前言:中文期刊网精心挑选了网络安全体系解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全体系解决方案范文1
1 安全现状
校园网是学校基础设施,用于教学、科研、管理和对外交流等。校园网的安全情况有学校工作起至关重要的作用,其安全与否直接影响学生工作的质量高低。校园网建设之初,学校对这一块的重视力度不大,随着科技发展和教学办公的信息化,校园网受到的网络攻击变多,校园网安全问题也开始多样,加上学校安全意识和管理方面的原因,校园网的事故不断发生,安全受到极大的威胁。随着学校的发展和对网络管理的重视,科技促使校园网规模扩大,复杂性也在增加,学校网络用户对校园网的性能要求在提升,网络安全已经成为校园网发展建设的关键任务。
2 关键技术
2.1 防火墙技术
校园网安全问题,需要设置一个高级访问控制设备,以此组成防火墙系统,将其部署在几个不同的网络当中,内外网络信息必须从这个系统经过,因此可以利用防火墙拦截不安全信息,并对想要进入校园网的信息进行访问控制,保证校园网络的安全。
2.2 VPN技术
VPN指虚拟专用网络,是在建立私有和安全的通道,建立起自身网络和远程用户的安全连接。VPN是W络不断扩展中一个完整的组成部分,在网络元素不断扩展的时代,VPN技术能够保证校园网的安全性。利用VPN技术给两个或多个网络连接提供一条加密的隧道。这样,利用校园网这个共有网络传输的通信是隐藏的,保证安全性。
2.3 入侵检测技术
入侵检测技术也是一项安全技术,主要是网络边界的防护,虽然防火墙在安全方面有着重要作用。它部署在网络的各个关键点,但从安全技术和理论上看,防火墙是不能够避免入侵行为的。在这种形势下,利用入侵检测技术十分必要,检测防火墙在防护中遗漏的入侵行为,发现网络出现安全问题的原因,提高校园网的整体安全性。
2.4 设备冗余
校园网是一个比较公开,并且多种类型用户的网络系统,系统故障很常见,这时就需要利用冗余设备,以此来减少系统故障时间,保证校园网系统的可靠性。冗余是重要组成部分,和其他安全技术和措施不同,它不能直接缓解网络攻击和处理漏洞问题,但如果没有部署冗余设计,其他的安全技术和措施是不能发挥作用的,不能防范和抵御已知和未知的威胁和攻击,也不能够保证系统的安全。因而,在合适的位置部署冗余设计,是校园网安全的重要措施之一。设置冗余设备,保证其他技术的正常工作,使校园网更加安全、可靠和稳定,同时也能够为保护机制的建立争取时间。
3 安全措施
校园网安全问题是当前重要的一个问题,采取有效措施进行病毒和不良信息的入侵,能够保证学校网络环境的安全。
3.1 虚拟隔离
对于校园网内部环境的安全,应该利用VLAM技术进行虚拟隔离,给不同的区域不同的安全隔离,使不同等级的网络划分开,即使病毒进入一个区域,也不能任意妄为,扩散到其他区域,导致全网络的瘫痪。
3.2 病毒查杀
校园网的安全问题,病毒查杀是重要解决措施,在网络中安装防毒软件,能够过滤和查杀网络中可能存在的病毒,保证网络数据安全,同时也加强互联网连入业务的监控管理。
4 解决方案
校园使用用户多,不同用户需求不同,因而要制定相应措施,缓解网络攻击。
4.1 工作人员
校园网使用中,由于用户很多,所以要对使用者提出要求。本系统和公共系统以及业务处理系统的服务器都可以进行访问。但设计到部门的资源,特别是安全实施方案,不允许其他部门的用户进行访问,所以需要系统服务器、公共系统服务器和业务处理的路由都加入自身网络。
4.2 内部服务器
对于系统内部服务器要提出要求,允许服务器通用,允许其他部门用户访问,但不能够访问服务器安全实施方案,部门内部的服务器要由自身管理,在连接校园网后,要加强服务器安全管理,统一给学校网络中心管理。
4.3 公共服务器网段
公共服务器网段是开放的,将公共服务器的路由分发给允许访问的用户,在这个过程中,要注意的是个别部门对公共服务器的攻击,进而控制公共服务器,达到访问其他网络的行为。
5 管理方案
校园网具有自身独特的特点,以前,“外部网络是”网络安全建设的核心,现在转成了“内部网络”。其内部建设面临挑战,所以加强校园网安全管理十分重要。怎样应对内部网络安全威胁,不仅是已知威胁,还有未知威胁,组织攻击手段在内网中的运行,保证校园网的安全。
5.1 终端管理
校园网的威胁,多来自学生。所以,校园网要利用终端管理是保证网络安全。利用内网介入控制,对上网行为进行检测,实现对外接或移动存储空间的监控,利用身份认证技术,保证检测到具体个人。
