前言:中文期刊網(wǎng)精心挑選了網(wǎng)絡安全防護手段范文供你參考和學習,希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
網(wǎng)絡安全防護手段范文1
安全域劃分方式
1安全域劃分模型。根據(jù)安徽中煙網(wǎng)絡和業(yè)務現(xiàn)狀,安徽中煙提出了如下安全域劃分模型,將整個網(wǎng)絡劃分為互聯(lián)網(wǎng)接口區(qū)、內部網(wǎng)絡接口區(qū),核心交換區(qū),核心生產(chǎn)區(qū)四部分:核心生產(chǎn)區(qū)本區(qū)域僅和該業(yè)務系統(tǒng)其它安全子域直接互聯(lián),不與任何外部網(wǎng)絡直接互聯(lián)。該業(yè)務系統(tǒng)中資產(chǎn)價值最高的設備位于本區(qū)域,如服務器群、數(shù)據(jù)庫以及重要存儲設備,外部不能通過互聯(lián)網(wǎng)直接訪問該區(qū)域內設備。內部互聯(lián)接口區(qū)本區(qū)域放置的設備和公司內部網(wǎng)絡,包括與國家局,商煙以及分支煙草連接的網(wǎng)絡。互聯(lián)網(wǎng)接口區(qū)本區(qū)域和互聯(lián)網(wǎng)直接連接,主要放置互聯(lián)網(wǎng)直接訪問的設備。該區(qū)域的設備具備實現(xiàn)互聯(lián)網(wǎng)與內部核心生產(chǎn)區(qū)數(shù)據(jù)的轉接作用。核心交換區(qū)負責連接核心生產(chǎn)區(qū)、內部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。
2安全域邊界整合。1)整合原則。邊界整合原則是主要依據(jù)分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業(yè)務系統(tǒng)應歸并為一個大的安全域;次之,在每個機房的屬于同一數(shù)據(jù)業(yè)務系統(tǒng)的節(jié)點應歸并為一個大的安全域。跨系統(tǒng)整合:不同的數(shù)據(jù)業(yè)務系統(tǒng)之間的同類安全域應在保證域間互聯(lián)安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯(lián)的接口數(shù)量最小化,以便于集中、重點防護。2)整合方法。為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點間的邊界整合,側重于數(shù)據(jù)業(yè)務系統(tǒng)與互聯(lián)網(wǎng)、外部系統(tǒng)間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網(wǎng)絡容災能力,將現(xiàn)有數(shù)據(jù)業(yè)務系統(tǒng)和互聯(lián)網(wǎng)的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數(shù)據(jù)業(yè)務系統(tǒng)和互聯(lián)網(wǎng)之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
安全防護策略
1安全防護原則
集中防護。通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統(tǒng)的網(wǎng)絡探頭、異常流量檢測和過濾設備、網(wǎng)絡安全管控平臺的采集設備、防病毒系統(tǒng)的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業(yè)務系統(tǒng)、不同的安全子域進行防護,共享其提供的安全服務。分等級防護。根據(jù)煙草行業(yè)信息安全等級保護要求,對不同的數(shù)據(jù)業(yè)務系統(tǒng)、不同的安全子域,按照其保護等級進行相應的防護。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進行防護。縱深防護。從外部網(wǎng)絡到核心生產(chǎn)域,以及沿用戶(或其他系統(tǒng))訪問(或入侵)系統(tǒng)的數(shù)據(jù)流形成縱深的安全防護體系,對關鍵的信息資產(chǎn)進行有效保護。
2系統(tǒng)安全防護
為適應安全防護需求,統(tǒng)一、規(guī)范和提升網(wǎng)絡和業(yè)務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
1)設備自身安全功能和配置。一旦確定了設備所在的安全域,就可以根據(jù)其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規(guī)范》提供指導。
