前言:中文期刊网精心挑选了网络安全内网管理范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全内网管理范文1
关键词:内部网络;安全;Web Service
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系统安全模型
内网即Intranet,是相对于外网Extranet而言的。广义上人们认为所有的党政机关、企事业单位的内部网络都称为内网,而狭义上我们认为与互联网物理隔离的办公网、局域网、城域网或是广域网都可能是内网。在内网安全监管审计系统中,我们所定义的内网是指物理上直接连接或通过交换机、路由器等设备间接连接的企业内部信息网络,它可以是单一的局域网,也可以是跨越Internet的多个局域网的集合。如图1所示,是典型企业局域网网络拓扑图。
图1.企业局域网网络拓扑图
内部网络安全管理系统的目的就是通过系统部署,能在企业内网中,建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端行为进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理,借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。根据P2DR安全模型得出结论,要实现内网的安全,必须做到及时的检测、响应。因此,内部网络安全管理系统的安全模型是基于静态的安全防护策略,覆盖了P2DR安全模型中的防护、检测和响应三个阶段,由安全策略、策略执行、监控响应、审计和管理支持五个环节组成。
安全策略是整个内网安全监管审计系统的核心,它渗透到系统的策略执行、监控响应、审计、管理支持等各个环节,所有的监控响应、审计都是依据安全策略实施的。安全策略包括监控策略、审计策略、响应策略、系统管理策略。管理支持是指系统管理员操作的相关接口,即用户界面。它提供对系统运行相关参数的配置、各类策略的制定、系统的授权管理操作。策略执行是指通知制定的策略,并确保策略的成功实施。监控响应是根据制定的安全策略,对系统管理员和内网的计算机终端活动进行监测和响应,提供对安全事件的记录和上报。它是强制实施安全策略的有利工具,也是内网安全监管审计系统最为重要的一个环节,是系统功能的核心,主要通NDIS-HOOK数据包技术、Win Pcap网络管理技术等来实现。审计是指对安全事件的报警、日志的统计分析。安全事件是由“监控响应”环节生成的。根据安全事件的严重程度,按照报警策略,向系统管理员提供能够报警信息。
二、系统结构设计
(一)系统功能
系统的总体设计,旨在从系统应用的角度,明确系统的功能;从系统开发的角度,设计系统的逻辑结构模块,便于编程实现;从系统部署的角度,规划系统的物理结构分布以实施系统的运行。内网安全网络管理系统的目的是构建一个整体一致的内网安全体系,从网络协议方面看,内网安全监管审计系统适合于任何基于TCP/IP协议的网络,不管是Internet还是Intranet,都能充分发挥作用。从操作系统方面看,内网安全监管审计系统主要针对目前主流的Windows桌面操作系统,包括Windows2000,Windows XP,可随着操作系统的发展和用户的实际需求,开发相应的适用版本。
从用户群方面看,内网安全监管审计系统适用于几乎所有对内网安全管理有需求的单位,特别是党政军警机要部门、国家核心技术研究院所、高新科技企业、金融机构等部门。根据对内网安全产品的分析和内网安全的特点,内部网络安全管理系统的功能主要包括接入控制,行为监控,网络管理,补丁管理,实时监听,WEB管理平台六个方面,并且这六个方面是紧密结合、相互联动的。
(二)客户端模块设计
1.接入控制线程:包括终端接入控制,非法外联实时监测和策略管理模块,实现终端信息注册、用户登录、登录策略更新、客户端软件安装版本验证、客户端操作系统版本及补丁验证、客户端杀毒软件版本验证、安全策略版本验证、安全策略更新以及网络层防护策略,包括IP地址访问控制、TCP端口访问控制、UDP端口访问控制、IP地址+端口号的访问控制,终端流量的监控等功能。
2.客户端监控线程:包括终端软件安装管理,终端进程管理,终端杀毒软件管理模块,用于监控终端行为并根据策略对违规行为进行处理,同时加密发送事件报警信息并记录日志。具体做法是读取终端安全策略,根据安全策略进行进程运行监控、服务运行监控、软件安装监控、网络流量监控,并对违规事件进行事件告警和日志记录等功能。
3.终端实时控制监听线程:包括点对点实时监控管理模块,接收服务端实时查询消息,获取客户端运行时信息,包括系统CPU使用率,内存,硬盘使用情况,系统进程列表,系统服务列表、硬件清单、安装程序清单和网络流量,并把终端信息加密发送到服务器。
4.补丁管理线程:包括操作系统版本和补丁管理模块,扫描本机注册表中的Hot fix项,得到本机的补丁安装信息,对比指派给本机的补丁策略,得到需要下载安装的补丁列表,再从局域网服务器下载并安装相应补丁。
(三)服务器模块设计
1.内网终端安全主程序:负责启动或停止登录验证进程、运行状态监控进程、终端实时控制信息进程。维护进程之间的共享数据(终端会话列表),实时策略下发功能。
2.登录验证进程:包括终端注册管理、终端登录管理、TCP监听、加解密密钥协商、策略下发模块。实现监听终端请求,接收并解密客户端消息,处理终端注册请求,并记入数据库;处理终端的登录请求,验证终端的登录信息,验证通过后向客户端发送最新安全策略。
3.运行状态监控进程:包括探测消息,终端告警消息处理模块,实现探测消息接收,以确定客户端是否在线,并修改终端会话状态;接收终端告警消息,进行解密处理并将相关信息记入数据库,以便管理员查询。
4.终端实时控制信息进程:包括终端信息实时查询和策略下发模块。接收客户端程序发来的终端信息,为WEB服务提供终端信息实时查询的功能。另外在管理员通过WEB界面更改策略后,后实时向相关终端下发最新策略。
