時間:2023-09-20 18:19:26
導語:在安全網(wǎng)絡建設的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領您探索更多的創(chuàng)作可能。
關鍵詞:智慧城市;智慧徐州;網(wǎng)絡安全;安全防范
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)27-0037-03
Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.
Key words: smart city; Xuzhou; network security; security
隨著信息技術的迅速發(fā)展,世界各地有競爭力的城市已迎來了數(shù)字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合,旨在改變政府、企業(yè)和市民交互的方式,提高明確性、效率、靈活性和響應速度,促進城市內(nèi)外部信息產(chǎn)生、交流、釋放和傳遞向有序化、高效化發(fā)展,關注提高城市經(jīng)濟和社會活動的綜合競爭力,越來越受到中國各個城市領導者的認同和肯定。
徐州市在“十二五”伊始,深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經(jīng)濟發(fā)展方式、加強社會建設與管理,解決發(fā)展深層次問題等方面的重要作用,將“智慧徐州”建設納入了未來城市發(fā)展的戰(zhàn)略主題,希望通過智慧徐州建設,以信息資源整合、共享、利用為抓手,健全公共服務,增進民生幸福,科技創(chuàng)新驅(qū)動產(chǎn)業(yè)轉型升級,智能手段創(chuàng)新城市管理模式,采約建設實現(xiàn)信息基礎全面領先,為把我市建設成“同類城市中環(huán)境最為秀美、文化事業(yè)最為繁榮、富民強市最為協(xié)調(diào)的江南名城”提供有力支撐。
網(wǎng)絡系統(tǒng)作為智慧徐州信息資源樞紐工程及各部門接入的承載,需通過網(wǎng)絡系統(tǒng)進行數(shù)據(jù)傳輸,規(guī)劃一張合理的、高效的、安全的網(wǎng)絡系統(tǒng)能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩(wěn)定、高速地運行。
1 網(wǎng)絡安全建設
由于智慧徐州信息資源樞紐工程的信息資源的高度集中,帶來的安全事件后果與風險也較傳統(tǒng)應用高出很多,因此在建設中安全系統(tǒng)建設將作為一項重要工作加以實施。網(wǎng)絡安全建設應包括以下幾方面:
1.1 安全的網(wǎng)絡結構
安全的網(wǎng)絡結構應該能夠滿足為了保證主要的網(wǎng)絡設備在進行業(yè)務處理時能夠有足夠的冗余空間,來滿足處理高峰業(yè)務時期帶來的需求;確保網(wǎng)絡各部分的帶寬能夠滿足高峰業(yè)務時期的需要;安全的訪問路徑則通過路由控制可以在終端與服務器之間建立;按照提出需求的業(yè)務的重要性進行排序來指定分配帶寬優(yōu)先級別,如果網(wǎng)絡發(fā)生擁堵,則優(yōu)先保護重要的主機;能夠繪制出當前網(wǎng)絡運行情況的拓撲結構圖;參考不同部門之間的工作職能和涉及相關信息的重要程度等因素,來劃分成不同的子網(wǎng)和網(wǎng)段,與此同時在以方便管理和控制的前提下,進行地址分配;重要網(wǎng)段部署不能處在網(wǎng)絡的邊界處而且不能與外部信息系統(tǒng)直接連接,應該采取安全的技術隔離手段將重要網(wǎng)段與其他網(wǎng)段進行必要的隔離。
1.2 訪問控制安全
當在網(wǎng)絡邊界對控制設備進行訪問時,能夠啟動訪問控制功能;對實現(xiàn)過濾信息內(nèi)容的功能,并且能對應用層的各種網(wǎng)絡協(xié)議實現(xiàn)命令級的控制;能自動根據(jù)會話的狀態(tài)信息為傳輸?shù)臄?shù)據(jù)流提供較為明確的允許或者拒絕訪問的能力,將控制粒度設為端口級;能夠及時限制網(wǎng)絡的最大流量數(shù)和網(wǎng)絡的連接數(shù)量;當會話結束或非活躍狀態(tài)的會話處于一段時間后將終止網(wǎng)絡的連接;要采取有效的技術手段防止對重要的網(wǎng)段地址欺騙;能在遵守系統(tǒng)和用戶之間的訪問規(guī)則條件下,來決定用戶對受控系統(tǒng)進行資源的訪問是否被允許或拒絕,同時將單個用戶設置為控制粒度;具有撥號訪問權限的用戶數(shù)量受到限制。
在關鍵的位置部署網(wǎng)關設備是實現(xiàn)訪問控制安全的最有效途徑,政務網(wǎng)接入邊界安全網(wǎng)關:為內(nèi)部區(qū)域提供邊界防護、訪問控制和攻擊過濾。
1.3 審計安全
安全審計方面應包括能夠?qū)W(wǎng)絡系統(tǒng)中設備的用戶行為、網(wǎng)絡流量、運行狀況等進行相關的記錄;并且能夠分析所記錄的數(shù)據(jù),生成相關的報表;為避免審計記錄受到未預期的修改、覆蓋或刪除等操作,應當安全保護審計記錄。通過防火墻可以實現(xiàn)網(wǎng)絡審計的功能。
網(wǎng)絡的審計安全主要內(nèi)容有:為能夠有效記錄網(wǎng)絡設備、各區(qū)域服務器系統(tǒng)和安全設備等這些設備以及經(jīng)過這些設備的所有訪問行為,應在這些設備上開啟相應的審計功能,由安全管理員定期對日志信息和活動狀態(tài)進行分析,并發(fā)現(xiàn)深層次的安全問題。
1.4 檢查邊界的完整性
為對私自聯(lián)到內(nèi)部網(wǎng)絡的非授權設備行為進行安全檢查,邊界完整性檢查要求能夠準確定出其位置,并進行有效的阻斷。
實現(xiàn)邊界完整性檢查的相關技術:
1)制定嚴格的檢查策略,將服務器區(qū)域在網(wǎng)絡設備上劃分為具有獨立功能的VLAN,同時禁止除來自網(wǎng)絡入侵防御系統(tǒng)以外的其他VLAN的訪問;
2)為提升系統(tǒng)自身的安全訪問控制能力,應對安全加固服務器系統(tǒng)采取相應措施。
1.5 入侵防范
網(wǎng)絡的入侵防范應能在網(wǎng)絡邊界處監(jiān)視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網(wǎng)絡蠕蟲攻擊和緩沖區(qū)溢出攻擊等攻擊行為。當攻擊行為被檢測到時,應能記錄攻擊的時間、源IP、目的和類型,如果發(fā)生較為嚴重的入侵事件,應及時提供警報信息。通過前置防火墻實現(xiàn)入侵防御的功能。
1.6 惡意代碼防范
在網(wǎng)絡邊界處檢測和清除惡意代碼,對惡意代碼數(shù)據(jù)庫的升級和系統(tǒng)檢測的更新等,是惡意代碼防范的范疇。目前,主要是通過網(wǎng)絡邊界的安全網(wǎng)關系統(tǒng)防病毒模塊來檢測和清除系統(tǒng)漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現(xiàn)惡意代碼防范的技術。
1.7 網(wǎng)絡設備的安全防護
網(wǎng)絡設備的安全防護要求能夠限制網(wǎng)絡設備管理員的登錄地址;在網(wǎng)絡設備用戶的標識唯一的伯伯下,要能鑒別出登錄用戶的身份;主要網(wǎng)絡設備對同一用戶進行身份時鑒別時,應當選擇幾種組合的鑒別技術來鑒別,避免只使用一種鑒別技術;鑒別身份的信息應不易被冒用,網(wǎng)絡口令應定期更換而且要有一定的復雜度,不易破解;當?shù)卿浭r,能自動采取限制登錄次數(shù)、結束會話和當網(wǎng)絡登錄連接超時自動退出等相應措施;當網(wǎng)絡設備被用戶遠程管理時,能夠有防止網(wǎng)絡傳輸過程的鑒別信息被竊聽的相關措施。
網(wǎng)絡設備安全防護的技術實現(xiàn)主要是通過提供網(wǎng)絡設備安全加固服務,根據(jù)前面的網(wǎng)絡結構分析,系統(tǒng)采用若干臺核心交換機、匯聚交換機和接入交換機,實現(xiàn)各個安全區(qū)域的連接。
對于網(wǎng)絡設備,應進行相應的安全加固:
