時間:2023-01-22 15:15:30
導語:在網絡安全方案的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
一、計算機網絡安全方案設計與實現概述
影響網絡安全的因素很多,保護網絡安全的技術、手段也很多。一般來說,保護網絡安全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術,等等。為了保護網絡系統的安全,必須結合網絡的具體需求,將多種安全措施進行整合,建立一個完整的、立體的、多層次的網絡安全防御體系,這樣一個全面的網絡安全解決方案,可以防止安全風險的各個方面的問題。
二、計算機網絡安全方案設計并實現
1.桌面安全系統
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
本設計方案采用清華紫光公司出品的紫光S鎖產品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內部的芯片操作系統COS(Chip Operating System)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數據的侵入和數據的篡改,防止非法軟件對S鎖進行操作。
2.病毒防護系統
基于單位目前網絡的現狀,在網絡中添加一臺服務器,用于安裝IMSS。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數據庫中,可防止病毒入侵到LotueNotes的數據庫及電子郵件,實時掃描并清除隱藏于數據庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統對原系統的影響,另一方面使所有服務器的防毒系統可以從單點進行部署,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個企業范圍內進行配置、監視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發部署,網絡的分析和病毒統計功能以及自動下載病毒代碼文件和病毒爆發警報,給管理帶來極大的便利。
3.動態口令身份認證系統
動態口令系統在國際公開的密碼算法基礎上,結合生成動態口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統的安全性。
4.訪問控制“防火墻”
單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻,分別配置在高性能服務器和三個重要部門的局域網出入口,實現這些重要部門的訪問控制。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段,彼此隔離。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數據服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。
5.信息加密、信息完整性校驗
為有效解決辦公區之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數據的完整性、真實性和私有性。
SJW-22網絡密碼機系統組成
網絡密碼機(硬件):是一個基于專用內核,具有自主版權的高級通信保護控制系統。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統)上的對全網的密碼機設備進行統一管理的系統軟件。
6.安全審計系統
根據以上多層次安全防范的策略,安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法,“內審”是對系統內部進行監視、審查,識別系統是否正在受到攻擊以及內部機密信息是否泄密,以解決內層安全。
安全審計系統能幫助用戶對安全網的安全進行實時監控,及時發現整個網絡上的動態,發現網絡入侵和違規行為,忠實記錄網絡上發生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統包括識別、記錄、存儲、分析與安全相關行為有關的信息。
在安全網中使用的安全審計系統應實現如下功能:安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
本設計方案選用“漢邦軟科”的安全審計系統作為安全審計工具。
漢邦安全審計系統是針對目前網絡發展現狀及存在的安全問題,面向企事業的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網范圍內的網絡安全監視監測、控制系統。
(1)安全審計系統由安全監控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監視的目標主機上,其監視目標主機的人機界面操作、監控RAS連接、監控網絡連接情況及共享資源的使用情況。安全監控中心是管理平臺和監控平臺,網絡管理員通過安全監控中心為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。
①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。
②主機信息審計:對網絡內公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統類型、IP地址信息。
(2)資源監控系統主要有四類功能。①監視屏幕:在用戶指定的時間段內,系統自動每隔數秒或數分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。
②監視鍵盤:在用戶指定的時間段內,截獲Host Sensor Program用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結束。
③監測監控RAS連接:在用戶指定的時間段內,記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束。當gas連接非法時,系統將自動進行報警或掛斷連接的操作。
④監測監控網絡連接:在用戶指定的時間段內,記錄所有的網絡連接信息(包括:TCP, UDP,NetBios)。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表,當出現非法連接時,系統將自動進行報警或掛斷連接的操作。
單位內網中安全審計系統采集的數據來源于安全計算機,所以應在安全計算機安裝主機傳感器,保證探頭能夠采集進出網絡的所有數據。安全監控中心安裝在信息中心的一臺主機上,負責為主機傳感器設定監控規則,同時獲得監控結果、報警信息以及日志的審計。單位內網中的安全計算機為600臺,需要安裝600個傳感器。
7.入侵檢測系統IDS
入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全的立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視,這從國際入侵檢測產品市場的蓬勃發展就可以看出。
根據網絡流量和保護數據的重要程度,選擇IDS探測器(百兆)配置在內部關鍵子網的交換機處放置,核心交換機放置控制臺,監控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。
在單位安全內網中,入侵檢測系統運行于有敏感數據的幾個要害部門子網和其他部門子網之間,通過實時截取網絡上的是數據流,分析網絡通訊會話軌跡,尋找網絡攻擊模式和其他網絡違規活動。
8.漏洞掃描系統
本內網網絡的安全性決定了整個系統的安全性。在內網高性能服務器處配置一臺網絡隱患掃描I型聯動型產品。I型聯動型產品適用于該內網這樣的高端用戶,I型聯動型產品由手持式掃描儀和機架型掃描服務器結合一體,網管人員就可以很方便的實現了集中管理的功能。網絡人員使用I型聯動型產品,就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描,可以實現和IDS、防火墻聯動,尤其適合于制定全網統一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻,實現分布式掃描,服務器和掃描儀都支持定時和多IP地址的自動掃描,網管人員可以很輕松的就可以進行整個網絡的掃描,根據系統提供的掃描報告,配合我們提供的三級服務體系,大大的減輕了工作負擔,極大的提高了工作效率。