2)基礎安全技術防護手段。業(yè)務系統(tǒng)的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網(wǎng)絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據(jù)業(yè)務系統(tǒng)面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網(wǎng)頁防篡改、垃圾郵件過濾手段等。防火墻部署防火墻要部署在各種互聯(lián)邊界之處:在互聯(lián)網(wǎng)接口區(qū)和互聯(lián)網(wǎng)的邊界必須部署防火墻;在核心交換區(qū)部署防火墻防護互聯(lián)網(wǎng)接口區(qū)、內部互聯(lián)接口區(qū)和核心生產(chǎn)區(qū)的邊界;在內部互聯(lián)接口區(qū)和內部網(wǎng)絡的邊界也需部署防火墻。考慮到內部互聯(lián)風險較互聯(lián)網(wǎng)低,內部互聯(lián)接口區(qū)防火墻可復用核心交換區(qū)部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯(lián)網(wǎng)接口區(qū)、內部互聯(lián)接口區(qū)必須部署入侵檢測探頭,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的入侵檢測中央服務器的控制。在經(jīng)濟許可或相應合理要求下,也可在核心交換區(qū)部署入侵檢測探頭,實現(xiàn)對系統(tǒng)間互訪的監(jiān)控。防病毒系統(tǒng)的部署運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端,并統(tǒng)一接受網(wǎng)管網(wǎng)集中部署的防病毒中央控制服務器的統(tǒng)一管理。同時,為了提高可用性和便于防護,可在內部互聯(lián)接口區(qū)部署二級防病毒服務器。異常流量檢測和過濾可在數(shù)據(jù)業(yè)務系統(tǒng)互聯(lián)網(wǎng)接口子域的互聯(lián)網(wǎng)邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯(lián)網(wǎng)的各類異常流量。網(wǎng)絡安全管控平臺網(wǎng)絡安全管控平臺應部署在網(wǎng)管網(wǎng)側,但為了簡化邊界和便于防護,建議:在內部互聯(lián)接口區(qū)部署帳號口令采集設備以實現(xiàn)帳號同步等功能。在內部互聯(lián)接口區(qū)必須部署日志采集設備,采集業(yè)務系統(tǒng)各設備的操作日志。
網(wǎng)絡安全防護手段范文2
醫(yī)院之中所謂的內網(wǎng)安全威脅的主要存在于對醫(yī)院內網(wǎng)進行使用的人以及相關管理人員自身的安全意識上面,以及他們自身的安全操作使用規(guī)范上面。從基礎設施上面來說,醫(yī)院首先要建立一個具有廣泛影響力、能夠切合實際、規(guī)范嚴密的更加人性化的信息化網(wǎng)絡安全管理體系,這樣能夠強化醫(yī)院之中的管理人員以及使用內部網(wǎng)絡的醫(yī)護人員的網(wǎng)絡安全管理觀念以及網(wǎng)絡安全防范意識,同時也應當擴大對醫(yī)院內部的網(wǎng)絡安全管理的技術投人,加強管理人員的對于網(wǎng)絡完全的管理力度,同時制定出完善、細致的獎懲措施、同時制定出細致的安全操作規(guī)程,組建專業(yè)的網(wǎng)絡安全維護團隊或者設置專門的防御網(wǎng)絡攻擊安全機構,最終為在醫(yī)院的制度管理和操作規(guī)程方面為內部網(wǎng)絡的安全管理提供良好的安全體制建設。在以上醫(yī)院的安全制度的建立的情況下,在醫(yī)院的工作人員方面,還應當對其安全意識進行提升,使他們能夠養(yǎng)成良好的網(wǎng)絡完全操作習慣。比如說不去訪問或者瀏覽一些安全級別比較低的與無關自身工作的網(wǎng)站,經(jīng)常對計算機進行殺毒、修復系統(tǒng)漏洞、打開系統(tǒng)防火墻、經(jīng)常進行常規(guī)應用軟件的升級、養(yǎng)成對重要數(shù)據(jù)及時備份的習慣。與此同時也要提升醫(yī)院工作人員的網(wǎng)絡安全防范的防護意識,盡量不安裝來歷不明或者盜版的軟件,不隨意外聯(lián)網(wǎng)站;也要對醫(yī)院內部工作人員使用個人的移動存儲設備的方式進行規(guī)范,要求其不能隨便插到系統(tǒng)內部網(wǎng)絡計算機上使用。同時在內部計算機上也要利用設置密碼,記錄系統(tǒng)操作日志或者安裝正版的網(wǎng)絡安全防護軟件等方法來實時的控制接入內部網(wǎng)絡的計算機的使用過程。通過安全軟件的安裝和使用,比如說常用的安全防護軟件360安全衛(wèi)士,堅持每天進行對電腦安全掃描,修復需要修復的系統(tǒng)漏洞。在進行網(wǎng)絡監(jiān)測過程中,如果在某一時刻系統(tǒng)存在安全隱患的情況下,立刻采取措施,比如說殺毒、備份等來實現(xiàn)對醫(yī)療數(shù)據(jù)的實施保護。
2網(wǎng)絡安全防控措施
在醫(yī)院網(wǎng)絡環(huán)境在面臨著黑客攻擊、病毒入侵等眾多的網(wǎng)絡安全攻擊手段的安全隱患下,應該首先堅持以不變應萬變處理原則,首先加強醫(yī)院在網(wǎng)絡方面的安全管理,制定完善的網(wǎng)絡完全防護制度,對每一個參與對醫(yī)院網(wǎng)絡訪問的工作人員或者管理人員分配響應的安全責任,加強安全意識的培養(yǎng),最終實現(xiàn)對網(wǎng)絡安全環(huán)境的有效監(jiān)控。同時在日常安全防護管理過程中,如有發(fā)現(xiàn)問題,應當立即采取措施予以解決,并總結經(jīng)驗教訓,保證以后在出現(xiàn)同樣狀況時能夠快速正確的解決問題。同時對工作人員安全意識方面,還需要設立專門的網(wǎng)絡安全防護部門,一方面用于對醫(yī)院網(wǎng)絡的安全防護進行管理,另外一方面用于對醫(yī)院相關工作人員做網(wǎng)絡安全操作培訓。在基礎設計防護方面,可以再軟件上面和硬件方面做出不同的安全防護手段,比如說安裝防火墻、使用殺毒軟件等方式來確保醫(yī)院網(wǎng)絡系統(tǒng)不會受到網(wǎng)絡攻擊。