1)將樓層接入交換機的接口安全特性開啟,并將MAC進行綁定。
2)關閉不必要的服務,包括關閉CDP、Finger服務、NTP服務、BOOTp服務(路由器適用)等。
3)登錄要求和帳號管理,包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。
4)SNMP協(xié)議設置和日志審計,包括設置SNMP讀寫密碼、更改SNMP協(xié)議端口、限制SNMP發(fā)起連接源地址、開啟日志審計功能。
5)其它安全要求,包括禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查(路由器適用)等。
2 網(wǎng)絡安全防護
邊界防護:在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施,具體到智慧徐州信息資源樞紐工程中邊界,就是在平臺的物理網(wǎng)絡之間,智慧徐州信息資源樞紐工程的產(chǎn)品和邊界安全防護技術主要采用交換機接入、前置防火墻及網(wǎng)閘。
區(qū)域防護:比邊界防護更小的范圍是區(qū)域防護,指在一個區(qū)域設立的安全防護措施,具體到智慧徐州信息資源樞紐工程中,區(qū)域是比較小的網(wǎng)段或者網(wǎng)絡,智慧徐州信息資源樞紐工程的區(qū)域防護技術和產(chǎn)品采用接入防火墻。
節(jié)點防護:節(jié)點防護主要是指系統(tǒng)健壯性的保護,查堵系統(tǒng)的漏洞,它已經(jīng)具體到其中某一臺主機或服務器的防護措施,建議智慧徐州信息資源樞紐工程中的產(chǎn)品和節(jié)點防護技術都應采用病毒防范系統(tǒng)、信息安全檢查工具和網(wǎng)絡安全評估分析系統(tǒng)等。
3 網(wǎng)絡高可用
在智慧徐州信息資源樞紐工程網(wǎng)絡建設中,網(wǎng)絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網(wǎng)絡的穩(wěn)定性,在智慧徐州信息資源樞紐工程核心網(wǎng)絡部分,核心交換機、接入防火墻等設備全部采用冗余配置,包括引擎、交換網(wǎng)、電源等。所有的連接線路全部采用雙歸屬的方式,包括與電子政務局域網(wǎng)互聯(lián),與服務器接入交換機互聯(lián)。在數(shù)據(jù)應用區(qū),服務器通過雙網(wǎng)卡與服務器接入交換機互聯(lián),保障了服務器連接的高可靠性。
4 數(shù)據(jù)安全
4.1 數(shù)據(jù)安全建設
數(shù)據(jù)的安全是整個安全建設中非常重要的一部分內(nèi)容。數(shù)據(jù)的安全建設主要涉及數(shù)據(jù)的完整性、數(shù)據(jù)的保密性以及數(shù)據(jù)的備份和恢復。對于系統(tǒng)管理、鑒別信息和重要業(yè)務的相關數(shù)據(jù)在存儲過程中進行檢測,如檢測到數(shù)據(jù)完整性有錯誤時采取必要的恢復措施,并且能對這些數(shù)據(jù)采用加密措施,以保證數(shù)據(jù)傳輸?shù)谋C苄浴?/p>
對于資源共享平臺系統(tǒng)的數(shù)據(jù)安全及備份恢復要求如下:
1)對于鑒別信息數(shù)據(jù)存儲的保密性要求,均可以通過加強物理安全及網(wǎng)絡安全,并實施操作系統(tǒng)級數(shù)據(jù)庫加固的方式進行保護;
2)對于備份及恢復要求,配置了備份服務器和虛擬帶庫對各系統(tǒng)重要數(shù)據(jù)進行定期備份;
3)需要通過制定并嚴格執(zhí)行備份與恢復管理制度和備份與恢復流程,加強各系統(tǒng)備份恢復能力。
4.2 數(shù)據(jù)安全加密傳輸(VPN)
針對數(shù)據(jù)傳輸?shù)陌踩裕糠纸尤氩块T到智慧徐州信息資源樞紐工程的數(shù)據(jù)進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協(xié)議,保證數(shù)據(jù)在傳輸過程中的端到端安全性。
4.3 數(shù)據(jù)交換過程的安全保障
平臺數(shù)據(jù)交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數(shù)據(jù)交換后不能抵賴等功能。
平臺業(yè)務系統(tǒng)在傳遞消息的過程中可以指定是否采用消息內(nèi)容的校驗,校驗方法是由發(fā)送消息的業(yè)務系統(tǒng)提供消息的原始長度和根據(jù)某種約定的驗證碼生成規(guī)則(比如 MD5 校驗規(guī)則)生成的驗證碼。
4.4 數(shù)據(jù)交換接口安全設計
平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業(yè)務系統(tǒng)來說,在調(diào)用平臺的Web Service接口時使用HTTPS 協(xié)議,保證了傳輸層面的安全;而對于安全性不那么重要,只想通過很少的改動使用平臺功能的業(yè)務系統(tǒng)來說,可以簡單的通過HTTP方式調(diào)用平臺的Web Service接口進行消息的傳輸。
5 安全管理體系建設
在智慧徐州信息資源樞紐工程安全保障體系建設中,應該建立相應的安全管理體系,而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下,安全技術和安全產(chǎn)品的保障下,一個安全組織日常的安全保障工作才能簡明高效。
完整的安全管理體系主要包括:安全策略、安全組織和安全制度的建立。為了加強對客戶網(wǎng)絡的安全管理,確保重點設施的安全,應該加強安全管理體系的建設。
5.1 安全策略
安全策略是管理體系的核心,在對信息系統(tǒng)進行細致的調(diào)查、評估之后,結合智慧徐州信息資源樞紐工程的流程,制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。
安全方針是整個體系的主導,是安全策略體系基本結構的最高層,它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。
在安全方針的指導下,主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責,明確了子策略的管理和實施要求,它是子策略的上層策略,子策略內(nèi)容的制定和執(zhí)行不能與主策略相違背。安全策略體系的最低層是子策略,也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。
5.2 安全組織
由于智慧徐州信息資源樞紐工程信息化程度非常高,信息安全對于整個智慧徐州信息資源樞紐工程系統(tǒng)的安全建設非常重要。因此,需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協(xié)調(diào)組織內(nèi)部信息安全的實施。建立和組織外部安全專家的聯(lián)系,以跟蹤行業(yè)趨勢,監(jiān)督安全標準和評估方法,并在處理安全事故時提供適當?shù)穆?lián)絡渠道。
5.3 安全制度
智慧徐州信息資源樞紐工程對于安全性要求非常高,因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規(guī)程管理、系統(tǒng)管理等,明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內(nèi)容、達到的目標等。
智慧徐州信息資源樞紐工程建成后,需要針對各系統(tǒng)制定完善的動作體系,保證系統(tǒng)的安全運行。
參考文獻:
[1] 吳小坤,吳信訓.智慧城市建設中的信息技術隱患與現(xiàn)實危機[J].科學發(fā)展,2013(10):50-54.
[2] 婁歡,竇孝晨,黃志華,等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化,2015(5):214-215.
[3] 趙軍.信息安全體系下的東營智慧城市建設研究[J].中國安防,2014(9):84-89.
