前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全終端管理主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:機(jī)密 數(shù)據(jù) 威脅 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理
一、概述
隨著網(wǎng)絡(luò)在企業(yè)生產(chǎn)經(jīng)營(yíng)中應(yīng)用越來(lái)越廣、越來(lái)越深,企業(yè)網(wǎng)絡(luò)安全的問(wèn)題也日益凸顯。來(lái)自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無(wú)時(shí)不刻都在威脅著企業(yè)網(wǎng)絡(luò)的安全,也成了每一位網(wǎng)絡(luò)管理人員都需要面臨的考驗(yàn)。如何建立一個(gè)完整的企業(yè)網(wǎng)絡(luò)安全解決方案,減少因網(wǎng)絡(luò)攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)的丟失和外泄引發(fā)的損失,本文將進(jìn)行一個(gè)淺顯的探討。
二、網(wǎng)絡(luò)安全的基礎(chǔ)——網(wǎng)絡(luò)設(shè)計(jì)
網(wǎng)絡(luò)的設(shè)計(jì)與建設(shè),是構(gòu)建一個(gè)安全網(wǎng)絡(luò)的基礎(chǔ)。合理的網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)將為未來(lái)網(wǎng)絡(luò)安全的設(shè)計(jì)與構(gòu)建節(jié)省一大部分開(kāi)銷,這些開(kāi)銷包括了設(shè)計(jì)、成本和系統(tǒng)的效率等。因此,在構(gòu)建一個(gè)網(wǎng)絡(luò)的初期,就必須將網(wǎng)絡(luò)系統(tǒng)的安全作為設(shè)計(jì)的基本要素,考慮到整個(gè)系統(tǒng)中。一個(gè)大型的企業(yè),如在地域上分部較為集中,其內(nèi)網(wǎng)為了增大運(yùn)行保險(xiǎn)系數(shù),一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡(luò)構(gòu)架。這種網(wǎng)絡(luò)在一路主用線纜引故障停止時(shí)會(huì)自動(dòng)切換到備用環(huán)上,當(dāng)然,根據(jù)具體的系統(tǒng)配置的不同,雙環(huán)網(wǎng)正常工作時(shí)又會(huì)被分為雙路負(fù)載分擔(dān)型和雙路數(shù)據(jù)同步型等類型,在這里就不詳細(xì)介紹了。一個(gè)企業(yè)如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡(luò)的情況下,最好采用以樹(shù)形或星型網(wǎng)絡(luò)結(jié)構(gòu)為主的復(fù)合型網(wǎng)絡(luò)設(shè)計(jì)。這種設(shè)計(jì)使得各網(wǎng)絡(luò)層次的訪問(wèn)控制權(quán)限一目了然,便于內(nèi)部網(wǎng)絡(luò)的控制。
一個(gè)大型企業(yè)的網(wǎng)絡(luò)在內(nèi)部又會(huì)被分為許多特定的區(qū)域——普通的辦公區(qū),財(cái)務(wù)銷售的核心業(yè)務(wù)區(qū),應(yīng)用服務(wù)器工作區(qū),網(wǎng)絡(luò)管理維護(hù)區(qū),多方網(wǎng)絡(luò)互聯(lián)區(qū)域,VPN連接區(qū)等多個(gè)功能區(qū)域。其中普通的辦公區(qū)有時(shí)是與財(cái)務(wù)銷售類的業(yè)務(wù)區(qū)合并在一起的,但是,如果公司還涉及特殊業(yè)務(wù)的時(shí)候應(yīng)當(dāng)將這兩個(gè)區(qū)域分開(kāi),甚至為其單獨(dú)建立一套網(wǎng)絡(luò)系統(tǒng)以增強(qiáng)其安全保密性。應(yīng)用服務(wù)器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務(wù),因此在安全上其級(jí)別應(yīng)當(dāng)是最高的。一般對(duì)這一區(qū)域進(jìn)行安全設(shè)置時(shí)最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡(luò)用戶或?qū)Π踩蟊容^高的用戶可以在不同的網(wǎng)絡(luò)之間配置防火墻,使其對(duì)網(wǎng)絡(luò)的訪問(wèn)進(jìn)行更好的控制或者將不同的網(wǎng)絡(luò)直接進(jìn)行物理隔離,以完全絕斷不同網(wǎng)絡(luò)之間的互訪。在網(wǎng)絡(luò)中中有許多服務(wù)器,比如病毒服務(wù)器、郵件服務(wù)器等,有同時(shí)被內(nèi)網(wǎng)及外網(wǎng)訪問(wèn)的需求,應(yīng)當(dāng)為這些有外網(wǎng)需求的服務(wù)器考慮設(shè)置DMZ區(qū)域。DMZ區(qū)域的安全級(jí)別較普通用戶區(qū)高,即便得到訪問(wèn)授權(quán)的用戶,其對(duì)DMZ區(qū)域的訪問(wèn)也是有限制的,只有管理人員才可以對(duì)這一區(qū)域的服務(wù)器進(jìn)行完全的訪問(wèn)與控制。
三、終端的安全防護(hù)
病毒、木馬無(wú)論通過(guò)何種途徑傳播,其最終都是感染終端為目的的,無(wú)論這個(gè)終端是指的服務(wù)器還是普通用戶的終端,因此,對(duì)各類終端的安全防護(hù)可以說(shuō)是網(wǎng)絡(luò)安全構(gòu)建的關(guān)鍵。對(duì)終端的安全防護(hù)可以分為兩套系統(tǒng);一種為硬件的防火墻類,一般由管理人員進(jìn)行專業(yè)操作處理的防護(hù)系統(tǒng),包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務(wù)器)終端防護(hù)系統(tǒng);另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個(gè)用戶終端由用戶或管理人員進(jìn)行操作管理的防護(hù)系統(tǒng)?,F(xiàn)在多數(shù)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)多由這兩種類型的防護(hù)系統(tǒng)復(fù)合而成。這種復(fù)合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計(jì)算機(jī)水平及殺毒軟件服務(wù)提供商的反應(yīng)能力和軟件更新能力,總之,這種方式是比較偏重于“被動(dòng)防守”的一種防護(hù)措施。
現(xiàn)在有廠商提供了一種協(xié)調(diào)系統(tǒng),使用這種系統(tǒng)能讓以上所述的復(fù)合安全系統(tǒng)能夠在網(wǎng)絡(luò)管理員的干涉下實(shí)現(xiàn)主動(dòng)的管理。這套系統(tǒng)一般在用戶終端安裝一個(gè)客戶端,開(kāi)機(jī)時(shí),客戶端自動(dòng)判定本終端的安全狀態(tài)并與安全服務(wù)器取得聯(lián)系,當(dāng)終端被判定正常時(shí),終端可進(jìn)行正常權(quán)限的網(wǎng)絡(luò)訪問(wèn);當(dāng)終端被判定為非正常(威脅)時(shí),此終端可根據(jù)預(yù)先堤定的安全策略,斷絕與普通局域網(wǎng)的連接,只能與特定的服務(wù)器如病毒服務(wù)器等進(jìn)行連接以解決問(wèn)題。網(wǎng)絡(luò)管理員可以通過(guò)這套系統(tǒng)實(shí)時(shí)監(jiān)查每個(gè)終端的進(jìn)程與數(shù)據(jù)狀態(tài),并通過(guò)管理終端對(duì)客戶端進(jìn)行控制,以解決安全威脅。此類系統(tǒng)的應(yīng)用將所有用戶的終端都納入了系統(tǒng)管理員的控制下,以系統(tǒng)管理員專業(yè)化的技術(shù)知識(shí)實(shí)現(xiàn)對(duì)整個(gè)系統(tǒng)的監(jiān)管與維護(hù),能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡(luò)效率。
四、終端用戶的規(guī)范
網(wǎng)絡(luò)的安全除了在設(shè)計(jì)、硬件、技術(shù)管理上提高水平外,對(duì)網(wǎng)絡(luò)用戶進(jìn)行必要的指導(dǎo)是十分重要的。普通的網(wǎng)絡(luò)用戶由于其計(jì)算機(jī)專業(yè)知識(shí)水平的不同,不可能要求其對(duì)終端進(jìn)行專業(yè)的處理,告誡其正確的上網(wǎng)方式,減少各種網(wǎng)絡(luò)(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對(duì)于某些安全防護(hù)類軟件(控件、插件)也應(yīng)當(dāng)控制使用,原因很簡(jiǎn)單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網(wǎng)絡(luò)軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網(wǎng)絡(luò))軟件,也能在很大程度上避免網(wǎng)絡(luò)威脅。
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護(hù);接入控制;防火墻;訪問(wèn)權(quán)限
隨著計(jì)算機(jī)技術(shù)的發(fā)展和Internet的廣泛應(yīng)用,越來(lái)越多的企業(yè)都實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的電子化和網(wǎng)絡(luò)化,計(jì)算機(jī)網(wǎng)絡(luò)安全已成為企業(yè)信息安全的重要組成部分。但計(jì)算機(jī)網(wǎng)絡(luò)也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對(duì)企業(yè)的信息系統(tǒng)安全造成損害。
因此,如何提高計(jì)算機(jī)網(wǎng)絡(luò)的防御能力,增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性,已成為企業(yè)網(wǎng)絡(luò)建設(shè)時(shí)必須考慮的問(wèn)題。下面介紹一些網(wǎng)絡(luò)安全建設(shè)方面的策略,希望能為企業(yè)網(wǎng)絡(luò)建設(shè)提供一些參考。
一、 做好網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計(jì)
網(wǎng)絡(luò)結(jié)構(gòu)安全的核心是網(wǎng)絡(luò)隔離,即將整個(gè)網(wǎng)絡(luò)按照系統(tǒng)功能、信息安全等級(jí)、工作地點(diǎn)等原則劃分為相對(duì)獨(dú)立的子網(wǎng)絡(luò),使得當(dāng)某個(gè)子網(wǎng)絡(luò)內(nèi)發(fā)生安全故障時(shí),有害信息不能或不易擴(kuò)散到別的子網(wǎng)絡(luò)中。
各個(gè)子網(wǎng)絡(luò)之間應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備,實(shí)現(xiàn)信息系統(tǒng)隔離和訪問(wèn)控制。同時(shí),充分利用IP地址、VLAN、訪問(wèn)控制列表等工具,實(shí)現(xiàn)子網(wǎng)絡(luò)之間的邏輯隔離。
二、 網(wǎng)絡(luò)設(shè)備的安全防護(hù)
