網絡安全運營方案范文

時間:2024-03-21 11:23:14

導語:如何才能寫好一篇網絡安全運營方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

網絡安全運營方案

篇1

整體而言,云計算的特點主要體現在以下幾個方面:

1.1用戶計算的分布性

云計算技術是以無數臺工業(yè)標準服務器所組成的數據中心為載體的,從而實現了云計算技術在互聯(lián)網中的應用運作。盡管現階段云計算的理論還相對稚嫩,但是云應用已經開始出現,并且在一定范圍內可以預見,云計算技術在網絡應用中的地位將越來越重要。基于云計算的應用而言,云計算技術的名稱本身就將其特點形象的表達出來:云其實是比喻呈網狀分布的計算機結構,也說明了云計算技術的工作方式,即隱藏數據的計算過程,服務器根據用戶的實際需要,由大云中找出對應的小云。此處的云并非單純的指匯集計算機資源,由于其在匯集資源的同時還提供對這些資源進行管理的機制,這也是云計算技術與傳統(tǒng)的計算方式最大的區(qū)別。此處的技術原理包括了資源的提供、變更請求、工作負載的重新平衡、重新映像以及資源監(jiān)測與資源解除提供等。

1.2服務的廣泛性

計算機技術帶動了社會、經濟發(fā)展的變革,現代社會中的IT技術越來越普及,各計算用戶所涉及到的數據也越來越龐大,相應的管理成本也水漲船高,其包括資料的歸檔、查詢及備份等各項繁雜、冗余的工作。而云計算技術的作用就是將文檔管理、實時通訊及會議電話等各方面內容包含在內,或許由單一功能而言,云計算技術的創(chuàng)新性并不突出,但是由其在管理方面的集中及在應用方面超越時間及空間的優(yōu)越性而言,可以說是很多企業(yè)信息化管理均能夠借鑒的方案和理念。

1.3用戶端的設備成本投入少

因為云計算技術模式中,很多計算和存儲的工作都是通過網絡來實現的,而用戶端可以極致的簡化為一個瀏覽器,即云計算機,與傳統(tǒng)的PC機比較而言,其功耗低、成本低,用戶操作方便,易于維護,用戶甚至無需自己裝操作系統(tǒng)及殺毒軟件,也省去了防火墻的設置及持續(xù)性的升級維護。因此,從這個角度來看,云計算技術相對適用于普通的辦公用戶。

1.4關于云計算安全性的問題

盡管云計算技術擁有上述諸多優(yōu)點,但是在其應用越來越廣泛的同是,自其所存在的安全隱患也會隨之不斷的暴露出來??梢杂蓛蓚€方面考慮這個問題,其一是云計算技術本身的安全隱患,其二就是利用云計算技術在為客戶進行具體應用的服務時所存在的安全隱患,其涉及的范圍比較廣,例如訪問管理權限、數據的位置、數據的隔離與恢復、第三方審計和法律法規(guī)等等。因為以現在的技術水平還無法完全解決這類問題,因此云計算技術的眾多優(yōu)勢還無法得到充分發(fā)揮。

2.云計算技術在信息網絡安全防護系統(tǒng)中的應用

2.1保證系統(tǒng)的高可靠性

可以將集群的思路及相關技術應用于集中系統(tǒng)的各服務器群中,以保證系統(tǒng)服務的持續(xù)性,提高服務器群的可靠性。具體實現步驟如下:第一,先將一個集群網絡分為TCP/IP及非TCP/IP兩種網絡,其中客戶端與服務器之間相互通信、該問的公共網絡即為TCP/IP網絡,集群軟件私有網絡則為非TCP/IP網絡。集群技術通過私有網絡監(jiān)控其各節(jié)點,從而取代TCP/IP的通訊路徑。第二,在同一集群網絡中,各節(jié)點中的TCP/IP網絡以及非TCP/IP網絡會持續(xù)的發(fā)送、接收KEEP-ALIVE消息,如果某個節(jié)點所持續(xù)發(fā)送的數據包丟失,就可以認定對方節(jié)點出現了問題。如果某個節(jié)點的主用網卡出現問題,其所對應的集群就會切換網卡,把最初的service adapter的IP地址向新的standby adapte上轉移,再將standby直址向故障網卡轉移,并進行網絡其它節(jié)點的ARP的刷新,從而實現網卡的可靠性保證。第三,如果網絡中的K-A全部丟失,則cluster就會做出該節(jié)點出現問題的判斷,并進行資源接管,把共享磁盤中的資源轉交由備份節(jié)點進行接管;并且發(fā)生IP地址接管和應用接管。通過上述操作步驟,可以保證服務器系統(tǒng)中某臺設備出現問題后,或者整體出現問題后,仍然可以對外提供連續(xù)服務。

2.2提高系統(tǒng)的擴展性

系統(tǒng)的應用需求不斷提高,數據增長的速度也越來越快,不管磁盤陣列如何配置,最終都要出現硬件本身擴展性達極限狀態(tài)的問題。所以云計算技術中虛擬存儲的理念恰恰可以提高系統(tǒng)的動態(tài)擴容能力,其將各種品牌的存儲設備集中到一個資源池,從而改變存儲系統(tǒng)數據移動無需再中斷業(yè)務,真正實現了對不同存儲系統(tǒng)的統(tǒng)一管理。而存儲設備的虛擬化技術可以基于不同的角度來考慮,比如主機級虛擬化或者存儲子系統(tǒng)級虛擬化,或者網絡級虛擬化等等。相對而言,現階段網絡級虛擬化與真正意義的存儲虛擬化更為接近,其把存儲于網絡的不同品牌的存儲子系統(tǒng)加以整合,使之成為一個或者多個存儲池,對其進行集中管理。

2.3提高系統(tǒng)的性能

篇2

國內外網絡安全產品和解決方案提供商,如思科、華為賽門鐵克、IBM、綠盟科技等,致力于為電信運營商提供電信網絡安全解決方案,它們的產品也越來越多地應用到電信的運營支撐系統(tǒng)中,成為電信網絡安全的“好管家”。

思科:PIX防火墻

作為領先的網絡安全產品提供商,思科提供的產品包括防火墻、入侵檢測系統(tǒng)、安全管理系統(tǒng)等等。其中,思科PIX防火墻系列能夠提供空前的安全保護能力,它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應安全算法(ASA)。靜態(tài)安全性雖然比較簡單,但與包過濾相比,功能卻更加強勁;另外,與應用層防火墻相比,其性能更高,擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議(TCP)序列號、端口號和每個數據包的附加TCP標志。只有存在已確定連接關系的正確的連接時,訪問才被允許通過思科PIX防火墻。這樣做,內部和外部的授權用戶就可以透明地訪問企業(yè)資源,而同時保護了內部網絡不會受到非授權訪問的侵襲。

編輯點評:目前國內政府、電信、金融等各類企業(yè)面臨著眾多復雜Web應用安全問題,如黑客攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用、網頁篡改等。防火墻的出現讓這些安全問題在很大程度上得到緩解。不過,目前現有的解決方案如運行在應用層的基于的防火墻具有很多限制條件,包括性能低、需要昂貴的通用平臺、使用開放系統(tǒng)如UNIX時本身就具有安全風險等。而由思科生產的PIX防火墻系列突破這些限制條件,大大地提高了安全防護能力,為電信運營商的網絡安全提供強有力的支持。

華為賽門鐵克:SecowayUSG5000

USG5000防火墻是華為賽門鐵克面向大中型企業(yè)以及電信運營網推出的統(tǒng)一安全網關設備,該產品除了提供命令行方式外,還提供了圖形化用戶界面。USG5000為1U標準機箱,帶Console口,有4對固定的以太網光電互斥GE口,2個USB2.0接口,并為用戶提供了2個擴展插槽,可安裝4FE或2GE光電互斥接口模塊。機箱還裝有兩個交流或直流電源模塊,可實現雙路供電及電源的冗余備份,支持熱插拔。USG5000采用集成的軟件和硬件平臺,采用了專有的、實時的操作系統(tǒng),可靈活劃分安全區(qū)域,當數據在分屬于兩個不同安全級別的接口之間流動的時候,會激活USG5000的安全規(guī)則檢查功能。

