常見的網絡安全防護措施精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常見的網絡安全防護措施主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:常見的網絡安全防護措施范文
關鍵詞:網絡安全 問題 對策
1 什么是計算機網絡安全問題
國際標準化組織將計算機安全定義為:為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。完整性,即保證非授權操作不能修改數據。有效性,即保證非授權操作不能破壞信息或計算機數資源。網絡系統安全包括網絡安全和信息安全。那么網絡安全指基于網絡運作和網絡間的互聯互通造成的物理線路和連接的安全、網絡系統安全、操作系統安全、應用服務安全、人員管理安全等幾個方面。信息安全指數據的保密性、完整性、真實性、可用性、不可否認性及可控性等安全。
2 計算機網絡安全的現狀
網絡安全問題不容忽視,諸如有意或無意地修改或破壞系統,或者在非授權和不能監測的方式下對數據進行修改的數據完整性破壞行為;利用計算機信息系統的廣泛互聯性和匿名性,散步錯誤的信息以詆毀某個對象的形象和知名度的誹謗行為;以及在網絡系統中,讀取網上傳輸的數據,安裝通信監視器和讀取網上的信息等,不得不讓人們引起足夠重視。
2.1互聯網犯罪行為嚴重
互聯網進入人們生活的各個角落,人們很多事情都需要通過網絡來完成。正因為這樣,網絡犯罪也越來越普遍。人們利用網絡盜取別人的信息,對用戶的保密信息、財產等造成嚴重損失。
2.2用戶安全意識不強
對于互聯網用戶應該加強安全意識,所有用戶要有自身網絡保護意識,還要注意自身的網絡行為是否給他人造成危害意識,有時用戶的不經意行為就會造成其他用戶的安全威脅。
2.3黑客技術發展迅速
互聯網不斷發展,商業活動越來越多,現在出現的很多病毒都是帶有商業利益的,病毒的方式有木馬、蠕蟲、間諜程序等,導致網絡中的信息和數據被盜取。黑客之所以能給用戶數據帶來威脅,因為它能使病毒進行偽裝和隱藏,以致于一般的殺毒軟件無法檢查并查殺病毒。計算機網絡安全的防范對策網絡安全與網絡系統息息相關,要想確保計算機網絡能夠安全穩定運行,應從以下幾方面著手。
3 對計算機網絡安全問題采取的幾點防范措施
3.1管理安全對策
作為計算機安全運行的重中之重,管理問題尤為重要。人是操作計算機系統的主體,因此人為操作失誤也是影響網絡安全運行的主要因素之一。基于此,必須建立健全網絡管理機制,只有實現人為操作規范化管理,才能夠有效避免人為操作失誤安全隱患。此外,還應采取有效措施提高計算機管理人員的安全防護意識,并制定一套行之有效的網絡安全應急防護方案。
3.2計算機系統的安全對策
隨著網絡時代的到來,計算機信息技術也得到了飛速發展,不過隨之而來的是計算機病毒的傳播也呈現出多樣化趨勢,要想確保計算機網絡運行的安全可靠性,不僅僅要進一步提升廣大計算機用戶的安全防護意識,更為重要的是加大對計算機病毒的防護力度。常見的計算機系統安全防護手段主要有以下幾方面:計算機用戶不要隨意打開或進入具有欺騙性的郵件或網站;加強對計算機病毒防護知識的學習,及時發現并解決計算機異常問題,以便有效預防計算機病毒攻擊,確保計算機系統安全穩定運行。另外,對于一旦遭受病毒攻擊就會造成巨大經濟損失或其它損失的網絡用戶而言,應及時做好系統備份工作。
3.3計算機實體的物理防護對策
計算機物理安全很容易被人們所忽視,事實上,包括計算機硬件以及通信線路等在內的一些實體設備的安全防護也會對計算機系統安全運行產生直接影響,如果這些實體設備出現不同程度的故障,很可能會導致網絡安全隱患。為有效預防雷電和強電對網絡系統的干擾,技術人員往往通過增設避雷設備解決該問題,并利用電磁屏蔽技術有效避免電磁泄漏現象的出現,與此同時,還應做好對計算機設備的日常維護工作,確保防火、防震、防靜電以及防塵等措施全部落實到位,為計算機系統安全可靠運行提供有力保障。
3.4網絡控制對策
加強對網絡的有效控制是確保網絡安全的主要手段。(1)對網絡設置訪問權限。為有效解決因人為非法操作所造成的網絡安全隱患問題,應對網絡設置訪問權限。加強入網控制是目前較為常見的網絡控制手段,例如用戶實名制登錄、身份驗證、口令驗證等等。另外,還應對用戶以及用戶組的訪問權限進行合理設置。(2)加強網絡防火墻的控制。防火墻技術是保障網絡安全的重要技術手段。該技術主要是通過對內網和外網進行有效隔離,并對這兩個網絡通信時的訪問尺度進行有效控制來確保網絡安全。過濾防火墻和防火墻是當前常見的防火墻技術:①過濾防火墻:利用路由器來阻擋外網對內網的非法入侵是過濾防火墻的主要作用。②防火墻:服務器技術是防火墻的最核心技術,服務器會對外部網絡向內網發送的數據和請求進行過濾,只有符合過濾規則的數據才會被傳遞至真實的服務器,這樣能夠有效預防非法數據的傳輸。雖然防火墻技術能夠進一步增強網絡的安全可靠性,但該技術也無法確保網絡的絕對安全,其自身也會面臨被計算機病毒入侵的安全隱患,基于此,我們應將防火墻技術與其它安全防護技術有機結合在一起,從而使計算機網絡安全得到進一步提升。
4 結語
據相關機構調查結果表明,未對自己網絡制定專門的安全防護對策,僅僅通過較為簡單的安全防護手段來確保網絡安全的企業比例高達 55%,并且這些簡單的安全防護措施之間很容易出現相互矛盾或相互重疊等方面問題,這樣既導致網絡的服務性能大打折扣,又無法確保網絡安全可靠運行,因此,我們應加大網絡安全管理力度,提高網絡管理人員的安全意識,并加強網絡安全技術的研發與應用,只有如此才能確保計算機網絡安全可靠運行。
參考文獻
[1]楊國文.網絡病毒防治技術在計算機管理中的應用[J].網絡安全技術與應用,2011(9)
第2篇:常見的網絡安全防護措施范文
本文將在分析計算機網絡安全隱患的基礎上對如何做好港口碼頭區的網絡安全防護進行分析闡述,并在此基礎上提出了一些解決的措施以確保港口碼頭區網絡安全、可靠的運行。
隨著科學技術的發展以及計算機應用的普及,網絡安全已經成為了廣大群眾關心的重點問題,隨著各種網絡安全問題頻繁曝出使得計算機網絡安全的形勢更為嚴峻。做好港口碼頭區的網絡安全防護對于保護港口碼頭的信息安全與促進港口碼頭的經濟快速發展有著十分重要的意義。
