前言:中文期刊网精心挑选了网络安全加固措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全加固措施范文1
【关键词】 网络 计算机安全 防护
随着网络的普及和科学技术的深入发展与运用,计算机系统和网络自身固有的安全漏洞也跟着突显出来。针对漏洞的网络攻击等行为扰乱了各种中枢指挥系统,导致指挥失灵、决策失误,严重地危及到政府、军事和商业的安全。因此,计算机安全问题的解决对于保护计算机的安全具有十分重要的现实意义与价值。
一、计算机网络及计算机网络安全
计算机网络是计算机科学发展到一定阶段的产物,它是由计算机系统及终端设备,通过线路连接起来的系统。计算机网络使用户实现了远程通信和资源共享,计算机网络化是信息社会的主要标志之一。计算机网络的主要用途是资源共享,系统可靠性高,具有可扩展性。
网络环境下计算机安全,就是指计算机系统中的各种数据、计算机的软件和硬件,在与网络连接的条件下,可以受到保护,免受来自外界的恶意或者偶然的信息泄露、数据破坏或者更改,从而免遭到经济损失、系统崩溃或者中断与外界的联系等恶果。计算机安全从本质上来讲,就是信息安全。它所包含的范嗣很大,意义很广泛,大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等都在计算机安全的范畴内。计算机安全所涉及到的内容,既有技术理论方面的问题,又有人为管理方面的问题,其中,技术方面主要负责防范外部的恶意攻击破坏,人为管理方面则侧重内部人员因素的管理.只有两者相辅相成,才能更有效地实现保护计算机免受威胁的目标。提高计算机的安全性也因此成为当前计算机业内亟待解决的一个重要问题。
二、网络计算机安全的主要隐患
1、网络自身的安全缺陷。网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。
2、黑客攻击。这是一种最严重的网络安全威胁。攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。维护网络安全,主要指维护网络的信息安全。保证数据的机密、完整是最基本的目标。一个安全的网络环境,数据未经授权应该是不能被任意修改的,任何想获取该数据信息的访问者都应是经过授权的合法用户。
3、不正确的系统维护措施。系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。有时候,虽然专业人员已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
三、计算机安全问题的防范与控制
1、硬件方面安全问题防范与控制。采用加固技术能够提高计算机硬件的安全性。常见的有防震加固、密封加固、防腐加固、温度环境加固。防辐射加固措施是从芯片,电磁器件到线路板、电源、转盘、硬盘、显示器及连接线,都全面屏蔽起来,以防电磁波辐射。更进一步,可将机房或整个办公大楼都屏蔽起来,如没有条件建屏蔽机房,可以使用干扰器,发出干扰信号,使接收者无法正常接收有用信号。
随着计算机的发展,我们手上的移动设备越来越多,这些移动设备给我们的信息存储和转移带来了方便,但也带来了不少的安全隐患。由于移动设备的特点,使得移动设备中往往隐藏着不少的病毒文件,一旦我们在自己的计算机上打开携带病毒的移动设备后,我们的计算机就会被感染病毒。因此,在日常生活中使用不确定的移动设备时,应该在未打开移动设备的状态下先杀毒再使用。
网络安全加固措施范文2
路由器是局域网之中非常重要的一种网络设备,其主要在网络层实现子网之间以及内外数据的转发,是不同网络之间进行数据交换及通信的一个重要通道。当前,很多路由器可集成防火墙等安全模块,对网络起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企业均使用Cisco(思科)路由器及交换机对该企业局域网进行安全加固,从而在很大程度上提高了石油企业的网络安全以及提高了企业的生产效益。
【关键词】Cisco路由器 交换机 安全加固
由“木桶”原理可以得知,一个木桶可以装多少水,受到该木桶最短的那块木板所决定。具体到信息系统的安全也是同样的道理,整个信息系统的安全程度也受到信息系统之中最薄弱的环节所决定,网络作为信息系统的主体,其安全需求的重要性是显而易见的。本文主要对石油企业Cisco路由器及交换机安全加固措施进行分析,旨在为石油企业的网络安全运行提供一定的参考依据。
1 概述