編輯點評:華為作為領先的電信行業(yè)解決方案提供者,賽門鐵克作為存儲和安全產品生產商,兩者的結合致力于為電信運營商提供更可靠的網絡安全產品和解決方案。USG5000支持HRP協(xié)議,備份關鍵配置命令和會話表狀態(tài)信息,在主設備出現故障時由備用設備平滑接替工作,在最大程度上確保了運營商的網絡系統(tǒng)安全。而近日華為賽門鐵克推出的USG6000防火墻產品更是將安全級別提高了一個層次,關注NAT、DDoS攻擊,另外還是一款綠色產品。

IBM:IBMISS防入侵系統(tǒng)

IBMISS防入侵系統(tǒng)通過IBMISSX-Force調查和開發(fā)組收集的最新弱點和威脅信息提供支持。擁有全面的解決方案,可以滿足企業(yè)用戶的多種需求。而且IBM提供的防入侵解決方案可以通過軟件和產品以及托管服務的形式提供,幫助企業(yè)用戶識別對網絡、桌面、服務器以及消息接發(fā)系統(tǒng)的威脅。IBMISS的Proventia網絡入侵防護系統(tǒng)(NIPS)產品,可以在互聯(lián)網攻擊影響到企業(yè)網絡之前提供前瞻性的安全防護。Proventia網絡入侵防護系統(tǒng)可以透明接入并以線速攔截入侵嘗試,拒絕服務(DoS)攻擊,惡意代碼傳播、后門活動和基于網絡的混合威脅,而并不會影響網絡性能,也不需要重新配置網絡。

編輯點評:IBMISS解決方案以IBMX-Force研發(fā)組為后盾,他們擁有豐富的安全知識,是全球實力最強大的企業(yè)網絡弱點和威脅研究機構。通過來自IBMISS的防入侵產品對企業(yè)用戶的網絡、服務器和桌面架構進行保護,免受入侵影響,推出的系列產品旨在阻止惡意數據傳輸對企業(yè)用戶網絡造成的影響。防入侵解決方案性能更卓越,能夠為用戶提供前瞻性的保護,具有更高的可用性,部署和管理也很簡單。

綠盟科技:冰之眼網絡入侵檢測系統(tǒng)

冰之眼網絡入侵檢測系統(tǒng)(ICEYENetworkIntrusionDetectionSystem)是對防火墻的有效補充,實時檢測網絡流量,監(jiān)控各種網絡行為,對違反安全策略的流量及時報警和防護,實現從事前警告、事中防護到事后取證的一體化解決方案。冰之眼網絡入侵檢測系統(tǒng)具有三大功能:入侵檢測:對黑客攻擊、蠕蟲病毒、木馬后門等行為進行實時檢測及報警,并通過與防火墻聯(lián)動、TCPKiller、發(fā)送郵件、控制臺顯示等方式進行動態(tài)防護;行為監(jiān)控:對網絡流量進行監(jiān)控,對P2P下載、IM即時通信等嚴重濫用網絡資源的事件提供告警和記錄;流量分析:對網絡進行流量分析,實時統(tǒng)計出當前網絡中的各種報文流量。

編輯點評:伴隨著網絡的發(fā)展,也產生了各種各樣的安全問題,網絡中蠕蟲、病毒及垃圾郵件肆意泛濫,木馬無孔不入,DDoS攻擊越來越常見,黑客攻擊行為幾乎每時每刻都在發(fā)生。如何及時地、準確地發(fā)現違反安全策略的事件,并及時處理,是廣大企業(yè)用戶迫切需要解決的問題。冰之眼網絡入侵檢測系統(tǒng)是綠盟科技自主知識產權的安全產品,包括從百兆到千兆處理性能的ICEYE-200D/600D/1200D/1600D四種型號,可以滿足從中小企業(yè)到大型企業(yè)和電信運營商的各種組網需求,為他們的系統(tǒng)安全提供強大支持。

趨勢科技:NetworkVirusWallEnforcer2500

篇3

【關鍵詞】企業(yè)網絡 深度防御 安全管理

信息技術快速發(fā)展,計算機網絡的應用日益廣泛,企業(yè)的生產和管理越來越依賴于網絡。但是,網絡本身所具有的一些比如聯(lián)結性、開放性等屬性,導致其難以徹底避免一些惡意行為的攻擊。一方面給企業(yè)帶來巨大的利益損失,另一方面也影響了企業(yè)正常生產辦公。因此,怎樣提升企業(yè)網絡的可靠性,逐步受到企業(yè)管理者的重視。

一、企業(yè)網絡系統(tǒng)的安全現狀

隨著企業(yè)信息化管理的發(fā)展,企業(yè)的網絡規(guī)模也在持續(xù)增加,隨之增大的是企業(yè)網絡的信息安全風險。由于企業(yè)在網絡建設方面的投入,新的信息終端和交換設備不斷增加,因此其內部網絡所受安全事件的威脅的幾率也在隨時增大,大型的企業(yè)往往具有不少的分支機構,造成了網絡設備分布的地理位置比較分散,網內計算機安全問題亟待解決,這是所有大型企業(yè)必須面對的問題。所以,企業(yè)必須構建一套信息安全管理軟件,才能實時監(jiān)控網絡內部的各終端設備,使之受到盡可能小的安全威脅。此外,無論是核心網絡還是分支部門的網絡,都必須定期進行統(tǒng)一的補丁分發(fā)與移動存儲管理,以保障基本的信息安全。

二、企業(yè)網絡安全實現的目標

結合現階段企業(yè)內部網絡的安全現狀,企業(yè)網絡安全需實現的目標至少包括:嚴密監(jiān)視來自業(yè)務支撐網外部的各種類型訪問,必須掌握每一次訪問的來源、所讀取的具體對象和訪問的具體類型,一方面支持合法訪問,另一方面杜絕非法訪問;對異常訪問能夠做到預防和處理;對流經支撐網內的所有數據包進行有效監(jiān)控,實時分析這些數據包的協(xié)議類型、目的地等,從而防止信息安全隱患。有效監(jiān)控的內容有:對網絡中的黑客入侵行為進行檢測;對各種主機設備的數據流量進行實時分析,實現信息安全的動態(tài)防護;結合具體的標準和方法對企業(yè)內部網絡信息安全進行周期性評估,及時補救網絡安全弱點,排查安全隱患。

三、企業(yè)網絡安全系統(tǒng)的設計及實現

(一)安全規(guī)則層的設計

在這一層次中,為了保證企業(yè)內部運營中的網絡資源及客戶機的安全,首先結合企業(yè)實際情況,定義一系列規(guī)則,當發(fā)生違反這些規(guī)則的網絡行為時,則觸發(fā)系統(tǒng)的風險應急機制。在制定規(guī)則時,對每一類網絡行為對企業(yè)信息安全造成的風險歸納為不同的等級。制定這些等級的一句是該企業(yè)運營對這些信息在機密性、可用性、完整性及不可抵賴性的具體要求。在所指定的等級之下對企業(yè)信息安全造成威脅的行為進行分類。

與此同時,對攻擊所帶來的風險進行等級劃分,依次劃分為低級風險、中級風險與高級風險。所謂低風險,指的是網絡系統(tǒng)遭受入侵之后,并不會造成任何資金流失,也不會擾亂運營管理。所謂中級風險,指的是網絡系統(tǒng)遭受入侵之后,會造成輕度資金流失,在一定程度上擾亂運營管理。所謂高級風險,指的是網絡系統(tǒng)遭受入侵之后,會造成比較明顯的資金流失,極大程度地擾亂運營管理。

(二)安全措施層的設計

在這一層次中,主要設定在網絡安全之下所具體選用的安全技術與采納的實施方法,結合企業(yè)信息系統(tǒng)的安全目標,結合安全規(guī)則層所指定的安全事件和安全等級,給出有針對性的解決方案。安全措施層對于一種類型的安全行為可以給出多個安全方案,舉例來講,在發(fā)現有用戶進行非法授權的訪問操作時,一個可能是由于遭受了網絡攻擊,另一個可能則是用戶的誤操作。此時可以采取的方案包括對用戶發(fā)出警告、阻止連接和強制關閉主機等。

