前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)安全網(wǎng)絡(luò)策略文章，供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā)，助您在寫(xiě)作的道路上更上一層樓。

第1篇

1.影響網(wǎng)絡(luò)信息安全的主要因素

1.1 導(dǎo)致互聯(lián)網(wǎng)脆弱性的原因。

（1）網(wǎng)絡(luò)的開(kāi)放性，網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的，使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面?；蚴莵?lái)自物理傳輸線路的攻擊，或是來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。

（2）網(wǎng)絡(luò)的自由性，大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的約束，用戶可以自由的上網(wǎng)，和獲取各類信息。

1.2 安全管理困難性。

雖然安全事件通常是不分國(guó)界的，但是安全管理卻受?chē)?guó)家等多種因素的限制。安全管理也非常復(fù)雜，經(jīng)常出現(xiàn)人力投入不足、安全政策不明等現(xiàn)象。擴(kuò)大到不同國(guó)家之間，跨國(guó)界的安全事件的追蹤就非常困難。

2.網(wǎng)絡(luò)安全的主要技術(shù)

2.1 防火墻技術(shù)。防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。

2.1.1 網(wǎng)絡(luò)安全的屏障。

防火墻可通過(guò)過(guò)濾不安全的服務(wù)而減低風(fēng)險(xiǎn)，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。由于只有經(jīng)過(guò)選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，使攻擊者不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報(bào)文，并將情況及時(shí)通知防火墻管理員。

2.1.2 強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置。能將所有安全軟件（如口令、加密、身份認(rèn)證等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如，在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其他的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上而集中在防火墻。

2.2 數(shù)據(jù)加密技術(shù)。

2.2.1 常用的數(shù)據(jù)加密技術(shù)。

目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。

2.2.2 數(shù)據(jù)加密技術(shù)的含義。

所謂數(shù)據(jù)加密（Data Encryption）技術(shù)是指將一個(gè)信息（或稱明文，plain text）經(jīng)過(guò)加密鑰匙（Encryption key）及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文（cipher text），而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙（Decryption key）還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。

3.網(wǎng)絡(luò)安全具有的功能

3.1 身份識(shí)別。

身份識(shí)別是安全系統(tǒng)應(yīng)具備的基本功能，身份識(shí)別主要是通過(guò)標(biāo)識(shí)和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問(wèn)權(quán)限。對(duì)于一般的計(jì)算機(jī)網(wǎng)絡(luò)而言，主要考慮主機(jī)和節(jié)點(diǎn)的身份認(rèn)證，至于用戶的身份認(rèn)證可以由應(yīng)用系統(tǒng)來(lái)實(shí)現(xiàn)。

3.2 存取控制。

存取控制規(guī)定何種主體對(duì)何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、類型控制和風(fēng)險(xiǎn)分析。存取控制也是最早采用的安全技術(shù)之一，它一般與身份驗(yàn)證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實(shí)現(xiàn)不同安全級(jí)別的信息分級(jí)管理。

4.常見(jiàn)網(wǎng)絡(luò)攻擊方法

4.1 網(wǎng)絡(luò)中的安全漏洞無(wú)處不在。即便舊的安全漏洞補(bǔ)上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。

第一：搜索

第二：掃描

第三：獲得權(quán)限

第四：保持連接

第五：消除痕跡

4.2 網(wǎng)絡(luò)攻擊的常見(jiàn)方法。

（1）口令入侵

（2）電子郵件攻擊

（3）木馬程序

（4）漏洞攻擊

5.網(wǎng)絡(luò)安全應(yīng)對(duì)策略

（1）使用防火墻軟件

（2）提高網(wǎng)絡(luò)安全意識(shí)

（3）隱藏自己的IP地址

（4）備份資料

（5）提高警惕

我國(guó)面對(duì)網(wǎng)絡(luò)威脅采取的主要策略：

5.1 完善管理機(jī)制。

一個(gè)完善的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全方案至少應(yīng)該包括以下幾個(gè)方面：訪問(wèn)控制、檢查安全漏洞、攻擊監(jiān)控、加密、備份和恢復(fù)、多層防御、建立必要的管理機(jī)制。隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國(guó)防等方面的重要信息交換手段，滲透到社會(huì)生活的各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對(duì)于保障網(wǎng)絡(luò)的安全性顯得十分重要。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免地存在一些漏洞，因此，進(jìn)行網(wǎng)絡(luò)防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時(shí)升級(jí)、完善自身的防御措施。

