1.1物理层边界限制模糊
近年来,很多现代化企业加大信息建设,一些下属公司的网络接入企业总网络,企业网路物理层边界限制模糊,而电子商务的业务发展需求要求企业网络具有共享性,能够在一定权限下实现网络交易,这也使得企业内部网络边界成为一个逻辑边界,防火墙在网络边界上的设置受到很多限制,影响了防火墙的安全防护作用。
1.2入侵审计和防御体系不完善
随着互联网的快速发展,网络攻击、计算机病毒不断变化,其破坏力强、速度快、形式多样、难以防范,严重威胁企业网络安全。当前,很多企业缺乏完善的入侵审计和防御体系,企业网络的主动防御和智能分析能力明显不足,检查监控效率低,缺乏一致性的安全防护规范,安全策略落实不到位。
2.构建企业网络安全防护体系
2.1企业网络安全防护体系构建目标
结合企业网络的安全目标、使用主体、性质等因素,合理划分企业逻辑子网,对不同的逻辑子网设置不同的安全防护体系,加强网络边界控制和安全访问控制,保持区域之间的信任关系,构建企业网络安全防护体系,实现网络安全目标:第一,将大型的、复杂的企业网络安全问题转化为小区域的、简单的安全防护问题,有效控制企业网络系统风险,提高网络安全;第二,合理划分企业网络安全域,优化网络架构,实现企业网络安全设计、规划和入网;第三,明确企业网络各个区域的安全防护难点和重点,加大安全设备投入量,提高企业网络安全设备的利用率;第四,加强企业网络运行维护,合理部署企业网络的审计设备,提供全面的网络审核和检查依据,为企业构建网络安全防护体系提供重要参考。
2.2合理划分安全域
现代化企业网络可以按照系统行为、安全防护等级和业务系统这三种方式来划分安全域。由于企业网络在不同区域和不同层次关注的内容不同,因此在划分企业网络安全域时,应结合业务属性和网络管理,不仅要确保企业正常的生产运营,还应考虑网络安全域划分是否合理。针对这个问题,企业网络安全域划分不能仅应用一种划分方式,应综合应用多种方式,充分发挥不同方式的优势,结合企业网络管理要求和网络业务需求,有针对性地进行企业网络安全域划分。首先,根据业务需求,可以将企业网络分为两部分:外网和内网。由于互联网出口全部位于外网,企业网络可以在外网用户端和内网之间设置隔离,使外网服务和内网服务分离,隔离各种安全威胁,确保企业内网业务的安全性。其次,按照企业业务系统方式,分别划分外网和内网安全域,企业外网可以分为员工公寓网络、项目网络、对外服务网络等子网,内网可以分为办公网、生产网,其中再细分出材料采购网、保管网、办公管理网等子网,通过合理划分安全域,确定明确的网络边界,明确安全防护范围和对象目标。最后,按照网络安全防护等级和系统行为,细分各个子网的安全域,划分出基础保障域、服务集中域和边界接入域。基础保障域主要用来防护网络系统管理控制中心、软件和各种安全设备,服务集中域主要用于防护企业网络的信息系统,包括信息系统内部和系统之间的数据防护,并且按照不同的等级保护要求,可以采用分级防护措施,边界接入域主要设置在企业网络信息系统和其他系统之间的边界上。
2.3基于入侵检测的动态防护
随着网络技术的快速发展,企业网络面临的安全威胁也不断发生变化,网络攻击手段日益多样化,新病毒不断涌现,因此企业网络安全防护体系构建应适应网络发展和变化,综合考虑工作人员、防护策略、防护技术等多方面的因素,实现基于入侵检测的动态防护。基于入侵检测的动态防护主要包括备份恢复、风险分析、应急机制、入侵检测和安全防护,以入侵检测为基础,一旦检测到企业网络的入侵威胁,网络系统立即启动应急机制,如果检测到企业网络系统已经受到损坏,可利用备份恢复机制,及时恢复企业网络设置,确保企业网络的安全运行。通过动态安全防护策略,利用动态反馈机制,提高企业网络的风险评估分析能力和主动防御能力。
2.4分层纵深安全防护策略
企业网络安全防护最常见的是设置防火墙,但是网络安全风险可能存在于企业网络的各个层次,防火墙的安全防护作用比较有限。企业网络可采用分层纵深安全防护策略,保障网络安全防护的深度和广度,构建高效、综合、全面的安全防护体系,对于企业网络中的应用层、数据层、系统层、网络层和物理层分别采用信息保护、应用系统安全防护、数据库安全防护、操作系统安全防护、网络保护、物理安全保护等防护手段,根据不同网络系统的特点,有针对性地进行安全防护,例如,在网络层可利用资源控制模块和访问控制模块,加强对网络节点的访问控制,在企业网络的应用层和数据层设置身份授权和认证系统,避免用户的违规操作和越权操作。又例如,由于网络环境比较复杂,可在企业网络的应用层、数据层和系统层,设置网络监控和检测模块,保护企业网络的服务器,防止权限滥用和误操作。
3.结语
关键词:企业网络安全;内网安全;安全防护管理
中图分类号:TP311 文献标识码:A 文章编号:1674-7712 (2013) 04-0069-01
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(二)系统功能设计。企业网络安全防护信息管理系统功能主要包括六个方面:一是主机登陆控制,主要负责对登录到系统的用户身份进行验证,确认用户是否拥有合法身份;二是网络访问控制,负责对企业内部网络所有用户的网络操作行为进行实时监控和监管,组织内网核心信息资源泄露;三是磁盘安全认证,负责对企业内部网络的计算机终端接入情况进行合法验证;四是磁盘读写控制,负责对企业内部网络计算机终端传输等数据信息流向进行控制;五是系统自防护,负责保障安全防护系统不会随意被用户卸载删除;六是安全审计,负责对企业内部网络用户的操作行为和过程进行实时审计。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
安全管理人员登录管理控制台时,系统首先提示用户输入账号和密码,并将合法的USB Key数字认证设备插入主机,经过合法性验证之后,管理员获得对防护主机的控制权。为了对登录系统用户的操作严格控制,本系统采用用户名和密码登录方式,结合USB Key数字认证方式,有效提高了系统安全登录认证强度。用户采取分级授权管理的方式,系统管理人员的日常维护过程可以自动生成日志记录,由系统审计管理人员进行合法审计。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
安全防护服务器的主要功能包括:负责将安全管理控制台发出的安全控制信息、安全策略信息和安全信息查询指令传送给安全防护;将安全防护上传到系统中的审计日志进行实时存储,及时响应安全管理控制台的相关命令;将安全防护下达的报警命令存储转发;实时监测安全管理控制台的状态,对其操作行为进行维护。
(三)安全防护设计。安全防护的主要功能包括:当安全防护建立新的网络连接时,需要与安全防护服务器进行双向安全认证。负责接收安全防护服务器发出的安全控制策略命令,包括用户身份信息管理、磁盘信息管理和安全管理策略的修改等。当系统文件已经超过设定的文件长度,或者超过了设定的时间间隔,则由安全防护向安全防护服务器发送违规操作信息;当其与安全防护服务器无法成功建立连接时,将日志信息存储在系统数据库中,等待与网络成功重新建立连接时,再将信息传送到安全防护服务器中。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
参考文献:
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393.08
由于计算机的应用,推进网络信息的进步,社会加强对计算机网络的应用力度,增加网络安全维护的压力。根据计算机网络的应用环境,充分发挥防火墙技术的优势,保障计算机网络资源的安全价值。防火墙技术的更新速度比较快,完全适应于现代计算机网络的发展,表现出可靠优势,为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。
