序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁���,我們?yōu)槟x了8篇的網(wǎng)絡(luò)安全方案樣本,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)�,請(qǐng)盡情閱讀。
第1篇
如何能夠更簡(jiǎn)便��、安全地進(jìn)行網(wǎng)絡(luò)連接呢?這里我們發(fā)現(xiàn)了一個(gè)正在被越來(lái)越多的企業(yè)所選用的����,個(gè)人便攜式VPN防火墻解決方案――ZyWALL P1(下面簡(jiǎn)稱(chēng)P1)。它其實(shí)是一個(gè)類(lèi)似移動(dòng)硬盤(pán)大小的掌上網(wǎng)絡(luò)安全連接設(shè)備��,可以塞入旅行包中隨身攜帶����,可助你輕松完成企業(yè)網(wǎng)絡(luò)安全配置,自動(dòng)建立好VPN連接��。
具體來(lái)說(shuō)���,P1提供了WAN和LAN 2個(gè)網(wǎng)絡(luò)接口��,在使用時(shí)�����,我們要做的就是分別將它們連接到所住酒店的寬帶網(wǎng)絡(luò)接口和筆記本電腦有線網(wǎng)口上�����,然后打開(kāi)電源��。多數(shù)情況下��,酒店寬帶都是基于端口的認(rèn)證服務(wù)�����。這時(shí)����,P1默認(rèn)可以從當(dāng)?shù)鼐W(wǎng)絡(luò)中自動(dòng)獲得一個(gè)IP地址和與之配套的網(wǎng)關(guān)、DNS信息��,并自動(dòng)根據(jù)P1內(nèi)置的VPN參數(shù)進(jìn)行企業(yè)VPN管道連接���。一旦連接成功�����,你會(huì)看到P1的VPN指示燈變綠���。整個(gè)過(guò)程��,完全無(wú)需用戶(hù)任何干預(yù),像在公司內(nèi)部一樣����。
如果你所住的酒店使用IE窗口認(rèn)證模式,則你還需要在VPN連接成功前先開(kāi)啟IE窗口�����,隨便輸入一個(gè)網(wǎng)址����,系統(tǒng)會(huì)自動(dòng)彈出相應(yīng)的酒店寬帶網(wǎng)絡(luò)登錄窗口,你也只要按照酒店上網(wǎng)說(shuō)明�,輸入你房間的寬帶口令,即可激活I(lǐng)nternet服務(wù)��。接下來(lái)����,P1仍然會(huì)自動(dòng)配置好網(wǎng)管事先設(shè)定好的VPN連接,將你接入公司的網(wǎng)絡(luò)安全體系中���。
其實(shí)���,P1這樣的個(gè)人硬件安防解決方案最大的好處還是在于企業(yè)安全的統(tǒng)一管理和部署�����。
在完全沒(méi)有用戶(hù)干預(yù)的情況下��,網(wǎng)管能通過(guò)ZyXEL的Vantage CNM中央網(wǎng)管系統(tǒng)遠(yuǎn)程強(qiáng)制分發(fā)統(tǒng)一的企業(yè)安防策略�����。確保身處異地的員工電腦一樣可以在遠(yuǎn)程連入企業(yè)網(wǎng)絡(luò)前���,都確實(shí)執(zhí)行最新的企業(yè)網(wǎng)絡(luò)安全規(guī)范,既��。節(jié)省了網(wǎng)管逐一為大家升級(jí)防火墻的麻煩���,也避免了百密一疏的危險(xiǎn)����。真正做到貼身的安防服務(wù)�����。
三心二意玩電腦
隨著電腦更新速度的日益提升,誰(shuí)家還沒(méi)有個(gè)把淘汰下來(lái)的舊電腦���,或者被筆記本電腦替換下來(lái)的臺(tái)式機(jī)��。這些電腦大都已成食之無(wú)味��、棄之可惜的雞肋。怎樣利用這些電腦���,幫你做更多的事情呢?這里�,我們給你再支一招:用多電腦切換器(KVM Switch)實(shí)現(xiàn)多機(jī)并用互不干擾�。
這里我們拿Aten(宏正自動(dòng)科技)的雙機(jī)USB切換器CS-173ZA為例給大家做一示范。它具備2套主機(jī)接口����,包括VGA、音頻(MIC�、音箱)和USB總共4個(gè)接口,可以滿(mǎn)足2臺(tái)主機(jī)共享同一套顯示器�����、鍵鼠以及USB打印機(jī)等外設(shè)。這樣��,你就可以將家中空閑的主機(jī)也架起來(lái)完成一些簡(jiǎn)單的后臺(tái)工作�,比如進(jìn)行BT下載?���;蛘吒奖愕貙⒐P記本電腦連到家里臺(tái)式機(jī)的大屏幕液晶顯示器和高保真音箱上,用標(biāo)準(zhǔn)鍵鼠更舒適地進(jìn)行操控�����,而不必受制于筆記本電腦的配置���。
多電腦切換器的連接也很簡(jiǎn)單���,你只要將隨機(jī)附帶的2條主數(shù)據(jù)線,分別連接到電腦主機(jī)和KVM后的CPU1/2接口上(注意連接方向:數(shù)據(jù)線包括VGA����、音頻和USB接頭的一端接在主機(jī)對(duì)應(yīng)接口上,數(shù)據(jù)線的另一端接到KVM上)����,然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過(guò)附帶USB-2-PS/2轉(zhuǎn)接線轉(zhuǎn)換連接)和音響系統(tǒng)的MIc/音箱接入到KVM對(duì)應(yīng)端口上,一切就算ok了!KVM的使用也非常容易����。在開(kāi)機(jī)2臺(tái)電腦后,你可以直接通過(guò)KVM正面的1����、2主機(jī)對(duì)應(yīng)按鈕,進(jìn)行雙機(jī)操控�、顯示、聲音系統(tǒng)的快速切換��。即要顯示���、操控1號(hào)機(jī)的信息,就按下1號(hào)機(jī)切換鍵����,然后就跟原來(lái)一樣,直接使用1號(hào)電腦����。待需要使用2號(hào)主機(jī)時(shí),就簡(jiǎn)單地按下2號(hào)機(jī)切換鍵��,顯示屏和鍵鼠就都連接到2號(hào)電腦上,你即可以開(kāi)始操作2號(hào)電腦����。
相比早期的機(jī)械式KVM,CS-1732A采用電子切換結(jié)構(gòu)��,信號(hào)切換更加穩(wěn)定��,不會(huì)出現(xiàn)接觸不良�、色偏、噪音等問(wèn)題����,而且可以同步或異步切換音頻信號(hào),以實(shí)現(xiàn)在監(jiān)控1號(hào)機(jī)的狀態(tài)下�����,同時(shí)監(jiān)聽(tīng)2號(hào)機(jī)音頻的功能����。這樣,如果你喜歡邊工作����、邊聽(tīng)MP3����,又擔(dān)心會(huì)影響你主機(jī)的性能�,就可以讓另外一臺(tái)配置較低的電腦在后臺(tái)幫你播放MP3音樂(lè)了。
第2篇
關(guān)鍵詞 網(wǎng)絡(luò)安全���;方案設(shè)計(jì)�����;方案實(shí)現(xiàn)
中圖分類(lèi)號(hào) G271 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)111-0142-01
計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行�����,是關(guān)系到一個(gè)企業(yè)發(fā)展的重要問(wèn)題����,如何能使得企業(yè)網(wǎng)絡(luò)更為安全����,如今已經(jīng)成為了一個(gè)熱議的話(huà)題����。影響網(wǎng)絡(luò)安全的因素有很多種����,保護(hù)網(wǎng)絡(luò)安全的手段���、技術(shù)也很多�。對(duì)于網(wǎng)絡(luò)安全的保護(hù)我們一般都是通過(guò)防火墻����、加密系統(tǒng)、防病毒系統(tǒng)���、身份認(rèn)證等等方面來(lái)保護(hù)網(wǎng)絡(luò)的安全���。為了保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全,我們必須要結(jié)合網(wǎng)絡(luò)的具體需求����,把多種安全措施進(jìn)行總結(jié),建立一個(gè)立體的���、全面的�����、多層次網(wǎng)絡(luò)安全防御系統(tǒng)����。
1 影響網(wǎng)絡(luò)安全的因素
網(wǎng)絡(luò)信息的安全問(wèn)題日益嚴(yán)重,這不僅會(huì)使企業(yè)遭受到巨大的經(jīng)濟(jì)損失�����,也影響到國(guó)家的安全�����。
如何避免網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生�,我們必須要清楚因法網(wǎng)絡(luò)安全問(wèn)題的因素有哪些。我們主要把網(wǎng)絡(luò)安全問(wèn)題歸納為以下幾個(gè)方面:
1.1 人為失誤
人為失去指的是在在無(wú)意識(shí)的情況下造成的失誤�,進(jìn)而引發(fā)網(wǎng)絡(luò)安全問(wèn)題。如“非法操作��、口令的丟失��、資源訪問(wèn)時(shí)控制不合理����、管理人員疏忽大意等����,這些都會(huì)對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)造成很大的破壞���,引發(fā)網(wǎng)絡(luò)安全問(wèn)題。
1.2 病毒感染
病毒一直以來(lái)�����,都是能夠?qū)τ?jì)算機(jī)安全夠成直接威脅的因素��,而網(wǎng)絡(luò)更能夠?yàn)椴《咎峁┭杆倏旖莸膫鞑ネ緩?���,病毒很容易通過(guò)服務(wù)器以軟件的方式下載、郵件等方式進(jìn)入網(wǎng)絡(luò)�,然后對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊、破壞����,進(jìn)而會(huì)造成很大的經(jīng)濟(jì)損失。
