前言:中文期刊网精心挑选了网络安全技术设计范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术设计范文1
关键词:网络安全;蜜罐技术;蜜网技术;入侵检测;虚拟机;VMware
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0340-02
The Project Design of Honeypot Deployment Based on Network Security
SHI Ze-quan
(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)
Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.
Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware
计算机及其网络技术的应用已深入各行各业,特别是企事业单位的日常管理工作更是紧密依赖网络资源。基于此,保证网络的正常运行就显得尤为重要。目前,广泛采用的安全措施是在企业局域网里布设网络防火墙、病毒防火墙、入侵检测系统,同时在局域网内设置服务器备份与数据备份系统等方案。而这些安全网络防火墙、入侵检测系统真能有效地保证系统的安全吗?做到了这一切系统管理员就能高枕无忧了吗?
1 问题的提出
图1为现实中常用的二层网络拓扑结构图。从图中可以看出,网络防火墙与入侵检测系统(IDS)均部署在网络入口处,即防火墙与入侵检测系统所阻挡是外网用户对系统的入侵,但是对于内网用户来说,内部网络是公开的,所有的安全依赖于操作系统本身的安全保障措施提供。对一般的用户来讲,内网通常是安全的,即是说这种设计的对于内网的用户应该是可信赖的。然而对于诸如校园网的网络系统,由于操作者基本上都是充满强烈好奇心而又具探索精神的学生,同时还要面对那些极少数有逆反心理、强烈报复心的学生,这种只有操作系统安全性作为唯一一道防线的网络系统的可信赖程度将大打折扣。
另一方面,有经验的网络管理员都知道,网络中设置了防火墙与入侵检测系统并不能从根本上解决网络的安全问题(最安全的方法只能是把网络的网线拨了),只能对网络攻击者形成一定的阻碍并延长其侵入时间。操作者只要有足够的耐心并掌握一定的攻击技术,这些安全设施终有倒塌的可能。
所以,如何最大可能地延长入侵者攻击网络的时间?如何在入侵虽已发生但尚未造成损失时及时发现入侵?避开现有入侵检测系统可以侦测的入侵方式而采用新的入侵方式进行入侵时,管理者又如何发现?如何保留入侵者的证据并将其提交有关部门?这些问题都是网络管理者在安全方面需要经常思考的问题。正是因为上述原因,蜜罐技术应运而生。
2 蜜罐技术简介
蜜罐技术的研究起源于上世纪九十年代初。蜜罐技术专家L.Spitzner对蜜罐是这样定义的:蜜罐是一个安全系统,其价值在于被扫描、攻击或者攻陷。即意味着蜜罐是一个包含漏洞的诱骗系统。它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人设计的。它通过模拟一个或多个有漏洞的易受攻击的主机,给攻击者提供十分容易受攻击的目标。
如图2所示,蜜罐与正常的服务器一样接入核心交换机,并安装相应的操作系统和数据库管理系统,配置相应的网络服务,故意存放“有用的”但已过时的或可以公开的数据。甚至可以将蜜罐服务器配置成接入网络即组成一台真正能提供应用的服务器,只是注意将蜜罐操作系统的安全性配置成低于正常的应用服务器的安全性,或者故意留出一个或几个最新发现的漏洞,以便达到“诱骗”的目的。
正常配置的蜜罐技术一旦使用,便可发挥其特殊功能。
1) 由于蜜罐并没有向外界提供真正有价值的服务,正常情况下蜜罐系统不被访问,因此所有对其链接的尝试都将被视为可疑的,这样蜜罐对网络常见扫描、入侵的反应灵敏度大大提高,有利于对入侵的检测。
2) 蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。如图二, 正常提供服务的服务器有4个,加入4个蜜罐,在攻击者看来,服务器有8个,其扫描与攻击的对象也增加为8个,所以大大减少了正常服务器受攻击的可能性。同时,由于蜜罐的漏洞多于正常服务器,必将更加容易吸引攻击者注意,让其首先将时间花在攻击蜜罐服务器上。蜜罐服务器灵敏的检测并及时报警,这样可以使网络管理员及时发现有攻击者入侵并及时采取措施,从而使最初可能受攻击的目标得到了保护,真正有价值的内容没有受到侵犯。
3) 由于蜜罐服务器上安装了入侵检测系统,因此它可以及时记录攻击者对服务器的访问,从而能准确地为追踪攻击者提供有用的线索,为攻击者搜集有效的证据。从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。
