網絡安全改善方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全改善方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全改善方案范文
[關鍵詞]移動網絡;網絡安全;防護技術
引言
根據工信部提供的數據,截至2018年3月,我國移動互聯網用戶總數高達13.2億,同比增加16.1%,移動網絡用戶數量的持續增加,不僅催生了新的經濟業態,便捷了用戶生活,也誘發了信息數據丟失、泄露等安全問題。為保持移動網絡的安全性與穩定性,研究團隊與技術人員需要從安全防護技術的角度出發,厘清設計需求,強化技術創新,逐步構建起完備的移動網絡安全防護技術體系。
1移動通信網絡安全防護技術概述
探討移動通信網絡安全防護技術構成與類型,有助于技術人員形成正確的觀念認知,掌握移動通信網絡安全防護的特點,梳理后續安全防護技術的設計需求,為安全防護技術的科學應用提供方向性引導。隨著移動網絡技術的日益成熟,移動通信網絡安全防護技術逐步完善,可以充分滿足不同場景下的網絡安全防護基本要求。具體來看,現階段移動網絡安全機制較為健全、完善,形成了網絡接入安全、網絡域安全、用戶域安全、應用安全等幾個層級[1],實現了移動網絡的傳輸層、服務層以及應用層的有效聯動,強化了對移動網絡入網用戶的身份識別能力,以更好地提升移動通信網絡的安全防護能力,相關技術構成如圖1所示。網絡接入安全保護技術的作用,使得用戶可以通過身份識別等方式,快速接入到移動網絡之中,從而規避無線鏈路攻擊風險,保證網絡運行的安全性,降低網絡安全風險。通過構建網絡安全域安全技術模塊,對移動網絡中的數據交互路徑采取加密保護等相關舉措,可以降低數據丟失或者泄露的風險。與其他網絡不同,移動網絡用戶相對而言較為固定,用戶群體較為明顯,這種特性使得在移動通信網絡安全防護應用過程中,可以通過簽約用戶識別模塊,形成移動實體/通用簽約用戶識別模塊(UniversalSubscriberIdentityModule,USIM)安全環境,實現移動網絡安全防護的靈活化、有效化,依托移動網絡安全防護技術,使得電信運營商的服務質量顯著提升,更好地滿足不同場景下、不同用戶群體的移動網絡使用需求[2]。隨著5G網絡的日益成熟,移動網絡安全防護技術也需要做出相應的轉變,通過形成移動通信網絡安全平臺,實現硬件系統與軟件系統的聯動,構建起平臺式、生態化的移動通信網絡安全防護機制,最大限度地保證用戶信息的安全性與有效性。
2移動通信網絡安全防護技術設計需求
移動通信網絡安全防護技術涉及的技術類型較為多元,為有效整合安全防護技術資源,技術人員應當明確安全防護技術需求,在技術需求導向下,提升移動通信網絡安全防護技術應用的有效性。
2.1移動通信網絡面臨的主要威脅
移動通信網絡在使用過程中,受到病毒、木馬、垃圾郵件等因素的威脅日益嚴重,用戶個人信息數據丟失案例逐年上升,網絡安全形勢日益嚴峻。出現這種情況的主要原因在于,移動通信網絡經過多年發展,其形成以網絡應用服務為核心,以移動終端為平臺的應用場景[3]。這種技術特性,使得越來越多的用戶愿意通過移動通信網絡進行數據的訪問。數據訪問的完成,固然提升了用戶的使用體驗,但是移動通信網絡在通過空中接口傳輸數據的過程中,出現數據截流或者丟失的概率也相對較大。移動通信網絡具有較強的開放性,用戶可以根據自身的需要,進行網絡資源的獲取與訪問,這種開放性,無形之中增加了安全事件的發生概率。這些移動通信網絡安全威脅要素的存在,勢必要求技術人員快速做出思路的轉變,通過技術創新與優化,持續增強技術的安全性。
2.2移動通信網絡安全防護技術設計基本要求
2.2.1基于體系安全的移動通信網絡安全防護為改善移動通信網絡安全防護能力,有效應對各類外部風險,避免數據竊取或者泄漏等情況的發生。在移動通信網絡安全防護工中,需要以平臺為基礎,豐富安全防護的路徑與場景,基于這種技術思路,我國相關安全技術團隊提出了平臺化的解決方案。將移動通信網絡終端作為主要平臺,對終端實體設備與網絡之間的初始認證路徑、認證頻次等做出適當的調整,形成安全信息的交互,這種平臺式的移動通信網絡安全防護技術,不僅可以提升實際的防護能力,還在很大程度上降低了移動通信安全防護技術的應用成本,避免了額外費用的產生,穩步提升了移動通信網絡安全防護的實用性與可行性[4]。
2.2.2基于終端安全的移動通信網絡安全防護終端是移動通信網絡數據存儲、交互、使用的重要媒介,基于這種認知,技術人員需要將終端作為安全防護的重要領域,通過技術的創新,打造完備的終端安全防護機制體系。例如,目前較為成熟的第三代移動通信網絡的認證與密鑰協商協議(AuthenticationandKeyAgreement,AKA),其根據終端特性,設置了可信計算安全結構,這種安全結構以可信移動平臺、公鑰基礎設施作為框架,將用戶終端中嵌入敏感服務,形成魯棒性終端安全平臺,從實踐效果來看,這種安全認證技術方案,不僅可以識別各類終端攻擊行為,消除各類安全風險,其技術原理相對簡單,實現難度較小,在實踐環節,表現出明顯的實踐優勢。
3移動網絡安全防護技術體系的構建
移動通信網絡安全防護技術的應用,要求技術人員從實際出發,在做好防護技術設計需求分析的基礎上,依托現有的技術手段,建立起完備的移動通信網絡安全防護技術應用體系,實現安全防護體系的健全與完善。
3.1應用可信服務安全防護技術方案
基于移動通信網絡安全防護技術設計要求,技術人員應當將平臺作為基礎,形成以移動可信計算模塊為核心的安全防護技術體系。從實際情況來看,移動可信計算模塊具有較強的獨立性,可以為用戶提供可靠的信息安全通道,對于移動通信網絡終端安裝的各類操作軟件進行合法性檢測,對于沒有獲得授權的軟件,禁止安裝與運行。這種技術處理方案實用性較強,具備較高的使用價值。
3.2應用安全服務器防護技術方案
為降低移動通信網絡安全防護技術的應用難度,技術人員將安全服務器納入防護技術方案中,通過安全服務器,移動通信網絡可以在較短的時間內完成移動端軟件完整性評估與合法性查詢,通過這種輔助功能,移動通信網絡使用的各類硬件、軟件保持在安全運行狀態,實現對各類安全事件的評估與應對,以保證安全防護成效。在安全服務器防護技術設置上,技術人員需要針對性地做好查詢功能的設置工作,為移動終端提供軟件合法性查詢服務。這種技術機制使得安全服務器可以對移動終端安裝或者運行軟件進行系統化查詢。例如,根據需要,對安裝或者運行軟件的合法性進行審查。審查過程中,終端通過本地的MTM進行查詢,如沒有獲得查詢結果,則發出查詢申請,安全服務器在接受申請后,進行系列安全查詢,并將查詢結果及時反饋給終端。在安全服務器使用過程中,還需要做好升級工作。例如,加強與軟件提供商的技術溝通,通過技術溝通,做好軟件安全性、合法性信息的生成,實現軟件的備案。還要持續提升運營網絡的接入網服務器交互功能,逐步強化移動終端完整性的整體性接入能力,保證移動終端的安全性與整體性。
3.3應用大數據下安全防護技術方案
大數據背景下,移動通信安全防護技術的應用,要求技術人員從安全監測、安全響應、系統恢復等層面出發,形成完備的安全防護機制。在安全監測模塊設計環節,技術人員通過入侵監測技術、網絡深度過濾技術、網絡抓包技術得以對移動通信網絡漏洞開展評估與分析,并根據評估結果,進行網絡安全補丁的下載,從而避免病毒等非法入侵行為的發生[5]。相應安全技術研發過程中,依托殺毒軟件、防火墻等現有的網絡安全防護技術方案,確保移動通信網絡在遭受攻擊后,可以快速響應,實現對網絡病毒的查殺,確保信息數據的安全性。要做好網絡終端數據的備份,定期進行移動通信網絡數據的備份,一旦出現信息泄露或者網絡遭受攻擊的情況,讓技術人員可以通過備份技術,快速完成數據的恢復,將信息泄露的損失降到最低。
第2篇:網絡安全改善方案范文
關鍵詞:物聯網專業;網絡安全;課程建設
作者簡介:姚健(1974-),男,安徽合肥人,江南大學物聯網工程學院,講師,江南大學物聯網工程學院博士研究生。(江蘇 無錫
214122)
中圖分類號:G642.0 文獻標識碼:A 文章編號:1007-0079(2013)22-0107-02
