前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全解决方案主题范文,仅供参考,欢迎阅读并收藏。
关键词 网络安全;物理隔离;地形图保密
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)09-0179-01
1 勘察设计企业网络现状
勘察设计企业在设计工作中经常会用到或产生一些文件,尤其是地形图等密级较高的文件资料。我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。为保护国家秘密不外泄,同时满足信息化办公的生产需求,目前国内勘察类企业主要采用两种网络架构方式。一种是设置内部办公网络和外部网络,员工各自配置两台分别连接内外网络的计算机,两者完全物理隔离。这种方式建设和维护成本大,员工操控灵活度低。内部办公网络实现公司信息化办公和资源内部共享等需求,外部网络实现互联网资料查询和外部交流,同时严禁内部网络信息向外部网络流通。另一种设立指定的互联网访问区,专门人员或机构采集互联网信息复制到内部网络,或者设立专门的可访问互联网的设备或区域,这种方式实时性不好。
2 网络隔离技术趋势
物理隔离是网络隔离的一种重要形式,它是通过网络与计算机设备的空间分离来实现的网络隔离[1]。与物理隔离不同的另一种网络隔离方式是采用密码技术的VPN隔离。虚拟专用网(VPN)是通过使用密码和隧道技术、在公共网络设施上构建的、具有专用网络安全特性的逻辑网络[2]。VPN隔离追求的是数据的分离或不可读,而物理隔离强调的是设备的分离。尽管VPN的实现成本较低,但是在网络的边界点,隔离设备容易被攻击,特别是来自公共网络的拒绝服务攻击[2]。
物理隔离网闸的思路决定了它是一种比VPN更高级的安全隔离形式,因为它是在保证必须安全的前提下,尽可能互联互通,如果不能保证安全则完全断开。然而,这种技术成熟的产品还是无法摆脱“摆渡”病毒的攻击。因此,国家保密局信息系统安全保密测评中心颁发的网闸类产品检测证书中明确注明“该产品不可用于互联网和网络之间的信息交换”。
3 双网物理隔离解决方案架构
除去地形图等国家秘密文件外,勘察设计企业商业秘密的保护也是极为迫切的要求。将操作地形图资料的计算机与内部工作网络和外部互联网隔离,内外两条网络之间通过有效的隔离设备和网络安全措施建立可信连接,既能满足国家保密局对于国家秘密的保护要求,又能满足公司内部与互联网之间的资源共享需要。
利用物理隔离网闸安装在工作内网核心交换机和外网核心交换机之间,对于公司内部业务使用的计算机和服务器等设备直接或通过级联设备连接到核心交换机,公司对外交流所用计算机或外网服务器直接或通过级联连接到外网核心交换机。内外网络间数据访问必须经过网闸的“摆渡”。这样,通过内外网之间的网闸不仅实现了两个网络间的物理隔离,还能满足内外网之间实时、适度、可控的内外网络数据交换和应用服务。比如:文件交换、数据库的数据交换与同步、HTTP/HTTPS标准访问、FTP服务、邮件服务等。
图1 基于网闸隔离的网络拓扑结构
通过安全隔离网闸可以对办公网络到外部网之间的传输数据和文件严格执行格式和内容检查,检查的内容可以包括内容检测、防恶意代码、防泄密、文件类型控制等。可以对浏览器中输入的各种关键词和敏感字符串进行限制,预防内网用户因访问外网网站时,在浏览器的访问请求中出现有意或无意泄密的可能。
在公司网络建设中对于地形图等高密级资料的使用必须采取单独网络或单机运行模式,同时出台相应的规章制度,对地形图资料的复制、传递进行严格的规范,并出台相应的惩罚措施,从公司制度层面对网络安全保密行为进行约束。
4 性能分析
物理隔离网闸通过双主机之间的物理断开来达到数据隔离的目的。内外主机间信息交换只能借助拷贝、镜像、反射等非网络方式来完成。另外,根据内外网间数据交换的具体情况还可以选择不同流向的单向或双向隔离网闸,实现更高级别的数据保密要求。市场上部分物理隔离网闸支持基于文件特征库的文件类型过滤和用户自定义关键字的文件内容筛查,可有效防止商业信息的无意泄漏。
应用物理隔离网闸的双网隔离解决方案具备如下优点。
1)屏蔽了内部的网络拓扑结构,屏蔽了内部主机的操作系统漏洞,消除了来自互联网上对网的攻击。
2)内部服务器不对外部网络提供任何端口,不允许来自任何互联网主机的主动请求,降低了自身风险。
3)通过严格的内容过滤和检查机制严防泄密。
4)可根据需要选择单项或双向数据流动方向,灵活性强。
但是,采用物理隔离网闸对内部工作网络和外部网络进行隔离较采用VPN隔离在费用方面不占优势,同时,涉及地形图的计算机部分仍需单独划分网络。
参考文献
[1]网络隔离的技术分析与安全模型应用[J].数据通信,2002(3):23-25.
