前言:中文期刊网精心挑选了网络安全技术与解决方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全技术与解决方案范文1
[关键词] 网络文件保险柜 终端数据 安全保护 安全内核
0 引言
随着信息化进程的加快,保障数据的安全和可靠已经成为所有部门信息化建设的重中之重,需要一种可靠、安全的信息存储、交换和共享平台。据调查,有60%~80% 的单位数据分散存储在台式或笔记本计算机中。而目前终端数据管理薄弱,因各种意外情况如软件平台故障、硬件设备损坏、病毒入侵、人为误操作等经常会导致用户重要数据的丢失,造成经济损失。对此,越来越需要一种可以满足终端数据安全集中存储防护管理的要求,网络文件保险柜产品应运而生。
1 基于网络文件保险柜的终端数据安全保护结构体系
1.1 网络文件保险柜的设计目的
由于许多终端数据具有时效性长和隐私性强的特点,为了解决存在服务器上易导致信息泄露与不存在服务器上数据不安全的矛盾,网络文件保险柜系统采用文件生命周期管理的理念,建立安全防护体系,实现文档安全管理的要求。
安全防护体系的思想是:在文档生命周期过程中对相应的系统定义了一个逻辑上的安全域,使得文档在逻辑安全域内受到集中安全可控管理。所谓文档逻辑安全域,是指以文档为基本单位,生命周期为时间过程,在相应的系统内所划定的与其权限和使用范围相一致的逻辑区域,也就是文档被授权使用的边界或对象。
为了实现文档逻辑安全域的要求,采用了安全内核、透明加解密、安全虚拟磁盘、硬件加密卡、终端安全防护等技术,使得对文档的操作完全在可控范围内完成。文档从产生、保存、修改、归档及销毁的生命周期,均在安全的环境内进行,从而保证信息不被泄露和免遭破坏。
1.2 网络文件保险柜的系统架构
网络文件保险柜系统由服务器和客户端设备等组成。系统架构图如图1所示:
图1 网络文件保险柜系统架构图
在服务器端,硬件层的加密卡模块承担了服务端所有的加解密操作。安全内核层的系统内核(安全内核)是我公司自主知识产权的成果,为整个安全防护体系从系统操作层提供了安全保障。应用层实现了系统的用户管理、权限管理、版本管理、共享管理、分发管理、检索管理、归档管理、借阅管理等操作。
在客户端,硬件层上所采用的加密卡或加密Key承担了客户端所有的加解密操作。驱动层的磁盘映射、透明加解密、网络通讯控制、打印控制四大核心模块实现了防止文档主动泄密的有效管理,是应用层各模块功能实现的基础。应用层的逻辑加密盘映射是把服务器的用户空间映射到客户端,形成客户端文档操作的加密缓冲区,这个加密缓冲区以物理盘的形式存在。客户端的所有文档操作结果都同步到服务端,不仅防止文档丢失,而且实现了集中管理。由于采用了盘映射机制,因此可靠地实现了文档的读写、打印、流转以及复制、粘贴、移动等操作控制。
1.3 网络文件保险柜的安全机制
网络文件保险柜的安全机制采用安全内核、终端安全防护、透明加解密、安全虚拟磁盘等软件技术,硬件加密卡、磁盘阵列技术、磁盘热备用技术、电源冗余技术、温度监控技术等硬件技术。其中关键技术介绍如下:
1.3.1安全虚拟磁盘技术
安全虚拟磁盘技术是利用Windows操作系统中的磁盘驱动程序实现磁盘仿真的虚拟磁盘数据存取技术。
虚拟磁盘技术主要通过虚拟磁盘驱动程序响应I/O管理器发送给虚拟磁盘的IRP,处理I/O请求,对数据流实时加解密,并且此操作完全透明。
虚拟磁盘驱动程序负责将服务端硬盘空间映射到客户端形成虚拟磁盘空间。引入虚拟磁盘技术,对于重要电子文档和普通电子文档分开存储提供了便利。所有重要电子文档保存在虚拟磁盘中,普通电子文档保存在其它磁盘中。这是系统设计的主要创新思路。
当客户端通过系统认证,进入安全域(即密态)后,客户端写入到虚拟磁盘的内容实时加密,读取时实时解密。在密态下,客户端的所有电子文档都只能在虚拟磁盘空间中进行读写操作,其安全由系统进程监控子程序来保证。
1.3.2自主研发的服务器端安全内核
网络文件保险柜的服务端所采用的安全内核为国内厂家自主研发的技术成果。其特点包括:屏蔽超级用户、内核级安全标签检验、内核级的安全审计、强制访问控制机制、文件系统加密等。
1.3.3基于文档生命周期的安全防护体系
