论文部分内容阅读
摘 要 目前,世界各国纷纷推出网络信息系统安全方面的各种计划和管理措施。主要就网络安全防护体系等方面内容进行详细论述。
关键词 网络安全;体系
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0027-01
随着社会信息化程度的不断提高,网络信息系统的安全与否已成为影响国家安全的重要因素。因此,自主掌握最新的网络信息系统安全技术,在民族产业的支撑下建立网络系安全保障体系,建立完善的网络信息系统安全管理体系已成为当务之急。
我国的计算机应用和信息化建设已具规模,以TMIS和电子政务应用为核心的各项计算机应用系统已在生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
1 建立网络安全体系
对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.1 网络安全关键技术
由防火墙(Firewall)、(Public Key Infrastructure,PKI)公钥安全体系PKI、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
1.2 创建网络立体安全防护体系
网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
1)路由器。路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。例如,首先屏蔽所有的IP地址,然后有选择地放行一些地址进入网络。路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
2)入侵监测系统(IDS)。入侵监测系统是被动的,它监测网络上所有的包(packets)。其目的就是捕捉危险的或有恶意的动作,并及时发出警告信息。它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
3)防火墙。防火墙可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。 通过 VPN,能够更安全地从异地联入内部网络。
4)物理隔离与信息交换系统(网闸)。不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。
5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分 VLAN。
6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台,实现应用系统保护的功能包括以下几个方面:①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞;集成的系统要具有良好的恢复能力,这样才能保证内部生产网中的系统避免因受攻击而导致数据破坏或丢失。②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。③数据加密。对重要的数据进行加密存储。
7)操作系统的安全。保证操作系统的安全包括以下内容:①操作系统的裁剪。不安装或删除不必要的系统组件。②操作系统服务裁剪。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器,如在内部网中安装微软WSUS Server及第三方安全管理软件(BES),对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。
8)病毒防护。网络病毒网关与网络版的查杀病毒软件(McAfee EPO +Clients)相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
2 网络安全管理
有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。只有建立严格的网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。
关于通过网络攻击信息系统,造成经济损失的报道已有多起。在科技最发达、防御最严密的美国国防部五角大楼内,每年都有成千上万的非法入侵者侵入其内部网络系统。而我国在这方面的技术防护力量更是相当薄弱,相关安全管理措施、制度与法律法规都有待完善。新千年伊始,我国已把网络信息系统安全问题列入到重要的议事日程。相信我国的网络信息系统安全技术和管理的完善程度在短期内定会有质的飞跃,最终建设一个安全的网络信息空间,以推动我国信息化进程的顺利发展。
3 结束语
目前网络已经深入到各个领域。不解决安全问题,可能造成巨大的经济损失。创建网络安全防护体系,将是信息化建设的有力保障。但建立信息安全体系是一个复杂而又庞大的系统工程,涉及的问题也比较多。只有继续对网络安全体系进行深入的研究和探讨,才能更好地实现网络安全,保证中国信息化建设的正常进行。
参考文献
[1]邱雪松.网络管理体系结构的研究[D].北京:北京邮电大学,1999.
[2]蒋苹,胡华平,等.计算机信息系统安全体系设计[J].计算机工程与科学,2003.
[3]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.
[4]林柏钢.网络与信息安全教程[M].北京:机械工业出版社,2004.