关键词:计算机;网络安全;解决方案
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)05-1065-02
1概述
对计算机网络安全产生威胁的因素成千上万,因此针对这些因素来保护计算机网络安全的手段也是错综复杂。一般来讲,对计算机网络安全起保护作用的技术主要有入侵检测技术、防火墙技术、防病毒技术、加密技术、安全评估技术以及身份认证技术等。为了充分保障网络完全,就必须要结合网络的实际情况以及实际需要,将各种措施进行有效地整合以建立起一个完善的、立体的以及多层次的维护网络安全的防御体系。有一个全方位多面的网络完全解决方法才能从各个方面来保障计算机网络的各种安全问题。
在网络系统中,依据网络拓扑结构以及对各种风险进行的分析,通常采取以下措施来全方位地保障计算机网络完全:
1)身份鉴定:对具有合法身份的用户进行鉴定。
2)病毒防护:进行杀毒以防止病毒入侵。
3)安全审计:实时监控网络安全以及时发现网络上的异常动态,忠实地记录网络所发生的违规行为或是网络入侵行为以为日后提供证据。
4)信息加密:对信息进行加密以防止传输信息线路上的泄漏、窃听、破坏以及篡改。
5)入侵检测:通过利用各种方式来对计算机系统或是网络的信息数据进行收集由此来发现计算机系统或是网络中是否存在威胁安全的行为或是被攻击的痕迹。一旦发现异常情况的存在就回去自动地发出警报并提示采取相应的解决方式。与此同时,自动记录了受攻击的过程,为计算机系统或是网络的恢复以及追查来源提供依据。
6)访问控制:对操作用户的文件或是数据的权限进行控制或是限制,以避免其他用户越权访问。
7)安全保密管理措施:这是维护计算机网络安全的重要组成部分。及时对已经有较全面的安全保密措施,仍然需要充分的管理力度以防止出现安全隐患。
8)漏洞扫描:进行漏洞扫描来对计算机网络所存在的安全隐患进行全面地检查,协助管理员发现安全漏洞。
2计算机网络安全解决方案
2.1动态口令式身份认证方案
动态口令来进行身份认证具备动态性、随机性、不可逆性以及一次性的特点。这种方式不仅保留了原有静态式方法的方便性特点,同时也很好地对静态式口令方式的各种缺陷进行了弥补。动态口令方式在国际公开密码的算法基础上衍生动态口令,并经过几十次的非线性式的迭代运算完成了密钥与时间参数的充分混合与扩散。在这个基础上,利用解密流程以及先进的身份认证与密钥管理方法来从整体上保障计算机网络系统的安全。
2.1.1动态口令式系统的抗实物解剖力
动态口令方式采用了加密式的数据处理器,对企图利用结算法程序从网络中读出的行为能进行有效地防止,具备较高的抗实物解剖能力。除此之外,在初始化中随时生成的每个用户的密钥也是不相同的,密钥与口令生成有关的信息同时存储在动态RAM中。一旦有人对其进行分析处理,处理过程一旦掉电,密钥就会消失。就算有人破解了其中的程序也因不知道客户的密钥而无法计算出客户的实时口令。
2.1.2动态口令式的抗截获能力
在动态口令系统中,每个正确的口令都只能使用一次。因此客户不用担心口令会在认证期间被第三方知道。所以正确的口令一旦在认证服务器上被认证后就会在数据库中留下记录。
2.1.3系统的安全数据库加密与密钥管理
用户的信息以及用户密钥都存在安全数据库。安全数据库的信息一旦被泄漏,将会使得第三者有合法的身份进行操作,因此 这里的数据是要求绝对保密的。通常我们队安全数据库进行加密后在放在服务器上,不能以明码的形式出现。安全数据库的主密钥存储在计算机网络系统维护员的IC卡上,因此只有掌握了系统维护员IC卡的人才能对安全数据库的数据进行操作。。如果没有数据安全库的密钥,即使接触到了服务器,也不能获得用户的密钥。
2.1.4动态口令式的抗穷举攻击力
破解口令的常用的攻击手段是穷举攻击。穷举攻击手段能够大量地频繁地对每一个用户的口令进行反复的认证。正对这一攻击手段,动态口令身份认证系统在每个用户每个时段的认证结构都进行日志记录。一旦发现用户的认证信息多次验证失败时系统就会自动锁住该用户的认证行为。这样就能很好地防止穷举攻击的攻击可能性。
2.2信息加密方案
加密手段是维护网络安全的一个极其重要的手段。它的设计理念就是网络既然本身就是不安全的,那么就应该对所有重要的信息进行加密处理。对信息进行加密是为了达到保护网络内的文件、数据、口令以及控制信息的目的,以保证网络安全的全面性与完整性。
网络加密可以在应用级、链路级以及网络级等进行。对信息加密要通过各式各样的加密算法来进行。据初步统计,到目前为止,已开发出来的加密算有已经有几百种了。通常加密算法可以分为不对称即公钥密码算法与对称即私钥密码算法。
网络密码机是在VPN技术的基础上所出现的一种网络安全设施。VPN即虚拟专用网是指以公用网络作为传输媒体,通过验证网络流量以及加密的方式来保证公用网络上所传输的信息的安全性,保证私人信息不被篡改与窃取。网络密码机采用专门的的硬件来加密与保护局域网数据的安全性。所以具有极高的网络性能与安全强度。
2.3防火墙系统对访问的控制能力
目前最为广泛使用与流行的计算机网络安全技术是防火墙技术。它的中心思想是就算是在安全性较低的网络环境中也要构建出安全性相对较高的子网环境出来。防火墙技术用于执行两个网络中的访问控制,它能够对保护对象的网络与互联网或是其它网络之间的传递操作、信息存取进行限制。它是一种隔离式的控制技术,可以用作网络安全域或是不同网络之间的信息出入口,能依据企业的安全方法对进出网络的信息数据进行控制。防火墙本身就具有强大的抗攻击能力。
防火墙技术包括:服务器型、包过滤型以及全状态包过滤型。防火墙的使用范围非常灵活,可以在以太网上的任何部位进行分割,以构建出安全网络单位,也可以在单位的内网与外界的广域网从出口上进行划分,以保护单位内网,构建局部的安全网络范围。
利用防火墙设置安全策略来加强保护服务器,必要时还要启用防火墙的NAT功能来隐藏网络的拓扑结构,利用日志记录来监控非法访问。采用防火墙和入侵检测联合功能来形成动态的相适应的安全保护平台。
防火墙依据系统管理者的设置安全选项来保护内部网络,通过高效能的网络核心来进行访问控制,与此同时,提供信息过滤、网络地址转换、内容过滤、带宽管理、服务、用户身份认证、流量控制等功能。
3结束语
随着现代网络信息技术的不断普及以及在各个领域的广泛使用,计算机网络安全也成为了影响网络效能的重要因素。人们对计算机的使用程度也使得网络安全问题变得格外重要。面对目前所存在的大量网络安全问题,为了广大用户的隐私保护与安全着想。我们有必要加强对网络安全措施的研究。
参考文献:
[1]林廷劈.网络安全策略[J].三明高等专科学校学报,2002,15(4).
[2]刘远生.计算机网络安全[M].北京:清华大学出版社,2006.
[3]仇剑锋,蔡自兴.信息网络安全设计策略[J].中国科技,2003,16(8).
