隨着資訊技術的廣泛應用,對資訊技術的依賴性越來越大,資訊安全問題日益突出,以下是小編蒐集整理的一篇探究網絡安全現狀的論文範文,供大家閱讀參考。
摘要:本文依據現代資訊化的安全技術特點,結合網絡建設需求分析、投資與風險分析,提出了網絡建設與網絡安全同步實施的策略。
關鍵詞:網絡安全 網絡建設 安全 策略
1 引言
對於來自外部的威脅,可以採用防火牆、入侵監測等產品。但對於來自內部人員(合法用戶)的一些誤操作,濫用權力,有意犯罪,越權訪問機密資訊,或者惡意篡改數據,缺乏管理機制,這些更加難以防範。需要相關的安全審計產品予以監督,能夠做到時候有據可查,對於誤操作、或者惡意事件能夠追溯,也可以對內部人員的操作起到很好的警示作用。
2 資訊安全保護技術概述
網絡安全的防護主要是防止內部的網絡系統或對外的網絡系統遭受到攻擊或者非法的侵入,從而造成數據的泄露,這些敏感數據的泄露會對國家的安全產生很大的影響。所以首先要解決的問題就是要防止內部敏感數據資訊的非法複製和泄露,還要能夠防禦外部人員的非法入侵,做好系統網絡的安全防護工作[1-2]。
3 網絡安全的現狀分析
目前,網絡系統內主要執行的網絡協議爲TCP/IP協議,而TCP/IP網絡協議並非專爲安全通信而設計。所以,網絡系統可能存在的安全威脅來自以下方面:
(1)物理層的安全威脅
物理層的安全威脅,主要來自對物理通路的損壞、物理通路的偷聽、對物理通路的攻擊(干擾等)、電磁輻射等,針對這類威脅主要依靠物理設備和線路的保護以及設備防電磁輻射技術來防範,建立完善的備份系統。
(2)網絡層的安全威脅
網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或偷聽,對於這類威脅,主要依靠採用訪問控制、網絡資訊檢測和監控的手段來防範、劃分VLAN(局域網)、加密通訊(廣域網)等手段來進行防範。
(3)操作系統和數據庫管理系統的安全威脅
目前流行的許多操作系統和數據庫管理系統均存在安全漏洞,對付這類的安全威脅最好採用安全的操作系統和安全數據庫管理系統。
(4)應用平臺的安全威脅
應用平臺的安全威脅主要包括建立在網絡系統之上的應用軟件服務,如檔案傳輸服務器、電子郵件服務器、Web服務器等存在安全問題。通常採用OS安全增強技術、SSL技術等來增強應用平臺的安全性。
(5)應用系統的安全威脅
應用系統完成網絡系統的最終目的是爲用戶服務。主要採用各種基於PKI的技術、加密技術、防火牆技術等等來保證資訊存儲安全,通訊雙方的認證,審計等。
(6)系統安全管理上的漏洞威脅
一個網絡系統雖然採用了很先進和嚴密的安全技術措施,但是由於內部人員使用不當或安全管理員疏忽,對安全策略設定不嚴密、管理制度不健全,都可能給系統帶來安全漏洞或安全隱患,這就需要系統安全管理員要有極強的責任心加強對系統安全管理 [3]。
4 計算機網絡的安全策略
4.1 物理安全策略
在保留原有的安全技術措施的基礎上,在接入交換機上採用IP+MAC進行綁定的方式進一步控制非法用戶的接入,對於不在使用的空餘交換機端口全部採用DOWN方式,完全可以控制非法用戶的接入。
4.2 訪問控制策略
IP+MAC綁定功能可以簡化網管人員的工作,因爲限制了客戶機的'接入,既增加了網絡的安全性、又減少了IP衝突的可能。在實際的配置中,可以透過中心的網管軟件,實現IP+MAC的端口綁定,對於不用的端口全部DOWN掉。
當非法用戶1接入已經DOWN端口的交換機時候,不會有任何的物理連接,非法接入行爲不會發生。
當非法用戶2接入到正常使用的交換機端口後,首先終端管理軟件會提示IP位址衝突並阻斷接入的行爲。
當非法用戶2透過仿冒正確IP的方式接入到交換機端口後,交換機系統會根據預設的IP位址+MAC地址,進行檢查比對,發現不一致後會立即阻斷仿冒IP接入的非法行爲。
4.3 網絡安全管理策略
安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響着整個網絡的安全,嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。
網絡安全管理系統分爲三個層次:管理層、接入層和遠程訪問。
(1)管理層
由2臺集中認證控制管理平臺構成。提供用戶集中的訪問管理門戶,所有的遠程KVM會話,串口會話,帶內控制會話和電源管理操作,全部在認證控制管理平臺上操作完成;同時,所有用戶要進行以上的操作,必須要經過系統的集中認證後,才能登陸。所有的操作全部會被記錄至管理平臺。
(2)接入層連接
機房內所有服務器的鍵盤、鼠標和顯示器接口都透過一根服務器接口線纜獲取KVM信號,接口線纜再透過普通五類線連接至設備。設備的本地控制端口連接控制檯,提供用戶在機架旁的本地化管理。機房內所有網絡設備的接口都透過一根串口轉借線纜獲取串口信號,再透過普通五類網線連接至串口管理設備。所有設備的雙電源連接至電源管理設備。
(3)遠程訪問
遠程IP操作用戶只需要在IE瀏覽器內輸入主認證服務器的IP位址經過權限認證後即可對機房內的所有的各類服務器和網絡設備進行集中統一管理。不同的IP用戶都透過開放式的Web瀏覽器只需鼠標點擊即可訪問到機房內相應的設備,透過簡單的用戶分組和權限設定後不同部門的操作用戶根據各自權限的不同可以訪問各自不同部門的設備。
遠程用戶透過認證控制管理平臺,還可以實現對機房設備的電源進行集中管控,可以實現遠程開、關和重啓等操作,並可以統計設備的端口電壓和電流。實現最小化訪問權限控制,實現從單點技術管理、普通系統管理、區域本地管理過渡到全面集中管理、安全系統管理和遠程控制管理。
5 總結
本文以中小型網絡建設和安全防範的實例爲基礎,探討了網絡建設的基本思路,分析了網絡不同層次和不同系統中當前網絡存在隱患和威脅,並設計了相應的防範對策,從而提出了網絡安全建設的基本方案。
參考文獻:
[1]張錦蜀.軍工企業資訊網絡系統安全的研究和解決方案[D].電子科技大學,2010-03-01
[2]陳曉.基於WEB的IP城域網綜合網管系統的研究與應用[D].南昌大學,2005-05-01
[3]彭南斌.網絡安全研究及在網絡工程中的實踐[D].天津大學,2007-06-01