網絡安全加固措施范例6篇

前言:中文期刊網精心挑選了網絡安全加固措施范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。

網絡安全加固措施

網絡安全加固措施范文1

【關鍵詞】 網絡 計算機安全 防護

隨著網絡的普及和科學技術的深入發展與運用,計算機系統和網絡自身固有的安全漏洞也跟著突顯出來。針對漏洞的網絡攻擊等行為擾亂了各種中樞指揮系統,導致指揮失靈、決策失誤,嚴重地危及到政府、軍事和商業的安全。因此,計算機安全問題的解決對于保護計算機的安全具有十分重要的現實意義與價值。

一、計算機網絡及計算機網絡安全

計算機網絡是計算機科學發展到一定階段的產物,它是由計算機系統及終端設備,通過線路連接起來的系統。計算機網絡使用戶實現了遠程通信和資源共享,計算機網絡化是信息社會的主要標志之一。計算機網絡的主要用途是資源共享,系統可靠性高,具有可擴展性。

網絡環境下計算機安全,就是指計算機系統中的各種數據、計算機的軟件和硬件,在與網絡連接的條件下,可以受到保護,免受來自外界的惡意或者偶然的信息泄露、數據破壞或者更改,從而免遭到經濟損失、系統崩潰或者中斷與外界的聯系等惡果。計算機安全從本質上來講,就是信息安全。它所包含的范嗣很大,意義很廣泛,大到國家軍事政治等機密安全,小到如防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等都在計算機安全的范疇內。計算機安全所涉及到的內容,既有技術理論方面的問題,又有人為管理方面的問題,其中,技術方面主要負責防范外部的惡意攻擊破壞,人為管理方面則側重內部人員因素的管理.只有兩者相輔相成,才能更有效地實現保護計算機免受威脅的目標。提高計算機的安全性也因此成為當前計算機業內亟待解決的一個重要問題。

二、網絡計算機安全的主要隱患

1、網絡自身的安全缺陷。網絡是一個開放的環境,TCP/IP是一個通用的協議,即通過IP地址作為網絡節點的唯一標識,基于IP地址進行多用戶的認證和授權,并根據IP包中源IP地址判斷數據的真實和安全性,但該協議的最大缺點就是缺乏對IP地址的保護,缺乏對源IP地址真實性的認證機制,這就是TCP/IP協議不安全的根本所在。通過TCP/IP協議缺陷進行的常見攻擊有:源地址欺騙、IP欺騙、源路由選擇欺騙、路由選擇信息協議攻擊、SYN攻擊等等。

2、黑客攻擊。這是一種最嚴重的網絡安全威脅。攻擊者通過各種方式尋找系統脆弱點或系統漏洞,由于網絡系統同構冗余環境的弱點是相同的,多個系統同時故障的概率雖小,但被攻破可能性卻大,通過攔截、竊取等多種方式,向系統實施攻擊,破壞系統重要數據,甚至系統癱瘓,給網絡安全帶來嚴重威脅。維護網絡安全,主要指維護網絡的信息安全。保證數據的機密、完整是最基本的目標。一個安全的網絡環境,數據未經授權應該是不能被任意修改的,任何想獲取該數據信息的訪問者都應是經過授權的合法用戶。

3、不正確的系統維護措施。系統固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊,但無效的安全管理也是造成安全隱患的一個重要因素。當發現新的漏洞時,管理人員應仔細分析危險程度,并馬上采取補救措施。有時候,雖然專業人員已經對系統進行了維護,對軟件進行了更新或升級,但由于路由器及防火墻的過濾規則過于復雜,系統又可能會出現新的漏洞。所以,及時、有效地改變管理可以大大降低系統所承受的風險。

三、計算機安全問題的防范與控制

1、硬件方面安全問題防范與控制。采用加固技術能夠提高計算機硬件的安全性。常見的有防震加固、密封加固、防腐加固、溫度環境加固。防輻射加固措施是從芯片,電磁器件到線路板、電源、轉盤、硬盤、顯示器及連接線,都全面屏蔽起來,以防電磁波輻射。更進一步,可將機房或整個辦公大樓都屏蔽起來,如沒有條件建屏蔽機房,可以使用干擾器,發出干擾信號,使接收者無法正常接收有用信號。

隨著計算機的發展,我們手上的移動設備越來越多,這些移動設備給我們的信息存儲和轉移帶來了方便,但也帶來了不少的安全隱患。由于移動設備的特點,使得移動設備中往往隱藏著不少的病毒文件,一旦我們在自己的計算機上打開攜帶病毒的移動設備后,我們的計算機就會被感染病毒。因此,在日常生活中使用不確定的移動設備時,應該在未打開移動設備的狀態下先殺毒再使用。

網絡安全加固措施范文2

路由器是局域網之中非常重要的一種網絡設備,其主要在網絡層實現子網之間以及內外數據的轉發,是不同網絡之間進行數據交換及通信的一個重要通道。當前,很多路由器可集成防火墻等安全模塊,對網絡起到安全加固的作用。所以,路由器往往是病毒入侵的第一道屏障。目前,各大小石油企業均使用Cisco(思科)路由器及交換機對該企業局域網進行安全加固,從而在很大程度上提高了石油企業的網絡安全以及提高了企業的生產效益。

