導航:首頁 > 網路安全 > 聯動系統防禦躍升為網路安全

聯動系統防禦躍升為網路安全

發布時間:2022-08-14 00:35:02

什麼網路安全

網路安全概念是什麼意思呢?網路安全就是指用於防止和監控那些沒有經過比人授權,就自己訪問修改網路可訪問的資源。比較通俗的講就是防止網站數據被其他人惡意的破壞、更改和盜取數據。讓程序能夠順利的運行。網路安全的過程又可以分為三個階段:
第一個階段:主動防禦
使用更可靠的硬體,不會出現硬體的問題導致出現網路安全問題。其它如可靠的網路設備、穩定的伺服器和安全性更好的系統和軟體等等。
第二階段:被動防禦
被動防禦則是指網站受到破壞時,能夠做出來的反擊是什麼,能不能把破壞的信息恢復,被破壞的程序能不能修復回來等等。
第三階段:防患未然
也就是在軟體或者是app沒上線錢,自己模擬黑客各種行為去檢測應用是不是能夠可以運行。

Ⅱ 網路安全技術的發展趨勢

專家論壇——信息網路安全技術及發展趨勢 - 華為 中文 [ 選擇地區/語言 ]

在信息網路普及的同時,信息安全威脅隨之也在不斷增加,信息網路的安全性越來越引起人們的重視。在當前復雜的應用環境下,信息網路面臨的安全形勢非常嚴峻。

安全威脅攻擊方法的演進

過去的一年裡,重大信息安全事件的發生率確實已經有所下降,往年震動業界的安全事件幾乎沒有發生。但是在這種較為平靜的表面之下,信息安全的攻擊手段正變得更具有針對性,安全形勢更加嚴峻。信息安全威脅方式的演進主要體現在如下幾個方面。

實施網路攻擊的主體發生了變化

實施網路攻擊的主要人群正由好奇心重、炫耀攻防能力的興趣型黑客群,向更具犯罪思想的贏利型攻擊人群過渡,針對終端系統漏洞實施「zero-day攻擊」和利用網路攻擊獲取經濟利益,逐步成為主要趨勢。其中以僵屍網路、間諜軟體為手段的惡意代碼攻擊,以敲詐勒索為目的的分布式拒絕服務攻擊,以網路仿冒、網址嫁接、網路劫持等方式進行的在線身份竊取等安全事件持續快增,而針對P2P、IM等新型網路應用的安全攻擊也在迅速發展。近期以「熊貓燒香」、「灰鴿子」事件為代表形成的黑色產業鏈,也凸顯了解決信息安全問題的迫切性和重要性。

企業內部對安全威脅的認識發生了變化

過去,企業信息網路安全的防護中心一直定位於網路邊界及核心數據區,通過部署各種各樣的安全設備實現安全保障。但隨著企業信息邊界安全體系的基本完善,信息安全事件仍然層出不窮。內部員工安全管理不足、員工上網使用不當等行為帶來的安全風險更為嚴重,企業管理人員也逐步認識到加強內部安全管理、採取相關的安全管理技術手段控制企業信息安全風險的重要性。

安全攻擊的主要手段發生了變化

安全攻擊的手段多種多樣,典型的手段包含拒絕服務攻擊、非法接入、IP欺騙、網路嗅探、中間人攻擊、木馬攻擊以及信息垃圾等等。隨著攻擊技術的發展,主要攻擊手段由原來單一的攻擊手段,向多種攻擊手段結合的綜合性攻擊發展。例如結合木馬、網路嗅探、防拒絕服務等多種攻擊手段的結合帶來的危害,將遠遠大於單一手法的攻擊,且更難控制。

信息安全防護技術綜述

信息網路的發展本身就是信息安全防護技術和信息安全攻擊技術不斷博弈的過程。隨著信息安全技術的發展,我們經歷了從基本安全隔離、主機加固階段、到後來的網路認證階段,直到將行為監控和審計也納入安全的范疇。這樣的演變不僅僅是為了避免惡意攻擊,更重要的是為了提高網路的可信度。下面分析信息網路中常用的信息安全技術和網路防護方法。

