基于某企业的网络安全策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇基于某企业的网络安全策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
基于某企业的网络安全策略范文第1篇
【关键词】防火墙;安全策略;安全意识
1、防火墙安全策略的原理
防火墙又称为防护墙,是一种介于内部网络和外部网络之间的网络安全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击,但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验,只有符合规则或符合安全策略的合法数据才能通过防火墙的检验,进行数据通信和资源共享。
通过防火墙安全策略可以有效地控制内网用户访问外网的权限,控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制,如限制哪些IP地址不能使用设备,控制网管服务器与其他设备间的互相访问等。
在具体防火墙的应用中,防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段,其决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测,检测对象包括源\目的安全区域、源\目的地址、用户、服务和时间段等。具体步骤如下:
(1)首先是数据流先要经过防火墙;
(2)然后查找防火墙配置的安全策略,判断是否允许下一步的操作;
(3)防火墙根据安全策略定义规则对数据包进行处理。
2、安全策略的分类
安全策略大体可分为三大类:域间安全策略、域内安全策略和接口包过滤。
域间安全策略用于控制域间流量的转发,适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访,允许或拒绝与设备本身的互访。
域内安全策略与域间安全策略一样,也可以按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门,需要防止内部员工对服务器、PC机等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务、用户等多种方式匹配流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度较快。
3、安全策略的配置思路
(1)管理员应该首先明确需要划分哪几个安全区域,接口如何来连接,分别加入哪些安全区域。
(2)管理员选择根据源地址或用户来区分企业员工。
(3)先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”,否则为“禁止”。
(4)确定对哪些通过防火墙的流量进行内容安全监测,进行哪些内容安全检测。
(5)将上述步骤规划出的安全策略的相关参数一一列出,并将所有安全策略按照先精确,再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。
4、安全策略的具体配置
针对具体的网络拓扑结构以及对防火墙的相关要求,我们在这里对防火墙的安全策略相关配置大体如下:
(1)配置安全区域。
系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级,就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为:选择网络/安全区域,然后单击“新建”,直接配置安全区域的相关参数即可。
(2)配置地址和地址组。
地址是IPV4地址或MAC地址的集合,地址组是地址的集合。地址包含一个或若干个IPV4地址或MAC地址,类似于一个基础组件,只需定义一次,就可以被各种策略多次引用。
(3)配置地区和地区组。
地区是以地区为单位的IP地址对象,每个地区是当前地区的公网IP地址的集合。为了进一步方便扩展和复用,设备还支持配置地区组供策略引用。配置较为灵活。
(4)配置服务和服务组。
服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。其中,预定义服务是指系统缺省已经存在,可以直接选择的服务类型;自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。
(5)配置应用和应用组。
应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过WEB界面配置相应的服务。
(6)配置时间段。
时间段定义了时间范围,定义好的时间段被策略引用侯,可以对某一时间段内流经NGFW的流量进行匹配和控制。具体通过WEB界面进行配置相关时间段。
综上所述,我们在进一步加强网络安全的今天,就必须在增强网络安全意识的前提下,不断地加强网络安全技术。而在防火墙安全技术中,防火墙的安全配置策略就是重中之重。在实际应用过程中,要不断地进行优化处理。只有不断地的丰富和完善,我们的网络世界才会安全通畅!
参考文献:
[1] 宿洁, 袁军鹏. 防火墙技术及其进展[J]. 计算机工程与应用, 2004, 40(9):147-149.
[2] 刘克龙, 蒙杨, 卿斯汉. 一种新型的防火墙系统[J]. 计算机学报, 2000, 23(3):231-236.
[3] 翟钰, 武舒凡, 胡建武. 防火墙包过滤技术发展研究[J]. 计算机应用研究, 2004, 21(9):144-146.
[4] 林晓东, 杨义先. 网络防火墙技术[J]. 电信科学, 1997(3):41-43.
[5] 杨琼, 杨建华, 王习平,等. 基于防火墙与入侵检测联动技术的系统设计[J]. 武汉理工大学学报, 2005, 27(7):112-115.
