交通部网络安全十篇

时间:2023-05-31 15:21:23

交通部网络安全

交通部网络安全篇1

关键词:软交换;网络安全;安全域

引言

目前,IP网络已经普遍被认为是下一代网络的核心,是下一代网络的主要承载技术。但是,这种承载着多种业务的IP网络,有别于传统的Internet或企业局域网路,由于IP技术与生俱来的自由基因与电信产业的严谨作风存在着深刻的矛盾,如何解决安全和QoS是两个最根本的问题,提供不低于传统电话网络的安全等级,才能确立IP技术在承载网的主导地位。

1.网络安全问题解决策略

对IP网络安全问题的讨论是以传统电信网络为参照的,对于能够提供不低于或者接近传统电信网络的安全等级,即认为是安全的。

解决软交换系统安全问题一方面加强软交换系统核心设备软/硬件的安全性设计,采用备份冗余机制,另一方面采用隔离的方式,将软交换系统核心网络与外部隔离开来,提高核心设备防御外部攻击的能力。这其中隔离是软交换系统部署中解决系统安全性的重要手段。

2.网络安全域划分

软交换网络由大量网络设备、软交换终端以及运维、网管设备等组成,网络侧及运营、网管设备一般由专人管理和控制,安全性有一定的保障,而终端设备则位于用户侧,安全性毫无保障,软交换网络的安全需要将网络划分为不同的安全域,针对不同的安全域给出合适的安全方案。可以分为如下3种:

(1)安全级:该网络区域是安全的,该区域被攻击的可能性很小;

(2)信任级:该网络区域是不安全的,但可通过组网方式构建一个相对安全地信任区域;

(3)非安全级:该网络区域是不安全的,需要通过软交换网络特定的安全措施来保证安全性。

按照软交换网络设备和用户终端在软交换网络中所处的位置以及所具有的不同安全等级将软交换网络分解成多个安全域,通过将软交换网络划分为不同的安全域,以及明确不同的安全域的特点和要求,提供有针对性的安全解决方案。专网软交换安全域划分如图1所示。

如图1所示,专网软交换系统可划分为下列5个网络域:

(1)核心网络域:网络域包括软交换网络的核心部件设备及网管等运维设备,是软交换网络安全保护的重点,安全性取决于实际网络中的组网情况,对应的安全级别为信任级;

(2)窄带PSTN网络域:窄带PSTN 网络域即现有的SCN/IN/STP网络,安全性是最高的,对应的安全级别为安全级;

(3)PSTN用户接入域:由于接入方式为窄带接入,所以,该域和窄带PSTN网络域相同为安全级;

(4)局域网IP用户接入域:该区域的安全性通常无法得到保证,安全级别为非安全级;

(5)广域网IP用户接入域:该域显而易见的是无安全保证的区域,该区域对应的安全级别为非安全级。

3.各网络域安全策略

3.1核心网络域

网络域的安全需要网络安全技术作为基础,并以设备的安全和可靠性为补充,共同来保证。

核心网络域处于信任级,该域要求避免受到来自网络层和应用层报文的攻击,需要在网络域和其相邻域之间部署防火墙设备。

   由于核心网络域的设备为系统提供了核心的业务,为了避免某个设备的故障影响整个网络的正常运作,该域的设备需要从设备组网和设备本身2个方面考虑业务的安全性。

3.1.1  核心网络域承载网安全策略

(1)承载网的安全核心-----隔离

在技术能力不足以满足要求的情况下,采用物理专网模式或逻辑专网模式组网隔离往往是最有效的策略。物理隔离,指的是新建专网的核心网承载软交换业务;逻辑隔离是指采用VLAN、VPN等技术,从逻辑上将软交换业务同其他业务隔离。在应用中,根据业务要求,选择合适的组合组网模式。核心网络域物理和逻辑隔离方法如图2所示。

(2)承载网安全的保证-----冗余

   核心的IP网建设建议采用全网状、半网状的互联组网,要求路由具有备份功能,边缘路由器和网关设备通过双归属的方式跟核心骨干网互联。

   核心层双平面组网,平面内采用全网状连接,A、B平面间设置高速通道,A、B平面的设备及链路采用全对称设计,单一平面按照承载全业务量设计。

骨干层全网、半网、环网组网,任何两个路由器之间都有冗余的若干条通道,防止某一个路由器或者链路故障对网络业务造成影响。

为了保证网络的安全和可靠性,可以考虑如下4个方面技术实现:

(1)通过网络设计,采用节点设备间对称连接、备份路径预先设定,为快速切换提供网络拓扑基础;

(2)采用节点间部署快速检测机制APDP/BFD,迅速检测链路和节点故障;

(3)通过IP/LDP/TE FRR技术切换到预先设定的备用链路,无需路由协议收敛重新选路;

(4)切换结束后,通过IGP快速路由收敛到已经切换的链路。

3.1.2 核心网络域设备级安全策略

软交换采用双归属组网,该方案能实现倒换不断话,话单不丢失。

电信级硬件平台、双电源供电,双组风扇散热、双机箱管理,所有单板负荷分担或主备用,所有单板热插拔、设备支持双网口主备用。

完善的机箱管理功能,保证整个机箱正常工作,及时发现机箱故障,完备的机箱告警内容及快速的故障恢复机制。

主备用数据库,主用库在配置过程中出现错误的情况下快速切换到备用数据库,对备用数据库的修改不会影响到正在使用的主用数据库。

   多级别负载控制,在业务承载能力达到极限时保证重要业务的安全提供。

完备的协议安全机制:SCTP协议保护机制保证SCTP偶连的安全性,H248、MGCP IPSEC加密、SIPDIGEST鉴权及信令加密、完整的H.235鉴权加密,媒体流SRTP加密传输。

一对信令网关(Signaling Gateway,SG)实现负荷分担、链路互动,保证可靠的信令转接;将每个信令网关分别配置在软交换机的两个中继组中,采用信令组的冗余机制合理使用2个信令网关。

为了防止用户终端设备直接访问核心设备,需要增加SBC对语音业务做,同时SBC设备冗余部署、采用防火墙对SBC加以保护。

3.2 IP用户接入域

用户接入域位于安全级别最低业的用户终端网。由于需要为用户提供接入功能,所有的用户都可以访问到该域的网络,该域的网络处于安全程度最低的非安全级。

   SBC接入用户,通过SBC将众多的电话用户和软交换机隔离开,并实现多 种功能,包括私网话音用户接入、提高业务QOS等等。SBC设备可冗余部署。

IPSEC VPN接入,对通过Internet接入的单位或者个人,可以采用VPN的方式接入总部的VPN服务器,建立于总部之间的VPN加密隧道来保证信令和媒体的安全。

3.3 窄带PSTN网络域

窄带网络域在软交换网络安全域模型中属于安全区域,不存在突出的安全性问题。

4.结束语

目前,软交换技术日臻成熟,专网软交换逐步推广,因此,研究和解决其安全问题将有助于其在特殊领域的推广和应用。

参考文献:

交通部网络安全篇2

关键词:医院;信息化;网络;安全

中图分类号:TP309.2

随着医改的不断深入,借助信息化提高医院的管理水平和服务质量已成为大势所趋,伴着网络技术的迅猛发展,Web化应用呈现出爆发式增长趋势,一方面,增强了各行业及部门间的协作能力,提高了生产效率,另一方面也不可避免的带来了新的安全威胁。从国家到地方,卫生行政主管部门非常重视医院信息安全,与公安部门联合发文,要求医院完成等级保护工作。

1 我院网络安全建设现状

1.1 医院信息系统现状

我院的信息信息系统主要有:医院信息管理系统(HIS)、医学影像信息系统(PACS)、临床实验室检验信息系统(LIS)、电子病历系统(EMR)、手术麻醉信息系统(AIMS)、医院办公自动化系统(HOA)等。随着各系统应用的不断深入,以及这些系统与医保、合疗、健康档案、财务、银行一卡通等系统的直连,安全问题已越来越突显,网络安全作为信息安全的基础,变得尤为重要。

1.2 网络安全现状与不足

1.2.1 网络安全现状

(1)我们采用内外网物理隔离,内网所有U口禁用。对开放的U口通过北信源的桌面管理软件进行管理;(2)内外网都使用了赛门铁克的网络杀毒软件,对网络病毒进行了防范;(3)与外部连接。

内网与省医保是通过思科防火墙、路由器和医保专线连接进行通信;与市医保是通过联想网御的网闸、医保路由器与医保专线连接进行通信;与合疗及虚拟桌面是通过绿盟的下一代防火墙与互联网进行通信;与健康档案是通过天融信的VPN与互联网进行通信的。另外,内网与财务专用软件、一卡通也是通过网闸及防火墙进行通信的。

另外,我们有较完善的网络安全管理制度体系,这里不再赘述。

1.2.2 网络安全存在的问题

(1)由于医院信息系统与外部业务连接不断增长,专线与安全设备比较繁杂,运维复杂度较高;(2)通过部署网络杀毒软件及安全设备,虽然提升了网络的安全性,但却带来了系统性能下降的问题,如何在不过多影响整体网络性能的前提下,又可以完善整网的安全策略的部署,是后续网络优化所需要重点关注的;(3)终端用户接入网络后所进行的网络访问行为无法进行审计和追溯。

