网络安全体系解决方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全体系解决方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全体系解决方案范文第1篇
关键词:校园网 网络安全问题 对策解决
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2014)07(b)-0188-01
伴随着我国各个高校的教育信息量不断的增加,这个时候校园网就需要提供更多的服务与网络应用,这个时候网络上的安全问题也会应运而生。
1 校园网网络特点
在高校当中的校园网络给学生的师生们提供了诸多的便利。因此,在某种的程度上学校只有把校园网络当中的特点掌握清楚,这样才有利于其管理与维护,确保校园网络的安全性。
1.1 使用速度大、规模大
网络使用的时候其速度是极为重要的,尤其是在学校的网络当中,在学校中使用的人群是非常广泛的,同时信息流量是及其大与重要。一般情况下,在各个高校中都是采用的是太网技术,这种网的网络速度快,适合在学校中使用,但是不可否认的是这种网络中存在着大量的问题,会给学校在进行管理的时候带来诸多的不便利。
1.2 使用的群体较多较活跃
在各个高校中一般使用的群体是广大学生,同时广大学生也是学校当中使用网络的积极份子。处于学生时代,由于他们对计算机的好奇,这样他们就会常常去利用网络娱乐与学习。在学生利用网络进行学习与娱乐的时候就会常常受到来自不同程度上的攻击,这样在一定的程度上就会导致其安全性能降低。在我国的一些高校中,会利用网络处理学校内的各种事宜,这样在处理事物的时候就会使网络上各种问题应运产生。
1.3 校园网络处于开放的环境
各个高校的网络主要就是为广大学生提供更多的资源,因此,在校园网络的使用,最为突出的就是其具有强大的开放性。一般情况下来说,学校在进行教学的研究时候就要求其网络环境是开放的,这样在一定程度上对于学生的学习是非常便利的。因为,在某种意义上来说,只有在校园网络处于一定的开放性的环境中,这样才有利于学生获得更多的知识,有利于学生们之间的交流。正是因为这样,校园网络当中目前有着各种各样的安全性问题。
2 校园网网络安全问题
2.1 网络设备对校园网络安全威胁
在校园网络当中,有着一定的安全问题,其中就包括网络操作人员与网络设施带来的问题。在高校中很多的学生都会私自的安装路由器,这样在一定的程度上就会导致校园网络速度变得缓慢,同时也会给其他同学的计算机带来一定的危险性。另一方面,则是操作人员带来的安全问题,在学校中的网络通信设备机房是极为重要的,若是发生火灾等情况,这样在一定的程度上就会威胁网络的安全问题。
2.2 校园网络外部问题对校园网络安全威胁
一般情况下,我们都会知道互联网上病毒会影响着校园网络的安全,这里主要就是指黑客。校园网络在各个高校中的网络接口,在一个意义上来说都是容易导致病毒侵入,若是没有一定的安全措施,必定会造成一定的损失。
2.3 校园网络内部问题对网络安全问题威胁
在目前的很多高校校园网络中,依然停留在是个人的安全管理当中,这样在一般情况下是不能够进行统一安装病毒预防口令,这样就会导致其安全策略没有发挥其应有的作用。因此,就会导致在出现问题的时候就会没有办法找到负责人。
2.4 校园网络缺少一定的统一管理
在很多高校当中他们的硬件设施的安全性是非常高的,但是他们没有很好的进行网路安全的管理。这样在一定的程度上就会导致校园网络的安全性及其低,同时也不能够对校园网络产生的安全问题进行评估,这样就会严重的影响该校校园网络的安全性。
3 校园网网络安全问题对策
3.1 防范网络系统上安全漏洞
(1)在针对网络上的各种漏洞应该进行及时的安装各种补丁程序,这样在一定的程度上才增加安全性。(2)加强防火墙的建设,这样才能加强校网网络的防御系统,保护其不受到外部的攻击。(3)进行数据备份,主要就针对核心设备,核心配置等进行备份,这样就会在很大程度上避免了若是出现故障之后不能够恢复的问题。
3.2 防范网络上病毒
对于计算机上的病毒进行防御可以算得上是在学校的网络安全问题管理中的重要一方面,因此,学校应该建立起病毒防范的体系,比如说在网络访问的限制帐号设置等的监控。同时还需要杀毒软件,这样在一定程度上就会防范病毒的侵入。
3.3 进行统一管理
各个高校应该针对本学校的发展不同特点进行制定管理方案,高校除了要增加其技术上的完善,一般情况也是需要制定一系列的管理制度,比如说可以建立一个有关的管理部门,之后在校网中应该要让学生对网络安全问题有着一定了解,将网络知识发到网络上,这样在才能使校园网络的安全性有着一定的保障。
4 结语
校园网络安全这个问题在某种程度上来说是极其复杂,因材对其安全问题进行管理应该从全方位来进行考虑,只有这样,能够建立起来有利于校园网络安全的防线。
参考文献
[1] 杨宇红.校园网络的安全问题分析与对策[J].信息安全与技术,2011(4):30-32.