聯動掃描系統支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理,網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網段、穿透防火墻,對重點的服務器和網絡設備直接掃描防護,這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能地消除安全隱患。
在防火墻處部署聯動掃描系統,在部門交換機處部署移動式掃描儀,實現放火墻、聯動掃描系統和移動式掃描儀之間的聯動,保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協調性,最大可能的消除安全隱患,盡可能早地發現安全漏洞并進行修補,優化資源,提高網絡的運行效率和安全性。
三、結束語
隨著網絡應用的深入普及,網絡安全越來越重要,國家和企業都對建立一個安全的網絡有了更高的要求。一個特定系統的網絡安全方案,應建立在對網絡風險分析的基礎上,結合系統的實際應用而做。由于各個系統的應用不同,不能簡單地把信息系統的網絡安全方案固化為一個模式,用這個模子去套所有的信息系統。
本文根據網絡安全系統設計的總體規劃,從桌面系統安全、病毒防護、身份鑒別、訪問控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案,目的是建立一個完整的、立體的、多層次的網絡安全防御體系。
參考文獻:
[1]吳若松:新的網絡威脅無處不在[J].信息安全與通信保密,2005年12期
[2]唐朝京張權張森強:有組織的網絡攻擊行為結果的建模[J].信息與電子工程,2003年2期
關鍵詞:企業網絡;信息安全;安全方案構建
1 企業計算機網絡安全方案的構建意義
目前,我國大中型企業信息化建設中的關鍵部分就是信息安全建設,解決信息安全問題有利于企業信息化建設工作的全面推進。企業信息安全建設的最終目的是要真正做到“防患于未然”,信息安全的有效性建設能夠控制企業信息化建設的總體成本,為企業節約大量資金,實現資源優化配置。企業計算機網絡安全建設工作要始終堅持等級保護理念,才能促進企業信息安全建設工作的穩步實施,保證企業信息管理系統的建設符合行業標準和政策規定,全面提升企業在激烈的市場競爭中的競爭力。
2 企業計算機網絡安全的弱點和威脅
2.1 信息安全弱點
信息安全弱點與企業信息資源密切相關,信息安全弱點的暴露很有可能導致企業資產的嚴重損失。但是,信息安全弱點本身并不會為企業帶來損失,只是在特定的環境下被非法者利用后才會造成企業資產損失,例如,企業信息系統開發過程中的脆弱性問題,管理員的管理措施問題等,這些信息安全弱點都為非法攻擊者提供了非法入侵的可能。
2.2 信息安全威脅
信息安全威脅指的是對企業資產構成潛在性的破壞因素,信息安全威脅的產生包括人為因素和自然環境因素。信息安全威脅可能是偶然發生的事件,也有可能是人為蓄意制造的時間,包括信息泄露、信息篡改等,這些事件都會導致企業信息的可用性、完整性和保密性遭到破壞,屬于對企業信息的惡意攻擊。
2.3 網絡安全事件
由于網絡特有的開放性特點,造成了非法攻擊、黑客入侵、病毒傳播等海量安全事件發生,信息安全領域對于網絡安全的研究也日益重視。根據大量網絡安全事件分析來看,企業信息管理系統的應用設計存在著諸多缺陷和弊端,給情報機構的非法入侵提供了極大的可能性。由此,內容分級制度、脆弱性檢測技術、智能分析技術已經廣泛應用于企業信息系統開發過程中。
3 企業計算機網絡安全存在的主要問題
⑴企業分部采用寬帶撥號上網的方式與企業總部實現通信傳輸,這種落后的網絡通信方式難以保證數據傳輸的安全性。企業信息安全級別較高的部門通過互聯網實現數據傳輸的過程中,沒有采取任何數據加密措施,非常容易造成數據信息的泄露和篡改,同時,企業信息管理系統的操作應用沒有設置明確的管理人員,導致其他非法用戶也可以入侵到企業內部網絡中,對服務器數據進行竊取和篡改。以上兩種網絡安全問題都容易造成企業重要數據的泄露,甚至給企業帶來不看估計的損失。
⑵隨著企業網絡規模的日益擴大,在網絡邊界如果仍然采用路由器連接企業內部網絡和外部網絡,已經無法適應飛速發展的網絡互連技術。企業雖然可以在網絡邊界的路由器中設置訪問控制策略,但是仍然存在來自互聯網的各種非法攻擊、IP地址攻擊、ARP協議欺騙等問題,這表明了企業需要一善可靠的防火墻設備,來對企業網絡的數據傳輸提供有效控制和保護。
⑶由于互聯網技術的飛速發展,為企業提供了豐富的信息資源,除了企業日常運營需要使用網絡資源,其他工作人員也有可能通過網絡獲取信息資源,例如使用迅雷、BT等軟件下載視音頻信息等,網絡下載會占用企業大部分帶寬資源,嚴重的會導致系統管理員無法對網絡終端的訪問情況進行有效管理,或者某一個計算機終端因下載感染病毒而引發ARP欺騙。
⑷隨著互聯網應用的日益普及,木馬病毒的廣泛傳播,企業員工計算機使用水平參差不齊,不能保證對網絡中的有害信息進行有效識別,由此導致了木馬病毒在企業內部網絡的感染和傳播。因此,需要定期對企業數據傳輸的原始數據流進行病毒查殺和威脅分析,以此起到有害信息過濾的作用,使流入企業內部網絡的數據信息能夠安全可靠,真正降低企業信息安全風險。同時,企業可以采用網關防病毒產品,在企業內部網絡與外部網絡處進行隔離保護,當木馬病毒出現時可以被攔截在企業內部網絡之外,為企業提供可靠的安全邊界保護。
4 企業計算機網絡安全方案的構建實施
企業總部需要與企業分部,以及其他合作企業之間實現數據傳輸與交換,企業派往外地出差的員工也需要通過遠程網絡訪問企業總部內網的信息管理系統,因此,不同用戶企業總部內部網絡的訪問有著不同需求,企業必須具有安全可靠、性能較高、成本較低的網絡接入方式。由于企業分部大部分與企業總部不在一個城市,在企業總部與企業分部之間鋪設光纜線路是極為不現實的;如果租用專用光纖網絡通信線路,高額的租賃費用會嚴重增加企業運營發展的經濟負擔;如果將企業總部內部網絡的應用服務器映射在網關位置,雖然能夠方面用戶遠程訪問企業內部信息管理系統,但會給企業網絡帶來巨大的安全隱患。本文基于以上分析,本文選擇利用VPN技術(虛擬局域網)在企業內部網絡出口處,虛擬設置一條網絡專線,以此將企業總部與企業分部網絡進行有效連接,形成一個規模較大的局域網,真正實現了用戶遠程訪問和接入。VPN技術不僅能夠滿足異地用戶對企業總部網絡信息管理系統的訪問需求,而且充分保證了用戶訪問的安全性,避免了單點登錄技術對企業整個網絡構成的安全威脅。
企業在部署上網行為管理設備(SINFOR M5X00-AC)時,應該開啟VPN功能,在企業總部內部網絡的邊界防火墻設備中進行端口映射,同時在企業分部網絡中安裝上網行為管理設備,并且與企業總部的上網行為管理設備共同利用VPN技術建立虛擬專用網絡,在對數據信息進行加密后在互聯網上傳輸。企業在構建虛擬專用網絡時,只要在任何一端的連接管理設置中輸入對方網絡地址,VPN設備就可以自動進行虛擬局域網組建,網絡中的任何計算機終端都可以通過虛擬專用網實現數據傳輸與共享。如果還有其他分部需要加入到虛擬局域網中,則可以通過輸入加密的訪問WAN扣地址實現。需要注意的是,已將連通的虛擬局域網的內網網段不能完全相同。
企業在部署上網行為管理設備時,由于訪問控制策略是信息安全策略的核心部分,也是對網絡中數據傳輸的關鍵保護措施,由此,需要對接入企業總部網絡的用戶進行身份認證,根據不同用戶的身份授予不同權限,再利用配置邏輯隔離服務器實現不同用戶身份對不同應用服務器的接入,從而對企業內部網絡中的業務信息管理系統進行訪問和使用。同時,安全級別為五級的QoS安全機制能夠為企業不同信息系統提供相應的安全服務保障,并且可以按照業務類別劃分優先級別,重要的數據信息將會獲得優先傳輸的權限。對用戶訪問權限的細致劃分可以限制非法用戶對網絡資源的訪問和使用,防止非法用戶入侵企業內部網絡進行破壞性操作,直接對接入企業內部網絡的各項訪問應用進行管控,真正提高了企業網絡系統的安全性。
在企業內部網絡部署應用安全產品過程中,需要綜合考慮如何完成安全產品的部署策略,才能使安全產品的性能充分發揮,同時,企業內部網絡還可以將不同的安全產品集成應用,使其發揮最大功能,充分提高企業信息管理系統的安全性和可靠性。
本文基于信息安全等級指導思想下,對企業內部網絡存在的問題進行了分析,并提出了良好的解決方案,包括防火墻的部署、入侵檢測設備的部署、上網行為管理設備的部署、防毒墻的部署、企業版殺毒軟件的部署等。
5 結論
綜上所述,本文在網絡信息安全等級保護理念下,將企業內部網絡的安全防護的有效性作為最終目標,對企業網絡信息安全存在的風險進行深入分析,結合企業實際情況,提出了企業計算機網絡安全設計方案,保障了企業總部內部網絡與分部網絡之間數據傳輸通信的安全性和可靠性。
[參考文獻]
[1]李正忠.電力企業信息安全網絡建設原則與實踐[J].中國新通信,2013,09:25-27.
