网络安全的建议篇1
【关键词】军训网;网络信息;安全防护
中图分类号:tp39文献标识码:a文章编号:1006-0278(2012)01-164-01
随着计算机技术的不断发展,信息网络已经深入到我们社会的角角落落。不管是企业还是个人,是党政机关还是大学院校,都与网络信息存在着千丝万缕的联系。可是由于网络信息安全防护技术方面的欠缺,以及一些人为的恶意的盗取重要信息的行为,让网络信息的安全让人不得不去担忧。军训网作为全军院校与各个训练单位之间的信息传输以及沟通的一种工具,其信息的安全性也存在着一些问题。
一、军训网网络信息安全存在的问题
军训网作为教育训练的信息网,在信息的传递以及各个主体内部的信息沟通方面发挥着重要的作用。可是在网络信息的安全方面也存在着下面的几个问题:
(一)网上黑客或者恶意入侵者通过internet对军训网数据的破坏
由于计算机系统以及协议数据库等的设计方面存在着一些缺陷,所以就会让一些有意的黑客或者是恶意的人员对网络进行攻击,军训网也是如此。黑客或者是恶意的入侵者通过不法的途径进入军训网的系统,就会对军训网里面的一些数据造成破坏,让网络信息系统无法正常运行,也会阻碍正常的工作。
(二)单位内部人员有意或者无意的对一些数据的损害以及泄密
由于单位内部的人员是军训网的利用者,而他们的一些有意或者无意的对数据的操作行为也会引起对网络内部的一些数据的损害,也有可能会导致一些比较重要的信息的泄露,这也是军训网信息安全方面存在的一个重要的问题。
(三)各种病毒对军训网数据造成巨大的危害
病毒在网络安全方面就像是一个毒瘤一样,时时都在威胁着网络信息的安全。在军训网上也是如此,任何一种病毒的入侵都会对网络的安全造成一定的危害,会让那些军训网里面的数据造成损失,还有可能会直接破坏掉所有的数据,让重要的信息泄露。
二、军训网网络信息安全的防护对策及建议
军训网在网络信息安全方面跟别的网络一样存在着各种各样的问题,也隐藏着各方面的安全隐患。所以针对所提出的信息安全方面的问题,本人就军训网网络信息安全方面的防护提出一些对策。
(一)建立网络屏障防护系统
网络信息安全的维护有赖于完备的网络屏障的建立,所以在军训网的安全维护上面,必须做好军训网信息的输入、输出以及存储控制方面的安全防护工作。在军训网的物理网络环境以及网络技术环境还有数据储存的场所建立规范的,相对独立的网络交换中心以及一些重要的交换点,这样的一些行为可以尽量的减少由于设备的不完善以及由于数据交换而产生辐射造成的数据信息的泄露。当然在网络环境技术方面的安全防护也就是要在网络之间网络的内部以及关键地方设置一些防火墙。可以在内部网与外部网之间设置设置防火墙,让内部网与外部网完全隔离。其实这样的一种方法我们在日常的工作中经常可以接触到。
(二)建立网络用户认证管理系统
在我们的校园网或者是一些重要期刊或者是部门的网站里面,我们可以看到一个专门的登陆口,如果拥有账号跟密码,则可以登陆,没有则无法对网页进行访问。其实这就是建立的网络用户认证管理系统,这样的一种认证系统能够将网络管理、用户入网以及拥护设备的使用,网上信息的等等进行很好的管理,能够有效的保证网络信息传递的安全,而在军训网上也可以使用这种方法来保证网络信息的安全。
这样的一种认证管理系统一般可以设置以下的三种账户,即系统管理员、工作组管理员以及网络用户。一般来讲系统管理员需要的是网络方面的核心技术人员,他们能够保证网络的正常安全运行,并且也能够对信息的储存进行完善的管理;而工作组管理员则是对用户信息享用信息等的管理人员。而网络用户也就是拥有着不同身份的使用这个网络的人员。在军训网的认证系统方面我们可以设置绑定的技术,可以将用户的地址或者是网卡进行绑定,验证用户的合法性,这样的一种技术防护更能够保证军训网的信息安全。
(三)完善病毒防护系统
针对病毒这个网络安全巨大的肿瘤,军训网可以建立属于自己的病毒防护系统来抑制病毒对于军训网数据的破坏以及重要信息的泄露。首先在军训网里面可以采用人为管理与技术配合的方法来抑制病毒的入侵或者是扩散,例如在一些光盘或者是磁盘的使用的时候可以进行查毒,在下载一些资料的时候也要注意病毒的防护。最后是对一些重要病毒的信息要时时的进行关注,对于新出现的病毒,新的病毒都要有个了解的系统,然后再进行病毒的实时监控。
(四)建立完善的数据备份系统
有时候当我们的一些数据被破坏以后总是全部丢失了那些数据,其实这就是我们没有做好数据的备份系统,如果在网络中能够建立完好的数据备份系统,那么有时候丢失一些数据也不会造成多大的损失。军训网上的信息安全防护也应该建立完善的数据备份系统,以预防由于重要数据的丢失带来的损失。在军训网中可以设置一些智能化的备份方案,一般来说我们备份自己的数据会放在磁盘之中,当然这样简单的方法在军训网中也可以采用,而军训网也可以采用软件备份的方式来保证数据的安全。
总之,网络信息安全的防护对于军训网网络的管理异常重要,管理人员应该在多方面注意,针对经常或者是普遍存在的一些问题进行深入的讨论与思考,然后制定出真正的能够保障网络信息安全的对策,让军训网的网络更加完善。、
参考文献:
网络安全的建议篇2
【关键词】网络安全,内网安全,外网安全
【中图分类号】tp39【文献标识码】a【文章编号】1672-5158(2013)02-0375-02
一、企业网站的安全维护
企业网站的安全维护应包括服务器硬件的维护,以及服务器相关软件的维护。
1、服务器硬件的维护
服务器的硬件维护包括增加和卸载设备、更换设备以及设备除尘、防火防潮等工作。企业网站运行一段时间后,服务器安装的应用程序增多、网络资源提升、网络应用步入多元化,此时为了适应企业网站发展的需要应对服务器进行扩充,增加内存和硬盘容量。服务器一般都提供磁盘阵列功能,要保证服务器多两块硬盘,保障数据的冗余才能有存储方面的安全保障和性能优化。另外,为了保证服务器的安全工作,还要定期的拆机打扫灰尘,因为很多莫名其妙的故障都是尘土“惹的祸”。
2、服务器的软件的维护
服务器软件系统方面的维护也是服务器维护量最大的一部分,归纳起来网站服务器的日常管理维护工作应包括:网站服务器的内容更新、审计日志文件的安全、新的工具和软件的安装、更改服务器配置、对服务器进行安全检查等。另外还要保障:
①安装功能强大的防火墙并增设网络入侵检测系统所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,它是一种计算机硬件和软件的结合,使internet与intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。安装功能强大的防火墙,可以有效防御外界对web服务器的攻击。所谓入侵检测系统iDS(intrusionDetectSystem)指的是实时网络违规自动识别和响应系统。iDS位于需要保护的网络敏感数据上或网络上存在有任何风险的地方,它通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,并寻找网络违规模式和未授权的网络访问,一经发现非法入侵,检测系统就会做出包括实时报警、自动阻断通信连接或执行用户自定义的安全策略等。
②对网站服务器要定期进行安全检查对企业网站来说由于有很多对外开放的网络服务,如www服务、DnS服务、DHCp服务、Smtp服务、Ftp服务等,随着服务器提供的服务越来越多,系统也容易混乱、安全性也将降低,容易受到病毒及黑客的攻击,所以要将服务器定期进行安全检查制度化。充分利用漏洞扫描工具和入侵检测系统iDS等工具,加大对服务器的安全检测,及时发现系统的漏洞并在第一时间为服务器安装各类新漏洞的补丁程序,从而避免服务器受到攻击使企业网站发生异常。
③定期对数据库进行维护
对服务器上的数据进行维护包括:数据库导入导出、数据库备份、数据库后台维护、网站紧急恢复。对服务器上的数据定期进行备份是很重要的。网站的核心是数据,当数据一旦遭到破坏时,要能及时用备份数据恢复系统。
二、企业网站的安全隐患
企业的计算机网络可以分为企业内网和外网两部分,企业内网涉及企业内部的信息资源,需要保证信息的绝对安全,企业外网与互联网相连,主要威胁来源于互联网上的恶意攻击、企业网络自身的安全缺陷等几个方面。
1、企业内网安全隐患。企业内网安全隐患造成的危害有时比外网隐患所造成的的破坏性还要强,内网的安全隐患主要表现为以下几个方面:
①企业内部员工的误操作或故意破坏。企业员工由于业务不熟或粗心等原因,可能会误删除某些文件和数据,还有可能误格式化硬盘,甚至损坏网络设备。另外个别员工也可能由于对企业不满而故意对企业一些重要数据进行破坏。
②移动存储介质的不规范使用。移动存储介质的使用是企业信息网络安全的一个比较难以防范的威胁。未授权拷贝、未授权打印,移动存储介质丢失等问题均是信息安全中比较难解决的问题。
