网络安全解决方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全解决方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全解决方案范文第1篇
关键词:网络安全;医院网络;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7364-02
Hospital-based Network Security Solutions
SUN Ping-bo
(Department of Information, Changhai Hospital, Shanghai 200433, China)
Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.
Key words: network security; the hospital network; firewall
随着科学技术的发展和信息时代的来临,几乎所有的医院都建立了信息网络,实现了信息资源的网络共享。但在具体建设这个医院网络平台时中,往往都只重视怎样迅速把平台搭建起来和能够马上投入使用,而忽视了在医院网络平台建设过程中信息安全的建设,包括如何保障医疗业务的正常进行、患者及医生信息的合法访问,如何使医院网络平台免受黑客、病毒、恶意软件和其它不良意图的攻击已经成为急需解决的问题。
1 医院网络安全解决方案的设计
1.1网络方案的模型
本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。
根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。
医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。
1.2 防火墙隔离的设计
防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。因此,对应用服务器和内部网络应该采用不同的安全策略。
本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。还采用堡垒主机(服务器)对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到服务器中,由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到服务嚣,服务器进行地址翻译。为这些用户提供服务.以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。防火墙系统结构设计如图2所示。
虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。
1.3 医疗业务数据的捕获
如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。
其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。
防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。
2 医院网络安全解决方案的实现
2.1 防火墙系统的布置
本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。这台堡垒主机起到的就是服务器的作用。防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。
2.2 医疗业务数据捕获的实现
本文研究的数据捕获主要从三层进行数据捕获。我们在网桥下运行如下命令进行捕获:
TCPDUMP -c 10 Ci eth1 -s 0 Cw /log
为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。Sebek是个隐藏的记录攻击者行为的内核补丁。一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。
医院的网络安全系统数据捕获是由内核模块来完成的,本文研究使用这个模块获得主机内核空间的访问,从而捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。
本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。以下就是一个linux配置文件的实例:
INTERFACE="eth0" //设定接口
DESTINATION_IP="172.17.1.2" //设定远程服务器IP
DESTINATION_MAC="00:0C:29:I5:96:6E" //设定远程服务器MAC
SOURCE_PORT=1101 //设定源地址UDP端口
DESTINATION_PORT=1101 //设定目标地址UDP端口
MAGIC_VALUE=XXXXX //如果同一网段有多个客户端,则设定相同的数值
KEYSTOKE_ONLY=1 //是否只记录键击记录
3 结束语
该文对医院网络安全的解决方案进行了较深入的研究,但该系统采用的技术也不能说是完善的,一方面因为它们也在不断发展中,另一方面是因为设计者的水平有局限。比如医院网络的数据捕获技术,它本身就是一个十分复杂的技术问题,解决的手段也是多样的。
参考文献:
网络安全解决方案范文第2篇
关键词:无线网络;网络安全;解决方案
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02
一、无线网络概述
