序言:寫作是分享個人見解和探索未知領域的橋梁�����,我們?yōu)槟x了8篇的網絡安全方案樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀��。
第1篇
如何能夠更簡便����、安全地進行網絡連接呢?這里我們發(fā)現了一個正在被越來越多的企業(yè)所選用的,個人便攜式VPN防火墻解決方案――ZyWALL P1(下面簡稱P1)�。它其實是一個類似移動硬盤大小的掌上網絡安全連接設備,可以塞入旅行包中隨身攜帶��,可助你輕松完成企業(yè)網絡安全配置����,自動建立好VPN連接����。
具體來說���,P1提供了WAN和LAN 2個網絡接口��,在使用時�����,我們要做的就是分別將它們連接到所住酒店的寬帶網絡接口和筆記本電腦有線網口上����,然后打開電源�����。多數情況下����,酒店寬帶都是基于端口的認證服務。這時�����,P1默認可以從當地網絡中自動獲得一個IP地址和與之配套的網關、DNS信息�����,并自動根據P1內置的VPN參數進行企業(yè)VPN管道連接��。一旦連接成功���,你會看到P1的VPN指示燈變綠�。整個過程��,完全無需用戶任何干預�����,像在公司內部一樣�����。
如果你所住的酒店使用IE窗口認證模式�����,則你還需要在VPN連接成功前先開啟IE窗口�����,隨便輸入一個網址�,系統會自動彈出相應的酒店寬帶網絡登錄窗口,你也只要按照酒店上網說明��,輸入你房間的寬帶口令�����,即可激活Internet服務�。接下來,P1仍然會自動配置好網管事先設定好的VPN連接���,將你接入公司的網絡安全體系中�。
其實�,P1這樣的個人硬件安防解決方案最大的好處還是在于企業(yè)安全的統一管理和部署。
在完全沒有用戶干預的情況下���,網管能通過ZyXEL的Vantage CNM中央網管系統遠程強制分發(fā)統一的企業(yè)安防策略�����。確保身處異地的員工電腦一樣可以在遠程連入企業(yè)網絡前��,都確實執(zhí)行最新的企業(yè)網絡安全規(guī)范���,既�����。節(jié)省了網管逐一為大家升級防火墻的麻煩�����,也避免了百密一疏的危險�。真正做到貼身的安防服務����。
三心二意玩電腦
隨著電腦更新速度的日益提升,誰家還沒有個把淘汰下來的舊電腦��,或者被筆記本電腦替換下來的臺式機���。這些電腦大都已成食之無味、棄之可惜的雞肋���。怎樣利用這些電腦��,幫你做更多的事情呢?這里�,我們給你再支一招:用多電腦切換器(KVM Switch)實現多機并用互不干擾。
這里我們拿Aten(宏正自動科技)的雙機USB切換器CS-173ZA為例給大家做一示范��。它具備2套主機接口��,包括VGA�����、音頻(MIC���、音箱)和USB總共4個接口�����,可以滿足2臺主機共享同一套顯示器��、鍵鼠以及USB打印機等外設�。這樣��,你就可以將家中空閑的主機也架起來完成一些簡單的后臺工作����,比如進行BT下載�?���;蛘吒奖愕貙⒐P記本電腦連到家里臺式機的大屏幕液晶顯示器和高保真音箱上,用標準鍵鼠更舒適地進行操控���,而不必受制于筆記本電腦的配置���。
多電腦切換器的連接也很簡單,你只要將隨機附帶的2條主數據線��,分別連接到電腦主機和KVM后的CPU1/2接口上(注意連接方向:數據線包括VGA���、音頻和USB接頭的一端接在主機對應接口上��,數據線的另一端接到KVM上)�����,然后將顯示器、USB鍵鼠(PS/2鍵鼠可以通過附帶USB-2-PS/2轉接線轉換連接)和音響系統的MIc/音箱接入到KVM對應端口上��,一切就算ok了!KVM的使用也非常容易。在開機2臺電腦后��,你可以直接通過KVM正面的1����、2主機對應按鈕,進行雙機操控��、顯示���、聲音系統的快速切換�����。即要顯示��、操控1號機的信息���,就按下1號機切換鍵,然后就跟原來一樣���,直接使用1號電腦�。待需要使用2號主機時���,就簡單地按下2號機切換鍵����,顯示屏和鍵鼠就都連接到2號電腦上,你即可以開始操作2號電腦��。
相比早期的機械式KVM�����,CS-1732A采用電子切換結構����,信號切換更加穩(wěn)定,不會出現接觸不良���、色偏�、噪音等問題����,而且可以同步或異步切換音頻信號,以實現在監(jiān)控1號機的狀態(tài)下��,同時監(jiān)聽2號機音頻的功能。這樣���,如果你喜歡邊工作、邊聽MP3�,又擔心會影響你主機的性能,就可以讓另外一臺配置較低的電腦在后臺幫你播放MP3音樂了�����。
第2篇
關鍵詞 網絡安全�;方案設計;方案實現
中圖分類號 G271 文獻標識碼 A 文章編號 1673-9671-(2012)111-0142-01
計算機網絡的安全運行�����,是關系到一個企業(yè)發(fā)展的重要問題����,如何能使得企業(yè)網絡更為安全,如今已經成為了一個熱議的話題��。影響網絡安全的因素有很多種��,保護網絡安全的手段��、技術也很多�。對于網絡安全的保護我們一般都是通過防火墻����、加密系統����、防病毒系統、身份認證等等方面來保護網絡的安全��。為了保護網絡系統的安全�,我們必須要結合網絡的具體需求,把多種安全措施進行總結���,建立一個立體的��、全面的����、多層次網絡安全防御系統�����。
1 影響網絡安全的因素
網絡信息的安全問題日益嚴重��,這不僅會使企業(yè)遭受到巨大的經濟損失,也影響到國家的安全����。
如何避免網絡安全問題的產生,我們必須要清楚因法網絡安全問題的因素有哪些�。我們主要把網絡安全問題歸納為以下幾個方面:
1.1 人為失誤