1.3 來(lái)自企業(yè)網(wǎng)絡(luò)外部的攻擊
企業(yè)網(wǎng)絡(luò)外部的攻擊主要是企業(yè)局域網(wǎng)外部的惡意攻擊���,比如:偽裝合法用戶(hù)進(jìn)入企業(yè)網(wǎng)絡(luò)�����,并占用修改資源�����;有選擇的來(lái)破壞企業(yè)網(wǎng)絡(luò)信息的完整性和有效性��;修改企業(yè)網(wǎng)站數(shù)據(jù)����、破譯企業(yè)機(jī)密、竊取企業(yè)情報(bào)�����、破壞企業(yè)網(wǎng)絡(luò)軟件����;利用中間網(wǎng)線來(lái)讀取或者攔截企業(yè)絕密信息等。
1.4 來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊
在企業(yè)局域網(wǎng)內(nèi)部�,一些非法人員冒用合法的口令,登陸企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)���,產(chǎn)看企業(yè)機(jī)密信息�����,修改企業(yè)信息內(nèi)容�����,破壞企業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行�����。
1.5 企業(yè)網(wǎng)絡(luò)系統(tǒng)漏洞
企業(yè)的網(wǎng)絡(luò)系統(tǒng)不可能是毫無(wú)破綻的�����,而企業(yè)網(wǎng)絡(luò)中的漏洞��,總是設(shè)計(jì)者預(yù)先留下的�����,為網(wǎng)絡(luò)黑客和工業(yè)間諜提供最薄弱的攻擊部位。
2 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn)
影響計(jì)算機(jī)網(wǎng)絡(luò)完全因素很多����,而相應(yīng)的保護(hù)手段也很多。
2.1 動(dòng)態(tài)口令身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)
動(dòng)態(tài)口令身份認(rèn)證具有動(dòng)態(tài)性、不可逆性���、一次性、隨機(jī)性等特點(diǎn)���,跟傳統(tǒng)靜態(tài)口令相比���,增加了計(jì)算機(jī)網(wǎng)絡(luò)的安全性。傳統(tǒng)的靜態(tài)口令進(jìn)行身份驗(yàn)證的時(shí)候�����,很容易導(dǎo)致企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)遭到竊取����、攻擊�����、認(rèn)證信息的截取等諸多問(wèn)題�����。而動(dòng)態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點(diǎn)�,又采用了先進(jìn)的身份認(rèn)證以及解密流程,而每一個(gè)動(dòng)態(tài)口令只能使用一次�����,并且對(duì)認(rèn)證的結(jié)果進(jìn)行記錄����,防止同一個(gè)口令多次登錄�����。
2.2 企業(yè)日志管理與備份的設(shè)計(jì)與實(shí)現(xiàn)
企業(yè)要想保證計(jì)算機(jī)網(wǎng)絡(luò)的安全��,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行日志管理和備份是不可缺少的內(nèi)容�����,日志管理和備份數(shù)據(jù)系統(tǒng)是計(jì)算機(jī)運(yùn)行的基礎(chǔ)���。計(jì)算機(jī)在運(yùn)行過(guò)程中難保不會(huì)出現(xiàn)故障,而計(jì)算機(jī)中的數(shù)據(jù)和資料的一個(gè)企業(yè)的血液�,如果數(shù)據(jù)和資料丟失,會(huì)給企業(yè)今后的發(fā)展帶來(lái)巨大的不便�����,為了避免數(shù)據(jù)資料的丟失�����,我們就應(yīng)當(dāng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)做好數(shù)據(jù)備份以及數(shù)據(jù)歸檔的保護(hù)措施�。這些都是維護(hù)企業(yè)網(wǎng)絡(luò)安全的最基本的措施與工作�����。
2.3 病毒防護(hù)設(shè)計(jì)與實(shí)現(xiàn)
計(jì)算機(jī)病毒每年都在呈上漲的趨勢(shì)���,我國(guó)每年遭受計(jì)算機(jī)入侵的網(wǎng)絡(luò)��,占到了相當(dāng)高的比例。計(jì)算機(jī)病毒會(huì)使計(jì)算機(jī)運(yùn)行緩慢����,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有目的的破壞行為。目前Internet在飛速的發(fā)展�,讓病毒在網(wǎng)上出現(xiàn)之后,會(huì)很快的通過(guò)網(wǎng)絡(luò)進(jìn)行傳播�����。對(duì)于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)��,應(yīng)當(dāng)時(shí)刻進(jìn)行監(jiān)控以及判斷系統(tǒng)中是否有病毒的存在���,要加大對(duì)于病毒的檢測(cè)。處理����、免疫及對(duì)抗的能力�����。而企業(yè)使用防病毒系統(tǒng)���,可以有效的防止病毒入侵帶來(lái)的損失����。為了使企業(yè)的網(wǎng)絡(luò)更加安全�����,要建立起一個(gè)完善的防病毒系統(tǒng)����,制定相應(yīng)的措施和病毒入侵時(shí)的緊急應(yīng)急措施,同時(shí)也要加大工作人員的安全意識(shí)���。
病毒會(huì)隨著時(shí)間的推移變的隨時(shí)都有可能出現(xiàn),所以企業(yè)中計(jì)算機(jī)網(wǎng)絡(luò)安全人員��,要隨時(shí)加強(qiáng)對(duì)于防毒系統(tǒng)的升級(jí)���、更新��、漏洞修復(fù),找出多種不同的防毒方法���,提高企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)防病毒的能力���。
2.4 防火墻技術(shù)設(shè)計(jì)與實(shí)現(xiàn)
Internet使用過(guò)程中,要通過(guò)內(nèi)網(wǎng)���。外網(wǎng)的連接來(lái)實(shí)現(xiàn)訪問(wèn)����,這些就給網(wǎng)絡(luò)黑客們提供了良好的空間與環(huán)境�。目前,企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)���,采用防火墻技術(shù),能有效的保證企業(yè)的機(jī)密不會(huì)受到網(wǎng)絡(luò)黑客以及工業(yè)間諜的入侵����,這種方法也是維護(hù)企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)最有效����、最經(jīng)濟(jì)的方法,因?yàn)榉阑饓ο到y(tǒng)是企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的最前面屏障�,能有效的組織入侵情況的發(fā)生���。所以企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)第一個(gè)安全措施就是安裝以及應(yīng)用防火墻�����。防火墻一般是安裝在內(nèi)部網(wǎng)絡(luò)出口處��,在內(nèi)網(wǎng)與外網(wǎng)之間��。
防火墻最大的特點(diǎn)是所有的信息傳遞都要經(jīng)過(guò)它�,這樣就能有效的避免企業(yè)網(wǎng)絡(luò)遭到非法入侵����,防火本身的具有很高的可靠性,它可以加強(qiáng)對(duì)企業(yè)網(wǎng)絡(luò)的監(jiān)督���,防止外部入侵和黑客攻擊造成的信息泄露,
2.5 網(wǎng)絡(luò)安全設(shè)計(jì)的實(shí)現(xiàn)
在企業(yè)網(wǎng)絡(luò)運(yùn)行中�����,與用戶(hù)和各個(gè)系統(tǒng)之間���,存在著信息交換的過(guò)程,這些信息包括信息代碼�、電子文稿、文檔等�����,所以總會(huì)有各種網(wǎng)絡(luò)安全的問(wèn)題出現(xiàn)。為了保障網(wǎng)絡(luò)的安全性和客戶(hù)使用的合法性�����,就要去嚴(yán)格的限制登錄者的操作權(quán)限��,增加口令的復(fù)雜程度�����。當(dāng)工作人員離職要對(duì)于網(wǎng)絡(luò)口令認(rèn)證做出相應(yīng)的調(diào)整����,以避免帶來(lái)的不便�����。
3 總結(jié)
現(xiàn)今網(wǎng)絡(luò)在現(xiàn)代生活中發(fā)展迅速���,然而網(wǎng)絡(luò)安全的系統(tǒng)也日益突出�。作為一個(gè)企業(yè)如何的保證自己網(wǎng)絡(luò)的安全性�����,使自身能夠更快更好的發(fā)展��,面對(duì)著網(wǎng)絡(luò)入侵的行為要進(jìn)行如何的防御����,已經(jīng)是一個(gè)越來(lái)越迫切的問(wèn)題��。我們只有從實(shí)際出發(fā)����,去構(gòu)建一個(gè)完整的安全的網(wǎng)絡(luò)防御系統(tǒng)�����,才能保證企業(yè)網(wǎng)絡(luò)的安全���。
參考文獻(xiàn)
[1]唐紅亮.防火墻設(shè)計(jì)淺析[J].中國(guó)科技信息,2009����,06.
