網絡安全技術解決方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全技術解決方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全技術解決方案范文第1篇
Abstract: Computer network security technology refers to the network management and control and measures in technology for protecting the secret and complete data transmission. The computer network security includes two aspects, one is the physical security, and the other is logical security. Physical security refers to physical facilities was not damaged, and does not influence its security protection performance. Logic security refers to the information integrity, confidentiality and usability. According to the information system security theory knowledge and combining network security development, through analyzing the network security vulnerability of electric power enterprise, and then puts forward a series of relevant electric power enterprise network security safety risk, and guide the enterprise security risk demand. We can use the limited resources and equipment, establish and improve an effective, integral and multi-level power enterprise network security model.
Key words: network security technology;electric power enterprise network security;solutions
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)30-0175-02
0 引言
隨著社會科技的不斷發展,計算機網絡領域也在飛速發展,信息化社會時代即將到來。盡管網絡具有多層次、高效率、范圍廣等種種特點,但仍然存在著一些嚴重的問題,首當其沖的是網絡信息安全問題,本文也集中注意力來討論如何解決網絡信息安全問題。目前,計算機網絡的多聯性造成了信息能夠被多渠道的客戶端所接收,再加上一些企業在傳送信息時缺乏信息安全的防護意識,這也造成了網絡信息容易遭受一些非法黑客以及計算機病毒的侵害,因此,計算機網絡信息的安全性和保密性是目前所需要攻克的一大重要難題。計算機網絡的開放性造就了網絡信息安全隱患的存在,同時,我們在面對危機重重的計算機網絡,如何將信息安全、秘密地傳輸是擺在目前計算機網絡安全研究者們眼前的問題。據此,我們應針對企業的網絡結構體系來設計出一套適合的、先進的網絡安全防護方案,并搭配合適的網絡防護軟件,為電力企業營造一個安全的網絡空間。