5.2 用户管理
校园网安全管理中,应该制定管理制度和技术措施等,在制度中明确校园网用过的责任和义务,以此提供他们在使用网络时的安全意识,这样也能够在校园网安全事故发生时,及时有效的做出处理。学生在使用校园网时,可以根据自身情况签订入网协议,这样才能使学生用户了解学生的网络安全管理制度,对他们的用网行为起制约作用。另外,还需要对校园网安全管理者进行专业技能培训,使他们能够有能力应对校园网安全问题。
6 结语
校园网安全是学校教学和办公的保证,目前很多学校网络环境还没有得到很快完善,在网络安全上还存在一定缺陷,学校要采取各种措施和安全保护技术,例如病毒隔离技术、防火墙技术和VPN技术等等,从管理和技术上解决校园网安全问题,致力于给学校提供一个良好的网络环境。
参考文献
[1]林玉梅.高校校园网络安全防护方案的设计与实施[D].华侨大学,2015(04).
[2]李春晓.校园网网络技术安全技术及解决方案分析[J].电子测试,2013(09).
[3]张俊芳.高校校园网升级改造方案的设计与实现[D].华南理工大学,2014(06).
网络安全体系解决方案范文2
关键词: 网络安全;解决方案;建议
中图分类号:P231 文献标识码:A 文章编号:1671-7597(2012)0610171-02
0 引言
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1 网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务——安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2 网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1 SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFR NID和NFR HID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是Secure Computing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3 结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
参考文献:
[1]陈丹丹,网络钓鱼与网络安全初探,消费电子,2012年,第5期.
[2]王志刚,浅谈计算机网络安全现状及对策,今日财富(金融发展与监管),2012年,第4期.
[3]王丽云,初中校园网络安全分析和策略,今日财富(金融发展与监管),2012年,第3期.
网络安全体系解决方案范文3
关键词:网络安全;网络管理;医院信息化
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2011)11-2505-02
The Solution of Secure Network Platform of Digital Hospital
CAO Mao-cheng, HE Ji-fu
(Shenzhen Bao'an People's Hospital, Shenzhen 518101, China)
Abstract: Based on current domestic construction of network of large hospital of the status as the background, it make a specific analysis of the people's hospital of Bao An Shen Zhen. In accordance with the problems existed in hospital at present, it put forward a multi-service solution of digital hospital, explain in detail the key technology of the outpatient clinic network platform, INC and NBP.