③来自内网网络管理员的安全隐患。一些网络管理员专业水平不够,对用户及用户组权限分配的不够合理、对账号和口令管理不严格、开设不必要的服务端口,一些网络管理员责任心缺失,还有一些网络管理员工作负担过重,这些都将威胁到企业内部的网络安全。
④来自内网的网络攻击,一些对企业内部网络架构非常了解的员工会利用管理上的一些漏洞入侵他人计算机进行破坏。这种网络攻击方式可归纳为三类:(1)非法入侵,即在未授权的情况下试图存取、处理信息或破坏系统;(2)非法接入,即未经网络管理部门同意,就直接将计算机或各类移动设备接入企业内网;(3)非法外联,即在未经授权的情况下,通过无线网络等手段将内网主机接入外网或互联网。
2、企业外网的安全威胁。企业对外业务的需要一般都会要求企业的计算机网络接入互联网,而互联网上的病毒、木马数量众多,变化和传播速度都很快,一旦被感染,整个企业网络都有瘫痪的可能。黑客是计算机网络威胁的主要制造者,是企业网络安全的最大威胁。另外,间谍软件、钓鱼网站、僵尸网络等也对企业的网络安全带来了严重的威胁。
三、企业网站的安全防范措施
1、企业内网的安全重在防范,为了保证内网的安全必须将管理、监测和控制三者有机结合起来。将诸如防火墙、物理隔离等网络安全防范手段与网络安全监测手段相融合,变被动防御为主动防范;要重视对员工的网络安全培训,要提高网络安全管理员的素质;要建立网络安全日志和审查制度。主要技术措施如下:
①将多种网络安全防范技术、网络安全监控手段进行集成与融合。在企业内网与外网物理隔离的前提下,可将防火墙技术、漏洞扫描技术、入侵检测技术与安全监测、安全控制和安全管理进行集成与融合,从而有效地实现对内网的安全防范。
②建立网络安全日志和审查制度。企业要建立计算机网络用户信息数据库,对访问重点监测数据的用户、访问地点、访问时间要作详细记录;企业要建立内部网络主机的登录日志,对登录用户、登录时间和退出时间等信息作详细记录,如果发现现可疑操作应及时报警并采取必要的安全措施;企业要对未经授权的存取、外联、接入均要通过必要的技术手段进行检测并做出及时响应和生成日志记录。企业还要对网络设备的状态从技术层次上进行监测,对设备的更改自动形成日志。这样,一旦出现问题,管理员就可以对通过对日志的审查来分析网络安全事故的原因,发现一些可疑的信息,进行重点跟踪监测。
2、企业外网的安全防范措施
①防火墙技术
防火墙是设置在不同网络或网络安全域之间的一系列部件的组合,包括软件和硬件。配置防火墙是企业实现网络安全最基本、最经济、最有效的措施之一。它是一种被动防范方式,企业可以根据实际需要来制定安全策略从而控制出入网络的信息流,有效阻止对信息的非法访问和未授权用户的进入。
②病毒防护技术
计算机技术飞速发展的同时病毒也变得越来越复杂和高级,对计算机信息系统构成了极大的威胁。因此病毒防护技术在企业计算机网络安全防御体系中也是一项非常重要的技术。企业应该购置网络版杀毒软件,并为每个用户安装其客户端。
③入侵监测技术
入侵检测技术是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行实时监测。它可以识别防火墙不能识别的内部攻击,可以监测并捕捉网络上的恶意动作,可以防止合法用户对资源的错误操作,从而提供对企业网络的实时保护。在企业网络中要同时采用基于网络和基于主机的入侵检测系统,从而构建成一套完整的主动防御体系。
总的来说,企业的计算机涉及公司内部诸多方面,因此维护网络的安全成为了被各个企业越来越重视的问题。想要保证企业计算机网络的安全性,就要同时做好内部安全防护以及外部安全防护,只有这样,公司的网络才能长期维持在安全的环境中。
参考文献
网络安全的建议篇3
[关键词]计算机网络;安全缺陷;攻击方式;防范措施
[中图分类号]tD393[文献标识码]a[文章编号]1672-5158(2013)05-0061-02
一、计算机网络安全缺陷
1、计算机网络一般采用的是tCp/ip协议,在制定该协议时,设计人员主要考虑的是方便性,对安全性的考虑不多,因而该协议本身具有很多安全漏洞。
2、计算机的操作系统在进行结构设计和代码设计时,也是主要考虑到用户使用的方便性,但是在安全性上,比如计算机的远程控制、权限控制等方面,存在缺陷。
3、计算机在数据库管理上也存在一定的缺陷,不法分子可以在数据库或者应用程序中安装各种破坏程序来进行情报数据的收集。
二、计算机网络攻击的方式
1、漏洞攻击。由于计算机在系统、程序、硬件、软件等方面都存在一定的缺陷和漏洞,而不法分子可以利用这些漏洞进行攻击。计算机网络常见的安全漏洞主要有:盗取远程、本地管理权限,远程、本地拒绝服务,服务器信息的泄露等等。不法分子会利用漏洞探测工具来对用户的系统进行检测,然后在不经授权的情况下针对这些漏洞来进行攻击。
2、病毒攻击。病毒攻击是计算机网络攻击中最为普遍,也是最难处理的一种,它可以对计算机造成巨大的损坏。许多病毒会和木马结合在一起,杀毒软件不仅很难删除,还可以迅速进行传播。
3、电子邮件攻击。由于电子邮箱已经成为很多人进行沟通交流的方式,很多商务交际和公司贸易中,都采用了电子邮件的方式。不法分子会利用CGi等软件向用户邮箱发送大量的垃圾邮件,导致邮箱被撑爆而无法使用。此外,不法分子还会用邮箱来对用户发送带有病毒的邮件。
4、DoS攻击。DoS攻击又称拒绝服务攻击,这种系统漏洞在全世界都普遍存在,不法分子利用系统和设备的缺陷不断地进行攻击。不法分子采用这种攻击手段,让用户的系统因为负荷过多而无法正常工作。攻击者采用的方式—般是对计算机之间的链接或服务器进行破环,使其无法进行正常的网络通讯。
5、缓冲区溢出攻击。不法分子利用软件自身的缺陷,向程序的缓冲区写入过长的内容,发生缓冲区溢出,对程序的堆栈进行破坏,达到执行其他指令的目的。或者攻击者在缓冲区内写入自己的代码,将这个代码的的地址覆盖原函数的返回地址,当程序返回时,程序就开始执行攻击者的代码。
6、tCp/ip欺骗攻击。这种攻击方式是通过伪造假冒的地址,冒充真实的身份来和其他主机来进行合法通讯,或者是向被攻击者发送了错误的报文,让被攻击者执行错误的指令。
7、aRp欺骗攻击。aRp攻击,是攻击者通过对路由器的aRp表进行欺骗,或者是对网关进行欺骗的方式达成攻击的目的。其中,针对路由器的aRp欺骗方式是,攻击者截获网关数据,伪造maC地址,并向网关频繁发送,造成路由器的aRp缓存信息得到修改,导致真正的ip地址无法与路由器进行通讯,这种攻击的结果是导致用户的网络受到中断。而对网关进行欺骗的方式是攻击者通过伪造网关,使得被攻击者向攻击者的网关发送数据,这样,攻击者可以截获用户的网络信息。
8、电磁辐射攻击。电磁辐射攻击主要是应用在现代战争中,攻击者通过电磁辐射干扰对方的通讯,同时将对方的通讯信息进行截取,是获取军事情报的方式。
三、网络攻击的防范技术
1、拒绝服务攻击防范
1)用户可以对不必要的服务进行关闭,对同时打开的SYn半连接数目进行限制,并且对SYn的半连接的timeout时间进行缩短,并注意及时对系统更新补丁。
2)在防火墙的设置上,严禁对计算机的非开放项目进行访问,对同时打开的SYn最大连接数进行限制。对特定的ip设置访问限制,并且将防火墙的DDoS的属性启动。
3)在路由器的设置上,对访问控制列表要进行过滤,同时对SYn的数据包的流量速率进行设置,对版本过低的iSo进行升级,并为路由器建立logserver。
2、缓冲区溢出攻击防范
1)程序指针完整性检测。即用户需要对程序指针进行检测,防止被攻击者进行改变并被引用。
2)堆砌保护。这是一种编译器技术,用来对程序指针完整性进行检测,其检测方式是通过对函数活动记录中的返回地址进行检测来实现的。即,首先将一些附加的字节添加在堆栈中函数返回地址后,当函数返回时,会先对这些附加字节进行检查,看是否被改动过,查看是否发生了缓冲区溢出攻击。
3)数组边界检查。即对所有的数组操作进行检查,确保数组操作在正确的范围内。
3、扫描型攻击的防范
1)地址扫描的防护。用户可以采用ping程序进行探索,如果存在地址扫描攻击,则其会对此程序作出反映,此时就可以在防火墙中将iCmp应笞消息过滤掉。
2)端口扫描的防护。用户需要将闲置的端口或者存在风险的端口关闭,用户还可以通过防火墙来检测其是否被扫描,因此,良好的防护墙是预防端口扫描的关键因素。
3)畸形消息攻击。由于计算机的操作系统本身存在漏洞,系统在处理信息时,如果不能进行错误校验,在接受到畸形攻击时就可能会导致系统崩溃。要预防畸形消息攻击就需要及时更新安装补丁。
4、ip地址欺骗防范
1)抛弃基于地址的信任策略:用户为了实现对此类攻击的阻止,需要抛弃以地址为基础的验证。比如,禁用r类远程调用命令,或者删除rhosts文件,对/etc/hosts.equjy文件进行清空。
2)使用加密方法:用户可以采用对将要发送的数据包进行加密,在加密的过程中需要对当前的网络环境进行改变,通过加密可以保证数据的真实性和完整性。