经过多年的发展,蜜罐技术已成为保护网络安全的切实有效的手段之一。对企事关单位业务数据处理,均可以通过部署蜜罐来达到提高其安全性的目的。
3 蜜罐与蜜网技术
蜜罐最初应用是真正的主机与易受攻击的系统,以获取黑客入侵证据、方便管理员提前采取措施与研究黑客入侵手段。1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开放性源代码工具,如Fred Cohen所开发的DTK(欺骗工具包)、Niels Provos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐变得比较方便。但是由于虚拟蜜罐工具存在着交互程度低、较容易被黑客识别等问题。从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中.使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜网技术的模型如图3所示。由图中可以看出,蜜网与蜜罐最大的差别在于系统中多布置了一个蜜网网关(honeywall)与日志服务器。其中蜜网网关仅仅作为两个网络的连接设备,因此没有MAC地址,也不对任何的数据包进行路由及对TTL计数递减。蜜网网关的这种行为使得攻击者几乎不可能能觉察到它的存在。任何发送到蜜网内的机器的数据包都会经由Honeywall网关,从而确保管理员能捕捉和控制网络活动。而日志服务器则记录了攻击者在蜜罐机上的所有的行为以便于对攻击者的行为进行分析,并对蜜罐机上的日志进行备份以保留证据。这样攻击者并不会意识到网络管理员正在监视着他,捕获的行为也使管理员掌握了攻击者使用的工具、策略和动机。
4 蜜罐部署
由前述内容可以看出,蜜罐服务器布置得越多,应用服务器被扫描与攻击的风险则越小,但同时系统成本将大幅度提高,管理难度也加大。正因为如此,实际中蜜罐的部署是通过虚拟计算系统来完成的。
当前在Windows平台上流行的虚拟计算机系统主要有微软的Virtual Pc与Vmware。以Vmware为例,物理主机配置两个网卡,采用Windows2000或Windows XP操作系统,并安装VMwar。建立一台虚拟机作为蜜网网关,此虚拟机设置三个虚拟网卡(其虚拟网卡类型见图4),分别连接系统工作网、虚拟服务器网与监控服务器。虚拟服务器网根据物理主机内存及磁盘空间大小可虚拟多个服务器并安装相应的操作系统及应用软件,以此诱惑黑客攻击。蜜网服务器用于收集黑客攻击信息并保留证据。系统拓扑结构如图4所示。
系统部署基本过程如下:
4.1 主机硬件需求
CPU:Pentium 4 以上CPU,双核更佳。
硬盘:80G以上,视虚拟操作系统数量而定。
内存:1G以上,其中蜜网软件Honeywall至少需要256M以上。其它视虚拟操作系统数量而定。(下转第346页)
(上接第341页)
网卡:两个,其中一个作为主网络接入,另一个作为监控使用。
其它设备:视需要而定
4.2 所需软件
操作系统安装光盘:Windows 2000或Windows 2003;
虚拟机软件:VMware Workstation for Win32;
蜜网网关软件:Roo Honeywall CDROM v1.2,可从蜜网项目组网站(一个非赢利国际组织,研究蜜网技术,网址为)下载安装光盘。
4.3 安装过程
1)安装主机操作系统。
2) 安装虚拟机软件。
3) 构建虚拟网络系统。其中蜜网网关虚拟类型为Linux,内存分配为256M以上,最好为512M,硬盘空间为4G以上,最好为10G。网卡三个,分别设为VMnet0、VMnet1和VMnet2,如图4所示。
4) 在蜜网网关机上安装honeywall,配置IP信息、管理信息等。
5) 在蜜网网关机上配置Sebek服务器端,以利用蜜网网关收集信息。
6) 安装虚拟服务器组,并布设相应的应用系统。注意虚拟服务器组均配置为VMnet1,以使其接入蜜网网关机后。
7) 在虚拟服务器组上安装并配置sebek客户端。
8) 通过监控机的浏览器测试蜜网网关数据。
总之,虚拟蜜网系统旨在利用蜜网网关的数据控制、数据捕获和数据分析等功能,通过对蜜网防火墙的日志记录、eth1上的嗅探器记录的网络流和Sebek 捕获的系统活动,达到分析网络入侵手段与方法的目的,以利于延缓网络攻击、改进网络安全性的目的。
参考文献:
[1] 王连忠.蜜罐技术原理探究[J].中国科技信息,2005(5):28.
[2] 牛少彰,张 玮. 蜜罐与蜜网技术[J].通信市场,2006(12):64-65.
[3] 殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.
[4] 叶飞.蜜罐技术浅析[J].网络安全技术与应用.2007(5):36-37.
