緒論:在尋找寫作靈感嗎���?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡安全內(nèi)網(wǎng)管理����,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享�����!
篇1
關(guān)鍵詞:無線網(wǎng)絡�;安全風險;安全防范
1概述
醫(yī)院內(nèi)部無線網(wǎng)絡(Hospital Internal Wireless Networks)��,既包括允許用戶在醫(yī)院內(nèi)部范圍內(nèi)建立遠距離無線連接的網(wǎng)絡。
2009 年����,國家新醫(yī)改政策出臺,其中信息系統(tǒng)首次成為我國醫(yī)療衛(wèi)生體系建設的重要支撐��。醫(yī)院信息系統(tǒng)經(jīng)過多年的發(fā)展�����,已經(jīng)由以財務為核心的階段過渡到以臨床信息系統(tǒng)為核心的階段���,因此越來越多的醫(yī)院開始應用無線網(wǎng)絡����,實施以患者為核心的無線醫(yī)療信息系統(tǒng)�����。隨著無線網(wǎng)絡技術(shù)的日趨成熟���,醫(yī)院內(nèi)部無線網(wǎng)絡在全球范圍內(nèi)醫(yī)療行業(yè)中的應用已經(jīng)成為了一種趨勢����,在今后的醫(yī)院應用中將會越來越廣泛。通過無線醫(yī)療信息系統(tǒng)的應用���,既拉近了與患者之間的距離���,提高了醫(yī)療服務的效率和質(zhì)量,也加強了醫(yī)院的綜合管理�。
2醫(yī)院內(nèi)部無線網(wǎng)絡的安全風險
隨著醫(yī)院對無線醫(yī)療信息系統(tǒng)應用的不斷深入,醫(yī)院對于內(nèi)部無線網(wǎng)絡的依賴程度也越來越深����。醫(yī)院內(nèi)部無線網(wǎng)絡作為原有醫(yī)院內(nèi)部有線網(wǎng)絡的補充,擴展了有線網(wǎng)絡的應用范圍����,但是也將相對封閉的醫(yī)院內(nèi)部有線局域網(wǎng)絡環(huán)境轉(zhuǎn)變成了相對開放式的網(wǎng)絡環(huán)境�。其安全性不僅影響到醫(yī)院內(nèi)部無線醫(yī)療信息系統(tǒng)的使用,同樣也影響到與其相連的有線網(wǎng)絡環(huán)境中應用的其他醫(yī)院信息系統(tǒng)�。因此醫(yī)院內(nèi)部無線網(wǎng)絡的安全將直接影響到醫(yī)院整體信息系統(tǒng)的安全。醫(yī)院內(nèi)部無線網(wǎng)絡一旦被破壞�,將會造成醫(yī)院信息系統(tǒng)的數(shù)據(jù)被竊取、網(wǎng)絡癱瘓��、醫(yī)療業(yè)務被中斷等等一系列嚴重的后果��。由于醫(yī)院醫(yī)療數(shù)據(jù)的敏感性,以及無線網(wǎng)絡通過無線信號傳輸?shù)奶匦?,使得醫(yī)院內(nèi)部無線網(wǎng)絡面臨的安全風險越來越突出。
根據(jù)相關(guān)運行情況分析���, 醫(yī)院內(nèi)部無線網(wǎng)絡主要存在以下安全問題:①非法AP的接入:無線網(wǎng)絡易于訪問和配置簡單的特性�����,使醫(yī)院內(nèi)部網(wǎng)絡管理員和信息安全管理員非常頭痛����。因為任何人都可以通過自己購買的AP利用現(xiàn)有有線網(wǎng)絡��,繞過授權(quán)而連入醫(yī)院內(nèi)部網(wǎng)絡����。用戶通過非法的AP接入手段,可能會給醫(yī)院整體內(nèi)部網(wǎng)絡帶來很大的安全隱患�。②非授權(quán)用戶的接入:非授權(quán)用戶往往利用各類無線網(wǎng)絡的攻擊工具搜索并入侵,從而造成很嚴重的后果��。非授權(quán)用戶的入侵會造成網(wǎng)絡流量被占用�,導致網(wǎng)絡速度大大變慢,降低網(wǎng)絡帶寬利用率�����;某些非授權(quán)用戶會進行非法篡改,導致醫(yī)院內(nèi)部無線網(wǎng)絡內(nèi)的合法用戶無法正常登陸��;更有部分非授權(quán)用戶會進行網(wǎng)絡竊聽和數(shù)據(jù)盜竊��,對病人以及醫(yī)院整體造成相當大的損失�。③服務和性能的影響:醫(yī)院內(nèi)部無線網(wǎng)絡的傳輸帶寬是有限的,由于物理層的開銷����,無線網(wǎng)絡的實際最高有效吞吐量僅為標準的50%。醫(yī)院內(nèi)部無線網(wǎng)絡的帶寬可以被幾種方式吞噬�����,造成服務和性能的影響:如果攻擊者從以太網(wǎng)發(fā)送大量的Ping流量�,就會輕易地吞噬AP的帶寬�;如果發(fā)送廣播流量,就會同時阻塞多個AP��;傳輸較大的數(shù)據(jù)文件或者運行復雜的系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡流量負載�����。④地址欺騙和會話攔截:由于醫(yī)院內(nèi)部使用無線網(wǎng)絡環(huán)境,攻擊者可以通過地址欺騙幀去重定向數(shù)據(jù)流和使ARP表變得混亂���。通過一些技術(shù)手段���,攻擊者可以獲得站點的地址,這些地址可以被用來惡意攻擊時使用�����。攻擊者還可以通過截獲會話��,通過監(jiān)測AP�����,然后裝扮成AP進入����,攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡。⑤數(shù)據(jù)安全問題:由于無線網(wǎng)絡的信號是以開放的方式在空間中傳送的���,非法用戶����、黑客、惡意攻擊者等會通過破解用戶的無線網(wǎng)絡的安全設置���,冒充合法識別的身份進入無線網(wǎng)絡進行非法操作�,進行竊聽和截取�����,從而達到不法操作或破壞信息的目的�,從而給醫(yī)院帶來相對應的損失。
3醫(yī)院內(nèi)部無線網(wǎng)絡的安全防護目標
早期的無線網(wǎng)絡標準安全性并不完善�,技術(shù)上存在一些安全漏洞。隨著使用的推廣���,更多的專家參與了無線標準的制定�,使其安全技術(shù)迅速成熟起來���。具體地講����,為了有效保障無線網(wǎng)絡的安全性����,就必須實現(xiàn)以下幾個安全目標:①提供接入控制:通過驗證用戶,授權(quán)接入特定的資源����,同時拒絕為未經(jīng)授權(quán)的用戶提供接入。②確保連接的保密與完好:利用強有力的加密和校驗技術(shù)��,防止未經(jīng)授權(quán)的用戶竊聽����、插入或修改通過無線網(wǎng)絡傳輸?shù)臄?shù)據(jù)。③防止拒絕服務攻擊:確保不會有用戶占用某個接入點的所有可用帶寬���,從而影響其他用戶的正常接入����。
4醫(yī)院內(nèi)部無線網(wǎng)絡的安全防護技術(shù)
無線網(wǎng)絡的安全技術(shù)這幾年得到了快速的發(fā)展和應用�����,下面是目前業(yè)界常見的無線網(wǎng)絡安全技術(shù):
4.1服務區(qū)標識符(SSID)匹配 SSID(Service Set Identifier)將一個無線網(wǎng)絡分為幾個不同的子網(wǎng)絡����,每一個子網(wǎng)絡都有其對應的身份標識(SSID),只有無線終端設置了配對的SSID才接入相應的子網(wǎng)絡。所以可以認為SSID是一個簡單的口令�,提供了口令認證機制,實現(xiàn)了一定的安全性�����。
4.2無線網(wǎng)卡物理地址(MAC)過濾 每個無線工作站網(wǎng)卡都由唯一的物理地址(MAC)標識�,該物理地址編碼方式類似于以太網(wǎng)物理地址。網(wǎng)絡管理員可在無線網(wǎng)絡訪問點AP中維護一組(不)允許通過AP訪問網(wǎng)絡地址列表�,以實現(xiàn)基于物理地址的訪問過濾。
4.3無線接入點(AP)隔離 AP(Access Point)隔離類似于有線網(wǎng)絡的VLAN���,將所有的無線客戶端設備完全隔離�,使之只能訪問AP連接的固定網(wǎng)絡���。該方法多用于對酒店和機場等公共熱點(Hot Spot)的架設����,讓接入的無線客戶端保持隔離�����,提供安全的網(wǎng)絡接入����。
4.4有線等效保密(WEP、WEP2) WEP(Wired Equivalent Privacy)�����,IEEE80211.b標準規(guī)定的一種被稱為有線等效保密的可選加密方案��,其目的是為無線網(wǎng)絡提供與有線網(wǎng)絡相同級別的安全保護����。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。WEP2�����,是根據(jù)WEP的特性��,為了提供更高的無線網(wǎng)絡安全性技術(shù)而產(chǎn)生��。該技術(shù)相比WEP算法�����,將WEP密鑰的長度由40位加長到128位����,初始化向量的長度由24位加長到128位�����。
4.5端口訪問控制技術(shù)(IEEE802.1x)和可擴展認證協(xié)議(EAP) IEEE802.1x提出基于端口進行網(wǎng)絡訪問控制的安全性標準����,利用物理層特性對連接到網(wǎng)絡端口的設備進行身份認證����。如果認證失敗,則禁止該設備訪問網(wǎng)絡資源����。
IEEE 802.1x引入了PPP協(xié)議定義的可擴展認證協(xié)議(EAP)。作為可擴展認證協(xié)議�,EAP可以采用MD5,一次性口令�����,智能卡����,公共密鑰等等更多的認證機制����,從而提供更高級別的安全�。
4.6無線網(wǎng)絡訪問保護(WPA、WPA2) WPA(Wifi Protected Access)��,率先使用802.11i中的加密技術(shù)-TKIP (Temporal Key Integrity Protocol)��,這項技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題����。
WPA2是基于WPA的一種新的加密方式����,向后兼容,支持更高級的AES加密����,能夠更好地解決無線網(wǎng)絡的安全問題。
4.7高級的無線網(wǎng)絡安全標準(IEEE 802.11i) IEEE 802.11i安全標準是為了增強無線網(wǎng)絡的數(shù)據(jù)加密和認證性能�,定義了RSN(Robust Security Network)的概念,并且針對WEP加密機制的各種缺陷做了多方面的改進�����。IEEE 802.11i規(guī)定使用802.1x認證和密鑰管理方式,在數(shù)據(jù)加密方面���,定義了TKIP�、CCMP和WRAP三種加密機制�,使得無線網(wǎng)絡的安全程度大大提高。
5醫(yī)院內(nèi)部無線網(wǎng)絡的安全實現(xiàn)
5.1合理放置無線設備 無線網(wǎng)絡的信號是在空氣中傳播的�,任一無線終端進入了設備信號的覆蓋范圍,都有可能連接到該無線網(wǎng)絡��。所以醫(yī)院內(nèi)部無線網(wǎng)絡安全的第一步就是���,合理規(guī)劃AP的放置����,掌控信號覆蓋范圍�����。在架設無線AP之前���,必須選定一個合理的放置位置�,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離����。最好放在需要覆蓋的區(qū)域中心��,盡量減少信號泄露到區(qū)域外����。
5.2無線網(wǎng)絡加密�,建立用戶認證 對于醫(yī)院內(nèi)部無線網(wǎng)絡的進行加密,建立用戶認證�����,設置相關(guān)登錄用戶名和密碼,而且要定期進行變更�����,使非法用戶不能登錄到無線設備��,修改相關(guān)參數(shù)��。實際上對無線網(wǎng)絡來說�,加密更像是一種威懾���。加密可細分為兩種類型:數(shù)據(jù)保密業(yè)務和業(yè)務流保密業(yè)務。只有使用特定的無線網(wǎng)絡加密方式�����,才會在降低方便性的情況下�����,提高安全性����。