隨著計算機技術、網絡通信技術等信息技術的迅猛發展,物聯網時代來臨了。物聯網是指物品通過各種信息傳感設備如射頻識別、紅外感應器、全球定位系統及激光掃描器等信息傳感設備,按約定的協議,把任何物品與互聯網連接起來,進行信息交換和通信,以實現智能化識別、定位、跟蹤、監控和管理的一種網絡。[1]目前世界先進國家都對物聯網技術發展高度重視。美國把物聯網確立為新一輪國際競爭優勢的關鍵戰略。在我國,從2009年到現在,總理多次明確指出物聯網發展的重要性和緊迫性。
然而,物聯網技術的快速、健康和可持續發展離不開物聯網人才的培養。因此結合我國當前社會、經濟和物聯網發展現狀,制定符合中國國情的物聯網人才培養戰略是當務之急。2011年3月,教育部正式公布了戰略性新興產業相關本科新增專業名單。此次全國高校新設本科專業140個,有30所高校均增設了物聯網工程專業。這些專業自2011年開始招生。鑒于物聯網是一門集計算機、電子信息、通信、自動化等多學科的交叉新興學科,很多工科類大學新建立的物聯網工程專業都是從現有專業中抽調教師,除了根據專業特點安排一些新課程以外,很多課程都是交叉學科的課程,比如反映物聯網安全的信息安全專業的“網絡安全”課程。本文就如何上好物聯網工程專業中的“網絡安全”課程做一些探討和研究。
物聯網可以說是把“雙刃劍”,安全可靠的物聯網可以幫助人們改變生產生活方式,大幅度提高人們生產生活的效率,反之,如果因為安全問題造成局部或全局系統的癱瘓,也會極大影響人們的正常生產生活。所以,安全問題是物聯網中的一個重要問題。“網絡安全”課程就是針對物聯網中與各種通信網絡有關的安全問題所設的一門課程。
“網絡安全”課程講授的是網絡安全最基礎的原理、技術及方法,知識更新快,交叉學科多,知識面廣,難以掌握。這些特點要求“網絡安全”課程課時較長,理論教學與動手實踐并重,教師的教學手段多樣,學生的動手能力較強。
一、樹立正確的教學指導思想
“網絡安全”作為信息安全專業的一門綜合性課程,其前導專業課程較多,涉及的技術、知識面較廣,部分內容晦澀難懂,學生普遍反映學習、掌握的難度較大。而物聯網工程專業也是一個多學科交叉的專業,學生如果想要達到本專業的培養目標,需要在有限的時間里學量課程。所以,物聯網工程專業的“網絡安全”課程安排的學時數不可能達到信息安全專業中的水平。另外,物聯網的網絡是互聯網的延展,這也增加了新的學習內容。如何在有限的教學學時內,不但把基本理論、基本知識講深講透并且能讓學生同時掌握一定的動手能力是任課教師的一項艱巨任務。[2]
要想讓物聯網工程專業的學生學好“網絡安全”課程,首先要樹立正確的教學指導思想。
1.理論教學與實踐教學并重
這是由“網絡安全”課程的特點決定的。“網絡安全”課程的理論教學涵蓋了網絡安全體系結構、網絡安全技術和網絡安全工程三大部分。
(1)網絡安全體系結構描述網絡信息體系結構在滿足安全需求方面各基本元素之間的關系,反映信息系統安全需求和網絡體系結構的共性,并由此派生了相應的網絡安全協議、技術和標準。[3]這一部分內容相對枯燥,卻是本門課程的基礎。可以通過一些軟件演示來改善學習效果,比如可以通過sniffer軟件來實時演示如何抓包并分析包的協議字段。這些包都是平時學生上網時常見的,由此可以提高學生的學習興趣。
(2)單一的網絡安全技術和網絡安全產品不能解決網絡安全的全部問題。應綜合運用各種網絡安全技術,包括防火墻、VPN、IPSec、黑客技術、漏洞掃描、入侵檢測、惡意代碼和病毒的防治、系統平臺安全及應用安全。[3]這是“網絡安全”所教授的主要內容,既有基本理論需要掌握,也需要大量的實踐來保證教學效果。由于學時有限,可以采用課堂講授基本理論,課下根據學生的興趣另外安排實踐的方式。
(3)對網絡安全進行的綜合處理,要從體系結構的角度,用系統工程的方法,貫穿網絡安全設計、開放、部署、運行、管理和評估的全過程。[3]這一部分也是既有理論也有實踐,但實踐的不是具體的技術。需要學生對(1)、(2)部分的掌握比較扎實。這部分可以結合案例來講授,以提高吸引力。
這里要糾正一種過于偏重實踐能力培養的教學傾向。“網絡安全”課程有大量的實踐內容,但這些實踐必須建立在扎實的理論基礎之上,教學過程中要糾正學生熱衷做試驗而忽視理論學習的不良傾向。
2.教學指導與自主學習并重
由于“網絡安全”課程的內容涉及面非常廣,僅僅課堂學習是遠遠不夠的。所以在教學實踐中,既需要任課教師提供及時的理論支持和技術支持,更需要學生進行高效率自主學習,包括課前預習、課后復習,并積極利用學校各種資源如圖書館、互聯網、機房等,幫助理解和掌握理論知識,加強發現問題解決問題的能力。任課教師要充分利用網絡的便利性,建立課程網站以及能同步或異步互動的論壇,通過與學生的互動,既可以提高學生的學習興趣,解決課時有限的問題,同時也激勵教師不斷跟上新技術,改善教師理論較強而相對實踐較弱的問題。
二、采用多樣化的教學手段
良好的教學手段是提高教學質量的重要環節。教學過程中可以充分利用現代科技提供的各種工具,根據教學內容的不同采用與之相適應的教學方法,既繼承了傳統方法的優點,又能克服傳統方法的缺陷。
1.現代化的教學手段
現代化的教學手段中,以計算機為基礎的多媒體教學無疑是最常用的手段。可以通過播放課前制作的動畫、剪輯的與安全有關的科幻電影片段等,使抽象的網絡安全理論更加生動、形象,既提高了教學效率,也能對重點、難點問題進行較為透徹的講解。
建立課程網站(含論壇)是另一個重要的教學輔助手段。課程網站包含任課教師收集的所有與課程有關的資料,格式包括文本、圖形、圖像、聲音和視頻,內容涵蓋課程規劃、任課教師隊伍、教學課件、參考資料、習題與解答、實踐等。學生可以各取所需。同時論壇提供了一種教師與學生的互動模式。
本文提出了另一種形式的互動,即建立QQ群。QQ是一種即時通信工具,提供了強大的即時通信功能,而且它有著廣泛的應用基礎。任課教師以課程為單位建立QQ群,所有“網絡安全”課程的任課教師和學生都加入群中,大家可以通過文字、語音、視頻等方式共同探討問題,也可以在群里建立臨時或長期討論組,就某些小群體關心的問題進行討論。學生可以利用QQ群提供的共享區共享各種資料,還可以利用遠程協作功能實時、共同地完成某項任務。
2.案例輔助教學
物聯網就在身邊,而物聯網的安全案例也隨時隨地可以發現;同時,“網絡安全”是一門綜合性課程,知識點分散、課程內容更新速度快、實踐性強。通過案例教學,讓學生應用所學的理論知識分析和認識網絡安全事件和解決方案,以提高學生綜合運用知識的能力。在教學過程中,可以有針對性選取有代表性、實效性和實戰性的案例,教師和學生在案例教學中分別找準自己的定位,教師要扮演幫助者和引導者的角色,而學生要站在網絡安全技術人員的角度去發現問題解決問題。教師還要對案例討論進行總結和評價。[4]
3.成立興趣小組
網絡安全知識點分散,需要較強的實踐能力。可以結合學院發起的“大學生創新項目”,學生根據自己的興趣點,利用所學的知識,針對某個安全問題提出解決方案并最終在指導教師的幫助下完成所申請的創新項目。既鍛煉了學生的調研、自學、解決問題的能力,又可以讓學生提前進入模擬工作環境,給他們今后走上工作崗位添加自信。
三、建立合理的評價體系
各種教學手段的應用極大地豐富了教學過程,同時也帶來如何評價學生成績的難題。傳統“填鴨式”教學很容易給學生的表現打分,但這種打分只停留在學生死記硬背的基礎上,最后考試的成績不能真實地反映學生水平。
1.課堂提問與作業反饋的評價相結合
任課教師可以在課堂上就某個問題對學生提問,然后根據學生的回答給出相應的分數。課后作業一定程度上反映了學生學習的認真程度和對課程知識的理解程度,教師批改后也給予分數,這些分數在最終考評中都占有一定的比例。
2.理論基礎與動手能力的評價相結合
這可以通過兩種方案來實現。一是在課程考試時采用筆試和機試相結合的方式。筆試主要測試基礎知識和理論,機試主要測試學生動手能力;二是在平時階段性地要求學生完成一些作品,提交結果報告,并打分。期末考試仍然筆試。第一種方案強調分析問題解決問題的能力,第二種方案強調創新和綜合運用的能力。任課教師在教學過程中對這兩種方案既可以挑一使用,也可以混合使用。
參考文獻:
[1]胡向東.物聯網研究與發展綜述[J].數字通信,2010,(2):19-23.