无线网络(Wireless Local Area Network,WLAN)是以无线电波作为传输媒介的无线局域网,具有移动性、开放性、不稳定性等特点。与无线网络相比,它利用无线电技术代替网线,具有以下独特的优势:网络的扩展性好,可迅速便捷地扩展网络;网络建设简单方便;用户使用性好,网络可移动、兼容性好,不受固定的连接限制等。
(一)无线网络的加密方式
无线网络安全与其相关加密方式密切相关,无线网络的加密方式有:
1.WEP(Wired Equivalent Privacy)加密
该方式通过RC4算法在收发两端将数据加解密,且具有校验过程以确保数据完整安全,然而这种方式只要补集足够多的数据包,就可以推断出密码,安全问题逐渐显现。
2.WPA(Wi-Fi Protected Access)加密
该方式充分研究了WEP的不足,使用了比其更长的IV和密钥机制,具有较高的安全性。
3.WPA2加密
该方式使用AES算法,能克服以往的问题,也是当前的最高安全标准,但其对硬件要求过高。
(二)无线网络的安全特点
另一方面,无线网络的安全特点也有别与有线网络,它主要有以下几个特点:
1.易受干扰攻击
无线网络具有开放性,它不像有线网络具有固定的网络连接,更容易受到各种恶意攻击。
2.安全管理难度大
无线网络的移动性,使其网络终端可在大范围移动,这就意味着移动节点缺乏一定的物理保护,倘若从无线网络已入侵的节点开始攻击,造成的破坏将更大。
3.安全方案实施困难
无线网络具有动态变化的拓扑结构,这让安全技术更复杂,并且许多方案均是分散的,实施起来依赖所有节点。
4.鲁棒性问题
无线网络信道往往随着用户而变化,常常会受到干扰、衰弱等多分影响,造成网络信号不稳定,质量波动大。
二、无线网络面临的安全威胁
无线网络面临的安全威胁主要是针对无线网络信号的空间扩散特性进行的网络攻击。无线网络攻击方式主要有以下几种:
(1)War Driving。这是最常见的攻击方式,攻击者利用黑客软件检测出周围的无线网络,并且详细获知每个访问接入点的详细信息,同时借助GPS绘制出其对应的地理位置。
(2)拒绝服务攻击。这种攻击是通过耗尽网络、操作系统或应用程序的有限资源,使得计算机无法获得相应的服务。
(3)中间人攻击,例如包捕获、包修改、包植入和连接劫持等。
(4)欺骗攻击,即是通过伪造来自某个受信任地址的数据包,让该计算机认证另一台计算机,包括隐蔽式与非隐蔽式欺骗攻击,例如为IP欺骗、ARP欺骗、DNS欺骗等。
(5)暴力攻击,即是使用数字、字符和字母等的任意组合,猜测用户名及其口令,反复地进行试探性访问。
上述的这些攻击会威胁信息的完整性、机密性和可用性,这些安全威胁主要有四类:信息泄露、完整性破坏、拒绝服务和非法使用,具体来说主要有窃听、无授权访问、篡改、伪装、重放、重路由、错误路由、删除消息、网络泛洪等。这些从而导致窃取信息、非授权使用资源、窃取服务和拒绝服务等问题。其具体的网络安全问题主要表现为:
(1)未授权的非法访问服务。攻击者伪装成合法用户,未经授权访问网络资源,非法占用无线信道和网络带宽资源,严重影响了合法用户的服务质量。;
(2)合法用户的隐私信息外泄。恶意用户通过窃听、截取数据包,盗取用户的关键数据信息,例如无线链路上传输的未被加密的数据被攻击者截获等。另一方面不适当的数据同步导致数据不完整,手持设备的丢失也会泄露敏感信息,设备的不恰当配置也可能泄露数据。
(3)恶意用户可能通过无线网络主动攻击网络设备,获得对网络的管理控制权限,并篡改相关的网络配置,降低了网络的防护能力,将造成了恶劣的影响,严重时将使整个网络瘫痪。
(4)病毒主机直接接入无线网络,严重影响信息系统的安全可靠性。
三、无线网络安全的解决方案
针对上述的网络安全问题,无线网络安全的解决方案往往有以下几个方面:
(一)访问控制
即是按照用户身份及其所归属的某项定义组来限制用户访问某些信息项,或限制其使用某些控制功能。一般来说,访问控制有利用MAC地址和服务区域认证ID技术两种方式来控制无线设备的非法入侵。启用MAC地址过滤的策略就是无线路由器只允许部分MAC地址的网络设备进行通讯。由于MAC地址在每个无线工作站的网卡出厂时就已设定,所以用户可以利用其唯一性设置访问点,实现物理地址过滤。然而,这个方案存在MAC地址欺骗的缺陷,即是MAC地址可以进行伪造,而且也无法实现机器在不同AP间的漫游。这种方式是较低级的授权认证,但它是阻止恶意用户访问无线网络的一种理想方式,一定程度上可以保护网络安全。服务区域认证ID技术(SSID)是根据每一个AP内设置的对应服务区域认证ID,当无线终端设备需连接AP时,AP就会检查其SSID是否与自己的ID保持一致,AP才接受相应的访问并给予网络服务。该技术的缺陷同样也是容易被窃取,网络安全性较为一般。
网络安全解决方案范文第3篇
关键词:企业信息化;网络安全;系统安全;安全解决方案
中图分类号:TP393
1 项目来源
重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则,将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展,重庆钢铁(集团)有限责任公司拟退出主城区,进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇,主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等,生产规模为630万吨。
2 系统目标
重钢股份公司在搬迁的长寿区建立了全新的信息化机房,结合自身实际,决定部署一套符合自身需要的信息化平台。整个平台包含:财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料,物流系统等。
3 系统实现
