WebST 党政机关内部网络安全解决方案
目录
一、前言 (3)
二、网络结构模型及其安全需求 (3)
1.1网络结构模型 (3)
1.2网络层安全需求 (4)
1.2.1网络进出控制 (4)
1.2.2网络和链路层数据加密 (4)
1.2.3安全检测和报警 (5)
三、应用模式及其安全需求 (6)
1.1各种应用模式 (6)
1.2应用层安全需求 (6)
1.2.1公共应用的安全需求 (6)
1.2.2内部办公应用的安全需求 (7)
1.2.3具体应用软件的安全需求 (7)
四、网络层安全解决方案 (8)
1.1安全的网络结构 (8)
1.2防火墙技术与产品 (8)
1.3入侵检测技术与产品 (9)
1.4防杀病毒技术与产品 (9)
五、应用层安全解决方案 (10)
1.1W EB ST安全服务 (10)
1.2W EB ST的安全组件 (10)
1.3W EB ST应用于党政机关内部网 (12)
六、结束语 (14)
一、前言
在我国,党政机关一般指中央直属单位、国家各大部委、各省市机关。这些单位是计算机网络建设和应用的先进部分,具有网络规模适中,人员相对较少,应用以办公为主,辅以少量的数据库应用,但保密级别相当高,从密码的角度来看需要核密和普密两级。人员虽少但访问控制级别要求精确,对审计需求也很高。
目前党政机关的内部网与外部公网在物理上是隔离的,这一方面是国家有关部门的保密规定要求,另一方面也是由于没有很好的解决方案而不得已为之。即使内外隔离,内部网络的安全问题还是相当突出,更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。
本文是在为国家某部委所做的整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。
二、网络结构模型及其安全需求
网络结构模型的不同,所产生的安全需求也不同,那么相应的安全解决方案就不一样。
1.1 网络结构模型
党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内,具有一个中心网络,提供公共应用服务(亦称公共应用平台),同时行使网络管理权利。按行政结构,下属各局、委、办,各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。这些局域网都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。一般来说,这些局域网之间没有直接通信通道。
为了给首长提供机要信息,单独建设一个首长机要局域网,内设基于Web的首长查询服务器。
党政机关由于中心单位和各下属单位之间的地理位置不同,所需连接的距离也不同,形成的园区网络结构也就有所差异。这种差异最终造成安全需求及解决方案的不同。一般有两种模式:? 集中式的网络结构
? 分布式的网络结构
对于集中式的网络结构,该单位的所有下属部门都处于大楼或大院内,所有局域网与中心网络直接互连,未经过不可信的公网。
对于分布式的网络结构,该单位的主要部门都处于大楼或大院内,呈现出一个集中式的网络结构;还有一些下属部门分布在其他地方,在业务上需要信息通信和共享。这写局域网与中心网络的互连,是经过不可信的公网(Internet、X.25、PSTN等)。
这两种结构示意图如图1。
图1 网络结构图
如图的网络结构,我们称其为非安全结构,是目前采用最多的一种。一般的安全措施是在连接公网处安装防火墙,但它只能防止外部非授权的网络访问,而对内部几乎没有防范功能。
1.2 网络层安全需求
网络层安全主要解决网络互联时和在网络通讯层安全问题,需要解决的问题有:
? 网络进出控制(即IP过滤);
? 网络和链路层数据加密;
? 安全检测和报警。
1.2.1 网络进出控制
需要对进入内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到公网进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
1.2.2 网络和链路层数据加密
对关键应用需要进行链路层数据加密,特别是最核心的领导办公服务系统,为领导提供信息共享,需要有高强度的数据加密措施。
1.2.3 安全检测和报警
安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
? 及时发现来自网络内外对网络的攻击行为;
? 详实地记录攻击发生的情况;
? 当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
? 当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
? 对防火墙进行安全检测和分析;
? 对Web服务器检测进行安全检测和分析;
? 对操作系统检测进行安全检测和分析。
三、应用模式及其安全需求
建设网络的目的在于应用,其道理如同高速公路和汽车运输的关系。人们感受网络的优势是通过网络上各种应用来实现的。详细地理解网络应用的模式,有助于了解应用安全需求,也就能够提出有针对性的安全解决方案。
1.1 各种应用模式
1.1.1.1 办公自动化
党政机关的网络应用是以办公自动化为主。以前都是基于C/S模式的应用,随着Interner的发展和普及,目前开始向基于Web的模式转向,正处于两种模式并存的过渡期。
办公系统的主要功能为:
? 公文运转
? 信息发布
? 计划管理
? 项目管理
? 行业报表管理
? 业务跟踪
上述各大功能是基本的功能,对不同的党政机关可能会有差异。党委、人大、政协部门可能以公文运转、信息发布为主;政府部门可能涵盖的更多些。
对于安全解决方案的提供商,我们更注意应用模式是基于Web的还是基于C/S的,因为模式不同,其安全解决方案也不同,效果也不同。
1.1.1.2 领导信息查询系统
该系统是基于Web的应用,一般用于首长机要子网,是传统手工的机要文件的计算机化。该系统的特点是用户少,只限于几位首长使用;安全保密强度要求高,一般属于核密或普密,不但数据传输过程要求加密,可能还会要求文件的加密存储;信息录入、修改、归档有专门的机要人员执行;授权控制简单,首长之间一般不再区分权限,除非有特别要求。
在一般安全要求相对较低的单位,可能会把这部分功能归纳到办公系统的信息发布中,这时,就要求有严格的访问控制了。
1.1.1.3 公共数据库应用
这部分是为行业内用户提供的基本数据查询服务,是基于数据库功能的,不是基于Web的。
1.2 应用层安全需求
应用层安全是建立在网络层安全基础之上的,应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的有WWW、数据库、电子邮件、FTP(文件传输)等应用方式。
1.2.1 公共应用的安全需求
公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共
享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有WWW、FTP、电子邮件等方式,必须严格按照用户的身份进行控制对信息的访问,对服务器也必须进行必要的身份认证。在认证的基础上根据用户的身份对信息进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