目前,很多石油企业局域网的建设全部或者部分采用Cisco(“思科”)的路由器与交换机,究其原因,笔者认为,这主要是由于该设备的功能非常强大,工作性能稳定性好,其互联网操作系统(IOS)在网络安全策略等方面均具有独特的考虑,使用IOS的安全策略功能,不需要单独地购置安全管理软件,就能够很好地实现绝大部分的安全功能,使得石油企业局域网运行于较安全的环境之中。
运用Cisco的路由器与交换机,构筑成为一个典型的基于第三层交换技术的高性能千兆石油企业局域网,其具体拓扑结构示意图如图1所示,以Catalyst-4006作为核心交换机,5台Catalyst-2950G构成汇聚层,20台Catalyst-2924与Catalyst-1924构成接入层,1台4500型路由器做边缘路由器,通过2MDDN线路与CERNET地区网络中心相连接,1台2511型做远程访问服务器,作用是提供拨号用户使用。
应用Cisco路由器与交换机,石油企业可实现如下几个方面的网络安全策略:路由器安全策略、用户主机安全策略、交换机安全策略、服务器安全策略以及网络访问安全策略等。
2 Cisco路由器安全加固策略
众所周知,对于一个网络而言,路由器是网络的核心部分,其实际配置情况对整个网络的正常工作与运行均具有十分重要的意义与价值,在实际过程中,应只允许授权的主机对路由器进行远程登录,而禁止未授权的主机进行登录。在路由器的全局配置条件下,设置标准访问控制表,且在全部的虚接口上进行应用,应用的方向为in,如此,就能够很好地保证只有授权的主机远程登录路由器且修改其配置,实际过程中,路由器的主要配置为:
access-list 1 permit 202.115.145.66 line vty 04
access-class 1 in
表示仅允许主机202.115.145.66远程登录至路由器。
3 Cisco交换机安全加固策略
3.1 Cisco交换机地址的配置
为了能够便于管理,可将交换机配置IP地址。例如可将IP地址进行配置,192.168.0.0,就能够禁止非本企业的主机对交换机进行访问。将企业内全部的交换机均应置于一个虚拟网络之中(常见的为VLAN-2)之中,在交换机之中可进行如下配置:
Interface vlan 2
in address 192.168.0.3 255.255.255.0
3.2 配置允许访问交换机的主机
经过上述的安全加固策略的实施,Cisco交换机的访问被限制于石油企业内部,而且还能够在石油企业内部网络的三层交换机4006上面,将访问控制表进行配置,将其用于Cisco交换机的虚拟网络之中,应用的方向属于in,仅仅允许石油企业内所指定的主机能够访问该交换机所在的虚拟网络,而其他主机(如其他石油企业的主机)不能对该虚拟网络进行访问,那么这就阻止了其对本石油企业Cisco交换机的访问,因此也就无法获取本企业Cisco交换机中的任何数据。在三层交换机4006型上进行如下的配置:
access-list 10 permit 202.115.145.66
interface vlan 2
in access-group 10 in
经过上述安全加固策略的实施,只有IP地址为202.115.145.66的配置能够访问本石油企业局域网网络交换机。
3.3 允许远程登录交换机主机的配置
允许访问交换机的主机,应该注意对远程登录该交换机的过程进行限制。只允许被授权的主机进行登录,从而对相关的配置参数加以修改。在交换机的全局配置条件下,设置标准的访问控制表,用于虚拟接口的0~15上面,应用的方向为in。交换机上面的具体配置如下:
access-list 1 permit 202.115.145.66
line vty 0 15
access-class 1 in
如此,仅仅允许主机202.115.145.66对交换机进行远程登录,从而能够修改交换机的具体配置。
4 结论
综上所述,本研究主要对Cisco路由器与交换机在石油企业网络之中的安全策略。若在石油企业网络构建过程中,采用本文所提出的网络安全解决策略,能够很好地满足石油企业的绝大多数安全需求,以最大程度地减少网络建设所需的各种费用。
参考文献
[1]张秀梅.网络入侵防御系统的分析与设计[J].信息与电脑,2009(07):1-2.
[2]马丽,袁建生,王雅超.基于行为的入侵防御系统研究[J].网络安全技术与应用,2010(06):33-35.
[3]郭翔,谢宇飞,李锐.校园网层次型网络安全设计[J].科技资讯,2010(9):26.
[4]杨森.浅谈思科路由器使用安全对策[J].房地产导刊,2013(7):371-372.
[5]王均.杨善林.VLAN技术在网络中的应用[J].电脑与信息技术,2000,(2).