網(wǎng)絡(luò)設(shè)備的安全防護(hù)是指同設(shè)備交互時(shí)的安全防護(hù),一般用于設(shè)備的配置和管理。同設(shè)備的交互有以下幾種方式:
* 通過(guò)設(shè)備Console 口訪問(wèn)。
* 異步輔助端口的本地/遠(yuǎn)程撥號(hào)訪問(wèn)
* TELNET訪問(wèn)
* SNMP訪問(wèn)
* HTTP訪問(wèn)
針對(duì)這幾種交互方式,采取的安全策略如下:
(1) 用戶登錄驗(yàn)證
必須要求設(shè)備配置身份驗(yàn)證,如果設(shè)備未配,將拒絕接受用戶登錄,可以通過(guò)本地用戶驗(yàn)證或RADIUS驗(yàn)證實(shí)現(xiàn)。
(2) 控制臺(tái)超時(shí)注銷
控制臺(tái)訪問(wèn)用戶超過(guò)一段時(shí)間對(duì)設(shè)備沒(méi)有交互操作,設(shè)備將自動(dòng)注銷本次控制臺(tái)配置任務(wù),并切斷連接。超時(shí)時(shí)間必須可配置,缺省為10分鐘。
(3) 控制臺(tái)終端鎖定
配置用戶離開(kāi)配置現(xiàn)場(chǎng),設(shè)備提供暫時(shí)鎖定終端的能力,并設(shè)置解鎖口令。
(4) 限制telnet用戶數(shù)目
設(shè)備對(duì)telnet用戶數(shù)量必需做出上限控制。
三、 部署用戶安全接入控制系統(tǒng)
用戶安全接入控制是指企業(yè)員工在使用終端訪問(wèn)企業(yè)資源前,先要經(jīng)過(guò)身份認(rèn)證和終端安全檢查。用戶在確認(rèn)身份合法并通過(guò)安全檢查后,終端可以訪問(wèn)用戶授權(quán)的內(nèi)部資源,認(rèn)證不通過(guò)則被拒絕接入網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。
用戶接入控制可通過(guò)部署終端安全管理系統(tǒng)實(shí)現(xiàn)。終端安全管理系統(tǒng)是一個(gè)包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務(wù)程序,在用戶使用網(wǎng)絡(luò)前,必須啟動(dòng)程序,然后輸入身份信息進(jìn)行登錄。由安全管控服務(wù)器對(duì)終端用戶進(jìn)行身份認(rèn)證和安全檢查。通過(guò)之后服務(wù)器把檢查結(jié)果通知安全接入網(wǎng)關(guān),安全接入網(wǎng)關(guān)根據(jù)用戶的角色,開(kāi)放終端用戶的訪問(wèn)權(quán)限,有效的制止用戶的非法訪問(wèn)和越權(quán)訪問(wèn)。
四、 網(wǎng)絡(luò)數(shù)據(jù)流控制
網(wǎng)絡(luò)數(shù)據(jù)流控制通過(guò)數(shù)據(jù)包過(guò)濾來(lái)實(shí)現(xiàn)。通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾,可以限制網(wǎng)絡(luò)通信量,限制網(wǎng)絡(luò)訪問(wèn)到特定的用戶和設(shè)備。
訪問(wèn)列表可用來(lái)控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。在端口上設(shè)定數(shù)據(jù)流過(guò)濾,防止企業(yè)內(nèi)部的IP地址欺騙。嚴(yán)格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備,原則上只允許本系統(tǒng)應(yīng)用需要的應(yīng)用數(shù)據(jù)流才能通過(guò)網(wǎng)絡(luò)設(shè)備。
五、 部署網(wǎng)絡(luò)防病毒軟件
網(wǎng)絡(luò)病毒的入口點(diǎn)是非常多的。在一個(gè)具有多個(gè)網(wǎng)絡(luò)入口的連接點(diǎn)的企業(yè)網(wǎng)絡(luò)環(huán)境中,病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質(zhì)進(jìn)入,也可能由企業(yè)信息網(wǎng)等進(jìn)入,還有可能從外部網(wǎng)絡(luò)中通過(guò)文件傳輸?shù)确绞竭M(jìn)入。所以不僅要注重單機(jī)的防毒,更要重要網(wǎng)絡(luò)的整體防毒措施。
任何一點(diǎn)沒(méi)有部署防病毒系統(tǒng),對(duì)整個(gè)網(wǎng)絡(luò)都是一個(gè)安全的威脅。網(wǎng)絡(luò)中應(yīng)部署一套網(wǎng)絡(luò)防病毒系統(tǒng),在所有重要服務(wù)器、操作終端安裝殺毒軟件。通過(guò)網(wǎng)絡(luò)殺毒服務(wù)器及時(shí)更新病毒庫(kù)及殺毒引擎,保證內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。
六、 內(nèi)部網(wǎng)絡(luò)使用安全
* 內(nèi)部系統(tǒng)中資源共享
嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開(kāi)放共享目錄,否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信息需求的用戶,在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制,即只有通過(guò)口令的認(rèn)證才允許訪問(wèn)數(shù)據(jù)。雖然說(shuō)用戶名加口令的機(jī)制不是很安全,但對(duì)一般用戶而言,還是起到一定的安全防護(hù),即使有刻意破解者,只要口令設(shè)得復(fù)雜些,也得花費(fèi)相當(dāng)長(zhǎng)的時(shí)間。
* 信息存儲(chǔ)
對(duì)有涉及企業(yè)秘密信息的用戶主機(jī),使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開(kāi)放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份,包括本地備份和遠(yuǎn)程備份存儲(chǔ)。
* 構(gòu)建安全管理平臺(tái)
構(gòu)建安全管理平臺(tái)將會(huì)降低很多因?yàn)闊o(wú)意的人為因素而造成的風(fēng)險(xiǎn)。構(gòu)建安全管理平臺(tái)從技術(shù)上如:組成安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件。通過(guò)安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的安全管理。
總之,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程,要用系統(tǒng)的思想來(lái)建設(shè)全方位的、多層次的、立體的安全防護(hù)體系。這是一項(xiàng)長(zhǎng)期而艱巨的任務(wù),需要不斷的探索。網(wǎng)絡(luò)安全建設(shè)不能僅僅依靠于技術(shù)手段,而應(yīng)建立包括安全規(guī)范、規(guī)章制度、人員培訓(xùn)等全面的管理體系,提高全體員工的安全防范意識(shí),保護(hù)好每臺(tái)接入網(wǎng)絡(luò)中的設(shè)備,才能實(shí)現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
準(zhǔn)入控制策略準(zhǔn)入控制策略的主要目的是將安全問(wèn)題防患于未然,而不是等到有了安全問(wèn)題才開(kāi)始處理。準(zhǔn)入控制策略的原理是終端用戶在入網(wǎng)之前要接受系統(tǒng)安全方面的檢查,如果發(fā)現(xiàn)系統(tǒng)有安全問(wèn)題,則不允許入網(wǎng),并提示問(wèn)題所在。為保證安全入網(wǎng),凡可統(tǒng)一管理的終端機(jī)(如公共機(jī)房、電子閱覽室、多媒體教室、辦公室等)均做統(tǒng)一安全處理。如安裝殺病毒軟件,及時(shí)更新系統(tǒng)補(bǔ)丁,做好各項(xiàng)數(shù)據(jù)備份,自建批處理文件、綁定正確網(wǎng)關(guān)等。防火墻與IDS聯(lián)動(dòng)策略防火墻側(cè)重于控制,IDS側(cè)重于主動(dòng)發(fā)現(xiàn)入侵的信號(hào)。而且,它們本身所具有的強(qiáng)大功能并沒(méi)有得到充分發(fā)揮。例如,IDS檢測(cè)到一種攻擊行為,不能及時(shí)有效地阻斷或過(guò)濾;沒(méi)有IDS,一些攻擊行為會(huì)利用防火墻合法的通道進(jìn)入網(wǎng)絡(luò)。因此,防火墻和IDS之間十分適合建立緊密的聯(lián)動(dòng)關(guān)系,已將兩者的能力充分發(fā)揮出來(lái),相互彌補(bǔ)不足,相互提供保護(hù)。訪問(wèn)控制列表策略對(duì)交換機(jī)的訪問(wèn)控制列表進(jìn)行合理設(shè)置可以制定各種有效的安全策略。一般病毒主要集中在幾個(gè)端口,可以通過(guò)訪問(wèn)控制列表將這幾個(gè)端口封鎖。校園網(wǎng)內(nèi)P2P下載,嚴(yán)重影響網(wǎng)絡(luò)速度,而迅雷、電騾等工具的使用都是基于TCP協(xié)議的。通過(guò)防火墻無(wú)法阻止,也可以通過(guò)封鎖這類工具的端口達(dá)到阻止BT下載的目的。身份認(rèn)證策略為使所有終端用戶對(duì)網(wǎng)絡(luò)安全引起重視,也為了在網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題后,能迅速定位問(wèn)題用戶,所有入網(wǎng)用戶要經(jīng)過(guò)身份驗(yàn)證,采取實(shí)名制。
防止入網(wǎng)賬號(hào)被盜,禁止弱密碼的設(shè)置,控制密碼輸入次數(shù),必要情況下,還要采用雙重認(rèn)證體系。對(duì)重要服務(wù)器維護(hù)的管理員,要經(jīng)常更換服務(wù)器密碼,對(duì)服務(wù)器進(jìn)行多重密碼設(shè)置,密碼保管責(zé)任到人。途徑傳播。網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)是指通過(guò)對(duì)網(wǎng)絡(luò)各類信息進(jìn)行匯集、分類、整合、篩選等技術(shù)處理,再形成對(duì)網(wǎng)絡(luò)動(dòng)態(tài)、熱點(diǎn)、網(wǎng)民意見(jiàn)等實(shí)時(shí)統(tǒng)計(jì)報(bào)表的軟件工具。利用輿情監(jiān)控系統(tǒng),合理設(shè)置后,可以有效地對(duì)違法違規(guī)的言論、行為進(jìn)行管制。分級(jí)管理模式校園網(wǎng)絡(luò)的安全管理僅憑網(wǎng)絡(luò)信息中心的成員肯定是不行的。四川民族學(xué)院各系部公共機(jī)房,電子閱覽室,多媒體教室等都配有管理人員。在不增加人員投入的情況下,完全可以由各分部管理員與網(wǎng)絡(luò)中心的安全管理員組成分級(jí)安全管理小組。分部管理員在發(fā)現(xiàn)安全問(wèn)題后,將問(wèn)題和處理方法報(bào)告給網(wǎng)絡(luò)中心的安全管理員。若分部管理員不能處理該安全問(wèn)題,由網(wǎng)絡(luò)中心的安全管理員組織分部成員共同分析研究。成立網(wǎng)絡(luò)服務(wù)小組根據(jù)目前四川民族學(xué)院規(guī)模,可以在A、B校區(qū)各成立一個(gè)網(wǎng)絡(luò)服務(wù)小組,主要負(fù)責(zé)終端用戶的網(wǎng)絡(luò)服務(wù)和輿情監(jiān)控,小組成員在學(xué)生中選拔。網(wǎng)絡(luò)信息中心不定期對(duì)小組成員進(jìn)行培訓(xùn),小組成員可以對(duì)準(zhǔn)入控制系統(tǒng)提示系統(tǒng)安全有問(wèn)題的終端用戶給予幫助。小組成員介入校內(nèi)BBS和校外社區(qū),做好網(wǎng)上輿情跟蹤,及時(shí)對(duì)網(wǎng)絡(luò)上相關(guān)輿論進(jìn)行引導(dǎo)。舉辦“網(wǎng)絡(luò)文明”講座通過(guò)舉辦“網(wǎng)絡(luò)文明”講座,提高終端用戶對(duì)網(wǎng)絡(luò)安全的基本知識(shí)的了解。加強(qiáng)用戶對(duì)網(wǎng)絡(luò)安全法律法規(guī)的認(rèn)識(shí),培養(yǎng)終端用戶內(nèi)在的、自覺(jué)的網(wǎng)絡(luò)道德情感、道德責(zé)任和自律能力,幫助用戶在主觀思想上建起一道防線,抵制虛假、黃色、消極內(nèi)容,使他們自覺(jué)維護(hù)網(wǎng)絡(luò)安全。病毒應(yīng)對(duì)信息網(wǎng)絡(luò)中心應(yīng)及時(shí)在校園網(wǎng)上病毒襲擊及應(yīng)對(duì)信息。目前,四川民族學(xué)院已經(jīng)開(kāi)展了這項(xiàng)工作,不足之處在于對(duì)校園網(wǎng)的病毒襲擊情況了解不夠全面,處理病毒的方法很多終端用戶即使通過(guò)閱讀的信息也無(wú)法自行處理。解決這兩個(gè)不足,要結(jié)合管理層面應(yīng)對(duì)策略1和2。通過(guò)策略1的分級(jí)管理模式收集網(wǎng)絡(luò)安全信息,分析安全處理方法;通過(guò)策略2的網(wǎng)絡(luò)服務(wù)小組幫助不能自行處理的終端用戶處理。