Key words: network security; network management; hospital information
随着信息技术的快速发展,越来越多的中国医院正在加速实施基于基础信息化网络平台、HIS等业务平台的整体建设,以提高医院的服务水平和核心竞争力,从最初的“以财务为中心”的医院信息系统向“以病人为中心”的医院信息系统转变,医院信息化建设已经取得了显著成效。信息化不仅提升了医生的工作效率,使医生有更多的时间为患者服务,也提高了患者满意度,而且无形之中还树立起医院的科技形象品牌,医院信息化正越来越成为强化医院活力与竞争力的关键行为,医疗业务应用与基础网络平台的逐步融合正成为中国医院,尤其是大中型医院业务发展前进的新的驱动力。与此同时,医疗体系架构[1]的网络安全和数据可用性也变得越来越重要。任何的网络不可达或数据丢失轻则降低患者的满意度,影响医院的信誉,重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样,医疗信息系统在日常运行中面临着各种安全风险带来的安全应用事故。如何创建一个灵活、高效、安全的网络整体解决方案正成为当前医疗领域迫切需要解决的问题之一。
本文在综合分析目前国内医院网络安全研究现状的基础上,结合我院实际情况,提出并设计了数字化医院网络安全体系架构。文章首先介绍了我院目前网络系统现状及存在问题,然后提出了数字化医院网络平台设计方案,然后详细说明了新门诊大楼、内网、边网的安全解决方案。
1 我院网络平台现状及存在问题
深圳市宝安人民医院是一所集医疗、预防、保健、康复、科研、教学为一体的现代化医院,全国百佳医院、深圳市西部最大的综合性医院。早在1993年,我院就实现了门诊电脑收费,1997年对医院信息化进行了改造,初步实现了门诊收费系统、住院收费系统、B超管理系统、药房管理等一系列管理系统,是国内较早引入数字化医院管理模式的医院之一。近年来,随着信息化技术的不断发展,原有系统已不能适应医院新的管理模式的需求,主要存在以下问题:
1)原有网络结构、网络性能均难以承载现有的丰富业务,并存在严重的安全隐患。
2)原有的二层网络结构,不能对医院网络进行VLAN划分,没有对各区域业务进行隔离,在发生病毒、攻击事件时、大量非法数据涌入核心网络,易造成整个网络瘫痪。
3)缺少网络管理平台[2],医院目前的网络管理全靠工程师的工作经验、插拔线等手段管理维护网络,整个网络不具备可控性、可维护性,不能及时发现、定位、排除网络故障。
2 数字化医院多业务解决方案
2004年,我院正式启动新一轮数字化兴院工程,总投资3800万用于医院的信息化建设,开始全面建设门诊、住院信息系统、电子病历、医生/护士工作站、PACS等系统。在制定解决方案时,我院选择了与杭州华三通信股份公司合作,共同改造我院网络系统。
数字化医院多业务平台针对传统网络可控制低、网络资源自动适应性差、网络缺乏立体安全等,提出以医院业务应用为主体、不断发展完善的智能网络技术、安全技术和灵活的资源调度为基础、为医院用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。我院数字化平台组网框架示意图如图1所示。
数字化医院多业务解决方案针对门诊、住院、影像检查系统等业务的不同需求,结合了WLAN[3]技术、IRF智能扩展技术、EAD[4]端点准入、IPS[5-6]、IP存储等多种技术、以为用户提供安全可靠、多业务承载、易扩展、易管理的网络平台为最终目标。网络核心层采用两台H3C S9512,配置最新的交换引擎,主要是考虑未来几年信息系统发展的需要和设备的性价比,同时支持IPV6;汇聚层采用了两台H3C S5500,支持三层交换,通过光纤双链路上链到两台核心交换机S9512,构成冗余主干,同时利用交换机强大的虚网管理功能,对网络进行VLAN划分。
2.1 IRF技术构建高可靠门诊网络平台
门诊是医院业务最繁忙、最关键的部门之一,众多的患者包括急重症病人都在门诊等待医生的及时诊断,患者从进入医院挂号到诊断、检查、取药离开医院涉及医院多个业务系统的相互配合。门诊众多系统中任何一个环节出现问题,都会直接导致医院大规模的瘫痪,不仅给医院造成直接经济损失,更有可能耽误对患者的最佳诊疗时机,对病人生命造成威胁。门诊业务系统的可靠性要求高、并发性、实时性和突发性强等特点对门诊的网络也提出了电信级的高可靠要求。图2是我院新门诊大楼网络解决方案。