关键词:信息安全,安全政策,安全体系,安全设施
中图分类号:TN915.08文献标识码: A 文章编号:
武汉职业技术学院是国家教育部批准独立设置、湖北省人民政府主办、湖北省教育厅直属的全日制普通高等学校。学校坐拥“武汉·中国光谷”的中心地利,抢占了高职教育发展的战略高地,开创了区域化、国际化、现代化高职办学的成功范例。学校整体办学条件、办学实力、办学水平跃居湖北省高职院校前列,成为湖北高职教育的著名品牌、中部高职教育的改革先锋,并作为国家重点示范性院校在全国高职教育领域产生了重要影响。
1. 武汉职业技术学院电子政务系统网络系统现状
高校电子政务系统的应用和主要服务对象是老师与学生,师生拥有电脑的比例以及使用电脑的频率比较大,上网浏览存在安全隐患的网站,接收陌生文件等网络应用会导致校园网内病毒泛滥;观看网络视频,严重占据网络速度与流量,甚至阻塞网络运行;同时师生人数较多,每个用户对网络安全的认识也不尽相同。经过调查、分析、研究,该校电子政务系统存在以下的安全隐患:
1. 校园网直接与因特网相连,校园网内、外部网络攻击情况严重;
2. 用户数量大,使用频率高:该校大部分教学工作、科研工作及日常行政办公等都是以网络为应用平台。如果在节点没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失与损坏、网络被攻击、系统瘫痪等严重后果;
3. 缺乏统一管理:前期的网络建设投资很大,随着学校的逐步发展以及校园环境的变迁,使得网络统一管理的问题越发突出;
4. 网管中心负荷量大:大部分的网络管理工作都是由网络中心来完成的,由于人员少,校园网络的维护与运营、使用网络的规章制度以及相关费用的收取等等工作进行比较缓慢。
所以,一个科学的网络安全系统对校园网的正常运行起着至关重要的作用。
2. 武汉职业技术学院电子政务系统安全实施
2.1 防火墙的实施
根据武汉职业技术学院的具体校园网网络背景,防火墙设备选用两台千兆防火墙:EX-520。选用的防火墙产品具有2个千兆光纤端口,2个百兆端口。
对于防火墙的部署,是基于以下几点来考虑和设计的:
1、两个千兆光纤端口分别接:DMZ区(DMZ区一般是对外提供WWW、DNS、Email、FTP、BBS等服务的特殊小型网络);武汉职业技术学院内部校园网。
2、一个百兆网口,用于连接整个校园网或者电子政务系统的上级信息网。剩余的其他端口,可根据具体网络应用需要连接其他网段或局域网子网。
3、防火墙设备的安全策略配置与实施:
解决网络边界点安全,保护内部网络;根据IP地址、协议类型、端口等实现数据包过滤功能以及地址转换;
保证内部安全服务器网络(DMZ区)的安全;
实现IP与MAC地址绑定,避免出现IP地址欺骗或者乱用网络资源;
开启黑白名单功能,实现URL过滤,过滤不健康网站;
具有自身保护能力,可防范对防火墙的常见攻击;
启动入侵检测及告警功能;
学生访问不良信息网站后的日志记录,做到有据可查;
多种应用协议的支持。
防火墙部署示意图
2.2 网络分段技术在学院网络安全方案中的应用
为了确保不同部门、不同职权等级的人员相对的信息安全,将网络划分为若干个子网是很有必要的,它是对内部局域网采取的重要安全措施。
网络分段的目的就是将非法用户与敏感的网络资源相互隔离,网络分段可分为物理分段与逻辑分段两种方式,也可以综合应用物理分段与逻辑分段两种方法来实现对局域网的安全控制。
1. 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(通常成为单播数据包)还是会被同一台集线器上的其他用户所侦听。
因此,应该以交换式集线器代替共享式集线器,使单播数据包(Unicast Packet)仅在两个节点之间传送,从而防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包。但是一般情况下广播包和多播包内的关键信息,要远远少于单播包。
2. 虚拟网VLAN的划分
虚拟局域网技术(VLAN)将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段,以便单位内部的数据共享和管理。
校园的主干部分(及核心层与汇聚层之间)运行动态路由协议,每个汇聚层交换机作为第三层设备将会成为广播流量的边界,从而也中断了VLAN跨过主干网络,可以说每个汇聚点都是一个VLAN管理的域,不同的VLAN 管理域之间的VLAN从命名上或VLAN ID号的分配上都没有任何关系。而在每个VTP域中,VLAN1专门用于交换机之间控制面板流量的传输,而不承载用户数据,也不作为管理VLAN,并在Trunk上清除了VLAN1的用户流量以减小VLAN1生成树的直径。
关键词: 校园网 网络安全
随着信息化社会的到来,网络在人们的工作、生活和学习方式中扮演着越来越重要的角色,校园网对提高学校的教学质量,推进以创新精神为核心的素质教育起着至关重要的作用。由于网络所具有的独特性,即它的开放性、国际性和自由性,使用户面临着严峻的安全性、不稳定性等问题。校园网络作为学校的重要基础设施之一,它的安全直接影响着校园正常的教学和办公活动,如何保障校园网络的安全已成为各个学校不可回避的一个紧迫问题。
1.目前校园网中普遍存在的问题
校园网络在学校的信息化建设中扮演着至关重要的角色,但在网络建设的过程中,由于对技术的偏好及网络安全意识的不足,普遍存在“重技术、轻安全、轻管理”的倾向。大部分学校对网络安全没有引起足够的重视,在网络安全方面的投入亦是不够。网络构建的时候,只注意购买服务器等主要设备,忽视了网络安全设备,使网络处在一个开放状态或者安全性极低的状态,没有有效的安全预警和防范措施。同时由于网络病毒的肆虐,网络性能急剧下降,单纯的单机杀毒根本起不了什么作用。有些学校虽然安装了还原卡,但是由于开放了某些盘符,关机后病毒仍然保留在该盘中,当系统刚启动的时候,系统中不带有病毒,一旦系统启动完毕,就迅速被病毒所侵占。笔者深有体会,前段时间我们机房同时中了“Arp”和“熊猫烧香”两种病毒,直接导致全校所有的机器瘫痪。
2.校园网络安全解决方案
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.1 从管理制度上,对校园网络安全进行管理。
严格的管理制度是校园网络安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络的管理思想麻痹,对网络安全保护重视不够。目前关于网络安全的法律、法规都已出台,各校也都制定了各自的管理制度,但由于宣传教育的力度不够,许多师生法律意识淡薄,或出于好奇心理,或卖弄编程技巧,或随意让他人用机、泄露IP地址等,从而为某些破坏活动奠定了技术基础。同时必须加强网管人员和用户的高度责任感和主人翁意识,培训具有较高技术水平的网络管理人员,为校园网络做好全面的管理及技术支持发挥作用。网络管理人员通过设置资源使用权限和口令,对所有用户名和口令进行加密和管理,并建立和维护网络用户数据库,提供完整的用户使用记录,对网络用户和服务帐号进行精确的控制,进行严格的系统日志管理,定期定时对校园网络的安全状况做出评估和审核,关注网络安全动态,监测运行情况,调整相关安全设置,发出安全公告,紧急修复系统等安全管理措施,可以有效地保证校园网络的安全。