基本信息安全技術

信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為「攻(攻擊)、防(防範)、測(檢測)、控(控制)、管(管理)、評(評估)」等多方面的基礎理論和實施技術。目前信息網路常用的基礎性安全技術包括以下幾方面的內容。

身份認證技術:用來確定用戶或者設備身份的合法性,典型的手段有用戶名口令、身份識別、PKI證書和生物認證等。

加解密技術:在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。

邊界防護技術:防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的特殊網路互連設備,典型的設備有防火牆和入侵檢測設備。

訪問控制技術:保證網路資源不被非法使用和訪問。訪問控制是網路安全防範和保護的主要核心策略,規定了主體對客體訪問的限制,並在身份識別的基礎上,根據身份對提出資源訪問的請求加以許可權控制。

主機加固技術:操作系統或者資料庫的實現會不可避免地出現某些漏洞,從而使信息網路系統遭受嚴重的威脅。主機加固技術對操作系統、資料庫等進行漏洞加固和保護,提高系統的抗攻擊能力。

安全審計技術:包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保管理的安全。

檢測監控技術:對信息網路中的流量或應用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。

網路安全防護思路

為了保證信息網路的安全性,降低信息網路所面臨的安全風險,單一的安全技術是不夠的。根據信息系統面臨的不同安全威脅以及不同的防護重點和出發點,有對應的不同網路安全防護方法。下面分析一些有效的網路安全防護思路。

基於主動防禦的邊界安全控制

以內網應用系統保護為核心,在各層的網路邊緣建立多級的安全邊界,從而實施進行安全訪問的控制,防止惡意的攻擊和訪問。這種防護方式更多的是通過在數據網路中部署防火牆、入侵檢測、防病毒等產品來實現。

基於攻擊檢測的綜合聯動控制

所有的安全威脅都體現為攻擊者的一些惡意網路行為,通過對網路攻擊行為特徵的檢測,從而對攻擊進行有效的識別,通過安全設備與網路設備的聯動進行有效控制,從而防止攻擊的發生。這種方式主要是通過部署漏洞掃描、入侵檢測等產品,並實現入侵檢測產品和防火牆、路由器、交換機之間的聯動控制。

基於源頭控制的統一接入管理

絕大多數的攻擊都是通過終端的惡意用戶發起,通過對接入用戶的有效認證、以及對終端的檢查可以大大降低信息網路所面臨的安全威脅。這種防護通過部署桌面安全代理、並在網路端設置策略伺服器,從而實現與交換機、網路寬頻接入設備等聯動實現安全控制。

基於安全融合的綜合威脅管理

未來的大多數攻擊將是混合型的攻擊,某種功能單一的安全設備將無法有效地對這種攻擊進行防禦,快速變化的安全威脅形勢促使綜合性安全網關成為安全市場中增長最快的領域。這種防護通過部署融合防火牆、防病毒、入侵檢測、VPN等為一體的UTM設備來實現。

基於資產保護的閉環策略管理

信息安全的目標就是保護資產,信息安全的實質是「三分技術、七分管理」。在資產保護中,信息安全管理將成為重要的因素,制定安全策略、實施安全管理並輔以安全技術配合將成為資產保護的核心,從而形成對企業資產的閉環保護。目前典型的實現方式是通過制定信息安全管理制度,同時採用內網安全管理產品以及其它安全監控審計等產品,從而實現技術支撐管理。

信息網路安全防護策略

「魔高一尺,道高一丈」,信息網路的不斷普及,網路攻擊手段也不斷復雜化、多樣化,隨之產生的信息安全技術和解決方案也在不斷發展變化,安全產品和解決方案也更趨於合理化、適用化。經過多年的發展,安全防禦體系已從如下幾個方面進行變革:由「被動防範」向「主動防禦」發展,由「產品疊加」向「策略管理」過渡,由「保護網路」向「保護資產」過渡。

根據對信息網路安全威脅以及安全技術發展趨勢的現狀分析,並綜合各種安全防護思路的優點,信息網路安全防護可以按照三階段演進的策略。通過實現每一階段所面臨的安全威脅和關鍵安全需求,逐步構建可防、可控、可信的信息網路架構。