5.网络管理进程:基于Win Pcap实现防止局域网A印欺骗的功能。Win Pcap(windows packet capture)它具有访问网络底层的能力,提供了捕获原始数据包,按照一定规则过滤数据包,以及发送原始数据包功能。通过捕获并分析局域网的网络数据包,可以判断局域网是否发生欺骗,进而采取措施来防止欺骗。
6.补丁管理进程:基于CXF和WSS4J的安全的Web.Service实现,通过这种方式从远程TJHN服务器获取最近补丁列表,通过比对当前本机服务器获取远程补丁列表,从官方网站下载所需补丁。
(四)Web管理平台模块设计
用户管理模块:对可以登录Web的用户进行管理;提供用户登录。终端审批模块:对申请接入的终端请求进程审批。策略配置模块:对单个策略进行管理,主要包括进程,服务,安装软件的黑白名单策略,网络过滤策略,流量阂值设置;对策略分组进行管理。终端查询模块:向终端发送点对点消息,查询并展示实时的终端运行信息,包括CPU占用率,硬盘,内存使用情况,运行进程,服务,安装软件,实时流量信息。日志查询模块:查询终端运行告警日志,包括运行进程告警,服务告警,安装软件告警,流量异常告警,网络阻断告警。
参考文献:
[1]黄泽界.一种远程视频监控系统的实现[J].安防科技,2008,2
[2]胡爱闽.基于DM642的网络视频监控系统[J].安防科技,2008,9
[3]王文联,侯,周先存.基于NDIS中间驱动程序的防火墙的研究与实现[J].安徽建筑工业学院学报(自然科学版),2004,1
[4]胡珊,张冰.利用SPI控制计算机上网[J].鞍山科技大学学报,2004,5
网络安全内网管理范文2
1.1 企业信息化建设现状
随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。
一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。
1.2 企业网络应用现状
根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。
由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。
1.3 网络安全防护现状
当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。
高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。
2 内网面临的网络威胁
笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。
笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。
2.1 突破内网,寻找突破口
学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。
2.2 一击得手
学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。
然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。
2.3 再接再厉,权限提升
学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):
2.4 获得系统管理员权限,完全掌控目标主机服务器
查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。
实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):
可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。
但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型
针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:
3.1 802.1X 访问控制技术
802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。
其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。
3.2 ARP spoofing访问控制技术
在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。
3.3 DNS重定向访问控制技术
在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。
但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。
3.4 网关准入控制——UTM(统一威胁管理)
UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。
(1)合理部署网关位置
UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。
从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。
(2)UTM优势分析
采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。
除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。