作者单位
网络安全加固措施范文3
关键词:等级防护;电力企业;网络安全建设
中图分类号: F407 文献标识码: A 文章编号:
引言
信息化是一把“双刃剑”,在提高企业工作效率、管理水平以及整体竞争能力的同时,也给企业带来了一定的安全风险,并且伴随着企业信息化水平的提高而逐渐增长。因此,提升企业的信息系统安全防护能力,使其满足国家等级保护的规范性要求,已经成为现阶段信息化工作的首要任务。对于电力企业的信息系统安全防护工作而言,应等级保护要求,将信息管理网络划分为信息内网与信息外网,并根据业务的重要性划分出相应的二级保护系统与三级保护系统,对三级系统独立成域,其余二级系统统一成域,并从边界安全、主机安全、网络安全、应用安全等方面对不同的安全域对防护要求进行明确划分。
1现阶段电力企业网络风险分析
1.1服务器区域缺少安全防护措施
大部分电力企业的服务器都是直接接入本单位的核心交换机,然而各网段网关都在核心交换机上,未能对服务器区域采取有效的安全防护措施。
1.2服务器区域和桌面终端区域之间的划分不明确
因服务器和桌面终端的网关都在核心交换机上,不能实现对于域的有效划分。
1.3网络安全建设缺乏规划
就现阶段的电力企业网络安全建设而言,普遍存在着缺乏整体安全设计与规划的现状,使整个网络系统成为了若干个安全产品的堆砌物,从而使各个产品之间失去了相应的联动,不仅在很大程度上降低了网络的运营效率,还增加了网络的复杂程度与维护难度。
1.4系统策略配置有待加强
在信息网络中使用的操作系统大都含有相应的安全机制、用户与目录权限设置以及适当的安全策略系统等,但在实际的网络安装调试过程中,往往只使用最宽松的配置,然而对于安全保密来说却恰恰相反,要想确保系统的安全,必须遵循最小化原则,没有必要的策略在网络中一律不配置,即使有必要的,也应对其进行严格限制。
1.5缺乏相应的安全管理机制
对于一个好的电力企业网络信息系统而言,安全与管理始终是分不开的。如果只有好的安全设备与系统而没有完善的安全管理体系来确保安全管理方法的顺利实施,很难实现电力企业网络信息系统的安全运营。对于安全管理工作而言,其目的就是确保网络的安全稳定运行,并且其自身应该具有良好的自我修复性,一旦发生黑客事件,能够在最大程度上挽回损失。因此,在现阶段的企业网络安全建设工作过程中,应当制订出完善的安全检测、人员管理、口令管理、策略管理、日志管理等管理方法。
2等级保护要求下电力企业网络安全建设防护的具体措施
2.1突出保护重点
对于电力企业而言,其投入到信息网络安全上的资源是一定的。从另外一种意义上讲,当一些设备存在相应的安全隐患或者发生破坏之后,其所产生的后果并不严重,如果投入和其一样重要的信息资源来保护它,显然不满足科学性的要求。因此,在保护工作过程中,应对需要保护的信息资产进行详细梳理,以企业的整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中,在这些重要信息资源得到有效保护的同时,还可以使工作效率得到很大程度的提高。
2.2贯彻实施3层防护方案
在企业网络安全建设过程中,应充分结合电力企业自身网络化特点,积极贯彻落实安全域划分、边界安全防护、网络环境安全防护的3层防护设计方案。在安全防护框架的基础上,实行分级、分域与分层防护的总体策略,以充分实现国家等级防护的基本要求。
(1)分区分域。统一对直属单位的安全域进行划分,以充分实现对于不同安全等级、不同业务类型的独立化与差异化防护。
(2)等级防护。遵循“二级系统统一成域,三级系统独立成域”的划分原则,并根据信息系统的定级情况,进行等级安全防护策略的具体设计。
(3)多层防护。在此项工作的开展过程中,应从边界、网络环境等多个方面进行安全防护策略的设计工作。
2.3加强安全域划分
安全域是指在同一环境内具有一致安全防护需求、相互信任且具有相同安全访问控制与边界控制的系统。加强对于安全域的划分,可以实现以下目标:
(1)实现对复杂问题的分解。对于信息系统的安全域划分而言,其目的是将一个复杂的安全问题分解成一定数量小区域的安全防护问题。安全区域划分可以有效实现对于复杂系统的安全等级防护,是实现重点防护、分级防护的战略防御理念。
(2)实现对于不同系统的差异防护。基础网络服务、业务应用、日常办公终端之间都存在着一定的差异,并且能够根据不同的安全防护需求,实现对于不同特性系统的归类划分,从而明确各域边界,对相应的防护措施进行分别考虑。
