关键词:网络安全;防火墙;技术特征
21世纪全世界的计算机都通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国应建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了。第二,网络的安全机制与技术要不断地变化。第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此,建立有中国特色的网络安全体系,需要国家政策和法规的支持及安全产品生产集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1 网络安全现状
由于政务网、商务网所有业务应用系统都基于一个企业网络系统实现,因此,应用与应用之间难以有效地隔离;同时,用户情况复杂,有的用户属于重要应用岗位,有的属于一般岗位。虽然这些用户对应用的安全服务要求不同,但他们均混杂在一个局域网络,因此对用户较难以分别控制。此外,政务网、商务网应用是基于开放的平台实现的,开放系统平台和开放的通讯协议存在安全缺陷及漏洞,同时也造成了这些应用存在着安全上的隐患。总之,各种应用之间可能存在信息非法访问、存取的机会,这都给政务网、商务网的信息应用的安全运行带来巨大的风险。这些风险包括用户对信息的误用、滥用、盗用以及破坏。对于政务网、商务网等信息应用系统来说,面临的攻击、威胁的主要手段有:病毒、破坏硬件设备、冒充、篡改、窃取等。在网络系统中,无论任何调用指令,还是任何反馈均是通过网络传输实现的,所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保政务网、商务网网络信息的传输安全,主要应注意对网络上信息的监听。对网上传输的信息,攻击者只需在网络的传输链路上通过物理或逻辑的手段,就能对数据进行非法的截获与监听,进而获得用户或服务方的敏感信息。计算机网络上的通信面临以下四种威胁:截获——从网络上窃听他人的通信内容。中断——有意中断他人在网络上的通信。篡改——故意篡改网络上传送的报文。伪造——伪造信息在网络上传送。
2 网络安全管理监控
信息系统安全性起于好的管理。这包括检查所有重要文件和目录的所有者和许可权限,监视特权账户的使用,检查信息的使用及占有情况等。在一个信息系统运行中,影响系统安全的因素很多,但其中50%与管理因素有关。政务网、商务网信息系统较为复杂,一旦信息处理的某个节点或环节出现问题,很可能导致信息系统降低效率或瘫痪。而信息系统单纯依靠人工管理存在较大困难和诸多安全隐患,因此,需要一种手段和技术来保证信息系统的可管理性,并减少信息系统维护的费用。在政务网、商务网等信息系统中,分布式结构和网络计算占了重要地位。随着信息系统规模的扩大,我们会发现一个问题,就是策略的统一性、连续性。我们知道,对于政务网、商务网而言,整个信息系统是一个整体,想保证整体系统的可靠性、可用性和安全性,那么必须保持每一个局部的网络或者主机的安全性和可靠性。现在很多安全方面的隐患是由于整体信息系统的策略实施的不统一造成的。因此,当政务网、商务网制订了企业的整体安全策略时,除了通过规章制度把这些想法传达下去,还要具备相应的技术手段来保证这一点。
对于政务网、商务网这样的用户必须建立一个集中式管理的概念,就是数据和处理能力可以是分散的,但对于管理而言,应该是集中的。而所管理的内容应该包括企业网络中一些重要的信息,如:系统的集中管理、网络的集中管理、应用的集中管理、防火墙系统的集中管理、网络用户的集中管理,以及和这些相关的管理信息的复制、更新和同步。
3 防火墙技术及其发展趋势
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。此外,还有多种防火墙产品正在朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破,并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析、芯片解决计算加速技术,防火墙必将以软硬兼施的方案为用户的应用提供更安全的保障。而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作,形成以芯片技术为主导的全系列硬件型安全网关。防火墙下一步的发展与中国下一代网络的建设紧密相关,如IPv6网络、P2P应用、3G、4G网络等等。这里特别强调的是防火墙与IPv6。由于IPv6网络的新特性,如端到端的连接、移动IP的处理、内嵌IPSec、路径MTU探测等,给防火墙带来新的安全挑战。防火墙不仅要及时适应IPv6网络的发展,并解决IPv6引入后带来的新问题,同时,由于IPv6与IPv4网络长期共存,网络必然会同时存在IPv4的安全问题与IPv6的安全问题,或由此造成新的安全问题。下一步要考虑的,不仅仅是更适应于网络发展的防火墙模型,可能还会包括网络安全防范与评估方法等。在Internet无所不在的理念下,防火墙等网络安全产品也必将站在可信赖应用与计算环境为基础的角度上设计并解决安全问题。当前基于不同架构设计实现的防火墙都将面临巨大的挑战,为此付出的代价也将是不同的。防火墙技术和产品已经相对成熟,但还存在一定的技术局限性,防火墙仍不能完全满足用户的需求。网络攻防是一对矛盾,用户需求激发技术创新,网络与应用也在日新月异,在关键处理技术上实现创新,并对防火墙在各种网络环境中的实际应用、稳定性与易用性,以及整体网络安全解决方案进行研究,一直会是防火墙技术的重要内容。因此,防火墙技术将持续快速发展,技术突破将必然带来新的天地。
4 结论