[2]張軍.非計算機專業“計算機網絡”教學改革實踐[J].廣東工業大學學報,2006,(12):103-104.
第3篇:網絡安全改善方案范文
今年4月,本田汽車零件制造有限公司決心改善網絡安全狀況。考慮到公司屬于中小企業,缺乏資金、人員、技術等實際情況,經過對多家安全廠商及產品的多方面考察,選擇了安裝趨勢科技專門為中小企業量身定做的CSM(中小企業安全軟件包)。幾個月下來,CSM就像一位不下班的IT助手,能夠全天候、不間斷、全自動地監控、響應和防范來自互聯網的各種威脅,使公司網絡環境得到很大改善。
靈活掌握網頁式主控臺
CSM提供基于客戶端和服務器的兩種不同服務模式。在普通電腦上,只需要安裝客戶端類型,CSM只相當于一個單機版防病毒軟件;指定一臺服務器電腦,同時安裝兩種類型,就可以通過服務器電腦管理局域網中的所有電腦了。其客戶端配置鎖定功能還有助于避免客戶端任意篡改或屏蔽病毒防護配置。
通過服務器電腦上的網頁式網絡安全主控臺,可以通過單一接口對所有客戶端進行遠程管理和故障診斷等專業化的管理,由于CSM設計簡潔而清晰,所有客戶端電腦的一舉一動都能一覽無余。
輕松指揮全天候
CSM這位“虛擬網管員”解決了公司沒有專職IT管理人員煩惱。通過后臺的趨勢科技安全專家,CSM提供7×24小時全天候自動警戒服務,不需人工干預,也不必手動操作,就可以隨時保持最新的防毒保護,還可以定期與趨勢科技TrendLabs解毒中心核對,是否有任何更新快速的更新流程,真正能降低潛在的風險。
為了節省時間,兼職管理員設置了自動查殺病毒功能,就可以安心做其他工作了。出現病毒情況比較嚴重時才采用手動殺毒。另外,CSM可以對病毒的處理進行預設,可以根據每臺客戶端電腦的具體情況分別設置掃描、清除、隔離或刪除等處理方式。當病毒查殺完成后,只需要查看CSM形成清晰細致的日志報告就可對整個網絡安全狀況一覽無余。
將多種威脅一網打盡
以前的防病毒軟件功能單一,很多新型威脅根本無法防范,而CSM能夠全面防范病毒、特洛伊木馬、蠕蟲、間諜軟件、垃圾郵件、系統漏洞、僵尸網絡,以及未授權訪問在內的多種威脅,還可以自動完成病毒特征碼的更新,真正從內容層到網絡層都為公司樹起了一道全面集成的防御防線。
尤其是CSM具有的病毒漏洞評價功能,可以自動執行掃描和報表匯總任務,通過對漏洞的嚴重程度進行評估,提供依照風險性優先級排列的報告,這樣就能提醒用戶采取適當的措施并安排有序的系統強化工作。此外,CSM的個人防火墻功能為PC、筆記本電腦和服務器提供保護防火墻保護功能,防止黑客對這些設備發起攻擊。
對垃圾郵件CSM也發揮了威力,它通過終端用戶隔離、類型過濾、攔截可疑文件、預先檢測等手段,有效過濾垃圾郵件,大大提升網絡帶寬。安裝CSM后,它會自動監測企業收到的郵件內容,進行最終用戶隔離,并在微軟Exchange服務器上攔截垃圾郵件或打上分類標簽,并將可疑郵件放置在特定隔離區供使用者甄別。
第4篇:網絡安全改善方案范文
關鍵詞:移動網 安全 IP化改造 LTE
中圖分類號:TN929 文獻標識碼:A 文章編號:1672-3791(2015)04(c)-0015-01
隨著現代通信技術越來越深入的影響人們的生活,通信甚至和喝水吃飯一樣成為了人們日常生活的不可或缺的一部分,而其中以3G、4G為代表移動通信技術更是成為其中與人們日常生活聯系最緊密的通信技術。在這樣的背景下,對移動通信網絡的安全性提出了更高的要求。但另一方面隨著用戶越來越多,業務越來越多,網絡規模也越來越大、越來越復雜。龐大復雜的網絡和安全性的高要求形成矛盾,依靠主備容災、倒換等傳統的安全策略已經難以對新型的網絡提供高效的安全保障,于是客觀要求我們提出保障移動網絡安全的新策略。
1 移動網絡IP化―― 安全新策略的承載基礎
傳統的網絡大都以電路承載為主要,但隨著網絡的演進,電路承載投資巨大,后續演進困難等弊端逐一顯現,基本上所有的主流運營商都選擇了網絡IP化的演進方向。所謂移動網IP化就是以IP承載方式替代傳統電路承載,實現移動網各個接口的IP化改造。IP化改造不僅本身提高了網絡的安全性,更為后續的安全策略提供了承載保障。后續的網絡演進幾乎都是建立在網絡IP化的基礎之上。對于移動網絡安全至關重要的是核心網的IP化改造,其中包括:Nc接口、Mc接口、Nb接口。
IP承載方式的具有天然的多路由選擇性,較之點到點電路承載方式更為安全。IP承載方式能夠有效降低傳輸負荷,對整個傳輸網絡的安全具有很大的提升作用。在IP承載方式的基礎之上網絡安全策略有了很大的提升空間。
2 打破大區制――網狀長途網的建立
2.1 傳統大區制長途網絡結構
對中國這樣幅員遼闊的國家,長途網對于通信網尤為重要,長期以來我國的長途網都是采用大區制。即全國分為若干個大區,每個大區都設大區節點,下帶若干個省份。大區下帶省份的出省入省話務均由大區節點所在省份匯接。
2.2 大區制長途網絡的安全隱患
在傳統長途網中,大區節點間點對點相連,大區內各省份話務均由大區節點轉接,這樣一旦某大區節點故障,將會對整個大區話務產生影響,造成數省大規模通信中斷。同時,大區制長途網絡中,由于節點單一,某省話務量激增會導致大區節點負荷激增,進而影響整個大區通信安全。
2.3 網狀軟交換長途網絡的建立
由于傳統長途網存在的安全隱患,加之傳統長途網基于電路傳輸擴容投資成本巨大,于是各大運營商紛紛建立起以IP為承載的新型軟交換長途網絡。
新型軟交換長途網絡有幾個區別于傳統長途網絡的特點。
(1)使用軟交換設備。
與傳統長途網絡由傳統交換機搭建不同,新型長途網絡使用軟交換設備,控制與承載分離。
(2)IP承載。
與傳統長途網絡使用電路承載不同,新型長途網絡承載與IP承載網之上,其Nb接口、Nc接口、Mc接口均實現IP化。
(3)網狀網連接。
新型長途網絡打破了層層轉接的大區制組網模式,實現了網狀網連接,安全型大大提升。
長途網通過新型軟交換網狀長途網絡的建立,安全性得到了很大的提升,和用戶日常通信更為緊密的本地網則提出了MSC Pool的概念。
3 MSC Pool――本地網池組化改造
MSC Pool是一種通過采用Iu/A-Flex技術,一個BSC/RNC可以歸屬于多個MSC,同時將多個MSC構成一組資源池,從而實現MSC資源共享的特性組網方案。
MSC Pool組網相比傳統本地網組網安全性能大為提高,主要表現為以下幾點。