公共应用包括外部的和内部的,尤其是内部的公共应用,有着更高的安全要求。如领导信息查询系统,必须从上述的多个方面保证,特别对于身份认证和传输加密,必须做到万无一失。
1.2.2 内部办公应用的安全需求
内部的办公应用主要是运行在局域网上的办公事务处理,对身份认证和访问控制有更高的要求。对身份认证必须有多重的保证,包括用户口令、使用机器的IP和MAC地址,将来需要发展到使用IC 卡或电子钥匙,通过多种方式确认用户的身份。访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如Web页面、数据库记录等。
1.2.3 具体应用软件的安全需求
我们注意到,目前无论哪种模式的应用,软件开发者在开发时都或多或少地编写了一些安全管理和控制程序,如身份认证、访问控制、用户与资源的管理等。当然这些安全措施无论是强度上还是在标准上都存在着各种问题。
首先,每个应用软件的安全设计是非统一的,产生了安全控制强度的差异性。其次,由于安全设计者在经验和标准上的不足,遗留一些安全漏洞,例如,自己设计的用户管理模块,一定是以明文来存储注册用户信息(用户名和口令),身份认证多半是单向的、明文传输口令方式。最后,有关授权访问的程序,是和具体应用对象结合在一起的,如遇需求变化,牵涉软件的改动较大,适应性很差。
所以,需要一个应用层的安全管理平台,统一集中地管理用户、资源和安全策略。
四、网络层安全解决方案
根据前面描述的网络层安全需求,逐一提出安全解决方案。
1.1 安全的网络结构
图1的网络结构是不安全的,内部网络直接连接到公网或专网,即非安全区。这样受到非法攻击的风险非常大。所以需要调整网络结构,使之成为基本安全的前提。图2就是调整后的格局。
图2 安全的网络结构
首先增加一个支持三网段的防火墙,将原来的中心子网和内部网分为非军事化区、服务子网和内部网。将公开的WWW服务器放在非军事化区,并放置代理服务器(即WebST,后面会专门介绍)。将内部使用的各种应用服务器统统放在服务子网。
通过防火墙和路由器的配置,用户无论在网络内部还是在网络外部,都是通过代理服务器来访问各个应用服务器,这就保障了网络应用的安全。
1.2 防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在图2中,我们看到防火墙是设置在接入Internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
? 远程客户只能访问非军事化区的安全代理服务器,不能直接对内部网络的各个应用服务器和数据库进行访问;
? 内部网络的客户端访问本网段的应用服务器,如需访问服务子网的各个应用服务器,必须经过非军事化区的安全代理服务器;
? 非军事化区中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
1.3 入侵检测技术与产品
随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。所以对于党政机关这样关键应用,我们建议采用入侵检测系统(IDS)。
目前国外流行的入侵检测产品主要有ISS公司的RealSecure、Axent的ITA、ESM,以及NAI的CyberCop Monitor等。
国内产品中有科网威信息技术有限公司的“天眼”入侵检测系统。它根据国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并及时提出解决方案,它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节,防范黑客攻击。该系统的总体技术水平达到了“国际先进水平”入侵。
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
我们建议采用基于主机的IDS,安装在非军事化区中,主要检测针对安全代理(WebST)的攻击。
采用IDS在总体上可以实现防范黑客攻击,目前存在的问题是可能会有误警,并占用主机宝贵的资源,这就是安全代价。
1.4 防杀病毒技术与产品
防杀病毒的技术和产品已经成熟。建议使用Trend或NAI公司的网络防毒产品对NT操作系统进行实时监控,防范、杀灭各类电脑病毒。
五、应用层安全解决方案
所谓应用层就是面向用户的实际应用,其安全需求在前面已经详细描述过。也可以精练地总结为“WWW”问题,即:
什么人(Who)可以做什么(What)并要知道他做过什么(What)。
落实到党政机关内部网这个具体应用项目上,系统应当能够确定用户是什么人,他可以做什么不可以做什么,用户在过去地某段时间内多做过什么操作。
WebST可以一揽子解决上述问题。
1.1 WebST安全服务
WebST提供下列五大安全服务:
? 双向身份认证——用户和各个应用服务器要互相取得身份信任,这是基于Kerberos身份认证协议的;
? 对象访问控制——细粒度的对象访问控制,对象是网络系统中的资源总和,最具特色的是对动态对象(如动态URL)的访问控制,使得动态Web应用可以纳入安全体系;
? 数据传输加密——所有数据在传输过程中均可以加密,保证了数据的机密性和完整性。也可以根据设定加密标志,不加密传输,具有灵活性;
? 审计日志服务——提供详实的审计日志文件,记录客户、各个应用服务器在网络中的活动;
? 安全管理服务——提供基于Java编程的管理控制台,以图形界面对用户、资源对象、服务器以及访问控制授权策略进行管理和维护。
1.2 WebST的安全组件
? WebST安全服务器——WebST安全服务器对安全域中的所有成员(客户和应用服务器)提供集中的身份认证服务。同时它提供一个中央注册数据库,内含被保护对象空间中所有合
法用户和组的登录帐号;
? WebSEAL服务器——WebSEAL作为HTTP安全代理,保护指定的Web应用。来自客户端的Web请求,无论来NetSEAT授权用户还是非授权用户(非NetSEAT客户,也就是原HTTP用
户,对WebSEAL服务器来说是“非授权用户”),首先由WebSEAL服务器处理。WebSEAL
服务器根据对象的ACL检查用户的访问权限。,如果用户具有访问权限,WebSEAL服务器
将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服
务器,然后WebSEAL服务器将这个结果按安全RPC方式返回给NetSEAT用户,或按HTTP
方式返回给非NetSEAT用户。
? NetSEAL服务器——NetSEAL作为TCP安全代理,保护安全域内的网络应用服务器。
NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,如FTP、Telnet以及用户
自行设计的网络应用。NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。
NetSEAL起到了分布式应用层防火墙的功能。
