網絡安全技術防護體系
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全技術防護體系范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全技術防護體系范文第1篇
[關鍵詞]數據庫 中間層 應用層 三層架構
中圖分類號:X936 文獻標識碼:A 文章編號:1009-914X(2016)17-0299-01
筆者從事計算機十多年的教學,又參與了軟件Java與的開發及應用。在這里,我想針對網絡安全監察維護模式,由淺入深地談談應該如何建立良好的信息系統體系結構模式。
一、認識信息系統體系結構的重大意義
首先,我們必須清楚地認識到良好的信息系統體系結構對于網絡安全監察維護模式的意義重大。如果我們有一個良好的信息系統體系結構,我們完全可以抵御或者減少病毒入侵,如網頁掛馬等。
閱讀計算機之類的報刊、雜志,我們總有一些不解,什么是中間層,什么是接口,什么是修改參數,什么是模擬仿真,那么我以Java程序或程序為例進行闡述。
Java程序和程序,我認為是目前最好的系統程序,因為它們有一種很好的思想值得我們去學習,去采納。作為一名學者,不能只是一味地去學習、接納別人的東西,而是要理解事物的本質,所謂必定要透過事物的表象去看清里面的內涵,與實質,不能一味地去抄襲或者盜竊他人的原代碼之類的東西。這樣做,既無科學道德,也無太多的實際價值,同時也不能在專業術語、英文字母上徘徊不前,大道理小道理地講,又有什么用。
二、程序三層架構思想
Java程序和程序,基本的三層架構思想,這給我們的信息體系結構帶來不少的沖擊。數據結構體系的基本三層模式(圖1):
當然你可以在信息體系結構的基本三層的基礎上發展五六層、七八層都可以,但是我們要知道是上一層調用下一層的命令。應用層,就是我們常說的界面、窗口;數據庫層,就是我們大量信息儲存的地方;中間層,就是在應用層需要數據庫時,依靠中間層進行層層轉運,即應用層程序先調用中間層命令,由中間層程序再調用數據庫層里的文件信息。這里要注意的問題是,應用層是永遠不可能直接調用數據庫層的信息。同樣,箭頭永遠不可能反過來,也就是說數據庫層不可能去調用中間層或應用層的程序,他們是獨立、有序的。這樣就做到了信息體系結構的良性循環。所謂“君是君,臣是臣,哪里是主語,哪里是謂語”。
說到這里,有朋友會問,這與我們的“網絡安全監察維護”有什么聯系。試想,這樣一個有序的信息體系結構,如果在每一層都進行打包、封裝、加密,甚至工具式的異類化,直接調用,那么病毒怎么進得來,計算機的安全監察與維護技術工作不是變得更加容易!
接著,便存在層與層之間的通信連接問題,這就是我們常閱讀報刊雜志上所看見的專業術語“接口”。有讀者會問“接口”是個什么層。這里我們首先要清楚地認識到,各層之間的聯系,其實就在于各層文件名的命名及其附加參數,還有上一層可以插入下一層的文件名及其附加參數。文件名在本層中,既是一個程序文件的標志,同時對上一層來說,是調用下一層的命令,也就是說上一層只要輸入下一層的文件名及其實參,就可以調用下一層的文件。文件名及其附加參數在本層中是一個功能塊或者稱為過程調用和形參,在調用層則為命令和實參,只有符合條件的參數才可以配合命令去調用下一層的功能塊。如此反復,我們便可以在界面上看到了不斷更新的數據、動態的網頁。不符合條件的實參是不可以配合命令去調用下一層的功能塊。舉個淺顯的例子說下,如果下一層的程序塊的內容是10除以多少,條件是有限制的,如不能為0或其他字母,如果輸入0或者其他字母,那么程序會馬上終止,進入退出狀態,不再運行。我們再看下仿真軟件,理論上只要修改參數,就知道故障就在哪里,然后通過模擬故障去排除故障,如仿真戰機、空中大戰、仿真系統維修軟件等,它們的故障就是實參輸入不合條件,出現故障,導致局部程序無法運行,上一層功能塊只有調用其他的功能塊才能解決故障問題,使模擬仿真安然進行。仿真軟件的設計,使現實事物并不需要出現,也不要去實驗,如空中大戰,達到理想的訓練效果,又節省了人、材、機,同時又避免了環境污染和資源浪費。但是仿真系統與現實社會還是有一定距離,還是有必要去和現實數據進行吻合。我們可以應用這種理論進行網絡安全監察維護的仿真檢測。