(三)安全決策層的設計

在這一層次中,主要任務是結合具體的方案來解決信息系統(tǒng)安全問題。依舊延續(xù)安全措施層的實例,當用戶的非法授權訪問時首次發(fā)生的,則方案(1)對用戶發(fā)出警告則可以解決;而假若該用戶反復進行非法訪問,則方案(3)強制關閉主機效果最好。

四、企業(yè)網絡安全解決方案實例

本文選擇安全防御系統(tǒng)中相對重要的功能模塊--重定向模塊,并闡述其具體設計方法。企業(yè)網絡在遭受外界攻擊時,首先丟失的是被黑客掃描竊取的內部主機的操作系統(tǒng)、服務、端口等信息。在獲取這些信息之后,便會通過緩沖溢出或者蠕蟲等方法找到主機本身所存在的安全漏洞,對主機系統(tǒng)進行操縱。本文引入蜜罐技術,所設計的重定向模塊的主要功能便是在攻擊發(fā)生的初期,快速隔斷為企業(yè)網絡帶來安全威脅的連接。具體實現方法為,該模塊首先在網絡驅動接口規(guī)范中間層進行數據過濾,獲取從外部流進企業(yè)內網主機的數據包,針對具體類型的端口,以網絡主機事先所維護的可疑端口表,對這些數據包進行過濾,一旦找到對可疑端口進行訪問的數據包,則將其判定為一次可疑訪問,此時,修改該數據包的相關參數和屬性,同時,把此次訪問列為可疑訪問,并引導進通信隊列之中,這些數據包直接越過系統(tǒng)的上層協(xié)議,轉發(fā)至蜜罐來繼續(xù)跟蹤和分析。以相同的方法將蜜網所反饋的數據處理后發(fā)送給可能的攻擊者。

為了使蜜罐系統(tǒng)能夠有更加逼真的模擬效果,本設計在蜜罐系統(tǒng)上完全仿照實際網絡系統(tǒng)的主機而部署相同的OS、協(xié)議棧、以及相關服務,從而在最大限度上使蜜罐與實際系統(tǒng)中的客戶機或服務器相類似。具體的操作為,啟動蜜罐設置系統(tǒng),進入蜜罐的配置菜單。

在進行配置的時候,使用蜜罐系統(tǒng)所提供的menu命令進入界面,結合企業(yè)網絡的實際特征,本文所配置的內容有:管理機IP、蜜罐IP、TCP連接以及Secure Shell管理連接等。然后在蜜罐系統(tǒng)對客戶機進行模擬,并配置諸如辦公軟件等常用軟件,對服務器進行模擬,開通各類網絡應用服務,從而基于典型服務端口來對多個可以訪問進行引誘。同時,出于進一步迷惑網絡攻擊者的目的,還要設置成允許網絡攻擊者進行更多的操作,而蜜罐系統(tǒng)中并未存儲企業(yè)真正的數據與信息。在對具體連接方式進行設置的時候,通過custom使之能夠鏈接vmnet2,并通過蜜罐系統(tǒng)抵達外網。在安裝Sebek時,考慮到其Linux版本與Windows版本,分別進行不同安裝文件的配置。

總之,企業(yè)在日常的信息化管理中,必須通過合理有效的安全措施,來避免由于網絡安全而帶來的不必要經濟損失。

篇4

[關鍵詞]中國電信IMS 網絡運維 綜合能力 提升對策

中圖分類號:TN919.8 文獻標識碼:A 文章編號:1009-914X(2015)13-0306-01

隨著網絡融合的深入推進,中國電信未來將擁有龐大復雜的IMS融合網絡。當前IMS網絡發(fā)展機遇與挑戰(zhàn)并存,鑒于IMS與傳統(tǒng)網絡的巨大差異性,中國電信運營商應充分認清當前IMS網絡運營問題和挑戰(zhàn),以便有的放矢地加以應對,更好地促進IMS網絡運維能力、運營水平的整體提升。

一、中國電信IMS網絡運營面臨的問題

1.IMS技術層面問題

從IMS技術層面來看,IMS網絡徹底IP化內核的技術特征,會增加網絡和業(yè)務的運營風險與維護難度,給網絡運營帶來更大挑戰(zhàn)。IMS技術對運營挑戰(zhàn)主要包括以下方面:第一,IMS網絡架構較軟交換而言更復雜,運營難度增加。IMS網絡涉及多個專業(yè)設備,且設備種類更多、網元間接口更復雜,如增加了IMS-SIP Diameter等協(xié)議,為故障定位、服務質量保障帶來挑戰(zhàn)。第二,IMS是基于全IP網內核的網絡技術,帶來新挑戰(zhàn)。IMS網絡實現了端到端信令與媒體全面扁平化,即除了媒體流實現扁平化外, 網元間通過域名查找DNS做到端到端無連接狀態(tài)的信令路由尋址,這種動念尋址鏈路較傳統(tǒng)靜態(tài)鏈而言, 更完美, 但也帶來互通、安全、維護等風險,對網絡方案提出更高的技術要求。第三,IMS網元容量大,接入客戶類更多,設備故障對業(yè)務影響更大,這就要求故障發(fā)現更快,切換更快,但技術、設備代價也更大,因此對網絡容災安仝技術提出更高要求。第四,智能終端風暴的挑戰(zhàn)。終端智能化、多元化、個性化趨勢加快,各類軟硬終端、智能手機層出不窮,由于IMS支持終端漫游,接入方式多樣化,如 EV-DO、Wi-Fi、ADSL及PON等,網絡接入互通兼容性問題比較突出,故障定位難度加大,若終端通過非信任域IP接入也給核心網絡引入一定風險,因此,對網絡安全、運維能力提出新要求。第五,端到端的QoS服務能力不足。目前雖有規(guī)范,但技術還不夠成熟,端到端QoS保證體系不完善,寬帶業(yè)務和窄帶業(yè)務在資費模式、業(yè)務模式,甚至商業(yè)模式上都有所不同,為新型寬帶業(yè)務的運營帶來挑戰(zhàn)。

2.IMS網絡層面問題

IMS網絡運營時,在IMS應用模式、網絡業(yè)務實現方案、技術規(guī)范方面尚待研究和優(yōu)化; 在運行質量指標、網絡互通、業(yè)務實現、可靠性、接入維護、 管理能力、支撐系統(tǒng)、維護隊伍建設方面帶來挑戰(zhàn)。日前影響IMS網絡運行質量的原因主要包括以下方面:一是IMS技術在網絡組織、應用方案、運維功能上還需要通過運營不斷驗證、優(yōu)化完善;網絡運行質量指標體系有待研究建立與試驗,目前部分統(tǒng)計能力還不具備,尤其是端對端的業(yè)務質量評估指標,為網絡質革優(yōu)化帶來挑戰(zhàn);統(tǒng)一接入及新型智能終端帶來新的維護能力需求、方式的挑戰(zhàn)。二是網絡跨網絡、跨機型、跨域、跨平臺的互通能力與穩(wěn)定性有待提升,對網絡服務質量帶來影響;跨網絡體制的融合業(yè)務實現方案有待研究優(yōu)化,對業(yè)務開放帶來挑戰(zhàn);設備網管系統(tǒng)能力有待規(guī)范統(tǒng)一,維護能力有待提升。三是配套支撐系統(tǒng)有待升級改造支持與IMS網絡銜接,可能會影響業(yè)務受理、開放;維護隊伍IMS維護技能與維護經驗不足的挑戰(zhàn)。

3.IMS安全運營層面問題

IMS安全運營是網絡運營的重要基礎。目前IMS組網方式、安全機制還不完善,例如,存在較多薄弱安全風險,S-CSCF間缺少容災倒回能力,S-CSCF負荷均衡機制欠缺,網絡中斷SIP用戶恢復耗時長,且依賴終端重注冊,IMS還不具備對業(yè)務平臺、DNS或關鍵網元的Bypass功能,用戶賬號密碼存系統(tǒng)沒加密,維護手段不足等。因此,需要提出IMS可靠性提升關鍵技術和運維管理手段措施,形成相關規(guī)范和指導方案,這就對運維監(jiān)控、防癱、應急維護能力提出更高要求。

