前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全設(shè)備主題范文,僅供參考,歡迎閱讀并收藏。
【關(guān)鍵詞】 異構(gòu);網(wǎng)絡(luò)安全;安全管理;安全設(shè)備
1 引言
現(xiàn)在,網(wǎng)絡(luò)技術(shù)的發(fā)展促進了各種網(wǎng)絡(luò)安全技術(shù)的應(yīng)用,如病毒防火墻、入侵檢測技術(shù)等。而對于這些網(wǎng)絡(luò)安全技術(shù)的管理,則漸漸成為互聯(lián)網(wǎng)管理技術(shù)的重點。通過對所有管理技術(shù)的總結(jié),可以將現(xiàn)在廣泛采用的技術(shù)方法總結(jié)為三類:(1)利用安全設(shè)備自身管理平臺實現(xiàn)管理;(2)利用簡單網(wǎng)絡(luò)管理協(xié)議實現(xiàn)設(shè)備管理;(3)利用專業(yè)廠家所提供的管理平臺和系統(tǒng)進行統(tǒng)一管理。
通過對上面三類管理技術(shù)和方式的詳細了解,以及對現(xiàn)在網(wǎng)絡(luò)安全設(shè)備管理具體需求掌握的基礎(chǔ)上,本文構(gòu)建一個對異構(gòu)網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)統(tǒng)一管理的平臺,能夠?qū)⒕W(wǎng)絡(luò)架構(gòu)進行有效擴展,從而滿足網(wǎng)絡(luò)日益增長的需求,最大可能地發(fā)揮安全設(shè)備的應(yīng)用效能。
2 平臺架構(gòu)
通過網(wǎng)絡(luò)安全設(shè)備的異構(gòu)管理平臺,能夠?qū)崿F(xiàn)對整個網(wǎng)絡(luò)中所有安全設(shè)備的統(tǒng)一管理,為網(wǎng)絡(luò)中數(shù)據(jù)和安全資源的共享和管理,以及多種安全管理模塊的有效互動奠定基礎(chǔ)。參考現(xiàn)在主流軟件的設(shè)計思路,根據(jù)組件化的平臺構(gòu)建思想,可以將整個平臺劃分為四個不同的層次,即客戶層、業(yè)務(wù)邏輯層、數(shù)據(jù)交換層和后臺數(shù)據(jù)層等。
本文所構(gòu)建平臺,在具體的實現(xiàn)過程中,主要基于主流的B/S結(jié)構(gòu)進行開發(fā)和系統(tǒng)架構(gòu),具體到不同的層,客戶層采用RIA/AJAX技術(shù)、業(yè)務(wù)邏輯和數(shù)據(jù)交換層則采用J2EE架構(gòu),利用Java語言來實現(xiàn),而后臺數(shù)據(jù)庫主要利用SQL Server系統(tǒng)來完成。
3 主要功能模塊劃分
對于文中平臺主要功能的實現(xiàn),則主要通過業(yè)務(wù)邏輯層來完成,概括起來主要包含四個方面的功能。
3.1 設(shè)備管理
對于設(shè)備管理模塊來說,可以作為其他功能模塊的基礎(chǔ),是其他模塊有機結(jié)合的基礎(chǔ)模塊,主要包括幾個子功能:(1)設(shè)備信息管理;(2)設(shè)備狀態(tài)監(jiān)控;(3)設(shè)備拓撲管理等。
這些子功能的實現(xiàn),可以在網(wǎng)絡(luò)拓撲和手動的基礎(chǔ)上,通過統(tǒng)一通信接口來對設(shè)備的狀態(tài)和性能進行實施的監(jiān)控和管理,必要的情況下,還可以通過圖形化的方式來表示,方便平臺和系統(tǒng)管理員對設(shè)備運行狀態(tài)的及時掌握和定位,減輕管理員的工作量。
3.2 事件分析
作為安全設(shè)備管理平臺的核心模塊,安全事件分析模塊的目的就是對大量的網(wǎng)絡(luò)事件進行分析和處理、篩選,減輕管理員的工作壓力,所以,該功能模塊的主要子功能有安全時間分類統(tǒng)計、關(guān)聯(lián)分析和處理等。同樣,該功能模塊也能夠通過統(tǒng)一通信接口來對各個安全設(shè)備所生成的時間報告進行收集、統(tǒng)計,在統(tǒng)計分析的過程中,可以根據(jù)不同的標準進行分類,如時間、事件源、事件目的和事件類型等,通過科學(xué)統(tǒng)計和分析,還可以利用圖表的方式進行結(jié)果顯示,從而實現(xiàn)對安全事件內(nèi)容關(guān)系及其危害程度進行準確分析的目的,并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。
3.3 策略管理
安全設(shè)備管理平臺中的策略管理模塊包含多個功能,即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設(shè)備的策略進行標準化定義的基礎(chǔ)上,就可以統(tǒng)一對設(shè)備的策略定義進行管理和修改,對當前所采用的策略進行網(wǎng)絡(luò)安全事件沖突檢測,及時發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)設(shè)置沖突和異常,確保網(wǎng)絡(luò)策略配置的正確性和合理性。通過對網(wǎng)絡(luò)環(huán)境中安全事件的深入分析,在跟當前所采用安全策略相比較的基礎(chǔ)上,就能夠為設(shè)備的安全設(shè)置提供合理化建議,從而實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備設(shè)置的決策輔助和支持。
3.4 級別評估
最后一個功能模塊就是安全級別評估模塊,該模塊的主要任務(wù)就是對網(wǎng)絡(luò)商業(yè)設(shè)備安全制度的收集匯總、實施情況的總結(jié)和級別的評估等。該模塊通過對網(wǎng)絡(luò)安全事件的深入分析,在結(jié)合安全策略設(shè)置的基礎(chǔ)上,實現(xiàn)對網(wǎng)絡(luò)安全水平的準確評估,從而為網(wǎng)絡(luò)安全管理的實施和水平的提高提供有價值的數(shù)據(jù)參考。
4 平臺中的通信方法
要實現(xiàn)網(wǎng)絡(luò)中異構(gòu)安全設(shè)備的統(tǒng)一管理,就需要通過統(tǒng)一的通信接口來實現(xiàn),該接口的主要功能就是通過對網(wǎng)絡(luò)中異構(gòu)設(shè)備運行狀態(tài)、安全事件等信息的定時獲取,從技術(shù)的角度解決異構(gòu)設(shè)備所造成的安全信息格式不兼容和通信接口多樣的問題,實現(xiàn)網(wǎng)絡(luò)安全信息的標準化和格式的標準化。
4.1 資源信息標準化
在網(wǎng)絡(luò)安全管理中,所涉及到的安全資源信息主要包括安全設(shè)備的運行狀態(tài)、設(shè)備配置策略信息和安全事件信息等。其中,安全設(shè)備的運行狀態(tài)信息主要通過數(shù)據(jù)交換層中的通信程序通過跟安全設(shè)備的定時通信來得到,可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲,但是采用數(shù)據(jù)庫存儲的則比較少,這主要是由于:(1)RRD文件適合某個時間點具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲;(2)如果對多臺安全設(shè)備的運行狀態(tài)進行監(jiān)控的情況下,就應(yīng)該建立跟數(shù)據(jù)庫的多個連接,給后臺數(shù)據(jù)庫的通信造成影響。
對于上面提到的安全設(shè)備的運行狀態(tài)信息和安全事件信息,通過對各種安全設(shè)備信息表述格式的充分考慮,本文中所設(shè)計平臺決定采用XML語言來對設(shè)備和平臺之間的差異性進行描述,不僅實現(xiàn)了相應(yīng)的功能,還能夠為平臺提供調(diào)用轉(zhuǎn)換。而對于安全策略類的信息,則是先通過管理員以手動的方式將安全策略添加到平臺,然后再在平臺中進行修改,之后就可以在通過平臺的檢測沖突,由平臺自動生成設(shè)備需要的策略信息,然后再通過管理員對策略進行手動的修改。
4.2 格式標準化
對于安全事件和策略的格式標準化問題,可以通過格式的差異描述文件來實現(xiàn)彼此之間的轉(zhuǎn)換,這里提到的差異描述文件則采用XML格式來表述,而格式的自動轉(zhuǎn)換則通過JavaBean的內(nèi)置缺省功能來實現(xiàn)。
4.3 通信處理機制
對于通信接口而言,由不同廠家所提供的同類型設(shè)備之間的差異也比較大。所以,對于設(shè)備的運行狀態(tài)信息,主要采用兩種途徑來獲?。海?)通過標準的SNMP、WMI方式獲得;(2)通過專用的Socket接口調(diào)用特定函數(shù)來獲得。而對于網(wǎng)絡(luò)運行中的安全事件,其獲得途徑也有兩種:(1)通過專用Socket接口來獲得;(2)將安全事件通過推送的方式發(fā)送到指定的安全管理設(shè)備。
通過綜合分析,本文平臺主要采用獨立的通信程序和集中設(shè)置調(diào)用的方法來獲得安全資源信息,這樣就可以實現(xiàn)對安全設(shè)備管理的最有效支持。本文所采用方式的實現(xiàn)機制為:平臺通過標準接口獲取網(wǎng)絡(luò)的安全資源信息,再通過通信程序的調(diào)用設(shè)置功能,對程序調(diào)用的時間間隔及其語法規(guī)范進行定義。
5 總結(jié)
現(xiàn)代互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,促使網(wǎng)絡(luò)中所采用安全設(shè)備的種類也越來越多,從而在網(wǎng)絡(luò)設(shè)備管理中出現(xiàn)了多種問題,如異構(gòu)設(shè)備的協(xié)同問題和安全事件的有效響應(yīng)和處理等。所以,本文針對這些問題設(shè)計出一種對網(wǎng)絡(luò)安全設(shè)備進行管理的異構(gòu)網(wǎng)絡(luò)平臺。在該平臺中,采用了一種異構(gòu)安全設(shè)備通信處理機制,使得該平臺能夠?qū)Ξ悩?gòu)安全設(shè)備完全兼容。
參考文獻
[1] 趙悅,徐濤.統(tǒng)一網(wǎng)絡(luò)安全管理平臺建設(shè)研究.信息系統(tǒng),2009;32( 1)?。骸?17~118.