关键词 网络安全;体系
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0027-01
随着社会信息化程度的不断提高,网络信息系统的安全与否已成为影响国家安全的重要因素。因此,自主掌握最新的网络信息系统安全技术,在民族产业的支撑下建立网络系安全保障体系,建立完善的网络信息系统安全管理体系已成为当务之急。
我国的计算机应用和信息化建设已具规模,以TMIS和电子政务应用为核心的各项计算机应用系统已在生产中发挥着越来越重要的作用。对于现代营销、现代物流和电子商务等应用系统,仅具有连通功能的网络是无法满足其要求的,针对网络安全方面存在的漏洞和隐患,利用简单的技术防范措施已无法解决。必须调整网络结构,克服平面网络结构先天性的抵御攻击能力差、控制乏力的弱点,并采用先进的技术、加强基础设施和有效的网络管理,形成保证网络和信息安全的纵深立体防御体系。
1 建立网络安全体系
对于网络而言,没有绝对保证的信息安全,只有根据网络自身特点,合理运用网络安全技术,建立适应性的安全运行机制,才能从技术上最大限度地保证信息安全。
1.1 网络安全关键技术
由防火墙(Firewall)、(Public Key Infrastructure,PKI)公钥安全体系PKI、虚拟局域网(VLAN)和物理隔离与信息交换系统等构成了网络安全的关键技术。
1.2 创建网络立体安全防护体系
网络安全防护体系是由安全操作系统、应用系统、防火墙、网络监控、安全扫描、通信加密、网络反病毒等多个安全组件共同组成的,每个组件只能完成其中部分功能。
1)路由器。路由器是架构网络的第一层设备,也是网络入侵者的首要攻击目标,因此路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。例如,首先屏蔽所有的IP地址,然后有选择地放行一些地址进入网络。路由器也可以过滤服务协议,允许需要的协议通过,而屏蔽其他有安全隐患的协议。
2)入侵监测系统(IDS)。入侵监测系统是被动的,它监测网络上所有的包(packets)。其目的就是捕捉危险的或有恶意的动作,并及时发出警告信息。它是按用户指定的规则运行的,它的功能和防火墙有很大的区别,它是对端口进行监测、扫描等。入侵检测系统是立体安全防御体系中日益被普遍采用的成分,它能识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
3)防火墙。防火墙可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。同时可利用其产品的安全机制建立VPN(Virtual Private Networks)。 通过 VPN,能够更安全地从异地联入内部网络。
4)物理隔离与信息交换系统(网闸)。不能因为信息化建设过程中对外网访问的需求而影响内部网络系统的安全性及可用性。物理隔离与信息交换系统是运用物理隔离网络安全技术设计的安全隔离系统,它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能,既保证了物理的隔离,又实现了在线实时访问不可信网络所必需的数据交换。
5)交换机。目前局域网大多采用以交换机为中心、路由器为边界的网络格局。核心交换机最关键的工作是访问控制功能和三层交换功能。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。还有一项非常关键的工作就是划分 VLAN。
6)应用系统的认证和授权支持。建立应用系统提升安全性的支撑平台,实现应用系统保护的功能包括以下几个方面:①应用系统网络访问漏洞控制。应用系统软件要求按安全软件标准开发,在输入级、对话路径级和事务处理三级做到无漏洞;集成的系统要具有良好的恢复能力,这样才能保证内部生产网中的系统避免因受攻击而导致数据破坏或丢失。②数字签名与认证。应用系统须利用CA提供的数字证书进行应用级的身份认证,对文件和数据进行数字签名和认证,保证文件和数据的完整性以及防止源发送者抵赖。③数据加密。对重要的数据进行加密存储。
7)操作系统的安全。保证操作系统的安全包括以下内容:①操作系统的裁剪。不安装或删除不必要的系统组件。②操作系统服务裁剪。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。③操作系统漏洞控制。在内部网中建立操作系统漏洞管理服务器,如在内部网中安装微软WSUS Server及第三方安全管理软件(BES),对网络内所有联网主机的操作系统进行监控,一旦发现存在系统漏洞或者安全隐患,立即强制其安装相应的系统补丁或者组件。
8)病毒防护。网络病毒网关与网络版的查杀病毒软件(McAfee EPO +Clients)相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
2 网络安全管理
有效的技术手段只是网络安全的基础工作,但仅靠网络安全技术是绝对无法确保信息安全的。只有建立严格的网络安全管理制度,才能充分发挥网络安全技术的效能,才能使网络信息更加安全可靠。
关于通过网络攻击信息系统,造成经济损失的报道已有多起。在科技最发达、防御最严密的美国国防部五角大楼内,每年都有成千上万的非法入侵者侵入其内部网络系统。而我国在这方面的技术防护力量更是相当薄弱,相关安全管理措施、制度与法律法规都有待完善。新千年伊始,我国已把网络信息系统安全问题列入到重要的议事日程。相信我国的网络信息系统安全技术和管理的完善程度在短期内定会有质的飞跃,最终建设一个安全的网络信息空间,以推动我国信息化进程的顺利发展。
3 结束语
目前网络已经深入到各个领域。不解决安全问题,可能造成巨大的经济损失。创建网络安全防护体系,将是信息化建设的有力保障。但建立信息安全体系是一个复杂而又庞大的系统工程,涉及的问题也比较多。只有继续对网络安全体系进行深入的研究和探讨,才能更好地实现网络安全,保证中国信息化建设的正常进行。
参考文献
[1]邱雪松.网络管理体系结构的研究[D].北京:北京邮电大学,1999.
[2]蒋苹,胡华平,等.计算机信息系统安全体系设计[J].计算机工程与科学,2003.
[3]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.
[4]林柏钢.网络与信息安全教程[M].北京:机械工业出版社,2004.