1 計算機網絡安全簡述
隨著經濟以及科學技術的快速發展,信息化已經成為了推動社會發展的重要推動力,網絡已經深入了居民生產、生活的方方面面。計算機網絡安全從廣義上說是要確保計算機用戶的個人信息不泄露,從狹義上講是指要在確保計算機系統正常運行的前提下,對計算機系統中的數據和計算機的軟、硬件加以保護,從而使其在任何情況下免遭任何形式的的泄露、更改和破壞。
因此,計算機用戶的利益與計算機網絡本身的安全密切相關,保護好計算機網絡安全就是保護好計算機用戶的切身利益。為做好計算機的網絡安全防護,可以從三個方面入手:(1)加強對于接入端的控制,這主要是針對計算機網絡的進入權限進行設定和控制,對不具有相應權限的用戶禁止接入,在接入端控制的過程中主要采用的是加密技術來用于接入控制系統的設計。
(2)安全協議,安全協議主要了為了確保通信協議的安全,但是一個安全通信協議的設計極為復雜,為了確保網絡通信的的安全,一般采取的是找漏洞分析法、經驗分析法和形式化法相結合的方式。(3)增加網絡安全信息的保密性,計算機網絡安全核心目的就是為了向用戶提供安全可靠的保密通訊,因此,需要加強計算機網絡用戶的保密信息的確認,增強其保密性,從而加強計算機網絡信息安全。
2 計算機網絡安全所面臨的威脅
現今,隨著計算機網絡覆蓋的范圍與人群越來越廣,所面臨的網絡安全環境也越來越復雜,從而使得計算機網絡安全面臨著極大的不安全性。在對計算機網絡安全威脅進行分析的基礎上發現,造成計算機網絡安全問題的原因除了人為因素外,最大的安全威脅來自于計算機系統本身所具有的漏洞。
總體來說,對計算機網絡安全造成安全隱患的因素主要集中在以下幾個方面:(1)計算機網絡安全問題最大的威脅來自于計算機系統本身所具有的漏洞,現今所使用的系統由于受到科學技術發展水平的限制,并不存在一種絕對完美的計算機網絡系統,同時由于廣大用戶缺乏專業的知識,使得計算機網絡系統中的漏洞何難被用戶察覺和修補,從而為計算機網絡信息安全埋下了極大的安全隱患。同時,在同步和文件處理方面,計算機系統程序由于自身所存在的缺陷,使得其在應對網絡攻擊以及網絡安全威脅時常常顯得力不從心,攻擊者可以在計算機信息處理的過程中在計算機外部展開入侵,并利用這些機會干擾到計算機程序的正常進行。
其次,計算機外部的網絡安全環境日益惡化,其來自于外部網絡的安全威脅時刻影響著計算機的信息安全,近些年來,由于計算機入侵而導致的信息泄露事件日益頻發,前一段事件所曝光的油箱用戶信息大規模泄露事件所引發的一系列網絡安全問題為我們敲響了警鐘。
在計算機網絡安全的威脅中,來自于系統外部的問題是除了計算機系統本身這一安全漏洞外所面臨的另一安全威脅.總的來說,計算機系統外部的網絡安全威脅主要來自于三個方面:(1)各種間諜軟件的威脅,此種軟件是由黑客設計出來的專門竊取存儲于計算機網絡系統中的各種數據信息的軟件,其具有極強的攻擊性,這些間諜軟件甚至于還能夠隱蔽與系統中對用戶在上網時的數據進行監視,從而達到竊取用戶信息的目的。
同時間諜軟件潛藏在計算機網絡系統中還會對計算機的性能造成嚴重的影響。(2)計算機病毒所造成的威脅,計算機病毒是長期存在于網絡中的一種毒瘤,與間諜軟件一樣成為困擾計算機網絡系統發展的難題。相較于間諜軟件等,計算機病毒對計算機網絡所造成的安全威脅更為突出、也更大。計算機病毒具有傳播速度快、范圍廣、危害大等的特點,其直接攻擊計算機系統,造成計算機系統的損壞,使得計算機用戶的信息與資料等丟失,嚴重的甚至會造成計算機硬件發生不可逆轉的損壞,浪費計算機用戶的時間與金錢。
(3)網絡黑客對計算機網絡所造成的安全威脅,計算機黑客都是一些具有較為扎實功底的計算機網絡知識的人,其為了某種目的(竊取、窺視等)使用自身的計算機知識來肆意攻擊普通用戶的計算機進行信息的竊取或是破壞,這些黑客由于在暗中進行,缺少監管使得其行為肆意妄為,而一般的普通用戶由于缺乏專業的計算機知識無法對這種攻擊進行有效的防護。找到用戶計算機系統中的漏洞并發動攻擊獲取相應的權限或信息是網絡黑客鍥而不舍的目標,也是最難防御的一種網絡安全威脅。
計算機網絡所面臨的威脅是多方面的,而計算機網絡系統管理制度的缺陷也會使得計算機網絡系統面臨巨大的網絡安全威脅,計算機網絡系統的管理所帶來的威脅主要集中在以下幾個方面:(1)管理人員疏忽大意或是由于自身計算機網絡知識的不足,從而使得計算機網絡系統存在漏洞,使用戶的信息泄露從而造成的損失。
(2)此外就是個別的工作人員疏忽大意或是主觀行為而造成的用戶信息的泄露,個別的計算機網絡管理人員為了獲取不法利益而私自出售計算機網絡用戶的個人信息,這種行為在現今的社會是較為常見的。其主要做法是將保密系統資料和文件提供給第三方或是故意泄露計算機網絡信息系統中數據庫的重要數據等。以上這兩種行為都被歸結為管理上的漏洞或是疏忽,這些都會對計算機網絡造成巨大的安全威脅,同時由此所引發的計算機網絡安全維護是不可估量的。3 做好計算機網絡安全防護的措施
3.1 計算機網絡安全防護的原則
計算機網絡安全是十分重要的,尤其是計算機網絡日益發達的今天,大量的數據被存儲在用戶的計算機中,一旦丟失或是損壞將會面臨嚴重的后果。因此,做好計算機網絡的安全與防護刻不容緩。同時在做好計算機網絡安全防護時要按照以下的原則進行:(1)加強信息的高密級防范原則,在對多密級信息進行處理時,很多的計算機網絡安全信息系統都必須嚴格遵循相應的防護原則,做好計算機網絡信息的加密,必要時應當將計算機網絡信息提升至最高級以應對日益復雜的計算機網絡安全威脅。
(2)安全適度原則,現今對于計算機網絡安全威脅最大的是黑客的入侵對計算機網絡所造成的影響。在計算機網絡的安全防護中絕對安全的網絡是不存在的,現今所采取的計算機網絡安全防護歸根結底都只是針對具體某一方面的安全威脅進行防護,為進一步做好網絡安全防護,需要分析不同網絡安全威脅的特點,實事求是因地制宜的做好防護措施,做好計算機網絡安全防護。(3)授權最小化原則,對于重要的計算機進行物理隔離。
3.2 應對計算機網絡安全威脅的措施
應對計算機網絡安全威脅最主要的是做好技術防護,提高計算機網絡信息技術需要從入侵檢測技術、防病毒技術、計算機防火墻的開發和計算機漏洞的修補等多方面進行,在此基礎上還需要定期及時的更新計算機中的各種軟件和硬件設施,將計算機網絡安全防護技術做到最好,不斷的提高計算機網絡的安全防護性能。在用戶授權訪問控制和數據加密技術上,不斷探索研究新的技術,通過技術的不斷升級完善使得計算機網絡用戶的安全防護更為牢固、可靠,從而從基礎端堵死網絡安全威脅。