网络安全技术设计范文2
1.自然存在的因素
因为计算机网络是通过电磁波传播信息的,所以在网络信息传输的过程中,会受到一些外界因素如地磁场等的影响,这样就会造成信息传送出现误差。另外,有可能是网络在最初设计时,就存在一定的缺陷,使其安全性降低。加上网络的复杂性不利于管理人员的管理,和网络系统大多数是资源共享的,为黑客的入侵提供了便利,因此使网络变得更加脆弱。
2.管理不到位造成的问题
计算机网络是需要管理的,管理不当会给企业造成损失。
二、计算机网络的安全技术
网络全世界每个人都可以访问,访问的方式千变万化,和网络行为具有突发性等特点。网络的安全必须制定各种策略,并加强管理制度。为保障网络的安全,需要采取多个方面的技术手段和策略。对计算机网络的危害可能随时出现并发动攻击,因此采取有效的措施保障网络的安全是非常必要的。常用的防范措施有:
1.检测非法入侵技术
为了构建计算机网络的安全环境,要对黑客的入侵进行严格有效的阻止,这就需要使用检测入侵的技术。当使用入侵检测系统时,是监控和检测整个网络系统所包含的各项数据。继而,当入侵源被检测到后,检测系统就会对入侵源进行相应的措施,使计算机网络的安全性大大地提高。此外,为了彻底消除同类入侵的危害,这就需要检测系统还要有追踪入侵源的功能,这样,就可以彻底销毁入侵源。也能更好地保护我们使用计算机网络的安全。
2.预防病毒的技术
计算机病毒是威胁计算机网络安全的主要因素,也是危害最大之一。所以,预防计算机病毒是非常重要的,这就需要一套完善的预防计算机病毒的系统。随着科学技术的发展,越来越多的杀毒软件出现在我的视野中。这些杀毒软件可以很好地防范计算机病毒的入侵,保障计算机网络的安全。与此同时,杀毒软件中还自带更新和升级的功能,这就可以使杀毒软件不断适应新的计算机病毒,进行预防和检测。从而更好地保护计算机网络的安全。
3.建立防火墙
防火墙是一个建立在专用网络和公用网络之间,对访问起到一个控制限制作用的系统。防火墙相当于给计算机网络加了一个保护层。有了防火墙的保护,可以保障网络环境的安全不被黑客和计算机病毒所入侵,从而起到保护的作用。由于,防火墙是对访问有所限制,所以可以过滤掉非法入侵源,保护计算机网络,使其正常的运行。每个防火墙体系之间没有影响,所以,在计算机网络中可以安装多个防火墙体系,这样可以更大地保护计算机网络,提高安全性。
4.安全漏洞扫描技术
因为漏洞是在网络使用中产生的,会给网络造成危害,所以修补漏洞也是必不可少的,这就需要漏洞扫描技术,先找到漏洞,再进行修补。安全漏洞扫描技术是自动扫描远程或本地主机在安全性上相对薄弱的地方,可使使用者在危险来临之前将漏洞修补好,避免造成危害。随着科技的进步,在使用计算机网络的过程中产生的漏洞也在不断的更新,要想更好地修补漏洞,安全扫描仪器也要不断地更新,才能更好地防范计算机病毒的入侵,从而保护计算机网络的安全。
5.数据加密技术
信息安全的核心和最基本的网络安全技术是数据加密。应用此项技术时,信息在传送中是以密文的形式存在的,非接受人不能从中得到信息的内容,使信息内容不外泄。从而可以很好地保障信息在储存和传送中的安全,增加保密性。不会发生因信息外泄而带来不必要的麻烦。
6.安全隔离技术
随着科学技术的进步,计算机网络遭受的攻击越来越多样化,层出不穷的攻击方式,迫使这新的技术诞生,就使得“安全隔离技术”应运而生。它的目的是,在使用网络交换信息时,把有害攻击阻挡在网络之外,使信息交换能够安全进行。
7.黑客诱骗技术
近期进入人们视野中一种网络安全技术是黑客诱骗技术。这一技术是由一个网络安全专家设计的一个特殊系统来诱惑黑客,使其进入圈套,追踪黑客并找到他。这一系统主要是专家利用伪装,让黑客不知不觉地犹如蜜蜂追着花朵走,使其进入虎口还不自知。
三、更好的发展计算机网络所采取的措施
为了能更好的把计算机网络的安全性提高,理应采取多种技术同时对计算机网络进行防范。只采用技术手段是远远不够的,必须加上合理的管理方式,才能更好地保障计算机网络的安全。建立合理的访问权限政策,培养优秀的管理人才,加大对网络安全的管理,制定相关管理政策,对于网络的安全性、可靠性有明显的提升作用。
四、结语
网络安全技术设计范文3
关键词:交换机 路由器 安全技术 实施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)11-0185-01
目前大多数的企事业单位接入Internet网,通常都是在企业出口部署一台路由器与ISP连接实现。这台路由器就是沟通外部Internet和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。
1 设置强壮的管理口令
口令是交换机用来防止非授权访问的主要手段,是交换机本身安全的一部分。必须修改默认的口令,并避免使用普通的口令,并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。尽可能使用Enable Secret特权加密密码,而不使用Enable Password创建的密码。