基于某企业的网络安全策略范文第2篇
关键词:计算机 网络系统 安全集成
一、企业的网络安全现状
据统计,我国现有企业的网络安全现状是不容乐观的,其主要表现在以下几个方面: 信息和网络的安全防护能力差; 网络安全人才缺乏; 企业员工对网络的安全保密意识淡薄,企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后,该网络就已经安全了,企业领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导,导致我国目前企业的网络安全建设普遍处于不容乐观的状况。
二、网络安全常见威胁
1、计算机病毒
计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,对企业或者个人造成重大的经济损失。
2、非授权访问
指利用编写和调试计算机程序侵入到他方内部网或专用网,获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3、木马程序和后门
木马程序和后门是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后,该程序可能会窃取用户信息,包括用户输入的各种密码,并将这些信息发送出去,或者使得黑客可以通过网络远程操控这台计算机,窃取计算机中的用户信息和文件,更为严重的是通过该台计算机操控整个企业的网络系统,使整个网络系统都暴露在黑客间谍的眼前。
三、网络的安全策略
1、更改系统管理员的账户名
应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用.
2、关闭不必要的向内TCP/IP端口
非法用户进入系统并得到管理员权限之后.首先要做的,必定设法恢复管理员刻意废止的TCP/IP上的NetBIOS装订.管理员应该使用路由器作为另一道防线。即提供web和FTP之类公共服务的NT服务器.这种情况下,只须保留两条路由器到服务器的向内路径:端日80的H1vrP和端日2l的FTP.
3、防火墙配置
防火墙是在2个网络间实现访问控制的1个或1组软件或硬件系统,它是外部网络与内部网络之间的第1道安全屏障。本建设方案主要采用硬件防火墙,其主要功能就是屏蔽和允许指定的数据通讯,而这个功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性,该控制策略的具体内容由企业的安全管理员和系统管理员共同来制定。
制定的防火墙安全策略主要有: 所有从内到外和从外到内的数据包都必须经过防火墙; 只有被安全策略允许的数据包才能通过防火墙; 服务器本身不能直接访问互联网; 防火墙本身要有预防入侵的功能; 默认禁止所有服务,除非是必须的服务才允许。而其他一些应用系统需要开放特殊的端口由系统管理员来执行。
4、VLAN 的划分
VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴,在3 层路由交换机的集中式网络环境下,将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里,在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING,不允许用户主机对服务器的数据进行编辑,只允许数据访问,从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机,通过VLAN 划分,来实现同一部门在同一个VLAN 中,这样既方便同部门的数据交换,又限制了不同部门之间用户的直接访问。
5、身份认证
身份认证是提高网络安全的主要措施之一。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有: 静态密码、USB Key 和动态口令、智能卡牌等。其中,最常见的使用是用户名加静态密码的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份认证方式采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾,利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 身份认证系统主要有2 种应用模式: 一是基于冲击、响应的认证模式; 二是基于PKI 体系的认证模式。
6、制订网络系统的应急计划
为了将由意外事故引起的网络系统损害降低到最小程度,企业应制订应急计划.以防意外事故使网络系统遭受破坏.该应急计划应包括紧急行动方案及软、硬件系统恢复方案等.绝对的安全是没有的,安全标准的追求是以资金和方便为代价的.我们应随时根据网络系统的运行环境而采用相应的安全保护策略.通过对计算机网络系统安全问题的充分认识.以及行政、技术和物质手段的保证。网络系统就能够有足够的安全性来对付各种不安全问题.
结语
如何确保计算机网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然,也是企业关心的重点。一个全方位的安全方案是非常难以实现的,只有在企业领导的支持下,在技术人员和管理人员的努力下,结合企业的实际情况,制定出相应的解决措施,才是符合本企业的安全方案。本文主要讨论了计算机网络的安全的几种不同的威胁,给出了相应安全策略以及相应的安全产品,提出了计算机网络系统实施建设的基本方案。
参考文献
基于某企业的网络安全策略范文第3篇
Abstract: Network security in the enterprise information is more and more important, and more and more network and systems need firewall security for security protection. The level of security policy deployment quality is a key for whether the firewall device play the role of security protection. But for many complex applications in enterprise network, its data flow is often more complicated. According to the problems of enterprise network firewall policy, this paper proposes a method that using network device log analysis to identify the traffic flow. The method can discovery network traffic with low-cost, high-efficiency, and thus provide the basis for the deployment of firewall policy.