1 分析防火墙技术
防火墙技术的原理:按照预设条件监控计算机网络内的流通信息,对流通信息执行授权和限制服务,主动记录关联信息,分析信息的具体来源,明确发生在网络系统内的每一项交互信息,预防外部攻击。
防火墙技术的属性:(1)筛选安全防护策略,确保安全策略能够通过防火墙的防护体系;(2)完整记录信息活动,检测攻击行为,及时提供报警和限制服务;(3)容纳全部信息,维护整体计算机网络。
2 计算机网络系统的安全攻击
计算机网络系统位于信息环境中,网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此,分析计算机网络系统的安全攻击,如下:
2.1 IP攻击
攻击者选择攻击目标群,设置IP攻击路径。首先攻击者向目标主机发送安全信息,获取主机信任,锁定攻击目标,通过信息模式发送虚假IP,当IP欺骗计算机网络安全的保护措施后,虚假IP转化为多项攻击行为,读取用户信息,篡改服务项目,同时安置在用户难以发现的位置,准备随时进行非法攻击。
2.2 拒绝服务
拒绝服务的攻击利用系统漏洞,攻击者向计算机发送攻击数据包,导致主机瘫痪,不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点,攻击者不定时、不定向的发送攻击数据包,计算机无法承担高负荷的数据存储,快速进入停滞或休眠状态,即使用户发送服务请求,计算机因失去服务能力,不能处理用户请求,完全陷入拒绝服务的状态,此时服务器处于正常接收状态,用户只能觉察到服务器不工作,实质已经呈现被攻击状态,丧失服务能力。
2.3 端口攻击
计算机包含多项端口,如:远程、协议、共享等端口,为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响,针对比较常用的端口实行防火墙处理,其余均未实行防护措施。计算机在投入运行时,大部分端口处于开放状态,为攻击者提供硬性攻击路径,攻击木马在端口处的攻击处于零防御状态,所以用户需要关闭不常用端口,切断攻击路径,同时利用防火墙技术检测,防止遗漏端口保护。
2.4 程序攻击
计算机网络运行程序起初设计时,为满足功能需求,采用辅助程序,被称为“后门”,辅助程序具有通道特性,在程序设计完成后需要关闭,但是编程人员并没有关闭辅助程序,攻击者攻击某项运行程序时,首先检测是否留有后门,一旦检测到很容易攻入程序内部,强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患,必须采用恰当的防火墙技术,才可避免程序攻击。
3 防火墙技术在计算机网络安全中的应用
防火墙技术主要隔离计算机网络的内网与外网,形成稳定的保护途径,有效识别外部攻击,具体分析如下:
3.1 服务器的应用
服务器是防火墙技术的一类,服务器为网络系统提供服务,代替真实网络完成信息交互[2]。例如:计算机网络信息由内网传输到外网时,自身携带IP信息,如果IP被外网攻击者解析并跟踪,很容易将病毒或木马带入内网,病毒攻击内网后窃取数据,利用服务器,为交互信息提供虚拟的IP,以此隐藏真实IP,外部攻击者只能解析虚拟IP,不会获取任何真实信息,保护内网信息。服务器起到中转作用,控制两网信息的交互过程。服务器在账号管理、信息验证等方面具有明显的应用优势,在安全性能方面要求较高,满足计算机网络的安全需求。服务器的构建比较严谨,必须在应用网关的条件下,才能实现信息保护,所以此类防火墙技术虽然防护能力高,但是运用复杂,用户使用时,最主要的是通过网关提供稳定的网络性能,营造优质的网络保护环境。
3.2 包过滤技术的应用
包过滤技术具有信息选择的特点,此类技术获取传输信息后比对原有的安全注册表,判断传输信息是否安全。以网络传输的目的IP为例,分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP,解析目的IP的数据包,数据包内包含目的IP的源信息,能够作为标志信息,包过滤技术将数据包与用户安全注册表进行对比,识别数据内是否含有攻击信息,确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径,控制由内到外的信息传输,在由外到内的传输过程内,不仅发挥控制作用,还会提供限制功能,包过滤技术既可以应用在计算机主机上,又可以应用在路由器上,所以包过滤技术又分为开放、封闭两种应用方式,主要根据计算机网络安全的实际情况选择,提供对应服务。包过滤技术受到端口限制并不能实现全网保护,所以兼容能力偏低。
3.3 复合技术的应用
复合技术体现综合防护的优势,防火墙融合和包过滤两类技术,体现更稳定的防护方式,弥补防火墙技术的不足之处。基于与包过滤的参与下,防火墙技术逐步形成系统性的保护类型,保障防火墙技术的灵活性[4]。目前,防火墙技术表现出混合特性,复合体现与包过滤的双向优势,最主要的是以此两类技术为主,融入多项安全技术,结合分析计算机网络安全的运行实际,确保防火墙技术在计算机网络受到攻击危险时,可以快速提供防御服务,体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御,防止外网攻击,主动监测内网信息。复合防护方式有:(1)提供认证机制,确保网络交互的所有信息处于安全约束的状态,形成动态过滤的防护方式;(2)主动隐藏内部信息,形成智能化的感应方式,一旦出现网络攻击,立即采取报警提示;(3)加强交互保护的能力,发挥复合技术的优点,有利于提升防护价值,确保实时维护。
4 结束语
计算机网络应用规模逐步扩大,促使网络运行面临严重的安全问题,科学利用防火墙技术,解决计算机网络中的安全问题,有效保护网络安全。防火墙技术在计算机网络安全发展的过程中,体现出变革与更新特性,实时保护计算机网络系统,避免计算机遭遇外网攻击,确保内网环境的安全。由此可见:防火墙技术在计算机网络安全中占据重要地位。
参考文献:
[1]防火墙技术在网络安全中的应用[J].科技资讯,2012(09):23.
[2]网络安全与防火墙技术的研究[J].网友世界,2011(25):13-15.
[3]浅析防火墙技术在网络安全中的应用[J].云教育,2013(14):112.
关键词:计算机;网络安全;防火墙技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)16-3743-03
Abstract: The firewall technology is the main way to maintain the security of computer networks play an efficient protection. With the application and popularization of computer network security has become more concerned about social issues. Society for Computer Network Security, made lot of protective measures, application firewall technology is obvious, not only reflects a high level of security protection, while creating a safe and reliable operating environment. Therefore, this paper through the computer network security research, analysis application firewall technology.