(1)MSC Pool中無線側BSC和RNC與多個CN節點連接組網,A口或Iu口的安全性大大提高。
(2)MSC Pool組網方式下,通過負荷均衡技術,在同一MSC池區內能夠保證每個MSC接入用戶數大體相當。這樣有效避免了傳統組網方式下,某區域內用戶突然激增造成的整個MSC負荷激增的危險情況。
(3)MSC Pool具有良好的容災能力,一方面MSC Pool的負荷分擔機制已經具備了一定的MSC級的容災能力,另一方面MSC Pool組網模式還能夠提供良好的主被叫容災方案。
(4)由于MSC Pool內沒有局間切換和局間位置更新,所以信令流量和系統負荷大為減少,相應的網絡安全性得到了提升。
在3G網絡中引入的IP化改造、網狀長途網、MSC Pool組網等新技術新概念,使得移動網安全性能大為提高。
4 面向4G的歸屬位置寄存器――分布式HLR的建立
分布式HLR與傳統HLR最大的區別是將傳統HLR的信令接入及處理模塊和用戶數據庫模塊分離,分別成為分布式HLR的前端(FE)和后端(BE)。FE實現協議接入與業務處理功能,BE實現用戶數據的存儲、訪問、管理、接入控制、同步等功能。分布式HLR系統由前端和用戶數據庫功能實體構成。
分布式HLR具有完備的容災方案,一般建議的容災方式有以下幾點。
(1)FE可采用N+1備份方式(N>=1);當N=1時,可采用1+1主備或1+1互備;當N>=2時,應采用N+1主備方式。當主用FE故障時,信令消息自動/手動切換到備用FE;當FE恢復后,信令消息再恢復到FE。
(2)BE一般采用1+1主備方式,每個BE都可對FE提供數據訪問服務,形成BE的容災系統。每個BE中保存所有用戶數據,一個BE故障,另外一個BE自動接管,提供服務。
分布式HLR的優點主要體現在設備容量大、組網能力強、容災方案完善、設備利用率高、可靠性強、可平滑演進的特性 。HLR在移動網中具有舉足輕重的作用,直接關系到網絡安全。分布式HLR的建立對加強移動網的安全起到了至關重要的作用。
5 高效安全的第四代移動通信網――扁平化的LTE網絡
LTE的全稱是3GPP Long Term Evolution,其采用優化的UTRAN結構。LTE根據雙工方式的不同,分為FDD和TDD兩種模式。
LTE網絡最大的結構特點就是采用扁平化的網絡結構
LTE架構在安全提升方面有幾個明顯優勢。
(1)LTE采用了扁平化的網絡結構,使網絡結構進一步簡化。
(2)網絡扁平化使得系統延時減少,從而改善用戶體驗,可開展更多業務。
(3)網元數目減少,使得網絡部署更為簡單,網絡的維護更加容易。
(4)取消了RNC的集中控制,避免單點故障,有利于提高網絡穩定性。
今天,移動通信已經幾乎已經融入到了生活的方方面面,對于電信級的通信網絡,網絡安全是其生命線。隨著通信網絡的升級,越來越多的安全新策略被應用,我們一定能夠給億萬用戶提供一個越來越先進、越來越安全的通信網絡。
參考文獻
第5篇:網絡安全改善方案范文
趨勢科技針對中型企業的IT信息安全需求為中型企業量身定制了企業防毒服務“一站式”解決方案,力求達到如下效果:
通過產品,落實基礎的安全架構框架,分層次部署,加大防護力度。
通過服務,改善網絡環境,縮短病毒處理周期,提升安全管理水準,合理降低維護成本。
統一管理防毒更簡單有效
中型企業的信息化建設一般正處于構建基礎架構階段,網絡結構具有分散、多級、多節點等特點。目前中型企業存在的主要問題有:防牌復雜,管理難度大;網絡結構復雜,防毒產品更新、部署困難;終端用戶安全意識差,病毒的傳播防不勝防。
趨勢科技防毒服務“一站式”解決方案中所含的OfficeScan防毒墻網絡版軟件產品采用最新的云安全2.0技術,從大量病毒入侵互聯網的主要途徑入手,通過Web信譽服務和文件信譽服務將各類病毒擋在網絡之外,同時又加強了對終端的應用行為的監控和移動設備的管理(如U盤、MP3等),增強了各終端節點自身針對病毒與攻擊的防護能力,做到兼顧內外的雙層防護,幫助企業的網絡在面臨各種來自內部、外部威脅時靈活應對。
OfficeScan 10.0的云掃描模式在檢測病毒時,大量的病毒掃描任務被移到云端服務器完成,從而減少掃描病毒對本機的資源占用,不需頻繁更新病毒特征庫,節約了網絡流量,也從根本上解決了復雜網絡環境中由于病毒碼更新不到位造成的防護等級下降的問題。
針對內部威脅,趨勢科技利用先進的終端防護技術,及扎根于本地的防病毒監測中心,為客戶機、服務器提供強大的本地病毒、間諜軟件、Rootkit、新變種等惡意軟件防護及惡意程序清除、防火墻等。全新的插件式體系架構將終端防護變成了一個網絡節點安全的承載平臺,方便客戶在未來不斷通過插件擴展實現更嚴密的節點防護。
專業響應快速修復
目前國內中型企業的IT相關人員對網絡安全概念還比較模糊, 還不具備專業的防病毒技能,應對嚴重的病毒事件和網絡病毒爆發,無法快速地進行問題定位、分析、測試和解決。
防毒服務“一站式”解決方案的服務部分整合了趨勢科技原廠的EOG專家值守服務,幫助企業的網絡管理人員快速有效地應對病毒。多種組件形成的靈活的配套方案可以使企業選擇的空間更大。EOG服務所包含的專屬的原廠專家提供7×12小時或7×24小時的技術支持,可以為用戶提供快速的案件提交通道,并精準診斷、快速處理各類病毒問題。在應急處理過程中,有專業工程師現場配合MOC專家一起處理病毒,并有原廠6小時的快速響應承諾,為企業有效處理病毒危機提供了充分保障。
對有更高管理要求的企業客戶,可以提供遠程安全監控服務。趨勢科技監控中心根據客戶的需求定義出安全監控的關鍵指標,并在出現威脅時主動發出警報和配套解決方案,同時也提供內容豐富的每日、每周、每月防病毒數據分析報告,便于IT管理人員隨時清晰了解網絡安全現狀并向領導匯報。
目前,趨勢科技的防毒服務“一站式”解決方案已經在多個中型企業成功應用,獲得了用戶好評。兄弟(中國)商業有限公司網絡中心黃主任反映:“采用趨勢科技的網絡安全系統之前,我工作壓力很大,電話響個不停,而應用了趨勢科技產品后,網絡的病毒源、病毒規模和破壞力都降到了可控的范圍!采用了趨勢科技的EOG專家服務后,每次發生嚴重問題,專家都打電話給我提醒,監控中心的嚴格案件處理流程確保了我們問題的及時處理,而且專家們很快就給出來有效解決方案,大量減少了我們的工作量!”