【關鍵詞】Cisco路由器 交換機 安全加固

由“木桶”原理可以得知,一個木桶可以裝多少水,受到該木桶最短的那塊木板所決定。具體到信息系統的安全也是同樣的道理,整個信息系統的安全程度也受到信息系統之中最薄弱的環節所決定,網絡作為信息系統的主體,其安全需求的重要性是顯而易見的。本文主要對石油企業Cisco路由器及交換機安全加固措施進行分析,旨在為石油企業的網絡安全運行提供一定的參考依據。

1 概述

目前,很多石油企業局域網的建設全部或者部分采用Cisco(“思科”)的路由器與交換機,究其原因,筆者認為,這主要是由于該設備的功能非常強大,工作性能穩定性好,其互聯網操作系統(IOS)在網絡安全策略等方面均具有獨特的考慮,使用IOS的安全策略功能,不需要單獨地購置安全管理軟件,就能夠很好地實現絕大部分的安全功能,使得石油企業局域網運行于較安全的環境之中。

運用Cisco的路由器與交換機,構筑成為一個典型的基于第三層交換技術的高性能千兆石油企業局域網,其具體拓撲結構示意圖如圖1所示,以Catalyst-4006作為核心交換機,5臺Catalyst-2950G構成匯聚層,20臺Catalyst-2924與Catalyst-1924構成接入層,1臺4500型路由器做邊緣路由器,通過2MDDN線路與CERNET地區網絡中心相連接,1臺2511型做遠程訪問服務器,作用是提供撥號用戶使用。

應用Cisco路由器與交換機,石油企業可實現如下幾個方面的網絡安全策略:路由器安全策略、用戶主機安全策略、交換機安全策略、服務器安全策略以及網絡訪問安全策略等。

2 Cisco路由器安全加固策略

眾所周知,對于一個網絡而言,路由器是網絡的核心部分,其實際配置情況對整個網絡的正常工作與運行均具有十分重要的意義與價值,在實際過程中,應只允許授權的主機對路由器進行遠程登錄,而禁止未授權的主機進行登錄。在路由器的全局配置條件下,設置標準訪問控制表,且在全部的虛接口上進行應用,應用的方向為in,如此,就能夠很好地保證只有授權的主機遠程登錄路由器且修改其配置,實際過程中,路由器的主要配置為:

access-list 1 permit 202.115.145.66 line vty 04

access-class 1 in

表示僅允許主機202.115.145.66遠程登錄至路由器。

3 Cisco交換機安全加固策略

3.1 Cisco交換機地址的配置

為了能夠便于管理,可將交換機配置IP地址。例如可將IP地址進行配置,192.168.0.0,就能夠禁止非本企業的主機對交換機進行訪問。將企業內全部的交換機均應置于一個虛擬網絡之中(常見的為VLAN-2)之中,在交換機之中可進行如下配置:

Interface vlan 2

in address 192.168.0.3 255.255.255.0

3.2 配置允許訪問交換機的主機

經過上述的安全加固策略的實施,Cisco交換機的訪問被限制于石油企業內部,而且還能夠在石油企業內部網絡的三層交換機4006上面,將訪問控制表進行配置,將其用于Cisco交換機的虛擬網絡之中,應用的方向屬于in,僅僅允許石油企業內所指定的主機能夠訪問該交換機所在的虛擬網絡,而其他主機(如其他石油企業的主機)不能對該虛擬網絡進行訪問,那么這就阻止了其對本石油企業Cisco交換機的訪問,因此也就無法獲取本企業Cisco交換機中的任何數據。在三層交換機4006型上進行如下的配置:

access-list 10 permit 202.115.145.66

interface vlan 2

in access-group 10 in

經過上述安全加固策略的實施,只有IP地址為202.115.145.66的配置能夠訪問本石油企業局域網網絡交換機。

3.3 允許遠程登錄交換機主機的配置

允許訪問交換機的主機,應該注意對遠程登錄該交換機的過程進行限制。只允許被授權的主機進行登錄,從而對相關的配置參數加以修改。在交換機的全局配置條件下,設置標準的訪問控制表,用于虛擬接口的0~15上面,應用的方向為in。交換機上面的具體配置如下:

access-list 1 permit 202.115.145.66

line vty 0 15

access-class 1 in

如此,僅僅允許主機202.115.145.66對交換機進行遠程登錄,從而能夠修改交換機的具體配置。

4 結論

綜上所述,本研究主要對Cisco路由器與交換機在石油企業網絡之中的安全策略。若在石油企業網絡構建過程中,采用本文所提出的網絡安全解決策略,能夠很好地滿足石油企業的絕大多數安全需求,以最大程度地減少網絡建設所需的各種費用。

參考文獻

[1]張秀梅.網絡入侵防御系統的分析與設計[J].信息與電腦,2009(07):1-2.

[2]馬麗,袁建生,王雅超.基于行為的入侵防御系統研究[J].網絡安全技術與應用,2010(06):33-35.

