導(dǎo)語(yǔ)：如何才能寫好一篇基于某企業(yè)的網(wǎng)絡(luò)安全策略，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

計(jì)算機(jī)信息系統(tǒng)安全是一個(gè)動(dòng)態(tài)過程。美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）對(duì)此提出P2DR模型，其關(guān)鍵是Policy（策略）、Protection（防護(hù)）、Detection（檢測(cè)）和Response（響應(yīng)）四方面。按照P2DR的觀點(diǎn)，完整的動(dòng)態(tài)安全體系需要防護(hù)措施（如網(wǎng)絡(luò)或單機(jī)防火墻、文件加密、身份認(rèn)證、操作系統(tǒng)訪問控制、數(shù)據(jù)庫(kù)系統(tǒng)訪問控制等）、動(dòng)態(tài)檢測(cè)機(jī)制（入侵檢測(cè)、漏洞掃描等）、先進(jìn)的資源管理系統(tǒng)（及時(shí)發(fā)現(xiàn)問題并做出響應(yīng)）。

中國(guó)石油按照信息安全P2DR模型制定的信息安全系統(tǒng)體系結(jié)構(gòu)包括安全運(yùn)行中心、網(wǎng)絡(luò)邊界管理系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制、網(wǎng)絡(luò)管理系統(tǒng)、病毒監(jiān)控與升級(jí)管理系統(tǒng)、系統(tǒng)加固與監(jiān)控管理系統(tǒng)、CA認(rèn)證中心、密鑰管理與分發(fā)系統(tǒng)、數(shù)據(jù)庫(kù)防護(hù)系統(tǒng)、容災(zāi)系統(tǒng)、內(nèi)容訪問監(jiān)控系統(tǒng)和電子郵件監(jiān)控系統(tǒng)。

中國(guó)石油廣域網(wǎng)安全基礎(chǔ)設(shè)施

防火墻系統(tǒng)

中國(guó)石油廣域網(wǎng)十分龐大，下屬單位很多，遍布全國(guó)，連通世界上很多國(guó)家的分支企業(yè)。因此需要在網(wǎng)絡(luò)各個(gè)相連處部署強(qiáng)力防火墻，確保網(wǎng)絡(luò)的安全性。另外，在區(qū)域網(wǎng)絡(luò)中心的服務(wù)器群前，加兩臺(tái)防火墻，以負(fù)載均衡方式，用千兆光纖連接到區(qū)域網(wǎng)絡(luò)中心路由器上。在兩臺(tái)防火墻都正常工作情況下，可以提供約兩倍于單臺(tái)設(shè)備的性能，即約4Gbps的防火墻吞吐量，當(dāng)一臺(tái)防火墻出現(xiàn)故障時(shí)，另一臺(tái)防火墻保證網(wǎng)絡(luò)不間斷運(yùn)行，保障服務(wù)器群的高可用性。

利用防火墻技術(shù)，能在內(nèi)外網(wǎng)之間提供安全保護(hù); 但有如下局限性: 入侵者可尋找防火墻可能敞開的后門進(jìn)行襲擊; 網(wǎng)絡(luò)結(jié)構(gòu)改變有時(shí)會(huì)造成防火墻安全策略失效，攻擊者可以繞防火墻實(shí)施攻擊; 入侵者可能來自防火墻內(nèi)部; 防火墻可能不能提供實(shí)時(shí)入侵檢測(cè)。

入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)和基于主機(jī)兩種類型。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)所在網(wǎng)段的IP數(shù)據(jù)包進(jìn)行分析監(jiān)測(cè)，實(shí)時(shí)發(fā)現(xiàn)和跟蹤有威脅或隱患的網(wǎng)絡(luò)行為?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)安裝在需要保護(hù)的主機(jī)上，為關(guān)鍵服務(wù)提供實(shí)時(shí)保護(hù)。通過監(jiān)視來自網(wǎng)絡(luò)的攻擊、非法闖入和異常進(jìn)程，能實(shí)時(shí)檢測(cè)出攻擊，并做出切斷服務(wù)、重啟服務(wù)器進(jìn)程、發(fā)出警報(bào)、記錄入侵過程等動(dòng)作。

入侵檢測(cè)在網(wǎng)絡(luò)中設(shè)置關(guān)鍵點(diǎn)，收集信息，并加以分析，查找違反安全策略的行為和遭到襲擊的跡象。它是第二道安全閘門，對(duì)內(nèi)外攻擊和誤操作提供實(shí)時(shí)保護(hù)，又不影響網(wǎng)絡(luò)性能。其具體功能如下: 監(jiān)視、分析用戶及系統(tǒng)活動(dòng); 系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì); 識(shí)別已知進(jìn)攻的活動(dòng)模式并向相關(guān)人員報(bào)警; 異常行為模式的統(tǒng)計(jì)分析; 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。

中國(guó)石油12個(gè)區(qū)域網(wǎng)絡(luò)中心，均配備入侵檢測(cè)系統(tǒng)，監(jiān)控內(nèi)外網(wǎng)入侵行為。

漏洞掃描系統(tǒng)

漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。它查詢TCP/IP端口，并記錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息，例如正在進(jìn)行的服務(wù)、擁有這些服務(wù)的用戶是否支持不記名登錄、是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。

漏洞掃描系統(tǒng)可安裝在便攜機(jī)中，在網(wǎng)絡(luò)比較空閑時(shí)檢測(cè)。檢測(cè)方式可本地可遠(yuǎn)程; 可臨時(shí)檢測(cè)某網(wǎng)段，也可固定檢測(cè)某網(wǎng)段，但是檢測(cè)范圍不可跨越防火墻。

查殺病毒系統(tǒng)

中國(guó)石油網(wǎng)絡(luò)上各個(gè)局域網(wǎng)普遍設(shè)立查殺病毒軟件服務(wù)器，不斷更新殺毒軟件，及時(shí)向用戶機(jī)下推最新版本殺毒軟件。大大減輕了病毒泛濫和造成的損失。

網(wǎng)絡(luò)安全策略管理

中國(guó)石油全網(wǎng)提供統(tǒng)一安全策略，各級(jí)分別部署，從而提高全網(wǎng)整體安全。

企業(yè)網(wǎng)絡(luò)安全策略分為四個(gè)方面:檢測(cè)評(píng)估、體系結(jié)構(gòu)、管理措施和網(wǎng)絡(luò)標(biāo)準(zhǔn)，并構(gòu)成動(dòng)態(tài)循環(huán)系統(tǒng)（圖1）。安全檢測(cè)與評(píng)估隨著安全標(biāo)準(zhǔn)的提高而改進(jìn)，評(píng)估結(jié)果是網(wǎng)絡(luò)體系結(jié)構(gòu)的完善的依據(jù)，安全策略管理必須隨之改進(jìn)與增強(qiáng); 技術(shù)的進(jìn)步和網(wǎng)絡(luò)安全要求的提高，促使網(wǎng)絡(luò)標(biāo)準(zhǔn)的完善與改進(jìn)。

網(wǎng)絡(luò)安全檢測(cè)與評(píng)估涉及網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用軟件、專業(yè)軟件、數(shù)據(jù)庫(kù)、電子商務(wù)、Web網(wǎng)站、電子郵件等。安全體系結(jié)構(gòu)涉及物理、場(chǎng)地、環(huán)境、訪問控制、數(shù)據(jù)傳輸與保存、路由控制。安全管理措施涉及網(wǎng)絡(luò)設(shè)備、軟件、密鑰。

路由器和交換機(jī)策略管理是上述安全管理措施中的重要方面。它們的策略維護(hù)通過訪問控制列表（ACL）實(shí)現(xiàn)。這種工作容易出錯(cuò)，因而應(yīng)采用專用工具軟件集中管理。所采用的管理軟件有管理設(shè)備ACL的WEB接口，通過這個(gè)接口對(duì)IP過濾列表進(jìn)行編輯及下載，簡(jiǎn)化了管理工作量，實(shí)現(xiàn)了大型網(wǎng)絡(luò)路由器和交換機(jī)上策略參數(shù)的集中管理。

分系統(tǒng)設(shè)計(jì)

除了上述基礎(chǔ)設(shè)施外，還必須有屬于“上層建筑”安全措施。這便是分系統(tǒng)設(shè)計(jì)。

安全運(yùn)行中心

中國(guó)石油信息系統(tǒng)地域分散、規(guī)模龐大，與多個(gè)業(yè)務(wù)系統(tǒng)耦合性很強(qiáng)，如何將現(xiàn)有安全系統(tǒng)納入統(tǒng)一管理平臺(tái)，實(shí)現(xiàn)安全事件全局分析和動(dòng)態(tài)監(jiān)控，是中國(guó)石油廣域網(wǎng)面臨的主要問題。

建立安全運(yùn)行中心，實(shí)現(xiàn)對(duì)全網(wǎng)安全狀況的集中監(jiān)測(cè)、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類安全事件，并處理各種安全突發(fā)事件。安全運(yùn)行中心不僅可以將不同類型安全產(chǎn)品實(shí)現(xiàn)統(tǒng)一管理，還可以將網(wǎng)絡(luò)中不同位置、不同系統(tǒng)中單一安全事件進(jìn)行收集、過濾、關(guān)聯(lián)分析，得出網(wǎng)絡(luò)全局風(fēng)險(xiǎn)事件集，提供安全趨勢(shì)報(bào)告，并通過遠(yuǎn)程狀態(tài)監(jiān)控、遠(yuǎn)程分發(fā)、實(shí)現(xiàn)快速響應(yīng)，有效控制風(fēng)險(xiǎn)事件。

安全運(yùn)行中心功能模塊包括安全配置模塊、網(wǎng)絡(luò)監(jiān)控模塊、內(nèi)容監(jiān)管模塊、安全事件與預(yù)警模塊以及應(yīng)急響應(yīng)模塊，具體功能模塊如圖2所示。下邊介紹幾種主要功能。

（1）安全配置管理

包括防火墻、入侵檢測(cè)、VPN等安全系統(tǒng)的安全規(guī)則、選項(xiàng)和配置，各種操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用等系統(tǒng)配置的安全設(shè)置、加固和優(yōu)化措施?？蓪?shí)現(xiàn)策略創(chuàng)建、更新、、學(xué)習(xí)和查詢。