根據(jù)藏區(qū)工作會(huì)議精神,國(guó)家要加大藏區(qū)高校的投入,包括四川民族學(xué)院在內(nèi)的藏區(qū)高校網(wǎng)絡(luò)將迅速發(fā)展。隨著校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、用戶網(wǎng)絡(luò)安全素質(zhì)、校園網(wǎng)安全需求等多方面的發(fā)展變化,校園網(wǎng)安全管理需要及時(shí)調(diào)整安全策略。校園網(wǎng)絡(luò)安全管理人員也應(yīng)不斷地進(jìn)行探索和學(xué)習(xí),與兄弟院校及企業(yè)進(jìn)行交流和合作,不斷完善管理手段,從而為師生建立一個(gè)安全、方便、健康的網(wǎng)絡(luò)環(huán)境。
作者:蔡勇智 莫泓銘 單位:四川民族學(xué)院
【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;保密方案;虛擬計(jì)算技術(shù);安全控制技術(shù)
1 引言
隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)安全問(wèn)題成為了當(dāng)下人們所關(guān)注的重點(diǎn)。在網(wǎng)絡(luò)應(yīng)用中,由于軟件及硬件存在一定的漏洞,被不法分子利用造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞,因此,為計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全保密勢(shì)在必行。本文所提出的基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案,在特定環(huán)境下都能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)提供一定的保密措施,但是由于兩種方案自身也存在一定的漏洞,所以在不同環(huán)境下選擇不同的解決方案,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全保密具有非常重要的現(xiàn)實(shí)作用。
2 計(jì)算機(jī)網(wǎng)絡(luò)泄密風(fēng)險(xiǎn)
目前計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用中可能存在的泄密渠道主要包括互聯(lián)網(wǎng)、局域網(wǎng)、無(wú)線設(shè)備、移動(dòng)存儲(chǔ)設(shè)備、打印傳真設(shè)備等。其泄密方式如圖1所示。
在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用過(guò)程中,存在的泄密行為與泄密風(fēng)險(xiǎn)如表1所示。
3 基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案
隨著大數(shù)據(jù)、云計(jì)算的興起,傳統(tǒng)的計(jì)算機(jī)安全保密方式從多終端向集中存儲(chǔ)安全管理方式轉(zhuǎn)變,利用云計(jì)算將客戶端的數(shù)據(jù)集中管理,解決的不同終端安全管理難的問(wèn)題,同時(shí)又降低了客戶端的數(shù)據(jù)存儲(chǔ)壓力,實(shí)現(xiàn)資源高效利用、統(tǒng)一管理,為計(jì)算機(jī)網(wǎng)絡(luò)安全管理提供了便利。
基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖2所示。
云計(jì)算技術(shù)為用戶構(gòu)建了虛擬桌面,提供遠(yuǎn)程數(shù)據(jù)訪問(wèn)和軟件應(yīng)用。在服務(wù)器端,不僅能夠?yàn)橛脩籼峁?shù)據(jù)的存儲(chǔ)服務(wù)和應(yīng)用軟件的使用,同時(shí)云端服務(wù)器還對(duì)所有用戶的操作進(jìn)行監(jiān)控,對(duì)資源的利用進(jìn)行管理,并將用戶權(quán)限等級(jí)進(jìn)行設(shè)定,根據(jù)用戶使用權(quán)限為其提供相應(yīng)的服務(wù)器資源利用。
基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)現(xiàn)了數(shù)據(jù)的集中統(tǒng)一管理,采用統(tǒng)一安裝應(yīng)用軟件、統(tǒng)一建立防火墻和殺毒軟件,并及時(shí)對(duì)軟硬件進(jìn)行升級(jí),可降低用戶端設(shè)備泄密的幾率。在云端服務(wù)器中儲(chǔ)存的數(shù)據(jù)可根據(jù)重要等級(jí)進(jìn)行管理,對(duì)級(jí)別高的數(shù)據(jù)可實(shí)行定期備份,有效的防止了數(shù)據(jù)的丟失,提高了數(shù)據(jù)資源利用的可靠性。
4 基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案
基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案是利用安全控制技術(shù)對(duì)技術(shù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全保護(hù),其中包括對(duì)設(shè)備的通信接口、用戶認(rèn)證等。基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案實(shí)施流程如圖3所示。
可信終端設(shè)備和安全控制系統(tǒng)可經(jīng)由交換機(jī)訪問(wèn)服務(wù)器,在交換機(jī)中安裝內(nèi)容審計(jì)系統(tǒng),該系統(tǒng)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè),監(jiān)測(cè)用戶網(wǎng)絡(luò)應(yīng)用的行為。用戶通過(guò)監(jiān)測(cè)審查后可訪問(wèn)具有安全控制系統(tǒng)的服務(wù)器,該服務(wù)器屬于初級(jí)服務(wù)器,可為用戶提供并不私密的數(shù)據(jù)。如果用戶想訪問(wèn)受保護(hù)的服務(wù)器,則需要通過(guò)安全控制系統(tǒng)安全網(wǎng)關(guān),在該網(wǎng)關(guān)中安裝入侵檢測(cè)系統(tǒng),其可以對(duì)加密級(jí)數(shù)據(jù)提供入侵檢測(cè)功能,實(shí)現(xiàn)對(duì)核心加密數(shù)據(jù)的安全保護(hù)。用戶通過(guò)層層檢測(cè)后,可經(jīng)過(guò)交換機(jī)訪問(wèn)到受保護(hù)服務(wù)器中的重要數(shù)據(jù)。
基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案在用戶與服務(wù)器之間進(jìn)行通信時(shí)需要提供用戶身份認(rèn)證,獲得通信端口加密口令后,可登陸服務(wù)器調(diào)用服務(wù)器數(shù)據(jù)資源,也可以通過(guò)USB令牌或者口令卡進(jìn)行通信加密,確保用戶身份與服務(wù)器登記身份相吻合,這種方案常用于網(wǎng)上銀行用戶身份安全認(rèn)證。
5 兩種計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案比較分析
對(duì)基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行比較,建立對(duì)比如表2所示。
基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案適用于用戶集中區(qū)域的管理,譬如大廈辦公樓、政府機(jī)關(guān)、企事業(yè)單位等?;谠朴?jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案具有降低終端設(shè)備維護(hù)壓力和運(yùn)行壓力、集中網(wǎng)絡(luò)安全保密,防止由終端泄密的問(wèn)題。隨著大數(shù)據(jù)集中管理和云計(jì)算技術(shù)的日益成熟,基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案將具有更加廣闊的發(fā)展空間。但是,在進(jìn)行高性能計(jì)算時(shí),對(duì)于服務(wù)器產(chǎn)生的壓力巨大,所以其不適用于專業(yè)性計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)用,同時(shí)由于小規(guī)模計(jì)算機(jī)網(wǎng)絡(luò)建立云計(jì)算成本較大,因此,云計(jì)算技術(shù)適用于規(guī)模較大的用戶群體,具有廣泛應(yīng)用性,而不具備尖端應(yīng)用性。
基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案對(duì)計(jì)算機(jī)的配置要求較高,通常應(yīng)用與科學(xué)研發(fā)、課題攻堅(jiān)、指揮控制等方面,其可滿足較高性能的計(jì)算,更加適用于安全要求級(jí)別高的網(wǎng)絡(luò)應(yīng)用。
6 結(jié)束語(yǔ)
本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案進(jìn)行分析,提出基于云計(jì)算技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密和基于安全控制技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全保密兩種解決方案,并對(duì)兩種解決方案的架構(gòu)和工作方式進(jìn)行研究,分析兩種解決方案的執(zhí)行原理,對(duì)二者進(jìn)行了比較分析,提出在不同環(huán)境下可選擇不同的計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案,做到有的放矢,更好的發(fā)揮出彼此的優(yōu)勢(shì),對(duì)完善計(jì)算機(jī)網(wǎng)絡(luò)安全具一定的借鑒意義。
參考文獻(xiàn)
[1] 魯林鑫.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)措施和對(duì)策研究[J].科技創(chuàng)新導(dǎo)報(bào),2010(04).