[2]王迅.電信企業計算機網絡安全構建策略分析[J].科技傳播,2013,07:217+209.
[3]陳瑋.企業無線網絡移動辦公的安全接入問題分析[J].信息通信,2013,03:239.
接連不斷的蠕蟲病毒使當前安全技術和措施的有效性再次受到質疑。盡管安全是世界上所有機構的頭等大事之一,安全攻擊事件的數量仍然是逐年攀升,造成的危害一次比一次大。在最近的數年中,大量的投資被用于阻擊安全事件的發生,但只有少數公司確保了它們網絡的安全。
特別值得一提的是,為了滿足用戶和業務的需求,時刻保持競爭優勢,企業不得不持續擴張網絡體系。然而,很多人可能不知道,網絡的每一次擴張,即便是一臺新計算機、一臺新服務器以及軟件應用平臺,都將給病毒、蠕蟲、黑客留下可乘之機,為企業網絡帶來額外的安全風險。同時,純病毒時代已經一去不復返,幾年前占據著新聞頭條的計算機病毒事件在今天看來已經不是什么新聞,取而代之的是破壞程度呈幾何增長的新型病毒。這種新型病毒被稱為混合型病毒,這種新病毒結合了傳統電子郵件病毒的破壞性和新型的基于網絡的能力,能夠快速尋找和發現整個企業網絡內存在的安全漏洞,并進行進一步的破壞,如拒絕服務攻擊,拖垮服務器,攻擊計算機或系統的薄弱環節。在這種混合型病毒時代,單一的依靠軟件安全防護已開始不能滿足客戶的需求。
網絡安全不只是軟件廠商的事
今年上半年,網絡安全軟件及服務廠商——趨勢科技與網絡業界領導廠商——思科系統公司在北京共同宣布簽署了為企業提供綜合性病毒和蠕蟲爆發防御解決方案的合作協議。該協議進一步擴展了雙方此前針對思科網絡準入控制(NAC)計劃建立的合作關系,并將實現思科網絡基礎設施及安全解決方案與趨勢科技防病毒技術、漏洞評估和病毒爆發防御能力的結合。
根據合作協議,思科首先將在思科IOS路由器、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(IDS)軟件中添加趨勢科技的網絡蠕蟲和病毒識別碼技術。此舉將為用戶提供高級的網絡病毒智能識別功能和附加的實時威脅防御層,以抵御各種已知和未知的網絡蠕蟲的攻擊。
“在抵御網絡蠕蟲、防止再感染、漏洞和系統破壞的過程中,用戶不斷遭受業務中斷的損失,這導致了對更成熟的威脅防御方案需求的增長。”趨勢科技創始人兼首席執行官張明正評論說,“傳統的方法已無法滿足雙方客戶的需求。”
“現在的網絡安全已不是單一的軟件防護,而是擴充到整個網絡的防治。”思科全球副總裁杜家濱在接受記者采訪時表示:“路由器和交換機應該是保護整個網絡安全的,如果它不安全,那它就不是路由器。從PC集成上來看,網絡設備應該能自我保護,甚至實現對整個網絡安全的保護。”
業界專家指出,防病毒與網絡基礎設施結合,甚至融入到網絡基礎架構中,這是網絡安全的發展潮流,趨勢科技和思科此次合作引領了這一變革,邁出了安全發展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話,我們不難發現這是雙方的一步好棋,兩家公司都需要此次合作。
作為網絡領域的全球領導者,思科一直致力于推動網絡安全的發展并獨具優勢。自防御網絡(Self-DefendingNetwork,SDN)計劃是思科于今年3月推出的全新的安全計劃,它能大大提高網絡發現、預防和對抗安全威脅的能力。思科網絡準入控制(NAC)計劃則是SDN計劃的重要組成部分,它和思科的其他安全技術一起構成了SDN的全部內涵。
SDN是一個比較全面、系統的計劃,但是它缺乏有效的病毒防護功能。隨著網絡病毒的日見猖獗,該計劃防毒功能的欠缺日益凸顯。趨勢科技領先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢科技作為網絡安全軟件及服務廠商,以卓越的前瞻和技術革新能力引領了從桌面防毒到網絡服務器和網關防毒的潮流。趨勢科技的主動防御的解決方案是防毒領域的一大創新,其核心是企業安全防護戰略(EPS)。EPS一反過去被動地以防毒軟件守護的方式,將主動預防和災后重建的兩大階段納入整個防衛計劃當中,并將企業安全防護策略延伸至網絡的各個層次。
“如果此次與思科合作的不是趨勢科技,我們恐怕連覺都睡不好。”張明正的戲言無不透露出趨勢科技對此次合作的迫切性和重要性。
更讓張明正高興的是,通過此次合作,趨勢科技大大擴充了渠道。“我們的渠道重疊性很小。”張明正表示。而此次“1+1<2”的低成本產品集成將使這次合作發揮更大的空間。
網絡安全路在何方?