[3]郭翔,謝宇飛,李銳.校園網層次型網絡安全設計[J].科技資訊,2010(9):26.

[4]楊森.淺談思科路由器使用安全對策[J].房地產導刊,2013(7):371-372.

[5]王均.楊善林.VLAN技術在網絡中的應用[J].電腦與信息技術,2000,(2).

作者單位

網絡安全加固措施范文3

關鍵詞:等級防護;電力企業;網絡安全建設

中圖分類號: F407 文獻標識碼: A 文章編號:

引言

信息化是一把“雙刃劍”,在提高企業工作效率、管理水平以及整體競爭能力的同時,也給企業帶來了一定的安全風險,并且伴隨著企業信息化水平的提高而逐漸增長。因此,提升企業的信息系統安全防護能力,使其滿足國家等級保護的規范性要求,已經成為現階段信息化工作的首要任務。對于電力企業的信息系統安全防護工作而言,應等級保護要求,將信息管理網絡劃分為信息內網與信息外網,并根據業務的重要性劃分出相應的二級保護系統與三級保護系統,對三級系統獨立成域,其余二級系統統一成域,并從邊界安全、主機安全、網絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。

1現階段電力企業網絡風險分析

1.1服務器區域缺少安全防護措施

大部分電力企業的服務器都是直接接入本單位的核心交換機,然而各網段網關都在核心交換機上,未能對服務器區域采取有效的安全防護措施。

1.2服務器區域和桌面終端區域之間的劃分不明確

因服務器和桌面終端的網關都在核心交換機上,不能實現對于域的有效劃分。

1.3網絡安全建設缺乏規劃

就現階段的電力企業網絡安全建設而言,普遍存在著缺乏整體安全設計與規劃的現狀,使整個網絡系統成為了若干個安全產品的堆砌物,從而使各個產品之間失去了相應的聯動,不僅在很大程度上降低了網絡的運營效率,還增加了網絡的復雜程度與維護難度。

1.4系統策略配置有待加強

在信息網絡中使用的操作系統大都含有相應的安全機制、用戶與目錄權限設置以及適當的安全策略系統等,但在實際的網絡安裝調試過程中,往往只使用最寬松的配置,然而對于安全保密來說卻恰恰相反,要想確保系統的安全,必須遵循最小化原則,沒有必要的策略在網絡中一律不配置,即使有必要的,也應對其進行嚴格限制。

1.5缺乏相應的安全管理機制

對于一個好的電力企業網絡信息系統而言,安全與管理始終是分不開的。如果只有好的安全設備與系統而沒有完善的安全管理體系來確保安全管理方法的順利實施,很難實現電力企業網絡信息系統的安全運營。對于安全管理工作而言,其目的就是確保網絡的安全穩定運行,并且其自身應該具有良好的自我修復性,一旦發生黑客事件,能夠在最大程度上挽回損失。因此,在現階段的企業網絡安全建設工作過程中,應當制訂出完善的安全檢測、人員管理、口令管理、策略管理、日志管理等管理方法。

2等級保護要求下電力企業網絡安全建設防護的具體措施

2.1突出保護重點

對于電力企業而言,其投入到信息網絡安全上的資源是一定的。從另外一種意義上講,當一些設備存在相應的安全隱患或者發生破壞之后,其所產生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它,顯然不滿足科學性的要求。因此,在保護工作過程中,應對需要保護的信息資產進行詳細梳理,以企業的整體利益為出發點,確定出重要的信息資產或系統,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時,還可以使工作效率得到很大程度的提高。

2.2貫徹實施3層防護方案

在企業網絡安全建設過程中,應充分結合電力企業自身網絡化特點,積極貫徹落實安全域劃分、邊界安全防護、網絡環境安全防護的3層防護設計方案。在安全防護框架的基礎上,實行分級、分域與分層防護的總體策略,以充分實現國家等級防護的基本要求。

(1)分區分域。統一對直屬單位的安全域進行劃分,以充分實現對于不同安全等級、不同業務類型的獨立化與差異化防護。

(2)等級防護。遵循“二級系統統一成域,三級系統獨立成域”的劃分原則,并根據信息系統的定級情況,進行等級安全防護策略的具體設計。

(3)多層防護。在此項工作的開展過程中,應從邊界、網絡環境等多個方面進行安全防護策略的設計工作。

2.3加強安全域劃分

安全域是指在同一環境內具有一致安全防護需求、相互信任且具有相同安全訪問控制與邊界控制的系統。加強對于安全域的劃分,可以實現以下目標:

(1)實現對復雜問題的分解。對于信息系統的安全域劃分而言,其目的是將一個復雜的安全問題分解成一定數量小區域的安全防護問題。安全區域劃分可以有效實現對于復雜系統的安全等級防護,是實現重點防護、分級防護的戰略防御理念。

(2)實現對于不同系統的差異防護?;A網絡服務、業務應用、日常辦公終端之間都存在著一定的差異,并且能夠根據不同的安全防護需求,實現對于不同特性系統的歸類劃分,從而明確各域邊界,對相應的防護措施進行分別考慮。