3)进行包过滤。通过对路由器进行设置,如果发现网外的链接请求的ip地址与本网内ip地址相同,则对其进行禁止。如果数据包的ip地址并不在本网内,则禁止将本网主机的数据包发送出去。包过滤技术只能过滤声称来自内部网络的外来包,所以最好关闭网络中的外部可信任主机,避免不法分子冒充这些主机进行ip欺骗。
5、aRp攻击防范
1)将网关maC地址和对应的ip地址进行绑定;在交换机上将计算机端口和mac地址进行绑定,同时对aCL进行配置,对非法ip或mac地址进行过滤。
2)通过使用aRp服务器,查找自己的aRp转换表,从而对其他设备的aRp广播进行响应。在一些特殊的网络环境中,可以考虑使用aRp或者是对网络接口的aRp解析禁止执行。
3)使用反aRp软件、防火墙等监控网络,应当避免使用集线器等设备,并且定期检查aRp的缓存列表。
4)因为aRp攻击一般发生在园区内,因此,网络管理员可以根据在局域网中制定出一个网络拓扑图,划出VLan区域,如果有用户感染了aRp病毒,为了防止aRp病毒的扩散,就需要立即找到感染病毒用户的交换机端口,将这个端口列进VLan区,并且可以运用端口中的disable对其进行屏蔽。
四、结束语
因此需要用户和技术人员提高网络安全防范的意识,提高应对攻击的处理能力,同时要不断加强学习和研究,从而更好地应对现在复杂多变的网络环境。
参考文献
网络安全的建议篇4
在过去的几年里,政府问责办公室对国土安全部能充分履行国家网络安全战略责任感到满意。但在谈到一些不足之处时,政府问责办公室对网络安全的关键领域提出了包括下表所列5个方面的30项建议。
虽然国土安全部尽最大努力满足网络安全职责各方面要求,但仍不能完全达到建议的要求,因此在这些领域需要采取进一步的行动。
由政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力。
2、行动期间严格完成网上演习。
3、改善网络安全控制系统的基础设施。
4、加强国土安全部恢复互联网中断的能力。
5、解决网络犯罪。
在涉及政府问责办公室的建议以及其他方面的关键战略时,政府问责办公室网络安全专家小组确定了12个需要改进的关键领域(见下表)。政府问责办公室发现,这些建议在很大程度上符合其报告,也很符合其在这方面大量的调查和经验。
由网络安全专家拟定的战略关键改进
1、确定具有明确战略目标、目的和重点的国家战略。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制。
3、建立战略执行的管理结构。
4、普及网络安全知识,提高网络安全意识。
5、建立负责任、有效的网络安全组织。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系。
8、多加重视解决全球的网络空间的问题。
9、加大对网络空间恶意破坏行活动的执法力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量。
11、培养网络安全方面的骨干人才。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全。
在政府问责办公室的建议之前,已经考虑了以上方面的建议。但政府和私人机构的基础设施仍不能得到充分的保护。因此,除了全面落实政府问责办公室的建议外,新政府在对国家网络安全战略做出决定时,他所考虑的改进方法是至关重要的。
政府问责办公室进行这项研究的意义
普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令。国会和相关部门,包括新内阁,随后都对战略进行了充分的审查,并指出需要改进之处。尽管如此,政府问责办公室认为这些领域依旧存在着高风险,而且,他们还作了有关执行全国网络安全战略所需的改良报告。
在这份材料中,政府问责办公室做出如下总结:(1)关于全国网络安全战略的报告和建议(2)专家对如何加强战略的观点。
政府问责办公室的建议
政府问责办公室之前已经提出了30项建议,大多数直接与国家领土安全局相关,重点在于增进我国的网络安全战略执行力度。国家领土安全局在很大程度上已经同意了政府问责办公室的建议,而且在某些方面对这一战略采取了措施。
尊敬的主席女士,委员会委员们:
谢谢你们给我一个机会,让我参加今天的关于讨论努力保护我们国家,以摆脱网络安全的威胁的听证会。普遍且持续的网络攻击,使得联邦政府和私营部门的系统和业务以及一些关键的基础设施存在着潜在风险。考虑到这些威胁,布什总统了着力于改善全国网络安全的“2003年国家网络安全战略”及相关的政策指令,包括政府系统和这些网络关键基础设施的持有和经营权的私营部门。由于这些威胁长期存在并有可能继续增加,我们于2007年8月成立了一个委员会-----第44届网络安全委员会,主席由两个国会议员和业界官员主持,其目的为了审查战略的充分性,确定在哪些领域需要改进。与此同时,布什政府开始提出包括联邦政府在内的旨在加强网络安全的一系列倡议。最近,在2009年2月,奥巴马总统开始了政府的整体网络安全战略审查和支持活动。
现在,应要求,我将谈谈以下几个问题:(1)关于国家网络安全的30项建议和相关成果的报告。(2)我们召集的专家小组讨论的关于如何加强我国战略及网络安全意识的相关结果。在准备这些材料的过程中,我们依据的是之前关于联邦政府履行国家网络安全职责的报告。这些报告对之前使用的方法和范围做出了详细概述。我们的观点是在讨论国家网络安全战略的效力和改良建议问题中达成一致的,并得到了网络安全专家的广泛认可。在小组讨论的综述中也提到,我们为所有的小组成员提供一次对我们的书面摘要进行评论的机会,而且他们的评论也将作为摘要的一部分。小组成员名单和他们的职位见目录i。我们的工作是2009年的2月和3月向华盛顿提交这些材料。这些材料中所进行的工作将按照政府普遍接受的审计标准进行的。
背景
政府官员都担心那些带有恶意攻击的个人或团体,比如罪犯、恐怖分子和外国的敌对势力。例如,在2009年2月,国家情报局局长表态说,一些国家和罪犯已经盯上了政府和私营部门的网络,以此获得竞争优势或对其进行潜在的破坏,恐怖组织也想利用网络手段来攻击美国。
联邦政府将制定了一项战略,以解决诸如此类的网络的威胁。具体来说,布什总统颁布了“2003年国家网络空间安全战略”和相关的政策指令,例如国土安全部总统第七号命令,这关系到是国家如何确保以计算机为基础的系统安全,包括政府系统和那些支持关键基础设施的持有和经营权的私营部门。这一战略和相关政策也将使国土安全部成为信息网络Cip的一个焦点,在这一领域他扮演多个领导角色,承担起应尽的责任。其中包括:(1)为Cip制定一个综合性的国家计划,包括网络安全在内;(2)培养和加强国家网络分析和预警能力;(3)提供和协调事件应对和恢复的规划,包括开展事故应变演习;(4)查明,评估和协助各方力量,以减少包括那些基础设施控制系统的网络威胁和脆弱性;(5)加强国家网络空间安全。另外,这一战略和相关政策指令指导国土安全部和其他利益相关者利用风险管理原则,将以整体和协调方式优化18个相关的重要基础设施部门的保护措施。
由于威胁持续和发展,布什总统在2008年2月开始采取一系列举措,通常称之为称为“综合国家网络安全计划(CnCi)”,其主要目的是为了提高国土安全部和其他的联邦机构抗干扰和预测未来威胁的能力。虽然这些倡议还没有公布,但国家情报局局长声称倡议包括了防御、进攻、研发、反间谍所取得的成就以及一个加强政府和个人合作关系的方案。随后,在2008年12月,网络安全委员会第44期主席报告指出,网络空间是一个紧迫的国家安全问题,报告还对战略和其执行方案的修改提出了25项建议。从那时起,奥巴马总统(2009年2月)对网络安全战略进行评估,并对此采取积极的行动。此次评价预计在2009年4月完成。
政府问责办公室对国家网络安全战略和其执行的关键方面的不足提出几点建议
在过去的几年里,我们已经就我国在完成网络安全战略的重要方面所作的努力提交了报告。特别是,从2005年到现在,我们不断报告国土安全部还没有完全履行它在战略中所指派的网络安全责任。为弥补这些不足,我们就表1所列的五个网络安全的关键领域提出了30项建议。国土安全部已经制定并采取了一些具体措施,以履行其网络安全各方面的义务,但该部还没有完全达到我们建议的要求,因此需要进一步采取行动来解决这些领域所存在的问题。
政府问责办公室确定的对网络安全关键领域需要改进的地方
1、加强网络的分析和预警能力
2、行动期间确保完成网上演习
3、改善网络安全控制系统的基础设施
4、加强国土安全部恢复互联网中断的能力
5、解决网络犯罪
报告指出,在2008年7月,国土安全部的计算机应急准备小组(US-CeRt)没有很好地解决15个关键网络分析和预警有关的问题,其中包括(1)监测网络异常活动,(2)对异常情况进行分析调查,确认它们是否受到威胁,(3)实时监控威胁,(4)应对威胁,(5)反击威胁。因此,我们认为,这15项建议,能充分提高国家战略的网络分析和预警能力。国土安全部很大程度上也认同我们的意见。