（2）網(wǎng)絡(luò)監(jiān)控

模塊可提供對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、網(wǎng)絡(luò)拓?fù)?、服?wù)器、應(yīng)用系統(tǒng)運(yùn)行情況的可視化監(jiān)控，確定某個(gè)安全事件是否會(huì)發(fā)生，事件類型、影響程度和范圍。預(yù)警: 對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)系統(tǒng)日志信息的收集、集中存儲(chǔ)、分析、管理，及時(shí)發(fā)現(xiàn)安全事件，并做出相應(yīng)預(yù)警。

（3）內(nèi)容監(jiān)管

內(nèi)容監(jiān)控、內(nèi)容訪問監(jiān)控以及內(nèi)容傳播監(jiān)控。

中國(guó)石油信息安全系統(tǒng)安全運(yùn)行中心由總部、區(qū)域中心、地區(qū)公司三級(jí)結(jié)構(gòu)組成。

總部級(jí): 制定統(tǒng)一安全配置，收集所有匯總上來的數(shù)據(jù)，并對(duì)其進(jìn)行統(tǒng)一分析、管理。通過這種逐級(jí)逐層多級(jí)化模式管理，達(dá)到對(duì)信息安全全方位防御的目的。

區(qū)域中心級(jí): 執(zhí)行對(duì)管轄范圍內(nèi)所有地區(qū)公司安全運(yùn)行中心的監(jiān)控，也可監(jiān)控區(qū)域內(nèi)的網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫(kù)安全、應(yīng)用系統(tǒng)安全等，并向總部安全運(yùn)行中心上報(bào)相關(guān)數(shù)據(jù)。

地區(qū)公司級(jí): 部署總部的統(tǒng)一安全配置，監(jiān)控地區(qū)公司內(nèi)部網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)安全等，收集分析安全事件并做出及時(shí)響應(yīng)，生成分析報(bào)告，定期向區(qū)域中心匯總。

網(wǎng)絡(luò)邊界管理系統(tǒng)

中國(guó)石油網(wǎng)絡(luò)按照其應(yīng)用性質(zhì)的不同和安全要求的不同，劃分為不同的安全域。整個(gè)網(wǎng)絡(luò)安全符合木桶原則: 最低木板決定木桶裝水量; 網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)決定整個(gè)網(wǎng)絡(luò)的安全性。

由于網(wǎng)絡(luò)中不可控制的接入點(diǎn)比較多，導(dǎo)致全網(wǎng)受攻擊點(diǎn)明顯增多。通過網(wǎng)絡(luò)邊界管理系統(tǒng)可以最大限度保護(hù)內(nèi)部業(yè)務(wù)數(shù)據(jù)的安全，其中重點(diǎn)保護(hù)與Internet直接連接的區(qū)域。

按照業(yè)務(wù)不同的安全程度要求，中國(guó)石油各個(gè)企業(yè)網(wǎng)絡(luò)劃分若干安全區(qū)域:

（1）業(yè)務(wù)區(qū)域: 企業(yè)重要信息集中在此，這里有核心數(shù)據(jù)庫(kù)，可與相關(guān)單位交換信息。

（2）生產(chǎn)區(qū)域: 主要指各煉化企業(yè)的生產(chǎn)網(wǎng)絡(luò)，實(shí)現(xiàn)生產(chǎn)在線監(jiān)控和管理信息的傳遞。

（3）辦公區(qū)域: 各單位的辦公網(wǎng)，用戶訪問企業(yè)業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)、收發(fā)電子郵件等。

（4）對(duì)外服務(wù)區(qū): 通過因特網(wǎng)對(duì)外信息和進(jìn)行電子商務(wù)的區(qū)域，該區(qū)域日趨重要。

（5）因特網(wǎng)接入?yún)^(qū): 因特網(wǎng)瀏覽信息、對(duì)外交流的窗口，最易受攻擊，要重點(diǎn)保護(hù)。

通過邊界管理系統(tǒng)在中國(guó)石油各局域網(wǎng)邊界實(shí)施邊界管理，在內(nèi)部部署入侵檢測(cè)系統(tǒng)實(shí)施全面安全保護(hù)，并在對(duì)外連接處和必要的部位部署防火墻進(jìn)行隔離。

通過入侵檢測(cè)系統(tǒng)和防火墻聯(lián)動(dòng)，可以對(duì)攻擊行為實(shí)時(shí)阻斷，提高安全防護(hù)的有效性。

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

中國(guó)石油網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)分四部分: 策略服務(wù)器、客戶端平臺(tái)、聯(lián)動(dòng)設(shè)備和第三方服務(wù)器（圖3）。

（1）安全策略服務(wù)器: 它是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的管理與控制中心，實(shí)現(xiàn)用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

（2）安全客戶端平臺(tái): 它是安裝在用戶終端系統(tǒng)上的軟件，可集成各種安全產(chǎn)品插件，對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及實(shí)施網(wǎng)絡(luò)安全策略。

（3）安全聯(lián)動(dòng)設(shè)備: 它是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。安全管理系統(tǒng)管理平臺(tái)作為安全策略服務(wù)器，提供標(biāo)準(zhǔn)協(xié)議接口，支持同交換機(jī)、路由器等各類網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)。

（4）第三方服務(wù)器: 為病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方網(wǎng)絡(luò)安全產(chǎn)品，通過安全策略的設(shè)置實(shí)施，實(shí)現(xiàn)安全產(chǎn)品功能的整合。

鏈接

中國(guó)石油廣域網(wǎng)安全設(shè)計(jì)原則

在中石油廣域網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)中應(yīng)遵循以下設(shè)計(jì)原則:

高度安全與良好性能兼顧: 安全與性能相互矛盾，安全程度越高，性能越受影響。任何事物沒有絕對(duì)安全，也不總是越安全越好。安全以投資、性能、效率的付出為代價(jià)。在安全系統(tǒng)設(shè)計(jì)中，對(duì)不同安全程度要求，采用不同安全措施，從而保證系統(tǒng)既有高度安全保障，又有良好系統(tǒng)性能。所謂高度安全，指實(shí)現(xiàn)的安全措施達(dá)到信息安全級(jí)別的要求，對(duì)關(guān)鍵信息可以再高一個(gè)級(jí)別。

全方位、均衡性和層次性: 全方位、均衡性安全設(shè)計(jì)保證消除網(wǎng)絡(luò)中的漏洞、后門或薄弱環(huán)節(jié); 層次性設(shè)計(jì)保證當(dāng)網(wǎng)絡(luò)中某個(gè)安全屏障（如防火墻）被突破后，網(wǎng)絡(luò)仍受到其他安全措施（如第二道防火墻）的保護(hù)。

主動(dòng)和被動(dòng)相結(jié)合: 主動(dòng)對(duì)系統(tǒng)中安全漏洞進(jìn)行檢測(cè)，及時(shí)消除安全隱患; 被動(dòng)實(shí)施安全策略，如防火墻措施、ACL措施等等。兩者完美結(jié)合，有效實(shí)現(xiàn)安全。

切合實(shí)際: 有的放矢、行之有效，避免措施過度導(dǎo)致性能不應(yīng)有的下降。

易于實(shí)施、管理與維護(hù)。

篇2

關(guān)鍵詞：信息化；網(wǎng)絡(luò)安全；企業(yè)；解決方案

0　引言

現(xiàn)代企業(yè)信息化網(wǎng)絡(luò)是基于內(nèi)部傳輸網(wǎng)和Internet網(wǎng)絡(luò)的互聯(lián)網(wǎng)絡(luò)，由于公眾網(wǎng)絡(luò)是一個(gè)相對(duì)開放的平臺(tái)，網(wǎng)絡(luò)接入比較復(fù)雜，掛接的相關(guān)點(diǎn)比較多，網(wǎng)絡(luò)一旦接入公眾網(wǎng)絡(luò)，對(duì)于一些網(wǎng)絡(luò)安全比較敏感的數(shù)據(jù)，傳輸?shù)陌踩跃捅容^弱，比較危險(xiǎn)。本文將重點(diǎn)分析企業(yè)網(wǎng)絡(luò)系統(tǒng)安全性方面以及業(yè)務(wù)系統(tǒng)安全性方面存在的問題。

1　企業(yè)信息化網(wǎng)絡(luò)存在的安全隱患

1.1　Windows系統(tǒng)的安全隱患

Windows的安全機(jī)制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過一定的系統(tǒng)參數(shù)、權(quán)限等設(shè)置使文件和其他資源免受不良用戶的威脅(破壞、非法的編輯等等)。例如設(shè)置系統(tǒng)時(shí)鐘，對(duì)用戶賬號(hào)、用戶權(quán)限及資源權(quán)限的合理分配等。

由于Windows系統(tǒng)的復(fù)雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞。一些國(guó)際上的安全組織已經(jīng)公示了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來實(shí)施拒絕服務(wù)攻擊。例如，Windows所采用的存儲(chǔ)數(shù)據(jù)庫(kù)和加密機(jī)制可導(dǎo)致一系列安全隱患：NT把用戶信息和加密口令保存于NTRegistry的SAM文件即安全賬戶管理(securityAccounts Management)數(shù)據(jù)庫(kù)中，由于采用的算法的原因，NT口令比較脆弱，容易被破譯。能解碼SAM數(shù)據(jù)庫(kù)并能破解口令的工具有：PWDump和NTCrack。這些工具可以很容易在Internet上得到。黑客可以利用這些工具發(fā)現(xiàn)漏洞而破譯―個(gè)或多個(gè)DomainAdministrator帳戶的口令，并且對(duì)NT域中所有主機(jī)進(jìn)行破壞活動(dòng)。

1.2　路由和交換設(shè)備的安全隱患

路由器是企業(yè)網(wǎng)絡(luò)的核心部件，它的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。路由器在缺省情況下只使用簡(jiǎn)單的口令驗(yàn)證用戶身份，并且在遠(yuǎn)程TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密，路由器將失去所有的保護(hù)能力。同時(shí)，路由器口令的弱點(diǎn)是沒有計(jì)數(shù)器功能，所以每個(gè)人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個(gè)管理員都可能使用相同的口令，路由器對(duì)于誰(shuí)曾經(jīng)作過什么修改沒有跟蹤審計(jì)的能力。此外，路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鳒?zhǔn)備的目的。