[2] 吳蓓,陳性元,張永福等.可擴展的網(wǎng)絡(luò)安全設(shè)備內(nèi)策略沖突檢測算法.計算機應(yīng)用研究,2010; 27( 4)?。骸?484~1488.
[3] 鄣錫泉,姚國祥.網(wǎng)絡(luò)安全管理的多維度可拓模糊綜合評價.計算機工程,2011; 37( 4)?。骸?87~289.
[4] 曾峻峰,唐川,楊岳湘.安全集中管理中安全設(shè)備差異性的屏蔽方法.計算機工程與科學(xué),2006; 28( 12)?。骸?4~27.
關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-01
Potential Safety Hazard and Protection of Network Equipment
Zhang Ping,Luo Cheng,Yang Suping
(Troop 61938 Beijing100089,China)
Abstract:Nowadays people lay great emphasis on the server,terminal and application system of network security and ignore the security of operation activity of network.This paper illustrates the potential safety hazard of network equipment,analyzes the protection means of equipment security and comes up with some suggestions.
Keywords:Network security;Security protection
網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)系統(tǒng)的主要組成部分,是網(wǎng)絡(luò)運行的核心。網(wǎng)絡(luò)運行狀況根本上是由網(wǎng)絡(luò)設(shè)備的運行性能和運行狀態(tài)決定的,因此,網(wǎng)絡(luò)設(shè)備穩(wěn)定可靠運行對整個網(wǎng)絡(luò)系統(tǒng)的正常工作起著關(guān)鍵性作用。
一、 網(wǎng)絡(luò)設(shè)備存在的安全隱患
總體來看,網(wǎng)絡(luò)設(shè)備從網(wǎng)絡(luò)管理角度可分為三類:
第一類是無需進行配置和管理的網(wǎng)絡(luò)設(shè)備,如集線器等;
第二類是可通過特殊端口:串口、并口、USB口進行配置管理的網(wǎng)絡(luò)設(shè)備,如交換機等;
第三類是可通過遠程連接TELNET、網(wǎng)管、WEB等方式進行配置管理的網(wǎng)絡(luò)設(shè)備,如路由器等。
通常情況下,前兩類網(wǎng)絡(luò)設(shè)備一般設(shè)備自身不會遭到入侵攻擊,存在較大安全隱患的主要集中在第三類網(wǎng)絡(luò)設(shè)備中,主要表現(xiàn)在:
(一) 人為因素
在網(wǎng)絡(luò)設(shè)備的配置管理過程中,由于參與實際操作技術(shù)人員的技術(shù)水平存在一定差異,很難避免人為操作中存在失誤和欠考慮等問題的出現(xiàn),即使技術(shù)水平較高也會出現(xiàn)配置失誤等情況的發(fā)生。
一般人為因素的安全隱患主要表現(xiàn)在:在設(shè)備密碼配置中,空密碼、較簡單密碼或不設(shè)密碼,或者將密碼設(shè)置為明碼而沒有加密;對遠程管理沒有進行訪問控制,即對遠程管理終端地址沒有進行適當控制;訪問控制配置錯誤,沒有發(fā)揮預(yù)期的目的。
(二)網(wǎng)絡(luò)設(shè)備運行的操作系統(tǒng)存在漏洞。
網(wǎng)絡(luò)操作系統(tǒng)是控制網(wǎng)絡(luò)設(shè)備運行、數(shù)據(jù)轉(zhuǎn)發(fā)、路由計算、訪問控制等服務(wù)的主體,它全面掌控著網(wǎng)絡(luò)設(shè)備。不同廠商的網(wǎng)絡(luò)設(shè)備運行各自定制的系統(tǒng),存在較大差異,不同程度存在系統(tǒng)漏洞。
一般網(wǎng)絡(luò)操作系統(tǒng)的漏洞主要表現(xiàn)在:接收特定的非法、畸形數(shù)據(jù)包后導(dǎo)致系統(tǒng)的拒絕訪問、內(nèi)存泄露、完全癱瘓,甚至出現(xiàn)設(shè)備被完全控制。
(三)網(wǎng)絡(luò)設(shè)備提供不必要的服務(wù)。
通常,一臺網(wǎng)絡(luò)設(shè)備在出廠默認情況下,會對外部提供特定的網(wǎng)絡(luò)服務(wù)如HTTP、NTP、CDP等,這些服務(wù)都可能作為攻擊者的利用條件,為其提供一定的攻擊機會。
攻擊者可通過這些不安全的服務(wù)對設(shè)備進行遠程拒絕服務(wù)攻擊,也可通過這些服務(wù)掌握設(shè)備基本信息或完全控制設(shè)備。
(四)網(wǎng)絡(luò)設(shè)備沒有安全存放,易受臨近攻擊。
臨近攻擊主要指在攻擊者物理接近后對設(shè)備進行修改、收集設(shè)備信息的一種攻擊行為。這種攻擊主要針對放置位置屬共用、公用場所的某些網(wǎng)絡(luò)設(shè)備。
主要攻擊方式有非法進行串口連接、非法實施密碼恢復(fù)默認、非法關(guān)機等行為。
二、 網(wǎng)絡(luò)設(shè)備自身的安全防護
(一)實施網(wǎng)絡(luò)設(shè)備嚴格的訪問控制
此項措施可通過具體的實施方法實現(xiàn)預(yù)期目的。主要實施方法有如下幾點:
1.在設(shè)備訪問和配置過程中設(shè)置安全的登錄口令
登錄口令包括控制臺口令、遠程登錄口令、特權(quán)口令。建議口令密碼使用高強度密碼及密碼顯示加密方式,并定期進行更換;強烈建議使用SSH安全的遠程登錄方式;對會話次數(shù)、超時進行控制,并設(shè)置警示信息。
2.對遠程登錄的地址進行訪問控制
主要通過訪問控制列表對遠程登錄的源地址進行限制,一般只允許某一個IP地址或一個較小的局域網(wǎng)IP段進行訪問。
3.關(guān)閉通過WEB方式進行訪問
4.設(shè)置實時日志服務(wù)器和定期配置備份服務(wù)器
日志服務(wù)器的設(shè)置主要達到實時監(jiān)測網(wǎng)絡(luò)設(shè)備的操作情況、訪問情況和運行情況,可全面掌握網(wǎng)絡(luò)設(shè)備當前運行狀況和歷史日志,通過日志的審查和統(tǒng)計也可分析出系統(tǒng)潛在的安全隱患,為及時調(diào)整系統(tǒng)運行配置具有重要的指導(dǎo)意義。配置備份服務(wù)器主要定期對系統(tǒng)的配置文件、操作系統(tǒng)進行備份,為網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)恢復(fù)提供手段。
5.關(guān)閉無關(guān)服務(wù),提高系統(tǒng)運行服務(wù)的有效性
一般情況下,需對網(wǎng)絡(luò)設(shè)備關(guān)閉的服務(wù)包括:CDP、HTTP、Smail、Finger、BOOTP、ARP-Proxy、IP Directed Broadcast、ICMP、WINS、DNS、udp-small-servers、NTP等無關(guān)的服務(wù)項目。
同時,關(guān)閉暫時不用的接口,并充分運用訪問控制列表對現(xiàn)有接口進行有效控制,訪問控制列表的合理利用可有效提高設(shè)備的安全性。
6.制定安全制度,規(guī)范維護人員的操作行為
建立健全規(guī)范合理的設(shè)備管理安全制度,可有效提高維護人員操作的規(guī)范性。在設(shè)備維護中,建議嚴格控制可以訪問路由器的管理員;任何一次維護都需要記錄備案;嚴格控制CON端口的訪問。并且,通過健全的制度管理,確保網(wǎng)絡(luò)設(shè)備的物理安全,免受非法用戶的臨近攻擊;通過制度的規(guī)范,定期對系統(tǒng)進行升級,及時彌補設(shè)備系統(tǒng)的漏洞。
三、 幾點建議
結(jié)合筆者在網(wǎng)絡(luò)管理方面的經(jīng)驗和網(wǎng)絡(luò)技術(shù)發(fā)展狀況,補充建議有三條:
首先,應(yīng)對管理人員及其職責、操作進行有效管理,這是安全的根本;
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;入侵檢測;數(shù)據(jù)加密
中圖分類號:TP273文獻標識碼:A文章編號:1007-9599 (2011) 03-0000-01
The Device Itself Safety Study of Access Ring Ethernet
Si Yanfang,Zhang Hong,Lai Xiaojun
(No.713 Research Institute,Zhengzhou450015,China)
Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.