3結束語
網(wǎng)絡安全防護手段范文3
[關鍵詞]煙草企業(yè);網(wǎng)絡安全防護;體系建設
doi:10.3969/j.issn.1673 - 0194.2016.24.028
[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194(2016)24-00-02
隨著信息化的逐步發(fā)展,國內煙草企業(yè)也愈加重視利用網(wǎng)絡提高生產(chǎn)管理銷售水平,打造信息化時代下的現(xiàn)代煙草企業(yè)。但享受網(wǎng)絡帶來便捷的同時,也正遭受到諸如病毒、木馬等網(wǎng)絡威脅給企業(yè)信息安全方面帶來的影響。因此,越來越多的煙草企業(yè)對如何強化網(wǎng)絡安全防護體系建設給予了高度關注。
1 威脅煙草企業(yè)網(wǎng)絡信息體系安全的因素
受各種因素影響,煙草企業(yè)網(wǎng)絡信息體系正遭受到各種各樣的威脅。
1.1 人為因素
人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。人為的惡意攻擊,這是計算機網(wǎng)絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一種是被動攻擊,他是在不影響網(wǎng)絡正常工作的情況下,進行截獲、竊取與破譯等行為獲得重要機密信息。
1.2 軟硬件因素
網(wǎng)絡安全設備投資方面,行業(yè)在防火墻、網(wǎng)管設備、入侵檢測防御等網(wǎng)絡安全設備配置方面處于領先地位,但各類應用系統(tǒng)、數(shù)據(jù)庫、軟件存在漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,如Telnet漏洞、Web軟件、E-mail漏洞、匿名FTP等,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經(jīng)出現(xiàn)過黑客攻入網(wǎng)絡內部的事件,其大部分是因為安全措施不完善所招致的苦果。軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦被破解,其造成的后果將不堪設想。另外,各種新型病毒發(fā)展迅速,超出防火墻屏蔽能力等,都使企業(yè)安全防護網(wǎng)絡遭受嚴重威脅。
1.3 結構性因素
煙草企業(yè)現(xiàn)有的網(wǎng)絡安全防護體系結構,多數(shù)采用的是混合型結構,星形和總線型結構重疊并存,相互之間極易產(chǎn)生干擾。利用系統(tǒng)存在的漏洞和“后門”,黑客就可以利用病毒等入侵開展攻擊,或者,網(wǎng)絡使用者因系統(tǒng)過于復雜而導致錯誤操作,都可能造成網(wǎng)絡安全問題。
2 煙草企業(yè)網(wǎng)絡安全防護體系建設現(xiàn)狀
煙草企業(yè)網(wǎng)絡安全防護體系建設,仍然存在著很多不容忽視的問題,亟待引起高度關注。
2.1 業(yè)務應用集成整合不足
不少煙草企業(yè)防護系統(tǒng)在建設上過于單一化、條線化,影響了其縱向管控上的集成性和橫向供應鏈上的協(xié)同性,安全防護信息沒有實現(xiàn)跨部門、跨單位、跨層級上的交流,相互之間不健全的信息共享機制,滯后的信息資源服務決策,影響了信息化建設的整體效率。缺乏對網(wǎng)絡安全防護體系建設的頂層設計,致使信息化建設未能形成整體合力。
2.2 信息化建設特征不夠明顯
網(wǎng)絡安全防護體系建設是現(xiàn)代煙草企業(yè)的重要標志,但如基礎平臺的集成性、基礎設施的集約化、標準規(guī)范體系化等方面的建設工作都較為滯后。主營煙草業(yè)務沒有同信息化建設高度契合,對影響企業(yè)發(fā)展的管理制度、業(yè)務需求、核心數(shù)據(jù)和工作流程等關鍵性指標,缺乏宏觀角度上的溝通協(xié)調,致使在信息化建設中,業(yè)務、管理、技術“三位一體”的要求并未落到實處,影響了網(wǎng)絡安全防護的效果。
2.3 安全運維保障能力不足
缺乏對運維保障工作的正確認識,其尚未完全融入企業(yè)信息化建設的各個環(huán)節(jié),加上企業(yè)信息化治理模式構建不成熟等原因,制約了企業(yè)安全綜合防范能力與運維保障體系建設的整體效能,導致在網(wǎng)絡威脅的防護上較為被動,未能做到主動化、智能化分析,導致遭受病毒、木馬、釣魚網(wǎng)站等反復侵襲。
3 加強煙草企業(yè)網(wǎng)絡安全防護體系建設的策略
煙草企業(yè)應以實現(xiàn)一體化數(shù)字煙草作為建設目標,秉承科學頂層設計、合理統(tǒng)籌規(guī)劃、力爭整體推進的原則,始終堅持兩級主體、協(xié)同建設和項目帶動的模式,按照統(tǒng)一架構、安全同步、統(tǒng)一平臺的技術規(guī)范,才能持續(xù)推動產(chǎn)業(yè)發(fā)展同信息化建設和諧共生。