[2] 克依蘭?吐?tīng)栠d別克.計(jì)算機(jī)網(wǎng)絡(luò)安全分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(01).
[3] 宋國(guó)云,趙威,董平,張?jiān)?有效改善計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范措施[J].電腦知識(shí)與技術(shù),2014(01).
[4] 黨政,楊同慶.信息系統(tǒng)安全技術(shù)探究[J].技術(shù)與創(chuàng)新管理,2014(03).
[5] 俞迪.基于計(jì)算機(jī)網(wǎng)絡(luò)安全保密解決方案的分析[J].中國(guó)新通信,2014(02).
【關(guān)鍵詞】大數(shù)據(jù) 虛擬化 網(wǎng)絡(luò)安全架構(gòu) 機(jī)制
1 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
1.1 大數(shù)據(jù)及其特點(diǎn)
大數(shù)據(jù)(Big Data)最早由美國(guó)提出,并逐漸運(yùn)用于世界各地的學(xué)術(shù)既商業(yè)活動(dòng)之中,具體指相對(duì)于計(jì)算機(jī)的處理能力而言該類數(shù)據(jù)的“海量”與“大”,即在任意有限的時(shí)間內(nèi)不能使用任意的IT或軟硬件技術(shù)工具進(jìn)行操作和運(yùn)用的數(shù)據(jù)集合??茖W(xué)家John Rauser曾用一句更為簡(jiǎn)單的話解釋了大數(shù)據(jù),即他認(rèn)為大數(shù)據(jù)的數(shù)據(jù)處理量之大已經(jīng)超過(guò)了任意一臺(tái)計(jì)算機(jī)的處理能力。
大數(shù)據(jù)具有結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大、類型眾多、集成共享與交叉復(fù)用的特點(diǎn),對(duì)應(yīng)于大數(shù)據(jù)的處理,計(jì)算機(jī)科學(xué)界產(chǎn)生了與之對(duì)應(yīng)的云計(jì)算技術(shù)方法基于云計(jì)算技術(shù)的應(yīng)用漸趨成熟,大數(shù)據(jù)在行業(yè)內(nèi)被提出具備4V特征,即稻萑萘看籩擲嘍啵Volume)、數(shù)據(jù)類型多(Variety)、商業(yè)價(jià)值高(Value)、處理速度快(Velocity),大數(shù)據(jù)及其特征可以更好的用圖1表示。
1.2 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全現(xiàn)狀
網(wǎng)絡(luò)安全是國(guó)家安全的一個(gè)重要組成部分,根據(jù)我國(guó)互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT/CC 其2016年度《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》中提供的數(shù)據(jù),截止到15年年底中國(guó)網(wǎng)站總量已達(dá)到426.7萬(wàn)余個(gè),同比年度凈增長(zhǎng)2萬(wàn)余個(gè),此外在其的《CNCERT互聯(lián)網(wǎng)完全威脅報(bào)告》中,僅2017年2月,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近118萬(wàn)個(gè),被篡改網(wǎng)站數(shù)量為4493個(gè),其中政府網(wǎng)站有109個(gè)。可見(jiàn)大數(shù)據(jù)時(shí)代,我國(guó)目前網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻,主要問(wèn)題表現(xiàn)在:
(1)公民個(gè)人安全意識(shí)不強(qiáng),個(gè)人信息泄露嚴(yán)重,從國(guó)內(nèi)感染木馬網(wǎng)絡(luò)病毒的網(wǎng)站數(shù)來(lái)看,用戶對(duì)于網(wǎng)絡(luò)安全的意識(shí)低下的現(xiàn)狀;
(2)國(guó)內(nèi)網(wǎng)絡(luò)安全保護(hù)與威脅漏洞防范措施滯后,國(guó)內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的基本措施基本都處于形式的靜態(tài)防護(hù)狀態(tài),真正對(duì)新木馬、新病毒的發(fā)現(xiàn)和攻克技術(shù)未及時(shí)跟上病毒與木馬產(chǎn)生的速度,防范能力低下,感染與反復(fù)感染情況嚴(yán)重。
(3)網(wǎng)絡(luò)攻擊等行業(yè)逐步壯大與興起,大數(shù)據(jù)時(shí)代,數(shù)據(jù)的商業(yè)價(jià)值被進(jìn)一步挖掘,強(qiáng)大的利益誘惑下,國(guó)內(nèi)不少網(wǎng)絡(luò)攻擊企業(yè)逐漸形成甚至形成不正規(guī)產(chǎn)業(yè)鏈,該行業(yè)的發(fā)展趨勢(shì)有待及時(shí)的制止與修正。
2 虛擬化網(wǎng)絡(luò)安全技術(shù)概述
2.1 病毒防護(hù)技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過(guò)漏洞掃描來(lái)自動(dòng)檢測(cè)。漏洞掃描可以“防患于未然”,在問(wèn)題還未發(fā)生,或者在侵犯還未形成時(shí),就將其隱藏的安全問(wèn)題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測(cè)解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來(lái)保護(hù)網(wǎng)絡(luò)免于來(lái)自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.2 入侵檢測(cè)技術(shù)
通過(guò)加強(qiáng)對(duì)網(wǎng)絡(luò)間訪問(wèn)的控制來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來(lái)說(shuō),就是我們所說(shuō)的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過(guò)濾型、型、監(jiān)測(cè)型,其安全性也是遞增的。最開(kāi)始的包過(guò)濾型防火墻,它是通過(guò)分析數(shù)據(jù)來(lái)源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。
2.3 漏洞掃描技術(shù)
遠(yuǎn)程或者本地主機(jī)上存在的安全漏洞可以通過(guò)漏洞掃描來(lái)自動(dòng)檢測(cè)。漏洞掃描可以“防患于未然”,在問(wèn)題還未發(fā)生,或者在侵犯還未形成時(shí),就將其隱藏的安全問(wèn)題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測(cè)解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,我們稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來(lái)保護(hù)網(wǎng)絡(luò)免于來(lái)自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。
2.4 防火墻技術(shù)
通過(guò)加強(qiáng)對(duì)網(wǎng)絡(luò)間訪問(wèn)的控制來(lái)保護(hù)網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來(lái)說(shuō),就是我們所說(shuō)的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進(jìn)入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過(guò)濾型、型、監(jiān)測(cè)型,其安全性也是遞增的。最開(kāi)始的包過(guò)濾型防火墻,它是通過(guò)分析數(shù)據(jù)來(lái)源是否是可靠地安全站點(diǎn),從而達(dá)到維護(hù)系統(tǒng)安全的要求。防火墻超出了最初對(duì)防火墻的定義是從監(jiān)測(cè)型防火墻的出現(xiàn)開(kāi)始的。其表現(xiàn)是,不僅能阻止外來(lái)侵?jǐn)_,更重要的是,它也能對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部的破壞起到防護(hù)的作用
3 大數(shù)據(jù)環(huán)境虛擬化網(wǎng)絡(luò)安全SDN架構(gòu)
網(wǎng)絡(luò)安全應(yīng)用虛擬化(Virtualized Security Appliance)是較為有效的解決網(wǎng)絡(luò)安全的常見(jiàn)方式,本節(jié)根據(jù)大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全特征及可用技術(shù),結(jié)合傳統(tǒng)軟件定義網(wǎng)絡(luò)SDN安全架構(gòu)方式,提出如下所示的基于安全應(yīng)用虛擬化的網(wǎng)絡(luò)安全SDN架構(gòu),即SDN-VSN。
該架構(gòu)首先在安全業(yè)務(wù)管理實(shí)踐的基礎(chǔ)上運(yùn)用SDN API進(jìn)行業(yè)務(wù)需求與計(jì)算機(jī)指令的靈活轉(zhuǎn)換,在SDN控制層能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化安全防護(hù),包括有安全協(xié)議的描述、安全網(wǎng)絡(luò)檢測(cè)、安全路由保證、網(wǎng)絡(luò)拓?fù)涔芾砑鞍踩Y源管理的基礎(chǔ)業(yè)務(wù)描述與控制;其次,在安全策略方面,該架構(gòu)采用二級(jí)分解方式,指定的物理資源進(jìn)行了映射配置和安全防控,并采用事件驅(qū)動(dòng)的啟動(dòng)模式,達(dá)到一種及時(shí)響應(yīng)、及時(shí)防護(hù)的安全防控效果;最后,在安全實(shí)施方面,上述架構(gòu)包含了字符段匹配、安全協(xié)議識(shí)別等通過(guò)標(biāo)準(zhǔn)Open Flow表示、識(shí)別與實(shí)施的安全運(yùn)作機(jī)制。