2008年9月,通过进行重大的网络攻击演练,即网络风暴,国土安全部在这次演习中已经取得了8项重要的进展。然而,此次行动的经验教训表明,问题尚未完全解决。具体来说,66项行动计划已经完成42项,安全局已经确定有16项正在进行,另外7项在不久也将施行。因此,我们建议,国土安全部安排并完成所有的纠正行动,以加强协调就重大网络事件问题上的公共部门和私营部门伙伴关系,国土安全部也认可我们的建议。到目前为止,国土安全部将继续完成一些相关工作,但也仅仅局限于安全部内部。
在2007年9月的报告和2007年10月所提供的材料中,我们指出,为确保国家战略需求,减少威胁和安全漏洞,国土安全部提出多种控制系统的安全措施,包括通过脆弱性评价和应急响应来提高网络使用的安全性。然而,国土安全部并没有制定出一项战略,以协调参与的各种控制系统活动的联邦政府和私营机构,而且它并不能有效共享联邦政府和私营机构控制系统的漏洞信息。因此,我们建议国土安全部制定出能确保控制系统安全的战略,建立一个快速和安全分享敏感控制系统漏洞信息的操作程序。国土安全部目前已经开始制定该计划并共享敏感漏洞信息。
我们的报告指出,为制定一个综合的政府和私营互联网复苏计划,安全部已经开始了展开国家安全战略任务的各种行动,这在2006年也得到证实。然而,这些努力是不够的。因此,我们建议国土安全部实施9个行动以改善安全局的能力,保障在遭到干扰时,能帮助政府和私人恢复互联网的使用。2007年10月,国家安全局开始执行我们的建议,但是只完成了其中的两项。到目前为止,政府和私营部门互联网恢复计划已经不复存在。
在2007年,我们认为,政府和私营部门在追捕网络犯罪方面面临着许多挑战,包括确保法律执行,对调查的充分分析和技术支持,以及对国内和跨国互联网犯罪的起诉。网络安全专家强调需出台重要举措以加强国家网络安全态势
除了我们建议改善国家网络安全战略及其执行情况外,还有专家对于这些问题和其他关键战略方面的意见,其中包括提出可改良的各个领域。包括前任联邦政府官员、学者、私营部门执行官在内的专家,提出了12个主要改良方案,他们认为,必须改善我国战略和网络安全态势。这些改善在很大程度上是符合我们的材料,也符合在这方面进行的广泛研究和经验。包括:
1、确定具有明确战略目标、目的和重点的国家战略。此战略应该包括(1)明确的战略目的,(2)为政府和私营部门提供可行的目标,(3)突出网络安全这一重点,(4)为将来安全网络空间提供一个设想,(5)争取联合联邦政府各部得力量,(6)量化战略进展过程,(7)进展不大时,为行动的执行和责任提供一个有效的保障。专家小组成员认为,CnCi提供了一套战略举措,以集中加强联邦政府网络安全的战略活动;然而,它并没有作为一个整体为国家提供战略目标、目的和重点。
2、为领导和监督国家网络安全政策,建立白宫责任制和问责制----该战略使国土安全部成为网络安全保障核心部门;然而,专家小组成员认为,国土安全部没起到预期的作用,对全国关注的网络安全提升也没有提供足够的指导。因此,小组成员指出,要取得成功,就要给国家和网络关键基础设施的私营业主表明,网络安全是一个重点项目,并由白宫亲自领导实行。另外,为了有效发挥其效用,政府必须树立权威----例如,对预算和资源采取适当的奖励办法,以刺激行动的进行。
3、建立战略执行的管理机构----管理机构包括18个关键的基础设施部门,相应的政府部门和协调理事会,跨部门委员会等。然而,根据小组成员的意见,管理机构是以政府为中心,很大程度上依赖个人以达到信息共享和行动的实行。此外,虽然所有行业就网络功能而言并不具有同等重要性,但管理机构应对他们同等对待。为了确保战略改良计划的有效执行,专家建议,管理机构应该包括高级管理委员会代表(例如,国防部,国土安全部、司法局、州政府、财政部和白宫)和关键网络资产和功能的私营部门领导。专家小组成员也建议委员会的责任应该包括衡量和定期报告目标、任务和战略重点的进展,在进展不大时,督促各方面加快进度。
4、普及网络安全知识,提高网络安全意识----虽然该战略确定网络空间安全意识作为重点,专家指出,许多在商业和政府任职的,包括在国会就职的国家领导人,他们有能力为网络安全提供资金帮助,但大多数人网络安全意识不高,没有认识到网络安全引发国家和经济安全风险的严重性。专家组成员建议,应积极向领导者和普通民众宣传网络安全的重要性。
5、建立负责任的有效的网络安全组织----国土安全部创立了国家网络安全局(下属于网络安全部和通信部),负责领导国家日常的网络安全。然而,小组成员认为,这个部门并不能使国土安全部成为预期核心力量。小组成员声称,目前,国防部和其他情报部门有能力左右联邦的决定。他们说,他们也需要一个独立的网络安全组织来促进和联合私营部门、政府、执法机构、军队和情报部门以及国际盟友,合力解决全国重要的网络系统和职能问题。但是,网络安全组织应该如何处理这个问题,我们专家组成员没有达成共识。
6、集中加强资产和职能的优化,评估网络安全存在的弱点,减少网络安全攻击,而不是发展更多额外计划----该战略建议采取更多的行动来查明重要的网络资产和职能,但是专家组成员声称对国家重要的网络资产和职能进行检查的力度还不够。小组成员认为,对网络关键基础设施保护工作所作的努力,列出重要资产的清单,就目前而言是基于个人或团体意愿进行的。此外,目前的战略将以减少弱点作为重中之重;可是,评定和减少现有的弱点所做出的努力还是不够的。他们认为,必须采取更多行动才能识别和消除常见的弱点,而且对关键网络资产和职能应该具备有效的评估手段。
7、通过改进价值观念和奖励机制加强政府和私人的合作关系----虽然该战略激发了重要网络资产和职能的所有者和控制者采取行动,但是小组成员认为,网络安全工程需要更多的投资和更多人参与进来,目前的经济及其他激励制度远远不够。因此,小组成员指出,联邦政府应该提供有价值的服务(例如提供有用的威胁或是预警分析信息)或是奖励(例如发放津贴或是减免税款)来鼓励私人参与合作。他们还建议政府和私营部门能够使用一些像成本-利润分析这样的方法,来确保网络安全相关有限资源的高效利用。
8、多重视解决全球的网络空间的问题----该战略包括处理国际方面的网络空间安全问题。但是根据小组专家所说,美国并没有涉及网络空间如何管理和控制这一全球问题。他们认为,当其他国家正在积极参与制定条约、建立标准、以及推行国际协定(如隐私权)时,美国没有积极协作来确保国际协定符合美国的利益,有利于解决网络安全和网络犯罪问题。小组成员认为,美国应该摆出更加积极合作的姿态,这样可以让美国在国际合作中有一席之地,并能加强政府部门之间的合作,其中包括法律的实施。此外,一名成员还说,美国在网络安全战略上应该与全球应达成共识。
9、加大对网络空间恶意破坏行活动的执法力度----战略倡议加强国内外审查合作和促进各国就追捕网络犯罪达成一致意见。据一个小组成员所说,在国内,相关法律已经做出修改(例如,2008年通过的“未成年儿童行为保护法”),但是这只是整个工作过程中的一小部分。他还说,目前国内外的法律实行,包括行动、手续、方法和法律本身,已经太过时,不能适应现在高技术犯罪个人或团体,例如罪犯、恐怖分子和恶意目的的敌对国家。有必要加大法律的实施力度,加大对进行恶意破坏行为的个人或团体的打击力度。
10、进一步加强于网络安全的研究和开发工作,包括考虑如何更好的协调政府和私营部门各方面的力量----虽然该战略建议采取措施,实现进一步的研究和开发工作,努力协调政府和私营部门各方面力量,但专家指出,美国对此没有将充分投入资金集中进行研究,没有集中考虑新一代的网络空间及网络空间安全问题。另外,对正在进行的研究和开发工作,目前没有协调好政府和私营机构的各方力量。
11、培养网络安全骨干人才----该战略的任务包括增加网络安全专业人员的数量和提高他们的技能。但是,根据小组成员认为,目前此方面的专业人员人数还是不够,包括信息安全专家和网络犯罪侦探。专家组成员指出,要采取进一步的行动,增加符合网络安全技能要求的专业人才,包括(1)加大现有的奖学金的规模(例如增加服务奖学金)(2)通过测试和批准进行网络安全专业训练。
12、为联邦政府构建安全的网络模式,包括利用它已有的机能提升产品和服务的网络安全----战略将确保政府的网络空间的安全作为重点,并通过联邦政府现有的资产来实现。虽然联邦政府逐步加强各部门的网络安全,但小组成员认为,这还算不上是一个网络安全模型。此外,他们表示,联邦政府没转变现有资产的功能,在这方面对政府官员也没有进行有效的训练,因此其购买、使用的产品和服务的网络安全效率没有得到提升。