2 医院网络层安全策略部署规划

在等级保护安全策略指导下,我们将整个医院的安全保障体系设计分为安全管理体系建设和安全技术体系建设两个方面,其中安全技术体系建设的内容包括安全基础设施(主要包括安全网关、入侵防护系统、安全审计系统等),安全管理体系建设的内容包括组织、制度、管理手段等。通过建立医院安全技术体系、安全服务体系和安全管理体系,提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务,形成集防护、检测、响应于一体的安全防护体系,实现实体安全、应用安全、系统安全、网络安全、管理安全,以满足医院安全的需求[1]。

在这里,我主要从安全技术体系建设方面阐述医院网络层安全策略。

网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。

2.1 安全域划分[2]

2.1.1 安全域划分原则

(1)业务保障原则。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率;(2)适度安全原则。在安全域划分时会面临有些业务紧密相连,但是根据安全要求(信息密级要求,访问应用要求等)又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分,还是合并安全域以满足业务要求?必须综合考虑业务隔离的难度和合并安全域的风险(会出现有些资产保护级别不够),从而给出合适的安全域划分;(3)结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。比如,安全域划分并不是粒度越细越好,安全域数量过多过杂可能导致安全域的管理过于复杂和困难;(4)等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级安全环境安全策略等;(5)立体协防原则。安全域的主要对象是网络,但是围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路网络主机系统应用等层次;同时,在部署安全域防护体系的时候,要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防;(6)生命周期原则。对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;另外,在安全域的建设和调整过程中要考虑工程化的管理。

2.2.2 区域划分

业务网内部根据业务类型及安全需求划分为如图1所示的几个个安全区域,也可以根据医院自己的业务实际情况,添加删减相关的安全域,网络规划拓扑图[3]如下:

图1

(1)外联区:主要与医保网、外联单位进行互联,此区域与数据中心核心交换机互联;在外联区接入处部署防火墙、IPS、硬件杀毒墙,也可以部署下一代防火墙产品,添加IPS功能模块、杀毒功能模块,通过防火墙、IPS、杀毒进行访问控制,实现安全隔离;与数据中心核心交换机处部署网闸设备,实现物理隔离;(2)运维管理区:主要负责运维管理医院信息化系统,此区域与数据中心核心交换机互联;在运维管理区与核心交换机之间部署堡垒机(SAS-H),对运维操作进行身份识别与行为管控;部署远程安全评估系统(RSAS),对系统的漏洞进行安全评估;部署安全配置核查系统,对系统的安全配置做定期检查;部署日志管理软件,对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现;部署网络版杀毒系统,与硬件杀毒墙非同一品牌;部署网络审计系统,对全网所有用户行为进行网络审计;部署主机加固系统,对重要服务器定期进行安全加固,以符合等保的安全配置要求;(3)办公接入区:主要负责在住院部大楼、门急诊楼、公寓后勤楼等办公用户的网络接入;接入汇聚交换机旁路部署IDS;与核心交换机接入采用防火墙进行访问控制;重要办公用户安装桌面终端系统控制非法接入问题;(4)核心交换区:主要负责各个安全域的接入与VLAN之间的访问控制;在两台核心交换机上采用防火墙板卡,来实现各个区域的访问控制。在核心交换机旁路部署安全审计系统,对全网数据进行内容审计,可以与运维管理区的网络审计使用同一台;(5)互联网接入区:主要负责为办公区用户访问互联网提供服务,以及互联网用户访问门户网站及网上预约等业务提供服务;在互联网出口处,部署负载均衡设备对链路做负载处理;部署下一代防火墙设备(IPS+AV+行为管理),对进出互联网的数据进行安全审计和管控;在门户服务器与汇聚交换机之间部署硬件WEB应用防火墙,对WEB服务器进行安全防护;在门户服务器上安装防篡改软件,来实现对服务器的防篡改的要求;部署网闸系统,实现互联网与业务内网的物理隔离要求;(6)数据中心区:此区域主要为医院信息系统防护的核心,可分为关键业务服务器群和非关键业务服务器群,为整个医院内网业务提供运算平台;在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统,对服务器做基础的安全防护;在关键业务服务器群与核心交换机之间部署防火墙、入侵保护系统、WEB应用防护系统,对服务器做安全防护;(7)开发测试区:为软件开发机第三方运维人员提供接入医院内网服务,与核心交换机互联;部署防火墙进行访问控制,所有的开发测试区的用户必须通过堡垒机访问医院内网;(8)存储备份区:此区域主要为医院信息化系统数据做存储备份,与核心交换机互联。

2.2 边界访问控制[1]

在网络结构中,需要对各区域的边界进行访问控制,对于医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界,需采取部署防火墙的方式实现高级别的访问控制,各区域访问控制方式说明如下:

(1)外联区:通过部署高性能防火墙,实现数据中心网络与医院外网之间的访问控制;(2)核心交换区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制;(3)数据中心区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(4)运维区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制;(5)互联网区:与内网核心交换区采用网闸系统进行物理隔离;与互联网出口采用防火墙实现访问控制;(6)开发测试区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(7)办公网接入区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制;(8)备份存储区:通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。

2.3 网络审计[1]

网络安全审计系统主要用于监视并记录网络中的各类操作,侦查系统中存在的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统,形成对全网网络数据的流量检测并进行相应安全审计,同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术,不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。

2.4 网络入侵防范[1]

根据数据中心的业务安全需求和等级保护三级对入侵防范的要求,需要在网络中部署入侵防护产品。

入侵防护和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库,可检测网络攻击行为,包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

入侵防护产品部署在数据中心与核心交换机之间,继防火墙边界访问控制后的第二道防线。

2.5 边界恶意代码防范[1]

根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求,需要在互联网边界部署防病毒产品,也可以在下一代防火墙添加防病毒模块来实现此功能;防病毒产品应具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码,并定期提供对病毒库版本的升级。

2.6 网络设备保护[1]

对于网络中关键的交换机、路由器设备,也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制,包括:登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。

由于不同网络设备安全配置的不同、配置维护工作繁杂,且信息安全是动态变化的,因此这里推荐通过自动化的配置核查设备,对网络层面和主机层的安全配置进行定期扫描核查,及时发现不满足基线要求的相关配置,并根据等级保护的安全配置要求提供相对应的安全配置加固指导。

3 结束语

通过以上六个方面的安全加固,重点解决了医院当前网络安全环境中面临的主要问题。随着医院数字化进程的不断深入,我们还将重点跟踪网络安全方面出现的新问题、新的技术思路和新的技术解决方案,做好医院的网络安全工作,为医院信息化建设保驾护航。

目前,网络已经深刻影响与改变现有的医疗模式[4],网络安全已成为医院信息化建设中的重中之重,它是一项复杂而艰巨的系统工程,需全方位入手,切实保障医院各信息系统安全稳定的运行、医院各项工作顺利的开展,真正为广大患者提供优质便捷的服务。

参考文献:

[1]GB/T 22239-2008,信息系统安全等级保护基本要求[S].

[2]GB/T 9387.2-1995,开放系统互连基本参考模型第2部分:安全体系结构《医疗机构》,P14-P18:安全服务与安全机制的配置[S].

[3]ISO 10181:1996 信息技术开放系统互连开放系统安全框架[S].

[4]陈理兵,陈起燕.论医院网络应用系统的安全设计[J].福建电脑,2013(11).

交通部网络安全篇3

【关键词】社交网络;安全问题;解决对策

社交网络是人类交流中不可或缺的重要工具,人们通过网络与亲朋好友保持联系,并且社交网站也提供和陌生人游戏和娱乐的平台,是拓展人脉,与朋友交流的重要途径。

1社交网络的定义

社交网络早期是网络社交,构建的基础为E-mail,由于电子邮件的传输解决远方人们的通讯问题,可以通过即时通讯进行文字交流,因而应用较为广泛。之后BBS的出现,让网络社交更上一层楼,可以高度的整合信息的群发和转发,让更多的参与者共同的讨论某一个话题,网络社交此时从点对点,走向点对面。通过网络社交的发展,形成完整的社交网络体系。其实交友只能是社交的开端,当Facebook、微博等新兴的即时通讯进入网络平台后,虚拟社交和现实世界叠加的部分越来越多,社交网络与社交变革相一致。现在社交网络已经进入成熟发展阶段。主要表现为以下几方面特点:(1)让用户信息在一定范围内公开或者半公开,提供资源共享平台;(2)交往平台的构建主要基础是用户列表;(3)构建过程中需要较好的拓展性以及开放性,为用户提供针对性较强的插件,所以社交平台在这里的作用除了能够承载正常的网络聊天、交友的功能,另外还能分享视频或者音乐,进行评论。正是这些特征,逐步吸引用户,相反这类自由化平台,让用户的各类信息分享无限制,信息量的巨大,让整个后台管理更为困难,所以容易引发网络安全问题,如果不能进行及时或者妥善的处理,信息的泄露和假冒问题将会威胁用户安全。

