时间:2023-09-18 17:32:30
关键词:网络信息安全;防护策略;满意度
选题依据和背景情况:在现今信息化时代,网络安全已经成为越来越重要的课题。对我国网络信息安全防护策略在世界市场上的影响做一个系统的评估,能对我国网络信息安全防护策略现在的整体水平有一个具体的把握同时研究如何去提升做的更好的方法。
1我国网络信息安全防护策略发展现状及存在的问题
我国网络信息安全对于网络信息安全防护策略的重视度不足,甚至部分网络信息安全认为,网络信息安全防护策略可有可无,因此并未将网络信息安全防护策略纳入到网络信息安全运转日程当中。就我国网络信息安全目前情况而言,其网络信息安全防护策略还存在较多的问题,还要全面提升网络信息安全竞争力,扩充消费群体,就需要对所存在的问题进行一一梳理。
1.1存在独立性,信息不能共享
市场网络信息安全防护策略存在独立性,并且其市场网络信息安全防护策略是不同共享的。网络信息安全中不同业务部门所拥有的市场网络信息安全防护策略是不能够共享的,这样就造成了网络信息安全的工作滞怠,无法为客户提供完整性的服务。这样不仅会造成客户资源的流失,而且也严重滞怠了网络信息安全的工作效率与工作质量。因为大数据时代的到来,为网络信息安全需要提供了非常好的市场发展机会。而在未来三年到五年的时间里,网络信息安全也应该更加重视大数据时代带给互联网领域的市场网络信息安全防护策略。伴随而来的挑战,也将大数据时代网络信息安全之间的竞争推向了高潮。一旦有哪一家网络信息安全不能够在大数据时代的数据流中,选择到具有重要价值的市场网络信息安全防护策略,并且对市场网络信息安全防护策略进行系统的管理,那么就会与其他的网络信息安全之间的差距越来越大。因此,如何有效的从大数据时代的数据流中,筛选出具有价值的市场网络信息安全防护策略,对市场网络信息安全防护策略进行系统、全面的管理,并且将其转化为网络信息安全的市场核心竞争力,就是网络信息安全必须加以重视的地方。
1.2网络信息安全防护策略人才缺乏,信息监管工作不明确
根据信息化时代的基本特点来看,可以明显了解到,市场网络信息安全防护策略发展的如此迅猛,数据量呈现爆炸式的增长趋势,其管理技术必须要做到与时俱进,才能更加顺应信息化时代的数据流的发展需求。也因为互联网领域各大网络信息安全需要对市场网络信息安全防护策略的高速发展,奠定市场网络信息安全防护策略技术基础,所以对网络信息安全防护策略的技术人才的需求较大。而对于网络信息安全而言,最为重要的市场网络信息安全防护策略就是市场网络信息安全防护策略,如何对市场网络信息安全防护策略进行系统、完善的管理,将会直接影响到网络信息安全的未来发展。但是就目前的形势而言,互联网领域网络信息安全的客户关系的管理技术人才十分有限。几乎不能满足互联网领域对于网络信息安全防护策略人才的需求,而这也直接影响到了网络信息安全的网络信息安全防护策略效率及质量。并且,网络信息安全的客户关系监管工作也具有一定的有限性。例如在信息化时代的互联网领域环境下,网络信息安全必须对市场网络信息安全防护策略监管工作进行有效性的提升。因为信息化时代下的网络信息安全必须对市场网络信息安全防护策略进行系统的保密监管,防止外流出来,否则,后果将不堪设想。
2网络信息安全防护策略发展对策分析
根据上一章的网络信息安全防护策略问题的梳理,本章提出了针对性的对策,以此来解决网络信息安全网络信息安全防护策略问题。
2.1将市场网络信息安全防护策略进行整合管理