【關鍵詞】 新技術 煙草 網(wǎng)絡安全 建設 管理
在計算機和互聯(lián)網(wǎng)的幫助下,煙草企業(yè)內(nèi)部的訂單交易、貨款支付等均變得更為方便,然而在實際網(wǎng)絡建設以及管理工作當中經(jīng)常發(fā)現(xiàn),企業(yè)內(nèi)部的網(wǎng)絡存在安全問題,嚴重影響了企業(yè)的生產(chǎn)運營安全。因此本文將在以物聯(lián)網(wǎng)為基礎,簡要分析新技術發(fā)展環(huán)境下的煙草網(wǎng)絡安全建設與管理。
一、影響煙草網(wǎng)絡安全建設和管理的原因
1、自然原因。所謂的自然原因指的是在煙草企業(yè)內(nèi)部網(wǎng)絡設備例如路由器、電子計算機等因質(zhì)量問題或操作不當?shù)仍虺霈F(xiàn)故障,或是因為停電、火災等自然原因?qū)е聰?shù)據(jù)損毀、丟失。除此之外,網(wǎng)絡中節(jié)點多元異構性和多樣性,電池在網(wǎng)絡節(jié)點中的實際續(xù)航能力,以及網(wǎng)絡設備耐高溫、抗寒冷能力等也會對煙草網(wǎng)絡安全建設與管理造成一定的影響,而由于自然原因很難進行提前預估和判斷,因此管理和建設安全網(wǎng)絡中的困難和阻礙也比較多[1]。
2、信息傳輸。在傳輸網(wǎng)絡數(shù)據(jù)的過程當中,數(shù)據(jù)很有可能未得到有效的加密保護,在無線模式或是廣播等方式下,信息在傳輸過程中可能會遭受黑客的非法入侵,通過非法破解網(wǎng)絡秘鑰,強行入侵企業(yè)內(nèi)部網(wǎng)絡;除此之外還有可能信息數(shù)據(jù)在中途遭到攔截阻斷,路由協(xié)議等遭到私自篡改,某些黑客或企業(yè)競爭對手為竊取煙草企業(yè)內(nèi)部數(shù)據(jù)、非法獲取重要信息,還有可能會采取偽造虛假路由信息等方式,這同樣嚴重影響了企業(yè)網(wǎng)絡安全。
3、隱私泄露。在物聯(lián)網(wǎng)下,煙草網(wǎng)絡系統(tǒng)中使用大量的電子標簽與無人值守設備,而設備一旦遭到劫持將直接導致企業(yè)內(nèi)部隱私信息和機密文件大量泄漏,還有可能不法分子在用戶登錄的界面當中安裝追蹤軟件,對用戶的登錄信息和瀏覽記錄等隱私信息進行惡意追蹤,從而進行非法勾當。物聯(lián)網(wǎng)只有具備極強的安全性和可靠性才能夠有效保護內(nèi)部隱私信息的安全[2]。
4、自身缺陷。企業(yè)內(nèi)部的網(wǎng)絡建設本身存在一定的安全漏洞,即使是在新技術不斷發(fā)展進步的當下,仍然沒有設計出一款絕對安全的網(wǎng)絡系統(tǒng),任何一種網(wǎng)絡當中或多或少會存在一定安全漏洞,特別是在遭受黑客的非法入侵、木馬病毒等惡意攻擊下,網(wǎng)絡系統(tǒng)中的重要信息可能遭到損毀和破壞,甚至有可能導致整個系統(tǒng)崩盤。因此物聯(lián)網(wǎng)自身若缺乏安全穩(wěn)定性將為黑客等不法分子以及木馬病毒的入侵提供了可乘之機。
二、物聯(lián)網(wǎng)下的煙草網(wǎng)絡安全建設與管理
1、安全路由協(xié)議。物聯(lián)網(wǎng)平臺下的煙草企業(yè)網(wǎng)絡安全建設與管理工作中,各網(wǎng)絡節(jié)點中均有屬于自己的路由協(xié)議與算法,因此需要以具體的路由算法為基礎對安全協(xié)議進行劃分,譬如說根據(jù)位置信息建立地理路由或根據(jù)數(shù)據(jù)信息建立層次式路由等等,盡量彌補路由的安全漏洞,以免發(fā)生丟失或損毀而導致企業(yè)蒙受損失。2、隱私信息處理。在物聯(lián)網(wǎng)技術的應用下,煙草網(wǎng)絡系統(tǒng)在采集和傳輸隱私信息的過程當中必須注重保障其安全性,防治隱私信息被中斷攔截或遭到惡意篡改與竊取。因此可以在網(wǎng)絡系統(tǒng)中增添基本的定位功能,利用電子地圖、衛(wèi)星信號或手機移動信號等進行位置確定,采用位置偽裝技術如將IP地址進行隱藏或時空匿名等方式對查詢、閱覽隱私信息進行全方位安全保護。3、訪問認證控制。在物聯(lián)網(wǎng)下,用戶在登錄煙草網(wǎng)絡系統(tǒng)時需要交換會話密鑰用以確認申請者的真實身份,防止網(wǎng)絡系統(tǒng)遭受不法分子的惡意攻擊[3]。另外,還需要在網(wǎng)絡系統(tǒng)當中加入信息認證功能,只有通過對對方真實身份信息進行確認之后才能夠同意其訪問申請,利用隨機密鑰預分布技術、公鑰認證技術等物聯(lián)網(wǎng)的認證機制,合法認證用戶,確保網(wǎng)絡系統(tǒng)的安全性[3]。4、采用密鑰系統(tǒng)。煙草企業(yè)內(nèi)部的財政報告、數(shù)據(jù)報表、發(fā)展規(guī)劃等重要信息數(shù)據(jù)需要進行加密,從而有效確保信息數(shù)據(jù)的安全。在傳輸數(shù)據(jù)報告之前需要對其進行加密處理,在接收數(shù)據(jù)只有進行解密才可進行閱覽和使用。在物聯(lián)網(wǎng)技術下,可以采用VPN即虛擬專網(wǎng)保護遠程節(jié)點,也就是說各網(wǎng)絡節(jié)點中的通信節(jié)點在具體的網(wǎng)絡結構當中使用密鑰協(xié)商進行管理;也可以通過互聯(lián)網(wǎng)密鑰分配中心對密鑰系統(tǒng)進行管理與分配,盡量使用復雜的密鑰算法,提高其完全程度,并且將密鑰的周期壓縮至最低,即使已經(jīng)截獲部分密鑰并進行破解,也無法生成新的密鑰。
結論:總而言之,在新技術發(fā)展的環(huán)境之下,煙草企業(yè)的發(fā)展與互聯(lián)網(wǎng)和電子計算機系統(tǒng)之間的關系越來越緊密,而在順應社會和時代潮流,不斷建設網(wǎng)絡的過程中,煙草公司需要重點注意其安全性問題,通過定期對內(nèi)部網(wǎng)絡進行病毒查殺以及加密重要數(shù)據(jù)等,切實做好網(wǎng)絡管理工作,有效保障企業(yè)內(nèi)部生產(chǎn)運營安全。
參 考 文 獻
[1]馬強. 試談煙草企業(yè)網(wǎng)絡安全建設與管理方法[J]. 電腦編程技巧與維護,2016,08:93-94.
【關鍵詞】校園網(wǎng);網(wǎng)絡安全;安全策略
【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158(2013)07-0329-02
1 校園網(wǎng)絡安全規(guī)范
校園的網(wǎng)絡安全是指利用各種網(wǎng)絡監(jiān)控和管理技術措施,對網(wǎng)絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實施保護,使其不會因為一些不利因素而遭到破壞,從而保證網(wǎng)絡系統(tǒng)連續(xù)、安全、可靠地運行。
學校網(wǎng)絡中心負責網(wǎng)絡設備的運行管理,信息中心負責網(wǎng)絡資源,系統(tǒng)管理員口令絕對保密,根據(jù)用戶需求嚴格控制,合理分配用戶權限,向?qū)W生開放的教學實驗室應禁止使用軟驅(qū)和光驅(qū),以杜絕病毒的傳播。
2 安全方案建議
2.1 校園網(wǎng)絡狀況分析
(1)資源分布和應用服務體系
校園網(wǎng)絡可向網(wǎng)絡用戶提供:域名服務(DNS),電子郵件服務(Email),遠程登錄(telnet),文件傳輸服務(ftp),電子廣告牌,BBS,電子新聞,WWW以及信息收集,存儲,交換,檢索等服務。
(2)網(wǎng)絡結構的劃分
整個網(wǎng)絡是由各網(wǎng)絡中心,和園區(qū)內(nèi)部網(wǎng)絡通過各種通信方式互聯(lián)而成,所有網(wǎng)絡可歸納為由連接子網(wǎng)、公共子網(wǎng)、服務子網(wǎng)、內(nèi)部網(wǎng)四個部分組成。這四部分組成一個獨立單位的局域網(wǎng),然后通過廣域連接與其他網(wǎng)絡連接。
2.2 網(wǎng)絡安全目標
為了增加網(wǎng)絡安全性,必須對信息資源加以保護,對服務資源加以控制管理。
(1)信息資源
a:公眾信息;即不需要訪問控制。
b:內(nèi)部信息;即需要身份驗證以及根據(jù)根據(jù)身份進行訪問控制。
C:敏感信息;即需要驗證身份和傳輸加密。
(2)服務資源包括:內(nèi)部服務資源、公眾服務資源
內(nèi)部服務資源:面向已知客戶,管理和控制內(nèi)部用戶對信息資源的訪問。
公眾服務資源:面向匿名客戶,防止和抵御外來的攻擊。
3 校園網(wǎng)絡安全技術的應用
3.1 建立網(wǎng)絡安全模型
通信雙方在網(wǎng)絡上傳輸信息時,需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡環(huán)境中安全地傳輸信息,需要對信息提供安全機制和安全服務。
為了信息的安全傳輸,通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息,并在雙方發(fā)生爭議時進行仲裁。設計一個網(wǎng)絡安全方案時,需要完成以下四個基本任務:
(1)設計一個算法,執(zhí)行安全相關的轉換;
(2)生成該算法的秘密信息;
(3)研制秘密信息的分發(fā)與共享的方法;
(4)設定兩個責任者使用的協(xié)議,利用算法和秘密信息取得安全服務。
3.2 數(shù)據(jù)備份方法
數(shù)據(jù)備份有多種實現(xiàn)形式,從備份模式看,分為物理備份和邏輯備份;從備份策略看,分為完全備份、增量備份和差異備份。
(1)邏輯備份
邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成,每個邏輯塊存儲在連續(xù)的物理磁盤塊上,備份系統(tǒng)能識別文件結構,并拷貝所有文件和目錄到備份資源上。
(2)物理備份。
物理又稱“基于塊的備份”或“基于設備的備份”,其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結構,從而提高備份的性能。因為在執(zhí)行過程中,花在搜索操作上的開銷很少。
(3)完全備份
完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進行一次全面的備份。這種備份方式很直觀,容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問題,可以使用備份文件快速地恢復數(shù)據(jù)。
(4)增量備份
為了解決完全備份的兩個缺點,出現(xiàn)了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數(shù)據(jù)。因為在特定的時間段內(nèi)只有少量的文件發(fā)生改變,既節(jié)省空間,又縮短了備份的時間。因而這種備份方法比較經(jīng)濟,可以頻繁地進行。
(5)差異備份
差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復時涉及到備份記錄數(shù)量限制在兩個,以簡化恢復的復雜性。
3.3 防火墻技術
防火墻是在網(wǎng)絡之間通過執(zhí)行控制策略來保護網(wǎng)絡的系統(tǒng),它包括硬件和軟件。設置防火墻的目的是保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用。
防火墻是一個由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護目的不同,防火墻系統(tǒng)的配置與實現(xiàn)方式也有很大的區(qū)別。簡單的一個包過濾路由器或應用網(wǎng)關、應用服務器都可以作為防火墻使用。