信息網路安全防護演進策略

信息網路安全防護演進將分為三個階段。

第一階段:以邊界保護、主機防毒為特點的縱深防禦階段

縱深防禦網路基於傳統的攻擊防禦的邊界安全防護思路,利用經典的邊界安全設備來對網路提供基本的安全保障,採取堵漏洞、作高牆、防外攻等防範方法。比如通過防火牆對網路進行邊界防護,採用入侵檢測系統對發生的攻擊進行檢測,通過主機病毒軟體對受到攻擊的系統進行防護和病毒查殺,以此達到信息網路核心部件的基本安全。防火牆、入侵檢測系統、防病毒成為縱深防禦網路常用的安全設備,被稱為「老三樣」。

隨著攻擊技術的發展,縱深防禦的局限性越來越明顯。網路邊界越來越模糊,病毒和漏洞種類越來越多,使得病毒庫和攻擊特徵庫越來越龐大。新的攻擊特別是網路病毒在短短的數小時之內足以使整個系統癱瘓,縱深防禦的網路已經不能有效解決信息網路面臨的安全問題。這個階段是其它安全管理階段的基礎。

第二階段:以設備聯動、功能融合為特點的安全免疫階段

該階段採用「積極防禦,綜合防範」的理念,結合多種安全防護思路,特別是基於源頭抑制的統一接入控制和安全融合的統一威脅管理,體現為安全功能與網路設備融合以及不同安全功能的融合,使信息網路具備較強的安全免疫能力。例如網路接入設備融合安全控制的能力,拒絕不安全終端接入,對存在安全漏洞的終端強制進行修復,使之具有安全免疫能力;網路設備對攻擊和業務進行深層感知,與網路設備進行全網策略聯動,形成信息網路主動防禦能力。

功能融合和全網設備聯動是安全免疫網路的特徵。與縱深防禦網路相比,具有明顯的主動防禦能力。安全免疫網路是目前業界網路安全的主題。在縱深防禦網路的基礎上,從源頭上對安全威脅進行抑制,通過功能融合、綜合管理和有效聯動,克服了縱深防禦的局限性。

第三階段:以資產保護、業務增值為特點的可信增值階段

可信增值網路基於信息資產增值的思想,在基於資產保護的閉環策略管理的安全防護思路的基礎上,通過建立統一的認證平台,完善的網路接入認證機制,保證設備、用戶、應用等各個層面的可信,從而提供一個可信的網路環境,促進各種殺手級應用的發展,實現信息網路資產的增值。

在可信增值網路中,從設備、終端以及操作系統等多個層面確保終端可信,確保用戶的合法性和資源的一致性,使用戶只能按照規定的許可權和訪問控制規則進行操作,做到具有許可權級別的人只能做與其身份規定相應的訪問操作,建立合理的用戶控制策略,並對用戶的行為分析建立統一的用戶信任管理。

從業界的信息安全管理發展趨勢來看,基本上會遵循上述的三個階段來發展。目前還處於第二階段,第三階段的部分技術和解決方案也在開發中。下面我們詳細介紹第二階段——安全免疫階段。

安全免疫網路介紹

採用「堵漏洞、作高牆、防外攻」等防範方法的縱深防禦網路在過去的一段時間里對信息網路的安全管理發揮了重要作用。但是目前網路威脅呈現出復雜性和動態性的特徵,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為僵屍或跳板,再進一步發動大規模組合攻擊。攻擊速度超乎想像,已經按小時和分鍾來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。縱深防禦網路已經不能勝任當前的網路安全狀況。

用戶更需要零距離、多功能的綜合保護。安全能力與網路能力的融合,使網路具備足夠的安全能力,將成為信息網路發展的趨勢。安全免疫網路基於主動防禦的理念,通過安全設備融合網路功能、網路設備融合安全能力,以及多種安全功能設備的融合,並與網路控制設備進行全網聯動,從而有效防禦信息網路中的各種安全威脅。

