前言:中文期刊網精心挑選了機房網絡安全方案范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
機房網絡安全方案范文1
關鍵詞:企業網絡;安全;病毒;物理
在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫院
機房網絡安全方案范文2
1計算機網絡安全的概述
計算機網絡安全涉及計算機科學、網絡技術、信息技術、密碼技術、信息安全技術等綜合性科學。總體上看,計算機網絡安全可以分為兩大方面:計算機網絡攻擊技術和計算機網絡防御技術。
2計算機網絡安全風險分析
我化工廠,所有車間均有計算機,在日常辦公中,需要進行一些操作,這就存在一定的網絡安全隱患。導致網絡不安全的因素主要來自于兩個方面:第一是人為因素和自然災害因素。第二是網絡體系結構本身存在的安全缺陷。
(1)人為因素是指人為入侵和攻擊,破壞網絡的正常運行。利用計算機病毒,在網絡中傳播,破壞單位和個人的計算機系統,盜取秘密資料和個人信息,從事違法犯罪活動。如果單位的資料被盜取或是毀壞,那就會造成嚴重的生產隱患,影響產品市場的競爭。
自然災害因素是指水災、雷電、地震、火災等,以及環境溫度、濕度、污染的影響。
(2)網絡體系結構本身存在的安全缺陷是指網絡操作系統的不完善、IP協議的不安全性、網絡信息資源共享、信息數據文件傳輸和通訊、計算機病毒等。
針對我單位實際情況,無論是辦公用計算機,還是生產所用DCS計算機,都存在以下幾種隱患:
(1)文件傳輸攜帶計算機病毒:計算機病毒就是指自我復制能力的計算機程序,它可以直接影響軟、硬件的正常運行,破壞系統數據的正確性和完整性。計算機病毒有很多種,它們各自有各自的特點,可以引起格式化磁盤、改寫文件分配表、刪除或復制重要資料、干擾系統的運行速度等。
(2)網絡資源共享:這種網絡資源共享為非法用戶竊取信息、破壞信息創造了條件,非法用戶可以通過終端或結點進行非法手段。
(3)登陸外網。
(4)計算機的使用權限開放。
3網絡安全解決方案
3.1主機安全加固技術
將主機與不需要連接的部分斷開,常見方法,關閉端口。
3.2防火墻隔離控制技術:
防火墻指隔離在本地網絡與外界網絡之間一道防御系統。它是非常有效的安全防御系統,可以隔離風險區域與安全區域的連接,同時不會妨礙安全區域對風險區域的訪問。
常用的防火墻技術有過濾技術、狀態監測技術、應用網關技術。
(1)過濾技術是在網絡層中對數據包實時有選擇的通過。
(2)狀態監測技術采用的是一種基于連接的狀態監測機制,將屬于同一種連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別。
(3)應用網關技術是使用一個特殊的通信數據安全監察軟件的工作站來連接被保護網絡和其他網路。
3.3計算機防病毒技術
通過一定技術防止計算機病毒對系統的傳染和破壞。預防病毒的技術有:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術。
3.4訪問控制技術
按用戶身份及其歸屬的某項定義組來限制用戶對某些信息的訪問,或者限制對某些功能控制技術,訪問控制通常用作管理員控制用戶對服務器等網絡資源的訪問。
3.5數據傳輸加密技術
對傳輸中的數據流加密,常用的方法有線路加密和端對端加密。線路加密不考慮信源和信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護。端對端加密指信息由發送者端通過專用的加密軟件,采用某種加密技術隊所發送文件進行加密,把明文件加密成密文件,這些文件內容是一些看不懂的代碼。
3.6身份認證
計算機及計算機網絡系統中確認操作者身份的過程,從而確定該用戶是否具有對某種資源的訪問和使用權限。常見的認證形式:認證工具、靜態密碼、智能卡、短信密碼、動態口令、USB KEY等。
3.7數據庫的備份與恢復
數據庫的備份包括:(1)完全備份,這種備份形式需要花費更多的時間和空間,一般一周做一次完全備份。(2)事務日志備份,它是一個單獨的文件,記錄數據庫的變更,備份的時候只需要復制自上次備份以來對數據庫所做的改變,花費的時間較少,推薦每小時備份事務日志。(3)增量備份,它只備份數據庫的一部分,優點是存儲和恢復速度快,一般每天做一次增量備份。(4)文件備份,文件備份分為三種:冷備份,數據庫處于關閉狀態,保證數據庫備份的完整性。熱備份,數據庫處于運行狀態,依賴于數據庫的日志文件進行備份。邏輯備份,使用軟件從數據庫中提取數據并將結果寫到一個文件上。
當數據被病毒或侵入者破壞后,可以利用數據恢復軟件找回部分被刪除的數據,常用的軟件有Easy Recovery.
