网络安全体系解决方案(6篇)
网络安全体系解决方案篇1
【关键词】计算机网络信息管理网络环境研究深化总结管理应用
1现阶段网络数据库应用现状
1.1计算机网络工程信息管理效益的应用本质
为了提高计算机网络技术的发展效益,进行信息化工程信息管理体系的健全是必要的,这需要针对计算机网络数据库应用中的各种问题展开分析,这也需要引起相关工作人员的重视,保证计算机网络工程信息管理内部各个程序的协调。
在计算机网络工程信息管理环节中,进行信息存储程序及其信息管理程序的协调是必要的,这是当下网络数据库工作的重要模块,通过对计算机网络整体安全性的优化,实现数据库的安全维护,提升其综合效益。在当下网络应用环节中,网络数据库信息的安全性受到诸多因素的限制,包括计算机应用环境,包括计算机网络的内外部因素。在计算机网络工程信息管理环节中,进行数据库体系的健全是必要的。这涉及到网络数据库的应用,所谓的网络数据库就是在普通数据库基础建立起来的程序,通过对浏览器等程序的利用,保证数据信息的有效存储及其查询。计算机网络工程的管理需要进行大量数据信息的储存从而保证数据信息的统一性及其完整性,这需要各种服务器工作模块的协调,进行多种模块的网络数据库应用体系的更新。
1.2顺应计算机互联的应用特点
通过对当下互联网环境的分析,得知互联网具备高风险性,体现在其自由性模块、复杂性模块。综合各种因素可以得知,其网络环境是比较复杂的,这就影响了网络数据库的正常发展。其存在诸多的数据库风险模块,比如非法入侵模块、数据的丢失等,都影响了数据库的正常开展,不利于数据信息的保护。通过对网络数据库自身特点的分析,更有利于进行敏感数据的保护,这离不开各个安全性方案的协调。网络数据库具备多用户、开放性等的性质,容易受到网络内外威胁的影响。很多的非法者都是利用网络系统进行数据库内部资源的入侵,从而影响了网络数据库的有效管理。为了提升网络数据库的安全性,保证网络系统整体安全体系的健全是必要的。这需要进行网络数据库威胁因素的分析,比如使用者行为的不规范,访问权限的非有效设置等,都影响了数据库的有效管理,导致数据库内部资源信息的非法被窃取。
2计算机网络数据库安全技术效益的优化
2.1内外威胁的解决
为了满足当下计算机网络工作的需要,进行网络环境因素的分析是必要的,这需要针对其网络数据库的相关因素展开分析,保证网络数据库整体安全性方案的优化,实现其安全性模块、完整性模块等的协调,保证用户进行存取权及其访问权等的控制。这需要进行多种模块的网络数据库访问模块的优化,保证数据库身份验证模块的有效开展,切实提升网络数据库的整体安全性。
在数据库安全性优化模块中,进行登录用户的身份验证是非常必要的,这是网络数据库管理的安全前提之一。该模块的应用需要进行不同数据库对象安全机制的协调,进行身份认证功能的提升。又如系统登录模块的应用,保证访问者的用户名及其密码的正确性,保证数据库的有效连接,这也需要进行数据库管理系统安全方案的优化。在数据库访问对象控制模块中,进行不同权限分配机制的应用是必要的,从而针对各个用户的设置,进行数据库内部数据安全性的提升。
为了保证计算机网络数据管理效益的提升,进行数据库加密模块及其安全模块的协调是必要的。比如进行数据库加密方案的优化,实现数据库数据整体安全性的提升。这需要进行算法加密方案的更新,进行不同算法的协调,针对数据信息的变化,进行不同模块的信息的加密,保证用户的信息方案安全性。在该模块中,如果入侵者得到用户加密的信息,也不能实现对信息的获取,这是因为数据加密方案的应用,这样就可以避免侵入者获得正确的加密信息。
通过对网络数据库解密模块及其加密模块的协调,更有利于实现数据信息的有效转换,这也需要进行密钥的应用,保证数据库信息的积极加密。为了提升计算机数据管理技术的效益,进行数据的积极备份及其恢复是必要的,这需要进行网络数据库数据保证体系的健全,实现其整体一致性的优化。通过对机制的应用,可以进一步提升网络数据库的管理效益,从而有效解决网络数据库的故障问题。这需要引起相关管理人员的重视,积极进行数据的备份工作,进行不同种数据恢复程序的协调。