重钢信息系统全由公司自主研发,服务器端采用:中间服务器操作系统win2003server+Oracle Developer6i Runtimes,数据库服务器:Unix Ware+ORACLE 10g。开发端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求,公司统一按国家标准部署了装修一个中心机房,选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机,磁带库、PC服务器、网络安全管理设备,机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中,本人主要参与了整个系统项目集成方案设计和实施。
4 项目特点
4.1 网络设计
中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术,抗击各种非法攻击和干扰,保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤,接入层线路采用8芯单模光纤,桌面线路采用六类非屏蔽网络线;光纤骨干线部分采用万兆+千兆光纤双链路连接,接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。
4.2 系统设计
本系统采用业界流行的三层架构,客户端,应用服务器层,后台数据库层。
4.2.1 应用层设计特点
在应用层选择上,重钢选择了citrix软件来实现企业的虚拟化云平台,原先安装在客户端的应用程序客户端程序安装在Citrix服务器上,客户端不再需要安装原有的Client端软件,Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式,而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术,把软件的计算逻辑和显示逻辑分开,这样客户端只需上传一些鼠标、键盘的命令,服务器接到命令之后进行计算,将计算完的结果传送给客户端,注意:Citrix所传送的不是数据流,而是将图像的变化部分经过压缩传给客户端,只有在客户端和服务器端才可以看到真实的数据,而中间层传输的只是代码,并且Citrix还对这些代码进行了加密。对于网络的需求,只需要10K~20K的带宽就可以满足需要,尤其是在ERP中收发邮件,经常遇到较大邮件,通常在窄带、无线网络条件下基本无法访问,但通过Citrix就可以很快打开邮件,进行文件的及时处理。
4.2.2 数据库层技术特点
在数据库层的选择上,重钢选择了oracle软件。利用oracle软件本身的技术特点,我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群,用户提交的每一项任务被自动分配给集群中的多台机器执行,用户不必通过冗余的硬件来满足高可靠性要求。
RAC的优势在于:在Cluster、MPP体系结构中,实现一个共享数据库,支持并行处理,均分负载,保证故障时数据库的不间断运行;支持Shared Disk和Shared Nothing类型的体系结构;多个节点同时工作;节点均分负载。当RAC群组的一个A节点失效时,所有的用户会被重新链接到B节点,这一切对来说用户是完全透明的,从而实现数据库的高可用性。
Data Guard是Oracle公司提出的数据库容灾技术,它提供了一种管理、监测和自动运行的体系结构,用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于,Data Guard是在逻辑级,通过传输和运行数据库日志文件,来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时,备份数据库将正常切换或故障切换为新的生产数据库,以达到无数据损失或最小化数据损失的目的,为业务系统提供持续的数据服务能力。
4.2.3 数据备份保护特点
备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复,支持通过磁盘和磁带进行备份和恢复,并且没有距离限制,从而可实现24x7全天候业务连续性,并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%,能够帮助客户降低IT成本,提升运营效率。许可模式简单易懂,有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复,使您凭借一款产品即可支持业务增长。此外,该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合(包括存储资源管理、归档、复制和设备管理软件)的重要组成部分,Data Protector软件还能与HP BTO管理解决方案全面集成,使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身,借助快速安装、日常任务自动化以及易于使用等特性,Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理,可以轻松实施多站点变更,实时适应不断变化的业务需求。
5 结束语
企业信息化平台系统集成不是简单的机器设备堆叠,需要根据企业自身使用软件特点,企业使用方式,选择合适的操作系统,应用软件作为企业生产软件部署的基础,另外要合理利用各软件提供的技术方式,对系统的稳定性,安全性,冗余性进行部署,从而达到高可用和可扩展的整体系统平台。
参考文献:
[1]肖建国.《信息化规划方法论》.
[2]雷万云.信息化与信息管理实践之道[M].北京:清华大学出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金银.《企业架构》.
