公務(wù)員期刊網(wǎng) 精選范文 網(wǎng)絡(luò)安全終端管理范文

網(wǎng)絡(luò)安全終端管理精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全終端管理主題范文,僅供參考,歡迎閱讀并收藏。

網(wǎng)絡(luò)安全終端管理

第1篇:網(wǎng)絡(luò)安全終端管理范文

關(guān)鍵詞:機密 數(shù)據(jù) 威脅 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理

一、概述

隨著網(wǎng)絡(luò)在企業(yè)生產(chǎn)經(jīng)營中應(yīng)用越來越廣、越來越深,企業(yè)網(wǎng)絡(luò)安全的問題也日益凸顯。來自企業(yè)網(wǎng)外部和內(nèi)部的攻擊無時不刻都在威脅著企業(yè)網(wǎng)絡(luò)的安全,也成了每一位網(wǎng)絡(luò)管理人員都需要面臨的考驗。如何建立一個完整的企業(yè)網(wǎng)絡(luò)安全解決方案,減少因網(wǎng)絡(luò)攻擊和病毒引發(fā)的生產(chǎn)經(jīng)營數(shù)據(jù)的丟失和外泄引發(fā)的損失,本文將進行一個淺顯的探討。

二、網(wǎng)絡(luò)安全的基礎(chǔ)——網(wǎng)絡(luò)設(shè)計

網(wǎng)絡(luò)的設(shè)計與建設(shè),是構(gòu)建一個安全網(wǎng)絡(luò)的基礎(chǔ)。合理的網(wǎng)絡(luò)構(gòu)架設(shè)計將為未來網(wǎng)絡(luò)安全的設(shè)計與構(gòu)建節(jié)省一大部分開銷,這些開銷包括了設(shè)計、成本和系統(tǒng)的效率等。因此,在構(gòu)建一個網(wǎng)絡(luò)的初期,就必須將網(wǎng)絡(luò)系統(tǒng)的安全作為設(shè)計的基本要素,考慮到整個系統(tǒng)中。一個大型的企業(yè),如在地域上分部較為集中,其內(nèi)網(wǎng)為了增大運行保險系數(shù),一般主干采用雙環(huán)網(wǎng)的網(wǎng)絡(luò)構(gòu)架。這種網(wǎng)絡(luò)在一路主用線纜引故障停止時會自動切換到備用環(huán)上,當然,根據(jù)具體的系統(tǒng)配置的不同,雙環(huán)網(wǎng)正常工作時又會被分為雙路負載分擔(dān)型和雙路數(shù)據(jù)同步型等類型,在這里就不詳細介紹了。一個企業(yè)如在地域上較為分散,下屬有多家子公司且這些子公司又擁有自己的網(wǎng)絡(luò)的情況下,最好采用以樹形或星型網(wǎng)絡(luò)結(jié)構(gòu)為主的復(fù)合型網(wǎng)絡(luò)設(shè)計。這種設(shè)計使得各網(wǎng)絡(luò)層次的訪問控制權(quán)限一目了然,便于內(nèi)部網(wǎng)絡(luò)的控制。

一個大型企業(yè)的網(wǎng)絡(luò)在內(nèi)部又會被分為許多特定的區(qū)域——普通的辦公區(qū),財務(wù)銷售的核心業(yè)務(wù)區(qū),應(yīng)用服務(wù)器工作區(qū),網(wǎng)絡(luò)管理維護區(qū),多方網(wǎng)絡(luò)互聯(lián)區(qū)域,VPN連接區(qū)等多個功能區(qū)域。其中普通的辦公區(qū)有時是與財務(wù)銷售類的業(yè)務(wù)區(qū)合并在一起的,但是,如果公司還涉及特殊業(yè)務(wù)的時候應(yīng)當將這兩個區(qū)域分開,甚至為其單獨建立一套網(wǎng)絡(luò)系統(tǒng)以增強其安全保密性。應(yīng)用服務(wù)器區(qū)域一般承載著企業(yè)辦公、生產(chǎn)等主要業(yè)務(wù),因此在安全上其級別應(yīng)當是最高的。一般對這一區(qū)域進行安全設(shè)置時最好將除所用端口以外的所有其他端口全部封鎖,以避免多余端口通信造成的安全威脅。有條件的網(wǎng)絡(luò)用戶或?qū)Π踩蟊容^高的用戶可以在不同的網(wǎng)絡(luò)之間配置防火墻,使其對網(wǎng)絡(luò)的訪問進行更好的控制或者將不同的網(wǎng)絡(luò)直接進行物理隔離,以完全絕斷不同網(wǎng)絡(luò)之間的互訪。在網(wǎng)絡(luò)中中有許多服務(wù)器,比如病毒服務(wù)器、郵件服務(wù)器等,有同時被內(nèi)網(wǎng)及外網(wǎng)訪問的需求,應(yīng)當為這些有外網(wǎng)需求的服務(wù)器考慮設(shè)置DMZ區(qū)域。DMZ區(qū)域的安全級別較普通用戶區(qū)高,即便得到訪問授權(quán)的用戶,其對DMZ區(qū)域的訪問也是有限制的,只有管理人員才可以對這一區(qū)域的服務(wù)器進行完全的訪問與控制。

三、終端的安全防護

病毒、木馬無論通過何種途徑傳播,其最終都是感染終端為目的的,無論這個終端是指的服務(wù)器還是普通用戶的終端,因此,對各類終端的安全防護可以說是網(wǎng)絡(luò)安全構(gòu)建的關(guān)鍵。對終端的安全防護可以分為兩套系統(tǒng);一種為硬件的防火墻類,一般由管理人員進行專業(yè)操作處理的防護系統(tǒng),包括了反垃圾郵件系統(tǒng)、用戶上網(wǎng)行為監(jiān)控管理系統(tǒng)、網(wǎng)站防篡改系統(tǒng)等專業(yè)(服務(wù)器)終端防護系統(tǒng);另一種為軟件類的防火墻、殺毒軟件及其他安裝于各個用戶終端由用戶或管理人員進行操作管理的防護系統(tǒng)。現(xiàn)在多數(shù)的網(wǎng)絡(luò)安全防護系統(tǒng)多由這兩種類型的防護系統(tǒng)復(fù)合而成。這種復(fù)合式的系統(tǒng)所取得的效果在很大程度上依賴于終端用戶的計算機水平及殺毒軟件服務(wù)提供商的反應(yīng)能力和軟件更新能力,總之,這種方式是比較偏重于“被動防守”的一種防護措施。

現(xiàn)在有廠商提供了一種協(xié)調(diào)系統(tǒng),使用這種系統(tǒng)能讓以上所述的復(fù)合安全系統(tǒng)能夠在網(wǎng)絡(luò)管理員的干涉下實現(xiàn)主動的管理。這套系統(tǒng)一般在用戶終端安裝一個客戶端,開機時,客戶端自動判定本終端的安全狀態(tài)并與安全服務(wù)器取得聯(lián)系,當終端被判定正常時,終端可進行正常權(quán)限的網(wǎng)絡(luò)訪問;當終端被判定為非正常(威脅)時,此終端可根據(jù)預(yù)先堤定的安全策略,斷絕與普通局域網(wǎng)的連接,只能與特定的服務(wù)器如病毒服務(wù)器等進行連接以解決問題。網(wǎng)絡(luò)管理員可以通過這套系統(tǒng)實時監(jiān)查每個終端的進程與數(shù)據(jù)狀態(tài),并通過管理終端對客戶端進行控制,以解決安全威脅。此類系統(tǒng)的應(yīng)用將所有用戶的終端都納入了系統(tǒng)管理員的控制下,以系統(tǒng)管理員專業(yè)化的技術(shù)知識實現(xiàn)對整個系統(tǒng)的監(jiān)管與維護,能夠在很大程度上減少威脅并提高系統(tǒng)的安全性和網(wǎng)絡(luò)效率。

四、終端用戶的規(guī)范

網(wǎng)絡(luò)的安全除了在設(shè)計、硬件、技術(shù)管理上提高水平外,對網(wǎng)絡(luò)用戶進行必要的指導(dǎo)是十分重要的。普通的網(wǎng)絡(luò)用戶由于其計算機專業(yè)知識水平的不同,不可能要求其對終端進行專業(yè)的處理,告誡其正確的上網(wǎng)方式,減少各種網(wǎng)絡(luò)(IE)軟件、插件的使用及不明軟件的下載是十分重要的。即使對于某些安全防護類軟件(控件、插件)也應(yīng)當控制使用,原因很簡單,任何軟件的編制都有BUG或漏洞的存在,終端用戶所使用的網(wǎng)絡(luò)軟件(插件、控件)越多,這種硬傷類的安全威脅也就越多。終端所面臨的威脅也就越多。不安裝不必要的(網(wǎng)絡(luò))軟件,也能在很大程度上避免網(wǎng)絡(luò)威脅。

第2篇:網(wǎng)絡(luò)安全終端管理范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;安全防護;接入控制;防火墻;訪問權(quán)限