第6篇:網絡安全改善方案范文
關鍵詞:企業網絡安全 數據安全 網絡病毒防護
一、網絡安全
現代經濟的發展,網絡的運用已經遍布世界各地。保證網絡安全,也就是保證網絡硬件軟件和數據在除自然、人為因素破壞之外受到應有的保護,,保證其不被破壞、惡意泄露等,保密、完整和可用時網絡安全的三大指標。現如今,垃圾信息,的大量產生嚴重減緩網絡速度,影響這個系統的運行。連續的操作能力對于一個網絡系統來說是至關重要的。保證一個完整的程序完整的運行,不僅是服務器還是數據終端都要產生必須的可持續服務的。再者,網絡的安全也受場地環境、電源等條件的影響和制約。技術上的不足,其實是影響網絡安全最主要的因素,其次還有配置不高、人為錯誤和政策錯誤等都有可能對網絡安全造成威脅。網絡的安全就是要達到網絡不被惡意修改、惡意泄露個人用戶信息。不管是內部的還是外部的網絡的安全都要能夠有效的防治攻擊,這其中就包括保護網絡數據庫的安全,有效制止網絡病毒對于網絡的侵犯。
二、企業網絡安全防護措施
雖然現在有相當一部分企業通過使用內網企圖阻斷互聯網對于企業網絡安全的威脅,但是這樣在一些方面也制約著企業的發展,網絡的運用對于一個企業來說是無法避免的,使企業陷入尷尬境地。企業對于網絡的監管以及采取必要的網絡安全措施是必不可少的。
1.企業網絡數據庫安全防護
作為儲存信息的重要場所-數據庫,擔負著管理整理和保護這一系列責任重大的任務。新生事物與問題一直以來都是并存的,數據庫的產生與數據庫安全問題也是并存的,并且隨著數據庫技術不斷發展問題不斷加深。 當前,郵箱用戶密碼泄露等各種泄密門的頻繁發生,已經為企業網絡數據庫安全敲響警鐘。對于數據庫的安全防護我們可以從以下幾方面入手。
對于特殊的訪問模式對象,數據庫應該允許用戶在莎草操作的對象上特殊動作模式。簡單而言,就是數據庫應該允許一些特殊對象層上的訪問和使用數據庫機制。比如說在對一個數據庫進行訪問的時候,部分用戶僅僅只能操作INSERT、SELECT的語句程序,像DELETE這樣的語句在這里將不被允許使用。對于用戶也可以分門別類的進行安全管理策略。對于普通用戶,管理員應該在涉及所有用戶的權限管理方面加強考慮改善,要么就是用角色來管理控制用戶可用權限,要么就只允許少部分用戶使用數據庫,明確用戶權限,不適用角色。一般來說,對于用戶身份的確認,最簡單也是最直接的辦法就是用戶自行設置密碼,同這樣的方式與數據庫進行連接。一個數據庫有大量的用戶使用的時候,管理員應該將用戶分成若干用戶組來管理,并且創建各個用戶組的角色。管理員給予一個角色所應有的權限,這樣也就把這些權限賦予了這些用戶。這使得管理更加條理明晰化。當然也有特殊例外情況,對于一些特殊權限,管理員必須明確權限到每一個用戶層面上。對于一個大的數據庫,應該根據實際情況把管理員也分成幾個類型的,根據管理權限把管理員分割成幾個管理角色。對于操作系統的安全,管理員應該具備管理操作系統的權限,這樣做是便于創建和刪除一些文件,保護數據庫環境良好。而一般的數據庫用戶不能擁有操作系統的權限,這便于保證數據庫必要的安全和其他用戶信息的保密性能。
還可以對數據庫進行加密。目前大型數據庫平臺一般都是Windows NT/2000等,其對應的安全等級基本都在C1\C2級別。雖然這些數據庫在網絡安全方面增加不少措施,但是在操作系統和數據庫管理系統對數據庫文件本身的防護措施仍然不足。網上黑客往往繞開這些防護措施直接通過對操作系統的工具的運行篡改數據庫文件內部的內容。針對這一漏洞,一般采取的是B2級別的安全技術防護措施,增加對數據庫中的敏感數據的加密處理,達到阻塞這一黑客攻擊行為。算法在適應數據庫系統特點的前提下,對于加密和解密的速度要達到一定程度,通過加密算法對數據庫加密核心。把計算機硬盤的數據進行備份和回復,就會有效的防止因為數據庫的損壞或泄漏而帶來的經濟損失。一般來說,可以通過磁帶備份、硬盤備份和網絡備份三種方式來進行數據的備份。保存這些備份資料的物質要存儲在異地,并且保存介質要防火、防潮、防水和防磁。并且還要定期清潔備份設備,安裝報警設備,隔期檢查。除此之外,企業還應該制定完備的數據備份策略,一般情況下,完全備份、增量備份和差分備份這三種備份策略結合使用。
2.企業網絡病毒的防范
網絡的運行使得各種網絡病毒滋生,企業在加強用戶遵守和加強安全操作控制措施的前提下還應該加強安全操作,靈活運用硬件和軟件病毒工具,利用網絡優勢,把病毒納入到網絡安全體系之中,形成一套完整的安全機制,使病毒得到有效的控制,不會在企業網絡中傳播。在思想和制度方面,應該加強員工制度管理,打擊盜版,建立健全網絡安全管理制度。在技術方面,采取采取縱深防御方法,運用多種阻塞渠道和安全機制對病毒進行防范。對于病毒的防范最根本的是操作系統的安全,開發并完善高性能安全的操作系統,全面升級操作系統,提高操作系統的安全性能,能有效提高對網絡病毒入侵的防范。還可以通過軟件過濾對病毒予以識別,隔離病毒,對于已經存在在系統內部的病毒,一般而言會采用系統參數分析之后,識別系統的不正常和惡意改變。在數據庫后臺建立一個嚴密的病毒監視系統,可以大大提高病毒入侵的防止工作力度和效率。對于一些需要下載的、有附件的的文件,系統可以對其進行實時掃描,存在異常則隔離處理,及時更新病毒庫,集中處理病毒,便于管理。在網絡出口處進行訪問控制,可以在出口處安裝防火器或者路由器,這樣也可以有效的防止內部網絡中感染網絡病毒。只有建立一個有層次的、立體的、系統的防反病毒體系,才能有效地制止病毒在網絡內的蔓延和傳播。
參考文獻
[1]陳雪,企業網絡安全防護技術措施[D],四川信息職業技術學院,2011.1
[2]何毅,企業網絡安全的防護,如何能經濟有效,2011.4
[3]李燕子,構建企業網絡安全方案[J],企業網絡安全,2009.9
第7篇:網絡安全改善方案范文
[關鍵詞]網絡安全;安全協議課程;實踐教學
[DOI]10.13939/ki.zgsc.2016.02.111