二、中國電信IMS網絡運維綜合能力提升對策

1.IMS網絡集約化運營能力的提升策略

目前中國電信IMS網絡運營剛開始,急需盡早建立合理、規(guī)范的集約化運營體制,提升高效運營能力。具體包括:

(1)加強集約化運維體制的建設。通過有序推進IMS集約化運營試點工作,不斷完善相關維護制度、維護方式,明確維護職責和分界面,研究形成測試規(guī)范、運行質量指標、日常維護計劃、數據配置規(guī)范、應急預案等滿足常規(guī)運營需要。

(2)強化集約化維護管理。對廠商統(tǒng)一網管能力提升,針對設備種類多的問題,需要制定相應網管規(guī)范,將配套數通設備、IT設備納入廠商網管統(tǒng)一管理,同時實現標準化北向接口與綜合網管系統(tǒng)的對接;系統(tǒng)性推進配套支撐系統(tǒng)與IMS銜接的改造升級,包括綜合網管系統(tǒng)、信令監(jiān)測系統(tǒng)、10000申訴處理系統(tǒng)、計費系統(tǒng)、業(yè)務受理支撐系統(tǒng)等。

(3) 實現IMS網絡與業(yè)務的統(tǒng)一。針對融合業(yè)務實現復雜的問題,要形成統(tǒng)一解決方案、配置方案;鑒于網絡互通的復雜性,研究制定規(guī)范和指導原則,加強網絡聯(lián)調、業(yè)務互通、貫穿測試,在上線前盡量消除主要問題隱患。

(4)增強網絡運維技術手段。如針對終端的深度分析管理平臺、IP網業(yè)務流監(jiān)測系統(tǒng)、業(yè)務質量自動撥測系統(tǒng)及時發(fā)現問題,控制影響范同,及早消除故障。

(5)規(guī)范集約化故障處理流程。對跨專業(yè)、跨網絡、跨域、漫游時故障要及時發(fā)現、快速定位和應急疏通要求更高,應重視做好日常定時撥測、安全防護、例行維護、應急預案等。

(6)加強維護專家隊伍建設,除了熟練掌握IMS等融合核心網絡維護技術和經驗技巧外,還應提升在IP網絡、綜合接入、新流程和融合網絡業(yè)務等方面維護技能和經驗。

2.IMS網絡安全性與可靠性的提升策略

IMS網絡安全性及可靠性的提升,可從組網建設、網絡技術、維護管理等方面加以綜合考慮。

(1) IMS容災組網技術方案。組網時應根據IMS安全的薄弱環(huán)節(jié),對核心網元的安全等級進行劃分,對HSS、S/I/P-CSCF、DNS等重要性最高的A類網元選擇Pool或1+1互備等組網方式,支持容災數據實時或準實時同步;對MGCF、AGCF和大型BAC等B類網元采用雙歸屬或負荷分擔方式組網;域內采用有心跳檢測的靜態(tài)鏈路,當域內網元出現故障時,可快速告警和路由切換;域間通過軟交換網、傳統(tǒng)長途網做好動態(tài)鏈路失效的迂回保護。

(2)IMS快速旁路Bypass應急恢復技術。針對A類網元癱瘓,研究試驗DNS Bypass、 AS Bypass、HSS Bypass、CCF Bypass機制和維護規(guī)范,使得網元癱瘓后業(yè)務不受影響或影響最小,另外還應提升維護人員網絡防癱、應急恢復能力和維護水平。

(3)IP安全防護與漏洞封堵。針對業(yè)務開放與IP化系統(tǒng)的安全漏洞問題,應通過安全掃描等手段,發(fā)現和封堵系統(tǒng)漏洞,服務端口最小化;在網絡邊緣層配置防火墻功能阻隔非信任區(qū)域的風險。

(4)用戶信息安全加密技術。賬號密碼等用戶關鍵信息錄入、傳送、存儲、維護全流程采用加密算法進行加密。

總之,IMS網絡作為未來統(tǒng)一核心網絡,其運營質量問題將關系整個電信網絡、業(yè)務運營的質量,應引起足夠重視,并充分研究IMS網絡運營的關鍵問題,提出解決對策,實現IMS網絡規(guī)范、高效、安全的運營目標。

參考文獻

篇5

關鍵詞:NGN;網絡;安全

中圖分類號:TN915.08 文獻標識碼:A 文章編號:1007-9599 (2011) 18-0000-01

Analysis of NGN Network Security Solutions

Xu Wentian

(China Tietong,Guangxi Branch,Nanning 530003,China)

Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.

Keywords:NGN;Network;Security

一、引言

正如Internet一樣,NGN網絡所依托的數據網的開放性和公用性,不可避免地會受到黑客或病毒程序的攻擊或干擾,因此NGN也面臨著安全問題,如用戶仿冒、盜打、破壞服務、搶占資源等。為此NGN網絡必須從接入層保證用戶的隔離、可管理等基本措施,防范常見的攻擊手段,如地址仿冒、搶占資源。

二、NGN網絡安全方案概述

NGN網絡是一個可運營、可管理的網絡,必然需要解決網絡安全問題才可以保證網絡的可靠運營。要解決網絡的安全問題,最好先考察一下目前存在網絡安全問題的根源,從消除這些完全問題的根源入手來達到徹底解決安全問題的目的。從目前的Internet網絡安全的分析,我們知道Internet是一個不安全的網絡,Internet的自由開放是造成Internet安全問題的重要因素。因此要保證所構建的NGN是安全的,就必須改變這種自由、開放的管理模式加強對用戶接入的管理。通過對現有網絡安全的研究,我們也可以發(fā)現在網絡接入方面的自由開放是造成網絡安全隱患的重要根源,同樣是分組技術,Internet網絡就存在重大的安全隱患,而X.25等網絡就能夠提供比較高的安全性,因此有必要在NGN接入層對用戶接入和業(yè)務使用進行嚴格的控制,用戶必須經過嚴格的鑒權和認證才可以接入NGN網絡,用戶的業(yè)務使用也必須經過嚴格的鑒權和認證,網絡可以根據用戶的業(yè)務權限控制用戶的接入帶寬。當NGN網絡的接入用戶受控之后,在用戶側就可以基本消除安全的隱患,這時NGN網絡可能存在的安全隱患主要來自NGN網絡內部,一方面在運營商內部發(fā)生網絡安全問題的可能性比較小,另一方面這時可以通過實施通用網絡安全技術,如在網絡設備前置防火墻、攻擊檢測等防護設備,對網絡設備訪問權限進行控制和做好操作安全日志等手段解決可能發(fā)生的安全隱患。

(一)對NGN用戶接入和業(yè)務接入的控制

因為NGN網絡用戶是NGN網絡安全隱患的重要源頭,在NGN接入網絡側對NGN用戶接入和業(yè)務接入實施嚴格的控制是保證NGN網絡安全的重要一環(huán)。在NGN接入網主要采用用戶身份驗證、業(yè)務鑒權和訪問控制等手段來實現對用戶接入和業(yè)務接入的控制。

對用戶接入和業(yè)務接入的控制主要涉及到NGN網絡系統(tǒng)中的三類網絡實體:寬帶接入服務器和寬帶接入路由器作為用戶訪問NGN的PoP點,負責對用戶進行接入認證、訪問控制、接入帶寬控制和業(yè)務報文的過濾,是NGN實施對用戶接入控制的關口點;軟交換和應用服務器和網關等是NGN網絡業(yè)務提供設備,他們負責向用戶進行業(yè)務權限鑒權和提供各種業(yè)務;策略服務器負責用戶的安全、QoS與業(yè)務方面的策略控制,它還是業(yè)務層面與承載層面的橋梁,把來自業(yè)務層面的控制策略下發(fā)到承載層接入PoP點,如寬帶接入服務器來實施策略控制。

1.用戶身份驗證。對用戶身份進行認證的目的,一方面是避免非法用戶訪問NGN網絡,另一方面是確認用戶的身份,對用戶的訪問進行日志記錄,即使出現網絡安全問題也可以進行事后的審計和追蹤,使網絡破壞者無處可逃。

