導(dǎo)語:在網(wǎng)絡(luò)安全方案的撰寫旅程中����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文��,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感���,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
[關(guān)鍵詞] 網(wǎng)絡(luò)安全方案設(shè)計(jì)實(shí)現(xiàn)
一��、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)與實(shí)現(xiàn)概述
影響網(wǎng)絡(luò)安全的因素很多����,保護(hù)網(wǎng)絡(luò)安全的技術(shù)����、手段也很多。一般來說�����,保護(hù)網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)���、入侵檢測技術(shù)�����、安全評估技術(shù)���、防病毒技術(shù)��、加密技術(shù)�����、身份認(rèn)證技術(shù)����,等等�。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全��,必須結(jié)合網(wǎng)絡(luò)的具體需求���,將多種安全措施進(jìn)行整合���,建立一個完整的、立體的���、多層次的網(wǎng)絡(luò)安全防御體系�����,這樣一個全面的網(wǎng)絡(luò)安全解決方案����,可以防止安全風(fēng)險的各個方面的問題。
二���、計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)
1.桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲在磁盤上��,使用戶可以方便地存取�、修改����、分發(fā)。這樣可以提高辦公的效率��,但同時也造成用戶的信息易受到攻擊��,造成泄密�����。特別是對于移動辦公的情況更是如此。因此���,需要對移動用戶的文件及文件夾進(jìn)行本地安全管理���,防止文件泄密等安全隱患。
本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品���,“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱����。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)�����、加密運(yùn)算協(xié)處理器(CAU)���、只讀存儲器(ROM),隨機(jī)存儲器(RAM)�����、電可擦除可編程只讀存儲器(E2PROM)等��,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(Chip Operating System)、硬件ID號�、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS���,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改����,防止非法軟件對S鎖進(jìn)行操作����。
2.病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺服務(wù)器��,用于安裝IMSS�。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes�。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件����,實(shí)時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?���?赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作��,并提供實(shí)時監(jiān)控病毒流量的活動記錄報(bào)告���。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務(wù)器防毒����。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念���,防毒模塊和管理模塊可分開安裝����。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響����,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新���。
(3)客戶端防毒�����。采用趨勢科技的OfficeScan��。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)����,使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊�,并可以自動對所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式��,不受Windows域管理模式的約束����,除支持SMS,登錄域腳本�,共享安裝以外���,還支持純Web的部署方式��。
(4)集中控管TVCS��。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置��、監(jiān)視和維護(hù)趨勢科技的防病毒軟件��,支持跨域和跨網(wǎng)段的管理�,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)�。無論運(yùn)行于何種平臺和位置�,TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)部署����,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動下載病毒代碼文件和病毒爆發(fā)警報(bào),給管理帶來極大的便利�。
3.動態(tài)口令身份認(rèn)證系統(tǒng)
動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上,結(jié)合生成動態(tài)口令的特點(diǎn)����,加以精心修改,通過十次以上的非線性迭代運(yùn)算�,完成時間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上����,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式����,從整體上保證了系統(tǒng)的安全性。
4.訪問控制“防火墻”
單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成����,在控制不可信連接�、分辨非法訪問��、辨別身份偽裝等方面存在著很大的缺陷����,從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患�。本設(shè)計(jì)方案選用四臺網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口�,實(shí)現(xiàn)這些重要部門的訪問控制。
通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻��,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段��,彼此隔離����。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器,使其不受來自內(nèi)部的攻擊�,也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個部門��,或者如果病毒開始蔓延�,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。
5.信息加密��、信息完整性校驗(yàn)
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨(dú)立的安全通道����,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性����。
SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成
網(wǎng)絡(luò)密碼機(jī)(硬件):是一個基于專用內(nèi)核,具有自主版權(quán)的高級通信保護(hù)控制系統(tǒng)��。
本地管理器(軟件):是一個安裝于密碼機(jī)本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件�。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。
6.安全審計(jì)系統(tǒng)
根據(jù)以上多層次安全防范的策略�,安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”��、“內(nèi)審”相結(jié)合的方法����,“內(nèi)審”是對系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查�,識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密,以解決內(nèi)層安全�。
安全審計(jì)系統(tǒng)能幫助用戶對安全網(wǎng)的安全進(jìn)行實(shí)時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為��,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切����,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段�,安全審計(jì)系統(tǒng)包括識別��、記錄�、存儲、分析與安全相關(guān)行為有關(guān)的信息��。
在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能:安全審計(jì)自動響應(yīng)��、安全審計(jì)數(shù)據(jù)生成����、安全審計(jì)分析、安全審計(jì)瀏覽����、安全審計(jì)事件存儲、安全審計(jì)事件選擇等��。
本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。
漢邦安全審計(jì)系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題�,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測�、控制系統(tǒng)。
(1)安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個部分構(gòu)成�。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上,其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作����、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況����。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則��,同時獲得監(jiān)控結(jié)果����、報(bào)警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)��。
①文件保護(hù)審計(jì):文件保護(hù)安裝在審計(jì)中心����,可有效的對被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置����,包括禁止讀�、禁止寫、禁止刪除����、禁止修改屬性、禁止重命名��、記錄日志��、提供報(bào)警等功能��。以及對文件保護(hù)進(jìn)行用戶管理�。
②主機(jī)信息審計(jì):對網(wǎng)絡(luò)內(nèi)公共資源中����,所有主機(jī)進(jìn)行審計(jì),可以審計(jì)到主機(jī)的機(jī)器名��、當(dāng)前用戶����、操作系統(tǒng)類型、IP地址信息。
(2)資源監(jiān)控系統(tǒng)主要有四類功能�。①監(jiān)視屏幕:在用戶指定的時間段內(nèi),系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時控制屏幕截獲的開始和結(jié)束�。
②監(jiān)視鍵盤:在用戶指定的時間段內(nèi),截獲Host Sensor Program用戶的所有鍵盤輸入�,用戶實(shí)時控制鍵盤截獲的開始和結(jié)束。
③監(jiān)測監(jiān)控RAS連接:在用戶指定的時間段內(nèi)����,記錄所有的RAS連接信息。用戶實(shí)時控制ass連接信息截獲的開始和結(jié)束��。當(dāng)gas連接非法時����,系統(tǒng)將自動進(jìn)行報(bào)警或掛斷連接的操作。
④監(jiān)測監(jiān)控網(wǎng)絡(luò)連接:在用戶指定的時間段內(nèi)����,記錄所有的網(wǎng)絡(luò)連接信息(包括:TCP, UDP����,NetBios)。用戶實(shí)時控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束��。由用戶指定非法的網(wǎng)絡(luò)連接列表,當(dāng)出現(xiàn)非法連接時�,系統(tǒng)將自動進(jìn)行報(bào)警或掛斷連接的操作。
單位內(nèi)網(wǎng)中安全審計(jì)系統(tǒng)采集的數(shù)據(jù)來源于安全計(jì)算機(jī)����,所以應(yīng)在安全計(jì)算機(jī)安裝主機(jī)傳感器,保證探頭能夠采集進(jìn)出網(wǎng)絡(luò)的所有數(shù)據(jù)�。安全監(jiān)控中心安裝在信息中心的一臺主機(jī)上,負(fù)責(zé)為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則�,同時獲得監(jiān)控結(jié)果、報(bào)警信息以及日志的審計(jì)����。單位內(nèi)網(wǎng)中的安全計(jì)算機(jī)為600臺,需要安裝600個傳感器�。
7.入侵檢測系統(tǒng)IDS
入侵檢測作為一種積極主動的安全防護(hù)技術(shù)��,提供了對內(nèi)部攻擊��、外部攻擊和誤操作的實(shí)時保護(hù)��,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵��。從網(wǎng)絡(luò)安全的立體縱深��、多層次防御的角度出發(fā),入侵檢測理應(yīng)受到人們的高度重視��,這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出��。
根據(jù)網(wǎng)絡(luò)流量和保護(hù)數(shù)據(jù)的重要程度��,選擇IDS探測器(百兆)配置在內(nèi)部關(guān)鍵子網(wǎng)的交換機(jī)處放置�,核心交換機(jī)放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊和誤操作的實(shí)時保護(hù)����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。
在單位安全內(nèi)網(wǎng)中�,入侵檢測系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其他部門子網(wǎng)之間,通過實(shí)時截取網(wǎng)絡(luò)上的是數(shù)據(jù)流��,分析網(wǎng)絡(luò)通訊會話軌跡�,尋找網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動。
8.漏洞掃描系統(tǒng)
本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決定了整個系統(tǒng)的安全性�。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺網(wǎng)絡(luò)隱患掃描I型聯(lián)動型產(chǎn)品。I型聯(lián)動型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的高端用戶�,I型聯(lián)動型產(chǎn)品由手持式掃描儀和機(jī)架型掃描服務(wù)器結(jié)合一體,網(wǎng)管人員就可以很方便的實(shí)現(xiàn)了集中管理的功能��。網(wǎng)絡(luò)人員使用I型聯(lián)動型產(chǎn)品��,就可以很方便的對200信息點(diǎn)以上的多個網(wǎng)絡(luò)進(jìn)行多線程較高的掃描速度的掃描,可以實(shí)現(xiàn)和IDS��、防火墻聯(lián)動��,尤其適合于制定全網(wǎng)統(tǒng)一的安全策略����。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻�,實(shí)現(xiàn)分布式掃描,服務(wù)器和掃描儀都支持定時和多IP地址的自動掃描�,網(wǎng)管人員可以很輕松的就可以進(jìn)行整個網(wǎng)絡(luò)的掃描,根據(jù)系統(tǒng)提供的掃描報(bào)告�,配合我們提供的三級服務(wù)體系,大大的減輕了工作負(fù)擔(dān)��,極大的提高了工作效率����。