Key words: computer; network security; firewall technology
计算机网络安全主要是保障信息传输保密,防止攻击造成的信息泄露。基于网络安全的计算机运行,维护数据安全,保障运行问题,体现网络安全的重要性。计算机网络安全保护技术多种多样,该文主要以防火墙技术为例,分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离,在信息交互的过程中形成防护屏障,一方面过滤危险信息,另一方面提高计算机网络安全保护的能力,强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用,明确各项信息访问。
1 分析计算机网络安全与防火墙技术
计算机网络安全与防火墙技术之间存在密不可分的关系,防火墙技术随着计算机网络的需求发展,在网络安全的推动下,防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术,如下:
1.1 计算机网络安全
安全是计算机网络运行的首要原则,随着现代社会的信息化发展,计算机网络的运行得到推进,但是其在运行过程中不断出现安全威胁,影响计算机网络的安全水平,例举计算机网络的安全威胁。
1.1.1 数据威胁
数据是计算机网络的主体,数据运行的过程中存在诸多漏洞,引发计算机网络的安全隐患[1]。例如:计算机网络运行中的节点数据,较容易受到攻击者篡改,破坏数据完整性,攻击者利用数据内容的脆弱部分,窥探内网数据,泄漏数据,攻击者利用计算机网络系统的安全漏洞,植入木马、病毒,导致数据系统瘫痪,无法支持计算机网络的安全运行。
1.1.2 外力破坏
外力破坏是计算机网络安全运行不可忽略的危险点,最主要的是人为破坏,如:病毒、木马攻击等。目前,计算机网络受到此类影响较大,部分攻击者利用网站病毒、邮件病毒等方式,攻击用户计算机,病毒植入时大多是由于用户不正确的操作习惯,导致计算机网络系统出现漏洞。例如:用户长时间浏览外网网站,但是没有定期查杀病毒,攻击者很容易摸清用户的浏览习惯,在特性网站中添加攻击链接,当用户点击该网站时,病毒立即启动,直接攻击用户的计算机。
1.1.3 环境威胁
计算机网络处于共享环境内,面临资源开放的威胁。环境是计算机网络运行的基础,用户在访问外网时必须经过网络环境,所以存在明显的环境威胁,网络环境内的攻击非常强烈,攻击者利用网络环境设置攻击环节,主要攻击网络环境内交互的数据包,经由数据包将攻击信息带入内网,破坏内网的防护结构,针对环境威胁,必须发挥防火墙技术的全面特点。
1.2 防火墙技术
防火墙技术主要有:(1)状态检测,以计算机网络为研究整体,主要分析数据流,区别计算机网络中的数据信息,识别数据信息中的不安全因素,此类型防火墙技术效益明显,但是缺乏一定的时效性,容易造成保护延迟;(2)包过滤技术,以网络层为保护对象,严格要求计算机网络的协议,在保障协议安全的基础上才可实现防护处理,体现防护价值;(3)应用型防火墙,利用IP转换的方式,伪装IP或端口,确保内外网络连接的安全性,促使用户在访问外网时,能够处于安全、稳定的空间内。
2 防火墙技术在计算机网络安全中的应用价值
防火墙技术在计算机网络安全中确实得到广泛应用,体现防火墙技术的高效价值。针对防火墙技术的应用价值,做如下分析:
2.1 过滤技术的应用价值
过滤技术体现防火墙选择过滤的应用价值,防火墙根据特定位置,提供过滤服务。例如:过滤技术在计算机网络系统TCP位置,防火墙预先检查TCP位置接收到的数据包,全面检查数据包的安全性,如果发现威胁因素或攻击行为,立即阻断数据包的传输,过滤在外网环境内,过滤技术的应用,体现明显的预防特性,科学控制风险信息的传输,组织风险信息进入内网,以此确保TCP区域的安全运行[2]。防火墙中的过滤技术,不仅应用于计算机网络安全控制,其在路由器方面也存在明显的应用价值。
2.1.1 技术的应用价值
防火墙中的技术,具有一定的特殊性,其可在计算机网络运行的各项模块发挥控制作用,时刻体现强效状态。技术的价值体现为:该技术在内外网之间发挥中转作用,计算机网络的内网部分,只接受部分发出的请求,而外网请求直接被拒绝,该技术在内网、外网的分割方面,发挥主要作用,杜绝出现内外混淆的现象,所以技术在实现应用价值方面,同样面临技术压力。
2.1.2 检测技术的应用价值
检测技术以计算机网络的状态为主,属于新技术领域。检测技术的运行建立在状态机制的基础上,将外网传入的数据包作为整体,准确分析数据包的状态内容,检测技术将分析结果汇总为记录表,分为规则和状态,比对两表后识别数据状态。目前,检测技术应用于各层网络之间,获取网络连接的状态信息,拓宽计算机网络安全保护的范围,由此提高网络信息的运行效率。
2.1.3 协议技术的应用价值
协议技术主要是防止Dos攻击,Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态,促使计算机网络无法正常提供运行信息,此类攻击没有限制要求,基本处于无限制攻击状态[3]。防火墙利用协议技术,在此类攻击中发挥主体保护,在协议技术参与下的防火墙技术,保护计算机的内部网络,提供各类网关服务,网关是连接服务器与信息的直接途径,待防火墙回应后,服务器才可运行。防火墙促使服务器处于高度安全的环境中,规避外网攻击,例如:当外网向内网发送请求信息时,防火墙通过SYN设置访问上限,降低服务器承担的攻击压力,同时完成数据包检测。
3 防火墙技术在计算机网络安全中的应用
综合分析计算机网络安全中出现的问题,体现防火墙技术在计算机网络安全中的应用,规划防火墙技术安全保护的方式。
3.1 访问策略中的应用
访问策略是防火墙技术的应用核心,在计算机网络安全中占据主体地位。访问策略的实施主要以配置为主,经过缜密的计划安排,深化统计计算机网络运行信息的整个过程,形成科学的防护系统。防火墙技术针对计算机网络的运行实际,规划访问策略,以此营造安全环境。防火墙技术在访问策略中的保护流程为:(1)防火墙技术将计算机运行信息划分为不同的单位,针对每个单位规划内、外两部分的访问保护,确保流通访问的安全价值;(2)防火墙技术通过访问策略主动了解计算机网络运行的各项地址,如:目的地址、端口地址等,主动摸清计算机网络的运行特点,便于规划安全保护方式;(3)访问策略在计算机安全保护中对应不同的保护方式,根据计算机安全的需求以及访问策略的应用实际,防火墙技术适当调整访问策略,体现最优保护,访问策略在执行安全保护技术时,形成策略表,以此记录访问策略的所有活动,策略表的信息并不完全适用于网络保护,还需自主调节,防火墙技术根据策略表严格规划执行顺序,所以通过策略表约束防火墙技术的保护行为,很大程度上提供网络安全保护的效率;(4)访问策略运行完毕后,排除运行漏洞后将其作为防火墙技术的配置,合理保护计算机网络的安全。
3.2 日志监控中的应用
部分计算机用户善于分析防火墙技术的保护日志,以此获取价值信息。日志监控在计算机网络安全保护中同样占据较大比重,属于防火墙技术的重点保护对象。用户分析防火墙日志时,并不需要执行全面操作,避免忽视关键信息,例如:用户打开防火墙技术在执行计算机网络安全保护时生成的日志,全面采集某一类别的日志信息,主要是由于防火墙技术的工作量大,生成海量信息,只能通过类别划分,才可实现监控,还可降低日志采集的难度,不会对主要信息形成恶意屏蔽。用户在类别信息中提取关键信息,以此作为日志监控的依据,发挥日志监控的效益。除此以外,用户实时记录防火墙技术中的报警信息,此类信息在日志监控中具有优化价值,有利于降低选择记录的难度。基于日志监控的作用下,防火墙技术安全保护的能力得到加强,提高防火墙技术的筛选能力,优化网络流量。
3.3 安全配置中的应用
安全配置是防火墙技术的重点,安全配置主要将计算机网络安全划分为不同模块,独立需要安全防护的模块,将其转化为隔离区,作为安全保护的重点。防火墙技术的隔离区,属于单独局域网,其可成为组成计算机内部网络的一部分,但是更重要的是其保护网络服务器内部的信息安全,促使计算机处于安全、稳定的运行环境中。防火墙对安全配置的要求比较高,体现其在计算机网络安全中的应用效率[4]。该安全配置隔离区域具备明显的特性,与其他安全防护技术不同,主要的工作方式为:防火墙技术自动监控计算机网络隔离区域内的信息流通,主要利用地址转换,将由内网流入外网的信息IP转化为公共IP,由此可以避免外网攻击者解析IP,防止IP追踪,安全配置的主要目的是提供隐藏IP,促使信息在内外两网的交互过程中,有效隐藏真实IP,直接利用隐藏IP流通,体现地址转化技术的价值,保护内网安全,严格防止外网入侵,外网解析隐藏IP时,无法追踪真实信息,只能获取虚假的IP地址,因此无法借助内网信息攻击内网,很大程度上提高内网的运行安全。
4 防火墙技术在计算机网络安全中的优势
防火墙技术与其他计算机网络安全技术相比,具有明显的优势,在安全防护中占据主要地位,提升计算机网络的防护水平。
4.1 准确识别网络攻击
计算机网络面临的安全攻击来自于不同层次,攻击种类呈现多样化的发展趋势,防火墙技术在不断变化的攻击行为中,主动识别攻击路径和方式,判断攻击行为的属性,提出有效的保护措施,防火墙技术处于更新、升级的状态,适应变化过快的攻击行为,体现准确识别的优势,保护计算机网络处于安全的环境中,优化计算机的运行,防止网络数据被恶意损坏、窃取。
4.2 高效保护网络系统
防火墙技术在计算机网络安全中具有较高的保护能力,表现出高效的保护水平[5]。攻击者对计算机网络采取的攻击行为并不确定,防火墙迅速觉察具有危险性的攻击活动,在最短的时间内防止网络系统被攻击,一方面维持计算机网络系统的安全运行,另一方面保障计算机网络系统的整体性能,强化网络结构,体现高效率的保护能力。
5 结束语
计算机网络是现代社会进步的主要内容,各行各业提升对计算机网络的依赖性,更是加强对计算机网络的应用力度,由此计算机网络面临严峻的安全问题,通过防火墙技术,有效维护计算机网络的安全运行。防火墙技术在计算机网络安全方面,体现高效率的安全价值,充分结合计算机网络的运行实际,提供可靠的安全保护,发挥防火墙技术的作用,实时保护计算机网络的安全环境。
参考文献:
[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.