人為失去指的是在在無意識的情況下造成的失誤,進而引發(fā)網絡安全問題��。如“非法操作���、口令的丟失、資源訪問時控制不合理�����、管理人員疏忽大意等��,這些都會對企業(yè)網絡系統造成很大的破壞�,引發(fā)網絡安全問題。
1.2 病毒感染
病毒一直以來����,都是能夠對計算機安全夠成直接威脅的因素,而網絡更能夠為病毒提供迅速快捷的傳播途徑���,病毒很容易通過服務器以軟件的方式下載���、郵件等方式進入網絡�����,然后對計算機網絡進行攻擊�、破壞��,進而會造成很大的經濟損失�。
1.3 來自企業(yè)網絡外部的攻擊
企業(yè)網絡外部的攻擊主要是企業(yè)局域網外部的惡意攻擊,比如:偽裝合法用戶進入企業(yè)網絡��,并占用修改資源��;有選擇的來破壞企業(yè)網絡信息的完整性和有效性����;修改企業(yè)網站數據、破譯企業(yè)機密����、竊取企業(yè)情報、破壞企業(yè)網絡軟件�����;利用中間網線來讀取或者攔截企業(yè)絕密信息等。
1.4 來自網絡內部的攻擊
在企業(yè)局域網內部���,一些非法人員冒用合法的口令�,登陸企業(yè)計算機網絡�����,產看企業(yè)機密信息��,修改企業(yè)信息內容�,破壞企業(yè)網絡系統的正常運行���。
1.5 企業(yè)網絡系統漏洞
企業(yè)的網絡系統不可能是毫無破綻的�����,而企業(yè)網絡中的漏洞��,總是設計者預先留下的�����,為網絡黑客和工業(yè)間諜提供最薄弱的攻擊部位�����。
2 企業(yè)計算機網絡安全方案的設計與實現
影響計算機網絡完全因素很多���,而相應的保護手段也很多�。
2.1 動態(tài)口令身份認證的設計與實現
動態(tài)口令身份認證具有動態(tài)性���、不可逆性����、一次性��、隨機性等特點��,跟傳統靜態(tài)口令相比����,增加了計算機網絡的安全性。傳統的靜態(tài)口令進行身份驗證的時候���,很容易導致企業(yè)計算機網絡數據遭到竊取�、攻擊、認證信息的截取等諸多問題���。而動態(tài)口令的使用不僅保留了靜態(tài)口令的優(yōu)點���,又采用了先進的身份認證以及解密流程,而每一個動態(tài)口令只能使用一次�,并且對認證的結果進行記錄,防止同一個口令多次登錄���。
2.2 企業(yè)日志管理與備份的設計與實現
企業(yè)要想保證計算機網絡的安全�,對于計算機網絡進行日志管理和備份是不可缺少的內容���,日志管理和備份數據系統是計算機運行的基礎����。計算機在運行過程中難保不會出現故障����,而計算機中的數據和資料的一個企業(yè)的血液���,如果數據和資料丟失����,會給企業(yè)今后的發(fā)展帶來巨大的不便,為了避免數據資料的丟失����,我們就應當對計算機網絡做好數據備份以及數據歸檔的保護措施。這些都是維護企業(yè)網絡安全的最基本的措施與工作�。
2.3 病毒防護設計與實現
計算機病毒每年都在呈上漲的趨勢,我國每年遭受計算機入侵的網絡���,占到了相當高的比例��。計算機病毒會使計算機運行緩慢�����,對計算機網絡進行有目的的破壞行為���。目前Internet在飛速的發(fā)展,讓病毒在網上出現之后����,會很快的通過網絡進行傳播。對于企業(yè)計算機網絡��,應當時刻進行監(jiān)控以及判斷系統中是否有病毒的存在,要加大對于病毒的檢測���。處理����、免疫及對抗的能力��。而企業(yè)使用防病毒系統����,可以有效的防止病毒入侵帶來的損失。為了使企業(yè)的網絡更加安全����,要建立起一個完善的防病毒系統,制定相應的措施和病毒入侵時的緊急應急措施����,同時也要加大工作人員的安全意識���。
病毒會隨著時間的推移變的隨時都有可能出現�,所以企業(yè)中計算機網絡安全人員����,要隨時加強對于防毒系統的升級���、更新、漏洞修復����,找出多種不同的防毒方法,提高企業(yè)計算機網絡防病毒的能力����。
2.4 防火墻技術設計與實現
Internet使用過程中,要通過內網���。外網的連接來實現訪問����,這些就給網絡黑客們提供了良好的空間與環(huán)境��。目前��,企業(yè)計算機網絡系統�����,采用防火墻技術,能有效的保證企業(yè)的機密不會受到網絡黑客以及工業(yè)間諜的入侵����,這種方法也是維護企業(yè)計算機網絡最有效、最經濟的方法��,因為防火墻系統是企業(yè)計算機網絡安全的最前面屏障�,能有效的組織入侵情況的發(fā)生。所以企業(yè)計算機網絡第一個安全措施就是安裝以及應用防火墻�。防火墻一般是安裝在內部網絡出口處,在內網與外網之間����。
防火墻最大的特點是所有的信息傳遞都要經過它,這樣就能有效的避免企業(yè)網絡遭到非法入侵�,防火本身的具有很高的可靠性,它可以加強對企業(yè)網絡的監(jiān)督�����,防止外部入侵和黑客攻擊造成的信息泄露�,
2.5 網絡安全設計的實現
在企業(yè)網絡運行中,與用戶和各個系統之間��,存在著信息交換的過程�����,這些信息包括信息代碼�����、電子文稿�、文檔等,所以總會有各種網絡安全的問題出現���。為了保障網絡的安全性和客戶使用的合法性�����,就要去嚴格的限制登錄者的操作權限���,增加口令的復雜程度。當工作人員離職要對于網絡口令認證做出相應的調整��,以避免帶來的不便�����。
3 總結
現今網絡在現代生活中發(fā)展迅速,然而網絡安全的系統也日益突出����。作為一個企業(yè)如何的保證自己網絡的安全性,使自身能夠更快更好的發(fā)展���,面對著網絡入侵的行為要進行如何的防御�,已經是一個越來越迫切的問題����。我們只有從實際出發(fā),去構建一個完整的安全的網絡防御系統��,才能保證企業(yè)網絡的安全�。
參考文獻
[1]唐紅亮.防火墻設計淺析[J].中國科技信息,2009�����,06.