隨著計算機技術(shù)的發(fā)展和Internet的廣泛應(yīng)用,越來越多的企業(yè)都實現(xiàn)了業(yè)務(wù)系統(tǒng)的電子化和網(wǎng)絡(luò)化,計算機網(wǎng)絡(luò)安全已成為企業(yè)信息安全的重要組成部分。但計算機網(wǎng)絡(luò)也面臨著非法入侵,惡意攻擊、病毒木馬等多種威脅,對企業(yè)的信息系統(tǒng)安全造成損害。

因此,如何提高計算機網(wǎng)絡(luò)的防御能力,增強網(wǎng)絡(luò)的安全性和可靠性,已成為企業(yè)網(wǎng)絡(luò)建設(shè)時必須考慮的問題。下面介紹一些網(wǎng)絡(luò)安全建設(shè)方面的策略,希望能為企業(yè)網(wǎng)絡(luò)建設(shè)提供一些參考。

一、 做好網(wǎng)絡(luò)結(jié)構(gòu)安全設(shè)計

網(wǎng)絡(luò)結(jié)構(gòu)安全的核心是網(wǎng)絡(luò)隔離,即將整個網(wǎng)絡(luò)按照系統(tǒng)功能、信息安全等級、工作地點等原則劃分為相對獨立的子網(wǎng)絡(luò),使得當某個子網(wǎng)絡(luò)內(nèi)發(fā)生安全故障時,有害信息不能或不易擴散到別的子網(wǎng)絡(luò)中。

各個子網(wǎng)絡(luò)之間應(yīng)部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備,實現(xiàn)信息系統(tǒng)隔離和訪問控制。同時,充分利用IP地址、VLAN、訪問控制列表等工具,實現(xiàn)子網(wǎng)絡(luò)之間的邏輯隔離。

二、 網(wǎng)絡(luò)設(shè)備的安全防護

網(wǎng)絡(luò)設(shè)備的安全防護是指同設(shè)備交互時的安全防護,一般用于設(shè)備的配置和管理。同設(shè)備的交互有以下幾種方式:

* 通過設(shè)備Console 口訪問。

* 異步輔助端口的本地/遠程撥號訪問

* TELNET訪問

* SNMP訪問

* HTTP訪問

針對這幾種交互方式,采取的安全策略如下:

(1) 用戶登錄驗證

必須要求設(shè)備配置身份驗證,如果設(shè)備未配,將拒絕接受用戶登錄,可以通過本地用戶驗證或RADIUS驗證實現(xiàn)。

(2) 控制臺超時注銷

控制臺訪問用戶超過一段時間對設(shè)備沒有交互操作,設(shè)備將自動注銷本次控制臺配置任務(wù),并切斷連接。超時時間必須可配置,缺省為10分鐘。

(3) 控制臺終端鎖定

配置用戶離開配置現(xiàn)場,設(shè)備提供暫時鎖定終端的能力,并設(shè)置解鎖口令。

(4) 限制telnet用戶數(shù)目

設(shè)備對telnet用戶數(shù)量必需做出上限控制。

三、 部署用戶安全接入控制系統(tǒng)

用戶安全接入控制是指企業(yè)員工在使用終端訪問企業(yè)資源前,先要經(jīng)過身份認證和終端安全檢查。用戶在確認身份合法并通過安全檢查后,終端可以訪問用戶授權(quán)的內(nèi)部資源,認證不通過則被拒絕接入網(wǎng)絡(luò)。終端安全接入控制主要是防止不安全的終端接入網(wǎng)絡(luò)和防止非法終端用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。

用戶接入控制可通過部署終端安全管理系統(tǒng)實現(xiàn)。終端安全管理系統(tǒng)是一個包括軟件和硬件整體系統(tǒng)。在用戶終端上安裝安全服務(wù)程序,在用戶使用網(wǎng)絡(luò)前,必須啟動程序,然后輸入身份信息進行登錄。由安全管控服務(wù)器對終端用戶進行身份認證和安全檢查。通過之后服務(wù)器把檢查結(jié)果通知安全接入網(wǎng)關(guān),安全接入網(wǎng)關(guān)根據(jù)用戶的角色,開放終端用戶的訪問權(quán)限,有效的制止用戶的非法訪問和越權(quán)訪問。

四、 網(wǎng)絡(luò)數(shù)據(jù)流控制

網(wǎng)絡(luò)數(shù)據(jù)流控制通過數(shù)據(jù)包過濾來實現(xiàn)。通過網(wǎng)絡(luò)數(shù)據(jù)包過濾,可以限制網(wǎng)絡(luò)通信量,限制網(wǎng)絡(luò)訪問到特定的用戶和設(shè)備。

訪問列表可用來控制網(wǎng)絡(luò)上數(shù)據(jù)包的傳遞,限制終端線路的通信量或者控制路由選擇更新,以達到增強網(wǎng)絡(luò)安全性的目的。在端口上設(shè)定數(shù)據(jù)流過濾,防止企業(yè)內(nèi)部的IP地址欺騙。嚴格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等數(shù)據(jù)流通過網(wǎng)絡(luò)設(shè)備,原則上只允許本系統(tǒng)應(yīng)用需要的應(yīng)用數(shù)據(jù)流才能通過網(wǎng)絡(luò)設(shè)備。

五、 部署網(wǎng)絡(luò)防病毒軟件

網(wǎng)絡(luò)病毒的入口點是非常多的。在一個具有多個網(wǎng)絡(luò)入口的連接點的企業(yè)網(wǎng)絡(luò)環(huán)境中,病毒可以由軟盤、光盤、U盤等傳統(tǒng)介質(zhì)進入,也可能由企業(yè)信息網(wǎng)等進入,還有可能從外部網(wǎng)絡(luò)中通過文件傳輸?shù)确绞竭M入。所以不僅要注重單機的防毒,更要重要網(wǎng)絡(luò)的整體防毒措施。

任何一點沒有部署防病毒系統(tǒng),對整個網(wǎng)絡(luò)都是一個安全的威脅。網(wǎng)絡(luò)中應(yīng)部署一套網(wǎng)絡(luò)防病毒系統(tǒng),在所有重要服務(wù)器、操作終端安裝殺毒軟件。通過網(wǎng)絡(luò)殺毒服務(wù)器及時更新病毒庫及殺毒引擎,保證內(nèi)部網(wǎng)絡(luò)安全、穩(wěn)定的運行。

六、 內(nèi)部網(wǎng)絡(luò)使用安全

* 內(nèi)部系統(tǒng)中資源共享

嚴格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機制不是很安全,但對一般用戶而言,還是起到一定的安全防護,即使有刻意破解者,只要口令設(shè)得復(fù)雜些,也得花費相當長的時間。

* 信息存儲

對有涉及企業(yè)秘密信息的用戶主機,使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份,包括本地備份和遠程備份存儲。

* 構(gòu)建安全管理平臺

構(gòu)建安全管理平臺將會降低很多因為無意的人為因素而造成的風(fēng)險。構(gòu)建安全管理平臺從技術(shù)上如:組成安全管理子網(wǎng),安裝集中統(tǒng)一的安全管理軟件,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件。通過安全管理平臺實現(xiàn)全網(wǎng)的安全管理。

總之,網(wǎng)絡(luò)安全是一個系統(tǒng)的工程,要用系統(tǒng)的思想來建設(shè)全方位的、多層次的、立體的安全防護體系。這是一項長期而艱巨的任務(wù),需要不斷的探索。網(wǎng)絡(luò)安全建設(shè)不能僅僅依靠于技術(shù)手段,而應(yīng)建立包括安全規(guī)范、規(guī)章制度、人員培訓(xùn)等全面的管理體系,提高全體員工的安全防范意識,保護好每臺接入網(wǎng)絡(luò)中的設(shè)備,才能實現(xiàn)高速穩(wěn)定安全的信息化網(wǎng)絡(luò)系統(tǒng)。

參考文獻:

第3篇:網(wǎng)絡(luò)安全終端管理范文

準入控制策略準入控制策略的主要目的是將安全問題防患于未然,而不是等到有了安全問題才開始處理。準入控制策略的原理是終端用戶在入網(wǎng)之前要接受系統(tǒng)安全方面的檢查,如果發(fā)現(xiàn)系統(tǒng)有安全問題,則不允許入網(wǎng),并提示問題所在。為保證安全入網(wǎng),凡可統(tǒng)一管理的終端機(如公共機房、電子閱覽室、多媒體教室、辦公室等)均做統(tǒng)一安全處理。如安裝殺病毒軟件,及時更新系統(tǒng)補丁,做好各項數(shù)據(jù)備份,自建批處理文件、綁定正確網(wǎng)關(guān)等。防火墻與IDS聯(lián)動策略防火墻側(cè)重于控制,IDS側(cè)重于主動發(fā)現(xiàn)入侵的信號。而且,它們本身所具有的強大功能并沒有得到充分發(fā)揮。例如,IDS檢測到一種攻擊行為,不能及時有效地阻斷或過濾;沒有IDS,一些攻擊行為會利用防火墻合法的通道進入網(wǎng)絡(luò)。因此,防火墻和IDS之間十分適合建立緊密的聯(lián)動關(guān)系,已將兩者的能力充分發(fā)揮出來,相互彌補不足,相互提供保護。訪問控制列表策略對交換機的訪問控制列表進行合理設(shè)置可以制定各種有效的安全策略。一般病毒主要集中在幾個端口,可以通過訪問控制列表將這幾個端口封鎖。校園網(wǎng)內(nèi)P2P下載,嚴重影響網(wǎng)絡(luò)速度,而迅雷、電騾等工具的使用都是基于TCP協(xié)議的。通過防火墻無法阻止,也可以通過封鎖這類工具的端口達到阻止BT下載的目的。身份認證策略為使所有終端用戶對網(wǎng)絡(luò)安全引起重視,也為了在網(wǎng)絡(luò)安全出現(xiàn)問題后,能迅速定位問題用戶,所有入網(wǎng)用戶要經(jīng)過身份驗證,采取實名制。