(3)有效防止安全问题的扩散。进行安全区域划分,可以将其安全问题限定在其所在的安全域内,从而有效阻止其向其他安全域的扩散。在此项工作的开展过程中,还应充分遵循区域划分的原则,将直属单位的网络系统统一划分为相应的二级服务器域与桌面终端域,并对其分别进行安全防护管理。在二级系统服务器域与桌面域间,采取横向域间的安全防护措施,以实现域间的安全防护。
2.4加强对于网络边界安全的防护
对于电力企业的网络边界安全防护工作而言,其目的是使边界避免来自外部的攻击,并有效防止内部人员对外界进行攻击。在安全事件发生之前,能够通过对安全日志与入侵事件的分析,来发现攻击企图,在事件发生之后可以通过对入侵事件记录的分析来进行相应的审查追踪。
(1)加强对于纵向边界的防护。在网络出口与上级单位连接处设立防火墙,以实现对于网络边界安全的防护。
(2)加强对于域间横向边界的防护。此项防护是针对各安全区域通信数据流传输保护所制定出的安全防护措施。在该项工作的开展过程中,应根据网络边界的数据流制定出相应的访问控制矩阵,并依此在边界网络访问控制设备上设定相应的访问控制规则。
2.5加强对于网络环境的安全防护
(1)加强边界入侵检测。以网络嗅探的方式可以截获通过网络传输的数据包,并通过相应的特征分析、异常统计分析等方法,及时发现并处理网络攻击与异常安全事件。在此过程中,设置相应的入侵检测系统,能够及时发现病毒、蠕虫、恶意代码攻击等威胁,能够有效提高处理安全问题的效率,从而为安全问题的取证提供有力依据。
(2)强化网络设备安全加固。安全加固是指在确保业务处理正常进行的情况下,对初始配置进行相应的优化,从而提高网络系统的自身抗攻击性。因此,在经过相应的安全评估之后,应及时发现其中隐藏的安全问题,对重要的网络设备进行必要的安全加固。
(3)强化日志审计配置。在此项工作的开展过程中,应根据国家二级等级保护要求,对服务器、安全设备、网络设备等开启审计功能,并对这些设备进行日志的集中搜索,对事件进行定期分析,以有效实现对于信息系统、安全设备、网络设备的日志记录与分析工作。
结语
综上所述,对于现阶段电力企业信息网络而言,网络安全建设是一个综合性的课题,涉及到技术、使用、管理等许多方面,并受到诸多因素的影响。在电力企业网络安全建设过程中,应加强对于安全防护管理体系的完善与创新,以严格的管理制度与高素质管理人才,实现对于信息系统的精细化、准确化管理,从而切实促进企业网络安全建设的健康、稳步发展。
参考文献:
[1]张蓓,冯梅,靖小伟,刘明新.基于安全域的企业网络安全防护体系研究[J].计算机安全,2010(4).
网络安全加固措施范文4
比如:Unicode攻击,以及“代码注入技术”,因为这种攻击是选择了防火墙所允许的80端口。而包过滤的防火墙无法对数据包内容进行核查,因此此时防火墙等同于虚设。即使在防火墙的屏障之后,也会被攻击者轻松拿下超级用户的权限。
1、防火墙是一个静态的设备
随着信息技术的发展与应用,信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好地描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。
传统的计算机安全模型中,美国国防部NCSC国家计算机安全中心于1985年推出的TCSEC模型是静态计算机安全模型的代表,也是目前被普遍采用的安全模型。
PPDR模型包含四个主要部分:Policv(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成了一个所谓的“完整的、动态的”安全循环,在安全策略的整体指导下保证信息系统的安全。
2、高频词“安全木桶”
网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是客户端用户系统自身的复杂性和随意性较强,即使使用一些技术保护也可以说防不胜防。网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”,“安全木桶”这个词在网络安全领域是出现频率非常高的用词。
但是,依然有相当一部分人认为黑客、病毒、系统加固等就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种片面的看法对一个组织实施有效的信息安全保护带来了不良影响,有许多例子都可以举出来。