? WebST Java控制台——这是一个图形界面的管理工具,用来对WebST的用户帐号、访问控制策略、服务器对象等进行管理。主要有用户帐号管理器、ACL管理器、对象空间管理和
NetSEAL/WebSEAL服务器管理器等部分。管理控制台基于Java-DCE开发,独立于硬件和
操作系统平台,使用拖拉式操作,有很好的人机界面,同时具有很强的安全性。可以管理
WebST安全域内的所有安全对象。
? NetSEAT安全客户端——这是一个轻量型的客户端软件,运行在客户端Win95/98/2000上,用来与安全服务器、WebSEAL/NetSEAL服务器进行身份认证和建立安全通信通道。
NetSEAT对应用的客户端软件不作任何改变,采用陷阱方式,由NetSEAT设置IP陷阱、截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。
? PKMS服务器——在WebST的机制中,将基于公共密钥的SSL策略集成在一起,用在Web 应用方面。WebSEAL服务器通过公共密钥管理服务器(PKMS)与SSL连接起来。PKMS 实际是身份认证网关和建立基于SSL的加密通道,客户端不必使用WebST的客户端软件NetSEAT,可使用SSL浏览器登录到PKMS,PKMS将用户的身份映射成WebST用户身份并且通过RPC进行传输,也就是将SSL的用户标识传递给WebSEAL服务器。PKMS是用来与Internet用户之间临时建立起相互信任的安全会话过程,然后将Internet用户身份映射到WebST访问控制机制可以管理的用户身份。
1.3 WebST应用于党政机关内部网
图3给出WebST是如何应用于党政机关的内部网络结构中的。
图3 WebST应用于党政机关内部网络的安全结构
1.3.1.1 双向身份认证服务
WebST安全服务器、WebSEAL服务器、PKMS服务器可以安装在一台主机上,该机放置在非军事化区中。WebST安全服务器做为一个内部的可信任第三方,担负所有访问内部网的客户与内部网中的各个应用服务器之间的身份认证;
1.3.1.2 访问控制服务
WebSEAL服务器作为Web服务器的安全应用代理,根据身份进行访问控制决策;NetbSEAL服务器作为其他服务器的安全应用代理,根据身份进行访问控制决策;PKMS服务器将客户提交的CA 证书转换为WebST的身份证书再提交给WebST安全服务器;
1.3.1.3 统一的对象资源空间
在内网中的各个Web服务器和非军事化区中WebSEAL服务器之间各有有一条蓝线,表示WebST提供的灵巧连接(Smart Junction)功能,它将内网Web对象空间连接到WebSEAL的目录里,给予客户一个统一的资源空间访问点;
1.3.1.4 安全的数据传输通道
在这个结构中,所有的客户端都采用NetSEAT安全客户端,与WebSEAL服务器、NetbSEAL服务器建立应用层的安全隧道,保护数据的私密性和完整性。该隧道可跨越Internet。
1.3.1.5 将系统后台管理纳入安全管理域
在以前一般的安全解决方案都将注意力集中在前台应用与客户之间,而在不同程度上忽略和忘记内网的后台管理工作的安全。所谓后台管理是一个很广泛的含义,在不同的网络应用中有不同的内容。总的来说是网络管理员和应用管理员的工作,他们需要通过各种网管软件或应用自行设计的管理软件,对网络中的各种资源对象进行管理操作。于是在这个过程中也存在着安全问题,如管理员的身份、管理员的操作权限和管理员的操作记录。
从安全风险的程度来讲,来自管理员的安全风险更强,他们不需要象黑客那样从外部费力的攻击,他们具有得天独厚的便利条件,如果有恶意的话,他们所造成的危害更大。所以加强后台管理的安全是非常重要的事情。
后台管理的安全漏洞主要是口令的泄露。现有的网管软件和应用管理软件在身份认证上基本都是明码口令,极容易被窃取。
在内网里安装NetSEAL服务器,并配置成对内网中所有应用服务器进行保护。在管理工作站上增加NetSEAT安全客户端。这样,管理员要想直接访问应用服务器进行各种管理操作时,就必须经过WebST的身份认证和经过NetSEL的访问控制,为后台管理起到安全保障作用;
1.3.1.6 高可靠性
在非军事化区里,安装了两个WebST安全服务器,一个是主安全服务器,一个是复制的安全服务器。当两个或多个复制的前端安全服务器响应用户请求时,网络容错配置将起作用。容错性是指不会所有的服务器同时都失效。如果一个安全服务器出错,复制的安全服务器仍可为用户提供访问安全服务。
1.3.1.7 审计和日志
WebST提供完整的审计功能和日志记录,必要时可二次开发出针对具体应用的审计监控界面和特定的日志输出格式。
六、结束语
党政机关是我国网络应用的成熟部分,对信息安全有着相当强烈的需求,WebST能够满足其核心应用的安全需求。我们正在和国家有关部门积极合作,对WebST的加密算法进行置换,对密钥管理进行加固,为我国党政机关的网络应用提供符合实际要求的安全保密平台。
计算机网络安全的主要隐患及措施 随着互联网技术和计算机技术的快速发展,计算机网络安全隐患也显得越来越突出和重要。因此,本文主要讨论了影响计算机网络安全的隐患问题,并做出了一些针对性的解决方案。 【关键词】计算机;网络安全;主要隐患;措施 近年来,随着我国逐渐进入信息化时代,计算机网络给人们的生活带来了诸多便利的同时,也存在很多安全隐患。计算机网络技术的开放性特点和人们的不规范使用行为使电脑容易被攻击而导致个人信息泄露。因此,科学的计算机网络安全管理措施对于避免网络安全受到威胁,确保计算机网络信息安全具有重大意义。 1计算机网络安全的主要隐患 1.1计算机病毒入侵 计算机病毒是一种虚拟的程序,是当前计算机网络安全的首要隐患。病毒包括网络病毒和文件病毒等多种类型,具有较强的潜伏性、隐蔽性、损坏性和传染性等特征,如果计算机遭到病毒入侵,一般的杀毒软件并不能彻底清除计算机病毒。 1.2黑客入侵 黑客入侵是常见的一种计算机网络安全威胁。黑客非法入侵到用户的电脑中,窃取用户的网络数据、信息,删除用户数据、盗走用户的账户、密码,甚至财产等。此外,黑客向目标计算机植入病毒时,会导致电脑死机、速度变慢、自动下载、瘫痪等现象,造成系统信息的流
失和网络瘫痪。 1.3网络诈骗 计算机网络技术的互通性、虚拟性和开放特性,给很多不法分子可乘之机,不法分子通常针对计算机使用者进行网络诈骗,主要通过淘宝、京东等网络购物平台、QQ、微信等网络交友工具、手机短信等手段散播虚假信息,使防骗意识薄弱的网民掉进网络陷阱之中,进而造成其财产安全受损。 1.4网络漏洞 大部分软件都可能会发网络漏洞,一旦网络漏洞被黑客发现,很快就会被攻击,其中恶意扣费攻击尤为严重。现在比较热门的App软件中有97%是有漏洞的,网络漏洞一般存在于缺乏相对完善的保护系统的个人用户、校园用户以及企业计算机用户中,主要是因为网络管理者的网络防范意识薄弱,缺乏定期系统检查和系统修复,导致网络漏洞被暴露甚至扩大,从而导致个人信息泄露。 2计算机网络安全管理的解决措施 2.1建立防火墙安全防范系统 防火墙是安全管理系统的重要组成部分,所有的数据和信息的传输以及访问操作都要经过防火墙的监测和验证,以防止黑客入侵、病毒侵染、非正常访问等具有威胁性操作的发生,进而提高了网络信息的安全性,对保护信息和应用程序等方面有重要的作用。因此,用户应当建立防火墙安全防范系统,及时安装更新防火墙软件的版本。 2.2定期升级防病毒和杀毒软件