2.2网络管理维护措施
在网络管理环节中,为了提升数据库维护效益,进行审计追踪方案的健全是必要的,这样保障了网络数据安全性的提升。所谓的审计追踪就是进行用户行为的追踪,进行操作模块的积极记录,从而满足管理员的日常工作需要,通过对该模块的应用,可以解决一些常见的数据库入侵事件,提升了数据库的整体安全性。根据审计日志文件,管理员可以非常清楚地重现网络数据库中出现的任何状况,一旦出现安全问题,管理员可以十分快速地找出存在非法存取数据的操作人员,进而追查相关人的责任。通过利用审计追踪和攻击检测技术,对发现网络数据库安全方面的弱点和漏洞也有十分明显的效果。
通过对网络时代背景下数据技术方案的优化,进一步的提升数据库的技术管理效益,实现网络数据库安全体系的更新,实现其内部各个模块的协调,这需要引起相关操作人员的重视,保证设备维护模块、技术维护模块等的协调,解决计算机信息数据管理中的问题,适应当下的网络数据管理潮流。
3结语
随着网络时代的发展,如何构建有效地网络数据库安全技术方案是保障计算机网络健康发展的核心内容,同时随着安全威胁因素日益增多且越来越复杂,网络数据库安全技术也要不断更新、改进,以应对不断出现的新情况、新问题,提升计算机网络数据库的管理效益。
参考文献:
[1]刘青.浅析网络信息安全技术[J].科技信息.2009(13).
网络安全体系解决方案篇2
摘要:本文从城建档案馆自身存在与发展的要求方面论述了建设数字化、开放型城建档案馆的必要性,以及数字城建档案馆的特点,并提出了在建设数字化城建档案馆时如何保证网络的安全。
一、引言
据《中国现代化报告2004))公布:对经济发展、社会发展、人居环境、信息化四大类指标共27个评价指数分析统计,2001年我国综合现代化水平在108个国家中排名第60位,比1990年上升26位,预计2050年前后将达到世界中等发达国家水平。这标志着在新世纪,我国综合现代化水平与世界先进水平差距正在缩小,我国城市的现代化进程明显加快。
城建档案是城市建设的真实写照,在城市规划、建设与管理中发挥着日趋重要的作用。随着旧城改造、市政基础设施的日臻完善以及重点工程建设力度的不断加强,我国城建档案的收集、管理与利用问题日渐突出,建设数字化城建档案馆将是城建档案部门的头等大事。
二、建设开放型数字城建档案馆符合城建档案事业的发展需要
二十一世纪随着信息科学技术的突飞猛进,将进入全新的信息时代。电子计算机和网络技术具有的海量存储、超强的计算和自动化处理能力、瞬时和方便的网络沟通将被广泛地应用于信息量浩大的城建档案工作中。把城建档案馆建设成为开放型的城建档案馆,既是城建档案事业发展的需要,也是城建档案馆自身存在与建设的客观要求,主要由三方面因素所决定:
一是城建档案馆的任务。主要是城建档案信息的收集,经过整理后,向用户提供利用。在收集中首先要控制档案信息的质量,其次是城建档案信息的全面性。在目前社会档案意识不太强,有关法规还不健全的情况下,关起门来,坐等其送“档”上门,且保证质量和数量,实践证明是不可能的。
二是城建档案馆的特殊职能,即不仅负责城建档案的收集、管理和提供利用,还要行使地方城建档案行政管理职能,传达、贯彻有关城建档案方面的方针、政策和法规,对本区域内城建档案工作进行业务指导、监督和检查等。这就要求城建档案馆要参与城市建设的有关活动,及时了解和掌握城建档案工作的情况,并进行指导和研究解决遇到的问题。
三是城建档案工作经验告诉我们必须走开放之路。过去城建档案馆工作基本处于封闭的状态,关起门来搞业务,城建档案馆不了解社会,社会也不了解城建档案馆。由于封闭造成了城建档案工作徘徊不前,束缚了自身的发展,影响自身社会地位的提高,更不利于城建档案作用的发挥。
总之,为了城建档案事业的发展,发挥城建档案信息中心的地位,发挥城建档案在城市规划、建设和管理工作中的作用,只有建设开放型城建档案,在增加城建档案馆透明度的同时,开阔视野,才能不断提高社会地位,并被社会所认识。数字城建档案馆是城市数字化工程的需要,中国的“城市数字化工程”已经启动,国家建设部主持的《城市规划、建设、管理与服务的数字化工程》已纳入国家“十五”重大科技攻关项目中,数字城建档案馆是数字城市工程的一个子系统。数字地球、数字城市乃至数字社会将有力地推动数字城建档案馆的建设。