关键词: 防火墙;网络安全;安全策略
Key words: firewall;network security;security policy
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2014)10-0223-02
0 引言
在企业网络的网络管理及项目建设上,防火墙的应用越来越广泛。在一张网络中部署的防火墙数目小到五六台多则十几台、几十台。为了使每台防火墙真正起到安全控制的作用,每台防火墙都要根据实际的访问需求制定出成百上千条安全策略。每条安全策略都要有针对性的对合法的数据流予以允许通过,对非法的数据流予以拒绝。在网络应用日益复杂的今天,如何对现网数据流进行识别(统计、分析)是摆在工程技术和网络维护人员面前的一个重要课题。
1 目前的识别方法及问题
目前,数据流的识别主要采用的技术有Netflow/Sflow和SPAN技术。
Netflow/Sflow技术主要是支持该技术的数据节点设备上启用该特性,通过采集服务器到节点设备上采集数据,然后对数据进行分析整理得到网络中的数据流信息。Netflow/sFlow技术能对数据网络的通信流量进行详细的行为模式分析和计量,并提供网络运行的详细统计数据。但是,NetFlow/sFlow支持情况受设备类型、板卡类型、软件版本、软件授权等条件制约,某些厂商设备甚至需要采购专用硬件。
SPAN技术(镜像抓包)是一种基于被动侦听原理的网络分析方式。使用这种技术,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,可以使用网络监听的方式来进行记录、分析。将网络接口设置在监听模式,可以将网上传输的源源不断的信息截获。但是,这种技术需要把整个数据包的信息都记录下来,包含对于数据流分析基本没有用处的data信息,这样就需要处理大量的无关信息,分析效率比较低,而且对于已经部署IDS、流量清洗等设备的节点,受到网络端口镜像SESSION数量的限制,而无法实施。
2 解决办法
利用在路由器、交换机、防火墙设备普遍支持的访问控制功能,在设备上部署开放的数据流抓取策略(所谓开放的数据流抓取策略,就是采用允许数据流通过的访问控制列表或策略,以便在不影响现有业务流通过的前提下生成数据流日志),生成表1所示的数据流向日志(Cisco设备产生的log节选)。
由表1可以发现,每条日志中记录了数据流的协议类型、源ip、源端口、目的ip、目的端口等信息。以上日志信息可以提取如表2所示的信息。
部署周期内形成的日志文件记录了本时间段内所有数据流访问信息。通过软件工具对日志进行分析、抽取、统计、整理,就可以得到通过某一网络节点的数据流信息。
利用得到的数据流信息,通过甄别、筛选、汇总,就可以形成该节点正常业务流信息,为安全策略的制定、实时维护提供依据。
由于绝大多数厂商(Cisco、Juniper、华为等)的数据网络设备(防火墙、路由器、交换机)都支持这种通过部署开放策略生成数据流向日志的功能,因此,通过该方法可实现对多厂商、异构数据网络数据流识别。
此方法相比Netflow、SPAN等数据流分析技术,特点是支持设备更广泛、部署位置灵活,无需改变现网结构,实现容易、成本低,并支持海量数据的分析整理。
3 具体实施方案
①确定数据流分析方案。获取数据流分析需求,根据需求选择开放策略所部属的网络节点部署位置,同时编写开放的访问控制策略。
②部署开放控制策略并采集日志。在数据网络的节点上部署开放的安全策略,数据流流经该节点就可以生成数据访问日志。日志采集服务器负责收集节点生成的日志,并按照预定格式生成日志文件。
③从日志文件中分析数据流。日志分析程序从日志文件中分析数据流的协议、源目的IP、端口等信息,以及节点的位置。由于每种设备的日志格式各不相同,并且中间可能夹杂其他无关冗余的日志信息,这就要求关键信息的提取既要准确又要快速,以便适应大数据量的计算。另外,客户端发起源端口是可变的,能够根据服务端的端口识别数据流,并能够准确分析、剔除重复数据,进而统计出准确的数据流信息,并生成数据流结果文件。
本方法可对现网中的业务流进行有效的分析,并能根据所得的结果生成合适的安全策略,而且对数据网中的节点设备要求较低,无需支持Netflow/sFlow等高级特性。
笔者在实际工程中,采用本方法和自主软件,搜集并分析了上百GB的日志文件,并把得到的结果运用在实际的网络安全项目中的多种类型的防火墙的策略部署工作中,大大提高了工作效率和准确性,对今后实施此类工程中的安全策略部署具有极强的指导和借鉴意义。
4 结论
本文分析了在企业网络中采用网络设备日志分析,实现识别业务数据流的方法,并为制定满足系统防护需求的防火墙安全策略提供了一套切实可行的方案。在企业信息化系统中部署和维护防火墙策略的过程中,可以借鉴和参考。
参考文献:
[1]乔辉.浅谈多重异构防火墙网络环境下的安全策略管理[J].中国电子商务,2012(2).