3.1 遵循網(wǎng)絡防護基本原則
煙草企業(yè)在建設安全防護網(wǎng)絡時,應明白建設安全防護網(wǎng)絡的目標與原則,清楚網(wǎng)絡使用的性質、主要使用人員等基本情況。并在邏輯上對安全防護網(wǎng)絡進行合理劃分,不同區(qū)域的防御體系應具有針對性,相互之間邏輯清楚、調用清晰,從而使網(wǎng)絡邊界更為明確,相互之間更為信任。要對已出現(xiàn)的安全問題進行認真分析,并歸類統(tǒng)計,大的問題盡量拆解細分,類似的問題歸類統(tǒng)一,從而將復雜問題具體化,降低網(wǎng)絡防護工作的難度。對企業(yè)內部網(wǎng)絡來說,應以功能為界限來劃分,以劃分區(qū)域為安全防護區(qū)域。同時,要不斷地完善安全防護體系建設標準,打破不同企業(yè)之間網(wǎng)絡安全防護體系的壁壘,實現(xiàn)信息資源更大程度上的互聯(lián)互通,從而有效地提升自身對網(wǎng)絡威脅的抵御力。
3.2 合理確定網(wǎng)絡安全區(qū)域
煙草企業(yè)在使用網(wǎng)絡過程中,不同的區(qū)域所擔負的角色是不同的。為此,內部網(wǎng)絡,在設計之初,應以安全防護體系、業(yè)務操作標準、網(wǎng)絡使用行為等為標準對區(qū)域進行劃分。同時,對生產(chǎn)、監(jiān)管、流通、銷售等各個環(huán)節(jié),要根據(jù)其業(yè)務特點強化對應的網(wǎng)絡使用管理制度,既能實現(xiàn)網(wǎng)絡安全更好防護,也能幫助企業(yè)實現(xiàn)更為科學的管控與人性化的操作。在對煙草企業(yè)網(wǎng)絡安全區(qū)域進行劃分時,不能以偏概全、一蹴而就,應本著實事求是的態(tài)度,根據(jù)企業(yè)實際情況,以現(xiàn)有的網(wǎng)絡安全防護為基礎,有針對性地進行合理的劃分,才能取得更好的防護效果。
3.3 大力推行動態(tài)防護措施
根據(jù)網(wǎng)絡入侵事件可知,較為突出的問題有病毒更新?lián)Q代快、入侵手段與形式日趨多樣、病毒防護效果滯后等。為此,煙草企業(yè)在構建網(wǎng)絡安全防護體系時,應根據(jù)不同的威脅形式確定相應的防護技術,且系統(tǒng)要能夠隨時升級換代,從而提升總體防護力。同時,要定期對煙草企業(yè)所遭受的網(wǎng)絡威脅進行分析,確定系統(tǒng)存在哪些漏洞、留有什么隱患,實現(xiàn)入侵實時監(jiān)測和系統(tǒng)動態(tài)防護。系統(tǒng)還需建立備份還原模塊和網(wǎng)絡應急機制,在系統(tǒng)遭受重大網(wǎng)絡威脅而癱瘓時,確保在最短的時間內恢復系統(tǒng)的基本功能,為后期確定問題原因與及時恢復系統(tǒng)留下時間,并且確保企業(yè)業(yè)務的開展不被中斷,不會為企業(yè)帶來很大的經(jīng)濟損失。另外,還應大力提倡煙草企業(yè)同專業(yè)信息防護企業(yè)合作,構建病毒防護戰(zhàn)略聯(lián)盟,為更好地實現(xiàn)煙草企業(yè)網(wǎng)絡防護效果提供堅實的技術支撐。
3.4 構建專業(yè)防護人才隊伍
人才是網(wǎng)絡安全防護體系的首要資源,缺少專業(yè)性人才的支撐,再好的信息安全防護體系也形同虛設。煙草企業(yè)網(wǎng)絡安全防護的工作專業(yè)性很強,既要熟知信息安全防護技術,也要對煙草企業(yè)生產(chǎn)全過程了然于胸,并熟知國家政策法規(guī)等制度。因此,煙草企業(yè)要大力構建專業(yè)的網(wǎng)絡信息安全防護人才隊伍,要采取定期選送、校企聯(lián)訓、崗位培訓等方式,充分挖掘內部人力資源,提升企業(yè)現(xiàn)有信息安全防護人員的能力素質,也要積極同病毒防護企業(yè)、專業(yè)院校和科研院所合作,引進高素質專業(yè)技術人才,從而為企業(yè)更好地實現(xiàn)信息安全防護效果打下堅實的人才基礎。
3.5 提升員工安全防護意識
技術防護手段效果再好,員工信息安全防護意識不佳,系統(tǒng)也不能取得好的效果。煙草企業(yè)要設立專門的信息管理培訓中心,統(tǒng)一對企業(yè)網(wǎng)絡安全防護系統(tǒng)進行管理培訓,各部門、各環(huán)節(jié)也要設立相應崗位,負責本崗位的網(wǎng)絡使用情況。賬號使用、信息、權限確定等,都要置于信息管理培訓中心的制約監(jiān)督下,都要在網(wǎng)絡使用制度的規(guī)則框架中,杜絕違規(guī)使用網(wǎng)絡、肆意泄露信息等現(xiàn)象的發(fā)生。對全體員工開展網(wǎng)絡安全教育,提升其網(wǎng)絡安全防護意識,使其認識到安全防護體系的重要性,從而使每個人都能依法依規(guī)地使用信息網(wǎng)絡。
4 結 語
煙草企業(yè)管理者必須清醒認識到,利用信息網(wǎng)絡加快企業(yè)升級換代、建設一流現(xiàn)代化煙草企業(yè)是行業(yè)所向、大勢所趨,絕不能因為網(wǎng)絡存在安全威脅而固步自封、拒絕進步。但也要關注信息化時代下網(wǎng)絡安全帶來的挑戰(zhàn),以實事求是的態(tài)度,大力依托信息網(wǎng)絡安全技術,構建更為安全的防護體系,為企業(yè)做大做強奠定堅實的基礎。
主要參考文獻
[1]楊波.基于安全域的煙草工業(yè)公司網(wǎng)絡安全防護體系研究[J].計算機與信息技術,2012(5).
網(wǎng)絡安全防護手段范文4
1引言
隨著我國各大高校數(shù)字校園的發(fā)展建設,網(wǎng)絡信息安全問題已經(jīng)成為了校園信息化建設中不可忽視的重點問題。為了解決校園網(wǎng)絡信息安全問題,越來越多的現(xiàn)代信息安全技術被廣泛應用于數(shù)字校園建設中,防火墻技術在網(wǎng)絡安全防護建設中應用得最為普遍。但是,傳統(tǒng)的邊界防火墻技術存在性能較差和單點失效等明顯弊端,更需要基于網(wǎng)絡拓撲結構來實現(xiàn)防火墻安全策略。因此,分布式防火墻技術在這種背景下應運而生,分布式防火墻技術通過在某些受保護的主機上進行部署,以解決傳統(tǒng)防火墻技術的瓶頸問題。本文主要對分布式防火墻在數(shù)字校園中的部署進行了方案設計。
2傳統(tǒng)防火墻中存在的問題
(1)內部安全問題。傳統(tǒng)的防火墻技術無法對內部數(shù)據(jù)進行安全監(jiān)控,更無法實現(xiàn)出現(xiàn)在網(wǎng)絡內部攻擊的安全防護。(2)性能瓶頸問題。傳統(tǒng)防火墻技術的性能較差,數(shù)據(jù)處理速度較慢,防護惡意攻擊的安全功能不夠完善。(3)單點失效問題。整個網(wǎng)絡的安全防護全部依賴防火墻技術,一旦惡意攻擊者翻越防火墻,或者防火墻配置出現(xiàn)問題,內部網(wǎng)絡將完全暴露于攻擊人員面前。(4)授權訪問問題。由于網(wǎng)絡環(huán)境非常復雜,很容易造成惡意攻擊人員繞過防火墻設置直接與內部網(wǎng)絡進行連接,給網(wǎng)絡安全防護帶來極大威脅。(5)端對端加密威脅。當基于新型網(wǎng)絡協(xié)議進行數(shù)據(jù)加密時,傳統(tǒng)防火墻技術經(jīng)常會由于沒有密鑰而無法識別合計檢查通過的數(shù)據(jù)包內容。(6)安全模式簡單。傳統(tǒng)防火墻技術的安全防護策略主要針對的是內部網(wǎng)絡,內部網(wǎng)絡中部署的主機全部采用相同的安全模式,很容易造成信息安全威脅。
3分布式防火墻的部署設計
3.1體系結構設計
本文主要基于Linux系統(tǒng)環(huán)境下,通過服務器部署防火墻策略,在防火墻基礎上進行安全策略協(xié)商,以確保各個防火墻可以協(xié)同工作,對整個網(wǎng)絡系統(tǒng)進行安全防護,構建分布式防火墻系統(tǒng)的原型。分布式防火墻系統(tǒng)結構如圖1所示,采用對話控制方式的協(xié)調機制,具有典型分散型防火墻系統(tǒng)的部署結構。
3.2控制中心結構設計
控制中心主要負責實現(xiàn)資料收集、相互對話、日志管理和證書簽發(fā)功能。控制中心的各個節(jié)點處都配置了防火墻的安全策略庫、數(shù)字密鑰庫和數(shù)字證書等內容。控制中心的本質是CA認證中心,CA認證中心是分布式防火墻系統(tǒng)唯一授權和承認的數(shù)字證書簽發(fā)機構。控制中心結構主要包括策略模塊、日志模塊、策略分析模塊和策略協(xié)商模塊。
3.3防火墻結構設計
防火墻的設計主要采用了分布式結構,以分擔網(wǎng)絡數(shù)據(jù)流量的方法減少每個網(wǎng)絡節(jié)點承擔的數(shù)據(jù)處理量。分布式防火墻的部署能夠有效避免某個網(wǎng)絡節(jié)點感染木馬病毒而導致整個網(wǎng)絡受到嚴重的安全威脅,每個網(wǎng)絡節(jié)點必須針對需要經(jīng)過的數(shù)據(jù)進行識別和檢查。防火墻系統(tǒng)的體系結構包括通用層接口、IP過濾模塊、服務程序、聯(lián)動接口、沖突檢測、網(wǎng)絡解析、策略協(xié)商和日志管理等。接口層主要為用戶使用管理進行支持,IP過濾模塊負責對生成的日志信息進行保存,以記錄網(wǎng)絡訪問地址。沖突檢測模塊負責檢查各個數(shù)據(jù)輸入接口與防火墻連接的位置是否存在異常情況。安全解析模塊負責解析安全版圖,將其轉換成為系統(tǒng)可以識別和執(zhí)行的形式。策略協(xié)商模塊負責利用控制中心實現(xiàn)其他防火墻的安全防護策略的協(xié)同運行。
4結語
綜上所述,由于各大高校校園網(wǎng)絡建設規(guī)模非常龐大,網(wǎng)絡結構也十分復雜,本文提出了防火墻的部署方案,主要利用控制中心對安全防護策略進行協(xié)商,但這也可能會造成系統(tǒng)性能降低等問題,在下一步的設計研究中應該增加多個控制中心,由每個控制中心負責承擔部分防火墻安全策略的協(xié)商任務,再通過完善的數(shù)據(jù)通信機制使各個控制中心之間實現(xiàn)協(xié)商策略的交換。同時,還可以將控制中心的各項功能與防火墻功能結合,防止由于過于依賴策略中心給系統(tǒng)安全漏洞和威脅。
網(wǎng)絡安全防護手段范文5
關鍵詞:網(wǎng)絡工程;安全防護;防護技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)21- 4790-02