第3篇
關鍵詞:廣播電視監(jiān)測網��;網絡�;安全
隨著廣播電視數字化、網絡化的迅速發(fā)展�����,廣播電視監(jiān)測工作由過去靠人工的傳統落后手段轉變?yōu)榫W絡化、自動化的方式��,監(jiān)測網的建成使監(jiān)測工作發(fā)生了飛躍式的變化����,提高了信息反饋速度���,豐富了監(jiān)測信息內容�����,拓展了監(jiān)測業(yè)務類型����,擴大了監(jiān)測地理范圍�����,大大提高了廣播電視監(jiān)測的綜合監(jiān)測能力����。但是����,隨著網絡規(guī)模的擴大��,監(jiān)測網的復雜性和風險性也在不斷增加���。業(yè)務的發(fā)展對網絡性能的要求也在不斷提高���,如何運用先進技術方案保障監(jiān)測網絡安全而高效地運轉已經成為我們面臨的重要工作。
1 監(jiān)測網網絡結構特點
網絡規(guī)模大����、系統復雜、專業(yè)性強����,通常由一個或多個局域網系統及數個地理位置分散的遠程無人值守遙控站點組成分布式廣域網系統。
多種通信方式并存�����,監(jiān)測網系統的通信建立倚賴于當地的通信條件�����,造成系統具有多種接入方式。
軟件開發(fā)基于J2EE平臺�����,軟件體系多采用C/S架構�����。
2 風險性分析
目前�����,廣播電視監(jiān)測網主要面臨以下問題:
2.1缺乏完整的安全體系
廣播電視監(jiān)測網建設是根據總體規(guī)劃�����,分步實施的�����,系統往往邊運行邊擴展規(guī)模�。這種情況造成監(jiān)測網系統建設之初���,對系統安全很難進行全面規(guī)劃�。隨著網絡規(guī)模的擴大及應用范圍的擴展,網絡的脆弱性不斷增加�,同時,系統配置的更改��,軟件的升級也造成系統的安全需求不斷變化�����,現有的安全手段將很難勝任����。
2.2系統分布方式帶來安全的復雜性
監(jiān)測網系統具有節(jié)點分布廣,地理位置分散等特點���,使得對網絡安全狀況的集中控制變得困難�,帶來數據安全的復雜性��。不同的環(huán)節(jié)將需要不同手段的安全方案����。
2.3網絡本身的安全漏洞
監(jiān)測系統是一個基于IP的網絡系統,采用TCP/IP協議軟件��,本身在應用��、傳輸時存在較多不安全因素。
3 安全技術方案
鑒于對以上幾種風險性因素的分析�����,根據系統的實際情況����,結合考慮需求、風險����、成本等因素���,在總體規(guī)劃的基礎上制訂了既可滿足網絡系統及信息安全的基本需求�,又不造成浪費的解決方案�����。
3.1網絡資源總體規(guī)劃
實踐證明���,合理��、統一的網絡規(guī)劃對網絡維護及安全運行都有極大的好處���,有利于保障監(jiān)測網系統在不斷擴展中的可持續(xù)性�,因此�,在監(jiān)測網建立之初統一進行網絡資源的設計,制定合理的IP規(guī)劃��、網絡拓撲規(guī)劃����,對各種資源進行統一編碼是保障網絡安全的第一步。
3.2設備安全配置
對于重要安全設備如交換機�、路由器等,需要制定良好的配置管理方案���,關閉不必要的設備服務��,設置口令���、密碼,加強設備訪問的認證與授權��,升級BIOS��,限制訪問、限制數據包類型等���。
3.3操作系統安全方案
操作系統大部分的安全問題歸根結底是由于系統管理不善所導致的�。解決方案是正確更新使用密碼設置�����、權限設置�����,正確進行服務器配置���。建立健全操作系統安全升級制度���,及時下載并安裝補丁。
3.4備份方案
為保證監(jiān)測網的安全穩(wěn)定運行�����,對于監(jiān)測網的核心局域網系統硬件可采用雙機熱備方案�����,磁盤陣列���、交換機��、防火墻等硬件采用雙機并行����,負載均衡的方式運行���,應用服務器����、數據庫服務器還可互為備份���,從而保證不會因某一點出現故障而影響整個系統的正常使用���。
3.5病毒防護
監(jiān)測網系統覆蓋的點多面廣,防毒系統應采用集中控制多層防護的方案�����,在監(jiān)測系統各個網絡都分級部署防病毒軟件���,中心網絡對下一級系統進行實時集中病毒監(jiān)測�����,定時升級����。制定和采用統一的防病毒策略,使得網絡中的所有服務器和客戶端都能得到相同的防病毒保護����。
3.6防火墻系統
監(jiān)測網系統由于其分布特性往往由多個安全域組成,應加裝防火墻���,以實現系統內各級網絡之間的隔離和訪問控制�;實現對服務器的安全保護及對遠程用戶的安全認證與訪問權限控制����,并實現對專線資源的流量管理控制和防攻擊。
3.7應用安全
可采用多種手段保障應用層安全����。如:系統日志審核����、服務器賬戶管理�、用戶登錄權限管理�、數據定期備份等。
3.8數據傳輸安全
監(jiān)測網作為一個廣域網主要利用廣電光纜或電信線路進行通信�,為保證安全性,數據的傳輸須采取加密措施���。具體方案可針對不同通信方式及數據安全級別制定����。
4 結束語
網絡是一個多樣���、復雜���、動態(tài)的系統,單一的安全產品和技術不能夠滿足網絡安全的所有要求�,只有各個安全部件相互關聯、各種安全措施相互補充�,網絡安全才能得到保障。同時���,任何一個網絡的安全目標都不是僅依靠技術手段就能實現的��,還應采取措施加強操作人員素質管理����,提高值班員責任心。做到管理規(guī)范���,才能確保監(jiān)測網安全�����、高效運行��。
參考文獻
第4篇
關鍵詞互聯網+醫(yī)療網絡安全網絡安全防護案例
0引言
互聯網+醫(yī)療健康模式下要求醫(yī)院的信息系統功能向外擴展�,實現在線預約�����、掛號��、繳費和診療服務��。為了實現在線服務的功能�,勢必要將醫(yī)院局域網與互聯網打通,來進行數據交互��,但只有在網絡與安全的建設達標的情況下�����,才能開展相關業(yè)務��。同國內一些大型企業(yè)比較�����,醫(yī)院的網絡安全建設相對薄弱��,這與醫(yī)院信息系統的特殊性和信息化的發(fā)展歷程有關����。最初的網絡建設是為局域網系統提供服務,沒有與外部系統互聯的需求�。如今面對越來越開放的服務需求,信息網絡的安全性面臨著極大的挑戰(zhàn)�。網絡安全作為信息化建設的基石,如何在現有醫(yī)院網絡基礎上實施安全防護�����,為互聯網醫(yī)院需要開展的業(yè)務提供高速��、可靠的網絡環(huán)境,是管理者面臨的又一挑戰(zhàn)�。
1醫(yī)院網絡安全發(fā)展歷程
醫(yī)院信息系統發(fā)展[1]的不同時期,對網絡安全建設要求不同�。
1.1最初的內外網隔離時期