新门诊大楼网络设计中,各个楼层的接入交换机通过堆叠技术变成逻辑上的一台设备,将传统的跨设备双千兆链路的主备工作模式转变为跨设备双千兆链路捆绑模式,不仅提高了网络的接入带宽,也提高了网络可靠性。H3C的IRF智能性框架技术能在提高网络性能、可靠性的同时,还能降低网络建设成本和维护成本,为将来的平滑扩展墓定了良好基础。
2.2 医院内网控制(INC)解决方案
医院内网控制(INC)解决方案由安全管理平台、安全防护设备和终端软件组成。通过终端软件接入并有安全管理平台进行身份认证和终端安全状态评估,确保每一个接入端点的安全、预防内网病毒、蠕虫的泛滥;安全防护设备则对发现的内网攻击进行阻断,同时上报安全管理平台;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并为用户提供整网安全审计报告。通过点(接入端点控制)、线(安全事件联动)、面(统一安全管理)相结合的立体防护,为医院用户提供最可靠、最有效的内网安全解决方案。图3为内网控制解决方案示意图。
医院用户在接入网络之前,必须要通过身份认证,要求用户输入用户名、密码信息,身份认证通过后,EAD客户端还会检查用户计算机的安全状态,包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件、是否只启用符合其身份的应用软件等等,只有通过安全认证,计算机才能正常接入到网络中开始工作,安全状态检查只要有一条不能满足要求,该计算机将被安全隔离到隔离区,并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。
除了提供用户安全认证,EAD解决方案还可实现基于用户的权限管理,不同用户能访问的应用服务器各不相同,并可根据内网、外网划分为两大类用户,实现内网用户禁止访问Internet,而外网用户可以访问Internet,但不能访问HIS等业务系统,部分用户,如院长、信息中心人员则同时具有内网、外网访问权限。
2.3 IPS医院边界防护(NBP)解决方案
由于业务的需要,医院网络有多个外部网络连接,例如Internet 连接、卫生专网连接、社保系统连接等,医院网络与这些外部网络之间存在复杂的数据交换的需求,需要对这些不同网络之间的通信进行严格的检测、控制和隔离,保证网络数据流动的安全。
医院网络划分安全区域后,在不同信任级别的安全区域之间形成了网络边界。跨边界的攻击种类繁多、破坏力强,虽然采用了防火墙、IDS等传统的安全防护手段,但是安全威胁依然存在。针对传统安全设备的不足,我院网络边界防护采用了H3C的网络边界(NBP)解决方案,有效保障院内外网数据交互安全。图4是网络边界防护解决方案示意图。
H3C的基于交换机的Sec Blade防火墙/IPS模块和Sec Path防火墙/IPS设备可以根据用户的实际情况提供不同的动态解决方案。Sec Path/Sec Blade产品集成了包过滤和状态检测技术,对不同信任级别的安全区域制定相应的安全策略,防止非授权访问。Sec Path/Sec Blade IPS 能够精确实时识别并防御蠕虫、木马、DDOS等网络攻击,细粒度的控制P2P/IM造成的带宽滥用。
3 总结与展望
医院信息化、数字化建设依赖安全可靠的网络系统,如何保证数据安全也是一个非常重要的方面。我院通过采用多样化的安全策略和技术,采用不断变化的安全机制和技术,有效加强管理体系,建立了一个有特色的网络安全体系,保障了医院信息化建设的正常运行。
数字化医院的发展面临着业务流程复杂、缺乏统一标准等诸多问题,任重而道远。面对数字化、集成化、智能化、区域化的发展趋势,我们将立志于为医院建设一个多业务融合、智能可控、安全可靠、资源动态可控的高品质网络,为医疗业务的不断发展提供安全可靠的平台。
参考文献:
[1] 张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008,6(27):63-65.
[2] 张震江.我院网络管理平台架构浅析[J].中华医院管理杂志,2006,8(22):564-566.
[3] 杨新宇,徐庆飞,等.WLAN环境下EAP-TLS认证机制的分析与实现[J].计算机应用,2008,6(28):43-45.
[4] 支林仙,朱新宇.端点准入防御(EAD)解决方案简析[J].福建电脑,2007(4):73-76.