防止入網(wǎng)賬號被盜,禁止弱密碼的設(shè)置,控制密碼輸入次數(shù),必要情況下,還要采用雙重認證體系。對重要服務(wù)器維護的管理員,要經(jīng)常更換服務(wù)器密碼,對服務(wù)器進行多重密碼設(shè)置,密碼保管責(zé)任到人。途徑傳播。網(wǎng)絡(luò)輿情監(jiān)控系統(tǒng)是指通過對網(wǎng)絡(luò)各類信息進行匯集、分類、整合、篩選等技術(shù)處理,再形成對網(wǎng)絡(luò)動態(tài)、熱點、網(wǎng)民意見等實時統(tǒng)計報表的軟件工具。利用輿情監(jiān)控系統(tǒng),合理設(shè)置后,可以有效地對違法違規(guī)的言論、行為進行管制。分級管理模式校園網(wǎng)絡(luò)的安全管理僅憑網(wǎng)絡(luò)信息中心的成員肯定是不行的。四川民族學(xué)院各系部公共機房,電子閱覽室,多媒體教室等都配有管理人員。在不增加人員投入的情況下,完全可以由各分部管理員與網(wǎng)絡(luò)中心的安全管理員組成分級安全管理小組。分部管理員在發(fā)現(xiàn)安全問題后,將問題和處理方法報告給網(wǎng)絡(luò)中心的安全管理員。若分部管理員不能處理該安全問題,由網(wǎng)絡(luò)中心的安全管理員組織分部成員共同分析研究。成立網(wǎng)絡(luò)服務(wù)小組根據(jù)目前四川民族學(xué)院規(guī)模,可以在A、B校區(qū)各成立一個網(wǎng)絡(luò)服務(wù)小組,主要負責(zé)終端用戶的網(wǎng)絡(luò)服務(wù)和輿情監(jiān)控,小組成員在學(xué)生中選拔。網(wǎng)絡(luò)信息中心不定期對小組成員進行培訓(xùn),小組成員可以對準入控制系統(tǒng)提示系統(tǒng)安全有問題的終端用戶給予幫助。小組成員介入校內(nèi)BBS和校外社區(qū),做好網(wǎng)上輿情跟蹤,及時對網(wǎng)絡(luò)上相關(guān)輿論進行引導(dǎo)。舉辦“網(wǎng)絡(luò)文明”講座通過舉辦“網(wǎng)絡(luò)文明”講座,提高終端用戶對網(wǎng)絡(luò)安全的基本知識的了解。加強用戶對網(wǎng)絡(luò)安全法律法規(guī)的認識,培養(yǎng)終端用戶內(nèi)在的、自覺的網(wǎng)絡(luò)道德情感、道德責(zé)任和自律能力,幫助用戶在主觀思想上建起一道防線,抵制虛假、黃色、消極內(nèi)容,使他們自覺維護網(wǎng)絡(luò)安全。病毒應(yīng)對信息網(wǎng)絡(luò)中心應(yīng)及時在校園網(wǎng)上病毒襲擊及應(yīng)對信息。目前,四川民族學(xué)院已經(jīng)開展了這項工作,不足之處在于對校園網(wǎng)的病毒襲擊情況了解不夠全面,處理病毒的方法很多終端用戶即使通過閱讀的信息也無法自行處理。解決這兩個不足,要結(jié)合管理層面應(yīng)對策略1和2。通過策略1的分級管理模式收集網(wǎng)絡(luò)安全信息,分析安全處理方法;通過策略2的網(wǎng)絡(luò)服務(wù)小組幫助不能自行處理的終端用戶處理。

根據(jù)藏區(qū)工作會議精神,國家要加大藏區(qū)高校的投入,包括四川民族學(xué)院在內(nèi)的藏區(qū)高校網(wǎng)絡(luò)將迅速發(fā)展。隨著校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)、用戶網(wǎng)絡(luò)安全素質(zhì)、校園網(wǎng)安全需求等多方面的發(fā)展變化,校園網(wǎng)安全管理需要及時調(diào)整安全策略。校園網(wǎng)絡(luò)安全管理人員也應(yīng)不斷地進行探索和學(xué)習(xí),與兄弟院校及企業(yè)進行交流和合作,不斷完善管理手段,從而為師生建立一個安全、方便、健康的網(wǎng)絡(luò)環(huán)境。

作者:蔡勇智 莫泓銘 單位:四川民族學(xué)院

第4篇:網(wǎng)絡(luò)安全終端管理范文

【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;保密方案;虛擬計算技術(shù);安全控制技術(shù)

1 引言

隨著網(wǎng)絡(luò)應(yīng)用的普及,網(wǎng)絡(luò)安全問題成為了當下人們所關(guān)注的重點。在網(wǎng)絡(luò)應(yīng)用中,由于軟件及硬件存在一定的漏洞,被不法分子利用造成數(shù)據(jù)的丟失或者是系統(tǒng)的破壞,因此,為計算機網(wǎng)絡(luò)進行安全保密勢在必行。本文所提出的基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案,在特定環(huán)境下都能夠?qū)τ嬎銠C網(wǎng)絡(luò)提供一定的保密措施,但是由于兩種方案自身也存在一定的漏洞,所以在不同環(huán)境下選擇不同的解決方案,對于計算機網(wǎng)絡(luò)安全保密具有非常重要的現(xiàn)實作用。

2 計算機網(wǎng)絡(luò)泄密風(fēng)險

目前計算機網(wǎng)絡(luò)應(yīng)用中可能存在的泄密渠道主要包括互聯(lián)網(wǎng)、局域網(wǎng)、無線設(shè)備、移動存儲設(shè)備、打印傳真設(shè)備等。其泄密方式如圖1所示。

在計算機網(wǎng)絡(luò)應(yīng)用過程中,存在的泄密行為與泄密風(fēng)險如表1所示。

3 基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案

隨著大數(shù)據(jù)、云計算的興起,傳統(tǒng)的計算機安全保密方式從多終端向集中存儲安全管理方式轉(zhuǎn)變,利用云計算將客戶端的數(shù)據(jù)集中管理,解決的不同終端安全管理難的問題,同時又降低了客戶端的數(shù)據(jù)存儲壓力,實現(xiàn)資源高效利用、統(tǒng)一管理,為計算機網(wǎng)絡(luò)安全管理提供了便利。

基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案實施流程如圖2所示。

云計算技術(shù)為用戶構(gòu)建了虛擬桌面,提供遠程數(shù)據(jù)訪問和軟件應(yīng)用。在服務(wù)器端,不僅能夠為用戶提供數(shù)據(jù)的存儲服務(wù)和應(yīng)用軟件的使用,同時云端服務(wù)器還對所有用戶的操作進行監(jiān)控,對資源的利用進行管理,并將用戶權(quán)限等級進行設(shè)定,根據(jù)用戶使用權(quán)限為其提供相應(yīng)的服務(wù)器資源利用。

基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案實現(xiàn)了數(shù)據(jù)的集中統(tǒng)一管理,采用統(tǒng)一安裝應(yīng)用軟件、統(tǒng)一建立防火墻和殺毒軟件,并及時對軟硬件進行升級,可降低用戶端設(shè)備泄密的幾率。在云端服務(wù)器中儲存的數(shù)據(jù)可根據(jù)重要等級進行管理,對級別高的數(shù)據(jù)可實行定期備份,有效的防止了數(shù)據(jù)的丟失,提高了數(shù)據(jù)資源利用的可靠性。

4 基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案

基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案是利用安全控制技術(shù)對技術(shù)網(wǎng)絡(luò)設(shè)備進行安全保護,其中包括對設(shè)備的通信接口、用戶認證等?;诎踩刂萍夹g(shù)的計算機網(wǎng)絡(luò)安全保密解決方案實施流程如圖3所示。

可信終端設(shè)備和安全控制系統(tǒng)可經(jīng)由交換機訪問服務(wù)器,在交換機中安裝內(nèi)容審計系統(tǒng),該系統(tǒng)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)進行實時監(jiān)測,監(jiān)測用戶網(wǎng)絡(luò)應(yīng)用的行為。用戶通過監(jiān)測審查后可訪問具有安全控制系統(tǒng)的服務(wù)器,該服務(wù)器屬于初級服務(wù)器,可為用戶提供并不私密的數(shù)據(jù)。如果用戶想訪問受保護的服務(wù)器,則需要通過安全控制系統(tǒng)安全網(wǎng)關(guān),在該網(wǎng)關(guān)中安裝入侵檢測系統(tǒng),其可以對加密級數(shù)據(jù)提供入侵檢測功能,實現(xiàn)對核心加密數(shù)據(jù)的安全保護。用戶通過層層檢測后,可經(jīng)過交換機訪問到受保護服務(wù)器中的重要數(shù)據(jù)。