[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.
[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.
关键词:网络安全;安全监控;网络维护
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Research and Application about Monitoring and Maintaining of Network Security
Xia Qing
(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)
Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.
Keywords:Network security;Security monitoring;Network maintenance
一、网络安全概述
信息时代,计算机网络技术的发展和应用对人类生活方式的影响越来越大,Internet/Intranet技术广泛应用于社会的各个领域,基于计算机网络的安全问题己经成为非常严重的问题。确保网络安全己经是一件刻不容缓的大事,解决网络安全课题具有十分重要的理论意义和现实背景。本文针对网络安全监控与维护的需求,进行了深入的研究与开发,按照建立的网络安全应该是动态防护体系,是动态加静态的防御,提出了一个全方位、各个层次、多种防御手段的网络安全实现模型,构建了网络监控和维护的安全系统体系结构。
二、网络监控原理
网络安全监控系统能够分级建立监控系统和网络数据库,首先,需要使得网络内部的各级监控系统,对所管辖的网络区域内的计算机进行有效的监控,阻断“一机两用”的行为和想象;其次,要对辖区的下级监控系统的工作状态进行监控,能够对计算机之间的病毒入侵源进行分析和定位;同时还需要对网络区域内的设备和个人计算机进行数据的管理、统计和数据登记,全面地进行网络安全监控和维护。
三、网络安全监控措施
(一)防火墙设置
在Internet与内网之间安装防火墙,形成内外网之间的安全屏障[3]。其中WWW、MAIL、FTP、DNS对外服务器连接在安全,与内、外网间进行隔离。通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏。
(二)入侵检测系统配置
分布式入侵检测系统一般采用分布监视、集中管理的结构,在每个网段里放置基于网络的入侵检测引擎,同时对于重要的服务器,例如MAIL服务器、WEB服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。
分布式入侵检测系统的总体结构系统由三个主要组件组成:主管传感器、边界传感器、中央控制台[5]。这三层结构中的任一个结点均可对攻击以不同的方式进行响应。分布式入侵检测系统支持不同的链路,如TCP专用链路和TCP加密链路。主管传感器由控制台决定上报信息的存储、显示、管理,将汇总信息报告给控制台。边界传感器每个组有一个主管传感器,负责信息的收集、精简。如果网络连接通过公用网,则使用加密链路。
四、网络监控与维护应用
典型的网络安全监控应用,如VRV(Virus Removed Victory成功清除病毒)[6]网络防病毒体系,为网络每个层面提供防病毒保护,通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析,提供桌面应用、服务器系统、邮件系统、群件服务器、Internet网关级别的全面防毒保护。这种全方位、多层次的防毒系统配置,能使政府、企业网络免遭所有病毒的入侵和危害。
基于局域网、广域网多级管理:网络终端杀毒-局域网集中监控-广域网总部管理,在局域网中用VRV各防毒组件构架本地网防毒系统的基础上构建广域网总部控制系统:(1)监控本地、远程异地局域网病毒防御情况;(2)统计分析广域网病毒爆发种类、发生频度、易发生源等信息;(3)病毒信息汇总,进行病毒安全风险评估;(4)整体网络统一策略、统一升级、统一控制。
主动式病毒防护机制:企业安全防护策略是针对网络内部安全推出的最新解决方案。不用等到病毒码更新,就能主动防御。透过VRV防病毒管理中心管理整个病毒爆发周期。让企业在面临病毒爆发的威胁时,通过VRVAMC主动获得完整防毒策略,有效降低因为病毒疫情带来的人力损失及成本。防毒系统本身更能自动识别未知病毒,通过对文件和网络流量异常监视,提出报警。
五、结束语
本文通过分析了网络安全的现状与概况,提出建立网络安全监控与维护体系的重要性,在此基础上,利用网络安全监控和管理手段,首先建立的网络的防火墙配置,在防火墙配置的基础上,配置了网络入侵检测系统,利用这两项配置,完成网络内部与Internet之间的交互安全监控。论文最后分析了一个实际的VRV网络安全监控与维护系统,通过该系统的配置与应用,说明网络安全监控技术的具体实施,对网络安全具有一定研究价值。
参考文献:
[1]张杰.因特网安全及其防范措施[J].信息安全技术,2002,3:20-23
【关键词】 网络信息 安全防护 策略研究
目前,社会处于信息时代,各个领域逐渐进入互联网模式,这不仅增加社会市场的竞争力,同时为各行各业的进步提供机遇。社会大量引进计算机技术、软件工程,利用互联网环境,支持各项技术运行,着实提高社会效益。基于互联网环境,推进网络应用的规模,为保障信息运行安全,提出相关的防护策略,在保障网络信息快速发展的基础上,加强对信息安全的防护力度,避免信息出现安全问题,体现网络信息的安全优势。
一、简述网络信息安全防护
网络信息安全防护的内容极其广泛,不仅包含软件建设,还包括硬件建设,确保信息资源以及运行环境安全[1]。综合考虑网络信息的应用,对信息安全防护提出如下定义:保护网络环境内与运行存在直接、间接关系的程序,确保程序处于安全状态,避免受外网影响,呈现攻击、破坏、泄漏等状态,维持网络信息运行通畅、安全。网络信息有秩序、可靠的运行状态,提高信息运行的安全系数,判断网络信息是否处于安全状态,可以“物理”和“逻辑”因素,作为标准依据,例如:物理安全则是保障硬件性能,避免由于损坏引发信息丢失;逻辑安全的对象为整体网络,既要保障信息安全,又要保障各项信息执行环境的安全。
二、分析网络信息的安全隐患
网络信息在实质运行中,面临诸多安全隐患,降低信息的安全能力,严重威胁网络信息的应用,制约信息技术的进步,对网络信息运行中出现的安全问题进行分析,如下:
1、病毒入侵