隨著我國社會經(jīng)濟的發(fā)展,信息化建設也發(fā)展較快,現(xiàn)代通信技術日新月異。通信網(wǎng)絡的推廣和普及使人們改變了信息交流的方式,逐漸成為人們日常生活信息獲取和交流的主要途徑。近年來,我國互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展帶來了兩個方面的影響,一方面方便了人們的工作和生活,另一方面由于計算機網(wǎng)絡的開放性、互聯(lián)性以及分散性等特點,使得網(wǎng)絡工程中還不同程度地存在著一些安全隱患,威脅著網(wǎng)絡工程的通信網(wǎng)絡環(huán)境。網(wǎng)絡安全防護是一種網(wǎng)絡安全技術,加強網(wǎng)絡工程中安全防護技術,有利于保障通信網(wǎng)絡安全暢通。因此,研究網(wǎng)絡工程中的安全防護技術具有十分重要的現(xiàn)實意義。鑒于此,筆者對網(wǎng)絡工程中的安全防護技術進行了初步探討。
1 網(wǎng)絡工程安全存在的問題分析
當前,網(wǎng)絡工程安全現(xiàn)狀不容樂觀,還存在著諸多亟待解決的問題,這些問題主要表現(xiàn)在黑客的威脅攻擊、計算機病毒入侵、IP地址被盜用、垃圾郵件的泛濫和計算機系統(tǒng)風險五個方面,其具體內容如下:
1.1 黑客的威脅攻擊
黑客的威脅攻擊是網(wǎng)絡工程安全中存在的問題之一。黑客最早源自英文hacker,從黑客的定義上來看,黑客是指利用系統(tǒng)安全漏洞對網(wǎng)絡進行攻擊破壞或竊取資料的人。一般來說,黑客在對網(wǎng)絡工程進行攻擊時,按黑客攻擊的方式分類主要有兩種攻擊方式,即非破壞性攻擊和破壞性攻擊。非破壞性攻擊通常為了擾亂系統(tǒng)的運行,將阻礙系統(tǒng)正常運行作為目的, 并不盜竊系統(tǒng)資料,用拒絕服務和信息炸彈對系統(tǒng)進行攻擊;破壞性攻擊以侵入電腦系統(tǒng)、盜竊系統(tǒng)保密信息為目的,黑客會破壞電腦系統(tǒng)。
1.2 計算機病毒入侵
計算機病毒入侵在一定程度上制約著網(wǎng)絡工程安全的發(fā)展。計算機病毒具有破壞性,復制性和傳染性等特點,計算機病毒不是天然存在的,是編制者將指令、程序代碼植入到計算機系統(tǒng)中。所謂的病毒是人為造成的,通過影響計算機系統(tǒng)的正常運行,造成對其他用戶的危害。計算機病毒破壞力強、傳播迅速且不易被察覺,尤其是像木馬、震網(wǎng)、火焰這些通過網(wǎng)絡作為途徑傳播的病毒,一旦感染其他程序,將會對計算機資源進行破壞。不難看出,提高系統(tǒng)的安全性是確保網(wǎng)絡工程安全的過程中迫切需要解決的問題。
1.3 IP地址被盜用
IP地址被盜用也是網(wǎng)絡工程安全的瓶頸。對計算機網(wǎng)絡而言,被盜用IP地址的計算機不能正常使用網(wǎng)絡,致使用戶無法進行正常的網(wǎng)絡連接。區(qū)域網(wǎng)絡中常有l(wèi)P被盜的情況,這種情況下用戶被告知lP地址已被占用,致使用戶無法進行正常的網(wǎng)絡連接。這些lP地址權限通常較高,竊取lP者一般會以不知名的身份來擾亂用戶的正常網(wǎng)絡使用,這會給用戶帶來很大的影響,使用戶的自身權益受到侵犯,也嚴重威脅網(wǎng)絡的安全性。
1.4 垃圾郵件的泛濫
垃圾郵件的泛濫,使得網(wǎng)絡工程安全陷入困境。垃圾郵件是指那些并非用戶自愿卻無法阻止收取的郵件。長期以來,垃圾郵件損害了郵件使用者的利益, 垃圾郵件的的日益嚴重讓網(wǎng)絡重負逐漸加大,對效率和安全性造成嚴重的威脅,一方面大量消耗網(wǎng)絡資源,減緩了系統(tǒng)運行效率;另一方面,數(shù)量繁多的垃圾郵件還侵害整個網(wǎng)絡工程的安全。
1.5 計算機系統(tǒng)風險
計算機系統(tǒng)風險也影響著網(wǎng)絡工程安全。在計算機網(wǎng)絡工程中,管理機構的體制不健全,各崗位分工不明確,對密碼及權限的管理不夠,這些因素使網(wǎng)絡安全日益受到外來的破壞且用戶自身安全防衛(wèi)意識薄弱,無法有效地規(guī)避信息系統(tǒng)帶來的風險, 導致計算機系統(tǒng)的風險逐步嚴重,計算機系統(tǒng)不能正常工作,最終威脅到計算機網(wǎng)絡的安全。因此,加強網(wǎng)絡工程中安全防護技術勢在必行。
2 加強網(wǎng)絡工程中安全防護技術的策略
2.1 設置防火墻過濾信息
最直接的黑客防治辦法是運用防火墻技術,設置防火墻過濾信息是加強網(wǎng)絡工程中安全防護技術的關鍵。網(wǎng)絡工程中最有效的防護手段就是在外部網(wǎng)絡和局域網(wǎng)之間架設防火墻,網(wǎng)絡防火墻作為一個位于計算機和它所連接的網(wǎng)絡之間的軟件,可以將局域網(wǎng)與外部網(wǎng)的地址分割開,計算機流入流出的所有網(wǎng)絡通信均要經(jīng)過此防火墻,經(jīng)過防火墻的過濾,能夠過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行,增加內部網(wǎng)絡的安全性。另外,防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
