前言:我们精心挑选了数篇优质网络安全解决方案文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
【关键词】网络;安全;技术防范;对策
【中图分类号】TP393.08 【文献标识码】B 【文章编号】1672-5158(2013)01―0445―02
引言
近年来,随着经济社会的快速发展,互联网得到快速增长,互联网的应用领域不断扩张,已经从传统领域拓展到非传统领域,而且影响力越来越大。据中国互联网络信息中心(CNNIC)近期的《中国互联网络发展状况统计报告》显示:截至2012年12月底,手机网民数量为4.2亿,中国网民数达到5.64亿,全年新增网民5090万人,普及率为42.1%;微博用户规模为3.09亿,较2011年底增长了5873万。域名总数为1341万个,其中“.CN”域名总数为751万,“.中国”域名总数为28万。中国网站总数(即网站的域名注册者在中国境内的网站数)回升至268万个(去年底只有183万)。网络安全从大的方面讲,关系国家安全、社会稳定;从小的方面讲,网络安全涉及个人信息安全、财产安全,因此,积极研究探讨适应新形势发展要求的网络安全方案,对确保网络安全,提升网络服务质量具有十分重要的现实意义。
1 加强网络安全的现实意义
随着信息化技术的不断发展,网络已经成为一种联通各地、各个领域的重要基础设施,计算机网络的发展为人们的生产、生活、工作带来了极大便利,拉近了全球的距离。但在看到网络给人们带来便捷的同时,还要清醒地认识到网络作为一个面向公众的开放系统,如果网络安全意识不强、网络安全防范措施不力,就会产生网络安全隐患。特别是随着信息网络技术的飞速发展,网络得到广泛普及和应用,应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,已经被行政部门、金融机构、企业广泛应用,网络在这些领域的广泛应用,也进―步加大了网络安全的风险。如何保持网络的稳定安全,防止诸如黑客攻击、非正常入侵等安全问题的发生,是一项重要任务。
由于网络系统结构复杂、涉及终端众多、系统开放,网络系统面临的威胁和风险比较多,归纳起来主要来自外部的人为影响和自然环境的影响,这些威胁有的是对网络设备的安全运行存在威胁,有的是对网络中的信息安全存在威胁。这些威胁的集中起来主要有:非法授权访问,假冒合法用户,病毒破坏,线路窃听,黑客入侵,干扰系统正常运行,修改或删除数据等。这些威胁一旦成为现实,将对网络系统产生致命的影响,严重的可能会导致系统瘫痪,传输信息被非法获取和传播,会给相关机构和网络用户造成不可挽回的损失。
在网络快速发展的新形势下,全面加强网络安全建设,提升网络安全等级,对确保和维护网络用户利益,维护单位整体形象都具有十分重要我。特别是在当前,终端用户往往会在终端中存储大量的信息资料,工作手段也越来越依赖于网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,因此,积极研究探索与网络发展同步的网络安全解决方案,全面加强网络安全建设,是各级网络管理部门及用户的重要职责,必须要高度重视,扎实推进。
2 信息系统安全威胁与风险分析
认真分析信鼠系统安全威胁与存在的风险,是进行风险管理、制定网络安全方案的前提和基础。通过进行有效的系统安全威胁与风险分析,可以帮助相关机构和用户选择合作的控制措施来降低风险。
2.1 物理安全风险分析
网络物理安全是整个网络系统安全的前提,相关的物理安全风险主要有:地震、水灾、火灾等环境事故造成整个系统毁灭;电源故障造成设备断电以至操作系统引导失败或数据库信息丢失;设备被盗、被毁造成数据丢失或信息泄漏;电磁辐射可能造成数据信息被窃取或偷阅;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。
2.2 链路传输风险分析
网络安全不仅是入侵者到企业内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全危胁。
2.3 网络结构的安全风险分析
来自与公网互联的安全危胁,基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全危胁。一些黑客会制造病毒透过网络进行传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。
内部网络与系统外部网互联安全威胁。如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。恶意攻击,入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
内部局域网的安全威胁。据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人信息传播出去。这些都将对网络安全构成严重威胁。
2.4 系统的安全风险分析
系统的安全往往归结于操作系统的安全性,决定于网络操作系统、应用系统的安全性。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,系统本身必定存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。因此,必须要高度重视系统的安全风险,科学进行系统安全配置,从而有效降低系统风险。
2.5 应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。比如由于资源共享、使用电子邮件系统、受病毒侵害、数据信息被非法窃取,篡改等,这些都是应用层面应当防范的安全风险。
2.6 管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。机房存在恶意的入侵者,内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。一些网络系统管理由于责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
3 网络安全解决方案
可以通过配置诸如:标识、密钥管理、安全管理、系统保护、鉴别、授权、访问控制、抗抵赖、受保护通信、入侵检测与抑制、完整性证明、恢复安全状态、病毒检测与根除等技术类安全控制来有效防止给定类型的风险与威胁;通过建立相关的安全管理机制,实现管理在的安全控制;通过建立一整套严谨的控制指南,实现操作类的安全控制,从而实现信息系统安全控制。
3.1 做好物理防护
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。要严格按照相关标准建设网络,防止人为降低建设标准。确保设备安全,采取有力措施搞好防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
3.2 确保系统安全
要认真判断网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的。对于操作系统要尽可能采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件,对使用权限进行严格限制;加强口令字的使用,增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令,并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些没有经常用的协议及协议端口号。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
3.3 突出网络安全
网络安全是整个安全解决方案的重中之重,要从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面,采取切实可行的对策措施,确保网络安全。要严格落实《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等安全管理制度。设置虚拟子网,各子网间不能实现互访,实现初级访问控制。设置高等级防火墙,通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。建立网络扫描系统,对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,并自动进行相关修复。通过预防病毒技术、检测病毒技术、杀毒技术,实施反病毒措施,防止病毒进入网络进行传播扩散。
3.4 确保应用安全
应用是信息系统安全应当关注的重要内容,要通过规范用户的行为,来实现应用安全。要严格控制内部员工对网络共享资源的使用,尤其要限制共享资源的滥用,在内部子网中一般不随意开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。适当配置资源控制,要精心设置访问权限,并拒绝未经授权人员的登录,减少有意或无意的案例漏洞。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库进行远程备份存储。
摘 要 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词 信息安全;pki;ca;vpn 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的it技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用pki技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1 2)应用系统 经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。 2.2 信息安全现状 为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。 3 风险与需求分析 3.1 风险分析 通过对我们信息系统现状的分析,可得出如下结论: (1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。 (2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。 通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在: (1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。 目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。 当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。 针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。 美国联邦调查局(fbi)和计算机安全机构(csi)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。 信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。 (2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。 已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。 网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。 3.2 需求分析 如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点: (1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。 (4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。 4 设计原则 安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。 4.1 标准化原则 本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。 4.2 系统化原则 信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。 4.3 规避风险原则 安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。 4.4 保护投资原则 由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。 4.5 多重保护原则 任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。 4.6 分步实施原则 由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5 设计思路及安全产品的选择和部署 信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。 图2 网络与信息安全防范体系模型 信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。 5.1 网络安全基础设施 证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用pki/ca数字认证服务。pki(public key infrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的pki/ca数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标: 身份认证(authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。 数据的机密性(confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。 数据的完整性(integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。 不可抵赖性(non-repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。 5.2 边界防护和网络的隔离 vpn(virtual private network)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。 通过安装部署vpn系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程lan的安全连接。 集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。 集中的安全策略管理可以对整个vpn网络的安全策略进行集中管理和配置。 5.3 安全电子邮件 电子邮件是internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。 目前广泛应用的电子邮件客户端软件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions ),它是从 pem(privacy enhanced mail) 和 mime(internet 邮件的附件标准 ) 发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, s/mime 将信件内容加密签名后作为特殊的附件传送。 保证了信件内容的安全性。 5.4 桌面安全防护 对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。 桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。 1)电子签章系统 利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入office系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。 2) 安全登录系统 安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。 3)文件加密系统 文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。 5.5 身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。基于pki的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。usb key是一种usb接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用usb key内置的密码算法实现对用户身份的认证。 基于pki的usb key的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 6 方案的组织与实施方式 网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。 图3 因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作: (1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。 (2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。 (3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。 (4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。 7 结论 本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。 也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。 参考文献 [1] 国家信息安全基础设施研究中心、国家信息安全工程技术研究中心.《电子政务总体设计与技术实现》
关键词:网络安全威胁;安全需求;防火墙;IDS;网络安全
中图分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
[2]杜宇峰.网络安全与防护[J].电脑知识与技术.2007(18).
关键词:移动云计算;网络安全;解决思路
移动云计算领域是云计算和互联网相互融合而产生的,通过移动网络获取资源的一种交付模式。网络的发展也会带来些许问题。接下来笔者通过对移动云计算的内容进行详细介绍,分析当前面临的一系列网络安全问题,并提出探讨出适合各个安全问题的解决方法。
一、移动云计算
想要更好的找到解决网络安全的方法,就要先了解移动云计算的详细内容,接下来通过对内容的梳理使得读者可以更好地了解。服务模式。服务模式可能涉及到使用信息技术和软件,互联网或其他服务。云计算的主要思想是,为了将与网络有关的大量计算机资源综合起来,创建一个计算机资源库,为用户提供所需服务。提供资源的网络被称为“云”。云资源丰富,用户方便获取,可根据需要使用。
二、移动云计算领域的网络安全
现如今的科技发达,网络普及快速,网络安全也因此更加严峻。在移动云计算环境之下,很多软件,硬件应用在内,而且移动云是完全公开的,所以解决起来也需要全方面的考虑。
(一)网络安全网络安全包括保护硬件、软件和数据不受恶意或意外干扰、破坏和泄漏的影响。整个环境保持稳定,网络通畅。移动云计算环境下的网络安全必须是创新的,并与传统的网络相结合。传统的网络系统在流动云层系统方面发生了重大变化:传统的企业网络系统相对关闭,其主要应用程序在企业内部。只有web服务器,邮件服务器和其他几个面向外部世界的节点是通过移动云计算的。因此,只有在外部接口安装防火墙,才能满足基本的安全需要。但是,移动云具有面向人群、部署更加复杂灵活等特点。计算云层的方法是分布式计算、网格计算、功能计算、虚拟化、负载均衡、移动互联网等多种技术综合作用的结果,因此,与计算云相关的网络安全问题日益严重。
(二)移动终端设备安全问题首先,它的保护重点是控制权和移动设备的系统权利。为了使终端能够成功地访问移动云环境,必须制定一项安全战略,其中包括强制性身份证和合法获取身份资料的机会,非法保护和定期更新密码有效防止未经授权的帐户使用同时,移动云服务供应商也必须提供安全的移动应用程序。限制某些不安全的用户操作,实时防止某些危险行为,及时控制终端安全。移动式云层安全软件还应有助于发现所有移动客户的行为异常,并与此相结合。第三,移动云安全软件还应多方技术手段,支持对其所有移动客户端中的应用软件行为进行异常检测,获得最新的特洛伊木马数据,向所有移动客户分发安全解决方案;确保有效的终端安全。
(三)移动云计算管道安全移动云环境中的管道是计算云计算整个结构的中间环节,或者可以说是云移动的安全地点。移动终端的种类和访问范围广泛。因此,移动设备的使用必须统一。应用程序服务接口。我们也需要通过一个外勤安全战略。在建立一个单一的服务接口,需要建立一个狭窄的通信渠道,这样,作为防火墙,安全网关等,迫使攻击者使用这个狭窄的通道进行监测和监视。同时,可以在一个狭窄的通道中部署一个数据内容过滤装置,以找到和筛选敏感信息,这允许您过滤各种网络协议的内容。此外,在数据传输过程中,必须保证数据包通过管道加密。同时,当数据包通过管道时,管道可以用数据包封给每个用户一次,每个包都会生成随机密钥,破解密钥的方式只能为云服务商知道,采用若干密码机制,防止主动和被动攻击,如拦截、中断、伪造、伪造等。确保传输管道的安全和通畅。
随着计算机技术和互联网技术的不断发展,网络技术已经被广泛应用于企业管理中。电子信息时代的网路安全技术是保证企业信息安全的坚强后盾,本文就网络安全技术在企业中的应用做出研究,总结网络安全问题的解决方案。
【关键词】网络安全技术 解决方案 企业网络安全
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1 网络安全技术
1.1 防火墙技术
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为服务防火墙和包过滤技术防火墙。服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2 加密技术
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其破解。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3 身份鉴定技术
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜, 一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2 企业网络安全体系解决方案
2.1 控制网络访问
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2 网络的安全传输
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客破解企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被破解的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码破解技术也要花费相当长的时间,等到数据被破解后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3 网络攻击检测
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3 结束语
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。
参考文献
[1]周观民,李荣会.计算机网络信息安全及对策研究[J].信息安全与技术,2011.
