网络安全防护方案范文

时间:2023-05-06 18:15:09

导语:如何才能写好一篇网络安全防护方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全防护方案

篇1

【关键词】:调度数据网;网络安全;分析

中图分类号: TN919.25 文献标识码: A 文章编号:

国家电网调度数据网,简称为调度数据网,是我国电力调度专用的数据网络,是实现各级调度中心和调度中心和电厂与电站之间进行生产数据传输和交换的重要的服务系统,是国家电网公司实行统一电网调度的重要基础。

一、国家电网调度数据网的网络组织分析

目前我国的国家电网公司的调度数据网是一种单一的平面组织,从发电厂或者电站到调度端的信息传输通道为数据网通道和专线通道。随着一些地区的特高压电网的架设,以及智能电网建设的发展,传统的调度数据网已经不能够满足使用的需要,不能保证电网调度系统的安全运行。电力调度数据网络在运行过程中具有可靠性高、实时性强的技术要求,所以在安全方面的要求比较高,直接关系到了电网的正常运行[1]。因此需要进一步的完善调度数据网的建设,对现有的网络资料实行不断的升级优化,建设可靠、安全的智能电网调度系统。

1.调度数据网的传输现状。目前我国的电力系统方面的传输方式主要有光纤、载波、微波三种方式,其中光纤通信的使用频率远远的高于其它两种通信方式,光纤通信具有传输容量大、损耗低、抗干扰能力强等非常优良的特点,成为我国电力系统主要的通信方式。我国的电力系统通信网络中已经建设成为光纤通信为主,其它两种通信方式为辅的格局。国家电网和其它的省分公司建成了密集型波分复用系统和SDH光传输双系统的结构,省级电网公司和其它地区基本建成了SDH光环网络,基本上能够满足调度数据网的使用要求[2]。

2.调度数据网的网络组织。已经建成的单一平面调度数据网络在网络升级改造的过程中,对于电网的正常运行有比较大的影响,而且选择的调度通信网络的专线传输方式可靠性不够高。在的省级调度数据网络中220kv变电站内基本上只安装了一台路由器,在电力的调度过程中容易发生数据丢失的现象,影响了电网调度数据网络的安全性和可靠性。在传输设备上以前的设备对于网络的安全维护带来了极大的困难,而且其专线方式也不能够满足日益增长的业务需求,和对数据传输的实时性、安全的要求。从2009开始,国家电网公司开始对原来的电网数据网络进行升级,以实现对网络组织的双平面扩充,通过对网络组织结构的调整,进一步的提高调度数据网络运行的安全性和可靠性。国家电网的调度数据网具有网络规模大、网络节点多的特点,所以一般采用多层、多级的结构。我国现行的调度数据网为单一平面结构,网络包含了国家电网调度中心、网络调度中心、省级调度中心、地区调度中心、220kv变电站和发电厂,采用了分层、分级的设计方案。我国的调度数据网主要分为骨干网和省级网两个级别,其中骨干网有国家调度中心负责网络的运行和管理工作,其工作范围包含国家电网公司和所有的省级调度中心、直调厂站等;省级网主要有各个省调度中心负责运行管理,包含了其管辖地区的调度中心和220kv及以上的厂站。

二、电网调度数据网络的安全防护

智能电网具有技术新、交互广、网络多等一系列的特点,使它在运行方面具有特殊的安全风险。同时,电网调度数据网络中包含了各种通信网络和网络协议,使电力调度数据网络变的更加的复杂,信息是传输过程中容易发生丢失、窃听、篡改等安全问题。

1.电力的发展使调度数据网络的安全防护变的困难。由于人民生活水平的不断提高,各种家用电器的广泛使用,使得网络中的业务服务系统之间,业务服务系统和用户之间的交流和沟通更加的频繁。在这种交互的过程中自然而然的产生了海量的数据信息,容易造成网络的拥堵和波动,业务过载的现象,同时也增加了用户的个人信息存在篡改、泄露和丢失的安全风险。

2.不断的加强网络的安全建设。电力调度数据网络是我国智能电网中重要的信息传输系统,它涵盖了应急、电量统计、调度指令等重要的信息,如果被黑客入侵,将会对电网的正常运行产生巨大的安全威胁,影响了电网的正常运行。因此需要不断的加强调度数据网的网络安全建设工作,提高网络的安全防护性能,杜绝网络被渗透或者入侵,保证电力系统的运行安全和数据安全。调度数据网络和一般的通信网络在结构和系统上具有非常强的相似性,所以在安全方案的选择和使用上也具有共同的特点,其中主要应用安全防护方案有物理隔离、数据加密和验证、防火墙、访问控制、信息过滤、数据备份、入侵检测、查杀木马和病毒等,一般企业在网络安全方案的选择上比较有效的方案有防火墙、安全路由器、web安全和邮件安全。在调度数据网中主要使用防火墙技术和纵向加密的技术来实现安全防护,一般在调度中心端和厂站端实行纵向加密认证措施,对网络实现端对端的保护;在实时业务和路由器之间也进行纵向加密认证措施,在非实时业务和路由器之间可以选择硬件防火墙或者纵向加密认证措施。通过对传输的数据进行加密认证,防止数据在网络的传输过程中出现破坏和篡改的现象,保证数据的安全性[4]。限制其它用户对电网调度数据网的访问权限,保证信息的安全性。同时,对于电网调度数据网络的安全防护上,还应当加强内部的信息安全防护,在内部的数据交换中常常容易发生信息安全问题。

三、结束语

随着我国电网结构的升级和电网调度数据网络的不断完善优化,将使国家电网调度数据网络系统发生质的变化,将进一步的提高电网运行的安全性和可靠性,我国的现代化建设提供能源保障。同时,电网调度数据网和一般的通信网络在运行结构上具有相似性,所以加强和维护电网调度数据网络的安全性也是电网调度数据网建设中的重要问题,需要认真的对待。

【参考文献】:

[1]高夏生,程俊,张先亮等.安徽电力调度数据网优化设计[J].人类工效学,2012,18(3):66-70.

[2]刘丽榕,王玉东,肖智宏等.国家电网调度数据网建设方案研究[J].电力系统通信,2011,32(2):18-21.

[3]吴强.贵州电网调度数据网业务接入安全防护方案设计[J].广东输电与变电技术,2010,12(3):65-66,70.

篇2

【关键词】计算机网络安全网络威胁

AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.

Keywordscomputer;network security;precautionary measure

一、网络安全的定义及内涵

1、定义。网络安全从其本质上来讲就是计算机网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全措施是指为保护网络免受侵害而采取的措施的总和。

2、内涵。网络安全根据其本质的界定,应具有以下三个方面的特征:①保密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的保密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息不外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶性攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容,接受者无法否认所接收的信息内容。

二、网络自身特性及网络安全发展现状

网络信息自身具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性,网络操作系统的漏洞及自身设计缺陷等,网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。现在越来越多的恶性攻击事件的发生说明当前网络安全形势严峻,不法分子的手段越来越先进,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。

三、网络安全解决方案及实例分析

要解决网络安全,首先要明确我们的网络需要实现的目标,一般需要达到以下目标:①身份真实性:对通信实体身份的真实性进行识别。②信息保密性:保证密级信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机制,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。

为了最大程度的保证网络安全,目前的方法有:安全的操作系统及应用系统、防火墙、防病毒、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件往往是无法确保信息网络的安全的。图1是某一网络实例的安防拓扑简图,日常常见的安防技术在里面都得到了运用:

1、防火墙技术。包括硬件防火墙和软件防火墙。图中的是硬件防火墙,一般设置在不同网络或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,市场上的防火墙种类繁多,它们大都可通过IE浏览器控制,可视化好,易于操作,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击。

