如何构建网络安全体系篇1
3.3校园网络安全测试
校园网络系统的安全保障体系对于这一系统本身来说,是极具个体的特性的,在对校园网络进行安全维护时,相关工作人员可以将其与校园网络的特点进行有效融合,并利用目前的校园网络安全技术,构建健全的校园网络安全体系,对校园网络的健康发展有着极重要的意义。
4、加强校园网络安全性的相关措施分析
4.1网络环境安全采取的措施
网络环境安全主要是由网络保护交换机、路由器及打印机各种服务器组合而成,能够有效避免通信线路遭到人为破坏、自然灾害破坏及遭到网络攻击等行为,从而保证校园网络能在一个拥有良好状态的环境下进行工作,从而妥善保管网络数据资料,防止不良人员进入到校园网络机房内进行破坏。
4.2网络设施安全方面的措施
由于目前的系统软件中经常藏有木马病毒,极容易造成相关用户的个人信息曝光,并且校园网络硬件设备的质量好坏也会形成网络故障甚至瘫痪,致使大多数工作人员无法对其合理解决。因此校园网络在进行设备的选择时要尤其注意。
4.3校园网络隔离措施
由于大多数的校园局域网都是以广播的形式为主,因此攻击者会根据广播中播报的信息,对其进行破解分析。由此可知,为有效加强校园网络信息的安全性,网络的隔离措施可以最大限度的减少数据信息的传播程度,进而将网络信息进行有效隔离,将安全隐患降到最低。
4.4选择合适的网络软件
相关的杀毒软件和防火墙都是保障校园网络安全运行的重要措施。因此在对校园网络进行安全漏洞方面的扫描时要选择较合适的应用软件,如360、金山毒霸等,并且使用的软件一定要是正版,尤其需要注意的一点就是要定期对其进行更新扫描。
4.5构建健全的校园网络规章制度
若想有效保证校园网络运行的安全性,就要构建合理的校园网络规章制度,并且要加强校园的网络管理工作,推动校园网络的广泛应用和发展,从而为更好的进行教学、科研工作提供保障。因此在进行校园网络的安全管理时,要以我国最新规定的校园网络相关法律为依据,并与校园网络的实际应用情况相结合,制定严格的校园网络管理体系,引起相关工作人员的关注和重视,从而促进校园网络的安全、可靠运行。
5、结束语
在校园网络的运行中构建较系统、全面的安全保障体系是极其重要的,不但能够保证校园网络系统的正常运行,还能真正实现网络资源共享,从而为校园教学、科研等工作提供良好的保障。因此相关工作人员在进行校园网络安全保障体系体系的构建时,对校园网络情况深入了解,进而有效解决校园网络存在的安全隐患问题,并在有效技术的使用时,制定完善的网络安全管理策略,从而提高安全工作人员的综合素质,为校园网络运行的安全性提供保障。
参考文献
[1]罗国富,王乙明.校园网络安全防范体系研究与应用[J].现代教育技术,2012,22(9):53-56.
如何构建网络安全体系篇2
论文关键词:网络信息;信息安全;信息传播;保障体系
随着网络信息资源越来越丰富,垃圾信息和不健康信息也在迅速增加,计算机病毒、垃圾邮件、网络攻击、系统漏洞、网络窃密、网络违法犯罪、著作权保护等问题日渐突出,而监管体制机制又相对落后。如何让优秀的、积极的、先进的信息占领网络传播阵地,如何构建网络信息传播保障体系,是世界各国都面临的紧迫课题。然而,国内外对此问题的研究还比较少,不够完善。本文在分析了构建网络信息传播保障体系应遵循的原则的基础上,结合分析研究实际情况,提出并系统地分析了网络信息传播保障体系的结构框架及其工作流程图。
1构建网络信息传播保障体系遵循的原则
1.1实用性原则
构建网络信息传播保障体系的最终目的是“用”,应本着旨在破解网络信息传播存在的难题的目的,向此目标努力,尽可能发挥体系的重要作用,注重体系实施的实际效用。因此,要运用系统工程的观点、方法,结合实际情况,分析网络信息传播存在的问题,制定具体措施。
1.2平衡性原则
网络信息传播具有的强大的威力和威胁就是信息的自由性。所以,在构建网络信息传播保障体系的过程中,应考虑在管理和控制网络信息的传播时要保持信息的“自由”与“平衡”,即尽量保持信息“自由”与“管理”的平衡。
1.3多层性、多样性原则
任何安全保护措施都不是绝对安全的,都可能被攻破,所以网络信息传播保障不应只依赖一种安全机制,应建立多层安全机制、多种防御体系,各防御层及体系相互补充保护,相互支撑以达到尽可能安全的目的。
1.4整体性、综合性原则
一个保障体系包括个人、设备、软件等环节,它们在网络信息传播安全中的地位和影响作用,只有从系统的整体角度去看待和分析,才可能获得有效、可行的措施。
而且网络信息传播保障体系又是一个复杂的系统工程,需要各种保障方法和工作程序的综合协调一致。为了实现网络信息传播全方位保障,建立网络信息传播保障体系必须考虑技术保障、管理保障、法律保障、人才保障、主观认知保障的综合作用,同时,通过全社会的共同努力,实现与提升信息安全防护与保障能力。
1.5协调性、协同性原则
网络信息传播保障体系构建的重要前提和基础是网络信息开放共享,而在信息的开放共享和保密的法律法规不健全的情况下,如果将部分信息公开披露,既缺乏相应的法律依据,同时又会带来一系列实际问题。因此在网络信息传播保障体系构建的过程中,要注意解决网络信息的披露与保密之间的矛盾,坚持网络信息开放共享和保密相协调的原则。
网络信息传播保障体系的构建不是哪一个体单独努力就能完成的,它是一个复杂的社会系统工程,需要政府、企业、社会团体、个人及司法等多方协调配合、全方位努力。网络信息传播保障体系构建的过程中坚持政府、企业、个人分工合作、协同作战是个非常重要的原则,必须明确各自的地位和作用。
2网络信息传播保障体系结构框架及工作流程图
构建网络信息传播保障体系是一个巨大复杂的系统工程,不仅仅是购买技术或开发信息安全技术的问题,而是一个体系建设过程,这个体系主要包括检测体系,安全防护体系和管理体系,主要内容有政策、法律法规建设、管理、技术、产品、人才培训、资金保障、领导重视、人们的认知观念等内容。在构建保障体系的过程中,认知是前提,技术是基础,管理是生命线,法律是保证,还要需要政策、资金、人才的支持。网络信息传播保障体系结构框架见图1。
网络信息传播保障体系个各体系之间、体系的各个组成部分之间是如何相互配合协调工作的呢?本文根据申农通信系统模型原理,借鉴国内外对信息安全保障体系模型的研究成果,提出网络信息传播保障体系工作流程图,见图2。
3网络信息传播保障体系结构框架及工作流程图分析
下面分别从检测体系、安全防护体系和管理体系三个方面,依照网络信息传播保障体系工作流程的顺序,结合网络信息传播保障体系结构框架中各个要素,对网络信息传播保障体系结构框架及工作流程图进行分析阐述。
3.1检测体系
检测中心数据库主要存储两大类信息记录:黑客、病毒等的入侵记录,网络信息传播保障体系的安全策略。
3.1.1黑客、病毒等的入侵记录
构建网络信息传播保障体系首先要对网络信息传播进行风险分析与评估,遵守相关的规章制度、合同、法律等安全标准,将历史性和新出现的黑客人侵记录以及病毒、垃圾信息等记录形成相应的安全策略,并存储于检测中心的数据库中。从信源发出的网络信息进入保障体系时,首先要通过监测体系得检测,如果该信息与检测中心数据库中的某信息特征匹配,则予以拦截;反之,数据库中无此相似记录,则要通过保障体系的安全防护体系的进一步检测防护。
3.1.2安全策略的规划
网络信息传播是一个动态的循环的过程,所以安全策略的制定注定是一个循序渐进、不断完善的过程。因为不可能制定一个安全策略就能够永远符合、完全适应某个网络环境和信息系统的需求,所以设计时要充分考虑其动态性和可操作性。
3.2安全防护技术体系
安全防护体系对网络信息进行检测,如果发现为异常的信息则给予拦截,反之则再由管理体系进行检测。安全防护技术体系主要应用信息安全技术对网络信息进行防护。
(1)基于pki/pmi的信任体系和授权体系:公钥基础设施技术(pki)以公开密钥技术为基础,以数据及密性、完整性、身份认证和行为的不可否认为安全目的。