第3篇
關(guān)鍵詞:廣播電視監(jiān)測(cè)網(wǎng)��;網(wǎng)絡(luò);安全
隨著廣播電視數(shù)字化���、網(wǎng)絡(luò)化的迅速發(fā)展���,廣播電視監(jiān)測(cè)工作由過(guò)去靠人工的傳統(tǒng)落后手段轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)化、自動(dòng)化的方式�����,監(jiān)測(cè)網(wǎng)的建成使監(jiān)測(cè)工作發(fā)生了飛躍式的變化�,提高了信息反饋速度����,豐富了監(jiān)測(cè)信息內(nèi)容,拓展了監(jiān)測(cè)業(yè)務(wù)類(lèi)型���,擴(kuò)大了監(jiān)測(cè)地理范圍,大大提高了廣播電視監(jiān)測(cè)的綜合監(jiān)測(cè)能力���。但是���,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大����,監(jiān)測(cè)網(wǎng)的復(fù)雜性和風(fēng)險(xiǎn)性也在不斷增加���。業(yè)務(wù)的發(fā)展對(duì)網(wǎng)絡(luò)性能的要求也在不斷提高��,如何運(yùn)用先進(jìn)技術(shù)方案保障監(jiān)測(cè)網(wǎng)絡(luò)安全而高效地運(yùn)轉(zhuǎn)已經(jīng)成為我們面臨的重要工作���。
1 監(jiān)測(cè)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)
網(wǎng)絡(luò)規(guī)模大、系統(tǒng)復(fù)雜�、專(zhuān)業(yè)性強(qiáng),通常由一個(gè)或多個(gè)局域網(wǎng)系統(tǒng)及數(shù)個(gè)地理位置分散的遠(yuǎn)程無(wú)人值守遙控站點(diǎn)組成分布式廣域網(wǎng)系統(tǒng)���。
多種通信方式并存����,監(jiān)測(cè)網(wǎng)系統(tǒng)的通信建立倚賴(lài)于當(dāng)?shù)氐耐ㄐ艞l件���,造成系統(tǒng)具有多種接入方式����。
軟件開(kāi)發(fā)基于J2EE平臺(tái),軟件體系多采用C/S架構(gòu)����。
2 風(fēng)險(xiǎn)性分析
目前,廣播電視監(jiān)測(cè)網(wǎng)主要面臨以下問(wèn)題:
2.1缺乏完整的安全體系
廣播電視監(jiān)測(cè)網(wǎng)建設(shè)是根據(jù)總體規(guī)劃����,分步實(shí)施的,系統(tǒng)往往邊運(yùn)行邊擴(kuò)展規(guī)模�����。這種情況造成監(jiān)測(cè)網(wǎng)系統(tǒng)建設(shè)之初���,對(duì)系統(tǒng)安全很難進(jìn)行全面規(guī)劃��。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用范圍的擴(kuò)展���,網(wǎng)絡(luò)的脆弱性不斷增加,同時(shí)�����,系統(tǒng)配置的更改,軟件的升級(jí)也造成系統(tǒng)的安全需求不斷變化����,現(xiàn)有的安全手段將很難勝任�����。
2.2系統(tǒng)分布方式帶來(lái)安全的復(fù)雜性
監(jiān)測(cè)網(wǎng)系統(tǒng)具有節(jié)點(diǎn)分布廣�,地理位置分散等特點(diǎn)���,使得對(duì)網(wǎng)絡(luò)安全狀況的集中控制變得困難,帶來(lái)數(shù)據(jù)安全的復(fù)雜性���。不同的環(huán)節(jié)將需要不同手段的安全方案���。
2.3網(wǎng)絡(luò)本身的安全漏洞
監(jiān)測(cè)系統(tǒng)是一個(gè)基于IP的網(wǎng)絡(luò)系統(tǒng),采用TCP/IP協(xié)議軟件��,本身在應(yīng)用����、傳輸時(shí)存在較多不安全因素。
3 安全技術(shù)方案
鑒于對(duì)以上幾種風(fēng)險(xiǎn)性因素的分析����,根據(jù)系統(tǒng)的實(shí)際情況�����,結(jié)合考慮需求���、風(fēng)險(xiǎn)����、成本等因素���,在總體規(guī)劃的基礎(chǔ)上制訂了既可滿(mǎn)足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求����,又不造成浪費(fèi)的解決方案��。
3.1網(wǎng)絡(luò)資源總體規(guī)劃
實(shí)踐證明����,合理����、統(tǒng)一的網(wǎng)絡(luò)規(guī)劃對(duì)網(wǎng)絡(luò)維護(hù)及安全運(yùn)行都有極大的好處�����,有利于保障監(jiān)測(cè)網(wǎng)系統(tǒng)在不斷擴(kuò)展中的可持續(xù)性,因此���,在監(jiān)測(cè)網(wǎng)建立之初統(tǒng)一進(jìn)行網(wǎng)絡(luò)資源的設(shè)計(jì),制定合理的IP規(guī)劃�、網(wǎng)絡(luò)拓?fù)湟?guī)劃,對(duì)各種資源進(jìn)行統(tǒng)一編碼是保障網(wǎng)絡(luò)安全的第一步���。
3.2設(shè)備安全配置
對(duì)于重要安全設(shè)備如交換機(jī)����、路由器等�����,需要制定良好的配置管理方案�����,關(guān)閉不必要的設(shè)備服務(wù)���,設(shè)置口令�����、密碼����,加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)�����,升級(jí)BIOS���,限制訪問(wèn)���、限制數(shù)據(jù)包類(lèi)型等。
3.3操作系統(tǒng)安全方案
操作系統(tǒng)大部分的安全問(wèn)題歸根結(jié)底是由于系統(tǒng)管理不善所導(dǎo)致的�����。解決方案是正確更新使用密碼設(shè)置、權(quán)限設(shè)置����,正確進(jìn)行服務(wù)器配置。建立健全操作系統(tǒng)安全升級(jí)制度���,及時(shí)下載并安裝補(bǔ)丁。
3.4備份方案
為保證監(jiān)測(cè)網(wǎng)的安全穩(wěn)定運(yùn)行�����,對(duì)于監(jiān)測(cè)網(wǎng)的核心局域網(wǎng)系統(tǒng)硬件可采用雙機(jī)熱備方案�����,磁盤(pán)陣列��、交換機(jī)、防火墻等硬件采用雙機(jī)并行���,負(fù)載均衡的方式運(yùn)行�����,應(yīng)用服務(wù)器��、數(shù)據(jù)庫(kù)服務(wù)器還可互為備份��,從而保證不會(huì)因某一點(diǎn)出現(xiàn)故障而影響整個(gè)系統(tǒng)的正常使用���。
3.5病毒防護(hù)
監(jiān)測(cè)網(wǎng)系統(tǒng)覆蓋的點(diǎn)多面廣,防毒系統(tǒng)應(yīng)采用集中控制多層防護(hù)的方案�����,在監(jiān)測(cè)系統(tǒng)各個(gè)網(wǎng)絡(luò)都分級(jí)部署防病毒軟件�,中心網(wǎng)絡(luò)對(duì)下一級(jí)系統(tǒng)進(jìn)行實(shí)時(shí)集中病毒監(jiān)測(cè)���,定時(shí)升級(jí)。制定和采用統(tǒng)一的防病毒策略�,使得網(wǎng)絡(luò)中的所有服務(wù)器和客戶(hù)端都能得到相同的防病毒保護(hù)。
3.6防火墻系統(tǒng)
監(jiān)測(cè)網(wǎng)系統(tǒng)由于其分布特性往往由多個(gè)安全域組成���,應(yīng)加裝防火墻,以實(shí)現(xiàn)系統(tǒng)內(nèi)各級(jí)網(wǎng)絡(luò)之間的隔離和訪問(wèn)控制;實(shí)現(xiàn)對(duì)服務(wù)器的安全保護(hù)及對(duì)遠(yuǎn)程用戶(hù)的安全認(rèn)證與訪問(wèn)權(quán)限控制��,并實(shí)現(xiàn)對(duì)專(zhuān)線資源的流量管理控制和防攻擊���。
3.7應(yīng)用安全
可采用多種手段保障應(yīng)用層安全��。如:系統(tǒng)日志審核、服務(wù)器賬戶(hù)管理��、用戶(hù)登錄權(quán)限管理�、數(shù)據(jù)定期備份等���。
3.8數(shù)據(jù)傳輸安全
監(jiān)測(cè)網(wǎng)作為一個(gè)廣域網(wǎng)主要利用廣電光纜或電信線路進(jìn)行通信,為保證安全性����,數(shù)據(jù)的傳輸須采取加密措施。具體方案可針對(duì)不同通信方式及數(shù)據(jù)安全級(jí)別制定��。
4 結(jié)束語(yǔ)
網(wǎng)絡(luò)是一個(gè)多樣�����、復(fù)雜���、動(dòng)態(tài)的系統(tǒng)����,單一的安全產(chǎn)品和技術(shù)不能夠滿(mǎn)足網(wǎng)絡(luò)安全的所有要求����,只有各個(gè)安全部件相互關(guān)聯(lián)��、各種安全措施相互補(bǔ)充�,網(wǎng)絡(luò)安全才能得到保障��。同時(shí)�����,任何一個(gè)網(wǎng)絡(luò)的安全目標(biāo)都不是僅依靠技術(shù)手段就能實(shí)現(xiàn)的���,還應(yīng)采取措施加強(qiáng)操作人員素質(zhì)管理,提高值班員責(zé)任心�����。做到管理規(guī)范,才能確保監(jiān)測(cè)網(wǎng)安全��、高效運(yùn)行�。
參考文獻(xiàn)
第4篇
關(guān)鍵詞互聯(lián)網(wǎng)+醫(yī)療網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全防護(hù)案例
0引言
互聯(lián)網(wǎng)+醫(yī)療健康模式下要求醫(yī)院的信息系統(tǒng)功能向外擴(kuò)展���,實(shí)現(xiàn)在線預(yù)約��、掛號(hào)、繳費(fèi)和診療服務(wù)����。為了實(shí)現(xiàn)在線服務(wù)的功能,勢(shì)必要將醫(yī)院局域網(wǎng)與互聯(lián)網(wǎng)打通���,來(lái)進(jìn)行數(shù)據(jù)交互����,但只有在網(wǎng)絡(luò)與安全的建設(shè)達(dá)標(biāo)的情況下,才能開(kāi)展相關(guān)業(yè)務(wù)�����。同國(guó)內(nèi)一些大型企業(yè)比較����,醫(yī)院的網(wǎng)絡(luò)安全建設(shè)相對(duì)薄弱,這與醫(yī)院信息系統(tǒng)的特殊性和信息化的發(fā)展歷程有關(guān)�。最初的網(wǎng)絡(luò)建設(shè)是為局域網(wǎng)系統(tǒng)提供服務(wù),沒(méi)有與外部系統(tǒng)互聯(lián)的需求���。如今面對(duì)越來(lái)越開(kāi)放的服務(wù)需求,信息網(wǎng)絡(luò)的安全性面臨著極大的挑戰(zhàn)�。網(wǎng)絡(luò)安全作為信息化建設(shè)的基石,如何在現(xiàn)有醫(yī)院網(wǎng)絡(luò)基礎(chǔ)上實(shí)施安全防護(hù)�����,為互聯(lián)網(wǎng)醫(yī)院需要開(kāi)展的業(yè)務(wù)提供高速�、可靠的網(wǎng)絡(luò)環(huán)境����,是管理者面臨的又一挑戰(zhàn)。
1醫(yī)院網(wǎng)絡(luò)安全發(fā)展歷程
醫(yī)院信息系統(tǒng)發(fā)展[1]的不同時(shí)期�����,對(duì)網(wǎng)絡(luò)安全建設(shè)要求不同����。
1.1最初的內(nèi)外網(wǎng)隔離時(shí)期