(3)有效防止安全問題的擴散。進行安全區域劃分,可以將其安全問題限定在其所在的安全域內,從而有效阻止其向其他安全域的擴散。在此項工作的開展過程中,還應充分遵循區域劃分的原則,將直屬單位的網絡系統統一劃分為相應的二級服務器域與桌面終端域,并對其分別進行安全防護管理。在二級系統服務器域與桌面域間,采取橫向域間的安全防護措施,以實現域間的安全防護。

2.4加強對于網絡邊界安全的防護

對于電力企業的網絡邊界安全防護工作而言,其目的是使邊界避免來自外部的攻擊,并有效防止內部人員對外界進行攻擊。在安全事件發生之前,能夠通過對安全日志與入侵事件的分析,來發現攻擊企圖,在事件發生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤。

(1)加強對于縱向邊界的防護。在網絡出口與上級單位連接處設立防火墻,以實現對于網絡邊界安全的防護。

(2)加強對于域間橫向邊界的防護。此項防護是針對各安全區域通信數據流傳輸保護所制定出的安全防護措施。在該項工作的開展過程中,應根據網絡邊界的數據流制定出相應的訪問控制矩陣,并依此在邊界網絡訪問控制設備上設定相應的訪問控制規則。

2.5加強對于網絡環境的安全防護

(1)加強邊界入侵檢測。以網絡嗅探的方式可以截獲通過網絡傳輸的數據包,并通過相應的特征分析、異常統計分析等方法,及時發現并處理網絡攻擊與異常安全事件。在此過程中,設置相應的入侵檢測系統,能夠及時發現病毒、蠕蟲、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率,從而為安全問題的取證提供有力依據。

(2)強化網絡設備安全加固。安全加固是指在確保業務處理正常進行的情況下,對初始配置進行相應的優化,從而提高網絡系統的自身抗攻擊性。因此,在經過相應的安全評估之后,應及時發現其中隱藏的安全問題,對重要的網絡設備進行必要的安全加固。

(3)強化日志審計配置。在此項工作的開展過程中,應根據國家二級等級保護要求,對服務器、安全設備、網絡設備等開啟審計功能,并對這些設備進行日志的集中搜索,對事件進行定期分析,以有效實現對于信息系統、安全設備、網絡設備的日志記錄與分析工作。

結語

綜上所述,對于現階段電力企業信息網絡而言,網絡安全建設是一個綜合性的課題,涉及到技術、使用、管理等許多方面,并受到諸多因素的影響。在電力企業網絡安全建設過程中,應加強對于安全防護管理體系的完善與創新,以嚴格的管理制度與高素質管理人才,實現對于信息系統的精細化、準確化管理,從而切實促進企業網絡安全建設的健康、穩步發展。

參考文獻:

[1]張蓓,馮梅,靖小偉,劉明新.基于安全域的企業網絡安全防護體系研究[J].計算機安全,2010(4).

網絡安全加固措施范文4

比如:Unicode攻擊,以及“代碼注入技術”,因為這種攻擊是選擇了防火墻所允許的80端口。而包過濾的防火墻無法對數據包內容進行核查,因此此時防火墻等同于虛設。即使在防火墻的屏障之后,也會被攻擊者輕松拿下超級用戶的權限。

1、防火墻是一個靜態的設備

隨著信息技術的發展與應用,信息安全的內涵在不斷地延伸,從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性,進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術。傳統的信息安全技術都集中在系統本身的加固和防護上,如采用安全級別高的操作系統與數據庫,在網絡的出口處配置防火墻,在信息傳輸和存儲方面采用加密技術,使用集中的身份認證產品等。傳統的信息系統安全模型是針對單機系統環境而制定的,對網絡環境安全并不能很好地描述,并且對動態的安全威脅、系統的脆弱性沒有應對措施,傳統的安全模型是靜態安全模型。但隨著網絡的深入發展,它已無法完全反應動態變化的互聯網安全問題。

傳統的計算機安全模型中,美國國防部NCSC國家計算機安全中心于1985年推出的TCSEC模型是靜態計算機安全模型的代表,也是目前被普遍采用的安全模型。

PPDR模型包含四個主要部分:Policv(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。防護、檢測和響應組成了一個所謂的“完整的、動態的”安全循環,在安全策略的整體指導下保證信息系統的安全。

2、高頻詞“安全木桶”

網絡信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是客戶端用戶系統自身的復雜性和隨意性較強,即使使用一些技術保護也可以說防不勝防。網絡信息安全的木桶原則是指對信息均衡、全面的進行保護?!澳就暗淖畲笕莘e取決于最短的一塊木板”,“安全木桶”這個詞在網絡安全領域是出現頻率非常高的用詞。

但是,依然有相當一部分人認為黑客、病毒、系統加固等就已經涵蓋了信息安全的一切威脅,似乎信息安全工作就是完全在與黑客與病毒打交道,全面系統的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測系統。這種片面的看法對一個組織實施有效的信息安全保護帶來了不良影響,有許多例子都可以舉出來。

3、網絡安全是一種“補充”