聯(lián)動掃描系統(tǒng)支持多線程掃描����,有較高的掃描速度,支持定時和多IP地址的自動掃描��,網(wǎng)管人員可以很輕松的對自己的網(wǎng)絡(luò)進(jìn)行掃描和漏洞的彌補(bǔ)。同時提供了Web方式的遠(yuǎn)程管理�,網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。另外對于信息點(diǎn)少����、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配置網(wǎng)絡(luò)隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活����,可以跨越網(wǎng)段、穿透防火墻��,對重點(diǎn)的服務(wù)器和網(wǎng)絡(luò)設(shè)備直接掃描防護(hù)�,這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能地消除安全隱患��。
在防火墻處部署聯(lián)動掃描系統(tǒng)�,在部門交換機(jī)處部署移動式掃描儀,實(shí)現(xiàn)放火墻��、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動�,保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性,最大可能的消除安全隱患�,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),優(yōu)化資源,提高網(wǎng)絡(luò)的運(yùn)行效率和安全性����。
三、結(jié)束語
隨著網(wǎng)絡(luò)應(yīng)用的深入普及��,網(wǎng)絡(luò)安全越來越重要��,國家和企業(yè)都對建立一個安全的網(wǎng)絡(luò)有了更高的要求����。一個特定系統(tǒng)的網(wǎng)絡(luò)安全方案,應(yīng)建立在對網(wǎng)絡(luò)風(fēng)險分析的基礎(chǔ)上����,結(jié)合系統(tǒng)的實(shí)際應(yīng)用而做。由于各個系統(tǒng)的應(yīng)用不同�,不能簡單地把信息系統(tǒng)的網(wǎng)絡(luò)安全方案固化為一個模式,用這個模子去套所有的信息系統(tǒng)��。
本文根據(jù)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的總體規(guī)劃,從桌面系統(tǒng)安全��、病毒防護(hù)����、身份鑒別����、訪問控制����、信息加密����、信息完整性校驗(yàn)、抗抵賴����、安全審計(jì)、入侵檢測�、漏洞掃描等方面安全技術(shù)和管理措施設(shè)計(jì)出一整套解決方案,目的是建立一個完整的��、立體的����、多層次的網(wǎng)絡(luò)安全防御體系。
參考文獻(xiàn):
[1]吳若松:新的網(wǎng)絡(luò)威脅無處不在[J].信息安全與通信保密����,2005年12期
[2]唐朝京張權(quán)張森強(qiáng):有組織的網(wǎng)絡(luò)攻擊行為結(jié)果的建模[J].信息與電子工程,2003年2期
第2篇
關(guān)鍵詞:企業(yè)網(wǎng)絡(luò);信息安全����;安全方案構(gòu)建
1 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建意義
目前,我國大中型企業(yè)信息化建設(shè)中的關(guān)鍵部分就是信息安全建設(shè)����,解決信息安全問題有利于企業(yè)信息化建設(shè)工作的全面推進(jìn)。企業(yè)信息安全建設(shè)的最終目的是要真正做到“防患于未然”��,信息安全的有效性建設(shè)能夠控制企業(yè)信息化建設(shè)的總體成本����,為企業(yè)節(jié)約大量資金,實(shí)現(xiàn)資源優(yōu)化配置��。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全建設(shè)工作要始終堅(jiān)持等級保護(hù)理念�,才能促進(jìn)企業(yè)信息安全建設(shè)工作的穩(wěn)步實(shí)施,保證企業(yè)信息管理系統(tǒng)的建設(shè)符合行業(yè)標(biāo)準(zhǔn)和政策規(guī)定����,全面提升企業(yè)在激烈的市場競爭中的競爭力。
2 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的弱點(diǎn)和威脅
2.1 信息安全弱點(diǎn)
信息安全弱點(diǎn)與企業(yè)信息資源密切相關(guān)����,信息安全弱點(diǎn)的暴露很有可能導(dǎo)致企業(yè)資產(chǎn)的嚴(yán)重?fù)p失�。但是����,信息安全弱點(diǎn)本身并不會為企業(yè)帶來損失��,只是在特定的環(huán)境下被非法者利用后才會造成企業(yè)資產(chǎn)損失����,例如,企業(yè)信息系統(tǒng)開發(fā)過程中的脆弱性問題��,管理員的管理措施問題等����,這些信息安全弱點(diǎn)都為非法攻擊者提供了非法入侵的可能。
2.2 信息安全威脅
信息安全威脅指的是對企業(yè)資產(chǎn)構(gòu)成潛在性的破壞因素��,信息安全威脅的產(chǎn)生包括人為因素和自然環(huán)境因素����。信息安全威脅可能是偶然發(fā)生的事件,也有可能是人為蓄意制造的時間��,包括信息泄露����、信息篡改等�,這些事件都會導(dǎo)致企業(yè)信息的可用性�、完整性和保密性遭到破壞,屬于對企業(yè)信息的惡意攻擊��。
2.3 網(wǎng)絡(luò)安全事件
由于網(wǎng)絡(luò)特有的開放性特點(diǎn)����,造成了非法攻擊、黑客入侵��、病毒傳播等海量安全事件發(fā)生��,信息安全領(lǐng)域?qū)τ诰W(wǎng)絡(luò)安全的研究也日益重視����。根據(jù)大量網(wǎng)絡(luò)安全事件分析來看,企業(yè)信息管理系統(tǒng)的應(yīng)用設(shè)計(jì)存在著諸多缺陷和弊端����,給情報(bào)機(jī)構(gòu)的非法入侵提供了極大的可能性。由此����,內(nèi)容分級制度��、脆弱性檢測技術(shù)�、智能分析技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)信息系統(tǒng)開發(fā)過程中�。
3 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全存在的主要問題
⑴企業(yè)分部采用寬帶撥號上網(wǎng)的方式與企業(yè)總部實(shí)現(xiàn)通信傳輸,這種落后的網(wǎng)絡(luò)通信方式難以保證數(shù)據(jù)傳輸?shù)陌踩?。企業(yè)信息安全級別較高的部門通過互聯(lián)網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)倪^程中,沒有采取任何數(shù)據(jù)加密措施����,非常容易造成數(shù)據(jù)信息的泄露和篡改�,同時,企業(yè)信息管理系統(tǒng)的操作應(yīng)用沒有設(shè)置明確的管理人員��,導(dǎo)致其他非法用戶也可以入侵到企業(yè)內(nèi)部網(wǎng)絡(luò)中�,對服務(wù)器數(shù)據(jù)進(jìn)行竊取和篡改。以上兩種網(wǎng)絡(luò)安全問題都容易造成企業(yè)重要數(shù)據(jù)的泄露����,甚至給企業(yè)帶來不看估計(jì)的損失。
⑵隨著企業(yè)網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大��,在網(wǎng)絡(luò)邊界如果仍然采用路由器連接企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)��,已經(jīng)無法適應(yīng)飛速發(fā)展的網(wǎng)絡(luò)互連技術(shù)��。企業(yè)雖然可以在網(wǎng)絡(luò)邊界的路由器中設(shè)置訪問控制策略,但是仍然存在來自互聯(lián)網(wǎng)的各種非法攻擊��、IP地址攻擊����、ARP協(xié)議欺騙等問題,這表明了企業(yè)需要一善可靠的防火墻設(shè)備��,來對企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)傳輸提供有效控制和保護(hù)��。
⑶由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展�,為企業(yè)提供了豐富的信息資源,除了企業(yè)日常運(yùn)營需要使用網(wǎng)絡(luò)資源����,其他工作人員也有可能通過網(wǎng)絡(luò)獲取信息資源,例如使用迅雷��、BT等軟件下載視音頻信息等����,網(wǎng)絡(luò)下載會占用企業(yè)大部分帶寬資源,嚴(yán)重的會導(dǎo)致系統(tǒng)管理員無法對網(wǎng)絡(luò)終端的訪問情況進(jìn)行有效管理����,或者某一個計(jì)算機(jī)終端因下載感染病毒而引發(fā)ARP欺騙����。
⑷隨著互聯(lián)網(wǎng)應(yīng)用的日益普及����,木馬病毒的廣泛傳播,企業(yè)員工計(jì)算機(jī)使用水平參差不齊��,不能保證對網(wǎng)絡(luò)中的有害信息進(jìn)行有效識別��,由此導(dǎo)致了木馬病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)的感染和傳播����。因此�,需要定期對企業(yè)數(shù)據(jù)傳輸?shù)脑紨?shù)據(jù)流進(jìn)行病毒查殺和威脅分析,以此起到有害信息過濾的作用����,使流入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息能夠安全可靠,真正降低企業(yè)信息安全風(fēng)險����。同時,企業(yè)可以采用網(wǎng)關(guān)防病毒產(chǎn)品�,在企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)處進(jìn)行隔離保護(hù)�,當(dāng)木馬病毒出現(xiàn)時可以被攔截在企業(yè)內(nèi)部網(wǎng)絡(luò)之外����,為企業(yè)提供可靠的安全邊界保護(hù)。
4 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方案的構(gòu)建實(shí)施
企業(yè)總部需要與企業(yè)分部�,以及其他合作企業(yè)之間實(shí)現(xiàn)數(shù)據(jù)傳輸與交換,企業(yè)派往外地出差的員工也需要通過遠(yuǎn)程網(wǎng)絡(luò)訪問企業(yè)總部內(nèi)網(wǎng)的信息管理系統(tǒng)��,因此�,不同用戶企業(yè)總部內(nèi)部網(wǎng)絡(luò)的訪問有著不同需求,企業(yè)必須具有安全可靠��、性能較高��、成本較低的網(wǎng)絡(luò)接入方式�。由于企業(yè)分部大部分與企業(yè)總部不在一個城市,在企業(yè)總部與企業(yè)分部之間鋪設(shè)光纜線路是極為不現(xiàn)實(shí)的����;如果租用專用光纖網(wǎng)絡(luò)通信線路,高額的租賃費(fèi)用會嚴(yán)重增加企業(yè)運(yùn)營發(fā)展的經(jīng)濟(jì)負(fù)擔(dān)��;如果將企業(yè)總部內(nèi)部網(wǎng)絡(luò)的應(yīng)用服務(wù)器映射在網(wǎng)關(guān)位置�,雖然能夠方面用戶遠(yuǎn)程訪問企業(yè)內(nèi)部信息管理系統(tǒng),但會給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。本文基于以上分析��,本文選擇利用VPN技術(shù)(虛擬局域網(wǎng))在企業(yè)內(nèi)部網(wǎng)絡(luò)出口處��,虛擬設(shè)置一條網(wǎng)絡(luò)專線��,以此將企業(yè)總部與企業(yè)分部網(wǎng)絡(luò)進(jìn)行有效連接��,形成一個規(guī)模較大的局域網(wǎng)��,真正實(shí)現(xiàn)了用戶遠(yuǎn)程訪問和接入����。VPN技術(shù)不僅能夠滿足異地用戶對企業(yè)總部網(wǎng)絡(luò)信息管理系統(tǒng)的訪問需求,而且充分保證了用戶訪問的安全性��,避免了單點(diǎn)登錄技術(shù)對企業(yè)整個網(wǎng)絡(luò)構(gòu)成的安全威脅��。
企業(yè)在部署上網(wǎng)行為管理設(shè)備(SINFOR M5X00-AC)時��,應(yīng)該開啟VPN功能����,在企業(yè)總部內(nèi)部網(wǎng)絡(luò)的邊界防火墻設(shè)備中進(jìn)行端口映射�,同時在企業(yè)分部網(wǎng)絡(luò)中安裝上網(wǎng)行為管理設(shè)備,并且與企業(yè)總部的上網(wǎng)行為管理設(shè)備共同利用VPN技術(shù)建立虛擬專用網(wǎng)絡(luò),在對數(shù)據(jù)信息進(jìn)行加密后在互聯(lián)網(wǎng)上傳輸�。企業(yè)在構(gòu)建虛擬專用網(wǎng)絡(luò)時,只要在任何一端的連接管理設(shè)置中輸入對方網(wǎng)絡(luò)地址�,VPN設(shè)備就可以自動進(jìn)行虛擬局域網(wǎng)組建,網(wǎng)絡(luò)中的任何計(jì)算機(jī)終端都可以通過虛擬專用網(wǎng)實(shí)現(xiàn)數(shù)據(jù)傳輸與共享����。如果還有其他分部需要加入到虛擬局域網(wǎng)中,則可以通過輸入加密的訪問WAN扣地址實(shí)現(xiàn)��。需要注意的是��,已將連通的虛擬局域網(wǎng)的內(nèi)網(wǎng)網(wǎng)段不能完全相同�。
企業(yè)在部署上網(wǎng)行為管理設(shè)備時,由于訪問控制策略是信息安全策略的核心部分�,也是對網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)年P(guān)鍵保護(hù)措施,由此�,需要對接入企業(yè)總部網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證,根據(jù)不同用戶的身份授予不同權(quán)限����,再利用配置邏輯隔離服務(wù)器實(shí)現(xiàn)不同用戶身份對不同應(yīng)用服務(wù)器的接入,從而對企業(yè)內(nèi)部網(wǎng)絡(luò)中的業(yè)務(wù)信息管理系統(tǒng)進(jìn)行訪問和使用��。同時�,安全級別為五級的QoS安全機(jī)制能夠?yàn)槠髽I(yè)不同信息系統(tǒng)提供相應(yīng)的安全服務(wù)保障,并且可以按照業(yè)務(wù)類別劃分優(yōu)先級別,重要的數(shù)據(jù)信息將會獲得優(yōu)先傳輸?shù)臋?quán)限��。對用戶訪問權(quán)限的細(xì)致劃分可以限制非法用戶對網(wǎng)絡(luò)資源的訪問和使用����,防止非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行破壞性操作,直接對接入企業(yè)內(nèi)部網(wǎng)絡(luò)的各項(xiàng)訪問應(yīng)用進(jìn)行管控��,真正提高了企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性����。
在企業(yè)內(nèi)部網(wǎng)絡(luò)部署應(yīng)用安全產(chǎn)品過程中,需要綜合考慮如何完成安全產(chǎn)品的部署策略�,才能使安全產(chǎn)品的性能充分發(fā)揮,同時����,企業(yè)內(nèi)部網(wǎng)絡(luò)還可以將不同的安全產(chǎn)品集成應(yīng)用,使其發(fā)揮最大功能�,充分提高企業(yè)信息管理系統(tǒng)的安全性和可靠性。
本文基于信息安全等級指導(dǎo)思想下����,對企業(yè)內(nèi)部網(wǎng)絡(luò)存在的問題進(jìn)行了分析��,并提出了良好的解決方案,包括防火墻的部署�、入侵檢測設(shè)備的部署、上網(wǎng)行為管理設(shè)備的部署�、防毒墻的部署、企業(yè)版殺毒軟件的部署等��。
5 結(jié)論
綜上所述����,本文在網(wǎng)絡(luò)信息安全等級保護(hù)理念下,將企業(yè)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)的有效性作為最終目標(biāo)�,對企業(yè)網(wǎng)絡(luò)信息安全存在的風(fēng)險進(jìn)行深入分析,結(jié)合企業(yè)實(shí)際情況�,提出了企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)方案,保障了企業(yè)總部內(nèi)部網(wǎng)絡(luò)與分部網(wǎng)絡(luò)之間數(shù)據(jù)傳輸通信的安全性和可靠性��。
[參考文獻(xiàn)]
[1]李正忠.電力企業(yè)信息安全網(wǎng)絡(luò)建設(shè)原則與實(shí)踐[J].中國新通信��,2013�,09:25-27.