3.4 入侵檢測技術
入侵檢測系統(tǒng)是對計算機和網(wǎng)絡資源的惡意使用行為進行識別的系統(tǒng)。它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為,包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部的非法授權行為,并采取相應的防護手段。它的基本功能包括:
(1)監(jiān)控、分析用戶和系統(tǒng)的行為。
(2)檢查系統(tǒng)的配置和漏洞。
(3)評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。
(4)對異常行為的統(tǒng)計分析,識別攻擊類型,并向網(wǎng)絡管理人員報警。
(5)對操作系統(tǒng)進行審計、跟蹤管理,識別違反授權的用戶活動。
4 校園網(wǎng)主動防御體系
校園網(wǎng)的安全威脅既有來自校內(nèi)的,也有來自校外的。在設計校園網(wǎng)網(wǎng)絡安全系統(tǒng)時,首先要了解學校的需要和目標,制定安全策略。因此網(wǎng)絡安全防范體系應該是動態(tài)變化的,必須不斷適應安全環(huán)境的變化,以保證網(wǎng)絡安全防范體系的良性發(fā)展,確保它的有效性和先進性。
安全管理貫穿整個安全防范體系,是安全防范體系的核心。網(wǎng)絡系統(tǒng)的安全性不只是技術方面的問題,一個有效的安全防范體系應該是以安全策略為核心,以安全技術為支撐,以安全管理為落實,安全管理主要是對安全技術和安全策略的管理, 安全策略為安全管理提供管理方向,安全技術是輔助安全管理的措施。當網(wǎng)絡出現(xiàn)攻擊行為或其它安全威脅時,無法進行實時的檢測、監(jiān)控、報告與預警。同時,也無法提供黑客攻擊的追蹤線索,即缺乏對網(wǎng)絡的可控性與可審查性。這就要求網(wǎng)絡管理員經(jīng)常通過網(wǎng)絡攻擊掃描器提前識別弱點區(qū)域,入侵系統(tǒng)監(jiān)控和響應安全事件,必須對站點的訪問活動進行多層次的記錄,及時發(fā)現(xiàn)非法入侵。
結論
通過上述分析,我提出如下校園網(wǎng)絡安全防范策略:
(1)利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進行有效隔離,避免與外部網(wǎng)絡直接通信;
(2)利用防火墻建立網(wǎng)絡的安全保護措施,保證系統(tǒng)安全;
(3)利用防火墻對網(wǎng)上服務請求內(nèi)容進行控制,使非法訪問被拒絕;利用防火墻加強合法用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將訪問權限控制在最低限度內(nèi);
(4)在Internet出口處,使用NetHawk監(jiān)控系統(tǒng)進行網(wǎng)絡活動實時監(jiān)控;
(5)在本校區(qū)部署RJ-iTop網(wǎng)絡隱患掃描系統(tǒng),定期對整個網(wǎng)絡的安全狀況進行評估,及時彌補出現(xiàn)的漏洞;
(6)加強網(wǎng)絡安全管理,提高全體人員的網(wǎng)絡安全意識和防范技術。
[1] 馮登國.計算機通信網(wǎng)絡安全[M].北京:清華大學出版社,2001,3
[2] 蔡立軍.計算機網(wǎng)絡安全技術[M].北京:中國水利水電出版社, 2005, 52-56
[3] 陳健偉,張輝.計算機網(wǎng)絡與信息安全[M].北京:希望電子出版社,2006.2:42-43
主要功能模塊劃分
對于文中平臺主要功能的實現(xiàn),則主要通過業(yè)務邏輯層來完成,概括起來主要包含四個方面的功能。
1設備管理
對于設備管理模塊來說,可以作為其他功能模塊的基礎,是其他模塊有機結合的基礎模塊,主要包括幾個子功能:(1)設備信息管理;(2)設備狀態(tài)監(jiān)控;(3)設備拓撲管理等。這些子功能的實現(xiàn),可以在網(wǎng)絡拓撲和手動的基礎上,通過統(tǒng)一通信接口來對設備的狀態(tài)和性能進行實施的監(jiān)控和管理,必要的情況下,還可以通過圖形化的方式來表示,方便平臺和系統(tǒng)管理員對設備運行狀態(tài)的及時掌握和定位,減輕管理員的工作量。
2事件分析
作為安全設備管理平臺的核心模塊,安全事件分析模塊的目的就是對大量的網(wǎng)絡事件進行分析和處理、篩選,減輕管理員的工作壓力,所以,該功能模塊的主要子功能有安全時間分類統(tǒng)計、關聯(lián)分析和處理等。同樣,該功能模塊也能夠通過統(tǒng)一通信接口來對各個安全設備所生成的時間報告進行收集、統(tǒng)計,在統(tǒng)計分析的過程中,可以根據(jù)不同的標準進行分類,如時間、事件源、事件目的和事件類型等,通過科學統(tǒng)計和分析,還可以利用圖表的方式進行結果顯示,從而實現(xiàn)對安全事件內(nèi)容關系及其危害程度進行準確分析的目的,并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。
3策略管理
安全設備管理平臺中的策略管理模塊包含多個功能,即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上,就可以統(tǒng)一對設備的策略定義進行管理和修改,對當前所采用的策略進行網(wǎng)絡安全事件沖突檢測,及時發(fā)現(xiàn)可能存在的網(wǎng)絡設置沖突和異常,確保網(wǎng)絡策略配置的正確性和合理性。通過對網(wǎng)絡環(huán)境中安全事件的深入分析,在跟當前所采用安全策略相比較的基礎上,就能夠為設備的安全設置提供合理化建議,從而實現(xiàn)對網(wǎng)絡安全設備設置的決策輔助和支持。
4級別評估
最后一個功能模塊就是安全級別評估模塊,該模塊的主要任務就是對網(wǎng)絡商業(yè)設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網(wǎng)絡安全事件的深入分析,在結合安全策略設置的基礎上,實現(xiàn)對網(wǎng)絡安全水平的準確評估,從而為網(wǎng)絡安全管理的實施和水平的提高提供有價值的數(shù)據(jù)參考。
平臺中的通信方法
要實現(xiàn)網(wǎng)絡中異構安全設備的統(tǒng)一管理,就需要通過統(tǒng)一的通信接口來實現(xiàn),該接口的主要功能就是通過對網(wǎng)絡中異構設備運行狀態(tài)、安全事件等信息的定時獲取,從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題,實現(xiàn)網(wǎng)絡安全信息的標準化和格式的標準化。
1資源信息標準化
在網(wǎng)絡安全管理中,所涉及到的安全資源信息主要包括安全設備的運行狀態(tài)、設備配置策略信息和安全事件信息等。其中,安全設備的運行狀態(tài)信息主要通過數(shù)據(jù)交換層中的通信程序通過跟安全設備的定時通信來得到,可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲,但是采用數(shù)據(jù)庫存儲的則比較少,這主要是由于:(1)RRD文件適合某個時間點具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲;(2)如果對多臺安全設備的運行狀態(tài)進行監(jiān)控的情況下,就應該建立跟數(shù)據(jù)庫的多個連接,給后臺數(shù)據(jù)庫的通信造成影響。對于上面提到的安全設備的運行狀態(tài)信息和安全事件信息,通過對各種安全設備信息表述格式的充分考慮,本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述,不僅實現(xiàn)了相應的功能,還能夠為平臺提供調(diào)用轉換。而對于安全策略類的信息,則是先通過管理員以手動的方式將安全策略添加到平臺,然后再在平臺中進行修改,之后就可以在通過平臺的檢測沖突,由平臺自動生成設備需要的策略信息,然后再通過管理員對策略進行手動的修改。
2格式標準化
對于安全事件和策略的格式標準化問題,可以通過格式的差異描述文件來實現(xiàn)彼此之間的轉換,這里提到的差異描述文件則采用XML格式來表述,而格式的自動轉換則通過JavaBean的內(nèi)置缺省功能來實現(xiàn)。
3通信處理機制
對于通信接口而言,由不同廠家所提供的同類型設備之間的差異也比較大。所以,對于設備的運行狀態(tài)信息,主要采用兩種途徑來獲取:(1)通過標準的SNMP、WMI方式獲得;(2)通過專用的Socket接口調(diào)用特定函數(shù)來獲得。而對于網(wǎng)絡運行中的安全事件,其獲得途徑也有兩種:(1)通過專用Socket接口來獲得;(2)將安全事件通過推送的方式發(fā)送到指定的安全管理設備。通過綜合分析,本文平臺主要采用獨立的通信程序和集中設置調(diào)用的方法來獲得安全資源信息,這樣就可(1)以實現(xiàn)對安全設備管理的最有效支持。本文所采用方式的實現(xiàn)機制為:平臺通過標準接口獲取網(wǎng)絡的安全資源信息,再通過通信程序的調(diào)用設置功能,對程序調(diào)用的時間間隔及其語法規(guī)范進行定義。
【 關鍵詞 】 校園網(wǎng);信息安全;網(wǎng)絡技術,技術應用
On the Construction of Campus Network and Network Information Security
Luo Qiong
(Sichuan College of Chemical Technology SichuanLuzhou 646005)
【 Abstract 】 campus network is a local area network, LAN is one or several buildings in the computer, terminal, with a mass storage peripheral device, controller, display, as well as for connections to other network and use network connectors connected with each other, with a high speed for the purpose of the network ". With the development of computer technology and network technology, Internet has penetrated into all aspects of the school, the school has established a campus network, campus network construction to help students access to information, to help teachers in the teaching and research activities, helps improve teaching environment, conducive to the school to establish a good image, attract students, improve level of management and management efficiency.