Keywords:Network security;Firewall;Intrusion detection;Data encryption
一、概述
環(huán)形以太網(wǎng)是由一組IEEE 802.1兼容的以太網(wǎng)節(jié)點組成的環(huán)形拓撲,隨著環(huán)形以太網(wǎng)的普及和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,人們在充分享受信息共享帶來的便利時,也被網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊問題所困擾,網(wǎng)絡(luò)安全問題被提上日程,并有了快速的發(fā)展。
二、常用的安全技術(shù)
鑒于越來越嚴峻的網(wǎng)絡(luò)安全形勢,對網(wǎng)絡(luò)安全技術(shù)的研究也越來越深入,常用的網(wǎng)絡(luò)安全技術(shù)有:防火墻,入侵監(jiān)測系統(tǒng)以及數(shù)據(jù)加密技術(shù)等。
(一)防火墻。防火墻是指在兩個網(wǎng)絡(luò)之間加強訪問控制的一個或一系列網(wǎng)絡(luò)設(shè)備,是安裝了防火墻軟件的主機、路由器或多機系統(tǒng)。防火墻還包括了整個網(wǎng)絡(luò)的安全策略和安全行為,是一整套保障網(wǎng)絡(luò)安全的手段。已有的防火墻系統(tǒng)是一個靜態(tài)的網(wǎng)絡(luò)防御系統(tǒng),它對新協(xié)議和新服務(wù)不能進行動態(tài)支持,所以很難提供個性化的服務(wù)。
傳統(tǒng)防火墻的不足和弱點逐漸暴露出來:
1.不能阻止來自網(wǎng)絡(luò)內(nèi)部的襲擊;
2.不能提供實時的入侵檢測能力;
3.對病毒也束手無策。
(二)入侵檢測技術(shù)。入侵檢測技術(shù)是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它可以主動實時檢測來自被保護系統(tǒng)內(nèi)部與外部的未授權(quán)活動。
(三)數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是指對被保護數(shù)據(jù)采用加密密鑰進行加密形成密文,只有被授予解密密鑰的用戶才能在接收到數(shù)據(jù)之后用解密密鑰對數(shù)據(jù)進行解密形成原始的明文進行閱讀。數(shù)據(jù)加密技術(shù)作為一種被動的安全防御機制,是在數(shù)據(jù)被竊取的情況下對數(shù)據(jù)最后的保護,是保護數(shù)據(jù)安全的一種有效手段。
三、安全防御系統(tǒng)的構(gòu)建
根據(jù)環(huán)形以太網(wǎng)傳播模式多樣、傳輸數(shù)據(jù)量大的特點及常見的網(wǎng)絡(luò)安全技術(shù)的分析,本文構(gòu)建了由防火墻、入侵監(jiān)測系統(tǒng)、端口管理、漏洞管理、安全策略組成的完整的安全防御系統(tǒng)。
(一)使用防火墻。防火墻設(shè)置在受保護的系統(tǒng)和不受保護的系統(tǒng)之間,通過監(jiān)控網(wǎng)絡(luò)通信來隔離內(nèi)部和外部系統(tǒng),以阻擋來自被保護網(wǎng)絡(luò)外部的安全威脅。當被保護系統(tǒng)接收到外部發(fā)來的服務(wù)申請時,防火墻根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對象、服務(wù)者申請的時間、申請者的域名范圍等來決定是否接受此項服務(wù),如果該服務(wù)符合防火墻設(shè)定的安全策略,就判定該服務(wù)為安全服務(wù),繼而向內(nèi)部系統(tǒng)轉(zhuǎn)發(fā)這項請求,反之拒絕,從而保護內(nèi)部系統(tǒng)不被非法訪問。
(二)選用合適的入侵檢測系統(tǒng)。本文提出的安全防御系統(tǒng)主要是為了保護環(huán)形以太網(wǎng)中的各個結(jié)點免受網(wǎng)絡(luò)威脅的入侵,所以選擇基于主機的入侵檢測系統(tǒng),既可以更好的保護主機信息,又方便與防火墻結(jié)合。入侵檢測系統(tǒng)與防火墻采用將入侵監(jiān)測系統(tǒng)嵌入到防火墻中的方式結(jié)合,如圖1所示。
該結(jié)構(gòu)處理步驟如下:
1.防火墻把不符合安全策略的數(shù)據(jù)首先拒絕其進入系統(tǒng)內(nèi)部,把符合安全策略的數(shù)據(jù)傳遞給入侵檢測系統(tǒng)做進一步檢測;
2.入侵檢測系統(tǒng)對防火墻放行的數(shù)據(jù)做進一步分析,對含有安全威脅的數(shù)據(jù)直接丟棄,反之放行使其進入系統(tǒng)內(nèi)部;
3.入侵檢測系統(tǒng)定期對系統(tǒng)內(nèi)部的系統(tǒng)日志等系統(tǒng)數(shù)據(jù)進行分析檢測,從而發(fā)現(xiàn)來自系統(tǒng)內(nèi)部的威脅。
將防火墻這種靜態(tài)安全技術(shù)與入侵檢測系統(tǒng)這種動態(tài)安全技術(shù)結(jié)合使用,可以在被動檢測的基礎(chǔ)上通過入侵檢測系統(tǒng)進行主動檢測,同時檢測來自系統(tǒng)內(nèi)部與外部的安全威脅。
(三)端口管理。只開放環(huán)形以太網(wǎng)中的特定的少數(shù)機器的端口,允許其與外部存儲設(shè)備進行數(shù)據(jù)交換,然后在其它節(jié)點需要該交換數(shù)據(jù)時,使其與開放端口的節(jié)點進行通信,并且對這幾臺機器的安全系統(tǒng)進行及時升級更新,從而有效保護環(huán)形以太網(wǎng)的內(nèi)部安全。
(四)漏洞管理。加強軟件管理,及時發(fā)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件尤其是系統(tǒng)安全防御軟件的漏洞,并下載補丁,盡量避免漏洞被入侵者利用,從而提高系統(tǒng)整體的安全性。同時,要注意人為管理漏洞的防御,提高網(wǎng)絡(luò)操作員的網(wǎng)絡(luò)安全意識,制訂嚴格的計算機操作規(guī)章制度,使網(wǎng)絡(luò)安全管理有章可循。
四、結(jié)論
本文根據(jù)環(huán)形以太網(wǎng)的特點和現(xiàn)在嚴峻的網(wǎng)絡(luò)安全形勢,構(gòu)建了一個針對環(huán)形以太網(wǎng)的安全防御系統(tǒng),在實際應(yīng)用中可以根據(jù)被保護環(huán)形以太網(wǎng)的實際需要進行合理的選擇和增減。
參考文獻:
[1]劉長松.具有入侵檢測功能的防火墻系統(tǒng)的設(shè)計與實現(xiàn)[J].四川:電子科技大學(xué),2003
[2]王峰.如何制定網(wǎng)絡(luò)安全策略[J].電腦知識與技術(shù),2007,2,1:64-65,73
[關(guān)鍵詞] 信息安全風險評估 網(wǎng)絡(luò)互連設(shè)備 脆弱性分析
一、引言
隨著網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)應(yīng)用不斷向深度和廣度發(fā)展,大量企業(yè)網(wǎng)絡(luò)建成。由于人類對網(wǎng)絡(luò)的依賴日益增強,所以網(wǎng)絡(luò)是否安全性已成為企業(yè)計算機網(wǎng)絡(luò)所面臨的重大問題。網(wǎng)絡(luò)安全包括硬件安全和其上的軟件的安全。網(wǎng)絡(luò)硬件主要包括互連設(shè)備,比如:交換機、路由器、網(wǎng)關(guān)等。現(xiàn)在針對硬件設(shè)備主要是進行一些安全方面的配置,例如交換機的VLAN,路由器的ACL配置等等,卻忽視了設(shè)備本身在工作中存在的脆弱性。本文依據(jù)信息安全風險評估步驟的脆弱性和威脅性,通過分析幾種比較常用網(wǎng)絡(luò)互連設(shè)備的工作原理發(fā)掘其脆弱性。
二、交換機脆弱性分析
交換機在OSL數(shù)據(jù)鏈路層MAC子層工作,它可以連接到單獨的結(jié)點或整個網(wǎng)段的單個網(wǎng)段的單個端口,在它們之間交換數(shù)據(jù)。并且為每個端口到端口之間提供全部的局域網(wǎng)介質(zhì)帶寬。
1.從設(shè)備自身來看
交換機在系統(tǒng)安裝,啟動和災(zāi)難恢復(fù)時,是處于不安全狀態(tài),有一定的脆弱性。其次它同樣也存在物理威脅,一些外在因素的影響可能破壞交換機。
2.從其工作原理來看
交換機接收到一個幀以后,檢查MAC幀的目的地址,并和自身內(nèi)部的交換表進行比較,首先要保證交換表的正確性,否則會導(dǎo)致數(shù)據(jù)傳輸錯誤。如果找到和目的網(wǎng)段相連的端口,然后將該幀發(fā)往端口。如果找不到所對應(yīng)的端口,交換機會向所有的端口發(fā)送該幀,并且通過回應(yīng)幀,建立和端口號相關(guān)的MAC地址表,在下次傳送數(shù)據(jù)時就可以查表,不再需要對所有端口進行廣播了。這種對不知道目的地址的數(shù)據(jù)幀采用向所有端口發(fā)送數(shù)據(jù)包的做法,容易出現(xiàn)“溢流”現(xiàn)象。
交換機允許廣播幀溢流到整個網(wǎng)絡(luò),同樣會引起其他不法主機的“竊聽”,可以采用VLAN。采用不同的交換方式的交換機可能會存在一定的脆弱性,例如直通式交換機,就無法區(qū)分數(shù)據(jù)流量是善意的還是惡意的,它只是實現(xiàn)快速轉(zhuǎn)發(fā)。存儲轉(zhuǎn)發(fā)式交換機可以解決數(shù)據(jù)安全性問題,但又可能存在數(shù)據(jù)包丟失的問題。另外,交換機在轉(zhuǎn)發(fā)數(shù)據(jù)幀時,存在輸入端口和輸出端口在速度上能否匹配的問題,如果緩沖數(shù)量少而沖突數(shù)據(jù)量大的話,數(shù)據(jù)幀就會丟失。
3.從外在因素來看
入侵者利用交換機軟件或協(xié)議的脆弱性進行攻擊,比如IP欺騙,TCP連接能被欺騙、截取、操縱,UDP易受IP源路由和拒絕服務(wù)的攻擊等等,同時也可能存在訪問權(quán)濫用或者后門等問題。
三、路由器脆弱性分析
由器工作在OSL模型的網(wǎng)絡(luò)層,它可以用來連接具有相同網(wǎng)絡(luò)通信結(jié)構(gòu)的網(wǎng)絡(luò),也可以連接不同結(jié)構(gòu)的網(wǎng)絡(luò)。它為數(shù)據(jù)包提供最佳路徑,并且實現(xiàn)子網(wǎng)隔離和抑制廣播風暴。