三、数字化城建档案馆的特点
数字城建档案馆是指对有高度价值的图纸、文件、声音、影像等多媒体信息进行收集,组织规范性加工,进行高质量保存和管理,并提供在网络上高速横向跨库连接的电子存取服务技术。数字城建档案馆建设是以统一的标准和规范为基础,以数字化的各种信息为底层,以分布式海量资源库群为支撑,以智能检索技术为手段,以宽带高速网络为传输通道。它涉及数字信息资源的生产、加工、存储、检索、传递、保护、利用、归档、剔除等全过程。与传统的城建档案馆相比,建立在多媒体技术、计算机存储技术、网络通讯技术等之上的数字陈建档案馆有自己的独特之处,具体体现在以下方面:
1、档案信息资源数字化。这是数字档案馆的重要特征,也是数字档案馆提供各种服务的前提,几千年来,纸张一直是信息保存与传递的主要载体与媒介,传统档案的收获对象主要是各种纸张档案与胶片档案,而档案馆各项功能和发挥也正是以这些载体的档案来获取、传递利用。随着多媒体、超媒体、计算机技术及网络技术的日益成熟,档案的载体形式已打破了传统载体一统天下的局面,逐步向以磁介质、光介质等为载体的新型信息媒体转化。数字档案馆以统一的数字化形式存储各种档案,包括文本、图像、声音、视频等。并且数字档案馆中的档案从搜集、组织、存储,到提供各种检索服务、传输服务的整个过程中,都是以数字化形式存在的。在城市规划、勘测、设计、施工诸环节中产生的大量的电子文件,极大地丰富了数字城建档案馆的档案信息来源。
z.档案信息检索计算机化。在传统的档案馆中,人们通常利用手工检索馆藏目录的方式查找所需档案很费时费力。数字档案馆中的档案检索,用户只要根据一定的语法规则,构造合适的检索表达方式,就可以通过计算机快速、准确地查到所需信息。
3.档案信息传输网络化。过去,人们如果需要归档或查档,他必须亲自到档案馆办理。而在数字档案馆环境下,一切档案都可以通过网络进行传输,用户不必亲自“登门拜访”档案馆。
4.档案资源利用自由化。人们对传统档案馆的利用,受到档案馆所在位置的制约,因此,对于一个馆藏丰富的档案馆来说,其用户也同样是限定在一定的地理范围之内的。同时由于档案馆的工作时间有限,因此人们也不可能在任何时候访问档案馆。然而,由于数字档案馆档案资源存储的数字化,信息检索的计算机化以及信息传输的网络化,使得人们对数字档案馆的使用突破了时间、空间的限制。世界各地的人们可以通过联网计算机访问任何一个数字档案馆,对其档案信息进行自由使用。数字档案馆真正实现了档案资源在合法范围内的充分共享。
正由于数字档案馆具有这些特点,因此,与传统档案馆相比,数字档案馆有明显的优势:它便于将各种档案用数字化形式保存下来,永不褪变,便于实现档案资源的共享,而且这种共享不受时间限制;便于实现快速检索和所需档案的快速定位,使用户以更快的速度获取所需档案,更好地服务于社会。
四、如何建设一个数字化开放式且安全有效的城建档案馆,这是放在我们当前的一个大任务,针对这个任务,本文仅从安全性这点来说明。
根据党的十六大报告提出的“大力推进信息化加快建设现代化”的要求和《全国建设事业信息化规划纲要》的有关精神,结合城建档案事业信息化现状,建设部于2004年6月颁发了《全国城建档案信息化建设规划与实施纲要》。(以下简称《纲要)})《纲要》提出了城建档案信息化的发展战略是:在实现城建档案计算机管理的基础上,积极推进城建档案数字化工作,逐步实现档案存储数字化、检索自动化、利用网络化。……以信息网络为基础,以数据库建设为重点,开发城建档案信息资源,……推动城建档案信息化建设工作健康、持续、快速发展。《纲要》给全国数字城建档案馆的建设提出了实质性的目标和要求。
随着城建档案馆信息化建设的深入,网上的应用越来越多,各种业务的运营和控制强烈地依赖于大规模的计算机信息系统,而且依赖程度会越来越强。怎样在保证网络可用性的前提下,保证网络足够安全,使得网络能够抵御来自各方面的威胁,保证重要数据安全,避免造成灾难性的后果,已成为各城建档案馆信息部门的工作重点之一。