中間層是一個封裝的程序,如果需要執行多個命令,就封裝多個中間層。各層只要有必要,可以從這個項目中分離開,進入另外一個項目,只要提供一個接口。
程序的工具性異類化。為什么稱為程序的工具性異類化?程序包或功能塊經過一系列的代碼轉換命令,完全變成了一個工具,直接拿來用即可,你無須知道它的源代碼,更確切地說,你根本不知道,也許永遠不知道它的源代碼 ,你只是利用這個工具去做你想去做的事情,現代計算機中稱工具的專業名稱為“對象”。所以工具性程序與普通程序完全不同,有些需要轉換代碼后才能調用,有些只是通過實參配合命令進行調用,不符合要求的實參根本無法進行調用。那么有人會問,能不能破譯“對象”的源代碼?所謂“解鈴還須系鈴人”,破譯源代碼除了“系鈴人”之外,別無他人。那么有人會說木馬病毒可以破譯,我個人認為,木馬病毒只是侵入,無法破譯并獲得源代碼。現代軟件加密技術非常強,里三圈外三圈,攔了個水泄不通,木馬技術最多也只是個別侵入與替換與復制,除非知道程序的破譯方法,一般不可以破譯并獲得源代碼的。
在項目做好后,經過系統軟件生成器平臺轉化成獨立代碼,直接運行在計算機操作系統中。
這里有兩個問題仍需解決,第一個問題是系統軟件生成器平臺是如何將程序打包并工具化的,第二個問題是不同版本的系統軟件之間是如何兼容的。
當我們還常常夸C語言、C++語言源代碼開放,功能如何之強大時,其實,我們在程序應用上還是未能解決根本問題。信息系統結構的未來發展趨向,就是進行程序的快速打包封裝,快速便捷地進行功能調用,快速地組裝并且達到新的適用功能,而并不是程序的源代碼如何地強大。軟件業的發展必須將程序進行工具性的“異類化”,成為程序的新品種,直接拿過來用即可,我們并不需要其內部的源代碼是什么。除此之外,我們要清楚地認識到,有些操作系統具有兼容其他語言的能力,以致我們的系統軟件能輕而易舉地應用到某些操作系統上。
我們常說要自動化,不僅指硬件的自動化,更是要指軟件的自動化。軟件要自動化,必須要有獨立、有序、反應敏捷的信息體系結構,加上調用封裝好的工具性軟件,優良的獨立接口軟件,達到與各種系統軟件平臺的兼容,同時也使計算安全監察維護技術工作變得相當簡單。哪一部分出了問題,我們就維護哪一部分,并不需要從頭至尾個個檢查。這樣,有利于減少工作量,提高工作效率。
三、結語
寫到這里,我希望廣大軟件開發的工作者門,開發出更好的、有利于國人的軟件產品,從根本上解決我們計算機網絡安全監察與維護的技術工作問題。
參考文獻
[1] 尚宇峰.網絡可靠性研究[J].2006.12-16
網絡安全技術防護體系范文第2篇
企業計算機網絡所面臨的威脅
當前,大多數企業都實現了辦公自動化、網絡化,這是提高辦公效率、擴大企業經營范圍的重要手段。但也正是因為對計算機網絡的過分依賴,容易因為一些主客觀因素對計算機網絡造成妨礙,并給企業造成無法估計的損失。
1網絡管理制度不完善
網絡管理制度不完善是妨礙企業網絡安全諸多因素中破壞力最強的。“沒有規矩,不成方圓。”制度就是規矩。當前,一些企業的網絡管理制度不完善,尚未形成規范的管理體系,存在著網絡安全意識淡漠、管理流程混亂、管理責任不清等諸多嚴重問題,使企業相關人員不能采取有效措施防范網絡威脅,也給一些攻擊者接觸并獲取企業信息提供很大的便利。
2網絡建設規劃不合理
網絡建設規劃不合理是企業網絡安全中存在的普遍問題。企業在成立初期對網絡建設并不是十分重視,但隨著企業的發展與擴大,對網絡應用的日益頻繁與依賴,企業未能對網絡建設進行合理規劃的弊端也就會日益凸顯,如,企業所接入的網絡寬帶的承載能力不足,企業內部網絡計算機的聯接方式不夠科學,等等。