网络安全体系解决方案范文4
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;vpn 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。 图2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 vpn(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 图3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
网络安全体系解决方案范文5
【关键词】安全缺陷 TCP/IP终端安全多级备份 入侵检测 加密 解密
近年来‘1.21 DNS事件’和‘棱镜门事件’等网络安全事件层出不穷,使得网络安全监控管理理论和机制的研究受到高度的重视,而各类网络安全技术的创新已是网络安全研究的主导方向。但是,网络安全体系一定要以网为本,从网络系统的角度重新设计网络的安全体系。下面就对网络安全技术应用的综合性及系统性进行剖析。
一、网络面临的安全问题
网络环境下的信息和数据面临诸多风险,即使是在使用了现有的安全机制情况下,由于每一种安全机制都有一定的应用范围和应用环境,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)网络的自身的安全缺陷是导致网络安全问题的根本原因。
TCP/IP协议是网络中使用的基本通信协议,设计之初没有充分考虑安全威胁,许多的网络协议和应用没有提供必要的安全服务。确切的说,TCP/IP除了最常用的TCP和IP协议外,还包含许多工具性协议、管理协议及应用协议。TCP/IP协议共分为应用层、传输层、网际层、网络接口层。其中,应用层向用户提供访问Internet的TELNET、FTP、DNS等一些高层协议。传输层提供应用程序端到端通信服务的TCP和UDP协议。网际层负责相邻主机之间的通信的IP和ICMP等协议。网络接口层主要负责数据帧的发送和接收。而这些协议基本上都存安全设计缺陷或漏洞。
(二)网络系统的维护和管理方面的困难性也是网络安全问题主要原因。
木桶理论:传统理论描述的是一个木桶其价值在于盛水量的多少,但决定盛水量的关键是最短的木板。新理论认为,木桶的长久盛水量,取决于各木板之间配合的紧密性。相对于传统理论,新理论更强调系统中各个部件之间的关联。
根据权威部门统计,超过80%的网络安全问题源于用户终端,业界也推出了大量的软硬件安全产品。但这些产品并没有真正解决终端安全问题,究其原因是它们只着眼于自己的领域,相互没有配合。
(三)用户的安全和防范意识薄弱是造成网络安全问题的最重要原因。
二、网络安全的防护
现阶段为了解决网络环境下所面临的安全问题,必须强化网络安全意识,创新网络安全策略,积极落实安全防范措施。但由于网络安全威胁的多样性和复杂性,从而导致了对网络安全防护的综合性和系统性。
(一)针对以上三大隐患我们需要进行有针对性的防范:
1.网络自身的安全缺陷导致的网络安全问题
对于网络自身的安全问题是不可避免,长期存在的。由于网络和相关软件越来越复杂,安全漏洞也会越来越多,这些漏洞往往成为网络攻击的重要目标或渠道。因此我们在与相应的软件硬件厂商保持实时信息交流的同时,时刻关注网络安全的最新消息,有针对性地更新解决方案和应用策略。
2.网络维护和管理方面的困难性导致的网络安全问题
网络安全需要网络管理者和建设者主动思考,通过安全联动技术将整个网络系统中的各类资源进行整合,这样才能真正实现全面防护、统一管理、降低成本、强制安全等目标。
3.用户安全和防范意识薄弱造成的网络安全问题
首先要通过管理制度和普及相应的法律法规来全面的提升用户的安全和防范意识,使用户主动做好终端的管理和防护;其次,需要抓住网络准入这一关键点来管理终端,确保终端安全制度严格实施。同时融入其它的安全和管理技术,建立主动防御的安全体系,并在实践中不断完善。
(二)网络安全防护还需通过以下方式手段进行完善:
1.部署防火墙
防火墙的基本功能是对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(内部网)和不可信任网络(Internet)之间。在实际的应用中可结合实际需求情况进行部署。
2.在网络内部和日常管理过程中建立多级备份机制
数据和信息安全工作是网络安全的重中之重。对于重要数据资料采取必要的容灾备份机制,以保证不丢失或被破坏,即使遭到破坏在最短时间内可以恢复。
3.加强对恶意代码程序的防护
在网络预防方面:由于现有的防控软件和硬件大多数都属于被动的防治,因此对于恶意代码程序的防护应该通过管理和制度上从根本进行预防。
在终端预防方面:由于恶意代码程序都是基于软件运行的。对其防治在于完善软件的安全机制。因此我们首先要严格管理制度,对网络中的终端使用行为和各类软件从严进行管理与检测。
①加强系统中软硬件的漏洞检测和更新
就目前网络系统的安全状况而言,系统中的软件和硬件都可能存在漏洞。因此必需与设备厂商建立长久的更新预防机制。
②采用加解密技术
网络是一个开放式系统,加密和解密技术不能公应用于email等应用,对于其它的网络通信也很重要。
③部署入侵检测系统
入侵检测系统可以检查网络或系统中是否存在违反即定安全策略的行为和被攻击的迹象,通过采取相应的联动手段达到限制这些活动,以保护网络和信息系统的安全。
三、结束语
网络安全技术的应用是一个综合性的课题,涉及到技术、管理、使用等诸多方面,既包含信息系统本身的安全问题,也有物理和逻辑的技术措施,需要通过精心调研网络信息系统的安全需求,确定切实可行的网络信息安全解决方案。只有通过在建设和应用过程中不断地分析问题、不断地创新解决方案,同时严格的执行相关的管理制度和操作规程、明确清晰的制定安全策略,以及建立高素质的网络管理人才队伍。才能完好、实时地保证信息的安全性、完整性和准确性,为网络信息提供最大化的安全服务。
参考文献:
[1]杭州华三通信技术有限公司.新一代网络建设理论与实践[M].电子工业出版社,2001.