网络文件保险柜产品采用了文档透明加解密、安全虚拟磁盘、进程监控、网络通讯监控、打印监控、剪贴板监控、文件操作监控等终端安全防护技术,有效防止了文档在客户端的泄密。结合硬件加密卡技术以及服务端安全内核技术,使得文档在终端的操作、网络的传输、服务端的集中存储及归档等过程,均在安全可控范围内,从而构成了文档生命周期的安全防护体系,有效保证文档的防泄密。
1.3.4网络文件保险柜的模块组成
网络文件保险柜采用软硬件结合,由网络文件保险柜、管理引擎、数据库和文件备份引擎、文件浏览客户端构成,网络文件保险柜直接连接以太网。管理引擎安装在管理员的微机上,实现对网络文件保险柜的管理和信息查看。数据库和文件备份引擎安装在PC机及文件服务器上,实现数据库和文件存储备份任务的管理。文件浏览客户方便用户存取备份和数据浏览。网络文件保险柜为整个系统的核心设备,实现数据的集中存储备份。
网络安全技术与解决方案范文2
针对云计算时代的安全需求,3月27日,东软集团了基于云计算应用的交付安全网关(ADSG)、下一代应用防火墙(NISG-NG)、高性能防火墙(FW-ROCKET)等9款网络安全新产品,在网络安全防护方面打出了组合拳。
组合产品保驾网络安全
“在所有关于云技术的理念中,我们更应该关注的是安全,即云安全怎样处理,包括云端、不同设备之间、虚拟机之间的安全。”东软集团股份有限公司网络安全产品营销中心副总经理巴连标认为,“对于云的安全防护,不应该用传统的方法,对某部手机或某台网络设备进行网络控制,要形成一个云的保护理念,形成统一的防护层。”这正是东软之所以同时推出九大产品,从各个层面保护网络安全的原因。
据东软介绍,此次的东软NetEye应用交付安全网关(ADSG)产品,是部署在云的边界、解决云安全问题的信息安全产品,它支持多种云计算平台,可采用企业部署、IaaS提供商部署、应用部署、订阅部署和云部署等五种部署模式。NetEye下一代应用防火墙(NISG-NG)着眼于应用层的防护和优化应用流量,采用基于NEL核心技术的入侵检测和世界领先的云安全技术,具备更细粒度的应用层安全控制。NetEye Rocket系列高性能防火墙产品集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、反垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身,并且具有万兆的吞吐量,能满足大型企业、教育网络等用户的安全需求。
除了以上三款产品外,东软同时的还包括东软NetEye数据库统一访问控制系统、统一身份管控系统、安全审计堡垒机、上网管理系统、统一身份认证系统、应用安全集成网关攻击等系列新品。
针对防火墙和UTM的概念和界限越来越模糊,在防火墙方面有16年开发经验的东软坚持走高端专业化防火墙的道路,其新的下一代防火墙产品也与这一思路相一致――用FPGA芯片技术做硬件的网络带宽加速,通过软件和硬件的优化提升防火墙的性能。“UTM会逐渐淡出市场,被下一代防火墙取代。未来东软的防火墙将坚持更深入、更快和更专业的发展思路。”东软网络安全产品营销中心总经理赵鑫龙表示:“与其他安全厂商在下一代防火墙方面的做法不同,东软将专业的防火墙硬件和UTM的多核软件叠加在一起,以满足用L2-L7层的所有安全防护、检测和性能的需求。”
目前,东软NetEye应用交付安全网关(ADSG)已经在通过亚马逊服务平台向国外的用户提供服务。现在,通过亚马逊平台让用户租用自己的解决方案的模式,在国外的安全厂商之间逐渐流行起来,赛门铁克、Check Point的云解决方案通过亚马逊云平台向用户提供服务。之所以选择这种模式,赵鑫龙称是因为鉴于国内安全厂商同质化竞争激烈的状况,东软将市场拓展的重点转向了海外市场。
重点拓展海外市场
在市场策略方面,东软将其客户分为三类:一是针对存储量要求高的专业级用户,例如通信行业用户,强调绿色节能,通过软硬件的优化降低能耗;二是在中低端市场主推UTM产品,提供小而全但性能不高的综合防护产品;三是针对介于两者之间的中高端市场,依靠多核硬件加软件,提供具有足够性能和检测深度的综合防护解决方案。
网络安全技术与解决方案范文3
