论文部分内容阅读
摘要:在信息社会中网络的安全性越来越重要,组建立体的网络安全防护措施是网络系统可靠运行的重要保证。
关键词:网络安全;网络环境;网络安全管理
1引言
现代社会人们对网络的依赖越来越多,网络普遍应用突显出网络安全的重要性,同时也对计算机网络安全提出了更高要求。本文集中介绍了计算机网络环境安全技术、安全管理和安全防护手段。
2通信网络的环境安全
中心机房是信息管理中心、业务处理中心和通讯网络中心,安全、先进的中心机房环境是设备稳定可靠工作的重要保障。对于机房的环境主要从以下几方面考虑:
(1)稳定的电源供电并使用UPS
设备应采用双路市电供电或自备发电机,电源电压稳定并配备UPS,没有大型设备的干扰,同时提供冗余备份。
(2)完善的安全措施
机房内安装有完善的火灾自动报警系统,配有适用于电力电子系统的自动灭火器材,并且有完善的防渗水、漏水措施,在关键位置安装漏水传感器,同时在适当位置设置排水沟。
(3)良好的环境监控手段
在中心机房应有完善的机房环境(温度、湿度和洁净度)监控测控设施,确保机房温度保持在18—24℃,湿度控制在40%—60%。相对湿度不能高于80%,否则会使计算机内的元器件受潮变质,甚至会发生短路而损坏机器。相对湿度也不能低于20%,否则会产生静电干扰,引起计算机的错误动作。
(4)良好的防雷及防静电措施
雷电严重危害着机房的正常工作和使用安全。在计算机房中应采用分流、屏蔽、等电位连接、过电压保护、接地等措施,一个合理的接地系统能更快地泄放雷电流,降低残压,防止地电位反击事故,有效地降低雷害威胁。同时采用高密度铜网和高密度钢网构成屏蔽网,以达到屏蔽雷电电磁脉冲的作用,同时应增加短路环,以达到等电位作用。通信机房防雷电源一般采用三级防雷,除电源系统外网络设备和门禁系统等弱电系统也要增加相应的浪涌保护装置。
3通信网络的防护体系
对于网络而言,没有绝对保证的信息安全,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。完善的安全防护体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还包括各种综合性防范措施。
3.1网络安全管理措施
网络安全管理:主要包括安全设备的管理、安全策略管理、安全风险控制、安全审计等几个方面。
安全设备管理:指对网络中所有的安全产品,如防火墙、VPN、防病毒、入侵检测(网络、主机)、漏洞扫描等产品实现统一管理、统一监控。
安全审计:对网络中的安全设备、操作系统及应用系统的日志信息收集汇总,实现对这些信息的查询和统计;并通过对这些集中的信息的进一步分析,可以得出更深层次的安全分析结果。
安全策略管理:指管理、保护及自动分发全局性的安全策略,包括对安全设备、操作系统及应用系统的安全策略的管理。
安全分析控制:确定、控制并消除或缩减系统资源的不定事件的总过程,包括风险分析、选择、实现与测试、安全评估及所有的安全检查。
网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获,发现已知及未知的新型侵入者。网络管理中安全手段还可对多数安全设备顾及不到的4-7层进行监控管理。
3.2网络安全防护手段
在网络安全中应由防火墙(Firewall)、公钥安全体系PKI(PublicKeyInfrastructure)、入侵监测系统IDS,虚拟局域网(VLAN)和物理隔离与信息交换系统等共同组成立体的网络安全系统,每个组件只能完成其中部分功能。
3.2.1防火墙
防火墙是指设置在不同网络(企业内部网、公共网)或网络安全域之间的一系列部件的组合。它能根据安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
3.2.2公钥安全体系PKI
PKI是以公开密钥技术为基础,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施,PKI安全平台能够提供智能化的信任与有效授权服务。
3.2.3入侵监测系统IDS
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,IDS无须网络流量流经它便可以工作,它监测你的网络上所有的包,保证网络系统资源的机密性、完整性和可用性,并及时发出警告信息。
3.2.4交换机
目前局域网大多采用以交换机为中心,交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤,并进行相应的流量控制,智能地检测和阻止恶意流量、并可进行相应的VLAN划分。
3.2.5物理隔离
所谓“物理隔离”是指内部网不直接或间接地连接公共网。“物理隔离”一般采用网络隔离卡的方法。它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击。
3.2.7数据容灾系统
容灾系统主要是数据容灾和应用容灾,衡量容灾系统有两个主要指标:RPO代表了当灾难发生时允许丢失的数据量;RTO则代表了系统恢复的时间。企业应从RAID保护、冗余结构、数据备份、故障预警等多方面考虑。一套完整的容灾系统应该包括本地容灾和异地容灾。
4结论
计算机网络安全是一项综合性的技术,除了为网络提供良好的环境外,做好计算机防护措施的同时还应建立系统及数据的备份制度;建立安全事件安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系等,以保证网络的安全可靠运行。
