基于计算机网络系统的安全集成

点赞:21054 浏览:95209 近期更新时间:2024-01-23 作者:网友分享原创网站原创

摘 要:计算机网络系统安全是当前社会议论的热点,它对于企业未来的发展有着非常大的影响.基于此,本文从网络安全现状与常见威胁出发,重点分析了网络安全结构,以期能够对企业信息安全建言献策.

关 键 词:计算机网络;安全;VLAN

中图分类号:TP393.08

伴随着我国网络普及率的不断提高,网络安全问题已经成为当前社会议论的热点.计算机网络安全已经不再是关乎到企业经营利益,更重要的是关乎到国家未来发展的安全与稳定.所以现代社会网络安全问题将是未来最重要的安全性问题,必须要整个社会共同努力,全面提高安全防护措施.

1网络安全现状与常见威胁分析

(1)企业网络安全现状分析.就目前形势来看,国内企业数据信息安全很多乐观,特别是在信息网络安全方面、网络安全技术人才方面、企业内部员工网络安全防护意识方面均存在着较大问题.更有甚者,一些企业领导认为像防火墙此类的安全防护软件可有可无.殊不知,网络安全体系的构建是一项长期的工作,只有在关键时刻才能够显示其最大的价值.

(2)企业网络面临的安全威胁.第一,自然威胁与无意失误.所谓自然威胁即是指因自然灾害所导致的企业数据丢失,这种网络威胁是不可避免的.无意失误顾名思义就是指由于企业内部安全管理人员的误操作所导致的企业机密信息丢失或者泄露.企业网络管理员在进行网络安全配置时,由于网络安全设置不当,导致用户口令较为容易.第二,非授权访问.所谓非授权访问是指通过编写各种或者通过调整计算机程序入侵其他用户的网络,或者以非法未授权的方式访问其他用户系统文件.有些会通过一些非法手段,肆意扩大访问权限或者以虚检测身份进入他人计算机网络进行各种数据信息的读取.第三,木马程序及后门.这种威胁主要是指利用远程控制手段,对他人计算机程序进行非常隐蔽或者未授权方式的读取.如果企业的某台计算机被非法安装了木马程序或者后门,那么该计算机上的各种机密信息就极有可能被窃取.譬如该计算机上输入的各种,相互交换的各种数据信息,均会通过非法程序向直接发送.现阶段这种远程控制方式非常普遍,也是窃取他人信息的主要手段之一.第四,计算机病毒.这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能,窃取计算机数据而安装的.计算机病毒的出现肯定会对该计算机系统的运行产生一定的影响,它既能够自我复制计算机指令来控制计算机,同时也能够在该系统中寄生更多的病毒.一般情况下,计算机一旦被病毒感染之后,均会出现蓝屏、自动重启、卡机等问题,而且会在非常短的时间之内致使整个计算机系统瘫痪,给企业带来非常惨重的损失.

2网络安全体系研究

关于网络安全体系的实施过程,其实施前提是系统已经部署了较为完善的安全产品,如计算机防入侵检测系统、网络防火墙系统、计算机防病毒软件、VPN以及相关的安全认证等.对于各种类型的安全产品集成的有机体系与系统动态的安全策略是一致性的,其维护是对网络安全体系进行构架的关键因素.系统安全的策略拓展的时效性,则是为了实现系统安全目标的必要条件.

(1)互操作性.对于各个怎么写作都必须遵循的基本安全策略工作时,就是为了解决系统互操作性的关键要素.也就是说系统安全策略必须保证其各个怎么写作都遵循一致.此外,对于某些怎么写作的活动范围其依据并不是直接来源于系统安全策略,而是出于怎么写作间的联动规则.所以说针对此类系统控制中心必须能够及时的实现这种联动规则.

(2)可管理性.对于一个设计良好的可靠地信息安全集成管理平台来说,其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现,进而促使对安全需求方面能够更加全面准确地得到满足.这即包括了确定必需的安全怎么写作也包含了对安全机制与技术管理方面的要求,从而实现网络安全体系在系统中的合理部署与配置.

(3)可扩展性.关于网络安全体系集成可扩展性的要求是:对于每种新投入的安全怎么写作或安全设备,或者新型的网络安全技术的使用,系统可接纳其无缝集成运行到系统中无需对操作本身作修改,或只作较少配置改动.

3网络安全设计结构

依据网络安全的相关法律法规,安全防御策略应是全方位和动态纵深的,对网络实行分层、分级以及实时防护,对于网络中的特定的安全漏洞能够及时评估和发现,对于各种网络的侵入行为实时监测并能依据监测结果预警,甚至是遭受攻击时,自发地发出报警信号、处理措施;这样就使得在恶意入侵某一层安全防御措施后,能被后续的应急措施阻拦,确保系统的最大程度安全.

(1)VLAN的网络分割.在以太网发展的过程中,出现了广播相关的技术问题以及安全性问题,为了解决这个问题,人们提出了VLAN协议.这个协议的原理是,在传统以太网帧上增加了VLAN头,通过这样的VLANID将网络上的计算机分为相对独立的工作组,而不同组之间的计算机不能进行直接互相访问,每个VLAN就是一个虚拟局域网,这样使得技能限制广播的范围,并能够组成虚拟的工作组,VLAN之间的互相访问则需要有协议中的授权进行信息交换.为了防止敏感资源的泄露以及广播信息的泛滥,在0层交换机的集中式网络环境中,将网络中的所有客户计算机和怎么写作器分别分配到不同的VLAN中,而在相对独立的VLAN中,用户通过设置IP来进行与怎么写作器之间的互相ping是被禁止的,同样也需要禁止用户计算机对怎么写作器相关数据资源的写入,只允许相关数据的读出,通过这样的协议机制,能够更好地保护主机资源和怎么写作器中的敏感信息.而在实际应用中,企业的部门位置有些分散,有些交叉重叠、不易分离,我们通过三层交换机网络,经过VLAN的相关划分,实现部门都有各自独有的VLAN,既方便了互相访问,有保证了信息的安全.