在提到网络安全时,很多人认为:在网上加个防火墙就解决了网络安全问题,这其实是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的安全设备,在底层包过滤,对付超大ICMP包、IP伪装、碎片攻击,端口控制等方面的确有着不可替代的作用,但它在应用层的控制和检测能力是很有限的,是整个安全体系的一个方面。
一个完整的安全体系结构主要由四个层次组成:实体安全、网络安全、应用安全和管理安全。
实体安全主要保证网络中单个结点设备的安全性;如保证计算机、服务器、交换机、路由器等安全性。可以通过增加操作系统的安全性来增强主机的安全性;可以安装防病毒软件来保证主机系统不受病毒破坏。
网络安全主要保证整个网络的数据传输和网络进出的安全性。如可以在网络中增加链路层加密机和网络层加密机来,使网络中的所有数据信息以密文传输,以保证数据传输的安全性;可以通过设置防火墙或安全服务器来对非法用户对网络的非法访问进行限制。
应用安全主要保证各种应用系统内部的安全性,如身份认证、访问控制等。如CA安全认证系统就可以很好地解决各种应用系统的安全性;在应用系统中增加结点式加密机或加密读卡器将保证交易数据的完整性、交易活动的不可抵赖性、交易双方的身份认证等。
管理安全主要保证整个系统包括设备、网络系统以及各种应用系统的运营维护时的安全性。如可以通过入侵检测系统实时监控网络和动态保护网络:可以通过安全审计系统来保证系统发生安全问题以后进行分析调查等安全管理工作。
在TCP/IP协议簇中,将网络结构分为五个层次:物理层、链路层、网络层、传输层和应用层;每一层都有可能存在安全隐患,每一层的传输数据均有可能被黑客或网络非法人员截获或监听到;因此为了保证高强度的网络安全性,针对不同层次均有不同的安全解决方案。
对于链路层,可以采用异步密码机或DDN密码机或帧中继密码机来保证链路层传输数据的安全性;在网络层,可以采用IP密码机来保证IP层数据传输的安全性,也可以采用防火墙、VPN技术在IP层次上来保证用户对网络的访问控制;在应用层,可以采用结点式密码机来保证应用数据的保密性。
网络安全体系解决方案篇3
东软以软件与解决方案起家,其核心产品线网络安全产品也是行业的领军品牌。今年东软推出“安全魔方---因需而变因御而安”的新理念。同时了NetEyeSOC(安全运维平台)、NetEyeIPS(入侵防御系统)和Ntars(异常流量分析与响应系统)等3款网络安全管理新产品。面对高端用户,每个行业的特点不同,系统数据的安全保障需求也不同。因此,定制安全管理产品已经成为了一种趋势。
“安全魔方”之管理三维度
东软推出的网络安全“安全魔方”整体解决方案,构建了三个管理维度。首先是技术与产品维度,东软网络安全产品分为网关类(G类)包括:防火墙、UTM、IPS、WAP等产品。管理类(M类)包含有SOC、VDS、IDS、ESM等产品。组件类(C类)包含有硬件加密卡、NP芯片、ASIC芯片三大类,共14种核心产品。同时,先后设计出了NSF、NEL、NSKB、ICA、FPGA等信息安全产品中的核心部件与关键技术。融合东软在金融、电信、电力、政府等行业深厚的信息技术服务经验以及对客户信息系统的应用和安全风险的深入理解。可为客户提供巨大的安全增值服务。同时可以满足高端用户定制化开发的安全产品的需求。在过程与方法维度,从行业应用、知识应用、过程管理和方法学上全面展示出东软的技术优势;而在服务与支持维度则是更多的调用了东软自身的资源,从客户层面、业务层面、实施层面、支持层面可以全面及时的为客户提供更为便捷的、务实高效的服务。从而为东软的用户提供从咨询规划、风险评估到安全加固、知识培训、安全通告、漏洞测试、应急响应的全方位服务,同时也有效的将众多合作伙伴的服务产品结合进来加强东软的综合服务能力。
“安全魔方”之防护三层面
