前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全解决办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词 网络安全;互联网;风险
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)21-0241-01
计算机技术和网络技术在带给人们方便的同时,也使网络信息安全风险也大大增加。网络信息安全已成为当今社会互联网技术研究的重要难题。针对网络攻击行为,采用多种网络信息安全技术进行防护,可以有效的减少攻击行为所带来的损失。
1 网络安全隐患
网络安全,不仅指网络的信息系统安全,还包括网络系统中的硬件、软件及数据资源不遭受破坏、泄漏和更改,保证网络系统的安全可靠运行,防止各种有害信息和非法信息的传播。
企业网络的安全隐患主要表现在以下几个方面。
1)物理安全风险。物理安全包括网络系统中的各种网络硬件设备,如路由器、交换机、工作站和服务器等的通信链路的运行安全。物理安全风险主要有:火灾、雷击、水灾等自然灾害,外界电磁干扰,人为误操作或者破坏,设备自身的缺陷或者弱点等。
2)网络安全风险。网络是一个开放性的平台,企业的信息网络安全受到各种威胁和攻击。网络入侵者能够通过系统漏洞及各种扫描工具,以攻击程序对网络进行恶意的攻击,导致企业网络瘫痪,甚至是网络信息被篡改、窃取。
3)系统安全风险。企业网络设备主要为服务器系统、路由器交换机系统。在企业服务器系统中,设有数据库系统、操作系统、其他应用系统等。这些系统必然或多或少地存在着一些漏洞,一旦攻击者通过这些漏洞,可能会对系统造成很大的损失。
4)用户安全风险。这种风险主要是针对企业的内部人员,防止内部人员对系统和网络的误用、攻击等情况。如内部人员计算机感染了恶意软件或木马程序时,可能会造成内网的ARP攻击。
2 提高企业信息网络安全措施
2.1 网络安全解决办法
提高网络安全,是为了保证网络系统不受外来攻击和内在的故障,安全稳定的运行。而防火墙是网络系统安全的第一道门槛,通过硬件和软件来实现网络的安全。防火墙的主要性能包括:
1)对内外部网络数据流进行控制。网络防火墙是链接内部网络和外部网络的通道,防火墙的特殊网络位置特征,决定了可以有效的保护内部网络不被破坏和攻击。
2)防火墙可以有效的过滤网络数据流量。通过防火墙的数据流量必须是经过防火墙认定,符合一定安全策略的才能通过,只有在该前提下,在适当的协议层才能进行访问规则和通过安全审查,对于那些不符合通过条件的报文予以阻断。
3)应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。而新一代的防火墙解决了这个问题,它具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,更好的针对应用层攻击进行防护。
2.2 系统安全解决办法
1)操作系统安全措施。操作系统的安全措施主要包括以下内容:①在局域网内建立WSUS补丁服务器,为整个局域网提供微软全系列软件的补丁。②操作系统及其各种应用软件及时更新补丁,有效防止黑客的攻击和病毒的感染。
2)系统漏洞扫描。目前的网络和系统配置往往存在部分漏洞,这些漏洞容易被黑客利用,使系统的安全存在隐患。因此,提前发现漏洞并进行处理,可以减少系统安全威胁,避免不必要的损失。漏洞扫描和检测工具可以对网络设备和操作系统进行扫描,对系统中存在的漏洞生成检查报告,并提示用户及时安装相应的漏洞补丁,以提高系统安全性。
3)网络入侵检测及预警。为了提高信息安全基础结构完整性,使用入侵检测及预警系统是防火墙的有益补充,进一步提高了系统面对网络攻击的安全性,使系统管理员更方便的对系统安全进行管理。
4)病毒防护。计算机病毒对系统和网络安全的威胁越来越引起人们的重视,而针对计算机病毒的防护和扫描是系统安全必不可少的。计算机病毒的防治在于完善操作系统和应用软件的安全机制和防范措施。使用高性能网络杀毒软件不仅能针对流行病毒进行查杀,阻断病毒的蔓延,而且还能实现实时监控和预防,避免计算机染上病毒。
5)网络审计与监控。网络审计和监控不仅依靠网管软件和系统管理软件来实现,还应采用目前较成熟的网络监测设备和实时入侵监测,对系统中的网络行为进行监控、预警和阻断,及时预防网络入侵行为和采取相应的措施。
6)数据备份与恢复。对于数据的备份和恢复应采用高速、大容量、自动的数据备份恢复。对于部分系统的备份,可以采取增量备份,只针对系统发生过更改的部分文件进行备份。