5.2 逐步消除網(wǎng)絡(luò)安全隱患。

（1）每個(gè)人必須對(duì)其網(wǎng)絡(luò)行為承擔(dān)法律和道德責(zé)任是規(guī)范網(wǎng)絡(luò)秩序的一個(gè)重要準(zhǔn)則。

第2篇

關(guān)鍵詞：網(wǎng)絡(luò)拓?fù)?；防火墻；路由器；交換機(jī)；LAN；網(wǎng)絡(luò)安全策略

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)24-5855-03

On the Hospital Network Security Policy

HUANG Shao-e

(Information Department of Songgang Hospital, Shenzhen 518105, China)

Abstract: Analysis on the main problem of network security before transformation of the system that we are facing and after transformation network security policy of our hospital. Information on network security system reform is necessary, the importance of its security system has become increasingly prominent, and computer information network technology is increasingly popular, all the insecurity of the network, such as:continuous spreading of computer viruses, hackers, hacking, data has been illegal manipulation, jeopardize network security, security system, hospital information strategy has become the process of building should not be ignored.

Key words: network topology; firewal; router; switch; VLAN; network security policy

隨著醫(yī)院業(yè)務(wù)的不斷發(fā)展，其網(wǎng)絡(luò)系統(tǒng)[1]也經(jīng)歷了多年的不斷建設(shè)。在業(yè)務(wù)水平、網(wǎng)絡(luò)規(guī)模不斷提升的同時(shí)，網(wǎng)絡(luò)也變得越來(lái)越復(fù)雜，而這種復(fù)雜對(duì)其安全性的挑戰(zhàn)也是越來(lái)越嚴(yán)峻。OA業(yè)務(wù)系統(tǒng)對(duì)信息系統(tǒng)的依賴程度也越來(lái)越高，信息安全的問(wèn)題也越來(lái)越突出。醫(yī)院計(jì)算機(jī)管理人員充分認(rèn)識(shí)到了安全保證對(duì)于業(yè)務(wù)系統(tǒng)的重要性，采取了相應(yīng)的安全措施，部署了一些安全設(shè)備發(fā)揮了積極的作用。但是安全的動(dòng)態(tài)性、系統(tǒng)性的屬性決定了安全是一個(gè)逐步完善的整體性系統(tǒng)工程，需要管理、組織和技術(shù)各方面的配合。安全源于未雨綢繆，隨著安全信息建設(shè)的逐步深入，醫(yī)院立足于當(dāng)前系統(tǒng)環(huán)境，考慮到未來(lái)業(yè)務(wù)發(fā)展的趨勢(shì)決定對(duì)系統(tǒng)進(jìn)行安全體系建設(shè)。在2009年初計(jì)劃投入建設(shè)我院信息安全保障體系[1-2]，以增強(qiáng)我院的外網(wǎng)信息安全風(fēng)險(xiǎn)防范能力。

下面就我院網(wǎng)絡(luò)改造前后安全問(wèn)題進(jìn)行淺談。

1 我院網(wǎng)絡(luò)未改造前現(xiàn)狀系統(tǒng)安全風(fēng)險(xiǎn)分析

未改造前我院外部網(wǎng)絡(luò)所面臨的主要問(wèn)題：所面臨的主要問(wèn)題可以細(xì)化為：① 員工有少數(shù)人上網(wǎng)進(jìn)行BT下載，嚴(yán)重占用帶寬，影響其他人的正常的互聯(lián)網(wǎng)訪問(wèn)。② 內(nèi)網(wǎng)機(jī)器感染了病毒，沒(méi)有有效監(jiān)控措施快速找到感染病毒的機(jī)器。③ 內(nèi)網(wǎng)網(wǎng)絡(luò)沒(méi)有做安全隔離，服務(wù)器和客戶端沒(méi)有有效的隔離。④ 服務(wù)器區(qū)沒(méi)有任何的安全防護(hù)措施，容易受到攻擊。⑤ OA院內(nèi)辦公系統(tǒng)、數(shù)字多媒體圖書(shū)館等系統(tǒng)直接暴露于互聯(lián)網(wǎng)，沒(méi)有任何安全防護(hù)措施，很容易造成隱私信息的泄漏。