[2] 陈军.校园网络安全问题及对策研究[J].数字技术与应用,2012(9):175.
[3] 关启云.校园网络安全问题分析及对策探讨[J].网络安全技术与应用,2013(11):88-89.
网络安全体系解决方案范文第2篇
1.1部署入侵网络检测系统入侵网络检测系统是通过对计算机网络或计算机系统的关键点信息进行收集与分析,从而发现是否有被攻击或违反安全策略的迹象,协助系统管理员进行安全管理或对系统所收到的攻击采取相应的对策。
1.2漏洞扫描系统的建立对服务器、工作站以及交换机等关键网络设备的检查其必须要采用当前最为先进的漏洞扫描系统,同时定期对上述关键网络设备进行检查,并对检测的报告进行分析,从而为网络的安全提供保障。
1.3培养网络安全人才网络安全人才的培养是一个很重要的问题。在我国,专门从事网络安全问题的部门、单位比较少,技术人员十分缺乏,并且网络人员以及网络管理人员网络安全意识比较淡薄,缺乏必备的安全知识。所以,我国急切需要培养大量的网络安全人才,并提高他们的网络安全意识和学习必备的安全知识。只有这样,我国才能在网络安全领域的研发、产业发展、人才培养等方面更快发展,缩小和国外的,是我国的网络更加的安全,国家更加的安全。
1.4大力发展自主性网络安全产业大力开发有自主知识产权的网络安全产品可以有效提高网络安全性能,是彻底摆脱进口设备的有效途径,自己掌握关键技术是大力发展自主性网络安全产业的关键。通过加大对网络安全技术网络安全技术研究开发与研究的投人,可以使网络安全技术水平得到进一步的提高。
2网络安全的发展趋势
随着我国当前网络技术的飞速发展,原来的采用单点叠加方式的网络防护手段已经不能抵御当前混合型的网络威胁。因此,构建考虑局部安全、智能安全和全局安全的一个安全体系,以此为广大的网络用户提供更为全方位和多层次的立体防护体系,是当前做好网络安全建设的一个重要的理念,同时也是网络安全未来发展趋势。
2.1网络安全技术的融合发展在网络普及率不断提高的情况下,网络所面临的威胁也日益加剧。传统的以单一防护的方式已经成为过去。因此,只有通过技术的融合,建立更加智能化、集中化的管理体系,成为未来网络安全的必然。未来网络的规模会越来越庞大和复杂,网络层的安全和畅通已经不能仅仅依靠传统的网络安全设备来保证,因此整体的安全解决方案开始融合以终端准入解决方案为代表的网络管理软件。终端准入解决方案为网络安全提供了有效保障,帮助用户实现了更加主动的安全防护,实现了更加高效、便捷地网络管理目标,全面推动了网络整体安全体系建设的进程。
2.2网络主动防御的发展网络主动防御的理念已经被提出来很多年了,但是和其他理论一样,在其发展的时候遇到了很多阻碍。所谓的网络主动防御,其实质就是通过对指定程序或者是线程方面的行为,并按照事先设定的规则,从而判断该行为是否是属于病毒或者是比较危险的程序,以此对其进行清除。通过主动防御可有效的提高系统整体的安全策略,并推进整个互联网络的智能化的建设。该产品在现阶段的发展中还不够成熟,但是未来随着技术的进步,该技术会更为完善,从而成为未来互联网的发展趋势。
3结语
网络安全体系解决方案范文第3篇
现今,无论是网吧、企业、学校或者其他行业,对网络的安全已成为关注的焦点,各科基于防火墙、安全网关等设备的防毒、防攻击技术层出不穷。然而,在各方面利益的驱使下,病毒和黑客的进步更加迅猛。逐渐呈现出病毒智能化、变种、繁殖化及黑客工具“傻瓜”化等发展趋势。使得传统的网络安全体系防不胜防,网络随时面临瘫痪的危险。
面临的问题
在传统的网络架构中,由防火墙、安全网关等各自为政的安全产品所打造的防线,面对不断更新的病毒和网络攻击,已变得不堪一击。
建设绿色健康、安全稳定的网络需要解决以下问题:
1网关常常被欺骗信息“迷惑”;
2各类应用抢占带宽资源;
3恶意信息和网络攻击肆虐;
4关键业务无法得到保障;
5内网充斥着海量的垃圾信息;
