1 網(wǎng)絡(luò)安全防御系統(tǒng)的構(gòu)建
網(wǎng)絡(luò)安全防御系統(tǒng)整體上可分為局域網(wǎng)和廣域網(wǎng)兩部分,網(wǎng)絡(luò)結(jié)構(gòu)采用雙網(wǎng)結(jié)構(gòu)。整個(gè)網(wǎng)絡(luò)防御系統(tǒng)采用多種安全技術(shù)手段,大致可分為:網(wǎng)絡(luò)安全,數(shù)據(jù)安全,系統(tǒng)安全。
1.1網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全一般包括信息安全和控制安全兩方面的內(nèi)容。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制等。伴隨互聯(lián)網(wǎng)絡(luò)高速發(fā)展而普遍存在的網(wǎng)絡(luò)安全問題集中體現(xiàn)在網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)犯罪兩個(gè)方面。
網(wǎng)絡(luò)威脅已經(jīng)超越國(guó)界。據(jù)有關(guān)部門統(tǒng)計(jì),目前我國(guó)95%與國(guó)際互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或入侵,其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。另據(jù)中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的報(bào)告,2010年上半年中國(guó)有23.3萬個(gè)IP地址對(duì)應(yīng)主機(jī)被僵尸程序控制,參與控制中國(guó)計(jì)算機(jī)的境外僵尸網(wǎng)絡(luò)控制服務(wù)器IP有4584個(gè),主要來自美國(guó)、土耳其和印度。網(wǎng)絡(luò)威脅的另一典型案例就是被媒體炒得沸沸揚(yáng)揚(yáng)的維基工作室對(duì)美國(guó)五角大樓計(jì)算機(jī)系統(tǒng)的入侵。維基工作室利用黑客技術(shù)實(shí)現(xiàn)遠(yuǎn)程異地網(wǎng)絡(luò)入侵,非法獲得近40萬份有關(guān)伊拉克戰(zhàn)爭(zhēng)和1萬5千份阿富汗戰(zhàn)爭(zhēng)秘密文件,并擅自向美國(guó)、英國(guó)、法國(guó)、德國(guó)和阿拉伯等國(guó)媒體公布,引發(fā)軒然大波。美國(guó)聯(lián)邦調(diào)查局的調(diào)查也表明,因?yàn)榕c互聯(lián)網(wǎng)連接而成為攻擊對(duì)象的組織連續(xù)3年不斷增加,遭受拒絕服務(wù)攻擊(DoS)的數(shù)量每年增長(zhǎng)30%以上,全球平均每20秒就發(fā)生1次網(wǎng)上入侵事件。
網(wǎng)絡(luò)犯罪呈上升趨勢(shì),網(wǎng)絡(luò)安全問題造成重大經(jīng)濟(jì)損失。
根據(jù)有關(guān)方面統(tǒng)計(jì),美國(guó)每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟(jì)損失超過170億美元,法國(guó)超過i00億法郎,德國(guó)和英國(guó)也都在數(shù)十億美元以上。在“2010年中國(guó)誠(chéng)信年論壇”上,阿里巴巴首席執(zhí)行官衛(wèi)哲也指出“在電子商務(wù)逐漸成為業(yè)界主流的時(shí)候,黑色產(chǎn)業(yè)鏈也瞄上電子商務(wù),全世界網(wǎng)絡(luò)貿(mào)易欺詐的犯罪涉嫌金額去年首次超過販毒。”
(1)網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學(xué)校、政府機(jī)關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng),就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,保證上網(wǎng)計(jì)算機(jī)的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件,識(shí)別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動(dòng)升級(jí),及時(shí)為每臺(tái)客戶端計(jì)算機(jī)打好補(bǔ)丁’加強(qiáng)日常監(jiān)測(cè),使網(wǎng)絡(luò)免受病毒的侵襲。