利用enable secret命令设置密码,并选择一个长的口令字(至少8位),该加密机制是IOS采用了MD5散列算法进行加密,这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见,从而获得这些数据的明文。
2 控制VTY
(1)配置VTY的Telnet访问控制安全,利用ip access-class限制访问VTY的ip地址范围。
(2)建议用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道,但是在Telnet会话中输入的每个字节都将会被明文发送,这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此,使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
3 防止盗用内部IP地址
攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局域网内将MAC地址与IP地址进行绑定来解决这个问题。
4 确保SNMP协议的安全
如果没有用到SNMP功能,建议禁止SNMP协议服务。尽量采用Snmp V3。如果必需采用Snmp V1,必须修改默认的community,如public,private等。
5 禁用不必要的服务
由于早期版本的交换机操作系统存在多个严重的安全漏洞,使得攻击者可以远程越权获取到交换机的完整配置文件,因此建议在路由器上使用命令:no ip http server禁止HTTP服务。
Cisco公司的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、Finger服务、BOOTP服务、IP Source Routing、ARP-Proxy服务、IP Directed Broadcast、IP Classless、DNS查找等。
6 及时升级和修补IOS软件
IOS(Internetwork Operating System)是Cisco交换机和路由器中的操作系统,以映象文件(.bin格式)的形式保存在交换机的闪存中。同其它的操作系统一样,Cisco公司每年都会定期新的IOS操作系统,升级IOS的主要目的是:
6.1 修补漏洞,消除BUG
同其它的操作系统和应用软件一样,Cisco交换机和路由器的IOS操作系统,每年都会被发现大约几十个漏洞,通常情况下这些漏洞会带来严重的安全风险。因此,需要定期更新Cisco公司的新版IOS,来修补这些漏洞。
6.2 增加新功能
由于交换机和路由器的特殊性,新版IOS的,除了针对漏洞的修补以外,还会增加新的功能。如果交换机的功能无法满足工作需要,也可以升级IOS来解决。比如,早期的交换机不支持SSH、HTTPS、SNMP V3等安全功能,可以通过升级为支持加密功能的K9版IOS,来实现这些功能。
6.3 解决交换机兼容性问题
一个规模较大网络的交换机或路由器通常都是逐年分批采购的,不同批次交换机的IOS版本肯定不一样。通过将IOS全部升级为最新修订版,可以减少因IOS版本不同而引发交换机之间不兼容的隐患,避免配置管理上的不一致性。
在升级过程中,需要注意以下几点:
①尽力保障电力供应,避免升级过程中断电或重启交换机和路由器,否则会导致升级失败。②要从正规渠道获取IOS文件,如Cisco的官方网站和授权的经销商,以保证IOS的权威、干净和完整。③要注意版权问题,不要侵犯版权。④升级完成之后,一定要进行安全性、可靠性测试,密切注视升级后的网络运行情况,如有异常及时处理。
参考文献
[1]解艳.浅析网络设备安全[J].科技信息,2011,(25).
[2]覃毅,王欢.网络设备与网络安全[J].计算机安全,2010,(06).
网络安全技术设计范文4
计算机信息管理技术被广泛应用于社会发展的各个领域之中,尤其在网络安全中的应用对于整个网络系统来说是必不可少的,与计算机用户的实际利益和社会整体的发展方面都存在着不可分割的密切联系。因此将计算机信息管理技术应用于网络安全时,要注重对信息管理技术进行不断的研究与探索,将应用中的出现的安全问题控制在技术可以进行管理的范围内。IP地址、域名等都是将计算机信息管理技术在网络安全中应用的具体内容,除此之外还有诸多其他内容,这些内容都能对恶劣信息的攻击进行有效的防御。计算机信息管理技术在网络安全应用中必须要进行的工作就是每天对信息管理技术的安全性进行实时的监测。由于对网络安全存在威胁的各种不安全因子具备多样性和不确定性的特征,常常导致在对信息管理技术的安全性进行监测时出现难以辨别的混乱问题,所以在平时的应用中,就需要做好随时应对突发状况的准备,提高计算机信息管理技术在网络安全应用中的警惕性,以便在问题发生时能够进行采取快速的、准确的解决方法。控制信息的访问是整个信息资源的起点,是将计算机信息管理技术应用于网络安全中的重要组成部分,对控制信息的访问,要求对不同用户的具体信息和将信息公之于众的安全性进行严格的控制和全面的把握。针对计算机信息管理技术在网络安全中应用的问题,需要相关人员提高警惕,提高对计算机信息管理技术的重视程度,并制定出应对网络安全应用问题的改善策略。