3網絡設施設備的落后
網絡設施設備與時展相比始終是落后。這是因為計算機和網絡技術是發展更新最為迅速的科學技術,即便企業在網絡設施設備方面投入了大筆資金,在一定時間之后,企業的網絡設施設備仍是落后或相對落后的,尤其是一些企業對于設施設備的更新和維護不夠重視,這一問題會更加突出。
4網絡操作系統自身存在漏洞
操作系統是將用戶界面、計算機軟件和硬件三者進行有機結合的應用體系。網絡環境中的操作系統不可避免地會存在安全漏洞。其中包括計算機工作人員為了操作方便而主動留出的“后門”以及一些因技術問題而存在的安全隱患,一旦這些為網絡黑客所了解,就會給其進行網絡攻擊提供便利。
網絡安全防護體系的構建策略
如前所述,企業網絡安全問題所面臨的形勢十分嚴峻,構建企業網絡安全防護體系已經刻不容緩。要結合企業計算機網絡的具體情況,構建具有監測、預警、防御和維護功能的安全防護體系,切實保障企業的信息安全。
1完善企業計算機網絡制度
制度的建立和完善是企業網絡安全體系的重要前提。要結合企業網絡使用要求制定合理的管理流程和使用制度,強化企業人員的網絡安全意識,明確網絡安全管護責任,及時更新并維護網絡設施設備,提高網絡設施的應用水平。如果有必要,企業應聘請專門的信息技術人才,并為其提供學習和培訓的機會,同時,還要為企業員工提供網絡安全的講座和培訓,引導企業人員在使用網絡時主動維護網絡安全,避免網絡安全問題的出現。
2配置有效的防火墻
防火墻是用于保障網絡信息安全的設備或軟件,防火墻技術是網絡安全防御體系的重要構成。防火墻技術主要通過既定的網絡安全規則,監視計算機網絡的運行狀態,對網絡間傳輸的數據包進行安全檢查并實施強制性控制,屏蔽一些含有危險信息的網站或個人登錄或訪問企業計算機,從而防止計算機網絡信息泄露,保護計算機網絡安全。
3采用有效的病毒檢測技術
計算機病毒是指編制或在計算機原有程序中插入的能夠破壞系統運行或破壞數據,并具有自我復制能力的計算機指令或程序代碼。病毒是對網絡造成最大威脅的因素,要采用一些有效的病毒檢測及反應技術,及時檢測到病毒并對其進行刪除。
網絡安全技術防護體系范文第3篇
所謂的非破壞性形式就是進行系統運作的擾亂,并不進行系統內部資料的盜竊,該環節比較常見的攻擊形式是信息炸彈。所謂的破壞性的攻擊形式,就是進行他人電腦系統的入侵,不斷盜竊對方系統的內部信息,影響目標系統數據的正常保護。在日常黑客攻擊模式中,電子郵件攻擊、獲取口令等模式都是常見的攻擊手段。在計算機安全維護環節中,計算機病毒也是總要的影響因素,受到計算機病毒的自身性質影響,其蔓延范圍具備不確定的因素,在此應用前提下,可能出現較大的損失情況。這些病毒程序進入計算機網絡系統中,會進行大量的擴散,從而影響計算機設備的正常運行,計算機被“感染”后,其運算效率會大大的下降,可能還會出現系統死機或者破壞的情況,影響導致計算機內部信息文件的丟失,更嚴重的是導致計算機內部主設備硬件的損壞。在計算機防護歷史中,計算機病毒扮演者一個重要的角色,除了計算機病毒程序外,還有一切其他因素影響著計算機網絡的安全,比如計算機連接網絡后,用戶應用網絡模式中出現的問題,干擾了用戶的正常使用,這也是不可以疏忽的重要問題。在計算機網絡安全影響因素中,我們也需要看到網絡應用媒介的影響,比如網絡軟件應用因素的影響。比如網絡軟件的漏洞,網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。
2計算機網絡信息安全的防護方案的優化