5.3 SSID設置 無線 AP 默認的設置會廣播SSID�����,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡�����,例如WINDOWS自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡的 SSID 羅列出來��。因此�����,設置AP不廣播SSID���,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串����,同時設置SSID隱藏起來���,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡�����,即便他知道有一個無線網(wǎng)絡存在,但猜不出 SSID 全名也是無法接入到這個網(wǎng)絡中去�����,以此保證醫(yī)院內(nèi)部無線網(wǎng)絡的安全����。
5.4 MAC地址過濾 MAC 地址過濾在有線網(wǎng)絡安全措施中是一種常見的安全防范手段����,因此其操作方法也和在有線網(wǎng)絡中操作交換機的方式一致����。通過無線控制器將指定的無線網(wǎng)卡的MAC 地址下發(fā)到各個AP中,或者直接存儲在無線控制器中���,或者在AP交換機端進行設置��。
5.5 SSL VPN 進行數(shù)據(jù)加密和訪問控制 由于在實際醫(yī)療活動中���,為了滿足診斷、科研及教學需要���,必須經(jīng)常大量采集���、、利用各種醫(yī)療數(shù)據(jù)��。由于原有醫(yī)院網(wǎng)絡的相對封閉性���,絕大多數(shù)的應用系統(tǒng)采用的都是未經(jīng)加密的數(shù)據(jù)包進行數(shù)據(jù)交換���,但是醫(yī)院內(nèi)部無線網(wǎng)絡是相對開放性的網(wǎng)絡�����,入侵者通過對無線信號中數(shù)據(jù)包的偵聽與解析�,使得醫(yī)療信息泄漏成為了醫(yī)院不得不面對的問題�。SSL VPN 即指采用SSL 協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)。SSL VPN 基于瀏覽器的認證方式����,能兼容醫(yī)院主流的無線終端設備操作系統(tǒng),如Windows�、Android、IOS��,而VPN 的方式又能保證醫(yī)院信息系統(tǒng)的正常運行�。SSL VPN在解決醫(yī)院無線網(wǎng)絡數(shù)據(jù)加密的同時,最大限度地保障了醫(yī)院信息系統(tǒng)的投資���。
5.6核心網(wǎng)絡隔離 一旦攻擊者進入無線網(wǎng)絡,它將成為進一步入侵其他系統(tǒng)的起點�。很多網(wǎng)絡都有一套經(jīng)過精心設置的安全設備作為網(wǎng)絡的外殼�,以防止非法攻擊�����, 但是在外殼保護的網(wǎng)絡內(nèi)部確是非常的脆弱容易受到攻擊的�。無線網(wǎng)絡可以通過簡單配置就可快速地接入網(wǎng)絡主干,但這樣會使網(wǎng)絡暴露在攻擊者面前�����。所以必須將無線網(wǎng)絡同易受攻擊的核心網(wǎng)絡進行一定的安全隔離保護��,應將醫(yī)院內(nèi)部無線網(wǎng)絡布置在核心網(wǎng)絡防護外殼的外面, 如防火墻�、網(wǎng)閘等安全設備的外面,接入訪問核心網(wǎng)絡采用SSL VPN等方式�����。
5.7入侵檢測系統(tǒng)(IDS) IDS(Intrusion Detection Systems)入侵檢測系統(tǒng)��,不是只針對無線網(wǎng)絡檢測的系統(tǒng)���,同樣也適用于有線網(wǎng)絡。入侵檢測技術(shù)可以把無線網(wǎng)絡的安全管理能力擴展到安全審計��、安全檢測、攻擊識別和響應等范疇����。這樣不僅提高了網(wǎng)絡的信息安全基礎結(jié)構(gòu)的完整性,而且?guī)椭鷮Ω稅阂庥脩魧φw醫(yī)院網(wǎng)絡內(nèi)其他用戶的攻擊�����。依照醫(yī)院無線應用系統(tǒng)的安全策略�����,對網(wǎng)絡及信息系統(tǒng)的運行狀況進行監(jiān)視���,發(fā)現(xiàn)各種攻擊企圖����、攻擊行為及攻擊結(jié)果����,以保證網(wǎng)絡系統(tǒng)資源的完整性、可用性和機密性�。
5.8終端準入控制 終端準入控制主要為了在用戶訪問網(wǎng)絡之前確保用戶的身份信任關(guān)系。利用終端準入控制�����,醫(yī)院能夠減少對系統(tǒng)運作的部分干擾����,因為它能夠防止易損主機接入網(wǎng)絡。在終端利用醫(yī)院內(nèi)部無線網(wǎng)絡接入之前�,首先要檢查它是否符合制定的策略,可疑主機或有問題的主機將被隔離或限制接入�。這樣不但可以防止這些主機成為蠕蟲和病毒攻擊的目標,還可以防止這些主機成為傳播病毒的源頭�,保證只有在滿足終端準入控制策略的無線終端設備才能接入醫(yī)院網(wǎng)絡。
6結(jié)論
隨著無線網(wǎng)絡越來越受到普及����,本文淺析了醫(yī)院內(nèi)部無線網(wǎng)絡存在的幾種安全隱患,并探討了對應的幾種防范策略�。總的來說��,世界上不存在絕對安全的網(wǎng)絡��,任何單一的安全技術(shù)都不能滿足無線網(wǎng)絡持續(xù)性的安全需求����,只有增強安全防范意識�,綜合應用多種安全技術(shù)��,根據(jù)不同的醫(yī)院自身應用的特點��,選擇相應的安全防范措施�����,通過技術(shù)管理和使用方法上的不斷改進���,才能實現(xiàn)醫(yī)院無線網(wǎng)絡的安全運行����。
參考文獻:
[1]Zerone無線安全團隊.無線網(wǎng)絡黑客攻防[J].中國鐵道出版社����,2011(10).
[2]中國密碼學會,無線網(wǎng)絡安全[J].電子工業(yè)出版社�,2011(9).
篇2
關(guān)鍵詞:內(nèi)部網(wǎng)絡;安全��;Web Service
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一�、系統(tǒng)安全模型
內(nèi)網(wǎng)即Intranet,是相對于外網(wǎng)Extranet而言的。廣義上人們認為所有的黨政機關(guān)����、企事業(yè)單位的內(nèi)部網(wǎng)絡都稱為內(nèi)網(wǎng)�����,而狹義上我們認為與互聯(lián)網(wǎng)物理隔離的辦公網(wǎng)�、局域網(wǎng)、城域網(wǎng)或是廣域網(wǎng)都可能是內(nèi)網(wǎng)���。在內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)中����,我們所定義的內(nèi)網(wǎng)是指物理上直接連接或通過交換機�����、路由器等設備間接連接的企業(yè)內(nèi)部信息網(wǎng)絡�����,它可以是單一的局域網(wǎng)��,也可以是跨越Internet的多個局域網(wǎng)的集合。如圖1所示�����,是典型企業(yè)局域網(wǎng)網(wǎng)絡拓撲圖����。
圖1.企業(yè)局域網(wǎng)網(wǎng)絡拓撲圖
內(nèi)部網(wǎng)絡安全管理系統(tǒng)的目的就是通過系統(tǒng)部署,能在企業(yè)內(nèi)網(wǎng)中����,建立一種更加全面、客觀和嚴格的信任體系和安全體系���,通過更加細粒度的安全控制措施��,對內(nèi)網(wǎng)的計算機終端行為進行更加具有針對性的管理和審計����,對信息進行生命周期的完善管理���,借助這個整體一致的內(nèi)網(wǎng)安全管理平臺�,為內(nèi)網(wǎng)構(gòu)建一個立體的防泄密體系��,使內(nèi)網(wǎng)達到可信任、可控制和可管理的目的����。根據(jù)P2DR安全模型得出結(jié)論,要實現(xiàn)內(nèi)網(wǎng)的安全�,必須做到及時的檢測、響應�����。因此�����,內(nèi)部網(wǎng)絡安全管理系統(tǒng)的安全模型是基于靜態(tài)的安全防護策略�����,覆蓋了P2DR安全模型中的防護����、檢測和響應三個階段���,由安全策略���、策略執(zhí)行�����、監(jiān)控響應�、審計和管理支持五個環(huán)節(jié)組成�����。
安全策略是整個內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)的核心���,它滲透到系統(tǒng)的策略執(zhí)行���、監(jiān)控響應、審計�����、管理支持等各個環(huán)節(jié)����,所有的監(jiān)控響應、審計都是依據(jù)安全策略實施的�����。安全策略包括監(jiān)控策略、審計策略�����、響應策略���、系統(tǒng)管理策略��。管理支持是指系統(tǒng)管理員操作的相關(guān)接口�����,即用戶界面。它提供對系統(tǒng)運行相關(guān)參數(shù)的配置���、各類策略的制定��、系統(tǒng)的授權(quán)管理操作����。策略執(zhí)行是指通知制定的策略����,并確保策略的成功實施����。監(jiān)控響應是根據(jù)制定的安全策略�,對系統(tǒng)管理員和內(nèi)網(wǎng)的計算機終端活動進行監(jiān)測和響應,提供對安全事件的記錄和上報�。它是強制實施安全策略的有利工具,也是內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)最為重要的一個環(huán)節(jié)����,是系統(tǒng)功能的核心,主要通NDIS-HOOK數(shù)據(jù)包技術(shù)���、Win Pcap網(wǎng)絡管理技術(shù)等來實現(xiàn)�。審計是指對安全事件的報警�、日志的統(tǒng)計分析。安全事件是由“監(jiān)控響應”環(huán)節(jié)生成的�。根據(jù)安全事件的嚴重程度,按照報警策略�,向系統(tǒng)管理員提供能夠報警信息。
二�、系統(tǒng)結(jié)構(gòu)設計
(一)系統(tǒng)功能
系統(tǒng)的總體設計,旨在從系統(tǒng)應用的角度����,明確系統(tǒng)的功能���;從系統(tǒng)開發(fā)的角度,設計系統(tǒng)的邏輯結(jié)構(gòu)模塊��,便于編程實現(xiàn)��;從系統(tǒng)部署的角度�,規(guī)劃系統(tǒng)的物理結(jié)構(gòu)分布以實施系統(tǒng)的運行。內(nèi)網(wǎng)安全網(wǎng)絡管理系統(tǒng)的目的是構(gòu)建一個整體一致的內(nèi)網(wǎng)安全體系�,從網(wǎng)絡協(xié)議方面看,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)適合于任何基于TCP/IP協(xié)議的網(wǎng)絡�����,不管是Internet還是Intranet����,都能充分發(fā)揮作用�。從操作系統(tǒng)方面看,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)主要針對目前主流的Windows桌面操作系統(tǒng)����,包括Windows2000�,Windows XP����,可隨著操作系統(tǒng)的發(fā)展和用戶的實際需求,開發(fā)相應的適用版本��。
從用戶群方面看��,內(nèi)網(wǎng)安全監(jiān)管審計系統(tǒng)適用于幾乎所有對內(nèi)網(wǎng)安全管理有需求的單位����,特別是黨政軍警機要部門、國家核心技術(shù)研究院所�����、高新科技企業(yè)��、金融機構(gòu)等部門��。根據(jù)對內(nèi)網(wǎng)安全產(chǎn)品的分析和內(nèi)網(wǎng)安全的特點����,內(nèi)部網(wǎng)絡安全管理系統(tǒng)的功能主要包括接入控制,行為監(jiān)控�,網(wǎng)絡管理����,補丁管理����,實時監(jiān)聽,WEB管理平臺六個方面��,并且這六個方面是緊密結(jié)合��、相互聯(lián)動的���。