2.2 校园内部网络安全的防范。
网络为资源共享提供了方便,但它同时也为病毒的快速传播提供了平台。仅仅依靠单机版的杀毒软件,已经很难彻底清除网络中的病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,来加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2.2.1防火墙的配置。
防火墙就好比是内网和外网之间的一道门,控制着内网和外网之间的相互访问。在网络通讯时设置好访问控制尺度,防火墙使同意访问的人和数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息,破坏校园网络的正常运行。防火墙是一种应用广泛的网络安全机制,能够有效防止Internet上不安全因素蔓延到局域网内部,所以,防火墙是网络安全中最重要的环节。
2.2.2 Web、E-mail、BBS的安全监测系统。
现在大部分学校都有自己的WWW服务器、E-mail服务器、BBS服务器等,对这些服务器进行病毒防范尤为重要。在这些服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW、E-mail、Ftp、Telnet等应用的内容,建立保存相应记录的数据库,及时发现在网络上传输的非法内容,并采取有效措施,将风险降低到最低点。
2.2.3 网络漏洞扫描系统。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的极为复杂和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击,从而暴露出网络的漏洞。
2.2.4 IP问题的解决。
可以用支持DHCP Snooping功能的接入交换机,用户的IP地址只能由网络中心分配,而不能来自非法的IP地址提供者,用户必须从DHCP服务器取得IP地址才可进行通信,私自设定IP地址将会自动被交换机禁止。如果条件允许,也可以在交换机或路由器上将IP和MAC地址进行捆绑,当某个IP通过路由器访问Internet时,路由器要检查发出这个IP工作站的MAC地址是否与路由器上的MAC地址表相符,如果相符就放行,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
2.2.5 基于Vlan的安全部署。
Vlan不仅能够解决内网IP不足的问题,还能够帮助控制流量,提供更高的安全性,使网络设备的变更或移动更加方便。Vlan技术的核心是网络分段,根据不同的应用业务及不同的安全级别将网络分段并进行隔离,实现相互间的访问控制,以达到限制非法访问的目的。将网络分成若干IP子网,各子网间必须通过路由器、路由交换机或网关等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
2.3 校园网络服务器的安全。
校园网管中心的安全直接影响着整个校园网络,网管中心服务器存储着大量的数据资料,对其安全防范更是我们工作的重点。
2.3.1 加强IIS方面的管理。
我校现在服务器所使用的操作系统大部分是Windows NT。Windows NT使用的IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:首先,不要将IIS安装在默认目录里(默认目录为C:/Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
2.3.2 及时为操作系统打补丁。
目前大部分校园网服务器使用的是微软的Windows操作系统,由于使用的人多,bug也不断被发现,微软的操作系统成了不少黑客攻击的对象,所以装好Windows系统后一定要升级至service pack 2(现在sp3都已经出来了)。管理员还要经常关注微软公司的网站,及时下载最新的系统补丁打到服务器中。
2.3.3 定期对服务器进行备份与维护。
Abstract:Is day by day huge along with the enterprise interior network and with exterior network contacting gradual increase, a security credible enterprise network safety system appears very important. The local area network enterprise information security system is to guard against one kind of management system management system which in the enterprise the computer data message divulges a secret establishes, is for the purpose of providing one kind to local area network's information security practical, the reliable management plan.
关键词:网络安全 防病毒 防火墙 入侵检测
key word: Network security Anti-virus Firewall The invasion examines
作者简介:张敏(1981- ),女,满族,辽宁锦州北镇人,本科学历,辽宁财贸学院经贸系教师。
一、网络安全的含义
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全,通常定义为网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
二、中小企业网络安全方案的基本设计原则
(一)综合性、整体性原则。应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
(二)需求、风险、代价平衡的原则。对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