醫(yī)院在建設(shè)信息系統(tǒng)初期,多數(shù)選擇內(nèi)外網(wǎng)隔離的網(wǎng)絡(luò)方案�����,內(nèi)網(wǎng)負(fù)責(zé)承載醫(yī)療業(yè)務(wù)����,外網(wǎng)負(fù)責(zé)承載辦公業(yè)務(wù)。內(nèi)網(wǎng)常見(jiàn)有數(shù)據(jù)庫(kù)服務(wù)器�����、文件服務(wù)器��,外網(wǎng)有郵件服務(wù)器和網(wǎng)站服務(wù)器等���。當(dāng)時(shí)的信息系統(tǒng)多為客戶(hù)端/服務(wù)器(C/S)架構(gòu)��,信息系統(tǒng)功能局限在局域網(wǎng)內(nèi)����,數(shù)據(jù)不用穿越防火墻����,信息系統(tǒng)架構(gòu)簡(jiǎn)潔,實(shí)施與維護(hù)方便�����。網(wǎng)絡(luò)上通常采用二層樹(shù)狀架構(gòu)��,結(jié)構(gòu)簡(jiǎn)單�、部署迅速。內(nèi)外網(wǎng)隔離的方式��,可以阻斷全部來(lái)自外網(wǎng)的攻擊���,將防護(hù)重點(diǎn)集中在內(nèi)網(wǎng)終端上���。采用的方法是在服務(wù)器與客戶(hù)端安裝殺毒軟件。雖然���,在這個(gè)時(shí)期網(wǎng)絡(luò)安全風(fēng)險(xiǎn)低����,但是面對(duì)一波又一波的網(wǎng)絡(luò)病毒,如藍(lán)色代碼�、熊貓燒香、沖擊波���、震蕩波等病毒��,還是暴露了醫(yī)院終端防護(hù)水平低���、安全建設(shè)滯后的問(wèn)題。
1.2接入專(zhuān)線網(wǎng)絡(luò)外聯(lián)
醫(yī)院的信息系統(tǒng)發(fā)展很快�����,為了方便患者就醫(yī)����,優(yōu)化就醫(yī)流程,新的應(yīng)用���、功能需求層出不窮����。其中,包括醫(yī)保實(shí)時(shí)結(jié)算��、銀醫(yī)結(jié)算與醫(yī)療數(shù)據(jù)共享等應(yīng)用����。由于早期完全隔離的網(wǎng)絡(luò)使得系統(tǒng)無(wú)法與外界交互����,這就需要在獨(dú)立封閉的網(wǎng)絡(luò)中“開(kāi)孔出氣”。網(wǎng)絡(luò)的基礎(chǔ)上���,與外界系統(tǒng)交互只通過(guò)專(zhuān)線的方式�����,邊界清晰、業(yè)務(wù)明確�����。在這個(gè)時(shí)期的應(yīng)用中�,院方系統(tǒng)作為請(qǐng)求發(fā)起方即客戶(hù)端,院內(nèi)系統(tǒng)不需要對(duì)外部系統(tǒng)開(kāi)放接口或者服務(wù),并且與內(nèi)網(wǎng)系統(tǒng)聯(lián)通的專(zhuān)線網(wǎng)絡(luò)屬于“可信”環(huán)境���。在此基礎(chǔ)上����,只需要在前置服務(wù)器外聯(lián)邊界設(shè)置防火墻����,阻斷由外向內(nèi)的所有連接,允許由內(nèi)向外的請(qǐng)求��。
1.3劃分虛擬專(zhuān)網(wǎng)方式接入
隨著醫(yī)院信息系統(tǒng)的進(jìn)一步發(fā)展����,醫(yī)生遠(yuǎn)程辦公、分院業(yè)務(wù)系統(tǒng)交互���,以及患者自助查詢(xún)���、繳費(fèi)等新需求應(yīng)運(yùn)而生,簡(jiǎn)單的外聯(lián)已經(jīng)不能滿(mǎn)足新業(yè)務(wù)開(kāi)展的要求����。此時(shí)���,就需要進(jìn)一步對(duì)網(wǎng)絡(luò)進(jìn)行開(kāi)放。遠(yuǎn)程辦公可以使用互聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)接入��,患者檢查結(jié)果查詢(xún)方式為互聯(lián)網(wǎng)接入���。與以往不同,這些應(yīng)用的開(kāi)展��,都是以?xún)?nèi)網(wǎng)信息系統(tǒng)的數(shù)據(jù)為最終請(qǐng)求目標(biāo)��。不管數(shù)據(jù)包如何跳轉(zhuǎn)�,最終需要到達(dá)內(nèi)網(wǎng)服務(wù)端����。這一時(shí)期的服務(wù)從面向醫(yī)務(wù)工作者����,擴(kuò)展到了面向部分就診患者��,請(qǐng)求量有所提升��。但最根本的轉(zhuǎn)變?cè)谟趦?nèi)網(wǎng)系統(tǒng)面向部分外網(wǎng)客戶(hù)端��,提供多樣化的服務(wù)����。雖然�����,服務(wù)對(duì)象是特定人群���,但是面向互聯(lián)網(wǎng)開(kāi)放了“窗口”,見(jiàn)圖2���。不管是通過(guò)前置機(jī)中轉(zhuǎn),還是地址變換�����、隱藏等手段提供服務(wù)����,都不能回避互聯(lián)網(wǎng)上存在的掃描、攻擊等潛在風(fēng)險(xiǎn)��。這類(lèi)應(yīng)用一般為非必要醫(yī)療業(yè)務(wù)環(huán)節(jié)����,面對(duì)互聯(lián)網(wǎng)上的威脅���、風(fēng)險(xiǎn),還可以忍受一定程度上的服務(wù)中斷�。通過(guò)接入物理專(zhuān)線的方式���,將醫(yī)保中心、銀行及相關(guān)衛(wèi)生主管部門(mén)聯(lián)通���。在相關(guān)業(yè)務(wù)系統(tǒng)外圍增加前置服務(wù)器,作為院方與互聯(lián)單位的數(shù)據(jù)中轉(zhuǎn)站�����,并負(fù)責(zé)將相關(guān)數(shù)據(jù)��、表格保持同步�����,將上報(bào)數(shù)據(jù)�����、業(yè)務(wù)請(qǐng)求發(fā)送至外網(wǎng)服務(wù)端���。這個(gè)時(shí)期的網(wǎng)絡(luò)防護(hù)也較為輕松��。因?yàn)樵谠蟹忾]但在網(wǎng)絡(luò)安全方面�,是不能允許存在任何非授權(quán)訪問(wèn)和入侵破壞的�。
1.4互聯(lián)網(wǎng)+醫(yī)療背景下的網(wǎng)絡(luò)融合
在互聯(lián)網(wǎng)+醫(yī)療時(shí)代背景下,醫(yī)院信息系統(tǒng)將達(dá)到前所未有的開(kāi)放程度�����。醫(yī)院將從醫(yī)療���、公共衛(wèi)生��、家庭醫(yī)生簽約、藥品供應(yīng)保障����、醫(yī)保結(jié)算、醫(yī)學(xué)教育和科普等方面推動(dòng)互聯(lián)網(wǎng)與醫(yī)療健康服務(wù)相融合����,涵蓋醫(yī)療���、醫(yī)藥、醫(yī)?���!叭t(yī)聯(lián)動(dòng)”諸多方面[2]�。醫(yī)院還將制訂�、完善相關(guān)配套政策,加快實(shí)現(xiàn)醫(yī)療健康信息互通互享�����,提高醫(yī)院管理和便民服務(wù)水平[3]��。這就需要醫(yī)院要將網(wǎng)絡(luò)大門(mén)打開(kāi)�����,將網(wǎng)絡(luò)進(jìn)行融合設(shè)計(jì)�,讓患者可以通過(guò)互聯(lián)網(wǎng)上的多種方式享受就醫(yī)服務(wù)���。在醫(yī)療業(yè)務(wù)不斷向互聯(lián)網(wǎng)開(kāi)放后,對(duì)于系統(tǒng)中斷服務(wù)的容忍度基本為零�。醫(yī)院既要保障服務(wù)的敏捷性和持續(xù)性��,又要保障數(shù)據(jù)的安全性和保密性�,還要防止原有系統(tǒng)被入侵和攻擊行為所破壞�����。同時(shí)�,需要從多角度�����、多層次對(duì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)防護(hù)。
2網(wǎng)絡(luò)安全措施
在已有醫(yī)院信息系統(tǒng)(HIS)等系統(tǒng)的情況下���,醫(yī)院如何進(jìn)行“開(kāi)放系統(tǒng)”的防護(hù)工作。保護(hù)的指導(dǎo)方針是根據(jù)國(guó)家信息安全等級(jí)保護(hù)要求�����,按等保要求系統(tǒng)應(yīng)具備抗分布式拒絕服務(wù)(distributeddenialofservice�,DDOS)攻擊���、入侵、病毒的防御能力和控制端口����、行為等控制能力[4].
2.1流量清洗
在互聯(lián)網(wǎng)上眾多的網(wǎng)絡(luò)請(qǐng)求中�����,充斥著大量的無(wú)用請(qǐng)求����、惡意訪問(wèn)[5]�����。如果不對(duì)互聯(lián)網(wǎng)中的流量進(jìn)行清洗�����,將對(duì)系統(tǒng)的可用性構(gòu)成極大威脅�����。該部分清洗主要是針對(duì)DDOS攻擊流量�����。常見(jiàn)DDOS攻擊類(lèi)型有SYNfloods���、Land-Base、PINGofdeath�、Teardrop、Smurf等。應(yīng)根據(jù)自身情況選擇專(zhuān)用設(shè)備或運(yùn)營(yíng)商服務(wù)進(jìn)行DDOS攻擊流量清洗���。
2.2入侵防御
清洗完的流量中還存在著掃描�、嗅探����、惡意代碼等威脅,它們通過(guò)系統(tǒng)漏洞�����,繞過(guò)防護(hù)�,對(duì)系統(tǒng)實(shí)施入侵行為,達(dá)到控制主機(jī)的目的��。一旦入侵成功��,造成的后果和損失是巨大的��。通過(guò)部署入侵防御系統(tǒng)(intrusionpreventionsystem��,IPS)對(duì)那些被明確判斷為攻擊行為����,會(huì)對(duì)網(wǎng)絡(luò)����、主機(jī)造成危害的惡意行為進(jìn)行檢測(cè)和防御���。深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部,查找它所認(rèn)識(shí)的攻擊代碼特征����,過(guò)濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包[6]��?���;谔卣鞯娜肭址烙到y(tǒng)無(wú)法對(duì)高級(jí)持續(xù)性威脅(advancedpersistentthreat,APT)攻擊進(jìn)行防護(hù)�,因此在建設(shè)入侵防御系統(tǒng)時(shí)�����,要特別注意該類(lèi)型的攻擊防護(hù)���。可增加態(tài)勢(shì)感知系統(tǒng)輔助IPS����,將全網(wǎng)流量威脅可視化�����,進(jìn)一步消除0day漏洞隱患�����。
2.3防病毒
根據(jù)國(guó)際著名病毒研究機(jī)構(gòu)國(guó)際計(jì)算機(jī)安全聯(lián)盟(internationalcomputersecurityassociation���,ICSA)的統(tǒng)計(jì)���,目前通過(guò)磁盤(pán)傳播的病毒僅占7%����,剩下93%的病毒來(lái)自網(wǎng)絡(luò)�。其中�,包括Email、網(wǎng)頁(yè)����、QQ和MSN等傳播渠道����。計(jì)算機(jī)病毒網(wǎng)絡(luò)化的趨勢(shì)愈加明顯�����,需要企業(yè)部署防毒墻/防病毒網(wǎng)關(guān)��,以進(jìn)一步保障網(wǎng)絡(luò)的安全�����。防毒墻/防毒網(wǎng)關(guān)能夠檢測(cè)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù),對(duì)HTTP����、FTP����、SMTP、IMAP等協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描����,一旦發(fā)現(xiàn)病毒就會(huì)采取相應(yīng)的手段進(jìn)行隔離或查殺�,在防護(hù)病毒方面可起到非常大的作用.