2.2 加強病毒的防護措施
加強病毒的防護措施也是加強網(wǎng)絡工程中安全防護技術的重要組成部分。病毒防護是計算機系統(tǒng)日常維護與安全管理的重要內容,當前計算機病毒在形式上越來越難以辨別,計算機網(wǎng)絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網(wǎng)絡系統(tǒng)的安全運行。常見的殺毒軟件有:360安全衛(wèi)士,卡巴斯基,金山毒霸等。網(wǎng)絡工程在加強病毒的防護措施方面,對計算機網(wǎng)絡工程人員而言,相關人員都應該掌握使用殺毒軟件、防病毒卡等措施,一般情況下,要定期對計算進行病毒檢測與查殺,一旦發(fā)現(xiàn)病毒時應詢問后再處理,不僅如此,對計算機系統(tǒng)的重要文件還要進行備份,防止由于病毒對系統(tǒng)造成的破壞導致數(shù)據(jù)的丟失。
2.3 入侵檢測技術的植入
入侵檢測系統(tǒng)作為一種主動的安全防護技術,對于加強網(wǎng)絡工程中安全防護至關重要。對網(wǎng)絡工程而言,入侵檢測技術對計算機網(wǎng)絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。提供了對內部攻擊、外部攻擊和誤操作的實時保護,可以利用網(wǎng)絡安全入侵檢測采取相應的網(wǎng)絡安全防護措施。入侵檢測系統(tǒng)能夠從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)提供安全服務,從而有效的降低了來自網(wǎng)絡的威脅和破壞,必將進一步受到人們的高度重視。
2.4 拒絕垃圾郵件的收取
凡是未經(jīng)用戶許可就強行發(fā)送到用戶的郵箱中的電子郵件,都被成為垃圾郵件。垃圾郵件一般具有批量發(fā)送的特征。垃圾郵件現(xiàn)在慢慢發(fā)展成為計算機網(wǎng)絡安全的又一公害。拒絕垃圾郵件的收取也是加強網(wǎng)絡工程中安全防護技術的重要環(huán)節(jié),拒絕垃圾郵件的收取,要從保護自己的郵件地址做起,不要隨意的使用郵箱地址作為登記信息,避免垃圾郵件的擾亂。還可以使用outlookExPress和Faxmail中的郵件管理,將垃圾文件過濾處理,拒絕垃圾文件的收取。
2.5 加強網(wǎng)絡風險的防范
加強網(wǎng)絡風險的防范對于加強網(wǎng)絡工程安全也不容忽視。在網(wǎng)絡工程風險防范的過程中,利用數(shù)據(jù)加密技術是行之有效的途徑。數(shù)據(jù)加密技術是加密技術是最常用的安全保密手段,也是有效防范網(wǎng)絡與信息安全風險最直接,最為有效的方式。數(shù)據(jù)加密是一種限制對網(wǎng)絡上傳輸數(shù)據(jù)的訪問權的技術,具體說來,它是通過引導用戶對網(wǎng)絡傳輸中出現(xiàn)的、比較重要的數(shù)據(jù)進行設置密碼的過程。從網(wǎng)絡工程中數(shù)據(jù)加密的方式上來看,數(shù)據(jù)加密技術主要包括線路加密、端與端加密等等,各種方法都有各自的有點,線路加密主要是針對需要保密的信息進行的,在加密時使用加密密鑰來對信息進行保護。端與端加密主要是針對網(wǎng)絡信息的發(fā)出方,當網(wǎng)絡信息數(shù)據(jù)到達tcp/ip之后就利用數(shù)據(jù)包進行回封操作,以此對重要數(shù)據(jù)進行安全保護。
3 結束語
總之,網(wǎng)絡工程中的安全防護是一項綜合的系統(tǒng)工程,具有長期性和復雜性。網(wǎng)絡工程中安全防護技術,應設置防火墻過濾信息、加強病毒的防護措施、入侵檢測技術的植入、拒絕垃圾郵件的收取、加強網(wǎng)絡風險的防范,不斷探索加強網(wǎng)絡工程中安全防護技術的策略,只有這樣,才能不斷提高網(wǎng)絡工程的安全管理水平,進而確保計算機網(wǎng)絡的安全。
參考文獻:
[1] 李巍巍.計算機網(wǎng)絡安全的數(shù)據(jù)備份和容災系統(tǒng)[J].黑龍江科技信息,2010(33).
[2] 王薪凱,姚衡,王亨,常晶晶,喻星晨.計算機網(wǎng)絡信息安全與防范[J].硅谷,2011(4).
[3] 金金.2011年信息安全十大熱點預測[J].信息安全與通信保密,2011(3).
[4] 趙章界,李晨旸,劉海峰.信息安全策略開發(fā)的關鍵問題研究[J].信息網(wǎng)絡安全,2011(3).
[5] 陸文紅,蒙勁.小議通信網(wǎng)絡安全問題分析及維護措施[J].中小企業(yè)管理與科技(下旬刊),2010(10).
[6] 余斌.論計算機互聯(lián)網(wǎng)與通信網(wǎng)絡建設的安全性[J].科技經(jīng)濟市場,2010(5).