网络信息安全需要将各个业务部门的市场网络信息安全防护策略进行整合性的管理,由此来提升网络信息安全服务体系与业务项目的制定,从而将网络信息安全的工作被动性状态转换为积极性状态。网络信息安全的市场网络信息安全防护策略进行整合性的管理,能够全面的提升网络信息安全的工作效率与工作质量,与此同时,能够让客户满意度提升,提升客户忠诚度,从而为网络信息安全有效的保留客户资源。
2.2加强网络信息安全防护策略人才的培养
在对市场网络信息安全防护策略进行整合管理的过程中,还需要加强网络信息安全防护策略人才的培养。就目前网络信息安全的网络信息安全防护策略人才数量的状态来看,互联网领域整体呈现出对网络信息安全防护策略人才求过于供的现象,可见网络信息安全防护策略人才的培养对于网络信息安全发展的重要性。面对如此庞大的市场网络信息安全防护策略量,这对于网络信息安全的存储与分析信息技术的要求非常高。但是伴随着网络信息安全对于市场网络信息安全防护策略的存储与分析技术人才的需求越来越多,市场网络信息安全防护策略的存储与分析技术人才群体显得供不应求。而网络信息安全信息管理部门不仅要为网络信息安全招募合适的网络信息安全防护策略技术人才,而且还需要规划一笔款项,来专门用作培养市场网络信息安全防护策略技术人才的经费。这样不仅能够为网络信息安全自身提供充足的市场网络信息安全防护策略存储与分析技术人才,而且还能建立网络信息安全市场网络信息安全防护策略存储与分析技术员工的忠诚度。显然,巨大的市场网络信息安全防护策略量是需要先进的市场网络信息安全防护策略存储与分析技术来帮助储存的。如果不能对庞大的数据量进行合理、系统的处理,那么将会为网络信息安全带来许多不便之处,甚至会直接影响到网络信息安全的内部经营管理与外部市场发展。不仅如此,网络信息安全信息管理部门也需要对其他各部门做出系统的市场网络信息安全防护策略培训规划,为的就是全面提升网络信息安全上下员工对于互联网领域市场网络信息安全防护策略的敏锐度,从而有效的掌握对网络信息安全最具价值的市场网络信息安全防护策略。而网络信息安全防护策略与分析的价值,就在于对有效的市场网络信息安全防护策略进行激活、归纳与重复利用。所以,网络信息安全市场网络信息安全防护策略的分析管理技术是需要保持在互联网领域前沿水平的,如果不能提供熟练且先进的网络信息安全防护策略分析技术,那么其综合竞争力就会大大落后于互联网领域的其他网络信息安全。
3探析网络信息安全防护策略的发展前景
在新经济时代,网络信息安全的整体质量如个人素养提升一般关键,并且成为了网络信息安全提升市场竞争力的重点所在。面对新市场的挑战,网络信息安全应该学会如何对待不同背景、类型的客户,并且通过网络信息安全防护策略来建立网络信息安全客户群,与现代化的管理思想及方式相结合,有效整合网络信息安全资源。网络信息安全防护策略的出现真正使网络信息安全能够全面观察客户资源,将网络信息安全管理趋于信息化,有效加强网络信息安全竞争力。
4结语
在当代互联网领域发展中,网络信息安全网络信息安全防护策略系统的制定与执行工作非常重要。而就互联网领域各大网络信息安全目前的网络信息安全防护策略现状来看,虽然网络信息安全的产品营销模式及网络信息安全运营流程等都已趋于稳定,但是在网络信息安全防护策略上仍然存在一定的问题。并且在其网络信息安全防护策略的目标市场的挖掘上,还有一定的潜力空间。应该正视网络信息安全防护策略问题,并且制定及时的解决方案,才能保证谋求到更好的发展未来。
参考文献:
[1]杨二宝.关于加强企业应收账款管理的思考[J].特区经济.2013(07):233-234.
[2]李峰,王全弟.美国应收账款担保制度及其对我国的启示[J].复旦学报:社会科学版.2011(04):102-110.