未改造前的網(wǎng)絡(luò)狀況拓?fù)浣Y(jié)構(gòu)如圖1所示。

本單位辦公樓層分布：十層樓門(mén)診部（門(mén)診辦公+行政辦公）、十層樓住院部、小樓層其他業(yè)務(wù)科室辦公樓；

2 我院改造后的網(wǎng)絡(luò)系統(tǒng)安全策略[2-3]

通過(guò)以VLAN（Virtual Local Area Network）方式的配置管理技術(shù)，在交換式以太網(wǎng)中，利用VLAN技術(shù)將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)VLAN邏輯子網(wǎng)，實(shí)現(xiàn)不同網(wǎng)段邏輯隔離，按照樓層與科室類別和安全等級(jí)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)段實(shí)現(xiàn)分類管理，有利于網(wǎng)絡(luò)的管理[4]和提高網(wǎng)絡(luò)利用率。

2.1 硬件改造架設(shè)

在文中重點(diǎn)解說(shuō)USG防火墻防御能力[5]的網(wǎng)絡(luò)安全策略。此次改造增加的設(shè)備有：H3C S1526交換機(jī)、Cisco2800路由器和USG-600C防火墻。

2.1.1 USG防火墻的冗余措施

USG-600C防火墻作為網(wǎng)絡(luò)接入的冗余措施[6]，對(duì)數(shù)據(jù)流進(jìn)行精細(xì)的控制。USG安全網(wǎng)關(guān)具有如下特點(diǎn)：1）完善的訪問(wèn)控制手段：IP地址過(guò)濾、MAC地址過(guò)濾、IP＋MAC綁定、用戶認(rèn)證、流量整形、連接數(shù)控制等；2）IPS-堅(jiān)固的防御體系；3）完善的攻擊特征庫(kù)：包括50多類，超過(guò)1800項(xiàng)的入侵攻擊特征；4）漏洞機(jī)理分析技術(shù)，精確抵御黑客攻擊、蠕蟲(chóng)、木馬、后門(mén)；5）應(yīng)用還原重組技術(shù)：抑制間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚(yú)的泛濫；6）網(wǎng)絡(luò)異常分析技術(shù)：全面防止拒絕服務(wù)攻擊；7）業(yè)界領(lǐng)先的網(wǎng)絡(luò)防病毒技術(shù)：文件感染病毒、宏病毒、腳本病毒、蠕蟲(chóng)、木馬、惡意軟件、灰色軟件；8）實(shí)用的流量監(jiān)控系統(tǒng)NetFlow：歷史帶寬使用趨勢(shì)分析、帶寬應(yīng)用分布、帶寬使用實(shí)時(shí)統(tǒng)計(jì)、IP流量排名等；9）多種手段全面清除垃圾郵件：黑名單、白名單、可追查性檢查、病毒掃描、附件類型和附件大小過(guò)濾、關(guān)鍵字過(guò)濾等；10）精確的抗DoS攻擊能力：采用特征控制和異?？刂葡嘟Y(jié)合的手段，有效保障抗拒絕服務(wù)攻擊的準(zhǔn)確性和全面性，阻斷絕大多數(shù)的DoS攻擊行為；11）完善的P2P、IM、流媒體、網(wǎng)絡(luò)游戲和股票軟件控制能力；12）強(qiáng)大的日志報(bào)表功能：可對(duì)防火墻日志、攻擊日志、病毒日志、帶寬使用日志、Web訪問(wèn)日志、Mail發(fā)送日志、關(guān)鍵資產(chǎn)訪問(wèn)日志、用戶登錄日志等進(jìn)行記錄。

USG-600C防火墻支持IP與MAC地址綁定功能并提供了多種綁定手段[7]，包括手動(dòng)綁定，自動(dòng)單主機(jī)綁定以及自動(dòng)多主機(jī)綁定能力。其IP與MAC地址綁定功能值得一提，因ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無(wú)法正常訪問(wèn)外網(wǎng)，讓網(wǎng)關(guān)無(wú)法和客戶端正常通信。分析其原理如下：假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè)Hub或交換機(jī)連接了3臺(tái)機(jī)器，依次是計(jì)算機(jī)A，B，C。