為了實現計算機網絡信息的安全性提升,進行身份鑒別系統體系的優化是必要的。所謂的身份鑒別模式,就是使用者必須要經過授權才能使用。比如使用者在操作計算機環節中,需要系統對自身的應用權限進行鑒別,以確保用戶使用計算機的合法性,該模式的應用,一定程度避免了不合法用戶的進入,實現計算機網絡安全性的提升。在計算機網絡防護體系應用過程中,口令識別模式也是比較常見的模式,就是將口令字母數字將智能卡相結合,從而提升計算機網絡防護的安全性。隨著網絡安全防范體系的健全,一系列的新型認證模式得到應用,比如應用人的生物特征的防護認證體系,比如指紋、視網膜等,口令字的設置原理是:在信息系統中存放一張“用戶信息表”,它記錄所有的可以使用這個系統的用戶的有關信息,如用戶名和口令字等。用戶名是可以公開的,不同用戶使用不同的用戶名,但口令字是秘密的。當一個用戶要使用系統時,必須鍵入自己的用戶名和相應的口令字,系統通過查詢用戶信息表,驗證用戶輸入的用戶名和口令字與用戶信息表中的是否一致,如果一致,該用戶即是系統的合法用戶,可進入系統,否則被擋在系統之外。為了滿足現實工作的開展,進行防火墻技術軟件體系的開發是非常必要的,所謂的防火墻就是將計算機的軟硬件相結合,最主要的是防火墻軟件自身要具備良好的防護性,實現計算機內部網絡與外部網絡的有效連接,提升其連接的安全性,保證好私有網絡資源的有效應用,避免其他未授權網絡者的應用。在計算機網絡安全防護體系應用過程中,防火墻的設置是非常必要的環節,是提升網絡安全性的重要應用基礎,需要我們做好日常的防火墻設計更新工作。一個防火墻,作為阻塞點、控制點能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。為了滿足現實工作的開展,進行防毒、防木馬軟件的應用是非常必要的,在防病毒軟件的控制過程中,我們要進行防病毒服務器的更新極健全,通過對網絡的應用,進行軟件的病毒庫的更新應用,確保局域網內部整體病毒防護體系的優化。在計算機網絡防護環節中,數據加密技術也是重要的防護模塊,其實現了數據傳輸過程中,數據的有效加密,最大程度提升了信息的安全性,目前來說,主要的信息數據傳輸加密模式為端對端加密及其線路加密模式。線路加密是將需要保密的信息用不同的加密密鑰提供安全保護,然而端對端加密就是發送信息者在通過專用的加密軟件,將要發送的信息進行加密,也就是說將明文加密成密文,然后進入TCP/IP數據包封裝穿過網絡,當這些信息一旦到達目的地,將由收件人運用相應的密鑰進行解密,使密文恢復成為可讀數據明文。計算機網絡安全體系的健全需要一個循序漸進的過程中,在此應用環節中,要進行信息安全管理體系的健全,以有效針對日常信息安全管理過程中的問題,展開制度環節、設備環節、技術應用環節等的更新,實現網絡安全技術效益的提升,積極做好相關的防護工作。在計算機網絡安全技術應用過程中,也要就網絡管理人員進行培訓模的應用,確保其安全意識的提升,以滿足當下計算機網絡防護體系的應用需要,保證工作人員操作模式中失誤情況的減少。雖然目前有很多的安全軟件的產品,例如像是防火墻、殺毒軟件等技術方面的維護,相對來講光靠技術方面的維護也是不夠的,由于威脅計算機網絡信息安全的因素有很多,必須要結合實際情況來進行防范,只有這樣才能真正的提高計算機網絡安全性,使網絡技術能夠跟好的為人們服務。
3結束語
網絡安全技術防護體系范文第4篇
關鍵詞:網絡安全;安全監控;網絡維護
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01
Research and Application about Monitoring and Maintaining of Network Security
Xia Qing
(Jiangsu Yancheng Product Quality Supervise Inspection Institute,Yancheng224005,China)