2分析网络安全问题

2.1社交网站产生的安全威胁

社交网络中的重要组成部分就是社交网站,但是当前很多社交网站都存在安全隐患,其中比较常见的安全风险为CSRF攻击也就是蠕虫攻击。这些攻击能够破坏社交网站的根本原因是由于完整建设中都运用Ajax技术,该技术能够快速的创建网页,在后台进行数据交流,作用是让网页异步更新,就是在不加载整个网页的过程中,部分更新网页,所以让整个网页更新更便捷。但是和后台的部分数据交换,可以给网络蠕虫机会攻击某个用户,并且通过该用户发送一些木马或者病毒,盗用信息。蠕虫攻击主要是截取用户的cookie,然后利用用户的cookie登入,进行非法操作。上述的漏洞,影响社交网络的安全性能,这也说明网络安全及时还有可上升空间。

2.2无线通信安全威胁

当前智能手机和通信技术的发展,很多人都通过手机或者无限设备上网,尤其是青年人,并且手机也成为他们日常生活中不可或缺的组成部分。但是由于手机中覆盖面加大,部分手机的无限网络安全不能得到满足,甚至也不能适应行业发展要求。因而就会引发用户信息不安全的现状,不能妥善的保管用户信息。根据调查了解,很多用户的通讯被监听,由于中病毒所以通讯录被拦截,并且现在手机的过功能应用,很多便捷的软件也应用在手机上面,因而手机的下载量也在大幅度提升,这让手机成为仅次于电脑的病毒传播媒介,不法分子抓住这一漏洞,通过手机信息,盗用用户的姓名和头像,从事诈骗活动。

3社交网络隐患以及风险防护措施

3.1自身安全性建设

社交网站或者社交平台与很多网站比较相似,Ajsx技术的广泛应用,让该网站成为被攻击的焦点,所以在检测的时候需要关注有关跨站的脚本攻击(CRossSiteScriping,XSS),那么网站需要运用一下的方法解决漏洞问题。(1)检测用户输入内容的可靠性,详细的测试页面输入代码,检查漏洞是否存在;(2)运用漏洞检测工具全面的检测网站,尽量让所有的网站问题都暴漏出来;(3)进行参数替换测试;(4)网站不同的开发阶段,引入黑盒和百盒测试,运用自动化测试工具,进行自动化测试,并在过滤文本的过程中,确保网站没有大的漏洞出现。(5)监测不良信息以技术手段为切入点保障用户自由讨论的同时,要确保国家的信息安全。

3.2提高用户自身的隐私信息意识

很多社交网站存在风险和隐患其根本原因在于用户没有保护自己隐私的意识,只有当用户了解隐私保护的重要性才能真正的降低信息泄露比率,降低安全风险,保护社交网站的措施需要从以下几方面入手:(1)用户需要安装杀毒软件以及相关的安全卫士拦截产生的各类病毒和蠕虫,这样可以有效的弥补系统中的各类漏洞,确保社交网站不被蠕虫攻击;(2)很多调查或者注册账号上不要填写过于详细的个人资料和个人介绍,另外没有特别要求,尽量不要用本人真实姓名;(3)添加好友要慎重,另外对于异常的好友要提高警惕,比如经常不联系的好友借钱,要求你帮忙交电话费、支付账单等,需要提高警惕,最好和好友电话确认,不要给任何不法分子可乘之机。(4)社交网站的使用过程中,要运用其内部的保护和信息安全应用,比如设置的密码要不要过于简单,不要纯数字,根据要求设置密码保护,这样能够规避部分风险。

3.3管理部门提高监管

高速信息网络的飞速发展,信息传播速度也逐步加快,传播形式也更具多样化,如果不能高效的监管网络,就会在网络中形成不良影响,由于网络的安全与个人、企业和国家之间联系密切。所以社交网络的强化十分必要。国家与之相关部门要根据情况,提出相应的法律和法规,运用法律的手段保护个人信息安全,保护企业的内部信息,要严惩盗用个人信息谋求暴利的违法情况。另外网站自身也要有一定的规范,并且严格要求网站的各项规章制度,需要建立一些保护用户隐私的相关设置,开发新技术保障用户隐私安全,可以在此基础上借鉴有关BBS的经验,尤其在信息安全以及市场引入等方面。

4结语

社交网络安全问题已经阻碍社交网络的进一步发展,另外这些安全问题威胁用户的安全隐患,所以采用针对性的方法完善社交网站的建设,为广大用户提供一个放心的使用环境意义重大。

参考文献

[1]吴振强.社交网络安全问题及其对策[J].网络安全技术与应用,2014(09):3-5.

交通部网络安全篇4

城市轨道交通设备系统众多,覆盖面广,构成系统复杂,轨道交通屏蔽门系统作为轨道交通设备系统的重要组成部分,对于保障列车和乘客的安全至关重要。如何在轨道交通屏蔽门系统安全中应用贝叶斯网络是当前轨道交通屏蔽门系统设计关注的焦点问题。因此,探索轨道交通屏蔽门系统安全分析中的贝叶斯网络应用具有十分重要的现实意义。鉴于此,笔者对轨道交通屏蔽门系统安全分析中的贝叶斯网络应用进行了初步探讨。

1 概述贝叶斯网络的优越性

贝叶斯网络的建造是一个复杂的任务,但由于贝叶斯网络的优点较多,主要表现在五个方面,一是有效分析事故原因和后果;二是避免共模故障问题;三是减少更新时的工作量;四是系统更新仅需局部修改;五是快速进行故障诊断。具体说来,在有效分析事故原因和后果方面,贝叶斯网络可以用于不确定性的分析,有效地将事故的原因和后果分析相结合,帮助获得不确定系统的贝叶斯网络结构和数据关系。在避免共模故障问题方面,贝叶斯网络可以通过插入证据的方式,解决事件或者部件之间的共模故障问题。在减少更新时的工作量方面,贝叶斯网络可以有效地减少变量,其双向推理可以获得故障预测和诊断所需数据分析,从而在一定程度上减轻了状态空间爆炸的可能性。在系统更新仅需局部修改方面,贝叶斯网络拥有许多的近似推理定理,当系统出现更新时,通过近似解析获得相应较为客观的网络节点概率近似解,只需要根据更新进行相应的局部修改即可。此外,在快速进行故障诊断方面,贝叶斯网络的优越性不容忽视,它可以快速指出故障的最大可能位置及其对于后果的贡献概率。因此,探索轨道交通屏蔽门系统安全分析中的贝叶斯网络应用势在必行。

2 轨道交通屏蔽门系统安全分析中的贝叶斯网络应用

为进一步发挥贝叶斯网络的优越性,在了解贝叶斯网络的优越性涵的基础上,轨道交通屏蔽门系统安全分析中贝叶斯网络的应用,可以从以下几个方面入手,下文将逐一进行分析:

2.1 轨道交通屏蔽门系统安全分析

安全是城市轨道交通的重要因素。随着城市轨道交通日益快速发展,对轨道交通屏蔽门系统安全的要求越来越高,轨道交通屏蔽门系统安全分析是保障轨道交通运行安全的前提,可用于识别系统中的危险源是否在可容忍范围内。就目前而言,伴随着社会经济的不断发展壮大,传统的轨道交通屏蔽门系统安全评价方法已不适宜形势发展的要求,基于贝叶斯网络的优越性分析,在城市轨道交通的安全分析中引入贝叶斯网络的重要性日益凸显。

2.2 贝叶斯网络在轨道交通屏蔽门系统中的应用

为杜绝安全事故的发生,并达到环保节能的要求。从贝叶斯网络的定义上看,贝叶斯网络是一种概率网络,它是基于概率推理的图形化网络,而贝叶斯公式则是这个概率网络的基础。贝叶斯网络在轨道交通屏蔽门中的应用,基于概率推理的贝叶斯网络可采取以下措施,日常报警较多的设备故障在子系统环境下仍然表现出危险度较高的预警,这一分布状况与报警系统的性质及重要度相符合,表明它们受其他设备故障干扰的影响较小,维护人员在排查隐患时以故障率较高的单体设备或子系统为主。相对地,关联子系统的预警复合值的表现截然相反,不同监控类型的高频故障设备共同作用时,若关联度不强或未对关联系统及其重要设备产生干扰时,关联系统表现为低预警信号;但构成影响时,预警信号表现为更强、危险性更大。因此,通过复合预警关系,可查找关联度较强的对象,作为主要危险源监测并定期维护,有利于降低风险隐患,对运营管理人员保障安全提供决策支持。

3 结语

总之,贝叶斯网络在轨道交通屏蔽门系统安全分析中的应用是一项综合的系统工程,具有长期性和复杂性,对轨道交通屏蔽门系统安全分析而言,为了更好地应用贝叶斯网络在轨道交通屏蔽门系统安全中的作用,应深入了解贝叶斯网络的基本内涵,尤其是贝叶斯网络的优越性,以便最大限度地发挥贝叶斯网络的优越性,在轨道交通建设的初期得到较为客观的分析结果,并进一步利用贝叶斯网络能够表达潜在关联关系的特性,进而尽早发现风险隐患,降低运营风险,确保轨道交通屏蔽门的安全运行。

参考文献

[1]周丹.轨道交通车站能耗采集及节能控制系统设计[J].电子世界,2015(13).

[2]赵丽敏,杨大成.屏蔽门(安全门)接地监测技术研究[J].城市轨道交通研究,2013(08).