1 電力企業網絡安全隱患分析
電力企業既可以從因特網中獲取重要信息,同時也能夠向因特網中發送信息,但由于因特網的開放性,信息的安全問題得不到保證,而根據公安部門的網絡調查來說,有將近半數的企業受到過網絡安全的侵害,而受到侵害的企業大部分都受到過病毒和黑客的攻擊,且受到了一定的損失。
根據上面的信息可以很明確的得出網絡安全防護的重要性,而影響計算機網絡安全的因素有很多種,其主要可以大致分成三種:一是人為無意中的失誤而導致出現安全危機;二是人為方面的惡意攻擊,也就是黑客襲擊;三是網絡軟件的漏洞。這三個方面的因素可以基本涵蓋網絡安全所受到的威脅行為并將之歸納如下:
1.1 病毒 病毒對于計算機來說就如同老鼠對于人類來說。“老鼠過街,人人喊打”,而病毒過街,人人避而趨之,它會破壞電腦中的數據以及計算機功能,且它對于硬件的傷害是十分大的,而且它還能夠進行自我復制,這也讓病毒的生存能力大大加強,由此可以得出其破壞性可見一斑。
1.2 人為防護意識 網絡入侵的目的是為了取得訪問的權限和儲存、讀寫的權限,以便其隨意的讀取修改計算機內的信息,并惡意地破壞整個系統,使其喪失服務的能力。而有一些程序被惡意捆綁了流氓軟件,當程序啟動時,與其捆綁的軟件也會被啟動,與此同時,許多安全缺口被捆綁軟件所打開,這也大大降低了入侵網絡的難度。除非用戶能夠禁止該程序的運行或者將相關軟件進行正確配置,否則安全問題永遠也解決不了。
1.3 應用系統與軟件的漏洞 網絡服務器和瀏覽器的編程原理都是應用了CGI程序,很多人在對CGI程序進行編程時只是對其進行適當的修改,并沒有徹底的修改,因此這也造成了一個問題,CGI程序的安全漏洞方面都大同小異,因此,每個操作系統以及網絡軟件都不可能十全十美的出現,其網絡安全仍然不能得到完全解決,一旦與網絡進行連接,就有可能會受到來自各方面的攻擊。
1.4 后門與木馬程序 后門是指軟件在出廠時為了以后修改方便而設置的一個非授權的訪問口令。后門的存在也使得計算機系統的潛在威脅大大增加。木馬程序也屬于一種特殊的后門程序,它受控于黑客,黑客可以對其進行遠程控制,一但木馬程序感染了電腦,黑客就可以利用木馬程序來控制電腦,并從電腦中竊取黑客想要的信息。
1.5 安全配置的正確設置 一些軟件需要人為進行調試配置,而如果一些軟件的配置不正確,那么其存在可以說形同虛設。有很多站點在防火墻的配置上將訪問權限設置的過大,其中可能存在的隱患會被一些惡意分子所濫用。而黑客正是其中的一員,他們通常是程序設計人員,因此他們對于程序的編程和操作都十分了解,一旦有一絲安全漏洞出現,黑客便能夠侵入其中,并對電腦造成嚴重的危害,可以說黑客的危害比電腦病毒的危害要大得多。
2 常用的網絡安全技術
2.1 殺毒軟件 殺毒軟件是我們最常用的軟件,全世界幾乎每臺電腦都裝有殺毒軟件,利用殺毒軟件來對網絡進行安全保護是最為普通常見的技術方案,它的安裝簡單、功能便捷使得其普遍被人們所使用,但殺毒軟件顧名思義是用來殺毒的,功能方面比較局限,一旦有商務方面的需要其功能就不能滿足商務需求了,但隨著網絡的發展,殺毒技術也不斷地提升,主流的殺毒軟件對于黑客程序和木馬的防護有著很好的保護作用。
2.2 防火墻 防火墻是與網絡連接間進行一種預定義的安全策略,對于內外網通信施行訪問控制的一種安全防護措施。防火墻從防護措施上來說可以分成兩種,一種是軟件防火墻,軟件防火墻是利用軟件來在內部形成一個防火墻,價格較為低廉,其功能比較少,僅僅是依靠自定的規則來限制非法用戶進行訪問;第二種是硬件防火墻,硬件防火墻通過硬件和軟件的結合來講內外部網絡進行隔離,其效果較好,但價格較高,難以普及。但防火墻并沒有想象中的那樣難以破解,擁有先進的技術仍然能夠破解或者繞過防火墻對內部數據進行訪問,因此想要保證網絡信息安全還必須采取其他的措施來避免信息被竊取或篡改,如:數據加密、入侵檢測和安全掃描等等措施。值得一提的是防火墻只能夠防護住來自外部的侵襲,而內部網絡的安全則無法保護,因此想要對電力企業內部網絡安全進行保護還需要對內部網絡的控制和保護來實現。