3、网络安全是一种“补充”
多数的企业网络建设中都会将有限资金放到网络边界和基础设施上,但是对计算机环境尤其是终端安全的资金投入和重视程度不高。这种资金投入的比例严重失调必然会造成“短板效应”。
网络安全是一个系统,它不是防火墙,不是入侵检测系统,也不是我们虚拟专用网,当然,也不是哪个网管员根据厂商或者网上的一些资料加固系统的范例。
我们常说的访问控制列表,它能够基于主机防火墙、文件访问控制为您提供网络层面和文件层面的控制,但它不是一个系统。对于一个真正的网络安全系统,以需要应用特定的威胁防御方法作为技术补充。例如在NTFS文件系统中,如果您针对用户设置了“读取访问权限”,那么这些访问文件的用户真的就不能修改这些文件了吗?答案是否定的。
我们设想一下。如果这个用户将可读取的文件存储为副本,那么这个文件的从属权是不是已经丢失了。所以。在文件访问控制列表的基础上增加数字证书或者水印功能,都是对访问控制列表的补充应用。
网络安全加固措施范文5
关键词:智慧城市;智慧徐州;网络安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
随着信息技术的迅速发展,世界各地有竞争力的城市已迎来了数字向智慧城市迈进的大潮。智慧城市建设注重城市物理基础设施与IT基础设施之间进行完美结合,旨在改变政府、企业和市民交互的方式,提高明确性、效率、灵活性和响应速度,促进城市内外部信息产生、交流、释放和传递向有序化、高效化发展,关注提高城市经济和社会活动的综合竞争力,越来越受到中国各个城市领导者的认同和肯定。
徐州市在“十二五”伊始,深刻认识到智慧徐州建设在提升综合竞争力、加快转变经济发展方式、加强社会建设与管理,解决发展深层次问题等方面的重要作用,将“智慧徐州”建设纳入了未来城市发展的战略主题,希望通过智慧徐州建设,以信息资源整合、共享、利用为抓手,健全公共服务,增进民生幸福,科技创新驱动产业转型升级,智能手段创新城市管理模式,采约建设实现信息基础全面领先,为把我市建设成“同类城市中环境最为秀美、文化事业最为繁荣、富民强市最为协调的江南名城”提供有力支撑。
网络系统作为智慧徐州信息资源枢纽工程及各部门接入的承载,需通过网络系统进行数据传输,规划一张合理的、高效的、安全的网络系统能够有效地保障智慧徐州信息资源枢纽工程能够安全、稳定、高速地运行。
1 网络安全建设
由于智慧徐州信息资源枢纽工程的信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,因此在建设中安全系统建设将作为一项重要工作加以实施。网络安全建设应包括以下几方面:
1.1 安全的网络结构
安全的网络结构应该能够满足为了保证主要的网络设备在进行业务处理时能够有足够的冗余空间,来满足处理高峰业务时期带来的需求;确保网络各部分的带宽能够满足高峰业务时期的需要;安全的访问路径则通过路由控制可以在终端与服务器之间建立;按照提出需求的业务的重要性进行排序来指定分配带宽优先级别,如果网络发生拥堵,则优先保护重要的主机;能够绘制出当前网络运行情况的拓扑结构图;参考不同部门之间的工作职能和涉及相关信息的重要程度等因素,来划分成不同的子网和网段,与此同时在以方便管理和控制的前提下,进行地址分配;重要网段部署不能处在网络的边界处而且不能与外部信息系统直接连接,应该采取安全的技术隔离手段将重要网段与其他网段进行必要的隔离。
1.2 访问控制安全
当在网络边界对控制设备进行访问时,能够启动访问控制功能;对实现过滤信息内容的功能,并且能对应用层的各种网络协议实现命令级的控制;能自动根据会话的状态信息为传输的数据流提供较为明确的允许或者拒绝访问的能力,将控制粒度设为端口级;能够及时限制网络的最大流量数和网络的连接数量;当会话结束或非活跃状态的会话处于一段时间后将终止网络的连接;要采取有效的技术手段防止对重要的网段地址欺骗;能在遵守系统和用户之间的访问规则条件下,来决定用户对受控系统进行资源的访问是否被允许或拒绝,同时将单个用户设置为控制粒度;具有拨号访问权限的用户数量受到限制。
在关键的位置部署网关设备是实现访问控制安全的最有效途径,政务网接入边界安全网关:为内部区域提供边界防护、访问控制和攻击过滤。
1.3 审计安全