网络安全,不应只关注网络出口安全,更应关注内网中的信息安全,信息的泄漏往往是从内部开始,因此,构建内网访问控制模型就非常重要,采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。
网络安全内网管理范文3
关键词:消防;通信;信息安全
中图分类号:TP393.08
全国消防计算机通信网络以公安信息网为依托,由消防信息网和指挥调度网构成,分别形成三级网络结构。消防信息网是各级消防部门的日常办公网络,作为消防业务传输网;指挥调度网主要用于部局、总队、支队、大队(中队)等单位的视频会议、远程视频监控、灭火救援指挥调度系统应用等业务,作为消防指挥调度专用传输网。随着网络规模的不断扩大,来自内部网络的威胁也日渐增多,必须利用信息安全基础设施和信息系统防护手段,构建与基础网络相适应的信息安全保障体系。
1 计算机网络安全防护措施
计算机网络安全防护措施主要有防火墙、入侵防护、病毒防护、攻击防护、入侵检测、网络审计和统一威胁管理系统等几项(如下图)。
1.1 防火墙。防火墙主要部署在网络边界,可以实现安全的访问控制与边界隔离,防范攻击行为。防火墙的规则库定义了源IP地址、目的IP地址、源端口和目的端口,一般攻击通常会有很多征兆,可以及时将这些征兆加入规则库中。目前网上部署的防火墙主要是网络层防火墙,可实时在各受信级网络间执行网络安全策略,且具备包过滤、网络地址转换、状态性协议检测、VPN等技术。
1.2 入侵防御系统(Intrusion Prevention System,IPS)。IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。防火墙降低了恶意流量进出网络的可能性,并能确保只有与协议一致的流量才能通过防火墙。如果恶意流量伪装成正常的流量,并且与协议的行为一致,这样的情况,IPS设备能够在关键点上对网络和主机进行监视并防御,以防止恶意行为。
1.3 防病毒网关。防病毒网关部署在病毒风险最高、最接近病毒发生源的安全边界处,如内网终端区和防火墙与路由器之间,可以对进站或进入安全区的数据进行病毒扫描,把病毒完全拦截在网络的外部,以减少病毒渗入内网后造成的危害。为使得达到最佳防毒效果,防病毒网关设备和桌面防病毒软件应为不同的厂家产品。网络版杀毒软件的病毒扫描和处理方式主要是通过客户端杀毒,通过企业版防毒软件统一对已经进入内部网络的病毒进行处理。
1.4 网络安全审计系统。网络安全审计系统作为一个完整安全框架中的一个必要环节,作为对防火墙系统和入侵防御系统的一个补充,其功能:首先它能够检测出某些特殊的IPS无法检测的入侵行为(比如时间跨度很大的长期攻击特征);其次它可以对入侵行为进行记录、报警和阻断等,并可以在任何时间对其进行再现以达到取证的目的;最后它可以用来提取一些未知的或者未被发现的入侵行为模式等。网络安全审计系统与防火墙、入侵检测的区别主要是对网络的应用层内容进行审计与分析。
1.5 统一威胁管理系统(UTM)。UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。虽然UTM集成了多种功能,但却不一定会同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。UTM部署在安全域边界上,可以根据保护对象所需的安全防护措施,灵活的开启防火墙、IPS、防病毒、内容过滤等防护模块,实现按需防护、深度防护的建设目标。采用UTM设备来构成本方案的核心产品,可有效节约建设资金,又能达到更好的防护效果。
2 消防指挥网络安全设备部署
市级消防指挥网络是市支队与各区(县)大队或中队之间部署的专网,规模相对较小,主要用途为视频会议、远程视频监控、接处警终端和灭火救援指挥调度应用系统等业务,可按需选择部署防火墙、入侵防护系统、防病毒网关、统一威胁管理系统、入侵检测系统、网络安全审计七类设备。(如图)
2.1 计算机安全防护软件:在网内计算机终端统一安装防病毒软件、终端安全软件、一机两用监控软件。补丁分发管理系统和终端漏洞扫描系统统一由省级指挥中心部署,用来管理市级指挥调度网内计算机。这样,可以防止安全风险扩散,保障由终端、服务器及应用系统等构成的计算环境的安全。
2.2 指挥调度网安全边界:在市级指挥调度网与省级指挥调度网联网边界部署统一威胁管理系统(UTM),开启防火墙、入侵防护、网关防病毒、VPN等功能模块,在专网安全边界对各种风险统一防护。在核心交换机上部署网络审计系统对内网中的网络通信进行记录和分析,及时发现可能存在的网络事件。
2.3 内网终端区:内网终端区主要有计算机接处警终端、视频会议终端、视频监控终端等,操作应用人员比较复杂,随意使用移动存储设备的可能性大,在内网终端区安全边界区部署一台防病毒网关进行病毒过滤,防止病毒向其他区域扩散。
2.4 核心业务处理区:主要包括灭火救援指挥调度相关的业务系统、综合统计分析、综合报表管理等业务系统。部署一台防火墙对核心业务处理区进行访问控制,阻断对安全区内的业务服务的非法访问;再部署一台IPS,实时发现并阻断针对核心业务处理区的入侵和攻击行为。
2.5 指挥中心边界:部署一台防火墙对支队指挥中心与上级指挥中心之间的业务访问进行访问控制和攻击防御。
2.6 内网管理区:区中主要有各类管理服务器,用于集中进行安全策略的定制、下发、集中监控各类系统的运行状态。主要包括设备管理、终端管理、防病毒管理等。
如果市级指挥中心规模较小,可以将核心业务处理区、内网管理区和指挥中心区合并为同一个安全域,共同部署一台IPS和防火墙。
3 总结
总之,网络安全是一项综合性的课题,它涉及技术、管理、应用等许多方面,既包括信息系统本身的安全问题,又有网络防护的技术措施。我们必须综合考虑安全因素,在采用各种安全技术控制措施的同时,制定层次化的安全策略,完善安全管理组织机构和人员配备,才能有效地实现网络信息的相对安全。
参考文献:
[1]杨义先,任金强.信息安全新技术[M].北京:北京邮电大学出版社,2002.