网络安全解决方案范文第4篇
关键词:网络安全;网络管理;防护;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2011)14-3302-02
随着企业信息化进程的不断发展,网络已成为提高企业生产效率和企业竞争力的有力手段。目前,石化企业网络各类系统诸如ERP系统、原油管理信息系统 、电子邮件系统 以及OA协同办公系统等都相继上线运行,信息化的发展极大地改变了企业传统的管理模式,实现了企业内的资源共享。与此同时,网络安全问题日益突出,各种针对网络协议和应用程序漏洞的新型攻击层出不穷,病毒威胁无处不在。
因此,了解网络安全,做好防范措施,保证系统安全可靠地运行已成为企业网络系统的基本职能,也是企业本质安全的重要一环。
1 石化企业网络安全现状
石化企业局域网一般包含Web、Mail等服务器和办公区客户机,通过内部网相互连接,经防火墙与外网互联。在内部网络中,各计算机处在同一网段或通过Vlan(虚拟网络)技术把企业不同业务部门相互隔离。
2 企业网络安全概述
企业网络安全隐患的来源有内、外网之分,网络安全系统所要防范的不仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问。企业网络安全隐患主要如下:
1) 操作系统本身存在的安全问题
2) 病毒、木马和恶意软件的入侵
3) 网络黑客的攻击
4) 管理及操作人员安全知识缺乏
5) 备份数据和存储媒体的损坏
针对上述安全隐患,可采取安装专业的网络版病毒防护系统,同时加强内部网络的安全管理;配置好防火墙过滤策略,及时安装系统安全补丁;在内、外网之间安装网络扫描检测、入侵检测系统,配置网络安全隔离系统等。
3 网络安全解决方案
一个网络系统的安全建设通常包含许多方面,主要为物理安全、数据安全、网络安全、系统安全等。
3.1 物理安全
物理安全主要指环境、场地和设备的安全及物理访问控制和应急处置计划等,包括机房环境安全、通信线路安全、设备安全、电源安全。
主要考虑:自然灾害、物理损坏和设备故障;选用合适的传输介质;供电安全可靠及网络防雷等。
3.2 网络安全
石化企业内部网络,主要运行的是内部办公、业务系统等,并与企业系统内部的上、下级机构网络及Internet互连。
3.2.1 VLAN技术
VLAN即虚拟局域网。是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。
借助VLAN技术,可将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便。一般分为:基于端口的VLAN、基于MAC地址的VLAN、基于第3层的VLAN、基于策略的VLAN。
3.2.2 防火墙技术
1) 防火墙体系结构
① 双重宿主主机体系结构
防火墙的双重宿主主机体系结构是指一台双重宿主主机作为防火墙系统的主体,执行分离外部网络和内部网络的任务。
② 被屏蔽主机体系结构
被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,强迫所有的外部主机与一个堡垒主机相连,而不让其与内部主机相连。
③ 被屏蔽子网体系结构
被屏蔽子网体系结构的最简单的形式为使用两个屏蔽路由器,位于堡垒主机的两端,一端连接内网,一端连接外网。为了入侵这种类型的体系结构,入侵者必须穿透两个屏蔽路由器。
2) 企业防火墙应用
① 企业网络体系中的三个区域
边界网络。此网络通过路由器直接面向Internet,通过防火墙将数据转发到网络。
网络。即DMZ,将用户连接到Web服务器或其他服务器,Web服务器通过内部防火墙连接到内部网络。
内部网络。连接各个内部服务器(如企业OA服务器,ERP服务器等)和内部用户。
② 防火墙及其功能
在企业网络中,常常有两个不同的防火墙:防火墙和内部防火墙。虽然任务相似,但侧重点不同,防火墙主要提供对不受信任的外部用户的限制,而内部防火墙主要防止外部用户访问内部网络并且限制内部用户非授权的操作。
在以上3个区域中,虽然内部网络和DMZ都属于企业内部网络的一部分,但他们的安全级别不同,对于要保护的大部分内部网络,一般禁止所有来自Internet用户的访问;而企业DMZ区,限制则没有那么严格。
3.2.3 VPN技术
VPN(Virtual Private Network)虚拟专用网络,一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。位于不同地方的两个或多个企业内部网之间就好像架设了一条专线,但它并不需要真正地去铺设光缆之类的物理线路。
企业用户采用VPN技术来构建其跨越公共网络的内联网系统,与Internet进行隔离,控制内网与Internet的相互访问。VPN设备放置于内部网络与路由器之间,将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问。
3.3 应用系统安全
企业应用系统安全包括两方面。一方面涉及用户进入系统的身份鉴别与控制,对安全相关操作进行审核等。另一方面涉及各种数据库系统、Web、FTP服务、E-MAIL等
病毒防护是企业应用系统安全的重要组成部分,企业在构建网络防病毒系统时,应全方位地布置企业防毒产品。
在网络骨干接入处,安装防毒墙,对主要网络协议(SMTP、FTP、HTTP)进行杀毒处理;在服务器上安装单独的服务器杀毒产品,各用户安装网络版杀毒软件客户端;对邮件系统,可采取安装专用邮件杀毒产品。
4 结束语
该文从网络安全及其建设原则进行了论述,对企业网络安全建设的解决方案进行了探讨和总结。石化企业日新月异,网络安全管理任重道远,网络安全已成为企业安全的重要组成部分、甚而成为企业的本质安全。加强网络安全建设,确保网络安全运行势在必行。
参考文献:
[1] 王达. 路由器配置与管理完全手册――H3C篇[M]. 武汉:华中科技大学出版社,2010.