安全审计方面应包括能够对网络系统中设备的用户行为、网络流量、运行状况等进行相关的记录;并且能够分析所记录的数据,生成相关的报表;为避免审计记录受到未预期的修改、覆盖或删除等操作,应当安全保护审计记录。通过防火墙可以实现网络审计的功能。
网络的审计安全主要内容有:为能够有效记录网络设备、各区域服务器系统和安全设备等这些设备以及经过这些设备的所有访问行为,应在这些设备上开启相应的审计功能,由安全管理员定期对日志信息和活动状态进行分析,并发现深层次的安全问题。
1.4 检查边界的完整性
为对私自联到内部网络的非授权设备行为进行安全检查,边界完整性检查要求能够准确定出其位置,并进行有效的阻断。
实现边界完整性检查的相关技术:
1)制定严格的检查策略,将服务器区域在网络设备上划分为具有独立功能的VLAN,同时禁止除来自网络入侵防御系统以外的其他VLAN的访问;
2)为提升系统自身的安全访问控制能力,应对安全加固服务器系统采取相应措施。
1.5 入侵防范
网络的入侵防范应能在网络边界处监视到木马后门攻击、拒绝服务攻击、IP碎片攻击、端口扫描、强力攻击、网络蠕虫攻击和缓冲区溢出攻击等攻击行为。当攻击行为被检测到时,应能记录攻击的时间、源IP、目的和类型,如果发生较为严重的入侵事件,应及时提供警报信息。通过前置防火墙实现入侵防御的功能。
1.6 恶意代码防范
在网络边界处检测和清除恶意代码,对恶意代码数据库的升级和系统检测的更新等,是恶意代码防范的范畴。目前,主要是通过网络边界的安全网关系统防病毒模块来检测和清除系统漏洞类、蠕虫类、木马类、webcgi类、拒绝服务类等一系列恶意代码进行来实现恶意代码防范的技术。
1.7 网络设备的安全防护
网络设备的安全防护要求能够限制网络设备管理员的登录地址;在网络设备用户的标识唯一的伯伯下,要能鉴别出登录用户的身份;主要网络设备对同一用户进行身份时鉴别时,应当选择几种组合的鉴别技术来鉴别,避免只使用一种鉴别技术;鉴别身份的信息应不易被冒用,网络口令应定期更换而且要有一定的复杂度,不易破解;当登录失败时,能自动采取限制登录次数、结束会话和当网络登录连接超时自动退出等相应措施;当网络设备被用户远程管理时,能够有防止网络传输过程的鉴别信息被窃听的相关措施。
网络设备安全防护的技术实现主要是通过提供网络设备安全加固服务,根据前面的网络结构分析,系统采用若干台核心交换机、汇聚交换机和接入交换机,实现各个安全区域的连接。
对于网络设备,应进行相应的安全加固:
1)将楼层接入交换机的接口安全特性开启,并将MAC进行绑定。
2)关闭不必要的服务,包括关闭CDP、Finger服务、NTP服务、BOOTp服务(路由器适用)等。
3)登录要求和帐号管理,包括采用enable secret设置密码、采用认证、采用多用户分权管理等。
4)SNMP协议设置和日志审计,包括设置SNMP读写密码、更改SNMP协议端口、限制SNMP发起连接源地址、开启日志审计功能。
5)其它安全要求,包括禁止从网络启动和自动从网络下载初始配置文件、禁止未使用或空闲的端口、启用源地址路由检查(路由器适用)等。
2 网络安全防护
边界防护:在智慧徐州信息资源枢纽工程的边界设立一定的安全防护措施,具体到智慧徐州信息资源枢纽工程中边界,就是在平台的物理网络之间,智慧徐州信息资源枢纽工程的产品和边界安全防护技术主要采用交换机接入、前置防火墙及网闸。
区域防护:比边界防护更小的范围是区域防护,指在一个区域设立的安全防护措施,具体到智慧徐州信息资源枢纽工程中,区域是比较小的网段或者网络,智慧徐州信息资源枢纽工程的区域防护技术和产品采用接入防火墙。
节点防护:节点防护主要是指系统健壮性的保护,查堵系统的漏洞,它已经具体到其中某一台主机或服务器的防护措施,建议智慧徐州信息资源枢纽工程中的产品和节点防护技术都应采用病毒防范系统、信息安全检查工具和网络安全评估分析系统等。
3 网络高可用
在智慧徐州信息资源枢纽工程网络建设中,网络设备本身以及设备之间的连接都具非常高的可靠性。为了保障智慧徐州信息资源枢纽工程网络的稳定性,在智慧徐州信息资源枢纽工程核心网络部分,核心交换机、接入防火墙等设备全部采用冗余配置,包括引擎、交换网、电源等。所有的连接线路全部采用双归属的方式,包括与电子政务局域网互联,与服务器接入交换机互联。在数据应用区,服务器通过双网卡与服务器接入交换机互联,保障了服务器连接的高可靠性。