[2]公安部.信息安全等级保护培训教材[M].2007.
网络安全内网管理范文4
[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
网络安全内网管理范文5
关键词 局域网 信息安全问题 有效保障策略
中图分类号:TP393.08 文献标识码:A
随着计算机网络的不断发展和普及,越来越多的企事业单位组建了内部局域网,实现了信息数据快速集中、传递和共享,极大地提高了工作效率。与此同时,局域网开放共享的特点,很容易受到来自系统内部和外部的非法访问和攻击。所以,局域网管理者必须关注局域网存在的信息安全问题,寻求保障局域网信息安全的有效策略。
1 局域网存在的信息安全问题
相对广域网络比较完善的安全防御体系,局域网对网络内部计算机客户端的安全威胁缺乏必要防范措施,导致许多信息安全问题。
(1)局域网最大的特点是内网资源共享,这种共享资源的“数据开放性”也给未经授权的外部网络设备或用户通过局域网的网络设备自动进入网络提供了有效的通道,极易导致内网数据信息的泄露、篡改和删除。
(2)许多内网用户缺乏网络安全方面的知识和手段,不经意间下载安装了欺骗性的软件,而类似的软件往往附带病毒,如果局域网中服务器区域没有进行独立保护,只要内网中一台电脑感染病毒,就会感染服务器,并使得局域网中任何一台通过服务器信息传递的电脑,都可能会感染病毒,相应使数据安全性降低。
(3)许多内网用户使用移动存储设备进行数据传递,可能将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网,同时将内部数据带出局域网,这就给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。
(4)为管理方便,一般来说,局域网管理者为每个上网计算机终端分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了网络管理的混乱,也可能造成重要文件数据的外流。
2 保障局域网信息安全的有效策略
从保证局域网信息网安全的层面看,安全策略决定采用何种方式和手段来保证网络系统的安全。目前广泛运用和比较成熟的局域网安全保障策略包括以下方面:
(1)强化用户安全意识策略。局域网信息安全汇集了硬件、软件、网络、人员诸多因素,而人正是网络安全中最薄弱的环节。所以必须强化网络用户的安全防范意识,让每个用户都明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。使计算机使用者掌握一定的安全知识,树立良好的计算机使用习惯。
(2)防火墙技术策略。防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问监察的安全应用措施。主要用来隐蔽内部网络结构,加强网络之间访问控制,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境。
(3)数据加密策略。数据加密就是对信息进行重新编码,将明文数据经过变序或替换变成密文数据,应用时再将密文数据转换成明文数据输出,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密主要用于对动态信息的保护,一个加密系统包括明文集合、密文集合、密钥集合和算法,其中密钥和算法构成了加密系统的基本单元,算法是一些公式、法则或程序,规定了明文与密文之间的变换方法,密钥则可以看作算法中的参数。
(4)漏洞扫描策略。漏洞扫描是自动检测远端或本地主机安全的技术。扫描程序利用已经掌握的网络攻击方法,并把它们集成到整个扫描中,通过查询TCP/IP各种服务的端口,探测本地主机系统和远端系统信息,对网络模拟攻击,记录目标主机的响应,收集关于某些特定项目的有用信息,可以在很短的时间内发现网络系统中的安全脆弱点,并以统计的格式输出,从而帮助网络安全管理员准确地掌握网络安全状况 。
(5)入侵检测策略。入侵检测基于在不影响网络性能情况下对网络行为、安全日志、审计数据或网络数据包进行的检测,实现对局域网信息的实时监听,识别出任何不希望发生的网络活动,发现对系统的闯入或者对系统的威胁,检测局域网络中违反安全策略的行为,提供对内部攻击、外部攻击和误操作的实时防护,保证信息系统的资源不受攻击。