構建安全網絡、營造網絡安全環境都需要網絡安全協議。人們對應用于計算機中的安全協議做了大量的分析研究,就是為了提高網絡信息傳輸的安全性,使之能從根本上保證網絡安全,以免造成因網絡安全等級不夠而導致網絡信息數據丟失或者文件信息丟失以及信息泄露等問題。網絡安全協議課程包括對密碼學和計算機網絡的學習,網絡安全協議比較復雜,無論是對于教師還是學生而言,難度都比較大,所以學生只有在加強自身的理解與應用能力之后,才能有利于新知識的繼續學習。針對網絡安全協議中的協議原理和細節,對于教師而言,如何讓學生理解非常重要;對于學生而言,如何掌握并應用非常重要。所以,教師對于網絡安全協議課程的實踐教學設計不能馬虎。
1實踐教學設計總述
常用的網絡安全協議包括Kerberos認證協議,安全電子交易協議SET、SSL、SHTTP、S/MIME、SSH、IPSec等。[1]這些安全協議屬于不同的網絡協議層次,能提供不同的安全功能。特別是在IPV6當中采用IPSec來加強網絡的安全性。并且在開放系統互連標準中,網絡協議被分為7層,其中物理層、數據鏈路層、網絡層、傳輸層和應用層都是常用的。所以,由于每種網絡安全協議內容豐富以及它們都有各自的優點和缺點,致使在實際應用中網絡安全協議更具復雜性。教師需要通過實踐教學設計來實現讓學生全面理解和掌握協議中的原理和細節,并能夠有效應用。首先要做到讓學生由表及里的、由淺入深的認識和學習網絡安全協議,其次要做到讓學生能應用到網絡安全協議,最后達到創新的目標。所以實踐教學內容要劃分為階段性的,才能讓學生逐步透徹地掌握網絡安全協議中的方方面面。
2SSL協議的實踐教學實施
2.1認知階段
教師在本階段的教學內容就是讓學生認識SSL協議。需要掌握以下內容:
SSL采用公開密鑰技術,其目標是保證兩個應用間通信的保密性和可靠性,可在服務器和客戶機兩端同時實現支持。目前,利用公開密鑰技術的SSL協議,已成為因特網上保密通信的工業標準。SSL協議中的SSL握手協議可以完成通信雙方的身份鑒定以及協商會話過程中的信息加密密鑰,從而建立安全連接。SSL握手協議如下圖所示。
SSL握手協議
而在SSL協議中,獲取SSL/TLS協議通信流量,直觀地觀看SSL/TLS協議的結構就需要使用Wireshark抓包分析工具軟件。通過流量抓取分析來讓學生掌握SSL/TLS的具體內容。
2.2體驗階段
經過初步的學習,要讓學生體驗SSL的應用范圍,對SSL的應用過程有一個直觀的感受和體驗。學生用于數字證書生成、發放和管理需要完成CA的安裝與配置,其次分別為IISWeb服務器和客戶端申請、安裝證書,再在服務器上配置SSL,通過以上步驟完成IIS服務器中的SSL/TLS配置來建立客戶端和服務器的連接。[2]此階段的具體應用會讓學生深入的了解SSL/TLS中的有關內容。
2.3應用階段
應用階段的教學內容是前兩階段教學內容的升華,它會使學生具備利用SSL/TLS協議進行通信的編程能力。而要達到這點,就需要通過利用OpenSSL,實現一個簡單的SSL服務器和客戶端。這個階段的工作量不小,學生需要在教師的指導下分組進行。進行過程中主要環節包括,首先,學生利用自己熟悉的系統和開發平臺來完成OpenSSL的編譯安裝。其次,學生參考已有的源代碼來完成VC++編譯環境的設置。[3]再次,學生利用OpenSSL的證書生成命令性工具生成服務器和客戶端數字證書。最后,通過完成簡單的TCP握手連接和通信,并加入SSL握手功能來實現SSL/TLS編程。
2.4總結提高階段
課堂上的理論教學和階段性的實踐教學對于學生熟悉掌握SSL協議具有很好的作用,但是還存在某些方面的不完整性。例如,通過研究和實際應用SSL/TLS協議的過程中,如何進一步改善SSL/TLS協議所存在的問題。這些都是需要學生去解決的。在解決過程中,學生就能具備進行高效學習的能力。教師可以采取向學生提問的方式來進行這一階段的教學內容。問題可以是多方面的,例如通過前幾階段的認識和實踐,SSL/TLS協議還存在哪些不足?并通過一個實際的SSL/TLS協議的應用案例,發現SSL/TLS協議還有哪些局限性,并解決這些局限所帶來的問題。在此階段內,學生和教師要進行不斷的交流和討論,并找出相關事實依據來論證自己的觀點。例如,針對Heartbleed漏洞,學生需要了解漏洞產生的原因和危害,并提出解決措施。通過分析發現是OpenSSL開源軟件包的問題導致了此漏洞出現,與SSL/TLS協議并無太大關系。經過對此問題的分析研究,我們可以發現,協議本身的安全并不代表能在實現協議過程中避免所有的不安全因素。
3實踐教學效果評價
各個階段的實踐教學過程需要教師進行精心的設計和把握,并通過具體的實施實踐才能驗證實踐教學設計的是否合理,是否有效。由于網絡安全協議課程本身就非常復雜,再加上具體實施過程中內容、方法和難度有所不同,就需要根據學生的反饋情況來進行及時的調整。教師要從各項反饋指標進行自我反思,并與學生進行溝通。同時,在此過程中,也要認真檢查對學生的作業布置,關注學生是否掌握了有關網絡安全協議的技能,注重學生的完成情況和學生對于實踐教學過程中不足之處的意見。
4結論
網絡安全協議內容復雜,具體應用過程及各項技術操作也較為煩瑣,因此,單單只是針對SSL/TLS協議的實踐教學做了簡要的設計并不能移植到所有的網絡安全協議課程的教學中去。若要講關于網絡安全協議中鏈路層和網絡層,那么第三階段的實踐教學內容就不具意義了。而要講應用層的安全協議,第三階段的實踐教學內容相比于第一階段和第二階段就重要得多。對于信息安全專業的學生來說,只有掌握好計算機網絡和密碼學的課程內容,才能繼續網絡安全協議課程的學習。因為網絡安全協議課程的理論性和實踐性都非常強。在實踐教學的實施過程中,不但要讓學生充分品嘗動手的樂趣,還要讓學生掌握網絡安全協議的具體知識。同時還要注重培養在網絡安全協議方面的應用型人才。
參考文獻:
[1]劉凱.網絡安全協議課程的實踐教學設計[J].計算機教育,2014(24):111-114,118.