1.從設(shè)備自身來看
路由器相當于網(wǎng)絡(luò)層的中繼器。路由器不能真正實現(xiàn)即插即用,需要很多配置。配置文件中一般包括路由器接口地址,登錄密碼,還有路由表的接口狀態(tài),ARP表,日志信息。這些信息如果被攻擊者獲得,后果不堪設(shè)想。比如可以將路由器作為對其他站點掃描或偵察攻擊平臺,或者修改路由配置等。
2.從其工作原理來看
路由器是在網(wǎng)層上實現(xiàn)多個互連的設(shè)備。一個路由器有幾個端口,分別可以連接一個網(wǎng)絡(luò)或一個路由器。其主要任務(wù)是接收來自一個網(wǎng)絡(luò)接口數(shù)據(jù)包,根據(jù)其中所含的目的地址,決定轉(zhuǎn)發(fā)到下一個目的地址的端口。由于路由器是一個多端口的設(shè)備,因此閑置的并且工作正常的服務(wù)器端口很可能被黑客利用,對于不用的端口,應(yīng)該妥善管理。路由器接收到的數(shù)據(jù)包以后,首先在轉(zhuǎn)發(fā)路由表中查找數(shù)據(jù)包對應(yīng)的目的地址,同交換機一樣,我們也要求路由表的正確性。虛假的路由信息會使數(shù)據(jù)發(fā)送到錯誤的地方。若找到了目的地址,就在數(shù)據(jù)包的幀格式前添加下一個MAC地址,同時IP數(shù)據(jù)包頭的TTL(Time To Live)域也開始減數(shù),并重新計算校驗和。當數(shù)據(jù)包被送到傳輸端口時,需要按順序等,以便被傳送一輸出鏈路上。如果數(shù)據(jù)包不是發(fā)往直接與路由器相連的網(wǎng)絡(luò),該路由器則把這個包轉(zhuǎn)發(fā)給另一個離最終目標更近的路由器。
現(xiàn)在,路由器還不具備安全和加密的功能,僅僅只有路由的功能,所以對待各種各樣的攻擊是脆弱的。
3.從外在因素來看
由于路由器是在網(wǎng)絡(luò)層實現(xiàn)多個網(wǎng)絡(luò)互連的設(shè)備。因此如果得到路由器的訪問控制權(quán)的話,任何人都可以通過路由器來對其他的服務(wù)器發(fā)起拒絕服務(wù)攻擊,而路由器不會自動生成警報通知用戶正受到攻擊。并且路由器的訪問密碼極不安全,可以通過SNIFFER探測到,或在專屬公司網(wǎng)頁上可以查到。
四、網(wǎng)關(guān)脆弱性分析
網(wǎng)關(guān)又叫做協(xié)議轉(zhuǎn)換器,它用來連接專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)的路由器。網(wǎng)關(guān)是將不同協(xié)議集的協(xié)議進行翻譯、轉(zhuǎn)換,網(wǎng)關(guān)是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備,它用于連接網(wǎng)絡(luò)層之上執(zhí)行不同高層協(xié)議的網(wǎng)絡(luò),構(gòu)成異構(gòu)的互連網(wǎng),通常工作在OSL模型的第4層和更高層。
1.從設(shè)備自身來看
網(wǎng)關(guān)是軟件和硬件結(jié)合的網(wǎng)絡(luò)互連設(shè)備,是最復(fù)雜的網(wǎng)絡(luò)互連設(shè)備,不同的網(wǎng)關(guān)用于不同的場合,其軟件和硬件自身也存在脆弱性。
2.從其工作原理來看
網(wǎng)關(guān)除了具有路由器的全部功能之外,還能為互連網(wǎng)絡(luò)的雙方提供高層協(xié)議轉(zhuǎn)換服務(wù),即能夠連接兩個高層協(xié)議完全不同的網(wǎng)絡(luò)環(huán)境。當數(shù)據(jù)包從一個網(wǎng)絡(luò)環(huán)境通過網(wǎng)關(guān)進入另一個不同的網(wǎng)絡(luò)環(huán)境時,網(wǎng)關(guān)讀取信息后,剝?nèi)?shù)據(jù)中原來的協(xié)議棧,然后用目標網(wǎng)絡(luò)的完整協(xié)議對數(shù)據(jù)重新包裝并輸出,以適應(yīng)目標環(huán)境的要求[3]。但是用戶的特定數(shù)據(jù)通過網(wǎng)關(guān)或位于網(wǎng)關(guān)時是脆弱的,并且網(wǎng)關(guān)對惡意人員發(fā)起的操縱或修改也是脆弱的。
網(wǎng)關(guān)是局域網(wǎng)和廣域網(wǎng)連接的首選設(shè)備,其最常見的用途是在高層協(xié)議不相同的網(wǎng)絡(luò)之間充當“翻譯”,即提供協(xié)議轉(zhuǎn)換。協(xié)議轉(zhuǎn)換是實現(xiàn)網(wǎng)關(guān)的關(guān)鍵技術(shù),也是國際互連網(wǎng)的技術(shù)難點。
3.從外在因素來看
網(wǎng)關(guān)都是針對特定的網(wǎng)絡(luò)互連環(huán)境設(shè)計的,不存在通用的網(wǎng)關(guān)。有時制造商會留下了可以獲得敏感信息的后門。
五、結(jié)束語
關(guān)鍵詞:信息;網(wǎng)絡(luò)安全;管理策略
中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02
隨著企業(yè)信息網(wǎng)絡(luò)建設(shè)與不斷的發(fā)展,信息化已成為企業(yè)發(fā)展的大趨勢,信息網(wǎng)絡(luò)安全就顯得尤為重要。由于計算機網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。
一、信息網(wǎng)絡(luò)的安全管理系統(tǒng)的建立
信息網(wǎng)絡(luò)安全管理系統(tǒng)的建立,是實現(xiàn)對信息網(wǎng)絡(luò)安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關(guān)的各項安全技術(shù)和產(chǎn)品組合為一個規(guī)范的、整體的、集中的安全平臺上的同時,使技術(shù)因素、策略因素以及人員因素能夠更加緊密地結(jié)合在一起,從而提高用戶在安全領(lǐng)域的整體安全效益。下面對信息網(wǎng)絡(luò)安全管理系統(tǒng)技術(shù)需求和功能要求進行分析。
(一)技術(shù)分析
1.在信息網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計上,應(yīng)該用到以下技術(shù):安全綜合管理系統(tǒng)體系結(jié)構(gòu)構(gòu)造理論和技術(shù);安全部件之間的聯(lián)動技術(shù);安全部件互動協(xié)議與接口技術(shù);網(wǎng)絡(luò)拓撲結(jié)構(gòu)自動發(fā)掘技術(shù);網(wǎng)絡(luò)數(shù)據(jù)的相關(guān)性分析和統(tǒng)計分析算法;網(wǎng)絡(luò)事件的多維描述技術(shù)。
2.信息網(wǎng)絡(luò)安全管理系統(tǒng)應(yīng)具有安全保密第一:安全保密與系統(tǒng)性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統(tǒng)遵循安全與保密第一的原則,信息網(wǎng)絡(luò)安全管理系統(tǒng)在設(shè)計、實施、運行、管理、維護過程中,應(yīng)始終把系統(tǒng)的安全與保密放在首要的位置。在信息網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計,尤其在身份認證、信任管理和授權(quán)管理方面,應(yīng)采用先進的加密技術(shù),實現(xiàn)全方位的信任和授權(quán)管理。因此,對信息安全管理系統(tǒng)而言,針對單個系統(tǒng)的全部管理并非是本系統(tǒng)的重點,而應(yīng)該投入更多的力量在于:集中式、全方位、可視化的體現(xiàn);獨立安全設(shè)備管理中不完善或未實現(xiàn)的部分;獨立安全設(shè)備的數(shù)據(jù)、響應(yīng)、策略的集中處理。
(二)功能分析
1.分級管理與全網(wǎng)統(tǒng)一的管理機制:網(wǎng)絡(luò)安全是分區(qū)域和時段的,實施分級與統(tǒng)一的管理機制可以對全網(wǎng)進行有效的管理,不僅體現(xiàn)區(qū)域管理的靈活性,還表現(xiàn)在抵御潛在網(wǎng)絡(luò)威脅的有效性,管理中心可以根據(jù)自己網(wǎng)絡(luò)的實際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進行統(tǒng)一分析。上一級可以對全網(wǎng)實施有效的控制,比如采用基于web的電子政務(wù)的形式,要求下一級管理中心更改策略、打補丁、安全產(chǎn)品升級等。
2.安全設(shè)備的網(wǎng)絡(luò)自動拓撲:系統(tǒng)能夠自動找出正確的網(wǎng)絡(luò)結(jié)構(gòu),并以圖形方式顯示出來,給用戶管理網(wǎng)絡(luò)提供極大的幫助。這方面的內(nèi)容包括:自動搜索用戶關(guān)心的安全設(shè)備;網(wǎng)絡(luò)中安全設(shè)備之間的拓撲關(guān)系;根據(jù)網(wǎng)絡(luò)拓撲關(guān)系自動生成拓撲圖;能夠反映當前安全設(shè)備以及網(wǎng)絡(luò)狀態(tài)的界面。
3.安全設(shè)備實時狀態(tài)監(jiān)測:安全設(shè)備如果發(fā)生故障而又沒有及時發(fā)現(xiàn),可能會造成很大的損失。所以必須不間斷地監(jiān)測安全設(shè)備的工作狀況。如某一設(shè)備不能正常工作,則在安全設(shè)備拓撲圖上應(yīng)能直觀的反映出來。實時狀態(tài)監(jiān)測的特點是:(1)高度兼容性:由于各種安全設(shè)備的差別很大,實時狀態(tài)監(jiān)測具有高度兼容性,支持各種常用協(xié)議,能夠最大程度地支持現(xiàn)有的各種安全設(shè)備。(2)智能化:狀態(tài)監(jiān)測有一定的智能化,對安全設(shè)備的運行狀態(tài)提前作出預(yù)測,做到防患于未然。(3)易用性:實時狀態(tài)監(jiān)測不是把各種設(shè)備的差別處理轉(zhuǎn)移給用戶,而是能夠提供易用的方式幫助用戶管理設(shè)備。