(2)访问控制机制:包括防止非法用户的非法访问和合法用户的非授权访问2个方面。
(3)防火墙:防火墙系统主要目标是控制人、出一个网络的权限,它迫使所有的连接都通过防火墙,以便接受检查。
(4)入侵检测系统:对透过防火墙的攻击进行实时检测并及时做出相应的反应。
(5)安全审计系统:网络安全审计系统是一种基于信息流的数据采集、分析、识别和资源审计封锁软件。通过实时审计网络数据流,根据用户设定的安全控制策略,对受控对象的活动进行审计。
(6)网络病毒防治体系:针对网络上病毒、蠕虫、木马和恶意代码的危害性大并且传播迅速的现状,网络信息传播保障体系应采用相应的整改措施。
随着现代信息技术的不断发展进步,安全防护技术体系也会随之更新,它是网络信息进入网络信息传播保障体系的一个重要“门槛”。
3.3管理体系
检测体系和安全防护体系均采用必要的信息安全技术对网络信息给予硬性的安全防护,管理体系则在人的参与下对网络信息进行管理,对于技术不能发现和拦截的网络信息,则通过人为手段进行防护。根据信息的接受者的反馈,如果得到他们的满意,达到了预期的目标,则网络信息安全保障体系取得实效;反之,则通过事故响应及补救机制给予补救,并修改网络信息传播保障体系。
3.3.1法律法规制度体系
政策、法律法规等的建立规范必须建立在支持和鼓励网络信息传播健康发展的前提下,通过立法和监督,打击和淘汰违规网络信息传播者,创建的良好的信息法制环境,做到有法可依,有法必依,更好地维护网络信息传播的发展。
(1)网络信息传播立法。如今,网络立法应更加注重于对网络信息安全即对网络信息传播行为的规范。网络信息传播立法,在网络有害信息的责任认定问题及可操作性等立法质量上,尚存在有待改进的地方。如何发挥网络媒体传播优势,使公民的言论自由得以充分实现,同时又不至危害国家、社会和个人的合法权益,应该是网络信息传播立法的根本所在。
在立法原则上,我国的网络立法与其他国家一样,就是承认现行的传统法律原则都适应于网络传播环境。“互联网立法的前提就是承认现行的传统的法律原则都应该适用于互联网空间。互联网没有也不可能改变现实社会基本制度以及受这个制度保护的基本社会关系。互联网上的虚拟世界是从现实世界生成的,并且无时不在对现实世界发生影响,所以虚拟世界说到底还是现实世界的一部分,虚拟世界里的关系无非是现实世界的社会关系的延伸,仍然要受现实世界中现行法律的规范和调整”。
网络信息传播法制的主要内容:“从事互联网信息服务实行许可备案制度;开办互联网电子公告服务实行专项申请、备案制度;互联网站从事登载新闻业务实行审批制度;网络信息传播禁载内容;网络服务提供者的义务、责任等”。
(2)网络信息传播规章制度。网站信息安全的管理,除了采用必要的技术措施以外,还需要建立健全管理制度,落实信息安全管理责任。网络信息传播安全管理规范包括:确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
(3)网络道德规范。网络道德规范体系,对思想境界不同的个体,设立层次不同的规范,结合网络的特点对传统道德规范进行适当改造再植入网络空间,如诚信规范、公平规范、平等规范等都可以经过改造后成为网络信息传播中重要的道德规范。如诚信规范的建立,传播及使用网络信息就有了一把诚信评判的标尺,使得我们可以更好的对网络信息活动参加者的诚信程度进行评价和判断。同时,也就树立了开展网络信息活动的行为准则,促使人们在网络信息活动过程中更好的遵守网络信息活动规则,可以有效减少诚信缺失现象的发生。另外,网络道德规范还必须推陈出新,适应网络的发展。
3.3.2网络“把关”体系
任何网络信息传播活动都是一个信息搜集、加工、的过程,这个过程离不开人的劳动,无法由某一技术或者程序自动完成。而传播活动中只要有人的参与,就一定会有人为因素的影响,网络“把关入”作用也就不可能消失。因此作为传播者个人或者组织机构的“把关人”作用也始终存在于网络信息传播过程之中。
网络中的把关体系主要从宏观层面的把关和微观层面的把关进行。
(1)宏观层面的把关。宏观层面的把关,仍是政府的直接把关。网站进行信息传播,实际是获得了网络行政主管部门给予的权利。例如,对于恶意网站要用技术手段对其“封杀”。
(2)微观层面的把关。微观层面的把关,即一个网站的把关以及受众的把关。对信息内容的把关,主要工作有:①分析传播内容短期或中长期的发展趋势;②研究传播内容是否符合有关法规和政策;研究传媒借助传播内容实现的宣传策略、宣传方法以及某一方使用的宣传战术;③了解和解决科技、文化等特殊信息在传播中的问题和困难,兼及受传者的类型和数量等。
3.3.3事故响应及补救机制
安全的相对性注定了事故的发生是不可避免的,因而建立一个事故响应小组,建立数据备份、制定不同的紧急响应计划和操作流程,能够对发生的事故再第一时间作处理,努力将损失降到最低点。
当黑客、病毒或垃圾信息等成功传播到信宿或对系统造成破坏时,此时网络信息传播保障体系的补救机制将采取补救措施,补救措施包括:使用杀毒软件查杀病毒,使用备份系统对丢失或损害的数据进行恢复,或使用临时的动态站点替代当前被破坏的信息系统等。之后,再将这些病毒、垃圾信息、系统漏洞和脆弱点等形成分析报告,反馈给检测中心数据库,进行必要的总结回顾,修改安全策略,更新网络信息传播保障体系。补救机制是整个保障体系中一个不可忽视的环节,是减小损失和实现持续发展的重要措施。
如何构建网络安全体系篇3
关键词:云操作系统;安全体系结构;api安全管理
中图分类号:tp309
当前,虚拟化、云计算及移动互联网的快速发展改变着信息化的环境,同时也为云计算环境带来了更为复杂的安全问题。云安全操作系统及加固技术是基于云操作系统技术开发、适用于构建安全云计算环境的安全的云基础架构产品。云操作系统安全加固技术正是基于用户对数据安全的担忧,采取有别于传统的安全防护措施,从网络安全、数据安全以及系统安全加固等层面对云计算环境进行安全防护,更有效地保障了数据的安全性。
1云操作系统安全加固技术
研究云操作系统加固技术的目的是建立安全可靠的云平台系统以及云平台内各组件所基于的操作系统运行安全性(即操作系统加固),同时对平台内所有网络行为进行安全监控(包括网络攻击分析、网络流量监控、网络服务安全分析等方面),通过对云平台的统一管理,周期性提供平台安全状态运行报告以及平台安全审计结果,从而保障用户操作安全、平台运行安全、数据传输与存储安全、网络安全以及平台应用安全等。
为实现上述的安全问题,其核心是研究云操作系统的安全体系结构、实现api的安全管理以及虚拟网络的安全加固技术。
1.1云操作系统安全体系结构。云操作系统安全体系建设主要包括:数据安全、服务/应用安全、平台宿主系统安全以及平台网络安全。
云操作系统安全体系架构有别于传统的安全体系架构,结合笔者公司现有云平台的体系架构,建立以下安全体系架构。
云操作系统安全体系分为以下层次:
1.1.1系统基础设施服务层。主要从以下两个层面进行安全划分:
(1)整个云平台系统基础设施剖面:包括各组件之间网络通讯、数据传输的安全以及云平台数据存储的安全。
(2)云平台物理节点剖面:包括各组件宿主操作系统安全以及虚拟机操作系统安全。
1.1.2平台管理层。主要从云平台管理服务层对安全进行抽象定义,包括:云平台管理系统安全性(防病毒、攻击防护、用户权限管理、身份认证管理以及系统预警等)、用户接入平台安全性、平台数据管理服务的安全性(主要考虑虚拟机对存储的安全使用,包括权限控制、存储资源配额、安全传输等)、网络访问控制/安全策略(主要是对虚拟机网络的访问控制策略以及虚拟机的安全策略定制)、软件服务安全管控(主要是如何安全管理对虚拟机系统的软件自动部署、配置、注册、注销等)、日志分析(根据日志分析平台周期性的运行效果)、审计评估(对平台安全可靠性的整体审计,包括用户历史行为审计评估、系统安全运行审计评估、虚拟机安全性审计评估)、安全运维(主要从安全性考虑,对系统功能的操作性定义、系统故障时安全性恢复等问题进行考虑)。