醫(yī)院在建設信息系統初期,多數選擇內外網隔離的網絡方案�����,內網負責承載醫(yī)療業(yè)務�,外網負責承載辦公業(yè)務。內網常見有數據庫服務器���、文件服務器���,外網有郵件服務器和網站服務器等。當時的信息系統多為客戶端/服務器(C/S)架構���,信息系統功能局限在局域網內����,數據不用穿越防火墻�,信息系統架構簡潔,實施與維護方便���。網絡上通常采用二層樹狀架構���,結構簡單�、部署迅速�。內外網隔離的方式���,可以阻斷全部來自外網的攻擊����,將防護重點集中在內網終端上�。采用的方法是在服務器與客戶端安裝殺毒軟件。雖然��,在這個時期網絡安全風險低����,但是面對一波又一波的網絡病毒,如藍色代碼����、熊貓燒香、沖擊波���、震蕩波等病毒�����,還是暴露了醫(yī)院終端防護水平低����、安全建設滯后的問題。
1.2接入專線網絡外聯
醫(yī)院的信息系統發(fā)展很快���,為了方便患者就醫(yī)����,優(yōu)化就醫(yī)流程����,新的應用、功能需求層出不窮��。其中�,包括醫(yī)保實時結算、銀醫(yī)結算與醫(yī)療數據共享等應用���。由于早期完全隔離的網絡使得系統無法與外界交互�,這就需要在獨立封閉的網絡中“開孔出氣”。網絡的基礎上�,與外界系統交互只通過專線的方式,邊界清晰��、業(yè)務明確���。在這個時期的應用中����,院方系統作為請求發(fā)起方即客戶端�,院內系統不需要對外部系統開放接口或者服務�,并且與內網系統聯通的專線網絡屬于“可信”環(huán)境。在此基礎上���,只需要在前置服務器外聯邊界設置防火墻��,阻斷由外向內的所有連接�����,允許由內向外的請求��。
1.3劃分虛擬專網方式接入
隨著醫(yī)院信息系統的進一步發(fā)展����,醫(yī)生遠程辦公、分院業(yè)務系統交互��,以及患者自助查詢��、繳費等新需求應運而生���,簡單的外聯已經不能滿足新業(yè)務開展的要求�。此時�����,就需要進一步對網絡進行開放����。遠程辦公可以使用互聯網虛擬專用網絡(VPN)接入,患者檢查結果查詢方式為互聯網接入��。與以往不同���,這些應用的開展��,都是以內網信息系統的數據為最終請求目標�。不管數據包如何跳轉,最終需要到達內網服務端��。這一時期的服務從面向醫(yī)務工作者���,擴展到了面向部分就診患者��,請求量有所提升���。但最根本的轉變在于內網系統面向部分外網客戶端,提供多樣化的服務�。雖然,服務對象是特定人群�,但是面向互聯網開放了“窗口”���,見圖2��。不管是通過前置機中轉��,還是地址變換�����、隱藏等手段提供服務���,都不能回避互聯網上存在的掃描���、攻擊等潛在風險。這類應用一般為非必要醫(yī)療業(yè)務環(huán)節(jié)�,面對互聯網上的威脅、風險���,還可以忍受一定程度上的服務中斷�����。通過接入物理專線的方式�����,將醫(yī)保中心�����、銀行及相關衛(wèi)生主管部門聯通��。在相關業(yè)務系統外圍增加前置服務器�����,作為院方與互聯單位的數據中轉站����,并負責將相關數據、表格保持同步�,將上報數據、業(yè)務請求發(fā)送至外網服務端�。這個時期的網絡防護也較為輕松。因為在原有封閉但在網絡安全方面��,是不能允許存在任何非授權訪問和入侵破壞的��。
1.4互聯網+醫(yī)療背景下的網絡融合
在互聯網+醫(yī)療時代背景下��,醫(yī)院信息系統將達到前所未有的開放程度�。醫(yī)院將從醫(yī)療、公共衛(wèi)生����、家庭醫(yī)生簽約�����、藥品供應保障、醫(yī)保結算���、醫(yī)學教育和科普等方面推動互聯網與醫(yī)療健康服務相融合����,涵蓋醫(yī)療���、醫(yī)藥����、醫(yī)?���!叭t(yī)聯動”諸多方面[2]。醫(yī)院還將制訂�、完善相關配套政策,加快實現醫(yī)療健康信息互通互享�,提高醫(yī)院管理和便民服務水平[3]。這就需要醫(yī)院要將網絡大門打開���,將網絡進行融合設計�����,讓患者可以通過互聯網上的多種方式享受就醫(yī)服務��。在醫(yī)療業(yè)務不斷向互聯網開放后���,對于系統中斷服務的容忍度基本為零����。醫(yī)院既要保障服務的敏捷性和持續(xù)性�,又要保障數據的安全性和保密性,還要防止原有系統被入侵和攻擊行為所破壞���。同時���,需要從多角度、多層次對系統進行網絡防護�����。
2網絡安全措施
在已有醫(yī)院信息系統(HIS)等系統的情況下�����,醫(yī)院如何進行“開放系統”的防護工作�����。保護的指導方針是根據國家信息安全等級保護要求�����,按等保要求系統應具備抗分布式拒絕服務(distributeddenialofservice���,DDOS)攻擊��、入侵����、病毒的防御能力和控制端口����、行為等控制能力[4].
2.1流量清洗
在互聯網上眾多的網絡請求中,充斥著大量的無用請求�、惡意訪問[5]。如果不對互聯網中的流量進行清洗����,將對系統的可用性構成極大威脅。該部分清洗主要是針對DDOS攻擊流量�����。常見DDOS攻擊類型有SYNfloods、Land-Base����、PINGofdeath、Teardrop�、Smurf等。應根據自身情況選擇專用設備或運營商服務進行DDOS攻擊流量清洗����。
2.2入侵防御
清洗完的流量中還存在著掃描、嗅探��、惡意代碼等威脅�����,它們通過系統漏洞�,繞過防護,對系統實施入侵行為�,達到控制主機的目的。一旦入侵成功��,造成的后果和損失是巨大的。通過部署入侵防御系統(intrusionpreventionsystem���,IPS)對那些被明確判斷為攻擊行為,會對網絡��、主機造成危害的惡意行為進行檢測和防御����。深入網絡數據內部,查找它所認識的攻擊代碼特征�����,過濾有害數據流��,丟棄有害數據包[6]����。基于特征的入侵防御系統無法對高級持續(xù)性威脅(advancedpersistentthreat����,APT)攻擊進行防護,因此在建設入侵防御系統時��,要特別注意該類型的攻擊防護?�?稍黾討B(tài)勢感知系統輔助IPS���,將全網流量威脅可視化��,進一步消除0day漏洞隱患����。
2.3防病毒
根據國際著名病毒研究機構國際計算機安全聯盟(internationalcomputersecurityassociation���,ICSA)的統計�,目前通過磁盤傳播的病毒僅占7%����,剩下93%的病毒來自網絡。其中�����,包括Email���、網頁�����、QQ和MSN等傳播渠道���。計算機病毒網絡化的趨勢愈加明顯����,需要企業(yè)部署防毒墻/防病毒網關����,以進一步保障網絡的安全�。防毒墻/防毒網關能夠檢測進出網絡內部的數據,對HTTP����、FTP、SMTP���、IMAP等協議的數據進行病毒掃描�����,一旦發(fā)現病毒就會采取相應的手段進行隔離或查殺����,在防護病毒方面可起到非常大的作用.