如今,雖然業界有形形的安全解決方案,網絡安全的形勢卻不斷惡化。究其原因,主要是由于現在的網絡威脅形式越來越多,攻擊手段越來越復雜,呈現出綜合的多元化的特征。
關鍵詞:關鍵詞:防火墻;新一代;網絡安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:
0 序言
近年來,隨著互聯網在全球的迅速發展和各種互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。同樣,隨著企業信息化的迅速發展,基于網絡的應用越來越廣泛,特別是企業內部專網系統信息化的發展日新月異—如:網絡規模在不斷擴大、信息的內容和信息量在不斷增長,網絡應用和規模的快速發展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網絡維護者不得不對潛在的威脅進行防御及網絡安全系統建設,多種威脅技術的變化發展及威脅對企業專網系統的IT安全建設提出了更高的要求。
1.安全風險背景
隨著計算機技術、通信技術和網絡技術的發展,接入專網的應用系統越來越多。特別是隨著信息化的普及需要和總部的數據交換也越來越多。對整個系統和專網的安全性、可靠性、實時性提出了新的嚴峻挑戰。而另一方面,Internet技術已得到廣泛使用,E-mail、Web2.0和終端PC的應用也日益普及,但同時病毒和黑客也日益猖獗, 系統和數據網絡系統的安全性和可靠性已成為一個非常緊迫的問題。
2.網絡安全方案
防火墻是最具策略性的網絡安全基礎結構組件,可以檢測所有通信流。因此,防火墻是企業網絡安全控制的中心,通過部署防火墻來強化網絡的安全性,是實施安全策略的最有效位置。不過,傳統的防火墻是依靠端口和通信協議來區分通信流內容,這樣導致精心設計的應用程序和技術內行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術、使用 SSL、利用 80 端口秘密侵入或者使用非標準端口來繞過這些防火墻。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應用控制的結果會讓企業暴露在商業風險之下,并使企業面臨網絡中斷、違反規定、運營維護成本增加和可能丟失數據等風險。用于恢復可視化和控制的傳統方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨部署其他的“輔助防火墻”。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發掃描進程)的不足,均無法解決可視化和控制問題。現在需要一種完全顛覆式的方法來恢復可視化和控制。而新一代防火墻也必須具備如下要素:
(1)識別應用程序而非端口:準確識別應用程序身份,檢測所有端口,而且不論應用程序使用何種協議、SSL、加密技術或規避策略。應用程序的身份構成所有安全策略的基礎。(識別七層或七層以上應用)
(2)識別用戶,而不僅僅識別 IP 地址。利用企業目錄中存儲的信息來執行可視化、策略創建、報告和取證調查等操作。
(3)實時檢查內容。幫助網絡防御在應用程序通信流中嵌入的攻擊行為和惡意軟件,并且實現低延遲和高吞吐速度。
(4)簡化策略管理。通過易用的圖形化工具和策略編輯器(來恢復可視化和控制
(5)提供數千兆位或萬兆位的數據吞吐量。在一個專門構建的平臺上結合高性能硬件和軟件來實現低延遲和數千兆位的數據吞吐量性能
2.1 產品與部署方式
本文就Palo Alto Networks 新一代安全防護網關部署方案進行探討,該產品采用全新設計的軟/硬件架構,可在不影響任何服務的前提下,以旁路模式、透明模式等接入現有網絡架構中,協助網管人員進行環境狀態分析,并將分析過程中各類信息進行整理后生成報表,從而進一步發現潛在安全風險,作為安全策略調整的判斷依據。
2.2 解決方案功能
本方案產品突破了傳統的防火墻和UTM的缺陷,從硬件設計和軟件設計上進一步強化了網絡及應用的安全性和可視性的同時保持應用層線速的特性。主要功能如下:
(1)應用程序、用戶和內容的可視化
管理員可使用一組功能強大的可視化工具來快速查看穿越網絡的應用程序、這些應用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業務相關的安全策略。
(2)應用程序命令中心:這是一項無需執行任何配置工作的標準功能,以圖形方式顯示有關當前網絡活動(包括應用程序、URL 類別、威脅和數據)的大量信息,為管理員提供所需的數據,供其做出更為合理的安全策略決定。
(3)管理:管理員可以使用基于 Web 的界面、完全的命令行界面或集中式管理等多種方式來控制防火墻。可基于角色的管理,將不同的管理職能委派給合適的個人。
(4)日志記錄和報告:可完全自定義和安排的預定義報告提供有關網絡上的應用程序、用戶和威脅的詳細視圖。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨特的識別技術,以統一策略方式對使用者(群組)、應用程序及內容提供訪問控制、安全管理及帶寬控制解決方案,此創新的技術建構于 “單通道平行處理 (SP3)”先進的硬件+軟件系統架構下,實現低延遲及高效率的特性,解決傳統FW+IPS+UTM對應用處理效能不佳的現況。
(2)實現了對應用程序和內容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達 10Gbps,精確地識別應用程序使用的端口、協議、規避策略或 SSL 加密算法,掃描內容來阻止威脅和防止數據泄露。
(3)對網絡中傳輸的應用程序和用戶進行深度識別并進行內容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉址功能:傳統NAT服務,僅能利用單一或少數外部IP地址,提供內部使用者做為IP地址轉換之用,其瓶頸在于能做為NAT轉換的外部IP地址數量過少,當內部有不當使用行為發生,致使該IP地址被全球ISP服務業者列為黑名單后,將造成內部網絡用戶無法存取因特網資源;本方案提供具有多對多特性的地址轉換服務功能,讓IT人員可以利用較多的外部IP地址做為地址轉換,避免因少數外部IP被封鎖而造成無法上網,再次提升網絡服務質量。
(5)用戶行為控制:不僅具備廣泛應用程序識別能力,還將無線網絡用戶納入集中的控制管理,可對無線網絡使用情況,提供最為詳細豐富的用戶使用數據。
(6)流量地圖功能:流量地圖清楚呈現資料流向并能連結集中化的事件分析界面。
3.總結
新一代防火墻解決了網絡應用的可視性問題,有效杜絕利用跳端口技術、使用SSL、80端口或非標準端口繞過傳統防火墻攻擊企業網絡行為,從根本上解決傳統防火墻集成多個安全系統,卻無法真正有效協同工作的缺陷,大大提高數據實時轉發效率,有效解決企業信息安全存在的問題。