[2] 王文寿. 网管员必备宝典――网络安全[M]. 北京:清华大学出版社,2007.
网络安全解决方案范文第5篇
由于计算机硬件、软件、以及网络的迅速发展,信息系统在学校公共事务管理的过程中承担着越来越多的功能,在校园网络中根据学校自身的需求和应用,一般主要有以下一些信息管理服务系统。
1.1Web信息服务高职学校需要对外宣传自己的单位形象,学院新闻、招生政策以及各类需要的公告信息,在校园网中,Web服务器是网上信息浏览的服务器,是不可缺少的信息系统服务项目,也是许多校园管理系统的集成的接口,其他的信息系统可以通过Web服务的主页进行集成。
1.2网上办公系统(OA)网上办公系统可以实现校园内部各处、系、部之间信息交流和共享,公共资源的统一安排,以及和外部相关部门之间进行信息的传播、收集处理、资源的共享存储、实现科学化决策信息管理系统。各部门之间通过办公系统的使用使得信息的沟通更加的顺畅,资源的利用更加充分,并且能够节约时间和成本。
1.3教务管理系统学校的主要功能是教育、管理服务的对象是学生,如何最大化实现对各种教学资源的充分利用,提供高效的管理功能,这就需要使用教务管理把各种资源高效利用,通过使用教务管理系统,实现对学生、教师、课程、教室等教学资源的科学管理,提高上述资源的利用效,减轻教务管理人员工作的难度。
1.4文件服务器在日常的管理中,有许多文件或信息是需要大家相互交流共享,譬如一些公共表格,或者教师的备课材料和视频等。学生可以随时随地通过视频服务器找到自己课程的视频来进行学习,教师也可以上传自己授课的视频提供给学生在课后学习或对该门课程感兴趣的学生自学。此外在校园网络中还有精品课程系统、财务系统等,这些信息系统的存在,增加了网络管理的难度。同时也增加了受到威胁、攻击的概率。
2校园网络面临的主要威胁
通过对校园网络安全威胁现状及发展趋势进行分析,这对研究网络安全技术的必要性和重要性有很高的现实意义,找出相应的解决方案措施。通过对毕节职业技术学院校园网络一年来的记录和观察,校园网络面临的主要安全威胁来自于以下两个方面:来自外部的主要威胁是黑客的攻击,校园网络一般没有特别机密的文件,但校园网络的用户众多,难免一部份用户会对网络进行攻击,在校园内部,一般都搭建有Web服务器和教务系统服务以及办公OA系统,黑客主要对Web服务器和教务系统感兴趣,他们主要目的就是在Web网页上面挂马或攻击教务服务器,获取访问用户的账户和密码、权限等。以下是常见的黑客攻击的技术:
2.1端口扫描端口扫描是利用端口扫描程序对服务器的TCP端口进行扫描,并记录反馈信息,通过对反馈信息进行分析,检查目标主机在哪些端口可以建立连接,如果能够建立连接,则说明主机在那个端口被监听。常用的扫描工具有Superscan端口扫描工具、Satan网络分析工具。常用的扫描方法有
(1)TCPConnect扫描使用这种方法可以检测到目标主机上开放了哪些端口,但这种扫描也容易被目标系统检测到。
(2)TCPSYN扫描这种扫描也称为“半”扫描,因为它不必和目标主机通过三次握手建立TCP连接。
(3)TCPFIN一些防火墙和包过滤程序能监测到SYN分组访问未经许可的端口,TCPSYN扫描的原理是向目标端口发送一个FIN分组,所有关闭着的端口会返回一个RST端口,而打开的端口会忽略这些请求,从而获知哪些端口是打开的。
2.2网络网络监听主要是利用网络监听工具对计算机网络接口截获其他计算机的数据报文的一种工具,通过监听,可能捕获到用户用明文传送的账户和密码。
2.3密码破解通过一些专用的密码破解工具来猜测和获取用户的帐户和密码,从而获取用户的权限对网络或资源进行破坏,常用的方法有密码字典等。
2.4特洛伊木马特洛伊木马指隐藏在计算机正常程序代码中的一段具有特殊功能程序的恶意代码,具有破坏、删除文件、发送账户密码和记录键盘和攻击功能的后门程序。通常情况伪装成实用工具或游戏程序,引诱用户点击将其安装在用户计算机上,实现黑客远程控制用户计算机的手段。