网络安全解决方案 网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。 此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。 1.应用防病毒技术,建立全面的网络防病毒体系 随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。 1)采用多层的病毒防卫体系。 网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC 机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。 考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 2)选择合适的防病毒产品
计算机网络安全及应对策略 学号:914934080 姓名:郭亚峰专业:计算机科学与技术 指导教师:李婷 论文题目:计算机网络安全及应对策略 一、选题的目的和意义 网络是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。它是人们信息交流、使用的一个工具。随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户。近几年,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。防火墙技术是近几年发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用它阻止保密信息从受保护网络上被非法输出。 二、该题目国内外的相关研究动态 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。 三、选题拟解决的主要问题或创新之处 应对各种防范技术的应用原理,针对目前网络信息安全所存在的各种安全隐患予以解决和改善,并逐步完善信息网络安全保障体系。
珠海市网佳科技有限公司 网络安全整体解决方案
目录 第 1 章总体分析及需求 (33) 第 2 章总体设计 (44) 第 3 章防火墙方案 (44) 3.1 本方案的网络拓扑结构 (55) 3.2 本方案的优势: (66) 3.3本方案的产品特色 (77) 第 4 章内网行为管理方案 (88) 4.1 内网安全管理系统介绍 (88) 4.2内网管理系统主要功能 (99) 第 5 章报价单........................................... 错误!未定义书签。错误!未定义书签。
第 1 章总体分析及需求 珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC 数量估计在200左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公司网络的瘫痪,这些都是现在企业网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部-各地分支机构-移动办公人员的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如: 第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一台PC中了ARP,那么将影响到整个网络的稳定; 第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自内外网病毒及其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失; 第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心,往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件;网管员无法对网络内的流量进行控制,造成网络资源的使用浪费; 第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从而不能及时获取办公所需数据。 综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施,为网络的正常运行及服务器数据的安全性做好前期工作。
【解决方案】校园网网络安全典型解决方案 1 校园网网络安全典型解决方案 1:校园网网络环境 校园网的内部网一般由办公网、机房、教室等多个网络组成。采用三层核心交换机为这些网段提供VLAN划分,该交换机级连多个工作组级的交换机用于桌面工作站接入。同时三层核心交换机提供连接到教育网的WAN(10/100M)链路,作为校园网的外网出口。而且WWW、MAIL等服务器也直接连接到了三层核心交换机中。校园网内部网运行着办公业务系统、多媒体教学等等多种业务系统。 2:校园网网络安全需求 校园网网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公 文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以校园网网络安全系统安全产品的选型事关重大,一旦被遭受黑客攻击病毒的侵袭,将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则: 全局性原则:安全威胁来自最薄弱的环节,必须从全局出发规划安全系统。
设计时需考虑统一管理的原则。 综合性原则:网络安全不单靠技术措施,必须结合管理,当前我国发生的网络安全问题中,管理问题占相当大的比例,因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则:安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。 3:校园网网络安全整体解决方案 逻辑上,校园网网络安全系统将划分为三个区域:公共区域(DMZ)、局域网用户和外网。其中公共区域为www, mail等既需要对外部提供服务,又需要为内部提供访问服务的区域,因此有必要将这些服务器安装在单独的公共区域中,这样一来可以防止外部用户直接访问内网,降低了内网被攻破的可能性。同时也保证了重要的来自内部的对于重要服务器的攻击行为的发生。该安全系统涉及到防火墙、入侵检测、防病毒等产品。但是考虑到经费问题和学校已经部署了防火墙,此方案中利用我公司的UTM 安全网关产品,它集合了入侵检测,防病毒,垃圾邮件过滤等功能,给用户提供全面解决方案的同时还为用户减少了费用。 网络安全系统整体结构如下图所示: 4:设计建议 1、利用防火墙端口设置和策略设置的灵活性防火墙的每一
web网络安全解决方案 (文档版本号:V1.0) 沈阳东网科技有限公司