1.1.3平台应用层。应用服务访问安全主要是指平台对外提供的服务如何保障其安全,如应用服务的认证/授权、支持SSL(SecureSocketsLayer,安全套接层)传输的应用系统访问等。
1.2api安全管理。api是预先定义的函数,目的是提供一种不通过源码来访问应用程序服务的方法,而在应用程序与应用、应用与用户之间则是基于internet通过api来开放服务。当前,以api开放服务的方式在云计算领域已经成为主流方式,主要是基于ReSt、webService、Soap等协议或方式来提供,这源自云计算的核心理念――云即服务。
api的设计准则为可靠性、可扩展性以及安全性等,其中安全性是基础,没有安全的服务既无法保证服务质量,同时也会有损服务主体的利益。因此,从云操作系统开始设计时就要引入api安全设计,而传统安全设计使用硬编码等直接耦合式的方法来解决安全问题,这会为应用带来一定程度的复杂性,也不易于维护。
云操作系统的api安全管理平台提供api网关,基于网关实现七层的安全管理,主要功能包括基于内容的防护、集中认证和api管理。
1.3虚拟网络安全加固技术。
1.3.1云操作系统中的vUtm协同合作系统。不同于以往传统的物理Utm(Unifiedthreatmanagement,安全网关)设备,这套系统包括多个服务器的多虚拟机协同合作,在虚拟化环境下不仅可以分担大量的计算任务(如状态检测、深度检测、全景检测、入侵检测、智能攻防、病毒黑客防御、Vpn等),还可以更加灵活地运用计策设置陷阱引诱、套住并围剿黑客。vUtm协同合作系统将具备良好的性能和高可靠性,统一的产品管理平台下,集防火墙、Vpn、网关、防病毒、防黑客、ipS(intrusionpreventionSystem,入侵防御系统)、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能。下面将介绍如何开发该vUtm协同合作系统的实施方案:构建网络安全协议层防御:主要针对虚拟网络ip、端口等信息进行防护和控制,但是真正的安全不能只停留在底层,需要构建一个更高、更强、更可靠的墙,此处的vUtm协同合作系统除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。因此,vUtm系统将会和虚拟网关及物理网关相连或直接融汇网关的责任。除了具有传统防病毒反黑客的功能外,还将在vUtm系统中实现ipS理念的主动攻防和自主免疫功能。
1.3.2主动攻防和自主免疫功能。结合以上vUtm方案,开发出虚拟化环境下的主动攻防和自主免疫功能,既可以实现在新病毒出现之前就能够预防(就好像人体的免疫系统一样),还可以实现在黑客未入侵成功时就能主动发现,阻断并反攻黑客,且在反攻时回溯定位到黑客的真实位置。具体的实施方案如下:构建仿生自主神经系统:通过vUtm协同合作系统以及VLan(VirtualLocalareanetwork,虚拟局域网)域内的其他服务器上的防火墙共同构建一套仿生自主神经系统。
该系统仿生模拟动物的自主神经系统,主要包括电脑神经元、神经末梢、周围神经系统和中央神经系统。电脑神经元感知和监控每一个进程的运行;神经末梢感知和监控每一个线程的工作;周围神经系统感知和监控主机整体的系统运作以及做一些简单的决策;中央神经系统由vUtm服务器承担进行复杂计算以及全面策划防御措施。
虚拟化环境下的防新病毒能力:有了这套仿生自主神经系统后,它会对每一个进程乃至线程进行细微感应,一旦发现任何异常行为,将会对其阻断彻查并通过神经连接直接上报给vUtm服务器或进一步上报给病毒中心。如果新病毒入侵,尽管病毒库不知道是何种病毒,这套系统依然可以根据异常行为发现并阻断其继续传播。
3结束语
综上所述,本文探讨了云操作系统的安全加固技术,主要包括:云操作系统的安全体系结构、api的安全管理技术以及虚拟网络的安全加固技术。通过对云计算系统的安全加固,才能更好地推动云计算的发展,以及更有效、及时地解决当前云计算发展所面临的安全问题。只有把这些问题解决好,才能真正发挥云计算在各行各业信息化进程中的重大作用。
参考文献:
如何构建网络安全体系篇4
[关键词]安全管理监控审计安全构架
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、vpn、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
3.黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。
如何构建网络安全体系篇5
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,Vpn连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置DmZ区域。DmZ区域的安全级别较普通用户区高,即便得到访问授权的用户,其对DmZ区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(ie)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有BUG或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
如何构建网络安全体系篇6
关键词:电子政务;网络安全;风险;防范
1电子政务网络安全概述
1.1电子政务网络安全发展现状
随着因特网的迅猛发展,我国信息网络技术进入了日益月异的发展阶段,并得以广泛应用。但因特网具有高度的开放性以及自由性,为应用创造极大便利的同时也对其安全性提出了更为严格的要求。现如今,电子政务网络安全问题日益突出,甚至在一定程度上阻碍了我国电子政务建设事业的健康发展,通过何种方式来提升电子政务网络的安全性己然成为亟待解决的问题。
1.2做好电子政务网络安全风险防范工作的意义
对于整个信息网络而言,电子政务是其中一个比较特殊的应用领域,涉及海量的需要严格保护的信息,相较一般电子商务,其表现出下述特点:首先,信息内容保密等级高;其次,在一定程度上影响甚至决定了行政监督力度;最后,通过网络能够为公众提供高质量的公共服务。电子政务网络一旦遇到安全风险,有可能导致重要信息丢失甚至暴露,带来难以估量的损失,也正因如此,电子政务网络也是信息间谍的首要攻击目标之一。由此可见,政府部门重视和做好电子政务网络安全风险防范工作,对于本部门的高效运行具有相当积极的现实意义。
2电子政务网络安全风险分析
2.1物理层风险分析
对于电子政务网络而言,物理层安全是其整体安全的基础。物理层风险主要包括:地震、洪水以及火灾等导致网络瘫痪甚至毁灭;电源故障导致断电、操作系统异常;设备失窃、损毁导致数据丢失甚至泄露;报警系统存在漏洞等。
2.2数据链路层风险分析
入侵者可能会以传输线路为突破口,在上面设置窃听设备以达成窃取数据的目的,然后再借助相应技术解读数据,还可能会对数据进行一定的篡改。此类风险因素会给电子政务网络安全埋下严重隐患。
2.3网络层安全风险分析
对电子政务网络所囊括的各个节点而言,其他网络节点均属于外部节点,属于不可信任范畴,均可能导致安全威胁。风险可能源自内部。攻击者借助snifrer之类的嗅探程序来寻找安全漏洞,然后在此基础上对内网发起攻击。风险也可能源自外部,入侵者可能以公开服务器为跳板向内网发起攻击。
2.4系统层安全风险分析