A的地址為：IP：192.168.1.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.1.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.1.3 MAC: CC-CC-CC-CC-CC-CC

正常情況下在A計(jì)算機(jī)上運(yùn)行ARP -A查詢ARP緩存表應(yīng)該出現(xiàn)如下信息。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 CC-CC-CC-CC-CC-CC dynamic

在計(jì)算機(jī)B上運(yùn)行ARP欺騙程序，來(lái)發(fā)送ARP欺騙包。

B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A可不知道被偽造了）。而且A不知道其實(shí)是從B發(fā)送過(guò)來(lái)的，A這里只有192.168.10.3（C的IP地址）和無(wú)效的DD-DD-DD-DD-DD-DD mac地址。

欺騙完畢我們?cè)贏計(jì)算機(jī)上運(yùn)行ARP -A來(lái)查詢ARP緩存信息。你會(huì)發(fā)現(xiàn)原來(lái)正確的信息現(xiàn)在已經(jīng)出現(xiàn)了錯(cuò)誤。

Interface: 192.168.1.1 on Interface 0x1000003

Internet Address Physical Address Type

192.168.1.3 DD-DD-DD-DD-DD-DD dynamic

從上面的介紹我們可以清楚的明白原來(lái)網(wǎng)絡(luò)中傳輸數(shù)據(jù)包最后都是要根據(jù)MAC地址信息的，也就是說(shuō)雖然我們?nèi)粘Ｍㄓ嵍际峭ㄟ^(guò)IP地址，但是最后還是需要通過(guò)ARP協(xié)議進(jìn)行地址轉(zhuǎn)換，將IP地址變?yōu)镸AC地址。而上面例子中在計(jì)算機(jī)A上的關(guān)于計(jì)算機(jī)C的MAC地址已經(jīng)錯(cuò)誤了，所以即使以后從A計(jì)算機(jī)訪問(wèn)C計(jì)算機(jī)這個(gè)192.168.1.3這個(gè)地址也會(huì)被ARP協(xié)議錯(cuò)誤的解析成MAC地址為DD-DD-DD-DD-DD-DD的。

解決ARP欺騙的辦法就是進(jìn)行IP與MAC地址綁定，由于每塊網(wǎng)卡的MAC地址都是固定的，經(jīng)過(guò)地址綁定后，IP地址就與計(jì)算機(jī)或用戶（若每臺(tái)計(jì)算機(jī)的用戶固定）的對(duì)應(yīng)關(guān)系就固定了。也就是說(shuō)，只有特定的主機(jī)才能使用特定的IP地址，這就可以保證IP地址不被盜用，同時(shí)也加強(qiáng)了內(nèi)部網(wǎng)絡(luò)IP不被隨便人為修改的計(jì)算機(jī)管理。

2.1.2 網(wǎng)絡(luò)主干設(shè)置

核心H3C S1526交換機(jī)為網(wǎng)絡(luò)的主負(fù)載，樓層中心交換機(jī)為輔，利用H3C S1526交換機(jī)來(lái)進(jìn)行VLAN端口劃分，劃分了三個(gè)網(wǎng)絡(luò)區(qū)間。這三個(gè)區(qū)間分別為VLAN 1、VLAN 2和兩個(gè)VLAN的和集。第一區(qū)間為VLAN 1,連接DDN專線出口, 包含門(mén)診部和住院部及其它樓層的獨(dú)立網(wǎng)絡(luò)段；第二個(gè)為VLAN 2,連接ADSL出口，該區(qū)間包含9樓行政辦公的獨(dú)立網(wǎng)段；第三個(gè)區(qū)間是前兩個(gè)區(qū)間的和集，包含兩個(gè)網(wǎng)絡(luò)段，再細(xì)劃分兩個(gè)共享端口作為OA服務(wù)器端口。

下面來(lái)看一下C1526交換機(jī)上VLAN的三大網(wǎng)段劃分如圖2所示。

2.1.3 Cisco2800路由器設(shè)置

利用Console端口進(jìn)行配置，其 Cisco2800路由器端口設(shè)置如下：

Building configuration...