网络病毒是信息安全隐患的一种类型,病毒基本以程序、邮件、文件的形式存在,具有隐藏特性,相关操作激发病毒时,病毒会主动控制系统程序,导致正常程序被病毒覆盖,病毒快速执行重复复制命令,最终程序瘫痪,失去控制。一旦病毒被激发,传播和控制速度非常快,基本以秒为单位,完成所有破坏行为。病毒的破坏性比较大,以系统内主要文件、数据为破坏对象,系统程序在病毒感染下,自动删除、篡改、覆盖系统信息,严重时还会引发整体计算机系统处于冰冻状态,无法恢复正常运行。以邮件病毒为例,散播者将病毒以邮件形式,主动发送到用户系统内,具有强制特点,邮件病毒虽然属于病毒入侵类型,但是其与普通病毒有明显区别,邮件病毒的目的不是毁坏系统,而是窃取系统数据,用于其它活动,威胁用户的信息安全。
2、网络攻击
攻击对信息破坏力最强,安全威胁较大,网络攻击不具备良性特征,基本出于恶意目的。攻击分为主动、被动两类,例如:主动型是针对特殊信息,实行选择破坏;被动型以机密性文件为攻击对象,利用拦截、转译等攻击途径,获取重要信息[2]。网络攻击的典型代表为黑客,例如:黑客利用部分网络软件的缺陷或漏洞,作为攻击途径,修改原有网络信息,预留足够时间破译信息,转为个人文件,与此同时,用户无法终止黑客攻击,促使大量机密文件丢失,造成极大的安全隐患。
3、网络犯罪
目前,网络犯罪规模比较大,其在属性上不仅属于安全领域,同时具备犯罪动机,犯罪分子以计算机系统为破坏对象,窃取登录密码、动态口令,修改系统信息,散播网络谣言。操作计算机系统,实施犯罪活动。常见的网络犯罪为网络诈骗,网络诈骗类犯罪不容易侦破,部分犯罪分子利用国外空间、域名,增加搜索难度,而且其在实施犯罪时,采用多个注册名,降低重复性,提高自身隐蔽程度。
4、系统运行薄弱
网络环境处于动态变化中,一方面为系统运行提供支持,另一方面也潜在脆弱性,导致系统遭遇攻击。例如:系统运行必须借助TCP/IP协议,系统协议处于开放状态,部分协议用户未使用,但是也未执行关闭操作,为攻击提供路径,特别是在信息共享时,致使部分恶意信息流入网络系统内,影响系统安全性能。
5、安全保护意识不足
用户缺乏网络信息安全保护的意识,无法优化网络环境,降低安全维护力度。用户过度偏重于信息应用,忽视信息的安全保护,即使网络信息出现缺陷,用户仍然不重视系统保护,引发信息丢失。
三、网络信息安全的防护策略
针对网络信息,实行安全防护,必须依靠稳定、可操作性强的防护策略,体现信息安全防护的优势,确保网络信息处于安全运行状态,保障网络环境的运行科学,根据网络信息安全运行实际,提出以下策略:
1、安装信息保护软件
杀毒软件和防火墙是保护信息安全的基本途径,可以有效隔断内网与外网,实时保护网络环境,有效分析外部流入信息是否安全,识别非法入侵和恶意攻击,严格保护信息资源。杀毒软件快速捕获程序行为,判断释放属于自身合法程序,软件执行扫描技术,利用进制算法,读取文件病毒,科学执行文件扫描,常用杀毒软件为:金山毒霸、卡巴斯基、NORTON等。防火墙类型比较多,以IP转换型和包过滤型为主,IP转换将内部IP转化为临时、不可追踪IP,外网程序访问时,无法获取正确的IP地址,有效保护内网端口,避免端口攻击;包过滤型利用分包传输,判断数据包的来源地点,分包读取细化数据,识别数据包中的信息,一旦发现威胁数据,防火墙则会主动阻隔,过滤威胁数据[3]。不论是杀毒软件,还是防火墙,执行扫描、识别命令,保护网络系统和计算机硬件设备,有效防止IP追踪和端口入侵,杀毒软件定期根据所检测病毒类型,自动实行病毒库更新,提高软件完善程度。
2、执行安全技术
安全技术提高信息本身的安全性能,防止信息被恶意窃取,保障信息运行安全。安全技术的核心为数字签名和加密,以信息数据为对象,在传输、储存方面实行加密控制。例如:传输加密,数据信息在源头处,利用公钥、密钥的方式加密,将发送文件的明文转为密文,转化步骤需要数据签名的参与,信息传输完成后,利用密钥将密文转为明文,便于读取,整个传输过程中涉及到加密,主要以数据签名为主,防止攻击者破译传输中的数据,确保数据文件安全。例如:USBKey,属于安全技术应用的典型案例,加密重要数据,USBKey的工作原理主要是内置程序与系统证书的匹配、识别,同样利用加密技术,下载并安装数字证书在根目录处,利用数据证书加密系统信息,如需读取或操作,必须利用USBKey提供匹配信息,实现准确对接,执行加密、解密过程,识别用户身份,待核实完毕后,即可正常使用。
3、保护账户安全
网络信息内的账户种类非常多,起到用户信息维护的作用,因此,针对账户信息,提出安全保护措施[4]。攻击者攻击网络账户时,主要是获取账号、密码,保护账户最直接的方式则是设置复杂密码,运行不同数字、符号等共同组成账户密码,密码要定期更换,设置密保或登录验证信息,在公用电脑上,不使用记住密码操作。例如:网银账号,尽量设置独立密码,区分银行卡密码,一旦丢失,立即修改个人信息,降低账号关联信息,保护账号安全。
4、安装补丁程序
网络运行的软件和硬件,均存在不同程度的漏洞,增加被攻击机率,所以针对网络系统,实行补丁安装,保护漏洞,防止攻击者通过漏洞植入病毒、木马。安装补丁程序时,需要明确补丁类型,部分补丁虽然具备保护功能,但是不适用于软件程序,有可能会抑制软件功能,定期进行补丁升级[5]。部分官网会根据软件应用,定期补丁程序,供用户查看、下载,还可安装自动抓鸡软件,扫描网络系统的开放端口,过滤无效口令,在转码后,自主打补丁。
5、网络监控与检测
利用特有程序,监控网络信息流动,检测是否存在不合常规的行为。此防护措施中涉及较多技术,例如:推理、统计等,监控网络行为,发现攻击模式,迅速分析模式签名,编写程序代码,实现监控匹配。通过统计行为,监控网络系统内的全部信息行为,观察是否处于正常状态,规划偏离动作,重点检测,排除系统内的威胁因素。
四、网络信息安全防护的意义
互联网是社会发展不可缺少的条件,营造高效、多样化的发展环境,提高信息传递的效率,满足多方领域需求。互联网已经成功应用于各项领域,网络信息安全防护成为主要责任,可见:网络信息安全防护的价值意义。利用安全防护,第一,确保信息准确,避免信息运行处于威胁状态,提高信息准确运行的能力,防止信息在传输过程中被恶意篡改,保障信息发送、接收状态的一致性;第二,完善信息系统,网络信息的安全防护,有利于系统完善,强化系统结构,保障系统处于高度安全的运行状态;第三,简化信息处理,信息安全防护,直接确保信息的安全价值,避免信息自主防护失效,节约安全防护的效率。因此,安全防护对网络信息具备较高的影响力,保障信息安全运行的环境。
五、结束语
网络信息处于快速更新的状态,更替、升级的速度非常快,必须提高防护措施的发展速度,才可体现网络应用的安全环境。网络信息安全不仅为信息技术提供应用平台,而且推进技术的创新和开发,促使越来越多的信息技术,投入科学研究,加强信息技术本身的安全性能,构建安全防护制度。分析可得:提高网络信息安全防护的能力,一方面满足社会对互联网与信息的需求,另一方面发挥网络信息的优势,创造经济效益。
参 考 文 献
[1] 阎晓. 浅谈计算机网络安全[J]. 信息与电脑(理论版). 2012(04):67-69