6设备性能和网络资源被恶意访问消耗殆尽。
切断传染途径
内网不安全,大多数来自对带有病毒或木马网站的访问和文件下载,导致电脑中毒,从而出现上网缓慢、掉线等异常现象。为防止电脑中毒,在飞鱼星VE上网行为管理路由器中提供了网址分类管理、WEB安全、防火墙设置等功能,可防止用户访问高危的网站和带有病毒或者木马的各种文件,切断病毒和木马入侵电脑的途径,有效保护电脑的安全。
保护易感染电脑
而在飞鱼星VS安全联动交换机系列中,内嵌的飞鱼星安全系统和硬件防火墙,能彻底防御ARP病毒、蠕虫病毒和DDOS攻击;过滤非法网络流量,避免路由器遭受各种异常流量攻击,减轻路由器负担。同时,交换机的每一个端口可自动诊断出中毒电脑的异常情况(如:流量过大),并主动识别其电脑异常情况,自动隔离中毒电脑,抑制病毒的蔓延,从而保护未中毒电脑的安全性和可使用性。
整体安全解决方案
VE(上网行为管理路由器)+VS(安全联动交换机)所组成的飞鱼星安全联动系统(ASN)是一套即时、互动和统一的网络安全新架构,能有效解决内网的安全问题,重建和优化内网秩序。它通过路由器和安全交换机的联动协作,共同构成一套完整的网络安全体系。安全策略和QoS策略都被部署到交换机的每个接入端口,极大增强网络的主动防御能力,为用户创建一个内外兼“固”的安全环境。整个网络类似井然有序的机场,安检严格,层层把关;调度有序,进出港快速稳定;内网关键业务和重要应用优先级得到保障,犹如机场的VIP通道。
此套方案中,路由器和交换机不再各自为政,双剑出击,保证网络安全。且交换机不仅是数据交换的核心。还具备专业安全产品的性能。通过安全交换机串联服务器、安全网关、终端电脑,组成贯穿整个网络的安全防护体系。
同时,在绿色节能方面,交换机将自动侦测端口状态,在某端口空闲、没有连接其它网络设备或没有数据交换时。该端口将自动转为“睡眠模式”,降低端口的电量从而节省能源;同时,能够对线缆长度进行侦测,精确划分该条网络线路正常工作所需的电量,再予以供给。可以使能源耗费量大幅度地降低。
网络安全体系解决方案范文第4篇
关键词 信息安全;PKI;CA;VPN
1 引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2 信息系统现状
2.1 信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2 信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3 风险与需求分析
3.1 风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2 需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4 设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1 标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2 系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3 规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4 保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5 多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6 分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2 边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3 安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4 桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5 身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6 方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7 结论