[2]王迅.電信企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全構(gòu)建策略分析[J].科技傳播,2013��,07:217+209.
[3]陳瑋.企業(yè)無線網(wǎng)絡(luò)移動辦公的安全接入問題分析[J].信息通信��,2013��,03:239.
第3篇
接連不斷的蠕蟲病毒使當(dāng)前安全技術(shù)和措施的有效性再次受到質(zhì)疑。盡管安全是世界上所有機(jī)構(gòu)的頭等大事之一��,安全攻擊事件的數(shù)量仍然是逐年攀升�,造成的危害一次比一次大。在最近的數(shù)年中�,大量的投資被用于阻擊安全事件的發(fā)生,但只有少數(shù)公司確保了它們網(wǎng)絡(luò)的安全��。
特別值得一提的是�,為了滿足用戶和業(yè)務(wù)的需求,時刻保持競爭優(yōu)勢�,企業(yè)不得不持續(xù)擴(kuò)張網(wǎng)絡(luò)體系。然而��,很多人可能不知道����,網(wǎng)絡(luò)的每一次擴(kuò)張,即便是一臺新計(jì)算機(jī)��、一臺新服務(wù)器以及軟件應(yīng)用平臺����,都將給病毒、蠕蟲����、黑客留下可乘之機(jī),為企業(yè)網(wǎng)絡(luò)帶來額外的安全風(fēng)險��。同時��,純病毒時代已經(jīng)一去不復(fù)返��,幾年前占據(jù)著新聞頭條的計(jì)算機(jī)病毒事件在今天看來已經(jīng)不是什么新聞�,取而代之的是破壞程度呈幾何增長的新型病毒。這種新型病毒被稱為混合型病毒�,這種新病毒結(jié)合了傳統(tǒng)電子郵件病毒的破壞性和新型的基于網(wǎng)絡(luò)的能力,能夠快速尋找和發(fā)現(xiàn)整個企業(yè)網(wǎng)絡(luò)內(nèi)存在的安全漏洞��,并進(jìn)行進(jìn)一步的破壞��,如拒絕服務(wù)攻擊��,拖垮服務(wù)器����,攻擊計(jì)算機(jī)或系統(tǒng)的薄弱環(huán)節(jié)。在這種混合型病毒時代�,單一的依靠軟件安全防護(hù)已開始不能滿足客戶的需求。
網(wǎng)絡(luò)安全不只是軟件廠商的事
今年上半年����,網(wǎng)絡(luò)安全軟件及服務(wù)廠商——趨勢科技與網(wǎng)絡(luò)業(yè)界領(lǐng)導(dǎo)廠商——思科系統(tǒng)公司在北京共同宣布簽署了為企業(yè)提供綜合性病毒和蠕蟲爆發(fā)防御解決方案的合作協(xié)議����。該協(xié)議進(jìn)一步擴(kuò)展了雙方此前針對思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃建立的合作關(guān)系�,并將實(shí)現(xiàn)思科網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全解決方案與趨勢科技防病毒技術(shù)、漏洞評估和病毒爆發(fā)防御能力的結(jié)合����。
根據(jù)合作協(xié)議,思科首先將在思科IOS路由器��、思科Catalyst交換機(jī)和思科安全設(shè)備中采用的思科入侵檢測系統(tǒng)(IDS)軟件中添加趨勢科技的網(wǎng)絡(luò)蠕蟲和病毒識別碼技術(shù)����。此舉將為用戶提供高級的網(wǎng)絡(luò)病毒智能識別功能和附加的實(shí)時威脅防御層,以抵御各種已知和未知的網(wǎng)絡(luò)蠕蟲的攻擊����。
“在抵御網(wǎng)絡(luò)蠕蟲、防止再感染��、漏洞和系統(tǒng)破壞的過程中�,用戶不斷遭受業(yè)務(wù)中斷的損失,這導(dǎo)致了對更成熟的威脅防御方案需求的增長��。”趨勢科技創(chuàng)始人兼首席執(zhí)行官張明正評論說��,“傳統(tǒng)的方法已無法滿足雙方客戶的需求��?!?/p>
“現(xiàn)在的網(wǎng)絡(luò)安全已不是單一的軟件防護(hù)����,而是擴(kuò)充到整個網(wǎng)絡(luò)的防治?�!彼伎迫蚋笨偛枚偶覟I在接受記者采訪時表示:“路由器和交換機(jī)應(yīng)該是保護(hù)整個網(wǎng)絡(luò)安全的��,如果它不安全��,那它就不是路由器����。從PC集成上來看,網(wǎng)絡(luò)設(shè)備應(yīng)該能自我保護(hù)����,甚至實(shí)現(xiàn)對整個網(wǎng)絡(luò)安全的保護(hù)?!?/p>
業(yè)界專家指出�,防病毒與網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)合����,甚至融入到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,這是網(wǎng)絡(luò)安全的發(fā)展潮流����,趨勢科技和思科此次合作引領(lǐng)了這一變革,邁出了安全發(fā)展史上里程碑式的重要一步����。
“軟”+“硬”=一步好棋
如果細(xì)細(xì)品味這次合作的話,我們不難發(fā)現(xiàn)這是雙方的一步好棋�,兩家公司都需要此次合作。
作為網(wǎng)絡(luò)領(lǐng)域的全球領(lǐng)導(dǎo)者�,思科一直致力于推動網(wǎng)絡(luò)安全的發(fā)展并獨(dú)具優(yōu)勢。自防御網(wǎng)絡(luò)(Self-DefendingNetwork����,SDN)計(jì)劃是思科于今年3月推出的全新的安全計(jì)劃,它能大大提高網(wǎng)絡(luò)發(fā)現(xiàn)����、預(yù)防和對抗安全威脅的能力。思科網(wǎng)絡(luò)準(zhǔn)入控制(NAC)計(jì)劃則是SDN計(jì)劃的重要組成部分,它和思科的其他安全技術(shù)一起構(gòu)成了SDN的全部內(nèi)涵��。
SDN是一個比較全面�、系統(tǒng)的計(jì)劃,但是它缺乏有效的病毒防護(hù)功能����。隨著網(wǎng)絡(luò)病毒的日見猖獗,該計(jì)劃防毒功能的欠缺日益凸顯����。趨勢科技領(lǐng)先的防毒安全解決方案正是思科安全體系所亟需的����。
趨勢科技作為網(wǎng)絡(luò)安全軟件及服務(wù)廠商,以卓越的前瞻和技術(shù)革新能力引領(lǐng)了從桌面防毒到網(wǎng)絡(luò)服務(wù)器和網(wǎng)關(guān)防毒的潮流�。趨勢科技的主動防御的解決方案是防毒領(lǐng)域的一大創(chuàng)新,其核心是企業(yè)安全防護(hù)戰(zhàn)略(EPS)��。EPS一反過去被動地以防毒軟件守護(hù)的方式�,將主動預(yù)防和災(zāi)后重建的兩大階段納入整個防衛(wèi)計(jì)劃當(dāng)中,并將企業(yè)安全防護(hù)策略延伸至網(wǎng)絡(luò)的各個層次�。
“如果此次與思科合作的不是趨勢科技,我們恐怕連覺都睡不好����?�!睆埫髡膽蜓詿o不透露出趨勢科技對此次合作的迫切性和重要性��。
更讓張明正高興的是�,通過此次合作�,趨勢科技大大擴(kuò)充了渠道?!拔覀兊那乐丿B性很小?���!睆埫髡硎尽6舜巍?+1<2”的低成本產(chǎn)品集成將使這次合作發(fā)揮更大的空間��。
網(wǎng)絡(luò)安全路在何方�?