一、前言 (1) 二、如何确保web的安全应用 (1) 三、常见部署模式 (2) 四、需求说明 (5) 五、网络拓扑 (6) 六、总结 (6)
一、前言 Web应用处在一个相对开放的环境中,它在为公众提供便利服务的同时,也极易成为不法分子的攻击目标,黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前,信息安全攻击约有75%都是发生在Web应用而非网络层面上。 Web攻击者针对Web应用程序的可能漏洞、 Web系统软件的不当配置以及http协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Web应用进行侦测和攻击,攻击的目的包括:非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 二、如何确保web的安全应用 在Web系统的各个层面,都会使用不同的技术来确保安全性:为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到Web服务器的传输安全,通信层通常会使用SSL技术加密数据;为了阻止对不必要暴露的端口和非法的访问,用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。 但是,对于Web应用而言,Web服务端口即80和443端口是一定要开放的,恶意的用户正是利用这些Web端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。而传统安全设备仅仅工作在网络层上,并不能精确理解应用层数据,更无法结合Web系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS/IP 保护的网站。 因此,在大量而广泛的Web网站和Web应用中,需要采用专门的Web 安全防护系统来保护Web应用层面的安全,WAF(Web Application Firewall,WEB应用防火墙)产品开始流行起来。 WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF 由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多
网络安全解决方案概述 一、网络信息安全系统设计原则目前,对于新建网络或者已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 依照上述思想,网络信息安全系统应遵循如下设计原则 1、满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 2、需求、风险、代价平衡的原则对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 3、综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当
中央广播电视大学 毕业设计(论文) 题目:计算机网络安全分析及防范措施 姓名教育层次 学号专业 指导教师分校
摘要 计算机网络技术是计算机技术与通信技术高度发展、紧密结合的产物,计算机网络对社会生活的方方面面以及社会经济的发展产生了不可估量的影响。当前,世界经济正在从工业经济向知识经济转变,而知识经济的两个重要特点就是信息化和全球化。进入21世纪,网络已成为信息社会的命脉和发展知识经济的重要基础。从其形成和发展的历史来看,计算机网络是伴随着人类社会对信息传递和共享的日益增长的需求而不断进步的。 关键词:计算机技术、网络安全、防范措施
目录 摘要 (2) 目录 (3) 引言 (4) 第一章计算机网络简介 (5) (一)数字语音多媒体三网合一 (5) (二)IPv6协议 (5) 第二章计算机网络安全 (7) (一)网络硬件设施方面 (7) (二)操作系统方面 (7) (三)软件方面 (8) 第三章计算机网络安全以及防范措施 (10) (一)影响安全的主要因素 (10) (二)计算机网络安全防范策略 (11) 第四章结论 (13) 第五章致辞 (14) 第六章参考文献 (15)
引言 计算机网络就是计算机之间通过连接介质互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。在如今社会,计算机网络技术日新月异,飞速发展着,计算机网络遍及世界各个角落,应用到各个行业,普及到千家万户;他给我们带来了很多便利,但同时计算机网络故障也让我们烦恼,本此课题主要探讨计算机网络安全。
第一章计算机网络简介 计算机网络技术涉及计算和通信两个领域,计算机网络正是计算机强大的计算能力和通信系统的远距离传输能力相结合的产物。从20世纪70年代以主机为中心的主机——终端模式,到20世纪80年代客户机/服务器、基于多种协议的局域网方式,再到现在以Internet TCP/IP 协议为基础的网络计算模式,短短的30多年间,计算机网络技术得到了迅猛的发展,全世界的计算机都连接在一起,任何人在任何地方、任何时间都可以共享全人类所共有的资源。20世纪90年代后,Internet的广泛应用和各种热点技术的研究与不断发展,使计算机网络发展到了一个新的阶段。 (一)数字语音多媒体三网合一 目前,计算机网络与通信技术应用发展的突出特点之一是要实现三网合一。所谓三网合一就是将计算机网、有线电视网和电信网有机融合起来,以降低成本,方便使用,提高效率,增加经济效益和社会效益。 三网合一是网络发展的必然趋势。Internet的出现造就了一个庞大的产业,同时推动了其它相关产业的发展。一些新兴业务如电子商务、电子政务、电子科学、远程教学、远程医疗、视频会议和在线咨询等,使人们能突破时间和空间的限制,坐在家中就可以工作、学习和娱乐。 (二)IPv6协议 IP协议开发于上个世纪70年代,并逐步发展成为今天广泛使用的IPv4。不可置疑,它是一个巨大的成功,在过去的20多年中,被认为是一项伟大的创举。但是日益增长的对多种服务质量业务的要求——尤其是安全性和实时性的要求,已经使得Internet不堪重负,而IPv4的不足也日益明显地显现出来。具体表现在以下几个方面:
长沙电信网络安全解决方案 湖南计算机股份有限公司 网络通信及安全事业部
目录 一、长沙电信网络安全现状 (22) 二、长沙电信网络安全需求分析 (22) 三、网络安全解决方案 (44) 四、网络安全设计和调整建议 (88) 五、服务支持 (88) 六、附录 (99) 1、Kill与其他同类产品比较 (99) 2、方正方御防火墙与主要竞争对手产品比较 (1111) 3、湘计网盾与主要竞争对手产品比较 (1212) 4、湖南计算机股份有限公司简介 (1313)