(三)分步实施原则。由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需要,亦可节省费用开支。
三、中小企业网络安全方案的具体设计
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
该方案主要包括以下几个方面:
(一)防病毒方面:应用防病毒技术,建立全面的网络防病毒体系。随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力:当今社会高度的计算机化信息资源对任何人无论在任何时候、任何地方都变得极有价值。不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。
(二)应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙技术是今年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。
防火墙可以完成以下具体任务:通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘。
随着网络的广泛应用和普及,网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点。防火墙作为网络边界的第一道防线,由最初的路由器设备配置访问策略进行安全防护,到形成专业独立的产品,已经充斥了整个网络世界。在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然。
参考文献:
关键词:社交网络;安全问题;解决方案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)07-0034-02
随着我国科技的进步,社交网络在逐渐的发展,我国的社交网络主要的来源就是互联网的发展,在互联网中的社交网络上,网络使用的用户主要就是在网络社交的平台上进行相互之间的交流和联系,并且网络用户在交流过程中逐渐建立起来的一个关系网也是主要依附在网络平台上的社交链接。但是虚拟的社交网络与现实的社会不同,与生活中的朋友圈也是不相同的,这是一个虚拟存在的空间和社会,人们在网络平台之上互相之间的沟通是不能见面的,甚至双方的距离会非常远,这样的沟通和交流也是现在网民喜欢在网络中接触的主要原因。网友的联系人可以是生活中的好朋友,也可能是社交过程中萍水相逢的陌生人,这种互相之间没见过面的朋友进行沟通和聊天,使网友在社交网络中,能够摆脱现实生活中身份、生活、工作的压力,摆脱日常的束缚,人们可以畅所欲言,这也在另一方面促进我国网络文化的快速发展。
1 我国社交网络的主要发展历程
随着网络中社交软件的出现,良好地解决了以往邮件传递过程中出现的问题,并且逐渐成为我国互联网中所使用的最为广泛的使用方式。但是社交网络的使用仅仅能够做到点对点的邮件传递,也就是说邮件仅仅能够一对一的传递,不能够完成多方面的信息传达,所有对于邮件的处理效率并不是非常高。除此之外,为了弥补网络社交中存在的缺点,计算机中有研发出了BBS软件,这一软件的出现首先就良好地解决了邮件一对一的问题,使邮件的处理效率得到良好的提高。在后期的发展过程中,甚至把群发的邮件信息进行良好的整合,使网民能够在共同的话题下进行探讨,这也是社交网络初步形成的一个阶段。
这些网络社交软件一般情况下都仅仅是在邮件等工作信息之上出现的,一般比较正式,随后就出现了腾讯、微博等社交软件。这些软件的推出也很快地受到了网民的支持,并且快速地占据了社交网络中的主要位置。人们在最开始的软件传递到个人信息动态的,甚至后期出现了能够评论、点赞、视频、电话等,这样的社交网络改变了人们的传统交际圈,实现了现实中好友在网络中接触和互相关注的现象[1]。
2 社交网络发展的主要意义
和以往的社交软件相比较,网络中社交的情况突破了传统中时间和空间的限制,在时间上,网民能够通过网络的社交平台发出信息,甚至在后期阶段,如果消息没有及时的被读取,也会标识出未读的状态,只要用户一打开社交软件,就能看见之前所发出的信息。在空间上,如果两个或者多个人之间的交流,就不会和传统的社交相同,需要面对面,网络数据和信息的传统,双方可以相隔的非常远。
现阶段,网络的社交不仅仅能够改变人的性格,使内向的人变得活泼,同时也能够让外向的人发挥自己的长处,由于社交网络在两者之间沟通和交流的时候,不需要面对面的交流,这样就使内向的人避免在公共场合和别人面前出现说话尴尬的处境,也能让这种人在网络中向好友倾诉自己的想法,分享自己的内心世界,甚至能够展现自身的才华,改变自己性格的特点。这些都是社交网络发展过程中最重要的意义[2]。
3 社交网络安全问题的具体分析
现阶段,社交网络的使用已经成为很多人群所青睐和使用的日常软件,特别是年轻的群体,更是社交网络中重点的关注对象,同时这类人群也成了非法分子关注的主要目标,这也导致社交网络的安全问题成为现阶段需要注意的主要问题。
1) 社交网站受到安全威胁
社交网络中的重要组成部分就是社交网站,因为网站是网民在选择社交网络的主要渠道,但是现阶段很多网站中都存在着安全问题,其中比较常见的安全问题就是木马或者是病毒,这些攻击性软件能够对网站起到破坏作用,主要就是因为木马、病毒使用了特殊的技术,这些技术通过网民对网站的使用,发送木马或者病毒的攻击,导致网民的信息被盗取,谈话和聊天的内容遭到泄露,然后就有很多黑客,通过网民的相关信息,实施诈骗等非法行为,因此这也在侧面反映出网络安全技术还需要进一步的提升[3]。
2) 无线通讯中存在的安全隐患
随着网络技术的不断发展,智能手机在人们生活中的应用也越来越广泛,智能手机以及各种各样的无线电设备也成为很多人们的生活必需品,特别是年轻人,在生活中智能手机和电脑已经成为了生活中的必需品。在手机无线网络的规模越来越大,覆盖面越来越广的情况下,无线网络的安全问题也成为亟待解决的情况,因此这些安全问题还不能满足目前用户和行业发展的需求。如果网络安全体系不匹配,不符合行业发展现状的时候,也造成了网络用户信息安全不能得到良好的保证,据调查显示,很多智能手机的使用者都遭到了电话被监听、手机中毒等情况。几年来使用手机网络进行下载的用户也在逐渐增加,因此导致手机用户收到病毒侵害的情况仅次于电脑用户。
3) 垃圾信息导致网站受到威胁
社交网络的飞速发展和扩充,加上网络覆盖面的快速扩大,实际上和垃圾邮件的存在有着非常紧密的联系,这种垃圾信息的营销使用户在使用网络软件的过程中受到严重的影响,同时也给用户信息的安全情况带来非常严重的威胁。这些影响着网络安全的情况主要就是垃圾信息,在这些垃圾信息中包括广告和恶意的代码,有些严重的信息可以利用好友之间的交流进行传播,并且垃圾信息的数量还具有一定的规模,再这样的作用下会造成网络超负载的情况,同时也会影响用户的信任度,很多不法分子也是利用这一漏洞,利用虚假信息,对网络用户进行诈骗,最终使网络瘫痪,带来非常严重的损失。还有很多人利用网络传播的广泛性,传达小广告,严重影响着用户对于网络的使用情况,并且有些用户在利用网络办公的时候,还会出现恶意破坏的现象,造成用户无法估量的损失[4]。