參考文獻:
[1] 孫嘉葦;對計算機網絡安全防護技術的探討 [J];《計算機光盤軟件與應用》 2012年02期。
關鍵詞:IP專用網絡;網絡安全;系統
1 概述
近年來IP網絡不斷發展,資源共享給軍事、政治和經濟等領域帶來了不盡的方便與快捷。在網上可以隨時索取所需資料,可以傳送電子郵件,還可以網上購物等等。然而當計算機遭受“黑客” 圖謀不軌的惡意攻擊時,你會發現部分數據已被竊取、修改和破壞,IP網絡背后存在的安全隱患也就將暴露無疑。隨著IP網絡系統和數據等安全問題的出現,引起計算機領域、通信領域以及相關領域的重視。
2 IP專用網絡系統安全需求分析
2.1 IP專用網絡系統應用特點
根據IP專用網絡的使用實際,主要網絡應用有實時數據傳輸、語音信息傳輸處理、視頻信息傳輸處理、多媒體信息傳輸處理和由數據庫作后臺支持的MIS應用系統等。盡管各種網絡應用千差萬變,但應用主體在網絡中扮演的角色是一致的。網絡應用中有兩種重要的角色:客戶與服務器。而網絡的信息流向不外乎以下三種方式:客戶與客戶之間;客戶與服務器之間;服務器與服務器之間。IP專用網絡系統應用形式是第二、三種結合。
2.2 IP專用網絡系統安全需求
無論信息傳遞的收、發方是誰,網絡安全包括:在網絡正常運行時,受到外來攻擊,能夠保證網絡系統繼續運行。網絡管理系統設置等重要資料不被破壞。數據安全保證數據不被竊取、修改和破壞。具有先進的入侵防范體系,對于圖謀不軌的惡意行為能夠及時發現、記錄和跟蹤。訪問控制和身份認證機制,確保應用系統不被非法訪問。保障合法用戶的正常請求得到安全服務,防范來自網絡內部其它系統的破壞所造成的安全隱患。系統和數據在遭到破壞時能夠及時恢復。
2.3 IP專用網絡系統安全的功能
建立IP專用網絡系統安全體系應具備加密通訊、簽名/認證、備份/恢復、多層防御、內部信息加密、安全審計等功能。
3 IP專用網絡系統安全方案設計
3.1 安全系統總體結構
從提供網絡有效信息服務的角度來看,網絡系統安全包括:硬件配置及基礎設施應確保支持系統的不間斷運行;軟硬件運行環境應確保系統正確、可靠運行。從網絡系統組成的角度來看,系統安全可分為五個層次:物理層的硬件平臺安全、系統層的操作系統和數據庫系統安全、網絡層的網絡系統安全、應用層的應用系統安全和管理層的系統安全管理。
3.2 物理層安全
硬件平臺的安全主要是支持軟件系統正確、可靠運行,同時又要防止物理上可能造成的信息泄露。無線信道必須采取加密手段;外網連接必須采用硬件防火墻設備;選用符合電磁兼容性等要求的IP專用網絡設備;機房建設應符合電磁兼容性要求。
3.3 系統層安全
網絡操作系統安全是防止系統在正常運行狀態下遭受破壞;數據庫系統安全主要保護以庫結構形式存放的數據,防止非授權用戶以各種非法途徑獲取,并確保數據庫系統運行正常。
建立用戶權限認證體系,健全系統訪問日志,提供有效的監督機制。用戶權限認證屬于網絡層的安全策略。系統管理員負責監督管理所有系統資源的分配、控制,分配不同級別的用戶權限,進行數據庫的備份與恢復;系統工程師負責操作系統中的所有設置和網絡參數;系統操作員負責操作系統中的部分設置和網絡參數;只讀用戶只能監視系統中的設備狀態。
系統內部安全防范也可采用先進的具有中國版權的指紋識別系統,指紋識別系統采用活體指紋實行密碼登錄,確保系統安全,它與口令雙重加密,更無懈可擊。
3.4 網絡層安全
網絡隱患掃描是在非法入侵之前,幫助系統管理員主動對網絡上的設備進行安全測試。外部掃描是模擬黑客攻擊的過程在網絡上進行掃描,并分析掃描信息,結合不斷更新的漏洞庫來發現網絡存在的隱患;內部掃描是模擬系統管理員從主機內部掃描,檢查一切和網絡安全有關的配置是否正確,從而從內部清除隱患。入侵檢測系統用來檢查一個局域網段上的通信,可以和防火墻設備配合來監測來自外部的通信;可以監測內部網絡用戶對于敏感數據或應用系統的使用情況。當發現可疑行為時,網絡監測預警系統能夠根據系統安全策略做出反應,實時報警、事件登錄、自動阻斷通信連接或執行其它有效安全策略。
3.5 應用層安全
應用層安全策略可采用防止病毒侵害手段,建立完整的防病毒體系。如在網絡管理系統環境,購買并安裝Norton Antivirus或其他國產網絡防殺病毒軟件。為保護主機端數據的完整性,也采用有效的數據備份及恢復系統。
3.6 管理層安全
制定相應的管理制度和操作規范:制定機房管理制度、系統管理員職責、機房值班員守則、數據庫管理規定及網絡安全管理規范等;制定嚴格的操作規程,明確各級人員職責和權限,各負其責,不允許超越自己的管轄范圍;制定完備的系統運行維護制度;強化各類人員的安全意識,嚴格按照有關規定辦事。
4 結束語
IP專用網絡安全的需求分析必須切合實際,網絡安全設計的目標和原則要合理可行,IP專用網絡安全方案的設計方法適合其它類型網絡的安全設計。全面的安全策略需要投入大量的軟、硬件設備,付出可觀的資金。根據IP專用網的實際需求和經費支持情況,可以適當采用方案中的部分安全策略,達到理想的安全防范目的。
參考文獻
網絡外部的黑客。這是計算機網絡當前面臨的最大也是最嚴重的威脅,它也是我們需要重點防范的對象。一般來說,如果黑客非法入侵了政治、經濟、科學等領域計算機網絡中,則會對其中存儲及傳輸的數據進行大量盜用、暴露以及篡改,往往造成難以估計的損失。
當前計算機網絡安全問題的對策
網絡系統健壯性和網絡安全威脅有著極大的關系,基于此,我們要想真正確保計算機網絡的安全,則要由其安全體系結構出發,對其進行深入的分析,采取一些合理有效的措施來保證計算機網絡的安全。
1管理的安全對策。管理問題屬于網絡安全問題中最為核心的一個問題,這主要是因為在實現網絡安全的過程中,人是主體,假如缺乏一個有效的管理機制,那么無論網絡安全方案的實施多么到位都沒有任何意義。因此,我們在工作中首先要加強網絡安全方面的培訓工作,并制定出系統維護以及網絡維護的規程,建立一套有效的應急預案,并通過一些技術手段來實現計算機網絡安全管理的規范化、制度化。
2物理安全對策。要想實現計算機網絡安全結構,那么確保計算機實體的安全則是一項基礎工作。在我們的工作中要盡量防止計算機的硬件以及通信線路受到人為破壞以及自然災害的影響。具體來說,我們要先對其物理性狀進行分析,得出隱患及有可能出現的威脅,并以此為基礎使用電磁屏蔽技術對電磁泄漏進行控制、采取避雷措施避免雷電干擾、利用防火、防塵、防震、防水以及防靜電措施確保計算機場地的安全標準,最終實現一個多角度、全方位的保障。