1.3　數(shù)據(jù)庫(kù)系統(tǒng)的安全隱患

一般的現(xiàn)代化企業(yè)信息系統(tǒng)包含著多套數(shù)據(jù)庫(kù)系統(tǒng)。數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫(kù)的安全問題，在數(shù)據(jù)庫(kù)技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而不斷深化。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全性和保密性對(duì)于企業(yè)的正常、安全運(yùn)行至關(guān)重要。

我們將企業(yè)數(shù)據(jù)庫(kù)系統(tǒng)分成兩個(gè)部分：一部分是數(shù)據(jù)庫(kù)，按照一定的方式存取各業(yè)務(wù)數(shù)據(jù)。一部分是數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)，它為用戶及應(yīng)用程序提供數(shù)據(jù)訪問，同時(shí)對(duì)數(shù)據(jù)庫(kù)進(jìn)行管理，維護(hù)等多種功能。

數(shù)據(jù)庫(kù)系統(tǒng)的安全隱患有如下特點(diǎn)：涉及到信息在不同程度上的安全，即客體具有層次性和多項(xiàng)性；在DBMS中受到保護(hù)的客體可能是復(fù)雜的邏輯結(jié)構(gòu)，若干復(fù)雜的邏輯結(jié)構(gòu)可能映射到同一物理數(shù)據(jù)客體上，即客體邏輯結(jié)構(gòu)與物理結(jié)構(gòu)的分離；客體之間的信息相關(guān)性較大，應(yīng)該考慮對(duì)特殊推理攻擊的防范。

2　企業(yè)信息化網(wǎng)絡(luò)安全策略的體系

網(wǎng)絡(luò)安全策略為網(wǎng)絡(luò)安全提供管理指導(dǎo)和支持。企業(yè)應(yīng)該制定一套清晰的指導(dǎo)方針，并通過在組織內(nèi)對(duì)網(wǎng)絡(luò)安全策略的和保持來證明對(duì)網(wǎng)絡(luò)安全的支持與承諾。

2.1　安全策略系列文檔結(jié)構(gòu)

(1)最高方針

最高方針，屬于綱領(lǐng)性的安全策略主文檔，陳述本策略的目的、適用范圍、網(wǎng)絡(luò)安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則，網(wǎng)絡(luò)安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略。安全策略的其他部分都從最高方針引申出來，并遵照最高方針，不與之發(fā)生違背和抵觸。

(2)技術(shù)規(guī)范和標(biāo)準(zhǔn)

技術(shù)標(biāo)準(zhǔn)和規(guī)范，包括各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和主要應(yīng)用程序應(yīng)遵守的安全配置和管理技術(shù)標(biāo)準(zhǔn)和規(guī)范。技術(shù)標(biāo)準(zhǔn)和規(guī)范將作為各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和應(yīng)用程序安裝、配置、采購(gòu)、項(xiàng)目評(píng)審、日常安全管理和維護(hù)時(shí)必須遵照的標(biāo)準(zhǔn)，不允許發(fā)生違背和沖突。它向上遵照最高方針，向下延伸到安全操作流程，作為安全操作流程的依據(jù)。

(3)管理制度和規(guī)定

管理制度和規(guī)定包括各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，必須具有可操作性，而且必須得到有效推行和實(shí)施。它向上遵照最高方針，向下延伸到用戶簽署的文檔和協(xié)議。用戶協(xié)議必須遵照管理規(guī)定和管理辦法，不與之發(fā)生違背。

(4)組織機(jī)構(gòu)和人員職責(zé)

安全管理組織機(jī)構(gòu)和人員的安全職責(zé)，包括安全管理機(jī)構(gòu)組織形式和運(yùn)作方式，機(jī)構(gòu)和人員的一般責(zé)任和具體責(zé)任。作為機(jī)構(gòu)和員工工作時(shí)的具體職責(zé)依照，此部分必須具有可操作性，而目必須得到有效推行和實(shí)施。

(5)用戶協(xié)議

用戶簽署的文檔和協(xié)議，包括安全管理人員、網(wǎng)絡(luò)和系統(tǒng)管理員安全責(zé)任書、保密協(xié)議、安全使用承諾等等。作為員工或用戶對(duì)日常工作中遵守安全規(guī)定的承諾，也作為違背安全時(shí)處罰的依據(jù)。

2.2　策略體系的建立

目前的企業(yè)普遍缺乏完整的安全策略體系，沒有將政府高層對(duì)于網(wǎng)絡(luò)安全的重視體現(xiàn)在正式的、成文的、可操作的策略和規(guī)定上。企業(yè)應(yīng)當(dāng)建立策略體系，制定安全策略系列文檔。建議按照上面所描述的策略文檔結(jié)構(gòu)，建立起安全策略文檔體系。

建議策略編制原則為建立一個(gè)統(tǒng)一的、體系完整的企業(yè)安全策略體系，內(nèi)容覆蓋企業(yè)中的所有網(wǎng)絡(luò)、部門、人員、地點(diǎn)和分支機(jī)構(gòu)。鑒于企業(yè)中的各個(gè)機(jī)構(gòu)業(yè)務(wù)情況和網(wǎng)絡(luò)現(xiàn)狀差別很大，因此在整體的策略框架和體系下，允許各個(gè)機(jī)構(gòu)根據(jù)各自情況，對(duì)策略體系中的管理制度、操作流程、用戶協(xié)議、組織和人員職責(zé)進(jìn)行細(xì)化。但細(xì)化后的策略文檔必須依照企業(yè)統(tǒng)一制定的策略文檔中的規(guī)定，不允許發(fā)生違背和矛盾，其要求的安全程度只能持平或提高，不允許下降。

2.3　策略的有效和執(zhí)行

安全策略系列文檔制定后，必須和有效執(zhí)行。和執(zhí)行過程中除了要得到企業(yè)高層領(lǐng)導(dǎo)的大力支持和推動(dòng)外，還必須要有合適的、可行的和推動(dòng)手段，同時(shí)在和執(zhí)行前對(duì)每個(gè)本員要進(jìn)行與其相關(guān)部分的充分培訓(xùn)，保證每個(gè)人員都了解與其相關(guān)部分的內(nèi)容。必須要注意到這是一個(gè)長(zhǎng)期、艱苦的工作，需要付出艱苦的努力，而且由于牽扯到企業(yè)許多部門和絕大多數(shù)人，可能需要改變工作方式和流程，所以推行起

來阻力會(huì)相當(dāng)大；同時(shí)安全策略本身存在的缺陷，包括不切實(shí)際的、太過復(fù)雜和繁瑣的、規(guī)定有缺欠的情況等，都會(huì)導(dǎo)致整體策略難以落實(shí)。

3　企業(yè)信息化網(wǎng)絡(luò)安全技術(shù)總體解決方案

參考以上所論述的，結(jié)合現(xiàn)有網(wǎng)絡(luò)安全核心技術(shù)，本文認(rèn)為，企業(yè)信息化網(wǎng)絡(luò)總體的安全技術(shù)解決方案將圍繞著企業(yè)信息化網(wǎng)絡(luò)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和安全服務(wù)層搭建整體的解決方案，企業(yè)信息化網(wǎng)絡(luò)建設(shè)將著重從邊界防護(hù)、系統(tǒng)加固、認(rèn)證授權(quán)、數(shù)據(jù)加密、集中管理五個(gè)方面進(jìn)行，在企業(yè)信息化網(wǎng)絡(luò)中重點(diǎn)部署防火墻、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)防病毒、VPN五大子系統(tǒng)，并通過統(tǒng)一的平臺(tái)進(jìn)行集中管理，從而實(shí)現(xiàn)企業(yè)信息化網(wǎng)絡(luò)安全既定的目標(biāo)。

3.1　防火墻系統(tǒng)的引入

通過防火墻系統(tǒng)的引入，利用防火墻“邊界隔離+訪問控制”的功能，實(shí)現(xiàn)對(duì)進(jìn)出企業(yè)網(wǎng)的訪問控制，特別是針對(duì)內(nèi)網(wǎng)服務(wù)器資源的訪問，進(jìn)行重點(diǎn)監(jiān)控，可以提高企業(yè)網(wǎng)的網(wǎng)絡(luò)層面安全。防火墻子系統(tǒng)能夠與入侵檢測(cè)子系統(tǒng)進(jìn)行聯(lián)動(dòng)，當(dāng)入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行細(xì)粒度檢測(cè)，發(fā)現(xiàn)異常，并通知防火墻時(shí)，防火墻會(huì)自動(dòng)生成安全策略，將訪問源阻斷在防火墻之外。

3.2　入侵檢測(cè)子系統(tǒng)的引入

入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)檢測(cè)針對(duì)重要網(wǎng)絡(luò)資源的網(wǎng)絡(luò)攻擊行為，它會(huì)對(duì)企業(yè)網(wǎng)內(nèi)異常的訪問及數(shù)據(jù)包發(fā)出報(bào)警，以便企業(yè)的網(wǎng)絡(luò)管理人員及時(shí)采取有效的措施，防范重要的信息資產(chǎn)遭到破壞。同時(shí)，可在入侵檢測(cè)探測(cè)器與防火墻之間建立互動(dòng)響應(yīng)體系，當(dāng)探測(cè)器檢測(cè)到攻擊行為時(shí)，向防火墻發(fā)出指令，防火墻根據(jù)入侵檢測(cè)系統(tǒng)上報(bào)的信息，自動(dòng)生成動(dòng)態(tài)規(guī)則，對(duì)發(fā)出異常訪問及數(shù)據(jù)包的源地址給予阻斷。入侵檢測(cè)和防火墻相互配合，能夠共同提高企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性，兩個(gè)系統(tǒng)共同構(gòu)成了企業(yè)網(wǎng)的邊界防護(hù)體系。