【 Keywords 】 campus network; information security; network technology, technology application
0 前言
現(xiàn)代化信息社會里,要想建一流的學校,要想實現(xiàn)學校的科學高效管理,就必須將網(wǎng)絡技術應用到日常教學管理中。校園網(wǎng)的主要應用范圍大概分為幾種情況:①從教師角度來說,幫助教師從網(wǎng)絡中獲取知識、幫助教師備課、豐富課堂教學內(nèi)容;②從學生角度來說,校園網(wǎng)是學生學習的工具,是學生之間交流的工具,有利于學生學習文化知識和培養(yǎng)學生良好的人際溝通能力;③從學校后勤管理工作來說,校園網(wǎng)能夠很好地服務于教學管理工作,無論是財務管理、行政管理還是人事管理等都離不開計算機,離不開網(wǎng)絡技術;④從學校整體來說,校園網(wǎng)是一個媒介,是學校與外面溝通的窗口,是一個信息平臺,在這個平臺上既可以從校外獲取各種信息,也可以向外各種信息。
1 校園網(wǎng)建設關鍵技術分析
校園網(wǎng)建設是一個系統(tǒng)工程,需要大量的軟件和硬件,主要分為幾方面。
網(wǎng)絡協(xié)議技術:在校園局域網(wǎng)上用到的協(xié)議主要有ICP/IP協(xié)議、IPX/SPX協(xié)議等,協(xié)議是通信雙方共同遵守的約定和規(guī)范,網(wǎng)絡設備必須安裝或設置各種網(wǎng)絡協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送。
OSI網(wǎng)絡體系結構:主要由應用層、表示層、會話層、運輸層、網(wǎng)絡層、數(shù)據(jù)鏈路層和物理層組成,其中物理層是位于體系結構的最低層,它定義了OSI網(wǎng)絡中的物理特性和電氣特性。
HTTP、FTP、Telnet協(xié)議。HTTP是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膽脤訁f(xié)議。FTP是客戶/服務器方式服務的各種規(guī)則所組成的集合,主要用來支持Internet文件傳輸。Telnet是采用客戶/服務器模式的應用層協(xié)議,提供終端設備與面向進程接口的標準方法,Telnet應用廣泛,功能強大,尤其適用于用戶登錄遠端主機和允許用戶執(zhí)行遠端主機命令這兩方面,可以在有限的網(wǎng)絡空間下獲取無限的網(wǎng)絡資源。
常用網(wǎng)絡硬件設備:一般來說,網(wǎng)絡設備有網(wǎng)卡、集線器、交換機等,這些設備按照一定的組合方式連接起來,在整個網(wǎng)絡中分別發(fā)揮著自己的功能又同時存在著密切的聯(lián)系。網(wǎng)卡是實現(xiàn)網(wǎng)絡通訊的重要設備之一,它是計算機與網(wǎng)絡的接口,選用網(wǎng)卡時要注意,網(wǎng)卡有很多種,不同類型的網(wǎng)絡需要使用不同種類的網(wǎng)卡,如從校園網(wǎng)建設的實際應用情況來看,工作站網(wǎng)卡選擇PCI總線的10M /100Mbit/s自適應網(wǎng)卡最適合。路由器主要分為軟路由和硬路由,有靜態(tài)的和動態(tài)的,路由器是校園網(wǎng)中不可缺少的設備,它的功能比較強大,主要用來將不同的網(wǎng)絡物理分支和不同的通信媒介連接在一起及過濾和隔離網(wǎng)絡數(shù)據(jù)流、控制和管理復雜的路徑、在網(wǎng)絡分支之間提供安全屏障層等功能,當數(shù)據(jù)流到達路由器后,路由器根據(jù)路徑的代價,選擇一條最佳的路徑,然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標地址。服務器,校園網(wǎng)中的服務器有數(shù)據(jù)庫服務器和服務器,學校里計算機數(shù)量眾多而且集中,服務器的選擇應該針對校園網(wǎng)特點,選擇具有較大容量、較高處理速度和穩(wěn)定性的大型服務器。
2 校園網(wǎng)建設思路
校園是一個特殊的網(wǎng)絡環(huán)境,校園網(wǎng)的建設應該結合學校實際情況,進行詳細規(guī)劃。校園網(wǎng)的建設要體現(xiàn)分布式、開放式、安全可靠,維護簡單等原則,重點是應用局域網(wǎng)技術以及多媒體技術為主的各種網(wǎng)絡應用技術。
校園網(wǎng)建設的目的是為日常教學和后勤行政管理提供服務,不斷提高教學管理水平,拓寬教師和學生的知識面,利用現(xiàn)代信息技術可以推動和改變傳統(tǒng)的教學模式,加速教學方式的改革,改變傳統(tǒng)的灌輸式教育,改變以往老師講、學生聽,死記硬背的傳統(tǒng)教學方式,實施以學生為主的教育教學方式。
校園網(wǎng)建設過程中,應該校園網(wǎng)的功能與作用,結合學校應注重硬件設備、軟件跟上、“智件”超前、“潛件”保障,即“四件”平衡。其中“智件”是主題,是指富有文化知識的教師,“潛件”主要指服務于教學的各種保障措施。
校園網(wǎng)建設過程注重高效、避免重復浪費,校園網(wǎng)是一個復雜的系統(tǒng)工程,在建設之初就應該做好整體規(guī)劃,使工程形成良性循環(huán),保證各個環(huán)節(jié)成本最低,尤其是避免重復投資和不合理利用資源現(xiàn)象的發(fā)生,校園網(wǎng)建設過程中要盡量使用成熟技術,因為成熟技術既可以減少風險,又能做到性能穩(wěn)定、實施快、見效快,維護更新更有保障。
3 校園網(wǎng)的信息安全現(xiàn)狀及解決對策
3.1 校園網(wǎng)的信息安全現(xiàn)狀
校園網(wǎng)本身存在“重技術、輕安全、輕管理”的傾向,在各種論壇、聊天室出現(xiàn)的不良言論無法用人工審核監(jiān)督的方式有效解決,作為教育信息化基石和院校形象保障的校園信息安全問題不容樂觀。加上院校各類應用系統(tǒng)的不斷增加和擴充,網(wǎng)絡中心等管理單位所維護并管理的服務器逐漸增多,特別是諸多的Linux服務器占據(jù)著許多重要應用,比如網(wǎng)站服務器、郵件服務器、解析服務器等,不同于Windows的界面化操作,Linux系統(tǒng)在提供穩(wěn)定服務的同時對維護人員和維護工作都有較高的要求,從而導致必須為Linux服務器配備較多的技術人員和工作強度。
校園網(wǎng)連接的除了各級行政單位網(wǎng)絡,還連接校內(nèi)學生機,因此存在許多安全隱患,主要表現(xiàn)有校園網(wǎng)與 Internet 相連,存在著外網(wǎng)攻擊的風險;來自校園網(wǎng)內(nèi)部的安全威脅;接入校園網(wǎng)的節(jié)點數(shù)日益增多,這些節(jié)點會面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問題。
3.2 針對校園網(wǎng)的信息安全所采取的解決對策
隨著網(wǎng)絡的高速發(fā)展,信息交流和共享的速度逐漸加快,網(wǎng)絡不斷出現(xiàn)新病毒,校園網(wǎng)存在很大安全隱患,如何更好地對計算機進行防護,如何保護校園網(wǎng)絡的安全是計算機專業(yè)人員重點考慮的問題,與此同時,學校對網(wǎng)絡信息安全問題越來越重視,紛紛建立了一套有效的網(wǎng)絡安全機制,重點防范網(wǎng)絡病毒、黑客攻擊。通過瑞星防毒墻、瑞星網(wǎng)絡安全預警系統(tǒng)、網(wǎng)絡版殺毒軟件,實現(xiàn)網(wǎng)絡安全隔離、網(wǎng)絡監(jiān)控措施、網(wǎng)絡病毒的防范等安全需求。
1)防毒墻的部署
在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星防毒墻,其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區(qū),與內(nèi)、外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機,外網(wǎng)口通過路由器與 Internet 連接。這樣,通過 Internet 進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS等),既保護內(nèi)網(wǎng)資源不被非法訪問或破壞,也阻止了內(nèi)部用戶對外部不良資源的使用,并能夠?qū)Πl(fā)生的安全事件進行跟蹤和審計。