(二)客戶端模塊設計
1.接入控制線程:包括終端接入控制�,非法外聯(lián)實時監(jiān)測和策略管理模塊�����,實現(xiàn)終端信息注冊����、用戶登錄���、登錄策略更新�����、客戶端軟件安裝版本驗證�、客戶端操作系統(tǒng)版本及補丁驗證����、客戶端殺毒軟件版本驗證�、安全策略版本驗證�����、安全策略更新以及網(wǎng)絡層防護策略,包括IP地址訪問控制、TCP端口訪問控制、UDP端口訪問控制����、IP地址+端口號的訪問控制��,終端流量的監(jiān)控等功能�。
2.客戶端監(jiān)控線程:包括終端軟件安裝管理�,終端進程管理����,終端殺毒軟件管理模塊���,用于監(jiān)控終端行為并根據(jù)策略對違規(guī)行為進行處理�,同時加密發(fā)送事件報警信息并記錄日志���。具體做法是讀取終端安全策略,根據(jù)安全策略進行進程運行監(jiān)控、服務運行監(jiān)控�、軟件安裝監(jiān)控���、網(wǎng)絡流量監(jiān)控,并對違規(guī)事件進行事件告警和日志記錄等功能����。
3.終端實時控制監(jiān)聽線程:包括點對點實時監(jiān)控管理模塊����,接收服務端實時查詢消息,獲取客戶端運行時信息����,包括系統(tǒng)CPU使用率���,內(nèi)存�,硬盤使用情況����,系統(tǒng)進程列表�����,系統(tǒng)服務列表、硬件清單����、安裝程序清單和網(wǎng)絡流量,并把終端信息加密發(fā)送到服務器��。
4.補丁管理線程:包括操作系統(tǒng)版本和補丁管理模塊�����,掃描本機注冊表中的Hot fix項����,得到本機的補丁安裝信息,對比指派給本機的補丁策略�����,得到需要下載安裝的補丁列表���,再從局域網(wǎng)服務器下載并安裝相應補丁。
(三)服務器模塊設計
1.內(nèi)網(wǎng)終端安全主程序:負責啟動或停止登錄驗證進程�����、運行狀態(tài)監(jiān)控進程、終端實時控制信息進程�。維護進程之間的共享數(shù)據(jù)(終端會話列表),實時策略下發(fā)功能��。
2.登錄驗證進程:包括終端注冊管理�、終端登錄管理、TCP監(jiān)聽�、加解密密鑰協(xié)商、策略下發(fā)模塊�����。實現(xiàn)監(jiān)聽終端請求�����,接收并解密客戶端消息��,處理終端注冊請求���,并記入數(shù)據(jù)庫����;處理終端的登錄請求�,驗證終端的登錄信息����,驗證通過后向客戶端發(fā)送最新安全策略�����。
3.運行狀態(tài)監(jiān)控進程:包括探測消息�,終端告警消息處理模塊,實現(xiàn)探測消息接收�����,以確定客戶端是否在線�,并修改終端會話狀態(tài);接收終端告警消息�,進行解密處理并將相關(guān)信息記入數(shù)據(jù)庫,以便管理員查詢�。
4.終端實時控制信息進程:包括終端信息實時查詢和策略下發(fā)模塊。接收客戶端程序發(fā)來的終端信息��,為WEB服務提供終端信息實時查詢的功能�。另外在管理員通過WEB界面更改策略后,后實時向相關(guān)終端下發(fā)最新策略�。
5.網(wǎng)絡管理進程:基于Win Pcap實現(xiàn)防止局域網(wǎng)A印欺騙的功能�。Win Pcap(windows packet capture)它具有訪問網(wǎng)絡底層的能力,提供了捕獲原始數(shù)據(jù)包,按照一定規(guī)則過濾數(shù)據(jù)包�����,以及發(fā)送原始數(shù)據(jù)包功能���。通過捕獲并分析局域網(wǎng)的網(wǎng)絡數(shù)據(jù)包���,可以判斷局域網(wǎng)是否發(fā)生欺騙,進而采取措施來防止欺騙�����。
6.補丁管理進程:基于CXF和WSS4J的安全的Web.Service實現(xiàn)����,通過這種方式從遠程TJHN服務器獲取最近補丁列表,通過比對當前本機服務器獲取遠程補丁列表��,從官方網(wǎng)站下載所需補丁�����。
(四)Web管理平臺模塊設計
用戶管理模塊:對可以登錄Web的用戶進行管理���;提供用戶登錄����。終端審批模塊:對申請接入的終端請求進程審批。策略配置模塊:對單個策略進行管理���,主要包括進程��,服務����,安裝軟件的黑白名單策略�����,網(wǎng)絡過濾策略��,流量閡值設置�����;對策略分組進行管理�����。終端查詢模塊:向終端發(fā)送點對點消息,查詢并展示實時的終端運行信息���,包括CPU占用率,硬盤�����,內(nèi)存使用情況����,運行進程,服務�����,安裝軟件���,實時流量信息���。日志查詢模塊:查詢終端運行告警日志,包括運行進程告警�����,服務告警,安裝軟件告警����,流量異常告警,網(wǎng)絡阻斷告警��。
參考文獻:
[1]黃澤界.一種遠程視頻監(jiān)控系統(tǒng)的實現(xiàn)[J].安防科技,2008,2
[2]胡愛閩.基于DM642的網(wǎng)絡視頻監(jiān)控系統(tǒng)[J].安防科技,2008,9
[3]王文聯(lián),侯,周先存.基于NDIS中間驅(qū)動程序的防火墻的研究與實現(xiàn)[J].安徽建筑工業(yè)學院學報(自然科學版),2004,1
[4]胡珊,張冰.利用SPI控制計算機上網(wǎng)[J].鞍山科技大學學報,2004,5
篇3
總體管理要求
首先看一下數(shù)字出版的特點���。
數(shù)字業(yè)務形態(tài)多樣:目前數(shù)字出版產(chǎn)品形態(tài)主要包括電子圖書��、數(shù)字報紙�����、數(shù)字期刊����、網(wǎng)絡原創(chuàng)文學�、網(wǎng)絡教育出版物、網(wǎng)絡地圖�����、數(shù)字音樂、網(wǎng)絡動漫�����、網(wǎng)絡游戲��、數(shù)據(jù)庫出版物�、手機出版��、App應用程序等���,豐富的業(yè)務形態(tài)要求網(wǎng)絡提供多種接入方式��、多種內(nèi)容共享方式���,同時要保證安全。
強調(diào)對數(shù)字化資源的管理:國外知名出版公司特別強調(diào)對數(shù)字化資源的管理����,很多公司通過建設自己的內(nèi)容管理平臺來更有效地建設、管理和重用數(shù)字化資源����。湯姆森公司委托其下屬的Course Technology、Delmar�����、Promotric和NETg開發(fā)內(nèi)容管理平臺LLG,計劃五年內(nèi)完成��;培生內(nèi)部已經(jīng)運行了WPS����,與前臺的Coursecompass結(jié)合以更加有效的建設模式為學校提供服務;麥格勞-希爾出版公司已經(jīng)成功地將內(nèi)容管理平臺運用在百科全書的出版上��。
整體安全性要求高:數(shù)據(jù)化資源對整體安全性要求較高���,現(xiàn)在網(wǎng)上支付手段豐富�,如快錢��、Paypal����、支付寶等都需要在純凈的網(wǎng)絡環(huán)境進行操作,以保護機構(gòu)和個人財產(chǎn)安全��;要求建立完善的數(shù)字版權(quán)機制��,保障作者、編輯單位的合法權(quán)益�����;網(wǎng)上交易和傳播的數(shù)字內(nèi)容越來越多�����。網(wǎng)絡安全形勢十分嚴峻����,域名劫持�����、網(wǎng)頁篡改等事件時有發(fā)生�,給網(wǎng)民和機構(gòu)造成了嚴重影響和重大損失。工業(yè)和信息化部2010年的數(shù)據(jù)表明�,僅中國網(wǎng)民每年需要為網(wǎng)絡攻擊支付的費用就達到153億元之多。
筆者認為���,網(wǎng)絡的應用在出版機構(gòu)一般經(jīng)過三個發(fā)展階段:第一為溝通交流階段�����,在這個階段�����,出版機構(gòu)的工作人員上互聯(lián)網(wǎng)��、了解外界知識���、通過即時通信工具溝通信息等�。第二階段為管理應用階段�����,在這個階段�,工作人員通過網(wǎng)絡協(xié)同辦公,出版機構(gòu)采用ERP�、財務管控系統(tǒng)等內(nèi)部業(yè)務管理系統(tǒng)。第三階段為創(chuàng)造�、創(chuàng)新階段,出版機構(gòu)使用綜合業(yè)務系統(tǒng)進行數(shù)字內(nèi)容收集���、組織或加工�����,形成數(shù)字資產(chǎn)���,通過網(wǎng)絡進行推廣�。
根據(jù)這三個階段的應用特點�,可以將管理要求歸結(jié)為:第一個階段應用比較簡單,用戶都可以使用網(wǎng)絡��,要求網(wǎng)速快���、安全性要求不高����;第二個階段�,并非所有用戶都能進入內(nèi)部網(wǎng)絡���,設定上網(wǎng)權(quán)限��,同時能對帶寬進行有效管理����,防止員工濫用網(wǎng)絡而擠占主要業(yè)務的網(wǎng)絡帶寬��,防止堡壘在內(nèi)部被攻破;第三個階段有了較多的數(shù)字資產(chǎn)��,要防止網(wǎng)窺和盜竊行為發(fā)生�����,主動防御來自互聯(lián)網(wǎng)端的威脅����,防止業(yè)務流數(shù)據(jù)和內(nèi)容數(shù)據(jù)出現(xiàn)問題,保證數(shù)據(jù)安全��,即能處理來自外部�����、內(nèi)部的威脅�,保存好數(shù)據(jù),防范非法入侵���。
管理及技術(shù)分析
根據(jù)數(shù)字出版的業(yè)務特點����,筆者總結(jié)了消除網(wǎng)絡安全隱患的策略�。
在第一應用階段���,網(wǎng)絡中有防火墻、核心路由等元素�,要保障物理線路暢通,具備一定的安全性�����。篇幅所限�,這里不詳細描述了。
第二應用階段要求建立終端準入機制和應用控制機制���。
此階段遇到的挑戰(zhàn):用戶多導致內(nèi)部安全問題�,帶寬濫用情況嚴重�����。內(nèi)網(wǎng)的安全事件約有70%來源于內(nèi)網(wǎng)的接入終端��,雖然網(wǎng)絡中使用了一些安全措施如應用防火墻����、網(wǎng)絡設備訪問控制規(guī)則等改進了網(wǎng)絡的安全性����,但由于網(wǎng)內(nèi)終端數(shù)量較大��、Windows系統(tǒng)的不穩(wěn)定和多處漏洞�,終端用戶的應用水平參差不齊等造成內(nèi)網(wǎng)安全事件頻發(fā)���。對內(nèi)網(wǎng)終端的安全隱患管理和處理方法概括如下:建立用戶接入準入制度��,防止截取地址信息隨意接入�����,對合法用戶接入訪問權(quán)限進行細化�����,加強整網(wǎng)應用安全機制��。
同時����,應用也存在監(jiān)管的問題�,如員工在日常工作時間進行P2P下載、看影視等從而擠占正常業(yè)務的網(wǎng)絡帶寬��。因此,系統(tǒng)中要設應用控制網(wǎng)關(guān)�����,對帶寬進行有效管理�,提供足夠帶寬給ERP、財務處理等主要業(yè)務����,滿足吞吐量要求。網(wǎng)內(nèi)用戶上網(wǎng)行為復雜����,網(wǎng)絡中的異常流量、即時通信流量逐步增大����,侵占了原本就不富余的出口帶寬;爆發(fā)內(nèi)網(wǎng)安全事件時也會出現(xiàn)相應的流量異常�����,因此網(wǎng)內(nèi)要設有行之有效的流量控制和分析手段���,以便對網(wǎng)絡進行流量監(jiān)管以及安全事件的快速定位�。
在第三應用階段�,可通過入侵檢測系統(tǒng)進行主動防御,對入網(wǎng)設備進行終端準入�����,建立獨立存儲甚至遠程異地災備系統(tǒng)���。網(wǎng)絡入侵防御系統(tǒng)是一種在線部署產(chǎn)品����,旨在準確監(jiān)測網(wǎng)絡異常流量���,自動對各類攻擊性的流量��,尤其是應用層的威脅進行實時阻斷���,而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產(chǎn)品彌補了防火墻��、入侵檢測等產(chǎn)品的不足���,提供動態(tài)的��、深度的��、主動的安全防御���,提供一個全新的入侵保護��。