4 完善社交网络安全问题的良好对策
1) 加强社交网站中的安全建设
如果想要保证社交网站的安全性能,就需要对社交网络中的软件进行合理的优化,这样也能够增加社交网站在用户使用的过程中抵御外部木马和病毒的攻击,降低病毒对社交网络的抑制作用。为了能够降低社交网站的漏洞情况,还需要在用户初期使用网络的时候进行严格的安全排查,在网络用户互相成为好友的过程中,进行详细的检测,并且对于用户所输入的信息完整度进行合理排查。并且在测试的过程中一旦出现脚本的错误,也就是出现恶意攻击的情况,就需要网站自行加深排查的工作,在检测出漏洞之后,进行快速修复,这样就能够良好的保证网民在使用社交网站中的安全性能。还有就是社交网站需要严格的监控网民在使用网络的时候出现的任何破坏网站的现象,一旦发现问题,严格监控网民的意图,保证网站的安全性能得到良好的提升。
2) 加强手机中无线通信网络安全的保护
在手机无限通信网络的使用过程中,人们对于这一技术接受程度越来越高,并且在生活中也逐渐受到普及,就是在这种越来越大的规模的影响下,手机的安全问题也逐渐突出,所以社交网络的安全情况中,手机无线通信的安全情况也日益凸显出来,例如:现阶段比较流行的安卓系统已经成为社会上使用者中的主流,并且这一系统在市场的使用范围中也存在着非常多非常大的第三方应用空间,这样的第三方空间良好的丰富了用户手机自身的原有功能,但是与此同时也在使用过程中第三方服务器还需要对用户进行身份标识,网络信息的收集整理等。在这样的过程中就很容易产生问题,用户信息在填写过程中需要系统进行保护,避免被其他人所发现,同时还需要系统自身进行检测,一旦出现安全问题,或者是系统漏洞的情况,软件需要自我调节,修复漏洞,保证用户的信息能够得到保护,这样才能够增加手机无线通信的安全情况[5]。
3)加强宏观调控,减少垃圾信息
目前为止,对于我国社交网络的管理问题,相关的部门还没有给出一个完整健全的管理方式和管理制度,所以在这一方面我国的相关部门还需要加强对其的管理工作,制定出合理的制度,对于在网络中恶意传播垃圾信息和入侵用户隐私的人群和事件进行严格的处分和解决。这一点对于社交网络的发展来说,专门的制度能够完善社交网络平台的发展,例如:BBS软件,这一软件就需要构建出专门专项的备案,这其中包括基本的管理规范,同时还有软件进入市场的准则等。同时,在社交网络平台上的大型社交软件来说,还需要给予出一套比较健全的内容,并且在审核过程中加以严格的调查,保证信息在获取过程中能够被过滤,以便于网络中的信息都是安全的,并且在社交网络上的监管还需要在两方面出发,使社交网络的安全管理情况得到良好的发展[6]。
5结论
综上所述,本文根据社交网络发展的历程和现阶段的应用情况,探讨社交网络安全现状以及其中的安全问题,同时介绍了集中比较有效的能够解决安全问题的方案。这几种解决方案主要都是在保护用户的隐私方面展开,对于加强用户访问安全以及提高数据存储量为最终目标,并且针对不同的社交网络场景中的不同情况提出比较完善的理论框架。据调查,现阶段我国社交网络的安全问题,给社交网络的发展带来了非常严重的阻碍,同时这些安全问题也给社交网络的使用者带来了一定的威胁,所以需要采用具有针对性的手段对其发展过程进行完善,通过对社交网络安全建设,加强我国社交网络工具的安全保护情况,对社交网络的安全建设给予宏观调控,给使用者创造一个良好的环境,保证我国科学技术的发展。
参考文献:
[1] 张剑,彭媛媛.企业移动社交网络访问安全风险分析[J].情报探索,2015(1):82-84+88.
[2] 刘一阳,张保稳.一种基于信息流的社交网络安全本体模型[J].信息安全与通信保密,2012(1):64-66.
[3] 张志勇,杨丽君,黄涛.多媒体社交网络中的数字内容安全分发研究[J].计算机科学,2012(4):94-97.
[4] 孙剑,朱晓妍,刘沫盟,等.社交网络中的安全隐私问题研究[J].网络安全技术与应用,2011(10):76-79.
方案说明
中心交换机: 以GSM7324全千兆三层交换机作为网络的核心交换机。GSM7324是一款高性能,线速,全千兆三层交换机。该产品具有灵活的端口配置、丰富的二层交换、三层路由、服务质量管理等功能、良好的高可用性和高可靠性,为用户提供了完整而全面的智能解决方案。GSM7324具有24个10/100/1000M铜缆千兆端口,4个组合SFP GBIC光纤插槽,背板交换能力达到48Gbps,二/三层线速包转发能力为35.7Mpps;最大可支持512个802.1Q的VLAN、丰富的生成树协议(802.1D、802.1W、802.1S)、802.3ad LACP链路汇聚和基于DiffServ QoS的端口流量限制等丰富的软件特性。
同时使用两台GSM7324可以轻易地实现冗余且互为备份的核心骨干,与边缘工作组或汇聚层交换机形成一个无单点故障的主干连接。
接入层交换机:向下通过千兆(可自由选择铜缆或光纤)连接美国网件FSM7328S和FSM7352S新一代的可堆叠,可网管安全交换机。FSM7300S系列交换机是具有强大的扩展灵活性、线速、可靠、可提供全面安全协议支持的交换机。
FSM7328S交换机可提供24个10/100M 端口、4个10/100/1000M端口和4个组合SFP GBIC 端口, 具有高达12.8Gbps的线速背板交换能力。FSM73xxS系列交换机支持目前业界最为先进的堆叠技术,设备最多可堆叠8台,最大同时支持384个10/100M端口,16个千兆端口,堆叠后实现单一IP地址管理。
方案优势
1. 分布式的三层交换架构,确保整个网络的高性能
分布式的三层交换赋予了成长型商业/企业网络所需要的最大的吞吐量和灵活性―边缘的三层交换减轻了核心三层交换机的负荷,位于堆叠组内交换机内不同VLAN间的路由将直接处理转发,不再像以前设计的那样需要把全部路由集中到核心三层交换机来处理, 增强了整体网络的处理性能,也分担了核心交换机的路由信息交换和查询所需的性能开销。分布式架构的第二/三层线速交换与传统架构采用高昂费用的高端三层核心交换机设计的网络相比,价格更经济,整体性能更优化。
2. 先进的堆叠技术,确保整个网络的高扩展
无需增加任何成本,目前业界最优秀的堆叠技术――FSM73xxS系列交换机只要利用前面板的千兆以太网端口即可方便地实现堆叠,无需专门的堆叠线缆,亦不用作任何复杂的配置即能自动形成堆叠环,环形堆叠技术可以确保整个堆叠的高可靠性,且所有堆叠连线均可双向传输数据流;提供了适合成长型企业网络所需的扩展性和高密度,大规模的边缘百兆桌面接入。