第一,企业内部的顺利运行离不开管理机制的制约,电力企业引进信息网络技术也存在同样的道理。电力信息网络安全技术缺乏相应的管理制度规划,整体系统不够完善,无法与电力企业建立内在联系,使得电力企业信息网络安全技术无法发挥其作用。第二,信息网络安全技术的优点使各个行业争相追捧,电力企业因看重信息网络技术的特点,加以引进,但是并未从全面的角度考虑其劣势,对于信息网络安全缺乏控制意识。开放性的网络给企业内部带来不安全因素,而电力企业并未意识到安全隐患,缺乏全面考虑信息网络技术的意识。第三,因电力企业缺乏控制信息网络技术的安全意识,所以没有采取有效阻止的措施,没有配备相应的安全设施,基本设施不齐全,就无法保障电力信息网络的安全。第四,信息网络技术自身加强了安全系统的保障,采取相应的安全措施,电力企业引入信息网络技术后,信息网络技术的安全措施没有与电力企业的机制有效结合,并且其内部的安全系统对于电力企业并不适用。第五,用过腾讯软件的人们都了解,一个账号在同一台电脑登陆不需要再次验证,只需要输入密码,而同样的账号换一台计算机,就需要先进行身份验证,这样提高了网络信息的安全性。如果电力企业的信息网络技术使用这样的身份安全验证,就可以在一定程度上减少企业安全隐患。
2信息网络安全的影响因素
2.1受互联网大趋势影响
电力网络信息技术建立在互联信息网络的基础上,现代网络信息发展迅猛,影响信息安全的因素也越来越多,例如攻击各类网站的黑客数量激增,网站自身的防火墙系统不够完善,致使互联信息网络的大环境存在安全隐患,因此电力企业内部会受到影响。
2.2电力企业自身缺乏安全防范意识
在互联信息网络整体存在安全隐患的环境里,电力企业内部并未采取措施应对。首先电力企业内部计算机自身的防火墙系统不够完善,存在很多漏洞,对病毒和黑客的入侵没有起到防护作用。其次,电力企业的日常信息网络数据从不加以备份,涉及到重要的信息资源并未得到安全保护,电力企业对网络信息安全没有相应的管理和规划,这些导致电力网络安全有许多不安全因素。
3电力信息网络安全的解决方案
3.1电力企业自身采取安全措施
针对以上问题,电力企业应该关注自身的网络信息安全。针对计算机的系统加以改进,完善防火墙技术,这是保证信息安全的先决条件。电力企业应该购进前进的设备,做好自身安全防护武装。例如,引进信息监测技术,这项技术可以防范计算机病毒和黑客的入侵。电力企业还要规范信息管理,企业内部的数据是关键信息,存在不安全因素的也是这些数据,因此,电力企业应该加强管理,数据应该及时备份,有备无患。加强电力企业员工素质培训也是解决方案之一。定期为管理电力网络的工作人员培训,加强教育,使其认识到网络信息的重要性,工作的内容严格按照企业的规章条例,也有助于加强电力网络信息的安全性。
3.2互联信息网络大方向
随着网络信息时代的不断进步,使用网络的人群数目迅速增加,网络可以互通远隔千里的信息,网络的开放性逐渐增大,不安全性也随之增大。网络安全应该得到各大网站和专业人士的高度重视,各大网站应该弥补网站漏洞,专业技术人员应该创新出新型安全软件,拯救互联信息网络。依存在互联信息网络大环境下的电力企业信息网络安全,也可以得到缓解和解决。
4结束语
网络安全技术与解决方案范文4
1.1安全架构方面
在有线交换设备上集成无线交换功能、IDS功能、防火墙功能等是目前厂商较为认可的模式,把安全业务卡插在机架式设备上,就可以实现无线安全业务与交换设备的高度缝合。而这些安全业务卡是电信级硬件平台,可以轻松实现用户网络安全的深度防护。
1.2终端接入方面
在网络应用的过程中,安全威胁是无处不在,尤其终端因其使用者维护水平参差不齐的原因更易成为网络安全威胁的突出对象。比如补丁不及时更新、防病毒措施不到位、系统安全的错误配置等。为了实现全面的安全管理,需要对无线和有线终端的接入进行统一控制。较为成熟的有华三一体化终端接入方案EAD。其解决方案图如2,华三的EAD解决方案支持的身份认证有L2TP、Portal、802.1X。其中L2TP是终端用户通过互联网接入用户内部网的场景,该方式相对较少见。802.1X则是对接入层均为H3C交换机的场景适用。Portal是用于适应用户网接入设备品牌较多不统一的场景,这种模式是最为常见。
1.3接入控制统一管理方面