3.3　網(wǎng)絡(luò)防病毒子系統(tǒng)的引入

防病毒子系統(tǒng)用于實(shí)時(shí)查殺各種網(wǎng)絡(luò)病毒，可防范企業(yè)網(wǎng)遭到病毒的侵害。企業(yè)應(yīng)在內(nèi)部部署網(wǎng)關(guān)級(jí)、服務(wù)器級(jí)、郵件級(jí)，以及個(gè)人主機(jī)級(jí)的病毒防護(hù)。從整體上提高系統(tǒng)的容災(zāi)能力，提升企業(yè)網(wǎng)整體網(wǎng)絡(luò)層面的安全性。

3.4　漏洞掃描子系統(tǒng)的引入

漏洞掃描子系統(tǒng)能定期分析網(wǎng)絡(luò)系統(tǒng)存在的安全隱患，把隱患消滅在萌牙狀態(tài)。針對(duì)企業(yè)網(wǎng)絡(luò)中存在眾多類型的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)，運(yùn)行著營(yíng)銷系統(tǒng)、財(cái)務(wù)系統(tǒng)、客戶信息系統(tǒng)、人力資源系統(tǒng)等重要的應(yīng)用，如何確保各類應(yīng)用系統(tǒng)的穩(wěn)定和眾多信息資產(chǎn)的安全，是企業(yè)信息化網(wǎng)絡(luò)中需要重點(diǎn)關(guān)注的問題。通過漏洞掃描子系統(tǒng)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備的掃描，定期提交漏洞及弱點(diǎn)報(bào)告，可大大提高企業(yè)網(wǎng)整體系統(tǒng)層面的安全性。該系統(tǒng)與病毒防范系統(tǒng)一起構(gòu)成了企業(yè)網(wǎng)的系統(tǒng)加固平臺(tái)。

3.5　數(shù)據(jù)加密子系統(tǒng)的引入

通過對(duì)企業(yè)網(wǎng)重要數(shù)據(jù)的加密，確保數(shù)據(jù)在網(wǎng)絡(luò)中以密文的方式被傳遞，可以有效防范攻擊者通過偵聽網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，竊取企業(yè)的重要數(shù)據(jù)，或以此為基礎(chǔ)實(shí)施進(jìn)一步的攻擊，從而提高了企業(yè)網(wǎng)整體應(yīng)用層面的安全性。

篇3

關(guān)鍵詞：網(wǎng)絡(luò) 安全策略 數(shù)據(jù) 訪問

        0 引言

        隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展，企業(yè)數(shù)字化管理作為為網(wǎng)絡(luò)時(shí)代的產(chǎn)物，已經(jīng)成為企業(yè)管理發(fā)展的方向。隨著各企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，企業(yè)內(nèi)部網(wǎng)安全問題已經(jīng)成為當(dāng)前各企業(yè)網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。

        1 目前企業(yè)內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀

        1.1 操作系統(tǒng)的安全問題 目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是UNIX、WINDOWS 和Linux等，這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計(jì)算機(jī)病毒都是利用操作系統(tǒng)的漏洞進(jìn)行傳染。如不對(duì)操作系統(tǒng)進(jìn)行及時(shí)更新，彌補(bǔ)各種漏洞，計(jì)算機(jī)即使安裝了防毒軟件也會(huì)反復(fù)感染。

        1.2 病毒的破壞 計(jì)算機(jī)病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、破壞網(wǎng)絡(luò)資源、使網(wǎng)絡(luò)效率急劇下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓，是影響企業(yè)內(nèi)部網(wǎng)絡(luò)安全的主要因素。

        1.3 黑客 在《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)》中，黑客的定義是：“對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行非授權(quán)訪問的人員”，這也是目前大多數(shù)人對(duì)黑客的理解。大多數(shù)黑客不會(huì)自己分析操作系統(tǒng)或應(yīng)用軟件的源代碼、找出漏洞、編寫工具，他們只是能夠靈活運(yùn)用手中掌握的十分豐富的現(xiàn)成工具。黑客入侵的常用手法有：端口監(jiān)聽、端口掃描、口令入侵、JAVA等。

        1.4 口令入侵 為管理方便，一般來說，企業(yè)為每個(gè)上網(wǎng)的領(lǐng)導(dǎo)和工人分配一個(gè)賬號(hào)，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容，用不正常的手段竊取別人的口令，造成了企業(yè)管理的混亂及企業(yè)重要文件的外流。

        1.5 非正常途徑訪問或內(nèi)部破壞 在企業(yè)中，有人為了報(bào)復(fù)而銷毀或篡改人事檔案記錄；有人改變程序設(shè)置，引起系統(tǒng)混亂；有人越權(quán)處理公務(wù)，為了個(gè)人私利竊取機(jī)密數(shù)據(jù)。這些安全隱患都嚴(yán)重地破壞了學(xué)校的管理秩序。

        1.6 設(shè)備受損 設(shè)備破壞主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。企業(yè)內(nèi)部網(wǎng)絡(luò)涉及的設(shè)備分布在整個(gè)企業(yè)內(nèi)，管理起來非常困難，任何安置在不能上鎖的地方的設(shè)施，都有可能被人有意或無意地?fù)p壞，這樣會(huì)造成企業(yè)內(nèi)部網(wǎng)絡(luò)全部或部分癱瘓的嚴(yán)重后果。

        1.7 敏感服務(wù)器使用的受限 由于財(cái)務(wù)等敏感服務(wù)器上存有大量重要數(shù)據(jù)庫(kù)和文件，因擔(dān)心安全性問題，不得不與企業(yè)內(nèi)部網(wǎng)絡(luò)物理隔離，使得應(yīng)用軟件不能發(fā)揮真正的作用。

         1.8 技術(shù)之外的問題 企業(yè)內(nèi)部網(wǎng)是一個(gè)比較特殊的網(wǎng)絡(luò)環(huán)境。隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的擴(kuò)大，目前，大多數(shù)企業(yè)基本實(shí)現(xiàn)了科室辦公上網(wǎng)。由于上網(wǎng)地點(diǎn)的擴(kuò)大，使得網(wǎng)絡(luò)監(jiān)管更是難上加難。由于企業(yè)中部分員工對(duì)網(wǎng)絡(luò)知識(shí)很感興趣，而且具有相當(dāng)高的專業(yè)知識(shí)水平，有的員工上學(xué)時(shí)所學(xué)的專業(yè)甚至就是網(wǎng)絡(luò)安全，攻擊企業(yè)內(nèi)部網(wǎng)就成了他們表現(xiàn)才華，甚至是泄私憤的首選。其次，許多領(lǐng)導(dǎo)和員工的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)薄弱、安全知識(shí)缺乏。企業(yè)的規(guī)章制度還不夠完善，還不能夠有效的規(guī)范和約束領(lǐng)導(dǎo)和員工的上網(wǎng)行為。

篇4

[關(guān)鍵詞] Intranet 網(wǎng)絡(luò)安全防護(hù)體系 統(tǒng)一安全管理平臺(tái)

一、前言

內(nèi)部網(wǎng)（Intranet）指采用Internet技術(shù)建立的企業(yè)內(nèi)部專用網(wǎng)絡(luò)。它以TCP/IP協(xié)議作為基礎(chǔ)，以Web為核心應(yīng)用，構(gòu)成統(tǒng)一和便利的信息交換平臺(tái)。內(nèi)部網(wǎng)在企業(yè)信息、銷售服務(wù)、提高工作群體的生產(chǎn)力、內(nèi)部交流與支持、員工的培訓(xùn)和數(shù)據(jù)庫(kù)開發(fā)等方面，發(fā)揮著不可缺少的作用。它能夠幫助企業(yè)協(xié)調(diào)內(nèi)部通訊和提高企業(yè)生產(chǎn)力。

但是，隨著Intranet在企業(yè)的廣泛應(yīng)用，內(nèi)部網(wǎng)的安全問題也得到越來越多的關(guān)注，特別是網(wǎng)絡(luò)病毒的泛濫、網(wǎng)絡(luò)黑客的攻擊、企業(yè)信息的泄密等，無不牽動(dòng)著企業(yè)領(lǐng)導(dǎo)敏感的神經(jīng)。如果沒有一個(gè)高效的網(wǎng)絡(luò)管理系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，保障內(nèi)部網(wǎng)絡(luò)安全有效的運(yùn)行。將直接影響到企業(yè)的正常運(yùn)作，最終影響到企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益。

二、現(xiàn)有內(nèi)部網(wǎng)安全防護(hù)體系存在的問題

當(dāng)前企業(yè)內(nèi)部網(wǎng)普遍采用在網(wǎng)絡(luò)出口部署IDS（Intrusion Detection System，入侵檢測(cè)系統(tǒng)）和硬件防火墻，在內(nèi)部網(wǎng)服務(wù)器上安裝殺毒、防火墻軟件輔以一定的訪問控制策略并及時(shí)更新補(bǔ)丁等多項(xiàng)安全措施相結(jié)合的綜合安全防護(hù)體系。當(dāng)發(fā)生網(wǎng)絡(luò)安全問題時(shí)，由于大部分交換機(jī)以及路由器不具備或只具備較弱的安全防護(hù)功能，只能依靠防火墻來抵御攻擊和入侵，并由IDS 來予以跟蹤。但是這種安全體系存在以下幾個(gè)明顯的弱點(diǎn)：

1.隨著網(wǎng)絡(luò)流量的持續(xù)增長(zhǎng)，特別是大型內(nèi)部網(wǎng)內(nèi)數(shù)據(jù)流量的爆炸性增長(zhǎng)，單純的依靠在內(nèi)部網(wǎng)的某一點(diǎn)安裝某一網(wǎng)絡(luò)安全設(shè)備來進(jìn)行全網(wǎng)的防護(hù)已顯得力不從心，容易發(fā)生單點(diǎn)故障，并且造成內(nèi)部網(wǎng)整體通信的瓶頸。