第三階段是較高級應用階段�,因數(shù)字出版應用內(nèi)容豐富�����、強調(diào)應用安全�����、響應速度��,網(wǎng)絡技術(shù)參數(shù)設定要對應用需求有足夠響應���。
安全網(wǎng)絡應用實例
下面是一個出版公司在保障網(wǎng)絡安全方面的具體方案�,其他數(shù)字出版企業(yè)也可以從中借鑒�����。
一、使用一臺IP存儲解決專業(yè)存儲問題�。
信息或數(shù)據(jù)在IT系統(tǒng)中���,必然處于計算�、存儲����、傳輸三個狀態(tài)之一。這三個方面也正好對應于整個IT架構(gòu)的三個基礎架構(gòu)單元――計算����、存儲和網(wǎng)絡。該方案選用一套高端SAN存儲作為整個信息系統(tǒng)的核心在線存儲����。
該方案中,核心存儲設備通過IP SAN交換機與局域網(wǎng)多臺服務器建立連接。服務器通過普通千兆網(wǎng)卡或iSCSI HBA卡接入IP SAN。核心存儲設備提供海量存儲空間,實現(xiàn)高穩(wěn)定性���、高可靠性的數(shù)據(jù)集中和存儲資源統(tǒng)一管理。核心存儲設備可以混插高性能的SAS磁盤和大容量的SATA II磁盤�����,單臺設備即可滿足兩種不同的應用需求����,大大提高設備性價比�����。核心存儲也可以滿足包括數(shù)據(jù)庫�����、Web、OA����、文件等多個應用的集中訪問需求��。ERP應用作為關(guān)鍵應用之一����,IX3000存儲上為其提供獨立的存儲空間,并采用15000轉(zhuǎn)的SAS硬盤��。
二、以應用控制網(wǎng)關(guān)解決帶寬利用和用戶上網(wǎng)行為監(jiān)管問題����。
公司員工越來越依賴于互聯(lián)網(wǎng)的同時,上網(wǎng)行為卻不能得到有效控制和管理�,不正當?shù)厥褂没ヂ?lián)網(wǎng)從事各種活動(如網(wǎng)上炒股�、玩游戲等)會造成公司外網(wǎng)運行效率下降����、帶寬資源浪費����、商業(yè)信息泄密等問題。該公司的財務部曾反映�����,在制作半年報期間網(wǎng)絡時常不通��,導致工作無法進行�����。經(jīng)查是防火墻嚴重超負荷造成,負載時常超過90%���,這些都是過度使用網(wǎng)絡資源產(chǎn)生的后果�。
該公司的解決方案如下:在公司出口防火墻與核心交換機之間部署一臺應用控制網(wǎng)關(guān)���。該網(wǎng)關(guān)可以很好地完成公司信息中心對員工行為監(jiān)管的需求��,針對P2P/IM��、網(wǎng)絡游戲�����、炒股����、非法網(wǎng)站訪問等行為�,可以進行精細化識別和控制,解決帶寬濫用影響正常業(yè)務����、員工工作效率低下��、訪問非法網(wǎng)站感染病毒蠕蟲的問題,幫助公司規(guī)范網(wǎng)絡的應用層流量����,為公司創(chuàng)造一個良好的網(wǎng)絡使用環(huán)境。
三����、通過端點安全準入系統(tǒng)EAD解決終端安全問題。
為了彌補公司現(xiàn)有安全防御體系中存在的不足�����,公司部署了一套端點安全準入防御系統(tǒng)�,旨在加強對員工電腦的集中管理,統(tǒng)一實施安全策略����,提高網(wǎng)絡終端的主動抵抗能力。終端安全準入防御將防病毒�、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權(quán)限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系���,通過對網(wǎng)絡接入終端的檢查����、隔離、修復�、管理和監(jiān)控,使整個網(wǎng)絡變被動防御為主動防御�,變單點防御為全面防御,變分散管理為集中策略管理��,提升了網(wǎng)絡對病毒����、蠕蟲等新興安全威脅的整體防御能力。
終端安全準入防御通過安全客戶端�、安全策略服務器、接入設備以及病毒庫服務器�、補丁服務器的相互配合,可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)����,防止“危險”客戶端對網(wǎng)絡安全的損害,避免“易感”客戶端受病毒��、蠕蟲的攻擊�。
四、使用入侵檢測系統(tǒng)阻止來自互聯(lián)網(wǎng)的攻擊行為����。
在公司互聯(lián)網(wǎng)出口部署1套千兆硬件入侵防御系統(tǒng)�����,專門針對公司服務器應用層進行防護,填補防火墻安全級別不夠的問題�����,并與防火墻一起實現(xiàn)公司網(wǎng)絡L2-L7層立體的、全面的安全防護。
千兆高性能IPS入侵檢測系統(tǒng)可以針對公司W(wǎng)eb服務器三層架構(gòu)中的底層操作系統(tǒng)�����、中間層數(shù)據(jù)庫服務���、上層網(wǎng)頁程序的每一層提供安全防護。為公司W(wǎng)eb服務器提供包括漏洞利用����、SQL注入、蠕蟲��、病毒��、木馬����、協(xié)議異常等在內(nèi)的應用層安全威脅的防范���,防止網(wǎng)頁被篡改的發(fā)生,并在每檢測和阻斷一個針對Web服務器的安全威脅之后���,記錄一條安全日志���,為公司服務器的安全審計和安全優(yōu)化提供全面的依據(jù)。
綜合管理措施
筆者認為����,要維護數(shù)字出版公司網(wǎng)絡安全,在網(wǎng)絡綜合管理上要同時做好以下幾點:
制定合理有效的計算機網(wǎng)絡系統(tǒng)工作管理規(guī)定��,明確責任�����,分工到人��。
設置全集團(公司)網(wǎng)絡管理員制度��,各分(子)公司專人對網(wǎng)絡和終端進行管理�。
中心機房設置專人管理機房網(wǎng)絡設備��,定期檢查并分析設備日志���,定期升級軟件和補丁,防止“破窗”出現(xiàn)���,發(fā)現(xiàn)異常及時處理。
定期召開網(wǎng)絡應用會議�����,通報網(wǎng)絡安全情況��,部署下一階段工作重點���。要打造一支能協(xié)同的團隊���,這比單純有幾臺好設備要復雜,培訓�����、協(xié)同和組織要付出更多心血�。
篇4
[摘 要] 目的: 醫(yī)院信息系統(tǒng)平臺逐漸成為醫(yī)院醫(yī)療業(yè)務的核心支撐平臺����,須加強醫(yī)院信息系統(tǒng)安全��;方法:通過網(wǎng)絡安全的綜合設計和實施���,采用冗余設備�����、三層網(wǎng)絡架構(gòu)�����、統(tǒng)一網(wǎng)管中心控制���、虛擬網(wǎng)絡劃分、核心防火墻及IPS����、堡凈統(tǒng)一管理設備、數(shù)據(jù)庫和網(wǎng)絡審計等多種技術(shù)�,同時結(jié)合安全管理制度等;結(jié)果:構(gòu)建較完備的醫(yī)院網(wǎng)絡安全體系�,取得了良好的效果結(jié)果�����、結(jié)論 :信息系統(tǒng)安全是系統(tǒng)工程����,要從各方面著手����,防止短板��。
[關(guān)鍵詞] 網(wǎng)絡系統(tǒng)安全�����;安全管理����;管理制度;木桶原理
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 05. 088
[中圖分類號] R197.3����;TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2017)05- 0164- 03
0 引 言
隨著新醫(yī)改的不斷深入,作為其重要支柱之一的醫(yī)院信息系統(tǒng)建設進入了高速發(fā)展的快車道�����,成為醫(yī)院日常醫(yī)療工作和管理工作的基礎平臺。2013年�,我院新建了醫(yī)院信息系統(tǒng)項目,包括機房建設�、網(wǎng)絡建設、軟件系統(tǒng)建設���、硬件建設等部分����。醫(yī)院特點決定醫(yī)院信息系統(tǒng)必須365*24小時不間斷正常運行�,網(wǎng)絡、系統(tǒng)軟硬件的損壞和故障����,或者是數(shù)據(jù)信息泄露,都會醫(yī)院帶來不可估量的損失�����,影響患者正常就診����,甚至危及醫(yī)院的生存和發(fā)展�。因此���,構(gòu)建安全的醫(yī)院網(wǎng)絡系統(tǒng)���,保障系統(tǒng)和信息系統(tǒng)安全,是各醫(yī)院都很關(guān)心的問題�。
醫(yī)院網(wǎng)絡安全系統(tǒng)是個系統(tǒng)工程,其符合“木桶原理”���,系統(tǒng)的安全程度取決于最短的那塊板�����,我院從硬件、網(wǎng)絡��、系統(tǒng)�、審計監(jiān)管、防病毒����、安全制度等各個方面采取了多種措施,保障了信息系統(tǒng)安全、網(wǎng)絡安全���。
1 網(wǎng)絡系統(tǒng)安全
1.1 鏈路安全
為避免核心網(wǎng)絡系統(tǒng)單點故障����,提高網(wǎng)絡系統(tǒng)的健壯性�、容錯性和性能,我院在網(wǎng)絡核心層采用了H3C的IRF2(Intelligent Resilient Framework���,智能彈性架構(gòu))技術(shù)����, IRF2將兩臺華三10508核心交換機通過IRF物理端口連接在一起�����,虛擬化成一臺邏輯核心交換設備�����,集合了兩臺設備的硬件資源和軟件處理能力���,實現(xiàn)兩臺設備的統(tǒng)一簡化管理和不間斷維護�,提高了網(wǎng)絡對突發(fā)事故的自動容錯能力,最大程序降低了網(wǎng)絡的失效時間��,提高了鏈路的利用率和轉(zhuǎn)發(fā)效率�����。
在核心層10580交換機與會聚層5800交換機間采用萬兆光纖交叉互聯(lián)�����,線路間做鏈路聚合�����,增加鏈路帶寬�����、實現(xiàn)鏈路傳輸彈性和冗余�。同時�,核心交換機與會聚層交換機全部配備雙電源和雙風扇組,雙電源分別插兩路不同PDU電源插痤����,盡量避免單點故障����。
1.2 網(wǎng)絡層次分明����,方便管理
數(shù)據(jù)中心服務器到所有的桌面終端計算機最多通過三層網(wǎng)絡,即核心層����、會聚層和接入層,三層網(wǎng)絡交換機各師其職��,層次分明��。核心層是網(wǎng)絡的高速交換主干��,負責數(shù)據(jù)轉(zhuǎn)發(fā)���;匯聚層提供基于策略的連接�,是網(wǎng)絡接入層和核心層的“中介”�,工作站接入核心層前須先做匯聚,實施策略�、安全、工作組接入�����、虛擬局域網(wǎng)(VLAN)之間的路由、源地址或目的地址過濾等多種功能��,減輕核心層設備的負荷�;接入層提供工作站接入網(wǎng)絡功能。同時�����,我院每棟業(yè)務樓都建設了網(wǎng)絡設備間����,安裝了空調(diào)和不間斷電源,統(tǒng)一管理該樓內(nèi)所有的會聚層和接入層交換機��,保證所有的設備都有良好的運行環(huán)境���,同時便于管理和維護����。
1.3 劃分VLAN�����,提高性能和安全性
醫(yī)院信息系統(tǒng)服務主要以訪問數(shù)據(jù)庫服務器為主�����,數(shù)據(jù)縱向訪問多����,橫向少,同時���,我院許多樓又都綜合了門診住院醫(yī)療系統(tǒng)�����、醫(yī)技系統(tǒng)等��,我們根據(jù)其特點��,將網(wǎng)絡按樓宇劃分為10多個VLAN子網(wǎng)�,并將有特殊需求的應用(如財務科賬務專網(wǎng)等)���,單獨劃分VLAN�����。通過VLAN劃分�����,控制廣播范圍�,抑制廣播風暴,提高了局域網(wǎng)的整體性能和安全性����。