2网络安全应用问题的改善策略
2.1加强安全风险的遏制与防范意识
提高对计算机信息管理技术在网络应用中的安全性,首先需要加强相关人员对容易威胁网络安全的不安全因子的恶意攻击的遏制与防范意识,让相关人员了解计算机信息管理技术对于网络安全的重要性,从而引导他们对计算机信息管理技术投入足够的重视。由于计算机信息管理技术在网络安全中的应用关系到计算机用户的切身利益甚至关系到社会整体的发展,致使其在网络安全中的应用具有紧迫性和艰巨性。为了提高计算机信息管理技术在网络应用中的安全性,很有必要做好安全风险的防范措施,加紧对计算机信息管理技术的研发和革新,使其紧跟时展的脚步,将应用中存在的安全问题控制在技术可以进行管理的范围内。
2.2进行信息管理技术上的控制
在相关人员树立了安全风险的遏制与防范意识之后,还需要对计算机信息管理技术进行控制。在提高计算机信息管理技术在网络应用中的安全性的相关策略中,控制处于十分重要的核心地位,和许多因素都存在着或多或少的关系,因此也容易受到这些因素的影响,只有在对众多影响因素进行综合分析的基础上,建立并完善信息的安全化管理体系才能够实现对信息管理技术控制的合理且顺利的实施。另外一定要注意可以实施的实际范围,将信息管理技术的安全化管理体系建立在这个范围之内。除此之外,还要加强对计算机信息管理技术的研发创新力度,增强其自身实力以更好的面对突如其来的风险,同时还要对计算机信息管理技术在网络中的应用做好明确的分工工作,以保证计算机信息管理技术在网络中的应用可以顺利的进行。
2.3加强对计算机信息管理技术的管理力度
安全化管理是计算机信息管理技术在网络应用中需要首先解决的问题,需要相关人员投入更多的时间和精力,加强对其的重视程度。使计算机信息管理技术的管理力度得到强化将直接有利于提高计算机信息管理技术在网络应用中的安全度。强化计算机信息管理技术的管理力度实际上就是将管理的内涵和理论进行延伸,使其延伸到关于计算机安全问题的防范以及相关的体制、机制之中。计算机信息管理系统跟随社会现代化发展的脚步,逐渐被广泛应用于社会的各个发展领域,诸多的信息化、现代化因素包含在计算机信息管理技术体系之中。加强对计算机信息管理技术的管理力度,主要还是从防范不良因素的入侵攻击入手。
2.4建立健全计算机信息技术网络安全管理的相关制度
建立健全计算机信息技术网络安全管理的相关制度同样是保障网络安全的重要措施,相关的制度规范要包括对工作人员日常行为的完善,以及计算机信息技术网络安全系统的组建等相关内容。另外还需要建立健全计算机的防病毒体系,对杀毒软件进行及时的更新与升级,以防止病毒、黑客的入侵。还要对落伍的电脑进行及时的更换,并及时配备更新升级后的软硬件,并在计算机的使用场所安装防火设备,将火灾隐患消灭在萌芽状态。
2.5创建健全的、安全的计算机信息管理技术的模型
创建健全的、安全的计算机信息管理技术的模型对于安全风险的有效防范以及强化计算机信息管理技术的安全管理力度等方面都起着非常关键的作用。只有在进行详细周全的规划安排的基础上,创建健全的、安全的计算机信息管理技术模型才能早日使计算机网络信息的使用环境变得更加健全与安全。如今健全的、安全的计算机信息管理技术模型已经在计算机信息管理技术的安全化管理中得到了初步的建立。并且在进行了大量的研究、探讨和借鉴之后,对计算机信息管理技术在网络应用中的安全化管理的规划安排进行了合理的丰富,实行混合模式的安全化管理方式,得到了政府以及许多专业的厂家的期望和肯定,健全的、安全的计算机信息管理技术的模型在将来一定会得到更多的认可,拥有广阔的发展前景,将对强化计算机信息管理技术的安全管理以及促进社会各个领域的现代化发展提供强有力的动力支持。
2.6加强操作系统的安全防护
在正式使用计算机之前,需要为计算机安装相关的扫描和病毒查杀的软件,利用这些软件排除计算机存在的系统漏洞,并针对具体的漏洞制定出相应对的补救措施,以提高计算机信息技术的网络安全性。另外对于操作系统安全防护措施的强化需要对计算机使用者的真实身份进行验证,抵制病毒和黑客的不良攻击。同时需要完善相应的法规制度,为良好的网络环境的营造提高制度上的保障。
3结语
网络安全技术设计范文5
【关键词】医院网络;系统安全;管理技术
1引言
当前医院不断推进信息化建设,信息的集成、共享也顺利实现,能够使得医院的医疗业务水平得到提升。医院网络系统的运行需要有完善的网络环境作保障,但是网络建设中有诸多风险,信息的安全性并不强,如果出现问题将对医疗服务的质量产生影响,所以必须要提高对医院网络安全防护体系的构建,使得医院的信息化平台能够安全建立并运行,消除不安全因素,使得医院能够正常工作。
2医院计算机网络安全的重要性分析