网络安全体系解决方案范文6
高校在建设的时候,网络规划、网络安全设计等都是根据当时的实际情况再预计未来一段时间的扩展性来设计,许多网络系统、设备等到目前为止已经开始落后。网络数据的井喷与网络应用的飞速发展,更是进一步考验高校现有网络的安全性、可靠性和稳定性。虽然,许多高校随着时代的不断发展,也在不断地更新换代新的设备,但是更换新一代的设备只是性能上的进一步提升,对于数据处理、转发是跟得上时代的发展,不过对于网络安全来说却远远不足。
关键词:
网络安全;校园网;策略
1校园网络基础网络架构
早期大部分高等院校校园建设的时候,信息化规划跟不上学校教育的扩展,许多高等院校的基础网络架构都是简单的层次化网络结构(见图1):接入层、汇聚层、核心层级联,再通过防火墙出口外部网络,同时保证外部网络对内部网络的威胁被阻止,相对高级一些的设计还可能包括IDS(入侵检测系统),随着学校的不断发展,一步步在原有的基础网络上添加新设备来丰富网络组成,并提供更多的网络服务。
2传统网络攻击过程
在从前,主要的网络安全威胁来自基于各种漏洞而进行的网络攻击和下载带病毒的软件包而导致的系统病毒感染。而这些传统的网络攻击手段之后,才是在被攻破的系统中留下木马、后门,或者破坏、窃取数据。这些传统的攻击手段是层层递进式的(见图2),从攻击的开始到结束以递进的形式进行,如果前面的步骤无法实现,则整个网络攻击过程将会中断。这些传统的网络攻击包括诸如DoS攻击、DDoS攻击、系统入侵、网络渗透等。不断重复这样的一个网络攻击过程,当累积到一定的量后所组成的网络僵尸大军将对整个网络造成非常严重的影响。
3传统校园网络安全防范体系
根据传统的网络攻击过程,在许多的院校的基础网络中都会加入相应的网络安全防范措施,这些网络安全防范措施就构成了常见的校园网络安全防范体系。而在传统的高校校园网络安全防范体系中,将网络安全防御定义为外部网络、内部网络和用户3个层次,而每个层次中有针对该层次的网络安全设备和措施。对于外部网络这一个层面,直接面对的是防火墙,很多的院校网络都采用防火墙作网络出口,承担着网关与防火墙的双重功能。采用防火墙作为外部网络与内部网络的边界,可以有效地阻止大部分来自于外部网络的恶意攻击,保证内部网络的稳定。在防火墙之后部署一台入侵防御系统,可以进一步检测可能避过防火墙的安全检测而进入网络的恶意流量。在内部网络这个层面,传统的网络安全体系中一般没有什么网络安全设备,在这个层次主要采用的是基于策略的网络安全措施,也就是所谓的软设备。通过网络设备中进行软件层面的安全策略设计,保证内部网络流量的正常稳定的转发。例如,采用访问控制列表来对网络进行一些控制,不允许学生访问教师网络资源;使用QoS功能保证数据的高效转发,设置安全端口,MAC与IP地址的绑定,甚至更高级的基于802.1x的认证。到了用户层面,主要确保的是操作系统的安全,因为很多恶意的攻击软件、病毒、木马或入侵软件都是基于操作系统漏洞进行渗透破坏的,所以在用户这个层面,针对操作系统要打好操作系统的补丁、安装功能强大的杀毒软件,开启操作系统自带的软件防火墙或者杀毒软件的防火墙,进一步,加强用户层面的安全性。即使用有瞒过防火墙,混过入侵防护系统的漏网之鱼,也可以在用户层面进行补救。采用这种传统的网络安全体系进行网络安全的设计部署,在以前的网络时代还是有很好的效果的,但是,现今进入了网络时代2.0,新的技术、新的威胁层出不穷,此时旧的网络安全体系在网络安全防护上表现得就有些捉襟见肘了。校园网络需要推陈出新,结合现在的校园网络及互联网络的发展趋势,设计更合适更合理的网络安全解决方案。
4传统网络安全策略应用分析