[2] 曲蕴慧. 浅谈数字签名技术的原理及应用[J]. 福建电脑. 2012(05):15-17
[3] 王延中. 网络信息安全及其防护[J]. 信息与电脑(理论版). 2011(01):78-80
对美军而言,作战系统的网络化、信息化产生了巨大的军事效益,但伴随而来的风险和漏洞却对军事安全构成了严重威胁。技术进步和安全需求推动着美军网络安全保护工作在实践中不断发展和完善,美军以“纵深防御”战略为指导思想,大力加强信息安全体系的建设。
“纵深防御”战略的提出
“纵深防御”原指通过层层设防来保护动力学或现实世界的军事或战略资产,迫使敌方分散进攻力量,难以维系后勤保障,从而达到迟滞敌方进攻或使之无法继续进攻的战术目的。在网络空间防御中,“纵深防御”战略是指采用多样化、多层次、纵深的防御措施来保障信息和信息系统安全,其主要目的是在攻击者成功地破坏了某种防御机制的情况下,网络安全防御体系仍能够利用其他防御机制为信息系统提供保护,使能够攻破一层或一类保护的攻击行为无法破坏整个信息基础设施和应用系统。
20世纪末,随着网络技术的应用与发展以及“网络中心战”概念的提出,美军各部门和单位对信息和网络的依赖性不断增强,网络安全问题随之凸显,单纯的保密与静态防护已无法满足信息安全的需求,美军亟需与之相适应的信息安全保障措施。为满足军方的需求,美国国家安全局于1998年制定了《信息保障技术框架(1.0版)》(IATF)。IATF系统地研究了信息保障技术,提出了“纵深防御”战略,认为信息保障要靠人员、操作和技术来实现,并建立起了“防护、检测、响应、恢复”动态反馈模式(即PDRR模型)保障网络安全,为保护美国的信息基础设施提供了技术指南。在美军的实践中,“纵深防御”战略应用于一种风险共担的信息系统环境,由多方共同采取多样化、多层次的综合性防御措施来保障美军信息和信息系统安全。借助在信息系统内广泛采用的多种防御措施,“纵深防御”战略有效地解决和弥补了信息系统生命周期内在人员、技术和操作方面存在的安全漏洞和薄弱环节。
“纵深防御”战略的主要内容
人员、技术和操作是“纵深防御”战略的核心要素,着眼于人员管理、技术保障和运行维护的政策制度设计、装备技术研发、安全态势维持等活动,构成了“纵深防御”战略的主要内容。
人员是网络安全体系中的决定性因素。“纵深防御”战略强调人员因素,在领导层面上,要求领导层能够意识到现实的网络安全威胁,重视安全管理工作,自上而下地推动安全管理政策的落实;在操作人员层面,要求加强对操作人员的培训,提高信息安全意识;在人员制度层面,要求制定严格的网络安全管理规范,明确各类人员的责任和义务职责;在安全防范机制层面,要求建立物理的和人工的安全监测机制,防止出现违规操作。
技术是网络安全最基本的保障,是构建网络空间防御体系的现实基础。“纵深防御”战略提出:建立有效的技术引进政策和机制是确保技术运用适当的前提,只有依据系统架构与安全政策,进行风险评估,选择合适的安全防御技术,构建完善的防御体系,才有助于推动实现全面的网络安全。
操作是指为保持系统的安全状态而开展的日常工作,其主要任务是严格执行系统安全策略,迅速应对入侵事件,确保信息系统关键功能的正常运行。操作是“纵深防御”战略中的核心因素,人员和技术在防御体系中的作用只有通过经常性的运行维护工作才能得以体现。
实施“纵深防御”战略的指导思想及应用原则
“纵深防御”战略是美军保护网络系统核心部分免遭入侵的基本策略。美国防部规定各军兵种、国防部各部门、各司令部应运用“纵深防御”战略保护国防部的信息和信息系统,开展相应的计划和训练工作;各级领导部门需因地制宜地开展风险评估工作,制定有效的风险管理措施,并根据各单位的能力和水平采取有效的“纵深防御”措施;在国防部信息系统的软硬件研发过程中,应贯彻“纵深防御”战略,积极建设相关网络安全防御系统,采取渐进的方式优先保护关键资产和数据。为推动“纵深防御”战略的实施,深化认识、明确重点,IATF提出实施“纵深防御”战略应遵循“多处设防、分层防护、细化标准”等原则。
多处设防。“纵深防御”战略把网络与基础设施、飞地边界、计算环境和支撑性基础设施列为重点防护区域,实际应用当中涉及针对路由器、防火墙、VPN、服务器、个人计算机和应用软件等的保护。本地计算环境的防护以服务器和工作站为重点,是信息系统安全保护的核心地带。飞地是一组本地计算设备的集合,飞地边界防护主要关注如何对进出这些“区域”边界的数据流进行有效地控制与监视。网络及其附属基础设施是连接各种飞地的大型传输网络,由在网络节点间传输信息的设备构成,包括各类业务网、城域网、校园网和局域网。网络及其附属基础设施的安全是整个信息系统安全的基础。支撑性基础设施(如密钥管理基础设施)是网络安全机制赖以运行的基础,其作用在于保障网络、飞地和计算环境中网络安全机制的运行,从而实现对信息系统的安全管理。
分层防护。美军在实施“纵深防御”战略的过程中,按照分层的网络体系结构,对国防信息系统各层面临的安全威胁进行充分的分析评估,针对不同的安全威胁分层部署防护和检测机制措施,形成梯次配置,进而增加攻击被检测的风险,提高攻击成本,降低其成功几率。以美海军为例,美海军在实施“纵深防御”战略的过程中,构建起了以“主机、局域网、广域网、海军GIG网络、国防部GIG网络”五个区域为基础的设防区域,综合运用入侵防御系统、防火墙、基于主机的安全系统等分层防护措施实施网络防御。
细化标准。细化标准是对各类网络安全系统机制的强度(如加密算法的强度)和网络安全技术解决方案的设计保障(如采用机密手段确保机制的实施)做出具体的规定。为了描述网络安全的强度,美国防部制定了初、中、高三个等级,并提出国防信息系统的“纵深防御”战略中,网络安全技术解决方案应根据系统的重要性等级,采取其中一个级别的措施。例如高等级的安全服务和机制可提供最严格的防护和最强的安全对抗措施,高等级的安全解决方案必须达到下列要求:采用国家安全局认证的1类密码用于加密;采用国家安全局认证的1类密码验证访问控制;密钥管理方面,对于对称密码,采用国家安全局批准的密钥管理措施(创建、控制和分发),对于非对称密码,使用5类PKI认证和硬件安全标识保护用户私有密钥和加密算法;采用的产品需通过国家安全局的评估和认证。
“纵深防御”战略的实践和发展
美军率先将“纵深防御”战略应用于全球信息栅格的建设,加强顶层设计与长远规划,积极开展安全技术创新,大胆借鉴和利用成熟的商用安全产品,从组织管理、装备技术和政策法规层面,建立起综合性网络安全保障体系,不断强化国防信息系统的安全。