交通部网络安全篇5

    【关键词】软交换 网络安全 网络通讯

    1 软交换的网络结构

    软交换网络的主要思想是业务与控制、传输与接入相分离,各实体间通过标准的协议进行连接和通信。软交换位于网络的控制层,提供各种业务的呼叫控制、连接以及部分应用业务。整个网络分为四个层面:业务应用层、控制层、传输层和媒体接入层。

    1.1媒体接入层

    媒体接入层负责将各种不同的网络及终端设备接入,主要是把现有网络相关的各种网关或终端设备接入软交换控制的网中。它能够将用户连接到网络,并把业务量集中后利用公共的传输平台传输到目的地。接入层的设备包括各种不同的网络、终端设备以及各种网关设备。

    1.2传输层

    传输层主要是为业务媒体流和控制信息流提供统一的、保证QoS的高速分组传输平台.其任务主要是将软交换网各网元,如接入层的各种媒体网关、控制层的软交换机、业务应用层的各种服务器平台等连接起来。软交换网的各网元间,采用IP数据包传输各种控制信息和业务数据信息,因而传输层实际上就是一个承载网络。

    1.3控制层

    控制层完成各种呼叫控制功能,并负责相应的业务处理信息的传输。该层最主要的设备就是软交换系统,其地位相当干传统通信网中的交换机,是网络的核心设备。软交换系统的主要功能是完成对媒体接入层中所有媒体网关的业务控制及媒体网关之间通信的控制。

    1.4业务应用层

    业务应用层主要指面向用户提供各种应用和服务的设备。它采用开放、综合的业务接入平台。为下一代网络提供各种增值业务、多媒体业务和第三方业务,同时还具有相应的业务生成和维护环境。

    软交换是下一代网络的核心设备之一,各运营商在组建基于软交换技术的网络结构时,必须考虑到与其它各种网络的互通。

    2 软交换网络中存在的安全问题

    软交换网络中接入节点比较多,用户的接入方式和接入地点都非常灵活,相对传统网络来说,软交换的网络环境更为复杂,所以软交换网络也就势必将面临着更加突出的安全问题。

    2.1终端设备安全威胁

    软交换网络中存在大量的终端设备。包括IAD设备、SIP/H.323终端和PC软终端等。软交换网络接入灵活,任何可以接入IP网络的地点均可以接入终端,但是这种特性在为用户带来方便的同时,也导致可能存在用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务;同时,某些用户可能使用非法终端或设备向网络发起攻击,对网络的安全造成威胁。另外,由于接入与地点的无关性,使得安全威胁发生后,很难定位发起安全攻击的确切地点,无法追查责任人。

    2.2网络安全威胁

    由于缺乏合理有效的安全措施,以IP为基础的因特网网络安全事件十分频繁,主要包括蠕虫病毒的泛滥和黑客的攻击。当前互联网病毒十分猖撅,每天都有新病毒出现,这些病毒轻则大量占用网络资源和网络带宽,导致正常业务访问缓慢,甚至无法访问网络资源,重则导致整个网络瘫痪。造成无法弥补的损失。

    软交换网络采用IP分组网作为传输承载,而且软交换网络提供的业务大部分属于实时业务,对网络的安全可靠性要求更高,当网络由于病毒导致带宽大量占用、访问速度很慢甚至无法访问时,软交换网络就无法为用户提供任何服务。

    2.3关键设备安全威胁

    软交换网络中的关键设备包括:软交换设备、媒体网关、信令网关、应用服务器、媒体服务器等,由于下一代网络选择分组网络作为承载网路,并且各种信息主要采用IP分组的方式进行传输。IP协议的简单性和通用性为网络上对关键设备的各种攻击提供了便利的条件。

    2.4信息安全威胁

    信息安全主要包括软交换与终端之间信令消息的安全、用户之间媒体信息的安全以及用户私有信息(包括用户名、密码等)的安全。由于软交换网络采用开放的IP网络传输信息,在网络上传输的数据就很容易被监听,如果软交换与终端之间的信令消息被监听,有可能导致终端用户私有信息的泄漏,导致监听者可以利用监听到的信息伪造成合法用户接入网络;如果用户之间媒体信息被恶意监听,将导致用户私密信息的泄漏。

    3 软交换中网络安全问题的解决方案

    网络中缺乏认证系统或者认证并不可靠;网络的管理策略存在缺陷,网络中部分协议的漏洞以及来自网络内部与外部的恶意攻击。下面将针对以上这些因素,逐一提出在软交换网络中应该采取何种解决方式来保证网络的安全。

    3.1认证服务器和策略服务器的接入

    在软交换的应用层添加认证服务器和策略服务器,一方面可以保证认证的有效性和可靠性,另一方面可以对整个网络实行策略性的管理,从而降低软交换中的不安全因素对其的影响。对于软交换中的网络安全来说,网络管理起到了很重要的作用。一般来说一个合格的网络管理系统至少应该具备故障管理、配置管理、性能管理、计费管理和安全管理等功能。而计费和安全又是网络管理和安全的重中之重。

    通过接入认证计费服务器,实现认证功能和计费功能。对于认证来说要能够实现:接受用户接入认证请求,对用户使用系统的权限进行认证,支持卡号用户的漫游认证。对于计费功能来说,要实现接收来自数据采集点的用户计费信息,根据费率及其相应的计费规则生成计费账单。通过接入策略服务器,可以更好的对整个网络实行管理。可以针对不能级别的用户,提供相应的数据库管理和服务。

    3.2IPSec的休系结构

    IPSec是一个开放式的网络安全标准,它在TCP/IP协议栈的IP层实现,可为上层协议无缝地提供安全保障,各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计自己的安全机制。

    IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。

    3.3软交换中实现防火墙技术方案

    防火墙是一类防范措施的总称,它隔离了内部网络和外部网络,限制网络之间的访问,以此来保护内部网络。对常规防火墙来说,如果传送的是TCP包,为了起到保护软交换的目的,通常都是软交换先往外部发送TCP包之后,才能打开相应的外部主机要发往内部主机的端口,而对于外部主机在这之前发往内部的包一律做丢弃处理。软交换的信令连接可使用TCP或者是UDP。如果使用的是UDP,并且通信双方长时间没有通信流量的情况下,就会面临端口被定时关闭的问题。

    4 结语

    对于运营商来说,软交换网络是一个融合的网络架构,采用软交换网络有利于网络结构的优化和网络资源的整合,能避免重复建网,并降低建设投资和运维成本。文章针对软交换中来自网络本身的安全问题、来自终端方面的安全问题、来自关键设备方面的问题及来自信息安全方面的安全隐患进行分析,提出了相应的对策。

    参考文献:[1]陈云坤,付光轩.软交换中的网络安全问题[J].贵州大学学报(自然科学报),2007,(2):79-183.

交通部网络安全篇6

【 关键词 】 网络;安全性设计;安全隔离;防火墙;入侵防御系统;VLAN

The Design of Network Security for Government Office Building Computer

Li Jian-dong

(Mengzi e-government Management Center YunnanMengzi 661199 )

【 Abstract 】 Mankind has entered the 21st century, the multimedia technology and network transmission technology are regarded as the representative to promote the rapid development of information technology in all areas of society. However, there may be many network security risks due to the natural characteristics of the network. The consequences of these security risks may cause huge economic losses, or serious social problems.So the network safety design is also more and more attention by the people.In this paper, combined with my years of work experience.In this paper, combined with my years of work experience, from the network security isolation, firewall, intrusion prevention system design, VLAN security design, virus prevention, centralized network security management of the six aspects of my government office building computer network safety design of some ideas.

【 Keywords 】 network;security design;security isolation;firewall;intrusion prevention system;VLAN

1 引言

在信息化社会中,网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。

然而,伴随着信息产业发展而产生的互联网和网络信息的安全问题,也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前,全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题。

网络安全问题为什么这么严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,我们可以归纳为四个方面:网络的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。所以进行网络建设时,网络安全性设计是非常重要的。

1 网络安全隔离

网络隔离主要分为两类隔离,第一类隔离叫物理隔离,第二类隔离叫逻辑隔离。所谓物理隔离是指使两个网络在物理连线上完全隔离,且没有任何公用的存储信息,保证计算机的数据在网际间不被重用。被隔离的两端永远无法通过隔离部件交换信息。而逻辑隔离则是指被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,即逻辑上隔离。

一般认为物理隔离的安全性要高于逻辑隔离。在网络安全性设计时主要是从系统的重要程度即安全等级考虑划分合理的网络安全隔离方式。

针对政府办公大楼应根据安全等级和上级部门的要求设计网络的隔离方式,如果安全性不是很高的专网,为了节省开销、避免重复投资、方便用户使用等,可以设计为与Internet网逻辑隔离,如果安全性要求很高,或者建设时上级部门要求必须物理隔离的,必须设计为与Internet网物理隔离。比如蒙自市的统计专网、OA专网等,上级部门没有特殊要求,并且安全级别要求不是很高,所以就设计为与Internet网逻辑隔离,通过VLAN技术实现三网的逻辑隔离,共用Internet网的核心交换机、楼层交换机、楼层内部通信线路等。而电子政务专网由于省级要求必须物理隔离,所以就用单独的通信线路、路由器、核心交换机、楼层交换机。