2)瑞星網(wǎng)絡安全預警系統(tǒng)的部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,根據(jù)校園網(wǎng)絡的特點,我們采用瑞星網(wǎng)絡安全預警系統(tǒng),接入 Cisco 中心交換機上,對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。
3)瑞星網(wǎng)絡版殺毒軟件的部署
為了實現(xiàn)在整個局域網(wǎng)內(nèi)病毒的防護,我們在可能感染和傳播病毒的地方采取相應的防病毒手段。實現(xiàn)了遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種安全防護功能。
4)整體實現(xiàn)的主要功能
通過對大學校園網(wǎng)絡的安全設計,在不改變原有網(wǎng)絡結構的基礎上實現(xiàn)多種信息安全,保障大學校內(nèi)部網(wǎng)絡安全;實現(xiàn)對整個校園網(wǎng)病毒防范和查殺,有效防止病毒在校園網(wǎng)內(nèi)的傳播;保護脆弱的服務,通過過濾不安全的服務,防火墻可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險;控制內(nèi)部和外部用戶對校內(nèi)各種應用系統(tǒng)的訪問,有效保護內(nèi)部各種應用服務器,例如防火墻允許外部訪問特定的Mail Server和Web Server;提供集中的統(tǒng)一安全管理,管理員可以通過管理控制臺對內(nèi)部和外部用戶指定統(tǒng)一的安全策略;提供強大的安全日志記錄和統(tǒng)計,管理員可以通過各種安全日志對網(wǎng)絡進行實時監(jiān)控和統(tǒng)計分析,及時發(fā)現(xiàn)網(wǎng)絡的各種安全事件。
4 結束語
校園網(wǎng)的發(fā)展對教育事業(yè)的發(fā)展起到了催化劑的作用,教育依托信息技術實現(xiàn)了教學與管理的信息化和現(xiàn)代化,校園網(wǎng)的建設提高了教師的教學水平,提高了學生的學習興趣,提升了教育科研水平,大大增強了學校的綜合實力。雖然,校園網(wǎng)絡技術發(fā)展過程中遇到了很多網(wǎng)絡安全考驗和硬件維護等困難,但是只要采取合理的措施,殺毒軟件及時更新,防火墻時時監(jiān)護等,就一定能在最大程度上保證校園網(wǎng)的信息安全。
參考文獻
[1] 官金安,傅德榮.“基于Internet/Intranet的學校CBE系統(tǒng)的建設”,電化教育研究,2000(2).
[2] 劉慶瑜.校園網(wǎng)中的網(wǎng)絡安全問題淺談[J].寧波大紅鷹職業(yè)技術學院學報;2006年01期.
[3] 紀楠楠.淺析校園網(wǎng)絡安全[J].商業(yè)經(jīng)濟,2007年09期.
[4] 厲曉華.高校網(wǎng)絡安全管理模式的探索與實踐[J].科技創(chuàng)新導報,2009年04期.
一、指導思想
以科學發(fā)展觀為統(tǒng)領,以創(chuàng)新虛擬社會綜合管控機制為目標,以國務院《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》和公安部《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》等有關法律、法規(guī)為依據(jù),進一步加強我縣互聯(lián)網(wǎng)專線接入單位落實安全保護技術措施工作,夯實互聯(lián)網(wǎng)基礎管理,防范和減少各類違法犯罪活動,維護我縣虛擬社會穩(wěn)定和經(jīng)濟發(fā)展。
二、工作步驟
(一)自查排摸階段(2011年8月10日-8月31日)。各互聯(lián)網(wǎng)專線用戶單位要依法落實互聯(lián)網(wǎng)用戶備案工作。未向公安機關備案聯(lián)網(wǎng)使用情況的單位,確定專人向縣公安局網(wǎng)絡警察大隊報備本單位聯(lián)網(wǎng)使用情況(見附件一);已備案單位的網(wǎng)絡情況如有變更,需及時向公安機關報備更新信息。各互聯(lián)網(wǎng)專線用戶單位要積極開展信息安全保護措施自查工作。仔細對照《方案》要求迅速開展自查和整改工作,認真填寫自查回執(zhí)(見附件二),于8月15日前將自查回執(zhí)書面材料加蓋單位公章后反饋至縣公安局網(wǎng)絡警察大隊。
(二)組織實施階段(2011年9月1日-2011年10月31日)。全縣各互聯(lián)網(wǎng)專線用戶(含政府、企事業(yè)聯(lián)網(wǎng)單位、社區(qū)、學校、賓館酒店、休閑會所、餐廳、電子閱覽室、圖書館)要于今年10月底前落實安全保護技術措施各項工作:1、建立安全管理組織,落實專門人員負責網(wǎng)絡安全管理工作;2、建立和落實各項安全保護管理制度,建立完善網(wǎng)絡安全事故應急處置和責任追究機制、涉網(wǎng)違法事件和網(wǎng)絡安全事故通報機制;3、安裝安全保護技術措施設備。各專線用戶應在本單位網(wǎng)絡與互聯(lián)網(wǎng)的出入口加裝前端監(jiān)測系統(tǒng)并必須符合《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》的要求:(1)記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的安全審計技術措施;(2)記錄并留存用戶注冊信息并向報警處置中心上傳數(shù)據(jù);(3)在公共信息服務中發(fā)現(xiàn)、停止傳輸違法信息,并保留相關記錄;(4)具有至少60天的記錄備份功能。按統(tǒng)一平臺、統(tǒng)一標準、統(tǒng)一接口的要求,各非經(jīng)營性互聯(lián)網(wǎng)上網(wǎng)服務單位必須選擇安裝經(jīng)省公安廳認證通過的網(wǎng)絡安全產(chǎn)品(杭州迪普科技有限公司的UMC管理平臺、上海新網(wǎng)程信息技術有限公司的網(wǎng)絡警察V7.5、上海漢景信息科技有限公司的網(wǎng)路盔甲V7.5)。全縣政府部門、事業(yè)單位的安全建設由縣政府統(tǒng)一進行技術談判,確定安全技術產(chǎn)品后供各建設單位選購安裝。其他互聯(lián)網(wǎng)專線用戶單位要按本方案要求,落實專項建設資金,自主采購相關產(chǎn)品,確保按時、按要求完成建設任務。
(三)檢查驗收階段(2011年11月1日-11月30日)。領導小組辦公室對各鎮(zhèn)(街道)、各部門工作進展情況進行檢查驗收,按完成的百分比進行排名并通報,并對安全責任和安全保護技術措施不落實的單位,要及時提出整改意見,限期整改。
三、工作要求
(一)加強領導。落實安全技術措施是防范網(wǎng)上有害信息傳播,凈化境內(nèi)互聯(lián)網(wǎng)環(huán)境的一項重要的基礎工作,是加強互聯(lián)網(wǎng)管理的一項重要任務。為加強組織領導,成立縣互聯(lián)網(wǎng)專線用戶安全保護措施建設工作領導小組,由縣委常委、常務副縣長陳建良擔任組長,縣府辦、縣紀委、縣委宣傳部、縣委政法委、縣公安局、縣財政局、縣信息辦為成員單位,領導小組下設辦公室,地點設在縣公安局。各級各部門要統(tǒng)一認識,高度重視,按照縣政府的統(tǒng)一部署,結合工作實際,制定具體的實施方案,成立由主要負責人擔任組長的領導小組和相關組織機構,切實加強組織領導和協(xié)調(diào)配合,認真開展安全保護技術措施建設工作。