4 大數(shù)據(jù)環(huán)境下虛擬化網(wǎng)絡(luò)安全機(jī)制
4.1 邊界安全機(jī)制
網(wǎng)絡(luò)邊界安全機(jī)制指從網(wǎng)絡(luò)與外界之間互通引起的安全題進(jìn)行防護(hù)的一種防護(hù)機(jī)制,包括黑客入侵、網(wǎng)絡(luò)攻擊及木馬病毒攻擊的防護(hù),大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全,因此如何從數(shù)據(jù)挖掘的角度設(shè)計(jì)并分析已有病毒或木馬庫(kù)的特征,及時(shí)更新病毒庫(kù)進(jìn)行有效的邊界保護(hù),最大限度實(shí)現(xiàn)邊界隔離。
4.2 終端安全機(jī)制
網(wǎng)絡(luò)終端指網(wǎng)絡(luò)的最終使用者即網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)終端安全機(jī)制即是強(qiáng)調(diào)網(wǎng)絡(luò)安全防護(hù)過(guò)程中從網(wǎng)絡(luò)用戶端入手,運(yùn)用防火墻、防病毒、防木馬等技術(shù)對(duì)可能的網(wǎng)絡(luò)安全漏洞進(jìn)行措施性規(guī)避,新一代的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)終端數(shù)量劇增,在對(duì)于網(wǎng)絡(luò)終端防護(hù)的安全機(jī)制需要考慮終端之間的統(tǒng)一有效控制,即當(dāng)某一終端出現(xiàn)安全漏洞威脅時(shí),其他與之相近的終端能夠迅速接受信號(hào),并在統(tǒng)一受控的基礎(chǔ)上進(jìn)行迅速的防護(hù)技術(shù)部署,防止漏洞和威脅進(jìn)一步無(wú)限制的蔓延,終端防護(hù)的技術(shù)在大數(shù)據(jù)環(huán)境下需要過(guò)更多運(yùn)用云技術(shù),通過(guò)云端有效控制數(shù)以億增的網(wǎng)絡(luò)終端量及相應(yīng)的可能遭受的安全風(fēng)險(xiǎn)。
4.3 聯(lián)動(dòng)安全機(jī)制
聯(lián)動(dòng)安全機(jī)制是在保證邊界安全和終端安全的基礎(chǔ)上運(yùn)用云端技術(shù)及大數(shù)據(jù)預(yù)測(cè)技術(shù)及時(shí)的將終端與邊界聯(lián)動(dòng)起來(lái)的一種安全機(jī)制,即保證終端與邊界的安全統(tǒng)一。實(shí)際的操作中,網(wǎng)絡(luò)的邊界與終端無(wú)論哪一邊遭受到安全攻擊,通過(guò)數(shù)據(jù)分析及時(shí)更新數(shù)據(jù)并下發(fā)到另一端,以確保實(shí)現(xiàn)聯(lián)動(dòng)的防護(hù)機(jī)制。雙防御的及時(shí)防護(hù)就像一個(gè)新型高效網(wǎng)絡(luò)護(hù)盾,如當(dāng)某一終端遭受攻擊或漏洞被篡改,可以迅速的通知邊界設(shè)備進(jìn)行及時(shí)的物理或網(wǎng)絡(luò)隔離,并迅速進(jìn)行數(shù)據(jù)分析更新數(shù)據(jù)庫(kù)病毒庫(kù),防止同網(wǎng)絡(luò)種其他設(shè)備遭受到相同黑客病毒的攻擊。聯(lián)動(dòng)機(jī)制有效的提高了終端和邊界雙方面聯(lián)動(dòng)的防護(hù)效果,有效應(yīng)對(duì)未知攻擊并可以進(jìn)行及時(shí)的防護(hù)措施,并運(yùn)用大數(shù)據(jù)預(yù)測(cè)與分析技術(shù)可以預(yù)測(cè)可能受到的安全攻擊,進(jìn)行對(duì)應(yīng)的防護(hù)措施,從而將損害降到最低,實(shí)現(xiàn)網(wǎng)絡(luò)安全最大化的終極目標(biāo)。
參考文獻(xiàn)
[1]CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告.國(guó)家互聯(lián)網(wǎng)應(yīng)急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.
[2]孟治強(qiáng).基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)初探[J].商,2015(34):207-207.
[3]楊艷,張瑩.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全研究[J].自動(dòng)化與儀器儀表,2016(10):149-150.
[4]劉新,常英賢,田健偉.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全防護(hù)策略研究[J].探索科學(xué),2016(10).
[5]馬文靜.下一代無(wú)線網(wǎng)絡(luò)安全及切換機(jī)制研究[D].北京郵電大學(xué),2010.
[6]吳越,孫皓,張樹(shù)彬.下一代網(wǎng)絡(luò)中的無(wú)線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2007(05):12-14.
【關(guān)鍵詞】郵政網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 加密
1 郵政系統(tǒng)的基本原理
郵政綜合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)三級(jí)四層的全國(guó)性的網(wǎng)絡(luò)系統(tǒng),其中三級(jí)為省際網(wǎng)、省內(nèi)網(wǎng)和郵區(qū)網(wǎng),四層為國(guó)家郵政信息中心、省郵政信息中心、郵區(qū)郵政信息中心和基礎(chǔ)接入節(jié)點(diǎn)。
郵政綜合計(jì)算機(jī)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示,網(wǎng)絡(luò)互連方式包括郵政綜合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部三級(jí)四層之間的互連、郵政綜合計(jì)算機(jī)網(wǎng)二級(jí)機(jī)構(gòu)接入、郵政綜合計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)的互連。網(wǎng)絡(luò)上使用的通信協(xié)議為TCP/IP。
2 現(xiàn)有系統(tǒng)的基本原理
通過(guò)建立郵政行業(yè)內(nèi)通用的綜合安全保密管理技術(shù)架構(gòu)和管理中心平臺(tái),從而為郵政系統(tǒng)建立健全的安全組織、完善的安全管理機(jī)制和集成統(tǒng)一的安全策略提供必要的技術(shù)基礎(chǔ)。該管理中心平臺(tái)在結(jié)構(gòu)上和郵政系統(tǒng)現(xiàn)有管理體制和網(wǎng)絡(luò)結(jié)構(gòu)相適應(yīng),并在密碼設(shè)備管理、密碼服務(wù)調(diào)用接口、密鑰管理、安全日志管理等方面建立統(tǒng)一的標(biāo)準(zhǔn)和要求,此外,該平臺(tái)應(yīng)具有較強(qiáng)的開(kāi)放性,能容納未來(lái)的安全保密設(shè)備。
以目前比較成熟的PKI體系為基礎(chǔ),針對(duì)不同應(yīng)用模式構(gòu)建統(tǒng)一的安全服務(wù)平臺(tái),為郵政業(yè)務(wù)系統(tǒng)提供一個(gè)公共的安全服務(wù)平臺(tái),為郵政生產(chǎn)、業(yè)務(wù)、服務(wù)和管理應(yīng)用提供一系列標(biāo)準(zhǔn)的、切合郵政安全需求的安全服務(wù)接口,使得各個(gè)應(yīng)用系統(tǒng)的開(kāi)發(fā)在一個(gè)高安全性的服務(wù)環(huán)境下順利實(shí)施。
綜合運(yùn)用數(shù)據(jù)包封裝技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問(wèn)控制技術(shù),構(gòu)建建立能涵蓋郵政終端節(jié)點(diǎn)->城市中心->省中心->國(guó)家中心各部門(人員)的中國(guó)郵政虛擬專用網(wǎng)絡(luò)系統(tǒng)(VPN)。
3 現(xiàn)有系統(tǒng)的組成結(jié)構(gòu)
現(xiàn)有系統(tǒng)共包含五個(gè)組成部分:綜合安全管理中心、應(yīng)用安全服務(wù)平臺(tái)、低端網(wǎng)絡(luò)IP密碼服務(wù)包、網(wǎng)絡(luò)IP加密機(jī)和終端線路加密器。以下分別介紹各個(gè)部件的功能:
3.1 綜合安全管理中心
綜合安全管理中心實(shí)現(xiàn)對(duì)全網(wǎng)絡(luò)密碼設(shè)備的分級(jí)集中管理,包括對(duì)密碼設(shè)備所需數(shù)字證書(shū)的管理、密碼設(shè)備遠(yuǎn)程配置、密碼設(shè)備運(yùn)行狀態(tài)監(jiān)控及密碼設(shè)備安全審計(jì)日志的集中存放、動(dòng)態(tài)分析和報(bào)告生成等功能。此外,該中心還可包含對(duì)其它安全設(shè)備,如防火墻、入侵檢測(cè)等的集中管理。
3.2 應(yīng)用安全中間件
應(yīng)用安全中間件是一個(gè)由五個(gè)安全組件構(gòu)成的安全服務(wù)套件,可以為基于不同平臺(tái)的各類業(yè)務(wù)系統(tǒng)提供統(tǒng)一、標(biāo)準(zhǔn)的安全服務(wù),它為用戶提供了實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性、不可抵賴性以及身份認(rèn)證功能等的統(tǒng)一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補(bǔ)充,構(gòu)成了一個(gè)面向用戶信息應(yīng)用系統(tǒng)的較為完整的安全服務(wù)體系。該套件的所有組件均集成了國(guó)密辦審批的本項(xiàng)目專用密碼算法和密碼模塊,其功能基本覆蓋了郵政系統(tǒng)各類業(yè)務(wù)系統(tǒng)的安全服務(wù)需求。
3.3 基于網(wǎng)絡(luò)的IP加密機(jī)