2、防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防病毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。一般公司内部大都采用网络版杀毒软件,病毒库联网升级,管理员可通过系统中心制定统一的防病毒策略并应用至下级系统中心及本级系统中心的各台终端,可实施实时监控,主动防御,定时杀毒等功能。但实践证明,仅依靠一款杀毒软件,一种策略,并不能完整的清除所有病毒,有时需要制订不同的安全策略或与另外一款杀毒软件同时使用方可,此时需要具体情况具体分析。

3、入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

4、安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。

5、网络主机的操作系统安全和物理安全措施。操作系统种类繁多,而Windows因其诸多优点被普遍采用,但Windows存在诸多漏洞,易于被攻击,因此需要定期进行更新。北信源补丁分发系统通过定时探测各终端的补丁数,自动给各终端打上补丁,较大程度的避免了因系统漏洞导致的信息安全问题。安全系数要求高的网络,有必要对其进行物理隔绝,采用专用软件控制各终端的外设,对各终端操作人员进行身份验证等等。

6、安全加密技术。分为对称加密技术和不对称加密技术。前者是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥;不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。加密方式有硬件加密及软件加密,其中硬件加密又有信道机密和主机终端加密等。

7、网络安全应急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。应该随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全应急响应体系,专人负责,防范安全事件的突然发生。

总之,网络的第一道防线防火墙并不能完全保护内部网络,必须结合其它措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施,按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机制构成的整体安全检查和反应措施。

四、小结

网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,单一的技术是不能解决网络的安全防护问题的。随着信息技术的不断发展,各行各业信息化建设的脚步也越来越快,计算机技术和网络技术已深入应用到人们生产生活的各个领域,各种活动对计算机网络的依赖程度也越来越高。增强人这一主体的安全意识,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,才是最有效的防范措施。

参考文献

[1]胡道元,闵京华.网络安全(2版).北京:清华大学出版社. 2008(10)

[2]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01)

[3]胡道元.计算机局域网[M].北京:清华大学出版社,2001

[4]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001

篇3

【关键词】图书馆;计算机网络;安全防护

图书馆计算机网络安全主要就是其网络系统中包含的硬件、软件与相关数据等能够得到有效的保护,避免在偶然发生或者恶意的原因对计算机网络产生破坏、更改等问题,使得网络系统能够保持正常的运行状态,保持网络服务的畅通,不断提升图书馆计算机网络安全等级,达到网络信息的最大化的共享,为读者提供更好的服务。

一、高校图书馆计算机网络实体安全防护

1、图书馆计算机网络机房物理环境的安全防护。

实体安全主要考虑场地、设备的安全,对实体访问进行控制,图书馆计算机网络实体安全主要指对计算机系统环境、场地、设备、载体、人员等采取安全措施。首先是图书馆的场地安全,指的是中心机房,它是图书馆运行的关键组成部分,对进入机房的工作人员应该实行严格的管理,应该对那些非工作人员进行限制。在具体的中心机房运行中,要制定相关的工作规范,最大程度的减少非工作人员进入的机会,应该与图书馆的其他功能区域分隔开来,辅助区应该设置在机房的外面,形成一道进入机房的关卡。而且在位置的选择上也应避免将其建设在潮湿的底层,顶层因为容易侵入也不是首选。如果一个楼层办公室数量较多,机房应设置在一个边角位置,在防护与撤离方面会比较方便。另外,机房内设置的空调设备能够对其空间内的湿度、温度等进行有效的调控,确保计算机网络的正常运转,通常机房内温度应保持在20摄氏度左右,相对湿度则应保持在50%左右,同时还要对机房进行防尘与除尘,增加防静电地板的铺设可以使计算机网络工作不受到静电的影响。

2、图书馆计算机网络电源接地与防盗防火的安全防护。

计算机网络的运行离不开电源,图书馆内的计算机需要使用具有保护装置的不间断电源工具,这样能够有效的避免出现电源中断或者电压瞬变、冲击等问题,在计算机的接地系统中电位的设置应该将参考点定为大地,接地是零电位,这样能够让计算机的数字电路拥有较为稳定的低电位,为计算机硬件、数据以及人身的安全提供保障。另外,在计算机网络的安全防护中还应该注意防盗与防火的问题,机房应该严格设置防盗系统,对机房所有的门窗进行加固处理,然后通过全场监控系统对机房进行实时的监视,提高机房的防盗等级。对机房设备维护管理的相关制度规范严格的遵守与实施,对容易出现火灾的隐患部位进行更加细致的检查,完善防火应急方案,对相关的工作人员的应急能力进行培训与提升。

二、高校图书馆计算机网络安全的硬件与软件防护措施

硬件与软件共同组成了计算机网络系统,实现图书馆计算机网络安全的一个重要方法就是进行计算机网络的硬件与软件防护。硬件防护顾名思义就是对计算机网络系统中的硬件设施实施的一系列的安全防护手段,比如CPU、设备、缓存等硬件,也可以通过硬件的增加提升计算机的安全防护能力。硬件防护相比软件防护来说更加的稳定、可靠,也是图书馆计算机防护技术实施中重要的一个环节,尤其是对于其中那些重要的数据与系统来说,需要结合硬件与软件防护两种手段,确保其运行环境的绝对安全,主要的硬件防护手段包括输入输出通道管理、储存器保护以及虚拟内存保护等等。

三、高校图书馆计算机网络的互联网安全防护措施

现代图书馆的运行与互联网之间存在的密切的关系,比如会使用互联网进行信息的检索、信息的接收发送等,人们也更加习惯使用互联网进行信息的查询,但是互联网中存在的不安全因素非常多,因此在使用中应该更加注意对其进行安全防护。设置防火墙就是比较有效的安全防护措施之一,它是由硬件与软件设备共同组合形成的安全系统,会存在于内部网络与互联网之间,外界的用户如果没有经过授权那么就会被防火墙阻止进入内部网络进行访问,起到一个安全屏障的作用。防火墙的设置应该具有数据包过滤、服务以及网络地址变换等功能,一旦出现可疑的情况能够报警并显示详细的信息,提高了安全防护的效果。

四、高校图书馆计算机网络的病毒防护措施

在防止计算机病毒造成网络安全危害上,除了用户有积极的防病毒意识外,比较有效的方法是安装杀毒软件,防病毒软件可以查杀多种系统环境下的病毒,有查毒、杀毒范围广、能力强的优势。防病毒软件在运行中还需要进行及时的更新升级,对不断出现的不同类型的病毒进行有效的查杀,并且它还具备实时的监控功能,计算机网络在启动、运行的整个过程中就都可以得到安全的保护了。在实际的安全防护工作中,可以将防病毒软件的使用与防火墙的设置相结合使用,可以将杀毒软件的功能附加到防火墙之中,使其增加防病毒的作用,实现病毒与图书馆内部网络的有效隔离。综上所述,图书馆计算网络安全防护中包含安全培训、电磁防护等多种措施,实际的安全工作属于一项复杂又需要不断变化的系统工程,计算机网络安全防护涉及到图书馆网络建设以及发展的整个过程,是一项需要长期坚持的工作,应该始终对其安全防护进行重视,进行技术更新,确保技术、设备等的投入充足,提升图书馆计算机网络安全防护的质量,为图书馆各项工作的顺利开展提供支持。

【参考文献】

[1]林志军.图书馆计算机网络安全与防护措施[J].现代图书情报技术,2004(S1)

[2]秦久英.数字图书馆计算机网络的安全防护技术研究[J].考试周刊,2015(77)

篇4

[关键词]企业 内部网络 安全防护 网络病毒 防火墙

中图分类号:D922.21 文献标识码:A 文章编号:1009-914X(2015)46-0073-01

近年来,信息技术在企业的管理中获得了广泛的应用,企业的许多重要商业数据、核心技术等都以信息数据的形式储存在企业的网络服务系统中。一旦这些数据遭到了窃取和泄露,将会对企业造成严重的经济损失。因此,企业内部网络安全防护系统的建设和完善具有重要的意义。