2.業(yè)務鑒權。用戶接入NGN網絡之后在使用業(yè)務之前必須經過業(yè)務認證,這樣可以保證NGN上提供的業(yè)務不會被非法使用,運營商也可以根據用戶使用的具體業(yè)務分別進行計費和為用戶設定不同的訪問權限和帶寬需求。

3.訪問控制。寬帶接入服務器和寬帶路由器是NGN接入的POP點,這個點是實施QoS與安全策略控制的關口,在這個關口上完成對用戶的帶寬限定、ACL訪問權限設置、業(yè)務流量的報文過濾等功能。訪問控制的實現采用動態(tài)QoS與安全策略控制技術,動態(tài)地根據用戶當前的業(yè)務權限進行相應的QoS與安全控制,避免了用戶對NGN網絡的非法訪問。

(二)構建與其它網絡隔離的虛擬NGN業(yè)務網

1.城域網。對于建立IP城域網的運營商,可以通過FTTB+LAN、ADSL、專線(DDN)、HFC來接入用戶的多種業(yè)務(語音、視頻、數據),可以采用物理或邏輯接口(VLAN/PVC/DLCI)來隔離NGN業(yè)務和原有的數據業(yè)務,由城域網骨干/匯聚層將接入層不同的業(yè)務通過PE映射到骨干層中的MPLS VPN中或者通過策略路由器將不同的業(yè)務分流到對應業(yè)務網的路由器。

2.NGN用戶接入網。NGN用戶可以通過多種不同的接入方式接入到NGN網絡,如通過AMG利用雙絞線接入NGN,智能終端和IAD可以通過以太網、ADSL、HFC、專線等方式接入NGN。在NGN用戶接入網絡側可以根據實際的網絡接入方式和網絡的實際情況采用某種接入網隔離技術把NGN業(yè)務與其它業(yè)務在接入網側進行隔離。

(三)NGN網絡內部的安全措施

通過對NGN虛擬業(yè)務網的隔離以及接入層對用戶接入和業(yè)務使用的控制,可以基本消除來自其它網絡和NGN用戶方面的安全隱患,這時的安全隱患主要在NGN網絡內部,雖然NGN網絡內部屬于運營商內部網絡相對來說發(fā)生安全問題的可能性比較小,但還是有必要采取安全手段來保證NGN內部網絡的安全。

軟交換、網關、服務器等NGN核心網絡設備在IP網中的地位類似于網絡主機設備,因此要求軟交換、網關、服務器等核心網絡設備應具備數據網中主機設備所具有的安全規(guī)格,可以應用防火墻、入侵檢測、流量控制、安全日志與審計等技術實現對NGN核心網絡設備的安全防護。對于一些對安全級別要求較高的用戶還可以采用加密技術對信令和數據進行加密保護。

篇6

[關鍵詞]課程思政;信息安全;教學方法

現階段專業(yè)課程融入思想政治教育存在的問題

1.思政教育與專業(yè)教育之間存在“兩張皮”的現象在國家教育改革的引領下,專業(yè)課教師積極促進課程思政入課堂,但由于有的教師刻意地加入相關內容,為了思政而思政,造成了思政教育與專業(yè)教育“兩張皮”的現象,內容的過度生硬,一定程度上影響了學生對思政內容的接受。因此,高校應研究如何將思政教育與專業(yè)教育之間由“兩層皮”向“一盤棋”轉化,以真正達到育人效果。2.思政教育與專業(yè)教育的融合比較隨機當前,各科教師在融入思政元素的過程中存在較強的隨機性,多是依靠專業(yè)課程教師自我發(fā)掘與發(fā)揮,這就有可能導致思政內容重復,甚至會引起學生的反感。對此,高校應從整體專業(yè)規(guī)劃出發(fā),針對每門課的特點確定課程思政的育人目標,以及思政元素的融入方式,使其形成課程體系的一部分。

專業(yè)課程與課程思政協(xié)同改革

1.緊扣畢業(yè)要求,明確教學目標與育人目標在傳統(tǒng)的人才培養(yǎng)方案中,重點在于知識目標和能力目標的定位,為了提升學生的綜合素養(yǎng),高校應結合畢業(yè)要求,以課程教學大綱為抓手,明確并落實課程育人目標。以信息安全這門課為例,可通過理論教學與實驗環(huán)節(jié),使學生具備密碼學、計算機系統(tǒng)安全、網絡攻擊技術與防御基礎、病毒分析與防范、防火墻技術與VPN、安全掃描與入侵檢測等計算機網絡信息安全方面的基本理論知識、技能及綜合應用,同時,培養(yǎng)學生獨立思考、勇于創(chuàng)新的能力。在確定育人目標時,應讓學生通過熟悉信息安全領域的國家方針、政策、法律、法規(guī),追求科學真理,牢固樹立熱愛祖國、“信息安全技術的發(fā)展與應用不能損害國家和合法個人的利益”的理念,明確合法行為與非法行為的界限,理解誠實、公正、誠信的職業(yè)操守和職業(yè)規(guī)范,并在實際生活、學習與工作中自覺遵守。另外,還要面向國際科學應用前沿、國家重大需求及經濟主戰(zhàn)場,將前沿科技滲透到課程實踐中,教育學生努力學習,破解“卡脖子”難題。2.堅持問題導向,改革教學方法信息安全主要采用理論教學、課堂討論和上機實驗相結合的教學方式,注重啟發(fā)式教學,以問題為導向,引導學生獨立設計信息安全框架,逐步培養(yǎng)他們分析問題、解決問題、勇于創(chuàng)新的能力。在課堂教學中,教師要加強與學生的互動交流,指引學生開展團隊協(xié)作和課堂討論,并及時分析、評價學生的討論結果。另外,要從課程內容、實驗環(huán)節(jié)、互動交流、分組討論中進行專業(yè)課程的思政教學體系設計,促使學生產生學習內動力。

具體案例研究

將課程的教學目標及育人目標,深入滲透到教學大綱的具體內容中,使專業(yè)課程內容與思政元素有效融合。以信息安全課程為例,本課程的教學目標是掌握計算機網絡信息安全方面的基本知識,了解設計和維護網絡信息安全的基本手段和常用方法,能夠利用理論知識解決生活中的實際問題。思政育人目標是培養(yǎng)出能夠肩負歷史使命,勇?lián)鷱妵厝危瑘猿置嫦蚴澜缈萍记把?、面向國家重大需求、面向經濟主?zhàn)場,不斷向科學技術廣度和深度進軍的高端信息安全人才。