Abstract:This thesis had studied the Internet network security monitoring and maintenance of technology,from network security,content unless,according to the principles of network security monitoring,network security system design,and detail the use of firewalls and network intrusion detection technology,the establishment of joint monitoring and maintenance of network security system within the network and the Internet to complete the interaction between the security monitoring.
Keywords:Network security;Security monitoring;Network maintenance
一、網絡安全概述
信息時代,計算機網絡技術的發展和應用對人類生活方式的影響越來越大,Internet/Intranet技術廣泛應用于社會的各個領域,基于計算機網絡的安全問題己經成為非常嚴重的問題。確保網絡安全己經是一件刻不容緩的大事,解決網絡安全課題具有十分重要的理論意義和現實背景。本文針對網絡安全監控與維護的需求,進行了深入的研究與開發,按照建立的網絡安全應該是動態防護體系,是動態加靜態的防御,提出了一個全方位、各個層次、多種防御手段的網絡安全實現模型,構建了網絡監控和維護的安全系統體系結構。
二、網絡監控原理
網絡安全監控系統能夠分級建立監控系統和網絡數據庫,首先,需要使得網絡內部的各級監控系統,對所管轄的網絡區域內的計算機進行有效的監控,阻斷“一機兩用”的行為和想象;其次,要對轄區的下級監控系統的工作狀態進行監控,能夠對計算機之間的病毒入侵源進行分析和定位;同時還需要對網絡區域內的設備和個人計算機進行數據的管理、統計和數據登記,全面地進行網絡安全監控和維護。
三、網絡安全監控措施
(一)防火墻設置
在Internet與內網之間安裝防火墻,形成內外網之間的安全屏障[3]。其中WWW、MAIL、FTP、DNS對外服務器連接在安全,與內、外網間進行隔離。通過Internet進來的公眾用戶只能訪問到對外公開的一些服務,既保護內網資源不被外部非授權用戶非法訪問或破壞。
(二)入侵檢測系統配置
分布式入侵檢測系統一般采用分布監視、集中管理的結構,在每個網段里放置基于網絡的入侵檢測引擎,同時對于重要的服務器,例如MAIL服務器、WEB服務器放置基于主機的入侵檢測引擎。再通過遠程管理功能在一臺管理站點上實現統一的管理和監控。
分布式入侵檢測系統的總體結構系統由三個主要組件組成:主管傳感器、邊界傳感器、中央控制臺[5]。這三層結構中的任一個結點均可對攻擊以不同的方式進行響應。分布式入侵檢測系統支持不同的鏈路,如TCP專用鏈路和TCP加密鏈路。主管傳感器由控制臺決定上報信息的存儲、顯示、管理,將匯總信息報告給控制臺。邊界傳感器每個組有一個主管傳感器,負責信息的收集、精簡。如果網絡連接通過公用網,則使用加密鏈路。
四、網絡監控與維護應用
典型的網絡安全監控應用,如VRV(Virus Removed Victory成功清除病毒)[6]網絡防病毒體系,為網絡每個層面提供防病毒保護,通過對病毒在網絡中存儲、傳播、感染的各種方式和途徑進行分析,提供桌面應用、服務器系統、郵件系統、群件服務器、Internet網關級別的全面防毒保護。這種全方位、多層次的防毒系統配置,能使政府、企業網絡免遭所有病毒的入侵和危害。