如今,雖然業(yè)界有形形的安全解決方案����,網(wǎng)絡(luò)安全的形勢卻不斷惡化。究其原因��,主要是由于現(xiàn)在的網(wǎng)絡(luò)威脅形式越來越多�,攻擊手段越來越復(fù)雜����,呈現(xiàn)出綜合的多元化的特征��。
第4篇
關(guān)鍵詞:關(guān)鍵詞:防火墻;新一代;網(wǎng)絡(luò)安全
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:
0 序言
近年來,隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具�。同樣,隨著企業(yè)信息化的迅速發(fā)展,基于網(wǎng)絡(luò)的應(yīng)用越來越廣泛,特別是企業(yè)內(nèi)部專網(wǎng)系統(tǒng)信息化的發(fā)展日新月異—如:網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大、信息的內(nèi)容和信息量在不斷增長,網(wǎng)絡(luò)應(yīng)用和規(guī)模的快速發(fā)展同時帶來了更大程度的安全問題,這些安全威脅以不同的技術(shù)形式同步地在迅速更新, 并且以簡單的傳播方式泛濫,使得網(wǎng)絡(luò)維護(hù)者不得不對潛在的威脅進(jìn)行防御及網(wǎng)絡(luò)安全系統(tǒng)建設(shè),多種威脅技術(shù)的變化發(fā)展及威脅對企業(yè)專網(wǎng)系統(tǒng)的IT安全建設(shè)提出了更高的要求����。
1.安全風(fēng)險背景
隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,接入專網(wǎng)的應(yīng)用系統(tǒng)越來越多����。特別是隨著信息化的普及需要和總部的數(shù)據(jù)交換也越來越多�。對整個系統(tǒng)和專網(wǎng)的安全性、可靠性��、實(shí)時性提出了新的嚴(yán)峻挑戰(zhàn)����。而另一方面,Internet技術(shù)已得到廣泛使用,E-mail、Web2.0和終端PC的應(yīng)用也日益普及,但同時病毒和黑客也日益猖獗, 系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個非常緊迫的問題�。
2.網(wǎng)絡(luò)安全方案
防火墻是最具策略性的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)組件,可以檢測所有通信流。因此,防火墻是企業(yè)網(wǎng)絡(luò)安全控制的中心,通過部署防火墻來強(qiáng)化網(wǎng)絡(luò)的安全性,是實(shí)施安全策略的最有效位置��。不過,傳統(tǒng)的防火墻是依靠端口和通信協(xié)議來區(qū)分通信流內(nèi)容,這樣導(dǎo)致精心設(shè)計(jì)的應(yīng)用程序和技術(shù)內(nèi)行的用戶可以輕松地繞過它們;例如,可以利用跳端口技術(shù)、使用 SSL�、利用 80 端口秘密侵入或者使用非標(biāo)準(zhǔn)端口來繞過這些防火墻。
由此帶來的可視化和控制喪失會使管理員處于不利地位,失去應(yīng)用控制的結(jié)果會讓企業(yè)暴露在商業(yè)風(fēng)險之下,并使企業(yè)面臨網(wǎng)絡(luò)中斷�、違反規(guī)定、運(yùn)營維護(hù)成本增加和可能丟失數(shù)據(jù)等風(fēng)險��。用于恢復(fù)可視化和控制的傳統(tǒng)方法要求在防火墻的后面或通過采用插接件集成的組合方式,單獨(dú)部署其他的“輔助防火墻”�。上述兩種方法由于存在通信流可視化受限、管理繁瑣和多重延遲(將引發(fā)掃描進(jìn)程)的不足,均無法解決可視化和控制問題?���,F(xiàn)在需要一種完全顛覆式的方法來恢復(fù)可視化和控制。而新一代防火墻也必須具備如下要素:
(1)識別應(yīng)用程序而非端口:準(zhǔn)確識別應(yīng)用程序身份,檢測所有端口,而且不論應(yīng)用程序使用何種協(xié)議�、SSL、加密技術(shù)或規(guī)避策略��。應(yīng)用程序的身份構(gòu)成所有安全策略的基礎(chǔ)����。(識別七層或七層以上應(yīng)用)
(2)識別用戶,而不僅僅識別 IP 地址。利用企業(yè)目錄中存儲的信息來執(zhí)行可視化�、策略創(chuàng)建、報(bào)告和取證調(diào)查等操作�。
(3)實(shí)時檢查內(nèi)容。幫助網(wǎng)絡(luò)防御在應(yīng)用程序通信流中嵌入的攻擊行為和惡意軟件,并且實(shí)現(xiàn)低延遲和高吞吐速度����。
(4)簡化策略管理��。通過易用的圖形化工具和策略編輯器(來恢復(fù)可視化和控制
(5)提供數(shù)千兆位或萬兆位的數(shù)據(jù)吞吐量�。在一個專門構(gòu)建的平臺上結(jié)合高性能硬件和軟件來實(shí)現(xiàn)低延遲和數(shù)千兆位的數(shù)據(jù)吞吐量性能
2.1 產(chǎn)品與部署方式
本文就Palo Alto Networks 新一代安全防護(hù)網(wǎng)關(guān)部署方案進(jìn)行探討,該產(chǎn)品采用全新設(shè)計(jì)的軟/硬件架構(gòu),可在不影響任何服務(wù)的前提下,以旁路模式��、透明模式等接入現(xiàn)有網(wǎng)絡(luò)架構(gòu)中,協(xié)助網(wǎng)管人員進(jìn)行環(huán)境狀態(tài)分析,并將分析過程中各類信息進(jìn)行整理后生成報(bào)表,從而進(jìn)一步發(fā)現(xiàn)潛在安全風(fēng)險,作為安全策略調(diào)整的判斷依據(jù)����。
2.2 解決方案功能
本方案產(chǎn)品突破了傳統(tǒng)的防火墻和UTM的缺陷,從硬件設(shè)計(jì)和軟件設(shè)計(jì)上進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)及應(yīng)用的安全性和可視性的同時保持應(yīng)用層線速的特性。主要功能如下:
(1)應(yīng)用程序����、用戶和內(nèi)容的可視化
管理員可使用一組功能強(qiáng)大的可視化工具來快速查看穿越網(wǎng)絡(luò)的應(yīng)用程序、這些應(yīng)用程序的使用者以及可能造成的安全影響,從而使管理員能夠制定更多與業(yè)務(wù)相關(guān)的安全策略��。
(2)應(yīng)用程序命令中心:這是一項(xiàng)無需執(zhí)行任何配置工作的標(biāo)準(zhǔn)功能,以圖形方式顯示有關(guān)當(dāng)前網(wǎng)絡(luò)活動(包括應(yīng)用程序��、URL 類別����、威脅和數(shù)據(jù))的大量信息,為管理員提供所需的數(shù)據(jù),供其做出更為合理的安全策略決定��。
(3)管理:管理員可以使用基于 Web 的界面�、完全的命令行界面或集中式管理等多種方式來控制防火墻��?���?苫诮巧墓芾?將不同的管理職能委派給合適的個人�。
(4)日志記錄和報(bào)告:可完全自定義和安排的預(yù)定義報(bào)告提供有關(guān)網(wǎng)絡(luò)上的應(yīng)用程序、用戶和威脅的詳細(xì)視圖����。
2.3 解決方案特色
(1)以 APP-ID、 User-ID 及 Content-ID 三種獨(dú)特的識別技術(shù),以統(tǒng)一策略方式對使用者(群組)����、應(yīng)用程序及內(nèi)容提供訪問控制、安全管理及帶寬控制解決方案,此創(chuàng)新的技術(shù)建構(gòu)于 “單通道平行處理 (SP3)”先進(jìn)的硬件+軟件系統(tǒng)架構(gòu)下,實(shí)現(xiàn)低延遲及高效率的特性,解決傳統(tǒng)FW+IPS+UTM對應(yīng)用處理效能不佳的現(xiàn)況��。
(2)實(shí)現(xiàn)了對應(yīng)用程序和內(nèi)容的前所未有的可視化和控制(按用戶而不僅僅是按 IP 地址),并且速度可以高達(dá) 10Gbps,精確地識別應(yīng)用程序使用的端口�、協(xié)議、規(guī)避策略或 SSL 加密算法,掃描內(nèi)容來阻止威脅和防止數(shù)據(jù)泄露����。
(3)對網(wǎng)絡(luò)中傳輸?shù)膽?yīng)用程序和用戶進(jìn)行深度識別并進(jìn)行內(nèi)容的分析,提供完整的可視度和控制能力。
(4)提供多樣化NAT轉(zhuǎn)址功能:傳統(tǒng)NAT服務(wù),僅能利用單一或少數(shù)外部IP地址,提供內(nèi)部使用者做為IP地址轉(zhuǎn)換之用,其瓶頸在于能做為NAT轉(zhuǎn)換的外部IP地址數(shù)量過少,當(dāng)內(nèi)部有不當(dāng)使用行為發(fā)生,致使該IP地址被全球ISP服務(wù)業(yè)者列為黑名單后,將造成內(nèi)部網(wǎng)絡(luò)用戶無法存取因特網(wǎng)資源;本方案提供具有多對多特性的地址轉(zhuǎn)換服務(wù)功能,讓IT人員可以利用較多的外部IP地址做為地址轉(zhuǎn)換,避免因少數(shù)外部IP被封鎖而造成無法上網(wǎng),再次提升網(wǎng)絡(luò)服務(wù)質(zhì)量��。
(5)用戶行為控制:不僅具備廣泛應(yīng)用程序識別能力,還將無線網(wǎng)絡(luò)用戶納入集中的控制管理,可對無線網(wǎng)絡(luò)使用情況,提供最為詳細(xì)豐富的用戶使用數(shù)據(jù)��。
(6)流量地圖功能:流量地圖清楚呈現(xiàn)資料流向并能連結(jié)集中化的事件分析界面。
3.總結(jié)
新一代防火墻解決了網(wǎng)絡(luò)應(yīng)用的可視性問題,有效杜絕利用跳端口技術(shù)��、使用SSL����、80端口或非標(biāo)準(zhǔn)端口繞過傳統(tǒng)防火墻攻擊企業(yè)網(wǎng)絡(luò)行為,從根本上解決傳統(tǒng)防火墻集成多個安全系統(tǒng),卻無法真正有效協(xié)同工作的缺陷,大大提高數(shù)據(jù)實(shí)時轉(zhuǎn)發(fā)效率,有效解決企業(yè)信息安全存在的問題。
參考文獻(xiàn):
[1] 孫嘉葦;對計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)的探討 [J];《計(jì)算機(jī)光盤軟件與應(yīng)用》 2012年02期�。
第5篇
關(guān)鍵詞:IP專用網(wǎng)絡(luò);網(wǎng)絡(luò)安全��;系統(tǒng)
1 概述
近年來IP網(wǎng)絡(luò)不斷發(fā)展��,資源共享給軍事����、政治和經(jīng)濟(jì)等領(lǐng)域帶來了不盡的方便與快捷。在網(wǎng)上可以隨時索取所需資料��,可以傳送電子郵件��,還可以網(wǎng)上購物等等��。然而當(dāng)計(jì)算機(jī)遭受“黑客” 圖謀不軌的惡意攻擊時��,你會發(fā)現(xiàn)部分?jǐn)?shù)據(jù)已被竊取�、修改和破壞,IP網(wǎng)絡(luò)背后存在的安全隱患也就將暴露無疑��。隨著IP網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)等安全問題的出現(xiàn)��,引起計(jì)算機(jī)領(lǐng)域�、通信領(lǐng)域以及相關(guān)領(lǐng)域的重視。
2 IP專用網(wǎng)絡(luò)系統(tǒng)安全需求分析
2.1 IP專用網(wǎng)絡(luò)系統(tǒng)應(yīng)用特點(diǎn)
根據(jù)IP專用網(wǎng)絡(luò)的使用實(shí)際�,主要網(wǎng)絡(luò)應(yīng)用有實(shí)時數(shù)據(jù)傳輸、語音信息傳輸處理��、視頻信息傳輸處理����、多媒體信息傳輸處理和由數(shù)據(jù)庫作后臺支持的MIS應(yīng)用系統(tǒng)等。盡管各種網(wǎng)絡(luò)應(yīng)用千差萬變����,但應(yīng)用主體在網(wǎng)絡(luò)中扮演的角色是一致的。網(wǎng)絡(luò)應(yīng)用中有兩種重要的角色:客戶與服務(wù)器��。而網(wǎng)絡(luò)的信息流向不外乎以下三種方式:客戶與客戶之間�;客戶與服務(wù)器之間;服務(wù)器與服務(wù)器之間��。IP專用網(wǎng)絡(luò)系統(tǒng)應(yīng)用形式是第二����、三種結(jié)合�。
2.2 IP專用網(wǎng)絡(luò)系統(tǒng)安全需求