一、长沙电信网络安全现状 由于长沙电信信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet扩展到Internet。内部网络通过ADSL、ISDN、以太网等直接与外部网络相连,对整个生产网络安全构成了巨大的威胁。 具体分析,对长沙电信网络安全构成威胁的主要因素有: 1) 应用及管理、系统平台复杂,管理困难,存在大量的安全隐患。 2) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务 器,同时也很容易访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统极为容易遭到攻击。 3) 来自外部及内部网的病毒的破坏,来自Internet的Web浏览可能存在的恶意 Java/ActiveX控件。病毒发作情况难以得到监控,存在大范围系统瘫痪风险。 4) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统 均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。管理成本极高,降低了工作效率。 5) 缺乏一套完整的管理和安全策略、政策,相当多的用户安全意识匮乏。 6) 与竞争对手共享资源(如联通),潜在安全风险极高。 7) 上网资源管理、客户端工作用机使用管理混乱,存在多点高危安全隐患。 8) 计算机环境的缺陷可能引发安全问题;公司中心主机房环境的消防安全检测设施,长时间未经确认其可用性,存在一定隐患。 9) 各重要计算机系统及数据的常规备份恢复方案,目前都处于人工管理阶段,缺乏必要的自动备份支持设备。 10)目前电信分公司没有明确的异地容灾方案,如出现灾难性的系统损坏,完全没有恢复的 可能性。 11) 远程拔号访问缺少必要的安全认证机制,存在安全性问题。 二、长沙电信网络安全需求分析 网络安全设计是一个综合的系统工程,其复杂性丝毫不亚于设计一个庞大的应用系统。
以太科技信息数据安全防“脱库”解决方案 1.前言 近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。 注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。 针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求:各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。 各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。 工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。 2.信息泄密的根源 2.1.透过现象看本质 2.1.1.攻击者因为利益铤而走险 攻击者为什么会冒着巨大的法律风险去获取用户信息? 2001年随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场; 2004年-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库信息,其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。 2008年-2009年,国内信息安全立法和追踪手段的得到完善,攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值,成为攻击者的“拖库”的目标。 2010年,攻防双方经历了多年的博弈,国内网站安全运维水平不断提升,信息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称作“社会工程学”的手段的攻击效果
浅谈计算机网络安全问题及其对策 摘要:伴随计算机技术发展步伐的加快,计算机网络的受到广泛运用。计算机网络不仅为人们带来较大的便利,计算机网络安全问题也受到高度重视。如果计算机网络产生安全问题,就会对计算机网络系统的顺利运行造成直接的影响,对计算机网络用户的利益造成严重的威胁。现针对计算机网络安全存在的问题与对策予以阐述。 【关键词】计算机网络安全问题对策 在整个信息化持续发展的新时期,计算机网络广泛应用。计算机网络的产生,为人们的生活、工作提供较大的便利条件,为现代社会的发展提供技术支持。但是,网络具备开放性与虚拟性两种特点,人们在运用网络时,极易受到网络黑客的侵袭,对计算机网络系统的安全造成严重威胁。为了确保计算机的网络安全,确保计算机网络用户的根本利益,通过深入分析计算机网络安全问题,并采取合理的对策,确能够保证计算机网络的安全。 1 计算机网络存在的安全问题 1.1 系统漏洞 在对计算机网络系统构建时,通常会出现较多系统漏洞问题,例如,初始化、配置不合理以及服务安全性不高等,致使网络运行安全问题明显增加,导致网络系统的可靠性显著下降。相关系统漏洞问题是导致网络运行出现故障的根本原因,致使安全事故的发生率越来越高,对网络服务质量造成直接的影响,对用户的运用具有不利影响。
1.2 物理安全 物理安全出现的问题通常有:用户身份的辨别不合理、间谍以及盗取等,上述物理安全问题能够利用强化管理的形式进行解决。工作人员应该加强对机器设备的严格管理,对计算机运行设备的完整性密切查看,特别是应该对存储重要信息的设备进行保护。 1.3 用户身份的鉴别 在验证网络访问用户身份的过程中,在一定情况下会产生针对性的安全问题,采用的验证算法不具备科学性,口令具有的针对性与破解难度均不高,为不法人员留有机会。因此,应该对验证用户身份的随意性问题充分解决,采用强化口令密码管理的方式将安全隐患有效消除。 1.4 网络程序 网络程序安全问题主要包括网络下载、网络更新以及木马病毒等,其具有较大的破坏性。病毒存在传染性,不易被发现,如果产生网络病毒,就会对网络的正常运行带来影响,对连接到网络系统中的绝大多数设备均有严重影响,因此,网络程序安全问题的有效解决,已成为现阶段的任务。 2 促使计算机网络安全的有效对策 2.1 使计算机网络安全的防范力度显著增强 计算机网络在研发以及编写的过程中,应该树立科学、合理的安全防护意识,试运行网络系统,对系统的安全性进行深入分析与有效查看,将其中的安全漏洞充分消除。因为网络病毒以及攻击行为具有多
文档信息 文档说明 本文档是某某科技(北京)有限公司(以下简称某某)就某某住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。文中的资料、说明等相关内容归某某所有。本文中的任何部分未经某某许可,不得转印、影印或复印。 版本变更记录
目录 一.方案概述 (5) 二.方案设计原则及建设目标 (6) 2.1方案设计原则 (6) 2.2建设目标 (6) 三.安全风险分析 (7) 3.1安全风险分析方法 (7) 3.2网络层安全风险 (8) 3.2.1网络设备存在的安全风险 (8) 3.2.2网络服务器的风险 (9) 3.2.3网络访问的合理性 (10) 3.2.4TCP/IP协议的弱点 (10) 3.2.5信息的存储安全 (11) 3.2.6数据传输的安全性 (11) 3.3系统层安全风险分析 (12) 3.3.1Windows系统 (12) 3.3.2Unix系统 (13) 3.4应用层安全风险分析 (13) 3.4.1Web服务器安全风险 (14) 3.4.2文件服务器安全风险 (14) 3.4.3业务应用系统安全风险 (15) 3.4.4数据库安全风险 (15) 3.5管理层安全风险分析 (15) 四.安全需求分析 (17)