1.4 網(wǎng)絡核心層安裝防火墻板卡與IPS板卡,保證服務器區(qū)安全
醫(yī)院服務器區(qū)是醫(yī)院系統(tǒng)運行核心�����,一旦被侵入或感染病毒����,將影響醫(yī)院的正常醫(yī)療業(yè)務,影響病人就診�����,我院每日門診人次3 000多人��,住院患者1 600多人,數(shù)據(jù)庫出問題�,將造成重大的社會影響和嚴重后果,故我們在核心層華三10 508交換機上安裝了SecBlade FW Enhanced增強型防火墻業(yè)務處理板卡和PS插卡����,設定了防入侵和攻擊的規(guī)則����,過濾非法數(shù)據(jù),防范病毒確保服務器區(qū)安全����。
1.5 智能網(wǎng)管中心
隨著網(wǎng)絡應用越來越復雜,網(wǎng)絡安全控制��、性能優(yōu)化����、運營管理等問題成為困擾用戶的難題,并直接決定了醫(yī)院核心業(yè)務能否順利開展���。我們采用了專門的網(wǎng)管系統(tǒng)�,通過軟件的靈活控制�����,與相應的硬件設備配合,建立了網(wǎng)絡安全控制中心�����、性能優(yōu)化中心和運營管理中心����。通過網(wǎng)管系統(tǒng),我們能實時監(jiān)管網(wǎng)絡的運行情況�,監(jiān)管網(wǎng)絡的故障和報警,監(jiān)管和分配網(wǎng)絡流量���,優(yōu)化網(wǎng)絡性能�����,使整個網(wǎng)絡可管可控��。我院網(wǎng)絡管理員常用的網(wǎng)管功能有資源管理�����、拓撲管理和故障(告警/事件)管理等����。
網(wǎng)管系統(tǒng)的資源管理可管理網(wǎng)絡設備、接口�����,顯示設備的詳細信息和接口詳細信息和實時性能狀態(tài)��; 拓撲管理可自動發(fā)現(xiàn)全網(wǎng)設備的拓撲視圖�����,通過拓撲圖能夠清晰地看到醫(yī)院網(wǎng)絡的狀態(tài)���,包括運行是否正常、網(wǎng)絡帶寬����、連通等。
故障(告警/事件)管理����,是網(wǎng)管系統(tǒng)的核心功能之一,包括設備告警�、網(wǎng)管站告警、網(wǎng)絡性能監(jiān)視告警、終端安全異常告警等��,告警事件可通過手機短信或E-mail郵件的方式����,及時通知管理員,實現(xiàn)遠程網(wǎng)絡的監(jiān)控和管理�。
1.6 醫(yī)院內(nèi)網(wǎng)、外網(wǎng)間隔離和訪問通道
醫(yī)院內(nèi)部的網(wǎng)絡分為醫(yī)院辦公外網(wǎng)(用于日常辦公�����,可上互聯(lián)網(wǎng))和業(yè)務內(nèi)網(wǎng)��,為保證醫(yī)院內(nèi)部網(wǎng)絡業(yè)務系統(tǒng)安全����,防止非法入侵、病毒攻擊等醫(yī)院業(yè)務網(wǎng)與互聯(lián)網(wǎng)必須物理隔離�����,同時�����,因醫(yī)院內(nèi)部眾多軟件廠商、服務器廠商����、網(wǎng)絡設備、安全廠商��,需要遠程維護內(nèi)網(wǎng)設備�����,業(yè)務網(wǎng)和互聯(lián)網(wǎng)之間須有個能訪問的通道��,我們采用了SSL VPN+網(wǎng)閘+堡壘機的方式實現(xiàn)了遠程安全登錄和物理隔離�。
(1)在醫(yī)院外網(wǎng)防火墻和醫(yī)院內(nèi)網(wǎng)防火墻之間安裝了網(wǎng)神SecSIS 3600網(wǎng)閘�,利用其“數(shù)據(jù)擺渡”的工作方式�����,開放須訪問的端口��,實現(xiàn)物理隔離�。
(2)h程用戶通過SSL VPN接入到醫(yī)院外網(wǎng)。利用SSL 的私密性��、確認性、可靠性���、易用性特性�����,在遠程用戶和我院外網(wǎng)間建立起專用的VPN加密隧道���。在SSL VPN中,將用戶的登錄設定為自動跳轉(zhuǎn)到堡壘機��,通過堡壘機再訪問相關(guān)的設備和電腦�,實現(xiàn)遠程訪問有監(jiān)管有記錄有審計,可管可控����。
2 服務器和存儲備份安全
系統(tǒng)服務器雙機備份常用的是采用雙機冷備份或通過心跳線熱備份的方式實現(xiàn)。我院結(jié)合自身設備特點�����,采用了賽門特克Veritas Cluster Server技術(shù)�����,在IBM刀片機上建了一個N+1 VCS集群,即多臺服務器對應一臺備份機��,當其中一臺出現(xiàn)問題����,都會自動切換到備機,實時快速��,同時節(jié)約了備份機�。兩套IBM DS5020存儲陣列(一臺在主機房、一臺在備份機房)通過光纖直連��,采用remote mirror遠程鏡像備份技術(shù)���,將主機房存儲的實時數(shù)據(jù)復制到備份存儲系統(tǒng)����,提供于業(yè)務連續(xù)性和災難恢復的復制功能���。
3 保證操作系統(tǒng)安全
操作系統(tǒng)是軟件系統(tǒng)基礎,保證其安全是必須的�����。我們對服務器進行了主機加固,關(guān)閉了不必要的服務����,安裝了賽門鐵克防火墻、賽門鐵克網(wǎng)絡版殺毒軟件��,萊恩塞克內(nèi)網(wǎng)安全管理系統(tǒng)等來保證內(nèi)網(wǎng)服務器和工作站操作系統(tǒng)安全��。其中內(nèi)網(wǎng)管理系統(tǒng)控制和監(jiān)管了移動介質(zhì)的使用��,屏蔽了未經(jīng)授權(quán)的移動介質(zhì)接入網(wǎng)絡���,避免了醫(yī)院數(shù)據(jù)的外泄及感染病毒�����,同時�����,還能對內(nèi)網(wǎng)中每一個計算機進行遠程的桌面管理���、資產(chǎn)管理、配置管理和系統(tǒng)管理等�����。
4 核心設備配置修改和訪問安全
服務器在注冊表中關(guān)閉了遠程訪問功能, 網(wǎng)絡交換機都關(guān)閉了TELNET功能�,關(guān)閉命令: undo telnet server enable通過網(wǎng)絡堡壘機可視化的web管理界面統(tǒng)一配置和管理所有服務器和交換機,利用堡壘機可控制�����、可審計�、可記錄、可追溯的特性�����,保證對服務器和交換機的安全管理�,避免配置和修改服務器、交換機時不慎造成故障��。
5 數(shù)據(jù)庫和網(wǎng)絡安全審計系統(tǒng)
為了保障網(wǎng)絡和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞�,我院通過旁掛模式接入了數(shù)據(jù)庫和網(wǎng)絡安全審計系統(tǒng)��,實時收集和監(jiān)控網(wǎng)絡�、數(shù)據(jù)庫中的系統(tǒng)狀態(tài)、安全事件�、活動�����,以便集中報警��、記錄�、分析��、處理����,實現(xiàn)“事前評估―事中監(jiān)控―事后審計”,對數(shù)據(jù)庫和網(wǎng)絡中的操作和更改進行追溯和還原��。
6 健全安全管理制度��,加強執(zhí)行
建立了嚴格的規(guī)范的規(guī)章制度��,規(guī)范網(wǎng)絡管理����、維護人員的各種行為,保障網(wǎng)絡安全���。如建立了“中心機房管理制度”“機房設備操作制度”“機房出入制度”“設備巡查制度”“工作站操作制度”等�。
我們規(guī)定網(wǎng)管人員每天必須查看智能網(wǎng)管系統(tǒng)、堡壘機����、數(shù)據(jù)庫審計、網(wǎng)絡審計�、中心服務器、殺毒軟件等的日志�����,做好記錄��。通過日志��,及時發(fā)現(xiàn)網(wǎng)絡和設備故障隱患��,發(fā)現(xiàn)非法入侵和使用�,不正確的配置和修改。
篇5
1.1 企業(yè)信息化建設現(xiàn)狀
隨著信息技術(shù)的飛速發(fā)展��,特別是進入新世紀以來�����,我國信息化基礎設施普及已達到較高水平����,但應用深度有待進一步建設����。從《第35次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》的一組數(shù)據(jù)顯示出,截至2014年12月�,全國使用計算機辦公的企業(yè)比例為90.4%,截至2014年12月��,全國使用互聯(lián)網(wǎng)辦公的企業(yè)比例為78.7%�����。近些年���,我國企業(yè)在辦公中使用計算機的比例基本保持在90%左右的水平上�����,互聯(lián)網(wǎng)的普及率也保持在80%左右,在使用互聯(lián)網(wǎng)辦公的企業(yè)中���,固定寬帶的接入率也連續(xù)多年超過95% ����?���;A設施普及工作已基本完成,但根據(jù)企業(yè)開展互聯(lián)網(wǎng)應用的實際情況來看���,仍存在很大的提升空間����。
一方面�����,是采取提升內(nèi)部運營效率措施的企業(yè)比例較低�����,原因之一在于企業(yè)的互聯(lián)網(wǎng)應用意識不足�,之二在于內(nèi)部信息化改造與傳統(tǒng)業(yè)務流程的契合度較低,難以實現(xiàn)真正互聯(lián)網(wǎng)化�����,之三在于軟硬件和人力成本較高��,多數(shù)小微企業(yè)難以承受;另一方面�,營銷推廣�、電子商務等外部運營方面開展互聯(lián)網(wǎng)活動的企業(yè)比例較低,且在實際應用容易受限于傳統(tǒng)的經(jīng)營理念�,照搬傳統(tǒng)方法。
1.2 企業(yè)網(wǎng)絡應用現(xiàn)狀
根據(jù)最新的《第35次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》中的數(shù)據(jù)顯示����,企業(yè)開展的互聯(lián)網(wǎng)應用種類較為豐富,基本涵蓋了企業(yè)經(jīng)營的各個環(huán)節(jié)�。電子郵件作為最基本的互聯(lián)網(wǎng)溝通類應用,普及率最高���,達83.0%;互聯(lián)網(wǎng)信息類應用也較為普遍�����,各項應用的普及率的都超過50%;而在商務服務類和內(nèi)部支撐類應用中�����,除網(wǎng)上銀行����、與政府機構(gòu)互動、網(wǎng)絡招聘的普及率較高以外���,其他應用均不及50%���。我國大部分企業(yè)尚未開展全面深入的互聯(lián)網(wǎng)建設,仍停留在基礎應用水平上�。
由于目前我國網(wǎng)民數(shù)量已經(jīng)突破6億,在人們的日常工作�、學習中網(wǎng)絡已經(jīng)扮演了不可替代的角色,因此網(wǎng)絡安全問題就凸顯出來�����,2014年�,總體網(wǎng)民中有46.3%的網(wǎng)民遭遇過網(wǎng)絡安全問題,我國個人互聯(lián)網(wǎng)使用的安全狀況不容樂觀��。在安全事件中��,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重����,分別達到26.7%和25.9%,在網(wǎng)上遭遇到消費欺詐比例為12.6%��。
1.3 網(wǎng)絡安全防護現(xiàn)狀
當前企業(yè)網(wǎng)絡中已部署的基本的網(wǎng)絡安全設備如防火墻等���,但網(wǎng)絡使用安全意識不高且網(wǎng)絡安全是一個動態(tài)維護的過程,企業(yè)面臨的內(nèi)外部安全威脅日益巨增�����,整體安全形勢不容樂觀�����。在網(wǎng)絡安全威脅中����,對于來著企業(yè)內(nèi)網(wǎng)的安全威脅特別難以防范,傳統(tǒng)的安全防護措施���,只能面對外部威脅���,對內(nèi)不具備防護能力�。