系统层安全一般是指网络操作系统、计算机数据库、配套应用系统等方面的安全。现阶段的操作系统,其开发商一定会设置相应的BackDoor(后门),另外,系统本身也必然存在若干安全漏洞。无论是“后门”,还是安全漏洞,均会埋下极大的安全隐患。就具体应用而言,系统安全性在很大程度上取决于安全配置,若安全配置不到位,将会为入侵者提供极大便利。
2.5应用层安全风险分析
随着网络技术的迅速发展,电脑远程控制呈现出简单化的发展趋势,受此影响,病毒、黑客程序有机结合之后往往带来更为严重的危害,而病毒的入侵通常会导致用户重要数据的泄露。病毒能够经由多种途径(如网上下载、邮件发送以及人为投放等)入侵内部网络系统,所以,其危害是相当严重的。在整个网络系统中,即便只有1台主机“中毒”,也会在很短时间里使其他主机受到感染,进而埋下数据泄露等一系列不安全因素。
2.6管理层安全风险分析
在网络安全中,管理属于核心部位。安全管理体系不完善,未能明确界定权责,极可能导致管理安全风险。当网络受到内部或外部的相关安全威胁时,难以及时且合理地应对,同时也难以对入侵行为进行追踪,换而言之,网络可控性以及可审查性不理想。因而,重视和做好管理层的工作便成了当务之急。
3电子政务网络安全风险的防范
3.1物理层风险的防范
使用那些可提供验证授权等功能的产品,对内外网用户进行高效管理,从而避免入侵者在没有授权的情形下对网络内的重要或敏感数据进行窃取和篡改,又或者对服务提供点发动攻击,防止入侵者通过伪用户身份取得授权而导致严重的网络危害。可借助系列路由器、防火墙产品、计算机网络管理平台之间的有机配合,以实现对用户信息(用户名、登录密码、权限)的科学管理,并在此基础上优化服务策略。
3.2数据链路层风险的防范
对于政府网络应用而言,其不仅涉及大量的内部应用(oa系统、文件共享以及邮件接收等),同时还涉及大量的外部应用(和合作伙伴之间的沟通等)。为实现对远程用户的有效控制,保证内网资源的安全性,可公共网络中开辟出专用网络,从而使得相关数据可以经由安全系数较高的“加密通道”传播。由国家相关要求可知,政府网络可依托既有平台构建属于自己的内部网络,但一定要采用认证以及加密技术,从而确保数据传输拥有足够的安全性。对于单独的Vpn网关而言,其核心功能是以ipSec数据包为对象,执行加(解)密以及身份认证处理,若采用该部署方式,防火墙难以对Vpn数据予以有效的访问控制,继而带来诸多负面问题。所以,在防火墙安全网关上集成Vpn便成了现阶段安全产品的主流发展趋势之一,可以能提供一个集灵活性、高效性以及完整性等诸多优点于一身的安全方案。
3.3网络层安全风险的防范
在所有网络出口处设置防火墙能够实现对网络的有效隔离,将其划分为若干安全域,从而进行相应的访问控制。以防火墙为工具进行多网口结构设计,如此一来,能够为合法用户提供相关服务,与此同时,将非法用户的访问拒之门外。当防火墙配置了入侵检测这―功能时,便能够以自动检测的方式查找网络数据流中可能的、隐藏的入侵方式,并提醒管理员及时优化控制规则,最终为整个网络提供实时而有效的网络保护。
3.4系统层安全风险的防范
为实现对操作系统安全的有效保护,建议从下述两点着手:首先,使用具有自主知识产权且向政府提供源代码的那一类产品;其次,以系统为对象,通过漏洞扫描工具进行定期扫描,以便及时发现相关问题。
3.5应用层安全风险的防范
建议安装高性能的专业防火墙,要求具备下述功能:(1)外部攻击防范;(2)内网安全;(3)流量监控;(4)邮件过滤;(5)网页过滤;(6)应用层过滤等。引入和应用以aSpF为代表的应用状态检测技术,在验证连接状态是否正常的同时,也可实现对异常命令的有效检测。
3.6管理层安全风险的防范
对于网络安全而言,管理层安全是其核心所在。通过安全管理的有效实施可为各项安全技术的顺利实施提供有力保障,建议从两方面入手:首先,立足本地区以及本部门的实际情况,制定和实施针对性的安全管理规范,充分利用网络,发挥其在信息化建设工作中的重要作用,推动政府部门信息化建设工作的顺利、高效开展;其次,以可能发生的电子政务网络突发事件为对象,制定配套的应急预案,构建健全的应急机制,从而尽可能地消除突发网络事件所带来的负面影响,最终为电子政务网络的高效运行奠定坚实基础。
4电子政务网络安全体系建设案例
4.1某市电子政务现状分析
某市现辖三市(县级市)、五县、五区和一百多个基层政务单位。在政府信息化建设的大背景下,该市的市政府行政管理体制正积极向精简化、统一化以及高效化的方向不断发展。现阶段,各级政务单位均结合自身的具体情况构建起了不同形式的、规模大小不一的办公网络,然而在互联方面考虑不足,相互之间形成了所谓的“信息孤岛”,因而构建具有高度统一性质的电子政务外网平台,以保障网络资源的充分共享已然成为当务之急。值得一提的是,各级政务单位在构建自身网络的过程中没有进行统一规划,因而无论是在安全防护上,还是在安全管理上,均存在较明显的欠缺,所以,如何保障电子政务网络安全成了亟需解决的问题。下面将针对其整体解决方案予以进一步探讨。
4.2整体解决方案
为实现对该市电子政务外网平台的全面、有效保护,应遵循“全网部署、一体安全、简单为本”的原则,为其构建一个一体化的全面安全防护体系,从而最大程度地满足用户的实际需求。
4.2.1全网部署
在电子政务外网平台体系中,各级政务部门于广域网出口处设置了天清汉马USG一体化安全网关如图1所示,并将集中管理系统设置在了该市的市政府信息中心,能以整个网络体系为对象进行统一化管理。在统一化管理模式下,管理员通过面前的计算机便能够及时了解各级政务部位的网络状态,尤其是各类风险以及威胁,若察觉到局部突发性质的不安全事件,可马上对整个网络的安全策略进行相应调整,然后统一下发,消除网络威胁,减轻不利影响,从而构建一个具有在线监测和高效防护功能的一体化安全风险管理体系。
4.2.2一体安全
对于天清汉马USG一体化安全网关而言,其优点表现在两大方面,一个是高性能的硬件架构,另一个是一体化的软件设计,集若干项高效的安全技术(防火墙、Vpn以及入侵防御等)于一体,还推出了QoS、负载均衡以及日志审计等实用功能,可为网络边界提供及时而强大的安全防护。这便是“一体安全”的重要体现。除此之外,借助集中管理技术能够对系统中的多台计算机同时下发安全管理策略,如此一来,大幅简化了安全策略的具体实施过程。
4.2.3简单为本
面对电子政务日趋复杂的网络环境,通过何种途径来更加简单地进行安全防护成了整个方案亟需解决的问题之一。“简单”在某种程度上是安全的一种外在表现形式,同时技术层面的创新是达成“简单”目的的途径。天清汉马USG一体化安全网关在设计过程中便充分体现了这一理念,并在实践应用中取得了较理想的效果,集中反映在下述方面:(1)设备部署变得简单;(2)防御威胁变得简单;(3)策略实施变得简单;(4)管理维护变得简单。
如何构建网络安全体系篇7
关键词:无线局域网;网络安全;入侵检测
中图分类号:tp393文献标识码:a文章编号:1009-3044(2008)29-0311-02
ResearchandDesignofwLanSecurityDetectionSystem
JianGXue-feng
(Schoolofelectronicsandinformationengineering,Shenzhenpolytechnic,Shenzhen518055,China)
abstract:inthispaper,wefirstintroducetheprincipleofintrusiondetection,then,basedonthedemandanalysisofwirelesssecuritygatewaydetectionsystem,wedesignandrealizethissystem.itiscomposedwiththreemodulecollectionmodule,analysismodule,responsemoduletoassurethesecurityofwLan.