传统校园网络安全解决方案使用的网络安全策略应用是基于不同层面进行区分的,针对不同层面分别部署相对应的网络安全设备或网络安全策略。这种网络安全策略应用主要是针对从外部网络进入内部网络的流量进行检测控制,正如防火墙功能一样,定义了外部非安全区域、内部安全区域和DMZ区域,然后给这些区域定义安全等级和默认策略。这种安全体系的设计对于以前的网络攻击过程(见图4)来说是可以满足校园网络安全的需求的。在以前的网络环境中,攻击主要来自外部,内部的安全等级是可信的,所以外部的攻击流量经过防火墙后,基本上已经抵御了,再经过IPS或IDS设备后,到达用户层面时还要经过操作系统或杀毒软件防火墙后,可以成功攻击目标的恶意行为已经降到了可接受层面范围。所以,从前的校园网络安全情况比现在相对要好一些。如图4的攻击过程示意所示,基于原有的网络安全策略应用对于起源自外部网络的攻击可以做到有效防范,但是正如前文提到的,现在越来越多的现象是,内部用户通过其他途径感染了自动下载代码或木马端等恶意源后,从内部发起攻击或者自动下载各式各样病毒木马直接破坏用户操作系统,并以此为跳板,从内部网络感染、攻击其他用户主机、学校服务器等设备,导致学校网络受到严重影响进一步影响学校的正常教学秩序。原有的校园网络安全策略应用基于单向防护、由3个独立层面以递进的方式构建的校园网络防御系统,其性能已经无法适应现时复杂多样化的校园网络环境。因此,针对这个旧的网络安全策略应用的不足,需要一个更合适更优秀的校园网络安全策略。
5传统网络安全策略架构分析
在院校用的旧的校园网络解决方案中,采用的基础架构简单实用,在从前的网络时代,无论是外部网络还是内部网络的数据流量都不并是很大,而且那时候无论是师生的日常生活还是教学活动中,对网络的依赖程度也不高。不过,随着人们对网络的依赖性的不断加强,以及信息化教学的广泛推广,校园网络中产生了越来越多的数据,并且日常教学也有绝大部分是基于网络的。这个时候,传统的网络架构就存在不足,主要体现在网络单点故障现象导致的网络中断而影响师生的生活学习和学校的教学秩序。现在新规划的校园网络中,校园网络基础架构相对复杂,但是性能和安全性都有所提升。现有校园网络基本上都是基于双网络核心热备以提高网络的安全性和可靠性的设计,根据学校的需求,可以选择在关键节点部署双机热备提供安全可靠性,避免了原有基础网络架构的不足。
6网络安全策略应用技术分析
经过调查了解,现在校园网络中采用的技术有很多都不符合标准,例如密码的复杂性,这个最基本的一条都做不到。另外,学校管理中使用的技术不足,如管理网络设备使用telnet协议而不是采用ssh,对管理流量与数据流量没有区分控制,无线网络的加密算法采用容易破解的算法等等。这些技术细节上的不足,也会导致校园网络安全受到威胁。因此,在新的网络安全策略应用中,应该注意相关网络安全技术的使用是否符合安全等级的要求。
7传统高校校园网络安全策略应用的优点
对于传统的高校校园网络安全解决办法来说,好处就是学校的信息化建设方案相对简单,管理相对便捷,在数据量以及网络依赖性不高的院校,或资金不足的院校具有一定的参考作用。
8传统高校校园网络安全策略应用的缺点
对于传统的高校校园网络安全解决办法来说,弊端就是学校校园网络安全受到严重威胁,来自校园网络外部、内部、系统自身产生的安全威胁汇集起来使用整个校园网络的复杂性、不稳定性大大增加,最后导致网络安全性大大降低。
作者:周怡燕 单位:南华工商学院
[参考文献]
[1]邹县芳,孙道德.高校校园网络安全问题及策略研究[J].阜阳师范学院学报:自然科学版,2010(27):87-90.
[2]杜芸.高校校园网网络安全隐患与解决策略探析[J].信息安全与技术,2015(6):13-15.
[3]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(7):160-161.