高校在校園網(wǎng)信息化過程中數(shù)字化校園就是一典型例子����,數(shù)字化校園網(wǎng)可以方便學生使用各類網(wǎng)絡學習資源。但也有部分學生在好奇心的驅(qū)使下����,往往會在網(wǎng)絡中進行試探性的病毒傳播、網(wǎng)絡攻擊等等����。也有部分學生以獲得學院某臺服務器或者網(wǎng)站的控制權(quán)來顯示其在黑客技術(shù)水平。因此�����,在內(nèi)網(wǎng)中維護網(wǎng)絡安全�,保護信息安全,就顯得更加重要和緊迫了�。
2 內(nèi)網(wǎng)面臨的網(wǎng)絡威脅
筆者在高校內(nèi)網(wǎng)信息化建設過程中,通過多年的研究調(diào)查發(fā)現(xiàn)�,學生的攻擊往往是盲目地,且由于部分高校內(nèi)網(wǎng)管理較混亂�����,學生可以繞過一些身份認證等安全檢測,進入校園核心網(wǎng)絡����。學生的這些行為,一般不存在惡意性質(zhì)����,也不會進行蓄意破壞,但這就向我們提出了警示���,一旦有不法分子輕松突破防線,其帶來的危害也是災難性的����。
筆者以本單位學生通過校園網(wǎng)絡攻擊校園網(wǎng)服務器的例子,說明其網(wǎng)絡攻擊有時往往非常容易�,其造成的危害卻非常之大。
2.1 突破內(nèi)網(wǎng)���,尋找突破口
學生通過學院內(nèi)網(wǎng)IP地址管理漏洞����,輕松接入校園內(nèi)部辦公網(wǎng)絡,并獲得內(nèi)網(wǎng)地址網(wǎng)段劃分情況�。通過流行黑客軟件掃描學院內(nèi)網(wǎng)獲得內(nèi)網(wǎng)安全薄弱處,檢測出共青團委員會 http://10.0.1.30:90/該網(wǎng)頁存在漏洞����。進一步利用路徑檢測工具進行掃描,獲得了后臺地址http://10.0.1.30:90/wtgy/login.php�����。
2.2 一擊得手
學生在獲得了正確的管理地址后�����,只是進行了簡單的嘗試就取得了戰(zhàn)果�����,通過弱口令掃描發(fā)現(xiàn)系統(tǒng)存在弱口令�����,于是嘗試了如admin admin admin admin888 admin 123456等�����,居然順利進入后臺。
然后利用后臺的附件管理里面的功能����,添加了php格式,從而實現(xiàn)了上傳�����。得到了內(nèi)網(wǎng)的webshell(如圖1)�。
2.3 再接再厲,權(quán)限提升
學生不斷嘗試���,測試了asp和aspx 的支持情況�����,答案是支持asp,不支持aspx的��。自然就上傳了 asp webshell����,可以實現(xiàn)跨目錄訪問。訪問權(quán)限進一步提升,如圖���,目標主機D盤內(nèi)容一覽無余����,其中不乏一些關(guān)鍵目錄信息就展現(xiàn)在攻擊者眼前(如圖2):
2.4 獲得系統(tǒng)管理員權(quán)限�����,完全掌控目標主機服務器
查看系統(tǒng)所支持的組件��,獲取目標服務器系統(tǒng)關(guān)鍵信息�����?�?梢钥吹絯s這個組件沒有被禁用���,從而上傳cmd���,以獲得終極權(quán)限系統(tǒng)管理員權(quán)限。首先想到的是利用webshell中的上傳進行����,但是權(quán)限問題�,webshell上傳均失敗��,所以轉(zhuǎn)向ftp上傳(同樣存在弱口令)�����,從而繞過了限制��,上傳了cmd.exe��。
實驗性的執(zhí)行命令Systeminfo查看系統(tǒng)信息命令�,結(jié)果可以正常運行,終極權(quán)限獲得(如圖3):
可以看出���,學生攻擊學院內(nèi)網(wǎng)的手段并不高明�����,其用到的黑客攻擊工具���,網(wǎng)絡上也都能隨意下載到�,但其通過自己的仔細琢磨,充分利用了內(nèi)網(wǎng)管理的漏洞,獲得了關(guān)鍵信息�����。好在這是實驗性���,未造成實質(zhì)性破壞���。內(nèi)網(wǎng)管理員也及時發(fā)現(xiàn)了問題,并對目標服務器進行了安全加固工作�����。
但我們不難發(fā)現(xiàn)�,其實網(wǎng)絡安全的程度存在著“木桶原理”的問題,也就是網(wǎng)絡最薄弱的環(huán)節(jié)�,決定著內(nèi)網(wǎng)的安全程度。在現(xiàn)實中往往由于管理者的疏忽或者使用者貪圖一時方便的原因�,給網(wǎng)絡中潛在的攻擊者留下致命的后門。3 建立信息防泄露的內(nèi)網(wǎng)訪問控制模型
針對上述服務器網(wǎng)絡攻擊�����,最有效的方法就是對用戶訪問進行準入控制�����,隔離潛在威脅用戶。例如���,在內(nèi)網(wǎng)中對所有用戶進行身份認證�����,分配相應的網(wǎng)絡訪問權(quán)限���。在內(nèi)網(wǎng)安全架構(gòu)中,訪問控制是非常重要的一環(huán)����,其承擔著與后臺策略決策系統(tǒng)交互,決定終端對網(wǎng)絡訪問權(quán)限發(fā)分配��。目前主要使用的訪問控制技術(shù)主要有:
3.1 802.1X 訪問控制技術(shù)
802.1X 是一個二層協(xié)議����,需要接入層交換機支持。在終端接入時��,端口缺省只打開802.1X的認證通道�,終端通過802.1X認證之后�����,交換機端口才打開網(wǎng)絡通信通道。其優(yōu)點是:在終端接入網(wǎng)絡時就進行準入控制����,控制力度強,已經(jīng)定義善的協(xié)議標準����。
其缺點是:對以網(wǎng)交換機技術(shù)要求高,必須支持802.1X認證���,配置過程比較復雜�,需要考慮多個設備之間的兼容性��,交換機下可能串接HUB���,交換機可能對一個端口上的多臺PC 當成一個狀態(tài)處理�����,存在訪問控制漏洞����。
3.2 ARP spoofing訪問控制技術(shù)
在每個局域網(wǎng)上安裝一個ARP spoofing,對終端發(fā)起ARP 請求代替路由網(wǎng)關(guān)回ARP spoofing���,從而使其他終端的網(wǎng)絡流量必須經(jīng)過�����。在這個ARP spoofing上進行準入控制��。其優(yōu)點是:ARP適用于任何IP 網(wǎng)絡���,并且不需要改動網(wǎng)絡和主機配置,易于安裝和配置��。其缺點是:類似DHCP控制�,終端可以通過配置靜態(tài)ARP表,來繞過準入控制體系�。此外,終端安全軟件和網(wǎng)絡設備可能會將ARP spoofing當成惡意軟件處理�。
3.3 DNS重定向訪問控制技術(shù)
在DNS重定向機制中,將終端的所有DNS解析請求全部指定到一個固定的服務器IP地址��。其優(yōu)點是:類似DHCP管理和ARP spoofing,適用于任何適用DNS協(xié)議的網(wǎng)絡�,易于安裝和部署,支持WEB portal頁面��,可以通過DNS 重定向��,將終端的HTML 請求重定向到WEB認證和安全檢查頁面�。其缺點是:類似DHCP控制和ARP spoofing�����,終端可以通過不使用DNS 協(xié)議來繞開準入控制限制(例如:使用靜態(tài)HOSTS文件)��。
以上是內(nèi)網(wǎng)安全設備主流使用的準入控制方式�,每種方式都具有其特定的優(yōu)缺點,一般來說每個設備都會支持兩種以上的準入控制方式����。
但是,網(wǎng)絡管控對于網(wǎng)絡使用的便捷性是一對矛盾體����,如果既要使用的便捷性,又要對網(wǎng)絡進行有效管控�����,這對網(wǎng)絡安全設備的性能提出了相當高的要求。然而����,高性能的安全設備價格非常昂貴,這也是很多企業(yè)寧可暴露威脅���,也不防范的原因之一���。
3.4 網(wǎng)關(guān)準入控制——UTM(統(tǒng)一威脅管理)
UTM產(chǎn)品的設計初衷是為了中小型企業(yè)提供網(wǎng)絡安全防護解決方案,其低廉的價格和強大的集成功能��,在企業(yè)內(nèi)網(wǎng)中扮演著重要的角色�。UTM將安全網(wǎng)關(guān)、終端軟件���、終端策略服務器��、認證控制點四位一體化部署���,可以在內(nèi)網(wǎng)中進行多點部署,從而構(gòu)建出內(nèi)網(wǎng)用戶訪問控制模型��,實現(xiàn)全面覆蓋用戶內(nèi)網(wǎng)每一個區(qū)域和角落。
(1)合理部署網(wǎng)關(guān)位置
UTM的位置本身即位于安全域邊界���,由于UTM的設備性能參數(shù)��,一般不建議部署在互聯(lián)網(wǎng)出口�����、服務器出口及辦公網(wǎng)出口等網(wǎng)絡核心節(jié)點�,在內(nèi)網(wǎng)訪問控制模型中�����,可以部署在網(wǎng)絡拓撲中的匯聚節(jié)點�。
從安全理論的角度講���,對某一區(qū)域網(wǎng)絡中的所有用戶進行控制(包括訪問控制�、準入控制�����、業(yè)務控制等);同時���,UTM設備的入侵防御��、防病毒�、外連控制等模塊可以與準入控制功能相互配合,UTM一旦發(fā)現(xiàn)某用戶行為違規(guī)��,就可以通過內(nèi)網(wǎng)管理系統(tǒng)直接斷開該用戶的所有連接�。
(2)UTM優(yōu)勢分析
采用UTM網(wǎng)關(guān)配合內(nèi)網(wǎng)管理系統(tǒng)實現(xiàn)訪問控制,用戶只需要購買少量UTM設備�,采用透明方式部署至網(wǎng)絡關(guān)鍵節(jié)點處,即可以實現(xiàn)全面的準入控制�。與基于DHCP控制,ARP spoofing��,DNS 劫持等準入控制相比�����,UTM 準入控制能力更強��、更全面����,終端用戶在任何情況下均無法突破或繞過準入控制。
除此以外����,UTM設備還可根據(jù)終端的安全情況自動配置合適的安全策略�,如在終端未滿足某些安全要求的情況下開放其訪問修復服務器的權(quán)限���。
網(wǎng)絡安全��,不應只關(guān)注網(wǎng)絡出口安全�����,更應關(guān)注內(nèi)網(wǎng)中的信息安全�,信息的泄漏往往是從內(nèi)部開始��,因此����,構(gòu)建內(nèi)網(wǎng)訪問控制模型就非常重要��,采取UTM幫助內(nèi)網(wǎng)進行安全管控是一個非常便捷�、高效的手段。
篇6
關(guān)鍵詞:內(nèi)網(wǎng);安全;網(wǎng)絡;管理;措施
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10207-02
The Importance of Enterprise Network Security and Management Measures
ZHU Chang-yun
(Anhui Daily Newspaper Group Network Information Center, Hefei 230071, China)
Abstract: In recent years, in all of network security incidents, more than 70% of security incidents occurred, including online, and with a large network-based and complex, this proportion is still growing trend. Therefore, network security within the building of network security has been the focus of attention, but due to the second floor within the network to a pure exchange environment, which more than the number of nodes, the distribution of complex and varying end-user application level security and other reasons, has always been safe construction difficult.