[2]韩萍,蔡志立.计算机网络安全与防范[J].硅谷,2011.
关键词:网络;防火墙;访问控制列表
中图分类号:TP3
吕城初级中学是丹阳市农村中学的重点学校,作为典型的基础教育学校,该校校园网建设同样面临着网络安全的问题。为此,作者从实际需求的角度出发,以保障校园安全教学原则为准则,设计了校园网络安全的防护体系。针对我校的具体情况,将该校园网分为三级结构:以位于行政楼内的校园网控制中心为核心;与校园内各建筑(行政楼、教学楼、学生公寓楼、教职工宿舍楼)互连形成园区主干;各建筑物内再扩展面向用户的局域网。园区主干连接为1000Mbps,建筑物内部的用户局域网提供到桌面的100Mbps网络带宽。
我校采用思科公司的千兆交换产品Catalyst 2970G T(24口10/100/1000M)作为校园中心交换机;各建筑物主交换机选择iSpirit3524F(24口10/100M,添加了一个千兆光纤接口模块),中心的2970G T与各建筑物的3524F作千兆光纤连接,为此网控中心所在的行政楼外,其它三栋建筑采用了三条千兆连接成网络主干;此外,中心2970G T其它端口可为多台应用服务器提供高速网络连接。
建筑物内各楼层交换机采用D-link1024R,与本楼主交换机3524F连接,再以100M连接到用户桌面,必要时还可再下联低端交换机扩展用户数。考虑到各交换机都有多个100M端口,级联时可采用Fast Etherchannel(快速以太网通道)技术,将两交换机的2-4对100M或10/100M端口并行连接起来,使级联带宽成倍增加,同时提供线路冗余,其中任一条链路的断线不会妨碍其它链路继续传输数据,从而保障运行的可靠性。自从网络建成后有些问题是管理员必须去面对的:外网设备telnet本网络设备;每台电脑无法分配一个IP地址;师生任意登陆网络设备;师生之间的数据可任意访问等。网络管理员针对以上的问题,可以选择防火墙技术来达到我们的要求。
1 防火墙的基本设置
在网络安全中,除了采用网络技术措施之外,加强网络的安全管理也非常的重要,制定相关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
校园网进入校园已经很多年了,由于受到上级部门的保护,所面临的威胁要稍微小一些,尽管如此,作为网管员也应该提高安全的意识,从理论、技术、规章制度方面杜绝本校的网络不受侵犯。
参考文献:
[1]刘东华.网络与通信安全[M].北京:人民邮电出版社,2002.
[2]刘渊.因特网防火墙技术[M].北京:机械工业出版社,2001.
[3]Cisco IOS Security Configuration Guide,Part 3: Traffic Filtering and Firewalls[M].
[关键词]网络安全;加密;授权
doi:10.3969/j.issn.1673 - 0194.2015.22.117
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2015)22-0-01
通信技术和网络技术正以前所未有的速度发展,互联网的用户数量也达到了一个新的数量级,企业开展了很多依赖于网络的业务,如电子支付、大数据等。这些业务都要求网络的各个角度都能保证网络用户的数据和信息安全。随着医疗水平的发展,医院也开始大量使用信息化技术来开展日常的诊治工作,在医院中形成了医生看诊、拿药、检查、医治等一系列的网络服务。如果医院的网络不能保证是安全的,这些环节中的任何一个环节出错,都会给医院和患者带来经济损失,甚至会因为被篡改的数据危及患者的生命健康。因此,本文研究并设计了一个医院网络的综合性解决方案,从网络安全的不同角度分析如何保障医院网络的安全性。
1 网络防病毒方案
医院的信息管理需要在网络的环境下运行,而网络中现在计算机病毒较为猖獗,医院的网络必须具备较强的防病毒能力。在医院网络中需要设置专门的病毒防治系统,能有效防止病毒的入侵。防病毒系统主要部署在服务器、PC终端和电子邮件系统中。
服务器是整个医院网络中最为核心的硬件。如果服务器感染了病毒,会对整个医院网络造成非常大的威胁,病毒就很有可能通过服务器对医院信息管理中的重要用户信息和诊治信息进行窃取或破坏。
医院网络的PC终端是很多的,不同的终端用户的安全意识水平不同,技术能力也有很大差别,这样就会使得PC终端成为病毒最容易感染的设备。如果PC终端发生病毒感染,终端的病毒就会利用网络向医院网络发送病毒植入程序,然后通过植入的病毒程序将系统的重要文件进行破获或盗取。,医院网络的所有的PC终端都需要安装防病毒软件。
另外,需要设置防病毒软件的是医院中的邮件系统。系统的邮件系统主要由两种:第一种是系统的专网使用的公务邮件系统,在这种邮件系统中需要设置专门的垃圾邮件处理系统和病毒扫描的引擎。另一种是系统的终端用户自己使用的邮件收发系统,这些邮件系统的收发方式可能是POP 3或SMTP。,需要在系统的终端设置防病毒软件来防止邮件被窃取或恶意篡改。
2 终端安全方案
医院网络中的终端数量众多,终端的安全直接关系到系统的安全性。它直接关系系统是否能正常运转,一个设计良好的终端安全方案不仅能保证终端的安全,还能提高整个系统的安全保障能力。
终端安全方案包括很多内容,主要包括终端安全防护、终端审计和终端应用监管等。终端安全防护主要是在终端安装防火墙和设置文件保护上,控制可能影响终端安全的威胁。终端审计是通过审计手段来分析是否在系统中设置了安全策略和其他安全保障手段,是否得到了有效执行。终端审计在终端安全方案中的作用非常大,它可保证系统的所有的终端始终在系统的有效监管下。终端审计工作是由专人负责的,如果发现终端的安全性不符合安全策略的规定,要对其立即纠正。终端应用监管是对终端用户的行为进行监控,例如,终端用户需要进行身份信息的验证才能登录系统,将终端的很多可滥用网络应用的端口进行封闭管理等。
3 数据加密方案
医院网络的安全性还体现在数据的机密性上,其具体体现在两个方面。
一是信息源的加密。系统中的信息源主要有文字、声音、图像等,这些信息源的存储是通过文件或数据库的形式实现的,而系统可选择加密这些文件或数据库信息,进一步提高系统的数据再存储方面的安全性。
二是信息传输通道的加密。在系统中,可设置一个专门用于加密传输通道的安全子系统,该系统的作用就是可根据信息传输的情况分别的不同的网络层进行加密,然后专门再对传输通道加密,加密的方式可直接加密,也可调用其他的加密API来实现加密。
医院网络中采用的加密体制包含了对称密钥的体制,也包含了基于公钥的体制,这样做的主要目的是为了在不同的系统应用中来使用不同的手段来进行加密,这样以来,不仅能最大限度的保证系统的安全,也在很大程度上提高系统的效率。
4 系统授权和访问机制
医院的信息一般都是采取集中式管理的,系统就相应的需要采用集中的授权访问控制模式。该模式下的授权访问可对用户的属性集中管理,然后通过属性值为用户发生授权证书。授权中心的业务管理人员具体管理用户的授权属性的信息,各个应用系统对用户的授权和身份证书同时进行验证,这样才能确定用户具备什么权限,从而为具体的用户进行授权的访问控制。授权证书中包括用户的多种属性信息,这些信息能确定用户的权限。例如,基于用户角色、用户标识、用户资源级别等访问控制,而对访问控制的粒度而言,也是可灵活变化的,从基于IP的控制到对数据库字段的控制,访问控制粒度从粗到细,可根据不同的应用系统进行灵活选择。
5 结 语
医院管理系统中的信息直接关系到患者的就诊情况和医院的日常管理。医院需要一个综合性的网络安全解决方案来保障医院网络系统的安全。本文从网络防病毒、终端数据安全、数据加密、系统授权和访问机制等方面综合论述了医院网络安全解决方案。
主要参考文献
关键词:电力营销;网络安全;安全建设;安全管理
1 引言
营销业务作为“SG186”工程的业务系统之一,应用上涵盖了新装增容及变更用电、资产管理、计量点管理、抄表管理、核算管理、电费收缴、帐务管理、用电检查管理、95598业务等领域,需要7×24小时不间断、安全可靠运行的保障[1]。因此在遵循国家电网公司“SG186”工程的建设标准和信息网络等级保护要求的基础上,结合营销关键业务应用,加强信息安全防护,保障营销系统网络的安全运行。本文针对新疆电力营销系统的现状,给出了一种多层次的安全防护方案,对保障营销系统网络稳定运行,保护用户信息安全,传输安全、存储安全和有效安全管理方面给出了建设意见。
2 新疆营销网络系统现状
新疆电力营销业务应用经过了多年的建设,目前大部分地区在业扩报装、电费计算、客户服务等方面的营销信息化都基本达到实用化程度,在客户服务层、业务处理层、管理监控层三个层次上实现了相应的基本功能。结合新疆电力公司的实际情况,主要分析了管理现状和网络现状。
2.1 管理现状
根据公司总部提出的“集团化运作、集约化发展、精细化管理”的工作思路,从管理的需求上来说,数据越集中,管理的力度越细,越能够达到精细化的管理的要求。但由于目前各地市公司的管理水平现状、IT现状、人员现状等制约因素的限制,不可能使各地市公司的管理都能够一步到位,尤其是边远地区。因此,营销业务应用管理在基于现状的基础上逐步推进。根据对当前各地市公司的营销管理现状和管理目标需求的分析,管理现状可分为如下三类:实时化、精细化管理;准实时、可控的管理;非实时、粗放式管理。目前大部分管理集中在第二类和第三类。
2.2 网络现状
网络建设水平将直接影响营销业务应用的系统架构部署,目前新疆公司信息网已经形成,实现了公司总部到网省公司、网省公司本部到下属地市公司的信息网络互连互通,但是各地市公司在地市公司到下属基层供电单位的之间的信息网络建设情况差别较大,部分地市公司已经全部建成光纤网络,并且有相应的备用通道,能够满足实时通信的要求,部分地市公司通过租用专线方式等实现连接,还有一些地市公司由于受地域条件的限制,尚存在一些信息网络无法到达的地方,对大批量、实时的数据传输要求无法有效保证,通道的可靠性相对较差。
2.3 需求分析
营销业务系统通常部署在国家电网公司内部信息网络的核心机房,为国家电网公司内部信息网络和国家电网公司外部信息网络的用户提供相关业务支持。该网络涉及业务工作和业务应用环境复杂,与外部/内部单位之间存在大量敏感数据交换,使用人员涵盖国家电网公司内部人员,外部厂商人员,公网用户等。因此,在网络身份认证、数据存储、网络边界防护与管理等层面上都有很高的安全需求。[2]
3 关键技术和架构
3.1 安全防护体系架构
营销网络系统安全防护体系的总体目标是保障营销系统安全有序的运行,规范国家电网公司内部信息网员工和外部信息网用户的行为,对违规行为进行报警和处理。营销网络系统安全防护体系由3个系统(3维度)接入终端安全、数据传输安全和应用系统安全三个方面内容,以及其多个子系统组成,其体系结构如图1所示。
图1 营销系统安全防护总体防护架构
3.2 接入终端安全
接入营销网的智能终端形式多样,包括PC终端、智能电表和移动售电终端等。面临协议不统一,更新换代快,网络攻击日新月异,黑客利用安全漏洞的速度越来越快,形式越来越隐蔽等安全问题。传统的基于特征码被动防护的反病毒软件远远不能满足需求。需要加强终端的安全改造和监管,建立完善的认证、准入和监管机制,对违规行为及时报警、处理和备案,减小终端接入给系统带来的安全隐患。
3.3 数据传输安全
传统的数据传输未采取加密和完整性校验等保护措施,电力营销数据涉及国家电网公司和用户信息,安全等级较高,需要更有效的手段消除数据泄露、非法篡改信息等风险。
市场上常见的安全网关、防火墙、漏洞检测设备等,都具有数据加密传输的功能,能够有效保证数据传输的安全性。但仅仅依靠安全设备来保证数据通道的安全也是不够的。一旦设备被穿透,将可能造成营销系统数据和用户信息的泄露。除此之外,还需要采用更加安全可靠的协议和通信通道保证数据通信的安全。
3.4 应用系统安全
目前营销系统已经具有针对应用层的基于对象权限和用户角色概念的认证和授权机制,但是这种机制还不能在网络层及以下层对接入用户进行细粒度的身份认证和访问控制,营销系统仍然面临着安全风险。增强网络层及以下层,比如接入层、链路层等的细粒度访问控制,从而提高应用系统的安全性。
4 安全建设
营销系统安全建设涉及安全网络安全、主机操作系统安全、数据库安全、应用安全以及终端安全几个层面的安全防护方案,用以解决营销系统网络安全目前存在的主要问题。
4.1 终端安全加固
终端作为营销系统使用操作的发起设备,其安全性直接关系到数据传输的安全,乃至内网应用系统的安全。终端不仅是创建和存放重要数据的源头,而且是攻击事件、数据泄密和病毒感染的源头。这需要加强终端自身的安全防护策略的制定,定期检测被攻击的风险,对安全漏洞甚至病毒及时处理。对终端设备进行完善的身份认证和权限管理,限制和阻止非授权访问、滥用、破坏行为。
目前公司主要的接入终端有PC、PDA、无线表计、配变检测设备、应急指挥车等。由于不同终端采用的操作系统不同,安全防护要求和措施也不同,甚至需要根据不同的终端定制相应的安全模块和安全策略,主要包括:针对不同终端(定制)的操作系统底层改造加固;终端接入前下载安装可信任插件;采用两种以上认证技术验证用户身份;严格按权限限制用户的访问;安装安全通信模块,保障加密通讯及连接;安装监控系统,监控终端操作行为;安装加密卡/认证卡,如USBKEY/PCMCIA/ TF卡等。
4.2 网络环境安全
网络环境安全防护是针对网络的软硬件环境、网络内的信息传输情况以及网络自身边界的安全状况进行安全防护。确保软硬件设备整体在营销网络系统中安全有效工作。
4.2.1 网络设备安全
网络设备安全包括国家电网公司信息内、外网营销管理系统域中的网络基础设施的安全防护。主要防护措施包括,对网络设备进行加固,及时安装杀毒软件和补丁,定期更新弱点扫描系统,并对扫描出的弱点及时进行处理。采用身份认证、IP、MAC地址控制外来设备的接入安全,采用较为安全的SSH、HTTPS等进行远程管理。对网络设备配置文件进行备份。对网络设备安全事件进行定期或实时审计。采用硬件双机、冗余备份等方式保证关键网络及设备正常安全工作,保证营销管理系统域中的关键网络链路冗余。
4.2.2 网络传输安全
营销系统数据经由网络传输时可能会被截获、篡改、删除,因此应当建立安全的通信传输网络以保证网络信息的安全传输。
在非边远地方建立专用的电力通信网络方便营销系统的用户安全使用、在边远的没有覆盖电力局和供电营业所的地方,采用建立GPRS、GSM,3G专线或租用运营商ADSL、ISDN网络专网专用的方式,保障电力通信安全。
电力营销技术系统与各个银行网上银行、邮政储蓄网点、电费代缴机构进行合作缴费,极大方便电力客户缴费。为了提高通道的安全性,形成了营销系统信息内网、银行邮政等储蓄系统、internet公网、供电中心网络的一个封闭环路,利用专网或VPN、加密隧道等技术提高数据传输的安全性和可靠性。
在数据传输之前需要进行设备间的身份认证,在认证过程中网络传输的口令信息禁止明文传送,可通过哈希(HASH)单向运算、SSL加密、Secure Shell(SSH)加密、公钥基础设施(Public Key Infrastructure 简称PKI)等方式实现。
此外,为保证所传输数据的完整性需要对传输数据加密处理。系统可采用校验码等技术以检测和管理数据、鉴别数据在传输过程中完整性是否受到破坏。在检测到数据完整性被破坏时,采取有效的恢复措施。
4.2.3 网络边界防护
网络边界防护主要基于根据不同安全等级网络的要求划分安全区域的安全防护思想。营销系统安全域边界,分为同一安全域内部各个子系统之间的内部边界,和跨不同安全域之间的网络外部边界两类。依据安全防护等级、边界防护和深度防护标准,具有相同安全保护需求的网络或系统,相互信任,具有相同的访问和控制策略,安全等级相同,被划分在同一安全域内[3],采用相同的安全防护措施。
加强外部网络边界安全,可以采用部署堡垒机、入侵检测、审计管理系统等硬件加强边界防护,同时规范系统操作行为,分区域分级别加强系统保护,减少系统漏洞,提高系统内部的安全等级,从根本上提高系统的抗攻击性。
跨安全域传输的数据传输需要进行加密处理。实现数据加密,启动系统的加密功能或增加相应模块实现数据加密,也可采用第三方VPN等措施实现数据加密。
4.3 主机安全
从增强主机安全的层面来增强营销系统安全,采用虚拟专用网络(Virtual Private Network 简称VPN)等技术,在用户网页(WEB)浏览器和服务器之间进行安全数据通信,提高主机自身安全性,监管主机行,减小用户错误操作对系统的影响。
首先,扫描主机操作系统评估出配置错误项,按照系统厂商或安全组织提供的加固列表对操作系统进行安全加固,以达到相关系统安全标准。安装第三方安全组件加强主机系统安全防护。采用主机防火墙系统、入侵检测/防御系统(IDS/IPS)、监控软件等。在服务器和客户端上部署专用版或网络版防病毒软件系统或病毒防护系统等。
此外,还需要制定用户安全策略,系统用户管理策略,定义用户口令管理策略[4]。根据管理用户角色分配用户权限,限制管理员使用权限,实现不同管理用户的权限分离。对资源访问进行权限控制。依据安全策略对敏感信息资源设置敏感标记,制定访问控制策略严格管理用户对敏感信息资源的访问和操作。
4.4 数据库安全
数据库安全首要是数据存储安全,包括敏感口令数据非明文存储,对关键敏感业务数据加密存储,本地数据备份与恢复,关键数据定期备份,备份介质场外存放和异地备份。当环境发生变更时,定期进行备份恢复测试,以保证所备份数据安全可靠。
数据安全管理用于数据库管理用户的身份认证,制定用户安全策略,数据库系统用户管理策略,口令管理的相关安全策略,用户管理策略、用户访问控制策略,合理分配用户权限。
数据库安全审计采用数据库内部审计机制或第三方数据库审计系统进行安全审计,并定期对审计结果进行分析处理。对较敏感的存储过程加以管理,限制对敏感存储过程的使用。及时更新数据库程序补丁。经过安全测试后加载数据库系统补丁,提升数据库安全。
数据库安全控制、在数据库安装前,必须创建数据库的管理员组,服务器进行访问限制,制定监控方案的具体步骤。工具配置参数,实现同远程数据库之间的连接[5]。
数据库安全恢复,在数据库导入时,和数据库发生故障时,数据库数据冷备份恢复和数据库热备份恢复。
4.5 应用安全
应用安全是用户对营销系统应用的安全问题。包括应用系统安全和系统的用户接口和数据接口的安全防护。
4.5.1 应用系统安全防护
应用系统安全防护首先要对应用系统进行安全测评、安全加固,提供系统资源控制功能以保证业务正常运行。定期对应用程序软件进行弱点扫描,扫描之前应更新扫描器特征代码;弱点扫描应在非核心业务时段进行,并制定回退计划。依据扫描结果,及时修复所发现的漏洞,确保系统安全运行。
4.5.2 用户接口安全防护
对于用户访问应用系统的用户接口需采取必要的安全控制措施,包括对同一用户采用两种以上的鉴别技术鉴别用户身份,如采用用户名/口令、动态口令、物理识别设备、生物识别技术、数字证书身份鉴别技术等的组合使用。对于用户认证登陆采用包括认证错误及超时锁定、认证时间超出强制退出、认证情况记录日志等安全控制措施。采用用户名/口令认证时,应当对口令长度、复杂度、生存周期进行强制要求。
同时,为保证用户访问重要业务数据过程的安全保密,用户通过客户端或WEB方式访问应用系统重要数据应当考虑进行加密传输,如网上营业厅等通过Internet等外部公共网络进行业务系统访问必须采用SSL等方式对业务数据进行加密传输。杜绝经网络传输的用户名、口令等认证信息应当明文传输和用户口令在应用系统中明文存储。
4.5.3 数据接口安全防护
数据接口的安全防护分为安全域内数据接口的安全防护和安全域间数据接口的安全防护。安全域内数据接口在同一安全域内部不同应用系统之间,需要通过网络交换或共享数据而设置的数据接口;安全域间数据接口是跨不同安全域的不同应用系统间,需要交互或共享数据而设置的数据接口。
5 安全管理
安全管理是安全建设的各项技术和措施得以实现不可缺少的保障,从制度和组织机构到安全运行、安全服务和应急安全管理,是一套标准化系统的流程规范,主要包括以下方面。
5.1 安全组织机构
建立营销业务应用安全防护的组织机构,并将安全防护的责任落实到人,安全防护组织机构可以由专职人员负责,也可由运维人员兼职。
5.2 安全规章制度
建立安全规章制度,加强安全防护策略管理,软件系统安全生命周期的管理,系统安全运维管理,安全审计与安全监控管理,以及口令管理、权限管理等。确保安全规章制度能够有效落实执行。
5.3 安全运行管理
在系统上线运行过程中,遵守国家电网公司的安全管理规定,严格遵守业务数据安全保密、网络资源使用、办公环境等的安全规定。
首先,系统正式上线前应进行专门的系统安全防护测试,应确认软件系统安全配置项目准确,以使得已经设计、开发的安全防护功能正常工作。
在上线运行维护阶段,应定期对系统运行情况进行全面审计,包括网络审计、主机审计、数据库审计,业务应用审计等。每次审计应记入审计报告,发现问题应进入问题处理流程。建立集中日志服务器对营销交易安全域中网络及安全设备日志进行集中收集存储和管理。
软件升级改造可能会对原来的系统做出调整或更改,此时也应从需求、分析、设计、实施上线等的整个生命周期对运行执行新的安全管理。
5.4 安全服务
安全服务的目的是保障系统建设过程中的各个阶段的有效执行,问题、变更和偏差有效反馈,及时解决和纠正。从项目层面进行推进和监控系统建设的进展,确保项目建设质量和实现各项指标。
从项目立项、调研、开发到实施、验收、运维等各个不同阶段,可以阶段性开展不同的安全服务,包括安全管理、安全评审、安全运维、安全访谈、安全培训、安全测试、安全认证等安全服务。
5.5 安全评估
安全评估是对营销系统潜在的风险进行评估(Risk Assessment),在风险尚未发生或产生严重后果之前对其造成后果的危险程度进行分析,制定相应的策略减少或杜绝风险的发生概率。
营销系统的安全评估主要是针对第三方使用人员,评估内容涵盖,终端安全和接入网络安全。根据国家电网公司安全等级标准,对核心业务系统接入网络安全等级进行测评,并给出测评报告和定期加固改造办法,如安装终端加固软件/硬件,安装监控软件、增加网络安全设备、增加安全策略,包括禁止违规操作、禁止越权操作等。
5.6 应急管理
为了营销系统7×24小时安全运行,必须建立健全快速保障体系,在系统出现突发事件时,有效处理和解决问题,最大限度减小不良影响和损失,制定合理可行的应急预案,主要内容包括:明确目标或要求,设立具有专门的部门或工作小组对突发事件能够及时反应和处理。加强规范的应急流程管理,明确应急处理的期限和责任人。对于一定安全等级的事件,要及时或上报。
6 实施部署
营销系统为多级部署系统。根据国家电网信息网络分区域安全防护的指导思想原则,结合新疆多地市不同安全级别需求的实际情况,营销系统网络整体安全部署如图2所示。
在营销系统部署中,对安全需求不同的地市子网划分不同的安全域,网省管控平台部署在网省信息内网,负责对所有安全防护措施的管控和策略的下发,它是不同安全级别地市子系统信息的管理控制中心,也是联接总部展示平台的桥梁,向国网总公司提交营销系统安全运行的数据和报表等信息。
7 结束语
电力营销网络安全技术的发展伴随电力营销技术的发展而不断更新,伴随安全技术的不断进步而不断进步。电力营销网络的安全不仅仅属于业务系统的安全范畴,也属于网络信息化建设范畴,其安全工作是一个系统化,多元化的工作,立足于信息内网安全,覆盖信息外网安全和其他网络。
本文基于新疆电力营销系统网络安全的现状,结合现有安全技术和安全管理手段来提高营销系统整体安全水平,为提升原有网络的安全性,构造一个安全可靠的电力营销网络提供了一套安全解决方案,对国家电网其他具有类似需求的网省公司营销系统网络安全问题解决提供参考和借鉴。
参考文献
[1]赵宏斌,陈超.电力营销数据安全防护体系及其关键技术研究[J].电力信息化,2008年6卷7期:135-139.
[2]吕萍萍.当前电力企业电力营销的现状与安全防护保障系统构建[J].华东科技:学术版,2012年11期:282.
[3]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[J].电力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,赵建梅.浅析电力营销业务应用系统的安全风险[J].黑龙江科技信息,2010年35期:153-154.
[5]李红文.论加强电力营销信息系统安全[J].信息通信,2012年1月:115-116.
作者简介:刘陶(1983-),男,汉族,四川乐山,本科,技师,电力营销稽查与实施调度。
陈晓云(1974-),女,大专,技师,新疆乌鲁木齐,电力营销稽查。
Abstract: Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects, one is the physical security, and the other is logical security. Physical security refers to physical facilities was not damaged, and does not influence its security protection performance. Logic security refers to the information integrity, confidentiality and usability. According to the information system security theory knowledge and combining network security development, through analyzing the network security vulnerability of electric power enterprise, and then puts forward a series of relevant electric power enterprise network security safety risk, and guide the enterprise security risk demand. We can use the limited resources and equipment, establish and improve an effective, integral and multi-level power enterprise network security model.
关键词: 网络安全技术;电力企业网络安全;解决方案
Key words: network security technology;electric power enterprise network security;solutions
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2012)30-0175-02
0 引言
随着社会科技的不断发展,计算机网络领域也在飞速发展,信息化社会时代即将到来。尽管网络具有多层次、高效率、范围广等种种特点,但仍然存在着一些严重的问题,首当其冲的是网络信息安全问题,本文也集中注意力来讨论如何解决网络信息安全问题。目前,计算机网络的多联性造成了信息能够被多渠道的客户端所接收,再加上一些企业在传送信息时缺乏信息安全的防护意识,这也造成了网络信息容易遭受一些非法黑客以及计算机病毒的侵害,因此,计算机网络信息的安全性和保密性是目前所需要攻克的一大重要难题。计算机网络的开放性造就了网络信息安全隐患的存在,同时,我们在面对危机重重的计算机网络,如何将信息安全、秘密地传输是摆在目前计算机网络安全研究者们眼前的问题。据此,我们应针对企业的网络结构体系来设计出一套适合的、先进的网络安全防护方案,并搭配合适的网络防护软件,为电力企业营造一个安全的网络空间。
1 电力企业网络安全隐患分析
电力企业既可以从因特网中获取重要信息,同时也能够向因特网中发送信息,但由于因特网的开放性,信息的安全问题得不到保证,而根据公安部门的网络调查来说,有将近半数的企业受到过网络安全的侵害,而受到侵害的企业大部分都受到过病毒和黑客的攻击,且受到了一定的损失。
根据上面的信息可以很明确的得出网络安全防护的重要性,而影响计算机网络安全的因素有很多种,其主要可以大致分成三种:一是人为无意中的失误而导致出现安全危机;二是人为方面的恶意攻击,也就是黑客袭击;三是网络软件的漏洞。这三个方面的因素可以基本涵盖网络安全所受到的威胁行为并将之归纳如下:
1.1 病毒 病毒对于计算机来说就如同老鼠对于人类来说。“老鼠过街,人人喊打”,而病毒过街,人人避而趋之,它会破坏电脑中的数据以及计算机功能,且它对于硬件的伤害是十分大的,而且它还能够进行自我复制,这也让病毒的生存能力大大加强,由此可以得出其破坏性可见一斑。
1.2 人为防护意识 网络入侵的目的是为了取得访问的权限和储存、读写的权限,以便其随意的读取修改计算机内的信息,并恶意地破坏整个系统,使其丧失服务的能力。而有一些程序被恶意捆绑了流氓软件,当程序启动时,与其捆绑的软件也会被启动,与此同时,许多安全缺口被捆绑软件所打开,这也大大降低了入侵网络的难度。除非用户能够禁止该程序的运行或者将相关软件进行正确配置,否则安全问题永远也解决不了。
1.3 应用系统与软件的漏洞 网络服务器和浏览器的编程原理都是应用了CGI程序,很多人在对CGI程序进行编程时只是对其进行适当的修改,并没有彻底的修改,因此这也造成了一个问题,CGI程序的安全漏洞方面都大同小异,因此,每个操作系统以及网络软件都不可能十全十美的出现,其网络安全仍然不能得到完全解决,一旦与网络进行连接,就有可能会受到来自各方面的攻击。
1.4 后门与木马程序 后门是指软件在出厂时为了以后修改方便而设置的一个非授权的访问口令。后门的存在也使得计算机系统的潜在威胁大大增加。木马程序也属于一种特殊的后门程序,它受控于黑客,黑客可以对其进行远程控制,一但木马程序感染了电脑,黑客就可以利用木马程序来控制电脑,并从电脑中窃取黑客想要的信息。
1.5 安全配置的正确设置 一些软件需要人为进行调试配置,而如果一些软件的配置不正确,那么其存在可以说形同虚设。有很多站点在防火墙的配置上将访问权限设置的过大,其中可能存在的隐患会被一些恶意分子所滥用。而黑客正是其中的一员,他们通常是程序设计人员,因此他们对于程序的编程和操作都十分了解,一旦有一丝安全漏洞出现,黑客便能够侵入其中,并对电脑造成严重的危害,可以说黑客的危害比电脑病毒的危害要大得多。
2 常用的网络安全技术
2.1 杀毒软件 杀毒软件是我们最常用的软件,全世界几乎每台电脑都装有杀毒软件,利用杀毒软件来对网络进行安全保护是最为普通常见的技术方案,它的安装简单、功能便捷使得其普遍被人们所使用,但杀毒软件顾名思义是用来杀毒的,功能方面比较局限,一旦有商务方面的需要其功能就不能满足商务需求了,但随着网络的发展,杀毒技术也不断地提升,主流的杀毒软件对于黑客程序和木马的防护有着很好的保护作用。
2.2 防火墙 防火墙是与网络连接间进行一种预定义的安全策略,对于内外网通信施行访问控制的一种安全防护措施。防火墙从防护措施上来说可以分成两种,一种是软件防火墙,软件防火墙是利用软件来在内部形成一个防火墙,价格较为低廉,其功能比较少,仅仅是依靠自定的规则来限制非法用户进行访问;第二种是硬件防火墙,硬件防火墙通过硬件和软件的结合来讲内外部网络进行隔离,其效果较好,但价格较高,难以普及。但防火墙并没有想象中的那样难以破解,拥有先进的技术仍然能够破解或者绕过防火墙对内部数据进行访问,因此想要保证网络信息安全还必须采取其他的措施来避免信息被窃取或篡改,如:数据加密、入侵检测和安全扫描等等措施。值得一提的是防火墙只能够防护住来自外部的侵袭,而内部网络的安全则无法保护,因此想要对电力企业内部网络安全进行保护还需要对内部网络的控制和保护来实现。
2.3 数据加密 数据加密技术可以与防火墙相互配合,它的出现意味着信息系统的保密性和安全性进一步得到提高,秘密数据被盗窃,侦听和破坏的可能性大大降低。数据加密技术还衍生出文件加密和数字签名技术。这两种技术可以分为四种不同的作用,为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。数据传输加密主要针对数据在传输中的加密作用,主要可以分成线路加密和端口加密这两种基本方法;数据储存加密技术是在数据储存时对其进行加密行为,使数据在储存时不被窃取;数据完整性判别技术是在数据的传输、存取时所表现出来的一切行为的验证,是否达到保密要求,通过对比所输入的特征值是否与预先设定好的参数相符来实现数据的安全防护;数据加密在外所表现出来的应用主要为密钥,密钥管理技术是为了保证数据的使用效率。
数据加密技术是将在网络中传输的数据进行加密从而保证其在网络传输中的安全性,能够在一定程度上防止机密信息的泄漏。同时,数据加密技术所应用的地方很广泛,有信息鉴别、数字签名和文件加密等技术,它能够有效的阻止任何对信息安全能够造成危害的行为。
2.4 入侵检测技术 网络入侵检测技术是一种对网络进行实时监控的技术,它能够通过软、硬件来对网络中的数据进行实时地检测,并将之与入侵数据库进行比较,一旦其被判定为入侵行为,它能够立即根据用户所设定的参数来进行防护,如切断网络连接、过滤入侵数据包等等。因此,我们可以将入侵检测技术当做是防火墙的坚强后盾,它能够在不影响网络性能的情况下对齐进行监听,并对网络提供实时保护,使得网络的安全性能大大提升。
2.5 网络安全扫描技术 网络安全扫描技术是检测网络安全脆弱性的一项安全技术,它通过对网络的扫描能够及时的将网络中的安全漏洞反映给网络管理员,并客观的评估网络风险。利用网络完全扫描技术能够对局域网、互联网、操作系统以及安全漏洞等进行服务,并且可以检测出操作系统中存在的安全漏洞,同时还能够检测出计算机中是否被安装了窃听程序,以及防火墙可能存在的安全漏洞。
3 单利企业网络安全解决方案
3.1 物理隔离 物理隔离指的是从物理上将网络上的潜在威胁隔离掉。其主要表现为没有连接、没有包转发等等。
3.2 网络系统安全解决方案 网络服务器的操作系统是一个比较重要的部分,网络操作系统最重视的性能是稳定性和安全性。而网络操作系统管理着计算机软硬件资源,其充当着计算机与用户间的桥梁作用。因此,我们一般可以采用以下设置来对网络系统安全进行保障:
①将不必要的服务关闭。②为之制定一个严格的账户系统。③将账户权限科学分配,不能滥放权利。④对网络系统进行严谨科学的安全配置。
3.3 入侵检测方案 目前,电力企业网络防护体系中,仅仅是配置了传统的防火墙进行防护。但由于传统防火墙的功能并不强大,再加上操作系统中可能存在的安全漏洞,这两点为网络信息安全带来了很大的风险。根据对电力企业的详细网络应用分析,电力企业对外应用的服务器应当受到重点关注。并在这个区域置放入侵检测系统,这样可以与防火墙形成交叉防护,相得益彰。
3.4 安全管理解决方案 信息系统安全主要是针对日常防护工作,应当根据国家法律来建立健全日常安全措施和安全目标,并根据电力企业的实际安全要求来部署安全措施,并严格的实施贯彻下去。
4 结束语
“魔高一尺,道高一丈”。不管攻击方式多么新奇,总有相应的安全措施的出现。而网络安全是一个综合的、交叉的科学领域,其对多学科的应用可以说是十分苛刻的,它更强调自主性和创新性。因此,网络安全体系建设是一个长期的、艰苦的工程,且任何一个网络安全方案都不可能解决所有的安全问题。电力企业的网络安全问题要从技术实践上、理论上、管理实践上不断地深化、加强。
参考文献:
[1]杜胜男.浅析电力企业网络安全组建方案[J].民营科技.2010(12).
关键词:网络安全 入侵检测 数据备份
一、引言
Internet的发展,正在引发一场人类文明的根本变革,网络已成为一个国家最为关键的政治,经济,军资源,成为国家实力的新象征同时,网络的发展也在不断改变人们的工作,生活方式,使信息的获取,传递,处理和利用更加高效,迅速,随着科学技术不断发展,网络已经成为人们生活的一个组成部分虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。因而,解决网络安全问题刻不容缓,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案
二、网络安全风险分析
1.网络结构的安全风险分析
企业网络与外网有互连。基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。网络系统中办公系统及员工主机上都有涉密信息,假如内部网络的一台电脑安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
2.操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
3.应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等
4.管理的安全分析
管理方面的安全隐患包括:内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的员工有的可能造成极大的安全风险。
三、网络安全解决方案
1.网络结构的安全
网络结构布局的合理与否,也影响着网络的安全性对银行系统业务网,办公网,与外单位互联的接口网络之间必须按各自的应用范围,安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统,所以必须从两个方面入手,一是加强|力问控制:在内部局网内可以通过交换机划分VLAN功能来实现;或是通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制:也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。二是作好安全检测工作:在局域网络的共享网络设备上配备入侵检测系统,实时分析进出网络数据流,对网络违规事件跟踪,实时报警,阻断连接并做日志。
2.操作系统的安全
对操作系统必须进行安全配置,打上最新的补丁,还要利用相应的扫描软件对其进行安全性扫描评估,检测其存在的安全漏洞,分析系统的安全性,提出补救措施,管理人员应用时必须加强身份认证机制及认证强度尽量采用安全性较高的网络操作系统并进行必要的安全配置,关闭一些起不常用却存在安全隐患的应用,对一些关键文件使用权限进行严格限制,加强口令字的使用,及时给系统打补丁,系统内部的相互调用不对外公开。
3.应用的安全
要确保计算机网络应用的安全,主要从以下几个方面作好安全防范工作:一要配备防病毒系统,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护;二作好数据备份工作,最安全的,最保险的方法是对重要数据信息进行安全备份,如果遇到系统受损时,可以利用灾难恢复系统进行快速恢复;三是对数据进行加密传输,保护数据在传输过程中不被泄露,保证用户数据的机密性,数据加密的方法有从链路层加密,网络层加密及应用层加密;四是进行信息鉴别,为了保证数据的完整性,就必须采用信息鉴别技术,VPN设备便能实现这样的功能,数据源身份认证也是信息鉴别的一种手段,它可以确认信息的来源的可靠性,结合传输加密技术,我们可以选择VPN设备,实现保护数据的机密性,完整性,真实性,可靠性。
4.管理的安全
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现,因国这些必须在电信部门系统内根据自身的应用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防范外部入侵的安全技术。
关键词:网络安全;网络管理;医院信息化
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2011)11-2505-02
The Solution of Secure Network Platform of Digital Hospital
CAO Mao-cheng, HE Ji-fu
(Shenzhen Bao'an People's Hospital, Shenzhen 518101, China)
Abstract: Based on current domestic construction of network of large hospital of the status as the background, it make a specific analysis of the people's hospital of Bao An Shen Zhen. In accordance with the problems existed in hospital at present, it put forward a multi-service solution of digital hospital, explain in detail the key technology of the outpatient clinic network platform, INC and NBP.
Key words: network security; network management; hospital information
随着信息技术的快速发展,越来越多的中国医院正在加速实施基于基础信息化网络平台、HIS等业务平台的整体建设,以提高医院的服务水平和核心竞争力,从最初的“以财务为中心”的医院信息系统向“以病人为中心”的医院信息系统转变,医院信息化建设已经取得了显著成效。信息化不仅提升了医生的工作效率,使医生有更多的时间为患者服务,也提高了患者满意度,而且无形之中还树立起医院的科技形象品牌,医院信息化正越来越成为强化医院活力与竞争力的关键行为,医疗业务应用与基础网络平台的逐步融合正成为中国医院,尤其是大中型医院业务发展前进的新的驱动力。与此同时,医疗体系架构[1]的网络安全和数据可用性也变得越来越重要。任何的网络不可达或数据丢失轻则降低患者的满意度,影响医院的信誉,重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样,医疗信息系统在日常运行中面临着各种安全风险带来的安全应用事故。如何创建一个灵活、高效、安全的网络整体解决方案正成为当前医疗领域迫切需要解决的问题之一。
本文在综合分析目前国内医院网络安全研究现状的基础上,结合我院实际情况,提出并设计了数字化医院网络安全体系架构。文章首先介绍了我院目前网络系统现状及存在问题,然后提出了数字化医院网络平台设计方案,然后详细说明了新门诊大楼、内网、边网的安全解决方案。
1 我院网络平台现状及存在问题
深圳市宝安人民医院是一所集医疗、预防、保健、康复、科研、教学为一体的现代化医院,全国百佳医院、深圳市西部最大的综合性医院。早在1993年,我院就实现了门诊电脑收费,1997年对医院信息化进行了改造,初步实现了门诊收费系统、住院收费系统、B超管理系统、药房管理等一系列管理系统,是国内较早引入数字化医院管理模式的医院之一。近年来,随着信息化技术的不断发展,原有系统已不能适应医院新的管理模式的需求,主要存在以下问题:
1)原有网络结构、网络性能均难以承载现有的丰富业务,并存在严重的安全隐患。
2)原有的二层网络结构,不能对医院网络进行VLAN划分,没有对各区域业务进行隔离,在发生病毒、攻击事件时、大量非法数据涌入核心网络,易造成整个网络瘫痪。
3)缺少网络管理平台[2],医院目前的网络管理全靠工程师的工作经验、插拔线等手段管理维护网络,整个网络不具备可控性、可维护性,不能及时发现、定位、排除网络故障。
2 数字化医院多业务解决方案
2004年,我院正式启动新一轮数字化兴院工程,总投资3800万用于医院的信息化建设,开始全面建设门诊、住院信息系统、电子病历、医生/护士工作站、PACS等系统。在制定解决方案时,我院选择了与杭州华三通信股份公司合作,共同改造我院网络系统。
数字化医院多业务平台针对传统网络可控制低、网络资源自动适应性差、网络缺乏立体安全等,提出以医院业务应用为主体、不断发展完善的智能网络技术、安全技术和灵活的资源调度为基础、为医院用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。我院数字化平台组网框架示意图如图1所示。
数字化医院多业务解决方案针对门诊、住院、影像检查系统等业务的不同需求,结合了WLAN[3]技术、IRF智能扩展技术、EAD[4]端点准入、IPS[5-6]、IP存储等多种技术、以为用户提供安全可靠、多业务承载、易扩展、易管理的网络平台为最终目标。网络核心层采用两台H3C S9512,配置最新的交换引擎,主要是考虑未来几年信息系统发展的需要和设备的性价比,同时支持IPV6;汇聚层采用了两台H3C S5500,支持三层交换,通过光纤双链路上链到两台核心交换机S9512,构成冗余主干,同时利用交换机强大的虚网管理功能,对网络进行VLAN划分。
2.1 IRF技术构建高可靠门诊网络平台
门诊是医院业务最繁忙、最关键的部门之一,众多的患者包括急重症病人都在门诊等待医生的及时诊断,患者从进入医院挂号到诊断、检查、取药离开医院涉及医院多个业务系统的相互配合。门诊众多系统中任何一个环节出现问题,都会直接导致医院大规模的瘫痪,不仅给医院造成直接经济损失,更有可能耽误对患者的最佳诊疗时机,对病人生命造成威胁。门诊业务系统的可靠性要求高、并发性、实时性和突发性强等特点对门诊的网络也提出了电信级的高可靠要求。图2是我院新门诊大楼网络解决方案。
新门诊大楼网络设计中,各个楼层的接入交换机通过堆叠技术变成逻辑上的一台设备,将传统的跨设备双千兆链路的主备工作模式转变为跨设备双千兆链路捆绑模式,不仅提高了网络的接入带宽,也提高了网络可靠性。H3C的IRF智能性框架技术能在提高网络性能、可靠性的同时,还能降低网络建设成本和维护成本,为将来的平滑扩展墓定了良好基础。
2.2 医院内网控制(INC)解决方案
医院内网控制(INC)解决方案由安全管理平台、安全防护设备和终端软件组成。通过终端软件接入并有安全管理平台进行身份认证和终端安全状态评估,确保每一个接入端点的安全、预防内网病毒、蠕虫的泛滥;安全防护设备则对发现的内网攻击进行阻断,同时上报安全管理平台;安全管理平台分析后与网络和安全设备联动,控制攻击来源,避免威胁的再次发生,并为用户提供整网安全审计报告。通过点(接入端点控制)、线(安全事件联动)、面(统一安全管理)相结合的立体防护,为医院用户提供最可靠、最有效的内网安全解决方案。图3为内网控制解决方案示意图。
医院用户在接入网络之前,必须要通过身份认证,要求用户输入用户名、密码信息,身份认证通过后,EAD客户端还会检查用户计算机的安全状态,包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件、是否只启用符合其身份的应用软件等等,只有通过安全认证,计算机才能正常接入到网络中开始工作,安全状态检查只要有一条不能满足要求,该计算机将被安全隔离到隔离区,并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。
除了提供用户安全认证,EAD解决方案还可实现基于用户的权限管理,不同用户能访问的应用服务器各不相同,并可根据内网、外网划分为两大类用户,实现内网用户禁止访问Internet,而外网用户可以访问Internet,但不能访问HIS等业务系统,部分用户,如院长、信息中心人员则同时具有内网、外网访问权限。
2.3 IPS医院边界防护(NBP)解决方案
由于业务的需要,医院网络有多个外部网络连接,例如Internet 连接、卫生专网连接、社保系统连接等,医院网络与这些外部网络之间存在复杂的数据交换的需求,需要对这些不同网络之间的通信进行严格的检测、控制和隔离,保证网络数据流动的安全。
医院网络划分安全区域后,在不同信任级别的安全区域之间形成了网络边界。跨边界的攻击种类繁多、破坏力强,虽然采用了防火墙、IDS等传统的安全防护手段,但是安全威胁依然存在。针对传统安全设备的不足,我院网络边界防护采用了H3C的网络边界(NBP)解决方案,有效保障院内外网数据交互安全。图4是网络边界防护解决方案示意图。
H3C的基于交换机的Sec Blade防火墙/IPS模块和Sec Path防火墙/IPS设备可以根据用户的实际情况提供不同的动态解决方案。Sec Path/Sec Blade产品集成了包过滤和状态检测技术,对不同信任级别的安全区域制定相应的安全策略,防止非授权访问。Sec Path/Sec Blade IPS 能够精确实时识别并防御蠕虫、木马、DDOS等网络攻击,细粒度的控制P2P/IM造成的带宽滥用。
3 总结与展望
医院信息化、数字化建设依赖安全可靠的网络系统,如何保证数据安全也是一个非常重要的方面。我院通过采用多样化的安全策略和技术,采用不断变化的安全机制和技术,有效加强管理体系,建立了一个有特色的网络安全体系,保障了医院信息化建设的正常运行。
数字化医院的发展面临着业务流程复杂、缺乏统一标准等诸多问题,任重而道远。面对数字化、集成化、智能化、区域化的发展趋势,我们将立志于为医院建设一个多业务融合、智能可控、安全可靠、资源动态可控的高品质网络,为医疗业务的不断发展提供安全可靠的平台。
参考文献:
[1] 张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008,6(27):63-65.
[2] 张震江.我院网络管理平台架构浅析[J].中华医院管理杂志,2006,8(22):564-566.
[3] 杨新宇,徐庆飞,等.WLAN环境下EAP-TLS认证机制的分析与实现[J].计算机应用,2008,6(28):43-45.
[4] 支林仙,朱新宇.端点准入防御(EAD)解决方案简析[J].福建电脑,2007(4):73-76.
关键词:校园网;网络安全技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校园网络安全概述
1.1 网络病毒
(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。
(2)病毒入侵渠道:来自Internet 或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是Internet,主要的传染方式是群件系统。
(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。
(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源。
1.2 网络攻击
(1)校园网与Internet 相连,面临着遭遇攻击的风险。
(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
(4)存在“重技术、轻安全、轻管理”的倾向。
(5)服务器与系统一般都没有经过细密的安全配置。
2 校园网络安全分析
2.1 物理安全分析
网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。
2.2 网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。
2.3 系统的安全分析
系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。
2.4 应用系统的安全分析
应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。
2.5 管理的安全风险分析
安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。
3 校园网络安全解决方案
3.1 校园内部网络安全方案
3.1.1 内网病毒防范
在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。
3.1.2 单机病毒防范
教师机安装NT 内核的操作系统,使用NTFS 格式的分区;服务器可以使用Windows Server甚至UNIX或类UNIX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用NTFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。
3.1.3 内部网络安全监控
采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。
3.1.4 防毒邮件网关系统
校园网网关病毒防火墙安装在Internet 服务器或网关上,在电脑病毒通过Internet 入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。
3.1.5 文件服务器的病毒防护
服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。
3.1.6 中央控制管理中心防病毒系统
建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。
3.2 校园外部网络安全方案
3.2.1 校园网分层次的拓扑防护措施
层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。
3.2.2 校园网安全防护要点
(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的IP包和以非法IP地址离开内部网络的IP包;三是在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。
(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,其中WWW、E-mail、FTP、DNS 服务器连接在防火墙的DMZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与Internet 连接。
(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
3.2.3 校园网防护体系
构造校园网“包过滤防火墙+NAT+计费++VPN+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;通过IP地址与MAC地址对应防止IP欺骗;基于用户和IP地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和VPN 及其管理;网络监控与入侵检测。
4 校园网络运营安全
4.1 认证的方式
网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。
(2)基于流的认证方式。指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。
4.3 账户管理
学生是好奇心强的群体,假冒DHCP SERVER和IP、MAC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCP SERVER,立即封掉该账户。
5 校园网络的访问控制策略
5.1 建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
5.2 身份验证
对用户访问网络资源的权限进行严格的认证和控制。
5.3 病毒防护
主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
6 校园网络安全监测
校园网络安全监测可采用以下系统或措施:入侵检测系统;Web、E-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑IP和MAC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
7 校园网络系统配置安全
7.1 设置禁用
禁用Guest账号;为Administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。
7.2 设置IIS
通过设置,弥补校园网服务器的IIS 漏洞。
7.3 运用VLAN 技术来加强内部网络管理VLAN 技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
7.4 遵循“最小授权”原则
指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
7.5 采用“信息加密”技术
包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。
8 校园网络安全管理措施
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
9 结束语
校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
参考文献:
[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).
[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).
[3]王子荣,李军义,胡峰松.IPv6 发展与部署之冷静思考[J].教育信息化,2005(12).
关键词:无线局域网;漏洞;安全技术;解决方案
中图分类号:TN925.93 文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
一、引言
无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频技术,以无线信道作为传输介质,取代旧式碍手碍脚的双绞铜线所构成的局域网络。它是计算机网络与无线通信技术相结合的产物,具有安装便捷、节约成本、灵活性强、易于扩展、覆盖面大等优点。由于无线网络所特有的开放性,在一个无线局域网接入点的服务区域内,其传输的信号很容易被第三方截获,造成信息非法窃听、篡改等。安全隐患主要表现在以下几个方面:①未授权用户非法入侵②非法截获篡改数据③窃取未授权服务④地址欺骗⑤流量攻击。因此安全问题已成为影响无线局域网进一步扩充市场的主要障碍,其安全问题一直是业界研究的重点。
二、无线安全方式现状
(一)身份认证
用户认证主要包括MAC认证和WEB认证、基于802.1x认证。MAC认证通过未无线局域网手工创建一组允许访问或拒绝访问该网络的MAC地址列表,以实现地址过滤。这种认证方式要求地址列表及时更新,而且可扩展性差, 通过伪造MAC可以进入公司网络。WEB认证是三层认证方式,用户通过浏览器登陆认证系统,认证通过后进入公司网络。这种方式不需要安装客户端,易于实现。但是存在账号共用、容易仿冒等缺点。802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。802.1x体系结构包括三个主要的组件:请求方、认证方、认证服务器。在采用802.1x的无线LAN中,无线用户端安装802.1x客户端软件作为请求方,无线访问点AP内嵌802.1x认证作为认证方,同时它还作为Radius认证服务器的客户端,负责用户与Radius服务器之间认证信息的转发。802.1x认证优点在于:①802.1x协议专注受控端口的打开与关闭;②客户端IP数据包在二层普通MAC帧上传送;③采用Radius协议进行认证,可以方便与其他认证平台进行对接;
(二)用户安全
用户安全技术主要包括服务集标识符匹配(SSID)和有线对等保密协议(WEP)。SSID是一种网络标识方案,可以对多个无线接入点设置不同的SSID。系统根据无线工作站出示的SSID与AP进行匹配。WEP是IEEE802.11b协议中最基本的无线安全加密措施。其目的一是为访问控制:阻止那些没有正确WEP 密钥并且未经授权的用户访问网络。二是保密:仅仅允许具备正确WEP 密钥的用户通过加密来保护WLAN 数据流。WEP在传输上提供了一定的安全性和保密性,能够阻止有意或无意的无线用户查看到在AP和STA之间传输的内容。其优点在于:①全部报文数据采用校验和加密;②通过加密来维护一定的保密性,如果没有破解密钥,就难把报文解密;③WEP操作简单,容易实现;④WEP为WLAN应用程序提供了非常基本的保护。
(三)系统安全
通过安装无线入侵检测防御设备(WIDS)及时发现WLAN网络中的有意或无意的攻击,通过记录信息或日志方式通知网络管理员。现在WIDS主要包含以下功能:①非法设备扫描②恶意入侵扫描检测③无线用户接入管理。H3C WX3024系列WIDS支持多种攻击的检测,例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测;同时支持多种认证方式;支持TLS、PEAP、TTLS、MD5、SIM卡等多种802.1x的认证方式。支持Portal认证,一些企业外部的客户希望使用无线网络,来访问Internet,很可能外部员工并没有安装例如802.1x客户端软件,这时,Portal认证提供了很好的认证方式。
(四)安全机制
WLAN在安全机制方面主要包括WEP、TKIP、802.1X三种方式。WEP在数据链路层采用串流加密技术达到机密性,并使用 CRC-32 验和达到资料正确性。WEP加密方式可以分别和Open system、Shared key链路认证方式使用。WEP适用于无线范围不大,终端数量不多的企业环境。WEP通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度,但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制,WEP加密还是存在比较大的安全隐患。TKIP也使用RC4算法,但是相比WEP加密机制,TKIP加密机制可以为WLAN服务提供更加安全的保护。TKIP用于增强pre-RSN硬件上的WEP协议的加密的安全性,其加密的安全性远远高于WEP。TKIP主要的缺点在于,尽管IV(Initial Vector,初始向量)改变但在所有的帧中使用相同的密钥,而且缺少密钥管理系统,不可靠。802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
三、企业无线网络安全策略安全分析
H3C公司的WX3024和WA2220-AG系列配合使用,为中小企业客户提供周到、简捷、方便的一体化接入方案。企业无线网络控制器采用具备千兆以太网交换机功能的WX3024一体化交换机作为无线数据控制和转发中心,放在企业的中心机房或者布线间,Fit AP则放到企业的各层天花板内,或者挂墙,甚至安装在室外。WX3024支持PoE+供电,因此无论是802.11a/b/g系列的传统AP,还是802.11n系列的AP,大多数情况下WX3024都能与这些Fit AP直接相连。Fit AP和WX3024交换机之间既可以在同一个网段,也可以不在同一个网段,它们之间通过CAPWAP协议自动建立隧道。其网络拓扑结构如图所示。
(一)基于FIT AP解决方案
FIT AP和WX3024启用DHCP client功能,做到设备启动后自动获取ip地址,减少维护人员的配置,FIT AP必须能够支持自动获取IP地址,目前业界标准的做法是采用。AP启动以后会在其上行接口上通过DHCP client模块发起获取IP地址的过程。通过DHCP的协议交互FIT AP可以从DHCP server获取到以下信息:自身使用的IP地址、DNS server的IP地址、网关IP地址、域名、可接入的无线控制器的IP地址列表。此方案可以并满足企业对无线话音、视频等增值业务的需要,而且配置简单、维护方便、安全可控、更易扩展。
(二)无线入侵检测/防御
H3C WX3024系列多业务无线控制器可以自动监测WLAN网络中的非法设备,并实时上报网管中心最大程度地保护无线网络。WX3024可以实现防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁,又要防范内部威胁,既要防范来自用户端的威胁,又要防范网络端的威胁。对未授权的AP可以通过部署无线入侵检测来实现,通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测,检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,最大程度地保护无线网络。对用户通过认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性,防止未授权用户进入网络。WX3024通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文,从而有效防御ARP欺骗。
(三)企业无线网络应用安全解决方案
由于企业各部门对网络需求不同,比如视频监控中心将公司各个视频监控数据通过wx3024传送到视频服务器,不需要连接互联网。而财务部则需要链接对银联服务器进行账务处理、票据打印等。这就对无线控制器提出了一系列不同级别的安全技术策略。
企业在认证方式上采用radius认证方式,可以大大提高无线网络的安全机制。这种认证方式需要架设一台radius服务器,所有的用户数据储存在数据库中。通过对网络访问用户的身份进行验证是否具有登录权限。但企业在规划无线网络时首先考虑信息高速、安全、可扩展性已实现信息共享,传递,提高工作效率,同时建立出口通道实现与internet互联。因此在信息安全建设方面可以通过以下方式实现:①启用MAC地址过滤,可以阻止未经授权的无线客户端访问AP及进入内网。②禁用或修改SNMP设置,避免黑客利用SNMP获取关于用户网络的重要信息。③隐藏SSID,在无线路由器的设置当中,选择“隐藏SSID”或“禁止SSID广播”,这样就不容易被入侵者搜到。④采用IEEE 802.11i数据加密方式,这种数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准。⑤架设一套H3C imc智能网络管理软件,实时监测分析无线数据流,根据需要阻止和断开客户端。⑥在WLAN的安全防护方面还需要通过及时修复系统补丁、安装杀毒软件、个人防火墙、及时备份重要数据等方式保障网络信息安全。⑦安装部署一套内外网防御系统。
四、小结
无线局域网的不断发展要求提出更新更可靠的安全措施。本文中提出WLAN在企业应用中的安全机制及存在的安全风险、安全漏洞及临时解决方案。企业在构架无线网络时必须根据企业自身需要,建立多层安全保护机制,采用适当的安全保密产品,设定安全级别。从接入、认证、加密等方面充分考虑,最大限度减少无线网络带来的风险。
参考文献:
[1]任洁.浅谈无线局域网安全解决方案[J].电脑知识与技术,2011
[2]曾华强.企业无线局域网的构建及其安全研究,2009
[3]张宗福.无线局域网安全问题及解决方案[J].计算机安全,2011
[4]谭娟.浅谈校园无线局域网安全性分析与解决方案[J].中国信息技术教育,2011
关键词:无线局域两;网络威胁;安全技术;防范措施:安全级别
0 引言
在信息时代的今天,无线网络技术的发展可谓日新月异。从早期利用AX.25传输网络资料,到如今的802.11、802.15、802.16/20等无线标准,无线技术总是不断地给人们带来惊喜。大则跨广阔的地理区域,小则仅限个人空间,无线网络已经渗透到了人们生活中的方方面面。然而,伴随着无线局域网技术的快速发展,应用的日益广泛。无线网络的安全也成为计算机通信技术领域中一个极为重要的课题。对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网中,数据是在空中传播,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,因此无线局域网的安全问题显得尤为突出。
1 无线局域网存在的常见安全问题
无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,更容易受到攻击,面临的主要安全问题如下:
(1)WEP存在的漏洞
IEEE为了防止无线网络用户偶然窃听和提供与有线网络中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人们发现了不少漏洞:
①整体设计:无线网络不用保密措施会存在危险。WEP只是一个可选项:
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位数太短和初始化复位设计,容易出现重用现象,而被人破解密钥。而RC4算法,头256个字节数据中的密钥存在弱点。另外CRC fCyclic Redun-daⅡcv Check,循环冗余校验)只保证数据正确传输。并不保证其数据未被修改:
③密钥管理:大多数都使用缺省的WEP密钥,从而容易被破解入侵。WEP的密钥通过外部控制可以减少IV冲突,但是过程非常复杂而且需要手工操作,而另外一些高级解决方案需要额外资源造成费昂贵:
④用户操作:大多数用户不会设置缺省选项,令黑客容易猜出密钥。
(2)执行搜索
通过软件搜索出无线网络,然而大多数无线网络不加密,容易被人获得AP广播信息。从而推断WEP的密钥信息。
(3)窃听、截取和监听
以被动方式入侵无线网络设备,一旦获取明文信息就可以进行入侵。也可通过软件监听和分析通信量。劫持和监视通过无线网络的网络通信,通过分析无线数据包来获取用户名和口令,从而冒充合法用户,劫持用户会话和执行非授权命令。还有广播包监视,监视于集线器。
(4)窃取网络资源
部分用户从访问邻近无线网络上网,造成占用大量网络带宽,影响网络正常使用。
(5)欺诈性接人点
在未经许可的情况下设置接人点。
(6)双面恶魔攻击
也被称作“无线钓鱼”。以邻近网络名隐藏的欺诈接人点,用户一旦进入错误接入点,然后窃取数据或攻击计算机。
(7)服务和性能的限制
无线局域网的传输带宽有限。如果攻击者快速用以太网发送大量的ping流量,吞噬AP的带宽。如果发送广播流量,就会同时阻塞多个AP。
(8)欺骗和非授权访问
当连接网络时只需把另一节点重新向AP进行身份验证就能欺骗无线网身份验证。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.传输控制协议/网际协议1设计缺陷,只有通过静态定义的MAC地址才能有效防止MAC/IP欺骗。但由于负担过重,一般通过智能事件记录和监控对方已出现过的欺骗。(9)网络接管与篡改
由于TCP/IP设计缺陷,如果入侵者接管了AP,那么所有信息都会通过无线网上传到入侵者的计算机上。其中包括使用密码和个人信息等。
(10)窃取网络资源
因为任何人都可以购买AP.不经过授权而连入网络。部分用户从访问邻近无线网络上网。
(11)插入攻击
插入攻击以部署非授权的设备或创建新的无线网络为基础,由于往往没有经过安全过程或安全检查。如果客户端接入时没有口令,入侵者就可以通过启用一个无线客户端与接人点通信,就能连接到内部网络。
(12)拒绝服务攻击DoSlfDenial of Service,拒绝服务)
拒绝服务攻击指入侵者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。这都是由于传输特性和扩频技术造成。
(13)恶意软件
攻击者通过特定的应用程序可以直接到终端用户上查找访问信息。以便获取WEP密钥并把它发送回到攻击者的机器上。
(14)偷窃用户设备
由于MAC地址是唯一的,若攻击者获得无线网网卡就拥有合法MAC地址。
2 无线局域网安全问题的解决方法
无线网络存在许多安全隐患。多数情况下是用户使用不当而造成安全隐患,除了用有效手段来防止攻击外,也要加强用户的防范意识和强化安全技术手段,而且养成良好的使用习惯,使入侵者无机可乘。解决安全问题方法有很多,以下介绍一些常见方法。
(1)关闭非授权接入
(2)禁用动态主机配置协议
手动设置IP地址、子网掩码以及TCP/IP参数等。
(3)定期更换密钥
(4)同时采用不同的加密方式
不同类型的加密可以在系统层面上提高安全的可靠性。
(5)不使用情况下关闭无线网络与网络接口,关闭无线网络接口使用户不会成为恶意攻击的目标。
(6)提高用户防范意识
了解被入侵后的迹象,及时处理。养成良好的上网习惯,安装必要的杀毒软件与防火墙,并及时更新,定期查杀。
(7)禁用或修改SNMP设置
SNMP(simple Network Management ProtoeolI简单网络管理协议).网络上一些设备行SNMP协议,但是许多是不必要的,而由于SNMP都采用了默认的通信字符串,安全机制比较脆弱,通信不加密,容易被入侵者获取信息。
(8)MAC地址过滤
在AP内部建立一张MAC地址控制表(ACaeSS Contr01),将无线网卡的MAC地址输入AP中,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。通过MAC地址限制可以确保只有经过注册的终端设备才可以接入无线网络,使用网络资源。以实现物理地址的访问过滤。
(9)SSID匹配
只有SSID与AP的SSID相匹配时才能连接。
(10)隐藏SSID
服务集标识符SSID(Service Set Identifier)是无线客户端对不同网络的识别,用它来建立与接入点之间的连接。参数是被AP广播出去,无线客户端只有收到参数或者手动设定与AP相同的SSID才能连接到无线网络。而把广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络。隐藏SSID能大大降低威胁。
(11)WEP加密
在每个使用的移动设备和AP上配置密码使用静态非交换式密钥,能有效防止一般数据获取攻击。当加密机制功能启用时,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。尽量设置一个高强度的WEP密钥,使得暴力破解成为不可能情况。
(12)AP隔离
类似于VLAN。将所有的无线客户端设备完全隔离,只能访问AP连接的固定网络。
(13)802.1x协议