1.企业内部网络常见的安全问题

1.1 内部的网络安全威胁

一些企业中存在具有一定网络技术的员工,他们有时会出于个人的兴趣或利益对企业的内部网络系统进行恶意的入侵,窃取或篡改相关的信息。这一类的网络安全威胁影响是最大的,因为很难对这种行为进行防范。企业内部的工作人员对企业的网络系统十分了解,能够快速的找出系统中的漏洞和薄弱环节,一旦他们对网络进行攻击,很难进行抵挡和防范。

1.2 网络病毒的攻击

网络病毒也是影响企业内部网络系统安全性的主要因素之一。网络病毒具有很强的感染性和侵入性,并且能够通过对程序的篡改、破坏等删除和伪造文件,对网络系统产生极大的破坏。一旦网络系统中的一台服务器受到了病毒感染,很有可能在极短的时间内就造成整个网络系统的瘫痪,影响工作的正常开展,给企业造成严重的经济损失。

1.3 软件后门

企业的网络系统中有许多类型的软件,一旦这些软件中存在漏洞,就会给黑客入侵产生机会。若网络软件被黑客所控制,将会造成严重的后果。一些企业即使采取了物理隔离的方式对黑客的入侵进行了防范,但无法从根本上阻止黑客的入侵行为,企业数据信息被窃取的现象仍时有发生。当前市面上已经出现了一些软件能够突破企业网络安全系统的物理防护,在不被察觉的情况下窃取企业的信息。

2.企业内部网络安全防护的策略

企业的网络安全防护应当基于一定的体系,根据造成网络安全隐患的因素来制定合理的防护策略。良好的安全防护技术是网络安全的前提和保证,但仅仅依靠良好的技术是远远不够的,企业还应该加强对网络环境的维护和管理,确保网络安全维护技术能够得到有效的发挥,确保安全系统的安全、稳定运行。

2.1 部署网络防病毒系统

企业应当对内部的网络系统设置一定的网络防病毒体系,对局域网内的所有计算机安装一定的防病毒程序,实现对网络系统的实时保护。网络防病毒系统还能实现对服务器的统一管理,管理人员只需要定期的进行杀毒,就能极大的提高网络系统对病毒的抵御能力,提高系统的安全性。

2.2 部署防火墙

防火墙是网络系统的安全屏障,其实质是在用户端与内部网络之间设置了一定的阻碍,只有拥有一定权限和身份认证的用户才能登陆企业的内部网络系统。企业在设置防火墙后可以进行访问权限的限制,并设置相应的防火墙策略,规定允许流通的信息和数据,实现对服务器的访问内容监控。防火墙在提高系统安全性的效果上十分显著,能够有效的过滤信息中存在安全隐患的内容。

2.3 部署入侵检测系统

入侵检测系统可以对网络的信息传输进行实时的监控,一旦发现有身份不明的入侵者或非正常的操作行为,就能及时通知网络管理人员采取相应的措施进行处理。此外,入侵检测系统还会对每天的检测情况产生相应的报告,管理人员只需定期查看相应的报告,就能了解近期内网络的运行情况以及系统中的薄弱环节,从而采取有效的措施进行处理。入侵检测系统还可以与防火墙进行联合使用,加强网络的稳定性。当入侵系统检测到安全隐患时,可以立即启动防火墙对入侵行为进行限制。

2.4 配置漏洞扫描系统

当前,大多数企业网络系统的安全问题不是由加密系统或设备的落后引起的,而是由于网络系统存在的漏洞而引起的。许多黑客就是利用企业网络系统中的漏洞对系统进行攻击和入侵漏洞扫描系统能够对网络系统中的漏洞进行及时的检测,并对可能存在漏洞的环节进行逐一的检测和排查,根据检测结果提出相应的处理方案,并产生系统的检测报告。

2.5 部署网络流量分析系统

网络的利用率是通过网络流量的形式体现出来的,它是反映网络运行状态的重要参数。当网络利用率达到一定的上限时,网络会出现异常的状况,导致很多程序都无法正常的运行,给病毒、黑客的入侵提供了机会。网络流量分析可以对系统的流量变化进行有效的监控,及时发现异常的网络行为,为管理人员的管理提供必要的数据。

2.6 部署内网安全审计系统

内网安全审计系统主要是针对网络用户的一种监督方式。内网安全审计包括行为审计和内容审计,分别对用户操作行为和具体的操作内容进行了监控。通过内网安全审计,网络管理人员能够及时的察觉威胁网络安全的行为,采取有效的措施来规避这些行为对网络安全造成影响。

2.7 部署补丁分发行为

补丁分发是提供网络安全系统完善性的有效手段。系统在运行的过程中会不断出现各种各样的漏洞,这就需要补丁来进行加固和完善。及时的安装补丁能够有效的填补网络漏洞,起到有效的维护网络安全的作用。

2.8 加强对企业员工的网络安全培训

许多企业内部网络的安全问题都是由于员工不正当的网络操作引起的,因此提供员工的网络安全意识对于提高网络安全性具有重要的意义。为此,企业应当定期对员工进行网络安全操作的培训,增强员工的安全防范意识,并教育员工遵守相关的法律法规,避免内部违规操作。

3.结语

在企业信息化管理的进程中,必须做好网络系统安全性的提升,有效防范信息技术应用所带来的安全隐患,通过技术的创新和制度的完善提高网络安全防护的质量和效果,为企业的发展提供一个安全的网络环境。

参考文献

[1] 孙剑.计算机网络安全隐患与防范策略探讨[J].计算机光盘软件与应用,2010(05):96-98.

[2] 周观民.计算机网络信息安全及对策研究[J].信息安全与技术,2O11(06):15-16.

[3] 丁海.浅谈企业内部网络安全防护策略[J].信息通信,2012(06):12-13.

篇5

 

1.1 企业信息化建设现状

 

随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。

 

一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。

 

1.2 企业网络应用现状

 

根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。

 

由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。

 

1.3 网络安全防护现状

 

当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。

 

高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。

 

2 内网面临的网络威胁

 

笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。

 

笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。

 

2.1 突破内网,寻找突破口

 

学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。

 

2.2 一击得手

 

学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。

 

然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。

 

2.3 再接再厉,权限提升

 

学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):

 

2.4 获得系统管理员权限,完全掌控目标主机服务器

 

查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。

 

实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):

 

可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。

 

但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型

 

针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:

 

3.1 802.1X 访问控制技术

 

802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。

 

其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。

 

3.2 ARP spoofing访问控制技术

 

在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。

 

3.3 DNS重定向访问控制技术

 

在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。

 

以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。

 

但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。

 

3.4 网关准入控制——UTM(统一威胁管理)

 

UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。

 

(1)合理部署网关位置

 

UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。

 

从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。

 

(2)UTM优势分析

 

采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。

 

除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。

 

网络安全,不应只关注网络出口安全,更应关注内网中的信息安全,信息的泄漏往往是从内部开始,因此,构建内网访问控制模型就非常重要,采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。

篇6

关键词:计算机;网络管理;安全防护

中图分类号: G623 文献标识码: A

一、计算机及网络安全

所谓计算机及网络安全,它指的是人们通过监控网络管理的手段,或者是采取相关的安全防护技术方法,保证某一个网络环境中,用户数据保持完整,且用户的隐私可以得到有效的保护,避免信息泄露现象的发生。总的来说,计算机及网络安全包括两个方面的内容,一方面是物理安全,即计算机系统设备及相关的设施可以得到良好保护,从而不被损坏;另一方面是逻辑安全,即保障计算机及网络上的信息完整,具有良好的保密性能。