Key words: intranet; security; network; management; measures
1 內(nèi)網(wǎng)安全的定義以及與外網(wǎng)安全的區(qū)別
既然要探討內(nèi)網(wǎng)安全,首先要理解內(nèi)網(wǎng)安全的含義,網(wǎng)絡安全主要包含兩部分,一個就是傳統(tǒng)網(wǎng)絡安全考慮的是防范外網(wǎng)對內(nèi)網(wǎng)的攻擊,即可以說是外網(wǎng)安全;另一個就是內(nèi)網(wǎng)安全,它是對應于外網(wǎng)而言的���。主要是指在小范圍內(nèi)的計算機互聯(lián)網(wǎng)絡,這個“小范圍”可以是一個家庭,一所學校,或者是一家公司���。內(nèi)網(wǎng)上的每一臺電腦(或其他網(wǎng)絡設備)內(nèi)部分配得到的局域網(wǎng)IP地址在不同的局域網(wǎng)內(nèi)是可以重復的,不會相互影響���。
外網(wǎng)安全的威脅模型假設內(nèi)部網(wǎng)絡都是安全可信的,威脅都來自于外部網(wǎng)絡,其途徑主要通過內(nèi)外網(wǎng)邊界出口。所以,在外網(wǎng)安全的威脅模型假設下,只要將網(wǎng)絡邊界處的安全控制措施做好,就可以確保整個網(wǎng)絡的安全�。也就是說,網(wǎng)絡邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡服務器如HTTP或SMTP的攻擊。網(wǎng)絡邊界防范減小了黑客僅僅只需接入互聯(lián)網(wǎng)��、寫程序就可訪問企業(yè)網(wǎng)的幾率����。傳統(tǒng)的防火墻、人侵檢測系統(tǒng)和VPN都是基于這種思路設計和考慮的����。
對眾多大型企業(yè)而言,隨著業(yè)務的發(fā)展,用戶希望ERP、OA����、Intranet、互聯(lián)網(wǎng)在一張網(wǎng)上實現(xiàn),能夠同時使用有線�、無線網(wǎng)絡,在一個網(wǎng)絡上實現(xiàn)Web、即時通信���、協(xié)作��、語音����、視頻的融合。外網(wǎng)在某種程度上已經(jīng)成為了內(nèi)網(wǎng)的一部分����。而隨著移動辦公的興起,安全的邊界越發(fā)模糊,筆記本電腦、手機都成為了企業(yè)OA網(wǎng)絡中的一部分,而這也增加了內(nèi)網(wǎng)安全的管理難度�����。
內(nèi)網(wǎng)安全的威脅模型與外網(wǎng)安全模型相比,更加全面和細致�����。它假設內(nèi)網(wǎng)網(wǎng)絡中的任何一個終端��、用戶和網(wǎng)絡都是不安全和不可信的,威脅既可能來自外網(wǎng),也可能來自內(nèi)網(wǎng)的任何―個節(jié)點上����。 所以,在內(nèi)網(wǎng)安全的威脅模型下,需要對內(nèi)部網(wǎng)絡中所有組成節(jié)點和參與者進行細致的管理,實現(xiàn)―個可管理����、可控制和可信任的內(nèi)網(wǎng)����。
由此可見,相比于外網(wǎng)安全,內(nèi)網(wǎng)安全具有以下特點:
1)要求建立一種更加全面����、客觀和嚴格的信任體系和安全體系。
2)要求建立更加細粒度的安全控制措施,對計算機終端�、服務器、網(wǎng)絡和使用者都進行更加具有針對性的管理����。
3)對信息進行生命周期的完善管理。
2 內(nèi)網(wǎng)安全的威脅
在所有的安全事件中,有超過70%的安全事件是發(fā)生在內(nèi)網(wǎng)上的,并且隨著網(wǎng)絡的龐大化和復雜化,這一比例仍有增長的趨勢����。因此內(nèi)網(wǎng)安全一直是網(wǎng)絡安全建設關(guān)注的重點,但是由于內(nèi)網(wǎng)以純二層交換環(huán)境為主、節(jié)點數(shù)量多�、分布復雜、終端用戶安全應用水平參差不齊等原因,一直以來也都是安全建設的難點����。
在實際應用當中,內(nèi)網(wǎng)安全的威脅主要來自以下幾個方面:
1)移動設備(筆記本電腦等)和新增設備未經(jīng)過安全過濾和檢查違規(guī)接入內(nèi)部網(wǎng)絡。未經(jīng)允許擅自接入電腦設備會給網(wǎng)絡帶來病毒傳播����、黑客入侵等不安全因素;
2)內(nèi)部網(wǎng)絡用戶通過調(diào)制解調(diào)器���、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡設備進行在線違規(guī)撥號上網(wǎng)�、違規(guī)離線上網(wǎng)等行為;
3)違反規(guī)定將專網(wǎng)專用的計算機帶出網(wǎng)絡進入到其它網(wǎng)絡;
4)網(wǎng)絡出現(xiàn)病毒、蠕蟲攻擊等安全問題后,不能做到安全事件源的實時�����、快速���、精確定位���、遠程阻斷隔離操作。安全事件發(fā)生后,網(wǎng)管一般通過交換機����、路由器或防火墻進行封堵,但設置復雜,操作風險大,而且絕大多數(shù)普通交換機并沒有被設置成SNMP可管理模式,因此不能夠方便地進行隔離操作;
5)大規(guī)模病毒(安全)事件發(fā)生后,網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡中的薄弱環(huán)節(jié),無法做到事后分析����、加強安全預警;
6)靜態(tài)IP地址的網(wǎng)絡由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道IP地址的使用���、IP同MAC地址的綁定情況以及網(wǎng)絡中IP分配情況;
7)針對網(wǎng)絡內(nèi)部安全隱患,自動檢測網(wǎng)絡中主機的安全防范等級,進行補丁大面積分發(fā),徹底解決網(wǎng)絡中的不安全因素;
8)大型網(wǎng)絡系統(tǒng)中區(qū)域結(jié)構(gòu)復雜,不能明確劃分管理責任范圍;
9)網(wǎng)絡中計算機設備硬件設備繁多,不能做到精確統(tǒng)計�。
以上問題其實可以歸到兩個基本需求:安全與管理�����。安全方面,需要保證在終端方面可以提供正常工作的基礎IT設施即計算機是可用的;而管理方面,則保證企業(yè)或都說組織的計算機是用來工作的,規(guī)范計算機在企業(yè)網(wǎng)絡里邊的行為����。
3 加強內(nèi)網(wǎng)安全管理的建議和措施
可管理的安全才是真正的安全。雖然管理對于信息安全的重要性已經(jīng)逐漸達成共識,但如何將安全管理規(guī)章和技術(shù)手段有效的結(jié)合在一起,真正提高信息安全的有效性,依然是我們共同面臨的挑戰(zhàn)��。安全關(guān)注的趨勢由外而內(nèi),由邊界到主機,由分散到集中,由系統(tǒng)到應用,由通用到專用,由分離到整合,由技術(shù)到管理�����。從實際工作出發(fā)和借鑒兄弟單位成功經(jīng)驗,我總結(jié)了加強內(nèi)網(wǎng)安全的措施如下:
1)按照企業(yè)的管理框架,根據(jù)不同的業(yè)務部門或子公司劃成了不同的虛擬網(wǎng)(Vlan)�����。通過劃分虛擬網(wǎng),可以把廣播限制在各個虛擬網(wǎng)的范圍內(nèi),從而減少整個網(wǎng)絡范圍內(nèi)廣播包的傳輸,提高了網(wǎng)絡的傳輸效率,同時,由于各虛擬網(wǎng)之間不能直接進行通訊,而必須通過路由器轉(zhuǎn),為高級的安全控制提供了可能,增強了網(wǎng)絡的安全性,也給管理帶來了極大的方便性��。特別是核心業(yè)務和重要部門根據(jù)安全的需要劃成了不同的虛擬網(wǎng),采用完全隔離或者相對隔離的措施,保證了核心業(yè)務和重要部門的安全性����。
2)對企業(yè)網(wǎng)絡的物理線路進行規(guī)范化管理。按照區(qū)域、樓層���、配線間�����、房間�����、具置規(guī)范化管理編號的原則,把所有的網(wǎng)絡線路編號,套上清晰的線標,配置可網(wǎng)管的交換機��。同時對交換機����、配線架�����、電腦等設備的物理配置�、存放的具置以及電腦的軟件系統(tǒng)和系統(tǒng)配置等基礎數(shù)據(jù)進行詳細的登記,同時還對IP地址進行統(tǒng)一管理,把電腦的IP地址、MAC地址�����、使用人和各種基礎數(shù)據(jù)進行關(guān)聯(lián),當網(wǎng)絡或者電腦發(fā)生故障時,網(wǎng)管們能夠通過基礎數(shù)據(jù)管理系統(tǒng)實現(xiàn)快速定位、快速排查故障,極大地提高了網(wǎng)管們解決故障的工作效率��。
3)部署桌面安全管理系統(tǒng)����。企業(yè)部署一套桌面安全策略管理系統(tǒng),是一個面向IT領域建設的專業(yè)安全解決方案���。它采用集成化網(wǎng)絡安全防衛(wèi)體系,通過多種技術(shù)手段的融合幫助整個企業(yè)有效達成在物理訪問���、鏈路傳輸、操作系統(tǒng)�、業(yè)務應用、數(shù)據(jù)保護�����、網(wǎng)間訪問和人員管理等方面的安全策略制定����、自動分發(fā)和自動實現(xiàn),減小客戶為保障安全需要付出的高額管理控制成本,在為每一個終端用戶提供透明但高度個性化安全保證的前提下真正提高組織的動作效率和管理水平。終端安全管理是基礎,它解決了終端計算機經(jīng)常為病毒���、木馬困擾的問題,幫助管理員智能安裝系統(tǒng)與應用補丁,提供一系列的終端維護工具與管理工具,使管理員做到對于終端的“中央集權(quán)管理與控制”���。
4)部署防病毒系統(tǒng)���。病毒、木馬�����、流氓軟件一直是困擾大家的一大難題,因此通過部署一套專業(yè)防病毒系統(tǒng)是最有效的解決辦法����。防毒系統(tǒng)內(nèi)嵌病毒掃描和清除、個人防火墻�、安全風險檢測與刪除,可以檢測、隔離�、刪除和消除或修復間諜軟件、廣告軟件����、撥號程序、黑客工具�、玩笑程序等多種安全風險造成的負面影響。通過防毒系統(tǒng)中心控制臺可以集中管理客戶端,統(tǒng)一部署防護策略����、病毒碼定義更新策略等,集中查看客戶端病毒碼更新情況����、病毒分布情況�、病毒種類及查殺情況,可以控制客戶端集中或單獨清除病毒。另外,還可以通過病毒隔離區(qū)控制臺,追蹤病毒傳播情況,快速找到病毒源,在第一時間對中毒的電腦進行有效的殺毒和隔離����。
5)部署網(wǎng)絡管理系統(tǒng)��。隨著企業(yè)網(wǎng)絡規(guī)模的擴大,交換機�����、服務器的數(shù)量也逐漸增多,如何管理監(jiān)控重點設備����、服務器的運行情況,不是一件容易的事。為此部署一套網(wǎng)絡管理系統(tǒng),可對網(wǎng)絡����、系統(tǒng)以及應用進行全面的監(jiān)視。它可以提供完整的故障管理和性能管理功能,能自動發(fā)現(xiàn)網(wǎng)絡主動監(jiān)視網(wǎng)絡�����、系統(tǒng)和服務器并將關(guān)鍵參數(shù)保存在數(shù)據(jù)庫中。通過綜合控制臺可實現(xiàn)對路由器����、交換機、服務器�、URL、UPS無線設備以及打印機等性能的監(jiān)視,不僅提供了網(wǎng)絡設備的多種視圖,而且將收集的信息以豐富的圖��、報表形式呈現(xiàn)給操作者��。
6)部署安全管理系統(tǒng)(SOC)��。為了讓管理人員能夠?qū)崟r了解網(wǎng)絡中動態(tài)和事件,滿足不斷變化的網(wǎng)絡安全管理(網(wǎng)絡設備����、服務器、應用程序�、應用服務、安全設備��、操作系統(tǒng)���、數(shù)據(jù)庫��、機房環(huán)境等發(fā)生的故障�����、超閥值行為��、安全事件統(tǒng)稱為網(wǎng)絡安全問題)的要求,需要有一套專門的安全管理系統(tǒng)來完成����。網(wǎng)絡管理系統(tǒng)是從事件驅(qū)動的目的出發(fā)強調(diào)系統(tǒng)運維�、系統(tǒng)故障處理和加強網(wǎng)絡的性能三個方面的內(nèi)容。與網(wǎng)絡管理系統(tǒng)不同,安全管理系統(tǒng)最重要的是對威脅的管理,它的側(cè)重點關(guān)注在三個層次上:資產(chǎn)層面,關(guān)注安全威脅對業(yè)務及資產(chǎn)的影響;威脅層面了解哪些威脅會影響業(yè)務及資產(chǎn);防護措施層面怎樣防護威脅,保護業(yè)務及資產(chǎn)��。一句話概括,就是安全管理是從保護業(yè)務及資產(chǎn)的層面進行的風險管理��。
7)部署垃圾郵件防火墻�。隨著電子郵件的普及,電子郵件的作用也越發(fā)重要,但是垃圾郵件卻是件令人煩惱的事,嚴重干擾了郵件收發(fā)的正常工作。為了解決垃圾郵件問題,可以布署一套垃圾郵件防火墻。垃圾郵件防火墻能支持25000個活躍的電子郵件帳戶每天處理兩千五百萬封電子郵件。
8)對重要資料進行備份。在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實際上引起電腦數(shù)據(jù)流失或被損壞���、篡改的因素已經(jīng)遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大���。為了維護企業(yè)內(nèi)網(wǎng)的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障�����、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進而蒙受重大損失��。對數(shù)據(jù)的保護來說,選擇功能完善��、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數(shù)據(jù)的安全���。