2.3 數據加密 數據加密技術可以與防火墻相互配合,它的出現意味著信息系統的保密性和安全性進一步得到提高,秘密數據被盜竊,偵聽和破壞的可能性大大降低。數據加密技術還衍生出文件加密和數字簽名技術。這兩種技術可以分為四種不同的作用,為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術這四種。數據傳輸加密主要針對數據在傳輸中的加密作用,主要可以分成線路加密和端口加密這兩種基本方法;數據儲存加密技術是在數據儲存時對其進行加密行為,使數據在儲存時不被竊取;數據完整性判別技術是在數據的傳輸、存取時所表現出來的一切行為的驗證,是否達到保密要求,通過對比所輸入的特征值是否與預先設定好的參數相符來實現數據的安全防護;數據加密在外所表現出來的應用主要為密鑰,密鑰管理技術是為了保證數據的使用效率。
數據加密技術是將在網絡中傳輸的數據進行加密從而保證其在網絡傳輸中的安全性,能夠在一定程度上防止機密信息的泄漏。同時,數據加密技術所應用的地方很廣泛,有信息鑒別、數字簽名和文件加密等技術,它能夠有效的阻止任何對信息安全能夠造成危害的行為。
2.4 入侵檢測技術 網絡入侵檢測技術是一種對網絡進行實時監控的技術,它能夠通過軟、硬件來對網絡中的數據進行實時地檢測,并將之與入侵數據庫進行比較,一旦其被判定為入侵行為,它能夠立即根據用戶所設定的參數來進行防護,如切斷網絡連接、過濾入侵數據包等等。因此,我們可以將入侵檢測技術當做是防火墻的堅強后盾,它能夠在不影響網絡性能的情況下對齊進行監聽,并對網絡提供實時保護,使得網絡的安全性能大大提升。
2.5 網絡安全掃描技術 網絡安全掃描技術是檢測網絡安全脆弱性的一項安全技術,它通過對網絡的掃描能夠及時的將網絡中的安全漏洞反映給網絡管理員,并客觀的評估網絡風險。利用網絡完全掃描技術能夠對局域網、互聯網、操作系統以及安全漏洞等進行服務,并且可以檢測出操作系統中存在的安全漏洞,同時還能夠檢測出計算機中是否被安裝了竊聽程序,以及防火墻可能存在的安全漏洞。
3 單利企業網絡安全解決方案
3.1 物理隔離 物理隔離指的是從物理上將網絡上的潛在威脅隔離掉。其主要表現為沒有連接、沒有包轉發等等。
3.2 網絡系統安全解決方案 網絡服務器的操作系統是一個比較重要的部分,網絡操作系統最重視的性能是穩定性和安全性。而網絡操作系統管理著計算機軟硬件資源,其充當著計算機與用戶間的橋梁作用。因此,我們一般可以采用以下設置來對網絡系統安全進行保障:
①將不必要的服務關閉。②為之制定一個嚴格的賬戶系統。③將賬戶權限科學分配,不能濫放權利。④對網絡系統進行嚴謹科學的安全配置。
3.3 入侵檢測方案 目前,電力企業網絡防護體系中,僅僅是配置了傳統的防火墻進行防護。但由于傳統防火墻的功能并不強大,再加上操作系統中可能存在的安全漏洞,這兩點為網絡信息安全帶來了很大的風險。根據對電力企業的詳細網絡應用分析,電力企業對外應用的服務器應當受到重點關注。并在這個區域置放入侵檢測系統,這樣可以與防火墻形成交叉防護,相得益彰。
3.4 安全管理解決方案 信息系統安全主要是針對日常防護工作,應當根據國家法律來建立健全日常安全措施和安全目標,并根據電力企業的實際安全要求來部署安全措施,并嚴格的實施貫徹下去。
4 結束語
“魔高一尺,道高一丈”。不管攻擊方式多么新奇,總有相應的安全措施的出現。而網絡安全是一個綜合的、交叉的科學領域,其對多學科的應用可以說是十分苛刻的,它更強調自主性和創新性。因此,網絡安全體系建設是一個長期的、艱苦的工程,且任何一個網絡安全方案都不可能解決所有的安全問題。電力企業的網絡安全問題要從技術實踐上、理論上、管理實踐上不斷地深化、加強。
參考文獻:
[1]杜勝男.淺析電力企業網絡安全組建方案[J].民營科技.2010(12).