第8篇:網絡安全改善方案范文
關鍵詞:云計算安全 APT攻擊 APT防御
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)11-0177-02
近年來,互聯網技術的迅猛發展,網絡的依賴性逐年增強,而云計算以及云計算安全自然成為研究焦點。云計算安全能讓人們享受到來自網絡的安全服務,而云計算的充分利用,則需要云計算的安全防御作為保障。網絡中的APT攻擊,也促使APT防御的研究不斷推進。
1 云計算安全現狀
傳統的IT系統是封閉的,由各個獨立的部門所控制;而在云計算安全中,所有的數據、IT基礎設施和網絡架構等均暴露在云中,其周邊環境無法控制;另外,云計算系統運用虛擬化技術也帶來諸多不利因素。
網絡方面,首先,在云計算中,其環境沒有拓撲邊界,多個業務系統共享同一物理基礎設施,如圖1云計算系統的網絡拓撲所示,利用云技術虛擬化后,位于某臺服務器上的虛擬機可能不在同一安全區域,而位于多臺服務器上的虛擬機卻在同一安全區域。其次,在虛擬化環境中,位于一臺服務器上的虛擬機之間的數據可通過虛擬交換機進行數據交換,而其對外部網絡不可見。
存儲方面,云環境下,所有數據被保存在云端,而云的存儲空間不被用戶知曉。另一方面,為保證云端數據的安全性和保密性,云端數據進行加密處理,其利用數據搜索和分析方法,也不能在短時間內搜尋有效數據。
2 基于云計算安全的傳統APT防御
從技術手段方面分析,針對APT復雜性攻擊可分為兩個方面。
(1)采用多途徑不同方式進行情報收集
對于此方面的防御是不管攻擊者通過何種渠道攻擊,其必須在個人電腦上執行。雖能夠防止APT攻擊,但操作人員有機會進入到云中,查詢大量數據,其可造成數據泄露。
(2)從交叉學科的角度分析
APT攻擊有眾多前沿領域的交叉,如圖2交叉學科應用示意所示。對于該類APT攻擊的防御,其采用大數據分析檢測方案,但對服務器運行速度有較高需求,因此不能被廣泛應用。
3 云計算安全的防御改善
針對大型企業,云計算建立的文件白名單、安全策略和服務器級別,其對全網文件可進行云查詢、云審計和云鑒定,最終實現監測和防御APT攻擊。
對于核心服務器,可采用高級安全策略,即除指定文件外,其它所有文件都不能運行,杜絕機密信息被泄露的可能性。這種高級安全策略只關閉核心文件運行,并且服務器運行良好,也不影響用戶的正常使用,極大的增加服務器的安全性。針對中小型企業,防御改善如下。
(1)周邊網絡安全
防火墻是建立于內、外網絡邊界上的封鎖機制,內部網絡被認為是安全、可靠的,而外部網絡存在安全隱患。防火墻通過監測、限制、更改跨越防火墻的數據流,極大保護內網的安全。
(2)主機層安全
對于企業內部核心服務器和重點用戶計算機做統一的安全管理,即安裝正版的企業型殺毒軟件。因為企業版本的殺毒軟件的優勢在于對于客戶端的管理,并方便采集整個網絡的安全狀況。對網絡用戶的用戶名和口令進行驗證,其是防止非法訪問的核心防線,并且重要服務器上的用戶認證須經常更換;然后再利用網絡控制用戶和用戶組訪問文件和其他資源;可以指定用戶對這些文件、目錄設備能夠執行的權限。及時安裝操作系統漏洞補丁或數據庫系統補丁,以預防0day攻擊。
(3)數據層安全
數字簽名即是一個收發雙方進行簽名和確認的過程,提供對信息來源的鑒別、保證信息的完整性和不可否認性的功能,其為解決偽造、冒充和篡改等問題提供解決方案。
(4)增強安全意識
現今的信息安全已不再是只靠產品解決方案,就可高枕無憂的年代。即使詳盡的安全策略,也可毀于企業內部人員的錯誤操作。對于APT的攻擊,提升用戶終端使用習慣和安全操作意識,禁止員工在重要服務器上使用U盤,都可有效防御APT攻擊。制定明確的信息安全手冊,禁止員工點擊垃圾郵件和不明鏈接;了解當今安全威脅趨勢和進行合理的終端設備管理,禁止員工將存有企業內部重要信息的筆記本在非安全的環境下連接至互聯網。
4 結束語
本文研究云計算安全現狀和傳統APT防御,提出針對中小型企業的云計算安全的改善措施,即安全管理和維護、核心服務器安全管理和企業文檔數據庫權限控制等措施。
參考文獻
[1]杜躍進,APT應對面臨的挑戰[J],中國信息安全,2012,(09):80-80.
[2]王繼剛,瀏覽器軟件的安全漏洞挖掘技術研究[J],信息網絡安全,2012,(12):36-38.
第9篇:網絡安全改善方案范文
關鍵詞:網絡安全;嗅探器;檢測;響應;托管式安全監控
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)05-1068-03
Network Security Management and Monitoring
WANG Li-zan
(Modern Education Technology Center,Guangdong Pharmaceutical University, Guangdong Province,Guangzhou 510000,China)
Abstract: This article presents an analysis to the causes of the security risk that enterprises may have in the Internet, the current security risks and counter measures. Furthermore, an explanation to the importance of monitoring in the network security, and a brief introduction to Managed Security Monitoring, as well as its potential in enterprises development, which is constructive to enterprise network security.
Key words: network security; sniffer; detection; response; managed security monitoring
1 引言
互聯網對于商業來說是至關重要的。一個跨國大公司往往別無選擇地將其內部網絡連接到世界上各個地區,因為那里有著他們的客戶,供應商,合作伙伴和自己的雇員。 然而隨著網絡的擴展新的威脅也隨之而來,惡意黑客,犯罪分子,工業間諜等的數量與日俱增。 這些網絡上的掠食者,不斷的企圖竊取公司資產和知識產權,或者通過對關鍵性的服務器進行攻擊來使系統服務停止甚至崩潰。這種行為產生的后果,不僅損害到了公司的聲譽,而且還會驚嚇到客戶。 如果一個公司不能成功地進行防范和解決這些問題,那么他們的業務在商業因特網上的擴展在很大程度上也將會受到阻礙。
2 網絡安全
2.1 安全的重要性
計算機安全是互聯網的一個根本技術,它起源于純粹學術上的好奇心,發展到現在已經演變成為一個十分重要的商業應用。在互聯網上,任何企業或個人都無法忽略對安全的需求。
網絡上貿易機密,客戶資料,金錢等被竊取的風險是真實存在的。由計算機安全問題所造成的損失也可能是相當巨大的。例如ILOVEYOU病毒,據不完全統計,它在全球范圍內造成的損失已高達100億美元;其中生產上的損失占了絕大部分,同時它帶來了其它間接的影響:顧客的流失,品牌和商譽上的損害,這些都是難以進行估計的。 除此之外,新的問題將接踵而至。因為歐洲的國家都有嚴格的隱私法:如果公司或企業不采取相關措施來保護客戶的隱私,他們將被追究法律責任。在美國也有類似的法律,尤其是銀行和醫療保健等行業-都會制定相關的法案來專門針對隱私保護。
雖然在互聯網上進行業務的同時伴隨著如此大的風險,但是公司和企業并不會停止去利用這個平臺。因為網絡能給企業帶來新的市場,新的客戶,新的收入來源,甚至新的商業模式。這是具有相當巨大的誘惑力的,所以即便是存在這樣的風險性,他們也會不斷的在這個互聯網環境里拓展自己的業務。正因如此,比起其它問題來,計算機安全更加顯得重要。
2.2 落后的傳統安全
網絡安全上的攻防如同在進行軍備上的較量,且攻擊者一方具有較大的優勢。首先,防衛者必需對所有可能的攻擊進行防范,而攻擊者需要做的只是找到其中一個弱點或者漏洞。其次,現代巨大而復雜的網絡使得防衛者不可能保證100%的安全性。另外,熟練的攻擊者可以將復雜的攻擊手段整合到軟件中,使得即使是一些非內行人士也可以很容易的使用它們。這就不奇怪為什么連一個專業的首席信息官(CIO)也無法完全地掌握所有這些可能存在的威脅,普通人就更不可能做到了。