2.來自于內(nèi)部的誤操作和濫用對(duì)內(nèi)部網(wǎng)的影響是最為致命的，通常的比例高達(dá)70%。當(dāng)攻擊者與被攻擊者均處于Intranet內(nèi)部時(shí)， 如果攻擊流不經(jīng)過IDS 的監(jiān)控點(diǎn)，就不能被IDS 捕獲，此時(shí)IDS 無法跟蹤，部署在網(wǎng)絡(luò)出口的硬件防火墻則失去了作用，只能靠服務(wù)器以及用戶電腦上安裝的防火墻來抵御攻擊。如果此時(shí)用戶的攻擊為虛擬IP 攻擊，則網(wǎng)絡(luò)管理人員只能依靠將局域網(wǎng)逐片斷開的原始方式逐步地進(jìn)行故障定位，影響的范圍大，排查的時(shí)間長(zhǎng)，過程繁瑣。

3.IDS+防火墻的組合模式在進(jìn)行病毒和攻擊方式識(shí)別時(shí)需要產(chǎn)品廠家的支持，具有一定的滯后性，對(duì)新出現(xiàn)的病毒和攻擊行為基本無能為力，且誤報(bào)的情況也是時(shí)有發(fā)生。

4.啟用基于802.1x 協(xié)議的用戶接入認(rèn)證，能夠保障Intranet用戶接入的合法性，較好地解決IP 地址盜用、用戶私自架設(shè)服務(wù)器等一系列困擾內(nèi)部網(wǎng)管理者的問題，但是基于802.1x 協(xié)議的系統(tǒng)對(duì)于用戶的計(jì)算機(jī)系統(tǒng)是否安全、用戶是否存在網(wǎng)絡(luò)攻擊行為則無法進(jìn)行判別。

基于以上幾點(diǎn)，最安全的辦法就是采取讓所有接入Intranet的計(jì)算機(jī)安裝殺毒和防火墻軟件并及時(shí)更新補(bǔ)丁。但由于用戶的網(wǎng)絡(luò)應(yīng)用水平參差不齊，作為網(wǎng)絡(luò)管理部門，只能督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁和安裝防火墻及殺毒軟件，而且操作系統(tǒng)或者應(yīng)用程序的補(bǔ)丁更新方式，若直接從互聯(lián)網(wǎng)上更新則比較慢，若在企業(yè)內(nèi)部架設(shè)WSUS服務(wù)器，則需要用戶修改配置，過程相對(duì)復(fù)雜很多，用戶會(huì)覺得麻煩。無法從技術(shù)層面上強(qiáng)制執(zhí)行，要保證用戶系統(tǒng)的安全和統(tǒng)一非常困難。

以上幾點(diǎn)充分說明了當(dāng)前Intranet普遍采用的安全體系存在諸多漏洞，已不能很好地滿足日益增長(zhǎng)的網(wǎng)絡(luò)安全需求。

三、統(tǒng)一安全管理平臺(tái)的體系架構(gòu)及工作原理

1.統(tǒng)一安全管理平臺(tái)的架構(gòu)

構(gòu)建一個(gè)統(tǒng)一的安全管理平臺(tái)，用以實(shí)現(xiàn)對(duì)Intranet內(nèi)所有網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理和調(diào)配，確保接入Intranet的所有網(wǎng)絡(luò)終端設(shè)備的安全可信，是在現(xiàn)有網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)上發(fā)展建立的新的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)思想。

統(tǒng)一安全管理平臺(tái)系統(tǒng)具體構(gòu)架（如圖1所示），由三個(gè)層面、五個(gè)部分組成：

(1)后臺(tái)服務(wù)層面

身份認(rèn)證系統(tǒng)――身份認(rèn)證系統(tǒng)能夠提供嚴(yán)格的用戶接入控制，通過準(zhǔn)確的身份認(rèn)證和物理定位來確保接入用戶的可靠性。用戶認(rèn)證系統(tǒng)針對(duì)用戶的入網(wǎng)行為，提供入網(wǎng)控制功能，同時(shí)，認(rèn)證系統(tǒng)還可以實(shí)現(xiàn)用戶帳號(hào)、用戶IP、用戶MAC、設(shè)備IP、設(shè)備端口的靜態(tài)綁定、動(dòng)態(tài)綁定以及自動(dòng)綁定，保證用戶入網(wǎng)身份的唯一性。

安全管理平臺(tái)――安全管理平臺(tái)是安全防護(hù)體系的管理與控制中心，是統(tǒng)一安全管理平臺(tái)的核心組成部分。通過安全管理平臺(tái)，可以對(duì)系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效地配置和管理全網(wǎng)安全設(shè)備，從而實(shí)現(xiàn)全網(wǎng)安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。通過統(tǒng)一的技術(shù)方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。同時(shí)通過集中的分析審計(jì)，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢(shì)，確保安全事件、事故得到及時(shí)的響應(yīng)和處理。

安全修復(fù)系統(tǒng)――安全修復(fù)系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進(jìn)行系統(tǒng)補(bǔ)丁、病毒特征碼或者用戶指定應(yīng)用程序補(bǔ)丁的管理。針對(duì)不同的安全策略，點(diǎn)到面地自動(dòng)強(qiáng)制分發(fā)部署補(bǔ)丁程序。

(2)網(wǎng)絡(luò)層面

安全聯(lián)動(dòng)設(shè)備――安全聯(lián)動(dòng)設(shè)備是Intranet中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。由安全管理平臺(tái)提供標(biāo)準(zhǔn)的協(xié)議接口，同交換機(jī)、路由器、防火墻、IDS等各類網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)安全聯(lián)動(dòng)。

(3)用戶層面

安全客戶端――安全客戶端是安裝在個(gè)人電腦和服務(wù)器上的端點(diǎn)保護(hù)軟件。安全客戶端負(fù)責(zé)收集不同用戶的安全軟件的狀態(tài)信息，包括對(duì)防病毒軟件信息的收集。同時(shí)，安全客戶端可以評(píng)估操作系統(tǒng)的版本、補(bǔ)丁程度等信息，并且把這些信息傳遞到安全管理平臺(tái)，沒有進(jìn)行適當(dāng)升級(jí)的主機(jī)將被隔離到網(wǎng)絡(luò)修復(fù)區(qū)域，從而保障網(wǎng)絡(luò)的安全運(yùn)行。與傳統(tǒng)的解決方案不同，安全客戶端通過對(duì)用戶終端設(shè)備信息的搜集，可預(yù)先識(shí)別和防止用戶對(duì)網(wǎng)絡(luò)的惡意行為，排除潛在的已知和未知的安全風(fēng)險(xiǎn)。

2.統(tǒng)一安全管理平臺(tái)的工作原理

統(tǒng)一安全管理平臺(tái)的工作原理如圖2所示。

統(tǒng)一安全管理平臺(tái)系統(tǒng)實(shí)現(xiàn)終端用戶安全準(zhǔn)入的工作流程如下：

(1)用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過安全客戶端上傳用戶信息至用戶認(rèn)證服務(wù)器進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。

(2)合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全管理平臺(tái)驗(yàn)證補(bǔ)丁版本、病毒庫(kù)版本等信息是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)。

(3)進(jìn)入隔離區(qū)的用戶可以根據(jù)企業(yè)網(wǎng)絡(luò)安全策略，通過安全修復(fù)系統(tǒng)安裝系統(tǒng)補(bǔ)丁、升級(jí)病毒庫(kù)、檢查終端系統(tǒng)信息，直到接入終端符合企業(yè)網(wǎng)絡(luò)安全策略。

(4)安全狀態(tài)合格的用戶將實(shí)施由安全管理平臺(tái)下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)。

四、結(jié)束語(yǔ)

保障Intranet安全、有效運(yùn)行，是一項(xiàng)復(fù)雜的系統(tǒng)工程。它既是一個(gè)技術(shù)問題，但更是一個(gè)管理問題，所謂“三分技術(shù)，七分管理”。所以，除了采用上述技術(shù)措施之外，加強(qiáng)網(wǎng)絡(luò)安全的管理：制定有關(guān)規(guī)章制度；確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施；對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面的安全問題，進(jìn)行安全教育，提高工作人員的保密觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能等，也將起到十分有效的作用。

參考文獻(xiàn)：

[1]思科系統(tǒng)網(wǎng)絡(luò)技術(shù)有限公司.思科自防御網(wǎng)絡(luò)[EB/OL]. [2006-04-03].

篇5

關(guān)鍵詞:計(jì)算機(jī) 網(wǎng)絡(luò)

1 計(jì)算機(jī)網(wǎng)絡(luò)的安全性非常脆弱

由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)本身存在著諸多的安全弱點(diǎn)和軟件漏洞等缺陷,加上一些人為制造的因素,使得網(wǎng)絡(luò)信息的安全性受到很大威脅。

首先,TCP/IP的協(xié)議集就存在先天性的安全缺陷。比如:大部分的低層協(xié)議在局域網(wǎng)中都是使用廣播方式進(jìn)行數(shù)據(jù)傳輸,于是在局域網(wǎng)上的任何一臺(tái)機(jī)器都有可能竊聽到廣播方式發(fā)送的數(shù)據(jù)包;從而很輕易的從系統(tǒng)的“后門”進(jìn)行攻擊和入侵。

其次,由于信息安全還處在發(fā)展的初級(jí)階段,當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全受到威脅或入侵時(shí),系統(tǒng)管理人員缺少應(yīng)有的安全管理和正確的安全對(duì)策。這也形成了計(jì)算機(jī)網(wǎng)絡(luò)的諸多安全隱患。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅

通常對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有以下三個(gè)方面:(1)自然因素。主要指由于地震、雷擊、洪水等其他不可抗拒的自然災(zāi)害造成的損害,以及因計(jì)算機(jī)硬件和網(wǎng)絡(luò)設(shè)備的自然磨損或老化造成的損失。主要破壞了信息的完整性及可用性。(2) 操作失誤。由于管理人員或操作員的操作失誤,導(dǎo)致文件被刪除,磁盤被格式化,或因?yàn)榫W(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的設(shè)置不夠嚴(yán)謹(jǐn)造成的安全漏洞,用戶的安全意識(shí)不夠等,都會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)的安全帶來威脅。(3) 外部攻擊。一般可分為兩種,一種是對(duì)網(wǎng)絡(luò)進(jìn)行攻擊:利用操作系統(tǒng)或應(yīng)用軟件的漏洞進(jìn)行攻擊以破壞對(duì)方信息的有效性或完整性;另一種是網(wǎng)絡(luò)偵察:在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、破譯、竊取以獲得重要的機(jī)密信息。