总的来说,我国正在遭受着计算机网络攻击,目前的战略以及改良措施在缓解威胁方面没有起到很大的作用,这正是国土安全部需采取进一步行动,充分履行我们的建议,以解决关键网络安全领域问题的原因之一。另外,旨在改进计算机网络安全的改进方案也得到权威专家的肯定,但是重要的国家部门和私营部门基础设施系统依旧处于网络安全威胁之中。关键性的改良,包括制定国家战略,这一战略要求能清楚体现出战略的目的,目标和重点;建立白宫领导权;加强管理;创立一个有能力负责任的领导组织。即使这些建议及改进措施实施后,联邦政府和私营部门的重要基础设施系统仍是敌对分子的攻击的目标。因此,除了充分执行我们的建议外,至关重要的是,奥巴马当局在重新审视网络安全战略时应对此做出改进,并下决心向前迈进。
主席女士,我的发言到此结束。我很乐意回答您和小组委员会成员的相关提问。
如果您对上述报告有任何疑问的话,请联系(202)512-9286,或发送电子邮件至pownerd@gao.gov。这份报告的其他主要贡献者包括布拉德利·贝克,尔卡米·查尔斯,迈克尔·吉尔莫,南希·格罗乌尔,库什·马罗特拉,加里·蒙乔伊,李麦·克拉肯和安德鲁斯·塔维斯基。
网络安全的建议篇5
1.1通信网络安防工程
通信网络的最根本保障就是安防工程,它能够为通信网络提供环境方面的保护。通信网络呈现出的环境特点为:为了适应网络结构简化的新变化,居所容量得以扩大;由于业务不断增多,各种交换、传输设备也随之增加,且多被安置在一个空间内,使环境趋于复杂;相关的通信设备呈现模块化的趋向,智能程度大大提高,但其体积却未随着容量的扩大而增加,反而呈现不断减小的状态。通信网络的环境改变对规划设计也提出更高要求,但相关设计的系统性和完整性仍有待加强,其设计高度需要进一步提升。
1.2网络安全
网络安全的实现需要加强对网络开放性的控制,使之可管理性得以提升。要把控网络安全首先要合理利用防火墙技术,在内外网络之间建立分隔,使访问受到必要的控制,增加网络信息的安全性。根据实际网络状况来进行防火墙的选择十分必要,但仅依赖防火墙难以解决所有的网络安全问题,因而入侵检测、加密技术也相继得到发展。入侵检测可以对网络中可能存在风险的地方进行监控,从截获的数据流中识别出破坏性数据,发现违规入侵网络的行为,并能对未授权访问做出报警反应。加密技术通常作用于网络节点,通过对传送信息进行加密来提升网络传输的安全度。
1.3链路安全
设备本身运用的技术将影响到链路安全,因而链路安全的考量应该从以下几点入手:使网络本身的性能特点得以保留;提升系统的保密性与安全度;控制附加操作量,降低维护难度;维持拓扑结构的原型,使系统拓展得以实现;合法使用密码产品等等。链路安全的加密方法多为对称算法,使用加密机来进行点对点的加密设置。在通信伊始进行统一加密,在信息送达后即可解密,这一过程无需路由交换。
1.4信息安全
网络所具备的开放性使得信息安全失去保障,被篡改、窃取、越权使用等情况屡见不鲜,要确保信息安全,应关注信息的传输、存储、用户身份鉴别等关键点。首先,创建公钥密码这种手段在身份识别、自动管理方面有特殊优势,通过第三方的担保提升信息获取的安全度。其次,审计信息内容也是一种有效的安全管理方法,在备份网络内部信息后开展必要的审计,防止信息外泄,同时也能阻隔不良信息的入侵。再次,通过创建数据库能使信息管理更加系统、完整,防止信息丢失。
2基于安全的通信网络规划设计建议
2.1对信息进行加密设计
对传送信息进行加密处理是保证通信网络安全的基本手段,对通信网络应进行必要的加密设计。信息加密不仅可以确保业务信息的安全,同时也能够提升通信网络的安全度。信息加密通常有三种方式可供选择:端到端加密、链路加密以及节点加密。其中,端到端加密针对的是加密对象是数据净荷,能够在很大程度上完成对设计安全协议的保护,但其缺陷在于不能实现报头加密,因而报头极易遭受攻击,使通信网络的安全度下降。链路加密的加密对象是中继群路信号,它位于节点之间,在受到加密保护的同时也可连带通信网络的信息和协议进入加密保护区。同时通信网路的流量也会得到保护,使非法流量分析难以实现。
2.2建成安全网管系统
要确保通信网络的安全必须要建成一个严密的网管系统,因为窃密者的重点攻击对象多为网管协议,而网管协议又是通信网络的重要组成部分,因而必须要用疏而不漏的网管系统来隔绝非法攻击行为。窃密者除了破坏网管协议外,还会对网管系统进行病毒攻击或非法访问,假如网管系统在这些攻击行为中受到重创就会使通信网络的效率大大降低,数据将被肆意窃取,严重时网络就会陷入瘫痪状态。为了抵御攻击,在进行通信网络的规划设计时应该注意以下几点:设定通信网络的安全目标;提升网络建设的技术水平;确保网管数据信息完整;对传递的数据信息进行加密;加强对节点平台的访问控制。
2.3对通信网络内部协议进行规划
通信网络的内部协议最易受到攻击,是规划设计工作的重点。路由协议、链路层协议及信令协议都在内部协议的范畴之内,它们控制着网络的基本运行,一旦遭到破坏,其影响将是致命性的。攻击者通常是利用冒充合法用户、重置协议信息等手段来对网络协议进行攻击,会造成网络服务一度中断,网络信任度降低,甚至网络拒绝提供服务等恶劣影响。要从根本上确保通信网络内部协议的安全性,在规划设计时就应重点关注实体认证和协议鉴别两个方面。运用好哈希函数、加密算法等工具,对每一次的信令传输都进行加密设置。保证了内部协议的安全,才能使通信网络的安全运行得以实现。
2.4重塑通信网节点内系统
路由器、交换机等计算机系统都属于通信网节点,其重要性不容小觑。当前针对通信网节点开展的攻击行为愈加高深,应对难度也随之加大。在通信网络的规划设计过程中要以设备的配置情况为依据进行安全目标设定,然后用建立防火墙、设置访问控制、创建数据库、进行实体认证等方式来来进行安全防控。在具体策略的制定中要考虑到安全需求、安全技术、安全制度等因素,在统筹考虑之下出具行之有效的通信网节点控制方案。通信网络的技术进步使远程管理成为可能,远程管理手段虽然便捷,但其安全隐患也不容忽视,在规划设计时要合理借鉴,规避风险。
2.5研发通信网络入侵检测技术
入侵检测是一种十分有效的御敌手段,通过开展检测能够及时发现入侵行为并发出警示,但入侵检测技术受不同网络形态的影响而未被充分利用,其主要原因在于现阶段难以形成统一的入侵检测技术来应对不同种类的通信协议。但人们可以通过对入侵检测思想的借鉴来构建针对节点的检测系统,将审计数据、网管系统等纳入检测范畴,确保第一时间发现入侵行为。为了更好地保证通信网络的安全,相关专家学者应该投入更多精力来提高通信网络入侵检测技术的水平,使之向着智能化、互动性、综合化的方向发展。
3结束语
网络安全的建议篇6
关键词:ip网络Vpn信息安全
中图分类号:tn711文献标识码:a文章编号:
随着信息技术的飞速发展和ip网用户数量的迅猛增加以及多媒体应用需求的不断增长,人们对ip网提高带宽的渴望越来越强。
初期的internet仅提供文件传输、电子邮件等数据业务,如今的internet集图像、视频、声音、文字、动画等为一体,即以传输多媒体宽带业务为主,由此internet的发展趋势必然是宽带化向宽带ip网络发展,宽带ip网络技术应运而生。
所谓的宽带ip网络是指internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为每秒数吉比特至几十吉比特,接入带宽为1~100mbit/s。在这样一个宽带ip网络上能传送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、ip技术,并向下一代网络方向发展。
当今年代,ip网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁,保障其安全性显然是至关重要的。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从内容看网络安全大致包括4个方面,即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。
宽带ip网络面临的安全性威胁分为两大类:被动攻击和主动攻击。被动攻击中,攻击者只是观察和分析某一个协议数据单元,不对数据信息做任何修改,所以根本不会留下痕迹或留下的痕迹很少,因而一般都检测不出来,对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来,而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序,如计算机如冲、特洛伊木马和逻辑炸弹。
宽带ip网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。
为了满足网络信息系统安全的基本要求,加强网络信息系统安全性,对抗安全攻击,可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。