3.8入侵檢測技術
根據入侵檢測的信息來源不同,可以將入侵檢測系統分兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。基于主機的入侵檢測系統主要用于保護運行關鍵的服務器。基于網絡的入侵檢測系統主要用于實施監控網絡關鍵路徑的信息,監聽網絡上所有分組來采集數據,分析可疑現象。
機房網絡安全方案范文3
從本質上來說,網絡不但在企業處理各種人事與資產管理中起著重要的作用,其對于對外進行業務拓展,優化企業資源配置上也有重要幫助。但是網絡安全問題一直是影響企業信息安全,制約企業經濟效益提升的主要因素。因此,加強網絡安全風險評級技術的研究,提高網絡安全系數具有極其重要的現實意義。
【關鍵詞】網絡安全 風險防控 技術
目前,國外有關學者已經對網絡安全風險防控進行了相關理論研究,結合我國網絡安全的現狀,對我國制定網絡安全風險防控策略也具有現實指導意義,并且在此基礎上需要更多的創新形式,來進行網絡安全風險的防控工作,最終實現網絡安全風險防控目標。
1 網絡安全風險的特點
1.1 可預測性
從理論角度上講,個別風險的發生是偶然的,不可預知的,但通過對大量風險的觀察研究發現,風險往往呈現出明顯的規律性。網絡安全風險預測是網絡安全領域一個新興的研究熱點和難點,是預防大規模網絡入侵攻擊的前提和基礎,同時也是網絡安全風險感知過程中的一個必不可少的環節。為此,研究者建立了實時網絡安全風險概率預測的馬爾可夫時變模型,并基于此模型,給出了網絡安全風險概率的預測方法。這說明網絡安全風險呈現出規律性特征,借助于科學模型以及數理統計等方法,可在此基礎上進行預測性分析,這也為我們發現、評估、預測、規避網絡安全風險提供了理論支撐。
1.2 難以識別性
網絡安全風險與其他風險相區別的顯著特征在于它的載體依附性,網絡安全風險依附于網絡,產生于網絡,而網絡的復雜性、蔓延性、不可預測性特征也決定了網絡安全風險的難以識別。網絡安全風險廣泛存在于計算機網絡的各個層面,同時也潛伏在網絡使用的各個時期,由于網絡的虛擬性特征明顯,決定了網絡安全風險漏洞的識別是一項紛繁復雜的工作,需要對網絡整體進行篩選和發現,網絡安全風險的難以識別性使得網絡安全風險防控的成本增加。
1.3 交互性
互聯網作為平等自由的信息溝通平臺,信息的流動和交互是雙向式的,信息溝通雙方可以與另一方進行平等的交互。安全風險相伴互聯網互生,并且呈現出不同領域內互為交織的特點。例如,網絡一方面使得金融機構拓寬了業務范圍,但同時以網絡為中介的交易風險也增大,使其成為我國社會風險防控的重要組成部分。
2 網絡安全風險防控技術分析
2.1 防火墻技術
隨著人們網絡安全和防范意識的提高,網絡安全技術的研發速率也不斷增加,基本上實現了對多數網絡安全問題的防護與處理。尤其是在一些企業單位,為了保證內部信息安全,采用了多種安全防護技術,其中最為常用的是防火墻技術。設置防火墻后,能夠對對網絡上的訪問信息進行掃描和檢查,一旦檢測到非法的,或者未授權的訪問信息時,防火墻的安全防護系統啟動,自動清除這些非法訪問信息,以此保證網絡內外安全。從防火墻的工作原理上看,它屬于被動式安全防護技術,即只有非法或未授權信息出現時,才能發揮安全保護作用。
2.2 網絡掃描技術
在網絡安全風險評估中,最常用的技術手段就是網絡掃描技術。網絡掃描技術不僅能夠實時監控網絡動態,而且還可以將相關的信息自動收集起來。近年來,網絡掃描技術的使用更為廣泛和頻繁,相對于原有的防護機制來說,網絡掃描技術可以使網絡安全系數有效的提升,從而將網絡安全風險明顯的降低。由于網絡掃描技術作為一種主動出擊的方式,能夠主動的監測和判斷網絡安全隱患,并第一時間進行處理和調整,對惡意攻擊起到一個預先防范的作用。
3 網絡安全風險防控策略
3.1 完善應急預案設計