4.1.1访问控制技术 (17) 4.1.2物理隔离技术 (18) 4.2系统层安全建设 (18) 4.2.1服务器安全加固技术 (18) 4.2.2终端桌面安全管理技术 (18) 4.3应用层安全建设 (19) 4.3.1网络防病毒技术 (19) 4.3.2入侵防御技术 (21) 4.3.3网络入侵检测技术 (21) 4.3.4数据传输加密及远程安全接入技术 (22) 4.3.5WEB应用安全防护技术 (23) 4.3.6核心业务数据库审计技术 (23) 4.4管理层安全建设 (24) 4.4.1网络安全集中管理需求 (24) 五.方案设计 (26) 5.1整体解决方案阐述 (26) 5.2网络层安全 (27) 5.2.1安全域划分 (27) 5.2.2网络边界访问控制 (27) 5.2.3物理隔离网闸 (37) 5.3系统层安全 (44) 5.3.1服务器安全加固 (44) 5.3.2终端安全管理 (51) 5.4应用层安全 (59) 5.4.1网络边界防病毒 (59) 5.4.2核心业务入侵防御 (63)
xx校园网网络安全解决方案1 xx校园网网络安全解决方案 校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。 一、网络信息安全系统设计原则 1.1满足Internet分级管理需求 1.2需求、风险、代价平衡的原则 1.3综合性、整体性原则 1.4可用性原则 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 --第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 --第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 --第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
浅谈计算机网络问题与对策 摘要: 随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。 Take to: With the rapid development of computer information technology, computer network has become agriculture, industry, the tertiary industry and defense industry important information medium of exchange, and penetrated into every corner of social life. Therefore, clear understanding of network vulnerabilities and potential threats, to take strong security strategy be imperative. Computer network security work is a long-term and arduous task, it should be applied in the information network planning, composition, testing the entire process. In this paper, combined with the actual situation, the analysis of network security problems and corresponding countermeasures. 关键词:计算机;网络安全;网络威胁; 一、前言 随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。 组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组织及单位的计算机网络防御系统,他就有访问成千上万计算机的可能性。据统计,近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱性已为各国政府与机构所认识。 二、计算机通信网络安全概述 所谓计算机通信网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。
Some problems that have appeared or can be expected to come up with a solution to the problem, and through the record of the terms, effective supervision and implementation.网络安全解决方案设计正 式版
网络安全解决方案设计正式版 下载提示:此方案资料适用于某些已经出现的或者可以预期的问题,不足,缺陷,需求等,所提出的一个解决问题的方案,并通过明文或条款的记录,加以有效的监督与执行,确保能达到预期的效果。文档可以直接使用,也可根据实际需要修订后使用。 网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。 网络系统安全具备的功能及配置原则 1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。 3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。 4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。 5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数
计算机网络安全面临的威胁和对策 摘要:本文简述计算机网络面临的威胁,从计算机网络对抗作战模型的4个层次,深入分析了计算机网络存在的安全隐患,全面阐述计算机网络防御对策。 目录 1.引言 (1) 2、计算机网络安全面临的威胁 (2) 3、计算机网络安全面临的威胁 (2) 3.1实体层次防御对策 (2) 3.2能量层次防御对策 (3) 3.3信息层次防御对策 (3) 3.3.1防御黑客攻击 (3) 3.3.2防御计算机病毒 (4) 3.4感知层次(超技术层次)防御对策 (5) 4、结束语 (5) 论文关键词:网络安全防御