20世纪,人类在科学领域的重大成就就是发明了计算机,更为成功的是计算机及其在数字化领域、通信领域的综合应用,使得世界经济和人类社会离不开计算机及网络系统。以前的科学家是研究如何降低计算机成本问题,如今研究的则是如何提高计算机网络的安全可靠性,国外在这方面研究的比较早,并且总结计算机信息安全的研究特点如下:第一,计算机安全系统的研究应该是从每个部件的安全性出发,进而研究整体的安全性能,最后发展到研究信息化安全的时代;第二,计算机系统的安全性能从最初的军方、政府到现在的大众化;第三,是研究制定计算机的安全评估准则。而我国计算机安全的研究起步虽然比较晚,但是在中国计算机学会下属的计算机安全委员会、国家公安部计算机监察司、航天部706所等研究机构的研究下已经得到了突飞猛进的飞跃,我国的计算机硬件发展速度是飞快的,所谓的计算机硬件也就是一种程序自动处理系统,通过复杂的算法,达到处理的过程。目前计算机发展已经经历了三个阶段,分别是机械式计算机、机电式计算机和萌芽时期的计算机时代,这只是我国的计算机发展历程,国际的计算机发展历程是飞快的,外国的计算机技术综合性非常强,涉及到了机械、光学等。我国于1999年底成立国家信息化工作小组,大力进行我国网络信息化的安全工作,并努力推行保障国家网络安全空间计划,实现我国信息系统安全技术的发展。总之,中国计算机的发展不仅仅是表面上的现象,我们的研究人员还在攻克计算机网络安全的技术问题。
2浅析计算机网络安全技术的应用
2.1计算机网络安全体系以及网络安全技术简介
计算机信息系统的安全包括系统安全和信息安全保护两方面的内容,其中系统安全包括五个层面的安全,分别是物理层面、网络层面、系统层面、应用层面、管理层面,随着计算机网络的不断发展,信息全球化的已经势不可挡,面临着计算机网络具有开放性、互联性、共享性等特征,目前网络安全是最为重要的研究工程之一。计算机网络安全体系所面临的威胁主要可以分为以下两类,一是对网络中信息的威胁,二是对网络中设备的威胁;影响计算机安全的因素主要有以下三点:人为无意的失误,恶意攻击,软件漏洞。面对如此多而复杂的网络安全威胁,解决的策略主要有物理安全策略和访问控制策略,物理安全策略也就是保护计算机的硬件设施,使用人需要验证信息,防治非法的破坏行动,访问控制策略可以从以下方面进行控制,分别是:入网访问控制,网络权限控制,网络监测和锁定控制,网络端口和节点的安全控制,防火墙控制,信息加密策略,入侵检测技术,数字签名技术,智能卡技术,VPN技术,VLAN技术,网络病毒及其防治,网络安全管理策略。
2.2密码技术与防火墙技术的应用
随着计算机网络的广泛应用,如何使用计算机,而且不被他人窃取其中的资料成为主要研究课题,从而产生了密码技术。密码技术就是为了达到上述目的的核心技术,密码技术包括密码设计、密码分析、密钥管理、验证技术等。对数据加密有很多的办法,加密之后是非常不容易破解的。另外,加密还分为对称密钥加密技术和非对称密钥加密技术。信息安全的根本措施应该是逻辑的,即用密码学的方法和技术从体制上保证信息不被篡改和泄露。除了加密技术,防火墙对系统安全也是功不可没的。防火墙简单的说就是一个系统,能够增强计算机内部网络的安全性,加强网络访问控制,防止用户使用非法资源,阻挡对计算机系统有威胁的信息,所有通过网络的信息都必须通过防火墙。虽然防火墙具有很多优化的功能,但也不是能够完好的保护计算机,也是有很多的局限性的,比如:不能防范绕过防火墙的攻击、不能防范来自内部网络的攻击、不能防范利用服务器系统漏洞所进行的攻击和不能防止受病毒感染的文件的传输等。
3信息系统应用的安全策略
信息系统是基于计算机系统的十分复杂的现代网络资源共享系统,其中,有硬件和软件组成的计算机系统是核心结构,信息系统的安全就是为了防止意外或者人为的破坏而导致系统运行的失误,重要信息的外泄,对重要信息采取安全防护,并且防护病毒的入侵。现在计算机病毒层出不穷,危害大,难以预知,具有很大的潜伏性和破坏性,所以要使用专门生产的正规的防病毒软件,或者采用防治病毒的计算机硬件设施,保护计算机安全,防治病毒的入侵。
4结束语
【关键词】园区网 防火墙 管理与维护
一、防火墙的概述
在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。
(一)什么是防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。
防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。
(二)防火墙有何功能
防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:根据应用程序访问规则可对应用程序联网动作进行过滤;对应用程序访问规则具有学习功能;可实时监控,监视网络活动;具有日志,以记录网络访问动作的详细信息;被拦阻时能通过声音或闪烁图标给用户报警提示。
(三)防火墙怎样使用
由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。
二、防火墙的作用、特点及优缺点
(一)防火墙的作用