在最好技術防護的同時還需要加強對于計算機網絡使用人員的管理,即使是在技術層面最為安全的計算機網絡系統僅僅依靠技術防護也是無法應對全部的威脅,做好計算機網絡安全管理制度的建設,嚴控一些非法行為對于計算機網絡安全防護的威脅,通過建立起安全管理制度與技術的全方位防護,多方協作共同實現對于計算機網絡安全的防護。
結語
現今,計算機網絡應用得越來越廣泛,其在為人們帶來便利的同時,也面臨著巨大的安全威脅,做好計算機網絡安全威脅的分析與防護對于保證計算機網絡用戶的信息安全有著十分重要的意義,本文在分析計算機網絡所面臨的安全威脅的基礎上對如何做好計算機網絡的安全防護進行了分析闡述。
第3篇:常見的網絡安全防護措施范文
一、企業計算機網絡信息安全影響因素
(一)網絡系統自身存在的缺陷
網絡信息技術具有開放性、共享性特點,但是也正是因為其廣泛的開放性和共享性,導致在系統運行的過程中存在較多的安全隱患,容易使計算機遭受攻擊。另外再加上計算機信息網絡所依賴的IP協議本身就存在安全性能低的問題,在工作過程中運行此協議的網絡系統存在欺騙攻擊、數據篡改以及拒絕服務等威脅,導致系統存在較大的安全問題[1]。
(二)病毒侵害威脅
在計算機迅速發展的同時也存在較大的安全威脅,計算機病毒是網絡安全威脅形式之一。病毒侵害比其他網絡安全威脅具有更加鮮明的特點。比如病毒侵害具有不可預見性、繁殖快、傳染力強等特點,這些特點也給計算機病毒防護帶來很大的困難。企業在發展過程中面臨的病毒威脅類型比較多,主要威脅有3種:木馬病毒、蠕蟲病毒與黑客程序等。木馬病毒是計算機網絡系統中一種比較常見的病毒侵害形式,用戶在使用網絡的過程中如果不小心激活木馬病毒,病毒會在很短的時間內傳播、復制,危害計算機系統和用戶信息,對計算機程序有較大的危害;而蠕蟲病毒的傳播方式主要是在郵件發送過程中感染和復制;黑客病毒對計算機的侵害主要是通過攻擊他人的電腦。
(三)惡意攻擊
惡意攻擊的主要方式是以不同的方式選擇性的對計算機系統產生攻擊,惡意攻擊的主要方式有主動攻擊和被動攻擊。其中主動攻擊是指主動破壞計算機網絡信息有效性和合理性;而被動攻擊是在不影響計算機正常運行的情況下進行信息的截取和攔截。這兩種形式的攻擊均對計算機網絡系統有較大的傷害,容易導致網絡信息和數據的泄露,同時網絡軟件漏洞也給網絡黑客提供侵入渠道,導致信息網絡不能正常運行,給企業造成較大的經濟損失。
二、企業計算機網絡信息的有效安全防護技術
(一)加強計算機系統的安全防護體系
企業在工作過程中要做好計算機安全防護,不斷完善安全防護體系,提高網絡運行安全。完善計算機安全防護體系主要包含完善計算機查毒軟件、防火墻及網關等。主要是因為計算機病毒及其它損害形式雖然對計算機的危害性比較大,但是這些病毒和危害能夠通過一定的形式進行預防和控制,比如通過殺毒軟件的安全和防火墻的建立能夠實施防護計算機外部侵害,平時對這些系統進行實時更新處理,能夠有效控制計算機網絡病毒侵害,提高計算機系統的安全性能。
(二)加強病毒檢測技術的研發
計算機病毒和其他系統侵害形式均對計算機系統具有較大的侵害,企業計算機系統的安全防護應該做好病毒檢測處理,通常根據一定的判斷方式做好計算機病毒侵害的判斷,病毒的判斷依據是:如果計算機出現不明原因的自動重啟、桌面圖標變化、計算機在運行過程中出現不明死機現象、系統運行中出現內存不足提示等等,出現上述描述的一種或多種,均表示計算機系統中存在病毒程序,提示需要做病毒查殺工作。
(三)計算機殺毒軟件的安裝與應用
計算機病毒對計算機系統的危害性很大,企業計算機要安裝專業的殺毒軟件,殺毒軟件安裝后能夠對計算機進行自動定時查毒和殺毒處理,這種殺毒軟件對于潛藏在計算機內部的病毒有很大的殺傷力度,能夠起到預防計算機病毒復制的作用。用戶在使用殺毒軟件的過程中要注意殺毒軟件的實時更新工作,以便查毒過程中不會遺漏新型病毒,確保計算機系統的安全運行。
(四)加強用戶賬號安全
隨機計算機網絡信息技術的發展,越來越多的網絡軟件設計用戶賬號,而用戶賬號涉及面比較廣,它包含電子賬號、系統登錄名以及網上銀行賬號等。在網絡信息系統中獲得合法的系統登錄名和破解密碼是網絡系統中最主要的方法。所以在網絡系統中為了減少網絡安全問題,提高賬戶安全,首先用戶可以盡可能的將系統用戶登錄賬號設置的復雜一些,其次盡量不要在同一個網絡中設置相同或相似的賬號,賬號的設置一般要有字母和數字混合應用,而且賬號密碼的設置盡可能長,并定期更換密碼,以便最大程度的保障網絡系統的安全。
(五)數據加密技術的應用
在計算機網絡系統中數據加密技術是最主要的安全防護技術形式之一,這種技術主要是通過網絡傳輸的信息進行數據加密,從而有效保障系統的安全性。加密技術是對網絡上傳輸數據的訪問權加強限制的一種技術類型。在數據加密中原始數據和密鑰加密所產生的經過編碼的數據一般被稱為密文。加密的反向處理是解碼,這個過程主要是將密文還原為原始明文,再此過程中解密者必須利用相應的加密設備對密文實施解密處理。這樣就能夠加大解密的難度,從而加強了網絡信息安全。
三、結語
第4篇:常見的網絡安全防護措施范文
[關鍵詞]電力信息網絡;安全防護;安全隔離技術;應用分析
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1009-914X(2016)19-0399-01
前言
電力資源是我國目前應用最為頻繁的資源,其作用意義重大已然得到了舉國重視,作為我國的重點行業,電力企業要想不斷做好自己的本職工作,并在此基礎上繼續提高發展,就要順應時代的變化作出適當的改革轉變,科學技術水平的提高將網絡信息化的普遍程度推廣到了各行各業,電力系統也不例外,網絡信息化極大地改善了電力系統工作的狀態,提高了供電服務的質量,加快了供電服務的效率。為此具有十分重要深遠的意義。但是,電力信息網絡也存在著一些安全上的問題,所謂安全大過天,安全一直是電力企業放在首位的工作重點,電力資源的特殊性決定了其具有一定的危險系數,因此,要保障居民用電安全不受影響,就必須加強電力信息網絡的安全管理,合理利用安全隔離技術,積極做好安全防護工作。