基于網(wǎng)絡(luò)的IP加密機(jī)通過(guò)在網(wǎng)絡(luò)層實(shí)施密碼技術(shù)和網(wǎng)絡(luò)訪問(wèn)控制技術(shù),實(shí)現(xiàn)郵政系統(tǒng)各級(jí)機(jī)構(gòu)間通過(guò)公網(wǎng)的安全互聯(lián)。IP加密機(jī)為一獨(dú)立的網(wǎng)絡(luò)安全設(shè)備,可透明地接入(嵌入)郵政系統(tǒng)現(xiàn)有網(wǎng)絡(luò)架構(gòu),并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.4 基于主機(jī)的低端網(wǎng)絡(luò)IP密碼服務(wù)包
基于主機(jī)的網(wǎng)絡(luò)IP密碼服務(wù)包的應(yīng)用對(duì)象為郵政系統(tǒng)中大量存在的柜員微機(jī)工作站和儲(chǔ)蓄網(wǎng)點(diǎn)PC,是一個(gè)能嵌入到現(xiàn)有客戶端系統(tǒng)中的IP安全保密墊片程序模塊,該模塊處于網(wǎng)絡(luò)驅(qū)動(dòng)程序和IP協(xié)議棧之間,對(duì)出入主機(jī)的數(shù)據(jù)包實(shí)施加解密處理和訪問(wèn)控制,實(shí)現(xiàn)和基于網(wǎng)絡(luò)的IP加密機(jī)的互通,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
3.5終端線路加密器
終端線路加密器是一個(gè)能完成終端柜員身份認(rèn)證功能及線路加密功能的設(shè)備,其應(yīng)用對(duì)象為郵政系統(tǒng)中大量存在的郵政儲(chǔ)蓄和電子匯兌柜員終端。該設(shè)備能透明地接入郵政儲(chǔ)蓄柜員終端業(yè)務(wù)系統(tǒng)和其它“終端-主機(jī)”結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中,解決(?。┙K端用戶的強(qiáng)身份認(rèn)證和線路加密功能,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。
4網(wǎng)絡(luò)安全的重要性
在信息社會(huì)中,信息具有和能源、物源同等的價(jià)值,在某些時(shí)候甚至具有更高的價(jià)值。具有價(jià)值的信息必然存在安全性的問(wèn)題,對(duì)于企業(yè)更是如此。例如:在競(jìng)爭(zhēng)激烈的市場(chǎng)經(jīng)濟(jì)驅(qū)動(dòng)下,每個(gè)企業(yè)對(duì)于原料配額、生產(chǎn)技術(shù)、經(jīng)營(yíng)決策等信息,在特定的地點(diǎn)和業(yè)務(wù)范圍內(nèi)都具有保密的要求,一旦這些機(jī)密被泄漏,不僅會(huì)給企業(yè),甚至也會(huì)給國(guó)家造成嚴(yán)重的經(jīng)濟(jì)損失。 經(jīng)濟(jì)社會(huì)的發(fā)展要求各用戶之間的通信和資源共享,需要將一批計(jì)算機(jī)連成網(wǎng)絡(luò),這樣就隱含著很大的風(fēng)險(xiǎn),包含了極大的脆弱性和復(fù)雜性,特別是對(duì)當(dāng)今最大的網(wǎng)絡(luò)――國(guó)際互聯(lián)網(wǎng),很容易遭到別有用心者的惡意攻擊和破壞。隨著國(guó)民經(jīng)濟(jì)的信息化程度的提高,有關(guān)的大量情報(bào)和商務(wù)信息都高度集中地存放在計(jì)算機(jī)中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大,信息的泄露問(wèn)題也變得日益嚴(yán)重,因此,計(jì)算機(jī)網(wǎng)絡(luò)的安全性問(wèn)題就越來(lái)越重要。
5 結(jié)論
隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)攻擊也在迅速增多,病毒郵件攻擊的影響日益激烈,病毒、蠕蟲(chóng)和毫無(wú)必要的大量垃圾電子郵件利用互聯(lián)網(wǎng)資源來(lái)傳播,使企業(yè)網(wǎng)絡(luò)的傳輸速度緩慢甚至癱瘓。本文提出的企業(yè)網(wǎng)絡(luò)安全解決方案能夠?yàn)槠髽I(yè)提供安全的網(wǎng)絡(luò)保護(hù),并縮減了企業(yè)在網(wǎng)絡(luò)安全方面的投資。解決了企業(yè)的安全隱患,使能夠合理利用網(wǎng)絡(luò)并從網(wǎng)絡(luò)中獲取豐厚的效益,提高了企業(yè)的競(jìng)爭(zhēng)力。
參考文獻(xiàn)
[1]張千里,陳光英 .網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003(01).
[2]董玉格等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京:人民郵電出版社,2002(08).
[3]顧巧論等編著.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2003(01).
【關(guān)鍵詞】制藥企業(yè) 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)安全架構(gòu) 網(wǎng)絡(luò)設(shè)計(jì)
隨著數(shù)字化和信息化進(jìn)程的不斷加速,企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍日益擴(kuò)大。制藥企業(yè)作為技術(shù)密集型企業(yè),多以精深工藝、提升品質(zhì)、加強(qiáng)管理為目的,建立了由ERP、電子商務(wù)、Web網(wǎng)站、OA構(gòu)成的網(wǎng)絡(luò)系統(tǒng)。目前,網(wǎng)絡(luò)已應(yīng)用于制藥企業(yè)各個(gè)事務(wù)層面,因此網(wǎng)絡(luò)安全尤為重要,必須建立多層次的安全體系架構(gòu),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)保障。
一、安全架構(gòu)設(shè)計(jì)要點(diǎn)
(一)多元線程。安全架構(gòu)分為“預(yù)防”、“治理”、“鞏固”三個(gè)線程?!邦A(yù)防”是通過(guò)Windows Server Update Services更新服務(wù),及時(shí)修補(bǔ)內(nèi)網(wǎng)終端與服務(wù)器的系統(tǒng)漏洞。“治理”是針對(duì)不同的安全威脅進(jìn)行防護(hù)。對(duì)于病毒威脅和黑客入侵,進(jìn)行軟硬件聯(lián)合防御?!办柟獭笔潜4嫱暾W(wǎng)絡(luò)日志,有科學(xué)的備份策略,對(duì)終端計(jì)算機(jī)的嚴(yán)格管理,保證終端安全。
(二)立體布局。安全架構(gòu)設(shè)計(jì)要兼顧物理層、鏈路層、網(wǎng)絡(luò)層和應(yīng)用層,形成立體化的防護(hù)布局。以安全域來(lái)劃分為主線,同一安全域共享公用的信息資源、安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。
(三)系統(tǒng)管理。安全架構(gòu)包括技術(shù)層和管理層兩方面,必須建立安全管理系統(tǒng)與安全技術(shù)相適應(yīng)。管理系統(tǒng)要求嚴(yán)密的崗位分工,以及日常維護(hù)管理制度。一個(gè)合理的管理系統(tǒng)能夠明確網(wǎng)絡(luò)邊界,增強(qiáng)網(wǎng)絡(luò)的可控性,實(shí)現(xiàn)有計(jì)劃的訪問(wèn)控制,有效阻止?jié)B透式網(wǎng)絡(luò)攻擊。
二、安全架構(gòu)設(shè)計(jì)方案
(一)網(wǎng)絡(luò)平臺(tái)方案設(shè)計(jì)
1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)。制藥企業(yè)的網(wǎng)絡(luò)設(shè)置采用拓?fù)浣Y(jié)構(gòu),根據(jù)藥品的生產(chǎn)、銷售、組織、管理等部門分成多個(gè)子網(wǎng),共同構(gòu)建企業(yè)網(wǎng)絡(luò)平臺(tái)。在各VLAN之間布置路由,實(shí)現(xiàn)各VLAN間的自由互訪。但各子網(wǎng)間互訪需要進(jìn)行網(wǎng)絡(luò)驗(yàn)證,避免某子網(wǎng)的安全威脅獲得擴(kuò)大性傳播。
2.域管理設(shè)計(jì)。為實(shí)現(xiàn)集中式管理,應(yīng)在制藥企業(yè)網(wǎng)絡(luò)平臺(tái)布局域管理。域管理可以實(shí)現(xiàn)單一賬戶登錄,單節(jié)點(diǎn)管理,具有安全便捷的優(yōu)點(diǎn)。企業(yè)內(nèi)網(wǎng)絡(luò)終端設(shè)備較多,因此要進(jìn)行網(wǎng)絡(luò)標(biāo)簽設(shè)置,具體規(guī)則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網(wǎng)關(guān),第二段代表部門,第三段代表姓名全拼,唯一的網(wǎng)絡(luò)標(biāo)簽可以保證定位的速度與精度。
3.入侵檢測(cè)設(shè)計(jì)。網(wǎng)絡(luò)入侵檢測(cè)是通過(guò)防火墻和專用軟件(IDS)實(shí)現(xiàn)的。配置企業(yè)級(jí)防火墻,可以杜絕內(nèi)外網(wǎng)間的病毒威脅,提供相對(duì)安全的網(wǎng)絡(luò)環(huán)境。而網(wǎng)康、綠盟、安全胄甲等專業(yè)入侵檢測(cè)軟件(IDS)則是對(duì)防火墻的合理補(bǔ)充,IDS從企業(yè)網(wǎng)絡(luò)中采集關(guān)鍵信息,分析總流量、上傳量、ERP等數(shù)據(jù)變化,自主判斷網(wǎng)絡(luò)中違反安全策略的行為。聯(lián)合應(yīng)用防火墻與IDS,可以實(shí)時(shí)、動(dòng)態(tài)地保護(hù)網(wǎng)絡(luò)平臺(tái),擴(kuò)展系統(tǒng)管理員的安全管理能力,形成完整的網(wǎng)絡(luò)安全平臺(tái)結(jié)構(gòu)。
(二)防治病毒方案設(shè)計(jì)
1.分布式部署。一般而言,制藥企業(yè)規(guī)模龐大且機(jī)構(gòu)復(fù)雜,由多個(gè)服務(wù)器構(gòu)成子網(wǎng),因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進(jìn)行配置,并根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架,設(shè)立多級(jí)病毒防治管理中心,負(fù)責(zé)各自網(wǎng)段的病毒查殺工作。