多數的企業網絡建設中都會將有限資金放到網絡邊界和基礎設施上,但是對計算機環境尤其是終端安全的資金投入和重視程度不高。這種資金投入的比例嚴重失調必然會造成“短板效應”。

網絡安全是一個系統,它不是防火墻,不是入侵檢測系統,也不是我們虛擬專用網,當然,也不是哪個網管員根據廠商或者網上的一些資料加固系統的范例。

我們常說的訪問控制列表,它能夠基于主機防火墻、文件訪問控制為您提供網絡層面和文件層面的控制,但它不是一個系統。對于一個真正的網絡安全系統,以需要應用特定的威脅防御方法作為技術補充。例如在NTFS文件系統中,如果您針對用戶設置了“讀取訪問權限”,那么這些訪問文件的用戶真的就不能修改這些文件了嗎?答案是否定的。

我們設想一下。如果這個用戶將可讀取的文件存儲為副本,那么這個文件的從屬權是不是已經丟失了。所以。在文件訪問控制列表的基礎上增加數字證書或者水印功能,都是對訪問控制列表的補充應用。

網絡安全加固措施范文5

關鍵詞:智慧城市;智慧徐州;網絡安全;安全防范

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)27-0037-03

Abstract: Network security for the wisdom of Xuzhou Information Resource Hub Project provides e-government LAN access to network security means that part of the application using virtual private network (VPN) technology, security exchange and sharing of the safe and reliable transmission of data. The construction of network security can protect the key application and encryption data of Xuzhou Information Resource Hub Project, enhance the efficiency of data transmission, and support the rapid creation of new security environment to meet the new application process requirements.

Key words: smart city; Xuzhou; network security; security

隨著信息技術的迅速發展,世界各地有競爭力的城市已迎來了數字向智慧城市邁進的大潮。智慧城市建設注重城市物理基礎設施與IT基礎設施之間進行完美結合,旨在改變政府、企業和市民交互的方式,提高明確性、效率、靈活性和響應速度,促進城市內外部信息產生、交流、釋放和傳遞向有序化、高效化發展,關注提高城市經濟和社會活動的綜合競爭力,越來越受到中國各個城市領導者的認同和肯定。

徐州市在“十二五”伊始,深刻認識到智慧徐州建設在提升綜合競爭力、加快轉變經濟發展方式、加強社會建設與管理,解決發展深層次問題等方面的重要作用,將“智慧徐州”建設納入了未來城市發展的戰略主題,希望通過智慧徐州建設,以信息資源整合、共享、利用為抓手,健全公共服務,增進民生幸福,科技創新驅動產業轉型升級,智能手段創新城市管理模式,采約建設實現信息基礎全面領先,為把我市建設成“同類城市中環境最為秀美、文化事業最為繁榮、富民強市最為協調的江南名城”提供有力支撐。

網絡系統作為智慧徐州信息資源樞紐工程及各部門接入的承載,需通過網絡系統進行數據傳輸,規劃一張合理的、高效的、安全的網絡系統能夠有效地保障智慧徐州信息資源樞紐工程能夠安全、穩定、高速地運行。

1 網絡安全建設

由于智慧徐州信息資源樞紐工程的信息資源的高度集中,帶來的安全事件后果與風險也較傳統應用高出很多,因此在建設中安全系統建設將作為一項重要工作加以實施。網絡安全建設應包括以下幾方面:

1.1 安全的網絡結構

安全的網絡結構應該能夠滿足為了保證主要的網絡設備在進行業務處理時能夠有足夠的冗余空間,來滿足處理高峰業務時期帶來的需求;確保網絡各部分的帶寬能夠滿足高峰業務時期的需要;安全的訪問路徑則通過路由控制可以在終端與服務器之間建立;按照提出需求的業務的重要性進行排序來指定分配帶寬優先級別,如果網絡發生擁堵,則優先保護重要的主機;能夠繪制出當前網絡運行情況的拓撲結構圖;參考不同部門之間的工作職能和涉及相關信息的重要程度等因素,來劃分成不同的子網和網段,與此同時在以方便管理和控制的前提下,進行地址分配;重要網段部署不能處在網絡的邊界處而且不能與外部信息系統直接連接,應該采取安全的技術隔離手段將重要網段與其他網段進行必要的隔離。

1.2 訪問控制安全

當在網絡邊界對控制設備進行訪問時,能夠啟動訪問控制功能;對實現過濾信息內容的功能,并且能對應用層的各種網絡協議實現命令級的控制;能自動根據會話的狀態信息為傳輸的數據流提供較為明確的允許或者拒絕訪問的能力,將控制粒度設為端口級;能夠及時限制網絡的最大流量數和網絡的連接數量;當會話結束或非活躍狀態的會話處于一段時間后將終止網絡的連接;要采取有效的技術手段防止對重要的網段地址欺騙;能在遵守系統和用戶之間的訪問規則條件下,來決定用戶對受控系統進行資源的訪問是否被允許或拒絕,同時將單個用戶設置為控制粒度;具有撥號訪問權限的用戶數量受到限制。