基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案在用戶與服務(wù)器之間進行通信時需要提供用戶身份認證,獲得通信端口加密口令后,可登陸服務(wù)器調(diào)用服務(wù)器數(shù)據(jù)資源,也可以通過USB令牌或者口令卡進行通信加密,確保用戶身份與服務(wù)器登記身份相吻合,這種方案常用于網(wǎng)上銀行用戶身份安全認證。

5 兩種計算機網(wǎng)絡(luò)安全保密解決方案比較分析

對基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案和基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案進行比較,建立對比如表2所示。

基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案適用于用戶集中區(qū)域的管理,譬如大廈辦公樓、政府機關(guān)、企事業(yè)單位等?;谠朴嬎慵夹g(shù)的計算機網(wǎng)絡(luò)安全保密解決方案具有降低終端設(shè)備維護壓力和運行壓力、集中網(wǎng)絡(luò)安全保密,防止由終端泄密的問題。隨著大數(shù)據(jù)集中管理和云計算技術(shù)的日益成熟,基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案將具有更加廣闊的發(fā)展空間。但是,在進行高性能計算時,對于服務(wù)器產(chǎn)生的壓力巨大,所以其不適用于專業(yè)性計算機網(wǎng)絡(luò)安全應(yīng)用,同時由于小規(guī)模計算機網(wǎng)絡(luò)建立云計算成本較大,因此,云計算技術(shù)適用于規(guī)模較大的用戶群體,具有廣泛應(yīng)用性,而不具備尖端應(yīng)用性。

基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密解決方案對計算機的配置要求較高,通常應(yīng)用與科學(xué)研發(fā)、課題攻堅、指揮控制等方面,其可滿足較高性能的計算,更加適用于安全要求級別高的網(wǎng)絡(luò)應(yīng)用。

6 結(jié)束語

本文對計算機網(wǎng)絡(luò)安全保密解決方案進行分析,提出基于云計算技術(shù)的計算機網(wǎng)絡(luò)安全保密和基于安全控制技術(shù)的計算機網(wǎng)絡(luò)安全保密兩種解決方案,并對兩種解決方案的架構(gòu)和工作方式進行研究,分析兩種解決方案的執(zhí)行原理,對二者進行了比較分析,提出在不同環(huán)境下可選擇不同的計算機網(wǎng)絡(luò)安全保密解決方案,做到有的放矢,更好的發(fā)揮出彼此的優(yōu)勢,對完善計算機網(wǎng)絡(luò)安全具一定的借鑒意義。

參考文獻

[1] 魯林鑫.企業(yè)計算機網(wǎng)絡(luò)安全防護措施和對策研究[J].科技創(chuàng)新導(dǎo)報,2010(04).

[2] 克依蘭?吐爾遜別克.計算機網(wǎng)絡(luò)安全分析研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(01).

[3] 宋國云,趙威,董平,張元龍.有效改善計算機網(wǎng)絡(luò)安全問題及其防范措施[J].電腦知識與技術(shù),2014(01).

[4] 黨政,楊同慶.信息系統(tǒng)安全技術(shù)探究[J].技術(shù)與創(chuàng)新管理,2014(03).

[5] 俞迪.基于計算機網(wǎng)絡(luò)安全保密解決方案的分析[J].中國新通信,2014(02).

第5篇:網(wǎng)絡(luò)安全終端管理范文

【關(guān)鍵詞】大數(shù)據(jù) 虛擬化 網(wǎng)絡(luò)安全架構(gòu) 機制

1 大數(shù)據(jù)時代網(wǎng)絡(luò)安全風(fēng)險

1.1 大數(shù)據(jù)及其特點

大數(shù)據(jù)(Big Data)最早由美國提出,并逐漸運用于世界各地的學(xué)術(shù)既商業(yè)活動之中,具體指相對于計算機的處理能力而言該類數(shù)據(jù)的“海量”與“大”,即在任意有限的時間內(nèi)不能使用任意的IT或軟硬件技術(shù)工具進行操作和運用的數(shù)據(jù)集合。科學(xué)家John Rauser曾用一句更為簡單的話解釋了大數(shù)據(jù),即他認為大數(shù)據(jù)的數(shù)據(jù)處理量之大已經(jīng)超過了任意一臺計算機的處理能力。

大數(shù)據(jù)具有結(jié)構(gòu)復(fù)雜、數(shù)據(jù)量大、類型眾多、集成共享與交叉復(fù)用的特點,對應(yīng)于大數(shù)據(jù)的處理,計算機科學(xué)界產(chǎn)生了與之對應(yīng)的云計算技術(shù)方法基于云計算技術(shù)的應(yīng)用漸趨成熟,大數(shù)據(jù)在行業(yè)內(nèi)被提出具備4V特征,即稻萑萘看籩擲嘍啵Volume)、數(shù)據(jù)類型多(Variety)、商業(yè)價值高(Value)、處理速度快(Velocity),大數(shù)據(jù)及其特征可以更好的用圖1表示。

1.2 大數(shù)據(jù)時代網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)安全是國家安全的一個重要組成部分,根據(jù)我國互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心CNCERT/CC 其2016年度《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》中提供的數(shù)據(jù),截止到15年年底中國網(wǎng)站總量已達到426.7萬余個,同比年度凈增長2萬余個,此外在其的《CNCERT互聯(lián)網(wǎng)完全威脅報告》中,僅2017年2月,境內(nèi)感染網(wǎng)絡(luò)病毒的終端數(shù)為近118萬個,被篡改網(wǎng)站數(shù)量為4493個,其中政府網(wǎng)站有109個??梢姶髷?shù)據(jù)時代,我國目前網(wǎng)絡(luò)安全形勢依舊嚴峻,主要問題表現(xiàn)在:

(1)公民個人安全意識不強,個人信息泄露嚴重,從國內(nèi)感染木馬網(wǎng)絡(luò)病毒的網(wǎng)站數(shù)來看,用戶對于網(wǎng)絡(luò)安全的意識低下的現(xiàn)狀;

(2)國內(nèi)網(wǎng)絡(luò)安全保護與威脅漏洞防范措施滯后,國內(nèi)計算機網(wǎng)絡(luò)安全防護的基本措施基本都處于形式的靜態(tài)防護狀態(tài),真正對新木馬、新病毒的發(fā)現(xiàn)和攻克技術(shù)未及時跟上病毒與木馬產(chǎn)生的速度,防范能力低下,感染與反復(fù)感染情況嚴重。

(3)網(wǎng)絡(luò)攻擊等行業(yè)逐步壯大與興起,大數(shù)據(jù)時代,數(shù)據(jù)的商業(yè)價值被進一步挖掘,強大的利益誘惑下,國內(nèi)不少網(wǎng)絡(luò)攻擊企業(yè)逐漸形成甚至形成不正規(guī)產(chǎn)業(yè)鏈,該行業(yè)的發(fā)展趨勢有待及時的制止與修正。

2 虛擬化網(wǎng)絡(luò)安全技術(shù)概述

2.1 病毒防護技術(shù)

遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。

2.2 入侵檢測技術(shù)

通過加強對網(wǎng)絡(luò)間訪問的控制來保護網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點,從而達到維護系統(tǒng)安全的要求。

2.3 漏洞掃描技術(shù)

遠程或者本地主機上存在的安全漏洞可以通過漏洞掃描來自動檢測。漏洞掃描可以“防患于未然”,在問題還未發(fā)生,或者在侵犯還未形成時,就將其隱藏的安全問題解決。漏洞掃描又可以分為網(wǎng)絡(luò)內(nèi)部和網(wǎng)絡(luò)外部的掃描。將掃描軟件置于網(wǎng)絡(luò)內(nèi)部,檢測解決內(nèi)部網(wǎng)絡(luò)存在的漏洞和安全隱患,我們稱之為網(wǎng)絡(luò)內(nèi)部掃描。相應(yīng)的,外網(wǎng)絡(luò)外部掃描,是指把漏洞掃描程序置于外部網(wǎng)絡(luò),來保護網(wǎng)絡(luò)免于來自外部網(wǎng)絡(luò)的侵犯和攻擊,除去安全隱患。

2.4 防火墻技術(shù)

通過加強對網(wǎng)絡(luò)間訪問的控制來保護網(wǎng)絡(luò)內(nèi)部操作環(huán)境和資源,一般來說,就是我們所說的防火墻。它的原理是,避免外部網(wǎng)絡(luò)用戶非法進入內(nèi)部環(huán)境。性質(zhì)上,屬于一種特殊的網(wǎng)絡(luò)互聯(lián)設(shè)備?;ヂ?lián)網(wǎng)技術(shù)日新月異,防火墻技術(shù)快速發(fā)展。防火墻技術(shù)經(jīng)歷了包過濾型、型、監(jiān)測型,其安全性也是遞增的。最開始的包過濾型防火墻,它是通過分析數(shù)據(jù)來源是否是可靠地安全站點,從而達到維護系統(tǒng)安全的要求。防火墻超出了最初對防火墻的定義是從監(jiān)測型防火墻的出現(xiàn)開始的。其表現(xiàn)是,不僅能阻止外來侵擾,更重要的是,它也能對來自網(wǎng)絡(luò)內(nèi)部的破壞起到防護的作用