1.電力信息網絡的安全隱患
1.1 結構復雜
電力信息網絡的工作十分繁雜,為此涉及到大量的數據信息,而每一個數據信息的運算背后后關系到電力信息系統的業務工作,如果這些數據受到外界的攻擊,發生了絲毫差錯的話,就會危及影響到整個電力系統的發展。
1.2 缺少防護
電力信息網絡安全問題直接關系到我國電力企業的發展前景,可以說在電力系統中占有著舉足輕重的地位,然而,與其重要性十分不相匹配的是,我國電力信息網絡缺少足夠的防護措施,始終處于一種暴露狀態,一旦有不法分子侵入信息網,將會控制到電力系統的數據,給電力系統工作帶來損害。
1.3 認知不足
我國電力系統的很多業務人員工作年限都非常長,不缺乏實際工作的經驗,但是由于年齡增加,對于新事物的接受能力越來越弱,對于先進科學技術與科學設備的應用能力較差,且缺乏對其重要性的認知,因此其技術水平仍然止步不前。在工作上難以得心應手,而且沒有良好的、積極的工作態度。
2. 網絡安全隔離技術的概述
網絡隔離技術所利用的原理是,將兩個,或者兩個以上的計算機或網絡,處于一種斷開連接的狀態,即使如此,仍然能夠實現信息交換與資源共享。那就意味著,一旦將安全隔離技術應用在電力信息網絡時,就對電力信息網絡實行了物理隔離,讓其既能在安全的環境下繼續工作,又能保障不受網絡穩定性的影響,提高信息交換與資源共享的效率。保證了數據的準確性,也就保障了電力系統服務工作的質量。目前我國網絡安全防護工作主要還是采用病毒軟件、防火墻等工具方式進行,防病毒軟件的應用是安全防護的最常用措施,針對性很強,但是需要不斷更新。相比而言,安全隔離技術是具有很大優勢的,如何將安全隔離技術優勢發揮到最大,就要在實際應用中保證技術的合理與達標。
3. 安全隔離技術在電力信息網絡安全防護工作中的應用分析
3.1 通用網閘類技術
通用網閘類技術指的是利用兩個完全獨立的計算機來處理系統兩端連接的不同安全等級的網絡,這樣的話,在兩套完全不一樣的系統中,進行數據的交換往來,就能夠確保內網、外網都做到同步隔離。通過對http協議進行數據分析,來實現數據訪問安全的控制。
3.2 雙網隔離技術
“網閘類技術的安全強度能夠滿足信息網隔離要求,但這種技術適合于各個業務系統分別布置在不同的分級區域中,而且這種裝置還無法對數據庫專用通信協議進行解析和強過濾,不能滿足現有電力信息內外雙網隔離的架構與需求。”[1]與網閘類技術相比,雙網隔離技術在應用強度上要更勝一籌,將電力信息系統中不同業務信息進行分類處理,采取內外雙網方式進行隔離,信息外網與因特網采用防火墻相連,安全防御的等級較低,容易受到病毒等因素的危害,但是外網與內網之間不存在網絡關系,所以內網的安全防護等級非常高,適宜存儲電力系統中各業務的重要數據。
3.3 其它常見安全隔離技術
除了上述兩種隔離技術,數據庫審計類技術和隔離類技術也較為常見,審計類技術主要是指對一般數據庫服務器上的作出監測,采用基于協議解析的技術路線對數據庫日志進行旁路分析與記錄。
結論
“目前我國電力企業信息系統安全事故頻發”[2],這充分說明我國在電力信息網絡化的工作中做的仍不到位,電力事業直接影響著我國經濟水平的提升發展,關系到人民日常生活的用電安全,因此“電力企業需要高度重視信息網絡安全”[3]工作,針對目前出現的問題,做好切實有效的防護,利用安全隔離技術讓信息化系統變得更加高校安全,為用戶提供放心滿意的供電服務。
參考文獻
[1] 陳悅.探討電力信息網絡安全防護中的安全隔離技術應用[J].大科技,2012(04):68-69.
[2] 張敏.電力企業信息系統安全防護措施探討[J].計算機光盤軟件與應用,2013(04):175-176.
[3] 任春雷.電力信息網絡安全防護及措施研究[J].商品與質量,2016(05).
作者簡介:
1孫川,男,河南鶴壁浚縣,1984年8月生,大學本科,國網河南浚縣供電公司職工,工程師,主要從事電力信息,網絡與安全等方面的工作。
第5篇:常見的網絡安全防護措施范文
1計算機網絡安全的內涵
木文所提到的計算機網絡安全實際是指計算機在信息交流與文件傳輸中的安全性問題,主要包括了計算機的軟件系統保護、硬件系統保護以及網絡信息交流運行的安全性與可靠性。實行計算機網絡安全的木質目的在于抗擊網絡上的第三者竊取重要或者是其它的網絡交流信息,有效地提供一個合理、公平、環境安全的信息交流平臺。另外,計算機網絡安全包含著計算機技術以及計算機管理兩方面內容。計算機網絡安全的有效應用,不僅僅合理有效地保障了信息技術的在網絡平臺的安全性,還給日常生活中的居民提供了一個良好的計算機安全網絡平臺,為廣大企業與市民做出了應有的貢獻。
2計算機網絡安全隱患及網絡安全的特點
當今社會計算機網絡安全存在的隱患大多數是一些網絡病毒包、木馬、計算機蠕蟲等計算機常見問題;再加上一些不道德的網絡黑客很有可能會進行一些惡性攻擊以及惡意的非法操作,更是加重了現今計算機網絡的不安全性。由于一些好奇心比較強的用戶’在強烈好奇心驅使下’錯誤地進人了不該進人的網站或者領域’使得該領域的管理者再使用第三方特殊軟件’偷偷地潛人該計算機使用者的電腦,以竊取一些重要的機密以及一些使用者自身的私隱;還有一些內部用戶利用自己的權益之便,隨意地進人數據庫進行肆意破壞,使得整個網絡的安全都遭到了嚴重威脅,其損失的信息與數據是不容忽視的。尤其對于一個黑客的人侵而言,造成的損失是最為可怕的,這也是網絡安全與防范控制的主要對象之一。
計算機網絡安全具備以下幾個主要特征:
①保密性。計算機的安全防護技術要最大限度地做到計算機網絡現象的保密性。
②完整性。數據未經授權不能進行改變,信息在存儲或傳輸過程中不被修改、破壞和丟失。
③可用性。可被授權實體訪問并按需求使用。
④可控性。對信息的傳播及內容具有控制能力。
3計算機網絡安全的威脅因素
3.1計算機網絡安全威脅因素的病毒威脅
