浅谈网络安全解决方案.pdfVIP

浅谈网络安全解决方案 顾春霞 (江苏盐城技师学院计算机应用系，江苏盐城224001) 摘要：随着网络的飞速发展，国家权力机关、政府部门对计算机的依赖性逐渐增强，越来越多的 政府办公业务在网络上进行．或者与网络密切相关。但随着网络的普及。网络的安全问题却日益 突出。如何减少网络的安全风险，确保系统数据信息的安全性和可靠性，这是我们网络网络安全 的焦点。 关键词：网络安全威胁：安全需求：防火墙；IDS；网络安全 中图分类号：C913．3文献标识码：A 文章编号：1005-5312(2010)12一008汕1 一、嘲络安全概述 (一)网络安全的基本概念 网络安全包括物理安全和逻辑安全。对于物理安全，需要 加强计算机房管理，如门卫、出入者身份检查、下班锁门以及 各种硬件安全手段等预防措施；而对于后者，则需要用IEI令、 文件许可和查帐等方法来实现。 (二)网络面临的主要攻击 (1)缓冲区溢出。 (2)远程攻击。 (3)口令破解。 (4)超级权限。 (5)拒绝服务(DDOS)。 二、安全需求 通过对网络系统的风险分析，我们需要制定合理的安全 策略及安全方案来确保网络系统的机密性、完整性、可用性、 可控性与可审查性。即， 可用性：授权实体有权访问数据。 机密性：信息不暴露给未授权实体或进程。 完整性：保证数据不被未授权修改。 可控性：控制授权范围内的信息流向及操作方式。 可审查性：对出现的安全问题提供依据与手段。 访问控制：需要由防火墙将内部网络与外部不可信任的 图3一l安全方案总体拓扑 网络隔离，对与外部网络交换数据的内部网络及其主机、所交 (一)层层布防 换的数据进行严格的访问控制。同样，对内部网络，由于不同 从上图中，我们可以看到，我们将安全层次划分为四个层 的应用业务以及不同的安全级别，也需要使用防火墙将不同 次，不同的层次采用不同的策略进行有效的安全防护。 的LAN或网段进行隔离，并实现相互的访问控制。 第一个层次，是外部Intemet,是不能有效确定其安全风 数据加密：数据加密是在数据传输、存储过程中防止非法 险的层次，我们的安全策略就是要重点防护来自于第一个层 窃取、篡改信息的有效手段。 次的攻击。 安全审计：是识别与防止网络攻击行为、追查网络泄密 第二个层次，是通过路由器后进入网站的第一个安全屏 行为的重要措施之一。具体包括两方面的内容，一是采用网络 障。该层主要南防火墙进行防护和访I可控制，防火墙在安全规 监控与入侵防范系统，识别网络各种违规操作与攻击行为，即 则上。只开放www，POP3，SMTP等少数端口和服务，完全封 时响应(如报警)并进行阻断；二是对信息内容的审计，可以防 闭其他不必要的服务端口，阻挡来自于外部的攻击企图。同 止内部机密或敏感信息的非尊泄漏 时，为了反映防火墙之内的实际安全状态。部署网络入侵检测 三、网络安全防护策略 系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的 个人建议采用如下的安全拓扑架构来确保网站的安全 和网络内部经过交换机对外的所有数据流中，有无非法的访 性，其中我们主要采用以下五项高强度的安全防护措施：如图