Keywords:wLan;networksecurity;intrusiondetection
1前言
随着信息技术的发展,各种网络安全问题层出不穷。而由于无线局域网(wLan)采用射频工作方式,其在安全方面显得尤为脆弱。目前应用最广泛的802.11b无线局域网通过wep(wiredequivalentprivacy)加密算法完成无线工作站和访问点的加密传输,采用服务集标志(ServiceSetidentifier)和物理地址过滤来进行访问控制。然而经研究证明,802.11b安全机制虽能起到一定保密作用,但是很容易被入侵者攻破。后来的wpa等无线局域网标准,也存在不同程度的安全问题。所以,从现实应用的角度来看,wLan仅仅采用攻击防护是不够的,还应该采用安全检测系统来加强无线网络的安全。
2入侵检测的原理及其构成
入侵检测的研究是从离线日志分析开始间,最初使用统计方法分析iBm大型机的SmF(SystemmanagementFacility)记录。1987年,Denning首次提出入侵检测的概念,将它作为一种新型的计算机系统安全防御措施:并提出一个通用的iDS模型,首次提出进行实时检测。
人侵检测是指对入侵行为的发觉。它通过取得计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行人侵检测的软件与硬件的组合便是人侵检测系统,简称iDS。与其他安全产品不同的是,人侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全的运行。入侵检测的基本原理图如图1所示。
入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,它所基于的重要的前提是:非法行为和合法行为是可区分的,也就是说,可以通过提取行为的模式特征来分析判断该行为的性质。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。应用于不同的网络环境和不同的系统安全策略,入侵检测系统在具体实现上也有所不同。
从系统构成上来看,入侵检测系统至少包括数据提取、入侵分析、响应处理3个部分,另外,还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能。如图2所示。其中,数据提取模块在入侵检测系统中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其他预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计“事件”数据,是入侵检测系统的数据采集器。数据提取模块的功能和效率直接影响iDS系统的性能。如何选择正确的数据源,如何进行合适并高效的预处理,是数据提取模块乃至整个入侵检测系统需要首先解决的问题。
3无线安全网关检测系统的需求分析
网络入侵检测是检测领域的代表性研究方向,在某些具体应用场合,恢复和响应的某些特性也被集成到了入侵检测中。入侵检测系统(intrusionDetectionSystem)就是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的系统,是一种用于检测计算机网络中违反安全策略行为的系统。利用审计纪录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
在计算机网络环境中,一个性能良好的入侵检测系统应具备有效性、可扩展性和自适应性。从当前的技术情况看,建立一个有效的入侵检测系统是一项巨大的知识工程。在收集到系统和网络的原始数据后,如何建立入侵检测模型,是入侵检测领域的研究重点。当前的检测模型多是通过手工书写规则和其它特殊方式实现的。
从以数据为中心的观点出发,入侵检测可以看作是一个数据分析的过程。异常检测是从数据中标识出异常检测模式。误用检测是使用数据编码和匹配入侵模式。有鉴于此,分布式智能化入侵检测系统将误用检测和异常检测结合为一体,采用数据挖掘技术实现基于内容的入侵检测,可以在各种特性上最大限度的满足入侵检测系统的要求。当检测环境变化或许保护机器数量增减是检测系统不需要做太大的改动,或当出现新的攻击类型时系统能够有效的识别并自动扩充规则库,以提高其扩展性和环境实用性。
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:
检测并记录网络中的安全违规行为,防止网络入侵事件的发生;
检测黑客在攻击前的探测行为,并给管理员发出警报;
报告计算机系统或网络中存在的安全威胁;
提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;
在计算机网络中布置入侵检测系统,能提高网络安全管理的质量。
4无线安全网关检测模块的设计与实现
4.1无线安全网关检测系统的整体设计
无线网关检测系统体系结构由三个主要的部分组成:采集模块、分析模块、响应日志模块。所有这些子系统都是建立在数据包截获库函数接口libpcap的基础上,libpcap为它们提供了一个可移植的数据包截获和过滤机制。整个程序的配置、规则的解析以及数据结构的初始化都在系统进行数据包分析和检测之前完成,以保证对每个数据包的处理时间压缩到最小。其整体结构框架图如图3。
采集模块:负责捕获网络上的数据包,并进行初步的解码。它由两个部分组成,包捕获模块用于捕获监听网络中的原始数据包。协议解码模块把从网络上捕获的数据包从下向上沿各个协议栈进行解码并填充到相应的数据结构,以便提交给分析模块进行规则匹配。协议解码模块运行在各种协议栈之上,从数据链路层到应用层。网络数据采集和解析机制是整个系统实现的基础。
规则处理模块:实现对这些报文进行基于规则的模式匹配工作,检测出入侵行为;在初始化阶段它还负责完成规则文件的解析和规则语法树的构建工作。规则文件经过处理之后,以一种非常灵活高效的方式进行存储,从而便于检测引擎的使用。
分析模块:接收采集模块送来的网络包,进行预处理,然后由检测引擎将网络包与规则库进行匹配,并根据检测的结果进行响应或日志。这是iDS的核心所在,所有的网络包在此处被检测引擎执行检测,网络包与每一条规则都要进行匹配,直到匹配到一条规则,此时执行规则规定的动作;或者,所有规则都不匹配,则抛弃该包。另外,在检测之前还要进行预处理。
响应日志模块:当入侵发生时,进行响应,包括报警等,并在日志中记录。
4.2总体流程
系统模块的总体执行顺序及调用关系如图4所示。
1)运行主函数main(),对命令行参数及各种标识符进行设置。
2)调用Libpcap库函数pcap_open_live(),获得对应的数据包截获接口数据结构,启动数据包的截获和处理进程。
3)调用各种网络协议解析例程,对当前数据包进行分层协议字段的分析,并将分析结果存入重要的数据结构packet中。
4)插件初始化例程。主要包括输出插件初始化例程、检测插件初始化例程和预处理器插件初始化例程。其主要任务就是将各种插件的关键字名称与对应的初始化处理函数对应起来,并注册到对应的关键字链表结构种,以便随后的规则解析例程使用。
5)规则架构初始化和解析例程。CreateDefaultRules()负责进行初始的规则架构建设工作。关键的规则解析任务由函数parseRulesFile()负责完成,实质上该函数不仅是解析检测规则结合,而且对于所有的系统配置规则都进行解析,包括预处理器、输出插件、配置命令等。