對于計算機病毒而言,大家都是了解甚祥,其可以通過計算機使用的人員下載一些非專業網站的視頻以及資料而進人下載資料者的電腦,使得下載者的電腦出現漏洞以及破壞計算機軟件與硬件安全。實際上,病毒主要分為惡性病毒與良性病毒兩種,其中對于良性病毒而言,下載者可以通過一般的殺毒軟件進行殺毒,就可以清除;而對于惡性病毒而言,其不僅僅頑固不能使得下載得以順利清除,而且還能自我復制,其還具有更高、更強的傳染性、隱蔽性、破壞性以及寄生性等特點。甚至還可以通過下載的電腦傳播給其它的網絡用戶,給別的用戶帶去不良的影響。另外,頑固性病毒還對下載者電腦的硬件造成一定的破壞,影響計算機的正常使用,給使用者帶來諸多不便。因此,對在網絡安全運行中計算機病毒的防范,刻不容緩。
3.2計算機網絡安全防護技術中關于黑客攻擊的問題
對于黑客攻擊而言,是影響整個網絡安全防護技術中最重要的一個因素。由于黑客攻擊都是未經法律許可以及主人的許可就私自進人管理者電腦,去惡意破壞電腦管理者硬件系統與軟件系統,使得管理者的電腦信息安全出現嚴重的漏洞與隱患。另外,黑客還可以利用木馬程序、隱藏指令以及種植病毒等惡意手段對用戶的電腦進行控制,進而竊取用戶的信息資料,給計算機網絡用戶帶來極大的危害。
3.3計算機網絡信息仍缺乏有效的保護措施
現今由于計算機網絡的快速發展以及應用范圍的擴大,使得我國的計算機網絡信息在傳輸與管理上就存在了很大的傳輸危害以及安全隱患。再加上,我國計算機網絡信息的保護安全措施仍存在問題,相關的保護技術也相對薄弱,這些因素都給計算機信息安全傳輸與交流帶來一定的安全隱患。
3.4計算機的系統仍有漏洞
對于計算機的應用軟件而言,其系統中仍有不少系統漏洞存在。對于計算機的系統漏洞而言,本身對計算機沒有任何的網絡威脅以及病害產生,但由于計算機整體的安全網絡存在漏洞,這在一定程度上給黑客、不法分子以及軟件所帶木馬以及病毒提供了空隙,使得這些不法分子更容易竊取用戶計算機上的數據信息,給計算機網絡安全帶來很大的隱患。
4計算機網絡安全防護技術
4.1 計算機網絡安全防護技術中的防火墻技術
對于一個計算機的防火墻而言,主要是指在計算機網絡以及網絡安全域之間構建一個一系列部件的組合,這是網絡安全防護的第一道屏障,是電腦管理者可以自動控制的唯一安全保障之一。另外,防火墻不僅僅是計算機網絡中信息進人電腦的唯一通道,還是電腦管理者進行有機管理電腦內部用戶訪問外界網絡的唯一權限。防火墻本身具有一定的抗攻擊能力,如若對電腦的防火墻進行系統整體提升以及保護,病毒以及木馬就可以很快進人電腦,從而對信息進行有機竊取。鑒于以上種種優勢,使防火墻技術成為了實現計算機網絡安全的必不可少的基礎技術。
4.2 計算機網絡安全防護技術中的加密技術
計算機網絡安全防護技術中的加密技術,不僅僅是保護計算機網絡信息不被竊取的有效手段之一,還是保障計算機網絡整體系統安全的重要手段之一。另外,計算機網絡安全防護系統中還可以適當增加密鑰管理系統,對整體計算機網絡安全防護的信息數據進行系統性加密,以保障整個系統信息的安全性與可靠性。再加上,計算機的設置人員可以適當對計算機的節點進行加密,能夠最大限度地有效對計算機的節點信息進行保護。而且端到端的加密使數據從源端用戶傳輸到目的端用戶的整個過程中,都以密文形式進行傳輸,有效地保護了傳輸過程中的數據安全。
4.3 計算機網絡訪問控制技術
實際上,計算機網絡不僅可以實現信息數據的遠程文件傳輸,同時,還為黑客以及病毒、木馬提供了訪問計算機的能力,因此我們必須對其進行嚴格的控制,才能更好地為計算機的網絡安全防護做出應有的貢獻。例如:我們可以適當對路由器進行控制,來不斷增強計算機網絡的局域網安全,另外,我們還可以通過對系統文件權限進行設置,以此確認訪問是否合法,從而保證計算機網絡信息的安全。
4.4計算機網絡病毒防范技術
計算機病毒是網絡中最常見的安全威脅,對于它的防護,我們可以適當地在網上安裝一些網絡軟件,然后管理者可以在自身的電腦上進行安裝,借以來保障計算機網絡防護安全,盡最大努力地將網絡威脅控制到最小程度。我們可以采用加密執行程序,引導區保護、系統監控和讀寫控制等手段,有效防范計算機病毒,對系統中是否有病毒進行監督判斷,進而阻止病毒侵人計算機系統。
4.5 計算機系統的漏洞掃描及修復技術
對于一個計算機系統而言’如若在其系統中存在一定的網絡漏洞’勢必會使得計算機網絡出現一定的安全隱患。因此’計算機網絡的管理人員一定要定期對計算機系統進行整體、全方位的系統漏洞掃描,以此來不斷檢査確認計算機系統在當前狀態下是否存在著系統漏洞;如果軟件掃描發現存在系統漏洞,就要及時進行修復,來最大程度地避免被黑客等不法法子所利用。
4.6計算機要進行備份和鏡像技術的應用
管理人員要想提高計算機網絡信息的安全性,不僅要掌握防范技術,還需要做好數據的備份工作,一旦計算機系統發生故障,就可以利用備份的數據進行還原,避免數據信息丟失。還可以采用鏡像技術,當計算機系統發生故障時,可以啟動后鏡像系統,保證計算機系統可用。
第6篇:常見的網絡安全防護措施范文
關鍵詞:網絡工程;安全技術;應用
近年來,伴隨著網絡信息市場規模的迅猛發展,各種針對網絡的違法犯罪活動的可能性也在不斷增加,而一段時間以來曝光的各類網絡詐騙、信息泄露以及網絡攻擊事件也在提醒著人們必須告訴重視網絡實踐中各種潛在的風險,切實利用好各種網絡安全技術,最大限度地有效規避信息時代中的各種網絡風險。
1網絡工程實踐中的一般安全技術分析
網絡工程實踐中的安全技術伴隨著網絡工程的發展而不斷完善,目前總結來看網絡工程實踐中的安全技術主要分為以下幾大類:
1.1攻擊
所謂攻擊,是指應用各種殺毒軟件工具對可能影響計算機網絡正常工作的各類病毒進行反攻擊和查殺,從而達到保護計算機并保證計算機正常工作的目的。一般來說,由于該技術應用較為普遍且一般僅能滿足小眾型用戶的網絡安全需要,因而只是一種最基本的網絡安全技術手段。
1.2預防
所謂預防,主要是指利用相應的網絡技術手段來防止計算機內部信息的泄露及數據信息破壞。目前來看,計算機內部信息的泄露途徑主要有黑客惡意訪問、惡意軟件等等,因此為有效計算機網絡內部信息的泄露及破壞,一般主要采用網絡信息密碼技術和防火墻技術,其中密碼技術是當前網絡安全尤其是網絡信息安全的重要技術之一,采用加密技術后的加密網絡,不僅可以有效阻止非授權用戶的搭線竊聽及非法訪問行為,同時也是有效應對各類惡意軟件的可靠途徑,目前,通常情況下的加密行為可以在通信的三個層次來實現,即分別是鏈路加密、節點加密和端到端加密三種;防火墻技術則是專門在公網和專網、外網和內網之間搭設的一個技術性的保護措施,其可以有效攔截來自外部網絡的各種網絡攻擊,包括內網的網絡安全,隨著防火墻技術的快速發展,目前的防火墻技術已經相當成熟和完善,其中主流的防火墻技術主要有包過濾技術、應用技術和狀態監測技術三種。