计算机网络安全是在攻击和防御的技术和力量此消彼长中的一个动态过程。根据前面的分析,当前的网络安全具有很多新的特点,整体的状况不容乐观。网络安全企业和专家应该从这些特点出发,寻找更好的解决之道。
无论是教学目标的要求,还是社会的发展需要,网络工程的教学工作都要将学生动手能力以及实际操作能力作为根本的培养目标,不仅要革新教学理念,更要不断的引进先进的教学方法,让学生在虚拟的条件下切实的感受到网络命令的作用,从而提高教学效果。仿真的网络环境,具有较低的经济投入,不仅可以对计算机网络的参数进行配置,还可以为学生提供一个操作简单的实践环境,通过仿真器的网络搭建,造就了完美的仿真软件,提供了生动的仿真平台,使得计算机网络中的各种算法。协议以及数据交换的过程能够更加真实生动的展示在学生面前,使得抽象难懂的模拟协议变得通俗易懂,增强了学生的理解能力,获得更好的应用体验效果。
2Ping命令
2.1参数功能
网络的安全性是整个计算机系统的重要环节,对网络环境的稳定性有着关键的影响,目前常见的网络系统配备的都是Ping命令,这种命令使用的正确与否关系着软件资源能否被正确识别、关系着软件的不足能否得到及时的弥补以及能否及时的排除系统的故障,保证系统的正常运行。在计算机的网络系统中,Ping命令主要用来发出或者对接收进来的DOS命令做出响应,可以是应发出者的要求发送出同等大小的数据包,也可以根据数据的传递与使用判断主机的位置,进而对操作系统做出判断,其基本的参数功能便是能够根据主机与路由器的提示进行网络运行状态的检测、网络通达性的测试以及系统的故障检测与报告,正是这些参数功能的存在,保证了其完成任务效率与质量,对计算机网络的构建与发展做出了巨大贡献。
2.2功能分析
由于ping命令多功能性,所以其常常被用来替代专业的网路测试,进而实现对于系统的监控。在进行网络测试的过程中,ping命令会通过一级ARP命令查看系统的IP,如果能够顺利的拼出系统的地址信息,则表示适配器工作正常,反之则表示网络出现了故障,同时在网络故障的条件下,保证本机主卡的运行状态;其次,则是查看本地循环的IP地址,如果不能够顺利进行,则表示本地的网络出现了故障,本地的IP没有处于正常的工作状态;最后,便是对DNS进行测试,如果在检测的时候不能够顺利的连接到这台主机,则表示网络检测工程可能存在着故障。在对网络系统进行检测的过程中,可能会出现因为网络环境的差异性诊断工具无法生效的情况,这就需要从ping命令着手,对故障进行检测与排查。其需要首先保障主机的正常运行,在确定没有安全设置的限制条件下,便可以开始使用ping命令进行特殊故障的排查了,当然首先便是使得ping命令能够ping通,如果不能够ping通,则表示网卡已经损坏了;此时便可以通过设备管理器打开网卡,通过鼠标右键的方式查看网卡的运行状态;在网卡正常工作的条件下,则表示工作站的程序受到了破坏,以此来对故障进行定位与推断。
3其他的网络命令
在网络系统的创建使用过程中,除却Ping命令还有较常见的Tracert命令、ARP命令、Netstat命令以及SOCKE命令。Tracert或者说跟踪路由命令是比较实用的跟踪追踪程序,是对IP数据进行访问的实用方法;Netstat命令的主要功能便是对路由表、网络连接状态以及网络接口等基本的信息进行显示,并保障早信息传递的过程中用户能够正常的使用网络;ARP命令多用于确定物理地址,看到本机或者其他计算机的缓冲内容。Socke编程或者开发命令,能够通过Socket技术实现对于计算机的高水平管理,作为应用层与通信协议之间相互联系的中间软件,其利用一连串的接口来工作,并通过将设计模式隐藏在接口的后面来适应协议的要求,并通过C/S模式来进行初始化,在监听的同时保障客户端的连接,从而实现网络在故障检测的过程中的正常使用。
4结语
【关键词】内部网络;外部网络;安全计算机技术;信息技术
随着当前社会和科学技术的不断发展和应用,网络化通信已成为信息发展的中心,是推动社会进步,存进社会发展的主要手段。互联网,因特网的不断利用为当前各种先进技术和信息的交流打下了基础,为当前社会发展过程中的各种应用手段提供了前提,更为企业在市场发展中的市场认识和市场变动奠定了认知基础和前提。在当前科学技术飞速发展中,网络技术可以说是已成为当前各个国家,各个地区应用的主要手段,早已覆盖了整个世界的各个角落,成为各行各业发展的重点和主要手段。但是随着社会发展中,网络通信技术中的各种问题和隐患也逐步的成为影响通信良好发展的前提基础,更是影响社会因素健康发展的前提基础,在这些隐患和问题中以网络安全隐患和故障为最,是当前信息影响的主要因素和方式。
1、网络防火墙安全问题
网络就好比是一座城市,是一个综合的大型城市,其中存在着各种问题和因素,也存在着诸多的影响和制约关键。网络在刚开始成型的过程中就如同是一座不设防的城市,其在使用的过程中受到各种严重的攻击与侵害,是影响网络安全,制约网络信息传输速度和计算机运行功率。在当前构成网络安全隐患的主要因素和方式有木马、病毒和蠕虫。在这三种职业因素中,蠕虫利用应用最广的电子邮件上的漏洞,在网上猖狂传播,对网络传递中的各种文件进行无休止和耗费和占用用户的存储空间,进而控制其服务器的手段。木马是当前计算机网络使用过程中的重要手段,是潜伏在网站和计算机中,在不备的时候窃取各种信息资源和资料,是当前黑客在攻击的过程中主要的使用手段和方式,更是其而已控制和截取各种资料的关键所在。至于病毒,是通过人为手段编写出各种恶性程序来影响计算机运行和信息传递的过程,进而造成计算机网络的瘫痪。
2、防火墙功能概述