防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
(二)防火墙的特点
我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。
三、防火墙的管理与维护
(一)建立防火墙的安全策略
要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
网络服务访问策略。网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。比如,如果一个防火墙阻止用户使用Telnet服务访问因特网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
防火墙的设计策略。防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。
随着学校网络应用层次的提升,如何构建安全而高效的校园网络成了摆在学校网络管理员面前的一个重要课题。学校服务器受到黑客攻击、病毒肆虐、网络带宽被无效流量挤占等一系列的安全与管理问题成为棘手问题。笔者在此想谈谈如何利用开源、自由、免费软件构建安全高效的校园网络环境。
之所以选择免费软件,一是在倡导软件正版化的今天,免费软件既可构建安全网络,又能节约经费开支。二是免费软件功能强大,完全可以解决学校网络安全问题。
构筑坚固门户 严防外侵内扰
校园网络的第一道安全关卡就是网络防火墙,它是整个网络的门户,是构建安全网络环境的重要的环节。我们选用的是一款名为pfsense的网络防火墙,它基于FreeBsd系统开发,在网络安全领域有着坚若磐石的美誉。
硬件准备:一台计算机,加上三块网卡即可。具体的配置要求可参考下表。
软件准备:在网址(pfsense.org/mirror.php?section=downloads)下载并刻录光盘。安装过程简单,只需填写网关、子网、DNS等为数不多的参数,一个强大的防火墙很快就制成了。
防火墙的精华之处就是可以设定各种规则,防范来自内外部的网络攻击行为。pfsense是如何做的呢?
首先,我们要通过浏览器登录pfsense的管理界面(网址依安装时设置而定)。打开左侧菜单栏中的“Rules”菜单。在这里可以设置学校局域网内计算机上网的规则,也可以设置外部计算机访问学校网络的规则。
根据网络安全基本原则,一般将局域网内的计算机对网络的访问设置成不限制,而将外部计算机访问局域网计算机设置为完全禁止。同时,为了让外部的计算机可以访问学校的网页、邮件服务器等,我们还要设置一个专门用于放置服务器的DMZ(非军事区)区域。并将访问DMZ区域的权限加以限制。那么,如何定义规则呢?我们只需单击Rules菜单项的内容页上相应端口(LAN、WAN、OPT1等)下面的“+”按钮,就可以添加所需的规则了。下面就来看一下如何定义一条防火墙规则。
通过图示, 可以发现规则是非常简单的。例如,由于某教师违规使用网络,我们要限制一台IP为192.168.1.11的教师计算机不能访问外部网络。只需要在LAN端口添加这样一条规则就可以了:规则的动作设置为“block(阻止)”,源地址类型为single host or alias(单机或者别名),源地址值为192.168.1.11,规则针对的协议设置为any,目标地址类型设置为network,值设置为192.168.1.0/24,同时勾选“not”这个选项。这样,这台192.168.1.11的教师计算机就只能访问学校局域网的计算机。又如, 要限制外部计算机只能访问学校网站,只需要在WAN口添加规则。规则的动作设置为“pass(通过)”,源地址设置为any,规则协议设置为TCP,目标地址的类型设置为single host or alias,并将值设定为网站服务器IP,将目标端口号限定为80端口。为了记录访问网页服务器的详细情况,我们还可以勾选“Log packets thathandled by this rule”(记录本规则所捕获的包信息)。这样就可以通过查看网络日志监控网站安全状况了。
除此之外,pfsense还具有网络地址转换、流量整理,VPN等功能。只要善加利用,pfsense完全能够成为校园网络的安全之门。
建立顺畅通道 高效规范使用
在pfsense构建的安全校园网络基础上,是不是就可以高枕无忧了呢?还有一个最让人头疼的问题,就是如何有效控制教师使用网络为教育、教学工作服务,而不是使用网络做非本职工作。虽然pfsense能够实现部分功能,但“术业有专攻”,做专门的事还得请专家。这位专家是谁呢?它就是 panabit—— 一款国内开源程度最高的流量控制、应用控制软件。
同样的,我们需要先为它准备一台计算机,因为流量控制是一项需要密集计算的工作。因此,计算机的配置要求比较高,CPU至少800MHz以上,内存也是越多越好,还需要拥有三块网卡(建议使用Intel网卡)。在相关网址(panabit.com/download/index.html)下载文件,并按说明安装。
安装完毕,同样需要使用浏览器登录panabit服务器。它有着友好的中文界面,便于我们调试。
那么panabit是如何来完成流量控制的呢?