2.3 应用级安全解决办法
1)用户授权管理。实现了多级分权的权限划分机制,不同的部门只能在允许的范围内对数据进行操作,而对于管理部门,则可以跨部门或者全部操作。其次是功能权限,可以自定义的方式确定用户的增加、删除、修改、查询权限。
2)数据安全备份。数据安全是整个系统安全的核心,是系统可靠性的体现和关键环节。为此,系统中可自定义备份策略,实现定期自动备份,也可手动备份手动恢复。
3)数据加密。应对关键数据采用了完善的数据加密措施,如登录帐号和密码。作为最重要的身份识别依据和权限开关,其安全性的重要程度在应属于最高级。软件的关键配置文档,里面有关键的参数设置,也应进行了相应的加密处理,保证的系统的稳定性。
4)操作日志。对于系统的登陆和操作情况应进行自动记录,并形成报告和日志,进行痕迹保留,对操作方式,操作内容,操作时间等都可以进行记录。
3 结论
在计算机网络技术的发展过程中,企业的信息网络安全技术水平也不断提高。随着企业的发展和业务的拓展,网络安全受到极大的挑战,黑客攻击、病毒入侵、非法访问等不断发生。因此,从企业网络信息安全需求及等级情况出发,选择适合企业自身需求的企业网络信息安全措施,可以有效的保障企业信息网络的健康运行。
参考文献
[1]王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,2010(7).
关键词:安全风险 法院信息安全
1 法院外网主要安全风险及对策
1.1 拒绝服务攻击导致的访问风险
随着最高院对司法公开工作的不断深入,各级法院越来越依赖互联网来联系广大人民群众。越来越多的信息通过互联网,越来越多的工作通过互联网来实现。这就使得我们面临越来越多的外部威胁,我们经常会听到网站无法访问、服务器宕机等说法,导致这一类问题的重要原因就是拒绝服务攻击。
拒绝服务攻击共分为三种类型:DoS攻击、DDOS攻击和DRDoS攻击,DoS是拒绝服务的简写;DDOS是分布式拒绝服务的简写;而DRDoS是分布反射式拒绝服务的简写。这三种攻击均是利用了TCP协议三次握手的原理,所以对它们的防御办法总体而言也是相似的。
就目前技术发展来讲,抵御拒绝服务攻击还比较难。这种攻击是利用了TCP/IP协议原理的漏洞,除非我们采用其他协议,另辟蹊径。不过这并不就表示我们无法抵御DDOS攻击,首先,通过正确的配置可以大大减少遭受DDOS的攻击可能性;其次,确保服务器是最新的版本,并及时为系统更新补丁;再者,通过关闭不必要的服务端口,来降低遭受攻击的可能性;另外,限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间等。
目前,由于拒绝服务攻击非常猖獗,除了正确配置服务器设备、系统等方式,有必要使用相关抗拒绝服务专业设备来保护我们的服务,在网络出现异常流量时采取流量牵引、流量清洗等方式保证正常访问。
1.2 Web应用攻击风险
在Web技术飞速演变发展的今天,法院越来越多应用程序都是Web形式提供给用户。Web应用系统是由操作系统和web应用程序组成的。开发人员所接受的安全培训无法跟上Web应用程序和服务的快速发展,导致Web安全风险达到前所未有的高度。程序员在开发应用程序时不了解其中的安全风险,而且大部分程序员都没有接受过安全编码的培训,很少能考虑到安全缺陷可能会导致的灾难性后果。Web应用的大多数安全问题可以归纳为三类:①服务器开放了不应该向用户开发的服务端口,导致安全风险。②服务器对数据的存放未进行加密或者正确地权限管理,导致敏感信息容易被非法用户获取。③服务器被非法用户进行读写,导致受到攻击。
如何避免这类风险,需要一套系统的解决办法。首先由于我们使用了大量的Web应用系统,而且很多都年代久远,保证此类系统安全的主要办法是在Web服务前端放置专业的Web应用防火墙,避免黑客针对Web应用系统特性做针对性攻击;其次对于新近开发或采购的Web应用系统,除了要采取上述措施,还应该在系统上线前对Web应用系统存在的安全风险进行代码级的风险评估。
1.3 病毒、蠕虫传播风险
自从计算机技术的出现,病毒风险应运而生,目前计算机病毒的形式多样,其破坏力也极强。病毒就可以利用网络,感染所有联网的电脑,被感染的电脑会面临数据丢失或被窃取,服务器也无法正常运行,给单位和国家造成了巨大的损失。