防火墙是一个保护装置,是当前计算机网络使用过程中的主要防护措施和防御工具,是对带各种安全隐患和恶意攻击的主要手段和保证基础。通常是指运行特别编写或更改过操作系统的计算机,它存在的主要作用和目的是保护计算机使用过程中的内部网络安全和网络访问中的各种畅通运行的目标。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,更是对多个网络故障和网络进行保护和共同利用的过程。它主要的保护就是加强外部Internet对内部网的访问控制,通过畅通和允许其安全性的各种访问手段和措施保护计算机的使用流程,是通过对各种恶性网络连接的组织行为。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。在当今,随着网络化的发展,我们总结对计算机网络的入侵和攻击,其主要的方式和基本手段可以归纳为以下几种:①黑客入侵;②计算机病毒的攻击;③信息的泄露、盗取和破坏;④是计算机使用的过程中内外部人员相互攻击的过程和手段⑤线路连接过程中被有心人利用和干扰,形成信息的泄露和窃听,⑥拒绝服务或注入非法信息;⑦修改或删除关键信息;⑧在计算机使用的时候由于身份截取或称为攻击的目标,⑨人为地破坏网络设备,造成网络瘫痪。在这些因素和安全隐患形成的过程中主要的形成原因在于:①局域网存在的缺陷和Internet的脆弱性;其中存在着各种防范失误和防范安全意识的不够强。②薄弱的网络认证环节和系统易被监视性;③在各种软件和网络服务器设置中存在着严重的漏洞,这些漏洞为各种有心人打下了基础,造就了侵入前提。④缺少准确的安全策略和安全机制;⑤网络安全技术、工具、手段和产品等落后了,没有跟上科技的发展;⑥在计算机使用的时候没有形成先进的备份和系统恢复理念,使得容易受到各种因素的影响造成在使用中的隐患因素。⑦主机的复杂设置和复杂控制;⑧没有认真对待黑客和病毒对计算机的危害和对自己通信技术在使用中的安全隐患,造成在使用中各种问题和物力浪费。只要我们充分认识安全问题的严重性,严格按照安全规则处理,增加网络在使用的过程中各种防范措施和安全性就能够在使用的过程中设置出良好的防护体系。
3、防火墙主要技术特点
在当前社会发展的过程中,随着人们对网络安全意识的不断加深,防火墙在使用和研究的过程中也逐步的朝着新阶段进行,成为当前网络安全的重要保护手段。当前的网络安全控制手段和控制过程中主要是通过对网络数据的控制、过滤为基础进行网络安全的保护和防范措施。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略是通过这种策略进行网络信息安全传递的过程和技术手段,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
4、网络服务访问策略
网络服务访问策略是当前网络安全保障的前提和基础,是通过其对计算机网络安全进行相应保护的重要手段,是当前社会发展中对网络安全的高层次、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还通过在当前使用的过程中各种拨号手段和保护措施是还有段进行相关的访问和保护应用前提。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。是当前网路防火墙安全使用过程中的相应保护手段和保护方法。
5、防火墙的设计策略
防火墙是要根据实际应用和相应的规章制度来设计并实施网络服务的访问策略。是以过滤和控制网络数据为基础的。
6、设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;提供的一些保护措施有时能能否导致一些负面影响,如网络使用中打不开网站、无法顺利下载、不能传输文件等等。这就要求我们的设计者来考虑负面影响会有多大,是否值付出这种代价;站点的安全性和可用性相比较,怎样取舍等。
【关键词】计算机网络;信心安全;问题与现象;防护对策
1、我国网络的发展与计算机安全防护系统的发展
网络信息安全与计算机安全防护系统的开发与发展。随着我国改革开发程度的不断加深,网络信息技术已经全面融入到人们的生活中了,并且在网络技术进步的同时,计算机各种程序的开发运用随之进步,嵌入式的计算机程序与软件在网络用户中广泛传播,通过编程与计算将网络运营商的计算机软件系统应用于个人计算机中,大大方便了网络用户的使用,减少了在搜索以及缓冲上所浪费的时间,是网络发展的一个里程碑。但是随着时间的流失,这种计算机软件编程中存在的问题暴露出来,严重影响了计算机网络信息安全,需要人们进行反思与思考。
2、分析影响我国计算机网络信息安全的问题与现象
2.1互联网本身存在着威胁,影响计算机安全防护功能。互联网本身作为一个用户交流体验平台,是开放式的交流系统,本身的安全维护系统很薄弱,对现有的互联网威胁很难起到根本性的作用,使得网络危险威胁到了网络用户的计算机。互联网的网络协议在设计时的目的只是为了进行更方便的用户体验,而对互联网本身方面考虑不全。随着网络技术的快速发展,网络协议的漏洞也随之显现出来,互联网的用户急剧增加,导致网络用户信息膨胀,不良信息与病毒流入到用户的计算机中,严重威胁到了计算机网络信息安全。
2.2网络用户不注意对计算机安全防护系统的日常使用与维护,影响了计算机安全防护系统的正常使用。网络与计算机安全防护系统的主体是广大网络用户们,因为用户的不同心理与需求,使得用户在计算机安全防护系统界面中的操作行为也是各种各样的,部分用户的行为就会造成对计算机安全防护系统的严重伤害。而且用户的行为是难以预测的,在计算机安全防护系统系统的使用过程中,总会有难以预测的情况发生,导致计算机安全防护系统的部分功能丧失,直接造成计算机网络信息安全受到威胁。
3、探究应对网络信息安全问题的防护对策