網絡安全技術解決方案范文第2篇
[關鍵詞] 企業網絡信息安全信息保障
計算機網絡的多樣性、終端分布不均勻性和網絡的開放性、互連性使聯入網絡的計算機系統很容易受到黑客、惡意軟件和非法授權的入侵和攻擊,信息系統中的存儲數據暴露無遺,從而使用戶信息資源的安全和保密受到嚴重威脅。目前互聯網使用TCP/IP協議的設計原則,只實現簡單的互聯功能,所有復雜的數據處理都留給終端承擔,這是互聯網成功的因素,但它也暴露出數據在網上傳輸的機密性受到威脅,任何人都可以通過監聽的方法去獲得經過自己網絡傳輸的數據。在目前不斷發生互聯網安全事故的時候,對互聯網的安全狀況進行研究與分析已迫在眉睫。
一、 國外企業信息安全現狀
調查顯示,歐美等國在網絡安全建設投入的資金占網絡建設資金總額的10%左右,而日韓兩國則是8%。從國際范圍來看,美國等西方國家網絡基礎設施的建設比中國完善,網絡安全建設的起步時間也比中國早,因此發生的網絡攻擊、盜竊和犯罪問題也比國內嚴重,這也致使這些國家的企業對網絡安全問題有更加全面的認識和足夠的重視,但縱觀全世界范圍,企業的網絡安全建設步伐仍然跟不上企業發展步伐和安全危害的升級速度。
國外信息安全現狀具有兩個特點:
(1)各行業的企業越來越認識到IT安全的重要性,并且意識到安全的必要性,并且把它作為企業的一項重要工作之一。
(2)企業對于網絡安全的資金投入與網絡建設的資金投入按比例增長,而且各項指標均明顯高于國內水平。
二、 國內企業網絡信息安全現狀分析
2005年全國各行業受眾對網絡安全技術的應用狀況數據顯示,在各類網絡安全技術使用中,“防火墻”的使用率最高(占76.5%),其次為“防病毒軟件”的應用(占53.1%)。2005年較2004年相比加大了其他網絡安全技術的投入,“物理隔離”、“路由器ACL”等技術已經得到了應用。防火墻的使用比例較高主要是因為它價格比較便宜、易安裝,并可在線升級等特點。值得注意的是,2005年企事業單位對“使用用戶名和密碼登陸系統”、“業務網和互聯網進行物理隔離”等措施非常重視。其他防范措施的使用也比2004年都提高了一定的比例,對網絡安全和信息的保護意識也越來越高。生物識別技術、虛擬專用網絡及數字簽名證書的使用率較低,有相當一部分人不清楚這些技術,還需要一些時間才能得到市場的認可。
根據調查顯示,我國在網絡安全建設投入的資金還不到網絡建設資金總額的1%,大幅低于歐美和日韓等國。我國目前以中小型企業占多數,而中小型企業由于資金預算有限,基本上只注重有直接利益回報的投資項目,對于網絡安全這種看不到實在回饋的資金投入方式普遍表現出不積極態度。另外,企業經營者對于安全問題經常會抱有僥幸的心理,加上缺少專門的技術人員和專業指導,致使國內企業目前的網絡安全建設情況參差不齊,普遍處于不容樂觀的狀況。
三、 企業網絡信息系統安全對策分析
“三分技術,七分管理”是技術與管理策略在整個信息安全保障策略中各自重要性的體現,沒有完善的管理,技術就是再先進,也是無濟于事的。以往傳統的網絡安全解決方案是某一種信息安全產品的某一方面的應用方案,只能應對網絡中存在的某一方面的信息安全問題。中國企業網絡的信息安全建設中經常存在這樣一種不正常的現象,就是企業的整體安全意識普遍不強,信息安全措施單一,無法抵御綜合的安全攻擊。隨著上述網絡安全問題的日益突顯,國內網絡的安全需求也日益提高,這種單一的解決方案就成為了信息安全建設發展的瓶頸。因此應對企業網絡做到全方位的立體防護,立體化的解決方案才能真正解決企業網絡的安全問題,立體化是未來企業網絡安全解決方案的趨勢,而信息保障這一思想就是這一趨勢的體現。信息保障是最近幾年西方一些計算機科學及信息安全專家提出的與信息安全有關的新概念,也是信息安全領域一個最新的發展方向。