Current configuration : 2355 bytes

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname Router

boot-start-marker

boot-end-marker

logging buffered 51200 warnings

enable password ********

username cisco privilege 15 secret 5 $1$sSWy$k0lsLJFTmyqdIf0xToY05/

no network-clock-participate aim 0

no network-clock-participate aim 1

no aaa new-model

ip subnet-zero

ip cef

ip domain name

no ftp-server write-enable

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside

duplex auto

speed auto

interface GigabitEthernet0/1

ip address 10.1.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/1/0

ip address 102.105.101.102 255.255.255.240

ip nat outside

encapsulation ppp

ip classless

ip route 0.0.0.0 0.0.0.0 102.105.101.101

ip http server

ip http authentication local

ip nat pool NATOUT 102.105.101.102 102.105.101.102 netmask 255.255.255.240

ip nat inside source list 1 pool NATOUT overload

ip nat inside source static tcp 192.168.2.10 80 102.105.101.102 8080 extendable

access-list 1 permit 192.168.0.0 0.0.255.255

control-plane

banner login ^C

以上端口設(shè)置主要是完成OA服務(wù)器端口映射的功能，到此步就完成了整個(gè)網(wǎng)絡(luò)硬件布置。下面就改造后的網(wǎng)絡(luò)安全體系進(jìn)行圖解。

2.2 新規(guī)劃改造后的網(wǎng)絡(luò)安全體系拓?fù)?/p>

新規(guī)則的網(wǎng)絡(luò)拓?fù)鋱D如圖3所示。

3 結(jié)束語(yǔ)

綜上，網(wǎng)絡(luò)安全是必須關(guān)注的問(wèn)題，但如何在網(wǎng)絡(luò)建設(shè)中對(duì)投入設(shè)備的選購(gòu)是需要慎重考慮的。網(wǎng)絡(luò)擴(kuò)展包括設(shè)備交換容量的擴(kuò)展能力、端口密度的擴(kuò)展能力、主干帶寬的擴(kuò)展以及網(wǎng)絡(luò)規(guī)劃的擴(kuò)展能力，非專業(yè)防火墻是萬(wàn)萬(wàn)不能選購(gòu)，路由器和交換機(jī)也是要考慮其品牌和使用功能，作為一個(gè)規(guī)模經(jīng)營(yíng)醫(yī)療單位的信息管理員更是不能在選購(gòu)硬件上少花功夫，既要保證最大的安全性，也要讓網(wǎng)絡(luò)在有限的條件下實(shí)施，從而做到資源上不浪費(fèi)，技術(shù)上也不落后。

參考文獻(xiàn)：

[1] 劉旭旭.醫(yī)院計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)的設(shè)備部署[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版),2011,(Z1):106-108.

[2] 王穎,劉書(shū)恩.新醫(yī)改下醫(yī)院信息網(wǎng)絡(luò)的建設(shè)[J].醫(yī)學(xué)信息(中旬刊),2010(6):1581.

[3] 苗秋瑾.數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全隱患與防[J].數(shù)字技術(shù)與應(yīng)用,2009 (9):158-159.

[4] 朱彥斌.醫(yī)院信息化網(wǎng)絡(luò)建設(shè)與維護(hù)[J].醫(yī)療設(shè)備,2008(2):87-88.

[5] 沈永新.關(guān)于防火墻技術(shù)的研究與探討[J].福建電腦,2011,(1).

[6] 孫興文.個(gè)人防火墻系統(tǒng)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2009,(33).

第3篇

【關(guān)鍵詞】網(wǎng)絡(luò)信息安全；設(shè)計(jì)；管理策略

企業(yè)在發(fā)展的過(guò)程中，必然存在各種信息，有些信息可以對(duì)外公開(kāi)公布，社會(huì)公眾可以透過(guò)這些信息了解到企業(yè)的經(jīng)營(yíng)狀況；有些信息則屬于企業(yè)的機(jī)密，只有授權(quán)范圍之內(nèi)的少數(shù)人才能夠了解，因?yàn)樗P(guān)系著企業(yè)的生死存亡。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的飛速發(fā)展，使信息的處理與傳遞以前所未有的速度進(jìn)行。企業(yè)想要在利用計(jì)算機(jī)網(wǎng)絡(luò)化提高自身管理水平的同時(shí)，保證信息安全，就必須對(duì)企業(yè)的網(wǎng)絡(luò)信息安全系統(tǒng)進(jìn)行設(shè)計(jì)與規(guī)劃，科學(xué)構(gòu)建安全訪問(wèn)系統(tǒng)，以此來(lái)提高網(wǎng)絡(luò)信息安全。