2.5缓冲区溢出缓冲区溢出攻击是指黑客利用操作系统或软件的漏洞,通过程序往缓冲区中写入超过其长度的程序指令,造成缓冲区溢出,从而改变程序正常执行的顺序改变为攻击者安排的另一种顺序,以达到黑客攻击的目的。
2.6拒绝服务攻击拒绝服务攻击指黑客利用Internet网络中的服务器不停的向目标主机发送请求和信息,强迫目标主机不停回复这些无用的请求和信息,消耗目标主机的网络带宽和系统硬件资源,最终导致网络系统瘫痪而停止服务的网络攻击方式。另外其他的攻击有网络钓鱼、电子邮件攻击、即时通信的攻击等。内部的网络安全主要是计算机病毒和木马感染,根据《中华人民共和国计算机信息系统安全保护条例》定义,计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或都程序代码。校园网络由于大量公共计算机的存在,公共机房的计算机用户不固定,学生使用U盘或网上下载软件,容易使电脑感染病毒和木马,只要有一台计算机感染,很快会扩散到其他的计算机,因此,防治计算机病毒是校园机房管理的一个难点。当然,除了上述两个重要的安全因素以外,设备老化、设计缺陷、自然灾害、人为的破坏也是网络安全威胁因素,那么,怎样才能减少校园网络安全威胁呢?构建一个安全的校园网络体系结构,最大限度减少网络受到攻击。
3网络安全体系结构的构建
世界上绝对安全的技术是不存在的,任何安全技术的所谓“安全”都是相对的,因此,在构建校园网络安全体系结构的时候,除了技术以外,重要的是日常网络的管理与维护,人们常说“三分技术,七分管理”,再完美的安全技术,只要管理不当,也会出现漏洞。那么如何构建安全的校园网络体系结构呢?
3.1网络安全体系结构的构建方法
(1)制定安全管理规章制度,严格按照规定操作,避免出现人为的失误,责任到人。严格按照安全技术评估标准对校园网络进行评估,找出漏洞,及时封堵。
(2)安装防火干墙,在校园网络与Internet的接口安装硬件防火墙或网关,防范来自外部网络的攻击。
(3)在连接外网的路由器上做访问控制列表,控制对关键信息和区域的访问。
(4)在核交换机上划分VLAN,避免发生网络广播风暴和减少不同网络网段之间的互访,增加网络的安全性。
(5)安装网络版杀毒软件,及时对内部网络中的计算机进行病毒扫描,清出计算机中残留的病毒,对于公共使用的计算机安全立即还原软件,减少被交叉感染的机会。
(6)安装入侵检测系统,入侵检测系统能够检测闯入、冒充其他用户或合法用户对系统进行破坏或恶意使用的安全行为。
3.2针对网络面临的威胁,我校制定以下安全措施;
(1)提高安全防范意识,按照安全防范要求不要随便从网上下载文件、不要打开运行来历不明的软件、不要打开来历不明的邮件,预防病毒感染。
(2)设置口令时严格按照复杂口令来设置,要有字母、数字和控制符号,长度一定足够长,对于具有管理权限的账户,要经常变换更改密码。
(3)及时更新操作系统或软件,封堵系统中的安全漏洞。
(4)定期分析系统日志,分析系统是否遭到黑客攻击,一般黑客在攻击之前都会对目标主机进行扫描,系统日志会记录对主机的操作记录,做好对应准备,从而预防黑客攻击。
(5)进行动态监控,建立完善的访问控制制度,及时发现网络遭到攻击的情况并加以防范,减少网络攻击的损失
(6)安全检测,运用专业的攻击检测软件对系统进
行扫描,及时发现系统中的安全漏洞并预防。
(7)数据备份,数据备份是网络管理中重要的一环,当系统遭到攻击或者是各种自然灾难时,有了完整的数据备份,可以尽快的恢复数据系统。
(8)安装硬件防火墙或网关,防火墙实现内外网的隔离的技术,它根据访问控制策略来控制内外网的数据通信,最大限度地阻止网络中黑客的入侵。
(9)安装网络杀毒软件,校园网络中,感染病毒是最常见的,一般感染以后就是能及时处理,不要让病毒进行扩散。我们一般在公共机房安装杀毒软件,学生上机使用的U盘在使用时都会对其进行扫描,避免病毒交叉感染,另外我们在电脑上安装还原系统,只要电脑重新启动以后,所有的数据进行恢复。避免病毒存留在计算机上,最大限度减少电脑和用户U盘上的病毒进行扩散。
4总结