3 網(wǎng)絡(luò)攻擊的方式及發(fā)展趨勢(shì)

(1)拒絕服務(wù)攻擊。拒絕服務(wù)攻擊的主要目的是使計(jì)算機(jī)及網(wǎng)絡(luò)無法提供正常的服務(wù)。它會(huì)破壞計(jì)算機(jī)網(wǎng)絡(luò)的各種配置,消耗計(jì)算機(jī)及網(wǎng)絡(luò)中各種有限資源等。(2)欺騙式攻擊。欺騙式攻擊不是利用軟件的漏洞進(jìn)行攻擊,而是重點(diǎn)誘騙終端用戶進(jìn)行攻擊。TCP/IP協(xié)議存在著很多缺陷和漏洞,攻擊者利用這些漏洞進(jìn)行攻擊,或者進(jìn)行DNS欺騙和Web欺騙。(3)通過協(xié)同工具進(jìn)行攻擊。各種協(xié)同工具的使用,可能導(dǎo)致泄漏機(jī)密商業(yè)數(shù)據(jù)。(4)對(duì)手機(jī)等移動(dòng)設(shè)備的攻擊。近年來,手機(jī)、PDA及其他無線設(shè)備感染惡意軟件的數(shù)量在激增,但因?yàn)槠涫褂煤蛡鞑サ囊恍┨攸c(diǎn)還沒有導(dǎo)致大規(guī)模爆發(fā)。但隨著WAP網(wǎng)和無線上網(wǎng)的發(fā)展,此類攻擊也會(huì)越來越普遍。(5)電子郵件攻擊。隨著電子郵件在工作和生活中的普遍使用,利用電子郵件進(jìn)行的攻擊也越來越多。這些攻擊常常針對(duì)政府部門、軍事機(jī)構(gòu)及其他大型組織。

4 網(wǎng)絡(luò)信息安全的技術(shù)保障策略

存在安全隱患的網(wǎng)絡(luò)一旦遭到黑客的惡意攻擊,將可能造成巨大的損失。網(wǎng)絡(luò)信息安全是一項(xiàng)系統(tǒng)工程,需要從法律制度、管理、技術(shù)上采取綜合措施,才能取得較好的安全效果。目前,技術(shù)仍是最直接有效的的措施。主要的安全技術(shù)保障策略主要有以下幾種:

(1)加密與解密技術(shù)。信息加密是網(wǎng)絡(luò)與信息安全保密的重要基礎(chǔ)。它是將原文用某種特定方式或規(guī)則進(jìn)行重新編排,使其變?yōu)橐话闳藷o法閱讀理解的密文。當(dāng)前比較成熟的加密方法有:替換加密、移位加密、序列密碼、一次性密碼本加密等。加密可以有效地對(duì)抗信息泄露、黑客非法訪問等威脅。

(2)身份鑒別。對(duì)實(shí)體聲稱的身份進(jìn)行惟一性識(shí)別,以便驗(yàn)證其訪問請(qǐng)求,或保證信息來源以驗(yàn)證消息的完整性,有效地對(duì)抗非法入侵訪問、冒充、重演等威脅。鑒別的方式很多;利用通行字、密鑰、訪問控制機(jī)制等鑒別用戶身份,防止冒充、非法訪問等,當(dāng)今最佳的身份鑒別方法是數(shù)字簽名。

(3)網(wǎng)絡(luò)訪問控制策略。訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要措施,是保證網(wǎng)絡(luò)安全最重要的核心策略之一。其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。一般采用基于資源的集中式控制、基于資源和目的地址的過濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來實(shí)現(xiàn)。目前進(jìn)行網(wǎng)絡(luò)訪問控制的主要方法主要有:MAC 地址過濾、VLAN 隔離、IEEE802.1Q 身份驗(yàn)證、基于IP 地址訪問控制列表和防火墻控制等。

(4)物理安全策略。保護(hù)路由器、交換機(jī)、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受非人為及人為因素的破壞和攻擊。

5 主要防范措施

目前網(wǎng)絡(luò)安全系統(tǒng)常用的防范措施主要有:防火墻技術(shù)、病毒防治技術(shù)、安全入侵檢測(cè)與預(yù)警技術(shù)、路由器技術(shù)等。

(1)防火墻技術(shù)。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。通常來說,防火墻的許多配置仍然需要網(wǎng)絡(luò)管理員進(jìn)行手工修改,如果管理員對(duì)防火墻不是特別熟悉,就有可能在配置過程中存在的安全漏洞。

(2)修補(bǔ)系統(tǒng)安全漏洞。Windows 提供了很多服務(wù),但是由于一些網(wǎng)絡(luò)服務(wù)或協(xié)議自身存在的許多安全漏洞。Telnet 就是一個(gè)非常典型的例子! 在Windows2000 操作系統(tǒng)中是這樣解釋Telnet 服務(wù)的:“允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序”。也就是說Telnet 可以被用于進(jìn)行各種各樣的入侵活動(dòng)。平時(shí)應(yīng)該禁止這類服務(wù),需要時(shí)才打開它。Windows 還有許多服務(wù),可以根據(jù)自己實(shí)際情況禁用一些不必要的服務(wù),除了可以減少安全隱患,還可以增加Windows 運(yùn)行速度。

(3)注意防病毒監(jiān)控。網(wǎng)絡(luò)病毒無處不在,一旦被感染,就會(huì)嚴(yán)重影響網(wǎng)絡(luò)正常使用, 甚至帶來巨大損失。在互聯(lián)網(wǎng)環(huán)境下,必須選擇一個(gè)全方位防病毒產(chǎn)品,一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種操作系統(tǒng)的防病毒軟件,針對(duì)網(wǎng)絡(luò)中所有可能存在的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)防病毒軟件,通過全方位多層次防病毒系統(tǒng)的配置,通過定期或不定期自動(dòng)升級(jí), 使網(wǎng)絡(luò)免受病毒的侵襲。

篇6

關(guān)鍵詞 局域網(wǎng) 信息安全問題 有效保障策略

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，越來越多的企事業(yè)單位組建了內(nèi)部局域網(wǎng)，實(shí)現(xiàn)了信息數(shù)據(jù)快速集中、傳遞和共享，極大地提高了工作效率。與此同時(shí)，局域網(wǎng)開放共享的特點(diǎn)，很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問和攻擊。所以，局域網(wǎng)管理者必須關(guān)注局域網(wǎng)存在的信息安全問題，尋求保障局域網(wǎng)信息安全的有效策略。

1 局域網(wǎng)存在的信息安全問題

相對(duì)廣域網(wǎng)絡(luò)比較完善的安全防御體系，局域網(wǎng)對(duì)網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)客戶端的安全威脅缺乏必要防范措施，導(dǎo)致許多信息安全問題。

（1）局域網(wǎng)最大的特點(diǎn)是內(nèi)網(wǎng)資源共享，這種共享資源的“數(shù)據(jù)開放性”也給未經(jīng)授權(quán)的外部網(wǎng)絡(luò)設(shè)備或用戶通過局域網(wǎng)的網(wǎng)絡(luò)設(shè)備自動(dòng)進(jìn)入網(wǎng)絡(luò)提供了有效的通道，極易導(dǎo)致內(nèi)網(wǎng)數(shù)據(jù)信息的泄露、篡改和刪除。

（2）許多內(nèi)網(wǎng)用戶缺乏網(wǎng)絡(luò)安全方面的知識(shí)和手段，不經(jīng)意間下載安裝了欺騙性的軟件，而類似的軟件往往附帶病毒，如果局域網(wǎng)中服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立保護(hù)，只要內(nèi)網(wǎng)中一臺(tái)電腦感染病毒，就會(huì)感染服務(wù)器，并使得局域網(wǎng)中任何一臺(tái)通過服務(wù)器信息傳遞的電腦，都可能會(huì)感染病毒，相應(yīng)使數(shù)據(jù)安全性降低。

（3）許多內(nèi)網(wǎng)用戶使用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)傳遞，可能將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng)，同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這就給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。

（4）為管理方便，一般來說，局域網(wǎng)管理者為每個(gè)上網(wǎng)計(jì)算機(jī)終端分配一個(gè)賬號(hào)，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容，用不正常的手段竊取別人的口令，造成了網(wǎng)絡(luò)管理的混亂，也可能造成重要文件數(shù)據(jù)的外流。

2 保障局域網(wǎng)信息安全的有效策略

從保證局域網(wǎng)信息網(wǎng)安全的層面看，安全策略決定采用何種方式和手段來保證網(wǎng)絡(luò)系統(tǒng)的安全。目前廣泛運(yùn)用和比較成熟的局域網(wǎng)安全保障策略包括以下方面：

（1）強(qiáng)化用戶安全意識(shí)策略。局域網(wǎng)信息安全匯集了硬件、軟件、網(wǎng)絡(luò)、人員諸多因素，而人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)。所以必須強(qiáng)化網(wǎng)絡(luò)用戶的安全防范意識(shí)，讓每個(gè)用戶都明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。使計(jì)算機(jī)使用者掌握一定的安全知識(shí)，樹立良好的計(jì)算機(jī)使用習(xí)慣。

（2）防火墻技術(shù)策略。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問監(jiān)察的安全應(yīng)用措施。主要用來隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，加強(qiáng)網(wǎng)絡(luò)之間訪問控制，限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。

（3）數(shù)據(jù)加密策略。數(shù)據(jù)加密就是對(duì)信息進(jìn)行重新編碼，將明文數(shù)據(jù)經(jīng)過變序或替換變成密文數(shù)據(jù)，應(yīng)用時(shí)再將密文數(shù)據(jù)轉(zhuǎn)換成明文數(shù)據(jù)輸出，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)，一個(gè)加密系統(tǒng)包括明文集合、密文集合、密鑰集合和算法，其中密鑰和算法構(gòu)成了加密系統(tǒng)的基本單元，算法是一些公式、法則或程序，規(guī)定了明文與密文之間的變換方法，密鑰則可以看作算法中的參數(shù)。