3 大數(shù)據(jù)環(huán)境虛擬化網(wǎng)絡(luò)安全SDN架構(gòu)

網(wǎng)絡(luò)安全應(yīng)用虛擬化(Virtualized Security Appliance)是較為有效的解決網(wǎng)絡(luò)安全的常見方式,本節(jié)根據(jù)大數(shù)據(jù)時代網(wǎng)絡(luò)安全特征及可用技術(shù),結(jié)合傳統(tǒng)軟件定義網(wǎng)絡(luò)SDN安全架構(gòu)方式,提出如下所示的基于安全應(yīng)用虛擬化的網(wǎng)絡(luò)安全SDN架構(gòu),即SDN-VSN。

該架構(gòu)首先在安全業(yè)務(wù)管理實踐的基礎(chǔ)上運用SDN API進行業(yè)務(wù)需求與計算機指令的靈活轉(zhuǎn)換,在SDN控制層能夠?qū)崿F(xiàn)網(wǎng)絡(luò)虛擬化安全防護,包括有安全協(xié)議的描述、安全網(wǎng)絡(luò)檢測、安全路由保證、網(wǎng)絡(luò)拓撲管理及安全資源管理的基礎(chǔ)業(yè)務(wù)描述與控制;其次,在安全策略方面,該架構(gòu)采用二級分解方式,指定的物理資源進行了映射配置和安全防控,并采用事件驅(qū)動的啟動模式,達到一種及時響應(yīng)、及時防護的安全防控效果;最后,在安全實施方面,上述架構(gòu)包含了字符段匹配、安全協(xié)議識別等通過標準Open Flow表示、識別與實施的安全運作機制。

4 大數(shù)據(jù)環(huán)境下虛擬化網(wǎng)絡(luò)安全機制

4.1 邊界安全機制

網(wǎng)絡(luò)邊界安全機制指從網(wǎng)絡(luò)與外界之間互通引起的安全題進行防護的一種防護機制,包括黑客入侵、網(wǎng)絡(luò)攻擊及木馬病毒攻擊的防護,大數(shù)據(jù)環(huán)境下網(wǎng)絡(luò)邊界安全直接影響網(wǎng)絡(luò)用戶的整體安全,因此如何從數(shù)據(jù)挖掘的角度設(shè)計并分析已有病毒或木馬庫的特征,及時更新病毒庫進行有效的邊界保護,最大限度實現(xiàn)邊界隔離。

4.2 終端安全機制

網(wǎng)絡(luò)終端指網(wǎng)絡(luò)的最終使用者即網(wǎng)絡(luò)用戶,網(wǎng)絡(luò)終端安全機制即是強調(diào)網(wǎng)絡(luò)安全防護過程中從網(wǎng)絡(luò)用戶端入手,運用防火墻、防病毒、防木馬等技術(shù)對可能的網(wǎng)絡(luò)安全漏洞進行措施性規(guī)避,新一代的大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)終端數(shù)量劇增,在對于網(wǎng)絡(luò)終端防護的安全機制需要考慮終端之間的統(tǒng)一有效控制,即當某一終端出現(xiàn)安全漏洞威脅時,其他與之相近的終端能夠迅速接受信號,并在統(tǒng)一受控的基礎(chǔ)上進行迅速的防護技術(shù)部署,防止漏洞和威脅進一步無限制的蔓延,終端防護的技術(shù)在大數(shù)據(jù)環(huán)境下需要過更多運用云技術(shù),通過云端有效控制數(shù)以億增的網(wǎng)絡(luò)終端量及相應(yīng)的可能遭受的安全風(fēng)險。

4.3 聯(lián)動安全機制

聯(lián)動安全機制是在保證邊界安全和終端安全的基礎(chǔ)上運用云端技術(shù)及大數(shù)據(jù)預(yù)測技術(shù)及時的將終端與邊界聯(lián)動起來的一種安全機制,即保證終端與邊界的安全統(tǒng)一。實際的操作中,網(wǎng)絡(luò)的邊界與終端無論哪一邊遭受到安全攻擊,通過數(shù)據(jù)分析及時更新數(shù)據(jù)并下發(fā)到另一端,以確保實現(xiàn)聯(lián)動的防護機制。雙防御的及時防護就像一個新型高效網(wǎng)絡(luò)護盾,如當某一終端遭受攻擊或漏洞被篡改,可以迅速的通知邊界設(shè)備進行及時的物理或網(wǎng)絡(luò)隔離,并迅速進行數(shù)據(jù)分析更新數(shù)據(jù)庫病毒庫,防止同網(wǎng)絡(luò)種其他設(shè)備遭受到相同黑客病毒的攻擊。聯(lián)動機制有效的提高了終端和邊界雙方面聯(lián)動的防護效果,有效應(yīng)對未知攻擊并可以進行及時的防護措施,并運用大數(shù)據(jù)預(yù)測與分析技術(shù)可以預(yù)測可能受到的安全攻擊,進行對應(yīng)的防護措施,從而將損害降到最低,實現(xiàn)網(wǎng)絡(luò)安全最大化的終極目標。

參考文獻

[1]CNCERT互聯(lián)網(wǎng)安全威脅報告.國家互聯(lián)網(wǎng)應(yīng)急中心[EB/OL].http://.cn/publish/main/upload/File/2017monthly02.pdf.

[2]孟治強.基于大數(shù)據(jù)的下一代網(wǎng)絡(luò)安全架構(gòu)初探[J].商,2015(34):207-207.

[3]楊艷,張瑩.大數(shù)據(jù)背景下的網(wǎng)絡(luò)信息安全研究[J].自動化與儀器儀表,2016(10):149-150.

[4]劉新,常英賢,田健偉.大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全防護策略研究[J].探索科學(xué),2016(10).

[5]馬文靜.下一代無線網(wǎng)絡(luò)安全及切換機制研究[D].北京郵電大學(xué),2010.

[6]吳越,孫皓,張樹彬.下一代網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2007(05):12-14.

第6篇:網(wǎng)絡(luò)安全終端管理范文

【關(guān)鍵詞】郵政網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 加密

1 郵政系統(tǒng)的基本原理

郵政綜合計算機網(wǎng)絡(luò)系統(tǒng)是一個三級四層的全國性的網(wǎng)絡(luò)系統(tǒng),其中三級為省際網(wǎng)、省內(nèi)網(wǎng)和郵區(qū)網(wǎng),四層為國家郵政信息中心、省郵政信息中心、郵區(qū)郵政信息中心和基礎(chǔ)接入節(jié)點。

郵政綜合計算機網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示,網(wǎng)絡(luò)互連方式包括郵政綜合計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部三級四層之間的互連、郵政綜合計算機網(wǎng)二級機構(gòu)接入、郵政綜合計算機網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)的互連。網(wǎng)絡(luò)上使用的通信協(xié)議為TCP/IP。

2 現(xiàn)有系統(tǒng)的基本原理

通過建立郵政行業(yè)內(nèi)通用的綜合安全保密管理技術(shù)架構(gòu)和管理中心平臺,從而為郵政系統(tǒng)建立健全的安全組織、完善的安全管理機制和集成統(tǒng)一的安全策略提供必要的技術(shù)基礎(chǔ)。該管理中心平臺在結(jié)構(gòu)上和郵政系統(tǒng)現(xiàn)有管理體制和網(wǎng)絡(luò)結(jié)構(gòu)相適應(yīng),并在密碼設(shè)備管理、密碼服務(wù)調(diào)用接口、密鑰管理、安全日志管理等方面建立統(tǒng)一的標準和要求,此外,該平臺應(yīng)具有較強的開放性,能容納未來的安全保密設(shè)備。

以目前比較成熟的PKI體系為基礎(chǔ),針對不同應(yīng)用模式構(gòu)建統(tǒng)一的安全服務(wù)平臺,為郵政業(yè)務(wù)系統(tǒng)提供一個公共的安全服務(wù)平臺,為郵政生產(chǎn)、業(yè)務(wù)、服務(wù)和管理應(yīng)用提供一系列標準的、切合郵政安全需求的安全服務(wù)接口,使得各個應(yīng)用系統(tǒng)的開發(fā)在一個高安全性的服務(wù)環(huán)境下順利實施。

綜合運用數(shù)據(jù)包封裝技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),構(gòu)建建立能涵蓋郵政終端節(jié)點->城市中心->省中心->國家中心各部門(人員)的中國郵政虛擬專用網(wǎng)絡(luò)系統(tǒng)(VPN)。

3 現(xiàn)有系統(tǒng)的組成結(jié)構(gòu)

現(xiàn)有系統(tǒng)共包含五個組成部分:綜合安全管理中心、應(yīng)用安全服務(wù)平臺、低端網(wǎng)絡(luò)IP密碼服務(wù)包、網(wǎng)絡(luò)IP加密機和終端線路加密器。以下分別介紹各個部件的功能:

3.1 綜合安全管理中心

綜合安全管理中心實現(xiàn)對全網(wǎng)絡(luò)密碼設(shè)備的分級集中管理,包括對密碼設(shè)備所需數(shù)字證書的管理、密碼設(shè)備遠程配置、密碼設(shè)備運行狀態(tài)監(jiān)控及密碼設(shè)備安全審計日志的集中存放、動態(tài)分析和報告生成等功能。此外,該中心還可包含對其它安全設(shè)備,如防火墻、入侵檢測等的集中管理。

3.2 應(yīng)用安全中間件

應(yīng)用安全中間件是一個由五個安全組件構(gòu)成的安全服務(wù)套件,可以為基于不同平臺的各類業(yè)務(wù)系統(tǒng)提供統(tǒng)一、標準的安全服務(wù),它為用戶提供了實現(xiàn)數(shù)據(jù)機密性、完整性、不可抵賴性以及身份認證功能等的統(tǒng)一的途徑和方法。安全中間件的每一組件所完成的安全層次各異、互為補充,構(gòu)成了一個面向用戶信息應(yīng)用系統(tǒng)的較為完整的安全服務(wù)體系。該套件的所有組件均集成了國密辦審批的本項目專用密碼算法和密碼模塊,其功能基本覆蓋了郵政系統(tǒng)各類業(yè)務(wù)系統(tǒng)的安全服務(wù)需求。

3.3 基于網(wǎng)絡(luò)的IP加密機

基于網(wǎng)絡(luò)的IP加密機通過在網(wǎng)絡(luò)層實施密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù),實現(xiàn)郵政系統(tǒng)各級機構(gòu)間通過公網(wǎng)的安全互聯(lián)。IP加密機為一獨立的網(wǎng)絡(luò)安全設(shè)備,可透明地接入(嵌入)郵政系統(tǒng)現(xiàn)有網(wǎng)絡(luò)架構(gòu),并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。

3.4 基于主機的低端網(wǎng)絡(luò)IP密碼服務(wù)包

基于主機的網(wǎng)絡(luò)IP密碼服務(wù)包的應(yīng)用對象為郵政系統(tǒng)中大量存在的柜員微機工作站和儲蓄網(wǎng)點PC,是一個能嵌入到現(xiàn)有客戶端系統(tǒng)中的IP安全保密墊片程序模塊,該模塊處于網(wǎng)絡(luò)驅(qū)動程序和IP協(xié)議棧之間,對出入主機的數(shù)據(jù)包實施加解密處理和訪問控制,實現(xiàn)和基于網(wǎng)絡(luò)的IP加密機的互通,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。

3.5終端線路加密器

終端線路加密器是一個能完成終端柜員身份認證功能及線路加密功能的設(shè)備,其應(yīng)用對象為郵政系統(tǒng)中大量存在的郵政儲蓄和電子匯兌柜員終端。該設(shè)備能透明地接入郵政儲蓄柜員終端業(yè)務(wù)系統(tǒng)和其它“終端-主機”結(jié)構(gòu)的網(wǎng)絡(luò)系統(tǒng)中,解決(?。┙K端用戶的強身份認證和線路加密功能,并采用統(tǒng)一的方式,由綜合安全管理中心集中管理。

4網(wǎng)絡(luò)安全的重要性

在信息社會中,信息具有和能源、物源同等的價值,在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題,對于企業(yè)更是如此。例如:在競爭激烈的市場經(jīng)濟驅(qū)動下,每個企業(yè)對于原料配額、生產(chǎn)技術(shù)、經(jīng)營決策等信息,在特定的地點和業(yè)務(wù)范圍內(nèi)都具有保密的要求,一旦這些機密被泄漏,不僅會給企業(yè),甚至也會給國家造成嚴重的經(jīng)濟損失。 經(jīng)濟社會的發(fā)展要求各用戶之間的通信和資源共享,需要將一批計算機連成網(wǎng)絡(luò),這樣就隱含著很大的風(fēng)險,包含了極大的脆弱性和復(fù)雜性,特別是對當今最大的網(wǎng)絡(luò)――國際互聯(lián)網(wǎng),很容易遭到別有用心者的惡意攻擊和破壞。隨著國民經(jīng)濟的信息化程度的提高,有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大,信息的泄露問題也變得日益嚴重,因此,計算機網(wǎng)絡(luò)的安全性問題就越來越重要。

5 結(jié)論

隨著互聯(lián)網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)攻擊也在迅速增多,病毒郵件攻擊的影響日益激烈,病毒、蠕蟲和毫無必要的大量垃圾電子郵件利用互聯(lián)網(wǎng)資源來傳播,使企業(yè)網(wǎng)絡(luò)的傳輸速度緩慢甚至癱瘓。本文提出的企業(yè)網(wǎng)絡(luò)安全解決方案能夠為企業(yè)提供安全的網(wǎng)絡(luò)保護,并縮減了企業(yè)在網(wǎng)絡(luò)安全方面的投資。解決了企業(yè)的安全隱患,使能夠合理利用網(wǎng)絡(luò)并從網(wǎng)絡(luò)中獲取豐厚的效益,提高了企業(yè)的競爭力。

參考文獻

[1]張千里,陳光英 .網(wǎng)絡(luò)安全新技術(shù)[M].北京:人民郵電出版社,2003(01).

[2]董玉格等.網(wǎng)絡(luò)攻擊與防護-網(wǎng)絡(luò)安全與實用防護技術(shù)[M].北京:人民郵電出版社,2002(08).

[3]顧巧論等編著.計算機網(wǎng)絡(luò)安全[M].北京:科學(xué)出版社,2003(01).

第7篇:網(wǎng)絡(luò)安全終端管理范文

【關(guān)鍵詞】制藥企業(yè) 網(wǎng)絡(luò)系統(tǒng) 網(wǎng)絡(luò)安全架構(gòu) 網(wǎng)絡(luò)設(shè)計

隨著數(shù)字化和信息化進程的不斷加速,企業(yè)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍日益擴大。制藥企業(yè)作為技術(shù)密集型企業(yè),多以精深工藝、提升品質(zhì)、加強管理為目的,建立了由ERP、電子商務(wù)、Web網(wǎng)站、OA構(gòu)成的網(wǎng)絡(luò)系統(tǒng)。目前,網(wǎng)絡(luò)已應(yīng)用于制藥企業(yè)各個事務(wù)層面,因此網(wǎng)絡(luò)安全尤為重要,必須建立多層次的安全體系架構(gòu),作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)保障。

一、安全架構(gòu)設(shè)計要點

(一)多元線程。安全架構(gòu)分為“預(yù)防”、“治理”、“鞏固”三個線程。“預(yù)防”是通過Windows Server Update Services更新服務(wù),及時修補內(nèi)網(wǎng)終端與服務(wù)器的系統(tǒng)漏洞?!爸卫怼笔轻槍Σ煌陌踩{進行防護。對于病毒威脅和黑客入侵,進行軟硬件聯(lián)合防御?!办柟獭笔潜4嫱暾W(wǎng)絡(luò)日志,有科學(xué)的備份策略,對終端計算機的嚴格管理,保證終端安全。

(二)立體布局。安全架構(gòu)設(shè)計要兼顧物理層、鏈路層、網(wǎng)絡(luò)層和應(yīng)用層,形成立體化的防護布局。以安全域來劃分為主線,同一安全域共享公用的信息資源、安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

(三)系統(tǒng)管理。安全架構(gòu)包括技術(shù)層和管理層兩方面,必須建立安全管理系統(tǒng)與安全技術(shù)相適應(yīng)。管理系統(tǒng)要求嚴密的崗位分工,以及日常維護管理制度。一個合理的管理系統(tǒng)能夠明確網(wǎng)絡(luò)邊界,增強網(wǎng)絡(luò)的可控性,實現(xiàn)有計劃的訪問控制,有效阻止?jié)B透式網(wǎng)絡(luò)攻擊。

二、安全架構(gòu)設(shè)計方案

(一)網(wǎng)絡(luò)平臺方案設(shè)計

1.網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計。制藥企業(yè)的網(wǎng)絡(luò)設(shè)置采用拓撲結(jié)構(gòu),根據(jù)藥品的生產(chǎn)、銷售、組織、管理等部門分成多個子網(wǎng),共同構(gòu)建企業(yè)網(wǎng)絡(luò)平臺。在各VLAN之間布置路由,實現(xiàn)各VLAN間的自由互訪。但各子網(wǎng)間互訪需要進行網(wǎng)絡(luò)驗證,避免某子網(wǎng)的安全威脅獲得擴大性傳播。

2.域管理設(shè)計。為實現(xiàn)集中式管理,應(yīng)在制藥企業(yè)網(wǎng)絡(luò)平臺布局域管理。域管理可以實現(xiàn)單一賬戶登錄,單節(jié)點管理,具有安全便捷的優(yōu)點。企業(yè)內(nèi)網(wǎng)絡(luò)終端設(shè)備較多,因此要進行網(wǎng)絡(luò)標簽設(shè)置,具體規(guī)則如下:XX――X――XX,字符分別代表了一定含義,第一段字符代表所屬網(wǎng)關(guān),第二段代表部門,第三段代表姓名全拼,唯一的網(wǎng)絡(luò)標簽可以保證定位的速度與精度。

