五层全方位网络安全保护的策略分析.docVIP

五层全方位网络安全保护的策略分析 　　摘 要 影响网络安全的因素有很多，去其表现现象，剖析风险实质，可归纳为物理层风险、网络层风险、系统层风险、应用层风险以及管理层风险。文章分析了网络安全的需求，并提出了从物理、网络、系统、应用到管理的五个层次全方位的网络安全防护策略。 　　关键词 五层次；全方位；网络安全；防护 　　中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）23-0105-01 　　Internet起源于美国，最初应用于美国国防部高级研究计划管理局ARPA，用于美国军方信息通信，后来逐渐转为民用。 　　在信息技术的推动和牵引下，人类社会已由工业时代迈进信息时代。计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的，它的高速发展和全方位渗透，推动了整个社会的信息化进程。网络的机遇与挑战并存，影响网络安全的因素也日益显露。 　　1 网络安全的需求 　　影响网络安全的因素有很多，从宏观角度来分析，影响网络安全的方面有：物理层安全、网络层安全、系统层安全、应用层安全及管理层安全，这也与网络架构中的开放系统互连模型OSI七层结构异曲同工。 　　1.1 物理层网络安全及需求 　　网络的物理安全是影响网络安全的基础，可谓是网络安全的第一道防线，它可细分为环境安全、设备安全、存储介质安全和防电磁泄漏等。其中环境安全是最重要的，而防电磁泄漏是最容易被忽视的，这两点在物理安全中应当重点考虑。 　　1.2 网络层安全及需求 　　网络层安全总体目标可归纳为“进不来”、“出不去”、“拿不走”、“读不懂”、“跑不掉”。具体要求是利用计算机及通信技术，防范未经授权的人员非法访问网络资源。 　　非法访问网络的手段有：针对IP地址欺骗的ARP攻击、消耗大量网络资源的拒绝服务攻击、针对数据库堆栈溢出、Web应用的网站篡改等。 　　1.3 系统层安全及需求 　　系统安全可分为服务器系统安全和用户主机系统安全。影响安全的因素主要来自系统漏洞补丁、系统的端口及服务、主机密码、系统病毒等。 　　1.4 应用层安全及需求 　　应用层安全包括应用软件安全和数据安全。应用软件安全的需求包括及时安装补丁程序，对应用程序设置的身份认证和授权访问控制机制。应用系统要具有数据备份和恢复手段，以防止系统故障而导致数据丢失。 　　1.5 管理层安全及需求 　　俗话说“三分技术、七分管理”，网络安全仅用技术手段是做不到全方位的防护的，必须从管理的角度让使用网络的人懂得怎样使用网络。 　　2 五层全方位网络防护策略 　　2.1 物理安全防护策略 　　网络设计与规划之初，要考虑核心机房及数据中心的选址问题。机房要选择在可控区域内，并与非可控区域间隔300米外，在现实条件无法满足的情况下，对机房采取安全屏蔽措施。机房对楼层的选择尽量就低不就高，避免在楼顶。 　　在涉密单位，重要的政府机关、机要及军政、部队网络要与互联网物理隔离，不同等级的网络之间采用最小耦合。 　　在物理环境安全中要注重通风、降温及消防。在机房内采用机房专用精密空调，将机房的整体温度控制在21℃±2℃范围内。适度的温度可以延长服务器的使用寿命，减少故障的发生机率。 　　机房的消防一定要采用气体联动消防，切勿使用水或传统的干粉，这些方法虽然可以灭火，但对设备的影响，却是不可逆的，它的影响远大于灭火本身。 　　2.2 网络层安全防护策略 　　网络层安全防护应从网络拓扑结构进行分析，防护的方法是：在网络边界部署抗拒绝服务攻击系统、防火墙、入侵检测系统实时监测网络流量数据，发现违规操作后告警并阻断，形成防火墙与入侵检测系统联动的边界防护安全域。在核心交换机旁路部署安全审计系统、网络分析系统及漏洞扫描系统，利用安全审计系统对全网行为、数据库进行实时审计，通过网络分析系统抓取数据包，准确、及时定位故障，还原数据包行为来取证违规违纪操作。将服务器划分为内、外服务器域，保护不同的应用数据。利用虚拟局域网技术、身份认证准入机制及三层交换的ACL管理控制策略配合使用形成用户的不同域安全防护。 　　2.3 系统层安全防护策略 　　对操作系统和数据库系统配置高强度用户名及密码，启用登陆失败处理、传输加密等措施。对用户主机使用8位以上的口令，禁用guest用户、更改administrator用户名。对服务器主机进行访问控制的配置，管理员分级分权限控制，对重要信息（文件、数据库等）进行标记，设定访问控制策略进行访问控制，开启服务器日志审计功能。通过软件防火墙关闭服务器及用户主机端口，利用系统组策略关闭不必要的服务。 　　2.4 应用层安全防护策略 　　对重要的应用层系统及软件如WWW、DNS系统进行备份，可制作双机备份系统，一主一备，一旦一个系统出现