3 防火墙设计

防火墙是建立在内外网络边界上的过滤封锁机制,它对网络提供服务和访问定义并实现更大的安全策略。防火墙的主要目的是对受保护的网络实现访问控制,它要求所有对网络的访问必须通过防火墙的检查,从而实现所定义的安全策略。利用防火墙的端口映射功能,可以隐蔽内部的真实IP地址,避免黑客通过IP欺骗等方法突破路由进入局域网,限制外部网络用户对内部主机的访问。通过访问控制列表(ACL),可进行包过滤,对经过的网络数据包进行过滤,可以限制哪些数据包可以接收;哪些数据包需要拒绝;可以限制网络流量,提高网络性能。

考虑到政府网站的安全性要求高,在进行安全性设计时应利用防火墙的端口映射功能,把公网IP地址映射成服务器的私网IP地址,并把服务器划入防火墙的DMZ区域,从而达到了隐蔽内部的真实IP地址,避免黑客攻击服务器。考虑到政府工作人员上班时间玩游戏和从事网上娱乐活动,可以利用防火墙的ACL技术,开放有限端口,如仅打开WWW端口、电子邮件端口、FTP端口、DNS端口等。考虑到政府工作人员上班时利用BT等P2P软件下载大量数据而影响整体网速,可以使用ACL技术来限制下载速度,从而达到限制网络流量,提高网络性能的目的。

4 入侵防御系统设计

防火墙作为一个网络安全设备,虽然可以阻止一部分攻击,但是对于很多安全问题却是束手无策:

(1)它不能防上来自网络内部的攻击,也就是防外不防内;

(2)由于受到性能上的限制通常它不具备实时监控的能力;

(3)入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敲开的后门;

(4)它只能对第三层(网络层)或第四层(传输层)进行检查,不能检测到应用层的内容。

入侵防御系统(IPS)是一种主动的、积级的入侵防范和阻止系统,它部署在网络的进出口处,当检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统拥有数目众多的过滤器,能够防止各种攻击。当发现新的攻击手段后,它会创建一个新的过滤器。如果攻击者利用第二层(数据链路层)―第七层(应用层)的漏洞发起攻击,入侵防御系统能够从数据流中检查出这些攻击并加以阻止。在政府办公大楼计算机网络安全性设计时,可以把入侵防御系统设备设计在防火墙和核心交换机之间,并且把楼层交换机传输的数据包引入到入侵防御系统中,这样它既可以对防火墙安全性的不足进行补充,又可以防止内部病毒的传播和攻击型病毒对网络的影响。

5 VLAN安全性设计

VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术[7]。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。

在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好地控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。在政府办公大楼计算机网络安全性设计时应把VLAN考虑进去。在核心交换机上根据需要划分若干个VLAN段和配置VLAN虚接口IP。不同的楼层交换机使用不同的VLAN段,或按照工作职能来划分VLAN段,比如相同职能的部门不管处在哪个楼层交换机都使用同一个VLAN段,而不同职能的部门使用不同的VLAN段。这样既方便管理,又可以控制病毒和ARP攻击的大范围传播。

6 病毒防治

网络病毒往往令人防不胜防,尽管对网络进行了网络隔离,但移动存储设备互用以及人为等原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒是进一步提高网络安全的重要手段。为了节省经费的开销,方便使用,方便升级,可以在核心交换机上建设一台装有网络版杀毒软件(如端星杀毒软件网络版)的服务器,而整个政府办公大楼的办公电脑使用杀毒软件的客户端。

7 集中网络安全管理

网络安全不能仅仅依靠安全设备,还需要制定一个全方位的安全管理策略,在全网范围内实现统一集中安全管理。可以包括几项措施:

(1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;

(2)任期有限原则,技术人员不定期地轮岗;

(3)职责分离原则,非本岗人员不得掌握用户名、密码等关键信息;

(4)责任制原则,谁出现安全性问题,产生的后果谁负责;

(5)需要及时升级系统软件补丁,关闭不用的服务和端口等。

8 结束语

网络安全是一个综合性的课题,涉及技术、管理等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题。针对不同的网络要求应有不同的设计方案,而安全也只是一个相对的概念。随着计算机技术的不断发展,将会产生变化,只有继续对计算机网络安全体系进行持续深入的研究和探讨,才能更好地实现网络安全。

参考文献

[1] 储庄,张全海,李建华.上海市电子政务外网安全保障体系研究与设计.信息网络安全,2012(4).

[2] 黎水林.基于安全域的政务外网安全防护体系研究.信息网络安全,2012(7).

[3] 丰继林,刘庆杰.计算机网络工程与实践[M].清华大学出版社,2005(1).

[4] 高传善,钱松荣,毛迪林.数据通信与计算机网络[M].高等教育出版社,2002(6).

[5] 冯昊,黄治虎,伍技祥.交换机/路由器的配置与管理[M].清华大学出版社,2005(12).

[6] 吴若松.新的网络威胁无处不在[J].信息安全与通信保密,2005年12期

[7] 李军义.计算机网络技术与应用[M].北方交通大学出版社,2006(7).

交通部网络安全篇7

船舶交通管理系统,简称VTS,是用于监控海岸、海港或内河交通情况的系统,确保监控区域内交通流量合适,避免造成灾祸或环境污染。目前我国大型海港所用系统多为国外公司产品,如Sofrelog、ATLAS、TERMB等,升级维护不便且多为10年以上的老产品。出于国家重大项目安全性的考虑,使用国产VTS系统是一大趋势,而国产化VTS的安全防护功能也是考察该系统的一项重要指标。

1国产交通管理系统安全防护问题分析

1.1系统介绍

国产化VTS系统由信息接入分系统、控制中心分系统和通信分系统组成。信息接入分系统具备雷达信息接收解析、AIS信息接收解析、水文气象信息接收解析、VHF信息接收解析、CCTV信息接收解析、信息分类流转等功能。控制中心分系统具备交通组织与管理、交通显示与控制(台位显示/web显示)、记录重放、系统监控等功能,其中交通组织与管理和交通态势Web显示功能采用B/S架构实现、其他功能采用C/S架构实现,整个系统采用B/S与C/S的混合架构实现。通信分系统具备即时通信、网络通控、数据支撑等功能。

1.2系统网络安全防护分析

国产化VTS系统信息交互可分为系统内部信息交互的专用网络、部门之间信息交互的内部网络和对外信息交互的外部网络三类。其中系统内部信息交互主要通过通信分系统使用独立的网络结构,在专用网络中进行,如雷达接入信息、VHF接入信息、CCTV接入信息、AIS接入信息与控制中心交通显示系统之间的通信;部门之间信息交互主要发生在海事部门内部单位之间,如船舶航行计划录入获取、船舶航行状态内部等等;而对外信息交互是指与外部互联网之间的交互,如水文气象信息的接入、船舶动态信息对公众公布等等。如果未采取安全防护策略,就可能导致系统内部网络遭受非法攻击。一旦外部攻击进入内部网络,由于防护系统对内防范较弱,这类攻击往往会造成非常严重的后果,导致核心数据泄露。甚至进而侵入到核心网络,对船舶交通管理系统数据进行篡改或伪造,或者盗用其他用户的IP对船舶控制命令进行非法操作,产生极大安全隐患。VTS系统的内部网络端口可以扩容,不同处室根据需要都可接入内部网络,网络中存在C/S和B/S的混合架构,整体结构复杂度较高。在这样的网络中,单单利用网络防火墙无法实现对各类网络资源的有效保护和管理,需要对外部网络的连接和信息交互进行限制,在特定的时间特定的地点,对特定权限开放网络,完成内外网络必要的信息交互。同时,要考虑到来自内部网络的攻击其成功的可能性甚至要高于外部网络,在设计中,应该对核心数据资源进行集中管理,将其存储在核心网络中,控制内部网络对其访问,这就需要更为完善的内部访问控制机制。

1.3系统使用过程中的安全分析

VTS系统的组成单元众多,硬件、软件构成复杂,在运行过程中,需要对硬件进行可靠性分析及业务持续性规划;同时复杂的软硬件也对操作、维护人员提出了更高的要求。对于船舶交通管理系统来说,用户的误操作可能导致严重的事故,因此不仅需要设计权限控制体系,尽量减少和避免用户误操作,同时要做到对问题的跟踪和总结,杜绝类似的操作再次发生。

2船舶交通管理系统的安全防护应用

2.1优化网络结构

国产化VTS系统采用C/S和B/S混合架构,其中B/S架构的船舶交通组织与管理软件Web版和船舶态势展示软件Web版需要对兄弟处室或者对公众开放,整个系统不仅需要运行在专用网络,而且需要运行在海事局的内部网络和Internet的外部网络,因此系统在设计时就考虑到物理上隔离三种类型网络。专网和内网之间只保留设置唯一的物理网络链接,并设置防火墙;专网和外网之间同样也设置唯一的物理网络链接,并设置防火墙;内网和外网之间物理隔绝。专网和内网之间严格控制信息互访端口,屏蔽所有未知端口;专网和外网之间,只保留外网对专网进行船舶数据查询的端口。

2.2病毒扫描

国产化VTS系统中,专网的值班台位以及内网终的用户终端,安装为Windows操作系统,为每一台终端安装瑞星杀毒软件,并按时更新,取消Guest账号、取消不必要的服务(如远程注册表操作);专网中的服务器和数据库使用Solaris和Linux系统,对核心数据设定指定用户权限,同时关闭不必要的网络端口。针对专网-内网闸和专网-外网闸,定时查看防火墙日志,评估是否存在网络攻击。另一方面,利用开源代码为国产化VTS系统编写专门的网络端口扫描工具,在专网和内网中查找主机漏洞,及时预防潜在风险。