無論信息傳遞的收、發(fā)方是誰,網(wǎng)絡(luò)安全包括:在網(wǎng)絡(luò)正常運(yùn)行時�����,受到外來攻擊��,能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行����。網(wǎng)絡(luò)管理系統(tǒng)設(shè)置等重要資料不被破壞����。數(shù)據(jù)安全保證數(shù)據(jù)不被竊取、修改和破壞��。具有先進(jìn)的入侵防范體系����,對于圖謀不軌的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤��。訪問控制和身份認(rèn)證機(jī)制,確保應(yīng)用系統(tǒng)不被非法訪問��。保障合法用戶的正常請求得到安全服務(wù)��,防范來自網(wǎng)絡(luò)內(nèi)部其它系統(tǒng)的破壞所造成的安全隱患����。系統(tǒng)和數(shù)據(jù)在遭到破壞時能夠及時恢復(fù)�。
2.3 IP專用網(wǎng)絡(luò)系統(tǒng)安全的功能
建立IP專用網(wǎng)絡(luò)系統(tǒng)安全體系應(yīng)具備加密通訊、簽名/認(rèn)證�、備份/恢復(fù)、多層防御����、內(nèi)部信息加密、安全審計(jì)等功能�。
3 IP專用網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)
3.1 安全系統(tǒng)總體結(jié)構(gòu)
從提供網(wǎng)絡(luò)有效信息服務(wù)的角度來看,網(wǎng)絡(luò)系統(tǒng)安全包括:硬件配置及基礎(chǔ)設(shè)施應(yīng)確保支持系統(tǒng)的不間斷運(yùn)行����;軟硬件運(yùn)行環(huán)境應(yīng)確保系統(tǒng)正確、可靠運(yùn)行�。從網(wǎng)絡(luò)系統(tǒng)組成的角度來看,系統(tǒng)安全可分為五個層次:物理層的硬件平臺安全��、系統(tǒng)層的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)安全、網(wǎng)絡(luò)層的網(wǎng)絡(luò)系統(tǒng)安全��、應(yīng)用層的應(yīng)用系統(tǒng)安全和管理層的系統(tǒng)安全管理����。
3.2 物理層安全
硬件平臺的安全主要是支持軟件系統(tǒng)正確、可靠運(yùn)行�,同時又要防止物理上可能造成的信息泄露。無線信道必須采取加密手段�;外網(wǎng)連接必須采用硬件防火墻設(shè)備;選用符合電磁兼容性等要求的IP專用網(wǎng)絡(luò)設(shè)備��;機(jī)房建設(shè)應(yīng)符合電磁兼容性要求��。
3.3 系統(tǒng)層安全
網(wǎng)絡(luò)操作系統(tǒng)安全是防止系統(tǒng)在正常運(yùn)行狀態(tài)下遭受破壞�;數(shù)據(jù)庫系統(tǒng)安全主要保護(hù)以庫結(jié)構(gòu)形式存放的數(shù)據(jù),防止非授權(quán)用戶以各種非法途徑獲取����,并確保數(shù)據(jù)庫系統(tǒng)運(yùn)行正常。
建立用戶權(quán)限認(rèn)證體系,健全系統(tǒng)訪問日志,提供有效的監(jiān)督機(jī)制��。用戶權(quán)限認(rèn)證屬于網(wǎng)絡(luò)層的安全策略�。系統(tǒng)管理員負(fù)責(zé)監(jiān)督管理所有系統(tǒng)資源的分配、控制�,分配不同級別的用戶權(quán)限��,進(jìn)行數(shù)據(jù)庫的備份與恢復(fù)����;系統(tǒng)工程師負(fù)責(zé)操作系統(tǒng)中的所有設(shè)置和網(wǎng)絡(luò)參數(shù)��;系統(tǒng)操作員負(fù)責(zé)操作系統(tǒng)中的部分設(shè)置和網(wǎng)絡(luò)參數(shù)��;只讀用戶只能監(jiān)視系統(tǒng)中的設(shè)備狀態(tài)�。
系統(tǒng)內(nèi)部安全防范也可采用先進(jìn)的具有中國版權(quán)的指紋識別系統(tǒng)��,指紋識別系統(tǒng)采用活體指紋實(shí)行密碼登錄��,確保系統(tǒng)安全��,它與口令雙重加密��,更無懈可擊�。
3.4 網(wǎng)絡(luò)層安全
網(wǎng)絡(luò)隱患掃描是在非法入侵之前,幫助系統(tǒng)管理員主動對網(wǎng)絡(luò)上的設(shè)備進(jìn)行安全測試����。外部掃描是模擬黑客攻擊的過程在網(wǎng)絡(luò)上進(jìn)行掃描,并分析掃描信息����,結(jié)合不斷更新的漏洞庫來發(fā)現(xiàn)網(wǎng)絡(luò)存在的隱患����;內(nèi)部掃描是模擬系統(tǒng)管理員從主機(jī)內(nèi)部掃描�,檢查一切和網(wǎng)絡(luò)安全有關(guān)的配置是否正確,從而從內(nèi)部清除隱患��。入侵檢測系統(tǒng)用來檢查一個局域網(wǎng)段上的通信��,可以和防火墻設(shè)備配合來監(jiān)測來自外部的通信����;可以監(jiān)測內(nèi)部網(wǎng)絡(luò)用戶對于敏感數(shù)據(jù)或應(yīng)用系統(tǒng)的使用情況。當(dāng)發(fā)現(xiàn)可疑行為時�,網(wǎng)絡(luò)監(jiān)測預(yù)警系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),實(shí)時報(bào)警����、事件登錄、自動阻斷通信連接或執(zhí)行其它有效安全策略��。
3.5 應(yīng)用層安全
應(yīng)用層安全策略可采用防止病毒侵害手段�,建立完整的防病毒體系。如在網(wǎng)絡(luò)管理系統(tǒng)環(huán)境�,購買并安裝Norton Antivirus或其他國產(chǎn)網(wǎng)絡(luò)防殺病毒軟件�。為保護(hù)主機(jī)端數(shù)據(jù)的完整性��,也采用有效的數(shù)據(jù)備份及恢復(fù)系統(tǒng)����。
3.6 管理層安全
制定相應(yīng)的管理制度和操作規(guī)范:制定機(jī)房管理制度、系統(tǒng)管理員職責(zé)����、機(jī)房值班員守則、數(shù)據(jù)庫管理規(guī)定及網(wǎng)絡(luò)安全管理規(guī)范等�;制定嚴(yán)格的操作規(guī)程�,明確各級人員職責(zé)和權(quán)限,各負(fù)其責(zé)�,不允許超越自己的管轄范圍;制定完備的系統(tǒng)運(yùn)行維護(hù)制度����;強(qiáng)化各類人員的安全意識,嚴(yán)格按照有關(guān)規(guī)定辦事����。
4 結(jié)束語
IP專用網(wǎng)絡(luò)安全的需求分析必須切合實(shí)際,網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)和原則要合理可行��,IP專用網(wǎng)絡(luò)安全方案的設(shè)計(jì)方法適合其它類型網(wǎng)絡(luò)的安全設(shè)計(jì)。全面的安全策略需要投入大量的軟����、硬件設(shè)備,付出可觀的資金�。根據(jù)IP專用網(wǎng)的實(shí)際需求和經(jīng)費(fèi)支持情況,可以適當(dāng)采用方案中的部分安全策略��,達(dá)到理想的安全防范目的����。
參考文獻(xiàn)
第6篇
網(wǎng)絡(luò)外部的黑客。這是計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)前面臨的最大也是最嚴(yán)重的威脅�,它也是我們需要重點(diǎn)防范的對象。一般來說����,如果黑客非法入侵了政治、經(jīng)濟(jì)����、科學(xué)等領(lǐng)域計(jì)算機(jī)網(wǎng)絡(luò)中,則會對其中存儲及傳輸?shù)臄?shù)據(jù)進(jìn)行大量盜用�、暴露以及篡改,往往造成難以估計(jì)的損失����。
當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全問題的對策
網(wǎng)絡(luò)系統(tǒng)健壯性和網(wǎng)絡(luò)安全威脅有著極大的關(guān)系����,基于此����,我們要想真正確保計(jì)算機(jī)網(wǎng)絡(luò)的安全,則要由其安全體系結(jié)構(gòu)出發(fā)��,對其進(jìn)行深入的分析����,采取一些合理有效的措施來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。
1管理的安全對策�。管理問題屬于網(wǎng)絡(luò)安全問題中最為核心的一個問題��,這主要是因?yàn)樵趯?shí)現(xiàn)網(wǎng)絡(luò)安全的過程中��,人是主體����,假如缺乏一個有效的管理機(jī)制,那么無論網(wǎng)絡(luò)安全方案的實(shí)施多么到位都沒有任何意義����。因此�,我們在工作中首先要加強(qiáng)網(wǎng)絡(luò)安全方面的培訓(xùn)工作����,并制定出系統(tǒng)維護(hù)以及網(wǎng)絡(luò)維護(hù)的規(guī)程,建立一套有效的應(yīng)急預(yù)案����,并通過一些技術(shù)手段來實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全管理的規(guī)范化、制度化����。
2物理安全對策。要想實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全結(jié)構(gòu)��,那么確保計(jì)算機(jī)實(shí)體的安全則是一項(xiàng)基礎(chǔ)工作�。在我們的工作中要盡量防止計(jì)算機(jī)的硬件以及通信線路受到人為破壞以及自然災(zāi)害的影響。具體來說�,我們要先對其物理性狀進(jìn)行分析,得出隱患及有可能出現(xiàn)的威脅��,并以此為基礎(chǔ)使用電磁屏蔽技術(shù)對電磁泄漏進(jìn)行控制����、采取避雷措施避免雷電干擾����、利用防火��、防塵�、防震、防水以及防靜電措施確保計(jì)算機(jī)場地的安全標(biāo)準(zhǔn)��,最終實(shí)現(xiàn)一個多角度�、全方位的保障。
3計(jì)算機(jī)系統(tǒng)安全�。當(dāng)前系統(tǒng)安全中主要面臨的問題是黑客的侵入以及病毒的威脅。近年來��,隨著網(wǎng)絡(luò)的飛速發(fā)展��,病毒的傳播途徑出現(xiàn)了很大的額變化�,由以往通過光盤、軟盤傳播變?yōu)楫?dāng)前的網(wǎng)絡(luò)傳播��,這種傳播方式破壞性更大�、波及范圍更廣�。針對這一背景,我們要提升防范病毒的觀念�,加強(qiáng)日常的檢測及殺毒工作����,一旦發(fā)現(xiàn)病毒要及時的消滅��,避免其擴(kuò)散�。至于黑客,其主要目標(biāo)是對系統(tǒng)進(jìn)行篡改以及竊取數(shù)據(jù)�,因此我們要加強(qiáng)漏洞的掃描以及做好入侵檢測工作。此外�,在系統(tǒng)安全方面,針對一些突發(fā)性����、不可預(yù)知的問題,可以通過系統(tǒng)的備份來應(yīng)對��,起到“有備無患”的效果����。
4網(wǎng)絡(luò)層安全。對于網(wǎng)絡(luò)層的安全性來說����,其核心是是否能夠?qū)P地址來源進(jìn)行控制。當(dāng)前在網(wǎng)絡(luò)層安全面應(yīng)用較多的技術(shù)是防火墻技術(shù),它的原理是將Internet網(wǎng)和內(nèi)部網(wǎng)分開�,然后在網(wǎng)絡(luò)邊界上建立一個網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),當(dāng)兩個網(wǎng)絡(luò)通訊的時候則會執(zhí)行訪問控制尺度����,以此對IP來源安全性進(jìn)行判斷,進(jìn)而對未經(jīng)授權(quán)或者危險的IP起到監(jiān)測��、限制的作用�,最終確保系統(tǒng)的安全性和保密性。實(shí)際原理上來看的話����,防火墻的技術(shù)主要包括了網(wǎng)絡(luò)級防火墻、電路級網(wǎng)關(guān)��、應(yīng)用級網(wǎng)關(guān)以及規(guī)則檢查防火墻這四大類�。彼此之間各有優(yōu)缺點(diǎn),在應(yīng)用的過程中����,可以根據(jù)需要來確定使用哪一種或者對其進(jìn)行混合使用。