2.4訪問(wèn)控制
在經(jīng)過(guò)流量清洗�、入侵防御、防病毒3道工序處理后�����,訪問(wèn)控制系統(tǒng)是主機(jī)最“貼身”的一道防線�����。它是幫助保護(hù)服務(wù)器��,按照個(gè)體情況來(lái)制定防護(hù)策略,精細(xì)防護(hù)到開(kāi)幾扇門(mén)���,允許什么人����、什么時(shí)間�����、什么方式訪問(wèn)主機(jī)��。通常用硬件防火墻來(lái)進(jìn)行訪問(wèn)控制[7]�。常見(jiàn)防火墻類(lèi)型有網(wǎng)絡(luò)層防火墻���、應(yīng)用層防火墻以及數(shù)據(jù)庫(kù)防火墻��,可實(shí)現(xiàn)針對(duì)來(lái)源IP地址、來(lái)源端口號(hào)��、目的IP地址�����、目的端口號(hào)�、數(shù)據(jù)庫(kù)語(yǔ)句��、應(yīng)用層指令����、速率等屬性進(jìn)行控制���。還有一種特殊的訪問(wèn)控制系統(tǒng)——“安全隔離與信息交換系統(tǒng)”即網(wǎng)閘[8]。主要功能有安全隔離����、協(xié)議轉(zhuǎn)換����、內(nèi)核防護(hù)功能��。由于網(wǎng)閘在所連接的兩個(gè)獨(dú)立系統(tǒng)之間�����,不存在通信的物理連接���、邏輯連接、信息傳輸命令���、信息傳輸協(xié)議�;不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)�,只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”��,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫(xiě)”兩個(gè)命令����。網(wǎng)閘設(shè)備通常由3部分組成:外部處理單元�、內(nèi)部處理單元��、隔離安全數(shù)據(jù)交換單元�����。安全數(shù)據(jù)交換單元不同時(shí)與內(nèi)、外部處理單元連接����,從而創(chuàng)建一個(gè)內(nèi)、外網(wǎng)物理斷開(kāi)的環(huán)境���,從物理上隔離、阻斷了具有潛在攻擊可能的連接����,使“黑客”無(wú)法入侵�����、無(wú)法攻擊����、無(wú)法破壞。
2.5負(fù)載均衡
在面對(duì)互聯(lián)網(wǎng)中大量的網(wǎng)絡(luò)請(qǐng)求時(shí)����,必須要增加負(fù)載均衡設(shè)備,擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬����、吞吐量�����、數(shù)據(jù)處理能力��,從而提高網(wǎng)絡(luò)的靈活性和可用性[9]�����。負(fù)載均衡有多種算法�,可以實(shí)現(xiàn)基于輪詢(xún)���、連接數(shù)��、源IP和端口��、響應(yīng)時(shí)間的算法。負(fù)載均衡設(shè)備增加了應(yīng)用系統(tǒng)處理能力�����,不法分子想要攻癱系統(tǒng)的難度將成倍增加�����。
2.6日志審計(jì)與事后分析
日志審計(jì)與事后分析非常重要[10],必須將攔截和放行的網(wǎng)絡(luò)請(qǐng)求記錄下來(lái)�����。一方面�����,統(tǒng)計(jì)攻擊日志�����,分析網(wǎng)絡(luò)運(yùn)行風(fēng)險(xiǎn)�����;另一方面����,記錄放行的流量,對(duì)各個(gè)防護(hù)環(huán)節(jié)進(jìn)行查漏�����、補(bǔ)缺,優(yōu)化防護(hù)策略����。日志審計(jì)越全面,對(duì)優(yōu)化網(wǎng)絡(luò)��、提升系統(tǒng)服務(wù)水平的幫助越大���。日志審計(jì)的范圍包括:應(yīng)用系統(tǒng)日志�����、數(shù)據(jù)庫(kù)日志����、操作系統(tǒng)日志���、網(wǎng)絡(luò)安全防護(hù)日志等����。還可將日志系統(tǒng)與網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)相結(jié)合��,使分析結(jié)果更全面��、更準(zhǔn)確����。日志存儲(chǔ)時(shí)間應(yīng)大于6個(gè)月。
3具體實(shí)例
根據(jù)以上的防護(hù)要求��,本文給出了一個(gè)內(nèi)外網(wǎng)融合并進(jìn)行防護(hù)的具體案例���。按照重要程度與功能將網(wǎng)絡(luò)劃分為多個(gè)區(qū)域��,總體原則:首先是按照應(yīng)用系統(tǒng)劃分區(qū)域����;其次是實(shí)施嚴(yán)格的邊界訪問(wèn)控制����;最后是完善監(jiān)控、審計(jì)等輔助能力建設(shè)����。由此,形成了包括三級(jí)域�����、二級(jí)域、安全管理域����、專(zhuān)線接入域、數(shù)據(jù)交換域�、互聯(lián)網(wǎng)服務(wù)接入域在內(nèi)的6個(gè)主要區(qū)域。將醫(yī)院最重要的HIS系統(tǒng)����、集成平臺(tái)、數(shù)據(jù)倉(cāng)庫(kù)等系統(tǒng)接入在三級(jí)域��,進(jìn)行最嚴(yán)格的保護(hù)����;其他業(yè)務(wù)應(yīng)用系統(tǒng)放在二級(jí)域,網(wǎng)站����、VPN、線上業(yè)務(wù)等放在互聯(lián)網(wǎng)服務(wù)接入域�����。邊界分別部署下一代防火墻����、Web應(yīng)用防火墻(webapplicationfirewal,WAF)��。防火墻開(kāi)啟入侵防御�����、防病毒等防護(hù)模塊�,只放行應(yīng)用系統(tǒng)對(duì)外提供服務(wù)的端口流量,對(duì)每個(gè)源IP的新建連接數(shù)���、并發(fā)連接數(shù)�����、半開(kāi)連接數(shù)進(jìn)行限制。WAF針對(duì)應(yīng)用實(shí)際情況���,開(kāi)啟對(duì)數(shù)據(jù)庫(kù)、中間件�、開(kāi)發(fā)語(yǔ)言的防護(hù)規(guī)則�。由于三級(jí)域系統(tǒng)業(yè)務(wù)量大����,采用多臺(tái)應(yīng)用服務(wù)器并行架構(gòu)�����,通過(guò)旁?huà)熵?fù)載均衡器實(shí)現(xiàn)應(yīng)用引流����、負(fù)載分擔(dān)���,保障應(yīng)用系統(tǒng)處理能力。將應(yīng)用服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器用數(shù)據(jù)庫(kù)防火墻進(jìn)行隔離��、控制,從SQL語(yǔ)句����、角色權(quán)限等角度對(duì)數(shù)據(jù)進(jìn)行保護(hù)����。數(shù)據(jù)交換域的主要功能為數(shù)據(jù)中轉(zhuǎn)與應(yīng)用,邊界同樣部署下一代防火墻,開(kāi)啟入侵防御、防病毒等防護(hù)模塊�,對(duì)出入流量進(jìn)行嚴(yán)格管控。當(dāng)互聯(lián)網(wǎng)服務(wù)或線上醫(yī)療業(yè)務(wù)需要與HIS等核心系統(tǒng)產(chǎn)生數(shù)據(jù)請(qǐng)求時(shí)�,需要通過(guò)中轉(zhuǎn)服務(wù)器完成數(shù)據(jù)中轉(zhuǎn)功能;當(dāng)來(lái)自低安全級(jí)別系統(tǒng)向HIS等核心系統(tǒng)請(qǐng)求服務(wù)時(shí)��,需要通過(guò)中轉(zhuǎn)服務(wù)器完成應(yīng)用功能��。這樣�����,在保證系統(tǒng)互聯(lián)互通的同時(shí)�,解決了不同系統(tǒng)間的信任問(wèn)題。安全管理區(qū)中放置防病毒軟件、堡壘主機(jī)����、日志審計(jì)�、態(tài)勢(shì)感知平臺(tái)、認(rèn)證系統(tǒng)和監(jiān)控平臺(tái)等用于網(wǎng)絡(luò)管理的服務(wù)器���,與業(yè)務(wù)系統(tǒng)隔離���,在邊界嚴(yán)格控制此區(qū)域系統(tǒng)進(jìn)出流量。在互聯(lián)網(wǎng)出口處,設(shè)置有抗DDOS設(shè)備�、IPS����、防毒墻����、下一代防火墻���、負(fù)載均衡器����,全方位對(duì)互聯(lián)網(wǎng)實(shí)時(shí)流量進(jìn)行過(guò)濾�。國(guó)家衛(wèi)生健康委員會(huì)�����、醫(yī)保中心、銀行等業(yè)務(wù)通過(guò)物理專(zhuān)線接入至專(zhuān)線接入域���,通過(guò)前置機(jī)與防火墻對(duì)這類(lèi)業(yè)務(wù)進(jìn)行訪問(wèn)控制���。總之�����,通過(guò)多種設(shè)備和全面的管理,形成一個(gè)邊界清晰��、管控嚴(yán)格�、監(jiān)控全面、審計(jì)詳實(shí)����、可感知態(tài)勢(shì)的網(wǎng)絡(luò)系統(tǒng)。這樣�����,在快速開(kāi)展互聯(lián)網(wǎng)線上業(yè)務(wù)的同時(shí)�����,還能夠最大限度地進(jìn)行網(wǎng)絡(luò)防護(hù)����。
第5篇
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò);網(wǎng)絡(luò)安全;解決方案
中圖分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 13-0000-02
一�����、無(wú)線網(wǎng)絡(luò)概述
無(wú)線網(wǎng)絡(luò)(Wireless Local Area Network,WLAN)是以無(wú)線電波作為傳輸媒介的無(wú)線局域網(wǎng),具有移動(dòng)性����、開(kāi)放性、不穩(wěn)定性等特點(diǎn)���。與無(wú)線網(wǎng)絡(luò)相比,它利用無(wú)線電技術(shù)代替網(wǎng)線,具有以下獨(dú)特的優(yōu)勢(shì):網(wǎng)絡(luò)的擴(kuò)展性好,可迅速便捷地?cái)U(kuò)展網(wǎng)絡(luò);網(wǎng)絡(luò)建設(shè)簡(jiǎn)單方便;用戶(hù)使用性好,網(wǎng)絡(luò)可移動(dòng)�����、兼容性好,不受固定的連接限制等����。
(一)無(wú)線網(wǎng)絡(luò)的加密方式
無(wú)線網(wǎng)絡(luò)安全與其相關(guān)加密方式密切相關(guān),無(wú)線網(wǎng)絡(luò)的加密方式有:
1.WEP(Wired Equivalent Privacy)加密
該方式通過(guò)RC4算法在收發(fā)兩端將數(shù)據(jù)加解密,且具有校驗(yàn)過(guò)程以確保數(shù)據(jù)完整安全,然而這種方式只要補(bǔ)集足夠多的數(shù)據(jù)包,就可以推斷出密碼,安全問(wèn)題逐漸顯現(xiàn)�。
2.WPA(Wi-Fi Protected Access)加密
該方式充分研究了WEP的不足,使用了比其更長(zhǎng)的IV和密鑰機(jī)制,具有較高的安全性。
3.WPA2加密