信息保障是信息安全發展的新階段,用保障(Assurance)來取代平時我們用的安全一詞,不僅僅是體現了信息安全理論發展到了一個新階段,更是信息安全理念的一種提升與轉變。人們開始認識到安全的概念已經不局限于信息的保護,人們需要的是對整個信息和信息系統的保護和防御,包括了對信息的保護、檢測、反應和恢復能力。為了保障信息安全,除了要進行信息的安全保護,還應該重視提高安全預警能力、系統的入侵檢測能力,系統的事件反應能力和系統遭到入侵引起破壞的快速恢復能力。區別于傳統的加密、身份認證、訪問控制、防火墻、安全路由等技術,信息保障強調信息系統整個生命周期的防御和恢復,同時安全問題的出現和解決方案也超越了純技術范疇。由此形成了包括預警、保護、檢測、反應和恢復五個環節的信息保障概念。
所以一個全方位的企業網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,增加了惡意攻擊的難度,并增加審核信息的數量,同時利用這些審核信息還可以跟蹤入侵者。
參考文獻:
[1]付正:安全――我們共同的責任[J].計算機世界,2006,(19)
[2]李理:解剖您身邊的安全[N].中國計算機報,2006-4-13
網絡安全技術解決方案范文第3篇
接連不斷的蠕蟲病毒使當前安全技術和措施的有效性再次受到質疑。盡管安全是世界上所有機構的頭等大事之一,安全攻擊事件的數量仍然是逐年攀升,造成的危害一次比一次大。在最近的數年中,大量的投資被用于阻擊安全事件的發生,但只有少數公司確保了它們網絡的安全。
特別值得一提的是,為了滿足用戶和業務的需求,時刻保持競爭優勢,企業不得不持續擴張網絡體系。然而,很多人可能不知道,網絡的每一次擴張,即便是一臺新計算機、一臺新服務器以及軟件應用平臺,都將給病毒、蠕蟲、黑客留下可乘之機,為企業網絡帶來額外的安全風險。同時,純病毒時代已經一去不復返,幾年前占據著新聞頭條的計算機病毒事件在今天看來已經不是什么新聞,取而代之的是破壞程度呈幾何增長的新型病毒。這種新型病毒被稱為混合型病毒,這種新病毒結合了傳統電子郵件病毒的破壞性和新型的基于網絡的能力,能夠快速尋找和發現整個企業網絡內存在的安全漏洞,并進行進一步的破壞,如拒絕服務攻擊,拖垮服務器,攻擊計算機或系統的薄弱環節。在這種混合型病毒時代,單一的依靠軟件安全防護已開始不能滿足客戶的需求。
網絡安全不只是軟件廠商的事
今年上半年,網絡安全軟件及服務廠商——趨勢科技與網絡業界領導廠商——思科系統公司在北京共同宣布簽署了為企業提供綜合性病毒和蠕蟲爆發防御解決方案的合作協議。該協議進一步擴展了雙方此前針對思科網絡準入控制(NAC)計劃建立的合作關系,并將實現思科網絡基礎設施及安全解決方案與趨勢科技防病毒技術、漏洞評估和病毒爆發防御能力的結合。
根據合作協議,思科首先將在思科IOS路由器、思科Catalyst交換機和思科安全設備中采用的思科入侵檢測系統(IDS)軟件中添加趨勢科技的網絡蠕蟲和病毒識別碼技術。此舉將為用戶提供高級的網絡病毒智能識別功能和附加的實時威脅防御層,以抵御各種已知和未知的網絡蠕蟲的攻擊。
“在抵御網絡蠕蟲、防止再感染、漏洞和系統破壞的過程中,用戶不斷遭受業務中斷的損失,這導致了對更成熟的威脅防御方案需求的增長。”趨勢科技創始人兼首席執行官張明正評論說,“傳統的方法已無法滿足雙方客戶的需求。”