6)优化及快速匹配例程。otnXmatchinfoinitialize()主要是针对otnX_matCH_Data数据结构类型的全局变量omd,为其申请指定的内存块空间。otnX_matCH_Data数据结构包含了快速规则匹配时所引用到的若干重要信息,特别包含了一个matCH_inFo类型的链表指针字段。matCH_inFo数据结构中存放了在规则匹配中满足匹配条件所产生的所有相关信息;而fpCreateFastpacketDetection()是构建规则快速匹配引擎的主要接口函数,它的基本工作原理是读入由规则解析模块构建的规则链表中的所有规则链表头和规则选项节点,然后在其基础上构造新一层的数据结构,然后进行快速匹配。
7)数据包处理模块interfacethread(),主要是调用Libpcap库函数pcap_loop(),并设定好数据包回调处理函数。
8)系统检测模块的主要接口函数为processpacket()和preprocess()。前者作为libpcap库函数pcap_loop()的接口回调函数,在pcap_loop函数内部调用以处理截获的数据包。后者在processpacket()中调用,具体执行入侵检测任务。
如何构建网络安全体系篇8
abstract:networksecurityexperimentplaysaprettyimportantroleintheteachingofnetworksecurity.thispaperanalyzesthesituationinteachingofnetworksecurityexperiment,describesthevirtualmachinetechnology,andgivesthemethodsandexperienceintheteachingofexperimentsofcomputernetworksecurity.
关键词:虚拟机;网络安全;实验教学
Keywords:virtualmachine;networksecurity;experimentalteaching
中图分类号:G42文献标识码:a文章编号:1006-4311(2010)35-0185-02
1网络安全课程实验教学现状
随着网络技术的飞速发展和广泛应用,日益增多的病毒、木马和黑客等网络安全事件引起了人们的重视。国内高校纷纷开设了网络安全等相关课程。网络安全是一门实践性很强的课程,网络安全实验室作为网络安全技能人才培养的重要实验平台,其重要性不言而喻。
目前,国内的网络安全实验教学环境参差不齐。比较著名的有中科院的信息安全国家重点实验室、山东大学的计算机信息安全国家重点实验室、哈工大的计算机网络与信息安全技术研究中心等,也有经济实力雄厚的一些高校引进了神州数码或者东软网络安全实验教学平台,但大多数高校的网络安全实验一般普通的计算机实验室中开展。一般的计算机实验室通常采用硬盘保护卡系统,虽然可以有效防止由于学生误操作或计算机病毒引起的系统崩溃,减少实验室管理人员的工作量。但是,网络安全课程的内容涉及系统安全设置,系统漏洞分析与攻击,病毒防范及黑客技术,其实验环境要求系统应为服务器配置,可以对系统进行漏洞攻击或木马病毒攻击,这就会毁坏正常的系统。在装有硬盘保护卡的计算机实验室学生只能进行简单的系统配置实验,大多数的网络安全就无法有效开展,这样很难确保教学质量。
2虚拟机原理及虚拟机软件
2.1虚拟机原理虚拟机又称逻辑上的计算机,是指运行于物理计算机上的由软件模拟出来的计算机。与真正的计算机相比,它是一个模拟真实计算机进行工作的软件系统。虚拟机具有完整的应用环境,包括硬件层、驱动接口和操作系统及应用软件,每个虚拟机有自己的应用和独立虚拟硬设备如网卡、CpU、内存等,每个虚拟机都可以拥有计算机系统的所有资源。
2.2虚拟软件目前有着广泛的应用虚拟机软件有Vmwareworkstation和VirtualpC等。VirtualpC是由微软公司开发的,Vmwareworkstation软件是Vmware公司出品的一个多系统安装软件。Vmwareworkstation可以在一台计算机上实现多台虚拟计算机同时工作,每台虚拟机器运行单独的操作系统而互不干扰,在这些虚拟计算机之间还可以进行虚拟网络的连接,从而在一台计算机硬件上模拟出多网的计算机。
应用软件Vmwareworkstation实现虚拟机可以节省硬件设备和物理空间,管理方便、安全性高,比较适合做网络安全实验。它不需要对物理硬盘进行分区或重新开机,各个虚拟机与主机之间可以联网对话,共享文件、应用和网络资源,能够完全隔离并且保护虚拟机的不同操作系统环境以及所有的应用软件和数据,可以即时保存所做的任何操作,并且有“硬盘”还原功能,虚拟机可以很方便地还原至任意的还原点,不必繁琐的重新安装操作系统。虚拟机可作为任何软件的测试环境,比如运行木马与病毒样本,可以做到完全不影响实体电脑,十分安全。
3基于虚拟机的网络安全实验环境的构建
3.1基于虚拟机的网络安全实验环境的构建过程《网络安全》实验需要同时启动多台虚拟机和研究各种操作系统、网络配置和网络攻防软件。Vmwareworkstation是Vmware公司的专业虚拟机软件,可以虚拟现有任何操作系统,而且使用简单、容易上手。在普通的计算机实验室的环境下,利用该软件可以方便的组建一个小规模的网络安全实验环境。搭建实验环境的构建过程如下:
①在实体机上安装Vmwareworkstation软件。②启动Vmwareworkstation,根据需要创建多个虚拟机。③对虚拟机进行操作系统的安装,这与在真实裸机上的操作完全一样。④对Vmwareworkstation进行参数设置。包括全局参数的设置和每台虚拟机的参数设置。具体参数的设置方法可以参见文献3。
3.2基于虚拟机的网络安全实验环境构建时的注意事项构建基于虚拟机的网络安全实验环环境,要根据计算机实验室的实际情况进行。此外,还要注意以下几点:①规划机器硬盘和内存。虚拟机有一个映像文件存在于实体机器的硬盘分区中,要为虚拟机的映像文件和虚拟机上安装的相应软件预留足够的硬盘空间。同时启动的虚拟机的数量也要根据实体机的内存大小进行。②虚拟机的参数设置。虚拟机的参数要根据需要认真设置,特别是网络参数的配置,要考虑教师演示和学生实验的方便。如虚拟机的名称和相应的硬盘映像文件名称及启动后的计算机名称统一,每台虚拟机的管理员账户和用户账户都不同并要体现所属的虚拟机。③虚拟机映像文件的存储。在实体机器上,最好专门创建一个名为“虚拟机映像文件”的文件夹,用于存放映像文件。一般情况下,虚拟机的一种操作系统创建一个映像文件即可,安装相同操作系统的虚拟机的映像文件通过复制即可。由此可以方便地进行虚拟网络的扩展。同时,虚拟机映像文件名字既要能见名知义,又要体现虚拟机上安装的操作系统和在虚拟网络中的角色。
4基于虚拟机的网络安全实验的开展
在虚拟机的网络安全实验环境下,大部分的网络安全项目都可以完成。《网络安全》实验要培养学生较强的应用能力,因此要选择合适的实验内容和实验工具。
网络安全一般要完成网络命令和数据包捕获实验、密码技术实验、计算机扫描技术、网络攻击技术、入侵检测技术、计算机病毒及反病毒技术、防火墙技术和web服务安全等实验项目。这些实验项目采用了很多工具软件,像数据包捕获软件Sniffer、加密软件pGp、扫描软件SuperScan和X-Scan、入侵检测Sessionwall等在普通的计算机实验室机器上由于安装保护卡的原因,导致了不能全部正确安装和配置;像网络攻击软件、病毒软件就根本就不能存在于安装了杀毒软件的普通计算机实验室的机器中。经过实践证明,这些实验项目在普通的计算机实验室机器上虚拟机网络环境中都可以实现。
基于虚拟机的网络安全实验可充分保证实验质量符合教学要求。在虚拟环境下,学生不用顾虑到对主系统的破坏,可以放心进行各种网络安全实验操作,带来更好的实验效果。基于虚拟机的网络安全实验可充分利用高校当前的计算机资源,也可以降低实验成本及实验过程中对硬件的损耗,提高计算机实验室的管理水平。
参考文献:
[1].