思政育人案例

1教學內容:第一章,信息安全概述教學目的與要求:了解信息安全面臨的主要威脅、信息安全的基本概念、信息安全的發(fā)展方向,掌握信息安全的主要技術及解決方案。思政元素切入點:針對美國政府在拿不出任何真憑實據的情況下,泛化國家安全概念,濫用國家力量,以列入實體清單、技術封鎖、投資設障等手段,加大對中國企業(yè)的打壓力度,讓中國在芯片領域面臨較為被動的局面。針對這一案例,要明確信息安全的真實含義,牢固樹立“信息安全技術的發(fā)展與應用不能損害國家和合法個人的利益”的理念,強調中國人的命運一定要掌握在自己手里,絕對不容許被任何勢力“卡脖子”。育人目標:面向國家重大需求,培養(yǎng)新一代科技人才,使其能潛心關鍵領域的基礎研究與關鍵技術的開發(fā);引導青年學生發(fā)揮“兩彈一星”的艱苦創(chuàng)業(yè)精神,為國家培養(yǎng)徹底解決“卡脖子”問題的技術人才;學生要樹立正確的家國意識與主人翁意識,將個人的聰明才智和未來發(fā)展與國家需求相結合。實施過程:(1)教師授課。講授信息安全面臨的主要威脅、信息安全的基本概念、信息安全的解決方案、信息安全的主要技術、信息安全的發(fā)展方向等,從中穿插思政元素。(2)師生研討。學生針對信息安全的案例分組展開研討,每組委派一名學生進行總結發(fā)言;教師和學生進行點評,在整個研討過程中形成良好的思政氛圍。(3)課后拓展。教師可適當給學生提供與國家戰(zhàn)略相關的新聞報道和重大成果視頻,增強思政權威性,引發(fā)學生思考。思政育人案例2教學內容:第二章,密碼技術基礎與公鑰基礎設施教學目的與要求:掌握密碼學基本概念、了解傳統(tǒng)密碼技術,掌握公鑰密碼技術、公鑰基礎設施。思政元素切入點:對傳統(tǒng)密碼技術及公鑰密碼技術進行闡述,引入量子技術的快速發(fā)展對已有密碼學方案的沖擊。在量子計算模型下,經典數論密碼體系受到了極大的沖擊,如何在量子時代保障數據安全成為一個亟待解決的問題。Regev提出基于格的密碼體系可以抵抗這種量子算法的攻擊。格密碼作為備受關注的抗量子密碼體制,吸引了研究人員的目光。格自身有完整的理論體系,相較于其他密碼體制有獨特的優(yōu)勢:困難問題存在從一般情況到最壞情況的規(guī)約,具有較高的算法效率和并行性等。通過知識拓展,引導學生從基于格困難問題的密碼體制設計進行思考、探索,培養(yǎng)學生的工匠精神、鉆研精神。育人目標:讓學生通過了解傳統(tǒng)密碼技術及公鑰密碼技術,知曉量子技術的發(fā)展對已有技術的沖擊,引導其發(fā)揮工匠精神及鉆研精神,勇于探索行業(yè)難題。實施過程:(1)教師授課。講授密碼學數學基礎、密碼學基本概念、對稱密碼技術、公鑰基礎設施等知識,從中穿插思政元素。(2)師生研討。針對“我們是否可以在標準模型下構造一個抗量子攻擊的基于位置的服務方案?這樣的方案是否可以做到避免密鑰濫用?”這兩個問題進行探討,引導學生思考,培養(yǎng)學生的工匠精神,提升其思考問題、分析問題的能力。(3)課后拓展。課后對量子算法技術進行更深一步的研究,了解兩字算法技術的發(fā)展對現有技術的推動,并引入相關思政素材,增強思政權威性,引發(fā)學生思考及探索。思政育人案例3教學內容:第四章,網絡攻擊技術與防御基礎教學目的與要求:了解黑客的概念及黑客的攻擊模式,掌握網絡攻擊的技術與原理、網絡攻擊工具、攻擊防范。思政元素切入點:2014年3月22日,國內漏洞研究平臺曝光稱,攜程系統(tǒng)開啟了用戶支付服務接口的調試功能,使所有向銀行驗證持卡所有者接口傳輸的數據包均直接保存在本地服務器,包括信用卡用戶的身份證、卡號、CVV碼等信息均可能被黑客任意竊取,導致大量用戶銀行卡信息泄露,該漏洞引發(fā)了關于“電商網站存儲用戶信息,并存在泄露風險”等問題的熱議。針對攜程漏洞事件,教師引導學生熟知《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)要求網絡運營者對網絡安全運營負有責任,對產品的漏洞及時補救,怠于履行法律義務,導致個人信息泄露的,將面臨最高五十萬元的罰款,如果是關鍵信息基礎設施的運營者將面臨最高一百萬元的罰款。2014年12月25日,第三方漏洞研究平臺發(fā)現大量12306用戶數據在互聯(lián)網流傳,內容包含用戶賬戶、明文密碼、身份證號碼、手機號碼等,這次事件是黑客通過收集其他網站泄露的用戶名和密碼,通過撞庫的方式利用12306網站安全機制的缺失來獲取13萬多條用戶數據。針對12306用戶數據泄露事件,引導學生熟知關鍵信息基礎設施的網絡運營者不僅有一般網絡運營者應該履行的網絡安全等級保護義務,還有更高層次的網絡安全保護義務,如對重要系統(tǒng)和數據庫進行容災備份,制定網絡安全應急預案并定期進行演練等。關鍵信息基礎設施運營者若沒有每年進行一次安全檢測評估,拒不改正或導致網絡安全嚴重后果的,將面臨最高一百萬元的罰款,對直接負責的主管人員處一萬至十萬元以下的罰款。育人目標:通過“教、學、做”一體化的教學模式,一方面向學生介紹網絡攻擊的相關知識;另一方面結合具體案例自然融入《網絡安全法》的知識,引導學生正確運用網絡安全和防御技術,嚴格規(guī)范自己的網絡行為,維護好個人、企業(yè)、組織、國家的信息安全,積極構建網絡安全。實施過程:(1)教師授課。講授關于黑客、網絡攻擊技術與原理、網絡攻擊工具、網絡攻擊防范等知識,從中穿插思政元素。(2)師生研討。學生針對《網絡安全法》的案例分組展開研討,研討之后,每組委派一名學生進行總結發(fā)言;教師和學生點評,拓展學生的知識面,在整個研討過程中讓學生構建網絡安全意識。(3)課后拓展。課后可適當給學生提供《網絡安全法》的相關報道視頻,增強學生的安全意識,使其規(guī)范自己的網絡行為。

總結

篇7

思科近期推出全新思科物聯(lián)網系統(tǒng)能夠全面應對數字化的復雜性。其基礎設施可有效管理由多種終端和平臺構成的大規(guī)模系統(tǒng),并能夠輕松處理由這些終端和平臺生成的海量數據。

全新思科物聯(lián)網系統(tǒng)包含六項關鍵技術要素或“支柱”。通過將這些支柱整合到一個架構之上,該系統(tǒng)能夠幫助顯著降低數字化的復雜性。

這六大支柱可以慨括為6點:

1. 網絡聯(lián)接。此支柱包括各種參數的定制路由、交換和無線產品。

2.. 霧計算?!办F”是一種面向物聯(lián)網(IoT)的分布式計算基礎設施,可將計算能力和數據分析應用擴展至網絡“邊緣”。它使客戶能夠在本地分析和管理數據,從而通過聯(lián)接獲得即時的見解。思科預測,到2018年物聯(lián)網創(chuàng)建的數據中有40%將在霧中進行處理。超過25款思科網絡產品將支持思科的霧計算或邊緣數據處理平臺(IOx)能力。

3. 安全性。物聯(lián)網系統(tǒng)的安全支柱將網絡與物理安全統(tǒng)一起來,能夠提供出色運營優(yōu)勢,并增強對物理和數字資產的保護。這一支柱下的產品包括具備TrustSec安全功能的思科IP控制管理產品組合和網絡產品,以及云安全產品,能夠支持用戶管理、檢測和響應IT和運營技術(OT)的組合攻擊。

4. 數據分析。思科物聯(lián)網系統(tǒng)提供了優(yōu)化的基礎設施,支持實施分析,并為Cisco Connected Analytics產品組合和第三方分析軟件提供可執(zhí)行的數據。

5. 管理和自動化。該物聯(lián)網系統(tǒng)提供了增強的安全性和控制力,并支持多種孤立的功能,為管理日益增多的終端和應用提供了一款易于使用的系統(tǒng),能夠全面滿足現場操作人員的需求。

6. 應用支持平臺。全新思科物聯(lián)網系統(tǒng)提供了一組面向行業(yè)和城市、生態(tài)系統(tǒng)合作伙伴和第三方廠商的API(應用編程接口),支持他們在物聯(lián)網系統(tǒng)功能的基礎之上,設計、開發(fā)和部署自己的應用。

此外,思科還宣布推出隸屬于這六大支柱的15款全新物聯(lián)網產品。

思科物聯(lián)網系統(tǒng)可支持垂直行業(yè)部署和加速物聯(lián)網解決方案的發(fā)展,并利用有針對性的解決方案實現業(yè)務優(yōu)勢。這些行業(yè)包括制造、石油和天然氣、公共事業(yè)、運輸、公共安全和智慧城市等。主要行業(yè)領導廠商已將其軟件應用遷移到了思科霧計算系統(tǒng)上運行,包括GE(Predix)、Itron(Riva)、OSISoft(PI)、smartFOA(在日本市場)、Bit Stew、Davra、SK Solutions、東芝等。

