(2)攻击阻断
这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。
首先,为了保护内部网络,在Internet出口部署防火墙,将内部网络与因特网隔离,只在内部网与外部网之间设立唯一的通道,将攻击危险阻断在外,并限制网络互访从而保护企业内部网络。另外,利用防火墙的端口,设置LAN区、SSN区以及外网区。LAN区是不对外开放区,所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器,如web服务器、ftp服务器及邮件服务器。由于防火墙处于网关的位置,不可能对进出攻击做出太多判断,否则会严重影响网络性能。所以这里需要部署入侵保护系统(Ips)作为防火墙的有力补充。将Ips串联在主干线路中,是网络安全的第二道屏障,可构成完整的网络安全解决方案。除此之外,我们还可以进行恰当的设置,使防火墙、lps联动起来。当Ips检测到入侵和攻击后,会通过联动接口部件,将入侵特征和事件报告给防火墙,防火墙接到入侵信息后会动态地修改自己的安全访问控制策略,在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。
这样防火墙和Ips联动起来后,防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整,这样不仅能提高安全性,而且不必要的访问控制规则和规则链会被及时地删除掉,对网络性能造成的影响也会降到最低。防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天,即使网络部署了防火墙和入侵保护系统后,仍然会存在漏洞。学院网络应该建立立体防毒体系,就是指在网络的边界处部署硬件防毒墙,然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上,能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦,而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部,整个网络进行立体地防护,极大地提高了全网的防毒能力,是防火墙及入侵保护系统的有力补充。
(3)远程接入控制
对于学院的三个分院以及外出办公人员,需要通过Internet访问学院本部,这里考虑vpn(虚拟私有网络)技术来实现。
现有vpn技术有Ipsecvpn以及sslvpn。从学院目前网络使用情况并考虑日后发展状况,将以IPsecvpn作为点对点连结,再配以sslvpn的远程访问方案。在交通分院、建设分院、卫生分院三地之间架设防火墙,利用防火墙的网关对网关的Ipsecvpn满足三地办公的需要,再选购sslvpn来满足移动办公人员访问学院内网高安全性及可靠性的需求。我们目前一直使用天融信防火墙自带的ipsecvpn。除了因为网络问题带来的故障以外,可以说vpn功能基本达到了我们的需求。但是对于它的移动vpn,因为客户端的产品型号、操作系统及应用软件的差异,有必要另选用一套sslvpn满足移动办公访问学院内网的需求。
(4)身份认证
对于不同的应用,访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全,也是对远程接入安全控制的有益补充。
4、应用层安全
主要包括网页防篡改、数据库的漏洞修补、数据的完整性检验以及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登陆的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在web服务器前部署web应用防火墙。对于数据库来说,为了提高用户访问数据库的速度和数据库中数据的安全性,我们可以采取磁盘阵列来代替普通的存储设备,极大地扩展了存储容量,在性能和安全性上也有了大幅度的提高。考虑到以后我们的应用不断增多,数据量不断加大,为了保证性能和安全性,我们可以着手建设SAN或NAS,甚至可以做异地容灾备份,即使发生自然灾害,我们也可以在最短的时间内恢复我们的数据和我们的应用。
5、网络安全管理体系的建立
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立有组织的安全管理体系是网络安全的核心。其过程如下:
(1)、安全需求分析。明确目前及未来几年的安全需求,即我们需要建设什么样的网络,网络状况如何,未来发展如何等等,有针对性地构建适用的安全体系结构,从而有效地保证网络系统的安全;(2)、制定安全策略。根据不同部门的应用及安全需求,分别制定部门的计算机网络安全策略,做到资源最优化:(3)、外部支持。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供预警。定期进行巡检,保证所有网络设备和安全系统的运转正常,提早发现隐患,将网络故障对学院整体的影Ⅱ向降至最低。
6、计算机网络安全管理
安全管理是计算机网络安全的重要环节之一,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地运行,这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面,我们倡导“三分技术,七分管理”,指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面,就是加强网络安全宣传,提高学院职工对网络安全的认识和保护网络安全的自觉性,从每个网络用户开始进行“主动防护”,防止“病从口入”。
四、总结
任何一种单一的技术或产品都无法满足我们对网络安全的要求,只有将技术和管理有机的结合起来,合理分析需求,按照体系架构进行安全方案的部署,从控制网络安全建设、运行和维护的全过程入手,才能提高整个网络的安全水平。
(责任编辑:)