該方式使用AES算法,能克服以往的問(wèn)題,也是當(dāng)前的最高安全標(biāo)準(zhǔn),但其對(duì)硬件要求過(guò)高���。
(二)無(wú)線網(wǎng)絡(luò)的安全特點(diǎn)
另一方面,無(wú)線網(wǎng)絡(luò)的安全特點(diǎn)也有別與有線網(wǎng)絡(luò),它主要有以下幾個(gè)特點(diǎn):
1.易受干擾攻擊
無(wú)線網(wǎng)絡(luò)具有開(kāi)放性,它不像有線網(wǎng)絡(luò)具有固定的網(wǎng)絡(luò)連接,更容易受到各種惡意攻擊���。
2.安全管理難度大
無(wú)線網(wǎng)絡(luò)的移動(dòng)性,使其網(wǎng)絡(luò)終端可在大范圍移動(dòng),這就意味著移動(dòng)節(jié)點(diǎn)缺乏一定的物理保護(hù),倘若從無(wú)線網(wǎng)絡(luò)已入侵的節(jié)點(diǎn)開(kāi)始攻擊,造成的破壞將更大。
3.安全方案實(shí)施困難
無(wú)線網(wǎng)絡(luò)具有動(dòng)態(tài)變化的拓?fù)浣Y(jié)構(gòu),這讓安全技術(shù)更復(fù)雜,并且許多方案均是分散的,實(shí)施起來(lái)依賴(lài)所有節(jié)點(diǎn)���。
4.魯棒性問(wèn)題
無(wú)線網(wǎng)絡(luò)信道往往隨著用戶(hù)而變化,常常會(huì)受到干擾���、衰弱等多分影響,造成網(wǎng)絡(luò)信號(hào)不穩(wěn)定,質(zhì)量波動(dòng)大���。
二、無(wú)線網(wǎng)絡(luò)面臨的安全威脅
無(wú)線網(wǎng)絡(luò)面臨的安全威脅主要是針對(duì)無(wú)線網(wǎng)絡(luò)信號(hào)的空間擴(kuò)散特性進(jìn)行的網(wǎng)絡(luò)攻擊�����。無(wú)線網(wǎng)絡(luò)攻擊方式主要有以下幾種:
(1)War Driving����。這是最常見(jiàn)的攻擊方式,攻擊者利用黑客軟件檢測(cè)出周?chē)臒o(wú)線網(wǎng)絡(luò),并且詳細(xì)獲知每個(gè)訪問(wèn)接入點(diǎn)的詳細(xì)信息,同時(shí)借助GPS繪制出其對(duì)應(yīng)的地理位置。
(2)拒絕服務(wù)攻擊���。這種攻擊是通過(guò)耗盡網(wǎng)絡(luò)��、操作系統(tǒng)或應(yīng)用程序的有限資源,使得計(jì)算機(jī)無(wú)法獲得相應(yīng)的服務(wù)�。
(3)中間人攻擊,例如包捕獲��、包修改�����、包植入和連接劫持等��。
(4)欺騙攻擊,即是通過(guò)偽造來(lái)自某個(gè)受信任地址的數(shù)據(jù)包,讓該計(jì)算機(jī)認(rèn)證另一臺(tái)計(jì)算機(jī),包括隱蔽式與非隱蔽式欺騙攻擊,例如為IP欺騙�、ARP欺騙、DNS欺騙等���。
(5)暴力攻擊,即是使用數(shù)字��、字符和字母等的任意組合,猜測(cè)用戶(hù)名及其口令,反復(fù)地進(jìn)行試探性訪問(wèn)�����。
上述的這些攻擊會(huì)威脅信息的完整性����、機(jī)密性和可用性,這些安全威脅主要有四類(lèi):信息泄露��、完整性破壞���、拒絕服務(wù)和非法使用,具體來(lái)說(shuō)主要有竊聽(tīng)�����、無(wú)授權(quán)訪問(wèn)�����、篡改�����、偽裝��、重放���、重路由���、錯(cuò)誤路由、刪除消息��、網(wǎng)絡(luò)泛洪等���。這些從而導(dǎo)致竊取信息�����、非授權(quán)使用資源�����、竊取服務(wù)和拒絕服務(wù)等問(wèn)題����。其具體的網(wǎng)絡(luò)安全問(wèn)題主要表現(xiàn)為:
(1)未授權(quán)的非法訪問(wèn)服務(wù)��。攻擊者偽裝成合法用戶(hù),未經(jīng)授權(quán)訪問(wèn)網(wǎng)絡(luò)資源,非法占用無(wú)線信道和網(wǎng)絡(luò)帶寬資源,嚴(yán)重影響了合法用戶(hù)的服務(wù)質(zhì)量����。;
(2)合法用戶(hù)的隱私信息外泄。惡意用戶(hù)通過(guò)竊聽(tīng)����、截取數(shù)據(jù)包,盜取用戶(hù)的關(guān)鍵數(shù)據(jù)信息,例如無(wú)線鏈路上傳輸?shù)奈幢患用艿臄?shù)據(jù)被攻擊者截獲等。另一方面不適當(dāng)?shù)臄?shù)據(jù)同步導(dǎo)致數(shù)據(jù)不完整,手持設(shè)備的丟失也會(huì)泄露敏感信息,設(shè)備的不恰當(dāng)配置也可能泄露數(shù)據(jù)���。
(3)惡意用戶(hù)可能通過(guò)無(wú)線網(wǎng)絡(luò)主動(dòng)攻擊網(wǎng)絡(luò)設(shè)備,獲得對(duì)網(wǎng)絡(luò)的管理控制權(quán)限,并篡改相關(guān)的網(wǎng)絡(luò)配置,降低了網(wǎng)絡(luò)的防護(hù)能力,將造成了惡劣的影響,嚴(yán)重時(shí)將使整個(gè)網(wǎng)絡(luò)癱瘓�����。
(4)病毒主機(jī)直接接入無(wú)線網(wǎng)絡(luò),嚴(yán)重影響信息系統(tǒng)的安全可靠性�����。
三�����、無(wú)線網(wǎng)絡(luò)安全的解決方案
針對(duì)上述的網(wǎng)絡(luò)安全問(wèn)題,無(wú)線網(wǎng)絡(luò)安全的解決方案往往有以下幾個(gè)方面:
(一)訪問(wèn)控制
即是按照用戶(hù)身份及其所歸屬的某項(xiàng)定義組來(lái)限制用戶(hù)訪問(wèn)某些信息項(xiàng),或限制其使用某些控制功能�����。一般來(lái)說(shuō),訪問(wèn)控制有利用MAC地址和服務(wù)區(qū)域認(rèn)證ID技術(shù)兩種方式來(lái)控制無(wú)線設(shè)備的非法入侵����。啟用MAC地址過(guò)濾的策略就是無(wú)線路由器只允許部分MAC地址的網(wǎng)絡(luò)設(shè)備進(jìn)行通訊。由于MAC地址在每個(gè)無(wú)線工作站的網(wǎng)卡出廠時(shí)就已設(shè)定,所以用戶(hù)可以利用其唯一性設(shè)置訪問(wèn)點(diǎn),實(shí)現(xiàn)物理地址過(guò)濾���。然而,這個(gè)方案存在MAC地址欺騙的缺陷,即是MAC地址可以進(jìn)行偽造,而且也無(wú)法實(shí)現(xiàn)機(jī)器在不同AP間的漫游���。這種方式是較低級(jí)的授權(quán)認(rèn)證,但它是阻止惡意用戶(hù)訪問(wèn)無(wú)線網(wǎng)絡(luò)的一種理想方式,一定程度上可以保護(hù)網(wǎng)絡(luò)安全。服務(wù)區(qū)域認(rèn)證ID技術(shù)(SSID)是根據(jù)每一個(gè)AP內(nèi)設(shè)置的對(duì)應(yīng)服務(wù)區(qū)域認(rèn)證ID,當(dāng)無(wú)線終端設(shè)備需連接AP時(shí),AP就會(huì)檢查其SSID是否與自己的ID保持一致,AP才接受相應(yīng)的訪問(wèn)并給予網(wǎng)絡(luò)服務(wù)��。該技術(shù)的缺陷同樣也是容易被竊取,網(wǎng)絡(luò)安全性較為一般��。
第6篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 入侵檢測(cè) 數(shù)據(jù)備份
一���、引言
Internet的發(fā)展����,正在引發(fā)一場(chǎng)人類(lèi)文明的根本變革,網(wǎng)絡(luò)已成為一個(gè)國(guó)家最為關(guān)鍵的政治���,經(jīng)濟(jì)��,軍資源���,成為國(guó)家實(shí)力的新象征同時(shí)�����,網(wǎng)絡(luò)的發(fā)展也在不斷改變?nèi)藗兊墓ぷ?����,生活方式�����,使信息的獲取���,傳遞��,處理和利用更加高效����,迅速,隨著科學(xué)技術(shù)不斷發(fā)展���,網(wǎng)絡(luò)已經(jīng)成為人們生活的一個(gè)組成部分雖然計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來(lái)了巨大的便利�����,但互聯(lián)網(wǎng)是一個(gè)面向大眾的開(kāi)放系統(tǒng)�����,對(duì)信息的保密和系統(tǒng)的安全考慮得并不完備���,存在著安全隱患,網(wǎng)絡(luò)的安全形勢(shì)日趨嚴(yán)峻�����。因而�,解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩,我們必須從網(wǎng)絡(luò)安全可能存在的危機(jī)入手��,分析并提出整體的網(wǎng)絡(luò)安全解決方案
二�����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
1.網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析
企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?���;诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣�����,內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅��,入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點(diǎn)����。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機(jī)上都有涉密信息�,假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)電腦安全受損(被攻擊或者被病毒感染),就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)�����。
2.操作系統(tǒng)的安全風(fēng)險(xiǎn)分析
所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全�。操作系統(tǒng)的安裝以正常工作為目標(biāo),一般很少考慮其安全性����,因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置�。從安全角度考慮���,其表現(xiàn)為裝了很多用不著的服務(wù)模塊���,開(kāi)放了很多不必開(kāi)放的端口,其中可能隱含了安全風(fēng)險(xiǎn)���。
3.應(yīng)用的安全風(fēng)險(xiǎn)分析
應(yīng)用系統(tǒng)的安全涉及很多方面����。應(yīng)用系統(tǒng)是動(dòng)態(tài)的��、不斷變化的�����。應(yīng)用的安全性也是動(dòng)態(tài)的�。這就需要我們對(duì)不同的應(yīng)用,檢測(cè)安全漏洞�����,采取相應(yīng)的安全措施,降低應(yīng)用的安全風(fēng)險(xiǎn)�。主要有文件服務(wù)器的安全風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)服務(wù)器的安全風(fēng)險(xiǎn)�����、病毒侵害的安全風(fēng)險(xiǎn)�����、數(shù)據(jù)信息的安全風(fēng)險(xiǎn)等