思科新的合作伙伴Covacsis公司將利用思科IOx來向制造行業(yè)提供預測分析解決方案。此外,思科還為物聯(lián)網提供了全面的咨詢和專業(yè)服務。通過將思科領先的網絡專業(yè)知識與技術合作伙伴的專業(yè)知識相結合,將能夠幫助企業(yè)加速轉型,確保IT和運營技術協(xié)調發(fā)展。

與此同時,思科斥資6.35億美元收購網絡安全公司OpenDNS。OpenDNS旗下的“Umbrella”云計算產品可以幫助企業(yè)客戶免遭惡意軟件、釣魚軟件、僵尸工具以及其它有針對性網絡黑客行為的攻擊。

篇8

關鍵詞:SYGATE公司安全策略保證系統(tǒng);入侵防護系統(tǒng)

中圖分類號:TP3文獻標識碼:A文章編號:1009-3044(2010)18-4901-02

The Security Solution for the Front Retailer Computer

QI Gang

(School of Computer Science, Wuhang University, Wuhan 430020, China)

Abstract: In nowaday, the front retailer computer of telecom operatior is lack the essential management method.They also has serious insufficiency on the security aspect and the usability aspect.The enterprise’s security policy is unable to use a suitable method to implement the whole system.So the front retailer staff’s behavior can not be restricted. This article provides a solution which using the SYGATE ESS system to solve the problem we talked about before.The SYGATE ESS system can implement enterprise security standards,regulate the operating behavior of front line staff and protect network security.

Key words: SYGATE ESS; IPS

1 終端維護面臨的問題

目前,省一級電信運營商運營支撐網絡基本上都采取如下接入方式:省分公司將訪問資源集中,各個市州分公司通過傳輸資源與省分公司連接,然后各個營業(yè)網點再通過接入網與市州分公司的匯聚層設備連接用于前臺營業(yè)終端的接入。由于終端分散在省內各地市縣的營業(yè)廳及辦公大樓內,在日常維護會常見如下問題:

1) 沒有經過安全檢查的電腦可以直接登陸網絡;

2) 操作系統(tǒng)的補丁無法保證每一臺終端都正常裝上;

3) 防病毒軟件的安裝率始終都無法達到100%,致使病毒容易在局域網內傳播;

4) 對于染毒終端發(fā)起的ARP攻擊缺乏有效的工具進行控制,定位困難;

5) U盤及光驅的使用導致終端染毒的機率大大增高;

6) 很多營業(yè)廳(特別是合作營業(yè)廳及代辦點)使用終端瀏覽INTERNET網頁,玩電腦游戲,對營業(yè)員的行為無法進行規(guī)范;

7) 市州的營業(yè)前臺終端由于分布零散,很難進行全面的管理及控制;

采用SYMANTEC公司的SYGATEESS系統(tǒng)可以完備的解決上述存在的維護問題,下面就以H省某電信運營商的實施案例作簡要介紹,與各位讀者分享。

2項目實施目標

H省電信運營商本次項目實施的目標是保證運營支撐網絡的安全,確保網內終端的可靠性及可用性,減輕市州網絡管理員的維護壓力。具體可分解為以下目標:

1) 對網絡實行強制準入控制,保證只有合法的用戶才能訪問企業(yè)的內部網絡。

2) 終端在進入內部網絡之前自身的安全性符合企業(yè)的安全策略,落實并強制實施企業(yè)網絡的安全策略。為合法終端構建無縫的防護體系。強制終端安裝網絡安全程序(如防病毒軟件、個人版防火墻、入侵檢測工具),安裝操作系統(tǒng)補丁等,并強制進行更新。

3) 對營業(yè)前臺終端訪問的網絡資源進行控制。只允許前臺終端訪問省分允許訪問的網絡資源,禁止訪問其它非法的網絡資源,禁止連接INTERNET。

4) 對終端上運行的程序進行控制。只允許前臺終端運行與工作相關的軟件,禁止非法程序(游戲軟件等)的運行。

5) 禁止優(yōu)盤及光驅等不良外設的使用。

3 解決方案

通過前期產品選型及試用,H省電信運營商最終選用了SYMANTEC公司的SYGATE安全策略保證系統(tǒng)(ESS),SYGATE ESS系統(tǒng)主要包括4部分:客戶端軟件、策略服務器、強制準入控制服務器、數據庫服務器。

ESS系統(tǒng)客戶端軟件具有如下功能:

1) 終端完整性檢查。終端完整性策略檢查終端計算機上防病毒軟件、反間諜軟件、補丁程序、Service Pack 或其它必需應用程序是否符合要求。具體內容可以是對防病毒程序的安裝,微軟的補丁安裝,客戶端啟用強口令策略,關閉有威脅的服務與端口,因為主機完整性檢查支持對終端的注冊表檢查與設置,進程管理,文件檢查,下載與啟動程序等,所以可通過設置自定義的策略來滿足幾乎所有對客戶端的安全策略與管理要求。

2) 終端軟件防火墻。通過SSE的以應用程序為中心的終端軟件防火墻能對客戶端的網絡訪問制定訪問規(guī)則,支持對應用程序來設定防火墻規(guī)則。

3) 入侵防護系統(tǒng) (IPS)。通過集成的入侵防護系統(tǒng)對各種入侵行為做出自動響應,保護終端避免受到黑客攻擊,對目前流行的ARP欺騙功擊有很好的防護作用,并可定期從服務器端升級攻擊特征碼。

4) 操作系統(tǒng)保護策略??蛻舳藢K端的文件、注冊表項和進程可以直接訪問??蛻舳藢K端的硬件設備可以進行管理,根據企業(yè)網絡安全策略設置是否終端使用相關的設備,可以設置對如U盤的禁止使用,無線網卡,紅外端口的禁止使用,禁止修改IP地址,禁止U盤的自動運行功能、禁止指定程序如BT程序等的運行。

從上述描述可以看出,客戶端對終端的控制在操作系統(tǒng)層面來講已達到系統(tǒng)管理員這一級別,這樣就保證了ESS系統(tǒng)對前臺終端具有完全的控制能力。

客戶端軟件布署在前臺營業(yè)終端上,接收策略服務器下發(fā)的企業(yè)安全策略并執(zhí)行;策略服務器負責終端的安全策略的制定;數據庫服務器存儲所有客戶端的信息;強制準入控制服務器對不符合安全策略的終端進行隔離。當終端在訪問省分資源時,強制準入控制服務器將對終端進行準入認證,只有符合網絡安全基本策略的終端才能訪問企業(yè)的內部網絡,否則將對終端的HTTP訪問進行重定向到指定的網頁,指導用戶對終端進行必須的安全加固之后才能訪問企業(yè)的內部網絡。

按照網絡的的現狀,我們設計了如圖1的部署方案圖。

如圖1,為了讓市州所有訪問省分的網絡流量通過準入控制服務器,將準入控制服務器布署在主用的匯聚層路由器與匯聚層防火墻之間,數據庫服務器與策略服務器布署在省分,由省分進行統(tǒng)一的管理。結合如圖2的流程圖,可以清晰地表明整套系統(tǒng)所發(fā)揮的作用。

策略服務器將省分制定的企業(yè)安全策略下發(fā)至前臺終端上的ESS客戶端,由客戶端完成省分制定策略的執(zhí)行檢查工作并對終端進行保護。強制準入控制服務器對終端客戶端的安裝情況進行校驗,保證所有終端都必須安裝客戶端。這樣,整個系統(tǒng)形成閉環(huán)管理架構,省分的安全策略能夠得到有效的執(zhí)行,保障了前臺終端及整個網絡的穩(wěn)定運行。