4 数据安全
4.1 数据安全建设
数据的安全是整个安全建设中非常重要的一部分内容。数据的安全建设主要涉及数据的完整性、数据的保密性以及数据的备份和恢复。对于系统管理、鉴别信息和重要业务的相关数据在存储过程中进行检测,如检测到数据完整性有错误时采取必要的恢复措施,并且能对这些数据采用加密措施,以保证数据传输的保密性。
对于资源共享平台系统的数据安全及备份恢复要求如下:
1)对于鉴别信息数据存储的保密性要求,均可以通过加强物理安全及网络安全,并实施操作系统级数据库加固的方式进行保护;
2)对于备份及恢复要求,配置了备份服务器和虚拟带库对各系统重要数据进行定期备份;
3)需要通过制定并严格执行备份与恢复管理制度和备份与恢复流程,加强各系统备份恢复能力。
4.2 数据安全加密传输(VPN)
针对数据传输的安全性,部分接入部门到智慧徐州信息资源枢纽工程的数据进行VPN加密传输。接入部门和平台两端之间运行IPSec 或SSL VPN协议,保证数据在传输过程中的端到端安全性。
4.3 数据交换过程的安全保障
平台数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
平台业务系统在传递消息的过程中可以指定是否采用消息内容的校验,校验方法是由发送消息的业务系统提供消息的原始长度和根据某种约定的验证码生成规则(比如 MD5 校验规则)生成的验证码。
4.4 数据交换接口安全设计
平台提供的消息传输接口支持不同的安全标准。对于对安全性要求比较高的业务系统来说,在调用平台的Web Service接口时使用HTTPS 协议,保证了传输层面的安全;而对于安全性不那么重要,只想通过很少的改动使用平台功能的业务系统来说,可以简单的通过HTTP方式调用平台的Web Service接口进行消息的传输。
5 安全管理体系建设
在智慧徐州信息资源枢纽工程安全保障体系建设中,应该建立相应的安全管理体系,而不是仅靠技术手段来防范所有的安全隐患。安全建设的核心是安全管理。在安全策略的指导下,安全技术和安全产品的保障下,一个安全组织日常的安全保障工作才能简明高效。
完整的安全管理体系主要包括:安全策略、安全组织和安全制度的建立。为了加强对客户网络的安全管理,确保重点设施的安全,应该加强安全管理体系的建设。
5.1 安全策略
安全策略是管理体系的核心,在对信息系统进行细致的调查、评估之后,结合智慧徐州信息资源枢纽工程的流程,制定出符合智慧徐州信息资源枢纽工程实际情况的安全策略体系。应包括安全方针、主策略和子策略和智慧徐州信息资源枢纽工程日常管理所需要的制度。
安全方针是整个体系的主导,是安全策略体系基本结构的最高层,它指明了安全策略所要达到的最高安全目标及其管理和适用范围。
在安全方针的指导下,主策略定义了智慧徐州信息资源枢纽工程安全组织体系及其岗位职责,明确了子策略的管理和实施要求,它是子策略的上层策略,子策略内容的制定和执行不能与主策略相违背。安全策略体系的最低层是子策略,也是用于指导组成安全保障体系的各项安全措施正确实施的指导方针。
5.2 安全组织
由于智慧徐州信息资源枢纽工程信息化程度非常高,信息安全对于整个智慧徐州信息资源枢纽工程系统的安全建设非常重要。因此,需要建立具有适当管理权的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。建立和组织外部安全专家的联系,以跟踪行业趋势,监督安全标准和评估方法,并在处理安全事故时提供适当的联络渠道。
5.3 安全制度
智慧徐州信息资源枢纽工程对于安全性要求非常高,因此安全制度的建立要求也很严格。由管理层负责制定切实可行的日常安全保密制度、审计制度、机房管理、操作规程管理、系统管理等,明确定义日常安全审计的例行制度、实施日程安排与计划、报告的形式及内容、达到的目标等。
智慧徐州信息资源枢纽工程建成后,需要针对各系统制定完善的动作体系,保证系统的安全运行。
参考文献:
[1] 吴小坤,吴信训.智慧城市建设中的信息技术隐患与现实危机[J].科学发展,2013(10):50-54.
[2] 娄欢,窦孝晨,黄志华,等.智慧城市顶层设计的信息安全管理研究[J].中国管理信息化,2015(5):214-215.
[3] 赵军.信息安全体系下的东营智慧城市建设研究[J].中国安防,2014(9):84-89.