基于局域網、廣域網多級管理:網絡終端殺毒-局域網集中監控-廣域網總部管理,在局域網中用VRV各防毒組件構架本地網防毒系統的基礎上構建廣域網總部控制系統:(1)監控本地、遠程異地局域網病毒防御情況;(2)統計分析廣域網病毒爆發種類、發生頻度、易發生源等信息;(3)病毒信息匯總,進行病毒安全風險評估;(4)整體網絡統一策略、統一升級、統一控制。
主動式病毒防護機制:企業安全防護策略是針對網絡內部安全推出的最新解決方案。不用等到病毒碼更新,就能主動防御。透過VRV防病毒管理中心管理整個病毒爆發周期。讓企業在面臨病毒爆發的威脅時,通過VRVAMC主動獲得完整防毒策略,有效降低因為病毒疫情帶來的人力損失及成本。防毒系統本身更能自動識別未知病毒,通過對文件和網絡流量異常監視,提出報警。
五、結束語
本文通過分析了網絡安全的現狀與概況,提出建立網絡安全監控與維護體系的重要性,在此基礎上,利用網絡安全監控和管理手段,首先建立的網絡的防火墻配置,在防火墻配置的基礎上,配置了網絡入侵檢測系統,利用這兩項配置,完成網絡內部與Internet之間的交互安全監控。論文最后分析了一個實際的VRV網絡安全監控與維護系統,通過該系統的配置與應用,說明網絡安全監控技術的具體實施,對網絡安全具有一定研究價值。
參考文獻:
[1]張杰.因特網安全及其防范措施[J].信息安全技術,2002,3:20-23
網絡安全技術防護體系范文第5篇
【關鍵詞】網絡;安全;方案
【中圖分類號】G412.65 【文章標識碼】B 【文章編號】1326-3587(2012)11-0091-02
一、前言
近來,隨著信息化的發展和普及,危害網絡安全的事情時常發生。例如,越權訪問、病毒泛濫、網上隨意信息,甚至發表不良言論。這些問題需要我們引起足夠的重視,規劃并建設一個方便、高效、安全、可控的信息系統成為當前系統建設的重要工作。
信息系統安全建設項目,應該嚴格按照網絡和信息安全工程學的理論來實施;嚴格按照信息安全工程的規律辦事,做到“安全規劃前瞻、行業需求明確、技術手段先進、工程實施規范、管理措施得力、系統效率明顯”,因此,將按照信息安全工程學的理論指導實施用戶信息網絡系統安全項目的建設,從政策法規、組織體系、技術標準、體系架構、管理流程等方面入手,按照科學規律與方法論,從理論到實踐、從文檔到工程實施等方面,著手進行研究、開發與實施。
信息系統安全建設是一項需要進行長期投入、綜合研究、從整體上進行運籌的工程。該工程學主要從下列幾個方面入手來構造系統安全:
1、對整個信息系統進行全面的風險分析與評估,充分了解安全現狀;
2、根據評估分析報告,結合國家及行業標準,進行安全需求分析;
3、根據需求分析結果,制定統一的安全系統建設策略及解決方案;
4、根據解決方案選擇相應的產品、技術及服務商,實施安全建設工程;
5、在安全建設工程實施后期,還要進行嚴格的稽核與檢查。
二、安全系統設計要點
有些用戶對網絡安全的認識存在一些誤區:認為網絡運行正常,業務可以正常使用,就認為網絡是安全的,是可以一直使用的;網絡安全幾乎全部依賴于所安裝的防火墻系統和防病毒軟件,認為只要安裝了這些設備,網絡就安全了;他們沒有認識到網絡安全是動態的、變化的,不可能僅靠單一安全產品就能實現。所以,我們必須從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案。
1、建設目標。
通過遼寧地區網絡及應用安全項目的建設目標來看,構建一個安全、高效的網絡及應用安全防護體系,充分保障業務系統穩定可靠地運行勢在必行。
2、設計思想。
一個專業的網絡及應用安全解決方案必須有包含對網絡及應用安全的整體理解。它包括理論模型和眾多項目案例實施的驗證。該方案模型應是參照國際、國內標準,集多年的研發成果及無數項目實施經驗提煉出來的,同時方案需要根據這個理論模型及眾多的專業經驗幫助客戶完善對其業務系統安全的認識,最終部署安全產品和實施安全服務以保證客戶系統的安全。
為什么要實施安全體系?