网络安全体系解决方案范文第5篇
关键词 WMN网络;安全体系;入侵检测
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)031-0113-01
因为无线接入协议的完善、电子产品的改良,WLAN的技术越来越成熟,在100 m范围内的无线上网可以通过WI-FI技术成熟解决,AP通过有线链路接入局域网,STA通过一跳无线链路接入AP。无线设备如果要在很大的范围内移动,就需要很多AP接入互联网,这样就会带来一系列的问题,如信号干扰、成本提高,为解决这些问题,就提出了WMN网络,它是通过无线网络连接AP和骨干网络,用多个无线中继连接有线网络,这样就组建了一个很大覆盖范围的无线网络,并且网络信号良好。
WMN网络可以分为三种结构的形式:一种是基于客户的网络,该种类型的网络不需要MR的参与,用户间是通过P2P连接,MC承担了所有的路由、配置、终端管理任务,因而需要MC的功能相当强大,也注定这种网络的移动性相当好,鲁棒性就差了许多;一种是基于基础设施的网络,这种网络主要由MR作为中坚力量组成MESH骨干网,用户直接或者通过AP接入MESH骨干网络,MESH骨干网络通过有线接入互联网络,这种网络层次清晰、路由算法简单,能提供高效的网络服务,不足之处是MR承担了所有任务,MC没有充分发挥作用,不能起到接力的作用,需要的MR数目太多;还有一种是混合类型的网络,这种网络结合了上两种的优势,MC可以直接接入MR,也可以通过别的MC接入,真正做到了完全无缝覆盖效果,也支持异构网络。
WMN网络具有网络拓扑结构灵活,网络拓扑扩展性良好,鲁棒性好,路由算法先进,可以自动迂回路由等一般网络无法比拟的优越性,部署一个WMN网络最少只需要一个有线网络的接口,其它的AP都可以通过无线链路彼此相连,当某些节点的数据量突然拥塞时候,这些节点可以智能的选择别的节点,均衡流量,每个AP都与几个和它相邻的AP具有连接性,当某个AP失效,它就自动路由到别的有效的AP上,保障网络的健壮性,要扩大无线网络的覆盖范围时候,就只要在无线网络的边缘增加AP即可,增加的AP就会连接原有的AP,从而扩大无线网络的范围,从而使系统始终都在高效率运转。WMN网络可以与其他无线网络兼容并可以互操作,WMN网络具有很强的自我修复、自我形成、自我组织的能力,它整合了包括无线和有线的各种异构网络,能被无线基础设施方便的支持移动性,形成了一种无线骨干网络的多跳网络,它应用了许多WLAN网络和Ad hoc网络的成熟技术,融合了两种网络的优势,可以提供大容量,高速度,宽覆盖的无线网络接入技术,解决了无线网络布线的终端移动性的重要问题,适应在学校、医院、办公场所等人口密集区应用。
1 WMN 的安全问题