[2]崔雅娟.基于Vmware的路由器虚拟环境架构的实现[J].计算机教育,2005,(11):28-31.
[3]刘武,吴建平,段海新等.用Vmware构建高效的网络安全实验床[J].计算机应用研究,2005,(2):212-214.
如何构建网络安全体系篇9
关键词计算机;网络;安全管理
中图分类号tp393文献标识码a文章编号1673-9671-(2013)011-0177-01
随着互联网技术、信息化技术的快速发展,给我们的生活带来了很多的便利,但同时也造成了一些安全的问题。滥用他人内部网络资源、利用互联网、传递非法信息、各种互联网攻击行为等计算机网络安全问题日益严重。而计算机信息技术网络只有实现了良好的安全管理,才可以将其应有的作用全部发挥出来,如果不能实现安全管理,那么必然会给网络用户造成危害,甚至还会对国家安全造成严重的影响。本文就计算机网络安全管理的技术与方法进行探讨。
1计算机网络安全隐患
1.1操作系统的不完善
操作系统具有扩散性和集成性等特点,结构复杂,体系庞大。但是不管操作系统是如何的完美,如何的成熟,它都会面临着安全漏洞的威胁,有了这些漏洞,病毒和黑客就可以入侵操作系统,而这些安全漏洞没有任何一种补丁程序能够完全根治,都需要进行不定时的操作系统升级,才能够将操作系统不完善这个问题克服掉。
1.2网络管理员的防范意识和技术水平不高
目前由一些计算机网络管理员没有经过系统化的计算机知识培训,技术水平还达不到要求,且责任心不强,工作马马虎虎,在实际工作中,由于不仔细、不用心就造成了很多人为管理问题。如给予网络用户过大权限,没有按照网络用户的类型来划分不同的权限登记,没有限制和预防一些潜在的安全隐患,缺乏实时的计算机监控机制,甚至还会出现低级的网络管理错误,使得计算机网络系统极易受到攻击。
1.3病毒的广泛传播
计算机网络安全的最大隐患就是病毒,它具有破坏性、传染性、隐秘性等特点,不依靠防火墙和反病毒软件很难发现,计算机一旦感染上如木马程序和蠕虫病毒之类的病毒,那么往往就会导致计算机系统反应速度大幅度降低,丧失部分数据和功能,甚至还有可能造成丢失掉计算机内的重要文件,造成系统的崩溃和计算机硬件设备的损坏。
2计算机网络安全管理的重要内涵与内容
一般来说,计算机网络安全管理都具有生命周期性,应包括应急响应、安全检查与稽核、安全意识的技术培训和教育、安全原则和安全目标的确定、安全工程的运行和测试、安全工程的实施监理、风险分析、安全工程的实施、安全产品与安全技术的选型与测试、需求分析、安全实施领域的确定、安全体系、安全策略等,这些构成了网络信息安全的一个完整生命周期,经过安全检查和稽核之后,又开始孕育下一个生命周期,周而复始,不断上升、不断往复。黑客水平在提高,信息技术在发展,那么相应的安全技术、安全体系、安全策略也要随之实现动态调整,使整个计算机网络系统都随时处于一个动态过程中,不断进步、不断完善、不断更新。
3如何有效加强计算机网络安全管理
3.1防病毒软件
采用防病毒软件,如卡巴斯基、金山毒霸、360安全卫士、瑞星杀毒软件之类的能够对新病毒进行及时更新、联网查杀、预防,还可以实时监测病毒、实时查杀病毒,保护用户计算机系统数据安全,提高全方位的网络安全保护。现在计算机病毒越来越高级,越来越复杂,严重威胁到地震数据存储设备的安全,一旦发现地震数据存储设备感染了病毒,就应该采用防病毒软件进行实时防范,扫描出病毒所在位置,对地震数据存储设备的感染程度进行彻底地检查,将病毒彻底、完全地清除掉,从而保障地震数据存储设备的安全性。如360安全卫士基于人工智能算法,独具“自学习、自进化”优势,秒杀新生木马病毒,助力360杀毒获得aV-C国际评测查杀率第一,实时捕捉病毒威胁,预防效果更出色。全新架构进一步减少对系统资源的占用,性能提升30%以上,电脑轻快不卡机。智能引擎调度技术升级,可选同时开启小红伞和BitDefender两大知名反病毒引擎,双剑合璧查杀监控更凌厉。同时,隔离沙箱为用户提供百毒不侵的安全体验,运行风险程序不感染真实系统,新增“断网模式”保护隐私不侧漏。
3.2从制度出发,加强计算机网络安全管理
1)成立了计算机网络安全管理领导小组,落实了计算机安全管理员,明确了领导小组和管理员的职责,构建了计算机网络安全管理体系。
2)在网络改造升级过程中,严格按要求实行管理网段与业务网段分离,杜绝业务用机上因特网。
3)局域网计算机上安装防病毒软件,建立了防病毒体系,同步升级,定期扫描。
4)全面淘汰一些配置较差的电脑,全部使用单位下发的性能好的计算机,确保不能因为计算机硬件的故障而出现重大事故。
5)全面安装防火设备,在机房,安装了防火报警器,购置了灭火器材,消除一切可能引发火灾等不安全隐患。
6)加强计算机应用管理,按照“单位统一管理,分部门保管使用”的办法,指定计算机负责人,并按权限设置了开机密码与网络密码。
7)严格执行“双重备份、异地保存”的数据备份制度,确保数据安全。
3.3加强外联网络安全防护
目前外联的方式可以通过蓝牙系统、红外线系统、无线网卡、pCmCia、有线网卡、USB端口等一系列措施进行互联,应该在终端就对非法网络行为进行阻断,这是最为安全、最为有效的防护措施。因此,应该屏蔽不明端口,对计算机信息网络系统通过终端安全管理系统来固定设置,一旦发现有那些非法的客户端企图连接网络,那么应该将非法的客户端进行网络屏蔽或者阻断。笔者建议建立一套身份认证系统(基于pKi体系),进而实现访问控制、数据加密。同时,将Ca认证系统和认证网关部署在重要服务器区附近,并且使得二者实现联动,促使实现传输通道的加密功能和用户的安全访问控制。
参考文献
[1]罗平,李强.网络安全应急响应体系研究[J].农业网络信息,2011,02:111-114.
