修改。

可控性: 控制授权范围内的信息流向及操作方式。

可审查性:对出现的安全问题提供依据与手段。

访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。

数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。

安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏

三、网络安全防护策略

个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:

(一)层层布防

从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。

第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。

第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。

第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。

此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。

第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。

(二)多种防护手段

我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。

(三)防火墙系统

防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。

防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。

(四)网络入侵检测系统的作用

通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。

处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。

四、安全服务

网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。

五、总结

毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:

进不来: 通过物理隔离等手段,阻止非授权用户进入网络。

拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。

读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。

改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。

走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。

参考文献:

[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.

[2]杜宇峰.网络安全与防护[J].电脑知识与技术.2007(18).

网络安全方案范文第4篇

关键词:校园网;网络安全技术

中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c

Shallowly Discusses the Campus Network Security and the Solution

GU Sheng

(Taizhou Normal College,Taizhou 225300,China)

Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.

Key words:Campus network;Network security technology

1 校园网络安全概述

1.1 网络病毒

(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。

(2)病毒入侵渠道:来自Internet 或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是Internet,主要的传染方式是群件系统。

(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。

(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源。

1.2 网络攻击

(1)校园网与Internet 相连,面临着遭遇攻击的风险。

(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。

(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。

(4)存在“重技术、轻安全、轻管理”的倾向。

(5)服务器与系统一般都没有经过细密的安全配置。

2 校园网络安全分析

2.1 物理安全分析

网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。

2.2 网络结构的安全分析

网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。

2.3 系统的安全分析

系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。

2.4 应用系统的安全分析

应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。

2.5 管理的安全风险分析

安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。

3 校园网络安全解决方案

3.1 校园内部网络安全方案

3.1.1 内网病毒防范

在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。

3.1.2 单机病毒防范

教师机安装NT 内核的操作系统,使用NTFS 格式的分区;服务器可以使用Windows Server甚至UNIX或类UNIX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用NTFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。

3.1.3 内部网络安全监控

采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。

3.1.4 防毒邮件网关系统

校园网网关病毒防火墙安装在Internet 服务器或网关上,在电脑病毒通过Internet 入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。

3.1.5 文件服务器的病毒防护

服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。

3.1.6 中央控制管理中心防病毒系统

建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。

3.2 校园外部网络安全方案

3.2.1 校园网分层次的拓扑防护措施

层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。

3.2.2 校园网安全防护要点

(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。

(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的IP包和以非法IP地址离开内部网络的IP包;三是在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。

(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,其中WWW、E-mail、FTP、DNS 服务器连接在防火墙的DMZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与Internet 连接。

(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。

(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。

3.2.3 校园网防护体系

构造校园网“包过滤防火墙+NAT+计费++VPN+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;通过IP地址与MAC地址对应防止IP欺骗;基于用户和IP地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和VPN 及其管理;网络监控与入侵检测。

4 校园网络运营安全

4.1 认证的方式

网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:

(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。

(2)基于流的认证方式。指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒IP和MAC、假冒DHCP SERVER。

4.2 管理

利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。

4.3 账户管理

学生是好奇心强的群体,假冒DHCP SERVER和IP、MAC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCP SERVER,立即封掉该账户。

5 校园网络的访问控制策略

5.1 建立并严格执行规章制度

规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。

5.2 身份验证

对用户访问网络资源的权限进行严格的认证和控制。

5.3 病毒防护

主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。

6 校园网络安全监测

校园网络安全监测可采用以下系统或措施:入侵检测系统;Web、E-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑IP和MAC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。

7 校园网络系统配置安全

7.1 设置禁用

禁用Guest账号;为Administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。

7.2 设置IIS

通过设置,弥补校园网服务器的IIS 漏洞。

7.3 运用VLAN 技术来加强内部网络管理VLAN 技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。

7.4 遵循“最小授权”原则

指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。

7.5 采用“信息加密”技术

包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。

8 校园网络安全管理措施

安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。

9 结束语

校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。

参考文献:

[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).

[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).

[3]王子荣,李军义,胡峰松.IPv6 发展与部署之冷静思考[J].教育信息化,2005(12).

网络安全方案范文第5篇

关键词 网络内部 安全方法 漏洞 设计方案

中图分类号:TP393.08 文献标识码:A

0 引言

随着我国市场经济的不断繁荣发展,越来越多的企业建立了属于自己的内部网络,从而方便企业内部员工的交流,以及通过信息的有效迅速传播,来实现其自身的管理目的。但是由于网络内部的安全防范没有达到相应的标准,或者网络设计内部出现一些细微的瑕疵,这些都可能给网络内部安全埋下隐患,因此建立一个安全合理的内部网络对于企业的发展而言,具有重要意义。而且对于使用内部网络的群体而言,也是一种突破。

1 当下我国企业内部网络存在的问题

1.1 当下我国企业内网的安全现状

通过内部网络在企业中应用的不断加深,我们可以发现当下传统企业的内部网路安全设计还局限在以针对网络病毒和系统漏洞等防御为主的设计中。对于那些入侵检测将重点放在设置当中,在对内部网络和外部网络连接处加以严密的监控。这样的措施对于防范初级攻击具有一定的作用,同时我们应该清楚,内部网络才是企业的核心价值所在,一旦内部网络受到攻击而出现问题,那么给企业带来的损失将难以预计。当下,内部网络的安全维护受到巨大的挑战,但是企业的网络管理员由于自身对安全风险认识不强,认为自身所做的防备已经足够完善,在内部便没有形成一个更加坚固的防护网。一旦发生事故,便会将企业的商业隐私泄漏,给企业造成巨大的伤害。因此,加强外网建设的同时,更加注重企业内部网络的建设对于企业的发展具有重要的现实作用,这也是当下企业建立内部网络安全的核心所在。

1.2 当前企业内部网络存在的安全隐患

随着计算机网络技术的不断发展,企业内部网络作为其发展的一个分支存在。它的出现给企业管理、数据整合等提供了一个高科技的优化平台。但是,计算机网络从出现以来,便一直围绕着安全这个问题而发展着,内部网络也不例外。

(1)内部网络管理人员缺乏重视。攻击者对于企业内部网络的攻击主要是以其安全防护作为突破点而进行的。企业内部网络存在漏洞绝大多数都是由于网络管理人员缺乏对内部网络安全的重视,从而导致黑客有机可乘。(2)内部网络用户权限不同。企业内部网络具有一个明显特征便是使用者拥有不同的权限。企业内部网络建立用户使用权限的初衷是为了方便企业各个阶层实现管理。但正是设置权限不一,才导致整个内部网络需要多次识别身份认证。同时,对于那些拥有身份认证较弱的用户,极易攻击,黑客一旦通过基层身份打入内网,实现越权查看便是极其容易的。(3)内部网络信息没有得到整合。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里,企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度,因此很容易造成信息被窃取等。

3 企业内部网络安全防范设计

为了能够有效解决企业内部网络中存在的各种安全威胁问题,保障企业内部网络安全稳定运行,本文提出了一套企业内部网络安全防范设计方案。企业内部网络安全体系属于水平与垂直分层实现的,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。

3.1 用户身份认证

用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等。由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。

3.2 用户授权管理

用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。

3.3 数据信息保密

数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。

参考文献

[1] 张怡.浅议计算机网络安全策略[J].科技资讯.2011(09).