网络安全加固措施范文6
【关键词】4G移动通信;无线网络;安全问题;防护措施
一、引言
网络通讯的安全一直是保证移动无线通信系统的价值的重要影响因素,因此,对于4G移动通信的无线网络安全问题的研究一直是业内人士研究的主要课题之一。虽然对于4G通信的无线网络安全问题研究已经十分重视,但是在实际操作过程中,其仍然存在很多的安全问题,给无线网用户的经济利益或者个人隐私带来了严重的威胁,必须采取相应的措施来最大限度地提高安全性,从而保证用户的用网安全。
二、4G移动通信无线网络安全问题分析
4G无线网络是通信系统的基本类型之一,其组件包括无线核心网、终端、无线接入网和IP骨干网这几个主要部分。因为4G无线网络系统组件的多样化,所以其网络安全问题也比较复杂,另外4G无线网络与互联网两者之间的安全风险在4G系统中可以共存,这就造成了对于4G移动通信无线网络的安全保护工作更加困难。目前,比较常见的4G移动通信无线网络安全问题主要包括以下几个方面:首先4G移动通信无线网络一个最基本的特征就是其应用过程中可以共存和融合,简而言之,就是无线网用户可以自由切换任何网络系统,因此基于这种情况,可以说4G移动通信无线网络受到无处不在的安全威胁。其次,在4G移动通信无线网络的实际使用之中,不仅需要提供的充分有效的QoS,而且还必须能够有效连接异构非IP网络,这些条件只有能够同时得到满足才能在一定程度上保障用户网质量的同时保证其安全,一旦不能同时满足,其必然在使用该过程将面临更多的安全隐患。再者,4G移动通信的无线网络主要有体系协议以及各种安全机制共同组成,不同的无线网络必然存在一定的差异性,因此在网络融合过程中会产生相关的安全威胁以及容错性。除此以外,4G移动通信的无线网络系统具有支持无线应用的功能,必然说如电子邮件、电子商务等等网络应用,如果这些无线应用程序本身在程序中存在漏洞或安全隐患,那么用户在使用4G无线通信网络时其网络安全将受到巨大的威胁。
三、关于4G移动通信的无线网络安全防护措施
3.1保护好移动终端的防护措施
对于4G移动通信无线网络的移动终端安全的保护,主要包括两个方面,第一个方面就是要保护好无线网络系统的硬件。对于硬件的保护,首先要对4G网络的操作系统进行加固,换句话说,即通过使用安全可靠的操作系统,从而支持实现系统的诸多功能,具体包括访问混合控制功能、验证远程功能等等;其次还要改进系统的物理硬件集成方式,确保可以减少可能遭受攻击的物理接口数量。另一方面,就是通过电压以及电流检测电路的增设,以达到检测并保护网络电路的目的,重发一次,对网络物理攻击进行防护,与此同时还可以通过使用存储保护,完整性测试及可信启动等方式实现对移动终端的保护。
3.2保护好无线接入网的安全措施
(1)安全传输,可以通过结合4G移动通信的无线网络的业务需求,并采用对无线接入网和移动终端设置加密传输功能的方式,在用户的计算机和无线网络中自动选择通信模式,从而提高无线网络的安全传输性能。(2)安全访问,利用辅助安全设备以及有针对性的安全措施,以防未经验证信任的移动终端连接到4G无线网络。(3)统一审计和监控,根据实际情况建立统一的审计监控系统,随时监控和记录移动终端的异常行为,以确保无线网络的可靠性。(4)安全数据过滤,对包括视频媒体等数据的过滤,从而保证内部网络系统的安全。(5)身份认证,通过构建无线接入网与移动终端之间的双向身份认证提高安全系数。
3.3建立安全体系机制
通过充分考虑4G移动通信的无线网络系统的安全性、可扩展性等等特性,从而建立4G无线通信安全体系机制。具体的操作如下,首先基于多策略机制采用不同的无线网络安全防护方法应用在不同的使用场合;其次则上建立适当的配置机制,确保移动终端配置的安全,换句话说用户可以根据个人需要选择合适的移动终端安全措施;再者就是建立可协商措施,使网络使用更加流畅;除此之外在整合部分安全机制的情况下,还能够以构建混合策略系统方式保护网络通信安全。
四、结束语
在本文中,通过讨论4G通信的无线网络的安全问题,从而提出针对的无线网络安全防护措施。目前,4G无线通信技术仍在不断的完善和更新,其应用前景十分美好,通过对其安全的提高,必然会在将来的应用中发挥出更大的价值。
参考文献
[1]刘巧平,周斌,于丹,杜晓鸽.4G网络的安全问题与对策研究[J].计算机技术与发展,2016,26(07):85-88.