內因,也就是根本原因,是因為其信息有價值,網絡健康高效的運行需求迫切。客戶的信息資產值越來越大,信息越來越電子化、網絡化,越來越容易泄漏、篡改和丟失,為了保護信息資產不減值,網絡行為正常、穩定,必須要適當的保護,因此要有安全投入。
其次才是我們耳熟能詳的外因,如遭受攻擊。當前在網絡信息領域中,入侵的門檻已經越來越低(攻擊條件:簡單化;攻擊方式:工具化;攻擊形式:多樣化;攻擊后果:嚴重化;攻擊范圍:內部化;攻擊動機:目的化;攻擊人群:低齡化和低層次化),因此當入侵者采用技術方式攻擊,客戶必須采用安全技術防范。隨著我國安全技術的逐步深入研究,已經把各種抽象的安全技術通過具體的安全產品和安全服務體現了出來。
時間和空間是事物的兩個根本特性,即一經一緯構成了一個立體的整體概念,安全系統的設計也可以這么理解。
從時間角度部署安全系統,如圖一,基于時間的防御模型。
該模型的核心思想是從時間方面考慮,以入侵者成功入侵一個系統的完整步驟為主線,安全方案的設計處處與入侵者爭奪時間,趕在入侵者前面對所保護的系統進行安全處理。在入侵前,對入侵的每一個時間階段,即下一個入侵環節進行預防處理。也就是說,與入侵者賽跑,始終領先一步。
從空間角度部署安全系統,如圖二,基于空間的防御模型。
一個具體的網絡系統可以根據保護對象的重要程度(信息資產值的大小)及防護范圍,把整個保護對象從網絡空間角度劃分成若干層次,不同層次采用具有不同特點的安全技術,其突出的特點是對保護對象“層層設防、重點保護”。
一個基本的網絡系統按防護范圍可以分為邊界防護、區域防護、節點防護、核心防護四個層次。
邊界防護是指在一個系統的邊界設立一定的安全防護措施,具體到系統中邊界一般是兩個不同邏輯或物理的網絡之間,常見的邊界防護產品有防火墻等。
區域防護相較于邊界是一個更小的范圍,指在一個重要區域設立的安全防護措施,常見的區域防護產品有網絡入侵檢測系統等。
節點防護范圍更小,一般具體到一臺服務器或主機的防護措施,它主要是保護系統的健壯性,消除系統的漏洞,常見的節點防護產品主機監控與審計系統。
核心防護的作用范圍最小但最重要,它架構在其它網絡安全體系之上,能夠保障最核心的信息系統安全,常見的核心防護產品有身份認證系統、數據加密、數據備份系統等。
3、設計原則。
1) 實用性。
以實際業務系統需求為基礎,充分考慮未來幾年的發展需要來確定系統規模。以平臺化、系統化來構造安全防護體系,各安全功能模塊以組件方式擴展。
2) 標準化。
安全體系設計、部署符合國家 相關標準,各安全產品之間實現無縫連接,確實不能實現的必需采用其他技術手段予以解決,并與內部的網絡平臺兼容,使安全體系的設備能夠方便的接入到現有網絡系統中。