防范病毒入侵的关键是网络的管理。据调查,用户自身是导致大多数机关办公系统感染病毒的根本。有些用户的电脑中未安装合理的杀毒软件就会给病毒入侵提供机会,所以在办公系统中务必要使用广域网和局域网全面的杀毒产品,规范安装杀毒软件。
另外,为了避免病毒在网络内的传播,导致大面积的病毒爆发,我们应该选用防病毒网管,部署在核心交换机前端。这样对网络中的病毒情况就能做到实时的了解和处理。
2 法院内网主要安全风险及对策
2.1 终端管理安全风险
法院内网拥有较大规模的计算机区域,内部运行着大量的终端设备、服务器等。终端设备的安全管理成为网络管理人员最为棘手的问题之一。要想管理好终端设备、服务好机关各处室,本文推荐两个程度的管理办法。①较为宽松的管理办法是利用Windows的域的概念,将终端加入管理域,用户使用普通用户身份进行操作。这样可以限制使用者在终端上安装大部分非必要软件,同时能够和WSUS联动,安装客户端补丁等。②如果要严格限制U盘的使用、防止非法接入等,应该选用一款终端安全管理软件。
2.2 内网行为审计安全风险
我们在和很多信息化工作者谈到内网行为审计时,经常会听到一个观点,利用网络的都是内部人,不会有安全问题。但实际情况是,大部分的网络安全事件都和内部人员或多或少有所关联。当然,这些“关联”中既有主观意愿上的,也有客观环境下的。
如何利用内网行为审计设备,来约束网络内部用户的行为是一个大的课题。把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度地避免一些审计带来的风险,同时兼顾个人隐私。审计作为一种手段,我们应该明确,审计的目的是为了安全,有效地审计可以让网络内部操作可视化,以期达到随时发现网络中出现新的安全风险,进而不断调整网络的安全策略,应对技术发展带来的风险,实现最大限度的安全。
2.3 系统漏洞安全风险
不管是什么操作系统都会存在一定的缺陷,所以我们应对其定期的打补丁、修漏洞。系统出现漏洞也是导致黑客入侵的主要因素。很多软件由于设计和研发的不
完善,都会留下漏洞。一般情况下,这个漏洞是不为人知的。但是一旦暴露就会被黑客所利用,给整个网络带来风险。
笔者通过对相关文献的深入研究和分析,为提高网络安全性,必须从上述网络安全隐患的角度出发,提出相应的网络安全策略,有效地对其进行解决和防范。
目前来讲主要的漏洞风险处理办法有两个:①利用相关的漏洞管理工具,对网络中的设备漏洞、系统漏洞等进行定期的漏洞发现,同时进行漏洞的管理。②利用入侵防御设备,建立虚拟补丁功能。入侵防御是根据黑客的攻击特点,建立攻击特征库,对攻击行为做出判断后进行有效阻止。
2.4 安全域访问控制风险
法院内网是相对封闭的网络,在法院信息化建设初期,由于资源有限,在安全建设上考虑相对简单。随着信息化建设的进一步推进,考虑到整个网络相对庞大,历史的经验告诉我们,堡垒都是从内部攻破的。通过安全域的划分,将整个网络按照服务功能、使用对象等划分成若干个安全域进行有效管理。本文主要采取图示形式,详解省法院安全域的划分。
3 移动办公时代的安全风险及对策
随着信息技术日新月异的发展,移动办公时代悄然来临。在给我们提供巨大便利的同时,也产生了许多不可预知的风险。
3.1 移动办公数据传输风险
由于提供移动办公的应用服务器和法院内网不可避免的要进行数据交互,如何确保移动办公,同时确保线路不被利用,成为内网安全的突破口是我们面临的非常大的挑战。
在构建移动办公系统时,我们一定要同步构建内外网的信息交互方式。目前行业内成熟的解决方案主要有两种,一种是使用安全隔离与信息交互设备(网闸),另外一种是采用公安部研究所研发的网络边界接入设备。两种方案实现原理类似。
由于移动设备采用的是无线接入,信号是暴露在开放空间的,因此采用原有的明文信息传递是非常危险的,必须对信息进行加密,确保信息不被外界获取,或者即使获取了也无法进行破译,VPN设备在移动办公解决方案中就成为不可缺少部分。
3.2 移动客户端身份认证风险
由于移动设备无论何时何地均能接入网络,移动设备的使用者是否为合法授权者变得不可知,这就给移动办公增添了更大的风险。加强身份认证,是解决这个问题的唯一办法。目前来讲采用双因子认证是比较高效的解决办法,双因子认证(2FA)是指除密码外,结合实物如:令牌、指纹、裸眼红外等,两种认证条件对用户进行身份认证的办法。
3.3 客户端应用程序安全
为了方便使用,目前,大部分客户端应用程序使用移动应用程序(APP),目前主流的移动应用主要基于Android、IOS、Win8这三个开发平台,由于IOS是不对外公开代码,所以安全性相对较高。目前我们在移动应用领域,主要面临的风险是基于Android平台开发的客户端。此类风险主要分为两种:①在互联网上的客户端程序有被篡改的可能;②网络上会仿真度非常高的移动客户端程序。