在關鍵的位置部署網關設備是實現訪問控制安全的最有效途徑,政務網接入邊界安全網關:為內部區域提供邊界防護、訪問控制和攻擊過濾。

1.3 審計安全

安全審計方面應包括能夠對網絡系統中設備的用戶行為、網絡流量、運行狀況等進行相關的記錄;并且能夠分析所記錄的數據,生成相關的報表;為避免審計記錄受到未預期的修改、覆蓋或刪除等操作,應當安全保護審計記錄。通過防火墻可以實現網絡審計的功能。

網絡的審計安全主要內容有:為能夠有效記錄網絡設備、各區域服務器系統和安全設備等這些設備以及經過這些設備的所有訪問行為,應在這些設備上開啟相應的審計功能,由安全管理員定期對日志信息和活動狀態進行分析,并發現深層次的安全問題。

1.4 檢查邊界的完整性

為對私自聯到內部網絡的非授權設備行為進行安全檢查,邊界完整性檢查要求能夠準確定出其位置,并進行有效的阻斷。

實現邊界完整性檢查的相關技術:

1)制定嚴格的檢查策略,將服務器區域在網絡設備上劃分為具有獨立功能的VLAN,同時禁止除來自網絡入侵防御系統以外的其他VLAN的訪問;

2)為提升系統自身的安全訪問控制能力,應對安全加固服務器系統采取相應措施。

1.5 入侵防范

網絡的入侵防范應能在網絡邊界處監視到木馬后門攻擊、拒絕服務攻擊、IP碎片攻擊、端口掃描、強力攻擊、網絡蠕蟲攻擊和緩沖區溢出攻擊等攻擊行為。當攻擊行為被檢測到時,應能記錄攻擊的時間、源IP、目的和類型,如果發生較為嚴重的入侵事件,應及時提供警報信息。通過前置防火墻實現入侵防御的功能。

1.6 惡意代碼防范

在網絡邊界處檢測和清除惡意代碼,對惡意代碼數據庫的升級和系統檢測的更新等,是惡意代碼防范的范疇。目前,主要是通過網絡邊界的安全網關系統防病毒模塊來檢測和清除系統漏洞類、蠕蟲類、木馬類、webcgi類、拒絕服務類等一系列惡意代碼進行來實現惡意代碼防范的技術。

1.7 網絡設備的安全防護

網絡設備的安全防護要求能夠限制網絡設備管理員的登錄地址;在網絡設備用戶的標識唯一的伯伯下,要能鑒別出登錄用戶的身份;主要網絡設備對同一用戶進行身份時鑒別時,應當選擇幾種組合的鑒別技術來鑒別,避免只使用一種鑒別技術;鑒別身份的信息應不易被冒用,網絡口令應定期更換而且要有一定的復雜度,不易破解;當登錄失敗時,能自動采取限制登錄次數、結束會話和當網絡登錄連接超時自動退出等相應措施;當網絡設備被用戶遠程管理時,能夠有防止網絡傳輸過程的鑒別信息被竊聽的相關措施。

網絡設備安全防護的技術實現主要是通過提供網絡設備安全加固服務,根據前面的網絡結構分析,系統采用若干臺核心交換機、匯聚交換機和接入交換機,實現各個安全區域的連接。

對于網絡設備,應進行相應的安全加固:

1)將樓層接入交換機的接口安全特性開啟,并將MAC進行綁定。

2)關閉不必要的服務,包括關閉CDP、Finger服務、NTP服務、BOOTp服務(路由器適用)等。

3)登錄要求和帳號管理,包括采用enable secret設置密碼、采用認證、采用多用戶分權管理等。

4)SNMP協議設置和日志審計,包括設置SNMP讀寫密碼、更改SNMP協議端口、限制SNMP發起連接源地址、開啟日志審計功能。

5)其它安全要求,包括禁止從網絡啟動和自動從網絡下載初始配置文件、禁止未使用或空閑的端口、啟用源地址路由檢查(路由器適用)等。

2 網絡安全防護

邊界防護:在智慧徐州信息資源樞紐工程的邊界設立一定的安全防護措施,具體到智慧徐州信息資源樞紐工程中邊界,就是在平臺的物理網絡之間,智慧徐州信息資源樞紐工程的產品和邊界安全防護技術主要采用交換機接入、前置防火墻及網閘。

區域防護:比邊界防護更小的范圍是區域防護,指在一個區域設立的安全防護措施,具體到智慧徐州信息資源樞紐工程中,區域是比較小的網段或者網絡,智慧徐州信息資源樞紐工程的區域防護技術和產品采用接入防火墻。

節點防護:節點防護主要是指系統健壯性的保護,查堵系統的漏洞,它已經具體到其中某一臺主機或服務器的防護措施,建議智慧徐州信息資源樞紐工程中的產品和節點防護技術都應采用病毒防范系統、信息安全檢查工具和網絡安全評估分析系統等。