为了保证数据信息的保密性和完整性,要对数据信息进行加密,数据加密的密码体制分为常规密钥和公开密钥两种密码体制,从网络传输的角度看,有两种不同的加密策略:链路加密和端到端加密。两种加密策略各有优缺点,一般将链路加密和端到端加密结合起来使用,以获得更好的安全性。
保证网络安全的另外一个重要措施就是设置防火墙,防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合,防火墙的网络称为“可信赖的网络”,而将外部internet称为“不可信赖的网络”。
防火墙可以从不同角度分类,根据物理特性可分为硬件防火墙和软件防火墙,但是由于软件防火墙自身属于运行于系统上的程序,不可避免地需要占用一部分CpU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失。因此,许多网络更侧重于硬件防火墙作为防御措施。
以上介绍了保障ip网络安全的一些措施,在不安全的公共网络上建立一个安全的专用通信网络Vpn也称得上是实现管好全性的一项举措。
Vpn虚拟专网是虚拟私有网络的简称,安是一种利用公共网络,来构建的私有专用网络,Vpn将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。
Vpn的目标是在不安全的公共网络上建立一个安全的专用通信网络,在降低费用的同时保障通信的安全性,即构建在公共数据网络上的Vpn将像当前企业私有的网络一样提供安全性、可靠性和可管理性。Vpn利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前internet已成为全球最大的网络基础设施,几乎延伸到世界的各个角落,于是基于internet的ipVpn技术越来越受到关注,ietF对基于ip的Vpn的定义为“使用ip机制仿真出一个私有广域网”。
ipVpn按接入方式划分可分为专线Vpn和拨号Vpn,专线Vpn是为已经通过专线接入iSp边缘路由器的用户提供的Vpn解决方案,是一种“永远在线”的Vpn。拨号Vpn又称VpDn,它是向利用拨号pStn或iSDn接入iSp的用户提供的Vpn业务,是一种“按需连接”的Vpn。因为这种Vpn的用户一般是漫游用户,因此VpDn通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的Vpn和采用第三层隧道协议的Vpn。还可以按Vpn的发起方式、服务类型、承载主体等多种方式进行划分。
构成ipVpn的主要设备有ip安全隧道和Vpn设备。内部网Lan1发送者发送明文信息到连接公共网络的源Vpn设备,源Vpn设备首先进行访问控制,确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的ip数据报进行加密,并附上数字签名以提供数据报鉴别。Vpn设备依据所使用的隧道协议,重新封装加密后的数据,此数据通过ip安全隧道在公共网络上传输。当数据报到达目的的pVn设备时,首先根据隧道协议数据报被解除封装,数字签名被核对无误后数据报被解密还原成原明文,然后目的Vpn设备根据明文中的目的地址对内部网Lan2中的主机进行访问控制,在核对无误后将明文传送经Lan2中的接收者。
Vpn的隧道技术是构建Vpn的关键技术,广义的隧道包括隧道启动节点、隧道终止点和承载隧道的ip网络。按照工作的层次,隧道协议可分为两类:二层隧道协议和三层隧道协议。三层隧道协议主要有两种:RFC1701通用路由封装协议和ietF制定的ip层加密标准协议ipSec协议。二层隧道协议主要有三种,点对点隧道协议(pptp)、二层转发协议(L2F)和二层隧道协议(L2tp)。二层隧道协议简单易行,但扩展性差且提供内在的安全机制安全强度低,主要应用于构建拨号Vpn,而三层隧道协议安全性、可扩展性、可靠性较强,两者通常结合使用。
网络安全的建议篇7
关键词:计算机;通信技术;网络安全
计算机通信技术的应用会在实际上受到网络系统整体情况的影响,而网络安全漏洞的存在通常会使得计算机通信技术应用存在更大的风险。因此合理的剖析计算机通信技术当中网络安全协议的作用才能进一步促进计算机通信技术的长期健康发展。
1网络安全协议简析
网络安全协议是一项系统性的内容,以下从具体内容、应用目的、协议种类等方面出发,对于网络安全协议进行了分析。
1.1具体内容
网络安全协议有着自身全面的内容。众所周知网络安全协议的主要内容包括了为了能实现某个目标由数个安全程序所参与和构成的一个新的安全程序。因此这也意味着网络安全协议的主要包括应当包括许多方面的内容。首先安全协议的内容应当包括了对于协议操作过程的阐述,还有对于这一操作过程中需要遵守相应的程序和规定。其次,网络安全协议的具体内容通常还包括了对于一些不合理的程序需要设计者进行适当修正,能使得其按照正常的程序来运行。与此同时,网络安全协议的具体内容往往需要完成对于保护目标的设定,因此这也意味着网络安全协议本身应当具有一个实现目标的标准值。
1.2应用目的
网络安全协议有着鲜明的应用目的。根据上文的阐述我们可发现,计算机网络安全协议的主要内容是为了保证在计算机网络环境的长期安全而设定的一个安全程序。因此这意味着这一协议在计算机通信技术的应用过程中最为主要的目的就在在于通过增强其安全等级来确保数据和信息的安全。其次,随着现今世界范围内人们的对于计算机通信技术的需求越来越大,通信网络的安全问题已经开始成为网络技术进一步提高和发展的影响因素,因此网络安全协议的应用就是针对现今存在的问题来保证网络通信的信息共享和资源共享不会受到安全威胁和安全隐患的影响。
1.3协议种类
网络安全协议可通过细致的分类分成不同种类的协议。计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。通常来说网络安全协议例如密码协议的种类十分复杂。例如,当技术人员从iSo层级模型角度来对其进行分类时,就可将网络安全协议可分为底层协议和高层协议等不同的协议种类。其次,当技术人员从功能角度为基础来对其进行分类时,技术人员可将网络安全协议可分为身份认证协议等不同的种类,在这一过程中不同类型的网络安全协议都具备着自身独特的应用针对性和优越性以及不容忽视的缺陷。
2计算机通信技术当中网络安全协议的作用
计算机通信技术当中网络安全协议有着不容忽视的作用,以下从增强安全水平、控制设计成本、增强适用价值等方面出发,对于计算机通信技术当中网络安全协议的作用进行了分析。
2.1增强安全水平
计算机通信技术当中网络安全协议的应用可有效的增强安全水平。技术人员在增强安全水平的过程中应当清醒的认识到,虽然现今诸多网络安全协议处于持续完善的过程中,但是在这一过程中不容忽视的是这些网络安全协议自身仍旧存在着或多或少的不足与缺陷。例如互联网上的黑客可通过这些漏洞对网络系统进行攻击,甚至在部分情况下还能使网络安全协议无法起到本身应有的效果。因此技术人员在检测网络安全协议的安全性时,应当注重通过攻击本身来进行防御能力的。例如计算人员可对于网络安全协议的不同方面来进行防御测试:能以不同的角度出发来有效的增强计算机通信技术的安全水平。
2.2控制设计成本
计算机通信技术当中网络安全协议的应用能起到控制设计成本的效果。网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。通常来说网络安全协议自身优越具有良好的稳定性,因此能起到良好的控制设计成本的效果。例如计算人员在网络安全协议的设计过程中,需要将协议即将面临的困难和遭受的攻击进行考虑和预测,与此同时还要考虑协议本身的设计成本和后期应用成本。因此只有通过技术人员持之不懈的努力,才能真正的确保网络安全协议的安全性、低成本、高性能,最终更好地达到确保网络通信技术安全水平的标准。
2.3增强适用价值
计算机通信技术当中网络安全协议的应用还可增强自身的适用价值。随着internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。因此技术人员在增强其适用价值的过程中应当注重确保网络安全协议要具备能对外部的网络攻击进行有效防御。因此这就意味着网络安全协议的执行不能让攻击者通过对其进行有效攻击获得别人的重要信息和数据。其次,技术人员在增强计算机通信技术的适用价值的过程中应当对于一些用户不需要的或过时的信息进行恰当处理,能避免其被一些网络黑客进行利用对网络系统进行攻击,最终起到提高网络安全协议的安全等级和增强计算机通信技术可靠性的效果。
3结语
我国现今的计算机通信技术的应用需要网络安全协议的补充和支持。因此技术人员只有对于网络安全协议进行高效的研究,才能在此基础上切实的提升网络安全协议自身的安全等级和应用效果。
参考文献
[1]鲁来凤.安全协议形式化分析理论与应用研究[D].西安:西安电子科技大学,2001.
[2]石全民.网络安全协议在计算机通信技术当中的作用与意义[J].中国建材科技,2015(25).