9)密鑰管理。在現(xiàn)實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步�����。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊���。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成�。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環(huán)節(jié)和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令����。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母����、字符�����、數(shù)字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全��。沒有規(guī)律的口令具有較好的安全性。
4 結(jié)束語
當然為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題��。七分管理,三分技術(shù)。管理是企業(yè)網(wǎng)絡安全的核心,技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度�����、行為準則并和安全技術(shù)手段合理結(jié)合,網(wǎng)絡系統(tǒng)的安全才會有最大的保障��。
參考文獻:
篇7
其他安全防范措施內(nèi)網(wǎng)的網(wǎng)絡安全直接關(guān)系到醫(yī)院業(yè)務能否正常進轉(zhuǎn)����,所以我院的內(nèi)網(wǎng)計算機是不允許接外部設備的,比如易于感染病毒的U盤����,網(wǎng)管人員會在BIOS里把除了鍵盤鼠標等正常使用的設備以外的U口封掉并設置密碼,確保病毒不會從外界侵入�����。同時��,內(nèi)網(wǎng)設置了詳細的分級權(quán)限����,不同的用戶看到的和使用的功能不同,不同的醫(yī)師用藥和開處方的權(quán)限也不同�����。程序的進入每個用戶可以設置自己的密碼,保證信息不泄露�。隨著程序的不斷升級,以后可以應用電子簽名���。電子簽名就是通過密碼技術(shù)對電子文檔的電子形式的簽名���,并非是書面簽名的數(shù)字圖像化,它類似于手寫簽名或印章�,也可以說它就是電子印章。每個醫(yī)生一個電子簽名卡����,進入系統(tǒng)程序不僅需要密碼而且要刷卡,開處方和寫病歷后自動寫上醫(yī)生的電子簽名���,確保數(shù)據(jù)不被篡改��。
天津醫(yī)院外網(wǎng)安全建設分析
1硬件防火墻外網(wǎng)是要鏈接到Internet上的����,所以網(wǎng)絡安全尤為重要,硬件防火墻是必不可少的�����。通過硬件防火墻的設置���,可以進行包括過濾和狀態(tài)檢測�����,過濾掉一些IP地址和有威脅的程序不進入辦公網(wǎng)絡��。硬件防火墻針對病毒入侵的原理��,可以做出相應的策略�����,從源頭上確保網(wǎng)絡安全�。
2網(wǎng)絡管理軟件網(wǎng)絡管理軟件提供網(wǎng)絡系統(tǒng)的配置����、故障��、性能及網(wǎng)絡用戶分布方面的基本管理�����,也就是說,網(wǎng)絡管理的各種功能最終會體現(xiàn)在網(wǎng)絡管理軟件的各種功能的實現(xiàn)上����,軟件是網(wǎng)絡管理的“靈魂”,也是網(wǎng)絡管理系統(tǒng)的核心����。
通過網(wǎng)絡管理軟件網(wǎng)管人員可以控制流量�,設置不同用戶訪問的網(wǎng)址和使用的應用程序,設置不同時間可以訪問的網(wǎng)址��,以及屏蔽掉一些游戲、股票等非工作需要的程序?�?梢詫崟r監(jiān)控客戶端的網(wǎng)絡行為����,查看是否有非工作內(nèi)容的操作。定期備份日志�����,保證辦公網(wǎng)正常有序的工作。
管理制度
要制定嚴格的計算機管理制度��,業(yè)務科室屏蔽光驅(qū)�、USB接口等輸入輸出設備���,行政后勤科室使用輸入輸出設備時必須先殺毒再使用�����。全院每臺機器使用固定IP和MAC地址綁定��,防止外人使用移動電腦連接內(nèi)部網(wǎng)絡���。優(yōu)化電腦性能�����,屏蔽一些重要的操作系統(tǒng)功能和系統(tǒng)文件��,防止操作人員誤操作致使系統(tǒng)崩潰,帶來不必要的麻煩��。所有服務器����、客戶端都必須更新最新的系統(tǒng)補丁,防止病毒�、黑客�、灰色軟件的侵襲���。
篇8
關(guān)鍵詞:消防;通信;信息安全
中圖分類號:TP393.08
全國消防計算機通信網(wǎng)絡以公安信息網(wǎng)為依托���,由消防信息網(wǎng)和指揮調(diào)度網(wǎng)構(gòu)成,分別形成三級網(wǎng)絡結(jié)構(gòu)��。消防信息網(wǎng)是各級消防部門的日常辦公網(wǎng)絡�,作為消防業(yè)務傳輸網(wǎng);指揮調(diào)度網(wǎng)主要用于部局�����、總隊、支隊����、大隊(中隊)等單位的視頻會議��、遠程視頻監(jiān)控�����、滅火救援指揮調(diào)度系統(tǒng)應用等業(yè)務,作為消防指揮調(diào)度專用傳輸網(wǎng)�����。隨著網(wǎng)絡規(guī)模的不斷擴大�����,來自內(nèi)部網(wǎng)絡的威脅也日漸增多,必須利用信息安全基礎設施和信息系統(tǒng)防護手段����,構(gòu)建與基礎網(wǎng)絡相適應的信息安全保障體系。
1 計算機網(wǎng)絡安全防護措施
計算機網(wǎng)絡安全防護措施主要有防火墻�����、入侵防護�����、病毒防護�、攻擊防護、入侵檢測����、網(wǎng)絡審計和統(tǒng)一威脅管理系統(tǒng)等幾項(如下圖)�。
1.1 防火墻。防火墻主要部署在網(wǎng)絡邊界����,可以實現(xiàn)安全的訪問控制與邊界隔離,防范攻擊行為��。防火墻的規(guī)則庫定義了源IP地址、目的IP地址�����、源端口和目的端口����,一般攻擊通常會有很多征兆,可以及時將這些征兆加入規(guī)則庫中�。目前網(wǎng)上部署的防火墻主要是網(wǎng)絡層防火墻,可實時在各受信級網(wǎng)絡間執(zhí)行網(wǎng)絡安全策略�����,且具備包過濾�����、網(wǎng)絡地址轉(zhuǎn)換���、狀態(tài)性協(xié)議檢測���、VPN等技術(shù)。
1.2 入侵防御系統(tǒng)(Intrusion Prevention System���,IPS)�。IPS串接在防火墻后面,在防火墻進行訪問控制�����,保證了訪問的合法性之后��,IPS動態(tài)的進行入侵行為的保護����,對訪問狀態(tài)進行檢測、對通信協(xié)議和應用協(xié)議進行檢測�����、對內(nèi)容進行深度的檢測��。阻斷來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫��。防火墻降低了惡意流量進出網(wǎng)絡的可能性����,并能確保只有與協(xié)議一致的流量才能通過防火墻����。如果惡意流量偽裝成正常的流量��,并且與協(xié)議的行為一致�����,這樣的情況��,IPS設備能夠在關(guān)鍵點上對網(wǎng)絡和主機進行監(jiān)視并防御��,以防止惡意行為��。
1.3 防病毒網(wǎng)關(guān)��。防病毒網(wǎng)關(guān)部署在病毒風險最高����、最接近病毒發(fā)生源的安全邊界處�,如內(nèi)網(wǎng)終端區(qū)和防火墻與路由器之間,可以對進站或進入安全區(qū)的數(shù)據(jù)進行病毒掃描����,把病毒完全攔截在網(wǎng)絡的外部,以減少病毒滲入內(nèi)網(wǎng)后造成的危害����。為使得達到最佳防毒效果�,防病毒網(wǎng)關(guān)設備和桌面防病毒軟件應為不同的廠家產(chǎn)品�����。網(wǎng)絡版殺毒軟件的病毒掃描和處理方式主要是通過客戶端殺毒���,通過企業(yè)版防毒軟件統(tǒng)一對已經(jīng)進入內(nèi)部網(wǎng)絡的病毒進行處理����。
1.4 網(wǎng)絡安全審計系統(tǒng)��。網(wǎng)絡安全審計系統(tǒng)作為一個完整安全框架中的一個必要環(huán)節(jié)���,作為對防火墻系統(tǒng)和入侵防御系統(tǒng)的一個補充��,其功能:首先它能夠檢測出某些特殊的IPS無法檢測的入侵行為(比如時間跨度很大的長期攻擊特征)��;其次它可以對入侵行為進行記錄����、報警和阻斷等,并可以在任何時間對其進行再現(xiàn)以達到取證的目的�����;最后它可以用來提取一些未知的或者未被發(fā)現(xiàn)的入侵行為模式等����。網(wǎng)絡安全審計系統(tǒng)與防火墻����、入侵檢測的區(qū)別主要是對網(wǎng)絡的應用層內(nèi)容進行審計與分析。
1.5 統(tǒng)一威脅管理系統(tǒng)(UTM)���。UTM常定義為由硬件��、軟件和網(wǎng)絡技術(shù)組成的具有專門用途的設備�,它主要提供一項或多項安全功能��,同時將多種安全特性集成于一個硬件設備里����,形成標準的統(tǒng)一威脅管理平臺。UTM設備具備的基本功能包括網(wǎng)絡防火墻��、網(wǎng)絡入侵檢測/防御和網(wǎng)關(guān)防病毒功能。雖然UTM集成了多種功能�,但卻不一定會同時開啟。根據(jù)不同用戶的不同需求以及不同的網(wǎng)絡規(guī)模��,UTM產(chǎn)品分為不同的級別�����。UTM部署在安全域邊界上��,可以根據(jù)保護對象所需的安全防護措施�,靈活的開啟防火墻、IPS��、防病毒����、內(nèi)容過濾等防護模塊,實現(xiàn)按需防護�、深度防護的建設目標。采用UTM設備來構(gòu)成本方案的核心產(chǎn)品���,可有效節(jié)約建設資金����,又能達到更好的防護效果。
2 消防指揮網(wǎng)絡安全設備部署
市級消防指揮網(wǎng)絡是市支隊與各區(qū)(縣)大隊或中隊之間部署的專網(wǎng)�����,規(guī)模相對較小����,主要用途為視頻會議���、遠程視頻監(jiān)控����、接處警終端和滅火救援指揮調(diào)度應用系統(tǒng)等業(yè)務�,可按需選擇部署防火墻、入侵防護系統(tǒng)�����、防病毒網(wǎng)關(guān)�����、統(tǒng)一威脅管理系統(tǒng)����、入侵檢測系統(tǒng)����、網(wǎng)絡安全審計七類設備�。(如圖)
2.1 計算機安全防護軟件:在網(wǎng)內(nèi)計算機終端統(tǒng)一安裝防病毒軟件、終端安全軟件�、一機兩用監(jiān)控軟件。補丁分發(fā)管理系統(tǒng)和終端漏洞掃描系統(tǒng)統(tǒng)一由省級指揮中心部署����,用來管理市級指揮調(diào)度網(wǎng)內(nèi)計算機。這樣��,可以防止安全風險擴散����,保障由終端、服務器及應用系統(tǒng)等構(gòu)成的計算環(huán)境的安全��。
2.2 指揮調(diào)度網(wǎng)安全邊界:在市級指揮調(diào)度網(wǎng)與省級指揮調(diào)度網(wǎng)聯(lián)網(wǎng)邊界部署統(tǒng)一威脅管理系統(tǒng)(UTM)��,開啟防火墻����、入侵防護���、網(wǎng)關(guān)防病毒、VPN等功能模塊�����,在專網(wǎng)安全邊界對各種風險統(tǒng)一防護���。在核心交換機上部署網(wǎng)絡審計系統(tǒng)對內(nèi)網(wǎng)中的網(wǎng)絡通信進行記錄和分析��,及時發(fā)現(xiàn)可能存在的網(wǎng)絡事件。
2.3 內(nèi)網(wǎng)終端區(qū):內(nèi)網(wǎng)終端區(qū)主要有計算機接處警終端��、視頻會議終端�����、視頻監(jiān)控終端等���,操作應用人員比較復雜�����,隨意使用移動存儲設備的可能性大�����,在內(nèi)網(wǎng)終端區(qū)安全邊界區(qū)部署一臺防病毒網(wǎng)關(guān)進行病毒過濾��,防止病毒向其他區(qū)域擴散�。
2.4 核心業(yè)務處理區(qū):主要包括滅火救援指揮調(diào)度相關(guān)的業(yè)務系統(tǒng)、綜合統(tǒng)計分析��、綜合報表管理等業(yè)務系統(tǒng)���。部署一臺防火墻對核心業(yè)務處理區(qū)進行訪問控制��,阻斷對安全區(qū)內(nèi)的業(yè)務服務的非法訪問��;再部署一臺IPS��,實時發(fā)現(xiàn)并阻斷針對核心業(yè)務處理區(qū)的入侵和攻擊行為����。
2.5 指揮中心邊界:部署一臺防火墻對支隊指揮中心與上級指揮中心之間的業(yè)務訪問進行訪問控制和攻擊防御�����。
2.6 內(nèi)網(wǎng)管理區(qū):區(qū)中主要有各類管理服務器����,用于集中進行安全策略的定制����、下發(fā)�、集中監(jiān)控各類系統(tǒng)的運行狀態(tài)。主要包括設備管理����、終端管理、防病毒管理等��。
如果市級指揮中心規(guī)模較小��,可以將核心業(yè)務處理區(qū)�����、內(nèi)網(wǎng)管理區(qū)和指揮中心區(qū)合并為同一個安全域�����,共同部署一臺IPS和防火墻�����。
3 總結(jié)
總之���,網(wǎng)絡安全是一項綜合性的課題�����,它涉及技術(shù)�、管理���、應用等許多方面�,既包括信息系統(tǒng)本身的安全問題����,又有網(wǎng)絡防護的技術(shù)措施。我們必須綜合考慮安全因素��,在采用各種安全技術(shù)控制措施的同時���,制定層次化的安全策略��,完善安全管理組織機構(gòu)和人員配備���,才能有效地實現(xiàn)網(wǎng)絡信息的相對安全�����。
參考文獻:
[1]楊義先���,任金強.信息安全新技術(shù)[M].北京:北京郵電大學出版社,2002.
[2]公安部.信息安全等級保護培訓教材[M].2007.
