论文部分内容阅读
摘要:本文针对跨区IP专用网络的安全现状,从网络安全技术角度出发,对如何构建跨区IP专用网络安全防范体系进行了探讨。
关键词:网络安全;防范体系;IP专用网络
1 前言
随着计算机及其网络的迅速发展,跨区IP专用网络成为对内管理和对外交流必不可少的平台。跨区IP专用网络在满足信息资源共享需求的同时,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。如何有效降低跨区IP专用网络系统和数据的安全风险、提高跨区网络安全水平成为网络建设的重点。
2 跨区IP专用网络安全需求分析
2.1 跨区IP专用网络安全现状
(1)网络自身存在缺陷。IP专用网络赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是不会因局部故障而影响信息的传输,基本没有考虑安全问题。因此,它在安全可靠性、服务质量等方面存在着不适应性。
(2)操作系统以及应用系统自身的漏洞。网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由操作系统的安全性所决定的。
(3)网络病毒。目前大多数病毒具有传播速度极快,扩散广,不易防范,难于彻底清除等特点。
(4)黑客入侵。黑客通过对逻辑漏洞进行挖掘,通过欺骗,信息搜集的方法,从薄弱环节入手,迅速地完成对网络用户身份的窃取,进而完成对整个网络的攻击,造成内部信息甚至机密被泄露。
(5)网络内部威胁。网络安全的威胁可以来自内部网,可能会因为网内管理人员安全意识不强,管理制度不健全,带来内部网络的威胁。
2.2 跨地区IP专用网络安全需求
在网络正常运行时,受到攻击,能够保证网络系统继续运行,网络管理系统设置等重要资料不被破坏。具有先进的入侵防范体系,对恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制确保应用系统不被非法访问。系统和数据在遭到破坏时能及时恢复。
3 建立跨地区IP專用网立体安全防范体系
3.1 安全组件
(1)路由器。路由器是架构网络的第一层设备,路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。路由器也可以过滤服务协议,屏蔽有安全隐患的协议。
(2)入侵监测系统。入侵监测系统是被动的,它监测网络上所有的包,捕捉危险或有恶意的动作,并及时发出警告信息。
(3)防火墙。防火墙可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
(4)物理隔离与信息交换系统(网闸)。它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。
(5)交换机。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。
(6)应用系统的认证和授权支持。在输入级、对话路径级和事务处理三级做到无漏洞。集成的系统要具有良好的恢复能力,保证系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
(7)操作系统的安全。不安装或删除不必要使用的系统组件。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
3.2 安全环节
这是很多系统平台本身就提供的,如操作系统或者数据库,有效地发挥这些环节的作用有时候会起到意想不到的效果。
(1)身份标识和鉴别。计算机初始执行时,首先要求用户标识身份,提供证明依据,计算机系统对其进行鉴别。
(2)访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。自主访问控制Unix和Windows NT操作系统都使用DAC。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
(3)审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识、访问权限请求、日期和时间、参考请求结果(成功或失败)。
3.3 安全机制
安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
(1)安全审核。安全审核通过改善系统中的基本安全环节的实现(包括安全机制的实现和使用)达到增强安全性的目的,典型的产品如网络扫描器。
(2)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
(3)灾难恢复。定期对重要数据进行备份,在系统出现故障时,仍然能保证重要数据准确无误。
4 结束语
保障跨区IP专用网络安全、有效运行,既是一个技术问题,也是一个管理问题。除了采用上述技术措施之外,还要加强网络安全管理、制定规章制度、制定操作使用规程、制定应急措施、提高工作人员的保密观念和责任心、加强业务培训,这样,网络安全防范体系才能发挥更大效能。
参考文献
[1]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007(5).
[2]艾大清,华勇.计算机网络攻防问题研究[J].警察技术,2008(7).
关键词:网络安全;防范体系;IP专用网络
1 前言
随着计算机及其网络的迅速发展,跨区IP专用网络成为对内管理和对外交流必不可少的平台。跨区IP专用网络在满足信息资源共享需求的同时,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。如何有效降低跨区IP专用网络系统和数据的安全风险、提高跨区网络安全水平成为网络建设的重点。
2 跨区IP专用网络安全需求分析
2.1 跨区IP专用网络安全现状
(1)网络自身存在缺陷。IP专用网络赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是不会因局部故障而影响信息的传输,基本没有考虑安全问题。因此,它在安全可靠性、服务质量等方面存在着不适应性。
(2)操作系统以及应用系统自身的漏洞。网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由操作系统的安全性所决定的。
(3)网络病毒。目前大多数病毒具有传播速度极快,扩散广,不易防范,难于彻底清除等特点。
(4)黑客入侵。黑客通过对逻辑漏洞进行挖掘,通过欺骗,信息搜集的方法,从薄弱环节入手,迅速地完成对网络用户身份的窃取,进而完成对整个网络的攻击,造成内部信息甚至机密被泄露。
(5)网络内部威胁。网络安全的威胁可以来自内部网,可能会因为网内管理人员安全意识不强,管理制度不健全,带来内部网络的威胁。
2.2 跨地区IP专用网络安全需求
在网络正常运行时,受到攻击,能够保证网络系统继续运行,网络管理系统设置等重要资料不被破坏。具有先进的入侵防范体系,对恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制确保应用系统不被非法访问。系统和数据在遭到破坏时能及时恢复。
3 建立跨地区IP專用网立体安全防范体系
3.1 安全组件
(1)路由器。路由器是架构网络的第一层设备,路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。路由器也可以过滤服务协议,屏蔽有安全隐患的协议。
(2)入侵监测系统。入侵监测系统是被动的,它监测网络上所有的包,捕捉危险或有恶意的动作,并及时发出警告信息。
(3)防火墙。防火墙可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
(4)物理隔离与信息交换系统(网闸)。它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。
(5)交换机。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。
(6)应用系统的认证和授权支持。在输入级、对话路径级和事务处理三级做到无漏洞。集成的系统要具有良好的恢复能力,保证系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
(7)操作系统的安全。不安装或删除不必要使用的系统组件。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
3.2 安全环节
这是很多系统平台本身就提供的,如操作系统或者数据库,有效地发挥这些环节的作用有时候会起到意想不到的效果。
(1)身份标识和鉴别。计算机初始执行时,首先要求用户标识身份,提供证明依据,计算机系统对其进行鉴别。
(2)访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。自主访问控制Unix和Windows NT操作系统都使用DAC。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
(3)审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识、访问权限请求、日期和时间、参考请求结果(成功或失败)。
3.3 安全机制
安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
(1)安全审核。安全审核通过改善系统中的基本安全环节的实现(包括安全机制的实现和使用)达到增强安全性的目的,典型的产品如网络扫描器。
(2)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
(3)灾难恢复。定期对重要数据进行备份,在系统出现故障时,仍然能保证重要数据准确无误。
4 结束语
保障跨区IP专用网络安全、有效运行,既是一个技术问题,也是一个管理问题。除了采用上述技术措施之外,还要加强网络安全管理、制定规章制度、制定操作使用规程、制定应急措施、提高工作人员的保密观念和责任心、加强业务培训,这样,网络安全防范体系才能发挥更大效能。
参考文献
[1]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007(5).
[2]艾大清,华勇.计算机网络攻防问题研究[J].警察技术,2008(7).