網絡安全風險具有不確定性,最典型的就是它的發生時間不固定,因此,做好網絡安全風險防控最重要的策略就是將網絡風險防控工作常態化。網絡安全風險防控需要一整套切實可行的、邏輯上具有連續性的預案設計,即網絡安全政策的建設。完整的網絡安全政策建設應包括以下幾個方面的內容:網絡安全風險的收集、網絡安全風險的分析研判、網絡安全的漏洞識別、網絡安全漏洞/脆弱點強化、網絡安全風險分層面控制、網絡安全風險點對點消除。
3.2 主動配合行業監管
目前,部分行業由于行業的特殊性質或者不愿意公開等理由,使得部分行業的操作處于不透明狀態。雖然行業有其自身保護機密不被侵犯的權利,但是這種不透明化也會給風險的防控設置阻礙。網絡安全風險防控與對象有著緊密聯系,針對不同行業的不同特點,防控的策略也不盡相同,因此,行業要實現網絡安全風險防控效果的最大化就應主動配合國家和政府的行業監管,使行業內能夠做到透明化的操作實現透明化。
3.3 強化行業部門協作
網絡安全風險防控是一個系統工程,需要各行各業以及行業的各個部門實現全方位的協作。而現實中網絡安全風險有時候也是由于信息傳遞滯后、上下級信息傳遞阻礙或者行業、部門不合作造成的,而它的存在不僅會造成網絡安全事故的發生,也會帶來一系列連鎖反應,事故得不到及時解決,會使得網絡安全風險持續存在并且持續升高,造成更加嚴重的后果。各個行業或者部門要想打破這種阻礙信息共享的障礙,必須加強溝通對話,在協調各方利益的基礎上,共謀網絡安全風險防控的策略框架。
4 結語
總而言之,網絡安全風險防控是當前社會的熱點議題。網絡技術的發展不僅給現代社會帶來巨大便利,同時也使得網絡攻擊日趨常態化,從而引發了一系列的網絡犯罪問題。只有網絡安全,國家才能安全。進行網絡安全風險的防控需要進行風險原因分析,把握網絡安全風險級別,識別風險漏洞。
參考文獻
機房網絡安全方案范文4
關鍵詞:電信;網絡安全;技術防護
從20世紀90年代至今,我國電信行業取得了跨越式發展,電信固定網和移動網的規模均居世界第一,網絡的技術水平也居世界前列。電信已經深入到人類生活的方方面面,和日常生活的結合越來越緊密。電信網的安全狀況直接影響這些基礎設施的正常運行。加強電信網絡的安全防護工作,是一項重要的工作。筆者結合工作實際,就電信網絡安全及防護工作做了一些思考。
1 電信網絡安全及其現狀
狹義的電信網絡安全是指電信網絡本身的安全性,按照網絡對象的不同包括了PSTN網絡的安全、IP/Internet網絡安全、傳輸網絡安全、電信運營商內部網絡安全等幾個方面;廣義的網絡安全是包括了網絡本身安全這個基本層面,在這個基礎上還有信息安全和業務安全的層面,幾個層面結合在一起才能夠為用戶提供一個整體的安全體驗。
電信運營商都比較重視網絡安全的建設,針對網絡特點、業務特點建立了系統的網絡安全保障體系。我國電信的網絡安全保障體系建設起步較早。2000年,原中國電信意識到網絡安全的重要性,并專門成立了相關的網絡安全管理部門,著力建立中國電信自己的網絡安全保障體系。安全保障體系分為管理體系和技術體系。在管理體系中,包括組織體系、策略體系和保障的機制,依據組織保障策略引導、保障機制支撐的原則。隨著網絡規模的不斷擴大和業務的突飛猛進,單靠純粹的管理和應急相應很難完成有關網絡安全方面的工作。為此,建立了網絡安全基礎支撐的平臺,也就是SOC平臺,形成了手段保障、技術保障和完備的技術管理體系,以完成中國電信互聯網的安全保障工作。這個系統通過幾個模塊協同工作,來完成對網絡安全事件的監控,完成對網絡安全工作處理過程中的支撐,還包括垃圾郵件獨立處理的支持系統。
然而,網絡安全是相對的。網絡開放互聯、設備引進、新技術引入、自然災害和突發事件的存在等,造成了網絡的脆弱性。當電信網絡由封閉的、基于電路交換的系統向基于開放、IP數據業務轉型中,安全問題更加暴露。從狹義的網絡安全層面看,隨著攻擊技術的發展,網絡攻擊工具的獲得越來越容易,對網絡發起攻擊變得容易;而運營商網絡分布越來越廣泛,這種分布式的網絡從管理上也容易產生漏洞,容易被攻擊。從廣義的網絡安全層面看,業務欺詐、垃圾郵件、違法違規的SP行為等,也是威脅網絡安全的因素。