东软推出的网络安全“安全魔方”整体解决方案,构建了三个层面的防护方案。东软认为安全项目建设的主要目标是有效的把企业当前安全管理思路融入到各个业务系统操作层面中去。将安全管理的目标利用可量化实现的技术手段来实现,建立一套务实的信息安全保障体系。从网络的整体防护方法手段的特点分析,我们可以将网络整体解决方案分为三个层面的防护方案:核心骨干层,信息汇聚层,分支机构层。
就拿核心骨干层面的威胁来说,今天对于大型网络的骨干关键节点的DDoS攻击比任何以往更加具有恶意性、破坏性和针对性。由恶意用户、蠕虫病毒和敲诈勒索者针对特定攻击目标而发起的这些攻击,能轻松绕过并突破最普通的防御机制。DDoS攻击是由看起来合法的网络会话请求、极大量的僵尸来源、蠕虫病毒和假冒IP地址等构成的,这些攻击可导致骨干网络瘫痪并使其不能开展业务。这种威胁是无时不在的尤其每当大规模的蠕虫病毒爆发时,大量下属的接入用户都是非常危险的病毒扩散源,所有产生的病毒流量最后都会汇总到骨干网络中,如果不能及时针对这些攻击行为进行有效的识别和阻断,大量的带宽和设备资源都会被占用浪费掉,严重的时候会导致骨干网络服务质量的严重下降。
网络安全体系解决方案篇4
关键词:网络安全;实战;案例
在“网络安全技术”教学中,充分利用计算机网络功能,开展以自主学习为前提、以合作交流为形式、以探究建构为目的的实战式案例教学模式,无疑对实现学生认知的深化和建构,教学双方发生角色互换,唤醒学生的主体意识,发展学生的主体能力,塑造学生的主体人格,培养学生科学的探索精神和创造能力是大有裨益的。
一、案例教学的模型设计
1.案例教学的理论基础
现代科学理论认为,思维是人脑对信息进行采集、分析、综合、存储、加工处理,并做出判断推理的过程。这一过程可分为信息的提供、加工处理和输出三个步骤。在这个过程中,教师作为引导者提供源信息,并指导学生对这些信息加工处理:学生是主体,分析、综合、加工处理这些信息,不断丰富自己的知识和技能。案例教学是完成课程内容教学和知识延伸很重要的环节,因此,案例教学是通过对一个具体情景的描述,引导学生对这些特殊情景进行讨论的一种教学方法,对培养学生的创造性思维能力十分重要。
案例教学主要的优点在于:
(1)案例教学注重学生的创造能力和实际解决问题能力的发展,它所解决的是如何用更有效的方式(不只是传授、讲座)获得这些知识。
(2)学生通过案例教学得到的知识是内化了的知识,逐渐学会了如何处理众多的疑难问题。
(3)通过案例教学,学生不仅可以从中获得认知的知识,而且有助于提高其表达、讨论技能,增强其面对困难的自信心。
(4)案例教学大大缩短了教学情景与实际生活情境的差距。
(5)案例可以把抽象的原理、概念等具体化,学习者可以清楚地认识到这些原理、概念在实际生活中的用处、表现,激发其学习兴趣和动力,同时也会恰当地掌握它所具有的特定含义和意义。
以“网络安全技术”课程为例,在案例教学中讨论安全防范的知识,网络元素性能、特点、网络物理和逻辑结构、网络服务器在分层园区网中的安全地位,以及网络核心、汇聚、接入层的通信性能等问题。可以使学生在学习知识、分析问题、解决问题的过程中,将理论与实践相结合,深刻理解“学以致用”的意义,使课程的学习网络安全技术达到知识和能力两方面有机融合的目标。
2.案例教学方法基础模型的构建
案例教学方法重在于案例的设计、应用与分析,一个案例是一个实际情境的描述,包括有一个或多个疑难问题,同时也可能包含有解决这些问题的方法。在案例教学中,教师与学生承担着更多的教与学的责任,要求有更多的投入和参与。作为教师,他有责任去选择和组织所要讨论的材料,要从大量的资料中选择出适当的案例,如果没有现成的案例,还要自己动手撰写这些案例,并以一定的程序把它呈现出来;经过精心设计案例、引入案例操作与分析、布置合理的开放式任务,使学生所学的知识得到迁移和升华,通过合理的评析,使学生产生积极的学习动机。作为学生,必须做好课前准备,要对所提供的具体事实和原始材料进行分析、讨论、并从中得出有用的结论来。
根据“网络安全技术”教学内容和教学要求的特点,结合案例教学法理论,我们构造两个集网络安全理论和实践操作平台,即虚拟网络环境下的网络安全技术理论刘南开,华北科技学院教务处综合科科长,副教授。与实践和网络硬件搭建的网络实战平台。其基本流程如下图所示:
二、案例教学方法的实施
将教学内容与案例结合,进行分类、合理安排,不同的教学内容采用不同的教学方法。第一类是基本内容,它是课程的基础。由教师带领学生进行系统学习,当学生入门后,即让学生开始实验设计与操作,以加深对概念、技术的理解。学生在完成学习任务的过程中提出的问题,教师根据教学内容结合实例中类似的问题给学生适当指导,学生从课程的案例分析结合实例并通过模拟实验获得。案例的设计采用两种方式,其一,利用授课计算机,进行任务式案例教学。逐步过渡到自主学习的状态,为学生进行创造性思维奠定了良好基础。其二,利用游戏软件,攻关式案例教学,利用学习黑客攻击操作系统的软件:研究究竟如何入侵电脑网络系统内部。网络安全是攻与防的有机体,学习入侵,才能更好地学会防范,按照关口设置要求作为案例实现目标,在游戏中学习知识,寓教于乐。
在案例式教学中重点突出网络安全系统设计的结构化和系统化的思维方法。结构化是一种描述事物内部规律性的方法,是系统思维的重要方法之一。而系统思维被认为是现代科学技术发展的主要特征之一,要求把对象放在系统中加以研究,从系统的观点出发去研究整体与局部,探索系统各因素的特征及解决问题的最佳方案。在机房环境下,给同学们配备好相应的网络硬件,如w2K服务器、交换机、路由器、防火墙。首先小组成员集体讨论,理解问题的要求。采用模块化的方式每人承担一部分,团结协作到问题的解决。小组成员均要发表自己对问题的求解方法,集思广益求得对问题解决的一致方法,待问题解决后,还要进行小组自评与组间互评,以找出设计方案存在的不足,最后,采用小组对抗方式,进行实战安全攻防对垒,真正了解理论和实践中的差距和不足。各自小组进行轮流角色,每小组在角色变换时进行攻防经验交流,为在下一轮攻防前进行安全设置,弥补漏洞为实战对抗演练进行准备,经过多轮的实战演练,调动了同学学习的积极性,培养了学生的学习和创造性思维能力。
三、结束语
根据不同的课程要求,采用基于实战式案例教学方法,在实施学与教的过程中,深刻体会到,此种教学法旨在通过案例引导学生解决复杂的、实际的问题,使学习建构起宽厚而灵活的知识基础,发展有效的解决问题技能。通过实战训练,发展自主学习和终生学习的技能,实战双方成为有效的合作者,对培养学生的学习动机和创造性思维能力,可以起到事半功倍的效果。
网络安全体系解决方案篇5
关键词:终端准入网络安全802.1xEAD
中图分类号:TP393.08文献标识码:A文章编号:1007-9416(2013)06-0014-02
1引言
在创新无处不在的IT世界里,从要求可用性到安全性再到高效率,只经历了短短的几年时间。如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者,由于终端设备数量多、分布广、使用者素质及应用水平参差不齐,而且终端设备所接入的网络环境异构化程度很高,导致了终端成为整个IT管理环境中最容易出现问题的一环,对终端问题的响应业已成为IT管理者日常最主要的工作之一,它同样遵循着从可用性到安全性再到追求效率的发展规律。
终端作为网络的关键组成和服务对象,其安全性受到极大关注。终端准入控制技术是网络安全一个重要的研究方向,它通过身份认证和完整性检查,依据预先设定的安全策略,通过软硬件结合的方式控制终端的访问权限,能有效限制不可信、非安全终端对网络的访问,从而达到保护网络及终端安全的目的。终端准入控制技术的研究与应用对于提高网络安全性,保障机构正常运转具有重要作用;对于机构解决信息化建设中存在的安全问题具有重要意义。目前,终端准入控制技术已经得到较大的发展和应用,在安全领域起到越来越重要的作用。
2发展现状
为了解决网络安全问题,安全专家相继提出了新的理念。上世纪90年代以来,国内外提出了主动防御、可信计算等概念,认为安全应该回归终端,以终端安全为核心来解决信息系统的安全问题。
3终端准动模型