“現在的網絡安全已不是單一的軟件防護,而是擴充到整個網絡的防治。”思科全球副總裁杜家濱在接受記者采訪時表示:“路由器和交換機應該是保護整個網絡安全的,如果它不安全,那它就不是路由器。從PC集成上來看,網絡設備應該能自我保護,甚至實現對整個網絡安全的保護。”
業界專家指出,防病毒與網絡基礎設施結合,甚至融入到網絡基礎架構中,這是網絡安全的發展潮流,趨勢科技和思科此次合作引領了這一變革,邁出了安全發展史上里程碑式的重要一步。
“軟”+“硬”=一步好棋
如果細細品味這次合作的話,我們不難發現這是雙方的一步好棋,兩家公司都需要此次合作。
作為網絡領域的全球領導者,思科一直致力于推動網絡安全的發展并獨具優勢。自防御網絡(Self-Defending Network,SDN)計劃是思科于今年3月推出的全新的安全計劃,它能大大提高網絡發現、預防和對抗安全威脅的能力。思科網絡準入控制(NAC)計劃則是SDN計劃的重要組成部分,它和思科的其他安全技術一起構成了SDN的全部內涵。
SDN是一個比較全面、系統的計劃,但是它缺乏有效的病毒防護功能。隨著網絡病毒的日見猖獗,該計劃防毒功能的欠缺日益凸顯。趨勢科技領先的防毒安全解決方案正是思科安全體系所亟需的。
趨勢科技作為網絡安全軟件及服務廠商,以卓越的前瞻和技術革新能力引領了從桌面防毒到網絡服務器和網關防毒的潮流。趨勢科技的主動防御的解決方案是防毒領域的一大創新,其核心是企業安全防護戰略(EPS)。EPS一反過去被動地以防毒軟件守護的方式,將主動預防和災后重建的兩大階段納入整個防衛計劃當中,并將企業安全防護策略延伸至網絡的各個層次。
“如果此次與思科合作的不是趨勢科技,我們恐怕連覺都睡不好。”張明正的戲言無不透露出趨勢科技對此次合作的迫切性和重要性。
更讓張明正高興的是,通過此次合作,趨勢科技大大擴充了渠道。“我們的渠道重疊性很小。”張明正表示。而此次“1+1<2”的低成本產品集成將使這次合作發揮更大的空間。
網絡安全路在何方?
如今,雖然業界有形形的安全解決方案,網絡安全的形勢卻不斷惡化。究其原因,主要是由于現在的網絡威脅形式越來越多,攻擊手段越來越復雜,呈現出綜合的多元化的特征。
網絡安全技術解決方案范文第4篇
關鍵詞:網絡層;安全問題;技術需求;解決方案
1 網絡層概述
物聯網是一種虛擬網絡與現實世界實時交互的新型系統,物聯網通過網絡層實現更加廣泛的互連功能。物聯網的網絡層主要用于把感知層收集到的信息安全可靠地傳輸到信息處理層,然后根據不同的應用需求進行信息處理,實現對客觀世界的有效感知及有效控制。其中連接終端感知網絡與服務器的橋梁便是各類承載網絡,物聯網的承載網絡包括核心網(NGN)、2G通信系統、3G通信系統和LTE/4G通信系統等移動通信網絡,以及WLAN、藍牙等無線接入系統。
2 網絡層面臨的安全問題
物聯網網絡層的安全威脅主要來自以下幾個方面:
⑴物聯網終端自身安全。隨著物聯網業務終端的日益智能化,物聯網應用更加豐富,同時也增加了終端感染病毒、木馬或惡意代碼所入侵的渠道。同時,網絡終端自身系統平臺缺乏完整性保護和驗證機制,平臺軟/硬件模塊容易被攻擊者篡改,一旦被竊取或篡改,其中存儲的私密信息將面臨泄漏的風險;⑵承載網絡信息傳輸安全。物聯網的承載網絡是一個多網絡疊加的開放性網絡,隨著網絡融合的加速及網絡結構的日益復雜,物聯網基于無線和有線鏈路進行數據傳輸面臨更大的威脅。攻擊者可隨意竊取、篡改或刪除鏈路上的數據,并偽裝成網絡實體截取業務數據及對網絡流量進行主動與被動的分析;⑶核心網絡安全。未來,全IP化的移動通信網絡和互聯網及下一代互聯網將是物聯網網絡層的核心載體。對于一個全IP化開放性網絡,將面臨傳統的DOS攻擊、DDOS攻擊、假冒攻擊等網絡安全威脅,且物聯網中業務節點數量將大大超過以往任何服務網絡,在大量數據傳輸時將使承載網絡堵塞,產生拒絕服務攻擊。