[2]陈丹.计算机网络安全隐患与应急响应技术[J].办公自动化,2011,10:153-157.
[3]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,10:120-125.
如何构建网络安全体系篇10
虽然校园网络系统的重要性越来越突出,但是由于没有得到专业管理,容易出现纰漏。这不仅没有实现校园网络系统长处的发挥,反而阻滞了校园建设和管理的有序进行。那么在校园网络系统中存在的问题有哪些?
首先是系统安全得不到保证。计算机网络安全要从两个方面来理解,即物理安全和逻辑安全。从物理安全角度来说,计算机网络安全主要是指系统设备和相关设施的物理保护要到位。从逻辑安全带的角度来说,计算机网络安全主要是指整个系统的信息要确保完整性、保密性和安全性。网络遭受黑客和病毒袭击很常见,前几年的“熊猫烧香”和“健美鸡”使很多网络用户遭受一定的损失。网络黑客和病毒是网络系统安全得不到保证的一大原因。校园网络系统的安全系数相比其他网络系统比较低,主要原因在于校园网络系统的安全设置较低,由于校园网络建设经费的不足和学校领导的意识薄弱,校园网络系统的安全建设一直没有得到足够的重视。
其次是信息良莠不齐。由于校园网络实现与外部网络的连接,信息的大范围共享成为可能。这也为黄色、暴力和垃圾信息的出现提供了渠道。这种情况在高校网络中比较明显。高校网络的使用者以学生为主,这是一个非常庞大的群体,但是这个群体的不稳定性和心智的不成熟性造成了大量垃圾信息的横行。据调查显示,在高校网络系统中最常出现的垃圾信息主要是色情和暴力信息,这对于校园网络系统的高效率运行造成了一定的困扰,更为严重的是毒害了正处于人生观和世界观形成的学生。三是网络系统建设意识淡薄,制度不完善。这是很多校园网络系统建设中普遍存在的问题。学院应用网络系统进行教学和管理的时间并不长,发展速度相对缓慢,很多领导并没有对校园网络系统的建设和完善给予足够的重视。校园网络系统的构建和完善需要相对较多的人力和物力,很多学校的不具备专门型技术人才,对校园网络系统的维护疏于管理,很多问题一直积累着得不到解决,这就存在系统崩溃的危险,而系统一旦崩溃会给学校的教学、学生管理以及校园信息安全造成无法挽回的损失。在校园里基本上每一个部门的办公室里都有电脑,计算机的存在节省了大量的时间和人力成本,但是计算机使用者的安全防范意识和良好的使用习惯并没有形成,这给计算机遭受黑客和病毒的侵袭制造了机会。四是操作系统固有漏洞增加了校园网络系统的安全风险。我国现阶段网络系统使用的操作系统都存在一定的漏洞,虽然不断有补丁程序的推出,但是固有漏洞的威胁还是无法完全规避的。需要注意的是在校园网络系统中人为因素的不当管理加重了安全漏洞的威胁。这主要是因为管理人员和使用者对校园计算机安装的系统不了解以及安全设置不合理造成的,这些因素严重影响了校园网络系统的安全性和高效利用率。
二、校园网络系统的构建和完善
校园网络系统的构建和完善是一个比较复杂的过程。它需要综合考虑多种因素,要保证校园网络系统的构建和完善有效就要从主观和客观两个方面加强管理。
首先从主观方面来讲如何进行校园网络系统的构建和完善。一定要提高领导层对校园网络系统的重视。只有提高意识才会从其他方面有效提高校园网络系统的建设。加强领导层的重视可以带动整个校园积极合理使用网络资源。其次是增加网络系统建设和完善的资金。互联网作为新生技术无论是硬件的维护还是软件的更新都需要强大的资金后盾。一些院校对网络系统的资金投资不足,校园网络软件更新速度缓慢,人力管理不到位。这就使校园网络系统过于陈旧,跟不上时代的发展步伐,这种情况大大降低了网络系统的工作效率和安全性能。从学校的角度来说,增加这项支出可能会带来财政压力,寻找财务和网络构建与完善的结合点成为各个学校需要认真探讨的话题。这里简要介绍一些成功学校的实施方案以供参考:一是在网络系统构建初期就以最高的要求为标准,这虽然在实施初期增加了投入,但是经过长时间的实践之后发现这有效降低了设备维护和替换的费用;二是实现校园网络的部分商业经营。校园网络的主要目的是为了在学校内实现信息共享,提高教学和管理效率。有的学校在确保主要目的不被影响的情况下进行部分商业化管理,这为校园网络建设和完善提供了资金,而用户也从中获得了经济收益,可以说这是一举两得的有效措施。校园网络系统构建与完善的第三个主观方面就是提高用户的安全意识和使用技能。由于网络的虚拟性,很多用户在使用过程中超越道德的束缚,经常有网络使用不当的情况出现,严重者还会违背国家法律,危害人们的生活与工作。这就需要加强对用户的教育和管理。针对校园网络用户的特殊性,一般要进行网络使用常识的普及,只有确保用户熟练掌握网络使用技术才能有效提高整个系统的使用率。在用户的使用过程中要不断进行安全意识和法律意识的教育,让用户明白虽然网络虚拟性比较大,但这并不意味着可以不受道德和法律的约束,想干什么就干什么,想说什么就说什么,网络ip的存在为网络犯罪案的破解提供了线索。第四个方面是加强制度建设和管理。没有规矩不成方圆,这也适合于校园网络系统的维护和建设。我国校园网络建设中最为明显的问题就是制度不健全。如何实现网络的维护和管理没有相应的规章制度,一些学校照搬企业单位的制度进行管理,不仅没有实现校园网络系统的维护,反而适得其反。针对这种情况,本文建议各个学校针对自身情况及时制定网络维护和管理的相关制度,如果本校缺乏这方面的人才可以邀请有关专家进行测评并据此制定相关的政策。
其次是从客观方面加强校园网络系统的构建和维护。相对于主观方面,客观方面相对好理解一些,主要内容如下:首先是加强对网络各个终端设备的维护。这可以具体到每一个使用者的身上,加强计算机等终端设备知识的普及。对中转器、路由器等设备的维护可以由专业人员来完成,一般学校都会有网络技术人员,如果需要比较专业的养护要由这些技术人员来完成。第二是不断进行软件维护和更新。相比计算机的硬件设备,软件安全的维护难度要大一些。网络黑客和网络病毒的存在使校园网络系统的安全不断遭受威胁。一些重要的数据和教学信息被盗的情况经常出现,为了有效规避这些情况的出现,需要及时进行软件的更新和维护,加强网络防火墙的建设,一旦出现系统被侵和信息泄露的情况要马上组织修复和防护,另外提醒使用者及时对数据进项备份。
三、结束语