网络安全解决方案与对策
来源:用户上传
作者: 于萍
【摘要】分析了当前网络安全发展形势,阐述了加强网络安全的重要意义,对信息系统安全威胁与风险进行了分析,指出信息系统安全控制的方向与重点,提出了网络安全解决方案对策。
【关键词】网络;安全;技术防范;对策
【中图分类号】TP393.08 【文献标识码】B 【文章编号】1672-5158(2013)01―0445―02
引言
近年来,随着经济社会的快速发展,互联网得到快速增长,互联网的应用领域不断扩张,已经从传统领域拓展到非传统领域,而且影响力越来越大。据中国互联网络信息中心(CNNIC)近期发布的《中国互联网络发展状况统计报告》显示:截至2012年12月底,手机网民数量为4.2亿,中国网民数达到5.64亿,全年新增网民5090万人,普及率为42.1%;微博用户规模为3.09亿,较2011年底增长了5873万。域名总数为1341万个,其中“.CN”域名总数为751万,“.中国”域名总数为28万。中国网站总数(即网站的域名注册者在中国境内的网站数)回升至268万个(去年底只有183万)。网络安全从大的方面讲,关系国家安全主权、社会稳定;从小的方面讲,网络安全涉及个人信息安全、财产安全,因此,积极研究探讨适应新形势发展要求的网络安全方案,对确保网络安全,提升网络服务质量具有十分重要的现实意义。
1 加强网络安全的现实意义
随着信息化技术的不断发展,网络已经成为一种联通各地、各个领域的重要基础设施,计算机网络的发展为人们的生产、生活、工作带来了极大便利,拉近了全球的距离。但在看到网络给人们带来便捷的同时,还要清醒地认识到网络作为一个面向公众的开放系统,如果网络安全意识不强、网络安全防范措施不力,就会产生网络安全隐患。特别是随着信息网络技术的飞速发展,网络得到广泛普及和应用,应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,已经被行政部门、金融机构、企业广泛应用,网络在这些领域的广泛应用,也进―步加大了网络安全的风险。如何保持网络的稳定安全,防止诸如黑客攻击、非正常入侵等安全问题的发生,是一项重要任务。
由于网络系统结构复杂、涉及终端众多、系统开放,网络系统面临的威胁和风险比较多,归纳起来主要来自外部的人为影响和自然环境的影响,这些威胁有的是对网络设备的安全运行存在威胁,有的是对网络中的信息安全存在威胁。这些威胁的集中起来主要有:非法授权访问,假冒合法用户,病毒破坏,线路窃听,黑客入侵,干扰系统正常运行,修改或删除数据等。这些威胁一旦成为现实,将对网络系统产生致命的影响,严重的可能会导致系统瘫痪,传输信息被非法获取和传播,会给相关机构和网络用户造成不可挽回的损失。
在网络快速发展的新形势下,全面加强网络安全建设,提升网络安全等级,对确保和维护网络用户利益,维护单位整体形象都具有十分重要我。特别是在当前,终端用户往往会在终端中存储大量的信息资料,工作手段也越来越依赖于网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,因此,积极研究探索与网络发展同步的网络安全解决方案,全面加强网络安全建设,是各级网络管理部门及用户的重要职责,必须要高度重视,扎实推进。
2 信息系统安全威胁与风险分析
认真分析信鼠系统安全威胁与存在的风险,是进行风险管理、制定网络安全方案的前提和基础。通过进行有效的系统安全威胁与风险分析,可以帮助相关机构和用户选择合作的控制措施来降低风险。
2.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提,相关的物理安全风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2 链路传输风险分析
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。
2.3 网络结构的安全风险分析
来自与公网互联的安全危胁,基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。一些黑客会制造病毒透过网络进行传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。
内部网络与系统外部网互联安全威胁。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击,入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部局域网的安全威胁。据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。这些都将对网络安全构成严重威胁。
2.4 系统的安全风险分析
系统的安全往往归结于操作系统的安全性,决定于网络操作系统、应用系统的安全性。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。因此,必须要高度重视系统的安全风险,科学进行系统安全配置,从而有效降低系统风险。 2.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。比如由于资源共享、使用电子邮件系统、受病毒侵害、数据信息被非法窃取,篡改等,这些都是应用层面应当防范的安全风险。
2.6 管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房存在恶意的入侵者,内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。一些网络系统管理由于责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
3 网络安全解决方案
可以通过配置诸如:标识、密钥管理、安全管理、系统保护、鉴别、授权、访问控制、抗抵赖、受保护通信、入侵检测与抑制、完整性证明、恢复安全状态、病毒检测与根除等技术类安全控制来有效防止给定类型的风险与威胁;通过建立相关的安全管理机制,实现管理在的安全控制;通过建立一整套严谨的控制指南,实现操作类的安全控制,从而实现信息系统安全控制。
3.1 做好物理防护
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。要严格按照相关标准建设网络,防止人为降低建设标准。确保设备安全,采取有力措施搞好防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
3.2 确保系统安全
要认真判断网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。对于操作系统要尽可能采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件,对使用权限进行严格限制;加强口令字的使用,增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令,并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.3 突出网络安全
网络安全是整个安全解决方案的重中之重,要从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面,采取切实可行的对策措施,确保网络安全。要严格落实《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等安全管理制度。设置虚拟子网,各子网间不能实现互访,实现初级访问控制。设置高等级防火墙,通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。建立网络扫描系统,对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,并自动进行相关修复。通过预防病毒技术、检测病毒技术、杀毒技术,实施反病毒措施,防止病毒进入网络进行传播扩散。
3.4 确保应用安全
应用是信息系统安全应当关注的重要内容,要通过规范用户的行为,来实现应用安全。要严格控制内部员工对网络共享资源的使用,尤其要限制共享资源的滥用,在内部子网中一般不随意开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。适当配置资源控制,要精心设置访问权限,并拒绝未经授权人员的登录,减少有意或无意的案例漏洞。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库进行远程备份存储。
3.5 安全管理
采用信息加密技术、数字签名技术等技术对相关人员进行身份认证,通过数字证书,把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。防止出现身份冒领、抵赖等问题的发生。同时要制定健全的安全管理体制,提高网络安全性。各网络管理及使用单位要根据自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。积极构建安全管理平台,构建安全管理平台将会降,低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,通过安全管理平台实现全网的安全管理。要加强对网络使用人员的安全教育,切实增强相关人员的安全防范意识,严格执行网络管理相关规定,提高网络管理的正规化水平。
转载注明来源:https://www.xzbu.com/8/view-5869654.htm