4.高效而全面的反應(yīng)報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級的報警:可以根據(jù)安全的等級,負責處理問題的用戶,做出不同方式、針對不同對象的報警響應(yīng)。
5.安全設(shè)備日志統(tǒng)計分析:可以根據(jù)用戶需求生成一段時間內(nèi)網(wǎng)絡(luò)設(shè)備與安全設(shè)備各種數(shù)據(jù)的統(tǒng)計報表。
二、信息網(wǎng)絡(luò)的安全策略
企業(yè)信息網(wǎng)絡(luò)面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎等都會對網(wǎng)絡(luò)安全帶來威脅。(2)人為的惡意攻擊:這是計算機網(wǎng)絡(luò)所面臨的最大威脅,造成極大的危害,并導(dǎo)致機密數(shù)據(jù)的泄漏。(3)網(wǎng)絡(luò)軟件的漏洞:網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,這些是因為安全措施不完善所招致。
(一)物理安全策略
物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室。
(二)訪問控制策略
訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。
1.入網(wǎng)訪問控制:入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。
2.權(quán)限控制:網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源??梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作??梢愿鶕?jù)訪問權(quán)限將用戶分為以下幾類:(1)特殊用戶(即系統(tǒng)管理員);(2)一般用戶,系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限。
(三)目錄級控制策略
網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。
三、網(wǎng)絡(luò)安全管理策略
在網(wǎng)絡(luò)安全中,除了采用技術(shù)措施之外,加強網(wǎng)絡(luò)的安全管理,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)的安全、可靠地運行,將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關(guān)網(wǎng)絡(luò)操作;使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;建設(shè)與規(guī)劃;校園網(wǎng)
1、網(wǎng)絡(luò)現(xiàn)狀
揚州Z校擁有多個互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個計算環(huán)境,網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機組,確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機上的眾多服務(wù)器組成;終端區(qū)分別是教學(xué)樓、院系樓、實驗、實訓(xùn)樓和圖書館大樓。此外,還有一個獨立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡(luò)中已部署防火墻、身份認證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓撲結(jié)構(gòu)見圖1。
2、安全威脅分析
目前,Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模,但是,在信息安全建設(shè)方面仍然面臨諸多的問題,如,網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡(luò)中的可疑情況,沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài),風險管理全憑感覺等等,以上種種問題表明,Z校需要對網(wǎng)絡(luò)安全進行一次全面的規(guī)劃,以便在今后的網(wǎng)絡(luò)安全工作中,建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。
2.1安全設(shè)備現(xiàn)狀
Z校部署的網(wǎng)絡(luò)安全防護設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺山石防火墻,在WEB服務(wù)器群前面部署了一臺WEB應(yīng)用防火墻。
2.2外部網(wǎng)絡(luò)安全威脅
互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多,外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數(shù)據(jù)等為目的,對內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊,網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護,但是,黑客們只要找到漏洞,就會利用內(nèi)網(wǎng)用戶作跳板進行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機性強、方向不確定、復(fù)雜度不斷提高、破壞后果嚴重[1]。
2.3內(nèi)部網(wǎng)絡(luò)安全威脅
內(nèi)部惡意入侵的主體是學(xué)生,還有一些網(wǎng)絡(luò)安全意識薄弱的教職工。Z校學(xué)生眾多,學(xué)生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點擊來歷不明的郵件,照成網(wǎng)絡(luò)堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點,Z校在安全改造實施中,應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運營商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源,提升網(wǎng)絡(luò)訪問速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度,同時又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實現(xiàn)關(guān)鍵設(shè)備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個網(wǎng)絡(luò)安全改造的核心設(shè)備,均以NAT模式或者路由模式部署,承載了整個校園網(wǎng)的業(yè)務(wù)處理,任何一個設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運行,無任何備份措施,只能替換或者跳過出故障的設(shè)備,且只能以手工方式完成切換,無論從響應(yīng)的及時性,還是從保障業(yè)務(wù)連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設(shè)備數(shù)量較多,需要對所有安全設(shè)備進行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺操作單臺部署的方式運維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備,統(tǒng)一對眾多安全設(shè)備進行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級備份和審計。
4、解決方案
網(wǎng)絡(luò)安全建設(shè)是一個長期的項目,不可能一蹴而就,一步到位,網(wǎng)絡(luò)安全過程建設(shè)中,在利用學(xué)校原有設(shè)備的基礎(chǔ)上,在資金、技術(shù)成熟的條件下,逐步實施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長期建設(shè)兩部分。
4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃
4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計主線,從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患,根據(jù)應(yīng)用系統(tǒng)的特點和安全評估是數(shù)據(jù),劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分,明確網(wǎng)絡(luò)邊界,形成清晰、簡潔的網(wǎng)絡(luò)架構(gòu),實現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴格的訪問安全互聯(lián),有效的實現(xiàn)網(wǎng)絡(luò)之間,各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè),把整個網(wǎng)絡(luò)劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)見圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個網(wǎng)絡(luò)安全改造的核心設(shè)備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設(shè)備,實現(xiàn)雙機冗余部署。同理,原城市熱點認證網(wǎng)關(guān)和行為管理設(shè)備需要再各補充一臺,組成雙機冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算,部署幾臺安全設(shè)備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設(shè)備(IDS),實時、主動告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無數(shù)據(jù)可查;再部署一臺漏洞掃描設(shè)備,對網(wǎng)絡(luò)內(nèi)部的設(shè)備進行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報告與安全預(yù)警通告,制定安全加固實施方案,以保證各系統(tǒng)功能的正常性和堅固性;最后,部署一臺安全審計設(shè)備(SAS),實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,實現(xiàn)對網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺入侵防護設(shè)備(IPS),攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機[4]。