堆叠后的交换机组可实现统一IP地址管理。整个堆叠组交换机可看作一台三层交换机进行路由和二/三层的包转发。 FSM73xxS系列交换机可异型混合堆叠,最多可堆叠8台设备。另外,堆叠组的交换机还支持跨堆叠交换机的链路聚合功能,可以与两台核心GSM7324交换机之间进行链路的负载分担和互为备份。还可实现堆叠当中跨设备的多对一的端口流量镜像。
3. 全局的安全控制策略,确保整个网络的高安全
核心交换机GSM7324可提供全局的访问控制策略的配置,可基于IP地址,源/目的地址,端口,协议等。ACL和QoS的增强特性可以提供基于应用流的流量限制。
FSM73xxS系列是基于硬件芯片设计的新一代具有三层功能的接入层安全工作组交换机, 将服务质量(QoS)、速率限制(Rating Limiting)、多层访问控制列表(ACL),防DoS攻击以及用户访问认证(802.1x)等功能都集成到硬件芯片上, 智能特性不会影响到基本二层、三层的线速转发性能。
同时,FSM73xxS系列交换机支持完整的 802.1x + Radius network login 功能,配合NETGEAR在中国的 802.1x 客户端软件及Radius Server 软件,可实现用户名与 客户端IP地址,客户端MAC地址,所接交换机的管理IP地址(NAS IP Address),交换机端口及端口VLAN ID 等六大元素的绑定,为接入端安全提供更灵活的身份验证和控制手段。
4. 丰富的QoS策略,确保整个网络智能地支持多种业务
方案中配置的交换机都具有功能强大的DifferServ服务质量控制功能, 可以支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类, 可以提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)模式,支持8个优先级队列,支持WRED拥塞避免算法。
今天几乎所有公司都具有 Internet 连接,以便访问合作伙伴和客户站点的 Web 服务器中存放的信息,以及从分支机构位置访问总公司的 Web 内容。尽管 Internet 和分支机构网络让员工能够快速共享和操作信息,但它们也潜藏着共享和传播来自黑客的漏洞和攻击以及恶意移动代码的危险。今天的企业必须提供一种方式来保护企业网络外部的用户对于企业 Web 服务器的访问。同时,这个解决方案还必须能够防止公司网络中的用户将危险信息下载到员工、公司以及公司的信息系统中。
Microsoft Internet Security and Acceleration (ISA) Server 2006解决了当今企业面临的这些问题。ISA Server 可以在远程访问企业 Web 服务器中的信息时提供保护。ISA Server 可以帮助保护和控制企业网络内部员工的 Internet 访问。部署 ISA Server 2006 Web 服务器可以降低网络操作的总体成本,使用 ISA Server 2006 Web 缓存则可以改进员工的工作效率。
ISA Server 2006 Web 提高安全性和性能的一些示例包括:
• 在允许访问企业 Web 服务器之前预先验证用户身份。
• 在允许访问公司数据资源之前预先授权用户。
• 检查 HTTP Web 连接中潜藏的攻击代码。
• 防止访问敏感的企业信息。
• 缓存 Web 内容以改进最终用户体验。
• 控制企业用户可以通过 Internet 连接的内容类型。
企业总是在不断寻找利用现有商业智能的方式以便在竞争中取得优势。为获得竞争优势,各公司不断寻找定位现有数据资产的方式,以便让公司员工能够从世界上任何地方访问这些信息。
这种任意位置访问通过远程访问企业网络中承载的信息提高了业务灵敏性,但这些信息在员工离开公司设备时可能无法访问。远程访问指的是即使用户及其计算机物理上不在企业网络中也可以访问企业服务器中承载的信息。
远程访问提供了多种定位员工的选项,同时仍然让这些员工能够访问企业信息。一些示例包括:
• 远程办公人员
随着可用性的提高以及高速 Internet 连接的普及,在家工作成为一种选择。通过完全或部分时间远程办公,公司可以获得基础结构成本降低的好处。
• 销售人员和经理
销售人员需要访问企业服务器中的信息。移动工作者需要访问 Microsoft Office Word 文档、Microsoft PowerPoint? 演示文稿、数据库信息和更多内容。经理在拜访客户和合作伙伴时也需要实时访问信息。
• 企业合作伙伴
公司要想与其他企业建立战略合作伙伴关系也需要一种安全和可靠的方法以共享专有信息。共享部件列表、报价单、订单信息和其他数据可以让企业迅速抓住稍纵即逝的机会。
安全远程访问企业应用程序和数据是能否在今天的企业环境中取得成功的主要因素。为利用安全远程访问,您需要重新考虑企业网络的定义。企业网络通常被视为独立的实体,它与 Internet 是物理上分开的,而 Internet 是不安全的,其中充斥着黑客、恶意用户以及其他潜在入侵者。然而,随着远程访问连接的引入,现在的企业网络边界显然已扩展到整个 Internet。
要想充分利用远程访问企业数据带来的好处,首先必须解决四个主要问题:
• 向安全性和符合性管理者保证远程访问连接是安全的。
• 解决远程工作者连接导致的性能问题。
• 简化应用程序安全性和加速解决方案的部署
• 降低远程连接的相关网络操作成本。
保证远程访问连接安全
尽管远程访问连接可以给企业带来战略优势,但它也会增加信息泄露和数据失窃的风险。很多企业担心远程访问连接会带来安全性和符合性问题,因为攻击者有可能使用与员工相同的机制合法地访问企业信息。
ISA Server 2006 为安全性和符合性管理者解决了下列问题:
• 防止来自黑客和入侵者的危险连接到达企业网站
Internet 上的黑客可以通过与员工相同的渠道访问企业信息。您需要在入侵者到达您的网站之前阻止潜在的攻击。ISA Server 2006 Web 能够检查所有指向企业网站的连接,并在 ISA Server 计算机处阻止具有潜在危险的连接。这样就让员工能够访问所需的企业数据,同时阻止攻击,避免它们抵达 Web 服务器。
• 防止匿名连接企业 Web 服务器
很多公司都通过配置企业防火墙允许 Internet 用户访问承载 Microsoft Exchange Server 和Microsoft Office SharePoint Portal Server 的企业 Web 服务器,从而允许连接这些服务器。这种做法可能会让公司的数据处于危险之中,因为防火墙在允许连接之前无法识别用户。同时这也让匿名攻击者能够对 Web 服务器进行密码、拒绝服务和类似攻击。使用 ISA Server 2006 作为 Web 以保护企业网站时,用户首先必须证明自己的身份,然后才能连接到企业服务器。而且,就算用户成功证明了自己的身份,也只有那些被授予信息资源访问权限的用户才能连接企业服务器。SharePoint Portal Server 就是受益于这种保护的 Web 服务器的一个例子。