第一步,在“对象管理”菜单下,定义“IP群组”和“自定义协议组”。“IP群组”是用来将某一类型的IP汇总成一个群组以便于设定panabit策略。我们根据需要自定义“普通用户组”、“服务器组”、“特权用户组”等。“自定义协议组”则是用来定义我们需要禁止、限制或者放行的各类网络协议的集合。panabit已经将当前常用的200余种网络协议进行了设置,我们可根据需要进行组合,形成我们需要的“自定义协议组”。
第二步,我们就可以进入“策略管理”菜单项。Panabit的“策略管理”可以分为三大类,分别是“流量控制” “连接控制”与“HTTP管控”。
“流量控制”策略的设置是用于控制网络流量的。首先,需要设置合适的“数据通道”,将需要“限制、预留或者保证”的通道建立好。比如,我们要对某些应用限制其流量为1Mbps,那么我们需要先建立一个“数据通道”,并设置其为限制1000Kbp。
然后,就在“流量控制”中定义策略组,并将之前定义的“数据通道”应用到其中的策略中去。
最后,也是最易忽视的一步,就是要将已经设置好的“流量控制”策略组进行策略调度,也就是要给这一策略组指定发生作用的时间段。
这样,一条完整的“流量控制”策略就已经定义并生效,它将在每周的周一至周五中午12:00至13:00之间生效,生效时被定义为“一般教师”的成员访问外部网络的网络带宽被限定为1Mbps。
“连接控制”策略与“流量控制”策略有类似的操作步骤,只是它是对单个IP进行连接数的限制,通过与“流量控制”策略类似的操作,我们可以控制每台计算机的网络连接数,有效减少网络带宽占用。
“HTTP管控”则是针对网站访问专门设置的一类管理策略,通过它可以严格管理局域网的用户网页访问的行为,起到有效屏蔽有害网址、防止进入恶意网站、禁止下载违禁文件的作用。
通过以上三种不同种类的网络策略协同作用,panabit可以非常有效地对校园网络流量进行控制,同时能有效地管理客户端计算机的网络应用情况。
除此之外,panabit还拥有非常专业、强大的日志记录功能,能够将每次访问因特网的行为记录。只需要在“系统维护”菜单中,设定接收日志的服务器IP,并选择所需要记录的网络日志类型即可开启。
另外,panabit还拥有着完备的统计功能,我们可以在“监控统计”菜单项下得到各类统计数据,以便于我们对学校网络应用状况进行分析诊断。
不难看出,panabit是校园网络管理的得力助手,希望在此将它介绍给有需要的教师,让它发挥更大的作用。
完善安全节点 防止各个击破
在学校网络管理方面,除了在宏观方面使用了上面两款免费而又强大的软件之外,在教师客户端上我们也尝试使用免费软件,加强网络节点的安全性。网络安全体系被突破,往往是从内部的节点开始。所谓“千里之堤,溃于蚁穴”,在重视宏观层面安全调控措施的同时,也应加强作为网络节点的单台计算机的防护。如今免费杀毒软件已经普及,如360杀毒、金山毒霸等,这些免费软件的出现为我们提供了很大的选择余地。在使用过程中,我们发现360杀毒软件还推出了企业版,可以统一升级、杀毒,并且生成单位内部安全状况报告。通过安装这些杀毒软件,加上养成良好的网络使用习惯与计算机安全常规知识,我们完全能够保证计算机节点的安全性,从而为构建安全、高效的学校校园网络环境奠定基础。
[关键词] 电子商务防火墙数字签名安全机制
电子商务源于英文electronic commerce,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。
作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。防火墙、vpn、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,vpn可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,这个策略不仅仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么办呢?采取一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。
防火墙、vpn、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,vpn可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。wWw.133229.COM而对于网络系统来讲,它需要的是一种整体的安全策略,在系统被攻击导致瘫痪时,以最快的速度使网络系统恢复正常工作是最主要的。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全架构。
一、整体架构