(二)強化協(xié)作。各單位要迅速組織開展本單位落實安全保護技術措施情況的調(diào)查摸底和專項整改工作,依法履行安全保護職責,加強與縣領導小組、縣各電信運營商協(xié)調(diào),研究本單位建設模式。同時要參照“誰主管、誰負責,誰使用、誰負責”的原則,根據(jù)方案要求,建立安全管理審計制度,建立完善安全保護技術措施。
【關鍵詞】網(wǎng)絡課程;教學改革;建設
0 引言
網(wǎng)絡應用于教育領域,使教育信息的傳播方式發(fā)生了改變,從而促使教育理念、教育模式、教學方法等發(fā)生極大的改變。網(wǎng)絡教學已成為當今信息時代的一種重要的教學方式,在網(wǎng)絡教學環(huán)境中課程轉化為網(wǎng)絡課程這種新的表現(xiàn)形式。網(wǎng)絡課程是通過網(wǎng)絡表現(xiàn)的某門學科的教學內(nèi)容及實施的教學活動的總和[1]。
高職院校培養(yǎng)目標的定位是高端技能型、應用型人才,其核心競爭力在于培養(yǎng)的人才具有良好的專業(yè)綜合素質(zhì)和機敏的應變能力,而這樣的人才所應具備的知識和技能在有限的課堂教學中是無法獲取的。在《安全學基礎》課程教學改革中,引進現(xiàn)代化教學手段和技術,教學方式采用課堂教學和網(wǎng)絡教學混合學習[2],意在拓寬安全知識的信息量,提高學生的學習興趣。要通過網(wǎng)絡來輔助課堂教學,關鍵要有一個適合教師與學生互動交流的網(wǎng)絡平臺,如何建立這個平臺,又如何利用網(wǎng)絡來實施輔助教學,這是教師首先要思考和研究的課題。基于以上考慮,本文將對《安全學基礎》網(wǎng)絡課程的建設與教學實施過程進行探討,并針對實施過程提出幾點體會,希望能為同類院校的《安全學基礎》網(wǎng)絡課程的建設與發(fā)展提供參考。
1 《安全學基礎》網(wǎng)絡課程建設的內(nèi)容
《安全學基礎》課程是我院航空港安全檢查專業(yè)的一門專業(yè)基礎理論課程。課程目標是培養(yǎng)安檢專業(yè)學生的安全意識,增強在工作崗位中預防和控制事故的技能。
該課程理論性較強,為增強學生的學習興趣,并結合網(wǎng)絡學習的特點,在網(wǎng)絡課程建設上,以企業(yè)崗位要求為指導,采用內(nèi)容模塊化的組織方式,將知識點或教學單元作為學習主線,來組織構建課程內(nèi)容,重視課程內(nèi)容的可用性和可視性。
《安全學基礎》網(wǎng)絡課程建設的主要內(nèi)容包括六大模塊:課程介紹、課程內(nèi)容、在線測試、學習交流、拓展知識、課程資源庫。詳細內(nèi)容見圖1。
圖1 《安全學基礎》網(wǎng)絡課程模塊
2 《安全學基礎》網(wǎng)絡課程的實施及體會
在實施《安全學基礎》網(wǎng)絡課程教學過程中,我院采用課堂教學和網(wǎng)絡教學相結合的教學方式。具體實施模式見圖2。
在課程實施過程中,得出以下幾點體會:
2.1 教學內(nèi)容要緊密聯(lián)系
課堂教學和網(wǎng)絡教學的教學內(nèi)容上要實現(xiàn)緊密聯(lián)系,使課堂學習和網(wǎng)絡學習相互促進,增強知識的熟悉度。
由于課堂時間有限,學生在課堂上未能完全理解和掌握所學知識,通過課后網(wǎng)絡課程學習,使課堂知識再現(xiàn),加深學生的印象,幫助學生更好的掌握。
本課程在實施過程中采用的是知識點再現(xiàn)。網(wǎng)絡課程的課程內(nèi)容包含課程的所有知識點及其講解。課堂教學內(nèi)容為幾種相關聯(lián)的知識點組合。通過這種方法,課程知識點即可以通過課堂教學進行講解,也可以通過網(wǎng)絡課程的自主學習掌握。
圖2 《安全學基礎》網(wǎng)絡課程實施模式
2.2 教師要扮演好雙重角色
在課堂教學中以教師為主,要求教師要扮演主講人的角色,主要任務包括維持課堂秩序,教授課程內(nèi)容,提出作業(yè)要求,解答學生的問題等。
在網(wǎng)絡學習平臺,教師的角色轉變?yōu)橐晃缓蛯W生共同學習的益友。教師通過在線答疑的方式實時和學生互動交流,讓學生時刻感受到教師在關注他們的學習和努力,這樣可以大大提高學生的學習成就感。
2.3 課程的考核評價方式改革
評價和反饋是教學中不可或缺的環(huán)節(jié),以前《安全學基礎》課程的主要考核學生的課堂表現(xiàn)和知識的掌握。課堂表現(xiàn)占總成績的40%,期末考試占60%。實施網(wǎng)絡課程以后,學生的學習過程不僅僅體現(xiàn)在課堂這個平臺。如何評價網(wǎng)絡課程學習情況?網(wǎng)絡課程的特點就是在線學習,因此利用在線網(wǎng)絡作為評價工具,及時的評價反饋可以提高學習者的學習積極性,確保在線的學習質(zhì)量[3]。
本課程實施過程中采用的考核方式為:課堂學習和網(wǎng)絡學習共占總成績的50%。期末考試占50%。詳見表1。
表1 《安全學基礎》課程考核評價方式
3 結語
網(wǎng)絡課程是高職教育不可或缺的重要教學資源之一,其建設與實施對推動高職教育改革起著舉足輕重的作用。
通過三年多的網(wǎng)絡課程建設和實施,《安全學基礎》課程的教學資源更加規(guī)范和豐富,改變了傳統(tǒng)的教學模式,把學習從課堂帶到了學生的課下生活中,將教師的工作平臺由講臺轉移到網(wǎng)絡這個更廣闊的的新天地。教學效果有了很大的提高。但是,由于硬件系統(tǒng)的缺乏和網(wǎng)絡課程的不完善,教學上要真正實現(xiàn)網(wǎng)絡教學還存在很大的困難。還需院方和一線教師隊伍為網(wǎng)絡教學做進一步的努力。
【參考文獻】
[1]徐錚,等.網(wǎng)絡課程開發(fā)現(xiàn)狀與發(fā)展趨勢[J].中國遠程教育,2003(11).
一、以賬戶為核心進行管理
1.一個用戶、一個賬戶(One userOne account),全校一卡通。
2.賬戶靈活分組,賦予適當權限。
建教師組和學生組。將賬戶加入其中,分別賦予適當權限。
有時也面對臨時目標設立虛擬工作組。
二、保證主干暢通,全網(wǎng)冗余設計,負載均衡
核心層采用高性能雙并列主干交換機結構,一個鏈路失效后,快速將負載轉移到集束的其他鏈路上,使網(wǎng)絡正常運行。
采用HSRP,一個路由器不工作時,另一個可迅速接管,不至整個網(wǎng)絡癱瘓,在第三層上實現(xiàn)路由容錯、負載均衡、對用戶通明。
三、合理設置和分配IP地址
1.靜、動結合
重要的服務器、網(wǎng)關等少數(shù)設備為靜態(tài)IP;其他機器通過DHCP服務器動態(tài)分配。
2.劃分VLAN
為隔絕廣播風暴,方便組內(nèi)共享和教學,合理劃分VLAN。
每個機房設一個VLAN,可用于教學廣播系統(tǒng)授課、分發(fā)素材和控制。
每個教研組設一個VLAN,可訪問組內(nèi)共享的教案、課件等材料。
設置一管理VLAN,連在核心三層交換機上,配置ACL,只許管理VLAN和特定主機直接訪問每一臺機器,其他均過濾。在管理VLAN中設一無線接入端口,通過WPA-PSK(TKIP)加密鏈路,但出于安全考慮平時不開通。
四、設置VPN
1.LANtoLAN方式VPN
VPN網(wǎng)關上配輸入輸出過濾器,將VPN隧道數(shù)據(jù)流轉發(fā)給VPN服務器,其他數(shù)據(jù)流按類型轉發(fā)給相應的服務器,隧道使用IPSec提供安全保障。
2.客戶到LAN方式VPN
采用SSL隧道安全協(xié)議。設置教師和學生公用VPN賬號密碼和并發(fā)數(shù),Web登錄后,仍要進行個人賬戶驗證,才可訪問。
開通專用管理員VPN賬號,在進行證書認證后,可遠程登錄維護。
五、數(shù)據(jù)庫的安全策略
1.采用分布式數(shù)據(jù)庫
為減少校際間帶寬的占用、便于管理,采用分布式,使數(shù)據(jù)庫的存儲和使用盡量在本校區(qū)內(nèi)完成。
2.站點間相互信任、數(shù)據(jù)一致性維護、加密和備份
站點間通過Kerberos基于對稱密碼體制的雙向身份驗證協(xié)議來進行信任驗證。
當多用戶并發(fā)訪問數(shù)據(jù)時,會產(chǎn)生丟失更新、讀過時數(shù)據(jù)、讀臟數(shù)據(jù)等問題,采用兩段封鎖協(xié)議可使并發(fā)調(diào)度策略串行化,避免帶來的問題:如死鎖,則強行撤銷引起死鎖的事務,數(shù)據(jù)庫回滾。