4.2長期網(wǎng)絡(luò)建設(shè)規(guī)劃
網(wǎng)絡(luò)安全的防護是動態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域,不存在一個能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個相對安全的網(wǎng)絡(luò)系統(tǒng),需要建立一套全方位的,從檢測、控制、響應(yīng)、管理、保護到容災(zāi)備份的安全保障體系。目前,網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點設(shè)備保護的策略,再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動態(tài)實施過程,建立一個科學(xué)的安全體系和模型,再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網(wǎng)絡(luò)存在的安全風險。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu),包括崗位設(shè)置、人員錄用、離崗、考核等[5];技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機安全、系統(tǒng)運維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;管理體系側(cè)重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ),以管理體系為保障,以技術(shù)體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風險評估為起點,安全體系為核心,安全指導(dǎo)為原則,體系建設(shè)為抓手,組織和制定安全實施策略和防范措施,在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系,全方位、多層次滿足安全需求。
5、結(jié)語
從整個信息化安全體系來說,安全是技術(shù)與管理的一個有機整體,僅僅借助硬件產(chǎn)品進行的安全防護是不完整的、有局限的。安全問題,是從設(shè)備到人,從服務(wù)器上每個服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題,每一個環(huán)節(jié),都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價值。
參考文獻:
[1]王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計與實現(xiàn)[D].成都:電子科技大學(xué),2011.11:2-3
[3]徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究[D].上海:上海交通大學(xué),2009.5:1-4
[4]張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計與實現(xiàn)[D].西安:西安電子科技大學(xué),2015.10:16-17
[5]陳堅.高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計[D]長春:長春工業(yè)大學(xué),2016.3:23-31
新型應(yīng)用如社交網(wǎng)絡(luò)、在線大流量視頻以及創(chuàng)新的服務(wù)模式如物聯(lián)網(wǎng)、大數(shù)據(jù)的出現(xiàn),對網(wǎng)絡(luò)安全提出了更高的要求。而傳統(tǒng)的安全部署模式在管理性、伸縮性、業(yè)務(wù)快速升級等方面逐漸表現(xiàn)出對業(yè)務(wù)支撐能力的不足。
SDN和NFV化解難題
針對云計算所帶來的安全挑戰(zhàn),SDN和NFV作為新一代網(wǎng)絡(luò)技術(shù),既可通過獨自層面去解決不同的網(wǎng)絡(luò)問題、滿足不同角度的業(yè)務(wù)需求,又能夠緊密結(jié)合,實現(xiàn)網(wǎng)絡(luò)靈活調(diào)度、動態(tài)擴展、按需快速交付,產(chǎn)生更大的價值,最大限度地滿足用戶對業(yè)務(wù)部署的要求。
根據(jù)ONF的SDN分層體系,SDN Fabric網(wǎng)絡(luò)實現(xiàn)了控制與轉(zhuǎn)發(fā)分離、軟硬件解耦,轉(zhuǎn)發(fā)層面由支持OpenFlow及Overlay等核心技術(shù)的網(wǎng)絡(luò)硬件設(shè)備組成,控制則由軟件控制集群及硬件設(shè)備的操作系統(tǒng)完成。同時,通過創(chuàng)新性地將NFV Manager以APP形式集成VCFC控制集群上,可實現(xiàn)SDN控制器集群對NFV的定義、NFV的自動化部署及NFV資源池的彈性伸縮等生命周期控制管理。
融合SDN及NFV技術(shù)的云安全體系如圖1所示,基礎(chǔ)硬件層和物理抽象層不僅包括運行NFV的物理服務(wù)器,還同時包括物理安全設(shè)備、嵌入安全的vSwitch物理服務(wù)器、支持虛擬化的安全物理設(shè)備等設(shè)施,對應(yīng)SDN架構(gòu)中的數(shù)據(jù)轉(zhuǎn)發(fā)層面;NFV操作系統(tǒng)、設(shè)備的操作系統(tǒng)與上層應(yīng)用組成業(yè)務(wù)控制層面。
云安全體系特點及價值
SDN以控制和轉(zhuǎn)發(fā)分離思想為基礎(chǔ),通過各種標準南北向開放接口為手段,實現(xiàn)網(wǎng)絡(luò)靈活適配應(yīng)用,NFV利用虛擬化技術(shù),通過標準X86服務(wù)器運行防火墻、IPS、LB等網(wǎng)絡(luò)安全業(yè)務(wù),并形成資源池化,讓網(wǎng)絡(luò)不再依賴于專用硬件,從而使云安全體系的安全業(yè)務(wù)能夠“彈性擴展”、“快速交付”、“統(tǒng)一部署”,并解決傳統(tǒng)安全部署時的“拓撲依賴”問題。
可定義、自適應(yīng)的安全
SDN通過控制和轉(zhuǎn)發(fā)分離,將控制層面從轉(zhuǎn)發(fā)設(shè)備上分離出來,從而使得網(wǎng)絡(luò)具備軟件靈活定義網(wǎng)絡(luò)的能力基礎(chǔ)。網(wǎng)絡(luò)管理員可以方便的定義基于網(wǎng)絡(luò)流的安全控制策略,并讓這些安全策略應(yīng)用到各種網(wǎng)絡(luò)設(shè)備中,從而實現(xiàn)整個網(wǎng)絡(luò)通訊的安全控制。
SDN網(wǎng)絡(luò)可以實現(xiàn)基于流的調(diào)度,網(wǎng)絡(luò)管理員可以靜態(tài)配置或者動態(tài)生成引流規(guī)則,將報文牽引到不同的安全設(shè)備上進行處理。與傳統(tǒng)的基于IP包的轉(zhuǎn)發(fā)規(guī)則,基于流的調(diào)度使安全服務(wù)和管控更加細粒度,提升安全服務(wù)的防護效率和準確性。
基于控制器的軟件編程能力,網(wǎng)絡(luò)管理員通過安全APP方式或者安全模板的方式提供安全即服務(wù)SaaS,安全設(shè)備自動化配置運維管理,使得安全設(shè)備運行維護任務(wù)可以更有效、更低成本、更快速的自動化,從而降低安全運維和學(xué)習(xí)成本,同時提高安全防護的及時性和效率。
安全策略統(tǒng)一全局可管理性
SDN控制器集群通過對各種物理安全設(shè)備和NFV網(wǎng)元進行抽象,將原先離散的、異構(gòu)的設(shè)備形成統(tǒng)一的邏輯安全資源池。這樣,控制器集群可以用全局視野,對所有安全資源進行統(tǒng)一調(diào)度,并通過“安全服務(wù)鏈”實現(xiàn)流量檢測路徑規(guī)劃,提供與拓撲無關(guān)的全局安全策略。
SDN控制器集群具備全局視野,掌握整個管理域范圍內(nèi)的流信息,因此可實現(xiàn)分布式安全設(shè)備的協(xié)同工作。比如在IPS檢測點發(fā)現(xiàn)DDOS攻擊,可以立刻通知控制器集群在接入側(cè)(如嵌入式安全vSwitch)生成一條動態(tài)黑名單或者防火墻策略,將特定攻擊報文丟棄,從而使惡意流量在源端即被遏制,提升安全防護效率。
全局安全資源池可以實現(xiàn)安全資源的動態(tài)復(fù)用和彈性擴展。這樣,在網(wǎng)絡(luò)部署初期不需要為未來的擴展而預(yù)留不必要的安全設(shè)備,而且可以通過虛擬設(shè)備做到一機多用,減少安全設(shè)備的數(shù)量和投入成本。當安全設(shè)備性能不足時,可以在資源池中新增相應(yīng)的邏輯安全資源,SDN控制器集群根據(jù)HASH引流規(guī)則,將不同的流量分擔到不同的安全資源上處理,實現(xiàn)資源的彈性擴展。
安全自動化快速部署、彈性擴展
傳統(tǒng)安全設(shè)備內(nèi)置的業(yè)務(wù)及業(yè)務(wù)流程相對固定,無法隨著應(yīng)用需求的變化而變化,而基于SDN和NFV技術(shù)的結(jié)合可完美地實現(xiàn)安全業(yè)務(wù)的靈活定義、按需快速部署、彈性擴展。