这里我们介绍一种电子商务安全整体架构,该架构可以概括为一句话“一个中心,四个基本点”,一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种架构机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,即使第一道大门被攻破了,还会有第二道、第三道大门,即使所有的大门都被攻破了,还有恢复措施,因此这种架构可以为用户构筑一个整体的安全方案。
安全管理是中心,它渗透到四个基本点中去,而这四个基本点各占据电子商务安全的四个方面,即保护、监控、响应和恢复。安全管理指导四个基本点的工作,四个基本点体现和完成安全管理的任务,它们相辅相成,构成一个完整的体系,满足电子商务安全的整体需求。
1.安全管理
安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护
保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,如在制定的安全策略中有一条,不允许外部网用户访问内部网的web服务器,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计
监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应
响应就是当攻击正在发生时,能够及时做出响应,如向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分。因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击的结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复
当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复在电子商务安全的整体架构中也是不可少的一个组成部分。恢复是最终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
二、安全架构的工作机制
在这个安全架构中,五个方面是如何协调工作的呢?下面将以一个例子来介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客攻击得。
首先,当这个黑客开始向内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制就不用起作用,这时网络的安全得以保证。
随后,黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的任何事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,如立刻断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
最后,黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了。当系统恢复完后,又是新一轮的安全保护开始了。
而安全管理是如何体现出来的呢?安全管理在这个过程中一直存在,因为这四个基本点是借用安全工具来实现安全管理的,这四个基本点运行的好坏,直接和安全管理相关,比方说在保护这个基本点上,如果制定的安全保护策略周到详细,也许黑客就没有进入内部网的可能。所以安全管理是中心,四个基本点是安全管理的实施体现和实现。
这种架构是保护了从攻击的开始到结束的各个方面的安全的架构,它是依照攻击的顺序,在每个攻击点上都有保护措施,从而实现了电子商务安全的整体架构。
三、结束语
电子商务领域的安全问题一直是备受关注的问题,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,这就是说要解决的根本问题是不变的,所以应用这种架构来保证电子商务的安全无疑是有效的。
参考文献:
[1]陈月波:电子商务概论.北京:清华大学出版社,1998
[2]林涛:网络安全与管理.电子工业出版社,1999
[3]劳帼龄:电子商务的安全技术.中国水利水电出版社,2000
[4]黄允聪林东:网络安全基础.北京:清华大学出版社,1998
[5]樊成丰林东:网络信息安全&pgp加密.北京:清华大学出版社,1999
关键字:网络安全;网络问题分析;安全策略;网络应用控制;用户行为审计
中图分类号:G250文献标识码: A
一、网络存在问题分析
当前校园网建设面临着带宽瓶颈、多业务融合、安全威胁、用户认证和管理等诸多问题和挑战:
如何解决接入带宽瓶颈?如何解决设备扩展和性能以及投资保护之间的矛盾?
如何实现校园网多业务融合的需求,实现网络资源灵活分配和调度?