3 網絡層安全技術需求
3.1 網絡層安全特點
物聯網網絡安全區別于傳統的TCP/IP網絡具有以下特點。
⑴物聯網是在移動通信網絡和互聯網基礎上的延伸和擴展的網絡,但由于不同應用領域的物聯網具有不同的網絡安全和服務質量要求,使得它無法再復制互聯網成功的技術模式。針對物聯網不同應用領域的專用性,需客觀的設定物聯網的網絡安全機制,科學的設定網絡安全技術研究和開發的目標和內容;⑵物聯網的網絡層將面臨現有TCP/IP網絡的所有安全問題,還因為物聯網感知層所采集的數據格式多樣,來自各種各樣感知節點的數據是海量的并且是多源異構數據,帶來的網絡安全問題將更加復雜;⑶物聯網對于實時性、安全可信性、資源保證性等方面有很高的要求。如醫療衛生的物聯網必須要求具有很高的可靠性,保證不會因為由于物聯網的誤操作而威脅患者的生命;⑷物聯網需要嚴密的安全性和可控性,具有保護個人隱私、防御網絡攻擊的能力。
3.2 物聯網的網絡安全需求
物聯網的網絡層主要用于實現物聯網信息的雙向傳遞和控制。物聯網應用承載網絡主要以互聯網、移動通信及其它專用IP網絡為主,物聯網網絡層對安全的需求可以涵蓋以下幾個方面。
⑴業務數據在承載網絡中的傳輸安全。需要保證物聯網業務數據在承載網絡傳輸過程中數據內容不被泄漏、篡改及數據流量不被非法獲取;⑵承載網絡的安全防護。物聯網中需要解決如何對脆弱傳輸點或核心網絡設備的非法攻擊進行安全防護;⑶終端及異構網絡的鑒權認證。在網絡層,為物聯網終端提供輕量級鑒別認證和訪問控制,實現對物聯網終端接入認證、異構網絡互連的身份認證、鑒權管理等等是物聯網網絡層安全的核心需求之一;⑷異構網絡下終端安全接入。物聯網應用業務承載包括互聯網、移動通信網、WLAN網絡等多種類型的承載網絡,針對業務特征,對網絡接入技術和網絡架構都需要改進和優化,以滿足物聯網業務網絡安全應用需求;⑸物聯網應用網絡統一協議棧需求。物聯網需要一個統一的協議棧和相應的技術標準,以此杜絕通過篡改協議、協議漏洞等安全風險威脅網絡應用安全;⑹大規模終端分布式安全管控。物聯網應用終端的大規模部署,對網絡安全管控體系、安全管控與應用服務統一部署、安全檢測、應急聯動、安全審計等方面提出了新的安全需求。
4 網絡層安全解決方案
物聯網的網絡層解決方案應包括以下幾方面內容:
⑴構建物聯網與互聯網、移動通信網絡相融合的網絡安全體系結構,重點對網絡體系架構、網絡與信息安全、加密機制、密鑰管理體制、安全分級管理體制、節點間通信、網絡入侵檢測、路由尋址、組網及鑒權認證和安全管控等進行全面設計;⑵建設物聯網網絡安全統一防護平臺,完成對終端安全管控、安全授權、應用訪問控制、協同處理、終端態勢監控與分析等管理;⑶提高物聯網系統各應用層次之間的安全應用與保障措施,重點規劃異構網絡集成、功能集成、軟/硬件操作界面集成及智能控制、系統級軟件和安全中間件等技術應用;⑷建立全面的物聯網網絡安全接入與應用訪問控制機制,建立物聯網網絡安全接和應用訪問控制,滿足物聯網終端產品的多樣化網絡安全需求。
[參考文獻]
[1]溫蜜.無線傳感器網絡安全的關鍵技術[D].復旦大學,2007.