免疫網路具備以下兩大特點
產品、功能和技術的融合

在安全免疫網路中,安全功能將與網路功能相互融合,同時安全功能之間將進行集成融合。此時,在安全產品中可以集成數據網路應用的網卡、介面技術、封裝技術等,如E1/T1介面、電話撥號、ISDN等都可以集成進安全網關。此外,新的安全網關技術可以支持RIP、OSPF、BGP、IPv6等協議,滿足中小企業對安全功能和路由功能融合的需求。網關安全產品已經從單一的狀態檢測防火牆發展到了加入IPS、VPN、殺毒、反垃圾郵件的UTM,再到整合了路由、語音、上網行為管理甚至廣域網優化技術的新型安全設備。

此外,在交換機、路由器甚至寬頻接入設備中也可以集成防火牆、入侵檢測、VPN以及深度檢測功能,而且原有的防火牆、深度檢測、VPN、防病毒等功能也可以集成在一個統一的設備中。相關的網路設備或者安全設備可以部署在網路邊緣,從而對網路進行全方位保護。

終端、網路和設備的聯動

安全免疫網路的聯動有兩個核心。第一個核心是接入控制,通過提供終端安全保護能力,在終端與安全策略設備、安全策略設備與網路設備之間建立聯動協議。第二個核心是綜合安全管理,綜合安全管理中心作為一個集中設備,提供對全網設備、主機以及應用的安全攻擊事件的管理。在中心與網路設備、安全設備之間建立聯動協議,從而實現全網安全事件的精確控制。

安全功能融合以及聯動防禦成為安全免疫網路的主題。融合的作用將使安全功能更集中、更強大,同時安全設備與路由功能的融合、安全功能與網路設備的融合將使網路對攻擊具備更強的免疫能力;通過基於安全策略的網路聯動,可實現統一的安全管理和全網的綜合安全防禦。

Ⅲ 網路及信息系統需要構建什麼樣的網路安全防護體系

網路安全保障體系的構建

網路安全保障體系如圖1所示。其保障功能主要體現在對整個網路系統的風險及隱患進行及時的評估、識別、控制和應急處理等,便於有效地預防、保護、響應和恢復,確保系統安全運行。

圖4 網路安全保障體系框架

網路安全管理的本質是對網路信息安全風險進行動態及有效管理和控制。網路安全風險管理是網路運營管理的核心,其中的風險分為信用風險、市場風險和操作風險,包括網路信息安全風險。實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:

1) 網路安全策略。屬於整個體系架構的頂層設計,起到總體宏觀上的戰略性和方向性指導作用。以風險管理為核心理念,從長遠發展規劃和戰略角度整體策劃網路安全建設。

2) 網路安全政策和標准。是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個層面,各層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整並相互適應,反之,安全政策和標准也會影響管理、運作和技術。

3) 網路安全運作。基於日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。

4) 網路安全管理。對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。

5) 網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。

摘自-拓展:網路安全技術及應用(第3版)賈鐵軍主編,機械工業出版社,2017

Ⅳ 什麼叫信息安全聯動

聯動是讓網路系統中的元素都具備安全解決的能力,雖然各自分工不同,但元素之間的協同工作,勢必能構成團體的優勢。

Ⅳ 名詞解釋網路安全防禦體系

信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。信息安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
信息系統是指基於計算機技術和網路通信技術的系統,是人,規程,資料庫,硬體和軟體等各種設備、工具的有機集合。

Ⅵ 網路安全等級保護與信息安全等級保護有什麼區別

等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。

企業辦理網路安全等級保護備案的原因:

1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)

2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)

3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)

4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分

網路安全等級保護分五個級別:

如何做好網路安全防護

一、做好基礎性的防護工作,伺服器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦 WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟體,至少能對付大多數木馬和病毒的,安裝好殺毒軟體,設置好時間段自動上網升級,設置好帳號和許可權,設置的用戶盡可能的少,對用戶的許可權盡可能的小,密碼設置要足夠強壯。對於 MSSQL,也要設置分配好許可權,按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆,當然好,但僅僅依靠硬體防火牆,並不能阻擋 hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大,建議打開,但還需要安裝一款優秀的軟體防火牆保護系統,我一般習慣用ZA,論壇有很多教程了。對於對互聯網提供服務的伺服器,軟體防火牆的安全級別設置為最高,然後僅僅開放提供服務的埠,其他一律關閉,對於伺服器上所有要訪問網路的程序,現在防火牆都會給予提示是否允許訪問,根據情況對於系統升級,殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料,大家可以查查相關伺服器安全配置方面的資料。

