數字化企業園區網網絡安全防御系統的構建
來源:信息通信雜志 更新時間:2013-04-01
 數字化企業是通過數字化的信息系統進行連接和溝通。如何在開放的網絡環境中保證數據和系統的安全性,關鍵因素是整合現有的技術資源,構建一個完善、合理、有效的網絡安全防御系統。本文從網絡安全、數據安全、系統安全三方面論述了網絡安全防御系統的構建。
1 網絡安全防御系統的構建
    網絡安全防御系統整體上可分為局域網和廣域網兩部分,網絡結構采用雙網結構。整個網絡防御系統采用多種安全技術手段,大致可分為:網絡安全,數據安全,系統安全。
    1.1網絡安全
    網絡安全一般包括信息安全和控制安全兩方面的內容。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。控制安全則指身份認證、不可否認性、授權和訪問控制等。伴隨互聯網絡高速發展而普遍存在的網絡安全問題集中體現在網絡威脅和網絡犯罪兩個方面。
    網絡威脅已經超越國界。據有關部門統計,目前我國95%與國際互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。另據中國國家互聯網應急中心(CNCERT)發布的報告,2010年上半年中國有23.3萬個IP地址對應主機被僵尸程序控制,參與控制中國計算機的境外僵尸網絡控制服務器IP有4584個,主要來自美國、土耳其和印度。網絡威脅的另一典型案例就是被媒體炒得沸沸揚揚的維基工作室對美國五角大樓計算機系統的入侵。維基工作室利用黑客技術實現遠程異地網絡入侵,非法獲得近40萬份有關伊拉克戰爭和1萬5千份阿富汗戰爭秘密文件,并擅自向美國、英國、法國、德國和阿拉伯等國媒體公布,引發軒然大波。美國聯邦調查局的調查也表明,因為與互聯網連接而成為攻擊對象的組織連續3年不斷增加,遭受拒絕服務攻擊(DoS)的數量每年增長30%以上,全球平均每20秒就發生1次網上入侵事件。
    網絡犯罪呈上升趨勢,網絡安全問題造成重大經濟損失。
    根據有關方面統計,美國每年由于網絡安全問題而遭受的經濟損失超過170億美元,法國超過i00億法郎,德國和英國也都在數十億美元以上。在“2010年中國誠信年論壇”上,阿里巴巴首席執行官衛哲也指出“在電子商務逐漸成為業界主流的時候,黑色產業鏈也瞄上電子商務,全世界網絡貿易欺詐的犯罪涉嫌金額去年首次超過販毒。”
    (1)網絡病毒的防范。在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。學校、政府機關、企事業單位等網絡一般是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,保證上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁’加強日常監測,使網絡免受病毒的侵襲。
    (2)安全網絡拓撲。整個網絡拓撲設計為雙網結構,即內部LAN網中的所有主機對服務器的訪問與Internet用戶對服務器的訪問是通過兩條不同的行道進行,其安全性體現在兩個方面:一是將內外信息傳遞信道加以區分,以保證網絡不同敏感信息進入外部公共訪問區域:二是由于外網為公共訪問區域,從安全風險的角度來講遠遠大于內網,采用雙網結構保證了在外網出現問題時內網仍然能夠正常工作。
    (3)配置防火墻。防火墻是指一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障,保護內部網免受非法用戶的入侵。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
    防火墻是任何一個網絡安全系統的重要組成部分,用戶根據需求及積累的經驗建立一套有效的防火墻防御規則。功能上主要有:網絡地址轉換NAT隱藏內部地址,保證內部安全;網絡隔離DMZ,物理上隔開內外網段;對各種帶有攻擊嫌疑的數據包進行過濾;提供內部IP地址與MAC地址的綁定;防止IP欺騙,防止DoS攻擊。實現防火墻技術主要有:數據包過濾、應用代理技術、狀態檢測和自適應代理技術等。
    (4)采用實時入侵檢測
    入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測系統是部署在網絡的安全關鍵點,實時收集各種信息,根據內置的專家系統和入侵分析引擎進行分析,發現、報警和阻斷潛在攻擊行為的一種網絡安全設備。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。通過實時入侵檢測功能,能夠通過對網絡數據的收集和分析,與入侵行為的規則集進行匹配,判斷入侵行為的發生,并提供實時報警功能,并切斷非法連接。入侵行為規則集中已經包括了已定義的入侵方式,并允許用戶自行定義。目前,入侵檢測一般采用誤用檢測技術和異常檢測技術。