2 電信網絡安全面臨的形勢及問題
2.1 互聯網與電信網的融合,給電信網帶來新的安全威脅
傳統電信網的業務網和支撐網是分離的。用戶信息僅在業務網中傳送,信令網、網管網等支撐網與業務網隔離,完全由運營商控制,電信用戶無法進入。這種機制有效地避免了電信用戶非法進入網絡控制系統,保障了網絡安全。IP電話引入后,需要與傳統電信網互聯互通,電信網的信令網不再獨立于業務網。IP電話的實現建立在TCP/IP協議基礎上,TCP/IP協議面臨的所有安全問題都有可能引入傳統電信網。IP電話的主叫用戶號碼不在IP包中傳送,一旦出現不法行為,無論是運營商還是執法機關,確認這些用戶的身份需要費一番周折,加大了打擊難度。
2.2 新技術、新業務的引入,給電信網的安全保障帶來不確定因素
NGN的引入,徹底打破了電信網根據不同業務網分別建設、分別管理的傳統思路。NGN的引入給運營商帶來的好處是顯而易見的,但從網絡安全方面看,如果采取的措施不當,NGN的引入可能會增加網絡的復雜性和不可控性。此外,3G、WMiAX、IPTV等新技術、新業務的引入,都有可能給電信網的安全帶來不確定因素。特別是隨著寬帶接入的普及,用戶向網絡側發送信息的能力大大增強,每一個用戶都有能力對網絡發起威力較大的拒絕服務等攻擊。如果這些寬帶被非法控制,組成僵尸網絡群,其拒絕服務攻擊的破壞力將可能十分巨大。
2.3 運營商之間網絡規劃、建設缺乏協調配合,網絡出現重大事故時難以迅速恢復
目前,我國電信領域基本形成了有效的競爭格局。但由于改革的配套措施還不盡完備,電信市場多運營商條件下的監管措施還不配套,給電信網絡安全帶來了新的威脅。如在網絡規劃建設方面,原來由行業主管部門對電信網絡進行統一規劃、統一建設,現在由各運營企業承擔各自網絡的規劃、建設,行業主管部門在這方面的監管力度明顯弱化。一旦出現大面積的網絡癱瘓問題,不同運營商之間的網絡能否互相支援配合就存在問題。
2.4 相關法規尚不完善,落實保障措施缺乏力度
當前我國《電信法》還沒有出臺,《信息安全法》還處于研究過程中,與網絡安全相關的法律法規還不完備,且缺乏操作性。在規范電信運營企業安全保障建設方面,也缺乏法律依據。運營企業為了在競爭中占據有利地位,更多地關注網絡建設、業務開發、市場份額和投資回報,把經濟效益放在首位,網絡安全相關的建設、運行維護管理等相對滯后。
3 電信網絡安全防護的對策思考
強化電信網絡安全,應做到主動防護與被動監控、全面防護與重點防護相結合,著重考慮以下幾方面。
3.1 發散性的技術方案設計思路
在采用電信行業安全解決方案時,首先需要對關鍵資源進行定位,然后以關鍵資源為基點,按照發散性的思路進行安全分析和保護,并將方案的目的確定為電信網絡系統建立一個統一規范的安全系統,使其具有統一的業務處理和管理流程、統一的接口、統一的協議以及統一的數據格式的規范。
3.2 網絡層安全解決方案
網絡層安全要基于以下幾點考慮:控制不同的訪問者對網絡和設備的訪問;劃分并隔離不同安全域;防止內部訪問者對無權訪問區域的訪問和誤操作。可以按照網絡區域安全級別把網絡劃分成兩大安全區域,即關鍵服務器區域和外部接入網絡區域,在這兩大區域之間需要進行安全隔離。同時,應結合網絡系統的安全防護和監控需要,與實際應用環境、工作業務流程以及機構組織形式進行密切結合,在系統中建立一個完善的安全體系,包括企業級的網絡實時監控、入侵檢測和防御,系統訪問控制,網絡入侵行為取證等,形成綜合的和全面的端到端安全管理解決方案,從而大大加強系統的總體可控性。
3.3 網絡層方案配置