二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如 mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些埠,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站都是因為這個伺服器被入侵,如果我們作為網站或者伺服器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網路管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對於公司來說,如果系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。

三、伺服器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對於外網開放的伺服器來說,就要謹慎了,要想到自己能用,那麼這個埠就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問伺服器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389埠改一下。當然也可以用其他的遠程管理軟體,pcanywhere也不錯。

四、另外一個容易忽視的環節是網路容易被薄弱的環節所攻破,伺服器配置安全了,但網路存在其他不安全的機器,還是容易被攻破,「千里之堤,潰於蟻穴 」。利用被控制的網路中的一台機器做跳板,可以對整個網路進行滲透攻擊,所以安全的配置網路中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker 攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟體,比如DDOS攻擊軟體,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。

五、最後想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80埠,如果服務方面存在漏洞的話,水平高的hacker還是可以鑽進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。「攻就是防,防就是攻」 ,這個觀點我比較贊同,我說的意思並不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什麼叫克隆管理員賬號,也許你的機器已經被入侵並被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站如果真的做得無漏洞可鑽,hacker也就無可奈何了。

Ⅷ 如何提升網路信息安全保障能力

健全的網路與信息安全保障措施 隨著企業網路的普及和網路開放性,共享性,互連程度的擴大,網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全。網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化,其結果是信息資源的共享和互動,任何人都可以在網上發布信息和獲取信息。這樣,網路信息安全問題就成為危害網路發展的核心問題,與外界的網際網路連接使信息受侵害的問題尤其嚴重。 目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息,也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多,病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情,網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷,採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統,進行信息破壞或佔用系統資源,使得用戶無法使用自己的機器。一般大型企業的網路都擁有Internet連接,同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換,而其中大約80%信息是電子郵件,郵件中又有一半以上的郵件是垃圾郵件,這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源,就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下,因此造成信息泄漏;甚至存在內部人員編寫程序通過網路進行傳播,或者利用黑客程序入侵他人主機的現象。因此,網路安全不僅要防範外部網,同時更防範內部網。網路安全措施 由此可見,有眾多的網路安全風險需要考慮,因此,企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括:身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等;而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層,IP作為網路層協議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全,所以能實現非常細致的安全控制。對於用戶來說,便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務,使得數據在通過公共網路傳輸時,不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的,而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association,安全聯盟),當兩端的SA中的設置匹配時,兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段,是網路通信時執行的一種訪問控制尺度,其主要目標就是通過控制進、出一個網路的許可權,在內部和外部兩個網路之間建立一個安全控制點,對進、出內部網路的服務和訪問進行控制和審計,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問、干擾和破壞內部網路資源。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網路和Internet之間的任何活動,保證了內部網路的安全。 防火牆有軟、硬體之分,實現防火牆功能的軟體,稱為軟體防火牆。軟體防火牆運行於特定的計算機上,它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統,稱為硬體防火牆。它們也是基於PC架構,運行一些經過裁剪和簡化的操作系統,承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品,並與防火牆聯動,以監視區域網外部繞過或透過防火牆的攻擊,並及時觸發聯動的防火牆及時關閉該連接;同時監視主伺服器網段的異常行為,以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線,也是最重要的一道防線。用戶在訪問安全系統之前,首先經過身份認證系統識別身份,然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為,同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要,是最基本的安全服務,其它的安全服務都要依賴於它。