2.網(wǎng)絡(luò)邊緣防護(hù)。網(wǎng)絡(luò)邊緣是靠近用戶端的網(wǎng)絡(luò)層面,對(duì)其進(jìn)行病毒防護(hù)的方法是在部署好防病毒網(wǎng)關(guān)后再連接外網(wǎng),全面掃描網(wǎng)絡(luò)后安置硬件防毒墻。建議使用網(wǎng)神、驅(qū)逐艦、趨勢(shì),瑞星、 MacAfee等品牌防毒墻,針對(duì)HTTP、FTP協(xié)議進(jìn)行查殺病毒。再配置一套符合企業(yè)網(wǎng)絡(luò)應(yīng)用需要的安全策略,控制多項(xiàng)網(wǎng)絡(luò)端口,填補(bǔ)邊緣防護(hù)缺口,建立起軟硬件相結(jié)合的安全屏障。
3.防病毒管理。防毒技術(shù)是網(wǎng)絡(luò)安全架構(gòu)的技術(shù)保障,而技術(shù)需要管理制度作為保障才能發(fā)揮最大效用。制藥企業(yè)防毒管理制度應(yīng)包括:強(qiáng)制實(shí)施防病毒策略,嚴(yán)肅工作紀(jì)律;定期檢查硬件防毒墻運(yùn)行狀態(tài),調(diào)整工作參數(shù),避免過(guò)熱過(guò)勞運(yùn)行;定期升級(jí)防毒軟件病毒庫(kù),如有大規(guī)模病毒爆發(fā)需進(jìn)行專項(xiàng)治理;加強(qiáng)移動(dòng)存儲(chǔ)介質(zhì)管理,不使用來(lái)源不明的存儲(chǔ)介質(zhì)。
(三)數(shù)據(jù)備份和審計(jì)方案設(shè)計(jì)
數(shù)據(jù)備份和審計(jì)是制藥企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重要組件。數(shù)據(jù)備份的作用是記錄各類網(wǎng)絡(luò)信息,為查找漏洞、排除問(wèn)題、安全設(shè)置提供參考??紤]到制藥企業(yè)數(shù)據(jù)備份的規(guī)模及對(duì)數(shù)據(jù)安全的要求,可利用IBM公司開(kāi)發(fā)的iSCSI接口,將現(xiàn)有SCSI接口與以太網(wǎng)絡(luò)結(jié)合,實(shí)現(xiàn)服務(wù)器與IP網(wǎng)絡(luò)儲(chǔ)存裝置的資料交換。由于備份管理軟件對(duì)存儲(chǔ)性能有重要影響,應(yīng)用符合一定技術(shù)標(biāo)準(zhǔn)的備份軟件,具備快速存取能力、極簡(jiǎn)管理能力和災(zāi)難恢復(fù)能力。另外,備份軟件要適應(yīng)當(dāng)前的網(wǎng)絡(luò)條件,能同時(shí)支持64位和32位WINDOWS系統(tǒng)、UNIX、IOS系統(tǒng),能在常用系統(tǒng)平臺(tái)進(jìn)行主動(dòng)式備份。建議采用FileGee等備份軟件,實(shí)現(xiàn)自動(dòng)備份文件,并可進(jìn)行多介質(zhì)服務(wù)器管理,提供集中管理備份策略。
數(shù)據(jù)備份的目的是進(jìn)行數(shù)據(jù)審計(jì),通過(guò)檢索備份數(shù)據(jù),分析數(shù)據(jù)特征和變化趨勢(shì),對(duì)企業(yè)內(nèi)服務(wù)器和終端設(shè)備進(jìn)行安全審計(jì)。終端設(shè)備審計(jì)方案是:調(diào)取網(wǎng)絡(luò)數(shù)據(jù),對(duì)各種網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別、記錄和控制,在此基礎(chǔ)上判斷網(wǎng)絡(luò)行為正當(dāng)與否,如存在安全隱患則采取緊急策略,對(duì)問(wèn)題網(wǎng)絡(luò)端口進(jìn)行控制。服務(wù)器審計(jì)方案是:在數(shù)據(jù)庫(kù)中提取記錄企業(yè)服務(wù)器運(yùn)行信息,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)日志,作出勘察、判斷與決策,防止誤操作和不當(dāng)操作行為,預(yù)防各種潛在的違規(guī)操作行為。
三、總結(jié)
本文立足于制藥企業(yè)的網(wǎng)絡(luò)管理實(shí)際,擬定了三項(xiàng)網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的設(shè)計(jì)要點(diǎn),提出安全規(guī)劃,明確建設(shè)目標(biāo)。網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)以平臺(tái)安全、防治病毒、數(shù)據(jù)備份和審計(jì)為基點(diǎn),兼顧了整體性和可操作性,設(shè)計(jì)出符合線程化、立體化、系統(tǒng)化要求的安全架構(gòu),為制藥企業(yè)網(wǎng)絡(luò)安全應(yīng)用和管理提供了技術(shù)支持。
參考文獻(xiàn):
[1] 熊芳芳.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策.電子世界.2012(11).
隨著智能手機(jī)、平板電腦等終端產(chǎn)品的普及,網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越復(fù)雜。面對(duì)新的網(wǎng)絡(luò)安全的威脅和攻擊,傳統(tǒng)的應(yīng)對(duì)手段也需要顛覆了。請(qǐng)關(guān)注—
隨著新的互聯(lián)網(wǎng)時(shí)代的到來(lái),許多人已經(jīng)可以實(shí)現(xiàn)借助家里電腦、智能手機(jī)、平板電腦等終端進(jìn)行遠(yuǎn)程辦公,現(xiàn)今IT信息系統(tǒng)的架構(gòu)也發(fā)生了變化,導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題變得越來(lái)越復(fù)雜。在近期舉辦的第二屆國(guó)家網(wǎng)絡(luò)安全宣傳周上,基于云端架構(gòu)的網(wǎng)絡(luò)安全防護(hù)體系正受到越來(lái)越多的追捧。
網(wǎng)絡(luò)安全問(wèn)題越來(lái)越復(fù)雜
今年2月份,網(wǎng)絡(luò)安全公司卡巴斯基的一份分析報(bào)告顯示,黑客組織Carbanak在兩年內(nèi)連續(xù)攻擊了俄、烏、白等30多個(gè)國(guó)家的金融機(jī)構(gòu),造成損失達(dá)10億美元,引發(fā)了俄羅斯銀行業(yè)恐慌。
根據(jù)2012年的數(shù)據(jù),我國(guó)電子銀行交易筆數(shù)高達(dá)896.2億筆,交易規(guī)模為820萬(wàn)億元,個(gè)人網(wǎng)銀用戶規(guī)模為2.1億戶。電子銀行替代率提高到72.3%,且到2016年時(shí),該比率預(yù)計(jì)將達(dá)到82.3%。而與此同時(shí),信息泄露、惡意軟件、釣魚(yú)網(wǎng)站等卻在不斷的威脅到網(wǎng)銀安全服務(wù),中國(guó)工商銀行(601398,股吧)安全部總經(jīng)理敦宏程表示,這些網(wǎng)絡(luò)上侵害金融安全的非法活動(dòng)甚至已形成黑色產(chǎn)業(yè)鏈,相關(guān)組織內(nèi)分工明確。
“黑客最初是向目標(biāo)機(jī)構(gòu)的普通職員發(fā)送電子郵件,誘使他們打開(kāi)一個(gè)包含惡意軟件的附件;突破職員電腦后,黑客會(huì)以此為跳板進(jìn)行滲透平移,找到并攻陷掌握銀行交易權(quán)限的高級(jí)管理人員;通過(guò)在管理人員的電腦植入木馬程序,分析得到合法賬號(hào)、密碼以及系統(tǒng)操作流程,最終冒充合法賬號(hào)成功轉(zhuǎn)移資產(chǎn)?!本W(wǎng)康科技執(zhí)行副總裁左英男介紹俄羅斯銀行大案時(shí)說(shuō),盡管俄羅斯警方幾年前已經(jīng)逮捕了8名犯罪團(tuán)伙成員,但攻擊并未停止。
“哪個(gè)網(wǎng)絡(luò)是不可信的?哪個(gè)網(wǎng)絡(luò)是可信的?這些概念已經(jīng)改變了。傳統(tǒng)的網(wǎng)絡(luò)安全理論是靜態(tài)、被動(dòng)的,是一種防御性思維,已不適應(yīng)信息產(chǎn)業(yè)架構(gòu)的變化。隨著互聯(lián)網(wǎng)的云化和移動(dòng)終端移動(dòng)化趨勢(shì),IT信息系統(tǒng)的架構(gòu)需要有新的手段去解決安全問(wèn)題?!弊笥⒛姓f(shuō)。
借助云端解決網(wǎng)絡(luò)安全
“安全問(wèn)題永遠(yuǎn)是人與人之間的智力對(duì)抗,所謂魔高一尺道高一丈,但防御的一方永遠(yuǎn)處于被動(dòng)地位,所以現(xiàn)在要改變這種防御策略,形成主動(dòng)發(fā)現(xiàn)、主動(dòng)打擊。這就是我們提出的下一代網(wǎng)絡(luò)安全架構(gòu),提供主動(dòng)對(duì)抗的手段。”左英男介紹,下一代網(wǎng)絡(luò)安全架構(gòu)的一個(gè)重要特點(diǎn)就是智能協(xié)同,主動(dòng)防御。云、邊界設(shè)備與終端設(shè)備之間都可以進(jìn)行聯(lián)動(dòng),使得架構(gòu)中“邊界”設(shè)備和“終端”設(shè)備的安全能力都得到了劃時(shí)代的提升,可以有效應(yīng)對(duì)已知和未知的高級(jí)威脅。
“更好的安全模型應(yīng)該是PDFP模型(Prediction預(yù)測(cè)、Detection檢測(cè)、Forensics取證、Protection防護(hù)),即假設(shè)IT系統(tǒng)存在無(wú)法預(yù)估的風(fēng)險(xiǎn),甚至認(rèn)為攻擊已經(jīng)發(fā)生只是人們尚未感知,此時(shí)必須進(jìn)行動(dòng)態(tài)檢測(cè),把異常的人員、行為、應(yīng)用、內(nèi)容等日志信息實(shí)時(shí)匯集到云分析中心,通過(guò)跨時(shí)空的大數(shù)據(jù)分析,迅速判定攻擊并進(jìn)行過(guò)程溯源,從而實(shí)施對(duì)抗策略。這個(gè)過(guò)程是動(dòng)態(tài)的、主動(dòng)的,是一種對(duì)抗型思維?!弊笥⒛薪忉?,“將來(lái)我們會(huì)給客戶提供一個(gè)云管端的架構(gòu),部屬終端、部屬終結(jié)設(shè)備,會(huì)給他一個(gè)云賬號(hào),登錄云賬號(hào)之后,能夠看到經(jīng)過(guò)大數(shù)據(jù)分析之后的結(jié)果,主機(jī)是否危險(xiǎn),內(nèi)部有哪些僵尸,都在干什么,有非常直觀的風(fēng)險(xiǎn)信息提示?!?/p>