1.3監測
這里的監測主要是指對網絡工程內外部環境進行實時監測,以確保計算機網絡能夠正常工作,目前網絡工程中進行監測使用較多的主要是IDS即計算機網絡入侵檢測系統,以旁路為主,對計算機網絡進行實時監控,一旦發生可疑情況及時報告或者采取有效措施來進行應對,同時還可以對來自網絡內部的各種攻擊進行積極主動的觀測,這是相比較于防火墻技術IDS的獨特優勢所在。
1.4控制和管理
控制和管理也是網絡工程中常用的安全技術,所謂控制是通過運用本地監測軟件等對網絡工程運行情況進行定期和不定期的掃描,以及時發現并處理各種漏洞及風險,而管理則是通過虛擬網、VPN技術等對計算機網絡的運行進行安全管理和維護,防止各類安全問題的出現。
2網絡工程實踐中安全技術的應用分析
隨著網絡工程實踐的不斷延伸,網絡工程實踐中的安全問題也逐漸受到人們的高度重視,尤其是在當前越來越趨于復雜的網絡安全發展態勢下,要想真正確保網絡工程的安全使用,筆者以為,必須要建立起一個立體化的網絡安全防護體系,這一體系應該涵蓋計算機網絡工程的軟件、硬件乃至管理等諸多方面,彼此之間相互配合協調,真正實現網絡工程的安全使用。根據當前網絡工程風險的來源的不同層次,筆者主要從網絡工程的網絡層安全、應用層安全及管理層安全三個角度來論述網絡工程實踐中安全技術的應用。
2.1網絡工程的網絡層安全防護
網絡層安全是網絡工程中安全防護的重要區域,例如來自網絡上的計算機病毒以及來自局域外的惡意攻擊等等,都會對網絡工程的安全使用造成巨大威脅,因此對于網絡層的安全防護,除了必須采用相應的防火墻技術以外,還應積極主動地安裝相應的IDS系統和IPS系統,及時發現并積極處理各種來自網絡層的安全風險,確保計算機網絡工程網絡層方面的安全。
2.2網絡工程的應用層安全防護
除了網絡層方面的風險以外,應用層安全也是網絡工程日常維護中需要重點加強安全防護的區域之一,常見的應用層網絡風險主要由于人為應用而產生的一些漏洞,這些漏洞一旦被非法利用則有可能對網絡工程的安全帶來風險,例如有的計算機編程人員為省時方便而在軟件中存留有一定的漏洞,這些漏洞的存在就極有可能被其他人員獲取,因而會成為黑客等不法分子的首要攻擊目標,因此必須在日常維護中利用交換技術、虛擬網及VPN等技術來對網絡工程中的各種軟件進行定期和不定期的掃描,一旦發現潛在漏洞及時填補。
2.3網絡工程的安全管理防護
網絡工程實踐中安全技術的使用主要靠工作人員來完成,因此管理者在網絡工程的安全防護方面發揮著不可替代的關鍵作用,在日常工作過程中,工作人員要積極主動地強化對各類網絡安全技術的熟悉,能夠及時發現網絡工程實踐中存在的各種現實和潛在的風險,有針對性地進行安全維護,同時還必須不斷提高自身的網絡安全意識,切實做好網絡安全管理工作。
3總結
總之,在當前日趨復雜的網絡工程安全領域,僅僅依靠簡單的被動式防御已經不能很好地適應今后的網絡工程安全防護工作需要,加快構建包括網絡工程的網絡層、應用層以及安全管理在內的立體式、動態化以及智能化的網絡工程防護體系,當是未來網絡工程安全防御的大趨勢,也是當下網絡工程安全防護工作者所應該認真思考、積極實踐的現實性問題。
參考文獻
[1]楊雅頌.網絡工程實踐中安全技術的應用[J].電子技術與軟件工程,2016(19):235-236.
[2]畢文霞.試析網絡工程實踐中安全技術的應用[J].黑龍江科學,2016(14):34-35.
[3]楊猛.網絡工程實踐中安全技術的應用探討[J].河南科技,2015(22):11-12.
第7篇:常見的網絡安全防護措施范文
【關鍵詞】網絡;安全;方案
【中圖分類號】G412.65 【文章標識碼】B 【文章編號】1326-3587(2012)11-0091-02
一、前言
近來,隨著信息化的發展和普及,危害網絡安全的事情時常發生。例如,越權訪問、病毒泛濫、網上隨意信息,甚至發表不良言論。這些問題需要我們引起足夠的重視,規劃并建設一個方便、高效、安全、可控的信息系統成為當前系統建設的重要工作。
信息系統安全建設項目,應該嚴格按照網絡和信息安全工程學的理論來實施;嚴格按照信息安全工程的規律辦事,做到“安全規劃前瞻、行業需求明確、技術手段先進、工程實施規范、管理措施得力、系統效率明顯”,因此,將按照信息安全工程學的理論指導實施用戶信息網絡系統安全項目的建設,從政策法規、組織體系、技術標準、體系架構、管理流程等方面入手,按照科學規律與方法論,從理論到實踐、從文檔到工程實施等方面,著手進行研究、開發與實施。
信息系統安全建設是一項需要進行長期投入、綜合研究、從整體上進行運籌的工程。該工程學主要從下列幾個方面入手來構造系統安全:
1、對整個信息系統進行全面的風險分析與評估,充分了解安全現狀;
2、根據評估分析報告,結合國家及行業標準,進行安全需求分析;
3、根據需求分析結果,制定統一的安全系統建設策略及解決方案;
4、根據解決方案選擇相應的產品、技術及服務商,實施安全建設工程;
5、在安全建設工程實施后期,還要進行嚴格的稽核與檢查。
二、安全系統設計要點
有些用戶對網絡安全的認識存在一些誤區:認為網絡運行正常,業務可以正常使用,就認為網絡是安全的,是可以一直使用的;網絡安全幾乎全部依賴于所安裝的防火墻系統和防病毒軟件,認為只要安裝了這些設備,網絡就安全了;他們沒有認識到網絡安全是動態的、變化的,不可能僅靠單一安全產品就能實現。所以,我們必須從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案。
1、建設目標。
通過遼寧地區網絡及應用安全項目的建設目標來看,構建一個安全、高效的網絡及應用安全防護體系,充分保障業務系統穩定可靠地運行勢在必行。
2、設計思想。
一個專業的網絡及應用安全解決方案必須有包含對網絡及應用安全的整體理解。它包括理論模型和眾多項目案例實施的驗證。該方案模型應是參照國際、國內標準,集多年的研發成果及無數項目實施經驗提煉出來的,同時方案需要根據這個理論模型及眾多的專業經驗幫助客戶完善對其業務系統安全的認識,最終部署安全產品和實施安全服務以保證客戶系統的安全。
為什么要實施安全體系?