3.入侵檢測設(shè)計。網(wǎng)絡(luò)入侵檢測是通過防火墻和專用軟件(IDS)實現(xiàn)的。配置企業(yè)級防火墻,可以杜絕內(nèi)外網(wǎng)間的病毒威脅,提供相對安全的網(wǎng)絡(luò)環(huán)境。而網(wǎng)康、綠盟、安全胄甲等專業(yè)入侵檢測軟件(IDS)則是對防火墻的合理補充,IDS從企業(yè)網(wǎng)絡(luò)中采集關(guān)鍵信息,分析總流量、上傳量、ERP等數(shù)據(jù)變化,自主判斷網(wǎng)絡(luò)中違反安全策略的行為。聯(lián)合應(yīng)用防火墻與IDS,可以實時、動態(tài)地保護網(wǎng)絡(luò)平臺,擴展系統(tǒng)管理員的安全管理能力,形成完整的網(wǎng)絡(luò)安全平臺結(jié)構(gòu)。

(二)防治病毒方案設(shè)計

1.分布式部署。一般而言,制藥企業(yè)規(guī)模龐大且機構(gòu)復(fù)雜,由多個服務(wù)器構(gòu)成子網(wǎng),因此在防毒軟件的安裝方面,要采用分布部署的方法,分地域、分工段、分部門進行配置,并根據(jù)企業(yè)現(xiàn)有的網(wǎng)絡(luò)構(gòu)架,設(shè)立多級病毒防治管理中心,負責(zé)各自網(wǎng)段的病毒查殺工作。

2.網(wǎng)絡(luò)邊緣防護。網(wǎng)絡(luò)邊緣是靠近用戶端的網(wǎng)絡(luò)層面,對其進行病毒防護的方法是在部署好防病毒網(wǎng)關(guān)后再連接外網(wǎng),全面掃描網(wǎng)絡(luò)后安置硬件防毒墻。建議使用網(wǎng)神、驅(qū)逐艦、趨勢,瑞星、 MacAfee等品牌防毒墻,針對HTTP、FTP協(xié)議進行查殺病毒。再配置一套符合企業(yè)網(wǎng)絡(luò)應(yīng)用需要的安全策略,控制多項網(wǎng)絡(luò)端口,填補邊緣防護缺口,建立起軟硬件相結(jié)合的安全屏障。

3.防病毒管理。防毒技術(shù)是網(wǎng)絡(luò)安全架構(gòu)的技術(shù)保障,而技術(shù)需要管理制度作為保障才能發(fā)揮最大效用。制藥企業(yè)防毒管理制度應(yīng)包括:強制實施防病毒策略,嚴肅工作紀律;定期檢查硬件防毒墻運行狀態(tài),調(diào)整工作參數(shù),避免過熱過勞運行;定期升級防毒軟件病毒庫,如有大規(guī)模病毒爆發(fā)需進行專項治理;加強移動存儲介質(zhì)管理,不使用來源不明的存儲介質(zhì)。

(三)數(shù)據(jù)備份和審計方案設(shè)計

數(shù)據(jù)備份和審計是制藥企業(yè)網(wǎng)絡(luò)安全架構(gòu)的重要組件。數(shù)據(jù)備份的作用是記錄各類網(wǎng)絡(luò)信息,為查找漏洞、排除問題、安全設(shè)置提供參考??紤]到制藥企業(yè)數(shù)據(jù)備份的規(guī)模及對數(shù)據(jù)安全的要求,可利用IBM公司開發(fā)的iSCSI接口,將現(xiàn)有SCSI接口與以太網(wǎng)絡(luò)結(jié)合,實現(xiàn)服務(wù)器與IP網(wǎng)絡(luò)儲存裝置的資料交換。由于備份管理軟件對存儲性能有重要影響,應(yīng)用符合一定技術(shù)標準的備份軟件,具備快速存取能力、極簡管理能力和災(zāi)難恢復(fù)能力。另外,備份軟件要適應(yīng)當前的網(wǎng)絡(luò)條件,能同時支持64位和32位WINDOWS系統(tǒng)、UNIX、IOS系統(tǒng),能在常用系統(tǒng)平臺進行主動式備份。建議采用FileGee等備份軟件,實現(xiàn)自動備份文件,并可進行多介質(zhì)服務(wù)器管理,提供集中管理備份策略。

數(shù)據(jù)備份的目的是進行數(shù)據(jù)審計,通過檢索備份數(shù)據(jù),分析數(shù)據(jù)特征和變化趨勢,對企業(yè)內(nèi)服務(wù)器和終端設(shè)備進行安全審計。終端設(shè)備審計方案是:調(diào)取網(wǎng)絡(luò)數(shù)據(jù),對各種網(wǎng)絡(luò)應(yīng)用進行識別、記錄和控制,在此基礎(chǔ)上判斷網(wǎng)絡(luò)行為正當與否,如存在安全隱患則采取緊急策略,對問題網(wǎng)絡(luò)端口進行控制。服務(wù)器審計方案是:在數(shù)據(jù)庫中提取記錄企業(yè)服務(wù)器運行信息,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、數(shù)據(jù)庫和應(yīng)用系統(tǒng)日志,作出勘察、判斷與決策,防止誤操作和不當操作行為,預(yù)防各種潛在的違規(guī)操作行為。

三、總結(jié)

本文立足于制藥企業(yè)的網(wǎng)絡(luò)管理實際,擬定了三項網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的設(shè)計要點,提出安全規(guī)劃,明確建設(shè)目標。網(wǎng)絡(luò)安全架構(gòu)設(shè)計以平臺安全、防治病毒、數(shù)據(jù)備份和審計為基點,兼顧了整體性和可操作性,設(shè)計出符合線程化、立體化、系統(tǒng)化要求的安全架構(gòu),為制藥企業(yè)網(wǎng)絡(luò)安全應(yīng)用和管理提供了技術(shù)支持。

參考文獻:

[1] 熊芳芳.淺談計算機網(wǎng)絡(luò)安全問題及其對策.電子世界.2012(11).

第8篇:網(wǎng)絡(luò)安全終端管理范文

隨著智能手機、平板電腦等終端產(chǎn)品的普及,網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。面對新的網(wǎng)絡(luò)安全的威脅和攻擊,傳統(tǒng)的應(yīng)對手段也需要顛覆了。請關(guān)注—

隨著新的互聯(lián)網(wǎng)時代的到來,許多人已經(jīng)可以實現(xiàn)借助家里電腦、智能手機、平板電腦等終端進行遠程辦公,現(xiàn)今IT信息系統(tǒng)的架構(gòu)也發(fā)生了變化,導(dǎo)致網(wǎng)絡(luò)安全問題變得越來越復(fù)雜。在近期舉辦的第二屆國家網(wǎng)絡(luò)安全宣傳周上,基于云端架構(gòu)的網(wǎng)絡(luò)安全防護體系正受到越來越多的追捧。

網(wǎng)絡(luò)安全問題越來越復(fù)雜

今年2月份,網(wǎng)絡(luò)安全公司卡巴斯基的一份分析報告顯示,黑客組織Carbanak在兩年內(nèi)連續(xù)攻擊了俄、烏、白等30多個國家的金融機構(gòu),造成損失達10億美元,引發(fā)了俄羅斯銀行業(yè)恐慌。

根據(jù)2012年的數(shù)據(jù),我國電子銀行交易筆數(shù)高達896.2億筆,交易規(guī)模為820萬億元,個人網(wǎng)銀用戶規(guī)模為2.1億戶。電子銀行替代率提高到72.3%,且到2016年時,該比率預(yù)計將達到82.3%。而與此同時,信息泄露、惡意軟件、釣魚網(wǎng)站等卻在不斷的威脅到網(wǎng)銀安全服務(wù),中國工商銀行(601398,股吧)安全部總經(jīng)理敦宏程表示,這些網(wǎng)絡(luò)上侵害金融安全的非法活動甚至已形成黑色產(chǎn)業(yè)鏈,相關(guān)組織內(nèi)分工明確。

“黑客最初是向目標機構(gòu)的普通職員發(fā)送電子郵件,誘使他們打開一個包含惡意軟件的附件;突破職員電腦后,黑客會以此為跳板進行滲透平移,找到并攻陷掌握銀行交易權(quán)限的高級管理人員;通過在管理人員的電腦植入木馬程序,分析得到合法賬號、密碼以及系統(tǒng)操作流程,最終冒充合法賬號成功轉(zhuǎn)移資產(chǎn)?!本W(wǎng)康科技執(zhí)行副總裁左英男介紹俄羅斯銀行大案時說,盡管俄羅斯警方幾年前已經(jīng)逮捕了8名犯罪團伙成員,但攻擊并未停止。

“哪個網(wǎng)絡(luò)是不可信的?哪個網(wǎng)絡(luò)是可信的?這些概念已經(jīng)改變了。傳統(tǒng)的網(wǎng)絡(luò)安全理論是靜態(tài)、被動的,是一種防御性思維,已不適應(yīng)信息產(chǎn)業(yè)架構(gòu)的變化。隨著互聯(lián)網(wǎng)的云化和移動終端移動化趨勢,IT信息系統(tǒng)的架構(gòu)需要有新的手段去解決安全問題?!弊笥⒛姓f。