一、威脅網(wǎng)絡(luò)信息安全的因素

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷提高，非法訪問(wèn)、密碼竊取以及惡意攻擊等安全威脅的手段也在不斷升級(jí)。這也在客觀上需要企業(yè)提高網(wǎng)絡(luò)信息安全設(shè)計(jì)水平，VPN、殺毒軟件、數(shù)據(jù)加密、身份認(rèn)證以及防火墻技術(shù)在企業(yè)中得到推廣使用，在網(wǎng)絡(luò)信息安全系統(tǒng)構(gòu)建上起到了一定的效果，但是這些產(chǎn)品的功能相對(duì)分散，相互的關(guān)聯(lián)性并不高，整體效益并不是十分理想。

（一）計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是指編程人員在計(jì)算程序中插入一些能夠破壞計(jì)算機(jī)功能的數(shù)據(jù)，它能夠使計(jì)算機(jī)無(wú)法進(jìn)行正常使用，并且能夠進(jìn)行自我復(fù)制的計(jì)算程序代碼或者計(jì)算機(jī)指令。計(jì)算機(jī)病毒不能夠獨(dú)立存在，它只能夠寄生于其他程序里面，具有傳染性、隱蔽性、破壞性的特點(diǎn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，病毒種類在不斷升級(jí)。當(dāng)今世界上的計(jì)算機(jī)活體病毒的各類，已經(jīng)達(dá)到了14萬(wàn)之多，傳播途徑主要有硬盤(pán)、電子郵件以及依附于各種下載軟件之中。攜帶病毒的計(jì)算機(jī)只要運(yùn)行時(shí)，滿足了病毒制造者預(yù)設(shè)的條件，那么計(jì)算病毒就會(huì)爆發(fā)，輕者文件丟失、運(yùn)行速度減慢，重者則導(dǎo)致系統(tǒng)癱瘓、硬件損壞。比如圖一，為CIH病毒發(fā)作時(shí)的情況。

（二）黑客攻擊

提起黑客，我們都不陌生，他們是一些熱衷于研究、編寫(xiě)程序的專才。其中有些人利用掌握的知識(shí)推動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，但是也有一些人則利用這些技術(shù)罪犯，獲取不正當(dāng)利益，比如進(jìn)入2002年，網(wǎng)絡(luò)犯罪分子開(kāi)始采用DDOS的手法對(duì)服務(wù)系統(tǒng)進(jìn)行攻擊，干擾在線商務(wù)。在寬帶網(wǎng)絡(luò)環(huán)境下，常見(jiàn)的攻擊方式主要有以下兩種：一是黑客發(fā)動(dòng)的，針對(duì)網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)服務(wù)的DDOS攻擊；二是利用蠕蟲(chóng)病毒進(jìn)行攻擊，從而造成網(wǎng)絡(luò)流量迅速增加，最終導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備徹底崩潰。DDOS的攻擊對(duì)象主要有域名服務(wù)器、網(wǎng)頁(yè)服務(wù)器以及郵件服務(wù)器，一旦受到DDOS的攻擊，服務(wù)器則會(huì)被來(lái)自四面八方的海量信息所淹沒(méi)。網(wǎng)絡(luò)黑客的目的就是用大量的垃圾信息來(lái)阻礙服務(wù)器的正常對(duì)信息的處理，然后借機(jī)切斷攻擊目標(biāo)的對(duì)外連線。黑客經(jīng)常把網(wǎng)絡(luò)與“僵尸電腦”相連，然后將大量的查詢要求傳送到開(kāi)放的DNS服務(wù)器中，這些查詢信息則會(huì)偽裝成被海量信息攻擊的目標(biāo)傳出，所以DNS服務(wù)器會(huì)把回應(yīng)信息傳到相應(yīng)的網(wǎng)址上去。傳統(tǒng)的身份認(rèn)證，外來(lái)攻擊者只是憑借獲取有關(guān)用戶身份憑證，就能夠以任何一臺(tái)設(shè)備而進(jìn)入網(wǎng)絡(luò)。就算是最嚴(yán)密的認(rèn)證系統(tǒng)也很難對(duì)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)。除此以外，企事業(yè)單位的員工能夠通過(guò)任意一臺(tái)沒(méi)有經(jīng)過(guò)確認(rèn)設(shè)備，以有效身份憑證進(jìn)入網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致木馬程序、間諜軟件等惡意程序入侵系統(tǒng)，對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)產(chǎn)生了嚴(yán)重威脅。