二、计算机及网络安全中存在的问题分析

(1)系统漏洞

在计算机网络中,由于系统本身就有一定数量的漏洞,例如Windows操作系统、UNIX操作系统等,尤其是在局域网网络系统中,若用户使用盗版软件及网管的疏忽,也容易造成网络系统漏洞。网络攻击具有影响范围大、破坏性强和威胁网络安全质量的特点,所以,网络中所存在的漏洞主要是因为TCP/IP协议的不完善、不可靠的UDP协议及错误的计算机程序做造成的,面对当前的系统漏洞,大多数人都是束手无策的,只有通过建立完善、严密的管理制度,并采用科学、合理的技术方法,尽可能提高网络的安全性和可靠性,从而降低漏洞的风险。

(2)病毒威胁

计算机在给人们带来方便的同时,也给计算机病毒提供了有利的机会,计算机病毒是在计算机程序中插入破坏计算机功能与数据、能自我复制的程序代码。当计算机被被病毒感染后,其将在短时间内进行繁殖传播并扩大到整个系统中,造成计算机系统工作效率下降,甚至可能造成计算机系统死机及文件数据损毁等。在计算机网络病毒中,当前最为普遍的则属于木马病毒,其具有极大破坏性的特点,虽然木马病毒不会主动计算机,但是,在安装程序过程中,若程序中携带了木马病毒,则该病毒将立刻向计算机中的其他程序进行病毒攻击,进而造成计算中更多程序的感染,从而破坏了计算机网路的安全。另外,熊猫烧香病毒也是计算机病毒中的一种,其主要是利用下载文档的方法侵入网络来传播病毒,这样就给计算机用户带来了难以估量的损失。

(3)内部管理不当

随着现代计算机技术和网络信息技术的发展,计算机网络在各行各业中的应用越来越普遍。但是在一些用户中缺乏专业的计算机网络管理人员,没有专业的网络安全知识,对计算机网络没有采取有效的防护措施,容易受到计算机病毒和黑客的攻击,造成计算机系统瘫痪。一些企业的内部员工为了自身利益,将企业内部的计算机信息泄露给别人,降低了计算机网络的安全性。

三、加强计算机及网络安全防护的具体措施

(1)建立完善的计算机网络安全管理机制

构建完善的网络安全管理机制不仅可以提高对网络破坏的实时预警,也可以提高计算机网络防护能力,因此,注重网络管理人员的培训工作,安排专业技术强、道德素质高的专业人员来加强网络安全方面的管理,明确网络管理人员的责任和义务,使网络管理人员或计算机使用人员规范操作计算机,进而避免网络安全问题的出现。另外,对于计算机病毒的威胁,随着计算机网络技术的发展,计算病毒也逐渐升级,这就造成了计算机病毒对计算机网络安全构成了严重的威胁。因此,在今后的计算机使用过程中,首先,应安装计算机杀毒软件来减少计算机病毒的入侵,从而减少计算机网络安全问题的发生;其次,安装杀毒软件后,应定期对电脑进行杀毒清理,由于计算机在使用过程中难免会出现一些安全漏洞,因此,定期对电脑进行清理,删除不必要的文件或软件,这样就可以有效减少病毒的入侵;最后,由于一些病毒主要是通过电子邮件、网站文档下载等方式侵入计算机的,因此,对电力邮件、网站信息进行杀毒,并对网站下载的文件信息进行病毒检查,以达到方式病毒入侵的目的。

(2)提高计算机用户的网络安全意识

在计算机网络中,计算机用户网络安全意识的缺乏是造成计算机网络安全问题的最主要因素,尤其是计算机用户使用不当所造成的安全隐患,如计算机信息的丢失、计算机程序的破坏等。因此,在今后的计算机使用中,不仅要加强网络管理人员计算机基础知识的普及,也应加强对计算机用户相关维护措施的讲解,确保每一位计算机网络使用人员能做好计算机维护工作。然而,对于计算机用户来说,也应加强自身网络安全意识的提高,安装正版的杀毒软件,如360、瑞星等杀毒软件,提供用户计算机网络安全防范意识的提高,避免威胁计算机网络安全的行为出现。

(3)加强权限设置和数据保护

在计算机网络上设置访问权限,有利于加强计算机网络的安全运行。对于设置访问权限的系统,只有通过权限身份认证的人才能够进入计算机网络中,阻止没有通过身份认证的人员进入,可以防止计算机系统的信息的流失。权限设置主要包括证明用户身份的合法、权限级别的设置以及记录用户访问的内容。除此之外,做好数据保护工作也非常重要,通过数据加密技术,保证数据在传输过程中的安全性,数据加密技术是指在传输的数据上设置密码,即使被别人通过非法手段获得了传输的数据,也不容易获得数据的内容,也比较容易发现更改的数据信息,这样就可以大大提高计算机网络的安全性。

(4)运用多种技术手段

1、防火墙技术

防火墙技术是目前大家比较常用的一种计算机及网络安全防护技术,它的实现手段非常灵活,既可以通过软件来实现,又可以借助硬件来完成,还可以将硬件和软件有机结合起来达到有效保护计算机及网络安全的目的。

2、网络入侵检测技术

计算机及网络中存在很多的网络入侵行为,造成计算机信息泄露。针对这种行为,人们就可以充分运用网络入侵检测技术,有效保障计算机及网络安全。这种技术一般又称作网络实时监控技术,主要是通过相关软件(或者硬件)对被保护的网络数据流进行实时检查,然后将检查的结果与系统中的入侵特征数据进行比对,如果发现两者的结果一致,则存在计算机及网络被攻击的迹象,这时候计算机就会参照用户所定义的相关操作作出反应,比如马上切断网络连接,防止计算机病毒的传播;或者是直接通知安装在计算机上的防火墙系统,调整计算机访问控制策略,过滤掉那些被入侵的数据包等,从而有效保证计算机及网络的安全。因此,人们可以通过采用网络入侵检测技术,可以有效识别网络上的入侵行为,然后采取相关措施加以解决。

此外,人们还可以运用数据加密技术、黑客诱骗技术、网络安全扫描技术等,从而有效保障计算机及网络安全。

四、结语

综上所述,计算机及网络管理中存在一些问题,既有计算机自身方面的因素存在,也存在很多人为因素。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。除此之外,在计算机网络使用过程中,应做好计算机网络安全保护工作,安装杀毒软件,并及时对其进行杀毒清理,使计算机网络处于安全的环境中,以保证计算机正常运行。

参考文献

[1]杨光,孙洋,王磊,吴冰.计算机及网络的管理与安全防护[J].内蒙古林业调查设计,2013(02).

篇7

[关键词]大数据时代;计算机网络;信息安全

0引言

在互联网快速发展的背景下,产生了大量的数据和信息,人类社会已经进入大数据时代。数据时代能够为人类提供更多的时展信息,更新人类与时俱进的思想观念,为人类之间的交流提供了便利。虽然大数据时代存在诸多优势,但是也增加了计算机网络信息安全风险,如果出现安全问题,不仅会造成信息数据失真,还会影响人类使用信息的实效性。因此,在大数据时代,我国需要高度重视计算机网络信息的安全性,针对大数据以及网络信息的特点,制订完整的计算机网络信息安全管理方案,以免出现信息安全问题,进而推动我国现代化信息建设进程。

1大数据时代计算机网络信息安全防护的重要性

大数据主要指内容庞大的信息数据体系,但如果仅仅了解名称会存在一定的局限性,也就是说真实存在的大数据不会通过某些手段获取。真正意义上的大数据,本质上是在大量的数据信息中简捷、迅速提取重要信息的一种科学技术,且与这种技术有关的技术也列入大数据的范畴中。大数据具有以下特点。第一,信息数量比较多。在科学技术快速发展的背景下,社会对数据信息的使用要求日益严格,为了保证数据信息的精准性,数据信息的加工筛选水平也在不断提高。第二,数据信息的内容丰富多样。数据信息内容多样主要针对交流沟通方式而言,包括图片与视频等,同时和传统的单一化数据结果存在差异,如果出现多种类型的信息数据,大数据信息技术在筛选信息时便会更加复杂。总体而言,大数据时代的计算机网络信息安全防范工作显得越来越重要,在处理大数据信息时使用计算机网络技术能够有效增强数据传递的速度与数据处理效果。但是在实际生活中,计算机网络信息安全隐患普遍存在,信息安全问题也时常发生,甚至会侵犯人们的隐私,因此为了确保国家、企业与个人的安全,应做好安全防范工作,营造良好的网络工作环境,从而才能提高计算机网络安全的防护效率。