借助云端解決網(wǎng)絡(luò)安全

“安全問題永遠是人與人之間的智力對抗,所謂魔高一尺道高一丈,但防御的一方永遠處于被動地位,所以現(xiàn)在要改變這種防御策略,形成主動發(fā)現(xiàn)、主動打擊。這就是我們提出的下一代網(wǎng)絡(luò)安全架構(gòu),提供主動對抗的手段。”左英男介紹,下一代網(wǎng)絡(luò)安全架構(gòu)的一個重要特點就是智能協(xié)同,主動防御。云、邊界設(shè)備與終端設(shè)備之間都可以進行聯(lián)動,使得架構(gòu)中“邊界”設(shè)備和“終端”設(shè)備的安全能力都得到了劃時代的提升,可以有效應(yīng)對已知和未知的高級威脅。

“更好的安全模型應(yīng)該是PDFP模型(Prediction預(yù)測、Detection檢測、Forensics取證、Protection防護),即假設(shè)IT系統(tǒng)存在無法預(yù)估的風(fēng)險,甚至認為攻擊已經(jīng)發(fā)生只是人們尚未感知,此時必須進行動態(tài)檢測,把異常的人員、行為、應(yīng)用、內(nèi)容等日志信息實時匯集到云分析中心,通過跨時空的大數(shù)據(jù)分析,迅速判定攻擊并進行過程溯源,從而實施對抗策略。這個過程是動態(tài)的、主動的,是一種對抗型思維?!弊笥⒛薪忉專皩砦覀儠o客戶提供一個云管端的架構(gòu),部屬終端、部屬終結(jié)設(shè)備,會給他一個云賬號,登錄云賬號之后,能夠看到經(jīng)過大數(shù)據(jù)分析之后的結(jié)果,主機是否危險,內(nèi)部有哪些僵尸,都在干什么,有非常直觀的風(fēng)險信息提示。”

目前,為了防止用戶信息泄露和受到詐騙,當前各大銀行紛紛采取措施,其中云技術(shù)、大數(shù)據(jù)等已被運用。比如銀聯(lián)推出的虛擬銀行卡,可以直接使用手機來刷POS機,而基于云端的安全機制將大大提高賬戶的安全性。

提高民眾的安全意識是關(guān)鍵

“網(wǎng)絡(luò)安全問題并不僅僅是一個行業(yè)、一個企業(yè)的行為,它還需要整個全民網(wǎng)絡(luò)安全意識的提高,以及整個社會網(wǎng)絡(luò)安全防護體系的構(gòu)建。”左英男說。

中國工商銀行安全部總經(jīng)理敦宏程表示,相對銀行采取的種種措施,民眾的網(wǎng)絡(luò)安全意識仍然是抵御網(wǎng)絡(luò)金融詐騙和信息泄露的第一道關(guān)口?!坝脩舻陌踩庾R,實際上相對來說是各個環(huán)節(jié)中最薄弱的環(huán)節(jié),工商銀行為此提供了很多安全措施,都是針對客戶安全意識不足做的補充措施?!?/p>

第9篇:網(wǎng)絡(luò)安全終端管理范文

關(guān)鍵詞:終端準入 網(wǎng)絡(luò)安全 802.1x EAD

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)06-0014-02

1 引言

在創(chuàng)新無處不在的IT世界里,從要求可用性到安全性再到高效率,只經(jīng)歷了短短的幾年時間。如何對終端設(shè)備進行高效、安全、全方位控制一直都困擾著眾多IT管理者,由于終端設(shè)備數(shù)量多、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊,而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高,導(dǎo)致了終端成為整個IT管理環(huán)境中最容易出現(xiàn)問題的一環(huán),對終端問題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一,它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。

終端作為網(wǎng)絡(luò)的關(guān)鍵組成和服務(wù)對象,其安全性受到極大關(guān)注。終端準入控制技術(shù)是網(wǎng)絡(luò)安全一個重要的研究方向,它通過身份認證和完整性檢查,依據(jù)預(yù)先設(shè)定的安全策略,通過軟硬件結(jié)合的方式控制終端的訪問權(quán)限,能有效限制不可信、非安全終端對網(wǎng)絡(luò)的訪問,從而達到保護網(wǎng)絡(luò)及終端安全的目的。終端準入控制技術(shù)的研究與應(yīng)用對于提高網(wǎng)絡(luò)安全性,保障機構(gòu)正常運轉(zhuǎn)具有重要作用;對于機構(gòu)解決信息化建設(shè)中存在的安全問題具有重要意義。目前,終端準入控制技術(shù)已經(jīng)得到較大的發(fā)展和應(yīng)用,在安全領(lǐng)域起到越來越重要的作用。

2 發(fā)展現(xiàn)狀

為了解決網(wǎng)絡(luò)安全問題,安全專家相繼提出了新的理念。上世紀90年代以來,國內(nèi)外提出了主動防御、可信計算等概念,認為安全應(yīng)該回歸終端,以終端安全為核心來解決信息系統(tǒng)的安全問題。

3 終端準動模型

H3C終端準入控制解決方案(EAD,End user Admission Domination)從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手,整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品,通過智能客戶端、安全策略服務(wù)器、聯(lián)動設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡(luò)的用戶終端按需實施靈活的安全策略,并嚴格控制終端用戶的網(wǎng)絡(luò)使用行為,極大地加強了企業(yè)用戶終端的主動防御能力,為企業(yè)IT管理人員提供了高效、易用的管理工具。

4 終端準入控制過程

EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號等信息進行綁定,支持智能卡、數(shù)字證書認證,支持域統(tǒng)一認證,增強身份認證的安全性。根據(jù)實際情況我們采用基于域統(tǒng)一認證,與接入終端MAC地址和接入設(shè)備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后,根據(jù)管理員配置的安全策略,用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后,用戶可正常使用網(wǎng)絡(luò),同時EAD將對終端運行情況和網(wǎng)絡(luò)使用情況進行監(jiān)控和審計。若未通過安全認證,則將用戶放入隔離區(qū),直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

5 終端準入控制策略的實現(xiàn)

5.1 接入用戶身份認證

為了確保只有符合安全標準的用戶接入網(wǎng)絡(luò),EAD通過交換機的配合,強制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進行身份認證和安全狀態(tài)評估,但很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng),通過Windows域管理用戶訪問權(quán)限和應(yīng)用執(zhí)行權(quán)限。為了更加有效地控制和管理網(wǎng)絡(luò)資源,提高網(wǎng)絡(luò)接入的安全性,EAD實現(xiàn)了Windows 域與802.1x統(tǒng)一認證方案,平滑地解決了兩種認證流程之間的矛盾,避免了用戶二次認證的煩瑣。該方案的關(guān)鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實現(xiàn)用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實現(xiàn)認證流程的同步。統(tǒng)一認證的基本流程如圖3所示。

5.2 安全策略狀態(tài)評估

EAD終端準入控制解決方案在安全策略服務(wù)器統(tǒng)一進行安全策略的管理,并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令,在安全策略服務(wù)器定義員工終端黑白軟件列表,通過智能客戶端實時檢測、網(wǎng)絡(luò)設(shè)備聯(lián)動控制,完成對用戶終端的軟件安裝運行狀態(tài)的統(tǒng)一監(jiān)控和管理。如果用戶通過安全策略檢查,可以正常訪問授權(quán)的網(wǎng)絡(luò)資源;如果用戶未滿足安全策略,則將被強制放入隔離區(qū)內(nèi),直至通過安全策略檢查才可訪問授權(quán)的網(wǎng)絡(luò)資源。

5.3 EAD與iMC融合管理

EAD通過與iMC(開放智能管理中樞,Intelligent Management Center)靈活組織功能組件,形成直接面向客戶需求的業(yè)務(wù)流解決方案,從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。EAD實現(xiàn)了對用戶的準入控制、終端安全、桌面資產(chǎn)管理等功能,iMC平臺實現(xiàn)了對網(wǎng)絡(luò)、安全、存儲、多媒體等設(shè)備的資源管理功能,UBAS、NTA等組件實現(xiàn)了行為審計、流量分析等業(yè)務(wù)的管理功能,這幾者結(jié)合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務(wù)三大要素的開放式管理體驗。

6 結(jié)語

在未實施終端準入解決方案之前,本企業(yè)網(wǎng)絡(luò)管理模式被動,雖制定完善的IT管理制度,但不能有效實行,比如不能及時升級系統(tǒng)補丁,不能及時升級殺毒軟件病毒庫,不能實時監(jiān)控用戶軟件安裝,不能實時監(jiān)控計算機硬件信息等問題。通過實施終端準入解決方案,降低了來自企業(yè)內(nèi)部網(wǎng)絡(luò)的威脅,規(guī)范了終端準入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網(wǎng)絡(luò)環(huán)境的安全。

參考文獻

[1]周超,周城,丁晨路.計算機網(wǎng)絡(luò)終端準入控制技術(shù).計算機系統(tǒng)應(yīng)用,2011,20(1):89—94.

[2]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準入控制解決方案.醫(yī)院數(shù)字化,2011,26(11):30-32.

[3]成大偉,呂鋒.支持802.1x的網(wǎng)絡(luò)準入系統(tǒng)在企業(yè)中的應(yīng)用.中國科技博覽,2012,27:296.