4.管理的安全分析
管理方面的安全隱患包括:內(nèi)部管理人員或員工圖方便省事��,不設(shè)置用戶(hù)口令�,或者設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單,導(dǎo)致很容易破解����。責(zé)任不清�����,使用相同的用戶(hù)名��、口令���,導(dǎo)致權(quán)限管理混亂���,信息泄密��。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)��、管理員用戶(hù)名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)��。內(nèi)部不滿(mǎn)的員工有的可能造成極大的安全風(fēng)險(xiǎn)����。
三����、網(wǎng)絡(luò)安全解決方案
1.網(wǎng)絡(luò)結(jié)構(gòu)的安全
網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否,也影響著網(wǎng)絡(luò)的安全性對(duì)銀行系統(tǒng)業(yè)務(wù)網(wǎng)��,辦公網(wǎng)��,與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍��,安全保密程度進(jìn)行合理分布�����,以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅,傳播到整個(gè)網(wǎng)絡(luò)系統(tǒng)�����,所以必須從兩個(gè)方面入手�����,一是加強(qiáng)|力問(wèn)控制:在內(nèi)部局網(wǎng)內(nèi)可以通過(guò)交換機(jī)劃分VLAN功能來(lái)實(shí)現(xiàn)����;或是通過(guò)配備防火墻來(lái)實(shí)現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問(wèn)控制:也可以配備應(yīng)用層的訪問(wèn)控制軟件系統(tǒng)�����,針對(duì)局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問(wèn)控制����。二是作好安全檢測(cè)工作:在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測(cè)系統(tǒng)���,實(shí)時(shí)分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流��,對(duì)網(wǎng)絡(luò)違規(guī)事件跟蹤����,實(shí)時(shí)報(bào)警,阻斷連接并做日志����。
2.操作系統(tǒng)的安全
對(duì)操作系統(tǒng)必須進(jìn)行安全配置,打上最新的補(bǔ)丁���,還要利用相應(yīng)的掃描軟件對(duì)其進(jìn)行安全性?huà)呙柙u(píng)估�����,檢測(cè)其存在的安全漏洞�,分析系統(tǒng)的安全性���,提出補(bǔ)救措施�����,管理人員應(yīng)用時(shí)必須加強(qiáng)身份認(rèn)證機(jī)制及認(rèn)證強(qiáng)度盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置���,關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用�����,對(duì)一些關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制����,加強(qiáng)口令字的使用�����,及時(shí)給系統(tǒng)打補(bǔ)丁�����,系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)��。
3.應(yīng)用的安全
要確保計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全���,主要從以下幾個(gè)方面作好安全防范工作:一要配備防病毒系統(tǒng)��,防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)����,實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)����;二作好數(shù)據(jù)備份工作,最安全的�,最保險(xiǎn)的方法是對(duì)重要數(shù)據(jù)信息進(jìn)行安全備份,如果遇到系統(tǒng)受損時(shí)��,可以利用災(zāi)難恢復(fù)系統(tǒng)進(jìn)行快速恢復(fù)��;三是對(duì)數(shù)據(jù)進(jìn)行加密傳輸�����,保護(hù)數(shù)據(jù)在傳輸過(guò)程中不被泄露�����,保證用戶(hù)數(shù)據(jù)的機(jī)密性�����,數(shù)據(jù)加密的方法有從鏈路層加密����,網(wǎng)絡(luò)層加密及應(yīng)用層加密;四是進(jìn)行信息鑒別��,為了保證數(shù)據(jù)的完整性,就必須采用信息鑒別技術(shù)����,VPN設(shè)備便能實(shí)現(xiàn)這樣的功能,數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段����,它可以確認(rèn)信息的來(lái)源的可靠性,結(jié)合傳輸加密技術(shù)��,我們可以選擇VPN設(shè)備��,實(shí)現(xiàn)保護(hù)數(shù)據(jù)的機(jī)密性�����,完整性�����,真實(shí)性���,可靠性���。
4.管理的安全
安全體系的建立和維護(hù)需要有良好的管理制度和很高的安全意識(shí)來(lái)保障�。安全意識(shí)可以通過(guò)安全常識(shí)培訓(xùn)來(lái)提高�����,行為的約束只能通過(guò)嚴(yán)格的管理體制�����,并利用法律手段來(lái)實(shí)現(xiàn)����,因國(guó)這些必須在電信部門(mén)系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求����,制定安全管理制度并嚴(yán)格按執(zhí)行,并通過(guò)安全知識(shí)及法律常識(shí)的培訓(xùn)���,加強(qiáng)整體員工的自身安全意識(shí)及防范外部入侵的安全技術(shù)���。
第7篇
筆者從眾多開(kāi)設(shè)網(wǎng)絡(luò)工程專(zhuān)業(yè)的高校中選取部分211或985學(xué)校作為研究對(duì)象,對(duì)多所學(xué)校的網(wǎng)絡(luò)安全方向課程的設(shè)置進(jìn)行了對(duì)比分析��,見(jiàn)表1����。網(wǎng)絡(luò)安全在某些高校是作為網(wǎng)絡(luò)工程專(zhuān)業(yè)的一個(gè)方向開(kāi)設(shè)��,如吉林大學(xué)就是在網(wǎng)絡(luò)工程專(zhuān)業(yè)下設(shè)網(wǎng)絡(luò)安全方向����,開(kāi)設(shè)網(wǎng)絡(luò)攻防技術(shù)���、無(wú)線網(wǎng)絡(luò)技術(shù)等課程��;而在有些院校網(wǎng)絡(luò)工程中沒(méi)有網(wǎng)絡(luò)安全方向��,而以單獨(dú)的信息安全專(zhuān)業(yè)存在�����,如電子科技大學(xué)和北京郵電大學(xué)都是單獨(dú)設(shè)有信息安全專(zhuān)業(yè)��,該專(zhuān)業(yè)開(kāi)設(shè)的安全方向課程更全面��,如信息安全數(shù)學(xué)基礎(chǔ)���、密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)安全協(xié)議等;還有一些高校既沒(méi)有信息安全專(zhuān)業(yè)��,在網(wǎng)絡(luò)工程專(zhuān)業(yè)中也沒(méi)有安全方向����,只是在課程中設(shè)置了少量的安全類(lèi)課程,如大連理工大學(xué)開(kāi)設(shè)網(wǎng)絡(luò)安全����、Matlab課程�,中山大學(xué)開(kāi)設(shè)了密碼學(xué)與網(wǎng)絡(luò)安全課程。
2擴(kuò)展課程設(shè)置探討
下面針對(duì)濟(jì)南大學(xué)的網(wǎng)絡(luò)工程專(zhuān)業(yè)安全方向開(kāi)設(shè)的課程進(jìn)行改革探討���。濟(jì)南大學(xué)網(wǎng)絡(luò)工程專(zhuān)業(yè)目前正在使用的培養(yǎng)方案中與安全相關(guān)的課程設(shè)置情況見(jiàn)表2����。其中���,一部分是計(jì)算機(jī)類(lèi)學(xué)科基礎(chǔ)課�,一部分是網(wǎng)絡(luò)工程專(zhuān)業(yè)基礎(chǔ)選修課和專(zhuān)業(yè)方向課��。濟(jì)南大學(xué)網(wǎng)絡(luò)工程專(zhuān)業(yè)中設(shè)有網(wǎng)絡(luò)安全方向�。結(jié)合山東省名校工程的契機(jī),筆者在調(diào)研多個(gè)名校的培養(yǎng)方案并結(jié)合本校實(shí)際情況的前提下��,對(duì)網(wǎng)絡(luò)安全方向課程的設(shè)置提出下面幾個(gè)調(diào)整意見(jiàn)。
2.1增設(shè)信息安全數(shù)學(xué)基礎(chǔ)和網(wǎng)絡(luò)仿真課程
雖然原有培養(yǎng)方案中高等數(shù)學(xué)����、線性代數(shù)、概率論與數(shù)理統(tǒng)計(jì)��、離散數(shù)學(xué)4門(mén)數(shù)學(xué)課程都占據(jù)了大量學(xué)時(shí)��,但是對(duì)于網(wǎng)絡(luò)安全方向的學(xué)生而言�����,后期用到的相關(guān)數(shù)學(xué)知識(shí)并不多�����。但是學(xué)生對(duì)網(wǎng)絡(luò)安全真正用到的初等數(shù)論和群環(huán)域知識(shí)卻一點(diǎn)都沒(méi)有接觸����。因此,修改培養(yǎng)方案時(shí)應(yīng)增設(shè)信息安全數(shù)學(xué)基礎(chǔ)課程���,學(xué)時(shí)不用太多���,可以為24學(xué)時(shí)�����,授課內(nèi)容要涉及網(wǎng)絡(luò)安全中用到的模運(yùn)算����、同余理論����、數(shù)論函數(shù)和群環(huán)域等知識(shí)。目前�����,網(wǎng)絡(luò)安全方向用到的數(shù)學(xué)知識(shí)均是在應(yīng)用密碼學(xué)課程中講解的�����。大部分有關(guān)密碼學(xué)的教材都會(huì)在講解分組密碼和公鑰密碼時(shí)�,介紹一些與之密切相關(guān)的數(shù)學(xué)知識(shí)(如群環(huán)域)�����,如由清華大學(xué)出版社出版,楊波編寫(xiě)的《現(xiàn)代密碼學(xué)》(第二版)[3]中的“密碼學(xué)中一些常用的數(shù)學(xué)知識(shí)”部分��。這種做法一方面占了密碼學(xué)課程的部分學(xué)時(shí)�����,勢(shì)必會(huì)減少學(xué)生學(xué)到的密碼學(xué)知識(shí)����;另一方面,臨時(shí)講一些數(shù)學(xué)知識(shí)并不能讓學(xué)生系統(tǒng)地理解�。