2.3数据备份

VTS系统中,需要备份的数据主要为船舶航行轨迹数据和船舶业务数据,采用双机备份的方式进行数据备份。两种数据的特点不同,船舶轨迹数据量较大,按照雷达每三秒上报一点,港口平均被监控船舶为1000艘计算,一个月会累积864,000,000个航迹点需要存储,但是数据的重要性相对较低,因此国产化VTS系统采用定时备份的方式,每隔一个小时就将数据从主机备份到从机。而船舶业务数据的数据量相对较小,但是重要程度较高,系统产生的数据直接存到两个不同数据库中,一台供业务系统读取使用,一台作为备份,两者每天进行比较同步一次。

2.4安全分析和控制

对用户授予不同权限,用户按接入网络类型分为外网用户、内网用户和专网用户。由于内网和外网不直接连通,外网用户不可以访问内网;专网的船舶数据由指定端口定时同步到外网服务器,外网用户只可以查询外网服务器数据,禁止访问专网。内网用户同样不可以直接访问专网,只能通过专用进程调用被防火墙允许的端口查询数据或传递资料。专网用户则依据工作内容不同设置不同权限,分为普通值班员、值班长和系统管理员三类。普通值班员根据负责的辖区不同,赋予不同辖区的系统操作权限,进行日常值班工作;值班长拥有高级权限,可以制定告警规则、助航设施设置、航道单/双向切换等规则定义权限;管理员拥有最高级权限,可以修改系统配置、操作系统设置、底层路由设置等,同时具有审查系统日志和操作记录的权限。系统日志记录了系统各个组成单元,包括软硬件,的运行日志,当系统发生错误时,系统维护人员通过查看系统日志可以迅速定位错误的原因,并进行相应的处理,排除故障。操作记录主要是记录专网用户的操作行为,包括命令操作、通话录音、软件截图等,该数据既可以作为后期的操作追溯和安全分析的资料,也可以作为优化界面提升用户体验依据,并且为以后建立数据仓库提供了数据积累。

3结束语

交通部网络安全篇8

【关键词】企业 网络 构架 优化

近年来,公司进行了大规模信息化系统建设,各种系统相继开发完成并投入运行,从管理层到生产层,信息化系统越来越完善,运行效率越来越高,为公司的整体运营提供了强有力的技术支撑。但是随着设备的不断增多、网络规模的不断增长、整体拓扑结构变得越来越复杂,难于管理,特别最近几年,信息安全问题不断凸显,对公司数据、设备安全以及个人隐私方面的威胁越来越大,而我们所使用的大部分安全设备购置于2000年左右,虽部分还能够运行,但早已无法满足当前的安全防护需求,存在极大安全漏洞,网络结构繁杂、服务器分布式部署、无法进行整体安全防护、安全控制策略冗余难以进行管理。

1 现状分析

目前公司的网络现状如图1所示。

(1)各级网络呈网状分布,层级结构不清晰,各区域之间通过单台防火墙进行安全防护,存在单点故障隐患,且连接繁冗,管理困难。

(2)服务器放置在各自区域的网络中为业务提供服务,服务器完全暴漏在网络中,除部分安装有软件防火墙外,没有任何安全防护;各个系统间并不独立,存在大量的、频繁的数据交互,目前通过四层防火墙和访问控制列表进行控制,管理繁琐困难,安全防护等级不高,对网络高层协议的安全攻击基本没有防护能力。

(3)接入终端没有安全有效的统一管理手段,目前公司各级终端用户已达到三千多台,用户计算机的操作水平参差不齐,总体信息安全意识薄弱,缺少防护手段,用户可以随意访问网络中的各种资源,由于无法控制其在网络中对服务器资源的访问行为,可能会造成公司内部的信息被窃,存在各种安全隐患,给局域网内的信息安全带来很大威胁,经查用户非法安装、一机多网、私自安装路由器等行为屡屡发生,特别是一机多网,对一级生产网络造成巨大的安全隐患。

(4)邮件过滤、IPS等系统运行十多年,已无法正常使用。

2 系统实现方案

一套完整而行之有效的信息安全保障体系需要合理高效的网络构架作为基础,所以在方案中其思路是首先要对当前网络构架进行合理的调整优化,使其能够为信息安全系统的部署提供基础构架,其次是对重点部位、安全薄弱部位从物理层面到技术层面进行较为全面的安全防护及监控,保证信息系统安全。具体如下:

2.1 网络结构优化

(1) 对三级mes网络和计量专网进行并网,作为公司生产网络。根据公司当前网络现状,仍保持大四级、小三级的主体构架不变,今后如无特殊需求,杜绝建立专网。

(2)对服务器子网进行整合,除现有192.168.1.0/24、192.168.88.0/24、192.168.98.0/24、192.168.40.0/24外,将计量192.168.103.0/24、一卡通192.168.56.0/24、能源10.15.153.0/24并入服务器子网中,三级网络192.168.32.0/24中除服务器外还运行有大量客户端、视频子网流量过大不宜使用防火墙进行隔离故此次不做整合。

(3)在网络机房增加一台Cisco 4506交换机作为服务器子网核心交换机,通过双链路与Cisco 6509核心交换机进行连接、中间使用2台高性能7层防火墙进行隔离,负载均衡;对各机房网络进行梳理,各机房服务器网络上连到服务器子网核心交换机,办公网络使用新光路连接到四级办公子网汇聚交换机(0.8)上。

(4)网络出口部分进行整合,包含负载均衡、出口防火墙、上网行为、IPsec vpn和外单位接入防火墙等,在网络层级结构上与服务器网络分离,整体上移。如图2所示。

2.2 安全系统部署

(1)在四级核心交换机和服务器子网核心交换机间增加2台高性能7层防火墙,对服务器区域进行安全防护,更换外网区域反垃圾邮件网关,实现海量垃圾邮件的过滤。

(2)在四级网络中部署终端安全准入管理系统,明确网络边界,解决DDos攻击、病毒、木马威胁、非法入侵、异常接入、终端数据泄密、用户隐私泄漏等问题,增加资产管理、系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有在统一安全策略管控下,保护敏感资源的能力,具有更强的自主安全保护能力。

3 系统的实施效果

(1)系统实施后,使网络从扁平化结构转变为纵向层级化结构,使得各层级网络结构变得清晰,层与层之间的联系和控制变得简单,安全行得以提高,维护难度得以降低。

(2)服务器从各级网络分离出来进行了统一管理和防护,使得服务器之间的数据交换不再通过层层防火墙和访问控制列表进行控制,提高了通讯效率,降低了网络负载和故障率。

4 结论

综上所述,本项目技术先进,实用性强、效益显著。随着大型制造企业规模的不断扩大和信息化系统的不断完善,原有的扁平化网络势必已经逐步无法满足信息化运行效率和安全的需求,网络结构的改造和优化势在必行。

参考文献

[1]彭飞.计算机网络安全[M].北京:清华大学出版社,2013.

[2]周淳.网络设计的原理[M].北京:中信出版社,2011.

交通部网络安全篇9

关键词:电子商务;交易;安全;策略

随着互联网的快速发展,电子商务逐渐发展起来,网络交易的规模和交易人群呈现逐步壮大的趋势,网络交易具有快速、便捷的优点,使人们足不出户就可以进行买卖,但是,网络交易是一把双刃剑,在快速的同时,也具有安全性差,信息容易丢失和泄露,因此,网络信息安全性就成了电子商务成功发展的关键因素。

一、当前电子商务交易的现状

1.网站本身的安全性较差

网络交易的进行需要以网站具有可访问性为前提,而安全问题则是网站的访问最首要的问题。互联网的开放性给企业提供了一个比较公平、比较便捷的交易平台,但是,网站本身或多或少具有一定漏洞,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,已经成为企业网站受到攻击的首要的目标,它可以使攻击者能在未授权的情况下访问或破坏系统,从而给购买者和出售者造成重大的损失。

由于电子商务本身的不完善性,网站维护人员自身的专业性较差,有的会在无意中泄露网站的重要信息,给外部的攻击造成了可乘之机,使其可以轻松地窃取网站的重要资料和客户的重要信息。还有,网站工作人员在无意间会安装一些游戏以及不安全的软件,这也容易造成外部的攻击和进入,或者网站工作人员的一些不合常规的操作也会引发网站的不安全性访问,网站访问的安全危机是制约电子商务发展的一个重要的因素。

2.外部因素对电子交易造成的威胁

在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生,网络交易中存在着种种安全的威胁因素。据调查显示,网络的安全性问题已经成为大多数企业和客户不去进行网上交易的重要的因素,也可以说,电子商务交易信息的安全问题已经成为目前电子商务发展道路上的最大阻碍。

在传统的交易中,一般都是买卖双方当面进行的,在交易的价格以及货币上相对比较透明一些,即使出现问题也可以当场沟通解决,通常交易都是通过信件或其他可靠的通信渠道来签订商业合同或条约,进而达到保守机密的目的。但是电子商务网站上,由于买卖双方的沟通都是依靠网络进行的,在交易价格和交易产品的质量上很难有比较直观的沟通,对交易产品的描述和交易的基本信息都是通过网络来进行的。这些比较重要的信息容易被外部的不法分子所窃取,进而破坏正常的网络交易,破坏这种正常交易的因素有很多,比如网络黑客、计算机病毒等,他们在网上泛滥,给网络交易造成了巨大的威胁。