（三）協(xié)議設(shè)計(jì)上存在著缺陷

互聯(lián)網(wǎng)是建立在TCP/IP協(xié)議上的，這一協(xié)議在設(shè)計(jì)之初更偏重于效率，而忽略了安全因素，因此TCP/IP在設(shè)計(jì)之初，就存在一定的缺陷。

1.安全策略不嚴(yán)謹(jǐn)。很多站點(diǎn)在防火墻的配置上增加了訪問(wèn)的權(quán)限，沒(méi)有考慮到這些權(quán)限可能被人利用，比如內(nèi)部員工濫用權(quán)限，無(wú)意中為黑客留下了線索，一旦黑客入侵，網(wǎng)絡(luò)維護(hù)人員往往毫無(wú)察覺(jué)。

2.信息容易被人竊取。多數(shù)企業(yè)互聯(lián)網(wǎng)上的流量都是沒(méi)有經(jīng)過(guò)加密的，這就使文件在傳送的過(guò)程中很容易被人竊取。而且基于TCP/IP協(xié)議的很多應(yīng)用服務(wù)都不同程度的存在一些安全問(wèn)題，很容易被人利用。

3.配置過(guò)于復(fù)雜。訪問(wèn)控制的配置通常是十分復(fù)雜的，這就非常容易造成配置上的錯(cuò)誤，而形成了安全隱患。目前，銀行之間在數(shù)據(jù)傳輸?shù)倪^(guò)程中，所采用的協(xié)議均是保密的，這就提高了安全性，防止網(wǎng)絡(luò)黑客的入侵。當(dāng)然，現(xiàn)階段我們還不能將TCP/IP與其實(shí)現(xiàn)代碼進(jìn)行保密處理，因?yàn)檫@將不利于TCP/IP網(wǎng)絡(luò)的發(fā)展，但是銀行的這種處理方式可以為我們網(wǎng)絡(luò)信息安全系統(tǒng)的設(shè)計(jì)拓寬一些思路。

二、網(wǎng)絡(luò)信息安全設(shè)計(jì)及管理策略

（一）網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)

網(wǎng)絡(luò)與系統(tǒng)安全的設(shè)計(jì)可以采用NetScreen-208防火墻設(shè)備，這種設(shè)備是當(dāng)前國(guó)內(nèi)市場(chǎng)上功能較為齊全的防火墻產(chǎn)品，它包括了8個(gè)自適應(yīng)10/100M以太網(wǎng)端口，這些端口能夠把網(wǎng)絡(luò)劃分成為多個(gè)區(qū)域，從而把需要保護(hù)的區(qū)域與潛在的相分離，在與網(wǎng)絡(luò)設(shè)備進(jìn)行連接時(shí)，這個(gè)設(shè)備的端口1與內(nèi)部網(wǎng)的主交換機(jī)相連接，而端口2則與DMZ區(qū)相連接，端口3與因特網(wǎng)的路由器相連接。

殺毒軟件可以采用瑞星網(wǎng)絡(luò)版軟件，這一軟件具有網(wǎng)絡(luò)管理功能，它主要是通過(guò)一個(gè)控制中心在整個(gè)網(wǎng)絡(luò)的內(nèi)部實(shí)現(xiàn)遠(yuǎn)程報(bào)警、智能升級(jí)以及遠(yuǎn)程管理等功能，有效的監(jiān)管病毒入口如圖二。

（二）服務(wù)系統(tǒng)的設(shè)計(jì)

企業(yè)的內(nèi)部網(wǎng)站與數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)，依據(jù)信息的秘密等級(jí)，主要分成應(yīng)用與非應(yīng)用兩種，同樣它們所依賴的服務(wù)器也可發(fā)分成與非兩類。正如筆者描述的，服務(wù)器主要處理的是信息，而非服務(wù)器主要處理的是非信息。從安全等級(jí)考慮，服務(wù)系統(tǒng)應(yīng)該是企業(yè)的重點(diǎn)保護(hù)對(duì)象。因此，我們可以在服務(wù)器前配置相應(yīng)的安全網(wǎng)關(guān)，其設(shè)計(jì)如圖三。