內因,也就是根本原因,是因為其信息有價值,網絡健康高效的運行需求迫切。客戶的信息資產值越來越大,信息越來越電子化、網絡化,越來越容易泄漏、篡改和丟失,為了保護信息資產不減值,網絡行為正常、穩定,必須要適當的保護,因此要有安全投入。
其次才是我們耳熟能詳的外因,如遭受攻擊。當前在網絡信息領域中,入侵的門檻已經越來越低(攻擊條件:簡單化;攻擊方式:工具化;攻擊形式:多樣化;攻擊后果:嚴重化;攻擊范圍:內部化;攻擊動機:目的化;攻擊人群:低齡化和低層次化),因此當入侵者采用技術方式攻擊,客戶必須采用安全技術防范。隨著我國安全技術的逐步深入研究,已經把各種抽象的安全技術通過具體的安全產品和安全服務體現了出來。
時間和空間是事物的兩個根本特性,即一經一緯構成了一個立體的整體概念,安全系統的設計也可以這么理解。
從時間角度部署安全系統,如圖一,基于時間的防御模型。
該模型的核心思想是從時間方面考慮,以入侵者成功入侵一個系統的完整步驟為主線,安全方案的設計處處與入侵者爭奪時間,趕在入侵者前面對所保護的系統進行安全處理。在入侵前,對入侵的每一個時間階段,即下一個入侵環節進行預防處理。也就是說,與入侵者賽跑,始終領先一步。
從空間角度部署安全系統,如圖二,基于空間的防御模型。
一個具體的網絡系統可以根據保護對象的重要程度(信息資產值的大小)及防護范圍,把整個保護對象從網絡空間角度劃分成若干層次,不同層次采用具有不同特點的安全技術,其突出的特點是對保護對象“層層設防、重點保護”。
一個基本的網絡系統按防護范圍可以分為邊界防護、區域防護、節點防護、核心防護四個層次。
邊界防護是指在一個系統的邊界設立一定的安全防護措施,具體到系統中邊界一般是兩個不同邏輯或物理的網絡之間,常見的邊界防護產品有防火墻等。
區域防護相較于邊界是一個更小的范圍,指在一個重要區域設立的安全防護措施,常見的區域防護產品有網絡入侵檢測系統等。
節點防護范圍更小,一般具體到一臺服務器或主機的防護措施,它主要是保護系統的健壯性,消除系統的漏洞,常見的節點防護產品主機監控與審計系統。
核心防護的作用范圍最小但最重要,它架構在其它網絡安全體系之上,能夠保障最核心的信息系統安全,常見的核心防護產品有身份認證系統、數據加密、數據備份系統等。
3、設計原則。
1) 實用性。
以實際業務系統需求為基礎,充分考慮未來幾年的發展需要來確定系統規模。以平臺化、系統化來構造安全防護體系,各安全功能模塊以組件方式擴展。
2) 標準化。
安全體系設計、部署符合國家 相關標準,各安全產品之間實現無縫連接,確實不能實現的必需采用其他技術手段予以解決,并與內部的網絡平臺兼容,使安全體系的設備能夠方便的接入到現有網絡系統中。
第8篇:常見的網絡安全防護措施范文
【關鍵詞】交換機安全;MAC地址泛洪;vlan跨越;ARP欺騙;DHCP欺騙
提到網絡安全防護,大多數企業都是將防火墻、UTM、路由器等設備一層接一層的部署在企業網絡的各個區域,而對于眾多的交換機則很少考慮到它們的安全性。隨著企業網絡越來越復雜,交換機在網絡中扮演著眾多的角色:終端網絡的接入點、路由器的連接點、甚至是核心網絡的連接途徑。因此,詳細研究交換機的攻擊方式和安全防護措施具有重要的意義。
1 MAC地址泛洪攻擊的安全防護
交換機是基于MAC地址去轉發數據幀的,轉發過程中依靠對CAM表的查詢來確定正確的轉發接口,一旦在查詢過程中無法找到相關目的MAC對應的條目,此數據幀將作為廣播幀來處理,而CAM表的容量有限,只能儲存不多的條目,當CAM表記錄的MAC地址達到上限后,新的條目將不會添加到CAM表中。于是攻擊者在很短的時間內不斷的變換出大量的MAC地址發向交換機,引起MAC地址泛洪,而當有新的設備要發送數據時,就將泛洪整個廣播域,攻擊者即收到了設備的泛洪信息。
防護措施:對交換機端口接入的源MAC地址或源MAC地址接入的數量進行限制。
2 VLAN跨越攻擊的安全防護
VLAN跨越攻擊是指數據包被傳送到不正確的端口上,數據包能夠不通過三層設備跨VLAN傳輸。基本上VLAN跨越攻擊有如下兩個類型。
交換機欺騙:攻擊者試圖通過配置802.1Q或者ISL把自己偽裝成一個交換機,通過DTP(動態中繼協議)信號可以幫助攻擊者完成欺騙。
雙標簽:是包括2個802.1Q頭的傳輸幀標簽,一個頭用于(受害者)用戶的交換機,另一個用于攻擊者的交換機。如圖1:攻擊者pc1的包即寫了vlan2,也寫了vlan3的標簽,在通過switch1時,剝離了第一層標簽dot1q2,由于switch1的native vlan是2,于是數據包不打標傳輸到switch2,switch2收到不帶標的數據包后,自動加上switch2的native vlan 3,于是攻擊者pc1就能和不同vlan的pc2進行通信。
防護措施:
1)交換機未使用的端口關閉;
2)所有未用的端口都配為access,防止自動協商為trunk;
3)native vlan不能和pc使用的vlan相同;
4)所有未用得端口配為pc未用的另一個vlan;
5)在所有來歷不明的端口上禁止DTP協議;
6)trunk的允許vlan不要加入native vlan。
3 DHCP欺騙攻擊的安全防護
DHCP欺騙攻擊是指攻擊者首先將正常的DHCP服務器所能分配的IP地址耗盡,然后冒充合法的 DHCP服務器,從而獲取所有PC的數據信息。
防護措施:開啟DHCP Snooping,通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息。
4 ARP欺騙攻擊的安全防護
交換機維護著一個ARP映射表,這個表中記錄了交換機每個端口所連接的設備的IP地址和MAC地址的映射關系。假如攻擊者想要獲取網絡中某合法PC的信息訪問權,它只要能接入該PC所連的交換機,然后向此PC發送一個偽造請求,把自己的IP地址偽造成網關地址,此PC收到該請求后會把該攻擊者的IP地址當作網關地址,然后把所有要發送給網關的請求都發送到攻擊者的機器上,攻擊者再監測這些數據包,并把它們繼續轉發給真正的網關。由于攻擊者最終還是將數據包轉發給真正的網關了,合法PC無法意識到自己的數據包被截取了,因此只要攻擊者繼續保持攻擊,該PC就會一直向攻擊者轉發流量,最終被攻擊者獲取合法信息訪問權。
防護措施:1)未使用的交換機端口要關閉;2)在交換機上手動配置IP地址和MAC地址的映射關系;3)假如是DHCP動態分配IP地址,再開啟了ip dhcp snooping后,開啟ARP欺騙防護。
5 交換機的其他安全防護
5.1 CDP協議的安全防
CDP是思科私有協議,它工作在數據鏈路層上的協議,主要用來發現和查看相鄰設備的簡單配置信息:如網絡地址、發送消息的端口或者接口信息、硬件平臺、發送設備的功能、軟件版本等等。通常情況下這部分信息都是明文保存的。攻擊者通過一些工具就可以輕松的獲得這些機密信息。因此,建議關閉CDP協議。防護配置如下:SW(config)#no cdp run
5.2 遠程管理的安全防護
常見交換機的遠程管理協議是telnet、http,但這兩個協議傳輸的都是明文信息,因此,很容易被攻擊者截獲取得想要的信息。因此,1)建議使用ssh、https等加密管理協議;2)建立對可遠程管理交換機的IP地址進行控制,可使用ACL。
5.3 密碼防護
對交換機的console口、aux口、vty、enable都要設置密碼。并且啟用密碼加密服務。防護配置如下:
在企業中,交換機大多位于網絡的接入層,如果能夠對交換機的安全性給予足夠的重視并進行合理的配置,它能使企業網絡免受絕大部分的攻擊。隨著交換機在企業網絡中的數量和部署區域的增多,利用交換機來防范網絡安全具有十分重要的意義。
參考文獻
[1]海吉,羅進文,王,張媛.網絡安全技術與解決方案[M].人民郵電出版社,2009.