电子商务网站都是通过建立自己的数据库来存储和管理客户银行账号、订单号等各种重要的业务数据信息,这些信息一旦被外部的攻击者所窃取就不堪设想,这些人就会迅速掌握被攻击网站信息的格式和大致的规律,然后利用自己所掌握的东西来篡改、删除对网站至关重要的信息,阻止重要信息的上传,进而破坏数据的准确性和完整性。甚至他们会冒充电子交易中的买方或者卖方来骗取钱财或者物品,以及其它的重要信息,或者破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等。

3.电子商务交易中的诚信问题

由于电子商务是借助于虚拟的网络平台来实现的,买卖双方都不会看到对方的真实样子,交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。当前电子商务多是通过电子支票、电子钱包、电子现金、信用卡来进行支付的,一般来说,卖家都会要求买家先付款后发货,这就导致一些素质比较低的客户对自己的订单刻意否认,百般推脱,推卸自己的责任,给卖家造成一定的损失和不便。卖家也会出现对商品描述不实,对客户付款后的商品不予确认,甚至对有问题的商品不予退货,对客户已经付款的商品不予发货或者过了很久才发货,给客户造成或多或少的经济损失,商家的信誉也会大打折扣。

二、解决措施

面对当前电子商务交易的种种安全问题,应该采取一些措施来加强交易的安全性。网络交易的双方都要树立高度的安全意识,商家要采用一些先进的防护技术增强自身网站的安全,提高网站的信誉,在维护自身安全的同时,也给客户的安全增加了砝码。

1.防御技术

要想提高电子商务交易的安全性,首先要加强交易的防御工作。使用一些先进的技术来加强网站的安全维护。防火墙就是一种较好的防御软件,它是由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。防火墙其实就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,进而起到保护电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全作用。一般来说,所有的内部网和外部网之间的连接都必须经过防火墙,并且防火墙要对网站进行严密的检查,只有该软件默认的信息才可以通过网络,起到一个过滤作用,通过对网站信息的检查和核对来降低信息的非法入侵的可能性,也大大地降低了非法入侵、非法使用系统资源的机率。目前来说,防火墙是对网络交易的一种比较好的防范措施,它可以识别常见的外部攻击模式,为网站建立起一道安全屏障,强化了网络安全策略,加强了网络存取和访问的监控审计,降低了网络交易信息泄露的可能性。

目前比较常用的防火墙的技术形势就是基于服务的防火墙,这种防火墙的安全性比较高,而且还具备身份认证与审计跟踪功能,可以对整个的网络系统资源的全程的使用情况做一个完整的记录,随时对电子网络进行监督,对进出网络的所有信息进行一个完备的储藏,一旦发现不良的或者异常的行为就会对网站的操作人员发出一定的警告,让其对该信息有所警觉,并采取一定的防护措施。但是,防火墙的核查速度比较慢,并且对网站外部的非法攻击可以起到有效的预防作用,对企业网络内部信息传输的安全性却起不到防护作用,这也是防火墙技术的一个较大的局限性。

除了防火墙技术,防病毒技术也是当前电子商务交易的一种比较常用的安全防护技术。计算机病毒是具有自我复制和传播能力的,并且病毒的流传性非常快捷,严重时可以引起计算机的网络故障,甚至会造成企业整个网络系统的瘫痪。针对计算机病毒,可以通过安装病毒扫描软件来进行有效的预防。病毒扫描软件可以搜索出常见病毒的一些特征或其它能表示该种。还可以通过识别网站正常的信息的变化来发现病毒,但是这种技术的弊端也比较明显,它只有在计算机病毒发生作用的时候才能发现它,对潜在的病毒却无能为力。所以,为了全面的预防计算机病毒,就要在病毒尚未开始破坏的时候就发现并给网站工作人员以警觉,也就是安装病毒的封锁软件,将潜在的病毒隔离在网络交易之外。

2.检测技术

除了对外部的攻击进行一定的预防之外,还要对其进行一定的检测,网站自身不免有一定的漏洞,就需要使用漏洞扫描技术及时发现网站的漏洞,并找出修补办法,消除网络交易的安全隐患。漏洞扫描软件可以第一时间发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器主要通过对网络交易的目标主机进行仔细的检测和核对,与其本身所具有的漏洞的特征相对比,看其是否存在系统漏洞。也可以通过模拟的方式,看网络交易的网站是否能被攻击,当发现可以被攻破的地方也就是网络系统漏洞的所在。

仅仅依靠对病毒的检测还是不够的,还需要对入侵的病毒进行一定的分析,并捕捉到其破坏的证据。入侵检测技术就是对网络交易的信息进行全程的监督,一旦发现网站中输入或者输出的信息出现异常时就会做出一定的反映,将网络入侵者隔离在网络之外,避免网络攻击的深入进行,是防火墙之后的第二个安全屏障。

安全认证技术就是对网站的登录者进行一个身份的识别和认证,对网站的进入者进行一定的过滤,从而降低网络交易的风险。安全认证就是对交易双方的信息进行一个确认,确认网站得到的信息是来自交易的双方,以保证交易的信息完整和真实性,确保交易信息没有被其他人恶意篡改过。安全认证要对重要的信息采用密码技术进行加密,使信息成为一种常人理解不了的密文,交易的接受者收到该密文后再对其进行解密,将它转换成一种可以了解的正常的信息形式。安全认证的主要作用是对网络交易的信息进行有效的确认,从而确保交易双方的信息只有对方才能看到,增加了信息的机密程度,也保证了网上支付的安全性,对网络交易者的身份进行了有效的确认和识别。

3.补救技术

除了对网络攻击的预防和检测之外,还有对已经收到攻击的网站的补救技术。许多网站受到破坏后不但会导致交易双方的信息大量泄漏,而且还会造成可用信息的丢失,给后续的交易造成了很大的不便,这就需要采用数据备份与恢复技术,对重要的网络信息进行及时的备份,对已经丢失的信息就行有效的恢复,这样,可以起到一定的补救作用,将因为网络的破坏而导致的损失降到最低,增强电子商务交易者的信心,促进电子商务交易的安全性。

4.加强网络的安全性管理

网站安全问题不仅是技术性问题,还是管理方面的问题。电子商务网站的技术防护措施只是一种硬性的网络保护措施,现实中许多网络交易的破坏均是由于人为的原因造成的。因此,应该加强对网络交易的管理工作,增强网络交易双方和网站工作人员的安全意识,提高他们的专业技术水平和对突发事故的应对和补救能力。使网站工作人员能够养成对重要信息及时保存和备份的好习惯,严格遵守网络交易的相关规则,对网络交易信息的重要性有一个正确的认识。

三、结语

综上所述,安全问题已经成为限制电子商务交易发展的一个重要的阻碍,目前许多企业未进行电子交易就是因为担心信息的泄露,随着网络安全防护和检测技术的发展,电子商务的交易环境的安全性越来越高,但是,仅仅依靠技术的防护还是不够的,最重要的还是增强网络工作人员的安全意识和责任心,增强网络交易双方的安全和诚信意识,在确保网络交易安全的基础上,还要增强买卖双方的诚信度,使卖方可以对自己的商品如实描述,在收到货款后立即发货,不欺骗消费者,树立商家的良好信誉和品牌。买方信守承诺,在下过订单后要及时付款,不可对商家置之不理,或万般抵赖和推脱责任,要尊重商家的劳动。只有这样,才能净化电子商务交易的环境,促使其向着更加健康的方向发展,在发挥电子商务交易快捷和便利优势的基础上,逐渐弥补电子商务交易安全性差、诚信度低的缺陷,从而使我国的电子商务交易迈向一个新的阶段。

参考文献:

[1]向 驹:试论电子商务交易中的安全技术.华南金融电脑.2009(02).

[2]余绍军:电子商务安全与数据加密技术浅析[J].中国管理信息化.2007(03).

[3]刘晓宇:电子商务网站的安全分析[J].天津职业院校联合学报.2008(02).