(2)安全網(wǎng)絡(luò)拓?fù)洹?/strong>整個(gè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)為雙網(wǎng)結(jié)構(gòu),即內(nèi)部LAN網(wǎng)中的所有主機(jī)對(duì)服務(wù)器的訪問與Internet用戶對(duì)服務(wù)器的訪問是通過兩條不同的行道進(jìn)行,其安全性體現(xiàn)在兩個(gè)方面:一是將內(nèi)外信息傳遞信道加以區(qū)分,以保證網(wǎng)絡(luò)不同敏感信息進(jìn)入外部公共訪問區(qū)域:二是由于外網(wǎng)為公共訪問區(qū)域,從安全風(fēng)險(xiǎn)的角度來講遠(yuǎn)遠(yuǎn)大于內(nèi)網(wǎng),采用雙網(wǎng)結(jié)構(gòu)保證了在外網(wǎng)出現(xiàn)問題時(shí)內(nèi)網(wǎng)仍然能夠正常工作。
(3)配置防火墻。防火墻是指一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障,保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵。利用防火墻,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。
防火墻是任何一個(gè)網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分,用戶根據(jù)需求及積累的經(jīng)驗(yàn)建立一套有效的防火墻防御規(guī)則。功能上主要有:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT隱藏內(nèi)部地址,保證內(nèi)部安全;網(wǎng)絡(luò)隔離DMZ,物理上隔開內(nèi)外網(wǎng)段;對(duì)各種帶有攻擊嫌疑的數(shù)據(jù)包進(jìn)行過濾;提供內(nèi)部IP地址與MAC地址的綁定;防止IP欺騙,防止DoS攻擊。實(shí)現(xiàn)防火墻技術(shù)主要有:數(shù)據(jù)包過濾、應(yīng)用代理技術(shù)、狀態(tài)檢測(cè)和自適應(yīng)代理技術(shù)等。
(4)采用實(shí)時(shí)入侵檢測(cè)
入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)系統(tǒng)是部署在網(wǎng)絡(luò)的安全關(guān)鍵點(diǎn),實(shí)時(shí)收集各種信息,根據(jù)內(nèi)置的專家系統(tǒng)和入侵分析引擎進(jìn)行分析,發(fā)現(xiàn)、報(bào)警和阻斷潛在攻擊行為的一種網(wǎng)絡(luò)安全設(shè)備。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。通過實(shí)時(shí)入侵檢測(cè)功能,能夠通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的收集和分析,與入侵行為的規(guī)則集進(jìn)行匹配,判斷入侵行為的發(fā)生,并提供實(shí)時(shí)報(bào)警功能,并切斷非法連接。入侵行為規(guī)則集中已經(jīng)包括了已定義的入侵方式,并允許用戶自行定義。目前,入侵檢測(cè)一般采用誤用檢測(cè)技術(shù)和異常檢測(cè)技術(shù)。
(5)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。
1.2數(shù)據(jù)安全
計(jì)算機(jī)本身是非常脆弱的,容易受到各種各樣的安全威脅,比如數(shù)據(jù)的竊取、篡改、破壞,計(jì)算機(jī)病毒的滲透和攻擊等,使得數(shù)據(jù)的保密性、完整性、可用性和真實(shí)性受到嚴(yán)重影響。沈昌緒院士說過“信息想要安全,首先要對(duì)使用者進(jìn)行控制和管理,要進(jìn)行信息的訪問控制”。HDS CT0 HuYoshida也說“安全從鑒別開始,另外還要通過加密的方式來確保數(shù)據(jù)的完整性”。從保護(hù)數(shù)據(jù)的角度講,數(shù)據(jù)安全可以細(xì)分為三部分:數(shù)據(jù)加密、數(shù)據(jù)傳輸安全和身份認(rèn)證管理。
數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),通過使用不同的密鑰,可用同-an密算法將同一明文加密成不同的密文。當(dāng)需要時(shí),可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。數(shù)據(jù)加密被公認(rèn)為是保護(hù)數(shù)據(jù)傳輸安全唯一實(shí)用的方法和保護(hù)存儲(chǔ)數(shù)據(jù)安全的有效方法,它是數(shù)據(jù)保護(hù)在技術(shù)上最重要的防線。數(shù)據(jù)傳輸安全是指數(shù)據(jù)在傳輸過程中必須要確保數(shù)據(jù)的安全性,完整性和不可篡改性。身份認(rèn)證的目的是確定系統(tǒng)和網(wǎng)絡(luò)的訪問者是否是合法用戶,主要采用登錄密碼、代表用戶身份的物品(如智能卡、Ic卡等)或反映用戶生理特征的標(biāo)識(shí)鑒別訪問者的身份。與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。它通過變換和置換等各種方法將被保護(hù)信息置換成密文,然后再進(jìn)行信息的存儲(chǔ)或傳輸,即使加密信息在存儲(chǔ)或者傳輸過程為非授權(quán)人員所獲得,也可以保證這些信息不為其認(rèn)知,從而達(dá)到保護(hù)信息的目的。根據(jù)密鑰類型的不同可以將現(xiàn)代密碼技術(shù)分為兩類:對(duì)稱加密技術(shù)(私鑰密碼體系)和非對(duì)稱加密技術(shù)(公鑰密碼體系)。