3.1完善计算机安全防护系统的技术手段。个人计算机安全防护系统的技术系统,包括网络用户的访问控制程序,网络用户个人信息的加密程序,防毒防火墙技术程序,以及扫描漏洞的防漏程序。通过这几项技术能够很好的管理与保护用户的计算机网络信息安全。
用户访问控制程序,是计算机安全防护系统进行安全维护的第一项功能,它能够辨别用户是否有资格使用该计算机安全防护系统,通过对网络用户身份的验证,确定是否是正常使用,对保护用户的个人使用功能起到了很好的作用,并且从源头很好的实现了对计算机安全防护系统的管理与控制,从根本上保证了计算机网络信息安全。
计算机安全防护系统的信息加密技术,这是应对网络黑客对个人计算机的网络信息进行盗窃的一种安全手段,通过在计算机安全防护系统中实施加密技术,可以防止计算机中用户的实用信息遗漏,保护了用户体验的私密性,防止不法分子对计算机网络信息安全的破坏,保护了用户的计算机,是非常稳固与常用计算机网络信息安全防护手段。
反毒防火墙技术,这是在网络安全与计算机安全防护系统卫士中最常用的管理手段,是真正将计算机安全防护系统的使用与外部互联网分割的网关,是保护计算机安全防护系统使用正常的重要手段,能够时刻监控越过防火墙的病毒与不良信息,保护计算机安全防护系统免受病毒的侵害,可以说反毒与防火墙技术是保护计算机网络信息安全的重要技术,让计算机安全防护系统做到独立存在。最后是计算机安全防护系统自带的漏洞防护扫描的技术,在计算机安全防护系统运转到一定的程度与时间时,计算机安全防护系统的自身会受到一些损坏,出现管理bug,这时要进行计算机安全防护系统的漏洞扫描,并对出现的bug进行修复,保护计算机安全防护系统的核心完整,提高网络用户的信息安全程度。
3.2加强对计算机安全防护系统的周期性检查与维护管理。计算机安全防护系统在运行过程中进行不断地运算与运行,在经过一段时间后,自身的系统会出现bug与错误,影响计算机安全防护系统的使用,所以要通过对计算机安全防护系统的周期性管理与更新,来达到有效管理计算机安全防护系统的目的。网络用户在使用计算机安全防护系统的过程中要认识到,周期性的维护会完善计算机安全防护系统的使用,满足网络用户的网络需求,所以日常使用计算机安全防护系统的过程中,定时清理垃圾与缓存,是很好的维护手段,是保证计算机安全防护系统正常使用的重要手段,也是保障计算机网络信息安全的重要渠道。
4、结束语
现如今的计算机技术与多媒体信息技术飞速发展,人们对于计算机安全防护系统的了解与认识也得到了大幅度的提高,但是网络管理与维护问题是影响计算机网络信息安全的一大障碍。近年来这类问题愈发严重,我们必须要做好对计算机安全防护系统的各种安全措施与维护手段,保证计算机安全防护系统的正常使用。
【参考文献】
[1]卢振侠,申继年,倪伟.局域网组建、管理与维护职业教程[M].电子工业出版社,2010.
关键词:通信网络;安全现状;防护措施;新业务网络
1 通信网络面临的安全形势
随着通信网络各种数据业务的快速发展,用户数量呈现高速增长,在互联网快速发展的同时安全事件也层出不穷、黑色产业链日益成熟、攻击行为组织化、攻击手段自动化、攻击目标多样化、攻击目的趋利化等特点明显。目前,通信网络的安全现状呈现出以下的一些趋势:
⑴网络IP化、设备IT化、应用Web化使电信业务系统日益开放,业务安全漏洞更加易于利用。针对业务攻击日益突出,电信业务系统的攻击越来越趋向追求经济利益。
⑵手机终端智能化带来了恶意代码传播、客户信息安全及对网络的冲击等安全问题。
⑶三网融合、云计算、物联网带来的网络开放性、终端复杂性使网络面临更多安全攻击和威胁;系统可靠性以及数据保护将面临更大的风险;网络安全问题从互联网的虚拟空间拓展到物理空间、网络安全和危机处置将面临更大的挑战。
⑷电信运营企业保存的客户信息(包括订购关系)日益增多,客户信息的流转环节不断增加,也存在SP等合作伙伴访问客户信息的需要、泄露、篡改、伪造客户信息的问题日益突出。
⑸电信运营企业内部人员,第三方支持人员SP等利用拥有的权限以及业务流程漏洞,实施以追求经济利益为目的的犯罪。
2 通信网络的安全防护措施
2.1 移动互联网安全防护
移动互联网把移动通信网作为接入网络,包括移动通信网络接入、公众互联网服务、移动互联网终端。移动互联网面临的安全威胁主要来自终端、网络和业务。终端的智能化带来的威胁主要是手机病毒和恶意代码引起的破坏终端功能、窃取用户信息、滥用网络资源非法恶意订购等。网络的安全威胁主要包括非法接入网络、进行拒绝服务攻击、跟踪窃听空口传输的信息滥用网络服务等。业务层面的安全威胁包括非法访问业务、非法访问数据、拒绝服务攻击、垃圾信息的泛滥、不良信息的传播、个人隐私和敏感信息的泄露等针对以上安全威胁,应在终端侧和网络侧进行安全防护。
2.1.1终端侧
主要增强终端自身的安全功能,终端应具有身份认证、业务应用的访问控制能力,同时要安装手机防病毒软件。
2.1.2网络侧
针对协议漏洞或网络设备自身漏洞,首先要对网络设备进行安全评估和加固,确保系统自身安全。其次。针对网络攻击和业务层面的攻击应在移动互联网的互联边界和核心节点部署流量分析、流量清洗设备、识别出正常业务流量、异常攻击流量等内容,实现对DDoS攻击的防护。针对手机恶意代码导致的滥发彩信、非法联网、恶意下载、恶意订购等行为,应在网络侧部署恶意代码监测系统。在GGSN上的Gn和Gp口通过分光把数据包采集到手机恶意代码监测系统进行扫描分析,同时可以从彩信中心获取数据,对彩信及附件进行扫描分析,从而实现对恶意代码的监测和拦截。见图 1
图1在网络侧部署恶意代码监测系统
2.2 核心网安全防护
⑴软交换网安全防护。软交换网需要重点防范来自内部的风险,如维护终端 、现场支持、支撑系统接入带来的安全问题。重点防护措施可以包括:在软交换网和网管、计费网络的连接边界、设置安全访问策略、禁止越权访问。根据需要,在网络边界部署防病毒网关类产品;以避免蠕虫病毒的蔓延、维测终端、反牵终端安装网络版防病毒软件,并专用于设备维护。