网络安全的建议篇8
【关键词】计算机网络信息技术技术安全防范对策
计算机网络信息技术的广泛应用是社会发展的需求,在现代信息交流以及沟通中占有重要地位,在社会的各个领域中均有体现,与人们的生活息息相关。人们在网络信息技术的应用中获益匪浅,然而网络信息技术所创造的这个环境也存在很多风险,其出现的安全问题如信息泄露、病毒入侵等,给人们的生活造成了很大困扰,基于此,本文将对计算机网络信息技术的安全问题进行深入探讨。
1计算机网络信息技术安全的涵义
计算机网络信息技术安全通常指在网络管理时运用一系列技术手段,使网络环境中的信息和数据资料的完整性和安全性得到保证。确保计算机信息技术的安全和计算机的正常运行,促进数据资料的妥善保存,达到确保计算机软件和硬件安全的目的。可实用性、保密性、完整性、可控制性这些基本要素构成了计算机网络信息安全这一大概念,唯有使计算机网络信息技术的安全性得到保障,才能更好的维护人民群众的切身利益,使国家的不被侵犯,促进社会稳定。
2计算机网络信息安全的特征分析
计算机网络信息技术安全的特征包括:一是可实用性,指网民在通过正规途径,获得相关合法授权的情况下进行网络访问,从而获得自己所需要的资料,为己所用;二是保密性,指坚决不对没有得到合法授权的相关部门或者个人泄露信息,不对其授予使用权;三是完整性,相关人员或企业在没获得国家相关部门合法授权的情况下,不能改变网络数据信息,使存储信息或者传递的信息的完整性得以保证,更不能删改信息或使其丢失。
3威胁计算机网络信息技术安全的因素
3.1网络自身因素
网络的最大特征就是开放共享性,网络的基础协议是tCp/ip协议,它具有很大的开放性,开放性为黑客们的攻击以及各种病毒的入侵提供了机会,这是网络这一信息技术的一大缺陷。
3.1.1病毒入侵
计算机网络病毒的入侵使网络的开放性、共享性与无国界性带来的弊端显露无疑。计算机网络病毒入侵的途径是借助电子邮件、附件,和某一个程序相捆绑,用户一旦下载相关程序就会使病毒进入到计算机系统之中,产生病毒,严重威胁计算机信息技术的安全。计算机病毒以其强大的破坏性和繁殖能力令人望而生畏,他能将计算机用户硬盘上的文件删除,还能发送硬盘上的文件到指定的电子信箱。计算机病毒一旦侵入一台计算机,与这台计算机相连的计算机也会受到感染,传播速度惊人,对个人及国家利益都会产生极大损害。
3.1.2网络入侵
网络入侵又称黑客入侵,和间谍活动同质。网络黑客的网络信息技术知识水平极高,在强大的技术力量的支持下他们会开展一系列破坏活动,通过口令入侵、特洛伊木马术、监听法以及隐藏技术等非法访问各种组织机构的内部信息。网络入侵的手段也在不断的发生变化和升级,频繁的黑客攻击网络信息的活动体现在攻击政府网站、盗取金融机构的商业机密完成非法交易、盗取个人信息等,严重威胁了国家的安全及经济利益,损失了人民群众的经济利益。网络黑客的存在是威胁计算机网络信息技术的一个重要因素。
3.2外界环境因素
(1)环境因素如温度、湿度、震动等对计算机网络的安全运行都有影响,当下的大环境对计算机的运行环境并不是特别重视,没有构建一个温度、湿度、环境等都适宜计算机系统运行的环境。使得计算机网络的安全顺畅运行得不到保障。
(2)对计算机网络信息技术安全可能产生影响的还有计算机硬件设备的老化或意外破坏,在日常的计算机运行管理活动中,一些不当的操作,检查不及时等都会意外损坏硬件设施,中断计算机系统的运行。
4计算机网络信息技术安全的防范对策
4.1继续运用防火墙技术进行防范
防火墙技术即为了防止用户的信息被黑客拷贝与删减,结合计算机的软件与硬件,将安全网关架设在内部局域网与公众网之间的技术。服务访问政策、验证工具、应用网关以及包过滤是防火墙的四个组成部分,防火墙技术对网络内部攻击的防范还不是特别有效,但仍然要继续实施,一定程度上防范外界入侵。
4.2安装杀毒软件,加强网络维护
杀毒软件即防毒软件、反病毒软件,能够将计算机中的病毒、特洛伊木马以及恶意软件等清除。作为计算机防御系统的重要组成部分,杀毒软件还能监控识别、自动升级、扫描病毒、加强计算机中的数据备份以及隔离敏感的数据与设备等,对于来历不明的软件具有很强的防范功能。
4.3推行安全协议,增强保密力度
安全协议即消息交换协议,是在密码学的基础上建立的。安全协议可以帮助我们认证两个实体或者多个实体,还能在安全实体之间进行密钥分配以及非否认证其它秘密的确认、发送、接收消息等。现在已开发的安全协议有五种,包括密钥管理协议、安全审计协议、加密协议、防护协议和数据验证协议。我们要科学合理的推行安全协议,以促进计算机网络信息技术的安全建设工作的发展。
4.4加强网民教育,增强安全意识
人为因素对网络安全影响极大,因此,对于广大网民,首要任务就是加强网络安全意识,针对网民的不道德的网络行为进行法律上的约束,制定相关制度规范网民行为,控制不良网络信息的进入。对于网络技术维护人员,更要加强其网络安全意识的教育,在提高个人技能的同时重视网络安全问题。
4.5安装防控设备,构建安全环境
良好的外界环境为计算机的稳定安全运行提供支持,在计算机系统运行的空间里,安装防控设备,对计算机所处环境的温度、湿度、震动强度等进行监督和控制,构建科学适宜的运行环境,是维护计算机网络信息技术安全的基础。
5结语
计算机网络信息技术的安全建设涉及到技术、使用与管理等,是一项系统工程。同时,计算机网络信息技术安全关乎人民群众和国家的利益,因此,加大计算机网络信息技术的安全建设力度是极为必要的,国家应加大人力、物力、财力的投入,广大网民应自觉维护网络安全,只有这样,才能构建一个健康、和谐、安全的网络环境。
参考文献
[1]张康荣.计算机网络信息安全及其防护对策分析[J].网络安全技术与应用,2015(02).
网络安全的建议篇9
【关键词】隧道技术,应用,研究
中图分类号:U45文献标识码:a
一、前言
由于网络的发展和完善以及速度的不断提高,越来越多的公司逐步进行运用隧道技能。大规模的组建Vpn网络已经成为一种趋势,这种技术越来越多地遭到用户的广泛重视。
二、Vpn的隧道技术
Vpn技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前Vpn主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(tunneling)、加解密技术(encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(authentication)。隧道技术是Vpn的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
三、隧道技术
1、第二层隧道协议
第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、pptp、L2tp等。
(一)、点对点隧道协议(pptp)
pptp将ppp数据桢封装在ip数据报内通过ip网络,如internet传送。pptp还可用于专用局域网络之间的连接。pptp使用一个tCp连接对隧道进行维护,使用通用路由封装(GRe)技术把数据封装成ppp数据桢通过隧道传送。可以对封装ppp桢中的负载数据进行加密或压缩。
(二)、第2层转发(L2F)
L2F是Cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在ppp桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与pptp和L2tp不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
(三)、第2层隧道协议(L2tp)
L2tp结合了pptp和L2F协议。设计者希望L2tp能够综合pptp和L2F的优势。L2tp是一种网络层协议,支持封装的ppp桢在ip,X.25,桢中继或atm等的网络上进行传送。当使用ip作为L2tp的数据报传输协议时,可以使用L2tp作为internet网络上的隧道协议。L2tp还可以直接在各种wan媒介上使用而不需要使用ip传输层。
2、第三层隧道协议
ipSec是指ietF(因特网工程任务组)以RFC形式公布的一组安全ip协议集,是为ip及其以上协议(tCp和UDp等)提供安全保护的安全协议标准。其目标是把安全机制引入ip协议,通过使用密码学方法支持机密性和认证服务等安全服务。ipSec通过在ip协议中增加两个基于密码的安全机制―认证头(aH)和封装安全载荷(eSp)来支持ip数据报的认证、完整性和机密性。ipSec协议族包括:ip安全架构、认证头aH、封闭安全载荷eSp和internet密钥交换(iKe)等协议。ip安全架构协议指定了ipSec的整个框架,是ip层安全的标准协议。aH协议定义了数据源认证和完整性验证的应用方法。eSp为ip数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。iKe为aH和eSp提供密钥交换机制,在实际进行ip通信
时,可以根据实际安全需求,同时使用aH和eSp协议,或选择使用其中的一种。
3、新兴的隧道协议
SSL是netscape公司设计的主要用于web的安全传输协议。SSL被设计为使tCp提供一个可靠的端到端的安全服务,它不是一个单一的协议,而是由多个协议组成记录协议定义了要传输数据的格式,它位于可靠的传输协议tCp之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道,SSL记录协议通过分段、压缩、添加maC以及加密等操作步骤把应用数据封装成多条记录,最后再进行传输。
四、隧道技术的应用模型
1、端到端安全应用
ipSec存在于一个主机或终端系统时,每一个离开和进入的pi数据包都可得到安全保护。pi包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略,一对独立的Sa可以保护两个端点之间的全部通信―tenlet、Smtp、weB和Ftp等。或者,根据两个端点之间通信的协议的不同(tCp和UDp)和端口的不同,分别用不同的Sa保护两个端点之间的不同的通信。在这种模式下,通信的端点同时也是piSec的端点。所以,端到端安全可以在传送模式下,
利用piSec来完成;也可以在隧道模式下,利用额外ip头的新增来提供端到端的安全保护。
2、虚拟专用网