3 網絡高可用

在智慧徐州信息資源樞紐工程網絡建設中,網絡設備本身以及設備之間的連接都具非常高的可靠性。為了保障智慧徐州信息資源樞紐工程網絡的穩定性,在智慧徐州信息資源樞紐工程核心網絡部分,核心交換機、接入防火墻等設備全部采用冗余配置,包括引擎、交換網、電源等。所有的連接線路全部采用雙歸屬的方式,包括與電子政務局域網互聯,與服務器接入交換機互聯。在數據應用區,服務器通過雙網卡與服務器接入交換機互聯,保障了服務器連接的高可靠性。

4 數據安全

4.1 數據安全建設

數據的安全是整個安全建設中非常重要的一部分內容。數據的安全建設主要涉及數據的完整性、數據的保密性以及數據的備份和恢復。對于系統管理、鑒別信息和重要業務的相關數據在存儲過程中進行檢測,如檢測到數據完整性有錯誤時采取必要的恢復措施,并且能對這些數據采用加密措施,以保證數據傳輸的保密性。

對于資源共享平臺系統的數據安全及備份恢復要求如下:

1)對于鑒別信息數據存儲的保密性要求,均可以通過加強物理安全及網絡安全,并實施操作系統級數據庫加固的方式進行保護;

2)對于備份及恢復要求,配置了備份服務器和虛擬帶庫對各系統重要數據進行定期備份;

3)需要通過制定并嚴格執行備份與恢復管理制度和備份與恢復流程,加強各系統備份恢復能力。

4.2 數據安全加密傳輸(VPN)

針對數據傳輸的安全性,部分接入部門到智慧徐州信息資源樞紐工程的數據進行VPN加密傳輸。接入部門和平臺兩端之間運行IPSec 或SSL VPN協議,保證數據在傳輸過程中的端到端安全性。

4.3 數據交換過程的安全保障

平臺數據交換過程的安全保障主要指信息在交換過程中不能被非法篡改、不能被非法訪問、數據交換后不能抵賴等功能。

平臺業務系統在傳遞消息的過程中可以指定是否采用消息內容的校驗,校驗方法是由發送消息的業務系統提供消息的原始長度和根據某種約定的驗證碼生成規則(比如 MD5 校驗規則)生成的驗證碼。

4.4 數據交換接口安全設計

平臺提供的消息傳輸接口支持不同的安全標準。對于對安全性要求比較高的業務系統來說,在調用平臺的Web Service接口時使用HTTPS 協議,保證了傳輸層面的安全;而對于安全性不那么重要,只想通過很少的改動使用平臺功能的業務系統來說,可以簡單的通過HTTP方式調用平臺的Web Service接口進行消息的傳輸。

5 安全管理體系建設

在智慧徐州信息資源樞紐工程安全保障體系建設中,應該建立相應的安全管理體系,而不是僅靠技術手段來防范所有的安全隱患。安全建設的核心是安全管理。在安全策略的指導下,安全技術和安全產品的保障下,一個安全組織日常的安全保障工作才能簡明高效。

完整的安全管理體系主要包括:安全策略、安全組織和安全制度的建立。為了加強對客戶網絡的安全管理,確保重點設施的安全,應該加強安全管理體系的建設。

5.1 安全策略

安全策略是管理體系的核心,在對信息系統進行細致的調查、評估之后,結合智慧徐州信息資源樞紐工程的流程,制定出符合智慧徐州信息資源樞紐工程實際情況的安全策略體系。應包括安全方針、主策略和子策略和智慧徐州信息資源樞紐工程日常管理所需要的制度。

安全方針是整個體系的主導,是安全策略體系基本結構的最高層,它指明了安全策略所要達到的最高安全目標及其管理和適用范圍。

在安全方針的指導下,主策略定義了智慧徐州信息資源樞紐工程安全組織體系及其崗位職責,明確了子策略的管理和實施要求,它是子策略的上層策略,子策略內容的制定和執行不能與主策略相違背。安全策略體系的最低層是子策略,也是用于指導組成安全保障體系的各項安全措施正確實施的指導方針。

5.2 安全組織

由于智慧徐州信息資源樞紐工程信息化程度非常高,信息安全對于整個智慧徐州信息資源樞紐工程系統的安全建設非常重要。因此,需要建立具有適當管理權的信息安全管理委員會來批準信息安全方針、分配安全職責并協調組織內部信息安全的實施。建立和組織外部安全專家的聯系,以跟蹤行業趨勢,監督安全標準和評估方法,并在處理安全事故時提供適當的聯絡渠道。

5.3 安全制度

智慧徐州信息資源樞紐工程對于安全性要求非常高,因此安全制度的建立要求也很嚴格。由管理層負責制定切實可行的日常安全保密制度、審計制度、機房管理、操作規程管理、系統管理等,明確定義日常安全審計的例行制度、實施日程安排與計劃、報告的形式及內容、達到的目標等。

智慧徐州信息資源樞紐工程建成后,需要針對各系統制定完善的動作體系,保證系統的安全運行。

參考文獻:

[1] 吳小坤,吳信訓.智慧城市建設中的信息技術隱患與現實危機[J].科學發展,2013(10):50-54.

[2] 婁歡,竇孝晨,黃志華,等.智慧城市頂層設計的信息安全管理研究[J].中國管理信息化,2015(5):214-215.