分片設計上,遵循完備性、重構和不相交條件。
對敏感字段進行庫內(nèi)加密,常用于索引的字段明文存放。
數(shù)據(jù)庫定期冷熱備份,多用增量備份,建立日志和檢查點,以便發(fā)生事務、系統(tǒng)或介質(zhì)故障和病毒破壞時進行數(shù)據(jù)恢復。
六、防火墻配置
用ACL允許教師賬戶訪問Inter―net,在規(guī)定時間以外拒絕學生賬戶訪問Internet;對外過濾非法IP地址和協(xié)議,通過賬戶名口令登錄。才能訪問內(nèi)部資源。
用服務器,分擔部分用戶認證,緩存設計大大分減了出校流量、冗余,使安全性和性能得以提高。
管理人員每天檢查日志,及時發(fā)現(xiàn)異常進行處理。
七、防毒措施
用卡巴斯基的網(wǎng)絡版進行實時監(jiān)控定期查殺;每臺PC上安裝殺毒軟件,定時升級,實時監(jiān)控和查殺。
學生機房克隆前,母盤要保證無毒;中毒后可一鍵還原。
以上就是我校網(wǎng)絡建設中安全策略和機制的設計實施情況,在實際運行和使用中不斷改進取得了好的效果。
參考文獻:
[關鍵詞]IDC 網(wǎng)絡安全 網(wǎng)絡攻擊 安全防御
[中圖分類號]TP393[文獻標識碼]A[文章編號]1007-9416(2010)03-0000-00
1 緒論
互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,下稱IDC)是伴隨著互聯(lián)網(wǎng)發(fā)展的需求而發(fā)展起來的,為企業(yè)、應用服務提供商、內(nèi)容服務提供商、系統(tǒng)集成商、ISP等提供大規(guī)模、高質(zhì)量、安全可靠的服務器托管、租用以及ASP等增值服務的互聯(lián)網(wǎng)新型業(yè)務。IDC不僅是一個服務概念,還是一個網(wǎng)絡概念,它構成了網(wǎng)絡基礎資源的一部分,提供了一種高端的數(shù)據(jù)傳輸服務和高速接入服務,是以Internet技術體系作為基礎,主要的特點是以TCP/IP為傳輸協(xié)議和以瀏覽器/WEB為處理模式。
IDC不僅要提供服務器硬件等設備的托管和快速的網(wǎng)絡接入,還要提供對服務器的監(jiān)管服務、有關網(wǎng)絡的管理及服務品質(zhì)保證,而且更重要的是要有高度安全可靠的機房網(wǎng)絡環(huán)境。目前,網(wǎng)絡和信息安全技術與各種安全隱患之間進行的是一場深入、多層次的戰(zhàn)爭,成為一個沒有硝煙的戰(zhàn)場,這就要求我們對與Internet互連所帶來的網(wǎng)絡與信息安全性問題予以足夠的關注,在IDC的設計中必須充分重視安全問題,盡可能的減少安全漏洞,此外,我們還應該根據(jù)IDC的客戶需求提供不同的安全服務。
2 網(wǎng)絡及信息安全趨勢
IDC中常見的傳統(tǒng)網(wǎng)絡安全措施包括防火墻、入侵檢測、漏洞掃描等,不過,這些傳統(tǒng)的網(wǎng)絡安全措施有著很大的局限性,另外,蠕蟲、病毒、DoS/DDoS攻擊、垃圾郵件等混合威脅越來越多,傳播速度不斷加快,留給人們響應的時間越來越短,用戶來不及對入侵做出響應,已造成IDC內(nèi)的服務器癱瘓。例如,某IDC用戶因為長期被ARP蠕蟲困擾,導致大量IDC用戶的通信線路中斷;某IDC用戶托管在IDC機房的主機受到大規(guī)模的DDoS攻擊而使業(yè)務長期嚴重受損;某IDC的電子商務用戶因為其機器被黑客入侵導致大量業(yè)務數(shù)據(jù)流失。綜合上述案例,并透過對國內(nèi)多個地區(qū)的IDC(包括機房與用戶)的安全調(diào)研,發(fā)現(xiàn)IDC用戶存在的安全問題主要概括如下: ARP欺騙攻擊、拒絕服務攻擊、黑客攻擊與后門/木馬、蠕蟲等。總體來看,網(wǎng)絡攻擊的動機從技術炫耀型轉向利益驅(qū)動型,網(wǎng)絡攻擊的趨利性和組織性在繼續(xù)加強,從而導致直接獲得經(jīng)濟利益的惡意代碼和攻擊行為日益增加,大范圍傳播的惡意代碼逐漸不再占據(jù)主流。
目前,隨著各種網(wǎng)絡惡意代碼及網(wǎng)絡攻擊威脅的趨利性,應在互聯(lián)網(wǎng)安全應急預案框架下,加強具體的處理流程規(guī)范制定,明確應急組織、網(wǎng)絡運營商、用戶、網(wǎng)絡服務提供商 (ISP/ICP/IDC/域名注冊商等)在具體的網(wǎng)絡仿冒、惡意網(wǎng)頁代碼、拒絕服務攻擊等安全事件中的責任和義務,為事件處理提供必要的政策依據(jù),并形成快速、有效的安全事件響應機制,是遏止各種網(wǎng)絡事件繼續(xù)增加的重要方面。
3 網(wǎng)絡安全設計原則
針對網(wǎng)絡系統(tǒng)實際情況,解決網(wǎng)絡的安全保密問題是當務之急 ,考慮到技術難度及經(jīng)費等因素,我們采取以下安全策略 :
(1)采用漏洞掃描技術,對重要網(wǎng)絡設備進行風險評估,保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。
(2)采用防火墻技術、NAT技術、VPN技術、網(wǎng)絡加密技術(IPsec)、身份認證技術、多層次多級別的防病毒系統(tǒng)、入侵檢測技術,構成網(wǎng)絡安全的防御系統(tǒng)。
(3)實時響應與恢復:制定和完善安全管理制度,提高對網(wǎng)絡攻擊等實時響應與恢復能力 。
(4)建立分層管理和各級安全管理中心。
4 網(wǎng)絡安全解決方案
DDoS(分布式拒絕服務)攻擊由于易于實施、難于防御、難于追查等特點,已成為當前網(wǎng)絡中流行的攻擊方式,威脅與造成的損失日益增大。DDoS攻擊不僅局限于單一目標,網(wǎng)絡本身也逐漸成為DDoS攻擊的犧牲品,網(wǎng)絡鏈路、路由交換設備、運營商的DNS服務系統(tǒng)都不同程度的遭受了DDoS攻擊的侵害。
對入侵行為的防御,防火墻是企業(yè)級安全保障體系的第一道防線,目前已經(jīng)得到了非常廣泛的應用,但是各式各樣的攻擊行為還是存在,這表明有某些攻擊行為是防火墻所不能防御的,比如說應用層的攻擊行為。
想要實現(xiàn)完全的入侵防御,首先需要對各種攻擊能準確發(fā)現(xiàn),其次是需要實時的阻斷防御與響應。防火墻等訪問控制設備沒有能做到完全的協(xié)議分析,僅能實現(xiàn)較為低層的入侵防御,對應用層攻擊等行為無法進行判斷,而入侵檢測等旁路設備由于部署方式的局限,在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接,都達不到完全防御的要求。
入侵防御系統(tǒng)(IPS)實行在線部署,相對于入侵檢測系統(tǒng)(IDS)旁路部署,實現(xiàn)了從IDS的被動防御到IPS主動防御的質(zhì)變。入侵防御系統(tǒng)(IPS)可以保護防火墻等網(wǎng)絡基礎設施,對Internet出口帶寬進行精細控制,防止帶寬濫用;可以抵御來自Internet的針對DMZ(demilitarized zone,隔離區(qū))區(qū)服務器的應用層攻擊和來自Internet的DDoS攻擊;可以抵御來自內(nèi)網(wǎng)攻擊,保護核心服務器和核心數(shù)據(jù),提供虛擬軟件補丁服務,保證服務器最大正常運行時間。入侵防御系統(tǒng)以透明串聯(lián)方式部署,實時分析鏈路上的傳輸數(shù)據(jù),對隱藏在其中的攻擊行為進行阻斷,專注的是深層防御、精確阻斷,這意味著入侵防御系統(tǒng)是作為安全防御工具存在,解決實際應用上的難題,進一步優(yōu)化網(wǎng)絡的風險控制環(huán)境。
未來,IDC市場的競爭將更加激烈。因此,如何在激烈的市場競爭中占據(jù)主動位置,已經(jīng)成為IDC運營商們考慮的重點。顯然,加強IDC中心網(wǎng)絡安全,不僅使其IDC的管理和服務上升到了一個新的層次,走在了整個行業(yè)的前面,同時,也促進了整體信息社會的和諧發(fā)展。
[參考文獻]
[1] 高永強,郭世澤.網(wǎng)絡安全技術與應用大典[M].北京:人民郵電出版社.
[2] 張千里,陳光英.網(wǎng)絡安全新技術[M].北京:人民郵電出版社.
[作者簡介]