⑵GPRS核心网安全防护。GPRS系统面临来自GPRS用户、互联伙伴和内部的安全风险。GPRS安全防护措施对GPRS网络划分了多个安全域,例如Gn安全域,Gi安全域,Gp安全域等,各安全域之间LAN 或防火墙实现与互联网的隔离;省际Gn域互联Gp域与其它PLMNGRPS网络互联,以及Gn与Gi域互联时,均应设置防火墙,并配置合理的防火墙策略。
⑶3G核心网安全防护,3G核心网不仅在分组域采用IP技术,电路域核心网也将采用IP技术在核心网元间传输媒体流及信令信息,因此IP网络的风险也逐步引入到3G核心网之中。由于3G核心网的重要性和复杂性,可以对其PS域网络和CS域网络分别划分安全域并进行相应的防护。例如对CS域而言,可以划分信令域、媒体域、维护OM域、计费域等,对于PS域可以分为Gn/Gp域、Gi域、Gom维护域、计费域等,对划分的安全域分别进行安全威胁分析并进行针对性的防护 重要安全域中的网元之间要做到双向认证,数据一致性检查,同时对不同安全域要做到隔离,并在安全域之间进行相应的访问控制。
2.3 支撑网络安全防护
支撑网络包括网管支撑系统、业务支撑系统和管理支撑系统。支撑网络中有大量的IT 设备、终端、面临的安全威胁主要包括病毒、木马、非授权的访问或越权使用、信息泄密、数据完整性破坏、系统可用性被破坏等。
支撑网络安全防护的基础是做好安全域划分、系统自身安全和增加基础安全防护手段。同时,通过建立4A系统,对内部维护人员和厂家人员操作网络、业务
系统、网管系统、业务支撑系统、OA系统等的全过程实施管控。对支撑系统进行区域划分,进行层次化,有重点的保护是保证系统安全的有效手段。安全域划分遵循集中化防护和分等级防护原则,整合各系统分散的防护边界,形成数个大的安全域,内部分区控制,外部整合边界,并以此为基础集中部署安全域内各系统共享的安全技术防护手段,实现重兵把守、纵深防护。
4A系统为用户访问资源,进行维护操作提供了便捷、高效、可靠的途径,并对操作维护过程进行实时日志审计,同时也为加强企业内部网络与信息安全控制、 满足相关法案审计要求提供技术保证。图2为维护人员通过登录4A系统后访问后台设备的示意图。
图2维护人员通过登录4A系统后访问后台设备的示意
4A系统作为用户访问后台系统的惟一入口,可以实现对系统维护人员、用户的统一接入访问控制授权和操作行为审计、对于防止违规访问敏感信息系统和在访问之后进行审计提供非常重要的管控手段。
3 重要系统的安全防护
3.1 Web网站安全防护
随着网络层防护水平的提高Web等应用层由于其开放性可能会面临着越来越多的攻击,随着通信业务Web化的发展趋势Web系统的安全直接影响到通信业务系统的安全Web系统防护是一个复杂的问题,包括应对网页篡改DDoS攻击,信息泄漏,导致系统可用性问题的其它类型黑客攻击等各种措施。针对Web系统的许多攻击方式都是利用了Web系统设计编码中存在的漏洞,因此Web网站的安全防护通常要包括Web系统上线的安全编码阶段、安全检测及上线之后的监控及运行防护阶段。Web系统上线之前的阶段侧重于应用工具发现代码存在的漏洞,而在监控及运行防护阶段需要针对系统分层进行分别防护,例如分为内容层安全、应用层安全、网络层安全、系统层安全等,在分层防护时分别部署内容检测系统Web安全漏洞扫描系统,防火墙,Web应用防火墙,系统漏洞扫描器等措施。
3.2 DNS系统的安全防护
DNS系统是互联网的神经系统,因此对DNS系统的安全防护尤为重要。近几年来,针对DNS系统的攻击比较突出的为DoS攻击DNS投毒,域名劫持及重定向等。DNS系统的安全防护需要部署流量清洗设备,在发生异常DNSFlood攻击时,能够将DNS流量牵引到流量清洗设备进行清洗,保障DNS业务系统的正常运行。同时DNS系统安全防护需要进行安全配置并同时要运行安全的DNS系统或者启用安全的协议,例如运行源端口随机化的系统来部分解决,DNS投毒问题或者利用 DNSSEC协议来避免DNS投毒,DNS劫持等。
4 新业务网络的安全防护
4.1物联网安全
物联网由大量的机器构成,很多节点处于无人值守环境,并且资源受限、数量庞大,因此物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些特殊安全问题,包括感知网络的安全,以及感知网络与通信网络之间安全机制的相互协调,对于感知网络的安全。主要有以下安全问题:
⑴感知节点的物理安全问题。很多节点处于无人值守环境,容易失效或受到物理攻击,在进行安全设计时必须考虑失效/被俘节点的检测,撤除问题、同时还要将失效/被俘节点导致的安全隐患限制在最小范围内。
⑵感知网络的传输与信息安全问题,感知网络通常采用短距离通信技术。以自组织方式组网、且感知节点处理器、存储器、电源等资源非常有限。开放的环境使传输介质易受外界环境影响,节点附近容易产生信道冲突,恶意攻击者也可以方便窃听重要信息资源受限使节点无法进行快速的高复杂度的计算,这对依赖于加解密算法的安全架构提出了挑战,需要考虑轻量级,高效的安全实现方案。
物联网应用和行业紧密相关,有特殊的安全需求,作为运营商,应提供基础安全服务,解决物联网中共性的安全问题,例如构建物联网安全管理平台,为物联网应用提供安全基础支撑环境,重点提供认证、加密等安全通信服务,并解决节点监控与管理、网络安全状态监控、网络故障修复、安全策略分发等问题。
4.2 云计算安全
云计算的虚拟化、多租户和动态性不仅加重了传统的安全问题,同时也引入了一些新的安全问题。云计算系统的安全防护应重点考虑如下方面:
⑴数据安全和隐私保护。由于虚拟技术、数据迁移、业务迁移等多个因素综合导致数据保护将面临更大的挑战,应通过管理和技术手段,解决用户隐私数据保护和数据内容安全问题。
⑵虚拟化安全。重点解决虚拟机隔离、虚拟机监控、虚拟机安全迁移和镜像文件的安全存储。
⑶运行环境安全。通过代码的静态分析和运行监测,避免恶意程序对内网、外网和系统中其他用户发起的攻击。
5 结束语
【关键词】计算机 网络威胁 防御对策
一、计算机网络面临的威胁情况分析
计算机网络的安全,是保证网络正常运转的关键,但目前存在的几方面威胁性问题,削弱了其安全性能,严重时可能导致整个网络系统的瘫痪。目前计算机网络面临的威胁,主要有以下几个方面:
(一)实体摧毁威胁。主要指计算机网所在环境中的硬件状态,在外界人为、灾害等主客观因素的干扰下,其软硬件可能受到直接破坏,但这种威胁状态出现的概率较低,一般通过主观的防范,即可避免威胁因素的产生。
(二)操作失误威胁。计算机网络系统的配置,需要通过人为的合理操作才能够发挥既定的功能,但如果人为操作出现失误,不仅无法体现计算机网络系统的功能,甚至可能加剧安全漏洞的出现。操作失误的原因,主要体现为用户安全意识不强、用户口令过于简单、用户账号随意转借、用户信息随意共享等。
(三)黑客攻击威胁。黑客攻击行为通常有两种形式,一种是以破坏为目的的网络攻击行为,即恶意破坏计算机网络系统信息的完整性,另外一种是网络侦察行为,即在不影响计算机网络正常工作的前提下,蓄意截获、窃取或者破译网络用户信息,以上两种黑客攻击行为,对计算机网络安全均有致命的威胁。
(四)系统漏洞威胁。计算机网络的系统基本无法做到百分之百的无漏洞,而这些漏洞,是黑客和病毒攻击计算机网路的薄弱点。如果计算机网络系统没有定时修补漏洞,可能会留给黑客和病毒侵蚀系统的“后门”,对计算机网络安全百害无一利。
二、计算机网络威胁的防御对策
为消除以上提到的计算机网络威胁,我们应该进一步提高网络系统的防御功能,笔者建议构建计算机网络对抗模型,分别从实体层次、能量层次、信息层次、感知层次四个方面,提出相应的防御对策。
(一)实体层次的防御。实体层次的防御对策,主要针对以物理形式直接破坏计算机网络系统的行为,主要的防御重点为计算机网络服务器、网络线路等硬件实体的保护,需要建立完善的计算机网络安全管理制度,综合考虑网络结构、布线等设备布置的合理性,以提高自身抵抗摧毁的能力,另外与外网连接的时候,要借助防火墙将内外部网络结构隔离,通过采取身份验证和数据过滤等权限分级手段,自动屏蔽外部的不安全站点。
(二)能量层次的防御。黑客攻击或者病毒感染,最常见的手段就是物理能量的压制和干扰,对其防御,最直接的方法是利用物理能量探测技术手段,采集和分析计算机的辐射信号,进而提高防电磁泄露和抗电磁脉冲干扰的能力。能量层次防御措施可分为两种类型,一种是借助滤波器加装电源线和信号线防护计算机,尽可能将传输阻抗控制在最小状态,或者加装屏蔽网络,避免网络受到电磁手段的攻击;另外一种是提高自身辐射的防护能力,譬如电磁波屏蔽技术、计算机系统工作干扰防护技术,用于掩盖计算机系统的工作频率和信息特征等。
(三)信息层次的防御。信息层次防御手段较为复杂,需要利用逻辑手段,对抗网络系统的黑客攻击和病毒感染。黑客攻击防御方面,首先是访问控制,针对不正常的非法访问,合理控制入网访问、网络权限、目录级别、属性安全、服务器安全、网络锁定、端口节点等的网络安全级别,以形成良好的网络空间环境;其次是防火墙设置,可根据计算机网络安全防护需求,选择性应用过滤防火墙、防火墙、应用程序防火墙等,提高计算机网络自我“监守”的能力;再次是信息加密技术的应用,在数据、文件、口令等信息保护方面,可在链路、端口、节点等位置加密,根据用户的网络情况,选择合适的加密方式,其中关于密码的算法,有常规算法和公钥算法两种,以授权形式防止非法用户入网操作。而计算机病毒防范方面,针对病毒的传染性、潜伏性和破坏性等特征,引入包括制作、注入、激活等技术手段,根据病毒的种类和性能等,强化计算机网络的信息和网络安全性,尤其是国外关键信息系统的病毒防范技术,可予以参考借鉴。
(四)感知层次的防御。在计算机网络空间的信息对抗中,在技术和逻辑方面可能存在空间漏洞,成为信息窃取的通道,属于超逻辑形式的信息对抗。为此在感知层面上,应该综合考虑黑客攻击的意图,结合实体层次和信息层次的防御手段,建立分层次的纵深安全防护体系,即通过建立具有智能化的入侵检测预警监视系统、高度加密传输手段、防火墙、VPN证书手段,以及划分安全级别和人工信息交换等,分别提供安全管理策略、物理安全策略、访问控制策略、信息加密策略,其中安全管理策略包括计算机网络系统安全等级和安全管理范围的确定,提高系统维护、应急、恢复的能力;物理安全策略重点防护传导发射和辐射信号;访问控制策略,控制入网访问、网络权限等,并合理划分绝密信息、机密信息、秘密信息、公开信息等;信息加密策略是通过对信息的加密保护,基于分布式结构划分安全与和建立防护体系,基于网络生命周期开展防护工作,将安全域防御范围引申到人员、技术、管理等层面,全面保护计算机网络的计算环境、安全域边界、安全部件等。
三、结束语
综上所述,计算机网络的安全,是保证网络正常运转的关键,但目前存在的几方面威胁性问题,削弱了其安全性能,严重时可能导致整个网络系统的瘫痪。目前计算机网络面临的威胁包括实体摧毁威胁、操作失误威胁、黑客攻击威胁、系统漏洞威胁等,为消除这些计算机网络威胁,我们应该进一步提高网络系统的防御功能,笔者建议构建计算机网络对抗模型,分别从实体层次、能量层次、信息层次、感知层次四个方面,全面提高计算机网络威胁防御的能力,为相对安全网络环境的营造,提供有力的参考依据。
参考文献:
[1]杨玉香,鲁娟,胡志丽.浅析网络环境下如何维护计算机网络安全[J].数字技术与应用,2013,(2):173.