用戶在訪問(wèn)頻密信息時(shí)，主要是基于HTTP協(xié)議，用戶在通過(guò)安全網(wǎng)關(guān)認(rèn)證之后，依據(jù)使用權(quán)限的不同，訪問(wèn)的內(nèi)容也有所區(qū)別。用戶在訪問(wèn)非信息時(shí)，同樣是基于HTTP協(xié)議，但是能夠直接進(jìn)入非服務(wù)器而獲取信息。

安全網(wǎng)關(guān)是服務(wù)器的關(guān)口，同時(shí)也是用戶網(wǎng)絡(luò)身份認(rèn)證的中心，用戶和服務(wù)器之間并沒(méi)有直接的相連，這就有效避免了黑客對(duì)服務(wù)器的進(jìn)攻，保證了信息的安全。

（三）訪問(wèn)權(quán)限管理

在網(wǎng)絡(luò)信息安全系統(tǒng)中設(shè)置用戶角色、用戶等級(jí)、用戶權(quán)限等字段，加強(qiáng)訪問(wèn)權(quán)限的管理與控制，并將數(shù)據(jù)信息根據(jù)企業(yè)的實(shí)際需要，劃分為不同的等級(jí)階段；根據(jù)實(shí)際用戶的崗位設(shè)置劃分為不同的角色，網(wǎng)絡(luò)信息管理人員授予不同操作權(quán)限，劃分到不同的虛擬局域網(wǎng)之內(nèi)，形成不同的安全區(qū)域。

用戶則通過(guò)網(wǎng)絡(luò)查詢系統(tǒng)的有關(guān)信息，使用HTTP協(xié)議與安全網(wǎng)關(guān)相連接，經(jīng)過(guò)身份認(rèn)證之后，再與服務(wù)器相連接，最后進(jìn)行應(yīng)用系統(tǒng)。用戶在獲取信息時(shí)，由應(yīng)用系統(tǒng)依據(jù)用戶的角色、權(quán)限進(jìn)行相應(yīng)的限制。

（四）對(duì)傳遞的數(shù)據(jù)進(jìn)行加密

企業(yè)使用安全網(wǎng)關(guān)以后，與SSL建立通道，在這一安全通道上對(duì)用戶與服務(wù)器之間傳輸?shù)臄?shù)據(jù)信息進(jìn)行加密，保證機(jī)密信息不會(huì)被泄露。加密的算法可以由用戶自己進(jìn)行選擇，這就增加了系統(tǒng)的靈活性，可以滿足不同權(quán)限等級(jí)用戶的需要。

三、總結(jié)

綜上所述，隨著我國(guó)市場(chǎng)經(jīng)濟(jì)的快速發(fā)展以及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及，信息充斥著社會(huì)的每一個(gè)角落，不但真假難辨，其中還隱藏著某種威脅?，F(xiàn)階段，影響我國(guó)網(wǎng)絡(luò)信息安全的因素有很多，比如計(jì)算機(jī)病毒；黑客攻擊；協(xié)議設(shè)計(jì)上存在著缺陷等等，而實(shí)現(xiàn)信息安全的設(shè)計(jì)也有很多，企業(yè)需要根據(jù)自身的發(fā)展的現(xiàn)狀，選擇相應(yīng)的信息安全設(shè)計(jì)方案，相信通過(guò)我們的共同努力，網(wǎng)絡(luò)信息安全的管理與設(shè)計(jì)必將會(huì)翻開(kāi)嶄新的一頁(yè)。

參考文獻(xiàn)

[1]蘇玉召,趙妍.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J].計(jì)算機(jī)與信息技術(shù),2006(05).

[2]戴啟艷.影響信息系統(tǒng)安全的主要因素及主要防范技術(shù)[J].中國(guó)科技信息,2010(06).

[3]林柏鋼.網(wǎng)絡(luò)與信息安全現(xiàn)狀分析與策略控制[J].信息安全與通信保密,2005(07).

[4]南溯.淺議計(jì)算機(jī)網(wǎng)絡(luò)維修和管理[J].電腦編程技巧與維護(hù),2010(04).

[5]張東生.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范策略探析[J].電腦編程技巧與維護(hù),2011(02).

[6]朱燕.虛擬機(jī)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流),