NFV技術(shù)通過將設(shè)備的硬件和軟件解耦,可將傳統(tǒng)設(shè)備提供的安全業(yè)務(wù)功能分解成一個個VNF單元,通過云平臺或SDN VCFC控制器集群對NFV資源池、安全設(shè)備、網(wǎng)絡(luò)設(shè)備及vSwitch上的業(yè)務(wù)進行統(tǒng)一管理,根據(jù)應(yīng)用需求、業(yè)務(wù)流量特點定義不同的業(yè)務(wù)鏈,實現(xiàn)不同業(yè)務(wù)流經(jīng)過不同安全單元進行差異化處理,并通過模板化方式實現(xiàn)各種復(fù)雜的業(yè)務(wù)快速部署。
南北向API的全面、兼容性
SDN和NFV的技術(shù)設(shè)計是開放的,決定云安全體系也是一個開放的體系,易于形成集百家之長、開放融合的體系。
SDN和NFV云安全體系各組件秉承標準、開放、端到端的理念,提供全面豐富、靈活的南向接口及北向接口,如圖2所示。
通過開放融合的體系,基于SDN和NFV構(gòu)建的云安全體系能夠融入更多的第三方SDN APP和NFV,北向通過Restful API可與獨立第三方云平臺進行對接,南向通過OpenFlow/OVSDB/NetConf等標準API兼容包括第三方的網(wǎng)絡(luò)及安全設(shè)備、NFV產(chǎn)品,確保云安全體系更為靈活、更為全面。
靈活的安全云服務(wù)
隨著云計算和移動互聯(lián)網(wǎng)的蓬勃發(fā)展,網(wǎng)絡(luò)數(shù)據(jù)量爆炸式增長。安全管理員在利用流量日志來分析安全威脅的時候很容易淹沒在大量的“噪音”數(shù)據(jù)中,很難發(fā)現(xiàn)日志中存在的高風險異?,F(xiàn)象或趨勢。
關(guān)鍵詞:云計算數(shù)據(jù)中心;網(wǎng)絡(luò)安全;實現(xiàn)原理
1 基本概念
云計算:云計算融合了一系列傳統(tǒng)計算機技術(shù)和網(wǎng)絡(luò)技術(shù),比如網(wǎng)格計算、并行計算、網(wǎng)絡(luò)存儲、效用計算、虛擬、負載均衡、分布式計算等等。它主要是利用網(wǎng)絡(luò)的功能有效的整合這些有著較低成本的計算實體,從而形成一個計算能力超強的系統(tǒng),然后利用一些先進的商業(yè)模式,比如SaaS、PaaS、IaaS、MSP等等,讓所有的終端用戶都能夠擁有這些強大的計算能力。
云服務(wù):云服務(wù)指的是云服務(wù)提供商利用自己的基礎(chǔ)設(shè)置直接將服務(wù)提供給外部用戶。在通常情況下,可以將提供的服務(wù)分為兩種,一種是向用戶租用自己的設(shè)備,給用戶提供的機房和局域網(wǎng)絡(luò)都是相對獨立的;另一種是在自己的服務(wù)器集群上部署一些軟件或者應(yīng)用,然后通過因特網(wǎng)的方式,讓用戶對其進行訪問。
VLAN:VLAN是英文Virtuai Local Area Network的簡稱,我們將其翻譯為虛擬局域網(wǎng)。VLAN指的是從邏輯上來劃分局域網(wǎng)設(shè)備,使其成為單個的網(wǎng)段,這樣虛擬工作組就可以有效的交換新興數(shù)據(jù)。目前,主要是在交換機和路由器中應(yīng)用這一新興技術(shù),但是交換機的應(yīng)用范圍更廣一些。需要注意的是,有些交換機是不具備這項功能的,具有這項功能的交換機都是擁有VLAN協(xié)議的第三層以上的,我們要想對其了解,只需要查看交換機的說明書就好。
VSX:VSX是英文Virtual System Extension的簡稱,它主要是一種網(wǎng)絡(luò)安全和VPN的解決方案,是在有著比較大規(guī)模的場景下保證網(wǎng)絡(luò)的安全。VSX提供保護的對象主要是多重網(wǎng)絡(luò)或者混合的基礎(chǔ)架構(gòu)中的VLAN。VSX技術(shù)主要是安全的連接他們,然后對互聯(lián)網(wǎng)和DMZ分區(qū)共享資源,并且互相連接的它們也可以有效的進行信息交互。
2 網(wǎng)絡(luò)實現(xiàn)原理
傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)拓撲:我們都知道,在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中,數(shù)據(jù)中心分配給用戶的網(wǎng)絡(luò)都是單獨存在的,也就是每人一個,每一個網(wǎng)絡(luò)自然需要單獨的設(shè)備和技術(shù),比如防火墻、交換機、網(wǎng)絡(luò)安全設(shè)備等。在一個單獨的物理網(wǎng)絡(luò)中,部署同一個用戶的所有服務(wù)器,從而實現(xiàn)安全隔離數(shù)據(jù)的目的。
云服務(wù)數(shù)據(jù)中心的網(wǎng)絡(luò)拓撲:新的數(shù)據(jù)中心架構(gòu)將傳統(tǒng)的VPN和網(wǎng)絡(luò)安全設(shè)備替換成了VSX Gateway,并且將VLAN啟用在核心交換機和二級交換機中,利用Trunk來有效地連接二級交換機和核心交換機。
VSX系統(tǒng)的通信流:主要可以通過這些步驟來執(zhí)行VSX系統(tǒng)網(wǎng)關(guān),一是ContextID的定義,每一個Virtual System都可以對一個ContextID進行定義,從而將其作為唯一的標識符。二是實施安全策略,每一個虛擬系統(tǒng)的功能都可以作為一個獨立的安全網(wǎng)關(guān),在對整個網(wǎng)絡(luò)進行保護的時候,主要利用的是獨特的安全政策??梢灾付ㄌ摂M系統(tǒng)允許或者組織所有交通等,并且自己獨立的安全政策里都包含著基本規(guī)則。三是轉(zhuǎn)發(fā)到目的地,每臺虛擬系統(tǒng)為了能夠達到目的地,就有著自己獨特的結(jié)構(gòu)處理和轉(zhuǎn)發(fā)通信原則,并且,這個配置規(guī)則還包括了其他很多方面的內(nèi)容,比如VPN、定義NAT以及其他的高級特性。
VSX系統(tǒng)有著很多的組成部分,比如Virtual Switch、Virtual Firewall和Virtual Route的虛擬設(shè)備。數(shù)據(jù)中心中的每一個VLAN在與外網(wǎng)進行通信時,利用的都是獨立的Virtual Firewall。
3 安全分析
和傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進行比較:在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中,每一臺服務(wù)器的網(wǎng)絡(luò)是由機柜的物理位置所決定的。舉個例子來說,用戶要想建立自己的企業(yè)局域網(wǎng),就需要訂購服務(wù)器,訂單中包括了很多的信息,比如試用日期、結(jié)束日期、服務(wù)器的型號、服務(wù)器的配置等等,傳統(tǒng)的數(shù)據(jù)中心工作人員依據(jù)訂單上的內(nèi)容,在一個特定的機房和機柜中,放置這種型號的服務(wù)器,然后向用戶進行網(wǎng)絡(luò)安全設(shè)備的組裝,用戶要想正常使用,必須要等到完成了配置網(wǎng)絡(luò)和安全策略之后。工作人員在進行這些工作時,需要耗費大量的時間,這是因為需要去機房中移動設(shè)備;當然,也可以不移動設(shè)備,但是可能會出現(xiàn)三種問題,一是因為服務(wù)器所在的機房和機柜是不同的,這樣接入的網(wǎng)絡(luò)也可能存在著不同,這樣就會影響到互相的正常訪問;二是如果在同一個機房或者機柜中,接入的設(shè)備是不同的用戶,那么可能網(wǎng)絡(luò)是相同的,并且相互訪問也不會出現(xiàn)問題,但是,容易造成一些安全隱患;三是防火墻如果沒有獨立出各個用戶,那么正常的規(guī)則就容易遭到破壞,給維護增加了難度,并且,用戶也不能直接的使用防火墻的管理權(quán)限。
而上文所講的VSX和VLAN構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu),設(shè)備所處的物理位置是不會影響到用戶使用的服務(wù)器,所以,在任何一個機房,任何一個機柜中存放這臺服務(wù)器,都不會出現(xiàn)問題,只需要在這個用戶的VLAN中劃分與這臺服務(wù)器連接的Switch端口,用戶就可以有效的使用這個機器;如果經(jīng)過一段時間之后,用戶不想要這臺服務(wù)器,只需要在預(yù)備的VLAN中劃分與這臺設(shè)備連接的Switch端口即可。并且,這些步驟是不需要人工來進行的,云計算中心的自動化部署程序可以自動實時的完成這些工作。
網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)勢:在數(shù)據(jù)安全方面,每一個用戶的網(wǎng)絡(luò)都是安全的;從商業(yè)角度上來看,每一個用戶都需要訂購VLAN和網(wǎng)絡(luò)設(shè)備,在配置網(wǎng)絡(luò)設(shè)備的過程中,可以在VLAN中指定需要運行哪一個設(shè)備,當然,從用戶的角度上來看,用戶只能在自己訂購的VLAN中劃分自己訂購的網(wǎng)絡(luò)設(shè)備。每一個VLAN都十分的安全,這是因為它擁有著獨立的Security Gateway,這個網(wǎng)絡(luò)安全保障包括了很多個方面的內(nèi)容,比如日志監(jiān)控、VPN、入侵檢測流量控制以及ACL和NAT等等。從某個角度上來講,就是將一個獨立的機房分配給了這個用戶,然后在這個機房中放置用戶訂購的設(shè)備,從而向用戶提供安全的服務(wù)。如果用戶不想接受這些服務(wù),只需要利用自動化部署程序在當前的VLAN中移除它就可以了。
在服務(wù)質(zhì)量方面得到了提高:這種網(wǎng)絡(luò)結(jié)構(gòu)具有較好的彈性,它可以依據(jù)用戶的需求來對設(shè)備進行靈活的增減。有著較快的相應(yīng)速度,設(shè)備的到位只需要幾分鐘即可,并且操作系統(tǒng)、軟件以及應(yīng)用程序也可以自動化進行部署,在很短的時間內(nèi)將服務(wù)提供給用戶。如果用戶不需要這些服務(wù),只需要進行退訂,然后初始化這些設(shè)備,將其放回資源池,就可以等待下一個用戶的使用。
4 云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護方法