由于早期的无线网络与有线网络是相对比较独立的,网络管理员需要两套独立的认证系统分别对无线和有线网络进行认证管理,工作量大。对用户而言需要记住两套账户和密码,不方便用户使用。一体化认证系统既可以让用户认证共用802.1x、计费等服务,也可以实现无线网相关业务的策略控制。从而简化管理,并降低维护成本。
2园区无线网络安全解决方案
2.1统一的身份管理
本方案认证管理平台提供了多种身份系统对接功能,可以与常见的基于LDAP的系统如CA、WindowsAD进行对接,也可以通过RadiusProxy功能与其他Radius服务器对接,可兼容80%以上的身份系统,账号可以实现批量导入,较好的解决了统一身份的问题。是一个可兼容无线、有线、VPN的多平台身份认证系统,采用这个平台即可同时管理无线、有线和VPN的认证用户,并且为每个用户制定统一的网络权限,无论用户在公司外部或内部接入,都可以使用同一套账号密码,享受用户所分配的网络权限。
2.2计费管理
方案支持多种计费类型,提供后付、预付等计费业务,可按流量、时长等进行计费。计费类型达数十种之多,其中每种计费类型又可衍生出多种计费策略。可实现基础计费管理、精细化计费管理以及用户与账户分离的运营管理方式。(1)基础计费管理:基础计费策略由模板直接定义,可实现免费、包天、包月、流量、时长、有限流量、有限时长、国内外流量区分费率、国内包月国际流量预付/后付的计费策略。在此基础之上定义包季度、包学期、包学年、或任意时间段的计费策略。(2)精细化计费管理:可定制不同区域、不同日期段、不同时间段、不同Vlan、不同接入设备类型、上网时长各区间、上网出/入流量各区间不同的计费策略,实现灵活、精细的计费。
2.3用户、账户分离的运营管理方式
用户与账户一对一、多对一、一对多、多对多的方式实现了用户与账户的独立管理,实现公共账户、私人账号、多业务账户的科学管理。
3结论
网络安全技术与解决方案范文5
关键词:网络技术;网络安全;现状;未来发展
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0039-02
时代的进步让我们的生活发生了重大改变,网络的应用更加拉进了人们之间的距离,让人们的生活、生产更加便利。而与此同时,网络安全问题也逐渐产生,越来越受到人们的关注。网络安全指的是通过各种技术和管理措施,让网络能够获得更加安全的运行环境,从而能够使应用数据得到完整的、保密的、可用的性质。其不仅包括网络设备的安全性,同时也包括网络信息、软件等方面的安全性。[1]只有做好网络技术的安全应用,才能够真正为人们生活中网络的应用提供安全保障,才能够让人们的应用数据得到切实保护。基于此,对网络技术安全的现状,以及其未来的发展进行研究就显得非常重要,只有对其问题和解决措施进行不断分析,才能够真正让网络带给人们更加广阔的应用空间,才能够让其给人们的生产生活带来更大的便利条件。
1 网络安全的发展现状分析
就我国目前的网络安全发展来说,其并不令人满意,其中存在着很多问题,造成了网络安全的隐患产生。主要包括以下几个方面。首先,互联网安全工具的应用缺少相应规定。当前阶段,互联网已经逐渐应用到越来越多的领域中,无论工作还是生活,都离不开互联网的支持,与之而来的安全工具也逐渐增多起来。但是,市面对于安全工具的管理来说还没有形成统一的规划,其滥用的情况比较严重。尤其当前系统安全软件种类繁多,并没有一套稳定的技术对其进行支撑,非常容易遭受到黑客的破坏,从而成为网络攻击的突破口,造成网络隐患的产生。其次,固有的安全漏洞存在。互联网安全系统中无法避免的会存在一定的漏洞,有些时候是设计人员故意为之,主要是为了能够在之后的使用中更好地进行管理,但是这却成了黑客利用便利条件。有的时候,破坏者会通过发送链接的方式传播病毒,或者增加网络应用负荷,影响网络使用或者造成网络影响。第三,网络设备存在安全问题。网络设备是网络应用的重要保证,其一旦出现问题必然会对网络安全造成影响。比如,有线网络相比较无线网络来说其安全系数较低,容易成为黑客入侵的对象。此外,网络在连接的过程中,也会成病毒袭击的对象。第四,恶意攻击所带来的不安全因素。所谓的恶意攻击主要是黑客为了一定的目的通过一定的手段截取网络中的重要数据,其会造成重要数据的丢失。当前很多黑客采用的都是安装网卡的方式窃取信息,这样的方式造成的危害也比较严重。