如何实现用户安全的接入控制,防止病从口入?如何防止恶意攻击和定位? 如何快速定位链路故障点?
如何实现灵活认证计费策略,如何实现网络流量的监控和分析?
学校网络主要存在以下几个方面的问题:
(1)网络设备性能低下,ARP攻击频繁,造成网络数据传输缓慢,网络稳定性差,从而影响学校信息化业务的正常运行。
(2)没有完善的网络安全防范,存在网络易受到网络内外恶意攻击的隐患。
(3)没有用户网络行为的监控与管理,存在访问非法站点、散布不当言论的隐患,不满足国家公安部82号令对上网行为审计的政策要求。
(4)使用人员在上网时会存在在线看视频、过度下载等造成业务带宽严重占用的情况,所以我们必须要进行网络带宽的应用控制和管理,过滤垃圾流量、杜绝带宽滥用,优化网络资源、保证正常业务稳定高效的网络应用。
二、网络安全解决方案
1.接入层安全及防ARP
1.1千兆安全交换机
全面的接入安全策略
有些交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。
交换机支持端口安全特性族可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。
交换机提供802.1X和集中MAC认证方式对接入的用户进行认证,允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能,和CAMS服务器配合还可以实现检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。
1.2百兆安全交换机
完备的安全控制策略
对于千兆支持802.1x认证交换机,在用户接入网络时完成必要的身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。
支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机上,在核心上启动网流分析(Netstream)功能,对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。
支持特有的ARP入侵检测功能和ARP报文限速功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping绑定表的非法ARP欺骗报文直接丢弃。
强大硬件ACL能力,能深度识别报文,以便交换机进行后续的处理。
三、应用控制与行为监管
为了解决网络用户大量的BT\电驴下载、网络视频等行为造成的对业务带宽的严重占用问题,以及在这些大量的垃圾流量影响下造成对核心网络及防火墙网关设备巨大的业务处理压力,系统必须进行应用流量控制管理、优化网络带宽资源应用,保证正常业务的稳定运行。
通过在部署一台应用控制网关设备,能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用,并提供面向IT服务的流量管理,实现网络与系统的高效管理。
3.1网络应用控制
随着互联网技术的不断发展,各种网络应用层出不穷,一方面大大丰富了我们的网络生活,如各种办公应用、桌面应用等带来工作效率的提高,但在另一方面各种阻扰网络应用、非法网络行为等也愈演愈烈,如侵扰网络带宽的大量P2P下载导致网络出口设备长期超负荷使用、上班期间沉迷IM聊天/网络游戏/炒股严重影响到企业工作效率、BBS/论坛上各种非法言论的发表等,如得不到及时的有效控制,将给我们的网络及生活带来极大的影响及危害。
考虑到单位人员在上网时会存在在线看视频、过度下载等造成业务带宽严重占用的情况,所以我们必须要进行网络带宽的应用控制和管理,对这些在线视频和过度下载行为进行控制管理,保证业务网络带宽,从而优化网络应用、确保正常业务的稳定开展。
基于以上考虑,我们需要部署一台网络应用控制与行为监管网关设备,进行网络应用的应用识别、流量管理和用户行为审计,识别和控制非法网站访问、过滤垃圾流量、杜绝带宽滥用,优化网络资源、保证正常业务稳定高效的网络应用。
3.2用户行为审计
目前网络应用行为日益频繁,网络中内部安全和内部控制的重要性日益突出,员工通过网络泄漏重要数据、员工在网上传播非法言论造成社会恶劣影响等事件时有发生。及时记录内部人员的上网行为,从而做到事后有据可查成为目前企业网迫切需要解决的问题。
应用控制UTM网关能够提供细致的行为审计,可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。
参考文献:
[1] 刘建伟. 网络安全--技术与实践(第2版),清华大学出版社,2011
[2] 刘天华.网络安全,科学出版社,2010
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
2022-08-06 11:50:12
2022-07-04 08:40:26
2022-10-22 09:12:16
2022-10-14 10:48:39
2022-07-07 09:26:04
2022-11-21 09:21:30