在信息化占领全世界的现在,计算机网络也已经占领了大多数的医院工作。最主要的就是利用计算机的便捷对患者信息进行整理归类、促进医患人员在平台上展开交流等等,这些给患者就诊开启了很多便利。对此可以看出,其实医院在一定程度上掌握了很多公民的私人信息,除了信息以外还有其他涉及到公民安全的信息。在展开调查的几家医院中,其实医院对这些信息是非常重视并本着患者为上,不会对其进行任何泄露。但是调查中有一大部分医院其实已经存在了计算机网络不安全因素,这些不安全有很重大的隐患,最直接的就是导致部分急救患者得不到及时的治疗,重者因此失去宝贵的生命。所以医院的计算机网络安全对于医院的各项医疗、护理工作至关重要,所有采取了信息化的医院都应该重视起计算机安全问题。
3医院网络安全防护的现状分析
3.1管理存在较大难度
当前医院的网络建设逐步完善,系统运行也顺利推进,要实现这一目标也需要有完善的设备以及软件作为支持,但是目前我国医院使用的软件以及设备等基本上都是从外部引进的,并且一般都是单独配置。桌面终端的部分呈现分散性,缺少统一的种类,使得系统的管理难度逐渐增大。尽管当前医院医务人员在不断学习信息技术,但是由于部分工作人员年纪比较大并且信息技术的专业性较高,因此信息技术的接受水平不高,系统运行风险大,管理难度增大。
3.2系统性不强
网络环境运行过程中会面临很多风险,当前医院网络系统的功能逐步完善,呈现出复杂化的结构特点,不同环节间的联系也日益密切,如果系统受到安全威胁,任何一个环节出现问题,整个系统的运行效果就会受到影响。但是目前医院的网络安全防护效果还没有达到理想的效果,缺乏系统性,不能做到统一的管理,对于出现的漏洞也无法有效防护,存在着反复建设的情况,使得防护效果受到影响。
4医院信息网络建设中的安全技术体系
4.1完善软件系统
4.1.1建立数据库就当前来看,大多数医院在对网络结构进行选择时常常会运用双机系统结构,在选择这类系统结构时还要考虑到集群的问题,为此,将会运用两台服务器来一起构建完成,如果在运行的过程中主服务器产生了相应的故障,则能够自动的从服务器中接管所有的工作,这种方式可以有效防止数据的丢失[1]。除此之外,医院还可以选择双电源的磁盘列阵工作电源,如果电源产生故障时,也能够很好的降低数据丢失的风险。与此同时,医院也可建立远程容灾机制,将其数据库的相关内容传送至异地的同时还可加以备份,在保护较为机密数据时可选择此方式,确保数据的完整性,即使数据库遭到恶意破坏后也能够通过恢复备份数据来确保数据库的完整度。4.1.2操作系统通常情况下,在对相关应用程序加以运行时都会用到相应的操作系统,当操作系统被破坏之后(瘫痪状态下)将无法继续运行[2]。为了防止瘫痪的形式,医院可以选择建立与之对应的补丁服务器,之后便可以自动并且及时的在应用程序打上最新的补丁。不论在哪一个工作站中尽量对系统进行备份。对于主机,不仅需要安全应用程序与操作系统,而且还必须选择相应的杀毒软件安装下来,与此同时,采用CHOST软件克隆电脑C盘当中的全部系统(分区进行),然后把克隆好的系统保存于D盘中,当系统产生了不可修复的故障时,医院则利用D盘对其加以恢复。
4.2硬件系统的安全与管理
4.2.1中心机房服务器一般情况下,中心机房在医院中主要对信息进行处理的场所,为此,医院需要确保服务器可以24h不间断的正常运行。为了确保其安全性,首先需要对服务器置放的房屋进行选择,室内温度要控制在25℃左右,温度最好保持在在40~70%之间,机房的选择主要为半封闭式的并且没有人员流动,同时没有灰尘的房间,在房间内还要对其配备专用空调、防火墙面、铝合金玻璃隔断以及抗静电地板[2]等,除此之外,为了预防磁场与雷电的干扰,医院还必须安装有效的装置。为了防止因停电或者电源问题产生的故障,医院可以对其准备两套UPS电源。4.2.2网络设备为了保证其基本性能,医院需要定时对做好光纤收发器以及交换机的检查工作,而且还要预防雷电、灰尘以及火灾。在对网络加以布线时,为了防止网络信息受到外界干扰,尽量避开那些有着较强电场以及磁场的区域。对于内网与外网也要加强隔离效果,可以铺设好两套线路(分开进行),使其与外网、医院的信息网进行分别连接,在外网与内网的接入口设置千兆防火墙,将服务器与其他工作站划分于不一样的VLAN中,防火墙在这种情况下才能够完全确保服务器不会受到攻击。为了防止非法入侵,医院必须定时对数据库以及操作系统的密码加以更新。4.2.3终端终端内包含了一切进入至医院信息网络中的计算机,当然,其中同时也包括了护士站、医生站等相关站内的调用中心服务器系统,在对这些系统加以管理时,通常会通过网管软件来限制一些非法访问行为,并且,还对其他相连的操作给予限制。屏蔽USB接口,数据共享在医院内也不被允许,安排一个专门负责的工作人员来做好防尘防水的基础工作。
4.3网络技术维护