一旦身份認證系統被攻破,那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統,因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠;能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表,它是應用在路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕,可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。建立訪問控制列表後,可以限制網路流量,提高網路性能,對通信流量起到控制的手段,這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加,所以可以把ACL當作一種網路控制的有力工具,用來過濾流入和?鞽雎酚善鶻涌詰氖蒞?在應用系統中,訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據,根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常,如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等,很容易使網路設備癱瘓。這些網路攻擊,都是利用系統服務的漏洞或利用網路資源的有限性,在短時間內發動大規模網路攻擊,消耗特定資源,造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集,是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括:輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集,在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。基於以上的流量檢測技術,目前有很多流量監控管理軟體,此類軟體是判斷異常流量流向的有效工具,通過流量大小變化的監控,可以幫助網管人員發現異常流量,特別是大流量異常流量的流向,從而進一步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接,也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言,存在不安全隱患,將是黑客攻擊得手的關鍵因素。就目前的網路系統來說,在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之一,它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序,按功能可分為:操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統,是指通過網路遠程檢測目標網路和主機系統漏洞的程序,它對網路系統和設備進行安全漏洞檢測和分析,從而發現可能被入侵者非法利用的漏洞。定期對網路系統進行漏洞掃描,可以主動發現安全問題並在第一時間完成有效防護,讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點,能夠實現全方位多級防護。考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣,相應地在構建網路防病毒系統時,應利用全方位的企業防毒產品,實施集中控制、以防為主、防殺結合的策略。具體而言,就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體,通過全方位、多層次的防毒系統配置,使網路沒有薄弱環節成為病毒入侵的缺口。實例分析 大慶石化區域網是企業網路,覆蓋大慶石化機關、各生產廠和其他的二級單位,網路上運行著各種信息管理系統,保存著大量的重要數據。為了保證網路的安全,針對計算機網路本身可能存在的安全問題,在網路安全管理上我們採取了以下技術措施: 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網,即用戶在網路物理線路連通的情況下,需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS),RADIUS伺服器作用戶認證系統,每個用戶都以實名注冊,這樣我們就可以管理用戶的網上行為,實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機,在交換機上我們配置了訪問控制列表,根據信息流的源和目的 IP 地址或網段,使用允許或拒絕列表,更准確地控制流量方向,並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中,我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用,如醫療保險和財務等,劃分獨立的虛擬子網,並使其與區域網隔離,限制其他VLAN成員的訪問,確保了信息的保密安全。 4.在網路出口設置防火牆在區域網的出口,我們設置了防火牆設備,並對防火牆制定安全策略,對一些不安全的埠和協議進行限制,使所有的伺服器、工作站及網路設備都在防火牆的保護之下,同時配置一台日誌伺服器記錄、保存防火牆日誌,詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能,系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立並實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網大慶石化區域網的網路環境比較復雜,含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備,為了能夠有效地網路,我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議,可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖,能夠准確和直觀地反映網路的實際連接情況,包括設備間的冗餘連接、備份連接、均衡負載連接等,對拓撲結構進行層次化管理。通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠,有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理,使網管人員能夠對故障預警,以便及時採取措施,保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求,同時為了滿足網路安全的要求,我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器,遠端子公司採用Cisco的2621路由器,動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能在區域網的各應用中我們都啟用了審計功能,對用戶的操作進行審核和記錄,保證了系統的安全。

閱讀全文

與聯動系統防禦躍升為網路安全相關的資料

熱點內容
電腦網路連接顯示黑屏怎麼回事 瀏覽:131
網路列印機正在連接沒反應 瀏覽:515
計算機網路的目標主要是實現什麼 瀏覽:873
民法典網路造謠應怎麼處罰 瀏覽:911
網路上哪裡買二手電筒腦 瀏覽:807
如何網路查詢分班 瀏覽:4
網路營銷和數媒哪個好 瀏覽:361
手機網路欠費1萬 瀏覽:947
手機網速沒有無線網路卡 瀏覽:504
網監發現網路犯罪怎麼處理 瀏覽:849
陽泉通信網路設備多少錢 瀏覽:840
網路游戲總量設置 瀏覽:115
手機出電梯後連不上網路 瀏覽:38
wifi結果網路黃色錄像 瀏覽:167
諾基亞c5裝上卡無網路信號 瀏覽:230
代辦網路公司注冊大約需要多少錢 瀏覽:861
網路密碼知道密碼但是登不上去 瀏覽:328
今天教大家如何成為網路女神 瀏覽:920
派出所網路設置 瀏覽:191
網路安全組織教育視頻 瀏覽:991