[2]陈豪.浅谈网络时代计算机的安全问题及应对策略[J].科技致富向导,2013,(8):73.
关键词:安全域 边界整合 数据业务系统 安全防护
中图分类号:TP309.2 文献标识码:A 文章编号:1007-9416(2013)08-0180-02
0 引言
随着数据业务快速发展,信息化程度不断提高,国民经济对信息系统的依赖不断增强,迫切需要数据业务系统在网络层面建立清晰的组网结构。同时,根据国家安全等级保护的要求,需要不断细化各业务系统的安全防护要求,落实更多的数据业务等级保护问题。针对数据业务系统规模庞大、组网复杂的现状,以及向云计算演进的特点,按照等级保护和集中化的要求,需要对运营商数据业务系统进行安全域的划分和边界整合,明确数据业务系统组网结构。在此基础上,进一步提出了数据业务系统安全防护策略,促进数据业务系统防护水平和安全维护专业化水平的整体提高。
1 数据业务系统网络安全面临的威胁
随着全球信息化和网络技术的迅猛发展,网络安全问题日益严峻,黑客攻击日益猖獗,尤其是以下几个方面的问题引起了人们的广泛关注,给电信信息化安全带来了新的挑战。
(1)黑客攻击是窃取网站集中存储信息的重要手段,通过获取用户口令,寻找出网络缺陷漏洞,从而获取用户权限,达到控制主机系统的目的,导致用户重要信息被窃取。
(2)随着移动互联网智能终端的快速发展,3G和wifi网络的大量普及,恶意程序成为黑客攻击智能终端的一个重要手段,针对智能终端的攻击不断增加,最终将导致重要资源和财产的严重损失。
(3)随着电子商务的普及,人们现已逐步习惯通过支付宝、网上银行或者第三方交易平台进行交易,黑客将对金融机构中的信息实施更加专业化和复杂化的恶意攻击。
(4)自韩国爆发大规模黑客入侵事件以来,APT(Advanced Persistent Threat)攻击更加盛行,主要典型特征包括鱼叉式钓鱼邮件、水坑攻击与自我毁灭等,由于APT攻击具有极强的隐蔽能力和针对性,同时网络风险与日剧增,传统的安全防护系统很难抵御黑客的入侵,这就需要企业和运营商全方位提升防护能力。
(5)随着云计算大规模的应用,作为一种新型的计算模式,对系统中的安全运营体系和管理提出了新的挑战,虚拟化软件存在的安全漏洞需要更加全面地进行安全加固,建立一套完整的安全体制。
2 数据业务系统安全域划分与边界整合
2.1 安全域划分的目的
安全域是指在同一系统内根据业务性质、使用主体、安全目标和策略等元素的不同来划分的网络逻辑区域,同一区域有相同的安全保护需求、安全访问控制和边界控制策略,网络内部有较高的互信关系。
安全域划分的目的是清晰网络层次及边界,对网络进行分区、分等级防护,根据纵深防护原则,构建整体网络的防护体系,抵御网络威胁,保证系统的顺畅运行及业务安全。通过安全域的划分,可以有利于如下四方面:
(1)降低网络风险:根据安全域的划分及边界整合,明确各安全域边界的灾难抑制点,实施纵深防护策略,控制网络的安全风险,保护网络安全。
(2)更易部署新业务:通过安全域划分,明确网络组网层次,对网络的安全规划、设计、入网和验收总做进行指导。需要扩展新的业务时,根据新业务的属性及安全防护要求,部署在相应的安全域内。
(3)IT内控的实效性增强:通过安全域的划分,明确各安全域面临的威胁,确定其防护等级和防护策略。另外,安全域划分可以指导安全策略的制定和实施,由于同一安全域的防护要求相同,更有利于提高安全设备的利用率,避免重复投资。
(4)有利于安全检查和评估:通过安全域划分,在每个安全域部署各自的防护策略,构建整体防护策略体系,方便运维阶段进行全局风险监控,提供检查审核依据。
2.2 安全域划分
根据安全域的定义,分析数据业务系统面临的威胁,确定威胁的类型及不同业务的安全保护等级,通常将数据业务系统划分为四类主要的安全域:核心生产区、内部互联接口区、互联网接口区和核心交换区。
(1)核心生产区:本区域由各业务的应用服务器、数据库及存储设备组成,与数据业务系统核心交换区直接互联,外部网络不能与该区域直接互联,也不能通过互联网直接访问核心生产区的设备。
(2)内部互联接口区:本区域由连接内部系统的互联基础设施构成,主要放置企业内部网络,如IP专网等连接,及相关网络设备,具体包括与支撑系统、其它业务系统或可信任的第三方互联的设备,如网管采集设备。
(3)核心交换区:负责连接核心生产区、互联网接口区和内部互联接口区等安全域。
(4)互联网接口区:和互联网直接连接,具有实现互联网与安全域内部区域数据的转接作用,主要放置互联网直接访问的设备(业务系统门户)。
2.3 边界整合
目前,对于以省为单位,数据业务机房一般是集中建设的,通常建设一个到两个数据业务机房。进行数据业务系统边界整合前,首先要确定边界整合的范围:至少以相同物理位置的数据业务系统为基本单位设置集中防护节点,对节点内系统进行整体安全域划分和边界整合。若物理位置不同,但具备传输条件的情况下,可以进一步整合不同集中防护节点的互联网出口。