H3C终端准入控制解决方案(EAD,EnduserAdmissionDomination)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动,对接入网络的用户终端按需实施灵活的安全策略,并严格控制终端用户的网络使用行为,极大地加强了企业用户终端的主动防御能力,为企业IT管理人员提供了高效、易用的管理工具。
4终端准入控制过程
EAD解决方案提供完善的接入控制,除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、所在SSID、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,支持域统一认证,增强身份认证的安全性。根据实际情况我们采用基于域统一认证,与接入终端MAC地址和接入设备IP信息进行绑定的严格身份认证模式。通过身份认证之后,根据管理员配置的安全策略,用户进行包括终端病毒库版本检查、终端补丁检查、是否有等安全认证检查。通过安全认证后,用户可正常使用网络,同时EAD将对终端运行情况和网络使用情况进行监控和审计。若未通过安全认证,则将用户放入隔离区,直到用户通过安全认证检查。EAD解决方案对终端用户的整体控制过程如图2所示。
5终端准入控制策略的实现
5.1接入用户身份认证
为了确保只有符合安全标准的用户接入网络,EAD通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估,但很多单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。为了更加有效地控制和管理网络资源,提高网络接入的安全性,EAD实现了Windows域与802.1x统一认证方案,平滑地解决了两种认证流程之间的矛盾,避免了用户二次认证的烦琐。该方案的关键在于两个“同步”过程:一是同步域用户与802.1x接入用户的身份信息(用户名、密码),EAD解决方案使用LDAP功能实现用户和Windows域用户信息的同步。二是同步域登录与802.1x认证流程,EAD解决方案通过H3C自主开发的iNode智能客户端实现认证流程的同步。统一认证的基本流程如图3所示。
5.2安全策略状态评估
EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理,并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令,在安全策略服务器定义员工终端黑白软件列表,通过智能客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。如果用户通过安全策略检查,可以正常访问授权的网络资源;如果用户未满足安全策略,则将被强制放入隔离区内,直至通过安全策略检查才可访问授权的网络资源。
5.3EAD与iMC融合管理
EAD通过与iMC(开放智能管理中枢,IntelligentManagementCenter)灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能,iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能,UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能,这几者结合在一起,为企业IT管理员提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。
6结语
在未实施终端准入解决方案之前,本企业网络管理模式被动,虽制定完善的IT管理制度,但不能有效实行,比如不能及时升级系统补丁,不能及时升级杀毒软件病毒库,不能实时监控用户软件安装,不能实时监控计算机硬件信息等问题。通过实施终端准入解决方案,降低了来自企业内部网络的威胁,规范了终端准入安全策略,提高了IT管理员工作效率,从而保障了企业网络环境的安全。
参考文献
[1]周超,周城,丁晨路.计算机网络终端准入控制技术.计算机系统应用,2011,20(1):89—94.