2 网络安全技术的防范措施
2.1 网络病毒的防范
在目前网络条件下,病毒木马得不到严格的监视,传播速度非常迅速,对网络造成了极大的破坏。就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。比如目前已被广泛使用的360安全软件、腾讯安全软件等。防病毒软件需要具有网络病毒检测和防范的作用,从而能够进一步保障个人计算机的安全,提供用户安全的上网体验。在网络中所有可能的病毒攻击点添加对应的防病毒软件系统,通过全方位、全角度、多重扫描方式的防病毒系统配置,通过定时和不定式的软件自动升级方式,使网络及计算机有效防范病毒侵袭的可能。[2]
2.2 漏洞扫描系统
安全扫描可以在未发生病毒入侵之前就把系统修复好,不给病毒木马入侵的可能,做到未雨绸缪。目前市面上有很多安全维护软件,漏洞扫描系统也成为他们主要的卖点,定期地对系统漏洞尽心扫描,及时发现系统漏洞并进行及时修复,能够最大限度地减少病毒入侵的可能,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患,从而能够为网络安全提供安全的保障。
2.3 配置防火墙
网络防火墙在网络出现以来就一直得到广泛应用,其既可以进行主动过滤,也可以进行被动防御。利用网络防火墙可以将我们不需要的数据源拒绝在门外,最大限度地防止不合法的数据进入个人计算机,避免其对计算机的各种数据随意修改,避免对计算机造成威胁。防火墙是一种广泛应用的安全工具,其中还有很多重要的功能需要进一步予以开发。对防火墙进行深入研究,能够让其在网络中的保护作用得到最大化的发挥,也能够防止网络中的不安全因素蔓延,是网络安全中非常重要的安全保障环节。[3]
2.4 入侵检测系统应用
随着黑客技术的不断提高,其在对付安全防御系统方面的招数也在不断变化,部署相应的入侵网络检测系统就成为救星。该检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或者异常现象的一种技术,其能够为网络的安全提供策略计划。其主要是在入侵检测系统中通过审计记录的追踪,对不希望的活动或者有危险的活动予以识别,从而达到对此类活动予以限制,提供系统安全的目的。该监测技术能够提供一整套完整的主动防御体系,在网络安全保障方面起到的作用非常明显。
此外,培养具有现代网络技术的人才,对于网络技术的安全性而言也同样非常重要。其能够对网络中的各种漏洞,以及安全隐患进行深入研究,不断研究新式的防御措施,提升网络整体环境的安全性,为网络技术的安全保驾护航。
3 网络安全发展趋势
3.1 网络安全技术的融合发展
网络的应用范围不断拓展,其所面临的威胁也不断增加。传统单一的往往安全策略已经无法适应当前的环境需要。因此,网络技术的融合发展出现呈现出发展态势。所谓的融合发展主要指的是网络安全技术囊括了更多的毗邻领域,通过一个软件将与之相关的安全策略结合在一起,从而让网络的安全系数得到提高。[4]整体的安全解决方案开始融合以终端准入解决方案为代表的网络管理软件。终端准入解决方案的为网络的安全性提供保障。其能够从整体角度解决网络中的各种问题,保证网络管理目标得以实现。
3.2 网络主动防御的发展
在传统网络安全中,对于病毒、入侵的防御方式主要是被动防御,但网络安全主动防御的想法已经被拿到台面上来。虽然其发展存在一定的困难和阻碍,但是其应用的前景已经逐渐明朗起来。所谓网络主动防御,其实质就是主动甄别有危险的程序,阻止管理员安装使用,然后对其进行风险提示和清理。主动防御能够将网络安全隐患“扼杀在摇篮中”,能够推动网络安全的智能化建设,能够推动互联网的高效发展。主动防御的优势让其在未来的发展中逐渐成为重要研究方向。
3.3 网络自动化、智能化的发展
传统的网络优化和信息技术发展主要是依靠人工操作来完成的,而其未来的发展与传统模式发展的不同之处在于其将会越来越智能化,人工操作的频率和难度将会逐渐降低,从而为人们的生产、生活带来更大的便利条件。网络优化主要是通过参数采集、信息跟进、统计数据测试、信息分析等手段对整个网络得安全性进行分析,查明问题所在,调整相应的软件、硬件配置。让有限的资源得到最大程度的利用。[5]之后,这些工作都可以通过程序输入的方式交由“系统”来完成,通过合理推理机制的构建,针对网络中存在的运行和服务问题进行解决,为人们提供合理建议,甚至会给出相应的解决方案,并作出解释说明,智能化的发展带给人们更为安全的网络环境。