在電信網絡系統核心網段應該利用一臺專用的安全工作站安裝入侵檢測產品,將工作站直接連接到主干交換機的監控端口(SPANPort),用以監控局域網內各網段間的數據包,并可在關鍵網段內配置含多個網卡并分別連接到多個子網的入侵檢測工作站進行相應的監測。
3.4 主機、操作系統、數據庫配置方案
由于電信行業的網絡系統基于Intranet體系結構,兼呈局域網和廣域網的特性,是一個充分利用了Intranet技術、范圍覆蓋廣的分布式計算機網絡,它面臨的安全性威脅來自于方方面面。每一個需要保護的關鍵服務器上都應部署核心防護產品進行防范,并在中央安全管理平臺上部署中央管理控制臺,對全部的核心防護產品進行中央管理。
3.5 系統、數據庫漏洞掃描
系統和數據庫的漏洞掃描對電信行業這樣的大型網絡而言,具有重要的意義。充分利用已有的掃描工具完成這方面的工作,可免去專門購買其他的系統/數據庫漏洞掃描工具。
參考文獻
機房網絡安全方案范文5
關鍵詞:計算機,網絡安全,防火墻
隨著計算機網絡的廣泛應用,網絡安全問題日漸突出。網絡具有跨國界、無主管、不設防、開放、自由、缺少法律約束力等特性,網絡的這些特性顯示了它的許多優點,但同時也使它容易受到來自各方面的入侵和攻擊。如果不很好地解決這個問題,必將阻礙計算機網絡化發展的進程。
1 網絡安全概述
網絡安全從本質上來講就是網絡上的信息安全,指網絡系統中流動和保存的數據,不受到偶然的或者惡意的破壞、泄露、更改,系統能連續正常的工作,網絡服務不中斷。從廣義上來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2 網絡安全的威脅因素
歸納起來,網絡安全的威脅主要有:
(1)網絡協議的局限性。 Internet的基石是TCP/IP協議簇,該協議簇在實現上力求效率,而沒有考慮安全因素,因為那樣無疑增大代碼量,從而降低了TCP/IP的運行效率,所以說TCP/IP本身在設計上就是不安全的。并且,由于TCP/IP協議是公布于眾的,若人們對TCP/IP協議很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
(2) 人為的無意失誤。如操作員安全配置不當造成的安全漏洞,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。雖然網絡中設置了不少保護屏障,但由于人們的安全意識淡薄,從而使保護措施形同虛設。例如防火墻,它是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目的就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭受外界因素的干擾和破壞。如有人為了避開防火墻服務器的額外認證,進行直接的PPP連接,就會使防火墻失去保護作用。
(3)計算機病毒的危害。 計算機病毒是一個能夠通過修改程序,把自身復制進去進而去傳染其它程序的程序。它并不獨立存在,而是寄生在其他程序之中,它具有能自我“復制”并能“傳播”這一基本特征,并在計算機網絡內部反復地自我繁殖和擴散,危及網絡系統正常工作,最終使計算機及網絡系統發生故障和癱瘓。目前全世界的計算機活體病毒達14萬多種,其傳播途徑不僅通過軟盤、硬盤傳播,還可以通過網絡的電子郵件和下載軟件傳播。隨著計算機應用的發展,人們深刻地認識到病毒對計算機信息系統造成嚴重的破壞。
(4) 黑客的威脅和攻擊。 這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為2種:一種是網絡攻擊,以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,他是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄露。網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。黑客入侵的例子枚不勝舉,從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