（4）漏洞掃描策略。漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全的技術(shù)。掃描程序利用已經(jīng)掌握的網(wǎng)絡(luò)攻擊方法，并把它們集成到整個(gè)掃描中，通過查詢TCP/IP各種服務(wù)的端口，探測(cè)本地主機(jī)系統(tǒng)和遠(yuǎn)端系統(tǒng)信息，對(duì)網(wǎng)絡(luò)模擬攻擊，記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息，可以在很短的時(shí)間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全脆弱點(diǎn)，并以統(tǒng)計(jì)的格式輸出，從而幫助網(wǎng)絡(luò)安全管理員準(zhǔn)確地掌握網(wǎng)絡(luò)安全狀況 。

（5）入侵檢測(cè)策略。入侵檢測(cè)基于在不影響網(wǎng)絡(luò)性能情況下對(duì)網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行的檢測(cè)，實(shí)現(xiàn)對(duì)局域網(wǎng)信息的實(shí)時(shí)監(jiān)聽，識(shí)別出任何不希望發(fā)生的網(wǎng)絡(luò)活動(dòng)，發(fā)現(xiàn)對(duì)系統(tǒng)的闖入或者對(duì)系統(tǒng)的威脅，檢測(cè)局域網(wǎng)絡(luò)中違反安全策略的行為，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，保證信息系統(tǒng)的資源不受攻擊。

（6）網(wǎng)絡(luò)安全可視化策略。網(wǎng)絡(luò)安全可視化利用人類視覺對(duì)模型和結(jié)構(gòu)的獲取能力，將海量高維抽象網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)以圖形圖像形式表現(xiàn)出來，實(shí)時(shí)顯示網(wǎng)絡(luò)通信的特殊信息，反映目前整個(gè)局域網(wǎng)絡(luò)的運(yùn)行狀態(tài)，并以一種人性化的方式將網(wǎng)絡(luò)上存在的安全風(fēng)險(xiǎn)準(zhǔn)確地告知管理員，使網(wǎng)絡(luò)安全防護(hù)變得更智能、更積極、更主動(dòng)。

保證安全是局域網(wǎng)應(yīng)用與維護(hù)的重要前提。要生成一個(gè)高效、通用、安全的局域網(wǎng)絡(luò)信息系統(tǒng)，我們必須仔細(xì)考慮系統(tǒng)的安全需求，采取強(qiáng)有力的網(wǎng)絡(luò)安全技術(shù)手段，認(rèn)真研究局域網(wǎng)絡(luò)安全技術(shù)的新趨勢(shì)，構(gòu)建一個(gè)完善的安全保護(hù)體系，才能保證局域網(wǎng)絡(luò)系統(tǒng)安全、可靠地正常運(yùn)行。

參考文獻(xiàn)

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；入侵檢測(cè)技術(shù)；PKI技術(shù)

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2011）012013902

作者簡(jiǎn)介：宗波(1984-)，男，江西宜春人，碩士，江西宜春學(xué)院助教，研究研究方向?yàn)榫W(wǎng)絡(luò)安全。

0引言

隨著高校校園網(wǎng)的普及，尤其是高校校園網(wǎng)上的網(wǎng)絡(luò)應(yīng)用變得越來越多，在帶來了巨大信息量的同時(shí)，網(wǎng)絡(luò)的不確定性也帶來了私有信息和數(shù)據(jù)被盜取和破壞的可能，校園網(wǎng)絡(luò)信息的安全性變得日益重要起來。

校園網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防入侵、防火墻等多個(gè)安全技術(shù)組成，單個(gè)技術(shù)都無法確保網(wǎng)絡(luò)信息的全方位的安全。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、入侵檢測(cè)技術(shù)、PKI技術(shù)等，以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。

1防火墻技術(shù)

防火墻技術(shù)，最初是針對(duì) Internet 網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。

2入侵檢測(cè)技術(shù)

對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類：一種基于標(biāo)志（signaturebased），另一種基于異常情況（anomalybased）。

對(duì)于基于標(biāo)識(shí)的檢測(cè)技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測(cè)主要判別這類特征是否在所收集到的數(shù)據(jù)中出現(xiàn)。此方法非常類似殺毒軟件。

而基于異常的檢測(cè)技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計(jì)的辦法得出），然后將系統(tǒng)運(yùn)行時(shí)的數(shù)值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測(cè)方式的核心在于如何定義所謂的“正常”情況。

兩種檢測(cè)技術(shù)的方法、所得出的結(jié)論有非常大的差異。基于異常的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)知識(shí)庫(kù)。對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且知識(shí)庫(kù)必須不斷更新?；诋惓５臋z測(cè)技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。

3PKI技術(shù)

PKI(Publie Key Infrastucture)技術(shù)就是一個(gè)用公鑰概念和技術(shù)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)，目的是為了管理密鑰和證書。一個(gè)機(jī)構(gòu)通過采用PKI 框架管理密鑰和證書可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。PKI 主要包括四個(gè)部分：X.509 格式的證書（X.509 V3）和證書廢止列表CRL（X.509 V2）；CA 操作協(xié)議；CA 管理協(xié)議；CA 政策制定。一個(gè)典型、完整、有效的PKI 應(yīng)用系統(tǒng)至少應(yīng)具有以下5個(gè)部分：

（1）認(rèn)證中心。認(rèn)證中心CA：CA是PKI 的核心，CA負(fù)責(zé)管理PKI 結(jié)構(gòu)下的所有用戶（包括各種應(yīng)用程序）的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗(yàn)證用戶的身份，CA還要負(fù)責(zé)用戶證書的黑名單登記和黑名單，后面有CA的詳細(xì)描述。

（2）X.500 目錄服務(wù)器 。X.500 目錄服務(wù)器用于用戶的證書和黑名單信息，用戶可通過標(biāo)準(zhǔn)的LDAP 協(xié)議查詢自己或其他人的證書和下載黑名單信息。

（3）高強(qiáng)度密碼算法。具有高強(qiáng)度密碼算法(SSL)的安全WWW服務(wù)器 Secure socket layer(SSL)協(xié)議最初由Netscape 企業(yè)發(fā)展，現(xiàn)已成為網(wǎng)絡(luò)用來鑒別網(wǎng)站和網(wǎng)頁(yè)瀏覽者身份，以及在瀏覽器使用者及網(wǎng)頁(yè)服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。

（4）Web（安全通信平臺(tái)）。Web 有Web Client 端和Web Server 端兩部分，分別安裝在客戶端和服務(wù)器端，通過具有高強(qiáng)度密碼算法的SSL 協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機(jī)密性、完整性、身份驗(yàn)證。

（5）自開發(fā)安全應(yīng)用系統(tǒng)。自開發(fā)安全應(yīng)用系統(tǒng)是指各行業(yè)自開發(fā)的各種具體應(yīng)用系統(tǒng)，例如銀行、證券的應(yīng)用系統(tǒng)等。完整的PKI 包括認(rèn)證政策的制定（包括遵循的技術(shù)標(biāo)準(zhǔn)、各CA 之間的上下級(jí)或同級(jí)關(guān)系、安全策略、安全程度、服務(wù)對(duì)象、管理原則和框架等）、認(rèn)證規(guī)則、運(yùn)作制度的制定、所涉及的各方法律關(guān)系內(nèi)容以及技術(shù)的實(shí)現(xiàn)等。

4結(jié)束語(yǔ)

高校校園網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬(wàn)能的。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實(shí)時(shí)地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。

參考文獻(xiàn)：

[1]張海燕.淺談校園網(wǎng)安全技術(shù)[J].青海社會(huì)科學(xué)，2008(3).

[2]鄒麗英,孫小權(quán).淺談校園網(wǎng)絡(luò)規(guī)劃中的安全設(shè)計(jì)[J].實(shí)驗(yàn)技術(shù)與管理,2006(4).

[3]楊竣輝,黃嬋.高校校園網(wǎng)絡(luò)安全建設(shè)的思考[J].教育信息化,2006(7).

篇8

1、網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場(chǎng)革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給我們的生活帶來了很大的便利，而且正在創(chuàng)造著巨大的財(cái)富，以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。

與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)，網(wǎng)頁(yè)被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子郵件、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、電子商務(wù)入侵和盜竊等，都造成了各種危害，包括機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)站頁(yè)面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息安全問題日益突出，已經(jīng)成為影響國(guó)家安全、社會(huì)穩(wěn)定和人民生活的大事，發(fā)展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對(duì)應(yīng)的網(wǎng)絡(luò)安全技術(shù)，保障網(wǎng)絡(luò)安全、有序和有效的運(yùn)行，是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。

2、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識(shí)別的網(wǎng)絡(luò)協(xié)議基礎(chǔ)之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合，協(xié)議本身和應(yīng)用都有可能存在問題，網(wǎng)絡(luò)安全問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題，也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題，當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)安全問題，下表示意說明了這些方面的網(wǎng)絡(luò)安全問題。

問題類型問題點(diǎn)問題描述

協(xié)議設(shè)計(jì)安全問題被忽視制定協(xié)議之時(shí)，通常首先強(qiáng)調(diào)功能性，而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎(chǔ)協(xié)議問題架構(gòu)在其他不穏固基礎(chǔ)協(xié)議之上的協(xié)議，即使本身再完善也會(huì)有很多問題。

流程問題設(shè)計(jì)協(xié)議時(shí)，對(duì)各種可能出現(xiàn)的流程問題考慮不夠周全，導(dǎo)致發(fā)生狀況時(shí)，系統(tǒng)處理方式不當(dāng)。

設(shè)計(jì)錯(cuò)誤協(xié)議設(shè)計(jì)錯(cuò)誤，導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

軟件設(shè)計(jì)設(shè)計(jì)錯(cuò)誤協(xié)議規(guī)劃正確，但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤，導(dǎo)致各種安全漏洞。

程序錯(cuò)誤程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞，包含常見的未檢查資料長(zhǎng)度內(nèi)容、輸入資料容錯(cuò)能力不足、未檢測(cè)可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測(cè)資源不足等。

人員操作操作失誤操作規(guī)范嚴(yán)格且完善，但是操作人員未受過良好訓(xùn)練、或未按手冊(cè)操作，導(dǎo)致各種安全漏洞和安全隱患。

系統(tǒng)維護(hù)默認(rèn)值不安全軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué)，導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補(bǔ)系統(tǒng)軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。