1、引言 现代计算机系统功能 渐复杂,网络体系日渐强大,正在对社会产生巨大深远的影响,但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。对于军用的自动化指挥网络、C3I系统而言,其网上信息的安全和保密尤为重要。因此,要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。 2、计算机网络安全面临的威胁 影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对网络安全的威胁主要有4个方面:(1)实体摧毁:实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。(2)无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(3)黑客攻击:这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。(4)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。1999,2000年初发生了许多黑客攻击事件,其中allaire的关于Cold fus 的漏洞被广泛宣传和利用,许多的服务器都因未及时的打上补丁而遭到攻击。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”被洞开,其造成的后果将不堪设想。 3、计算机防御对策 根据网络作战的目标范围,网络作战模型包含4个层次:第1层次,实体层次的计算机网络对抗;第2层次,能量层次的计算机网络对抗;第3层次,环保论文信息层次(逻辑层次)的计算机网络对抗;第4层次,感知层次(超技术层次)的计算机网络对抗。针对不同层次对抗,计算机网络防御应采取相应的对策。 3.1实体层次防御对策 实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体,完成目标打击和摧毁任务。在平时,主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动;在战时,通过运用高技术明显提高传统武器的威力,直接摧毁敌方的指挥控制中心、网络节点以及通信信道。这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 在组建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉,对一些经常访问的站点做成镜像,可大大提高效率,减轻线路负担。网络中的各个节点要相对固定,严禁随意连接,一些重要的部件安排专门的场地人员维护、看管,防止自然或人为的破坏,加强场地安全管理,做好供电、接
计算机网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的网络信息安全解决方案应该覆盖网络的各个层次,并且与安全治理相结合。以该思想为出发点,北京天融信公司提出了"网络信息安全解决方案"。 一、网络信息安全系统设计原则 ·1.1满足Internet分级治理需求 ·1.2需求、风险、代价平衡的原则 ·1.3综合性、整体性原则 ·1.4可用性原则 ·1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,考虑技术难度及经费等因素,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化治理,而不增加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全治理单位与密码治理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 1.1 满足因特网的分级治理需求 根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级治理的解决方案,将对它的控制点分为三级实施安全治理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
《安全系统整体解决方案设计》
第一章企业网络的现状描述 (3) 1.1企业网络的现状描述 (3) 第二章企业网络的漏洞分析 (4) 2.1物理安全 (4) 2.2主机安全 (4) 2.3外部安全 (4) 2.4内部安全 (5) 2.5内部网络之间、内外网络之间的连接安全 (5) 第三章企业网络安全整体解决方案设计 (5) 3.1企业网络的设计目标 (5) 3.2企业网络的设计原则 (6) 3.3物理安全解决方案 (6) 3.4主机安全解决方案 (7) 3.5网络安全解决方案 (7) 第四章方案的验证及调试 (8) 第五章总结 (9) 参考资料 ...................................................... 错误!未定义书签。
企业网络整体解决方案设计 第一章企业网络的现状描述 1.1企业网络的现状描述 网络拓扑图 以Internet发展为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统(Unix和NT)部分迅速融合成为一个异构企业部分。 以往安全系统的设计是采用被动防护模式,针对系统出现的各种情况采取相应的防护措施,当新的应用系统被采纳以后、或者发现了新的系统漏洞,使系统在实际运行中遭受攻击,系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大,而且往往是在系统破坏造
成以后才进行处理,防护效果不理想,也很难对网络的整体防护做出规划和评估。 安全的漏洞往往存在于系统中最薄弱的环节,邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题,而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状,还是中小企业自身都向广大安全厂商提出了更高的要求。 第二章企业网络的漏洞分析 2.1 物理安全 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,防止非法进入计算机控制室和各种盗窃,破坏活动的发生,这些风险是可以避免的。 2.2 主机安全 对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证,特别是在到达服务器主机之前的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 与日常生活当中一样,企业主机也存在着各种各样的安全问题。使用者的使用权限不同,企业主机所付与的管理权限也不一样,同一台主机对不同的人有着不同的使用范围。同时,企业主机也会受到来自病毒,黑客等的袭击,企业主机对此也必须做好预防。在安装应用程序的时候,还得注意它的合法权限,以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作,甚至盗取企业机密。 2.3外部安全 拒绝服务攻击。值得注意的是,当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务,也是真个企业的网络安全水平进入一个新境界的重要标志。 外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看,当前大多数电信网络设备和服务都存在着被入侵的痕迹,甚至各种后门。这些是对网络自主运行的控制权的巨大威胁,使得客户在重要和关键应用场合没有信心,损失业务,甚至造成灾难性后果。