2.4訪問控制
在經過流量清洗、入侵防御�����、防病毒3道工序處理后���,訪問控制系統是主機最“貼身”的一道防線����。它是幫助保護服務器����,按照個體情況來制定防護策略,精細防護到開幾扇門����,允許什么人、什么時間���、什么方式訪問主機����。通常用硬件防火墻來進行訪問控制[7]。常見防火墻類型有網絡層防火墻�、應用層防火墻以及數據庫防火墻,可實現針對來源IP地址����、來源端口號、目的IP地址����、目的端口號、數據庫語句�����、應用層指令��、速率等屬性進行控制�����。還有一種特殊的訪問控制系統——“安全隔離與信息交換系統”即網閘[8]��。主要功能有安全隔離����、協議轉換、內核防護功能�����。由于網閘在所連接的兩個獨立系統之間��,不存在通信的物理連接�、邏輯連接、信息傳輸命令���、信息傳輸協議��;不存在依據協議的信息包轉發(fā)��,只有數據文件的無協議“擺渡”�,且對固態(tài)存儲介質只有“讀”和“寫”兩個命令���。網閘設備通常由3部分組成:外部處理單元���、內部處理單元、隔離安全數據交換單元���。安全數據交換單元不同時與內��、外部處理單元連接�,從而創(chuàng)建一個內、外網物理斷開的環(huán)境�����,從物理上隔離����、阻斷了具有潛在攻擊可能的連接,使“黑客”無法入侵��、無法攻擊�、無法破壞。
2.5負載均衡
在面對互聯網中大量的網絡請求時��,必須要增加負載均衡設備�����,擴展網絡設備和服務器的帶寬����、吞吐量�、數據處理能力���,從而提高網絡的靈活性和可用性[9]。負載均衡有多種算法���,可以實現基于輪詢���、連接數、源IP和端口��、響應時間的算法�����。負載均衡設備增加了應用系統處理能力��,不法分子想要攻癱系統的難度將成倍增加�。
2.6日志審計與事后分析
日志審計與事后分析非常重要[10],必須將攔截和放行的網絡請求記錄下來�。一方面,統計攻擊日志�����,分析網絡運行風險;另一方面����,記錄放行的流量,對各個防護環(huán)節(jié)進行查漏��、補缺����,優(yōu)化防護策略。日志審計越全面��,對優(yōu)化網絡�����、提升系統服務水平的幫助越大����。日志審計的范圍包括:應用系統日志、數據庫日志��、操作系統日志�����、網絡安全防護日志等�����。還可將日志系統與網絡安全態(tài)勢感知系統相結合��,使分析結果更全面�����、更準確���。日志存儲時間應大于6個月��。
3具體實例
根據以上的防護要求����,本文給出了一個內外網融合并進行防護的具體案例��。按照重要程度與功能將網絡劃分為多個區(qū)域����,總體原則:首先是按照應用系統劃分區(qū)域;其次是實施嚴格的邊界訪問控制���;最后是完善監(jiān)控��、審計等輔助能力建設���。由此����,形成了包括三級域�����、二級域��、安全管理域�、專線接入域、數據交換域����、互聯網服務接入域在內的6個主要區(qū)域。將醫(yī)院最重要的HIS系統����、集成平臺、數據倉庫等系統接入在三級域����,進行最嚴格的保護;其他業(yè)務應用系統放在二級域����,網站、VPN����、線上業(yè)務等放在互聯網服務接入域。邊界分別部署下一代防火墻����、Web應用防火墻(webapplicationfirewal,WAF)����。防火墻開啟入侵防御、防病毒等防護模塊���,只放行應用系統對外提供服務的端口流量�����,對每個源IP的新建連接數�、并發(fā)連接數、半開連接數進行限制���。WAF針對應用實際情況���,開啟對數據庫、中間件���、開發(fā)語言的防護規(guī)則��。由于三級域系統業(yè)務量大��,采用多臺應用服務器并行架構��,通過旁掛負載均衡器實現應用引流���、負載分擔,保障應用系統處理能力�����。將應用服務器與數據庫服務器用數據庫防火墻進行隔離����、控制�,從SQL語句����、角色權限等角度對數據進行保護����。數據交換域的主要功能為數據中轉與應用,邊界同樣部署下一代防火墻����,開啟入侵防御、防病毒等防護模塊�����,對出入流量進行嚴格管控����。當互聯網服務或線上醫(yī)療業(yè)務需要與HIS等核心系統產生數據請求時,需要通過中轉服務器完成數據中轉功能�����;當來自低安全級別系統向HIS等核心系統請求服務時�,需要通過中轉服務器完成應用功能���。這樣,在保證系統互聯互通的同時�,解決了不同系統間的信任問題。安全管理區(qū)中放置防病毒軟件�、堡壘主機、日志審計�、態(tài)勢感知平臺、認證系統和監(jiān)控平臺等用于網絡管理的服務器�,與業(yè)務系統隔離,在邊界嚴格控制此區(qū)域系統進出流量�。在互聯網出口處,設置有抗DDOS設備�����、IPS���、防毒墻�����、下一代防火墻�、負載均衡器���,全方位對互聯網實時流量進行過濾����。國家衛(wèi)生健康委員會、醫(yī)保中心�����、銀行等業(yè)務通過物理專線接入至專線接入域����,通過前置機與防火墻對這類業(yè)務進行訪問控制��?���?傊ㄟ^多種設備和全面的管理�����,形成一個邊界清晰�、管控嚴格、監(jiān)控全面��、審計詳實、可感知態(tài)勢的網絡系統����。這樣,在快速開展互聯網線上業(yè)務的同時���,還能夠最大限度地進行網絡防護��。
第5篇
關鍵詞:無線網絡;網絡安全;解決方案
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 13-0000-02
一����、無線網絡概述
無線網絡(Wireless Local Area Network,WLAN)是以無線電波作為傳輸媒介的無線局域網,具有移動性�����、開放性��、不穩(wěn)定性等特點����。與無線網絡相比,它利用無線電技術代替網線,具有以下獨特的優(yōu)勢:網絡的擴展性好,可迅速便捷地擴展網絡;網絡建設簡單方便;用戶使用性好,網絡可移動、兼容性好,不受固定的連接限制等����。
(一)無線網絡的加密方式
無線網絡安全與其相關加密方式密切相關,無線網絡的加密方式有:
1.WEP(Wired Equivalent Privacy)加密