內(nèi)部安全問題對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng)，成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

針對(duì)上表所示的各種網(wǎng)絡(luò)安全問題，全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來防范這些問題，這些技術(shù)包括訪問控制技術(shù)、識(shí)別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全和抗抵賴協(xié)議等，相繼陸續(xù)推出了包括防火墻、入侵檢測(cè)（IDS）、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件，這些技術(shù)和安全系統(tǒng)（軟件）對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范，一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。

3、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對(duì)網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的，它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題，無法防范和解決其他的問題，更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題，但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題，而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)和系統(tǒng)的危害，但卻無法識(shí)別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過濾防火墻，狀態(tài)檢測(cè)包過濾防火墻和應(yīng)用層防火墻，但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí)，防火墻還存在著一些弱點(diǎn)：

一、不能防御來自內(nèi)部的攻擊：來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的，他們的攻擊行為不通過防火墻，而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī)，監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的通信，而對(duì)內(nèi)部網(wǎng)上的情況不作檢查，因而對(duì)內(nèi)部的攻擊無能為力；

二、不能防御繞過防火墻的攻擊行為：從根本上講，防火墻是一種被動(dòng)的防御手段，只能守株待兔式地對(duì)通過它的數(shù)據(jù)報(bào)進(jìn)行檢查，如果該數(shù)據(jù)由于某種原因沒有通過防火墻，則防火墻就不會(huì)采取任何的措施；

三、不能防御完全新的威脅：防火墻只能防御已知的威脅，但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法，可信賴的服務(wù)就變成不可信賴的了；

四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊：雖然防火墻掃描分析所有通過的信息，但是這種掃描分析多半是針對(duì)IP地址和端口號(hào)或者協(xié)議內(nèi)容的，而非數(shù)據(jù)細(xì)節(jié)。這樣一來，基于數(shù)據(jù)驅(qū)動(dòng)的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。

入侵檢測(cè)技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重，它不能稱之為一個(gè)可以信賴的安全工具，而只是一個(gè)參考工具。

在沒有更為有效的安全防范產(chǎn)品之前，更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來保障自己的網(wǎng)絡(luò)安全，然而相對(duì)應(yīng)的是，新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮，攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來越多，因此，開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng)，已經(jīng)成為各網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。

4發(fā)展趨勢(shì)：

中國(guó)的網(wǎng)絡(luò)安全技術(shù)在近幾年得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù)，不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品，進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

從技術(shù)層面來看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題，安全防護(hù)已經(jīng)從底層或簡(jiǎn)單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語(yǔ)義范疇，越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

4.1、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測(cè)技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”?？梢哉f，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。首先，從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次，未經(jīng)大規(guī)模部署的入侵檢測(cè)單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

再次，雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語(yǔ)義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

4.2、技術(shù)發(fā)展趨勢(shì)分析

.防火墻技術(shù)發(fā)展趨勢(shì)

在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢(shì)將得到越來越多的體現(xiàn)，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術(shù)應(yīng)運(yùn)而生。

從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對(duì)安全管理的深刻理解以及對(duì)安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。

UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時(shí)，UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)了多種防御功能，因此，向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢(shì)。UTM設(shè)備應(yīng)具備以下特點(diǎn)。

（1）網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。

（2）通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高，將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。

（3）有高可靠性、高性能的硬件平臺(tái)支撐。

（4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。

二網(wǎng)絡(luò)安全面臨的主要問題

1.網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識(shí)，從而就不可能采取主動(dòng)的安全措施加以防范，完全處于被動(dòng)挨打的位置。

2.組織和部門的有關(guān)人員對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀不明確，不知道或不清楚網(wǎng)絡(luò)存在的安全隱患，從而失去了防御攻擊的先機(jī)。

3.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu)，其缺陷給攻擊者以可乘之機(jī)。

4.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系，從而導(dǎo)致安全體系和安全控制措施不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在安全疏漏，造成不必要的信息泄露，給攻擊者以收集敏感信息的機(jī)會(huì)。

5.網(wǎng)絡(luò)安全管理人員和技術(shù)有員缺乏必要的專業(yè)安全知識(shí)，不能安全地配置和管理網(wǎng)絡(luò)，不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題，對(duì)突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)。

三網(wǎng)絡(luò)安全的解決辦法

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過程是復(fù)雜的。這個(gè)復(fù)雜的過程需要嚴(yán)格有效的管理才能保證整個(gè)過程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此，建立組織的安全管理體系是網(wǎng)絡(luò)安全的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的安全體系結(jié)構(gòu)，把組織和部門的所有安全措施和過程通過管理的手段融合為一個(gè)有機(jī)的整體。安全體系結(jié)構(gòu)由許多靜態(tài)的安全控制措施和動(dòng)態(tài)的安全分析過程組成。

1.安全需求分析"知已知彼，百戰(zhàn)不殆"。只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

2.安全風(fēng)險(xiǎn)管理安全風(fēng)險(xiǎn)管理是對(duì)安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，以組織和部門可以接受的投資，實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評(píng)估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.制定安全策略根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論，制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

4.定期安全審核安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次，由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程，組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門對(duì)安全的需求也會(huì)發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

5.外部支持計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

6.計(jì)算機(jī)網(wǎng)絡(luò)安全管理安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié)，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件。

篇9

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測(cè)系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長(zhǎng)莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶――企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲對(duì)系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測(cè)技術(shù)也不能獨(dú)立有效地完成安全防護(hù)，特別是對(duì)新類型新變種的病毒、蠕蟲，防護(hù)技術(shù)總要相對(duì)落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險(xiǎn)應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級(jí)；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動(dòng)用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個(gè)軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會(huì)給企業(yè)帶來危害，輕者危及個(gè)別設(shè)備，重者成為攻擊整個(gè)企業(yè)網(wǎng)絡(luò)媒介，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強(qiáng)的安全配置設(shè)置，例如，賬號(hào)策略、審核策略、屏保策略、匿名訪問限制、建立撥號(hào)連接限制等等。這些安全配置的正確應(yīng)用對(duì)于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時(shí)可能嚴(yán)重為配置漏洞，完全暴露給整個(gè)外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強(qiáng)制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問用戶的身份被確認(rèn)后，用戶即可以對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問操作。在這樣一個(gè)訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動(dòng)用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號(hào)、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個(gè)安全通道。

另一個(gè)傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對(duì)于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬(wàn)的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對(duì)于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實(shí)導(dǎo)致安全隱患的產(chǎn)生：?jiǎn)T工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對(duì)于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬(wàn)無一失的把握;對(duì)于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動(dòng)用戶來說，安全保障就會(huì)嚴(yán)重惡化，當(dāng)移動(dòng)用戶連接到企業(yè)內(nèi)網(wǎng)，就會(huì)將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計(jì)算機(jī)安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會(huì)在企業(yè)專網(wǎng)以外使用計(jì)算機(jī)辦公，同時(shí)這些移動(dòng)員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動(dòng)用戶處于專網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時(shí)，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補(bǔ)丁程序、安全配置等）若處于不正常運(yùn)行狀態(tài)，終端員工沒有及時(shí)更新病毒特征庫(kù)，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實(shí)施策略

1.多層次的病毒、蠕蟲防護(hù)

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個(gè)根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫(kù)未及時(shí)升級(jí)等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對(duì)新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對(duì)不同的原因采取有針對(duì)性的切實(shí)有效的防護(hù)辦法，就會(huì)使病毒、蠕蟲對(duì)企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡(jiǎn)單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。

2.終端用戶透明、自動(dòng)化的補(bǔ)丁管理，安全配置

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)企業(yè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺(tái)集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，定義終端補(bǔ)丁下載。將補(bǔ)丁升級(jí)策略、增強(qiáng)終端系統(tǒng)安全配置策略下發(fā)給運(yùn)行于各終端設(shè)備上的安全，安全執(zhí)行這些策略，以保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過程都是自動(dòng)完成的，對(duì)終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時(shí)對(duì)傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護(hù)措施，而采用邊界準(zhǔn)入控制、接入層準(zhǔn)入控制等技術(shù)進(jìn)行全面的實(shí)現(xiàn)準(zhǔn)入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時(shí)，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對(duì)于符合的外網(wǎng)訪問則放行。一個(gè)全面的網(wǎng)絡(luò)準(zhǔn)入檢測(cè)系統(tǒng)。

4.終端設(shè)備安全完整性保證

篇10

[論文摘要]隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出，探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大。而網(wǎng)絡(luò)安全問題顯得越來越重要了。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

一、網(wǎng)絡(luò)的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭(zhēng)仍將繼續(xù)。在這樣的斗爭(zhēng)中，安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：

（一）每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如，NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。

（三）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個(gè)問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類入侵行為，防火墻是無法發(fā)覺的，因?yàn)閷?duì)于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請(qǐng)求鏈接中多加了一個(gè)后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對(duì)新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí)，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

二、網(wǎng)絡(luò)安全的主要技術(shù)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線。

（一）認(rèn)證

對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問，使用認(rèn)證機(jī)制還可以防止合法用戶訪問他們無權(quán)查看的信息。

（二）數(shù)據(jù)加密

加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對(duì)稱密匙加密，因?yàn)橛脕砑用苄畔⒌拿艹拙褪墙饷苄畔⑺褂玫拿艹?。私匙加密為信息提供了進(jìn)一步的緊密性，它不提供認(rèn)證，因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快，很容易在硬件和軟件中實(shí)現(xiàn)。

2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個(gè)密匙加密和解密，而公匙加密使用兩個(gè)密匙，一個(gè)用于加密信息，另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

（三）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動(dòng)態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù)，它們的安全級(jí)別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測(cè)技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實(shí)現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個(gè)系統(tǒng)（路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī)）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

（五）虛擬專用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制，這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號(hào)VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

（六）其他網(wǎng)絡(luò)安全技術(shù)

1．智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實(shí)智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個(gè)口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。

2．安全脆弱性掃描技術(shù)，它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

3．網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

5．Web，Email，BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告，采取措施。