第9篇:常見的網絡安全防護措施范文
隨著信息化建設的推進,目前整個IT系統的建設已經具備了相當的規模,網絡、服務器、終端機和運行在上面的應用系統形成了整個業務運行的基礎支撐環境,業務系統越來越依賴于IT系統,而作為整個IT基礎設施中數量最多的終端機,是IT管理部門最為頭疼的問題。一方面,由于計算機設備的更新和變化,對計算機設備的管理經常處于一種無序及手工統計的狀態;另一方面,安全漏洞與日俱增,新的病毒充斥網絡,原有的手工安裝和分發升級文件包及補丁不僅需要更多的人力資源,還會造成時間的遲滯,影響運行效率,給單位帶來損失;再者,非法辦公軟件及其他軟件的使用,不但造成了生產效率的低下,也給單位的形象造成了很壞的影響。
終端桌面安全管理技術的興起是伴隨著網絡管理事務密集度的增加,作為網絡管理技術的邊緣產物而衍生的,它同傳統安全防御體系的缺陷相關聯,是傳統網絡安全防范體系的補充,也是未來網絡安全防范體系重要的組成部分。
內部網絡面臨安全問題
現代網絡安全管理體系的日臻完善,使得對網絡終端桌面安全管理的需求強烈凸現出來。正確、全面地認識終端桌面管理產品的發展趨勢和技術特點,是IT研發廠商面臨的發展抉擇,同時也是企、事業IT管理人員和高層決策人員在進行終端桌面安全防護部署時必須考慮的問題。
近兩年的安全防御調查也表明,政府、企業及金融證券等單位中超過80%的管理和安全問題來自終端,計算機終端廣泛涉及每個用戶,由于其分散性、不被重視、安全手段缺乏的特點,已成為信息安全體系的薄弱環節。因此,網絡安全呈現出了新的發展趨勢,對于各政府企業網絡來說,安全戰場已經逐步由核心與主干的防護,轉向網絡邊緣的每一個終端。
提起網絡安全,人們自然就會想到病毒破壞和黑客攻擊,其實不然。常規安全防御理念往往局限在網關級別、網絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部的計算機終端的安全威脅卻是眾多安全管理人員普遍反映的問題。
自2003年來,以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續性爆發以及多種木馬程序的蔓延為起點,到計算機文件泄密、硬件資產丟失、服務器系統癱瘓等諸多終端安全事件在各地網絡頻繁發生,增加了網絡管理人員的工作量。一些常見的終端安全威脅隨時隨地都可能影響著用戶網絡的正常運行,這也顯現出終端管理的缺乏。
對癥下藥主動防御
解決以上這些問題的有效方法是建立終端安全管理體系。
操作系統存在自身的弱點就是在應用中不斷出現漏洞,這將形成一個變化中的安全風險,讓攻擊者有威脅計算機安全的可乘之機。一些蠕蟲會發現并利用漏洞進入計算機操作系統。過去,我們被迫要等到爆發之后再寫一個特征碼來防護操作系統;現在,我們要采用混合型威脅防護,即主動式防護來保護我們的計算機安全性。
病毒、蠕蟲破壞一類的網絡安全事件在網絡安全領域一直沒有一個根本的解決辦法,其中的原因是多方面的:有人為的原因,如不安裝防殺病毒軟件、病毒庫未及時升級等等;也有技術上的原因,如殺毒軟件、入侵防范系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落后一步,危害無法避免。通過終端安全管理系統,我們可以控制病毒、蠕蟲的危害程度,只要我們針對不同的原因采取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對網絡的危害降低到最低限度。
僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。對當前肆虐于開放網絡環境中的大量病毒、蠕蟲威脅,必須采用多層次的安全防護策略,歸結起來是:事前預防、事中隔離、事后修復和殺毒聯動。
新型的網絡準入控制技術(Network Access Control, NAC )是在端點連接到網絡之前對它們的安全狀態進行審計,并在連接到標準企業網絡之前進行適當地更新,從而將蠕蟲和病毒屏蔽在網絡之外,也能強制執行應用級的安全策略。網絡準入控制是一個過程,它通過強制執行作為網絡訪問前提條件的IT安全策略,來減少網絡安全事件,增強對安全制度的遵從。網絡準入系統通過保證每個端點在安全上不做任何妥協,阻止不安全和未授權的行為,在網絡中排除未授權的設備,從而保護網絡的安全性和完整性。網絡準入系統通過確認設備的安全策略,創建加密的虛擬桌面環境,在會話結束后清除所有傳輸過去的數據,將對機密數據的保護延展到非企業所屬的設備之上。
網絡準入系統基于一個全新系統架構,它將整個內網安全防護策略劃分為邏輯上的三個組成部分:
1. 內網邊界安全防護:此部分架構實現對來自網絡外部的安全威脅進行安全防護。
2. 內網安全威脅防護:此部分架構實現對來自網絡內部的安全威脅進行防護。
3. 外網移動用戶安全接入防護:此部分架構用于保證內部移動用戶所處網絡環境的變換,以及當移動用戶處于外網安全防護薄弱網絡環境中自身安全、接入企業網絡安全。
由此可見,只有建立完整的終端安全管理體系才能有效保護我們的內部網絡安全。終端安全管理體系是能夠提供端點的全程、縱深端點安全保障體系(如圖1所示)。
利用全新系統架構,我們建立的終端安全管理系統是一個主動的安全防御體系,與傳統的解決方案有所不同(如圖2 所示)。打個比方:子彈射出之后,如何阻截飛速前進的子彈,以了解我們是否有比利用磁鐵來追趕子彈更好的解決方案。例如,我們可以適當采取主動的預防措施(比如防彈背心),以便在子彈導致破壞之前阻截子彈;或者為槍裝一把鎖,以防止子彈射出槍膛;或者我們可以使攻擊者不知道向哪里發射子彈,就像在布滿鏡子的大廳中一樣。在計算機世界,我們可能正在對付數以百萬的“子彈” ―― 互聯網上每時每刻存在著數百萬蠕蟲和混合型威脅。要阻截這數百萬的“子彈”,我們必須在主機、服務器和整個網絡結構中部署功能相似的各種技術,積極阻截這些威脅。