3計算機網絡安全防范措施
針對網絡系統現實情況,處理好網絡的安全問題是當務之急。為了保證網絡安全采用如下方法:
(1)配置防火墻。防火墻將內部網和公開網分開,實質上是一種隔離技術。它是網絡安全的屏障,是保護網絡安全最主要的手段之一。免費論文。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進人自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客隨意訪問自己的網絡。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。免費論文。
(2)安裝防病毒網關軟件。防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時,可能已經感染了很多計算機,防病毒網關可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時,管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。
(3)應用入侵檢測系統。入侵檢測技術是近20年來出現的一種主動保護自己免受黑客攻擊的新型網絡安全技術。它能夠檢測那些來自網絡的攻擊,檢測到超過授權的非法訪問。一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務的性能。它從系統運行過程中產生的或系統所處理的各種數據中查找出威脅系統安全的因素,并對威脅做出相應的處理。免費論文。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(4)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。
(5)采用漏洞掃描技術。漏洞掃描是針對特定信息網絡中存在的漏洞而進行的。信息網絡中無論是主機還是網絡設備都可能存在安全隱患,有些是系統設計時考慮不周而留下的,有些是系統建設時出現的。這些漏洞很容易被攻擊,從而危及信息網絡的安全。漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。它的具體實現是安全掃描程序,掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
(6)應用數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
(7)常做數據備份。由于數據備份所占有的重要地位,它已經成為計算機領域里相對獨立的分支機構。時至今日,各種操作系統都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷;各類數據庫管理系統也都有一定的數據復制的機理和功能,但對整個系統的數據備份來說仍有不夠完備之處。所以,若想根本解決整個系統數據的可靠備份問題,選擇專門的備份軟、硬件,建立專用的數據備份系統是不可缺少的。
結語
隨著網絡的迅速發展,網絡技術的日漸更新,網絡時代的計算機信息安全越來越重要,網絡安全是一個系統的工程,需要仔細考慮系統的安全需求,并將各種安全技術結合在一起,才能生成一個高效、通用、安全的網絡系統。
f參考 文 獻 ]
[1盧開澄:《計算機密碼學一計算機網絡中的數據預安全》(清華大學出版社1998).