4.3.1安装杀毒软件计算机一旦传染病毒,则传播速度较快,引发的负面影响较大。对于计算机病毒的处理,需强化预防理念,安装高效的杀毒软件,并且定期对计算机中的病毒进行查杀。同时,不定期联网更新病毒库,从而提升医院信息系统的安全性和稳定性。此外,需要应用虚拟局域网技术对网路内的传输进行管控,也可将物理网络分化为多个逻辑子网,而子网之间可以相互访问并控制信息,从而有效抑制病毒的传播[3]。4.3.2安全隔离网络安全威胁以及风险主要存在于物理层、协议层和应用层。若网络线路被切断,或者是通信中断,则表明物理层遭受到恶意攻击。网络地址伪装、Teardrop碎片攻击、SYNFlood等都属于协议层攻击。非法URL提交、网页恶意代码、邮件病毒等都属于应用层攻击。从以往的工作经验来看,物理层遭受的恶意攻击较少,而网络层和应用层安全风险相对较高,且风险类型较多,可控性较低。因此,需要保证信息系统服务器与互联网的物理隔离,技术原理如图1所示.4.3.3防火墙设置防火墙是医院信息系统防护的屏障,可以有效阻碍外人的恶意攻击,保护网络内的信息。防火墙将内外网相隔离,对网络的访问人员信息进行采集,在用户登陆网络时,需要先对用户进行审核,审核通过后才可登陆。通过登陆权限限制,可有效避免非法用户入侵、破坏、干扰等问题,如图2所示。但是专业入侵检测系统对提高防火墙的性能自然是不容忽视的,此系统既能够弥补防火墙技术的不足,还能够通过跟踪和系统恢复等方式收集入侵证据。入侵检测系统常规应用方法主要有入侵检测、基于主机的入侵检测、古典型查找检测,三种方法相辅相成,协调应用。
5结束语
综上所述,随着科学技术的快速发展,医院信息化发展程度不断提高。为了保证安全技术体系的科学有效,需基于当前的发展水平,积极采用安全技术,完善管理方案。医院信息系统的安全和管理密切相关,积极采用先进的网络技术,加强网络管理,推进信息系统网络安全建设,以此提升医院的整体质量和水平。这就需要医院根据自身实际情况,制定与之相适应的信息系统,并不断更新和完善,从而保证医院网络的安全运行。
参考文献
[1]王颖,刘书恩,赵妍.新医改下医院信息网络的建设[J].医学信息旬刊,2010,5(6):1581.
[2]卓星.医院信息网络安全防护体系建设[J].福建电脑,2010,26(10):165~166.
网络安全技术设计范文6
【关键词】电子政务;安全;防护;设计
随着信息化的飞速发展,电子政务在政府实际工作中已经发挥了越来越重要的作用。电子政务安全主要包括两个方面,政务网络安全和信息安全,
一、网络系统威胁分析
电子政务数据中心网络系统所面临的威胁大体可分为两种:一是对信息的威胁;二是对网络中设备的威胁。这些安全威胁的主要表现形式可以概括为:
1.地址欺骗:攻击者可通过伪装成被信任的IP地址等方式来骗取目标的信任。
2.网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息。
3.口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令。
4.恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击。
5.连接盗用:在合法的通信连接建立后,攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
6.数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性。
7.数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标。
8.基础设施破坏:攻击者可通过破坏域名服务器或路由信息等基础设施使目标陷于孤立。
9.服务拒绝:攻击者可直接发动攻击,也可通过控制其它主机发起攻击使目标瘫痪,如发送大量的数据洪流阻塞目标。
10.社会工程:攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息,从而提高攻击成功率。
11.用户的管理操作:网络中的设备和用户的管理难题,如何防止信息被泄露。
二、安全体系建设目标
根据电子政务数据中心网络面临的安全威胁,从实际情况出发,电子政务数据中心网络安全建设的目标主要在以下几个方面:
(一)建立边界防护机制
实现安全域的划分,把网络中的用户和设备划分不同的安全级别。对内网和服务器实现重点地安全防护。针对数据中心的服务器,根据业务系统类型进行细分,将具有相同属性的服务器划分到一个安全区域。
(二)建立入侵检测监控机制
在局域网部署网络入侵检测与智能分析系统,对出入网络的流量进行实时监控,同时对局域网内部的重要网段之间的交换流量进行实时监控。通过入侵检测系统与防火墙进行联动,构建局域网以入侵检测系统为核心的动态防御体系。
(三)建立安全审计系统
在网络中部署安全审计系统,实针对业务环境下的网络操作行为进行细粒度审计,并通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
(四)建立内部网络管理监控机制
在内网部署内部网络管理系统,进行网络资源、设备资源、客户端资源和应用资源方面的管理控制,如网络隔离度检测、入网设备监控、系统软件检测和违规事件发现、安全事件源定位分析等、通过其它方式访问网络。加强对内部网络的管理和控制。
(五)建立全网安全监控管理平台