該方式通過RC4算法在收發(fā)兩端將數據加解密,且具有校驗過程以確保數據完整安全,然而這種方式只要補集足夠多的數據包,就可以推斷出密碼,安全問題逐漸顯現�。
2.WPA(Wi-Fi Protected Access)加密
該方式充分研究了WEP的不足,使用了比其更長的IV和密鑰機制,具有較高的安全性���。
3.WPA2加密
該方式使用AES算法,能克服以往的問題,也是當前的最高安全標準,但其對硬件要求過高�。
(二)無線網絡的安全特點
另一方面,無線網絡的安全特點也有別與有線網絡,它主要有以下幾個特點:
1.易受干擾攻擊
無線網絡具有開放性,它不像有線網絡具有固定的網絡連接,更容易受到各種惡意攻擊���。
2.安全管理難度大
無線網絡的移動性,使其網絡終端可在大范圍移動,這就意味著移動節(jié)點缺乏一定的物理保護,倘若從無線網絡已入侵的節(jié)點開始攻擊,造成的破壞將更大�。
3.安全方案實施困難
無線網絡具有動態(tài)變化的拓撲結構,這讓安全技術更復雜,并且許多方案均是分散的,實施起來依賴所有節(jié)點�。
4.魯棒性問題
無線網絡信道往往隨著用戶而變化,常常會受到干擾、衰弱等多分影響,造成網絡信號不穩(wěn)定,質量波動大�����。
二����、無線網絡面臨的安全威脅
無線網絡面臨的安全威脅主要是針對無線網絡信號的空間擴散特性進行的網絡攻擊�。無線網絡攻擊方式主要有以下幾種:
(1)War Driving。這是最常見的攻擊方式,攻擊者利用黑客軟件檢測出周圍的無線網絡,并且詳細獲知每個訪問接入點的詳細信息,同時借助GPS繪制出其對應的地理位置�。
(2)拒絕服務攻擊。這種攻擊是通過耗盡網絡���、操作系統或應用程序的有限資源,使得計算機無法獲得相應的服務�����。
(3)中間人攻擊,例如包捕獲��、包修改��、包植入和連接劫持等����。
(4)欺騙攻擊,即是通過偽造來自某個受信任地址的數據包,讓該計算機認證另一臺計算機,包括隱蔽式與非隱蔽式欺騙攻擊,例如為IP欺騙、ARP欺騙����、DNS欺騙等。
(5)暴力攻擊,即是使用數字��、字符和字母等的任意組合,猜測用戶名及其口令,反復地進行試探性訪問����。
上述的這些攻擊會威脅信息的完整性、機密性和可用性,這些安全威脅主要有四類:信息泄露��、完整性破壞�、拒絕服務和非法使用,具體來說主要有竊聽�、無授權訪問�、篡改、偽裝���、重放���、重路由、錯誤路由��、刪除消息����、網絡泛洪等。這些從而導致竊取信息���、非授權使用資源��、竊取服務和拒絕服務等問題。其具體的網絡安全問題主要表現為:
(1)未授權的非法訪問服務���。攻擊者偽裝成合法用戶,未經授權訪問網絡資源,非法占用無線信道和網絡帶寬資源,嚴重影響了合法用戶的服務質量�����。;
(2)合法用戶的隱私信息外泄��。惡意用戶通過竊聽�、截取數據包,盜取用戶的關鍵數據信息,例如無線鏈路上傳輸的未被加密的數據被攻擊者截獲等。另一方面不適當的數據同步導致數據不完整,手持設備的丟失也會泄露敏感信息,設備的不恰當配置也可能泄露數據�����。
(3)惡意用戶可能通過無線網絡主動攻擊網絡設備,獲得對網絡的管理控制權限,并篡改相關的網絡配置,降低了網絡的防護能力,將造成了惡劣的影響,嚴重時將使整個網絡癱瘓�。
(4)病毒主機直接接入無線網絡,嚴重影響信息系統的安全可靠性。
三���、無線網絡安全的解決方案
針對上述的網絡安全問題,無線網絡安全的解決方案往往有以下幾個方面:
(一)訪問控制
即是按照用戶身份及其所歸屬的某項定義組來限制用戶訪問某些信息項,或限制其使用某些控制功能���。一般來說,訪問控制有利用MAC地址和服務區(qū)域認證ID技術兩種方式來控制無線設備的非法入侵。啟用MAC地址過濾的策略就是無線路由器只允許部分MAC地址的網絡設備進行通訊�。由于MAC地址在每個無線工作站的網卡出廠時就已設定,所以用戶可以利用其唯一性設置訪問點,實現物理地址過濾。然而,這個方案存在MAC地址欺騙的缺陷,即是MAC地址可以進行偽造,而且也無法實現機器在不同AP間的漫游��。這種方式是較低級的授權認證,但它是阻止惡意用戶訪問無線網絡的一種理想方式,一定程度上可以保護網絡安全�。服務區(qū)域認證ID技術(SSID)是根據每一個AP內設置的對應服務區(qū)域認證ID,當無線終端設備需連接AP時,AP就會檢查其SSID是否與自己的ID保持一致,AP才接受相應的訪問并給予網絡服務。該技術的缺陷同樣也是容易被竊取,網絡安全性較為一般�����。
第6篇
關鍵詞:網絡安全 入侵檢測 數據備份
一、引言
Internet的發(fā)展���,正在引發(fā)一場人類文明的根本變革���,網絡已成為一個國家最為關鍵的政治,經濟���,軍資源�,成為國家實力的新象征同時��,網絡的發(fā)展也在不斷改變人們的工作�,生活方式,使信息的獲取��,傳遞��,處理和利用更加高效����,迅速,隨著科學技術不斷發(fā)展���,網絡已經成為人們生活的一個組成部分雖然計算機網絡給人們帶來了巨大的便利��,但互聯網是一個面向大眾的開放系統���,對信息的保密和系統的安全考慮得并不完備,存在著安全隱患���,網絡的安全形勢日趨嚴峻���。因而,解決網絡安全問題刻不容緩���,我們必須從網絡安全可能存在的危機入手�����,分析并提出整體的網絡安全解決方案
二����、網絡安全風險分析
1.網絡結構的安全風險分析
企業(yè)網絡與外網有互連��?���;诰W絡系統的范圍大���、函蓋面廣,內部網絡將面臨更加嚴重的安全威脅�,入侵者每天都在試圖闖入網絡節(jié)點。網絡系統中辦公系統及員工主機上都有涉密信息�,假如內部網絡的一臺電腦安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統��。
2.操作系統的安全風險分析
所謂系統安全通常是指操作系統的安全����。操作系統的安裝以正常工作為目標,一般很少考慮其安全性����,因此安裝通常都是以缺省選項進行設置。從安全角度考慮����,其表現為裝了很多用不著的服務模塊,開放了很多不必開放的端口��,其中可能隱含了安全風險����。
3.應用的安全風險分析
應用系統的安全涉及很多方面�����。應用系統是動態(tài)的、不斷變化的�。應用的安全性也是動態(tài)的。這就需要我們對不同的應用���,檢測安全漏洞���,采取相應的安全措施,降低應用的安全風險��。主要有文件服務器的安全風險����、數據庫服務器的安全風險、病毒侵害的安全風險�����、數據信息的安全風險等