[2余建斌:《黑客的攻擊手段及用戶對策》(北京人民郵電出版社1998).
[3〕蔡立軍:《計算機網絡安全技術》(中國水利水電出版社2002).
[41鄧文淵、陳惠貞、陳俊榮:(ASP與網絡數據庫技術》(中國鐵道出版社2003.4).
機房網絡安全方案范文6
關鍵詞:計算機網絡;安全技術;防火墻
隨著計算機網絡技術的快速發展,各種信息在網絡中傳遞的速度越來越快,計算機網絡技術在為人們帶來方便的同時,也給人們帶來極大的困擾。目前,很多行業都在使用計算機網絡技術進行信息管理,如果計算機網絡不安全,很容易造成信息泄露、丟失、修改等現象,因此,計算機網絡安全技術成為當前比較熱門的技術之一,防火墻安全防范技術是計算機網絡安全技術的一種,在計算機網絡安全中發揮著十分重要的作用。
1 計算機網絡安全概述
計算機網絡安全的含義沒有明確的規定,不同的使用者對計算機網絡安全的要求和認識有很大的差別,但計算機網絡安全從本質上講,包括計算機網絡系統的軟件安全、硬件安全、傳遞信息安全等幾部分,計算機網絡安全既需要技術安全也需要管理安全。計算機網絡安全的主要內容有保密性、安全協議、接入控制等三部分,任務用戶提供安全、可靠、真實、保密的信息是計算機網絡系統的主要任務之一,如果計算機網絡系統達不到保密要求,那么計算機網絡就沒有安全可言;安全協議是一種保護信息安全的手段,對計算機網絡安全有十分重要的作用;接入控制主要是對接入網絡權限和相關限制進行控制,由于網絡技術比較復雜,傳遞的信息比較多,因此,常在接入控制中采用加密技術。
2 防火墻安全防范技術
2.1 防火墻安全防范技術概述
在計算機網絡安全中,防火墻安全防范技術是一種計算機網絡安全防范應用比較廣泛的技術,防火墻是重要的計算機網絡安全保障方式,在計算機網絡安全防范中,防火墻能對網絡環境的進出權限進行控制,對相關鏈接方式進行檢查,對計算機網絡信息進行保護,防止網絡信息受到惡意破壞和干擾。在計算機網絡環境中,防火墻大多是以獨立的系統或者利用網絡路由器進行安全保護。
2.2 計算機網絡安全中常用的防火墻技術
隨著計算機網絡技術快速發展,防火墻安全防范技術也不斷的發生著變化,目前,常用的防火墻技術有型防火墻安全技術、包過濾型防火墻安全技術、監測型防火墻安全技術、網址轉換防火墻安全技術等。
2.2.1 型防火墻安全技術
型防火墻安全技術是一種服務器,屬于高級防火墻技術,型防火墻安全技術常用于用戶之間,對可能對電腦信息造成危害的動作進行攔截,從用戶的角度講,服務器是有用的服務器,從服務器的角度看,型服務器,就是用戶機。當用戶的計算機進行信息溝通、傳遞時,所有的信息都會通過型服務器,型服務器會將不利的信息過濾掉,例如阻攔各種攻擊信息的行為,服務器會將真正的信息傳遞到用戶的計算機中。型防火墻技術的最大的特點是安全性能高,針對性強,能將不利的信息直接過濾掉。
2.2.2 包過濾型防火墻安全技術
包過濾防火墻安全技術是一種比較傳統的安全技術,其關鍵技術點是網絡分包傳輸,在信息傳遞過程中,以包為單位,每個數據包代表不同的含義,數據包可以根據信息數據的大小、信息的來源、信息的性質等進行劃分,包過濾防火墻技術就是對這些數據包進行識別,判斷這些數據包是否合法,從而實現計算機網絡安全防護。