目前,為了防止用戶信息泄露和受到詐騙,當(dāng)前各大銀行紛紛采取措施,其中云技術(shù)、大數(shù)據(jù)等已被運(yùn)用。比如銀聯(lián)推出的虛擬銀行卡,可以直接使用手機(jī)來(lái)刷POS機(jī),而基于云端的安全機(jī)制將大大提高賬戶的安全性。
提高民眾的安全意識(shí)是關(guān)鍵
“網(wǎng)絡(luò)安全問(wèn)題并不僅僅是一個(gè)行業(yè)、一個(gè)企業(yè)的行為,它還需要整個(gè)全民網(wǎng)絡(luò)安全意識(shí)的提高,以及整個(gè)社會(huì)網(wǎng)絡(luò)安全防護(hù)體系的構(gòu)建。”左英男說(shuō)。
中國(guó)工商銀行安全部總經(jīng)理敦宏程表示,相對(duì)銀行采取的種種措施,民眾的網(wǎng)絡(luò)安全意識(shí)仍然是抵御網(wǎng)絡(luò)金融詐騙和信息泄露的第一道關(guān)口。“用戶的安全意識(shí),實(shí)際上相對(duì)來(lái)說(shuō)是各個(gè)環(huán)節(jié)中最薄弱的環(huán)節(jié),工商銀行為此提供了很多安全措施,都是針對(duì)客戶安全意識(shí)不足做的補(bǔ)充措施?!?/p>
關(guān)鍵詞:終端準(zhǔn)入 網(wǎng)絡(luò)安全 802.1x EAD
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2013)06-0014-02
1 引言
在創(chuàng)新無(wú)處不在的IT世界里,從要求可用性到安全性再到高效率,只經(jīng)歷了短短的幾年時(shí)間。如何對(duì)終端設(shè)備進(jìn)行高效、安全、全方位控制一直都困擾著眾多IT管理者,由于終端設(shè)備數(shù)量多、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊,而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高,導(dǎo)致了終端成為整個(gè)IT管理環(huán)境中最容易出現(xiàn)問(wèn)題的一環(huán),對(duì)終端問(wèn)題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一,它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。
終端作為網(wǎng)絡(luò)的關(guān)鍵組成和服務(wù)對(duì)象,其安全性受到極大關(guān)注。終端準(zhǔn)入控制技術(shù)是網(wǎng)絡(luò)安全一個(gè)重要的研究方向,它通過(guò)身份認(rèn)證和完整性檢查,依據(jù)預(yù)先設(shè)定的安全策略,通過(guò)軟硬件結(jié)合的方式控制終端的訪問(wèn)權(quán)限,能有效限制不可信、非安全終端對(duì)網(wǎng)絡(luò)的訪問(wèn),從而達(dá)到保護(hù)網(wǎng)絡(luò)及終端安全的目的。終端準(zhǔn)入控制技術(shù)的研究與應(yīng)用對(duì)于提高網(wǎng)絡(luò)安全性,保障機(jī)構(gòu)正常運(yùn)轉(zhuǎn)具有重要作用;對(duì)于機(jī)構(gòu)解決信息化建設(shè)中存在的安全問(wèn)題具有重要意義。目前,終端準(zhǔn)入控制技術(shù)已經(jīng)得到較大的發(fā)展和應(yīng)用,在安全領(lǐng)域起到越來(lái)越重要的作用。
2 發(fā)展現(xiàn)狀
為了解決網(wǎng)絡(luò)安全問(wèn)題,安全專家相繼提出了新的理念。上世紀(jì)90年代以來(lái),國(guó)內(nèi)外提出了主動(dòng)防御、可信計(jì)算等概念,認(rèn)為安全應(yīng)該回歸終端,以終端安全為核心來(lái)解決信息系統(tǒng)的安全問(wèn)題。
3 終端準(zhǔn)動(dòng)模型
H3C終端準(zhǔn)入控制解決方案(EAD,End user Admission Domination)從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過(guò)智能客戶端、安全策略服務(wù)器、聯(lián)動(dòng)設(shè)備以及第三方軟件的聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶終端按需實(shí)施靈活的安全策略,并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,極大地加強(qiáng)了企業(yè)用戶終端的主動(dòng)防御能力,為企業(yè)IT管理人員提供了高效、易用的管理工具。
4 終端準(zhǔn)入控制過(guò)程
EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定,支持智能卡、數(shù)字證書(shū)認(rèn)證,支持域統(tǒng)一認(rèn)證,增強(qiáng)身份認(rèn)證的安全性。根據(jù)實(shí)際情況我們采用基于域統(tǒng)一認(rèn)證,與接入終端MAC地址和接入設(shè)備IP信息進(jìn)行綁定的嚴(yán)格身份認(rèn)證模式。通過(guò)身份認(rèn)證之后,根據(jù)管理員配置的安全策略,用戶進(jìn)行包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、是否有等安全認(rèn)證檢查。通過(guò)安全認(rèn)證后,用戶可正常使用網(wǎng)絡(luò),同時(shí)EAD將對(duì)終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和審計(jì)。若未通過(guò)安全認(rèn)證,則將用戶放入隔離區(qū),直到用戶通過(guò)安全認(rèn)證檢查。EAD解決方案對(duì)終端用戶的整體控制過(guò)程如圖2所示。
5 終端準(zhǔn)入控制策略的實(shí)現(xiàn)
5.1 接入用戶身份認(rèn)證
為了確保只有符合安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD通過(guò)交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過(guò)802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過(guò)Windows域管理用戶訪問(wèn)權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實(shí)現(xiàn)了Windows 域與802.1x統(tǒng)一認(rèn)證方案,平滑地解決了兩種認(rèn)證流程之間的矛盾,避免了用戶二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個(gè)“同步”過(guò)程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認(rèn)證流程,EAD解決方案通過(guò)H3C自主開(kāi)發(fā)的iNode智能客戶端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如圖3所示。
5.2 安全策略狀態(tài)評(píng)估
EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過(guò)智能客戶端實(shí)時(shí)檢測(cè)、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制,完成對(duì)用戶終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過(guò)安全策略檢查,可以正常訪問(wèn)授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強(qiáng)制放入隔離區(qū)內(nèi),直至通過(guò)安全策略檢查才可訪問(wèn)授權(quán)的網(wǎng)絡(luò)資源。
5.3 EAD與iMC融合管理
EAD通過(guò)與iMC(開(kāi)放智能管理中樞,Intelligent Management Center)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實(shí)現(xiàn)了對(duì)用戶的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺(tái)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)、安全、存儲(chǔ)、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實(shí)現(xiàn)了行為審計(jì)、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開(kāi)放式管理體驗(yàn)。
6 結(jié)語(yǔ)
在未實(shí)施終端準(zhǔn)入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動(dòng),雖制定完善的IT管理制度,但不能有效實(shí)行,比如不能及時(shí)升級(jí)系統(tǒng)補(bǔ)丁,不能及時(shí)升級(jí)殺毒軟件病毒庫(kù),不能實(shí)時(shí)監(jiān)控用戶軟件安裝,不能實(shí)時(shí)監(jiān)控計(jì)算機(jī)硬件信息等問(wèn)題。通過(guò)實(shí)施終端準(zhǔn)入解決方案,降低了來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準(zhǔn)入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。
參考文獻(xiàn)
[1]周超,周城,丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù).計(jì)算機(jī)系統(tǒng)應(yīng)用,2011,20(1):89—94.
[2]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準(zhǔn)入控制解決方案.醫(yī)院數(shù)字化,2011,26(11):30-32.
[3]成大偉,呂鋒.支持802.1x的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)在企業(yè)中的應(yīng)用.中國(guó)科技博覽,2012,27:296.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)