3計算機系統安全。當前系統安全中主要面臨的問題是黑客的侵入以及病毒的威脅。近年來,隨著網絡的飛速發展,病毒的傳播途徑出現了很大的額變化,由以往通過光盤、軟盤傳播變為當前的網絡傳播,這種傳播方式破壞性更大、波及范圍更廣。針對這一背景,我們要提升防范病毒的觀念,加強日常的檢測及殺毒工作,一旦發現病毒要及時的消滅,避免其擴散。至于黑客,其主要目標是對系統進行篡改以及竊取數據,因此我們要加強漏洞的掃描以及做好入侵檢測工作。此外,在系統安全方面,針對一些突發性、不可預知的問題,可以通過系統的備份來應對,起到“有備無患”的效果。
4網絡層安全。對于網絡層的安全性來說,其核心是是否能夠對IP地址來源進行控制。當前在網絡層安全面應用較多的技術是防火墻技術,它的原理是將Internet網和內部網分開,然后在網絡邊界上建立一個網絡通信監控系統,當兩個網絡通訊的時候則會執行訪問控制尺度,以此對IP來源安全性進行判斷,進而對未經授權或者危險的IP起到監測、限制的作用,最終確保系統的安全性和保密性。實際原理上來看的話,防火墻的技術主要包括了網絡級防火墻、電路級網關、應用級網關以及規則檢查防火墻這四大類。彼此之間各有優缺點,在應用的過程中,可以根據需要來確定使用哪一種或者對其進行混合使用。
5用戶層安全對策。用戶層的安全的保證途徑主要是合理確定使用系統資源以及數據的用戶類別。具體來說,這主要是通過用戶分組管理,依據不同安全級別對用戶進行劃分,使其分為將若干等級,對每一等級用戶所能夠訪問的系統資源及數據進行限定。此外,還有一個重要的對策是對用戶身份認證進行加強,確保和網絡進行連接用戶的身份合法性,這也可以提升用戶層安全性系數。
6數據安全對策。為了提升系統及數據的保密性和安全性,數據加密技術獲得了廣泛得應用,它是我們確保數據不受外部破壞的有效、靈活手段。一般來說,數據加密又可以分為鏈路加密、端對端加密以及節點加密這三種。
其中,最常用的加密技術為鏈路加密;而節點加密則是在對鏈路加密進行改進之后得到的;至于端對端加這一中加密技術則主要面向網絡中高層主體,多通過軟件來實現。
具體來說,數據加密技術的加密過程是使用各種加密算法來完成的,主要從密鑰管理、數據傳輸、數據完整性、數據存貯這幾個方面保對數據信息進行保護,實現了即使數據被失竊,攻擊方也不能夠輕易的識別數據內容。相對于以上對策而言,這類對策比較被動,但是其效果和作用卻是不容忽視的。整體來說,這6個層面上的對策是環環相扣、緊密相連的,它們之間互為補充,我們只有在每個環節上都做好才能最大限度確保網絡的安全。
結語
筆者從眾多開設網絡工程專業的高校中選取部分211或985學校作為研究對象,對多所學校的網絡安全方向課程的設置進行了對比分析,見表1。網絡安全在某些高校是作為網絡工程專業的一個方向開設,如吉林大學就是在網絡工程專業下設網絡安全方向,開設網絡攻防技術、無線網絡技術等課程;而在有些院校網絡工程中沒有網絡安全方向,而以單獨的信息安全專業存在,如電子科技大學和北京郵電大學都是單獨設有信息安全專業,該專業開設的安全方向課程更全面,如信息安全數學基礎、密碼學基礎、網絡安全協議等;還有一些高校既沒有信息安全專業,在網絡工程專業中也沒有安全方向,只是在課程中設置了少量的安全類課程,如大連理工大學開設網絡安全、Matlab課程,中山大學開設了密碼學與網絡安全課程。
2擴展課程設置探討
下面針對濟南大學的網絡工程專業安全方向開設的課程進行改革探討。濟南大學網絡工程專業目前正在使用的培養方案中與安全相關的課程設置情況見表2。其中,一部分是計算機類學科基礎課,一部分是網絡工程專業基礎選修課和專業方向課。濟南大學網絡工程專業中設有網絡安全方向。結合山東省名校工程的契機,筆者在調研多個名校的培養方案并結合本校實際情況的前提下,對網絡安全方向課程的設置提出下面幾個調整意見。
2.1增設信息安全數學基礎和網絡仿真課程
雖然原有培養方案中高等數學、線性代數、概率論與數理統計、離散數學4門數學課程都占據了大量學時,但是對于網絡安全方向的學生而言,后期用到的相關數學知識并不多。但是學生對網絡安全真正用到的初等數論和群環域知識卻一點都沒有接觸。因此,修改培養方案時應增設信息安全數學基礎課程,學時不用太多,可以為24學時,授課內容要涉及網絡安全中用到的模運算、同余理論、數論函數和群環域等知識。目前,網絡安全方向用到的數學知識均是在應用密碼學課程中講解的。大部分有關密碼學的教材都會在講解分組密碼和公鑰密碼時,介紹一些與之密切相關的數學知識(如群環域),如由清華大學出版社出版,楊波編寫的《現代密碼學》(第二版)[3]中的“密碼學中一些常用的數學知識”部分。這種做法一方面占了密碼學課程的部分學時,勢必會減少學生學到的密碼學知識;另一方面,臨時講一些數學知識并不能讓學生系統地理解。因此,筆者非常贊成清華大學馮克勤教授提出的增設初等數論課程的想法[4]。雖然馮教授是針對清華大學數學科學系本科生提出的,但對于網絡安全方向的學生而言,不學習初等數論和群環域知識,很難理解和掌握后續的與安全相關的課程內容,這點在應用密碼學課程中尤其明顯。例如,學習離散對數算法后,學生只知道在已知一些參數的情況下如何利用指數進行加密解密,但不能理解如何選擇參數,不知道什么是本原元,如何確定一個循環群的本原元以及如何利用模運算降低計算量,如何快速的編程實現。筆者采用不同于上述馮教授提出的在大學第1學期開設初等數論課程的方式,而是在第3學期開設。因為濟南大學在第1、2學期,學生必修高等數學和線性代數課程,這已經使學生無暇顧及更多的數學知識。第3學期開設信息安全數學基礎可以很好地和第4學期開設的應用密碼學課程銜接。另外,在信息安全數學基礎課程中,安排一定的實驗學時,讓學生在經過第1、2學期的程序設計課程之后,通過學過的編程語言實現數論和群環域中的一些算法,理論聯系實際,從而更好地掌握數學知識,為后續密碼學算法的研究奠定基礎。
2.2增加網絡仿真課程
現代網絡技術的研究離不開仿真軟件,因為我們不可能實際搭建網絡,如果不合適,再拆了重新搭建,這不僅費時而且費力。現在所有與網絡相關的研究都在仿真基礎上進行;而如果不開設仿真課程,學生僅學習理論知識,會與實際應用脫離。濟南大學的信息安全教學團隊由5位博士組成,其中3人是數學專業背景,主要研究網絡安全,2人是計算機學科出身,主要研究無線網絡,而且5人中有2人具有工程背景。信息安全教學團隊負責網絡工程專業的所有安全類課程的教學,包含無線網絡和網絡協議等課程,這些課程都需要仿真軟件的配合才能使學生真正掌握所學知識。因此,增加網絡仿真課程是必須的。至于仿真課程的內容,可以選擇NS2或NS3,也可以與大連理工大學相似,采用Matlab。
2.3合并網絡協議和網絡安全協議課程,調整其他相關課程的學分和學時