在组织管理层面,为推动“纵深防御”战略的落实,美军建立了以联合参谋部为领导机构、各军种具体负责、国家安全局和国防信息系统局提供技术支援和保障的组织管理体系。联合参谋部情报部部长负责制定保障“纵深防御”战略的情报条令和法规,联合参谋部作战计划与联合部队发展部负责计划和在演习中落实“纵深防御”战略;各军种部长负责制定本军种“纵深防御”战略的具体实施细则,监督所辖网络的贯彻和执行情况;国防信息系统局局长负责组织和领导国防信息系统“纵深防御”战略防御技术的研发工作,会同参联会主席和国家安全局局长制定“纵深防御”战略分层保护措施,并监督落实情况;国家安全局局长负责管理IATF的制定工作,保障“纵深防御”战略的实施,并提供相应的工程技术支援。
在装备技术层面的建设,美国国防部要求:美军网络空间安全解决方案应坚持以通用性和综合性为研发方向,以“纵深防御”为基本手段,以C4ISR框架结构为基础,推动网络空间作战的发展。为此,美军贯彻“先关键资产和数据,后飞地网络”的保护原则,通过技术研发和装备采办,有重点、分阶段地推动装备技术防御体系的完善和更新。装备技术体系建设核心内容包括密码技术、非军事区、虚拟安全飞地、基于主机的安全系统“应用程序白名单”技术和网络态势感知。
在政策法规层面,2009年美国国防部制定并颁布了《网络空间的信息保障发展战(CIIA)》,提出了国防部信息系统安全建设的“网络保障、身份保障和信息保障”总体目标,从能力建设、任务管理、攻击防范和应变处置四个方面提出了具体的工作任务目标。为促进任务目标的落实,国防部首席信息官办公室制定了《信息安全政策总图》,以四项任务目标为总纲,着眼“纵深防御”战略的实际应用,对国防部和联邦政府现行的网络安全政策和技术法规进行了全面的梳理和分类,内容涉及网络空间安全工作的组织与领导、网络空间作战技术研发、从业人员职业技能培训、通信加密和信息共享管理、网络攻击防范、可信网络系统建设以及加强网络安全战备等方面,从而建立起了完整而又清晰的“纵深防御”战略的政策法规体系。
目前,医院计算机网络安全管理是网络研究者的一项重要课题,通常是指网络通信的安全、传输数据的安全两部分组成。医院计算机网络安全面临的威胁概括为几个方面。
(1)医院计算机网络病毒威胁。计算机病毒始终是计算机系统安全的一个无法根除的威胁,破坏操作系统和应用软件。尤其是在网络环境下,病毒传播速度快,辐射范围广,更加难以彻底根除,一旦病毒侵入计算机网络系统,就会导致网络利用率大幅下降,系统资源遭到严重破坏,也可能造成网络系统整个瘫痪。
(2)医院计算机网络应用程序漏洞。现今,网络上使用的应用软件或者是系统软件总是存在各种各样的技术漏洞,并不是非常完美和安全。这些漏洞正是“黑客”等利用各种技术进行攻击的薄弱部位。
(3)医院计算机网络管理漏洞。只有对网络上存储、传输的数据信息进行严格管理,才能确保网络安全。但是大部分的企业在管理方面都做得不够好,根本不重视网络信息的安全保护,也没有投入一定的物力、人力以及财力来加强网络安全的防护,导致管理上存在漏洞。
2构建计算机安全主动防御体系
2.1网络管理医院计算机网络安全主动防御模型中,网络管理具有重要的作用,其位于主动防御的核心层面。网络安全管理的对象是安全管理制度、用户和网络安全技术,尤其是对网络技术的管理,需要采取各种网络管理策略将网络安全防范技术集成在一起,成为一个有机的防御系统,提高网络的整体防御能力;对用户的管理可以与管理制度相互结合,制定网络安全管理制度,提高人们的网络安全意识,培训正确的网络安全操作。增强网络安全人员的法律意识,提高网络使用警觉性,确保网络运行于一个正常的状态。
2.2防御策略医院计算机网络安全防御策略可以根据网络安全的需求、网络规模的大小、网络应用设备配置的高低,采取不同的网络安全策略,其是一个网络的行为准则。本文的网络安全防御策略是一个融合各种网络安全防御技术的纵深策略,分别集成了网络预警、网络保护、网络检测、网络响应、网络阻止、网络恢复和网络反击等,确保网络安全达到最优化。
2.3防御技术目前,医院计算机网络主动防御体系采用的防御技术不仅仅是一种技术,其同时能够合理地运用传统的防病毒、防黑客技术,并其有机地结合起来,相互补充,在此基础上,使用入侵预测技术和入侵响应技术,主动式地发现网络存在的漏洞,防患于未然。
3网络安全主动防御体系架构
医院计算机网络安全主动防御体系架构是一种纵深的网络安全防御策略,其涵盖了网络安全管理、网络预防策略和网络预防技术三个层面,本文将从技术层面详细地阐述网络安全防御体系。本文将医院计算机网络安全主动防御体系分为预警、保护、检测、响应、恢复和反击六个层面,纵深型的防御体系架构能够将这几种技术融合起来,形成一个多层的纵深保护体系。
(1)网络预警。医院计算机网络预警可以根据经验知识,预测网络发生的攻击事件。漏洞预警可以根据操作系统厂商研究发现的系统存在的漏洞,预知网络可能发生的攻击行为;行为预警可以通过抓取网络黑客发生的各种网络攻击行为,分析其特征,预知网络攻击;攻击预警可以分析正在发生或者已经发生的攻击,判断网络可能存在的攻击行为;情报收集分析预警可以通过从网络获取的各种数据信息,判断是否可能发生网络攻击。
(2)网络保护。医院计算机网络保护是指可以采用增强操作系统安全性能、防火墙、虚拟专用网(VPN)、防病毒体系构建网络安全保护体系,以便能够保证网络数据传输的完整性、机密性、可用性、认证性等。
(3)网络检测。医院计算机网络检测在主动防御系统中具有非常重要的意义,网络检测可以有效地发现网络攻击,检测网络中是否存在非法的信息流,检测本地网络是否存在漏洞,以便有效地应对网络攻击。目前网络检测过程中采用的技术包括实时监控技术、网络入侵检测技术和网络安全扫描技术等。
(4)网络响应。医院计算机网络响应可以对网络安全事件或者攻击行为做出反应,及时保护系统,将安全事故对系统造成的危害降到最低,因此,网络检测到攻击之后,需要及时地将攻击阻断或者将攻击引诱到一个无用的主机上去,同时要定位网络攻击源位置,搜集网络攻击的行为数据或者特点,便于后期防止类似事件发生。比如检测到网络攻击之后,可以用网络监控系统或防火墙阻断网络攻击;可以使用网络僚机技术和网络攻击诱骗技术引诱网络攻击到其他位置。
(5)恢复。及时地恢复医院计算机网络系统,能够为用户提供正常的服务,也是降低网络攻击所造成的损失的有效方法之一。为了能够充分地保证网络受到攻击之后恢复系统,必须做好系统备份工作,常用的系统备份方法包括现场外备份、冷热备份和现场内备份。
(6)反击。医院计算机网络反击可以使用各种网络技术对攻击者进行攻击,迫使其停止攻击,攻击手段包括阻塞类攻击、探测类攻击、漏洞类攻击、控制类攻击、病毒类攻击和欺骗类攻击等行为,网络反击必须是在遵循国家的法律法规,不违反道德的范围内。
4结束语
计算机在正常的使用当中,容易受到人为的网络黑客的入侵,非法获取别人的信息用以牟利,这影响了网络的正常运行秩序,对广大网络用户的隐私及信息安全造成了威胁,如何有效的阻止计算机病毒及黑客的入侵是当前计算机网络安全面临的一个重要问题。
1计算机网络安全及防火墙技术的含义