交通部网络安全篇10

摘要:随着网络技术的高速发展,网络上的信息迅速膨胀、丰富,各种各样的网络应用得以普及和频繁使用。而与此同时,网络安全技术却明显滞后,发展和响应的速度缓慢,各种网络安全措施都显得“道高一尺、魔高一丈”。本文将以arp病毒攻击为代表,从分析arp协议入手,详细阐述arp的工作过程以及欺骗技术的基本原理,通过分析大多数现有校园网络安全措施,即防火墙设备,入侵检测系统,入侵防御系统在针对内部网络攻击行为管理上的缺陷,从而证明现有网络安全措施上的巨大漏洞。在详细陈述现有的一些处理arp病毒的手段后,总体分析这些防范措施的共同缺陷,进一步讨论弥补这些缺陷的必要性及其所带来的现实意义,指明今后校园网络管理所面临的重要问题和主要发展方向。

关键词:arp协议;arp欺骗;防火墙;入侵检测系统;入侵防御系统;网络监控平台;

中图分类号:tp393文献标识码:a

0引言

随着网络技术的高速发展,网络上的信息迅速膨胀、丰富,各种各样的网络应用得以普及和频繁使用。而同时期,网络安全技术却明显停滞后,各种网络安全措施都显得“道高一尺、魔高一丈”,绝大多数网络管理人员在日常的网络管理工作中都疲于应付,力不从心。事实上,资源共享和信息安全历来就是一对矛盾。一个系统的使用权限规划越细,使用规定越多,那么相对来说,这个网络系统就比较安全一些;但同时使用起来就不方便。计算机网络的开放性是网络应用所导致的,这就决定了网络安全问题是先天存在的。网络安全一直是限制网络发展的一个主要因素。现今的网络架构中采用交换机互联,使用网关地址转发网络数据包,这种交换式连接的局域网一直是很成熟的技术,但近年来它在一种新型网络攻击面前却毫无办法进行防范,这种攻击就是arp欺骗。

1arp协议的工作流程

1.1arp协议

地址转换协议addressresolutionprotocol(简称:arp)是数据链路层协议,它负责把网络层的ip地址转换成为数据链路层的mac地址,从而建立ip地址和mac设备物理地址的对应关系,以便实现ip地址访问网络设备的通讯目的。

1.2arp工作流程

在以太网中,两个不同网络设备进行直接通信,需要知道目标设备的网络层逻辑(ip)地址和网络设备的物理(mac)地址。arp协议的基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,以保障网络通信的顺利进行。当网络中某台计算机a要与同网段中计算机b通信时,a机首先要在缓存中查找是否有b机的ip地址和mac地址的对应关系;如果没有,则a机在本网段中广播,将自己的ip地址和mac地址发出,并要求ip地址是b机的计算机作应答。网段中所有计算机都会收到a机的广播包,并检查自己的ip地址是否b机ip,ip地址是b机的计算机会作出应答,并按照a机的ip地址和mac地址发出应答包。a机接收到b机的应答包后,将b机的ip地址和mac地址加入到自己的缓存中,随后再开始与b机的通信。如果计算机a要与网段以外的计算机通信,则由网关将a计算机的广播包加以转发来完成上面的工作。

在整个arp工作期间,不但主机a得到了主机b的ip地址和mac地址的映射关系,而且主机b也得到了主机a的ip地址和mac地址的映射关系。如果主机b的应用程序需要立即返回数据给主机a的应用程序,那么,主机b就不必再次执行上面的arp请求过程了。

1.3arp欺骗的原理

所谓arp欺骗,又被称为arp重定向,由于arp协议是建立在信任局域网内所有计算机的基础上的,因此会出现中间人攻击的现象,某台非目标的计算机利用arp协议的缺陷向目标主机频繁发送伪造arp应答报文,使目标主机接收该伪造的ip地址和mac地址报文并更新本地系统的arp高速缓存,从而使攻击者插入到被攻击主机和其他主机之间,便可以监听被攻击的主机。由此可见,入侵者利用ip机制的安全漏洞,比较容易实现arp欺骗,造成计算机网络无法正常通讯,以达到冒用网关或目的计算机合法ip来拦截、窃取信息以及破坏数据的目的。虽然arp欺骗发生在局域网内,只有内部的计算机可以互相监听,但是对于本来就存在安全漏洞的网络来说,如果外部攻击者能够入侵到局域网内的某台计算机,然后再进行arp欺骗,一旦成功,将给网络造成很大的破坏。

2现有网络防御手段

2.1防火墙

在ipv4网络中,普遍采用防火墙来阻止外部未经授权的网络用户进入内部网络。以此保护内部网络的安全。根据所采用的技术不同,防火墙可以分为三大类:地址转换nat型、监测型和包过滤型;其中使用最多、最广泛的就是地址转换nat型。虽然目前防火墙是保护网络免遭黑客攻击的有效手段,但明显存在着不足:①对内部网络发起的攻击无法阻止;②可以阻断外部攻击而无法消灭攻击来源;③做nat转换后,由于防火墙本身性能和并发连接数的限制,容易导致出口成为网络瓶颈,形成网络拥塞;④对于网络中新生的攻击行为,如果未做出相应策略的设置,则无法防范;⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。

为了弥补防火墙存在的不足,许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。

2.2入侵检测系统(intrusiondetectionsystem)

(1)入侵检测就是对入侵的网络行为进行检测,通过收集和分析计算机网络中的信息,检查网络中是否存在违反安全策略规定的行为或者是被攻击的痕迹。如果发现有入侵行为的迹象,检测系统可以自动进行记录或生成报告,甚至能够根据所制定策略自动采取应对措施,断开入侵来源并向网络管理者报警。

入侵检测系统(ids)按照收集数据来源的不同一般可以分为三大类:

①由多个部件组成,分布于内部网络的各个部分的分布式入侵检测系统。

②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。

③安装在网段内的某台计算机上,以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。

(2)虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置,但由于采集数据源的限制,对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中,而一个内部网络往往有很多个独立的网段;由于财力的限制,网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯,入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。

除此以外,现有的各种入侵检测系统还存在着一些共同的缺陷,如;较高的误报率,无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝,适应能力较低;系统产品报告的专业性太强,需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求,在大型局域网络中检测系统受自身处理速度的限制,容易发生故障无法对网络进行实时监测。

2.3入侵防御系统(intrusionpreventsystem)

(1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生,而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定

深度的入侵防范技术。入侵防御系统(ips)按照应用方式的不同一般可以分为三大类:

①基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查,监控应用程序和操作系统的行为,保护系统不会被恶意修改和攻击。

②基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备,如果被检测出存在攻击行为,nips将会进行实时拦截。

③应用服务入侵防御系统(aips):是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。

相对与ids而言,ips是以在线方式安装在被保护网络的入口处,从而监控所有流经的网络数据。ips结合了ids和防火墙的技术,通过对流经的数据报文进行深层检查,发现攻击行为,阻断攻击行为,从而达到防御的目的。

(2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。

3新的网络安全发展方向

3.1当前网络的安全缺陷

综合分析以上网络安全技术的特点以后,我们不难发现:现有的网络安全设备大多部署在局域网的出口位置,现有的安全技术又无法保证100%发现和阻断外来的网络攻击行为;同时,内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控,仅仅依靠用户自己进行维护;由于受到用户安全防范水平和认识的限制,内网中必然存在着大量的网络安全漏洞,一旦这些存在漏洞的计算机或网络设备被外部侵入行为所控制,再利用这些设备发动arp或类似原理的攻击,将迅速导致整个网络系统的崩溃。对于这些内部网络中发起的攻击行为,普通的网络安全措施是无法及时发现和有效阻止的。

3.2网络安全新的发展方向

基于以上分析,我们认为应该将网络安全的防御重点转到内部网络上来,应该将网络监控的触角延伸到内部网络的每一个网段中;而最容易成为这些触角的工具就是构建起内部网络的网络交换机。

在一个大规模的局域网内,联入的网络通信设备分布广泛,覆盖地理位置较远;接入的计算机用户数量多,通信的数据量大;设置的通信网段和通信路由复杂。一旦发生网络故障,网络管理员无法迅速定位引起故障的来源,更不用说在故障发生之前就主动的发现攻击苗头,通过远程管理来消除故障隐患。这大大的影响网络用户的使用效率,降低了服务质量。而网络交换机是构建内部网络的基础,是用于转发网络数据包的工具。那么,无论是外网发起的网络连接,还是内网中类似于arp攻击所发出的广播包,网络交换机都可以收集到数据信息。如果网络中的交换机可以定时将收集到的数据样本发往一个处理平台,由处理平台根据既定策略进行分析,再将分析结果传给网络管理员,由网络管理员根据分析结果通过远程控制将网络故障或即将引起网络故障的设备进行隔离,将大大的提高网络管理的响应速度,保障大多数网络用户的使用效率。

3.3优化网络管理的几点要素

要建立起上述的网络故障自动监控平台,在建网时就要尽量做到以下几个方面的工作:

①设计大规模的局域网时,网内的交换机应该联入一个或多个独立的网段中,这样既可以让交换机之间形成一个独立的管理网络,又可以避免远程操作交换机时受到用户网段通信的影响。

②应尽量多的在网络中部署管理型网络交换机,这样既可以缩小故障源的范围便于定位,又便于网络管理员进行远程操作以迅速处理网络故障。

③应在核心交换机上部署一个基于全网拓扑图的网络监控软件,形成一个对网络信息进行收集、分析和反馈的平台,达到动态监控的目的。如下图1:

④应在核心交换机上配置一台网络监控计算机,这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。以便加强交换机的可操控性,摆脱交换机的“命令行式”管理,利于普通的网络值班人员(非核心技术人员)进行故障分析和排除。如下图2:

⑤努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。

4结论

当然,仅仅做到以上几点还是不够的,保障大型网络的正常通信,维持网络信道的高效传输,其任重而道远。要构建综合的动态网络监控平台来优化安全防护效果,就应该整合各种网络安全资源、网络安全产品,组成内外兼备,高效智能的立体防护体系,从而满足各种领域对网络安全的需求。大力提高内网的网络安全管理能力,必将为达成上述目标起到重要而深远的影响。

参考文献:

[1]张仕斌,易勇。网络安全技术[m]清华大学出版社

[2]任侠,吕述望。arp协议欺骗原理分析与抵御方法[j]计算机工程20__