5用戶層安全對策�。用戶層的安全的保證途徑主要是合理確定使用系統(tǒng)資源以及數(shù)據(jù)的用戶類別。具體來說����,這主要是通過用戶分組管理,依據(jù)不同安全級別對用戶進(jìn)行劃分��,使其分為將若干等級��,對每一等級用戶所能夠訪問的系統(tǒng)資源及數(shù)據(jù)進(jìn)行限定����。此外,還有一個重要的對策是對用戶身份認(rèn)證進(jìn)行加強(qiáng)�,確保和網(wǎng)絡(luò)進(jìn)行連接用戶的身份合法性,這也可以提升用戶層安全性系數(shù)����。
6數(shù)據(jù)安全對策。為了提升系統(tǒng)及數(shù)據(jù)的保密性和安全性��,數(shù)據(jù)加密技術(shù)獲得了廣泛得應(yīng)用�,它是我們確保數(shù)據(jù)不受外部破壞的有效、靈活手段����。一般來說,數(shù)據(jù)加密又可以分為鏈路加密����、端對端加密以及節(jié)點(diǎn)加密這三種��。
其中����,最常用的加密技術(shù)為鏈路加密��;而節(jié)點(diǎn)加密則是在對鏈路加密進(jìn)行改進(jìn)之后得到的��;至于端對端加這一中加密技術(shù)則主要面向網(wǎng)絡(luò)中高層主體�,多通過軟件來實(shí)現(xiàn)。
具體來說����,數(shù)據(jù)加密技術(shù)的加密過程是使用各種加密算法來完成的,主要從密鑰管理����、數(shù)據(jù)傳輸、數(shù)據(jù)完整性��、數(shù)據(jù)存貯這幾個方面保對數(shù)據(jù)信息進(jìn)行保護(hù)����,實(shí)現(xiàn)了即使數(shù)據(jù)被失竊�,攻擊方也不能夠輕易的識別數(shù)據(jù)內(nèi)容��。相對于以上對策而言����,這類對策比較被動�,但是其效果和作用卻是不容忽視的。整體來說�,這6個層面上的對策是環(huán)環(huán)相扣、緊密相連的����,它們之間互為補(bǔ)充,我們只有在每個環(huán)節(jié)上都做好才能最大限度確保網(wǎng)絡(luò)的安全�。
結(jié)語
第7篇
筆者從眾多開設(shè)網(wǎng)絡(luò)工程專業(yè)的高校中選取部分211或985學(xué)校作為研究對象,對多所學(xué)校的網(wǎng)絡(luò)安全方向課程的設(shè)置進(jìn)行了對比分析,見表1。網(wǎng)絡(luò)安全在某些高校是作為網(wǎng)絡(luò)工程專業(yè)的一個方向開設(shè),如吉林大學(xué)就是在網(wǎng)絡(luò)工程專業(yè)下設(shè)網(wǎng)絡(luò)安全方向,開設(shè)網(wǎng)絡(luò)攻防技術(shù)��、無線網(wǎng)絡(luò)技術(shù)等課程;而在有些院校網(wǎng)絡(luò)工程中沒有網(wǎng)絡(luò)安全方向,而以單獨(dú)的信息安全專業(yè)存在,如電子科技大學(xué)和北京郵電大學(xué)都是單獨(dú)設(shè)有信息安全專業(yè),該專業(yè)開設(shè)的安全方向課程更全面,如信息安全數(shù)學(xué)基礎(chǔ)��、密碼學(xué)基礎(chǔ)����、網(wǎng)絡(luò)安全協(xié)議等;還有一些高校既沒有信息安全專業(yè),在網(wǎng)絡(luò)工程專業(yè)中也沒有安全方向,只是在課程中設(shè)置了少量的安全類課程,如大連理工大學(xué)開設(shè)網(wǎng)絡(luò)安全、Matlab課程,中山大學(xué)開設(shè)了密碼學(xué)與網(wǎng)絡(luò)安全課程����。
2擴(kuò)展課程設(shè)置探討
下面針對濟(jì)南大學(xué)的網(wǎng)絡(luò)工程專業(yè)安全方向開設(shè)的課程進(jìn)行改革探討����。濟(jì)南大學(xué)網(wǎng)絡(luò)工程專業(yè)目前正在使用的培養(yǎng)方案中與安全相關(guān)的課程設(shè)置情況見表2��。其中,一部分是計(jì)算機(jī)類學(xué)科基礎(chǔ)課,一部分是網(wǎng)絡(luò)工程專業(yè)基礎(chǔ)選修課和專業(yè)方向課����。濟(jì)南大學(xué)網(wǎng)絡(luò)工程專業(yè)中設(shè)有網(wǎng)絡(luò)安全方向。結(jié)合山東省名校工程的契機(jī),筆者在調(diào)研多個名校的培養(yǎng)方案并結(jié)合本校實(shí)際情況的前提下,對網(wǎng)絡(luò)安全方向課程的設(shè)置提出下面幾個調(diào)整意見����。
2.1增設(shè)信息安全數(shù)學(xué)基礎(chǔ)和網(wǎng)絡(luò)仿真課程
雖然原有培養(yǎng)方案中高等數(shù)學(xué)、線性代數(shù)�、概率論與數(shù)理統(tǒng)計(jì)、離散數(shù)學(xué)4門數(shù)學(xué)課程都占據(jù)了大量學(xué)時,但是對于網(wǎng)絡(luò)安全方向的學(xué)生而言,后期用到的相關(guān)數(shù)學(xué)知識并不多����。但是學(xué)生對網(wǎng)絡(luò)安全真正用到的初等數(shù)論和群環(huán)域知識卻一點(diǎn)都沒有接觸。因此,修改培養(yǎng)方案時應(yīng)增設(shè)信息安全數(shù)學(xué)基礎(chǔ)課程,學(xué)時不用太多,可以為24學(xué)時,授課內(nèi)容要涉及網(wǎng)絡(luò)安全中用到的模運(yùn)算�、同余理論、數(shù)論函數(shù)和群環(huán)域等知識����。目前,網(wǎng)絡(luò)安全方向用到的數(shù)學(xué)知識均是在應(yīng)用密碼學(xué)課程中講解的�。大部分有關(guān)密碼學(xué)的教材都會在講解分組密碼和公鑰密碼時,介紹一些與之密切相關(guān)的數(shù)學(xué)知識(如群環(huán)域),如由清華大學(xué)出版社出版,楊波編寫的《現(xiàn)代密碼學(xué)》(第二版)[3]中的“密碼學(xué)中一些常用的數(shù)學(xué)知識”部分�。這種做法一方面占了密碼學(xué)課程的部分學(xué)時,勢必會減少學(xué)生學(xué)到的密碼學(xué)知識;另一方面,臨時講一些數(shù)學(xué)知識并不能讓學(xué)生系統(tǒng)地理解。因此,筆者非常贊成清華大學(xué)馮克勤教授提出的增設(shè)初等數(shù)論課程的想法[4]�。雖然馮教授是針對清華大學(xué)數(shù)學(xué)科學(xué)系本科生提出的,但對于網(wǎng)絡(luò)安全方向的學(xué)生而言,不學(xué)習(xí)初等數(shù)論和群環(huán)域知識,很難理解和掌握后續(xù)的與安全相關(guān)的課程內(nèi)容,這點(diǎn)在應(yīng)用密碼學(xué)課程中尤其明顯。例如,學(xué)習(xí)離散對數(shù)算法后,學(xué)生只知道在已知一些參數(shù)的情況下如何利用指數(shù)進(jìn)行加密解密,但不能理解如何選擇參數(shù),不知道什么是本原元,如何確定一個循環(huán)群的本原元以及如何利用模運(yùn)算降低計(jì)算量,如何快速的編程實(shí)現(xiàn)��。筆者采用不同于上述馮教授提出的在大學(xué)第1學(xué)期開設(shè)初等數(shù)論課程的方式,而是在第3學(xué)期開設(shè)��。因?yàn)闈?jì)南大學(xué)在第1�、2學(xué)期,學(xué)生必修高等數(shù)學(xué)和線性代數(shù)課程,這已經(jīng)使學(xué)生無暇顧及更多的數(shù)學(xué)知識��。第3學(xué)期開設(shè)信息安全數(shù)學(xué)基礎(chǔ)可以很好地和第4學(xué)期開設(shè)的應(yīng)用密碼學(xué)課程銜接�。另外,在信息安全數(shù)學(xué)基礎(chǔ)課程中,安排一定的實(shí)驗(yàn)學(xué)時,讓學(xué)生在經(jīng)過第1、2學(xué)期的程序設(shè)計(jì)課程之后,通過學(xué)過的編程語言實(shí)現(xiàn)數(shù)論和群環(huán)域中的一些算法,理論聯(lián)系實(shí)際,從而更好地掌握數(shù)學(xué)知識,為后續(xù)密碼學(xué)算法的研究奠定基礎(chǔ)����。
2.2增加網(wǎng)絡(luò)仿真課程
現(xiàn)代網(wǎng)絡(luò)技術(shù)的研究離不開仿真軟件,因?yàn)槲覀儾豢赡軐?shí)際搭建網(wǎng)絡(luò),如果不合適,再拆了重新搭建,這不僅費(fèi)時而且費(fèi)力。現(xiàn)在所有與網(wǎng)絡(luò)相關(guān)的研究都在仿真基礎(chǔ)上進(jìn)行;而如果不開設(shè)仿真課程,學(xué)生僅學(xué)習(xí)理論知識,會與實(shí)際應(yīng)用脫離�。濟(jì)南大學(xué)的信息安全教學(xué)團(tuán)隊(duì)由5位博士組成,其中3人是數(shù)學(xué)專業(yè)背景,主要研究網(wǎng)絡(luò)安全,2人是計(jì)算機(jī)學(xué)科出身,主要研究無線網(wǎng)絡(luò),而且5人中有2人具有工程背景。信息安全教學(xué)團(tuán)隊(duì)負(fù)責(zé)網(wǎng)絡(luò)工程專業(yè)的所有安全類課程的教學(xué),包含無線網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議等課程,這些課程都需要仿真軟件的配合才能使學(xué)生真正掌握所學(xué)知識����。因此,增加網(wǎng)絡(luò)仿真課程是必須的。至于仿真課程的內(nèi)容,可以選擇NS2或NS3,也可以與大連理工大學(xué)相似,采用Matlab����。
2.3合并網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)安全協(xié)議課程,調(diào)整其他相關(guān)課程的學(xué)分和學(xué)時
網(wǎng)絡(luò)協(xié)議課程主要講TCP/IP協(xié)議,內(nèi)容與吉林大學(xué)的TCP/IP協(xié)議族相似,重點(diǎn)在網(wǎng)絡(luò)的分層協(xié)議,如網(wǎng)絡(luò)層協(xié)議�、傳輸層協(xié)議等����。涉及部分安全協(xié)議,如IPsec、SSL����、SNMP等,這與網(wǎng)絡(luò)安全協(xié)議課程中再次對這些內(nèi)容的講解重復(fù),而且安全協(xié)議本身也是網(wǎng)絡(luò)協(xié)議的一種,因此可以考慮將安全協(xié)議和網(wǎng)絡(luò)協(xié)議兩個課程整合或一門全新的網(wǎng)絡(luò)協(xié)議課程,去掉重復(fù)內(nèi)容,增加部分學(xué)分和學(xué)時,從原有的2.5學(xué)分增加到3學(xué)分,同時學(xué)時從原有的48增加到64。網(wǎng)絡(luò)工程專業(yè)修改培養(yǎng)方案后的安全方向課程設(shè)置見表3��。從表3可以看出培養(yǎng)方案修正前后的總學(xué)分保持不變,這是因?yàn)樵谠黾有抡n的同時,調(diào)整了部分課程所占學(xué)分和學(xué)時,如減少無線網(wǎng)絡(luò)原理與技術(shù)的學(xué)分,從原有的4學(xué)分減到3.5學(xué)分��。這樣一方面增加了新課,另一方面整合了重復(fù)內(nèi)容的課程��。
第8篇
關(guān)鍵詞:計(jì)算網(wǎng)絡(luò)��;數(shù)據(jù)庫安全性��;存在問題�;總結(jié)優(yōu)化;探討
1關(guān)于網(wǎng)絡(luò)數(shù)據(jù)庫的具體分析