4.管理的安全分析
管理方面的安全隱患包括:內部管理人員或員工圖方便省事�����,不設置用戶口令,或者設置的口令過短和過于簡單���,導致很容易破解�����。責任不清����,使用相同的用戶名���、口令��,導致權限管理混亂����,信息泄密�����。把內部網絡結構����、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險�����。內部不滿的員工有的可能造成極大的安全風險���。
三��、網絡安全解決方案
1.網絡結構的安全
網絡結構布局的合理與否�����,也影響著網絡的安全性對銀行系統業(yè)務網�����,辦公網���,與外單位互聯的接口網絡之間必須按各自的應用范圍���,安全保密程度進行合理分布,以免局部安全性較低的網絡系統造成的威脅��,傳播到整個網絡系統,所以必須從兩個方面入手����,一是加強|力問控制:在內部局網內可以通過交換機劃分VLAN功能來實現;或是通過配備防火墻來實現內���、外網或不同信任域之間的隔離與訪問控制:也可以配備應用層的訪問控制軟件系統���,針對局域網具體的應用進行更細致的訪問控制。二是作好安全檢測工作:在局域網絡的共享網絡設備上配備入侵檢測系統���,實時分析進出網絡數據流����,對網絡違規(guī)事件跟蹤�����,實時報警����,阻斷連接并做日志。
2.操作系統的安全
對操作系統必須進行安全配置��,打上最新的補丁,還要利用相應的掃描軟件對其進行安全性掃描評估��,檢測其存在的安全漏洞��,分析系統的安全性���,提出補救措施��,管理人員應用時必須加強身份認證機制及認證強度盡量采用安全性較高的網絡操作系統并進行必要的安全配置��,關閉一些起不常用卻存在安全隱患的應用,對一些關鍵文件使用權限進行嚴格限制�����,加強口令字的使用���,及時給系統打補丁�,系統內部的相互調用不對外公開����。
3.應用的安全
要確保計算機網絡應用的安全,主要從以下幾個方面作好安全防范工作:一要配備防病毒系統���,防止病毒入侵主機并擴散到全網�,實現全網的病毒安全防護;二作好數據備份工作���,最安全的��,最保險的方法是對重要數據信息進行安全備份��,如果遇到系統受損時��,可以利用災難恢復系統進行快速恢復�����;三是對數據進行加密傳輸���,保護數據在傳輸過程中不被泄露,保證用戶數據的機密性�����,數據加密的方法有從鏈路層加密�����,網絡層加密及應用層加密;四是進行信息鑒別��,為了保證數據的完整性����,就必須采用信息鑒別技術,VPN設備便能實現這樣的功能�,數據源身份認證也是信息鑒別的一種手段,它可以確認信息的來源的可靠性�����,結合傳輸加密技術����,我們可以選擇VPN設備���,實現保護數據的機密性��,完整性���,真實性,可靠性�����。
4.管理的安全
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高����,行為的約束只能通過嚴格的管理體制,并利用法律手段來實現���,因國這些必須在電信部門系統內根據自身的應用與安全需求��,制定安全管理制度并嚴格按執(zhí)行����,并通過安全知識及法律常識的培訓�����,加強整體員工的自身安全意識及防范外部入侵的安全技術����。
第7篇
筆者從眾多開設網絡工程專業(yè)的高校中選取部分211或985學校作為研究對象,對多所學校的網絡安全方向課程的設置進行了對比分析�����,見表1。網絡安全在某些高校是作為網絡工程專業(yè)的一個方向開設����,如吉林大學就是在網絡工程專業(yè)下設網絡安全方向,開設網絡攻防技術����、無線網絡技術等課程;而在有些院校網絡工程中沒有網絡安全方向�����,而以單獨的信息安全專業(yè)存在����,如電子科技大學和北京郵電大學都是單獨設有信息安全專業(yè),該專業(yè)開設的安全方向課程更全面��,如信息安全數學基礎����、密碼學基礎��、網絡安全協議等�;還有一些高校既沒有信息安全專業(yè)��,在網絡工程專業(yè)中也沒有安全方向��,只是在課程中設置了少量的安全類課程��,如大連理工大學開設網絡安全��、Matlab課程����,中山大學開設了密碼學與網絡安全課程����。
2擴展課程設置探討
下面針對濟南大學的網絡工程專業(yè)安全方向開設的課程進行改革探討���。濟南大學網絡工程專業(yè)目前正在使用的培養(yǎng)方案中與安全相關的課程設置情況見表2�。其中,一部分是計算機類學科基礎課�����,一部分是網絡工程專業(yè)基礎選修課和專業(yè)方向課�。濟南大學網絡工程專業(yè)中設有網絡安全方向。結合山東省名校工程的契機,筆者在調研多個名校的培養(yǎng)方案并結合本校實際情況的前提下����,對網絡安全方向課程的設置提出下面幾個調整意見。
2.1增設信息安全數學基礎和網絡仿真課程
雖然原有培養(yǎng)方案中高等數學����、線性代數、概率論與數理統計�、離散數學4門數學課程都占據了大量學時,但是對于網絡安全方向的學生而言��,后期用到的相關數學知識并不多����。但是學生對網絡安全真正用到的初等數論和群環(huán)域知識卻一點都沒有接觸。因此��,修改培養(yǎng)方案時應增設信息安全數學基礎課程�,學時不用太多,可以為24學時���,授課內容要涉及網絡安全中用到的模運算����、同余理論��、數論函數和群環(huán)域等知識����。目前,網絡安全方向用到的數學知識均是在應用密碼學課程中講解的���。大部分有關密碼學的教材都會在講解分組密碼和公鑰密碼時�,介紹一些與之密切相關的數學知識(如群環(huán)域)����,如由清華大學出版社出版,楊波編寫的《現代密碼學》(第二版)[3]中的“密碼學中一些常用的數學知識”部分���。這種做法一方面占了密碼學課程的部分學時�����,勢必會減少學生學到的密碼學知識�����;另一方面�����,臨時講一些數學知識并不能讓學生系統地理解�����。因此����,筆者非常贊成清華大學馮克勤教授提出的增設初等數論課程的想法[4]。雖然馮教授是針對清華大學數學科學系本科生提出的���,但對于網絡安全方向的學生而言�,不學習初等數論和群環(huán)域知識�,很難理解和掌握后續(xù)的與安全相關的課程內容,這點在應用密碼學課程中尤其明顯���。例如��,學習離散對數算法后����,學生只知道在已知一些參數的情況下如何利用指數進行加密解密���,但不能理解如何選擇參數����,不知道什么是本原元��,如何確定一個循環(huán)群的本原元以及如何利用模運算降低計算量���,如何快速的編程實現����。筆者采用不同于上述馮教授提出的在大學第1學期開設初等數論課程的方式��,而是在第3學期開設����。因為濟南大學在第1、2學期�,學生必修高等數學和線性代數課程,這已經使學生無暇顧及更多的數學知識���。第3學期開設信息安全數學基礎可以很好地和第4學期開設的應用密碼學課程銜接����。另外,在信息安全數學基礎課程中�,安排一定的實驗學時,讓學生在經過第1����、2學期的程序設計課程之后,通過學過的編程語言實現數論和群環(huán)域中的一些算法���,理論聯系實際���,從而更好地掌握數學知識,為后續(xù)密碼學算法的研究奠定基礎�����。