2大数据时代影响计算机网络信息安全的因素

2.1网络的开放性

计算机网络在实际应用中具有开放性的特点,在一定程度上说明计算机网络体系具有不稳定性与脆弱性。同时,在网络开放使用期间,互联网背景下的TCP/IP协议无法体现自身的安全性,导致网络基础设备的安全性不足,以至于网络系统在运行期间自身的数据信息处理功能缺失,进而造成计算机网络出现安全问题。

2.2自然灾害

一般而言,计算机网络自身具有比较固定的设备,且网络设备无法全面抵御外部侵害,导致计算机在遇到灾害和污染时不能及时进行自我保护,从而会影响计算机网络信息的安全性。

2.3黑客攻击

对于大数据时代的计算机网络信息,黑客攻击是降低计算机网络信息安全性的一个因素,所谓的黑客攻击就是人类对网络信息进行恶意破坏的一种行为,包括主动性攻击与被动攻击。对于主动性攻击,存在一定的针对特征,通过攻击信息目标毁坏网络信息的完整性,进而会影响网络信息的正常使用。对于被动性攻击,属于网络信息被破解与截获的一种手段,在正常情况下并不会阻碍网络的顺利使用。这两种黑客攻击行为都会对网络信息数据造成一定的影响,造成网络信息缺失或者失真,进而会威胁计算机网络的安全性,甚至会造成网络系统瘫痪,引起计算机网络出现安全风险。

2.4病毒侵袭

在大数据时代,计算机网络具有开放性的特征,无疑会增加病毒侵袭的可能性,而计算机网络病毒存在一定的隐藏性与保存性,在病毒入侵计算机程序时,其潜伏性与毁坏性也会影响网络信息的安全性。此外,计算机网络病毒需要软盘与硬盘作为传播媒介,大幅增加了病毒侵袭的危险性,尤其是熊猫烧香病毒和CIH病毒,一旦侵袭计算机网络,将会给相关企业带来巨大的损失。

3大数据时代加强计算机网络信息安全与防护的策略

3.1依据法律保护计算机网络信息的安全性

大数据应用的范围十分广泛,已经渗透在人类的工作与生活中。随着科学技术的不断发展,大数据逐步走进智能信息化时代,也就是说人类在任何地点都能够获取社会上发生的事件,比如人类借助大数据时代的技术能够了解物流的实际变化趋势、身体健康水平以及电器设备的使用现状等,充分说明大数据时代计算机网络的应用为人类生活提供了诸多有利信息。所以要想有效确保计算机网络信息安全,一方面要健全大数据时代信息使用的相关法律条款,另一方面要制定专门的信息安全防护机制,体现法律的权威性与说服力,保证计算机网络信息的安全。此外,国家相关机构应争取在最短的时间内制定出行之有效的计算机网络安全防护法律,促使人们在应用计算机期间能够保证个人信息安全。

3.2加强计算机网络信息安全管理

近年来,互联网行业发展迅速,数据信息的真实性也在日益提高,并具有多重价值。所以,越来越多的企业都在开发计算机技术,致力于实现经济效益最大化,但是却忽略了计算机网络信息的安全性。针对这种情况,我国需要给予高度重视,且系统地对计算机相关企业加以管理与约束。此外,相关机构需要成立计算机网络信息的专业化管理部门,同时要求相关人员定期对网络运行的相关代码信息进行防毒核查,以人为的检查为手段保证计算机网络系统的安全性,确保网络信息的安全性。

3.3注重应用计算机网络安全技术

为了提高大数据时代计算机网络信息的安全性,我国需要将相关法律与安全技术结合起来,进一步保证计算机网络信息的安全性。因相关法律仍在不断完善中,我国需要注重应用计算机网络安全技术,培养出更多的网络信息安全防护专业人才,切合实际开展计算机网络信息的安全性管理工作,将信息安全防范工作落到实处,进而防止出现黑客攻击与病毒侵袭,从根源上保证计算机网络信息的安全性。(1)防火墙技术。在大数据时代,计算机网络信息安全防护工作,需要利用基础的安全技术进行防护,将防火墙技术应用在计算机网络系统中,可以科学地隔离网络内部与网络外部,确保网络内部的实际操作过程足够安全,进而防范网络外部黑客入侵。同时,相关企业应借助防火墙技术防止出现非法入侵行为。(2)防病毒技术。在大数据时代,企业在开展计算机网络信息安全防护工作的过程中,需要注重应用防病毒技术来保证计算机网络信息的整体安全。在实际操作中,相关人员应在计算机网络中设置杀毒系统,这也是目前为止最有效的信息安全防护措施。同时,相关人员应借助杀毒系统与相关软件及时发现计算机网络中存在的病毒,进一步降低病毒侵袭的概率。一般来说,常见的计算机网络防病毒系统包含360安全卫士与腾讯管家等,但是在设置杀毒系统时需要保证一个计算机网络中存在一个防病毒软件,以免出现各个杀毒软件之间存在干扰的现象,且时常更新计算机网络系统,提升计算机网络的安全等级。(3)网络监控技术。要想有效提高计算机网络信息的安全性,相关企业应借助网络监控技术不断提升计算机网络的安全性能,并加强网络系统安全监控,定期排查安全隐患,依据签名标记法与统计研究法,及时检测计算机网络系统内部出现的信息风险因素。同时。工作人员要结合统计学的相关理论找到存在安全隐患的网络文件,进而全方位确保网络信息的安全性与可靠性。

4结语

篇8

[关键词]网络通信;安全因素;防护措施

前言

随着网络通信技术的发展,通信技术得到了广泛的应用,同时也有效地推动了地方社会经济的快速发展,也为人们的生活带来了极常大的方便。网络通信技术已经成为社会中应用最广泛的工具之一,能够为人们的生活提供信息支持,是现代社会中不可缺少的一部分。网络技术带给人们极大的方便,但是网络通信技术的安全问题时有发生,网络中所具有的安全性问题也日益显现出来。如何能够抓好网络通信的安全问题,就应该有针对性的根据网络通信的安全需要,合理制定相关的政策意见,不断增强网络通信技术的安全防护措施。

1当前网络通信安全领域的现状

计算机网络开始于20世纪末期,它的兴起与发展彻底改变了人民的生活,同时,经历了多年的飞速发展,互联网的改变给人们带来巨大的变化,特别是以互联网为代表的网络行业的兴起,完全改变了人们的传统思维。虽然互联网技术发展的时间不是很长,但是它的出现使得众多的计算机网络技术和结构为人们的网络需求提供了重要的支持,很多以前不曾想象的幻想变成了现实,计算机网络技术将是未来发展的重要趋势。在信息化时代的浪潮里,网络的力量将会推动社会的进步和发展,计算机技术能够对信息数据起到收集和整理的作用,通信技术主要是用来转换和交流数据结果,进而达到信息资源的互相交流。当前的网络通信安全主要是指在现有的网络环境下,通过相关的网络技术手段所采取的安全防护措施对网络通信实施具有预防性的阻止网络系统避免遭到破坏和泄露,来保障通信网络信息技术的安全有效。随着信息技术的快速发展,相关的安全防范研究成果也在不断的更新当中,在市面上常见的网络通信防护设备也很多,如网络防火墙设备、安全路由器等都较为常见。这些通信设备的使用大大提高了网络通信的安全性能,同时还增加了人们对安全信息的利用空间,达到网络信息技术的共享,有力地保证通信领域的安全。虽然已在通信安全领域取得了一定的成绩,但是根据当前的信息网络技术环境能够看出,人们仍然面临着极为复杂的安全形势,还要加快技术手段的防护力度,最大程度的掌握网络通信技术的核心安全技术,深入剖析和研究安全技术的操作,从本质上掌握问题的产生原因,总结出改进问题的办法。