(1)目前計(jì)算機(jī)網(wǎng)絡(luò)工作模塊中����,必須單獨(dú)設(shè)立一個模塊進(jìn)行信息數(shù)據(jù)的儲存�、管理��,這是計(jì)算機(jī)網(wǎng)絡(luò)工作的核心點(diǎn)����、必要點(diǎn),這就需要結(jié)合網(wǎng)絡(luò)數(shù)據(jù)庫技術(shù)��。從實(shí)際應(yīng)用上分析��,網(wǎng)絡(luò)數(shù)據(jù)庫本質(zhì)上是在網(wǎng)絡(luò)后臺建立的數(shù)據(jù)庫�,通過計(jì)算機(jī)軟件控制數(shù)據(jù)庫對數(shù)據(jù)的存儲�、查詢等,實(shí)現(xiàn)多終端訪問����、控制、查詢��。為了順應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的工作需要�,進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫的安全性體系的健全是必要的,這樣可以保證計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性��。這離不開相關(guān)工作模塊的控制,這需要進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全理論的分析�,順應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的工作需要。近年來�,計(jì)算機(jī)行業(yè)的數(shù)據(jù)庫安全性已經(jīng)引起國際的重視。也有很多的刊物進(jìn)行了計(jì)算機(jī)網(wǎng)絡(luò)安全性的報(bào)道����。從這些刊物上可以更好的進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫安全性理論的分析及其汲取經(jīng)驗(yàn),順應(yīng)計(jì)算機(jī)時代的網(wǎng)絡(luò)技術(shù)的工作需要�,保證計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域體系的健全。這涉及到一些比較著名的計(jì)算機(jī)網(wǎng)絡(luò)安全性理論刊物��?!峨娔X知識與技術(shù)》是一本面向計(jì)算機(jī)全行業(yè)的綜合性的計(jì)算機(jī)網(wǎng)絡(luò)論文學(xué)術(shù)刊物。稿源來自全國各高等院校�,相關(guān)專業(yè)研究機(jī)構(gòu)以及國內(nèi)大型信息通訊、軟件研發(fā)企業(yè)設(shè)置的專業(yè)研究所�。目前網(wǎng)絡(luò)數(shù)據(jù)庫工作模塊中,其需要進(jìn)行大量數(shù)據(jù)信息的儲存����,它是一種功能非常強(qiáng)大的載體,為了更好的提升數(shù)據(jù)庫的安全性�,進(jìn)行完整性及其統(tǒng)一性的控制是必要的,這需要應(yīng)用到一系列的計(jì)算機(jī)模式�,滿足網(wǎng)絡(luò)數(shù)據(jù)庫的工作需要,進(jìn)行不同形式的工作模塊的優(yōu)化,保證其整體的簡單性及其方便性����。又如比較常見的瀏覽器就是比較自治、高度自由的環(huán)境����,其具備高度自由性及其高度的復(fù)雜性。所以網(wǎng)絡(luò)數(shù)據(jù)庫面臨了諸多安全問題��,例如在使用過程中發(fā)生數(shù)據(jù)丟失�、被非法侵入等,數(shù)據(jù)庫的數(shù)據(jù)因此丟失����、篡改。另外網(wǎng)絡(luò)數(shù)據(jù)庫的用戶較多�,且訪問量較大�,因而要求其具有可靠性,能夠進(jìn)行數(shù)據(jù)的實(shí)時更新以及大文件的存取等�,并且針對敏感數(shù)據(jù)資源數(shù)據(jù)庫也能夠進(jìn)行存放。所以�,網(wǎng)絡(luò)數(shù)據(jù)庫目前面臨了諸多安全隱患,在這樣的環(huán)境下��,如何提高網(wǎng)絡(luò)數(shù)據(jù)庫的安全性,保障數(shù)據(jù)庫中的數(shù)據(jù)安全是目前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展的首要任務(wù)�。
(2)目前網(wǎng)絡(luò)數(shù)據(jù)庫的優(yōu)化過程中,進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全性的控制是必要的��,從而保證網(wǎng)絡(luò)數(shù)據(jù)庫安全體系的健全��,更好地進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫的安全性的控制����,這需要進(jìn)行網(wǎng)絡(luò)系統(tǒng)的整體安全性的提升,進(jìn)行相關(guān)的控制安全方案的落實(shí)����。我們將網(wǎng)絡(luò)數(shù)據(jù)庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當(dāng)而導(dǎo)致的網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)錯誤(;2)非法訪問非權(quán)限范圍內(nèi)的數(shù)據(jù)信息:(3)攻擊數(shù)據(jù)庫的正常訪問(;4)非法竊取或篡改連接中數(shù)據(jù)庫內(nèi)的數(shù)據(jù)資源信息。
2網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)體系的健全
(1)目前網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)控制模塊中����,進(jìn)行開發(fā)性的網(wǎng)絡(luò)環(huán)境的優(yōu)化是必要的,從而進(jìn)行各種網(wǎng)絡(luò)數(shù)據(jù)庫安全威脅的控制����,保證各種有效性的技術(shù)方案的操作,保證網(wǎng)絡(luò)數(shù)據(jù)庫的自身安全性的提升����。以保證數(shù)據(jù)的完整性和一致性�。一般來說����,網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題可歸結(jié)為保證數(shù)據(jù)庫中各種對象存取權(quán)的合法性和數(shù)據(jù)庫內(nèi)容本身的安全兩個方面,具體安全技術(shù)方案有如下幾方面��。目前工作模塊中�,計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境是比較復(fù)雜的,其具備高開發(fā)性��。每一個進(jìn)行資源訪問的用戶就需要進(jìn)行身份認(rèn)證�,這是為了更好的進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫的有效訪問的控制,保證網(wǎng)絡(luò)數(shù)據(jù)庫的整體安全性的控制�,從而提升其應(yīng)用性能,滿足當(dāng)下網(wǎng)絡(luò)數(shù)據(jù)庫的工作需要����,保證計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)作環(huán)境的安全性的提升,保證用戶身份認(rèn)證模塊的優(yōu)化��。是通過采用系統(tǒng)登錄��、數(shù)據(jù)庫連接和數(shù)據(jù)庫對象使用三級機(jī)制來實(shí)現(xiàn)身份認(rèn)證功能�。其中��,系統(tǒng)登錄是驗(yàn)證訪問用戶輸入的用戶名和密碼正確與否;而數(shù)據(jù)庫連接是要求數(shù)據(jù)庫管理系統(tǒng)驗(yàn)證用戶身份;數(shù)據(jù)庫對象是采用分配不同的權(quán)限機(jī)制來為不同使用用戶設(shè)置相應(yīng)的數(shù)據(jù)庫對象權(quán)限來保障數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性。
(2)目前工作模塊中��,進(jìn)行數(shù)據(jù)庫加密模塊的優(yōu)化是必要的��,需要進(jìn)行加密設(shè)置的應(yīng)用�,提升數(shù)據(jù)庫數(shù)據(jù)的安全性,這需要進(jìn)行某些特殊加密方法的應(yīng)用��,這離不開特殊算法的應(yīng)用��,保證數(shù)據(jù)信息的改變�。這需要進(jìn)行授權(quán)的用戶的加密信息權(quán)限的控制,這離不開解密方法的權(quán)限控制����,更好的進(jìn)行信息數(shù)據(jù)庫的原始信息的加密及其控制。在數(shù)據(jù)庫加密控制過程中��,必須提高加密�、解密水平,從而完成數(shù)據(jù)庫信息轉(zhuǎn)化的同時��,確保數(shù)據(jù)內(nèi)容的真實(shí)性��、完整性����,優(yōu)化可變信息�。在網(wǎng)絡(luò)數(shù)據(jù)庫的應(yīng)用過程中��,數(shù)據(jù)備份����、恢復(fù)是確保數(shù)據(jù)庫安全、數(shù)據(jù)完整的有效機(jī)制�,通過數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)能夠保證數(shù)據(jù)完整一致,這是目前我國計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)庫安全措施中應(yīng)用最為廣泛的機(jī)制之一����。在這樣的條件下,若網(wǎng)絡(luò)數(shù)據(jù)庫出現(xiàn)故障����,由于事先進(jìn)行了數(shù)據(jù)備份,那么當(dāng)故障發(fā)生后�,管理人員可以依照備份文件對現(xiàn)場數(shù)據(jù)進(jìn)行恢復(fù),不但保障了數(shù)據(jù)的完整性����,同時還縮短了網(wǎng)絡(luò)數(shù)據(jù)庫的修復(fù)時間,盡快恢復(fù)網(wǎng)絡(luò)運(yùn)行����,令其恢復(fù)到原有狀態(tài)。當(dāng)前依照備份方式的不同�,網(wǎng)絡(luò)數(shù)據(jù)庫備份機(jī)制主要有邏輯備份、動態(tài)備份以及靜態(tài)備份三種�。而最常見的數(shù)據(jù)恢復(fù)技術(shù)主要包括備份文件以及磁盤鏡像兩種。
(3)目前工作模塊中����,進(jìn)行審計(jì)追蹤模塊的優(yōu)化是必要的,這需要進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)庫操作模塊的優(yōu)化��,保證用戶的操作的及時跟蹤�,這需要進(jìn)行操作內(nèi)容的分析,定期監(jiān)控審計(jì)日志����,保證其完整性、準(zhǔn)確性�。管理員必須嚴(yán)于律己,做好本職工作��,控制可能發(fā)生的所有狀況�。如此一來一旦網(wǎng)絡(luò)數(shù)據(jù)庫出現(xiàn)問題,管理員可以在最快時間內(nèi)找出問題根源��,解決問題。例如若數(shù)據(jù)庫受到非法存取數(shù)據(jù)��,管理員通過審計(jì)日志可以快速找出責(zé)任人����,并予以嚴(yán)懲。但是審計(jì)追蹤以及攻擊檢測也存在諸多問題亟待解決��,還需要進(jìn)一步予以完善����。為確保網(wǎng)絡(luò)數(shù)據(jù)庫阿全,安全性控制措施的應(yīng)用極為必要����,只有網(wǎng)絡(luò)安全控制技術(shù)不斷與時俱進(jìn)、得到更新����,在應(yīng)對當(dāng)下網(wǎng)絡(luò)數(shù)據(jù)庫問題中才可以游刃有余,最大程度保障數(shù)據(jù)安全����。
3結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是當(dāng)前人類社會信息傳遞、發(fā)展的基礎(chǔ),自新世紀(jì)以來��,人類社會便進(jìn)入了信息化時代�。但計(jì)算機(jī)技術(shù)的成熟、網(wǎng)絡(luò)技術(shù)的成熟使得現(xiàn)代社會所需要的信息量越來越多�。而面對龐大的訪問量以及數(shù)據(jù)來源����、數(shù)據(jù)量,網(wǎng)絡(luò)數(shù)據(jù)庫技術(shù)應(yīng)時而生�,并發(fā)揮了巨大的作用。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,網(wǎng)絡(luò)安全問題則成為了技術(shù)研發(fā)重點(diǎn)。只有保證網(wǎng)絡(luò)數(shù)據(jù)庫安全�,才能確保數(shù)據(jù)真實(shí)可靠,才能更好地發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)作用�。
參考文獻(xiàn)
[1]王靜.網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)庫安全綜述[J].合作經(jīng)濟(jì)與科技,2009(5).