2.2增加網絡仿真課程
現代網絡技術的研究離不開仿真軟件����,因為我們不可能實際搭建網絡,如果不合適���,再拆了重新搭建�����,這不僅費時而且費力?���,F在所有與網絡相關的研究都在仿真基礎上進行;而如果不開設仿真課程�,學生僅學習理論知識,會與實際應用脫離�����。濟南大學的信息安全教學團隊由5位博士組成���,其中3人是數學專業(yè)背景,主要研究網絡安全�����,2人是計算機學科出身����,主要研究無線網絡,而且5人中有2人具有工程背景�。信息安全教學團隊負責網絡工程專業(yè)的所有安全類課程的教學,包含無線網絡和網絡協議等課程���,這些課程都需要仿真軟件的配合才能使學生真正掌握所學知識��。因此�����,增加網絡仿真課程是必須的�����。至于仿真課程的內容�����,可以選擇NS2或NS3��,也可以與大連理工大學相似��,采用Matlab����。
2.3合并網絡協議和網絡安全協議課程,調整其他相關課程的學分和學時
網絡協議課程主要講TCP/IP協議����,內容與吉林大學的TCP/IP協議族相似��,重點在網絡的分層協議�����,如網絡層協議��、傳輸層協議等���。涉及部分安全協議,如IPsec��、SSL����、SNMP等�����,這與網絡安全協議課程中再次對這些內容的講解重復�,而且安全協議本身也是網絡協議的一種,因此可以考慮將安全協議和網絡協議兩個課程整合或一門全新的網絡協議課程����,去掉重復內容����,增加部分學分和學時����,從原有的2.5學分增加到3學分,同時學時從原有的48增加到64�。網絡工程專業(yè)修改培養(yǎng)方案后的安全方向課程設置見表3。從表3可以看出培養(yǎng)方案修正前后的總學分保持不變����,這是因為在增加新課的同時,調整了部分課程所占學分和學時���,如減少無線網絡原理與技術的學分����,從原有的4學分減到3.5學分�。這樣一方面增加了新課,另一方面整合了重復內容的課程�����。
3結語
第8篇
網絡安全建設要具有長遠的眼光,不能僅僅為了眼前的幾種威脅而特意部署安全方案���。
垃圾郵件����、病毒���、間諜軟件和不適內容會中斷業(yè)務運行�����,這些快速演變的威脅隱藏在電子郵件和網頁中����,并通過網絡快速傳播�����,消耗著有限的網絡和系統資源�。要防范這些威脅����,就需要在網絡安全方面有所投入才行。但現在的經濟形勢讓眾多中小企業(yè)面臨生存挑戰(zhàn),it投入的縮減����,專業(yè)人員的不足等因素,相比大型企業(yè)來說���,都讓中小企業(yè)在對付網絡威脅方面更加無助���。
即使投入有限,中小企業(yè)的網絡安全需求一點也不比大企業(yè)少�。在現實情況中,中小企業(yè)往往還對便捷的管理����、快速的服務響應等要求更高。那么中小企業(yè)如何在有限的投入中構建完善的網絡安全體系呢�����?試試下面這幾招�����。
第一招:網關端防護事半功倍
內部病毒相互感染���、外部網絡的間諜軟件��、病毒侵襲等危害����,使得僅僅依靠單一安全產品保證整個網絡安全穩(wěn)定運行的日子一去不復返了。而應對目前新型的web威脅��,利用架設在網關處的安全產品�����,在威脅進入企業(yè)網絡之前就將其攔截在大門之外是更加有效的方法�。對于中小企業(yè)來說,選擇一款功能全面�、易于管理和部署的網關安全設備,不但可以在第一時間內對各類web流量內容進行掃描過濾�����,同時也可以大大減輕各應用服務器主機的負荷��。
比如�,趨勢科技推出的igsa就包含了防病毒�、防垃圾郵件和內容過濾、防間諜軟件、防網絡釣魚���、防僵尸保護以及url過濾服務等眾多功能���,并且可以統一集中管理,通過日志報告還讓網絡運行安全情況一目了然�,大大減少了信息安全管理的工作量。
第二招:運用“云安全”免去內存升級壓力
目前中小企業(yè)內網安全也不容忽視����,而且要求實現集中管理和保護內部桌面計算機。在網絡威脅飆升的今天����,更新病毒碼成為每天必備的工作,但傳統代碼比對技術的流程性問題正在導致查殺病毒的有效性急劇下降�。趨勢科技推出的云安全解決方案超越了病毒樣本分析處理機制,通過云端服務器群對互聯網上的海量信息源進行分析整理��,將高風險信息源保存到云端數據庫中�,當用戶訪問時,通過實時查詢信息源的安全等級�����,就可以將高風險信息及時阻擋,從而讓用戶頻繁的更新病毒碼工作成為歷史�。
目前,桌面端防護的用戶數是網關防護用戶數的5倍���,桌面防護在現階段也是必不可少的手段��,但要求減輕更新負擔和加強管理便捷性��。這方面�,趨勢科技的officescan通過應用最新的云安全技術���,使桌面端防護不再依賴于病毒碼更新�����,降低了帶寬資源和內存資源的占用和壓力��。
第三招:安全服務節(jié)省管理成本
網絡安全管理成本在整個網絡安全解決方案中占有一定比例����,如果用三分技術��、七分管理的理論來解釋���,這方面成本顯然更高�。如何才能在專業(yè)管理人員有限的狀況下��,達到安全管理的目標呢��?中小企業(yè)可以借助安全廠商的專家技術支持����,高效、專業(yè)地保障網絡安全運行����。也就是借用外力來管理自己的網絡安全設備,將比自己培養(yǎng)管理人員成本更低�����,而且效果更佳��。
目前�,已有包括趨勢科技在內的多家廠商提供此類服務。
第四招:培養(yǎng)安全意識一勞永逸