(1)對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是最古老的,一般說“密電碼”采用的就是對(duì)稱密鑰。對(duì)稱式加密就是加密和解密使用同一個(gè)密鑰,而且通信雙方都必須獲得這把鑰匙,保持鑰匙的秘密,通常稱之“Session Key”。由于對(duì)稱加密是建立在共同保守秘密的基礎(chǔ)之上的,在管理和分發(fā)密鑰的過程中,任何一方泄密就會(huì)造成密鑰的失效,存在著潛在的危險(xiǎn)和復(fù)雜的管理難度。其優(yōu)點(diǎn)是運(yùn)算量小、速度快,目前仍被廣泛采用。如美國(guó)政府所采用的DES力W密標(biāo)準(zhǔn)就是一種典型的“對(duì)稱式”加密法,它的Session Key長(zhǎng)度為56b。
(2)非對(duì)稱加密。非對(duì)稱式加密就是加密和解密所使用的不是同一個(gè)密鑰,通常有兩個(gè)密鑰,稱為“公鑰”和“私鑰”,它們兩個(gè)必須配對(duì)使用,否則不能打開加密文件。這里的“公鑰”是指可以對(duì)外公布的,“私鑰”則不能,只能由持有人_個(gè)人知道,它的優(yōu)越性就在這里。對(duì)于對(duì)稱式的加密方法,如果是在網(wǎng)絡(luò)上傳輸加密文件,就很難把密鑰告訴對(duì)方,不管用什么方法都有可能被竊聽到。而非對(duì)稱式的加密方法有兩個(gè)密鑰,且其中的“公鑰”是可以公開的,也就不怕別人知道,收件人解密時(shí)只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。這種加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。
1.3系統(tǒng)安全
(1)鑒別認(rèn)證機(jī)制。在整個(gè)網(wǎng)絡(luò)防御系統(tǒng)中,使用了兩種鑒別認(rèn)證機(jī)制。①網(wǎng)絡(luò)部分,通過SSL力I密通道以及證書機(jī)關(guān),對(duì)使用本系統(tǒng)提供的web服務(wù)的用戶進(jìn)行服務(wù)器與外部用戶間的雙向鑒別。②系統(tǒng)鑒別部分,采用Ic卡的方式對(duì)所有用戶進(jìn)行身份鑒別,所有內(nèi)部用戶的Ic卡均通過統(tǒng)一的發(fā)卡中心發(fā)放,只有持卡用戶能夠登錄網(wǎng)絡(luò),普通網(wǎng)絡(luò)用戶無法遠(yuǎn)程登錄。
(2)安全操作系統(tǒng)。整個(gè)防御系統(tǒng)的所有服務(wù)器必須具有良好的安全特性,首先,在登錄控制上采用基于IC卡的本地登錄控制和基于安全的遠(yuǎn)程登錄,避免不合法用戶對(duì)系統(tǒng)安全造成危害;其次,采用特定的檢測(cè)工具隨時(shí)對(duì)系統(tǒng)進(jìn)行檢測(cè);最后,采用加密文件系統(tǒng)對(duì)文件加密保護(hù),用戶只有知道口令的情況下,采用讀取文件。
(3)定期安全掃描。由于網(wǎng)絡(luò)環(huán)境中的復(fù)雜性,需要定期對(duì)網(wǎng)上的各種設(shè)備實(shí)施安全掃描,發(fā)現(xiàn)潛在的軟硬件漏洞,及時(shí)修復(fù)。尤其是對(duì)于木馬和病毒,發(fā)現(xiàn)問題,及時(shí)推出相應(yīng)的補(bǔ)丁或查殺工具。防止其進(jìn)入和蔓延。要定期對(duì)防病毒軟件進(jìn)行更新升級(jí)。
2 結(jié)語
整合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù),讓它們?cè)诰W(wǎng)絡(luò)系統(tǒng)中能夠各司其職,彼此協(xié)作,這樣才能夠構(gòu)建相對(duì)完善的網(wǎng)絡(luò)安全防御系統(tǒng),有效阻止攻擊者的入侵,真正起到保證網(wǎng)絡(luò)信息的安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:數(shù)字化企業(yè)園區(qū)網(wǎng)網(wǎng)絡(luò)安全防御系統(tǒng)的構(gòu)建
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/1083948379.html
相關(guān)文章