包過濾型防火墻安全技術是在計算機網路系統中設定過濾邏輯,使用相關軟件對進出網絡的數據進行控制,從而實現計算機網絡安全防護。包過濾防火墻技術的最重要的是包過濾技術,包過濾型防火墻安全技術的特點有適應性強、實用性強、成本低,但包過濾型防火墻技術的最大缺點是不能對惡意程序、數據進行進行識別,一些非法人員可以偽造地址,繞過包過濾防火墻,直接對用戶計算機進行攻擊。
2.2.3 監測型防火墻安全技術
監測型防火墻安全技術是對數據信息進行檢測,從而提高計算機網絡安全,但監測型防火墻安全技術成本費用比較高,不容易管理,從安全角度考慮,監測型防火墻安全技術還是可以用于計算機網絡中。
2.2.4 網址轉換防火墻安全技術
網址轉換技術將網絡地址轉換成外部的、臨時的地址,這樣外部IP對內部網絡進行訪問時,其他用戶不能利用其他IP重復訪問網絡,外部IP在訪問網絡時,首先會轉到記錄和識別中進行身份確認,系統的源地址通過外部網絡和非安全網卡連接真正的IP會轉換成虛擬的IP,將真正的IP隱藏起來。當用戶訪問網絡時,如果符合相關準則,防火墻就會允許用戶訪問,如果檢測不符合準則,防火墻就會認為該訪問不安全,進行攔截。
3 防火墻安全防范技術在計算機網絡安全中的應用
3.1 訪問策略設置
訪問策略設置是防火墻的核心安全策略,因此,在設置訪問策略時,要采用詳細的信息說明和詳細的系統統計,在設置過程中,要了解用戶對內部及外部的應用,掌握用戶目的地址、源地址,然后根據排序準則和應用準則進行設置在,這樣防火墻在執行過程中,能按照相應的順序進行執行。
3.2 安全服務配置
安全服務的是一個獨立的局域網絡,安全服務的隔離區將系統管理的機群和服務器的機群單獨劃分出來,從而保障系統管理和服務器的信息安全,安全服務既是獨立的網絡又是計算機內部網絡的重要組成部分。對于內部網絡可以采用網址轉換防火墻安全技術進行保護,將主機地址設置成有效的IP地址,并且將這些網址設置公用地址,這樣就能對外界IP地址進行攔截,有效的保護計算機內部網絡安全,確保計算機內部網絡安全、穩定的運行。如果企業擁有邊界路由器,可以利用原有的邊界路由器,采用包過濾防火墻安全技術進行網絡安全保護,這樣還可有降低防火墻成本費用。
3.3 日志監控
日志監控是保護計算機網絡安全的重要管理手段之一,在進行日志監控時,一些管理員認為不必要進行日志信息采集,但防火墻信息數據很多,并且這些信息十分繁雜,只有收集關鍵的日志,才能當做有效的日志。系統警告信息十分重要,對進入防火墻的信息進行選擇性記錄,就能記錄下對計算機網絡有威脅的信息。
4 結束語
計算機網絡技術的快速發展必然會為網絡安全帶來一定的隱患,因此,要不斷更新完善計算機網絡安全技術,改革防火墻安全防范技術,抵抗各種對計算機信息有害的行為,提高計算機網絡安全防護能力,確保計算機網絡安全,從而保證計算機網絡系統安全穩定的運行。
參考文獻
[1]王麗玲.淺談計算機安全與防火墻技術[J].電腦開發與應用,2012(11):67-69.
[2]劉可.基于計算機防火墻安全屏障的網絡防范技術[J].電腦知識與技術,2013,9(06):1308-1309.
[3]徐囡囡.關于計算機網絡安全防范技術的研究和應用[J].信息與電腦(理論版),2011(06):106-108.
[4]王吉.基于計算機防火墻安全屏障的網路防范技術[J].信息與電腦(理論版),2014(01):162-163.