[3] 趙軍.信息安全體系下的東營智慧城市建設研究[J].中國安防,2014(9):84-89.

網絡安全加固措施范文6

【關鍵詞】4G移動通信;無線網絡;安全問題;防護措施

一、引言

網絡通訊的安全一直是保證移動無線通信系統的價值的重要影響因素,因此,對于4G移動通信的無線網絡安全問題的研究一直是業內人士研究的主要課題之一。雖然對于4G通信的無線網絡安全問題研究已經十分重視,但是在實際操作過程中,其仍然存在很多的安全問題,給無線網用戶的經濟利益或者個人隱私帶來了嚴重的威脅,必須采取相應的措施來最大限度地提高安全性,從而保證用戶的用網安全。

二、4G移動通信無線網絡安全問題分析

4G無線網絡是通信系統的基本類型之一,其組件包括無線核心網、終端、無線接入網和IP骨干網這幾個主要部分。因為4G無線網絡系統組件的多樣化,所以其網絡安全問題也比較復雜,另外4G無線網絡與互聯網兩者之間的安全風險在4G系統中可以共存,這就造成了對于4G移動通信無線網絡的安全保護工作更加困難。目前,比較常見的4G移動通信無線網絡安全問題主要包括以下幾個方面:首先4G移動通信無線網絡一個最基本的特征就是其應用過程中可以共存和融合,簡而言之,就是無線網用戶可以自由切換任何網絡系統,因此基于這種情況,可以說4G移動通信無線網絡受到無處不在的安全威脅。其次,在4G移動通信無線網絡的實際使用之中,不僅需要提供的充分有效的QoS,而且還必須能夠有效連接異構非IP網絡,這些條件只有能夠同時得到滿足才能在一定程度上保障用戶網質量的同時保證其安全,一旦不能同時滿足,其必然在使用該過程將面臨更多的安全隱患。再者,4G移動通信的無線網絡主要有體系協議以及各種安全機制共同組成,不同的無線網絡必然存在一定的差異性,因此在網絡融合過程中會產生相關的安全威脅以及容錯性。除此以外,4G移動通信的無線網絡系統具有支持無線應用的功能,必然說如電子郵件、電子商務等等網絡應用,如果這些無線應用程序本身在程序中存在漏洞或安全隱患,那么用戶在使用4G無線通信網絡時其網絡安全將受到巨大的威脅。

三、關于4G移動通信的無線網絡安全防護措施

3.1保護好移動終端的防護措施

對于4G移動通信無線網絡的移動終端安全的保護,主要包括兩個方面,第一個方面就是要保護好無線網絡系統的硬件。對于硬件的保護,首先要對4G網絡的操作系統進行加固,換句話說,即通過使用安全可靠的操作系統,從而支持實現系統的諸多功能,具體包括訪問混合控制功能、驗證遠程功能等等;其次還要改進系統的物理硬件集成方式,確??梢詼p少可能遭受攻擊的物理接口數量。另一方面,就是通過電壓以及電流檢測電路的增設,以達到檢測并保護網絡電路的目的,重發一次,對網絡物理攻擊進行防護,與此同時還可以通過使用存儲保護,完整性測試及可信啟動等方式實現對移動終端的保護。

3.2保護好無線接入網的安全措施

(1)安全傳輸,可以通過結合4G移動通信的無線網絡的業務需求,并采用對無線接入網和移動終端設置加密傳輸功能的方式,在用戶的計算機和無線網絡中自動選擇通信模式,從而提高無線網絡的安全傳輸性能。(2)安全訪問,利用輔助安全設備以及有針對性的安全措施,以防未經驗證信任的移動終端連接到4G無線網絡。(3)統一審計和監控,根據實際情況建立統一的審計監控系統,隨時監控和記錄移動終端的異常行為,以確保無線網絡的可靠性。(4)安全數據過濾,對包括視頻媒體等數據的過濾,從而保證內部網絡系統的安全。(5)身份認證,通過構建無線接入網與移動終端之間的雙向身份認證提高安全系數。

3.3建立安全體系機制

通過充分考慮4G移動通信的無線網絡系統的安全性、可擴展性等等特性,從而建立4G無線通信安全體系機制。具體的操作如下,首先基于多策略機制采用不同的無線網絡安全防護方法應用在不同的使用場合;其次則上建立適當的配置機制,確保移動終端配置的安全,換句話說用戶可以根據個人需要選擇合適的移動終端安全措施;再者就是建立可協商措施,使網絡使用更加流暢;除此之外在整合部分安全機制的情況下,還能夠以構建混合策略系統方式保護網絡通信安全。

四、結束語

在本文中,通過討論4G通信的無線網絡的安全問題,從而提出針對的無線網絡安全防護措施。目前,4G無線通信技術仍在不斷的完善和更新,其應用前景十分美好,通過對其安全的提高,必然會在將來的應用中發揮出更大的價值。

參考文獻

[1]劉巧平,周斌,于丹,杜曉鴿.4G網絡的安全問題與對策研究[J].計算機技術與發展,2016,26(07):85-88.

亚洲精品一二三区-久久