关键词:网络安全;网络环境;网络安全管理
1引言
现代社会人们对网络的依赖越来越多,网络普遍应用突显出网络安全的重要性,同时也对计算机网络安全提出了更高要求。本文集中介绍了计算机网络环境安全技术、安全管理和安全防护手段。
2通信网络的环境安全
中心机房是信息管理中心、业务处理中心和通讯网络中心,安全、先进的中心机房环境是设备稳定可靠工作的重要保障。对于机房的环境主要从以下几方面考虑:
(1)稳定的电源供电并使用UPS
设备应采用双路市电供电或自备发电机,电源电压稳定并配备UPS,没有大型设备的干扰,同时提供冗余备份。
(2)完善的安全措施
机房内安装有完善的火灾自动报警系统,配有适用于电力电子系统的自动灭火器材,并且有完善的防渗水、漏水措施,在关键位置安装漏水传感器,同时在适当位置设置排水沟。
(3)良好的环境监控手段
在中心机房应有完善的机房环境(温度、湿度和洁净度)监控测控设施,确保机房温度保持在18—24℃,湿度控制在40%—60%。相对湿度不能高于80%,否则会使计算机内的元器件受潮变质,甚至会发生短路而损坏机器。相对湿度也不能低于20%,否则会产生静电干扰,引起计算机的错误动作。
(4)良好的防雷及防静电措施
雷电严重危害着机房的正常工作和使用安全。在计算机房中应采用分流、屏蔽、等电位连接、过电压保护、接地等措施,一个合理的接地系统能更快地泄放雷电流,降低残压,防止地电位反击事故,有效地降低雷害威胁。同时采用高密度铜网和高密度钢网构成屏蔽网,以达到屏蔽雷电电磁脉冲的作用,同时应增加短路环,以达到等电位作用。通信机房防雷电源一般采用三级防雷,除电源系统外网络设备和门禁系统等弱电系统也要增加相应的浪涌保护装置。
3通信网络的防护体系
对于网络而言,没有绝对保证的信息安全,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。完善的安全防护体系不仅包括防火墙、网关、防病毒及杀毒软件等产品,还包括各种综合性防范措施。
3.1网络安全管理措施
网络安全管理:主要包括安全设备的管理、安全策略管理、安全风险控制、安全审计等几个方面。
安全设备管理:指对网络中所有的安全产品,如防火墙、VPN、防病毒、入侵检测(网络、主机)、漏洞扫描等产品实现统一管理、统一监控。
安全审计:对网络中的安全设备、操作系统及应用系统的日志信息收集汇总,实现对这些信息的查询和统计;并通过对这些集中的信息的进一步分析,可以得出更深层次的安全分析结果。
安全策略管理:指管理、保护及自动分发全局性的安全策略,包括对安全设备、操作系统及应用系统的安全策略的管理。
安全分析控制:确定、控制并消除或缩减系统资源的不定事件的总过程,包括风险分析、选择、实现与测试、安全评估及所有的安全检查。
网络管理在网络内部安全方面具有先天的优势,它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获,发现已知及未知的新型侵入者。网络管理中安全手段还可对多数安全设备顾及不到的4-7层进行监控管理。
3.2网络安全防护手段
在网络安全中应由防火墙(Firewall)、公钥安全体系PKI(PublicKeyInfrastructure)、入侵监测系统IDS,虚拟局域网(VLAN)和物理隔离与信息交换系统等共同组成立体的网络安全系统,每个组件只能完成其中部分功能。
3.2.1防火墙
防火墙是指设置在不同网络(企业内部网、公共网)或网络安全域之间的一系列部件的组合。它能根据安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
3.2.2公钥安全体系PKI
PKI是以公开密钥技术为基础,以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施,PKI安全平台能够提供智能化的信任与有效授权服务。
3.2.3入侵监测系统IDS
IDS是依照一定的安全策略,对网络、系统的运行状况进行监视,IDS无须网络流量流经它便可以工作,它监测你的网络上所有的包,保证网络系统资源的机密性、完整性和可用性,并及时发出警告信息。
3.2.4交换机
目前局域网大多采用以交换机为中心,交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤,并进行相应的流量控制,智能地检测和阻止恶意流量、并可进行相应的VLAN划分。
3.2.5物理隔离
所谓“物理隔离”是指内部网不直接或间接地连接公共网。“物理隔离”一般采用网络隔离卡的方法。它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击。
3.2.7数据容灾系统
容灾系统主要是数据容灾和应用容灾,衡量容灾系统有两个主要指标:RPO代表了当灾难发生时允许丢失的数据量;RTO则代表了系统恢复的时间。企业应从RAID保护、冗余结构、数据备份、故障预警等多方面考虑。一套完整的容灾系统应该包括本地容灾和异地容灾。
4结论
计算机网络安全是一项综合性的技术,除了为网络提供良好的环境外,做好计算机防护措施的同时还应建立系统及数据的备份制度;建立安全事件安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系等,以保证网络的安全可靠运行。