基于某企业的网络安全策略范文第4篇
关键词:校园网络;安全防护;分析对策;病毒防治
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
How to Strengthen the Security Protection
of Campus Network
Wang Chun
(Xiangyang Technician Institute,Xiangyang441021,China)
Abstract:Along with the development of society and the progress of science and technology,information technology has entered the education administration,teachers,school management,teaching and research and teaching process.Current,structure in the network environment."Campus net",has become the school 's focus on building information technology.This article in view of the current campus network faces a variety of security risks were analyzed,and from the technology,equipment,management and other aspects of the improvement and solution.
Keywords:Campus network;Security;Analysis countermeasure;Virus prevention and cure
一、校园网现状及安全隐患
校园网建设的宗旨,是服务于教学、科研和管理,其建设原则也无外乎先进性、实用性、开放性、可扩展性、可维护性,校园网通常是在一个相对较小的范围内由服务器、电脑及其它网络设备组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此校园网内信息的传输速率比较高,同时校园网采用的技术比较简单,安全措施较少,同样也留下了很多安全隐患。
校园网中安全隐患主要为以下几个方面:服务器区域缺乏独立防护、系统漏洞、病毒及恶意代码威胁、黑客攻击、IP地址冲突、设备损坏等。
二、校园网络安全防护及对策
(一)物理安全技术
物理安全是指通过物理隔离实现网络安全,是指内部网络间接地连接在Internet网络。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。
(二)口令安全策略
大多数黑客入侵,就是通过各种途径取得管理员口令,因此,校园网管理员的口令安全策略显得尤其重要。管理员口令安全策略主要有:1.不要使用“弱”口令。所谓弱口令,就是比较容易猜的口令。另外要定期更换管理员口令。2.设置系统安全策略,限制用户错误口令登录次数,防止用户枚举性地试探猜测管理员口令。
(三)防火墙设置
防火墙是通过一系列软硬件组合进行访问控制的技术,它用于加强两个或多个网络间的边界防卫能力。架设防火墙是在公共网络和校园网络之间设立一道隔离墙,检查是否允许进出校园网络的信息通过,或是否允许用户的服务请求,从而阻止对信息资源的非法访问和非授权用户的进入,以保护校园网免受其它网络因素的干扰及破坏。
(四)采用入侵检测系统
在校园网络中采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防护体系。用于监测校园网络中违反安全策略行为的技术。
(五)封存所有空闲的IP地址
在校园网内启用IP地址绑定,采用上网计算机IP地址与MAC地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部校园网络造成病毒传播和数据泄密。
(六)属性安全控制
对校园网内部信息进行属性安全控制。防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。以达到保护校园网内部重要信息与资源。
(七)启用杀毒软件强制安装策略
在校园网中监测所有运行在校园网络上的计算机,采用警告和阻断的方式强制使用人安装企业版杀毒软件,定期对病毒库进行更新,按计划查毒杀毒,就能对整个校园网络的起到安全防护的作用,使校园网络免受病毒的侵袭。
三、结语
网络安全工作是一个循序渐进、不断完善的过程。在网络安全日趋重要的前提下,校园网必须加强自己的安全政策、把安全管理和技术培训落实到实处,共同做好校园网的安全管理工作,保证网络安全防范体系的良性发展,确保我们能有一个健康安全的校园网络。
参考文献:
[1]何莉,许林英,姚鹏海.计算机网络概论[M].北京:高等教育出版社,2006
基于某企业的网络安全策略范文第5篇
关键词:网络 安全策略 数据 访问
0 引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
1 目前企业内部网络的安全现状
1.1 操作系统的安全问题 目前,被广泛使用的网络操作系统主要是unix、windows 和linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
1.2 病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
1.3 黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、java炸弹等。
1.4 口令入侵 为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
1.5 非正常途径访问或内部破坏 在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
1.6 设备受损 设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
1.7 敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
1.8 技术之外的问题 企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
2 企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
2.1 物理安全策略 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.2 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
2.3 防火墙控制策略 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
2.4 信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
2.5 备份和镜像技术 用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
2.6 网络安全管理规范 网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度; 制定网络系统的维护制度和应急措施等
2.7 网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(intrusiondeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