要规避客户端应用程序安全风险,需根据风险源制定相应的策略。对客户端程序被篡改的风险,目前行业内最有效的做法是对客户端应用程序核心代码进行加密处理,使不能被反编译,避免被篡改。针对网络上的仿真度非常高的客户端(钓鱼性移动客户端),只能采取渠道检测方式进行处理,目前业界已有相应的专业服务,主要针对主流的APP平台进行动态监测,随时获取网络上的仿真应用,并提供钓鱼性移动客户端的关闭业务。
参考文献:
[1]雷公武.DDOS攻击及其防御策略研究[J].计算机应用技术,2014.
关键词:医院 计算机网络 隐患 对策
随着社会经济的不断发展和信息化技术的不断进步,网络为人们信息的获取提供了便利,为世界不同区域的网民提供了足够的信息资源、大量的空间和通畅的交流渠道。医院在网络安全建设中,由于技术力量薄弱、设备管理不完善等问题的存在,对医院的网络安全造成了很大的隐患。加强网络安全管理已经成为各个医院都面临的问题,也是必须要解决的重要问题。本文对医院网络安全管理中存在的问题进行了分析,并且结合存在的问题开展调查研究,针对存在的问题提出了相应的解决措施,为医院网络安全管理提供了参考。
一、医院计算机网络存在的一些安全隐患
(一)需要进一步加强计算机安全防范机制
医院的一些内部工作人员,在内网随便使用可移动的存储设备如硬盘光驱、软驱、数码相机等,这样容易间接地与外网进行数据交换,容易导致机密数据、敏感信息的传播与泄漏以及病毒的传入。管理员在使用域策略时,为了方便,在相同域中的使用者之间可以进入对方的计算机,即使是机密文件也能够访问。一些计算机操作者有时会因一些事情急于去处理,匆忙中忘记锁定自己的计算机,导致没有关闭的保密文档极易泄漏。
(二)计算机操作人员的操作不当
一些用户缺乏安全意识,操作员也不按规程操作,这样就很容易由于安全配置问题出现安全漏洞,用户口令较简单,用户将自己的账号公开都会对网络安全造成一定的威胁。内部人员如果使用宽带接入外网,外部的黑客能够绕过防护屏障,非法外联的计算机比较容易得到侵入,一些敏感信息就很容易被盗,造成泄密事件的发生,甚至内网的重要服务器也会得到攻击,严重时还会引起整个内网的瘫痪。
(三)外部病毒的攻击
医院的网络不可避免地要与外界网络有连接,因为医院和医保中心有业务来往,所以也较易受到一些病毒攻击。一部分病毒攻击性较小,系统正常运行不会造成影响,但是有些高危险病毒,就会引起系统崩溃,高危险病毒可以再短时间内感染大量的机器,致使大量计算机不能正常工作,形成拒绝服务攻击。终端上完全不受病毒干扰是很难做到的,但是可以尽量减少病毒攻击。
二、加强计算机网络安全的对策
(一)创建网络安全管理机制
医院领导班子对于网络安全管理要引起足够的重视,硬件设施要加强完备,加大资金投入力度,做到及时软硬件进行更新。要加强网络安全管理技术队伍建设,认真选拔网络应用技术熟练人员,不断完善医院网络安全管理机制,坚持管理技术创新,进一步完善网络安全管理规章制度,尽可能地减少网络安全隐患。
(二)增强医院员工的网络安全教育
要对医院内部员工进行网络安全培训,讲解计算机病毒查杀、密码设置注意事项、网络攻击造成的危害等,让员工知道不要随便打开来历不明的电子邮件或者移动存储设备也要先进行查杀病毒才能打开。进行密码设置时要注意密码强度,一旦密码遭到破解就很容易受到损失。禁止使用U盘及其它移动存储设备,一定要从根源上杜绝病毒的来源;禁止在网络上共享文件,对违反规定的人员或科室,根据情况扣除奖金;对科室计算机的使用情况要进行不定期的检查,以便及时发现问题并解决问题。医护人员要积极学习网络安全知识,一定要明白网络安全教育是网络操作人员责无旁贷的事情。
(三)增强医院计算机病毒防范
随着医院网络系统的日益壮大,计算机数量迅速增加,网络的入侵问题也随之突出。一旦计算机被黑客侵入,破坏性极强,损失严重。因此,认真做好对计算机病毒的防范。首先,要堵住病毒的源头。网络实现内外网物理分离外网病毒将很难进入内网,病毒进入内网是从接入内网的工作站为入口,然后病毒再侵入其它的工作站。其次,对于病毒的防范,仍应以杀毒软件为基础。对防治病毒采取以下方案:
1、分析出现的病毒,已知的并且可以控制的就可以杀毒,对于未知的病毒,我们可以上网查询等方式查找解决办法。
2、对于危害较大,又暂时无法消灭的病毒,将其进行格式化重装。