網(wǎng)絡安全防護手段范文6
關鍵詞:計算機網(wǎng)絡,防護技術,研究
隨著高新技術的不斷發(fā)展,計算機網(wǎng)絡已經(jīng)成為我們生活中所不可缺少的概念,然而隨之而來的問題----網(wǎng)絡安全也毫無保留地呈現(xiàn)在我們的面前,不論是在軍事中還是在日常的生活中,網(wǎng)絡的安全問題都是我們所不得不考慮的,只有有了對網(wǎng)絡攻防技術的深入了解,采用有效的網(wǎng)絡防護技術,才能保證網(wǎng)絡的安全、暢通,保護網(wǎng)絡信息在存儲和傳輸?shù)倪^程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網(wǎng)絡而不致盲從,真正發(fā)揮出網(wǎng)絡的作用。
一、計算機網(wǎng)絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統(tǒng)自身進行加固和防護,不讓非法用戶進入網(wǎng)絡內部,從而達到保護網(wǎng)絡信息安全的目的。這些措施一般是在網(wǎng)絡建設和使用的過程中進行規(guī)劃設置,并逐步完善。因其只能保護網(wǎng)絡的入口,無法動態(tài)實時地檢測發(fā)生在網(wǎng)絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網(wǎng)絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數(shù)情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網(wǎng)內的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。
網(wǎng)絡加密常用的方法有:鏈路加密、端點加密和節(jié)點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網(wǎng)。
( 2 ) 信息認證技術
認證技術是網(wǎng)絡安全的一個重要方面,屬于網(wǎng)絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發(fā)送者,以及該信息是否被篡改過,計算機系統(tǒng)是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發(fā)送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統(tǒng),保護系統(tǒng)和數(shù)據(jù)的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態(tài)口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網(wǎng)絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數(shù)據(jù),其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統(tǒng)的用戶,決定用戶對系統(tǒng)資源的訪問權限,并記錄系統(tǒng)資源被訪問的時間和訪問者信息。其主要目的是保證網(wǎng)絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網(wǎng)絡之間的訪問控制機制,它的主要目的是保護內部網(wǎng)絡免受來自外部網(wǎng)絡非授權訪問,保護內部網(wǎng)絡的安全。
其主要機制是在受保護的內部網(wǎng)和不被信任的外部網(wǎng)絡之間設立一個安全屏障,通過監(jiān)測、限制、更改、抑制通過防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)絡屏蔽內部網(wǎng)絡的信息和結構,防止外部網(wǎng)絡的未授權訪問,實現(xiàn)內部網(wǎng)與外部網(wǎng)的可控性隔離,保護內部網(wǎng)絡的安全。
防火墻的分類主要有:數(shù)據(jù)包過濾型防火墻、應用層網(wǎng)關型防火墻和狀態(tài)檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網(wǎng)絡陷阱、入侵檢測、自動恢復等,能及時地發(fā)現(xiàn)網(wǎng)絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網(wǎng)絡陷阱、切斷網(wǎng)絡連接或恢復系統(tǒng)正常工作。實現(xiàn)實時動態(tài)地監(jiān)視網(wǎng)絡狀態(tài),并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規(guī)范的方式,對計算機網(wǎng)絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數(shù)字證據(jù)的過程。
入侵取證的主要目的是對網(wǎng)絡或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據(jù)的要求),據(jù)此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網(wǎng)絡入侵取證技術(網(wǎng)絡入侵證據(jù)的識別、獲取、保存、安全傳輸及分析和提交技術等)、現(xiàn)場取證技術(內存快照、現(xiàn)場保存、數(shù)據(jù)快速拷貝與分析技術等)、磁盤恢復取證技術、數(shù)據(jù)還原取證技術(對網(wǎng)上傳輸?shù)男畔热荩绕涫悄切┘用軘?shù)據(jù)的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網(wǎng)絡陷阱技術
網(wǎng)絡陷阱技術是一種欺騙技術,網(wǎng)絡安全防御者根據(jù)網(wǎng)絡系統(tǒng)中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網(wǎng)絡系統(tǒng)中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現(xiàn)有的安全措施,例如防火墻規(guī)則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)。靈活的使用網(wǎng)絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網(wǎng)絡陷阱技術主要包括:偽裝技術(系統(tǒng)偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現(xiàn)跳轉攻擊)、數(shù)據(jù)捕獲技術(用于獲取并記錄相關攻擊信息)及數(shù)據(jù)統(tǒng)計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡流經(jīng)的信息等),對這些信息進行分析和判斷,及時發(fā)現(xiàn)入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發(fā)現(xiàn)機制,能夠彌補防火墻和其他安全產(chǎn)品的不足,為網(wǎng)絡安全提供實時的監(jiān)控及對入侵采取相應的防護手段,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)已經(jīng)被認為是維護網(wǎng)絡安全的第二道閘門。
其主要目的是動態(tài)地檢測網(wǎng)絡系統(tǒng)中發(fā)生的攻擊行為或異常行為,及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數(shù)據(jù)收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網(wǎng)絡安全防護系統(tǒng)都無法確保萬無一失,所以,在網(wǎng)絡系統(tǒng)被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發(fā)現(xiàn)文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網(wǎng)。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統(tǒng)和數(shù)據(jù)受到攻擊的時候,能夠在極短的時間內恢復系統(tǒng)和數(shù)據(jù),保障系統(tǒng)的正常運行和數(shù)據(jù)的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網(wǎng)絡防護過程模型
針對日益嚴重的網(wǎng)絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網(wǎng)絡安全防護不是一個靜態(tài)過程,而是一個包含多個環(huán)節(jié)的動態(tài)過程,并相應地提出了反映網(wǎng)絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統(tǒng)安全需求和安全風險分析,確定系統(tǒng)的安全目標,設計相應的安全策略。
2.應根據(jù)確定的安全策略,采用相應的網(wǎng)絡安全技術如身份認證技術、訪問控制、網(wǎng)絡技術,選擇符合安全標準和通過安全認證的安全技術和產(chǎn)品,構建系統(tǒng)的安全防線,把好系統(tǒng)的入口。
3.應建立一套網(wǎng)絡案例實時檢測系統(tǒng),主動、及時地檢測網(wǎng)絡系統(tǒng)的安全漏洞、用戶行為和網(wǎng)絡狀態(tài);當網(wǎng)絡出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網(wǎng)絡狀態(tài)異常時及時報警。
4.當出現(xiàn)報警時應及時分析原因,采取應急響應和處理,如斷開網(wǎng)絡連接,修復漏洞或被破壞的系統(tǒng)。
隨著網(wǎng)絡技術的不斷發(fā)展,我們的生活中越來越離不開網(wǎng)絡,然而網(wǎng)絡安全問題也日趨嚴重,做好網(wǎng)絡防護已經(jīng)是我們所不得不做的事情,只有采取合理有效的網(wǎng)絡防護手段才能保證我們網(wǎng)絡的安全、保證信息的安全,使我們真正能夠用好網(wǎng)絡,使網(wǎng)絡為我們的生活添光添彩。