融合多种信息安全产品和技术管理,充分实现组织、管理、技术三个体系的合理调配,能够最大化的保障网络、系统和应用的安全性。
三、设计方案
(一)安全系统整体设计思路
方案将从技术与管理两部分对电子政务数据中心网络系统提供安全保护,其中在技术部分主要采用防火墙、入侵检测、入侵防御、漏洞扫描、网络安全审计及终端管控技术,这六种技术共同配合,为电子政务数据中心信息网络系统提供一个动态网络防御管理体系。
网络整体拓扑结构图:
(二)边界安全防护
1.安全域划分
安全域划分是实现网络层安全的必须步骤,安全区域的划分可以将不同的安全等级的保护对象加以分离,同时可以防止安全问题的扩散,“安全区隔”理论也是基于此。建议将电子政务数据中心整体网络划分为以下区域:
(1)下联单位接入域:连接各二级单位;
(2)核心域:核心网络设备区域;
(3)外联接入域:上联电子政务网的外联区域。
(4)本地接入域:数据中心本地用户接入区域;
(5)核心数据域:核心业务数据库服务器;
(6)应用系统域:应用系统服务器;
(7)安全管理域:网管、安管、杀毒等服务器;
(8)日常应用域:网站、邮件等服务器。
2.安全边界防护
在划分了安全区并明确了安全区的边界之后,接下来就需要对安全区的边界进行安全防护,在这里推荐使用安全网关作为区域边界的访问控制产品进行安全防护。
防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,对进、出内部网络的服务和访问进行控制和审计。在网络中,应用系统总部网络与成员单位用户网络之间是不同的安全等级,所以通过防火墙实现两个安全等级网络之间的访问控制是必须的选择,而安全网关带有防火墙功能,在满足访问控制的基本需求外,对数据流进行应用层过滤,确保各区域之间不受病毒、木马的感染,降低区域间的影响。
(三)网络入侵检测系统
把网络入侵检测引擎部署在网络的关键网段上,就能够监测关键系统和应用的异常行为。在方案中,将在核心域旁路部署千兆入侵检测系统一套,对网络中服务器和内部用户进行入侵检测,及时报警,并做事后追查。建议将与骨干相连的交换机端口、重要服务器所连的交换机端口、重要网段的交换机所连的端口设为被镜像端口,这样可以实时监听流经防火墙、重要服务器、重要网段的数据流量。管理控制台接到交换机的普通端口即可,必须要保证管理控制台与探测引擎的管理端口正常的通信。
策略设置可以说是在使用网络入侵检测系统过程中最关键的一步,我们应该根据自己网络的情况来详细制定对网络事件的响应策略。为了方便使用,入侵检测系统本身提供细致的检测策略,分别为热点策略集、Web事件集、Mail事件集、攻击分析集、协议分析集、Windows事件集、Unix事件集、陈旧事件集、新增事件集等不同分类方式的系统策略集,用户可以针对不同环境、不同应用以及不同关注目标直接选取合适的检测策略。
(四)安全审计系统
网络安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
(五)漏洞扫描系统
在漏洞被利用以及信息系统遭受危害之前,正确的识别并修复漏洞和错误的配置,预防安全事件的发生。可以通过部署单个扫描单元实现对全网各个区域的自主扫描。这种独立扫描的情况同时适合监察评测机构,他们可以将漏洞扫描软件安装在笔记本电脑上,即可实现对独立网络单元的移动式检查测评。
(六)内网管理系统
采用CSC体系架构(CSC=Clients+Server+ Checkpoint,其中Checkpoint的中文名称是准入控制检查点,是准入控制的生效点和执行点,在实际部署中包括使应用准入和网络准入生效的服务器或网络设备),CSC体系架构具备完整的控制检查点,使具备有效的执行力和卓越的安全性、可靠性、可扩展性与健壮性,确保内网合规、管理无盲点。
(七)安全运维管理平台
由数据库服务器,管理服务器,事件采集服务器组成;应用软件部署在相应的上述硬件平台上,事件采集根据被管理的数据源的类型及拓扑实际情况,在工程实施中具体部署。
各类事件采集可采用分布式部署:中心网络部署事件集中采集服务器,各个被管网络分布部署事件采集服务器,负责各自网络内的事件集中采集。维护人员通过通用运维终端采用基于Http/Https协议进行远程管理和日常维护;其他授权用户亦可采用基于Http/Https协议从安全管理角度针对所管理的网络范围进行综合风险分析监控。
在计算机信息化的不断发展,针对网络的新的攻击行为也不断涌出,针对电子政务网络的威胁也在日趋紧张,不论是网络中的设备还是网络中的信息,一旦出现安全威胁,能够快速反应,迅速隔离,并给以阻止,才能大提高网络的安全性能。本文也只是在电子政务数据中心网络安全防护的设计上做了些研究,还存在一些不足,需在今后的研究中进一步完善。
参考文献
[1]刘剑.网络安全技术[M].西安电子科技大学出版社, 2011.
[2]邵波,王其和.计算机网络安全技术及应用[M].北京电子工业出版社,2005,11:17-18.
[3]景炜.电子政务系统网络安全的研究与应用[D].电子科技大学,2006.