对节点内系统边界整合的基本方法是将各系统的相同类型安全域整合形成大的安全域,集中设置和防护互联网出口和内部互联出口,集中部署各系统共享的安全防护手段,并通过纵深防护的部署方式,提高数据业务系统的安全防护水平,实现网络与信息安全工作“同步规划、同步建设、同步运行”。
通常数据业务系统边界整合有两种方式:集中防护节点内部的边界整合和跨节点整合互联网传输接口。
(1)集中防护节点内部的边界整合
根据数据业务系统边界整合的基本原则,物理位置相同的数据业务系统通常设置一个集中防护节点。在集中防护节点内部,根据安全域最大化原则,通过部署核心交换设备连接不同系统的相同类型子安全域,整合形成大的安全域,集中设置内部互联出口和互联网出口。整合后的外部网络、各安全域及其内部的安全子域之间满足域间互联安全要求,整个节点共享入侵检测、防火墙等安全防护手段,实现集中防护。
(2)跨节点整合互联网传输接口
在具备传输条件的前提下,将现有集中防护节点的互联网出口整合至互备的一个或几个接口,多个集中防护节点共享一个互联网传输出口。通过核心路由器连接位置不同的集中防护节点,并将网络中的流量路由到整合后的接口。各节点可以保留自己的互联网接口区,或者进一步将互联网接口区集中到整合后的接口位置。
在安全域划分及边界整合中,根据安全域最大化原则,多个安全子域会被整合在一个大的安全域内。同时,根据域间互联安全要求和最小化策略,这些安全子域之间不能随意互联,必须在边界实施访问控制策略。
3 数据业务系统的安全防护策略
3.1 安全域边界的保护原则
(1)集中防护原则:以安全域划分和边界整合为基础,集中部署防火墙、入侵检测、异常流量检测和过滤等基础安全技术防护手段,多个安全域或子域共享手段提供的防护;
(2)分等级防护原则:根据《信息系统安全保护等级定级指南》和《信息系统等级保护安全设计技术要求》的指导,确定数据业务业务系统边界的安全等级,并部署相对应的安全技术手段。对于各安全域边界的安全防护应按照最高安全等级进行防护;
(3)纵深防护原则:通过安全域划分,在外部网络和核心生产区之间存在多层安全防护边界。由于安全域的不同,其面临的安全风险也不同,为了实现对关键设备或系统更高等级防护,这就需要根据各边界面临的安全风险部署不同的安全技术及策略。
3.2 安全技术防护部署
对于数据网络,一般安全防护手段有防火墙、防病毒系统、入侵检测、异常流量检测和过滤、网络安全管控平台(包含综合维护接入、账号口令管理和日志审计模块)等5类通用的基础安全技术。下面以数据业务系统安全域划分和边界整合为基础,进行安全技术手段的部署。
(1)防火墙部署:防火墙是可以防止网络中病毒蔓延到局域网的一种防护安全机制,但只限制于外部网络,因此防火墙必须部署在互联网接口区和互联网的边界。同时,对于重要系统的核心生产区要构成双重防火墙防护,需要在核心交换区部署防火墙设备。由于安全域内部互联风险较低,可以复用核心交换区的防火墙对内部互联接口区进行防护,减少防火墙数量,提高集中防护程度。
(2)入侵检测设备的部署:入侵检测主要通过入侵检测探头发现网络的入侵行为,能够及时对入侵行为采取相应的措施。入侵检测系统中央服务器集中部署在网管网中,并控制部署在内部互联接口区和互联网接口区之间的入侵检测探头,及时发现入侵事件。同时安全防护要求较高的情况下,将入侵检测探头部署在核心交换区,通过网络数据包的分析和判断,实现各安全子域间的访问控制。
(3)防病毒系统的部署:防病毒系统采用分级部署,对安全域内各运行Windows操作系统的设备必须安装防病毒客户端,在内部互联接口子域的内部安全服务区中部署二级防病毒控制服务器,负责节点内的防病毒客户端。二级服务器由部署在网管网中的防病毒管理中心基于策略实施集中统一管理。
(4)异常流量的检测和过滤:为了防御互联网病毒、网络攻击等引起网络流量异常,将异常流量检测和过滤设备部署在节点互联网接口子域的互联网边界防火墙的外侧,便于安全管理人员排查网络异常、维护网络正常运转、保证网络安全。
(5)网络安全管控平台:网络安全管控平台前置机接受部署在数据业务系统网管网内的安全管控平台核心服务器控制,部署在各集中防护节点的内部互联接口区的安全服务子域中,实现统一运维接入控制,实现集中认证、授权、单点登录及安全审计。
(6)运行管理维护:安全工作向来三分技术、七分管理,除了在安全域边界部署相应的安全技术手段和策略外,日常维护人员还要注重安全管理工作。一方面,对安全域边界提高维护质量,加强边界监控和系统评估;另一方面,要从系统、人员进行管理,加强补丁的管理和人员安全培训工作,提高安全意识,同时对系统及服务器账号严格管理,统一分配。
4 结语
由于通信技术的快速发展, 新业务和新应用系统越来越多,主机设备数量巨大,网络日益复杂,服务质量要求也越来越高。通过安全域的划分,构建一个有效可靠的纵深防护体系,同时优化了数据业务系统,提高网络运维效率,提高IT网络安全防护等级,保证系统的顺畅运行。
参考文献
[1]魏亮.电信网络安全威胁及其需求[J].信息网络安全,2007.1.