云計算數(shù)據(jù)中心內(nèi)部安全與隔離:要互相隔離云數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)之間的網(wǎng)絡(luò),也需要在邏輯上隔離多租戶之間的虛擬網(wǎng)絡(luò);利用云計算技術(shù)中的虛擬化方法提供出來的運算平臺雖然比較獨立,但是在同一個網(wǎng)絡(luò)中、同一宿主機的多樣化計算任務(wù)之間,還存在著數(shù)據(jù)通道可以互相進行交流。
在設(shè)計云計算數(shù)據(jù)中心網(wǎng)絡(luò)時,需要嚴格的遵循三個主要設(shè)計原則,分別是靈活簡單、虛擬化以及開放等。
靈活簡單指的是安全設(shè)備所具備的能力必須有著較高的性能、部署比較方便以及可以靈活進行操作等特點;開放性指的是安全設(shè)備的功能必須要有這些方面,分別是訪問控制、識別用戶和應(yīng)用、合理授權(quán)以及基于身份運維等等;虛擬化指的是安全設(shè)備應(yīng)該具有虛擬訪問層、虛擬網(wǎng)絡(luò)可見性以及混合的物理和虛擬操作等等。
從網(wǎng)絡(luò)安全模型的角度上來講,垂直分層以及水平分區(qū)的概念都被引入到了數(shù)據(jù)中心網(wǎng)絡(luò)安全模型中。垂直分層指的是在一套業(yè)務(wù)系統(tǒng)中,擁有的服務(wù)是屬于不同層次的,比如應(yīng)用層、接入層以及隔離層等等;安全控制機制需要部署在各個層次之間;水平分區(qū)指的是將隔離機制應(yīng)用在不同的業(yè)務(wù)系統(tǒng)之間,這樣各個業(yè)務(wù)系統(tǒng)就是獨立的,不會互相影響。
隔離技術(shù)主要是為了安全防護各層,同時,隔離不同的業(yè)務(wù)系統(tǒng)。目前,防護墻技術(shù)依然是數(shù)據(jù)中心內(nèi)部安全虛擬化的主要技術(shù);隨著云計算技術(shù)的不斷發(fā)展,安全虛擬化逐漸的成熟,它指的是安全設(shè)備虛擬化。虛擬防火墻可以利用不同的安全策略,來有效的實現(xiàn)相互隔離,每一個防火墻都有著獨立的資源和策略,但是物理資源卻是可以共享的。
訪問云數(shù)據(jù)中心的安全數(shù)據(jù)傳輸通道:在這個方面,主要有兩個安全范疇需要考慮,一是未授權(quán)的訪客無法獲取用戶存儲的信息;二是授權(quán)訪問時是否可以將數(shù)據(jù)傳輸通道上的信息進行獲取,安全數(shù)據(jù)通道防護就是為了維護用戶訪問時數(shù)據(jù)通道上信息是安全的。
通常情況下,可以利用內(nèi)部和外部兩個部分來實現(xiàn)通道安全防護;內(nèi)部防護依據(jù)的是媒體訪問控制安全系列安全協(xié)議,來加密數(shù)據(jù)通道,加密傳輸通道中的每一跳路由,保證流量信息的安全,在路由設(shè)備內(nèi)部都是明文傳輸信息。通過實踐研究表明,基于安全分組的媒體訪問控制技術(shù)可以有效的保證重要敏感流量加密傳輸,避免數(shù)據(jù)遭到竊取和破壞。在外部數(shù)據(jù)防護方面,采用的大多是VPN方式,主要的技術(shù)有SSL VPN技術(shù)、IPSec等等,這些技術(shù)都是理想的安全解決方案,可以在移動過程中解決遠程訪問;高速局域網(wǎng)和廣域網(wǎng)中需要的安全解決方案需要擁有比較高的性能、延遲比較低并且管理功能比較簡單等優(yōu)點。
5 結(jié)語
計算機網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢就是云計算,越來越多的傳統(tǒng)硬件設(shè)備生產(chǎn)商都注意到了這個問題,并且利用自己的一些優(yōu)勢逐漸的轉(zhuǎn)換為云計算的服務(wù)商。不管是企業(yè)用戶還是私人用戶,在接受云計算、云服務(wù)的過程中,難免會擔心它的安全;本文首先概述了它的基本概念,然后分析了云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實現(xiàn)原理,最后又探討了云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護方法,希望可以提供一些有價值的參考意見。
[參考文獻]
[1]李知杰.云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實現(xiàn)原理[J].軟件導(dǎo)刊,2011,2(12):123-125.
[2]夏雷,鐘青峰.云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全探討[J].2012全國無線及移動通信學(xué)術(shù)大會論文集,2012,1(1):87-89.
[3]黃大川.云計算數(shù)據(jù)中心網(wǎng)絡(luò)的關(guān)鍵技術(shù)[J].郵電設(shè)計技術(shù),2011,2(10):34-37.
[4]劉朝,薛凱,楊樹國.云環(huán)境數(shù)據(jù)庫安全問題探究[J].電腦與電信,2011,2(1):56-57.
[5]柯亮亮,鄭傳行.淺析現(xiàn)階段云計算發(fā)展中的瓶頸問題[J].電腦知識與技術(shù),2009,2(20):78-80.
【關(guān)鍵詞】計算機網(wǎng)絡(luò) 信息安全 網(wǎng)絡(luò)信息防御
一、計算機網(wǎng)絡(luò)安全的概念
國際標準化組織將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。
二、計算機網(wǎng)絡(luò)安全的隱患及攻擊形式
(一)計算機網(wǎng)絡(luò)硬件安全隱患
計算機網(wǎng)絡(luò)硬件設(shè)施是互聯(lián)網(wǎng)中必不可少的部分,硬件設(shè)施本身就有著安全隱患。電子輻射泄露就是其主要的安全隱患問題,也就是說計算機和網(wǎng)絡(luò)所包含的電磁信息泄露了,這增加了竊密、失密、泄密的危險;此外安全隱患問題也體現(xiàn)在通信部分的脆弱性上,在進行數(shù)據(jù)與信息的交換和通信活動時,主要通過四種線路,即光纜、電話線、專線、微波,除光纜外其它三種線路上的信息比較容易被竊??;除上述方面外,計算機的操作系統(tǒng)與硬件組成的脆弱性,也給系統(tǒng)的濫用埋下了隱患。
(二)計算機軟件漏洞
無論多強大的軟件在設(shè)計之初都難免存在缺陷或漏洞,操作系統(tǒng)軟件也不例外。系統(tǒng)主機之間互異的操作系統(tǒng)具有相對的獨立性,同樣性質(zhì)的漏洞,也會由于操作系統(tǒng)軟件設(shè)計開發(fā)過程的不同,而具有不一樣的表現(xiàn)形式。攻擊者可以很“方便”的通過漏洞對計算機系統(tǒng)進行破壞,造成主機癱瘓、重要資料丟失等,嚴重影響系統(tǒng)的正常運行。
(三)黑客攻擊
這是一種最嚴重的網(wǎng)絡(luò)安全威脅。攻擊者通過各種方式尋找系統(tǒng)脆弱點或系統(tǒng)漏洞,由于網(wǎng)絡(luò)系統(tǒng)同構(gòu)冗余環(huán)境的弱點是相同的,多個系統(tǒng)同時故障的概率雖小,但被攻破可能性卻大,通過攔截、竊取等多種方式,向系統(tǒng)實施攻擊,破壞系統(tǒng)重要數(shù)據(jù),甚至系統(tǒng)癱瘓,給網(wǎng)絡(luò)安全帶來嚴重威脅。
(四)計算機病毒攻擊
網(wǎng)絡(luò)病毒發(fā)病和傳播速度極快,而許多計算機用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網(wǎng)絡(luò)病毒泛濫,病毒程序輕者降低系統(tǒng)工作效率,重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失,造成無可挽回的損失,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)擁塞,給每一個用戶都帶來極大的不便。
(五)各種非法入侵和攻擊
由于計算機網(wǎng)絡(luò)接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得網(wǎng)絡(luò)成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數(shù)據(jù),非法搶占系統(tǒng)控制權(quán)、占用系統(tǒng)資源。
三、計算機網(wǎng)絡(luò)安全的對策
(一)防火墻技術(shù)
防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風險。
(二)數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲,數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別,以及密鑰的管理技術(shù)。數(shù)據(jù)存儲加密技術(shù)是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的,可分為密文存儲和存取兩種,數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密。
(三)防病毒技術(shù)
在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。
(四)配備網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)
為減少來自網(wǎng)絡(luò)內(nèi)外的攻擊和破壞,需要在網(wǎng)絡(luò)中配置必要的網(wǎng)絡(luò)安全設(shè)備,如網(wǎng)絡(luò)入侵保護系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內(nèi)容過慮系統(tǒng)、補丁升級系統(tǒng)、服務(wù)器的安全監(jiān)測系統(tǒng)等等。通過配置網(wǎng)絡(luò)安全設(shè)備,能夠?qū)崿F(xiàn)對校園網(wǎng)絡(luò)的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網(wǎng)絡(luò)的不健康數(shù)據(jù)信息,能夠幫助網(wǎng)絡(luò)管理員在發(fā)生網(wǎng)絡(luò)故障時迅速定位。充分利用好這些網(wǎng)絡(luò)安全設(shè)備可以大大提高校園網(wǎng)的安全級別。
(五)提高網(wǎng)絡(luò)工作人員的素質(zhì),強化網(wǎng)絡(luò)安全責任