[2]胡萍.NGN組網的安全性與可靠性研究[D].北京郵電大學,2009.
[3]楊義先,鈕心忻.無線通信安全技術[M].北京郵電大學出版社,2005.
網絡安全技術解決方案范文第5篇
1.1安全架構方面
在有線交換設備上集成無線交換功能、IDS功能、防火墻功能等是目前廠商較為認可的模式,把安全業務卡插在機架式設備上,就可以實現無線安全業務與交換設備的高度縫合。而這些安全業務卡是電信級硬件平臺,可以輕松實現用戶網絡安全的深度防護。
1.2終端接入方面
在網絡應用的過程中,安全威脅是無處不在,尤其終端因其使用者維護水平參差不齊的原因更易成為網絡安全威脅的突出對象。比如補丁不及時更新、防病毒措施不到位、系統安全的錯誤配置等。為了實現全面的安全管理,需要對無線和有線終端的接入進行統一控制。較為成熟的有華三一體化終端接入方案EAD。其解決方案圖如2,華三的EAD解決方案支持的身份認證有L2TP、Portal、802.1X。其中L2TP是終端用戶通過互聯網接入用戶內部網的場景,該方式相對較少見。802.1X則是對接入層均為H3C交換機的場景適用。Portal是用于適應用戶網接入設備品牌較多不統一的場景,這種模式是最為常見。
1.3接入控制統一管理方面
由于早期的無線網絡與有線網絡是相對比較獨立的,網絡管理員需要兩套獨立的認證系統分別對無線和有線網絡進行認證管理,工作量大。對用戶而言需要記住兩套賬戶和密碼,不方便用戶使用。一體化認證系統既可以讓用戶認證共用802.1x、計費等服務,也可以實現無線網相關業務的策略控制。從而簡化管理,并降低維護成本。
2園區無線網絡安全解決方案
2.1統一的身份管理
本方案認證管理平臺提供了多種身份系統對接功能,可以與常見的基于LDAP的系統如CA、WindowsAD進行對接,也可以通過RadiusProxy功能與其他Radius服務器對接,可兼容80%以上的身份系統,賬號可以實現批量導入,較好的解決了統一身份的問題。是一個可兼容無線、有線、VPN的多平臺身份認證系統,采用這個平臺即可同時管理無線、有線和VPN的認證用戶,并且為每個用戶制定統一的網絡權限,無論用戶在公司外部或內部接入,都可以使用同一套賬號密碼,享受用戶所分配的網絡權限。
2.2計費管理
方案支持多種計費類型,提供后付、預付等計費業務,可按流量、時長等進行計費。計費類型達數十種之多,其中每種計費類型又可衍生出多種計費策略。可實現基礎計費管理、精細化計費管理以及用戶與賬戶分離的運營管理方式。(1)基礎計費管理:基礎計費策略由模板直接定義,可實現免費、包天、包月、流量、時長、有限流量、有限時長、國內外流量區分費率、國內包月國際流量預付/后付的計費策略。在此基礎之上定義包季度、包學期、包學年、或任意時間段的計費策略。(2)精細化計費管理:可定制不同區域、不同日期段、不同時間段、不同Vlan、不同接入設備類型、上網時長各區間、上網出/入流量各區間不同的計費策略,實現靈活、精細的計費。
2.3用戶、賬戶分離的運營管理方式
用戶與賬戶一對一、多對一、一對多、多對多的方式實現了用戶與賬戶的獨立管理,實現公共賬戶、私人賬號、多業務賬戶的科學管理。