3、引进一套内网安全防范软件,以便对各客户端进行及时监控,帮助解决网络中存在的安全隐患。
(四)应用安全防范
要确保计算机网络应用的安全,一要配备防病毒系统;二要做好数据备份工作,对重要数据信息进行安全备份是最保险的方法,一旦系统受到破坏,就可以采取数据恢复方式加以挽救;三是数据可以以加密的方式进行传输,从而实现数据在传输的过程中不会被窃取,以保证数据的安全,避免不必要的损失;四是加强对信息鉴别工作,采用信息鉴别技术,保障数据的完整性,VPN设备就提供了这种功能,对数据源身份进行认证确保信息的来源的真实性,是信息鉴别的一种有效手段,为了保障数据传输安全可以采取传输加密技术结合VPN设备,实现数据传输的可靠性、完整性、机密性。
三、结语
在医院的信息化管理中,我们必须积极的采取各种手段,加强计算机网络安全管理,建立高效、健全的防御体系,确保医院计算机网络安全。
参考文献:
[1]郭姝娟.医院安全网络分析与控制[J].中国科技博览,2010(15).
作为全球知名的网络及内容安全解决方案提供商, WatchGuard被国外不少媒体誉为信息安全领域中的“iPhone”。WatchGuard极具价值的一点在于,能够将安全领域的创新技术和各类防护功能融为一体,给企业用户带来极佳安全体验同时,引领安全防护技术进入一个全新的“融合时代”。注重实际的使用感受与使用效果,而不是一味地追求纸面的指标与参数,这是WatchGuard产品设计的基本理念。
WatchGuard的“融合”成长史
1996年,在西雅图的两个安全实验室Mazama实验室与Seattle实验室,合并成立了现在的WatchGuard公司,同年推出了第一款硬件防火墙。WatchGuard在做防火墙的时候,就定位在给用户交付一个即插即用的安全解决方案。因此,从一开始,WatchGuard就往软件和硬件整合的道路上迈进。早在1997年,WatchGuard就将硬件防火墙和VPN进行整合,尽可能在一个平台里面通过软件实行多业务的功能,希望致力于网络应用安全的同时,给用户提供一个能极大降低维护和使用成本的安全防护平台。
随着互联网的威胁越来越复杂,WatchGuard将主要研发精力转到能将多种安全功能高效整合的平台,并与Intel进行深度合作,以开发出真正能满足下一代应用需求的防火墙,以及以此产品为载体的整套安全解决方案。
“轻”资产与“轻结构”管理是WatchGuard所主打的另一项特色,这与其开发模式有着很大关系。由于WatchGuard采用了更适用于内容层安全和应用层安全的x86架构CPU,进行产品设计。其研发重点就是以“安全平台”软件开发为主。WatchGuard的所有功能都是以软件形式体现,这是一个资产管理的轻结构。同时,随着互联网应用变得越来越复杂,这种方式也可以更好地适应不断变化的安全防护需求。
例如,随着虚拟化和云计算的发展,计算介质是以x86平台为硬件承载的虚拟化计算资源平台。由于WatchGuard灵活的产品设计架构,所以能够领先其他厂商快速地推出针对虚拟化平台的纯软件安全产品XTMv和XCSv。这两款产品主要面向虚拟化环境,可以直接部署在x86服务器上,为相关的企业用户快速提供最佳的云防护功能。同时,由于XTMv和XCSv在软件架构和功能上与硬件XTM和XCS完全一致。所以,其能够实现虚拟安全与物理安全的统一管理与统一策略配置,真正实现虚实结合的网络安全方案。
安全不是“附加品”
除了“融合”上的成功,WatchGuard还一直专注于网络安全领域。网络与我们今天生活的世界息息相关。人们相信网络能连接世界万物,实现无数的可能、创新和发明,但无处不在的网络威胁又在侵蚀着梦想。越来越多的基础网络架构厂商发现,在速度的比拼中需要提供更多的附加功能,在业务和安全方面帮助用户。许多安全模块和附件产品被设计出来,但其功能上的缺失又无法帮助用户实现全方位的防护。用户只能在基础网络架构之上,再增加防火墙、IPS等传统安全防护设备帮助企业和管理员与各种网络威胁进行抗争。
然而,这种解决办法使得网络变得愈发臃肿,同时这些传统设备由于架构能力所限,无法实现应用层的数据防泄露、虚拟化技术为核心的云数据中心防护,或是BYOD业务的支撑。此外,今天的“安全”本身也成为了一种“标签”。某些互联网厂商宣称投入到安全领域,但借助强大的用户基础获取隐私进行有目的的营销等行为。越来越让用户对于“安全”充满了困惑,用户无法分辨其使用的软件产品或服务是不是真正的安全。
