網絡安全專業服務匯總十篇
時間:2023-10-23 09:48:31
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全專業服務范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
總的說來,2003年中國網絡安全產品市場發展勢頭良好,諸多因素促成了市場規模的持續增長。病毒和黑客攻擊等網絡安全事件的頻繁發生刺激了市場需求的再度增長,這也給了整個網絡安全產品市場一個發展的契機。
網絡安全產品主要細分產品包括防殺毒軟件、防火墻、入侵檢測系統、信息加密以及安全認證等。2003年,中國網絡安全產品市場中,防殺毒軟件和防火墻仍然占據主要市場份額,兩者合計占總市場70.7%的份額。防殺毒軟件的銷售額為6.99億元,比2002年增長2.11億元;防火墻產品銷售額為9.68億元,同比增長了2.41億元;入侵檢測系統的銷售額為2.75億元,同比增長0.51億元。由于2003年網絡安全病毒等事件的頻頻發生,尤其是來自網絡的入侵攻擊越來越嚴重,使得對于其它多樣的網絡安全產品需求再度增加,其它網絡安全產品的銷售額為4.15億元,市場份額已由2002年的9.6%增長到17.6%。
市場特點
1.網絡安全威脅日益嚴重,網絡安全市場迅速增長。2003年病毒和黑客攻擊等網絡安全事件頻繁發生,促使市場需求大幅增長,市場總銷售額達23.57億元,比2002年增長5.21億元,增長率達到28.4%。
2.市場日益走向成熟,國內外廠商競爭更加激烈。2003年中國網絡安全產品市場表現較為突出,已經進入快速成長并日益成熟的發展階段,市場地位不斷提高。
3.網絡安全整體解決方案備受關注。用戶需求發展趨勢表明,用戶迫切需要整合更多功能的網絡安全整體解決方案,以全面保障正常的網絡運行與維護,這已成為供求雙方都倍加關注的一大熱點。
4.專業安全服務日益引起高度重視。用戶的安全服務投資也已經成為網絡安全整體投資的重要組成部分。服務導向也是廠商實現轉型的重要步驟之一。服務將成為網絡安全市場利潤來源的新增長點,已經引起廠商和用戶的高度重視。
5.電子政務建設成為網絡安全市場的最大推動力。2003年,政府部門占網絡安全產品市場總銷售額的21.8%,占據最大份額,并呈逐步上升的趨勢。
發展趨勢與預測
預計2004~2008年,中國網絡安全產品市場將以31.7%的年均復合增長率增長,市場規模將從2003年的23.57億元增長到2008年的93.2億元。隨著市場規模的逐步擴大,預計2004年將達到增長率的最高點;自2005年開始,市場增長率將呈現持續緩慢的下降趨勢,從2004年的36.4%逐步下降至2008年的29.1%,市場將逐步走向成熟。賽迪顧問預測中國網絡安全產品市場發展將有以下幾個發展趨勢:
1.技術創新是網絡安全發展的主題。從整個產業來看,國家鼓勵科技創新,并且要在關鍵領域、發展前沿掌握核心技術和擁有一批自主知識產權,網絡安全產業就是事關國家命脈的關鍵領域之一。
2.多元化是網絡安全渠道發展的趨勢。2003年以來,網絡銷售作為一種新興的銷售模式廣受歡迎。網絡銷售渠道的產生使得渠道呈現多元化發展的局面,預計未來5年將持續多元化的發展局面。
3.安全整體解決方案將成為用戶的突出需求。用戶愈發認識到單純的網絡安全產品已經不能滿足其網絡安全防護需求,而整體安全解決方案將成為用戶的首選,這是市場發展的大勢所趨。
4.出于解除安全后顧之憂和降低安全風險的需要,用戶不僅需要更專業化的產品,而且需要更專業化的服務,這包含從高端的全面安全體系到細節的技術解決措施等各方面。目前,專業提供網絡安全服務的廠商數量還不多,預計未來會有越來越多的廠商加入進來。
篇(2)
0 前言
政府高度重視在信息安全人才培養等方面的公共服務能力建設,但是,目前在信息安全專業人才實踐教學環節,缺乏能支持信息安全各專項技術的綜合實訓環境。圍繞國家加快發展現代服務業和提升國家信息安全保障能力的戰略要求,結合學校在網絡安全方向及實踐教學環境建設的需要,建設面向計算機網絡技術等相關專業的多層次、全方位、可擴展的信息安全綜合實踐教學環境,近年來,我校進行了網絡安全實訓室建設的實踐與探索。
1 網絡安全實訓室建設的目的和意義
隨著計算機網絡技術的發展,信息存儲容量成倍地增長,信息已經成為客戶的重要資產,信息存儲成為各項業務運作的基本依賴條件和環境,任何信息的破壞和丟失,都會造成難以挽回的巨大損失,任何存儲系統的故障,都會嚴重影響業務的正常開展和運營。可以說,網絡安全技術已滲透到各個領域,其技術人才積累往往是和技術發展相輔相成的,由于安全經驗需要時間積累的緣故,目前網絡安全管理人員遠遠滿足不了業務發展需求。據計算機世界資訊的相關研究報告稱,估計國內網絡安全人才缺口將達到30萬人以上。
在此背景下,尤其是國家對高等教育提出了“打造精品課程”、“建設國家示范實訓基地”以及“大力開展校企合作”的要求,建設網絡安全實訓室,可以改善專業實驗實訓教學環境,滿足計算機網絡技術專業實施開發課程一體化教學需要,突出培養學生對應崗位能力培養,提升專業實驗及實訓教育水平,培養適應信息技術發展的高端技能型人才。
2 建設思路與建設目標
我校網絡安全實訓室的建設思路是:以“校企共建、企業化管理、職業化環境、服務于社會”為指導思想,適應高素質技能型專門人才培養的需要,依據計算機網絡技術專業崗位能力要求為驅動,設備性能與主流技術同步,建設具有真實職業環境,能承接加工制造業信息化服務項目,集教學、培訓、技能鑒定和技術服務等功能于一體的實訓室。
我校網絡安全實訓室建設目標是:在校園網環境下模擬完整的企業網環境,實現商業運營環境中各項業務需求的在校實訓,提供多層次、全方位及綜合化的信息安全實驗與實踐環境。一是滿足《網絡安全技術與實施》、《網絡與信息安全技術》、《網絡故障分析與排除》、《網絡操作系統配置與管理》等課程“教學做一體化”教學需要,使學生通過在此環境下認識整網的運行環境,并且進行各種設備調試,實現各種平臺環境下的業務需求,達到實踐能力的全面提高,職業能力和就業能力得到提升;二是提供科研開發和測試環境,服務企業;三是支持信息安全社會化培訓以及信息咨詢、方案優化、產品研發與仿真測試等服務,服務地方經濟。
3 網絡安全實訓室建設實施
網絡安全實訓室的建設實施按照作用范圍和設備的情況,分為兩個階段。第一階段是搭建基礎網絡結構。構建網絡安全基礎結構和服務器存儲基礎結構,以基礎通信網絡知識培訓為主要目的,在信息安全主流技術上是以網絡安全技術為主,實驗設備采用全球市場廣泛應用的主流通信設備,兼并實用性和先進性,同時滿足驗證性實驗、綜合性實驗、設計性實驗的不同要求。存儲功能部分主要由學生終端、存儲管理軟件客戶端、e-Bridge存儲管理軟件、存儲陣列、應用服務器五部分組成。e-Bridge存儲管理軟件將存儲陣列上的磁盤分割成為每4塊磁盤一組的磁盤組,每小組學生共用一組磁盤,在這組磁盤上學生可以對其進行配置和操作,學生小組之間互不影響。學生在實驗終端啟用存儲管理軟件客戶端,圖像化界面上進行操作。第二階段為多元化多業務實驗室階段,構建完善的認證培訓體系,服務社會,帶動教育、其它行業的信息化建設,成為學校所屬區域乃至全國信息化建設的龍頭,構建一條實驗室的價值鏈。
網絡安全實訓室實驗系統構架,分為三個層面,即基礎理論層面(教材)、子系統級層面(各功能模塊設備)和平臺層面(實驗軟件平臺);縱向又分為兩個層面,功能演示層面和教學實驗層面。功能演示和教學實驗橫穿三個橫向層面,即可以針對基礎理論知識層面、子系統級層面以及平臺層面設計不同復雜度的系統功能演示和教學實驗。每個子系統均依照自身的特點,有針對性地選擇一個或者多個層面進行教學或培訓實驗設計,教學實驗數量要求有三至六個或者更多。
網絡安全實訓室共投入資金151萬,共有設備123臺套,主要設備有:二層網絡交換機、三層路由交換機、安全路由設備、邊緣防火墻、VPN設備、智能入侵檢測系統、文檔安全管理軟件、信息安全綜合實驗系統模塊服務器、信息安全綜合實驗系統模塊、OceanStor S2600I存儲系統、IP-SAN交換機、安全實驗管理平臺、設備控制臺、實驗管理網絡設備交換機、實驗管理防火墻交流主機、拓撲管理器、實驗室終端、網絡分析系統等。
4 網絡安全實訓室建設成效
在建設過程中,與思科網絡公司、北京神州祥升科技有限公司等企業合作,搭建了真實的小型企業網環境,體現了“校中廠”的理念,同時選擇使用率高、起點高、能體現現代網絡安全環境的先進設備,使學生在學習過程中不知不覺中地積累到最先進的網絡安全經驗。
網絡安全實訓室,能夠開設數據網絡類、網絡安全類、應用類、存儲類、網絡故障分析與排除類等5種類型的實訓。能滿足48人同時分組實訓,提高學生動手實踐能力和就業能力 。近年來該專業的學生在全國職業院校技能大賽、山東省職業院校技能大賽綜合布線技術競賽項目中取得了優異成績。承辦了2013年山東省物聯網應用技能大賽。
該實訓室在承擔課程實訓、綜合實訓以外,還承擔了科研、企業培訓、認證培訓及考試,突出了專業技術輸出能力,提升了專業團隊的行業美譽度。計算機網絡技術專業依托該實訓室立項了“山東省信息化戰略專項研究課題”等8項省級科研課題,獲得了1項山東省計算機應用優秀成果獎一等獎,申報了12項國家專利。舉辦了一期山東省高等職業院校教師省級培訓,組織了兩期山東省高職院校物聯網應用技術培訓,來自全省高職院校的197名師生參加了學習。與企業合作申報了3個國培項目,開發了兩個專業培訓包。9所省內外職業院校來校學習專業建設經驗。
5 結束語
近幾年,我們通過建設網絡安全實訓室,并充分發揮其實訓教學、技術應用研發、技能培訓與社會服務等方面的能,計算機網絡專業辦學水平和辦學競爭力的得到了提升。
篇(3)
2醫院信息化建設過程中網絡安全的防護對策分析
2.1構建科學的網絡安全管理制度
要想充分保證當前醫院網絡環境的穩定健康運行,醫院必須制定出科學的網絡安全規章管理制度。醫院應當結合自身的實際情況,采取科學的使用方法和合理的管理制度,例如機房安全管理制度、醫療資源數據存儲備份制度、網絡運行維護制度、醫療信息系統操作使用制度等,并且醫院應當逐步培養工作人員的網絡安全意識,從而保證醫院網絡安全能夠有據可依、有章可循。此外,醫院還可以成立網絡安全應急小組,當發生網絡安全事件問題時小組應當根據事件的嚴重程度采取措施。如果出現災難時應當在第一時間內對網絡安全進行恢復,并且盡可能將醫院的社會影響、故障損失及網絡中斷時間降到最低,同時形成長效的問題整改機制。除此之外,醫院還應當對所有的網絡使用人員進行定期的考核,確保所有的工作人員能夠完全勝任其所屬的崗位職責。
2.2采取科學的網絡安全管理措施
醫院應當在充分結合自身發展實際情況的基礎上,實施科學正確的網絡安全管理措施,從而保證整個網絡信息系統能夠安全、高效、正常地運行。第一,為了進一步保證醫院網絡系統服務器能夠高效、穩定可靠地運行,應當采取雙機熱備、雙機容錯等解決措施;第二,對于一些十分關鍵的設備,建議通過UPS進行主機設備供電,這能夠在保證電壓穩定的同時,有效避免發生突發事件;第三,網絡架構設計方面,應當將主干網絡鏈路也構建成冗余模式,一旦主干網絡中發生線路故障時,則可以通過冗余線路保證網絡信息數據依然能夠得到正常的傳輸;第四,物理隔離措施同樣是不可缺少的一種安全防護措施,醫院專業的工作人員應當將網絡外網和業務內網進行物理分離處理,從而防止發生互聯網和醫療業務網絡出現混搭的現象,這能夠從根本上避免受到互聯網因素的影響導致醫療業務數據發生外泄,還可避免非法用戶借助外部網絡進入醫院信息系統和服務器實施一系列非法操作;第五,針對醫療業務信息安全,醫院應當構建出系統和數據備份容災體系,從而保障發生機房災難和存儲設備損壞時能夠在短時間內快速恢復信息系統的正常運行;第六,采取權限分級管理的措施,避免修改數據以及越權訪問等現象的發生,還能夠對部分關鍵數據信息進行跟蹤預警等。
2.3實施科學合理的技術手段
醫院網絡安全防范的對策較為繁多,在技術手段方面的對策應當變得多層次、多元化,從被動防護過渡到主動防御層面上來。第一,由于醫院的網絡架構是外網和內網隔離的,內網的網絡安全需求更為高級,其應當安裝一些強大的殺毒軟件,同時還應當構建管理控制中心,以此來進行危險項修復、病毒庫更新、病毒查殺、漏洞修復、全網體驗等;第二,在醫院的外網和內網之間構建出防火墻網關,從而將一些非法服務和不安全的服務過濾出去,對網絡訪問進行適當的限制,還能夠在一定程度上探測及預警網絡的攻擊行為,避免出現潛在的、不可預測的惡意入侵現象;第三,要想有效彌補防火墻存在的漏洞,醫院還應當采取專業化的入侵檢測系統部署措施,將多個關鍵點分散在網絡中,通過對審計數據、安全日志及行為或其他網絡來檢測所獲取的各方面信息,并且從其中發現系統或網絡中是否存在被攻擊的現象或有違背網絡安全的行為;第四,醫院在信息化建設過程中,專業的技術人員還應當通過安全掃描技術,全面掃描網絡中的網絡服務和可能潛在的安全漏洞;第五,構建云安全管理平臺。通常來說,通過虛擬化平臺能實現網絡安全的集中式管理,如終端保護方案、事件管理(SIEM)、數據防丟失(DLP)等,從而為醫院提供出相關的云服務功能,通過虛擬化的手段來壓縮醫院網絡維護成本,并且能夠對醫院內部網絡安全問題進行有效解決。例如,利用VMwarevSphere5與病毒廠商的結合,從而對服務器進行全方位的檢測,這能夠動態識別網絡通信及對虛擬架構配置更改問題,同時還能夠對用戶中的未授權操作進行阻止,并且給在不會對系統安全運行產生影響的前提下防止Oday攻擊等行為。
篇(4)
目前,很多學校的網絡管理者都不是由具備相關專業知識的人員擔任,網絡安全防范意識淡薄,而且學校也未構建正確、完善的網絡安全策略和安全機制來規范網絡管理者的工作行為,如系統未定期更新修復漏洞、服務系統密碼沒有定期修改,導致校園網絡常常留有大量漏洞,使其更容易被木馬病毒侵入、破壞,甚至還可能被網絡相關人員利用從事一些非法工作。另一方面,有不少學校師生自身的安全防范意識淡薄,對日常用的電腦沒有采取足夠的安全防范措施,一旦感染木馬病毒可以迅速移植、傳播,造成資料丟失、損壞,甚至導致整個校園網絡癱瘓。
2校園網絡安全防范基本思路
本文上面論述了校園網絡安全經常遇見的一些威脅因素,它們主要都是通過利用校園網絡自身的漏洞,或者網絡安全管理不規范來達到攻擊、破壞校園網絡的目的。因此,為了給學校師生構建一個安全、高效的網絡環境,應采取的主要手段是構建一套科學、完善的校園網絡安全防范體系,而校園網絡安全防范體系建立是一項非常復雜的系統工程,其涵蓋的內容非常繁雜。筆者認為構建校園網絡安全防范體系的基本思路是:一方面,采用相關技術手段來改進、提升校園網絡自身的防御功能,如防火墻技術、加密技術、隔離技術、身份認證等技術手段都對防止非法侵入系統具有良好的作用,其中,防火墻這一技術手段已被廣泛運用在校園網絡安全建設中;另一方面,改進網絡安全管理機制,需制定一套完整、科學、規范的校園網絡管理制度,規范網絡管理人員的工作行為,并聘用具有網絡安全管理專業技能的人員來對校園網絡建設進行指導、管理。總之,加強校園網絡安全防范不僅需要依靠相關安全設備和技術手段,特別是還需要制定一套正確、全面的安全管理制度來指導校園網絡建設,以提高網絡安全防范意識,只有在加強技術管理的基礎上,才能綜合提升校園網絡的安全性。
篇(5)
中圖分類號:G424 文獻標識碼:A
0 引言
隨著網絡信息產業的快速發展,網絡安全成為亟需解決的問題,我院為了培養應用型本科人才,在網絡通信專業培養計劃中設置了網絡安全實驗這門選修課,因為開設時間較短,教學過程還處于探索階段。網絡安全實驗教學這門課無論在掌握計算機學科理論,還是鍛煉學生在實際工作生活中解決應用問題的能力方面,都起到了十分重要的作用。因為是實驗課程,所以在教學過程中,比較重視實踐操作過程。網絡安全實驗課程的內容比較集中在P2DR模型中說涉及的網絡安全防御、檢測、響應三大領域,以滿足在現實工作中所遇到的不同網絡安全問題。因此,本文從實驗項目的選擇,實驗平臺的建立,以及實驗教學方法等上對網絡安全實驗教學進行探索。
1 實驗平臺搭建
首先是虛擬機技術在實驗中的使用,網絡安全實驗中的實驗具有一定的破壞性,所以我們采用了虛擬機來進行實驗,在網絡安全實驗中,需要模擬網絡攻擊,使學生掌握怎樣防御的同時,也了解攻擊技術。所以在實驗中我們首先安排了Vmware虛擬機的安裝與配置。在虛擬機中我們安裝windowsserver2003服務器版操作系統,并且配置開啟相關服務。
因為硬件條件有限,所以我們的大量實驗還只能在虛擬機上進行,但為了使學生身臨其境的感受網絡安全技術,我們在綜合實訓中還是建立了基礎的網絡攻防實驗環境。
2 實驗項目設計
在我國,高校是培養網絡安全人才的核心力量。網絡攻擊與防護是網絡安全的核心內容,也是國內外各個高校信息安全相關專業的重點教學內容。所以在實驗項目設計上我們體現了實用性為主的觀念,要在實驗中更多的體現未來學生畢業后,會遇到的網絡安全問題。所以設置了以下實驗:
(1)安裝Vmware虛擬機,并配置完整的網絡環境。配置完善win2003server虛擬環境,為以后的實驗搭建平臺,習和掌握Vmware虛擬機的安裝與配置,以建立網絡攻防平臺。
(2)加密原理與技術,利用不同技術進行加密。了解和掌握各種加密方法,以實現信息加密。學習和掌握密碼技術,利用密碼技術對計算機系統的各種數據信息進行加密保護實驗,實現網絡安全中的數據信息保密。
(3)PPPoE的網絡通信原理及應用。學習和掌握基于PAP/CHAP的PPPOE的身份認證方法。學習和掌握利用身份認證技術對計算機和網絡系統的各種資源進行身份認證保護實驗,實現網絡安全中的信息鑒別。
(4)掌握Windows系統中基于PPTV VPN的功能、配置與使用操作。學習和掌握如何利用防火墻技術對網絡通信中的傳輸數據進行鑒別和控制實驗。
(5)學習掌握Windows系統中NAT防火墻的功能、配置與使用操作。學習和掌握網絡通信中的合法用戶數據信息的傳輸,以實現網絡安全中的保密性、鑒別性和完整。
(6)學習和掌握Superscan掃描工具對計算機進行端口掃描的方法,操作應用。學習和掌握各種網絡安全掃描技術和操作,并能有效運用網絡掃描工具進行網絡安全分析、有效避免網絡攻擊行為。
(7)學習和掌握如何利用Wireshark進行網絡安全監測與分析。學習各種網絡監聽技術的操作實驗,能利用網絡監聽工具進行分析、診斷、測試網絡安全性的能力。
(8)學習和掌握Snort網絡入侵監測系統的安裝、配置和操作。學習和掌握Snort入侵檢測系統的基本原理、操作與應用實驗。
3 綜合實訓
為了讓學生能適應真實的網絡環境,使之更貼近應用型人才的培養方案,最后我們設計了綜合實訓這個環節,讓學生在網絡通信系統中綜合運用各種網絡安全技術,設計一個整體的網絡安全系統。分析公司網絡需求,綜合運用網絡安全技術構建公司網絡的安全系統。通過一個實際網絡通信系統中的綜合運用,實現整體系統的有效設計和部署。
學生分組進行實訓,分為防御組與攻擊組,為了充分利用實驗資源讓防御組的同學在局域網環境下搭建服務器靶機,并讓防御組的同學配置VPN、NAT防火墻的技術并搭建SNORT入侵檢測系統。攻擊組同學操作學生終端嘗試攻擊服務器靶機,使用ARP欺騙等技術。防御組的學生使用Wireshark網絡監聽查看ARP欺騙源地址,并解決該威脅。
4 結論
隨著網絡技術的發展,網絡安全成為重中之重,為了培養本科應用型人才,實踐證明實驗必須貼近真實存在的案例才能提高學生的實際網絡攻防水平,使學生掌握網絡安全的新技術,而使用綜合實訓這種方式,更是提高了學生的參與積極性,使教學質量進一步提升。
參考文獻
篇(6)
計算機網絡涉及計算機技術和通訊技術兩大領域,自20世紀60年代末期美國軍方建立起ARPANET網后,基于此的Internet網絡快速發展,其應用逐漸擴大到世界范圍的各行各業。在近十年里,Internet得到了迅猛的發展,在商業上取得了巨大的成功。Internet已逐步由過去單純的數據載體,發展為支持數據、語音、視頻等多種信息的多媒體信息和通訊平臺。Internet的快速發展、網絡的普及使得網絡工程專業人才的需求倍增,各大高校相繼設立了網絡工程專業。
網絡安全是網絡工程中的一個重要環節,因此,在網絡工程專業中設置網絡安全的相關課程是非常必要的。
1.網絡帶來的安全問題
Internet的開放性和其他方面的因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患和問題,這些安全隱患和問題主要為以下幾點。
(1)每一種安全機制都有一定的應用范圍和應用環境。
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(2)安全工具的使用受到人為因素的影響。
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然使用者可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求很難判斷設置的正確性。
(3)系統的后門是傳統安全工具難以考慮到的地方。
防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之地經過防火墻而很難被察覺。比如說,ASP源碼問題,這個問題在IIS服務器4.0以前一直存在。它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的Web訪問是相似的,唯一的區別是入侵訪問在請求鏈接中多加了一個后綴。
(4)黑客的攻擊手段在不斷地更新,幾乎每天都有不同的系統安全問題出現。
安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得安全工具總是對新出現的安全問題反應慢。當安全工具剛發現并努力更正某方面的安全問題時,其它的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
2.網絡安全專業課程設置
很多高校認識到了網絡安全的重要性,所以在網絡工程專業的課程設置上面均考慮了對于網絡安全方面專業課程教學要求。但是由于各方面的原因,在實際教學當中,根據不完全統計,96.84%的高校針對于網絡工程專業的網絡安全方面課程設置一般僅僅安排了《信息安全概論》或者《網絡安全技術概論》等課程,并且理論遠遠大于實踐,完全不能滿足實際網絡安全方面的需要。
正是由于網絡自身安全問題,入侵事件數量持續上漲,黑客成為引起網絡安全問題最為重要的因素。黑客(hacker)是指一個喜歡用智力通過創造性方法來挑戰腦力極限的人,特別是他們所感興趣的領域,例如電腦編程或電器工程。“黑客”最早源自英文hacker,早期在美國的電腦界該詞是帶有褒義的。但在媒體報導中,“黑客”一詞往往指那些“軟件駭客”(software cracker)。“黑客”一詞原指熱心于計算機技術,水平高超的電腦專家,尤其是程序設計人員。但到了今天,它已被用于泛指那些專門利用電腦網絡搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。現在計算機專業一些大學生認為成為一名黑客是一件極富于挑戰并且令他們為之自豪的事情。尤其現在網絡上流傳著各種各樣的黑客免費軟件,使得他們能夠入侵某些國內外的網站或者通過系統漏洞安裝一些木馬,成功獲得某些權限,或者直接在校園網內部進行攻擊,這樣能夠證明自己的能力或者驗證某項技術。
在這樣一種背景下,網絡安全專業課程的設置既要滿足學生學習的需求,符合社會對于網絡工程中網絡安全的需求,又要盡可能保證用戶正常使用網絡。這是因為很多學生在學習和驗證過程中,對網絡和其他用戶進行有意或者無意識的破壞,導致了不良的后果。同時學生的一知半解對于網絡的危害性更大,因為他們在實踐過程中有時候并不清楚會造成什么樣的后果,結果會帶來意想不到的麻煩。
因此,對于網絡安全課程的設置,設置哪些課程,如何設置,如何將教學和實踐很好地統一在一起,并且保證現有網絡資源安全,是一個很重要的問題。
3.網絡安全專業課程設置計劃
網絡安全專業課程一般來說包括以下一些課程:信息安全數學基礎、密碼與編碼學、信息安全概論、網絡攻防技術、計算機病毒原理及其防治、網絡安全協議、數字鑒別與認證機制、防火墻與入侵檢測技術、電子商務安全、網絡安全體系結構等。
很多人認為以上大部分課程應該是屬于信息安全專業所開設的課程,但是目前信息安全專業在很多高校中并沒有開設。因為教育部對這方面是嚴格控制的,現在開設信息安全專業本科的高校不多,到目前為止,全國只有70多所高校開設了這一專業,武漢大學是第一個開設信息安全專業的,但至今也僅僅只有8年的時間。目前安全方面的專家遠遠不能滿足人才市場和實際工作中的需要,因此各高校網絡工程專業對于此類課程的開設而且是必要的。網絡工程師不僅需要對整體網絡構架、設置等方面進行考慮,而且對于網絡安全的考慮是必不可少的,沒有安全保障的網絡系統是危險的。因此,一個網絡工程師不僅是精通網絡安全方面的專家,而且是了解網絡安全法律法規的專家。
網絡工程專業在網絡安全專業課程設置之上當然不能和信息安全專業相提并論,但是在課程開設的過程中,各高校可以有選擇、有針對性地設置一些網絡安全方面的課程。我國于1994年2月18日出臺《中華人民共和國計算機信息系統安全保護條例》,于1996年2月1日出臺《中華人民共和國計算機信息網絡國際互聯網管理暫行辦法》;公安部于1996年1月29日頒發《關于對與國際互聯網的計算機信息系統進行備案工作的通知》,于1997年12月30日頒發《計算機信息網絡國際互聯網安全保護管理辦法》,對于這些內容各高校可以以講座的形式進行開設,加強學生在網絡安全法律方面的意識。下表為我校網絡安全專業課程設置簡表。
這樣的設置可以使得網絡安全課程有一個持續的學習和研究過程,而不是只開設一門課程讓學生僅僅了解而已。
4.網絡安全專業課程實踐環節
在講授理論課程時,如果沒有配備適合的實驗教學,高校就不能保障學科的正常教學研究。網絡安全專業課程最為重要的就是實踐環節,僅僅有理論只是紙上談兵,不能使學生從真正意義上了解網絡安全中一系列的專業技術。但是在教學過程中,網絡安全方面的實驗有可能造成網絡環境的混亂,擾亂正常的教學秩序。
在實踐環節,教師在講授理論課程的基礎上還要配以實驗教學,保障學科的正常教學研究。教師應使學生具有一定的工程實踐能力,能將理論和實踐形成有機的統一體,使學生具有解決實際問題的能力,能完成相應的畢業設計、課程設計和創新課題,等等。網絡實踐環節可以使教師在網絡安全的教學和科研方面得到提高。由于網絡安全這方面的知識是需要終身學習的,特別是反病毒這一塊,更新較快,可能很多教師都不如學生,因此,教師應不斷學習,把握網絡安全方面的最新知識,這樣才能及時將最前沿的知識傳授給學生,以達到較好的教學效果。
高校網絡安全實驗室的設置最好是單獨的實驗室,自身為一個局域網,并且最好不要連在校園網上或者Internet上。在實驗室中,教師可以每組安排3-6臺學生機,1個防火墻,1個入侵檢測設備,共用1個服務器。在進行網絡安全實驗的時候,對于操作系統、應用軟件系統和網絡協議本身都要考慮到它們的安全性,所以教師可以讓學生從頭開始,一項一項地進行試驗。教師可以讓學生下載各種漏洞的補丁進行安裝,加固各種系統,保障安全,然后讓學生在局域網的范圍內以小組為單位進行攻防實驗。同時教師還可以進行一些病毒實驗,讓學生根據資料編寫一些小的病毒,也可以讓學生從網上下載一些病毒進行試驗。在課堂實踐的過程中,教師要加強對學生與國家計算機安全相關的法律、法規、政策、條例等方面的教育,使學生避免有意或者無意的計算機犯罪,以免給國家網絡安全造成危害。這種獨立實驗室不會影響正常的其他教學內容,可保證其他教學內容的正常開展。
網絡工程專業中網絡安全課程的開設,要求教師不僅在教學上盡可能地深入,而且在理論與實踐結合的實踐中使學生在保障網絡安全的同時減少了對網絡的危害。教師不僅要在教學上對學生嚴格要求,而且要在法律法規上對學生進行規范,避免學生進行網絡犯罪。
參考文獻:
篇(7)
在當今社會中,如何做好信息網絡安全工作是值得進行深入研究與探討的課題。如今的網絡發展速度不斷加快,信息相互融合的程度也在不斷加深,網絡給通信企業的工作帶來便利的同時,也存在著一些難以避免的問題。安全上的漏洞給通信企業的發展帶來了不利因素,需要及時解決,這樣才有保持通信企業良好發展的可能。
一、通信企業中信息網絡安全的現狀
在通信企業目前發展中,對信息網絡的安全性要求越來越高,由于通信企業對網絡的依賴程度日漸加深,保障信息網絡的安全性就顯得尤為重要。通信企業在內部通常建立了與自身發展相適應的信息網絡安全機制,并加大了對信息網絡安全的維護力度。在通信企業中,大多應用了相關維護安全性能的系統,如防火墻、日志分析系統、防病毒軟件等。根據自身發展要求投入了大量的資源,并進一步完善對信息網絡安全工作,這是符合發展要求的舉措。但在一定程度上,還無法完全避免通信企業受到信息網絡安全的影響,這就需要通信企業進一步作出相應維護措施。
二、做好通信企業信息網絡安全工作的方案
1、提高企業領導的重視程度。在通信企業中,加強信息網絡安全工作與企業領導的重視息息相關,企業領導對信息網絡安全工作重要性有了足夠的認識,就會相應地加大對這項工作的投入力度。這樣為做好信息網絡安全工作提供了有利的發展條件,使這一工作有了充足的資金保障,同時,企業領導的重視也會促進各部門工作相互協調,提高工作效率。加強信息網絡安全時,在無形中加大相關工作人員的工作強度,容易使工作人員產生抵觸排斥的心理,根據這一情況,企業領導更需加以重視,為企業整個工作的順利開展提供有利的保障。由此看來,只有在企業領導足夠重視的情況下,才能夠更好地為企業提供良好的發展平臺。為通信企業做好信息網絡安全工作打下堅實的基礎。2、加強學習交流。由于互聯網的普及,信息網絡安全層面的技術在日益完善,技術水平不斷提高,相應的技術知識日新月異。因此,加強學習交流,保障技術的先進性是做好網絡信息安全工作的前提。通過與其它企業進行技術上的交流互換,完善發展體制,不斷更新維護信息安全的技術,提出相應的解決措施,才能將通信企業的信息網絡安全工作做好。3、專業化網絡安全人員的配備。在網絡安全工作中,通信企業還存在著兼職人員擔任網絡安全員職位的現象。這對于維護通信企業的信息網絡安全是不利的,由于兼職人員在網絡維護的專業性上跟不上時展的需求,在許多專業問題上還不能很好地進行處理,因此造成了通信企業網絡安全工作存在問題的局面。針對這一實際問題,需要在維護網絡安全工作中,應用專業化的技術人才,以最大程度保障通信企業網絡安全。4、大力完善技術保護手段。一方面,技術保護手段的完善是推動通信企業網絡安全工作的關鍵因素。要做好通信企業信息系統之間的安全隔離措施,在應用系統所在的服務器中,只對外開放相應指定的服務端口。另一方面,需加強對網絡邊界的管理,具體舉措如在網絡邊界上設置防火墻等。防火墻可以有效地保障網絡邊界的安全,為防止病毒等不良因素的入侵做好預防工作。防火墻的配備同樣需合理化,要避免產生不良情況,如開通不必要的服務。同時,國產設備應廣泛應用于與網絡相連接的安全設備中。
三、通信企業信息網絡安全工作發展趨勢
1、網絡安全工作復雜化。網絡信息技術將會持續發展,這就促使網絡安全工作復雜化。威脅網絡安全的因素不斷更新,新病毒的出現、網絡黑客的攻擊技術提高等使維護網絡安全工作的難度不斷增加。同時隨著網絡應用的范圍越來越廣,所涉及到的相關工作日漸增多,也是網絡安全工作難度增加的一個重要因素。
2、網絡安全工作規范化。隨著網絡安全工作的逐步深入,網絡安全工作勢必將規范化。同時,在通信企業中,做好信息網絡安全工作是重要的工作之一,因此,網絡安全工作的規范化程度將日益加深。
結語:隨著通信企業對信息網絡安全工作的要求進一步提高,維護信息網絡安全的重要性日漸突出。網絡技術逐漸普及到社會的各行各業,對于自身網絡安全性的保障是日常工作中不可缺少的任務與目標。在通信企業中,做好信息網絡安全工作是必要的工作之一,這對于維護企業的利益、樹立良好的企業形象、維護社會的安全與穩定都有著重要的意義。
參 考 文 獻
篇(8)
關鍵詞:Open Source;網絡安全;實驗
中圖分類號:G642 文獻標識碼:B
1引言
2007年11月在武漢大學召開的“第一屆中國信息安全學科建設與人才培養研討會”上,教育部信息安全專業指導委員會初步提交了“信息安全類專業指導性專業規范”,在該規范中,不僅制定了信息安全專業畢業生規格和信息安全專業知識體系,而且創造性地提出了信息安全專業實踐能力體系,強調了信息安全專業畢業生應具備的實踐能力。信息安全決不是書本上空洞的理論和抽象的安全策略,要使學生真正掌握好信息安全技術,需要大量的實踐環節加以理解、掌握和應用。
文獻[1]中提出了利用Open Source技術實現網絡安全課程中的實驗教學,設計了8個實驗專題FTP協議分析、HTTP協議分析、IPsec VPN實驗、PKI及SSL實驗、SMTP和POP3協議分析實驗、TCP協議分析實驗、端口掃描實驗、網絡安全掃描實驗,用來加強教學過程中的技術專題實驗,增強教學效果。
但筆者認為文獻[1]中設計的實驗專題遠不能滿足“網絡安全”課程的教學需要,而且很多是利用嗅探工具進行協議分析的實驗。筆者在文獻[1]的基礎上又設計了幾個“網絡安全技術”實驗專題,介紹了實驗內容,并詳細描述了每個實驗的平臺構建、設計了實驗項目。
2實驗內容
本文所設計的網絡安全實驗由三個實驗專題組成,實驗的內容以及需要的開放源代碼軟件、所需要的硬件由表1所示。
3實驗設計
下面按照信息安全專業的培養計劃,結合“網絡安全技術”課程對以上實驗項目的原理、實驗平臺搭建、設計的實驗項目進行討論。
3.1網絡層及傳輸層firewall實驗
開放源代碼組織在創建防火墻軟件方面已經做得很優秀,而且這些軟件對任何規模的網絡都很理想[2]。本文中將以IPtables軟件為例來說明防火墻實驗的設計。IPtables能在網絡層和傳輸層進行包過濾,并能進行網絡地址翻譯(NAT)和端口重定向。
為了使firewall實現包過濾、NAT以及端口重定向等功能,搭建如圖1所示的網絡實驗環境。在該環境中只需要1臺用于運行IPtables防火墻的Linux主機,三臺Windows主機分別連接到防火墻主機的三塊網卡(NIC)上,用來表示Internet區域、DMZ和私有網絡。為了滿足實驗的要求,在這三臺Windows主機上必須安裝的一些軟件如各種服務器軟件并加以配置使其正確運行。
在以上的實驗環境中,設計滿足如下網絡安全要求的防火墻實驗:
a) 允許網絡接口eth1、eth2相連接的LAN1和LAN2之間相互通信。
b) 從LAN1、LAN2發往internet的數據包被偽裝成IP地址210.45.157.254。
d) 來自internet的主機不能訪問1023以下的LAN1和LAN2中的內部端口。
c) LAN1和LAN2的任何主機可以使用internet中的任何服務(Web,E-mail,Ftp等)。
e) 拒絕從防火墻的internet接口(eth0)進行的欺騙攻擊(即黑客把防火墻作為默認網關,偽裝成內部網IP,進入內部網絡),并進行日志記錄。
f) 拒絕全部從eth0進入的ICMP通信。
g) 允許internet中的主機訪問LAN1中的DNS服務、WEB服務、FTP服務,其它服務如telnet等禁止。
通過該實驗可以讓學生掌握通過防火墻實現包過濾、網絡地址翻譯(NAT)和端口轉發等網絡安全技術的原理。另外也可使學生掌握IPtables的防火墻規則編寫方法、IPtables中的表和鏈的概念,防火墻在網絡系統中的部署、安裝、配置和測試方法等,為以后真正使用防火墻來保護網絡奠定堅實的基礎。
3.2應用層firewall實驗
服務器防火墻的原理是所有內部主機的請求都發送到服務器,由服務器發送Internet請求,當響應的包達到時,服務器將其發送到發出初始請求的內部主機上。
使用應用層防火墻即服務器是另一種創建網絡邊界的方法,并能用更具體的方式過濾通信,通過增加規則過濾網頁內容,可以過濾掉地址中包含某些單詞的Web頁請求。另外還有降低帶寬成本,提高網絡性能,實現負載平衡的優點[2]。
本實驗項目利用Squid Web緩存服務器來實現。圖2是實現該實驗項目的平臺。
在以上的實驗環境中,設計滿足如下要求的實驗:
a)Windows Client通過Squid服務器訪問www服務器或ftp服務器。
b) 設置規則(如關鍵詞)進行URL的內容過濾。
c) 在squid.conf中定義ACL(訪問控制列表)用于源IP地址、IP地址范圍,目標IP地址、IP地址范圍進行訪問時的允許或拒絕。
d) 實現認證,即對使用服務器的客戶端進行Username/Password身份認證。
通過該實驗還可以讓學生真正了解包過濾防火墻與服務器的區別,包過濾防火墻工作在網絡層和傳輸層,而服務器工作在應用層。教師可指導學生通過嗅探工具(如sniffer)或查看www服務器的訪問日志來驗證它們之間的區別。
3.3入侵檢測實驗
Snort是用C語言編寫的開源的、跨平臺、輕量級的網絡入侵檢測軟件。從入侵檢測分類上來看,Snort是一個基于網絡和誤用(misuse detection)的入侵檢測系統。Snort采用基于規則的網絡信息搜索機制,對數據包進行內容模式匹配,從中發現入侵和探測行為。它與基于異常檢測(anomaly detection)的IDS比較缺點是不能檢測到新的攻擊行為。通過Snort入侵檢測系統的安裝,配置和管理,可加強學生對入侵檢測系統原理的理解。實驗平臺架構如圖3所示。
在圖3中的Linux+snort是作為入侵檢測系統部署的,目的是在廣播式的網絡中捕獲數據包并進行入侵檢測,也可將圖3中的HUB換成switch,但該交換機要具有端口流量鏡像功能。Windows client作為攻擊者主機,www/ftp/mail server作為被攻擊主機。
設計如下入侵檢測實驗:
a) 以守護進程運行snort IDS。
b) 深入了解snort IDS規則庫,并測試一種新的攻擊snort IDS能否檢測到,然后將新的攻擊特征增加到規則庫中再進行測試。
c) 安裝配置用于保存入侵警報信息的數據庫管理系統,可選擇MySQL或postgreSQL。
d) 配置snort.conf文件,使Snort真正成為一個網絡入侵檢測系統來運行。
e) 安裝配置入侵檢測控制臺ACID,用于對snort IDS的行為進行管理與監控。
4總結及展望
本文在文獻[1]的基礎上設計了有關網絡安全技術的實驗,由于這些實驗都是基于Open Source軟件的,通過源代碼學生可以更加清楚地了解這些安全技術的原理、核心和實現細節,同時也可以在開源代碼的基礎上進行二次開發和修改。
未來的工作有兩點:一是設計更多的基于Open Source的信息安全實驗,例如Linux系統安全強化實驗、一次性密碼(OTP)實驗OPIE、網絡認證Kerberos等。二是如何將所有這些信息安全實驗集成在一起,建成一個所謂的“基于Open source的信息安全綜合實驗系統”。
篇(9)
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2010) 11-0000-01
Strengthening the Safety Management of Changqing Oil Field
Chang Zekun
(Communications Department of Changqing Oil Field Company,Xi'an710021,China)
Abstract:The rapid development of network technology to people's lives has brought great changes,but it also brings a lot of risks.This article discusses the risk of computer in Changqing Oil Field,and thinks about how to ensure network security,and proposed preventive measures.
Keywords:Network security;Threat;Management
隨著長慶油田未上市部分網絡改造項目的完成,長慶油田形成了核心萬兆互聯,廣域網雙2.5G互聯,接入單位雙千兆上聯,網絡吞吐能力得到很大提升,隨之而來網絡安全風險加大,對油田網絡安全運行造成的影響變大。網絡安全是一項系統的工程,涉及技術、管理、使用等許多方面,網絡安全技術與工具是網絡安全的基礎,高水平的網絡安全技術隊伍是網絡安全的保證,嚴格的管理則是網絡安全的關鍵。
一、影響計算機網絡安全的主要因素
長慶油田公司主干網絡建成后接入單位帶寬達到千兆,單機網絡帶寬達到百兆以上,個人計算機性能提高很快,加之廣域網帶寬提高20倍以上,單臺計算機對網絡沖擊流量達到100M級,發包速度達到10萬PPS以上甚至幾十萬PPS導致骨干網絡流量增大,發生網絡攻擊行為會影響骨干網絡穩定運行同時隨著現在BT、迅雷、在線視頻的P2P應用的廣泛使用,網絡流量增大影響到正常網絡應用的使用。
由于設計的系統不規范、不合理以及缺乏安全性考慮,網絡系統在穩定性和可擴充性方面存在問題;文件服務器和網卡用工作站選配不當導致網絡不穩定,網絡硬件的配置不協調;許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用;訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機;管理制度不健全,網絡管理、維護任其自然。
二、確保計算機網絡安全的防范措施
(一)建立入網訪問功能模塊
訪問控制的目的是保證網絡資源不被末授權地訪問和使用。資源訪問控制通常采用網絡資源短陣來定義用戶對資源的訪問權限;對于信息資源,還可以直接利用各種系統(如數據庫管理系統)內在的訪問控制能力,為不同的用戶定義不同的訪問權限,有利于信息的有序控制。同樣,設備的使用也屬于訪問控制的范疇。因此,網絡中心,尤其是主機房應當加強管理,嚴禁外人進入。對于跨網的訪問控制,簽證(visas)和防火墻是企業信息化網絡建設中可選擇的較好技術。
(二)數據加密。加密指改變數據的表現形式。加密的目的是只讓特定的人能解讀密文,對一般人而言,其即使獲得了密文,也不解其義。加密旨在對第三者保密,如果信息由源點直達目的地,在傳遞過程中不會被任何人接觸到,則無需加密。Internet是一個開放的系統,穿梭于其中的數據可能被任何人隨意攔截,因此,將數據加密后再傳送是進行秘密通信的最有效的方法。
(三)建立網絡服務器安全設置模塊。大中型企業的網絡相對比較完善,服務器的功能也比較強大,這就需要有非常專業的技術來對網絡加以保護,防火墻技術就是其中之一。經濟條件較好、網絡比較完善的大中型企業,對網絡安全的要求應該是高標準的,現在很多企業都采用比較完善的專業防火墻網絡安全技術。目前,為大中型企業設計的防火墻都是一種硬件結合軟件的架構。一般這種防火墻由一套硬件設備結合一些各種功能的模塊軟件,比如防病毒、日志、入侵檢測軟件等組成的。專業防火墻的網絡拓撲圖(見圖1)。
(四)建立完善的備份及恢復機制。應當安裝一套能與網絡操作系統很好配合的網絡備份系統,并且既能備份文件服務器,也能備份客戶機。一個好的基于網絡的備份系統還應允許備份和恢復安全信息,如用戶名、口令及文件訪問權限等。若打算使用現有備份設備,就要確保它們能夠從網絡驅動器上備份數據。這些設備還應能容納全部網絡數據。盡管不必備份網絡軟件,但從磁帶中恢復要比重新安裝并重新進行設置這些軟件容易得多。
三、安全管理效果
通過采用以上的安全防范措施,可降低骨干網絡受到網絡病毒和攻擊的影響程度,通過對西安公網出口P2P下載的流量監管測試,10.78網段限制P2P,10.59網段未限制同一個時段的流量情況如下圖,限制P2P流量帶寬后明顯10.78網段流量減少而10.59網段流量未發生變化(見圖2)。
參考文獻:
篇(10)
一、概述
隨著網絡在企業生產經營中應用越來越廣、越來越深,企業網絡安全的問題也日益凸顯。來自企業網外部和內部的攻擊無時不刻都在威脅著企業網絡的安全,也成了每一位網絡管理人員都需要面臨的考驗。如何建立一個完整的企業網絡安全解決方案,減少因網絡攻擊和病毒引發的生產經營數據的丟失和外泄引發的損失,本文將進行一個淺顯的探討。
二、網絡安全的基礎——網絡設計
網絡的設計與建設,是構建一個安全網絡的基礎。合理的網絡構架設計將為未來網絡安全的設計與構建節省一大部分開銷,這些開銷包括了設計、成本和系統的效率等。因此,在構建一個網絡的初期,就必須將網絡系統的安全作為設計的基本要素,考慮到整個系統中。一個大型的企業,如在地域上分部較為集中,其內網為了增大運行保險系數,一般主干采用雙環網的網絡構架。這種網絡在一路主用線纜引故障停止時會自動切換到備用環上,當然,根據具體的系統配置的不同,雙環網正常工作時又會被分為雙路負載分擔型和雙路數據同步型等類型,在這里就不詳細介紹了。一個企業如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網絡的情況下,最好采用以樹形或星型網絡結構為主的復合型網絡設計。這種設計使得各網絡層次的訪問控制權限一目了然,便于內部網絡的控制。
一個大型企業的網絡在內部又會被分為許多特定的區域——普通的辦公區,財務銷售的核心業務區,應用服務器工作區,網絡管理維護區,多方網絡互聯區域,VPN連接區等多個功能區域。其中普通的辦公區有時是與財務銷售類的業務區合并在一起的,但是,如果公司還涉及特殊業務的時候應當將這兩個區域分開,甚至為其單獨建立一套網絡系統以增強其安全保密性。應用服務器區域一般承載著企業辦公、生產等主要業務,因此在安全上其級別應當是最高的。一般對這一區域進行安全設置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網絡用戶或對安全要求比較高的用戶可以在不同的網絡之間配置防火墻,使其對網絡的訪問進行更好的控制或者將不同的網絡直接進行物理隔離,以完全絕斷不同網絡之間的互訪。在網絡中中有許多服務器,比如病毒服務器、郵件服務器等,有同時被內網及外網訪問的需求,應當為這些有外網需求的服務器考慮設置DMZ區域。DMZ區域的安全級別較普通用戶區高,即便得到訪問授權的用戶,其對DMZ區域的訪問也是有限制的,只有管理人員才可以對這一區域的服務器進行完全的訪問與控制。
三、終端的安全防護
病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務器還是普通用戶的終端,因此,對各類終端的安全防護可以說是網絡安全構建的關鍵。對終端的安全防護可以分為兩套系統;一種為硬件的防火墻類,一般由管理人員進行專業操作處理的防護系統,包括了反垃圾郵件系統、用戶上網行為監控管理系統、網站防篡改系統等專業(服務器)終端防護系統;另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統。現在多數的網絡安全防護系統多由這兩種類型的防護系統復合而成。這種復合式的系統所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務提供商的反應能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護措施。
現在有廠商提供了一種協調系統,使用這種系統能讓以上所述的復合安全系統能夠在網絡管理員的干涉下實現主動的管理。這套系統一般在用戶終端安裝一個客戶端,開機時,客戶端自動判定本終端的安全狀態并與安全服務器取得聯系,當終端被判定正常時,終端可進行正常權限的網絡訪問;當終端被判定為非正常(威脅)時,此終端可根據預先堤定的安全策略,斷絕與普通局域網的連接,只能與特定的服務器如病毒服務器等進行連接以解決問題。網絡管理員可以通過這套系統實時監查每個終端的進程與數據狀態,并通過管理終端對客戶端進行控制,以解決安全威脅。此類系統的應用將所有用戶的終端都納入了系統管理員的控制下,以系統管理員專業化的技術知識實現對整個系統的監管與維護,能夠在很大程度上減少威脅并提高系統的安全性和網絡效率。
四、終端用戶的規范