ipSec存在于路山器等网络互连设备时,司一以构建虚拟专用网Vpn。Vpn是“虚拟的”,因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来,形成一个新的网络Vpn。Vpn是“专川的”,因为被加密的隧道可以提供数据的机密性。而今,人们从传统的专线网络转移到利用公共网络的网络,逐渐意识到节省费用的Vpn重耍性。通过在路山器上配置piSec,就可以构建一个Vpn。在路山器的一端,连接着一个受保护的私有网络,对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐internet。在两个路山器之间的公共网络上建立一条安全隧道,通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是Vpn,在Vpn中,母一个具有ipSec的路由器都是一个网络聚合点。在两个piSec的路山器之间通常使用隧道模式,可以采用多种安全策略,建立一对或多对Sa,试图对Vpn进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是Vpn的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。
3、移动ip
在端到端安ip全中,数据包由产生和l或接收通信的那个主机进行加密和解密.在Vpn中,
网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动ip。移动ip一般是独立的,它要求计问受安全保护的网络,它是一个移动的客户,不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetpop的地方,安全地访问公司资源。在移动ip的方案中,移动主机和路由器都支持piSec,它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行ip处理之前,验证它们的安全保护。具有piSec的路山器保护的是移动主机想要访问的那个网络,它也可以是支持V户n的路山器,允许其它的移动主机进行安全的远程访问。在这种方案中,一方是移动主机,它既是通信方。另一方将piSec当作一项服务提供给另一个网络实体。
4、嵌套式隧道
有时,需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关,以防止其网络受到竞争者或黑客的侵犯和攻击,而企业内部另有一个安全网关,防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下,如果某人希望对网络内部的保护子网进行访问,就必须使用嵌套式隧道。
5、链式隧道
一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络,到达另一个网络的数据包都由一个安全网关加密,由中心路由器解密,再加密,并由保护远程网络的另一个安全网关解密。
6、隧道交换模型
如果从交换的角度来看,它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络,隧道的实现方式也可以不同,但是,不同网络的两个节点在进行数据传输时,并不关心隧道的实现媒体,隧道可以接力的方式进行数据的传递。从安全的角度,假设每一个隧道是安全的,且中心路由器也是安全的,那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任,那么可以只将隧道的连接看作是一条数据的传输通道,再使用前面所论述的隧道模型实现安全保护,如点到点的隧道安全模式。
五、结束语
由于internet基础设施的完善,隧道技能必将将在网建等各范畴,发挥着越来越重要的效果。实现隧道技能的多种多样,它们各有各的优势,如今,市场上大多数都在使用Vpn这类技能。
参考文献
[1]毛小兵,Vpn演进之隧道交换.《计算机世界》2000
[2]沈鑫剡.ip交换网原理、技术及实现[m].北京:人民邮电出版社,2003.
网络安全的建议篇10
关键词:DCGSm安全网络
一、网络安全现状与需求
随着网络信息化建设的不断发展,使得各行各业的网络建设日趋完善,基础网络架构建设的完成,各种业务、应用的上线使得病毒、木马、网络攻击和破坏也日益增多,网络安全问题表现的越来越突出,网络安全建设在网络建设中地位也越来越重要。提到网络安全建设,很多企事业单位,在网络建设过程中,购买防火墙,防病毒软件等对其网络安全进行管理与维护,但这些软硬件的部署主要都是用来抵御外部攻击的,却往往忽视对于内网安全的防护和控制。
应用先进的“3D-Smp”动态分布式防御安全管理策略,构建高度自动化响应的“DCGSm”智能网络全局安全管理体系。更进一步有效解决了外网和内网的系统安全兼顾问题,全方位、深层次的构建了一个“内外兼固”的安全网络,从而降低了总体拥有成本tCo,加强网络系统的长期可服务性,降低人为维护工作量。
二、设计思路及参考模型
整个系统以“p2DR”为参考模型,是在整体的安全策略的控制和指导下,在综合运用网络安全工具(如高性能硬件防火墙、网络入侵检测、接入认证系统、安全客户端、安全接入交换机、安全接入管理器、上网行为记录系统、流量整形网关、等设备)的同时,应用“Saop”(Securityassociateoperationprotocol)安全联动协议,把这些独立的网络安全设备进行统一管理、实现相互之间的自动化响应,实现网络整体安全和立体安全。
“p2DR”参考模型包含4个主要部分:policy(安全策略)、protection(防护)、Detection(检测)和Response(响应)。规划好全局安全策略,应用防护、检测和响应组成了一个完整的、动态的安全循环。“3D-Smp”全局安全联动的核心是动态防范的机制,从接入认证、行为检测到阻断攻击,每个环节都实时工作,无须用户过多干预,自动进行安全控制。防范的核心是基于对入侵行为、非授权行为的检测、发现及响应,检测机制和联动机制是本安全体系方案的核心,“Saop”就是这个核心中实现相互联动的协议集。“Soap”安全联动协议集包括了防火墙和入侵检测系统的联动协议、入侵检测系统和安全接入认证系统(安全接入交换机、安全认证客户端、接入管理器、认证服务器)的联动协议、上网行为记录系统和认证服务器的联动协议等众多协议,是实现内外网全局安全体系的关键。
三、全局安全联动
全局安全联动是一个联动的体系,是网络设备、网络安全设备之间根据检测到的可疑行为危害等级智能判断、动态响应与防御的过程:
假如来自外网的某互联网节点利用木马程序或系统漏洞等手段突破边界网关进入内网。传统情况下,边界防火墙对这样的入侵行为可能会出现被攻破的情况,但是实时监测防火墙流量的入侵监测系统可以检测到来自外网流量的入侵或攻击,并通过联动协议向网络出口防火墙发出阻断指令,防火墙会在第一时间响应,从而阻止了外来入侵或攻击对内网的进一步威胁。
假如有内网终端对服务器等设备发起DDos等攻击行为,由于网络所有流量都在核心交换机上被镜像到入侵监测系统的监控端口并并实时监测,所以入侵检测系统可及时检测到来自内网流量的攻击,并通过联动协议向安全接入交换机以及认证服务器发出阻断指令,安全接入交换机会响应并采取过滤攻击计算机的ip和maC或关闭其所连接端口等阻断动作,认证服务器同样也会响应并强制其认证客户端下线。
由于联动信息比较关键,为了保证不被监听、窜改,联动信息附有加密与验证信息。通过DeS加密联动报文,并通过mD5进行散列摘要,以保证关键联动数据的保密性和完整性。在上面的过程中,联动请求由入侵检测系统向防火墙或认证服务器发起,认证服务器处理之后要向入侵检测系统发送应答,告知处理结果。接收到数据之后防火墙或认证服务器会进行解密、mD5摘要检查,匹配之后提取出联动协议中包含的需要阻断的源ip、源端口、阻断时长等数据,然后采取相应的阻断动作。
在阻断时间未结束之前,防火墙会一直对外网入侵ip进行阻断,交换机会一直对内网入侵ip或maC进行过滤或一直关闭其端口,认证服务器会不允许被阻断的用户上线。当阻断时间结束之后,防火墙或交换机或认证服务器会恢复被阻断节点的连接,入侵检测系统重新检测其流量,如若再次发现有入侵或攻击行为,那么重复以上联动过程。以上整个过程无需人工安全,实现了快速预警,快速响应。
在这个体系中,安全接入认证系统是非常重要的组成部分。安全认证客户端可以和防病毒软件实现联动,当安全认证客户端检测到客户端计算机系统没有安装瑞星防病毒软件,或防病毒软件的病毒库版本低于我们在认证服务器上设置的版本号,或其系统的安全等级(由防病毒软件检测并反馈给客户端)低于我们在认证服务器上设置的最低安全等级,那么认证将无法通过,但允许不经认证来下载安装防病毒软件或升级病毒库、下载操作系统补丁来提高系统安全等级,从而达到认证的安全要求。
安全认证客户端还可以实时监测客户端计算机的网络流量,发现异常时实时上报至认证服务器,如果流量异常达到阈值那么认证服务器将会强制其认证客户端下线,来避免由于计算机异常流量造成网络受到影响。
上网行为记录系统与认证服务器以及安全接入管理器联动,使上网行为记录可直接映射到上网者的用户帐号,而不只是简单的记录到上网者源ip,从而可以根据用户上网帐号更加准确地定位到上网行为的责任人,而不再是根据用户的源ip来确定上网行为的责任人,做到了真正的有据可依。
在本体系的组成部件中,还有流量整形系统来对网络出口应用流量的精细化分配和控制、对“非授权”应用的控制、保证关键应用的安全可靠,加上其强大的统计、监控和分析功能,不但提高了整个网络的可控性、规范用户的上网行为,还为网络的用途和下一步的规划提供科学依据。
四、总结
全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合,从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理,构建一个身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式,对拥有众多分支机构更好地实现了策略的统一,以一套完整的组合构建了一个相当严密的网络安全体系。
参考文献
[1]徐亚凤.解析校园网络的安全及管理.牡丹江大学学报.2008,17(8)
[2]郑春.软硬件结合的校园网安全策略.软件导刊.2008,7(8)