網絡協議課程主要講TCP/IP協議,內容與吉林大學的TCP/IP協議族相似,重點在網絡的分層協議,如網絡層協議、傳輸層協議等。涉及部分安全協議,如IPsec、SSL、SNMP等,這與網絡安全協議課程中再次對這些內容的講解重復,而且安全協議本身也是網絡協議的一種,因此可以考慮將安全協議和網絡協議兩個課程整合或一門全新的網絡協議課程,去掉重復內容,增加部分學分和學時,從原有的2.5學分增加到3學分,同時學時從原有的48增加到64。網絡工程專業修改培養方案后的安全方向課程設置見表3。從表3可以看出培養方案修正前后的總學分保持不變,這是因為在增加新課的同時,調整了部分課程所占學分和學時,如減少無線網絡原理與技術的學分,從原有的4學分減到3.5學分。這樣一方面增加了新課,另一方面整合了重復內容的課程。
關鍵詞:計算網絡;數據庫安全性;存在問題;總結優化;探討
1關于網絡數據庫的具體分析
(1)目前計算機網絡工作模塊中,必須單獨設立一個模塊進行信息數據的儲存、管理,這是計算機網絡工作的核心點、必要點,這就需要結合網絡數據庫技術。從實際應用上分析,網絡數據庫本質上是在網絡后臺建立的數據庫,通過計算機軟件控制數據庫對數據的存儲、查詢等,實現多終端訪問、控制、查詢。為了順應計算機網絡技術的工作需要,進行網絡數據庫的安全性體系的健全是必要的,這樣可以保證計算機網絡的整體安全性。這離不開相關工作模塊的控制,這需要進行計算機網絡數據庫安全理論的分析,順應計算機網絡技術的工作需要。近年來,計算機行業的數據庫安全性已經引起國際的重視。也有很多的刊物進行了計算機網絡安全性的報道。從這些刊物上可以更好的進行網絡數據庫安全性理論的分析及其汲取經驗,順應計算機時代的網絡技術的工作需要,保證計算機網絡安全領域體系的健全。這涉及到一些比較著名的計算機網絡安全性理論刊物。《電腦知識與技術》是一本面向計算機全行業的綜合性的計算機網絡論文學術刊物。稿源來自全國各高等院校,相關專業研究機構以及國內大型信息通訊、軟件研發企業設置的專業研究所。目前網絡數據庫工作模塊中,其需要進行大量數據信息的儲存,它是一種功能非常強大的載體,為了更好的提升數據庫的安全性,進行完整性及其統一性的控制是必要的,這需要應用到一系列的計算機模式,滿足網絡數據庫的工作需要,進行不同形式的工作模塊的優化,保證其整體的簡單性及其方便性。又如比較常見的瀏覽器就是比較自治、高度自由的環境,其具備高度自由性及其高度的復雜性。所以網絡數據庫面臨了諸多安全問題,例如在使用過程中發生數據丟失、被非法侵入等,數據庫的數據因此丟失、篡改。另外網絡數據庫的用戶較多,且訪問量較大,因而要求其具有可靠性,能夠進行數據的實時更新以及大文件的存取等,并且針對敏感數據資源數據庫也能夠進行存放。所以,網絡數據庫目前面臨了諸多安全隱患,在這樣的環境下,如何提高網絡數據庫的安全性,保障數據庫中的數據安全是目前計算機網絡技術發展的首要任務。
(2)目前網絡數據庫的優化過程中,進行網絡系統安全性的控制是必要的,從而保證網絡數據庫安全體系的健全,更好地進行網絡數據庫的安全性的控制,這需要進行網絡系統的整體安全性的提升,進行相關的控制安全方案的落實。我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網絡數據庫數據錯誤(;2)非法訪問非權限范圍內的數據信息:(3)攻擊數據庫的正常訪問(;4)非法竊取或篡改連接中數據庫內的數據資源信息。
2網絡數據庫安全技術體系的健全
(1)目前網絡數據庫安全技術控制模塊中,進行開發性的網絡環境的優化是必要的,從而進行各種網絡數據庫安全威脅的控制,保證各種有效性的技術方案的操作,保證網絡數據庫的自身安全性的提升。以保證數據的完整性和一致性。一般來說,網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面,具體安全技術方案有如下幾方面。目前工作模塊中,計算機網絡環境是比較復雜的,其具備高開發性。每一個進行資源訪問的用戶就需要進行身份認證,這是為了更好的進行網絡數據庫的有效訪問的控制,保證網絡數據庫的整體安全性的控制,從而提升其應用性能,滿足當下網絡數據庫的工作需要,保證計算機網絡運作環境的安全性的提升,保證用戶身份認證模塊的優化。是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中,系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數據庫連接是要求數據庫管理系統驗證用戶身份;數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。
(2)目前工作模塊中,進行數據庫加密模塊的優化是必要的,需要進行加密設置的應用,提升數據庫數據的安全性,這需要進行某些特殊加密方法的應用,這離不開特殊算法的應用,保證數據信息的改變。這需要進行授權的用戶的加密信息權限的控制,這離不開解密方法的權限控制,更好的進行信息數據庫的原始信息的加密及其控制。在數據庫加密控制過程中,必須提高加密、解密水平,從而完成數據庫信息轉化的同時,確保數據內容的真實性、完整性,優化可變信息。在網絡數據庫的應用過程中,數據備份、恢復是確保數據庫安全、數據完整的有效機制,通過數據備份和數據恢復能夠保證數據完整一致,這是目前我國計算機網絡數據庫安全措施中應用最為廣泛的機制之一。在這樣的條件下,若網絡數據庫出現故障,由于事先進行了數據備份,那么當故障發生后,管理人員可以依照備份文件對現場數據進行恢復,不但保障了數據的完整性,同時還縮短了網絡數據庫的修復時間,盡快恢復網絡運行,令其恢復到原有狀態。當前依照備份方式的不同,網絡數據庫備份機制主要有邏輯備份、動態備份以及靜態備份三種。而最常見的數據恢復技術主要包括備份文件以及磁盤鏡像兩種。
(3)目前工作模塊中,進行審計追蹤模塊的優化是必要的,這需要進行網絡數據庫操作模塊的優化,保證用戶的操作的及時跟蹤,這需要進行操作內容的分析,定期監控審計日志,保證其完整性、準確性。管理員必須嚴于律己,做好本職工作,控制可能發生的所有狀況。如此一來一旦網絡數據庫出現問題,管理員可以在最快時間內找出問題根源,解決問題。例如若數據庫受到非法存取數據,管理員通過審計日志可以快速找出責任人,并予以嚴懲。但是審計追蹤以及攻擊檢測也存在諸多問題亟待解決,還需要進一步予以完善。為確保網絡數據庫阿全,安全性控制措施的應用極為必要,只有網絡安全控制技術不斷與時俱進、得到更新,在應對當下網絡數據庫問題中才可以游刃有余,最大程度保障數據安全。
3結束語
計算機網絡技術是當前人類社會信息傳遞、發展的基礎,自新世紀以來,人類社會便進入了信息化時代。但計算機技術的成熟、網絡技術的成熟使得現代社會所需要的信息量越來越多。而面對龐大的訪問量以及數據來源、數據量,網絡數據庫技術應時而生,并發揮了巨大的作用。但隨著網絡技術的發展,網絡安全問題則成為了技術研發重點。只有保證網絡數據庫安全,才能確保數據真實可靠,才能更好地發揮計算機網絡技術作用。
參考文獻
[1]王靜.網絡環境下的數據庫安全綜述[J].合作經濟與科技,2009(5).