总体来说计算机网络安全就是在确保网络系统正常运行的同时,确保存储数据的完整、安全、不被篡改及泄露。主要是保护使用者在进行信息传输时,信息不被破坏、窃听及复制。防火墙技术是网络之间一道安全屏障,属于一种隔离技术,是保障计算机网络信息安全的一种基本手段。增强网络间的访问控制和安全性,对网络信息进行控制,阻止其他用户非法获取网络信息资源,保护数据的安全,同时还能保护计算机内在设备不被破坏。
2计算机网络安全面临的问题
随着现代社会逐步进入信息化、全球化的时代,计算机网络的运行得到广泛的推广,安全是计算机网络运行的首要原则,但是在其运行过程中不断的受到安全威胁,影响计算机网络的安全,计算机的数据在运行过程中会存在很多漏洞,它是计算机网络的主体,这就引发了计算机网络安全的隐患,例如计算机网络运行中的节点数据,较容易受到攻击者的破坏和篡改,攻击者利用计算机网络系统的安全漏洞,植入病毒、木马导致数据系统出现瘫痪,使计算机无法正常安全的运行,或者攻击者利用数据的漏洞,进入受害者的电脑,窥探内网数据,利用这些数据进行一些非法活动。另一方面计算机网络安全面临的问题就是人为的外力破坏,它是现在对计算机网络安全威胁最大不可忽视的一点,其主要方式还是人为的制造电脑病毒、木马等。计算机网络安全受到这种情况的影响还是比较大的,一部分的攻击者利用用户的不规范不正确的操作习惯,利用网站、邮件等方式植入病毒、木马来攻击用户的计算机,导致计算机网络安全系统出现问题。
例如,用户长时间的浏览外网网站,没有定期查杀病毒,使攻击者很容易摸清用户的浏览习惯,在特定的网站中添加攻击连接,这样在用户点击该网站时,病毒就会立即启动,直接攻击用户的计算机,对计算机造成一些安全隐患。再有对计算机网络安全造成威胁的是环境的威胁,由于计算机网络是一个开放、共享的平台,它处在一个共享环境内,面临资源开放的威胁。由于用户在访问外网是必须经过网络环境,它是计算机网络运行的基础,所以这个环境对计算机网络安全存在明显的威胁,攻击者利用网络环境设置攻击环节,主要攻击网络环境内交互的数据包,经由数据包将攻击信息带入内网,破坏内网的防护结构,网络环境内的攻击是非常强烈的,针对环境的威胁,就必须发挥防火墙的优势。综上所述,构成对计算机网络安全威胁的可以大体总结为两点,自然和人为两种方式。前者主要是自然灾害和设备的老化,电磁辐射干扰以及恶劣的环境造成的威胁,后者则是黑客的攻击,网络缺陷和管理漏洞,以及恶意操作等对计算机网络安全造成的威胁,这是计算机网络最难防御的威胁。造成计算机网络安全隐患的原因多种多样,包括TCP/IP协议和网络结构的缺陷,网络系统设计的不够完善以及人们对于网络安全意识的缺乏,这些都为黑客攻击者提供了机会。
3防火墙技术在计算机网络安全中的应用
3.1防火墙技术分析
防火墙是指计算机在运行过程当中,将内部网络与公众访问网络分开的一种保护方法,在计算机网络安全中得到广泛应用,防火墙的应用价值主要体现在过滤技术、技术、检测技术、协议技术等四个方面。首先它的过滤技术是防火墙根据特定的位置,提供过滤服务,防火墙主要在OSI参考模型中的网络和传输层通过一个过滤路由器实现对整个网络的保护,例如:过滤技术在计算机网络系统TCP位置,防火墙预先检查TCP位置接受到的数据包,全面检查数据包的安全性,如果发现存在威胁因素或是攻击行为,则自己阻断数据包的传输,使其过滤在外网环境内,阻止病毒进入内网,过滤技术的应用体现了防火墙的预防特征,防火墙的过滤技术不仅仅应用于计算机网络安全控制,在路由器方面也存在明显的价值。其次技术,它具有一定的特殊性,该技术在内外网之间发挥中转作用,在计算机的内网部分只接受部分发出的请求,而外网请求则直接被拒绝,对内外网进行分割,防止出现内外混淆的现象出现。检测技术的运行主要建立在状态机制的基础上,将外网传入的数据包作为整体,准确分析数据包的状态内容,将分析结果归结为记录表,对比两表后识别数据的状态,目前检测技术应用与各层网络之间,获取网络连接的状态信息,拓宽计算机网络安全保护的范围,以此来提高网络运行的效率,最后协议技术主要是防止DoS攻击,DoS攻击容易导致计算机服务器陷入瘫痪状态,使计算机无法正常运行,防火墙利用协议技术,在此类攻击中发挥主体保护,在协议技术参与下的防火墙技术,保护计算机的内部网络,促使服务器处于高度安全的环境中,规避外网的攻击。
3.2防火墙技术在计算机网络中的应用
访问策略是防火墙技术的应用核心,在计算机网络安全中占据主导地位,它的实施主要以配置为主,经过科学缜密的计划,安排统计计算机网络运行信息的整个过程,形成一个科学的保护,规划访问策略以此来营造一个安全的环境,防火墙技术在访问策略中的保护流程为该技术将计算机运行信息划分为不同的单位,规划每个单位的访问保护,确保流通访问的安全价值,此外,防火墙技术通过访问策略主动了解计算机网络运行的各项地址,摸清计算机网络运行的特点,便于规划安全保护,根据计算机的安全需求和实际访问情况,调整访问策略,来更好的对计算机予以保护,访问策略在执行安全保护是,会自动形成策略表,通过策略表约束防护墙技术的保护行为,最大限度的提高了网络安全保护的效率,访问策略运行完毕后,排除运行漏洞后将其作为防火墙技术的配制,合理保护计算机网络的安全。
日志监控中的应用,部分计算机用户善于分析防火墙技术的保护日志,以此来获取价值信息。日志监控在计算机网络安全保护中同样占据较大的比重,属于防火墙技术的重点保护对象,用户实时注意防火墙技术的报警信息,有利于降低选择技术的难度,优化价值,基于监控日志的作用下,防火墙技术安全保护的能力得到加强,提高防火墙技术的筛选能力,优化网络流量。最后是防火墙技术在安全配置中的应用,它主要将计算机网络安全划分为不同模块,独立需要安全防护的模块,将其转化为隔离区,作为安全保护的重点,防火墙对安全配置的要求比较高,体现在其计算机网络安全中的应用效率,该安全配置隔离区域具有明显的特征,它的主要工作方式为防火墙技术自动监控计算机网络隔离区域内的信息流通,利用地址的转换,将内网流入外网的信息IP转化为公共IP,避免攻击者解析IP,无法获得真实的信息,避免了外网的攻击,保护内网安全,严格防止外网入侵,在很大程度上提高了内网的运行安全。
4防火墙技术在计算机网络安全中的优势
防火墙技术是计算机网络安全的主要防护手段,与其他网络安全技术相比具有明显的优势,在计算机网络安全中占据主导地位,提升计算机网络的防护水平,它能够准确的识别网络攻击。现在网络攻击类型、攻击方式种类繁多,防火墙在不断变化的攻击行为中,能够主动识别攻击路径和方式,判断攻击行为的属性,提供有效的保护措施,优化计算机的运行,防止网络数据被恶意损坏、窃听。另外防火墙技术还是一个高效的保护网络系统,在计算机安全保护中具有较高的保护能力,防火墙能够迅速的察觉具有危险性的攻击活动,并立即采取措施,在最短的时间内防止网络系统被攻击,一方面维持网络系统的安全运行,另一方面能够保障计算机网络系统的整体性能,强化网络结构,体现出高效的保护能力。
5结束语