[2]周世忠.淺談網(wǎng)絡(luò)數(shù)據(jù)庫安全研究與應(yīng)用[J].電腦知識與技術(shù)����,2010(5).
第9篇
[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò) 數(shù)據(jù)庫安全 安全技術(shù)方案
中圖分類號:G250.74 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2014)21-0226-01
計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的信息存儲和管理都是由網(wǎng)絡(luò)數(shù)據(jù)庫來實(shí)現(xiàn)的,而隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的廣泛普及和快速發(fā)展�,網(wǎng)絡(luò)數(shù)據(jù)庫的安全性已經(jīng)成為整個計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中的一個極為重要的問題。網(wǎng)絡(luò)數(shù)據(jù)庫是一種開放環(huán)境下的信息倉庫��,存儲著大量非常重要的數(shù)據(jù)信息,一旦遭受各個方面的不可預(yù)測的安全攻擊����,就將給用戶帶來不可估量的損失,如此大的安全隱患不得不讓我們納入考慮范疇并加以防范����。
1、網(wǎng)絡(luò)數(shù)據(jù)庫簡介
所謂網(wǎng)絡(luò)數(shù)據(jù)庫是指在普通后臺建立起來的數(shù)據(jù)庫基礎(chǔ)之上�,利用瀏覽器等各種軟件實(shí)現(xiàn)數(shù)據(jù)存儲、查詢等操作�。其主要特征是能夠作為儲存大量數(shù)據(jù)信息的載體,同時可以保障數(shù)據(jù)的完整性和一致性�。此外,瀏覽器/服務(wù)器(B/C)和客戶機(jī)/服務(wù)器模式是當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)庫部署情況下最常見的兩種形式��,簡單方便����。
2、網(wǎng)絡(luò)數(shù)據(jù)庫安全威脅
由于Internet是一個高度自治��、自由開放����、復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境�,因此網(wǎng)絡(luò)數(shù)據(jù)庫不可避免地會存在數(shù)據(jù)丟失��、數(shù)據(jù)庫非法入侵����、數(shù)據(jù)被篡改等安全性問題。此外��,網(wǎng)絡(luò)數(shù)據(jù)庫具有多用戶�、高可靠性��、頻繁地更新和大文件存儲等基本特性�,同時還存放有大量重要的敏感數(shù)據(jù)資源信息。因而�,在如此安全性存在極大威脅的背景下,如何采取措施保障網(wǎng)絡(luò)數(shù)據(jù)庫免受安全威脅變得非常重要��。
網(wǎng)絡(luò)上的非法用戶通常都是直接通過網(wǎng)絡(luò)系統(tǒng)來實(shí)現(xiàn)入侵網(wǎng)絡(luò)數(shù)據(jù)庫��,以此來達(dá)到攻擊網(wǎng)絡(luò)數(shù)據(jù)庫的目的��,所以網(wǎng)絡(luò)數(shù)據(jù)庫的安全性基本決定于網(wǎng)絡(luò)系統(tǒng)的安全情況�。一般情況下,我們將網(wǎng)絡(luò)數(shù)據(jù)庫面臨的安全威脅歸納為以下幾個方面:(1)因用戶操作不當(dāng)而導(dǎo)致的網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)錯誤����;(2)非法訪問非權(quán)限范圍內(nèi)的數(shù)據(jù)信息:(3)攻擊數(shù)據(jù)庫的正常訪問�;(4)非法竊取或篡改連接中數(shù)據(jù)庫內(nèi)的數(shù)據(jù)資源信息��。
3��、網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)方案探討
在開放的網(wǎng)絡(luò)環(huán)境中����,網(wǎng)絡(luò)數(shù)據(jù)庫是非常容易遭受到各種安全威脅的,所以我們必須要采取實(shí)際有效的技術(shù)方案來不斷提高網(wǎng)絡(luò)數(shù)據(jù)庫自身的安全性�,以保證數(shù)據(jù)的完整性和一致性。一般來說����,網(wǎng)絡(luò)數(shù)據(jù)庫的安全問題可歸結(jié)為保證數(shù)據(jù)庫中各種對象存取權(quán)的合法性和數(shù)據(jù)庫內(nèi)容本身的安全兩個方面,具體安全技術(shù)方案有如下幾方面:
3.1 用戶身份認(rèn)證
由于計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境是一個面向多用戶的開放式環(huán)境��,所以對每一個網(wǎng)絡(luò)數(shù)據(jù)庫訪問用戶都必須要進(jìn)行統(tǒng)一的身份認(rèn)證����,這也是防止網(wǎng)絡(luò)數(shù)據(jù)庫被用戶非法訪問的一個最有效的手段。因而����,用戶身份認(rèn)證功能在當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)庫都是必須具備的功能��,是通過采用系統(tǒng)登錄��、數(shù)據(jù)庫連接和數(shù)據(jù)庫對象使用三級機(jī)制來實(shí)現(xiàn)身份認(rèn)證功能�。其中��,系統(tǒng)登錄是驗(yàn)證訪問用戶輸入的用戶名和密碼正確與否��;而數(shù)據(jù)庫連接是要求數(shù)據(jù)庫管理系統(tǒng)驗(yàn)證用戶身份����;數(shù)據(jù)庫對象是采用分配不同的權(quán)限機(jī)制來為不同使用用戶設(shè)置相應(yīng)的數(shù)據(jù)庫對象權(quán)限來保障數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性。
3.2 數(shù)據(jù)庫加密
數(shù)據(jù)庫加密是指通過對數(shù)據(jù)庫的加密設(shè)置來保證數(shù)據(jù)庫內(nèi)數(shù)據(jù)的安全性�。所謂加密是以某種特殊的算法改變原有的數(shù)據(jù)信息����,使得未授權(quán)的用戶即使獲得了已加密的信息,但因不知解密的方法����,則仍然無法了解獲取的信息數(shù)據(jù)的原始內(nèi)容。因此����,數(shù)據(jù)庫加密系統(tǒng)是加密和解密兩個過程的統(tǒng)一��,包括可辨數(shù)據(jù)信息轉(zhuǎn)換成非可變信息�、算法����、利用密鑰解密讀取數(shù)據(jù)等三方面內(nèi)容。
3.3 數(shù)據(jù)備份與恢復(fù)
數(shù)據(jù)備份與恢復(fù)是網(wǎng)絡(luò)數(shù)據(jù)庫保障數(shù)據(jù)完整性和一致性的一種有效機(jī)制��,也是最常見的一種技術(shù)方案����。在此機(jī)制下,一旦網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)發(fā)生故障��,管理人員可以根據(jù)先前的數(shù)據(jù)備份文件�,在最短的時間內(nèi)實(shí)現(xiàn)恢復(fù)數(shù)據(jù),進(jìn)而讓網(wǎng)絡(luò)數(shù)據(jù)庫回到故障發(fā)生之前的數(shù)據(jù)狀態(tài)�。目前,網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)備份機(jī)制有靜態(tài)備份����、動態(tài)備份和邏輯備份等幾種技術(shù)方案,而數(shù)據(jù)恢復(fù)技術(shù)有磁盤鏡像�、備份文件,以及在線日志等幾種方式��。
3.4 審計(jì)追蹤和攻擊檢測
審計(jì)追蹤是指當(dāng)用戶在操作網(wǎng)絡(luò)數(shù)據(jù)庫時,可以自動跟蹤用戶做的所有操作��,并將其操作的內(nèi)容都記錄在相應(yīng)的審計(jì)日志文件中�,以供管理員查閱并提供相關(guān)參考依據(jù)。根據(jù)審計(jì)日志文件�,管理員可以非常清楚地重現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫中出現(xiàn)的任何狀況,一旦出現(xiàn)安全問題����,管理員可以十分快速地找出存在非法存取數(shù)據(jù)的操作人員,進(jìn)而追查相關(guān)人的責(zé)任����。此外,通過利用審計(jì)追蹤和攻擊檢測技術(shù)對發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)庫安全方面的弱點(diǎn)和漏洞也有十分明顯的效果�。
4、結(jié)語
綜上所述��,如何構(gòu)建有效地網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)方案是保障計(jì)算機(jī)網(wǎng)絡(luò)健康發(fā)展的核心內(nèi)容�,同時隨著安全威脅因素日益增多且越來越復(fù)雜�,網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)也要不斷更新、改進(jìn)�。以應(yīng)對不斷出現(xiàn)的新情況、新問題�,只有這樣才能在最大程度上保障網(wǎng)絡(luò)數(shù)據(jù)庫的完整性和一致性�。
參考文獻(xiàn)