[2]周世忠.淺談網絡數據庫安全研究與應用[J].電腦知識與技術,2010(5).
[關鍵詞]計算機網絡 數據庫安全 安全技術方案
中圖分類號:G250.74 文獻標識碼:A 文章編號:1009-914X(2014)21-0226-01
計算機網絡環境中的信息存儲和管理都是由網絡數據庫來實現的,而隨著計算機網絡技術的廣泛普及和快速發展,網絡數據庫的安全性已經成為整個計算機網絡安全領域中的一個極為重要的問題。網絡數據庫是一種開放環境下的信息倉庫,存儲著大量非常重要的數據信息,一旦遭受各個方面的不可預測的安全攻擊,就將給用戶帶來不可估量的損失,如此大的安全隱患不得不讓我們納入考慮范疇并加以防范。
1、網絡數據庫簡介
所謂網絡數據庫是指在普通后臺建立起來的數據庫基礎之上,利用瀏覽器等各種軟件實現數據存儲、查詢等操作。其主要特征是能夠作為儲存大量數據信息的載體,同時可以保障數據的完整性和一致性。此外,瀏覽器/服務器(B/C)和客戶機/服務器模式是當前網絡數據庫部署情況下最常見的兩種形式,簡單方便。
2、網絡數據庫安全威脅
由于Internet是一個高度自治、自由開放、復雜多樣的網絡環境,因此網絡數據庫不可避免地會存在數據丟失、數據庫非法入侵、數據被篡改等安全性問題。此外,網絡數據庫具有多用戶、高可靠性、頻繁地更新和大文件存儲等基本特性,同時還存放有大量重要的敏感數據資源信息。因而,在如此安全性存在極大威脅的背景下,如何采取措施保障網絡數據庫免受安全威脅變得非常重要。
網絡上的非法用戶通常都是直接通過網絡系統來實現入侵網絡數據庫,以此來達到攻擊網絡數據庫的目的,所以網絡數據庫的安全性基本決定于網絡系統的安全情況。一般情況下,我們將網絡數據庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當而導致的網絡數據庫數據錯誤;(2)非法訪問非權限范圍內的數據信息:(3)攻擊數據庫的正常訪問;(4)非法竊取或篡改連接中數據庫內的數據資源信息。
3、網絡數據庫安全技術方案探討
在開放的網絡環境中,網絡數據庫是非常容易遭受到各種安全威脅的,所以我們必須要采取實際有效的技術方案來不斷提高網絡數據庫自身的安全性,以保證數據的完整性和一致性。一般來說,網絡數據庫的安全問題可歸結為保證數據庫中各種對象存取權的合法性和數據庫內容本身的安全兩個方面,具體安全技術方案有如下幾方面:
3.1 用戶身份認證
由于計算機網絡環境是一個面向多用戶的開放式環境,所以對每一個網絡數據庫訪問用戶都必須要進行統一的身份認證,這也是防止網絡數據庫被用戶非法訪問的一個最有效的手段。因而,用戶身份認證功能在當前網絡數據庫都是必須具備的功能,是通過采用系統登錄、數據庫連接和數據庫對象使用三級機制來實現身份認證功能。其中,系統登錄是驗證訪問用戶輸入的用戶名和密碼正確與否;而數據庫連接是要求數據庫管理系統驗證用戶身份;數據庫對象是采用分配不同的權限機制來為不同使用用戶設置相應的數據庫對象權限來保障數據庫內數據的安全性。
3.2 數據庫加密
數據庫加密是指通過對數據庫的加密設置來保證數據庫內數據的安全性。所謂加密是以某種特殊的算法改變原有的數據信息,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,則仍然無法了解獲取的信息數據的原始內容。因此,數據庫加密系統是加密和解密兩個過程的統一,包括可辨數據信息轉換成非可變信息、算法、利用密鑰解密讀取數據等三方面內容。
3.3 數據備份與恢復
數據備份與恢復是網絡數據庫保障數據完整性和一致性的一種有效機制,也是最常見的一種技術方案。在此機制下,一旦網絡數據庫系統發生故障,管理人員可以根據先前的數據備份文件,在最短的時間內實現恢復數據,進而讓網絡數據庫回到故障發生之前的數據狀態。目前,網絡數據庫中的數據備份機制有靜態備份、動態備份和邏輯備份等幾種技術方案,而數據恢復技術有磁盤鏡像、備份文件,以及在線日志等幾種方式。
3.4 審計追蹤和攻擊檢測
審計追蹤是指當用戶在操作網絡數據庫時,可以自動跟蹤用戶做的所有操作,并將其操作的內容都記錄在相應的審計日志文件中,以供管理員查閱并提供相關參考依據。根據審計日志文件,管理員可以非常清楚地重現網絡數據庫中出現的任何狀況,一旦出現安全問題,管理員可以十分快速地找出存在非法存取數據的操作人員,進而追查相關人的責任。此外,通過利用審計追蹤和攻擊檢測技術對發現網絡數據庫安全方面的弱點和漏洞也有十分明顯的效果。
4、結語
綜上所述,如何構建有效地網絡數據庫安全技術方案是保障計算機網絡健康發展的核心內容,同時隨著安全威脅因素日益增多且越來越復雜,網絡數據庫安全技術也要不斷更新、改進。以應對不斷出現的新情況、新問題,只有這樣才能在最大程度上保障網絡數據庫的完整性和一致性。
參考文獻