(6)网络安全可视化策略。网络安全可视化利用人类视觉对模型和结构的获取能力,将海量高维抽象网络和系统数据以图形图像形式表现出来,实时显示网络通信的特殊信息,反映目前整个局域网络的运行状态,并以一种人性化的方式将网络上存在的安全风险准确地告知管理员,使网络安全防护变得更智能、更积极、更主动。
保证安全是局域网应用与维护的重要前提。要生成一个高效、通用、安全的局域网络信息系统,我们必须仔细考虑系统的安全需求,采取强有力的网络安全技术手段,认真研究局域网络安全技术的新趋势,构建一个完善的安全保护体系,才能保证局域网络系统安全、可靠地正常运行。
参考文献
网络安全内网管理范文6
【关键字】油田网络 安全防护 防火墙 网络应用
为更快地适应网络发展速度,稳定油田网络发展的现状,在面对新的挑战的同时也会存在壮大自己的机遇,因此做好油田网络的全面发展,需要研发开拓新业务,实现业务转型,在保证油田网络的正常运行的同时,健全安全防护体系,确保实现正常生产管理,防治因管理疏忽或操作失误引发病毒入侵通信网络而造成经济损失。
一、油田网络应用的现状
早在油田网路的初步兴起时,油田网络只注重生产的便捷性,效率高,可实现油田生产各方面的监控,降低了生产成本,但疏忽了整体的开放性,防护意识差,造成整体通信安全可靠性低,如通信协议TCP/IP就存在很大的漏洞,一些服务系统很可能被攻击获得权限,造成网络服务、网络应用程序均存在安全隐患,在黑客看来,一些简单的认证过程或静态密码口令,假冒别的身份可轻而易举的入侵通信通道。其次,许多操作系统缺乏管理及更新,与安全防护管理者缺乏专业管理意识或知识能力有限有关。
二、加强油田网络应用建设
1、操作系统使用正版。盗版系统的特点是系统不稳定性,可能系统本身携带病毒,容易出现瘫痪,其次,盗版系统不可以免费升级,不可预知并处理系统存在的高危漏洞,整个网络不能及时得到保护,此外,造成的运行缓慢,迟钝等现象,对油田视频监控管理非常不利,为企业的安全造成不可预估的损失。因此,杜绝使用盗版体统。
2、加强内网的安全管理,依次为依托制定多种安全管理措施。防火墙技术发展的已经相当先进成熟,但对内部网络的防护几乎没有作用,而信息产业统计信息显示,大约70%的网络攻击来自内网人员,因此,管理好内部网络安全系统是处理好大型复杂网络的最佳途径,善于利用局域网的内网管理系统制定多种油田网络安全管理策略。
3、定期管理重要软件,比如杀毒软件,做好升级更新,性能好的软件才能够起到实时防护作用;一些恶评软件,定期清理流氓软件,能够加快油田网络的运行速度,同时清除了一些占用内存。
三、建立网络安全防护技术
1、应用防火墙技术。防火墙技术是重要的网络安全防护技术。用于加强网络之间的访问权限,如外部网路用户若想采用不合理手段进入内部网络,必须经过防火墙的审核,也因此内部网络资源被安全访问的前提是防火墙技术成熟。防火墙将外部网和内部网隔绝开,处理掉来自外部网的一切有害攻击,守护内部网不被病毒入侵,形成油田网络安全防护的主要环节。此外,防火墙还可以将访问内部网的所有活动进行过滤,审核,剔除不必要的服务或不相干的服务活动,筛选出安全可靠的服务进入内网访问,因此,防火墙也可以详细记录多有访问内网的活动,增加了可疑攻击的分析结果。
2、加强防病毒体系。建立防病毒体系,目的在于控制病毒的传播,病毒的重要发展史是2003年,诸如“冲击波”、“蠕虫王”等病毒飞速发展,瞬时对通信网络的安全产生巨大的威胁。因此我们应当加强系统的病毒侵入管理,做到全方位的防止病毒。首先建立病毒防护体系,制定多层防护措施,每个管理者提高网络安全意识,使用正版的防毒杀毒软件,将网络中脆弱的环节发生病毒攻击的可能杀死在萌芽中。
3、善与应用加密技术。高端的加密技术是保证网络难以被攻破的关键。信息加密技术可以确保网络内部的信息、数据等不被泄露。常用的加密方式有三种,端点加密、链路加密和节点加密,三种加密方式分别实现源端到目的端、网络节点链路和源节点到目的节点的保护。加密技术广为使用的原因在于它可以利用很小的代价实现很大的安全保护作用,其加密方法可达数百种,密钥的算法又分为两种,常规和公钥密码算法,因此做好密钥的管理也是网络系统安全管理的关键。