2网络通信安全问题产生的原因

2.1网络系统存在的问题

由于网络通信系统自身是由软、硬件所组成的系统,这样的系统结构很难发挥客户对信息技术的安全防范处理,就会导致安全系统容易受到入侵,盗取网络系统中的重要资料,从而引发网络通信系统的安全问题。现在的新型多媒体网络通信地普遍使用,更容易造成安全地隐患,大量的网络通信安全问题给网络正常运行造成严重地威胁。在日常生活中,这些通常的计算机安全问题会对客户造成巨大的经济损失,也会对社会的安全稳定造成不必要的影响。应该尽快建立网络通信的安全隐患处理机制,加快研发网络信息的应急处置方案。网络通信的安全问题还有很多人为原因的影响,例如:计算机系统的泄露等,这些问题也充分说明计算机网络的安全工作任重道远。

2.2网络信息的传输安全问题

网络通信在进行传输的过程中,由于在运输的设计方面有时会存在安全隐患,没有设计完备的安全保护措施就会埋下不安全因素的隐患,这样就会对通信网络的安全问题产生极大的影响,带来一定的安全隐患,有时由于传输信息的过程中没有制定相关的电磁干扰手段,就会使信息在传送的过程中受到干扰电磁辐射的影响,这样就会使一些不法分子的设备很容易接收到有用的信息资料。

2.3安全意识淡薄

现在的很多网络技术人员仍然存在麻痹大意的思想,严重缺乏网络安全防范的强烈觉悟,总是认为安全防范能力已经很高,不能受到网络的入侵,就是在这种情况下,很多的重要数据资料遭到破坏,很多的黑客利用这些便利条件实施入侵活动。

3网络通信的防范手段

要想彻底解决网络信息的安全问题,就应该下大力度从信息系统的监管上有效实施网络技术的控制。

3.1全面升级信息系统的安全防范体系

加强所有的信息系统相互之间的配合与预防,成功抵挡黑客病毒的侵入。使用通信网络时,设定不同程度的安全鉴定等级及相应的保护措施,有效地避免非法用户通过利用软件手段的漏洞进行对网络通信系统的攻击,这样也能有效的保护网络系统的安全。

3.2认真科学合理的系统管理体制

应该通过建立一套完整的系统机制,有效地增强系统的防范能力,也就是常说的加强防火墙系统的开发研制力度,特别是针对现在的新型病毒,更要加大研发力度,要定期开展系统的升级工作,有效防范各种病毒的侵入。

3.3强化用户的防范能力

在时刻注意自身的网络是否存在安全隐患,使自己的网络通信避免遭到病毒的入侵。要加强自身的网络通信管理,强化相应的防范能力,所有的安全技术和手段都只是辅助作用,还要依靠人员的自身作用。

4结语

通过上面的分析能够看出,随着通信技术的不断深入,网络信息成为了人们工作生活中不可缺少的重要组成部分。但是网络安全的隐患也时刻存在,这就要求技术人员要时刻保持积极应对的思想状态,结合行业的成功经验和做法,为有效进行网络通信安全预防做好基础。只有这样才能避免遭到巨大的损失。所以应该对这些存在的安全隐患进行排查和处理,并根据这些问题制定有效的解决办法,这样才能保证通信网络的安全,才会使网络通信领域发展得更好。

主要参考文献

[1]张咏梅.计算机通信网络安全概述[J].中国科技信息,2006(4).

[2]黄伟.网络安全技术及防护体系分析[J].微型电脑应用,2015,21(12).

[3]戴宗昆,罗万伯,唐三平,等.信息系统安全[M].北京:金城出版社,2000.

篇9

物联网是互联网技术和射频识别(RFID)技术二者相互融合的产物,并随着互联网和移动网络融合的深入和扩大,可以为广大用户提供更加深入、更具移动特性的服务体系和网络体系。物联网采用的接入手段为无线城域网(wiMax)、无线局域网(wiFi)、移动通信网络(包括4G网络、3G网络、2G等),终端选用专用终端、便携式计算机、个人数字助理(PDA)、手机等,通过无线应用协议(WAP)来使用访问互联网业务。物联网安全威胁主要包括业务安全威胁、网络安全威胁、终端安全威胁。通过无线信道在空中传输物联网信息数据,很容易被非法篡改或截获。非法终端也很有可能在进入无线通信网络时,以假冒的身份来开展各种破坏活动。即便是合法身身份的终端也很有可能对各种互联网资源进行越权访问。业务层面的安全威胁包括传播不良信息、垃圾信息的泛滥、拒绝服务攻击、非法访问数据、非法访问业务等。

2物联网面对的安全问题

对于传统的网络而言,业务层的安全与网络层的安全二者是完全独立的,但是物联网则不同,它具有自己的特殊性。由于物联网是在现有的互联网技术基础上集成了应用平台和感知网络而形成的,互联网给物联网提供了许多可以借鉴的安全机制,如加密机制、认证机制等,但是值得注意的是,应该按照物联网的特征来适当地补充、调整这些安全机制。物联网面对的安全问题主要体现在以下四个方面。

2.1RFID系统安全问题

RFID射频识别技术获得数据的方式是通过射频信号来对目标对象进行自动识别,无需人工干预就可以自动识别多个标签和高速运动物体,操作较为简单、方便,是一种典型非接触式的自动识别技术。黑客对于RFID系统的攻击主要是破解、截获物联网的标签信息。攻击者获得标签信息之后,通常就会利用伪造等方式来非授权使用RFID系统。目前国内外IT界大多都是通过加密标签信息的方式来保护RFID的安全。但是值得注意的是,这种方式仍然存在着安全漏洞,不能让人完全放心。RFID芯片若没有得到有效保护或者设计不良,攻击者仍然会有很多方法来获取RFID芯片的数据信息和结构。

2.2物联网业务的安全问题

因为物联网节点通常都是采用无人值守的方式,且都是先部署物联网设备完毕之后,再将网络连接起来,所以,如何对物联网设备进行远程业务信息配置和签约信息配置就成为了一个值得思考的问题。与此同时,多样化且数据容量庞大的物联网平台必须要有统一且强大的安全管理平台,不然的话,各式各样物联网应用会立即将独立的物联网平台淹没,中央很容易会将业务平台与物联网网络二者之间的信任关系割裂开来,产生新的安全问题。3.3核心网络的传输与信息安全问题核心网络所具备的安全保护能力相对较为完整,但是由于物联网节点都是以集群方式存在,且数量庞大,这样一来,就很容易使得大量的物联网终端设备数据同时发送而造成网络拥塞,从而产生拒绝服务攻击。与此同时,目前物联网网络的安全架构往往都是基于人的通信角度来进行设计的,并不是从人机交互性的角度出发,这样就将物联网设备间的逻辑关系进行剖裂。

2.4黑客很容易窃取和干扰物联网信息的传输

由于在很多场合,物联网的传输方式都是依靠无线传输,而无线传输若没有适当地加以保护,那么很容易被黑客所窃取和干扰,这样一来,就会对物联网网络的安全造成很大的影响。与此同时,物联网能够取代人来完成一些机械重复、危险、复杂的工作,因此,物联网设备很多都是设置在无人监控的地方,黑客可以通过远程操作更换物联网设备的软硬件,或者直接破坏设备,给物联网设备的本地安全造成很大的威胁。