因此,筆者非常贊成清華大學(xué)馮克勤教授提出的增設(shè)初等數(shù)論課程的想法[4]���。雖然馮教授是針對(duì)清華大學(xué)數(shù)學(xué)科學(xué)系本科生提出的���,但對(duì)于網(wǎng)絡(luò)安全方向的學(xué)生而言,不學(xué)習(xí)初等數(shù)論和群環(huán)域知識(shí)����,很難理解和掌握后續(xù)的與安全相關(guān)的課程內(nèi)容,這點(diǎn)在應(yīng)用密碼學(xué)課程中尤其明顯��。例如�����,學(xué)習(xí)離散對(duì)數(shù)算法后,學(xué)生只知道在已知一些參數(shù)的情況下如何利用指數(shù)進(jìn)行加密解密�,但不能理解如何選擇參數(shù),不知道什么是本原元���,如何確定一個(gè)循環(huán)群的本原元以及如何利用模運(yùn)算降低計(jì)算量�,如何快速的編程實(shí)現(xiàn)���。筆者采用不同于上述馮教授提出的在大學(xué)第1學(xué)期開(kāi)設(shè)初等數(shù)論課程的方式��,而是在第3學(xué)期開(kāi)設(shè)�����。因?yàn)闈?jì)南大學(xué)在第1�、2學(xué)期����,學(xué)生必修高等數(shù)學(xué)和線性代數(shù)課程��,這已經(jīng)使學(xué)生無(wú)暇顧及更多的數(shù)學(xué)知識(shí)��。第3學(xué)期開(kāi)設(shè)信息安全數(shù)學(xué)基礎(chǔ)可以很好地和第4學(xué)期開(kāi)設(shè)的應(yīng)用密碼學(xué)課程銜接。另外�����,在信息安全數(shù)學(xué)基礎(chǔ)課程中���,安排一定的實(shí)驗(yàn)學(xué)時(shí)����,讓學(xué)生在經(jīng)過(guò)第1����、2學(xué)期的程序設(shè)計(jì)課程之后,通過(guò)學(xué)過(guò)的編程語(yǔ)言實(shí)現(xiàn)數(shù)論和群環(huán)域中的一些算法�����,理論聯(lián)系實(shí)際��,從而更好地掌握數(shù)學(xué)知識(shí)��,為后續(xù)密碼學(xué)算法的研究奠定基礎(chǔ)����。
2.2增加網(wǎng)絡(luò)仿真課程
現(xiàn)代網(wǎng)絡(luò)技術(shù)的研究離不開(kāi)仿真軟件�,因?yàn)槲覀儾豢赡軐?shí)際搭建網(wǎng)絡(luò)���,如果不合適�����,再拆了重新搭建�,這不僅費(fèi)時(shí)而且費(fèi)力?�,F(xiàn)在所有與網(wǎng)絡(luò)相關(guān)的研究都在仿真基礎(chǔ)上進(jìn)行��;而如果不開(kāi)設(shè)仿真課程���,學(xué)生僅學(xué)習(xí)理論知識(shí)�����,會(huì)與實(shí)際應(yīng)用脫離��。濟(jì)南大學(xué)的信息安全教學(xué)團(tuán)隊(duì)由5位博士組成�����,其中3人是數(shù)學(xué)專(zhuān)業(yè)背景���,主要研究網(wǎng)絡(luò)安全,2人是計(jì)算機(jī)學(xué)科出身�����,主要研究無(wú)線網(wǎng)絡(luò)�,而且5人中有2人具有工程背景。信息安全教學(xué)團(tuán)隊(duì)負(fù)責(zé)網(wǎng)絡(luò)工程專(zhuān)業(yè)的所有安全類(lèi)課程的教學(xué)���,包含無(wú)線網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議等課程����,這些課程都需要仿真軟件的配合才能使學(xué)生真正掌握所學(xué)知識(shí)��。因此�����,增加網(wǎng)絡(luò)仿真課程是必須的��。至于仿真課程的內(nèi)容���,可以選擇NS2或NS3�����,也可以與大連理工大學(xué)相似�,采用Matlab。
2.3合并網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)安全協(xié)議課程�,調(diào)整其他相關(guān)課程的學(xué)分和學(xué)時(shí)
網(wǎng)絡(luò)協(xié)議課程主要講TCP/IP協(xié)議,內(nèi)容與吉林大學(xué)的TCP/IP協(xié)議族相似����,重點(diǎn)在網(wǎng)絡(luò)的分層協(xié)議,如網(wǎng)絡(luò)層協(xié)議��、傳輸層協(xié)議等��。涉及部分安全協(xié)議����,如IPsec、SSL�����、SNMP等���,這與網(wǎng)絡(luò)安全協(xié)議課程中再次對(duì)這些內(nèi)容的講解重復(fù)�����,而且安全協(xié)議本身也是網(wǎng)絡(luò)協(xié)議的一種���,因此可以考慮將安全協(xié)議和網(wǎng)絡(luò)協(xié)議兩個(gè)課程整合或一門(mén)全新的網(wǎng)絡(luò)協(xié)議課程,去掉重復(fù)內(nèi)容����,增加部分學(xué)分和學(xué)時(shí),從原有的2.5學(xué)分增加到3學(xué)分���,同時(shí)學(xué)時(shí)從原有的48增加到64���。網(wǎng)絡(luò)工程專(zhuān)業(yè)修改培養(yǎng)方案后的安全方向課程設(shè)置見(jiàn)表3。從表3可以看出培養(yǎng)方案修正前后的總學(xué)分保持不變�����,這是因?yàn)樵谠黾有抡n的同時(shí)����,調(diào)整了部分課程所占學(xué)分和學(xué)時(shí),如減少無(wú)線網(wǎng)絡(luò)原理與技術(shù)的學(xué)分,從原有的4學(xué)分減到3.5學(xué)分��。這樣一方面增加了新課����,另一方面整合了重復(fù)內(nèi)容的課程。
3結(jié)語(yǔ)
第8篇
網(wǎng)絡(luò)安全建設(shè)要具有長(zhǎng)遠(yuǎn)的眼光���,不能僅僅為了眼前的幾種威脅而特意部署安全方案����。
垃圾郵件��、病毒��、間諜軟件和不適內(nèi)容會(huì)中斷業(yè)務(wù)運(yùn)行���,這些快速演變的威脅隱藏在電子郵件和網(wǎng)頁(yè)中�,并通過(guò)網(wǎng)絡(luò)快速傳播�����,消耗著有限的網(wǎng)絡(luò)和系統(tǒng)資源����。要防范這些威脅����,就需要在網(wǎng)絡(luò)安全方面有所投入才行��。但現(xiàn)在的經(jīng)濟(jì)形勢(shì)讓眾多中小企業(yè)面臨生存挑戰(zhàn)����,it投入的縮減�����,專(zhuān)業(yè)人員的不足等因素�����,相比大型企業(yè)來(lái)說(shuō)��,都讓中小企業(yè)在對(duì)付網(wǎng)絡(luò)威脅方面更加無(wú)助��。
即使投入有限����,中小企業(yè)的網(wǎng)絡(luò)安全需求一點(diǎn)也不比大企業(yè)少。在現(xiàn)實(shí)情況中,中小企業(yè)往往還對(duì)便捷的管理��、快速的服務(wù)響應(yīng)等要求更高���。那么中小企業(yè)如何在有限的投入中構(gòu)建完善的網(wǎng)絡(luò)安全體系呢����?試試下面這幾招�����。
第一招:網(wǎng)關(guān)端防護(hù)事半功倍
內(nèi)部病毒相互感染���、外部網(wǎng)絡(luò)的間諜軟件���、病毒侵襲等危害,使得僅僅依靠單一安全產(chǎn)品保證整個(gè)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的日子一去不復(fù)返了�。而應(yīng)對(duì)目前新型的web威脅,利用架設(shè)在網(wǎng)關(guān)處的安全產(chǎn)品����,在威脅進(jìn)入企業(yè)網(wǎng)絡(luò)之前就將其攔截在大門(mén)之外是更加有效的方法。對(duì)于中小企業(yè)來(lái)說(shuō)���,選擇一款功能全面���、易于管理和部署的網(wǎng)關(guān)安全設(shè)備���,不但可以在第一時(shí)間內(nèi)對(duì)各類(lèi)web流量?jī)?nèi)容進(jìn)行掃描過(guò)濾,同時(shí)也可以大大減輕各應(yīng)用服務(wù)器主機(jī)的負(fù)荷���。
比如��,趨勢(shì)科技推出的igsa就包含了防病毒、防垃圾郵件和內(nèi)容過(guò)濾�����、防間諜軟件����、防網(wǎng)絡(luò)釣魚(yú)、防僵尸保護(hù)以及url過(guò)濾服務(wù)等眾多功能�����,并且可以統(tǒng)一集中管理�,通過(guò)日志報(bào)告還讓網(wǎng)絡(luò)運(yùn)行安全情況一目了然�,大大減少了信息安全管理的工作量��。
第二招:運(yùn)用“云安全”免去內(nèi)存升級(jí)壓力
目前中小企業(yè)內(nèi)網(wǎng)安全也不容忽視����,而且要求實(shí)現(xiàn)集中管理和保護(hù)內(nèi)部桌面計(jì)算機(jī)。在網(wǎng)絡(luò)威脅飆升的今天���,更新病毒碼成為每天必備的工作���,但傳統(tǒng)代碼比對(duì)技術(shù)的流程性問(wèn)題正在導(dǎo)致查殺病毒的有效性急劇下降�����。趨勢(shì)科技推出的云安全解決方案超越了病毒樣本分析處理機(jī)制�����,通過(guò)云端服務(wù)器群對(duì)互聯(lián)網(wǎng)上的海量信息源進(jìn)行分析整理��,將高風(fēng)險(xiǎn)信息源保存到云端數(shù)據(jù)庫(kù)中����,當(dāng)用戶(hù)訪問(wèn)時(shí)���,通過(guò)實(shí)時(shí)查詢(xún)信息源的安全等級(jí)����,就可以將高風(fēng)險(xiǎn)信息及時(shí)阻擋,從而讓用戶(hù)頻繁的更新病毒碼工作成為歷史�����。
目前�,桌面端防護(hù)的用戶(hù)數(shù)是網(wǎng)關(guān)防護(hù)用戶(hù)數(shù)的5倍,桌面防護(hù)在現(xiàn)階段也是必不可少的手段����,但要求減輕更新負(fù)擔(dān)和加強(qiáng)管理便捷性。這方面�����,趨勢(shì)科技的officescan通過(guò)應(yīng)用最新的云安全技術(shù)�,使桌面端防護(hù)不再依賴(lài)于病毒碼更新����,降低了帶寬資源和內(nèi)存資源的占用和壓力。
第三招:安全服務(wù)節(jié)省管理成本
網(wǎng)絡(luò)安全管理成本在整個(gè)網(wǎng)絡(luò)安全解決方案中占有一定比例���,如果用三分技術(shù)���、七分管理的理論來(lái)解釋?zhuān)@方面成本顯然更高�。如何才能在專(zhuān)業(yè)管理人員有限的狀況下��,達(dá)到安全管理的目標(biāo)呢��?中小企業(yè)可以借助安全廠商的專(zhuān)家技術(shù)支持��,高效�、專(zhuān)業(yè)地保障網(wǎng)絡(luò)安全運(yùn)行。也就是借用外力來(lái)管理自己的網(wǎng)絡(luò)安全設(shè)備����,將比自己培養(yǎng)管理人員成本更低,而且效果更佳�。
目前,已有包括趨勢(shì)科技在內(nèi)的多家廠商提供此類(lèi)服務(wù)����。
第四招:培養(yǎng)安全意識(shí)一勞永逸