計算機安全已經發展了40幾年,每年都有新的研究,新的技術,新的產品,甚至新的法律不斷出現,然而網絡的安全狀況卻似乎一年比一年更糟。在互聯網上,安全只能說是相對的。
今天安全的東西明天可能會變得不再安全,即使是微軟這樣大的公司,也會受到攻擊和入侵。因此我們對網絡安全的考慮重點不應該放在安全設備的數量方面,而應該更多的將注意力集中到嚴謹的流程和制度上。我們必須停止一味地尋找能避免一切攻擊威脅的神奇的防范技術,更多時候應該完善好攻擊和防范的處理措施及方案,這將有益于我們更好地掌握到可能存在的風險。
2.3 安全與風險管理
每當同網絡管理員提及計算機安全技術,他們往往談到的是“如何去避免威脅”。這是傳統規范的計算機安全所產生的一種計算機科學心態:找出有什么威脅,并通過技術的手段來避免和根除。可惜的是,技術可以在某種程度上“解決”電腦安全問題,而最終的結果往往是安全程序成為了一個裸的商業犧牲品。
安全并不僅僅是純技術上的問題,它同每個人也是息息相關的。 沒有任何一個計算機安全產品,能完全保障網絡與財產的安全性,而且這也不是企業應有的經營方式。
對于企業管理風險,網絡安全只是其中的一個環節,安全性也并不是在任何情況下都越大越好的。你可以通過一進門就對每一個人進行嚴格審查的方式來改善一間銀行的安全與風險管理,但是如果采取這種做法,會很大程度上影響到商業利益。因此所有這些企業都在尋找著一個合理的安全的平衡點,這樣的局面給另外一些公司和企業開拓了新的市場:為了在執行安全的同時吸引和留住新客戶,他們需要根據所處的環境以及他們所從事的行業,來選擇特定的計算機安全解決方案。
3 安全管理監控
3.1 預防,檢測,響應
現實世界里的安全,可概括為預防,檢測,響應。 如果預防機制很完善,你甚至可以不需要檢測和響應,但遺憾的是沒有哪個預防機制是100%完美的。實際上,對于計算機網絡,所有的軟件產品都存在或大或小的安全漏洞,大多數網絡設備也都存在錯誤的配置,用戶方面也可能會出現各種操作上的失誤。所以沒有檢測和響應,預防機制所體現出來的價值是相當有限的。另外,比起設置更多的預防措施,加入檢測和響應反而更具成本效益,也更加高效。在互聯網上,我們統稱為監控。
監控才是真正的安全。一個偷竊者,無論如何入侵或者怎樣做。只要有足夠的行為感應器,電子眼,和壓力板設置在你的房子里,只要他進來過,您都可以捉到他的蛛絲馬跡。同理,如果您可以很仔細的監控網絡,那么無論黑客利用什么漏洞進行入侵和攻擊,您都能第一時間發現它。如果迅速作出有效的應對措施,您也同樣可以在他造成損害前阻止他。良好的檢測和響應可以彌補不完善的預防措施-沒有哪一家銀行敢這樣說:”我們的安全措施是十分完美的,我們不需要一個警報系統” 。檢測和響應是在現實世界中我們得到安全的方式,也是保障我們可以在互聯網上安全穿梭的唯一手段。一個企業的CIO如果要妥善管理相關的風險與他們的網絡基礎設施,那么就必須在網絡監控服務上進行一定的投資。
3.2 網絡安全監控
網絡監控意味著一系列的嗅探器覆蓋在網絡的周圍,并針對每一個網絡設備和服務器生成連續的數據流的審計訊息。若發現可疑的行為,智能檢測系統便發送提示信息,每一個其他的安全產品便會以某種方式產生報警信號。然而這些嗅探器本身并不提供安全性,所以你必須清楚地了解他們的不足之處,并且在假設攻擊者已經完全掌握這些嗅探器的特征的前提下作出應對措施。
第一步是智能地提高警覺,根據整個網絡環境的不同,網絡攻擊的蛛絲馬跡可以是很微小的。對于一個中等規模的網絡, 軟件可以在一天里,過濾數萬兆字節的審計信息的,但攻擊者卻可以很容易就瞞過軟件的檢測。所以智能地提高警覺,要求人們做到:
1) 分析軟件發現的可疑訊息;
2) 更加深入地了解可疑事件,確定真實的狀況;
3) 將錯誤的警報和真正的攻擊區別開來;
4) 了解它們之間的聯系。
總的來說,提高警覺性,可能相對于整體來講只是稍微有效的,更重要的應該是要知道如何去應對,這是第二步。再好的網絡監控軟件提供的也只是一種信息,而這些信息要體現出它的價值則需要專家。最后,必須結合組織的業務需求做出合適的處理措施,所有這一切,是檢測和響應用于計算機網絡所要求達到的。
網絡設備每天產生兆字節甚至更多的審計信息,自動搜索軟件通過這些字節進行篩選,尋找并發現攻擊的跡象;專家再進行分析,了解攻擊的行為,并決定如何作出回應;最后網絡的使用者-組織-則在針對主要業務的基礎上進行合理的安全決策。
因此做好網絡監控工作,人們需要做到上面的每一步。軟件不會象人一樣思考,不會發問,也不會自我適應。 缺少了人,計算機安全軟件,只是一種靜態的防御。 而軟件與專家相結合,將使你擁有一個完整的更高級別的安全性。
3.3 監控服務托管
檢測和響應系統成功的關鍵是自身的警覺性:攻擊可以發生在一年中的任何一天以及一天中的任何時間。雖然公司或企業是有可能為自己的網絡建立專門的檢測和響應服務,但成本效益較低。部署在安全方面的工作人員,以每日二十四小時,一年365天來算,需要5個全職員工;如果包括主管和其它專門技能的備份人員,則還可能還需要更多。
即使這個組織有資金和預算可以投入到這方面人力上,在今天的就業市場仍然很難聘請到他們。想留住他們將更難:因為對一個單一的組織的攻擊行為,并非經常發生,不足以讓一隊高素質的人員感興趣和從事于此。
在現實世界中,這方面的專業項目大多數情況都是進行托管,它是唯一滿足需求的符合成本效益的方式。除了專業技術的聚集,這個訊息的服務同時帶來了其它的經濟規模。因為它需要更多的人,所以它更容易雇用和訓練其人員。它可以為他們建立一個基礎設施進行支援和培訓。對新的黑客工具,新的安全產品,新的軟件以及新漏洞的監控手段的了解都保持直至目前為止。一個托管式安全監控(MSM)服務可以將這些費用分攤到所有客戶上。
MSM服務提供商在互聯網上相對于單一客戶來說也有一個更廣泛的視野,它通過對某個客戶的攻擊行為的了解,將新的知識用以保障其所有的客戶。對于一個MSM公司 ,網絡攻擊是每天都在發生的;而公司內部的專家,他們也知道如何去回應和處理這些特定的攻擊,因為在所有可能的情況下,他們已經碰到過很多次這樣相同的行為和事件。因此,安全是相當復雜的,而且至關重要,將其進行托管比起自己去實施可要有效的多。
3.4 監控優先
監控應該是任何網絡安全計劃的第一步.它是網絡管理員可以做的即時起作用的手段。而政策分析和脆弱性評估需要時間,如果不付諸于實踐,實際上并不能很好的改善網絡的安全。另外,安裝安全產品,往往需要正確安裝在適當的地方才能達到提高了安全性的效果,監控,可以確保安全產品是否正在提供它們應有的安全保障。
大型的網絡通常是由內部網和外部網組成,監控的最佳時間是當網絡中數據相互流通的時侯。監控的主旨是即時的安全,既不做脆弱性評估,也沒有為網絡提供防火墻。 監控提供了其它的安全產品所不能提供的動態的安全方式。并作為安全產品已嵌入到IDSs網絡防火墻,一個專門的安全裝置,它使監控得到了更好的發揮。
監控是公司和企業安全的視窗。監控可以通過信息反饋,以保證其他網絡安全活動更加有效。它可以幫助您確定在哪個位置安裝安全裝置,以及確認他們的狀態是否正常。它可以使您知道如何去正確配置安全設備;它可以確保你的安全性始終走在前沿。所以,實施網絡安全計劃,監控是需要做的第一件事。
4 結束語
一個高度連接網絡必然存在著安全隱患。安全產品并不能完全“解決”網際網路安全性的問題,實際上,存在著許多它們無法涉及到的盲點。進行安全和風險上的管理:在企業網絡拓展的同時采用合理的計算機安全解決方案,這是一個比較好的方式。
計算機安全關鍵在于提高警覺性,是需要每天都要保持的。千百年來,不管技術進步如何迅速,世界上仍然沒有一個絕對安全的地方,警報和安全服務仍然是國家的重要指標。
要達到有效的安全性是必須有人的參與,自動化的安全系統始終是會存在缺陷的。一個狡猾的攻擊者可以利用新的攻擊欺騙軟件繞過安全設備 。人們需要接受這個事實,并對新的攻擊和新的威脅作出反應,重新對事件進行權衡:人的思維是攻擊的源頭,所以人的思維同樣可以用來進行防范。
互聯網的現狀使得托管式安全監控(MSM)服務發展為最具成本效益的方式,它提供了更具彈性的安全,它可以把人,制度和產品很好的結合在一起,它將為混亂的現代商業網絡創造了一個安全的環境。
參考文獻:
[1] 杜向文.中小企業的網絡安全[J].計算機安全,2006,(8):47-50.
[2] 石焱.計算機網絡安全的現狀及對策[J].科技廣場,2008,(8):89-90.