4 结语
在新时代的网络技术发展背景下,我们所应用的网络技术安全问题仍然存在,对网络安全的研究仍不能停止。无论对于个人计算机而言,还是对于一个企业,甚至对于一个国家而言,网络安全的重要性不言而喻,其关系到个人、整个企业,甚至国家的保密文件的安全性。安全系统得不到保障,所造成的影响非常巨大。网络安全技术就是其正常运转的有力支撑。加强网络安全技术的发展,为人们提供更加优质的网络安全服务,应当成为人们努力的方向,应当引起人们的高度重视。
参考文献:
[1] 龚翼. 计算机网络信息技术安全及对策分析[J]. 信息与电脑(理论版), 2012(8).
[2] 宁向延, 张顺颐. 网络安全现状与技术发展[J]. 南京邮电大学学报(自然科学版), 2012(5).
[3] 杨振会. P2P网络技术安全问题探析[J]. 现代计算机, 2006(11).
网络安全技术与解决方案范文6
医院网络安全形势严峻,传统的网络安全措施,均只照顾到单点或局部安全。防火墙虽能有效保护出口安全或服务器区域安全,阻止某些攻击,但无法分析深层数据,尤其无法处理内部攻击;杀毒软件面对种类繁多的病毒,已经陷入亡羊补牢的被动局面,难以主动防御,今年“熊猫烧香”、“灰鸽子”病毒爆发,就让杀毒软件束手无策。
目前医院网络安全技术基本上还是单兵作战,由杀毒软件和防火墙等独立安全产品对攻击进行防御。这些防范措施漏洞百出,被动挨打,无法实现真正的全局网络安全。而医院网络安全事关重大,院内管理、处方监控、患者服务等等信息,关乎生命健康,因此确保医院网络安全,具有重大的社会意义。
多兵种协同作战
确保医院全局网络安全
在我国网络安全领域居于领先地位的GSN全局安全解决方案,集自动、主动、联动特征于一身,使拥有“纵深防御”特性的新型网络安全模式成为可能。目前已经开始应用于医疗卫生单位,并在2006年底,以厦门集美大学网络为平台,建成了全国唯一一个万人规模下全局网络安全应用工程,获得2007年第八届信息安全大会最佳安全实践奖。
GSN(Global Security Network全局安全网络),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动。GSN将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动,集成到一个网络安全解决方案中,用“多兵种”协同作战的方式,实现网络全方位安全,同时实现对网络安全威胁的自动防御,网络受损系统的自动修复。GSN拥有针对网络环境变化和新网络行为的自动学习能力,防范未知安全事件,从被动防御变成了主动出击。
GSN在医院网络中作用机制
“联动”是GSN精髓所在。GSN的入侵检测系统分布在网络的各个角落,进行安全事件检测,最终上报给安全管理平台。当网络被病毒攻击时,安全管理平台自动将安全策略下发到安全事件发生的网络区域,并自动同步到整个网络中,从而达到网络自动防御。
安全管理平台对安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),管理员只下发警告消息。如果某些攻击是由于未打某补丁,则可以下发修复程序,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个局域网中传播。
GSN全局网络安全系统,从ARP协议入手,针对ARP协议动态学习、自动更新的天生缺陷,由GSN方案中各安全组件进行互动,在客户端进行静态ARP的绑定,在网关进行可信任ARP的绑定,并实现自动部分接管ARP协议的功能,达到从根本上解决ARP欺骗的问题。同时结合锐捷安全交换机,完全杜绝ARP欺骗报文在网络中的传播和泛滥,结合GSN方案的其它功能,还能够解决IP冲突等带来的一些问题。方案中锐捷网络还自定义了“可信任ARP”和相关机制,使得网络安全真正做到了没有漏洞。