(2)MAC地址绑定.这样的绑定是通过0层交换机,在其安全控制列表中,使得计算机的MAC地址和交换机上的端口进行捆绑,由于MAC地址是网络适配卡的网络身份标识,通过这样的绑定,可以有效防止未注册的非法计算机访问网络,这也就是物理层面的安全防御.同样,我们也可以使用内部网络的安全管理系统,统筹分配网络中的硬件资源.(3)防火墙配置.上述我们讲述了VLAN将网络划分为独立的VLAN网络,而在这些网络之间,需要我们使用特定的软件或硬件系统,来保证外部网络与内部网络的相对隔离防护,也即防火墙的配置.本文则是采用硬件防火墙方式,是通过控制特定的数据通讯的是否与许出入来实现的,这是通过访问控制策略来决定一个数据的出入是否被允许的.

对于一个网络,在保证安全性的同时,也要考虑信息通信的运行速度以及经济性等问题,因此在防火墙配置的软硬件选型中,要选用符合相关保密要求的国产防火墙,从而有效防止外部用户的非法访问,而为了充分的保证网络安全,可以配置1套备份防火墙,在其中一台出现问题时,另一台迅速启动,以达到无缝保护网络安全.而当今的防火墙访问控制策略有如下几种所示:所有往复数据均需经过防火墙的过滤与监测;符合安全策略的数据包才能经防火墙过滤而通过;怎么写作器访问互联网不能直接通行;防火墙本身作为一个系统,也要有抵御非法访问以及攻击的功能;在没经设置的情况下,默认禁止各种网络怎么写作,除非是客户计算机等发起的或者必须怎么写作,而需要网络开放特殊端口的特定怎么写作要经过系统管理员的允许.

(4)入侵检测系统的部署.传统的网络安全防御方法还不足以满足当今的网络安全要求,新的防御技术应运而生,入侵检测技术就是其中一种,它能够很好的弥补防火墙的不足,有效地结合其他网络安全产品的性能,对网络安全能够进行全方位的保护,并且具有了传统网络安全技术所不具备的主动性,在提供实时监测的同时,并根据特定的网络安全情况来采取相应的手段.相对于防火墙的部署位置,入侵监测是部署在网络的旁路中,不必像防火墙那样对所有出入网络的信息进行访问控制,不会影响整个网络的整体性能;在对全部网络的内容进行入侵检测和判断,并对分析历史进行记录,以利于事故追忆和系统恢复,并断开特定的网络链接等.


(5)身份认证.网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换,而身份认证正是基于对通信双方进行身份的确认,保证每次通信双方的信息安全.当前比较常用的通信身份认证技术有:静态、智能卡、USBKey和动态口令等,得到普遍应用的是用户名和静态的方式;本文中我们使用USBKey方法,这种方法是基于软硬件认证技术,在保证安全性的同时,也保证了易用性.这种该设备内部有微机芯片,存放有用户特定的密钥或者数字证书,通过其内置的算法来达到用户的身份认证的目的,这样的身份认证系统有两种认证方法:一是基于冲击响应的模式,二是基于PKI体系的认证模式.

基于计算机网络系统的安全集成参考属性评定
有关论文范文主题研究: 关于网络安全的论文范文素材 大学生适用: 专升本毕业论文、在职研究生论文
相关参考文献下载数量: 65 写作解决问题: 本科论文怎么写
毕业论文开题报告: 论文任务书、论文目录 职称论文适用: 核心期刊、初级职称
所属大学生专业类别: 本科论文怎么写 论文题目推荐度: 优质选题

(6)内网安全管理.传统的安全防御理念,重点集中在常规的漏洞扫描、入网检测等方面,重要的安全设备虽然集中在机房中,处在层层的保卫中,来自网络外部的安全威胁大大的缩小了,来自网络内部的安全威胁却相对比较突出,这也是由于内网频频出现的违规安装软件,私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现,危及网络的安全,网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发,来有效地解决出现的问题.

(7)数据备份与恢复.为了防止数据丢失,造成重要数据的无法挽回,网络系统需要经常性的进行数据备份,把特定的数据转存到目的介质中.这样,即使整个网络系统崩溃,数据部分或全部丢失,数据也能恢复到备份时的状态.

本文中的网络体系的构建,在集中式网络管理工具对系统数据进行备份,通过内部网路管理系统对其进行统一管理,用专门管理备份数据的怎么写作器监控相应的备份作业,这样使得系统的备份数据能够统一集中的备份到统一磁盘阵列上.而对于网络数据的备份,实现的方式主要有以下几种:采用自动增量备份,使得系统管理员的工作量得到相应的降低;制定数据备份日程,按照计划进行备份;全面地备份存储介质的物理管理,一定程度上避免读写时的误操作;对备份后的数据所在的存储介质,通过合理的分类存放,使得保存科学可靠;在备份怎么写作器为核心的备份系统中,对各种备份数据统筹管理,合理分配资源,实时监控,实现分布式存放,集中式管理,既提高了存储的可靠性,又保证了存取的快速性.

4结束语

企业计算机网络安全系统的构建是一个非常复杂的系统工程,它涉及到多个学科的内容,同时也需要企业各个部门的相互协调配合.只有企业自身重视数据信息保护,制定相对完善的数据信息安全保护制度,才能够从根本上实现企业机密信息的绝对安全.在今后的工作中,笔者将继续致力于该领域的研究工作,以期能够获得更多有价值的研究成果.