WMN的STA和MAP之间的链路使用的是WLAN连接,MP,MAP,MPP之间使用的是Ad Hoc网络连接,WMN吸收了WLAN网络和Ad Hoc网络的优势,是两者的集大成。WMN网络的安全体系主要存在如下几种网络安全问题:第一个大的安全问题就是网络是否可用的可用性问题。这个问题分为如下三种情况:第一种情况是恶意节点占据无线链路信道,长时间不归还,使得其他合法节点无法正常获得发送数据的权利,从而造成信号阻塞,致使该节点报废,网络不可用。第二种情况是通过恶意节点和被其控制的节点向正常的节点无休止的发送数据或者路由信息,搞得正常节点无法正常工作,进行Dos攻击,最后让整个网络瘫痪,不可用。第三种情况是攻击者使用各种各样的办法耗尽被攻击者的各种资源,如电源、CPU、带宽等有限资源,最后迫使网络不可用;第二个大的安全问题是怎么样保护合法节点不被俘获或者假冒,因为WMN网络的MP经常安装在室外,这样保护的就不够好,经常很容易就被攻击者接近,获得对称密钥,认证信息等这些节点的内部保密信息,并利用这些信息假冒为合法节点,进而变更邻居节点的信息,达到变更相关的路由信息,它通过恶意广播非法路由,使网络阻塞,甚至于瘫痪,整个网络不可用;第三个大的安全问题就是信息的完整性问题,因为WMN网络是多跳网络,信息从发出点到接受点,中间要经过多跳无线链路MC,还要经过多个MR,中间中转环节很多,破坏者可以在无线链路中间截获信息,对信息进行篡改,然后再以合法身份发出去,迷惑接受者,破坏信息的完整性,达到篡改信息的目的;第四个大的安全问题就是信息的机密性问题,因为WMN主要是通过无线链路传输信息,这样信息破坏者就可以在信息在STA到AP,或者MP之间传输时进行窃听,把窃听到得信息进行解密,然后加以利用,这样就破坏了信息的机密性;第五个大的安全问题就是无线路由安全问题,由于WMN网络中的无线路由是动态的,当被攻击时就比固定路由难以检测,非法用户容易伪装成合法用户发出路由信息,造成网络拥塞,严重的时候还使网络瘫痪。第六个大的安全问题就是STA的身份认证问题。
2 WMN 的安全解决方案
目前WMN网络针对以上提出的安全问题,有针对性的提出了如下的几个网络安全解决方案。
1)严格控制节点的身份认证机制,严格杜绝未授权节点在在WMN网络中的内部路由和外部路由中信息,阻止非法的MESH网络服务,每个新加入的节点都要得到邻近节点的认证才可加入,新节点是认证的申请者,邻近节点是认证的审批者,认证方式可以是分布式和集中式两者的结合。
2)对路由信息进行加密,利用选举方式定期更换路由表,避免被俘获的路由信息,确保路由信息的完整性。分为针对内部攻击的安全路由协议和针对外部攻击的安全路由协议,其中针对外部攻击的安全路由协议又有基于非对称加密的安全路由、基于对称加密的安全路由、基于混合加密的安全路由,针对内部攻击的安全路由协议解决方案主要是要加强内部检测,一个是对整个网络范围的恶意行为检测,另一个就是对相邻节点的恶意行为检测,完善路由机制,确保路由安全。
3)建立完善的密钥生产,分发,保管体系,使节点认证,数据加密等安全操作时使用的密钥能具有高度的安全性和保密性。第三个解决方案就是利用入侵检测技术防止从WMN网络内部进行入侵操作,采用了三种入侵检测技术,分别是独立入侵检测技术,分布式入侵检测技术,层次式入侵检测技术。
4)利用数字签名和信息加密来进行身份认证和数据完整性的保证。对身份的认证使用了证书系统,由申请者,认证者,认证服务器三者组成,申请者发出认证请求,认证者把申请者的认证申请和认证信息发送给认证服务器,认证服务器把认证结果发给认证者,认证者再把认证结果发给申请者。
3 结束语
WMN 是无中心节点的多跳网络,它具有其他无线局域网无可比拟的优势,本文主要在对WMN网络从网络体系结构、功能优势的方面进行了概述,提出了WMN网络的网络的可用性问题、保护合法节点不被俘获或者假冒问题、 信息的完整性问题、信息的机密性问题、 无线路由安全问题、STA的身份认证问题等网络安全体系问题,并相应的给出了对应的安全解决方案,对目前无线网状网(WMN)的安全体系研究进行了一个较好的综述。如何在大规模实际WMN中进行应用,是未来进一步研究的新课题。
基金项目:湖南省教育厅科学研究项目《无线网状网(WMN)的入侵检测模型研究》,项目编号10C0087。
参考文献
[1]陈琳琳,刘乃安.无线 Mesh 网络与 IEEE802 系列标准.2008.