安全不是“附加品”,更不是可以窃取用户的“新木马”。对此,作为全球型的网络安全硬件公司,业务100%专注于网络安全的WatchGuard认为:WatchGuard的专注点就是网络应用体系中的安全,帮助用户在充满威胁的环境中获得可信的环境。这种专注实际上也保障了安全体验的获得,就如同iPhone的成功在于心无旁骛地专注于用户的使用体验。如果像某些企业,虽然看似做着同样的事情,但真正关心的是植入软件、广告推送等,必然会损害用户的利益。
网络安全“感知”不是概念
对于绝大部分网络安全产品的用户来说,防护只是基本的需求。而对网络内快速“流淌”的数据流以及发生在网络内的网络行为事件,网络管理人员往往一无所知。而对于一个单位的管理者来说,清晰地了解自己单位网络内的安全事件、网络行为、规章制度的贯彻等方面的情况,是细致管理的基本要求。如何去解决管理人员的网络安全“感知”的需求,并且通过简单而直观的方式来呈现?这是网络管理人员想要的答案。
WatchGuard创新地推出了Dimension管理工具,能够通过内置的近70种不同的表格、图形、模板等方式,实时地呈现出网络内发生的事件、行为与问题。并且能够按照管理员的定制化要求,定时或者不定时地发送完整的网络分析报告,给管理人员提供管理的依据。更为关键的是,WatchGuard Dimension工具不需要额外付费购买,用户仅需要将XTM设备升级到最新的11.8操作系统,就会发现原有的设备中出现Dimension工具,而这一切在设备服务期内都是免费的。通过固件的升级,该工具就能够获得更多的安全特性,这就是前面提到的WatchGuard产品设计思路的体现。
“融合”而不是“捏合”
iPhone,它从一款智能手机产品变成了一个移动应用平台,形成了一个全新的生态系统。这其中,融合创新能力和技术实力是关键的一环。而在网络安全领域,传统单独运作的防火墙、垃圾邮件网关、防病毒网关、DLP、内容过滤产品等如何才能实现有效的“融合”,而不是简单的 “捏合”呢?
[关键词]校园网安全分析解决方案
一、校园网络安全隐患综合分析
1.物理层的安全问题
校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。
物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。
2.系统和应用软件存在的漏洞威胁
在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。
3.计算机病毒入侵和黑客攻击
计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。
4.内部用户滥用网络资源
校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。
二、采取安全控制策略
1.硬件安全策略
硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。
2.访问控制策略
访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。
(1)防火墙控制策略
防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。
(2)入侵监测控制策略
入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
(3)服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.病毒防护策略
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。
4.不良信息的防护策略
Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。
5.建立安全评估策略
校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。
三、结束语
高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
参考文献:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.
[3],王纪凤,尚玉莲,等.防火墙与入侵监测系统在高校校园网中的应用[J].泰山医学院学报,2007,(11):906-907.