计算机网络专业论文：浅析网络安全规划与的设计.docVIP

计算机网络专业论文：浅析网络安全规划与设计 摘 要：随着网络时代的飞速发展，Intranet日益普及，网络安全问题也日益突出，如何在开放网络环境中保证数据和系统的安全性己经成为众多业内人士关心的问题，并越来越迫切和重要。虽然目前对安全技术的研究也越来越深入，但目前的技术研究重点都放在了某一个单独的安全技术上，却很少考虑如何对各种安全技术加以整合，构建一个完整的网络安全防御系统。 关键词： 网络安全；防火墙、病毒防护；入侵检测；RSA认证；存储备份 我们在医院HIS系统的信息化建设中通常会考虑网络安全问题。如何规划与设计网络安全必须与实际相结合，因为这样才能保证整个HIS系统不论数据方面的还是网络方面的数据的相对安全。通常情况下网络是通过使用VPN/SSL VPN连接到互联网络，再通过路由器与互联网路由实现连接，再路由接到网络主交换，主交换接到下面的各个客户端或者分支交换。一般情况下我们会在整个网络中设置防火墙、网络病毒防护服务器、入侵检测系统、RSA认证服务器、存储备份系统等综合运用来防卫我们的系统安全。 防火墙应当放置在路由器与主交换之间。因为防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁木马病毒。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。 网络病毒防护服务器主要是全面保护信息资产严密防范黑客、病毒、木马、间谍软件和蠕虫等攻击。全面您的信息资产，如帐号密码、网络财产、重要文件等。智能病毒分析技术动态仿真反病毒专家系统分析识别出未知病毒后，能够自动提取该病毒的特征值，自动升级本地病毒特征值库，实现对未知病毒捕获、分析、升级的智能化。强大的自我保护机制驱动级安全保护机制，避免自身被病毒破坏而丧失对计算机系统的保护作用。强大的溢出攻击防护能力即使在操作系统漏洞未进行修复的情况下，依然能够有效检测到黑客利用漏洞进行的溢出攻击和入侵，实时保护计算机的安全。避免因为用户因不便安装系统补丁而带来的安全隐患。准确定位攻击源拦截远程攻击时，同步准确记录远程计算机的IP地址，协助用户迅速准确攻击源，并能够提供攻击计算机准确的地理位置，实现攻击源的全球定位。因此应当放置在主交换同级别。 网络入侵检测系统应当连接在主交换上，因为入侵检测系统在网络中的主要用于入侵行为检测、入侵追踪定位、网络病毒监控（特别是蠕虫病毒）、拒绝服务攻击发现和追踪、网络行为审计、主机行为审计、网络状态分析等。入侵检测系统在整个安全防御系统中占据重要地位。网络安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制，在这个安全模型中，并非各个部分的重要程度都是等同的。在安全策略的指导下，进行必要的系统防护有积极的意义，但是，无论网络防护得多么牢固，依旧不能说网络是安全的。因为随着技术的发展，任何防护措施都不能保证网络不出现新的安全事件，不被手段高超的人员成功入侵。在攻击与防御的较量中，实时监测是处在一个核心的地位。在实时监测中，入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。相比较而言，入侵检测系统是动态安全模型中唯一一个全天候运行的系统。利用入侵检测系统可以了解网络的运行状况和发生的安全事件，并根据安全事件来调整安全策略和防护手段，同时改进实时响应和事后恢复的有效性，为定期的安全评估和分析提供依据，从而提高网络安全的整体水平。 RSA认证服务器可以放置在任意的位置，可以放在主交换的位置也可以放置在分支交换机上。一般情况是放在下支交换机上对HIS系统各个客户端的登录的认证，身份认证是网络安全的基础。而目前最常用的身份认证手段就是密码。静态密码的高风险性众所周知，因此，采用动态口令的强认证技术做为身份认证的手段已成为越来越普遍和迫切的选择。RSA强认证原理极为简单，令牌和认证服务器采用相同的算法，这个算法是与时间因素相关联的。令牌里面已经内置了唯一的128位种子文件(初始值)，当把该块令牌的种子文件导入到认证服务器的时候，在同一时间，令牌和认证服务器所运算出来的结果是一致的。这样，当用户使用这个令牌进行登录的时候，认证服务器通过比对运算结果即可识别访问者的身份。这就是时间同步的专利技术（RSA是该专利发明者和持有人）。而双因素认证则是指，用所知道的再加上所能拿到的这二个要素组合到一起才能确认合法的身份。RSA的双因素令牌要求