• 防止由于远程用户活动给符合性带来的负面影响
企业符合性管理者需要知道有关谁曾连接过公司数据、他们什么时候访问过公司数据以及他们通过远程访问连接进入公司网络后做了什么的信息。ISA Server 2006 Web 记录了用户通过连接企业 Web 服务器的所有行为的大量信息,从而帮助解决了符合性问题。这些日志数据可以用于创建有关远程用户活动的综合报告。您可以查询 ISA Server 2006 Web 日志,以了解有关资源使用情况和用户活动的详细信息。
全面支持应用程序层检查增强功能
与只能进行静态数据包检查的传统防火墙不同,ISA Server 2006 Web 可以通过应用程序层检查进行更加复杂的决策,而不仅是允许或拒绝访问。应用程序层检查是 ISA Server 2006 的一项功能,它让 Web 可以评估通过 ISA Server Web 传输的 Web 通信的有效性和安全性。ISA Server 2006 Web 应用程序层检查功能的一个示例就是本文前面介绍过的 HTTP 过滤器。
ISA Server 2006 提供了强大的应用程序层检查机制。ISA Server 2006 同时也是一个灵活和可扩展的解决方案,从而让您能够极大地增强应用程序层检查功能。使用第三方 ISA Server 2006 Web 加载项过滤器,您可以:
• 检查 Web 流量中的病毒。
• 防止恶意应用程序通过正常的 Web 连接隧道进入。
• 让 ISA Server 2006 能够检查 XML 流量。
• 执行其他安全任务。
公司通常允许员工访问 Internet 站点而不加限制。这其实不是一个很好的办法,因为员工可能会无意中下载病毒、蠕虫、远程访问特洛伊木马、rootkit 和其他形式的恶意软件。员工可能会有意访问不合适的内容(、盗版软件或歌曲),从而让公司陷入法律纠纷,甚至刑事案件中。对于 Internet 访问不加限制可能会带来难以承受的安全风险,同时极大地增加了公司违反行业原则的可能性。
员工处在越来越大的压力下,他们需要尽快和有效地完成工作。大多数公司依靠快速和可靠的 Internet 访问实现这一目标。如果信息访问受到损害,公司可能要承受每小时数千美元的效率损失成本。
部署 ISA Server 2006 Web 服务器有助于减轻恶意代码和不合适内容带来的安全风险,从而提高员工的工作效率。
保护员工的 Internet 访问
在一份 2004 年的报告中,技术市场智能服务商 IDC 认为以下企业网络风险是由不加控制的 Internet 访问造成的:
• 越来越多的 Web 病毒和混合威胁,例如 NIMDA、红色代码和冲击波。
• 使用点对点 (P2P) 文件共享应用程序的情况增多,这种应用程序可以用于下载受版权保护的资料、传输受感染的文件以及与世界上的任何人共享专有的企业信息。
间谍软件越来越流行,这种软件可以捕获诸如用户名和密码等用户信息,甚至包括可以记录受感染计算机的每次键击的按键记录软件。
• 网钓攻击的数量增加,这种攻击利用用户的无知收集用户输入网站表单中的隐私信息,然后使用这些信息进行身份盗窃或其他诈骗活动。
• 越来越多的用户下载和安装来自不可信来源的软件,这种下载可能包含恶意软件,从而导致用户计算机失控,或是由于使用未经授权的软件而导致公司面临罚款。
• 员工工作效率下降的问题增多,因为在线游戏、新闻、社会性网络以及其他不关业务的站点增多。
所有这些漏洞都可以使用 HTTP、HTTPS 或 FTP 协议通过 Web 连接加以利用。Web 设备可以通过以下方法防止这些漏洞:
• 通过设置 Web ,使其不允许访问可执行文件,并阻止连接已知存在恶意代码的网站,从而对 Web 病毒和其他漏洞代码(例如特洛伊木马和 rootkit)的下载进行控制。
• 通过配置 Web 以阻止访问一些要求使用 P2P 应用程序的主要登录站点,以及通过检查 HTTP 通信的特点来识别 P2P 应用程序,从而阻止访问 P2P 应用程序。
何谓轻结构的网络?WatchGuard中国区技术总监曾剑隽认为,轻结构的理念包括网络部署、IT资产管理和扩展等多方面的内涵:“在网络部署上,将网络结构简化,只需网络层、安全层两套设备和一个无线AP设备即可满足企业用户所有的网络和安全部署的应用需求。网络安全设备自动上线,升级管理便捷。在资产管理上,轻结构化指通过软件的形式提供更多网络安全服务,实现轻资产化,保护企业的IT投入。”
“IT建设给企业带来的压力越来越大,不但要购买防火墙、IPS、防病毒、无线控制器等各种硬件产品,还得购买管理软件,甚至需要对管理软件进行二次开发。”WatchGuard中国区市场总监万熠认为,企业对IT设备的投入变得越来越谨慎,正在呈现出轻资产化的趋势,因此安全解决方案必须帮助用户最大化IT资产的收益。“通过一个多功能的硬件盒子,WatchGuard可以提供二到七层的网络安全防护,再加上无线客户端AP的接入,能基本满足企业对所有的设备和业务的安全保护需求。企业购买WatchGuard的服务之后,不必再操心设备的形态,WatchGuard用轻结构的解决方案,帮助用户解决问题。”
当前,软件定义IT已经成为业界趋势,通过软件的升级来实现产品功能的升级和完善,具有灵活性和低成本的特点。在网络安全领域,这一趋势也日趋明显。轻结构化的网络安全解决方案就是这一趋势的具体表现。曾剑隽强调,轻结构化网络安全解决方案注重硬件的高性能。“WatchGuard每个系列的产品都力图做到在业界性能最高,当企业随着业务的增长需要扩展IT能力时,企业只需要升级软件即可,无需再购买硬件产品。”曾剑隽介绍说,当企业购买WatchGuard某一系列的中低档产品之后,需要升级到高端产品时,也不必购买硬件,只需升级软件即可。
在轻结构网络安全理念下,WatchGuard了一系列软硬件一体化的产品,WatchGuard无线安全解决方案就是典型的代表。“以往企业部署网络时,需要为了IPS、AV、反病毒、邮件过滤等多种功能单独购买多个硬件产品,不但成本高,而且管理复杂。”曾剑隽表示,WatchGuard提供轻结构化的无线安全解决方案,利用一套设备就可满足用户几乎所有需求,同时为了便于管理,WatchGuard管理服务器设备可以支持用户自由地部署和管理在异地部署的WatchGuard防火墙设备。曾剑隽表示:“通过无线AP设备的管理和控制功能,企业可以通过单一的窗口管理所有的防火墙和无线设备,达到安全接入和控制的目的,同时通过异地管理形成统一报表。”