3物联网网络安全防护措施

3.1物联网的业务认证机制

传统的互联网认证技术是要对不同层次进行明确的区分,网络层的认证和业务层的认证完全分开,相互独立,业务层的认证只负责鉴别业务层的身份,而网络层的认证就只负责鉴别网络层的身份。但是物联网则完全不同,它将网络通信和业务应用紧紧绑定在一起。但是值得值得注意的,无论物联网技术发展到何种程度,网络层的认证都是不可或缺的,而业务层的认证则可有可无,它可以根据和业务的安全敏感程度和谁来提供业务信息来进行设计。例如,当由运营商来提供物联网的业务,那么就完全不需要进行业务层认证,而只需要利用网络层认证结果即可。而若是由第三方来提供物联网的业务,而不是由运营商来提供,那么就可以不需要考虑网络层的认证,只需发起独立的业务认证即可。当业务是金融类、个人信息类敏感业务,则必须采取更高级别的安全保护,而在这种情况下,就必须进行相应业务层的认证。而当业务只是气温采集、位置定位灯普通业务时,就可以不再需要业务层的认证,网络认证即可。

3.2物联网中的加密机制

逐跳加密是传统的网络层加密机制,即在发送信息数据的过程中,转发到节点和传输的过程采取密文方式,而信息在接收端和发送端之间则采取明文。但是众所周知,物联网的业务使用和网络连接是紧密结合,这样一来,就面临着是选择端到端加密,还是选择逐跳加密。逐跳加密只是在网络层进行,且不需要对所有信息数据都加密,只需要对那些受保护的链接加密即可,因此,可以在所有的业务中都适用,也就是说,能够在在统一的物联网业务平台上对所有不同的业务进行安全管理,这样一来,就有效地保证了逐跳加密的可扩展性好、低成本、高效率、低时延的特点。但是值得注意的是,逐跳加密需要对信息数据在各传送节点上进行解密,因此,各个节点都很有可能会对被加密消息的明文进行实时解读,安全隐患较大,各传送节点的可信任度必须很高才行。而端到端的加密方式则不同,它选择不同的安全策略主要是按照业务类型的不同来选择的,低安全要求的业务不提供或者只提供低安全等级的保护,高安全要求的业务才会提供高安全等级的保护。但是端到端的加密方式有个致命的确定,那就是不能保护消息的目的地址,不能对被传输消息数据的终点与源点进行掩盖,很容易遭到恶意攻击。综上所述,对于高安全需求的业务,最佳的选择是采用端到端的加密方式;对于低安全需求的业务,则可以先选择逐跳加密的保护方式。

3.3加强物联网网络防火墙的控制

目前物联网网络上常采用的防火墙技术主要是过滤防火墙、防火墙。如新毒霸悟空2013免费杀毒软件下载安装后可电脑和手机双平台杀毒,金山毒霸2013悟空正式版下载安装后不仅可以查杀电脑中的病毒木马,还能查杀手机中的病毒木马,防止恶意扣费。新毒霸2013悟空采用金山云启发引擎,速度遥遥领先于传统杀毒软件。金山杀毒2013新毒霸悟空永久免费杀毒软件比金山毒霸2012猎豹免费杀毒软件的查杀速度更快,金山毒霸2013悟空正式版拥有30核云查杀引擎,查杀运行在云端,不占用内存,不影响电脑速度,金山毒霸2013官方下载安装后全面保护您的电脑安全。它拥有全球最先进的云查杀引擎,金山毒霸2012官方免

费下载安装后拥有超强的病毒分析和查杀能力,已实现全新病毒99秒内快速鉴别,且只有10兆左右的安装包和10兆不到的内存占用,还拥有10秒以内的安装速度,金山毒霸2013官方免费下载最新版相比金山毒霸2012官方免费下载版本查杀速度有很大的提升,金山杀毒软件让您的电脑彻底远离卡机、死机问题。 3.4政府应该加强对物联网信息安全研发的支持

物联网已日益成为现代工业社会的基础,政府应该与IT商联手,共同支持一批物联网信息安全领域的研发项目,以期尽快为物联网的发展创造更好的网络安全环境。例如德国政府就于近日开展了一系列物联网信息安全研发,以此来巩固德国作为世界最安全经济体的地位。此次实施的研发项目以物联网中的嵌入式信息系统安全、数据传输及编码过程安全为重点,采用产学研合作的形式进行,如卡尔斯鲁尔的Wibu-SystemsAG公司牵头的“嵌入式操作系统的集成化保护”项目,将研发能保障开放的互联网环境下嵌入式操作系统安全可靠运行的新型信息系统硬件结构;Furtwangen科技大学协调的项目“虚拟-现实系统通用多形态安全解决方案”,致力于研发物联网中恶意攻击和远程操控行为的识别和应对技术方案;弗朗霍夫学会海因利,!希-赫茨研究所牵头的项目“物联网高效安全编码技术”,研究重点为物联网数据无线传递过程的高效安全编码及加密技术方案。德国联邦教研部、联邦内政部将投入科研经费约800万欧元。

篇10

关键词:等保测评;数据中心;基础网络

伴随着互联网中的应用程序日渐丰富与多样化,数据中心的基础运行环境由原来的C/S架构逐渐向由通过网络设备互联的服务器集群的方面转型。因此,由传统的通过硬件、操作系统、操作系统之上的应用系统所组成的基础架构变得越来越复杂。然而,这越来越复杂的结果导致即将转型为数据中心的安全体系带来了更多的风险与困难,一些数据中心的安全策略配置不当或者不正确,往往都会给非法入侵者留下可被利用的后门或漏洞。尽管网络管理员、系统管理员、系统安全员等相关负责人都已经拥有相对较高的安全防护理念与意识,并通过不断架设安全设备来保障数据中心的安全性与健壮性,但对于层出不穷和日益完善的黑客攻击手段,这些传统的防御理念和措施仍不足以保障数据中心的安全。因此,管理集约化、精细化的产物——数据集中就应运而生。目前国内企业信息化建设、电子政务兴起都将倚靠数据集中的蓬勃发展。同时,数据大集中以及大数据的推动也必将倚靠数据中心的建设。作为网络中资源最密集的载体、数据交换最频繁的中心基础网络,数据中心无疑是一个充满发展前景的新星产业。然而,数据中心由于是大数据的集合,必然包含无数信息与机密,对于数据中心上的任何防护漏洞必将导致无法计算的损失,因此构筑一道完善且完整的安全防护体系将是其首要解决的问题。