[2]马锡坤.医院网络终端准入控制解决方案.医院数字化,2011,26(11):30-32.
[3]成大伟,吕锋.支持802.1x的网络准入系统在企业中的应用.中国科技博览,2012,27:296.
网络安全体系解决方案篇6
在业务流与信息流融合的时代,如何确保关键业务的连续性?如何在信息变得更加开放和灵活的同时,依然保持高安全性?作为全球领先的网络安全与信息存储解决方案提供商,华为赛门铁克指出,企业关键业务的安全需要传输安全、存储安全和应用安全的系统保护,并有赖于安全软硬件的跨界融合。
安全无边界
按照数据信息的存在方式,信息安全可分为传输安全、存储安全和应用安全。传输安全位于存储边界之外,存储安全位于存储边界之内,而应用安全是数据安全的最终目的。对于企业关键业务而言,只有三者都真正获得保障,才能实现业务流的连续性。
攻击手段集成化需要系统防御。道高一尺魔高一丈,随着安全技术的发展,黑客的攻击手段也在不断演进,形成集成化的新一代攻击工具。举例来说:针对企业防火墙的部署,黑客工具被设计为反弹连接方式,绕开防火墙的安全策略,黑客在内部网络的PC上植入木马后,反弹木马从内部主机上主动发起连接,网关防火墙对这类攻击难以识别。针对终端防病毒软件的部署,黑客工具加强了与防病毒软件对终端系统控制权的争夺,木马病毒被设计成首先上来终结防病毒软件进程。单一的安全产品,在抵御这些集成化的攻击工具时,都存在弱点。客观上需要统一的安全解决方案,构筑完整的业务安全体系。
存储机制和安全策略融合成为新趋势。随着数据价值不断提升,以及存储网络化不断发展,数据遭受的安全威胁日益增多,若无存储安全防范措施,一旦攻击者成功渗透到数据存储系统中,其负面影响无法估计。如果不从业务的全局角度审视和设计安全解决方案,方案本身可能造成新的安全隐患。这要求企业在特定存储系统结构下,从存储系统的角度考虑存储安全性。此外,除外部攻击者的威胁外,企业常常还面临着内部公司信息丢失的风险,更需要全面考虑安全策略,针对内容安全,进行安全软件的系统部署。
应用安全与业务流融合成为关键。除业务实现越来越依赖网络外,面对瞬息万变的商业环境,企业必须保持业务的多元化与灵活性。这导致在业务应用中安全策略的实施将面临千变万化的场景,业务逻辑与业务策略之间并不存在简单的一一对应关系;不仅如此,安全管理员、软件开发人员、业务流程优化专家等对业务策略以及安全策略都会有各自完全不同的理解,这对应用安全系统的设计与开发等提出了更为严峻的挑战。
关键业务要高端安全
今天,越来越多的企业意识到,关键业务的安全问题至关重要,需要基于业务流的、更加严密的系统防护。除此之外,企业关键业务需要应对网络带宽高速增长的处理需求,对安全设备的性能也提出了更高要求。
作为数据存储安全、传输安全和应用安全的整合解决方案提供商,华为赛门铁克融合先进的硬件架构和内容安全领域的领先优势,推出了从企业桌面安全到骨干核心网络应用的全系列高端安全产品线,提供一体化的安全解决方案和极佳的设备兼容性,帮助客户应对关键业务安全的挑战。
业内专家指出,硬件安全与软件安全的跨界融合产生的不仅仅是叠加效果,而是倍乘效应。软件系统与硬件架构的无缝融合,不仅实现了更好的兼容性,更可以有效消除传统安全解决方案的盲区和死角,使安全解决方案更加灵活、可靠、易于扩展。
目前,华为赛门铁克已经针对不同市场需求,推出了USG2000系列、USG5000系列、USG9000系列等创新性的安全产品和解决方案。据悉,为了向全球客户提供高质量的服务,在融合软硬件安全的基础上,华为赛门铁克还汇聚全球网络安全专家,为企业构筑端到端安全解决方案,提供定制化的咨询和服务。
迎接未来挑战