    (5)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
    1.2數據安全
    計算機本身是非常脆弱的,容易受到各種各樣的安全威脅,比如數據的竊取、篡改、破壞,計算機病毒的滲透和攻擊等,使得數據的保密性、完整性、可用性和真實性受到嚴重影響。沈昌緒院士說過“信息想要安全,首先要對使用者進行控制和管理,要進行信息的訪問控制”。HDS CT0 HuYoshida也說“安全從鑒別開始,另外還要通過加密的方式來確保數據的完整性”。從保護數據的角度講,數據安全可以細分為三部分:數據加密、數據傳輸安全和身份認證管理。
    數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,通過使用不同的密鑰,可用同-an密算法將同一明文加密成不同的密文。當需要時,可使用密鑰將密文數據還原成明文數據,稱為解密。數據加密被公認為是保護數據傳輸安全唯一實用的方法和保護存儲數據安全的有效方法,它是數據保護在技術上最重要的防線。數據傳輸安全是指數據在傳輸過程中必須要確保數據的安全性,完整性和不可篡改性。身份認證的目的是確定系統和網絡的訪問者是否是合法用戶,主要采用登錄密碼、代表用戶身份的物品(如智能卡、Ic卡等)或反映用戶生理特征的標識鑒別訪問者的身份。與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。根據密鑰類型的不同可以將現代密碼技術分為兩類:對稱加密技術(私鑰密碼體系)和非對稱加密技術(公鑰密碼體系)。
 (1)對稱加密技術。對稱加密技術是最古老的,一般說“密電碼”采用的就是對稱密鑰。對稱式加密就是加密和解密使用同一個密鑰,而且通信雙方都必須獲得這把鑰匙,保持鑰匙的秘密,通常稱之“Session Key”。由于對稱加密是建立在共同保守秘密的基礎之上的,在管理和分發密鑰的過程中,任何一方泄密就會造成密鑰的失效,存在著潛在的危險和復雜的管理難度。其優點是運算量小、速度快,目前仍被廣泛采用。如美國政府所采用的DES力W密標準就是一種典型的“對稱式”加密法,它的Session Key長度為56b。
    (2)非對稱加密。非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必須配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人_個人知道,它的優越性就在這里。對于對稱式的加密方法,如果是在網絡上傳輸加密文件,就很難把密鑰告訴對方,不管用什么方法都有可能被竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的“公鑰”是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。這種加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
    1.3系統安全
    (1)鑒別認證機制。在整個網絡防御系統中,使用了兩種鑒別認證機制。①網絡部分,通過SSL力I密通道以及證書機關,對使用本系統提供的web服務的用戶進行服務器與外部用戶間的雙向鑒別。②系統鑒別部分,采用Ic卡的方式對所有用戶進行身份鑒別,所有內部用戶的Ic卡均通過統一的發卡中心發放,只有持卡用戶能夠登錄網絡,普通網絡用戶無法遠程登錄。
    (2)安全操作系統。整個防御系統的所有服務器必須具有良好的安全特性,首先,在登錄控制上采用基于IC卡的本地登錄控制和基于安全的遠程登錄,避免不合法用戶對系統安全造成危害;其次,采用特定的檢測工具隨時對系統進行檢測;最后,采用加密文件系統對文件加密保護,用戶只有知道口令的情況下,采用讀取文件。
    (3)定期安全掃描。由于網絡環境中的復雜性,需要定期對網上的各種設備實施安全掃描,發現潛在的軟硬件漏洞,及時修復。尤其是對于木馬和病毒,發現問題,及時推出相應的補丁或查殺工具。防止其進入和蔓延。要定期對防病毒軟件進行更新升級。
2 結語
    整合現有的網絡安全技術,讓它們在網絡系統中能夠各司其職,彼此協作,這樣才能夠構建相對完善的網絡安全防御系統,有效阻止攻擊者的入侵,真正起到保證網絡信息的安全。

铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios