1 網(wǎng)絡(luò)安全防御系統(tǒng)的構(gòu)建
網(wǎng)絡(luò)安全防御系統(tǒng)整體上可分為局域網(wǎng)和廣域網(wǎng)兩部分,網(wǎng)絡(luò)結(jié)構(gòu)采用雙網(wǎng)結(jié)構(gòu)。整個網(wǎng)絡(luò)防御系統(tǒng)采用多種安全技術(shù)手段,大致可分為:網(wǎng)絡(luò)安全,數(shù)據(jù)安全,系統(tǒng)安全。
1.1網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全一般包括信息安全和控制安全兩方面的內(nèi)容。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”?刂瓢踩珓t指身份認證、不可否認性、授權(quán)和訪問控制等。伴隨互聯(lián)網(wǎng)絡(luò)高速發(fā)展而普遍存在的網(wǎng)絡(luò)安全問題集中體現(xiàn)在網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)犯罪兩個方面。
網(wǎng)絡(luò)威脅已經(jīng)超越國界。據(jù)有關(guān)部門統(tǒng)計,目前我國95%與國際互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或入侵,其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。另據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的報告,2010年上半年中國有23.3萬個IP地址對應(yīng)主機被僵尸程序控制,參與控制中國計算機的境外僵尸網(wǎng)絡(luò)控制服務(wù)器IP有4584個,主要來自美國、土耳其和印度。網(wǎng)絡(luò)威脅的另一典型案例就是被媒體炒得沸沸揚揚的維基工作室對美國五角大樓計算機系統(tǒng)的入侵。維基工作室利用黑客技術(shù)實現(xiàn)遠程異地網(wǎng)絡(luò)入侵,非法獲得近40萬份有關(guān)伊拉克戰(zhàn)爭和1萬5千份阿富汗戰(zhàn)爭秘密文件,并擅自向美國、英國、法國、德國和阿拉伯等國媒體公布,引發(fā)軒然大波。美國聯(lián)邦調(diào)查局的調(diào)查也表明,因為與互聯(lián)網(wǎng)連接而成為攻擊對象的組織連續(xù)3年不斷增加,遭受拒絕服務(wù)攻擊(DoS)的數(shù)量每年增長30%以上,全球平均每20秒就發(fā)生1次網(wǎng)上入侵事件。
網(wǎng)絡(luò)犯罪呈上升趨勢,網(wǎng)絡(luò)安全問題造成重大經(jīng)濟損失。
根據(jù)有關(guān)方面統(tǒng)計,美國每年由于網(wǎng)絡(luò)安全問題而遭受的經(jīng)濟損失超過170億美元,法國超過i00億法郎,德國和英國也都在數(shù)十億美元以上。在“2010年中國誠信年論壇”上,阿里巴巴首席執(zhí)行官衛(wèi)哲也指出“在電子商務(wù)逐漸成為業(yè)界主流的時候,黑色產(chǎn)業(yè)鏈也瞄上電子商務(wù),全世界網(wǎng)絡(luò)貿(mào)易欺詐的犯罪涉嫌金額去年首次超過販毒。”
(1)網(wǎng)絡(luò)病毒的防范。在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學校、政府機關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng),就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關(guān)的防病毒軟件,保證上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁’加強日常監(jiān)測,使網(wǎng)絡(luò)免受病毒的侵襲。
(2)安全網(wǎng)絡(luò)拓撲。整個網(wǎng)絡(luò)拓撲設(shè)計為雙網(wǎng)結(jié)構(gòu),即內(nèi)部LAN網(wǎng)中的所有主機對服務(wù)器的訪問與Internet用戶對服務(wù)器的訪問是通過兩條不同的行道進行,其安全性體現(xiàn)在兩個方面:一是將內(nèi)外信息傳遞信道加以區(qū)分,以保證網(wǎng)絡(luò)不同敏感信息進入外部公共訪問區(qū)域:二是由于外網(wǎng)為公共訪問區(qū)域,從安全風險的角度來講遠遠大于內(nèi)網(wǎng),采用雙網(wǎng)結(jié)構(gòu)保證了在外網(wǎng)出現(xiàn)問題時內(nèi)網(wǎng)仍然能夠正常工作。
(3)配置防火墻。防火墻是指一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障,保護內(nèi)部網(wǎng)免受非法用戶的入侵。利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。
防火墻是任何一個網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分,用戶根據(jù)需求及積累的經(jīng)驗建立一套有效的防火墻防御規(guī)則。功能上主要有:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT隱藏內(nèi)部地址,保證內(nèi)部安全;網(wǎng)絡(luò)隔離DMZ,物理上隔開內(nèi)外網(wǎng)段;對各種帶有攻擊嫌疑的數(shù)據(jù)包進行過濾;提供內(nèi)部IP地址與MAC地址的綁定;防止IP欺騙,防止DoS攻擊。實現(xiàn)防火墻技術(shù)主要有:數(shù)據(jù)包過濾、應(yīng)用代理技術(shù)、狀態(tài)檢測和自適應(yīng)代理技術(shù)等。
(4)采用實時入侵檢測
入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異,F(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測系統(tǒng)是部署在網(wǎng)絡(luò)的安全關(guān)鍵點,實時收集各種信息,根據(jù)內(nèi)置的專家系統(tǒng)和入侵分析引擎進行分析,發(fā)現(xiàn)、報警和阻斷潛在攻擊行為的一種網(wǎng)絡(luò)安全設(shè)備。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。通過實時入侵檢測功能,能夠通過對網(wǎng)絡(luò)數(shù)據(jù)的收集和分析,與入侵行為的規(guī)則集進行匹配,判斷入侵行為的發(fā)生,并提供實時報警功能,并切斷非法連接。入侵行為規(guī)則集中已經(jīng)包括了已定義的入侵方式,并允許用戶自行定義。目前,入侵檢測一般采用誤用檢測技術(shù)和異常檢測技術(shù)。
(5)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
1.2數(shù)據(jù)安全
計算機本身是非常脆弱的,容易受到各種各樣的安全威脅,比如數(shù)據(jù)的竊取、篡改、破壞,計算機病毒的滲透和攻擊等,使得數(shù)據(jù)的保密性、完整性、可用性和真實性受到嚴重影響。沈昌緒院士說過“信息想要安全,首先要對使用者進行控制和管理,要進行信息的訪問控制”。HDS CT0 HuYoshida也說“安全從鑒別開始,另外還要通過加密的方式來確保數(shù)據(jù)的完整性”。從保護數(shù)據(jù)的角度講,數(shù)據(jù)安全可以細分為三部分:數(shù)據(jù)加密、數(shù)據(jù)傳輸安全和身份認證管理。
數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),通過使用不同的密鑰,可用同-an密算法將同一明文加密成不同的密文。當需要時,可使用密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù),稱為解密。數(shù)據(jù)加密被公認為是保護數(shù)據(jù)傳輸安全唯一實用的方法和保護存儲數(shù)據(jù)安全的有效方法,它是數(shù)據(jù)保護在技術(shù)上最重要的防線。數(shù)據(jù)傳輸安全是指數(shù)據(jù)在傳輸過程中必須要確保數(shù)據(jù)的安全性,完整性和不可篡改性。身份認證的目的是確定系統(tǒng)和網(wǎng)絡(luò)的訪問者是否是合法用戶,主要采用登錄密碼、代表用戶身份的物品(如智能卡、Ic卡等)或反映用戶生理特征的標識鑒別訪問者的身份。與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。它通過變換和置換等各種方法將被保護信息置換成密文,然后再進行信息的存儲或傳輸,即使加密信息在存儲或者傳輸過程為非授權(quán)人員所獲得,也可以保證這些信息不為其認知,從而達到保護信息的目的。根據(jù)密鑰類型的不同可以將現(xiàn)代密碼技術(shù)分為兩類:對稱加密技術(shù)(私鑰密碼體系)和非對稱加密技術(shù)(公鑰密碼體系)。
(1)對稱加密技術(shù)。對稱加密技術(shù)是最古老的,一般說“密電碼”采用的就是對稱密鑰。對稱式加密就是加密和解密使用同一個密鑰,而且通信雙方都必須獲得這把鑰匙,保持鑰匙的秘密,通常稱之“Session Key”。由于對稱加密是建立在共同保守秘密的基礎(chǔ)之上的,在管理和分發(fā)密鑰的過程中,任何一方泄密就會造成密鑰的失效,存在著潛在的危險和復(fù)雜的管理難度。其優(yōu)點是運算量小、速度快,目前仍被廣泛采用。如美國政府所采用的DES力W密標準就是一種典型的“對稱式”加密法,它的Session Key長度為56b。
(2)非對稱加密。非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必須配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人_個人知道,它的優(yōu)越性就在這里。對于對稱式的加密方法,如果是在網(wǎng)絡(luò)上傳輸加密文件,就很難把密鑰告訴對方,不管用什么方法都有可能被竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的“公鑰”是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。這種加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。
1.3系統(tǒng)安全
(1)鑒別認證機制。在整個網(wǎng)絡(luò)防御系統(tǒng)中,使用了兩種鑒別認證機制。①網(wǎng)絡(luò)部分,通過SSL力I密通道以及證書機關(guān),對使用本系統(tǒng)提供的web服務(wù)的用戶進行服務(wù)器與外部用戶間的雙向鑒別。②系統(tǒng)鑒別部分,采用Ic卡的方式對所有用戶進行身份鑒別,所有內(nèi)部用戶的Ic卡均通過統(tǒng)一的發(fā)卡中心發(fā)放,只有持卡用戶能夠登錄網(wǎng)絡(luò),普通網(wǎng)絡(luò)用戶無法遠程登錄。
(2)安全操作系統(tǒng)。整個防御系統(tǒng)的所有服務(wù)器必須具有良好的安全特性,首先,在登錄控制上采用基于IC卡的本地登錄控制和基于安全的遠程登錄,避免不合法用戶對系統(tǒng)安全造成危害;其次,采用特定的檢測工具隨時對系統(tǒng)進行檢測;最后,采用加密文件系統(tǒng)對文件加密保護,用戶只有知道口令的情況下,采用讀取文件。
(3)定期安全掃描。由于網(wǎng)絡(luò)環(huán)境中的復(fù)雜性,需要定期對網(wǎng)上的各種設(shè)備實施安全掃描,發(fā)現(xiàn)潛在的軟硬件漏洞,及時修復(fù)。尤其是對于木馬和病毒,發(fā)現(xiàn)問題,及時推出相應(yīng)的補丁或查殺工具。防止其進入和蔓延。要定期對防病毒軟件進行更新升級。
2 結(jié)語
整合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù),讓它們在網(wǎng)絡(luò)系統(tǒng)中能夠各司其職,彼此協(xié)作,這樣才能夠構(gòu)建相對完善的網(wǎng)絡(luò)安全防御系統(tǒng),有效阻止攻擊者的入侵,真正起到保證網(wǎng)絡(luò)信息的安全。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:數(shù)字化企業(yè)園區(qū)網(wǎng)網(wǎng)絡(luò)安全防御系統(tǒng)的構(gòu)建
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083948379.html