一、现有数据中心安全分析

1.1 针对应用层面的攻击。应用层面的攻击方式包括缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指"通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪"[1]。从本质上讲,蠕虫可以在网络中主动进行传播,进而对系统进行破坏,而病毒则需要手工干预,比如利用外部存储介质的读写、点击非法链接而被植入病毒。1.2 针对网络层面的攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻击程序有UDP反弹以及ICMP Smurf等方式。DDOS/DoS攻击利用了TCP/IP的开放性原则,即协议自身规定的从任意源地址向任意目标地址都可以发送数据包,导致DDOS/DOS利用合理的、海量的、不间断的服务请求来耗尽网络、系统等可利用的资源,使得合法用户无法获取正常的服务响应。随着分布式技术的不断的完善与改进,及时在网络和系统性能的大幅提升的今天,数以亿计的主机同时对某一网络系统发起攻击,造成的后果不言而喻,最直接的影响即使网络瘫痪、系统无法正常使用。1.3 针对网络基础设施的攻击。数据中心作为一个充满发展前景的新星产业。又是大数据的集合,其中包含了无数信息与机密数据,即使安全设备部署的再完善,如果内部管理不当,依然会被攻破,而且来自内部的攻击更具破坏性。企业内部的不法分子在充分了解数据中心的架构与部署的前提下,不仅可以通过黑客技术绕过防火墙,还可以凭借对网络构架的充分了解,通过嗅探技术、违规访问、攻击路由器/交换机设备等手段,访问非授权的数据,这将无疑对企业造成更为重大的损失。1.4 数据中心网络安全设计原则。由于数据中心承载着其上用户的所有机密数据、核心业务或核心技术,并且数据中心还为内部之间提供数据之间的交换与业务之间的交互。因此,在构建数据中心的网络安全时,要从以下几个方面进行合理规划与建设:1.4.1安全分区:要将数据中心的网络划分为各个不同的安全区域,同时确保不同区域之间未经许可不能访问,用户和客户机在对数据中心访问时只可以访问他可以访问的区域,禁止违规外联和非法访问以及恶性的入侵攻击。1.4.2性能保障:要通过建立高性能、可靠性高的网络环境,确保数据在网络中传输的完整性,同时可以利用CRC循环校验算法校验数据在网络中的丢失情况,使得数据在网络传输过程中加了双重保险。1.4.3技管并重:很多人会认为,只要技术上有了足够的保证,那么安全性必然有了保证。其实不然,正所谓系统的安全性保证都是三分靠技术,七分靠管理,技术层面设计得再优良,也要有与之对应的管理制度去推动。1.4.4新近原则:及时汲取当前最新的安全技术,以减轻安全管理的负担为目标,实现安全管理的自动化,同时减小因为人为管理认知上的漏洞对系统安全造成威胁。1.4.5平衡发展:在构建数据中心的时候要充分考虑今后业务和网络安全的共同协调发展,既要能满足今后业务的扩展,又要能够实现当前技术与未来新技术的无缝链接,避免只满足系统安全要求,而给业务发展带来障碍,或者为了扩展业务而忽视了安全建设的情况发生。

二、数据中心网络安全设计要求

2.1 物理安全设计要求

2.1.1 物理访问控制。机房存放着网络设备、服务器、办公环境以及信息系统的设备和存储数据的介质及相关设备场所,机房各出入口应安排专人负责,记录进入的人员,划分关键设备与非关键区域,区域之间通过玻璃隔断实现物理隔离,关键区域采用智能卡和指纹识别的门禁系统,对进入关键区域人员实现“双道”鉴别。2.1.2 温湿度控制。机房存放着不同业务系统的主机,由于主机在运行时会产生大量的热量,而保证良好机房环境的精密空调系统则成为不可获取的必备设施。而机房精密空调系统就是为了保证公司内部机房中的网络设备、安全设备、服务器等一系列硬件设施能够连续、稳定、可靠地运行,同时,精密空调系统还需要维持机房内恒温恒湿状态,防止静电现象的产生导致设备的损坏。2.1.3 电力供应。公司机房的其供电要求非常高,按照等级保护四级系统的要求应采用UPS不间断电源,以保证在机房断电的同时,通过UPS不间断的供电来保证机房内部实施的稳定、正常运行,为电力抢修赢得时间。同时其供配电系统应采用N+1冗余并机技术以实现空调设备、动力设备、照明设备、测试设备等设备的正常使用。2.1.4 动力环境监控系统。数据中心机房除了部署视频监控系统、UPS系统、消防系统、精密空调系统,还应该部署水敏感检测装置、红外告警装置等,且所有系统统一集成动力环境监控系统中,方便机房管理员有效了解温湿度、消防、电源、UPS等状态以及告警信息,及时对告警信息进行分析和处理。

2.2 网络安全设计要求

2.2.1 区域边界安全。应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查;应逐步采用网络准入、终端控制、身份认证、可信计算等技术手段,维护网络边界完整性。安全区边界应当采取必要的安全防护措施,禁止任何穿越数据中心中不同业务之间边界的通用网络服务。 数据中心中的的业务系统应当具有高安全性和高可靠性,禁止采用安全风险高的通用网络服务功能。2.2.2 拒绝服务攻击。在数据中心中针对网络层面的攻击主要包括分布式拒绝服务攻击(DDoS)、拒绝服务攻击(DoS)等。虽然DDOS/DOS存在由来已久,但其破坏力却仍然被网络管理员以及安全管理员所忌惮。最常见的DDOS攻击方法有ECF(Established Connection Flood)、SYN Flood和CPSF(Connection Per Second Flood)。部署相关的网络安全设备,抵御DDOS/DOS的攻击。2.2.3 网络设备防护。实施工程师和客户之间存在不可或缺交流的问题,大部分实施工作以能够“通信”为原则,忽略网络设备安全防护的能力。设备应该关闭使用多余接口、采用SSH V2作为远程管理协议、为不同管理员分配不同权限的账号,实现“权限分离,多人账号管理”根据业务的要求,制定详细访问控制策略,提升网络设备的安全性。2.2.4 恶意代码防护。随着技术的快速,数据中心网络面临各种可能性的攻击。缓冲区代码溢出、植入病毒、蠕虫攻击、植入后门木马等,其中,应用攻击中最典型的方式为蠕虫攻击。蠕虫是指“通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪”[1]。在数据中心网络出口处部署恶意代码防护系统,防止计算机病毒、木马和蠕虫从网络边界处入侵而造成的传播破坏,对恶意代码进行检测和清除。2.2.5 入侵防护防御系统。随着业务系统发展的需要,WEB服务器需要暴露公网环境中,随时都面临被攻击的可能性。在DMZ边界部署入侵防御系统,能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用,制定详细入侵防范策略,修改默认策略,发生攻击行为时记录日志。

2.3 安全审计设计要求

2.3.1 日志服务器。日志可以帮助我们分析设备是否正常,网络是否健康,任何设备或系统都应该建立完整的日志系统。部署日志服务器,对交换机、路由器、安全及相关设备运行日志进行集中收集, 便于管理员了解网络运行情况以及方便故障排除。2.3.2 安全审计。数据中心部署审计平台网络设备的运行状况、网络流量、管理记录等进行监测和记录,记录时间、类型、用户、时间类型、事件是否成功等相关信息,利用审计平台生成的记录和报表进行定期分析,为了方便管理员能够及时准确地了解网络设备运行状况和发现网络入侵行为。

2.4 数据备份与恢复设计要求

涉及数据中心的业务相对比较重要,数据大而多,多存放于本地或异地容易容灾系统,一旦发生不可预见对的困难,影响范围广和后果难以估计。因此,数据中心必须具备备份与恢复检测,确认信息的完整性和可用性,确保数据能够及时恢复。数据备份与基本要求:(1)每天进行增加备份,每周进行全额备份;(2)应部署异地容灾系统,通过数据中心基础架构实现关键数据的异地备份;(3)与容灾中心进行异地备份要进行完整性校验,确保备份数据有效性;(4)数据须至少每个月进行恢复测试,以确保备份的有效性和备份恢复的可行性。

三、结束语

数据中心网络技术突破了传统的物理结构限制的壁垒,高效整合和利用了各项基础设施资源,为网络技术发展和虚拟化技术发展带来革命性突破,同时也给信息产业带来新的机遇。但新的技术总是伴随着新的安全隐患,而安全问题若不能得到合理解决将会阻碍其技术的发展,这需要在未来技术发展中深入分析和了解以寻求解决之道。数据中心建设过程中的网络安全是数据中心安全体系的最基本、也是最重要的环节,只有合理的设计网络安全规划方案,并提供持续安全加固的扩展性设计,才可以保证基础网络平台的安全性与可靠性。但要构建全方位、高安全的数据中心体系,还需要融合物理安全、网络安全、主机安全、数据安全、应用安全、以及管理制度等方面,从各种安全角度出发进行相应的安全规划,并不断完善数据中心的安全防范等级。

作者:冯国礼 李蓉 王晔 单位:国网宁夏电力公司信息通信公司

参考文献

[1]GB/T22239-2008.信息系统安全等级保护基本要求[S].