4 總結

篇9

【關鍵詞】網絡安全;網絡攻擊;建設與規(guī)劃;校園網

1、網絡現狀

揚州Z校擁有多個互聯(lián)網出口線路,分別是電信100M、電信50M、網通100M、聯(lián)通1G和校園網100M。Z校擁有多個計算環(huán)境,網絡核心區(qū)是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區(qū)分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規(guī)模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前,Z校網絡安全保障能力雖然初具規(guī)模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統(tǒng)、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態(tài),風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規(guī)劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區(qū)的互聯(lián)網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯(lián)網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發(fā)起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造,以提升鏈路穩(wěn)定性,提高網絡的服務能力為出發(fā)點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯(lián)網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業(yè)務處理,任何一個設備出現問題將直接導致業(yè)務不能夠連續(xù)運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業(yè)務連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺操作單臺部署的方式運維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設備,統(tǒng)一對眾多安全設備進行集中監(jiān)控、策略統(tǒng)一調度、統(tǒng)一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規(guī)劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設計主線,從安全的角度分析各業(yè)務系統(tǒng)可能存在的安全隱患,根據應用系統(tǒng)的特點和安全評估是數據,劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業(yè)務系統(tǒng)之間嚴格的訪問安全互聯(lián),有效的實現網絡之間,各業(yè)務系統(tǒng)之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入區(qū)域、服務器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區(qū)域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統(tǒng)功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監(jiān)控網絡環(huán)境中的網絡行為、通信內容,實現對網絡信息數據的監(jiān)控。服務器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統(tǒng)和網絡架構免受侵害,防止操作系統(tǒng)和應用程序損壞或宕機[4]。

4.2長期網絡建設規(guī)劃

網絡安全的防護是動態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統(tǒng)。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統(tǒng),需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優(yōu)選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態(tài)實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統(tǒng)運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產品的綜合問題,每一個環(huán)節(jié),都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻:

[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184

[2]黃智勇.網絡安全防護系統(tǒng)設計與實現[D].成都:電子科技大學,2011.11:2-3

[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4

[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17

[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業(yè)大學,2016.3:23-31

篇10

關鍵詞信息安全;PKI;CA;VPN

1引言

隨著計算機網絡的出現和互聯(lián)網的飛速發(fā)展,企業(yè)基于網絡的計算機應用也在迅速增加,基于網絡信息系統(tǒng)給企業(yè)的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進一步惡化。這都對企業(yè)信息安全提出了更高的要求。

隨著信息化技術的飛速發(fā)展,許多有遠見的企業(yè)都認識到依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺將極大地提升企業(yè)的核心競爭力,使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。面對這瞬息萬變的市場,企業(yè)就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業(yè)采用PKI技術來解決這些問題已經成為當前眾多企業(yè)提高自身競爭力的重要手段。

在下面的描述中,以某公司為例進行說明。

2信息系統(tǒng)現狀2.1信息化整體狀況

1)計算機網絡

某公司現有計算機500余臺,通過內部網相互連接,根據公司統(tǒng)一規(guī)劃,通過防火墻與外網互聯(lián)。在內部網絡中,各計算機在同一網段,通過交換機連接。

圖1

2)應用系統(tǒng)

經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環(huán)節(jié),包括各種應用系統(tǒng)和辦公自動化系統(tǒng)。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變?yōu)閿祿找婕械哪J健?/p>

2.2信息安全現狀

為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發(fā)揮了很大的作用。

3風險與需求分析3.1風險分析

通過對我們信息系統(tǒng)現狀的分析,可得出如下結論:

(1)經營管理對計算機應用系統(tǒng)的依賴性增強,計算機應用系統(tǒng)對網絡的依賴性增強。計算機網絡規(guī)模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統(tǒng)的正常運行對網絡安全提出了更高的要求。

(2)計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。

通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發(fā)展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:

(1)系統(tǒng)性不強,安全防護僅限于網絡安全,系統(tǒng)、應用和數據的安全存在較大的風險。

目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統(tǒng)和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統(tǒng)的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規(guī)范,容易造成重要數據的丟失和泄露。

當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統(tǒng)的。

針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。

美國聯(lián)邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。

信息系統(tǒng)的安全防范是一個動態(tài)過程,某公司缺乏相關的規(guī)章制度、技術規(guī)范,也沒有選用有關的安全服務。不能充分發(fā)揮安全產品的效能。

(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。

已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統(tǒng)的互聯(lián)網出口進行嚴格限制,原有的防火墻將成為企業(yè)內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。

網絡信息系統(tǒng)的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統(tǒng)主管部門和運營、應用單位都必須做好本系統(tǒng)的信息安全風險評估工作。只有在建設的初期,在規(guī)劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。

3.2需求分析

如前所述,某公司信息系統(tǒng)存在較大的風險,信息安全的需求主要體現在如下幾點:

(1)某公司信息系統(tǒng)不僅需要安全可靠的計算機網絡,也需要做好系統(tǒng)、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。

(2)網絡規(guī)模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰(zhàn),原有的產品進行升級或重新部署。

(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規(guī)章制度和技術規(guī)范的建設,使安全防范的各項工作都能夠有序、規(guī)范地進行。

(4)信息安全防范是一個動態(tài)循環(huán)的過程,如何利用專業(yè)公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。

4設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。

4.1標準化原則

本方案參照信息安全方面的國家法規(guī)與標準和公司內部已經執(zhí)行或正在起草標準及規(guī)定,使安全技術體系的建設達到標準化、規(guī)范化的要求,為拓展、升級和集中統(tǒng)一打好基礎。

4.2系統(tǒng)化原則

信息安全是一個復雜的系統(tǒng)工程,從信息系統(tǒng)的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統(tǒng)化的解決方案。

4.3規(guī)避風險原則

安全技術體系的建設涉及網絡、系統(tǒng)、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運行,這是安全技術體系建設必須面對的最大風險。本規(guī)劃特別考慮規(guī)避運行風險問題,在規(guī)劃與應用系統(tǒng)銜接的基礎安全措施時,優(yōu)先保證透明化,從提供通用安全基礎服務的要求出發(fā),設計并實現安全系統(tǒng)與應用系統(tǒng)的平滑連接。

4.4保護投資原則

由于信息安全理論與技術發(fā)展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區(qū)域的安全技術系統(tǒng),配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規(guī)劃、建設新的安全子系統(tǒng)或投入新的安全設施的同時,對現有安全系統(tǒng)采取了完善、整合的辦法,以使其納入總體安全技術體系,發(fā)揮更好的效能,而不是排斥或拋棄。

4.5多重保護原則

任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。

4.6分步實施原則

由于某公司應用擴展范圍廣闊,隨著網絡規(guī)模的擴大及應用的增加,系統(tǒng)脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統(tǒng)一規(guī)劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節(jié)省費用開支。

5設計思路及安全產品的選擇和部署

信息安全防范應做整體的考慮,全面覆蓋信息系統(tǒng)的各層次,針對網絡、系統(tǒng)、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。

圖2網絡與信息安全防范體系模型

信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業(yè)公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。

5.1網絡安全基礎設施

證書認證系統(tǒng)無論是企業(yè)內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統(tǒng),建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:

身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。

數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。

數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。

不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。

5.2邊界防護和網絡的隔離

VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統(tǒng)的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。

通過安裝部署VPN系統(tǒng),可以為企業(yè)構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業(yè)的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。

集成的防火墻功能模塊采用了狀態(tài)檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監(jiān)控,為網絡提供高效、穩(wěn)定地安全保護。

集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。

5.3安全電子郵件

電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發(fā)展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協(xié)議自身的缺點,電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發(fā)展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。

5.4桌面安全防護

對企業(yè)信息安全的威脅不僅來自企業(yè)網絡外部,大量的安全威脅來自企業(yè)內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業(yè)內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業(yè)機密和專利信息的竊取、財務欺騙等,因此,對于企業(yè)的威脅更為嚴重。對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統(tǒng),用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。

5.5身份認證

身份認證是指計算機及網絡系統(tǒng)確認操作者身份的過程?;赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。

基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。

6方案的組織與實施方式

網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態(tài)過程,也為本方案的實施提供了借鑒。

圖3

因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:

(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業(yè)公司的安全服務,提高應對重大安全事件的能力。

(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區(qū)、分階段實施的方式。

(4)在方案實施的同時,加強規(guī)章制度、技術規(guī)范的建設,使信息安全的日常工作進一步制度化、規(guī)范化。

7結論

本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規(guī)章制度的完善;從單機系統(tǒng)的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業(yè)提供了網絡安全解決手段。

也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統(tǒng)來自各方面的攻擊和威脅,把風險降到最低水平。