802.1x协议基于Client/Server的访问控制和认证,被称为端口级的访问控制,可限制未授权用户/设备通过接入端口访问LAN/WLAN。协议对设备整体要求不高降低组网成本,使用扩展认证协议EAP。802.1x的客户端认证请求也通过Radius服务器进行认证,但费用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技术TKIPfremporal Key Integrity Protocoll暂时密钥完整性协议,是IEEE 802,11i的一个子集,其核心就是IEEE 802.1x和TKIP。与WEP不同之处是TKip修改常用的密钥,使用密钥与网络上其他MAC地址以及一个更大的初始化向量合并,每节点都用不同的密钥对数据进行加密。TKIP可以大量解决WEP存在的安全问题。WPA拥有完整性检查功能,并加强了用户认证功能,而且对802.1x和EAP(扩展认证协议)支持。和802.1x协议一样WPA可以通过外部Radius服务器对无线用户进行认证,也使用Radius协议自动更改和分配密钥。但并不是所有的设备都支持WAP,而且使用时只要对设备进行升级以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在开发的新一代的无线协议,致力于彻底解决无线网络的安全问题,包含加密技术AESfAdvaneedEncryption Standard)与TKIP,以及认证协议IEEE 802.1x。IEEE 802.11i将为无线局域网的安全提供可信的标准支持。
(16)VPN
VPN虚拟专用网(Virtual Private Network)核心是在利用公共网络建立虚拟私有网。当用户使用一个VPN隧道时,数据通信保持加密状态直到它到达VPN网关,此网关为AP,整个传输过程都是加密的。VPN连接可以借助于多种凭证进行管理,例如口令、证书、智能卡等。
(17)无线安全路由器
无线路由器是基于硬件的安全解决方案,直接安插有线网络的高速链路中,并且访问点完成数据包转换。这种路由器的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。
3 结语
经过10多年的发展,无线局域网在技术上已经日渐成熟,无线局域网将从小范围应用进人主流应用。无线局域网安全技术对日后无线网络是否能够发展及其发展状况产生极大的影响。因此必须继续研究无线局域网安全技术,就是对本论题继续进行深入的研究,为无线网络提供技术支撑,确保无线网络的安全性,为社会更加繁荣、先进和进步提供最基本的条件,具有极其深远的意义。
参考文献
[1]赖庆,无线网络安全对策和技术[J].科技资讯,2006(19)
[2]赵琴。浅谈无线网络的安全性研究[J].机械管理开发,2008(01)
[3]陈鹤,曹科,无线局域网技术研究与安全管理[J].现代机械,2006(04)
[4]王秋华,章坚武,浅析无线网络实施的安全措施[J].中国科技信息。2005(17)
论文摘要:无线网络相对于有线网络更容易遭到攻击,因为无线网络通过无线电在特定频率的范围内传送信号,所有具有接收设备的人都能获得该信号。提高无线网络安全性能已成为不可忽视的问题。总结目前无线局域网遇到的主要威胁,及应对网络威胁的安全技术和基本的防范措施。
0 引言
在信息时代的今天,无线网络技术的发展可谓日新月异。从早期利用AX.25传输网络资料,到如今的802.11、802.15、802.16/20等无线标准,无线技术总是不断地给人们带来惊喜。大则跨广阔的地理区域,小则仅限个人空间,无线网络已经渗透到了人们生活中的方方面面。然而,伴随着无线局域网技术的快速发展,应用的日益广泛。无线网络的安全也成为计算机通信技术领域中一个极为重要的课题。对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网中,数据是在空中传播,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,因此无线局域网的安全问题显得尤为突出。
1 无线局域网存在的常见安全问题
无线局域网的传输介质的特殊性,使得信息在传输过程中具有更多的不确定性,更容易受到攻击,面临的主要安全问题如下:
(1)WEP存在的漏洞
IEEE为了防止无线网络用户偶然窃听和提供与有线网络中功能等效的安全措施。引入了WEP(WiredEquivalent Privacv)算法。然而WEP被人们发现了不少漏洞:
①整体设计:无线网络不用保密措施会存在危险。WEP只是一个可选项:
②加密算法:WEP中的IvfInitialization Vector,初始化向量)由于位数太短和初始化复位设计,容易出现重用现象,而被人破解密钥。而RC4算法,头256个字节数据中的密钥存在弱点。另外CRC fCyclic Redun-daⅡcv Check,循环冗余校验)只保证数据正确传输。并不保证其数据未被修改:
③密钥管理:大多数都使用缺省的WEP密钥,从而容易被破解入侵。WEP的密钥通过外部控制可以减少IV冲突,但是过程非常复杂而且需要手工操作,而另外一些高级解决方案需要额外资源造成费昂贵:
④用户操作:大多数用户不会设置缺省选项,令黑客容易猜出密钥。
(2)执行搜索
通过软件搜索出无线网络,然而大多数无线网络不加密,容易被人获得AP广播信息。从而推断WEP的密钥信息。
(3)窃听、截取和监听
以被动方式入侵无线网络设备,一旦获取明文信息就可以进行入侵。也可通过软件监听和分析通信量。劫持和监视通过无线网络的网络通信,通过分析无线数据包来获取用户名和口令,从而冒充合法用户,劫持用户会话和执行非授权命令。还有广播包监视,监视于集线器。
(4)窃取网络资源
部分用户从访问邻近无线网络上网,造成占用大量网络带宽,影响网络正常使用。
(5)欺诈性接人点
在未经许可的情况下设置接人点。
(6)双面恶魔攻击
也被称作“无线钓鱼”。以邻近网络名隐藏的欺诈接人点,用户一旦进入错误接入点,然后窃取数据或攻击计算机。
(7)服务和性能的限制
无线局域网的传输带宽有限。如果攻击者快速用以太网发送大量的ping流量,吞噬AP的带宽。如果发送广播流量,就会同时阻塞多个AP。
(8)欺骗和非授权访问
当连接网络时只需把另一节点重新向AP进行身份验证就能欺骗无线网身份验证。由于TPC/IP(Tralls-mission Control Protocolffntemet Protoc01.传输控制协议/网际协议1设计缺陷,只有通过静态定义的MAC地址才能有效防止MAC/IP欺骗。但由于负担过重,一般通过智能事件记录和监控对方已出现过的欺骗。(9)网络接管与篡改
由于TCP/IP设计缺陷,如果入侵者接管了AP,那么所有信息都会通过无线网上传到入侵者的计算机上。其中包括使用密码和个人信息等。
(10)窃取网络资源
因为任何人都可以购买AP.不经过授权而连入网络。部分用户从访问邻近无线网络上网。
(11)插入攻击
插入攻击以部署非授权的设备或创建新的无线网络为基础,由于往往没有经过安全过程或安全检查。如果客户端接入时没有口令,入侵者就可以通过启用一个无线客户端与接人点通信,就能连接到内部网络。
(12)拒绝服务攻击DoSlfDenial of Service,拒绝服务)
拒绝服务攻击指入侵者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。这都是由于传输特性和扩频技术造成。
(13)恶意软件
攻击者通过特定的应用程序可以直接到终端用户上查找访问信息。以便获取WEP密钥并把它发送回到攻击者的机器上。
(14)偷窃用户设备
由于MAC地址是唯一的,若攻击者获得无线网网卡就拥有合法MAC地址。
2 无线局域网安全问题的解决方法
无线网络存在许多安全隐患。多数情况下是用户使用不当而造成安全隐患,除了用有效手段来防止攻击外,也要加强用户的防范意识和强化安全技术手段,而且养成良好的使用习惯,使入侵者无机可乘。解决安全问题方法有很多,以下介绍一些常见方法。
(1)关闭非授权接入
(2)禁用动态主机配置协议
手动设置IP地址、子网掩码以及TCP/IP参数等。
(3)定期更换密钥
(4)同时采用不同的加密方式
不同类型的加密可以在系统层面上提高安全的可靠性。
(5)不使用情况下关闭无线网络与网络接口,关闭无线网络接口使用户不会成为恶意攻击的目标。
(6)提高用户防范意识
了解被入侵后的迹象,及时处理。养成良好的上网习惯,安装必要的杀毒软件与防火墙,并及时更新,定期查杀。
(7)禁用或修改SNMP设置
SNMP(simple Network Management ProtoeolI简单网络管理协议).网络上一些设备行SNMP协议,但是许多是不必要的,而由于SNMP都采用了默认的通信字符串,安全机制比较脆弱,通信不加密,容易被入侵者获取信息。
(8)MAC地址过滤
在AP内部建立一张MAC地址控制表(ACaeSS Contr01),将无线网卡的MAC地址输入AP中,只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。通过MAC地址限制可以确保只有经过注册的终端设备才可以接入无线网络,使用网络资源。以实现物理地址的访问过滤。
(9)SSID匹配
只有SSID与AP的SSID相匹配时才能连接。
(10)隐藏SSID
服务集标识符SSID(Service Set Identifier)是无线客户端对不同网络的识别,用它来建立与接入点之间的连接。参数是被AP广播出去,无线客户端只有收到参数或者手动设定与AP相同的SSID才能连接到无线网络。而把广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络。隐藏SSID能大大降低威胁。
(11)WEP加密
在每个使用的移动设备和AP上配置密码使用静态非交换式密钥,能有效防止一般数据获取攻击。当加密机制功能启用时,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。尽量设置一个高强度的WEP密钥,使得暴力破解成为不可能情况。
(12)AP隔离
类似于VLAN。将所有的无线客户端设备完全隔离,只能访问AP连接的固定网络。
(13)802.1x协议
802.1x协议基于Client/Server的访问控制和认证,被称为端口级的访问控制,可限制未授权用户/设备通过接入端口访问LAN/WLAN。协议对设备整体要求不高降低组网成本,使用扩展认证协议EAP。802.1x的客户端认证请求也通过Radius服务器进行认证,但费用高。
(14)WPA
WPA(Wi-Fi Protected Access)使用802.11i中的加密技术TKIPfremporal Key Integrity Protocoll暂时密钥完整性协议,是IEEE 802,11i的一个子集,其核心就是IEEE 802.1x和TKIP。与WEP不同之处是TKip修改常用的密钥,使用密钥与网络上其他MAC地址以及一个更大的初始化向量合并,每节点都用不同的密钥对数据进行加密。TKIP可以大量解决WEP存在的安全问题。WPA拥有完整性检查功能,并加强了用户认证功能,而且对802.1x和EAP(扩展认证协议)支持。和802.1x协议一样WPA可以通过外部Radius服务器对无线用户进行认证,也使用Radius协议自动更改和分配密钥。但并不是所有的设备都支持WAP,而且使用时只要对设备进行升级以支持WPA。另外WPA兼容IEEE 802.1。
(15)802.11i
正在开发的新一代的无线协议,致力于彻底解决无线网络的安全问题,包含加密技术AESfAdvaneedEncryption Standard)与TKIP,以及认证协议IEEE 802.1x。IEEE 802.11i将为无线局域网的安全提供可信的标准支持。
(16)VPN
VPN虚拟专用网(Virtual Private Network)核心是在利用公共网络建立虚拟私有网。当用户使用一个VPN隧道时,数据通信保持加密状态直到它到达VPN网关,此网关为AP,整个传输过程都是加密的。VPN连接可以借助于多种凭证进行管理,例如口令、证书、智能卡等。
(17)无线安全路由器
无线路由器是基于硬件的安全解决方案,直接安插有线网络的高速链路中,并且访问点完成数据包转换。这种路由器的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。
3 结语
经过10多年的发展,无线局域网在技术上已经日渐成熟,无线局域网将从小范围应用进人主流应用。无线局域网安全技术对日后无线网络是否能够发展及其发展状况产生极大的影响。因此必须继续研究无线局域网安全技术,就是对本论题继续进行深入的研究,为无线网络提供技术支撑,确保无线网络的安全性,为社会更加繁荣、先进和进步提供最基本的条件,具有极其深远的意义。
参考文献
[1]赖庆,无线网络安全对策和技术[J].科技资讯,2006(19)
[2]赵琴。浅谈无线网络的安全性研究[J].机械管理开发,2008(01)
[3]陈鹤,曹科,无线局域网技术研究与安全管理[J].现代机械,2006(04)
[4]王秋华,章坚武,浅析无线网络实施的安全措施[J].中国科技信息。2005(17)